企業云上架構與管理思考

◆張鐘平 張柯 張世超

（1.華電電力科學研究院有限公司 浙江 310000；2.浙江省蓄能與建筑節能技術重點實驗室 浙江 310000；3.中國華電集團有限公司 北京 100000）

隨著互聯網信息技術的快速發展，尤其是“云大物移智鏈”技術的不斷發展和成熟，企業信息化建設逐步向云計算轉變，不同的企業在進行數字化轉型過程中，要同時面對多種不同類型搭建和管理，并能夠最大限度地實現這些云間資源互助和利用，全面支撐業務需求。

1 云上架構的幾點考慮

（1）彈性：架構能夠根據系統的需求進行彈性的伸縮；

（2）可用：要能夠保證系統運行的連續性，避免出現業務中斷的情況；

（3）性能：要確保系統能夠高效、快速地響應用戶的請求；

（4）安全：能夠保證云上系統的安全，以防止被黑客攻擊；

（5）可管理性：搭建的架構能夠便于后續的管理，節省管理的時間和成本；

（6）傳統架構和云上架構的設計方法是有明顯不同，如圖1所示，主要包括：傳統架構：解決應用和業務有、無的問題，相對厚重，不連續；云上架構：解決應用和業務多、快、好、省的問題，相對輕便，平滑。

圖1 傳統與云上設計架構區別

2 云上構建思路

基礎資源按類型、需求、安全和性能等方面進行分類，通過虛擬化資源進行業務需求梳理，規劃企業云上架構，根據對資源的需求不一致進行云上架構規劃：

（1）高可用性和響應速度。高可用設計應包括三種不同的方式，如圖2所示，分別是：主從方式、雙機互備和集群工作方式。為業務部門創建、分配相應的云化資源，采取冗余設計，保障在資源服務出現故障的情況下，不影響用戶業務，提升數據中心對業務部門的響應速度。

圖2 高可用設計的三種方式

（2）硬件和性能需求。需要對不同設施云上應用的應用系統資源進行特點分析，將應用分為高性能、高可靠、大流量等不同類型，并按不同系數進行資源配置。

（3）等級保護需求。云環境根據不同等保級別及業務特點，對基礎設施云資源進行分級分類。

（4）內外網和不同區域需求。虛擬化技術是平臺構建的關鍵技術，被廣泛用于云計算領域中資源按需分配的配置和管理。根據內外網以及不同區域數據需求，在虛擬資源池上進行基礎設施云環境規劃建設規模。

（5）不同的存儲數據類型。對結構化和非結構化數據采用不同的存儲設備進行分離存儲，降低云資源的投資成本，根據對數據的訪問特點，對應配置不同級別的存儲設備，可將存儲的數據分為熱數據、溫數據和冷數據 3 類，降低云資源的投資成本[1]。

3 云上網絡架構

3.1 專有網絡VPC

專有網絡VPC（Virtual Private Cloud）是公有云推薦使用的網絡類型，專有網絡之間邏輯上徹底隔離。VPC 是主要上云考慮產品，主要原因：

（1）隔離的網絡環境。VPC 基于隧道技術，實現數據鏈路層的隔離，為每個租戶提供一張獨立、隔離的安全網絡。不同專有網絡之間內部網絡完全隔離，只能通過對外映射的IP（彈性公網IP 和NAT IP）互連。

（2）可控的網絡配置。用戶可以完全掌控自己的虛擬網絡，選擇IP 地址范圍、配置路由表和網關等，實現安全而輕松地資源訪問。通過專線或VPN 等連接方式將您的專有網絡與傳統數據中心相連，形成一個按需定制的網絡環境，實現應用的平滑遷移上云和對數據中心的擴展。

（3）靈活的訪問范圍。如果沒有多地域部署系統的要求且各系統之間也不需要通過VPC 進行隔離，可以創建VPN 網關，注冊到ETCD 數據庫中，各個網絡通過注冊用戶 VPN 網關信息完成網絡互連，采用 NAT 技術對外映射，能夠靈活控制外部用戶訪問范圍。

3.2 有公網需求的網絡架構

VPC 網絡下，系統可以通過彈性公網IP、NAT 網關、公網負載均衡（SLB）和云主機固定公網IP 等方式連接公網。

（1）需對外提供服務的系統

單臺云主機對外提供服務時，如果只存在單一應用，并且業務較小的時候，單臺云主機即可滿足需求，可以將應用程序、數據庫、文件都部署在該云主機上，為這臺云主機綁定一個IP 實現對外提供服務。

當業務流量較大，一臺云主機不能支持全部訪問流量，需要多臺云主機才能支持時，且只需要最簡單的負載均衡功能。可創建一個公網負載均衡實例，配置四層（TCP/UDP）監聽，并在后端掛載多臺云主機來搭建整個業務架構。除了基本的流量分發，應用系統需要將不同的業務流量分發到不同的后端服務器時，可以使用七層負載均衡的域名和URL 轉發功能來實現，通過創建一個公網負載均衡實例，配置七層（HTTP/HTTPS）監聽，并在后端掛載多臺云主機來搭建整個業務架構。

圖3 需對外提供服務架構

（2）無公網但主機需主動訪問互聯網系統

若需要訪問公網的云主機數量比較多，對每臺云主機分別綁定IP 管理成本高，而且綁定IP 也意味著外部用戶可以通過公網訪問到云主機，相對不安全。此時使用NAT 網關的SNAT 功能，配置SNAT條目來訪問公網。

（3）有IPv6 需求的系統

IPv6 轉換（IPv6 Translation Service），是有狀態的IPv6 和IPv4網絡協議轉換服務，通過IPv6 轉換服務及四層模式（支持TCP 和UDP 協議），實現快速向IPv6 網絡側用戶提供訪問服務。

5 云資源統一管理平臺

大數據著眼于“數據”，關注實際業務，提供數據采集分析挖掘，看重的是信息積淀[4]，即數據存儲能力。云計算著眼于“計算”，關注IT 解決方案，提供IT 基礎架構，看重的是計算能力，即數據處理能力[2]。

（1）云資源統一管理平臺規劃建設。在數據中心建設中，通過規劃企業統一的云資源管理系統平臺，利用云資源的數據匯集、資源服務、運行管理、服務支撐和數據展現等功能，覆蓋企業范圍內的基礎設施云環境。通過基礎設施資源、軟件平臺、業務應用等系統整合，實現企業云資源的融合和統一管理。

圖4 企業云資源統一管理平臺

（2）云資源運行管理。云資源管理與傳統基礎設施管理區別很大，云上需要的是智能化、快速交付和高可用性服務能力。基于云資源管理平臺重點規范云資源的容量管理、資源調度管理和資源維護管理，設置 6 個主要角色，包括使用、決策、資源審批、容量規劃、平臺管理和資產管理角色[1]。

5 結束語

云計算的概念伴隨著產業互聯網，數字轉型等熱詞，已經有了新的概念和意義[3]，結合業務需求，規劃企業云上系統，分析基礎設施層的資源服務能力，結合數據中心實際情況規劃分層且統一的云資源管理平臺，調整云資源的運行管理方式，為企業構建滿足企業按需擴展、易于管理、安全可控的信息化升級解決方案。