云原生时代云平台建设的新思路

1、云原生时代云平台建设的新思路如何解决三大超级问题3开放应用 (VM)云原生应用 (容器)双模已临(应用和基础架构正在发生巨大改变)传统应用(mainframe/小 机)开放应用 (VM)云原生应用 (容器)传统应用(mainframe/小 机)Near future驱动2:传统应用持续 上云 (Rehost/Refactor)驱动1:新业务大量 采用新应用架构和 部署模式(Rebuild)Before(企业现状)稳态敏态稳态敏态混合态(容器+VM)驱动3:部分传统应用 进行全新的现代化改 造和迁移 (Refactor/Replatform).传统架构应用 (VM)微服务架构应用 (容器)物理机

2、物理机K8SEXiOS/VM控制平面数据平面双模挑战-平台环境建设管理的三大”基础”难题两类技术人才,两种技术体系,两种工作文化虚拟网络容器网络超级编排难题(多种部署模式)超级网络难题超级接口难题 (南北向接口)混合态(容 器+VM)架构平滑演进:如何迈过双模技术鸿沟？如何实现技术栈的持续整合与优化？如何实现网络的云化转型？管理门户vCenterOpenstack/others管理门户应用是贯通的 但管理分裂的3 困扰云平台的魔咒超级编排与超级接口问题VMVM容器物理服务器HypervisorVMVM容器容器公有云裸金属服务器NitroVM容器EC2容器以AWS示例统一访问门户服务目录服务请求

3、服务计量用户管理应用管理其他应用场景低内聚高耦合，复杂集成领域层（领域层和厂商耦合）：领域层接口不统一，领域能力 参差不齐，领域能力输出贫血需要部署多种管理工具，管理 维护难度高指令式接口声明式接口（使用层和领域层耦合）:应用层混杂了领域层的能力和业务的需求，定位不清晰二次集成,接口集成难度大， 工作量大，不稳定跨领域统一编排引擎工程难 度非常高UI使用层KVMVM容器挑战1：如何实现统一交付 IaaS，CaaS，PaaS服务能力？挑战2：如何实现统一全生命周期管理能力（Day0Day1Day2）？功能集合功能集合功能集合功能集合功能集合功能集合功能集合功能集合V虚拟化xK8sK虚拟化xK8s

4、虚拟化xK8s管理中心控制平面管理中心控制平面管理中心控制平面公有云控制台ECSEKSVMKVM虚拟化服务器（ Hypervisor ）竖井竖井竖井竖井超级编排与超级接口的挑战4 超级网络难题-无处不在(基础架构/应用/安全 要不要综合考虑)DMZ东西向隔离等保2.0数据中心安全容器网络vSphere网络KVM网络物理网络多数据中心打通多云打通东西向南北向传统应用负载均衡数据中心连接微服务网格微服务负载均衡5 网络难题：容器云网络的需求及挑战容器网络的需求：业务同时分布在VM及云原生容器，容器需要 双向访问物理网络及传统应用租户，应用及业务对外提供固定ip子网或者 地址，便于外部流量监管银监会

5、要求应用点对点设置访问规则，容器 内及与传统业务的安全隔离，高级威胁防护保证关键业务QOS，多租户实现业务敏捷发布，隔离，弹性池化扩展，蓝绿， 灰度稳定，可靠，成熟，商业支持容器网络的挑战：众多类型的开源CNI插件拼凑，Underlay， Overlay，全路由如何选择？缺乏多租户网络映射，基于Node分配子网而非 Namespace缺乏有效及全面的容器云安全，应用流量溯源， 隔离，抗病毒，恶意软件，入侵防御缺乏企业级容器4层和7层服务发布集群扩展性差，复杂度高（跨vlan）,物理网络与 容器网络复杂对接，依赖缺乏多集群容器网络，VM与容器网络统一管理缺乏容器网络监控运维，同主机，跨主机，跨集

6、 群Pod流量监控，路径跟踪、QOS、 SPAN/netflow、可视化6新一代全融合式架构让基础设施环境的融合更易实现vSphere7 核心技术突破，推动两代创新平台融合，实现基础设施环境的一致性工作负载平台Supervisor Kubernetes Cluster计算ESXi网络连接NSX存储vSANvCenter云原生应用部署和运维应用基础架构即服务管理基础架构资源创建 Kubernetes 集群创建支持服务（数据库、 中间件、DevOps 工具等）服务管理管理服务生命周期管理模板和镜像库存管理策略管理工作负载管理资源分配和监控诊断和故障排除基于策略的管理软件定义数据中心Hypervis

7、or 隔离集群微分段网络云原生存储K8s 服务虚机+Native Pod 服务生态系统应用 运维团队基础设施 运维团队应用服务原生Kubernetes |面向应用的管理|开发与运维深度协作VMVM更好的经济性|更好的扩展性|更高的效率7vSphere7.0-声明式交付kind: VirtualMachine apiVersion: /v1 metadata:name: COTSapp spec:className: large imageName: my-app.ova powerState: poweredOn policy:restartPolicy: OnFailurekind: Han

