【核心提示】
在企业进行IaaS平台规划时,基于IaaS平台成熟度模型和CCRA IaaS平台采用模式,再结合客观实际情况,就可以拿出一份令人信服的整体设计报告。
说句大白话:看了这一系列文章,就能早些完成云平台的规划设计,少熬夜,早睡觉。
IaaS平台成熟度模型的5个等级、CCRA IaaS平台采用模式的6个渐进建设阶段,就是开启企业云计算之门的两把金钥匙。这不是为了提高文章点击率的“标题党”行径,而是一个自然而贴切的比喻;这更不是无根据的肆意夸张,而是在现实中被真实的企业云计算案例所反复证明了的客观事实。
本文将对CCRA IaaS平台采用模式的6个渐进建设阶段的具体内容展开详尽的讨论。
【前导文章回顾】
在《求真务实:企业云计算平台的基础框架和技术标尺(1)》(点击可以打开)一文中,对Iaas平台成熟度模型和CCRA的基础知识进行了简要的介绍。
在《开启企业云计算之门的金钥匙:基础框架和技术标尺(2)》(点击可打开)一文中,对IaaS平台成熟度模型进行详尽的介绍。
下图是IaaS平台成熟度模型的5个等级与CCRA IaaS平台采用模式的6个渐进建设阶段之间的对应关系:
【 正 文 】
CCRA IaaS平台采用模式的6个渐进建设阶段
为便于指称,以下,将“CCRA IaaS平台采用模式的6个渐进建设阶段”简称为“IaaS六阶段”。
IaaS六阶段的整体架构和各阶段功能模块如下图所示:
上图中,在从下往上的方向上,随着IaaS建设各渐进阶段层级的提高,云计算能力也在不断地增强。
IaaS六阶段分为两大层次:
1)含有5个阶段的云化数据中心(Cloud Enabled Data Center,阶段0~阶段4)层次;
2)云服务提供商(Cloud Service Provider,阶段5)层次。
以下,对IaaS六阶段的每一阶段分别进行描述。
阶段0:基础架构和平台虚拟化
(1)硬件资源管理
硬件资源管理,是指从虚拟化的角度出发,对计算机物理主机及其外围设备、存储设备、网络通信设备、基础网络设施等计算资源进行资源监控、管理和控制。
(2)计算虚拟化管理
计算资源主要是指:BIOS(或者UEFI)、CPU、内存、I/O接口(如:COM口和USB口等)、GPU、图形显示卡、网卡、磁盘等资源。在虚拟化的技术处理中,通常都会利用计算资源虚拟化管理软件和方法,对这些计算资源加以抽象化,隐藏计算资源的实际物理特性,为用户提供抽象的、统一的、模拟的计算环境。
计算虚拟化管理主要表现为系统级别的虚拟化管理,即在一台物理计 算设 备上虚拟出多个虚拟机。从系统架构的角度看,虚拟机监控管理器(含有Hypervisor等)是其核心所在,承担了计算资源的调度、分配和管理等重要任务,保证了多个虚拟机在相互隔离的前提下运行多个客户操作系统(即:Guest OS)。这是针对计算资源和操作系统的虚拟化,分成服务器虚拟化和桌面虚拟化这两种主要模式和场景。
(3)存储虚拟化管理
存储虚拟化管理技术提供了有效地管理虚拟基础架构的存储资源的方法,对存储硬件资源进行抽象化的呈现,即提供一个抽象层,以提供在虚拟化部署过程中对物理存储资源的处理、管理和优化。比如:将数据存储视为一个逻辑容器,能像文件系统一样,将各个存储设备的具体细节隐藏起来,并提供一个统一的抽象模型用于存储虚拟机的相关文件。
(4)网络虚拟化管理
网络虚拟化管理技术将网络资源与底层硬件分离,即:将虚拟化技术应用于虚拟基础架构的物理网络资源,对网络硬件资源(网络设备和网络服务等)进行抽象化处理,以此,创建按需分配、使用、调配和管理的透明的网络资源池。
利用底层物理网络作为单纯的数据包转发底板,虚拟化网络则作为一个逻辑容器,将虚拟化的逻辑网络组件(逻辑交换机、逻辑路由器、逻辑防火墙、逻辑负载平衡器、逻辑VPN等)提供给所连接的虚拟环境中产生的网络工作负载(Workload)。
阶段1:简洁的IaaS平台
简洁的IaaS平台是云化数据中心建设的开端,使用云计算模式实现了虚拟机的自动化部署和交付,具备多租户云基础设施架构的功能,由这个平台所交付的虚拟机也配备了所需的网络和存储。这一云计算的基础服务能力具有极强的典型性,已经覆盖了约70%的来自不同商业领域的对云计算的需求。
(1)云资源管理
从云计算的角度出发,提供对云环境的资源的管理能力,例如:对计算资源、存储资源和网络资源的管理。
