9月1日,由工业和信息化部指导,中国信息通信研究院、中国通信标准化协会主办,数据中心联盟承办的“2016可信云大会”在京隆重召开。在云计算超融合架构论坛上,深信服云计算BU CTO 曹心驰发表了题为“超融合让业务上云更简单”的演讲。
深信服云计算BU CTO 曹心驰
以下是演讲全文:
今天很荣幸在这里和大家分享我们深信服在云计算方面的思路和看法。先自我介绍一下,我现在是在深信服负责整个深信服的云计算业务,就是BU这条线。我在加入深信服之前,在华为做了一年,负责华为IT这条线云计算的规划。我在加入华为之前是在VMware负责云计算业务战略的转型,其实我从2010年进去之后,我的工作是帮助VMware从虚拟化到云计算。其实我加入深信服也有自己的考虑,所以我今天和大家分享一下为什么超融合是我认为的发展方向。
超融合是云计算演进当中过渡的产品,它实际上的目标还是企业实现上云计算转型快捷的交付工具。我们也做了一些分析,数据中心在云计算转型的时候有不同阶段,包括规划阶段,建设阶段,运维阶段。每个阶段不同的客户。在遇到这样的阶段的时候,他们面对的挑战和期望的核心是不一样的,在规划阶段希望整个架构很简单,很灵活,甚至投资也少,不要一下子建得那么大。但在现行大型云计算建设当中,基本上是以云计算大的规划来做的,所以就出现一个问题,投资没有达到预先的想法,并且在产品架构上,由于被VMware先进厂商所控制,所以在架构扩展和改变的时候,就重现了一些成本和风险。
第二阶段是建设阶段,建设阶段的时候,大家在考虑架构怎么做,最主要的是考虑做完以后要怎么面向交付给使用云资源的人。这些人是谁呢?实际上是各个部门也好,业务系统的设计和主宰者,他们会发现业务上云的过程很难,并不是说建设这个平台很难,而是业务真正跑上去很难。在华为的时候,有很多信息中心主任,他们借着政务云跟我说,你要想办法把我的业务放进云去,平台建了,没有办法跑业务,或者业务跑得很少。业务部门最担心的几个问题,第一个是安全,其次是一些业务系统的数据,这些安全包括架构上是不是安全,包括业务系统平台本身是不是安全,还有租户和租户之间,各个租户之间是不是有安全的问题,临近部门会不会对我产生安全问题,最重要的是数据放进去以后,数据本身怎么保障安全,这些问题没有解决,所以业务部门很难上手。
还有一个最关键的,到了运维阶段,很多企业在相对数据安全比较小的情况下也上了一些云。真正做进去以后发现,他本来希望建一个云的环境,把它现有虚拟化架构变得更简单,使用起来更方便。但这样的情况下,超出了它的运维管理能力,超出了它的团队能力模型,反倒给他带来一个新的课题让他解决,就是怎么运维管理云的平台。所以这是整个数据中心往云上面走的关键。
当时在VMware的时候也认为,VMware是传统架构的虚拟化解决方案,它改变的是传统服务器的物理架构,带来的价值是资源的整合,所以那个时候我们还认为它到了一个虚拟化的数据中心,但其实还是传统的架构。但是我们看到的未来是什么样的?未来一定是一个云化数据中心的架构,云化数据中心就是一个混合态的,一部分数据会部署在公有云上,一部分数据会部署在自己家里,还有一部分数据可能是行业纵向的部署在同行的垂直的云里面,所以这种部署的架构,云是混态的,分布式数据中心或者云数据中心是存在多种形态的。
要把这样的架构从传统虚拟化架构向云计算转型,实际上难度很大。最新Gartner的象限图里面,云计算单独作为一个点已经不存在了。从架构上来讲大家已经认同了,已经进入到成熟交付期的过程,没有人炒这个话题了。但是现在有两个问题,一个是云能定义一切,软件定义一切,这是两个重要的问题。我们深信服从虚拟化向云计算转型的时候,能够给客户提供简单的、平滑演进到云的过程,所以我们选择了超融合这条路。IDC趋势里面,超融合架构现在是快到了炒作期的最顶峰了,但是其后是Openstack,Openstack是在超融合之后的第二个话题。我们认为这两个关联和我们原来预想是比较一致的,超融合解决了大多数企业从虚拟化架构向云化转型的起点,到了一定程度的时候,超融合作为Openstack底层架构是作为承载,这是我认为路线上的方向。
我们也是看到了超融合的方向,超融合大家最认同的是Gartner的定义,把计算、存储、网络、安全融合在一起。我们深信服是一家软件公司,它并不是以硬件为主的,所以我们虽然也有超融合一体机的概念,架构的销售形式,实际上是为了帮助,还是为了简化客户运维体系,但是我们的产品成本,或者价值核心是在我们的软件。我们有两种形式,一种是基于封装好盒子的,我们给你规划好一些典型业务场景,直接用盒子一体化交付,从盒子到柜子的模式来交付。第二,我是卖底层架构,全部用你的设计,我们硬件上基本上是平进平出,也就是说主要利润就是来自软件,硬件几乎没有。
