使用易捷行云EasyStack云原生基础设施解决方案
过去十年,云计算已经作为支撑基础设施与企业数字化转型的关键技术,并且正在由迁移上云向深度用云过度。云上应用也由迁移应用过程中以资源为核心来构建云基础设施,逐步向以应用为核心构建云原生化的基础设施。常规堆叠构建的IAAS+PAAS平台一方面,云原生编排引擎的引入需要的资源与形态受IAAS架构限制,对于计算、网络、存储、安全都存在依赖与架构影响,也带来了额外的管理与运维成本,更重要的是,对于云原生应用,仍然存在稳态与敏态云原生应用的落地需求。
易捷行云云原生基础设施以支撑云原生应用为设计目标,基于创新的数字原生引擎,为云原生应用提供所需要的多元算力,智能调度并保障资源隔离与安全,同时提供产品化的基础设施生命周期管理、监控、运维能力,通过OTA保持能力的不断迭代与更新。易捷行云云原生基础设施,以更加灵活的软件定义的产品形态与架构,支撑敏捷的应用开发方式,通过持续迭代交付,帮助企业快速构建高质量的软件产品,通过云与云原生技术的结合,支撑包括协作开发、数据分析等场景,帮助企业快速响应变化的市场与竞争。
裸金属部署kubernetes情况下,您会面临以下挑战
*操作系统与平台软件的稳定性强相关 裸金属部署Kubernetes,需要与主机操作系统有深度整合,不同厂商操作系统针对硬件、软件Kubernetes、计算、存储、网络虚拟化支撑不同,系统稳定性面临挑战。
*容器安全性挑战 容器直接运行在裸金属上,一方面获得了更优的性能,另一方面由于runc运行时共享内核的特性,集群运行的稳定性与安全性受到挑战。
*仅有Kubernetes是不够,网络与存储也是挑战 Kubernetes原生网络虽然提供多种CNI并支持CSI,但是没有完整的软件SDN能力以及与业务需求匹配的存储能力,这两部分也是业务云原生化需要着重考虑的问题。
*不可变基础设施 以往基础设施由于计算、存储、网络的易构性与多样性,常常以堆叠式通过多套软件完成基础设施建设,软件一旦交付即停滞在某个版本,无法跟随应用的发展进行配置与更新,满足基础设施即代码的目标成为挑战。
*安装部署复杂 虽然虽然有诸多开源工具辅助安装,但搭建一套能应对裸金属 K8s 平台还是十分复杂的,如何自动化完成平台的部署、扩容成为挑战。
*监控管理运维复杂 由于云原生应用叠加基础设施服务的复杂度,监控、管理、资源分配与调度较比虚拟化要更为复杂,需要更加全面、一体化的监控管理与运维能力。
*组件选型复杂,隐形成本高 构建、维护一套分布式复杂系统的人才、时间、效率、技能要求高,云原生功能组件选型复杂,组件碎片化高、成熟度低,同时单单维护kubernetes 是不够的,如CI/CD、网络、存储、系统、安全等配置都需要投入精力。
*权限模式简单,无法满足企业应用需求 原生Kubernetes仅通过namespace进行隔离,如果构建更加细粒度的访问与控制系统成为云原生落地的一大挑战。
首先,易捷行云云基础设施解决方案之上的Kubernetes容器服务,提供以云主机(虚拟机)为基础的Kubernetes容器集群,容器网络、存储与编排能力依赖于云主机,并依赖于内生的身份与访问管理IAM,具备多租户,便捷构建等特点,但与此同时,随着云原生应用的更加广泛的普及,对于以容器为主的算力的安全性、性能要求逐步提高,并且分层构建所带来的功能冗余与管理复杂也随着基础设施规模增大而愈加明显。
构建云原生基础设施单独使用开源Kubernetes或商业Kubernetes是不够的,易捷行云云原生基础设施方案,基于数字原生引擎EOS,直接在裸金属(x86/Arm架构服务器)进行构建,提供包括操作系统在内面相云原生应用设计的多元算力、云原生存储、云原生网络、监控、管理、运维、安全等核心基础设施能力,以Kubernetes作为统一调度引擎,在提升性能的同时,也通过安全容器、访问与控制管理、云原生SDN网络保障了权限、资源与网络的隔离能力。
易捷行云数字原生引擎EOS包含裸金属操作系统ESCL、分布式存储系统ESS、自动化中心ECAS、OTA、身份与访问控制IAM等关键基础设施服务,结合云开放平台ECP,将整个数据中心中的硬件基础设施进行抽象,通过可进化架构构建能力可组合的场景化云平台。
ESCL负责为单台物理服务器和其内部资源进行抽象与封装,同时提供基础计算算力(虚拟化、容器)、网络虚拟化能力、存储虚拟化能力,同时面对异构CPU架构能够提供提供 EOS 调度的统一接口,也是能够具备一云多芯能力的基础与重要组成部分。
分布式存储系统ESS 作为云原生基础设施解决方案,内生提供面相云原生的分布式存储系统ESS,较比传统应用所用的存储而言,云原生存储具备更多特性:
提供PVC声明的块存储与高性能云存储接口,方便应用按需使用。
控制平面与业务平面的性能要求,通过内生的分布式存储系统ESS作为基础设施块设备的统一封装,通过块存储服务与高性能云存储服务作为向云原生应用提供多种CSI的存储能力。
自动化中心ECAS 作为云原生基础设施的自动化引擎,自动化中心ECAS将整个数据中心基础设施抽象为一台计算机,作为这台计算机的firmware,包括基础设施设备的发现、驱动管理,集群安装、部署、扩容,配置更新等一系列工作完全交由自动化中心完成,并将其抽象为基础设施描述文件,充分发挥Design for failure以及静态描述与运行时统一的设计理念,基于开源生态产品化的工程技术过程,易捷行云将复杂的系统配置交给软件完成,减少用户在管理基础设施工作上花费的时间,将主要工作聚焦在应用的创新。
OTA OTA(Over The Air)是指通过无线网络无需人工协助即可完成整个系统软件更新、参数配置、固件升级的一项技术,在不具备OTA能力的系统中这些操作需要通过原厂专业人员介入并需要较长时间才能完成。OTA实现了无人化或低参与度完成系统所有升级、配置、固件升级等工作,帮助用户在可控前提下降低维护成本,高度自动化不仅仅提升效率,更关键的是避免人为参与可能带来的失误,使得整个不再受限于软件版本的限制,某种意义上实现云平台永续生命周期。 在云原生基础设施场景下,OTA将更多地围绕安全加固,软件升级,能力更新,让云原生基础设施与应用一同高速演进。
身份与访问控制IAM 身份和访问管理是一个框架,用于为企业Web应用程序,API,企业用户生命周期管理和企业应用程序对外部用户/供应商的访问权限实施额外的安全层。其可以控制基于用户或角色的企业应用程序的访问,并启用单点登录以实现与集成身份与访问管理的企业应用程序无缝地进行用户身份验证。它验证用户访问请求,并且可以授予或拒绝对整个企业范围内受保护的Web和应用程序资源的权限。
易捷行云在云原生基础设施方案中提供一系列的可选择云产品与服务,通过云原生标准语义的应用封装,提供一致性的可选择的产品与服务集合,方便基础设施根据业务形态规划与之匹配的云原生基础设施。
云计算基础设施由过去单一服务器架构到虚拟化基础设施架构已经基本完成建设,随着云原生应用的加速普及,对于基础设施的建设提出了新的挑战。同时,数据中心已经存在基础设施虚拟化软件,如何完成渐进式建云,并保持基础设施不断的向前演进,由资源驱动向应用驱动转型都成为企业拥抱云原生所要考虑的关键问题。
分层分批建设带来基础设施的管理复杂度直线上升
云原生应用的快速普及加快了kubernetes集群在数据中心的使用,集群大多部署在虚拟机上,随着应用的不断成熟,裸金属提供Kubernetes逐渐成为主流,随之带来的针对基础设施与云原生技术的融合带来更多的管理与运维的复杂度。
分布式替代集中式,从虚拟化到云原生,渐进式建云成为重心
云计算的发展演变经历了虚拟化、虚拟化+云管、超融合、云平台的演变。云原生的出现,如何通过统一的基础设施带来裸金属、虚拟化与云原生能力,同时解决统一网络、存储、监控、管理问题成为关注的重心。
存储与网络的一致性 当考虑裸金属部署的云原生基础设施时,存储与网络的选择变成了新问题,传统的物理网络与集中式存储将不再符合云原生基础设施的要求。
基础设施软件的升级与架构的演进 由于运行在裸金属上的云原生基础设施要求更加稳定,但同时也要解决包括版本与安全基线的问题,能够完成从操作系统到云产品与服务的一体化升级将成为数据中心下一阶段考虑的重点问题。
随着开源生态的高速发展,应用所需要的架构与形态不断发生变化,对于基础设施的要求再以渐进式方式不断向前演进,应用的算力要求也从过去的只有裸金属、虚拟机向容器、微服务转型,基础设施要同时提供多种能力。
安全容器使用场景 安全容器提供了敏捷安全的容器运行时服务,云原生基础设施默认提供以安全容器作为主要运行时的裸金属Kubernetes 环境,产品内部使用安全沙箱容器技术,具有虚拟机级别的安全和资源隔离能力。
为什么使用安全容器? 由于云原生基础设施作为支撑云原生业务的主要平台,对于集群的稳定性、可靠性、资源隔离与安全性,对比虚拟机运行的Kubernetes容器服务要求更高。 安全容器原生具备内核隔离的技术架构,能够有效防止应用中的恶意代码的逃逸,同时能够有效限制资源的过度使用。 兼容Kubernetes 语义,作为云原生基础设施的主要容器运行时,安全容器支持绝大部分Kubernetes语义,方便业务的构建与迁移,保持云原生体验的基础上还能够提供额外的隔离性。了解更多
runc容器使用场景 作为云基础设施的第二种容器运行时,多在测试或对业务稳定性要求不高的情况下使用,建议通过云主机运行的租户隔离的更加灵活的Kubernetes 容器服务。
易捷行云EKS容器服务提供了面相企业优化的Kubernetes管理视图,支持通过镜像、Chart模板、Yaml导入、自动化流水线等多种容器部署方式,了解更多。
云原生基础设施方案中,EKS容器服务提供了全面的Kubernetes资源管理,并且通过数字原生引擎,支持一云多芯,您可以在x86或Arm架构服务器上构建云原生基础设施。 通过一体化的资源管理与隔离策略,结合安全容器与云原生云主机算力,提供丰富的云原生调度能力,结合DevOps服务实现从代码到应用的现代化应用开发流程。 EKS容器服务提供管理视图与业务视图,结合自动化中心与监控服务,方便从新一代基础设施运维者、应用开发运维者到应用开发者不同角色完成从云原生基础设施规划、管理、配置、监控到应用生命周期的管理工作。
应用编排 支持通过界面或导入 Yaml 方式创建应用,在研发、运维、测试或生产环境中运行不同类型的业务。平台的应用(Application)作为 Kubernetes 的 CRD 资源,由一个或多个关联的工作负载组成,支持不同的部署和使用需求,可添加的负载类型包括 Deployment、DaemonSet 和 StatefulSet,并支持网络、存储、监控、健康检查以及其它配置,实现对资源的统一编排和管理。
工作负载 EKS容器服务对于 Kubernetes 生态拥有良好的支持和兼容性,支持 Kubernetes 原生工作负载资源管理,并支持原生资源上浮到应用管理;支持已有 Yaml 原生资源导入、导出,轻松实现业务无间断迁移。用户可通过界面或 Yaml 创建和管理的工作负载包括部署(Deployment)、有状态副本集(StatefulSet)、守护进程集(DaemonSet)、任务(Job)、定时任务(CronJob)等。 其中工作负载管理提供对容器应用的全生命周期管理,主要功能包括:
容器调度策略,支持指定目标主机调度、通过自定义标签规则进行主机调度及基于标签的亲和性/反亲和性调度;
健康检查,支持通过界面对容器设置不同的 Liveness Check 和 Readiness Check 规则;
伸缩策略:支持手动进行容器扩容和收缩,同时提供基于容器 CPU、内存等资源使用率状态数值触发的自动扩缩容;
升级策略:可以设置的升级策略包括新旧容器启停顺序、更新批量大小等;
回滚:可指定历史部署版本进行一键回滚;
查看日志,支持通过界面实时查看容器日志信息;
登录终端:支持通过界面直接登录容器终端,方便后台控制人员执行命令行操作容器;
容器监控:支持对容器的 CPU 使用量、内存使用量、网络流入/流出速率等指标进行监控,并通过可视化图表展示。
配置中心 基于 Kubernetes 的 ConfigMap 和 Secret 资源,为容器服务提供配置管理的功能,实现容器中的相关配置的热更新,即不重启容器即可实现配置的即时生效。由于容器创建于镜像,用户在制作应用镜像后,在不同的部署环境下,需要不同的参数配置的设置。通常情况下,用户通过配置文件或环境变量进行设置。而在该平台系统下,可以将配置文件文本存放为 ConfigMap, 在需要时关联挂载到对应的应用容器中。ConfigMap 用于普通配置管理,Secret 常用于密码、密钥或者证书的情况。
资源管理 在创建命名空间时,支持为命名空间设置资源配额,包括容器 CPU、内存、存储容量、Pod 数量等使用上限,从而合理分配资源。
节点管理 支持对集群中的主机节点变更调度状态,在需要进行节点维护时,将节点设置为不可调度,并可将节点上运行的 Pod 迁移到其他节点上;支持节点的标签管理,创建应用时通过配置主机选择器可将应用部署在指定的节点上运行;用户也可以对节点进行污点设置,污点可以使节点排斥一类特定的 Pod。
如果您是基础设施的负责人或运维人员,请使用云原生基础设施中的安全容器:
如果您负责DevOps或应用开发者,请使用Kubernetes 容器服务:
云主机(虚拟机)算力作为传统应用构建所需要的主要算力之一,云原生基础设施提供了兼容Kubernetes 语义的云主机管理能力。其将每个云主机(虚拟机)封装在一个专有的容器内,以方便您兼顾传统应用的同时进行新的云原生应用的现代化改在,并通过统一的kubernetes编排进行管理。 云原生云主机作为云基础设施的一个可选的云产品,方便您在需要利用Kubernetes与容器特性同时,可以迁移您为云主机设计的应用与服务。了解更多。
随着云原生应用更为广泛的使用,较比虚拟化更加轻量的云原生应用对于云存储有更多新的挑战,从数据平面,仍然要求企业级的可用性、可靠性、持久化 能力;从云原生应用角度,能够提供面向Kubernetes的互操作性。
控制面存储 作随着基础设施不断扩展,控制面中大部分的服务都需要有稳定、可靠高性能的存储系统支撑。数字化原生引擎中包含分布式存储系统ESS,内生支撑控制服务高可用、迁移等场景,无需再额外解决控制服务的存储问题。
业务面存储 云原生基础设施提供基础块存储服务与高性能云存储两类存储,配合不同的硬件规格,构建符合业务要求与分类的存储后端,同时通过统一CSI接口,支持对接其他云原生生态的存储系统。
易捷行云块存储服务专门为云与云原生应用提供的新一代云存储,通过全SDS软件定义存储能力,可以按需提供容量型、性能型等能力,底层三副本数据保护技术,保证数据的可靠性,并同时对硬盘及资源池提供完整一体化的监控与运维能力。 易捷行云块存储产品具备:
针对I/O密集型或时延敏感性云原生应用提供高性能块存储服务。 相同硬件成本,性能可达传统云存储8-10倍。无需频繁读取寄存器造成资源损耗,时延不到AHCI协议一半。 多副本的简单数据模型,在保证强一致性的数据安全性前提下,减少数据抽象封装的开销,优化数据链路,匹配高速缓存盘的通道使用, 充分发挥高速缓存盘性能。高性能云存储最小起步单元能达到数十万IOPS,最小时延仅100us,能够满足大多数OLTP系统或OLAP系统数据库要求, 同时也能支撑大部分核心服务虚拟化应用与容器持久化存储场景。了解更多
较比传统基础设施网络,云原生基础设施的网络架构由于云原生应用的密集性、敏捷性以及可观测性、可运维性提出了新的挑战。
云原生基础设施本身以多租户为基础,提供多租户下的多VPC架构,通过路由器将不同算力的子网互连,并组成可视化的租户隔离的网络架构,在遵循Kubernetes语义。 在此基础上,统一SDN仍然为云主机与裸金属提供多VPC的网络能力,方便完成多元算力的网络组网与隔离要求。了解更多
由于Kubernetes 原生网络在面对中大规模时架构需要调整,云原生基础设施方案提供针对分布式云专门设计分布式软件定义网络方案,在满足云原生应用要求的基础上,提供分布式交换机,分布式路由器,分布式DHCP能力,同时SDN控制服务多活部署,网络节点多活部署,没有单点故障与单点瓶颈。 针对云原生网络对于性能与规模的要求,云原生基础设施SDN网络纵向提升SDN控制服务性能与数据转发性能,横向扩容SDN控制服务和网络节点提升性能。了解更多
自动化中心不仅能够对数据中心的基础设施拓扑进行设计,同时可以灵活的将节点由提供虚拟化计算能力进化为提供容器能力,通过完全的自动化界面完成节点角色的转换与配置工作。 了解更多
由于基础设施的特殊性,易捷行云的OTA服务提供在线与离线方案,对硬件之上,应用之下的软件提供全栈全平台升级与安全加固服务。了解更多
中国在高质量地从“信息化”到“数字化”发展与创新,离不开数字化基础设施的加速革新与落地。这其中,云计算在推动政企数字化变革、激发数字化技术与商业模式创新等方面起着关键的作用。 随着全球科技与生态的瞬息变化,加速建立基于信创IT底层架构与标准,并形成全新的信创开放生态成为新的挑战。信息技术应用创新云(“信创云”)应运而生。信创云解耦了应用对底层硬件的依赖,屏蔽了底层芯片和设备的差异化,将复杂多样的硬件资源抽象池化,形成统一的“虚拟资源池”。 随着云原生应用的加速普及,对“信创云”提出了更多挑战,在建设信创云时同时兼顾云原生能力,将能够大幅加速企业云计算建设的创新速度。
芯片多种技术路线并存,统一管理复杂
从芯片、整机到操作系统,均有多种技术路线和多个厂家产品,例如信创主流芯片飞腾、鲲鹏、海光、主流操作系统麒麟、统信、中科方德等;带来选型困难的同时,增加了运维的复杂度。
核心业务加速升级,对基础设施的稳定性、可靠性、高性能提出更高要求
部分核心业务仍然没有完成升级工作,信创云作为承载核心业务的基石,需要通过云平台与芯片协同加速升级,稳定、可靠、高性能地支撑业务迁移、升级。
分布式替代集中式,云架构替代传统IT架构
开放市场中,云计算的发展演变经历了虚拟化、虚拟化+云管、超融合、云平台的演变。在信创市场中,要通过分布式技术替代集中式,通过云原生加速IT基础设施建设,不走老路。
由于传统虚拟化+云管理平台/私有云产品没有采⽤⼀体化设计理念来构建统⼀架构,总体系统是由若⼲独⽴产品(不同部门负责)整合在⼀起,对⼚商来说好处在于每⼀个产品可以单独销售,缺点在于云平台由不同独⽴产品通过集成⽅式构建,会带来⼀系列问题,如复杂的运维、⽤户体验差、⽆法灵活部署、升级扩容困难等。 全平⾯采⽤统⼀的架构风格与约束,包括系统架构和应⽤架构都采⽤统⼀架构风格,统⼀的API风格,满⾜应用与服务的东西向调⽤和南北向调⽤。总体架构采⽤两层API架构,⼀层是通过Kubernetes统⼀编排API,⽤于统⼀不同组件的API风格,从⽽使全平⾯可编程同时可编排,⼀层是平台中各种开源组件的原⽣API保持与开源⽣态完全兼容。 裸金属操作系统 ESCL (EasyStack Cloud Linux) 是承载云原生基础设施与云原生应用的运行,裸金属操作系统ESCL与普通操作系统存在本质差别。ESCL负责为单台物理服务器和其内部资源进行抽象与封装,同时提供基础计算算力(虚拟化、容器)、网络虚拟化能力、存储虚拟化能力,同时面对异构CPU架构能够提供提供 EOS 调度的统一接口,是支持信创一云多芯、多元算力、统一SDN和可持续可进化的基础。
通过信创云原生操作系统与数字原生引擎,云原生基础设施能够将在同一个云(Region)内,并存2种及以上不同的芯片(CPU架构或型号)的物理服务器。 支持但不限于 Intel,AMD,海光, 鲲鹏,飞腾等。了解更多
当使用云原生技术时,由于云原生架构为应用带来的轻量化、易迁移性与一致性的应用封装等特性。多地多中心分布式云原生基础设施逐步成为主流。
权限管理复杂,无法统一
由于多地多中心的异构架构的基础设施同时并存,基础设施管理者需要同时管理多套平台,多个账号体系,无法统一访问管理。
分层构建,传统云管平台无法提供统一管理
由于云原生基础设施的复杂性,同时更加贴近应用开发者,基础设施正在由传统的资源提供方向应用创新平台演进,传统云管已经无法同时满足应用高速迭代与对基础设施的管理要求。
已有基础设施资源无法高效利用
拥抱云原生基础设施的同时,对于已有基础设施的管理与运维仍然需要考虑,通过统一的平台实现应用的开发与历史平台的管理同样重要。
易捷行云云开放平台(EasyStack Cloud Platform,ECP)基于数字原生引擎构建,遵循云原生标准规范,全⾯整合 API、 SDK、开发者⼯具等资源,支持低代码、声明式快速开发云产品。同时提供全栈云产品可视化管理,能够在几分钟内获取到全栈云服务。您也可以将企业内部已有业务系统一键接入,实现快捷访问。了解更多
在兼顾自有云产品所见即所得方式构建的同时,与众多优秀的服务商一起,携手共建,持续创新,不断整合新的资源和能力持续为企业创造全新的云产品和场景化解决方案。易捷行云也为您提供优选下的全栈云解决方案。了解更多
在分布式云架构建设过程中,IAM作为核心服务,提供多云的平台访问与应用身份管理。易捷行云IAM产品提供身份认证、组织管理等能力,解决用户注册复杂、权限管理力度较粗等问题,为企业各类应用快速建立安全可靠的访问管理机制,保证企业用户安全的访问受信系统,并对异常访问行为进行有效防范。了解更多
易捷行云云原生基础设施提供多区域管理能力,以标准 SAML 2.0 协议将多种架构的云平台构建为联邦,并使用可视化的界面按区域统一管理各云平台资源,实现多个区域之间统一身份认证与访问控制管理。了解更多
如果您过去的基础设施是通过虚拟化/超融合方式构建,如使用VMware,通过可独立获取的RightCloud云管理平台产品,您可以在一个平台实现IT自服务管理、动态调度资源、异构资源的统一管理、统一监控、自动化运维能力。了解更多
随着应用迭代速度越来越快,伴随应用在开发过程与运行过程的一致性、稳定性与敏捷性的要求,DevOps变成真正可落地的场景化要求。 DevOps 定义了完整的面向应用研发与基础设施运维的工作流,以基础设施自动化以及持续集成(CI)、持续部署(CD)为基础,围绕应用开发、测试、系统运维等所有环节提供自动化工具与平台。越来越多的企业想通过云平台来改进开发与基础设施运维以及相关部门的协同效率与流程,而企业级应用的开发与落地对于企业来讲涉及到对已有的流程、组织进行云化/数字化转型,这就需要将云平台的建设与企业已有的组织架构、业务流程、安全合规需求等相结合,实现一套有特色的 DevOps 工具链及相应的支撑平台。
技术上的收益与挑战
商业上的收益
易捷行云结合多年的研发经验及技术实践,提供DEVOPS产品,希望能够帮助企业用户将DevOps理念落地实现,为企业带来更多的收益和活力。
DevOps云产品提供了可视化、可定制的自动交付流水线,实现自动完成从代码提交到应用部署的完整流程,确保只有通过自动测试的代码才能交付和部署,高效替代业内部署复杂、迭代缓慢的传统方式。通过自动化技术的应用,助力企业持续、快速、高质量、低成本地交付软件。 了解更多
容器镜像服务⽀持容器镜像全⽣命周期管理, 提供简单易⽤、安全可靠的镜像管理功能,帮助⽤户快速部署容器化服务。镜像服务整合DevOps流水线,实现自动构建并发布镜像;整合安全容器实例、Kubernetes容器服务,实现通过镜像便捷部署容器服务。 了解更多