傳統(tǒng)企業(yè)云化IT架構(gòu)建設(shè)之路

深信服云計(jì)算BU架構(gòu)師,擁有近10年云計(jì)算領(lǐng)域,核心底層技術(shù)研發(fā)工作。熱愛開源社區(qū),OpenStack,SDN,PAAS專家,挖掘發(fā)表多項(xiàng)核心專利。作為云計(jì)算架構(gòu)師,主導(dǎo)超融合,私有云,混合云等架構(gòu)產(chǎn)品化落地,參與電信,金融等行業(yè)云化數(shù)據(jù)中心解決方案,SDN/NFV及應(yīng)用架構(gòu)轉(zhuǎn)型專項(xiàng)工作。

分享大綱:

• 傳統(tǒng)企業(yè)IT架構(gòu)演進(jìn)及核心訴求

• 深信服云體系架構(gòu)介紹

• 超融合aCloud+aCMP架構(gòu)設(shè)計(jì)

• 數(shù)據(jù)中心可靠性能力建設(shè)

• 數(shù)據(jù)中心安全能力建設(shè)

結(jié)合過去數(shù)字化轉(zhuǎn)型實(shí)踐,介紹企業(yè)IT架構(gòu)演進(jìn)思路和核心訴求,通過深信服超融合架構(gòu)和云管一體化架構(gòu)滿足廣泛應(yīng)用,打造安全可靠數(shù)據(jù)中心!

一、傳統(tǒng)企業(yè)IT架構(gòu)演進(jìn)及核心訴求

目前而言,越來越多的傳統(tǒng)業(yè)務(wù)客戶選擇把核心的應(yīng)用或數(shù)據(jù)上云。超融合憑借其把計(jì)算網(wǎng)絡(luò)存儲安全融為一體的架構(gòu),很靈活滿足了整個傳統(tǒng)企業(yè)的IT應(yīng)用。

隨著核心的應(yīng)用上云之后,可能會涉及到另外一個問題,即整個數(shù)據(jù)可靠性的保障和容災(zāi)中心的建立,包括本地容災(zāi),異地容災(zāi)兩地三中心的架構(gòu)體系的建設(shè),整個體系完全是為了滿足傳統(tǒng)企業(yè)虛擬化云化之后的過程。

但另一方面某些創(chuàng)新型的應(yīng)用,比如AI大數(shù)據(jù),包括在整個公有云服務(wù)體系上,一些模型場景的具象化服務(wù)能力輸出之后,部分客戶對公有云的能力開始有一些訴求,整個業(yè)務(wù)就必須要從私有的數(shù)據(jù)中心,或者單一的云環(huán)境要向多元業(yè)務(wù),或者說像混合云這方面去傾斜。

有些客戶可能對公有云有特殊的要求,比如專屬云,或者托管服務(wù)。整個基礎(chǔ)設(shè)施這一層的構(gòu)成,從深信服過去實(shí)施的大量項(xiàng)目中,得到一個很大的實(shí)踐訴求,就是一定是要求穩(wěn)定安全可靠和高性能的基礎(chǔ)設(shè)施。

基于整個底層的架構(gòu)之上,還會進(jìn)一步引申出來一個對底層多集群多業(yè)務(wù)多租戶的一個管理訴求。云管理平臺(CMP)的主要職責(zé)就是體現(xiàn)多租戶業(yè)務(wù),包括計(jì)量計(jì)費(fèi)、自服務(wù)體系、以及服務(wù)目錄等一些建設(shè)。

深信服把所有的訴求做了一個中心化的具象,抽象開來說,第一個基礎(chǔ)的服務(wù)模塊叫資源池,是統(tǒng)一管理底層的虛擬化資源和多集群等,然后體現(xiàn)多租戶能力,設(shè)置配額,發(fā)放資源等。

第二個是監(jiān)控中心,即可以對業(yè)務(wù)進(jìn)行端到端的檢測和告警,收集相關(guān)日志,包括數(shù)據(jù)探測、性能探測等。另外一個是可靠性中心,即整個數(shù)據(jù)中心的可靠性的建設(shè)。做兩方面去拆解,一個是在整個可視化上做了全面可視化的管理。第二個就是依賴底層虛擬化的技術(shù),能夠?qū)崿F(xiàn)備份,容災(zāi)等能力。

另外一個就是多云,整個管理功能就是要給公有云和私有云提供一致性的操作體驗(yàn)。在整個資源池入口,發(fā)放一個虛機(jī),它的資源池是可以選擇私有云,也可以選擇公有云進(jìn)行發(fā)放。實(shí)際上對于傳統(tǒng)的制造業(yè)來講,會存在特別多的分支機(jī)構(gòu),而且很多是部署在多個地方,我們的超融合集群可以部署不同的地方,然后通過CMP平臺統(tǒng)一管理起來。

還有一個能力中心是安全中心,以往整個傳統(tǒng)IT建設(shè)是有安全邊界的,并且借助一些具體的安全廠商的能力去做安全的區(qū)域防守或區(qū)域的這種保護(hù)。隨著業(yè)務(wù)云化之后,上了虛機(jī)之后,實(shí)際上邊界保護(hù)變得越來越模糊了,而且虛擬化的安全的防護(hù)會讓客戶會變得更加困難。

整個安全中心,借助安全產(chǎn)品和優(yōu)勢,集成虛擬化的能力,從虛擬化底層到整個安全資源池,包括整個安全服務(wù)體系的建設(shè),為客戶的整個安全等保業(yè)務(wù)打造了一個非常安全的體系。

基于安全中心之上,還有兩大中心,一個是應(yīng)用中心,隨著現(xiàn)在越來越多的客戶對云原生應(yīng)用的場景訴求,包括容器、服務(wù)目錄等,用戶通過應(yīng)用中心的視角,把企業(yè)固有的一些IT應(yīng)用進(jìn)行模板化和編排。在整個應(yīng)用中心里,可以提供各種各樣的服務(wù)目錄,包括大數(shù)據(jù)服務(wù),數(shù)據(jù)庫RDS服務(wù)的一些應(yīng)用,這是應(yīng)用中心的構(gòu)成。

最后一個是運(yùn)營中心,就是把整個云體系的解決方案給到更多的企業(yè)和客戶,實(shí)際上這個階段會碰到一個問題,就是如何把云數(shù)據(jù)中心的能力往垂直行業(yè),或者說往自己的渠道商輸送。這需要一個運(yùn)營體系去支撐,包括整個服務(wù)商的管理計(jì)量計(jì)費(fèi),VDC虛擬數(shù)據(jù)中心和運(yùn)維體系的構(gòu)成。

整個CMP的訴求實(shí)際上就是需要完成對廣泛業(yè)務(wù)形成一個支撐,并且能夠適應(yīng)整體企業(yè)傳統(tǒng)轉(zhuǎn)型過程中業(yè)務(wù)架構(gòu)的變化,從而能更好的支持上層傳統(tǒng)數(shù)據(jù)庫和新型應(yīng)用。

二、深信服云體系架構(gòu)介紹

實(shí)際上產(chǎn)品體系可以分為幾大模塊,最下面是資源池的訴求,通過自己的超融合架構(gòu)acloud去交付整個虛擬化資源池的能力,然后基于acloud之上,形成AC MP的云管平臺。

基于這個平臺之上,為更大的客戶和集團(tuán)輸出MSP運(yùn)營商管理平臺,它可以把云的能力變成行業(yè)的解決方案或垂直的解決方案,并且把這種能力很好的為其他客戶或同行去進(jìn)行輸出。

整個運(yùn)維平臺和服務(wù)體系的打造,結(jié)合了公有云運(yùn)維。在幫助企業(yè)客戶運(yùn)維的過程中,逐步形成了這樣的一個運(yùn)維平臺,可以交付給客戶。通過運(yùn)維平臺更好地實(shí)現(xiàn)對數(shù)據(jù)中心的管理,也可以通過運(yùn)維平臺幫助客戶代運(yùn)維和管理。

整個云的業(yè)務(wù)體系介紹完成之后,接下來我會分解一下支撐整個云業(yè)務(wù)體系的超融合架構(gòu)和acmp的管理平臺。過去在大型項(xiàng)目的實(shí)施過程中,都會有這樣一個感受,就是必須要有一個統(tǒng)一標(biāo)準(zhǔn)的公共框架來支撐整個產(chǎn)品的引進(jìn)過程。

隨著并發(fā)項(xiàng)目的增多,整個開發(fā)團(tuán)隊(duì)能力的邊界其實(shí)是參差不齊的,大家對規(guī)范的遵守,以及一些公共組件的使用,實(shí)際上也是不標(biāo)準(zhǔn)的。這樣會導(dǎo)致整個產(chǎn)品體系和平臺體系慢慢的進(jìn)行腐化,腐化到一定過程就會導(dǎo)致必然要采取措施對這個架構(gòu)要進(jìn)行重構(gòu)。

在重構(gòu)的過程中,會整合客戶的需求。實(shí)際上自己的開發(fā)速度也很慢,會拖累整個產(chǎn)品的迭代速度。舉個列子,阿里云把電商的一些模型也進(jìn)行了服務(wù)化的框架輸出,包括在阿里云上類似EDAS的服務(wù),把電商的基礎(chǔ)服務(wù)框架進(jìn)行產(chǎn)品化輸出之后,可以很好地支撐同行企業(yè)的快速創(chuàng)新和產(chǎn)品開發(fā)。

想進(jìn)行電商業(yè)務(wù)嘗試的企業(yè),可以很快把底層的基礎(chǔ)架構(gòu)構(gòu)建起來。深信服也有這樣的一個基礎(chǔ)框架叫phoenix框架。實(shí)際它是由這幾部分組成,底層框架,中間件和業(yè)務(wù)應(yīng)用app,最底層都是要依賴一個體系的服務(wù)框架。

在開發(fā)隊(duì)伍里面,采用多進(jìn)程或協(xié)程的模式,或者是微服務(wù)這樣一種形態(tài),都是屬于底層服務(wù)框架。服務(wù)框架實(shí)際上是作為底層的一個插座。基于服務(wù)框架之上,可能還會依賴很多中間件,包括擴(kuò)展模塊,比如說整個日志的處理。

配置的管理操作,還有整個國際化翻譯,包括整體測試框架的遵守,實(shí)際上是整個中間件的組成。這些中間件經(jīng)過一定的封裝適配之后提供標(biāo)準(zhǔn)的公共接口,開發(fā)人員只需要遵守公共接口,后臺整個中間件的能力建設(shè),由整個后臺的底層框架去保障的。

基于上面來做業(yè)務(wù)需求的轉(zhuǎn)化,當(dāng)開發(fā)人員或產(chǎn)品經(jīng)理接到新的需求時,實(shí)際上有開發(fā)人員只是把業(yè)務(wù)需求轉(zhuǎn)化成具體的一個業(yè)務(wù)應(yīng)用,它并不關(guān)心底層實(shí)際應(yīng)用是多進(jìn)程還是多線程。

在整個體系架構(gòu)向前引進(jìn)的過程中,底層是用微服務(wù)架構(gòu),還是用容器去部署,作為APP來講實(shí)際上是解耦的。也就相當(dāng)于把開發(fā)人員的角色跟整個底層框架的角色進(jìn)行區(qū)分,這樣的話整個業(yè)務(wù)在開發(fā)和部署速度上都會加快起來。

三、超融合aCloud+aCMP架構(gòu)設(shè)計(jì)

整個Phoenix基礎(chǔ)框架的底層,實(shí)際上把通用服務(wù)能力,比如說外部響應(yīng)的這種服務(wù)能力,一些周期任務(wù),這種RPC還有日志公共的進(jìn)行一層封裝,基于這個框架上進(jìn)行上層APP的開發(fā),拿到phoenix基礎(chǔ)框架的開發(fā)人員。

第一個命令可以很快創(chuàng)建一個項(xiàng)目,第二個是創(chuàng)建項(xiàng)目之后對整個服務(wù)進(jìn)行開發(fā)。如果把這個框架拿去要做一個用戶管理系統(tǒng),可能有一個APP是用戶賬號,一個是認(rèn)證APP,這些APP之間的內(nèi)部可以通過RPC調(diào)用,也可以通過http調(diào)用。

對于超融合架構(gòu)來講,基于通用X86服務(wù)器上進(jìn)行去中心化設(shè)計(jì),整個主控節(jié)點(diǎn)是通過集群的通信去自動選舉出來的,當(dāng)發(fā)生網(wǎng)絡(luò)或者服務(wù)器宕機(jī)的故障后,對整個主控節(jié)點(diǎn)會進(jìn)行重新選取,這就是去中心化設(shè)計(jì)的架構(gòu)原則。

而后臺實(shí)現(xiàn)這種技術(shù)實(shí)際上用到了一個集群文件系統(tǒng),它分布于每一個X86的節(jié)點(diǎn)上,對所有虛擬化資源的配置信息進(jìn)行存放。無論哪個節(jié)點(diǎn)掛了,另外的節(jié)點(diǎn)會對這些配置數(shù)據(jù)的一些恢復(fù),這是集群文件系統(tǒng)的一個技術(shù)采用,整個超融合架構(gòu),可以把計(jì)算網(wǎng)絡(luò)存儲安全融合于一體,然后支持提供給客戶這樣一個特別簡單容易部署的架構(gòu)。同時也可以進(jìn)行計(jì)算和存儲分離和混合部署。

整個超融合架構(gòu)的基礎(chǔ),實(shí)際上就是最下面的計(jì)算存儲網(wǎng)絡(luò)的虛擬化,持續(xù)的會在整個底層的虛擬化平臺上打造,為了滿足客戶穩(wěn)定可靠安全高性能的訴求,會持續(xù)的打磨整個底層平臺。

從存儲網(wǎng)絡(luò)計(jì)算上,可能會去對比一些友商,或者一些性能去進(jìn)行測試,在更多的用戶場景上,更好地保證整個應(yīng)用的運(yùn)行。aCMP架構(gòu)對于云管平臺來講其實(shí)并不陌生,都是開源的。

我們對云管平臺進(jìn)行了重新的設(shè)計(jì),其原因有以下幾點(diǎn):

第一點(diǎn), 實(shí)際上,整個openstack隨著社區(qū)化的運(yùn)作和發(fā)展,其實(shí)整個體系已經(jīng)非常龐大了,它的業(yè)務(wù)模塊以及整個交互,整個業(yè)務(wù)流程變得相當(dāng)?shù)膹?fù)雜。

第二點(diǎn), 社區(qū)化的版本向前引進(jìn)的過程跟產(chǎn)品化的整個配套過程是很難融合在一起的。作為產(chǎn)品來講,我們必須要響應(yīng)客戶的定制化的需求,從而滿足客戶脫離整個社區(qū)以外的其他功能。

雖然整個架構(gòu)的底層組件,比如說計(jì)算存儲網(wǎng)絡(luò)組件,實(shí)際上底層的代碼風(fēng)格,包括組織都千差萬別。這樣就會給整個開發(fā)團(tuán)隊(duì)帶來許多問題,如何建立這樣的過程以及維護(hù)。

所以基于此,我們對整個aCMP架構(gòu)設(shè)計(jì)做了一些變動。對比較成熟的一些公共組件,比如說用戶認(rèn)證管理體系,數(shù)據(jù)采集等,會基于框架做相關(guān)擴(kuò)展開發(fā)。

這是整個CMP體系,上層是一個適配層,適配層主要是去區(qū)分用戶界面和后端模塊化設(shè)計(jì)的適配。

后端的業(yè)務(wù)模塊化劃分之后,需要在上層進(jìn)行數(shù)據(jù)的聚合,包括很好的用戶體驗(yàn),必然就會把多個模塊的數(shù)據(jù)需要組裝在一起。比如在虛擬機(jī)列表里面,它可能同時需要計(jì)算模塊的虛擬機(jī)信息,同時又需要告警模塊或監(jiān)控模塊。

那這些數(shù)據(jù)需要單個模塊去調(diào)試接口,從產(chǎn)生這樣的一些數(shù)據(jù),最終提供給客戶,需要很久的響應(yīng)時間。由此可見,這種體驗(yàn)是非常差勁的。在此我們用了一個適配層,但是整個aCMP設(shè)計(jì)架構(gòu)的亮點(diǎn),就是采用了portal-api和數(shù)據(jù)查找?guī)靗ibselect打造的。

為了更好地滿足用戶體驗(yàn),包括整個界面的響應(yīng)請求。我們用了一個緩存層,實(shí)際上是快速地把后臺各個模塊的數(shù)據(jù)進(jìn)行一個聚合,融合之后能夠呈現(xiàn)在這個界面上,使其用戶訪問數(shù)據(jù)的時候,不需要按照傳統(tǒng)已有的模塊分別查詢數(shù)據(jù)。

但是引入緩存層之后,會面臨一個問題。對于整個實(shí)時數(shù)據(jù)的請求,比如說我在上層創(chuàng)了一個虛機(jī)之后,如何能夠快速地把下面創(chuàng)建的虛機(jī)信息刷到訪談層里面,其實(shí)這里面涉及了一個reflesh機(jī)制,是對它的整個用戶請求的讀與寫進(jìn)行了分離。

在寫請求完成之后,會自動帶入已同步的數(shù)據(jù)刷新到緩存,這是一個數(shù)據(jù)同步和一致性設(shè)計(jì)。

整個CMP對于多云的或者第三方云的托管,實(shí)際上都有一個最大的困難,就是公有云的各個廠商,它的整個接口形式,包括數(shù)據(jù)模型千差萬別。在混合云管理平臺里,我們用了多云模板,并將其能力進(jìn)行抽象。最后統(tǒng)一把整個云能力拉管起來,提供這種一致性的操作。

四 、數(shù)據(jù)中心可靠性能力建設(shè)

可靠性中心,實(shí)際上分為兩個版塊。第一塊就是可視,能夠從整個硬件資源,包括平臺的服務(wù),CPU,或者網(wǎng)口和數(shù)據(jù)的容災(zāi)備份,進(jìn)行統(tǒng)一的全局可視化服務(wù)。

這樣針對傳統(tǒng)企業(yè)來說,或者IT運(yùn)維能力相對比較差的客戶。在整個可視化的過程當(dāng)中,可以快速地發(fā)現(xiàn)整個平臺存在的問題。這個能力就是可視化的一個能力輸出。

第二塊就是對于整個數(shù)據(jù)的容災(zāi),傳統(tǒng)的數(shù)據(jù)庫首先建立容災(zāi)和備份的機(jī)制,然后是生產(chǎn)的節(jié)點(diǎn)和恢復(fù)節(jié)點(diǎn),它們之間可以通過底層虛擬化的數(shù)據(jù)進(jìn)行實(shí)時的備份同步。當(dāng)虛機(jī)數(shù)據(jù)受損時,可以從本地的備份進(jìn)行恢復(fù),也可以在恢復(fù)站點(diǎn)里面,通過恢復(fù)中心同步回來。

對于不同保護(hù)組的應(yīng)用,進(jìn)行這種保護(hù)策略,來設(shè)置它的RPO和RTO。然后對本地的備份和實(shí)時的云端進(jìn)行容災(zāi),然后看到整個業(yè)務(wù)保護(hù)組策略,一個全局關(guān)聯(lián)關(guān)系。

五、數(shù)據(jù)中心安全能力建設(shè)

整個可靠性的能力打造之后,實(shí)際上在面向更多的客戶輸出,包括目前來講對于整個云平臺的安全治理的產(chǎn)出規(guī)范之后,借助于安全廠商的這些優(yōu)勢,在整個云平臺上做了很多關(guān)于安全體系架構(gòu)設(shè)計(jì)的內(nèi)容。

作為在CMP上的獨(dú)立安全中心,能夠?qū)崿F(xiàn)整個云平臺的安全策略體系。在平臺層提供了一個虛擬化安全,在網(wǎng)絡(luò)整塊虛擬化安全上一系列安全防護(hù),使得在整個虛擬化平臺層能夠幫助客戶減少很多的安全配置。

安全的運(yùn)維會把整個安全體系和安全能力,作為一個安全資源池來統(tǒng)一編排?;蛘咄ㄟ^安全組件化,在整個超融合架構(gòu)里面,幫助客戶能夠在安全能力建設(shè)上達(dá)到安全擔(dān)保和行業(yè)行規(guī)的標(biāo)準(zhǔn)。

安全服務(wù)體系可以通過安全服務(wù)化的能力,幫助客戶在云平臺建設(shè)過程中達(dá)到安全的指標(biāo),包括整個安全事故或安全保障,基于所有底層的虛擬化安全和安全配置,包括整個安全資源池。

在上面有一個全局的SIP(態(tài)勢感知平臺),它可以實(shí)現(xiàn)對于整個平臺的統(tǒng)一監(jiān)測,包括數(shù)據(jù)分析,借助大數(shù)據(jù)和AI的后臺,進(jìn)行一些訓(xùn)練和學(xué)習(xí),可以實(shí)時地把整個病毒庫和所有的安全體系,能夠在整個態(tài)勢感知平臺里進(jìn)行一個展示。最終達(dá)到一個可視可控的平臺,從而靈動地響應(yīng)整個安全事件。

推薦DIY文章
京東PLUS會員年卡76元-全球滾動
聯(lián)想小新Air14 2023公開部分規(guī)格:新筆電將搭載下沉式鍵盤
朗科新推絕影NV5000-t固態(tài)硬盤 溫控技術(shù)更高 售價暫未公布
2022款iPadPro將可使用視頻編輯軟件達(dá)芬奇 使用軟件更專業(yè)
蘋果全新推出AppleTV 4K產(chǎn)品:流式傳輸可以千兆以太網(wǎng)進(jìn)行
智己L7SnakePerformance高性能版:新車瞄準(zhǔn)數(shù)秒級圈速提升
精彩新聞

超前放送