在云計算、大數據、人工智能等新興技術的推動下,眾多行業都在經歷一場轟轟烈烈的數字化轉型大潮。隨著容器技術和編排系統的發展、基礎設施不斷云化、分布式微服務架構不斷演進和敏捷、DevOps等開發理念的帶動,應用云化已經是不可逆轉的趨勢,云原生也成為企業應用現代化數字轉型不可不追隨的潮流。
隨著企業應用逐步向云原生應用進行演進和遷移,具備了更快的迭代速度、更低的開發復雜性和更好的可擴展性,但同時,部署和運維的復雜性和工作量卻大大增加。相較于面向操作規則的傳統運維,云原生架構下的運維轉變為面向可觀測數據的自動化、數據化和智能化運維,強調以應用為中心、業務指標可視化和應用全鏈路分析,面臨著新的挑戰,如圖1所示。
圖1 云原生架構下的運維面臨的挑戰
針對以上的挑戰,建議的整體方案如圖2所示:參考ITSM、ITIL、DevOps、敏捷、精益等先進方法論作為規劃指引,實施云原生相關技術和工具作為支撐,建設突出快的敏態運維轉型、突出精的技術運營、突出穩的系統穩定性保障和突出智的DataOps、AIops四大運維能力域作為目標,進而形成包括引入DevOps、基礎設施即代碼、Docker和K8S、Service mesh、可觀測性、DevSecOps和FinOps等關鍵技術實踐。本文主要結合這些關鍵技術實踐如何在云原生運維下更好的落地進行探討。
圖2 云原生運維整體方案
引入DevOps實現持續交付流水線、助力開發運維一體化
DevOps依靠工作流程、人員組織的整合,以協作、自動化、精益、度量、共享、文化為指引,建立一種可以快速交付價值,并且具有持續反饋和改進能力的現代化IT組織。
為了實現穩定、可靠和高效的運維體系,需要有相應的持續集成與交付方式進行配套支撐,在云原生體系下,作為運維團隊,通過結合DevOps的方法論、流程、技術和工具,構建一個跨部門協作、質量內建的、持續反饋改進的一體化自動化持續交付流水線很有必要,同時形成標準化的流程和規范,推進應用部署的容器化、K8S化,實現多態研發模式、多分支持續集成、多版本、多環境、多制品庫形態、多場景多策略漸進式的自動化發布部署和交付,實現效能提升。
在工具落地上,構建基于Kubernetes/Docker技術和開源工具鏈的CI/CD流水線,并通過不斷的優化和改進,來改善開發人員的體驗,使開發人員可以通過自服務的方式更容易的做正確的事情,從而實現服務的快速構建、高效集成和部署交付,同時提升運維團隊的敏捷性和效率,加快產品團隊的交付速度。
通過基礎設施即代碼實現多云管理
傳統的云平臺相關資源和基礎設施管理,更多的是偏向運維人員以手動的方式結合云平臺的portal和命令行等來進行,會出現重復度高、差異化大、成本高、人為錯誤等問題。
基礎設施即代碼,是通過代碼而非手動定義的基礎設施的供應和管理過程。用代碼來描述基礎設施的創建、變更、銷毀;代碼編寫好,驗證也是正確的,之后每次執行任務都不會出錯;非常快速,高效;代碼代替文檔,有歷史記錄,可回滾,不用擔心文檔更新不及時或人員流動帶來的“黑盒”問題;不用通過訪問生產環境,就能知道生產環境上的配置情況。
作為云原生運維,面臨各種不同的公有云/私有云環境和各種跨云/跨平臺的操作,迫切需要具備相關工具和開發技能,工具包括Terraform和Packer,其中Terraform是一種開源工具,用可以安全高效地預覽、配置和管理云基礎架構和資源,Packer是通過模板來定義一些內容然后創建鏡像的方式來實現。
在具體實踐上,如果是云架構或云資源可以直接通過Terraform結合對應的provider進行操作,并可以根據資源分類創建不同的代碼倉庫和module;如果是需要定制化的基礎組件,可以結合Terraform和Packer實現不可變基礎設施,利用Packer去生成定制化的鏡像,利用Terraform引用對應的鏡像去創建資源,這種方案的好處是一次制作、重復利用,免去每次創建機器、安裝服務的重復過程。
Docker和kubernetes解決容器標準化和編排
Docker容器技術的特性使其天然地適用于微服務的落地實現,一個容器實現一個微服務;無論是前端還是后端服務,均建議采用容器化的方式進行編譯構建。作為云原生運維,需要結合部署和運行的要求制定dockerfile的規范,并預置統一受管控的支持多種開發語言多版本的基本鏡像以備開發使用。
云原生運維更多的是圍繞kubernetes的生態,目前很多云平臺都具備托管的kubernetes服務,它們具有強化的安全性和快速交付功能,可以通過它們輕松的部署和管理容器化應用程序;對于這種托管的kubernetes服務的運維和保障工作也較為簡單,可以結合以上的基礎設施即代碼進行代碼化的管理,同時更多的是持續保障運行在kubernetes里服務的正常、擴容縮容和高可用,并結合業務場景持續提升集群的穩定性和SLA。
對于運維團隊而言,Kubernetes這個容器編排的實施標準是成為實現云原生理念的最佳平臺,同時可以結合GitOps模型,通過Git服務器和一種特定的工作流模型,為Kubernetes應用提供靈活的自動化部署管理,以實現容器應用的持續交付,以幫助實現容器應用的高可用性、可擴展性和快速響應變更的能力。
基于Service mesh輕量級的微服務治理
微服務模式下,企業內部服務少則幾個到幾十個,多則上百個,每個服務一般都以集群方式部署,針對服務發現和負載均衡的三種模式:集中式代理、客戶端嵌入式代理和折中的主機獨立進程代理都分別存在著配置麻煩、治理松散、運維部署復雜等情況。更需要一種輕量化的模式,即Service mesh。
Service mesh是一個基礎設施層,是一個服務治理平臺,用于處理服務間通訊。云原生應用有著復雜的服務拓撲,服務網格負責在這些拓撲中實現請求的可靠傳遞。在實踐中,服務網格通常實現為一組輕量級網絡代理,它們與應用程序部署在一起,而對應用程序透明。在微服務體系里面,除了服務本身之外,其它的服務相關的可管理可治理的部分都可以理解為是Service mesh的范疇。
而云原生化,則可以將Service mesh本身的運維與業務容器解耦開來,實現中間件運維能力的下沉,在具體實現上,可根據實際的需求采取不同的技術,比如:基于Consul+Openresty的基礎方案方式;或者Istio的方式,Istio是當前最主流的Service mesh開源項目。
對于云原生運維人員,依托于Service mesh打通的服務和基礎設施邊界,以及對服務的統一抽象,能夠更好的從全局視角進行服務質量、依賴管理、容量規劃、端到端監控等來保障產品穩定性。
基于云原生的全方位可觀測性實現
不同于傳統的監控告警機制,在云原生下,可觀測性是必備的能力,運維團隊需要更全面的考慮基于云原生的可觀測性。
云原生可觀測性是從傳統軟件監控及數據分析可視化工具中,總結出在云原生領域中,從底層容器基礎設施、通用技術組件到業務應用系統全鏈路監控運維、運營治理等產品化體系化的能力訴求,確切的體現了云原生的核心理念,它更多的是面向業務,強調將業務全過程透明化的理念。
在具體實現方面,可觀測性技術實施具有技術棧多樣,場景復雜,數據規模大等特點,作為運維團隊,需要通過建立多層次、多維度的可觀測特征數據來構建全方位云原生可觀測性,并以高度集成的方式反饋這些可觀測特征,以創建決策周期,從而提高組織決策的有效性。具體落地方案包括:
① 提供研發使用的基于open tracing 協議的通用統一的日志格式
② 在應用程序級別、基礎架構級別和組件級別建立完善的基本監控指標,以及復雜的可靠性和可用性顯示
③ 根據實際應用場景,適當的結合云平臺提供的相關解決方案
④ 使用商業或開源APM工具實現應用程序的全鏈路跟蹤、故障預警、性能定位、根因分析和優化
⑤ 使用Elasticsearch、Kibana、Grafana、Prometheus、Loki、Thanos和其他工具,將不同來源的數據以單一和連貫的方式進行呈現
持續優化DevSecOps和FinOps
云原生安全作為一種新興的安全理念,不僅解決云計算普及帶來的安全問題,更強調以原生的思維構建云上安全建設、部署與應用,推動安全與云計算深度融合。
作為運維團隊,對安全需要特別重視,需要規劃安全架構、評估風險態勢、建設安全開發體系、防護加固體系和運維應急體系。在具體實踐方面,可以基于風險評估模型建立環境和數據安全以及合規管理,比如每年合作并支持信息安全級別保護和各種安全行動,以實現系統級安全;支持和配合相關部門要求的其他防護活動,并參與攻防演練;加強安全管理機制,豐富安全審計戰略;防火墻加固、策略調整和優化、實時防御安全攻擊;定期修補、漏洞掃描和組件更新。
在云成本優化方面,參考FinOps能力模型,通過多種措施持續優化云成本,以降低使用云平臺的費用。比如:持續分析賬單以實現成本控制;通過對公有云產品特性的認知和理解,不斷調整和優化;為不同環境設定產品標準,以實現精細化管理;跟蹤資源的生命周期,盡可能減少浪費。
結束語
除上述外,還有運行時管理、混沌工程等技術實踐,同時還需要有運維團隊日常管理、和外部協作溝通模式、變更審批、可視化、匯報機制、知識庫、培訓體系、7*24 on call等文化、組織、流程和管理等方面的全方位支持。
云原生下,運維團隊的挑戰較大,任重而道遠,需要盡快實現標準化、自動化和數智化,其中標準化可以促進開發和運維的溝通和協同、有助于生態分工、推動更多工具鏈的高度集成;自動化可以支撐更大規模業務的挑戰、能夠持續支撐業務的快速迭代與穩定性;數智化可以通過對監控、配置、性能、日志等運行數據進行加工計算、構建可量化可對比的技術運營指標數字化評價體系并逐步形成結合業務場景的可落地的AIOps能力。
————————————————
版權聲明:本文為CSDN博主「H3C-Navigator」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/weixin_45882672/article/details/133762492
京公網安備 11010802036102號