9月6日，由深圳金融信息服務(wù)協(xié)會主辦，我公司（深圳睿云智合科技有限公司）與Rancher Labs聯(lián)合協(xié)辦的，深圳金融IT界容器技術(shù)專題研討會隆重召開并勝利閉幕！

 

會議匯聚了國內(nèi)外知名的云計算技術(shù)大咖，以及招商銀行、平安科技、富德生命人壽、廣發(fā)證券等國內(nèi)金融科技引領(lǐng)企業(yè)的容器技術(shù)實踐團隊的經(jīng)驗分享，為150多人的在場嘉賓奉上了一場堪稱金融行業(yè)與最前沿容器技術(shù)的巔峰碰撞！

 

除了深圳本地的金融行業(yè)技術(shù)人員，更有來自北京、上海、東北的多家金融機構(gòu)信息技術(shù)團隊積極參與，大家紛紛表示會議干貨多多，收獲頗豐。

 

以下就是小編為大家整理的嘉賓分享內(nèi)容系列速遞，按照演講順序，今天為大家推出的是來自平安科技資深專家?– 陳春潤的分享：《平安金融云之CaaS服務(wù)建設(shè)和應(yīng)用》

分享開始，陳春潤先生首先從平安云5大特性展開介紹。和現(xiàn)在的公有云服務(wù)供應(yīng)商對比，平安云在系統(tǒng)、合規(guī)以及數(shù)據(jù)方面有著自己的特點。結(jié)合平安集團的發(fā)展戰(zhàn)略，將平安云平臺定義成具備“專業(yè)、增值、可靠、安全與合規(guī)”特征的金融云服務(wù)供應(yīng)商。

 

專業(yè)：理解行業(yè)特性，利用平安科技多年的金融IT咨詢及研發(fā)能力，專業(yè)服務(wù)于金融行業(yè)客戶。

 

增值：為金融行業(yè)客戶提供軟件、數(shù)據(jù)、網(wǎng)絡(luò)、征信等一系列增值服務(wù)，構(gòu)建起金融同業(yè)共贏共生的“超級購物中心”。

 

可靠：利用創(chuàng)新的高可用架構(gòu)和自動化運維平臺為用戶提供可靠的基礎(chǔ)設(shè)施服務(wù)打造可信賴的云計算平臺。

 

安全：打造適合金融行業(yè)的安全體系、符合CSA規(guī)范的有強防護能力的云計算平臺。

 

合規(guī)：重點研究與監(jiān)管(一行三會)要求的契合度，成為金融云的標桿，為金融行業(yè)客提供合規(guī)、便利的一攬子云計算服務(wù)。

 

除此之外，陳春潤先生還表明，平安集團子公司中包含金融行業(yè)的各個類別，不同企業(yè)、不同來源、不同開發(fā)模式的業(yè)務(wù)系統(tǒng)對底層資源的需求差異很大。所有這些需求對于平安云來說都是必須要滿足的。

 

因此平安云會為用戶提供不同類型的彈性計算服務(wù)，包括：

物理機：高性能，高規(guī)格

虛擬機：靈活、安全的共享

容器：靈活、輕量、快速交付

 

這些不同的計算模式可以共享相同的VPC網(wǎng)絡(luò)，用戶可以根據(jù)應(yīng)用架構(gòu)選擇將一部分應(yīng)用部署在物理機上，也可以部署在虛擬機上或容器服務(wù)中。

 

容器服務(wù)的設(shè)計目標

對于容器服務(wù)的設(shè)計目標，陳春潤先生闡述了2點。

一、對于大多數(shù)租戶而言，希望能夠使用容器服務(wù)加快環(huán)境部署的速度，提高擴容的效率，降低運維成本。

因此，平安云提供一套簡單有效的容器服務(wù)產(chǎn)品，使得用戶能夠自助完成容器部署工作。

自助式容器服務(wù)（私有或公有云服務(wù)）

– 用戶可定制容器基礎(chǔ)架構(gòu)

– 公共鏡像商城

– 私有鏡像管理

– 支持混合部署方式

– 兼容平安云基礎(chǔ)架構(gòu)

– 兼容平安應(yīng)用架構(gòu)規(guī)范

 

二、對于開發(fā)團隊而言，希望擁有一套從開發(fā)測試到生產(chǎn)部署的流水線，容器服務(wù)作為流水線中的實際運行環(huán)境，完成最后一公里的工作。

全流程部署自動化（私有云服務(wù)）

– 提供API與開發(fā)管理平臺緊密結(jié)合

– 支持開發(fā)-測試-生產(chǎn)環(huán)境部署流水線

– 用戶可定制容器基礎(chǔ)架構(gòu)

– 支持“全容器”和“開發(fā)測試容器+生產(chǎn)非容器”型部署需求

– 私有鏡像版本管理

– 平臺層服務(wù)支持

 

平安云容器服務(wù)架構(gòu)

容器它有自己運行的方式，不改變?nèi)魏伍_發(fā)的流程，但是從最終目的來講，開發(fā)不改變傳統(tǒng)的架構(gòu)，容器的功能是很難的發(fā)揮的。

 

平安云統(tǒng)一管理區(qū)

 

我們會有一個統(tǒng)一的綜合管理區(qū)，這個區(qū)會部署我們一個自己caas服務(wù)主體和面對對客戶管理的vpi的部分。

– 容器服務(wù)門戶。

 

– 門戶系統(tǒng)，提供容器服務(wù)操作。

 

– 基于lvs+keepalived部署架構(gòu)，外接mysql集群。

平安云公共服務(wù)區(qū)

我們有自己的每個數(shù)據(jù)中心，整個平臺作為數(shù)據(jù)中心，每個數(shù)據(jù)中心內(nèi)部會有一個資源管理區(qū)，這里面會有一些公共的rancher組件，同時支持對每個用戶有單獨? rancher server，這是我們一個比較大的改動，盡量減少管理域，鎖定在一個工作內(nèi)，這樣我們的風(fēng)險，控制就會更細。

Rancher 服務(wù)

– 核心服務(wù)組件，主要用于容器調(diào)度與部署。

 

– 基于lvs+keepalived部署架構(gòu)，外接Mysql集群。

Docker節(jié)點

– 用于鏡像制作、上傳、下載，文件傳輸，執(zhí)行Docker命令。

Public Registry

– 平安官方公共鏡像倉庫，同時是官方公共租戶的鏡像庫。

– 采取多節(jié)點掛載共享盤部署。

 

租戶VPC(某個租戶私有的VPC)

– 每個租戶擁有完整容器部署和運行環(huán)境，包括Rancher Server、Docker節(jié)點、Private Registry。

– 隔離與其他租戶之間的影響，減少跨租戶的網(wǎng)絡(luò)訪問。

 

CaaS核心功能

容器這個概念雖然簡單，但是對于很多開發(fā)人員來講，對于他們的要求還是很高的，所以我們把它簡化，形成一個比較容易理解應(yīng)用管理，服務(wù)管理，鏡像管理三大功能，其他高級功能都藏起來，只有資深的管理人員才看的到管理。其它的只是做一些底下的接口之類的。

 

【租戶+環(huán)境+權(quán)限】

– 以租戶+環(huán)境+角色方式進行權(quán)限控制。

– 租戶：一個租戶包含多個環(huán)境，由租戶管理員維護。

– 環(huán)境：同一類級別的服務(wù)集合，由環(huán)境管理員管理，包含多個應(yīng)用管理員。

 

【應(yīng)用編排】

– 提供官方編排模板。

– 支持Compose部署，擴展了docker compose。

【服務(wù)管理】

– 豐富的服務(wù)創(chuàng)建配置：支持服務(wù)link、端口配置、環(huán)境變量配置、目錄掛載以及資源限制等配置。

– 詳細的服務(wù)管理：服務(wù)信息、服務(wù)事件、服務(wù)配置。

 

 

