Appearance
云原生架构(Cloud-Native Architecture)
概述
云原生架构是一种专门为云计算环境设计的软件架构方法,它充分利用云平台的弹性、可扩展性和分布式特性。云原生不仅仅是将应用部署到云上,而是从设计之初就考虑云环境的特点,构建能够充分发挥云计算优势的应用系统。
云原生架构基于CNCF(Cloud Native Computing Foundation)的定义,包含四个核心要素:容器化、微服务、DevOps和持续交付。这种架构模式能够帮助组织构建和运行可弹性扩展的应用,无论是在公有云、私有云还是混合云环境中。
架构图
云原生整体架构
txt
┌─────────────────────────────────────────────────────────────────────────────┐
│ 云原生架构全景图 │
└─────────────────────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────────────────────┐
│ 用户层 │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ Web App │ │ Mobile App │ │ API客户端 │ │ 第三方 │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ 边缘层 │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ CDN │ │ 负载均衡 │ │ API网关 │ │ WAF防火墙 │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ 服务网格层 │
│ ┌─────────────────────────────────────────────────────────────────────────┐ │
│ │ Istio/Linkerd │ │
│ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │
│ │ │ 流量管理 │ │ 安全策略 │ │ 可观测性 │ │ 策略控制 │ │ │
│ │ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │ │
│ └─────────────────────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ 应用服务层 │
│ ┌─────────────────────────────────────────────────────────────────────────┐ │
│ │ 微服务集群 │ │
│ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │
│ │ │ 用户服务 │ │ 订单服务 │ │ 支付服务 │ │ 库存服务 │ │ │
│ │ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │ │
│ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │
│ │ │ 通知服务 │ │ 报表服务 │ │ 搜索服务 │ │ 推荐服务 │ │ │
│ │ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │ │
│ └─────────────────────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ 容器编排层 │
│ ┌─────────────────────────────────────────────────────────────────────────┐ │
│ │ Kubernetes │ │
│ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │
│ │ │ Pod │ │ Service │ │ Deployment │ │ ConfigMap │ │ │
│ │ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │ │
│ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │
│ │ │ Ingress │ │ Secret │ │ StatefulSet │ │ DaemonSet │ │ │
│ │ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │ │
│ └─────────────────────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ 基础设施层 │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 计算资源 │ │ 存储资源 │ │ 网络资源 │ │ 安全资源 │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 监控告警 │ │ 日志收集 │ │ 备份恢复 │ │ 成本优化 │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘云原生技术栈
txt
┌─────────────────────────────────────────────────────────────────────────────┐
│ 云原生技术栈 │
└─────────────────────────────────────────────────────────────────────────────┘
应用定义和开发
┌─────────────────────────────────────────────────────────────────────────────┐
│ 数据库 │ 流处理 │ 应用定义 │ 持续集成/持续部署 │
├─────────────────┼─────────────────┼─────────────────┼─────────────────────┤
│ • PostgreSQL │ • Apache Kafka │ • Helm │ • Jenkins │
│ • MongoDB │ • Apache Pulsar │ • Kustomize │ • GitLab CI │
│ • Redis │ • NATS │ • Operator │ • GitHub Actions │
│ • Elasticsearch │ • Apache Storm │ • Jsonnet │ • Tekton │
└─────────────────┴─────────────────┴─────────────────┴─────────────────────┘
运行时
┌─────────────────────────────────────────────────────────────────────────────┐
│ 云原生存储 │ 容器运行时 │ 云原生网络 │ 服务代理 │
├─────────────────┼─────────────────┼─────────────────┼─────────────────────┤
│ • Rook │ • containerd │ • Cilium │ • Envoy │
│ • OpenEBS │ • CRI-O │ • Calico │ • HAProxy │
│ • Longhorn │ • Docker │ • Flannel │ • NGINX │
│ • Portworx │ • Podman │ • Weave Net │ • Traefik │
└─────────────────┴─────────────────┴─────────────────┴─────────────────────┘
编排和管理
┌─────────────────────────────────────────────────────────────────────────────┐
│ 编排调度 │ 协调服务发现 │ 服务网格 │ API网关 │
├─────────────────┼─────────────────┼─────────────────┼─────────────────────┤
│ • Kubernetes │ • etcd │ • Istio │ • Ambassador │
│ • Docker Swarm │ • Consul │ • Linkerd │ • Kong │
│ • Nomad │ • Zookeeper │ • Consul Connect│ • Zuul │
│ • Mesos │ • CoreDNS │ • Kuma │ • Gloo │
└─────────────────┴─────────────────┴─────────────────┴─────────────────────┘
可观测性和分析
┌─────────────────────────────────────────────────────────────────────────────┐
│ 监控 │ 日志 │ 追踪 │ 混沌工程 │
├─────────────────┼─────────────────┼─────────────────┼─────────────────────┤
│ • Prometheus │ • Fluentd │ • Jaeger │ • Chaos Monkey │
│ • Grafana │ • Logstash │ • Zipkin │ • Litmus │
│ • Thanos │ • Loki │ • OpenTracing │ • Chaos Toolkit │
│ • Cortex │ • Filebeat │ • OpenTelemetry │ • Gremlin │
└─────────────────┴─────────────────┴─────────────────┴─────────────────────┘
平台
┌─────────────────────────────────────────────────────────────────────────────┐
│ 认证授权 │ 密钥管理 │ 容器镜像仓库 │ 安全 │
├─────────────────┼─────────────────┼─────────────────┼─────────────────────┤
│ • Keycloak │ • Vault │ • Harbor │ • Falco │
│ • Dex │ • Sealed Secrets│ • Docker Hub │ • Open Policy Agent │
│ • OIDC │ • External DNS │ • Quay │ • Notary │
│ • SPIFFE/SPIRE │ • Cert Manager │ • ECR/ACR/GCR │ • TUF │
└─────────────────┴─────────────────┴─────────────────┴─────────────────────┘
无服务器
┌─────────────────────────────────────────────────────────────────────────────┐
│ 框架 │ 安全 │ 工具 │ 托管平台 │
├─────────────────┼─────────────────┼─────────────────┼─────────────────────┤
│ • Knative │ • Falco │ • CloudEvents │ • AWS Lambda │
│ • OpenFaaS │ • OPA Gatekeeper│ • Serverless │ • Azure Functions │
│ • Kubeless │ • Kritis │ • SAM │ • Google Functions │
│ • Fission │ • Grafeas │ • Terraform │ • Alibaba FC │
└─────────────────┴─────────────────┴─────────────────┴─────────────────────┘云原生应用架构模式
┌─────────────────────────────────────────────────────────────────────────────┐
│ 云原生应用架构模式 │
└─────────────────────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────────────────────┐
│ 前端层 │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ SPA应用 │ │ 移动应用 │ │ 小程序 │ │ 桌面应用 │ │
│ │ │ │ │ │ │ │ │ │
│ │ React/Vue │ │ React Native│ │ 微信/支付宝 │ │ Electron │ │
│ │ Angular │ │ Flutter │ │ 百度/字节 │ │ Tauri │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ API网关层 │
│ ┌─────────────────────────────────────────────────────────────────────────┐ │
│ │ API Gateway │ │
│ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │
│ │ │ 路由转发 │ │ 认证授权 │ │ 限流熔断 │ │ 协议转换 │ │ │
│ │ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │ │
│ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │
│ │ │ 请求聚合 │ │ 缓存加速 │ │ 监控统计 │ │ 版本管理 │ │ │
│ │ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │ │
│ └─────────────────────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ 业务服务层 │
│ ┌─────────────────────────────────────────────────────────────────────────┐ │
│ │ 微服务架构 │ │
│ │ │ │
│ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │
│ │ │ 用户域 │ │ 订单域 │ │ 商品域 │ │ │
│ │ │ │ │ │ │ │ │ │
│ │ │ ┌─────────┐ │ │ ┌─────────┐ │ │ ┌─────────┐ │ │ │
│ │ │ │用户服务 │ │ │ │订单服务 │ │ │ │商品服务 │ │ │ │
│ │ │ └─────────┘ │ │ └─────────┘ │ │ └─────────┘ │ │ │
│ │ │ ┌─────────┐ │ │ ┌─────────┐ │ │ ┌─────────┐ │ │ │
│ │ │ │认证服务 │ │ │ │购物车 │ │ │ │库存服务 │ │ │ │
│ │ │ └─────────┘ │ │ │服务 │ │ │ └─────────┘ │ │ │
│ │ └─────────────┘ │ └─────────┘ │ │ ┌─────────┐ │ │ │
│ │ └─────────────┘ │ │分类服务 │ │ │ │
│ │ ┌─────────────┐ ┌─────────────┐ │ └─────────┘ │ │ │
│ │ │ 支付域 │ │ 物流域 │ └─────────────┘ │ │
│ │ │ │ │ │ │ │
│ │ │ ┌─────────┐ │ │ ┌─────────┐ │ ┌─────────────┐ │ │
│ │ │ │支付服务 │ │ │ │配送服务 │ │ │ 通用服务域 │ │ │
│ │ │ └─────────┘ │ │ └─────────┘ │ │ │ │ │
│ │ │ ┌─────────┐ │ │ ┌─────────┐ │ │ ┌─────────┐ │ │ │
│ │ │ │账单服务 │ │ │ │跟踪服务 │ │ │ │通知服务 │ │ │ │
│ │ │ └─────────┘ │ │ └─────────┘ │ │ └─────────┘ │ │ │
│ │ └─────────────┘ └─────────────┘ │ ┌─────────┐ │ │ │
│ │ │ │文件服务 │ │ │ │
│ │ │ └─────────┘ │ │ │
│ │ └─────────────┘ │ │
│ └─────────────────────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ 数据服务层 │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 关系数据库 │ │ 文档数据库 │ │ 缓存数据库 │ │ 搜索引擎 │ │
│ │ │ │ │ │ │ │ │ │
│ │ PostgreSQL │ │ MongoDB │ │ Redis │ │ Elasticsearch│ │
│ │ MySQL │ │ CouchDB │ │ Memcached │ │ Solr │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 消息队列 │ │ 时序数据库 │ │ 图数据库 │ │ 对象存储 │ │
│ │ │ │ │ │ │ │ │ │
│ │ Kafka │ │ InfluxDB │ │ Neo4j │ │ MinIO │ │
│ │ RabbitMQ │ │ Prometheus │ │ ArangoDB │ │ S3 │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘核心概念
1. 容器化(Containerization)
定义: 容器化是将应用程序及其依赖项打包到轻量级、可移植的容器中的技术。
核心特征:
- 轻量级:共享操作系统内核,资源占用少
- 可移植性:一次构建,到处运行
- 隔离性:进程、网络、文件系统隔离
- 一致性:开发、测试、生产环境一致
容器技术栈:
┌─────────────────────────────────────────┐
│ 容器技术栈 │
├─────────────────────────────────────────┤
│ 应用层: │
│ ┌─────────────┐ ┌─────────────┐ │
│ │ 应用程序 │ │ 依赖库 │ │
│ └─────────────┘ └─────────────┘ │
│ │
│ 容器层: │
│ ┌─────────────────────────────────────┐ │
│ │ 容器镜像 │ │
│ │ ┌─────────────┐ ┌─────────────┐ │ │
│ │ │ 应用层 │ │ 运行时层 │ │ │
│ │ └─────────────┘ └─────────────┘ │ │
│ │ ┌─────────────┐ ┌─────────────┐ │ │
│ │ │ 系统库 │ │ 基础镜像 │ │ │
│ │ └─────────────┘ └─────────────┘ │ │
│ └─────────────────────────────────────┘ │
│ │
│ 运行时层: │
│ ┌─────────────────────────────────────┐ │
│ │ 容器运行时 │ │
│ │ containerd / CRI-O / Docker │ │
│ └─────────────────────────────────────┘ │
│ │
│ 操作系统层: │
│ ┌─────────────────────────────────────┐ │
│ │ Linux内核 │ │
│ │ Namespace / Cgroups / SELinux │ │
│ └─────────────────────────────────────┘ │
└─────────────────────────────────────────┘容器最佳实践:
镜像构建原则:
1. 使用最小基础镜像
FROM alpine:3.18
2. 多阶段构建
# 构建阶段
FROM node:18 AS builder
# 运行阶段
FROM alpine:3.18
3. 最小权限原则
USER 1001:1001
4. 健康检查
HEALTHCHECK --interval=30s --timeout=3s \
CMD curl -f http://localhost:8080/health
5. 标签管理
LABEL version="1.0.0"
LABEL maintainer="team@company.com"2. 微服务架构(Microservices)
定义: 微服务架构是一种将单一应用程序开发为一组小型服务的方法,每个服务运行在自己的进程中。
设计原则:
- 单一职责:每个服务专注于一个业务功能
- 自治性:独立开发、部署、扩展
- 去中心化:数据和治理去中心化
- 容错性:设计时考虑失败场景
服务拆分策略:
┌─────────────────────────────────────────┐
