中国移动是国内较早进行云计算研究的运营商,在云的战略和部署方面一直走在行业前列。2016年中国移动集团开始推行“大连接”战略,提出要构建“资源可全局共享调度、容量可弹性伸缩、架构可灵活调整、能力可全面开放”的新一代网络。在近几年的运营商类会议上,接入网、核心网的建设以及NFV一直在唱主旋律,在国家政策的指导下,我国5G商用进程和IPv6的部署正在加快,因而运营商私有云的建设关注度相对来说并不高。 中国移动集团原业务支撑系统部独立运作后,采用统管统建的方针将中国移动全国各省IT资源整合起来,再综合考量了各区域的业务水平和运营能力以及集团的战略规划之后,将中国移动全国私有云划分为一级私有云和区域中心私有云的两级架构。当前各省公司业务支撑部门为省级私有云的运营维护主体。 邵保华,现任河南移动私有云资源池网络主管,从事IT系统及数据中心网络规划与维护12年,具有丰富的大型数据中心网络规划建设经验,多年来的维护支撑工作熟悉TCP/IP协议族基础原理和系统诊断能力。推动SDN组网技术和NFV技术在云资源池中的广泛应用。 中国移动公司的运营是多个生产部门的协作,5G的主要工作落在核心网部门,私有云是个纯IT的系统、是个集中的资源池。私有云虽然不承载5G接入的功能但会同步负责5G用户的套餐支撑、流量计费以及经营分析等功能,在这个过程中私有云会和中国移动大网、核心网对接,需要全面协同做好5G网络的上线及推广工作。通常来说,如用户的计费与缴费、套餐的选取、以及用户相关行为的分析都由私有云来承载。简言之,接入的需求和业务由中国移动的大网负责,核心交易业务与分析由中国移动的私有云承载。显而易见,在适应和满足运营商转型的需求层面,运营商私有云的建设有着举足轻重的作用。近期笔者就运营商私有云建设的相关问题采访了河南移动私有云网络主管邵保华先生,以下是采访笔录。 河南移动私有云网络的规划与挑战 私有云的建设通常由IaaS而PaaS继而SaaS层层推进。河南移动私有云经过近几年多期项目的建设与运营经验的积累,已经初具规模,根据所承载业务的不同云平台分别实现对Bare-metal、虚拟机以及容器等不同形态的资源进行管理和调度。IaaS层的建设和运营已经比较成熟;PaaS层的相关功能、性能验证也已经完成,目前正在将部分业务迁移到PaaS平台;SaaS层正在规划当中。 云计算最重要的特征之一是资源的弹性,而网络资源是承载业务的基石。河南移动私有云在建设过程中网络遇到的挑战有两方面。首先,私有云内部采用了网络虚拟化,网元颗粒更加抽象,传统基于物理网卡或网络设备端口镜像或分光的网络流量收集方式已经不能适应虚拟化网元的管理需求,因此系统内的网络行为完全黑盒化;其次,随着私有云面向的租户越来越多,从原有的部门内部到整个省公司各部门以及不同省公司之间的跨区用户,如何实现私有云平台运营部门与租户业务运营部门的高效沟通、快速协助以及信息共享成为挑战。当然这也不仅仅是河南移动私有云面临的挑战,许多的上云企业都遇到了类似的难题。 打造稳定、高效、安全的私有云网络 那么,运营商私有云建设的安全要求需要满足哪些行业规范和要求?邵保华告诉笔者说,等保是国家统一的标准,移动公司私有云首先要遵循这个要求。作为河南移动私有云不但要满足国家标准的等保要求,同时还要满足集团公司的相关规定。邵保华表示,河南省省内的规范其实要求更加严格,值得注意的是,运营商对客户隐私的要求会比其他行业更加严苛。 以河南移动私有云为例,数据侧的安全在不同的层面有不同的防护手段。在数据传输层,除了网络架构和设备级别的安全保障,在所有终端的入口都配备了敏感信息的探测手段。河南移动私有云拥有完整的监控和敏感信息报警机制,任何上传和下载的数据都有专用设备对预定义的敏感信息进行检测,其对用户数据的保障甚至比风控还要复杂一些。例如,河南移动私有云划分了不同生产安全域,针对不同的用户终端又设置了相应权限的用户专区,首先在物理上做到了隔离;私有云所属的任何终端都无法额外接入外置设备;专区里有更严格的监控措施,监控摄像头会24小时记录专区内的一举一动,进入专区内的操作当然也在4A体系和金库系统的监管之下。各个层级的防护系统之多,以至于内部人员根本不可能钻到什么空子。 中国移动集团在内部大力倡导开源产品和组件,邵保华表示,开源的确节约了成本,但在安全服务和技术支持等方面对社区的依赖较大;商用解决方案的成本高但售后服务很可靠。国家在倡导自主可控,因此中国移动集团也在大力推广自研、要求掌握核心技术。目前河南移动对商用产品的选择会综合考量,主要侧重从成本、服务和安全三个方面;由于中国移动集团的自研能力较强,许多产品会优先选择集团的自研产品。 河南移动私有云的网络规划与展望 河南移动私有云规划之初采用的是软件SDN的方案,该方案的优势是实现了软硬件的解耦,消除了厂商绑定,部署起来比较灵活,自主性强。但是随着公司业务的拓展以及计算资源形态的变化,为了纳管这些Bare-metal的(数据库等大的资源消耗型业务的入驻)资源,河南移动私有云后来逐渐演变成了软硬混合SDN的解决方案。在这个演变过程中,河南移动接触并了解到了云杉网络,在经过反复的测试和对比后,认为其DeepFlow®产品能较好地契合对私有云网络监测和分析以及故障回溯的管理需求,从此展开了合作。 据邵保华透漏,河南移动私有云目前二层虚拟网络的通道仅限于数据中心内部本局址;未来的网络规划是,在基础设施资源(例如光纤网络)满足后建设省内大二层、打通异地和跨数据中心的局址的虚拟二层通报,进而实现多数据中心之间的资源调度和漂移。在NFV方面,河南移动私有云已经使用了vSW、vRouter、vLB和vFW等虚拟网元,后续将引入更多新技术来满足私有云的建设需求。 【关于DeepFlow®】 DeepFlow®以SDN技术为核心,基于x86集群和通用网络设备,为多种云平台提供一体化的虚拟网络解决方案。DeepFlow®面向云数据中心实现了对大规模虚拟网络流量的精准采集、多路分发和实时分析,支持跨资源池的VPC安全互联和网络服务,支持数据中心网络服务和应用的自主开发与灵活扩展。满足快速排障、安全审计、业务画像、精细化运营等场景化需求。目前,DeepFlow®已经在金融、电信、互联网等多个行业的云数据中心落地,帮助用户在业务数字化转型的过程中,提高其数据中心运营的整体效率。