前锋
2018年,国家工业和信息化部发布的《推进企业云接入实施指南》的通知明确指出:“到2020年,力争进一步优化企业云接入环境,显著提高行业内企业的认知度和积极性,显著提升云接入比例和应用深度。云计算在企业生产经营管理中的应用广泛普及,全国新增云接入企业100万家,形成典型标杆应用案例100个以上,形成一批有影响力的企业。可见企业云已经上升为国家政策。
g银行从2012年开始积极探索云计算的前沿技术。经过多年的持续建设,建立了贯穿基础设施、技术中间平台、业务平台的安沃云工程体系。从最初面向资源敏捷的私有云阶段,到面向技术赋能的平台云阶段,再到现在面向安全、可控、业务使能的全栈云阶段,“应用云”一直是G行的重点研究方向,作为G行123+N数字银行开发系统的云计算平台,全栈云平台于2021年正式投入运营。以下文章将重点介绍全栈云的云规划设计,分享将云应用于G-bank的理论方法和实践经验。
首先,应用云总体规划理念
G.全栈云应用的整体规划设计将从云上原理、云上设计、云上执行三个层面进行。云上原则主要是指企业在云上工作之前,为实现云上目标而制定的一系列指导策略和意见。云上设计是指围绕云上原则设计的云上指导方案,云上执行是指根据云上指导方案围绕云上应用进行的一系列生产活动。综上所述,云上原则用于指导云应用的整体规划,云上设计用于指导云应用的方案制定,云上实施用于支撑云上原则和云上设计的最终实施。
图1云规划系统的应用
二。攀云原理
G银行从自身业务发展战略出发,通过制定务实的上云目标、选择合理的上云策略、多维度的上云视角分析,推导出新兴阶段云应用的总指导原则。
1所有应用系统“应该在”全栈云之上
原则上所有应用系统都要上全栈云,首选容器化云模式。不能上云的业务系统要具体情况具体分析,分析不能上云的原因。如果由于全栈云平台的支持能力和兼容性,他们不能上云,可以单独备案。如果是应用系统本身的问题,它们需要进行相应的改造才能上云。
2.不允许构建全栈云的现有服务能力。
全栈云平台提供多种规格的IaaS和PaaS云服务。应用系统在上云过程中应优先调用全栈云平台提供的云服务能力。原则上自建相关组件,如安全、备份、容灾、关系数据库、容器等。,是不允许的。如果全栈云平台不能提供业务系统所需的服务能力,允许备案后自建。
3按需申请全栈云资源
应用系统在申请全栈云服务资源时,应遵循“最小规格、按需使用”的基本原则,根据业务系统处理的业务量、用户数和并发用户数,合理申请资源的规格和数量。
三。云设计1进行云研究。
对于新系统上的云,研究重点是应用架构设计和服务能力需求。在应用架构设计和RD过程中,应适应全栈云平台架构,充分利用其云服务能力,避免上层应用与底层平台架构不匹配或平台能力重复建设。
对于股票系统上云,需要对股票系统的现状进行全面的分析和收集。基于业务需求,分析应用系统上云的必要性、可行性和难点,包括系统状态调查、架构、资源排序等。具体流程请参考下图。一是评估系统迁移是否符合监管要求,确认是否有相关技术架构要求,是否能满足要求;其次,要考虑系统迁移的难度、时间、成本和资源需求;最后,综合考虑应用系统的架构、流程、边界、资源和非功能,制定迁移策略和方案。
图2云研究流程图
2识别关键的技术变化
图3传统环境和全栈云环境的比较
全栈云体系下的云服务,无论是产品功能还是使用方式,都与现有平台有很大差异,这使得传统的应用云解决方案并不适合全栈云场景。这对习惯了传统云解决方案的开发者和运维人员提出了巨大的挑战。差异体现在以下几个方面:
2.1两层网络与三层网络
g银行目前采用两地三中心的标准容灾架构。传统网络通过DCI覆盖封装技术将同一城市的两个物理数据中心整合为一个逻辑数据中心,业务可以跨同一网段的中心部署。在全栈云体系下,各个数据中心的网络架构相互独立,通过云汇聚交换机实现数据中心之间的三层互联,即部署在不同数据中心的应用实例不再处于同一网段。这种变化直接导致了浮动IP实现跨中心主备切换、F5实现跨中心负载均衡等原有技术方案的失效。
2.2网络安全域隔离与虚拟私有云隔离
