混合云到底是啥？阿里云核心技術(shù)團隊告訴你答案！

你真的了解混合云嗎？讓我們看看該領(lǐng)域的領(lǐng)航者是怎么說的吧！

01

混合云定義

目前混合云沒有精確的定義，從NIST 的定義中可歸結(jié)出混合云的一般性定義：多個云之間互聯(lián)的IT 架構(gòu)。

從這個定義可以得出如下形式的云混合：

公有云之間的混合。

私有云之間的混合。

公有云和私有云的混合。

公有云和傳統(tǒng)IT 的混合。

在概念上，多個云的混合與多云很像。

多云本身也沒有精確的定義，但一般認(rèn)為它與混合云的區(qū)別在于：

混合云需要通過專線或 VPN 來連接各個相關(guān)云，而多云則不必這樣做，多云通過CMP（Cloud Management Platform）即云管平臺來管理多個云。

混合云關(guān)注云資源之間的互聯(lián)，以便應(yīng)用能相互通信，而多云則關(guān)注云資源的管理，其主要通過OpenAPI 來管理云。

我們不討論多云，主要關(guān)注混合云。

下面分別對上述各種云混合的形態(tài)進行分析。

02

云混合的形態(tài)

1. 公有云之間的混合

公有云之間的混合其實發(fā)展得比較早，鑒于有些用戶不希望依賴某個具體的云廠商，或者事實上不能依賴單個廠商，這時跨云架構(gòu)便比較合適。

實際上，市場上有很多工具可以幫助用戶支持多云架構(gòu)，比如HashiCorp 的Terraform就是流行的跨云部署工具，其試圖抽象化基礎(chǔ)架構(gòu)模型，屏蔽各云之間的IaaS具體差別。

2. 私有云之間的混合

這種混合一般是同一種私有云的連接。一般私有云都是一個公司內(nèi)部的IT架構(gòu)，為了降低運維成本，同一個公司一定會采用同一套架構(gòu)。

而異構(gòu)的私有云混合，比如VMware 和 OpenStack 之間的混合不是市場主流，這里不會重點介紹。

3. 公有云和私有云的混合

這種情況是現(xiàn)在混合云的熱點。

如前所述，公有云和私有云各有優(yōu)缺點，它們在未來相當(dāng)長的一段時間內(nèi)都將存在，所以各自利用對方的優(yōu)點是必然趨勢。

4. 公有云和傳統(tǒng)IT 的混合

注意，就混合云的定義來說，混合云必然是云之間的互聯(lián)，而現(xiàn)實中仍然大量存在傳統(tǒng)IT + 公有云架構(gòu)。

這種混合從定義上說不是混合云，因為云的一個重要特點是基礎(chǔ)架構(gòu)云化。

但也有人將其歸到混合云下，原因是Gartner 之前將混合云定義為混合的IT 架構(gòu)。從這個意義上說，傳統(tǒng)IT + 公有云架構(gòu)也算是混合云。

云混合之所以困難，一個重要原因是在基礎(chǔ)架構(gòu)的云化方面，各廠商都是各自為戰(zhàn)，并沒有一個標(biāo)準(zhǔn)，而混合云的價值在于通過連通兩個或多個云，盡可能屏蔽它們之間的差異，從而達(dá)到對公有云的高效利用。

03

混合云架構(gòu)特點

混合云作為一個覆蓋私有云、專有云、公有云以及線下IDC 的云計算綜合體，在帶來單一云形態(tài)所不具備的優(yōu)越性的同時，也為業(yè)務(wù)的架構(gòu)設(shè)計及實施部署提出了更高的要求。

在進行混合云架構(gòu)設(shè)計時，既要關(guān)注各種云形態(tài)的技術(shù)棧差異，也要考慮跨平臺的產(chǎn)品融合編排，以期實現(xiàn)跨平臺的資源整合，為業(yè)務(wù)應(yīng)用帶來更大的價值。

與傳統(tǒng)單一私有云或者專有云的架構(gòu)相比，混合云架構(gòu)有如下主要特點。

1. 彈性

彈性是云計算的核心能力之一，它充分提高了業(yè)務(wù)系統(tǒng)的容錯能力，在業(yè)務(wù)峰值時可以在不同的云上快速水平擴展，在業(yè)務(wù)低谷時可以自動釋放回收資源。雖然單一云形態(tài)也具備這種特性，但混合云則使這一能力得到了更大的發(fā)揮。

首先，在帶有公有云的混合云場景下，利用云廠商在公有云上的龐大計算資源池和分布于各地的大型數(shù)據(jù)中心，可以跨可用區(qū)甚至跨地域進行彈性伸縮，極大地拓寬了專有云的資源邊界，增加了資源儲備。

