各位領(lǐng)導(dǎo)�、各位專家,大家下午好��,今天很高興在這個舞臺跟大家分享一下在混合云方面的一些心得���。正式的討論之前����,請允許我用一兩分鐘的時間大概介紹一下世紀(jì)互聯(lián)和我們上海藍(lán)云。在座可能很多專家不一定了解��。
世紀(jì)互聯(lián)1999年在北京成立���,2011年納斯達(dá)克上市����,2012年跟微軟建立合作伙伴關(guān)系�����,負(fù)責(zé)運營微軟在中國公有云業(yè)務(wù)�,就是Azure和office365����。互聯(lián)網(wǎng)比較有名的品牌公司都是世紀(jì)互聯(lián)的用戶�����。對于上海藍(lán)云來說我們在跟微軟建立戰(zhàn)略合作伙伴關(guān)系之后�,在上海成立一個世紀(jì)互聯(lián)全資的子公司,由全資子公司上海藍(lán)云負(fù)責(zé)運營微軟Azure和office365所有的業(yè)務(wù)���,我們今天微軟公有云在中國任何用戶用實際上都是通過我們上海藍(lán)云��,也就是技術(shù)支持����、運維服務(wù)、以及銷售�����、以及合同等�。
接下來步入我們的正題,今天整個IT行業(yè)發(fā)生了翻天覆地的變化���,由于有云的引入�����,由于有大數(shù)據(jù)���,由于有物聯(lián)網(wǎng)等等。所有這一切最終目的是什么����?為的是實現(xiàn)我們IT價值���,為的是為我們業(yè)務(wù)服務(wù)。既然為我們業(yè)務(wù)服務(wù)���,本質(zhì)上來講云也好����、大數(shù)據(jù)也好�����、物聯(lián)網(wǎng)也好都是基于不同IT交互模型的變化�����。這個IT交互模型的變化體現(xiàn)在哪些地方���?首先在我們傳統(tǒng)IT領(lǐng)域,我們交互模型相對比較簡單��,我們直接自己來采購硬件網(wǎng)絡(luò)�����,往上面做軟件,通過我們合作伙伴把我們系統(tǒng)搭建起來����。隨后大家發(fā)現(xiàn)這種模型實際上往往比較費勁,因為我們作為用戶來講我不可能從網(wǎng)絡(luò)�����,從數(shù)據(jù)中心到硬件到軟件我都很熟�����,這樣一種狀況下我們往往請很多第三方合作伙伴幫助我們��。逐漸隨著業(yè)務(wù)不斷的發(fā)展規(guī)模越來越大��,需求越來越大�,很多廠商在這里面發(fā)現(xiàn)我們?yōu)槭裁床豢梢园盐覀兿到y(tǒng)先預(yù)裝進(jìn)去,用戶需要的話�,直接把我們預(yù)裝好的交付給用戶,在云之前我們整個IT工業(yè)界有大量的預(yù)裝系統(tǒng)和應(yīng)用���。這種極大降低了用戶的部署成本����,用戶的構(gòu)建成本。
隨著社會分工不斷的發(fā)展�,我們越來越發(fā)現(xiàn),所有這一切其實都是在做重復(fù)的勞動�,我們能不能把我們整個IT基礎(chǔ)設(shè)施當(dāng)成一個服務(wù),這是十來年前我們說整個IT工業(yè)界開始走向一個臨界的轉(zhuǎn)折點�,整個IT工業(yè)界的變化是以IT交付模型的變化在引領(lǐng)我們,轉(zhuǎn)變整個IT業(yè)發(fā)展的思路����。