(2)身份认证、角色和租户管理
云化数据中生态系统有许多用户,在基于角色的身份认证机制的作用下,可在云环境中担任不同的角色,也具备不同的权限,据此,可以对现有的云计算资源进行访问以执行相应的任务,比如:用户申请一个虚拟机资源、管理员批准一个虚拟机的创建。
在多租户管理功能的作用下,按照服务流程,用户可请求并获取响应此请求而动态创建的云资源,租户虚拟化资源和数据的独立性和隔离性、租户的隐私与安全均得到妥善保护。
(3)虚拟机的供应和上线
虚拟机的自动化供应和虚拟机的上线,为IT用户提供简单的接口和流程以核准虚拟机的创建,并供应虚拟机满足其需要。虚拟机所要求的支撑资源(处理器、内存、存储和网络等资源)会被预先设置好,一旦虚拟机发出创建请求即可获得相应的资源。在云资源管理基础设施架构的控制下,既有的虚拟机会被发现并按需上线,作为替代方式,虚拟机也可以从一个云环境迁移到另一个云环境。
(4)虚拟机的模式供应
虚拟机的批量供应模式,即同时供应多个关联的虚拟机,在部署虚拟机时,以一个整体进行供应,比如,用于高可用性的几个虚拟机。
(5)虚拟镜像构建和管理
为虚拟机的供应而提供镜像生成工具,从虚拟镜像模板库中,根据镜像生成新的虚拟机,建立版本控制,搜索和比较镜像,删除镜像。
(6)使用计量、会计与付费(可选)
提供工具对某一项工作负载(比如,处理器、内存、存储和网络)的各项特性的使用率进行跟踪,对这些资源特性的使用进行分级,产生基于资源消耗的结算报告。即便不是云服务提供商,计量云资源的使用情况,也可用于衡量云服务的使用率和量化潜在的费用节省情况。
阶段2:被管理的云平台
基于简洁IaaS平台,增加和补充了对云环境的治理能力。针对IaaS层的非功能性需求,有效地实现云环境中SLA、基础的安全性、弹性和容量计划的相关功能,以此,进一步优化IaaS的IT管理流程,同时,有效地管理虚拟化和自动化的复杂性,提高云基础设施以及云服务的效率。
(1)云基础设施和服务监控
IaaS层的虚拟化在有助于降低成本、提高可用性和增加伸缩性的同时,也增加了判断导致服务性能降低根本原因的难度。为此,提供具备端到端的可视化功能的云基础设施的监控工具, 从而确保关键业务的可用性、快速定位、对IaaS性能问题进行隔离和修复。
(2)容量管理与规划
通过监控和容量优化,实现更高的容量利用率、整合率和硬件节约:
Ⅰ) 基于真实的应用性能数据,正确评估当前容量需求,给出满足当前工作负载需求的建议资源量,避免虚拟机的过度资源调配;
Ⅱ) 使用“假设”情景,为新扩容计划的资源使用量建立规划模型,可靠地预测未来的增长需求,最大程度地避免过度部署云基础设施。
(3)事件管理
为了保证关键业务应用的正常运行,必须快速地定位异常情况,并判断问题的根本原因,利用管理工具,收集来自基础设施的各层次、各方面的事件,并对事件进行相互关联,最后,触发相关信息提示或修复行为。
(4)备份与恢复
对备份流程提供工具和管控,并使得服务在共识服务水平协议(SLA)的范围内能得到恢复。
(5)补丁管理
通过补丁管理工具,使IaaS平台供应的虚拟机的补丁安装保持在正确的安全和版本级别,有效地管控平台的安全性。
(6)端点合规性与安全管理
以合规性管理工具确保所有已经部署的虚拟机符合组织机构的既有安全管理策略和规定。
阶段3:高级的IaaS平台
为了在高要求的云环境中交付和管理复杂和关键的IaaS能力,构建更为复杂的云基础设施,具备将服务部署于多个云数据中心或者扩展至外部公有云的能力。为适应复杂的生产环境的需求,基于服务自动化和服务编排,提供与性能、可伸缩性、可扩展性和高级安全性相关的能力。
(1)存储供应与配置管理
提供存储资源的自动发现、动态预配置、动态管理存储资源的分配、监控、供应、融合不同类型的异构存储设备的能力。对定义以为云计算设备的不同类型的存储设备,提供自动供应能力,使其纳入云计算资源池之中。基于这些被自动融合的存储资源,即可实现新的诸如“存储即服务”(storage as a service)的服务。
(2)网络供应与配置管理
提供网络资源的自动发现和管理、动态供应和分配以及对异构设备的监控能力。基于此,可以自动地配置一个负载均衡器或者配置一个新的网络,这被作为云服务的一部分进行部署,并能为虚拟机所用。基于这些网络资源,可实现“网络即服务”(network as a service)的服务。
(3)服务编排
提供对复杂云计算系统、中间件和相应服务的自动化安排、协调和管理的能力。基于此能力:
Ⅰ) 为交付复杂的业务应用,可以创建含有两个以上虚拟机的环境,其中,虚拟机挂载有外部存储资源,虚拟机之间亦有网络以互联;
Ⅱ) 通过一个单独的自服务接口,提供跨数据中心的服务供应能力,自服务接口包括了如下能力:
-
基础设施元素的自服务供应能力,比如:具备多租户特性的虚拟机、存储、网络;
-
复杂的集成基础设施服务的自服务供应能力。
(4)混合云集成(可选)
提供外部云计算环境(比如:公有云)的供应能力,有时候是出于对成本的考虑,更多时候是为了适应企业机构高峰时期的工作负载。这使得:在公有云中供应虚拟机,从私有的基础设施中建立与这些虚拟机的安全联接,并且将私有云资源与之协同工作,进而对其进行管理。
在企业机构遇到突发性的业务访问高峰时,如果私有云无法满足实际需要,则可通过混合云集成的能力解决计算资源不足的问题
(5)高级安全管理
对更为复杂的环境提供高级安全能力,以更为复杂的安全性手段对抗入侵威胁和针对脆弱性的攻击,这通过身份认证、入侵检测、访问控制、对相关安全信息的分析、事件管理和日志信息管理等功能得以完成。
阶段4:整合了ITIL流程的IaaS平台
在实际的生产环境中,需要交付复杂性和综合性较强的服务,为此,将云服务在配置管理数据库(CMDB,Configuration Management Database)中注册,同时,将云基础设施和服务置于企业主要的ITIL流程控制之下,这样,就定义了与既有的企业应用、系统和流程集成的云计算环境及其能力。
这是云化数据中心的最后一个建设阶段完成后所具备的服务能力,同时,在云服务提供商这一商业模式中,要确保具有典型意义的QoS和SLA服务,治理和控制能力是非常重要的。因此,要实施更为复杂的云服务提供商这一商业模式,要将云计算环境的成熟度水平提高到货币化的第5级,具备整合了ITIL流程的IaaS平台的能力正是其先决条件和必要的前提步骤。
(1)问题与事故管理
Ⅰ) 问题管理,提供对问题进行处理的服务管理流程,即:对云计算平台在实际运行中产生的事故,通过调查和分析,查清事故产生的根本原因,定位云计算基础设施的薄弱环节,据此,制定事故的解决方案以及防止事故再度发生的具体措施。
Ⅱ) 事故管理,负责对云计算平台的相关事故的处理,监控整个处理过程直至事故得到妥善的解决。事故管理的要旨是:在最小影响的前提下,尽快地使云计算平台恢复到SLA所定义的服务级别。
(2)IT资产管理
主要管理云计算环境中IT资产的生命周期,具备从采购、领用、维修、借用、调拨、退出、报废、处理等过程的流程处理能力。
(3)许可管理
实际上,IT资产管理,不仅包括对硬件设备的管理,还包括对无形资产的管理,License管理是其中的重要部分,而且,正式由于其重要性,在此阶段中,将之作为一项重要能力而单独列出。在云计算环境中,有以VMware和Citrix等公司的产品为代表的商务类收费License分布,也有以OpenStack和KVM等产品为代表的Open Source或Freeware类免费License分布,完备的License管理可对这两类License进行妥善的管理,以维护云计算的基础环境。
(4)变更与配置管理
变更管理:在最短的云服务中断时间内,使用标准的方法和步骤,完成对云基础设施或服务的变更,并对变更进行控制,将由变更而致的业务中断造成的影响减到最小程度。
配置管理:识别和确认云计算平台的硬件、软件、文档和人员等配置项,记录和报告配置项所处状态及其变更请求,对配置项的正确性和完整性进行检测。通过这些对配置项的管理,提供云基础设施及其架构的逻辑模型,对变更管理和发布管理等其他服务管理流程的运作提供支持。
(5)服务水平管理
协调企业机构的云计算用户和云计算基础设施提供者(IT运维部门)双方对云计算平台服务水平所持的观点,经过规划、草拟、讨论、监控和报告,最终签订服务水平协议,实施特定的、一致的和可测量的服务水平,并对服务绩效进行量化评价,以此,在成本合理的前提下,确保企业机构所需的云计算平台服务的质量得以持续并逐渐提升。
(6)服务台
