预览加载中,请您耐心等待几秒...
1/10
2/10
3/10
4/10
5/10
6/10
7/10
8/10
9/10
10/10

亲,该文档总共19页,到这已经超出免费预览范围,如果喜欢就直接下载吧~

如果您无法下载资料,请参考说明:

1、部分资料下载需要金币,请确保您的账户上有足够的金币

2、已购买过的文档,再次下载不重复扣费

3、资料包下载后请先用软件解压,在使用对应软件打开

医疗制造企业基于ROSA架构支撑海外业务发展实践分享一.背景介绍某医疗制造企业,在疫情环境之下急速发展,业务规模迅速扩大,海外市场订单暴增,该医疗企业及时抓住国际市场机遇,树立自身的国际品牌形象,在提升医疗制造技能的同时更注重IT建设和服务创新。为了能迅速支撑并服务激增的海外业务,该医疗企业在海外亚马逊云科技公有云环境借助OpenShift托管服务,迅速搭建起云原生的开发和运行环境,令海外业务系统准时上线,紧跟业务的步伐,也充分体现了IT对业务的支持与促进作用。二.ROSA概述OpenShift是一个企业级的Kubernetes容器平台,它为企业应用系统的开发和运行提供了一个易扩展、可信任的容器环境。OpenShift扩展了Kubernetes容器编排平台,内置企业级应用扩展组件,以增强企业级应用的生命周期管理能力,从开发到运维能力的增强再到安全项的加固。借助OpenShift,用户可以在混合云、多云的环境中实现工作负载的持续集成和持续部署。OpenShift扩展了KubernetesROSA是RedHatOpenShiftServiceonAmazonWebServices的简称,它是红帽容器平台OpenShift在亚马逊云科技上的托管服务。用户可以在ROSA上快速构建和部署业务应用,不需要过多的关心底层基础设施的搭建和运维,因此ROSA的用户更能关注于企业的业务价值,而不是与企业业务无关的环境和不同基础设施的适配。用户自己搭建和运维的OpenShift集群亚马逊云科技和红帽的站点可靠性工程(SRE)专家负责管理和运维底层平台,因此用户不必担心复杂的基础架构层管理工作。ROSA还提供了与亚马逊云科技的计算、存储、网络、数据库、分析工具、机器学习、移动应用等服务的无缝集成,在加速用户业务系统的构建与交付的同时也节省了用户的运维成本。由SRE管理和运维的ROSA托管服务三.系统部署设计ROSA架构支持多种网络配置类型:公共网络、专用网络和亚马逊云科技PrivateLink网络,可满足不同用户的安全需求。该医疗制造企业把ROSA的OpenShift创建在独立的私有网络中,通过亚马逊云科技的负载均衡器对外提供业务访问,不直接被外部访问,如业务负载需要访问外网,则通过NAT网关间接访问,业务负载分布在多个高可用区中保证其高可用性。ROSA的管理员和开发人员与OpenShift分布在不同的VPC(VirtualPrivateCloud)私有网关中,私有VPC直接通过亚马逊云科技中转网关(TransitGateway)连接,如果需要从外网对业务负载或OpenShift容器平台进行管理,则需要通过对外子网的堡垒机再次跳转,这样在保证安全性的同时也不失其灵活性。系统部署架构四.系统存储设计系统的有状态应用持久化到云原生存储ODF(OpenShiftDataFoundation)中,ODF是基于Ceph、Noobaa和Rook软件组件的云原生存储、数据管理和数据保护组合。其中,Ceph提供对象、块和文件存储。Noobaa抽象出跨混合多云环境的存储基础架构,并提供数据存储服务管理。Rook编排了多个存储服务,每个服务都有一个Kubernetes算子,可用于设置Ceph集群。数据的可靠性和完整性由Ceph的3副本保证,在ROSA环境中,ODF创建在亚马逊云科技的EBS(ElasticBlockStorage)上,多份EBS均匀地分布在3个高可用区中,Ceph在EBS之上池化并对外提供对象存储、块存储和文件存储,满足云原生所有场景的存储需求。Ceph的3副本分布在亚马逊云科技的3个高可用区中,因此能保证数据的可用性和完整性。系统存储架构五.系统安全设计系统的安全设计已考虑到多层次、多维度的安全保障:系统层面、网络层、容器层、应用层、数据层、用户层,主要设计如下:1.系统层安全系统层面安全是ROSA所运行的基础设施上的操作系统,在这层提供的安全保障措施包括:操作系统自身的安全ROSA的容器平台(OpenShift)部署在RedHatCoreOS(RHCOS)操作系统上,RHCOS是红帽专门针对容器提供的云操作系统,它继承了红帽企业操作系统(RHEL)的稳定、安全同时,针对容器云环境做了加固,内置容器运行环境所必须的软件包,去除了支撑容器运行外的非必要、有安全隐患的软件包。RHCOS的用户空间是只读的,这就有效的避免了潜在的、对操作系统的恶意攻击,当系统维护人员需要维护操作系统时,需要通过最初安装时指定的sshkey才能登录。操作系统安全性扫描RHCOS可以满足第三方安全管理系统的要求,接受相关第三方安全系统对本平台的服务器操作系统层面的安全扫描和检查,即使通过补丁升级等方式满足最新的操作系统安全要求。2.网络层安全OpenShift容器平台(以下简称为