靈雀云&CNBPA：2022央國企云原生落地實用指南（51頁）.pdf

1、 2022-7 國民經濟和社會發展第十四個五年規劃和 2035 年遠景目標綱要中明確提出“加快數字化發展 建設數字中國”，迎接數字時代，激活數據要素潛能，推進網絡強國建設，加快建設數字經濟、數字社會、數字政府，以數字化轉型整體驅動生產方式、生活方式和治理方式變革。此外，2020 年國務院國資委印發的關于加快推進國有企業數字化轉型工作的通知，更是明確對央國企數字化轉型提出了指導方向，提出要促進國有企業數字化、網絡化、智能化發展。包括建設基礎數字技術平臺、構建數據治理體系、推進產品創新數字化、生產運營智能化、用戶服務敏捷化、加快新型基礎設施建設、加快關鍵核心技術攻關等。對于央國企而言，采用云原生等

2、新興技術加速數字化轉型已成為必然趨勢，各行各業都在積極探尋云原生轉型的成功路徑，為企業數字化轉型提速。在此背景下，云原生技術實踐聯盟聯合靈雀云，共同發布2022 央國企云原生落地實用指南（以下簡稱“指南”），指南聚焦央國企不同領域不同階段的云原生轉型實際痛點及解決方案，匯集豐富技術實踐干貨，覆蓋金融、工業、交通、醫療、教育等各行業實戰方法論和先鋒實踐案例，深入探討央國企云原生轉型成功路徑，希望能對央國企云原生轉型有所裨益，進一步加快央國企云原生轉型步伐，加速打通央國企數字化轉型“最后一公里”，為數字經濟蓬勃發展裝上助推器。一、云原生轉型的時代背景.2 1、政策驅動：推進央國企數字化轉型意義重大

3、.2 2、業務需要：云原生已被證明是企業數字化轉型的最短路徑.3 3、科技變革：以容器為代表的云原生技術已成為企業數字化轉型的主戰場.4 二、央國企如何利用云原生實現數字化轉型彎道超車？.6 1、什么是適合央國企的“上云”路徑？.6 2、央國企云原生全棧云建設全景藍圖.7 3、央國企云原生全棧云建設思路：1+4+6+N.10 三、穩字當頭的央國企如何實現云原生技術的平穩落地？.13 1、穩中求進：央國企云原生轉型規劃落地三步走.13 2、行穩致遠：央國企云原生轉型如何筑牢安全防線？.14 四、央國企云原生實戰方法論及先鋒實踐.23 1、金融篇.23 2、工業篇.27 3、交通篇.33 4、醫療

4、篇.39 5、教育篇.42 五、了解更多.48 一、云原生轉型的時代背景 以云原生加速數字化轉型是央國企以實際行動踐行“兩個維護”的具體體現。習總書記多次指出,要加快數字經濟發展，做出了“促進數字經濟和實體經濟深度融合”的重要指示。國有企業作為黨執政興國的重要支柱和依靠力量，采用云原生等新興技術持續推進數字化轉型，不斷釋放數字技術對經濟發展的放大、疊加、倍增作用，是貫徹落實習總書記重要指示批示精神的具體行動，是踐行“兩個維護”最直接、最現實的體現。以云原生加速數字化轉型是央國企助力構建新發展格局的有益嘗試。形成以國內大循環為主體、國內國際雙循環相互促進的新發展格局，是以習近平同志為核心的黨中央

5、把握國內外大勢、著眼高質量發展作出的重大戰略部署，是在危機中育新機、于變局中開新局的制勝之策。推進數字化轉型，不斷增強競爭力、創新力、控制力、影響力、抗風險能力，有利于國有企業在構建新發展格局中做出更大貢獻、體現更大作為，有利于新發展格局的加快形成。以云原生加速數字化轉型是央國企實現高質量發展的內在要求。當今世界正處在向數字時代邁進的增速變軌期，以云原生、大數據、人工智能為代表的新一代數字技術日新月異，催生更多新產業、新業態、新模式，開辟了廣闊的市場空間和發展前景。加快推進數字化轉型，有利于國有企業抓住新技術發展機遇，改造提升傳統動能、培育發展新動能，在數字經濟大潮中實現更高質量的發展。以云原

6、生推進數字化轉型是央國企推動社會經濟發展的必然選擇。國有企業是中國特色社會主義的重要物質基礎和政治基礎，是數字經濟建設的主力軍和排頭兵。采用云原生等重要科技手段和賦能工具，加快推進數字化轉型，為產業數字化賦能，為數字產業化注智，實現企業以及產業層面的數字化、網絡化、智能化發展，是國有企業推動經濟社會發展的必然選擇，具有重大戰略發展意義。企業的數字化轉型是把企業實現核心價值的方式和數字化的技術和渠道相融合。以金融行業為例，過去，網點是銀行實現息、儲、放貸等核心價值的主要途徑，現在 APP 已經變成了銀行實現價值的重要手段，甚至互聯網銀行在誕生之初根本就沒有網點，APP 是他們實現價值的唯一方式。

7、當一個企業發生數字化轉型，這個企業 IT 部門就會發生巨大的變革。原來企業IT 和企業財務、法務、人力資源都是支持部門、成本中心，但是現在他們開始變成了企業運營和實現價值、實現增長的核心抓手。在這樣一個大背景之下，傳統IT 必然會面臨多方面的需求和挑戰。以往運維的應用主要是 ERP、財務、OA 系統，數字化轉型時代，大量新興數字化業務的數量可能帶來幾何級的增加，比如，靈雀云服務的一些城商行的渠道系統上已經有多達 8 千+服務，而股份制銀行客戶更是運營著 10 萬+服務。以前企業更多通過采購獲得新的 IT 能力，但是現在數字化業務和企業核心業務息息相關，是企業競爭力的來源，結合業務需求不斷打磨、

8、自研才是可行途徑。奶企、房地產這種相對傳統的企業也在向“軟 件企業”轉型，Gartner 指出 2020 年企業有 75%的業務來自于自研而非采購。以某快遞公司為例，每周二、周四要針對 30 個國家 3300 個業務進行升級，這需要非常驚人的敏捷度。傳統業務系統，更多是基于信息的記錄，但是在數字化的今天，系統更多是基于交互。因此業務系統越來越復雜，傳統單體架構在功能開發、軟件交付、測試更新等各方面都不能勝任。從單體式架構解耦變成小服務甚至微服務才是良策。這些也是“敏態 IT”的需求，敏態 IT 對傳統 IT 意味著強烈的“破壞性”、“顛覆性”?；谶^去標準構建的 IT 運維和運營體系在敏態 I

9、T 的面前變得疲于應對、捉襟見肘。據 Gartner 預測，隨著越來越多的企業步入云原生化的進程，更多地采用本地云應用程序和基礎設施，遠高于 2022 年的 30%。IDC 預測也表明，容器軟件市場在近幾年呈爆發式增長，并且未來五年仍然會保持超過 40%的復合增長率。到 2025 年，容器基礎架構軟件市場收入將與虛擬化軟件市場、云系統軟件市場齊平，成為近幾年促使軟件定義計算市場增長的新 動力。對于廣大企業來說，以用戶為中心構建商業敏捷運營能力變得愈發重要，這就要求傳統企業必須進行 IT 革新，一場以軟件為核心的變革正在悄然展開，當采用容器管理成為一種新常態，那么如何充分發揮容器的潛力，盡可能多

