张良 胡小峰--携程集团全球化混合多云管理的挑战和实践.pdf

1、例：支撑海量数据的大数据平台与架构例：茹炳晟例：腾讯Tech Lead，腾讯研究院特约研究员正文要求：微软雅黑：最小字号 8号 宋体：最小字号 10号 等线：最小字号 12号携程集团全球化混合多云管理的挑战与实践张良、胡小峰携程云原生研发专家、资深云原生研发工程师张良携程 Tech Lead，云原生研发专家2012年加入携程，有十多年云计算领域一线研发经验，经历了携程从物理机虚机自动化发布管理到容器化云原生平台构建的技术演进过程，期间负责过物理机自动化部署，数据库集群容器化，云原生实例认证服务构建，GPU资源弹性建设等项目，目前致力于混合多云平台的架构设计与实践落地。胡小峰携程云原生研发工程师

2、2018年加入携程，曾参与 PaaS 平台数据库组件开发，负责 Redis、Clickhouse等有状态应用的容器化和自动化运维平台的研发与架构设计，目前主要负责混合云 IaC 相关平台的研发和架构设计。CONTENTS目录1.背景与挑战2.携程 IaC 产品 Ferry 架构设计 3.携程 IaC 的落地实践4.总结与未来展望背景与挑战1.1 技术出海，背景介绍 服务全球 追求完美旅程，共建美好世界 以数据为导向，以技术为驱动力公有云高灵活性快速部署地域广泛启动成本低混合多云云商差异故障隔离避免厂商锁定1.2 探索业务出海的技术路径1.3 技术出海，多云管理面临的挑战稳定性成本合规安全Com

3、plexity=M(providers)*N(regions)*K(products)混合多云异构平台的复杂度 不同国家地区的安全合规要求差异混合多云安全合规成本稳定性1.4 面临挑战，如何应对原始需求混合多云架构下业务服务稳定可用费用可控符合不同业务目的国的安全合规要求框架机制Landing zone 标准结构部署自动化基于Domain的团队协作模式成本洞察、成本优化和成本运营 资源弹性建设Landing zone 安全基线合规准入机制落地方案IaC 产品 Ferry FinOps AutoScale，HPA&VPA账号安全治理Policy as Code1.5 面临挑战，多云管理技术方案有

4、哪些选择白屏控制台优:可视化,操作简单,终端用户学习成本低 劣:平台开发成本高,复用性低,维护和扩展成本极高API/SDK优:便于集成,可让上层平台各自构建自动化能力劣:开发和调试成本高,底层平台处理API调用的复杂逻辑IaC优:自动化能力强,provider维护复杂API逻辑劣:有一定编程要求,入门学习成本ROIIaCAPI/SDKConsole102001000Complexity携程 IaC 产品 Ferry 的架构设计2.1 上云第一步，Landing zone 架构 1.资源规划2.财务管理3.网络规划4.身份权限5.安全防护6.运维管理7.合规审计8.自动化构建多账号架构对业务的扩

5、展能力定义应用和资源描述的元数据统一结算方式设计内部分账机制预算管控持续优化成本按照业务对网络进行分区，定义安全域标准实现混合云组网，打造全球化网络架构对公网出入口进行统一管理配置防火墙组件配置多账号统一SSO配置不同场景的权限集统一限制访问的安全策略对于权限的使用进行持续的监控和优化对于主机进行定期安全检查对于重要数据开启加密或脱敏等防护措施为应用开启WAF或DDoS防护构建基于元数据的运维管理体系落实发布变更流程应用和基础设施的统一监控操作配置统一收集到日志账户定义内部审计规则，并转化成系统机制持续监督内控规则，形成日常巡检制度为相关法规和行业标准提供证明账号交付自动化自动化部署运维基线和

6、配置IaaS的自动化创建和扩缩容2.2 Landing zone 架构账号框架 账号是一切的基础 分级治理账户纳管级账户纳管级别别统一统一SSO用用户权限管理户权限管理费用纳管费用纳管Landing zone 完整架完整架构构L1YNNL2YYNL3YYY2.3 混合云基于 Domain 的团队协作模式 基于 Domain 职责划分高扩展性避免单一团队成为效率瓶颈 业务出海需求按规则路由分发 按场景制定流程规范新的云上产品试用并采购上线权限定期审查调整云上安全事件处理流程AccountMonitorSecurityLoggingComputeStorageDatabaseNetworkBig