自主可控云原生生態與架構研究

林 靈 高允翔 王奉軍

中國聯通研究院 北京 100048

引言

隨著信息科技的不斷發展，以及行業內外的認同和重視，軟件架構從集中式到分布式，從垂直架構到SOA架構再到微服務架構，一直在朝著降本增效的方向發展。近幾年云計算火熱發展，為了充分發揮云計算的彈性、分布式技術優勢，軟件架構進入了云原生時代。中國的軟件廠商也一直在追趕云原生大潮。以Kubernetes為例，至2019年，中國已經成為Kubernetes全球第二大貢獻國。同時，CNCF基金會中超過10%的會員來自中國，目前包括了阿里巴巴、華為、京東、火山引擎等白金會員，以及多個黃金會員。

在逆全球化背景下，尤其是俄烏沖突以來，西方軟硬件企業對俄羅斯企業的種種制裁，促使企業從維護自身業務可持續運營和信息安全出發，考慮采取自主可控的產品建設業務應用系統。但當前企業選擇的自主可控產品大多是基于傳統架構的，其自主可控應用改造大部分是將傳統架構的非自主可控軟件替換成相同架構下的自主可控軟件的過程。而老舊的架構將會逐漸被時代、市場和有能力維護的技術人員淘汰，其安全性也將隨著時間的推移而逐漸降低，企業將來仍然需要進行架構升級，將現有的系統改造成更為先進的架構和軟件產品，以增加功能性，提高可維護性，增強技術安全性。對于大型系統來說，每一次軟件產品或者架構上的升級改造都需要投入大量人力物力，而且將存在一段時間的適應性和兼容性問題。因此，本文提出將企業單位的國產化改造和架構升級進程合二為一，并給出當前較為成熟的自主可控云原生產品以及可能的云原生軟件系統架構以供企業單位參考選用。

1 自主可控云原生生態發展現狀

為了追求更高效的資源配置、更合理的人員分工、更便捷的開發部署方式，以及軟件工程學中的高內聚、低耦合的架構研發方向，隨著容器、微服務、服務網格等相關技術的發展，云原生技術架構模式正在快速發展中。軟件架構大都趨于復雜，軟件使用者在選擇軟件產品構建軟件架構時不但要考慮其實用性和適用性，更要考慮各個軟件模塊之間的兼容性和軟件的相關技術支持。在軟件市場中，一個技術產品的成熟和推廣，與其社區支持和相關生態建設的發展是互相促進、相輔相成的。

成立于2015年的云原生計算基金會(CNCF)目前已吸引了超過600個會員，為云原生生態社區貢獻了多個重要項目[1]，推動云原生概念在開發社區、企業單位和市場中得到了廣泛認可。其中，最熱門的容器技術已經在眾多行業和領域有了許多落地的案例，包括高科技、金融、制造、零售、教育、政府，甚至軍事等。

2018年容器技術在中國大規模落地，云原生開始深入國內產業并形成潮流。據云原生產業聯盟的報告稱，2019年的國內軟件行業中，六成以上的用戶已在生產環境中應用容器技術，八成用戶已經使用或計劃使用微服務，Serverless技術也有近三成用戶在生產環境中應用[2]，表明云原生技術價值在國內行業中得到了認同。

從生態建設方面來說，國內幾大公有云服務商本身就已經趁著云原生的東風，將自己的產品融合改造，打入了國際市場。以阿里云為例，從2008年開始自主研發大規模分布式計算操作系統“飛天”開始至今，其云計算技術經過自身軟件的超大流量訂單驗證[3]，為服務推廣打下堅實的基礎，同時也為其他云服務商提供了一條發展通路。阿里云的獨特優勢在于自主研發的技術，產品線囊括云原生架構中的大部分分類，形成了自身特有的一套云原生生態鏈體系。目前阿里云已經穩居亞太云數據庫市場份額第一，在全球公有云IaaS市場占有率排名第三[4]，說明阿里云產品服務也得到了全球范圍內用戶的廣泛認可。

