数字中国进程中的企业云上痛点问题
某企业在云上规划了3个隔离的VPC网络节点
分别部署生产2000多台 (10.0.0.0/8) 测试290多台 (172.16.0.0/12) 预发170多台 (192.168.0.0/16)
企业技术人员百人团队,其中运维人员1人,技术主管1人
问题1: 庞大数量的主机,众多技术人员日常机器账号权限管理如何分配?
问题2: 三个独立的VPC节点,各节点如何批量运维管控这批机器?比如如何批量更新修复一个基础软件,批量上传文件?
问题3: 如何在批量创建机器的时候做好初始化动作,如自动安装基础环境JDK,Tomcat,根据需要自由定义可扩展,自动创建生产业务运行账号
问题4: 人员入职离职,机器登录权限创建和清理是否简单管理?
问题5: 如何方便有效的以企业应用集群维度对机器实现分组管理,应用集群实时监控
数字中国进程中的运维解决方案
企业一体化运维管控平台主体架构平台介绍
xabcloud.com 企业一体化运维平台,目前正在为阿里云的企业客户以及线下各大企业提供运维平台基础支撑,平台设计上在其稳定性,安全性,高效率,投入了巨大的精力,产品更是深入企业一线真正了解客户需求后,根据企业实际场景打造的企业级运维产品,可媲美海外同类 saltstack.com 的企业版本
我们目标是把云上的企业客户服务好,减少云服务商自身的售后压力,解决客户的核心问题,我们成长,三方共赢
产品设计
三节点管控部署应对三个隔离的 VPC 网络
我们在各 VPC 网络节点内分别取1台主机作为 Login (带1M公网),1台主机作为 Master (带1M公网)
各节点的 Login 机器将作为该节点登录入口, Master 机器将作为该节点管控机器,不同角色功能权限分立
我们还需要一个总控 Central 机器负责调度管理各自节点的 Login 和 Master 机器,同时在 Central 机器部署管控平台 Web 服务,达到统一管控的需求
需要的部署资源
机器角色 | VPC 节点区域 | 硬件配置 | 内网/公网 |
---|---|---|---|
Central | 10.0.0.0/8 | CentOS 7 [1核 2G 1M公网带宽] | 10.0.0.1 / 115.159.84.31 |
Master1 | 10.0.0.0/8 | CentOS 7 [8核 8G 1M公网带宽] | 10.0.0.2 / 115.159.84.21 |
Login1 | 10.0.0.0/8 | CentOS 7 [1核 1G 1M公网带宽] | 10.0.0.3 / 115.159.84.22 |
Master2 | 172.16.0.0/12 | CentOS 7 [1核 2G 1M公网带宽] | 172.16.0.1 / 115.159.84.23 |
Login2 | 172.16.0.0/12 | CentOS 7 [1核 1G 1M公网带宽] | 172.16.0.2 / 115.159.84.24 |
Master3 | 192.168.0.0/16 | CentOS 7 [1核 2G 1M公网带宽] | 192.168.0.1 / 115.159.84.25 |
Login3 | 192.168.0.0/16 | CentOS 7 [1核 1G 1M公网带宽] | 192.168.0.2 / 115.159.84.26 |
因为是三个互相隔离的 VPC 节点,我们将总控机器部署规划在生产 VPC 节点,总控 Central 机器只调度管理 Login 和 Master 这6台机器
- 总控 Central 和生产 Login,Master 内网通信
- 总控 Central 和测试 Login,Master 公网通信
- 总控 Central 和预发 Login,Master 公网通信
- 各 VPC 节点内, Login 和 Master 以及业务主机全内网通信
值得一提的是我们为此精心设计了部署程序,可以在很短时间内一次性完成这种分布式动态基础组件的快速部署落地
- 收集资源信息,动态生成总控配置
- 先完成Central总控部署落地,由总控生成各个Master管控和Login入口的相关程序
- 启动总控完成这个分布式平台的部署
- 我们官方升级镜像站点会定期发布我们平台的更新程序,各个企业总控会监测更新,自动下载完成平台自更新,当然该站点只有我们的企业客户总控机器才允许被访问
管控平台系统模块
- Login 部署 I/O 流截获程序 (对外公开22端口,企业可以根据需要添加 VPN 可信源 IP ,更加安全)
- Master 部署 salt-master (对外无公开端口,内部服务端口只信任总控 Central 机器的访问)
- Central 部署小矩阵总控平台 (对外公开22,80端口,企业可以根据需要添加 VPN 可信源 IP ,更加安全)
- 各 VPC 网络节点内业务主机 安装 salt-minion ,该步骤由我们在各自 Master 机器生成的
/root/init.sh
初始安装接入(总控会在各个 Master 节点的/root/
目录下生成属于该节点的 init.sh ,在该节点业务主机上执行,自动接入该 Master )
我们的核心竞争力
- 企业级权限管理的独家解决方案,完美弥补云服务商缺失的业务运维一环
- 运维平台管理对象是主机,所以无论公有云,私有云,均可多云统一管理,即多云管控平台或者说混合云管理平台
- 对标海外 saltstack.com 企业版本的唯一国内实现
- 内网机器全可信认证登录,高度安全,可以满足金融云用户的高安全需求
- 可扩展,无论是管理网络节点的增加,还是基础模板的扩展均可
- 应用集群维度实时业务监控