梯度容器云平台是面向数据中心以容器生态为核心的全新云平台，能够无缝的对接各类基础设施，如公有云、私有云及混合云，可以简单方便的实现对计算、存储、网络资源的池化管理与监控；支持应用的一键部署、自动伸缩，负载均衡、灰度发布、日志分析等；平台的CI/CD 功能，实现了自动化的编译打包、代码检查、镜像构建、持续部署等流程，是企业DevOps 流程中的基础支撑。

借助梯度容器云的新一代云计算平台，可以帮助企业轻松实现IT 基础设施云化管理，搭建高效的微服务架构，开发可以专注于开发应用，而运维可以专注于部署，从而支持企业业务应用快速迭代、稳定运行。

产品介绍

需求痛点

系统架构

系统平台

平台介绍

平台是基于Docker容器技术按照面向服务的架构设计的，Docker 容器技术将应用软件系统打包成一个软件容器，内含应用软件本身的代码，以及所需要的操作系统核心和库。通过统一的命名空间和共用API来分配不同软件容器的可用硬件资源，创造出应用程序的独立沙箱运行环境，使用户可以轻松创建和管理系统或应用。梯度智能云平台还具有众多的服务模型，提供计算服务、存储服务、乃至整合各种资源的综合性服务，其资源的构成更加复杂、规模更加庞大。为了提高易用性和可维护性，各种资源构成之间的关系复杂。为了保证云平台的服务质量，对于众多用户资源配的调整也要求更精准的、更及时。

应用场景

• 容器化传统应用容器不仅能提高现有应用的安全性和可移植性，还能节约成本。

每个企业的环境中都有一套较旧的应用来服务于客户或自动执行业务流程。即使是大规模的单体应用，通过容器隔离的增强安全性、以及可移植性特点，也能从Docker中获益﹐从而降低成本。一旦容器化之后，这些应用可以扩展额外的服务或者转变到微服务架构之上。

• 持续集成和持续部署(CI/CD)通过Docker加速应用管道自动化和应用部署，提高交付速度。

现代化开发流程快速、持续且具备自动执行能力﹐最终目标是开发出更加可靠的软件。通过持续集成(CI)和持续部署(CD)，每次开发人员签入代码并顺利测试之后﹐IT团队都能够集成新代码。作为开发运维方法的基础，CICD 创造了一种实时反馈回路机制﹐持续地传输小型迭代更改，从而加速更改，提高质量。CI环境通常是完全自动化的，通过git推送命令和触发测试，测试成功时自动构建新镜像﹐然后推送到Docker镜像库。通过后续的自动化和脚本，可以将新镜像的容器部署到预演环境﹐从而进行进一步测试。

• 微服务加速应用架构现代化进程。

应用架构正在从采用瀑布模型开发法的单体代码库转变为独立开发和部署的松耦合服务。成千上万个这样的服务相互连接就形成了应用。Docker允许开发人员选择最适合于每种服务的工具或技术栈，隔离服务以消除任何潜在的冲突﹐从而避免"地狱式的矩阵依赖"。这些容器可以独立于应用的其他服务组件，轻松地共享、部署、更新和瞬间扩展。Docker的端到端安全功能让团队能够构建和运行最低权限的微服务模型，服务所需的资源（其他应用、涉密信息、计算资源等）会适时被创建并被访问。

• IT基础设施优化充分利用基础设施，节省资金。

Docker和容器有助于优化IT基础设施的利用率和成本。优化不仅仅是指削减成本，还能确保在适当的时间有效地使用适当的资源。容器是一种轻量级的打包和隔离应用工作负载的方法﹐所以Docker 允许在同一物理或虚拟服务器上毫不冲突地运行多项工作负载。企业可以整合数据中心，将并购而来的IT资源进行整合﹐从而获得向云端的可迁移性，同时减少操作系统和服务器的维护工作。

用户群体

• 政务云主管部门，如省大数据局、市大数据局
• 政府垂直行业管理部门，如交通厅、水利厅、住建厅、自然资源厅等
• 大型企业，如通信、银行、能源、保险、物流、高端制造、证券等行业

使用终端

• 系统平台可对计算资源池、存储资源池、网络资源池等各项数据进行可视化展示，具有PC版。

产品功能

PC平台界面

概况统计模块进行平台资源情况的统计数据展示，提供一个整体的概况展示页面，对平台多种资源数据进行展示，主要包括：应用、主机、集群、镜像、网络。概况统计模块是一个让平台管理员快速便捷了解平台资源、服务整体情况的功能模块，通过该模块的数据展示，平台管理员可以快速发现和定位问题范围、为提高资源利用率或补充资源提供依据。

