阿里云专有云平台
阿里云专有云平台
一、什么是阿里云专有云
1.专有云定义
面向行业云、大型集团云等的多租户、完整专有云架构,以超大规模数字化应用为业务驱动,以DevOps应用持续集成持续开发和生产环境的运营支撑为主要IT诉求,自上而下构建全栈云服务的专有云体系
面向中小企业和中小型应用场景的单租户、简版专有云,向上衔接和承接大型SaaS应用、行业云及大型集团云等技术体系,同时完成本地计算任务
2.阿里云专有云
1)交付完整的可定制的阿里云软件解决方案
2)本地运行与阿里云公共云提供的超大规模云计算和大数据产品相同的特性
3)提供一致性的混合云体验,满足用户按需获得IT资源、保持业务持续性的需求
4)提供本地部署方式,可以脱离阿里云运行和独立管理
3.服务价值
弹性 :资源打通,将所有资源变成一台超级计算机,通过弹性扩容,使得成本、性能及稳定性达到最优
敏捷 :业务打通,通过互联网化、微服务化,让传统企业快速实现创新
数据 :数据打通,通过数据化打通不同垂直业务的数据,形成数据中台,应对海量数据处理
智能 :商业打通,通过全局智能化重塑商业模式
4.平台特征
1)软件定义平台,屏蔽底层硬件差异,资源可根据需求进行横向或纵向的扩展,对上层应用无感知
2)生产级的可靠性及安全合规,保证企业数据的连续性和安全性
3)统一管理入口,对不同人员的角色进行权限隔离,便于用户后期的运维管理
5.发展历程
1)V1.0(2015.7)
场景:大数据
关键产品:IAAS+基础大数据产品
2)V2.0(2016.5)
场景:互联网中台+大数据
关键产品:IAAS+大数据产品+Aliware中间件
3)V3.0(2017.7)
场景:互联网金融+大数据
关键产品:IAAS+大数据产品+中间件(含docker)+高级版云盾
二、为什么选择阿里云专有云
1.超大规模分布式云操作系统
1)分布式系统底层服务
提供分布式环境下所需要的协调服务、远程过程调用、安全管理和资源管理的服务。这些底层服务为上层的分布式文件系统、任务调度等模块提供支持
2)分布式文件系统
提供一个海量的、可靠的、可扩展的数据存储服务,将集群中各个节点的存储能力聚集起来,并能够自动屏蔽软硬件故障,为您提供不间断的数据访问服务;
支持增量扩容和数据的自动平衡,提供类似于POSIX的用户空间文件访问API,支持随机读写和追加写的操作
3)任务调度
为集群系统中的任务提供调度服务,同时支持强调响应速度的在线服务和强调处理数据吞吐量的离线任务
自动检测系统中故障和热点,通过错误重试、针对长尾作业并发备份作业等方式,保证作业稳定可靠地完成
4)集群监控和部署
对集群的状态和上层应用服务的运行状态和性能指标进行监控,对异常事件产生警报和记录
为运维人员提供整个飞天平台以及上层应用的部署和配置管理,支持在线集群扩容、缩容和应用服务的在线升级
2.天基部署与管控系统
1) 部署框架 为所有的云服务提供了统一的接入平台部署和服务间的依赖关系管理功能
2) 资源库 保存了所有云服务和依赖组件的执行文件
3) 认证授权组件 为云服务提供访问控制能力,支持多租户的隔离
4) 接口网关 为云服务提供统一的API管理平台
5) 日志服务 为云服务提供了日志存储、检索、获取等功能
6) 管控模块 监控各云服务的基础健康状态,支撑云平台的运维体系
3.统一运营管理及自动化运维能力
1)提供统一的管理系统入口,可以针对不同的用户角色配置不同的管理权限
2)通过开放的接口,可以将管理运维的能力开放给用户,用户可以自定义云资源控制台
3)提供了企业ITIL系统对接的能力,与企业现有IT系统完成同步的对接和整合
4.开放的云服务接口
1)云服务通过OpenAPI平台,提供丰富的SDK包和RESTful API接口
2)用户可以使用开放接口来灵活访问专有云提供的各种云服务
3)用户可以通过OpenAPI获取云平台的基础管控信息,将专有云平台接入到用户统一的管控系统
三、产品架构
1.专有云架构类型
1)原生云架构 :由互联网的开放架构演进而来,以分布式系统框架为基础,大数据和Web应用先行,然后扩展到各种基础服务
2)集成云架构 :以计算虚拟化为主,基于传统的架构做突破,在OpenStack开源中已逐步成为主流架构
3)阿里云专有云采用原生云架构 ,以自研的阿里云服务器操作系统、分布式技术和产品为基础,一套体系支撑所有云产品和服务,提供完整的云平台开放能力,具备完善的企业级服务特性,具备完善的容灾和备份能力,具备完全自主可控的能力
2.系统架构
1)物理设备层
主要包括用于云计算的物理机房、服务器、网络等硬件设备
2)云平台基础服务层
在基础物理环境之上,为上层应用提供基础服务
3)超融合管控层
利用超融合的管控架构,为上层应用或服务等提供统一的调度
4)云服务与接口层
一是通过融合的服务节点管理,对虚拟机和物理机提供统一管理和运维,二是通过开放的API管理平台,统一接口并支持定制化开发
5)云平台统一管理层
提供统一的运营和运维管理入口
3.逻辑架构
1)硬件基础是IDC+X86服务器+网络设备
2)飞天内核(分布式引擎),基于飞天提供了各种云产品
3)所有云产品都要求遵从一个统一的API框架,管理与运维(账号、授权、监控、日志)体系及安全体系
4)保证所有产品遵从一致性的使用体验
4.网络架构
1)简介
ISW(互联交换机) :外网接入模块,出口交换机,互联ISP或用户网络骨干
CSW (内网接入交换机) :内网接入模块,接入用户内网骨干,实现云网络内外部的路由分发交互,包括VPC专线接入
DSW (分布层交换机) :数据交换模块,核心交换机,用于连接各个ASW接入交换机
ASW (接入层交换机) :数据交换模块,接入交换机,接入云服务器,上行互联核心交换机DSW
LSW (综合接入交换机) :综合接入模块,云产品服务接入交换机,主要提供VPC和SLB等服务
2)业务服务区
数据交换模块
ASW两两堆叠作为叶子节点,此部分根据网络规模大小可选择不同适用范围的数据交换模型
所有云业务服务器上行至ASW堆叠设备, ASW和DSW之间通过eBGP互联,DSW之间相互没有连接,数据交换模块与其他模块之间通过eBGP互联
数据交换模块接收ISW发布的外网路由,并发布云产品地址网段到ISW
综合服务模块
各类云产品服务器(XGW/SLB/OPS)分别与两台LSW互联,通过OSPF交换路由信息
两台LSW之间通过iBGP交互路由信息
LSW与DSW、CSW之间通过eBGP交换路由信息
3)综合接入区
内网接入模块
两台CSW为内部用户提供两类接入:VPC接入和普通云服务接入
VPC接入由CSW提供内部用户与VPC的映射关系,将内部用户分别导入各个VPC内,在CSW上,不同用户群保持相互隔离
普通云服务接入,CSW与综合服务模块通过eBGP互联,直接提供到业务服务区的所有资源访问
外网接入模块
由两台ISW组成,接入ISP或用户公网骨干,实现内外部的路由分发交互。两台ISW之间运行iBGP协议相互备份路由。上联到ISP或用户公网骨干,互联方式可根据实际情况采用静态路由或者eBGP协议,互联带宽根据用户的阿里云网络规模和用户骨干带宽设计定义
推荐ISW接入多个运营商,使用BGP的方式与运营商互通,为了提升可靠性,可以考虑接入多家运营商,每个运营商2*10GE。同时外网接入模块与数据交换模块之间通过eBGP协议交互路由。外网接入模块向数据交换模块发布相关外网路由,接收数据交换模块发出的云服务内部路由,实现云网络内部与外部交互
在外网接入模块会旁挂阿里云安全防护系统,外网访问云网络的流量通过分光器引流至beaver,beaver监测到攻击流量后通过云盾发布相应的路由将攻击流量引入云盾进行清洗,并将清洗后的流量回注
4)VPC专线接入
通过VPC专线接入方案用户可以完全掌控自己的虚拟网络,包括选择自有IP地址范围、配置路由表和网关等。此外,也可以通过专线 、VPN等连接方式将VPC与传统数据中心组成一个按需定制的网络环境,实现应用的平滑迁移上云