这是我们的几个阶段,一个是以计算和存储为核心的,第二是把网络加进去,但是我们认为把网络和安全加进去的最重要目的还是以应用系统为核心。当我们把应用系统为核心全部加了以后才是最重要的部分,我们把计算、网络、存储、安全,数据中心软件定义化全部内容放进去,应用系统才能安全可靠的跑在这个平台上,才能真正把应用迁到云。
架构上我们也分了几块,包括用超融合交付业务资源池,用超融合架构把物理资源也能管理起来,还有用超融合承载一些安全的服务,变成一个云安全服务的模式,挂接在数据中心的节点上。其实这里面还有一个更小的产品Abox在里,通过超融合节点把它拉到整个平台上。在访问过程当中,不同用户通过这样的环境,通过不同的接入方式,每种接入方式它们所经过的所有网络流量,都是通过这种纯虚拟化架构里面去访问的,包括我们用超融合构建的网络边界安全资源池和超融合桌面接入的边界,以及我们业务的边界。
针对更大的规模,我们也提出深信服超融合,利用深信服NFV组件,提供安全资源池的服务。这个服务是面向三层,第一层,面向底层物理层基础架构,可以起到替代物理层传播安全设备的概念,我们可以替换掉。第二层,在我们物理资源上搭建云平台资源以后,面向租户的时候,以服务形式构建VDC,也就是说,我们创建虚拟数据中心的时候,我们只要选择一些安全服务,而不是选择一些设备。第三层,我们在构建业务边界的时候,就是VPC、虚拟云的时候,比如一些应用负载,应用安全防御,这些服务我们也以服务的形式来在创建过程当中实现,而不是交付的是一个个的设备,这一切都是源自于整个安全资源池的大的架构来支撑的。同时,我们在公有云上,利用公有云的安全防御时效性和大量的数据积累,可以实时对我们讹误服务提供安全保障,比如防篡改,真正做到快,我们要第一时间发现,第一时间修改,第一时间通知网络设备进行调整。内外联动,从互联网服务到底层资源池服务联动,来实现对业务系统的安全保障。这些东西都是构建在超融合为基础的架构上。
面向大型数据中心,我们在遵照国家电子商务内网或者指导平台参照的时候,根据这个模式,在安全接入区,我们用超融合承载NFV设备,来替代传统防火墙,负载均衡,VPN这些设备,全部使用虚拟防火墙,虚拟VPN。在网络出口这一侧也是一样,在接入这一层在核心层旁路,安全资源池,在内外网都是旁路,安全资源池,保证数据中心架构里面的资源,用桌面云承载安全资源等保的接入要求。在数据区利用分布式存储技术,实现完全底层数据的共享。大多数情况下,在管理节点去部署管理节点,对超融合做统一规划和管理。
整个产品体系里面,我们分成了基于单台机器,把一台服务器当成一个数据中心来设计,将服务器、存储、网络、安全都设计在一个服务器之内,用两台服务器形成最小的资源池,可以最小实现两台,两台就可以实现带有租户框架的,在超融合里面没有面向租户内部的服务,租户内部的处理都是由超融合管理员处理的,只是给他提供了工具去处理。第二,以超融合所构建的私有云,在超融合产品上,堆加了Acloud产品,对一组组的超融合实现统一管理。我们在产品规划里,也是希望在未来把超融合可以当成U盘一样,自由插拔到Openstack所构建的云平台上,来实现资源的可拆分。也就是我们需要管的时候就可以管,需要拆的时候也可以拆。
在政务云层面,我们把构建的超融合平台一体化,加上安全服务和等保服务框架,交付整个电子政务服务的内网。我们其实在建云的过程当中,不仅仅考虑的是架构,实际上考虑了整套上云的路径,包括怎么对业务梳理,包括根据业务特征做资源池规划,包括评估哪些系统适合放在超融合,哪些不适合放在超融合,哪些系统适合迁到云里,哪些系统适合改造之后迁到云里,我们做了可评测的模型。同时做了业务上云的迁移工具,业务上云考虑两个方面,一个是迁移过程当中的数据安全性,一个是考虑迁移过程中业务连续性,我们构建了一些工具,通过评估以后,使用工具迁移,包括P2P,V2V的。未来可能是第三方的云,怎么去管,我们也进入进来,通过工具实现导入。
实际上超融合的架构是最小云的雏形,这样的架构主要是考虑简化IT部门上云的难度,也就是说,云可能是一个外太空事件,我们生活在地球上,我们每个人都希望进入到太空,那怎么上呢?就像航天员一样要经过很多年训练,我们提供一些工具,让大家从小的事情做起,最核心的就是简单,因为这个一旦难了,跟建一个大云是没有什么区别的,超融合体现不出和云的区别,所以我们在简单里面实现极简化管理,我们架构上也省了云架构的管理节点,把像类似VMware的体系模型,把它用分布式软件实现,直接灌在底层内核里,变成一个进程,节省了两台架构之间资源。也就是说,我们起点非常低,如果要去为几台服务器构建虚拟化,还要装一台管理节点的话,其实对客户来说成本很高,我们大部分客户是节点比较低的客户,所以我们帮它从低成本架构设计构建一个云,并且可以让他在两三年之内逐渐实现大的架构和平滑演进。
这个图提供给不懂IP或者不懂技术的人,来构建它的技术架构。举个例子,某个单位信息化人员提供了业务设计模型,可以通过这个图进行业务设计,审批之后自动生成业务所有需要虚拟机的映象,在上面可以看到网络数据的分析。因为深信服本身是做安全起家的公司,所以在网络底层技术上有很的深积累,所以在这方面也做得非常强。同时整合一些运维管理的模型和平台,对网络资源、平台资源、业务资源进行分析。
我们也整合了报表,在超融合状态下,客户只需要对资源使用报表的统计,在大规模情况下会实行计费,所以在单纯超融合里面是不包括云的,但是加了Openstack以后是可以面向租户实现计费模型的。在管理体系上,我们有六大能力,一是分级分权,我们在不带Openstack架构里可以实现分级分权管理,有自己的门户和管理界面,按资源,按容量分配下去,而不是给个别虚拟机。二是可以进行编排,对于基于业务系统的架构设计重新编排。三是提供一整套安全的防御体系。所以我刚才讲了深信服有两个BU,一个安全BU,一个云的BU,安全BU专门研究安全怎么做,安全架构怎么整合。
二是做到全局可视化,包括安全监控可视化,其实这个华三也做了很多,因为这不是什么新的技术,没有什么创新,大家有多年的积累,只是谁做得更方便一点。还有告警,自动化怎么需要遇到问题以后,告警分几个级别,哪些自动处理,哪些需要管理员参与。最后是整个架构的设计,包括安全架构的设计。这是我们不带Openstack里面能够实现的六大功能。
其实我们在今年8月份IDC魔力象限里面,我们深信服很荣幸入了虚拟化的魔力象限,很多人问我,我们深信服为什么能进这个象限,很多公司也没听说过,因为我们本身在这块,其实深信服从2010年开始投入到这方面的建设,09年的时候发现传统安全可能会被云计算安全所替代,所以公司开始布局这块,经过四年投入,我们在2014年发布超融合一体机解决方案,同时发布基于Openstack云的测试版。
为什么深信服能够进这个呢?最重要的原因是,深信服相对于华三、华为这些大企业相比,我们卖出的客户数量最多。也就是说,我们不是像华为一单那么大,我们规模很小,但是我们覆盖客户量很大。Gartner的评价是,从市场角度来说,深信服对整个市场的推动和产业的成熟是有贡献的,这个贡献来自于它让所有人都能把iPhone变成安卓,大家都能买得起,所有人都能享受智能手机。而我们在实际生产环境里部署的虚拟机数量有15万台在跑,所以这个基数也是支撑的参数,所以我们很荣幸能够进入当中。同时我们在东南亚市场也有布局,而且深信服原先在安全排名里面,IDC附载均衡,一直在各个象限里,超融合是我们到目前为止公司最快的一个产品,两年时间之内,能够进入到魔力象限的第一个产品,所以这也是深信服这几年大力的投入的一个原因。
后面举两个最简单的例子,我们定位小市场,所以我们看中的是什么?第一,解决原来系统的平台瓶颈,将业务分散化,用一个很小的规模,差不多12台机器的架构,12台就是一个柜子的模式替代掉原来很大投资的数据中心,来支持它的业务。企业分很多种,有的像银行属于高频交易的,还有一些并不是高频交易的,所以它的架构完全可以通过现有架构满足,所以面向商业的客户场景我们会关注比较多。
第二,用超融合技术实现整个性能的提升。比如这是劲霸男装,因为他们业务系统已经上云了,但是数据还是放在家里,他们需要在家里对当天交易数据做分析,来产生未来的订单以及投资采购的方向。他们以前系统差不多要十个小时算一个晚上,后来因为互联网来了以后,订单量更大,以前是小量大单,现在是大量小单,所以他们算的时间会增长,用这个架构从十个小时变到了四个小时,这里面有一些原因。
我们在超融合架构上,有一些底层技术,包括存储优化性能,我们实测当中的性能,要比第三方同等做分布式的厂商要快,我们超融合也和金蝶K3系统共同打包解决方案,在K3系统里,放在家里面的超融合架构里面,超融合放在自有数据中心内部架构里面,也是使用深信服超融合作为底层架构支撑的。面向这样的客户交付,我们主要解决的是用平台,超融合来承载现有IT架构的各种环境,通过超融合加上Openstack的模型,来实现一个企业完整云化的过程。这是我今天下午给大家的分享,谢谢大家!