企業(yè)上云的原因

這張圖是我總結(jié)的為什么我們的企業(yè)的客戶需要上云。其中很大的一個(gè)原因，肯定是成本，這個(gè)成本應(yīng)該是綜合的成本，包含了人力，資源儲(chǔ)備等各方面的成本。在成本之外還有幾個(gè)很重要的原因就是關(guān)于資源、彈性以及團(tuán)隊(duì)。

首先從資源來講，要找到好的IDC，要有非常好的供電架構(gòu)和有非常好的制冷架構(gòu)，好的土木承重結(jié)構(gòu)；從網(wǎng)絡(luò)上講要有好的網(wǎng)絡(luò)線路，要有好的BGP線路，有可靠的傳輸系統(tǒng)；從服務(wù)器硬件來看，要考慮硬件的選型，質(zhì)量控制，交付管理，以及上述資源的部署周期。然后從彈性上來講，比如說帶寬資源儲(chǔ)備及彈性，服務(wù)器硬件資源應(yīng)對(duì)突發(fā)的彈性。

然后就是團(tuán)隊(duì)，這跟前面的資源和彈性都有關(guān)系，要有非常好的IDC，你就要找非常好的IDC的工程師，你需要好的網(wǎng)絡(luò)就需要有很好的網(wǎng)絡(luò)架構(gòu)師和運(yùn)維工程師，而且要有很好基礎(chǔ)服務(wù)的工程師，比如說DNS，負(fù)載均衡，NAT等等。服務(wù)器選型評(píng)測(cè)交付控制做的好，也需要有對(duì)應(yīng)的服務(wù)器硬件團(tuán)隊(duì)。在更高層次的應(yīng)用來看，你可能還需要非常好的DBA，需要懂hadoop，MongoDB，Redis等等這樣服務(wù)的團(tuán)隊(duì)。組建一個(gè)在上述各個(gè)方面都靠譜的團(tuán)隊(duì)，其時(shí)間成本和金錢成本是非常高的，我經(jīng)常有朋友找我，說兄弟，能不能幫忙給推薦一個(gè)網(wǎng)絡(luò)架構(gòu)師，或者是推薦一個(gè)靠譜的DBA。在某些領(lǐng)域，靠譜的架構(gòu)師流動(dòng)性非常低，找齊基礎(chǔ)設(shè)施領(lǐng)域各個(gè)方向的核心員工，需要消耗大量的時(shí)間核金錢。所以綜合考慮起來，第一就是對(duì)于一個(gè)企業(yè)來說，他自身的體量能不能提供他所需要的那些資源，特別是一些非常重資產(chǎn)的IDC，網(wǎng)絡(luò)這樣的資源；其次就是部署的彈性，前面的嘉賓也反復(fù)的去提到過這一點(diǎn)；還有就是團(tuán)隊(duì)，如果把這些東西綜合起來考慮，那么上云所帶來的彈性帶來的底層IaaS的資源質(zhì)量保證，帶來的專業(yè)技術(shù)團(tuán)隊(duì)的保證，就是非常有必要的了。

借下面這兩張圖，給大家舉個(gè)例子，說明為什么上云是非常有必要的。第一張圖是前陣子京廣漢電信骨干出故障的時(shí)候，北京電信對(duì)于整個(gè)南方區(qū)域覆蓋的質(zhì)量，大家可以看有很多紅色和黃色，其代表著有大量的丟包和延時(shí)增大。

下面這張綠色的圖是金山云通過自建骨干網(wǎng)，將北京電信流量調(diào)度到上海電信出口后的覆蓋質(zhì)量圖。當(dāng)天使用金山云的客戶在骨干網(wǎng)出故障的時(shí)候基本沒有感知，或者只是非常短的受到了一些影響，當(dāng)我們的調(diào)度預(yù)案實(shí)施了以后，故障就恢復(fù)了，而實(shí)際上電信骨干網(wǎng)的故障從當(dāng)天下午14點(diǎn)一直持續(xù)到18點(diǎn)鐘才恢復(fù)。

這是一個(gè)非常典型的例子，絕大部分的企業(yè)不具備這種自己組建一個(gè)全國(guó)范圍的骨干的環(huán)網(wǎng)的能力，也沒有能力自己建設(shè)北京、上海、廣州這樣的多中心節(jié)點(diǎn)多線BGP，同時(shí)能夠有非常大的傳輸和BGP帶寬儲(chǔ)備可以應(yīng)對(duì)這種大范圍的故障。而這些資源和能力恰恰是公有云的服務(wù)商非常擅長(zhǎng)的東西。

