完美世界txt下载,完结小说排行榜,穿越小说排行榜

某股份制商業(yè)銀行定制化PaaS介紹

2017年10月19日

某股份制商業(yè)銀行的PaaS平臺是由睿云智合(Wise2C)與Rancher合作，基于Rancher做的定制化開發(fā)?；跇I(yè)務場景和銀行業(yè)的特殊需求，同時為了兼顧能夠?qū)崿F(xiàn)對以后Rancher版本的平滑升級，我們在Rancher之上做了一層邏輯抽象。一、軟件架構與部署方案整體軟件架構如下圖所示：頂層的DCOS作為統(tǒng)一的管理平臺，可以通過PaaS以及IaaS提供的API實現(xiàn)對云平臺的集中管控。左側藍色部分是原生Rancher，DCOS與紅色定制化部分通過API來訪問Rancher。由于未對Rancher做任何改動，可以做到對Rancher版本大于1.2的平滑升級。紅色部分為定制化邏輯抽象部分，歸納起來可以按照功能職責大致分為以下微服務（后面會詳細介紹）： 1 鑒權認證 2 資源管理 3 應用編排 4 彈性伸縮 5 日志收集 6 監(jiān)控告警 7 鏡像倉庫這些微服務在部署時按照Rancher將infrastructure stack部署到環(huán)境中的思路，使用一個獨立的Rancher環(huán)境來部署這些微服務，部署拓撲結構如下圖所示：圖中每一個虛線框?qū)猂ancher中的一個環(huán)境；“擴展ENV”這個環(huán)境直接使用Rancher server的主機作為Agent，上面運行定制化的微服務。其他環(huán)境分別對應到某個租戶的特定網(wǎng)絡，單個網(wǎng)絡內(nèi)部流量不使用Rancher原生的overlay，而采用Wise2C實現(xiàn)的扁平化網(wǎng)絡，網(wǎng)絡之間流量由外部防火墻控制。二、角色與權限模型 PaaS平臺的角色與權限模型沿用了Rancher的一部分概念，又引入了自己的內(nèi)容。主要差異在于兩方面： 1 PaaS平臺引入了對鏡像倉庫的管理，這在Rancher中是沒有的；即角色的權限，除包含操作Rancher外，還能夠操作鏡像倉庫。鏡像倉庫與PaaS的權限模型是一致的； 2 另外，客戶引入了租戶的概念，這點與Rancher中不同，租戶是可以跨越多個Rancher的環(huán)境的 Rancher權限模型：平臺管理員：擁有整個Rancher平臺的所有權限；環(huán)境用戶： 1 Owner擁有環(huán)境的所有權限； 2 Member擁有除對環(huán)境內(nèi)部用戶授權外的所有權限； 3 Restricted User擁有環(huán)境內(nèi)部除對用戶授權以及操作基礎資源外的所有權限； 4 Read Only擁有環(huán)境內(nèi)部資源的只讀權限； PaaS平臺權限模型：平臺管理員：等同于Rancher的平臺管理員權限再加上對鏡像倉庫管理的所有權限；租戶內(nèi)部角色： 1 租戶管理員擁有管理租戶資源以及對租戶內(nèi)部用戶進行授權的所有權限；再加上對鏡像倉庫管理的所有權限 2 高級成員在PaaS平臺內(nèi)擁有對租戶內(nèi)用戶授權以及操作基礎資源外的所有權限；在鏡像倉庫內(nèi)，擁有對鏡像倉庫設置鏡像同步規(guī)則、創(chuàng)建、刪除鏡像倉庫Namespace、改變鏡像狀態(tài)等權限； 3 受限成員在PaaS平臺內(nèi)擁有對租戶內(nèi)用戶授權以及操作基礎資源外的所有權限；在鏡像倉庫所屬Namespace內(nèi)，擁有上傳、下載鏡像的權限； 4 Read Only在PaaS平臺內(nèi)，擁有查看租戶類資源的權限；在鏡像倉庫所屬Namespace內(nèi)，擁有查看鏡像倉庫資源的權限；具體映射關系如下圖所示：鑒權部分的軟件設計如下所示：所有對PaaS訪問的API請求均經(jīng)由API proxy做鑒權控制之后代理到系統(tǒng)內(nèi)部具體的微服務上。