│ 服务拆分维度 │
├─────────────────────────────────────────┤
│ 业务功能维度: │
│ - 用户管理服务 │
│ - 订单处理服务 │
│ - 支付处理服务 │
│ - 库存管理服务 │
│ │
│ 数据维度: │
│ - 每个服务拥有独立数据库 │
│ - 避免跨服务事务 │
│ - 数据一致性通过事件实现 │
│ │
│ 团队维度: │
│ - 2-Pizza团队原则 │
│ - 团队自主决策 │
│ - 端到端责任 │
│ │
│ 技术维度: │
│ - 技术栈多样性 │
│ - 独立升级路径 │
│ - 性能优化独立 │
└─────────────────────────────────────────┘服务间通信模式:
同步通信:
┌─────────────┐ HTTP/gRPC ┌─────────────┐
│ 服务A │ ────────────▶ │ 服务B │
│ │ ◄──────────── │ │
└─────────────┘ 响应 └─────────────┘
异步通信:
┌─────────────┐ 事件 ┌─────────────┐ 事件 ┌─────────────┐
│ 服务A │ ──────────▶ │ 消息中间件 │ ──────────▶ │ 服务B │
└─────────────┘ └─────────────┘ └─────────────┘
服务网格:
┌─────────────┐ ┌─────────────┐
│ 服务A │ │ 服务B │
│ ┌─────────┐ │ │ ┌─────────┐ │
│ │ Sidecar │ │◄──────────▶ │ │ Sidecar │ │
│ └─────────┘ │ │ └─────────┘ │
└─────────────┘ └─────────────┘3. DevOps和CI/CD
定义: DevOps是一种文化、实践和工具的组合,旨在提高组织快速交付应用程序和服务的能力。
核心实践:
- 持续集成:频繁地将代码变更合并到主分支
- 持续交付:确保代码始终处于可发布状态
- 持续部署:自动化地将变更部署到生产环境
- 基础设施即代码:通过代码管理基础设施
CI/CD流水线:
┌─────────────────────────────────────────────────────────────────────────────┐
│ CI/CD流水线 │
└─────────────────────────────────────────────────────────────────────────────┘
开发阶段
┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐
│ 代码提交 │───▶│ 代码检查 │───▶│ 单元测试 │───▶│ 代码构建 │
│ │ │ │ │ │ │ │
│ • Git Push │ │ • SonarQube │ │ • JUnit │ │ • Maven │
│ • PR/MR │ │ • ESLint │ │ • Jest │ │ • Gradle │
│ • Code Review│ │ • Checkstyle│ │ • PyTest │ │ • npm build │
└─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘
│ │ │ │
▼ ▼ ▼ ▼
集成阶段
┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐
│ 镜像构建 │───▶│ 安全扫描 │───▶│ 集成测试 │───▶│ 镜像推送 │
│ │ │ │ │ │ │ │
│ • Docker │ │ • Trivy │ │ • API Test │ │ • Harbor │
│ • Buildah │ │ • Clair │ │ • E2E Test │ │ • Docker Hub│
│ • Kaniko │ │ • Snyk │ │ • Contract │ │ • ECR/ACR │
└─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘
│ │ │ │
▼ ▼ ▼ ▼
部署阶段
┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐
│ 环境准备 │───▶│ 应用部署 │───▶│ 健康检查 │───▶│ 流量切换 │
│ │ │ │ │ │ │ │
│ • Terraform │ │ • Helm │ │ • Readiness │ │ • Blue/Green│
│ • Ansible │ │ • Kustomize │ │ • Liveness │ │ • Canary │
│ • Pulumi │ │ • ArgoCD │ │ • Startup │ │ • Rolling │
└─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘
│ │ │ │
▼ ▼ ▼ ▼
监控阶段
┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐
│ 性能监控 │───▶│ 日志收集 │───▶│ 告警通知 │───▶│ 反馈优化 │
│ │ │ │ │ │ │ │
│ • Prometheus│ │ • Fluentd │ │ • PagerDuty │ │ • Jira │
│ • Grafana │ │ • ELK Stack │ │ • Slack │ │ • Confluence│
│ • Datadog │ │ • Loki │ │ • Email │ │ • Wiki │
└─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘GitOps工作流:
┌─────────────────────────────────────────────────────────────────────────────┐
│ GitOps工作流 │
└─────────────────────────────────────────────────────────────────────────────┘
┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐
│ 开发人员 │ │ 应用代码 │ │ CI流水线 │ │ 镜像仓库 │
│ │───▶│ 仓库 │───▶│ │───▶│ │
│ 提交代码 │ │ (App Repo) │ │ 构建镜像 │ │ 存储镜像 │
└─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘
│ │
▼ │
┌─────────────┐ ┌─────────────┐ │
│ 运维人员 │ │ 配置代码 │ │
│ │───▶│ 仓库 │ │
│ 更新配置 │ │(Config Repo)│ │
└─────────────┘ └─────────────┘ │
│ │
▼ ▼
┌─────────────┐ ┌─────────────┐ ┌─────────────┐
│ GitOps │ │ Kubernetes │ │ 应用运行 │
│ 控制器 │───▶│ 集群 │───▶│ 状态 │
│ (ArgoCD) │ │ │ │ │
└─────────────┘ └─────────────┘ └─────────────┘
▲ │
│ │
└──────────────────────────────────────┘
状态同步4. 服务网格(Service Mesh)
定义: 服务网格是一个专用的基础设施层,用于处理服务间通信,使其快速、可靠和安全。
核心功能:
- 流量管理:路由、负载均衡、故障转移
- 安全:服务间认证、授权、加密
- 可观测性:指标收集、日志记录、分布式追踪
- 策略执行:访问控制、速率限制、重试
Istio架构:
┌─────────────────────────────────────────────────────────────────────────────┐
│ Istio架构 │
└─────────────────────────────────────────────────────────────────────────────┘
控制平面 (Control Plane)
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ Pilot │ │ Citadel │ │ Galley │ │ Mixer │ │
│ │ │ │ │ │ │ │ │ │
│ │ 服务发现 │ │ 证书管理 │ │ 配置验证 │ │ 策略执行 │ │
│ │ 流量管理 │ │ 身份认证 │ │ 配置分发 │ │ 遥测收集 │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼ 配置下发
数据平面 (Data Plane)
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────────────────────────────────────────────────────────────────┐ │
│ │ Envoy Proxy │ │
│ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │
│ │ │ 负载均衡 │ │ 熔断器 │ │ 重试机制 │ │ 超时控制 │ │ │
│ │ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │ │
│ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │
│ │ │ TLS终止 │ │ 访问控制 │ │ 指标收集 │ │ 分布式追踪 │ │ │
│ │ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │ │
│ └─────────────────────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
应用服务
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 服务A │ │ 服务B │ │ 服务C │ │ 服务D │ │
│ │ │ │ │ │ │ │ │ │
│ │ ┌─────────┐ │ │ ┌─────────┐ │ │ ┌─────────┐ │ │ ┌─────────┐ │ │
│ │ │ Sidecar │ │ │ │ Sidecar │ │ │ │ Sidecar │ │ │ │ Sidecar │ │ │
│ │ │ (Envoy) │ │ │ │ (Envoy) │ │ │ │ (Envoy) │ │ │ │ (Envoy) │ │ │
