你問我答：容器篇（1）

數字化時代，數字經濟帶來的巨大優點，讓企業不斷向數字化轉型邁進，企業在IT基礎設施建設、混合多雲管理等領域面臨迫切的轉型與升級，並在這一過程當中遇到較多問題與難題。做爲國內支撐企業數字化轉型的雲計算PaaS技術中臺及多雲管理服務商，博雲時刻關注並深刻了解企業IT建設的需求。

本週起，BoCloud博雲將在微信公衆號開通【你問我答】小欄目，咱們將收集和整理企業在IT建設所遇到的問題與難題，由博雲產品與技術團隊進行鍼對性回答，每週五經過【你問我答】欄目進行發佈，但願能爲企業IT建設提供思路與方法。不管您是哪一個行業的IT建設者，若是您有在容器雲平臺建設、微服務架構轉型、DevOps平臺建設、多雲管理平臺建設等技術方面所遇到的問題，歡迎您直接評論留言提問。

如下是本週問題精選：
01

網友1：容器平臺、微服務平臺、devops平臺在規劃建設的時候如何能有序整合起來？

博雲產品團隊：容器平臺、微服務平臺、DevOps平臺目前是IT系統規劃建設的重點，三個平臺之間某些功能有重合的地方，好比容器平臺自己有CI/CD的功能，那在建設的時候如何能統一進行規範， 各個平臺單獨建設時候的側重點分別是什麼，如何劃分各平臺的邊界，以及如何將三個平臺無縫對接起來？咱們建議： 1. 容器平臺與服務治理在如下維度相同，須要從統一化進行管理： ①應用管理；②服務管理；③實例管理；④聚合管理；採用統一權限中心管理，數據權限與操做權限靈活設置，以用戶+權限定義產品形態和管理範疇。平臺管理重點在於資源管理，租戶管理重點在於應用管理和服務治理能力。 2. 在建設DevOps的過程當中，須要結合企業自身開發運維的流程，與容器雲與微服務治理平臺的結合的過程當中，更多的考慮總體DevOps過程當中須要實現的場景，而不是僅僅考慮CI/CD。

02

網友2：在私有云中，在容器環境下安全區域怎麼劃分，是否設置DMZ區域？

博雲產品團隊：能夠考慮部署多個容器集羣來設置不一樣區域。測試環境、生產環境徹底隔離的狀況下，可考慮建設DMZ區以實現可能須要的鏡像流轉等場景。

03

網友3：集團容器雲如何建設？產品選型及標準上有哪些建議？

咱們集團是一家大型中央企業，屬下業務板塊衆多，有金融板塊（銀行、證券、保險等）、地產板塊、交通物流板塊、工業板塊等，金融板塊IT比較獨立。集團在落實數字化轉型中，提出兩平臺一體系的建設：雲平臺、大數據平臺、數據治理體系。雲平臺建設是基礎，是集團數字化轉型的底座，雲平臺建設重點是PaaS平臺。按照集團信息化的特色及現狀，總部綜合管控系統、下屬公司業務系統等基本採用購置第三方的成熟產品套件，這塊徹底雲化，不太現實，須要第三方廠家產品支持。

關於容器雲建設，這個在傳統行業也剛剛起步，在容器雲建設你們認識不統一：

第一，徹底自研不太現實，資源配置不足；

第二，採用容器雲平臺，行業的軟件提供商在支持容器開發上產品很少。

基於這樣的場景，集團容器雲如何建設？採用k8s+docker是否可以知足將來的雲化需求？行業內的PaaS平臺缺少統一標準，各廠家產品的組件化提供方式不太成熟（組件化輸出爲能力，移植到自有的PaaS平臺）。在產品選型及標準上有什麼好的建議？傳統的應用是否有必要向容器雲分拆成微服務？

博雲產品團隊：在考慮第三方容器雲平臺的選型上，這個問題有不少複雜的影響因素，包括技術和非技術的，不一樣的組織狀況不盡相同。咱們更建議在以下維度進行考察：

1.容器雲的生產案例應用有哪些，平臺生產級能力是否通過了長期有效驗證，第三方團隊的定製化能力，第三方團隊技術賦能和爲貴司團隊培養的能力。2.在技術方面，開源貢獻度如何，底層掌控力是否足夠強。

結合您企業的現狀，在考察PaaS平臺時，咱們建議除了關注容器雲平臺以外，也建議關注考察PaaS平臺中是否有微服務治理平臺及微服務拆分諮詢的經驗與能力。

容器雲平臺可重點考察是否具有多集羣、多租戶體系、統一認證能力、CICD能力、容器化及非容器化全生命週期統一管理的能力、中間件集成能力、網絡方案是否符合貴司組網、安全方案、DevOps能力、應用容器化實施能力，與貴司已有系統對接整合的能力、與基礎設施的融合能力等。

微服務治理平臺可重點考察支持的微服務架構是否與貴司採用的架構一致，組件的性能如何，全鏈路調用鏈分析能力。

PaaS雲平臺既要與底層基礎設施交互，又要支持頂層應用，涉及面和覆蓋面都很是廣，所以建設過程當中與單位內部已有設備、流程等進行結合時須要進行綜合考慮，上述內容僅做拋磚引玉的參考。

04

網友4：金融行業對網絡監管、網絡隔離要求嚴格，而容器提倡扁平化，如何考慮網絡安全、隔離？

博雲產品團隊：藉助網絡命名空間，各個容器集合都能得到本身所要綁定的 IP 和端口範圍，所以能使節點上的容器集網絡相互分隔開；利用路由器或防火牆的方法來控制出口流量的容器平臺，以便利用 IP 白名單來進行控制（例如控制數據庫訪問）。 SDN思路，基於2層網絡方案，集羣內外網絡打通，實現容器重啓IP地址不變，指定IP地址發佈服務，控制平面數據平面分離，網絡隔離等。

05

網友5：傳統架構模式和雲與docker模式結合後如何解決網絡和SDN的問題？

博雲產品團隊：可使用二層網絡解決與SDN網絡對接的問題。咱們已經和多家客戶進行過深刻溝通，市面上主流的CNI插件對客戶需求的支持並不理想，難以同時知足各類網絡需求，集中體如今內外網互通、管理業務網絡分離、靈活的網絡隔離機制、易於運維管理和調試等問題上，咱們本身基於openVswitch(OVS)自研一個Kubernetes CNI插件來解決這些痛點問題。 選擇OVS的緣由是，在主流的二層網絡方案bridge、macvlan、OVS中，OVS的功能更加豐富，同時在主流的雲技術平臺中有着大量的應用，經受了足夠的考驗。咱們的方案具備簡單易用、支持underlay模式、支持固定IP地址、性能損耗低等特性，重點解決微服務上雲過程當中集羣內外互相直接通訊的問題，可讓企業落地容器雲平臺的複雜度大大下降。業務遷移到容器雲後幾乎感知不到基礎設施從虛擬化到容器化變動帶來的變化。這種部署模式能夠很好的支持中間件和數據庫在Kubernetes集羣外部署，應用跑在Kubernetes集羣內，或者微服務系統註冊中心在虛擬機環境下部署但微服務跨集羣內外部署，等須要Kubernetes內外直接互通的場景。

具體能夠參考：

容器網絡插件那麼多，博云爲何基於OVS深度自研？請添加連接描述

爲何咱們要自主開發一個穩定可靠的容器網絡請添加連接描述

點擊BoCloud博雲_以創新雲技術 爲效率而進化請添加連接描述，獲取更多產品及案例信息。