PaaS不直接參與租戶的增刪查改，API proxy通過與PaaS外部的Keystone通信來獲取用戶角色以及租戶信息。三、資源管理網(wǎng)絡部分 1 由于金融行業(yè)對網(wǎng)絡安全性方面的要求比較苛刻，而Rancher所能夠提供的均是基于某個環(huán)境內(nèi)部的overlay網(wǎng)絡。Overlay必然會導致很多報文無法被安全設備透明的過濾，這是行業(yè)內(nèi)無法接受的；因此，必須采用扁平網(wǎng)絡。 2 處于安全的考慮，會出現(xiàn)同一個stack內(nèi)部的多個service需要分別部署到不同的網(wǎng)絡分區(qū)的需求，采用當前Rancher的managed網(wǎng)絡顯然無法滿足需求；因此，必須支持多網(wǎng)絡。對于扁平網(wǎng)絡的支持，我在之前的文章（在Rancher 1.2中實現(xiàn)基于CNI的扁平網(wǎng)絡）中有詳細的介紹，主要是使用ebtable直接在linux bridge上對流量做控制，從而避免使用overlay；這樣，外部安全設備能夠透明的看到各個容器之間的流量。對于多網(wǎng)絡的支持，我們是通過在Rancher之上實現(xiàn)一層抽象邏輯來實現(xiàn)的。整個模型演變?yōu)橐粋€網(wǎng)絡映射為Rancher的一個環(huán)境（環(huán)境內(nèi)部運行一個扁平網(wǎng)絡）。這部分主要涉及對平臺中所有網(wǎng)絡的管理，以及維護租戶與網(wǎng)絡之間的映射關系。下面舉一個例子來描述該流程： 1 平臺管理員在PaaS上創(chuàng)建一個網(wǎng)絡，指定網(wǎng)絡的參數(shù)（子網(wǎng)掩碼、網(wǎng)關、所屬安全域、所屬隔離域等），這些數(shù)據(jù)會保存到數(shù)據(jù)庫； 2 平臺管理員根據(jù)需要為租戶分配第一個網(wǎng)絡；此時，抽象層需要真正在Rancher上創(chuàng)建出網(wǎng)絡所對應的環(huán)境；以及創(chuàng)建監(jiān)控、日志、以及定制化系統(tǒng)所需的system級別的應用堆棧； 3 當平臺管理員為租戶分配第二個以上的網(wǎng)絡時，抽象層還需要將該Rancher環(huán)境與租戶其他網(wǎng)絡對應的Rancher環(huán)境之間建立env link關系，否則跨Rancher環(huán)境的應用堆棧各service之間無法使用Rancher DNS進行互訪。存儲部分客戶PaaS在存儲部分最終選定NFS作為其存儲方案，前期也有討論過使用ceph等，這部分我在之前的文章（探討容器中使用塊存儲）中也有專門分析過為什么不選用那種方案。由于單個租戶可以擁有多個網(wǎng)絡（也就是多個Rancher環(huán)境），而在Rancher中Rancher-NFS driver所創(chuàng)建volume是基于環(huán)境層面的。為了能夠?qū)⒃搗olume映射到租戶層面，我們在抽象層中做了這層映射操作。具體流程如下： 1 平臺管理員在PaaS中指定參數(shù)創(chuàng)建出一個NFS server；同網(wǎng)絡一樣，此時只是將數(shù)據(jù)保存到數(shù)據(jù)庫； 2 平臺管理員為租戶分配NFS server，此時抽象層真正操作租戶網(wǎng)絡所對應的多個Rancher環(huán)境，在逐個環(huán)境內(nèi)添加用于提供Rancher-NFS driver的system...

