新架構——從傳統IT到網際網路

演講嘉賓簡介： 阿裡巴巴大交通行業産品專家——鄭恺龍（花名:高幸）

以下内容根據演講視訊及PPT整理而成。

本次分享主要圍繞以下五個方面：

一、基建從IDC到雲
                        二、營銷從發券到滿減
                        三、商品從運價到供應鍊
                        四、安全從驗證碼到大資料
                        五、新架構內建雲原生技術
           

一、基建從IDC到雲

1. 基建ALL IN CLOUD拐點階段已至

據2019年統計資料，雲的基礎設施占比超50%，已超過傳統資料中心。

2. 傳統IT側特征

IDC：IDC包括自建網絡，如網絡建設、帶寬協調、網絡安全保障。其次，自行購買伺服器，包括伺服器安裝、作業系統安裝、伺服器管理等。第三，資料庫維護，包括建立、優化、監控。

專有雲：越來越多傳統IT通過專有雲方案上雲，如使用VPC、ECS、RDS等重要元件。

優先級：傳統IT上雲路徑有優先級劃分。搜尋側優先上雲，包括商品、報價、庫存。其次優先履約側，包括下單、退改。第三優先資金側，包括交易、結算資金。最後是客戶資料。

3. 網際網路側特征

ALL IN CLOUD：電商、金融、教育行業均廣泛實作上雲。

高可用：需對核心應用實作彈性擴容，支援容器化。拔網線場景也需要實作高可用。

低成本：新業務多生長于雲端，IaaS、PaaS層能力得到最大程度複用，使研發人員得以專注于SaaS層業務的開發，實作少發電。雲支援按需使用。同時支援托管，保證業務穩定運作并減少企業投入。

CMC：上雲支援CMC體系。

4. IDC發展

傳統IDC：包括IDC安全産品、IDC網絡環境。

IDC安全産品包括安全防護産品、DDos防護、Web應用防火牆、伺服器防護、威脅檢測。

自建IDC鍊路如下圖所示，負載均衡分發網際網路請求到核心應用叢集。Reds緩存資料庫支援高并發，消息隊列支援高可用，MySQL叢集作為業務資料庫。

疊代上雲：雲側有相應的安全産品，包括安全防護雲端、Web應用防火牆、安騎士、态勢感覺、管理與監控等。

雲側存在安全隔離的網絡環境，支援公共雲、政務雲、金融雲。SLB負載均衡将網絡請求分發到ECS應用叢集，ECS支援彈性擴容。Reds緩存資料庫支援高并發，RDS業務資料庫支援業務存儲與讀寫，消息隊列支援高可用。OSS雲存儲體系支援針對非結構資料的管理。

通過疊代上雲的方案制定、預案演練、方案實施、效果驗證進行逐漸上雲。通過工具使上雲又快又穩，通過上雲使架構更加優化。以此從底層開始将新技術、新架構搭建起來。

二、營銷從發券到滿減

營銷方式日新月異，營銷架構體系複雜。

1. 傳統IT

傳統IT一般在新商品領域通過發放優惠券方式進行重點營銷。首先建立券池，包括預算申請、流程稽核、券碼發放。同時組織領券，包括會員注冊、領券、檢視。最後在特定場景下用券。優惠券營銷範圍多為APP、官網，通常采用推文、短信方式召回客戶。

2. 網際網路

網際網路側營銷體系的搭建相對完善，實作了日常化。營銷活動需提前制定政策，包括制定營運政策及政策分組。支援多種網際網路玩法，在權益中心進行權益配置，在相關平台配置導購以支援營銷流程。營銷分為多在支付寶、飛豬、微信、釘釘等大型平台，通過大促、社群、直播等方式進行客戶召回。

阿裡雲會員營銷架構體系主要分為三層，如下圖所示。頂層為數字管道，包括支援自有平台、數字管道、IoT智能識别，支援會員招募、潛客激活、會員畫像、忠誠度經營、營銷政策、資料羅盤。中間層為雙中台，業務中台包括會員中心、标簽中心、賬戶中心、權益中心、營銷中心、促銷中心。資料中台包括标簽、模型、名額。底層為雲計算平台，包括核心技術元件、計算架構、基礎設施。

