云原生技術和平臺研究與實踐

高 巍，陳 磊，張紅兵，楊紅軍

（1.麒麟軟件有限公司，北京 100080；2.上海道客網絡科技有限公司，上海 200438）

企業架構指引企業建立配套的業務架構、應用架構和數據架構，推動以虛擬化技術為核心的資源型云基礎設施建設演進，以云原生為代表的新一代效能型云基礎設施建設。云原生是一套技術體系和方法論，涵蓋應用開發、構建、部署、更新、運維、運營等流程，云原生技術包含操作系統內核、容器、編排、服務網格、可觀測技術等，構建安全可控、高性能、高可靠高可用、可觀測的云原生平臺，可更好地服務于行業數字化轉型。

1 相關知識

1.1 企業架構

企業架構（Enterprise Architecture，EA）是指企業整體上的組織結構、業務流程、信息系統和技術基礎設施等方面的總體規劃，旨在實現經驗戰略和目標。企業架構定義了組織的愿景、戰略和業務目標，并提供了實現這些目標所需的結構、流程、人員和技術等資源。企業架構包含四部分：業務架構（Business Architecture，BA）、數據架構（Data Architecture，DA）、應用架構（Application Architecture，AA）、技術架構（Technology Architecture，TA）。

1.2 云原生

云原生概念最早由Pivotal的MattStine于2013年提出。2015年谷歌公司牽頭成立了云原生計算基金會（Cloud Native Computing Foundation，CNCF），致力于推動云原生技術的普及和可持續發展。2018年，隨著服務網格（Service Mesh）的加入，CNCF對云原生的定義發生了改變：云原生技術有利于各組織在公有云、私有云和混合云等新型動態環境中，構建和運行可彈性擴展的應用。云原生技術主要包括容器、服務網格、微服務、不可變基礎設施和聲明式API。

1.3 Linux內核

Linux內核從技術層面講是將應用層的請求傳遞給硬件，并充當底層驅動程序，對系統中的各種設備和組件進行尋址；從應用程序層面講，應用程序與硬件沒有聯系，只與Linux內核有聯系，應用程序使用系統調用（syscall）接口發出請求。隨著云原生技術的發展，新一代Linux內核以cGroup、eBPF等為代表支撐分布式調度、容器管理、編排管理等新功能[1]。

2 云原生平臺

云原生平臺支撐以應用為核心，從基礎設施建設到IT架構，到應用開發運營實現全方位改造，助力實現應用現代化[2]。

（1）基礎設施方面：云原生平臺構建統一的調度、管理和運行維護能力。通過統一資源管理和統一集群調度以及統一流量治理，實現跨云、跨集群的監控能力；通過統一運行維護，實現多中心不同集群的運維協同能力。

（2）應用管理方面：云原生平臺構建統一的治理和分發能力加速業務迭代。通過統一應用治理，實現獨立靈活的策略和應用配置，保障了應用的一次構建多次部署運行，同時可根據資源利用情況實現多集群間的彈性部署[3]。

（3）運維管理方面：云原生平臺構建統一的安全防護和優化能力。通過安全治理可將漏洞治理、威脅處理、應用保護等安全能力下放至分布式節點，實現安全的統一能力納管、統一攻擊防護、統一響應和統一運營，快速提升分布式接入節點的安全防護能力。

3 云原生挑戰

從傳統IT架構到云原生架構轉型，受行業業務特點影響，面臨如下挑戰。

（1）開發模式轉變：從單體應用架構向微服務應用架構升級，需要轉換應用架構設計開發思想，在微服務切分、敏捷開發、上線等諸多環節都與傳統應用有很大差別。

（2）運維新挑戰：云原生應用中微服務數量多，數據量大，監控數據復雜，需要綜合考慮多種指標。微服務架構使得應用的監控粒度更加細化，需要針對每個微服務進行單獨的監控和統計，同時需要維護整個應用的全局視圖。

（3）安全新挑戰：微服務架構和容器技術使得應用的部署和管理變得更加復雜，增加了應用的攻擊面。基于容器技術應用中的多個微服務共享同一個操作系統內核和容器宿主機，帶來了隔離性的挑戰，一旦一個容器受到攻擊，攻擊者就可以在容器內部自由活動。

4 云原生技術實踐

云原生核心功能包括：針對行業IT資源實現敏捷管理，對感知業務流量進行彈性分配，提升資源利用效率；為分布式開發、交付和運維定義統一的規范標準，發揮微服務架構靈活性，覆蓋開發、測試、運維、運營的應用交付全生命周期，提升整體應用交付速度和質量；滿足行業特殊的安全監管需求，將安全理念融入應用開發全生命周期，保障全局安全運營。

4.1 Linux內核

Linux內核技術是支撐云原生技術的根基。

4.1.1 容器網絡支撐

容器網絡依賴Linux內核虛擬化和網絡等技術，隨著內核技術發展有如下技術路線。

（1）采用Linux bridge、Open vSwitch等技術實現overlay網絡：早期容器間依賴Linux Bridge、Open vSwitch等技術實現Overlay網絡。數據包的路由轉發基于封包的方式，如VXLAN。基于VXLAN的封包和通過隧道進行跨主機的傳輸性能雖有損耗，在應用未大規模上云時性能基本滿足需求。

