業(yè)務上云可以助力企業(yè)更快速的數(shù)字化轉(zhuǎn)型，更彈性高效的進行計算資源的管理和分配，隨著云計算發(fā)展的不斷深入和地方政府的積極響應支持，全國各地的云計算數(shù)據(jù)中心數(shù)量正在如雨后春筍般的迅速增長。在此形勢下，為了適應云環(huán)境產(chǎn)品的部署要求，硬件產(chǎn)品向軟件產(chǎn)品轉(zhuǎn)型、硬件交付方式向軟件交付方式轉(zhuǎn)型已經(jīng)成為廠商和企業(yè)用戶業(yè)務發(fā)展的必然趨勢。

　　在轉(zhuǎn)型的過程中，云應用交付方案的安全問題、可適用性和高效性面臨著巨大挑戰(zhàn)，另外，企業(yè)用戶對于“新舊”解決方案的更替、適配問題也存在很多的疑慮。本期《牛人訪談》，采訪到了上海弘積信息科技有限公司CTO高春華先生，高春華先生針對上述一系列問題結(jié)合弘積科技的自身發(fā)展經(jīng)驗對云應用交付解決方案在實際云環(huán)境中面臨的落地難題和發(fā)展難題進行了多方面的分析和解答。以下是本期訪談內(nèi)容：

　　上海弘積信息科技有限公司CTO 高春華

　　一、企業(yè)在數(shù)字化和云化轉(zhuǎn)型中，傳統(tǒng)“硬件盒子”的應用交付面臨著哪些挑戰(zhàn)？云平臺應用交付有哪些新的需求？

　　高春華：傳統(tǒng)IDC中心的應用交付多采用硬件設(shè)備部署的方式，作為所有會話的流經(jīng)之地，負載流量全部集中在硬件盒子上，硬件性能是企業(yè)選型時關(guān)注的重要指標，有些企業(yè)對應用交付處理能力甚至要達到200Gbps以上，當業(yè)務增長到一定程度后就要進行硬件擴容。特別是數(shù)字化時代，業(yè)務云化后，傳統(tǒng)的硬件盒子面臨的主要挑戰(zhàn)為：

　　挑戰(zhàn)一：多數(shù)發(fā)展中企業(yè)的業(yè)務呈彈性增長，基礎(chǔ)設(shè)施硬件擴容的高復雜度和低時效性與業(yè)務增長對系統(tǒng)彈性性能的需求之間形成了明顯反差；

　　挑戰(zhàn)二：云環(huán)境中承載著成百上千種業(yè)務，連接千行百業(yè)的訪問用戶，需要多臺代理服務器做支撐，業(yè)務不允許出現(xiàn)單點故障，一旦硬件問題造成業(yè)務交易中斷或失敗，影響面相對傳統(tǒng)IDC機房更大。這對硬件的可靠性和穩(wěn)定性提出更高要求，簡單熱（溫）備的方式不能滿足云環(huán)境下的無單點故障的需求；

　　挑戰(zhàn)三：云環(huán)境下，云負載對安全管理的要求更高，業(yè)務上云會大幅度增加業(yè)務暴露面，面臨的網(wǎng)絡(luò)攻擊和風險更多，需要更加周密、全面的安全解決方案；

　　挑戰(zhàn)四：對于管理和維護上的需求更高。企業(yè)上云后，業(yè)務的編排、自動化部署都需要適應千行百業(yè)用戶的不同需求，彈性擴展也要更加智能靈活，因此管理和維護的復雜度相對傳統(tǒng)IDC機房也更高。

　　云平臺采用集群化部署，將所有硬件資源融合成一個共享的資源池，處理能力不依靠單機的性能。應用交付軟件分布部署在不同的硬件服務器上，單個應用交付軟件處理能力一般在10Gbps左右即可，將負載對硬件資源的需求劃整為零，分散了單機部署風險，可靠性更高，不會出現(xiàn)“牽一發(fā)而動全身”的情況。

　　但從弘積自身的經(jīng)驗來說，盡管云業(yè)務發(fā)展已呈泛在化，可目前市場上還是以采購硬件交付的企業(yè)為主，大概可以占到80~90%的份額，這可能與弘積本身的市場業(yè)務主要分布在金融行業(yè)有關(guān)，金融企業(yè)對于業(yè)務云化的態(tài)度較為謹慎，相對其它行業(yè)的進展慢一些。但從目前新基建的發(fā)展來看，未來這種情況應該會有所轉(zhuǎn)變，只是還需要一段時間。

　　二、負載均衡一直是應用交付的核心能力，云計算環(huán)境下，負載均衡有哪些新的功能和特點 ？

　　高春華：云負載均衡產(chǎn)品的特點十分明確：

　　1、首先，負載均衡和云進行深度融合后，更加自動化和智能化。相比硬件負載均衡產(chǎn)品，云負載均衡產(chǎn)支持自動化部署，無需人工干預，用戶可以一鍵生成負載均衡虛擬機，實現(xiàn)負載均衡按需生成、自動配置，并借此自動做一些業(yè)務編排；

