新冠疫情在全球的流行为企业IT带来了前所未有的挑战。CNCF的云原生2020年调查报告显示,在这种背景下,云原生工具和技术的应用持续增长,容器的使用和编排方面有显著的同比跃升,Serverless(无服务器)、Service Mesh(服务网格)等技术日趋兴起,软件发布周期也在不断加快。从IDC、Gartner等智库近几年的云原生相关报告来看,新兴技术愈发重要:
到2024年,50%的边缘计算节点将能直接支持人们的用例。
到2025年,85%的组织将在生产中运行容器。
到2025年,超过50%的全球企业将部署无服务器功能平台即服务(fPaaS)。
到2026年,全球服务网格市场规模将增至8.384亿美元,2021-2026年复合年增长率为41.3%。
未来几年金融IT所聚焦的核心价值,主要在于更加灵活的访问位置、更具弹性的基础设施、更为快捷的创新交付,云原生正在其中扮演重要的角色。本文笔者将结合几种新兴技术分享对于云原生发展的思考,并简要介绍云原生环境下需要注意的安全挑战。
云原生的新技术、新体验
Kubernetes助力企业实现基础资源等方面的统一
Kubernetes是开源的容器编排引擎,目标是让部署容器化的应用简单并且高效,提供了应用部署、规划、更新、维护的一种机制。容器市场的调查结果显示,Kubernetes一骑绝尘,占据了77%的份额。随着Kubernetes在容器编排领域的胜出,各大云厂商已经将其视为下一代基础设施。由于其天然的平台无关性和可移植性,使得传统企业将应用迁移到云平台乃至自建PaaS平台的门槛大幅降低。这意味着从私有云到公有云再到混合云的界限被模糊了,企业不会被某个特定云厂商锁定,而是基于一个统一的云原生标准系统,无需关注底层实现即可享受到云带来的弹性、自愈、可观测等技术红利。预计未来Kubernetes将进一步助力企业实现基础资源管理的统一、业务架构的统一以及IT应用管理的统一,从而实现企业云原生转型的跨越。
Service Mesh助力企业服务治理
Service Mesh(服务网格)是一种控制不同应用程序共享数据的方法,其独特之处在于是为适应分布式微服务环境而构建的,主张无侵入地实现服务间的安全通信、智能路由及自动监控,目前巨头大多已有相应的布局。Service Mesh 作为解耦应用与基础设施的关键技术,会成为解决异构系统通信、混合云架构等方向上的必备组件。企业进行云原生转型时,部分无法升级的遗产系统往往会成为IT治理的黑暗角落。服务网格所主张的双重核心价值:无侵入和技术与业务解耦,可以低成本地将企业应用全部纳入统一的服务治理体系。
Serverless架构可让关注点集中到应用本身
Serverless(无服务器)架构概念的诞生由来已久,但目前尚无权威和官方的定义,一般指应用的开发无需考虑服务器这样的硬件基础设施,快速交付、智能弹性、更低成本是其核心价值。随着底层规范逐步成熟,Serverless架构可以助力云原生将关注点集中到应用本身:在运维侧,主张“NoOps”、“自助式”,云原生下的运维会体现出一种轻量、自动化的理念,运维不再关注具体的过程,而是通过声明式的期望(告诉机器需要实现什么,让机器想出如何去做)让平台来自动化地实现运维的策略,取代原来手工的、面向服务器的复杂繁琐方式,实现真正的Serverless;在应用侧,应用可以使用平台提供的开箱即用的各种通用能力,如消息、缓存、事件驱动等,而不需要关注具体的技术实现,以达到技术与业务彻底解耦,使得未来所有的应用都可以实现按需消费——scale-to-zero(闲置时可以将副本数缩减至0,有流量请求时可以快速恢复)。
边缘计算与边缘云将带来新的云原生体验
边缘计算(Edge Computing)具有数据处理与分析的快速、实时性,安全性,低成本、低能耗、低带宽成本等优势,云原生和边缘计算的结合有助于快速实现“云-边-端”一体化的应用分发,解决在海量边、端设备上统一完成大规模应用交付、运维、管控的诉求。在过去几年里,物理网络上的隔离或者数据管道的带宽限制,往往成为企业上云的一大阻碍,随着穿戴设备等物联网设备的增多,能够利用本地算力来提供云原生服务的边缘云(Edge Cloud)成为一种选项。边缘云可以在本地设备附件进行计算加工,提供基础的技术组件能力,在需要时把数据统一合并上传到数据中心,既可以减少带宽开销,也能提供安全和隐私的保障。因此诸如K3S等专为轻量级低功耗设计的边缘云技术陆续出现,预计未来几年利用此类技术构建企业边缘云节点与中央集中计算中心的混合云拓扑方式会带来新的云原生体验。此外,边缘云与被称为“下一代云”的分布式云也息息相关,两者的区别与联系请见《云、边、端协同:边缘计算打开了更大的想象空间》。
云原生安全不容忽视
新兴的云原生技术在为企业带来轻便交付与快速迭代的同时,也带来了更高的安全要求与挑战。金融领域对安全性有极高的要求,因此对于云原生环境下的安全挑战需要予以一定的关注。例如边缘计算与传统的云计算应用有很大区别,其部署可能是在企业内部、家庭等不够可信的网络环境中,传统的安全模型无法强制适应,物理层面很可能没有安全措施,会带来大量的攻击面,为安全带来了挑战。
云原生环境动态而复杂,例如大幅增加的内部网络流量、服务通信端口总量和容器秒级启动或消失的动态变化,大大增加了安全监控和保护的难度。云原生环境下的攻击面不再是单服务器IP地址,而是分布在大量容器之上,而且微服务应用之间存在大量东西向(即数据中心内部服务器之间交互的流量)的内部网络流量。与保护单一应用的安全相比,保障微服务应用及其内部网络更具有挑战性。
传统策略和工具在云原生环境下存在盲点,因此企业需要引入云原生安全策略和工具,保护时刻动态变化和复杂的云原生环境,保护和隔离应用容器和服务,即使在容器动态扩展的情况下也会自动实现发现、跟随和保护,还可以像传统的网关防火墙一样保护从外部网络以及传统应用到容器环境之间的网络通信。
为了提高数字业务应用交付与运维效率,企业应用开发与运维部门会引入DevOps开发运维一体化流程,带来了应用全生命周期的安全防护挑战,需要为各个环节引入自动化安全保护,无缝集成安全策略与工具保障整个流水线的自动化安全,实施DevSecOps的理念,这样不仅可以避免各个环节的潜在风险,也可以提高应用安全交付的效率。此外,尽管容器技术没有内在的不安全因素,但要使其大规模发展,也需要有成熟的DevSecOps流程和安全性策略。
云原生正在为金融行业的数字化转型提供强劲的技术动力,降低应用的交付成本,加速业务价值流动的效率。与此同时,引入适应云原生环境的安全解决方案也很有必要。近年来,恒生公司深耕云原生,搭建了金融级云原生技术平台,也进行了安全方面的相应规划。未来,恒生将更好地将Service Mesh、Serverless架构、边缘计算等新兴技术融入实践,助力金融机构数字化转型。
Linux基金会开源软件学园 Copyright © 2019-2024 linuxfoundation.cn, ICP license, no. 京ICP备17074266号-2