郵政電商平臺“郵樂網(wǎng)”完成容器云平臺項目建設，進一步完善分布式架構系統(tǒng)治理

2017年10月19日

眾所周知，容器技術在互聯(lián)網(wǎng)電商平臺的應用普及相比傳統(tǒng)企業(yè)更早、更為廣泛，2016年10月，郵樂網(wǎng)成為睿云智合第一個互聯(lián)網(wǎng)企業(yè)客戶。郵樂網(wǎng)由中國郵政與TOM集團攜手呈獻，是一個結合高端線上網(wǎng)購和線下零售于一體的獨特創(chuàng)新購物服務平臺。中國郵政歷史悠久，線下網(wǎng)絡覆蓋全國，并且擁有完善的物流系統(tǒng)及代收貨款一體化平臺；TOM集團在電子商務領域具備豐富的經(jīng)驗、先進的科技及應用。雙方互為裨益，以后來者面貌出現(xiàn)的?“郵樂網(wǎng)”，正試圖通過集合中國郵政和TOM集團的資源優(yōu)勢，以及借鑒雙方在電子商務市場的經(jīng)驗教訓，來實現(xiàn)在B2C行業(yè)的突破。以高起點、高規(guī)格快速搭建的郵樂網(wǎng)電商平臺，核心技術團隊來自滬港地區(qū)資深互聯(lián)網(wǎng)、金融等領域，在搭建支撐年營收額數(shù)百億且高速增長的業(yè)務平臺過程中，技術平臺的選型與部署嚴謹而又高效，在全球范圍內(nèi)對容器云集群管理平臺產(chǎn)品進行了篩選與評估，最終選擇Rancher作為容器云平臺核心框架，由睿云智合提供項目實施與技術支持服務，雙方共同為郵樂網(wǎng)的電商運營平臺提供基于容器的云計算基礎架構解決方案。...

安盛天平借助容器技術提升關鍵業(yè)務系統(tǒng)持續(xù)運維自動化水平

2017年10月19日

在剛剛達成的安盛天平汽車保險有限公司與睿云智合的容器項目合作中，雙方確認，由睿云智合提供全方位的技術支持服務，幫助安盛天平實施應用容器化的持續(xù)運維管理平臺建設。雙方將建立長期的技術合作，以逐步實現(xiàn)安盛天平各個關鍵應用系統(tǒng)在接下來分階段、分步驟地完成生產(chǎn)環(huán)境容器化后的持續(xù)運維管理目標。安盛天平車險是中國財產(chǎn)險市場上目前以數(shù)字化業(yè)務為主要核心渠道的兩家公司之一（另一家是平安產(chǎn)險），公司業(yè)務系統(tǒng)架構一直以追求靈活響應、高度自動化為目標，是為數(shù)不多在信息技術層面能夠快速高效響應數(shù)字化業(yè)務發(fā)展需要的財產(chǎn)保險公司之一。早在2015年末，安盛天平的技術團隊即已投入對Docker技術的研究與學習試用之中，在自行完成了多種容器編排框架產(chǎn)品的內(nèi)部部署與測試后，最終仍選擇借助第三方技術服務方的力量，與深圳睿云智合共同合作，逐步完成基于自身實際需要的容器化應用持續(xù)運維管理平臺的建設，為安盛天平繼續(xù)保持在車險數(shù)字化業(yè)務領域的競爭優(yōu)勢提供新型容器云技術的有力支持。...

國內(nèi)首家股份制商業(yè)銀行基于容器的PaaS平臺項目正式啟動

2017年10月19日

2016年10月，在歷時半年的技術選型和驗證性測試之后，恒豐銀行最終選擇了基于美國Rancher Lab公司提供的容器集群管理平臺來實施輕量級PaaS平臺項目。作為Rancher Lab在中國的戰(zhàn)略合作伙伴，睿云智合承接了該項目的全部研發(fā)與實施任務。恒豐銀行為全國18家股份制商業(yè)銀行之一，在極短的時間內(nèi)完成了公司經(jīng)營模式和治理架構的大幅改造。由科技驅(qū)動業(yè)務高速發(fā)展的戰(zhàn)略是公司核心經(jīng)營思路之一，自主研發(fā)的各類系統(tǒng)解決方案將直接支持一線業(yè)務開展，因此，打造一個內(nèi)部的軟件生產(chǎn)／交付／運營全生命周期管理平臺（PaaS）變得極為重要。在Docker引領下的容器技術顛覆性發(fā)展的今天，PaaS平臺變得更為輕量又易用，將成為企業(yè)級用戶IT能力建設的一個關鍵性基礎平臺。銀行業(yè)由于面對嚴格的風控與監(jiān)管要求，在創(chuàng)新信息技術引進落地方面格外謹慎，諸多銀行均在1～2年前即已開始著手基于容器的PaaS平臺建設方案調(diào)研，此次恒豐銀行PaaS項目的啟動則率先成為銀行業(yè)的第一單，堪稱金融行業(yè)容器技術應用項目的一個里程碑。...