　　2、其次，云負載均衡可以將負載能力資源池化，使用更加靈活和彈性。傳統(tǒng)硬件負載均衡產(chǎn)品的負載能力都有固定的額定值，但是云負載均衡可以以資源池的形式靈活擴展負載均衡的處理能力，按照用戶的業(yè)務處理需求按需分配劃撥資源。當用戶的并發(fā)連接數(shù)達到設(shè)定的閥值門限時，負載均衡自動調(diào)用云平臺接口，進而觸發(fā)后端服務資源，并發(fā)連接數(shù)增加時，增加業(yè)務節(jié)點以分擔壓力；并發(fā)連接數(shù)減少時，刪除回收多余的業(yè)務節(jié)點，把資源釋放掉，實現(xiàn)負載能力彈性擴展。

　　三、云計算環(huán)境下，針對不同企業(yè)云平臺架構(gòu)的差異性，云應用交付上線時需要訂制化的調(diào)整嗎？

　　高春華：不同的云平臺架構(gòu)采用不同的通信標準，要求應用交付能夠根據(jù)其差異性進行修改和適配。不同的云平臺適配的內(nèi)容不同，需要具體情況具體分析。結(jié)合弘積科技研發(fā)實際經(jīng)驗，配適的工作量主要有以下三方面：

　　1、內(nèi)核及虛擬網(wǎng)卡適配。以弘積科技服務的金融行業(yè)為例，金融行業(yè)目前多采用公有云廠商提供的行業(yè)云，比如阿里、騰訊等都是從早期的公有云逐漸轉(zhuǎn)化為行業(yè)云然后在銀行企業(yè)里面得到了廣泛使用。但是應用交付的定制化內(nèi)核未必能很好的匹配公有云內(nèi)核要求，不同云平臺對虛擬網(wǎng)卡的要求也不同，這就涉及到內(nèi)核更新和網(wǎng)卡驅(qū)動的適配工作。

　　2、網(wǎng)口適配和修改。不同的云平臺架構(gòu)對第三方組件開放的接口數(shù)量是不同的，比如早期的阿里云只提供一個網(wǎng)口，業(yè)務口和管理口共用。如今，云平臺可以提供多個網(wǎng)口，從安全管理的要求上，我們需要劃分成專用的管理口、業(yè)務口和心跳口（高可用端口）。但盡管如此，不同的使用場景下也是受限的，比如，阿里云的心跳口只支持單播不支持組播需要進行適配和修改。

　　3、云負載均衡的配置和管理。需要一套管理平臺，實現(xiàn)負載均衡在云平臺中的快速部署和集中管理，支持配置策略下發(fā)，資源池化管理，彈性擴展策略，支持通過API接口與云平臺實現(xiàn)快速對接，通過管理平臺快速適配不同的云架構(gòu)等。

　　四、云應用交付解決方案除了以上新的功能及與云平臺適配外，還有哪些方面的特性？

　　高春華：應用交付最大的特點是保證業(yè)務高可用性，在此基礎(chǔ)之上逐步擴展，形成一個快速、安全、高可用、可視化、靈活、智能于一體的解決方案。

　　速度提升上，弘積的應用交付方案同時能夠?qū)崿F(xiàn)壓縮、緩存以及SSL卸載等功能，這主要是為了提升應用訪問速度，提升用戶訪問體驗；

　　安全上，弘積應用交付本身也提供一些安全防護功能。但是應用交付安全和專業(yè)的安全相比沒有那么全面，應用交付更多的是偏向應用的安全，如WAF、抗DDoS、應用訪問控制等功能。

　　除此之外，云應用交付還具備應用可視化功能。眾所周知，云平臺主要提供基礎(chǔ)設(shè)施的資源，對云中的業(yè)務基本不感知，但是云負載均衡可以深刻的感知云平臺中的業(yè)務流量，并借此幫助用戶實現(xiàn)流量的可視化。

　　最后，在與云平臺對接的時候，提供更多靈活性、智能化的能力，即上述的彈性擴展、資源池化、自動部署和業(yè)務編排等等。

　　五、您認為云應用交付在安全管理能力上主要體現(xiàn)在哪些方面？

　　高春華：對于應用交付廠商來說，安全并不是最大的核心競爭力，但弘積會以負載均衡作為業(yè)務控制和調(diào)度的樞紐積極與第三方的安全平臺聯(lián)動為云平臺提供集可靠性和安全性能力融合的整體解決方案。負載均衡天生就是一個安全的代理設(shè)備，能夠感知業(yè)務流量。業(yè)務經(jīng)過云負載均衡之后，可把流量通過鏡像的方式傳送到第三方安全平臺，對于加密的https流量，負載均衡可以解密后鏡像給安全檢測系統(tǒng)，安全系統(tǒng)一旦發(fā)現(xiàn)安全威脅需要響應處置時，便會將處置策略下發(fā)到弘積的MC管控平臺，負載均衡根據(jù)MC的策略執(zhí)行流量牽引，比如牽引到蜜罐或流量清洗設(shè)備中做進一步安全檢測，同時還會對存在安全威脅的流量進行隔離轉(zhuǎn)發(fā)。這是弘積在云上以負載均衡為核心做的與第三方融合的安全解決方案。

　　第二，負載均衡本身也有諸多的安全能力，包括它在抗應用層攻擊、郵件安全，DNS安全方面的防護功能，云負載均衡的安全更偏向于業(yè)務和應用安全。

　　以上就是弘積聚焦于負載均衡本身，同時積極和第三方安全廠商聯(lián)合打造的云上應用訪問和控制的安全解決方案。

　　六、您認為云應用交付對云負載的安全監(jiān)管有哪些挑戰(zhàn)？

　　高春華：以弘積科技研發(fā)的實際經(jīng)驗來說，首先，目前業(yè)內(nèi)應用流量加密越來越頻繁，所以SSL加解密流量的安全問題是需要重點關(guān)注的方向，業(yè)務流量的加解密有兩種方式，一種是由服務器直接和客戶端進行加解密的協(xié)商，一種是在代理服務器或應用交付上進行加解密。第一種中間代理設(shè)備不對流量進行任何處理直接透傳到服務器，由服務器直接做解密，這種情況會消耗服務器的資源，產(chǎn)生訪問過慢、時延較大甚至是訪問失敗等問題。

　　所以很多情況下，需要采用第二種方式，先由代理服務器或應用交付設(shè)備通過解密運算進行SSL卸載，之后再以明文的形式傳到服務器，這也是目前主流的做法。

　　但是目前企業(yè)業(yè)務上云后就存在一個問題，在私有云中，業(yè)務流量統(tǒng)一管理，數(shù)據(jù)在代理服務器上進行安全檢查后再通過加解密卡進行解密，最后以明文的形式傳輸，我們可以對數(shù)據(jù)進行安全監(jiān)管；但是在公有云上，有些企業(yè)用戶的數(shù)據(jù)要求保密傳輸，只能以密文的形式透傳到服務器上，這就無法實現(xiàn)對公有云所有負載流量進行安全監(jiān)管，因此如何實現(xiàn)公有云上流量安全管理是應用交付的一個挑戰(zhàn)。

　　七、數(shù)字化轉(zhuǎn)型下，云市場未來可期，那您認為云應用交付未來在技術(shù)上的發(fā)展趨勢是怎樣的？

　　高春華：其實應用交付和云應用的發(fā)展趨勢是相輔相成的。對于云上應用來說，大家現(xiàn)在使用容器、微服務、云原生等技術(shù)，既然云上業(yè)務都已經(jīng)開始容器化了，應用交付也在嘗試與容器技術(shù)的相關(guān)應用進行聯(lián)動和協(xié)同，目前弘積使用了容器化的CC插件來感知業(yè)務的變化，然后插件再通知應用交付來做一些業(yè)務的增刪，未來這方面可能還會有一些新的技術(shù)突破，同時云應用交付本身也在嘗試著以容器化的形式運行。

　　其次，除了容器化之外，我認為應用交付未來還會進一步和自動化運維工具對接，因為對于負載均衡來說能夠感知業(yè)務流量，這些流量通過MC模塊與自動化運維工具對接之后，會更便于用戶在云上方便靈活的管理業(yè)務。

　　最后，云上流量的可視化展現(xiàn)也是一個重要發(fā)展趨勢，雖然云負載均衡可以在一定程度上實現(xiàn)流量的可視化，但可視化的最終目標是要幫助企業(yè)用戶查看云上業(yè)務的分布、來源和響應時間等性能指標，這樣才能幫助用戶更好的維護和管理云上業(yè)務。

　　安全牛評

　　數(shù)字化轉(zhuǎn)型加速了企業(yè)云化。據(jù)相關(guān)研究數(shù)據(jù)顯示，90%的數(shù)據(jù)流量在涌向云計算中心，云訪問的可靠性和安全性成為業(yè)務提供者保障服務質(zhì)量的重要指標。

　　云應用交付不僅在會話連接、調(diào)度和負載均衡上起著重要的作用，在云平臺的安全訪問上也占據(jù)了關(guān)卡要塞之地。2020年，Gartner將云訪問安全代理列為十大安全項目。

　　弘積科技作為國產(chǎn)高性能應用交付的代表廠商，在云應用交付領(lǐng)域不斷摸索創(chuàng)新，通過MC模塊適配不同的云平臺和安全平臺，在通信和安全系統(tǒng)間搭建起了融合聯(lián)動機制。高性能通信設(shè)施與主流安全架構(gòu)的聯(lián)姻可謂珠聯(lián)璧合，為傳統(tǒng)安全能力賦能云平臺提供了更可靠的安全策略執(zhí)行點，為未來新安全架構(gòu)在云平臺的落地提供了強力支撐。