摘要:华为云Stack通过联邦认证、联邦目录、联邦流程构建云联邦技术,帮助企业以较低的成本实现混合云,企业内连云成片,资源共享,达成降本增效的目的。

本文分享自华为云社区​​《【华为云Stack】【大架光临】第8期:“云联邦”构建连云成片、无缝混合的一朵云》​​,作者: 华为云Stack云管平台架构师 胡堃。

“一朵云”难题

混合云和多云已经是IT部署的新常态。很多企业里,业务会分别部署在公有云和私有云上,甚至多个私有云中,而多个平台和业务从管理、部署、协同等方面是相对割裂的。这种多云管理的割裂,对企业而言就是在建设烟囱式的云,无法满足IT高效管理和企业业务发展的要求。

需要一种技术,帮助企业需要建立规模更大服务更加丰富的云来支撑企业业务的持续发展。理想情况下,企业建立一朵大云,通过业务迁移、数据割接等方式将现有各级组织的云收编,然而具体到实施层面却很难落地,究其原因,概括起来主要有下面三点:

1. 业务问题:现有的云平台上已经运行了很多业务应用,而业务迁移、数据割接会导致业务应用停机断服,对企业业务发展可能产生不利的影响;

2. 技术问题:现有云平台的技术栈层次不齐,跨技术栈的业务应用迁移难以实现,即使是相同厂商的不同版本的云平台,也需要借助专门的迁移工具来实施,迁移时间长且有一定的出错概率;

3. 组织问题:现有云平台的运营运维组织各不相同,难以统一到一个集中组织来负责企业内全部的云平台。

为帮助企业加速进行数字化转型,华为云Stack通过云联邦技术来帮助企业克服上述困难,以较低的成本实现无缝混合云,企业内连云成片,资源共享,达成降本增效的目的。

云联邦的三个黑科技

针对企业中现有的多朵独立自治的云,华为云联邦技术并不改变现有云的归属权,也不改变当前的运营运维和使用方式,在现有云上运行的业务应用仍然由现有的组织或部门负责,无需进行复杂的迁移操作。那么云联邦是如何实现将多朵云连云成片的呢?我们以多套华为云Stack协同为例,为大家介绍以下三个关键技术:

一、 联邦认证

要将多个分散的云联接起来,首先要解决的问题就是用户认证和访问权限的问题。通过基于SAML 2.0的联邦认证技术,可以让原本属于不同云平台的用户,能够在同一个云平台上被正确识别,并获得对应的身份和权限,从而实现一次登录就可以使用多个云平台资源的目的。

“云联邦”构建连云成片、无缝混合的一朵云_云联邦

如上图所示,部门一的云平台用户张三,登录本部门的云平台A,再访问部门二的云平台B,如果云平台A与B之间建立了联邦认证,那么张三就可以无需二次登录到云平台B就可以访问云平台B的云服务和资源。

通过联邦认证,使得不同企业组织的人员可以使用本组织的云平台账号自由访问和使用其他组织的云平台,实现企业内不同组织的云平台的资源共享。

二、 联邦目录

虽然连云成片的目的是为了将云平台的资源进行共享,然而具体到某个部门的云平台,并不是所有的云服务都可以被共享出来供其他部门使用,因此这个时候就需要建立所谓联邦目录。每个云平台都可以建立多个联邦目录,为每一个联邦关系设定关联的联邦目录,其中包含允许联邦访问的云服务。

“云联邦”构建连云成片、无缝混合的一朵云_云服务_02

如上图所示,部门一的云平台A和部门二的云平台B建立联邦关系,云平台A的用户可以共享使用云平台B的云服务,此时云平台B的管理员可以在云平台B上建立联邦目录,允许云平台A的用户访问指定范围的云服务。云平台A通过联邦关系读取到云平台B设定的联邦目录,将其映射为云平台A的一个远端Region,这样云平台A的用户就可以像使用云平台A的本地云服务一样使用云平台B的云服务,无需关心云服务的实际部署位置。

联邦目录使得部门可以根据自身云平台的能力以及联邦的需求方来设定和发布联邦服务目录,避免共享云服务范围的扩大化。对于一个大型集团型企业来说,更好的做法是建立一个大规模并且具有丰富云服务的云平台,通过联邦目录将集团云平台的全部云服务能力注入到各级组织的现有云平台中,同时鼓励和牵引各级组织充分使用集团云平台的服务能力,从而逐步将各级组织的业务应用平滑迁移到集团云平台之上。

三、联邦流程

企业中各种服务的申请和使用都离不开相应的流程,那么对于申请和使用云联邦共享的云服务更是如此。云服务的管控流程通常分为三个部分:事前预算(云服务配额)、过程控制(申请审批)、和事后审计(云服务计量)。对于云平台本地服务而言,上述流程控制都在本地完成,但是对于通过云联邦共享引入的云服务,技术原理上有所不同。

“云联邦”构建连云成片、无缝混合的一朵云_云平台_03

如上图所示,部门一的云平台A与部门二的云平台B建立联邦关系,共享云平台B的云服务,那么云平台A的用户在申请云平台B的联邦目录中共享的云服务S之前,首先必须由云平台B的管理员在云平台B配置可被共享的云服务S的配额,当云平台A检查到云服务S的可用配额大于申请量的时候,才允许提交申请。提交的申请跟其他云平台A的本地云服务申请一样,经过在云平台A预配置的申请审批流程,才真正在云平台B分配出对应的云资源。那么在使用云服务S过程中产生的云服务计量数据,将被云平台B采集并同步到云平台A,两个云平台的管理员均可以查看到共享的云服务S的计量统计数据。

联邦流程使得在企业内通过联邦共享的云服务与本地云平台上的云服务一样受到标准化的云服务管控流程,满足在企业内申请和使用云服务的规范性要求。

云联邦实践

通过华为云平台管理系统ManageOne来建立多朵云的联邦,不仅仅实现了上述联邦认证、联邦目录、联邦流程的关键能力,同时还在多级组织管理、一站式云资源运维监控上有提供了更多的能力。华为云联邦技术不仅适用于企业私有云和公有云的混合管理场景,也适用于大中型企业分阶段建云用云的场景,为企业和组织提供多云一云的管理体验,为加速企业数字化转型铺平道路。

基于云联邦,华为云Stack帮助中国人寿构建了一朵智慧保险云。通过使用公有云弹性公网IP和CDN,每年节省约3000万元,降低了70%的网络成本。公有云承载活动平台前端应用,弹性扩容敏捷快速,满足6.16客户节、双11、双12等促销节点期间促销业务诉求,保障全年10W+次营销活动。非活动期间释放不必要资源,节省了30%以上IT开支。

“云联邦”构建连云成片、无缝混合的一朵云_云联邦_04

基于云联邦,华为云Stack为某大型制造集团多个云平台之间实现联动。集团总部云部署了丰富的云服务,且资源有结余,而分支云仅部署ECS等基础服务满足日常办公OA诉求。当集团分支云进行业务创新,需要使用GPU云主机、大数据、AI等能力时,无需自建,通过云联邦一键借用总部资源即可,避免企业重复建设,减少投资。

​点击关注,第一时间了解华为云新鲜技术~​