返回
新闻动态
分类

混合云能够很好地综合公有云与私有云优势,本系列会介绍OpenStack 企业私有云的几个需求

日期: 2020-04-21 16:05 浏览次数 : 68

洞见云端趋势 美团云发布灵活的混合云解决方案

• 2016年11月02日19:37 • 飞象网

据市场研究公司Gartner报告称,在全球云计算市场中,美国占据50%的市场,欧洲占据23.5%,中国则以4%的份额位列第三。但近两年来,中国云服务行业迎来爆发式增长,正在迅速改变全球份额的格局,除了全球云服务巨头纷纷入局中国市场以外,国内新锐创新型云厂商也在成为一股强大的力量。

2016年10月29日,美团云和众多行业伙伴聚首上海“2016中国云服务创新大会”,共同探讨云服务行业未来发展趋势,并发布了基于虚拟网络之上的新一代混合云解决方案。

图片 1

(美团云研发总监王昕溥在“中国云服务创新大会”上发表主题演讲)

 

美团云认为,在不久的将来,云计算将成为像供水、供电一样的公共基础设施。对绝大多数企业来说,上云都是趋势。但到底是完全将业务迁移部署在公有云上,还是保留一部分私有云,这成了企业上云过程中的一个疑问。

公有云,意味着企业所有的数据和应用完全部署在第三方云服务商的数据中心内,但对于某些敏感行业的企业来说,更希望核心的数据资产能够部署在自己的数据中心内。相反,如果完全选择私有云,则无法充分享受公有云服务商提供的丰富云产品,并需要额外投入巨大的运维开发成本。综合起来,混合云能够很好地综合公有云与私有云优势。

 

美团云此次发布混合云解决方案,支持多种部署方式,能够满足企业多维度的需求:

 

(一)云下数据库,云上应用

用户可以将应用部署在云上,充分享受云计算产品的便利。将数据库部署在私有的数据中心内,满足数据安全性、冗余备份和合规检查(比如支付金融业务会对相关数据库的物理环境安全有苛刻的要求)的要求。

(二)云下数据,云上备份

用户还可以将应用部署在云下,利用云做数据备份。一方面应用和数据就近部署提升访问速度,同时以低廉的成本实现数据存储,达到异地容灾的目的。

(三)云上业务,弹性伸缩

针对流量型的应用,可以通过部署在云上实现弹性伸缩。在节省成本的同时满足业务高峰时的资源需求。

(四)云上云下,多地互通

对于金融支付类用户,为满足异地灾备、两地三中心要求,用户可以充分利用公有云多地域的优势,将云上资源与自有IDC互通,快速构建多地部署架构。

混合云的云上云下互通主要依赖数据高速通道,对此美团云推出了有针对性的三款产品:

首先是VPC,允许用户在公有云上建立一套与外界二层隔离的网络,并能在内部自定义网段、划分VLAN、配置路由,并根据业务需求自定义网络结构。

其次是专线和IPSec VPN。IPSec VPN的网络质量依赖公网质量,稳定性较专线低。但是相比专线的高带宽和长施工周期,IPSec VPN的搭建更加方便、快捷,能在云上VPC与云下IDC的公网链路上构建一条加密信道,满足数据安全交互的需求。而对网络要求较高、对时间和成本不敏感的用户,则可以申请专线,大幅保障云上VPC与云下IDC之间数据传输带宽和延迟的稳定性。

其三是NAT网关。如果用户希望不以公网 IP 暴露主机以避免安全隐患,同时又希望对应主机访问公网,可通过 NAT 网关的 SNAT 功能,实现无公网 IP 的云主机安全的访问互联网。

 

此外,美团云很早就推出了baremetal,配合VPC在网络环境上的隔离与自定义,能够为用户提供专用的物理机,用于满足高性能计算和专有云服务器的需求,彻底摆脱公云上其它用户对自身的影响。

 

