2019可信云大会 | 曹伟:中国航信混合云应用实践

2019年7月2日16:10:00 发表评论 13 浏览

大家好,我是来自中国航信的曹伟,很荣幸有这个机会站在这里,与在座的各位一同分享一下中国航信在应用实践方面的经验和体会。首先,在开始正式进入我们的话题之前,我先带大家来简单的了解一下我们的公司以及我们的系统。中国航信的前身是1979年成立的中国民航计算机总站,到今天已经经历了30多年的发展历程。目前已经发展成为了世界第三,亚洲第一的电子旅游分销系统。当前我们的系统每一刻都在为全国的航空公司、各地机场以及机票代理人提供着不间断的高质量服务。同时我们还在为超过60余家的企业、政府客户提供着信息化领域的服务。我们的移动端产品航旅纵横,每天为超过5000万的旅客提供着实时、便捷、准确的航旅信息服务。可以说,中国航信的服务和产品为今天的民航信息化的提供了最坚实的基础。

2019可信云大会 | 曹伟:中国航信混合云应用实践

接下来我通过3主要的个数字,来描绘一下航信系统的特点。第一个是2018年年旅客处理量达到了6.1亿人次,航信的系统帮助了6.1亿人次的旅客出行成功,第二个是系统的高峰期的每秒交易处理量超过1000tps,第三个是订票、离港这样的核心系统全年可用率达到99.999%。这三个数字放在一起,可以说明航信系统的特点可以概括为:高并发、高可靠、高数据一致性。

这是因为航信系统有这样的特点,让航信经历了这样一个即让大家看着熟悉,又带有航信自己特色的发展历程。从今天来看,航信的云计算发展历程大致可以分为三个阶段。第一个阶段是从2008年开始的,我们通过服务器虚拟化技术的实践与落地完成了大部分业务由传统物理架构到虚拟化架构的转变,打破了传统物理架构的局限,实现了虚拟化与提升了自动化水平。这个阶段可以说是一个打基础的阶段。第二个阶段是从2012年左右开始的,这个时候市场上出现了IAAS架构的技术和产品,网络SDN,分布式存储,云管理平台技术也逐渐开始成熟,我们在这个阶段以进一步提升运维效率、提升服务水平、降低服务成本为目标,打造了一个更加高效的云资源服务交付平台,即航信云平台。第三个阶段是近两年开始的,这两年市场的一个主要的特点是大家的关注度逐渐由底层的IAAS开始上移,开始更加关注如何能为自己的业务带来更加直接的价值,能够让业务发展更加敏捷的容器技术,PAAS平台,还有能够让自己的数据更加有价值的技术、人工智能技术变成为了新的热点,同时,传统的IAAS也逐渐向更加灵活,适用性更广的混合云方向发展。

那么接下来回到我们今天讨论的话题——混合云。什么是混合云?在我看来,混合云本身并不是一项特别的技术或者产品,他是一种用户上云的实践模式,他的出现,代表着云计算的发展已经进入了一个更加广泛与更加深入的阶段——更多的企业想使用云,并同时希望把他们更多的业务,甚至核心业务都放到云上,他们迫切地想利用云的优势改善自己的it与业务发展。从传统来看,摆在他们面前的有两个选择,与私有云。公有云大家都十分的熟悉,是以AWS为代表的一类十分成熟的技术产品与服务,他的主要特点就是交付快速、资源可弹性伸缩、按需付费带来的成本降低,但是他的主要问题就是安全合规性方面的问题,当前大多数企业的敏感核心数据还是不太敢出自己的。而另一个选择就是私有云,他的好处是放在自己家里,或者完全由自己控制,安全合规,同时还可以设计建设的稳定性更好、性能更强,但他缺点也十分的明显,就是不灵活,建设慢,投入大,维护成本高。所以企业想用云,用好云,就要综合好这两个方面,根据自己的需求特点去做规划,做取舍,最终又能够像一个统一的有机整体一样管理起来,而不是一些毫不相干的不同的孤岛,这就是混合云要干的事情。可以说,混合云是由企业自身IT需求的复杂性,以及上云的迫切性所催生出来的,他将是未来一段时期内企业云实践的新常态。

中国航信大约从17年开始布局和规划混合云。在这方面,中国航信一方面立足于自身的条件,另一方面引入外部的公有云资源,同时还兼顾到自己客户的数据中心资源,最终形成了这样的一个网络状布局。在这里面,主体首先是中国航信自己的私有云——航信云,当然这里面航信云除了自用以外同时还承担着对外部客户提供服务的任务,航信云的物理数据中心载体主要有两个,一个是位于北京的后沙峪数据中心,这个数据中心大概有3万平米,32个机房模块,这里是目前亚洲最大的单体数据中心,同时也是航信自有业务的主节点,腾讯云在北方地区的网络骨干节点。第二个是位于浙江省嘉兴市的数据中心,这个数据中心大概有2万平米,规划的是航信业务的异地灾备中心,同时也面向整个长三角地区提供IDC服务。有了这两个数据中心以及航信云平台,可以说航信的私有云资源已经十分的丰富,但是我们还是根据需要引入了外部的公有云,并与之建立了持久性的网络连接。与此同时,我们还有很多客户,他们的部分系统还放在自己的数据中心里,我们也要与这部分资源进行打通,这样就形成了大家看到的这么一个结构。

通过在混合云方面的实践,中国航信收获了这些方面的好处。首先是通过私有云的建设与应用解决了核心重要系统安全稳定,自主可控的需要,这也是航信这样的带有国计民生影响的系统的首要诉求。第二是让航信的云计算发展形成了一个循序渐进的过程,降低了新技术、新架构所带来的不确定性和风险。第三是能够更好地应对业务流量激增所带了的系统压力,我们知道每年无论是双十一还是618,各个航空公司的大促活动也多给航信的系统带来了短暂的但是极高的峰值压力,引入外部公有云资源可以很好很灵活地解决这方面的问题。第四是弹性扩容带来的成本降低,尤其是公有云的按需使用付费,对于很多周期性不长的需求都是很好的选择。最后一个就是很好地满足了全球部署方面的需要,这个我们后面会进一步的分享。

接下来让我来具体介绍一下航信如何实现混合云。首先来看这么一张图,这个是航信的整体的混合云架构。与混合云相关的主要内容在这里都有所展现。这张图包括了IT基础设施资源,混合云的网络连接,多云系统的统一接入,多云管理平台,以及像安全管理、运维管理、多数据中心的一些内容,其中我认为在混合云实践中最为重要的是两部分,一个是混合云的网络连接,这部分是混合云实现的物理层基础,另一就是支持多云管理的云管平台,这个是将混合云用好的管理基础。接下来我将重点做关于这两个方面的分享。

首先的混合云的网络连接,可以说这个是混合云实践成功与否的关键。只有在网络层面在不同的云之间建立起了稳定的、可靠的、足够安全的连接,才能实现不同云上应用的联系、数据的交互、访问调用、资源的弹性扩展,以及统一的管控,否则只算是相互孤立的岛屿,形不成整合的优势,同时还会进一步增加维护工作的负担。这张图是我们总结的我们的私有云与公有云之间的网络连接方案。这里面假设的是有这么一套应用系统,他的web前端放在公有云上,后台应用处理和数据库放在私有云上,首先通过smart dns首先访问请求的负载分发,而公有云上的服务与私有云上的服务主要通过专线与Internet VPN两种形式的连接,我们在这里推荐专线方式,他更加安全、更加稳定、传输质量更好,但是主要的问题就是实施周期较长。专线分别连接到公有云的Edge router与私有云的企业接入互联区上,同时通过防火墙进行安全控制。在这里,我们在私有云中增加了一个接入DMZ区,并部署转发服务器,与后端应用进行隔离,进一步加强了安全控制。

通过这样一种方式,我们实现了对目前市场主流公有云的对接,包括了阿里云、腾讯云、华为云、AWS以及ucloud的连接。

另一个主要问题是混合云的管理。如果不能实现统一的集中管理,不能将分散的IT资源有机地整合起来,那么将极大的增加运维管理的难度和负担。在这方面,我们的主要经验是根据混合云的需要进一步发展我们的云管理平台系统,加入面向混合云场景的功能模块,以提升管理效率,降低管理难度。这些功能模块包括:统一账号管理,多云资源的编排,统一的CMDB,网络连接管理,财务管理还有就是资源统计分析。

