“

Once we accept our limits, we go beyond them.

当我们接受了我们的极限，我们就会超越它。

— 阿尔伯特 · 爱因斯坦

企业应用现代化就是把应用进行云原生化改造的过程。

在上一篇《企业应用现代化之旅》的文章中，阐述了企业建立起云原生架构体系会经过导入阶段和推广阶段。在导入阶段的「L0 平台验证与储备」，企业通过云原生技术试点小范围验证云原生的能力和价值，为团队导入云原生的知识体系，并掌握云原生的基础支撑能力，为后续的更大规模应用做好了准备。

本篇文章将会聚焦导入阶段的 「L1 企业生产就绪」，揭秘云原生是如何向企业内部证明它的技术适配性的。

01

云原生化的关键：企业生产就绪

L1 阶段的企业生产就绪，是企业进行全面云原生架构体系转型的正式起点。从传统架构体系转型至云原生架构体系，需要技术人员深刻理解云原生的 IT 技术架构和底层逻辑，逐步构建起匹配云原生特征的运维支撑体系和知识能力。为了树立有说服力的云原生标杆，凸显出云原生的效益价值，这个阶段企业可以识别一个相对关键的业务系统进行云原生化改造，一方面关键业务可以导入更全面的建设需求，推动企业建设更完整的云原生运维支撑体系；另一方面关键业务的成功转型也为后续更大规模地转型推广提供了更有说服力的成功案例。

企业通过云原生技术搭建金融级数字底座，为核心业务敏捷创新保驾护航。在开发测试阶段，借助容器标准化、轻量化特性，为开发人员提供稳定、高效、一致的基础环境，提升开发效率；在生产运行阶段，发挥云原生的弹性伸缩、灵活调度、故障自检自愈机制，提升应用运维效率，保障业务高可用。在核心业务的云原生化过程中，让企业充分体验到云原生的敏捷、可靠、高弹性、易扩展等特性，从而坚定向推广阶段迈进。

1.1 保障关键业务可靠、稳定、持续地运行

保障关键业务转型成功，首先要保证改造过的业务应用可以持续、稳定、可靠地对外提供可需求的业务服务。而云原生业务的稳定运行极大地依赖于底层云原生平台的持续、可靠运行支撑。云原生平台又是由大量快速发展中的技术组件组成的，比如 Kubernetes、Ingress、CNI 等。由于这些技术组件在开源社区仍然保持着快速的持续迭代，同时技术复杂度也非常大，企业技术团队靠自有力量去建设云原生平台存在多方面的风险，如：云原生技术路线组件的成熟度各有不同，存在稳定性风险；云原生技术体系涉及领域广泛，存在技术方案的可持续性风险；云原生开源组件之间存在依赖性和复杂性，自主构建云原生平台存在扩展性风险；部分开源组尚未经历大规模企业级应用的验证，这为企业自主研发带来潜在的风险与极高的学习成本等。

因此在云原生技术的落地实践过程中，企业为了尽可能地降低各种风险，需要结合自身现状出发，借助行业内云原生技术深度以及实践经验丰富的合作伙伴来实现企业应用现代化。「DaoCloud 道客」提供的金融级数字平台「云原生应用云平台 DaoCloud Enterprise DCE」，已经过国内外数百家企业落地实践。与产品同步的还有 “企业级云原生规划” 咨询服务，可以帮助客户识别关键的核心业务，定制个性化云原生综合解决方案。

例如，为某银行搭建双引擎云原生平台，有效支持关键业务「电子支付链路」，承载双十一流量洪峰；为另一银行的关键业务「手机银行」，搭建数字银行开放体系架构，提升业务支撑能力、应用管理能力，帮助客户提速分布式架构转型进程；为某汽车行业客户挖掘集团 DMS 中各类沉淀数据价值，实现数据化服务，为企业战略性决策提供关键数据支持。「DaoCloud 道客」结合服务与产品，帮助企业定位关键核心业务，助力云原生架构体系平稳落地，实现生产就绪。

