太保集团云计算建设之路与金融级云原生转型路线

王辉太保云首席架构师 个人介绍 王辉太保集团/数智研究院云计算专家 太保集团新一代云平台首席架构师，具备十多年的系统开发维护，云产品架构设计、解决方案设计经验，多年金融单位、互联网云厂商工作经验，曾做为总架构师主导过多家银行私有云/金融云、多家保险混合云/专有云建设、城商行云化转型等项目建设；目前就职于太平洋保险集团数智研究院，主要负责集团云原生技术规划建设、业务双活/单元化体系建设，资源混部、智能运维、混沌工程等课题。 太保集团云计算路线 1 太保云原生建设路径 2 目录 太保云建设实践问题 3 CONTENTS 面向应用的运营运维 4 5 云计算带来的价值 01太保集团云计算路线 太保云计算路线 太保云计算建设阶段及目标 IT服务化 资源共享 •业务开发人员可自助管理和按需使用基础组件，无需关注底层系统的细节和运维。•积木式搭建新业务，提升开发效率，降低工作复杂度。 •虚拟化、资源池化，充分利用硬件资源，降本增效；•资源隔离和业务隔离，保证稳定性和安全型。 弹性伸缩 服务可计量 •用多少付多少，实时结算。•通过使用量分析报告，挖掘闲置资源，智能调度资源，提升资源利用率。 •按需灵活扩展和释放硬件资源，快速响应业务负载变化，提升资源利用率；•弹性、多副本带来高可靠和迁移灵活性。 第二代：统一管理和自动化 •虚拟机的推广使用•提升了硬件利用率 G O P S全 球 运 维 大 会2 0 2 3 ·上 海 站 02太保云原生建设路径 太保云原生之路：云原生理解 云原生技术使各组织能够在公有云、私有云和混合云等新型动态环境中，构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式API。这些技术能够构建容错性好、易于管理和便于观察的松耦合系统。结合可靠的自动化手段，云原生技术使工程师能够轻松地对系统作出频繁和可预测的重大变更。----CNCF 2018 云原生核心在于将过去在应用架构层做的大量工作，尤其是弹性与韧性，下沉到云平台层去实现，让应用只需要关注客户体验与业务逻辑。----我们的理解 云原生之路：云原生的价值 云原生建设目标 云原生建设内容 云原生技术支撑业务云原生改造 云原生文化提升云原生生产力 云原生组织保障云原生的实现 架构管理敏捷业务开发团队云原生技术开发团队云原生平台运营团队云原生运维团队 服务化能力弹性能力可观测性能力韧性能力自动化能力无服务化能力 分布式理念，高可用架构Devops文化以应用为中心数字化基础设施 云原生文化 1.组织内保持一致A.统一的架构管理 2.持续学习与实验A.局部经验转化为全局改进 B.鼓励试错，重新定义失败C.预留学习与改进的时间D.持续迭代和优化 3.建立内部的技术社区 A.鼓励交流，定期组织技术沟通B.鼓励共享，给与奖励C.稳定的社区运营4.建立基于云原生的协作文化 A.建立打破部门强的机制 B.开发和运维结合更紧密C.创新抽象化的语言，重新定义开发和运维 云原生技术定义 结合行业对于云原生的定义，云原生技术能力分为6大块，30项能力，已具备9项，6块能力建设中，还有15项能力待建设 云原生微服务应用选型标准 p应用选型原则：（基本原则是必选项，附加原则是可选项） Ø基本原则 1.业务复杂度：业务规模比较大，架构比较复杂（由多个进程协同完成一个作业流程）2.性能要求：高并发或单库数据量大（远超单机承载能力） Ø附加原则 3.业务更新效率：要快速迭代，快速上线4.独立升级：模块进行独立升级5.降低影响范围：分布式拆分控制爆炸半径，提高系统整体可用性 p微服务改造要素：（判断单体应用是否可以拆分为微服务的标准） 1.小：微服务体积小2.独：能够独立运行和部署3.轻：使用轻量级的通信机制4.松：微服务之间松耦合 云原生微服务应用选型标准 从传统单体架构到中台领域化微服务架构 可以结合企业架构的应用梳理，来沉淀集团和各子公司的中台架构 1.将核心系统的通用领域提升到中台能力层次，将核心系统中的各个业务产品放入产品服务层 2.核心系统中的领域实体构建成微服务应用，实现核心服务能力的对外暴露，以及业务的松耦合 云原生应用的技术定义 如何定义一个应用是否是云原生？ 从技术实现上进行定义是：（必选+可选）随技术能力的逐步提升，部分可选会逐步走向必选 云原生组织 云原生组织的构成 03太保云建设实践问题 太保新云实践-重点关注 太保云整体架构 高可用部署-存储集 ØStorageSet（存储集）用于控制云盘的物理分布策略，满足客户对一组云盘的故障域隔离、业务隔离、流量打散和性能压力分摊等需求。StorageSet能够做到可用区内存储集群粒度的隔离 Ø创建StorageSet时需要设置分区的个数，也就是隔离云盘的分组个数 Ø当前两个混闪集群，分区数设为2即可 使用举例 Ø以ECS部署主从实例的mysql为例，目标需要将主实例和备实例数据库分别写到两个存储集群Ø租户开通StorageSet-db并设置两个分区1和2，每个分区对应一个混闪块存储集群Ø创建mysql主实例ECS时，选择云盘时先选择存储集StorageSet-db，其次选择分区1Ø创建mysql备实例ECS时，选择云盘时先选择存储集StorageSet-db，其次选择分区2 G O P S全 球 运 维 大 会2 0 2 3 ·上 海 站 Mesos向K8S迁移 G O P S全 球 运 维 大 会2 0 2 3 ·上 海 站 云原生-容器网络模型选择 容器网络模型--采用eni网络插件 •容器和虚拟机在同一层网络，便于应用从传统虚拟机直接进行云原生化迁移。•不依赖封包或者路由表，分配给容器的网络设备本身可以用来通信。•不需要额外为容器规划Overlay的网段，多个集群容器之间只要设置安全组开放端口就可以互相通信。•可以直接把容器挂到SLB后端，无需在节点上使用NodePort进行转发。•容器访问VPC内资源，所带的源IP都是容器IP，便于审计。•支持NetworkPolicy，可以自定义Pod之间的网络访问策略，实现更细粒度的安全管控。 安全部署模型 运维监控体系优化 建设目标： 1、优化监控架构，形成更符合太保生产稳定性要求的统一监控体系 租户侧：云厂商开放租户侧产品明细数据，对接太保统一监控平台，由太保统一监控平台汇集监控明细数据，结合太保自有监控工具在太保统一监控平台完成监控数据加工、汇聚及最终的报警、分析及处置。 平台侧：原则由云厂商统一完成平台侧产品监控采集、加工、汇集报警，太保统一监控平台对接云厂商报警中心，实现平台侧监控报警及处置；对于云厂商监控能力不足的基础设施监控，由太保基础设施监控能力补足；对于需重点关注的平台组件，根据需求逐步开放平台侧产品明细数据，供太保对接分析。 新云监控与告警优化 新云监控及告警优化： 1.通过cadvisor/metrics接口zabbix采集对租户侧新云进行监控与纳管2.连通云厂商事件中心，接收并处理云厂商平台侧告警事件3.按运维需要，对告警进行同类收敛、工单抑制与升级；同时强化告警信息的关联丰富与告警可读性优化的能力； 04面向应用的运营运维 业务规划及应用蓝图终态 云原生应用交付&应用运维范式 云原生应用交付&应用运维范式 混合云管消费蓝图来加速应用资源部署 04云计算产生的价值 云计算收益 金融级云原生的价值 开放运维联盟高效运维社区DevOps时代 荣誉出品