本次发布的混合云解决方案凝聚了美团云对于云计算未来趋势的思考。通过美团云混合云解决方案,用户能够在公有云上创建自定义二层隔离网络,部署baremetal专属物理主机,并通过高速通道(专线/VPN)实现VPC之间,VPC与自有IDC(私有云)之间的互通,满足多地部署、云上备份、数据安全、弹性伸缩的业务需求。可以肯定,未来的公有云服务商必定会为用户提供更灵活、更高效、更节省成本的解决方案,在这个过程中,美团云将不断引入新技术,引领行业潮流。

在2017阿里云网络技术高峰论坛上,阿里云VPN网关产品经理奈玟分享主题《使用VPN网关轻松构建混合云》。奈玟,阿里云VPN网关产品经理,有七年的网络相关开发和设计经验,最开始是做传统网络路由器交换机的传统协议,2012年在传统交换机上实现了OpenFlow 1.0协议,由此开始转到云网络。本文介绍的内容包括混合云概念、混合云私网构建、VPN网关产品简介和应用场景以及VPN网关搭建混合云架构的实战演示。

本系列会介绍OpenStack 企业私有云的几个需求:

混合云简介

  • 自动扩展(Auto-scaling)支持
  • 多租户和租户隔离 (multi-tenancy and tenancy isolation)
  • 混合云(Hybrid cloud)支持
  • 主流硬件支持、云快速交付 和 SLA 保证
  • 大规模扩展性支持
  • 私有云外围环境支持(包括支持CDN 、商业SDN控制器、防火墙和VPN/专线等)
  • 良好的可使用性(用户和运维 Dashboard 等)
  • 向上扩展性(PaaS 和 SaaS 等支撑)
  • 企业数据中心IT环境支持(包括裸金属/Bare metal、F5 、GPU、跨云网络连通、租户计费、备份等支持)
  • 行业解决方案
  • 独立的服务,包括培训、运维等

十年前,几乎所有的IT企业都是选择自建IDC,但是自建IDC十分复杂且成本巨大,不仅需要考虑风火水电煤、选址、厂房、采购和搭建等问题,还需要企业自己来运维和运营。由于云上资源利用率高,在同等性能规格下,租用云服务器的成本仅为IDC的1/3,此外IDC设备更新周期长,涉及采购、运输、安装等,通常一次扩容需要3个月左右,在业务发展很快的情况下不可能等这么久。云的出现很好地解决了这些痛点,凭借极强的编排能力和弹性负载能力以及极高的性价比,云很好地满足了业务快速发展的需要。

1. 混合云的概念

在企业已有自建IDC的条件下,可以通过三种方式实现云化:一是公有云,相当于割肉方式,把已经投入的IDC重资产全部舍弃,再重新上云;二是私有云,相当于手术方式,把已有的数据中心云化,需要进行痛苦的改造;三是混合云,指仍然保留自建IDC,让其去负载正常水位的服务,而弹性部分则放到云上。

1.1 什么是混合云

从单个云角度来看,云可以分为三类:

  • 私有云( private cloud) :云基础设施是为一个客户单独使用而构建的,因而提供对数据、安全性和服务质量的最有效控制。私有云可部署在企业数据中心中,也可部署在一个主机托管场所,被一个单一的组织拥有或租用.
  • 社区云( community cloud):基础设施被一些组织共享,并为一个有共同关注点的社区服务( 例如任务、安全要求、政策和遵守的考虑) 。
  • 公共云( public cloud) :基础设施是被一个销售云计算服务的组织所拥有,该组织将云计算服务销售给一般大众或广泛的工业群体,公共云通常在远离客户建筑物的地方托管,而且它们通过提供一种像企业基础设施进行的灵活甚至临时的扩展,提供一种降低客户风险和成本的方法。

    而混合云( hybrid cloud),它其实不是一种特定类型的单个云。顾名思义,它的基础设施是由两种或两种以上的云( 私有,社区或公共) 组成,每种云仍然保持独立,但用标准的或专有的技术将它们组合起来,具有数据和应用程序的可移植性( 例如,可以用来处理突发负载) ,混合云有助于提供按需和外部供应方面的扩展。从这里可以看出,混合云有多种形式:

  • 本地的不同类型云的混合
  • 多个不同类型公有云的混合
  • 私有云和公有云的混合

 从下图可以看出,私有云和公有云构成的混合云是主体(前两者称为 multiple cloud,后一种称为 hybrid cloud)。本文接下来也将围绕这种形式的混合云来展开阐述。

图片 2

混合云对于已有自建IDC的企业实现云化有很大的好处:按需定制,满足业务的个性化需求;多级容灾,能够规避单一的采购商风险;兼得私有环境安全独立的优势和公有云弹性伸缩、快速编排定制的优势;最后,对已有的IT重资产最大化的保护和利用,极大降低成本。

1.2 客户为什么需要混合云

 图片 3

基本上,客户往往从经济性、技术性、安全性、合规性以及应用特性和需求等几个方面来选择一个或者多个云来使用。

IDC和云网络的连接

1.3 混合云包括什么 

混合云的主要组成部分包括: 

  • 私有云(VMware,Hyper-V,OpenStack,CloudStack 等等)
  • 公有云(AWS,SoftLayer,Google,Azure,Rackspace,Aliyun 等)
  • 两者之间的网络连接(主要包括公有云厂家提供的专线和第三方提供的 VPN 连接两种方式)
  • 混合云管理平台(主要可以分为数据管理、虚机管理、应用管理等几个层面的软件,包括 VMware vRealize,Microsoft System Center,RightScale等)

图片 4

想要在已有IDC的情况下构建混合云,需要把IDC与云网络连接起来。一般来说,IDC和云网络的连接有两种方式:公网通信和私网通信,公网通信就是通过Internet访问,私网通信是在IDC和公有云之间建设一条私有专用通信线路。

1.4 混合云能做什么

在上面描述的混合云架构的基础上,混合云可以做多个层面的事情,基本可以分为数据层面和业务负载层面。那在这两个层面,有一些典型的应用场景:

  • 数据备份:将私有云的数据备份到更加便宜和可靠的公有云
  • 灾备(DR):在私有云出现故障时,由公有云上的灾备环境提供服务
  • 负载延伸:当私有云无法提供新增负载所需要的资源时,在公有云上创建虚机来支持新的负载,在负载下降后在删除这些虚机回到纯私有云
  • 使用公有云作为开发测试云

以 Azure 为例,

图片 5

AWS 的 Storage gateway 可以帮助客户将私有云中的数据备份到 AWS S3:

图片 6

对比分析公网通信和私网通信,可以发现:

1.5 厂商为什么要做混合云

不同类型的云提供商在混合云上的立场和期望都不同:

  • 公有云厂商:他们将混合云看着一种从私有云向公有云过度的临时阶段。通过客户体验公有云的优势,他们希望客户不断地将负载迁移到公有云上,直到全部迁移完成。典型的比如亚马逊、国内的阿里云和腾讯云等。
  • 私有云厂商:他们希望能通过延伸私有云的功能,扩大私有云的能力,弥补私有云的缺陷,来保住私有云的领地。比如将混合云口号喊得震天响的 IBM, HP, Dell 等传统的 IT 提供商。
  • 第三方厂家:包括网络提供商和混合云管理软件提供商,他们也希望在混合云市场上分得一杯羹。

公网通信必须使用公网IP、带宽等网络资源,私网却可以自己规划私有IP等资源;

2. 目前主流的混合云方案

 要看主流的混合云方案,先要看在私有云和公有云领域的几大玩家分别是谁:

图片 7 图片 8

公网环境较为复杂,私网则为专用网络;

2.1 接入网络

  各个公有云提供商都提供VPC高速通道专线接入和第三方安全厂商VPN公网接入两种方式来将客户的私有云和在公有云上的 VPC 连接起来。

  • VPC 高速通道特点是速度快、稳定、延时低,非常适合对带宽、速度和稳定些要求很高,需要长时间传输大批量数据的用户,但是它价格昂贵。
  • VPN公网接入的特点是数据自主加密、使用方便、价格低廉、实施时间短,适合对价格敏感、数据传输量小、线路质量要求一般的客户。

