ApeCloud
开源社区关于我们

PaaS 平台构建

本文阐述了企业级平台即服务(Platform as a Service, PaaS)构建的综合解决方案,重点分析了当前企业在数字化转型过程中面临的关键挑战,并提出了基于云原生技术的系统性解决方案。文档涵盖了数据主权保障、安全合规要求、极致 SLA 要求等核心业务场景,深入探讨了软件供应链安全、研发投入可持续性以及资源运营成本对技术的挑战,最终提出了基于 KubeBlocks Enterprise 的云猿生数据 PaaS 平台构建方案。

客户场景

01 数据主权保障

02 安全合规需求

03 极致 SLA 要求

电信运营商

IaaS

PaaS

随着国际经济摩擦加剧和地缘政治格局日趋复杂,各国出于维护国家安全、经济主权和战略自主权的考量,对关键企业数据存储与处理的主权归属问题高度重视。作为国家信息基础设施的核心承载者,多个国家的电信运营商纷纷推出了公有云产品,承载了政府机构、国有企业及关乎国计民生的重要业务数据,确保国家数据主权安全。

从基础的 IaaS 产品起步,它们正在面临构建 PaaS 平台的迫切需求。除了需要确保底层系统架构、数据流转机制、运维管理流程全面合规外,它们还需要确保平台具备强大的供应链保障和抵御各种攻击的能力。

金融机构

合规挑战

竖井式系统建设模式

随着国际金融监管标准不断提升和数据跨境流动限制日趋严格,金融机构面临着愈发严峻的合规挑战。国有银行、股份制银行作为金融体系的重要支柱,其 IT 基础设施呈现出架构复杂、规模庞大的特征,需要处理海量客户交易数据和敏感个人信息,并严格遵循人民银行、银保监会等监管机构制定的各项合规标准。传统的竖井式系统建设模式已难以适应当前的监管要求。

在竖井式系统建设模式下,各业务系统相对独立,运维管理高度依赖人工操作和定制化脚本,缺乏统一的自动化管理机制,不仅运维效率低下,更难以实现监管所要求的操作标准化和全程可追溯。为应对这一挑战,银行业亟需构建统一的 PaaS 平台,通过标准化、自动化的管理方式,实现对数据库、中间件组件的统一治理和全链路合规监控,为金融业务的安全稳定运行和数字化转型升级提供有力支撑。

企业核心竞争力

主流云厂商

标准SLA (服务等级协议)

在数字经济竞争白热化的时代,用户体验已成为企业核心竞争力的关键指标。以搜索引擎、社交平台、电商网站为代表的头部互联网企业,面临着全天候、高并发的业务挑战,承载着数亿用户的服务期待。

对于这些企业而言,任何服务中断或性能波动都可能引发用户大规模流失,造成不可估量的品牌危机和商业损失。主流云厂商提供的标准 SLA 以及其隐含的响应时间波动往往低于头部企业的技术要求,迫使头部企业只能通过自建 PaaS 平台的方式来获得更高的服务品质。

问题挑战

软件供应链安全挑战

构成 PaaS 平台的软件来源多且杂,其中既有社区提供的开源软件(如 MySQL、Redis),也有企业提供的商业软件(如 Oracle、SQL Server),还有 PaaS 平台自身的各种组件。这些软件各自拥有缺陷管理系统,通过发布小版本来解决代码中存在的漏洞和 Bug。

遗憾的是,虽然软件供应商已经竭尽全力修复缺陷,但实际上客户生产环境内运行的软件大多还是存在问题的老版本,主要有三个原因:一是软件供应商发布了最新版本的软件,需要被客户获取并集成到自身的发布系统或者流程中,有一定的开发测试工作量;二是客户需要灰度升级存量的集群和实例,防止出现规模性故障;三是客户需要根据业务特点安排生产系统的升级时间,尽量减少对核心业务的影响。只有完整考虑到了软件供给和存量升级策略,PaaS 平台才能真正快速修复软件供应链导致的安全问题。

研发投入可持续性挑战

PaaS 平台的研发资源需求取决于底层 IaaS 基础的复杂度、数据引擎种类的丰富度以及供给模式的多样性。构建一个支持固定 IaaS 组合以及少量数据引擎的 PaaS 平台,消耗的研发资源相对可控。但是考虑到 IaaS 已经从物理机发展到容器、物理网络发展到 SDN、本地存储发展至 SDS,PaaS 已经囊括了各种 OLTP、OLAP、消息队列等数据引擎,以及业务方不断变化的可用性、性能与成本的组合要求,PaaS 平台的研发资源需求愈发呈现失控的态势。

PaaS 平台研发团队需要回答如下问题:如何用更少的专家支撑更高的业务量?如何用更少的资源形成长期的技术储备?用最小的投入形成最大的创新价值,才能真正解决研发资源可持续性的问题。

资源运营成本压力挑战

无论是对外提供服务的 PaaS 产品还是对内提供服务的 PaaS 平台,最终用户对使用成本都极为敏感,通常会以公有云折扣后价格作为使用成本的对比标准。因此公有云价格的频繁下调会对 PaaS 平台的资源使用效率不断提出更高要求。首先,PaaS 平台是否与 IaaS 基础共享计算、存储、网络资源,让最底层的物理服务器在同一个资源池里面?

其次,PaaS 平台管理的数据引擎是否使用了的动态调度策略,避免了资源碎片化?最后,PaaS 平台是否为不同的资源使用行为设计了丰富的规格体系,保证波峰波谷尽量平缓?通过技术手段对资源进行动态调配,在不影响稳定性的情况下提供最高效的资源使用率,是 PaaS 平台在运营过程中时刻面临的压力。

解决方案对比

维度:1-5 分
公有云产品的私有化部署
基于第三方 PaaS 平台定制
数据引擎附带的管理软件
数据主权与安全合规
研发与运维成本
技术自主性与可控性
服务能力

云猿生数据 PaaS 平台构建方案

云猿生数据 PaaS 平台构建方案基于 KubeBlocks Enterprise 实现,可以管理数据库和中间件等数十种数据引擎,不仅仅支持单机/集群拓扑的部署、垂直和水平扩缩容、小版本升级、参数管理、指标监控、日志采集和审计、数据备份和恢复,还支持库表结构变更、数据迁移、数据容灾、AI 诊断等高级能力。

云猿生数据 PaaS 平台构建方案基于容器实现,可以运行在各种硬件设备和虚拟化平台上,能够充分利用存量的计算和存储资源,助力企业摆脱厂商的束缚。相对于其它第三方 PaaS 平台方案,云猿生数据的解决方案有如下几个特点:

01 全方位的缺陷管理流程和升级策略

在数据引擎领域,厂商往往通过发布小版本来修复 bug 和安全漏洞。云猿生数据在开发 KubeBlocks Enterprise 的过程中,将软件供应链的安全保障深度融入了 CI/CD 流程,针对数据引擎的缺陷发现和版本更新构建了 “检测 - 修复 - 验证 - 部署” 闭环,让数据引擎的版本更新从 “人工被动响应” 变为 “自行主动防御”,构筑了持续可控、快速迭代的安全底座,最终实现 PaaS 平台稳定运行。

缺陷响应机制

采用静态分析与动态监测相结合的技术架构,依托先进的语义分析和特征提取算法,对容器镜像、文件系统、Kubernetes 集群等关键目标进行多维度检测。CI/CD 流程一旦识别漏洞并检测到新的引擎版本,将自动触发 “小版本更新流程”:拉取新版本、对比 SBOM 差异、完成功能回归测试。缺陷响应机制能够在 24小时内完成对小版本更新的支持,保障了客户能够及时获得缺陷修复能力。

无缝升级验证

CI/CD 流程包含了核心功能回归测试(如事务、查询优化,确保升级无退化)、协议兼容性测试(模拟交互,确保 API、网络协议不变)、性能基准测试(通过工具对比新旧版本集群 QPS、响应时间等)、数据一致性(包含数据迁移与副本同步),确保客户能够拥有无缝升级小版本的能力。

