金秋九月,秋高氣爽。寧夏中衛(wèi),既攬西北風(fēng)光之雄奇,又兼江南景色之秀美,碧水藍(lán)天,湖光沙色,林蔭碧翠。在這美麗的“世外桃源”,2016年CIOC全國(guó)CIO大會(huì)在此盛大舉辦,來(lái)自全國(guó)300余位CIO共聚一堂,最接地氣的觀點(diǎn)、最實(shí)用的實(shí)戰(zhàn)經(jīng)驗(yàn)、最前沿的技術(shù)、最新的產(chǎn)品在此匯聚,碰撞出屬于CIO的精彩的火花。
以下為深信服云計(jì)算技術(shù)總監(jiān)要志文在2016年CIOC全國(guó)CIO大會(huì)上的發(fā)言,其演講題目是:云數(shù)據(jù)中心演進(jìn)路徑之深信服最佳實(shí)踐。
深信服云計(jì)算技術(shù)總監(jiān) 要志文
要志文:非常感謝大家給我這個(gè)機(jī)會(huì),一起聚在這里來(lái)探討IT的一些新技術(shù)。前面IBM的陳總講了整體云化,作為CIO要考慮的肯定是企業(yè)轉(zhuǎn)型、創(chuàng)新和增長(zhǎng),這是一個(gè)永恒不變的話題,陳總分享了一個(gè)非常精彩的方法論。
云計(jì)算到目前為止已經(jīng)進(jìn)入穩(wěn)定發(fā)展期,已經(jīng)不是一個(gè)非常新興的技術(shù)。所以大家普遍考慮的并不是要不要上云,而是怎么樣上云。在下面我和CIO溝通,也在溝通怎么樣上云,有什么樣的階段,怎么樣去做?深信服希望根據(jù)自己已有的經(jīng)驗(yàn),跟大家分享一下云計(jì)算演進(jìn)路徑的最佳實(shí)踐。
首先,我先簡(jiǎn)單介紹一下深信服,因?yàn)榇蠹覍?duì)深信服的了解,可能是僅僅知道是做網(wǎng)絡(luò)安全的。深信服成立于2000年,網(wǎng)絡(luò)安全是最具優(yōu)勢(shì)的一個(gè)方面。深信服在上網(wǎng)行為管理等很多領(lǐng)域,很多年連續(xù)占據(jù)市場(chǎng)占有率第一。深信服現(xiàn)在在做戰(zhàn)略轉(zhuǎn)型,未來(lái)兩大主業(yè)業(yè)務(wù),第一是網(wǎng)絡(luò)安全,第二是云計(jì)算。現(xiàn)在深信服有一半以上研發(fā)投入在云計(jì)算上面,希望未來(lái)專(zhuān)注在網(wǎng)絡(luò)安全和云計(jì)算上面。
首先,簡(jiǎn)單看一下數(shù)據(jù)中心整體的演進(jìn)過(guò)程,其實(shí)最早的時(shí)候數(shù)據(jù)中心的出現(xiàn),是要進(jìn)行一些特定的計(jì)算,它是一個(gè)計(jì)算中心,以計(jì)算為目的。后來(lái)逐漸有了很多的應(yīng)用可以去使用。這樣通過(guò)網(wǎng)絡(luò)把這些應(yīng)用連起來(lái)提供服務(wù)。其實(shí)很多數(shù)據(jù)中心到目前為止冠的名字依然是網(wǎng)絡(luò)中心,互聯(lián)網(wǎng)也在發(fā)展,互聯(lián)網(wǎng)整個(gè)業(yè)務(wù)模式的變革也在驅(qū)動(dòng)業(yè)務(wù)發(fā)展,很多的業(yè)務(wù)基于BS去做,原有的架構(gòu)也在做一些轉(zhuǎn)變。這時(shí)候目前的傳統(tǒng)數(shù)據(jù)中心,是全物理架構(gòu)的,或者有一部分虛擬化架構(gòu)的數(shù)據(jù)中心。
再往后發(fā)展,到現(xiàn)在整體的互聯(lián)網(wǎng)+,整個(gè)時(shí)代在變化,大家如果對(duì)Gartner的報(bào)告關(guān)注,2015年它提出了雙IT的理論,傳統(tǒng)的IT已經(jīng)不能很好地滿足,那么它呈現(xiàn)兩種,一種是穩(wěn)態(tài)的模式。
未來(lái)的發(fā)展是以服務(wù)為中心,微服務(wù)架構(gòu),從原有數(shù)據(jù)中心統(tǒng)一集中的運(yùn)維管理變?yōu)樽詣?dòng)化運(yùn)營(yíng),這是整體演進(jìn)的過(guò)程。
深信服聚焦的是數(shù)據(jù)中心如何去云化,如何從傳統(tǒng)數(shù)據(jù)到云中心的演進(jìn)。我們主要關(guān)注的是兩點(diǎn),第一是云基礎(chǔ)架構(gòu),第二是怎么為客戶提供更好云安全服務(wù)。
來(lái)看一下企業(yè)做云化的主要驅(qū)動(dòng)力,根據(jù)用戶大量的需求做了梳理,這是有層次性的。上云主要是幾個(gè)層面,首先要考慮IT基礎(chǔ)資源的整合,從原有的物理架構(gòu)做整體的平臺(tái),提供更好的彈性,然后去支撐業(yè)務(wù)。做到了這個(gè)層級(jí)之后,隨著組織架構(gòu)的發(fā)展,希望IT整體也能和組織架構(gòu)匹配,需要有這種多層級(jí)用戶的管理。不同的用戶有不同的權(quán)限,然后在權(quán)限的范疇內(nèi)需要去做IT的工作,不同的權(quán)限進(jìn)行分割。再往后不能滿足這種簡(jiǎn)單的管理,希望把IT的資源服務(wù)化,把這種資源定義為服務(wù),通過(guò)線上的方式方便了去申請(qǐng)服務(wù),它具備一個(gè)生命的周期。
整個(gè)云化是一個(gè)過(guò)程,我們前面做了虛擬化,有不同異構(gòu)的硬件,整體云的建設(shè)不能徹底拋離原有的硬件,需要去保護(hù)已有的資產(chǎn)。所以整個(gè)的需求是一個(gè)漸進(jìn)的過(guò)程。
深信服的對(duì)云化的理解是,第一個(gè)階段,需要從傳統(tǒng)向云化去轉(zhuǎn)變,很多企業(yè)已經(jīng)做了一部分虛擬化,把一些非核心的業(yè)務(wù),很多情況下是非核心的業(yè)務(wù)做了虛擬化建設(shè),但是一般來(lái)講,只做計(jì)算虛擬化,存儲(chǔ)網(wǎng)絡(luò)安全、流程、很多東西沒(méi)有做到。我們希望到云中間還有一個(gè)階段,我們講的需求是一個(gè)漸進(jìn)的需求。我們認(rèn)為云化的必經(jīng)之路,用軟件定義數(shù)據(jù)中心來(lái)解決。所謂的軟件定義數(shù)據(jù)中心,就是用通用的物理設(shè)備,比如通過(guò)x86服務(wù)器,這些通用的設(shè)備加軟件定義就可以構(gòu)建軟件定義數(shù)據(jù)中心,實(shí)現(xiàn)統(tǒng)一的管理,實(shí)現(xiàn)簡(jiǎn)單的權(quán)限劃分。滿足了這個(gè)需求之后,未來(lái)繼續(xù)擴(kuò)大,有資源服務(wù)化的需求,有異構(gòu)管理的需求,可以演進(jìn)到云數(shù)據(jù)中心的階段。
大家做云化,選擇方案和路徑的時(shí)候,面臨一些關(guān)鍵的挑戰(zhàn)。建設(shè)過(guò)程主要分為三個(gè)過(guò)程,即規(guī)劃、建設(shè)和運(yùn)。規(guī)劃的階段要考慮用什么樣的架構(gòu),需要按照分組來(lái)做,做整體建設(shè),還是需要一個(gè)真正可以按需購(gòu)買(mǎi),可以方便擴(kuò)展的彈性的架構(gòu)?選擇技術(shù)的時(shí)候,是選擇封閉的技術(shù)架構(gòu),還是基于開(kāi)源技術(shù)架構(gòu)的方案。這樣肯定涉及到是否會(huì)有技術(shù)綁定的問(wèn)題,另外,如果選擇軟件定義,軟件定義有很多種模式,是軟件定義了專(zhuān)有的硬件,還是軟件定義了通用的硬件,其實(shí)這是有區(qū)別的。定義了專(zhuān)有的硬件還是會(huì)有硬件的綁定,我們希望通用的硬件。
在建設(shè)階段,我們主要關(guān)注的是安全的問(wèn)題,要考慮整體云架構(gòu)的安全,怎么樣實(shí)現(xiàn)云架構(gòu)的安全?實(shí)現(xiàn)了架構(gòu)的安全之后再上云,上云涉及到資源服務(wù)化、生命周期、租戶,租戶怎么保證安全,租戶之間怎么隔離和保護(hù)。另外是業(yè)務(wù)的安全,通過(guò)架構(gòu)保證業(yè)務(wù)的連續(xù)性,盡量減少死機(jī)數(shù)據(jù)。另外是數(shù)據(jù)安全,用什么樣的技術(shù)做好容災(zāi)和備份。
最后是運(yùn)維階段。簡(jiǎn)單的運(yùn)維,可以把整個(gè)流程簡(jiǎn)單化,這是非常關(guān)鍵的。運(yùn)維的時(shí)候,我們希望選擇的方案能有非常好的技術(shù)保障。如果一個(gè)非常小型的,幾十個(gè)人的小團(tuán)隊(duì)來(lái)幫助我們做云,能不能提供很好的技術(shù)保障,這是一個(gè)值得商榷的問(wèn)題。另外,我們希望資源的構(gòu)建、運(yùn)維、業(yè)務(wù)的編排都能可視化,非常簡(jiǎn)單地實(shí)現(xiàn)。
所以,根據(jù)對(duì)需求的理解,我們提出了企業(yè)云數(shù)據(jù)中心演進(jìn)的三個(gè)階段。這三個(gè)階段,并不是一定要從一到二到三,而是根據(jù)企業(yè)不同的需求,比如,我們的需求可以直接到三,涵蓋一二。
首先左邊這三個(gè)層面其實(shí)從云的建設(shè)和使用,從人的角度來(lái)看,涉及到建設(shè)、運(yùn)營(yíng)和使用。一般來(lái)講,這種建設(shè)可能會(huì)兼具運(yùn)營(yíng)和使用。
從底層建設(shè)的角度,底層的硬件架構(gòu),虛擬化網(wǎng)絡(luò)架構(gòu),計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)安全,再往上資源池的管理。這個(gè)層級(jí)我們認(rèn)為用軟件定義的基礎(chǔ)架構(gòu),超融合云資源池。
第二個(gè)階段涉及到云的運(yùn)營(yíng)和管理,第一,包括云資源的運(yùn)營(yíng)管理,第二,云安全的運(yùn)營(yíng)管理。這是非常流行的方向。我們提供整體云計(jì)算管理平臺(tái)的架構(gòu)和方案,構(gòu)建好了云資源池向云管理平臺(tái)的過(guò)度。
實(shí)現(xiàn)了下面這兩層,再往上就是租戶的服務(wù)。我們也去平臺(tái)對(duì)接,擴(kuò)充整體云服務(wù),提供更便利的IT服務(wù)。
第一階段,超融合。2014年下半年超融合得到發(fā)展,2015年得到大量發(fā)展,現(xiàn)在所有原有的IT企業(yè)都在做超融合架構(gòu)。超融合就是原來(lái)需要建設(shè),需要存儲(chǔ)交換設(shè)備,需要服務(wù)器,需要一系列安全、鏈路等設(shè)備,需要的設(shè)備非常多,現(xiàn)在用通用的服務(wù)器設(shè)備通過(guò)軟件定義實(shí)現(xiàn)整體的IT架構(gòu)。
市場(chǎng)上大家做的比較多的是超融合1.0階段。1.0的階段實(shí)現(xiàn)了利用通用的服務(wù)器,通過(guò)軟件定義架構(gòu),結(jié)合虛擬化,做到了計(jì)算和存儲(chǔ)的結(jié)合。這樣的結(jié)合,資源的簡(jiǎn)易編排和調(diào)度只限于計(jì)算和存儲(chǔ)的領(lǐng)域,網(wǎng)絡(luò)架構(gòu)很難實(shí)現(xiàn)靈活的調(diào)配,實(shí)現(xiàn)更好的功能。2.0的階段是把網(wǎng)絡(luò)虛擬化加到整體架構(gòu)里面。光有計(jì)算存儲(chǔ)網(wǎng)絡(luò),對(duì)于整個(gè)數(shù)據(jù)中心還不夠。所以,超融合軟件定義數(shù)據(jù)中心架構(gòu),只需要通用的x86服務(wù)器,加通用的網(wǎng)絡(luò)交換機(jī),通過(guò)網(wǎng)絡(luò)定義的方式,實(shí)現(xiàn)原有的計(jì)算存儲(chǔ)網(wǎng)絡(luò)安全的全部邏輯,實(shí)現(xiàn)簡(jiǎn)易的運(yùn)維管理。這是以業(yè)務(wù)為中心,可以只專(zhuān)注于業(yè)務(wù),IT的東西全部軟件定義,全部實(shí)現(xiàn)簡(jiǎn)單化。
深信服的超融合2015年全國(guó)市場(chǎng)占有率國(guó)內(nèi)品牌前三,下面簡(jiǎn)單介紹一下整體超融合的建設(shè)。最小的單元,云化的需求比較小的話,只需要兩臺(tái)x86服務(wù)機(jī),兩臺(tái)交換機(jī),加上定義就可以達(dá)到極簡(jiǎn)最小的架構(gòu)。這樣的架構(gòu),可以橫向進(jìn)行擴(kuò)展,擴(kuò)展到一個(gè)機(jī)柜的層級(jí),擴(kuò)展到整個(gè)數(shù)據(jù)中心的層級(jí),擴(kuò)展到更大的規(guī)模。實(shí)現(xiàn)這種完全扁平化的軟件數(shù)據(jù)中心的架構(gòu),有點(diǎn)類(lèi)似于谷歌、亞馬遜的數(shù)據(jù)中心架構(gòu)。
前面講的是第一階段,基于虛擬化技術(shù)建設(shè)統(tǒng)一平臺(tái)的技術(shù),我們需要對(duì)平臺(tái)進(jìn)行簡(jiǎn)易化的運(yùn)維管理,深信服有簡(jiǎn)單的分權(quán)限管理,可以用超融合的云資源池來(lái)解決。
到第二階段,需要對(duì)資源做服務(wù)化,可以從底層超融合云資源池,平滑過(guò)度到云操作系統(tǒng)。而且在云操作系統(tǒng)的基礎(chǔ)上開(kāi)發(fā)了拓展模塊,把管理流程整合,有些資源服務(wù)化做一些打包,有一些高級(jí)的功能。
云操作系統(tǒng)的平滑演進(jìn),第一可以直接從超融合的架構(gòu),不需要對(duì)業(yè)務(wù)改動(dòng),可以直接演進(jìn)過(guò)去。另外還可以監(jiān)管第三方平臺(tái),保護(hù)我們的資產(chǎn),還可以對(duì)傳統(tǒng)硬件設(shè)備進(jìn)行統(tǒng)一的管理。整體的架構(gòu)是開(kāi)放的架構(gòu),提供開(kāi)放的API,可以直接和第三方管理平臺(tái)進(jìn)行對(duì)接,也可以和一定的業(yè)務(wù)系統(tǒng)做業(yè)務(wù)流程上的深入對(duì)接。這是第二個(gè)階段云管理平臺(tái)的建設(shè)。
深信服的云管理平臺(tái)建設(shè)是基于OpenStack開(kāi)發(fā)的。基于OpenStack做了500多項(xiàng)功能改進(jìn),3000多項(xiàng)BUG修復(fù)。在基礎(chǔ)功能完善,資源利用效率,擴(kuò)展性增強(qiáng),開(kāi)放性、兼容性、可靠性、可移植性、管理的簡(jiǎn)化性,整體全方位的安全性、易用性,做了整體的開(kāi)發(fā)和改進(jìn)。深信服是一家軟件公司,深信服所做的云是全站的,很多是自主研發(fā),都有自主知識(shí)產(chǎn)權(quán)證書(shū),深信服也在積極參與相關(guān)組織機(jī)構(gòu)組織的國(guó)家云計(jì)算標(biāo)準(zhǔn)的制定。
虛擬化技術(shù)是做云一個(gè)非常基礎(chǔ)關(guān)鍵的技術(shù),在整體OpenStack架構(gòu)里面,基于VM的虛擬化,是非常主流的趨勢(shì)。深信服的服務(wù)器虛擬化在2016年進(jìn)入了魔力象限,在里面只有兩家國(guó)內(nèi)企業(yè),一家是深信服,另外一家是華為,其他是微軟這樣的國(guó)外大牌廠商。
上線怎么衡量?第一,要衡量在世界范圍內(nèi)整體案例覆蓋度,第二,整體技術(shù)創(chuàng)新度有專(zhuān)門(mén)的專(zhuān)業(yè)機(jī)構(gòu)來(lái)評(píng)估,所以,這是國(guó)內(nèi)外市場(chǎng)對(duì)整體云虛擬化架構(gòu)的認(rèn)可。
之后就到了云服務(wù)階段,經(jīng)過(guò)前兩個(gè)階段的建設(shè),在基礎(chǔ)設(shè)施層的服務(wù)已經(jīng)比較完備。再往后希望有安全服務(wù),未來(lái)如果我們需要安全,在自建的私有云里面,可以像申請(qǐng)主機(jī)一樣申請(qǐng)安全。擴(kuò)展到整體運(yùn)維管理,把運(yùn)維作為服務(wù),這時(shí)候就會(huì)真正實(shí)現(xiàn)云服務(wù)。
下面講一下平滑演進(jìn),這三個(gè)階段不是割裂的,看需求集中在哪一個(gè)階段,就按照哪一階段來(lái)建設(shè),這是最高性?xún)r(jià)比的建設(shè)方式,也是最穩(wěn)妥的,這樣的建設(shè)方式未來(lái)有清晰的路線可以讓我們?nèi)グl(fā)展。首先,根據(jù)目前的需求,需要建立虛擬化統(tǒng)一平臺(tái),希望有簡(jiǎn)易的管理,去建設(shè)超融合的云資源池。超融合云資源池本身就是一個(gè)開(kāi)放架構(gòu),它提供開(kāi)放的API,可以和云集成,也可以被第三方云集成。當(dāng)然,超融合本身就是安全的組件,全部以軟件的方式,以軟件交互的方式部署在超融合里面。演進(jìn)到云管理平臺(tái)的時(shí)候,云管理平臺(tái)可以直接管理超融合架構(gòu),可以管理第三方的虛擬化,也可以被其他的大平臺(tái)集成。最后發(fā)展到多租戶的云服務(wù),所以,整體的三個(gè)階段可以平滑演進(jìn)為一個(gè)階段。
另外一塊是云安全。從數(shù)據(jù)中心轉(zhuǎn)型云化,安全是一個(gè)繞不過(guò)去的問(wèn)題。原有的很多數(shù)據(jù)中心建設(shè),計(jì)算存儲(chǔ)網(wǎng)絡(luò),以云的方式去考慮,安全是以云之名,還是按照傳統(tǒng)的方式去做了相應(yīng)的安全,它并不符合云對(duì)安全的新需求。因?yàn)樵谠朴?jì)算建設(shè)的時(shí)候,安全的邊界更加模糊,東西向的流量會(huì)有更多需要加以安全的保護(hù)。所以,深信服提供全方位、多層級(jí)的云安全。在平臺(tái)安全方面,深信服是起家做安全的企業(yè),有相應(yīng)安全的設(shè)備。在深信服整體超融合架構(gòu)管理里面,可以把安全組件作為可以拖拽的簡(jiǎn)易編排的組件,軟件定義安全。軟件定義安全也是現(xiàn)在非常火爆的技術(shù)。
再往上到云安全的層級(jí),深信服可以提供云安全的資源池,通過(guò)軟件定義的安全資源池,不僅可以為云提供安全的保護(hù),也可以對(duì)接到第三方,已經(jīng)建好的云平臺(tái)上面,去做策略路由,去做整體的安全防護(hù)。
最后,深信服也提供相應(yīng)的云安全服務(wù),深信服把安全作為服務(wù),用戶直接通過(guò)公網(wǎng)去申請(qǐng)這一服務(wù)。后面有幾個(gè)簡(jiǎn)單的特點(diǎn),深信服把可視化作為一個(gè)非常大的關(guān)注點(diǎn),希望簡(jiǎn)化運(yùn)維和管理。整體業(yè)務(wù)編排全部通過(guò)鼠標(biāo)拖拽的方式,用戶需要云主機(jī),云存儲(chǔ),軟件定義防火墻,軟件定義路由器,交換機(jī),拖起來(lái),一連線后臺(tái),馬上可以工作。全網(wǎng)流量全部都可視化,而且可以探測(cè)到整體訪問(wèn)路徑上哪里有問(wèn)題,需要怎么解決,可視化和運(yùn)維可以降低工作量。
再往后發(fā)展,混合云是一個(gè)趨勢(shì)。深信服建設(shè)私有云,另外,5月份發(fā)布了公有云。未來(lái)混合云的管理,深信服可以實(shí)現(xiàn)智能統(tǒng)一的公有和私有的管理。
通過(guò)這樣的云建設(shè),結(jié)合基礎(chǔ)網(wǎng)絡(luò)、資源服務(wù)平臺(tái)、容災(zāi)數(shù)據(jù)中心到數(shù)據(jù)平臺(tái),到業(yè)務(wù)應(yīng)用、服務(wù)門(mén)戶、安全保障體系、運(yùn)營(yíng)運(yùn)維管理體系,這是深信服提供的架構(gòu)模型。因?yàn)椋瑯I(yè)務(wù)要上云業(yè)務(wù)是關(guān)鍵,什么樣的業(yè)務(wù)上云,深信服可以提供專(zhuān)業(yè)的技術(shù)分析服務(wù),業(yè)務(wù)遷移工具,可以幫助客戶做上云業(yè)務(wù)的遷移,考慮到數(shù)據(jù)的安全性、連續(xù)性,遷移的效率等。
深信服方案的價(jià)值,第一,是基于開(kāi)源架構(gòu)開(kāi)發(fā)的云,沒(méi)有技術(shù)的綁定。第二,完全軟件定義通用硬件的方式,沒(méi)有硬件的綁定。第三,有專(zhuān)業(yè)的技術(shù)團(tuán)隊(duì),提供好的技術(shù)保障。第四,可以提供全方位多層級(jí)的云安全。第五,可視化的運(yùn)營(yíng)運(yùn)維,可以提供簡(jiǎn)單的管理。最后,可以實(shí)現(xiàn)原有資產(chǎn)的保護(hù)。
深信服在企業(yè)、政府、金融、教育,在各個(gè)領(lǐng)域取得了很多成功的云案例,希望能夠幫助大家一起,去探討、合作,怎么樣把數(shù)據(jù)中心向云化遷移。非常感謝。
掃碼打賞嘉賓:
京公網(wǎng)安備 11010502049343號(hào)