專訪阿里雲資深總監李津:論開源戰略、安全服務和運維行業的變化
阿里云云棲大會6月15號在廈門盛大召開,我們有幸和阿里雲資深總監李津面對面進行了交流,就阿里雲在雲端計算方面的一些發展和戰略進行了較為深入的討論。
這次談話是在李津(以下簡稱李)、Linux中國的創始人王興宇(以下簡稱王)和運維幫創始人竇喆(以下簡稱竇)之間展開的。透過這次討論讓我們對阿里雲有了更新的認識。
話題是先從 HTTPS 雲加速引開的
王:在之前已有訊息說阿里雲在開發 HTTPS 雲加速的服務,而業界,包括國內已經有云加速服務商提供了 HTTPS 雲加速服務。不知道阿里雲這方面的進展如何?
李:阿里雲的 HTTPS 的雲加速其實從技術上已經完成了,目前還在調測一些使用者體驗的部分,技術上並不是障礙,關鍵是易用性。HTTPS 雲加速事實上是基於 CDN 做的,但是這裡還有一些需要完善的部分,CDN 本身是一種管道,解決了從 CDN 到使用者的加密傳輸,但是還需要解決從源站到 CDN 節點間的傳輸。如果使用者本身沒有支援 HTTPS ,那麼還需要考慮從源站到 CDN 節點之間的傳輸問題,而部署 HTTPS 對於不少客戶來說還是比較複雜的,很多使用者希望有一鍵部署的體驗。
此外,對於已經部署 HTTPS 的使用者,他們還是願意將其私鑰放在自己控制的伺服器上,而不是放到阿里雲的 CDN 節點上,對於這種情況下,有兩種方式:一種是採用偽金鑰的方式,即由 CDN 提供證書給客戶,另外一種是客戶將自己的 SSL 證書上傳,這可以是上傳到一個信任的第三方的黑盒中。
竇:說到證書服務,阿里是否有計劃建立自己的 CA 或者購買一家 CA 服務商?
李:CA 服務商最重要的不是頒發證書,而是要對所頒發證書的可信性進行背書。頒發了證書就要確保該證書所保護的資訊具備起碼的安全水準,有些 CA 服務商這方面做的還不夠。不僅僅是使用者購買就頒發證書,而且要對客戶進行檢查和判斷,判斷是否達成安全可信標準。CA 服務商不是一個生意,更多的是一種保障的能力。
王:如果阿里雲提供 CA 服務,是否會採用類似 Let’s Crypt 這種免費模式?
李:如果不疊加更多安全服務,是可以採用免費摸,但是如果疊加了比如掃描檢查等增值服務,就需要商業收費模式。這些年來,對於安全方面的承諾,需要越來越慎重, CA 證書代表的是信任所傳遞的責任。
雲端計算的新形勢下,基礎運維的變化
竇:雲端計算讓運維行業迎來了第二春,對運維人員的界定也在發生變化。那麼您認為將來運維行業會發生什麼變化?
李:首先,雲端計算是從運維上發展起來的一個方向,而不是一個自頂向下的變化。其次,隨著 DevOps 的流行,開發和運維在某種程度上是融合的,今天的運維人員已經有能力和空間去做一些更應該去做的事情了,而不僅僅是守在機房整理機架。運維是什麼?按照 Google SRE 的說法,就是站點的可持續性的保障。
竇:隨著雲端計算的發展,傳統的網際網路公司的基礎運維部分會越來越少,這部分過渡到了雲端計算平臺服務商了。
李:從使用者的角度看,基礎運維會越來越少,而業務運維會越來越多。雲端計算平臺不會提供所有服務,但是會盡量提供各種原子性的服務。比如說,在我看來,MySQL、Cache 現在就是一個原子性的服務,而不像過去,是一個解決方案。現在的業務運維就是快速地用原子化的部件搭建自己的業務系統,支撐業務運維,就像樂高積木一樣搭建。今天很多雲服務商都喜歡用樂高積木來比喻其服務,其實就是指這些服務會形成標準件,使用者可以用這些標準件來搭建自己的業務系統。
當然這種標準件會讓客戶喪失部分的自主權,比如說某種原子化部件不存在怎麼辦?有兩種方式,如果確實是一種原子性的產品,那麼雲端計算服務商一定會提供的;如果是當下急需或個性的需求,那就可以客戶自己做。非常有意思的是,每個大的雲端計算服務商背後都會有一個雲市場,你自己做出自己的原子化部件,也可以將它放到雲市場上去。
竇:在這個方面我發現一個問題,比如說他們已經做出來了這個原子件,但是有一天雲端計算廠商發現這個東西不錯,我也要做這個,那你怎麼平衡這個關係?
