【51CTO.com原創(chuàng)稿件】云計算在2016年有了極大的增長。一方面，AWS、阿里云等大型公有云廠商的云計算收入呈爆發(fā)式增長且絕對值數(shù)據(jù)可觀；另一方面，通過持續(xù)市場培育，云計算的價值逐步被各國政府所認可。很多大型企業(yè)也紛紛發(fā)力云計算，傳統(tǒng)IDC采購出現(xiàn)增長拐點。各種聲音不斷提醒人們，云計算不再是雷聲大雨點小的噱頭，而是成為大中小企業(yè)不可或缺的基礎(chǔ)設(shè)施。2017年，云計算真正落地的話題逐漸成為業(yè)界討論的熱門話題。

當前，私有云和公有云相爭的熱潮漸弱，融合兩者優(yōu)勢的混合云開始逐漸釋放巨大的市場潛力?；旌显频谋澈蟛辉偈菑S商，而是一種混合IT架構(gòu)，是公有云與私有云的集成。因此，如何構(gòu)建基于云計算的混合IT架構(gòu)，成為CIO和CTO避不過的問題。

本文我們首先回顧公有云與私有云的優(yōu)缺點，之后聊聊到底什么是混合云、使用場景與產(chǎn)品有哪些，緊接著重點分享架構(gòu)核心思路與技術(shù)實現(xiàn)原則，最后來說說用戶到底能在混合云平臺上做些什么事。

公有云與私有云優(yōu)缺點

筆者曾經(jīng)在公有云廠商和私有云廠商都有過研發(fā)經(jīng)歷，對公有云和私有云各自能帶來的優(yōu)勢和局限都有比較深入的體會。對于市場來說，公有云和私有云都有它們無法被取代的優(yōu)勢，最好的選擇就是根據(jù)自身業(yè)務結(jié)合二者，這一點也已經(jīng)得到了市場的普遍認同。

混合云的定義與使用場景

混合云的定義

對于混合云的定義，中國信息通信研究院曾經(jīng)提出過觀點，是必須要同時有公有云和私有云，這也是大多數(shù)廠商和用戶的認知。筆者認為，這樣的定義只是物理上的堆徹，兩者之間如果不能發(fā)生化學反應，并不是真正的混合云，也無法催生出創(chuàng)新型應用，無法真正幫助用戶提高業(yè)務價值?；旌显撇皇呛唵蔚膶性坪退接性七M行1+1=2的運算，而一定要讓它們產(chǎn)生大于2的價值。

虛擬化與云計算的區(qū)別

為了更好的理解這點，讓我們來回顧一下虛擬化與云計算的區(qū)別。虛擬化是一種技術(shù)，而云計算則是基于虛擬化技術(shù)之上的升華，它讓用戶能夠管理一個數(shù)據(jù)中心及其增值服務，將IT資源以服務的形式交付給用戶，從而讓用戶能夠?qū)Ｗ⒂跇I(yè)務而不是IT資源。虛擬化幫助用戶提高硬件的資源利用率，而云計算則幫助用戶提高整個數(shù)據(jù)中心的整體資源利用率，這中間也包括軟件、網(wǎng)絡、存儲甚至于人力的資源利用率。

那么，混合云作為云計算的一種形態(tài)，它要給用戶帶來的價值，并不是簡單的把公有云和私有云堆徹在一起，而是讓兩者產(chǎn)生碰撞，從而提高用戶跨云的資源利用率，催生出新的業(yè)務。

混合云應該是幫助用戶接管跨云、跨地域的IT基礎(chǔ)設(shè)施，把用戶花在底層實現(xiàn)上的精力解放出來，甚至可以反復嘗試業(yè)務在公有云與私有云之間的組合模式而不用關(guān)心底層實現(xiàn)細節(jié)，從而極大提高用戶的生產(chǎn)力和降低業(yè)務的試錯成本。

故我們可以看到，混合云不是簡單的一張皮，也不是完成連通的其中一個細節(jié)，它是包含了公有云各資源和產(chǎn)品以及私有云各資源和產(chǎn)品的一個有機整體系統(tǒng)。因此，同時存在公有云與私有云只是混合云的必要條件，而非充要條件。那么還需要有什么呢？

