骆锦

中移（上海）信息通信科技有限公司 上海 200000

引言

相较Iaas平台基础设施服务的弹性可扩展，Paas更满足于我们应用的一个持续交付。在此，基于kubernetes、openshift、CloudFoundry等作为几款主流的平台即服务的产品，基于容器化进行处理，通过CICD把我们不同的应用版本打入至相应的容器中，通过kubernetes、openshift、CloudFoundry平台进行相应的编排，将应用发布出去，让使用者能够通过网络连接访问到我们基于kubernetes平台相应的应用。

1 某通信公司Paas总体需求目标

某通信公司主体制造业为手机生产服务支持，为全球各个国家地区提供全系列的信息运营技术、方案及其他服务，也是全球领先的5G解决方案供应商之一。其Paas平台的打造定位为企业应用提供一个开放式平台，为移动互联网、运营商、SP应用、个人开发或团队开发、技术供应商、资讯产业商创造一个良好的基石，通过高端技术打造更便捷、更安全、更丰富生态、更稳定的基础，更完整地将各个互联网元素架构通过云计算技术贯穿，提高共享，测试、探索体验[1]。

2 某通信公司Paas云平台总体设计

2.1 总体设计思路

云平台设计：不仅要考虑应用服务的开发，还要注意设计设备与云之间的连线。同时通过Paas平台的多服务器线程，整体的将Paas云平台的应用持续的，不间断的，快速的、高可用、安全的交付到客户的手中。

2.2 平台架构

结合现有需求和系统状况,经过多次技术交流座谈会讨论，结合需求及系统现状：

2.2.1 门户：包含开发者门户和管理门户。为开发者提供账号注册、信息交流的串口，用户们可以互相分享开发软件，进行信息沟通。它为开发者之间提供好友平台，使用者在此可进行技术经验的互相分享和指导，可在此提出或解答问题，传道授业，也可将自己的作品上传发布共享。门户提供部分开发资料和软件开发工具包，并通过接口进行测试，提供开发通行服务，降低开发门槛。

2.2.2 业务开发环境：包含运行控制、运行管理、运行监控和业务容器，提供前端图形化服务，通过拖拽式可实现自动化开发传输功能，将电信、互联网和软件开发工具包完美结合，便于开发使用者快捷提取。

2.2.3 资源汇聚网关：包括能力编排、业务能力暴露通、CT能力适配、签权力/配置管理器/设置、其他能力适配区块，通过SOAP、SDK、REST提供统一的开发接口，融合电信和互联网工作能力，屏蔽底层协议，实现资源交换汇聚，使开发更加智能和便捷化。

2.2.4 管理平台：包括业务数据管理、资源管理、用户管理、签约管理、数据同步配置管理、日志统计信息管理。

2.2.5 引擎部分：使用配套的CT能力引擎，作为业务交换节点，确保业务走向稳定高效。

2.2.6 其他部分：通过IT支撑系统实现对业务、资费、营销以及其他管理服务。通过网管系统提供可扩展容器服务、业务控制服务和高效运维能力，针对平台进行优化服务和技术咨询。通过应用展示系统加大可视化和开发能力展示[2]。

2.3 平台功能实现

2.3.1 基础服务功能：提供数据管理、库处理功能，多类型、版本的镜像模板的创建、编辑修改、上传、下载，租户管理、模板应用，Openstack/TECS/VMare/AWS/Alicloud多种部署、存储管理等服务。平台采集并管理各个窗口的信息完成进度及关系、结果数据查询，完成后推送执行结果。支持X86/ARM架构的硬件，配置高集成部署能力。采用大规模机器资源管纳、动态分配、无障碍回收；提供服务注册发现，内置多语言转换的开发框架，网关设置采用多层次。优质的低资源损耗和低性能损耗，高程度的自动化，避免重复的机械作业产生。

2.3.2 系统信息收录功能：系统自动收录保存运行所需相关信息，包括硬件信息、软件信息、性能信息、容量信息、参数信息、高可用信息。

2.3.3 管理功能：面向用户应用标准化，分层结构设计保证资源分配合理，通过镜像自动完成部署。针对使用者的基本信息、权限、资源管理、审核进行管理。

2.3.4 监控管理功能：支持基本监控、性能监控、深度监控和日志收集，良好的自动报警功能，简单快捷的实现微服务治理。

2.3.5 安全稳定功能：基于负载均衡技术，动态监控应用流量情况，实现应用攻击过滤，防DDOS攻击、SYNFlood保护、API安全防护功能。在不影响网络性能的情况下保障Paas平台的网络和应用安全。定期网络隔离漏洞扫描，保证业务不受绑定，迁移无障碍；通过多线程保证不同类型的地域、可用区的平台对接，保证业务在突发状况场景依然可以正常使用。通信安全方面基于TLS/DTLS协议加强防信息泄露[3]。

2.4 平台应用特色

2.4.1 大批量数据接入处理。平台提供多类型接入处理方式和服务器认证机制，涵盖了3G、4G、5G、蓝牙、NB-IoT技术，可通过二维码、人脸识别进行身份认证，通过短信实现与终端的远程对接操控，对终端的机制状态的进行调整。场景下应用大数据技术向开发者提供网络和资源，降低应用开发的门槛。增加开源应用容器引擎作提升容器化支撑能力，使用Oracle，MySQL，MongoDB、SQLServer、NoSql等数据库能力，关系型数据库以及大数据服务，方便子台站系统的云原生应用。

2.4.2 动态策略控制。通过某通信公司内提供的统一基础组件进行支撑，在平台内设置一个智能的策略控制模块，利用基本监控功能返回的数据进行学习和分析，根据不同的业务需求，制定出预测、控制方案、执行策略机制及计费策略。并不定期自动优化升级策略，满足动态系统多元多变化的业务控制的需求。

2.4.3 突出的网络能力。平台提供完善的的电信、互联网和其他相关IT服务能力，包括身份认证、短信、位置、数据分析等，并提供NAT转换枢纽，增宽访问业务途径。平台提供域名系统服务器能力，支持平台的应用域名的添加、删除、请求查询等操作，通过API接口实施域名添加、删除、修改动作；对于一个应用多IP地址的情况，通过MEPM将应用对应的一组IP地址配置给MEP底层流量网关。业务路由规则可以包括业务的源IP地址、目的IP地址、源端口号、目的端口号、协议类型的组合，流量网关对外只暴露一个对外公有地址，基于DNS实现的负载均衡功能，直接给出访问场景后确保不同的用户访问IP的安全加密性，显示地址为带掩码的地址段，端口号为端口段。

2.4.4 跨地域容灾应用。通过跨地域的方式搭建多数据中心，核心资源分布均匀，部署分散而又统一受控，当Paas平台部分数据和应用出现重大故障时，可启用容灾模式进行跨中心异构同步，避免整个平台大面积瘫痪，将损失降到最小，并尽量快速恢复，提高平台的可用性和灵活性[4]。

3 结束语

通过本次对某通信公司Paas云平台的设计思路、构架、功能和特点进行了研究总结，为云平台的应用、发布、建立拓展方向提供一定的标准和思路指引，有利于云平台应用建设的相互促进和共同发展，有利于将友好的开发环境、丰富的公共服务，高质量的产品完整的提供，也希望更多地Paas云平台能够持续不间断的，快速的、高可用、安全的将应用交付到客户的手中，为我们不断提升的智变时代多涂抹几笔靓丽的色彩。