亚马逊AWS官方博客
Cisco 使用 Apache DolphinScheduler 在 AWS 构建大数据系统实践
1. 背景介绍
Apache DolphinScheduler 是一个分布式易扩展的可视化 DAG 工作流任务调度开源系统,旨在解决复杂的大数据任务依赖关系,并为应用程序提供数据和各种 Data OPS 编排中的关系。 解决数据研发 ETL 依赖错综复杂,无法监控任务健康状态的问题。DolphinScheduler 以 DAG(Directed Acyclic Graph,DAG)流式方式组装任务,可以及时监控任务的执行状态,支持重试、指定节点恢复失败、暂停、恢复、终止任务等操作。
在 Cisco 的数据团队构建数据业务时,选取并使用 Apache DolphinScheduler 进行搭建大数据调度平台已经有近三年时间。其中大部分的数据任务都需要提交部署到 AWS 平台上,在团队进行系统架构和开发期间经历了一系列的挑战。从最初的 2.0.3 版本开始至今,团队与社区一同成长。本文将分享 Cisco 数据团队如何基于 DolphinScheduler 3.1.1 版本进行二次开发,并与 AWS 云上的资源特性进行深度融合,增加了一些社区版本中未包含的新功能以实现业务需求的技术细节。
2. 整体架构说明
2.1 业务挑战与应对
- 调度平台支持了简易的 ETL 任务定义,方便业务人员快速构建任务;
- 需要分别支持 Apache Spark、Apache Flink 、ETL 任务提交到 EKS(Amazon Elastic Kubernetes Service)上运行;
- 需要解决跨多个 AWS 区域进行任务调度管理,支持多计算集群架构;
- 可以有效并安全的管理 AWS 相关资源的启、停和权限控制,并做到资源隔离;
- 兼容 AWS 服务密钥自动轮转策略,增强系统安全性。
2.2 整体部署架构
- DolphinScheduler 的所有服务均部署在 Webex DC上,包括 API 、Alert 以及 Zookeeper、Master 和 worker 等组件;
- 支持提交 Spark、Flink 、ETL 任务到 EKS 运行;
- 支持一个调度服务负责多个 AWS 区域的计算任务调度管理,满足多国数据合规;
- 使用 Terraform 自动化 AWS 资源的配置和管理过程,简化资源分配和权限设定。
3. 技术实现细节
3.1 资源依赖和存储管理
Jar 包和配置文件等存储,选用 Amazon S3 Bucket 作为资源存储中心,存储用户的 Jar 包和可能的依赖配置文件。由于不同的业务通常在 AWS 上资源分布在不同存储桶,并且不同业务的都有数据隔离需求,这里需要支持多个 S3 Bucket 来满足不同集群的存储需求。因此,团队改进了 Dolphinscheduler 存储管理中对于 S3 的支持,使其兼容不同存储桶,并做了如下调整。
- 集群与 Bucket 的对应:每个集群将访问其对应的 S3 Bucket,以确保数据的局部性和合规性。
- 修改策略:我们需要调整我们的存储访问策略,以支持从多个 S3 Bucket 读写数据,不同的业务方要访问自己对应的 S3 bucket。
3.2 Docker 镜像管理
在改造之前,几乎所有的 Docker 镜像都存储在 Cisco 的一个 Docker 仓库中。
这些镜像为运行的各种服务和任务提供了必要的运行环境和依赖。为了更好的与 AWS 服务结合,团队决定将 Docker image 放到 Amazon ECR (Amazon Elastic Container Registry)上。并且可以在调度平台统一查看管理。因此,也在 UI 中集成了预览 ECR 镜像功能,如图示。
3.3 安全访问和权限管理
3.3.1 密钥管理工具迁移至 Secrets Manager
为了提高安全性,团队从 Cisco 的 Vault 服务迁移到了 AWS 的 Secrets Manager(ASM):
- ASM 提供了一个更加集成的解决方案来管理 AWS 资源的密码和密钥
- 使用 IAM Role 和 Service Account 的方式,以增强 Pod 的安全性
- 创建 IAM Role 和 Policy:首先创建一个 IAM Role,为其绑定必要的 Policy,确保只有必要的权限被授予
- 绑定 K8s Service Account:随后创建一个 Kubernetes Service Account,并将其与 IAM Role 关联
