2.1　容器云构建金融业敏态业务的考量

近两年，很多金融企业已经开始部署或计划部署容器云。我们先分析一下容器云如何帮助金融客户构建敏态IT以及适合容器云的应用是什么。

2.1.1　国内企业敏态IT建设趋势分析

我们知道，在敏态IT建设过程中，DevOps的建设是其中最重要的一个环节。笔者这里通过对云计算开源产业联盟发布的《中国DevOps现状调查报告》 进行解读，分析国内企业敏态IT建设趋势。

阅读报告，可以得出如下21条结论。

1）国内企业普遍接受了DevOps的观念，并已经开始实践敏捷开发。

2）敏捷管理实践排名采用度依次为：发布计划、看板、每日站会、Spring迭代。Sprint迭代是DevOps的基础。举例来说，红帽OpenShift采用Sprint迭代模式开发，而Ansible采用看板模式开发。

3）最受欢迎的四个工程实践：持续集成、自动构建、单元测试、持续部署。

4）项目管理使用最多的工具是JIRA。

5）多数企业将代码、配置管理、自动化脚本被纳入版本控制系统。

6）代码主干集成比例提升。

7）自动化测试比例大幅提升，但模糊测试、混沌测试、全链路测试仍需要提升。

8）测试左移比例提升，但仍不高。

9）大多数客户在使用虚拟机和容器。

10）告警平台的智能化与自动化决策有待提升。

11）运维全生命周期数据智能化分析有待提升。

12）变更管理可视化能力有待提升。

13）智能化配置管理和关联分析能力弱。

14）全链路容量管理能力有待提升。

15）自动化和智能化高可用管理能力有待提升。

16）企业应用RTO有待提升。

17）Spring Boot和Spring Cloud被大量使用。

18）两成企业微服务拆分简单粗暴。

19）半数以上企业尝试DevSecOps。

20）选择混合云的企业比重增加，选择公有云的企业比重下降。

21）超过20%的企业无法判断DevOps实践是否成功。

通过以上21条结论，我们来分析企业今后在敏态IT方面的8个建设重点。

1）混沌工程平台的建设会成为继容器云、DevOps建设后，企业IT建设这两年的重点。

2）企业短时间很难实现所有应用上容器，虚拟机+容器模式将会长期存在，因此DevOps建设应该考虑虚拟机+容器的混合环境。

3）智能告警、运维、变更、自动化等平台建设是企业在DevOps建设后，提升运维能力的重点建设方向。

4）企业应用RTO有待提升，企业会重视基于容器云实现业务的双活建设，保证在单数据中心出现故障时，服务不降级。

5）DevSecOps被普遍接受，将容器云的安全工具纳入DevSecOps工具成为企业IT建设的主要方向。

6）Spring Boot和Spring Cloud仍然受欢迎，因此Istio大规模商用的基础目前尚不存在。

7）20%的企业单体应用拆分简单粗暴，因此使用专业的方法论（如DDD）拆分单体应用，并进行微服务落地是建设重点。

8）选择混合云的企业比重增加，因此基于混合云实现DevOps、多云管理是企业建设的重点。

2.1.2　敏态IT的构建路径

在物理机中部署应用，我们需要先安装操作系统（如Linux），然后安装应用服务器（如WebLogic、Tomcat），再部署应用包（如war包）。在虚拟化环境中，可以将部署了应用服务器的虚拟机做成模板，如果需要部署新的应用服务器，可先进行模板部署，再将应用包部署到应用服务器上。

虚拟化环境下应用部署的便捷性有了很大的提升，但在应用弹性扩容方面，效果还是不理想。在业务突然繁忙的时候，如银行的纪念币销售、保险公司的开门红业务造成大量的突发访问请求，紧急通过模板部署虚拟机、部署并启动应用，显然耗时太长。但是，如果提前准备虚拟化环境，一来增加工作量，浪费资源，二来临时准备的虚拟机，也未必能够承载突增的业务访问请求。所以，构建容器云是金融科技敏态业务的基础。金融科技敏态IT的构建分为5个步骤，如图2-1所示。

接下来，我们针对图2-1中的5个步骤进行说明。

• 在容器云中，我们可以通过模板直接部署应用服务器的容器化镜像，同时在部署的时候，也可以借助类似Java Source to Image的开源技术 实现从源码构建应用以及应用的容器化。而当业务请求量高时，可以通过容器云的自动横向扩容来实现应用服务器的横向扩展。在容器云中，我们可以通过容器镜像仓库统一管理容器镜像，实现容器镜像的标准化，然后将应用的配置放到配置仓库，这样相同的容器镜像，在不同的环境部署时只需使用不同的配置文件即可，从而大幅提升应用部署速度。
• 借助于容器云，我们可以便捷地实现CI/CD工具链的落地，提升应用的开发和发布速度。
• 传统的应用服务器通常较重，如WebLogic，在向容器云迁移时存在一定的难度，需要将应用迁移到轻量级的应用服务器（如Tomcat）或进行微服务拆分。近两年，随着Spring Cloud和Service Mesh的发展，越来越多的新型应用在设计之初就已经符合微服务的设计原则。
• 云原生计算基金会（Cloud Native Computing Foundation，CNCF）一直主推的云原生，实际上也是以轻量级应用开发框架为核心，以分布式、容器化的开源中间件堆栈为依托，以容器云为承载平台实现的。
• 加快微服务的落地，也是很多企业选择构建容器云的重要目的。

