《灵雀云&CNBPA:2022央国企云原生落地实用指南(51页).pdf》由会员分享,可在线阅读,更多相关《灵雀云&CNBPA:2022央国企云原生落地实用指南(51页).pdf(51页珍藏版)》请在三个皮匠报告上搜索。
1、 2022-7 国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要中明确提出“加快数字化发展 建设数字中国”,迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。此外,2020 年国务院国资委印发的关于加快推进国有企业数字化转型工作的通知,更是明确对央国企数字化转型提出了指导方向,提出要促进国有企业数字化、网络化、智能化发展。包括建设基础数字技术平台、构建数据治理体系、推进产品创新数字化、生产运营智能化、用户服务敏捷化、加快新型基础设施建设、加快关键核心技术攻关等。对于央国企而言,采用云原生等
2、新兴技术加速数字化转型已成为必然趋势,各行各业都在积极探寻云原生转型的成功路径,为企业数字化转型提速。在此背景下,云原生技术实践联盟联合灵雀云,共同发布2022 央国企云原生落地实用指南(以下简称“指南”),指南聚焦央国企不同领域不同阶段的云原生转型实际痛点及解决方案,汇集丰富技术实践干货,覆盖金融、工业、交通、医疗、教育等各行业实战方法论和先锋实践案例,深入探讨央国企云原生转型成功路径,希望能对央国企云原生转型有所裨益,进一步加快央国企云原生转型步伐,加速打通央国企数字化转型“最后一公里”,为数字经济蓬勃发展装上助推器。一、云原生转型的时代背景.2 1、政策驱动:推进央国企数字化转型意义重大
3、.2 2、业务需要:云原生已被证明是企业数字化转型的最短路径.3 3、科技变革:以容器为代表的云原生技术已成为企业数字化转型的主战场.4 二、央国企如何利用云原生实现数字化转型弯道超车?.6 1、什么是适合央国企的“上云”路径?.6 2、央国企云原生全栈云建设全景蓝图.7 3、央国企云原生全栈云建设思路:1+4+6+N.10 三、稳字当头的央国企如何实现云原生技术的平稳落地?.13 1、稳中求进:央国企云原生转型规划落地三步走.13 2、行稳致远:央国企云原生转型如何筑牢安全防线?.14 四、央国企云原生实战方法论及先锋实践.23 1、金融篇.23 2、工业篇.27 3、交通篇.33 4、医疗
4、篇.39 5、教育篇.42 五、了解更多.48 一、云原生转型的时代背景 以云原生加速数字化转型是央国企以实际行动践行“两个维护”的具体体现。习总书记多次指出,要加快数字经济发展,做出了“促进数字经济和实体经济深度融合”的重要指示。国有企业作为党执政兴国的重要支柱和依靠力量,采用云原生等新兴技术持续推进数字化转型,不断释放数字技术对经济发展的放大、叠加、倍增作用,是贯彻落实习总书记重要指示批示精神的具体行动,是践行“两个维护”最直接、最现实的体现。以云原生加速数字化转型是央国企助力构建新发展格局的有益尝试。形成以国内大循环为主体、国内国际双循环相互促进的新发展格局,是以习近平同志为核心的党中央
5、把握国内外大势、着眼高质量发展作出的重大战略部署,是在危机中育新机、于变局中开新局的制胜之策。推进数字化转型,不断增强竞争力、创新力、控制力、影响力、抗风险能力,有利于国有企业在构建新发展格局中做出更大贡献、体现更大作为,有利于新发展格局的加快形成。以云原生加速数字化转型是央国企实现高质量发展的内在要求。当今世界正处在向数字时代迈进的增速变轨期,以云原生、大数据、人工智能为代表的新一代数字技术日新月异,催生更多新产业、新业态、新模式,开辟了广阔的市场空间和发展前景。加快推进数字化转型,有利于国有企业抓住新技术发展机遇,改造提升传统动能、培育发展新动能,在数字经济大潮中实现更高质量的发展。以云原
6、生推进数字化转型是央国企推动社会经济发展的必然选择。国有企业是中国特色社会主义的重要物质基础和政治基础,是数字经济建设的主力军和排头兵。采用云原生等重要科技手段和赋能工具,加快推进数字化转型,为产业数字化赋能,为数字产业化注智,实现企业以及产业层面的数字化、网络化、智能化发展,是国有企业推动经济社会发展的必然选择,具有重大战略发展意义。企业的数字化转型是把企业实现核心价值的方式和数字化的技术和渠道相融合。以金融行业为例,过去,网点是银行实现息、储、放贷等核心价值的主要途径,现在 APP 已经变成了银行实现价值的重要手段,甚至互联网银行在诞生之初根本就没有网点,APP 是他们实现价值的唯一方式。
7、当一个企业发生数字化转型,这个企业 IT 部门就会发生巨大的变革。原来企业IT 和企业财务、法务、人力资源都是支持部门、成本中心,但是现在他们开始变成了企业运营和实现价值、实现增长的核心抓手。在这样一个大背景之下,传统IT 必然会面临多方面的需求和挑战。以往运维的应用主要是 ERP、财务、OA 系统,数字化转型时代,大量新兴数字化业务的数量可能带来几何级的增加,比如,灵雀云服务的一些城商行的渠道系统上已经有多达 8 千+服务,而股份制银行客户更是运营着 10 万+服务。以前企业更多通过采购获得新的 IT 能力,但是现在数字化业务和企业核心业务息息相关,是企业竞争力的来源,结合业务需求不断打磨、
8、自研才是可行途径。奶企、房地产这种相对传统的企业也在向“软 件企业”转型,Gartner 指出 2020 年企业有 75%的业务来自于自研而非采购。以某快递公司为例,每周二、周四要针对 30 个国家 3300 个业务进行升级,这需要非常惊人的敏捷度。传统业务系统,更多是基于信息的记录,但是在数字化的今天,系统更多是基于交互。因此业务系统越来越复杂,传统单体架构在功能开发、软件交付、测试更新等各方面都不能胜任。从单体式架构解耦变成小服务甚至微服务才是良策。这些也是“敏态 IT”的需求,敏态 IT 对传统 IT 意味着强烈的“破坏性”、“颠覆性”。基于过去标准构建的 IT 运维和运营体系在敏态 I
9、T 的面前变得疲于应对、捉襟见肘。据 Gartner 预测,随着越来越多的企业步入云原生化的进程,更多地采用本地云应用程序和基础设施,远高于 2022 年的 30%。IDC 预测也表明,容器软件市场在近几年呈爆发式增长,并且未来五年仍然会保持超过 40%的复合增长率。到 2025 年,容器基础架构软件市场收入将与虚拟化软件市场、云系统软件市场齐平,成为近几年促使软件定义计算市场增长的新 动力。对于广大企业来说,以用户为中心构建商业敏捷运营能力变得愈发重要,这就要求传统企业必须进行 IT 革新,一场以软件为核心的变革正在悄然展开,当采用容器管理成为一种新常态,那么如何充分发挥容器的潜力,尽可能多
10、地享受云原生的红利,也就成为了企业未来几年必须面临的挑战。数字化转型的加速计划将增加企业对于云原生的需求,相应地也会导致容器的使用增加,从而进一步导致对容器管理(软件和云服务)的增加。云原生使得企业快速、持续创新成为可能,是它的关键词,云原生带来的不仅仅是应用的云上部署,而是意味着全新 IT 的重塑,包括开发模式、系统架构、部署模式、基础设施、组织文化等一系列的自动化、敏捷化演进和迭代。相较于传统的应用架构,采用以容器为核心的云原生架构能够为企业带来更多的潜在好处。在高弹性、高可用、高安全性的云原生架构下,企业得以将更多精力聚焦于业务创新上,而不必再操心容器技术的细枝末节,不仅能够实现敏捷开发
11、流程、快速运维部署,大幅提升开发人员的整体生产力,而且对 CI/CD 管道的配置、DevOps 实现也是一个福音。据 Gartner 预测,对更高层次的创新、灵活性和弹性的需求,将导致基于云的容器管理服务成为 2025 年之前 85%新的定制化企业应用程序的默认选择(2022年公有云的默认选择仅为 55%)。这也意味着采用容器管理的现代化应用已成必然趋势,CNBPA 最新的调研结果表明,业务应用的敏捷开发、智能运维、性能优化是企业选择拥抱云原生的重要驱动力,传统的技术架构已经不足以支撑日益多元的业务应用需求,而以容器为核心的云原生化改造则能够有效地帮助企业实现从传统应用到现代化应用的完美过渡,
12、将软件发布速度提高 3 至 4 倍,故障率减少 80%以上,加速企业数字化转型。Gartner 高级研究总监 Paul Delory 表示:“企业机构在疫情期间迅速加快了采用云的速度,并且这一速度将在未来几年进一步加快。云服务能够让聪明的业务领导者对机会或威胁迅速做出反应。”云原生技术实践联盟(CNBPA)在前不久发布的第四期(2021-2022)传统行业云原生技术落地调研报告央国企篇中也发现:在自主可控的新时代发展机遇下,帮助央国企更好地实现从“上云”到“云 上”的完美过渡。在数字经济背景下,传统企业的 IT 团队面临着更多元的业务需求、更敏捷的迭代速度、更复杂的 IT 研发运维管理等一系列
13、挑战,而传统基础设施已不能完全满足企业日益增长的敏态 IT 挑战。为更好地应对上述挑战,越来越多的企业开始拥抱开箱即用、自主可控的一站式“全栈云原生”平台,快速优化现有资源配置,最大限度地提高开发人员的生产力、减轻运维人员的工作负担,推动企业 IT 和业务应用的敏捷迭代和高效演进,以实现数字化转型“弯道超车”。,能够让资源配置更好地适应应用的实际需求,从而改进基础设施的敏捷性、自动化、效率和成本优化,驱动业务创新增长。在进行云原生全栈云全景蓝图规划时,不仅仅要考虑云原生全栈云自身,而且要站在整个 IT 基础设施的角度上,去考虑如何通过云原生全栈云,进一步促进业务创新和业务成功。云原生全栈云全景
14、蓝图规划,通常分为以下 6 层:要考虑对于两类基础硬件的支持,比如 Intel X86 和信创基础设施。很多客户在信创之前,已经在 X86 环境上建好了平台,而在信创环境搭建好之后都会面临一个抉择,是把 X86 上的平台往信创上去延展、变成统一平台,还是在信创平台上再去建设一个完整的独立的平台。很多客户都选择了前者,一套平台覆盖信创和 X86,所以在建设云原生平台初期就应该考虑这件事,提前把信创考虑在内,支持双技术栈,也就是一云多芯。在基础层之上构建的就是云原生全栈云,包括容器管理平台、服务治理平台、研发效能平台和中间件平台。首先,最重要的就是容器管理平台,作为整个云原生全栈云的基础,后续上层
15、所有的业务能力、管理能力都需要由容器来支持;其次,服务治理平台可以为当前日益增长的微服务应用提供强大的治理能力;再者,研发效能平台可以解决从开发到运维的一体化管理问题;此外,中间件平台可以解决云原 生应用的数据问题。那么再往上构建的就是业务能力层,主要分为通用能力和专用能力两大关键板块。首先是通用能力,包括人工智能、大数据、区块链、移动开发等等,离业务相对较远,但具有很强的复用性;此外就是专用能力,即企业在经营发展的过程中逐渐沉淀下来、后续可以复用的关键能力,比如订单管理、会员管理、商品管理等等。通常情况下,我们也会将通用能力和业务能力结合到一起,称之为业务中台。在这些统一的业务能力层之上才会
16、去构建应用层,应用层的建设实际上是对下层能力的组装,所以我们经常会提建设大平台、小前端的一套体系,如果想要构建这样一套体系,最基本的统一的能力中心是一定要构建起来的。当我们已经做好了上述技术能力和业务能力的下沉之后,上层应用就会变得更加敏捷化、轻量化。只有这样,我们才能让应用的开发变得更简单,变成简单地搭积木,变成组件化,进行能力的调用和组合,就能够快速地扩展新的业务,极大地推动业务创新。构建好应用之后,就会根据业务类型的不同进行应用发布,通过 F5 负载均衡、API 网关等方式将业务发布到终端上。也就是用户层。以上就是云原生全栈云全景蓝图,在整体蓝图的规划过程中,一方面要重视整体全栈云平台的
17、建设,另一方面也要重视相应的保障体系,包含敏捷开发、业务上云、运维运营、服务治理、数据管理、安全生产等等。首先,企业需要建设统一的全栈云核心支撑平台,覆盖所有的基础设施,基于所有基础设施提供统一的云原生能力。这样做有以下三点好处:第一,可以实现,屏蔽下层多种基础基础设施差异,向上为业务应用提供统一标准的部署、运维、管理的界面,迅速补齐其他现有云的缺陷,实现多云管理;第二,可以实现,满足一云多芯的国产化需求;第三,可以有效,比起直接采用开源工具,全栈云能够直接为托管 K8s提供成熟且安全合规的 DevOps、数据服务,实现低成本定制开发。除此之外,。传统应用可能包括单体应用、SOA 应用、分布式
18、/RPC 应用、SpringCloud 应用、ServiceMesh 应用,而云应用则包括容器应用、OAM 应用、SpringCloud 应用和 ServiceMesh 应用。我们建议第一次进化时要简单快速、可实施,尽量避免规划过于复杂,而是快速让研发、运维、业务人员感受到云原生全栈云的便利;即便是业务上了全栈云之后,业务的进化也并没有停止,还可以进行第二次进化,比如:可以把容器应用进化成 OAM 应用、实现业务解耦;把 SpringCloud 应用进化成 ServiceMesh 应用,实现业务和治理的分离,形成治理下沉。在二次进化时,我们的建议是轻度改造,适可而止,也就是说不是所有业务都需要
19、直接进化到最终的成熟度,把应用保持在最合适的成熟度即可。其次,全栈云平台需要具备以下四大核心能力:容器管理能够为容器化的业务提供运行环境(计算、存储、网络等)、运维工具、展示页面,并且为不同职责人员提供权限管理。在进行容器管理能力规划时,要重点关注架构的先进性。容器作为云原生全栈云的核心底座,其架构先进性主要体现在对于一云多芯、边缘计算、GPU 虚拟化等的支持,而这很大程度上会影响未来整个云原生全栈云的稳定性和持续发展。提供敏捷开发平台,能够规范梳理研发管理流程,快速将代码通过自动化流程构建为应用并且部署起来,提升业务交付效能。在进行研发效能规划时,要重点关注开放的 DevOps。封装比较厚重
