如何管理网络隔离的混合云资源?

发表时间:2021-04-21 15:45

很高兴今天能跟大家一起来分享下如何管理网络隔离的混合云资源。

相信通过今天的介绍和讨论,多云多中心环境下,跨网络的云管理的复杂度所带来的管理成本的上升、IT运维难度加大和效率的降低等这些问题,都将找到完美的解决方案。

今天的介绍,将会分为5个部分:

  • 混合云现状及其存在的问题     

  • 混合云管理的解决方案-SmartCMP云网关

  • 骞云SmartCMP云网关的使用场景

  • 拥抱开源  

  • Demo  

  • 问题答疑





混合云现状及其存在的问题

先来看一个混合云经典的场景:

数据中心1在北京的VMWare上,数据中心2在杭州的Openstack上;另外还有公有云Aliyun或腾讯云等云平台上的VPC(专有网络),三个网络相互网络隔离;

当运维、开发测试等人员,要同时对网络隔离的数据中心1、数据中心2、公有云上的云主机进行监控、开关机等操作是无法执行的,因为几个云平台之间网络不通,即使通过VPN等方式打通了网络,也只能逐个云平台进行登陆去执行操作,需要在不通的云平台之间进行切换,无法对这些不同的云平台进行统一的运维、监控;

这会产生较高的网络成本和管理成本;

所以简单来讲:

在多个数据中心,多区域,多VPC,网络隔离的混合云上的资源,无法进行统一的监控、统一管理和统一得运维。


现状:多个数据中心,多区域,多VPC,网络隔离

问题:网络隔离的情况下,混合云上的资源无法统一监控、统一管理、统一运维


混合云管理的解决方案------SmartCMP云网关

所以多云多中心的环境日益普及的同时也加大了跨网络下云管理的复杂度;

而今天为大家介绍的SmartCMP云网关,可以打通混合云之间的网络隔离,使运维、开发和测试等人员,在网络隔离的混合云中,可以跨云平台、跨网络、跨操作系统的进行资源申请、变更、监控、持续集成等各种操作。

下面我们就了解下,如此强大的SmartCMP云网关是如何解决以上问题的。



在刚才提到的这个场景中:

在这些网络隔离的云平台上,北京、杭州的2个数据中心、以及公有云分别创建云网关;

每个数据中心都与自己的云网关在同一网络,例如:云网关1与北京的数据中心在同一网络中用私网IP进行通讯;

虽然位于北京、杭州的数据中心以及公有云之间是网络隔离无法互相访问的,但SmartCMP可以访问所有的Gateway;

并通过这些Gateway,对这些隔离网络上的云资源进行统一的运维操作,例如:对数据中心1、数据中心2、共有云这3个平台中的主机进行开关机、执行脚本、安装软件等。

因此PPT第一章节中提到问题:网络隔离的情况下,混合云上的资源无法统一监控、统一管理、统一运维,得到有效的完美的解决!

这就是今天为大家介绍的混合云资源统一监控、管理的总体解决方案。

下面来看下SmartCMP云网关的架构,以便更清晰的了解它是怎样打通混合云之间的网络隔离的。


SmartCMP 云网关架构



首先需要为每个需要打通网络的云平台\VPC安排一台可以访问公网的主机

  • 在这台主机上安装时SmartCMP云网关时,会自动在Controller上用SSL加密协议进行注册,并从Controller获取Token;Gateway获取Token后,用该Token与最近的Listener使用SSL加密协议建立长连接;这个图中的例子,就是杭州的VPC自动找到最近的上海的Listener建立长连接。

  • 网络连接建立好后,用户可以通过Https加密协议访问SmartCMP, 此时Controller会使用SSL加密协议打开WebSocket;

  • 当用户发起云资源的申请、运维、监控等操作,这些用户请求会通过已经建立好的长连接发送给Gateway, Gateway会将用户的请求通过私网IP发给云资源。

          虽然位于北京、杭州的公有云VPC专有网络以及本地VMWare数据中心之间已经网络隔离无法互相访问,但SmartCMP可以访问所有的Gateway, Gateway与自己所在的数据中心在同一网络,因此SmartCMP可以通过这些Gateway,对这些隔离网络上的云资源进行统一的运维管理。例如:

同时对北京、杭州的公有云以及本地数据中心上的云主机进行监控、开关机,用户登陆SmartCMP后,可以同时对三个网络隔离的云平台上的云主机发出请求,请求会通过Listener发送给北京、杭州、本地数据中心对应的gateway,并由gateway通过私网IP发给云主机进行执行。

          SmartCMP存储了所有的配置数据、管理数据,listener和Gateway不存放数据,这样就可以存在多个Listener, 多个Gateway, 以便实现该架构下的高可用。

         举个例子:Aliyun上的杭州区域内的VPC1中由多个gateway; 这个gateway对应的listener可以有多个,Shanghai Listener1\Shanghai Listener2\广州 Listener等;

  • 当Shanghai Listener出现特殊情况挂掉时,杭州的这个gateway会自动找到下一个最近的Listener确保网络的畅通;

  • 当Gateway与Listener连接丢失,会自动跟Controller重新获取Token,自动重新建立长连接;

  • 当Gateway挂掉后,由于VPC内可以有多个Gateway, 还可以用其他getaway继续保证网络的畅通,确保业务正常开展。

  • 安全性方面,混合云上的资源不需要将任何的IP\端口暴露到公网上,都是通过Gateway来进行中转转发。


SmartCMP 云网关架构优势:

通过对云网关架构的介绍,大家其实可以体会到SmartCMP云网关有三大优势:

更加安全,不对外暴露任何IP;

支持多云多中心的环境,可以对混合云上的资源进行统一监控管理;

无限横向扩展,Listener\gateway等可以根据需要扩展;


SmartCMP 云网关的安装配置:

如此强大的云网关,操作起来是否会很复杂呢?