此外，這些云服務商都有深入云原生技術生態研究的發展規劃和相應落地實踐經驗，由它們帶領其他國產軟件產品進入生態鏈，建立國內云原生相關技術產品生態圈，是國產軟件推廣產品、深入產業鏈、追趕云原生浪潮，進而建立健全國產軟件生態的時代機遇。以華為為例，作為全球首批CNCF認證的Kubernetes服務提供商，華為從CNCF創立前期至今都在CNCF社區活躍且積極貢獻，是最早將云原生技術在生產環境中使用的公司之一，也積極把需求帶到社區進行落地。華為云云原生服務棧目前已覆蓋CNCF的技術全景圖，可以全面支撐企業應用上云前后的全生命周期環節，同時還在CNCF開源生態里貢獻了相當多自研的開源組件，如ServiceComb、Volcano、KubeEdge、openGauss等[5]。2019年華為推出了鯤鵬凌云合作計劃，與國產軟件服務提供商合作，涵蓋了數據庫和中間件、應用提供類、解決方案和企業云遷移實施服務等廠商[5]，對國產軟件的發展和生態圈建設有著積極的推動作用。

2 自主可控云原生架構

隨著技術發展和應用場景的豐富，云原生架構及其中各領域產品都有了幾次技術更新迭代。以其中最為核心的服務編排調度框架為例，早期的OpenStack技術棧是國內外公有云的主流計算框架，其開源社區吸收了各大科技公司的貢獻[6]，擁有穩定成熟的開源方案，國產芯片如鯤鵬、海光，國產服務器如曙光、泰山，國產操作系統如麒麟、openEuler都對OpenStack有較好的適配支持，國內云平臺如京東云、百度智能公有云等也有基于OpenStack的云原生化改造應用。但隨著海量數據和大規模計算場景的增多，OpenStack以虛擬機為單位的調度方案不再滿足更高的計算需求；同時OpenStack子項目及組件較多，要進一步提升集群規模和擴展性，需進行深度研發優化組件性能，因此現在OpenStack大多應用于IaaS層的調度。較為流行的調度框架還有Apache基金會的Mesos、Docker公司的Swarm，Mesos適用于大規模任務調度，Swarm較為輕量操作簡單[6]；這兩個項目較擅長把一個容器按照某種規則，放置在最佳節點運行起來，即容器的調度，目前使用不是特別廣泛。

谷歌公司開源的輕量級容器編排項目Kubernetes更關注容器化應用的管理與編排，擅長按照用戶的意愿和整個系統的規則，自動化地處理好容器之間的各種關系，對主流容器編排調度的需求適應性高[6]，憑借其優秀的開放性、可擴展性以及活躍的開發者社區，目前已成為分布式資源調度和自動化運維的事實標準[7]。國內有很多云廠商都發布有基于Kubernetes的容器編排管理方案和云平臺，如阿里云、華為云、百度智能邊緣云、DaoCloud[8]等。

國外云計算、云原生的概念和產業落地實踐都比國內各大科技公司要早，因此云原生生態和架構中的部分國內產品還是使用以國外產品為基礎、國內廠商進行改造和包裝、個性化定制、技術優化等模式推出的。對于提供綜合云服務的國內廠商，有些將各個領域的成熟國產云原生軟件產品整合，搭建完整的國產云原生框架，提供綜合型的云原生服務；另一些使用整個產品線自研開發的構建模式，如阿里云、華為云等國內知名廠商，提供產品間綁定性較強的一系列服務。

3 自主可控云原生架構參考方案

國內各企業單位當前的業務應用大多基于傳統架構構建。當應用系統需做自主可控改造或構建基于自主可控產品的備用系統時，如果目標架構仍然是傳統架構，雖然應用系統選用的是自主可控軟件產品，安全性得到了提升，但應用架構依然落后于國內外先進技術，其易用性、靈活性、可靠性、可維護性等各方面特性都跟不上時代，后期可能面臨二次改造來完成架構升級。當前信息技術創新產品資源池中，相關產品多是傳統架構的自主可控產品，尚缺乏云基礎設施、云平臺、云原生相關品類及相關產品；不過對于大多數企業單位來說，在業務引用自主可控改造過程中的產品選擇方面并非剛性約束，在保證信息技術產品供應鏈安全、信息安全的前提下，企業的自主可控改造擁有自主選擇的權力。因此，建議企業在進行應用系統自主可控改造過程中完成架構升級，根據實際應用場景和應用特點的需要，考慮采用更先進的云原生架構的可能性，而不僅僅只是產品的變化。

通過對國內云原生生態架構的調查分析，可以得到國產云原生生態架構圖，如圖1所示。

圖1 國產云原生軟件架構生態

綜合各個產品的開源單位、開源協議性質、軟件成熟度等方面的情況，本文給出一個自主可控云原生架構建議，如圖2所示，以供有需求搭建云原生架構的單位或技術人員參考。

總體來說，云原生架構由應用定義與開發、服務配置與編排調度、應用服務運行時、無服務架構、運維分析等部分構成。

1)應用定義與開發層

在數據庫方面，傳統數據庫在云原生時代特別是大規模分布式集群應用場景下將產生高額成本及運維困難等問題，因此用戶紛紛轉向云原生數據庫，這成為追趕云計算大潮的國產廠商的新機遇。螞蟻金服全自研的OceanBase兩次打破了TPC-C測試世界記錄并維持排名第一[9]，在去“O”困難的金融領域得到了多家商業銀行和保險機構的認可和歡迎[10]。

圖2 自主可控云原生架構

消息中間件和流式處理領域較為突出和使用較為廣泛的國產產品是阿里開源的RocketMQ。此外，EMQ應用于5G時代物聯網場景，支持百萬級連接，在全球物聯網市場得到了廣泛應用[11]。

2)服務配置與編排調度層

服務注冊與發現領域，存在AP、CP安全性條件的取舍問題，阿里開源的Nacos可支持切換AP、CP模式，可以與Spring Cloud Eureka無縫結合，比傳統的單純的Eureka、Zookeeper更適應云原生分布式場景，已經在國內獲得了非常多的實踐[12]。

編排調度方面，基于kubernetes的個性化優化項目在國內有了一定的發展。源于華為AI容器的Volcano項目主要面向大數據計算和AI訓練場景，彌補了Kubernetes在高性能應用方面的不足[13]；騰訊開源的TKEStack結合了騰訊創新的GPU虛擬化技術，面向離線計算和在線業務混合部署場景，能夠穩定管理萬級別Kubernetes集群，目前也已經進入孵化階段[14]。

RPC遠程調用方面，阿里巴巴開源的Dubbo可以和Spring框架無縫集成，是國內第一款成熟的商用級RPC框架，目前在國內各個行業的應用已經非常廣泛[15]。

服務代理方面，老牌Nginx已經家喻戶曉，國內也有這方面的生產實踐。螞蟻金服開源的MOSN可以與任何支持xDS API的Service Mesh集成，亦可以作為獨立的四、七層負載均衡使用，并已經過幾十萬容器的生產級驗證[16]。

服務網關方面，阿里開源的Sentinel積累了大量的流量歸整場景以及生產實踐，目前已經在6000多個系統中得到使用[17]。

容器鏡像倉庫方面，除了與Docker配套使用的Docker Registry之外，阿里云容器服務中的ACR可以提供安全穩定的鏡像構建和托管服務，解決了國內用戶訪問國外倉庫和服務時的網速和限制問題[18]，深受國內用戶好評。

云原生安全技術方面，小佑科技Dosec、青藤云安全的青藤蜂巢、探針科技的Tensor Security從不同維度、顆粒度提供了對容器、應用、運行時環境、鏡像等的安全檢查、控制、防御、異常追蹤、合規檢查等能力[19-21]。

3)應用服務運行時層

存儲技術作為底層技術框架，也可以充分利用云計算的分布式優勢，構建靈活彈性的存儲框架。華為開源的OpenSDS可以解決多云環境下異構資源存儲的統一納管的問題，有多家業界領先的存儲廠商和優秀企業提供技術指導和業務需求分析[22]。

容器運行時環境方面，國內創業公司開源的kata底層將Intel Clear Containers和Hyper.sh的RunV合并，與谷歌的gVisor項目并稱為目前兩大安全容器技術[23]。

云原生網絡方面，靈雀云開源的企業級云原生Kubernetes容器網絡編排系統Kube-OVN將OpenStack領域成熟的網絡功能集成到Kubernetes中，提供了跨云網絡管理、傳統網絡架構與基礎設施的互聯互通、邊緣集群落地等復雜應用場景的能力支持[24]。

4)無服務架構

無服務架構方面，阿里的FaaS框架Midway Serverless主要應用于前端快速構建Node.js云函數的場景，提供了多個云平臺的運行時啟動器，使其可以在多個云平臺上快速部署[25]。此外，華為的FunctionStage、騰訊云的Serverless Cloud Function等都能提供Serverless云函數托管和計算服務。

5)運維分析層

運維方面，可以分為監控、日志、鏈路追蹤和混沌注入。監控方面，除了當前比較主流的Google開源的Prometheus外，小米開源的Falcon提供了面向互聯網的企業級、高可用、可擴展的監控解決方案[26]。日志方面，阿里云的Log Service、七牛云的Pandora、日志易的Rizhiyi都可以提供日志采集、查詢分析等相關功能。螞蟻金服的服務鏈路跟蹤工具SOFATracer，國內開源愛好者開源的基于分布式跟蹤的應用程序性能監控系統SkyWalking可提供鏈路追蹤服務?；煦缱⑷敕矫?，目前國內主要產品是阿里云的面向云原生的混沌工程工具Chaosblade，可實現底層故障的注入[27]。

此外，在服務網格、持續集成與交付(CI/CD)、私鑰管理等領域，國內軟件存在一些空白，但國外產品已比較成熟，目前市場基本被國際知名廠商占據。

對于國內市場還沒有較為成熟產品的領域，如果有需要，可以使用風險較低的國內公司開源產品暫為替代，以保證架構的完整性；若國內開源產品中也沒有比較突出的，如開發工具、服務網格、持續集成與交付、操作系統等領域，則可使用風險較低的國外開源產品填補，但使用這些開源產品必須考慮其開源許可協議對衍生產品的限制規定。由于部分強著作權型開源許可協議存在“傳染性”，如GPL(General Public License)規定，如果原始授權人采用GPL來發布自己的作品，那么無論該作品的任何衍生作品，都要遵從GPL的規則，不允許修改后和衍生的代碼作為閉源商業軟件發布和銷售[28]。因此，在選用以GPL及類似協議作為開源許可協議的產品時，需要受到知識產權方面的法律限制，有一定風險。而像BSD、Apache、MIT等協議屬于寬容型許可協議，若使用了以這些協議作為許可協議的軟件，則基本不被限制開源或商業化行為。因此我們認為，使用寬容型開源許可協議的軟件產品屬于風險較低的軟件產品，可以作為國產化改造的產品選用替代參考。

4 結語

結合以上對于國產云原生生態及相關產品的分析，我們可以認為以開源產品和國產自主可控產品為主的云原生生態已逐漸成熟，品類也較為齊全。在企業業務應用自主可控改造過程中，應探索從使用非自主可控產品、傳統架構，轉變為使用自主可控云原生產品來構建系統架構的自主可控改造方式，把一步到位地升級到最新的云原生架構列為選項進行評估，從而避免二次升級帶來的成本浪費及對業務生產的二次沖擊。國內綜合云服務廠商也可以將低風險開源產品和國產自主可控產品整合，構建自主可控云原生服務框架，為客戶提供全面的云原生服務。