20、的 DevOps 往往具有很强的观点性,很难适应企业现有的技术环境,而且很难打通企业以往的技术资产,所以采用开放的 DevOps 工具就成为了必然选择。提供服务治理框架,提升业务流的管理细粒度,为业务本身的改进及对外服务的提升提供依据及支撑。建议企业重点关注双栈微服务治理能力,除了 考虑传统的 SpringCloud,也要将先进的下一代微服务架构 ServiceMesh 纳入规划中,采用双栈支持、双栈调用,通过双栈微服务治理架构实现微服务进阶的完美过渡。构建常用中间件框架管理和维护体系,引入符合技术特点要求的中间件,并提供中间件的全生命周期维护。建议企业尽量采用产品化程度比较高的中间件平台,可
21、以极大程度上提升开发、测试、运维的工作效率。此外,企业还需构建以下六大体系:构建完善的研发过程管理流程,规范快速开发、上线部署、功能测试、缺陷修复的工作流程和工具集,形成集团内部知识库,为现有和后续的业务系统提供敏捷开发的技术及管理支撑。完善服务内控制度和服务质量管理,逐步建立起一套符合企业实际的运维管理标准及应用制度;采用标准的 IT 运维管理流程,提供准确、详尽、专业的报告制度,为企业信息化建设提供决策依据。数据管理体系的框架相对固定,由管控目标、对象、措施、组织、规范、流程和管控平台构成;同时,整个管控体系应适应企业战略和总体业务目标需要,呈螺旋式上升、持续演进动态变化。制定业务开发规范
22、,结合容器、OAM、SpringCloud、ServiceMesh四种应用类型明确业务上云过程中应用分类规则、迁移策略、割接方法、运维方法等;同时,制定四种应用类型进化方法论。以业务流向为导向的治理体系,关注在业务间调用协作,为业务的快速迭代提供业务管理的支撑,同时服务治理框架技术路线的选择也联动影响着业务开发。树立安全文化及理念;管理层的承诺、支持与垂范;安全专业组织的支持;建立可实施性好的安全管理程序/制度;进行有效而具有针对性的安全培训;员工的全员参与。最后,在上述全栈云基础之上,构建以全栈云为核心的多种业务能力,组装可复用的业务能力实现业务中台建设,支持敏捷且可持续的业务开发和业务创新
23、。由于云原生全栈云的建设并非一蹴而就,而是意味着全新 IT 的重塑,包括开发模式、系统架构、部署模式、基础设施、组织文化等一系列的自动化、敏捷化演进和迭代,因此我们建议传统企业在构建云原生全栈云时,实施“三步走”策略。第一步,建立全栈云平台,构建平台服务能力。可以先建设一个标准的、小规模但功能齐全的全栈云,初步实现一个平台、四种能力、试点应用。第二步,丰富中台业务能力,打造一体化运维体系。从局部试点到全局应用,在平台基础之上扩展更多的业务能力,扩大应用规模,提升管理水平。第三步,丰富完善自身能力,优势能力持续推广。最后依托完善的平台能力,进一步实现对内的深入推广,对外的同业赋能。央国企只有依据
24、自身企业的实际情况,合理规划云原生全栈云转型方案,探寻出最适合自己的云原生转型路径,才能更快速地向更敏捷、更可靠、更高效的云原生全栈云进阶。随着云原生进入快速发展期,越来越多的企业步入云原生化进程,但,基于安全“左移”原则的 DevSecOps 应运而生,将从 DevOps 全流程为企业的业务系统注入安全风险免疫能力。以容器、微服务、服务网格为代表的云原生技术正在被广泛使用,重塑了云端应用的设计、开发、部署和运行模式,实现了自动化、易管理、可观测的全新 DevOps体系,使开发者和运维人员能够最大限度地提高生产力,更敏捷、更高效、更安全地进行应用迭代。然而,云原生给业务带来敏捷积极影响的同时,
25、也带来了全新的安全挑战:以容器为载体的云原生应用实例极大地缩短了应用生命周期;微服务化拆分带来应用间交互式端口的指数级增长以及组件间设计复杂度的陡升;多服务实例共享操作系统带来了单个漏洞的集群化扩散风险;谈及云原生安全,不少人还停留在传统安全意识和观念,关注 Web 攻防、系统攻防、密码暴力破解等。然而,安全总是具有“短板效应”,有时,一个简单的端口暴露、未授权访问没及时处理就为攻击者提供了不费吹灰之力长驱直入的机会。此外,云原生技术架构带来的风险,在未来数年内,可能会成为攻击者关注和利用的重点,进而发动针对云原生系统的攻击。传统基于边界的防护模型已不能完全满足云原生的安全需求,众所周知,只有
26、通过全面了解云原生面临的安全风险,才能够更精准、更快速地搭建更可靠的云原生安全防护模型。以下就是备受大家关注的六大云原生安全风险,来看看你入坑了吗?网络的细粒度划分增加了访问控制和分离管控难度。云原生环境下,服务细粒度划分,业务依赖关系复杂,如果容器网络层不能跟随业务关系实现细粒度访问控制策略,就会带来权限放大风险。比如:无需被外网访问的业务被默认设置了外网访问权限、容器网络可以无限制的访问宿主机节点的下层网络等,攻击者将利用这些漏洞,获取权限外甚至核心系统的访问控制权限,实现越权甚至提权攻击。此外,云原生网络既有东西向流量、又有南北向流量,服务间流量访问频繁;且多服务实例共享操作系统,一个存
27、在漏洞的服务被黑客攻陷将会导致同一宿主机上的其他服务受影响,如果 Pod、ns 之间、没有做好网络隔离策略,外部攻击就能从高风险实例逃逸,伴随东西向流量在集群网络内部的实例间进行横向攻击,致使威胁在集群内扩散。比如:有些容器平台采用 underlay 模式网络插件,使 得容器 IP 与节点 IP 共享同一网络平面,在业务 IP 最终暴露给最终用户同时,管理控制台会面临被入侵的风险。云原生编排组件存在漏洞及管控风险增加入侵概率。首先,非法提权暗含潜在安全隐患,如果普通用户获得管理员权限或者 Web 用户直接提权成管理员用户,编排工具可能存在多种漏洞导致此类攻击。比如:如果系统中存在一个 K8s
28、的提权漏洞,允许攻击者在拥有集群内低权限的情况下提升至 K8s api server 的权限;通过构造一个对 K8s api server 的特殊请求,攻击者就能以 K8s api server 身份向后端服务器发送任意请求,实现权限提升。其次,编排工具组件众多、各组件配置复杂,配置复杂度的提升增加了不安全配置的概率,而不安全配置引起的风险不容小觑,可能会导致编排工具中账户管理薄弱,或部分账户在编排工具中享有很高特权,入侵这些账户可能会导致整个系统遭到入侵。再者,容器在默认状态下并未对容器内进程的资源使用國值做限制,以 Pod 为单位的容器编排管理工具也是如此。资源使用限制的缺失,导致环境面临
29、资源耗尽的攻击风险,攻击者可以通过在容器内运行恶意程序,或对容器服务发起拒绝服务攻击占用大量宿主机资源,从而影响宿主机和宿主机上其他容器的正常运行。镜像构建部署过程不规范引入安全风险。首先,在传统模式中,部署的软件在其运行的主机上“现场”更新;与此不同,容器则必须在上游的镜像中进行更新,然后重新部署。因此,容器化环境的常见风险之一就是用于创建容器的镜像版本存在漏洞,从而导致所部署的容器存在漏洞。其次,镜像配置不当可能会让系统面临攻击危险,例如,镜像未使用特定用户账号进行配置导致运行时拥有的权限过高;镜像含 SSH 守护进程导致容器面临不必要的网络风险等。此外,镜像及容器技术一个主要的特点就是方
30、便移植和部署,云原生用户可以将符合 OCI 标准的第三方镜像轻松部署到自己的生产环境中。因此,攻击者可将含有恶意程序的镜像上传至公共镜像库,诱导用户下载并在生产环境中部署运行,从而实现其攻击目的。镜像仓库模式增加云原生软件供应链风险来源。首先,镜像仓库安全风险主要涉及仓库账号及其权限的安全管理、镜像存储备份,传输加密、仓库访问记录与审计等,这些方面如果存在加固或配置策略不足的问题,就可能导致镜像仓库面临镜像泄露、篡改、破坏等风险。例如,垂直越权漏洞,因注册模块对参数校验不严格,导致攻击者可以通过注册管理员账号来接管Harbor 镜像仓库,从而写入恶意镜像。实际使用中,用户往往会将镜像仓库作为有
31、效且获得批准的软件源,因此,镜像仓库遭到入侵将极大增加下游容器和主机的被入侵风险。除此之外,镜像仓库面临的另一个重要安全问题就是保证容器镜像从镜像仓库到 用户端的完整性。如果用户以明文形式拉取镜像,在与镜像仓库交互的过程中极易遭遇中间人攻击,导致拉取的镜像在传输过程中被篡改或被冒名发布恶意镜像,则会造成镜像仓库和用户双方的安全风险。容器特性增加了容器运行时逃逸风险和威胁范围。首先,用户可以通过修改容器环境配置或在运行容器时指定参数来缩小或扩大约束。如果用户为不完全受控的容器提供了某些危险的配置参数,就为攻击者提供了一定程度的逃逸可能性,包括未授权访问带来的容器逃逸风险,特权模式运行带来的容器逃
32、逸风险。其次,将宿主机上的敏感文件或目录挂载到容器内部,尤其是那些不完全受控的容器内部,往往会带来安全问题。在某些特定场景下,为了实现特定功能或方便操作,人们会选择将外部敏感卷挂载入容器。随着应用的逐渐深化,挂载操作变得愈加广泛,由此而来的安全问题也呈现上升趋势。例如:挂载 Docker Socket、挂载宿主机进程文件系统引入的容器逃逸风险等。再者,相关程序漏洞,指的是那些参与到容器生态中的服务端、客户端程序自身存在的漏洞。例如 CVE-2019-5736 正是这样一个存在于 runC 的容器逃逸漏洞。更重要的一点是,容器的内核和宿主机共享,且容器技术本身建立在 Linux Namespac
33、e 和 Linux Cgroups 两项关键技术之上,所以 Linux 内核本身所产生的漏洞会导致容器逃逸。Linux 内核漏洞危害极大、影响范围极广,是各种攻防话题下不可忽视的一环。近年来,Linux 系统曝出过不少存在提权隐患的内核漏 洞,典型的就是脏牛漏洞(DirtyCOWCVE-2016-5195)。随着企业数字化转型进程的不断深化,IT 架构从以传统数据中心为核心向以云计算为承载转变,多云、混合云、分布式云成为主要形态,以数据中心内部和外部进行划分的安全边界被打破,IT 架构面临更多安全信任危机。这方面的风险主要包括:资源暴露面增大,工作负载可信程度难以保证;分布式应用架构导致东西流
34、量激增,默认可信的风险大;数字化工作空间扩展,终端和身份可信状况都需要把控。在新技术、新生态、新业务、新市场需求的不断冲击下,企业对业务应用的要求变成了“更快的迭代速度、更高的服务质量、以及更强的安全性”,企业安全开发运维模式逐渐向更敏捷、更稳健、更安全的 DevSecOps 新模式转型。在“Everything Shift Left”的大背景下,DevSecOps 则完美地满足了当前企业敏捷安全开发运维的需求趋势,能够有效防范上述安全风险,被广泛认为是云原生时代更让企业放心的安全防护模型。首先,所谓安全“左移”,即尽量早地暴露安全问题从而减小被攻击面,越早发现问题就能用越小的成本去规避安全风
35、险,将云原生安全管控融入到 DevOps 的全流程中,从开发到上线全生命周期覆盖。比如:在上线前的开发过程中,可以先进行代码安全扫描、以及黑盒、灰盒测试;在构建镜像仓库后,进行镜像深度扫描、镜像签名类工作;在上线后,进行容器配置检查、监控容器运行时的异常行为;通过早期定位安全问题,提前进行排查,最终减少攻击面和潜在的运行风险。在安全“左移”原则基础之上,我们可以从以下 4 个维度,进一步构建基于 DevSecOps 的云原生安全架构模型:主要是 IaaS 层的安全,包括计算安全、网络安全、存储安全等。在镜像安全方面,针对镜像安全风险可以进行镜像扫描、镜像签名、敏感信息扫描,针对镜像及镜像传输过
36、程中的安全,可以进行镜像仓库访问控制、镜像仓库安全通信等;在运行时安全方面,可以进行容器运行时异常行为分析,如发生敏感挂载等问题时可以进行有效监控,并及时做出容器隔离等安全响应;在编排及组件安全方面,可以增加 CIS 等安全基线扫描、针对 K8s 集群的漏洞扫描、敏感信息加密、访问控制、对命名空间之间、Pod 之间的资源隔离与限制;在容器网络安全方面,可以制定和主机或外部服务之间的访问控制策略、更细粒度的网络隔离、以及网络入侵行为的监控。在微服务安全方面,可以进行微服务的 API 安全治理、微服务之间的访问控制和安全通信;在研发运营安全方面,要更关注安全设计、代码安全、制品安全,同时可以进行静
37、态应用测试、动态应用测试、交互式应用测试,尽早规避安全风险,并进行运行时安全配置;在数据安全方面,可以通过数据加密、数据备份、数据脱敏,来保障安全性。在整体云原生平台构建以及 K8s 集群管理过程中,企业还应该关注安全审计、用户权限管理、安全策略、监控管理、密钥管理等一系列相关配置。在实践方面,以某全国性大型银行为例,该银行全栈云容器平台作为驱动金融数字基础设施建设的重要引擎,通过建立上述安全“左移”的云原生安全防护模型,践行安全可靠的 DevSecOps 理念,实现了企业级的全生命周期自适应安全、IT系统智能化检测、可靠的容器安全管理、敏捷化 DevSecOps 流程、零信任安全风险评估,大
38、大提升了其业务系统的安全风险免疫能力,构筑了强大的云原生安全防线。金融机构如何利用云原生技术实现数字化突围?在数字经济不断发展的今天,各种各样的新型业务应用及形式也不断涌现,金融机构比以往面临着更为严峻的敏态 IT 挑战,如何有效利用云原生技术加速新业态、新应用持续创新,快速满足业务需求,成为了金融机构数字化转型的新焦点。金融机构在采用云原生架构时有“万能模板”吗?在云原生技术实践联盟(CNBPA)日前发布的调研中显示,。这也与国际知名权威分析机构 Gartner 预测的“”相一致。金融机构在云计算建设和技术引入时,建议考虑基于以 Kubernetes 为核心的云原生平台来做,Kubernet
