医疗制造企业基于ROSA架构支撑海外业务发展实践分享.docx

?

?

医疗制造企业基于ROSA架构支撑海外业务发展实践分享

?

?

一．背景介绍

某医疗制造企业，在疫情环境之下急速发展，业务规模迅速扩大，海外市场订单暴增，该医疗企业及时抓住国际市场机遇，树立自身的国际品牌形象，在提升医疗制造技能的同时更注重IT建设和服务创新。

为了能迅速支撑并服务激增的海外业务，该医疗企业在海外亚马逊云科技公有云环境借助OpenShift托管服务，迅速搭建起云原生的开发和运行环境，令海外业务系统准时上线，紧跟业务的步伐，也充分体现了IT对业务的支持与促进作用。

二．ROSA概述

OpenShift是一个企业级的Kubernetes容器平台，它为企业应用系统的开发和运行提供了一个易扩展、可信任的容器环境。OpenShift扩展了Kubernetes容器编排平台，内置企业级应用扩展组件，以增强企业级应用的生命周期管理能力，从开发到运维能力的增强再到安全项的加固。借助OpenShift，用户可以在混合云、多云的环境中实现工作负载的持续集成和持续部署。

OpenShift扩展了Kubernetes

ROSA是RedHatOpenShiftServiceonAmazonWebServices的简称，它是红帽容器平台OpenShift在亚马逊云科技上的托管服务。用户可以在ROSA上快速构建和部署业务应用，不需要过多的关心底层基础设施的搭建和运维，因此ROSA的用户更能关注于企业的业务价值，而不是与企业业务无关的环境和不同基础设施的适配。

用户自己搭建和运维的OpenShift集群

亚马逊云科技和红帽的站点可靠性工程(SRE)专家负责管理和运维底层平台，因此用户不必担心复杂的基础架构层管理工作。ROSA还提供了与亚马逊云科技的计算、存储、网络、数据库、分析工具、机器学习、移动应用等服务的无缝集成，在加速用户业务系统的构建与交付的同时也节省了用户的运维成本。

由SRE管理和运维的ROSA托管服务

三．系统部署设计

ROSA架构支持多种网络配置类型：公共网络、专用网络和亚马逊云科技PrivateLink网络，可满足不同用户的安全需求。

该医疗制造企业把ROSA的OpenShift创建在独立的私有网络中，通过亚马逊云科技的负载均衡器对外提供业务访问，不直接被外部访问，如业务负载需要访问外网，则通过NAT网关间接访问，业务负载分布在多个高可用区中保证其高可用性。

ROSA的管理员和开发人员与OpenShift分布在不同的VPC（VirtualPrivateCloud）私有网关中，私有VPC直接通过亚马逊云科技中转网关（TransitGateway）连接，如果需要从外网对业务负载或OpenShift容器平台进行管理，则需要通过对外子网的堡垒机再次跳转，这样在保证安全性的同时也不失其灵活性。

系统部署架构

四．系统存储设计

系统的有状态应用持久化到云原生存储ODF(OpenShiftDataFoundation)中，ODF是基于Ceph、Noobaa和Rook软件组件的云原生存储、数据管理和数据保护组合。其中，Ceph提供对象、块和文件存储。Noobaa抽象出跨混合多云环境的存储基础架构，并提供数据存储服务管理。Rook编排了多个存储服务，每个服务都有一个Kubernetes算子，可用于设置Ceph集群。

数据的可靠性和完整性由Ceph的3副本保证，在ROSA环境中，ODF创建在亚马逊云科技的EBS(ElasticBlockStorage)上，多份EBS均匀地分布在3个高可用区中，Ceph在EBS之上池化并对外提供对象存储、块存储和文件存储，满足云原生所有场景的存储需求。Ceph的3副本分布在亚马逊云科技的3个高可用区中，因此能保证数据的可用性和完整性。

系统存储架构

五．系统安全设计

系统的安全设计已考虑到多层次、多维度的安全保障：系统层面、网络层、容器层、应用层、数据层、用户层，主要设计如下：

1.系统层安全

系统层面安全是ROSA所运行的基础设施上的操作系统，在这层提供的安全保障措施包括：

操作系统自身的安全

ROSA的容器平台（OpenShift）部署在RedHatCoreOS（RHCOS）操作系统上，RHCOS是红帽专门针对容器提供的云操作系统，它继承了红帽企业操作系统（RHEL）的稳定、安全同时，针对容器云环境做了加固，内置容器运行环境所必须的软件包，去除了支撑容器运行外的非必要、有安全隐患的软件包。

RHCOS的用户空间是只读的，这就有效的避免了潜在的、对操作系统的恶意攻击，当系统维护人员需要维护操作系统时，需要通过最初安装时指定的sshkey才能登录。

操作系统安全性扫描

RHCOS可以满足第三方安全管理系统的要求，接受相关第三方安全