摘要：對于上述問題，混合云架構無疑是企業的最佳選擇。解決方案將本地環境與公有云連通組成混合云架構，實現對本地環境計算能力的快速擴展。

前言

當前各行各業在積極擁抱云計算，但由于一些歷史原因和合規要求導致很多企業全面上云比較困難，比如企業監管制度及合規要求一些核心數據庫必須保留在本地數據中心；本地數據中心作為企業固定資產不容易完全拋棄；有些大型集團企業IT架構復雜，全面遷移上云的影響難以評估等等。因此，國內很多企業還處在基于自有服務器、IDC等部署業務的傳統IT架構模式下。

本地或IDC托管服務器集群在計算、存儲、備份及安全防護能力上均會有所限制，而公有云具備靈活易擴展、彈性付費、安全可靠等優勢，如果將本地環境和公有云打通融合成混合云架構，就能夠保障在本地部署自主可控的同時，還能享受公有云帶來的紅利。

據Gartner預測，2021年，超過75%的大中型企業將采用某種形式的混合云和/或混合IT策略。IDC預測，到2022年，全球90%以上的企業將依靠本地部署/專用私有云、多個公有云和傳統平臺的組合來滿足其基礎設施需求。混合IT策略兼顧公有云靈活低成本和本地部署私密安全的雙重優勢，正在受到全球企業的廣泛采用。

混合云背景

在云計算出現之前以及云計算發展前期，很多企業選擇租用傳統IDC或者自建IDC的服務器搭建本地環境。尤其是租用IDC服務器，在很長一段時間承載了企業IT系統的發展，相比自行組建購買服務器、組網、租用IDC服務器已經提供了非常大的便利。但傳統IDC相對云計算存在交付周期長、資源彈性擴展能力差、一次性硬件成本投入大等問題。

本地環境還包括企業部署在辦公室的服務器，一般用于運行內部系統、內部測試環境、官網等服務，即便這些業務上云，也難以一次性裁撤本地的服務器。

除此之外，還有很多企業通過私有云模式來搭建本地環境，雖然私有云相比IDC已經具備按需計費、自主管理等優勢，但也面臨私有云數據存儲備份能力不足、私有云中現有產品線不齊全、安全防護能力較弱等問題。

對于上述問題，混合云架構無疑是企業的最佳選擇。企業在保留原有本地數據中心資源的同時，又能夠借助公有云平臺來實現資源的彈性擴展，彌補本地數據中心的安全防護、數據存儲備份等方面能力不足的短板。

混合云架構的三種形態

如上圖所示，混合云架構的形態一般包括：
一些特定行業用戶基于合規、制度的要求，業務不采用公有云方式，可選擇獨立采購硬件服務器或租用IDC的方式，存在的問題是維護的人力成本高，需要專業運維團隊進行維護；

對于用戶已有購買或租用服務器集群的情況，可考慮將服務器托管到UCloud云平臺，減少用戶側運維硬件服務器的工作，享受與公有云數據中心相同等級的電力、組網、資源維護等服務；

相比之下，將UCloud云計算虛擬化操作系統進行私有化部署，也就是采用UCloudStack私有云的交付方式，可以復制借鑒公有云使用方式、享受穩定的云操作系統及各項產品與服務，并且有UCloud技術團隊提供運維服務，通過“交鑰匙”的方式為用戶提供私有云服務。

IDC服務器+公有云

云計算最早出現在2006年，在國內發展起來是在2010年甚至更靠后的時間，而之前已經非常成熟的傳統IT系統、服務器集群、數據中心等設備采用VMware等虛擬化技術或OpenStack操作系統，銀行、政務、傳統企業、電商等平臺基于傳統IT架構已經構建了非常完善的基礎設施資源和應用系統。

這些設備和系統已經能夠穩定運行，但是在發展的過程中也會遇到設備老化需要更新換代、系統能力不足以支撐當前的業務擴容、安全防護能力有限等問題。設備更新換代還需要重新購買資源、需要預估后續幾年的使用量，也就要求為后續冗余計算能力進行買單。

采用混合云架構的方式，則可以將原有服務器集群、數據中心與公有云通過網絡進行連通，把應用系統和部分數據復制到公有云中，核心數據庫寫操作依然全部放到本地環境中，從而可以實現將更多業務請求分發到后端云平臺上。

托管云+公有云

托管服務器的形式更加適合需要急迫上云、不想對現有業務進行修改適配的項目，同時又需要保證部分核心業務的物理隔離，通過服務器級別直接進行搬遷，在托管云區能夠直接運行和原來本地環境一致的服務。

托管云可以作為從本地環境完整遷移到公有云的中間過程，亦可將公有云上的托管區作為用戶在公有云上的“私有IDC”來托管自有物理服務器，再通過內部專線連通到公有云區。資源擴展伸縮、采用更多的公有云服務則在公有云區完成，最終實現托管區和公有云區的混合云架構。

私有云+公有云

前面提到的IDC/服務器集群是用戶在服務器上部署VMware、OpenStack等操作系統或自行進行虛擬化，相對來說維護成本高、需要有成熟的技術團隊來維護，一種更優的方案是選擇云廠商的云計算操作系統進行私有化部署。

UCloud提供更加輕量化的云操作系統——UCloudStack，在部署方案中管理節點只需3+云服務器，因為在云操作系統層面進行了優化，默認只配置一部分云計算基礎功能，通過配置和選配模塊來為私有化部署提供更多產品服務。UCloudStack能夠在1 臺服務器中實現POC驗證、3 臺服務器中構建生產環境，部署時長只需要幾個小時，適用于受安全或合規限制短期無法使用公有云但有云化或虛擬化需求的用戶場景。UCloudStack留有公有云對接接口，方便實現私有云+公有云的一體化管理。

混合云架構的使用場景

1、擴展計算能力

本地環境通常會因為數據中心容量有限、服務器集群計算能力有限，不容易快速實現資源擴容。特別是面臨突增的業務流量、預知的業務流量高峰或臨時的業務流量抖動時，難以在短期內完成資源擴容。如果按照業務流量高峰值來配置服務器，則會在業務低谷期造成資源長期閑置，在成本上也不劃算。

比如新零售場景，在雙十一時業務流量持續增長而在雙十一之后流量會降低，是典型的具有流量波峰波谷的場景，既需要在高峰期扛下超大的業務流量，又希望能夠壓縮整體的支出成本。

解決方案

將本地環境與公有云連通組成混合云架構，實現對本地環境計算能力的快速擴展。構建混合云架構需要先連通網絡，以便實現跨平臺的數據庫寫請求、組件調用等；其次需要將本地環境的業務和數據同步到云端，在云端能夠承載業務流量；最后進行流量切分，將一部分流量轉發到云平臺中。從這個角度上來說，構建混合云架構很大程度上可以擴展本地環境的計算能力。

1. 通過專線接入UConnect、公網或SD-WAN方式來打通本地環境和云平臺；
2. 參考典型的三層架構互聯網業務，應用層和邏輯層都是無狀態設計，可以在在本地環境和云端環境分別部署獨立部署；
3. 將本地自建數據庫作為主庫而云端數據庫作為從庫實現數據的主從同步，當然也可以反過來云端數據庫作為主庫。并且主庫和從庫通過MySQL等數據庫的binlog機制保持數據單向同步，本地環境和云端環境的邏輯層連接相應的主從庫進行讀操作，對于寫操作均需要連接本地環境的數據庫主庫進行；
4. 正常流量切分到本地環境，額外新增流量切分到云平臺；
5. 云平臺中可以通過自動伸縮UAS，根據云主機UHost的CPU等指標監測數據，自動增加或刪除云主機資源，來應對業務流量的變化。

上面考慮的是先有本地環境再構建的混合云架構，所以按照數據庫主庫部署在本地環境進行介紹，對于混合云架構而言，主庫在其中一側即可，另外一側采用從庫。

對于業務運行在本地，且當前業務壓力接近計算能力上限、在可預計的時間段會達到計算能力上線，這時可考慮將業務流量切分一部分到公有云端，最開始可選擇切分少量流量。

2、擴展存儲備份能力

本地存儲存在容量范圍有限、擴容不及時、擴容時難以預測未來存儲容量等難題，選擇混合云架構將數據存儲能力擴展到公有云，公有云端的存儲容量對于用戶來說時“無限”的，用戶只需關注存取數據，擴容和可靠性則由云平臺保障。

解決方案

為了實現日志等數據存儲到公有云，可將本地環境連接公有云實現內網通信，然后將本地數據存儲到云端。本地環境中多帶帶劃分出來主機作為存儲網關，收集本地數據并根據配置規則轉存到UCloud公有云文件存儲UFS、對象存儲US3中。本地環境的日志可通過LogStash進行收集，同時選擇公有云的ElasticSearch服務中的內網IP進行輸出，就可實現本地環境日志直接上傳到公有云中。

