混合云架構將跨地理分布的公共云、私有云和本地基礎設施的多個環境匯集在一起??��,作為一個單一的托管 IT 基礎設施。在基本層面上����,這可能只是一家企業在其本地數據中心托管遺留應用程序——在公共云服務上調用一些API ����。然而����,這種初步實施并不是混合云基礎架構的最佳旗艦用例。
最大潛力的混合云包括利用云實現基礎設施即服務 (IaaS)、平臺即服務 (PaaS) 和軟件即服務 (SaaS) 功能��,能夠托管在本地�、私有云和公共云以及邊緣環境的組合上運行應用程序�,并具有無鎖定多云方法的靈活性����。了解設計模式和要考慮的關鍵因素有助于提煉設計此類混合云架構所涉及的復雜性����。
現代混合云架構的基本要素
最近,混合云方法通常涉及將一些服務從本地基礎設施遷移到公共或私有云�,并且這些服務相互通信����。即使構建了一個新的應用程序以托管在公共云上,它也會遵循傳統的面向服務的架構 (SOA)����。
但是�,今天,基于微服務的架構是混合云模型的核心����。微服務是一種將應用程序分解為更小的組件或服務以便于部署的方法��。這些微服務與 SOA 中的服務不同��,因為它們有自己的技術堆棧并部署在容器中,容器是包含微服務及其依賴庫的輕量級可執行文件��。
容器是輕量級的����,因為它們共享機器的操作系統 (OS) 內核�,這意味著每個容器只包含微服務及其依賴項。任何操作系統依賴項都從容器所在的硬件共享����。這種虛擬化允許微服務在任何本地或云環境中獨立部署��。而自給自足性使得微服務與 SOA 有很大不同,更適合云部署����,其中對彈性和靈活性的需求以優化云資源是至關重要的����。
容器化作為在任何環境中隔離進程的打包模型并不是一個新概念��,但2013 年作為容器引擎出現的Docker創建了一個通用的打包結構��。此外��,像Kubernetes這樣的容器編排平臺可以跨混合云環境自動部署 Docker 或任何其他符合開放容器倡議 (OCI) 標準的容器。
容器化范式對混合云的影響
容器化的出現有助于真正利用混合云的優勢����,重點轉移到工作負載的輕松移植和服務在您選擇的云環境上的自動部署�。幾年前����,關于混合云架構的討論中的關鍵問題集中在每個工作負載應該在哪個云或本地環境中運行�,以及如何讓這些不同的環境相互通信��。從本質上講,托管位置和物理連接仍然是主要考慮因素。
例如�,處理敏感數據的應用程序將托管在私有云上�?�;蛘?���,難以實現現代化的遺留應用程序將繼續存在于本地��。同時�,組織會將需要可擴展性的應用程序提升并轉移到公共云環境����。然后,他們將建立虛擬專用網絡 (VPN) 隧道或消息流等通道,以促進環境之間的通信�。
這些仍然是需要考慮的重要因素�,但是對于容器化范例,重點已經從物理位置和連接性轉移到將工作負載從一個環境無縫移動到另一個環境的靈活性��。因此,無論是在私有云還是公共云中托管應用程序都不一定是一個嚴格的決定����。如果該策略不起作用����,則可以輕松地跨環境移動打包為容器的工作負載����、擴大和縮小規模,甚至在不同環境中運行相同服務的實例。所有這一切促成了現代、高度可用且靈活的架構,該架構可提供高性能、資源效率和成本節約����。
設計混合云架構時的主要考慮因素
混合云架構的設計和實施需要考慮很多因素��,包括企業的業務目標、當前的技術格局、數字化轉型目標和安全考慮��。由于這種具有多個混合云解決方案的架構可能會很快變得復雜,因此利用 ops 工具進行集中�、無縫和可擴展的云管理非常重要��。以下是創建混合云戰略時需要考慮的一些因素。
現代化戰略
對于大多數組織而言����,混合云計算的想法始于現代化或將其應用程序從本地遷移到云端,有幾種方法可以執行此操作:
- 直接遷移:啟動現代化的最常見方法之一�,直接遷移是將整個應用程序從本地遷移到云環境�。這涉及更改底層硬件以利用安全且可擴展的云計算資源和基礎設施服務��。當沒有足夠的時間進行重構或重新架構時��,這是一個方便的選擇����。
- 重構:與其將完整的單體應用程序遷移到云端——這不僅耗時而且可能是不必要的——最好確定一兩個服務(沒有合規性或緊急性能改進需求的東西),重構它們(例如��,添加膠水代碼以公開 REST API,因為以前的服務接口可以與特定平臺緊密耦合)并部署在云端����。這種分階段的移動提供了將少量流量路由到云上的新實例的機會��,以獲得測試和學習的機會�,并最終將服務的所有實例移動到云中。
- 重構:最后�,還有一種最復雜的方法����,將所有系統組件分解為單一職責的微服務����,這些微服務是模塊化的�,并且具有獨立的生產路徑和容器化�。這涉及完全重寫并且是一個昂貴的過程,但它也使回報最大化��。