各类云产品服务器(XGW/SLB)分别与两台LSW互联,通过OSPF交换路由信息;两台LSW 之间通过iBGP交互路由信息;LSW与CSW之间通过eBGP交换路由信息
5.安全架构
1)提供从底层通信协议到上层应用的全方位的安全能力,保证用户的访问和数据安全
2)所有控制台均需要通过HTTPS证书的方式访问
3)提供完善的角色授权机制,保证多租户模式下,资源访问的安全可控。支持不同的安全角色,包括安全管理员、系统管理员及安全审计员
4)引入云盾产品,为用户提供多层面、一体化的云安全防护解决方案
6.底座组件
1)Ops组件
Yum:安装软件包
Clone:机器克隆服务
NTP:时钟源服务
DNS:域名解析服务
2)底座中间件
dubbo:分布式RPC服务
tair:缓存服务
mq:消息队列服务
ZooKeeper:分布式协同
Diamond:配置管理服务
SchedulerX:定时任务服务
3)底座基础组件
天基:数据中心管理
天基Mon:数据中心监控
OTS-inner:表格存储服务
SLS-inner:云平台日志服务
元数据库:元数据库
POP:云平台开放接口Open API
OAM:账号系统
RAM:认证授权系统
WebApps:运维控制台支撑
7.运维服务管理框架
1)Apsara Stack运维系统 ASO(Apsara Stack Operation System)是阿⾥云专有云统⼀的智能化运维平台。根据阿⾥云专有云对云运维的理解,云运维分为三个主要层次,即基础设施运维、云产品/云服务运维和业务运维。
2) 运维服务管理框架 包含了IT运维服务全⽣命周期管理⽅法、管理标准/规范、管理模式、管理⽀撑⼯具、管理对象以及基于流程的管理⽅法 ,以ITIL/ISO20000为基础,以适应各种管理模式为⽬标,以管理⽀撑⼯具为⼿
段,以流程化、规范化、标准化管理为⽅法,实现对运维服务全过程的体系化管理。通过对三个层次体系运维经验的积累和数据的收集,阿⾥云专有云将运维平台收集到的数据汇聚到平台的CMDB中,由ASO智能化运维平台对数据进⾏整合分析和综合处理,同时把丰富的实践经验和运维能⼒固化到平台运维⼯具中,以⾯向终态的设计理念,通过统⼀的运维⼯具完成平台的故障发现、故障追踪、链路展⽰、ITIL流程以及⾃愈的故障修复,最后达成AIOPS的终极⽬标
3)Apsara Stack运维系统 ASO为⽤⼾提供⼀个 统⼀的运维Portal ,通过运维Portal,您可以体验⼀致化的运维体验及统⼀的运维⼊口。 ⽀持与第三⽅平台的对接 ,提供统⼀的运维API能⼒,可以将运维系统中的数据通过API的形式提供给第三⽅系统。对云计算环境中的物理设备、操作系统、计算、⽹络、存储、数据库、中间件、业务应⽤等进⾏ 统⼀的⾃动化部署、升级变更、配置管理的运维管理 。同时还提供了故障、性能、配置等⽅⾯的 监控报警、⾃动分析诊断处理功能 ,通过分析处理评估云平台运⾏的状态和质量,保障云计算业务应⽤的持续稳定运⾏,为运维服务流程提供服务与⽀撑,构建完善的运维服务管理平台
4) 流程保障和⼈员管理对运维的完整性也⾄关重要 ,阿⾥云专有云提供了驻场服务、专家护航服务、业务咨询服务、业务优化服务和重⼤问题的研发现场⽀持服务,通过⼀线,⼆线和三线的⽀持体系⽀持客⼾的平台问题,并提供升级渠道⽀持客⼾的紧急问题;完全⾃主可控的平台,保证技术问题及时有效解决
四、产品全景
1.基础架构
提供丰富的基础虚拟资源,包括虚拟计算、虚拟网络和虚拟调度。主要产品有云服务器ECS、专有网络VPC、负载均衡SLB、容器服务、弹性伸缩、资源编排ROS、密钥管理服务KMS
2.存储产品
针对不同的存储对象提供多样化的存储产品。主要产品有对象存储OSS、文件存储NAS、表格存储(Table Store)、文件存储HDFS
3.互联网中间件和应用
