犀思雲—混合雲解決方案的使用與解析

犀思雲關於混合雲概況解讀

混合雲是公有云和私有云的融合。是近年來雲端計算的主要模式和發展方向。企業出於安全考慮，一般更願意將資料存放在私有云中，但是同時又考慮到成本問題以及希望獲得公有云的計算資源，在這種情況下混合雲被越來越多的採用，它將公有云和私有云進行混合和匹配，以獲得最佳的效果，這種個性化的解決方案，達到了既省錢又安全的目的，我們把這種解決方式成為混合雲接觸實施解決方案。

目前，對於雲端計算市場來說，混合雲業務架構已經成為一種趨勢。越來越多的企業因私有云成本高昂以及雲端計算大資料資源優勢問題，已經開始把部分業務從私有云中剝離出來，走向公有云，從而降低在雲方面的成本及更多使用到雲端計算的資源。

那麼，我們怎麼才能更好的解決混合雲中成本降低問題以及網路架構最佳化實施呢？下面，我們一起看看犀思雲對於混合雲基礎設施的解讀。

混合雲使用者的使用場景

場景一：

透過混合雲應對業務的爆發式增長。大家都知道大多數網際網路業務呈指數型增長，很難預測基礎設施的儲備量。一般在業務成長初期很長一段時間內，小規模的物理機託管可以滿足使用者需求。但隨著市場推廣活動展開，業務規模爆發增長，原物理託管機房可部署機位有限，只能選擇公有云作為彈性手段，快速部署業務，滿足使用者需求。

此類使用者需求一般對交付時間十分敏感，多數透過IPsec VPN快速建立連線頂住流量，專線到位後再切換專線提供可靠的混合雲連線。

此類使用者核心痛點：

1）業務爆發式增長，透過公有云彈性解決徒增流量

2）存量資料中心利舊，降低執行成本（買好的伺服器暫時先用）

對於此類使用者，在充分感知公有云的穩定和成本降低後，大部分會在原有物理機託管服務到期後全量搬遷公有云，混合雲在部署過程中只是起到過渡的作用。

場景二：

透過公有云實現多地容災的高可用架構部署。與第一類使用者不同，此類使用者已經具有很大規模，在運營商機房中執行大量伺服器。他們的核心問題不再是擔心基礎設施部署速度無法滿足業務增長，更多的是從穩定性、可靠性等尋求從單中心向多中心化發展，透過消滅單點，解決單資料中心故障帶來的業務風險。

根據業務可靠性要求不同，一般多地容災常見的採用方式有同城容災、異地雙活、兩地三中心等。按照傳統建設模式，使用者只能重新選址並租賃資料中心，發起伺服器、網路裝置採購，部署網路環境等，中間涉及到一系列的商務溝通、基礎設施建設等操作，週期從6個月到1年不等。而在公有云蓬勃發展的今天，他們可以不必擔心此類問題，直接註冊個賬號，購買伺服器，拉個專線，基礎架構就搞定了。這個過程除專線建設週期較長，在公有云服務商註冊賬號、夠買伺服器等可以在1天內完全搞定（特大量部署需要公有云服務商額外採購除外）。

以上圖為例，本地資料中心（50%）和公有云（50%）異地部署，資料庫透過專線或VPN進行主從互備，單中心失效，透過dns將流量切換至有效中心，提供有損但不中斷的基礎業務服務；當然對於金融等高可靠、高要求可以可以透過兩地（100%）方式實現無損的容災服務。

此類使用者的核心痛點為：

1.多地容災，提高基礎設施可靠性

2.快速部署，減少基礎設施建設週期

3.存量資料中心利舊，降低執行成本（買好的伺服器暫時先用）

場景三：

監管要求下的混合雲部署。此類使用者大多為銀行、金融、保險等行業，需要監管合規。一般普通公有云服務基礎設施較難滿足金融合規的要求，因而此類業務傾向於將系統的web層、業務行情、企業OA等放在公有云，快速部署，交易、流水等核心問題放在合規機房內。