全局的三级租户体系模型,公有云账号也会纳入这个模型

原有公有云账号的使用是散乱的,难以有效管控,尤其是有着严格账户管理制度的航信,多云管理平台将公有云账号映射给特定租户,然后通过登录租户管理员或者普通用户来进行使用,遵循账号管理制度,避免了直接暴露公有云账号带来的风险

实现同一单点登录,一次登录同时管理私有云和公有云

对于资源编排,多云管理平台统一对接了各类公有云,采用统一的资源管理与编排模型,可以有效屏蔽不同云之间的差异,更加方便使用与管理。

可以支持的资源类型有,云磁盘,镜像,对象存储,VPC,安全组,RDS,消息队列等,还在不断扩充。

对于支持的资源类型可以进行各类管理操作,例如创建,删除,启停等,同时还可以进行更加复杂的混合作业编排。

再有就是统一的CMDB,我们都知道CMDB是运维工作的基础与核心,没有全面准确的CMDB数据,高效运维变无从谈起。我们原有的云管理平台上CMDB与各类资源管理操作时联动的,比如创建一台虚拟机,会自动创建一条CMDB的配置项记录。但是公有云没法做到这样,我们的办法是定时地自动同步公有云上的数据,将数据写入CMDB数据库中。同时,我们还要保证CMDB的数据是最权威的,而且是永久性的,他应该能够反映所有的配置项的生命周期的变化,并且可以永久追溯。所以我们不是简单地以公有云的信息为准,而是每次同步都要进行比对,识别差异并登记状态。同时我们还严格避免在公有云控制台上的直接操作,尽量通过多云管理平台来操作,这样做到所有的动作和信息都可追溯。

在网络连接管理方面,我们做到了对跨云之间专线线路,以及VPN连接的管理,可以查看线路状态,带看使用情况,还可以绘制网络拓扑图

使用公有云很重要的一个问题是计费,公有云的计费方式有按需和包年包月,一般企业会采用包年包月的方式,短期使用的测试开发系统则会考虑按需付费。那么对于这样一个比较复杂的公有云计费系统,需要有一个集中统一的地方进行统计与管理,尤其是使用多个公有云的时候。多云管理平台的财务管理模块可以有效的统计云上资源的费用情况,并进行相应的分析。

最后,多云管理平台可以实时统计来自不同云的资源的使用情况,进行各种对比展现,以及各种报表分析。

最后我再来分享两个案例,这也是航信在混合云实践过程中的比较典型的案例。首先第一个是全球部署的场景。航信近年来积极拓展海外客户,很多海外的航空公司开始使用航信的产品,因为网络方面的问题,为了提升用户体验,航信决定将系统的前端部署到海外的公有云上。这里就用到了我们之前讲到的网络部署方式,在海外公有云上分别建立了业务vpc与互联vpc,形成不同的安全域,通过公有云厂商的跨国高速通道与国内联通,在国内通过专线与航信打通,航信内部建立专门的DMZ区以及应用转发系统,连接位于航信私有云中的后台系统。这样就实现了一个比较可靠,安全的混合云架构。同时,我们的运维管理人员通过混合云管理平台实现对海外公有云的统一管理。

第二个案例是我们的一个客户,是国内的一家人寿保险公司。他们委托航信为他们设计构建包括自己的企业金融云,公有云,还是自己机房在内的混合云环境。我们最终实现的方案是,把关键业务系统托管到航信的数据中心内,建成客户自己的私有云平台,并顺利通过了国家银保会的审核验收。然后那些新型的主要面向网络上的C类客户使用的系统放在公有云上,利用公有云在快速部署和经济性上的优势,我们通过专线将航信数据中心与公有云,以及客户自己的数据中心打通。这是一个兼顾安全可控和敏捷弹性的方案,目前运行的效果也是非常的良好,客户非常的满意与认可。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: