海繼尚 朱奕健 莊彥宇
(聯通(上海)產業互聯網有限公司 上海市 200050)
根據RightScale 2019年云狀態報告全球范圍內,已有58%的企業使用混合云進行業務部署,國內整體市場水平較低,約為8.1%。探究期本質原因,主要由于大中型企業在構建IT 架構過程中或多或少存在歷史遺留問題(包括軟件系統以及硬件資源),傳統的架構可以使現有業務穩定運行。但在業務高速發展的背景下,傳統架構變更緩慢的缺點與新業務高速迭代的特點產生了不可調和的矛盾。必須引入新的技術和面向云計算基礎設施架構解決企業發展的痛點。IT 轉型的過程中,企業會根據各云商優勢與特色,結合企業IT 現狀,成本,資產,基礎架構能力等多方面因素,構建多云商跨平臺的混合云新基礎架構,意滿足自身業務構建高可用,高擴展性的應用模型。
云計算通過高速網絡,云計算將大量獨立的計算單元相連,提供可擴展的高性能計算能力。它的主要特點是:資源虛擬化、服務按需化、接入泛在化、部署可擴展。目前主流云商提供的服務模式主要有4 種,IaaS,PaaS,SaaS,DaaS。
2.1.1 IAAS 服務(基礎設施即服務)
基礎設施即服務(Infrastructure as a service),是指企業可以使用云計算技術來遠程訪問計算資源,包含計算,存儲,網絡資源以及應用虛擬化技術所提供的相關功能。IaaS 以抽象方式,通過互聯網,專線等形式將虛擬化服務提供給用戶。主流IaaS 云產品包括云主機,虛擬專有網,負載均衡,VPN,塊存儲,彈性IP 等多種形態產品。
2.1.2 PAAS 服務(平臺即服務)
平臺即服務(Platform as a service),是指將一個完整的計算機平臺,包括應用設計,應用開發,測試作為一種服務提供給客戶。在這種模式中除了以最基本的IaaS 方式提供硬件和操作系統,還需要提供對應的附加服務。用戶并不需要知道這些服務的具體技術細節,即可直接使用對應產品。主流PaaS 產品包含云數據庫,云中間件或完整開發平臺等多種云產品。
2.1.3 SAAS 服務(軟件即服務)
軟件即服務(Software as a service),是指企業獲取軟件服務的新形式,不需要用戶將軟件安裝在服務器上,即可獲取對應的軟件功能,在這種模式中,用戶可以通過IP 網絡直接獲得應用程序。主流SaaS 產品包含云郵箱,云視頻,云監控,云殺毒,企業CRM等多種云產品。
圖1:Openstack 架構與納管能力
圖2:Openstack 平臺拓撲
2.1.4 DAAS 服務(數據即服務)
數據即服務(Data as a service),DaaS 服務是大數據時代的象征,云商建立完整的IT 環境,企業通過大數據平臺提供的算法或者接口,收集所需要的基礎數據并完成數據分析過程。主流產品包含,離線計算,流計算,數據倉庫等多種云產品。
Openstack 平臺在IaaS 層服務能力較強,可提供大量IaaS 層云產品。Openstack 服務組件主要包含計算服務(Nova),網絡服務(Neutron),存儲服務(Cinder,Swift,Ceph),計量(Ceilometer),身份認證(Keystone),鏡像(Glance),儀表盤(Horizon),編排(Heat)等,在平臺提供對外服務同時,可以通過nova-scheduler服務與Openstack Image Service 服務對接Vcenter 以納管企業原有Vmware 虛擬化環境,通過openstack-Ironic 納管企業原有物理機,實現企業openstack 專有云與私有云的統一管理。如圖1所示。
圖3:互聯網平臺拓撲
圖4:混合云架構設計
圖5:混合云網絡架構建設
圖6:混合云中臺