長城人壽謀求核心系統(tǒng)架構改造，探索微服務治理解決方案

2017年10月19日

2016年10月，睿云智合與長城人壽保險公司達成合作，為其提供系統(tǒng)架構改造與容器技術引進咨詢服務。長城人壽隸屬北京金融街集團，已在專業(yè)壽險領域耕耘十余年，致力于從產(chǎn)品和客戶服務方向走差異化經(jīng)營路線，樹立自身獨特的保險服務品牌。長城人壽根據(jù)細分客戶不斷創(chuàng)新，開發(fā)了包括母嬰險、自助養(yǎng)老險和全能健康險在內(nèi)的一系列高保障保險產(chǎn)品，特別為鋼琴天才郎朗開發(fā)設計了十指保險，突顯了保險的保障本質(zhì)。進入日益激烈的數(shù)字化業(yè)務競爭階段后，長城人壽對自身業(yè)務系統(tǒng)的靈活、快速響應能力要求也日益提升，業(yè)務系統(tǒng)進行架構改造的需求也日益強烈。經(jīng)過調(diào)研選擇，長城人壽選擇與睿云智合進行合作，引進專業(yè)IT咨詢服務，針對現(xiàn)行系統(tǒng)架構改造制訂規(guī)劃路線和實施方案，同時也對未來基于容器的微服務架構系統(tǒng)治理模式進行了探索與驗證。以這個項目作為起點，從此長城人壽的業(yè)務系統(tǒng)架構改造工程正式邁入實踐階段。...

民生人壽保險成為首家將基于容器的DevOps平臺在生產(chǎn)環(huán)境落地的金融企業(yè)

2017年10月19日

2016年中，民生人壽保險有限公司經(jīng)過技術選型，決定引進睿云智合基于容器的CI/CD產(chǎn)品WiseBuild作為其接下來在IT內(nèi)部全面推動DevOps的核心平臺。該項目預計在半年內(nèi)逐步替代原有的應用開發(fā)測試運維作業(yè)模式，使得民生保險的IT治理模式更加順應新一代分布式架構的核心業(yè)務系統(tǒng)的開發(fā)&運維要求，顯著提升業(yè)務系統(tǒng)軟件的交付效率。作為民營壽險企業(yè)的杰出代表，民生人壽成立十余年來始終堅持貫徹“以用戶為中心”的經(jīng)營理念，將不斷提升用戶體驗，豐富服務模式，嘗試通過多種渠道為客戶提供個性化、定制化的保險產(chǎn)品作為公司追求的經(jīng)營目標。而這一業(yè)務經(jīng)營方針對IT支持的要求也在日益提高，在經(jīng)過反復的“打補丁”方式勉力維持原有核心系統(tǒng)運行多年之后，民生人壽IT團隊決心破舊立新，著手重構一套全新的微服務架構核心業(yè)務系統(tǒng)，并且采用容器技術來優(yōu)化微服務架構系統(tǒng)的治理模式。民生人壽表示，新架構下的核心業(yè)務系統(tǒng)重建項目意義極為重大，它很可能帶領民生人壽在未來幾年保險市場風起云涌的激烈競爭格局中突破重圍，一舉超越同類型機構。...

