首页 > 其他分享 >案例分享:某银行客户的软负载技术方案

案例分享:某银行客户的软负载技术方案

时间:2024-01-08 11:06:18浏览次数:34  
标签:负载 FLB Flomesh 网关 流量 案例 分享 节点

背景

随着业务发展和技术创新,银行正迅速拥抱云计算架构,以期提供更灵活、可扩展的基础设施,迅速推出新服务并保障操作安全稳定。这一转型面临多重挑战:多云环境下的集成和兼容性、业务规模变化下的弹性和伸缩性、日益增长的数据安全和合规性要求,以及日渐复杂的 IT 系统管理需求。尤其是,国产化和自主可控性在某些地区和行业变得越发关键,关乎技术独立性和安全。


案例

该客户是一家领先的金融机构,面临着日益增长的监管要求和市场竞争。为了保持其市场领先地位,该客户决定重构其 IaaS 底层技术,采用全新的异构云计算技术架构,同时补充软件定义网络核心技术栈,并引入了 Kubernetes 架构。这一转型的核心之一就是实现多供应商和多云产品之间的流畅集成,以及实现统一的流量管理和调度的标准功能

在多云环境下,集成多个供应商和云产品提升了技术复杂性,需要统一的标准手段来管理和调度不同云环境中的网络流量,同时需要灵活的解决方案来处理技术兼容性的问题。

Flomesh 从众多优秀的供应商中崭露头角,以领先的软件负载均衡技术方案 FLB(Flomesh Load Balancer)以及在银行业深耕多年的专业经验,获得了该客户的青睐。


应用场景

软件负载均衡(软负载)在软件定义网络(SDN)环境中可以被视为一种高效实现,提供网络资源的高度灵活性和可编程性,允许通过中央控制器动态调整网络流量,为实现包括负载均衡在内的多种网络功能提供基础。这种流量管理的方式更加灵活和智能化,提高了网络的性能和效率,使得不同的网络服务能够更好地协同工作。软负载的策略和规则可以自动调整,实现流量分配的自动化和优化。这种自动化程度是传统硬件负载均衡器难以比拟的。

裸金属 ELB

在裸金属环境中,Flomesh 的 ELB 解决方案专门设计来应对高性能要求和低延迟的挑战,实现了高效的 TCP 负载均衡。通过优化 TCP 负载均衡,FLB 确保即使在最密集的流量下,金融服务也能保持稳定和高效,从而满足金融机构对即时交易处理的关键需求。它与 Kubernetes 平滑集成,方便地支持服务的接入和管理。

7 层 ALB

在处理应用层协议的场景中,Flomesh 的 ALB 方案重点解决数据安全和复杂流量管理的问题。通过集成国密 TLS 加解密和提供细致的安全控制(如黑白名单和身份验证),FLB 确保敏感的金融数据在传输过程中得到充分保护,同时保持流量高效和安全地管理。

内外网流量网关

Flomesh 的流量网关功能专门为跨网络分区的流量管理而设计,有效应对金融机构在内网和外网之间数据传输的安全和效率挑战。该方案提供的安全加密通道和基于源地址的访问控制确保金融交易和客户数据即使在复杂的网络环境中也能安全、顺畅地流转。


技术方案

案例分享:某银行客户的软负载技术方案_网络安全

从整个技术架构来看,Flomesh 软负载技术方案包括控制面和数据面两个部分。

  • 控制平面:部署在容器平台中,包含了控制器 FSM Manager、图形用户界面 Flomesh GUI、管理后端、持久化存储。一方面通过对外的标准 REST 接口与现有平台集成,打通权限、多租户管理;另一方面,提供与标准可观测平台的兼容能力,可以与已有的监控平台兼容。
  • 数据平面:数据平面是真正处理流量的抽象组件,包含了 裸金属 ELB、容器平台的 Ingress、API 网关和内外网流量网关。

裸金属 ELB

ELB 负责将入站流量转发到位于容器平台的工作负载,达到暴露容器平台服务的目的。

实现原理:

  • 图形用户界面 flomesh-gui 作为管理后端的前端运行,提供可视化的操作。管理员通过 GUI 为服务分配 VIP 地址库。
  • 控制器 FSM Manager 监控 Load Balancer 类型 k8s service 的创建,通过管理后端的 REST 接口从 VIP 地址库中获取 VIP,并将其绑定到 service 上。同时,还会将 service 对应的 endpoints 信息上报到管理后端,作为 ELB 负载均衡的上游地址。
  • Pipy ELB 运行在裸金属上,从控制台获取 VIP 以及上游 endpoints 等信息,运行在同节点的 Pipy Speaker 通过 BGP 宣告将 VIP 地址发送给交换机。
  • 当通过 VIP 访问服务的时候,流量通过交换机路由表达到 Pipy ELB。Pipy ELB 通过负载均衡信息,将流量转发到 endpoint,即 Pod IP 地址。

7 层 ALB

ALB 是 FLB 的另一个重要组成部分,ALB 工作在 OSI 模型的第 7 层,处理 HTTP 等 7 层的协议,提供国密 TLS、加解密的支持;在容器平台提供 Ingress Controller 实现,作为容器平台的流量入口;在功能上提供黑白名单、限流限速、身份认证等安全控制。可以根据到达的流量情况对 ALB 进行横向扩展,以支撑目标的流量负载。

实现原理:

ALB 收到请求后,根据流量的特征确定要应用的规则,然后从候选目标中选择目标进行流量的转发。可以根据需求更新目标的信息,而不会中断应用程序的流量。ALB 也会监控目标的健康状况,将流量只转发给健康的目标。

HTTP 的路径、主机、标头、参数等信息均可以作为作为流量特征,以此可以制定灵活的流量规则。

内外网流量网关

Flomesh 流量网关功能是 FLB 中的重要功能之一,用于提供跨网络区域的安全加密通道,实现基于源地址的访问控制、加密传输、多路复用、流量审计与负载均衡功能。

案例分享:某银行客户的软负载技术方案_流量管理_02

流量网关功能包含三个组件,分别是:

  • Pipy BGP Speaker,负责维护节点与交换机的 BGP 邻居状态,并宣告高可用 IP。
  • Pipy Tunnel External 节点(简称 PTE 或流量网关入口),客户端访问的流量入口。
  • Pipy Tunnel Internal 节点(简称 PTI 或流量网关出口),承接来自 PTE 的流量,不对下游客户端开放。

实现原理:

  • DMZ 区隧道节点需要与交换机建立 BGP 邻居(iBGP),用于对服务提供隧道入口的虚拟地址(VIP)。
  • APP 区隧道节点使用本机 IP 地址,作为 DMZ 区隧道节点的上游。需要注意的是,每组 App 区隧道节点最多提供 65535 个隧道,即每个监听的端口提供一个隧道。每组 APP 区隧道节点提供相同的代理服务,提供高可用和负载均衡功能。如需增加隧道数量,则需要增加 APP 区隧道节点的集群数量。
  • 隧道采用 HTTP2 协议,并且通过 SSL 加密。
  • APP 区 Egress 节点需要与交换机建立 BGP 邻居(iBGP),用于对 APP 区服务提供对外访问隧道。
  • 在 DMZ 区,使用单节点 K8s 集群作为 Web 静态服务的资源。后续可根据容量需求,适当增加静态资源集群 K8S 节点数量。
  • 控制面采用容器化部署方式,可管理不同网络区域的隧道节点集群。


收益

引入 Flomesh 后,客户不仅显著提升了云平台的性能和可靠性,还有效降低了运维成本,加强了对金融监管要求的遵循。Flomesh 的解决方案以其卓越的弹性、服务化接口、流量可视化管理,以及国产化的安全特性,为客户的数字化转型提供了强有力的支持。

通过采用 Flomesh 软负载技术,客户不仅满足了对高性能、高可用性和严格安全的需求,还在其云计算环境中带来了前所未有的灵活性和扩展性,巩固了其作为金融领域领导者的地位。

  • 弹性和服务化:FLB 提供了出色的流量调度和横向扩展能力,同时以服务化形态对外提供标准 REST 接口,与平台无缝集成。相比传统硬件产品,Flomesh 在 IP 高可用性和横向扩展方面更加灵活。
  • 标准化:FLB 提供了标准的技术手段,打通了多供应商、多云产品,实现统一的流量管理和调度的调准功能。
  • 可视化:通过 FLB 该客户实现了流量全景可视化,包括日志、指标的监控,以及流量重放和故障回溯功能。
  • 自主可控:FLB 在服务器、硬件和操作系统的选择上都符合国密标准,在安全性和可控性方面具有独特优势,符合国内的法规要求和提高系统的安全性。


总结

通过实施 Flomesh 的软负载方案,客户不仅解决了当前的业务挑战,还为未来的增长和扩展奠定了坚实的基础。

Flomesh 的创新软负载方案的核心特点在于其高度的灵活性和可扩展性,能够适应多云环境和不断变化的业务需求。不仅提高了系统性能和可靠性,还降低了运维成本,并加强了对金融监管要求的遵循。这些优势使得 Flomesh 可以成为金融行业数字化转型的强大助力。