這里還是一個(gè)例子，如下圖所示，是金山云標(biāo)準(zhǔn)Region的網(wǎng)絡(luò)結(jié)構(gòu)。圖中的TC1、TC2是我們的網(wǎng)絡(luò)接入點(diǎn)，我們可以通過我們的POP供應(yīng)商合作伙伴，就近地接入客戶的IDC或者辦公室，同時(shí)，客戶也可以直接拉光纖接入到我們的TC節(jié)點(diǎn)。TC節(jié)點(diǎn)除了連接客戶的IDC、辦公室，同時(shí)也是我們自己接入電信運(yùn)營(yíng)商的POP點(diǎn)。我們會(huì)通過多根獨(dú)立物理路由的光纖連接到電信、聯(lián)通、移動(dòng)、鵬博士等多個(gè)運(yùn)營(yíng)商，目前北京上海Region提供十線BGP接入。

Region內(nèi)網(wǎng)絡(luò)架構(gòu)

這個(gè)圖里面下面的可用區(qū)（AZ）是通過我們自建的單波200Gbps的密集波分環(huán)網(wǎng)與TC節(jié)點(diǎn)互聯(lián)的，這樣一個(gè)城域環(huán)網(wǎng)的投資需要數(shù)千萬元到上億元，除了BAT這樣巨型互聯(lián)網(wǎng)公司，絕大部分中國(guó)的企業(yè)是很難自己建設(shè)這樣級(jí)別的城域網(wǎng)的。

VPC是什么？

回到我們的主題，來講講VPC。 VPC這個(gè)詞是一個(gè)專有名詞，是Virtual Private Cloud（虛擬專有云）的簡(jiǎn)稱。因?yàn)槲覀內(nèi)豪镉泻芏嘧龇羌夹g(shù)的同學(xué)，所以我還要再簡(jiǎn)單介紹一下VPC。VPC相當(dāng)于一個(gè)虛擬的數(shù)據(jù)中心。在沒有VPC之前，傳統(tǒng)的云網(wǎng)絡(luò)是扁平網(wǎng)絡(luò)。兩者的主要區(qū)別在：傳統(tǒng)的扁平網(wǎng)絡(luò)中，云主機(jī)IP地址是由云服務(wù)商固定的分配的，其分布也經(jīng)常是不連續(xù)的。這種IP地址的固定和離散，就會(huì)在企業(yè)需要做混合云的時(shí)候，和企業(yè)現(xiàn)有的資源存在網(wǎng)絡(luò)地址空間沖突的可能，這是一個(gè)不靈活的地方。同時(shí)，扁平網(wǎng)絡(luò)在網(wǎng)絡(luò)層面上來講，會(huì)依賴比較大的二層網(wǎng)絡(luò)，這里面會(huì)在環(huán)路控制、廣播風(fēng)暴、多路徑技術(shù)、熱遷移范圍等多個(gè)方面存在潛在的技術(shù)風(fēng)險(xiǎn)。

作為對(duì)比，VPC可以理解成是一個(gè)虛擬的數(shù)據(jù)中心，它可以提供給客戶完全自定義化的IP地址空間規(guī)劃。舉個(gè)例子，企業(yè)現(xiàn)有的機(jī)房網(wǎng)絡(luò)使用10.0.0.0/16這樣的網(wǎng)段，對(duì)應(yīng)在創(chuàng)建VPC的時(shí)候，可以根據(jù)自己的網(wǎng)絡(luò)規(guī)劃，使用10.1.0.0/16這樣的地址空間。金山云VPC可以支持客戶使用任意自己定義的地址空間，甚至是公網(wǎng)地址空間。其次，VPC可以提供包括像主機(jī)路由、網(wǎng)絡(luò)地址翻譯（NAT）、專線，以及多個(gè)VPC間對(duì)等互聯(lián)（Peering）等靈活的功能，這些靈活功能的組合，會(huì)非常有利于企業(yè)實(shí)施混合云。

這里說起來有點(diǎn)抽象，下面我給張圖，跟一起來看看VPC是一個(gè)什么樣的東西。

大家可以看這個(gè)圖里面都是虛線，因?yàn)樗怯梦覀兊能浖x的網(wǎng)絡(luò)技術(shù)來虛擬出來的資源，但是對(duì)客戶來說卻是實(shí)實(shí)在在可用的服務(wù)。典型情況下，一個(gè)虛擬的數(shù)據(jù)中心里有什么呢？肯定要有一臺(tái)路由器，這個(gè)路由器會(huì)連很多的交換機(jī)，這些交換機(jī)下面又分別連不同的虛擬機(jī)，金山云的VPC除了可以放虛擬機(jī)，還可以放物理機(jī)。同時(shí)VPC也會(huì)提供很多的網(wǎng)絡(luò)服務(wù)和其他服務(wù)，比如提供NAT地址翻譯，彈性IP(EIP)，負(fù)載均衡(LB)，VPN，防火墻，專線接入（DC）以及VPC和其他VPC互聯(lián)的對(duì)等連接服務(wù)（Peering）。

這張圖中間的這個(gè)路由器R，是一個(gè)分布式虛擬路由器（DVR），它是由分布在所有宿主機(jī)上的軟件模塊，一同構(gòu)建出來的分布式路由器。DVR是云計(jì)算的一個(gè)非常核心的技術(shù)點(diǎn)，要實(shí)現(xiàn)一個(gè)高性能、高可靠的分布式的虛擬路由器是需要非常深厚的架構(gòu)設(shè)計(jì)能力和開發(fā)實(shí)現(xiàn)能力。這點(diǎn)金山云和Openstack社區(qū)的實(shí)現(xiàn)是完全不同的，Openstack里面關(guān)于這部分的實(shí)現(xiàn)還是基于OpenVswitch的，OVS雖然有很好的靈活性和設(shè)計(jì)理念，但是它的性能，或者是應(yīng)用的復(fù)雜程度，可能不一定是最好的。舉個(gè)例子，像我們的這種虛擬路由器，可以實(shí)現(xiàn)一個(gè)虛擬機(jī)做報(bào)文路由轉(zhuǎn)發(fā)100多萬個(gè)包每秒，如果不是基于金山云自研的技術(shù)，可能這個(gè)數(shù)是一個(gè)非常低的值，例如10萬或者是20萬，甚至是更低。

上面這張圖實(shí)際上還牽扯出來一個(gè)案例。我們遇到過一些客戶，是非常老牌的互聯(lián)網(wǎng)企業(yè)，他們的部分代碼是寫死的，要求代碼運(yùn)行的機(jī)器上必須得有兩塊網(wǎng)卡，并且一個(gè)網(wǎng)卡是公網(wǎng)，一個(gè)網(wǎng)卡是內(nèi)網(wǎng)。于是，針對(duì)這類客戶的需求，我們開發(fā)了這種雙網(wǎng)卡VPC的主機(jī)，可以有兩塊網(wǎng)卡放在不同的VPC里，這個(gè)功能，在國(guó)內(nèi)提供VPC的云服務(wù)商來中，金山云是少有的支持這個(gè)功能的服務(wù)商。

金山云混合云解決方案

自有IDC-混合云接入

第一種，如圖所示的，我們可以通過專線的方式去和客戶的IDC互聯(lián)，互聯(lián)帶寬就可以根據(jù)需求來選擇，比如說百兆、千兆或者萬兆都可以，這種接入方式的成本即光纖的租賃費(fèi)用或者是專線線路的租賃費(fèi)用?？蛻艨梢酝ㄟ^專線直接連接到金山云的TC節(jié)點(diǎn)，也可以通過就近接入我們pop合作伙伴的方式來接入。另一種方式，也是我們非常多客戶使用的方式，就是通過VPN的方式。VPN的實(shí)現(xiàn)有兩種，一種是客戶的IDC有商用的VPN的設(shè)備，例如juniper、思科、華三等廠商的設(shè)備，客戶可以通過自己的VPN和我們的高可用VPN商用設(shè)備互相建立VPN連接，然后通過我們的SDN隧道網(wǎng)關(guān)，接入到VPC中。除了這種通過商用設(shè)備的VPN的互聯(lián)方式以外，由于我們的VPC支持主機(jī)路由功能，因此也可以利用例如OpenSwan，OpenVPN等軟件方式，通過云主機(jī)來搭建site-to-site的VPN。這種方式的成本就主要是云主機(jī)的成本以及VPN的帶寬費(fèi)用，其好處是靈活簡(jiǎn)便，客戶自己就可以完成所有配置，且?guī)捔６群芗?xì)，可以按照Mbps為單位的粒度來控制成本。?

