混合云到底是啥？阿里云核心技術(shù)團(tuán)隊(duì)告訴你答案！

你真的了解混合云嗎？讓我們看看該領(lǐng)域的領(lǐng)航者是怎么說的吧！

01

混合云定義

目前混合云沒有精確的定義，從NIST 的定義中可歸結(jié)出混合云的一般性定義：多個(gè)云之間互聯(lián)的IT 架構(gòu)。

從這個(gè)定義可以得出如下形式的云混合：

公有云之間的混合。

私有云之間的混合。

公有云和私有云的混合。

公有云和傳統(tǒng)IT 的混合。

在概念上，多個(gè)云的混合與多云很像。

多云本身也沒有精確的定義，但一般認(rèn)為它與混合云的區(qū)別在于：

混合云需要通過專線或 VPN 來連接各個(gè)相關(guān)云，而多云則不必這樣做，多云通過CMP（Cloud Management Platform）即云管平臺(tái)來管理多個(gè)云。

混合云關(guān)注云資源之間的互聯(lián)，以便應(yīng)用能相互通信，而多云則關(guān)注云資源的管理，其主要通過OpenAPI 來管理云。

我們不討論多云，主要關(guān)注混合云。

下面分別對(duì)上述各種云混合的形態(tài)進(jìn)行分析。

02

云混合的形態(tài)

1. 公有云之間的混合

公有云之間的混合其實(shí)發(fā)展得比較早，鑒于有些用戶不希望依賴某個(gè)具體的云廠商，或者事實(shí)上不能依賴單個(gè)廠商，這時(shí)跨云架構(gòu)便比較合適。

實(shí)際上，市場上有很多工具可以幫助用戶支持多云架構(gòu)，比如HashiCorp 的Terraform就是流行的跨云部署工具，其試圖抽象化基礎(chǔ)架構(gòu)模型，屏蔽各云之間的IaaS具體差別。

2. 私有云之間的混合

這種混合一般是同一種私有云的連接。一般私有云都是一個(gè)公司內(nèi)部的IT架構(gòu)，為了降低運(yùn)維成本，同一個(gè)公司一定會(huì)采用同一套架構(gòu)。

而異構(gòu)的私有云混合，比如VMware 和 OpenStack 之間的混合不是市場主流，這里不會(huì)重點(diǎn)介紹。

3. 公有云和私有云的混合

這種情況是現(xiàn)在混合云的熱點(diǎn)。

如前所述，公有云和私有云各有優(yōu)缺點(diǎn)，它們?cè)谖磥硐喈?dāng)長的一段時(shí)間內(nèi)都將存在，所以各自利用對(duì)方的優(yōu)點(diǎn)是必然趨勢(shì)。

4. 公有云和傳統(tǒng)IT 的混合

注意，就混合云的定義來說，混合云必然是云之間的互聯(lián)，而現(xiàn)實(shí)中仍然大量存在傳統(tǒng)IT + 公有云架構(gòu)。

這種混合從定義上說不是混合云，因?yàn)樵频囊粋€(gè)重要特點(diǎn)是基礎(chǔ)架構(gòu)云化。

但也有人將其歸到混合云下，原因是Gartner 之前將混合云定義為混合的IT 架構(gòu)。從這個(gè)意義上說，傳統(tǒng)IT + 公有云架構(gòu)也算是混合云。

云混合之所以困難，一個(gè)重要原因是在基礎(chǔ)架構(gòu)的云化方面，各廠商都是各自為戰(zhàn)，并沒有一個(gè)標(biāo)準(zhǔn)，而混合云的價(jià)值在于通過連通兩個(gè)或多個(gè)云，盡可能屏蔽它們之間的差異，從而達(dá)到對(duì)公有云的高效利用。

03

混合云架構(gòu)特點(diǎn)

混合云作為一個(gè)覆蓋私有云、專有云、公有云以及線下IDC 的云計(jì)算綜合體，在帶來單一云形態(tài)所不具備的優(yōu)越性的同時(shí)，也為業(yè)務(wù)的架構(gòu)設(shè)計(jì)及實(shí)施部署提出了更高的要求。

