Q&A—企业应用云迁移评估、策略、技术选型及实战

2020年2月13日,新钛云服举办的云运维之路系列沙龙—《企业应用云迁移评估、策略、技术选型及实战》直播现场火爆。更有刷屏级提问,为满足广大技术人的求知欲,我们特将互动提问梳理,由著名云技术专家孙杰&新钛云服专家团回答,供大家参阅。

1、这些趋势有没有主要针对哪些行业的分析?

答:这个问题太过于宽泛,需要具体问题具体分析,也可以单独私聊沟通。

2、本地(虚拟化环境)与公有云之间做应用级双活,有哪些方面需要考虑的?

答:应用级双活要求是比较高的,在应用处理层面上需要实现完全冗余,网络、存储、服务器、数据库层面都需要做到冗余,任一层面的缺失都不会实现应用级双活。所有的业务应用系统同时在本地和公有云数据中心运行,同时为用户提供服务。当某个数据中心的应用系统出现问题时,都可以由另一个数据中心的应用来持续的提供服务。好处是服务能力是双倍的,业务连续性和稳定性得到了大大的提高且对用户来说服务体验更好,故障无需感知。但成本和复杂度都提高了。

3、对于应用的云亲和性分析是否有相应的工具推荐?

可参考Intel的Cloud Affinity 模型指南

4、多云管理的计费 做到哪一步了?

依据不同云服务厂商的计费,合理设计自己的管理和服务费用。

5、从传统物理机或VMware迁移到公有云,有什么工具推荐吗?

答:各个公有云厂商都有自己相应的迁移工具,传统物理机的迁云有p2v工具,VMware的迁移工具也比较多,就不列举了,感兴趣的可自已上网查找

6、有比较好的迁云工具吗?

答:许多公有云厂商提供一些工具,云迁移更重要的是详细的规划,做好演练。

7、对于传统RAC数据库迁移到云上分布式数据库是如何设计和考虑的?

答:企业传统rac数据库多是共享存储,分布式数据库是分布到不同节点存储数据,这个看业务需求,如果可以认同一定的改造风险,可以尝试把oracle rac迁移至分布式数据库,否则就做虚拟化Rac降低风险,如果不认同改造风险就不要动了。

8、本地(虚拟化环境)与公有云之间做应用级双活,有哪些方面需要考虑的?

答:基本来说就数据同步,应用同步,准确判断节点是否宕机,能够实现业务的切换。往往应用架构要做调整,部分应用代码要改写。

9、OpenStack之间VM迁移有什么好的推荐,能否在线?

答:OpenStack VM支持在线冷迁移或者热迁移,如有共享存储,那速度会更快。如需要动态迁移可使用Masakari项目,该项目在一定程度上解决的云主机故障恢复,自动迁移的问题。

10、迁移云怎样考虑分布式存储的问题 ?

答:看原有的业务应用架构,可以直接迁移至分布式存储的就比较简单了,不能直接迁移过来的,就需要改造就会有一定的风险,事先需要考虑清楚。

11、怎么评估私有云到公有云迁移的利弊,从哪些方面做评估?

答:从成本和收益来评估,当然也要考虑安全性。评估是多方面的,参见课件的评估模型。

12、客户部分应用迁到公有云,核心应用在私有云,这两端数据交换的安全性如何保证?

答:这个结合厂商的安全策略和自己的安全策略,做一个权衡设置。对数据交换的标准和规范,事先做好协商,数据加密传输是必要的。

13、如何满足异构需求,比如像arm架构和x86架构混合?

答:云平台支持就可以,开源的OpenStack目前就支持,有一些公有云也支持。

14、迁云的成本受哪些因素的影响?

答:有技术的成本、工具的成本、安全风险的成本,当然也有人力、管理的成本,是受多方面因素影响的。

15、请问对于企业上公有云,如果有敏感数据,但又想使用到云的计算能力与服务,该如何处理?

答:可以考虑公有云的专有云方式,即公有云划定一块区域,专门给某个用户使用,网络上会做严格的限制。

16、对于不同安全等级的业务系统,迁入云后,靠租户隔离,是否满足测评要求?

答:不能。租户隔离只是等保2.0里面的部分要求(主要涉及安全区域边界部分)。业务上云后,除了需要满足等保的安全通用要求外(如常规的安全设备、主机安全、审计工具等),还需满足对应等级的云计算扩展要求,具体可参考《信息安全技术网络安全等级保护基本要求》。

17、我想了解下多云环境下的计费?

答:基本就是每家云的计费之和。

18、有敏感数据的需要做好加密,或明确哪些数据不能上云?

答:业务存储敏感类数据的,上云前需要做好数据风险评估工作,包括数据的分类和分级,现有安全防范措施等。对国家政策、行业规范、企业决策允许上云的敏感数据,需要评估云服务商的数据安全服务能力,同时做好自身的数据安全防护工作,可以使用对称或非对称加密、hash、PKI、加密机、多云备份等技术和管理手段保证数据、加密密钥的机密性、完整性和可用性。数据安全是企业上云后安全管理的重中之重,需要也值得投入更多安全资源进行防护。

19、上云交叉部署怎么满足应用安全?怎么去平衡交叉部署成本问题?

答:应用安全的根本是应用自身的代码和逻辑安全,当然也涉及到应用使用的语言、框架、第三方软件、配置和操作系统的安全。上云后这些安全防范要求是一样的,不同的是我们需要根据业务应用的价值和特点,合理选择云服务商可以提供的安全服务能力,这就需要对不同云服务商可以提供的安全服务能力、特性和服务价格,及业务自身的网络架构和应用架构等做深入调研后才能确定。

20、敏感的都本地部署,但私有云和公有云肯定有数据交换,这时候的数据安全该做那些措施?

