作者: 白慕、长虑
从“上云”到“云上”原生,云原生提供了最优用云门路,云原生的技术价值已被宽泛认可。以后行业用户全面转型云原生已是大势所趋,用户侧云原生平台建设和利用云原生化革新过程正在减速。
然而,云原生简单的技术栈和传统 IT 的历史包袱给用户带来了微小挑战, 针对平台建设和利用革新的能力要求短少对立标准成为企业转型的最大阻碍。在用户侧, 企业执行层面存在“三难”问题,即诊断难、布局难、选型难,需要和供应不能精准对应,短少权威建设指南;在技术供应侧, 技术迭代减速,产品能力构建短少行业“灯塔”,技术押宝的危险掣肘倒退。
正因如此,想要推动云原生技术的规模化利用,云原生产业仍需买通供需最初“一公里”。在此背景下,中国信通院联结业界 20 余家单位近 40 名专家、历时 1 年,实现了国内首个云原生能力成熟度模型规范体系的编撰,并实现首批评估工作。阿里云是国内首个通过云原生能力成熟度模型测评的企业,并在 最终信通院颁布的测评后果中取得国内惟一全域(资源管理域、运维保障域、研发测试域、应用服务域)最高等级认证。
总体介绍
云原生的趋势
首先咱们先总体介绍一下云原生成熟度相干规范的产生背景,以及以后云原生的发展趋势,包含技术架构、业务利用和架构平安三个方面去做具体的规范解读,以及对阿里云测评后果的剖析。
过来几年,云原生技术失去了高速倒退,云原生技术可能给企业带来利用开发效率的大幅晋升。IDC 预测,到 2024 年,因为采纳了微服务、容器动静编排和 DevOps 等技术,新增的生产级云原生利用在新增利用的占比,将从 2020 年的 10% 减少到 60%;到 2024 年,数字经济的倒退将孕育超过 5 亿个新利用和服务。这与过来 40 年间呈现的利用数量相当。同时到 2025 年,超过一半的中国五百强企业将成为软件生产商,超过 90% 的应用程序为云原生应用程序。到 2025 年,三分之二的企业将每天公布新版本的软件产品,这都是云原生技术倒退可能给企业带来的直观的扭转。
云原生技术已大规模进入企业生产环境
在去年信通院公布的《中国云原生用户考察 2021》中,咱们也看到,有 靠近半数 的企业客户曾经把容器技术利用在外围生产环境中。在微服务畛域,超过八成 的用户曾经采纳或打算采纳微服务架构进行利用开发。微服务曾经成为了利用开发的架构优选;在 Serverless 畛域,它作为云原生畛域一个新兴的技术演进方向,目前已在外围业务中应用,Serverless 的用户也曾经靠近了两成,已开始和打算应用 Serverless 技术的用户 超过七成, 市场的后劲是十分大的。
云原生技术价值已被认可,规模化利用仍有瓶颈
在这种状况下,大量的企业客户一方面认同云原生技术可能带来的价值晋升,比如说晋升资源利用率,晋升弹性伸缩效率,晋升交付效率,晋升零碎运维效率等等。并且从趋势来看,2021 年对于这些价值的认同点相较 2020 年失去了大幅晋升。也就是说,企业客户对于云原生价值的认同感是大幅度的提 升。
然而同时咱们也看到,企业客户对于云原生技术选型存在的顾虑,也在肯定水平上减少了,次要包含大规模利用云原生技术时,对于 安全性、可靠性、性能和业务连续性 方面的顾虑。同时对于高速倒退的技术栈带来的适度简单、学习老本高的问题,也是企业客户十分关注的点。
云原生产业供需仍需买通最初「一公里」
所以咱们能够看到,包含咱们在跟很多客户去做沟通的时候,也看到企业客户在面对云原生技术的时候,通常处于一个比拟纠结的状态。一方面寄心愿企业的 IT 架构可能享受技术倒退的红利,实现降本增效。然而同时又因为简单的技术,或者是对于本人的技术人员以及相干技术的控制力有余,可能带来的一系列问题有十分大的顾虑。咱们简略把这些顾虑分成 供应侧 和需要侧 两端来看,在企业客户执行面的确存在 诊断难、布局难、选型难 等问题。
- 站在技术供应的角度来看,技术倒退及产品的倒退脉络是很难把握 的。因为云原生技术它不像中间件或者是虚拟化技术曾经倒退了很长一段时间,云原生技术通过了六年的高速倒退,其中也是经验了十分多技术路线的扭转。在这个过程中,用户对于倒退脉络其实是比拟难把握的。同时用户的需要又是比拟多变的,短少一个主线,同时还蕴含了技术押宝的危险比拟高。
