什么是多云?
什么是多云?
多云是一种云计算部署模式,使组织能够跨多个私有云和公共云提供应用服务,包含以下各个项目或它们之间的组合:多个云供应商、多个云帐户、多个云可用性区域,或多个云地区或场所。
例如,多云可能包括:两个公共基础架构即服务 (IaaS) 提供商、一个公共平台即服务 (PaaS)、公共云中的按需管理和安全系统、公司记录系统的私有云 IaaS,以及合作和云原生应用系统的公有或私有 IaaS 上的私有容器即服务 (CaaS) 堆栈。
国家标准与技术研究院的报告表明,不同的云计算部署模式定义为:
- 私有云 — 云基础架构由包含多个消费者的单个组织专用。它可能由该组织、第三方或他们的某个组合所有、管理和运营,可能存在于本地或远程。
- 公共云 — 云基础架构可由公众公开使用。它可能由企业、学院或政府组织或他们的某个组合所有、管理和运营。它存在于云提供商的内部。
- 混合云 — 云基础架构包含两个或多个不同的云基础架构(私有或公有),它们保留独特实体,但由支持数据和应用可移植性的标准化或专有技术捆绑在一起。
Contrail 提供商云是 IaaS 的一个示例,通常用作私有云的基础。
尽管大多数公共云提供 IaaS,但很多提供更多可称为服务即平台 (SaaP) 的服务,如分解式 PaaS。
多云的优势
高可用性 — 多云为组织的服务和数据存储提供冗余和保护,抵御安全威胁,防止中断。如果一个云不可用,其他云保持在线以运行应用和服务用户。
灵活性 — 多云为组织提供选择最适合其特定业务需求、经济能力、位置和时机的各个云类型的选项和灵活性。通常,组织使用多个不同的云来管理其数据、基础架构和应用。如果明智地使用多云来保持应用和数据可移植性,组织可避免“供应商锁定”。
成本效益 — 多云使组织能很好地控制其经济效益,从而权衡资本和运营支出,并充分利用公共云和基础架构供应商价格战。通过使用公共云服务,组织还可为客户提供额外功能,无需雇用人员或将自己的时间花费在管理服务及其所有依赖项上。此外,通过多云规划服务容量分配后,组织可针对特定服务级别要求和弹性规模优化成本。
为何构建多云?
通过构建多云,组织可使用多个云托管提供商提供的多项服务,并从中受益。提供端到端访问的连接是多云的关键!连接的提供方式可能有助于也可能会阻碍跨多云架构扩展端到端安全和运营控制。
被视为端到端的多云不仅仅是数据中心和公共云;还包括互相连接应用,以及将应用连接到您的用户、员工和客户参与的园区和分支机构站点。实现这一目标需要以下多云组件:
如何为多云架构做好准备
由于多云架构环境如此广阔,组织在使用或考虑使用云架构时,应做好应对这一必然现实的准备。
- 统一工具链: 统一工具链工作是指开发人员合理化基本 DevOps 管道、应用运行时群集和中间件堆栈的过程,理想情况下可以服务于组织内的大多数项目。工具需要能在任何云基础架构(包括传统基础架构)上工作。鼓励使用在多个云中管理的基于开源的服务,或组织自带和自行管理的服务。
- 连接多个云:需要将多个云连接在一起以支持管道自动化,允许拆分应用层,保护仓库或分布式应用的数据复制,以及进行备份以避免灾难或用于灾难恢复。
- 统一和简化策略:使用云管理平台提升组织在云中和云间的编排。将配置和管理与联合控制器或全局控制器统一。在部署模型和 API 时采用抽象化。
- 前期规划和准备:制定将多云作为 IT 平台的完善策略,这需要花时间规划并构建组织的理想路线。避免贸然行事,这可能会导致开发人员随意使用服务,并限制组织未来的灵活性。
通过跨多个云环境工作,组织可最大限度地提高投资回报,同时将与个别云环境关联的风险降至最低。管理得当的多云平台会增加灵活性和价值,从而带来持续业务优势和敏捷性。如需查看云采用情况的最新统计数据,请点击 1 云技术现状报告。
多云常见问题解答
什么是多云?
