混合云是一个云计算的环境，在这个环境中混合了本地部署的私有云和来自第三方的公有云服务，并且能够在这两个平台上自由切换。但是要特别注意的是，这里的“私有云”指的是本地部署虚拟服务器和存储设备。

混合云不是全部上云

很多人都是在厌倦了本地计算，才会下定决心要上云。坦白来讲，我很难理解人们选择抛弃计算机，而选择云。混合云也并不将所有内容全部上云。

混合云也不是全在本地

下面我们来看看另一个方面，如果你拥有一个内部的DDoS防护系统，有多少人是拒绝云计算，愿意将一切都放在企业内部?你的企业是否拥有一个内部的DDoS防护系统？当然DDoS在外网更好，因为它的上游管道会特别宽，不容易饱和。同样的，内部邮件中存在的垃圾邮件和恶意软件，很多也是购买外部服务来维护，不会影响到内部系统。

混合是大势所趋

现实生活中的很多例子都是充分考虑了基础设施，但是没有考虑应用程序。那么APP是怎样的呢?云上的企业电子邮件和人力资源系统越来越受到人们的欢迎，但是如果运行它们，内部需要更多的设备和存储能力。而云上的灾难恢复(DR)因其价格低廉越来越流行。

鉴于上述情况，我们可能会设置一个将各种组件组合在一起的混合云模式。

混合云是单一实体

设置混合云第一个要考虑的就是它是否是一个单一实体。要最大程度的跨越本地部署和云部署的鸿沟，把它们当做一个集成系统来看待。这样，即使你无法达到完全的统一，也可以最大限度的去接近。

目录服务

身份认证、业务流程和权限控制，这应该设置任何IT设备的第一步，混合云也不例外。只要你能确保它的安全性，那么采取怎样的方式并不重要。一种方式是在你本地DMZ和基于云的系统中部署只读目录服务。还有一种更简单的方式就是在云上部署宿主目录，这种方式也不需要在防火墙配置NAT服务。

集成软件和设备

在本地部署基于云的系统时，系统和组件是分离的。云应用和云服务提供商是分离的，所以你可以在IaaS上安装一个完全自我控制的SaaS服务。你也可以在本地服务器上安装一个基于云的存储卷，但是这种方法响应很慢，也特别容易中断。

如果你不是直接连接到云服务提供商，那么就还有一个问题需要考虑，那就是如何安全的连接计算区域和其他区域。你可以选择VPN来进行端到端的连接。VPN就是在公用网络建立专用网络，但是你要申请正确连续的IP地址和路由。和目录服务相比，这种方式更容易实现。

管理工具

管理工具和其他部分相比是比较容易处理。

App level

在真正的混合集成的世界里，这是最容易处理的管理层，因为这些应用是分布在不同网站并且有一定的安全设置。所以一些恶意软件并不能轻易的攻击业务流程，攻击者也不能轻易的进行数据库复制。

OS level

如果服务器和处于不同位置的系统能够互相看到IP层，OS管理工具和相关工具的分层是很容易的。在上世纪90年代，我记得有一个很慢的全球网络，它遍及18个网站，能够像Novell NDS分层，提供全球DHCP服务，有一个支持全球语音信箱的集群。Co-ordinated IP是OS-level的重要推动者。

VM level

如果操作系统之间可以通信，那么就需要统一管理虚拟服务器。统一管理的关键是如何寻找一个工具能够管理各种不同的服务器。如果你的系统相似的话，那么难度就不是很大，例如Microsoft Azure就在云上，而Windows则在本地。但如果系统之间的差异较大，那么要想实现无缝管理的难度较大，比如亚马逊使用codedeploy工具来管理到AWS和本地服务器，谷歌使用Stackdriver管理工具来监控AWS以及谷歌私有云。除了选择工具来管理之外，你还可以使用第三方厂商如RightScale来进行管理。

接下来，我们是否需要管理更底层的东西?不，因为在云中，你是无法看到比VM层更底层的东西。

升级

本地设备和云设备的主要区别就是SaaS平台。

如果你正在云上运行一个IaaS设备，那么它的升级就非常简单，你只要负责本地和云设备就行。如果你的网络足够好，那么你只需更新补丁即可。

如果你是运行SaaS组件，那么就要先更新内部元素确保它能够上云。SaaS供应商将提供操作系统和基于调度的应用补丁，一定要及时更新，如果更新不及时会有很多问题出现。

安全

这里的“安全”指的不仅仅是要确保用户能够对他们的密码进行管理以及登陆之后能够访问到正确的内容，它还包括将治理，合规及风险管理。

混合集成环境的安全问题要比本地环境复杂一些。你必须格外注意核心认证和业务流程机制，除此之外，一个很好的混合集成环境可以让外部组件像内部组件一样轻松登录到SIEM服务和集中的日志服务器。另外，网络和访问控制列表的设计要通用。