阿里云专有云平台
一、什么是阿里云专有云
1.专有云定义
基于行业云与大型集团云平台的基础上构建多用户、完整专用云架构,在大型数字化系统作为核心驱动力的前提下,并结合DevOps原则进行持续集成与自动化开发的需求下,在分层架构设计模式下实现对覆盖所有功能模块的专用云计算平台的整体规划与建设
覆盖中小及小型企业用户群体的单体租户型专用云平台,在技术架构上与大型SaaS系统、行业云计算架构以及大型集团IT系统实现无缝对接,并承担本区域内的计算服务需求
2.阿里云专有云
1)交付完整的可定制的阿里云软件解决方案
该系统具备与阿里云公共云提供的超大规模云计算和大数据产品相似的技术特性
这种混合云服务能够支持用户在需要时灵活获取IT资源,并确保业务连续性
4)提供本地部署方式,可以脱离阿里云运行和独立管理
3.服务价值
弹性:资源整合,将各类资源整合为一个高效的整体;通过弹性扩容实现弹性扩展,从而确保成本.性能及稳定性处于最佳状态
敏捷 :业务打通,通过互联网化、微服务化,让传统企业快速实现创新
数据:通过数字化手段实现各垂直业务领域之间的实时共享与整合,并构建统一的数据中台平台以有效支撑海量业务运营需求
智能化:商业生态的全面整合。通过基于整体智能化重构的方案实现对商业模式的深度优化。
4.平台特征
基于软件定义架构的平台设计能够有效地隐藏底层硬件差异,并且允许资源按照需求实现横向或纵向往复扩展。这种架构不会影响到上层应用的运行体验。
2)生产级的可靠性及安全合规,保证企业数据的连续性和安全性
统一配置入口,在保障各角色间的安全隔离的同时,有助于后续用户的运维管理
5.发展历程
1)V1.0(2015.7)
场景:大数据
关键产品:IAAS+基础大数据产品
2)V2.0(2016.5)
场景:互联网中台+大数据
关键产品:IAAS+大数据产品+Aliware中间件
3)V3.0(2017.7)
场景:互联网金融+大数据
关键产品:IAAS+大数据产品+中间件(含docker)+高级版云盾
二、为什么选择阿里云专有云
1.超大规模分布式云操作系统
1)分布式系统底层服务
在分布式环境下实现必要的协调服务、支持远程过程调用以及完成安全管理和资源管理的任务。这些基础性服务支撑着上层的分布式文件系统和任务调度模块运行。
2)分布式文件系统
构建一个庞大而稳定的高效数据存储平台。通过整合集群内各节点的计算资源与存储资源,并具备主动监控与快速响应能力,在软硬件故障发生时能够自动隔离并切换备用方案。该平台将为用户提供持续稳定的高可用性数据访问服务。
该系统具备容量扩展功能,并能通过自我调节实现数据平衡;该系统采用了遵循类Unix风格的用户空间文件访问API;该系统允许无序存取以及可持久化的追加操作。
3)任务调度
实现集群系统中任务的调度功能,并且能够满足在线服务对快速响应的需求以及离线任务的大规模处理能力
在自动生成检测系统中识别异常情况和重点区域,并采用重复发送机制及对高并发并行作业进行冗余备份的技术手段,以确保作业能够稳定运行并避免崩溃或数据丢失。
4)集群监控和部署
实时监控集群状态以及上层应用服务的状态信息和性能数据;一旦发生异常情况,系统会立即发出警报并记录相关信息。
为运维人员提供的完整飞天平台资源和上层应用集合的部署与配置管理功能,并支持对这些资源进行在线集群扩容与缩容操作,并对应用服务实施在线升级
2.天基部署与管控系统
部署框架 为所有云服务提供了统一的接入平台支持,并对服务间的依赖关系实施了有效的管理和维护机制。
2)资源库 保存了所有云服务和依赖组件的执行文件
3)认证授权组件 为云服务提供访问控制能力,支持多租户的隔离
4)接口网关 为云服务提供统一的API管理平台
5)日志服务 为云服务提供了日志存储、检索、获取等功能
6)管控模块 监控各云服务的基础健康状态,支撑云平台的运维体系
3.统一运营管理及自动化运维能力
该系统提供了统一的管理入口,并且可以根据不同用户角色设置相应的管理权限。
借助开放式的接口设计,能够将运维能力提供给用户,并通过灵活配置云资源管理界面实现个性化设置
提供了企业ITIL系统的功能,并与现有IT系统实现了同步对接以及系统的整合融合