3. 差異——案例-優惠券是否發放

傳統IT-10元優惠券：發放優惠券，營銷範圍為APP、官網、微信。客戶召回方式為通過推文或短信引導客戶進入落地頁。有券池、注冊、領券、用券等流程。

如上圖中紅色标簽所示，傳統IT發放優惠券營銷重點在官網及權益中心。

網際網路-滿減：滿減活動無需發放優惠券，活動、玩法、權益、導購的定義支援配置化。如上圖綠色标簽所示，營運人員在營銷政策處定義滿減活動，在促銷中心進行自動化配置，在權益中心配置10元優惠券權益。人群配置包括明确營銷政策及在标簽中心定義人群标簽。客戶召回方面，在大促及部分日常場景下進行滿減活動。優惠表達方面，客戶通過搜尋擷取優惠，該部分客戶無感覺。當商品符合滿減條件，通過商品劃價展示優惠價格，并由小黃條增強優惠表達。若客戶下單，導購鍊路将支援履約服務，包括下單、退改、結算。

可見，網際網路新技術、新架構需要支援營銷活動日常化、營運配置化，以提高營銷效率，提升客戶體驗。

三、商品從運價到供應鍊

商品中心建構了平台的核心供應能力，一定程度上影響着客戶搜尋結果，屬于核心供應鍊的一部分。更加結構化的商品中心能夠增強供應鍊能力。

1. 傳統ITz

商品相對分散，包括主營商品，如機票、火車票，輔營商品，如保險、行李、餐食，及第三方商品，如打車、酒店、門票。

商品縱向能力較強，包括報價、履約、結算能力。

傳統IT商品中心有較為成熟的架構子產品支援商品中心的建設，如shopping、pricing及第三方核心架構子產品。

2.網際網路

商品結構體系化，支援統一報價、履約服務，形成了網際網路的核心供應鍊。

商品中心包括商品包裝、輔營推薦、商品報價、支援一品多價、優品差品判斷、組合商品。

同時支援多商家類型，包括B2C、B2B2C、CRS、C2M、TP。

網際網路支援商品多管道供給，包括旗艦店、批發、零售、代理、自有及海外管道。

商品供給體系健全，包括商品定義SKU、庫存、價格、正向履約、逆向履約及資金管理。

整個商品體系建構在阿裡雲基礎設施之上，包括專有雲、VPC、ECS、Dubbo、K8S、EDAS、RDS、SAE。

商品架構支援中心化、客戶化，商品豐富齊全，盡可能滿足客戶需求。是以需要接入更多不同類型的商家、管道、及供給，在架構方面支援統一報價、履約、資金及雲基礎。對商品架構體系提出了高要求。

3.差異——案例-行李售賣

傳統IT-NDC行李：在銷售機票的基礎上售賣行李。商品表達為單品形式或向客戶推薦。報價支援Offer（與機票等一起報價）或單獨報價。履約側支援與機票整體履約或單品履約，同時支援兜底能力。架構層面支援OneOffer、OneOrder架構體系。

該案例中，由上圖紅色标注可見，傳統IT關注輔營推薦及履約保障。

網際網路-LCC行李：網際網路售賣行李。商品表達從客戶角度來看為多等級報價方式，如單獨購買機票、少量行李機票、大量行李機票、額外購買行李等多種報價。支援一口價方式展示報價及推薦。客戶可以看到多種形式的表達并按需挑選。

商品實作了結構化。履約側支援單品或整體履約。架構層面建構了商品中心，同時拉通會員，支援多接入。

網際網路更加重視商品中心的建構及商品供給體系的标準化，更符合客戶需求。新技術、新架構一定要實作商品中心的建構及高效的商品接入。

四、安全從驗證碼到大資料

由于商家進行大量營銷活動，黃牛、爬蟲等蠢蠢欲動，需要建構一套完善的安全防爬體系。

1.傳統IT

高頻鑒别：包括對高頻業務請求進行處理，驗證碼形式從數字到字母數字混合到圖形到問答驗證碼的發展，及對ip和http封包的校驗。

業務降級：當一部分重要資源需要進行活動但是無法保證100%安全防爬時，可以采用業務降級，例如會員登陸、實名認證、限制本人購買。

定向投放：對某些單向管道、商品、商家進行POS投放，可增加爬蟲、黃牛等的成本。另外可采取後返方式完成營銷資源，避免相關安全隐患。通過帶資方式在平台進行營銷等活動，借助平台方的能力提升安全保障。

大資料：網際網路側安全防爬體系基于大資料，如通過會員資訊進行校驗。同時支援多元度校驗及旁路介入分析。

算法：首先要對商業模型進行模組化，通過大資料學習使用者行為習慣，區分正常使用者與機器人，并制定安全防爬政策，例如攔截惡意請求，人工處理可疑請求，正常請求進行業務處理等不同模式。

風控：網際網路活動的資源投放具有預期計劃及應急方案。營銷無重點針對人群投放的風控處理較為困難，針對特定人群投放的風控體系更為健壯。網際網路資金流為可實時結算狀态，可實時發現資金異常進行相關資源下線等處理。

阿裡雲爬蟲風險管理：下圖所示為阿裡雲爬蟲風險管理體系。左側包括正常使用者、機器爬蟲在内的所有請求通過網際網路進入爬蟲風險管理體系。爬蟲風險管理體系背後存在核心引擎及規則，包括大資料實時智能引擎、雲端海量威脅情報、專家攻防經驗規則及深度學習算法模型。評估為惡意的業務請求 “入獄”，不作處理。評估正常的業務請求将進入Web業務伺服器進行業務處理。

阿裡雲資料安全架構：下圖所示資料安全架構分為多層。一個網際網路請求從外網到擷取到資料會經過多層安全校驗。證書服務（SSL）校驗包括DDoS防禦、WAF分析、雲防火牆。同時應用身份服務（IDaaS）驗證包括身份認證及授權。請求經過校驗後進入負載均衡，若擁有專有網絡VPC，則存在一層VPC保護。同時密鑰管理（KMS）及加密（HSM）。資料層存在核心的資料保護（SDDP），包括資料管理、資料服務及資料審計。資料審計包括資料日志調查、資料行為審計記憶資料風險檢測。

針對阿裡雲使用者或内部操作人員可進行相關資料的拉取分析，同樣需要經過多層安全校驗，包括經過平台身份管理（RAM）進行身份認證與授權，經過終端防洩漏（DLP）堡壘機。同時需要經過資料保護，特别是通過資料審計異常風險控制，加強公司内部、外部的資料安全。

五、新架構內建雲原生技術

新架構從傳統IT到網際網路正在全面內建雲原生技術。

一般擁有自建IDC，相對較重，需自行建設、更新、維護。上雲可使架構變輕，有專業團隊進行支援、優化，使架構更加穩定。傳統IT在上雲過程中不斷優先優化PaaS層，較SaaS層的優化而言對業務的侵入性更低。另外，IDC全部切掉上雲變成核心的雲基礎，對業務相容性、穩定性的要求較高，是以通過PaaS層優化切入來提升傳統IDC系統能力的可行性更高。

下圖所示方案通過交易系統使用消息隊列的方式支援流計算、購物車、物流、積分、評價。目前消息隊列使傳統IT的交易系統能力大幅提升。是以使用大量雲原生技術優先優化PaaS層是非常可行的方案。

網際網路側雲原生技術通常由專業團隊提供專業産品、技術、咨詢。并且實作了雲原生技術的雲化，雲原生的位置在SaaS層下面，雲基礎之上。同時網際網路側已開源大量雲原生技術，如分布式應用架構Dubbo，消息隊列Rocket，Agit等。

越來越多的傳統IT、網際網路IT通過內建雲原生技術大幅提升核心業務系統的安全、性能。

期待阿裡CIO學院能夠帶來更多精彩的雲原生技術的交流與教育訓練。