G银行目前主要是划分网络安全域,配合网络安全控制策略和防火墙设施,实现全行网络安全防护。虽然跨网络安全域的访问请求受到防火墙的严格限制,但实际上不同网络安全域的地址是可以互相到达的。全栈云利用虚拟私有云实现系统间的隔离。因为VPC的网络地址是私有地址,而VPC以外的地址是默认不可达的,所以不同VPC之间的网络自然是隔离的。
2.3物理网络通信地址与虚拟机专用网络地址
在传统的G线网络环境下,所有的IP地址都是真实的物理地址,地址之间的通信不需要复杂的地址转换。目前全栈云应用使用的云网主要是VPC专网,同一个VPC内的网络地址默认可以互相到达,VPC内外的地址默认不能互相到达。通常,VPC内外的网络地址通信只能通过EIP的NAT转换来实现。
2.4服务访问的IP地址与DNS域名
g,传统二层网络,支持使用跨中心浮动IP地址或负载均衡IP地址,实现统一门户访问。因此,在传统环境下,应用程序倾向于使用IP地址来实现数据库、缓存和批处理等服务集成。全栈云是三层网络架构,各个数据中心的服务实例不再在同一个网段。因此,在大多数情况下,必须使用DNS域名来实现对服务的统一访问。
3云方案设计
应用云主要是指应用系统运行的全部或部分资源载体由云平台提供、调度和管理。根据全栈云系统中资源载体的类型,云应用方式可分为容器化云、虚拟机云、裸机云、混合云。具体的云设计方案如下:
3.1云上的容器化
Cloud-on-container是指将应用访问层和应用逻辑层封装在一个容器中,通过云平台自动部署和发布。如果采用容器化的云模式,系统需要实现本地持久化的数据转储,即业务逻辑和业务数据的解耦。系统的所有非结构化数据、缓存数据和结构化数据都不能位于本地或本地,而应该存储在共享存储或数据库中。
图4集装箱化云示意图
如上图所示,代理服务层可以使用全栈云弹性负载均衡器对应现有环境的负载均衡器;应用层可以部署一些小服务模块,比如Web服务、小程序服务等。,需要快速发布、灵活扩展、故障自愈,全栈云上的容器平台。应用运行所依赖的中间件都使用全栈云或云主机部署中间件提供的中间件PaaS服务;数据层可以在全栈云上使用分布式云数据库或云主机部署数据库软件,对应现有环境数据库;存储层可以使用全栈云的块存储服务、对象存储服务和文件存储服务来对应现有的集中式SAN存储和NAS存储。
3.2虚拟机上的云
云上虚拟机是指云平台的虚拟化环境所支持的业务系统的IT子系统。如果新的应用在虚拟机上使用云,应用代码层面和传统方式没有区别。
图5虚拟机上的云图
如上图所示,代理服务层可以使用全栈云弹性负载均衡器对应现有环境的负载均衡器;应用层可以使用全栈云上的云主机对应现有环境中的虚拟机、物理机和小型机;数据层可以在全栈云上使用分布式云数据库或云主机部署数据库软件,对应现有环境的数据库;存储层可以用全栈云的块存储服务、对象存储服务和文件存储服务替代现有的集中式SAN存储和NAS存储。
3.3裸机上的云
裸机云类似于云上虚拟化。通过全栈云平台实现物理主机自动分配,支持自动化网络服务和硬盘管理。它主要用于以下场景:
核心数据库场景:一些客户要求他们的关键数据库服务不能部署在虚拟机上,而必须托管在具有独占资源、网络隔离和有保证的性能的物理服务器上。高性能计算场景:超算中心、基因测序、图形渲染等高性能计算场景。,处理大量数据,对计算性能、稳定性、实时性等要求很高。,而且无法承受虚拟化带来的性能损失和超线程的影响。以及安全监管的高要求:金融、证券行业对业务部署的合规性要求,以及部分客户对数据安全的严格要求,只能通过物理服务器进行部署,保证资源专属、数据隔离、监管可追溯。
3.4混合云
混合上云是指业务系统使用上述两种或两种以上的上云模式。主要针对技术架构复杂、上云模式单一无法满足技术架构和业务发展要求的业务系统。可以根据不同模块的需求选择合适的上云方式,不做详细说明。
摘要
云应用是一个庞大而复杂的任务,没有所谓的通用解决方案可以满足所有企业的云需求。因此,本文重点通过G线全栈云的云规划和云设计,分享G线云应用的理论方法和实践经验,希望帮助读者结合自身的云环境,用一些常用的云方法论,形成最佳的云实践。
