高 巍，陳 磊，張紅兵，楊紅軍

（1.麒麟軟件有限公司，北京 100080；2.上海道客網(wǎng)絡(luò)科技有限公司，上海 200438）

企業(yè)架構(gòu)指引企業(yè)建立配套的業(yè)務(wù)架構(gòu)、應(yīng)用架構(gòu)和數(shù)據(jù)架構(gòu)，推動以虛擬化技術(shù)為核心的資源型云基礎(chǔ)設(shè)施建設(shè)演進(jìn)，以云原生為代表的新一代效能型云基礎(chǔ)設(shè)施建設(shè)。云原生是一套技術(shù)體系和方法論，涵蓋應(yīng)用開發(fā)、構(gòu)建、部署、更新、運(yùn)維、運(yùn)營等流程，云原生技術(shù)包含操作系統(tǒng)內(nèi)核、容器、編排、服務(wù)網(wǎng)格、可觀測技術(shù)等，構(gòu)建安全可控、高性能、高可靠高可用、可觀測的云原生平臺，可更好地服務(wù)于行業(yè)數(shù)字化轉(zhuǎn)型。

1 相關(guān)知識

1.1 企業(yè)架構(gòu)

企業(yè)架構(gòu)（Enterprise Architecture，EA）是指企業(yè)整體上的組織結(jié)構(gòu)、業(yè)務(wù)流程、信息系統(tǒng)和技術(shù)基礎(chǔ)設(shè)施等方面的總體規(guī)劃，旨在實現(xiàn)經(jīng)驗戰(zhàn)略和目標(biāo)。企業(yè)架構(gòu)定義了組織的愿景、戰(zhàn)略和業(yè)務(wù)目標(biāo)，并提供了實現(xiàn)這些目標(biāo)所需的結(jié)構(gòu)、流程、人員和技術(shù)等資源。企業(yè)架構(gòu)包含四部分：業(yè)務(wù)架構(gòu)（Business Architecture，BA）、數(shù)據(jù)架構(gòu)（Data Architecture，DA）、應(yīng)用架構(gòu)（Application Architecture，AA）、技術(shù)架構(gòu)（Technology Architecture，TA）。

1.2 云原生

云原生概念最早由Pivotal的MattStine于2013年提出。2015年谷歌公司牽頭成立了云原生計算基金會（Cloud Native Computing Foundation，CNCF），致力于推動云原生技術(shù)的普及和可持續(xù)發(fā)展。2018年，隨著服務(wù)網(wǎng)格（Service Mesh）的加入，CNCF對云原生的定義發(fā)生了改變：云原生技術(shù)有利于各組織在公有云、私有云和混合云等新型動態(tài)環(huán)境中，構(gòu)建和運(yùn)行可彈性擴(kuò)展的應(yīng)用。云原生技術(shù)主要包括容器、服務(wù)網(wǎng)格、微服務(wù)、不可變基礎(chǔ)設(shè)施和聲明式API。

1.3 Linux內(nèi)核

Linux內(nèi)核從技術(shù)層面講是將應(yīng)用層的請求傳遞給硬件，并充當(dāng)?shù)讓域?qū)動程序，對系統(tǒng)中的各種設(shè)備和組件進(jìn)行尋址；從應(yīng)用程序?qū)用嬷v，應(yīng)用程序與硬件沒有聯(lián)系，只與Linux內(nèi)核有聯(lián)系，應(yīng)用程序使用系統(tǒng)調(diào)用（syscall）接口發(fā)出請求。隨著云原生技術(shù)的發(fā)展，新一代Linux內(nèi)核以cGroup、eBPF等為代表支撐分布式調(diào)度、容器管理、編排管理等新功能[1]。

2 云原生平臺

云原生平臺支撐以應(yīng)用為核心，從基礎(chǔ)設(shè)施建設(shè)到IT架構(gòu)，到應(yīng)用開發(fā)運(yùn)營實現(xiàn)全方位改造，助力實現(xiàn)應(yīng)用現(xiàn)代化[2]。

（1）基礎(chǔ)設(shè)施方面：云原生平臺構(gòu)建統(tǒng)一的調(diào)度、管理和運(yùn)行維護(hù)能力。通過統(tǒng)一資源管理和統(tǒng)一集群調(diào)度以及統(tǒng)一流量治理，實現(xiàn)跨云、跨集群的監(jiān)控能力；通過統(tǒng)一運(yùn)行維護(hù)，實現(xiàn)多中心不同集群的運(yùn)維協(xié)同能力。

（2）應(yīng)用管理方面：云原生平臺構(gòu)建統(tǒng)一的治理和分發(fā)能力加速業(yè)務(wù)迭代。通過統(tǒng)一應(yīng)用治理，實現(xiàn)獨立靈活的策略和應(yīng)用配置，保障了應(yīng)用的一次構(gòu)建多次部署運(yùn)行，同時可根據(jù)資源利用情況實現(xiàn)多集群間的彈性部署[3]。

（3）運(yùn)維管理方面：云原生平臺構(gòu)建統(tǒng)一的安全防護(hù)和優(yōu)化能力。通過安全治理可將漏洞治理、威脅處理、應(yīng)用保護(hù)等安全能力下放至分布式節(jié)點，實現(xiàn)安全的統(tǒng)一能力納管、統(tǒng)一攻擊防護(hù)、統(tǒng)一響應(yīng)和統(tǒng)一運(yùn)營，快速提升分布式接入節(jié)點的安全防護(hù)能力。

3 云原生挑戰(zhàn)

從傳統(tǒng)IT架構(gòu)到云原生架構(gòu)轉(zhuǎn)型，受行業(yè)業(yè)務(wù)特點影響，面臨如下挑戰(zhàn)。

（1）開發(fā)模式轉(zhuǎn)變：從單體應(yīng)用架構(gòu)向微服務(wù)應(yīng)用架構(gòu)升級，需要轉(zhuǎn)換應(yīng)用架構(gòu)設(shè)計開發(fā)思想，在微服務(wù)切分、敏捷開發(fā)、上線等諸多環(huán)節(jié)都與傳統(tǒng)應(yīng)用有很大差別。

（2）運(yùn)維新挑戰(zhàn)：云原生應(yīng)用中微服務(wù)數(shù)量多，數(shù)據(jù)量大，監(jiān)控數(shù)據(jù)復(fù)雜，需要綜合考慮多種指標(biāo)。微服務(wù)架構(gòu)使得應(yīng)用的監(jiān)控粒度更加細(xì)化，需要針對每個微服務(wù)進(jìn)行單獨的監(jiān)控和統(tǒng)計，同時需要維護(hù)整個應(yīng)用的全局視圖。

（3）安全新挑戰(zhàn)：微服務(wù)架構(gòu)和容器技術(shù)使得應(yīng)用的部署和管理變得更加復(fù)雜，增加了應(yīng)用的攻擊面?；谌萜骷夹g(shù)應(yīng)用中的多個微服務(wù)共享同一個操作系統(tǒng)內(nèi)核和容器宿主機(jī)，帶來了隔離性的挑戰(zhàn)，一旦一個容器受到攻擊，攻擊者就可以在容器內(nèi)部自由活動。

4 云原生技術(shù)實踐

云原生核心功能包括：針對行業(yè)IT資源實現(xiàn)敏捷管理，對感知業(yè)務(wù)流量進(jìn)行彈性分配，提升資源利用效率；為分布式開發(fā)、交付和運(yùn)維定義統(tǒng)一的規(guī)范標(biāo)準(zhǔn)，發(fā)揮微服務(wù)架構(gòu)靈活性，覆蓋開發(fā)、測試、運(yùn)維、運(yùn)營的應(yīng)用交付全生命周期，提升整體應(yīng)用交付速度和質(zhì)量；滿足行業(yè)特殊的安全監(jiān)管需求，將安全理念融入應(yīng)用開發(fā)全生命周期，保障全局安全運(yùn)營。

4.1 Linux內(nèi)核

Linux內(nèi)核技術(shù)是支撐云原生技術(shù)的根基。

4.1.1 容器網(wǎng)絡(luò)支撐

容器網(wǎng)絡(luò)依賴Linux內(nèi)核虛擬化和網(wǎng)絡(luò)等技術(shù)，隨著內(nèi)核技術(shù)發(fā)展有如下技術(shù)路線。

（1）采用Linux bridge、Open vSwitch等技術(shù)實現(xiàn)overlay網(wǎng)絡(luò)：早期容器間依賴Linux Bridge、Open vSwitch等技術(shù)實現(xiàn)Overlay網(wǎng)絡(luò)。數(shù)據(jù)包的路由轉(zhuǎn)發(fā)基于封包的方式，如VXLAN?；赩XLAN的封包和通過隧道進(jìn)行跨主機(jī)的傳輸性能雖有損耗，在應(yīng)用未大規(guī)模上云時性能基本滿足需求。

（2）基于BGP（Border Gateway Protocol，邊界網(wǎng)關(guān)協(xié)議）路由能力的網(wǎng)絡(luò)：不使用封包的方式來構(gòu)建容器網(wǎng)絡(luò)能夠提升性能，借助內(nèi)核的路由能力實現(xiàn)Pod之間的可尋址、可路由和可互通的方案。典型的方案是基于BGP路由傳播協(xié)議的方式，將容器的路由信息在所有主機(jī)之間廣播。

（3）基于MacVLAN、IPVLAN等偏物理網(wǎng)絡(luò)的underlay網(wǎng)絡(luò)：某些特定場景有使用物理IP地址實現(xiàn)容器網(wǎng)絡(luò)互通的訴求，使用MacVLAN、IPVLAN等技術(shù)實現(xiàn)物理IP地址與容器綁定。這種方案性能明顯優(yōu)于Overlay網(wǎng)絡(luò)。

4.1.2 操作系統(tǒng)eBPF技術(shù)

近年來，Linux內(nèi)核技術(shù)eBPF（擴(kuò)展的伯克利數(shù)據(jù)包過濾器，extended Berkeley Packet Filter）可以運(yùn)行沙箱程序，安全有效地擴(kuò)展內(nèi)核功能，無須更改內(nèi)核源代碼或加載內(nèi)核模塊。eBPF技術(shù)在云原生可觀測性、網(wǎng)絡(luò)加速、安全等方面具有極大支撐能力。

4.2 容器技術(shù)和容器云

基于“容器+Kubernetes”構(gòu)建容器云。容器技術(shù)將應(yīng)用程序打包到容器中，Kubernetes進(jìn)行容器編排，實現(xiàn)容器的自動化部署、集群管理及應(yīng)用容器化管理。相比傳統(tǒng)PaaS平臺，容器技術(shù)和Kubernetes容器編排引擎為應(yīng)用提供了DevOps集成能力、持續(xù)發(fā)布策略以及擴(kuò)縮容、服務(wù)治理等能力，使得開發(fā)者更專注于業(yè)務(wù)邏輯的開發(fā)，充分利用容器云平臺的能力，通過自動化縮短業(yè)務(wù)迭代上線周期、優(yōu)化資源利用率、提高服務(wù)響應(yīng)效率。

4.3 監(jiān)控與可觀測性

基于eBPF技術(shù)實現(xiàn)從底層容器、通用技術(shù)組件到業(yè)務(wù)應(yīng)用系統(tǒng)全鏈路監(jiān)測，將鏈路、指標(biāo)、日志、事件有機(jī)整合。相比監(jiān)控系統(tǒng)異常，平臺可觀測性不僅包含監(jiān)控的能力，更多的是面向業(yè)務(wù)，強(qiáng)調(diào)將業(yè)務(wù)全過程透明化的理念。業(yè)內(nèi)通常采用OPLG體系搭建平臺可觀測性，OPLG是指將OpenTelemetry Traces、Prometheus Metrics、Loki Logs通過Grafana Dashboards進(jìn)行統(tǒng)一展示。

4.4 安全架構(gòu)

基于構(gòu)建“本質(zhì)安全+過程安全”底座，具備完整、有效、可靠的全棧原生安全體系。

（1）“本質(zhì)安全”解決供應(yīng)鏈安全的問題：選擇具備自主知識產(chǎn)權(quán)、生態(tài)體系完備、技術(shù)架構(gòu)先進(jìn)、替代升級同步的信息技術(shù)創(chuàng)新應(yīng)用，通過“本質(zhì)安全”“關(guān)后門”，解決制約網(wǎng)絡(luò)安全和數(shù)據(jù)安全的命門。

（2）“過程安全”構(gòu)建全棧網(wǎng)絡(luò)安全的防護(hù)機(jī)制：依靠可信計算技術(shù)構(gòu)建主動免疫體系、原生安全產(chǎn)品體系，構(gòu)建高等級安全防護(hù)能力、安全合規(guī)保障體系，滿足強(qiáng)合規(guī)要求、攻防實戰(zhàn)安全運(yùn)營體系達(dá)成安全效果目標(biāo)，通過“過程安全”“堵漏洞”，對網(wǎng)絡(luò)安全整體運(yùn)營進(jìn)行防護(hù)，解決影響網(wǎng)絡(luò)安全和數(shù)據(jù)安全的關(guān)鍵問題。

5 云原生案例

某大型券商是國內(nèi)領(lǐng)先的證券集團(tuán)，提供專業(yè)、多元的證券金融服務(wù)，隨著互聯(lián)網(wǎng)業(yè)務(wù)的深入發(fā)展，亟須進(jìn)行數(shù)字化轉(zhuǎn)型，尋找新的業(yè)務(wù)增長點。

（1）構(gòu)建自主可控安全底座：基于國產(chǎn)處理器，通過國產(chǎn)操作系統(tǒng)屏蔽底層硬件，提供多樣性算力支撐，采用國產(chǎn)操作系統(tǒng)提供虛擬化、容器等技術(shù)和生態(tài)支撐。

（2）搭建開放的容器云：建設(shè)穩(wěn)定可靠、跨環(huán)境一致的運(yùn)行環(huán)境，構(gòu)建堅實高效、穩(wěn)定就緒、可管可控的容器云。容器云實現(xiàn)資源池化，為應(yīng)用提供高效算力和AI支持。

（3）提供面向交付的一體化研發(fā)流程：平臺通過DevOps定義自動化的應(yīng)用交付流程，在金融交易的復(fù)雜環(huán)境中實現(xiàn)應(yīng)用的快速迭代。基于平臺封裝大量底層能力，提供高效的業(yè)務(wù)交付能力，賦能業(yè)務(wù)快速上線和價值變現(xiàn)。

（4）打造敏捷的應(yīng)用上云方案：提供統(tǒng)一的應(yīng)用編排能力，用戶可以通過模板實現(xiàn)應(yīng)用的快速、多環(huán)境部署。通過微服務(wù)框架實現(xiàn)應(yīng)用上云，建立獨立開發(fā)、獨立部署的應(yīng)用秩序。

（5）提供“內(nèi)生安全+過程安全”的安全架構(gòu)：基于國產(chǎn)操作系統(tǒng)提供內(nèi)生安全支撐，通過平臺提供安全可視化、運(yùn)行時安全、基礎(chǔ)鏡像管理、安全控制、安全基線、漏洞管理等全方位的安全管控方案，為業(yè)務(wù)系統(tǒng)提供生產(chǎn)合規(guī)的安全保障。

（6）構(gòu)建運(yùn)維分析的決策支撐體系：基于操作系統(tǒng)eBPF平臺引入智能的可觀測性模塊，提升運(yùn)維效率，快速定位問題根因，縮短故障處置時間。

通過平臺建設(shè)實現(xiàn)支撐從基礎(chǔ)軟硬件到應(yīng)用的全棧安全可控功能，通過國產(chǎn)操作系統(tǒng)部署適配，提升業(yè)務(wù)系統(tǒng)自主可控的能力；通過容器化和微服務(wù)化的應(yīng)用部署，提升應(yīng)用開發(fā)、運(yùn)維全鏈路效率。使App應(yīng)用從開發(fā)到上線部署效率提升60%，運(yùn)維響應(yīng)速度提升50%，業(yè)務(wù)流程效率提升30%。為服務(wù)能力提升和業(yè)務(wù)戰(zhàn)略實施打下良好基礎(chǔ)。

6 結(jié)束語

云原生技術(shù)和平臺是行業(yè)數(shù)字化轉(zhuǎn)型基礎(chǔ)設(shè)施，不難看出操作系統(tǒng)（Operating System）與云操作系統(tǒng)（Orchestration System）是構(gòu)建云原生平臺的基石，操作系統(tǒng)為容器提供底層的資源管理和隔離，云操作系統(tǒng)提供應(yīng)用管理和編排能力，實現(xiàn)高效、安全和靈活的應(yīng)用程序部署和管理功能。OS+OS技術(shù)不斷發(fā)展，為行業(yè)數(shù)字化轉(zhuǎn)型基礎(chǔ)設(shè)施建設(shè)和業(yè)務(wù)應(yīng)用創(chuàng)新提供驅(qū)動力?！?/p>