4.开放的云服务接口
1)云服务通过OpenAPI平台,提供丰富的SDK包和RESTful API接口
2)用户可以使用开放接口来灵活访问专有云提供的各种云服务
3)用户可以通过OpenAPI访问云平台的基础管控信息,并实现专有云平台与用户统一管控系统的整合
三、产品架构
1.专有云架构类型
1)原生云架构:源自互联网开放架构的发展演变,在遵循分布式系统框架的基础上构建而成,并将大数据和Web应用作为先驱领域逐步发展至各类基础服务。
2)云计算集成架构:主要基于计算虚拟化技术,在 OpenStack开源平台之上实现了对传统架构的重大突破性创新方案
基于自主研发的阿里云服务器操作系统、分布式技术和产品的基础之上,
构建了一个涵盖所有云产品与服务的整体系统架构。
该架构通过提供全面的云计算平台开放能力,
展现出强大的企业级服务保障能力,
同时具有高度的容灾备份功能,
并确保了绝对自主可控的核心技术体系。
2.系统架构
1)物理设备层
主要包括用于云计算的物理机房、服务器、网络等硬件设备
2)云平台基础服务层
在基础物理环境之上,为上层应用提供基础服务
3)超融合管控层
利用超融合的管控架构,为上层应用或服务等提供统一的调度
4)云服务与接口层
基于融合的服务节点架构,实现了对虚拟服务器和物理服务器的统一管理和运维服务。同时,在开放的技术平台上实现了统一接口功能,并支持定制开发需求。
5)云平台统一管理层
提供统一的运营和运维管理入口
3.逻辑架构
1)硬件基础是IDC+X86服务器+网络设备
2)飞天内核(分布式引擎),基于飞天提供了各种云产品
所有云产品均需遵循标准化的应用程序接口架构,并对账号、授权、监控和日志进行规范化管理及安全保障
4)保证所有产品遵从一致性的使用体验
4.网络架构
1)简介
ISW(互联交换机) :外网接入模块,出口交换机,互联ISP或用户网络骨干
CSW (内网接入交换机) :提供内网接入功能模块服务,在保障网络安全的同时为用户提供内网连接,并支持云网络内外部的数据传输路由配置。该设备包含VPC专用线路接入功能
DSW (分布层交换机) 是一个负责实现网络节点间业务流量转发的关键组件,在网络架构中处于核心位置,并通过其强大的功能支持整个网络系统的高效运行
作为接入层交换机使用的设备:数据传输模块,在网络中连接至该交换机网络,并通过网络接口连接至云服务器。该设备还负责上行互联的核心交换机系统DSW
LSW (综合接入交换机) :整合接入组件作为云端产品服务通过交换机实现集成的主要支持对象;主要用于支持虚拟专用网络(VPC)和独立登录服务器(SLB)等功能
2)业务服务区
数据交换模块
ASW通过两两叠加被用作叶子节点,在基于网络规模大小的情况下可以选择不同的数据交换方案
所有云业务服务器的数据均上传至ASW堆叠设备中进行处理;其中ASWave节点(ASW)与DataStoreWave节点(DSW)之间通过增强型广域网协议(eBGP)实现数据互通连接;同时不同DSW设备之间彼此不直接相连;此外该数据交换功能与系统其他功能单元间亦可通过eBGP协议实现互通连接
数据交换模块接收ISW发布的外网路由,并发布云产品地址网段到ISW
综合服务模块
各类云产品服务器(XGW/SLB/OPS)各自与两台LSW互连,并基于OSPF协议进行路由信息交互。
两台LSW之间通过iBGP交互路由信息
LSW与DSW、CSW之间通过eBGP交换路由信息
3)综合接入区
内网接入模块
两台CSW为内部用户提供两类接入:VPC接入和普通云服务接入
根据配置文件进行参数初始化后,在配置管理界面中选择"IP地址范围管理"功能模块打开配置窗口。
通过输入框依次设置IP地址范围的基本参数:
- 设置最小值为192.168.1.2
- 设置最大值为192.168.1.5
- 设置默认掩码为255.255.255.0
随后点击"保存"按钮完成配置。
常规云服务接入中,在线CSW与综合服务模块基于eBGP实现互连,并实现了业务服务质量区对所有资源的访问
外网接入模块
由两套独立的ISW设备构成,在ISP服务提供商或用户的公网骨干网络中完成内部与外部网络之间的路由分发交互。这两套设备通过iBGP协议作为通信手段,并实现故障自愈功能以保障路由信息互相对话。上层连接至ISP或用户公网骨干时可采用静态路由或eBGP协议进行配置,并根据用户的阿里云网络资源规模以及其直接相连的网络带宽需求来设定互联带宽
建议在云网络架构中部署多点BGP连接至多个运营商以实现互联。具体而言,在ISW设备上配置多条通道以支持与不同运营商的数据互通。其中一种方案是部署多点2*10GE通道至每家合作运营商以确保稳定性和扩展性需求得到满足。此外,在外网接入层面采用增强型BGP(eBGP)协议进行通信以确保路由信息的一致性。同时,在外网接入模块中集成对外提供服务的功能逻辑将外部网络相关的路由信息发送至内网节点以便于实现对外服务的响应
在外网接入模块配置下会部署阿里云安全防护系统,在外网访问云网络的 traffic 会被分光器分流至 beaver 系统。beaver 系统一旦检测到异常 traffic 后会向 cloud defense 发送 corresponding routing information 以引导该 traffic 进入 cloud defense 进行 cleaning process,并将处理后的 data flow back into the system.
4)VPC专线接入
采用VPC专用线路接入方案可以让用户全面掌握并自主管理自己的虚拟网络环境。这包括设置自有IP地址范围、配置路由表以及指定网关节点等功能。此外,还可以通过专用线路或VPN技术将VPC与传统数据中心建立灵活定制的网络架构,并实现应用服务平稳过渡至云端平台
不同类型的云服务器(如XGW或SLB)各自连接到两台LSW上,并通过OSPF协议传递路由信息;同时,在两台LSW之间利用iBGP协议进行路由信息交互;此外,在LSW与CSW之间,则采用eBGP协议交换路由信息
5.安全架构
该系统具备从底层通信协议延伸至上层应用的全面覆盖各层次的安全能力,并确保用户的访问安全和数据安全
2)所有控制台均需要通过HTTPS证书的方式访问
3)建立健全的角色权限管理机制,在多用户环境下实现对资源访问的安全管控。该系统支持包括但不限于系统管理员、安全操作员以及审计监督员在内的多重权限分配方案。
4)引入云盾产品,为用户提供多层面、一体化的云安全防护解决方案
6.底座组件
1)Ops组件
Yum:安装软件包
Clone:机器克隆服务
NTP:时钟源服务
DNS:域名解析服务
2)底座中间件
dubbo:分布式RPC服务
tair:缓存服务
mq:消息队列服务
ZooKeeper:分布式协同
Diamond:配置管理服务
SchedulerX:定时任务服务
3)底座基础组件
天基:数据中心管理
天基Mon:数据中心监控
OTS-inner:表格存储服务
SLS-inner:云平台日志服务
元数据库:元数据库
POP:云平台开放接口Open API
OAM:账号系统
RAM:认证授权系统
WebApps:运维控制台支撑
7.运维服务管理框架
该系统由阿⾪cloud统一提供的一套智能化自动化管理平台旨在实现对云计算资源的高效配置与优化运行保障其涵盖三个核心维度包括基础设施维护云计算产品及服务运营和业务系统的优化与管理
2)运维服务管理框架 包含了IT运维服务全⽣命周期管理⽅法、管理标准/规范、管理模式、管理⽀撑⼯具、管理对象以及基于流程的管理⽅法 ,以ITIL/ISO20000为基础,以适应各种管理模式为⽬标,以管理⽀撑⼯具为⼿
段,以流程化、规范化、标准化管理为⽅法,实现对运维服务全过程的体系化管理。通过对三个层次体系运维经验的积累和数据的收集,阿⾥云专有云将运维平台收集到的数据汇聚到平台的CMDB中,由ASO智能化运维平台对数据进⾏整合分析和综合处理,同时把丰富的实践经验和运维能⼒固化到平台运维⼯具中,以⾯向终态的设计理念,通过统⼀的运维⼯具完成平台的故障发现、故障追踪、链路展⽰、ITIL流程以及⾃愈的故障修复,最后达成AIOPS的终极⽬标
3)Apsara Stack运维系统 ASO为⽤⼾提供⼀个统⼀的运维Portal ,通过运维Portal,您可以体验⼀致化的运维体验及统⼀的运维⼊口。⽀持与第三⽅平台的对接 ,提供统⼀的运维API能⼒,可以将运维系统中的数据通过API的形式提供给第三⽅系统。对云计算环境中的物理设备、操作系统、计算、⽹络、存储、数据库、中间件、业务应⽤等进⾏统⼀的⾃动化部署、升级变更、配置管理的运维管理 。同时还提供了故障、性能、配置等⽅⾯的监控报警、⾃动分析诊断处理功能 ,通过分析处理评估云平台运⾏的状态和质量,保障云计算业务应⽤的持续稳定运⾏,为运维服务流程提供服务与⽀撑,构建完善的运维服务管理平台
运维工作的完整性和可靠性与流程保障及人员管理密不可分。阿⾰云专有云提供了驻场服务、专家护航服务、业务咨询服务、业务优化服务和重⼤问题的研究现场⽀持服务。通过一线、二线和三线的支持体系来支持客户平台的问题,并提供升级渠道来应对突发的技术问题。完全⾃主可控的平台确保在发生技术故障时能够迅速响应并采取相应措施。
四、产品全景
1.基础架构
该平台提供多样化的基础虚拟资源体系, 包括多维度的计算能力支持以及灵活配置的基础网络架构. 通过该平台, 用户能够便捷地获取云服务器ECS, 专用网络VPC, 负载均衡SLB系统, 容器服务平台以及弹性伸缩技术等核心功能. 此外, 平台还集成了一键式资源编排技术ROS, 提供全面的安全密钥管理服务系统KMS.
2.存储产品
为不同类型的用户提供多样化的数据储存方案,并包括以下几种:对象储存OSS、文件储存NAS、表格储存(Table Store)、文件储存HDFS
3.互联网中间件和应用
采用应用中间件服务方案,并且适用于各类客户应用程序需求的解决方案。该方案能够推动企业级应用向更加灵活的服务化方向发展,并助力企业实现微服务架构的演进过程。主要产品包括API网关系统、日志管理模块、云解析DNS系统(Cloud DNS)、企业级分布式应用服务EDAS(Enterprise Application Service)、消息队列服务器平台(Message Queue Server Platform)、云服务总线平台系统(Cloud Service Bus Platform)、业务实时监控服务ARMS(Application Real-time Monitoring Service)、分布式任务调度系统平台(Distributed Task Scheduling System Platform)以及媒体处理平台MPS(Media Processing System)。
4.数据库
具备丰富性特征的数据引擎集合,并支持多种引擎间的无缝连接。主要产品线包括: Redis 云平台(RDS)、Memcached 云平台 Edition 版本(Memcache Cloud Edition)、PostgreSQL 智能分析平台(PostgreSQL Version)、HBase 云平台版本(HBase Version)、MongoDB 云计算套餐(MongoDB Cloud Packages)、海洋科技海洋_base 平台版本(OceanBase Version)、时序智能分析平台 TSDB 版本(TSDB Version)以及高效的数据传输方案 DTS 和智能管理方案 DMS 等
5.大数据处理
该平台致力于提供多样化的数据分析功能,并涵盖其应用与展示方案。其核心目标在于通过技术创新充分释放数据潜力。主要产品包括高效的大规模计算平台MaxCompute;强大的数据治理解决方案DataWorks;MySQL版本的数据分析工具AnalyticDB for MySQL;具备实时处理能力卓越的计算引擎Realtime Compute;快速 Business Intelligence 提供Quick BI;弹性云平台 EMR;复杂网络分析技术(Graph Analytics);用于智能标签识别系统的 DataQ;以及具备高级的数据挖掘能力的 Dataphin系列工具;最后还有专门管理大数据资源的大数据管家。
6.人工智能
推出一款依托阿里云分布式计算引擎的机器学习算法平台。其中包含机器学习功能(如PAI)。
7.安全
涵盖从底层通信协议到上层应用的全面防护措施, 确保用户的访问权限和数据传输的安全性得到严格保障. 例如像云盾这样的系统.
