案例丨?打造容器云新技术架构，加速数字化转型

中国民生银行信息科技部高级架构师? 杨鸣

随着数字化转型进程的加速，我国各大银行都在积极开展技术创新，把金融科技放在重要的战略高度，通过AI、大数据、云计算、区块链等新技术改善着金融效率、提升竞争力，进而推进金融行业转型。

但新技术的应用，也对银行的技术架构带来了新的挑战。如何对传统IT基础架构进行改造和升级，甚至构建新的架构来适应新技术应用的需求，帮助IT部门降低成本、提高效率，并能专注于更有价值的工作，是当前每家银行都面临的挑战。此次，民生银行携手F5首创应用交付架构统一发布容器业务，也正是在这方面的一次有益尝试。

遭遇困境：标准容器发布方式带来运维难题

当前，发展日臻成熟的云计算正在与金融业进行日渐深入的结合，各家银行纷纷开始大面积“上云”，积极推进私有云、行业云、生态云等建设。与此同时，容器、微服务等技术因其比虚拟机更“轻”，占用资源少、启动服务快的特性，在银行上云的过程中，得到了越来越广泛的应用。

民生银行经过近2年的容器云建设，容器云成为了在民生银行数据中心测试环境和生产环境中新业务上线的主要承载平台。同时，民生银行采用基于Nodeport和Ingress的传统架构进行容器业务发布，并针对同城容灾和不间断服务的需求进行了优化，这样的方式基本能够满足大部分场景。但随着容器平台承载的业务数量越来越多、业务的重要性越来越高云计算架构方案，以及K8S集群的数量越来越多，原有容器业务发布架构存在诸多不便之处，给运维带来不少难题。

首先，因为Nodeport和Ingress缺少一些专业负载均衡的功能，传统应用在容器化改造过程中必须完成相应逻辑整改后才能完成上线，导致应用功能非常受限。其次，受限于Nodeport和Ingress的底层实现机制，以及流量绕行无法直达业务POD，业务吞吐、TPS、RPS的性能远低于传统非容器业务发布方式，访问量大的业务甚至面临转发性能问题。再次，在运维层面，因为故障点较多且无法使用现有成熟手段对所有组件实现运维监控，且不利于网络流量分析。最后，相较于传统业务发布由网络部门统一管理，容器业务发布所需的配置的分散性需要跨越网络、云平台、应用三个部门协同处理，沟通成本较高，配置管理难度较大。

解困之道：向云原生应用交付解决方案要答案

为了解决原有基础架构的运维难点问题，适应当今大量的新技术的应用和数字化趋势，民生银行决定构建一个新的技术架构来支持容器业务发布。在此之前，F5一直为民生银行提供稳定高效的负载均衡服务，而在这次对容器业务发布架构的新探索中，民生银行经过产品适配、方案开发、厂商实力等多个维度的考量，最终决定采用F5云原生应用交付解决方案，来构建全新技术架构并统一发布容器业务。

民生银行全新容器业务统一发布架构中的第一层采用F5 N+M集群，提供K8S双中心集群服务的总入口，这一层部署的 F5是硬件设备，具有出色的性能、硬件的优势、标准化成熟的落地方案，同时对第二层的F5 做负载分发。第二层选用的是虚拟化的F5 VE设备，F5 VE通过虚机的方式部署，与单个K8S集群绑定，一组主备F5 VE只负责单个K8S集群中的容器应用发布。

AS3模式的CIS容器部署在K8S集群内，作为F5 VE的控制器，CIS容器通过对K8S集群内Configmap资源进行监控，将Configmap资源中的内容转化为F5的配置，将配置推送给 F5 VE，CIS容器还通过K8S标准的API接口完成业务发现和实时监听集群内Pod的变化，一旦Pod发生变化，相应的更新会及时推送给VE，并完成更新。网络自动化系统将需求转换为第一层F5的配置和Configmaps资源配置，通过API接口实现第一层F5配置的自动下发以及K8S集群内Configmaps资源的更新，CIS通过监听Configmaps的资源变化完成第二层F5 VE配置的更新，从而完成容器业务统一发布的自动化。

基于AS3模式的CIS容器是该架构的核心产品，功能全面，几乎所有应用交付控制的功能都可以在容器应用交付中使用，而且支持服务动态发现，在Configmaps完成了虚拟服务的配置后，只需要在对应要发布的容器业务服务中添加几个标签，即可完成容器服务的虚拟发布。

通过与民生银行共同开展的性能对比测试，同一个容器应用，F5+CIS架构的性能明显高于原有的NodePort+Nginx Ingress架构，其中RPS指标新架构性能是原架构性能的4倍，吞吐量对比是原架构性能的4倍，而 TPS指标主要受限于容器应用的处理能力，在同等条件下，该指标新架构性能是原架构性能的2倍。

图1? 容器业务统一发布新架构

收获满满：创新技术架构实现五大应用价值

新的容器业务发布架构让民生银行的运维难题迎刃而解，并在功能、性能、变更管理、运维监控、可扩展性等五大方面实现了显著提升。

一是功能更全面，其负载均衡功能可通过专业设备实现， 7层功能不再依赖Ingress和域名，业务无需改造，助力推广应用容器化。

二是性能更强大，因采用专业负载均衡设备，流量直达业务Pod，业务吞吐、TPS、RPS的能力大大提升，支持高吞吐业务系统上线容器平台。

三是变更管理更简单，应用发布流程可以由网络部门单独完成，与传统业务发布方式形成了统一，配置复杂度降低的同时大大降低了变更管理的难度。

四是运维监控更便捷，流量可以从负载均衡设备直达业务Pod，流量只经过F5设备和业务Pod，提升网络性能的同时故障点大幅减少，可以直接复用现有流量监控及网络运维方案。

五是可用性和可拓展性更高，CIS容器使用K8S中的Deployment方式部署保证其高可用，VE主备集群部署的同时保持高可用，F5物理设备使用N+M架构实现高可用，F5、VE、CIS三层均可以横向扩展提升性能适应严苛的生产环境。

总体上看，通过应用F5的云原生应用交付解决方案，民生银行打造了业界首例负载均衡统一发布容器业务架构。创新性的架构实现了传统环境与容器环境业务发布管理上的统一性，包括功能统一、变更统一、运维统一，同时提升了容器业务发布架构整体的性能和效率。由此，运维人员可以用更加便捷、高效、统一的方式完成各类容器应用的上线和发布工作，减少了大规模容器部署环境下运维的难度，也使开发人员更加专注于应用本身。

随着容器在金融行业的部署规模日益增长，应用容器化将是未来的技术主流发展方向。民生银行此次在构建容器发布的新技术架构方面开展积极探索，相信也会对金融行业的数字化转型带来有益的借鉴。未来，民生银行还将围绕自身的金融科技战略，持续推进更多新技术在数据中心落地，助力金融业务的不断创新。

往期精选：

（点击查看精彩内容）

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!