企業(yè)云上架構(gòu)與管理思考

◆張鐘平 張柯 張世超

（1.華電電力科學(xué)研究院有限公司 浙江 310000；2.浙江省蓄能與建筑節(jié)能技術(shù)重點實驗室 浙江 310000；3.中國華電集團有限公司 北京 100000）

隨著互聯(lián)網(wǎng)信息技術(shù)的快速發(fā)展，尤其是“云大物移智鏈”技術(shù)的不斷發(fā)展和成熟，企業(yè)信息化建設(shè)逐步向云計算轉(zhuǎn)變，不同的企業(yè)在進行數(shù)字化轉(zhuǎn)型過程中，要同時面對多種不同類型搭建和管理，并能夠最大限度地實現(xiàn)這些云間資源互助和利用，全面支撐業(yè)務(wù)需求。

1 云上架構(gòu)的幾點考慮

（1）彈性：架構(gòu)能夠根據(jù)系統(tǒng)的需求進行彈性的伸縮；

（2）可用：要能夠保證系統(tǒng)運行的連續(xù)性，避免出現(xiàn)業(yè)務(wù)中斷的情況；

（3）性能：要確保系統(tǒng)能夠高效、快速地響應(yīng)用戶的請求；

（4）安全：能夠保證云上系統(tǒng)的安全，以防止被黑客攻擊；

（5）可管理性：搭建的架構(gòu)能夠便于后續(xù)的管理，節(jié)省管理的時間和成本；

（6）傳統(tǒng)架構(gòu)和云上架構(gòu)的設(shè)計方法是有明顯不同，如圖1所示，主要包括：傳統(tǒng)架構(gòu)：解決應(yīng)用和業(yè)務(wù)有、無的問題，相對厚重，不連續(xù)；云上架構(gòu)：解決應(yīng)用和業(yè)務(wù)多、快、好、省的問題，相對輕便，平滑。

圖1 傳統(tǒng)與云上設(shè)計架構(gòu)區(qū)別

2 云上構(gòu)建思路

基礎(chǔ)資源按類型、需求、安全和性能等方面進行分類，通過虛擬化資源進行業(yè)務(wù)需求梳理，規(guī)劃企業(yè)云上架構(gòu)，根據(jù)對資源的需求不一致進行云上架構(gòu)規(guī)劃：

（1）高可用性和響應(yīng)速度。高可用設(shè)計應(yīng)包括三種不同的方式，如圖2所示，分別是：主從方式、雙機互備和集群工作方式。為業(yè)務(wù)部門創(chuàng)建、分配相應(yīng)的云化資源，采取冗余設(shè)計，保障在資源服務(wù)出現(xiàn)故障的情況下，不影響用戶業(yè)務(wù)，提升數(shù)據(jù)中心對業(yè)務(wù)部門的響應(yīng)速度。

圖2 高可用設(shè)計的三種方式

（2）硬件和性能需求。需要對不同設(shè)施云上應(yīng)用的應(yīng)用系統(tǒng)資源進行特點分析，將應(yīng)用分為高性能、高可靠、大流量等不同類型，并按不同系數(shù)進行資源配置。

（3）等級保護需求。云環(huán)境根據(jù)不同等保級別及業(yè)務(wù)特點，對基礎(chǔ)設(shè)施云資源進行分級分類。

（4）內(nèi)外網(wǎng)和不同區(qū)域需求。虛擬化技術(shù)是平臺構(gòu)建的關(guān)鍵技術(shù)，被廣泛用于云計算領(lǐng)域中資源按需分配的配置和管理。根據(jù)內(nèi)外網(wǎng)以及不同區(qū)域數(shù)據(jù)需求，在虛擬資源池上進行基礎(chǔ)設(shè)施云環(huán)境規(guī)劃建設(shè)規(guī)模。

（5）不同的存儲數(shù)據(jù)類型。對結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)采用不同的存儲設(shè)備進行分離存儲，降低云資源的投資成本，根據(jù)對數(shù)據(jù)的訪問特點，對應(yīng)配置不同級別的存儲設(shè)備，可將存儲的數(shù)據(jù)分為熱數(shù)據(jù)、溫數(shù)據(jù)和冷數(shù)據(jù) 3 類，降低云資源的投資成本[1]。

3 云上網(wǎng)絡(luò)架構(gòu)

3.1 專有網(wǎng)絡(luò)VPC

專有網(wǎng)絡(luò)VPC（Virtual Private Cloud）是公有云推薦使用的網(wǎng)絡(luò)類型，專有網(wǎng)絡(luò)之間邏輯上徹底隔離。VPC 是主要上云考慮產(chǎn)品，主要原因：

（1）隔離的網(wǎng)絡(luò)環(huán)境。VPC 基于隧道技術(shù)，實現(xiàn)數(shù)據(jù)鏈路層的隔離，為每個租戶提供一張獨立、隔離的安全網(wǎng)絡(luò)。不同專有網(wǎng)絡(luò)之間內(nèi)部網(wǎng)絡(luò)完全隔離，只能通過對外映射的IP（彈性公網(wǎng)IP 和NAT IP）互連。

（2）可控的網(wǎng)絡(luò)配置。用戶可以完全掌控自己的虛擬網(wǎng)絡(luò)，選擇IP 地址范圍、配置路由表和網(wǎng)關(guān)等，實現(xiàn)安全而輕松地資源訪問。通過專線或VPN 等連接方式將您的專有網(wǎng)絡(luò)與傳統(tǒng)數(shù)據(jù)中心相連，形成一個按需定制的網(wǎng)絡(luò)環(huán)境，實現(xiàn)應(yīng)用的平滑遷移上云和對數(shù)據(jù)中心的擴展。

（3）靈活的訪問范圍。如果沒有多地域部署系統(tǒng)的要求且各系統(tǒng)之間也不需要通過VPC 進行隔離，可以創(chuàng)建VPN 網(wǎng)關(guān)，注冊到ETCD 數(shù)據(jù)庫中，各個網(wǎng)絡(luò)通過注冊用戶 VPN 網(wǎng)關(guān)信息完成網(wǎng)絡(luò)互連，采用 NAT 技術(shù)對外映射，能夠靈活控制外部用戶訪問范圍。

3.2 有公網(wǎng)需求的網(wǎng)絡(luò)架構(gòu)

VPC 網(wǎng)絡(luò)下，系統(tǒng)可以通過彈性公網(wǎng)IP、NAT 網(wǎng)關(guān)、公網(wǎng)負(fù)載均衡（SLB）和云主機固定公網(wǎng)IP 等方式連接公網(wǎng)。

（1）需對外提供服務(wù)的系統(tǒng)

單臺云主機對外提供服務(wù)時，如果只存在單一應(yīng)用，并且業(yè)務(wù)較小的時候，單臺云主機即可滿足需求，可以將應(yīng)用程序、數(shù)據(jù)庫、文件都部署在該云主機上，為這臺云主機綁定一個IP 實現(xiàn)對外提供服務(wù)。

當(dāng)業(yè)務(wù)流量較大，一臺云主機不能支持全部訪問流量，需要多臺云主機才能支持時，且只需要最簡單的負(fù)載均衡功能。可創(chuàng)建一個公網(wǎng)負(fù)載均衡實例，配置四層（TCP/UDP）監(jiān)聽，并在后端掛載多臺云主機來搭建整個業(yè)務(wù)架構(gòu)。除了基本的流量分發(fā)，應(yīng)用系統(tǒng)需要將不同的業(yè)務(wù)流量分發(fā)到不同的后端服務(wù)器時，可以使用七層負(fù)載均衡的域名和URL 轉(zhuǎn)發(fā)功能來實現(xiàn)，通過創(chuàng)建一個公網(wǎng)負(fù)載均衡實例，配置七層（HTTP/HTTPS）監(jiān)聽，并在后端掛載多臺云主機來搭建整個業(yè)務(wù)架構(gòu)。

圖3 需對外提供服務(wù)架構(gòu)

（2）無公網(wǎng)但主機需主動訪問互聯(lián)網(wǎng)系統(tǒng)

若需要訪問公網(wǎng)的云主機數(shù)量比較多，對每臺云主機分別綁定IP 管理成本高，而且綁定IP 也意味著外部用戶可以通過公網(wǎng)訪問到云主機，相對不安全。此時使用NAT 網(wǎng)關(guān)的SNAT 功能，配置SNAT條目來訪問公網(wǎng)。

（3）有IPv6 需求的系統(tǒng)

IPv6 轉(zhuǎn)換（IPv6 Translation Service），是有狀態(tài)的IPv6 和IPv4網(wǎng)絡(luò)協(xié)議轉(zhuǎn)換服務(wù)，通過IPv6 轉(zhuǎn)換服務(wù)及四層模式（支持TCP 和UDP 協(xié)議），實現(xiàn)快速向IPv6 網(wǎng)絡(luò)側(cè)用戶提供訪問服務(wù)。

5 云資源統(tǒng)一管理平臺

大數(shù)據(jù)著眼于“數(shù)據(jù)”，關(guān)注實際業(yè)務(wù)，提供數(shù)據(jù)采集分析挖掘，看重的是信息積淀[4]，即數(shù)據(jù)存儲能力。云計算著眼于“計算”，關(guān)注IT 解決方案，提供IT 基礎(chǔ)架構(gòu)，看重的是計算能力，即數(shù)據(jù)處理能力[2]。

（1）云資源統(tǒng)一管理平臺規(guī)劃建設(shè)。在數(shù)據(jù)中心建設(shè)中，通過規(guī)劃企業(yè)統(tǒng)一的云資源管理系統(tǒng)平臺，利用云資源的數(shù)據(jù)匯集、資源服務(wù)、運行管理、服務(wù)支撐和數(shù)據(jù)展現(xiàn)等功能，覆蓋企業(yè)范圍內(nèi)的基礎(chǔ)設(shè)施云環(huán)境。通過基礎(chǔ)設(shè)施資源、軟件平臺、業(yè)務(wù)應(yīng)用等系統(tǒng)整合，實現(xiàn)企業(yè)云資源的融合和統(tǒng)一管理。

圖4 企業(yè)云資源統(tǒng)一管理平臺

（2）云資源運行管理。云資源管理與傳統(tǒng)基礎(chǔ)設(shè)施管理區(qū)別很大，云上需要的是智能化、快速交付和高可用性服務(wù)能力。基于云資源管理平臺重點規(guī)范云資源的容量管理、資源調(diào)度管理和資源維護管理，設(shè)置 6 個主要角色，包括使用、決策、資源審批、容量規(guī)劃、平臺管理和資產(chǎn)管理角色[1]。

5 結(jié)束語

云計算的概念伴隨著產(chǎn)業(yè)互聯(lián)網(wǎng)，數(shù)字轉(zhuǎn)型等熱詞，已經(jīng)有了新的概念和意義[3]，結(jié)合業(yè)務(wù)需求，規(guī)劃企業(yè)云上系統(tǒng)，分析基礎(chǔ)設(shè)施層的資源服務(wù)能力，結(jié)合數(shù)據(jù)中心實際情況規(guī)劃分層且統(tǒng)一的云資源管理平臺，調(diào)整云資源的運行管理方式，為企業(yè)構(gòu)建滿足企業(yè)按需擴展、易于管理、安全可控的信息化升級解決方案。