【鏡像倉庫】

– 所有租戶共享鏡像商城，每個租戶擁有自己的公共倉庫，租戶內(nèi)用戶共享租戶內(nèi)鏡像。

– 鏡像商城采取多節(jié)點+共享磁盤部署，租戶的鏡像倉庫使用單節(jié)點+本地磁盤（基于云存儲）。

Mesos+Marathon環(huán)境

除了在平安云框架內(nèi)研發(fā)CaaS服務(wù)外，平安科技也嘗試過基于MM平臺對內(nèi)部互聯(lián)網(wǎng)產(chǎn)品線提供專屬容器服務(wù)。

– MM組合在生產(chǎn)實際部署，解決了部分互聯(lián)網(wǎng)應(yīng)用需要快速擴容和穩(wěn)定運行的要求。

– 三套環(huán)境有近1000物理核的部署規(guī)模。

– 實現(xiàn)了創(chuàng)新的IP管理，負載均衡，快速擴容。

– 支持容器漂移、EJB集群、組播、zabbix監(jiān)控、CMDB等。

基于Bare metal和IaaS部署CaaS的區(qū)別

基于BM

– 計算性能更好。

– 隔離性稍差，適合獨占資源池

– 構(gòu)建容器網(wǎng)絡(luò)和存儲服務(wù)工作量大，與IaaS的工作相當(dāng)

基于IaaS

– 主機虛擬化層存在一定損耗

– 多租戶場景支持更好

– 可以靈活調(diào)整計算資源池

– 依托于IAAS層網(wǎng)絡(luò)和存儲服務(wù)，容器層工作量降低

目前業(yè)界實現(xiàn)的容器云無外乎基于bare metal構(gòu)建和基于IaaS構(gòu)建兩種，許多公共的容器云平臺也提供這兩種選擇，前者能夠提供較高的性能，當(dāng)用戶獨占bare metal集群時也能夠?qū)崿F(xiàn)足夠的安全性。后者為容器云的靈活部署提供了基礎(chǔ)，用戶能夠在更大的空間上獲得獨享的容器運行環(huán)境，實現(xiàn)資源的按需申請和釋放。

在企業(yè)內(nèi)部構(gòu)建容器云，當(dāng)需求明確時，非常適合基于BARE METAL和K8S或MM部署，這種部署方式能夠充分利用bare metal的性能優(yōu)勢和容器管理平臺的功能優(yōu)勢，實現(xiàn)快速部署。

但當(dāng)企業(yè)規(guī)模和需求類型、用戶數(shù)不斷增加時，容器服務(wù)的進程特性無法滿足多種多樣的需求，其對底層虛擬化的不徹底也會帶來隔離程度不夠以及安全性不夠的問題。尤其是當(dāng)多租戶需求產(chǎn)生時，純粹基于容器構(gòu)建的云服務(wù)很難平衡這些差異。

因此對于已經(jīng)擁有IAAS平臺的企業(yè)來說，直接在IAAS之上構(gòu)建通用的容器云平臺是一種很好的選擇，iaas平臺專注于資源池的管理和網(wǎng)絡(luò)的管理，容器平臺關(guān)注與鏡像構(gòu)建、容器編排，這種組合方式能夠降低彼此的復(fù)雜性，提高容器部署的靈活性。

應(yīng)用情況

2015年9月：對接平安科技研發(fā)管理部的WizardCI/CD平臺，提供一鍵部署接

2016年6月：平安容器服務(wù)第一個版本V1.1上線，面向內(nèi)部開發(fā)人員，提供開發(fā)測試環(huán)境

• 應(yīng)用管理、服務(wù)創(chuàng)建、多個容器部署
• 公共鏡像倉庫，提供多種平安云官方鏡像、docker官方鏡像
• 私有鏡像倉庫：創(chuàng)建私有倉庫、制作鏡像

2016年7月：發(fā)布平安容器服務(wù)V1.2.1、V1.2.2

• 服務(wù)管理、服務(wù)事件
• 容器監(jiān)控、容器日志、webshell登陸容器、上傳文件到容器

2016年8月：發(fā)布平安容器服務(wù)V1.2.3

• 應(yīng)用編排
• 多租戶、多環(huán)境容器服務(wù)
• 更豐富的服務(wù)創(chuàng)建：支持端口配置、環(huán)境變量配置、目錄掛載以及資源限制