解密腾讯云技术之三混合云使用场景、关键技术和未来华章KVM社区活动

云技术实践2021-05-02 10:43:11

嘉宾介绍



高航,腾讯云产品策划,负责腾讯云私有网络、专线等产品的策划和运营工作,在to B产品的设计和规划方面有较深经验。熟悉IAAS数据中心底层架构,并对混合云架构及发展有独到见解。目前专注于腾讯云基础IAAS能力的设计和规划部分。



分享主题




混合云使用场景、关键技术和未来

互联网+大环境下,混合云已经成为了企业连接世界的必经之路。本次分享从业务需求出发,分析用户对混合云需求的来源和使用场景,然后从技术角度给出混合云部署的关键能力参考,最后讨论一下混合云的长远发展。


分享实录



大家好,我是高航,腾讯云产品经理,负责VPC、专线这块,今天很荣幸来到这儿和大家分享一下我在腾讯云这边做网络和混合云方面的内容。


国家推出互联网+战略之后,越来越多的企业尝试通过混合云来解决企业IT部署问题。这里大部分是互联网公司,也不乏金融、能源等老牌国字号企业。


宏观层面来看,国外以AWS为标杆的公有云服务已经风声水起,越来越多的公司享受到公有云带来的稳定和便捷;国内云计算行业刚刚兴起,以阿里云、腾讯云为代表的公有云公司也正分别以电商、游戏等切入点攻城略地,市场份额逐步增长,混合云就是在这样一个大背景下萌芽成长起来的。


越来越多的朋友从概念知道云计算是一个好东西,但真正信任且业务已经完全部署在公有云的朋友还是少数,况且运维圈一直相对保守,已有基础设施可以满足要求的情况下一般不愿意做变更。这样的情况下,混合云成为了用户从物理机托管向公有云的过渡的重要引导角色。


混合云的用户使用场景


以腾讯云为例,我们2015年2月份开始提供以私有网络为基础,以VPN、专线互联的混合云解决方案后,已经帮助大众点评、饿了么、webank等客户搭建起数百条VPN、专线连接建立混合云,那这部分用户的真实的诉求是什么呢,我们可以从下面几个案例来看。


第一类,通过混合云应对业务的爆发式增长。大家都知道大多数互联网业务呈指数型增长,很难预测基础设施的储备量。一般在业务成长初期很长一段时间内,小规模的物理机托管可以满足用户需求。但随着市场推广活动展开,业务规模爆发增长,原物理托管机房可部署机位有限,只能选择公有云作为弹性手段,快速部署业务,满足用户需求。


Figure 1爆发型增长的互联网业务


此类用户需求一般对交付时间十分敏感,多数通过IPsec VPN快速建立连接顶住流量,专线到位后再切换专线提供可靠的混合云连接。

此类用户核心痛点:

  • 业务爆发式增长,通过公有云弹性解决徒增流量

  • 存量数据中心利旧,降低运行成本(买好的服务器暂时先用)




Figure 2 Web层部署在公有云的混合云架构

对于此类用户,在充分感知公有云的稳定和成本降低后,大部分会在原有物理机托管服务到期后全量搬迁公有云,混合云在部署过程中只是起到过渡的作用。


第二类,通过公有云实现多地容灾的高可用架构部署。与第一类用户不同,此类用户已经具有很大规模,在运营商机房中运行大量服务器。他们的核心问题不再是担心基础设施部署速度无法满足业务增长,更多的是从稳定性、可靠性等寻求从单中心向多中心化发展,通过消灭单点,解决单数据中心故障带来的业务风险。


根据业务可靠性要求不同,一般多地容灾常见的采用方式有同城容灾、异地双活、两地三中心等。按照传统建设模式,用户只能重新选址并租赁数据中心,发起服务器、网络设备采购,部署网络环境等,中间涉及到一系列的商务沟通、基础设施建设等操作,周期从6个月到1年不等。而在公有云蓬勃发展的今天,他们可以不必担心此类问题,直接注册个账号,购买服务器,拉个专线,基础架构就搞定了。这个过程除专线建设周期较长,在公有云服务商注册账号、够买服务器等可以在1天内完全搞定(特大量部署需要公有云服务商额外采购除外)。


