银行容器云平台建设的需求分析与关键设计.docx

? ? ? ? ? ? ? ? 实用参考： 银行容器云平台建设的需求分析与关键设计 ? ? ? ?? ? ? ? ? ? ? ? ? ? ? ? ? 【摘要】容器平台的建设要考虑场景、技术、系统对接、成本、人员技能等因素，有不小的复杂度。本文从一个最精简容器平台所需考虑的各个方面，结合作者的项目实践，提出供大家参考的建议。 目 录 TOC \o 1-3 \h \z \u 银行容器云平台建设的需求分析与关键设计 1 1 银行建设容器平台的背景 4 2 需求分析 4 3 业务架构 5 4 关键设计 7 4.1 资源池管理 7 4.2 网络设计 8 4.2.1 技术方案选择 8 4.2.2 网络拓扑规划 12 4.4.1 应用编排 14 4.4.2 生命周期管理 15 4.5 安全管理 16 4.5.1 对接安全合规体系 17 4.5.2 多租户隔离 17 4.5.3 应用等级隔离 18 4.6 监控日志 19 4.6.1 监控 19 4.6.2 日志 20 5 总结和建议 21 1 银行建设容器平台的背景 随着互联网金融的兴起，互联网企业依托互联网，特别是移动互联网为公众提供越来越多方便快捷、稳定高效的金融类服务，对传统的银行业务带来了很大冲击。作为应对，传统银行也在业务上不断创新，带来对IT基础设施和应用架构方面进行转型升级的要求。例如为了支撑电商促销活动对银行带来的高峰期海量支付请求，某银行很早就对支付渠道相关业务应用进行微服务架构改造，由此带来了容器技术的研究和运用。此银行的多年实践证明，采用容器技术平台很好地支撑了新的业务模式和业务容量。 基于业务发展的需要，和快速进步的金融科技技术，越来越多的传统银行在思考自身的互联网金融战略、金融云规划等。其中重要内容之一，是希望从技术层面更有效地支持业务创新，如微服务架构、更好的灵活性、扩展性、高可用性、更高效的业务上线效率等，因此跟上云计算技术发展的趋势，建设并推广适合自身的基于容器技术的云平台是关键任务。 2 需求分析 银行建设容器平台，不仅需要为基于微服务架构的新业务提供容器化运行和管控平台之外，还必须非常重视满足金融行业严苛的监管和安全要求。这样的定位决定了在银行建设容器平台除了要具备市场上大多数容器平台产品的能力，还应该为银行的特殊监管需求进行定制。 因此制定银行容器平台的需求时，建议考虑包括的方面有： 管理大规模容器集群能力，包括：提供容器所需的高可用集群、资源池管理、网络通信方案、存储方案、编排调度引擎、微服务运行框架、镜像管理、事件告警、集群监控和日志收集等。 为满足金融业务的监管和安全要求，平台需要考虑应用的高可用性和业务连续性、多租户安全隔离、不同等级业务隔离、防火墙策略、安全漏洞扫描、镜像安全、后台运维的4A纳管、审计日志；如果容器平台还对公网提供访问，那么还需要考虑访问链路加密、安全证书等。 还有一个重要方面是，银行的金融云是一个范围更大的复杂云环境，容器平台通常是这个复杂系统中的一部分，因此容器平台还要遵从银行已有IT技术规范和运维要求，例如可能还需要考虑： 支持银行自身的应用发布体系、持续集成系统、应用建模规范、高可用管理策略 对接金融云底层资源池（例如IaaS），遵从云计算资源的统一管理和分配 对接或改造容器平台的网络，以满足容器平台中应用与传统虚拟机、物理机中旧业务系统的相互通信，避免或尽可能减少对银行现有网络管理模式的冲击 对接统一身份验证、和整个金融云其它系统采用统一的租户定义、角色定义、资源配额定义等 对接漏洞扫描、集中监控系统、日志分析系统等已有周边系统 3 业务架构 基于对容器平台的需求分析，可以用如下的业务架构图描述容器平台应提供的业务能力、以及容器平台在银行可能和周边系统的对接关系： 各业务模块提供的功能，以及可能需要集成、对接的情况是： 4 关键设计 以下讨论业务架构中各个业务模块的关键设计思路。 4.1 资源池管理 容器平台资源池管理负责容器运行所需的计算、存储资源申请、分配、容量管理，以及适合的容器网络通信方案。容器网络方案比较复杂，稍后专门论述，这里先探讨关于计算和存储资源的管理。 对于计算和存储资源的申请、分配、容量管理，可能的两种做法是： 按照容量预估，预先为容器平台分配预测的计算节点、存储容量的资源，在容器平台中将这些资源注册到容器集群中使用。当需要扩容或删除某些资源时，重复相应的动作。 对接外部的资源管理和供给系统，通常是IaaS系统或者具备资源供给能力的自动化系统，通过调用外部系统的接口，容器平台按需获取所需的计算和存储资源。 第一种做法的优势在于系统简单，不需要对接外部资源管理系统，适合技术验证平