10、地享受云原生的紅利，也就成為了企業未來幾年必須面臨的挑戰。數字化轉型的加速計劃將增加企業對于云原生的需求，相應地也會導致容器的使用增加，從而進一步導致對容器管理（軟件和云服務）的增加。云原生使得企業快速、持續創新成為可能，是它的關鍵詞，云原生帶來的不僅僅是應用的云上部署，而是意味著全新 IT 的重塑，包括開發模式、系統架構、部署模式、基礎設施、組織文化等一系列的自動化、敏捷化演進和迭代。相較于傳統的應用架構，采用以容器為核心的云原生架構能夠為企業帶來更多的潛在好處。在高彈性、高可用、高安全性的云原生架構下，企業得以將更多精力聚焦于業務創新上，而不必再操心容器技術的細枝末節，不僅能夠實現敏捷開發

11、流程、快速運維部署，大幅提升開發人員的整體生產力，而且對 CI/CD 管道的配置、DevOps 實現也是一個福音。據 Gartner 預測，對更高層次的創新、靈活性和彈性的需求，將導致基于云的容器管理服務成為 2025 年之前 85%新的定制化企業應用程序的默認選擇（2022年公有云的默認選擇僅為 55%）。這也意味著采用容器管理的現代化應用已成必然趨勢，CNBPA 最新的調研結果表明，業務應用的敏捷開發、智能運維、性能優化是企業選擇擁抱云原生的重要驅動力，傳統的技術架構已經不足以支撐日益多元的業務應用需求，而以容器為核心的云原生化改造則能夠有效地幫助企業實現從傳統應用到現代化應用的完美過渡，

12、將軟件發布速度提高 3 至 4 倍，故障率減少 80%以上，加速企業數字化轉型。Gartner 高級研究總監 Paul Delory 表示：“企業機構在疫情期間迅速加快了采用云的速度，并且這一速度將在未來幾年進一步加快。云服務能夠讓聰明的業務領導者對機會或威脅迅速做出反應?！痹圃夹g實踐聯盟（CNBPA）在前不久發布的第四期（2021-2022）傳統行業云原生技術落地調研報告央國企篇中也發現：在自主可控的新時代發展機遇下，幫助央國企更好地實現從“上云”到“云 上”的完美過渡。在數字經濟背景下，傳統企業的 IT 團隊面臨著更多元的業務需求、更敏捷的迭代速度、更復雜的 IT 研發運維管理等一系列

13、挑戰，而傳統基礎設施已不能完全滿足企業日益增長的敏態 IT 挑戰。為更好地應對上述挑戰，越來越多的企業開始擁抱開箱即用、自主可控的一站式“全棧云原生”平臺，快速優化現有資源配置，最大限度地提高開發人員的生產力、減輕運維人員的工作負擔，推動企業 IT 和業務應用的敏捷迭代和高效演進，以實現數字化轉型“彎道超車”。，能夠讓資源配置更好地適應應用的實際需求，從而改進基礎設施的敏捷性、自動化、效率和成本優化，驅動業務創新增長。在進行云原生全棧云全景藍圖規劃時，不僅僅要考慮云原生全棧云自身，而且要站在整個 IT 基礎設施的角度上，去考慮如何通過云原生全棧云，進一步促進業務創新和業務成功。云原生全棧云全景

14、藍圖規劃，通常分為以下 6 層：要考慮對于兩類基礎硬件的支持，比如 Intel X86 和信創基礎設施。很多客戶在信創之前，已經在 X86 環境上建好了平臺，而在信創環境搭建好之后都會面臨一個抉擇，是把 X86 上的平臺往信創上去延展、變成統一平臺，還是在信創平臺上再去建設一個完整的獨立的平臺。很多客戶都選擇了前者，一套平臺覆蓋信創和 X86，所以在建設云原生平臺初期就應該考慮這件事，提前把信創考慮在內，支持雙技術棧，也就是一云多芯。在基礎層之上構建的就是云原生全棧云，包括容器管理平臺、服務治理平臺、研發效能平臺和中間件平臺。首先，最重要的就是容器管理平臺，作為整個云原生全棧云的基礎，后續上層

15、所有的業務能力、管理能力都需要由容器來支持；其次，服務治理平臺可以為當前日益增長的微服務應用提供強大的治理能力；再者，研發效能平臺可以解決從開發到運維的一體化管理問題；此外，中間件平臺可以解決云原 生應用的數據問題。那么再往上構建的就是業務能力層，主要分為通用能力和專用能力兩大關鍵板塊。首先是通用能力，包括人工智能、大數據、區塊鏈、移動開發等等，離業務相對較遠，但具有很強的復用性；此外就是專用能力，即企業在經營發展的過程中逐漸沉淀下來、后續可以復用的關鍵能力，比如訂單管理、會員管理、商品管理等等。通常情況下，我們也會將通用能力和業務能力結合到一起，稱之為業務中臺。在這些統一的業務能力層之上才會

16、去構建應用層，應用層的建設實際上是對下層能力的組裝，所以我們經常會提建設大平臺、小前端的一套體系，如果想要構建這樣一套體系，最基本的統一的能力中心是一定要構建起來的。當我們已經做好了上述技術能力和業務能力的下沉之后，上層應用就會變得更加敏捷化、輕量化。只有這樣，我們才能讓應用的開發變得更簡單，變成簡單地搭積木，變成組件化，進行能力的調用和組合，就能夠快速地擴展新的業務，極大地推動業務創新。構建好應用之后，就會根據業務類型的不同進行應用發布，通過 F5 負載均衡、API 網關等方式將業務發布到終端上。也就是用戶層。以上就是云原生全棧云全景藍圖，在整體藍圖的規劃過程中，一方面要重視整體全棧云平臺的

17、建設，另一方面也要重視相應的保障體系，包含敏捷開發、業務上云、運維運營、服務治理、數據管理、安全生產等等。首先，企業需要建設統一的全棧云核心支撐平臺，覆蓋所有的基礎設施，基于所有基礎設施提供統一的云原生能力。這樣做有以下三點好處：第一，可以實現，屏蔽下層多種基礎基礎設施差異，向上為業務應用提供統一標準的部署、運維、管理的界面，迅速補齊其他現有云的缺陷，實現多云管理；第二，可以實現，滿足一云多芯的國產化需求；第三，可以有效，比起直接采用開源工具，全棧云能夠直接為托管 K8s提供成熟且安全合規的 DevOps、數據服務，實現低成本定制開發。除此之外，。傳統應用可能包括單體應用、SOA 應用、分布式

18、/RPC 應用、SpringCloud 應用、ServiceMesh 應用，而云應用則包括容器應用、OAM 應用、SpringCloud 應用和 ServiceMesh 應用。我們建議第一次進化時要簡單快速、可實施，盡量避免規劃過于復雜，而是快速讓研發、運維、業務人員感受到云原生全棧云的便利；即便是業務上了全棧云之后，業務的進化也并沒有停止，還可以進行第二次進化，比如：可以把容器應用進化成 OAM 應用、實現業務解耦；把 SpringCloud 應用進化成 ServiceMesh 應用，實現業務和治理的分離，形成治理下沉。在二次進化時，我們的建議是輕度改造，適可而止，也就是說不是所有業務都需要

19、直接進化到最終的成熟度，把應用保持在最合適的成熟度即可。其次，全棧云平臺需要具備以下四大核心能力：容器管理能夠為容器化的業務提供運行環境（計算、存儲、網絡等）、運維工具、展示頁面，并且為不同職責人員提供權限管理。在進行容器管理能力規劃時，要重點關注架構的先進性。容器作為云原生全棧云的核心底座，其架構先進性主要體現在對于一云多芯、邊緣計算、GPU 虛擬化等的支持，而這很大程度上會影響未來整個云原生全棧云的穩定性和持續發展。提供敏捷開發平臺，能夠規范梳理研發管理流程，快速將代碼通過自動化流程構建為應用并且部署起來，提升業務交付效能。在進行研發效能規劃時，要重點關注開放的 DevOps。封裝比較厚重

