Docker容器在省级数据中心云平台上的应用探析

低信息化建设和运维成本、提升信息化建设水平和服务水平等

数据中心IT基础架构转型。随着基于省级数据中心云平台运行的应用系统数量的不 断增多，一些问题也逐步显现。首先，由于各应用系统基础运 行环境间的兼容性问题，各系统上线前都按业务要求分配

方面正发挥着日益重要的作用。人民银行高度重视云计算技术

的应用推广，2016年在全国范围内开展了省级数据中心基础

CPU、内存等资源，但系统实际生产运行过程中的资源利用率

并不高，造成了不少的资源浪费。其次，在总行系统的推广运

行过程中.基础环境的安装和准备由各分支机构完成，容

环境“云”化工程，建设成果已在I丁架构转型和业务连续性 保障等方面发挥了越来越突出的作用本文通过结合服务器虚

拟化技术和Docker容器技术的特点，探索Docker容器技术

易出现基础环境参数配置不统一，甚至造成系统后期运行不稳

定的情况。为此，可考虑在省级数据中心云平台中引入容器技

在省级数据中心云平台上的应用，并对人民银行应用容器技术 给出柏关建议。术，以有效缓解和避免上述问题的出现：省级数据中心云平台建设现状人民银行作为我国的银行，其建设和运维的业务系 统对我国金融业的高效运转产生着至关重要的影响，如何通过

表1容器技术与虚拟化技术主要技术指标对比分析指标项1容器共享宿主机OS较小，一般为MB级虚拟化使用的OS较大，一般为GB级较多，包括OS、应用系统等依赖虚拟化平台新技术的应用来提升IT基础架构的效能和信息化服务水平一

直是人民银行信息化建设工作中重点关注的问题之一。操作系统2存储空间性能损耗可移植性部署速度2016年，人民银行出台了《中国人民银行省级数据中心

基础环境云建设指引》，指导全国各分支机构开展省级数据中

3较少，仅应用系统产生心基础环境“云”化工程建设，并逐步完成了银行会计核

算数据集中系统（ACS ）、国库信息处理系统（TIPS ）、人民

4支持常见linux 和Windows系统快速几百个/单台服务器币银行结算账户管理系统（账户系统）等多个重要业务系统在 云平台虚拟化环境的迁移和运行，有效提升了省级数据中心

56相对较慢几十个/单台服务器部署密度部署内容启动速度稳定性IT架构弹性,保障了重要业务系统的安全生产。以甘肃省为例。

兰州中心支行从2013年就开展了省级数据中心云平台建设工

78容器镜像快速逐步更新中Docker具有宿主机

虚拟机镜像作，初步形成安全可靠的虚拟化基础环境。2016年以省级数 据中心基础运行环境优化试点工作为契机，先后实施了虚拟化 平台软件升级、运维监控、安全加固、存储扩容、网络和存储“双

相对较慢成熟稳定安全，Guest OS运行910安全性活”、异地备份中心建设等项目。目前，省级数据中心云平台

已形成“两个同城中心，一个异地备份中心”的总体布局，实

1112root权限高可用性监控成熟度管理成熟度通过业务本身保障发展中，尚不成熟发展中，尚不成熟虚拟化平台充分保障虚拟化平台监控手段成熟虚拟化平台管理手段成熟现了两个中心同时生产并在异地备份业务数据。2017年以来,

先后实施了 ACS .TIPS.账户系统等重要业务系统虚拟化迁移,

不仅进一步保障了业务连续性和安全生产，也有力推动了省级

1379癒翻HI Application图1虚拟化技术与容器技 目前，主流的容器技术有Docker、LXD、

术融合示意图||?8()RKT以及Containerd等.而最广为人知的

AM>

A” 砂Docker几乎成为了容器技术的代名词「根据 Docker官网的解释，Docker是一个开源的引擎，

Bins/libs Bins/Ubs Bins/libs可以轻松地为任何应用创建一个轻量级的、可移

植的、自给自足的容器Docker的常用应用场景

Docker Engine

包括：Web应用的自动化打包和发布；自动化测

试和持续集成、发布；在服务型环境中部署和调

Guest OS整数据库或其他的后■台应用；从头编译或者扩展

现有的VMOpenShift或Cloud Foundry平台来搭建

自己的PaaS环境。Hypervisor2.容器技术在省级数据中心云平台上的应用

成效。通过对容器技术和虚拟化技术的技术指标

Host OS对比.并综合考虑Docker容器适用性和易用性,

本节尝试将虚拟化技术的成熟、稳定、

Host ServerVMware安全、高可用等特点与Docker容器技术的轻量、

灵活、快速、高效等优势相融合，搭建应用环境

容器技术在省级数据中沁云平台上的应

以探索Docker容器技术在省级数据中心云平台上 用实践的应用。1.容器技术介绍和特点分析。容器(Linux 虚拟化技术与容器技术融合方式如图1所

Container, LXC )是一种轻量级的操作系统虚拟

示。将Docker引擎及相关容器镜像安装部署

化技术，它运行在操作系统之上的用户空间.为

在省级数据中心云平台V Mware虚拟机中，由

应用程序及其关联性提供进程级别的隔离容器

\\-Mware虚拟机提供虚拟硬件资源、宿主机操

技术通过Namespace和Cgroup两大机制实现资

作系统以及高可用等保障.由Docker引擎负责 源隔离和资源控制，使得运行在同一个操作系统 实现应用程序及其关联性的快速部署、轻量运行

之上的所有容器共用该操作系统内核和资源；同

及环境隔离。本次应用以兰州中心支行门户网

时相互隔离的各容器的运行环境之间又保持相对 站(DB2+Tomcat)迁移为业务场景，由省级数 的性容器技术能有效解决相互隔离的运行

据中心云平台提供Ubuntu操作系统环境，通过

环境之间在资源使用上存在的冲突.Docker容器将DB2数据和Tomcat应用服务器

与传统服务器虚拟化技术类似，容器技术同

隔离部署、运行，并引入冗余的DB2数据库环境

样也能实现资源隔离和资源控制，构建起一套能

以测试Docker容器在解决资源冲突方面的具体表 够随处运行的运行环境。但两者之间又存在 现。表2为本次应用环境的主要搭建步骤及相关

诸多区别，主要体现在虚拟化层的位置和操作系

操作说明。统资源的使用方式。虚拟机在宿主机操作系统之 应用环境搭建完成、相关数据准备就绪、数 上抽象出了门己的操作系统，而容器直接利

据库和应用程序服务器成功启动后，门户网站访

用了宿主机操作系统的内核，抽象层比虚拟机更

问正常，此外，除将网站后台数据库和冗余数据 少，更加轻量化，可移植性更强，启动速度更快

库映射到宿主机的同一个端「1会产生端口冲突外,

表1对容器技术与虚拟化技术的几项主要技术指 映射到不同端口的DB2数据库之间不会产生任何

标做了对比分析。冲突.各自均能对外提供服务相较数据库和应

Application 険3¾¾詞用程序分别部署］：不同虚拟机的方式，通过容器

容器技术在人民银行的应用场景建议一是在系统推广部署中的应用。对于需要分

技术将二者部署于同一台虚拟机的方式，能在一 定程度上避免资源浪费的问题，同时也不会对应

级部署的系统，可由总行统一定制并打包成容器

镜像文件下发，避免分支机构各自搭建系统环境

用程序的运行性能产生明显的影响从运行情况看，虚拟化技术与容器技术的融

合方式能充分发挥两者的优势.既能保障宿主机 的安全、稳定和高可用性，又能实现应用程序的

时可能存在的系统设置不一致等问题。二是在推

进软件正版化方面的应用：日常工作中需要使用

的数据库、中间件等软件可由总行统一安装正版

快速灵活部署和轻赧高效运行，同时还能有效解 决应用程序之间的资源冲突问题。软件后打包成容器镜像文件下发，以进一步提高 人民银行软件正版化水平。三是在省级数据中心

云平台服务中的应用。目前人民银行省级数据中

容器技术应用中的关键问题分析及建议本次应用实践表明了容器技术在省级数据中

心基本能够提供IaaS模式的zf服务，通过容器技 术的使用，能丰富省级数据中心云平台的服务模

心云平台上的应用具有可行性，也为容器技术在

式，通过提供PaaS模式的云服务，进一步提高

人民银行系统应用的可能性提供了更大的想象空

间\"但在应用实践中发现的一些问题也不容忽视：

IT基础架构的弹性和应用支撑能力.住一是容器技术研究应用工作需进一步推进，容器

技术是一种新兴技术，仅在人民银行部分技术力 堆较强的分支机构探索性开展，尚无出台相关的

指引或组织技术交流、培训等活动。二是内网容 器镜像资源受限。Docker起源于国外，其生态环

n表2应用环境主要搭建步骤及相关操作说明搭建步骤准备Docke「环境 （互联网环境）相关操作说明参考Docker官网Ubuntu下安装docker相关教程境也立足于国际互联网，尽管使用国内的容器镜 像库能够缓解拉取镜像速度较慢的问题，但要在

内网使用容器，如何保证内网镜像资源可用仍是

通过docker search命令查找镜像；通过docker pull命令将'住备-镜像拉取到本地；通过docker run命令启动镜像并将相应端口 2 ◎爲：囂篇亲、映射到宿主机；通过db2相关命令创建数据库并测试可用。因

1 ）网络问题导致镜像拉取速度较慢，通过修改配置将镜像源指定需要解决的一个关键问题。三是现有容器镜像难

到国内服务器后速度提升以满足个性化需求在实际使用过程中发现.容 器镜像库中与特定应用程序相关的镜像数量较

多，但能够满足版本、语言等个性化需求的镜像

3准备Tomcat镜像（互联网环境）通过docker search命令查找镜像；通过docker pull命令将 镜像拉取到本地；通过docker run命令启动镜像并将相应端口

映射到宿主机；访问测试页面确认安装成功很少。同时，由于镜像本身只包含特定应用程序 及其关联性，镜像使用者在镜像上做二次定制的

4迁移宿主机通过导出/导入OVF模板的方式将宿主机迁移到省级数据中心（互联网/内网环境）云平台难度较大。针对上述问题，本文建议：一是结合金融科

5准备数据库

（内网环境）通过docker cp命令完成数据在宿主机和容器镜像中的拷贝； 通过db2相关命令将生产数据导入DB2express-c镜像中的

测试环境技研究与应用，对容器技术在省级数据中心云平 台的应用场景和应用方式进行分析研究，确定容

器技术的应用方向或领域，二是在总行层面建立 垄于人民银行内部网络的私有容器镜像库，以便

6准备应用程序（内网环境）修改应用程序部署包中的数据库连接信息；通过docker cp命 令完成数据在宿主机和容器镜像中的拷贝；通过Tomcat部署

和运行应用程序；访问相应页面测试系统迁移成功人民银行用户可以通过内网轻松使用私有镜像库。

三是由总行组织专人负责定制、上传、更新和管 理满足人民银行内部使用需求的私有镜像，形成

镜像准备可参考步骤2同时完成；通过docker run命令启动镜

准备数据库冗余环境像并将相应端口映射到宿主机时要避免与步骤2中的映射端口 （互联网/内网环境）发生冲突；通过数据库管理工具或测试页面测试数据库安装成

功并可用高可用测试 （内网环境）

人民银行自有的镜像生态：通过省级数据中心云平台中VMware虚拟化软件的克隆、快照、迁移、HA等功能辅助完成81