服务台是ITIL的服务职能,在云计算服务平台纳入至企业机构的ITIL架构之后,再将各种ITIL服务功能汇总到一起,形成一个面向云计算用户的统一的、集中的、专职的服务平台,促进组织业务流程与服务管理基础架构的集成。
服务台是云计算用户和云计算基础设施提供者(IT运维部门)之间的统一联系点,借助于此可协调两者之间的联系和沟通,为云计算平台的服务运作提供支持。
(7)发布管理
在云计算环境中,对经过测试后导入实际应用的新增或修改后的配置项,使用发布管理流程进行分发。发布管理使用项目规划的方法来实施云计算平台服务中的变更,负责处理由变更配置项而引起的技术和非技术方面的问题。
阶段5:云服务提供商的IaaS平台
与前5个阶段的云化数据中心(Cloud Enabled Data Center,阶段0~阶段4)所包含的IaaS建设阶段相比,云服务提供商(Cloud Service Provider,阶段6)的IaaS建设阶段具有覆盖范围更为广泛、功能更为全面的特征,是在其他5个阶段成熟稳定之后的发展趋势和必然导向。
在IaaS六阶段中,这个阶段映射为IaaS成熟度模型中的Monetized(货币化的)级,是企业IaaS平台从成本中心转为利润中心的本质飞跃,也是最为复杂的一个阶段。
在云服务提供商的IaaS平台阶段,IaaS平台的主要能力表现在:安全访问能力、后台支撑系统能力、共享的系统能力、高可用性和互操作能力。
(1)安全访问能力
为IaaS平台的所有可交互点提供安全的访问能力,定义了5类接口,每类接口都定义了恰当的访问控制功能,以确保功能和服务能获得恰当授权。这5类接口在CSP IaaS平台中的的具体位置如下图所示:
这5类接口是:
A)客户管理接口:为客户账户经理而专设的接口,用户客户管理;
B)店面(Storefront)访问接口:为客户账户经理和有购买授权的客户而专设的接口;
C)客户访问接口:为用户与其订购的云服务进行交互而专设;
D)合作伙伴管理接口:为合作伙伴账户经理与云服务提供商交互而专设的接口;
E)CSP管理接口:为CSP(云服务提供商)内部员工或者代理商进行管理而专设的接口。
通常,在IaaS平台提供基本的入门级服务时,客户管理接口、客户访问接口和CSP管理接口是必须具备的基本功能,店面和合作伙伴管理接口则是下一部署阶段的任务,以此加速IaaS推向市场的速度。
(2)后台支撑系统能力
包括了业务支撑系统(BSS,Business Support Systems)和运营支持系统(Operational Support Systems)的能力,这些能力是在云计算环境中管理业务和运营系统的关键所在。由于这两个系统所涉及内容较多,是一个专业性极强的专门领域,并非本文讨论的重点,故此,以下仅分别列出其主要功能点:
一、业务支撑系统
A)客户管理;B)产品管理;C)合作伙伴管理;D)订购管理;E)使用计量;F)账单;G)费率和计费;H)财务管理;I)分析和报告
二、运营支撑系统
A)服务自动化;B)新产品包纳管;C)服务质量管理;D)产品包管理;E)服务运营管理;F)虚拟机管理;G)资源管理
(3)共享的系统能力
共享的系统能力,是指为IaaS平台中其他子系统所共享的通用能力,如下图所示:
基于共享的系统能力,可确保CSP IaaS平台的安全、可用性、性能和可治理性,其中,安全性尤为重要。共享的系统能力包括了:
A)外部访问安全;B)内部访问安全;C)服务安全;D)可用性;E)性能监控;F)可治理性
(4)高可用性
CSP IaaS平台支持如下的高可用性:
A)流量的重定向;
B)触发容错机制后,可转移到其他的本地系统;
C)触发容错机制后,可转移到位于远程的地点;
D)恢复后可重新加入工作负载
(5)互操作能力
CSP IaaS平台具备的互操作能力,使得在用户和CSP之间、合作伙伴和CSP之间、独立部署的多个CSP Iaas平台之间可以进行交互协作。
所有的这些交互协作活动都是基于IP协议的,而交互协作的管理接口则通常是基于HTTP协议的,包括显性的HTML接口和静默的Web Sevice接口(此时通常使用HTTP REST形式)。
至此,对CCRA IaaS平台采用模式的6个渐进建设阶段的讨论结束了,《开启企业云计算之门的金钥匙:基础框架和技术标尺》系列文章也画上了句号。
如果说云计算产业是一个巨大的工厂车间,那么,这一系列文章就是产品流水线上一颗被牢牢拧上了的螺丝钉,发挥着微小却实在的作用。