标签:负载,FLB,Flomesh,网关,流量,案例,分享,节点
From: https://blog.51cto.com/u_16455808/9140143

相关文章

  • # yyds干货盘点 # 想要获取某某查上面网址这个数据获取怎么获取呀?超好用工具分享!
    大家好,我是皮皮。一、前言前几天在Python最强王者交流群【哎呦喂 是豆子~】问了一个Python网络爬虫的问题。问题如下:大佬们想要获取某某查上面网址这个数据获取怎么获取呀为什么返回的源码就这一点 有没有什么比较好上手的工具啥的页面图:网络爬虫结果:二、实现过程这里【黑科技......
  • 程序员必知!享元模式的实战应用与案例分析
    享元模式是一种减少相似对象创建和销毁的设计模式,通过将对象状态分为不变和可变部分,实现内存节省和性能提升。例如,在线游戏中大量玩家角色可共享相同的不变属性,而每人特有的可变属性则单独存储,享元模式使用享元类存储不变属性,非享元类存储可变属性,并通过享元工厂管理对象的复用和......
  • MySQL中的索引:深入理解与案例解析
    引言在数据库中,索引是提高查询速度的关键。特别是在MySQL这样的关系型数据库中,索引的作用尤为重要。本文将深入探讨MySQL中的索引,通过案例解析帮助您更好地理解其工作原理和应用。一、索引的基本概念索引是什么?:简而言之,索引是数据库中用于快速查找数据的数据结构。它类似于书籍......
  • openGauss学习笔记-188 openGauss 数据库运维-常见故障定位案例-core问题定位
    openGauss学习笔记-188openGauss数据库运维-常见故障定位案例-core问题定位188.1磁盘满故障引起的core问题188.1.1问题现象TPCC运行时,注入磁盘满故障,数据库进程gaussdbcore掉,如下图所示。188.1.2原因分析数据库本身机制,在磁盘满时,Xlog日志无法进行写入,通过panic日志退......
  • 【分布式技术专题】「分析Web服务器架构」Tomcat服务器的运行架构和LVS负载均衡的运行
    内容介绍在本章内容中,我们将深入探讨Tomcat服务器的运行架构、LVS负载均衡的运行机制以及Cache缓存机制,并提供相应的解决方案和指导。通过理解这些关键概念和机制,您将能够优化您的系统架构,提高性能和可扩展性。Servlet容器和Tomcat服务器Servlet容器是为JavaWeb应用提供运行时......
  • 【深度学习】从0到完整项目第1篇:深度学习第一个案例(代码文档已分享)
    本系列文章md笔记(已分享)主要讨论深度学习相关知识。可以让大家熟练掌握机器学习基础,如分类、回归(含代码),熟练掌握numpy,pandas,sklearn等框架使用。在算法上,掌握神经网络的数学原理,手动实现简单的神经网络结构,在应用上熟练掌握TensorFlow框架使用,掌握神经网络图像相关案例。具体包......
  • Capture One Enterprise最新版软件介绍及资源分享
    软件介绍:CaptureOneEnterprise中文免激活版通过定制色彩配置文件,为500多种相机配置精准颜色。缩短导入和导出时间,获得顺畅的编辑体验。通过一大套精确的色彩编辑工具,轻松实现您的创意愿景。通过先进可靠的联机拍摄解决方案,即时抓拍、查看、编辑图像。使用可定制界面节省时间和精......
  • Luminar Neo 图片编辑软件分享
    软件介绍:LuminarNeo是一款完全由人工智能支持的图像编辑器,是Luminar4的进阶版本。借助LuminarNeo,有更多方法可以改善您的图像。您将找到一个完整的“编辑”模块,该模块具有完美组织的工具和精巧的界面,减少了混乱的操作步骤。LuminarNeo还有几项Luminar4所没有的新技术可为您的......
  • 【专题】数字政府建设与发展研究报告(2023年)报告PDF合集分享(附原数据表)
    原文链接:https://tecdat.cn/?p=34139随着国家加快发展数字经济的政策逐步落实,超能云终端市场前景广阔。数字经济的快速发展将促进数字经济与实体经济的深度融合,推动数字产业集群的建设,从而为超能云终端在企业中的应用提供更加广阔的市场。阅读原文,获取专题报告合集全文,解锁文末2......
  • 【专题】2023中国电商营销趋势及增长策略研究报告PDF合集分享(附原数据表)
    原文链接:https://tecdat.cn/?p=34782原文出处:拓端数据部落公众号全球电商市场在疫情后持续发展,其中,中国市场占据了半壁江山,对全球电商格局产生了重大影响。阅读原文,获取专题报告合集全文,解锁文末213份电商营销相关行业研究报告。在中国,三至五线城市的城镇人口众多,约占总城镇人......