“互聯(lián)網(wǎng)+”背景下多云架構(gòu)技術(shù)及其應(yīng)用分析

解慧靜

(中國電信江蘇公司政企客戶事業(yè)部，江蘇 南京 210000)

0 引言

大數(shù)據(jù)時代來臨，為了實現(xiàn)不同云之間數(shù)據(jù)共享，多云部署已成為企業(yè)的新常態(tài)。IBM發(fā)布的關(guān)于全球云計算市場的最新調(diào)查研究報告結(jié)果顯示，只有3%的企業(yè)在2021年依然采用單體云架構(gòu)，而2019年這一比例還是29%。國際知名軟件資產(chǎn)管理商Flexera在2021年發(fā)布的云狀態(tài)報告顯示，92%的企業(yè)在IT架構(gòu)上選擇多云戰(zhàn)略[1]。隨著企業(yè)IT架構(gòu)日益復(fù)雜化，多云戰(zhàn)略已經(jīng)是當(dāng)下大多數(shù)企業(yè)的選擇。

1 多云架構(gòu)需求分析

1.1 促進數(shù)據(jù)流動

數(shù)字產(chǎn)業(yè)化及產(chǎn)業(yè)數(shù)字化背景下，企業(yè)要求實現(xiàn)數(shù)據(jù)的充分流動，采用多云架構(gòu)部署，由于每家云服務(wù)商提供的服務(wù)、資源、特性不盡相同，多云不僅能復(fù)用不同云廠商能力，也能促進不同業(yè)務(wù)類型的數(shù)據(jù)充分共享，可以與不同平臺的云廠商開展更多的合作。

1.2 實現(xiàn)業(yè)務(wù)演進的演練

多云本質(zhì)上提供了一種流量跟架構(gòu)的隔離能力，基于這類方案，可以做到不同單元的多層級隔離。大部分企業(yè)每年都會有新的架構(gòu)和技術(shù)創(chuàng)新項目，而多云可以實現(xiàn)架構(gòu)演進的演練，并與原有業(yè)務(wù)進行隔離，保證業(yè)務(wù)穩(wěn)定的同時還能持續(xù)創(chuàng)新。

1.3 保障業(yè)務(wù)高可靠性

業(yè)務(wù)系統(tǒng)的多云架構(gòu)部署可有效提升應(yīng)用的高可靠性，保障業(yè)務(wù)連續(xù)性，不會因為某一家云服務(wù)商出現(xiàn)問題，進而導(dǎo)致自身整體業(yè)務(wù)中斷。不同的云之間可以做數(shù)據(jù)備份，進一步增強業(yè)務(wù)系統(tǒng)安全性。

2 多云架構(gòu)關(guān)鍵

各云商的通用組件如OS、中間件、容器都是與云分離的，無論何種云環(huán)境下，都可以使用Chef，Git，Docker Hub等管理工具，多云之間的差異體現(xiàn)網(wǎng)絡(luò)以及云API接口(端點、協(xié)議)的不同，因此在設(shè)計多云時需重點關(guān)注以下兩個方面[2]。

2.1 多云專網(wǎng)設(shè)計

每個云商都建有自己的數(shù)據(jù)中心，如果沒有網(wǎng)絡(luò)連接，多云之間就無法互相通信。通常情況下，云商內(nèi)部相同region的多AZ互聯(lián)要求構(gòu)建二層網(wǎng)絡(luò)，而云商之間互聯(lián)一般采用3層網(wǎng)絡(luò)，具體實現(xiàn)可以使用UnderLay或OverLay組網(wǎng)技術(shù)[3]。

2.2 多云API通信設(shè)計

目前，各種公有云、私有云的組件及API接口與標(biāo)準(zhǔn)的OpenStack相應(yīng)組件基本類似，但從功能或版本上來看，并不能完全兼容，因此需要一套統(tǒng)一的聚合管理機制，消除這些差異。

3 多云專用網(wǎng)絡(luò)

多云專網(wǎng)的實質(zhì)是實現(xiàn)不同云內(nèi)的VPC間的安全可靠組網(wǎng)，即要確定位于不同云的VPC對應(yīng)的CIDR,然后分別調(diào)用相應(yīng)的API創(chuàng)建對等連接，最后配置對等連接端點的路由并組建VPN。多云網(wǎng)絡(luò)服務(wù)的最終形式和內(nèi)容是趨同的，但底層網(wǎng)絡(luò)的技術(shù)的不同會帶來服務(wù)品質(zhì)、交付時長以及運維服務(wù)層面的差異。目前，國內(nèi)外多云互聯(lián)的組網(wǎng)方式，主要有以下3種：

3.1 專線網(wǎng)絡(luò)

專線網(wǎng)絡(luò)的實現(xiàn)通常需要借助運營商的服務(wù)，專線也是運營商云間組網(wǎng)的首選，目前各大公有云商均提供了專線接入服務(wù)，比如天翼云的云網(wǎng)PoP服務(wù)、騰訊云的 Direct Connect。用專線連接多云分為兩個步驟，首先是確定專線的技術(shù)選型，構(gòu)建物理網(wǎng)絡(luò)，其次是邏輯專線的開通。

專線選型可根據(jù)距離、成本等因素確定，運營商目前能提供的專線服務(wù)包括OTN，MSTP，MPLS/VPN等多種形式，在具體網(wǎng)絡(luò)建設(shè)時，可以采用基于OTN網(wǎng)絡(luò)、裸纖等Underlay組網(wǎng)方式，也可也采用基于運營商163、CN2等廣域以太網(wǎng)作為底層網(wǎng)絡(luò)承載MPLS/VPN組建Overlay專網(wǎng)。物理網(wǎng)絡(luò)搭建好后，即可劃分私有ASN號，通過BGP路由來控制云間通信，構(gòu)建多云通信專用隧道。需要指出的是在多云網(wǎng)絡(luò)設(shè)計時應(yīng)提前規(guī)劃多云互聯(lián)的網(wǎng)絡(luò)地址，避免IP地址沖突問題發(fā)生。

互聯(lián)方將以太網(wǎng)光纖電纜鏈接到POP交換機后，即可通過專線虛擬接口開通邏輯網(wǎng)絡(luò)，該虛擬接口由AS號、Vlan ID、端點ID及連接雙方的CIDR等信息構(gòu)成，在對云商的專網(wǎng) API端點發(fā)送請求并鑒權(quán)認證成功后，先調(diào)用創(chuàng)建API創(chuàng)建虛擬接口，再調(diào)用配置API分配邏輯專線，即可開通邏輯專線。

3.2 互聯(lián)網(wǎng)VPN網(wǎng)絡(luò)

這種組網(wǎng)方式是互聯(lián)網(wǎng)云商采用的主流互聯(lián)技術(shù)，近年來，借助自身敏捷高效的互聯(lián)網(wǎng)基因與先天技術(shù)優(yōu)勢，互聯(lián)網(wǎng)云商開始嘗試越過運營商，通過SD-WAN，Overlay SDN，IPsec VPN等技術(shù)搭建基于互聯(lián)網(wǎng)的專線連接，實現(xiàn)自身資源池間以及跨云商資源池互聯(lián)互通能力。該技術(shù)通過在各公有云中設(shè)立的VGW支持多個VPN路由器供應(yīng)商的IPsec通信，并借助SDWAN技術(shù)，通過VGW作為中繼，實現(xiàn)由多條IPsec VPN構(gòu)建的云專網(wǎng)。2018年，阿里云上線云企業(yè)網(wǎng)，借助自己的云間互聯(lián)(云承載網(wǎng)絡(luò))為自身的客戶提供“云+企業(yè)組網(wǎng)”一體化的IT上云服務(wù)。

3.3 第三方交換網(wǎng)絡(luò)

在多云的場景下，行業(yè)中正在涌現(xiàn)一類角色，專業(yè)實現(xiàn)多云間的流量交換，通常被稱為CXP，Cloud Exchange Provider。公有云中分布在不同Region的VPC，企業(yè)分布在不同地域的分支或數(shù)據(jù)中心，彼此之間以CXP作為連接的樞紐進行流量的交換，實現(xiàn)跨云商跨云資源池的互聯(lián)[3]。CXP具有中立性、流量對等、微利性等特點，從技術(shù)層面看，Cisco公司提供的Intercloud Fabric較為成熟，可以在任何線路上建立安全的網(wǎng)絡(luò)路徑，并支持與Openstack的對接。國際上知名的 CXP有Equinix等公司，可以提供區(qū)域內(nèi)或全球云網(wǎng)絡(luò)互聯(lián)。

相比而言，互聯(lián)網(wǎng)VPN的組網(wǎng)方式更為靈活、便捷，可以通過SDN技術(shù)實現(xiàn)從用戶接入點到云內(nèi)VPC網(wǎng)絡(luò)VPN專線端到端的實時開通交付；運營商的專線互聯(lián)組網(wǎng)方式在QoS上更有保障，而在整體組網(wǎng)上，因接入層面、云間、云內(nèi)采用的網(wǎng)絡(luò)協(xié)議及技術(shù)各不相同，需要逐段打通專網(wǎng)，耗時較長。隨著SRv6網(wǎng)絡(luò)編程技術(shù)的發(fā)展及新型城域網(wǎng)、云骨干網(wǎng)建設(shè)運營，運營商的下一代多云網(wǎng)絡(luò)在服務(wù)質(zhì)量及端到端敏捷服務(wù)方面會有更長足的進步；第三方多云交換網(wǎng)絡(luò)目前在國內(nèi)還沒有真正興起，但該市場空間潛力巨大。

對于云商來說，未來應(yīng)充分兼容各種多云專網(wǎng)接入方式，需設(shè)立獨立的云網(wǎng)PoP接入點，該POP點內(nèi)配置物理POP交換機、VPE、SDWAN GW，分別用于支持UnderLay，OverLay及IPsec VPN等多種云間網(wǎng)絡(luò)的對接；設(shè)立專門的互聯(lián)網(wǎng)接入?yún)^(qū)；通過VRouter連接云內(nèi)的VPC，云網(wǎng)PoP點內(nèi)還應(yīng)設(shè)置超級互聯(lián)網(wǎng)關(guān)，用于連接各種外部網(wǎng)絡(luò)及云內(nèi)網(wǎng)絡(luò)。多云網(wǎng)絡(luò)互聯(lián)設(shè)計，如圖1所示。

圖1 多云網(wǎng)絡(luò)互聯(lián)設(shè)計

4 多云 API通信模式設(shè)計

Openstack環(huán)境下，人們通過提供nova、neutron等命令對計算、網(wǎng)絡(luò)資源進行操作，提升了對虛擬化資源的管理效率，這需要依托相應(yīng)的API指令的執(zhí)行，云API一般以RESTFUL風(fēng)格提供給用戶，即通過 http協(xié)議和JSON格式的數(shù)據(jù)進行交互。不同云的API端點、指令各不相同，在多云環(huán)境下，要實現(xiàn)多云的聚合管理，要充分考慮多云間的API通信方式設(shè)計。

4.1 API通信路徑

多云之間的通信路徑分為業(yè)務(wù)通信和信令通信兩種，業(yè)務(wù)通信可以通過全局DNS進行解析，信令通信需要為跨云調(diào)用API建立專用通信路徑，該路徑的建設(shè)的重點是內(nèi)部DNS轉(zhuǎn)發(fā)設(shè)置及認證。

4.1.1 DNS轉(zhuǎn)發(fā)設(shè)置

在設(shè)計路徑時，首先要考慮多云中各云服務(wù)的API端點存放于何處，其次是要對端點的FQDN進行域名解析。設(shè)想一個天翼云和A云組建多云的場景，A云的服務(wù)端點是aXyun.com的子域，對應(yīng)相應(yīng)的EIP地址，而使用天翼云搭建的環(huán)境中，服務(wù)端點則處于ctyun.cn的子域。因此，在多云互聯(lián)時，需要配置統(tǒng)一的API端點訪問路徑。如果是在A云內(nèi)部，那么VPC中默認對A云進行域名解析，但如果從天翼云使用A云的端點，由于命名空間不同，首先要解決域名解析的問題，比如當(dāng)目標(biāo)地址為aXyun.com 時，從天翼云環(huán)境解析A云域名內(nèi)的端點時，應(yīng)在天翼云DNS服務(wù)器上轉(zhuǎn)發(fā)至A云的DNS服務(wù)器的配置，隨后的域名解析就都能在A云內(nèi)部進行處理。

4.1.2 路由訪問策略

不同公有云之間需配置BGP路由，BGP的對等連接會廣播鄰近VPC的CIDR，從A云來看，只有目標(biāo)屬于天翼云 VPC(如：10.0.0.0/16)的請求才能通過專線，因此，我們需要在A云側(cè)配置代理服務(wù)器，使用代理服務(wù)器將請求送達A云 API端點。出于安全方面的考慮，代理服務(wù)器上配置白名單，僅允許特定目標(biāo)地址的請求通過，因此我們需要預(yù)先確認端點與服務(wù)的FQDN,以及配置代理訪問策略。

4.1.3 安全認證機制

相同云中的內(nèi)部訪問時，其認證機制和keystone類似，將IAM角色分配給服務(wù)器，確定其訪問資源、訪問動作及訪問結(jié)果；而當(dāng)調(diào)用他云的API時，除了使用 Https協(xié)議保證通信安全外，還需要驗證客戶終端的真實性，防止數(shù)據(jù)被篡改，因此每次請求API時都必須加入該用戶賬號的簽名，簽名信息由HMAC(基于哈希的消息驗證代碼)函數(shù)計算得出，并放置在Http消息頭中。

4.2 API兼容性設(shè)計

多云環(huán)境中的差異體現(xiàn)在不同云的不同組件之間，無論是API的端點還是服務(wù)內(nèi)容都沒有相似之處，比如ECS和Nova都能處理服務(wù)器資源，為讓用戶無差異操作兩種資源，API要盡量統(tǒng)一。而現(xiàn)實是，不同云之間運行兼容的 API非常困難，直接調(diào)用API情況下，操作方必須對對方的API端點及指令有全局性的掌握。

通常會引入專用工具，如各云商自有的CLI、SDK、Console等，會對具體的操作進行封裝處理間接調(diào)用API；開源的第三方云管理組件，如Libvirt提供了對于Kvm，Xen，Esx多種虛擬化環(huán)境的API兼容支持，Ruby提供了兼容多云的SDK環(huán)境，RightScale是著名的Console多云管理工具。第三方開發(fā)的商用多云管理軟件，大都基于開源軟件進行二次開發(fā)，具有更好的親和性和健壯性，目前業(yè)內(nèi)主流的多云管理平臺，如中國電信的云聚管理平臺、華為的云Stack，均兼容多種云環(huán)境的API，并在此基礎(chǔ)上提供了整體資源管理、運維管理、運營管理、客戶門戶等服務(wù)模塊，可以助力客戶快速架構(gòu)多云運營服務(wù)系統(tǒng)。

5 多云運營模式

5.1 IAAS之間的調(diào)用

用戶可以使用不同服務(wù)商的云基礎(chǔ)資源，通常的應(yīng)用場景有：企業(yè)的IAAS資源來自不同服務(wù)商，這些資源間的組網(wǎng)互通；企業(yè)分支機構(gòu)位于不同云商的不同region，相關(guān)系統(tǒng)的拉通；跨云商的異構(gòu)云資源構(gòu)建業(yè)務(wù)災(zāi)備系統(tǒng)。在具體實施過程中需要關(guān)注每個IAAS環(huán)境下的數(shù)據(jù)中心與網(wǎng)絡(luò)，以及不同云環(huán)境中的API調(diào)用[4]。

5.2 不同IAAS間PaaS調(diào)用

不同云服務(wù)的能力是有差異的，比如天翼云的優(yōu)勢在于IAAS等云網(wǎng)資源，并能提供物理機及HPC服務(wù)，阿里云的研發(fā)能力強大，其PaaS的性能、健壯性更高。利用這兩種資源互補架構(gòu)系統(tǒng)時，阿里云的PaaS必須能夠操控天翼云IAAS 的API，比如要讀取相應(yīng)的VPC信息。

5.3 使用不同IAAS上的SaaS

該模式相對簡單，從其他云上采購SaaS服務(wù)，用戶在使用 SaaS時，無須關(guān)注后端的IaaS的API，由 SaaS進行對接。

6 結(jié)語

目前各大云商均推出了自身的大數(shù)據(jù)服務(wù)及多云互聯(lián)服務(wù)，而企業(yè)在多云戰(zhàn)略上不僅限于簡單地部署多云，而需要更多場景化服務(wù)的內(nèi)容與能力，靈活地在不同的云間存儲數(shù)據(jù)、調(diào)度算力，更好地響應(yīng)業(yè)務(wù)發(fā)展需求。展望未來五年，圍繞著大數(shù)據(jù)和多云應(yīng)用，必將有更多的技術(shù)創(chuàng)新，誕生全新的商務(wù)模式。