首页 > 论文范文 > 社会科学论文 > 科技论文 > 自动化论文 > 跨网部署中容器技术应用的自动化探究

跨网部署中容器技术应用的自动化探究

2020-11-11 227 上传者：管理员

摘要：随着软件开发技术的飞速发展，以Docker容器、持续集成、自动编排等技术在微服务的开发和部署中被广泛应用。但是对一些专有的隔离的网络环境来说，由于安全需要禁止访问互联网，部署问题却是一个很大的挑战。为了解决这些隔离网络环境中部署的问题，本文提出了一种全自动的微服务跨网络部署的设计，采用光闸技术解决镜像文件的传输。实践证明，该方案能够有效传输Docker镜像文件，并自动化的发布到镜像仓库。相比于传统上基于硬盘复制镜像的方式，本方案提高了部署效率，增强了系统的稳定性。

关键词：
互联网
光闸
容器技术
微服务
自动化部署
加入收藏

随着互联网的快速发展，企业业务系统需求的不断变化，传统的单体架构存在高耦合，不易扩展等缺点，已经很难满足用户各种新增需求。为了解决单体架构在水平方向上的扩展问题，微服务架构应运而生。它把应用从业务到数据库层面自上而下垂直分割成多个不同的服务单元，这些业务单元之间既相互独立，也能够单独运行。各个服务单元通过约定的协议集成在一起，协同完成一个具体任务。如今越来越多的企业系统采用这种微服务体系架构。

微服务架构中，可以通过横向扩展方式来解决系统瓶颈问题[1]，充分利用系统资源。但是微服务由于服务的细化必然会带来巨大的维护成本，为了解决这个问题，可以使用Docker容器技术来发挥微服务的优势，实现系统的高效运行。基于Docker的微服务，一方面可以提升系统的启动速度和数据读写速度，同时使系统具有了延伸性和扩展性[2]。正是由于Docker容器技术有这些优点，因此有很多学者和专家进行了大量的研究工作，有些涉及Docker安全方面，有些涉及容器之间的隔离研究，但是关于微服务跨网络部署的研究相对不多。

众所周知，在一些隔离网络中，其由于安全需要，通常屏蔽掉访问互联网资源的权限，而Docker镜像打包过程中需要在线下载安装一些软件包。因此上述的持续集成在该网络环境下没法使用。传统的跨网络单体项目部署中，一般采用可移动硬盘复制的方式[3,4]：首先将运行程序打包，复制到可移动硬盘，然后将文件复制到内网侧，安装运行该程序。对于单体架构来说，这种部署方式虽然麻烦，但是还是可以克服。当采用微服务方式部署时，各个微服务被打成Docker镜像，如果采用传统的部署方式，构建Docker镜像，然后将镜像打成tar包，接着移动硬盘复制镜像到内网，将tar包还原成镜像，修改镜像tag，将镜像推送到仓库。由于微服务模块众多，如果采用这种和单体服务相同的部署方式，对于部署人员简直是灾难，即使能够勉强完成部署，也很难适应高速迭代的微服务系统要求。

为此，本文提出了一种基于光闸的自动化部署方式，利用光闸单向传输特性，在外网端自动将Docker镜像推送到光闸，在内网端自动还原Docker镜像并推送至仓库。该方案能够极大降低微服务跨网络部署时的烦琐，减少人为失误，相比于传统的移动硬盘复制的方式，该方案提高了部署效率，增强了系统的稳定性。

1、基本概念和原理

1.1 内网

近年来，随着信息时代的到来，黑客相关技术也相应地发展迅猛，信息泄露的各类事件也时有发生，给很多企业和单位带来很大的损失。现阶段，很多企业、机构与组织都有很多的内部机密文件，这些文件必须保存在独有的内部网络来保障安全，被称为内部网络。和互联网不同，这些内部网络相对比较封闭，与互联网之间一般存在物理上的隔绝。因此一般内外网上文件的传输往往通过光盘刻录或者可移动硬盘进行复制。这一过程相当烦琐，如果文件或程序有其他的依赖，需要程序的离线安装等操作。

1.2 光闸系统

光闸系统也被称为单向隔离光闸系统，系统主要采用的是采用旁路分光采集还原技术实现单向数据传输的一种隔离装置，具有高带宽、高实时性、高安全性等，可以有效解决信息数据之间传输问题[4]。单向光闸一般由内网传输单元、外网传输单元和分光单向传输单元三部分组成。其中内网传输单元逻辑上与高安全密级的内部网络相连，物理上与外网隔离；外网传输单元逻辑上与外部专网连接；分光单向传输单元是内网传输单元和外网传输单元之间通信唯一的、逻辑安全的传输通道。

1.3 微服务架构

微服务是指根据业务功能构建，相互协同工作的小而自治的一批服务的集合，这些相互独立的服务协同组成整个功能系统[5]。微服务具有高内聚性、低耦合、易扩展性和高度自治性，易于业务升级和水平扩展。服务之间通过网络接口调用的方式进行通信，从而增强了服务之间的相对独立性，避免了紧耦合。每个单独的微服务都可以作为独立的模块，可以独立地进行开发、管理和部署。微服务架构中各个服务之间拥有自己完整的运行资源，之间相互独立，微服务之间采用轻量级的通信机制进行通信[6]。

1.4 存在的问题

在微服务架构中，一个微服务系统中可能有几十到上百的服务组成，需要提供多台服务器或者虚拟机，以几群的方式运行，因此微服务的部署更加复杂。在互联网环境下，微服务部署一般是通过持续集成工具[7]，比如jenkins，可以统一部署的公共流程，首先拉取代码生成Docker镜像，镜像包含执行该服务所需要的应用程序和库文件，然后将镜像更改tag后推送到镜像仓库，最后通过kubernetes平台拉取相应镜像启动微服务。但是在跨网络系统部署时，持续集成的线路被打断，传统方式只能将镜像打成tar包，接着移动硬盘复制镜像到内网，将tar包还原成镜像，修改镜像tag，将镜像推送到仓库。由于微服务模块众多，如果采用这种和单体服务相同的部署方式，对于部署人员简直是灾难，就算能够勉强完成部署，也很难适应高速迭代的微服务系统要求。针对这个问题，寻找出一种方案来实现容器的自动化部署尤为迫切。

2、自动化设计与实现

针对微服务跨网络部署中存在的问题，实现容器自动化的部署越来越迫切。本文提出了一种解决该问题的自动化方案。该方案主要分成两个部分：外网自动化设计和内网的自动化设计。外网部分主要通过jenkins自动将镜像文件打包上传到外网传输单元；内网侧主要负责将内网传输单元的文件下载到本地并推送至Docker仓库。

2.1 外网容器自动化部署设计

外网部分的设计主要是生成Docker镜像并将镜像推送至外网光闸传输单元。该设计全程会集成到jenkins中，包括拉取仓库代码，根据Dockerfile生成镜像文件，打包镜像文件，通过ftp的shell脚本推送到外网传输单元。

外网传输自动化部署主要包括以下几个步骤：

(1）从代码仓库中拉取最新代码到jekins，根据代码中的Dockerfile文件生成Docker镜像。

(2）将镜像打包成tar文件。

(3）将文件ftp推送到光闸，因为光闸只支持ftp的方式，因此在jenkins机器上需要预先将ftp传输的shell脚本放置到机器上面。

2.2 内网容器自动化部署设计

内网自动化部署部分的设计主要是接收光闸上的Docker镜像tar包，将load出Docker镜像推送到Docker仓库。内网的自动化传输模型如图1所示。

内网传输自动化主要包括以下几个步骤：

(1）通过FTP方式连接到内网传输单元；

(2）获取光闸传输后文件夹对应的文件列表；

(3）判断文件夹是否有文件存在。若存在执行步骤4，若不存在返回到步骤2，继续监控文件夹；