- Pod 的权限集成:在运行 Pod 时,通过关联到 Service Account,Pod 可以直接通过 IAM Role 获取所需的 AWS 凭证,从而访问必要的 AWS 资源
- 对 Apache DolphinScheduler 进行了扩展,以支持 AWS Secrets Manager,使得用户可以在不同的集群类型中选择密钥
这些调整不仅提升了系统的可扩展性和灵活性,还加强了整体的安全架构,确保在 AWS 环境中的运行既高效又安全。同时也避免了之前密钥自动过期需要重启的问题。
3.3.2 AWS 资源的管理和权限申请
团队通过 Auth 系统和其他工具,管理 AWS 资源的权限和访问控制,使得资源分配更加灵活和安全。做到了下述内容支持:
- 多 AWS Account 支持:在 Auth 系统中可以管理多个 AWS 账户,并绑定不同的 AWS 资源如 S3 Bucket、ECR 和 ASM 等
- 资源映射和权限申请:用户可以在系统中对已有的 AWS 资源进行映射和权限申请,这样在运行 job 时可以轻松地选择需要访问的资源
- Service Account 唯一区分:通过特定的集群、namespace 和项目名称绑定 Service Account,确保其唯一性
- 权限绑定界面:用户可以在界面上将 Service Account 绑定到具体的 AWS 资源,如 S3、ASM 或 ECR,从而实现权限的精确控制
3.4 自动化云上资源管理
3.4.1 动态资源配置和初始化服务(Init Container)
为了更灵活地管理和初始化 AWS 资源,团队实施了一个名为 Init Container 的服务。实现了下述内容:
- 资源拉取:Init Container 在 Pod 执行前,会自动拉取用户配置的 S3 资源,并将其放置到指定目录下
- 密钥和配置管理:根据配置,Init Container 会检查并拉取 ASM 中的密码信息,随后将其存放在文件中,并通过环境变量映射,供 Pod 使用
3.4.2 Terraform 在资源创建和管理中的应用
通过 Terraform 自动化了 AWS 资源的配置和管理过程,简化了资源分配和权限设定。
- 资源自动化配置:使用 Terraform 创建所需的 AWS 资源,如 S3 Bucket 和 ECR Repo
- IAM 策略和角色管理:自动创建 IAM 策略和角色,确保每个业务单元可以按需访问其所需的资源
4. 总结与展望
本文介绍了在 Cisco 数据团队在 AWS 平台上二次开发 DolphinScheduler 来应对企业内部对于数据调度任务的需求,未来还有一些地方可以优化改进可以提升用户提交和方便运维:
- 镜像推送优化:考虑跳过 Cisco 的中转打包流程,直接将包推送至 ECR,尤其是针对特定于 EKS 的镜像修改
- 一键同步功能:我们计划开发一键同步功能,允许用户将一个上传到 S3 Bucket 的资源包,勾选自动同步到其他 S3 Bucket,减少重复上传的工作
- 自动映射至 Auth 系统:AWS 资源通过 Terraform 创建后,系统将自动将这些资源映射到权限管理系统中,避免用户手动进行资源录入
- 权限控制优化:通过自动化的资源和权限管理,用户的操作变得更加简洁,减少了设置和管理的复杂性
通过这些改进,期望能够帮助用户使用 Apache DolphinScheduler 更有效地部署和管理作业,无论是在本地数据中心还是在 EKS 上,同时提高资源管理的效率和安全性。
参考链接
Dolphinschduler 架构设计:https://DolphinScheduler.apache.org/zh-cn/docs/3.1.2/architecture/design
EKS 部署 Dolphinscheduler 指南:https://aws.amazon.com/cn/blogs/china/aws-deployment-serverless-dolphinscheduler/
AWS 的策略和权限管控 IAM :https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html
Dolphinscheduler 社区分享: https://mp.weixin.qq.com/s/Md5C84kZLA_H4pdfzLmxbw