上面這張圖里大家可以看到，客戶的IDC有兩個(gè)，其中一個(gè)右上角這個(gè)IDC里，我這里面填了一個(gè)叫Kingstack的東西，這個(gè)Kingstack就是金山云私有云的解決方案。我們提供基于Openstack二次開發(fā)的完整私有云解決方案，只需要三臺(tái)服務(wù)器，就可以搭建起一個(gè)最小的私有云，同時(shí)根據(jù)客戶規(guī)模需要，我們的私有云方案可以管理一千臺(tái)物理機(jī)資源?；谶@個(gè)方案，我們可以在幫客戶接入公有云VPC的同時(shí)，將客戶自己的IDC云化。Kingstack的售賣方式很靈活，可以按年購(gòu)買整套方案的license，也可以按管理的物理機(jī)數(shù)量購(gòu)買license。左上角這個(gè)IDC里，填了一個(gè)Dedicated-cloud，這也是我們?cè)苹疘DC的方案，該方案不是基于開源的openstack的架構(gòu)，而是基于我們公有云的架構(gòu)，所以它的起始的資源要求量是比較高的，可能他需要二三十臺(tái)機(jī)器來起步，但是它的可擴(kuò)展性非常強(qiáng)，我們的一套公有云集群，可以管理2萬臺(tái)物理機(jī)。這個(gè)方案是針對(duì)特別大體量的客戶去云化他資源的方案，我們金山云的杭州Region，就是針對(duì)我們一個(gè)超級(jí)大體量客戶定制的專屬Region。

這張圖里還有兩個(gè)VPC的Peer連接，大家可以看右下部分這兩個(gè)VPC的互聯(lián)，這就是我們對(duì)我們國(guó)內(nèi)骨干網(wǎng)資源的封裝，將我們的骨干網(wǎng)資源根據(jù)客戶需求，拆分成非常細(xì)粒度的互聯(lián)資源，來實(shí)現(xiàn)異地互聯(lián)。這個(gè)功能，其實(shí)也是現(xiàn)在非常火爆的SD-WAN的一個(gè)實(shí)現(xiàn)。這個(gè)功能的典型場(chǎng)景舉例來說就是，一個(gè)客戶在北京和上海各有一個(gè)IDC，他想通過專線將兩個(gè)IDC專線連起來，一種方案是客戶自己采購(gòu)長(zhǎng)途光纖自建長(zhǎng)途傳輸系統(tǒng)或者租用鏈路，另一種非常方便的方案就是，他可以在北京和上海分別接入金山云當(dāng)?shù)氐腣PC，然后在控制臺(tái)上購(gòu)買一個(gè)跨Region Peering對(duì)等互聯(lián)服務(wù)，這樣就可以實(shí)現(xiàn)北京和上海的IDC的互聯(lián)。而且互聯(lián)的粒度比起傳統(tǒng)的這種方案更靈活，可以以兆為單位的，可以是1Mbps，10Mbps，也可以是1Gbps，10Gbps。

KIS&EPC

上面這張圖介紹的是我們另外兩種混合云的產(chǎn)品，一個(gè)產(chǎn)品叫冰島（KIS）。所謂冰島實(shí)際上是一塊位于金山云IDC中的獨(dú)立區(qū)域，簡(jiǎn)單來講，就是在金山云的機(jī)房里的客戶自己的私有IDC，他解決的是什么問題呢？實(shí)際上這是一個(gè)面向中等體量或者是小體量的有自己的物理資源客戶的一個(gè)方案。我們有很多客戶有一百臺(tái)、三百臺(tái)、五百臺(tái)、兩千臺(tái)物理機(jī)，這些物理機(jī)要面臨著選機(jī)房、選公網(wǎng)線路、選駐場(chǎng)的運(yùn)維、管理現(xiàn)場(chǎng)的備件等很多很雜的事務(wù)，這些服務(wù)器數(shù)量不是特別大，但是又會(huì)需要很多的人力和精力去處理相關(guān)的事情，對(duì)這些客戶來說，他其實(shí)不想去做這件事，同時(shí)這些客戶又想要上云，于是我們金山云就提供了針對(duì)這個(gè)需求的產(chǎn)品，即客戶可以把他的現(xiàn)有的物理資源直接托管到金山云的機(jī)房里，組建出一個(gè)私有的IDC。這個(gè)私有IDC最大的好處是什么？