│ │ └─────────┘ │ │ └─────────┘ │ │ └─────────┘ │ │ └─────────┘ │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘流量管理示例:
金丝雀发布:
┌─────────────┐ 90%流量 ┌─────────────┐
│ 用户请求 │ ────────────▶ │ v1版本 │
│ │ │ │
│ │ 10%流量 │ │
│ │ ────────────▶ │ v2版本 │
└─────────────┘ └─────────────┘
蓝绿部署:
┌─────────────┐ 100%流量 ┌─────────────┐
│ 用户请求 │ ────────────▶ │ 蓝环境(v1) │
│ │ │ │
│ │ 0%流量 │ │
│ │ ────────────▶ │ 绿环境(v2) │
└─────────────┘ └─────────────┘
故障注入:
┌─────────────┐ ┌─────────────┐
│ 测试请求 │ ────────────▶ │ 目标服务 │
│ │ │ │
│ 注入延迟 │ │ 模拟故障 │
│ 注入错误 │ │ 测试恢复 │
└─────────────┘ └─────────────┘5. 可观测性(Observability)
定义: 可观测性是指通过检查系统的输出来了解系统内部状态的能力。
三大支柱:
- 指标(Metrics):数值型数据,用于监控系统状态
- 日志(Logs):离散事件记录,用于问题诊断
- 追踪(Traces):请求在系统中的完整路径
可观测性架构:
┌─────────────────────────────────────────────────────────────────────────────┐
│ 可观测性架构 │
└─────────────────────────────────────────────────────────────────────────────┘
数据收集层
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 应用指标 │ │ 系统指标 │ │ 业务指标 │ │ 自定义指标 │ │
│ │ │ │ │ │ │ │ │ │
│ │ • 响应时间 │ │ • CPU使用率 │ │ • 订单数量 │ │ • SLA指标 │ │
│ │ • 错误率 │ │ • 内存使用 │ │ • 用户活跃 │ │ • 业务KPI │ │
│ │ • 吞吐量 │ │ • 磁盘IO │ │ • 收入统计 │ │ • 质量指标 │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
数据处理层
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 数据聚合 │ │ 数据清洗 │ │ 数据转换 │ │ 数据路由 │ │
│ │ │ │ │ │ │ │ │ │
│ │ • 时间窗口 │ │ • 格式标准 │ │ • 单位转换 │ │ • 多目标 │ │
│ │ • 统计计算 │ │ • 异常过滤 │ │ • 标签增强 │ │ • 负载均衡 │ │
│ │ • 采样策略 │ │ • 重复去除 │ │ • 关联分析 │ │ • 故障转移 │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
数据存储层
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 时序数据库 │ │ 搜索引擎 │ │ 对象存储 │ │ 图数据库 │ │
│ │ │ │ │ │ │ │ │ │
│ │ Prometheus │ │Elasticsearch│ │ S3 │ │ Neo4j │ │
│ │ InfluxDB │ │ Solr │ │ MinIO │ │ ArangoDB │ │
│ │ TimescaleDB │ │ OpenSearch │ │ HDFS │ │ Dgraph │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
数据展示层
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 监控面板 │ │ 告警系统 │ │ 报表系统 │ │ 分析平台 │ │
│ │ │ │ │ │ │ │ │ │
│ │ Grafana │ │ AlertManager│ │ Superset │ │ Kibana │ │
│ │ Kibana │ │ PagerDuty │ │ Tableau │ │ Jupyter │ │
│ │ Datadog │ │ OpsGenie │ │ PowerBI │ │ Zeppelin │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘分布式追踪:
┌─────────────────────────────────────────────────────────────────────────────┐
│ 分布式追踪 │
└─────────────────────────────────────────────────────────────────────────────┘
请求链路追踪:
TraceID: abc123
┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐
│ API网关 │───▶│ 用户服务 │───▶│ 订单服务 │───▶│ 支付服务 │
│ │ │ │ │ │ │ │
│ SpanID: 001 │ │ SpanID: 002 │ │ SpanID: 003 │ │ SpanID: 004 │
│ 开始: 0ms │ │ 开始: 5ms │ │ 开始: 15ms │ │ 开始: 25ms │
│ 结束: 100ms │ │ 结束: 80ms │ │ 结束: 70ms │ │ 结束: 60ms │
└─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘
│ │ │ │
▼ ▼ ▼ ▼
┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐
│ 数据库查询 │ │ 缓存查询 │ │ 库存检查 │ │ 第三方API │
│ │ │ │ │ │ │ │
│ SpanID: 005 │ │ SpanID: 006 │ │ SpanID: 007 │ │ SpanID: 008 │
│ 开始: 10ms │ │ 开始: 20ms │ │ 开始: 30ms │ │ 开始: 40ms │
│ 结束: 15ms │ │ 结束: 22ms │ │ 结束: 35ms │ │ 结束: 55ms │
└─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘
追踪信息:
- 总耗时: 100ms
- 最慢服务: 支付服务 (35ms)
- 数据库查询: 5ms
- 外部API调用: 15ms
- 错误位置: 订单服务 Span 003云原生设计模式
1. 应用架构模式
十二要素应用(12-Factor App)
┌─────────────────────────────────────────┐
│ 十二要素应用 │
├─────────────────────────────────────────┤
│ 1. 基准代码 (Codebase) │
│ 一份基准代码,多份部署 │
│ │
│ 2. 依赖 (Dependencies) │
│ 显式声明依赖关系 │
│ │
│ 3. 配置 (Config) │
│ 在环境中存储配置 │
│ │
│ 4. 后端服务 (Backing Services) │
│ 把后端服务当作附加资源 │
│ │
│ 5. 构建、发布、运行 (Build/Release/Run) │
│ 严格分离构建和运行 │
│ │
│ 6. 进程 (Processes) │
│ 以一个或多个无状态进程运行应用 │
│ │
│ 7. 端口绑定 (Port Binding) │
│ 通过端口绑定提供服务 │
│ │
│ 8. 并发 (Concurrency) │
│ 通过进程模型进行扩展 │
│ │
│ 9. 易处理 (Disposability) │
│ 快速启动和优雅终止 │
│ │
│ 10. 开发环境与线上环境等价 (Dev/Prod) │
│ 尽可能的保持开发,预发布,线上环境相同│
│ │
│ 11. 日志 (Logs) │
│ 把日志当作事件流 │
│ │
│ 12. 管理进程 (Admin Processes) │
│ 后台管理任务当作一次性进程运行 │
└─────────────────────────────────────────┘云原生应用特征
┌─────────────────────────────────────────┐
│ 云原生应用特征 │
├─────────────────────────────────────────┤
│ 弹性 (Resilience): │
│ • 自动故障恢复 │
│ • 优雅降级 │
│ • 熔断机制 │
│ • 重试策略 │
│ │
│ 可观测性 (Observability): │
│ • 健康检查端点 │
│ • 指标暴露 │
│ • 结构化日志 │
│ • 分布式追踪 │
│ │
│ 可管理性 (Manageability): │
│ • 声明式配置 │
│ • 不可变基础设施 │
│ • 版本化部署 │
│ • 自动化运维 │
│ │
│ 安全性 (Security): │
│ • 最小权限原则 │
│ • 网络隔离 │
│ • 密钥管理 │
│ • 安全扫描 │
└─────────────────────────────────────────┘2. 数据管理模式
数据库每服务模式
┌─────────────────────────────────────────────────────────────────────────────┐
│ 数据库每服务模式 │
└─────────────────────────────────────────────────────────────────────────────┘
┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐
│ 用户服务 │ │ 订单服务 │ │ 库存服务 │ │ 支付服务 │
│ │ │ │ │ │ │ │
│ ┌─────────┐ │ │ ┌─────────┐ │ │ ┌─────────┐ │ │ ┌─────────┐ │
│ │ 用户DB │ │ │ │ 订单DB │ │ │ │ 库存DB │ │ │ │ 支付DB │ │
│ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │
│ │PostgreSQL│ │ │ │ MongoDB │ │ │ │ Redis │ │ │ │ MySQL │ │