39、es 作为云的操作系统,可以屏蔽下面各种各样不同的云环境、云基础设施,它自身是一个可移植层,这样在做混合云和多云管理时,对应用迁移以及其他工作负载非常有好处,可以做到跨环境的兼容。由于Kubernetes 的可扩展性,本身平台之平台的属性,导致它天生适合用来作为整个混合云的控制面板,用它去编排不同类型的云环境以及云基础设施和各类云服务。在建设路线上应该以应用为中心,覆盖应用全生命周期为目标进行云计算的建设方向。充分考虑平台融合基础设施、微服务框架、数据服务、DevOps 工具等模块作为平台组件,以建设具备全栈能力的云平台为发展方向。在应用架构转型的语境里和组织自我进化的角度,建议可以参考以下
40、15 个要素,这些要素几乎涵盖了云原生架构下应用转型的各个方面。要素 1:基准代码(Codebase)一份基准代码,多份部署。要素 2:依赖(Dependencies)显式地声明依赖关系。要素 3:配置(Config)在环境中存储配置。要素 4:后端服务(Backing Services)把后端服务当作附加资源。要素 5:构建、发布、运行(Build、Release、Run)严格分离构建、发布、运行。要素 6:进程(Processes)以一个或多个无状态进程运行应用。要素 7:端口绑定(Port Binding)通过端口绑定提供服务。要素 8:并发(Concurrency)通过进程模型进行扩展
41、。要素 9:易处理(Disposability)快速启动和优雅终止可最大化健壮性。要素 10:开发环境与线上环境等价(Dev and Prod Parity)尽可能保持开发、预发布、线上环境相同。要素 11:日志(Logs)将日志当作事件流。要素 12:管理进程(Admin Processes)将后台管理任务作为一次性进程运行。要素 13:优先考虑 API 设计(API First)。要素 14:通过遥测感知系统状态(Telemetry)。要素 15:认证和授权(Authentication and Authorization)另外,去年信通院牵头进行了云原生成熟度标准体系的讨论和标准制定,在
42、这个体系里面包括一个云原生业务应用成熟度的评估标准,根据基础设施域、应用研发域、服务治理域以及组织管理域成熟度综合计算,共分为五级,五个级别有明确的定义,比如在初始级,技术架构局部范围开始尝试云原生化改造,并取得初步效果,而卓越级,技术架构已完成全面云原生化改造,且这个技术模块功能已相当完善,能够很好地支撑上层应用。据悉,由信通院牵头制定的国内首个“云 原生能力成熟度模型”现已发布,为企业提供云原生基础架构能力的权威指南,感兴趣的朋友也可以进一步了解。相较于大型金融机构,很多中小型可能面临着 IT 人员相对匮乏、技术能力相对薄弱、IT 系统至今沿用传统架构等问题,那么在实施云原生架构改造过程中
43、应如何进行选型,如何分批次将现有架构纳入改造,传统核心类应用是否适合进行容器化改造,也是现阶段中小型金融机构重点关注的问题。针对这些问题,建议中小型金融机构在容器化选型时,应该尽量选择具备丰富落地及咨询经验的企业和成熟的产品,实施步骤上建议初期以容器基础设施建设结合 DevOps 工具链建设,让企业能快速享受云原生带来的收益。同时选择在容器及基础设施、微服务、DevOps 三大领域都具备支持能力的产品和公司,能够有效减少后期由于兼容性问题带来的运维成本,这一点对于技术人员相对较少的中小型金融机构来说尤为重要。在实施容器云架构改造过程中,可以优先选择结构简单的轻量型单体应用,例如一些典型的 Ja
44、va 应用和自开发单体应用。另外适合优先改造的还有微服务架构的应用,例如 Spring Cloud 等微服务架构应用,这样能够快速平滑地把现有应用资源向容器化环境迁移,让中小型金融机构能够快速体验云原生带来的好处。总之,无论是大型金融机构,还是中小型金融机构,在数字化转型时,都应该理性地规划转型步骤和资源配置策略,选择更适合自己的云原生构建方案。从业务增长的角度来说,云原生 PaaS 平台虽然是未来企业业务的核心竞争力的底层支 撑,但非核心竞争力本身所在。企业应该将更多的精力投入到与业务相关的研发上,采购相对标准化的第三方底层平台,可有效减少转型过程中的盲目之举和资源浪费。如今,面对激烈的市场
45、竞争和飞快的技术迭代,各级金融机构都开始全面拥抱云计算。基础设施、应用架构等层面的云原生化改造,能够让更多业务应用从诞生之初就生长在云端,从技术理念、核心架构等多个方面,帮助金融 IT 快速、平稳落地上云之路,以创新科技赋能金融数字化转型。近年来,在国家新发展格局和数字化转型的驱动下,越来越多的工业制造企业在云计算、大数据、人工智能和 5G等技术的共同作用下持续开展工业数字化革新。以新一代信息技术与先进制造技术深度融合为基本特征的智能制造,已成为新时代工业数字化的核心驱动力。相应地,作为智能制造发展的重要基石,边缘计算、云原生、分布式云也正在迅猛发展,采用热度不断提高、技术日趋成熟、应用场景日
46、益丰富,成为推动数字经济发展的重要引擎。据 Gartner 预测,在数据中心和公有云基础设施之外的分布式设备、服务器或网 关中执行的数据和分析活动将日益增加。它们越来越多地位于边缘计算环境,更加靠近数据和相关决策的创建和执行地点。IDC 预测也表明,随着数字优先组织寻求在数据中心之外进行创新,边缘计算继续获得动力,预计到 2025 年支出将增长到 2740 亿美元。同时“十四五”规划中也明确指出要“协同发展云服务与边缘计算服务”,云边协同已经成为未来重要演进方向,工业互联网作为物联网在工业制造领域的延伸,也继承了物联网数据海量异构的特点。在工业互联网场景中,边缘设备只能处理局部数据,无法形成全
47、局认知,在实际应用中仍然需要借助云计算平台来实现信息的融合。然而,传统的技术方案已经无法满足当今工业制造企业面对性能、效率的严苛要求,云原生边缘计算的出现则能完美弥补边缘侧对数据快速处理、快速迭代更新的敏捷要求。边缘计算在过去几年经历了极为快速的技术演进,与云原生的结合将能让边缘计算更好的吸收云、大数据和 AI 的成果,并让后者进一步扩展应用范围。随着产业数字化的蓬勃发展,云原生边缘计算必然会将更多的创新带入更多企业,成为 推动数字化、智能化的关键力量。边缘计算满足边缘侧对数据快速处理、决策快速执行的要求。边缘计算在智能制造中的主要功能有 5 点:数据存储、边缘业务低时延、多接入协议互转、及时
48、分析、边缘控制。基于边缘计算的功能特点,它可与 5G 双剑合璧实现厂内 AGV 联网、可利用图形处理能力实现边线质检、也可实现海量 IOT 数据本地处理。本质上,边缘计算是分布式计算的一种应用方式,将计算能力下沉至终端设备附近。云原生作为数字经济时代的理想赋能工具,通过开发模式、系统架构、部署模式、基础设施、组织文化等一系列的自动化演进和迭代,能够帮助企业用更短的时间取得更大的成效,让企业更快速、更敏捷地进行业务创新,从资源配置优化、敏捷运营等多角度、全方位地助力企业降本增效。云原生和边缘计算的有机结合,能够帮助企业,不仅可以提供统一的管控平台(基础设施、应用和云服务),支持任何工作负载(虚拟
