容器架构下多云平台的运维实践.pptx

容器架构下 多云平台的运维实践 主要内容 新技术 带来的 运维挑战 长期的 解决思路 具体实践 演示 总结 4 3 1 2 2 容器可跨平台，混合部署多 不管公云还是 私云，都是为 了谁服务? 容器服务与编排 公云 私云与SDN PaaS服务 3 什么需求都会出现在各种云里，又和应用息息相关?? IT 运维 4 开发 各平台都有不同的负载均衡 但是这都只滿 足了4层负载 均衡，无法解 決应用的问题 容器服务与编排 公云 私云与SDN PaaS服务 Kube Proxy LVS NSX 第三方 5 新型态应用特性 交易量不定 易有瞬间大量 要能确保交易完成 安全 安全是信任的 基础 Apple ATS要求 第三方接入 接不完的平台 上线时程漫长 新协议(MQTT) 车上 分店 行走间 等久了，用別家吧 体验是绝对要求 任何地点 使用者沒耐心 6 目前主流网站加密模式/Apple ATS TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 密钥交换 (Key Exchange) ECDHE:非对称秘钥交换 RSA:签名认证(跟凭证公 钥使用的算法有关) 传输层加密协议 目前建议是 TLS1.2或TLS1.3 加密算法 (Cipher) 建议是AES_128_GCM 其中128为以上为佳 讯息鉴别码 (MAC: Message Authentication Code) 建议是SHA256以上 7 为何使用ECDHE? DH Key Exchang e ECC PFS 8 Elliptic Curve Cryptography椭圆曲线加密 使用较短的密钥长度 对客戸端的CPU与Memory消耗较小 ECC在客戸端更快 ECC 更安全 Diffie-Hellman密钥交换算法 更安全的密钥交换机制 不需交换预置密钥(pre-master secret) 目前无已知的弱点 Perfect Forward Secrecy完全前向必威体育官网网址 在密钥泄漏时也能确保数据安全 ECDHE下，支持PFS *ECDHE无法防止中间人攻击，需加入签名认证机制，如RSA,ECDSA来防止 *ECDHE产生的是Session Key，就算拿到凭证的私钥，也不能将截取的封包解开 ECC证书 要使用 ECDHE_ECDSA 证书必须是ECC证书 9 RSA还是ECDSA RSA 证书 ECDHE_RSA 目前签发最多的证书方式 满足现况最多的需求 ECC 证书 ECDHE_ECDSA 较ECDHE_RSA省资源 建议未來采用的证书方式 目前使用较少 10 大部份的网站还是用RSA证书 11 ECDHE_RSA性能问题 0 5000 10000 15000 20000 25000 50000 45000 40000 35000 30000 Performance (Transactions per second) ECDHE_RSA 2K RSA Only 90% 12 长期的解決思路 负载均衡需能解決新型态应用与部署需求 高可用 交易不中断 本地高可用 多云高可用 分析 多平台下应用 分析 管理 多平台下应用 管理 一致性 分权管理 自动 多云平台下自动化 服务发现 自动扩展 自动配置 安全 SSL加密 API安全 软件 思维 14 云 编排 架构 硬件 虛拟 多租戸 虛拟隔离 容器 …. ESX Xen Hype型r-V态 KVM虛拟化 Amazon Azure Softlayer … 私云 OpenStack NSX OpenDaylight Cisco Nuage … 分散式架构 微分段架构 Hyperscale超大規模 依应用架构 集中式架构 … 软件思维 功能一致 单一管理 一套走天下 15 打造无边界数据中心 实体/ 硬件 模式 虛拟 / 软件 模式 D U SaaS (Dropbox, Google Docs, ...) IaaS (AWS, Azure, Ali….) 弹性 复杂度 成本 安全 弹性 效益 风险 硬件 应用/数据 硬件 应用/数据 D 管理与分析 U 单一接入 (GW) 数据 应用 新应用 应用 数据 平台无关交付架构 Platform Agnostic Delivery Infrastructure 速度与敏捷 响应 风险 成本与总体拥有成本TCO 硬件 应用/数据 硬件 应用/数据 硬件 16 应用/数据 硬件 应用/数据 具体实践与演示 功能一致 NetScaler 部署于任何环境 MPX VPX 虛拟化 SDX 硬件 高性价比 虛拟 任何平台 共享 多租戸 CPX 容器 = = 软件 思维 功能一致 客制应用 REST 请求 REST 回应 19 NetScaler解決新