在介绍了金融科技通过容器云构建敏态IT的路径后，接下来我们介绍适合于容器云承载的应用。

2.1.3　容器云承载的应用

容器云在发展之初，主要是承载无状态的、轻量级的应用。比较常见的企业级应用有运行在Tomcat中的War包，或者以Spring Boot方式打包并运行在OpenJDK中的Fat Jar。可以看到，这类应用都是重要性相对较低的Web应用。如果容器云平台只是Web类、网站前端类的应用，显然容器云平台的重要性也不会太高。在Kubernetes层面，我们可以通过Statefulset支撑有状态应用，而大量无状态应用和少量有状态应用则在容器云运行，如图2-2所示。

随着Operator项目的兴起并被CNCF采纳，有状态应用集群也可以很方便地在容器云上部署和管理。目前OperatorHub已经有超过3000种有状态应用，并且仍在迅速增长，如etcd、ElasticSearch、TiDB等。

如果我们想让容器云承载更为复杂的业务，那势必需要借助一些类似中间件的架构，才能使容器化应用体系化。Spring Cloud作为一种微服务治理框架，本身具备一定中间件功能。例如在OpenShift上基于Spring Cloud开发一套电商平台，其UI界面如图2-3所示。

本质上讲，Spring Cloud不是一个产品化的方案。Spring Cloud包括大量组件，可以根据客户的不同需求定制出一个可落地的完整方案，但这个定制过程涉及较多的架构相关的工作，以及业务代码的实现。

由于Spring Cloud主要靠定制计划开发，因此对应用开发人员或独立软件开发商（Independent Software Vendor，ISV）要求很高，而且一旦某个微服务模块的业务逻辑发生变化，都需要重新定制开发和编译。此外，这种代码实现的业务逻辑缺乏IT厂商的支持。因此，不少企业客户还是希望使用产品化的中间件。

我们仍然以上文提到的电商业务为例，其技术架构如图2-4所示。

在图2-4所示的微服务架构中，Pricing Service是定价服务。我们可以通过代码的方式实现定价逻辑，但工作量较大，且变更不方便。在Pricing Service中，如果使用JBoss BRMS产品实现定价业务规则，则会灵活得多。因为开发者可以只关注业务代码开发，而无须将过多精力放在架构开发上。

近两年，中间件厂商针对容器云发布了更为轻量级的容器化中间件，主要也是这个目的。如IBM推出了WAS Liberty，红帽推出了很多云原生相关的开源方案，如Quarkus（云原生开发框架）、Camel-K（云原分布式集成）、Kogito（云原生业务流程自动化）、Debezium（云原生的CDC）、AMQ-Streams（容器化Kafka）、JBoss Data Grid（云原生分布式缓存）。具体技术细节，可以参考《云原生应用构建：基于OpenShift》这本书。

Spring Cloud的本质和首要目的，是实现微服务治理。但我们知道Spring Cloud的治理框架是代码侵入式的，不是针对Kubernetes原生的微服务治理框架，所以代码开发人员需要站在七层协议的角度，同时关注微服务之间的调度关系。2017年由谷歌和IBM主导，正式开源了Service Mesh架构：Istio。Istio的目的是将微服务的治理框架交由底层Istio和Kubernetes来实现。但Istio并不负责具体微服务的业务逻辑，比如上文举的Pricing Service微服务的例子，其定价规则可以由代码实现，也可以由容器化中间件实现。

随着Kubernetes的发展，现在有一个新的技术趋势：在容器云中以Pod的方式运行虚拟机，这样容器云平台就能够提供普通容器无法实现的功能。例如OpenShift上的OpenShift Virtualization技术，对应开源社区的KubeVirt技术。OpenShift Virtualization能够承载的应用包括WebSphere Application Server、Oracle DB、MSFT SQL Server（non-clustered）、IBM DB2 LUW、MySQL等。相信通过类似的技术，越来越多的应用会向容器云迁移。

2.1.4　应用上容器云的准入条件和最佳实践

整体而言，应用上容器云的准入条件包含如下几个方面（包含但不限于）。

• 已建立了清晰的可自动化的编译及构建流程： 应用使用如Maven、Gradle、Make或Shell等工具实现了构建编译步骤的自动化，以便在容器平台上实现自动化的编译及构建流程。
• 已实现应用配置参数外部化： 应用已将配置参数外部化于配置文件或环境变量中，以便应用容器能适配不同的运行环境。包含特定环境的配置的容器镜像不能在整个环境（Dev、QA、Prod）中升级。为了实现可靠的发布过程，应将在较低环境中测试过的相同镜像部署到生产中。将特定环境的配置保留在容器镜像之外，例如，使用ConfigMap和Secret存储应用程序配置。
• 已提供合理可靠的健康检查接口： 容器平台将通过健康检查接口判断容器状态，对应用服务进行状态保持。
• 已实现状态外部化，以及应用实例无状态化： 应用状态信息存储于数据库或缓存等外部系统，应用实例本身实现无状态化。
• 不涉及底层的操作系统依赖及复杂的网络通信机制： 应用以处理业务为主，不强依赖于底层操作系统及组播等网络通信机制，提高可移植性。
• 部署交付件及运行平台的大小在2GB以内： 轻量级的应用便于在大规模集群中快速传输分发，更符合容器敏捷的理念。
• 启动时间在5分钟以内： 过长的启动时间将不能发挥容器敏捷的特性。

如果应用明显不符合上述条件，则其暂时不适合运行在容器上。

在应用上容器云时，除了需要遵循以上准入条件，还需要尽量符合以下最佳实践。

• 在Pod定义中指定资源请求和资源限制。 如果请求资源的配置不正确的话，那么应用程序可能会耗尽内存或导致CPU资源不足。指定请求的内存和CPU资源可以使集群做出适当的调度决策，以确保应用程序具有足够的可用资源。
• 使用Pod中断预算保护应用程序。 在某些情况下，需要将应用程序容器从集群节点中逐出。例如，在管理员可以执行节点维护之前或在缩减规模时集群自动缩放器可以从集群中删除节点之前，需要驱逐Pod。为确保驱逐Pod时应用程序仍然可用，你必须定义各自的PodDistruptionBudget对象。PodDisruptionBudget是一个API对象，用于指定保证应用可用的最小副本数或最小百分比。
• 每个容器运行一个进程。 避免在单个容器中运行多个进程。每个容器中运行一个进程可以更好地隔离进程，避免信号路由出现问题。
• 应用程序监视和警报。 应用程序监视和警报对保持应用程序在生产中良好运行并满足业务目的至关重要。可以使用Prometheus和Grafana等监视工具来监视你的应用程序。
• 配置应用程序以将其日志写入stdout或stderr。 容器云将收集这些日志并将其发送到集中位置（ELK、Splunk）。在分析生产问题时，应用程序日志是宝贵的资源。基于应用程序日志内容的警报有助于确保应用程序按预期运行。
• 考虑实施弹性措施：断路器、超时、重试、速率限制。 弹性措施可以使你的应用程序在出现故障时表现更好。它们可保护你的应用程序免于过载（速率限制、断路器），并在遇到连接问题（超时、重试）时提高性能。考虑利用OpenShift Service Mesh来实现这些措施，需在应用程序中更改代码。
• 使用受信任的基础镜像（base image）。 尽可能使用容器厂商提供的企业级容器镜像。容器厂商提供的镜像已通过测试、安全加固并有相应的技术支持。如果使用社区提供的镜像，请尽量使用你信任的社区提供的镜像。不要使用公共注册表（例如Docker Hub）中有未知来源的镜像。
• 使用最新版本的基础镜像。 通常，仅最新版本的容器镜像包含所有可用的安全修复程序。设置CI管道，以便在构建应用程序镜像时始终提取最新版本的基础镜像，同时在更新的基础镜像可用时重建应用程序。
• 使用单独的构建镜像和运行时镜像。 创建具有最小依赖的、单独的运行时镜像可减少攻击面，并产生较小的运行时镜像。构建镜像包含构建依赖关系，构建依赖关系对于构建应用程序是必需的，对于运行应用程序则不是必需的。
• 尽可能遵守受限制的安全上下文约束（SCC）。 修改你的容器镜像以允许在受限制的SCC下运行。应用程序容易受到攻击，强制使用OpenShift受限制的SCC可提供最高级别的安全性，以防止在应用程序被破坏的情况下损害集群节点。
• 使用TLS保护应用程序组件之间的通信。 应用程序组件可能会传达应受到保护的敏感数据。除非你认为基础OpenShift网络是安全的，否则你可能希望利用TLS保护应用程序组件之间的通信。考虑利用OpenShift Service Mesh从应用程序中卸载TLS管理。

2.1.5　应用容器化迁移步骤

针对已有传统应用系统的改造迁移，通常需要经过如图2-5所示的流程。

从图2-5中，我们可以看到应用容器化迁移大致需要经历6个步骤。

• 应用准入评估：根据制定的应用准入评估准则对要迁移的应用或系统进行评估，如果满足运行在容器云上的准入要求，则进行应用迁移方案的制定。
• 制定应用迁移方案：在应用迁移方案制定中，需要综合考虑应用或系统的技术语言、通信协议、中间件版本、配置传入方式、日志输出方式、应用灰度发布等技术实现细节，并结合Kubernetes/OpenShift的特性以及约束制定迁移方案，其间可能需要进行必要的技术验证。
• 应用改造：待应用迁移方案确定并得到认可之后，可能需要对应用进行必要的改造，以最佳的形式在Kubernetes/OpenShift上运行，如日志的输出形式、配置外部化等。
• 应用容器化：将应用改造或打包为可以容器形式运行的过程。应用容器化通常包括基础镜像制作、应用容器化构建、其他技术组件容器化这三个方面。
• 迁移验证和正式迁移：在应用容器化完成之后，就可以进行迁移验证了。如果过程中出现问题可能需要随时调整，最终达到符合预期的效果就可以正式迁移了。

可以看到，在这6个步骤中，最关键的是制定应用迁移方案和应用容器化。应用迁移方案没有一个通用的形式，它会因应用系统的不同而差异很大，所以企业需要根据应用系统的特点制定。后文将着重介绍应用容器化的方法。

2.1.6　容器应用基础镜像的选择

应用容器化的第一步就是选择基础镜像，具体遵循如下选择标准。

镜像应从官方途径获得，避免使用来自社区构建和维护的镜像。应用镜像应在PaaS平台中构建，所选择的基础镜像应来自可信的镜像源，包括：

• Docker Hub官方镜像（https://hub.docker.com）；
• 红帽容器镜像库registry.access.redhat.com或registry.redhat.io。

在容器云中，我们更推荐使用第二类镜像。红帽提供的镜像经过了严格的安全扫描，其镜像扫描遵循如下规则。

• 镜像中不能出现严重（Critical）和重要（Important）级别的安全问题。
• 镜像应遵循最小安装原则，在镜像中不要引入与应用系统运行无关的组件和软件包。
• 镜像应为非特权镜像（Unprivileged Image），不需要提升容器运行权限。
• 镜像应经过数字签名检查，避免镜像被覆盖和篡改。
• 安全扫描仅限在镜像范围，不会涉及源码等其他资源。

根据扫描结果确定镜像的健康级别，只有A、B级别可运行在OpenShift平台上，避免使用C及以下级别的镜像，如图2-6所示。

红帽的很多基础镜像，是可以直接从互联网拉取（无须额外的认证）的，如RHEL7的基础容器镜像，如图2-7所示。

查看镜像的健康等级，如图2-8所示。

使用Docker或者Podman都可以拉取镜像，如图2-9所示。

除了RHEL容器镜像之外，红帽还提供了通用基础镜像（Universal Base Image，UBI），该镜像可以运行在任何OCI兼容的Linux上。这意味着我们可以在UBI上构建容器化的应用程序，将其推送到镜像仓库，然后分享给别人。UBI的架构如图2-10所示。

什么时候使用UBI？可以参照以下几种情况。

• 开发人员想要构建一个容器镜像，以便可以更广泛地分发。
• 运营团队希望获得具有企业全生命周期可支持的基础镜像。
• 企业想要为客户提供Kubernetes Operator。
• 客户希望在其红帽环境中获得企业支持。
• 社区希望更自由地共享容器化的应用程序。

UBI 7支持8类容器镜像，供我们自行选择，如图2-11所示。

我们可以在任意安装了Podman或Docker的Linux服务器上获取UBI的镜像，如图2-12所示。

目前，红帽UBI已经发布到Docker Hub中，也就是说即使没有OpenShift的订阅，也可以使用这个基础镜像，如图2-13所示。

2.1.7　C语言应用上容器云的方法

截至目前，笔者所接触的容器云上运行的应用，大多基于Java语言，少量基于Python、Go语言。由于Java是解释型语言，使用OpenJDK或Tomcat的基础容器镜像实现应用容器化即可，这里不再赘述。而C语言是本地编译的，这可能会和编译环境的操作系统产生关联。在本节中，我们将具体介绍C语言应用上容器云的方法。

C语言应用上云需要考虑的第一点是基础镜像。如果容器云使用的基础镜像与容器云宿主机的操作系统不一致，是否会有问题？举例而言，如果开发环境是SUSE Linux，那应用上OpenShift的时候，使用红帽基于RHEL的容器镜像，是否能够正常运行？

不能，但这个问题解决起来并不难。在C语言应用上容器云时，我们可以使用比红帽提供的基础容器镜像更为底层的镜像：Alpine Linux。这样我们就可以将C语言的编译和运行环境做到容器镜像里，从而规避了跨Linux操作系统的问题。Alpine Linux是一个由社区开发的基于MUSL和BusyBox的Linux操作系统，它以安全为理念，面向x86路由器、防火墙、虚拟专用网、IP电话盒及服务器而设计。

Alpine Linux的基础层只有6MB。它使用BusyBox提供外壳程序，根据MUSL C库而不是glibc构建。MUSL是一个符合POSIX的最小C标准库。Alpine Linux镜像中可以正常使用诸如cp和wget之类的命令。BusyBox有自己的方式来执行系统设置任务，例如添加用户和组。

下面我们来查看Alpine Linux的版本和Linux内核的版本。我们在写Dockerfile的时候，需要选对应内核版本的Alpine Linux，如图2-14所示。后文的验证使用Alpine Linux 3.12。

需要注意的是，Alpine Linux的核心应用程序都与MUSL连接，而不是glibc，并且Alpine Linux默认不包含其他C库。对于在Linux开发中已经习惯glibc扩展的人来说，使用MUSL会遇到一些问题。这里简单举几个例子。首先，MUSL中没有与glibc qsort_r()函数等效的函数，该函数用于对任意数据结构进行排序。其次，MUSL在实现某些功能时存在一些无法解释的问题。例如，用于格式化时间数据的strftime()函数缺少glibc实现所具有的说明符。

如果需要对微服务的HTTP通信进行加密，则需要决定是在OpenShift集群中还是仅在外部通过HTTP访问OpenShift上的应用时进行加密。对到集群的所有流量加密其实很简单，因为我们可以配置OpenShift路由进行边缘终止。如果在OpenShift集群中也要对流量进行加密，则需要为微服务提供自己的传输层安全性（TLS）支持。libmicrohttpd库支持TLS，但是该支持需要使用许多GNU TLS库的开发版本来构建。当然，这些库也必须在运行时可用于容器。

此外，需要提供服务器证书，并为客户的管理员提供一种获取该证书的方法。你可以在OpenShift Secret或ConfigMap中提供证书，然后将其作为文件挂载到Pod的文件系统中。这种技术相对普遍，基于C语言或基于其他任何语言编写在原理上没有什么不同。

接下来，我们通过一个基于C语言的微服务测试代码验证上容器的方式。在这个展示中，我们使用solunar_ws，它是基于REST的Web服务，可在指定日期提供特定城市的日出和日落时间并设置信息。solunar_ws是用C语言实现的基于REST的Web服务的demo，容器的总大小约为10MB，包括操作系统层、应用程序二进制文件和相关性，以及（在此特定情况下）完整的世界时区数据库。solunar_ws组件只有两个重要的依赖项：libmicrohttpd和tzdata（全局时区数据库）。libmicrohttpd是GUN下开源的一个小型HTTP库，能够方便地嵌入系统中。它支持HTTP 1.1可以同时监听多个端口，具有select、poll、pthread、thread poo等多种模式。tzdata软件包（全称为Time Zone and Daylight-Saving Time Data）可供各个Linux系统安装，以读取时区数据库中的数据。

查看如下Dockerfile，我们将C语言应用编译和容器化：

FROM alpine:3.12

RUN apk add git build-base tzdata zlib-dev && \
  wget https://ftp.gnu.org/gnu/libmicrohttpd/libmicrohttpd-latest.tar.gz && \
  tar xfvz libmicrohttpd-latest.tar.gz && \
  (cd libmi*; ./configure; make install) && \
  git clone https://github.com/kevinboone/solunar_ws.git && \
  make -C solunar_ws
  # Binary solunar_ws ends up in / directory

FROM alpine:3.12

RUN apk add tzdata

COPY --from=0 /solunar_ws/solunar_ws /
COPY --from=0 /usr/local/lib/libmicrohttpd.so.12 /usr/local/lib

USER 1000
CMD ["/solunar_ws"]

以上Dockerfile的整体构建包含两个阶段。

第一阶段： 基于Alpine Linux 3.12基础镜像下载libmicrohttpd的源代码并进行构建，然后对solunar_ws进行相同操作。这些源代码来自不同的地方，但是它们都是以相同的方式编译。在此示例中，请注意，在构建Web服务之前，我们必须先构建libmicrohttpd的原因是Web服务依赖它。

本阶段镜像构建完以后，镜像大小约为210MB。

第二阶段： 从相同的Alpine Linux 3.12基础层开始，仅安装运行时所需的软件包，即tzdata。然后，从先前的版本中复制容器在运行时所需的两个文件：二进制solunar_ws和库libmicrohttpd.so.12。

查看镜像构建过程：

[root@helper c]# docker build -t davidwei/capp:1.0 .
Sending build context to Docker daemon   2.56kB
Step 1/8 : FROM alpine:3.12
3.12: Pulling from library/alpine
Digest: sha256:36553b10a4947067b9fbb7d532951066293a68eae893beba1d9235f7d11a20ad
Status: Downloaded newer image for alpine:3.12
 ---> 13621d1b12d4
Step 2/8 : RUN apk add git build-base tzdata zlib-dev &&   wget https://ftp.gnu.
    org/gnu/libmicrohttpd/libmicrohttpd-latest.tar.gz &&   tar xfvz libmicrohttpd-
    latest.tar.gz &&   (cd libmi*; ./configure; make install) &&   git clone
    https://github.com/kevinboone/solunar_ws.git &&   make -C solunar_ws
 ---> Using cache
 ---> 1d295e9520a1
Step 3/8 : FROM alpine:3.12
 ---> 13621d1b12d4
Step 4/8 : RUN apk add tzdata
 ---> Using cache
 ---> bb67735c5825
Step 5/8 : COPY --from=0 /solunar_ws/solunar_ws /
 ---> 7eff173bd44c
Step 6/8 : COPY --from=0 /usr/local/lib/libmicrohttpd.so.12 /usr/local/lib
 ---> d64545f7695e
Step 7/8 : USER 1000
 ---> Running in 34c744835d6f
Removing intermediate container 34c744835d6f
 ---> 6c8ba9f65b94
Step 8/8 : CMD ["/solunar_ws"]
 ---> Running in ce84fd4cfb84
Removing intermediate container ce84fd4cfb84
 ---> fb0ab1acd1b0
Successfully built fb0ab1acd1b0
Successfully tagged davidwei/capp:1.0

镜像构建成功后，如图2-15所示。

我们可以在本地运行容器镜像：

#docker run -d -p 8080:8080 davidwei/capp:1.0

然后通过浏览器访问应用，代码如下，访问结果如图2-16所示。

http://localhost/day/london/jun%2020

在OpenShift中，我们可以使用以下三种方式部署应用。

• 利用Dockerfile部署应用，自动生成Deployment。
• 部署容器镜像，自动生成Deployment。
• 手工书写Deployment、Service等对象，部署容器镜像。

下面展示第三种部署方法，yaml文件如下所示：

kind: DeploymentConfig
    apiVersion: apps.openshift.io/v1
    metadata:
      name: solunar-ws
    spec:
      replicas: 1
      strategy:
  type: Rolling
      selector:
  name: solunar-ws
      template:
  metadata:
    name: solunar-ws
    labels:
      name: solunar-ws
  spec:
    containers:
      - env:
        - name: SOLUNAR_WS_LOG_LEVEL
    value: "1"
        name: solunar-ws
        image: quay.io/davidwei/capp:1.0
        imagePullPolicy: Always
        ports:
    - containerPort: 8080
      protocol: TCP
        livenessProbe:
    failureThreshold: 3
    initialDelaySeconds: 30
    periodSeconds: 10
    successThreshold: 1
    tcpSocket:
      port: 8080
    timeoutSeconds: 1
        readinessProbe:
    failureThreshold: 3
    initialDelaySeconds: 30
    periodSeconds: 10
    successThreshold: 1
    tcpSocket:
      port: 8080
    timeoutSeconds: 1
        resources:
    limits:
      memory: 128Mi
        securityContext:
    privileged: false
    ---
    kind: Service
    apiVersion: v1
    metadata:
      name: solunar-ws
    spec:
      ports:
  - name: solunar-ws
    port: 8080
    protocol: TCP
    targetPort: 8080
      selector:
  name: solunar-ws

从之前的步骤可以看出，在OpenShift上运行C语言应用是完全没问题的。但是，由于C语言无法像Java语言那样实现外部构建（mvn），因此我们不建议让C语言应用参与到OpenShift的CI/CD中。我们在书写Dockerfile的时候，需要以Alpine Linux为基础镜像，把C语言应用编译和运行所依赖的环境都做到容器镜像中。如果应用的源码发生变化，则在OpenShift上以Dockerfile的方式重新部署应用即可。

在OpenShift上选择以Dockerfile方式部署应用，输入Dockerfile所在的git地址，选择自动生成Route和Deployment，如图2-17所示。

在介绍了C语言应用上容器云后，接下来我们介绍如何将应用迁移到轻量级应用服务器。

2.1.8　容器云的混沌工程

混沌工程是在分布式系统上进行实验的学科，目的是建立系统抵御生产环境中失控条件的能力以及信心。测试混沌工程本身是一种生产演练，即通过周期化和自动化的生产演练，发现未知的故障场景，处理未知场景下的问题，从而提升系统的可用性。

接下来，我们简单介绍混沌工程的发展。混沌工程是2010年由Netflix提出的，到2014年，混沌思想成为Netflix的一种企业文化（内部设置混沌工程师岗位）。2015年Netflix提出混沌工程原则。2016年，第一个混沌工程商业化的产品出现：Gremlin。国内对混沌工程探索比较多的公司是阿里巴巴。它开源了ChaosBlade混沌工程工具。

想到混沌工程，我们就会想到混沌测试，也会想到传统的压力测试。混沌测试和压力测试的主要区别如下所示。

• 对象：混沌测试侧重现实世界意外事件引起的系统不稳定；而压力测试偏向于系统自身的流程不稳定。
• 目标：混沌测试侧重实践无法预知的信息，帮助我们更好地认识系统；而压力测试更偏重是否达到预期。
• 结果：混沌测试用来探索未知、发现新知识；压力测试主要用来验证。
• 环境：混沌测试离生产越近越好，而且要持续自动化实验；压力测试通常离生产越远越好，主要是内部环境的自主控制。

混沌工程的五个原则如下。

• 建立稳定状态的假设：混沌工程只有在系统稳定的情况下才能做，即在稳定的系统上做混沌工程。
• 多样化现实世界时间：混沌工程的故障，必须是模拟真实世界的物理事件，如拔网线、机房停电、磁盘满了、内存烧了。
• 在生产环境运行实验：应该在生产环境运行测试，只有这样才会最真实。混沌工程一定是在分布式系统中做，如果是单机系统，一定会影响生产的业务。
• 持续自动化实验：不做样子工程，要做持续化模拟实验。
• 最小化爆炸半径：最小化爆炸半径没做好的典型场景是“切尔诺贝利事件”。在生产上的故障测试，造成整个核电站出现问题，导致核泄漏。我们一定要控制故障范围，比如模拟一个CPU故障，而不是所有CPU故障。

目前混沌测试的工具较多，除了有阿里开源的ChaosBlade Box，还有其他开源工具，如Powerfulseal、Litmus、Kraken、Chaos Mesh。目前国内企业使用ChaosBlade Box较多。如果客户对构建混沌工程平台无太多要求，可以直接使用ChaosBlade Box。企业使用混沌工程应该是来构建一个平台，而不仅仅是对开源工具的验证。因此我们在构建混沌工程平台时，可能需要多种开源工具进行集成。

混沌工程平台需要具备的功能可以从工具视角和流程视角两方面来看。

从流程视角来看，混沌工程需要具备以下四种功能。

1）实验计划管理功能：模板管理、流水线编排、演练方案设计、审批流程（技术方案评审）管理。

2）自动化执行功能：执行控制与风险管控，故障注入，应急恢复，自动化操作脚本、代理。

3）故障观察功能：评价系统健康的KPI指标，故障感知涉及的主动拨测、被动监控、数据可视化等功能，应急处置协同连接功能。

4）事后环境恢复功能：环境恢复的自动化、环境恢复的数据分析、总结报告、跟进闭环。

从流程视角来看，混沌工程需要在以下方面实现如下功能。

1）决策层面，接受复杂与不确定性，认同故障常态化，并推动有效应对故障的架构设计与应急管理。

2）执行层面，加强故障注入、故障观察、故障恢复的管控能力，控制好故障影响范围，在对生产保持敬畏之心的基础上践行混沌工程，并建立持续优化的闭环协同机制。我们使用混沌工程最终是为了解决问题。

3）场景层面，生产环境注入故障实验，实际协同应急环境执行应急管理。

4）工具层面，加强故障注入的风险管控、操作留痕，并与实际工作场景涉及的工具连接。

我们以为某客户设计的混沌工程平台的建设步骤为例，如表2-1所示。

混沌工程平台的目标架构如图2-18所示。

为了帮助读者对开源混沌测试工具有所了解，接下来我们介绍Kraken工具的验证效果。需要指出的是，Kraken比较适合简单的Kubernetes/OpenShift故障注入场景，本节列出该工具的验证效果只是为了帮助读者理解容器云的故障注入实现，并非推荐读者使用Kraken。

Kraken工具是红帽主导的开源项目，以故意注入故障并在Kubernetes/OpenShift环境中造成混乱的方式进行测试。构建Kraken的目标是确认在故障注入期间和之后，处于混乱状态的Kubernetes/OpenShift组件不仅能够恢复，而且在性能和规模方面不会降低。

通过Kraken，我们可以简单的方式在Kubernetes/OpenShift集群中注入混乱。用户可以持续引起混乱，并从长远角度观察集群如何响应各种故障。另外，可以验证集群能否从一组故障注入引发的混乱中完全恢复到其正常的健康状态。Kraken的工作示意图如图2-19所示。

Kraken底层调用PowerfulSeal（一种测试Kubernetes的开源工具）。该工具将故障注入Kubernetes集群中，以尽早发现问题。红帽在PowerfulSeal中打开了许多增强功能，以改善该工具的覆盖范围。

Kraken支持以下几个混乱场景。

1. Pod混乱场景

Pod的健康状态不仅关系到Pod是否已启动并正在运行，还关系到其能否接收和响应请求以及能否从混乱注入中恢复的能力。通过调整配置文件，用户可以杀死任何命名空间中的Pod。Kraken当前具有在以下命名空间中杀死Pod并得到预期结果的方案。

• etcd：验证资源持久性内的混乱情况不会破坏etcd集群。
• openshift-apiserver：杀死一个Pod副本，看看我们是否仍然能够在没有停机的情况下访问OpenShift API。
• openshift-kube-apiserver：破坏包括Pod、Service，rc等在内的API对象的有效性，并确认配置不受影响。
• Prometheus：对OpenShift的警报和监视组件造成严重破坏，并且看不到警报中断。
• 随机OpenShift命名空间：大规模的Pod杀死功能，能够测试OpenShift和用户应用程序所有区域的弹性。

2. 节点混乱场景

Kraken支持以下几种节点混乱方案。

• 关闭节点：将节点实例按指定的时间停止。Kraken还使用户能够在节点实例停止后启动它。
• 重启节点：重新启动节点实例。
• 终止节点：终止节点实例，在集群中删除该节点。
• 让节点崩溃：混乱场景导致内核崩溃，从而使节点崩溃。
• 停止节点的kubelet服务：Kraken提供了一种方案来停止节点的kubelet服务。它还使用户能够在停止kubelet服务之后启动它。

目前，Kraken支持以停止、重新引导和终止等适用于AWS云类型的任何节点实例（后面一定会适应到私有云场景）的混乱情况。

3. 集群关闭场景

Kraken提供了一个混乱场景，可以关闭所有节点（包括控制平面），并在指定的持续停止时间后重新启动它们，以查看集群是否从混乱注入中恢复、稳定并能够满足请求。

Kraken可以作为Kubernetes部署在集群内部运行。但是，建议从集群外部运行Kraken，以确保混沌注入不会意外杀死Kraken所运行的Pod。我们将Kraken安装在一台独立的虚拟机上，对Kubernetes/OpenShift发起测试。由于篇幅有限，这里不展示Kraken安装的步骤，具体步骤见https://github.com/cloud-bulldozer/kraken/blob/master/docs/installation.md。

我们查看Kraken工具的配置文件的核心部分，文件路径为#cat /home/david/kraken/config/config.yaml。

kraken:
    distribution: openshift                     # 确定发行版是Kubernetes还是Openshift
    kubeconfig_path: /home/david/1/kubeconfig   # kubeconfig的路径
    exit_on_failure: False                      # 当一个后动作方案失败时退出
    litmus_version: v1.10.0                             # 要安装的Litmus版本
    litmus_uninstall: False                             # 如果失败，卸载Litmus
    chaos_scenarios:                                    # 要加载的policies/chaos列表
        -   pod_scenarios:                              # 要加载的pod故障场景
            - -    scenarios/etcd.yml
            - -    scenarios/regex_openshift_pod_kill.yml
              -    scenarios/post_action_regex.py
        -   node_scenarios:                             # 要加载的节点故障场景
            -   scenarios/node_scenarios_example.yml
        -   pod_scenarios:
            - -    scenarios/openshift-apiserver.yml
            - -    scenarios/openshift-kube-apiserver.yml
        -   time_scenarios:                             # 要加载的时间错乱故障场景
            - scenarios/time_scenarios_example.yml
        -   litmus_scenarios:                           # 要加载的Litmus场景
            - - https://hub.litmuschaos.io/api/chaos/1.10.0?file=charts/generic/
                node-cpu-hog/rbac.yaml
              - scenarios/node_hog_engine.yaml
        -   cluster_shut_down_scenarios:
            - - scenarios/cluster_shut_down_scenario.yml
              - scenarios/post_action_shut_down.py

在上面的配置文件中，最关键的是设置distribution和kubeconfig_path。配置文件其余部分是测试场景对应的yaml配置文件和Python脚本。如果我们想修改某个测试项，修改对应的yaml文件即可，例如修改节点测试场景的yaml文件。如果我们不想测试某些项目，将yaml文件中对应的行注释掉或删除即可。yaml文件路径为[david@helper kraken]$ cat scenarios/node_scenarios_example.yml.

node_scenarios:
  - actions:
    - node_stop_start_scenario
    - stop_start_kubelet_scenario
    - node_crash_scenario
    node_name:
    label_selector: node-role.kubernetes.io/worker
    with matching label_selector is selected for node chaos scenario injection
    instance_kill_count: 1
    timeout: 120
  - actions:
    - node_reboot_scenario
    node_name:
    label_selector: node-role.kubernetes.io/worker
    instance_kill_count: 1
    timeout: 120

在上面的配置文件中，我们对集群关闭场景进行了混沌测试。接下来，我们对主要混沌测试过程进行分析。

启动混沌测试后，Kraken会通过kubeconfig_path指定的文件获取OpenShift集群信息，如图2-20所示。

查看Kill Pod的测试场景，测试通过，如图2-21所示。

查看Kill API Server场景，如图2-22所示。

Crash节点场景如图2-23所示。

查看API Server Pod，有一个Pod被删除后自动重建，如图2-24所示。

结合使用Kraken与Cerberus，除了可以完成全面的集群运行状况检查外，还可以在合理的时间内仔细检查目标分组是否从混乱注入中恢复。

2.1.9　微服务治理框架的选择

目前主流的微服务治理框架主要是Spring Cloud。而Istio作为新一代微服务框架，越来越受到关注。在本节中，我们分享如何选择这两种微服务框架。

Istio被引入的主要原因是传统微服务存在以下问题。

• 多语言技术栈不统一：C++、Java、PHP、Go。Spring Cloud无法提出非Java语言的微服务治理。
• 服务治理周期长：微服务治理框架与业务耦合，上线周期长，策略调整周期长。
• 产品能力弱：Spring Cloud缺乏平台化和产品化的能力，可视化能力弱。

那么，是不是说企业一定需要使用Istio？不是。表2-2是对Spring Cloud与Istio的简单对比。

也就是说，如果企业的开源语言主要是Java、更新升级不频繁、无过多高级治理功能需求、业务规模不是非常大，使用Spring Cloud是比较合适的。

如果企业要引入Istio，引入成本有多高？具体分三种情况，如表2-3所示。

接下来，我们对在OpenShift上通过Spring Cloud和Istio实现的企业微服务治理进行对比，如表2-4所示。

从开放性以及先进性角度来说，建议将服务网格Istio作为首选微服务应用框架。接下来我们介绍Istio在实践中的使用建议。

Istio运维方面的建议包括版本选择、备用环境、评估范围、配置生效、功能健壮性参考、入口流量选择。当然，这些建议只是基于目前我们在测试过程中得到的数据总结的。随着Istio使用越来越广泛，相信最佳实践将会越来越丰富。

