QQ在(zài)线(xiàn)
企业微信
资讯
44011月21日,“2019云(yún)计算沙龙(第三期):云原生(shēng)与多云管理”主题沙龙活动在上海市徐(xú)汇区(qū)交大科技园成功召开。此次活动吸引了诸多云计(jì)算相关的(de)厂商(shāng)专家(jiā)以及业内专业人士积极(jí)参(cān)与,并(bìng)就云原生与多云管(guǎn)理进行了(le)积(jī)极讨(tǎo)论。青藤云安全(quán),作(zuò)为安全领域(yù)践行自适应安(ān)全理念的先行(háng)者,积(jī)极探索为云原(yuán)生(shēng)应用程序提(tí)供全(quán)方位的(de)安全服务,此次受邀出(chū)席,并对(duì)云(yún)生态安全(quán)进行了深入讲解。
portant;" />
青(qīng)藤云安全技术总监王洪中对云生态安全进(jìn)行讲(jiǎng)解
在过去几年里(lǐ),随着云计算技术的风起云涌,云形态(tài)也发(fā)生着(zhe)日(rì)新月异的(de)变化(huà)。云原生(shēng)技术也(yě)在云平台(tái)如火(huǒ)如荼的快速发展中应运而生。
美(měi)国(guó)专注于云(yún)计算(suàn)与大(dà)数据基础平(píng)台的(de)公司Pivotal最先提(tí)出(chū)了云原生应用(yòng),后来由(yóu)谷(gǔ)歌成(chéng)立的云原(yuán)生计算基金会(huì)(CNCF,全称Cloud Native Computing Foundation)对云原生应用进行(háng)了(le)定义:
云原(yuán)生技(jì)术有利于各组织在(zài)公有云、私有云和混合(hé)云等新型动态环境中,构建和(hé)运(yùn)行可弹性扩展的应用。
这些技术能够构建(jiàn)容错性好、易于管(guǎn)理(lǐ)和便(biàn)于观(guān)察的松耦合系(xì)统。结合可(kě)靠的自动化手段,云原生(shēng)技术让工程(chéng)师能(néng)够轻松地对系统作出频繁(fán)和可预测(cè)的重大变更。
云原生计算基金会(CNCF)致力于(yú)培育和维护一个厂商中立的开源生态系统,来推广云原(yuán)生技术。CNCF通过(guò)将最(zuì)前沿的模(mó)式民(mín)主化,将这些创新为(wéi)大众所用。
这(zhè)或许看(kàn)起来有些复杂。简单(dān)来说,云原生可以从字面涵义来理解(jiě),指的是(shì)任何在云中诞(dàn)生(shēng)、或主(zhǔ)要在云(yún)中设计并运行的事(shì)物。但(dàn)云原生不只是指应用程(chéng)序(xù)所在(zài)的位置,更多的是指应用程(chéng)序的的构建和部(bù)署方式(shì)。
云原生的(de)代表(biǎo)性(xìng)技术
1. 容器(qì)
容器技术是一种轻量级的(de)虚拟(nǐ)化技术,主要致力(lì)于提供一种可移植、可重用且自动化的方式来打(dǎ)包和运行应用(yòng)。容器这(zhè)一术(shù)语是对(duì)船(chuán)运集(jí)装箱的一(yī)个类比,它提(tí)供了一个标准化方式,将不同内容(róng)组合在一起,同时又将它们彼此隔离开来。
将容器和云原生联系起来(lái),您或许会有些(xiē)疑惑:容器不仅仅是在云(yún)端运行,如果(guǒ)有(yǒu)需要(yào),也可以(yǐ)在本地服务(wù)器上运(yùn)行容器(qì)。比如,在(zài)本(běn)地CI/CD管道(dào)中(zhōng)采用容(róng)器技(jì)术,或者使用容(róng)器来部署本地的内部业务应用程序(xù)。
但是,无需(xū)对容器技术(shù)进行太多延展(zhǎn),就可以将其与云原生技术联系起来。在很大(dà)程度上,容器有(yǒu)助于部署云应用:
您可(kě)以在云中部署容器(qì)。通常还可以使用相同的开源工具来管理云中的容器(qì)。这意味着(zhe),容(róng)器最大限度地提(tí)高了(le)云(yún)之间的移(yí)动(dòng)性(xìng)。
可以(yǐ)使(shǐ)用容器在云中部(bù)署应(yīng)用程序,而不必为(wéi)特(tè)定云提供商的虚拟服务(wù)器或计算实例之间的细微差别而困(kùn)扰。
云供(gòng)应(yīng)商(shāng)可(kě)以使用容器来(lái)构建其他类型的服务,例(lì)如(rú)无服务器计算。
容器为在云中(zhōng)运行的应用程序提供安全优势(shì)。容器应用程序和主(zhǔ)机环境之(zhī)间增加了另一层隔离,而无需再(zài)运行(háng)整个虚(xū)拟(nǐ)服务器(qì)。
因此,虽然(rán)使用容器是确实不(bú)需要(yào)使(shǐ)用云,但容器(qì)却大大简化了云应用程序(xù)的部(bù)署。在云(yún)原生领域中,容(róng)器和云齐头并进,共同(tóng)发展。因此,可(kě)以说容器技术是(shì)云原生应用发展的基石。
2. 微(wēi)服务
微服务可以简单地描述(shù)为(wéi)将一个大型(xíng)的(de)软件应用程序的功能分为多个独立的小型(xíng)软件(jiàn)服(fú)务或“微服务”。每(měi)项微服务(wù)通常单独部署在容器中,负责一项(xiàng)单独(dú)的任务。为了让微服务协同工作,形成大型可伸缩的应(yīng)用程序,微服务(wù)之间还可以进行通信和交换(huàn)数据。简而言(yán)之,微(wēi)服务(wù)的特点(diǎn)可以总结为:
云原(yuán)生应用程序由多个不同的(de)可重用组件(称为微服(fú)务)组成,这(zhè)些组件都可(kě)以集(jí)成到任何(hé)云环境中。
这些微服务可以(yǐ)作为应用(yòng)程序的(de)构建模块,通常包装在(zài)容器中。
每个微服务可(kě)以协同工(gōng)作,共同构(gòu)成(chéng)一(yī)个应用程序(xù),单每(měi)个(gè)微服务可以通过自(zì)动(dòng)化和编排流(liú)程进行独立扩展(zhǎn)、持续改进和(hé)快(kuài)速迭代。
每个微服(fú)务的灵活性也提高了云原生(shēng)应用程序的敏捷性(xìng)和持续改(gǎi)进,解(jiě)决了单体(tǐ)大型应用程序的复杂(zá)性(xìng)和灵活性问题。
以人力资源系统为例(lì)。以前,整个人力资源(yuán)系统部署(shǔ)在一个大软件包中(例如,使用MVC框架的WAR文件(jiàn))。使用微服务后,就无(wú)需将人力资源组(zǔ)件部署为一个大软件包――大型单体(tǐ)应用程序。该大型单体应用程序被(bèi)划分并部署为按用途分类的若干个较(jiào)小功能(néng)单(dān)元(yuán)(工资、出勤和员工等微服务)。这样,维护(hù)一个模块时(例如,“工(gōng)资”模块),由于微服(fú)务可(kě)以独立工(gōng)作,就无需停用整个应用程(chéng)序,也不会影响到其他功能,从而(ér)提高(gāo)了更(gèng)新迭代速度(dù),也提高了服务(wù)质(zhì)量。
3. 服务网格
随(suí)着微服务数量的增多,可能会形成(chéng)上(shàng)百个甚至上千个相互关联的服务(wù),通过内部(bù)或外部网络相互连接。如果要绘制出每(měi)个微服务之间的连接关系,情况就复杂(zá)了。从代码级别管理这(zhè)些服务的连接关系会很(hěn)麻烦。这意味着,服务A需要了解服务B的(de)网络(luò)层。为了解决(jué)这(zhè)一(yī)挑(tiāo)战(zhàn),服务网格技术应运而(ér)生(shēng)。
服(fú)务(wù)网(wǎng)格是用(yòng)于处理服务(wù)间通(tōng)信的(de)专用基础结构(gòu)层。对(duì)于构成现代化的云原生应用程序的服务而(ér)言(yán),服(fú)务(wù)网格(gé)负(fù)责(zé)可靠地交付(fù)这(zhè)些拓扑(pū)结构复(fù)杂(zá)的服务请求。实际上,服务(wù)网格通常是(shì)通过一系列的轻量级网络代理(lǐ)来实现的(de),这些网络(luò)代理与应用程序代码一起部署(shǔ),而无(wú)需再关(guān)注应(yīng)用程(chéng)序。
