螞蟻 PaaS 平臺(tái)介紹

螞蟻 PaaS 平臺(tái)是螞蟻業(yè)務(wù)全球化輸出的技術(shù)支撐平臺(tái)，PaaS 平臺(tái)的領(lǐng)域模型定義，是 PaaS 層產(chǎn)品技術(shù)最核心的架構(gòu)規(guī)范。螞蟻 PaaS 平臺(tái)作為金融科技商業(yè)化輸出的底盤(pán)（商業(yè)化品牌名為 SOFAStack CAFE）提供了以應(yīng)用為核心的研發(fā)、運(yùn)行、運(yùn)維全生命周期能力支撐。

IaaS 層核心領(lǐng)域模型與概念

地域（Region）與可用區(qū)（Availability Zone，AZ）

阿里云上的基礎(chǔ)物理拓?fù)浒ǖ赜颍≧egion）和可用區(qū)（Availability Zone），它們是阿里云的兩個(gè)核心領(lǐng)域模型。

• 地域 Region：物理的數(shù)據(jù)中心。地域通常以城市為單位，如杭州、上海、青島、北京等，每個(gè)地域之間是互相物理獨(dú)立和隔離的，如要互通則需要通過(guò)物理專(zhuān)線(xiàn)的方式打通。不同的 Region 提供的產(chǎn)品能力、安全與穩(wěn)定性水位、資源價(jià)格有所不同。

• 可用區(qū) Availability Zone/AZ：在同一地域內(nèi)，電力和網(wǎng)絡(luò)互相獨(dú)立的物理區(qū)域。可用區(qū)之間網(wǎng)絡(luò)互通，故障隔離。是否將實(shí)例放在同一可用區(qū)內(nèi)，主要取決于對(duì)容災(zāi)能力和網(wǎng)絡(luò)延時(shí)的要求。可用區(qū)通常也代指機(jī)房，即 IDC，兩者概念相同。

  說(shuō)明

  阿里云劃分地域和可用區(qū)的原因是考慮網(wǎng)絡(luò)延時(shí)。相同地域的不同可用區(qū)之間的網(wǎng)絡(luò)延時(shí)不超過(guò) 2ms。

• 金融地域（金區(qū)）：針對(duì)金融行業(yè)客戶(hù)對(duì)安全水位有更高要求的場(chǎng)景，會(huì)提供完全隔離，并專(zhuān)門(mén)部署更高安全水位的云產(chǎn)品組合的地域，稱(chēng)之為金融地域（或金融區(qū)）。例如公有云有三個(gè)金融 Region 分別是：杭州金區(qū)（cn-hangzhou-finance）、上海金區(qū)（cn-shanghai-finance-1）和深圳金區(qū)（cn-shenzhen-finance-1）。

  更多介紹，請(qǐng)參見(jiàn) 金融云特性、金融云產(chǎn)品列表。

專(zhuān)用網(wǎng)絡(luò)（VPC）

專(zhuān)有網(wǎng)絡(luò) VPC（Virtual Private Cloud）是您自己獨(dú)有的云上私有網(wǎng)絡(luò)。您可以完全掌控自己的專(zhuān)有網(wǎng)絡(luò)，例如選擇IP地址范圍、配置路由表和網(wǎng)關(guān)等，您可以在自己定義的專(zhuān)有網(wǎng)絡(luò)中使用阿里云資源如云服務(wù)器 ECS、云數(shù)據(jù)庫(kù) Redis 版和負(fù)載均衡 SLB 等。

VPC 定義了網(wǎng)絡(luò)邊界， 您可以更加方便地在云上自定義網(wǎng)絡(luò)的規(guī)劃和管理：您可以自定義虛擬路由器（vRouter）網(wǎng)段，配置路由表規(guī)則，也可以自定義虛擬交換機(jī)（vSwitcher），配置子網(wǎng)。