此類使用者的核心痛點是：

1.金融監管、合規的需求

2.公有云的彈性和易用性需要

總結以上場景，當前國內環境的混合雲部署主要解決以下幾個問題：

1.私有云向公有云的過渡方案

2.已有IT資源利舊使用，平衡Capax和Opex

3.應對業務突發性增長，快速擴張基礎設施規模

4.多地容災，提高業務可靠性

5.行業合規下的公有云訴求

混合雲的關鍵技術點

說完目前混合雲的使用者使用場景，這裡我們說一下部署混合雲的關鍵技術節點。從這一年來和客戶的溝通中發現，大部分使用者在建設混合雲過程中會從網路連線、安全、監控、系統相容幾個點，我們分別討論一下。

第一點，公有云上自定義網路的能力。這裡自定義網路泛指私有網路（VPC）一類，可以使用者自定義邏輯隔離的專用網路的能力，包括使用者可以自行劃分子網、配置路由，設定公網、VPN閘道器等基礎能力。

一般非自定義網路的主機內網IP是在大系統（比如10.0.0.0/8）下隨機分配的，經常會和使用者本地資料中心的IP衝突，這樣只能在連線過程中透過nat方式解決，但公有云的資源經常會彈性伸縮，每次新增主機會重新隨機分配IP，這樣就不得不需要人工維護nat規則，運維負擔很重。

有了VPC就不會出現這個問題。使用者在建立VPC前提前做好網路規劃，將本地資料中心和VPC的IP段劃分開（比如VPC是10.0.0.0/16，本地資料是10.1.0.0/16），這樣使用者在公有云的計算資源都會在VPC內新增，即使IP隨機分配也是在VPC可控的IP段內隨機分配，IP不會衝突，因而也就不需要額外配置和維護nat規則了。

騰訊雲的私有網路是今年2月份灰度上線的，採用gre封裝的方式進行網路虛擬化。系統採用NFV（Network function virtualization）的設計思路進行設計,使用多個普通的x86裝置實現分散式的網路虛擬化叢集，全過程無單點，系統隨負載可實現自動擴縮容。從2月份到現在，經過近一年的打磨，系統穩定性已經逐步收斂，並得到了客戶的認可，稱為騰訊雲混合雲戰略的中堅力量。

第二點，多樣、穩定的網路接入能力。混合雲最突出的特點就是連線，連線方式主要分為兩種：公網接入和專線接入。

為保護使用者的資訊保安，公網接入在Internet上的流量需要經過IPsecVPN加密，一般小型VPN閘道器（200Mbps以下）可以透過虛擬軟體VPN閘道器實現，中到大型VPN閘道器（300Mbps及以上）可透過硬體VPN閘道器裝置實現。公網VPN接入速度很快，一般半天即可完成部署使用，可以快速滿足客戶需求。鑑於國內網路環境複雜，部分網路拓撲擁塞會導致網路延遲、丟包率增加，不建議企業採用大於200MbpsVPN接入；但也有異常情況，比如使用者資料中心側不滿足拉專線的條件，只能勉強用大容量VPN提供服務。

專線接入則在全時段全方位的保障了使用者資料加密和可用頻寬，使用者無需擔心容量太大無法承載的問題。但專線接入也存在一些問題使用者需要仔細考慮：

1.專線接入時間週期較長，一般需要1個月（資源充足）或以上的時間建設、部署；

2.專線價格較高，是BGP頻寬的3~5倍（專線頻寬越高，單位成本相對較低）；

3.國內運營商為各省獨立運營結算，專線的商務流程、定價、施工時間、SLA等存在差異；

4.專線施工過程中有各種瑣碎問題需要解決（比如物業、管道、資源不足），佔用精力很多。

確定需要透過專線建立混合雲的，建議早規劃，早建設，防止因為網路原因導致業務部署延期。

當然，還有一個需要注意的點，雙線熱備。系統需要從底層架構上消除單點故障的風險，在使用者需要的情況下提供雙線接入的能力。

騰訊雲在接入這塊由於使用者需求較多，已經具有了很豐富的運營經驗。公網VPN接入方面，具有產品化的VPN閘道器可供使用。VPN閘道器採用虛擬軟體方式實現，具有主備雙機熱備能力，但網掛fail可以在5s內切換至備用閘道器，而不影響通道流量傳輸。同時VPN閘道器可以在控制檯進行視覺化的IKE、IPsec引數配置，部署快速，門檻低。專線方面，騰訊雲則和運營商夥伴一起，為您提供了一站式專線接入服務，您無需再處理專線建設過程中複雜的流程和瑣碎的問題，只需告訴我們本地資料中心的詳細地址，就可以在最快17個工作日內完成頻寬2Mbps~10Gbps的功能支援雙線熱備的專線接入網路。

第三點，安全與監控。混合雲在網路層面上將私有云和公有云進行了連線，如果發生網路故障或者攻擊，服務商需要有能力保障網路間故障不會相互影響，將攻擊或者故障限制在一定範圍之內。

內網安全方面需要具有靈活、易配置的網路訪問控制能力。騰訊雲的方案在傳輸層提供了有狀態的基於單主機的網路訪問控制（安全組），在網路層提供了無狀態的基於VPC子網的網路訪問控制（網路ACL）。

監控更多需要體現業務管理的閉環，透過展示網路連線的實時流量、延時、丟包資料，使用者可以針對資料做告警策略反饋異常，這塊騰訊雲對專線、VPN的流量都提供了類似服務。

第四點，完善的API管理支援。規模化的混合雲部署後，使用者可以透過API的方式，在原有本地資料中心的運維管理系統基礎上，快速搭建相容公有云的運維管理系統。這塊公有云廠商只需要提供原子化的API即可，方便使用者利用這些模組搭建彈性擴縮容系統、制定網路備份方案等。這塊我們有些客戶的例子可以和大家分享一下：

比如，彈性擴容的邏輯就是，一旦負載均衡後的主機滿足以下幾個條件之一：網路負載超過80%or CPU負載超過80% or記憶體使用超過 80%，則透過快照建立新主機繫結到負載均衡上。主機監控、快照、負載均衡的API組合即可完成此功能。

再比一些客戶感覺專線太貴了，用VPN作為專線的備份流量。使用者只需要透過專線流量監控API拉取網路流量，制定觸發策略（比如流量突降50%），當專線告警觸發時自動透過更換子閘道器聯路由表，將內網路由切換至VPN閘道器上。這樣透過使用按流量計費的VPN閘道器，使用者就可以實現低成本的專線接入備份。

混合雲的搭建需要IAAS服務商具有以下幾個能力：

1.可靠的私有網路（VPC）

2.多樣、穩定的網路連線（VPN、專線）

3.提供完善的安全和監控能力

4.全面的API支援

混合雲的未來

最後稍微談一下混合雲的未來。如前面所說，目前客戶中大部分使用混合雲只是“短暫的”，可以毫不誇張的說，這樣的混合雲是使用者從私有云或者物理機託管向公有云搬遷的過渡過程。隨著客戶對公有云的易用性、可靠性和成本降低有了實際認知，大部分網際網路和非合規性要求的客戶都可以搬遷到公有云上，需要多地容災的客戶也可以透過公有云本身的多地域、多可用區完成跨地域、跨可用區的容災部署。

那混合雲這樣的使用場景會消失麼？

我認為，這主要考慮以下幾個因素：

第一，市場細分。公有云提供的是同質類服務，無法滿足特殊業務的細分需求。比如銀行系統的大型機，只能放在自己的資料中心或第三方物理託管機構，IAAS服務商長期來看不會在這方面長期投入（短期為了圈市場可能會提供）；

第二，資訊保密。企業資訊存在分級的保密要求，高等級保密資訊放在私有云的需求長期存在，非保密要求將放在公有云組建混合雲；

第三，行業合規。長期來看行業監管的迭代時間和技術迭代時間不在一個量級，而網際網路金融行業興起，需求會逐漸擴張；

第四，應用響應時間。因響應時間敏感而部署私有云的使用者將長期存在（網路延時無法克服），響應時間要求低的業務將放在公有云，同時組建混合雲。