富德生命人壽在保險行業(yè)率先啟動容器技術全面實踐應用

2017年10月19日

2016年初，富德生命人壽經(jīng)過大量調(diào)研與驗證性測試評估，結束了容器云集群管理平臺的技術選型，選擇睿云智合作為其接下來容器技術應用場景全面實踐項目的技術服務方。富德生命人壽保險股份有限公司是一家全國性的專業(yè)壽險公司,成立于2002年3月4日,總部現(xiàn)位于深圳。在保險行業(yè)，富德生命人壽曾創(chuàng)造多個業(yè)務創(chuàng)新與高速發(fā)展的業(yè)績奇跡，其科技團隊技術實力雄厚，應用系統(tǒng)堅持走自研為主的道路，成為行業(yè)典范。本次項目旨在引進容器技術，幫助富德生命人壽IT在CI/CD，微服務治理，應用容器化后持續(xù)運維，混合云管理等各個場景全面踐行和檢驗容器技術的可用性、可靠性，為未來實現(xiàn)IT整體架構改造，加速IT對業(yè)務需求高效、靈活的響應支持奠定基礎。...

在Rancher 1.2中實現(xiàn)基于CNI的扁平網(wǎng)絡

2016年12月16日

Rancher 1.2 網(wǎng)絡現(xiàn)狀Rancher 1.2之于之前的版本在很多地方都有顛覆性的更新，今天我著重來談網(wǎng)絡方面。在1.2中Rancher實現(xiàn)了對CNI的支持，通過network-plugin來實現(xiàn)對CNI的調(diào)用；另外，network-plugin還實現(xiàn)了如為暴露端口的容器配置DNAT，MASQUERADE等操作。但是，1.2版本也并非徹底的擁抱CNI，原因如下： 01?Network-plugin默認為必選項，其內(nèi)部自動檢測容器是否expose端口到host，并為容器端口配置DNAT規(guī)則；另外，所有容器默認使用docker0經(jīng)過三層轉發(fā)（通過Iptables規(guī)則控制）來訪問外網(wǎng)，即全部配置MASQERADE；這一點限制了網(wǎng)絡模型（二層廣播域只能在host內(nèi)部），將影響到希望使用另一張網(wǎng)卡來實現(xiàn)扁平網(wǎng)絡的用戶；02Network-plugin的啟動依賴于Metadata，而Metadata和DNS server均使用docker0的bridge網(wǎng)絡（IP為169.254.169.250）。即，用戶私有化的CNI網(wǎng)絡必須要能夠訪問到docker0網(wǎng)絡，否則Rancher提供的服務發(fā)現(xiàn)與注冊以及其它為業(yè)務層提供的服務將不可用。03不支持多個網(wǎng)絡，官方宣稱只能選擇一個CNI網(wǎng)絡，在UI中對所添加的各類型的CNI網(wǎng)絡均顯示為托管網(wǎng)絡。其中系統(tǒng)基礎服務比如scheduler、health check以及l(fā)oad balance默認均只能在托管網(wǎng)絡內(nèi)工作。如若手工添加了其它CNI網(wǎng)絡，將導致第二個CNI網(wǎng)絡內(nèi)，scheduler、health check以及l(fā)oad balance異常?？蛻粜枨?一??在很多場景中用戶對于容器網(wǎng)絡的使用，還是希望業(yè)務與管理隔離，即通過一張獨立的網(wǎng)卡來運行業(yè)務流量。二???在混合組網(wǎng)的場景中，用戶一部分業(yè)務運行在裸機中，另一部分業(yè)務運行在Rancher容器內(nèi)，將這兩張網(wǎng)絡統(tǒng)一為一張扁平化網(wǎng)絡的呼聲也較大。解決方案基于Rancher 1.2中CNI的諸多限制，有沒有辦法去實現(xiàn)扁平網(wǎng)絡呢？答案是肯定的!網(wǎng)絡整體拓撲先看一張網(wǎng)絡部署圖，下圖可分為兩個區(qū)域，Rancher區(qū)域與裸機區(qū)域。Rancher區(qū)域HOST-1和HOST-2分別為Rancher的agent節(jié)點（每個節(jié)點有兩張網(wǎng)卡），按業(yè)務劃分，該區(qū)域內(nèi)部可以通過容器部署一些變動大、常啟?；虺U縮容的業(yè)務。