阿里云對(duì) VPC 模型的限制如下：

• 一個(gè) VPC 不可以跨 Region。

• 一個(gè) VPC 只有一個(gè) vRouter。

• 一個(gè) vSwitcher 只能屬于一個(gè) AZ。

• 一個(gè)安全組可以包括不同 vSwitcher 下的 ECS。

相關(guān)操作請(qǐng)參見(jiàn)：專(zhuān)有網(wǎng)絡(luò) VPC、網(wǎng)絡(luò)規(guī)劃。

PaaS 層核心領(lǐng)域模型

應(yīng)用（Application）與應(yīng)用服務(wù)（AppService）

為了方便金融級(jí)大規(guī)模分布式系統(tǒng)的研發(fā)運(yùn)維，螞蟻 PaaS 平臺(tái)在阿里云基礎(chǔ)資源之上抽象了“應(yīng)用（Application）”和 “應(yīng)用服務(wù)（AppService）” 的概念。

一個(gè)租戶(hù)內(nèi)的一套代碼對(duì)應(yīng)一個(gè)應(yīng)用，應(yīng)用有對(duì)應(yīng)的技術(shù)棧、分組、分級(jí)等基礎(chǔ)元信息。應(yīng)用是 PaaS 平臺(tái)的核心概念，螞蟻研發(fā)運(yùn)維體系都圍繞著應(yīng)用來(lái)展開(kāi)，研發(fā)應(yīng)用、發(fā)布應(yīng)用、運(yùn)維應(yīng)用、監(jiān)控應(yīng)用等。

應(yīng)用服務(wù)（AppService）是 CAFE 發(fā)布運(yùn)維體系的核心模型，一個(gè)業(yè)務(wù)應(yīng)用常常由多個(gè)應(yīng)用服務(wù)組成。應(yīng)用服務(wù)代表一個(gè)應(yīng)用在一個(gè)工作空間的一次部署，部署時(shí)需要有應(yīng)用鏡像/發(fā)布包、應(yīng)用配置、以及部署的資源。

例如針對(duì)多人開(kāi)發(fā)同一個(gè)應(yīng)用的場(chǎng)景，每個(gè)開(kāi)發(fā)同學(xué)會(huì)拉出自己的代碼分支部署在開(kāi)發(fā)環(huán)境去部署，即在開(kāi)發(fā)工作空間（Workspace：Dev）中，有三個(gè)同學(xué)開(kāi)發(fā)測(cè)試部署同一個(gè)應(yīng)用的不同分支（App：paycore），會(huì)產(chǎn)生三個(gè)不同的應(yīng)用服務(wù)（AppService：paycore_dev1、paycore_dev2、paycore_prod）。每個(gè)應(yīng)用服務(wù)可以部署在不同的服務(wù)器上，關(guān)聯(lián)不同的基線(xiàn)配置。但對(duì)于生產(chǎn)環(huán)境，不允許一個(gè)應(yīng)用在生產(chǎn)環(huán)境有多個(gè)不同的代碼版本，安全隱患極大。

相關(guān)操作請(qǐng)參見(jiàn)：管理應(yīng)用、創(chuàng)建應(yīng)用服務(wù)。

工作空間（Workspace）、地域（Region）與可用區(qū)（Availability Zone）

工作空間（Workspace）是 SOFAStack 提供的一種組織機(jī)制，用于將服務(wù)于不同目標(biāo)、階段的資源分組隔離管理。典型的使用場(chǎng)景是根據(jù)研發(fā)運(yùn)維流程，為每一個(gè)階段分配工作空間，例如單機(jī)房（即單可用區(qū)）的開(kāi)發(fā)工作空間、雙機(jī)房（即包括兩個(gè)可用區(qū)）的生產(chǎn)工作空間。

工作空間（Workspace）的核心是一組不受網(wǎng)絡(luò)連通性束縛的資源邊界。在阿里云，地域之間的網(wǎng)絡(luò)默認(rèn)不通，同時(shí)云產(chǎn)品也基本上是以地域?yàn)檫吔缭O(shè)置產(chǎn)品實(shí)例。例如：SLB 不可能跨地域掛載 ECS、VPC 不可以跨地域等。因此，我們?cè)O(shè)立工作空間模型的原因是希望在這個(gè)范圍內(nèi)的資源之間的關(guān)系不用考慮網(wǎng)絡(luò)連通性所帶來(lái)的復(fù)雜性問(wèn)題。

在實(shí)現(xiàn)過(guò)程中，工作空間通過(guò) RAM 實(shí)現(xiàn)訪(fǎng)問(wèn)控制的隔離，通過(guò) VPC 和安全組實(shí)現(xiàn)網(wǎng)絡(luò)隔離，或者通過(guò)分屬不同的 Kubernetes 集群實(shí)現(xiàn)物理隔離，亦或是通過(guò)在同一個(gè) Kubernetes 集群內(nèi)的不同資源標(biāo)簽實(shí)現(xiàn)篩選管理。

相關(guān)操作請(qǐng)參見(jiàn)：管理工作空間。

應(yīng)用（Application）與工作空間（Workspace）

應(yīng)用是租戶(hù)級(jí)別的概念，一個(gè)租戶(hù)內(nèi)的一套代碼對(duì)應(yīng)一個(gè)應(yīng)用。應(yīng)用不僅跨 Workspace 存在，也會(huì)跨 Region 存在。

應(yīng)用服務(wù)（AppService）與工作空間（Workspace）

應(yīng)用研發(fā)的生命周期中，研發(fā)人員經(jīng)常會(huì)接觸多個(gè)環(huán)境。我們一般可以認(rèn)為，一個(gè) Workspace 就是一個(gè)環(huán)境。但是，實(shí)際上一個(gè)環(huán)境，也可以由多個(gè) Workspace 組成。

一個(gè)應(yīng)用服務(wù)，并不受工作空間范圍的約束，因?yàn)橐粋€(gè)應(yīng)用服務(wù)往往可能同時(shí)部署在多個(gè)工作空間，比如一個(gè)“生產(chǎn)環(huán)境”可能由多個(gè)工作空間組成。

但是，應(yīng)用服務(wù)下的資源一定是屬于某一個(gè)工作空間的，同一資源不能同時(shí)屬于兩個(gè)工作空間。

相關(guān)操作請(qǐng)參見(jiàn)：創(chuàng)建應(yīng)用服務(wù)。

工作空間（Workspace）與專(zhuān)用網(wǎng)絡(luò)（VPC）

每個(gè)工作空間只會(huì)對(duì)應(yīng)到唯一一個(gè) VPC，這是因?yàn)楣ぷ骺臻g的核心表達(dá)是一組不受網(wǎng)絡(luò)連通性束縛的資源邊界的定義。

多租戶(hù)（Multi-tenant）

公有云 SOFAStack 是多租戶(hù)（Multi-tenant）架構(gòu)，各租戶(hù)可以按照需要?jiǎng)?chuàng)建自己的工作空間，并且定義人員可以進(jìn)行的操作權(quán)限。

SOFAStack 與阿里云的賬號(hào)體系進(jìn)行了深層次的融合：一個(gè)租戶(hù)映射到一個(gè)阿里云的云賬號(hào)（即主賬戶(hù)）上。每個(gè)用戶(hù)，都是屬于這個(gè)云賬號(hào)下的子賬號(hào)。

• 主賬號(hào)：即阿里云云賬號(hào)，可用于登錄阿里云平臺(tái)，具有 Root 權(quán)限，是阿里云獨(dú)立的結(jié)算個(gè)體，通常由企業(yè)持有，獨(dú)立負(fù)責(zé)阿里云側(cè)的結(jié)算。

• 子賬號(hào)：主賬號(hào)下虛擬的子賬號(hào)，可以創(chuàng)建任意多個(gè)，通常對(duì)應(yīng)企業(yè)內(nèi)的人或者系統(tǒng)。

相關(guān)操作請(qǐng)參見(jiàn)：RAM 主子賬號(hào)授權(quán)、跨云賬號(hào)授權(quán)。

PaaS 層擴(kuò)展領(lǐng)域模型

為了支撐更加復(fù)雜的應(yīng)用場(chǎng)景，金融云 PaaS 還定義了以下更高級(jí)的模型。

• 工作空間組（WorkspaceGroup ）

• 應(yīng)用服務(wù)實(shí)例組（AppService Instance Group，AIG）

• 部署單元（Cell）

工作空間組（WorkspaceGroup ）

工作空間組（WorkspaceGroup）是工作空間（Workspace）在多地域的擴(kuò)展，在多地域內(nèi)對(duì)資源進(jìn)行分組隔離管理。多個(gè)地域的網(wǎng)絡(luò)可以通過(guò)專(zhuān)線(xiàn)高速通道實(shí)現(xiàn)互通。如生產(chǎn)工作空間組（WorkspaceGroup：prod），包含兩個(gè)工作空間：上海生產(chǎn)工作空間（Workspace：prod_shanghai）、杭州生產(chǎn)工作空間（Workspace：prod_hangzhou）。

在 SOFAStack 控制臺(tái)上，有些產(chǎn)品會(huì)支持以 WorkspaceGroup 視角進(jìn)行操作：比如單元化應(yīng)用服務(wù) LHC、異地容災(zāi)產(chǎn)品、監(jiān)控產(chǎn)品等。

相關(guān)操作請(qǐng)參見(jiàn)：創(chuàng)建工作空間組。

應(yīng)用服務(wù)組（AppServiceInstance Group，AIG）

應(yīng)用服務(wù)組（AIG） 用于圈定一組應(yīng)用服務(wù)下的資源，是 Application 的一個(gè)更加細(xì)粒度的部署分片。

有些業(yè)務(wù)場(chǎng)景下，我們需要對(duì)同一個(gè)應(yīng)用（Application）從業(yè)務(wù)層面進(jìn)行更細(xì)粒度的劃分。例如，不同的業(yè)務(wù)都依賴(lài)同一個(gè) Application，如何從一個(gè)業(yè)務(wù)的視角，對(duì)這個(gè)應(yīng)用下的部署實(shí)例進(jìn)行更細(xì)粒度的控制，比如部署隔離、流量分配等。因此在 Application 模型下，增加了 AIG 這個(gè)模型。

應(yīng)用服務(wù)組（AIG) 與工作空間組（WSG）

AIG 可以跨 WSG。按照螞蟻集團(tuán)的經(jīng)驗(yàn)，可以將一個(gè) WSG 定義為一個(gè)環(huán)境。

AppService 可以跨 WS，但不可以跨 WSG。因?yàn)橥ǔ?lái)說(shuō)，一個(gè) AppService 不可能包括兩個(gè)“環(huán)境”下的資源，兩個(gè)“環(huán)境”下的 AppService 往往意味著兩種不同的基線(xiàn)配置。

部署單元（Cell ）

Cell 是發(fā)布部署要感知的最小部署單元。一個(gè) Cell 一般會(huì)對(duì)應(yīng)一個(gè)中間件配置中心。

Cell 是實(shí)現(xiàn)同城雙活、藍(lán)綠發(fā)布、單元化架構(gòu)的基礎(chǔ)。每個(gè) Cell 內(nèi)可以理解為有一個(gè)邏輯獨(dú)立的配置中心。

Unit 是 LHC 產(chǎn)品封裝的模型，不是 PaaS 層核心領(lǐng)域模型。LHC 產(chǎn)品利用 PaaS 層的 Cell 模型對(duì)單元化架構(gòu)中的邏輯 Zone 進(jìn)行劃分。

