你問我答：容器篇（1）

數字化時代，數字經濟帶來的巨大優勢，讓企業不斷向數字化轉型邁進，企業在IT基礎設施建設、混合多雲管理等領域面臨迫切的轉型與升級，並在這一過程中遇到較多問題與難題。作為國內支撐企業數字化轉型的雲端計算PaaS技術中臺及多雲管理服務商，博雲時刻關注並深入瞭解企業IT建設的需求。

本週起，BoCloud博雲將在微信公眾號開通【你問我答】小欄目，我們將收集和整理企業在IT建設所遇到的問題與難題，由博雲產品與技術團隊進行針對性回答，每週五透過【你問我答】欄目進行釋出，希望能為企業IT建設提供思路與方法。無論您是哪個行業的IT建設者，如果您有在容器雲平臺建設、微服務架構轉型、DevOps平臺建設、多雲管理平臺建設等技術方面所遇到的問題，歡迎您直接評論留言提問。

以下是本週問題精選：

01

網友1：容器平臺、微服務平臺、devops平臺在規劃建設的時候如何能有序整合起來？

博雲產品團隊： 容器平臺、微服務平臺、DevOps平臺目前是IT系統規劃建設的重點，三個平臺之間某些功能有重合的地方，比如容器平臺本身有CI/CD的功能，那在建設的時候如何能統一進行規範， 各個平臺單獨建設時候的側重點分別是什麼，如何劃分各平臺的邊界，以及如何將三個平臺無縫對接起來？我們建議： 1. 容器平臺與服務治理在以下維度相同，需要從統一化進行管理： ①應用管理；②服務管理；③例項管理；④聚合管理；採用統一許可權中心管理，資料許可權與操作許可權靈活設定，以使用者+許可權定義產品形態和管理範疇。平臺管理重點在於資源管理，租戶管理重點在於應用管理和服務治理能力。 2. 在建設DevOps的過程中，需要結合企業自身開發運維的流程，與容器雲與微服務治理平臺的結合的過程中，更多的考慮整體DevOps過程中需要實現的場景，而不是僅僅考慮CI/CD。

 

02

網友2：在私有云中，在容器環境下安全區域怎麼劃分，是否設定DMZ區域？  

博雲產品團隊： 可以考慮部署多個容器叢集來設定不同區域。測試環境、生產環境完全隔離的情況下，可考慮建設DMZ區以實現可能需要的映象流轉等場景。

 

03

網友3：集團容器雲如何建設？產品選型及標準上有哪些建議？

我們集團是一家大型中央企業，屬下業務板塊眾多，有金融板塊（銀行、證券、保險等）、地產板塊、交通物流板塊、工業板塊等，金融板塊IT比較獨立。集團在落實數字化轉型中，提出兩平臺一體系的建設：雲平臺、大資料平臺、資料治理體系。雲平臺建設是基礎，是集團數字化轉型的底座，雲平臺建設重點是PaaS平臺。按照集團資訊化的特點及現狀，總部綜合管控系統、下屬公司業務系統等基本採用購置第三方的成熟產品套件，這塊完全雲化，不太現實，需要第三方廠家產品支援。

關於容器雲建設，這個在傳統行業也剛剛起步，在容器雲建設大家認識不統一：

第一，完全自研不太現實，資源配置不足；

第二，採用容器雲平臺，行業的軟體提供商在支援容器開發上產品不多。

基於這樣的場景，集團容器雲如何建設？採用k8s+docker是否能夠滿足未來的雲化需求？行業內的PaaS平臺缺乏統一標準，各廠家產品的元件化提供方式不太成熟（元件化輸出為能力，移植到自有的PaaS平臺）。在產品選型及標準上有什麼好的建議？傳統的應用是否有必要向容器雲分拆成微服務？

博雲產品團隊 ：在考慮第三方容器雲平臺的選型上，這個問題有很多複雜的影響因素，包括技術和非技術的，不同的組織情況不盡相同。我們更建議在如下維度進行考察：

1.容器雲的生產案例應用有哪些，平臺生產級能力是否經過了長期有效驗證，第三方團隊的定製化能力，第三方團隊技術賦能和為貴司團隊培養的能力。2.在技術方面，開源貢獻度如何，底層掌控力是否足夠強。

結合您企業的現狀，在考察PaaS平臺時，我們建議除了關注容器雲平臺之外，也建議關注考察PaaS平臺中是否有微服務治理平臺及微服務拆分諮詢的經驗與能力。

容器雲平臺可重點考察是否具備多叢集、多租戶體系、統一認證能力、CICD能力、容器化及非容器化全生命週期統一管理的能力、中介軟體整合能力、網路方案是否符合貴司組網、安全方案、DevOps能力、應用容器化實施能力，與貴司已有系統對接整合的能力、與基礎設施的融合能力等。

微服務治理平臺可重點考察支援的微服務架構是否與貴司採用的架構一致，元件的效能如何，全鏈路呼叫鏈分析能力。

PaaS雲平臺既要與底層基礎設施互動，又要支援頂層應用，涉及面和覆蓋面都非常廣，因此建設過程中與單位內部已有裝置、流程等進行結合時需要進行綜合考慮，上述內容僅作拋磚引玉的參考。

04

網友4：金融行業對網路監管、網路隔離要求嚴格，而容器提倡扁平化，如何考慮網路安全、隔離？

博雲產品團隊：藉助網路名稱空間，各個容器集合都能獲得自己所要繫結的 IP 和埠範圍，因此能使節點上的容器集網路相互分隔開；利用路由器或防火牆的方法來控制出口流量的容器平臺，以便利用 IP 白名單來進行控制（例如控制資料庫訪問）。 SDN思路，基於2層網路方案，叢集內外網路打通，實現容器重啟IP地址不變，指定IP地址釋出服務，控制平面資料平面分離，網路隔離等。

05

網友5：傳統架構模式和雲與docker模式結合後如何解決網路和SDN的問題？

博雲產品團隊：可以使用二層網路解決與SDN網路對接的問題。我們已經和多家客戶進行過深入溝通，市面上主流的CNI外掛對客戶需求的支援並不理想，難以同時滿足各種網路需求，集中體現在內外網互通、管理業務網路分離、靈活的網路隔離機制、易於運維管理和除錯等問題上，我們自己基於openVswitch(OVS)自研一個Kubernetes CNI外掛來解決這些痛點問題。 選擇OVS的原因是，在主流的二層網路方案bridge、macvlan、OVS中，OVS的功能更加豐富，同時在主流的雲技術平臺中有著大量的應用，經受了足夠的考驗。我們的方案具有簡單易用、支援underlay模式、支援固定IP地址、效能損耗低等特性，重點解決微服務上雲過程中叢集內外互相直接通訊的問題，可以讓企業落地容器雲平臺的複雜度大大降低。業務遷移到容器雲後幾乎感知不到基礎設施從虛擬化到容器化變更帶來的變化。這種部署模式可以很好的支援中介軟體和資料庫在Kubernetes叢集外部署，應用跑在Kubernetes叢集內，或者微服務系統註冊中心在虛擬機器環境下部署但微服務跨叢集內外部署，等需要Kubernetes內外直接互通的場景。

 

具體可以參考：

容器網路外掛那麼多，博云為什麼基於OVS深度自研？

點選 BoCloud博雲_以創新雲技術 為效率而進化 ，獲取更多產品及案例資訊。