金融級(jí)云原生PaaS探索與實(shí)踐

1、金融級(jí)云原生 PaaS 探索與實(shí)踐一、業(yè)務(wù)背景 二、多集群管控三、發(fā)布運(yùn)維體系目錄contents目錄2/20一、業(yè)務(wù)背景3/20業(yè)務(wù)背景業(yè)務(wù)背景業(yè)務(wù)架構(gòu)演進(jìn)容量應(yīng)用|數(shù)據(jù)庫(kù)|機(jī)房容災(zāi)機(jī)房|地域4/20業(yè)務(wù)背景業(yè)務(wù)架構(gòu)單元化高可用一致性可擴(kuò)展高性能5/20業(yè)務(wù)背景6/20業(yè)務(wù)訴求運(yùn)維成本突發(fā)流量應(yīng)用 | 機(jī)房 生命周期運(yùn)維效率大規(guī)模下基礎(chǔ)設(shè)施穩(wěn)定性業(yè) 務(wù) Mesh 化精細(xì)化流量控制基礎(chǔ)組件升級(jí)業(yè)務(wù)可復(fù)制業(yè)務(wù)敏捷SaaS 面向站點(diǎn)級(jí)別輸出PaaS 能力7/20面向多租戶多環(huán)境；基礎(chǔ)資源管控；應(yīng)用發(fā)布運(yùn)維體系；業(yè)務(wù)實(shí)時(shí)監(jiān)控，日志收集；機(jī)房級(jí)和地域級(jí)容災(zāi)能力;業(yè)務(wù)背景業(yè)務(wù)背景CAF API Serv

2、er Aggregation LayerK8S API ServerIaaS層（Aliyun/OpenStack/VMWare/Bare Metal）PaaS 核心層核 心 流 程容器運(yùn)行時(shí)（Docker/Pouch/安全容器）(VLAN/VXLAN/VPC RoCNI Pluginsuter/ENI)CSI Plugins (NAS/OSS/Cloud Disk/Ceph)網(wǎng)絡(luò)接入 (SLB/ALB)容 器 層原生資源管理Pod伸縮管理集群伸縮管理基礎(chǔ)發(fā)布運(yùn)維批次發(fā)布變更管控配額管理容器鏡像管理運(yùn)維原子操作精細(xì)化調(diào)度單元化能力接入層流程調(diào)撥數(shù)據(jù)層流量調(diào)撥單元化 元數(shù)據(jù)管理應(yīng)用層流量調(diào)撥壓測(cè)/

3、灰度 流量管理彈性流量管理跨集群管理跨集群應(yīng)用 資源管理跨集群發(fā)布策略跨集群狀態(tài) 分發(fā)/匯聚跨集群網(wǎng)絡(luò)多集群管理跨集群鏡像管理藍(lán)綠發(fā)布灰度分組發(fā)布Mesh流調(diào)撥和治理彈性建站/下站容器騰挪/遷移中間件變配（DRM/Scheduler/Message）容災(zāi)切換和恢復(fù)應(yīng)急預(yù)案管理跨機(jī)房和地域統(tǒng)一應(yīng)用運(yùn)維分鐘級(jí)容災(zāi)切換和恢復(fù)全面變更風(fēng)險(xiǎn)管理無限彈性可擴(kuò)展7/20業(yè)務(wù)架構(gòu)同城雙活架構(gòu)兩地三中心架構(gòu)異地多活架構(gòu)產(chǎn)品層云原生 PaaS 產(chǎn)品架構(gòu)方案二、多集群管控9/20多集群管控為什么要有集群聯(lián)邦10/20異構(gòu)屏蔽：底層集群變化；統(tǒng)一管控：業(yè)務(wù)彈性建站管控統(tǒng)一；可擴(kuò)展：多租硬隔離；體量（單集群內(nèi)節(jié)點(diǎn)數(shù) 1

4、w+，Pod 10w+），集群數(shù)量多；多集群管控多集群管控11/20聯(lián)邦核心能力跨集群資源同步Template,Override,Placement 模型;狀態(tài)回流；擴(kuò)展 CRD；跨集群發(fā)現(xiàn)聯(lián)邦架構(gòu)關(guān)系型存儲(chǔ)；數(shù)據(jù)量容災(zāi)基于部署單元分發(fā)多集群管控12/20三、發(fā)布運(yùn)維體系13/20發(fā)布運(yùn)維體系應(yīng)用管理&交付14/20基于統(tǒng)一管控背景下的 Dockerfile 管理和生成；基于組件關(guān)聯(lián)的 FedAppInstance + revision 版本控制；快速構(gòu)建能力 - binary2Image 能力；發(fā)布運(yùn)維體系發(fā)布運(yùn)維體系發(fā)布運(yùn)維理；基礎(chǔ)運(yùn)維能力下沉；原地升級(jí)，分組驅(qū)動(dòng)；流量控制；多應(yīng)用有序發(fā)布

5、；應(yīng) 用 ReleasePipeline 管應(yīng)用依賴項(xiàng)順序；發(fā)布順序；Beta 發(fā)布分組發(fā)布；變更管控能力；15/20發(fā)布流程無損發(fā)布流程控制； 內(nèi)部流量：RPC外部流量：SLB（ALB）DNS發(fā)布運(yùn)維體系 InPlaceSet ControllerPodService/Endpoint ControllerLoadBalancer Controller等待3s執(zhí)行升級(jí)創(chuàng)建 ReadinessGate=true添加Pod IP注 冊(cè) Pod IP 添加finalizerReadinessGate=false刪除Pod ip注 銷 Pod IP 摘除 finalizer處理剩余請(qǐng)求升級(jí)完成Rea

6、dinessGate=true添加Pod IP注 冊(cè) Pod IP 添加finalizerOther protection Controllers添加finalizer發(fā)布完成更新注 銷 Pod IP 摘除 finalizer注 冊(cè) Pod IP 添加finalizer發(fā)布完成16/20安全風(fēng)險(xiǎn)保障17/20審計(jì)追蹤；用戶安全 基于 RBAC 體系和 PaaS 賬號(hào)體系打通；租戶安全 租戶隔離|環(huán)境隔離|集群隔離；容器運(yùn)行時(shí) - 配額|隔離控制（磁盤，CPUSET）；發(fā)布運(yùn)維體系技術(shù)風(fēng)險(xiǎn)保障業(yè)務(wù)變更三板斧發(fā)布運(yùn)維體系Replica/PartitionAllocatorPod A-1Pod A-

7、2Pod A-3Pod A-4Pod A-5Beta Group1st Group2nd GroupInPlaceSet Apartition:1Pod Upgrade機(jī)房A 單元ACafeDeployment精準(zhǔn)分組，自定義拓?fù)銲P不變，無損升級(jí)可適配多種工作負(fù)載InPlaceSetReplicaSetStatefulSet可灰度：應(yīng)用發(fā)布進(jìn)程可控，允許灰度、 分組和 Beta 驗(yàn)證；可回滾：隨時(shí)暫停、回滾，任何變更有 據(jù)可查；可監(jiān)控：接入監(jiān)控告警體系，全程保證 可觀測(cè)性partition:3partition:5InPlaceSetControlle18/20r replica:5技術(shù)風(fēng)險(xiǎn)管控Operato