应用管理模块

梯度容器云平台应用管理模块主要包含应用创建、应用编辑、应用删除、应用查看、弹性伸缩设置和应用故障迁移配置等功能。

交付中心

交付中心包含镜像中心、持续集成和仓库管理三部分功能。

镜像中心提供了镜像构建、镜像上传和镜像复制的功能，可按分类管理镜像仓库。Docker镜像采用分层管理的模式，一层就是一个镜像，多个镜像又可以打包成一个镜像。镜像类似一个单链表系统，每个镜像包含一个指向父镜像的指针，没有父镜像的镜像是基础镜像，镜像的指针统一存储在数据库中。

云平台的持续集成实现了自动化的代码获取、编译打包、镜像构建、应用部署等功能，可根据项目持续集成的实际需要，在流水线中设置对应的任务，支持代码提交和定时触发流水线自动执行，并发送执行结果通知到邮件。

仓库管理涉及到用于存储容器镜像服务的Docker 镜像仓库。在Docker 的运行过程中，Docker 进程会通过Job 与Docker 仓库通信，通过名称为Search、Pull 与Push的Job 任务实现搜索镜像、下载镜像、上传镜像。云平台的仓库管理支持按照不同的维度对镜像进行灵活归类。

微服务管理

微服务管理基于新一代的微服务架构Service Mesh实现，具有和语言无关的通信及服务治理能力，屏蔽不同技术语言的差异性，帮助企业实现多语言技术栈微服务治理，提升业务应用的创新和迭代效率。微服务功能主要实现服务的集中、集约化管理，主要功能包括服务注册/发现、限流、熔断、重试、服务降级、负载均衡、故障注入、服务网关、认证鉴权等微服务治理能力，支持蓝绿发布、金丝雀发布，支持基于拓扑图和链路追踪的服务监控与调用分析等。

资源管理

资源管理模块包含集群管理、主机管理、网络管理、共享存储四部分功能。

虚拟机资源管理

梯度智能云提供了虚拟机资源管理的功能，通过K8S实现虚拟机在集群范围内的统一调度，在一个平面内实现容器和虚拟机的存储、网络、租户配额等统一管理。用户可以进行虚拟机创建、启动、停止、删除、VNC控制台连接等操作。虚拟机的存储方式包括共享存储、本地磁盘和Docker镜像三种方式，提供虚拟机网络构建功能。

监控中心

监控中心提供全面有效的监控方式，具有丰富的监控指标，支持业务和资源层面的全方位监控多达20余种监控指标，能全面、有效、准确、及时的监控用户业务资源运行状态保障对问题资源和设备的及时准确追溯，具备全面的告警规则设置，保证平台、集群、应用等安全稳定运行。监控中心包含监控大盘、监控管理、监控告警和监控模板4个部分。

日志中心

云平台基于EFK为云平台所有业务日志的收集，并为Elasticsearch数据搜索平台提供实时的检索数据流。日志中心模块包含应用日志、操作日志和平台日志三部分功能。

租户管理

平台的用户体系基于多租户的模式，不同租户间的资源和数据在平台中实现了严格的隔离，租户管理模块实现管理租户信息、管理租户资源授权、管理资源用户体系的功能。

系统管理

平台管理员可以通过维护平台用户与平台角色的关联关系来控制平台用户的操作权限。

平台管理员可以可视化界面配置平台的基础资源配置、邮件服务器信息、数据保留策略、NTP时间同步服务器、SSL证书等内容。

产品优势

简单

• 简单安装部署：提供安装文件网络下载，30分钟完成从主机（裸机、虚拟机）到云平台的安装部署。
• 快速开设：支持应用的批量导入导出操作，快速完成软件应用部署。
• 简单实用操作：详细的用户手册，足量的帮助信息，标准的API提供。
• 友好UI交互：设计精良的专业操作界面，精简操作实现强大的功能。

稳定

• 稳定且高效的系统架构设计：拥有全异步的后台架构，进程内微服务架构，无锁架构，无状态服务架构，一致性哈希环，保证系统架构的高效稳定。目前已实现：单管理节点管理上千台主机、数万个应用容器。
• 支撑高并发的API请求：单管理节点可以轻松处理每秒上千个并发API调用请求。
• 支持HA的严格要求：在网络或节点失效情况下，业务应用可自动切换到其它健康节点运行；实现和管理节点高可用部署，故障时管理节点自动动态迁移。

智能

• 自动化运维管理：支持从源代码到应用上线的全套CI/CD流程，自动触发。
• 智能化的UI交互界面：实时的资源计算，避免用户误操作。
• 实时的全局监控：实时掌握整个云平台当前系统资源的消耗情况，通过实时监控，智能化调配，从而节省IT的软硬件资源。
• 资源可按需调配：CPU、内存、存储等重要资源可根据用户需求进行扩缩容，支持对业务应用的CPU、内存等资源进行实时调整。

支持国产化适配

• 国产CPU：飞腾、鲲鹏、龙芯、兆芯
• 国产操作系统：银河麒麟、中标麒麟、统一UOS
• 国产私有云：电科云、九州云、zstack

安全

云平台安全

梯度容器云平台作为应用承载环境，设计出一套API和敏感信息处理方案，在安全方面设计坚持如下原则：

• 保证容器与其运行的宿主机之间有明确的隔离；
• 限制容器对基础设施或者其它容器造成不良影响的能力；
• 最小特权原则——限定每个组件只被赋予了执行操作所必需的最小特权，由此确保可能产生的损失达到最小；
• 允许系统用户明确区别于管理员；
• 允许赋予管理权限给用户。

同时梯度容器云平台核心组件对外暴露API访问地址，API Server提供了认证（Authentication）和授权（Authorization）机制进行安全控制。认证机制支持Client Certificate Authentication、Token Authentication、Basic Authentication集中方式；授权机制在Authentication的基础上，Authorization可以对HTTP请求设置AlwaysDeny、AlwaysAllow、ABAC三种模式模式，其中ABAC可以设置不同用户的访问权限。

网络安全

云平台中的服务器节点都开启了严格的网络安全策略，服务器本身限制了只开放固定的个别必要的服务端口提供外部访问，且暴露服务的这些服务本身已经经过严格的安全验证，云平台中的应用实例也限制了只能暴露部署应用时所指定的端口，在此之外的所有网络端口外部通过网络都无法访问，这样有效降低了网络安全风险。

云平台对所有应用实例提供了严格的网络隔离机制，限制了外部通过网络只能访问用户授权允许外部访问的应用实例。此外，云平台还支持网络流量监控，当服务器和应用实例出现网络流量异常时，会触发相应的报警机制，有助于相关人员及时发现和处理问题。

应用安全

云平台中的应用实例都运行在独立的Docker容器中，每个应用实例都有严格的资源使用保护和限制，确保每个应用实例占用的资源不会受到其他外部应用侵占，同时，如果应用出现被攻击或感染病毒的极端情况，也仅仅只会影响应用实例占用的这部分资源，不会影响云平台中的其他应用资源。此外，云平台还提供应用实例副本控制机制，当应用实例被攻击导致应用停止服务时，云平台可自动对应用实例进行恢复服务等相关操作，保障应用安全。

数据安全

云平台提供了高可用的分布式存储方案，提高了数据存储的可靠性，同时在云平台严格的资源访问控制下，保证了应用实例独占的数据资源不会被他人恶意读取。

成功案例

安全可靠的军工案例

这个案例能够高效支撑AI应用服务，实现了跨6基地的部署，支持超过400个上层应用，并且通过军方最高安全机构检测，凸显了梯度智能云平台的安全可靠性

高并发高稳定的金融案例

智能云平台的第二个案例是电信翼支付，大家都知道，金融行业通常有高并发和高稳定性的要求，对性能和可靠性要求都是最高最苛刻的。项目邀请了国内一线的云计算服务厂商进行POC测试，包括阿里和华为，经过多轮压力测试之后，梯度智能云平台以高并发、高稳定等特点超越了其他厂家，最终翼支付选择了梯度。梯度智能云帮助翼支付管理了超过2200个节点，分布在南京、贵州两个数据中心。

翼支付部署了梯度智能云平台后，大幅降低了硬件的采购成本，采用我们的容器技术，将传统虚拟机技术所需要的1400台服务器缩减到680台，每日的交易数达到8000万笔，并发量达到3万笔/秒，项目至今稳定运行将近三年。

政府容器云案例

商务厅数据中心一期采用的是传统的云计算架构，资源浪费严重、运维困难，云平台二期为了解决以上问题，选择了多个国内知名厂商进行测试，最终选择了梯度智能云平台，通过使用我们的产品商务厅项目成本降低了80%，运维效率提升了70%，高可用率达到5个9，系统2016年上线至今都是0故障运行的状态。

服务支撑

售前、售中、售后阶段都能提供优质的服务一站式。

• 售前阶段：提供需求沟通、需求获取、商务授权、售前咨询、现状梳理等服务等。咨询顾问、行业专家进行调研与评估、协助进行相关文件编写等，并对用户未来架构定义、IT治理模型建议、项目计划定义提出参考意见。
• 售中阶段：公司有专业研发团队进行现场实施支撑，提供定制化的产品开发、增值方案以及增值运营服务。
• 售阶后段：公司产品经理、行业专家提供业务流程、管理方式、产品与应用培训。专业服务人员，为客户提供实时响应服务，并及时定位和处理问题。售后运维工程师提供基础设施运维服务、应用系统运维服务、安全管理服务、网络接入服务、内容信息服务和综合管理服务，保障产品的稳定性。