（2）基于BGP（Border Gateway Protocol，邊界網關協議）路由能力的網絡：不使用封包的方式來構建容器網絡能夠提升性能，借助內核的路由能力實現Pod之間的可尋址、可路由和可互通的方案。典型的方案是基于BGP路由傳播協議的方式，將容器的路由信息在所有主機之間廣播。

（3）基于MacVLAN、IPVLAN等偏物理網絡的underlay網絡：某些特定場景有使用物理IP地址實現容器網絡互通的訴求，使用MacVLAN、IPVLAN等技術實現物理IP地址與容器綁定。這種方案性能明顯優于Overlay網絡。

4.1.2 操作系統eBPF技術

近年來，Linux內核技術eBPF（擴展的伯克利數據包過濾器，extended Berkeley Packet Filter）可以運行沙箱程序，安全有效地擴展內核功能，無須更改內核源代碼或加載內核模塊。eBPF技術在云原生可觀測性、網絡加速、安全等方面具有極大支撐能力。

4.2 容器技術和容器云

基于“容器+Kubernetes”構建容器云。容器技術將應用程序打包到容器中，Kubernetes進行容器編排，實現容器的自動化部署、集群管理及應用容器化管理。相比傳統PaaS平臺，容器技術和Kubernetes容器編排引擎為應用提供了DevOps集成能力、持續發布策略以及擴縮容、服務治理等能力，使得開發者更專注于業務邏輯的開發，充分利用容器云平臺的能力，通過自動化縮短業務迭代上線周期、優化資源利用率、提高服務響應效率。

4.3 監控與可觀測性

基于eBPF技術實現從底層容器、通用技術組件到業務應用系統全鏈路監測，將鏈路、指標、日志、事件有機整合。相比監控系統異常，平臺可觀測性不僅包含監控的能力，更多的是面向業務，強調將業務全過程透明化的理念。業內通常采用OPLG體系搭建平臺可觀測性，OPLG是指將OpenTelemetry Traces、Prometheus Metrics、Loki Logs通過Grafana Dashboards進行統一展示。

4.4 安全架構

基于構建“本質安全+過程安全”底座，具備完整、有效、可靠的全棧原生安全體系。

（1）“本質安全”解決供應鏈安全的問題：選擇具備自主知識產權、生態體系完備、技術架構先進、替代升級同步的信息技術創新應用，通過“本質安全”“關后門”，解決制約網絡安全和數據安全的命門。

（2）“過程安全”構建全棧網絡安全的防護機制：依靠可信計算技術構建主動免疫體系、原生安全產品體系，構建高等級安全防護能力、安全合規保障體系，滿足強合規要求、攻防實戰安全運營體系達成安全效果目標，通過“過程安全”“堵漏洞”，對網絡安全整體運營進行防護，解決影響網絡安全和數據安全的關鍵問題。

5 云原生案例

某大型券商是國內領先的證券集團，提供專業、多元的證券金融服務，隨著互聯網業務的深入發展，亟須進行數字化轉型，尋找新的業務增長點。

（1）構建自主可控安全底座：基于國產處理器，通過國產操作系統屏蔽底層硬件，提供多樣性算力支撐，采用國產操作系統提供虛擬化、容器等技術和生態支撐。

（2）搭建開放的容器云：建設穩定可靠、跨環境一致的運行環境，構建堅實高效、穩定就緒、可管可控的容器云。容器云實現資源池化，為應用提供高效算力和AI支持。

（3）提供面向交付的一體化研發流程：平臺通過DevOps定義自動化的應用交付流程，在金融交易的復雜環境中實現應用的快速迭代。基于平臺封裝大量底層能力，提供高效的業務交付能力，賦能業務快速上線和價值變現。

（4）打造敏捷的應用上云方案：提供統一的應用編排能力，用戶可以通過模板實現應用的快速、多環境部署。通過微服務框架實現應用上云，建立獨立開發、獨立部署的應用秩序。

（5）提供“內生安全+過程安全”的安全架構：基于國產操作系統提供內生安全支撐，通過平臺提供安全可視化、運行時安全、基礎鏡像管理、安全控制、安全基線、漏洞管理等全方位的安全管控方案，為業務系統提供生產合規的安全保障。

（6）構建運維分析的決策支撐體系：基于操作系統eBPF平臺引入智能的可觀測性模塊，提升運維效率，快速定位問題根因，縮短故障處置時間。

通過平臺建設實現支撐從基礎軟硬件到應用的全棧安全可控功能，通過國產操作系統部署適配，提升業務系統自主可控的能力；通過容器化和微服務化的應用部署，提升應用開發、運維全鏈路效率。使App應用從開發到上線部署效率提升60%，運維響應速度提升50%，業務流程效率提升30%。為服務能力提升和業務戰略實施打下良好基礎。

6 結束語

云原生技術和平臺是行業數字化轉型基礎設施，不難看出操作系統（Operating System）與云操作系統（Orchestration System）是構建云原生平臺的基石，操作系統為容器提供底層的資源管理和隔離，云操作系統提供應用管理和編排能力，實現高效、安全和靈活的應用程序部署和管理功能。OS+OS技術不斷發展，為行業數字化轉型基礎設施建設和業務應用創新提供驅動力。■