20、的 DevOps 往往具有很強的觀點性，很難適應企業現有的技術環境，而且很難打通企業以往的技術資產，所以采用開放的 DevOps 工具就成為了必然選擇。提供服務治理框架，提升業務流的管理細粒度，為業務本身的改進及對外服務的提升提供依據及支撐。建議企業重點關注雙棧微服務治理能力，除了 考慮傳統的 SpringCloud，也要將先進的下一代微服務架構 ServiceMesh 納入規劃中，采用雙棧支持、雙棧調用，通過雙棧微服務治理架構實現微服務進階的完美過渡。構建常用中間件框架管理和維護體系，引入符合技術特點要求的中間件，并提供中間件的全生命周期維護。建議企業盡量采用產品化程度比較高的中間件平臺，可

21、以極大程度上提升開發、測試、運維的工作效率。此外，企業還需構建以下六大體系：構建完善的研發過程管理流程，規范快速開發、上線部署、功能測試、缺陷修復的工作流程和工具集，形成集團內部知識庫，為現有和后續的業務系統提供敏捷開發的技術及管理支撐。完善服務內控制度和服務質量管理，逐步建立起一套符合企業實際的運維管理標準及應用制度；采用標準的 IT 運維管理流程，提供準確、詳盡、專業的報告制度，為企業信息化建設提供決策依據。數據管理體系的框架相對固定，由管控目標、對象、措施、組織、規范、流程和管控平臺構成；同時，整個管控體系應適應企業戰略和總體業務目標需要，呈螺旋式上升、持續演進動態變化。制定業務開發規范

22、，結合容器、OAM、SpringCloud、ServiceMesh四種應用類型明確業務上云過程中應用分類規則、遷移策略、割接方法、運維方法等；同時，制定四種應用類型進化方法論。以業務流向為導向的治理體系，關注在業務間調用協作，為業務的快速迭代提供業務管理的支撐，同時服務治理框架技術路線的選擇也聯動影響著業務開發。樹立安全文化及理念；管理層的承諾、支持與垂范；安全專業組織的支持；建立可實施性好的安全管理程序/制度；進行有效而具有針對性的安全培訓；員工的全員參與。最后，在上述全棧云基礎之上，構建以全棧云為核心的多種業務能力，組裝可復用的業務能力實現業務中臺建設，支持敏捷且可持續的業務開發和業務創新

23、。由于云原生全棧云的建設并非一蹴而就，而是意味著全新 IT 的重塑，包括開發模式、系統架構、部署模式、基礎設施、組織文化等一系列的自動化、敏捷化演進和迭代，因此我們建議傳統企業在構建云原生全棧云時，實施“三步走”策略。第一步，建立全棧云平臺，構建平臺服務能力?？梢韵冉ㄔO一個標準的、小規模但功能齊全的全棧云，初步實現一個平臺、四種能力、試點應用。第二步，豐富中臺業務能力，打造一體化運維體系。從局部試點到全局應用，在平臺基礎之上擴展更多的業務能力，擴大應用規模，提升管理水平。第三步，豐富完善自身能力，優勢能力持續推廣。最后依托完善的平臺能力，進一步實現對內的深入推廣，對外的同業賦能。央國企只有依據

24、自身企業的實際情況，合理規劃云原生全棧云轉型方案，探尋出最適合自己的云原生轉型路徑，才能更快速地向更敏捷、更可靠、更高效的云原生全棧云進階。隨著云原生進入快速發展期，越來越多的企業步入云原生化進程，但，基于安全“左移”原則的 DevSecOps 應運而生，將從 DevOps 全流程為企業的業務系統注入安全風險免疫能力。以容器、微服務、服務網格為代表的云原生技術正在被廣泛使用，重塑了云端應用的設計、開發、部署和運行模式，實現了自動化、易管理、可觀測的全新 DevOps體系，使開發者和運維人員能夠最大限度地提高生產力，更敏捷、更高效、更安全地進行應用迭代。然而，云原生給業務帶來敏捷積極影響的同時，

25、也帶來了全新的安全挑戰：以容器為載體的云原生應用實例極大地縮短了應用生命周期；微服務化拆分帶來應用間交互式端口的指數級增長以及組件間設計復雜度的陡升；多服務實例共享操作系統帶來了單個漏洞的集群化擴散風險；談及云原生安全，不少人還停留在傳統安全意識和觀念，關注 Web 攻防、系統攻防、密碼暴力破解等。然而，安全總是具有“短板效應”，有時，一個簡單的端口暴露、未授權訪問沒及時處理就為攻擊者提供了不費吹灰之力長驅直入的機會。此外，云原生技術架構帶來的風險，在未來數年內，可能會成為攻擊者關注和利用的重點，進而發動針對云原生系統的攻擊。傳統基于邊界的防護模型已不能完全滿足云原生的安全需求，眾所周知，只有

26、通過全面了解云原生面臨的安全風險，才能夠更精準、更快速地搭建更可靠的云原生安全防護模型。以下就是備受大家關注的六大云原生安全風險，來看看你入坑了嗎？網絡的細粒度劃分增加了訪問控制和分離管控難度。云原生環境下，服務細粒度劃分，業務依賴關系復雜，如果容器網絡層不能跟隨業務關系實現細粒度訪問控制策略，就會帶來權限放大風險。比如：無需被外網訪問的業務被默認設置了外網訪問權限、容器網絡可以無限制的訪問宿主機節點的下層網絡等，攻擊者將利用這些漏洞，獲取權限外甚至核心系統的訪問控制權限，實現越權甚至提權攻擊。此外，云原生網絡既有東西向流量、又有南北向流量，服務間流量訪問頻繁；且多服務實例共享操作系統，一個存

27、在漏洞的服務被黑客攻陷將會導致同一宿主機上的其他服務受影響，如果 Pod、ns 之間、沒有做好網絡隔離策略，外部攻擊就能從高風險實例逃逸，伴隨東西向流量在集群網絡內部的實例間進行橫向攻擊，致使威脅在集群內擴散。比如：有些容器平臺采用 underlay 模式網絡插件，使 得容器 IP 與節點 IP 共享同一網絡平面，在業務 IP 最終暴露給最終用戶同時，管理控制臺會面臨被入侵的風險。云原生編排組件存在漏洞及管控風險增加入侵概率。首先，非法提權暗含潛在安全隱患，如果普通用戶獲得管理員權限或者 Web 用戶直接提權成管理員用戶，編排工具可能存在多種漏洞導致此類攻擊。比如：如果系統中存在一個 K8s

28、的提權漏洞，允許攻擊者在擁有集群內低權限的情況下提升至 K8s api server 的權限；通過構造一個對 K8s api server 的特殊請求，攻擊者就能以 K8s api server 身份向后端服務器發送任意請求，實現權限提升。其次，編排工具組件眾多、各組件配置復雜，配置復雜度的提升增加了不安全配置的概率，而不安全配置引起的風險不容小覷，可能會導致編排工具中賬戶管理薄弱，或部分賬戶在編排工具中享有很高特權，入侵這些賬戶可能會導致整個系統遭到入侵。再者，容器在默認狀態下并未對容器內進程的資源使用國值做限制，以 Pod 為單位的容器編排管理工具也是如此。資源使用限制的缺失，導致環境面臨

29、資源耗盡的攻擊風險，攻擊者可以通過在容器內運行惡意程序，或對容器服務發起拒絕服務攻擊占用大量宿主機資源，從而影響宿主機和宿主機上其他容器的正常運行。鏡像構建部署過程不規范引入安全風險。首先，在傳統模式中，部署的軟件在其運行的主機上“現場”更新；與此不同，容器則必須在上游的鏡像中進行更新，然后重新部署。因此，容器化環境的常見風險之一就是用于創建容器的鏡像版本存在漏洞，從而導致所部署的容器存在漏洞。其次，鏡像配置不當可能會讓系統面臨攻擊危險，例如，鏡像未使用特定用戶賬號進行配置導致運行時擁有的權限過高；鏡像含 SSH 守護進程導致容器面臨不必要的網絡風險等。此外，鏡像及容器技術一個主要的特點就是方