多运行环境灰度发布

用户可以逐步升级开发环境、测试环境、预发环境、生产环境,分阶段地对数据引擎的新版本进行验证,进一步控制风险。

副本版本滚动升级

通过滚动升级减少不可用时间,每次升级都只发生在备用的副本上。除此之外,升级小版本之前会自动触发备份,确保滚动升级回滚失败的情况下还可以通过恢复能力还原出升级前的数据,让用户有更强的信心通过小版本升级修复缺陷。

02 多层次的抽象设计节省研发资源

云猿生数据 PaaS 平台构建方案充分挖掘了 Kubernetes 生态的价值,通过 CNI(容器网络接口)和 CSI(容器存储接口)实现了网络和存储接口的统一,能够快速接入各种网络软硬件厂商和存储软硬件厂商的产品。目前云猿生数据的 PaaS 平台构建方案已经默认支持了 Calico、Cilium 等网络插件和本地盘、NAS、IP-SAN 等存储设备。除了使用 CNI 和 CSI 外,云猿生数据 PaaS 平台构建方案对常见数据引擎的拓扑结构和运维功能进行了抽象,成功控制了每一个新数据引擎接入的研发成本。

该抽象设计含有四层结构,其中 Cluster 对应不同数据引擎集群(比如 MySQL 集群),Component 对应数据引擎集群内的各种组件(比如 MySQL Server、MySQL Proxy),InstanceSet 对应组件内副本的角色(比如 主、备),Instance 应对具体的某个副本。借助这些概念,即使不懂数据引擎的实现细节,一个普通水平的研发工程师也能较高水平地快速实现数据引擎的部分管理功能。借助 CNI、CSI 和 KubeBlocks 的引擎抽象能力,云猿生数据 PaaS 平台构建方案成功拆解了 PaaS 平台的功能边界,降低了 PaaS 平台的迭代工作量和对技术专家的经验要求,保障客户以较小的投入获得更大的产出,实现可持续发展。

03 混合部署和动态调度提升资源利用效率

大多数 PaaS 平台采用了烟囱式架构,每种数据库引擎都是一个割裂的资源池,资源整体供给不足与局部浪费并存。云猿生数据 PaaS 平台构建方案采用了统一管理架构,通过混合部署技术实现了资源并池,扩大资源调度的范围,提升了资源使用的效率。云猿生数据 PaaS 平台构建方案还支持用户对集群副本的CPU、内存上下限进行灵活定义,根据业务等级提供独占、独享、共享三种类型的规格,帮助用户获得成本、性能和稳定性的最佳平衡。

在动态调度方面,云猿生数据 PaaS 平台构建方案采用智能调度算法,提供两种策略选择:一是平均利用所有主机的策略,通过均衡分布负载减少资源冲突;二是最多空闲主机的策略,集中使用部分主机资源,最大程度保留或下线空闲主机,从而提升整体集群利用率。通过这些技术手段,云猿生数据 PaaS 平台帮助客户获得了应对资源运营成本压力挑战的能力。

客户价值

对于需要构建 PaaS 平台的客户而言,云猿生数据 PaaS 平台构建方案提供了以下价值

价值维度
具体体现
客户收益
技术领先性
Kubernetes + 容器的技术选型,符合发展趋势面向未来构建数据基础设施,为业务方提供敏捷优质的服务
平台安全性
主动响应软件供应链上的新版本,提供快速修复缺陷的功能24 小时内获得最新的小版本,根据业务需求在低峰期进行滚动升级
功能研发效率
对存储、网络、数据引擎进行了抽象设计,复用社区和其它厂商的能力提升新功能研发效率减少了研发资源投入的门槛,降低了对研发工程师个人能力的要求
资源使用效率
多数据引擎混合使用一个资源池,多种规格复用 CPU 和内存资源,动态上下线服务器节点降低 30%~50% 服务器与商业版数据引擎的 License 费用
风险规避
厂商中立的 KubeBlocks 开源社区客户可以选择任何一种硬件和软件