第一、 他可以直接利用金山云的網(wǎng)絡(luò)服務(wù)和防攻擊服務(wù)，使用金山云的公網(wǎng)的出口，包括金山云的BGP和靜態(tài)帶寬資源。

第二、 他可以通過和我們的VPC互聯(lián)，不受帶寬限制訪問所有的云資源，包括訪問VPC里的物理機(jī)，和訪問金山云的云存儲(chǔ)服務(wù)等。

第三、 機(jī)器托管到機(jī)房里的所有現(xiàn)場(chǎng)運(yùn)維工作，金山云都可以提供一部分免費(fèi)的代維服務(wù)和一部分復(fù)雜的收費(fèi)操作服務(wù)。機(jī)器托管到KIS中后，客戶基本上不需要再去機(jī)房了。

第四、 金山云有業(yè)內(nèi)最好的IDC團(tuán)隊(duì)，金山云的自建或者合建機(jī)房，有著國(guó)內(nèi)頂尖的供電架構(gòu)，制冷架構(gòu)，和現(xiàn)場(chǎng)管理流程，客戶從此可以不必在擔(dān)心機(jī)房掉電或者空調(diào)出故障導(dǎo)致業(yè)務(wù)中斷。

第五、 客戶如果有一些特殊的硬件，不便于直接接入VPC的，也可以放在KIS中。例如有的客戶有自己的Oracle RAC，SAN，NAS系統(tǒng)，或者做高算的RDMA網(wǎng)絡(luò)，都可以放在KIS中。

舉幾個(gè)例子，金山云存儲(chǔ)服務(wù)做得非常好，所以我們有一個(gè)視頻圖象處理的客戶，他也是一個(gè)視頻SaaS供應(yīng)商，為了方便訪問金山云存儲(chǔ)，他把自己的物理機(jī)托管在了金山云的KIS產(chǎn)品中，然后通過機(jī)房?jī)?nèi)專線，以40G的帶寬，訪問金山云的KS3服務(wù).而這個(gè)訪問VPC方向資源的帶寬是免費(fèi)的，這對(duì)于客戶節(jié)省成本，有非常大的意義。，我們現(xiàn)在KIS的一個(gè)大客戶，通過內(nèi)網(wǎng)專線訪問VPC的帶寬常態(tài)跑在70Gbps水平。這樣級(jí)別的帶寬，通過外部IDC拉專線來訪問，成本會(huì)是非常昂貴的。

上面這個(gè)圖里，除了右側(cè)的KIS產(chǎn)品外，我們的另一種混合云產(chǎn)品，即左側(cè)的VPC中的EPC產(chǎn)品。EPC是Elastic Physical Cloud的縮寫，即把服務(wù)器放在VPC中，當(dāng)作虛擬機(jī)來用的一種產(chǎn)品。對(duì)于客戶自己的物理機(jī)，托管在VPC中，可以直接使用VPC的網(wǎng)絡(luò)服務(wù)，例如NAT，LB，EIP等，同時(shí)我們也提供服務(wù)器的外包運(yùn)維服務(wù)，可以很便利的在控制臺(tái)直接發(fā)送外包工單讓現(xiàn)場(chǎng)的外包人員去做操作。對(duì)于客戶租賃的由金山云提供的物理機(jī)，我們可以進(jìn)一步提供在控制臺(tái)上圖形化的開關(guān)機(jī)，重啟服務(wù)器以及重新安裝操作系統(tǒng)服務(wù)。這個(gè)產(chǎn)品適合于服務(wù)器都是標(biāo)準(zhǔn)服務(wù)器，且想把服務(wù)器放在VPC中使用VPC提供的各種網(wǎng)絡(luò)和云數(shù)據(jù)服務(wù)客戶。這些物理機(jī)，可以放在VPC中的任意虛擬交換機(jī)下，可以和虛擬機(jī)混合使用。對(duì)于托管了自己服務(wù)器的客戶，如果臨時(shí)需要額外的物理機(jī)資源，只需要在控制臺(tái)中點(diǎn)幾下，就可以開通金山云提供的云物理機(jī)了。
我們通過自研的SDN技術(shù)，控制定制的硬件交換機(jī)及高性能自研軟件網(wǎng)關(guān)，實(shí)現(xiàn)了不對(duì)客戶的專屬物理機(jī)有任何侵入性，不在物理機(jī)上安裝任何agent或者內(nèi)核模塊，提供給客戶一個(gè)純凈的操作系統(tǒng)以及和虛擬機(jī)一樣的便捷的VPC操作體驗(yàn)。