李:這個事情從某種程度上講一定會發生。為什麼呢?原子化的就是抽象化的,如果雲技術服務商發現它已經成為大多數人所需要的一個東西,就會向下抽象,讓它成為服務平臺的一部分。那麼對於上層廠商來說該如何發展呢?他們應該向上走,將這個東西做的更細分、更好。這就是一種倒逼機制,就像是假如你要做一個杯子,而你的杯子的生產成本已經遠遠高於通用化製造的杯子,那你肯定會被淘汰。但是如果你把這個杯子變成陶瓷的、變成有收藏價值的,那就可以做了,不會被通用化製造的杯子擠壓到沒有市場。
舉例說, AWS 上有兩家儲存服務商,DropBox 和 Box,那這兩家公司有生存空間麼?其實他們都是做資料檔案的共享,而檔案共享其實是 AWS 的基礎服務。這兩家做的是資料增值服務,如果這種增值服務對所有人來說都是標準服務需求的時候,它就會被 AWS 所提供,那麼這兩家廠商就不停的被底層的廠商倒逼著不停地提供更多的增值服務。但是它們越做新的增值服務,就和使用者越貼近,挖掘到的需求對使用者的幫助就越大。這個時候產業是良性的。但是如果廠商固守在資料儲存上,那這個“遊戲”就結束了。
我們再換個例子說,比如手機裡面,之前任何一個智慧手機裡面都有一個“日曆”應用的廠商,但今天還有日曆廠商麼?很少了,因為這種需求已經是一個通用的需求了。但是“萬年曆”還存在,這是因為“萬年曆”這個資料是獨特的,也不是通用的需求。但是普通的日曆、農曆是通用的需求,所以就被底層廠商“吃”掉了;同樣,“手電筒”應用也是,它成為了手機自身的功能。
安全服務的邊界
王:剛才我們提到了安全問題,我們知道阿里雲給客戶提供了很多安全服務。做安全實際上存在一個矛盾,在效率和安全之間是存在一定的牴觸的。據我所知,阿里雲至少在兩個層面上為客戶提供了安全服務,一個是在雲的層面上提供了雲防火牆;另外一個是在主機層面提供主機安全防護。這裡我想知道,阿里雲在安全方面的策略是如何的?因為如果安全方面廠商做的太多,會影響到客戶的使用,但是如果有些服務不做的話,一些安全問題就會導致客戶應用的問題,甚至會造成安全事故的蔓延。
李:安全的最大問題是:安全的邊界。如果這個邊界說不清,就會出現你說的這個問題,多做、少做都不對。第二個問題是,安全邊界是個大家認知的問題,道德和法律的差異,法律是本分、道德是情分,這是有差別的。在安全方面,阿里雲做了三個層面:業務安全、主機安全和平臺安全。業務安全是防止客戶被入侵,保障客戶應用的安全,是從外向裡看;而主機安全是從主機向外看。還有一個層面是平臺本身的安全。
安全一定是要劃清邊界的,因為不可能包攬百分百,這就一定要和使用者說清楚那些部分是不能包攬的。安全裡面 30% 是技術的問題,70% 是人的問題,但今天有沒有什麼辦法讓人的部分降低到那怕是 50%?讓使用更便捷一點?但是這裡有個問題是,當你管的多了時候,客戶怎麼確認你管的這麼多是合適的?
竇:很多人對安全的保姆模式還處於一個認可的過程,對保姆模式的信任也沒有建立起來。
李:首先是你說的客戶不一定相信,不是你說了客戶就會相信,這是一個很正常的事情。那隻能是在一開始的時候就儘量將事情說清楚。其次是,能以授權的方式存在的就一定要以授權的模式做,讓客戶隨時可控。
當時“安騎士”這個事件之後,在我們內部反思過這個問題。在我看來,第一個,授權做的不清晰;第二個,給使用者做的可上可下的提示不明確。如果它是可上可下的、授權清晰的,那就是個使用者自我選擇的問題。然後是,“安騎士”你到底都做了什麼?這個你得給客戶提供審計報告出來。
不只是“安騎士”,包括阿里雲做的所有東西,都應該提供專業的審計報告。比如說一臺主機,服務商進行了維護調整,環境上有了變化,它可能都會對使用者發生影響。這個時候,作為使用者,我都看不到就沒有安全感。那麼這個時候應該以一種什麼樣的方式將這個報告提供出來?所以,我們今天就將各種服務,比如 RDS 的維護日誌、使用者自己的操作日誌都讓使用者能看到。而且如果使用者使用了多種服務,如何將多個報告融合在一起,這也需要我們大量的工作。
企業的開源發展的四個階段
王:阿里雲做了許多產品,也開源了許多產品,阿里雲在開源方面的戰略是如何的?