- 在用户需要侧 整体的架构布局不足规范的参照。比方当用户在设计业务零碎架构时,其实没有一个很好的权威阐明怎么去利用云原生技术。同时在建设门路方面,也不够清晰,技术路线庞杂也比拟难筛选,撑持架构的技术水平不足比照。事实需要和供应商能力不能精准对应需要侧的艰难等。
所以站在供应和需要两端来看,咱们其实是短少一个行业权威建设云原生的指南,可能给到企业客户在布局本身 IT 架构原生化的过程中,有一步一步演进的操作指南。这个指南须要解决什么呢?解决用户侧理论问题为导引,并且以行业技术倒退的趋势为指引,来实现用户云原生化的疾速和高效落地。 所以基于一系列问题,阿里云云原生利用平台团队在 2020 年初推出了《云原生架构白皮书》,并于往年全新降级了 2022 版。
全新降级!《云原生架构白皮书 2022 版》重磅公布
《云原生架构白皮书》是把阿里巴巴过来多年在云原生畛域的实际和推动的教训进行了总结和形象,并且咱们在《云原生架构白皮书》中也提出了云原生架构成熟度模型,咱们提出的模型次要蕴含了 服务化能力、弹性能力、无服务器化水平、可观测性、韧性能力、自动化能力 这六个指标维度。并且每个指标维度给出了 0 到 3 分的倒退阶段的评分。客户能够基于这样的一个维度,对于本身的 IT 架构零碎进行一个比拟具体的评分,并且基于总分可能整体地来定级。咱们蕴含了零级、根底级、倒退级和成熟级,基于整体的云原生成熟度模型,能够有助于企业站在一个全局的视角看本人的 IT 架构云原生化的成熟度状况。
阿里云 - 云原生架构成熟度模型(2020)
信通院从 2016 年开始,也开始做云原生相干的行标和白皮书的制订。目前曾经笼罩了像容器、微服务、Serverless 等绝对比拟残缺的云原生评估体系。然而咱们能够看到,过来的行标是一个点状散布的,并不能很好地站在整体的视角去评估整个企业在落地过程中的一个成熟度体现状况。所以在这种状况下,在 2020 年初,信通院牵头拉着三十多家企业一起去独特制订了云原生能力成熟度评估体系。
这个体系倒退到现阶段总共蕴含了三局部内容。第一块是 技术架构的成熟度 ,第二块是 业务利用的成熟度 ,第三块是 架构平安的成熟度。在建设整个成熟度体系的过程中,也是参考了之前由阿里云云原生利用平台团队推出的成熟度模型,并且这个规范还在倒退中。目前曾经进行了新一轮的开会讨论,可能还会新增第五局部应该是云原生中间件的成熟度规范。
信通院云原生标准化工作总览
云原生能力成熟度体系是联接供需双方的重要纽带
咱们来具体看一下信通院的这套云原生成熟度的体系是怎么来建设的。它的外围目标其实就是为了连贯供需双方,加固云原生能力。咱们能够看到,在下图中把它简称为 TAS 三层构造:
在 T 这块就是咱们所说的技术架构成熟度模型,次要是面向供应侧。咱们所谓的供应侧次要蕴含了云原生技术服务商,比如说阿里云或者面对于大客户外部的企业平台的 IT 部门。
在需要侧咱们有业务利用的成熟度,用 A 来示意。需要侧次要是企业的业务线,或者阿里云的业务型企业客户。
同时还有一个负责架构平安的成熟度评估模型,这个是供应侧、需要侧都须要去参考的一个架构平安的成熟度评估体系(S)。
这套体系建设好当前,咱们给企业客户可能带来的价值是什么呢?第一是多维度的把脉,可能精确定位企业云原生化的革新阶段。第二,进行差异化的剖析,具体诊断企业以后云原生能力的建设短板。第三个就是可能基于企业以后的倒退阶段定制化地去做晋升,明确输入企业将来能力、改良方向和打算。
CNMM-TAS(云原生成熟度体系):能力魔方和个性雷达
再来具体拆解一下云原生成熟度这套体系,这其中蕴含一个体系、三个视角和 5 个个性。
所谓的一个体系,就是上文中提到的三角关系:咱们的应用服务域、技术架构域以及架构平安域。三个视角次要是蕴含了业务利用一个建设视角,着眼于业务利用拆合成耦,充沛交融底层架构技术实现的利用韧性,它次要是面向利用架构的合理性视角。
第二个视角是 IT 技术架构平台的视角,着眼于服务全局的技术架构、技术路线和全景能力布局。
第三个视角就是系统安全的视角。平安能力建设视角着眼于新形态技术架构下的端到端的平安防护的能力构建。
基于这样的三个视角,咱们再把它通过五个个性去做个性雷达的具体论述。五个个性次要蕴含了 弹性、自动化、可观测、自愈与高可用。这五个个性也是后续咱们在制订相干的测试用例和评分标准的时候次要参考的五个维度。