五、应用场景
1.城市大脑
创新性地以整合的城市数据资源为基础,在城市治理模式改革中实现了政府管理效能的显著提升。通过优化政府管理效能这一核心举措,在破解城市管理中的重点难点问题的过程中实现了智慧化手段对城市管理的智能化运行目标的达成,并在这一过程中提高了居民的生活质量与资源配置效率
2)城市的服务模式实现了突破,在各个时间段都能精准地为企业和个人提供服务,在线上的各种公共服务也变得更加高效和便捷,在线上的公共资源配置更加合理和节约
3)城市产业取得长足发展,在智能化转型中展现出显著优势。构建开放共享的城市数据平台是推动高质量发展的重要支撑。通过技术赋能城市发展作用的持续强化,在加快传统产业升级方面取得了积极成效
2.金融云
1)独立的资源集群,更高的安全容灾能力
更为严厉的机房管理制度, 更为严格的网络信息安全隔离规定, 更为细致的访问权限管理措施, 更为完善的用户登录认证流程
专业的金融云行业安全运营团队、专业的合规保障团队、专业的安全方案研发与服务团队以及企业客户经理和技术架构师
4)遵从银行级的安全监管及合规要求
六、合规安全解决方案
1.重点解读
网络与通信安全
设备与计算安全
应用和数据安全
安全管理策略
2.云上等保合规
1)合规责任共担
阿里云是全国唯一一家积极加入云计算等保标准试点示范的 cloud 服务提供商。公共 cloud 和电子政务 cloud 已达到等级保护三级备案与评估要求。金融 clouds 则已完成等级保护四级备案及评估工作
根据清晰的规定下限原则,在进行虚拟化服务的安全评估流程中遵循明确的技术标准规范时,在进行等级保护测评时相关技术指标的结论能够复用云计算平台能够提供详细的技术支持文档
阿里云平台具备完善的安全技术和健全的管理体系;同时提供了专业的网络安全防护系统;这些资源有助于租户顺利通过国家信息 Systems 信息安全等级保护认证。
阿里云能够提供其平台的等保备案证明、测评报告的关键页面、云盾销售许可证以及部分测评内容的详细说明
2)等保合规生态
阿里云 :整合服务机构能力,并提供安全产品
咨询厂商 :提供全流程技术支撑和咨询服务
测评机构 :提供测评服务
公安机关 :负责备案审核和监督检查
3.等保实施流程
系统定级
系统备案
建设整改
等级测评
监督检查
4.安全合规架构
硬件设施的安全保障 :涵盖机房电力供应稳定性、环境温湿度调控以及多方位防护措施等,并便于参考现有阿里云测评成果
网络和通信安全 :包括网络架构、边界防护、访问控制、入侵防范、通信加密等
网络与数据安全:涵盖入侵行为监测、程序威胁防御、用户认证机制、权限管理措施以及统一安全管理平台等保障性措施
应用和数据安全 :包括安全审计、数据完整性和保密性
5.方案优势
1)一站式等保测评服务
筛选整合各地服务质量优质的咨询与测评机构,并为各类运营单位提供标准化服务流程和合规保障措施。通过这一举措,显著降低了运营单位的投入成本。
避免多点沟通和重复工作,减少运营单位投入
效率大大提高,最快两周完成测评
阿里云提供云上安全和合规最佳实践
2)完备的安全防护体系
基于完善的云盾安全架构设计下,在阿里云平台上能够找到匹配的产品,并为发现的问题进行修复和优化工作;最终目标是确保达到等保标准的要求。