一.什么是信创?
信创,全称“信息技术应用创新”(Information Technology Application Innovation),是我国为推动信息技术领域自主可控、安全可靠而提出的战略举措,核心目标是通过自主研发与创新,构建“国产化、安全化、可控化”的信息技术体系,摆脱对国外技术的依赖,保障国家信息安全与数字经济高质量发展。
二.为什么要信创?
信创是我国应对全球科技竞争、保障国家安全、推动经济转型的必然选择,其重要性体现在以下三个层面:
国家安全层面:破解“卡脖子”风险,保障信息安全
长期以来,我国在信息技术领域依赖国外技术(如Intel CPU、Windows操作系统、Oracle数据库),存在严重的“卡脖子”风险。例如,国外企业可能通过技术手段限制我国关键行业(如金融、能源、政务)的信息系统运行,或通过数据泄露威胁国家安全。信创通过自主研发核心技术,实现“从0到1”的突破,能有效保障国家信息安全与数据主权。经济转型层面:推动数字经济高质量发展,培育新质生产力
信创是数字经济的核心支撑,其发展能带动集成电路、新型显示、新材料、航空航天等新兴支柱产业的崛起,推动我国产业结构从“规模导向”向“价值导向”转型。例如,信创产业的发展能推动人工智能、大数据、云计算等技术与传统产业融合,提升生产效率,培育新质生产力。产业升级层面:促进产业链协同,提升国际竞争力
信创产业的发展能带动产业链上下游企业协同创新,形成“大中小企业协同”的产业生态。例如,华为鲲鹏CPU的研发,能带动服务器、PC、操作系统等企业的配套创新,提升我国信息技术产业的整体竞争力,推动我国从“制造大国”向“制造强国”转型。
三.信创的时间线和deadline
大家也懂,这些年政府主导在各行各业开展的自主可控的产业升级,会通过指导、下达指标和完成比例,完不成被批评等方式进行,白纸黑字的deadline是不会落人口实的。网上能够找到的一些流传比较多的有:
- 国资发改革〔2022〕79号《关于开展对标世界一流企业价值创造行动的通知》
- 人民银行 金融业关键信息基础设施国产化落实计划(2024-2027)
- 工信部《“十四五”软件和信息技术服务业发展规划》
四.科技系统信创的类别和对应选型产品
哪些东西需要信创呢,以科技类系统为例,主要有以下方面:
硬件服务器信创:机器硬件国内信创的话逃不开这么几家:海光、鲲鹏、飞腾等
桌面操作系统:华为鸿蒙、银河麒麟桌面操作系统、统信UOS等
服务器操作系统:麒麟、tlinux(TencentOS Server)、open欧拉等
JDK:很多银行类存量java类系统一般使用的oracle 的jdk1.8或更高版本,这个应该不符合信创要求,一般至少要替换成openjdk等开源版本,或者更进一步使用各个厂商封装后的jdk,比如腾讯的Kona JDK,华为的华为毕昇JDK等。
中间件:银行类系统近几年各类微服务改造,一般都会使用到nginx,apache,zookeeper,nacos,tomcat等中间件,像nginx,apche这种是遵循bsd,apache开源协议,在国产信创没有很好的替代产品的情况下,只要通过源码编译适配国产架构、集成国密算法、修复安全漏洞等优化措施,满足信创环境的自主可控、安全可靠需求就可以使用。tomcat国产有东方通、宝兰德、普元等,注意这些产品是收费的,如果我没有信创压力,我是不可能花钱用东方通等软件的,何苦为难自己,免费的好用的不用。这一个就很玄学,开源的按理说即使中美开战,世界封锁我们,这些软件理论上是可以使用的,可是为了彻底的安全,仍然要求使用这种不好用的开源版本,没有办法,要讲政治😄
数据库:这块国内数据库厂商因为用户基数大,实战经验强,在世界上还是很有竞争优势的。比如华为的GaussDB、阿里的OceanBase、腾讯的TDSQL、达梦DB等。
云平台:以目前的趋势,但凡有头有脸的企业,单位要是系统没有容器化,没有上云走到大街上都不好意思跟人打招呼。那,云平台这种基础设施肯定跑不掉,公有云头部大厂华为云、阿里云、腾讯云占了国内大部分的市场,一般企业图省事肯定脱不开这几家;如果为了所谓的安全,要求私有化部署,这几家同样有成熟的解决方案。有了这几家云平台,那跑不开他们的各种中间件全家桶,数据库、缓存、文件存储、mq,用习惯他们的产品,持续性的付钱吧,哈哈….
五.科技系统容器化应用信创架构体系的选择
科技系统应用要信创改造,这里只介绍容器化的应用,首先摆在面前的最重要的事情是如何选择架构体系,是arm架构还是x86架构,虽然领导一般会要求两种都要支持,但是选择了一种最好不要随便换另一种,原因我稍后再说。ARM与x86我们知道是当前计算机领域两大主流指令集架构,其核心差异在于设计理念(RISC vs CISC),因为指令集的区别会产生一系列的影响。
如果现在有两个截然不同的架构体系的服务抛开价格因素、政治因素供你自由选择,比如鲲鹏(arm架构)、海光(x86),朋友们你会选择哪一种?
