自主可控云原生生態(tài)與架構(gòu)研究

林 靈 高允翔 王奉軍

中國聯(lián)通研究院 北京 100048

引言

隨著信息科技的不斷發(fā)展，以及行業(yè)內(nèi)外的認(rèn)同和重視，軟件架構(gòu)從集中式到分布式，從垂直架構(gòu)到SOA架構(gòu)再到微服務(wù)架構(gòu)，一直在朝著降本增效的方向發(fā)展。近幾年云計算火熱發(fā)展，為了充分發(fā)揮云計算的彈性、分布式技術(shù)優(yōu)勢，軟件架構(gòu)進入了云原生時代。中國的軟件廠商也一直在追趕云原生大潮。以Kubernetes為例，至2019年，中國已經(jīng)成為Kubernetes全球第二大貢獻國。同時，CNCF基金會中超過10%的會員來自中國，目前包括了阿里巴巴、華為、京東、火山引擎等白金會員，以及多個黃金會員。

在逆全球化背景下，尤其是俄烏沖突以來，西方軟硬件企業(yè)對俄羅斯企業(yè)的種種制裁，促使企業(yè)從維護自身業(yè)務(wù)可持續(xù)運營和信息安全出發(fā)，考慮采取自主可控的產(chǎn)品建設(shè)業(yè)務(wù)應(yīng)用系統(tǒng)。但當(dāng)前企業(yè)選擇的自主可控產(chǎn)品大多是基于傳統(tǒng)架構(gòu)的，其自主可控應(yīng)用改造大部分是將傳統(tǒng)架構(gòu)的非自主可控軟件替換成相同架構(gòu)下的自主可控軟件的過程。而老舊的架構(gòu)將會逐漸被時代、市場和有能力維護的技術(shù)人員淘汰，其安全性也將隨著時間的推移而逐漸降低，企業(yè)將來仍然需要進行架構(gòu)升級，將現(xiàn)有的系統(tǒng)改造成更為先進的架構(gòu)和軟件產(chǎn)品，以增加功能性，提高可維護性，增強技術(shù)安全性。對于大型系統(tǒng)來說，每一次軟件產(chǎn)品或者架構(gòu)上的升級改造都需要投入大量人力物力，而且將存在一段時間的適應(yīng)性和兼容性問題。因此，本文提出將企業(yè)單位的國產(chǎn)化改造和架構(gòu)升級進程合二為一，并給出當(dāng)前較為成熟的自主可控云原生產(chǎn)品以及可能的云原生軟件系統(tǒng)架構(gòu)以供企業(yè)單位參考選用。

1 自主可控云原生生態(tài)發(fā)展現(xiàn)狀

為了追求更高效的資源配置、更合理的人員分工、更便捷的開發(fā)部署方式，以及軟件工程學(xué)中的高內(nèi)聚、低耦合的架構(gòu)研發(fā)方向，隨著容器、微服務(wù)、服務(wù)網(wǎng)格等相關(guān)技術(shù)的發(fā)展，云原生技術(shù)架構(gòu)模式正在快速發(fā)展中。軟件架構(gòu)大都趨于復(fù)雜，軟件使用者在選擇軟件產(chǎn)品構(gòu)建軟件架構(gòu)時不但要考慮其實用性和適用性，更要考慮各個軟件模塊之間的兼容性和軟件的相關(guān)技術(shù)支持。在軟件市場中，一個技術(shù)產(chǎn)品的成熟和推廣，與其社區(qū)支持和相關(guān)生態(tài)建設(shè)的發(fā)展是互相促進、相輔相成的。

成立于2015年的云原生計算基金會(CNCF)目前已吸引了超過600個會員，為云原生生態(tài)社區(qū)貢獻了多個重要項目[1]，推動云原生概念在開發(fā)社區(qū)、企業(yè)單位和市場中得到了廣泛認(rèn)可。其中，最熱門的容器技術(shù)已經(jīng)在眾多行業(yè)和領(lǐng)域有了許多落地的案例，包括高科技、金融、制造、零售、教育、政府，甚至軍事等。

