基于容器的云原生PaaS 平臺實踐研究

林峰LIN Feng

（中國電信股份有限公司福州分公司，福州350001）

0 引言

未來五年是5G 和云的五年，中國電信集團適時啟動了云改戰略，以云改為抓手，深入推進云網融合。IT 系統全面上云是中國電信云改重要組成部分，是用數和賦智基礎。為全面開展、扎實推進系統上云工作，中國電信提出了IT全面上云的策略，新建系統100%上云，存量系統三年上云，2020年啟動上云工作，2021年推進規模上云，2022年實現全面上云，實現IT 系統全面上云，并掌控核心上云能力。

云原生應用是當前互聯網化需求與IT 基礎技術高速發展相結合的產物。未來的企業將更強調個性化發展。而這種應用需求的改變，帶來的最直接結果就是IT 基礎設施的調整，IT 系統支撐能力是否足夠敏捷，這就是云原生存在的重要價值，也是最需要解決的問題。

云原生技術幫助企業和機構在公有云、私有云和混合云等新型動態環境中，構建和運行可彈性擴展的應用。云原生的代表技術包括容器、服務網格、微服務、不可變基礎設施和聲明式API。這些技術能夠構建容錯性好、易于管理和便于觀察的松耦合系統。結合可靠的自動化手段，以Kubernetes 平臺為核心的云原生技術越來越成為IT 系統上云的重要技術手段。在企業上云后，構建全新云化架構的研發、實施、運維全生命周期，打造適合在云上運行的云化架構新應用，解決傳統架構下企業信息化的痛點，業務交付周期長、研發質量管理混亂、實施運維效率低下、IT系統成為業務瓶頸、IT 系統架構缺乏彈性、缺乏可靠性依賴應用設計。構建云原生PaaS 平臺，對資源與用戶進行統一納管的需求越來越強烈，將是下一個業務爆發點。

1 企業IT 上云階段架構演變

IT 系統上云一定不是簡單的產品或者云遷移動作，是一個分階段實施的全面規劃，使得IT 系統架構全面云化，充分發揮云計算的優勢。可按不同系統和需求分階段實現。

①基礎設施的虛擬化，遵循遏增量，遷存量，充分利舊的原則，先實現系統初步遷移上云。

②IT 架構的云化，通過“應用+平臺”的設計理念進行IT 云改，引入PaaS 平臺能力層，同時平臺實現以PaaS 組件（中間件）為管理單元，通過細分角色，集中解決多租戶資源隔離、組件接入流程管理、組件配置中心等關鍵問題。

③打造云原生應用，實現“精細化服務”“即時服務”“按需服務”等關鍵能力。構建全新云化架構的研發、實施、運維全生命周期，打造適合在云上運行的云化架構新應用。

基礎架構的演變可以說伴隨著時代的變遷，從基礎架構、服務器，到虛擬化，再到IaaS、PaaS，這其中基礎架構的演進是越來越靈活、低成本、維護簡便、易獲取。云原生PaaS 平臺架構是在這路線上，基于微服務、DevOps、持續交付、容器化等技術繼續演進。

2 基于容器的云原生PaaS 平臺的總體設計

基于生態完善的云原生平臺，可以實現多租戶、自動化、自服務、動態彈性、云資源有效管控的統一云門戶，并支撐DevOps 開發運營一體化的落地實施，幫助企業簡化部署、監控、運維等應用生命周期管理工作，打造一站式企業級PaaS 運行環境，實現“精細化服務”、“即時服務”、“按需服務”等關鍵能力。

基于容器技術打造云原生PaaS 平臺，為企業信息化上云提供PaaS 能力，結合DEVOPS 流程和工具，提供符合系統上云的云原生一體化解決方案。云原生PaaS 平臺架構如圖1。

①微服務研發框架，基于系統模塊之間低耦合+高內聚的軟件研發模式，將單一應用程序劃分成一組小的應用服務，應用服務之間相互協調、互相配合。每個應用服務是基于Restful API 的接口進行通信，并且可以被獨立部署、更新、運行。

圖1 云原生PaaS 平臺架構

②DevOps 持續集成、持續交付，基于研發運維一體化協作模式，依托自動化發布管道、CI 等工具鏈，快速部署到生產環境，實現構建、測試、發布軟件能夠更加地快捷、頻繁和可靠。

③基于容器和kubernetes 的原子能力，容器技術不僅能提高現有應用的安全性和可移植性，無需關心每個服務所使用的技術棧，每個服務都被無差別地封裝在容器里，可以被無差別地管理和維護還能節約成本。

容器服務可讓開發者打包相關應用以及依賴包到一個可移植的容器中，然后發布到其他的機器上。通過容器服務可提供高性能可伸縮的應用管理服務，提供多種應用發布方式和流水線般的持續交付能力，通過容器加速應用管道自動化和應用部署。

3 基于容器的云原生PaaS 平臺的模塊設計

云原生PaaS 平臺基于微服務、DevOps、容器化等能力，實現租戶資源隔離、多樣化組件市場服務、復雜網絡管理、滾動升級發布、DevOps 持續交付、彈性伸縮架構、集中統一監控。

3.1 租戶資源隔離

為保證資源的安全性及高性能，各應用、建立的數據庫等需相互隔離。在多租戶環境下，平臺可實現租戶資源的IaaS 統一管理。將接入容器的資源實現按需分配，并支持多租戶間的資源隔離管理，如圖2。

圖2 多租戶管理

多租戶管理提升安全性，降低因共享物理設備帶來的風險，如突破虛擬化邏輯隔離而竊取其它租戶的機密信息。通過租戶應用的自動調度部署與資源隔離，防止因某一應用占用過多資源對其他應用的性能造成干擾。

3.2 多樣化組件服務

多樣化的組件服務，主要提供數據庫服務、應用測試服務、代碼托管服務等服務，對應用提供支撐服務與管理，能將現有各種業務能力進行整合，向下根據業務能力需要測算基礎服務能力，通過IaaS 提供的API 調用硬件資源，向上提供業務調度中心服務，實時監控平臺的各種資源，并將這些資源通過API 開放給上層用戶。

3.3 復雜網絡管理

信息系統間也存在復雜的網絡關系需要統一管理，云原生PaaS 平臺將所有應用的用虛擬網絡連接起來，集群中所有應用，無論是節點內還是跨節點，都可以直接通信。

基于Network Policy 的網絡隔離策略，云原生PaaS 平臺提供實現按租戶級網絡隔離，即不同租戶的應用不相通，租戶內的應用網絡互通，如圖3 租戶網絡隔離。

圖3 租戶網絡隔離

3.4 滾動升級發布

應用系統需要在不影響用戶使用的前提下完成應用的版本更新，實現零停機、零感知、隨時回滾。應用鏡像變更時，自動備份當前應用信息生成相應版本，可隨時對應用版本進行回滾。應用在進行升級時，會逐一對服務進行更新升級，直至所有服務都更新完畢，避免造成更新過程中服務不可用，如圖4 滾動升級發布。

圖4 滾動升級發布

3.5 DevOps 持續交付

通過Kubernetes 平臺實現自動完成從代碼提交到應用部署的DevOps 完整流程，替代部署復雜、迭代緩慢的傳統方式，提高企業代碼交付和部署的效率。如圖5 DevOps持續交付。

圖5 DevOPS 持續交付

3.6 彈性伸縮架構

當業務高峰時，信息系統的并發業務量將激增，傳統架構下的應用運維人員需及時根據訪問量實現應用的擴容，保證系統運行。基于容器的云原生PaaS 平臺根據CPU，Memory 使用率指標以及通過定時調度自動對業務擴容/縮容，不需人工干預，避免流量激增擴容不及時導致系統掛掉，及平時大量閑置資源造成浪費，如圖6 彈性伸縮架構。

圖6 彈性伸縮架構

3.7 集中統一監控

運維人員需對集群中的主機、組件等進行統一監控及維護，提供直觀展現健康狀態、自定義組件告警規則、告警日志統一查詢等服務。

4 結束語

基于容器技術的云原生PaaS 平臺在企業信息系統上云過程中提供IaaS 資源隔離、網絡管理、DevOps 持續交付、容器服務、自動擴縮容、PaaS 組件服務、實時監控等關鍵能力，實現部署上線時間分鐘級別，擴縮容秒級別，PaaS 組件快速部署，彈性伸縮架構實時感知業務應用負載，提升主機與應用監控與告警等功能。平臺顯著提升了技術自主掌控能力同時，實現運維生產降本增效，提升了客戶感知，有效提高了企業形象，具有顯著的社會效益和經濟效益。