統一控制平面
企業運營團隊通過統一的控制平面管理他們的云環境�,該控制平面提供跨環境的內聚和一致的云運營體驗。它支持核心集群管理功能����,如工作負載調度和編排����、持續集成和部署 (CI/CD) 管道�、日志記錄、遙測和聯合安全��。目標是從應用程序團隊中抽象出各個云服務提供商 (CSP) 和運行時的底層復雜性��,并為運營團隊提供一個通用接口來管理企業中的工作負載��。
以下是統一控制平面的一些優勢:
- 利用跨虛擬機、容器或無服務器部署的動態工作負載放置策略�。
- 盡享輕松加入更多提供商或邊緣位置的能力����。
- 構建功能即服務 (FaaS)等 PaaS 功能��,這些功能具有高可用性并可跨不同的云實施工作����。
- 集中合規管理�。
API 網關和服務網格
集中式API 網關和服務網格等架構模式支持對路由��、服務到服務通信�、安全性��、速率限制和可觀察性等云功能進行透明管理�。
API網關 作為跨地域的統一前門��,負責處理“南北”流量功能����,包括:
- 用戶認證與授權
- 節流和速率限制
- 交通管理
- API生命周期管理
- 云安全防護欄
- 邊緣分析
另一方面����,服務網格處理服務依賴項之間的“東西向”流量:
- 集群中的安全服務到服務通信
- 具有負載平衡、路由規則��、重試、故障轉移、災難恢復和故障注入的流量管理
- 集群內所有流量的指標、日志和跟蹤遙測,包括集群出口和入口
- 分布式可追溯性以檢測跨服務邊界的請求流
- 自動發現服務
例如��, Istio是一個開源服務網格層�,它根據云管理員提供的預定義配置來指導服務之間的通信�。它充當 Kubernetes 編排層的邊車����,并與容器一起工作��,對程序員和管理員來說是不可見的��。
安全
混合云架構的復雜性需要在不同層采用多層方法來確保端到端的安全和保護。 IBM Cloud��、Amazon Web Services (AWS)����、Microsoft Azure 和 Google Cloud 等 CSP 有責任根據服務水平協議 (SLA) 對外圍層的任何調用進行身份驗證和授權,從而在企業應用程序周圍構建防火墻。這包括拒絕服務保護和遵守隱私法規����,如通用數據保護條例 (GDPR) 和健康保險流通與責任法案 (HIPAA)。
在本地基礎架構中,可以使用 API 網關實現邊界安全����,API 網關保護所有 API 端點�。來自駐留在數據中心之外的 Web 服務或移動應用程序的任何調用都必須通過 API 網關進行驗證和路由����。
云計算環境包含一個額外的安全層,其形式是在服務網格和編排平臺公開的 API 中定義的控制策略。這些策略確保只有安全調用才能轉發到 Kubernetes 節點����,然后再轉發到微服務����。
此外��,微分段的概念——將環境劃分為不同的邏輯安全段以定義每個服務和工作負載的訪問控制策略——可用于在環境中運行的服務之間構建和劃分安全級別。最后,加密策略作為額外的數據保護層。
網絡連接
在單個云區域中,可用性區域具有連接網絡中所有節點的專用光纖網絡��,允許企業創建帶寬不受限制且網絡延遲低的高可用性架構����。然而��,跨區域和多個云提供商的通信是通過公共互聯網路由的��,并且以更高的延遲和潛在的故障為代價�。
在混合云架構中,底層提供者之間存在三種數據交換模式:
- 互聯網上的公共 IP 地址(由于共享帶寬導致高延遲)
- VPN 等托管服務(更可預測的延遲和更高的安全性)
- 通過公共存在點 (POP) 的專用互連(CSP 提供的昂貴選項�,但延遲最小��,安全性最高)
由于這些選項在傳輸速度����、延遲、可靠性��、SLA、復雜性和定價方面有所不同����,因此在設計網絡連接層之前權衡限制和收益非常重要�。
開發平臺對開源的偏見
混合云意味著能夠將工作負載從一個環境轉移到另一個環境��,并擁有在任何云上運行的應用程序開發平臺����。真正的云原生,不應該緊緊依賴任何特定的技術��、平臺甚至CSP,企業應該對市場變化保持敏捷�。
開源架構支持這種統一的開發方法,開發人員可以管理其底層基礎架構�,而不管用于其實現的技術如何��。開源不再處于邊緣地位��,不再有使用它來獲得成本效益的利基��、排他性受眾;由于其豐富的功能�、質量和基于社區的開發,它現在已成為主流并占據了中心位置��。
正如Red Hat Report on The State of Enterprise Open Source所報告的那樣����,即使在安全性等敏感領域����,開源軟件現在也被視為一個不錯的選擇�。安全性����、質量和對云原生架構的支持是企業對開源表現出有意識的偏見的主要原因�。
網站資訊
解決方案
服務支持