30、便移植和部署，云原生用戶可以將符合 OCI 標準的第三方鏡像輕松部署到自己的生產環境中。因此，攻擊者可將含有惡意程序的鏡像上傳至公共鏡像庫，誘導用戶下載并在生產環境中部署運行，從而實現其攻擊目的。鏡像倉庫模式增加云原生軟件供應鏈風險來源。首先，鏡像倉庫安全風險主要涉及倉庫賬號及其權限的安全管理、鏡像存儲備份，傳輸加密、倉庫訪問記錄與審計等，這些方面如果存在加固或配置策略不足的問題，就可能導致鏡像倉庫面臨鏡像泄露、篡改、破壞等風險。例如，垂直越權漏洞，因注冊模塊對參數校驗不嚴格，導致攻擊者可以通過注冊管理員賬號來接管Harbor 鏡像倉庫，從而寫入惡意鏡像。實際使用中，用戶往往會將鏡像倉庫作為有

31、效且獲得批準的軟件源，因此，鏡像倉庫遭到入侵將極大增加下游容器和主機的被入侵風險。除此之外，鏡像倉庫面臨的另一個重要安全問題就是保證容器鏡像從鏡像倉庫到 用戶端的完整性。如果用戶以明文形式拉取鏡像，在與鏡像倉庫交互的過程中極易遭遇中間人攻擊，導致拉取的鏡像在傳輸過程中被篡改或被冒名發布惡意鏡像，則會造成鏡像倉庫和用戶雙方的安全風險。容器特性增加了容器運行時逃逸風險和威脅范圍。首先，用戶可以通過修改容器環境配置或在運行容器時指定參數來縮小或擴大約束。如果用戶為不完全受控的容器提供了某些危險的配置參數，就為攻擊者提供了一定程度的逃逸可能性，包括未授權訪問帶來的容器逃逸風險，特權模式運行帶來的容器逃

32、逸風險。其次，將宿主機上的敏感文件或目錄掛載到容器內部，尤其是那些不完全受控的容器內部，往往會帶來安全問題。在某些特定場景下，為了實現特定功能或方便操作，人們會選擇將外部敏感卷掛載入容器。隨著應用的逐漸深化，掛載操作變得愈加廣泛，由此而來的安全問題也呈現上升趨勢。例如：掛載 Docker Socket、掛載宿主機進程文件系統引入的容器逃逸風險等。再者，相關程序漏洞，指的是那些參與到容器生態中的服務端、客戶端程序自身存在的漏洞。例如 CVE-2019-5736 正是這樣一個存在于 runC 的容器逃逸漏洞。更重要的一點是，容器的內核和宿主機共享，且容器技術本身建立在 Linux Namespac

33、e 和 Linux Cgroups 兩項關鍵技術之上，所以 Linux 內核本身所產生的漏洞會導致容器逃逸。Linux 內核漏洞危害極大、影響范圍極廣，是各種攻防話題下不可忽視的一環。近年來，Linux 系統曝出過不少存在提權隱患的內核漏 洞，典型的就是臟牛漏洞（DirtyCOWCVE-2016-5195）。隨著企業數字化轉型進程的不斷深化，IT 架構從以傳統數據中心為核心向以云計算為承載轉變，多云、混合云、分布式云成為主要形態，以數據中心內部和外部進行劃分的安全邊界被打破，IT 架構面臨更多安全信任危機。這方面的風險主要包括：資源暴露面增大，工作負載可信程度難以保證；分布式應用架構導致東西流

34、量激增，默認可信的風險大；數字化工作空間擴展，終端和身份可信狀況都需要把控。在新技術、新生態、新業務、新市場需求的不斷沖擊下，企業對業務應用的要求變成了“更快的迭代速度、更高的服務質量、以及更強的安全性”，企業安全開發運維模式逐漸向更敏捷、更穩健、更安全的 DevSecOps 新模式轉型。在“Everything Shift Left”的大背景下，DevSecOps 則完美地滿足了當前企業敏捷安全開發運維的需求趨勢，能夠有效防范上述安全風險，被廣泛認為是云原生時代更讓企業放心的安全防護模型。首先，所謂安全“左移”，即盡量早地暴露安全問題從而減小被攻擊面，越早發現問題就能用越小的成本去規避安全風

35、險，將云原生安全管控融入到 DevOps 的全流程中，從開發到上線全生命周期覆蓋。比如：在上線前的開發過程中，可以先進行代碼安全掃描、以及黑盒、灰盒測試；在構建鏡像倉庫后，進行鏡像深度掃描、鏡像簽名類工作；在上線后，進行容器配置檢查、監控容器運行時的異常行為；通過早期定位安全問題，提前進行排查，最終減少攻擊面和潛在的運行風險。在安全“左移”原則基礎之上，我們可以從以下 4 個維度，進一步構建基于 DevSecOps 的云原生安全架構模型：主要是 IaaS 層的安全，包括計算安全、網絡安全、存儲安全等。在鏡像安全方面，針對鏡像安全風險可以進行鏡像掃描、鏡像簽名、敏感信息掃描，針對鏡像及鏡像傳輸過

36、程中的安全，可以進行鏡像倉庫訪問控制、鏡像倉庫安全通信等；在運行時安全方面，可以進行容器運行時異常行為分析，如發生敏感掛載等問題時可以進行有效監控，并及時做出容器隔離等安全響應；在編排及組件安全方面，可以增加 CIS 等安全基線掃描、針對 K8s 集群的漏洞掃描、敏感信息加密、訪問控制、對命名空間之間、Pod 之間的資源隔離與限制；在容器網絡安全方面，可以制定和主機或外部服務之間的訪問控制策略、更細粒度的網絡隔離、以及網絡入侵行為的監控。在微服務安全方面，可以進行微服務的 API 安全治理、微服務之間的訪問控制和安全通信；在研發運營安全方面，要更關注安全設計、代碼安全、制品安全，同時可以進行靜

37、態應用測試、動態應用測試、交互式應用測試，盡早規避安全風險，并進行運行時安全配置；在數據安全方面，可以通過數據加密、數據備份、數據脫敏，來保障安全性。在整體云原生平臺構建以及 K8s 集群管理過程中，企業還應該關注安全審計、用戶權限管理、安全策略、監控管理、密鑰管理等一系列相關配置。在實踐方面，以某全國性大型銀行為例，該銀行全棧云容器平臺作為驅動金融數字基礎設施建設的重要引擎，通過建立上述安全“左移”的云原生安全防護模型，踐行安全可靠的 DevSecOps 理念，實現了企業級的全生命周期自適應安全、IT系統智能化檢測、可靠的容器安全管理、敏捷化 DevSecOps 流程、零信任安全風險評估，大

38、大提升了其業務系統的安全風險免疫能力，構筑了強大的云原生安全防線。金融機構如何利用云原生技術實現數字化突圍？在數字經濟不斷發展的今天，各種各樣的新型業務應用及形式也不斷涌現，金融機構比以往面臨著更為嚴峻的敏態 IT 挑戰，如何有效利用云原生技術加速新業態、新應用持續創新，快速滿足業務需求，成為了金融機構數字化轉型的新焦點。金融機構在采用云原生架構時有“萬能模板”嗎？在云原生技術實踐聯盟（CNBPA）日前發布的調研中顯示，。這也與國際知名權威分析機構 Gartner 預測的“”相一致。金融機構在云計算建設和技術引入時，建議考慮基于以 Kubernetes 為核心的云原生平臺來做，Kubernet