│ └─────────┘ │ │ └─────────┘ │ │ └─────────┘ │ │ └─────────┘ │
└─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘
优势:
• 技术多样性
• 独立扩展
• 故障隔离
• 团队自治
挑战:
• 数据一致性
• 跨服务查询
• 事务管理
• 运维复杂性事件溯源模式
┌─────────────────────────────────────────────────────────────────────────────┐
│ 事件溯源模式 │
└─────────────────────────────────────────────────────────────────────────────┘
事件存储
┌─────────────────────────────────────────────────────────────────────────────┐
│ 事件ID │ 聚合ID │ 事件类型 │ 事件数据 │ 时间戳 │
├────────┼────────┼─────────────────┼───────────────────────┼───────────────┤
│ 001 │ user-1 │ UserCreated │ {name:"张三",email:...}│ 2024-01-01 │
│ 002 │ user-1 │ EmailUpdated │ {email:"new@email.com"}│ 2024-01-02 │
│ 003 │ user-1 │ ProfileUpdated │ {phone:"13800138000"} │ 2024-01-03 │
└────────┴────────┴─────────────────┴───────────────────────┴───────────────┘
状态重建
┌─────────────────────────────────────────────────────────────────────────────┐
│ 状态重建过程 │
│ │
│ 初始状态: {} │
│ ↓ 应用 UserCreated │
│ 状态1: {id:"user-1", name:"张三", email:"old@email.com"} │
│ ↓ 应用 EmailUpdated │
│ 状态2: {id:"user-1", name:"张三", email:"new@email.com"} │
│ ↓ 应用 ProfileUpdated │
│ 最终状态: {id:"user-1", name:"张三", email:"new@email.com", phone:"138..."} │
└─────────────────────────────────────────────────────────────────────────────┘
优势:
• 完整审计日志
• 时间旅行查询
• 事件重放
• 数据恢复能力
挑战:
• 存储空间增长
• 查询复杂性
• 事件版本管理
• 性能考虑CQRS模式
┌─────────────────────────────────────────────────────────────────────────────┐
│ CQRS模式 │
└─────────────────────────────────────────────────────────────────────────────┘
命令端 (Command Side)
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 命令API │───▶│ 命令处理器 │───▶│ 领域模型 │───▶│ 写数据库 │ │
│ │ │ │ │ │ │ │ │ │
│ │ CreateUser │ │ UserHandler │ │ User Entity │ │ PostgreSQL │ │
│ │ UpdateUser │ │ Validator │ │ Business │ │ 事务处理 │ │
│ │ DeleteUser │ │ Security │ │ Logic │ │ 一致性保证 │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼ 事件发布
┌─────────────────────────────────────────────────────────────────────────────┐
│ 事件总线 │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ UserCreated │ │ UserUpdated │ │ UserDeleted │ │ UserEvent │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼ 事件消费
查询端 (Query Side)
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 查询API │───▶│ 查询处理器 │───▶│ 读模型 │───▶│ 读数据库 │ │
│ │ │ │ │ │ │ │ │ │
│ │ GetUser │ │ UserQuery │ │ UserView │ │ Elasticsearch│ │
│ │ SearchUsers │ │ Projection │ │ UserList │ │ Redis Cache │ │
│ │ UserStats │ │ Aggregation │ │ UserStats │ │ MongoDB │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘3. 通信模式
异步消息模式
┌─────────────────────────────────────────────────────────────────────────────┐
│ 异步消息模式 │
└─────────────────────────────────────────────────────────────────────────────┘
发布-订阅模式
┌─────────────┐ 发布事件 ┌─────────────┐ 订阅事件 ┌─────────────┐
│ 发布者 │ ────────────▶ │ 消息代理 │ ────────────▶ │ 订阅者1 │
│ │ │ │ │ │
│ 订单服务 │ │ Kafka │ │ 库存服务 │
│ 用户服务 │ │ RabbitMQ │ │ 通知服务 │
│ 支付服务 │ │ Pulsar │ │ 分析服务 │
└─────────────┘ └─────────────┘ └─────────────┘
│
▼
┌─────────────┐
│ 订阅者2 │
│ │
│ 邮件服务 │
│ 短信服务 │
│ 推送服务 │
└─────────────┘
消息队列模式
┌─────────────┐ 发送消息 ┌─────────────┐ 消费消息 ┌─────────────┐
│ 生产者 │ ────────────▶ │ 消息队列 │ ────────────▶ │ 消费者 │
│ │ │ │ │ │
│ Web应用 │ │ Queue │ │ 工作进程 │
│ API服务 │ │ │ │ 后台任务 │
└─────────────┘ └─────────────┘ └─────────────┘
事件流模式
┌─────────────┐ 写入事件 ┌─────────────┐ 读取事件 ┌─────────────┐
│ 事件源 │ ────────────▶ │ 事件流 │ ────────────▶ │ 事件处理器 │
│ │ │ │ │ │
│ 业务服务 │ │ Event Log │ │ 流处理器 │
│ 传感器 │ │ Kafka Topic │ │ 实时分析 │
└─────────────┘ └─────────────┘ └─────────────┘API网关模式
┌─────────────────────────────────────────────────────────────────────────────┐
│ API网关模式 │
└─────────────────────────────────────────────────────────────────────────────┘
┌─────────────┐ ┌─────────────┐ ┌─────────────┐
│ 客户端 │ │ API网关 │ │ 后端服务 │
│ │ │ │ │ │
│ Web App │ ────────────▶│ ┌─────────┐ │ ────────────▶│ 用户服务 │
│ Mobile App │ │ │路由转发 │ │ │ 订单服务 │
│ Third Party │ │ └─────────┘ │ │ 支付服务 │
│ │ │ ┌─────────┐ │ │ 库存服务 │
│ │ │ │认证授权 │ │ │ │
│ │ │ └─────────┘ │ │ │
│ │ │ ┌─────────┐ │ │ │
│ │ │ │限流熔断 │ │ │ │
│ │ │ └─────────┘ │ │ │
│ │ │ ┌─────────┐ │ │ │
│ │ │ │协议转换 │ │ │ │
│ │ │ └─────────┘ │ │ │
└─────────────┘ └─────────────┘ └─────────────┘
API网关功能:
• 请求路由和负载均衡
• 认证和授权
• 限流和熔断
• 协议转换
• 请求/响应转换
• 缓存
• 监控和分析
• API版本管理云原生部署模式
1. 容器编排
Kubernetes部署模式
┌─────────────────────────────────────────────────────────────────────────────┐
│ Kubernetes部署模式 │
└─────────────────────────────────────────────────────────────────────────────┘
集群架构
┌─────────────────────────────────────────────────────────────────────────────┐
│ 控制平面 │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ API Server │ │ etcd │ │ Scheduler │ │ Controller │ │
│ │ │ │ │ │ │ │ Manager │ │
│ │ 集群API入口 │ │ 配置存储 │ │ Pod调度 │ │ 状态控制 │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ 工作节点 │