  以 Azure 为例,

图片 9  图片 10

公网限制较多,私网能够自定义限制;

2.3 VMware vRealize 混合云管理方案

  VMware 的 vRealize 管理套件可以管理在客户数据中心的 VMware 私有云,和公有云(包括 VMware vCloud Air,AWS, Azure 和 IBM SoftLayer等) 上的 VMware VPC。

图片 11

  详细情况,可以参考 VMware Introduces New Cloud Management Solutions And Updates 和 IBM云的商务动作之我见(2):IBM 和 VMware 战略合作推进混合云 等文章。 

成本方面,大规模场景下,私网相对于公网占用的收费资源更少,更省钱;

2.3 Microsoft System Center 混合云管理方案

  与 VMware vRealize 类似,微软的 System Center 2012 同样有混合云管理功能,用户使用它可以管理本地的 和 Windows Azure 上的 Windows Server 集群,包括 provisioning, automation, self-service, 和 monitoring。但是,还没有看到对除了 Azure 以外的公有云的支持。详细信息请阅读微软的相关文档。

安全方面很明显专网不受外界干扰更安全。

2.4 AWS Management Portal for vCenter

  AWS 比较牛,它现在没有私有云,所以也就没有 vRealize 类似的混合云管理套件。但是它有一个产品,AWS Management Portal for vCenter,借助它,客户将可以使用 VMware vCenter 管理 AWS 资源。该门户以 vCenter 插件的形式安装在客户现有的 vCenter 环境中。一旦完成安装,客户就可以将 VMware 虚拟机迁移到Amazon EC2,并从 vCenter 内部管理 AWS 资源。 详情请访问 

图片 12

私网产品对比

2.5 第三方的异构混合云管理软件

  VMware 和 Microsoft 的混合云管理套件只能管理他们自己的同构的混合云,那异构的混合云的管理就需要第三方来做了。

通过上面的比较能够看出,混合云场景下私网具有绝对优势。私网通信包括两类产品:专线(高速通道)和VPN,两者没有绝对的优劣,只是所针对的客户定义不同。

2.5.1 RightScale

以 RightScale 的产品为例,它能管理多种类型的混合云:

图片 13

下面是一个以本地 OpenStack 云为基础,在负载增加时,向 AWS 扩展,再向 Azure 扩展的例子:

图片 14

详细信息请访问 RightScale 网站。

2.5.2 HP  Cloud Service Automation (CSA)

(1)架构

图片 15

(2)功能

图片 16

详细情况,可参考HP 官网 。

专线就是自建高速公路,具有网络带宽高、时延低的优点,但是建设周期长,成本更高;VPN就是在公有网络上承包一条线路作为专用,价格更为经济便宜,而且即开即用,但是时延相对专线来说更高。

2.6 多云供应链管理软件

   在目前市场上存在数目众多的公有云及其服务的情况下,对于企业的 IT 管理者来说,如何对公有云及其私有云做评估、规划、采购和管理等,挑战越来越大。因此,供应链管理也是混合云管理的一个重要环节。IBM 刚刚收购的 Gravitant 提供的 cloudMatrix 正是解决这个问题的一个产品。它的主要功能和流程如下:

图片 17

VPN网关产品是基于Internet所搭建的专用隧道,特点鲜明:

2.8 Mirantis MOS 8.0 + GCE 基于容器的自动扩展的混合云方案

图片 18

详细情况,请阅读 Mirantis OpenStack 8.0 版本大概性分析。

首先是安全,产品采用标准IPSec-VPN协议,能够认证数据来源、数据加密、防篡改、抗重放,且VPN基于租户隔离;

3. OpenStack 混合云方案

其次是高可靠,云端的VPN网关节点双机热备,实时同步,主节点挂了会自动切换到备节点;

3.1 各种不同类型的 OpenStack 混合云解决方案

  除了借助类似于 RightScale 和 HP 这样的第三方公司的混合云管理套件外,OpenStack 社区和不同的厂家提供了以下工作在不同层面的若干种混合云实现方式。