1.2 保障关键业务延伸的高可靠性和高可用性

关键业务往往不满足于常规的业务可靠性保障，还会有双活、灾备等延展的可靠性、可用性需求。

云原生应用的部署和运行方式和传统应用有很大不同，因此对于它们的高可靠方案设计也要充分考虑云原生的特征。

• 首先从云原生平台本身就需要考虑可靠性的提升，比如平台自身的灾备、基础平台多中心部署的可靠性配置、同步和恢复等；
• 第二，云原生化交付件是典型的不可变基础设施，以容器镜像为标准，在完成部署后，不能再进行更改，所以交付件即容器镜像和镜像仓库的高可靠和灾备设计也变得非常重要；
• 第三，云原生化业务有两类数据，一类是容器相关的配置数据、另外一类是应用本身的数据。前者可以在平台层面建设数据备份、同步策略等能力，后者需要结合底层存储能力和平台的数据卷管理能力。

当然一套完整的方案还会包括监控分析、故障识别、流量切换等方面。只有从整体去设计可靠性与高可用性，才能在非预期故障场景下，实现业务服务的高可靠和高可用。如当发生灾难或者故障时，可自动切换流量，迅速恢复服务，保障业务连续性。

举个典型案例，灾备一般涉及到三层；底层是数据灾备、中间层是平台灾备、上层是应用灾备。「DaoCloud 道客」提供的「云原生应用云平台 DaoCloud Enterprise (DCE)」具备高可用架构，支持关键功能组件的高可用性与平台核心数据的备份恢复能力，可以保证平台自身的高稳定性。并且，DCE 可支持应用层灾备，比如镜像备份、镜像同步以及应用的配置信息管理支持等。 在数据层，传统数据中心层面的存储管理能力在云原生场景下变得力不从心，比如如何关联业务数据卷与底层存储卷，如何完成异地副本卷的自动挂载等。经过众多项目实践检验，DCE 可高效支持企业级 PV 和 PVC 管理能力，并能够提供快照、恢复、自动化扩容等高级卷关联能力。同时，还能结合企业级存储，搭建更加适合云原生应用可靠性要求的容灾方案。

1.3 保障关键业务的全方位安全

除了可靠性与高可用性，一个关键业务还应充分兼顾安全层面的考量。因此安全团队往往在企业里拥有一票否决权。

云原生的安全主要包括三个维度，第一是镜像安全、第二是基线安全，第三是运行时安全。

在传统的企业安全体系中，主机安全扫描是很重要的一环，它会扫描主机上的软件包漏洞、病毒文件、系统漏洞等，云原生体系中这些软件包构建在镜像中，因此还需要对镜像进行安全扫描，如高危系统漏洞、应用漏洞、恶意样本、配置风险、和敏感数据检测和识别等。

基线安全考察平台自身的配置策略与安全基准，比如 Docker 和 Kubernetes 是否符合 CIS 的标准安全基线，以及镜像仓库是否有安全管控等。

最后运行时安全，在应用运行阶段有三个安全要点： 第一，容器工作负载安全，对进程与文件系统进行监视，比如容器是否有异常的进程访问和竞争行为；第二，网络安全，也叫容器微隔离，做到容器与容器之间的网络精细化管理，可以防止黑客入侵和蔓延；第三，告警与规则响应，执行安全管控和策略联动等。

做到以上镜像、基线和运行时安全是 L1 阶段非常重要的云原生安全实践，因为云原生的安全体系是覆盖应用的全生命周期的。

02

突破关键落地扎根

L1 阶段的企业生产就绪，是凸显云原生技术架构体系先进性的重要环节，在核心业务上证明云原生技术的适配性，支撑起关键业务的运行可以凸显出云原生技术的卓越价值，赢得企业内部其他部门对云原生化的好感。在「DaoCloud 道客」的企业级数字底座上运行业务，能让企业核心应用实现高可用与高可靠性、同时让应用具备云原生安全保障。 在 L0 和 L1 阶段，云原生化落地更偏向运维，但经过企业关键业务验证后，企业会进入到推广期，这是从需求、开发、测试到运维的全流程云原生化。

如何将云原生稳步推向全业务？下一期， L2 阶段 《企业应用现代化之旅》之 “云原生推广”，将为大家详细展开全面云原生化的关键步骤。