相關(guān)操作請(qǐng)參見(jiàn)：管理部署單元。

應(yīng)用服務(wù)（AppService）與部署單元（Cell ）

• 一個(gè) App 的 AppService 可以跨 Cell。適用于雙機(jī)房雙活及藍(lán)綠發(fā)布場(chǎng)景。

  

• 一個(gè) App 的 AppService 可以跨 Cell，也可以跨 Workspace，適用于異地多活單元化場(chǎng)景。

  

• 一個(gè) App 可以創(chuàng)建多個(gè) AppService 放到多個(gè) Cell 內(nèi)。適用于多分支獨(dú)立研發(fā)場(chǎng)景及單元化場(chǎng)景（假設(shè)一個(gè)unit 內(nèi)只有一個(gè) cell）。

  

• 同一 App 創(chuàng)建多個(gè) AppService 部署在同一個(gè) Cell。適用于使用 sofaRouter 的聯(lián)調(diào)場(chǎng)景，或者不依賴(lài)配置中心的普通 App 場(chǎng)景。

  

PaaS 層領(lǐng)域模型與 Kubernetes 領(lǐng)域模型映射

PaaS 發(fā)展到現(xiàn)階段，與 Kubernetes 的關(guān)系越來(lái)越緊密，Kubernetes 是一個(gè)很好的技術(shù)平臺(tái)，但是 Kubernetes 不等于 PaaS，PaaS 層的領(lǐng)域模型本質(zhì)是為了 PaaS 產(chǎn)品提供的業(yè)務(wù)語(yǔ)義服務(wù)。

為了讓基于 Kubernetes 實(shí)現(xiàn)的 SOFAStack 平臺(tái)能夠繼承前面所述 PaaS 層領(lǐng)域模型支撐的復(fù)雜場(chǎng)景和架構(gòu)。我們有必要對(duì) Kubernetes 與 PaaS 層領(lǐng)域模型進(jìn)行一定的規(guī)約和映射。

集群（Cluster）與租戶(hù)（Tenant）

公有云與專(zhuān)有云上，Tenant 對(duì)一個(gè) Kubernetes Cluster 有不同的約束：

• 公有云上的一個(gè) Cluster 只能屬于唯一一個(gè)租戶(hù)，而一個(gè)租戶(hù)可以有多個(gè) Cluster。

• 專(zhuān)有云的一個(gè) Cluster 往往是多租戶(hù)共享的。

相關(guān)操作請(qǐng)參見(jiàn)：創(chuàng)建集群。

集群（Cluster），命名空間（Namespace）與工作空間（Workspace）

Cluster 與 Workspace 為多對(duì)多關(guān)系：一個(gè) Cluster 可以被多個(gè) Workspace 共享，一個(gè) Workspace 也可以擁有多個(gè) Cluster。

• 公有云：一個(gè) Workspace 可以包含多個(gè) Cluster。且因?yàn)橐粋€(gè) Workspace 只能對(duì)應(yīng)到一個(gè) VPC， 所以多個(gè) Cluster 必須屬于相同的 VPC。一個(gè) Cluster 的集群管理，比如創(chuàng)建和初始化，都在 Workspace 內(nèi)完成。

• 專(zhuān)有云：一個(gè) Cluster 的集群管理，并不在 Workspace 內(nèi)部完成，會(huì)由全局統(tǒng)一管理，將一個(gè) Cluster 分配給一個(gè) Workspace。

命名空間（Namespace）是對(duì)一組資源和對(duì)象的抽象整合。在同一個(gè)集群內(nèi)可創(chuàng)建不同的命名空間，不同命名空間中的數(shù)據(jù)彼此隔離，使得它們既可以共享同一個(gè)集群的服務(wù)，也能夠互不干擾。一個(gè) Namespace 只能關(guān)聯(lián)到一個(gè) Workspace 中。

相關(guān)操作請(qǐng)參見(jiàn)：創(chuàng)建集群。