Guest:vmware.vm.vfs.fs.size[{$URL},{HOST.HOST},{#FSNAME},pfree].last()}1名称：群集状态异常：{HOST.NAME}9

【摘要】本文介绍了配置Zabbix之监控任意两个节点之间的网络状况的具体步骤【作者】安仲步骤说明：可以在zabbix安装fping，然后在某个客户端的zabbix

Guest:vmware.vm.vfs.fs.size[{$URL},{HOST.HOST},{#FSNAME},pfree].last()}1名称：群集状态异常：{HOST.NAME}9

【摘要】Grafana比Zabbix适合做导航盘，Zabbix负责监视系统的核心，Grafana负责展示，展示到显示器甚至是大屏电视上，既实用又美观。本文详细介绍了具体的配置方法。【作者】安仲一、背景Zabbix监视系统当前状况某单位的zabbix系统已经建立完了，可以监视单位内windows和linux服务器状况，同时也可以将发现的问题通过邮件发送到指定员工的邮箱内。昨天也建立了问题处理流程，也按照新的流程处理了几个zabbix监视发现的问题。也就是说，到目前为止，基本的IT监视系统及运维体制可以正常运转了。二、导航盘设计与设定Grafana展示以前也说过，grafana比zabbix适合做导航盘，分工是zabbix负责监视系统的核心，grafana负责展示。展示到显示器甚至是大屏电视上，既实用又美观。Grafana导航盘设计思路首先要有几个汇总导航盘，展示的是当前zabbix监视系统监视对象的汇总信息，包括有多少windows服务器，多少个linux服务器，有几个有故障，有多少严重故障，当前有多少问题发送。等等。同时在这个汇总导航盘上，点击某个数据链接，可以进入到明细信息导航盘上，比如可以进入到某个服务器的详细导航盘上，显示某个特定服务器的内存，硬盘，CPU等详细信息，最高值，最低值和当前值等等。汇总导航盘和各个明细导航盘可以被设定成按照一定顺序循环播放，方便监视和发现问题。访问grafana官网下载选定的zabbix汇总导航盘模版：Grafana网站上的《Zabbix

实现容器云平台整体监控方案；本文首发于2020年5月，涉及最新产品技术参数请参考官网发布欢迎点击文末阅读原文到社区原文下留言交流觉得本文有用，请转发、点赞或点击“在看”，让更多同行看到

都可以把两件事做好，一是可以在开发环境、生产环境之间直接迁移，二是可以让我们快速搭建开发环境。开发环境的机器通常内存比较小，之前使用虚拟的时候，我们经常需要为开发环境的机器加内存，而现在Docker

corewathc，能够获取到此平台的所有告警监控。告警通知监控覆盖的话题，到此也算是结束了，下面进而讨论下一个环节，那就是监控触发的告警需要如何才能推送到需要接收的技术人员。其实，Zabbix

Guest:vmware.vm.vfs.fs.size[{$URL},{HOST.HOST},{#FSNAME},pfree].last()}1名称：群集状态异常：{HOST.NAME}9

【导读】本文对容器和kubernetes容器云的日常巡检工作进行了整理，希望通过第三方开源工具和日志巡检的方式，提供排查方法和排查思路、典型案例，帮助大家学会尽快发现问题，排查问题，解决问题。【作者】曹如熙，上海逸橙网络科技有限公司，

【摘要】在容器平台中，我们除了会涉及操作系统层面的知识，还会涉及容器存储、容器网络、容器日志管理及监控告警、CI/CD（持续集成/持续交付）等相关领域的技术。每个领域都有可能是问题的产生点，只有在分析定位出具体点时，我们才好依据该技术相关工具或者阅读源码来解决它。分享者：陈强，目前就职于上汽集团云计算中心，容器云架构师及技术经理；长年在云计算领域搬砖，曾就职于Intel,

【摘要】在容器平台中，我们除了会涉及操作系统层面的知识，还会涉及容器存储、容器网络、容器日志管理及监控告警、CI/CD（持续集成/持续交付）等相关领域的技术。每个领域都有可能是问题的产生点，只有在分析定位出具体点时，我们才好依据该技术相关工具或者阅读源码来解决它。【作者】陈强，目前就职于上汽集团云计算中心，容器云架构师及技术经理；长年在云计算领域搬砖，曾就职于Intel,