我的话,毫无疑问,选择海光(x86)服务器。原因如下:
架构体系没有变化。非信创的应用一般是x86架构体系的(95%以上甚至更高),容器化应用一般POD里使用的centos,重一些的比如红帽、乌班图等,迁移到海光服务器,基本可以做到无缝迁移,之前怎么跑现在只是换了个服务器继续跑。
利旧因素。生产淘汰下来的非信创服务器也都是x86架构的,这些机器是很充裕的,开发、测试环境申请比较容易,各个企业也不会直接扔掉,而是补充到测试环境让大家充分利用。
开发技术工具不用变。也是因为x86架构相通的原因,之前非信创的开发工具比如编译打包的机器、开发测试环境可以拿来直接用,可以打出信创的docker镜像,可以在已经有几台非信创NODE虚拟机基础上增加信创的虚拟机服务器。
而如果要选择arm架构的鲲鹏服务器,工作量会增加,原因如下:
需要申请新的编译打包机器。除非系统全部都是只依赖jdk的容器化应用可以继续使用已有的x86编译打包服务器,打出来的arm体系的镜像大概率能够在arm服务器运行,除了少数java应用使用到操作系统指令级别的方法、ABI、依赖库、工具链。像上面所说的如今企业使用的技术路线一般是分布式微服务依赖nginx,apache,zookeeper,nacos等很多不依赖jdk的,这种还是需要基于arm的编译打包机器才能运行。如果,我说如果大家想节省编译打包服务器,有一个选择是可以研究一下(Docker Buildx是Docker官方推出的扩展构建工具,基于BuildKit后端,旨在解决传统docker build无法高效构建多架构镜像(如linux/amd64、linux/arm64)的问题。它支持跨平台构建、高级缓存策略、分布式构建等功能,是现代云原生环境中构建容器镜像的核心工具)。
申请新的开发测试环境。原来的非信创x86开发测试服务器将不能用,需要申请新的arm服务器搭建开发测试环境,而当前趁着信创的春风,各个信创服务器厂商坐地起价,价格每天不一样,据说这几个月是头两年价格的一倍。企业预算有限,申请下来的机器优先用于生产。
六.科技系统容器化应用信创步骤
以我的经验,从企业级层度考虑科技系统容器化应用信创的步骤总结如下:
首先构建基础的信创镜像:这个是至关重要的,你没有办法要求每个项目组自己去造轮子,准备arm,x86下的各种基础镜像,企业级需要统筹考虑。上面有说,企业级基础镜像一般有jdk,nginx,apache,zookeeper,nacos,tomcat等,一般jdk是最关键的基础镜像,企业级需要统筹制作基于arm,x86的不同jdk版本,不同操作系统的基础镜像:比如tlinux3.3_jdk8,tlinux4.2_jdk8,tlinux3.3_jdk17,tlinux3.3_jdk21,上面只jdk8就因为操作系统不同已经多种排列组合,还可能打包基于麒麟的jdk…..像现在新的项目都会要求jdk17,jdk21,且至少是openjdk版本,而且不要忘了更进一步还有腾讯的Kona JDK,华为的毕昇JDK ,只jdk就需要准备多套不同场景。像tomcat除了准备x86,arm两大类,还有麒麟、tlinux等不同操作系统,如果用信创的东方通等又需要制作很多其他品类…总之企业级基础镜像的制作必不可少,磨刀不误砍柴工。
应用侧的调整:迁移到信创尤其是arm鲲鹏的情况,有些项目语法、xml等需要调整,这一块比如鲲鹏提供了kit供扫描代码,检查哪里有问题,给出改造建议。整体上大部分应用不需要调整,只是需要大量的测试验证。
编译打包机器调整:x86编译打包机器基本可以服用原机器;上面有说如果是arm体系,除非buildx方案适配不同架构,否则功能测试、回归测试等多套编译打包机器少不了。
开发测试环境准备:x86的我理解如果资源不充足可以利旧拿生产淘汰的机器继续使用;arm的铁定需要新的机器进行测试验证。
镜像脚本的调整:k8s纳管的docker镜像dockfile需要基于信创基础镜像专门调整。很多选择海光服务器的项目外面服务器信创了,POD里面因为都是x86的,不是基于信创基础镜像调整的比如基于原来centos的镜像仍然能够运行,有些单位检查机制不完善,POD不改直接上线,这种改一半的方案我理解是不符合信创要求的,是不彻底的,会被秋后算账的。
数据迁移:这个是信创改造的重点,即使专门写几篇大书特书都不为过。这里要看项目的具体情况,如果是oracle要迁移到符合信创要求的数据库比如oceanbase,tdsql,这些数据库厂商都有成熟的迁移工具,表结构、数据类型可能都需要做适配调整,后续的测试验证、上线升级都需要系统系的准备。
测试验证:很多企业业务部门都很排斥信创,认为这是技术的事情,技术部门又要求业务全流程的测试。这是个博弈的过程,最好的解决方案是技术要通过自动化方式全流程回归,业务呢也配合做主流程的测试验证,双管齐下,保障信创改造工作的顺利进行。
投产上线:注意信创是全方位的,前置区域比如nginx,apache要信创,应用区域应用,服务器要信创,数据库底层服务器也要信创,当然可以分步骤,但终归是要达到全方位的信创改造才符合要求的。投产上线过程中,风险比较大的可能是前置网络梳理以及数据迁移这块,前置错综复杂的内外网端口开通情况很容易遗漏,所以上线之前需要开发运维仔细的核对,尽可能的在信创前置环境做到不遗漏。
浅显的总结先到这里,希望对大家有点帮助,谢谢。