多云是一种云计算部署模式,组织借此跨多个私有云和公共云提供应用服务。多云环境可能包含以下各种情形组合:多个云平台和供应商、多个云帐户、多个云可用性区域,以及多个云地区或域。
什么是多云管理?
多云管理是指使用软件工具在本地和公共云平台的混合 IT 环境中部署、升级、保护或以其他方式管理应用的流程。由于云计算已经融入到 IT 的几乎方方面面,因此基本上所有应用都可以在多云环境中进行管理。
多云管理工具有哪些基本功能?
多云工具的功能千差万别。有些工具专门用于为已部署在多云环境中的单个应用提供支持。而有些工具则可以帮助您使用单一管理界面来管理存在于多云中的带实例基础架构组件(如数据库)。还有一类工具可以帮助您跨多云环境管理所有工作负载;虚拟化和容器化工作负载常用于此情景。
为什么要采用多云策略?
选用多云方式最常见的三个理由在于性能、弹性配置和安全性。值得注意的是,成本反而很少被视作多云部署成功案例背后的首要驱动因素。接下来,我们逐一了解一下多云部署的三大驱动因素。
- 性能。与内容交付网络 (CDN) 一样,多云通过将资源迁近最终用户来实现性能优势。CDN 将数据和多媒体内容存储在距离联网最终用户尽可能近的地理位置;同样地,多云部署可以将部分(或整个)应用迁移到可以尽可能缩短用户与资源之间物理距离的网络区域或域。缩短用户与资源之间的距离可以减少与通过广域网访问数据和应用相关的网络延迟;用户与他们访问的资源地理距离越远,感受到延迟就越明显。
- 弹性配置。将应用托管在超过一个云中可以防止任何一个云出现故障时受到影响,不过必须指出的是,所谓云弹性配置,不同服务提供商之间可能存在一些细微差别。公共云服务提供商通过在多个区域运行数据中心,在其基础架构中构建了一定程度的冗余。这些设置可提供基本的弹性配置,客户无需使用多个云服务提供商。然而,计费争议和人为错误(如配置错误)可能会导致由一个云服务提供商托管并处理的所有工作负载面临风险。有许多变通方法可以解决这个问题,例如以不同的帐户和不同的凭证来管理每个地区。然而,这些变通方法却带来了与多云部署类似的运维复杂性问题。
- 安全性。出于安全性考虑,还可以部署多云,特别是结合私有云和公共云的多云。许多组织希望利用云计算的经济效益和可扩展性优势,或特定云服务提供商提供的功能,但又必须将某些数据和/或工作负载限制在特定的地理位置或本地部署中。通常情况下,这些情况受欧洲《通用数据保护条例》(GDPR) 信息隐私等监管要求,或出于对数据主权的考虑而须受到约束。请阅读下文讨论,了解更多有关多云安全性的考量因素。
多云对安全性有什么意义?
多云让数据的地理位置成为现代信息技术的一个核心考虑因素。不同司法管辖区对数据存储和数据主权的法律要求差异很大,多云的存在引发了对数据位置的考量,在全球各地受到的法律审查越来越严格。
如果您正在使用并非由您直接管理、但后台利用到多云技术的应用,那么您必须了解其中所隐含的法律关系。在大多数司法管辖区,您的组织作为该应用或服务的用户,有责任了解供应商多云支持应用所存储数据的全部可能位置。根据涉及数据和相关司法管辖区的不同,您的数据可能需要符合其可能被存储、处理或访问位置所在的每个司法管辖区的法律规定。
如果您自行管理多云部署,同样需要考虑这些法律因素;但是,您对数据存储位置的控制权要大得多。对于您自行运维的多云部署,您可以选择存储数据的位置,例如仅在本地存储库中存储高度敏感数据。
多云的安全程度如何?
多云的安全性因相关运营商和供应商的技术水平而异。必须确保多云部署中涉及的每个基础架构组件和应用的安全。多云部署中的组件越多,出现配置错误或安全漏洞的几率就越大。
您在多云环境中使用的每个云都是一个独立的基础架构,必须对其进行设计、部署、监控和持续维护,才能保证安全。此外,还需要单独考虑在多云基础架构基础上运行的任何应用和数据的安全问题。
专为多云环境设计的应用和基础架构组件可大幅减轻安全负担。例如,通过虚拟化和容器化,管理员可以部署相同的软件堆栈,而不受底层云平台的影响。除了安全防御措施,这些堆栈可以还包含一个或多个应用,如虚拟化或容器化防火墙。
另一个重要的多云安全考虑因素是网络。多云应用可能包含甚至需要在敏感数据上运行,例如个人可识别信息 (PII)。如果在应用或应用组件之间传输这些数据,则建议通过安全网络进行此类传输。
瞻博网络如何为多云策略提供支持?
瞻博网络提供多种解决方案、产品、技术和服务,帮助客户构建安全的多云网络。其中,人工智能驱动型 SD-WAN 和安全边缘连接共同为安全的多云部署奠定了基础。此外,瞻博网络还提供容器化路由、应用发现和监控以及网络安全等功能。
路由。瞻博网络的 MX 系列通用路由器和 Session Smart™ 路由器提供策略驱动的自动化路由,让网络管理员能够在组织的整个 WAN 覆盖范围内以任何规模优化最终用户体验。客户可以通过 Session Smart™ Conductor 或人工智能驱动型瞻博网络 Mist 云集中管理分支机构、数据中心和云路由器。在多云环境中,MX 系列路由器将本地和主机代管数据中心互相结合,并与公共云部署相结合。
瞻博网 络的云原生路由器是一款容器化路由器,采用公认成熟的瞻博网络路由技术,将公共云服务与本地数据中心相结合。这种路由器使用 cRPD 和在 Kubernetes 中实施的 Contrail DPDK vRouter 转发平面,实现高性能的 Kubernetes 容器网络接口 (CNI) 框架无缝集成。
安全性和 QoS。监控和应用流量发现是确保多云网络安全性和制定服务质量 (QoS) 策略的重要一环。运行 Junos® 操作系统的瞻博网络交换机、路由器和防火墙都包含具有此类广泛功能的要素。瞻博网络云原生路由器以及瞻博网络安全分析产品组合也提供部分此类功能。
网络安全不仅仅局限于识别并监控数据流,瞻博网络拥有多项以安全性为重点的技术,为您的多云部署保驾护航。瞻博网络 SRX 系列防火墙适用于任何规模的网络,并提供物理、虚拟和容器化选项。瞻博网络云工作负载保护有助于保护各个工作负载,而瞻博网络高级威胁防御功能(如人工智能预测威胁防御、SecIntel 和加密流量洞察)则可以增强基于网络的防御。利用实时威胁情报源、拦截列表和动态检测,这些技术可在网络的任何位置实现快速响应的自动流量过滤。这样一来,即使其中存在通过加密而“潜入”的恶意僵尸网络流量,管理员也能够以线速检测并阻止此类流量,而无需额外硬件。
这些技术和功能均由 瞻博网络 Security Director Cloud进行托管。利用 Security Director Cloud,您可以在任何环境中借助一致的安全策略保护您的多云架构,并将零信任扩展到网络的所有环节,从一个位置提供不间断的可见性、策略配置、管理和集中式威胁情报。
最后,对于任何面向互联网的服务来说,内联分布式拒绝服务 (DDoS) 保护都是一个重要考虑因素。瞻博网络和 Corero 的联合 DDoS 防御解决方案可以提供此功能。