用VPC搭建高可用的架構(gòu)

下面三張圖，分別是如何用利用VPC云服務(wù)搭建機(jī)房?jī)?nèi)高可用，跨機(jī)房同城雙活，跨Region異地雙活或者異地災(zāi)備。

統(tǒng)一接入接出 高可用

Region內(nèi)高可用

跨Region高可用

對(duì)于我們的客戶來說，最基本的高可用就是在一個(gè)機(jī)房?jī)?nèi)，通過集群對(duì)抗單機(jī)故障的高可用方案，如第一張圖所示，可以用負(fù)載均衡把流量分到多臺(tái)機(jī)器上。另一種場(chǎng)景，如果想搭建一個(gè)Mysql的主從服務(wù)，可以利用LB和我們openAPI的組合來實(shí)現(xiàn)，當(dāng)業(yè)務(wù)感知到需要對(duì)Mysql進(jìn)行主備切換時(shí)，通過調(diào)用我們的OpenAPI，將LB的流量從原來的主，倒換到備即可。同理，搭建主從的Redis或其他服務(wù)，也可以這樣做。

如果要再往上一個(gè)層次來看，如果要做同城的雙活高可用方案，也是非常簡(jiǎn)單的，只需要在我們的控制臺(tái)上去開一個(gè)LB，這個(gè)LB他指向了Region里不同機(jī)房（AZ）里的虛機(jī)即可。典型的在線業(yè)務(wù)模型是，虛機(jī)訪問數(shù)據(jù)庫(kù)或者緩存服務(wù)，或者云存儲(chǔ)，加上業(yè)務(wù)的上下游邏輯。金山云的RDS，KCS（redis），KS3等服務(wù)，均支持跨AZ高可用，因此，客戶的業(yè)務(wù)如果基于金山云的LB+VM+RDS+KCS來組合，那么僅需要控制臺(tái)操作或者OpenAPI調(diào)用，就可以很輕松的組合出同城雙活的架構(gòu)了。

如果要想在高可用方面做更高的層次，比如說金融或者大型的游戲或者是大型的互聯(lián)網(wǎng)客戶，需要做異地雙活或者異地災(zāi)備。那么拋開業(yè)務(wù)邏輯本身以及數(shù)據(jù)同步對(duì)于跨區(qū)域網(wǎng)絡(luò)延遲的業(yè)務(wù)自身架構(gòu)不說，從資源底層來講，要做異地雙活或者災(zāi)備，只需要如第三張圖所示，使用金山云的GSLB（智能DNS）服務(wù)，并且在金山云的不同region啟用一批資源，然后購(gòu)買跨Region Peering服務(wù)就可以了。金山云自身是國(guó)內(nèi)頂尖的CDN服務(wù)商，我們自己用的CDN系統(tǒng)就是基于金山云的GSLB服務(wù)實(shí)現(xiàn)的，因此，我們的GSLB的調(diào)度能力，也可很好的幫助客戶實(shí)現(xiàn)非常精細(xì)粒度的流量調(diào)度。

我們做異地雙活方案的客戶，有兩種使用方法。一種是做用戶的分簇，利用我們的GSLB把北方所有的客戶調(diào)度到北京Region，把南方所有的客戶調(diào)度到上海Region。另一種方法，就是利用GSLB，直接讓用戶就近訪問。同時(shí)如果一個(gè)Region的業(yè)務(wù)有故障的時(shí)候，再通過GSLB將用戶全部調(diào)度到另一個(gè)Region服務(wù)。
這里還有第三種用法，就是做全球混服的游戲架構(gòu)。使用國(guó)內(nèi)的Region來覆蓋國(guó)內(nèi)玩家，并把核心數(shù)據(jù)放在國(guó)內(nèi)的Region；使用香港Region來覆蓋海外玩家，然后通過兩個(gè)Region間的VPC peering服務(wù)，香港Region的業(yè)務(wù)，把核心數(shù)據(jù)同步回國(guó)內(nèi)Region。