以OpenStack 為技術框架的云平臺主要包含FusionSphere OpenStack(華為OpenStack 商用發行版),H3Cloud OS(H3C 云操作系統),TStack(騰訊專有云平臺)等。整體架構通過傳統網絡設備組件路由以及Vxlan 網絡為平臺搭建提供基礎環境,在進行Openstack 平臺搭建與優化,輔以SDN 控制器完成平臺搭建,提供對外云服務。如圖2所示。
互聯網平臺架構在PaaS,SaaS,DaaS 層服務能力較強,可提供大量PaaS,SaaS,DaaS 層云產品?;ヂ摼W架構主要以分布式系統為底層支撐,提供完整的云平臺能力與云生態開發能力?;ヂ摼W架構由大型互聯網公司根據自身業務特點進行改造,對企業輸出能力,其豐富的數據庫,中間件,大數據產品在企業業務轉型過程中起到較為關鍵的作用。
以互聯網架構為技術框架的云廠商主要包含Apsara Stack(阿里專有云平臺),Windows Azure(微軟專有云平臺)等。整體平臺在構建過程中,通過基礎網絡搭建完成設備基本接入,由分布式網關與OpenvSwitch 完成Vxlan 網絡搭建,在分布式系統的環境中,拓展生成云數據庫,中間件,安全等專屬資源池,實現IaaS,PaaS,大數據應用的部署,完成平臺搭建,對外提供服務。如圖3所示。
基于互聯網架構,OpenStack架構,企業原有平臺共存的情況下,通過構建統一的數據通道,建立云網高度融合的基礎網絡環境。根據多架構平臺特性,融合OpenStack,互聯網以及原有IDC基礎資源,提供統一Iaas 服務;將互聯網平臺數據庫,中間件,大數據等能力共享至其它平臺,提供統一Paas 服務;根據用戶原有應用架構做多中心改造,實現高可用,可擴展的Saas 應用。
企業在建設混合云設計過程中會遇到以下3 類問題:
云平臺選擇:云平臺技術選型過程受到成本,設備利舊,業務需求,企業研發能力等諸多因素影響。如果企業對于Iaas 資源有較大需求,可以選擇Openstack 架構為主平臺承載大量業務輔以互聯網平臺提升業務擴展能力(Openstack 架構平臺資源5年期成本比互聯網架構低28%-47%),并且可以逐步納管企業原有數據中心資源。反之若企業對于Paas 或大數據有較強需求,以互聯網架構平臺為主平臺輔以Openstack 架構平臺承載基礎業務,提升業務迭代以及數據處理能力。
多平臺業務融合:在構建多平臺應用時,由于企業原有IDC 遷移成本過大,業務融合在混合云架構中實現難度是最大的。與新建云平臺完成業務流量互通與融合,實現跨平臺業務融合,逐步形成雙活/災備模式的高可用應用架構。
多平臺管理融合:在多平臺完成部署后,完整的運營管理工作就成為混合云的重點,可建立跨云調度系統平滑地實現多平臺統一管理?;旌显萍軜嬙O計如圖4所示。
3.1.1 Netconf
Netconf 協議在混合云環境中,由于基于現有網絡協議與控制手段,整體實現難度較小,僅需要梳理混合云組建過程中的業務邏輯與標準化,并進行接口開發,實現交換機配置下發能力即可。管理軟件可以使用NETCONF 協議將配置數據寫入設備。所有數據通過XML 編碼,通過HTTPS 等方式進行傳輸。
3.1.2 Openflow
基于Openflow 的網絡自動化技術的基礎構件包含,Openflow交換機,控制器以及南北向訪問接口,通過Openflow 流表實現數據轉發。完全基于Openflow 的交換機,不具備傳統交換機的控制能力,完全依賴控制器做轉發控制,混合Openflow 交換機除了支持傳統設備能力之外,還支持Openflow 控制。整體使用Openflow的難度在混合云中技術難度較大,為了實現平滑迭代,可使用混合型Openflow 交換機以降低網絡自動化的難度。
3.2.1 混合云適配
混合云適配需要支撐多個架構的云平臺抽象為統一的資源模型,并進行統一的編排。支持計算,存儲為基礎組件,以網絡屬性作為用戶抽象的唯一屬性,并根據用戶權限配置對應的資源依賴關系,通過靈活組合實現資源自動化編排和復雜服務模塊的組建。在適配各架構云平臺過程中,混合云適配器需要完成不同云商的接口統一,供用戶調用實現用戶自主編排能力。
3.2.2 中臺持續集成
混合云中臺部署基于微服務架構進行構建,在整體運行過程中需要不斷進行迭代,不斷完善其資源調度與編排的能力,同時在平臺迭代的過程中需要控制對現有業務影響。
跨平臺混合云建設分為以下3 個階段:
云架構設計與建設階段:不同云商的平臺架構有各自的特色與找重點,使用的技術棧差距較大,若從底層平臺進行融合其技術壁壘以及難度很大,不適合在底層平臺系統進行融合。因此需要進行合理的架構設計實現多平臺業務與管理的融合以及租戶之間的隔離。
云中臺開發:云中臺整體作用在于將各個獨立的平臺進行統一的管理與調度。通過研發多云適配器進行統一的監控,資源的調撥,實現跨平臺融合。
云生態建設:混合云自身能力與外部優秀的產品進行結合,形成多生態架構,綜合性云能力。
在混合云建設過程中需要關注多平臺的業務網絡與管理網絡的隔離,以及云能力復用在多個平臺中。
混合云網絡通過MPLSVPN,GRE 等相互隔離的隧道,實現各業務之間的區隔,連接自有IDC 以及多業務云平臺。另一方面在連接公有云的過程中,可以通過IPSECVPN, SDWAN,專線等方式建設基礎網絡,通過隧道或者標簽轉發技術實現不同業務之間的隔離,同時避免出現地址沖突等云平臺常見問題?;旌显凭W絡架構建設如圖5所示。
如圖6所示,混合云中臺開發建設主要包含:混合云調度中臺,混合云運營中臺,混合云資源中臺實現用戶體系與產品體系抽象化。適配器,同步器,SDN 控制器等功能對接傳統IDC,Openstack 平臺,互聯網平臺,實現多平臺管理能力拉通,實現多云調度多云監控。其次新建用戶體系,將企業組織分散在多個平臺內,并在網絡側新增用戶屬性,實現一體化的用戶管理。第三新建產品能力,將多種云能力進行抽象,降低用戶對底層架構的感知,提升自有混合云的使用體驗。
云生態建設需要整合上游應用,結合廠商能力與開源社區能力,形成多元化云應用。尤其在安全,大數據,AI 領域,云生態引入與建設對于云能力提升尤為明顯。云生態本質是在完成標準定制的前提下針對混合云能力開放,主要涵蓋以下內容:研發共享:提供開發者(租戶)統一開發接口,中間件服務支持,提供開發測試環境等。產品運營:提供合作伙伴(廠商)產品管理能力,包括:產品上下線,產品推廣,以及產品標準化部署。
中國電子技術標準化研究院和阿里云計算有限公司聯合發布《邊緣云計算技術及標準化白皮書》,定義邊緣云計算簡稱邊緣云,是基于云計算技術的核心和邊緣計算的能力,構筑在邊緣基礎設施之上的云計算平臺。邊緣計算是網絡中最靠近物或數據源頭融合網絡、計算、存儲、應用核心能力的分布式開放平臺,就近提供邊緣智能服務。以邊緣節點作為數據感知與交互層,以混合云強大的計算,圖形處理能力建立中央處理能力,可較大地提升大數據時代的時效性與有效性。
混合云的安全防護相較于普通云計算更為復雜,需要考慮不同平臺的安全能力,并結合第三方安全產品實現混合云的全方位保護。根據等保2.0 云計算擴展要求,要想建立“云安全”系統,并使之正常運行,需要解決四大問題:
(1)建設云安全探針檢測威脅與攻擊;
(2)需要專業的反病毒技術應對網絡安全突發時間;
(3)需要大量的資金投入完善網絡安全防護能力;
(4)需要建立放開的云安全生態,建設云安全體系。
混合云安全體系的建立不僅可以為云計算保駕護航,也可拓展安全市場,提升云整體競爭力。