2018年容器技術(shù)在中國大規(guī)模落地，云原生開始深入國內(nèi)產(chǎn)業(yè)并形成潮流。據(jù)云原生產(chǎn)業(yè)聯(lián)盟的報告稱，2019年的國內(nèi)軟件行業(yè)中，六成以上的用戶已在生產(chǎn)環(huán)境中應(yīng)用容器技術(shù)，八成用戶已經(jīng)使用或計劃使用微服務(wù)，Serverless技術(shù)也有近三成用戶在生產(chǎn)環(huán)境中應(yīng)用[2]，表明云原生技術(shù)價值在國內(nèi)行業(yè)中得到了認(rèn)同。

從生態(tài)建設(shè)方面來說，國內(nèi)幾大公有云服務(wù)商本身就已經(jīng)趁著云原生的東風(fēng)，將自己的產(chǎn)品融合改造，打入了國際市場。以阿里云為例，從2008年開始自主研發(fā)大規(guī)模分布式計算操作系統(tǒng)“飛天”開始至今，其云計算技術(shù)經(jīng)過自身軟件的超大流量訂單驗證[3]，為服務(wù)推廣打下堅實的基礎(chǔ)，同時也為其他云服務(wù)商提供了一條發(fā)展通路。阿里云的獨特優(yōu)勢在于自主研發(fā)的技術(shù)，產(chǎn)品線囊括云原生架構(gòu)中的大部分分類，形成了自身特有的一套云原生生態(tài)鏈體系。目前阿里云已經(jīng)穩(wěn)居亞太云數(shù)據(jù)庫市場份額第一，在全球公有云IaaS市場占有率排名第三[4]，說明阿里云產(chǎn)品服務(wù)也得到了全球范圍內(nèi)用戶的廣泛認(rèn)可。

此外，這些云服務(wù)商都有深入云原生技術(shù)生態(tài)研究的發(fā)展規(guī)劃和相應(yīng)落地實踐經(jīng)驗，由它們帶領(lǐng)其他國產(chǎn)軟件產(chǎn)品進入生態(tài)鏈，建立國內(nèi)云原生相關(guān)技術(shù)產(chǎn)品生態(tài)圈，是國產(chǎn)軟件推廣產(chǎn)品、深入產(chǎn)業(yè)鏈、追趕云原生浪潮，進而建立健全國產(chǎn)軟件生態(tài)的時代機遇。以華為為例，作為全球首批CNCF認(rèn)證的Kubernetes服務(wù)提供商，華為從CNCF創(chuàng)立前期至今都在CNCF社區(qū)活躍且積極貢獻，是最早將云原生技術(shù)在生產(chǎn)環(huán)境中使用的公司之一，也積極把需求帶到社區(qū)進行落地。華為云云原生服務(wù)棧目前已覆蓋CNCF的技術(shù)全景圖，可以全面支撐企業(yè)應(yīng)用上云前后的全生命周期環(huán)節(jié)，同時還在CNCF開源生態(tài)里貢獻了相當(dāng)多自研的開源組件，如ServiceComb、Volcano、KubeEdge、openGauss等[5]。2019年華為推出了鯤鵬凌云合作計劃，與國產(chǎn)軟件服務(wù)提供商合作，涵蓋了數(shù)據(jù)庫和中間件、應(yīng)用提供類、解決方案和企業(yè)云遷移實施服務(wù)等廠商[5]，對國產(chǎn)軟件的發(fā)展和生態(tài)圈建設(shè)有著積極的推動作用。

2 自主可控云原生架構(gòu)

隨著技術(shù)發(fā)展和應(yīng)用場景的豐富，云原生架構(gòu)及其中各領(lǐng)域產(chǎn)品都有了幾次技術(shù)更新迭代。以其中最為核心的服務(wù)編排調(diào)度框架為例，早期的OpenStack技術(shù)棧是國內(nèi)外公有云的主流計算框架，其開源社區(qū)吸收了各大科技公司的貢獻[6]，擁有穩(wěn)定成熟的開源方案，國產(chǎn)芯片如鯤鵬、海光，國產(chǎn)服務(wù)器如曙光、泰山，國產(chǎn)操作系統(tǒng)如麒麟、openEuler都對OpenStack有較好的適配支持，國內(nèi)云平臺如京東云、百度智能公有云等也有基于OpenStack的云原生化改造應(yīng)用。但隨著海量數(shù)據(jù)和大規(guī)模計算場景的增多，OpenStack以虛擬機為單位的調(diào)度方案不再滿足更高的計算需求；同時OpenStack子項目及組件較多，要進一步提升集群規(guī)模和擴展性，需進行深度研發(fā)優(yōu)化組件性能，因此現(xiàn)在OpenStack大多應(yīng)用于IaaS層的調(diào)度。較為流行的調(diào)度框架還有Apache基金會的Mesos、Docker公司的Swarm，Mesos適用于大規(guī)模任務(wù)調(diào)度，Swarm較為輕量操作簡單[6]；這兩個項目較擅長把一個容器按照某種規(guī)則，放置在最佳節(jié)點運行起來，即容器的調(diào)度，目前使用不是特別廣泛。

谷歌公司開源的輕量級容器編排項目Kubernetes更關(guān)注容器化應(yīng)用的管理與編排，擅長按照用戶的意愿和整個系統(tǒng)的規(guī)則，自動化地處理好容器之間的各種關(guān)系，對主流容器編排調(diào)度的需求適應(yīng)性高[6]，憑借其優(yōu)秀的開放性、可擴展性以及活躍的開發(fā)者社區(qū)，目前已成為分布式資源調(diào)度和自動化運維的事實標(biāo)準(zhǔn)[7]。國內(nèi)有很多云廠商都發(fā)布有基于Kubernetes的容器編排管理方案和云平臺，如阿里云、華為云、百度智能邊緣云、DaoCloud[8]等。

國外云計算、云原生的概念和產(chǎn)業(yè)落地實踐都比國內(nèi)各大科技公司要早，因此云原生生態(tài)和架構(gòu)中的部分國內(nèi)產(chǎn)品還是使用以國外產(chǎn)品為基礎(chǔ)、國內(nèi)廠商進行改造和包裝、個性化定制、技術(shù)優(yōu)化等模式推出的。對于提供綜合云服務(wù)的國內(nèi)廠商，有些將各個領(lǐng)域的成熟國產(chǎn)云原生軟件產(chǎn)品整合，搭建完整的國產(chǎn)云原生框架，提供綜合型的云原生服務(wù)；另一些使用整個產(chǎn)品線自研開發(fā)的構(gòu)建模式，如阿里云、華為云等國內(nèi)知名廠商，提供產(chǎn)品間綁定性較強的一系列服務(wù)。

3 自主可控云原生架構(gòu)參考方案

國內(nèi)各企業(yè)單位當(dāng)前的業(yè)務(wù)應(yīng)用大多基于傳統(tǒng)架構(gòu)構(gòu)建。當(dāng)應(yīng)用系統(tǒng)需做自主可控改造或構(gòu)建基于自主可控產(chǎn)品的備用系統(tǒng)時，如果目標(biāo)架構(gòu)仍然是傳統(tǒng)架構(gòu)，雖然應(yīng)用系統(tǒng)選用的是自主可控軟件產(chǎn)品，安全性得到了提升，但應(yīng)用架構(gòu)依然落后于國內(nèi)外先進技術(shù)，其易用性、靈活性、可靠性、可維護性等各方面特性都跟不上時代，后期可能面臨二次改造來完成架構(gòu)升級。當(dāng)前信息技術(shù)創(chuàng)新產(chǎn)品資源池中，相關(guān)產(chǎn)品多是傳統(tǒng)架構(gòu)的自主可控產(chǎn)品，尚缺乏云基礎(chǔ)設(shè)施、云平臺、云原生相關(guān)品類及相關(guān)產(chǎn)品；不過對于大多數(shù)企業(yè)單位來說，在業(yè)務(wù)引用自主可控改造過程中的產(chǎn)品選擇方面并非剛性約束，在保證信息技術(shù)產(chǎn)品供應(yīng)鏈安全、信息安全的前提下，企業(yè)的自主可控改造擁有自主選擇的權(quán)力。因此，建議企業(yè)在進行應(yīng)用系統(tǒng)自主可控改造過程中完成架構(gòu)升級，根據(jù)實際應(yīng)用場景和應(yīng)用特點的需要，考慮采用更先進的云原生架構(gòu)的可能性，而不僅僅只是產(chǎn)品的變化。

通過對國內(nèi)云原生生態(tài)架構(gòu)的調(diào)查分析，可以得到國產(chǎn)云原生生態(tài)架構(gòu)圖，如圖1所示。

圖1 國產(chǎn)云原生軟件架構(gòu)生態(tài)

綜合各個產(chǎn)品的開源單位、開源協(xié)議性質(zhì)、軟件成熟度等方面的情況，本文給出一個自主可控云原生架構(gòu)建議，如圖2所示，以供有需求搭建云原生架構(gòu)的單位或技術(shù)人員參考。

總體來說，云原生架構(gòu)由應(yīng)用定義與開發(fā)、服務(wù)配置與編排調(diào)度、應(yīng)用服務(wù)運行時、無服務(wù)架構(gòu)、運維分析等部分構(gòu)成。

1)應(yīng)用定義與開發(fā)層

在數(shù)據(jù)庫方面，傳統(tǒng)數(shù)據(jù)庫在云原生時代特別是大規(guī)模分布式集群應(yīng)用場景下將產(chǎn)生高額成本及運維困難等問題，因此用戶紛紛轉(zhuǎn)向云原生數(shù)據(jù)庫，這成為追趕云計算大潮的國產(chǎn)廠商的新機遇。螞蟻金服全自研的OceanBase兩次打破了TPC-C測試世界記錄并維持排名第一[9]，在去“O”困難的金融領(lǐng)域得到了多家商業(yè)銀行和保險機構(gòu)的認(rèn)可和歡迎[10]。

圖2 自主可控云原生架構(gòu)

消息中間件和流式處理領(lǐng)域較為突出和使用較為廣泛的國產(chǎn)產(chǎn)品是阿里開源的RocketMQ。此外，EMQ應(yīng)用于5G時代物聯(lián)網(wǎng)場景，支持百萬級連接，在全球物聯(lián)網(wǎng)市場得到了廣泛應(yīng)用[11]。

2)服務(wù)配置與編排調(diào)度層

服務(wù)注冊與發(fā)現(xiàn)領(lǐng)域，存在AP、CP安全性條件的取舍問題，阿里開源的Nacos可支持切換AP、CP模式，可以與Spring Cloud Eureka無縫結(jié)合，比傳統(tǒng)的單純的Eureka、Zookeeper更適應(yīng)云原生分布式場景，已經(jīng)在國內(nèi)獲得了非常多的實踐[12]。

編排調(diào)度方面，基于kubernetes的個性化優(yōu)化項目在國內(nèi)有了一定的發(fā)展。源于華為AI容器的Volcano項目主要面向大數(shù)據(jù)計算和AI訓(xùn)練場景，彌補了Kubernetes在高性能應(yīng)用方面的不足[13]；騰訊開源的TKEStack結(jié)合了騰訊創(chuàng)新的GPU虛擬化技術(shù)，面向離線計算和在線業(yè)務(wù)混合部署場景，能夠穩(wěn)定管理萬級別Kubernetes集群，目前也已經(jīng)進入孵化階段[14]。

RPC遠程調(diào)用方面，阿里巴巴開源的Dubbo可以和Spring框架無縫集成，是國內(nèi)第一款成熟的商用級RPC框架，目前在國內(nèi)各個行業(yè)的應(yīng)用已經(jīng)非常廣泛[15]。

服務(wù)代理方面，老牌Nginx已經(jīng)家喻戶曉，國內(nèi)也有這方面的生產(chǎn)實踐。螞蟻金服開源的MOSN可以與任何支持xDS API的Service Mesh集成，亦可以作為獨立的四、七層負載均衡使用，并已經(jīng)過幾十萬容器的生產(chǎn)級驗證[16]。

服務(wù)網(wǎng)關(guān)方面，阿里開源的Sentinel積累了大量的流量歸整場景以及生產(chǎn)實踐，目前已經(jīng)在6000多個系統(tǒng)中得到使用[17]。

容器鏡像倉庫方面，除了與Docker配套使用的Docker Registry之外，阿里云容器服務(wù)中的ACR可以提供安全穩(wěn)定的鏡像構(gòu)建和托管服務(wù)，解決了國內(nèi)用戶訪問國外倉庫和服務(wù)時的網(wǎng)速和限制問題[18]，深受國內(nèi)用戶好評。

云原生安全技術(shù)方面，小佑科技Dosec、青藤云安全的青藤蜂巢、探針科技的Tensor Security從不同維度、顆粒度提供了對容器、應(yīng)用、運行時環(huán)境、鏡像等的安全檢查、控制、防御、異常追蹤、合規(guī)檢查等能力[19-21]。

3)應(yīng)用服務(wù)運行時層

存儲技術(shù)作為底層技術(shù)框架，也可以充分利用云計算的分布式優(yōu)勢，構(gòu)建靈活彈性的存儲框架。華為開源的OpenSDS可以解決多云環(huán)境下異構(gòu)資源存儲的統(tǒng)一納管的問題，有多家業(yè)界領(lǐng)先的存儲廠商和優(yōu)秀企業(yè)提供技術(shù)指導(dǎo)和業(yè)務(wù)需求分析[22]。

容器運行時環(huán)境方面，國內(nèi)創(chuàng)業(yè)公司開源的kata底層將Intel Clear Containers和Hyper.sh的RunV合并，與谷歌的gVisor項目并稱為目前兩大安全容器技術(shù)[23]。

云原生網(wǎng)絡(luò)方面，靈雀云開源的企業(yè)級云原生Kubernetes容器網(wǎng)絡(luò)編排系統(tǒng)Kube-OVN將OpenStack領(lǐng)域成熟的網(wǎng)絡(luò)功能集成到Kubernetes中，提供了跨云網(wǎng)絡(luò)管理、傳統(tǒng)網(wǎng)絡(luò)架構(gòu)與基礎(chǔ)設(shè)施的互聯(lián)互通、邊緣集群落地等復(fù)雜應(yīng)用場景的能力支持[24]。

4)無服務(wù)架構(gòu)

無服務(wù)架構(gòu)方面，阿里的FaaS框架Midway Serverless主要應(yīng)用于前端快速構(gòu)建Node.js云函數(shù)的場景，提供了多個云平臺的運行時啟動器，使其可以在多個云平臺上快速部署[25]。此外，華為的FunctionStage、騰訊云的Serverless Cloud Function等都能提供Serverless云函數(shù)托管和計算服務(wù)。

5)運維分析層

運維方面，可以分為監(jiān)控、日志、鏈路追蹤和混沌注入。監(jiān)控方面，除了當(dāng)前比較主流的Google開源的Prometheus外，小米開源的Falcon提供了面向互聯(lián)網(wǎng)的企業(yè)級、高可用、可擴展的監(jiān)控解決方案[26]。日志方面，阿里云的Log Service、七牛云的Pandora、日志易的Rizhiyi都可以提供日志采集、查詢分析等相關(guān)功能。螞蟻金服的服務(wù)鏈路跟蹤工具SOFATracer，國內(nèi)開源愛好者開源的基于分布式跟蹤的應(yīng)用程序性能監(jiān)控系統(tǒng)SkyWalking可提供鏈路追蹤服務(wù)?；煦缱⑷敕矫?，目前國內(nèi)主要產(chǎn)品是阿里云的面向云原生的混沌工程工具Chaosblade，可實現(xiàn)底層故障的注入[27]。

此外，在服務(wù)網(wǎng)格、持續(xù)集成與交付(CI/CD)、私鑰管理等領(lǐng)域，國內(nèi)軟件存在一些空白，但國外產(chǎn)品已比較成熟，目前市場基本被國際知名廠商占據(jù)。

對于國內(nèi)市場還沒有較為成熟產(chǎn)品的領(lǐng)域，如果有需要，可以使用風(fēng)險較低的國內(nèi)公司開源產(chǎn)品暫為替代，以保證架構(gòu)的完整性；若國內(nèi)開源產(chǎn)品中也沒有比較突出的，如開發(fā)工具、服務(wù)網(wǎng)格、持續(xù)集成與交付、操作系統(tǒng)等領(lǐng)域，則可使用風(fēng)險較低的國外開源產(chǎn)品填補，但使用這些開源產(chǎn)品必須考慮其開源許可協(xié)議對衍生產(chǎn)品的限制規(guī)定。由于部分強著作權(quán)型開源許可協(xié)議存在“傳染性”，如GPL(General Public License)規(guī)定，如果原始授權(quán)人采用GPL來發(fā)布自己的作品，那么無論該作品的任何衍生作品，都要遵從GPL的規(guī)則，不允許修改后和衍生的代碼作為閉源商業(yè)軟件發(fā)布和銷售[28]。因此，在選用以GPL及類似協(xié)議作為開源許可協(xié)議的產(chǎn)品時，需要受到知識產(chǎn)權(quán)方面的法律限制，有一定風(fēng)險。而像BSD、Apache、MIT等協(xié)議屬于寬容型許可協(xié)議，若使用了以這些協(xié)議作為許可協(xié)議的軟件，則基本不被限制開源或商業(yè)化行為。因此我們認(rèn)為，使用寬容型開源許可協(xié)議的軟件產(chǎn)品屬于風(fēng)險較低的軟件產(chǎn)品，可以作為國產(chǎn)化改造的產(chǎn)品選用替代參考。

4 結(jié)語

結(jié)合以上對于國產(chǎn)云原生生態(tài)及相關(guān)產(chǎn)品的分析，我們可以認(rèn)為以開源產(chǎn)品和國產(chǎn)自主可控產(chǎn)品為主的云原生生態(tài)已逐漸成熟，品類也較為齊全。在企業(yè)業(yè)務(wù)應(yīng)用自主可控改造過程中，應(yīng)探索從使用非自主可控產(chǎn)品、傳統(tǒng)架構(gòu)，轉(zhuǎn)變?yōu)槭褂米灾骺煽卦圃a(chǎn)品來構(gòu)建系統(tǒng)架構(gòu)的自主可控改造方式，把一步到位地升級到最新的云原生架構(gòu)列為選項進行評估，從而避免二次升級帶來的成本浪費及對業(yè)務(wù)生產(chǎn)的二次沖擊。國內(nèi)綜合云服務(wù)廠商也可以將低風(fēng)險開源產(chǎn)品和國產(chǎn)自主可控產(chǎn)品整合，構(gòu)建自主可控云原生服務(wù)框架，為客戶提供全面的云原生服務(wù)。