其实它的安装设置真的是非常简单,基本上都是自动化完成的。

云网关的安装设置分为Listener配置和云网关安装两部分;

其中,Listener只需要进行配置就可以了:

只要添加一个Listener并进行相关的配置,然后在Listener的列表中就可以查看到自己所有的listener了;



至于云网关的安装也只需要简单的2个步骤:

第一步:在SmartCMP上自动生成云网关安装脚本  

第二步:在要运行云网关的主机上,执行第一步生成的脚本,然后云网关会自动与SmartCMP建立连接。

请大家注意下,云网关所在的主机,需要能够访问公网,例如配置NAT或弹性公网IP等;



Listener\Gateway安装配置完成后,在SmartCMP上设置选择需要对接云网关,因为前面提到每个云平台、VPC是可以有多个Gateway存在的,所以需要指定具体用哪一个gateway进行网络通讯。


操作非常简单:选择框里选择云网关,会决定用哪一个云网关来进行通信。

云平台连接云网关:通过云平台指定云网关, 把网络隔离的云平台打通。如果该云平台处于隔离网络(例如配置了VPC,平台无法直接访问),可使用云网关转发云平台管理的请求。

资源池连接云网关:通过资源池指定云网关, 使网络隔离的混合云资源可以统一进行管理;如果该资源池中的资源处于隔离网络,可使用云网关转发该资源池中所有云资源的操作请求,收集监控数据,并可提供云资源的安全访问控制。

第三方应用对接云网关:如Jenkins, 对接云网关后,可以统一执行不同网络中的Jenkins job.

当需要限制与云平台的连接或对资源的运维操作时,只要去掉云网关的配置即可。去掉配置后,云平台将无法与SmartCMP进行通讯,起到网闸的作用:可以开放网络连接,也可以关闭掉。



SmartCMP云网关在混合云上的使用场景


了解了SmartCMP云网关能解决的问题、架构、以及安装配置方法后,我们再来看下如此强大的云网关,还有哪些使用场景,带给我们哪些惊喜和意外。



第一个场景:私有云平台及第三方应用的运维管理:

如前面的例子,SmartCMP在公有云上,通过Gateway管理vSphere、SmartX、Zstack等云平台资源,以及F5、Jenkins、Harbor、Nexus等第三方系统

第二个场景:云资源的运维管理,如:对网络隔离的混合云资源进行执行脚本、安装软件、数据库操作

第三个场景:监控数据收集,实现多个隔离网络中资源监控数据的统一收集

第四个场景:安全访问控制: 代理堡垒机会话连接打开远程桌面,如:RDP、VNC、SSH

下面就针对SmartCMP云网关的这4个场景分别介绍一下


对网络隔离的第三方应用进行运维操作:



对于第三方应用及私有云的运维管理,还是用前面的例子加以说明:

SmartCMP在公有云上,Jenkin、Harbor等在公司局域网内网,SmartCMP和Jenkins网络不通,但SmartCMP需要执行Jenkins上的Job来进行持续集成的打包、测试、发布等动作;

此时通过云网关,SmartCMP可以完成不同网络中的Jenkins Job的调用;

同样,SmartCMP云网关可以通过Gateway对vSphere、SmartX、ZStack、F5、Harbor、Nexus等这些私有云平台,统一进行资源申请、安装软件、重启、扩容、远程桌面等各种运维操作。

对混合云上的资源进行执行脚本、安装软件、数据库等运维操作:

在这个例子中,SmartCMP和Aliyun、Azure\Goole也是网络隔离的,但SmartCMP需要在这些云主机上安装Mysql等软件,因为网络不通,导致无法安装;

但有了SmartCMP云网关,对于Aliyun 等公有云VPC专有网络内的云资源、各私有云平台上的云资源等等,安装软件、执行脚本、数据库操作等都可以畅通无阻的完成!



对混合云资源监控数据进行统一收集:

我们的例子中,

SmartCMP和Aliyun\Goolge\vSphere\Openstack等网络隔离的云资源,因为网络不通,SmartCMP无法获取到这些云资源的监控数据,也就无法及时知道云资源的运行状态;

但通过SmartCMP云网关,SmartCMP可以通过云网关获取这些网络隔离的云平台的监控数据,对所有纳管的云平台的资源统一进行监控、设置告警策略,以及触发告警后自动触发工单并发送通知提醒相关人员进行处理;或者根据自愈策略自动触发自愈操作等。



安全访问控制


安全访问控制方面,可以代理堡垒机会话连接打开远程桌面,如:RDP、VNC、SSH

同样的例子,

SmartCMP与Aliyun\Goolge\vSphere\Openstack等网络隔离的云资源,因为网络不通,SmartCMP无法远程桌面等登陆到这些云资源上;

但有了SmartCMP云网关,SmartCMP可以通过云网关来远程登陆到这些云资源上进行运维操作。

介绍了这么多SmartCMP云网关的内容,大家可能觉得这么强大的产品一定很贵,实际上呢:

为了使SmartCMP云网关更加强大,我们用开放的心态,拥抱开源社区:将SmartCMP云网关源代码开放出来,欢迎大家一起加入进来共同完善。


SmartCMP云网关的开源—拥抱开源社区

我们的源代码已经放在了Hithub上,下面是hithub的连接。

相信在所有人的努力下,混合云的管理以及云网关的场景、功能将会更加丰富和强大!

https://github.com/CloudChef/gateway



 
 
 联系方式
咨询电话:400-669-7728