39、es 作為云的操作系統，可以屏蔽下面各種各樣不同的云環境、云基礎設施，它自身是一個可移植層，這樣在做混合云和多云管理時，對應用遷移以及其他工作負載非常有好處，可以做到跨環境的兼容。由于Kubernetes 的可擴展性，本身平臺之平臺的屬性，導致它天生適合用來作為整個混合云的控制面板，用它去編排不同類型的云環境以及云基礎設施和各類云服務。在建設路線上應該以應用為中心，覆蓋應用全生命周期為目標進行云計算的建設方向。充分考慮平臺融合基礎設施、微服務框架、數據服務、DevOps 工具等模塊作為平臺組件，以建設具備全棧能力的云平臺為發展方向。在應用架構轉型的語境里和組織自我進化的角度，建議可以參考以下

40、15 個要素，這些要素幾乎涵蓋了云原生架構下應用轉型的各個方面。要素 1：基準代碼（Codebase）一份基準代碼，多份部署。要素 2：依賴（Dependencies）顯式地聲明依賴關系。要素 3：配置（Config）在環境中存儲配置。要素 4：后端服務（Backing Services）把后端服務當作附加資源。要素 5：構建、發布、運行（Build、Release、Run）嚴格分離構建、發布、運行。要素 6：進程（Processes）以一個或多個無狀態進程運行應用。要素 7：端口綁定（Port Binding）通過端口綁定提供服務。要素 8：并發（Concurrency）通過進程模型進行擴展

41、。要素 9：易處理（Disposability）快速啟動和優雅終止可最大化健壯性。要素 10：開發環境與線上環境等價（Dev and Prod Parity）盡可能保持開發、預發布、線上環境相同。要素 11：日志（Logs）將日志當作事件流。要素 12：管理進程（Admin Processes）將后臺管理任務作為一次性進程運行。要素 13：優先考慮 API 設計（API First）。要素 14：通過遙測感知系統狀態（Telemetry）。要素 15：認證和授權（Authentication and Authorization）另外，去年信通院牽頭進行了云原生成熟度標準體系的討論和標準制定，在

42、這個體系里面包括一個云原生業務應用成熟度的評估標準，根據基礎設施域、應用研發域、服務治理域以及組織管理域成熟度綜合計算，共分為五級，五個級別有明確的定義，比如在初始級，技術架構局部范圍開始嘗試云原生化改造，并取得初步效果，而卓越級，技術架構已完成全面云原生化改造，且這個技術模塊功能已相當完善，能夠很好地支撐上層應用。據悉，由信通院牽頭制定的國內首個“云 原生能力成熟度模型”現已發布，為企業提供云原生基礎架構能力的權威指南，感興趣的朋友也可以進一步了解。相較于大型金融機構，很多中小型可能面臨著 IT 人員相對匱乏、技術能力相對薄弱、IT 系統至今沿用傳統架構等問題，那么在實施云原生架構改造過程中

43、應如何進行選型，如何分批次將現有架構納入改造，傳統核心類應用是否適合進行容器化改造，也是現階段中小型金融機構重點關注的問題。針對這些問題，建議中小型金融機構在容器化選型時，應該盡量選擇具備豐富落地及咨詢經驗的企業和成熟的產品，實施步驟上建議初期以容器基礎設施建設結合 DevOps 工具鏈建設，讓企業能快速享受云原生帶來的收益。同時選擇在容器及基礎設施、微服務、DevOps 三大領域都具備支持能力的產品和公司，能夠有效減少后期由于兼容性問題帶來的運維成本，這一點對于技術人員相對較少的中小型金融機構來說尤為重要。在實施容器云架構改造過程中，可以優先選擇結構簡單的輕量型單體應用，例如一些典型的 Ja

44、va 應用和自開發單體應用。另外適合優先改造的還有微服務架構的應用，例如 Spring Cloud 等微服務架構應用，這樣能夠快速平滑地把現有應用資源向容器化環境遷移，讓中小型金融機構能夠快速體驗云原生帶來的好處?？傊?，無論是大型金融機構，還是中小型金融機構，在數字化轉型時，都應該理性地規劃轉型步驟和資源配置策略，選擇更適合自己的云原生構建方案。從業務增長的角度來說，云原生 PaaS 平臺雖然是未來企業業務的核心競爭力的底層支 撐，但非核心競爭力本身所在。企業應該將更多的精力投入到與業務相關的研發上，采購相對標準化的第三方底層平臺，可有效減少轉型過程中的盲目之舉和資源浪費。如今，面對激烈的市場

45、競爭和飛快的技術迭代，各級金融機構都開始全面擁抱云計算?；A設施、應用架構等層面的云原生化改造，能夠讓更多業務應用從誕生之初就生長在云端，從技術理念、核心架構等多個方面，幫助金融 IT 快速、平穩落地上云之路，以創新科技賦能金融數字化轉型。近年來，在國家新發展格局和數字化轉型的驅動下，越來越多的工業制造企業在云計算、大數據、人工智能和 5G等技術的共同作用下持續開展工業數字化革新。以新一代信息技術與先進制造技術深度融合為基本特征的智能制造，已成為新時代工業數字化的核心驅動力。相應地，作為智能制造發展的重要基石，邊緣計算、云原生、分布式云也正在迅猛發展，采用熱度不斷提高、技術日趨成熟、應用場景日

46、益豐富，成為推動數字經濟發展的重要引擎。據 Gartner 預測，在數據中心和公有云基礎設施之外的分布式設備、服務器或網 關中執行的數據和分析活動將日益增加。它們越來越多地位于邊緣計算環境，更加靠近數據和相關決策的創建和執行地點。IDC 預測也表明，隨著數字優先組織尋求在數據中心之外進行創新，邊緣計算繼續獲得動力，預計到 2025 年支出將增長到 2740 億美元。同時“十四五”規劃中也明確指出要“協同發展云服務與邊緣計算服務”，云邊協同已經成為未來重要演進方向，工業互聯網作為物聯網在工業制造領域的延伸，也繼承了物聯網數據海量異構的特點。在工業互聯網場景中，邊緣設備只能處理局部數據，無法形成全

47、局認知，在實際應用中仍然需要借助云計算平臺來實現信息的融合。然而，傳統的技術方案已經無法滿足當今工業制造企業面對性能、效率的嚴苛要求，云原生邊緣計算的出現則能完美彌補邊緣側對數據快速處理、快速迭代更新的敏捷要求。邊緣計算在過去幾年經歷了極為快速的技術演進，與云原生的結合將能讓邊緣計算更好的吸收云、大數據和 AI 的成果，并讓后者進一步擴展應用范圍。隨著產業數字化的蓬勃發展，云原生邊緣計算必然會將更多的創新帶入更多企業，成為 推動數字化、智能化的關鍵力量。邊緣計算滿足邊緣側對數據快速處理、決策快速執行的要求。邊緣計算在智能制造中的主要功能有 5 點：數據存儲、邊緣業務低時延、多接入協議互轉、及時

48、分析、邊緣控制?；谶吘売嬎愕墓δ芴攸c，它可與 5G 雙劍合璧實現廠內 AGV 聯網、可利用圖形處理能力實現邊線質檢、也可實現海量 IOT 數據本地處理。本質上，邊緣計算是分布式計算的一種應用方式，將計算能力下沉至終端設備附近。云原生作為數字經濟時代的理想賦能工具，通過開發模式、系統架構、部署模式、基礎設施、組織文化等一系列的自動化演進和迭代，能夠幫助企業用更短的時間取得更大的成效，讓企業更快速、更敏捷地進行業務創新，從資源配置優化、敏捷運營等多角度、全方位地助力企業降本增效。云原生和邊緣計算的有機結合，能夠幫助企業，不僅可以提供統一的管控平臺（基礎設施、應用和云服務），支持任何工作負載（虛擬

