金融企业容器平台建设-需求和设计实践经验分享
分享目录
1 银行建设容器平台的背景
2 需求分析
3 业务架构
4 关键设计
4.1 资源池管理
4.2 网络设计
4.2.1 技术方案选择
4.2.2 网络拓扑规划
4.3 镜像仓库
4.4 应用管理
4.4.1 应用编排
4.4.2 生命周期管理
4.5 安全管理
4.5.1 对接安全合规体系
4.5.2 多租户隔离
4.5.3 应用等级隔离
4.6 监控日志
4.6.1 监控
4.6.2 日志
5 总结和建议
银行建设容器平台,不仅需要为基于微服务架构的新业务提供容器化运行和管控平台之外,还必须非常重视满足金融行业严苛的监管和安全要求。这样的定位决定了在银行建设容器平台除了要具备市场上大多数容器平台产品的能力,还应该为银行的特殊监管需求进行定制。
因此制定银行容器平台的需求时,建议考虑包括的方面有:
管理大规模容器集群能力,包括:提供容器所需的高可用集群、资源池管理、网络通信方案、存储方案、编排调度引擎、微服务运行框架、镜像管理、事件告警、集群监控和日志收集等。为满足金融业务的监管和安全要求,平台需要考虑应用的高可用性和业务连续性、多租户安全隔离、不同等级业务隔离、防火墙策略、安全漏洞扫描、镜像安全、后台运维的4A纳管、审计日志;如果容器平台还对公网提供访问,那么还需要考虑访问链路加密、安全证书等。
还有一个重要方面是,银行的金融云是一个范围更大的复杂云环境,容器平台通常是这个复杂系统中的一部分,因此容器平台还要遵从银行已有IT技术规范和运维要求,例如可能还需要考虑:
支持银行自身的应用发布体系、持续集成系统、应用建模规范、高可用管理策略对接金融云底层资源池(例如IaaS),遵从云计算资源的统一管理和分配对接或改造容器平台的网络,以满足容器平台中应用与传统虚拟机、物理机中旧业务系统的相互通信,避免或尽可能减少对银行现有网络管理模式的冲击对接统一身份验证、和整个金融云其它系统采用统一的租户定义、角色定义、资源配额定义等对接漏洞扫描、集中监控系统、日志分析系统等已有周边系统