云原生的代表性技術(shù)

11月21日，“2019云計算沙龍(第三期)：云原生與多云管理”主題沙龍活動在上海市徐匯區(qū)交大科技園成功召開。此次活動吸引了諸多云計算相關(guān)的廠商專家以及業(yè)內(nèi)專業(yè)人士積極參與，并就云原生與多云管理進行了積極討論。青藤云安全，作為安全領(lǐng)域踐行自適應安全理念的先行者，積極探索為云原生應用程序提供全方位的安全服務，此次受邀出席，并對云生態(tài)安全進行了深入講解。

在過去幾年里，隨著云計算技術(shù)的風起云涌，云形態(tài)也發(fā)生著日新月異的變化。云原生技術(shù)也在云平臺如火如荼的快速發(fā)展中應運而生。

美國專注于云計算與大數(shù)據(jù)基礎(chǔ)平臺的公司Pivotal最先提出了云原生應用，后來由谷歌成立的云原生計算基金會(CNCF，全稱Cloud Native Computing Foundation)對云原生應用進行了定義：

· 云原生技術(shù)有利于各組織在公有云、私有云和混合云等新型動態(tài)環(huán)境中，構(gòu)建和運行可彈性擴展的應用。

· 這些技術(shù)能夠構(gòu)建容錯性好、易于管理和便于觀察的松耦合系統(tǒng)。結(jié)合可靠的自動化手段，云原生技術(shù)讓工程師能夠輕松地對系統(tǒng)作出頻繁和可預測的重大變更。

· 云原生計算基金會(CNCF)致力于培育和維護一個廠商中立的開源生態(tài)系統(tǒng)，來推廣云原生技術(shù)。CNCF通過將最前沿的模式民主化，將這些創(chuàng)新為大眾所用。

這或許看起來有些復雜。簡單來說，云原生可以從字面涵義來理解，指的是任何在云中誕生、或主要在云中設計并運行的事物。但云原生不只是指應用程序所在的位置，更多的是指應用程序的的構(gòu)建和部署方式。

云原生的代表性技術(shù)

1. 容器

容器技術(shù)是一種輕量級的虛擬化技術(shù)，主要致力于提供一種可移植、可重用且自動化的方式來打包和運行應用。容器這一術(shù)語是對船運集裝箱的一個類比，它提供了一個標準化方式，將不同內(nèi)容組合在一起，同時又將它們彼此隔離開來。

將容器和云原生聯(lián)系起來，您或許會有些疑惑：容器不僅僅是在云端運行，如果有需要，也可以在本地服務器上運行容器。比如，在本地CI/CD管道中采用容器技術(shù)，或者使用容器來部署本地的內(nèi)部業(yè)務應用程序。

但是，無需對容器技術(shù)進行太多延展，就可以將其與云原生技術(shù)聯(lián)系起來。在很大程度上，容器有助于部署云應用：

· 您可以在云中部署容器。通常還可以使用相同的開源工具來管理云中的容器。這意味著，容器最大限度地提高了云之間的移動性。

· 可以使用容器在云中部署應用程序，而不必為特定云提供商的虛擬服務器或計算實例之間的細微差別而困擾。

· 云供應商可以使用容器來構(gòu)建其他類型的服務，例如無服務器計算。

· 容器為在云中運行的應用程序提供安全優(yōu)勢。容器應用程序和主機環(huán)境之間增加了另一層隔離，而無需再運行整個虛擬服務器。

因此，雖然使用容器是確實不需要使用云，但容器卻大大簡化了云應用程序的部署。在云原生領(lǐng)域中，容器和云齊頭并進，共同發(fā)展。因此，可以說容器技術(shù)是云原生應用發(fā)展的基石。

2. 微服務

微服務可以簡單地描述為將一個大型的軟件應用程序的功能分為多個獨立的小型軟件服務或“微服務”。每項微服務通常單獨部署在容器中，負責一項單獨的任務。為了讓微服務協(xié)同工作，形成大型可伸縮的應用程序，微服務之間還可以進行通信和交換數(shù)據(jù)。簡而言之，微服務的特點可以總結(jié)為：

· 云原生應用程序由多個不同的可重用組件(稱為微服務)組成，這些組件都可以集成到任何云環(huán)境中。

· 這些微服務可以作為應用程序的構(gòu)建模塊，通常包裝在容器中。

· 每個微服務可以協(xié)同工作，共同構(gòu)成一個應用程序，單每個微服務可以通過自動化和編排流程進行獨立擴展、持續(xù)改進和快速迭代。

· 每個微服務的靈活性也提高了云原生應用程序的敏捷性和持續(xù)改進，解決了單體大型應用程序的復雜性和靈活性問題。

以人力資源系統(tǒng)為例。以前，整個人力資源系統(tǒng)部署在一個大軟件包中(例如，使用MVC框架的WAR文件)。使用微服務后，就無需將人力資源組件部署為一個大軟件包——大型單體應用程序。該大型單體應用程序被劃分并部署為按用途分類的若干個較小功能單元(工資、出勤和員工等微服務)。這樣，維護一個模塊時(例如，“工資”模塊)，由于微服務可以獨立工作，就無需停用整個應用程序，也不會影響到其他功能，從而提高了更新迭代速度，也提高了服務質(zhì)量。

3. 服務網(wǎng)格

隨著微服務數(shù)量的增多，可能會形成上百個甚至上千個相互關(guān)聯(lián)的服務，通過內(nèi)部或外部網(wǎng)絡相互連接。如果要繪制出每個微服務之間的連接關(guān)系，情況就復雜了。從代碼級別管理這些服務的連接關(guān)系會很麻煩。這意味著，服務A需要了解服務B的網(wǎng)絡層。為了解決這一挑戰(zhàn)，服務網(wǎng)格技術(shù)應運而生。

服務網(wǎng)格是用于處理服務間通信的專用基礎(chǔ)結(jié)構(gòu)層。對于構(gòu)成現(xiàn)代化的云原生應用程序的服務而言，服務網(wǎng)格負責可靠地交付這些拓撲結(jié)構(gòu)復雜的服務請求。實際上，服務網(wǎng)格通常是通過一系列的輕量級網(wǎng)絡代理來實現(xiàn)的，這些網(wǎng)絡代理與應用程序代碼一起部署，而無需再關(guān)注應用程序。

服務網(wǎng)格架構(gòu)圖

4. DevOps

DevOps是由Development和Operations形成的組合詞，是一種重視“軟件開發(fā)人員(Dev)”和“IT運維技術(shù)人員(Ops)”之間溝通合作的文化、運動或慣例。DevOps通過自動化完成“軟件交付”和“架構(gòu)變更”流程，來更加快捷、頻繁和可靠地構(gòu)建、測試、發(fā)布軟件?？梢园袲evOps看作開發(fā)(軟件工程)、技術(shù)運營和質(zhì)量保障(QA)三者的交集。

DevOps示意圖

DevOps打破了開發(fā)人員和運維人員之間歷來存在的壁壘和溝鴻，加強了開發(fā)、運營和質(zhì)量保證人員之間的溝通、協(xié)作與整合。從而形成了一種通過持續(xù)交付來優(yōu)化資源和擴展應用的新方式。DevOps和云原生相結(jié)合，能夠讓企業(yè)不斷改進產(chǎn)品開發(fā)流程，更好地適應市場變化，提供更優(yōu)質(zhì)的服務。

CI/CD(持續(xù)集成/持續(xù)部署)管道可以說是實施 DevOps 的一大重要成果，可幫助企業(yè)在需要很少的人工干預的情況下，更快速、更頻繁地向客戶交付應用，并不斷改進產(chǎn)品的質(zhì)量，增加服務功能，實現(xiàn)精益求精的發(fā)展。在整個生命周期內(nèi)，CI/CD都引入了持續(xù)自動化和持續(xù)監(jiān)控，從而能夠快速識別和改正問題與缺陷，實現(xiàn)敏捷開發(fā)。

云原生的優(yōu)勢所在

1. 與傳統(tǒng)的單體應用程序相比，由于使用敏捷和DevOps流程進行迭代式改進，并且實現(xiàn)了自動化構(gòu)建、測試和部署，從而加快了產(chǎn)品服務的上市時間，也更便于管理。

2. 由于云原生應用程序由若干個相互獨立的微服務組成，因此，可以自動地逐步改進云原生應用程序，以不斷添加新功能或者改進原有功能。

3. 可以非侵入式地進行改進，不會造成停機或中斷服務，給用戶造成不良體驗。

4. 支持云原生應用程序的基礎(chǔ)架構(gòu)彈性良好，可以輕松進行拓展或縮小規(guī)模。

5. 云原生開發(fā)流程可以更好地適應當今業(yè)務環(huán)境所需的速度和創(chuàng)新。

隨著云生態(tài)的不斷演進，云原生所具備的巨大優(yōu)勢必將推動云原生技術(shù)的快速發(fā)展。

青藤云安全是國內(nèi)首家自適應安全服務商，為客戶提供了輕量級的、可彈性擴展的新一代安全體系。針對當前云原生技術(shù)的發(fā)展情況，青藤云安全也對此進行了深入研究，并密切關(guān)注云原生應用的發(fā)展趨勢。目前，青藤云安全的容器安全產(chǎn)品—蜂巢提供了企業(yè)級容器平臺安全保護，并針對應用漏洞、不安全配置、入侵攻擊、網(wǎng)絡行為，結(jié)合安全策略，提供了覆蓋容器全生命周期的、持續(xù)性安全防護。青藤蜂巢既可以提供對云原生應用的防護，也能全方位防護主機安全，實現(xiàn)一次部署，兩種防護，助力云原生技術(shù)的快速發(fā)展。