答:数据安全的防范要求都是一致的,如机密性、完整性和可用性等。数据安全的防范技术也是通用的,如对称或非对称加密、hash、签名、备份等。同时我们也需要认识到数据安全是整个安全体系如纵深防御里面的一环,即数据安全也需依赖网络安全、系统安全、数据安全和各类安全管理。对存在IDC或私有云和公有云数据交互场景时,可考虑云服务商提供的数据安全服务,如阿里云的SDDP、加密服务、密码管理服务等,腾讯云提供的云加密机、密钥管理新系统等等,可能涉及应用架构或代码的改造,同时也需做好数据安全的穿行测试,确保从数据传输、使用、显示、存储和备份等各环节的安全。

21、每天有大量数据(TB级别)需要在线上传到云上对象存储,有什么好的低成本方法?

答:对象存储本身就是一个相对廉价的小文件或备份文件的存储。如想要降低成本,则要考虑数据的热度。对对象存储进行分层处理,不常用的数据归档,可合理降低成本。另外也可以考虑自建对象存储,当前可选的开源成熟方案有:ceph, swift, glusterfs,fastdfs等等。

22、请问业务迁移到公有云,如何对现有各种业务系统资源准确评估以及后期合理优化?防止上云后出现资源浪费?有推荐的性能评估工具吗?

答:监控系统要跟上,随时监控云资源的使用情况,通过监控数据就能进行详细的分析。TiOps也提供资源消耗的评估。

23、对于当前传统企业还有大量NAS存储和文档访问需求,如何将这部分迁移到云上?

答:我理解这个问题是当前企业的文件数量多,存储空间大,如果是这样,可以使用专线,或者通过物理硬盘拷贝迁移的方式。

24、业务迁移后怎样评判业务迁移成功?没有应用厂商介入的话,后续维保如何?

答:判断业务迁移成功可以分为几步,第一数据完整性验证,第二,业务应用运行状态检查,第三,模拟用户访问,第四,真实对外开放测试。

如果没有厂商支持,维保只能依靠自己。

25、1.对于我们云管平台的问题:我们的平台管理服务器需要安装agent?无法通过api吗?对于物理机的管控,可以到达什么级别?

2.对于加密狗这类问题,是如何解决的?

3.对于定制化的软件系统,客户无技术能力,这个按照之前的经验,是如何去做?

答:

1、云厂商的API主要的功能是带外管理,可以完成云主机的创建、重启、改配等生命周期管理。对云主机内部的管理,因为涉及到安全因素,不会管理,因此需要Agent。

TiOps对物理机和云主机的管理能力基本相同,更多的偏向批量的运维管理功能。

2、对于加密狗,目前没有好的解决方案。

3、定制软件如果是跑在系统内部,可以通过TiOps的自定义脚本,完成批量的运维。

26、怎么评估私有云到公有云迁移的利弊,从哪些方面做评估?

答:主要可以考虑三个因素:

业务敏捷性

成本

安全性

27、不同OpenStack环境之间VM迁移有什么好的推荐,能否在线迁移?如何跨存储池迁移?

答:这和存储部署模式有关,大部分不能在线迁移,哪怕是商业产品。当前迁移最简单的模式是virt-v2v从一个OpenStack导出,再导入例外一个OpenStack。有些商业产品则类似公有云迁移的过程,基于agent在新平台重新生成镜像,基于新镜像创建云主机。

28、如果未来应用软件开发商都针对主流云平台开发发布云版本和最佳实践,msp公司会不会就没事做了?

答:云的使用非常复杂,Cloud MSP 不光是帮助企业上云,还可以帮助企业优化云。

29、公有云核心数据如何迁移到专有云呢?风险如何评估呢?

答:考虑到专有云在计算、存储和网络资源方面的部分或全部独享性,公司核心数据从公有云迁移到专有云,可以有效提升数据的安全。如果是同一云服务商,其数据库类型、数据存储及数据安全防护方式等一般都是相同或兼容的,迁移风险较低。如果是不同云服务商,需要考虑数据库、数据存储和数据安全机制的兼容性,迁移过程中数据传输的安全和大数据量导致的带宽费用,以及确认原来云服务商数据的删除等,这个需要对不同云服务商的数据产品线进行比较后才能确认。

30、问题:通常传统企业上云都会涉及迁移,是以独立项目形式做么?与相关的应用厂商、运维服务方、云厂商等是怎么的配合关系?一般迁移100台服务器到云上需要多少人天,从前期准备到迁移及验证是怎么的时间分配?

答:如果业务重要或者比较复杂,是需要以独立项目来做。云迁移项目需要一个中间协调的角色,协调各方关系,为迁移进度和结果负责。迁移时间不光是和服务器数量有关系,和业务的复杂程度也有关系。一般云迁移项目前期准备及验证的时间占大头。

31、评估私有云和公有云迁移的安全性的条件能说一下吗?

答:首先需要了解下IaaS、PaaS、SaaS不同云服务模式下的安全责任共担模型,明确企业/应用自身上云后需要实现的安全能力。其次需要评估业务上云前的现有安全控制措施,公有云厂商可以提供的安全服务或自建私有云需要/可以实现的安全能力。通过安全能力差距分析后,迁移小组可了解业务应用迁移前和迁移后的安全保障能力变化,并评估这种保障能力差距(安全能力降低/提升,安全成本,安全风险)是否可以接受。另外,数据安全在任何环境下(IDC/私有云/公有云)都是需要重点考虑的。

32、容器云的异构问题不知道是否可以分享一下,ARM X86 k8s集群的业务兼容性?

答:容器是一组受到资源限制,彼此间相互隔离的进程,它是一种基于操作系统能力的隔离技术;不关心服务器是基于ARM、X86,系统一样就不存在兼容性的问题。

标签: