《方案实践分享_医疗制造企业基于 ROSA 架构支撑海外业务发展.docx》由会员分享,可在线阅读,更多相关《方案实践分享_医疗制造企业基于 ROSA 架构支撑海外业务发展.docx(14页珍藏版)》请在第一文库网上搜索。
1、方案实践分享医疗制造企业基于ROSA架构支撑海外业务发展.2.ROSA*2vf-3四系统存储设计5tkvf-51 *52I1名各H.63.74J1JJz.85SH.86JIJ1*.六系统应用发布91TektOnj)102ArgoCDIJ)123.应用部署整体优势12S月匕)13八.建设策略和价值收益141 .采纳成熟开源技术142 .兼容多种开发语言143 .注重团队能力建设15一.背景介绍某医疗制造企业,在疫情环境之下急速发展,业务规模迅速扩大,海外市场订单暴增,该医疗企业及时抓住国际市场机遇,树立自身的国际品牌形象,在提升医疗制造技能的同时更注重IT建设和服务创新。为了能迅速支撑并服务激增
2、的海外业务,该医疗企业在海外亚马逊云科技公有云环境借助OPenShift托管服务,迅速搭建起云原生的开发和运行环境,令海外业务系统准时上线,紧跟业务的步伐,也充分体现了IT对业务的支持与促进作用。二.ROSA概述OpenShift是一个企业级的Kubernetes容器平台,它为企业应用系统的开发和运行提供了一个易扩展、可信任的容器环境。OPenShift扩展了Kubernetes容器编排平台,内置企业级应用扩展组件,以增强企业级应用的生命周期管理能力,从开发到运维能力的增强再到安全项的加固。借助OpenShift,用户可以在混合云、多云的环境中实现工作负载的持续集成和持续部署。口-0-O-O物
3、理机虚网机私物云公物云边律OpenShift扩展了KubernetesROSA是RedHatOpenShiftServiceonAmazonWebServices的简称,它是红帽容器平台OPenShift在亚马逊云科技上的托管服务。用户可以在RoSA上快速构建和部署业务应用,不需要过多的关心底层基础设施的搭建和运维,因此ROSA的用户更能关注于企业的业务价值,而不是与企业业务无关的环境和不同基础设施的适配。用户自己搭建和运维的OPenShift集群亚马逊云科技和红帽的站点可靠性工程(SRE)专家负责管理和运维底层平台,因此用户不必担心复杂的基础架构层管理工作。ROSA还提供了与亚马逊云科技的计
4、算、存储、网络、数据库、分析工具、机器学习、移动应用等服务的无缝集成,在加速用户业务系统的构建与交付的同时也节省了用户的运维成本。*9透/、科技和打帽全球站点可“性I.程SREH1队负负Dey1和Day2ttnt*t1管理怎的集1和OpnSW*tft, n动化渡用-配Ji、补丁、升“ 总控檀心第8心时设It的安全健也可用懂 集群服务,例如Ha记或、指标、益控和集t!C户 Ai(24x7)fUI全我女挎.正常运行M间可达9995%的S1A由SRE管理和运维的ROSA托管服务.系统部署设计ROSA架构支持多种网络配置类型:公共网络、专用网络和亚马逊云科技PriVate1ink网络,可满足不同用户的
5、安全需求。该医疗制造企也把ROSA的OPenShift创建在独立的私有网络中,通过亚马逊云科技的负载均衡器对外提供业务访问,不直接被外部访问,如业务负载需要访问外网,则通过NAT网关间接访问,业务负载分布在多个高可用区中保证其高可用性。ROSA的管理员和开发人员与OPenShift分布在不同的VPC(Virtua1PrivateC1oud)私有网关中,私有VPC直接通过亚马逊云科技中转网关(TransitGateway)连接,如果需要从外网对业务负载或OPenShift容器平台进行管理,则需要通过对外子网的堡垒机再次跳转,这样在保证安全性的同时也不失其灵活性。Externa1App1icati
6、onExscmaiApfMoaMnUwUserVPC10.8.0.(V16SVPC(10.7.0.0/16BringYourOwnVPC)pCM1C1B1.apps2.8QM43(tWSRECtS443Pub1icSubnetNATcwe/PrivateSubnetROSAAMn(CU)ROSAAdm周二IrwntfAP1N1BM4322t23AWSTramf1Garw*y庖381Is1Pub1icSubnetNAT9Meway1temaJApp1m,n画PMmMM系统部署架构四.系统存储设计系统的有状态应用持久化到云原生存储ODF(OPenShiftDataFoUndation)中,ODF是
7、基于CePh、Noobaa和Rook软件组件的云原生存储、数据管理和数据保护组合。其中,Ceph提供对象、块和文件存储。NoObaa抽象出跨混合多云环境的存储基础架构,并提供数据存储服务管理。Rook编排了多个存储服务,每个服务都有一个Kubernetes算子,可用于设置Ceph集群。数据的可靠性和完整性由CCPh的3副本保证,在ROSA环境中,ODF创建在亚马逊云科技的EBS(EIaStiCB1ockStorage),多份EBS均匀地分布在3个高可用区中,Ceph在EBS之上池化并对外提供对象存储、块存储和文件存储,满足云原生所有场景的存储需求。CePh的3副本分布在亚马逊云科技的3个高可用
8、区中,因此能保证数据的可用性和完整性。应用负载RedHatOpenShift尔读,箱ReadWriteOnce(RWO)UiffsReadWnteMany(RWX)孙Storagedasses对象务1obectstorageservice,云对象网失:MUnidoUdobieetgatewayRedHatOpenShiftDataFoundation存储O云尤机SANVSAN虚IaaWAft系统存储架构五.系统安全设计系统的安全设计已考虑到多层次、多维度的安全保障:系统层面、网络层、容器层、应用层、数据层、用户层,主要设计如下:1 .系统层安全系统层面安全是ROSA所运行的基础设施上的操作系统
9、,在这层提供的安全保隙措施包括:操作系统自身的安全RoSA的容器平台(OPenShift)部署在RedHatCoreOS(RHCOS)操作系统上,RHeOS是红帽专门针对容器提供的云操作系统,它继承了红帽企业操作系统(RHE1)的稳定、安全同时,针对容器云环境做了加固,内置容器运行环境所必须的软件包,去除了支撑容器运行外的非必要、有安全隐患的软件包。RHCOS的用户空间是只读的,这就有效的避免了潜在的、对操作系统的恶意攻击,当系统维护人员需要维护操作系统时,需要通过最初安装时指定的sshkey才能登录。操作系统安全性扫描RHCOS可以满足第三方安全管理系统的要求,接受相关第三方安全系统对本平台
10、的服务器操作系统层面的安全扫描和检查,即使通过补丁升级等方式满足最新的操作系统安全要求。2 .网络层安全OpenShift容器平台(以下简称为平台)配备多个级别的网络安全管理,在Pod级别上网络命名空间可以用来限制网络访问、防止容器查看其他Pod或主机系统,网络策略可让平台控制允许或拒绝特定的连接,也可以通过应用程序的入口和出口流量进行控制,详情如下:使用网络命名空间平台使用软件定义网络(SDN)来提供一个统一的集群网络,它允许集群中的不同容器相互间进行通信。默认情况下,网络策略模式使项目中的所有Pod都可被其他Pod和网络端点访问。要在一个项目中隔离一个或多个Pod,可以在该项目中创建Net
11、workPo1icy对象来指示允许的入站连接。如使用多租户模式,可以为Pod和服务提供项目级别的隔离。使用网络策略隔禺Pod使用网络策略,可以在同一项目中将Pod相互隔离。网络策略可以拒绝对Pod的所有网络访问,只允许入口控制器的连接,拒绝其他项目中的Pod的连接,或为网络的行为方式设置类似的规则。 使用多个Pod网络默认情况下,每个运行中的容器只有一个网络接口。Mu1tusCNI插件容许平台创建多个CNI网络,然后将任何这些网络附加到Podo这样,就可以执行一些高级的操作,例如将私有数据单独放在更为受限的网络上,并在每个节点上使用多个网络接口。 隔离应用程序平台允许为单个集群上的网络流量分段
12、以创建多租户集群,使用户、团队、应用程序和环境与非全局资源隔离。 保护入口流量如何配置从平台集群外对平台内服务的访问会产生很多安全影响。除了公开HTTP和HTTPS路由外,入口路由还允许设置NodePort或1oadBa1ancer入口类型。NodePort从每个集群worker中公开应用程序的服务API对象。借助1oadBa1ancer,可以将外部负载均衡器分配给平台集群中关联的服务API对象。 保护出口流量平台提供了使用路由器或防火墙方法控制出口流量的功能。例如,可以使用IP白名单来控制对数据库的访问。集群管理员可以为SDN网络供应商中的项目分配一个或多个出口IP地址。同样,集群管理员可以
13、使用出口防火墙防止出口流量传到平台集群之外。通过分配固定出口IP地址,可以将特定项目的所有出站流量分配到该IP地址。使用出口防火墙时,就可以阻止Pod连接到外部网络,阻止Pod连接到内部网络,或限制Pod对特定内部子网的访问。3 .容器层安全在容器层,平台提供如下措施进行安全保障:容器自身安全隔离容器是在一台1inux上启动多个在独立沙箱内运作的应用,相互不影响。容器底层使用1inUX内核的namespace、CgrOUPs、SE1inUX对不同容器的CPU、内存、网络、存储、进程等进行隔离。容器集群的安全隔离在容器层面还可以通过不同的容器集群进行隔离,不同的容器集群拥有自己独立的主机、存储卷、网络、镜像仓库、管理节点、Node节点,达到进一步的隔离。安全上下文
免费区 