portant;" />
服务网格(gé)架构图
4. DevOps
DevOps是由(yóu)Development和Operations形成的组合词,是一种重视(shì)“软件开发人员(Dev)”和“IT运维技术人员(Ops)”之间沟通合作的文化、运动或惯例。DevOps通过自动化(huà)完成“软件交付(fù)”和“架构变更(gèng)”流程,来(lái)更加快捷、频(pín)繁和可靠(kào)地(dì)构建、测试、发布软件。可以把DevOps看作开(kāi)发(软件工程)、技(jì)术运营和(hé)质量保障(QA)三者(zhě)的交(jiāo)集。
portant;" />
DevOps示意图
DevOps打破了开发人员和运维人员之间历来存(cún)在(zài)的壁垒和沟鸿,加强(qiáng)了开发(fā)、运营和质量(liàng)保(bǎo)证人(rén)员之(zhī)间(jiān)的沟通、协作与(yǔ)整合。从而形成了一种(zhǒng)通过持续交付来优化资源和扩展应用的新方式。DevOps和云原生相结合,能够让企业不断改(gǎi)进(jìn)产品开发(fā)流程,更好地适应市场变(biàn)化,提(tí)供更优质的(de)服务。
portant;" />
CI/CD(持续集成/持续部署)管道(dào)可以(yǐ)说是实施(shī) DevOps 的一大重要成果,可帮助企业在需要很少的人工(gōng)干预的情(qíng)况下,更快速(sù)、更频繁地向客户交(jiāo)付应用,并不(bú)断改进产(chǎn)品的质量,增加服(fú)务功(gōng)能,实现精(jīng)益(yì)求精的发展。在整个生命周期(qī)内,CI/CD都引入(rù)了持续自动化和持续监控,从而能够快速识别(bié)和改(gǎi)正问题与缺陷,实现敏捷开发。
portant;" />
云原(yuán)生(shēng)的优势所(suǒ)在
1. 与传统的(de)单体(tǐ)应(yīng)用程(chéng)序(xù)相比,由(yóu)于使用(yòng)敏捷和DevOps流程(chéng)进行(háng)迭(dié)代式改(gǎi)进,并且实(shí)现了自(zì)动化(huà)构建、测试和部署,从而加(jiā)快了(le)产品服务的上市时(shí)间,也更(gèng)便于管理。
2. 由于云原生应用程序由若干个(gè)相互独立(lì)的微服务组成,因此,可以自动地逐(zhú)步改进云原生应用程序,以不断添加新功能或者改进原有功能。
3. 可以非侵入(rù)式(shì)地进行改进,不(bú)会造(zào)成停机或中断服(fú)务(wù),给用户造成不(bú)良体验(yàn)。
4. 支(zhī)持(chí)云原生应用程序(xù)的基础(chǔ)架(jià)构弹性(xìng)良好,可以轻松进行拓展或缩小规模。
5. 云原生开发流程可以更(gèng)好地适应当今(jīn)业务环境所需的速度和创新。
随着云(yún)生态的不断演进,云原生所(suǒ)具备的巨大优势必(bì)将推(tuī)动云(yún)原生技(jì)术的快速发展。
青藤(téng)云安全是国内(nèi)首家(jiā)自适(shì)应安(ān)全服务商,为客户提供了轻量级的、可(kě)弹性扩展的(de)新一代(dài)安全体系。针对当前云原生技(jì)术的发展情况,青(qīng)藤云安全也对(duì)此进行(háng)了(le)深入研究,并密切(qiē)关注云原(yuán)生应用的发展趋势。目前,青藤(téng)云安全的容器安全产(chǎn)品―蜂巢提(tí)供了企(qǐ)业级(jí)容(róng)器平(píng)台安全保(bǎo)护(hù),并针对应用漏洞、不安全配置、入侵攻击、网络行为,结合安全策略,提供(gòng)了覆盖容器(qì)全生(shēng)命周期(qī)的、持续性(xìng)安全防护。青藤蜂巢(cháo)既(jì)可以提供(gòng)对云原(yuán)生应(yīng)用的防护,也能全方位防护主机安全(quán),实现一次部署,两种防护,助力云原生技(jì)术(shù)的快速发展。