裸機區(qū)域 Host-3以及其它主機為物理服務器（即裸機），按照業(yè)務劃分，host-3上可運行一些相對業(yè)務對硬件資源要求較高，且不常變動的業(yè)務組件。這兩個區(qū)域通過業(yè)務交換機二層互聯(lián)，如果網(wǎng)絡規(guī)模小，這樣的拓撲結果是沒有問題的。如若網(wǎng)絡規(guī)模大，需要考慮廣播域的問題，為了避免廣播風暴，一些客戶會使用一些支持SDN的設備來取代業(yè)務交換機，從而對二層廣播做限制。扁平網(wǎng)絡內(nèi)部（包括兩個區(qū)域的所有主機）統(tǒng)一使用外部的路由器做網(wǎng)關，比如圖中，Rancher內(nèi)部的容器的子網(wǎng)范圍為10.43.0.0/24, IP地址池范圍為10.43.1.2-10.43.1.254。同理，裸機域內(nèi)，子網(wǎng)范圍為10.43.0.0/24, IP地址池范圍為10.43.2.2-10.43.2.254。之所以要將管理網(wǎng)絡和業(yè)務網(wǎng)路經(jīng)過同一個路由器（或者防火墻）是因為scheduler需要訪問cattle，即管理網(wǎng)；另一方面，scheduler又需要由CNI網(wǎng)絡中的health check 做健康檢查和故障恢復。若考慮安全問題，可以在防火墻上配置規(guī)則，對業(yè)務網(wǎng)對管理網(wǎng)的訪問做限制。 Rancher內(nèi)部CNI網(wǎng)絡內(nèi)部CNI網(wǎng)絡主要需要解決兩個問題：?一??如何訪問Metadata和DNS server的地址169.254.169.250；二 ?采用獨立的網(wǎng)卡來轉發(fā)業(yè)務流量后，二層廣播域跨主機了，若每臺主機上還通過同一個IP 169.254.169.250訪問DNS和Metadata服務，如何解決地址沖突的問題；下圖是宿主機內(nèi)部CNI網(wǎng)絡的拓撲圖以及流量轉發(fā)規(guī)則：由于扁平網(wǎng)絡需要使用自定義的bridge，與docker0無關。同一個network內(nèi)部的所有容器屬同一個二層網(wǎng)絡，且都不可見169.254.169.250地址。為了讓容器可以訪問該地址，我們采用將br0（CNI bridge）與docker0連通，然后再該鏈路上的流量做限制來實現(xiàn)。具體如下：1、container-1內(nèi)部有到達169.254.169.250的一條主機路由，即要訪問169.254.169.250需要先訪問10.43.0.2；2、通過veth-cni與veth-doc的鏈接，CNI bridge下的container-1可以將ARP請求發(fā)送到docker0的10.43.0.2地址上。由于10.1.0.2的ARP response報文是被veth-cni放行的，于是container-1能夠收到來自10.43.0.2的ARP response報文。 3、然后container-1開始發(fā)送到169.254.169.250的IP請求，報文首先被送到docker0的veth-doc上，docker0查詢路由表，將報文轉到DNS/metadata對應的容器。然后IP報文原路返回，被docker0路由到veth1上往br0發(fā)送，由于來自169.254.169.250的IP報文都是被放行的，因此container-1最終能夠收到IP。 4、由于屬于該network的所有的宿主機的docker0上都需要綁定IP地址10.43.0.2；因此，該IP地址必須被預留，即，在catalog中填寫CNI的netconf配置時，不能將其放入IP地址池。 5、同時，為了保障該地址對應的ARP請求報文不被發(fā)送出主機，從而收到其他主機上對應接口的ARP響應報文，需要對所有請求10.1.0.2地址的ARP REQUEST報文做限制，不允許其通過br0發(fā)送到宿主機網(wǎng)卡。具體轉發(fā)規(guī)則對應的ebtables規(guī)則如下所示：Drop All traffic from veth-cni except:1、 IP response from 169.254.169.250 2、 ?ARP response from 10.43.0.2 ebtables -t broute -A...

最佳實踐

近期文章