傳統應用現代化:不止于異構應用治理
在傳統單體式架構向微服務架構遷移的過程中,隨著應用微服務數量的增加,微服務間的通信、監控以及安全性管理成為新的挑戰。服務網格作為應用與基礎設施的橋梁,突破傳統的 SDK 接入方式,以對應用透明的方式處理服務之間、服務與基礎設施間的通信,實現應用研發和基礎設施最大程度的解耦,讓應用研發只需專注于業務開發。
異構兼容標準管控
SOFA Mesh 提供平臺無關、語言無關、輕量無侵入特性的云原生方案,實現了傳統應用平滑上云,支持異構系統之間的互聯互通,傳統應用向分布式架構平滑升級,提供了既支持基于 ESB 的傳統 SOA 架構又支持 Spring Cloud 和 Dubbo 分布式架構的雙模服務管理和治理能力。傳統應用無須改造即可互聯互通,實現了分布式應用和傳統應用體系融合,構建高可擴展、高性能、低成本、輕量無侵入的分布式系統。
消息 Mesh:傳統應用平滑上云
云原生 Mesh 技術讓傳統應用能夠以零成本或低成本的方式享受到分布式架構的技術紅利:去中心化、可觀測性、異構系統服務治理等。通過消息 Mesh 接管 IBMMQ 流量,實現平滑上云享受分布式架構紅利的同時逐步去除 ESB 依賴,最終實現分布式轉型和信創架構雙重目標,構建企業級的通信網絡。
統一控制平面,適配多注冊中心
SOFA Mesh 不僅支持 K8s 的服務注冊發現,也適配了業界通用的注冊中心 ZooKeeper、SOFA Registry、Nacos、Eureka、Consul,最大限度兼容企業現存的基礎設施,最小化落地成本。
應用交付敏捷化:雙模應用運維管控
SOFAStack 應用 PaaS 平臺(CAFE)充分考慮企業現有的運維流程及利舊 IT 資產的訴求,提供雙模 IT 架構下的精細化應用運維管控能力,保障企業從傳統運維體系向容器化運維的平滑演進。
雙模混合發布:傳統 VM 到云原生容器化
SOFA 的應用 PaaS 平臺(CAFE)同時提供虛機應用和容器應用兩種發布模式,應用元數據、監控對接、中間件配置等無縫切換。通過保留經典應用運維交付體系的包發布模式,減少日常開發者與運維人員的鏡像改造與構建成本,同時提供“技術棧”選擇與自定義能力,輕松關聯基礎鏡像,實現準實時鏡像構建。
實例灰度:精細控制分組滾動
應用 PaaS 平臺支持自定義拓撲的精細化分組發布,是線上應用發布變更的重要保險繩,這使得容器實例層面的變更能夠做到足夠的可控和灰度。每一個階段都能暫停,經過充分的線上驗證后繼續發布,如果驗證遇到異常,可以及時回滾,以降低變更風險。
全鏈路灰度治理:單元化流量調撥與隔離
通過應用 PaaS 平臺提供的單元化流量調撥能力,保證微服務全調用鏈路的整體引流和逐步驗證。
灰度發布:靈活調撥灰度流量
灰度藍綠發布:新舊版本按權重分配流量 – 七層負載,流量百分比
通過小規模的生產流量來充分驗證新版本,可以及時的回切應急,避免問題被放大,保證新產品的平滑上線,提高發布效率。
藍綠發布:新老調用單元隔離
A/B 發布:版本并存,按業務語義分配流量 – 七層負載,HTTP 標簽
通過邏輯發布單元、中間件(微服務調用控制等)邏輯上下文封閉,隔離單元間調用,避免發布期間東西向流量新老兼容。
生產運維智能化:技術風險體系保障業務連續性
TRaaS (Tech Riskdefend as a Service)技術風險防控平臺,以螞蟻內部 SRE 長期實踐方法論和內部工具沉淀為依托,解決用戶上云和分布式改造過程中所面臨的可觀測、故障應急、容災、混沌工程、資金安全、壓測等運維問題。
“人-事件-過程”統一的風險應急能力
TRaaS 技術風險防控平臺風險應急能力是以用戶風險(故障)處置為核心,通過應急響應將用戶的“人”、“事”、“平臺能力”進行有效串聯,實現應急拉起、應急人員通知、診斷推送、預案執行,將應急過程可視化,有效提升應急效率。
三位一體的業務可觀測能力
TRaaS 技術風險防控平臺提供多元框架協議,采集監控、鏈路、日志等多樣數據,并支持按業務場景進行多維聚合,以業務監控為核心建立業務連續性保障體系,通過監控下鉆、鏈路分析、日志關聯、故障決策樹診斷,共同建立故障定位分析體系,覆蓋業務、應用、基礎資源、云原生等各種視角的全方位實時監控,提供一站式運維能力。
高效的資金安全風險保障能力
任何資損問題對于公司品牌都是災難,必須采用準實時、非侵入的工程化系統解決防范,實時發現、實時告警、實時熔斷、實時止血。TRaaS 資金安全風險保障平臺建立旁路資金安全監控體系對金融行業生命線進行保障,確保實時發現資金錯誤,并基于螞蟻和網商經驗,提供核對規則建設和落地咨詢服務。
高仿真的性能與容量風險識別能力
TRaaS 全鏈路壓測是以全鏈路業務模型為基礎,將前端系統、后端應用、中間適配層、數據庫等整個系統環境,完整地納入到壓測范圍中,以 HTTP 請求為載體,模擬真實的用戶行為,在線上構造出真實的超大規模的訪問流量,以全鏈路壓測模型施壓,直至達到目標峰值,在壓測過程中發現系統瓶頸和驗證系統能力。對比單應用或單鏈路壓測,全鏈路壓測的優勢在于能夠從更加宏觀的視角去看待業務場景,更加全面真實地反應當前業務支撐能力。
端到端的容災切換能力
TRaaS 技術風險平臺提供端到端的容災切換能力,支持 IaaS、PaaS、SaaS 等容災預案的通過統一編排及日常演練,通過統一平臺,完成不同容災場景下的切換動作。
基于混沌工程的紅藍攻防能力
TRaaS 基于混沌工程、建立演練機制,提供故障注入、演練編排體系能力,支持在不同環境、不同階段,主動對業務系統進行故障注入,從而在主動觀測單應用健壯性的同時,驗證整個體系的故障發現能力、應急響應能力、自愈能力等。
混合云異地多活:單元化架構解決容災容量問題
SOFAStack 以云原生為載體輸出螞蟻多年沉淀的金融級單元化架構,包括敏捷研發、分布式架構、發布運維、監控分析、容災應急等方面的能力,支持多個關鍵場景(同城雙活/兩地三中心/異地多活/異構基礎設施下的混合云等),并提供可持續演進的架構升級路徑。
異地多活單元化容災
異地多活單元化容災架構致力在分布式架構應用拆分和數據拆分的基礎上解決以下問題:
異地場景下的訪問延時問題,實現異地多活。
單機房數據庫連接限制問題,突破物理限制。
容量預估和擴容復雜問題,按單元預估和擴容。
發布變更灰度問題,支持灰度發布。
混合云:異構基礎設施下多活應用聯邦發布管控
混合云狹義上指公有云+私有部署的混合形態,通過平臺能力抽象統一、自動化部署、配置管理等方面的技術和產品,淡化開發和運維人員對底層基礎設施的關注,使應用和數據能夠在混合數據中心環境中進行部署和運維。
混合云異地多活架構
SOFAStack 混合云通過 PaaS 的統一化和標準化,提供涵蓋 DevOps 工作流、多活災備、應用和工作負載運維部署管理的綜合解決方案。通過 Kubernetes 屏蔽底層 IaaS 差異性,提高用戶跨云的資源利用率,催生出新的業務,更好地為業務服務。
業務價值
擴展數據中心邊界:全球化交付、多數據中心冗余多活、通過公有云降低成本。
多云納管:針對 IT 和云資產多樣化,一套解決方案進行多云納管。
統一視角下的應用發布管控、CICD 流水線對接。
跨域集群、機房、地域的高可用容災能力。
滿足金融安全域隔離場景下的多集群治理需求。
彈性擴容:結合異地多活架構,使業務能夠按需進行機房級的無限水平擴展。
統一容器網絡 RAMA:支持復雜場景部署,兼顧靈活性與高性能
在專有云 PaaS 輸出場景,落地的重點往往是底層異構基礎設施的適配,比如網絡、存儲等,K8s 雖然定義了通用的容器網絡接口 CNI,但卻把實現的復雜度留給了具體的網絡插件。為了解決專有云 PaaS 輸出在網絡層面的性能、適配性、靈活的 IP 管理等需求,阿里內部孵化了跨部門合作共建的容器網絡項目 RAMA。
RAMA 于 2019 年 10 月啟動,一期于 2020 年 2 月 GA,迭代至今,已經支持多 asw /多 vlan /多網段的復雜場景部署、IP 指定/固定等高階策略分配、ARP 保護、MAC 地址偽裝、高效網絡性能、完美兼容原生的 kube-proxy 等能力。在最新的規劃中,rama 后續會完成雙棧網絡的支持、進一步優化數據平面、嘗試支持 overlay 混部、引入 ebpf 提升網絡可觀測性等。
核心優勢
網絡性能高:underlay 不存在封包/解包開銷,相比 flannel-ipip、kube-ovn 等方案具有明顯的性能優勢,有助于用戶以容器的方式落地生產應用,能以最貼近傳統網絡運維的方式,耦合進用戶的存量網絡設施。
適配能力強:具備 MAC Nat 和 ARP Protection 特性,能夠“穿透”底層云平臺的 MAC 地址過濾限制且隔離惡意 ARP 請求,經驗證可以跑在物理機和 OpenStack/Vmware 虛擬機的異構環境上。
靈活的網絡模型:自定義 Network/Subnet/IPInstance 多級模型,與底層的多 asw 對應,且支持預占用/黑名單 IP,可以更靈活地規劃和使用網絡。
高階 IP 管理策略:支持有狀態容器組(Workload)的 IP 指定和 IP 固定策略,能夠幫助用戶更友好地將有“IP 不變”限制的應用遷移上云。
兼容 k8s Service 語義:通過策略路由和透明網橋等內核特性,實現了 underlay 網絡兼容 k8s 里基于 iptables 的 ClusterIP,能夠讓用戶更深度和友好地體驗 k8s。
支持 IPv4/6 雙棧
社區/行業對比
功能對比
從功能的角度來講,RAMA 由于 underlay 網絡的選型,在 IP 固定、IP 指定、多網段多交換機支持、存量網絡打通上具備得天獨厚的優勢,可以說基本對標和超越了很多業界標桿容器網絡方案。除此之外,作為一個 underlay 網絡方案,我們還在適配性、安全性和對 K8s 的兼容性上做了很多改進,也因此衍生出了更多的功能點,比如 Mac Nat、ARP Protection、完全兼容 kube-proxy 等。
性能對比
從性能的角度來講,RAMA 基于 linuxbrdige、vlan、iptables、ip rule、ebtables 等基礎內核網絡能力,數據鏈路簡單且高效,與宿主機網絡基本僅有 10% 左右的性能損耗,超過大多數業界標桿容器網絡方案。