Figure 3 异地双活的容灾备份架构

以上图为例,本地数据中心(50%)和公有云(50%)异地部署,数据库通过专线或VPN进行主从互备,单中心失效,通过dns将流量切换至有效中心,提供有损但不中断的基础业务服务;当然对于金融等高可靠、高要求可以可以通过两地(100%)方式实现无损的容灾服务。


此类用户的核心痛点为:

  • 多地容灾,提高基础设施可靠性

  • 快速部署,减少基础设施建设周期

  • 存量数据中心利旧,降低运行成本(买好的服务器暂时先用)


第三类,监管要求下的混合云部署。此类用户大多为银行、金融、保险等行业,需要监管合规。一般普通公有云服务基础设施较难满足金融合规的要求,因而此类业务倾向于将系统的web层、业务行情、企业OA等放在公有云,快速部署,交易、流水等核心问题放在合规机房内。


此类用户的核心痛点是:

  • 金融监管、合规的需求

  • 公有云的弹性和易用性需要

总结以上三个场景,当前国内环境的混合云部署主要解决以下几个问题:

  • 私有云向公有云的过渡方案

  • 已有IT资源利旧使用,平衡Capax和Opex

  • 应对业务突发性增长,快速扩张基础设施规模

  • 多地容灾,提高业务可靠性

  • 行业合规下的公有云诉求


混合云的关键技术点


说完目前混合云的用户使用场景,这里我们说一下部署混合云的关键技术节点。从这一年来和客户的沟通中发现,大部分用户在建设混合云过程中会从网络连接、安全、监控、系统兼容几个点,我们分别讨论一下。


第一点,公有云上自定义网络的能力。这里自定义网络泛指私有网络(VPC)一类,可以用户自定义逻辑隔离的专用网络的能力,包括用户可以自行划分子网、配置路由,设置公网、VPN网关等基础能力。


一般非自定义网络的主机内网IP是在大系统(比如10.0.0.0/8)下随机分配的,经常会和用户本地数据中心的IP冲突,这样只能在连接过程中通过nat方式解决,但公有云的资源经常会弹性伸缩,每次添加主机会重新随机分配IP,这样就不得不需要人工维护nat规则,运维负担很重。


有了VPC就不会出现这个问题。用户在创建VPC前提前做好网络规划,将本地数据中心和VPC的IP段划分开(比如VPC是10.0.0.0/16,本地数据是10.1.0.0/16),这样用户在公有云的计算资源都会在VPC内添加,即使IP随机分配也是在VPC可控的IP段内随机分配,IP不会冲突,因而也就不需要额外配置和维护nat规则了。

腾讯云的私有网络是今年2月份灰度上线的,采用gre封装的方式进行网络虚拟化。系统采用NFV(Network function virtualization)的设计思路进行设计,使用多个普通的x86设备实现分布式的网络虚拟化集群,全过程无单点,系统随负载可实现自动扩缩容。从2月份到现在,经过近一年的打磨,系统稳定性已经逐步收敛,并得到了客户的认可,称为腾讯云混合云战略的中坚力量。


第二点,多样、稳定的网络接入能力。混合云最突出的特点就是连接,连接方式主要分为两种:公网接入和专线接入。


为保护用户的信息安全,公网接入在Internet上的流量需要经过IPsec VPN加密,一般小型VPN网关(200Mbps以下)可以通过虚拟软件VPN网关实现,中到大型VPN网关(300Mbps及以上)可通过硬件VPN网关设备实现。公网VPN接入速度很快,一般半天即可完成部署使用,可以快速满足客户需求。鉴于国内网络环境复杂,部分网络拓扑拥塞会导致网络延迟、丢包率增加,不建议企业采用大于200Mbps VPN接入;但也有异常情况,比如用户数据中心侧不满足拉专线的条件,只能勉强用大容量VPN提供服务。


