新華三集團CloudOS微服務(wù)產(chǎn)品研發(fā)經(jīng)理、資深架構(gòu)師李科偉

隨著云原生的廣泛應(yīng)用，容器與微服務(wù)結(jié)合，使用基于容器平臺的微服務(wù)架構(gòu)，已經(jīng)成為云計算環(huán)境下開發(fā)的首選。而Kubernetes能更好地滿足微服務(wù)和云容器編排的重任，相較于之前廣泛應(yīng)用的Spring Cloud，新一代Kubernetes+Istio的組合擁有更多的延伸功能，正逐步成為行業(yè)主流。

然而，要將應(yīng)用從Spring Cloud遷移到Kubernetes上，往往需要進行應(yīng)用改造，該過程不僅要求去除原注冊中心和配置中心，還需要以ingress為網(wǎng)關(guān)，并采用kubernetes Service進行均衡負載，無疑增加了企業(yè)遷移的任務(wù)量和開發(fā)成本。

針對該難題，新華三集團推出了H3C云原生微服務(wù)Runtime，助力企業(yè)在代碼“零修改”的情況下順利使用kubernetes，實現(xiàn)了無侵入式的應(yīng)用上云。面向Kubernetes容器平臺，Runtime可以直接調(diào)用平臺服務(wù)注冊與發(fā)現(xiàn)、配置管理、負載均衡能力，同時使用Istio來完成流量的管理。同時，針對微服務(wù)應(yīng)用所需要的可觀測性，Runtime提供了無侵入的實現(xiàn)方式，可以在應(yīng)用無感知的情況下完成可觀測性能力的增強。隨著應(yīng)用的不斷拓展，Runtime還可在Spring Cloud遺留系統(tǒng)遷移、Spring Cloud全新應(yīng)用開發(fā)，以及Kubernetes原生方式開發(fā)部署三大場景下發(fā)揮強大效能。

以應(yīng)用為中心構(gòu)建云原生安全體系

新華三集團云平臺產(chǎn)品研發(fā)負責人李學(xué)峰

云原生實現(xiàn)了基礎(chǔ)平臺、軟件架構(gòu)、開發(fā)流程的統(tǒng)一，帶來云技術(shù)生態(tài)的全面變革。與此同時，這一過程也帶來了一系列新的安全議題。例如，在全新的技術(shù)環(huán)境下，應(yīng)用運行的環(huán)境邊界逐步模糊化，針對應(yīng)用內(nèi)生性安全的要求不斷提升，當前的中間層在應(yīng)用內(nèi)安全監(jiān)測及管控能力不足，數(shù)據(jù)訪問安全及數(shù)據(jù)保護技術(shù)亟待升級，機械化的應(yīng)用安全管控與自動化軟件開發(fā)流程之間的矛盾日趨凸顯。

對此，新華三集團以應(yīng)用為中心，圍繞四大范疇建構(gòu)起云原生安全總體建設(shè)思路：

?應(yīng)用運行平臺—平臺是應(yīng)用運行的基礎(chǔ)，實現(xiàn)容器層安全、Kubernetes安全、基礎(chǔ)Linux安全，才能打造強健的基礎(chǔ)平臺，支撐應(yīng)用架構(gòu)。

?應(yīng)用架構(gòu)——在應(yīng)用層通過多重機制防止微服務(wù)注入和漏洞，保障Web層架構(gòu)安全，在同Redis、MQ等云原生中間件及不同微服務(wù)模塊通信時采用適當?shù)募用?、限流等安全策略，并基于服?wù)網(wǎng)格和微服務(wù)之間的流量進行全局觀測，提升架構(gòu)整體的安全性。

?應(yīng)用開發(fā)流程——在DevOps開發(fā)運維一體化中加入碼安全掃描、第三方簽名掃描、Docker鏡像安全掃描等安全策略，從而實現(xiàn)開發(fā)中安全管控的自動化。

?應(yīng)用安全管理——在應(yīng)用完成交付后，通過應(yīng)用管理、應(yīng)用安全審計、應(yīng)用配置和密鑰安全、微服務(wù)應(yīng)用業(yè)務(wù)出口安全等保證應(yīng)用的運行安全。

隨著數(shù)字經(jīng)濟的發(fā)展，云原生將擁有更為廣闊的應(yīng)用前景。以“云智原生”戰(zhàn)略為指引，新華三集團緊跟行業(yè)與技術(shù)的發(fā)展趨勢，以紫光云賦能百行百業(yè)客戶實現(xiàn)云原生從基礎(chǔ)架構(gòu)到安全策略的全面升級，構(gòu)建基于云原生的研發(fā)、業(yè)務(wù)體系，為百行百業(yè)的數(shù)字化變革提供強大賦能。

songjy