1. 版本选择

Istio是一个迭代很快的开源项目。截止到2021年5月，社区最新的Istio版本为1.9。

频繁的版本迭代会给企业带来一些困扰：是坚持使用目前已经测试过的版本，还是使用社区的最新版本？在前文中我们已经提到，红帽针对Istio有自己的企业版，通过Operator进行部署和管理。出于安全性和稳定性的考虑，红帽Istio往往比社区要晚两个小版本左右。因此建议使用红帽Istio的最新版本。目前看，社区的最新版本的Istio的稳定性往往不尽如人意。

2. 备用环境

针对相同的应用，在OpenShift环境中部署一套不被Istio管理的环境。比如文中的三层微服务，独立启动一套不被Istio管理的应用，使用OpenShift原本的访问方式即可。这样做的好处是，每当进行Istio升级或者部分参数调整时都可以提前进行主从切换，让流量切换到没有被Istio管理的环境中，将Istio升级调整验证完毕后再将流量切换回来。

3. 评估范围

由于Istio对微服务的管理是非代码侵入式的。因此通常情况下，业务服务需要进行微服务治理，需要被Istio纳管。而对于没有微服务治理要求的非业务容器，不必强行纳管在Istio中。当非业务容器需要承载业务时，被Istio纳管也不需要修改源代码，重新在OpenShift上注入Sidecar部署即可。

4. 配置生效

如果系统中已经有相关对象的配置，我们需要使用oc replace -f指定配置文件来替换之前配置的对象。Istio中有的配置策略能够较快生效，有的配置需要一段时间才能生效，如限流、熔断等。新创建策略（oc create -f）的生效速度要高于替换性策略（oc replace -f）。因此在不影响业务的前提下，可以在应用新策略之前，先删除旧策略。

此外，Istio的配置生效，大多是针对微服务所在的项目，但也有一些配置是针对Istio系统。因此，在配置应用时，要注意指定对应的项目。

在OpenShift中，Virtual Service和Destination Rules都是针对项目生效，因此配置应用时需要指定项目。

5. 功能健壮性参考

从笔者大量的测试效果看，健壮性较强的功能有基于目标端的蓝绿、灰度发布，基于源端的蓝绿、灰度发布，灰度上线，服务推广，延迟和重试，错误注入，mTLS，黑白名单。

健壮性有待提升的功能有限流和熔断。

所以，从整体上看，Istio的功能虽日趋完善，但仍有待提升。

6. 入口流量方式选择

在创建Ingress网关的时候，会自动在OpenShift的Router上创建相应的路由。Ingress网关能够暴露的端口要多于Router。所以，我们可以根据需要选择通过哪条路径来访问应用。在Istio体系中的应用不使用Router也可以正常访问微服务。但是PaaS上运行的应用未必都是Istio体系下的，其他非微服务或者非Istio体系下的服务还是要通过Router访问。此外，Istio本身的监控系统和Kiali的界面都是通过Router访问的。

相比Spring Cloud，Istio较好地实现了微服务的路由管理。但在实际生产中，仅有微服务的路由管理是不够的，还需要诸如不同微服务之间的业务系统集成管理、微服务的API管理、微服务中的规则流程管理等。

2.1.10　容器云常用的中间件与数据服务选择

前面我们提到，容器云主要适合承载无状态的应用。那么，容器云常用的中间件和数据服务都有哪些？企业客户应该如何选择呢？本节将详细介绍。

对于消息中间件，我们针对常见的3种消息中间件进行对比，如表2-5所示。

我们可以得出如下结论：

• RocketMQ是唯一支持BASE事务特征的消息中间件，适用于微服务的事务消息；
• ActiveMQ Artemis提供跨语言支持，可以实现可靠消息传递；
• Kafka适合日志、行为数据等海量数据的场景。

在容器云中，我们通常可以使用RocketMQ、ActiveMQ Artemis和Kafka这三种消息中间件中的任意一种。如果不需要实现BASE事务，使用ActiveMQ Artemis即可。在海量数据场景中，建议使用Kafka。

对于关系型数据库，我们对以下3种常见关系型数据库进行对比，如表2-6所示。

我们可以得出如下结论：

• 在非容器环境中，建议使用Oracle数据库，暂时不作变更；
• 对于新建的系统，如果是容器云环境，建议采用MySQL数据库，不仅开源而且可水平扩展，为向分布式数据库体系演进打好基础；
• 遗留系统改造时逐步从Oracle DB向MySQL迁移。

对于分布式关系型数据库，我们对以下5种常见分布式关系型数据库进行对比，如表2-7所示。

我们可以得出如下结论：

• 在非强一致性的业务场景下，建议使用商业闭源的PolarDB-X；
• 在强一致性的业务场景下，可以使用TiDB和OceanBase，对于稳定性要求高的场景，推荐选用OceanBase；如果场景中有OLAP，则推荐选用TiDB。

从开源的角度看，我们建议在容器云上使用TiDB分布式关系型数据库。

对于分布式缓存，我们对以下4种缓存进行对比，如表2-8所示。

从表2-8可以看出，Redis是成熟度最高、使用度最广泛的商业开源键–值（Key-value）型数据库。在容器云上，我们使用Redis作为分布式缓存。

对于文档存储型NoSQL产品，我们对比如下4种方案，如表2-9所示。

从表2-9中可以得出结论：MongoDB是成熟度最高、使用度最广泛和可扩展性最好的文档型数据库。我们在容器云上选择使用MongoDB文档型数据库。

对于流程及规则引擎产品，我们对比如下4种方案，如表2-10所示。

结合表2-10的对比，在容器云上，我们推荐使用jBPM。

综上所述，在容器云中，我们推荐的开源中间件和数据服务如表2-11所示。