专线接入则在全时段全方位的保障了用户数据加密和可用带宽,用户无需担心容量太大无法承载的问题。但专线接入也存在一些问题用户需要仔细考虑:

  • 专线接入时间周期较长,一般需要1个月(资源充足)或以上的时间建设、部署;

  • 专线价格较高,是BGP带宽的3~5倍(专线带宽越高,单位成本相对较低);

  • 国内运营商为各省独立运营结算,专线的商务流程、定价、施工时间、SLA等存在差异;

  • 专线施工过程中有各种琐碎问题需要解决(比如物业、管道、资源不足) ,占用精力很多。


确定需要通过专线建立混合云的,建议早规划,早建设,防止因为网络原因导致业务部署延期。


当然,还有一个需要注意的点,双线热备。系统需要从底层架构上消除单点故障的风险,在用户需要的情况下提供双线接入的能力。


腾讯云在接入这块由于用户需求较多,已经具有了很丰富的运营经验。公网VPN接入方面,具有产品化的VPN网关可供使用。VPN网关采用虚拟软件方式实现,具有主备双机热备能力,但网挂fail可以在5s内切换至备用网关,而不影响通道流量传输。同时VPN网关可以在控制台进行可视化的IKE、IPsec参数配置,部署快速,门槛低。专线方面,腾讯云则和运营商伙伴一起,为您提供了一站式专线接入服务,您无需再处理专线建设过程中复杂的流程和琐碎的问题,只需告诉我们本地数据中心的详细地址,就可以在最快17个工作日内完成带宽2Mbps~10Gbps的功能支持双线热备的专线接入网络。


第三点,安全与监控。混合云在网络层面上将私有云和公有云进行了连接,如果发生网络故障或者攻击,服务商需要有能力保障网络间故障不会相互影响,将攻击或者故障限制在一定范围之内。


内网安全方面需要具有灵活、易配置的网络访问控制能力。腾讯云的方案在传输层提供了有状态的基于单主机的网络访问控制(安全组),在网络层提供了无状态的基于VPC子网的网络访问控制(网络ACL)。


监控更多需要体现业务管理的闭环,通过展示网络连接的实时流量、延时、丢包数据,用户可以针对数据做告警策略反馈异常,这块腾讯云对专线、VPN的流量都提供了类似服务。


第四点,完善的API管理支持。规模化的混合云部署后,用户可以通过API的方式,在原有本地数据中心的运维管理系统基础上,快速搭建兼容公有云的运维管理系统。这块公有云厂商只需要提供原子化的API即可,方便用户利用这些模块搭建弹性扩缩容系统、制定网络备份方案等。这块我们有些客户的例子可以和大家分享一下:


比如,弹性扩容的逻辑就是,一旦负载均衡后的主机满足以下几个条件之一:网络负载超过80% or CPU负载超过80% or 内存使用超过 80%,则通过快照创建新主机绑定到负载均衡上。主机监控、快照、负载均衡的API组合即可完成此功能。


再比一些客户感觉专线太贵了,用VPN作为专线的备份流量。用户只需要通过专线流量监控API拉取网络流量,制定触发策略(比如流量突降50%),当专线告警触发时自动通过更换子网关联路由表,将内网路由切换至VPN网关上。这样通过使用按流量计费的VPN网关,用户就可以实现低成本的专线接入备份。


好,总结一下。混合云的搭建需要IAAS服务商具有以下几个能力:

  • 可靠的私有网络(VPC)

  • 多样、稳定的网络连接(VPN、专线)

  • 提供完善的安全和监控能力

  • 全面的API支持


混合云的未来


最后稍微谈一下混合云的未来。如前面所说,目前客户中大部分使用混合云只是“短暂的”,可以毫不夸张的说,这样的混合云是用户从私有云或者物理机托管向公有云搬迁的过渡过程。随着客户对公有云的易用性、可靠性和成本降低有了实际认知,大部分互联网和非合规性要求的客户都可以搬迁到公有云上,需要多地容灾的客户也可以通过公有云本身的多地域、多可用区完成跨地域、跨可用区的容灾部署。


那混合云这样的使用场景会消失么?