提供了应用中间件服务,支持各类客户应用程序,实现应用服务化,支撑应用向微服务架构演进。主要产品包括API网关、日志服务、云解析DNS、企业级分布式应用服务EDAS、消息队列MQ、云服务总线CSB、业务实时监控服务ARMS、分布式任务调度SchedulerX、媒体处理MPS
4.数据库
提供多样化的数据引擎,并且能够实现多数据引擎间互通。主要产品包括云数据库RDS版、云数据库Redis、云数据库Memcache、云数据库MongoDB、分布式关系型数据库DRDS、云数据库HBase版、云数据库OceanBase、分析型数据库PostgreSQL版、高性能时间序列数据库TSDB、数据传输DTS、数据库管理DMS
5.大数据处理
提供多样化的大数据分析、应用和展示功能,实现数据价值最大化。主要产品包括大数据计算服务MaxCompute、DataWorks、分析型数据库MySQL版AnalyticDB for MySQL、实时计算Realtime Compute、Quick BI、EMR、关系网络分析(Graph Analytics)、DataQ-智能标签、智能数据引擎Dataphin、大数据管家
6.人工智能
提供一块基于阿里云分布式计算引擎的一款机器学习算法平台。如机器学习(PAI)
7.安全
提供从底层通信协议到上层应用的全方位防护,保证用户的访问和数据安全,如云盾
五、应用场景
1.城市大脑
1)城市治理模式突破,以城市数据为资源,提升政府管理能力,解决城市治理突出问题,实现城市治理智能化、集约化、人性化
2)城市服务模式突破,更精准地随时随地服务企业和个人,城市的公共服务更加高效,公共资源更加节约
3)城市产业发展突破,产业AI布局 ,开放的城市数据资源是重要的基础资源,带动产业发展发挥,促进传统产业转型升级
2.金融云
1)独立的资源集群,更高的安全容灾能力
2)更严格的机房管理,更严格的网络安全隔离要求,更严格的访问控制,更严格的用户准入机制
3)专门的金融云行业安全运营团队、安全合规团队、安全解决方案团队以及金融云客户经理和云架构师
4)遵从银行级的安全监管及合规要求
六、合规安全解决方案
1.重点解读
网络与通信安全
设备与计算安全
应用和数据安全
安全管理策略
2.云上等保合规
1)合规责任共担
阿里云是全国唯一一家参与和通过云计算等保标准试点示范的云服务商。公共云、电子政务云通过等级保护三级备案和测评。金融云通过等级保护四级的备案和测评
根据监管部门明确的结论复用原则,阿里云上的租户系统通过等级保护测评时,物理安全、部分网络安全和安全管理的结论可以复用,阿里云可提供说明
阿里云平台完备的安全技术和管理架构,以及阿里云提供的云盾安全防护体系,更有利于租户通过等级保护测评
阿里云可提供阿里云平台等保备案证明,测评报告关键页,云盾销售许可证,部分测评项说明
2)等保合规生态
阿里云 :整合服务机构能力,并提供安全产品
咨询厂商 :提供全流程技术支撑和咨询服务
测评机构 :提供测评服务
公安机关 :负责备案审核和监督检查
3.等保实施流程
系统定级
系统备案
建设整改
等级测评
监督检查
4.安全合规架构
物理和环境安全 :包括机房供电、温湿度控制、防风防雨防雷措施等,可直接复用阿里云的测评结论
网络和通信安全 :包括网络架构、边界防护、访问控制、入侵防范、通信加密等
设备和计算安全 :包括入侵防范、恶意代码防范、身份鉴别、访问控制、集中管控和安全审计等
应用和数据安全 :包括安全审计、数据完整性和保密性
5.方案优势
1)一站式等保测评服务
甄选并联合各地服务质量优异的咨询和测评机构,提供一站式、全流程合规,大大降低运营单位投入
避免多点沟通和重复工作,减少运营单位投入
效率大大提高,最快两周完成测评
阿里云提供云上安全和合规最佳实践
2)完备的安全防护体系
通过完备的云盾安全架构,运营单位可以在阿里云上找到对应的产品,完成对不符合项的整改,全面满足等保要求