混合云在數(shù)據(jù)中心的價值

我們先來看看用戶想要什么。在同時存在私有云和公有云的情況下，用戶自然會想到如下場景：

• 將私密數(shù)據(jù)放在本地，公開訪問入口放在公有云。
• 高峰期能利用公有云的資源進行無限拓展。
• 本地業(yè)務能加密備份在公有云。
• 多數(shù)據(jù)中心通過公有云實現(xiàn)星形連通。
• 開發(fā)測試在本地快速迭代，生產(chǎn)業(yè)務放在公有云。
• 內(nèi)部業(yè)務放在本地數(shù)據(jù)中心，對外開放業(yè)務放在公有云，完全摒棄掉公有云控制臺，在本地閉環(huán)完成所有操作。

事實上由于現(xiàn)在真正實施混合云的用戶非常之少，還有大量未知的創(chuàng)新等待著聰明的用戶去發(fā)掘。

那么如何來實現(xiàn)這些場景呢？在單一的私有云或者公有云場景下，用戶不需要關(guān)心底層是如何實現(xiàn)的，他們使用鏡像創(chuàng)建虛擬機，使用快照備份磁盤，搭建多個二層或三層網(wǎng)絡并在平臺上自定義路由和安全組來進行通信，使用Autoscaling或其他編排系統(tǒng)來進行資源自動編排，并在一個多租戶場景下工作。

那么在混合云的場景下，我們則抽象出如下實現(xiàn)手段：

• 創(chuàng)建和管理(包括運維)虛擬機而不關(guān)心鏡像在哪里或虛擬機在哪里。
• 創(chuàng)建或備份磁盤而不關(guān)心磁盤在哪里或備份在哪里。
• 搭建網(wǎng)絡并定義它的通信目標，無論是在本地數(shù)據(jù)中心或者公有云。
• 自由編排資源，無論是在本地數(shù)據(jù)中心或者公有云。
• 統(tǒng)一而不是割裂的帳戶管理體系。

混合云產(chǎn)品主要基于災備、網(wǎng)絡互聯(lián)和多云管理

市場對混合云的聲音日益龐大，但目前混合云并沒有真正的標準，也沒有準確的定義。目前的混合云產(chǎn)品主要基于以下三類：

基于災備產(chǎn)品

廠商通過用戶自定義的策略將用戶的數(shù)據(jù)備份到公有云，并可以恢復到本地。這主要是一些存儲廠商提供的產(chǎn)品，如英方云、數(shù)騰云、XSKY等。

基于網(wǎng)絡互連產(chǎn)品

廠商主要做網(wǎng)絡服務，幫助用戶快速完成本地數(shù)據(jù)中心與公有云的對接服務，達到互聯(lián)互通的目的。這主要是一些網(wǎng)絡廠商提供的產(chǎn)品，如網(wǎng)銀互聯(lián)、游馳、犀思云等。

多云管理產(chǎn)品

廠商主要做多云管理產(chǎn)品，致力于幫助用戶在一套管理平臺上對多個公有云或私有云產(chǎn)品進行管理層面服務，增強用戶的一致性體驗，幫助用戶更好管理自己的云計算資源，并提供部分運維及PaaS服務。這主要是一些CMP廠商提供的產(chǎn)品，如Fit2Cloud、RightCloud、行云管家等。

我們可以看到，以上幾類產(chǎn)品分別能夠幫助用戶實現(xiàn)基于私有云和公有云的一種或多種場景。

混合云架構(gòu)核心思路：連接一切IT，無縫混合體驗

了解混合云的定義、使用場景和產(chǎn)品之后，我們來看看具體實現(xiàn)過程。作為云計算廠商或開發(fā)者，應該對功能矩陣非常熟悉。云計算廠商之間的比拼一個重要的層面就是功能矩陣的較量。

正是IaaS層提供了成百上千的功能點，才讓用戶得以輕松地進行各項業(yè)務開發(fā)。

在今天私有云和公有云都各自有了相似的巨大功能矩陣，我們仔細思考可以得出結(jié)論，大量的功能都是不需要跨云的，例如GPU直通，只需要分別在私有云端和公有云端實現(xiàn)，作為混合云服務商，只要把這個功能展現(xiàn)出來即可。但仍然有許多跨資源的關(guān)鍵業(yè)務，是需要混合云廠商提供幫助的。