有些用戶自身業務有對數據實現同城備份的需求、合規和一些行業制度也對數據備份有要求，而通常建設符合標準的備份數據中心需要較長的時間和成本，UCloud公有云與本地環境同城的可用區就是做備份非常好的選擇。公有云的數據中心至少Tier 3級別，并且運行經過大量用戶業務驗證，穩定性、安全性毋庸置疑。在UCloud公有云端對象存儲US3中創建用于備份的存儲空間，本地環境通過存儲備份網關將數據進行收集、加密等處理之后上傳到US3。在UCloud US3中可以根據存儲周期管理，將長期備份文件存為“低頻存儲”來降低用戶成本，在一個月或三個月之后根據設定策略自動轉存為“歸檔存儲”，進一步壓縮存儲成本。

此外，還可以在UCloud公有云端實現溫備份，將本地環境的主機以遷移的方式部署到公有云端，無需按照生產環境的主機數量進行部署，只需選擇在云端運行最小環境，可實現混合云架構下對本地環境的容災服務。

本地存儲存在容量有限、擴容不便、擴容難以預測未來存儲容量時，可選擇對數據脫敏之后將本地數據存儲或備份到公有云端。

3、擴展安全防護能力

本地環境由于安全防護設備更新換代慢，面對層出不窮、升級換代的各類攻擊時，本地的安全攻擊防護和安全風險預測能力有限。加上本地環境通常采用硬件WAF、接入設備進行攻擊檢測與攔截，一旦遇到大規模網絡攻擊時通過部署硬件安全服務也難以及時有效響應。

解決方案

UCloud云平臺面向多租戶提供計算、存儲、安全防護等服務，相對而言遇到的各類挑戰和攻擊種類更多更復雜，云服務商為保障平臺中用戶業務安全、可靠，勢必時刻投入精力來應對挑戰和攻擊，因此能提供更加完善的安全解決方案，具備更豐富的應對安全攻擊風險的實踐經驗。

在混合云架構中，業務運行在本地環境時，可以將所有流量切到云端，通過云端安全服務進行過濾，再將正常業務流量切分到本地環境和云端環境后端進行處理。當遇到網絡攻擊時，攻擊流量也會分發到云平臺先進行流量清洗后，使攻擊流量被云平臺過濾阻斷。

從安全防護的角度來講，云平臺相當于本地環境的延伸，除了可以利用云平臺海量資源清洗DDoS攻擊流量之外，還能夠借助UCloud云平臺種類豐富的安全產品、更強的防護能力，對本地環境中的業務、資源、數據提供安全攻擊攔截、安全風險預警識別等安全措施。

如圖所示，遇到DDoS攻擊，可以將請求切換到云端，通過業務系統最前面部署的DDoS高防服務進行流量清洗，所有請求在云端清洗、過濾完成后，正常流量再切分到本地環境和云端環境后端資源進行請求處理。這里UCloud會分為兩種情況：
一般攻擊流量小于10G時，高防服務對流量進行自動清洗，采用多種防御策略，支持防御網絡層攻擊，比如TCP類報文攻擊、SYN Flood攻擊、ACK Flood攻擊，流量清洗通常免費提供，應對一些小規模的攻擊和大流量，由于是DDoS高防服務自行處理，管理人員無需介入；

攻擊流量大于10G時建議采用高防IP進行流量牽引、隱藏源站IP，不過需要通過高防IP來代替源站IP需要人員介入，也需要一定切換生效時間。

除了DDoS攻擊防護，面對Web應用攻擊時，可在云端采用Web應用防火墻WAF，應對cc攻擊、SQL注入、XSS攻擊等，應用接入時WAF會分配一個CNAME域名，在域名服務商處增加新的CNAME解析即可將流量引入WAF，經過過濾后流量會返回到源站IP，而源站在本地環境、云端、其他云平臺均可。

本地環境中沒有有效的安全防護能力，需要對DDoS、cc攻擊等進行流量清洗和防護的，可將所有流量從公有云中繞一圈進行過濾清洗后再回源。

4、拓展產品能力

在本地環境中原有產品能力有限，已經在使用的可能是計算虛擬化、存儲、MySQL數據庫、Hadoop等服務。隨著業務的發展，除了使用的計算、存儲能力進行擴展，可能也會遇到使用更多技術能力的需求，比如對接數據湖、對海量日志的分析與處理、Serverless開發框架等，如果在本地環境安裝、長期維護又需要一定的技術門檻。

解決方案

例如本地環境中產生主機日志、用戶業務日志，通過本地自建ElasticSearch方式保存在本地，現在經過版本升級需要生成周報并推送給相關管理員或用戶，可采用公有云日志服務存儲日志、采用競價實例處理報告任務。具體步驟如下：

本地的日志分析模塊，可放在公有云上進行處理，在日志產生時通過LogStash等工具上傳到云端ElasticSearch，在云端存儲和分析。對日志的收集和存儲，需要大數據組件ELK的支持，采用公有云上現成的ElasticSearch可減少自行安裝部署的操作，也節省了維護成本；

生成和推送報告并非實時性的需求、還會搶占當前核心業務的資源，可以在云主機上搭建運行生成報告、推送給用戶的功能，或者通過觸發Serverless函數來處理。通過靈活采用公有云上按時計費、按使用計算資源計費的產品來減少費用；

公有云云主機有競價實例云主機，在未搶到競價實例云主機時進行等待，搶到之后進行任務處理，并及時將報告數據寫入到US3對象存儲或進行推送，如果未搶到競價實例的時間過長，在報告必須要推送前還未申請到資源，則會啟動創建普通云主機進行計算任務，優先保證不影響業務。

再例如，對于業務有需要訓練AI模型的，也可以交給UCloud公有云。一般通過公網方式傳輸數據時間會較長，如果不能接受較長時間可考慮專線傳輸、寄送硬盤方式上傳數據，或者直接通過UCloud公有云UAI -Train訓練平臺加載數據訓練模型，將訓練得到的模型傳回到本地環境，每次優化后的模型也更新到本地環境，同時在本地提供UAI- Inference在線服務。

有大數據分析、AI模型訓練等與主要業務可解耦的功能組件，可交由公有云端進行計算，將計算結果回傳到本地、云端存儲、對外推送消息等，減少本地部署和運維。

5、實現業務平滑過渡

業務遷移方案設計和實施過程中，對現有IT資源、業務架構掌握難以非常充分；遷移到公有云時需要做一些產品變更和替換，遷移后能否真實可用也是一個疑問，這些都造成了業務遷移的難點。

解決方案

先將業務包括數據進行復制，在本地環境和公有云端均保留相同的業務和數據，通過全局負載均衡進行流量切分，在業務穩定之后再切換。這種方式的優勢便是小步遷移，遷移的業務還會通過少量真實請求進行驗證，保證了遷移后的環境是可用的。

上圖所示，實現業務平滑遷移的過程可分為以下步驟：
1.在遷移過程中先實現業務和數據復制到云端，通過混合云架構提供服務。應用層不保存狀態，更容易實現業務復制到公有云端；
2.數據庫部分，先將歷史數據進行復制，再通過遷移工具UDTS逐步實現增量數據同步；數據庫的所有寫操作還是放在本地環境中，公有云端云主機對數據庫的讀操作可放在公有云端的數據庫中；
3.在遷移的整體過程中形成混合云架構的臨時狀態，將用戶請求流量按照一定比例切分到本地環境和公有云環境中；
4.在遷移切割窗口期，將數據庫、消息隊列等服務的寫操作從本地環境切換到公有云端，原有的讀操作還可以保持不變；
5.逐漸將本地環境中的流量縮減為0，從而完成業務和數據平滑遷移過渡到云端；
6.最后清理本地環境中的業務和數據。

需要進行業務和數據的遷移，均可考慮混合云架構的平滑遷移方式。

總結

本文介紹了三種混合云架構的組成方式，包括租用IDC或自有服務器與公有云連通、（云計算操作系統私有化部署的）私有云與公有云連通、托管云與公有云連通。并重點介紹了通過混合云架構延展本地環境的五個場景及對應解決方案。筆者認為無論是租用IDC、自購服務器、私有云、托管服務器，其本地環境的資源和能力都是有限的。相比之下，公有云資源和能力是“無限”可擴展的，因此可以通過混合云架構擴展計算、存儲備份、安全防護、新產品服務的能力，以及基于混合云架構實現遷移過程中的業務平滑過渡。

在下篇中將會繼續介紹混合云架構下網絡連通、通過DNS和轉發集群實現全局負載均衡、對混合云架構進行統一管理的云管理平臺CMP，還有對資源的跨平臺調度、保證業務連續性的實踐分享。

                                 文章來源：U-Star技術創作者