中国电信PaaS治理体系实践总结
1. 开源软件使用现状
- 广泛使用:所有被分析的2557个国内企业软件项目均使用开源软件,最多项目使用了3878个开源软件,平均每个项目使用126个开源软件。
- 安全漏洞:大多数软件项目存在已知开源软件漏洞,其中89.2%的项目存在已知漏洞,80.6%存在高危漏洞,70.5%存在超危漏洞。
- 老旧版本:许多项目使用了十几年前发布的开源软件版本,如Apache Xalan 2.5.D1(2003年发布,已有18年历史),且部分项目中存在十几年前公开的漏洞。
2. 中国电信PaaS治理体系
- 上云转变:从“上云1.0”(去IBM小机和EMC存储,承载在X86的虚拟机上)升级至“上云2.0”,实现应用解耦、能力开放和流程重构。
- PaaS治理:
- 统一运营:实现八统一运营,包括统一北向接口、统一PaaS配置、统一PaaS清单、统一技术检测、统一版本运营、统一集中监控。
- 组件管理:构建自研和原生组件清单,确保安全可控。
- 研发云翼:开发云翼PaaS平台,实现分布式云化架构的部署自动化、配置标准化、实施流程化。
- 技术检测:制定PaaS组件配置规范,形成指导意见,涵盖安装前准备、命名规范、安装规划、安全配置要求及建议配置。
- 北向接口:全网集中监控,支持全国各类资产报表,实时更新资产数据,查看周期性资产增减动态,支持动态聚合统计。
- 自动巡检:通过北向接口采集运行数据,生成北向接口日志指标,确保组件运行正常。
3. 关键组件清单
- 自研组件:
- 数据库:CTG-TELEDB, CTG-UDAL, HBase, TelePG, CTG-GDB
- 分布式缓存:CTG-CACHE
- 分布式消息中间件:CT-GMQ
- 分布式小文件系统:CTG-DFS
- 密集计算框架:FM-MJJS
- 容器管理框架:CCSE
- 负载均衡组件:CTG-SLB
- 分布式任务调度:CTG-DTTS
- 跨IDC数据同步:CTG-IDC-SYN
- DevOps套件:云道
- 北向接口:采集系统
- 原生组件:
- 时序数据库:OpenTSDB
- 分布式消息中间件:kafka
- 分布式服务框架:SpringCloudDubbo
- 并行计算框架:Spark
- 高可用:Keepalived
- Web容器:Tomcat, apache
- 基础环境:CentOS
- 日志处理:ELK
- 运维工具:Zabbix, Pinpoint, Zipkin, ansible, prometheus, Grafana
- 数据仓库:Hive
- 数据查询:Impala
- 大数据安全组件:Kerberos, OpenLDAP, sentry, ranger
- 流处理框架:Flink
- 机器算法类:TensorFlow
- 分布式协同:ZooKeeper
- 图形化工具:Hue
- 分布式对象存储:Ceph
- 开放平台:istio
- 数据采集工具:Flume
- DAG计算引擎:Tez
- 分布式列式存储系统:Kudu
- 分布式数据分析引擎:Presto, Kylin
- 开源列式数据库:Clickhouse
总结
中国电信通过构建PaaS治理体系,实现了从上云1.0到2.0的转变,解决了开源软件的安全性和运维难题,提升了应用的灵活性和稳定性。通过统一管理和规范使用自研和原生组件,实现了高效、安全的云化部署与运维。