正是由于這種轉(zhuǎn)變就引發(fā)了我們另外一個議題,這就是今天我們作為云服務(wù)來講���,我們邊界開始變得更加模糊�,這種模糊體現(xiàn)在哪些方面�����?第一個��,從運維的角度發(fā)生了根本性的變化�����,我們拿傳統(tǒng)IT windows為例��,我們通常把我們操作系統(tǒng)裝在一臺硬件服務(wù)器上����,有專家要表示有不同的看法,操作系統(tǒng)直接搭建在我們硬件上�,統(tǒng)過兩個操作系統(tǒng)通過心跳線實現(xiàn),這是單服務(wù)器的運維�。云環(huán)境下面,無論是公有云�、私有云、混合云�����,實際上都變換著我們面向的運維����,不是單服務(wù)器的運維,而是綜合了整個風(fēng)���、火����、水、電��,到網(wǎng)絡(luò)��、機(jī)架��、電源��、云操作系統(tǒng)���、虛機(jī)�����、虛擬化���、云PaaS層面所有這一切,我們相當(dāng)于把整個數(shù)據(jù)中心變成巨大的單臺服務(wù)器��,在這個巨大的單臺服務(wù)器上我們部署了云的操作系統(tǒng)�。云的操作系統(tǒng)同樣像單臺服務(wù)器一樣我們有windowscontroller。這對我們整個運維環(huán)境和運維體系構(gòu)成一個巨大的挑戰(zhàn)����,也對我們整個運維團(tuán)隊技術(shù)的能力有相當(dāng)?shù)囊?���。所以這是從運維體系方面的變遷�。
我們云作為一個基礎(chǔ)設(shè)施為的是什么�����?為的是我們的業(yè)務(wù)�����,為的是支撐我們企業(yè)的業(yè)務(wù)���,支撐我們客戶的業(yè)務(wù)�。云基礎(chǔ)之上有解決方案���,應(yīng)用系統(tǒng)���,這些應(yīng)用系統(tǒng)和解決方案,同樣需要有方案�。我們把底層、硬件�、網(wǎng)絡(luò)��、電�����、操作系統(tǒng)和應(yīng)用系統(tǒng)整合在一起��,通通叫IT部門負(fù)責(zé)���。隨著云的引入,這一切切分開來了���,通常我們現(xiàn)在企業(yè)IT如果用公有云的話�,變成我們企業(yè)IT往往負(fù)責(zé)解決方案這一塊�。而云服務(wù)商就負(fù)責(zé)底層風(fēng)、火���、水���、電系統(tǒng)等。這時候相當(dāng)于我們云運維上又做了切分�����,一半是云服務(wù)商負(fù)責(zé),私有云自有機(jī)房�,另外一半私有云是我們IT部門負(fù)責(zé),有很多不同的組合形式���。這種組合形式同樣因為它是跨企業(yè)的邊界就會帶來一定的復(fù)雜度,這就是今天為什么我們云服務(wù)商都有大量技術(shù)支持服務(wù)���,云支持服務(wù)的原因���,因為我們有一部分底層的運維,有我們傳統(tǒng)企業(yè)內(nèi)部的運維團(tuán)隊����,遷移到云服務(wù)商范疇之內(nèi)。
再來看看從云模型本身��,云模型本身業(yè)內(nèi)分得比較清晰�����,我們有私有云���、公有云��、混合云�、傳統(tǒng)IT的模式。實際上我們在當(dāng)今的IT復(fù)雜的范疇之內(nèi)�����,我們往往很難說我們就用單個公有云����,我們用單個私有云?���;诓煌脑颇P停覀兊降子惺裁磪^(qū)別�,有什么差異,我們怎么樣選擇����?以及我們這些選擇給我們帶來什么樣的優(yōu)勢?有什么樣的不足�����?這邊我們給大家總結(jié)一些基于傳統(tǒng)IT、私有云�、混合云、公有云的差異����。
從第一條線開始看,從傳統(tǒng)IT到私有云�、混合云、公有云是靈活性的不斷上升��。今天我們公有云領(lǐng)域里面你需要用的話���,今天馬上申請一個賬號,五分鐘以后你開開虛機(jī)布應(yīng)用可以提供服務(wù)了���,提供了極大靈活性和便利�����。如果我們混合云環(huán)境下�,混合云我們往往需要跟我們的自有機(jī)房連接����,或者跟我們私有云去連接,這里邊一定有構(gòu)建的周期和成本,所以我們說它的靈活性一定會受到影響�����。
第二個重要考量的維度是成本���。引入不同的IT環(huán)境�����,它的成本有差異����。用傳統(tǒng)IT成本是最高的��。私有云來講跟傳統(tǒng)IT不一樣的地方��,傳統(tǒng)IT完全自擁有���,私有云一定程度上可以跨部門共享��,所以節(jié)省了很多的成本��。對于混合云來講進(jìn)一步的下降���,通?����;旌显平Y(jié)合了私有云����,以及通過私有云資源不夠的時候去引入一部分的公有云����,所以在capex相對低一些,同樣opex也相對低一些�����,它是相對短期使用��。對于私有云來講完全的opex��,不需要網(wǎng)絡(luò)�,不需要機(jī)房��,按需使用�����。
另外服務(wù)等級的角度,這個也是我們另外需要考量的����,通常來講私有云和傳統(tǒng)IT我們要搭多高就有多高,網(wǎng)絡(luò)搭好不去動它���,打好補丁�����,實在有問題我換一臺�����,一臺離線一臺上線�����,我們私有云可以做到五個九�,六個九����,今天公有云環(huán)境下面����,我們?nèi)蛑畠?nèi)所有公有云廠商幾乎很難高過三個九或者四個九��,原因很簡單�,就是因為要開著車換輪子。
再回到混合云的模型里頭���。業(yè)內(nèi)最常見的混合云的架構(gòu)�,一邊是公有云���,一邊是私有云���,以及我們還有傳統(tǒng)的機(jī)房,或者我們自己私有的IT���,現(xiàn)存的IT,我們現(xiàn)存IT里面也可以搭一個私有云�。這是業(yè)內(nèi)比較經(jīng)典的狀況。我們?nèi)绾伟堰@三塊串起來����?通常有兩種不同的方法�,業(yè)內(nèi)稱之為用軟VPN或者硬VPN�。軟VPN容易丟包,因為它取決于互聯(lián)網(wǎng)網(wǎng)絡(luò)節(jié)點跳線次數(shù)和狀況�����。第二種拉一根專線叫做硬VPN��,就是直接一根專線進(jìn)去��。
接下來看一下我們?nèi)菀妆缓鲆暤恼`區(qū)�����,這些誤區(qū)在哪里���?我們不要忘了混合云是干什么的����,用來支持我們的業(yè)務(wù)的�����,我們要考慮業(yè)務(wù)怎么放���,我們組件哪些應(yīng)該擱在私有云里面�����,哪些應(yīng)該擱在公有云里面����,我們怎么串起來。我以服務(wù)形式放在自有機(jī)房里面�,以網(wǎng)站調(diào)用服務(wù)方式擱在公有云上,還是說我全部挪到公有云上��,既然它是對外的����,這決定我們底層怎么搭,我們虛機(jī)是不是跨機(jī)房飄���,跨機(jī)房飄虛機(jī)對我們網(wǎng)絡(luò)構(gòu)成巨大挑戰(zhàn)�����。我們跨不同的機(jī)房,我們私有云機(jī)房���、公有云機(jī)房�、混合云機(jī)房實現(xiàn)我們負(fù)載均攤,我們把業(yè)務(wù)模板打在不同環(huán)境下就好了����。
第二個我們現(xiàn)有系統(tǒng)怎么整合?因為我們云一定是高彈性高可用����,可以隨便飄移,可以隨便均攤負(fù)載����,我今天可以在北京上海來去分?jǐn)偅铱梢栽谖宜接袡C(jī)房分?jǐn)?���,這個分?jǐn)傔@時候考慮怎么樣整合現(xiàn)有的應(yīng)用?以及混合云帶來巨大的業(yè)務(wù)復(fù)雜度�����,這些復(fù)雜度怎么來去管理����?此外我們說從安全的角度�,我們怎么樣來去確保全方位的安全性���,私有云的安全要求����,公有云的安全要求��,自有機(jī)房的安全要求��,實際上是三種不同的規(guī)范����,我們?nèi)绾谓Y(jié)合這三種不同的規(guī)范,以及在不同規(guī)范之間傳遞信息�、數(shù)據(jù)和我們安全架構(gòu),這就變得很關(guān)鍵�����。
由于時間關(guān)系我們不一一深入討論���,實際上我們在PPT列出每一個議題都可以展開討論���,因為這里面有大量的東西我們需要關(guān)注����。
以及我們一些常規(guī)的運維服務(wù)�,由于在三種不同的環(huán)境下我們怎么整合起來�,不同云服務(wù)商之間提供的服務(wù),不同機(jī)房服務(wù)商提供的服務(wù)��,怎么無縫滿足企業(yè)的SLA的要求��,以及如何確保合規(guī)���。我們知道國內(nèi)剛剛有網(wǎng)絡(luò)安全法�����,有我們管理規(guī)范等等��,這些我們?nèi)绾未_保����,我們數(shù)據(jù)存儲�����,我們加密,我們個人信息保護(hù)����,以及跨境的傳遞是不是合法?因為現(xiàn)在新的網(wǎng)絡(luò)安全法要求����,跨境傳遞公民個人信息超過多少條以上是需要做安全審計,需要國家相關(guān)的管理部門需要來去頒發(fā)相應(yīng)的許可���,所以我們說類似這樣���,這是從設(shè)計方面考量。
我們再來看�,剛剛我們有跟各位匯報,在三種不同的機(jī)房環(huán)境下���,不同云環(huán)境下���,我們安全要求是不一樣的,所以我們這時候整合變成一個問題�����,通常我們應(yīng)該考慮哪些整合?首先第一個����,我們要考慮功能性接口的整合。所謂功能性接口整合就是我今天發(fā)布一個服務(wù)�,我這個服務(wù)是一個支付服務(wù)�,這個支付服務(wù)我出口在哪,我服務(wù)依賴于另外兩個服務(wù)又是在哪�����,假設(shè)一個在私有云一個在公有云���,我們支付接口要有調(diào)用方�、服務(wù)方等問題�。第二個管理接口,今天我們虛機(jī)飄在哪里�����,我負(fù)載切到哪里去���,我怎么控制我的模板����,我怎么管理我的模板,這是管理性的接口����。第三塊業(yè)務(wù)性的接口,今天我們有很多不同的業(yè)務(wù)���,我有不同的業(yè)務(wù)中心�,我有不同的就像我們上京東一樣���,分成不同的業(yè)務(wù)中心�����,這些業(yè)務(wù)中心有可能部署在不同的私有云�、公有云或者是自有機(jī)房怎么協(xié)同起來���,這是我們?nèi)龑颖仨氁紤]的�,只要我們面向業(yè)務(wù)�����,只要我們實現(xiàn)基于混合云下來傳遞我們的業(yè)務(wù)給我們用戶的話,我們往往考慮這個問題����。
同樣在考慮這三種不同接口的時候,我們一定要考慮它的安全性���。我們公有云下有公有云的安全性���,私有云下有私有云的安全性����,我們怎么保障傳遞數(shù)據(jù)是雙向還是單向,以及是允許訪問的IP��,僅有專線連接還是允許公網(wǎng)等等����,這是我們從接口和安全角度來看。
我們再來看跟現(xiàn)有系統(tǒng)對接的角度���,跟現(xiàn)有系統(tǒng)對接的時候我們說數(shù)據(jù)的擺放����,就是我們需要著重考慮的問題。我們有不同的數(shù)據(jù)�,我們有用戶的數(shù)據(jù),我們有衍生的數(shù)據(jù)�����,我們有自有機(jī)房的數(shù)據(jù)�,這些數(shù)據(jù)之間怎么對接切換,我們考慮靈活性部署方便�,成本、位置�����、服務(wù)等級等等�����,此外要考慮從系統(tǒng)層級的留存整合�����、數(shù)據(jù)整合�、展現(xiàn)整合等等�����。