│ ┌─────────────────────────────────────────────────────────────────────────┐ │
│ │ Node 1 │ │
│ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │
│ │ │ kubelet │ │ kube-proxy │ │ Container │ │ Pod │ │ │
│ │ │ │ │ │ │ Runtime │ │ │ │ │
│ │ │ 节点代理 │ │ 网络代理 │ │ containerd │ │ 应用容器 │ │ │
│ │ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │ │
│ └─────────────────────────────────────────────────────────────────────────┘ │
│ ┌─────────────────────────────────────────────────────────────────────────┐ │
│ │ Node 2 │ │
│ │ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │ │
│ │ │ kubelet │ │ kube-proxy │ │ Container │ │ Pod │ │ │
│ │ │ │ │ │ │ Runtime │ │ │ │ │
│ │ │ 节点代理 │ │ 网络代理 │ │ containerd │ │ 应用容器 │ │ │
│ │ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │ │
│ └─────────────────────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘工作负载类型
┌─────────────────────────────────────────────────────────────────────────────┐
│ Kubernetes工作负载 │
└─────────────────────────────────────────────────────────────────────────────┘
Deployment (无状态应用)
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ Pod 1 │ │ Pod 2 │ │ Pod 3 │ │ Pod 4 │ │
│ │ │ │ │ │ │ │ │ │
│ │ Web Server │ │ Web Server │ │ Web Server │ │ Web Server │ │
│ │ v1.0 │ │ v1.0 │ │ v1.0 │ │ v1.0 │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
│ │
│ 特点: 可水平扩展、滚动更新、负载均衡 │
└─────────────────────────────────────────────────────────────────────────────┘
StatefulSet (有状态应用)
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ Pod db-0 │ │ Pod db-1 │ │ Pod db-2 │ │
│ │ │ │ │ │ │ │
│ │ Database │ │ Database │ │ Database │ │
│ │ Master │ │ Replica │ │ Replica │ │
│ │ ┌─────────┐ │ │ ┌─────────┐ │ │ ┌─────────┐ │ │
│ │ │ PVC-0 │ │ │ │ PVC-1 │ │ │ │ PVC-2 │ │ │
│ │ └─────────┘ │ │ └─────────┘ │ │ └─────────┘ │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ │
│ │
│ 特点: 稳定标识、有序部署、持久存储 │
└─────────────────────────────────────────────────────────────────────────────┘
DaemonSet (节点守护进程)
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ Node 1 │ │ Node 2 │ │ Node 3 │ │
│ │ ┌─────────┐ │ │ ┌─────────┐ │ │ ┌─────────┐ │ │
│ │ │ Log │ │ │ │ Log │ │ │ │ Log │ │ │
│ │ │ Agent │ │ │ │ Agent │ │ │ │ Agent │ │ │
│ │ └─────────┘ │ │ └─────────┘ │ │ └─────────┘ │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ │
│ │
│ 特点: 每个节点一个Pod、系统级服务 │
└─────────────────────────────────────────────────────────────────────────────┘
Job/CronJob (批处理任务)
┌─────────────────────────────────────────────────────────────────────────────┐
│ Job (一次性任务) │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ Pod 1 │ │ Pod 2 │ │ Pod 3 │ │
│ │ │ │ │ │ │ │
│ │ Data Import │ │ Data Import │ │ Data Import │ │
│ │ Completed │ │ Running │ │ Pending │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ │
│ │
│ CronJob (定时任务) │
│ ┌─────────────┐ 每天2:00AM ┌─────────────┐ │
│ │ CronJob │ ────────────────▶│ Job │ │
│ │ │ │ │ │
│ │ Backup Task │ │ Backup Pod │ │
│ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘2. 服务发现和负载均衡
Kubernetes服务模式
┌─────────────────────────────────────────────────────────────────────────────┐
│ Kubernetes服务模式 │
└─────────────────────────────────────────────────────────────────────────────┘
ClusterIP (集群内部访问)
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ Client Pod │ ────────────▶│ Service │ ────────────▶│ Backend │ │
│ │ │ │ │ │ Pods │ │
│ │ 10.1.1.10 │ │ 10.96.1.100 │ │ 10.1.1.20 │ │
│ └─────────────┘ │ ClusterIP │ │ 10.1.1.21 │ │
│ └─────────────┘ │ 10.1.1.22 │ │
│ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
NodePort (节点端口访问)
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ External │ ────────────▶│ Node │ ────────────▶│ Service │ │
│ │ Client │ │ │ │ │ │
│ │ │ :30080 │ 192.168.1.10│ │ 10.96.1.100 │ │
│ └─────────────┘ │ NodePort │ │ ClusterIP │ │
│ └─────────────┘ └─────────────┘ │
│ │ │ │
│ ▼ ▼ │
│ ┌─────────────┐ ┌─────────────┐ │
│ │ Node │ │ Backend │ │
│ │ │ │ Pods │ │
│ │ 192.168.1.11│ │ 10.1.1.20 │ │
│ │ NodePort │ │ 10.1.1.21 │ │
│ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
LoadBalancer (云负载均衡)
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ External │ ────────────▶│ Cloud │ ────────────▶│ Service │ │
│ │ Client │ │ LoadBalancer│ │ │ │
│ │ │ │ │ │ 10.96.1.100 │ │
│ └─────────────┘ │ 203.0.113.1 │ │ ClusterIP │ │
│ └─────────────┘ └─────────────┘ │
│ │ │ │
│ ▼ ▼ │
│ ┌─────────────┐ ┌─────────────┐ │
│ │ Kubernetes │ │ Backend │ │
│ │ Nodes │ │ Pods │ │
│ │ │ │ 10.1.1.20 │ │
│ │ 192.168.1.x │ │ 10.1.1.21 │ │
│ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
Ingress (HTTP/HTTPS路由)
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ External │ ────────────▶│ Ingress │ ────────────▶│ Service A │ │
│ │ Client │ │ Controller │ │ │ │
│ │ │ api.example │ │ /api/* │ 10.96.1.100 │ │
│ │ │ web.example │ NGINX/Traefik│ /web/* │ │ │
│ └─────────────┘ │ │ └─────────────┘ │
