基于Kubernetes集群环境的超级账本Fabric多租户区块链解决方案

Kubernetes是Google开源的容器集群管理和编排系统。它构建于docker和其他容器技术之上，为容器化的应用提供资源调度、部署运行、服务发现、扩容缩容等整一套功能，本质上Kubernetes是一种基于容器技术的PaaS平台。Kubernetes社区得到包括Google, IBM，RedHat, CoreOS, Microsoft , Huawei在内的多家互联网和IT巨头的支持和领导，Kubernetes有望成为下一代云环境的操作系统。

图1 基于容器技术的云环境生态 from IBM微讲堂

不论是构建企业自己的私有云，还是构建基于公有云IaaS上的PaaS平台，还是构建私有公有混合云，Kubernetes的各种addons和插件都可以轻松实现。

Kubernetes将云环境下的各种资源解耦，（云）计算资源，（云）存储资源，（云）网络资源相互分离，通过各种addons和插件，真正实现软件（配置）定义计算，软件（配置）定义网络，软件（配置）定义存储。

作为区块链领域最大的开源社区，超级账本Fabric为企业级的联盟链专门打造，首先由IBM开源，超级账本社区目前已经得到183个多元化公司机构支持和贡献，目前超级账本Fabric已经升级为1.1.0版本。相比于比特币和以太坊一个可执行程序完成包括共识在内的所有事情，Fabric针对企业级应用，可集成性，安全性，可扩展性要求更高，架构更为复杂，其选用业内最先进的容器技术，成为第一个基于容器化编排的区块链平台。

作者基于自身实践，将Fabric各节点以容器化方式基于Kubernetes进行编排，实现基于Kubernetes云集群环境下的多租户部署运行。

基于Kubernetes的Fabric BaaS主体架构

Kubernetes作为一个云集群环境，可以实现基于namespace的子集群的划分，实现子集群资源隔离，基于Kubernetes的namespace机制，进而实现不同组织租户资源的隔离。

图2 Fabric BaaS on Kubernetes 架构

名称空间主要有三大类，一类是组织专属空间： org1-bctrustmachine-cn, org2-bctrustmachine-nc, ... , orgn-bctrustmachine.cn，一类是联盟专属空间：bctrustmachine-cn, 一类是系统专属名称空间：kube-system。可以为组织专属名称空间指定dedicated机器节点，从物理上实现不同组织资源的隔离。

组织专属名称空间

组织专属名称空间上部署了该组织专用的peer核心集群，包括peer节点和ca节点，还部署了该组织命令行节点和若干自开发的fabric客户端节点。本地peer节点维护区块链各channel的本地账本，并代表本节点进行交易建议执行和背书；ca节点代表本组织的根证书机构，对所有要参与区块链网络的用户进行证书签名授权，ca节点可以连接企业现存LDAP，执行严格的基于用户的身份验证和区块链网络使用授权；命令行节点可以以命令行的方式进行channel维护（create，join），chaincode维护（install， instantiate，upgrade）和交互（invoke，query）；客户化的hfc节点是实现企业分布式应用DApp同区块链网络交互的接口，可以结合ca，实现为API供企业DApp使用，可以用fabric支持的客户端实现，如node.js, java, python等，这些接口代表的是具体的业务操作逻辑和业务流程逻辑。另外，客户化的hfc应用还可以基于fabric的事件机制，实现联盟链外向网关，实现联盟链网络同传统IT系统，如银行核心的无缝集成，也可以同时实现为公有链的轻客户端，实现同公有链的集成。

联盟专属名称空间

联盟专属名称空间上部署了联盟级别的资源，主要是时序器集群。如果采用kafka作为时序器实现，还需要部署kafka集群和zookeeper集群。

系统专属名称空间

系统专属名称空间上部署了Kubernetes平台运行、平台管理和监控必须的资源。平台运行所依赖的etcd，apiserver，scheduler，controller-manager，dns，flannel，kubelet，proxy。平台管理和监控资源包括容器日志的收集，分析，展现，容器资源的收集和展现，Kubernetes控制台和区块链控制台。

平台特点

区块链资源自动生成

区块链资源动态升级，动态扩展

区块链资源可视化管理和配置

容器化管道式自动化运维

高可用、高扩展、高性能、高安全、高隐私

以原生Dashboard为例展现

未来功能扩展

未来会基于平台架构完善各方面功能，并实现诸如存证溯源，供应链金融，保理，应收账款管理，资产证券化，token发行和流通，钱包，交易所等区块链应用，并实现同公有链，如比特币、以太坊、EOS、Polkadot、Cosmos等的跨链交互和双向peg网关。

由于EOS可以支持基于源码的子链同EOS主链的跨链交互，另外采用DPoS共识，对21个共识节点的带宽和存储性能要求较高，共识节点采用云操作系统部署比较合适，所以除了目前实现的on Kubernetes的Fabric的联盟链，未来还可以实现on Kubernetes的EOS联盟链，并实现同EOS公有主链的跨链高速交互。

区块链应用范式

联盟链作为分布式账本记账，实现复杂的业务逻辑，安全控制和账本管理，通过同公有链的集成，把联盟链的最终记账资产锚定反映在公有链真实资产上，保证了资产安全和自我绝对控制。等法定数字货币出现，未来还可以实现同法定数字货币的双向peg网关，真实资产存放也可以存放为以国家信用背书的法定数字货币（token）。银行（或企业）记账核心+联盟链+公有链/法定数字货币（token）的范式，可以保证复杂的业务逻辑不暴露在公网上，又保证了资产的绝对安全（公有链存放资产），会是未来很大一部分区块链应用的标准模式。