通常我們做混合云的時候往往有很多比較麻煩的地方�����。第一個比較麻煩的地方就是混合云環(huán)境的治理�����。傳統(tǒng)IT里面我們有Gartner���,Hybrid IT的Gartner也是一個重大問題。由于職責(zé)模糊性帶來我們未來怎么切分����,就像我們所有云服務(wù)商都面臨一個問題��,用戶打電話說我系統(tǒng)用不了了�,云服務(wù)商第一反映我們要界定問題在哪里,我先搞清楚問題在哪��,才能對癥下藥���,這是分清邊界的過程��。我們看看到底問題在用戶代碼里頭�,還是云底層的代碼還是網(wǎng)絡(luò),因為今天整個復(fù)雜度和邊界極大的改變了我們傳統(tǒng)IT模型的單一的環(huán)境��,單一的邊界��。再次就是接口多重性�,有大量管理接口、服務(wù)接口����、業(yè)務(wù)接口,這些接口之間怎么調(diào)用����,我們是不是通過高安全性加證書,如果換證書怎么辦�?等等,會帶來很大麻煩��,所以我們需要有接口方面整合管理�����、版本管理和資產(chǎn)管理。
混合云環(huán)境下面驗證和授權(quán)�,前面我們跟大家匯報到我們既然在混合云環(huán)境下,我不能只提供一個虛機(jī)用戶用就好了����,我們一定要通盤考量。通盤考量我們看一下我們在Azure里面的一個例子����。在Azure里面基于混合云模型驗證,首先公有云提供一個AAD的服務(wù)����,這個AAD服務(wù)跟我們私有云環(huán)境下面,傳統(tǒng)IT里頭��,自有機(jī)房里頭windows環(huán)境下AD五對接起來�����,第三方機(jī)房��,第三方應(yīng)用��,或者第三方的云���,一個獨立私有云環(huán)境我們也可以對接起來��,通過AAD的模型不僅在虛機(jī)層面�,也可以在我們應(yīng)用層面�����,我們直接應(yīng)用引用AAD的驗證和授權(quán)中心就好了����,對很多企業(yè)來講我們不一定非要用AAD,我們自己搭一個也可以��,這個并不難����,這里面最核心我們?nèi)绾畏蛛x驗證和授權(quán),以及如何實現(xiàn)先有驗證中心再有授權(quán)中心��。就像我們身份證一樣���,就像我們進(jìn)到酒店的房卡一樣��,通過這種方式去考慮���,就很容易來去實現(xiàn)�,但是我們說混合云環(huán)境下一定要有這些東西�,如果沒有這個混合云幾乎是用大炮去打蚊子了,因為我們架構(gòu)建得很多�,在上面當(dāng)成單個虛機(jī)來用,沒有引用到云的價值和優(yōu)勢���。
還有隔離失效問題�����、合規(guī)風(fēng)險問題����,安全處理邊界�����,管理接口脆弱性�,以及在公有云、私有云�����、自有機(jī)房之間連接不可用的風(fēng)險怎么考量���,這種風(fēng)險設(shè)計的時候一定要考慮�����,目前我們在所有�����,包括我們和用戶機(jī)房之間���,比如說北京、上海機(jī)房之間���,都是至少雙光纖備份�,至少兩條光纖并且通過不同的物理路由����,不是邏輯路由,一條比如說走山東�����,一條走廣東類似這樣的,這是未來我們做私有云環(huán)境下一定要考慮的���,一定是雙線路�����,雙路由�����。以及我們數(shù)據(jù)的安全和同步��,數(shù)據(jù)交互怎么做�?等等�����。
前面我們講到它的一些架構(gòu)設(shè)計的難點�����、運維層面的難點�、安全邊界的一些難點����。我們再來看看對于一些企業(yè)我們做應(yīng)用開發(fā)�����,基于混合云的應(yīng)用開發(fā)�����,我們通常有一些簡單的建議����。第一個建議解耦的問題���,合適的解耦����。耦合程度越高的東西�,往往部署在比較靠近的地方,我在北京依賴一個服務(wù)在廣東��,這時候首先部署有大量延遲的問題�,其次任何一個網(wǎng)絡(luò)的中斷或者擅斷都會給我們帶來災(zāi)難性��,在耦合程度上����,耦合程度越高的服務(wù)應(yīng)該是物理位置上部署越靠近�����。
我們混合云模型下我們機(jī)房有可能分散在全國各地���,或者同一個城市不同的機(jī)房����,這時候我們要考量我們怎么樣適當(dāng)?shù)娜プ鼋怦?���。把耦合程度高的給解開,解耦方法有很多����,這是一個系統(tǒng)開發(fā)層面的范疇。
其次�,基于云的優(yōu)化設(shè)計和應(yīng)用。比如說云里面有很重要的幾點�����,比如說我們的彈性,我們怎么樣用好彈性�?用好彈性一定要打模板,一定要用到我們?nèi)重?fù)載�,一定要用到我們的軟負(fù)載,一定要用到我們云上共享���,否則我們沒有辦法實現(xiàn)高度彈性,這些我們要考量���。
其次����,我們流程和數(shù)據(jù)的驅(qū)動設(shè)計���。再次就是約束���,網(wǎng)絡(luò)延遲,數(shù)據(jù)的本地化���,離得越近越好��,性能安全���,以及應(yīng)用和服務(wù)的整合���,以及我們應(yīng)用配置和云化的一些需求。這是我們基于混合云應(yīng)用開發(fā)方面我們給大家的一些建議����。
混合云的應(yīng)用模式,比如說集成的數(shù)據(jù)存儲�����、全局化的數(shù)據(jù)同步����、怎么樣組合的應(yīng)用程序,基于云的消息模式來去實現(xiàn)���。比如說IOT領(lǐng)域��、物聯(lián)網(wǎng)領(lǐng)域用得最多的就是消息模式��,我通過部署在云上的一個消息模式����,我隨時有IOT接起來就可以用。
我們再來看基于混合云的運維��,這是我們公有云���,我們云服務(wù)商領(lǐng)域里面我們有我們OSS�、BSS����。這兩個不同的架構(gòu)�����,支撐我們整個公有云的云服務(wù)體系�����。對于我們云的用戶來講我們有自己IT環(huán)境��,有自己解決方案的運維�,我們有自己的IT部門,我們怎么把這兩塊更好結(jié)合起來�,無論對于公有云�、私有云都是需要考慮的��。這里面由于每一塊都比較細(xì)致�����,時間關(guān)系我們不一一討論了���,大家知道這么一個大的范疇就好了���。這里頭可能有一些字比較小,大家回頭有興趣可以看一下最近上上個月信息安全雜志上有我一篇文章就是專門講這個圖的��。
這是最后一個話題����,就是從運維管理的角度,混合云的運維管理有三種模型���。第一種是我們自有機(jī)房���,云服務(wù)。我們說公有云、私有云都有自己服務(wù)管理環(huán)境有自己負(fù)載管理���。在自有機(jī)房和云服務(wù)也有我們服務(wù)管理和負(fù)載管理���。業(yè)務(wù)模型我們搭建的時候可以搭建一個自定義的整合服務(wù)管理的環(huán)境,這個環(huán)境可以在私有云環(huán)境下面���,通過調(diào)用公有云的接口來去實現(xiàn)統(tǒng)一的管理�,統(tǒng)一管理私有云和公有云的模型�。
第二種我們完全不去用公有云的門戶了,我們直接在私有云的管理模型環(huán)境下調(diào)公有云工作負(fù)載的一些接口����,整合到我們私有云環(huán)境下面就好。
第三種完全自定制�����,我們構(gòu)成雙向管理環(huán)境���,這個管理環(huán)境是跨邊界了。不同服務(wù)商提供基于不同模型運維管理的工具和平臺����。由于時間關(guān)系今天給大家匯報這么多���,謝謝大家。
微信掃一掃
