混合云的接入正确姿势
在今年的双11场景下,混合云产品很好的支撑集团大促业务,而在混合云的实践过程中,如何将传统的IDC机房接入公共云,并使两者非常好的配合起来工作,这是一个非常重要的话题,可以说,关系到混合云的成败。
不仅仅是双11,混合云未来会应用在各种各样的场景中,今天的老司机是阿里云的网络大牛杨曦,今年已经是杨曦参加的第五个双11,老司机将和大家谈谈混合云接入的正确姿势和那些年遇到过的坑。
谈谈混合云的两个关键:
第一个坑是安全,业务搬到公共云上第一个遇到挑战的就是安全问题,如果没有正确的姿势,就很难在公共环境下保护企业客户的数据安全。
第二个坑则是网络连通性,以阿里为例,现有的机房体系已经非常庞大,业务发展那么多年有越来越多的共享,和中间件组件部署在集团的内部,像buc,HSF configserver,淘系的业务依赖商品,交易等信息,系统上线需要走aone来打包发布等等,和很多在上云过程中的企业一样,并不是所有业务都做到了单元化,可以独立部署出去,如果网络上不能够联通,上云也会成为空谈。
解坑过程:我们就以阿里云的VPC为例,谈谈怎样解决这两个问题以及背后混合云应用更多的接入问题。那么什么是阿里云VPC呢?VPC是专有网络(Virtual Private Cloud)的缩写,让用户基于阿里云构建出一个隔离的网络环境,可以完全掌控自己的虚拟网络,包括选择自有 IP 地址范围、划分网段、配置路由表和网关等。
一般来说,典型的VPC场景有:
- 场景一:用户按照自己的网络规划创建专有网络、交换机,并在该专有网络中创建云产品实例(如ECS、RDS、SLB、OCS等)并使用,网络环境和外部用户完全隔离,符合集团完全隔离等级要求
- 场景二:通过物理专线将自有数据中心和阿里云VPC连接起来,实现用户网络与阿里云专有网络之间的内网互通,支持2条线路通过链路汇聚方式实现主备或双活。
双11大促中的混合云网络架构实例:
- 通过vpc网络隔离实现公有云场景下集团业务和外部业务的隔离,经过安全同学验证符合集团安全策略和隔离要求
- 通过高速通道专线实现和集团actn和vpc的打通
- VPC 内部IP由阿里集团网络同学统一规划,保证在集团内部的唯一性(集团资源需要统一进入armory进行生命周期管理,这样才可以保证aone,alimonitor等系统可以识别云上资源,并进行相应的运维管理操作)
- 数据库层面采用tddl+tds的方案,RDS全兼容alisql无需任何改动即可完全迁移,通过DTS工具可以很轻松把集团内部已有数据迁移到云上来
- 数据访问依旧使用集团内部TDDl,对于应用程序来说可以做到透明,0改动
- 通过DBfree录入RDS数据库可以轻松实现idb管理访问问题,云上rds可以理解为新增一个数据单元
- 中间件层面HSF路由发现通过skywalk可以支持EDAS和内部configserver路由互相发现,云上云下支持互相HSF互相调用
- MQrouter支持云上云下消息互相同步,轻松解决消息转发消费问题
- 目前aone已经支持云上分组的单独发布和管理,可以区分云单元和非云单元
- 数据回流通过TT客户端回流到集团odps集群弹内数据统一进行离线分析
使用阿里云的高速通道技术,可以将不同网络环境连通,七网隔离的集团生产和弹外环境在可靠的安全保障下进行互通,不再需要绕行公网,即使海外业务,也可以享受到内网通信一般的低延迟和高带宽。同时,阿里云高速通道支持多条专线冗余,产品和集团基础设施享有同等SLA保障,保障了网络间通信稳定可靠。无论是多中心部署、还是物理机房与云上资源组成融合网络、或是进行多条专线容灾,高速通道提供的灵活网络拓扑能力都能轻松实现,特别适合现在有出海业务需求。
目前已经实现:杭州region,上海region,香港region,新加坡region,美国region和弹内的高速通道的打通,后续根据业务需求计划开通北京,深圳以及德国,总之一句话阿里云已经开放的公共云region都可以根据业务需求情况实现和弹内的互通。
更重要的是,在这个过程中,还有专家护航服务:目前阿里云有专门的专家服务团队目前在统一支持集团内外的企业和业务上云,可以帮助大家一起来分析实际的业务需求,给出最合理的架构方案来帮助大家完成业务迁移。
老司机的几点建议:
- 云计算不是简单的物理机虚拟化,更是一种计算和服务能力的体现,所以不能以一种传统的IDC资源的思维使用云资源,VPC也一样。
- 很多技术同学希望调用阿里云底层来直接控制物理机资源,阿里云的飞天调度系统做了很多调度层面(安全性,碎片,调度策略等)的分配优化,如果直接使用物理机那也就失去了使用云计算的意义。
- 关于上云以后代码改造问题,上云就像搬新家总会有一些新购和舍弃。目前云上的产品大多是阿里云内部精华技术的沉淀,希望大家以一种开发的心态来用拥抱云计算。
