K8S是第一個將“一切以服務為中心，美國站群服務器 亞洲服務器，一切圍繞服務運轉”作為指導思想的創新型產品，它的功能和架構設計自始至終都遵循了這一指導思想，構建在K8S上的系統不僅可以獨立運行在物理機、虛擬機集群或者企業私有云上，也可以被托管在公有云中。

微服務架構的核心是將一個巨大的單體應用拆分為很多小的互相連接的微服務，一個微服務背后可能有多個實例副本在支撐。單體應用微服務化以后，服務之間必然會有依賴關系，在發布時，若每個服務都單獨啟動會非常痛苦，簡單地說包括一些登錄服務、支付服務，若想一次全部啟動，此時必不可少要用到編排的動作。

K8S完美地解決了調度，負載均衡，集群管理、有狀態數據的管理等微服務面臨的問題，成為企業微服務容器化的首選解決方案。使用K8S就是在全面擁抱微服務架構。

在社區不久前的線上活動交流中，圍繞金融行業基于K8S的容器云的微服務解決方案、金融行業微服務架構設計、容器云整體設計架構等方面的問題進行了充分的討論，得到了多位社區專家的支持。大家針對K8S容器云和微服務結合相關的問題，體現出了高度的參與熱情。在此，對大家關注的問題以及針對這些問題各位專家的觀點總結如下：

一、K8S容器云部署實踐篇

Q1:現階段容器云部署框架是什么？

A1:

• 在DMZ和內網分別部署彼此獨立的2套Openshift，分別為內網和DMZ區兩個網段，兩套環境彼此隔離。

• DMZ區的Openshift部署對外發布的應用，負責處理外網的訪問

• 內網的Openshift部署針對內網的應用，僅負責處理內網的訪問

-權限管理

對于企業級的應用平臺來說，會有來自企業內外不同角色的用戶，所以靈活的、細粒度的、可擴展的權限管理是必不可少的。OCP從設計初期就考慮到企業級用戶的需求，所以在平臺內部集成了標準化的認證服務器，并且定義了詳細的權限策略和角色。

1. 認證：

OCP平臺的用戶是基于對OCP API的調用權限來定義的，由于OCP所有的操作都是基于API的，也就說用戶可以是一個開發人員或者管理員，可以和OCP進行交互。OCP內置了一個基于OAuth的通用身份認證規范的服務器。這個OAuth服務器可以通過多種不同類型的認證源對用戶進行認證。

2. 鑒權：

權策略決定了一個用戶是否具有對某個對象的操作權限。管理員可以設置不同規則和角色，可以對用戶或者用戶組賦予一定的角色，角色包含了一系列的操作規則。

除了傳統的認證和鑒權功能，OCP還提供了針對pod的細粒度權限控SCC（security context constraints），可以限制pod具備何種類型的權限，比如容器是否可以運行在特權模式下、是否可以掛在宿主機的目錄、是否可以使用宿主機的端口、是否可以以root用戶運行等。

-多租戶管理

租戶是指多組不同的應用或者用戶同時運行在一個基礎資源池之上，實現軟件、硬件資源的共享，為了安全需求，平臺需要提供資源隔離的能力。

在OCP中，project是一個進行租戶隔離的概念，它來源于kubernetes的namespace，并對其進行了功能的擴展。利用Project，OCP平臺從多個層面提供了多租戶的支持。

1. 權限控制。通過OCP平臺細粒度的權限管理機制，管理員可以對不同的用戶和組設置不同project的權限，不同用戶登錄以后只能操作和管理特定的project

2. 網絡隔離。OCP平臺使用openvswitch來管理內部的容器網絡，提供兩種類型的網絡模式，一種是集群范圍內互通的平面網絡，另一種是project級別隔離的網絡。每個project都有一個虛擬網絡ID（VNID），不同VNID的流量被openvswitch自動隔離。所以不同項目之間的服務在網絡層不能互通。

3. Router隔離。Router是OCP平臺一個重要軟件資源，它提供了外部請求導入OCP集群內部的能力。OCP提供了Router分組的功能，不同的project可以使用獨立的Router，不互相干擾，這樣就避免了由于某些應用流量過大時對其他應用造成干擾。

物理資源池隔離。在多租戶的環境中，為了提高資源的利用率一般情況下物理資源池是共享的，但是有些用戶也會提供獨占資源池的需求。針對這種類型的需求，OCP平臺利用nodeSelector的功能可以將基礎設施資源池劃分給特定的project獨享，實現從物理層面的隔離。

-日志和監控

（1）傳統應用日志

有別于當前流行的容器應用，的傳統應用同時一個中間件會運行多個應用，且應用通過log4j等機制保存在文件中方便查看和排錯。因為容器運行的特性，對于這部分的日志我們需要持久化到外置存儲中。

日志的分類如下：

• 中間件日志

• dump文件

• 應用日志

日志保存在計算節點上掛載的NFS存儲。為了規范和方便查找。日志將會按OCP平臺中的namespace建立目錄，進行劃分。

（2）新應用日志