各位網(wǎng)友大家好�,歡迎做客本期的名人堂訪談���,我是主持人皮皮,本期訪談我們很榮幸邀請到了網(wǎng)易杭州研究院前臺技術(shù)中心總監(jiān)陳諤老師,為大家坐鎮(zhèn)解答疑惑�。談到網(wǎng)易,大家會想起耳熟能詳?shù)木W(wǎng)易郵箱�����;而說到網(wǎng)易云��,大家又會很自然地聯(lián)想到網(wǎng)易云音樂�、云課堂,云筆記����、云閱讀等產(chǎn)品�,但隱藏在這背后的網(wǎng)易云架構(gòu)又有多少人知曉呢? 在7*24小時不間斷的服務(wù)背后�����,網(wǎng)易是如何利用自主研發(fā)的監(jiān)控平臺來應(yīng)對異常情況���?作為2014中國系統(tǒng)架構(gòu)師大會的專家顧問�,陳諤老師又有哪些心得體會呢�?本期名人堂將為大家一一揭曉謎團,與大師近距離對話�,讓您領(lǐng)悟網(wǎng)易云之架構(gòu)之美。
皮皮(Q1):陳諤老師�����,歡迎做客本期名人堂訪談活動���,請簡要介紹下自己�,和我們社區(qū)的網(wǎng)友打個招呼�����。
陳諤(A1):我于2006年加入網(wǎng)易進入網(wǎng)易杭州研究院,先后參與和負責(zé)了網(wǎng)易博客服務(wù)端架構(gòu)設(shè)計與開發(fā)�、網(wǎng)易消息推送平臺架構(gòu)設(shè)計、網(wǎng)易私有云計算與網(wǎng)絡(luò)虛擬化架構(gòu)設(shè)計工作���,目前負責(zé)網(wǎng)易云計算項目整體規(guī)劃工作及網(wǎng)易能力開放平臺的設(shè)計規(guī)劃工作���。技術(shù)上對分布式系統(tǒng)設(shè)計開發(fā)、各類編程語言與編程模型充滿興趣�。生活中的我是名IT技術(shù)宅男�����、喜歡自駕旅游�、也是一名偽球迷和偽影迷�。
皮皮(Q2):2014中國系統(tǒng)架構(gòu)師大會以“發(fā)現(xiàn)架構(gòu)之美”為主題,其中也有關(guān)于“網(wǎng)易私有云以及網(wǎng)易云存儲”的專場,能否為我們談?wù)勈裁词蔷W(wǎng)易云架構(gòu)?
陳諤(A2):網(wǎng)易云從形式上來看與AWS�����、阿里云等類似���,是IaaS+PaaS的云計算平臺,但和公有云有所不同�。網(wǎng)易云從誕生起,就立足于為網(wǎng)易的自己各類互聯(lián)網(wǎng)產(chǎn)品而服務(wù)����,因此在性能、穩(wěn)定性方面有很高的要求��。此外����,考慮到我們需要對已有機房網(wǎng)絡(luò)實現(xiàn)融合,因此在設(shè)計開發(fā)網(wǎng)易云期間,我們對最基礎(chǔ)的計算、網(wǎng)絡(luò)、存儲服務(wù)都做了大量的概念驗證、性能測試工作,并對于各類異常狀況的處理做了充分的運維應(yīng)對措施�。與此同時����,我們還根據(jù)機房網(wǎng)絡(luò)融合和網(wǎng)絡(luò)訪問安全保障的需求專門設(shè)計了融合方案��,這一方案也將在本屆中國系統(tǒng)架構(gòu)師大會上進行分享。
網(wǎng)絡(luò)架構(gòu)上SDN的逐步實施也是網(wǎng)易云的一大特點��,通過基于L3 Overlay的方案���,網(wǎng)易云極大的降低了與數(shù)據(jù)中心網(wǎng)絡(luò)拓撲的耦合���,并為用戶帶來了租戶間二層隔離的更為安全的私有網(wǎng)絡(luò)。網(wǎng)易云的上層服務(wù)也頗具特色�����,例如除了傳統(tǒng)的單節(jié)點關(guān)系數(shù)據(jù)庫�����,我們還支持可水平擴展的分布式數(shù)據(jù)庫����,這也使得運行在網(wǎng)易云之上的產(chǎn)品在關(guān)系數(shù)據(jù)庫訪問性能上獲得了極大的彈性。目前網(wǎng)易云已在公司內(nèi)廣泛使用���,自今年以來����,規(guī)模也在迅速擴大中��,不久后網(wǎng)易的一些第三方合作方也將從高性能低成本的網(wǎng)易云解決方案中受益�����。
皮皮(Q3):作為本屆中國系統(tǒng)架構(gòu)師大會的專家顧問��,您覺得有哪些機遇與挑戰(zhàn)�����?能否分享下您的心得體會����?
陳諤(A3):中國系統(tǒng)架構(gòu)師大會是高手云集的盛會���,覆蓋的領(lǐng)域也非常廣泛。作為大會的專家顧問�,這是一個很好的機會,我能夠直接接觸業(yè)界許多先進的思想�����,也能夠和各領(lǐng)域的專家分享與交流想法�,并且也能借此機會促成長期的交流合作。這種交流的環(huán)境是難能可貴的�����,是非常高效有品質(zhì)的��。
在挑戰(zhàn)方面��,我覺得由于IT行業(yè)發(fā)展太快��,總是不乏新舊技術(shù)思想的碰撞與顛覆��。作為本屆中國系統(tǒng)架構(gòu)師大會的專家顧問���,我覺得需要控制自己的思維慣性���,有必要深入考慮一些隱藏在技術(shù)架構(gòu)解決方案背后的成因和適用的場景,而不再是停留在簡單去否定或追捧的層面上�,這將會是一個挺大的挑戰(zhàn)。
皮皮(Q4): 對很多互聯(lián)網(wǎng)企業(yè)而言����,提供7*24小時不間斷的服務(wù)是一項非常艱巨的任務(wù)。一旦出現(xiàn)異常��,運維工程師要面臨各種異常補救措施���,作為前臺技術(shù)中心總監(jiān)���,您能否為我們分享下網(wǎng)易是如何利用自主研發(fā)的監(jiān)控平臺來應(yīng)對異常情況?
陳諤(A4):網(wǎng)易的監(jiān)控平臺從很早開始就注重開放接口來滿足業(yè)務(wù)數(shù)據(jù)的采集監(jiān)控���,這是因為不少線上事故并不能從服務(wù)器�、VM的各項監(jiān)控數(shù)據(jù)指標(biāo)中得到良好的體現(xiàn)�����,所以我們的監(jiān)控平臺從一開始就設(shè)計成開放接口,允許將實時的業(yè)務(wù)數(shù)據(jù)推送到監(jiān)控平臺上��,同時監(jiān)控平臺還支持監(jiān)控數(shù)據(jù)的聚合和各種統(tǒng)計方式��,這樣運維人員便就能很方便的設(shè)定規(guī)則來觸發(fā)報警��。
此外���,監(jiān)控平臺還具備完善的查詢功能����,能夠通過類似SQL查詢的方式查詢符合一些閾值條件的服務(wù)器����,為容量規(guī)劃的決策提供支持,支持產(chǎn)品的長期發(fā)展���。除了業(yè)務(wù)層面外�,監(jiān)控平臺在數(shù)據(jù)中心層面還支持監(jiān)控網(wǎng)絡(luò)拓撲和交換機的工作情況�,這樣帶來的好處很多,可以在很大程度上協(xié)助運維人員防患于未然��,分離熱點保障產(chǎn)品的服務(wù)質(zhì)量。當(dāng)然監(jiān)控只是保障不間斷服務(wù)的一個方面�,更多的還是需要產(chǎn)品在架構(gòu)層面做到高可用、剝離狀態(tài)����、運維友好、支持過載保護及必要的服務(wù)降級�����。網(wǎng)易的一些重要服務(wù)還包含額外的SLA評估服務(wù)���,用以從用戶視角觀察服務(wù)質(zhì)量,這樣就能把運營商網(wǎng)絡(luò)���、CDN等服務(wù)端難以監(jiān)控的因素也包含在內(nèi)���。
皮皮(Q5): 很多郵箱等Web應(yīng)用都會面臨著用戶隱私等信息安全的問題,網(wǎng)易該如何應(yīng)對這種挑戰(zhàn)�����?您覺得有哪些技術(shù)方法可以強化Web應(yīng)用的安全����?
陳諤(A5):保護用戶隱私是一個包含很多方面的系統(tǒng)性的工程���,網(wǎng)易也有較為完整的體系來應(yīng)對這一挑戰(zhàn)。首先網(wǎng)易有完善的通行證賬號體系����,網(wǎng)易通行證提供了將軍令、密�����?���、手機綁定等多種保障���,通過統(tǒng)一的賬號體系同時也對異常登錄等行為做了實時的分析反饋,通行證及網(wǎng)易的平臺類產(chǎn)品均提供了標(biāo)準(zhǔn)的OAuth2.0��,OpenId等支持來保障第三方接入時用戶賬號的安全�;
其次網(wǎng)易的互聯(lián)網(wǎng)產(chǎn)品也十分注重客戶端漏洞的預(yù)防,網(wǎng)易的安全部門對各產(chǎn)品的XSS��、SQL注入等漏洞情況有嚴(yán)格的監(jiān)控����,漏洞的解決都有嚴(yán)格的限時要求���;在服務(wù)端我們要做的是防御入侵,近年來不少嚴(yán)重的用戶隱私泄漏事故均起源于服務(wù)端被入侵��,網(wǎng)易的安全部門及系統(tǒng)運維團隊負責(zé)對操作系統(tǒng)���、應(yīng)用容器等漏洞進行跟蹤����。當(dāng)有重大漏洞出現(xiàn)時各產(chǎn)品和服務(wù)均會第一時間進行更新��,例如最近的Heartbleed漏洞�,網(wǎng)易相關(guān)的產(chǎn)品均在極短的時間內(nèi)完成了更新��,網(wǎng)易的開發(fā)人員在接入機房內(nèi)網(wǎng)時都需要額外通過將軍令驗證���,這也很好的保障了數(shù)據(jù)中心網(wǎng)絡(luò)不因為個人安全疏忽而被入侵�����。
此外���,我們還在積極引入入侵檢測體系�,提升運維感知能力�;在數(shù)據(jù)中心的網(wǎng)絡(luò)層面,網(wǎng)易也通過劃分VLAN來控制不同產(chǎn)品間的網(wǎng)絡(luò)連通性����,在網(wǎng)易實施私有云以來還逐步提供了到租戶粒度的三層網(wǎng)絡(luò)隔離,目前網(wǎng)易私有云網(wǎng)絡(luò)正通過實施SDN�����,實現(xiàn)租戶網(wǎng)絡(luò)的完全二層隔離����,從而帶來了更高的靈活性和安全性。
在強化Web應(yīng)用安全方面�,我覺得應(yīng)在需要的場合引入HTTPS,注意cookie的屬性設(shè)置如secure����、http-only;注意預(yù)防XSS����、SQL注入等漏洞�����,可基于Zap��,Burp Suite等工具來檢測漏洞�;基于中央認證服務(wù)器的體系實現(xiàn)SSO(可參考google賬號認證體系或Yale CAS)�;第三方認證授權(quán)使用OpenId及OAuth2.0;用戶密碼存儲確保簽名及加鹽存儲��;服務(wù)端應(yīng)用容器���、依賴的框架�、操作系統(tǒng)及常用軟件需關(guān)注安全更新及時升級修復(fù)安全漏洞�;管理服務(wù)器環(huán)境考慮使用堡壘機;架構(gòu)上避免服務(wù)器不必要的向外網(wǎng)暴露��;引入VLAN隔離產(chǎn)品��、數(shù)據(jù)服務(wù)環(huán)境��。
PS:非常感謝陳諤老師的參與�,2014中國系統(tǒng)架構(gòu)師大會以“發(fā)現(xiàn)架構(gòu)之美”為主題���,其中特別開設(shè)了“網(wǎng)易私有云以及網(wǎng)易云存儲”的專場��,歡迎大家踴躍報名�����,大會官網(wǎng)http://sacc.it168.com/��。與陳諤大師的深度對話機會�����,請大家抓住機會�����,趕緊提問吧���!無論是大會工作還是生活��,您都可以敞開心扉�����,與我們交流心得���。截止7月25日��,我們將在ITPUB和ChinaUnix社區(qū)評選出會員三名��,各贈送圖書徽章一枚��,可以用于兌換圖書���。
免費注冊
發(fā)表于 2014-06-25 17:22
