蚂蚁混合云架构及技术风险防控实践.pptx

蚂蚁混合云架构及技术风险防控实践肖鹏（乙未）蚂蚁集团 资深技术专家

个人介绍互联网技术风险领域10年从业经验2011年加入百度运维部2014年加入阿里巴巴高德，作为运维团队负责人全面建设技术风险保障体系，支撑高德业务逐步发展为日活过亿的App2019年加入蚂蚁集团技术风险部，负责智能容量技术团队和支付宝小程序云北区解决方案团队，为小程序客户提供云托管技术和营销解决方案

目录蚂蚁混合云架构实践蚂蚁混合云技术风险能力建设蚂蚁混合云应用案例

蚂蚁混合云架构实践

蚂蚁混合云架构实践-背景LDC架构（LogicalDataCenter）网关单元1应用层存储层ServiceAServiceBmsmsuid00-49uid00-49单元2应用层存储层ServiceAServiceBmsmsuid50-99uid50-99网关层uid00-49uid50-99

从一朵云演变为多朵云蚂蚁混合云架构实践-背景蚂蚁主站网商银行阿里云底座proxyproxy业务主体A业务主体B业务主体N...

蚂蚁混合云架构实践-问题变更布防变更动作防御规则执行记录变更域核对预警数据模型核对规则风险事件资金域应急组织/定位处置管控预案A处理能力预案B处理能力应急域监控域数据源/指标/告警数据源/指标/告警DB缓存应用运维管控元数据 单笔数据链路数据风险数据业务主体A业务主体B……业务主体N共用业务主体无隔离相同环境应用1应用2应用3……经验规则沉淀变更服务防御规则业务定位决策树自愈预案核对规则1核对规则2各项能力主站基础设施基础平台依赖中间件等技术风险能力沉淀变更分批 业务影响监控 分析…风险防控平台变更核心 应急平台 …风险能力强依赖主站平台对外部依赖重，无法独立输出基础依赖域内域外异构混合云架构下存在跨云监控、应急等新问题

业务租户ARZRZ RZCZGZ业务租户BRZRZ RZCZGZSOFAGW可信原生全局管控区云产品服务资源运营管理运维管控TCMDB元数据云管理平台业务租户CRZRZ RZCZGZ可信原生管控区云管理平台独立与互通技术能力SOFAGW计算资源共享、数据独立存储 独立机房，专有云交付依据业务主体数据独立性等级要求做部署架构选型TLDC架构（Trusted-nativeLogicDataCenter)业务Saas区构建混合云管控平台，提供标准云产品和交付能力隔离与互通技术能力，满足独立性要求蚂蚁混合云架构实践-TLDC架构

核心代码多云部署异构云底座数据/服务的有限互通协同防御数据、权限隔离卫星组件拆分技术风险技术风险技术风险技术风险技术风险蚂蚁混合云架构实践-TLDC架构

纯独立部署每个租户一套部署纯全局所有租户共享一套管控/数据全局部署卫星所有租户共享一套管理侧的全局部署不同租户内卫星部署执行引擎类模块业务租户技术风险系统租户内APP区域中间件业务租户技术风险系统租户内APP区域中间件技术风险系统（多租户化）全局管控租户业务租户租户内APP区域中间件通用代理组件业务租户租户内APP区域中间件通用代理组件技术风险系统（多租户化）全局管控租户业务租户技术风险功能组件租户内APP区域中间件业务租户技术风险功能组件租户内APP区域中间件目标：建设单云多租户管理能力蚂蚁混合云架构实践-租户隔离

客户站点（专有云）技术风险产品系统IAMCMDBCache…主站技术风险产品系统Paas IAMCMDBCachePaas…客户站点（专有云）产品最小集方式1：产品+依赖底座整体输出技术风险产品系统IAMCMDBCache…主站技术风险产品系统Paas IAM’CMDB’Cache’Paas’…客户自有产品集轻量化方式2：产品去底座依赖目标：一套产品系统代码，多异构站点输出部署蚂蚁混合云架构实践-多云输出

目标：多云独立部署，单元防控体验应急域变更域跨云数据通路数据出口管控管控接入（审批提单/结果回调/…）管控能力（审批/熔断/审计/…）出口元数据管理（数据类型定义/脱敏规则/…）跨云数据通道接入层（发送/订阅/…）通信信道（https/ftps/…）结构化（类型/结构/脱敏/…）蚂蚁混合云架构实践-多云协同

蚂蚁混合云技术风险能力建设

业务风险防控数据库运维管控基础设施运维管控基础架构运行管控质量保证资金安全变更管控性能容量定位应急红蓝攻防根基守护风险智能监控风险模型数据仿真灰度环境业务运维防控领域服务基础技术服务技术风险架构域蚂蚁混合云技术风险防控-背景

监控应急变更通过跨云数据通路解决跨云防控问题压测云B监控监控大盘风险事件链路定位跨云变更跨云压测……云A告警跨云查询跨云传递根因分析时间查询熔断跨云传输通道同步查询异步投递接口管控字段级权限控制信道专线