例如公有云上的路由，這條路由可以指向公有云VPC，也應該可以指向本地數(shù)據(jù)中心的VPC。類似這樣的業(yè)務，是混合云功能的重點。

ZStack作為開源的國產(chǎn)自研IaaS軟件，進行混合云的研發(fā)己經(jīng)有一段時間。根據(jù)經(jīng)驗來看，最重要的核心思路就是保證混合云產(chǎn)品擁有連接一切的能力和無縫結(jié)合的能力。

連接一切IT

連接一切IT的本質(zhì)是實現(xiàn)數(shù)據(jù)層面的打通，這是實現(xiàn)混合云一切場景的前提條件。數(shù)據(jù)層面打通在今天主要是三個打通：帳戶打通、網(wǎng)絡打通、存儲打通。

帳戶打通：使用一套帳戶管理公有云和私有云，即以私有云自身的帳戶體系和多租戶權(quán)限管理為主體，公有云的AK權(quán)限只是輔助。將公有云AK綁定到私有云的相應帳戶上，巧妙結(jié)合私有云和公有云各自的權(quán)限體系，可以實現(xiàn)無比靈活的多租戶場景，建立起滿足企業(yè)要求的帳號管理體系。

網(wǎng)絡打通：網(wǎng)絡打通即指能夠?qū)⒈镜厮接性频木W(wǎng)絡和公有云的網(wǎng)絡在二層或者三層上連通起來，實現(xiàn)各種自定義的網(wǎng)絡結(jié)構(gòu)，如跨數(shù)據(jù)中心連通用戶的兩個子業(yè)務部門等。由于網(wǎng)絡配置非常復雜，中間涉及到多種設(shè)備，因此網(wǎng)絡能力往往是云計算廠商綜合能力的體現(xiàn)。

存儲打通：私有云和公有云之間通常很難直接將存儲系統(tǒng)連接或擴展。所以我們指的存儲打通，是在快照和鏡像層面的打通。即虛擬機或容器的快照和鏡像，能夠在私有云和公有云之間自由遷移，這種應該是代價極小的，如完全的增量遷移，或?qū)崟r遷移等。從而可以使本地制作鏡像模板直接在公有云上創(chuàng)建云主機，或反之。

在實現(xiàn)以上三個打通后，用戶就可以基于混合云實現(xiàn)很多自定義網(wǎng)絡，比如連接多個本地數(shù)據(jù)中心和多個公有云VPC，自由組合成星形、環(huán)形、網(wǎng)形等業(yè)務所需要的網(wǎng)絡，并讓鏡像快照在各地之間共享。這一切的配置都可以在分鐘級完成，大大加速了業(yè)務創(chuàng)新，徹底取締了信息孤島，實現(xiàn)全國一張網(wǎng)，一個系統(tǒng)。

無縫混合體驗

無縫結(jié)合更多是從控制面的設(shè)計來講，達到用戶所有的云資源，不論是在公有云還是私有云，能得到一視同仁的處理。事實上由于公有云和私有云平臺天生模型的不一致(Azure stack這樣的平臺例外)，很難強行把它們用相同的界面和邏輯來進行操作，而類似region，availability zone這樣的概念，更是無法對用戶屏蔽但私有云很難存在的概念。

所以在實現(xiàn)上，好的無縫體驗，應該是讓公有云和私有云的資源在同一個平臺上操作，它們的操作內(nèi)在邏輯是完全一致，而非相互割裂。此處以創(chuàng)建云主機和創(chuàng)建專線連接為例。

創(chuàng)建云主機

當我們創(chuàng)建私有云主機時，需要選擇網(wǎng)絡、主存儲、鏡像、資源規(guī)格、可能還有物理機、集群等。而創(chuàng)建公有云主機時，需要選擇鏡像、安全組、網(wǎng)絡、計算規(guī)格、可能還有可用區(qū)等。相比之下，公有云不可能看到物理機，而私有云不可能看到可用區(qū)，兩者的計算規(guī)格和網(wǎng)絡的模型也可能完全不同。

我們可以將它們放在同一個頁面，但一個頁面還是兩個頁面，對用戶的操作路徑來說都是一步，所以意義不大。真正有意義的是讓用戶在操作過程中感受到完全的無縫。即創(chuàng)建的過程是完全相同的，所有資源都不需要到公有云控制臺去進行額外的查找，本地就能閉環(huán)地完成所有操作。

創(chuàng)建專線連接

這是典型的跨云資源操作。連接時需要選擇本地網(wǎng)絡與公有云網(wǎng)絡，這些選擇都應該是在平臺上直接進行選擇或創(chuàng)建（例如創(chuàng)建一個邊界路由器等），然后點擊連接，混合云平臺自動完成剩下的連接工作。不需要用戶登錄到各個云平臺查看類似id、網(wǎng)關(guān)、cidr等屬性。從體驗上來說，用戶的直觀感受就是選擇了兩個網(wǎng)絡，就創(chuàng)建了連接。而這背后，則是混合云平臺進行了大量的建模和數(shù)據(jù)同步工作。

通過以上兩個示例可以看到，因為公有云和私有云之間的模型天生是有部分差異，因此無感知的混合云并不是要強制用戶使用相同的模型去套用不同的云平臺，而是在建立好對應的模型后，在后臺使用完全相同的邏輯去處理它們。而從API設(shè)計上來講，私有云和公有云資源的操作分屬不同的API，但它們的語義、參數(shù)都是非常相近的。

混合云架構(gòu)的具體技術(shù)實現(xiàn)原則

在定義了連接一切、無縫體驗之后，技術(shù)層面在實現(xiàn)它們時有哪些需要注意呢？在此提供以下一些設(shè)計原則以供大家參考：

建立完整數(shù)據(jù)模型

我們在設(shè)計私有云平臺時，會建立完整的私有云數(shù)據(jù)模型，如快照、磁盤、云主機、VPC、路由器等，它們之間存在千絲萬縷的關(guān)系。同樣，在設(shè)計公有云平臺時，也要建立相應的數(shù)據(jù)模型。那么在設(shè)計混合云時，就必須同時建立這二者的模型，并且必須是完整的，因為存在許多關(guān)聯(lián)關(guān)系，導致缺少任意一個資源的模型，都不能算完整。

布設(shè)虛擬ID

公有云資源映射到本地，成為一個虛擬資源。我們需要給每一個公有云資源分配一個本地的虛擬ID，而不能直接使用公有云的ID。因為在多租戶的場景下，公有云的ID在本地并非是唯一的，只有本地的ID才能保證它的唯一性。

觸發(fā)同步

由于存在映射關(guān)系，所以需要進行同步，同步可以是主動觸發(fā)，也可以是被動觸發(fā)的。同步的目的：一是讓用戶在公有云控制臺上做的操作也能及時反映到本地，二是保證所有的讀寫操作都在本地進行，讓操作的流暢程度達到毫秒級。正是有了同步，混合云資源的操作速度，可以比直接在公有云控制臺上操作快了兩個數(shù)量級，這讓用戶可以放心地做更多的事。

遍歷資源模型

云計算的資源模型是樹狀的結(jié)構(gòu)，因此任何操作都需要遍歷這棵樹，以便讓它的所有父子資源和相關(guān)資源都能得到及時的變更。例如刪除或同步一個VPC，需要遍歷它下面所有的交換機、安全組、云主機、EIP、NAT網(wǎng)關(guān)、路由表、安全規(guī)則等等，進行相應的變更，出現(xiàn)失敗時要能按順序進行回滾，保證操作的原子性。又比如刪除一個本地網(wǎng)絡，需要遍歷所有指向它的資源，如路由設(shè)備，監(jiān)控指標等等，進行路由的變更，和網(wǎng)絡拓撲關(guān)系的自動適配，而不是簡單刪除就可以,下圖為VPN連接的混合云數(shù)據(jù)模型。

混合云VPN連接的數(shù)據(jù)模型

區(qū)分邏輯和真實操作

對公有云資源的操作都必須區(qū)分邏輯操作和真實操作，方便管理員的管理。比如有的用戶只能邏輯上刪除一個公有云網(wǎng)絡，而不允許真實刪除公有云網(wǎng)絡。又比如對可用區(qū)這種概念，用戶只能邏輯性地清除它以及它的子資源，而不能真實刪除一個可用區(qū)，因為這是公有云的固有屬性。

升級原則

對于混合云產(chǎn)品來說，私有云的部分是可以隨產(chǎn)品升級而升級的，但公有云部分的升級，則可能影響到產(chǎn)品的穩(wěn)定性。因此要注意兩個原則：

一是對公有云的操作失敗范圍要盡量控制在可以控制的范圍內(nèi)，比如錯誤或數(shù)據(jù)結(jié)構(gòu)控制在有限的package內(nèi)，避免公有云API的調(diào)用失敗影響到產(chǎn)品整體流程。

二是對公有云上有可能變更的行為和資源保持彈性和可降級處理，比如公有云上的可用區(qū)是有可能新增和關(guān)閉的，而每個可用區(qū)內(nèi)能看到的資源類型也是不對稱并且會發(fā)生變化的（例如庫存變化），因此需要有機制能動態(tài)地識別這種變化并進行相應處理。對于第二點來說，還需要開發(fā)人員對每個公有云本身的實現(xiàn)機制有深入的理解。

以上幾個設(shè)計原則雖然并不輕松，但一旦建立完成，一方面可以在UI上做出許許多多令人贊嘆的智能化設(shè)計。另一方面，公有云資源的操作可以達到毫秒級響應，在全異步的框架下，一個管理節(jié)點可以幫助用戶管理成千上萬個云資源，從而用戶可以摒棄掉公有云控制臺。

用戶可以在混合云平臺上做什么

對于用戶來說，混合云幫助他屏蔽了許多實現(xiàn)細節(jié)，那么用戶只需要按照場景去使用即可。在這里我們列舉用戶可以在混合云平臺上做的事情。

災備場景

用戶指定本地數(shù)據(jù)中心的磁盤、鏡像或云主機，可通過備份策略、備份組或直接手動的方式，備份到遠端公有云?；旌显破脚_幫助解決連通以及去重的問題。

互連場景

用戶指定本地數(shù)據(jù)中心通過VPN或?qū)＞€的方式連接公有云VPC，或直接連接幾個公有云VPC，或把自己幾個數(shù)據(jù)中心與公有云組成星形網(wǎng)絡，互相通過內(nèi)網(wǎng)訪問。在此基礎(chǔ)之上，用戶可以讓自己的業(yè)務跨云部署，或跨云使用負載均衡。至于連通的細節(jié)由混合云平臺處理，用戶只需要指定連通目標即可。

彈性場景

用戶將本地數(shù)據(jù)中心的云主機彈到公有云，或者反過來從公有云彈到本地數(shù)據(jù)中心，從而解決業(yè)務遷移和彈性擴展問題。這個場景可以極大節(jié)省用戶的資源成本，從而通過混合云平臺解決數(shù)據(jù)遷移的問題。

多云管理

用戶不需要再登錄公有云控制臺，在本地完成所有操作。本地平臺還可以幫助用戶解決跨帳戶、跨地域管理的問題，從而可以將用戶的資源管理速度提高幾個數(shù)量級。

總結(jié)

本文從系統(tǒng)概念層面闡述了我們在研究和實踐中對混合云的認知，即混合云應該是讓私有云和公有云之間能進行帳號打通、網(wǎng)絡打通、存儲打通，并以流暢的用戶體驗極大降低用戶在不同云之間的分裂體驗，從而使用戶能夠?qū)Ｐ挠跇I(yè)務架構(gòu)，而不用關(guān)心基礎(chǔ)資源如何打通的問題。

針對這一全新的混合云認知，本文提出了混合云的設(shè)計目標以及圍繞該目標應有的實現(xiàn)手段、設(shè)計原則。

【作者簡介】

[[203298]]

鄧明鑒，ZStack混合云架構(gòu)師。在大數(shù)據(jù)和分布式系統(tǒng)領(lǐng)域有多年開發(fā)經(jīng)驗。在IaaS領(lǐng)域，無論是公有云產(chǎn)品還是私有云產(chǎn)品都有資深研發(fā)經(jīng)歷。目前在ZStack負責混合云產(chǎn)品的架構(gòu)與開發(fā)。他于2008年加入淘寶，任職大數(shù)據(jù)平臺運維與研發(fā)；2011年加入阿里核心技術(shù)部，負責分布式系統(tǒng)HBase平臺的研發(fā)與應用支撐；2014年加入阿里云，負責ECS產(chǎn)品架構(gòu)與開發(fā)。2016年加入ZStack，任混合云架構(gòu)師。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】