9月6日，由深圳金融信息服务协会主办，我公司（深圳睿云智合科技有限公司）与Rancher Labs联合协办的，深圳金融IT界容器技术专题研讨会隆重召开并胜利闭幕！

 

会议汇聚了国内外知名的云计算技术大咖，以及招商银行、平安科技、富德生命人寿、广发证券等国内金融科技引领企业的容器技术实践团队的经验分享，为150多人的在场嘉宾奉上了一场堪称金融行业与最前沿容器技术的巅峰碰撞！

 

除了深圳本地的金融行业技术人员，更有来自北京、上海、东北的多家金融机构信息技术团队积极参与，大家纷纷表示会议干货多多，收获颇丰。

 

以下就是小编为大家整理的嘉宾分享内容系列速递，按照演讲顺序，今天为大家推出的是来自平安科技资深专家 – 陈春润的分享：《平安金融云之CaaS服务建设和应用》

分享开始，陈春润先生首先从平安云5大特性展开介绍。和现在的公有云服务供应商对比，平安云在系统、合规以及数据方面有着自己的特点。结合平安集团的发展战略，将平安云平台定义成具备“专业、增值、可靠、安全与合规”特征的金融云服务供应商。

 

专业：理解行业特性，利用平安科技多年的金融IT咨询及研发能力，专业服务于金融行业客户。

 

增值：为金融行业客户提供软件、数据、网络、征信等一系列增值服务，构建起金融同业共赢共生的“超级购物中心”。

 

可靠：利用创新的高可用架构和自动化运维平台为用户提供可靠的基础设施服务打造可信赖的云计算平台。

 

安全：打造适合金融行业的安全体系、符合CSA规范的有强防护能力的云计算平台。

 

合规：重点研究与监管(一行三会)要求的契合度，成为金融云的标杆，为金融行业客提供合规、便利的一揽子云计算服务。

 

除此之外，陈春润先生还表明，平安集团子公司中包含金融行业的各个类别，不同企业、不同来源、不同开发模式的业务系统对底层资源的需求差异很大。所有这些需求对于平安云来说都是必须要满足的。

 

因此平安云会为用户提供不同类型的弹性计算服务，包括：

物理机：高性能，高规格

虚拟机：灵活、安全的共享

容器：灵活、轻量、快速交付

 

这些不同的计算模式可以共享相同的VPC网络，用户可以根据应用架构选择将一部分应用部署在物理机上，也可以部署在虚拟机上或容器服务中。

 

容器服务的设计目标

对于容器服务的设计目标，陈春润先生阐述了2点。

一、对于大多数租户而言，希望能够使用容器服务加快环境部署的速度，提高扩容的效率，降低运维成本。

因此，平安云提供一套简单有效的容器服务产品，使得用户能够自助完成容器部署工作。

自助式容器服务（私有或公有云服务）

– 用户可定制容器基础架构

– 公共镜像商城

– 私有镜像管理

– 支持混合部署方式

– 兼容平安云基础架构

– 兼容平安应用架构规范

 

二、对于开发团队而言，希望拥有一套从开发测试到生产部署的流水线，容器服务作为流水线中的实际运行环境，完成最后一公里的工作。

全流程部署自动化（私有云服务）

– 提供API与开发管理平台紧密结合

– 支持开发-测试-生产环境部署流水线

– 用户可定制容器基础架构

– 支持“全容器”和“开发测试容器+生产非容器”型部署需求

– 私有镜像版本管理

– 平台层服务支持

 

平安云容器服务架构

容器它有自己运行的方式，不改变任何开发的流程，但是从最终目的来讲，开发不改变传统的架构，容器的功能是很难的发挥的。

 

平安云统一管理区

 

我们会有一个统一的综合管理区，这个区会部署我们一个自己caas服务主体和面对对客户管理的vpi的部分。

– 容器服务门户。

 

– 门户系统，提供容器服务操作。

 

– 基于lvs+keepalived部署架构，外接mysql集群。

平安云公共服务区

我们有自己的每个数据中心，整个平台作为数据中心，每个数据中心内部会有一个资源管理区，这里面会有一些公共的rancher组件，同时支持对每个用户有单独  rancher server，这是我们一个比较大的改动，尽量减少管理域，锁定在一个工作内，这样我们的风险，控制就会更细。

Rancher 服务

– 核心服务组件，主要用于容器调度与部署。

 

– 基于lvs+keepalived部署架构，外接Mysql集群。

Docker节点

– 用于镜像制作、上传、下载，文件传输，执行Docker命令。

Public Registry

– 平安官方公共镜像仓库，同时是官方公共租户的镜像库。

– 采取多节点挂载共享盘部署。

 

租户VPC(某个租户私有的VPC)

– 每个租户拥有完整容器部署和运行环境，包括Rancher Server、Docker节点、Private Registry。

– 隔离与其他租户之间的影响，减少跨租户的网络访问。

 

CaaS核心功能

容器这个概念虽然简单，但是对于很多开发人员来讲，对于他们的要求还是很高的，所以我们把它简化，形成一个比较容易理解应用管理，服务管理，镜像管理三大功能，其他高级功能都藏起来，只有资深的管理人员才看的到管理。其它的只是做一些底下的接口之类的。

 

【租户+环境+权限】

– 以租户+环境+角色方式进行权限控制。

– 租户：一个租户包含多个环境，由租户管理员维护。

– 环境：同一类级别的服务集合，由环境管理员管理，包含多个应用管理员。

 

【应用编排】

– 提供官方编排模板。

– 支持Compose部署，扩展了docker compose。

【服务管理】

– 丰富的服务创建配置：支持服务link、端口配置、环境变量配置、目录挂载以及资源限制等配置。

– 详细的服务管理：服务信息、服务事件、服务配置。

 

 

【镜像仓库】

– 所有租户共享镜像商城，每个租户拥有自己的公共仓库，租户内用户共享租户内镜像。

– 镜像商城采取多节点+共享磁盘部署，租户的镜像仓库使用单节点+本地磁盘（基于云存储）。

Mesos+Marathon环境

除了在平安云框架内研发CaaS服务外，平安科技也尝试过基于MM平台对内部互联网产品线提供专属容器服务。

– MM组合在生产实际部署，解决了部分互联网应用需要快速扩容和稳定运行的要求。

– 三套环境有近1000物理核的部署规模。

– 实现了创新的IP管理，负载均衡，快速扩容。

– 支持容器漂移、EJB集群、组播、zabbix监控、CMDB等。

基于Bare metal和IaaS部署CaaS的区别

基于BM

– 计算性能更好。

– 隔离性稍差，适合独占资源池

– 构建容器网络和存储服务工作量大，与IaaS的工作相当

基于IaaS

– 主机虚拟化层存在一定损耗

– 多租户场景支持更好

– 可以灵活调整计算资源池

– 依托于IAAS层网络和存储服务，容器层工作量降低

目前业界实现的容器云无外乎基于bare metal构建和基于IaaS构建两种，许多公共的容器云平台也提供这两种选择，前者能够提供较高的性能，当用户独占bare metal集群时也能够实现足够的安全性。后者为容器云的灵活部署提供了基础，用户能够在更大的空间上获得独享的容器运行环境，实现资源的按需申请和释放。

在企业内部构建容器云，当需求明确时，非常适合基于BARE METAL和K8S或MM部署，这种部署方式能够充分利用bare metal的性能优势和容器管理平台的功能优势，实现快速部署。

但当企业规模和需求类型、用户数不断增加时，容器服务的进程特性无法满足多种多样的需求，其对底层虚拟化的不彻底也会带来隔离程度不够以及安全性不够的问题。尤其是当多租户需求产生时，纯粹基于容器构建的云服务很难平衡这些差异。

因此对于已经拥有IAAS平台的企业来说，直接在IAAS之上构建通用的容器云平台是一种很好的选择，iaas平台专注于资源池的管理和网络的管理，容器平台关注与镜像构建、容器编排，这种组合方式能够降低彼此的复杂性，提高容器部署的灵活性。

应用情况

2015年9月：对接平安科技研发管理部的WizardCI/CD平台，提供一键部署接

2016年6月：平安容器服务第一个版本V1.1上线，面向内部开发人员，提供开发测试环境

• 应用管理、服务创建、多个容器部署
• 公共镜像仓库，提供多种平安云官方镜像、docker官方镜像
• 私有镜像仓库：创建私有仓库、制作镜像

2016年7月：发布平安容器服务V1.2.1、V1.2.2

• 服务管理、服务事件
• 容器监控、容器日志、webshell登陆容器、上传文件到容器

2016年8月：发布平安容器服务V1.2.3

• 应用编排
• 多租户、多环境容器服务
• 更丰富的服务创建：支持端口配置、环境变量配置、目录挂载以及资源限制