云原生技术架构成熟度
接下来,咱们针对云原生能力成熟度模型里最重要的技术架构成熟度,做一个具体的拆解。能够看到,云原生技术架构成熟度模型的第一局部是技术架构。涵盖了四个能力域、12 个过程域、46 个能力子项,以及最终在测评的时候,有 476 个细分的能力要求。通过这样一个测评,可能帮忙用户疾速对照定位技术架构程度,并依据本身业务需要,联合模型的高阶能力,定制技术与架构的演进方向。
能够具体看一下这四个畛域:从底往上,首先是偏差 IaaS 层资源管理域。资源管理又蕴含了交融、调度、存储、计算、网络环境等相干一系列成熟度的规范评估。向上是运维保障域,根底运维、可观测、高可用是运维保障域最重要的三个测评点。
向上是研发测试域,对应的有研发撑持和测试撑持;再往上是 PaaS 层应用服务域。次要蕴含了利用编排部署、利用治理和利用中间件等。基于四个能力域的具体定义,咱们把最终的测评后果分为初始级、根底级、全面级、优良级和卓越级五个成熟度等级。
先来看初始级。初始级的定义次要是技术架构部分范畴开始尝试云原生化利用,并获得初步成效。 这外面次要突出的一个特色就是 容器化。 根底级的定义是技术架构在部分范畴内进行深刻的云原生化利用,获得了比拟良好的一个成果,突出的特色就是 云原生平台化。 全面级的定义是技术架构在更大范畴内的、体系化地利用云原生技术,具备关键技术模块的相干能力,突出的特色就是 体系化。 也就是云原生技术在企业外部的体系化落地。
优良级的定义次要是技术架构全面云原生化,各技术模块高度云原生化,架构的弹性、自动化和自愈能力已有全面晋升,突出的特色就是 规模化 。卓越级的定义是技术架构已实现全面云原生化革新,且每个技术模块性能曾经相当欠缺,可能很好的撑持下层利用,突出的特色就是 智能化。
目前,云原生技术架构成熟度模型参加测评的企业十分多。阿里云是第一批、也是第一家通过测评的企业。
因为整体目前相干的规范的最终定稿还没有公布。所以说当初给大家看到的这个规范,实际上是咱们订正过的版本,而且也不肯定是最终版。所以大家先在这里大略有一个整体的理解就能够了。
阿里云整体测评后果
阿里云是信通院推出技术架构成熟度体系当前,首家残缺通过所有四个云原生能力域、12 个过程域、46 个子项、476 个细分能力要求的厂商,全方位考查了阿里云云原生产品的服务丰盛度与产品能力,最终产生了将近 400 页的测评报告,对每一个能力子项都有十分具体的测评记录,阿里云是国内惟一全域取得最高等级认证的企业。
起源:信通院公开企业测评后果
云原生架构平安成熟度
云原生平安挑战和发展趋势
随着云原生技术架构的演进成熟,在企业应用进行云原生化革新的同时,平安问题也随之而出。咱们晓得,基于传统的平安架构曾经不适用于云原生环境,同时利用侧的容器状态也为架构带来了更多的攻击面,麻利、弹性等云原生特色对传统平安技术也带来了新的挑战。为此,无论是云服务商还是企业用户,都迫切的须要构建本身的云原生的平安防护体系。
在国内,信通院也是最早的一批关注并且投入到云原生平安调研的权威钻研机构。在往年对于云原生用户的调查报告显示,大部分的企业用户曾经意识到了云原生平安能力建设的重要性。而安全性尤其是容器和微服务相干平安问题,也间断两年成为了企业客户在云上关切的最为外围的问题。
在海内,以云原生平安为背景的平安防护实际曾经有一段时间的积攒。咱们能够看到除了政府层面的合规规范的公布外,企业在云上的平安估算也在逐年递增。据往年的云平安调查报告显示,往年企业在平安上的投入占比超过整个企业在云上估算的 20%。
在企业对云原生平安迫切需要的前提下,以云原生平安为背景,也涌现了大量优良的开源我的项目。咱们能够看到 CNCF 社区也呈现了很多平安相干的优良的开源我的项目。另外 CNCF 也在往年公布 V2 版本的云原生平安白皮书。通过上面对云原生平安挑战和趋势的剖析,能够看到,尤其在国内咱们须要一个权威机构定制专业化的平安规范,来帮忙领导和标准云服务商和企业客户构建云原生环境下全方位端到端的平安防护体系。上面介绍一下这次云原生平安标准化工作的历史演进。
云原生平安标准化钻研继续推动
阿里云是首批参加规范定制,并且首批通过云原生平安测评的服务商。 2020 年 10 月,在信通院主办的云原生产业大会上,阿里云以及次要的平安厂商作为首批成员,成立了云原生平安工作组。从 2020 年 4 月开始,信通院联结业界二十余家单位的近 40 名专家,历时一年实现了国内首个云原生平安成熟度模型规范的编纂,为企业云原生平安能力建设提供了自检标尺和建设指南。同年,信通院联结 18 家企业公布了《云原生架构平安白皮书》。阿里云也是全程参加了白皮书的研究和定制流程。
云原生架构平安能力成熟度评估模型
整个规范体系涵盖了五大能力域,包含基础设施平安、基础架构平安、利用平安、研发经营平安以及平安运维五大能力域,15 个能力子项,46 个实际项,以及近 400 个细分能力的要求。阿里云参加了所有五大能力域的所有细分子项评测。上面的表格是对于此次五大能力域下各个能力子项的细分展现。
本次参加评测的阿里云产品,包含容器服务、容器镜像服务、云平安核心、Web 利用防火墙等二十余款云原生产品,全方位考查了阿里云在云平安产品能力上的丰盛度。
- 基础设施平安域
阿里云在计算、存储、网络等云基础设施上构建了十分松软的平台底座能力。在计算平安方向,云平安核心和容器镜像服务反对破绽的自动化检测、告警溯源以及攻打剖析。同时也反对镜像破绽的自动化智能修复能力。同时咱们还反对像多 OS、混合云架构的基线扫描,以及丰盛的策略配置能力。在网络安全方向,云防火墙服务反对多重的边界防护,以及基于流量学习后果自适应的智能策略举荐下发能力。
在存储平安方向,容器服务的备份核心能够反对利用数据的异地备份以及疾速复原。而 ACK One 也提供了多云 / 混合云场景下两地三核心的备份容灾能力。同时,ACK 还反对基于软硬一体的秘密计算技术,帮忙实现内存维度的信息爱护。
- 基础架构平安域
在网络侧,容器服务和云平安核心提供了 Pod 维度东西向的策略管制以及智能阻断的能力。同时还反对集群网络拓扑的可视化展现。而 ASM 网格服务也提供了 Service Mesh 框架下全链路的流量加密、观测、监控以及 7 层访问控制能力。
在编排和组件平安方向,ACK 容器服务能够反对多维度的、自动化的平安巡检能力,帮忙发现集群利用潜在的危险,并提供加固倡议。应用托管的节点池还能够实现集群节点 CVE 的自动化修复能力。同时在访问控制上,ACK 集群的 RSA 性能还能够反对集群利用侧 Pod 维度的云上资源权限隔离。
在镜像平安方向,ACR 容器镜像服务企业版提供了云原生的交付链性能,能够联合镜像的完整性校验等产品化能力,构建企业级的供应链 DevSecOps 能力。在运行时平安方向,云平安核心能够容器维度的 Runtime 的危险实时检测告警,以及智能解决,来帮忙企业抵挡容器逃逸,像敏感文件操作、异样连贯等多种容器内攻打的行为。
- 利用平安域
云原生利用平安域蕴含了企业应用侧防护的方方面面。咱们能够应用云防火墙和 web 利用防火墙等服务,实现企业应用南北向以及东西向的攻打防护和细粒度访问控制,同时咱们也反对 API 破绽,包含注入攻打和敏感数据泄露的检测剖析以及主动修复倡议。
在微服务平安方向,MSE 微服务引擎能够通过云原生的网关,联合云防火墙等服务来保障微服务网络通信的平安。同时在提供丰盛的微服务治理能力的同时,咱们也提供了安全监控,以及利用代码层的防护能力。在 Serverless 平安方向,函数计算服务反对存储网络等函数资源的细粒度的访问控制和租户隔离,同时还反对函数资源、流量的实时监控以及齐备的审计。
- 研发经营平安域
首先是研发经营域,阿里云平安团队对平台外部的研发经营流程有严格的平安审计和治理,包含对云产品的定制化的需要治理,以及对制品平安的自动化扫描、完整性校验以及身份溯源。在平安设计上,也反对系统化的建模,以及外部标准化的平安设计规范,以及相应的技术栈。在测试平安方向,咱们外部也有欠缺的 DevSecOps 流程来实现无需人工干预的危险辨认以及经营。
- 平安运维域
云平安利用如何进行平安运维,也是企业关怀的重点问题。在平安治理方向,容器服务和云平安核心等服务都反对十分丰盛的云原生可视化资产治理的能力。同时基于日志服务,咱们也提供了管控侧和业务侧的齐备的审计日志,并且反对基于审计的智能、剖析告警以及图表化的展现能力。
测评后果
阿里云在此次规范所有五个域的测评中,都获得了国内惟一的全域最高等级认证。 下方的表格里也展现了首批通过此次云原生平安成熟度规范的企业。