│ │ 203.0.113.1 │ │ │
│ └─────────────┘ ▼ │
│ ┌─────────────┐ │
│ │ Service B │ │
│ │ │ │
│ │ 10.96.1.101 │ │
│ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘3. 配置和密钥管理
ConfigMap和Secret
┌─────────────────────────────────────────────────────────────────────────────┐
│ 配置和密钥管理 │
└─────────────────────────────────────────────────────────────────────────────┘
ConfigMap (配置管理)
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ ConfigMap │ │ Pod │ │ Application │ │
│ │ │ ────────────▶│ │ ────────────▶│ │ │
│ │ app-config │ 环境变量 │ Container │ 读取配置 │ 业务逻辑 │ │
│ │ │ 文件挂载 │ │ │ │ │
│ │ database: │ │ /etc/config │ │ 连接数据库 │ │
│ │ host: db │ │ /app/config │ │ │ │
│ │ port: 5432│ └─────────────┘ └─────────────┘ │
│ │ redis: │ │
│ │ host: cache│ │
│ │ port: 6379│ │
│ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
Secret (密钥管理)
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ Secret │ │ Pod │ │ Application │ │
│ │ │ ────────────▶│ │ ────────────▶│ │ │
│ │ db-secret │ 环境变量 │ Container │ 读取密钥 │ 业务逻辑 │ │
│ │ │ 文件挂载 │ │ │ │ │
│ │ username: │ │ /etc/secret │ │ 数据库认证 │ │
│ │ YWRtaW4= │ │ /app/certs │ │ │ │
│ │ password: │ └─────────────┘ └─────────────┘ │
│ │ cGFzc3dvcmQ=│ │
│ │ tls.crt: │ │
│ │ LS0tLS1CRUdJTi│ │
│ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
外部密钥管理
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ External │ │ Secret │ │ Pod │ │
│ │ Secret │ ────────────▶│ Operator │ ────────────▶│ │ │
│ │ Manager │ 同步密钥 │ │ 注入密钥 │ Container │ │
│ │ │ │ ESO/CSI │ │ │ │
│ │ Vault │ │ Secrets │ │ /var/secrets│ │
│ │ AWS Secrets │ │ Store │ │ │ │
│ │ Azure KeyVault│ └─────────────┘ └─────────────┘ │
│ │ GCP Secret │ │
│ │ Manager │ │
│ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘云原生安全
1. 安全模型
4C安全模型
┌─────────────────────────────────────────────────────────────────────────────┐
│ 4C安全模型 │
└─────────────────────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────────────────────┐
│ Code (代码) │
│ ┌─────────────────────────────────────────────────────────────────────────┐ │
│ │ • 安全编码实践 │ │
│ │ • 依赖漏洞扫描 │ │
│ │ • 代码静态分析 │ │
│ │ • 密钥管理 │ │
│ └─────────────────────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ Container (容器) │
│ ┌─────────────────────────────────────────────────────────────────────────┐ │
│ │ • 镜像安全扫描 │ │
│ │ • 最小权限原则 │ │
│ │ • 不可变基础设施 │ │
│ │ • 运行时安全 │ │
│ └─────────────────────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ Cluster (集群) │
│ ┌─────────────────────────────────────────────────────────────────────────┐ │
│ │ • RBAC权限控制 │ │
│ │ • 网络策略 │ │
│ │ • Pod安全策略 │ │
│ │ • 准入控制 │ │
│ └─────────────────────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ Cloud (云) │
│ ┌─────────────────────────────────────────────────────────────────────────┐ │
│ │ • 基础设施安全 │ │
│ │ • 网络隔离 │ │
│ │ • 身份认证 │ │
│ │ • 合规审计 │ │
│ └─────────────────────────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘零信任安全架构
┌─────────────────────────────────────────────────────────────────────────────┐
│ 零信任安全架构 │
└─────────────────────────────────────────────────────────────────────────────┘
┌─────────────┐ 认证 ┌─────────────┐ 授权 ┌─────────────┐
│ 用户/设备 │ ────────▶ │ 身份提供商 │ ────────▶ │ 策略引擎 │
│ │ │ │ │ │
│ • 员工 │ │ • OIDC/SAML │ │ • OPA │
│ • 服务 │ │ • mTLS │ │ • Casbin │
│ • API │ │ • JWT │ │ • 自定义 │
└─────────────┘ └─────────────┘ └─────────────┘
│ │ │
▼ ▼ ▼
┌─────────────┐ ┌─────────────┐ ┌─────────────┐
│ 设备信任 │ │ 身份验证 │ │ 访问控制 │
│ │ │ │ │ │
│ • 设备证书 │ │ • 多因素 │ │ • 最小权限 │
│ • 设备状态 │ │ • 生物识别 │ │ • 动态授权 │
│ • 合规检查 │ │ • 硬件密钥 │ │ • 会话管理 │
└─────────────┘ └─────────────┘ └─────────────┘
│ │ │
└────────────────────────┼────────────────────────┘
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ 安全网关 │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 流量检查 │ │ 威胁检测 │ │ 数据保护 │ │ 审计日志 │ │
│ │ │ │ │ │ │ │ │ │
│ │ • DPI │ │ • 异常检测 │ │ • 加密传输 │ │ • 访问记录 │ │
│ │ • 协议分析 │ │ • 行为分析 │ │ • 数据脱敏 │ │ • 操作审计 │ │
│ │ • 内容过滤 │ │ • 机器学习 │ │ • 权限控制 │ │ • 合规报告 │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────────────────────┐
│ 受保护资源 │
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 应用服务 │ │ 数据库 │ │ 文件系统 │ │ API接口 │ │
│ │ │ │ │ │ │ │ │ │
│ │ • 微服务 │ │ • 关系型 │ │ • 对象存储 │ │ • REST API │ │
│ │ • 容器应用 │ │ • NoSQL │ │ • 块存储 │ │ • GraphQL │ │
│ │ • 无服务器 │ │ • 缓存 │ │ • 网络存储 │ │ • gRPC │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘2. 容器安全
容器安全最佳实践
┌─────────────────────────────────────────────────────────────────────────────┐
│ 容器安全最佳实践 │
└─────────────────────────────────────────────────────────────────────────────┘
镜像安全
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 基础镜像 │───▶│ 漏洞扫描 │───▶│ 安全加固 │───▶│ 签名验证 │ │
│ │ │ │ │ │ │ │ │ │
│ │ • 最小镜像 │ │ • Trivy │ │ • 非root用户│ │ • Notary │ │
│ │ • 官方镜像 │ │ • Clair │ │ • 只读文件 │ │ • Cosign │ │
│ │ • 定期更新 │ │ • Snyk │ │ • 最小权限 │ │ • TUF │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
运行时安全
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 资源限制 │───▶│ 网络隔离 │───▶│ 行为监控 │───▶│ 威胁响应 │ │
│ │ │ │ │ │ │ │ │ │
│ │ • CPU限制 │ │ • 网络策略 │ │ • Falco │ │ • 自动隔离 │ │
│ │ • 内存限制 │ │ • 服务网格 │ │ • 系统调用 │ │ • 告警通知 │ │
│ │ • 存储限制 │ │ • 防火墙 │ │ • 文件监控 │ │ • 事件响应 │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
供应链安全
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 源码管理 │───▶│ 构建安全 │───▶│ 分发安全 │───▶│ 部署安全 │ │
│ │ │ │ │ │ │ │ │ │
│ │ • 代码签名 │ │ • 安全构建 │ │ • 私有仓库 │ │ • 准入控制 │ │
│ │ • 访问控制 │ │ • SBOM生成 │ │ • 传输加密 │ │ • 策略验证 │ │
│ │ • 审计日志 │ │ • 漏洞扫描 │ │ • 访问控制 │ │ • 运行时验证│ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘云原生优势与挑战
优势
技术优势
┌─────────────────────────────────────────┐
│ 技术优势 │
├─────────────────────────────────────────┤
│ 弹性扩展: │
│ • 自动水平扩展 │
│ • 按需资源分配 │
│ • 负载自适应 │
│ │
│ 高可用性: │
│ • 多副本部署 │
│ • 故障自动恢复 │
│ • 跨区域容灾 │
│ │
│ 快速交付: │
│ • 持续集成/部署 │
│ • 蓝绿/金丝雀部署 │
│ • 快速回滚 │
│ │
│ 资源效率: │
│ • 容器化轻量级 │
│ • 资源共享 │
│ • 成本优化 │
└─────────────────────────────────────────┘业务优势
┌─────────────────────────────────────────┐
│ 业务优势 │
├─────────────────────────────────────────┤
│ 创新速度: │
│ • 快速试错 │
│ • 敏捷开发 │
│ • 市场响应 │
│ │
│ 运营效率: │
│ • 自动化运维 │
│ • 统一管理 │
│ • 标准化流程 │
│ │
│ 成本控制: │
│ • 按需付费 │
│ • 资源优化 │
│ • 运维成本降低 │
│ │
│ 风险管控: │
│ • 故障隔离 │
│ • 快速恢复 │
│ • 安全合规 │
└─────────────────────────────────────────┘挑战
技术挑战
┌─────────────────────────────────────────┐
│ 技术挑战 │
├─────────────────────────────────────────┤
│ 复杂性管理: │
│ • 分布式系统复杂性 │
│ • 服务间依赖 │
│ • 调试困难 │
│ │
│ 数据一致性: │
│ • 分布式事务 │
│ • 最终一致性 │
│ • 数据同步 │
│ │
│ 网络延迟: │
│ • 服务间通信 │
│ • 网络分区 │
│ • 性能优化 │
│ │
│ 监控观测: │
│ • 分布式追踪 │
│ • 日志聚合 │
│ • 性能监控 │
└─────────────────────────────────────────┘组织挑战
┌─────────────────────────────────────────┐
│ 组织挑战 │
├─────────────────────────────────────────┤
│ 技能转型: │
│ • 新技术学习 │
│ • 思维模式转变 │
│ • 团队协作 │
│ │
│ 文化变革: │
│ • DevOps文化 │
│ • 持续改进 │
│ • 失败容忍 │
│ │
│ 治理体系: │
│ • 标准制定 │
│ • 流程规范 │
│ • 质量保证 │
│ │
│ 安全合规: │
│ • 安全策略 │
│ • 合规要求 │
│ • 风险管理 │
└─────────────────────────────────────────┘适用场景
理想场景
┌─────────────────────────────────────────┐
│ 理想场景 │
├─────────────────────────────────────────┤
│ 互联网应用: │
│ • 高并发访问 │
│ • 弹性扩展需求 │
│ • 快速迭代 │
│ │
│ 微服务架构: │
│ • 服务拆分 │
│ • 独立部署 │
│ • 技术多样性 │
│ │
│ 数字化转型: │
│ • 传统应用现代化 │
│ • 云优先策略 │
│ • 敏捷开发 │
│ │
│ 创新项目: │
│ • 快速原型 │
│ • 试错成本低 │
│ • 市场验证 │
└─────────────────────────────────────────┘不适用场景
┌─────────────────────────────────────────┐
│ 不适用场景 │
├─────────────────────────────────────────┤
│ 传统单体应用: │
│ • 紧耦合架构 │
│ • 大型数据库 │
│ • 复杂事务 │
│ │
│ 高性能计算: │
│ • CPU密集型 │
│ • 低延迟要求 │
│ • 专用硬件 │
│ │
│ 严格合规: │
│ • 数据本地化 │
│ • 审计要求 │
│ • 安全隔离 │
│ │
│ 资源受限: │
│ • 技术能力不足 │
│ • 预算限制 │
│ • 时间紧迫 │
└─────────────────────────────────────────┘实施策略
渐进式迁移
┌─────────────────────────────────────────────────────────────────────────────┐
│ 渐进式迁移策略 │
└─────────────────────────────────────────────────────────────────────────────┘
阶段1: 基础设施云化
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 物理服务器 │───▶│ 虚拟机 │───▶│ 容器化 │───▶│ 编排管理 │ │
│ │ │ │ │ │ │ │ │ │
│ │ • 硬件资源 │ │ • IaaS │ │ • Docker │ │ • Kubernetes│ │
│ │ • 本地部署 │ │ • 云主机 │ │ • 镜像管理 │ │ • 自动调度 │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
阶段2: 应用现代化
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 单体应用 │───▶│ 服务拆分 │───▶│ 微服务化 │───▶│ 云原生化 │ │
│ │ │ │ │ │ │ │ │ │
│ │ • 传统架构 │ │ • 模块分离 │ │ • 独立服务 │ │ • 12因子 │ │
│ │ • 紧耦合 │ │ • API设计 │ │ • 服务网格 │ │ • 可观测性 │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
阶段3: 流程自动化
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 手动部署 │───▶│ CI/CD │───▶│ GitOps │───▶│ 全自动化 │ │
│ │ │ │ │ │ │ │ │ │
│ │ • 人工操作 │ │ • 自动构建 │ │ • 声明式 │ │ • 自愈能力 │ │
│ │ • 易出错 │ │ • 自动测试 │ │ • 版本控制 │ │ • 智能运维 │ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘
阶段4: 平台化运营
┌─────────────────────────────────────────────────────────────────────────────┐
│ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ │
│ │ 基础平台 │───▶│ 开发平台 │───▶│ 运营平台 │───▶│ 生态平台 │ │
│ │ │ │ │ │ │ │ │ │
│ │ • 容器平台 │ │ • 开发工具 │ │ • 监控运维 │ │ • 开放API │ │
│ │ • 基础服务 │ │ • 测试环境 │ │ • 成本管理 │ │ • 第三方集成│ │
│ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ │
└─────────────────────────────────────────────────────────────────────────────┘成功关键因素
┌─────────────────────────────────────────┐
│ 成功关键因素 │
├─────────────────────────────────────────┤
│ 领导支持: │
│ • 高层承诺 │
│ • 资源投入 │
│ • 变革推动 │
│ │
│ 团队能力: │
│ • 技能培训 │
│ • 经验积累 │
│ • 知识分享 │
│ │
│ 技术选型: │
│ • 成熟技术 │
│ • 社区支持 │
│ • 长期规划 │
│ │
│ 渐进实施: │
│ • 小步快跑 │
│ • 持续改进 │
│ • 风险控制 │
└─────────────────────────────────────────┘总结
云原生架构代表了现代软件开发和部署的最佳实践,它不仅仅是技术的革新,更是思维方式和组织文化的转变。通过容器化、微服务、DevOps和持续交付等核心技术,云原生架构能够帮助组织构建更加灵活、可扩展和可靠的应用系统。
核心价值:
- 敏捷性:快速响应业务需求变化
- 弹性:自动处理负载变化和故障
- 效率:提高开发和运维效率
- 创新:降低试错成本,促进创新
实施建议:
- 从小做起:选择合适的项目进行试点
- 技能建设:投资团队技能培训和能力建设
- 文化转型:培养DevOps文化和持续改进意识
- 工具链建设:建立完整的云原生工具链
- 安全优先:将安全融入到整个开发生命周期
云原生架构的成功实施需要技术、流程、文化和组织的全方位变革。只有在这些方面都做好准备的情况下,才能真正发挥云原生架构的优势,实现数字化转型的目标。