背景
随着业务发展和技术创新,银行正迅速拥抱云计算架构,以期提供更灵活、可扩展的基础设施,迅速推出新服务并保障操作安全稳定。这一转型面临多重挑战:多云环境下的集成和兼容性、业务规模变化下的弹性和伸缩性、日益增长的数据安全和合规性要求,以及日渐复杂的 IT 系统管理需求。尤其是,国产化和自主可控性在某些地区和行业变得越发关键,关乎技术独立性和安全。
案例
该客户是一家领先的金融机构,面临着日益增长的监管要求和市场竞争。为了保持其市场领先地位,该客户决定重构其 IaaS 底层技术,采用全新的异构云计算技术架构,同时补充软件定义网络核心技术栈,并引入了 Kubernetes 架构。这一转型的核心之一就是实现多供应商和多云产品之间的流畅集成,以及实现统一的流量管理和调度的标准功能。
在多云环境下,集成多个供应商和云产品提升了技术复杂性,需要统一的标准手段来管理和调度不同云环境中的网络流量,同时需要灵活的解决方案来处理技术兼容性的问题。
Flomesh 从众多优秀的供应商中崭露头角,以领先的软件负载均衡技术方案 FLB(Flomesh Load Balancer)以及在银行业深耕多年的专业经验,获得了该客户的青睐。
应用场景
软件负载均衡(软负载)在软件定义网络(SDN)环境中可以被视为一种高效实现,提供网络资源的高度灵活性和可编程性,允许通过中央控制器动态调整网络流量,为实现包括负载均衡在内的多种网络功能提供基础。这种流量管理的方式更加灵活和智能化,提高了网络的性能和效率,使得不同的网络服务能够更好地协同工作。软负载的策略和规则可以自动调整,实现流量分配的自动化和优化。这种自动化程度是传统硬件负载均衡器难以比拟的。
裸金属 ELB
在裸金属环境中,Flomesh 的 ELB 解决方案专门设计来应对高性能要求和低延迟的挑战,实现了高效的 TCP 负载均衡。通过优化 TCP 负载均衡,FLB 确保即使在最密集的流量下,金融服务也能保持稳定和高效,从而满足金融机构对即时交易处理的关键需求。它与 Kubernetes 平滑集成,方便地支持服务的接入和管理。
7 层 ALB
在处理应用层协议的场景中,Flomesh 的 ALB 方案重点解决数据安全和复杂流量管理的问题。通过集成国密 TLS 加解密和提供细致的安全控制(如黑白名单和身份验证),FLB 确保敏感的金融数据在传输过程中得到充分保护,同时保持流量高效和安全地管理。
内外网流量网关
Flomesh 的流量网关功能专门为跨网络分区的流量管理而设计,有效应对金融机构在内网和外网之间数据传输的安全和效率挑战。该方案提供的安全加密通道和基于源地址的访问控制确保金融交易和客户数据即使在复杂的网络环境中也能安全、顺畅地流转。
技术方案
从整个技术架构来看,Flomesh 软负载技术方案包括控制面和数据面两个部分。
- 控制平面:部署在容器平台中,包含了控制器 FSM Manager、图形用户界面 Flomesh GUI、管理后端、持久化存储。一方面通过对外的标准 REST 接口与现有平台集成,打通权限、多租户管理;另一方面,提供与标准可观测平台的兼容能力,可以与已有的监控平台兼容。
- 数据平面:数据平面是真正处理流量的抽象组件,包含了 裸金属 ELB、容器平台的 Ingress、API 网关和内外网流量网关。
裸金属 ELB
ELB 负责将入站流量转发到位于容器平台的工作负载,达到暴露容器平台服务的目的。
实现原理:
- 图形用户界面 flomesh-gui 作为管理后端的前端运行,提供可视化的操作。管理员通过 GUI 为服务分配 VIP 地址库。
- 控制器 FSM Manager 监控 Load Balancer 类型 k8s service 的创建,通过管理后端的 REST 接口从 VIP 地址库中获取 VIP,并将其绑定到 service 上。同时,还会将 service 对应的 endpoints 信息上报到管理后端,作为 ELB 负载均衡的上游地址。
- Pipy ELB 运行在裸金属上,从控制台获取 VIP 以及上游 endpoints 等信息,运行在同节点的 Pipy Speaker 通过 BGP 宣告将 VIP 地址发送给交换机。
- 当通过 VIP 访问服务的时候,流量通过交换机路由表达到 Pipy ELB。Pipy ELB 通过负载均衡信息,将流量转发到 endpoint,即 Pod IP 地址。
7 层 ALB
ALB 是 FLB 的另一个重要组成部分,ALB 工作在 OSI 模型的第 7 层,处理 HTTP 等 7 层的协议,提供国密 TLS、加解密的支持;在容器平台提供 Ingress Controller 实现,作为容器平台的流量入口;在功能上提供黑白名单、限流限速、身份认证等安全控制。可以根据到达的流量情况对 ALB 进行横向扩展,以支撑目标的流量负载。
实现原理:
ALB 收到请求后,根据流量的特征确定要应用的规则,然后从候选目标中选择目标进行流量的转发。可以根据需求更新目标的信息,而不会中断应用程序的流量。ALB 也会监控目标的健康状况,将流量只转发给健康的目标。
HTTP 的路径、主机、标头、参数等信息均可以作为作为流量特征,以此可以制定灵活的流量规则。
内外网流量网关
Flomesh 流量网关功能是 FLB 中的重要功能之一,用于提供跨网络区域的安全加密通道,实现基于源地址的访问控制、加密传输、多路复用、流量审计与负载均衡功能。
流量网关功能包含三个组件,分别是:
- Pipy BGP Speaker,负责维护节点与交换机的 BGP 邻居状态,并宣告高可用 IP。
- Pipy Tunnel External 节点(简称 PTE 或流量网关入口),客户端访问的流量入口。
- Pipy Tunnel Internal 节点(简称 PTI 或流量网关出口),承接来自 PTE 的流量,不对下游客户端开放。
实现原理:
- DMZ 区隧道节点需要与交换机建立 BGP 邻居(iBGP),用于对服务提供隧道入口的虚拟地址(VIP)。
- APP 区隧道节点使用本机 IP 地址,作为 DMZ 区隧道节点的上游。需要注意的是,每组 App 区隧道节点最多提供 65535 个隧道,即每个监听的端口提供一个隧道。每组 APP 区隧道节点提供相同的代理服务,提供高可用和负载均衡功能。如需增加隧道数量,则需要增加 APP 区隧道节点的集群数量。
- 隧道采用 HTTP2 协议,并且通过 SSL 加密。
- APP 区 Egress 节点需要与交换机建立 BGP 邻居(iBGP),用于对 APP 区服务提供对外访问隧道。
- 在 DMZ 区,使用单节点 K8s 集群作为 Web 静态服务的资源。后续可根据容量需求,适当增加静态资源集群 K8S 节点数量。
- 控制面采用容器化部署方式,可管理不同网络区域的隧道节点集群。
收益
引入 Flomesh 后,客户不仅显著提升了云平台的性能和可靠性,还有效降低了运维成本,加强了对金融监管要求的遵循。Flomesh 的解决方案以其卓越的弹性、服务化接口、流量可视化管理,以及国产化的安全特性,为客户的数字化转型提供了强有力的支持。
通过采用 Flomesh 软负载技术,客户不仅满足了对高性能、高可用性和严格安全的需求,还在其云计算环境中带来了前所未有的灵活性和扩展性,巩固了其作为金融领域领导者的地位。
- 弹性和服务化:FLB 提供了出色的流量调度和横向扩展能力,同时以服务化形态对外提供标准 REST 接口,与平台无缝集成。相比传统硬件产品,Flomesh 在 IP 高可用性和横向扩展方面更加灵活。
- 标准化:FLB 提供了标准的技术手段,打通了多供应商、多云产品,实现统一的流量管理和调度的调准功能。
- 可视化:通过 FLB 该客户实现了流量全景可视化,包括日志、指标的监控,以及流量重放和故障回溯功能。
- 自主可控:FLB 在服务器、硬件和操作系统的选择上都符合国密标准,在安全性和可控性方面具有独特优势,符合国内的法规要求和提高系统的安全性。
总结
通过实施 Flomesh 的软负载方案,客户不仅解决了当前的业务挑战,还为未来的增长和扩展奠定了坚实的基础。
Flomesh 的创新软负载方案的核心特点在于其高度的灵活性和可扩展性,能够适应多云环境和不断变化的业务需求。不仅提高了系统性能和可靠性,还降低了运维成本,并加强了对金融监管要求的遵循。这些优势使得 Flomesh 可以成为金融行业数字化转型的强大助力。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。