49、機、容器、微服務、無服務器、數據服務、機器學習），而且還可以實現靈活地定義基礎設施和應用平臺、規?；毓芾戆踩昂弦幮哉?，通常，邊緣計算和云原生技術可在以下幾點結合：基于 Kubernetes 底座部署的云原生中心云平臺可實現邊 緣集群資源的管理，邊緣節點的資源都可以被中心云平臺統一管理和運營。通過容器平臺和雙棧治理架構實現對虛機應用、單體應用、分布式應用、微服務應用等管理。應用容器化后可通過 DevOps 能力實現應用快速開發交付。邊緣集群上的應用由云平臺進行統一管理，實現邊緣應用批量分發到多個邊緣集群。云邊斷網的情況下，不影響邊緣集群業務運行，邊緣集群可以實現邊緣自治，應用的故障自愈和彈

50、性伸縮。Kubernetes 云平臺可通過 CSI 接口對接各種類型的存儲設備，此外還可通過 Topolvm 等技術將本地存儲統一管理起來。不光使邊緣節點具備一定的數據存儲能力，還可定期將邊緣節點的不活躍數據傳到中心云平臺對接的數據存儲中心，從而滿足智能制造場景對于數據存儲的需求?；?Kubernetes 的云平臺部署 AI 協同計算平臺，實現中心端 AI計算平臺與邊緣集群 AI 應用協同工作?；陂_源的 Kubernetes 云平臺具有開放、靈活、可拓展的特點，其豐富的生態社區可以滿足智能制造場景對于存儲設備、工廠設備、IoT設備、AI 等對接的需求。為進一步加快智能制造企業數字化轉型步伐

51、，很多傳統工業企業在智能制造云原生邊緣計算場景也進行了深入探索。簡單來說，邊緣計算解決方案可以大致分為以下 3 個層次：，管理員可以登錄該管控平臺監控、管理和運維企業內所有 K8s 集群。該平臺為可選項，一些保密環境的用戶可以選擇不連接該平臺；，該管控平臺可以實現邊緣 Kubernetes 集群、應用、資源的統一管理，并實現邊緣應用批量管理和下發；，適合于加油站、收費站、廠房、產線等邊緣場景，可以在 1 臺及以上服務器上搭建邊緣計算平臺，提供統一存儲、網絡、容器、虛擬機計算能力。并且一鍵式從云端下推中間件、數據庫、應用到邊緣集群。以吉利集團為例，在工業互聯網的背景下，吉利集團依托靈雀云的容器和

52、微服務相關技術，構建了一個能力開放的 PaaS 平臺。平臺包含 4 個部分：提供從代碼到構建到交付全流程，以及不同環境下的管理能力，實現業務需求的快速響應，提升應用的快速迭代和交付的能力，降低開發的投入等?；诙嘧鈶舻募汗芾?、配額管理、資源調度等能力，實現不同的開發團隊在同一套平臺上構建或者部署業務應用的需求。支持將多種業務系統融合到統一平臺進行管理，需要監控平臺提供相應業務應用的監控、告警日志，也包括計量計費的功能。依托容器平臺提供開放能力，把不同的服務通過 API 接口網關的形式，對內或者對外提供安全、穩定、開放的 API 服務。對于吉利集團來說，基于靈雀云容器云、DevOps、容器應用

53、支撐、中間件能力，以及開放的 API 接口，打造了集團工業互聯網復雜應用的統一底座，同時獲得了巨大收益：首先，實現可構建、實施、發布，亦即應用快速發布的核心理念。第二能夠在平臺上構建相應的中間件服務，提高應用的優勢。第三能夠提供全維度的統計和分析，包括計量計費和租戶管控等，。第四實現運營化的 IT，平臺提供的資源底座，能夠實現資源的共享、彈性的調度，。第五實現未來的云邊協同基礎，邊緣計算場景、跨云的演進需要靈活、平滑的協作，平臺支撐邊緣計算場景的快速落地，在如今的數字經濟浪潮下，汽車產業正面臨著前所未有的轉型大變局，汽車產品的屬性正在從傳統的機電一體化產品升級成為軟硬件深度融合的智能終端，“軟

54、件定義汽車”已成業界共識。從用戶需求角度來看，隨著車聯網的不斷發展，用戶對于和軟件相關的性能體驗的需求越來越強烈，“更聰明的、更高科技的車”正在取代“更好操控的車”，而這對汽車軟件的數據治理、存儲能力、算力、迭代速度就產生了更高的要求，軟 件對于用戶需求體驗起到了愈發重要的作用。從業務應用角度來看，車聯網業務應用日漸多元化，車企的數據治理也日趨復雜，如何快速打破信息孤島、統一系統架構、加速業務創新成為了車企亟待解決的問題。從技術變革角度來看，云原生、人工智能等科技的飛速發展，大大促進了智能網聯汽車的革新。軟件的升級已經成為了全行業所必須擁抱的變化，汽車系統逐漸從封閉的系統發展轉為開放的系統，。

55、為了更好地提升用戶體驗、搶占市場優勢，越來越多的車企也開始步入云原生化的進程，如何更大程度地享受云原生技術的紅利成為了車企的新焦點。新的市場競爭格局下，主機廠紛紛增加新業務形態，面對市場和客戶擴展業務。汽車廠家也有自己的客戶 APP,基本上通過外包人員進行應用開發，應用架構多采用單體架構或分層架構。車企面臨著更為嚴峻的敏態 IT 挑戰：B2C 業務高峰期壓力大，內部計算資源無法動態調整應對。：雙 11 或者 618 等臨時性高并發場景，需要應用能夠支持跨云部署、擴展以及遷移的能力以增強資源彈性。：應用迭代周期最快為 2 月一次迭代，迭代頻率過低，同時交付周期長，問題和缺陷發現和反饋慢，無法應對

56、業務的快速變化。：當前正在引入微服務等應用架構，目前缺乏對新一代應用架構的支撐 PaaS 云平臺。首先，從生產效率方面來看，成熟的全棧云原生平臺提供的是一套開箱即用、靈活開放的工作方式，提升開發、運維人員的工作效率，讓企業能夠將更多的時間與人力聚焦于業務創新。其次，從 IT 化運營方面來看，云原生能夠幫助車企搶占市場優勢、。未來每一個企業都將成為軟件企業，車企 IT 的先進程度會直接影響到其汽車產品的核心競爭力，云原生能夠幫助車企迅速構建起高并發、高可用、海量數據計算和存儲的車聯網產品和體系，同時，讓車企有更多機會去試錯，智能網聯應用得以在最大化滿足用戶需求的基礎上，實現快速開發。此外，從資源

57、配置方面來看，云原生轉型能夠幫助車企優化資源利用，節約更多的傳統基礎設施成本，并實現跨多云的統一管 理、部署和迭代。在這里我們直接以的云原生實踐為例：2018 年，在高并發訪問、高吞吐量以及車輛的車聯網接入需求推動下，其智能網聯應用做微服務的改造和應用容器化，“智能網聯開發院”和“數字化部門”聯合起來對整個平臺架構進行了相應的設計，在平臺建設中核心痛點就是需要引入一個微服務的治理平臺，以及一個業務應用的管理平臺，來支撐整個智能網聯平臺的開發需要。項目依托于靈雀云 ACP 管理平臺，配合微服務治理平臺，實現了業務應用的運行以及業務應用治理的工作。項目一期實現部分服務器的納管，形成計算資源池，為業

58、務應用提供部署資源。同時，通過微服務治理功能，實現為業務應用的不同部門或者不同開發團隊，適配相應的容器化集群。當然，平臺的落地并不能只是把工具提供給了客戶，讓客戶更好地用起來，也是一個非常大的挑戰，尤其對于微服務這樣比較新的概念來說。靈雀云在項目當中也為客戶提供了微服務治理咨詢服務，對于微服務的拆分，微服務改造，以及如何更好地使用平臺的各種功能都提供了有針對性的咨詢服務。經過幾年的努力，該車企的營銷數字化業務的不同業務系統都逐漸遷移到這個平臺上來。這么大規模的平臺和業務應用，運維人員可能只需要 35 個人。對于他們來說，能得到的收益，首先就是，第二是，第三是極大地，少量的人員就可以支持大量的業

59、務系統的運維工作，同時，通過平臺的資源自動伸縮、微服 務治理能力，項目實現了。車聯網是未來交通系統的發展方向，它是將先進的信息技術、數據通訊傳輸技術、電子傳感技術、控制技術及計算機技術等有效地集成運用于整個地面交通管理系統而建立的一種在大范圍內、全方位發揮作用的，實時、準確、高效的綜合交通運輸管理系統。隨著車聯網日益受到各家車企的重視，很多車企都會將車聯網應用納入云原生轉型的重點。首先，從車聯網應用架構來看，包括：車機、智能手機、地圖導航、語音技術、HUD（Head Up Display 平視顯示器）、OBD（On-Board DiagnosTIc 車載診斷系統）、CAN（Controller

60、 Area Network 控制器局域網絡）、RFID（Radio Frequency IdenTIficaTIon 射頻識別技術）、ITS（Intelligent Transport System智能交通系統）、智能座艙、自動駕駛等等。此外，從車聯網應用上云策略來看，建議車企在車聯網應用遷移時，提前制定好業務上云的策略體系，比如制定業務開發規范，結合容器、OAM、SpringCloud、ServiceMesh 四種應用類型明確業務上云過程中應用分類規則、遷移策略、割接方法、運維方法等。再者，在車聯網應用遷移規劃時，除了需要考慮上述核心業務應用能力之外，也要從“云端芯”一體化架構全局來進行合理

61、規劃。CNBPA 最新的調研結果也表明，傳統的相對割裂的 IT 架構已經無法滿足企業日益發展的創新需要，在如今的云原生時代，企業更應該從整個 IT 基礎設施角度上，去考慮如何通過云原生促進業務創新和業務成功。在實際執行時，建議車企可以考慮 3 步走的云原生轉型策略，比如可以考慮先建設一個標準的、小規模但功能齊全的云原生全棧云平臺，初步實現一個平臺統一管理各類基礎設施、構建平臺的應用服務能力，快速讓研發、運維、業務人員感受到云原生全棧云的便利。第二步再豐富中臺業務能力，在統一的云原生平臺基礎上擴展更多的業務能力，擴大應用規模，提升管理水平。第三步可以繼續豐富完善自身能力，優勢能力持續推廣，打造更

62、完善的車聯網云原生業務中臺，享受云原生技術的紅利。首先，在面對 B2C 業務流量不確定性，原有的單體業務和虛擬機部署方式無法對突發性高并發業務進行支持，需要構建一套基于應用級別的云計算平臺，實現應用級的資源共享和統一調度。其次，針對單體或 SOA 應用架構，在高并發業務適應性、高擴展性展現的不足，通過對現有應用架構和業務邏輯進行解耦，以微服務架構方式對現有架構進行重構，以容器化的方式進行應用部署，實現應用的快速交付、部署、上線。在新開發的功能以微服務架構開發，原有的 SOW 和單體架構架構保持不變，慢慢的把業務轉移到微服務架構中。此外，針對現有架構實現在短時間內實現 2C 高并發業務：建議把

63、雙 11 或者618 等臨時性高并發場景的功能提前單獨拆分出來，以微服務化方式交付，在基于 PaaS 云平臺上進行業務承載，可能項目初期私有云資源不夠時可利用云有云資源優勢部署企業 PaaS 平臺（只使用公有云資源），實現業務快速上線和高并發 2B 業務承接，在活動結束后把數據導入私有云庫。最后，針對多家開發商時，需要建立基于新一代業務開發、管理、交付體系。從業務代碼、開發規范、自動化構建、質量標準、測試流程、上線標準進行統一管理。DevOps 平臺可實現以上能力，車廠和應用管理小組進行標準規范的制定，DevOps 開發平臺進行流程、規范的落地。通過 DevOps 標準化交付流程對應用交付質量

64、、效率進行管理。實現在變現未來高效應用業務需求交付。近年來，醫療服務領域新形態不斷涌現，國務院在關于促進“互聯網+醫療健康”發展的意見中指出，允許醫療機構開展部分常見病、慢性病復診等互聯網醫療服務，為“互聯網+醫療健康”明確了發展方向。數字化時代的發展，驅動著醫院醫療業務向智能化、協同化和個性化發展，催生出了新的業務模式和醫療服務方式。特別是在疫情的影響下，無接觸、少接觸的 線上問診成為了人們的剛需。而傳統的醫療信息化建設很容易導致單體故障和數據孤島，無法全面開展互聯網+醫療服務、滿足用戶多元化的線上服務需求，因此對醫院來說，提升醫院的智能化服務水平就成了當務之急。為了滿足當前人們對就醫的安全

65、性、靈活性、便捷性需求，很多醫院都開始利用云原生、大數據等新技術來積極謀求轉型，探索智慧醫療的全新打開方式。這時，一種生于云上的新型“智慧醫院”就走進了人們的視野，以醫療系統、服務系統、管理系統和保障系統等為核心，能夠實現醫療數據的統一治理和醫療服務的智能化升級，掛號結算、遠程診療、咨詢服務、慢性病復診等業務都可以通過線上辦理，可以說，基于云原生的智慧醫院已成為醫療信息化建設熱點和主流方向。智慧醫院建設是醫療行業數字化的重要一環，那么如何搭建適合新一代智慧醫院的云架構呢？私有云、公有云該怎么選？首先，需要明確一點，所以建議在技術架構設計初期就將業務應用的拆分考慮進來，運用一些微服務容器化的敏捷

66、集成技術將無法改造的老系統和新系統打通。業務挑戰嚴峻，對靈活性和開發迭代周期短的業務領域應用，可以優先考慮轉到這個方向上來。其次才是解決該上什么云的問題，采用混合多云部署的方式，混合云負責互聯網應用的互聯互通，公共業務的服務都可以部署在上面，而核心業務數據庫等在自身的私有云上，形成內部業務閉環。一般通過在邊界上放置防火墻，網閘等安全設備，數據通過業務接口程序單向傳遞。從技術實現上來看，醫院的大多數業務都適合云原生化。從應用場景來看，建議醫院可以先從智慧醫院應用場景和數據中心入手，逐步開展容器化改造。比如，在場景中，患者中心可以通過服務化、移動化的手段使醫療服務和醫院流程向患者集中；醫療費用中心

67、可以通過微服務和容器化支持產品應用快速構建，靈活應對醫院快速發展的信息化需求。另外，在醫院的上，容器化部署也會帶來很多好處?；谌萜骰脑圃夹g是大勢所趨，容器云具備快速部署和便捷運維等特性，支持 DevOps 的開發運維一體化，可以讓醫院信息中心業務部署更靈活、更簡單。2021 年國家衛生健康委在關于印發醫院智慧管理分級評估標準體系（試行）的通知中指出，智慧醫院的建設主要分為三部分內容，包括智慧醫療、智慧服 務、智慧管理三大評估標準。智慧醫療面向醫務人員，智慧服務主要面向患者，智慧管理主要指后勤物資和運營管理。為了實現以上三部分智慧醫院建設內容，首先醫院需要建設一個安全、可靠、穩定的基礎設

68、施環境，再在基礎設施之上進行醫院信息化建設和數據安全建設，主要包括以電子病歷為核心的醫院信息化和醫院數據的統一安全管理。實現智慧醫院，以上任何一步都不可或缺，特別是在基礎設施方面，首先需要查缺補漏，在醫院內部利用云原生、物聯網、大數據等新技術完成基礎環境建設，統籌管理資源，可以考慮先建立全棧云原生平臺、構建服務能力，然后擴大應用規模、豐富業務能力、逐漸從局部試點推廣到全局應用，打造新一代基于云原生的智慧醫院。2022 年全國教育工作會議以及教育部 2022 年工作要點明確提出，實施教育數字化戰略行動?！皵底只D型”作為我國教育領域的一項重要改革舉措，將為教育高質量發展注入新動力，成為 2022

69、 年教育“關鍵詞”。在疫情的影響下，在線教育為人們更好地認識這個世界提供了幫助，同時也為改變這個世界提供了全新的方法與實現路徑。高校等教育機構作為知識密集、網絡信息技術運用充分、思想活躍的前沿征地，其對教育資源的信息化、數字化也有著更高的要求，智慧校園的建設并非以數字化轉型為目的，而是以云計算、物聯網、大數據分析等新技術為支點，提供一種環境全面感知、智慧型、數據化、網絡化、協作型一體化的教學、科研、管理和生活服務，并能對教育教學、教育管理進行洞察和預測的智慧學習環境，其本質是為了促進教育現代化、提升教學體驗和效果。在智慧校園的建設中，有以下幾個典型場景：多以容器平臺為底座，提供底層及集成服務，

70、各類應用系統運行于平臺之上，實現統一的系統登錄、安全認證、數據交換與共享、服務入口，以便后續的數據治理。：集校園服務云平臺、學生智能學習終端、家長手機客戶端于一體，屬于典型的邊緣場景應用，提供不受時空限制的在線教育服務。：對外向公眾提供各種服務，展示校園風采、傳遞校園動態，對內集成智慧校園上各類業務應用系統、數據資源，為各類用戶提供統一的服務入口，用戶根據其不同的權限登錄和訪問系統，進行相關的系統操作。：多采用微服務架構，集分布式存儲、資源管理、資源共 享、在線學習為一體的綜合性資源服務平臺，能夠實現對高校海量教育資源的統一管理，包括招生入學、學籍管理、培養管理、學位論文管理、導師管理、學生管

71、理等環節，充分滿足高校研究生信息化建設的需要。然而，傳統的 IT 架構早已經不能滿足教育機構對于智慧校園的建設需求，如何打破信息孤島、充分利用各項新技術來構建新一代智慧校園，已成為未來高校信息化戰略所必須思考的問題。，與 AI、大數據、邊緣計算的有機結合，更是可以有效實現系統架構的統一、數據的統一治理，共同為加快高校智慧校園的敏捷化、智能化、信息化建設提供有力支撐。當前，高校信息化建設的主要矛盾之一，是在當前數字化大發展的背景下，種類和數量都快速增加的高校信息化應用，和當前高校信息化經費投入以及自身技術支撐能力之間的矛盾。隨著高校信息化的日益深入，高校的業務應用種類和數量也隨之增加，信息門戶、

72、移動校園、在線學習、資源管理等應用形式也越來越豐富，訪問途徑也擴展到了手機、平板等更多智能終端，然而由于高校的信息化經費投入有限，從某種程度上來說也限制了其自身技術支撐能力的發展，業務應用需求的指數型增加和技術人力的有限投入存在著一定的差距。以往的傳統技術架構已經不足以支撐當前信息化業務的多元、敏捷需求。在深化信息化建設的過程中，高校面臨著重重的建設挑戰，具體有以下幾個方面：首先，在數字化轉型規劃設計方面，很多高校等教育機構在開發運維流程、系統架構、數據治理、應用迭代等方面的建設尚未形成標準化、現代化的規范體系，規劃和管理難度較大。其次，在團隊建設方面，教育機構面臨著用少量人員完成海量工作的巨

73、大挑戰，現有開發運維人員的工作壓力極重。再者，在信息化平臺建設方面，由于信息化應用急劇增加，高校內部管理信息系統可能存在各自分割、不平衡不兼容、信息孤島等現象。另外，在師生信息化服務體驗方面，由于投入有限，應用的開發和運維面臨著較大的工作壓力，有時可能會出現不能快速迭代、及時滿足業務需求的情況；陳舊的師生信息化業務也為教學開展和師生學習生活帶來了諸多不變，系統宕機、臨時故障都可能導致師生的信息化體驗受到影響，應用的滿意率無法保障。最后，在信息化經費投入方面，高校信息化建設經費總量有限，但信息化建設的成本過高，不利于信息化項目的持續開發、敏捷迭代。國際知名權威分析機構 Gartner 也在預測中

74、表明，為更好地應對上述信息化挑戰，越來越多的教育機構開始步入云原生化的進程，采用以容器為代表的云原生技術已成為高校加速信息化建設的必然選擇以容器為核心的云原生平臺能夠為高校的核心業務應用提供安全、穩定、高可用性的技術支撐，對于開發人員來說更加利于敏捷迭代，對于運維人員來說更加易于維護和管理，對于業務側也能大幅提升應用的可用性和創新能力。無論是從資源配置優化角度，還是從企業敏捷運營角度來看，云原生都是高校加速信息化、實現降本增效的理想賦能工具。通過構建教育行業全棧云原生平臺，可以規范區域或學校的教育信息化系統建設，形成圍繞教育行業的更為完善的信息化體系，并進一步提升教育信息化建設的應用實效。然而

75、，教育行業云平臺的建設，不能單純地只從技術角度來思考系統的建設，而是應該站在整體業務發展角度，綜合運維管理難度、應用可用性、工作效率、建設成本、轉型路徑等因素來進行全盤考量。我們先來看一組全棧云原生架構和傳統 IT 架構特點的直觀對比，以典型的數據中心場景為例，為什么當今很多教育企業都選擇擁抱全棧云原生呢？從上圖中不難看出，云原生架構不僅可以規避掉很多傳統架構的弊端，還能通過和大數據的結合釋放出更大能量，更適合新時代教育行業的敏態 IT 需求，能夠在更短時間為教育機構的信息化建設裝上加速器。在實際落地過程中，建議先基于現有的教育業務進行一站式全棧云原生平臺建設，由云原生平臺的全局管理集群提供以

76、容器網絡、容器存儲、容器應用、容器化部署的數據中間件服務、與容器技術結合的 DevOps 開發交付平臺、基于容器化部署微服務應用的全生命周期管理、以及統一監控運維的能力。如果主業務和大數 據業務都進行容器化改造，那么就可以通過一站式全棧云原生平臺（例如靈雀云ACP）進行統一的管理，實現上述所有功能。同時，高校擁抱云原生技術的過程，也是擁抱開源的一個過程。對于高校來說，學習了解云原生與開源是必要的，但由于新技術、新應用的學習和試錯成本較高，建議落到實際教育業務開展時，更多考慮借助成熟的商業化云原生產品快速賦能業務。引入專業的云原生技術廠商，能夠更好地利用其產品化優勢和強大的技術實力，加快高校自身

77、云原生化轉型的步伐，全面提升開發、運維、運營的能力和質量，支撐業務應用的持續創新和快速迭代。作為中國云原生領域的領軍企業，靈雀云特別推出了。該方案以自主可信的技術路線為支點，以容器/Kubernetes技術為核心，構建靈雀云全棧云原生私有云平臺 Alauda Container Platform，針對企業級關鍵業務具有主機系統可靠性、安全性、高性能和可擴展性，技術架構更貼合企業業務應用，滿足企業級應用逐步向容器化、微服務化過渡的廣泛需 求，全面支持各類國內外硬件及基礎設施，可以幫助您的企業在任何云上安全地構建、運行管理現代應用程序，助力企業獲得持續創新的核心能力。與靈雀云架構師進行業務探討，咨詢云原生與容器技術的最佳實踐和規劃指導！咨詢熱線：4006-252-832 咨詢郵箱：marketingalauda.io 更多信息請訪問：