曹伟：中国航信混合云应用实践(2)

首先的混合云的网络连接，可以说这个是混合云实践成功与否的关键。只有在网络层面在不同的云之间建立起了稳定的、可靠的、足够安全的连接，才能实现不同云上应用的联系、数据的交互、访问调用、资源的弹性扩展，以及统一的管控，否则只算是相互孤立的岛屿，形不成整合的优势，同时还会进一步增加维护工作的负担。这张图是我们总结的我们的私有云与公有云之间的网络连接方案。这里面假设的是有这么一套应用系统，他的web前端放在公有云上，后台应用处理和数据库放在私有云上，首先通过smart dns首先访问请求的负载分发，而公有云上的服务与私有云上的服务主要通过专线与Internet VPN两种形式的连接，我们在这里推荐专线方式，他更加安全、更加稳定、传输质量更好，但是主要的问题就是实施周期较长。专线分别连接到公有云的Edge router与私有云的企业接入互联区上，同时通过防火墙进行安全控制。在这里，我们在私有云中增加了一个接入DMZ区，并部署转发服务器，与后端应用进行隔离，进一步加强了安全控制。

通过这样一种方式，我们实现了对目前市场主流公有云的对接，包括了阿里云、腾讯云、华为云、AWS以及ucloud的连接。

另一个主要问题是混合云的管理。如果不能实现统一的集中管理，不能将分散的IT资源有机地整合起来，那么将极大的增加运维管理的难度和负担。在这方面，我们的主要经验是根据混合云的需要进一步发展我们的云管理平台系统，加入面向混合云场景的功能模块，以提升管理效率，降低管理难度。这些功能模块包括：统一账号管理，多云资源的编排，统一的CMDB，网络连接管理，财务管理还有就是资源统计分析。

全局的三级租户体系模型，公有云账号也会纳入这个模型

原有公有云账号的使用是散乱的，难以有效管控，尤其是有着严格账户管理制度的航信，多云管理平台将公有云账号映射给特定租户，然后通过登录租户管理员或者普通用户来进行使用，遵循账号管理制度，避免了直接暴露公有云账号带来的风险

实现同一单点登录，一次登录同时管理私有云和公有云

对于资源编排，多云管理平台统一对接了各类公有云，采用统一的资源管理与编排模型，可以有效屏蔽不同云之间的差异，更加方便使用与管理。

可以支持的资源类型有云主机，云磁盘，镜像，对象存储，VPC，安全组，RDS，消息队列等，还在不断扩充。

对于支持的资源类型可以进行各类管理操作，例如创建，删除，启停等，同时还可以进行更加复杂的混合作业编排。

再有就是统一的CMDB，我们都知道CMDB是运维工作的基础与核心，没有全面准确的CMDB数据，高效运维变无从谈起。我们原有的云管理平台上CMDB与各类资源管理操作时联动的，比如创建一台虚拟机，会自动创建一条CMDB的配置项记录。但是公有云没法做到这样，我们的办法是定时地自动同步公有云上的数据，将数据写入CMDB数据库中。同时，我们还要保证CMDB的数据是最权威的，而且是永久性的，他应该能够反映所有的配置项的生命周期的变化，并且可以永久追溯。所以我们不是简单地以公有云的信息为准，而是每次同步都要进行比对，识别差异并登记状态。同时我们还严格避免在公有云控制台上的直接操作，尽量通过多云管理平台来操作，这样做到所有的动作和信息都可追溯。

在网络连接管理方面，我们做到了对跨云之间专线线路，以及VPN连接的管理，可以查看线路状态，带看使用情况，还可以绘制网络拓扑图

使用公有云很重要的一个问题是计费，公有云的计费方式有按需和包年包月，一般企业会采用包年包月的方式，短期使用的测试开发系统则会考虑按需付费。那么对于这样一个比较复杂的公有云计费系统，需要有一个集中统一的地方进行统计与管理，尤其是使用多个公有云的时候。多云管理平台的财务管理模块可以有效的统计云上资源的费用情况，并进行相应的分析。

最后，多云管理平台可以实时统计来自不同云的资源的使用情况，进行各种对比展现，以及各种报表分析。

最后我再来分享两个案例，这也是航信在混合云实践过程中的比较典型的案例。首先第一个是全球部署的场景。航信近年来积极拓展海外客户，很多海外的航空公司开始使用航信的产品，因为网络方面的问题，为了提升用户体验，航信决定将系统的前端部署到海外的公有云上。这里就用到了我们之前讲到的网络部署方式，在海外公有云上分别建立了业务vpc与互联vpc，形成不同的安全域，通过公有云厂商的跨国高速通道与国内联通，在国内通过专线与航信打通，航信内部建立专门的DMZ区以及应用转发系统，连接位于航信私有云中的后台系统。这样就实现了一个比较可靠，安全的混合云架构。同时，我们的运维管理人员通过混合云管理平台实现对海外公有云的统一管理。

第二个案例是我们的一个客户，是国内的一家人寿保险公司。他们委托航信为他们设计构建包括自己的企业金融云，公有云，还是自己机房在内的混合云环境。我们最终实现的方案是，把关键业务系统托管到航信的数据中心内，建成客户自己的私有云平台，并顺利通过了国家银保会的审核验收。然后那些新型的主要面向网络上的C类客户使用的系统放在公有云上，利用公有云在快速部署和经济性上的优势，我们通过专线将航信数据中心与公有云，以及客户自己的数据中心打通。这是一个兼顾安全可控和敏捷弹性的方案，目前运行的效果也是非常的良好，客户非常的满意与认可。