再次是便捷,快速搭建、即开即用,可以在10分钟内轻松搭建混合云网络;

3.1.1 OpenStack 管理已有的 VMware 和 Hyper-V 虚拟化环境

图片 19(来源)

    在 OpenStack 通常的KVM基础架构中支持 VMware 和 Hyper-V 虚拟化环境,更多的是处于对已经存在的 VMware 或者 Hyper-v 环境的支持,毕竟目前 VMware 和 Hyper-V 虚拟化环境在客户数据中心的保有量非常高。详情可以参考:

  • Mirantis & VMware Reference Architecture。
  • TCP Cloud Integrating VMware ESXi with OpenStack & OpenContrail
  • TCP Cloud Integrate Hyper-V in OpenStack environment

最后是价格,可以称得上是公网的价格,私网的享受,价格仅为高速通道的40%~60%。

3.1.2 混合云统一运维

IBM Blue Box Box Panel (云面板)提供不同位置的多个 Blue Box 本地云和 SoftLayer 上的 Blue Box 专有云的统一运维。

图片 20

VPN网关的应用场景

3.1.3 多个云统一登录:OpenStack multi-region 技术支持统一 Horizon 登录多个 OpenStack 云

图片 21

VPN网关的应用场景主要包括以下四类:VPC和IDC对接、跨地域VPC互连、线下多门店接入、云上多门店接入总部。

3.1.4 OpenStack 云级联(Casading)方案

华为提出了 OpenStack Cascading Cloud 方案,现在是 OpenStack 社区的一个新项目 Tricircle:。

图片 22

应用场景1 VPC和IDC对接

3.1.5 国内厂商的一些混合云方案

(1)刻通云:从陈沙克的 刻通云KeyTone Cloud测试 能看出来刻通云在混合云方面做了不少的工作,比如支持 PPTP,IPSec 和 OpenVPN 等,这方面应该走在了国内类似公司的前列。

图片 23

而且他们直接可以在网络拓扑图上来做配置:

图片 24

这对用户来说是非常方便的。考虑到社区的 VPNaaS 只是一个参考实现,还不足以进入生产系统,刻通云应该是做了一定的开发。刻通云在这方面做的一些工作:

图片 25

 

详细情况,可以阅读刻通云的官网:

(2)99cloud 和 阿里云提出的类似于 AWS 的混合云方案

其主要功能包括:

  • 一键备份私有云硬盘到阿里 云对象存储
  • 上载私有云镜像在公有云平台上发布
  • 未来还将整合前端业务的持续集成(CI)和持续发布(CD),做到业务发布的混合云无缝对接

在 SDN实战团分享(十六):OpenStack与阿里云的混合之路 一文中,能看到九州云OpenStack与阿里云的混合云方案目前采用集中管理的方式:

图片 26

九州云Animbus管理平台分别通过Openstack API与阿里云API交互来管理这两个异构云平台。我们在Openstack多个组件中加入对阿里云的支持,如通过ceilometer和heat对阿里云的支持,可以进一步增强混合云的应用编排能力。网络方面,我们充分发挥阿里云的优势,可以利用阿里云高速通道实现用户VPC之间、VPC与物理机房之间的二层隔离的私网通信效果。

两个案例:

(a)使用九州云平台在阿里云中创建云主机

图片 27

(b)备份至阿里云。客户可以利用阿里云进行容灾备份,通过使用阿里云OSS将私有云VM备份至阿里云中。一旦该VM在私有云中出现故障,可以直接在阿里云中启动备份VM,提供服务。

图片 28

(3)UnitedStack 与腾讯云之间也有类似的混合云合作关系(链接)。网上找不到详细内容。

(4)海云捷迅混合云解决方案基于AWCloudOpenStack,帮助客户整合VMware或Hyper-V虚拟化技术,形成混合云,集中管理和统一调度,实现资源动态伸缩和业务的弹性扩展,提高企业IT服务能力。这还是基本的统一管理方式,还没到混合云层面。