【导读】本文是2021容器云职业技能大赛团队赛的冠军作品。在数字化转型新形势下，银行信息系统面临诸多诉求和考验。银行的业务应用目前以多种形态运行在不同的技术栈上，包括互联网技术栈和商业技术栈。大多数系统已经完成新一代的升级，但是随着云原生技术的发展，很多银行开始试水分布式架构体系改造。由于银行交易往往比较重要，有哪些系统最适合云原生容器化改造，应用在进行改造后如何符合银行现有规范等问题也显露出来……【作者】2021容器云职业技能大赛参赛团队“三地五中心队”

的方式去限速，其实这些很有必要考虑，随着数据库增量更新大、虚拟机数量增多等原因，要实现虚拟化、物理机、数据库等定时备份或实时备份，就要利用掉链路很大一部分带宽，在设计时我们可以使用

来自社区会员dotstar分享，版权归原作者所有来自社区会员分享，作者不详，相关版权归原作者所有，如侵删点击文末阅读原文，可下载原文档觉得本文有用，请转发、点赞或点击“在看”，让更多同行看到

网络安全管理应建立必要的安全技术措施确保网络的统一管理，包括信息资产管理、网络拓扑管理、信息资源管理、网络异常流量管理、安全事件监控管理、安全策略管理、安全预警管理等网络安全管理内容。第十五条

本文是公众号推送中信息安全文章的精选，包括安全技术趋势分析，等保规范知识，主机、网络等各个架构层面的安全策略，金融、制造等行业的安全实践，云、大数据平台的安全设计，以及具体的数据库、操作系统安全规范等等。等保

汇集本公众号推送过的部分VMware内容（更新至2021年8月30日），方便大家收藏参考。包括安装配置文档、优化、故障处理、方案设计，以及一些使用技巧，适合各种程度的用户。☛

【摘要】零信任提供了一系列概念和思想，其中心思想是怀疑一切，否定一切，不再以网络边界为限，不能再将内部网络定义为可信任的，企业不应自动信任内部或外部的任何人和设备……身份认证和授权管理是贯穿零信任安全体系中的重要部分，也是实现零信任的前提和关键。【作者】汪照辉，中国银河证券架构师，专注于容器云、微服务、DevOps、数据治理、数字化转型等领域，对相关技术有独特的理解和见解。擅长于软件规划和设计，提出的“平台融合”的观点越来越得到认同和事实证明。发表了众多技术文章探讨容器平台建设、微服务技术、DevOps、数字化转型、数据治理、中台建设等内容，受到了广泛关注和肯定。个人公众号：技术思维创新本文原题：零信任和身份认证零信任并不是一种技术，而是一个安全概念，是一种建立安全战略的理念、方法和框架。零信任提供了一系列概念和思想，其中心思想是怀疑一切，否定一切，不再以网络边界为限，不能再将内部网络定义为可信任的，企业不应自动信任内部或外部的任何人和设备，应在授权前对任何试图接入企业系统的人和设备进行验证。零信任理念下无论是来自于企业网络之外的用户还是来自原企业网络内部的用户，无论是企业配置的专用设备还是个人设备，在建立连接前均需进行认证授权。一个合法用户、合法设备的访问不再认为是永远合法的。要实现零信任安全的理念，企业需要依靠技术手段才能将零信任真正落地。在NIST《零信任架构标准》白皮书中提到了3种技术方案：SDP软件定义边界、IAM身份认证及权限管理和MSG微隔离。基于零信任理念，围绕其组件关系、工作流规划与访问策略构建而成的企业网络安全架构也就是零信任架构。而在零信任理念和零信任架构中，身份认证及权限管理是其中重要的一环，也是构建零信任的基础。一、零信任安全体系基于传统账户的安全体系在相对可信任的内网环境具有很好的生存空间，但是在本质上存在着概念混淆。这套账户安全体系很容易混淆了账户和身份的区别，账户只是信息系统的一个登录凭证和引用凭证，而身份则是现实生活中的人，两者之间基本上是割裂的。在真实的业务实践中，账户更多的仅仅是作为数据库对象存储的，而不是作为身份。这种混淆最终使生活中可信任验证体系中的核心身份模糊化。在现代网络环境中的账户体系安全性越来越差，这也导致了传统网络安全体系的不可延续。基于身份的零信任安全体系因此而产生。走向零信任安全体系主要受到两个方面的推动：（一）技术发展使网络边界的模糊互联网、移动互联网等技术的发展和普遍应用，通过各种社交工具和社交媒介联系起了世界上的每一个人，突破了传统时间和空间的限制，网络边界变得越来越模糊，安全边界逐步被打破，实际上已经不存在安全的网络。因此，以账户为基础的安全体系无以为继，传统安全架构已经难以适应企业发展的需要，难以应对业务的快速变化。需要将传统以账户管理中心的认证授权机制转变以身份管理为中心的认证授权机制，才可以在新的网络环境安全生存。（二）传统安全架构的缺陷传统的办公网络安全架构通过网络位置来划分交易网络、办公网络、

Release3.52007-12-3167921欢迎点击文末阅读原文到社区讨论交流，发表您的观点觉得本文有用，请转发、点赞或点击“在看”，让更多同行看到

目前，各大银行纷纷将数字化转型作为战略目标推动企业架构升级，传统企业架构也逐渐从单体架构到微服务架构迁移，传统的链路监控主要基于网络数据进行，而随着微服务架构和容器技术的应用，围绕服务链路数据探索全链路日志监控也被提上日程。然而，银行业务进行全链路日志监控会面临比较多难点，以下内容是社区针对银行业微服务+容器云等环境下全链路日志分析的探讨交流，希望对大家有帮助。1、如何完整的获取到完整的日志？【问题描述】由于目前云、微服务等架构主要都是采用复用硬件设备资源的方式部署，全链路的日志采集（如采用抓流量的方式）某些交易日志可能会因为在设备内流动（如虚机的几个服务器流量不出机头到达不了物理交换机）。如何解决这类问题？如果采用探针部署，对系统本身又会造成性能损耗，尤其是在高并发高负载的场景。如何解决？@ljosef

，将会不断更新优质资料、文章，您也可以前往提出疑难问题，与同行切磋交流。地址：https://www.talkwithtrend.com/Topic/3937下载

【摘要】安全多方计算在金融、医疗以及政务等行业已有解决方案。对于证券行业，联合安全多方计算和区块链技术构建的解决方案，可以实现数据安全有序地互联互通，满足数据流通中信息保护、权益分配、数据安全、追溯审计方面的需求。Gartner

网络安全管理应建立必要的安全技术措施确保网络的统一管理，包括信息资产管理、网络拓扑管理、信息资源管理、网络异常流量管理、安全事件监控管理、安全策略管理、安全预警管理等网络安全管理内容。第十五条

是否有相适应的操作手册来控制日常管理巡检项目巡检办法结果是否存在相应的虚拟化操作手册Ø询问客户是否有相应的操作手册用以进行日常虚拟机管理（例如虚拟机的供给，性能的监控，日常问题的处理方法）þ正常

这篇文章主要介绍了基于zabbix实现监控Jenkins的过程，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值。一、监控架构图二、实现思路在

，将会不断更新优质资料、文章，您也可以前往提出疑难问题，与同行切磋交流。地址：http://www.talkwithtrend.com/Topic/23下载

系统主机上存在高风险安全漏洞：通过这些漏洞，攻击者可以对业务系统主机进行攻击，获得主机的控制权限。同时，在拿到主机的控制权限后，攻击者还可以此为跳板，对网络中的其他主机、设备进行监听和攻击。3.3

本文包括《数据中心安全域的设计和划分》、《企业网络安全区域划分的原则和方法》，介绍了安全域设计方法、设计步骤、安全域模型、安全域互访原则、安全域边界整合及整合原则及边界防护技术。数据中心安全域的设计和划分安全区域(以下简称为安全域)是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络。安全域划分是保证网络及基础设施稳定正常的基础，也是保障业务信息安全的基础。一、安全域设计方法安全域模型设计采用"同构性简化"方法，基本思路是认为一个复杂的网络应当是由一些相通的网络结构元所组成，这些网络结构元以拼接、递归等方式构造出一个大的网络。一般来讲，对信息系统安全域(保护对象)的设计应主要考虑如下方面因素：1.

以下图片点击可放大安全工程安全配置计算机网络基础密码学网络安全系统安全应用安全安全法规和标准本文由社区会员分享，版权归原作者所有觉得本文有用，请转发或点击“在看”，让更多同行看到

折叠功能AIX下查看系统中逻辑和物理cpu的方法AIX操作系统夯住，通过HMC或者SSH无法登录AIX内存资源问题诊断与规划

【摘要】零信任提供了一系列概念和思想，其中心思想是怀疑一切，否定一切，不再以网络边界为限，不能再将内部网络定义为可信任的，企业不应自动信任内部或外部的任何人和设备……身份认证和授权管理是贯穿零信任安全体系中的重要部分，也是实现零信任的前提和关键。【作者】汪照辉，中国银河证券架构师，专注于容器云、微服务、DevOps、数据治理、数字化转型等领域，对相关技术有独特的理解和见解。擅长于软件规划和设计，提出的“平台融合”的观点越来越得到认同和事实证明。发表了众多技术文章探讨容器平台建设、微服务技术、DevOps、数字化转型、数据治理、中台建设等内容，受到了广泛关注和肯定。个人公众号：技术思维创新本文原题：零信任和身份认证零信任并不是一种技术，而是一个安全概念，是一种建立安全战略的理念、方法和框架。零信任提供了一系列概念和思想，其中心思想是怀疑一切，否定一切，不再以网络边界为限，不能再将内部网络定义为可信任的，企业不应自动信任内部或外部的任何人和设备，应在授权前对任何试图接入企业系统的人和设备进行验证。零信任理念下无论是来自于企业网络之外的用户还是来自原企业网络内部的用户，无论是企业配置的专用设备还是个人设备，在建立连接前均需进行认证授权。一个合法用户、合法设备的访问不再认为是永远合法的。要实现零信任安全的理念，企业需要依靠技术手段才能将零信任真正落地。在NIST《零信任架构标准》白皮书中提到了3种技术方案：SDP软件定义边界、IAM身份认证及权限管理和MSG微隔离。基于零信任理念，围绕其组件关系、工作流规划与访问策略构建而成的企业网络安全架构也就是零信任架构。而在零信任理念和零信任架构中，身份认证及权限管理是其中重要的一环，也是构建零信任的基础。一、零信任安全体系基于传统账户的安全体系在相对可信任的内网环境具有很好的生存空间，但是在本质上存在着概念混淆。这套账户安全体系很容易混淆了账户和身份的区别，账户只是信息系统的一个登录凭证和引用凭证，而身份则是现实生活中的人，两者之间基本上是割裂的。在真实的业务实践中，账户更多的仅仅是作为数据库对象存储的，而不是作为身份。这种混淆最终使生活中可信任验证体系中的核心身份模糊化。在现代网络环境中的账户体系安全性越来越差，这也导致了传统网络安全体系的不可延续。基于身份的零信任安全体系因此而产生。走向零信任安全体系主要受到两个方面的推动：（一）技术发展使网络边界的模糊互联网、移动互联网等技术的发展和普遍应用，通过各种社交工具和社交媒介联系起了世界上的每一个人，突破了传统时间和空间的限制，网络边界变得越来越模糊，安全边界逐步被打破，实际上已经不存在安全的网络。因此，以账户为基础的安全体系无以为继，传统安全架构已经难以适应企业发展的需要，难以应对业务的快速变化。需要将传统以账户管理中心的认证授权机制转变以身份管理为中心的认证授权机制，才可以在新的网络环境安全生存。（二）传统安全架构的缺陷传统的办公网络安全架构通过网络位置来划分交易网络、办公网络、

本文是公众号推送中信息安全文章的精选，包括等保规范知识，主机、网络等各个架构层面的安全策略，金融、制造等行业的安全实践，云、大数据平台的安全设计，以及具体的数据库、操作系统安全规范等等。（后附容灾备份干货汇总85篇）等保

Center，以下简称指挥中心）是在应急响应和恢复时期为指挥组提供的工作场所，用于进行应急协商、讨论和决策的指挥工作区域。由指挥组组长指定以下指挥中心地点：–首选：

，将会不断更新优质资料、文章，您也可以前往提出疑难问题，与同行切磋交流。地址：https://www.talkwithtrend.com/Topic/3937下载

server传输的Key和参数，从文件服务器拉取脚本执行后返回数据。架构设计：具体实现：1.搭建文件服务器，以nginx作为文件服务器为例修改nginx的配置并重启erver

Optimizing》主要作者之一。长期在金融、电信行业从事技术支持工作；对应用开发、系统优化、故障定位、基准测试等方面均有丰富经验。1

PPS。本文中的测试主要使用netperf工具完成。同时也使用某厂商的分布式应用进行了验证，得到的网络PPS指标与netperf基本一致。测试环境硬件配置：System

【导读】随着国家信息化战略发展的推进，利用互联网技术、计算机技术构建的医院信息管理系统也应运而生。医院信息管理系统的应用有效提高了医院工作效率、满足患者的就医需求，为医院的可持续发展奠定了良好基础。同时，医院信息化建设和发展也面临着诸多网络安全问题，包括患者个人隐私信息遭到窃取、外部黑客入侵内部网络等。本文介绍了基于医院三网整体设计以及医院下一代云数据中心架构设计的网络安防加强，可供医院同行参考。【关键词】网络安全；云计算【作者】沈潇，杭州市中医院工程师，主要负责医院的网络安全、服务器、虚拟化、数据库、机房等基础环境的运维管理，主要擅长技术:网络安全、云计算、开源容器、Python。医院网络安全问题涉及到医院日常管理多个方面，一旦医院信息管理系统在正常运行过程中受到外部恶意攻击，或者出现意外中断等情况，都会造成海量医疗数据信息的丢失。由于医院信息管理系统中存储了大量患者个人信息和治疗方案信息等，如果这些数据信息遭到篡改很容易导致医疗事故的发生。因此，鉴于医院的特殊性质，在信息化建设中必须加强网络安全防护工作，以完善的策略保护医院网络的安全稳定运行。一、传统医院网络安全架构简介国内大部分医院网络一般分为三张网，分别是内网、外网和设备网，三张网络通过逻辑隔离、物理隔离的方式进行隔离。内网，主要承载医院的医疗核心业务，例如HIS、LIS、PACS、EMR等业务系统，内网承载数据传输的任务，要求高宽带、大容量和高速率，并需考虑未来扩容、带宽升级。因此是网络建设的重点。外网，可作为行政办公，也可承载对外发布、互联网等业务，随着“互联网+”以及智慧医院等的发展，外网的建设也越来越受到医院的重视。外网稳定性和保密性的要求一般低于内网，但是因为存在对外和互联网互通，因此十分注重安全，且接入终端及数据流特点也更为复杂，因此存在接入终端层面的安全管理需求。同时，医院外网是医院对外的形象窗口，必须重视其建设规划。设备网，主要承载医院视频监控，门禁、IPTV等等业务，对网络要求低于内网，一般关注稳定性，通常可以采用二层组网。二、稳定高效的医院三网整体设计对于医院内网，建议采用成熟的三层架构：接入、汇聚和核心，通过出口网络设备连接到院外，实现互联互通。这种分层的网络架构，可以保证业务需求，分别对不同层次进行扩容。内网数据中心服务器区主要部署的是医院的内部业务，例如HIS、PACS、EMR、LIS等。整个网络的重要特征是不存在网络单点故障，交换机设备和链路都存在冗余负载备份，接入交换机与汇聚交换机通过双链路连接，汇聚交换机双链路接入核心交换机，交换机之间采用链路捆绑保证链路级可靠性，核心与汇聚设备之间通过网络虚拟化技术+跨设备链路聚合技术保证设备级、链路级可靠性。内网有线组网拓扑如下：对于医院外网，建议采用成熟的三层架构：接入、汇聚和核心。外网主要业务包括互联网业务、互联网访问、视频会议等等，对性能要求不如内网的要求高，外网组网图如下：对于医院设备网，主要承载的业务常见的包括视频监控、门禁、广播等等。设备网对通信业务性能的需求不大，一般采用二层网络即可（也可以采用3层组网），即接入交换机直接上联到核心交换机。其中接入交换机可采用百兆也可以采用千兆。三、打造医院下一代云数据中心通过构建基于超融合的云计算平台，打造医院下一代数据中心，一方面，通过虚拟化技术提升基础架构资源利用率，另一方面，通过统一运维管理平台释放人力物力，进一步聚焦关注信息化和业务结合的创新，通过承载关键业务系统，如HIS系统、LIS系统、PACS系统、EMR系统等，并提供稳定、可靠和安全的运行保障，为业务快速发展提供基础支撑。3.1

