提到基于容器的PaaS平台建设,不得不说说银行业的先行者恒丰银行。基于银行业务场景和银行业的特殊需求,我们为恒丰银行定制开发了鉴权认证、资源管理、应用编排、弹性伸缩、日志收集、监控告警以及镜像仓库可视化管理等一系列PaaS平台的微服务模块,实现了容器云平台对多租户隔离环境的集中管理。
其中,隔离环境分别对应到某个租户的特定网络,单个网络内部流量采用睿云智合(Wise2C)实现的扁平化网络方案,网络之间流量由外部防火墙控制。由于客户还存在跨网络部署应用栈的需求,因此存储必须要基于租户的粒度,可以实现跨环境共享。我们也为此设计了合适的方案。
在非云计算的时代,通常各个租户或者企业都需要自建数据中心或者租用运营商的硬件和基础设施用于自己的服务计算和数据存储。在这种情况下,可以理解为租户自己拥有独立的数据中心,可以自己进行运维也可以将运维托管给运营商。在使用了云计算以后,企业或者租户可以向提供云计算的运营商租用计算资源,网络资源,存储资源,而不再是租用硬件和基础设施,从而简化或完全不需自建及自行运维数据中心。另外,云计算运营商的数据中心则会变得更加的复杂和庞大。其中的一个挑战就是支持多租户。
支持多租户主要体现在:
(1)针对每个租户业务的快速配置和部署。每个租户在云计算运营商申购的资源需要能够快速自动地在数据中心的网络中使能,还包括防火墙、IPS/IDS,LoadBalancer等设备的相应配置,做到即插即用。
(2)租户之间的流量隔离。实际上,由于租户之间可能共享硬件设备、带宽、存储等资源,为了保证安全,在以二层网络为主的数据中心,租户之间的流量需要进行隔离,防止租户甲的流量被租户乙接收到。传统的二层网络基于VLAN(虚拟局域网)进行流量隔离的方法受限于4096个的VLAN数量限制。
(3)网络配置和与租户应用相关的配置解藕。