其次，混合云的統(tǒng)一開放API 為彈性伸縮提供了最簡捷的使用路徑。例如，使用VMware 進行私有云的資源伸縮時，需要調(diào)用vCenter 的MOB 接口，根據(jù)不同ObjectType 的屬性和方法來進行自動化程序封裝；而使用阿里云的彈性伸縮時，只需要通過JSON 或YAML 語法顯式聲明操作需求即可快速獲取資源。

最后，混合云平臺提供了友好的界面，彈性伸縮通過簡單的白屏化配置即可完成，不需要編寫復(fù)雜的資源監(jiān)測腳本或者伸縮規(guī)則腳本。

2. 擴展性

混合云架構(gòu)設(shè)計是分布式的典范，其統(tǒng)一API 屏蔽了底層基礎(chǔ)設(shè)施的差異，而且可以快速對接第三方應(yīng)用。

這種擴展能力，在底層上體現(xiàn)為不用將企業(yè)的基礎(chǔ)設(shè)施捆綁在某個虛擬化技術(shù)平臺或某個服務(wù)器機型上，可以實現(xiàn)從私有云到專有云再到公有云的ECS、裸機和VPC 等IaaS 資源納管，輕松地將上層業(yè)務(wù)部署在多個異構(gòu)環(huán)境中，實現(xiàn)基礎(chǔ)架構(gòu)的快速擴展。

在上層應(yīng)用上則體現(xiàn)為在云原生類和PaaS 類平臺上，例如阿里云的ACK，在提供標(biāo)準(zhǔn)K8s 能力的同時，可以通過虛擬節(jié)點和聯(lián)邦等方式納管不同的集群及Workload，將業(yè)務(wù)快速擴展部署到不同的云平臺上。

3. 安全性

安全是信息科技領(lǐng)域中不變的主題，在混合云環(huán)境下，由于邊界的延伸，其安全架構(gòu)的復(fù)雜度要高于單一專有云和私有云的安全架構(gòu)，因此混合云對安全的設(shè)計提出了更高的要求。

首先，在異構(gòu)專有云架構(gòu)（相同IDC 或者不同IDC 部署了兩個云廠商的云平臺組成混合云）中，由于各廠商的安全產(chǎn)品能力不一致，因此混合云需要統(tǒng)一的安全管理中心，對異構(gòu)混合云環(huán)境進行統(tǒng)一的防護策略下發(fā)并及時感知多云的安全事件。

其次，私有云和專有云的安全設(shè)備一般部署在IDC 邊界，而且面向互聯(lián)網(wǎng)的防護能力受出口限制。要提高帶寬和安全能力，需要采購更高型號的安全設(shè)備，以及花費高昂的成本來增加鏈路帶寬。而采用專有云加公有云雙互聯(lián)網(wǎng)入口組網(wǎng)模式，則需要兩套安全防護平臺，在管理和配置上無法實現(xiàn)聯(lián)動。為提高整體安全防護能力，在《混合云架構(gòu)》一書的6.3.2 節(jié)中提出了一種混合云彈性安全防護解決方案。

通過利用公有云廠商的海量安全防護能力，例如DDoS 高防、云WAF、云解析等，實現(xiàn)互聯(lián)網(wǎng)側(cè)攻擊終結(jié)在公有云側(cè)。從某種程度上看，相當(dāng)于混合云架構(gòu)將安全邊界從企業(yè)IDC 上移到公有云上。

再次，使用混合云對數(shù)據(jù)保護和合規(guī)提出了更高的要求。由于混合云擴寬了網(wǎng)絡(luò)區(qū)域和物理邊界，而標(biāo)準(zhǔn)的等級保護等安全測評對這類場景并沒有細(xì)化的描述，因此使用混合云后，可以在滿足原有安全要求的情況下通過數(shù)據(jù)加密和密鑰管理等進行安全加強。

最后，物理安全也是使用混合云的重要考慮事項。云托管已經(jīng)成為未來云計算發(fā)展的趨勢，用戶使用混合云架構(gòu)可以節(jié)省IDC 建設(shè)成本，輕松擴展業(yè)務(wù)。

關(guān)于如何確保硬件設(shè)備（包括上層數(shù)據(jù)）在非管控IDC 中安全可控，阿里云彈性數(shù)據(jù)中心架構(gòu)給出了很好的答案（見《混合云架構(gòu)》一書的6.3.5 節(jié)）。

04

架構(gòu)設(shè)計目標(biāo)

以往做架構(gòu)設(shè)計時，我們一般都會先考慮可靠性、安全性、穩(wěn)定性、擴展性等基本要素，混合云在滿足上述這些基本工程設(shè)計原則的同時，提出了機房通、網(wǎng)絡(luò)通、數(shù)據(jù)通、應(yīng)用通、管理通的“五通”目標(biāo)，基于“五通”目標(biāo)來考慮每個層面的業(yè)務(wù)架構(gòu)設(shè)計。而更大的理論指導(dǎo)層面則是本書的主題：“混合云—新基建”，其理念和方法在《混合云架構(gòu)》一書的第1 章中進行了闡述。

1. 機房通

在混合云架構(gòu)下，機房底層基礎(chǔ)設(shè)施已經(jīng)不再像傳統(tǒng)架構(gòu)那樣與云平臺脫離，而是被云管平臺統(tǒng)一納管。當(dāng)監(jiān)控到某列機柜用電量過大時，可以在云管平臺上將負(fù)載實例調(diào)度到低負(fù)載的機柜列；當(dāng)整個機房的用電量達(dá)到峰值時，可以通過GSLB（全局負(fù)載均衡）之類的工具將外部流量分流到其他機房或者公共云上。這種調(diào)度能力必須建立在基礎(chǔ)設(shè)施數(shù)字化的基礎(chǔ)上，例如，阿里云飛天天基系統(tǒng)就是其中的開創(chuàng)者。

天基是業(yè)界領(lǐng)先的智慧數(shù)據(jù)中心管理平臺，可以實現(xiàn)機架、供電、風(fēng)電冷卻等設(shè)備的對接，這些基礎(chǔ)設(shè)施被當(dāng)成一個個的元數(shù)據(jù)，與服務(wù)器、網(wǎng)絡(luò)設(shè)備等資源一起被云平臺統(tǒng)一編排和統(tǒng)一計算，從而實現(xiàn)機房的數(shù)字化互通。

2. 網(wǎng)絡(luò)通

網(wǎng)絡(luò)互通是一切資源聯(lián)結(jié)的基礎(chǔ)，主要包括外部系統(tǒng)與云平臺的互通，以及混合云各平臺之間的互通。物理底層可以通過城域網(wǎng)、專線、裸光纖等方式實現(xiàn)鏈路互通，協(xié)議上層可以借助云接入網(wǎng)關(guān)、高速通道或VPN 網(wǎng)關(guān)等產(chǎn)品來實現(xiàn)數(shù)據(jù)互通，從而滿足公共云與專有云的網(wǎng)絡(luò)互通。在連通性上，混合云架構(gòu)相比傳統(tǒng)架構(gòu)的一大優(yōu)勢是SDWAN 能力和核心骨干能力，借助云廠商遍布世界各地的數(shù)據(jù)中心，可以實現(xiàn)多分支的快速接入，成本比對接傳統(tǒng)運營商更低。

3. 數(shù)據(jù)通

在業(yè)務(wù)層面，數(shù)據(jù)互通是指使用阿里云提供的多種企業(yè)級數(shù)據(jù)同步工具，實現(xiàn)公共云與專有云的數(shù)據(jù)全量同步、增量同步、備份恢復(fù)等。在管控層面，數(shù)據(jù)互通是指管控平臺通過統(tǒng)一API 來調(diào)度各個云實例，實現(xiàn)多云納管，例如阿里云的ASCM 平臺，可以通過統(tǒng)一管控對接飛天敏捷標(biāo)準(zhǔn)版、飛天企業(yè)版，以及納管VMware、ZStack 等平臺，實現(xiàn)管控數(shù)據(jù)的互通。

4. 應(yīng)用通

對于傳統(tǒng)煙囪式應(yīng)用，從開發(fā)語言到底層的硬件，甚至是機房、機架，都有特別的要求，垂直捆綁導(dǎo)致各系統(tǒng)之間相互獨立，變成一個個孤島。在上云過程中，通過使用云平臺提供的從IaaS 到SaaS 全面覆蓋的產(chǎn)品能力，可以逐步提升應(yīng)用的跨平臺兼容能力，并通過阿里云的DevOps 平臺、虛擬機遷移等工具，實現(xiàn)同一業(yè)務(wù)集群內(nèi)、不同集群間、跨云平臺的應(yīng)用互通，以及業(yè)務(wù)快速遷移與部署。

5. 管理通

管理通是指云管控平臺的互通，基于開放API 所提供的自動化管理能力，如云資源管理、編排、告警、監(jiān)控、賬單統(tǒng)一管理等，最終實現(xiàn)通過混合云管理平臺管理所有混合云資源，包括公共云資源、專有云資源和私有云資源。比如阿里云的API 網(wǎng)關(guān)產(chǎn)品所提供的混合云API 集中管理功能，可以自助構(gòu)建VPC 與VPC 之間、VPC 與本地數(shù)據(jù)中心之間的集中式API 管理中心。

如今，“上云”已經(jīng)成了必然趨勢，而混合云又將是云的主要發(fā)展方向。