我个人观点来看是不会的,这里主要考虑以下几个因素:

  • 第一,  市场细分。公有云提供的是同质类服务,无法满足特殊业务的细分需求。比如银行系统的大型机,只能放在自己的数据中心或第三方物理托管机构,IAAS服务商长期来看不会在这方面长期投入(短期为了圈市场可能会提供);

  • 第二,  信息保密。企业信息存在分级的保密要求,高等级保密信息放在私有云的需求长期存在,非保密要求将放在公有云组建混合云;

  • 第三,  行业合规。长期来看行业监管的迭代时间和技术迭代时间不在一个量级,而互联网金融行业兴起,需求会逐渐扩张;

  • 第四,  应用响应时间。因响应时间敏感而部署私有云的用户将长期存在(网络延时无法克服),响应时间要求低的业务将放在公有云,同时组建混合云。


好,今天就分享这些,最后再做一次小广告。

腾讯云将致力于帮助客户搭建更加稳定、灵活、易于使用的混合云解决方案,谢谢大家!





问答实录




1. 混合云的场景我觉得两个场景适合,一是数据备份,第二是dr,但是dr最有意义的事数据dr到云端,本地有问题,云端实例启动自动接管服务?

答:是的,数据备份大部分用户都用得到,只是备份有的是冷备份,有的是热备份。


2.面对未来运维大量减少的趋势,对从业人员有哪些好的建议呢

答:转行啊,往云计算靠啊


3.还是不怎么明白什么叫VPC?可以解释解释吗

答:vpc就是在iaas上面做了一层网络虚拟化,你自定义主机的网络网段、主机内网IP,自定义每个子网的路由,virtual private cloud和大家说的vxlan很像,只是大家的实现方式不一定都是基于vxlan,腾讯云的vpc是通过gre封装实现的。


4.请问刚才说的到双活,在云怎么实现的?

答:云有zone和region的概念,比如腾讯云有广州大区(region),广州一区 zone1 广州二区 zone2,zone类似机房单元的概念,region是地域概念,zone之间的网络管道、供电制冷是独立的,虽然在一个地域,但是是可以做到最基础的双中心容灾的,内网也是直接通的。


5.那么双活中的数据是怎么同步的?

答:这个同步主要是用户自己来设定的,我们只提供网络连通的方案。


6.企鹅有做paas的想法么

答:有,不过基础都是iaas,核心也永远是iaas,什么时候iaas已经可以像aws那样没什么可以做的了,自然向saas和paas发展了。


7.传统IT和混合云到底可以节约多少成本?

答:这个很难完全量化,传统it的组成环节太多,而纯粹的公有云成本十分低廉。从经验上来讲,是便宜太多太多。如果你有过一个30w台母机装机量的数据中心,而服务器才用了10%那种感觉。


8.麻烦问下SaaS和PaaS特点和区别是啥

答:这个问题太大了,这里比较难说清楚哈。


9. 企鹅的云是按照用多少付多少的弹性计费,还是包月?
答:这个都有,按量计费在灰度中,需要开个白名单,但是只要申请都可以。


10.支持哪几种专线,MPLS或SMTP?网络质量如何?有没有金融的案例?

答:都支持的,MSTP在本市内质量应该算比较高吧。建议看一下第三方的网络质量报告。毫不吹牛的说,腾讯的网络质量在辐射国内大部分地方是最好的

圈里人都知道。金融案例很多啊:webank、富图证券、安心财险、招联金融。。。。一堆。


11:对于视频这块 iaas有什么方案 基于GPU?

答:我们在考虑提供GPU主机帮助客户做视频类服务,推动中


12. 混合云就是把客户先忽悠一部分到公有云的很好方案
答:你说对的。


13.腾讯云数据中心有没有体现SDN相关架构思想,能否谈谈?

答:有的呀,我们的流量调度底层很多是基于sdn和openflow的,网关实现基本遵循nfv设计思路,具体设计细节我不够专业哈,抱歉,但一个趋势是去硬件化,未来cisco这边的老牌特殊设计都会被nfv设计取代,他们的生意会受到一定程度的影响。


14. 比如webank在云上跑了哪些应用,怎么混合的?

答:webank目前还是将oa类服务放在云上,生产机房还是放在私有云中。不过一直在考虑如何向iaas靠拢,不过有几个其他的金融客户已经全量上云的,

名字这里暂不公开哈。


15. 把云上的业务内容或架构分享出来让我们学习一下哈?

答:这个问题有点大,这次不详细展开了哈。


16.刚才听你讲可以通过API进行扩展,但不是很明白,愿闻其详?

答:api是用户另外一种调用服务的接口,类似控制台,用户可以通过api来实现主机部署、运维和监控等,api扩展就是说,搭一个大的可视化平台,底层调用这边全用api,类似一个控制台同时把私有云和公有云全管理了,管理的本质不就是部署、操作、监控这些么。


17. 公有云的安全(主要是数据的安全)怎么保障(除开VPN和专线,是否还有其他途径)?

答:这里是网络数据安全还是虚拟化数据安全?

补充:业务数据的安全

答:这一块如果你对iaas公司不信任,那我无法给你一个保证的方法。技术上我们是可以拿到用户的数据的,但我们不会这样做


18.想知道不同Zone的数据如何同步呢有什么特殊的吗?

答:不同zone数据同步可以通过db备份啊,云盘备份啊这种,要看业务场景。


19.底层数据安全怎么做?是否上边的数据企鹅可以获取?
答:企鹅不会动用户的底层数据,宽心放下,这个是最基本的企业道德,法律也是约束的.

20.问1:当遇到性能瓶颈时怎么线性扩展处理能力?

答:这个问题也有点大,不同的场景瓶颈点不一样,需要具体问题具体分析。

问2:就是说性能瓶颈-处理能力扩容:还需要重新申请主机资源、然后部署应用再加入到负载均衡中来提高其业务或应用的处理能力?

答: 这个是可以的,通过api可以将监控和部署全部自动化

这个是web服务瓶颈处理的一种思路,但有时候瓶颈在db或者memcash,那就需要把db层也扩容了


21:db或者memcash的负载均衡怎么做的?
答:db、memcash不是通过lb实现的,是服务自己本身的接入集群进行扩容,这个可以单独沟通哈。简单一点可以说,买更贵更好的db和memcash,如果官网没有,可以找经理问,一般都会有些黑科技没放在网上。


22. 支持私有云里的vm 通过vxlan和腾讯云里的vm 构建一个大二层网络吗?

答:可以的 vxlan的协议会在我们的专线网关vsg集群中进行转换,完全兼容。


23:当云升级(操作系统升级、数据库升级、硬件升级或处理能力扩容时)怎么保障业务的连续性,是否会中断我的业务或应用?

答:这个不同场景要不同来看哈,不能一概而论,和今天论题有点远,暂时不展开解答了哈。


------------------------

群分享由迅达云协助完成


迅达云(SpeedyCloud)致力于为用户提供『一站式云服务』


KVM社区群分享奖品由华章科技学院支持电子读书卡


一卡读尽所有华章电子书!

---------------------------

欢迎加入“云技术实名群”,入群要求如下:

1 工作满5年;

2 目前从事云相关技术工作;

3 实名;

4 愿意分享。

入群联系北极熊: