摘要:華爲雲Stack通過聯邦認證、聯邦目錄、聯邦流程構建雲聯邦技術,幫助企業以較低的成本實現混合雲,企業內連雲成片,資源共享,達成降本增效的目的。
本文分享自華爲雲社區《【華爲雲Stack】【大架光臨】第8期:“雲聯邦”構建連雲成片、無縫混合的一朵雲》,作者: 華爲雲Stack雲管平臺架構師 胡堃。
“一朵雲”難題
混合雲和多雲已經是IT部署的新常態。很多企業裏,業務會分別部署在公有云和私有云上,甚至多個私有云中,而多個平臺和業務從管理、部署、協同等方面是相對割裂的。這種多雲管理的割裂,對企業而言就是在建設煙囪式的雲,無法滿足IT高效管理和企業業務發展的要求。
需要一種技術,幫助企業需要建立規模更大服務更加豐富的雲來支撐企業業務的持續發展。理想情況下,企業建立一朵大雲,通過業務遷移、數據割接等方式將現有各級組織的雲收編,然而具體到實施層面卻很難落地,究其原因,概括起來主要有下面三點:
1. 業務問題:現有的雲平臺上已經運行了很多業務應用,而業務遷移、數據割接會導致業務應用停機斷服,對企業業務發展可能產生不利的影響;
2. 技術問題:現有云平臺的技術棧層次不齊,跨技術棧的業務應用遷移難以實現,即使是相同廠商的不同版本的雲平臺,也需要藉助專門的遷移工具來實施,遷移時間長且有一定的出錯概率;
3. 組織問題:現有云平臺的運營運維組織各不相同,難以統一到一個集中組織來負責企業內全部的雲平臺。
爲幫助企業加速進行數字化轉型,華爲雲Stack通過雲聯邦技術來幫助企業克服上述困難,以較低的成本實現無縫混合雲,企業內連雲成片,資源共享,達成降本增效的目的。
雲聯邦的三個黑科技
針對企業中現有的多朵獨立自治的雲,華爲雲聯邦技術並不改變現有云的歸屬權,也不改變當前的運營運維和使用方式,在現有云上運行的業務應用仍然由現有的組織或部門負責,無需進行復雜的遷移操作。那麼雲聯邦是如何實現將多朵雲連雲成片的呢?我們以多套華爲雲Stack協同爲例,爲大家介紹以下三個關鍵技術:
一、 聯邦認證
要將多個分散的雲聯接起來,首先要解決的問題就是用戶認證和訪問權限的問題。通過基於SAML 2.0的聯邦認證技術,可以讓原本屬於不同雲平臺的用戶,能夠在同一個雲平臺上被正確識別,並獲得對應的身份和權限,從而實現一次登錄就可以使用多個雲平臺資源的目的。
如上圖所示,部門一的雲平臺用戶張三,登錄本部門的雲平臺A,再訪問部門二的雲平臺B,如果雲平臺A與B之間建立了聯邦認證,那麼張三就可以無需二次登錄到雲平臺B就可以訪問雲平臺B的雲服務和資源。
通過聯邦認證,使得不同企業組織的人員可以使用本組織的雲平臺賬號自由訪問和使用其他組織的雲平臺,實現企業內不同組織的雲平臺的資源共享。
二、 聯邦目錄
雖然連雲成片的目的是爲了將雲平臺的資源進行共享,然而具體到某個部門的雲平臺,並不是所有的雲服務都可以被共享出來供其他部門使用,因此這個時候就需要建立所謂聯邦目錄。每個雲平臺都可以建立多個聯邦目錄,爲每一個聯邦關係設定關聯的聯邦目錄,其中包含允許聯邦訪問的雲服務。
如上圖所示,部門一的雲平臺A和部門二的雲平臺B建立聯邦關係,雲平臺A的用戶可以共享使用雲平臺B的雲服務,此時雲平臺B的管理員可以在雲平臺B上建立聯邦目錄,允許雲平臺A的用戶訪問指定範圍的雲服務。雲平臺A通過聯邦關係讀取到雲平臺B設定的聯邦目錄,將其映射爲雲平臺A的一個遠端Region,這樣雲平臺A的用戶就可以像使用雲平臺A的本地雲服務一樣使用雲平臺B的雲服務,無需關心雲服務的實際部署位置。
聯邦目錄使得部門可以根據自身雲平臺的能力以及聯邦的需求方來設定和發佈聯邦服務目錄,避免共享雲服務範圍的擴大化。對於一個大型集團型企業來說,更好的做法是建立一個大規模並且具有豐富雲服務的雲平臺,通過聯邦目錄將集團雲平臺的全部雲服務能力注入到各級組織的現有云平臺中,同時鼓勵和牽引各級組織充分使用集團雲平臺的服務能力,從而逐步將各級組織的業務應用平滑遷移到集團雲平臺之上。
三、聯邦流程
企業中各種服務的申請和使用都離不開相應的流程,那麼對於申請和使用雲聯邦共享的雲服務更是如此。雲服務的管控流程通常分爲三個部分:事前預算(雲服務配額)、過程控制(申請審批)、和事後審計(雲服務計量)。對於雲平臺本地服務而言,上述流程控制都在本地完成,但是對於通過雲聯邦共享引入的雲服務,技術原理上有所不同。
如上圖所示,部門一的雲平臺A與部門二的雲平臺B建立聯邦關係,共享雲平臺B的雲服務,那麼雲平臺A的用戶在申請雲平臺B的聯邦目錄中共享的雲服務S之前,首先必須由雲平臺B的管理員在雲平臺B配置可被共享的雲服務S的配額,當雲平臺A檢查到雲服務S的可用配額大於申請量的時候,才允許提交申請。提交的申請跟其他雲平臺A的本地雲服務申請一樣,經過在雲平臺A預配置的申請審批流程,才真正在雲平臺B分配出對應的雲資源。那麼在使用雲服務S過程中產生的雲服務計量數據,將被雲平臺B採集並同步到雲平臺A,兩個雲平臺的管理員均可以查看到共享的雲服務S的計量統計數據。
聯邦流程使得在企業內通過聯邦共享的雲服務與本地雲平臺上的雲服務一樣受到標準化的雲服務管控流程,滿足在企業內申請和使用雲服務的規範性要求。
雲聯邦實踐
通過華爲雲平臺管理系統ManageOne來建立多朵雲的聯邦,不僅僅實現了上述聯邦認證、聯邦目錄、聯邦流程的關鍵能力,同時還在多級組織管理、一站式雲資源運維監控上有提供了更多的能力。華爲雲聯邦技術不僅適用於企業私有云和公有云的混合管理場景,也適用於大中型企業分階段建雲用雲的場景,爲企業和組織提供多雲一雲的管理體驗,爲加速企業數字化轉型鋪平道路。
基於雲聯邦,華爲雲Stack幫助中國人壽構建了一朵智慧保險雲。通過使用公有云彈性公網IP和CDN,每年節省約3000萬元,降低了70%的網絡成本。公有云承載活動平臺前端應用,彈性擴容敏捷快速,滿足6.16客戶節、雙11、雙12等促銷節點期間促銷業務訴求,保障全年10W+次營銷活動。非活動期間釋放不必要資源,節省了30%以上IT開支。
基於雲聯邦,華爲雲Stack爲某大型製造集團多個雲平臺之間實現聯動。集團總部雲部署了豐富的雲服務,且資源有結餘,而分支雲僅部署ECS等基礎服務滿足日常辦公OA訴求。當集團分支雲進行業務創新,需要使用GPU雲主機、大數據、AI等能力時,無需自建,通過雲聯邦一鍵借用總部資源即可,避免企業重複建設,減少投資。