看雲栖說雲栖——全面上雲解決方案

“2019年全球雲上的IT基礎設施占比超過傳統資料中心，成市場主導者。”

——IDG《全球雲計算IT基礎設施市場預測報告》

本文内容取自2019杭州雲栖大會《全面上雲——企業靈活創新之道》專場。主要内容包括基礎架構上雲、資料庫和大資料上雲、容器服務上雲、網際網路企業如何上雲、傳統企業如何上雲、雲上安全保障等各種上雲解決方案。

第一個演講的題目叫做《全面上雲典型架構》，主要内容是各種基礎架構上雲的解決方案，分别對上雲的場景、内因、架構三個次元進行了介紹。

場景一是業務波動、新浪微網誌可以在10分鐘之内擴容1000台雲主機，進而可以更加從容的應對各種突發事件。

場景二是線上教學、某線上教育平台通過阿裡雲的中心、邊緣、用戶端網絡加速體系，以及流量工程共建提高完課率，使得企業節省近億元的課損費用。

場景三是直播行業、利用阿裡雲的全球網絡，直播行業得以實作輕資産和低成本營運。其實不僅是直播行業本身，正是因為阿裡雲極大降低了直播的門檻，現在已經大有“全民直播”的趨勢了。

場景四是乳制品企業、某大型乳制品企業通過上雲在數字化營銷、資料應用效率、供應鍊效率方面成果顯著。

場景五是餐飲行業、某知名連鎖火鍋企業在營銷效率、IT開發效率、IT營運效率上提升明顯。

為什麼現在各行各業都在上雲？這些企業上雲的内因包括：

• 技術優勢、包括資源量、彈性能力、按需使用及付費等。
• 産品趨勢、越來越多的IT服務天生就在雲上，上雲更有利于對接。
• 商業效應、商業具有馬太效應，強者恒強，越能保持領先。
• 生态需要、産業網際網路時代大家都在數字化，上雲更有利于合作和開展業務。

上雲，可以采用的成熟架構包括但不限于：

• 網際網路典型四層架構
• 應用解構架構
• 服務化、異步化架構
• 兩地三中心架構
• 平台服務架構
• 基于RTC的資訊服務架構
• 大資料架構
• 智能服務架構

第二個演講的題目叫做《上雲，是為了将企業的資料價值變為生産力》。演講的内容是資料庫和大資料上雲的解決方案。

阿裡雲上的資料庫方案包括：

• 資料存儲方案、包括雲上彈性資料庫解決方案、分布式資料庫解決方案、資料庫實時分析查詢解決方案、資料庫緩存解決方案。
• 資料庫管理方案、資料庫叢集管了解決方案。
• 容災方案、資料庫容災解決方案。
• 資料庫遷移方案、包括雲外資料庫平滑上雲方案，去Oracle解決方案、線上資料庫一鍵歸檔解決方案。
• 資料庫安全與研發管理方案、包括資料安全管理方案、資料研發Devops方案。

大資料上雲的典型路徑有三條：

• 開源Hadoop系統上雲、幫助客戶按照既定的技術路線平滑上雲，實作半托管的開源全相容模式或雲上全托管模式。
• 雲上資料綜合治了解決方案、基于阿裡雲資料湖解決方案，幫助客戶在大資料上雲的過程中，增強資料管理，雲資料管理及資料綜合治理能力。
• 建構雲上資料中台、基于阿裡雲的資料中台方法論，結合高度自動化的工具體系，幫助客戶在上雲過程中建構企業全域資料資産，實作資料驅動業務價值。

第三個演講的題目叫做《虛拟化環境如何上雲》說的是雲下的虛拟化環境如何平滑遷移上雲的解決方案。具體介紹了兩個解決方案，一個是可以幫助使用者降低成本的專有主控端解決方案；一個是幫助使用者平滑上雲的伺服器遷移中心解決方案。

專有雲主控端是可以由使用者獨占的實體伺服器，客戶可以根據業務的需求自由的配置設定其上的資源，通過将大量的低優先級、低負載的業務集中在一起并使用“超配”即以超過實體資源容量的方式配置設定虛拟資源的方式來降低成本。