Guest:vmware.vm.vfs.fs.size[{$URL},{HOST.HOST},{#FSNAME},pfree].last()}1名称：群集状态异常：{HOST.NAME}9

《业务连续性计划》等文件。这些规范从宏观层面，涵盖了灾难备份建设所涉及的内容，其目的是要保护信息安全。根据这些规范，建立业务连续性计划、灾难恢复预案，其中主要包括：灾难应急小组的组织架构和人员职责，

型号UserParameter=cpu_hardware_model,C:zabbixscriptcpu_hardware_model.batZabbix

从社区近两年发布的容灾备份内容中选取如下85篇实用文章，供广大同行参考。直接点击标题即可阅读，欢迎收藏。（更新至2021年1月15日）收好这份灾备知识总结：容灾与备份区别、灾备技术、容灾体系规划城商银行双活容灾建设方案设计三大难点同城双活容灾体系中的

的所有补本http://www.symantec.com/business/support/downloads.jsp?pid=15143在这里我们下载NB_7.0.winnt.x86.exe

event）单次发生的需要注意的事情，例如上述触发器状态由问题变成了正常或者由正常变成了问题，均可以称为一个事件。事件包括触发器事件、自动发现事件、自动注册事件和内部事件

【导读】对于每一个银行信息系统的建设和维护人员来说，永远绕不开的都是如何保障业务的持续稳定无间断运行，最关注的是系统的稳定性，可靠性和高可用性。而“双活”技术，则是构建一个7*24小时稳定运行系统必不可少的技术手段，本文从双活系统的技术选型出发，详细阐述了基于华为存储双活方案、双活建设要求、数据迁移方法等宝贵实战经验。对于想要构建双活系统，又不知从何入手，期望从理论和实践得到指导的IT从业人员来说，非常有借鉴意义。【作者】老谷，某银行存储架构师，主要负责银行的基础架构的架构设计及运维工作，擅长存储、同城双活建设等技术领域。1

以下图片点击可放大安全工程安全配置计算机网络基础密码学网络安全系统安全应用安全安全法规和标准本文由社区会员分享，版权归原作者所有觉得本文有用，请转发或点击“在看”，让更多同行看到

proc.num[进程名,root,,]这个键值，但只能返回的是进程的数量，虽然效果上也能实现，但和预期的结果有些区别，而且也不直观，尤其在同一个进程数多的时候。下面说下获取具体进程名的方法!1、

