“2019年全球云上的IT基础设施占比超过传统数据中心,成市场主导者。”
——IDG《全球云计算IT基础设施市场预测报告》
本文内容取自2019杭州云栖大会《全面上云——企业敏捷创新之道》专场。主要内容包括基础架构上云、数据库和大数据上云、容器服务上云、互联网企业如何上云、传统企业如何上云、云上安全保障等各种上云解决方案。
第一个演讲的题目叫做《全面上云典型架构》,主要内容是各种基础架构上云的解决方案,分别对上云的场景、内因、架构三个维度进行了介绍。
场景一是业务波动、新浪微博可以在10分钟之内扩容1000台云主机,从而可以更加从容的应对各种突发事件。
场景二是在线教学、某在线教育平台通过阿里云的中心、边缘、客户端网络加速体系,以及流量工程共建提高完课率,使得企业节省近亿元的课损费用。
场景三是直播行业、利用阿里云的全球网络,直播行业得以实现轻资产和低成本运营。其实不仅是直播行业本身,正是因为阿里云极大降低了直播的门槛,现在已经大有“全民直播”的趋势了。
场景四是乳制品企业、某大型乳制品企业通过上云在数字化营销、数据应用效率、供应链效率方面成果显著。
场景五是餐饮行业、某知名连锁火锅企业在营销效率、IT开发效率、IT运营效率上提升明显。
为什么现在各行各业都在上云?这些企业上云的内因包括:
- 技术优势、包括资源量、弹性能力、按需使用及付费等。
- 产品趋势、越来越多的IT服务天生就在云上,上云更有利于对接。
- 商业效应、商业具有马太效应,强者恒强,越能保持领先。
- 生态需要、产业互联网时代大家都在数字化,上云更有利于合作和开展业务。
上云,可以采用的成熟架构包括但不限于:
- 互联网典型四层架构
- 应用解构架构
- 服务化、异步化架构
- 两地三中心架构
- 平台服务架构
- 基于RTC的信息服务架构
- 大数据架构
- 智能服务架构
第二个演讲的题目叫做《上云,是为了将企业的数据价值变为生产力》。演讲的内容是数据库和大数据上云的解决方案。
阿里云上的数据库方案包括:
- 数据存储方案、包括云上弹性数据库解决方案、分布式数据库解决方案、数据库实时分析查询解决方案、数据库缓存解决方案。
- 数据库管理方案、数据库集群管理解决方案。
- 容灾方案、数据库容灾解决方案。
- 数据库迁移方案、包括云外数据库平滑上云方案,去Oracle解决方案、在线数据库一键归档解决方案。
- 数据库安全与研发管理方案、包括数据安全管理方案、数据研发Devops方案。
大数据上云的典型路径有三条:
- 开源Hadoop系统上云、帮助客户按照既定的技术路线平滑上云,实现半托管的开源全兼容模式或云上全托管模式。
- 云上数据综合治理解决方案、基于阿里云数据湖解决方案,帮助客户在大数据上云的过程中,增强数据管理,云数据管理及数据综合治理能力。
- 构建云上数据中台、基于阿里云的数据中台方法论,结合高度自动化的工具体系,帮助客户在上云过程中构建企业全域数据资产,实现数据驱动业务价值。
第三个演讲的题目叫做《虚拟化环境如何上云》说的是云下的虚拟化环境如何平滑迁移上云的解决方案。具体介绍了两个解决方案,一个是可以帮助用户降低成本的专有宿主机解决方案;一个是帮助用户平滑上云的服务器迁移中心解决方案。
专有云宿主机是可以由用户独占的物理服务器,客户可以根据业务的需求自由的分配其上的资源,通过将大量的低优先级、低负载的业务集中在一起并使用“超配”即以超过物理资源容量的方式分配虚拟资源的方式来降低成本。
服务器迁移中心可以自动化的批量迁移云下服务器上云,通过阿里云的长期优化,迁移中心针对大量的操作系统环境进行了适配,从而极大的提高了迁移成功率。
第四个演讲来自互联网行业客户蜻蜓FM,演讲的题目叫做《音频行业如何挖掘云价值》。蜻蜓FM的副总裁介绍:蜻蜓FM是2012年初上的阿里云,在2014年开始尝试多云,但在尝试了两年后也就是2016年又全部集中回了阿里云,从2018开始则开始全面的和阿里云合作。
目前,蜻蜓FM在阿里云上的体量是1500+服务器、300+应用、每日新增数据超过3TB。
蜻蜓FM为神马从多云回到阿里云?原因有两个:
- 其一是多云必然导致更高的开发运维复杂性,而在业务高速拓展阶段这种复杂性势必拖慢业务的迭代速度。
- 其二是经过一段时间的对比,发现其他的云服务商在服务品质上和阿里云存在一定的落差。
蜻蜓FM经过这么多年的上云实践总结出几点方法论:
- 为什么用云?通过使用云服务提高运维效率帮助业务快速从0到1。
- 什么用云?什么不用云?要看和业务核心竞争力是否有关,无关的尽可能用云以加快业务上线速度,和核心竞争力有关的则要投入重点力量进行研发。
- 怎么用云?不仅要用好用透云服务还要充分使用云产品背后的服务。
第五个演讲的题目叫做《容器上云的攻与守》讲的是容器上云的迁移、运维、监控,演讲人是阿里云的云原生平台高级专家。
阿里云容器上云的“攻”,体现在:
- 神龙服务器、物理裸金属服务器神龙带来的极致性能体验。
- Terway网络、性能优化的网络带来更高的带宽和更低的时延。
- 弹性伸缩、对比k8s自带的缩放功能更广的监控指标和更强的缩放能力。
阿里云容器上云的“守”,体现在:
- 智能运维、可以根据集群现状和故障状况给出智能推荐优化设置和修复建议。
- 安全信任、支持镜像扫描、运维日志审计,针对生产环境可对进入容器的行为进行告警。
- 一体化监控体系和全链路分析定位、支持和阿里云ARMS监控系统整合实现全链路性能诊断分析,提供预制的ingress Dashboard无需自建ES集群即可对PV、UV、平均延迟、5XX错误等进行分析展示。
第六个演讲来自传统企业振华重工,主要的内容是ERP上云的背景、路径、技术创新和综合价值。
ERP上云的第一个问题是能不能上云?
选择公共云而不是本地数据中心有三个理由:
- 理由1、公有云是趋势,国家也在发力公有云推广,公司愿意尝试技术创新在全公司推广全云战略;
- 理由2、公司的运维人员有限,对本地基础架构如硬件和网络设备等持续长期运维有很大困难;
- 理由3、本地数据中心机房扩容和硬件扩容成本过高。
ERP上云之前经过详细的论证和评估,具体分成四个维度:
- 战略匹配维度、包括业务类型,业务交付。
- 成本与价值维度、部署成本及收益分析。
- 运维管理维度、安全、容灾、运维。
- 架构与集成维度、集成架构、软件支撑、集成接口。
ERP上云的第二个问题是上哪朵云?
在验证验证阶段,邀请国内的阿里云、华为云、国外的亚马逊云、微软云,对以下方面进行评估:
- 技术评估、从架构、功能、部署、集成等方面对应用或系统进行全面的技术评估。
- 商务评估、从注册资金、实施能力、现有案例、认证情况、付款模式、时事影响等进行商务上的评估。
- 报价评估、采用双向百分比综合评标法,低于平均价也会根据扣减分值系数减少得分,从而让意图采取恶意低价策略的投标方无机可乘。
振华在选择云服务厂商时主要希望解决如下业务痛点:
- 希望减少IT固定资产投入,精简运维人员。
- HANA卷吞吐量>400MB/s(SAP认证机型KPI),数据保护要求高,高端存储阵列成本高昂。
- 安全等保要求高,线下同城和异地灾备方案成本过高。
- 海外分支机构访问,必须保证网络安全,GDPR法案合规。
最终,选择了阿里云,是因为:
- SAP HANA数据库在阿里云ESSD上的测试性能是其他厂商的7~10倍,是线下环境的5倍以上。
- HBR解决企业级备份需求。
- IDC可用性为Tier 3以上,上海Region 多AZ满足SAP应用同城灾备需求,零网络成本。
- 阿里云全球骨干网支撑企业出海,云服务符合GDPR规定。
ERP上云的最后一个问题是如何上云?
ERP云端网络架构的规划如下:
- 在两个同城可用区(AZ)部署服务,所有的系统根据需要被划分到4个虚拟私有网络(VPC)中。
- 不同ERP子系统(如S4、BW、BO、PO)通过子网互相隔离。
- 为保证安全性,如果子系统之间需要通信,需要遵循最小访问原则,开放特定的安全组及访问端口。
- 如果没有外网访问需求,默认规则为禁止开放公网访问,所有ERP子系统请求通过专线接入,运维则需要通过堡垒机或跳板机远程接入。
四个VPC的划分如下:
- 生产环境区、用于部署ERP系统的生产环境,通过企业内部用户接入使用。
- 灾备环境、和生产环境位于不同可用区,部署ERP系统的灾备环境。
- 非生产环境区、部署ERP系统的开发和测试系统,仅能被内网应用区、管理区受限访问。
- DMZ环境、部署运维专用的跳板机堡垒机等,作为系统运维人员管理、运维云上主机及系统的中转区域。
最后一个演讲来自阿里云的安全团队,题目叫做《云上安全——让企业成为那只不再埋头的鸵鸟》,讲的是云上安全架构,并对用户数据安全做了重点讲解。
云上的安全架构包括如下几大部分:
- 云平台安全、包括物理安全、硬件安全、虚拟化安全、云产品安全,云平台内部身份与访问控制、云平台安全监控和运营。
- 用户账户安全、包括身份认证、访问授权、账号管理、操作审计、应用管理。
- 用户安全监控和运营、威胁检测和响应、配置检查、日志审计、安全测试、安全咨询。
- 用户基础安全、包括主机安全、容器安全、网络安全。
- 用户数据安全、包括数据保护、全链路加密、密钥管理。
- 用户应用安全、包括应用保护、应用配置安全、应用环境安全。
- 用户业务安全、包括业务风控、内容检测、身份验证。
这次讲解的重点是用户数据安全,而为了保障用户的数据安全自底向上要保证如下层次的安全:
- 云平台数据安全
- 云产品数据安全
- 云上数据保护
- 云上环境保护
所以说用户数据安全是安全相关工作的最终成果。
云上数据安全的核心有三个要素:
- 可靠、是指可靠的保护机制,这些机制包括默认高安全等级的基础设施、广泛覆盖的敏感数据保护、全链路加密能力。
- 可控、主要是指数据加密的可控性,具体体现在用户对加密密钥的控制以及阿里云可知上下文的多级授权RAM体系。
- 可见、主要是指全面的日志审计,包括全面的操作审计,不仅用户的操作计入审计系统,连阿里云对系统的后台运维也计入审计系统。
最后是阿里云安全合规方面的介绍,阿里云具有业界领先的全面合规资质。
中国大陆资质包括:
- 中央网信办云服务安全审查(增强级)
- 公安部信息系统等级保护(等保四级:金融云、等保三级:公共云平台、电子政务云平台)
- 工信部云计算服务能力评估(全国首批,增强级)
- CNAS云测评大满贯
- 可信云认证
- 大数据产品认证
- 公安部销售许可证
国际资质包括:
- ISO 9001
- ISO 27001
- ISO 27017
- ISO 27018
- ISO 20000-1:2001
- ISO 22301
- PCI DSS
- SOC1 | SOC2 | SOC3
- TRUSTe
- CSA STAR
其他资质包括:
- 中国香港:HKMA
- 新加坡:MTCS、PDPA-2012、OSPAR
- 马来西亚:PDPA-2010
- 澳洲:IRAP
- 欧洲:GDPR、EU-US Privacy Shield
- 美国:HIPPA/HITECH、MPAA、Swiss-US Privacy Shield
- 德国:C5、Trusted Cloud
正是因为有了上面这些解决方案,全面上云的拐点真的来了。