伺服器遷移中心可以自動化的批量遷移雲下伺服器上雲，通過阿裡雲的長期優化，遷移中心針對大量的作業系統環境進行了适配，進而極大的提高了遷移成功率。

第四個演講來自網際網路行業客戶蜻蜓FM，演講的題目叫做《音頻行業如何挖掘雲價值》。蜻蜓FM的副總裁介紹：蜻蜓FM是2012年初上的阿裡雲，在2014年開始嘗試多雲，但在嘗試了兩年後也就是2016年又全部集中回了阿裡雲，從2018開始則開始全面的和阿裡雲合作。

目前，蜻蜓FM在阿裡雲上的體量是1500+伺服器、300+應用、每日新增資料超過3TB。

蜻蜓FM為神馬從多雲回到阿裡雲？原因有兩個：

• 其一是多雲必然導緻更高的開發運維複雜性，而在業務高速拓展階段這種複雜性勢必拖慢業務的疊代速度。
• 其二是經過一段時間的對比，發現其他的雲服務商在服務品質上和阿裡雲存在一定的落差。

蜻蜓FM經過這麼多年的上雲實踐總結出幾點方法論：

• 為什麼用雲？通過使用雲服務提高運維效率幫助業務快速從0到1。
• 什麼用雲？什麼不用雲？要看和業務核心競争力是否有關，無關的盡可能用雲以加快業務上線速度，和核心競争力有關的則要投入重點力量進行研發。
• 怎麼用雲？不僅要用好用透雲服務還要充分使用雲産品背後的服務。

第五個演講的題目叫做《容器上雲的攻與守》講的是容器上雲的遷移、運維、監控，演講人是阿裡雲的雲原生平台進階專家。

阿裡雲容器上雲的“攻”，展現在：

• 神龍伺服器、實體裸金屬伺服器神龍帶來的極緻性能體驗。
• Terway網絡、性能優化的網絡帶來更高的帶寬和更低的時延。
• 彈性伸縮、對比k8s自帶的縮放功能更廣的監控名額和更強的縮放能力。

阿裡雲容器上雲的“守”，展現在：

• 智能運維、可以根據叢集現狀和故障狀況給出智能推薦優化設定和修複建議。
• 安全信任、支援鏡像掃描、運維日志審計，針對生産環境可對進入容器的行為進行告警。
• 一體化監控體系和全鍊路分析定位、支援和阿裡雲ARMS監控系統整合實作全鍊路性能診斷分析，提供預制的ingress Dashboard無需自建ES叢集即可對PV、UV、平均延遲、5XX錯誤等進行分析展示。

第六個演講來自傳統企業振華重工，主要的内容是ERP上雲的背景、路徑、技術創新和綜合價值。

ERP上雲的第一個問題是能不能上雲？

選擇公共雲而不是本地資料中心有三個理由：

• 理由1、公有雲是趨勢，國家也在發力公有雲推廣，公司願意嘗試技術創新在全公司推廣全雲戰略；
• 理由2、公司的運維人員有限，對本地基礎架構如硬體和網絡裝置等持續長期運維有很大困難；
• 理由3、本地資料中心機房擴容和硬體擴容成本過高。

ERP上雲之前經過詳細的論證和評估，具體分成四個次元：

• 戰略比對次元、包括業務類型，業務傳遞。
• 成本與價值次元、部署成本及收益分析。
• 運維管理次元、安全、容災、運維。
• 架構與內建次元、內建架構、軟體支撐、內建接口。

ERP上雲的第二個問題是上哪朵雲？

在驗證驗證階段，邀請國内的阿裡雲、華為雲、國外的亞馬遜雲、微軟雲，對以下方面進行評估：

• 技術評估、從架構、功能、部署、內建等方面對應用或系統進行全面的技術評估。
• 商務評估、從注冊資金、實施能力、現有案例、認證情況、付款模式、時事影響等進行商務上的評估。
• 報價評估、采用雙向百分比綜合評标法，低于平均價也會根據扣減分值系數減少得分，進而讓意圖采取惡意低價政策的投标方無機可乘。

振華在選擇雲服務廠商時主要希望解決如下業務痛點：

• 希望減少IT固定資産投入，精簡運維人員。
• HANA卷吞吐量>400MB/s（SAP認證機型KPI），資料保護要求高，高端存儲陣列成本高昂。
• 安全等保要求高，線下同城和異地災備方案成本過高。
• 海外分支機構通路，必須保證網絡安全，GDPR法案合規。

最終，選擇了阿裡雲，是因為：

• SAP HANA資料庫在阿裡雲ESSD上的測試性能是其他廠商的7～10倍，是線下環境的5倍以上。
• HBR解決企業級備份需求。
• IDC可用性為Tier 3以上，上海Region 多AZ滿足SAP應用同城災備需求，零網絡成本。
• 阿裡雲全球骨幹網支撐企業出海，雲服務符合GDPR規定。

ERP上雲的最後一個問題是如何上雲？

ERP雲端網絡架構的規劃如下：

• 在兩個同城可用區（AZ）部署服務，所有的系統根據需要被劃分到4個虛拟私有網絡（VPC）中。
• 不同ERP子系統（如S4、BW、BO、PO）通過子網互相隔離。
• 為保證安全性，如果子系統之間需要通信，需要遵循最小通路原則，開放特定的安全組及通路端口。
• 如果沒有外網通路需求，預設規則為禁止開放公網通路，所有ERP子系統請求通過專線接入，運維則需要通過堡壘機或跳闆機遠端接入。

四個VPC的劃分如下：

• 生産環境區、用于部署ERP系統的生産環境，通過企業内部使用者接入使用。
• 災備環境、和生産環境位于不同可用區，部署ERP系統的災備環境。
• 非生産環境區、部署ERP系統的開發和測試系統，僅能被内網應用區、管理區受限通路。
• DMZ環境、部署運維專用的跳闆機堡壘機等，作為系統運維人員管理、運維雲上主機及系統的中轉區域。

最後一個演講來自阿裡雲的安全團隊，題目叫做《雲上安全——讓企業成為那隻不再埋頭的鴕鳥》，講的是雲上安全架構，并對使用者資料安全做了重點講解。

雲上的安全架構包括如下幾大部分：

• 雲平台安全、包括實體安全、硬體安全、虛拟化安全、雲産品安全，雲平台内部身份與通路控制、雲平台安全監控和營運。
• 使用者賬戶安全、包括身份認證、通路授權、賬号管理、操作審計、應用管理。
• 使用者安全監控和營運、威脅檢測和響應、配置檢查、日志審計、安全測試、安全咨詢。
• 使用者基礎安全、包括主機安全、容器安全、網絡安全。
• 使用者資料安全、包括資料保護、全鍊路加密、密鑰管理。
• 使用者應用安全、包括應用保護、應用配置安全、應用環境安全。
• 使用者業務安全、包括業務風控、内容檢測、身份驗證。

這次講解的重點是使用者資料安全，而為了保障使用者的資料安全自底向上要保證如下層次的安全：

• 雲平台資料安全
• 雲産品資料安全
• 雲上資料保護
• 雲上環境保護

是以說使用者資料安全是安全相關工作的最終成果。

雲上資料安全的核心有三個要素：

• 可靠、是指可靠的保護機制，這些機制包括預設高安全等級的基礎設施、廣泛覆寫的敏感資料保護、全鍊路加密能力。
• 可控、主要是指資料加密的可控性，具體展現在使用者對加密密鑰的控制以及阿裡雲可知上下文的多級授權RAM體系。
• 可見、主要是指全面的日志審計，包括全面的操作審計，不僅使用者的操作計入審計系統，連阿裡雲對系統的背景運維也計入審計系統。

最後是阿裡雲安全合規方面的介紹，阿裡雲具有業界領先的全面合規資質。

中國大陸資質包括：

• 中央網信辦雲服務安全審查（增強級）
• 公安部資訊系統等級保護（等保四級：金融雲、等保三級：公共雲平台、電子政務雲平台）
• 工信部雲計算服務能力評估（全國首批，增強級）
• CNAS雲測評大滿貫
• 可信雲認證
• 大資料産品認證
• 公安部銷售許可證

國際資質包括：

• ISO 9001
• ISO 27001
• ISO 27017
• ISO 27018
• ISO 20000-1:2001
• ISO 22301
• PCI DSS
• SOC1 | SOC2 | SOC3
• TRUSTe
• CSA STAR

其他資質包括：

• 中國香港：HKMA
• 新加坡：MTCS、PDPA-2012、OSPAR
• 馬來西亞：PDPA-2010
• 澳洲：IRAP
• 歐洲：GDPR、EU-US Privacy Shield
• 美國：HIPPA/HITECH、MPAA、Swiss-US Privacy Shield
• 德國：C5、Trusted Cloud

正是因為有了上面這些解決方案，全面上雲的拐點真的來了。