49、机、容器、微服务、无服务器、数据服务、机器学习),而且还可以实现灵活地定义基础设施和应用平台、规模化地管理安全及合规性政策,通常,边缘计算和云原生技术可在以下几点结合:基于 Kubernetes 底座部署的云原生中心云平台可实现边 缘集群资源的管理,边缘节点的资源都可以被中心云平台统一管理和运营。通过容器平台和双栈治理架构实现对虚机应用、单体应用、分布式应用、微服务应用等管理。应用容器化后可通过 DevOps 能力实现应用快速开发交付。边缘集群上的应用由云平台进行统一管理,实现边缘应用批量分发到多个边缘集群。云边断网的情况下,不影响边缘集群业务运行,边缘集群可以实现边缘自治,应用的故障自愈和弹
50、性伸缩。Kubernetes 云平台可通过 CSI 接口对接各种类型的存储设备,此外还可通过 Topolvm 等技术将本地存储统一管理起来。不光使边缘节点具备一定的数据存储能力,还可定期将边缘节点的不活跃数据传到中心云平台对接的数据存储中心,从而满足智能制造场景对于数据存储的需求。基于 Kubernetes 的云平台部署 AI 协同计算平台,实现中心端 AI计算平台与边缘集群 AI 应用协同工作。基于开源的 Kubernetes 云平台具有开放、灵活、可拓展的特点,其丰富的生态社区可以满足智能制造场景对于存储设备、工厂设备、IoT设备、AI 等对接的需求。为进一步加快智能制造企业数字化转型步伐
51、,很多传统工业企业在智能制造云原生边缘计算场景也进行了深入探索。简单来说,边缘计算解决方案可以大致分为以下 3 个层次:,管理员可以登录该管控平台监控、管理和运维企业内所有 K8s 集群。该平台为可选项,一些保密环境的用户可以选择不连接该平台;,该管控平台可以实现边缘 Kubernetes 集群、应用、资源的统一管理,并实现边缘应用批量管理和下发;,适合于加油站、收费站、厂房、产线等边缘场景,可以在 1 台及以上服务器上搭建边缘计算平台,提供统一存储、网络、容器、虚拟机计算能力。并且一键式从云端下推中间件、数据库、应用到边缘集群。以吉利集团为例,在工业互联网的背景下,吉利集团依托灵雀云的容器和
52、微服务相关技术,构建了一个能力开放的 PaaS 平台。平台包含 4 个部分:提供从代码到构建到交付全流程,以及不同环境下的管理能力,实现业务需求的快速响应,提升应用的快速迭代和交付的能力,降低开发的投入等。基于多租户的集群管理、配额管理、资源调度等能力,实现不同的开发团队在同一套平台上构建或者部署业务应用的需求。支持将多种业务系统融合到统一平台进行管理,需要监控平台提供相应业务应用的监控、告警日志,也包括计量计费的功能。依托容器平台提供开放能力,把不同的服务通过 API 接口网关的形式,对内或者对外提供安全、稳定、开放的 API 服务。对于吉利集团来说,基于灵雀云容器云、DevOps、容器应用
53、支撑、中间件能力,以及开放的 API 接口,打造了集团工业互联网复杂应用的统一底座,同时获得了巨大收益:首先,实现可构建、实施、发布,亦即应用快速发布的核心理念。第二能够在平台上构建相应的中间件服务,提高应用的优势。第三能够提供全维度的统计和分析,包括计量计费和租户管控等,。第四实现运营化的 IT,平台提供的资源底座,能够实现资源的共享、弹性的调度,。第五实现未来的云边协同基础,边缘计算场景、跨云的演进需要灵活、平滑的协作,平台支撑边缘计算场景的快速落地,在如今的数字经济浪潮下,汽车产业正面临着前所未有的转型大变局,汽车产品的属性正在从传统的机电一体化产品升级成为软硬件深度融合的智能终端,“软
54、件定义汽车”已成业界共识。从用户需求角度来看,随着车联网的不断发展,用户对于和软件相关的性能体验的需求越来越强烈,“更聪明的、更高科技的车”正在取代“更好操控的车”,而这对汽车软件的数据治理、存储能力、算力、迭代速度就产生了更高的要求,软 件对于用户需求体验起到了愈发重要的作用。从业务应用角度来看,车联网业务应用日渐多元化,车企的数据治理也日趋复杂,如何快速打破信息孤岛、统一系统架构、加速业务创新成为了车企亟待解决的问题。从技术变革角度来看,云原生、人工智能等科技的飞速发展,大大促进了智能网联汽车的革新。软件的升级已经成为了全行业所必须拥抱的变化,汽车系统逐渐从封闭的系统发展转为开放的系统,。
55、为了更好地提升用户体验、抢占市场优势,越来越多的车企也开始步入云原生化的进程,如何更大程度地享受云原生技术的红利成为了车企的新焦点。新的市场竞争格局下,主机厂纷纷增加新业务形态,面对市场和客户扩展业务。汽车厂家也有自己的客户 APP,基本上通过外包人员进行应用开发,应用架构多采用单体架构或分层架构。车企面临着更为严峻的敏态 IT 挑战:B2C 业务高峰期压力大,内部计算资源无法动态调整应对。:双 11 或者 618 等临时性高并发场景,需要应用能够支持跨云部署、扩展以及迁移的能力以增强资源弹性。:应用迭代周期最快为 2 月一次迭代,迭代频率过低,同时交付周期长,问题和缺陷发现和反馈慢,无法应对
56、业务的快速变化。:当前正在引入微服务等应用架构,目前缺乏对新一代应用架构的支撑 PaaS 云平台。首先,从生产效率方面来看,成熟的全栈云原生平台提供的是一套开箱即用、灵活开放的工作方式,提升开发、运维人员的工作效率,让企业能够将更多的时间与人力聚焦于业务创新。其次,从 IT 化运营方面来看,云原生能够帮助车企抢占市场优势、。未来每一个企业都将成为软件企业,车企 IT 的先进程度会直接影响到其汽车产品的核心竞争力,云原生能够帮助车企迅速构建起高并发、高可用、海量数据计算和存储的车联网产品和体系,同时,让车企有更多机会去试错,智能网联应用得以在最大化满足用户需求的基础上,实现快速开发。此外,从资源
57、配置方面来看,云原生转型能够帮助车企优化资源利用,节约更多的传统基础设施成本,并实现跨多云的统一管 理、部署和迭代。在这里我们直接以的云原生实践为例:2018 年,在高并发访问、高吞吐量以及车辆的车联网接入需求推动下,其智能网联应用做微服务的改造和应用容器化,“智能网联开发院”和“数字化部门”联合起来对整个平台架构进行了相应的设计,在平台建设中核心痛点就是需要引入一个微服务的治理平台,以及一个业务应用的管理平台,来支撑整个智能网联平台的开发需要。项目依托于灵雀云 ACP 管理平台,配合微服务治理平台,实现了业务应用的运行以及业务应用治理的工作。项目一期实现部分服务器的纳管,形成计算资源池,为业
58、务应用提供部署资源。同时,通过微服务治理功能,实现为业务应用的不同部门或者不同开发团队,适配相应的容器化集群。当然,平台的落地并不能只是把工具提供给了客户,让客户更好地用起来,也是一个非常大的挑战,尤其对于微服务这样比较新的概念来说。灵雀云在项目当中也为客户提供了微服务治理咨询服务,对于微服务的拆分,微服务改造,以及如何更好地使用平台的各种功能都提供了有针对性的咨询服务。经过几年的努力,该车企的营销数字化业务的不同业务系统都逐渐迁移到这个平台上来。这么大规模的平台和业务应用,运维人员可能只需要 35 个人。对于他们来说,能得到的收益,首先就是,第二是,第三是极大地,少量的人员就可以支持大量的业
59、务系统的运维工作,同时,通过平台的资源自动伸缩、微服 务治理能力,项目实现了。车联网是未来交通系统的发展方向,它是将先进的信息技术、数据通讯传输技术、电子传感技术、控制技术及计算机技术等有效地集成运用于整个地面交通管理系统而建立的一种在大范围内、全方位发挥作用的,实时、准确、高效的综合交通运输管理系统。随着车联网日益受到各家车企的重视,很多车企都会将车联网应用纳入云原生转型的重点。首先,从车联网应用架构来看,包括:车机、智能手机、地图导航、语音技术、HUD(Head Up Display 平视显示器)、OBD(On-Board DiagnosTIc 车载诊断系统)、CAN(Controller
60、 Area Network 控制器局域网络)、RFID(Radio Frequency IdenTIficaTIon 射频识别技术)、ITS(Intelligent Transport System智能交通系统)、智能座舱、自动驾驶等等。此外,从车联网应用上云策略来看,建议车企在车联网应用迁移时,提前制定好业务上云的策略体系,比如制定业务开发规范,结合容器、OAM、SpringCloud、ServiceMesh 四种应用类型明确业务上云过程中应用分类规则、迁移策略、割接方法、运维方法等。再者,在车联网应用迁移规划时,除了需要考虑上述核心业务应用能力之外,也要从“云端芯”一体化架构全局来进行合理
61、规划。CNBPA 最新的调研结果也表明,传统的相对割裂的 IT 架构已经无法满足企业日益发展的创新需要,在如今的云原生时代,企业更应该从整个 IT 基础设施角度上,去考虑如何通过云原生促进业务创新和业务成功。在实际执行时,建议车企可以考虑 3 步走的云原生转型策略,比如可以考虑先建设一个标准的、小规模但功能齐全的云原生全栈云平台,初步实现一个平台统一管理各类基础设施、构建平台的应用服务能力,快速让研发、运维、业务人员感受到云原生全栈云的便利。第二步再丰富中台业务能力,在统一的云原生平台基础上扩展更多的业务能力,扩大应用规模,提升管理水平。第三步可以继续丰富完善自身能力,优势能力持续推广,打造更
62、完善的车联网云原生业务中台,享受云原生技术的红利。首先,在面对 B2C 业务流量不确定性,原有的单体业务和虚拟机部署方式无法对突发性高并发业务进行支持,需要构建一套基于应用级别的云计算平台,实现应用级的资源共享和统一调度。其次,针对单体或 SOA 应用架构,在高并发业务适应性、高扩展性展现的不足,通过对现有应用架构和业务逻辑进行解耦,以微服务架构方式对现有架构进行重构,以容器化的方式进行应用部署,实现应用的快速交付、部署、上线。在新开发的功能以微服务架构开发,原有的 SOW 和单体架构架构保持不变,慢慢的把业务转移到微服务架构中。此外,针对现有架构实现在短时间内实现 2C 高并发业务:建议把
63、双 11 或者618 等临时性高并发场景的功能提前单独拆分出来,以微服务化方式交付,在基于 PaaS 云平台上进行业务承载,可能项目初期私有云资源不够时可利用云有云资源优势部署企业 PaaS 平台(只使用公有云资源),实现业务快速上线和高并发 2B 业务承接,在活动结束后把数据导入私有云库。最后,针对多家开发商时,需要建立基于新一代业务开发、管理、交付体系。从业务代码、开发规范、自动化构建、质量标准、测试流程、上线标准进行统一管理。DevOps 平台可实现以上能力,车厂和应用管理小组进行标准规范的制定,DevOps 开发平台进行流程、规范的落地。通过 DevOps 标准化交付流程对应用交付质量
64、、效率进行管理。实现在变现未来高效应用业务需求交付。近年来,医疗服务领域新形态不断涌现,国务院在关于促进“互联网+医疗健康”发展的意见中指出,允许医疗机构开展部分常见病、慢性病复诊等互联网医疗服务,为“互联网+医疗健康”明确了发展方向。数字化时代的发展,驱动着医院医疗业务向智能化、协同化和个性化发展,催生出了新的业务模式和医疗服务方式。特别是在疫情的影响下,无接触、少接触的 线上问诊成为了人们的刚需。而传统的医疗信息化建设很容易导致单体故障和数据孤岛,无法全面开展互联网+医疗服务、满足用户多元化的线上服务需求,因此对医院来说,提升医院的智能化服务水平就成了当务之急。为了满足当前人们对就医的安全
65、性、灵活性、便捷性需求,很多医院都开始利用云原生、大数据等新技术来积极谋求转型,探索智慧医疗的全新打开方式。这时,一种生于云上的新型“智慧医院”就走进了人们的视野,以医疗系统、服务系统、管理系统和保障系统等为核心,能够实现医疗数据的统一治理和医疗服务的智能化升级,挂号结算、远程诊疗、咨询服务、慢性病复诊等业务都可以通过线上办理,可以说,基于云原生的智慧医院已成为医疗信息化建设热点和主流方向。智慧医院建设是医疗行业数字化的重要一环,那么如何搭建适合新一代智慧医院的云架构呢?私有云、公有云该怎么选?首先,需要明确一点,所以建议在技术架构设计初期就将业务应用的拆分考虑进来,运用一些微服务容器化的敏捷
66、集成技术将无法改造的老系统和新系统打通。业务挑战严峻,对灵活性和开发迭代周期短的业务领域应用,可以优先考虑转到这个方向上来。其次才是解决该上什么云的问题,采用混合多云部署的方式,混合云负责互联网应用的互联互通,公共业务的服务都可以部署在上面,而核心业务数据库等在自身的私有云上,形成内部业务闭环。一般通过在边界上放置防火墙,网闸等安全设备,数据通过业务接口程序单向传递。从技术实现上来看,医院的大多数业务都适合云原生化。从应用场景来看,建议医院可以先从智慧医院应用场景和数据中心入手,逐步开展容器化改造。比如,在场景中,患者中心可以通过服务化、移动化的手段使医疗服务和医院流程向患者集中;医疗费用中心
67、可以通过微服务和容器化支持产品应用快速构建,灵活应对医院快速发展的信息化需求。另外,在医院的上,容器化部署也会带来很多好处。基于容器化的云原生技术是大势所趋,容器云具备快速部署和便捷运维等特性,支持 DevOps 的开发运维一体化,可以让医院信息中心业务部署更灵活、更简单。2021 年国家卫生健康委在关于印发医院智慧管理分级评估标准体系(试行)的通知中指出,智慧医院的建设主要分为三部分内容,包括智慧医疗、智慧服 务、智慧管理三大评估标准。智慧医疗面向医务人员,智慧服务主要面向患者,智慧管理主要指后勤物资和运营管理。为了实现以上三部分智慧医院建设内容,首先医院需要建设一个安全、可靠、稳定的基础设
68、施环境,再在基础设施之上进行医院信息化建设和数据安全建设,主要包括以电子病历为核心的医院信息化和医院数据的统一安全管理。实现智慧医院,以上任何一步都不可或缺,特别是在基础设施方面,首先需要查缺补漏,在医院内部利用云原生、物联网、大数据等新技术完成基础环境建设,统筹管理资源,可以考虑先建立全栈云原生平台、构建服务能力,然后扩大应用规模、丰富业务能力、逐渐从局部试点推广到全局应用,打造新一代基于云原生的智慧医院。2022 年全国教育工作会议以及教育部 2022 年工作要点明确提出,实施教育数字化战略行动。“数字化转型”作为我国教育领域的一项重要改革举措,将为教育高质量发展注入新动力,成为 2022
69、 年教育“关键词”。在疫情的影响下,在线教育为人们更好地认识这个世界提供了帮助,同时也为改变这个世界提供了全新的方法与实现路径。高校等教育机构作为知识密集、网络信息技术运用充分、思想活跃的前沿征地,其对教育资源的信息化、数字化也有着更高的要求,智慧校园的建设并非以数字化转型为目的,而是以云计算、物联网、大数据分析等新技术为支点,提供一种环境全面感知、智慧型、数据化、网络化、协作型一体化的教学、科研、管理和生活服务,并能对教育教学、教育管理进行洞察和预测的智慧学习环境,其本质是为了促进教育现代化、提升教学体验和效果。在智慧校园的建设中,有以下几个典型场景:多以容器平台为底座,提供底层及集成服务,
70、各类应用系统运行于平台之上,实现统一的系统登录、安全认证、数据交换与共享、服务入口,以便后续的数据治理。:集校园服务云平台、学生智能学习终端、家长手机客户端于一体,属于典型的边缘场景应用,提供不受时空限制的在线教育服务。:对外向公众提供各种服务,展示校园风采、传递校园动态,对内集成智慧校园上各类业务应用系统、数据资源,为各类用户提供统一的服务入口,用户根据其不同的权限登录和访问系统,进行相关的系统操作。:多采用微服务架构,集分布式存储、资源管理、资源共 享、在线学习为一体的综合性资源服务平台,能够实现对高校海量教育资源的统一管理,包括招生入学、学籍管理、培养管理、学位论文管理、导师管理、学生管
71、理等环节,充分满足高校研究生信息化建设的需要。然而,传统的 IT 架构早已经不能满足教育机构对于智慧校园的建设需求,如何打破信息孤岛、充分利用各项新技术来构建新一代智慧校园,已成为未来高校信息化战略所必须思考的问题。,与 AI、大数据、边缘计算的有机结合,更是可以有效实现系统架构的统一、数据的统一治理,共同为加快高校智慧校园的敏捷化、智能化、信息化建设提供有力支撑。当前,高校信息化建设的主要矛盾之一,是在当前数字化大发展的背景下,种类和数量都快速增加的高校信息化应用,和当前高校信息化经费投入以及自身技术支撑能力之间的矛盾。随着高校信息化的日益深入,高校的业务应用种类和数量也随之增加,信息门户、
72、移动校园、在线学习、资源管理等应用形式也越来越丰富,访问途径也扩展到了手机、平板等更多智能终端,然而由于高校的信息化经费投入有限,从某种程度上来说也限制了其自身技术支撑能力的发展,业务应用需求的指数型增加和技术人力的有限投入存在着一定的差距。以往的传统技术架构已经不足以支撑当前信息化业务的多元、敏捷需求。在深化信息化建设的过程中,高校面临着重重的建设挑战,具体有以下几个方面:首先,在数字化转型规划设计方面,很多高校等教育机构在开发运维流程、系统架构、数据治理、应用迭代等方面的建设尚未形成标准化、现代化的规范体系,规划和管理难度较大。其次,在团队建设方面,教育机构面临着用少量人员完成海量工作的巨
73、大挑战,现有开发运维人员的工作压力极重。再者,在信息化平台建设方面,由于信息化应用急剧增加,高校内部管理信息系统可能存在各自分割、不平衡不兼容、信息孤岛等现象。另外,在师生信息化服务体验方面,由于投入有限,应用的开发和运维面临着较大的工作压力,有时可能会出现不能快速迭代、及时满足业务需求的情况;陈旧的师生信息化业务也为教学开展和师生学习生活带来了诸多不变,系统宕机、临时故障都可能导致师生的信息化体验受到影响,应用的满意率无法保障。最后,在信息化经费投入方面,高校信息化建设经费总量有限,但信息化建设的成本过高,不利于信息化项目的持续开发、敏捷迭代。国际知名权威分析机构 Gartner 也在预测中
74、表明,为更好地应对上述信息化挑战,越来越多的教育机构开始步入云原生化的进程,采用以容器为代表的云原生技术已成为高校加速信息化建设的必然选择以容器为核心的云原生平台能够为高校的核心业务应用提供安全、稳定、高可用性的技术支撑,对于开发人员来说更加利于敏捷迭代,对于运维人员来说更加易于维护和管理,对于业务侧也能大幅提升应用的可用性和创新能力。无论是从资源配置优化角度,还是从企业敏捷运营角度来看,云原生都是高校加速信息化、实现降本增效的理想赋能工具。通过构建教育行业全栈云原生平台,可以规范区域或学校的教育信息化系统建设,形成围绕教育行业的更为完善的信息化体系,并进一步提升教育信息化建设的应用实效。然而
75、,教育行业云平台的建设,不能单纯地只从技术角度来思考系统的建设,而是应该站在整体业务发展角度,综合运维管理难度、应用可用性、工作效率、建设成本、转型路径等因素来进行全盘考量。我们先来看一组全栈云原生架构和传统 IT 架构特点的直观对比,以典型的数据中心场景为例,为什么当今很多教育企业都选择拥抱全栈云原生呢?从上图中不难看出,云原生架构不仅可以规避掉很多传统架构的弊端,还能通过和大数据的结合释放出更大能量,更适合新时代教育行业的敏态 IT 需求,能够在更短时间为教育机构的信息化建设装上加速器。在实际落地过程中,建议先基于现有的教育业务进行一站式全栈云原生平台建设,由云原生平台的全局管理集群提供以
76、容器网络、容器存储、容器应用、容器化部署的数据中间件服务、与容器技术结合的 DevOps 开发交付平台、基于容器化部署微服务应用的全生命周期管理、以及统一监控运维的能力。如果主业务和大数 据业务都进行容器化改造,那么就可以通过一站式全栈云原生平台(例如灵雀云ACP)进行统一的管理,实现上述所有功能。同时,高校拥抱云原生技术的过程,也是拥抱开源的一个过程。对于高校来说,学习了解云原生与开源是必要的,但由于新技术、新应用的学习和试错成本较高,建议落到实际教育业务开展时,更多考虑借助成熟的商业化云原生产品快速赋能业务。引入专业的云原生技术厂商,能够更好地利用其产品化优势和强大的技术实力,加快高校自身
77、云原生化转型的步伐,全面提升开发、运维、运营的能力和质量,支撑业务应用的持续创新和快速迭代。作为中国云原生领域的领军企业,灵雀云特别推出了。该方案以自主可信的技术路线为支点,以容器/Kubernetes技术为核心,构建灵雀云全栈云原生私有云平台 Alauda Container Platform,针对企业级关键业务具有主机系统可靠性、安全性、高性能和可扩展性,技术架构更贴合企业业务应用,满足企业级应用逐步向容器化、微服务化过渡的广泛需 求,全面支持各类国内外硬件及基础设施,可以帮助您的企业在任何云上安全地构建、运行管理现代应用程序,助力企业获得持续创新的核心能力。与灵雀云架构师进行业务探讨,咨询云原生与容器技术的最佳实践和规划指导!咨询热线:4006-252-832 咨询邮箱:marketingalauda.io 更多信息请访问: