Kubernetes 落地案例｜WePay: Kubernetes 改變了我們的業(yè)務(wù)

yunhao 發(fā)布于2019-07-01 16:24 / 997人閱讀

摘要：月，在谷歌云平臺(tái)會(huì)議上，我們?cè)陔娮又Ц短峁┥痰膶?shí)踐中看到了成功。打破了單個(gè)程序到一套通過(guò)谷歌開(kāi)源平臺(tái)容器編排引擎來(lái)合作的模式。這周，谷歌發(fā)布了的最新版本，版本是一個(gè)企業(yè)友好型平臺(tái)，比如說(shuō)它支持有狀態(tài)應(yīng)用程序。

我們聽(tīng)說(shuō)了很多關(guān)于容器編排執(zhí)行得好，就能夠流水化 IT 和業(yè)務(wù)流程的信息。3 月，在谷歌云平臺(tái)會(huì)議上，我們?cè)陔娮又Ц短峁┥?WePay 的實(shí)踐中看到了成功。WePay 打破了單個(gè)程序到一套通過(guò)谷歌開(kāi)源平臺(tái) Kubernetes 容器編排引擎來(lái)合作的模式。

“它真的改變了我們的業(yè)務(wù)，”，Richard Steenburg（WePay 的首席工程師）在后續(xù)的采訪中說(shuō)道。“Kubernetes 不會(huì)讓你覺(jué)得做什么都束手束腳，相反，它為你要做的事情提供了基礎(chǔ)。”

這周，谷歌發(fā)布了 Kubernetes 的最新版本，1.3 版本是一個(gè)“企業(yè)友好型”平臺(tái)，比如說(shuō)它支持有狀態(tài)應(yīng)用程序。

WePay 創(chuàng)建了 PCI 認(rèn)證系統(tǒng)，用來(lái)處理信用卡支付，作為業(yè)務(wù)和用戶之間的中間商。一開(kāi)始是這樣的，公司創(chuàng)建服務(wù)來(lái)作為單個(gè)應(yīng)用程序，并且用 PHP 來(lái)處理主要部分。之后公司遭遇了令人苦惱的性能問(wèn)題，妨礙了整體的系統(tǒng)的運(yùn)行。比如，API 日志服務(wù)只用來(lái)進(jìn)行內(nèi)部找 bug，頻繁地查詢數(shù)據(jù)庫(kù)，以至于拖慢了性能。

公司正處于把這個(gè)服務(wù)分解成更小的服務(wù)階段。把單應(yīng)用分解成粒度更小的服務(wù)同時(shí)，凍結(jié)了新功能的開(kāi)發(fā)。

從目前看，Kubernetes 恰好會(huì)為 WePay 提供公司所需的靈活性來(lái)擴(kuò)展到新的方向。“我們?cè)诼窐?biāo)上就可以看到能夠幫助我們的功能，”Steenburg 說(shuō)道。

WePay 轉(zhuǎn)型到基于服務(wù)的解決方案，幾個(gè)步驟就到它展開(kāi)的架構(gòu)。首先，開(kāi)發(fā)團(tuán)隊(duì)剝?nèi)ヒ恍┕δ埽瑢⑺麄兲砑拥?Docker 容器。開(kāi)發(fā)過(guò)程仍然涉及到創(chuàng)建單個(gè)容器，所以 WePay 會(huì)繼續(xù)使用 Ansible，每個(gè)虛擬機(jī)安裝一個(gè)容器。
使用 SCM（軟件配置管理）產(chǎn)品，比如 Ansible 就有它自己面臨的挑戰(zhàn)。換句話說(shuō)，WePay 無(wú)法將服務(wù)進(jìn)行自動(dòng)伸縮。

“對(duì)于每次部署，如果你想要添加更多，你需要回滾，并且修改配置腳本，所以伸縮非常手工化，而且每次回滾的時(shí)候，都會(huì)有故障停機(jī)的風(fēng)險(xiǎn)，因?yàn)槟銓?shí)際上修改了部署它的東西，以此來(lái)處理更多節(jié)點(diǎn)。” Steenburg 說(shuō)道。

Steenburgh 認(rèn)為，Ansible 確實(shí)有滾動(dòng)更新的能力，這點(diǎn)可以節(jié)約時(shí)間。這是 Kubernetes 提供的一個(gè)打開(kāi)即用的方便功能。所以，對(duì)于公司來(lái)說(shuō)，首先要遷移到 Kubernetes。

首先，Kubernetes 在重新思考架構(gòu)的時(shí)候，確實(shí)提出了一個(gè)問(wèn)題。特定的 jobs 將不再跟特定的一套機(jī)器綁定。公司不得不用把 job 的操作當(dāng)成純狀態(tài)機(jī)，由一整套完全獨(dú)立于硬件的關(guān)聯(lián)進(jìn)程組成，并且沒(méi)有任何特殊的硬件需求。“我覺(jué)得這很不錯(cuò)，因?yàn)槟愕哪Ｐ秃芗兇猓悴粫?huì)想脫離它。” Steenburg 說(shuō)道。

另一個(gè)使用 Kubernetes 的初始的挑戰(zhàn)就是，開(kāi)源編排引擎并沒(méi)有加密信息流的方法，這也就意味著公司為了維護(hù)支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI）需要自己去加密。當(dāng) Kubernetes 將 pods 實(shí)例化的時(shí)候，給了他們本地主機(jī)名，這樣的話 pods 就無(wú)法在外網(wǎng)通過(guò)第三方證書授權(quán)來(lái)進(jìn)行驗(yàn)證。

所以說(shuō)，公司在 Nginx 和 Kube DNS 的基礎(chǔ)上創(chuàng)建了一個(gè) Kubernetes 方面的 pod 來(lái)提供內(nèi)部證書授權(quán)（CA）服務(wù)，可以用來(lái)簽署加密消息。
“實(shí)現(xiàn)支付很困難。跟銀行一起合作處理很困難，跟協(xié)調(diào)者一起處理也很困難，其實(shí)最大的困難在于欺詐和識(shí)別欺詐，這是我們很長(zhǎng)時(shí)間里都會(huì)遇到的情況，要做好跟它打長(zhǎng)期戰(zhàn)的準(zhǔn)備，因?yàn)檫@是我們進(jìn)行我們的業(yè)務(wù)的時(shí)候必然會(huì)遇見(jiàn)的。” Steenburg 說(shuō)道。

現(xiàn)目前的情況看起來(lái)，不久之后，WePay 就會(huì)有一個(gè)足夠靈活的架構(gòu)來(lái)攻克這些面臨的難題。

原文鏈接