“云联邦”构建连云成片、无缝混合的一朵云

摘要：华为云 Stack 通过联邦认证、联邦目录、联邦流程构建云联邦技术，帮助企业以较低的成本实现混合云，企业内连云成片，资源共享，达成降本增效的目的。

本文分享自华为云社区《【华为云Stack】【大架光临】第8期：“云联邦”构建连云成片、无缝混合的一朵云》，作者： 华为云 Stack 云管平台架构师 胡堃。

“一朵云”难题

混合云和多云已经是 IT 部署的新常态。很多企业里，业务会分别部署在公有云和私有云上，甚至多个私有云中，而多个平台和业务从管理、部署、协同等方面是相对割裂的。这种多云管理的割裂，对企业而言就是在建设烟囱式的云，无法满足 IT 高效管理和企业业务发展的要求。

需要一种技术，帮助企业需要建立规模更大服务更加丰富的云来支撑企业业务的持续发展。理想情况下，企业建立一朵大云，通过业务迁移、数据割接等方式将现有各级组织的云收编，然而具体到实施层面却很难落地，究其原因，概括起来主要有下面三点：

1. 业务问题：现有的云平台上已经运行了很多业务应用，而业务迁移、数据割接会导致业务应用停机断服，对企业业务发展可能产生不利的影响；

2. 技术问题：现有云平台的技术栈层次不齐，跨技术栈的业务应用迁移难以实现，即使是相同厂商的不同版本的云平台，也需要借助专门的迁移工具来实施，迁移时间长且有一定的出错概率；

3. 组织问题：现有云平台的运营运维组织各不相同，难以统一到一个集中组织来负责企业内全部的云平台。

为帮助企业加速进行数字化转型，华为云 Stack 通过云联邦技术来帮助企业克服上述困难，以较低的成本实现无缝混合云，企业内连云成片，资源共享，达成降本增效的目的。

云联邦的三个黑科技

针对企业中现有的多朵独立自治的云，华为云联邦技术并不改变现有云的归属权，也不改变当前的运营运维和使用方式，在现有云上运行的业务应用仍然由现有的组织或部门负责，无需进行复杂的迁移操作。那么云联邦是如何实现将多朵云连云成片的呢？我们以多套华为云 Stack 协同为例，为大家介绍以下三个关键技术：

一、 联邦认证

要将多个分散的云联接起来，首先要解决的问题就是用户认证和访问权限的问题。通过基于 SAML 2.0 的联邦认证技术，可以让原本属于不同云平台的用户，能够在同一个云平台上被正确识别，并获得对应的身份和权限，从而实现一次登录就可以使用多个云平台资源的目的。

如上图所示，部门一的云平台用户张三，登录本部门的云平台 A，再访问部门二的云平台 B，如果云平台 A 与 B 之间建立了联邦认证，那么张三就可以无需二次登录到云平台 B 就可以访问云平台 B 的云服务和资源。

通过联邦认证，使得不同企业组织的人员可以使用本组织的云平台账号自由访问和使用其他组织的云平台，实现企业内不同组织的云平台的资源共享。

二、 联邦目录

虽然连云成片的目的是为了将云平台的资源进行共享，然而具体到某个部门的云平台，并不是所有的云服务都可以被共享出来供其他部门使用，因此这个时候就需要建立所谓联邦目录。每个云平台都可以建立多个联邦目录，为每一个联邦关系设定关联的联邦目录，其中包含允许联邦访问的云服务。

如上图所示，部门一的云平台 A 和部门二的云平台 B 建立联邦关系，云平台 A 的用户可以共享使用云平台 B 的云服务，此时云平台 B 的管理员可以在云平台 B 上建立联邦目录，允许云平台 A 的用户访问指定范围的云服务。云平台 A 通过联邦关系读取到云平台 B 设定的联邦目录，将其映射为云平台 A 的一个远端 Region，这样云平台 A 的用户就可以像使用云平台 A 的本地云服务一样使用云平台 B 的云服务，无需关心云服务的实际部署位置。

联邦目录使得部门可以根据自身云平台的能力以及联邦的需求方来设定和发布联邦服务目录，避免共享云服务范围的扩大化。对于一个大型集团型企业来说，更好的做法是建立一个大规模并且具有丰富云服务的云平台，通过联邦目录将集团云平台的全部云服务能力注入到各级组织的现有云平台中，同时鼓励和牵引各级组织充分使用集团云平台的服务能力，从而逐步将各级组织的业务应用平滑迁移到集团云平台之上。

三、联邦流程

企业中各种服务的申请和使用都离不开相应的流程，那么对于申请和使用云联邦共享的云服务更是如此。云服务的管控流程通常分为三个部分：事前预算（云服务配额）、过程控制（申请审批）、和事后审计（云服务计量）。对于云平台本地服务而言，上述流程控制都在本地完成，但是对于通过云联邦共享引入的云服务，技术原理上有所不同。

如上图所示，部门一的云平台 A 与部门二的云平台 B 建立联邦关系，共享云平台 B 的云服务，那么云平台 A 的用户在申请云平台 B 的联邦目录中共享的云服务 S 之前，首先必须由云平台 B 的管理员在云平台 B 配置可被共享的云服务 S 的配额，当云平台 A 检查到云服务 S 的可用配额大于申请量的时候，才允许提交申请。提交的申请跟其他云平台 A 的本地云服务申请一样，经过在云平台 A 预配置的申请审批流程，才真正在云平台 B 分配出对应的云资源。那么在使用云服务 S 过程中产生的云服务计量数据，将被云平台 B 采集并同步到云平台 A，两个云平台的管理员均可以查看到共享的云服务 S 的计量统计数据。

联邦流程使得在企业内通过联邦共享的云服务与本地云平台上的云服务一样受到标准化的云服务管控流程，满足在企业内申请和使用云服务的规范性要求。

云联邦实践

通过华为云平台管理系统 ManageOne 来建立多朵云的联邦，不仅仅实现了上述联邦认证、联邦目录、联邦流程的关键能力，同时还在多级组织管理、一站式云资源运维监控上有提供了更多的能力。华为云联邦技术不仅适用于企业私有云和公有云的混合管理场景，也适用于大中型企业分阶段建云用云的场景，为企业和组织提供多云一云的管理体验，为加速企业数字化转型铺平道路。

基于云联邦，华为云 Stack 帮助中国人寿构建了一朵智慧保险云。通过使用公有云弹性公网 IP 和 CDN，每年节省约 3000 万元，降低了 70%的网络成本。公有云承载活动平台前端应用，弹性扩容敏捷快速，满足 6.16 客户节、双 11、双 12 等促销节点期间促销业务诉求，保障全年 10W+次营销活动。非活动期间释放不必要资源，节省了 30%以上 IT 开支。

基于云联邦，华为云 Stack 为某大型制造集团多个云平台之间实现联动。集团总部云部署了丰富的云服务，且资源有结余，而分支云仅部署 ECS 等基础服务满足日常办公 OA 诉求。当集团分支云进行业务创新，需要使用 GPU 云主机、大数据、AI 等能力时，无需自建，通过云联邦一键借用总部资源即可，避免企业重复建设，减少投资。

点击关注，第一时间了解华为云新鲜技术~