8、aDatabase apiVersion: /v1 metadata:name: ERP database spec:nodes: 3class: extra-largekind: KubernetesCluster apiVersion: /v1 metadata:name: My Applicationspec:topology: workers:count: 3class: smalldistribution: v1.15.1kind: Pod apiVersion: v1 metadata:name: Function 1spec:containers:- name: func1 im

9、age: func1 ports:- containerPort: 80VM AppVMDatabaseVMVMVMKubernetes ClusterNodeNodeNodeControl PlaneNative PodsFunctionFunctionk8s Native Applications 8 一栈双模 架构平滑演进-破解双模困境 既稳又敏混合模态传统架构 应用(VM)微服务架 构应用(容器)K8S/vCenter融合应用 (容器+VM)融合面向应用的统一网络传统架构应用 (VM)微服务架构应用 (容器)物理机物理机OpenstackK8SEXiOS/VM控制平面数据平面两类技术人

10、才,两种技术体系,两种工作文化虚拟网络容器网络超级接口难题声明式交付服务目录vCenter服务目录管理层面统一管理统一管理平面 统一服务目录统一控制平面超级编排难题混合态 (容器+VM)vSphere7多云(私有云,阿里,AWS,Azure,GCP,Oracle,IBM)超级网络难题容器&虚拟化统 一网络:NSX/AVI跨多云的统一计算资源底座9 11融合式架构结合 K8s 极大简化了 编排复杂性企业云SDN网络微服务应用SDN物理网络基础架构传统应用虚拟化云应用现代化微服务/云原生部署方式： 手动命令行 部署时间： 以天为单位部署方式：自动或GUI 部署时间：分钟级部署方式：自动 部署时间：

11、秒级虚拟化企业应用数字化转型对网络与安全提出了更高的要求11 工厂的归工厂，工地的归工地领域层：领域层和厂商解耦 高内聚低耦合，简单集成VMVMVMVMIaaS组件CaaS组件PaaS组件Day0Day1Day2K8s统一交付统一管理VM容器KVM容器 VM容器容器EC2容器容器 VMKVMHypervisorNitro虚拟化服务器（ Hypervisor ）物理服务器公有云裸金属服务器以AWS示例统一访问门户服务目录服务请求服务计量用户管理应用管理其他 应用场景 应用场景 应用场景 应用场景 应用场景应用场景UI应用（使用层）： 使用层和领域层解耦云管理平台云基础服务平台12 IaaS与Pa

12、aS来源不同，独立部署IaaS与PaaS控制平面分离，无法统一管理IaaS与PaaS之间间隔明显，难以实现有效联动IaaS与PaaS服务能力受限于各自平台框架能力分层堆叠模式的企业云模式企业云从分层堆叠模式向融合架构模式演进融合平台同时支持虚机及容器负载（IaaS+）跨平台标准K8s声明式API使统一管理成为可能企业级应用市场极大拓展了平台的能力范围PaaS能力可在IaaS+平台上“进化生长”出来融合架构的企业云模式容器通用服务组件融合平台VM容器应用市场通用服务组件定制服务组件VM容器13 企业云 企业云的发展推动了云管理能力升级企业云的发展推动了云管理能力升级融合云基础 平企业台云 17三

13、代企业云架构示例基于虚机的资源基于容器的资源IaaS服务组件CaaS服务组件PaaS服务组件FaaS服务组件研发环境测试环境准生产环境生产环境云用户云管理员 人工 智能实时数据处理应用K8sNS使用层：使用层和领域层解耦用户通过统一服务平台访问三代云资源池的资源。用户通过统一服务平台中的应用市场获得 所需的基于不同负载类型的服务组件。用户基于已获得服务组件自由装配出所需 环境。业务层用户利用装配出的IT基础设施环境，开发、 部署、运行其创新应用。清晰标准 使用界面领域层：领域层和厂商解耦第三代企业云技术栈通过在Hypervisor内 建集成对K8s API的支持，可同时支持虚机及容器的声明式交

14、付。提供融合的IaaS、 CaaS能力以及原生的PaaS开发框架支持。开源平台可藉由Kubevirt实现通用底座能 力，混合支持容器及虚拟化私有云物理机HypervisorVM容器VM容器集成的 K8s API 接口同构混合云裸金属Hypervisor集成的 K8s API 接口原生公有云裸金属Nitro/Ironic/神龙公有云开放 K8s API 接口VM容器VM容器VM容器VM容器多云/跨云/混合云的基础设施资源供给 Day0基于 K8s 声明式API的统一服务平台（集成应用市场）Day1Day2一致性接口高内聚低耦合，简单集成NSX提供全面L2-7层企业级容器云网络，安全，负载均衡原生容器网络，“一等公民”，统一链接，统一策略统一管理，统一监控，全路由+Overlay+NAT，高性能网关基于Namespace多租户拓扑、ip子网分配，便于外部流量监管支持子网、SNAT ip识别租户，基于K8S服务识别应用企业级容器服务发布，集成L4，L7，WAF及容器GSLB多中心微服务双活，弹性扩容，隔离，基于annotation企业级容器云网络监控运维，容器网络清单，拓扑展示，事件及报警，网络路径跟踪，netflow，Span，F