【简介】本文以中小银行数字化转型为背景，对中小银行传统应用迁移容器云平台的实践经验进行总结，探索出适合中小银行特有金融架构特征的容器云平台建设路线。从业务需求出发，通过建设以容器云平台为基础的底层IT资源平台，为业务发展提供安全、稳定、可靠、灵活的支撑。同时，本文也将针对容器云平台落地面临的容器灾备、容器云网络建设等问题进行选型和实践经验分享。【作者】灰灰，某中小银行项目管理师，从业经验超10年，先后经历过需求分析师、项目经理、咨询顾问、组织级PMO角色转变。曾参与银行基础架构设施建设，包括基础设施IaaS云平台、统一云管理CMP平台、容器应用PaaS平台、DevOps平台、两地三中心容灾及云安全的规划、技术选型、架构设计和实施等建设工作。一、建设背景近年来，随着金融业务不断扩展，云计算技术在金融行业的发展已经经历过了第一代虚拟化、第二代资源池化，正在向以容器、微服务、DevOps为关键技术和特征的第三代云计算技术前进，以满足金融业新型业务对快速部署、弹性扩展、自动化运维等核心需求。金融行业已经步入以容器为核心的第三代云计算技术的时代，目前国内大型金融机构虚拟化技术相对成熟，从国有五大行到区域银行都在积极向基础设施云推进，但中小银行相对缓慢，更多处于云平台的尝试使用阶段。面对高并发、多频次、大流量的全新业务场景，银行业务系统的响应效率变的越发重要，同时金融业务的服务连续性要求也越来越高。而我行原有的基础架构平台已不足以支撑银行当前的高速信息化建设及创新发展要求。如何应对不断升级的互联网业务系统，紧跟大行科技信息化建设的步伐，建设具有中小银行特有金融架构特征的容器云平台变得尤为重要。二、需求分析在银行数字化转型的进程中，传统虚拟化在一定程度上降低了运维的复杂度，提升了资源的利用率，解决了IaaS层面基础设施的问题。但在金融业务数字化转型趋势下，传统应用系统框架正加速向新型互联网金融业务框架改造和升级，银行运维管理部门面临的互联网时代下对金融IT基础架构挑战也越发明显，具体的需求和挑战主要有以下几方面：1、基础设施建设层面。金融云数据中心一直以来都习惯采用最成熟稳定的IT技术路线通常使用国外主流厂商提供的商业产品和相关技术来构建数据中心，在技术实施、支持和运维保障等方面很大程度依赖设备供应商，这使得金融行业自身缺乏核心的技术积累；传统技术方案根据业务峰值来配置基础设计资源，造成大量的资源浪费，拉高了金融IT建设成本。因此需采用先进的成熟技术，借鉴同等规模的金融单位实际建设应用情况，同时满足信创国产化诉求，避免一家厂商绑定的情况。结合我行的VMware使用现状，现行考虑与Openstack的商业化厂商进行深度合作。2、多云管理与服务运营。随着金融业务的迅速发展以及规模的不断扩大，金融IT系统的数量、规模和复杂度也呈现几何级数增长。金融虽然数据中心完成了大集中建设，但依然延续了传统的建设模式、传统的技术方案。因此多厂商、多云共存、多控制平面分别管理的现状，各自独立运维管理，增加了管理复杂度等问题，同时无法提供可视化的运营管理。结合我行的未来建设需求，考虑通过CMP建设统一的管理平面，解决多云统一化运维难题，同时通过服务目录设计与自服务功能，解决多云统一化运营难题。3、业务快速响应。在金融服务互联网化以及利差市场化的挑战下，金融业务转型已经成了唯一出路，各大金融机构也将互联网化提升到了发展战略，并以此快速推出创新业务。但这些新目标所需要的海量处理能力基本上无法通过传统IT基础设施设计模式有效满足，传统商业方案的天花板是大型机模式，但高昂的建设成本和漫长的建设周期也是企业无法承受的，探索高效、弹性、成本合理的新型基础设施建设模式已经成为金融IT建设的必然选择，同时传统建设模式和方案不利于大规模弹性伸缩，为了弥补这些与生居来的问题，传统方案设计上愈来愈复杂。因此IaaS层建设通过SDDC进行实现，采用多云、多技术栈架构，应对不同的业务场景，快速响应业务需求，如通过Openstack、Kubernetes等技术，建设业务的弹性能力、快速扩容能力、DevOps能力。4、云平台容灾备份。金融云平台业务连续性要求愈发严格，运行风险日益增大，数据中心稳定运行的风险越来越突出，保证数据安全、业务连续性满足金融云的合规安全需求。因此实现主数据中心不可用情况下，备数据中心无缝割接网络及接管主数据中心业务系统，保障业务系统安全和业务服务的持续势在必行。我行近两年已构建了基于Iaas平台的“两地三中心”基础架构，数据中心服务能力由传统主备服务能力向云上的“双活”或“多活”中心服务能力提升。为满足进一步发展建设的需求，需以围绕提升银行内部开发效率，逐步改善原有IT基础资源管理方式，提高资源利用率为目标，构建以超融合为基础的IaaS虚拟化平台和容器云平台组成的底层IT资源平台。三、技术路线选型及难点分析1、现有IT架构和业务架构的痛点我行在IT架构技术演变过程中，需要考虑到两点，分别是IT组织内部的降本增效，提升资源和产品的交付能力，同时还要具备较高且灵活的业务架构的适配，更好的支撑业务。业务架构以实现企业的经营战略为目标，构建全面的市场化业务能力并实现对接IT架构的能力，IT架构需具备安全性、稳定性和可扩展性，提供端对端的支撑。业务架构和IT架构随着企业的业务发展，两者之间的边界已经不再泾渭分明，因此IT架构也需要通过技术的手段帮助IT团队加深对业务架构的理解，目前主流的方法是通过对IaaS能力的下沉，PaaS能力的平台化进行实现。目前，主要痛点在于因IaaS过多的承担资源单向输出，更多的面对信息化建设场景，无法从企业战略的需求提供更优质的弹性伸缩能力，而业务需求的不稳定性也加速这种矛盾的爆发，因此这种输出能力的滞后性也带来了对于业务的高稳定性和高可靠性的挑战。图：业务架构和IT架构的关系结合我行现阶段的发展情况进行规划分析，通过服务器虚拟化及容器虚拟化技术，作为基础架构底座，来建设金融云平台。基于容器技术的基础架构革新势在必行，这是面向业务“云迁移”的一个重要分支。通过容器云的敏捷性提升开发运维上线速度，提高跨环境的高一致性，提高开发交付质量；通过容器云的弹性伸缩能力，消除单点故障，提升业务访问效率；通过可扩展性，实现细粒度动态扩展和最大化的组件、资源密度，从而充分利用基础架构资源。2、容器云建设难点分析金融云平台整体包括IaaS和容器两部分，金融云平台为本项目建设范围，包括基础设施云平台、容器云平台、统一云管理平台、DevOpS、云安全和云灾备。在建设容器云平台的过程中，特别是在传统的金融银行业对监管要求严格的情况之下，容器云平台的落地会面临很多的问题和挑战。灾备多活我行近两年已构建了基于Iaas平台的“两地三中心”的基础架构，核心数据库通过iaas层的存储双活方式进行构建，防范物理性的故障导致数据丢失问题；重要数据通过备份软件进行数据冷备，防范逻辑故障导致的数据丢失问题。看似架构完整，其实存在众多问题，例如：主备数据中心负载问题、应用切换问题、数据库同步及切换等问题。我行此次的规划是建设金融行业云平台，满足金融的监管需求以外，如何满足灾备多活的建设目标，建设的难点在于容器云“多云多活”，多套容器云多数据中心，实现业务应用流量的负载及切换，数据的实时同步等。容器网络目前，行业内容器云网络建设没有标准化的建设方案，容器云网络方案可谓百家争鸣。既要满足行内本身的技术架构体系，又必须同时满足各个团队对于业务、运维等方面的诉求，如：平台内外网络能够直接打通；管理网络和数据网络分离；具备网络隔离能力，硬件隔离的强安全性和软件隔离的灵活性；网络模型力求简单，易于掌控，易于调试；高性能，低抖动的网络吞吐及增加固定

，因为如果在node节点上执行该命令有可能会获取旧的api地址）第二步：K8S集群的Master主机生成一个token用来认证，请求数据api数据生成令牌命令如下（在K

汇集本公众号推送过的部分VMware内容，方便大家收藏参考。包括安装配置文档、优化、故障处理、方案设计，以及一些使用技巧，适合各种程度的用户。（更新至2020年12月20日）☛