解慧靜

(中國(guó)電信江蘇公司政企客戶事業(yè)部，江蘇 南京 210000)

0 引言

大數(shù)據(jù)時(shí)代來(lái)臨，為了實(shí)現(xiàn)不同云之間數(shù)據(jù)共享，多云部署已成為企業(yè)的新常態(tài)。IBM發(fā)布的關(guān)于全球云計(jì)算市場(chǎng)的最新調(diào)查研究報(bào)告結(jié)果顯示，只有3%的企業(yè)在2021年依然采用單體云架構(gòu)，而2019年這一比例還是29%。國(guó)際知名軟件資產(chǎn)管理商Flexera在2021年發(fā)布的云狀態(tài)報(bào)告顯示，92%的企業(yè)在IT架構(gòu)上選擇多云戰(zhàn)略[1]。隨著企業(yè)IT架構(gòu)日益復(fù)雜化，多云戰(zhàn)略已經(jīng)是當(dāng)下大多數(shù)企業(yè)的選擇。

1 多云架構(gòu)需求分析

1.1 促進(jìn)數(shù)據(jù)流動(dòng)

數(shù)字產(chǎn)業(yè)化及產(chǎn)業(yè)數(shù)字化背景下，企業(yè)要求實(shí)現(xiàn)數(shù)據(jù)的充分流動(dòng)，采用多云架構(gòu)部署，由于每家云服務(wù)商提供的服務(wù)、資源、特性不盡相同，多云不僅能復(fù)用不同云廠商能力，也能促進(jìn)不同業(yè)務(wù)類型的數(shù)據(jù)充分共享，可以與不同平臺(tái)的云廠商開展更多的合作。

1.2 實(shí)現(xiàn)業(yè)務(wù)演進(jìn)的演練

多云本質(zhì)上提供了一種流量跟架構(gòu)的隔離能力，基于這類方案，可以做到不同單元的多層級(jí)隔離。大部分企業(yè)每年都會(huì)有新的架構(gòu)和技術(shù)創(chuàng)新項(xiàng)目，而多云可以實(shí)現(xiàn)架構(gòu)演進(jìn)的演練，并與原有業(yè)務(wù)進(jìn)行隔離，保證業(yè)務(wù)穩(wěn)定的同時(shí)還能持續(xù)創(chuàng)新。

1.3 保障業(yè)務(wù)高可靠性

業(yè)務(wù)系統(tǒng)的多云架構(gòu)部署可有效提升應(yīng)用的高可靠性，保障業(yè)務(wù)連續(xù)性，不會(huì)因?yàn)槟骋患以品?wù)商出現(xiàn)問(wèn)題，進(jìn)而導(dǎo)致自身整體業(yè)務(wù)中斷。不同的云之間可以做數(shù)據(jù)備份，進(jìn)一步增強(qiáng)業(yè)務(wù)系統(tǒng)安全性。

2 多云架構(gòu)關(guān)鍵

各云商的通用組件如OS、中間件、容器都是與云分離的，無(wú)論何種云環(huán)境下，都可以使用Chef，Git，Docker Hub等管理工具，多云之間的差異體現(xiàn)網(wǎng)絡(luò)以及云API接口(端點(diǎn)、協(xié)議)的不同，因此在設(shè)計(jì)多云時(shí)需重點(diǎn)關(guān)注以下兩個(gè)方面[2]。

2.1 多云專網(wǎng)設(shè)計(jì)

每個(gè)云商都建有自己的數(shù)據(jù)中心，如果沒有網(wǎng)絡(luò)連接，多云之間就無(wú)法互相通信。通常情況下，云商內(nèi)部相同region的多AZ互聯(lián)要求構(gòu)建二層網(wǎng)絡(luò)，而云商之間互聯(lián)一般采用3層網(wǎng)絡(luò)，具體實(shí)現(xiàn)可以使用UnderLay或OverLay組網(wǎng)技術(shù)[3]。

2.2 多云API通信設(shè)計(jì)

目前，各種公有云、私有云的組件及API接口與標(biāo)準(zhǔn)的OpenStack相應(yīng)組件基本類似，但從功能或版本上來(lái)看，并不能完全兼容，因此需要一套統(tǒng)一的聚合管理機(jī)制，消除這些差異。

3 多云專用網(wǎng)絡(luò)

多云專網(wǎng)的實(shí)質(zhì)是實(shí)現(xiàn)不同云內(nèi)的VPC間的安全可靠組網(wǎng)，即要確定位于不同云的VPC對(duì)應(yīng)的CIDR,然后分別調(diào)用相應(yīng)的API創(chuàng)建對(duì)等連接，最后配置對(duì)等連接端點(diǎn)的路由并組建VPN。多云網(wǎng)絡(luò)服務(wù)的最終形式和內(nèi)容是趨同的，但底層網(wǎng)絡(luò)的技術(shù)的不同會(huì)帶來(lái)服務(wù)品質(zhì)、交付時(shí)長(zhǎng)以及運(yùn)維服務(wù)層面的差異。目前，國(guó)內(nèi)外多云互聯(lián)的組網(wǎng)方式，主要有以下3種：

3.1 專線網(wǎng)絡(luò)

專線網(wǎng)絡(luò)的實(shí)現(xiàn)通常需要借助運(yùn)營(yíng)商的服務(wù)，專線也是運(yùn)營(yíng)商云間組網(wǎng)的首選，目前各大公有云商均提供了專線接入服務(wù)，比如天翼云的云網(wǎng)PoP服務(wù)、騰訊云的 Direct Connect。用專線連接多云分為兩個(gè)步驟，首先是確定專線的技術(shù)選型，構(gòu)建物理網(wǎng)絡(luò)，其次是邏輯專線的開通。

專線選型可根據(jù)距離、成本等因素確定，運(yùn)營(yíng)商目前能提供的專線服務(wù)包括OTN，MSTP，MPLS/VPN等多種形式，在具體網(wǎng)絡(luò)建設(shè)時(shí)，可以采用基于OTN網(wǎng)絡(luò)、裸纖等Underlay組網(wǎng)方式，也可也采用基于運(yùn)營(yíng)商163、CN2等廣域以太網(wǎng)作為底層網(wǎng)絡(luò)承載MPLS/VPN組建Overlay專網(wǎng)。物理網(wǎng)絡(luò)搭建好后，即可劃分私有ASN號(hào)，通過(guò)BGP路由來(lái)控制云間通信，構(gòu)建多云通信專用隧道。需要指出的是在多云網(wǎng)絡(luò)設(shè)計(jì)時(shí)應(yīng)提前規(guī)劃多云互聯(lián)的網(wǎng)絡(luò)地址，避免IP地址沖突問(wèn)題發(fā)生。

互聯(lián)方將以太網(wǎng)光纖電纜鏈接到POP交換機(jī)后，即可通過(guò)專線虛擬接口開通邏輯網(wǎng)絡(luò)，該虛擬接口由AS號(hào)、Vlan ID、端點(diǎn)ID及連接雙方的CIDR等信息構(gòu)成，在對(duì)云商的專網(wǎng) API端點(diǎn)發(fā)送請(qǐng)求并鑒權(quán)認(rèn)證成功后，先調(diào)用創(chuàng)建API創(chuàng)建虛擬接口，再調(diào)用配置API分配邏輯專線，即可開通邏輯專線。

3.2 互聯(lián)網(wǎng)VPN網(wǎng)絡(luò)

這種組網(wǎng)方式是互聯(lián)網(wǎng)云商采用的主流互聯(lián)技術(shù)，近年來(lái)，借助自身敏捷高效的互聯(lián)網(wǎng)基因與先天技術(shù)優(yōu)勢(shì)，互聯(lián)網(wǎng)云商開始嘗試越過(guò)運(yùn)營(yíng)商，通過(guò)SD-WAN，Overlay SDN，IPsec VPN等技術(shù)搭建基于互聯(lián)網(wǎng)的專線連接，實(shí)現(xiàn)自身資源池間以及跨云商資源池互聯(lián)互通能力。該技術(shù)通過(guò)在各公有云中設(shè)立的VGW支持多個(gè)VPN路由器供應(yīng)商的IPsec通信，并借助SDWAN技術(shù)，通過(guò)VGW作為中繼，實(shí)現(xiàn)由多條IPsec VPN構(gòu)建的云專網(wǎng)。2018年，阿里云上線云企業(yè)網(wǎng)，借助自己的云間互聯(lián)(云承載網(wǎng)絡(luò))為自身的客戶提供“云+企業(yè)組網(wǎng)”一體化的IT上云服務(wù)。

3.3 第三方交換網(wǎng)絡(luò)

在多云的場(chǎng)景下，行業(yè)中正在涌現(xiàn)一類角色，專業(yè)實(shí)現(xiàn)多云間的流量交換，通常被稱為CXP，Cloud Exchange Provider。公有云中分布在不同Region的VPC，企業(yè)分布在不同地域的分支或數(shù)據(jù)中心，彼此之間以CXP作為連接的樞紐進(jìn)行流量的交換，實(shí)現(xiàn)跨云商跨云資源池的互聯(lián)[3]。CXP具有中立性、流量對(duì)等、微利性等特點(diǎn)，從技術(shù)層面看，Cisco公司提供的Intercloud Fabric較為成熟，可以在任何線路上建立安全的網(wǎng)絡(luò)路徑，并支持與Openstack的對(duì)接。國(guó)際上知名的 CXP有Equinix等公司，可以提供區(qū)域內(nèi)或全球云網(wǎng)絡(luò)互聯(lián)。

相比而言，互聯(lián)網(wǎng)VPN的組網(wǎng)方式更為靈活、便捷，可以通過(guò)SDN技術(shù)實(shí)現(xiàn)從用戶接入點(diǎn)到云內(nèi)VPC網(wǎng)絡(luò)VPN專線端到端的實(shí)時(shí)開通交付；運(yùn)營(yíng)商的專線互聯(lián)組網(wǎng)方式在QoS上更有保障，而在整體組網(wǎng)上，因接入層面、云間、云內(nèi)采用的網(wǎng)絡(luò)協(xié)議及技術(shù)各不相同，需要逐段打通專網(wǎng)，耗時(shí)較長(zhǎng)。隨著SRv6網(wǎng)絡(luò)編程技術(shù)的發(fā)展及新型城域網(wǎng)、云骨干網(wǎng)建設(shè)運(yùn)營(yíng)，運(yùn)營(yíng)商的下一代多云網(wǎng)絡(luò)在服務(wù)質(zhì)量及端到端敏捷服務(wù)方面會(huì)有更長(zhǎng)足的進(jìn)步；第三方多云交換網(wǎng)絡(luò)目前在國(guó)內(nèi)還沒有真正興起，但該市場(chǎng)空間潛力巨大。

對(duì)于云商來(lái)說(shuō)，未來(lái)應(yīng)充分兼容各種多云專網(wǎng)接入方式，需設(shè)立獨(dú)立的云網(wǎng)PoP接入點(diǎn)，該P(yáng)OP點(diǎn)內(nèi)配置物理POP交換機(jī)、VPE、SDWAN GW，分別用于支持UnderLay，OverLay及IPsec VPN等多種云間網(wǎng)絡(luò)的對(duì)接；設(shè)立專門的互聯(lián)網(wǎng)接入?yún)^(qū)；通過(guò)VRouter連接云內(nèi)的VPC，云網(wǎng)PoP點(diǎn)內(nèi)還應(yīng)設(shè)置超級(jí)互聯(lián)網(wǎng)關(guān)，用于連接各種外部網(wǎng)絡(luò)及云內(nèi)網(wǎng)絡(luò)。多云網(wǎng)絡(luò)互聯(lián)設(shè)計(jì)，如圖1所示。

圖1 多云網(wǎng)絡(luò)互聯(lián)設(shè)計(jì)

4 多云 API通信模式設(shè)計(jì)

Openstack環(huán)境下，人們通過(guò)提供nova、neutron等命令對(duì)計(jì)算、網(wǎng)絡(luò)資源進(jìn)行操作，提升了對(duì)虛擬化資源的管理效率，這需要依托相應(yīng)的API指令的執(zhí)行，云API一般以RESTFUL風(fēng)格提供給用戶，即通過(guò) http協(xié)議和JSON格式的數(shù)據(jù)進(jìn)行交互。不同云的API端點(diǎn)、指令各不相同，在多云環(huán)境下，要實(shí)現(xiàn)多云的聚合管理，要充分考慮多云間的API通信方式設(shè)計(jì)。

4.1 API通信路徑

多云之間的通信路徑分為業(yè)務(wù)通信和信令通信兩種，業(yè)務(wù)通信可以通過(guò)全局DNS進(jìn)行解析，信令通信需要為跨云調(diào)用API建立專用通信路徑，該路徑的建設(shè)的重點(diǎn)是內(nèi)部DNS轉(zhuǎn)發(fā)設(shè)置及認(rèn)證。

4.1.1 DNS轉(zhuǎn)發(fā)設(shè)置

在設(shè)計(jì)路徑時(shí)，首先要考慮多云中各云服務(wù)的API端點(diǎn)存放于何處，其次是要對(duì)端點(diǎn)的FQDN進(jìn)行域名解析。設(shè)想一個(gè)天翼云和A云組建多云的場(chǎng)景，A云的服務(wù)端點(diǎn)是aXyun.com的子域，對(duì)應(yīng)相應(yīng)的EIP地址，而使用天翼云搭建的環(huán)境中，服務(wù)端點(diǎn)則處于ctyun.cn的子域。因此，在多云互聯(lián)時(shí)，需要配置統(tǒng)一的API端點(diǎn)訪問(wèn)路徑。如果是在A云內(nèi)部，那么VPC中默認(rèn)對(duì)A云進(jìn)行域名解析，但如果從天翼云使用A云的端點(diǎn)，由于命名空間不同，首先要解決域名解析的問(wèn)題，比如當(dāng)目標(biāo)地址為aXyun.com 時(shí)，從天翼云環(huán)境解析A云域名內(nèi)的端點(diǎn)時(shí)，應(yīng)在天翼云DNS服務(wù)器上轉(zhuǎn)發(fā)至A云的DNS服務(wù)器的配置，隨后的域名解析就都能在A云內(nèi)部進(jìn)行處理。

4.1.2 路由訪問(wèn)策略

不同公有云之間需配置BGP路由，BGP的對(duì)等連接會(huì)廣播鄰近VPC的CIDR，從A云來(lái)看，只有目標(biāo)屬于天翼云 VPC(如：10.0.0.0/16)的請(qǐng)求才能通過(guò)專線，因此，我們需要在A云側(cè)配置代理服務(wù)器，使用代理服務(wù)器將請(qǐng)求送達(dá)A云 API端點(diǎn)。出于安全方面的考慮，代理服務(wù)器上配置白名單，僅允許特定目標(biāo)地址的請(qǐng)求通過(guò)，因此我們需要預(yù)先確認(rèn)端點(diǎn)與服務(wù)的FQDN,以及配置代理訪問(wèn)策略。

4.1.3 安全認(rèn)證機(jī)制

相同云中的內(nèi)部訪問(wèn)時(shí)，其認(rèn)證機(jī)制和keystone類似，將IAM角色分配給服務(wù)器，確定其訪問(wèn)資源、訪問(wèn)動(dòng)作及訪問(wèn)結(jié)果；而當(dāng)調(diào)用他云的API時(shí)，除了使用 Https協(xié)議保證通信安全外，還需要驗(yàn)證客戶終端的真實(shí)性，防止數(shù)據(jù)被篡改，因此每次請(qǐng)求API時(shí)都必須加入該用戶賬號(hào)的簽名，簽名信息由HMAC(基于哈希的消息驗(yàn)證代碼)函數(shù)計(jì)算得出，并放置在Http消息頭中。

4.2 API兼容性設(shè)計(jì)

多云環(huán)境中的差異體現(xiàn)在不同云的不同組件之間，無(wú)論是API的端點(diǎn)還是服務(wù)內(nèi)容都沒有相似之處，比如ECS和Nova都能處理服務(wù)器資源，為讓用戶無(wú)差異操作兩種資源，API要盡量統(tǒng)一。而現(xiàn)實(shí)是，不同云之間運(yùn)行兼容的 API非常困難，直接調(diào)用API情況下，操作方必須對(duì)對(duì)方的API端點(diǎn)及指令有全局性的掌握。

通常會(huì)引入專用工具，如各云商自有的CLI、SDK、Console等，會(huì)對(duì)具體的操作進(jìn)行封裝處理間接調(diào)用API；開源的第三方云管理組件，如Libvirt提供了對(duì)于Kvm，Xen，Esx多種虛擬化環(huán)境的API兼容支持，Ruby提供了兼容多云的SDK環(huán)境，RightScale是著名的Console多云管理工具。第三方開發(fā)的商用多云管理軟件，大都基于開源軟件進(jìn)行二次開發(fā)，具有更好的親和性和健壯性，目前業(yè)內(nèi)主流的多云管理平臺(tái)，如中國(guó)電信的云聚管理平臺(tái)、華為的云Stack，均兼容多種云環(huán)境的API，并在此基礎(chǔ)上提供了整體資源管理、運(yùn)維管理、運(yùn)營(yíng)管理、客戶門戶等服務(wù)模塊，可以助力客戶快速架構(gòu)多云運(yùn)營(yíng)服務(wù)系統(tǒng)。

5 多云運(yùn)營(yíng)模式

5.1 IAAS之間的調(diào)用

用戶可以使用不同服務(wù)商的云基礎(chǔ)資源，通常的應(yīng)用場(chǎng)景有：企業(yè)的IAAS資源來(lái)自不同服務(wù)商，這些資源間的組網(wǎng)互通；企業(yè)分支機(jī)構(gòu)位于不同云商的不同region，相關(guān)系統(tǒng)的拉通；跨云商的異構(gòu)云資源構(gòu)建業(yè)務(wù)災(zāi)備系統(tǒng)。在具體實(shí)施過(guò)程中需要關(guān)注每個(gè)IAAS環(huán)境下的數(shù)據(jù)中心與網(wǎng)絡(luò)，以及不同云環(huán)境中的API調(diào)用[4]。

5.2 不同IAAS間PaaS調(diào)用

不同云服務(wù)的能力是有差異的，比如天翼云的優(yōu)勢(shì)在于IAAS等云網(wǎng)資源，并能提供物理機(jī)及HPC服務(wù)，阿里云的研發(fā)能力強(qiáng)大，其PaaS的性能、健壯性更高。利用這兩種資源互補(bǔ)架構(gòu)系統(tǒng)時(shí)，阿里云的PaaS必須能夠操控天翼云IAAS 的API，比如要讀取相應(yīng)的VPC信息。

5.3 使用不同IAAS上的SaaS

該模式相對(duì)簡(jiǎn)單，從其他云上采購(gòu)SaaS服務(wù)，用戶在使用 SaaS時(shí)，無(wú)須關(guān)注后端的IaaS的API，由 SaaS進(jìn)行對(duì)接。

6 結(jié)語(yǔ)

目前各大云商均推出了自身的大數(shù)據(jù)服務(wù)及多云互聯(lián)服務(wù)，而企業(yè)在多云戰(zhàn)略上不僅限于簡(jiǎn)單地部署多云，而需要更多場(chǎng)景化服務(wù)的內(nèi)容與能力，靈活地在不同的云間存儲(chǔ)數(shù)據(jù)、調(diào)度算力，更好地響應(yīng)業(yè)務(wù)發(fā)展需求。展望未來(lái)五年，圍繞著大數(shù)據(jù)和多云應(yīng)用，必將有更多的技術(shù)創(chuàng)新，誕生全新的商務(wù)模式。