《方案实践分享_医疗制造企业基于ROSA架构支撑海外业务发展.docx》由会员分享,可在线阅读,更多相关《方案实践分享_医疗制造企业基于ROSA架构支撑海外业务发展.docx(15页珍藏版)》请在第一文库网上搜索。
1、方案实践分享医疗制造企业基于ROSA架构支撑海外业务发展.2. ROSA *2 vf- 3四系统存储设计5tkvf- 51 *52 Il名各H.63.74 JlJ Jz .85 SH.86 JIJL*.六 系统应用发布91 TektOn j) 102 ArgoCD I J ) 123.应用部署整体优势12S月匕) 13八.建设策略和价值收益141 .采纳成熟开源技术142 .兼容多种开发语言143 .注重团队能力建设15一.背景介绍某医疗制造企业,在疫情环境之下急速发展,业务规模迅速扩大,海外 市场订单暴增,该医疗企业及时抓住国际市场机遇,树立自身的国际品牌形 象,在提升医疗制造技能的同时更注
2、重IT建设和服务创新。为了能迅速支撑并服务激增的海外业务,该医疗企业在海外亚马逊云科技公 有云环境借助OPenShift托管服务,迅速搭建起云原生的开发和运行环境,令海 外业务系统准时上线,紧跟业务的步伐,也充分体现了 IT对业务的支持与促进 作用。二.ROSA概述OpenShift是一个企业级的Kubernetes容器平台,它为企业应用系统 的开发和运行提供了一个易扩展、可信任的容器环境。OPenShift扩展了 Kubernetes容器编排平台,内置企业级应用扩展组件,以增强企业级应用 的生命周期管理能力,从开发到运维能力的增强再到安全项的加固。借助 OpenShift,用户可以在混合云、
3、多云的环境中实现工作负载的持续集成和 持续部署。口-0-O-O物理机虚网机私物云公物云边律OpenShift 扩展了 KubernetesROSA 是 Red Hat OpenShift Service on Amazon Web Services 的简 称,它是红帽容器平台OPenShift在亚马逊云科技上的托管服务。用户可以 在RoSA上快速构建和部署业务应用,不需要过多的关心底层基础设施的搭建和运维,因此ROSA的用户更能关注于企业的业务价值,而不是与企业业 务无关的环境和不同基础设施的适配。用户自己搭建和运维的OPenShift集群亚马逊云科技和红帽的站点可靠性工程(SRE)专家负责管
4、理和运维 底层平台,因此用户不必担心复杂的基础架构层管理工作。ROSA还提供了与亚马逊云科技的计算、存储、网络、数据库、分析工具、机器学习、移动 应用等服务的无缝集成,在加速用户业务系统的构建与交付的同时也节省 了用户的运维成本。* 9透/、科技和打帽全球站点可“性I.程SREHl队负负Deyl和Day 2ttnt*tl管理怎的集1和OpnSW*t ft, n动化渡用-配Ji、补丁、升“ 总控檀心第8心时设It的安全健也可用懂 集群服务,例如Ha记或、指标、益控和集t!C户 Ai(24x7)fUI全我女挎.正常运行M间可达99 95%的SLA由SRE管理和运维的ROSA托管服务.系统部署设计R
5、OSA架构支持多种网络配置类型:公共网络、专用网络和亚马逊云科技PriVateLink网络,可满足不同用户的安全需求。该医疗制造企也把ROSA的OPenShift创建在独立的私有网络中,通过 亚马逊云科技的负载均衡器对外提供业务访问,不直接被外部访问,如业务 负载需要访问外网,则通过NAT网关间接访问,业务负载分布在多个高可 用区中保证其高可用性。ROSA的管理员和开发人员与OPenShift分布在不同的VPC (VirtualPrivate Cloud)私有网关中,私有VPC直接通过亚马逊云科技中转网关 (Transit Gateway)连接,如果需要从外网对业务负载或OPenShift容器
6、平台进行管理,则需要通过对外子网的堡垒机再次跳转,这样在保证安全性 的同时也不失其灵活性。External ApplicationExscmaiApfMoaMnUwUser VPC10.8.0.(V16S VPC (10.7.0.0/16Bring Your Own VPC)pCMlCLBl.apps2.8QM43(tWSRECtS 443Public SubnetNATcwe/Private SubnetROSAAMn(CU)ROSAAdm周二IrwntfAPlNLB M4322t23AWSTramfl Garw*y庖38 1Isl Public SubnetNAT9MewayltemaJA
7、pplm,n 画 PMmMM系统部署架构四.系统存储设计系统的有状态应用持久化到云原生存储ODF(OPenShift Data FoUndation)中,ODF是基于CePh、Noobaa和Rook软件组件的云原生存 储、数据管理和数据保护组合。其中,Ceph提供对象、块和文件存储。NoObaa 抽象出跨混合多云环境的存储基础架构,并提供数据存储服务管理。Rook 编排了多个存储服务,每个服务都有一个Kubernetes算子,可用于设置 Ceph集群。数据的可靠性和完整性由CCPh的3副本保证,在ROSA环境中,ODF创建在 亚马逊云科技的EBS(EIaStiC Block Storage)
8、,多份EBS均匀地分布在 3个高可用区中,Ceph在EBS之上池化并对外提供对象存储、块存储和文 件存储,满足云原生所有场景的存储需求。CePh的3副本分布在亚马逊云 科技的3个高可用区中,因此能保证数据的可用性和完整性。应用负载RedHatOpenShift尔读,箱 ReadWriteOnce(RWO)Uiffs ReadWnteMany(RWX)孙 Storagedasses 对象务 1 obect storage service ,云对象网失:MUnidoUdobieet gatewayRed HatOpenShiftData Foundation存储 O 云尤机SANVSAN虚 Iaa
9、WAft系统存储架构五.系统安全设计系统的安全设计已考虑到多层次、多维度的安全保障:系统层面、网络 层、容器层、应用层、数据层、用户层,主要设计如下:1 .系统层安全系统层面安全是ROSA所运行的基础设施上的操作系统,在这层提供的 安全保隙措施包括:操作系统自身的安全RoSA 的容器平台(OPenShift)部署在 Red Hat CoreOS (RHCOS)操作 系统上,RHeOS是红帽专门针对容器提供的云操作系统,它继承了红帽企业 操作系统(RHEL)的稳定、安全同时,针对容器云环境做了加固,内置容器 运行环境所必须的软件包,去除了支撑容器运行外的非必要、有安全隐患的 软件包。RHCOS的
10、用户空间是只读的,这就有效的避免了潜在的、对操作系统的恶意 攻击,当系统维护人员需要维护操作系统时,需要通过最初安装时指定的 ssh key才能登录。操作系统安全性扫描RHCOS可以满足第三方安全管理系统的要求,接受相关第三方安全系统 对本平台的服务器操作系统层面的安全扫描和检查,即使通过补丁升级等 方式满足最新的操作系统安全要求。2 .网络层安全OpenShift容器平台(以下简称为平台)配备多个级别的网络安全管理, 在Pod级别上网络命名空间可以用来限制网络访问、防止容器查看其他 Pod或主机系统,网络策略可让平台控制允许或拒绝特定的连接,也可以 通过应用程序的入口和出口流量进行控制,详情
11、如下:使用网络命名空间平台使用软件定义网络(SDN)来提供一个统一的集群网络,它允许集 群中的不同容器相互间进行通信。默认情况下,网络策略模式使项目中的所有Pod都可被其他Pod和 网络端点访问。要在一个项目中隔离一个或多个Pod,可以在该项目中创 建NetworkPolicy对象来指示允许的入站连接。如使用多租户模式,可以 为Pod和服务提供项目级别的隔离。使用网络策略隔禺Pod使用网络策略,可以在同一项目中将Pod相互隔离。网络策略可以拒 绝对Pod的所有网络访问,只允许入口控制器的连接,拒绝其他项目中的 Pod的连接,或为网络的行为方式设置类似的规则。 使用多个Pod网络默认情况下,每个
12、运行中的容器只有一个网络接口。Multus CNI插件 容许平台创建多个CNI网络,然后将任何这些网络附加到Podo这样,就 可以执行一些高级的操作,例如将私有数据单独放在更为受限的网络上,并 在每个节点上使用多个网络接口。 隔离应用程序平台允许为单个集群上的网络流量分段以创建多租户集群,使用户、团 队、应用程序和环境与非全局资源隔离。 保护入口流量如何配置从平台集群外对平台内服务的访问会产生很多安全影响。除 了公开HTTP和HTTPS路由外,入口路由还允许设置NodePort或 LoadBalancer入口类型。NodePort从每个集群worker中公开应用程序 的服务API对象。借助Lo
13、adBalancer,可以将外部负载均衡器分配给平 台集群中关联的服务API对象。 保护出口流量平台提供了使用路由器或防火墙方法控制出口流量的功能。例如,可以 使用IP白名单来控制对数据库的访问。集群管理员可以为SDN网络供应 商中的项目分配一个或多个出口 IP地址。同样,集群管理员可以使用出 口防火墙防止出口流量传到平台集群之外。通过分配固定出口 IP地址,可以将特定项目的所有出站流量分配到 该IP地址。使用出口防火墙时,就可以阻止Pod连接到外部网络,阻止 Pod连接到内部网络,或限制Pod对特定内部子网的访问。3 .容器层安全在容器层,平台提供如下措施进行安全保障:容器自身安全隔离容器是在一台Linux上启动多个在独立沙箱内运作的应用,相互不影
免费区 