(5)华为 FusionSphere 基于其 OpenStack 级联技术的混合云解决方案。这个方案,已经有点微软 System Center 和 VMware vCenter 的味道了。

3.2 小结

  把 OpenStack 和 VMware 以及 Microsoft 私有云做一下对比不难发现,OpenStack 在混合云上还没有出现全面、成熟、功能丰富的解决方案,目前的方案还是在某个具体的功能层面上的实现一些简单需求。

  根据 2015 年社区用户调查报告,用户主要使用过的 OpenStack 混合云主要有如下几种:

  图片 29

 

那么,在需求驱动下,相信在不久后的将来,这些类型的混合云的 OpenStack 解决方案一定会不断涌现并被用户广泛接受。

 

参考链接:

  •  
  • 九州云牵手阿里云 OpenStack深度整合打造混合云平台

 

这类应用适用的场景是传统IDC负载正常水位业务,公有云负载弹性部分业务。比如具有波峰、波谷特点明显的票务系统。通过基于公网搭建的专用隧道、VPN网关双机热备、Ipsec协议协商和加密,可以充分实现传统业务向云上的平滑迁移,同时云上的超大资源池能够作为弹性负载。

应用场景2 跨地域VPC互连

这类应用适用的场景是一个企业在云上有多个VPC,每个VPC放在不同地域,实现跨地域容灾备份的同时客户就近接入降低网络时延和跨地域容灾备份。跨地域VPC之间的互联是基于阿里云骨干网所搭建的专用隧道而不是Internet,进一步提高了跨地域VPC互访的质量。

应用场景3 线下多门店接入

这类应用适合具有很多分支的多门店系统或连锁机构,如金融、保险、酒店业等。总部系统部署在云上VPC内,线下分支通过VPN和云上VPC对接,可以满足企业门店分支快速扩张的需求。

应用场景4 云上多门店接入总部

这类应用与场景3正相反,也同样适用于具有很多分支的多门店系统或连锁机构,但是它的总部部署在IDC内,每个门店分支系统部署在独立的VPC中,每个门店分支之间的网络二层隔离。增加一个门店分支只需要10分钟即可完成门店IT系统部署:在公有云上开通一个VPC、ECS集群等资源部署门店,最后通过VPN和IDC对接即可完成,能够快速适应门店扩张需求。本场景下即将推出的私网NAT(可以指定源地址接入),总部就可以方便快速地识别业务具体来自哪一个门店。

实操演示:通过VPN搭建一个混合云网络

分享最后以具体操作演示了通过山石网科防火墙,云上VPC和云下IDC是如何实现IPSEC-VPN对接的。如上图所示,左边为云上VPC,且VPC上有多台ECS,右边是云下IDC,IDC里包含传统的服务器,两端都是私网口。首先需要分别登陆两台服务器,因为云端和线下IDC都是私网口,在私网未打通的情况下是无法互通的,所以需要购买一个VPN网关,再通过公网实现对接,打通这两端的私网。

第一步:创建云上VPN网关,要选择对应的地域和VPC,购买支付后就可以在控制台看到所选择的VPN网关,示例中的公网IP地址是118,所以在搭建时会把环境要素集成到表格中(如上表所示),右边指的是网络信息(包括云上和云下,私网IP段和公网IP地址),左边指的是协议信息(创建VPN连接和线下配置);第二步:创建用户网关,用户网关里的IP地址就是云下VPN网关的公网地址;第三步:创建VPN连接,设置网关地址;第四步:在云上创建路由,从ECS视角来看,路由就是指到云下的私网地址和云上的网关地址相同。这时候云上就创建完成了,再登录云下的VPN网关,对应云上进行相应配置。然后再配备IKE VPN配置,VPN协议的配置就完成了。然后还需要创建安全域(策略是基于安全域的,所以每个VPN都要创建安全域)和隧道口,把隧道口加到所创建的安全域中协议就通了,但这时候流量仍是不通的,所以要人工放行从公网到私网以及反过来的策略,所以这时候就可以最终互通互联了。

原文链接