在進(jìn)行混合云架構(gòu)設(shè)計(jì)時(shí)，既要關(guān)注各種云形態(tài)的技術(shù)棧差異，也要考慮跨平臺(tái)的產(chǎn)品融合編排，以期實(shí)現(xiàn)跨平臺(tái)的資源整合，為業(yè)務(wù)應(yīng)用帶來更大的價(jià)值。

與傳統(tǒng)單一私有云或者專有云的架構(gòu)相比，混合云架構(gòu)有如下主要特點(diǎn)。

1. 彈性

彈性是云計(jì)算的核心能力之一，它充分提高了業(yè)務(wù)系統(tǒng)的容錯(cuò)能力，在業(yè)務(wù)峰值時(shí)可以在不同的云上快速水平擴(kuò)展，在業(yè)務(wù)低谷時(shí)可以自動(dòng)釋放回收資源。雖然單一云形態(tài)也具備這種特性，但混合云則使這一能力得到了更大的發(fā)揮。

首先，在帶有公有云的混合云場景下，利用云廠商在公有云上的龐大計(jì)算資源池和分布于各地的大型數(shù)據(jù)中心，可以跨可用區(qū)甚至跨地域進(jìn)行彈性伸縮，極大地拓寬了專有云的資源邊界，增加了資源儲(chǔ)備。

其次，混合云的統(tǒng)一開放API 為彈性伸縮提供了最簡捷的使用路徑。例如，使用VMware 進(jìn)行私有云的資源伸縮時(shí)，需要調(diào)用vCenter 的MOB 接口，根據(jù)不同ObjectType 的屬性和方法來進(jìn)行自動(dòng)化程序封裝；而使用阿里云的彈性伸縮時(shí)，只需要通過JSON 或YAML 語法顯式聲明操作需求即可快速獲取資源。

最后，混合云平臺(tái)提供了友好的界面，彈性伸縮通過簡單的白屏化配置即可完成，不需要編寫復(fù)雜的資源監(jiān)測(cè)腳本或者伸縮規(guī)則腳本。

2. 擴(kuò)展性

混合云架構(gòu)設(shè)計(jì)是分布式的典范，其統(tǒng)一API 屏蔽了底層基礎(chǔ)設(shè)施的差異，而且可以快速對(duì)接第三方應(yīng)用。

這種擴(kuò)展能力，在底層上體現(xiàn)為不用將企業(yè)的基礎(chǔ)設(shè)施捆綁在某個(gè)虛擬化技術(shù)平臺(tái)或某個(gè)服務(wù)器機(jī)型上，可以實(shí)現(xiàn)從私有云到專有云再到公有云的ECS、裸機(jī)和VPC 等IaaS 資源納管，輕松地將上層業(yè)務(wù)部署在多個(gè)異構(gòu)環(huán)境中，實(shí)現(xiàn)基礎(chǔ)架構(gòu)的快速擴(kuò)展。

在上層應(yīng)用上則體現(xiàn)為在云原生類和PaaS 類平臺(tái)上，例如阿里云的ACK，在提供標(biāo)準(zhǔn)K8s 能力的同時(shí)，可以通過虛擬節(jié)點(diǎn)和聯(lián)邦等方式納管不同的集群及Workload，將業(yè)務(wù)快速擴(kuò)展部署到不同的云平臺(tái)上。

3. 安全性

安全是信息科技領(lǐng)域中不變的主題，在混合云環(huán)境下，由于邊界的延伸，其安全架構(gòu)的復(fù)雜度要高于單一專有云和私有云的安全架構(gòu)，因此混合云對(duì)安全的設(shè)計(jì)提出了更高的要求。

首先，在異構(gòu)專有云架構(gòu)（相同IDC 或者不同IDC 部署了兩個(gè)云廠商的云平臺(tái)組成混合云）中，由于各廠商的安全產(chǎn)品能力不一致，因此混合云需要統(tǒng)一的安全管理中心，對(duì)異構(gòu)混合云環(huán)境進(jìn)行統(tǒng)一的防護(hù)策略下發(fā)并及時(shí)感知多云的安全事件。

其次，私有云和專有云的安全設(shè)備一般部署在IDC 邊界，而且面向互聯(lián)網(wǎng)的防護(hù)能力受出口限制。要提高帶寬和安全能力，需要采購更高型號(hào)的安全設(shè)備，以及花費(fèi)高昂的成本來增加鏈路帶寬。而采用專有云加公有云雙互聯(lián)網(wǎng)入口組網(wǎng)模式，則需要兩套安全防護(hù)平臺(tái)，在管理和配置上無法實(shí)現(xiàn)聯(lián)動(dòng)。為提高整體安全防護(hù)能力，在《混合云架構(gòu)》一書的6.3.2 節(jié)中提出了一種混合云彈性安全防護(hù)解決方案。

通過利用公有云廠商的海量安全防護(hù)能力，例如DDoS 高防、云WAF、云解析等，實(shí)現(xiàn)互聯(lián)網(wǎng)側(cè)攻擊終結(jié)在公有云側(cè)。從某種程度上看，相當(dāng)于混合云架構(gòu)將安全邊界從企業(yè)IDC 上移到公有云上。

再次，使用混合云對(duì)數(shù)據(jù)保護(hù)和合規(guī)提出了更高的要求。由于混合云擴(kuò)寬了網(wǎng)絡(luò)區(qū)域和物理邊界，而標(biāo)準(zhǔn)的等級(jí)保護(hù)等安全測(cè)評(píng)對(duì)這類場景并沒有細(xì)化的描述，因此使用混合云后，可以在滿足原有安全要求的情況下通過數(shù)據(jù)加密和密鑰管理等進(jìn)行安全加強(qiáng)。

最后，物理安全也是使用混合云的重要考慮事項(xiàng)。云托管已經(jīng)成為未來云計(jì)算發(fā)展的趨勢(shì)，用戶使用混合云架構(gòu)可以節(jié)省IDC 建設(shè)成本，輕松擴(kuò)展業(yè)務(wù)。

關(guān)于如何確保硬件設(shè)備（包括上層數(shù)據(jù)）在非管控IDC 中安全可控，阿里云彈性數(shù)據(jù)中心架構(gòu)給出了很好的答案（見《混合云架構(gòu)》一書的6.3.5 節(jié)）。

04

架構(gòu)設(shè)計(jì)目標(biāo)

以往做架構(gòu)設(shè)計(jì)時(shí)，我們一般都會(huì)先考慮可靠性、安全性、穩(wěn)定性、擴(kuò)展性等基本要素，混合云在滿足上述這些基本工程設(shè)計(jì)原則的同時(shí)，提出了機(jī)房通、網(wǎng)絡(luò)通、數(shù)據(jù)通、應(yīng)用通、管理通的“五通”目標(biāo)，基于“五通”目標(biāo)來考慮每個(gè)層面的業(yè)務(wù)架構(gòu)設(shè)計(jì)。而更大的理論指導(dǎo)層面則是本書的主題：“混合云—新基建”，其理念和方法在《混合云架構(gòu)》一書的第1 章中進(jìn)行了闡述。

1. 機(jī)房通

在混合云架構(gòu)下，機(jī)房底層基礎(chǔ)設(shè)施已經(jīng)不再像傳統(tǒng)架構(gòu)那樣與云平臺(tái)脫離，而是被云管平臺(tái)統(tǒng)一納管。當(dāng)監(jiān)控到某列機(jī)柜用電量過大時(shí)，可以在云管平臺(tái)上將負(fù)載實(shí)例調(diào)度到低負(fù)載的機(jī)柜列；當(dāng)整個(gè)機(jī)房的用電量達(dá)到峰值時(shí)，可以通過GSLB（全局負(fù)載均衡）之類的工具將外部流量分流到其他機(jī)房或者公共云上。這種調(diào)度能力必須建立在基礎(chǔ)設(shè)施數(shù)字化的基礎(chǔ)上，例如，阿里云飛天天基系統(tǒng)就是其中的開創(chuàng)者。

天基是業(yè)界領(lǐng)先的智慧數(shù)據(jù)中心管理平臺(tái)，可以實(shí)現(xiàn)機(jī)架、供電、風(fēng)電冷卻等設(shè)備的對(duì)接，這些基礎(chǔ)設(shè)施被當(dāng)成一個(gè)個(gè)的元數(shù)據(jù)，與服務(wù)器、網(wǎng)絡(luò)設(shè)備等資源一起被云平臺(tái)統(tǒng)一編排和統(tǒng)一計(jì)算，從而實(shí)現(xiàn)機(jī)房的數(shù)字化互通。

2. 網(wǎng)絡(luò)通

網(wǎng)絡(luò)互通是一切資源聯(lián)結(jié)的基礎(chǔ)，主要包括外部系統(tǒng)與云平臺(tái)的互通，以及混合云各平臺(tái)之間的互通。物理底層可以通過城域網(wǎng)、專線、裸光纖等方式實(shí)現(xiàn)鏈路互通，協(xié)議上層可以借助云接入網(wǎng)關(guān)、高速通道或VPN 網(wǎng)關(guān)等產(chǎn)品來實(shí)現(xiàn)數(shù)據(jù)互通，從而滿足公共云與專有云的網(wǎng)絡(luò)互通。在連通性上，混合云架構(gòu)相比傳統(tǒng)架構(gòu)的一大優(yōu)勢(shì)是SDWAN 能力和核心骨干能力，借助云廠商遍布世界各地的數(shù)據(jù)中心，可以實(shí)現(xiàn)多分支的快速接入，成本比對(duì)接傳統(tǒng)運(yùn)營商更低。

3. 數(shù)據(jù)通

在業(yè)務(wù)層面，數(shù)據(jù)互通是指使用阿里云提供的多種企業(yè)級(jí)數(shù)據(jù)同步工具，實(shí)現(xiàn)公共云與專有云的數(shù)據(jù)全量同步、增量同步、備份恢復(fù)等。在管控層面，數(shù)據(jù)互通是指管控平臺(tái)通過統(tǒng)一API 來調(diào)度各個(gè)云實(shí)例，實(shí)現(xiàn)多云納管，例如阿里云的ASCM 平臺(tái)，可以通過統(tǒng)一管控對(duì)接飛天敏捷標(biāo)準(zhǔn)版、飛天企業(yè)版，以及納管VMware、ZStack 等平臺(tái)，實(shí)現(xiàn)管控?cái)?shù)據(jù)的互通。

4. 應(yīng)用通

對(duì)于傳統(tǒng)煙囪式應(yīng)用，從開發(fā)語言到底層的硬件，甚至是機(jī)房、機(jī)架，都有特別的要求，垂直捆綁導(dǎo)致各系統(tǒng)之間相互獨(dú)立，變成一個(gè)個(gè)孤島。在上云過程中，通過使用云平臺(tái)提供的從IaaS 到SaaS 全面覆蓋的產(chǎn)品能力，可以逐步提升應(yīng)用的跨平臺(tái)兼容能力，并通過阿里云的DevOps 平臺(tái)、虛擬機(jī)遷移等工具，實(shí)現(xiàn)同一業(yè)務(wù)集群內(nèi)、不同集群間、跨云平臺(tái)的應(yīng)用互通，以及業(yè)務(wù)快速遷移與部署。

5. 管理通

管理通是指云管控平臺(tái)的互通，基于開放API 所提供的自動(dòng)化管理能力，如云資源管理、編排、告警、監(jiān)控、賬單統(tǒng)一管理等，最終實(shí)現(xiàn)通過混合云管理平臺(tái)管理所有混合云資源，包括公共云資源、專有云資源和私有云資源。比如阿里云的API 網(wǎng)關(guān)產(chǎn)品所提供的混合云API 集中管理功能，可以自助構(gòu)建VPC 與VPC 之間、VPC 與本地?cái)?shù)據(jù)中心之間的集中式API 管理中心。

如今，“上云”已經(jīng)成了必然趨勢(shì)，而混合云又將是云的主要發(fā)展方向。