李:阿里雲做了很多中介軟體,最流行的是 dubbo。為什麼它會很快的流行呢?首先它是一個簡單的應用,其次是它被阿里淬鍊過,保證了其穩定性。我最近在管理開源社群方面的事務,發現它的社群非常大,使用文件、案例、手冊等龐大無比,我非常驚訝,遠遠超過我的預期!社群對它的貢獻非常大。我想說的是,在它剛剛推出的那一刻,它是不成功的,但是隨著社群對它的完善,包括我們自己還不斷的對它做升級。它變了,它變成了一個很龐大的東西。在它剛剛推出的那個時候,它是不夠簡單易用的,但是隨著社群對它的貢獻參與,它就變得簡單易用了。之所以這樣,是因為它有了更多的使用案例。
我認為開源有四個階段:
第一個階段是擁抱開源,就是你去用開源軟體,這樣讓你可以最快地有能力達到一個基本的技術水準上。
第二個階段是回饋開源,比如你可以將你的一些補丁反饋給社群。比如阿里就對 mysql、hadoop 等做了很多貢獻。
第三個階段是融合開源,你的產品別人是否支援?之前是我反饋給社群,而現在別人是否在開源產品中支援你,比如在 Hadoop 原始碼中支援你,在 Docker 原始碼中支援你。我擁抱你,你擁抱我,互相接納。
第四個階段是回報開源,當你已經被開源社群接受的時候,那這個時候你要有選擇性的回報,將一些產品開源出去。這裡是有你自己的商業訴求在裡面,比如說你有一個方向性的東西你看不清,那麼開源出來,大家一起來做,這種情況就比如說 Google 開源它的深度學習。另外一個做法是是將之前換代的產品開源出去。
阿里集團有一個開源委員會,旗下的各個商業部門都有參與,用來決策如何開源,以什麼原則,什麼節奏去開源。
結語
經過長達一個小時的深入溝通,我們對許多問題進行了探討和了解,從阿里雲這裡能夠看到,國內的頂級網際網路企業,已經跳出了巢臼,能夠更大的從產業、文化、趨勢方面對運維行業、雲端計算領域乃至於網際網路行業進行深遠的佈局。
以上,由 Linux 中國的老王和運維幫的竇喆為您獨家披露。
相關文章
- 谷歌開源總監迪博納專訪:開源如何改變了谷歌谷歌
- Unisys改變企業戰略定位投入開源懷抱
- 2024年企業在資料安全戰略方面有哪些變化
- 「實戰篇」開源專案docker化運維部署(終結篇)(11)Docker運維
- 虛擬化運維:規劃和發展戰略性 IT 計劃運維
- 【行業知識】服裝供應鏈的差異化戰略行業
- 專訪|HPE軟體部中國區總經理李時:HPE引領IT戰略新形態
- 「實戰篇」開源專案docker化運維部署-搭建mysql叢集(四)Docker運維MySql
- 「實戰篇」開源專案docker化運維部署-原始碼介紹(二)Docker運維原始碼
- 中國日報專訪IDC中國區總裁霍錦潔:以資料安全護航企業數字化優先戰略
- 【合集】Linux運維常用的服務監控工具Linux運維
- 服務型企業的資源管理:助服務行業突破瓶頸!行業
- 產業安全專家談丨新基建背景下,企業需要怎樣的網路安全運維服務?產業運維
- 服務式辦公室,開展平臺戰略
- IT運維支援如何轉化為服務運維
- 開課啦!《綠盟安全服務技術認證-安全運維》報名開啟運維
- 佈局實戰化安全運營 360打造新一代MSS安全運營服務
- 螞蟻金服資深總監韓鴻源:企業級資料庫平臺的持續與創新資料庫
- 大學畢業4年-回顧和總結(10)-文件化戰略,執行最成功的戰略,堪比我人生中的“隆中對”(戰略在前,成果在後)
- Netflix開源Mantis:基於微服務的運維監控平臺微服務運維
- 專訪IBM Linux總監:開源與商業軟體不衝突(轉)IBMLinux
- 運維架構服務監控Open-Falcon運維架構
- 中通訊息服務運維平臺實踐(已開源)運維
- [ 智慧運維服務平臺 ]PIGOSS TOC 多資料中心多監控工具的運維解決方案運維Go
- 雲的彼端是服務 IBM雲端計算專案總監朱近之專訪薦IBM
- ITIL4之IT服務戰略
- 專訪鄭東雲:自動化運維時代,DBA命運如何?運維
- 大咖說 X 對話開源|論資料庫人才發展戰略資料庫
- 變電所運維雲平臺可用於售電企業、運維企業,監視使用者配電系統的執行狀態和電量資料運維
- 玩轉雲端 | 資料管理深似海,運維如何變“路人”?運維
- 打造企業級開源資料庫 服務關基行業核心系統資料庫行業
- 專訪天融信李海鵬:談資料安全防護實踐
- 武漢公安民生服務平臺資料安全監控專案
- 從運維到運營——IT管理的“進化論”運維
- Glance基礎服務運維運維
- 戰略 | 從紅帽公司的崛起聊聊開源商業模式模式
- 《前端運維》二、Nginx--3靜態資源服務、跨域與其他前端運維Nginx跨域
- 博睿資料2021戰略釋出巡展,開闢IT運維創新路徑運維