信创安全容器 预约沟通 新一代全栈信创云产品及成功案例白皮书

问题挑战
政企 IT 建设所依赖的基础资源经历了从服务器到云化资源的发展历程,正在逐步进入云原生阶段。在这个发展阶段, 政企客户的关注点从以资源为中心转移到以应用为中心,包括应用敏捷交付、快速弹性、平滑迁移、⽆损容灾等。因此, 政企客户开始考虑如何将基础设施与业务平台融合,为业务应用提供标准的运行、监控、治理平台,并将业务的通用 能力下沉到平台侧,更好的帮助政企客户实现应用的自动化。在信创环境中,从传统服务器,到云化资源,到云原生, 存在多方面挑战。
01

全栈信创云的性能挑战。信创环境下,虚拟化的损耗导致的芯片、服务器等性能痛点更加突出。传统虚拟机应用痛点, 传统虚拟机部署应用,虽然安全性较高,但⽆法享用到镜像和容器带来的技术红利,并且传统虚拟机的虚拟化损耗开 销较大,交付效率分钟级。

02

全栈信创云的安全挑战。容器应用混部增大安全隐患,同节点上混部着不同业务、租户的应用容器共享同一内核, 当内核或者 Runtime 出现漏洞后,恶意代码会逃逸到后端内网嗅探或攻击其他应用和系统服务、窃取数据等。

03

全栈信创云的可靠性与稳定性挑战。资源争抢,性能⼲扰问题,传统容器的资源和性能隔离较弱,同一节点上不同应用间相互争抢资源,影响延迟敏感型业务稳定性。

04

云原生还存在用户使用能力积累方面挑战,从云化阶段进化到云原生阶段,政企用户普遍不熟悉云原生相关技术背景, 不熟悉容器复杂的集群部署与管理方法,导致转型到云原生的步骤较为缓慢。

05

应用方面复杂且多态,从部署模型的单体应用到集群应用,从分布式应用,到微服务应用,而信创异构架构进一步增加了应用的多态,使用户的应用部署管理挑战变的更大。

06

随着信创产业的持续发展,政企用户关注点逐步从基础设施建设转入应用,从使用到创新,应用创新替代而不是简单横向平移,高效快速的应用创新支撑能力成为潜在诉求。

在这种背景下,云原生信创安全容器成为政企客户从传统过渡到云原生的首选,可以有效平衡信创领域性能、安全、稳定方面的综合诉求。
产品方案

信创安全容器实例(Secure Container Instance)提供了敏捷安全的容器运行服务,用户⽆需预置和管理云主机,也⽆需构建 Kubernetes 容器集群,只需要提供打包好的容器镜像,即可运行容器,帮助用户专注于业务开发,提升开发效率。产品底层使用安全沙箱容器技术,提供了虚拟机级别的安全和资源隔离能力,同时针对容器运行环境进行深度优化,提供⽐虚拟机更快的启动速度和运行效率。基于轻量级虚拟化的安全容器,让应用运行在一个带有独立内核的沙箱环境中,享用容器技术带来便利的同时,兼具了传统虚拟机的强安全隔离能力,但虚拟化损耗更少、秒级启动、性能影响更小,还具备和普通容器一样的用户体验,例如日志、存储、监控、弹性等。

产品功能
  • 支持安全隔离,安全容器产品基于成熟的轻量虚拟化技术的安全容器运行时,提供了超强的不可信应用隔离、故障隔离、性能隔离以及多租户应用隔离等能力。即便宿主机内核、容器 Runtime 甚至沙箱 GuestOS 内核出现漏洞, 恶意应用也⽆法逃逸、渗透到后端内网。支持在安全部署中同时运行和维护指定数量的容器实例。如果容器实例出于任何原因失败或停止,部署控制器将启动新的实例来替换它,以便在部署中维护期望数量的健康实例。安全容器实例是一组可以被调度到同一台宿主机上的容器集合。这些容器共同构成了容器实例的生命周期并共享容器实例的网络和存储资源,容器实例的概念与 Kubernetes 中 Pod 概念类似。通过安全沙箱容器,提供了虚拟机级别的安全和资源隔离能力,同时针对容器运行环境进行深度优化,提供⽐虚拟机更快的启动速度和运行效率。安全部署的概念与Kubernetes 中 Deployment 概念类似。除了在部署中维护所需数量的实例之外,用户还可以使用负载均衡器实现部署服务访问,负载均衡器将在与服务关联的各个实例间分配流量

  • 支持容器与虚拟机统一编排,虚拟机、容器集群等服务,以 CRD + Operator 模式接入 Kubernetes 生态,充分利用云基础设施提供的全平面统一网络方案,不同网络互相隔离,而同一网络各子网内容器与虚拟机二层直通。

  • 安全容器实例基于易捷行云开放平台,使用云平台统一权限、监控管理、存储资源池、网络资源池等。安全容器实例使用与云平台一致的权限体系,复用云平台,部门,项目分层分级权限。

  • 支持通过云平台统一的块存储,高性能云存储实现容器数据持久化存储,为在运行过程中需要保存数据的容器提供数据持久化存储,支持普通容量型以及高性能两个存储类型,使用高性能存储类型时需要搭配高性能云存储产品。容器实例在创建时可以添加多个存储卷,并且为每个存储卷指定存储类型和容量,平台将在创建实例时同步创建存储卷并挂载到容器的指定路径。

  • 支持与虚拟化复用云主机云平台统一的网络,通过与租户网络集成实现容器网络隔离,如同云主机一样,可以为私有网络中的每个容器实例分配一个虚拟网卡,同时支持分配公网 IP。容器实例可以和同一私有网络中的云资源互通, 方便云主机应用与容器应用间的互相访问。支持负载均衡,当创建安全部署时,可同步利用底层 IaaS 资源创建负载均衡器,使用负载均衡可将传入流量分配到您部署中的各个容器实例,当部署发生变化时,平台会自动从负载均衡器中添加和删除实例。

  • 支持对容器实例指标监控的可视化展示,具体监控指标包括 CPU 使用量、内存使用量、网络流入 / 流出速率、磁盘IOPS、磁盘 I/O 速率。

使用场景
  • 原生容器部署场景

    ⽆需学习编排工具以及在部署时配置大量复杂参数,用户可以通过容器镜像直接运行容器实例, 快速实现轻量级部署,容器实例类似 Kubernetes 中的 Pod,实例内封装了多个共享内核、网络、文件系统的容器。

  • Web 应用场景

    针对长期运行的 Web 类应用,推荐用户通过控制器部署多个服务实例,并搭配负载均衡作为访问入口。控制器可以自动恢复运行状况不佳的容器实例,实现故障自愈;用户也可以在业务突增时快速实现服务实例的横向扩容。

  • 高性能云存储场景

    容器从最开始的“⽆状态”应用部署场景延伸至多种类型数据处理的业务场景,⽐如 DevOps、大数据、人工智能训练等,对容器持久化存储提出了更高要求,针对此类场景用户可以通过使用高性能云存储应对挑战

价值优势
  • 安全、性能及故障隔离

    ⽆需学习编排工具以及在部署时配置大量复杂参数,用户可以通过容器镜像直接运行容器实例, 快速实现轻量级部署,容器实例类似 Kubernetes 中的 Pod,实例内封装了多个共享内核、网络、文件系统的容器。

  • 云资源网络互通

    容器实例与计算、存储、网络等资源内网互通,可以为容器实例分配虚拟网卡、公网 IP、负载均衡器等资源,同时也方便传统云主机应用与容器应用间的网络互通。

  • 完全托管的容器集群

    用户⽆需构建 Kubernetes 容器集群并配置单独的运维人员,只需要关注业务应用的定义,容器运行的集群环境由平台控制面 Kubernetes 集群及底层基础设施统一运维和管理。

  • 服务高可用

    通过部署控制器创建多副本容器服务,可以自动恢复运行状况不佳的容器实例,实现故障自愈。

  • 多计算架构⽀持

    适配多种计算架构的主流芯片,例如飞腾、鲲鹏。

咨询热线:400-648-5123

北京易捷思达科技发展有限公司:北京市海淀区西北旺东路10号院东区1号楼1层107-2号

南京易捷思达软件科技有限公司:江苏省南京市雨花台区软件大道168号润和创智中心2栋西1层

上海office:上海黄浦区西藏中路336号华旭大厦22楼2204

深圳office:深圳市南山区粤海街道深南大道9676号大冲商务中心C座402

郑州研发中心:河南省郑州市高新区梧桐街50号北斗企业孵化器C12-2号楼2楼

广州office:广东省广州市越秀区东风东路753号(天誉商务大厦东塔21F)

西安office:西安市高新区锦业一路10号中投国际B座1406室

成都研发中心:成都市高新区199号天府三街太平洋保险金融大厦A区8楼


邮编:100094


邮箱:

contact@easystack.cn (业务咨询)

partners@easystack.cn(合作伙伴咨询)

marketing@easystack.cn (市场合作)

training@easystack.cn (培训咨询)

hr@easystack.cn(招聘咨询)

Copyright © 2017 EasyStack Inc. All Rights Reserved. 京ICP备16000234号-1 京公网安备 11010802024994号