结合容器技术的行业云可行性方案研究

Posted 2021-05-02 证券信息技术研发中心

摘  要

近年随着IT技术的不断迅猛发展，以云计算为代表的新兴技术为解决传统IT信息化建设困局找到了突破性的解决方案，并且在国内外的众多关键领域取得了成功。

行业云的构建，能够聚集行业资源和行业数据、共享行业资源、提高行业业务效率、提升行业信息安全水平；行业核心机构可以依托行业云为载体，转化职能、对外输出服务，不断提升服务能力；行业内成员可以通过行业云来提供行业公共服务，提供行业成员业务的互联互通，保障行业信息安全；行业监管机构可以通过行业云上的信息聚集，掌握行业运行动态，提高行业监管效率。因此，建设行业云，依托行业云推进行业业务的发展，是摆在证券行业面前亟需落实的课题。

目前，各种云平台在应用构建、发布效率，应用弹性调度、运维方面始终无法达到云计算服务化交付的标准。而以Docker为代表的容器技术的突破进展，为PaaS层面的技术推进带来曙光。容器技术颠覆了企业级应用的交付模式，一次构建到处运行的特性被越来越多的研发人员、运维人员所认可。

本课题着重研究结合容器技术的行业云可行性方案，将新兴的容器技术运用到证券行业云的建设中去，构建资源弹性供给、灵活调度和动态计量的行业云平台，支撑行业SaaS服务。 探索构建行业云平台，采用成熟度高、开放性强的计算虚拟化、容器虚拟化、分布式存储、网络虚拟化等技术，建立资源池，形成资源弹性供给、灵活调度和动态计量的行业云平台，同步开展应用架构规划，构建与云计算基础设施相适应的应用架构，自主设计或推动应用开发商实施应用架构改造，并降低应用与基础架构的耦合度。[1]

本课题提出了行业云应用容器化适配的全景视图，明确哪些类型的行业云应用将应用容器技术在行业云上进行部署应用；提出了容器技术在行业云整体架构的地位、作用，提出使用容器技术在行业云中落地的具体技术方案；提出容器技术在构建行业云时，与底层IaaS平台的整合技术方案；简要提出非容器支撑的应用组件和基础架构组件的推荐方案。

课题组通过调研走访行业核心机构、证券公司、证券应用开发商，并参加了行业云建设的研讨会，了解行业云的建设目标和建设路径，从而归纳整体行业云上的应用场景的视图。通过对这些应用的归纳总结，确定这些应用所使用的基础应用框架，并通过研究分析，确定哪些基础应用框架可以进行容器化，并适合容器化。同时，本课题通过搭建PoC环境，进行PoC验证部署，研究行业应用组件容器化的可行性。

本课题针对行业云中是否在生产环境中适合进行容器化部署，从两个角度进行分析。对于业务是否有大容量、高并发的需求，是否在不同时段有业务容量的变化，是否系统升级变化频繁等，作为判断业务应用是否需要进行容器化部署必要性的依据；另外从生产环境中运行时所需的性能、安全、环境等角度出发，考虑容器技术能否提供相应的能力，从而判断该行业云应用系统建设时所使用的软件组件是否能够进行容器化部署，对于属于重资源消耗、有状态的、不可冗余分割的应用组件不建议容器化部署。通过必要性和可行性两个维度进行研究分析得出结论，以下应用不适合容器化部署：1）数据服务类的应用，无论是数据库软件还是大数据类的应用软件；2）行业公共服务应用和行业通道公共服务类应用，系统容量较为稳定，系统性能的瓶颈在后端数据库的；3）周边接入类应用，后端应用服务组件基于Windows平台开发，目前无法进行容器化部署。

本课题将容器技术与传统PaaS解决方案进行整合，在PaaS平台建设开发管理流水线、应用商店、运维监控体系来实现服务的交付功能。证券行业云有着其特殊性，在行业云上进行发布的应用和行业服务具有权威性，其安全性、合规性、可维护性等都必须得到严格的检验，因此需要利用容器技术的特性，制定一个符合行业云规范的上架流水线流程，加强各个环节的管控。行业云应用进行容器化部署后，需要让行业云应用服务提供者基于行业云的CaaS平台自服务地实现行业云应用的自动化部署，利用容器技术可以保障部署的一致性。当不同的环境容器间的互联互通的配置不同时，需要行业云平台提供配置管理的功能来保障多环境间容器迁移后的部署有效性。

构建行业云的运维体系，面对行业云平台部署建设预置化、批量化的要求，通过容量分析，合理预测系统的扩容需求，使行业云平台的扩容工作规范化，精准匹配系统扩容需求；云管平台通过抓取云平台的配置和运行数据，对资源进行弹性调度，降低集中度风险和系统热点风险；通过系统监控管理及时发现系统异常，及时采取系统和数据动态迁移的手段，保持行业云平台的整体可用性；进行行业云运维服务设计，构建监控支持服务、提供综合日志管理服务、提供分布管理和应急管理服务。

本课题提出容器技术与底层IaaS平台的整合方案，设计基本标准组件，包括计算、网络、存储、安全、管理与监控等；梳理CaaS平台整合IaaS平台时所需用的服务接口内容。

对于行业云中容器技术的安全防护，分析了容器技术自有的安全防护能力，提出容器技术如何在行业云中进行安全防护，包括镜像安全、容器运行时安全监控、容器主机安全加固、强化生产部署规则和审核等手段。同时，处于行业云的安全考量，提出安全域划分、物理与环境安全、主机安全等措施。

本课题的研究成果和创新之处包含了行业应用与容器技术及行业云的适配性问题、结合容器技术的行业云建设方案以及数据持久化的多种方式和选择等。

 

关键词：容器；行业云；CaaS；IaaS；PaaS

完整报告，请点击“阅读原文”。