多云区块链 DLT

此体系结构结合了开放源代码区块链自动化框架 (BAF) 和已启用 Azure Arc 的 Kubernetes，以使用多方 DLT 并构建跨云区块链解决方案。

体系结构

此解决方案提供异类、多方、与云无关的 DLT 网络。 各方可以在任何位置托管节点，但这些节点仍是网络的一部分。

Workflow

• Kubernetes 是托管账本和应用程序的标准基础结构。 此示例假定有三个托管 Kubernetes 群集。

  • A 方使用 Azure Kubernetes 服务 (AKS)。
  • B 方使用 GCP Google Kubernetes 引擎 (GKE)。
  • C 方使用 Amazon Elastic Kubernetes 服务 (EKS)。

  各方在不同的位置托管节点。

• BAF 跨三个云服务部署分布式网络。

• 已启用 Azure Arc 的 Kubernetes 利用以下功能集中管理和监视所有 Kubernetes 群集：

  • 基于 GitOps 的群集配置部署和管理。
  • Azure Monitor 容器见解监视。
  • Azure Policy for Kubernetes 策略管理。

• Azure DevOps 提供应用程序和基础结构生命周期管理。 Azure Linux 虚拟机 (VM) 上的 Ansible 控制器是自定义 Azure DevOps 持续集成和持续交付 (CI/CD) 代理。

• Azure 容器注册表存储和共享与应用程序相关的专用容器映像。 Docker 注册表拉取特定于账本的映像。

组件

• Kubernetes 是托管账本和应用程序的基于容器的基础结构。 此示例假定有三个托管 Kubernetes 群集，分别位于 AKS、Amazon EKS 和 GCP GKE 中。 你几乎可以在任何公共或专用位置托管 Kubernetes 群集。

• 开源区块链自动化框架 (BAF) 是在基于公有云和私有云的基础结构上提供一致的生产就绪 DLT 网络的方法。 BAF 支持 Quorum、Corda 和 Hyperledger DLT。

• Azure Arc 通过扩展 Azure 控制平面，跨资源和位置标准化可见性、操作和合规性。

• 已启用 Azure Arc 的 Kubernetes 集中管理任何位置的 Kubernetes 群集。 已启用 Azure Arc 的 Kubernetes 适用于任何经云原生计算基金会 (CNCF) 认证的 Kubernetes 群集，包括：

  • Azure 上的 AKS 引擎
  • Azure Stack Hub 上的 AKS 引擎
  • Amazon EKS
  • GCP GKE
  • VMware vSphere

• Azure Monitor 是一个全面的解决方案，可用于收集、分析和使用遥测数据。 Azure Monitor 容器见解监视部署到已启用 Azure Arc 的 Kubernetes 群集的容器工作负荷的性能。

• Azure Policy 有助于强制执行组织标准并进行大规模的合规性评估。 Azure Policy for Kubernetes 可以管理和报告所有已启用 Azure Arc 的 Kubernetes 群集的合规性状态。

• Azure 容器注册表可以所有类型的容器部署生成、存储和管理容器映像与项目。

• Azure DevOps 是一组开发人员服务，可提供全面的应用程序和基础结构生命周期管理。 Azure DevOps 包括工作跟踪、源代码管理、BLD 和 CI/CD、包管理和测试解决方案。

备选方法

• Ambassador API 网关管理跨节点通信，但可以通过 Internet 使用云原生 API 网关，例如 Azure API Management。 有关详细信息，请参阅如何部署到 Azure Kubernetes 服务。

• 还可将 ExternalDNS 与 Azure DNS 服务一起使用。

• 你可以通过 Submariner 等工具获取互联网安全协议 (IPSec) 专用连接。

方案详细信息

区块链和分布式账本技术 (DLT) 网络都是多方系统。 每一方都可以有自己的工具、方法和云服务提供商。 某些提供商的公共或专用区块链网络的区域可用性、可伸缩性或网络隔离性可能有限。

开源区块链自动化框架 (BAF) 是跨不同公有云和私有云部署生产就绪 DLT 的一致方法。 尽管 BAF 可以管理部署，但它不提供集中基础结构管理和监视。 尽管某些云服务提供商的区块链服务提供基础结构管理，但可能要求各方都在同一云或基础结构中。

要协作并构建区块链网络，使用不同云服务提供商和基础结构的各方需要一个通用的管理平台。 无论托管基础结构如何，此平台都应该为各种资源和位置提供可见性、操作和合规性标准。

本文探讨 BAF 和已启用 Azure Arc 的 Kubernetes 如何构建侧重于便携性和控制的跨云区块链解决方案。

可能的用例

此方法支持：

• 异类 DLT 部署，其中独立的组织可拥有和管理每个节点。

• 跨多方网络的集中 DevOps、监视和合规管理。

注意事项

这些注意事项实施 Azure 架构良好的框架的支柱原则，即一套可用于改善工作负载质量的指导原则。 有关详细信息，请参阅 Microsoft Azure 架构良好的框架。

要了解 AKS　最佳做法，请参阅　Azure Kubernetes 服务 (AKS) 群集的基线体系结构。 你可以找到其他云服务提供商的类似指南。

可用性和可伸缩性

尽管 Azure Arc 可以管理和监视 Kubernetes 群集，但每个群集必须独立实现可伸缩性、高可用性和灾难恢复功能。

安全性

安全性针对蓄意攻击及滥用宝贵数据和系统提供保障措施。 有关详细信息，请参阅安全性支柱概述。

BAF 使用 HashiCorp Vault 来保存证书和密钥。 要使用 BAF，至少需要一个 Vault 服务器。 BAF 建议每个组织针对生产就绪项目使用一个 Vault。

成本优化

成本优化是关于寻找减少不必要的费用和提高运营效率的方法。 有关详细信息，请参阅成本优化支柱概述。

要估算 Azure 资源成本，请使用 Azure 定价计算器。

部署此方案

1. 对于此示例，在 AKS、GKE 和 EKS 中创建托管 Kubernetes 群集，并将这些群集加入 Azure Arc。
   • 将现有 Kubernetes 群集连接到 Azure Arc。
   • 部署 EKS 群集，并连接到 Azure Arc。
   • 部署 GKE 群集，并连接到 Azure Arc。
2. 按照安装和配置 BAF 先决条件的步骤操作。
3. （可选）创建 Azure DevOps 组织和项目，将 BAF 存储库克隆到新的 Azure DevOps 项目中。
4. （可选）在 Azure 中创建 Ansible 控制器 VM 作为自定义生成代理来部署 BAF 组件。

作者

本文由 Microsoft 维护， 它最初是由以下贡献者撰写的。

主要作者：

• Safi Ali | 高级云解决方案架构师

若要查看非公开的 LinkedIn 个人资料，请登录到 LinkedIn。

后续步骤

• Azure Arc Jumpstart
• 在 Azure Kubernetes 服务上部署 Hyperledger Fabric 联盟
• 使用 GitOps 的 CI/CD 工作流 - 已启用 Azure Arc 的 Kubernetes

相关资源

• Azure Kubernetes 服务 (AKS) 群集的基线体系结构
• 区块链工作流应用程序
• 适用于 Kubernetes 群集的 Azure Arc 混合管理和部署
• 适用于 AWS 专业人员的容器和容器业务流程协调程序
• 适用于 GCP 专业人员的容器和容器业务流程协调程序