當(dāng)然，上述所說的提供跨Region的多活方案里，云服務(wù)提供的只是基本的資源，互聯(lián)和調(diào)度能力，業(yè)務(wù)自身的跨Region架構(gòu)設(shè)計(jì)也是非常重要和不可或缺的。

案例：如何利用VPC做混合云架構(gòu)？

第一個(gè)案例方案，被我們的幾個(gè)SaaS服務(wù)客戶、在線教育客戶、物聯(lián)網(wǎng)平臺(tái)客戶，以及一個(gè)大型生態(tài)型互聯(lián)網(wǎng)公司客戶使用。簡(jiǎn)單來講就是他們有很多的業(yè)務(wù)或者是部門，而且他們的運(yùn)維團(tuán)隊(duì)有很強(qiáng)的開發(fā)能力，運(yùn)維團(tuán)隊(duì)向公司其他部門提供了包括內(nèi)部DNS解析，監(jiān)控告警，程序自動(dòng)部署等多種服務(wù)，他們?cè)诓渴鸬臅r(shí)候，選擇一個(gè)VPC作為中心VPC，其他的VPC和這個(gè)VPC通過Peering連在一起，之后再通過中心VPC和他自己的IDC連在一起。這樣運(yùn)維團(tuán)隊(duì)，作為資源管理方，可以通過我們的IAM服務(wù)，將不同VPC的管理授權(quán)給不同的業(yè)務(wù)部門或者子公司，一方面各業(yè)務(wù)部門可以自主開通資源，做內(nèi)部網(wǎng)絡(luò)配置，同時(shí)又可以訪問運(yùn)維部門提供的公共服務(wù)。

上面這張圖是另外一種案例，非常適合做SaaS服務(wù)的客戶。我們有幾個(gè)做電商后臺(tái)SaaS服務(wù)以及做IM即時(shí)聊天后臺(tái)SaaS的客戶以及金山云自己的視頻直播SaaS服務(wù)，都是通過這種架構(gòu)來做的。從圖中可以看到，通過對(duì)不同的子網(wǎng)去區(qū)分客戶，這里面就是你看客戶A的交換機(jī)，客戶B的交換機(jī)、客戶C、客戶D，實(shí)際上他給每個(gè)客戶分配了一個(gè)交換機(jī)，所有這個(gè)客戶相關(guān)的虛擬機(jī)的資源都掛在這個(gè)交換機(jī)下。圖中交換機(jī)的連線上的ACL，代表在這個(gè)虛擬交換機(jī)上，通過配置ACL規(guī)則，來隔絕彼此之間的訪問。

這是一個(gè)典型的電商的場(chǎng)景，我們有很多的大型的電商客戶，他們都有自己的IDC，有自己的資源，有自己的線路，但是他們有一個(gè)共同的問題，就是類似雙十一這樣的大促，會(huì)有幾十倍上百倍于日常流量的訪問，這時(shí)候他們需要額外的彈性資源。這個(gè)場(chǎng)景就是我們這類客戶的連接場(chǎng)景。首先他們通過自己的IDC去和我們的VPC做專線的互聯(lián)，聯(lián)通后，會(huì)在我們VPC里啟用對(duì)應(yīng)的業(yè)務(wù)的前端資源，業(yè)務(wù)前端用了我們的負(fù)載均衡服務(wù)。這張圖里一個(gè)特色就是我們的HTTPs的負(fù)載均衡，大家知道HTTPs的握手過程是非常消耗服務(wù)器計(jì)算資源的，典型的Intel Xeon雙路服務(wù)器，每秒只能處理幾千個(gè)HTTPs的握手請(qǐng)求。對(duì)于大促的瞬時(shí)爆發(fā)流量來說，拿普通服務(wù)器去承載這個(gè)計(jì)算量，成本上是非常不合適的。金山云的HTTPs負(fù)載均衡服務(wù)，幫客戶把HTTPs的計(jì)算量全部轉(zhuǎn)移到負(fù)載均衡上去實(shí)現(xiàn)，轉(zhuǎn)發(fā)給客戶主機(jī)的只是HTTP請(qǐng)求，從而幫助客戶節(jié)省大量資源。

像我們的這種大型電商客戶，會(huì)把他這種雙十一的彈性資源，特別是業(yè)務(wù)前端，頁(yè)面等等一些object放到我們的云上，當(dāng)促銷活動(dòng)結(jié)束了以后，可以再裁撤VPC里的虛擬資源。這也是用云的好處之一，即提供靈活可伸縮的彈性資源。

最后這張圖就是剛才我提到的我們冰島產(chǎn)品的一個(gè)應(yīng)用案例，這個(gè)應(yīng)用案例對(duì)應(yīng)兩個(gè)客戶，一個(gè)是大型互聯(lián)網(wǎng)的廣告的服務(wù)商，另一個(gè)也是一個(gè)大型的互聯(lián)網(wǎng)的公司。這個(gè)架構(gòu)里大家可以看左上角用虛機(jī)搭成在線服務(wù)的部分，右邊是我們?cè)品?wù)數(shù)據(jù)庫(kù)，云緩存服務(wù)。互聯(lián)網(wǎng)公司的典型的在線業(yè)務(wù)的場(chǎng)景就是用LB分流給虛機(jī)，虛機(jī)去訪問數(shù)據(jù)庫(kù)，或者緩存服務(wù)。因此這兩個(gè)客戶，用虛機(jī)和云數(shù)據(jù)庫(kù)，云緩存搭建了業(yè)務(wù)的前端。但是這些客戶實(shí)際上他們是有很多計(jì)算的需求的，包括日志的處理，用戶畫像的計(jì)算，廣告模型的訓(xùn)練等。

因?yàn)橛?jì)算量會(huì)比較大，對(duì)性能要求高，而且是一個(gè)常備的計(jì)算集群，每天都要去算，因此客戶會(huì)選擇用我們的EPC云物理機(jī)組成Map-Reduce的集群，這個(gè)Map-Reduce集群里所有的物理機(jī)都是用雙萬兆的連接連在一起的，他可以跑出非常高的性能和吞吐率來。然后還有一些場(chǎng)景客戶需要去做模型的訓(xùn)練，這兩年比較流行的用GPU做大規(guī)模高性能浮點(diǎn)計(jì)算，最典型的比如像Deep-Learning這樣的大量高維矩陣單精度浮點(diǎn)計(jì)算，都是用GPU的物理機(jī)集群來算，客戶也選擇了把GPU機(jī)器托管在VPC中。MR集群計(jì)算出來的數(shù)據(jù)，以及GPU集群計(jì)算出來的模型，再推送到VPC里的虛機(jī)組成的在線集群，來提供對(duì)終端用戶的服務(wù)。除了這些常備的日常計(jì)算外，企業(yè)也需要每周或者每月的臨時(shí)彈性資源來計(jì)算月報(bào)，周報(bào)等報(bào)表，這時(shí)候，客戶選擇啟用金山云提供的KMR（Kingsoft Map-Reduce）服務(wù)，按照分鐘粒度計(jì)費(fèi)，計(jì)算完周報(bào)月報(bào)后，將數(shù)據(jù)存到KS3上，然后拆除集群，節(jié)省成本。

今天我分享了很多案例和方案了?？偨Y(jié)來看，我的建議是，如果是企業(yè)的體量非常大，他對(duì)云的要求可能只是適當(dāng)?shù)膹椥裕黄髽I(yè)體量中等，他可能是私有云和公有云和混合場(chǎng)景會(huì)比較合適；如果體量更小一點(diǎn)，可能就是直接用純?cè)频姆绞骄涂梢粤恕?strong>（本文首發(fā)鈦媒體，根據(jù)金山云網(wǎng)絡(luò)與安全部技術(shù)總監(jiān)劉濤在鈦坦白上的分享整理）

………………………………………………

鈦坦白第26期八個(gè)小時(shí)的分享已經(jīng)全部結(jié)束，干貨會(huì)陸續(xù)發(fā)布在鈦媒體上：http://www.chcmb.cn/tag/1508094

報(bào)名入群聽課：在微信公號(hào)“鈦媒體”（taimeiti），發(fā)送“鈦坦白”

與鈦坦白合作，推薦鈦客：請(qǐng)與鈦坦白負(fù)責(zé)人佳音聯(lián)系，郵箱jiayinge@tmtpost.com

763人已贊賞 >

敬原創(chuàng)，有鈦度，得贊賞

贊賞支持

0

0

0

掃描下載App