企業(yè)上云的難點與挑戰(zhàn)

陸平 曹茜芮

隨著移動互聯(lián)網、物聯(lián)網、人工智能、大數據、云計算等新技術發(fā)展與技術之間的深度融合，越來越多的企業(yè)通過上云實現其業(yè)務的數字化、智能化轉型。但是企業(yè)對于上云依然存在著重重難關需要跨越。

上云助力企業(yè)數字化轉型

許多企業(yè)選擇將數據驅動（數據獲取、分析、應用和反饋）作為業(yè)務成長的主驅動力，特別是那些處于不確定市場環(huán)境下、有應對海量數據和突發(fā)業(yè)務需求的企業(yè)，借助上云來構建以數據鏈為聯(lián)接的業(yè)務架構。根據網易云《2017年北上廣深杭企業(yè)數字化發(fā)展報告》，上云是企業(yè)數字化戰(zhàn)略的一種方式，其主要目標是為了增強創(chuàng)新能力和提高效率。

根據2017年《云計算關鍵行業(yè)應用報告》，全球云計算市場達到654.8億美元，預計2020年將達到1435.3億美元，年復合增長率達到21.7%。我國云計算整體市場規(guī)模達514.9億元，其中私有云市場規(guī)模344.8億元。企業(yè)部署混合云的比率較高，根據2016年《云安全調查報告》，部署混合云的機構約占71%，部署公有云、私有云的機構分別占12%和17%。

從企業(yè)上云的作用和功效角度看，主要有四種類型：

應用AI算法優(yōu)化決策

利用云端智能分析能力，快速、敏捷地應用AI算法優(yōu)化決策，該模式的典型代表是工業(yè)云腦，該模式在研發(fā)、生產優(yōu)化、供應鏈管理等方面有應用潛力。在生產優(yōu)化方面，對制造過程進行數字化描述，在云端運行人工智能算法，企業(yè)部署工業(yè)大腦后可研究不同參數變化對設備狀態(tài)與整體生產過程的影響，根據結果優(yōu)化生產環(huán)節(jié)。在供應鏈管理方面，對上云企業(yè)的歷史銷量、訂單、物流等數據，對銷量進行精準預測，對庫存進行分析和優(yōu)化。在研發(fā)方面，企業(yè)上云從而建立從產品研發(fā)、設計、生產以及售后數據的全生命周期檔案，運用大數據多維度尋優(yōu)與動態(tài)仿真，提供價值鏈預測服務與優(yōu)化策略。例如，阿里巴巴在2017年推出ET工業(yè)大腦產品，它能夠通過分析工業(yè)生產中收集的數據，優(yōu)化機器的產出和減少廢品成本。江蘇協(xié)鑫通過部署接入阿里ET工業(yè)大腦，對上千個光伏切片的精密工藝參數進行智能分析并優(yōu)化，從而將良品率提升了1%，一年內已經節(jié)省了上億元生產成本。工業(yè)大腦能夠實現跨產業(yè)（流程制造）遷移其經驗，如ET工業(yè)大腦入駐協(xié)鑫光伏用了6個月，而在中策橡膠只用了1個多月就完成了模型搭建。

利用彈性計算能力應對突發(fā)需求

該模式的典型代表是彈性伸縮服務，云端能夠根據用戶的業(yè)務需求和策略，經濟地自動調整彈性計算資源的管理服務。對一般企業(yè)而言，高強度密集型計算任務并不是時刻都存在，企業(yè)沒有必要自建計算集群（且會占用企業(yè)購置成本、場地成本及維護成本），采用租賃形式購買云端彈性計算能力，既能夠節(jié)約成本，又能夠應對突發(fā)增長的業(yè)務需求（如對于業(yè)務量有波峰波谷的應用）。例如，在“雙11”狂歡節(jié)當天，電商的交易量會迅速攀升，阿里云的飛天系統(tǒng)能夠實現每秒17.5萬筆的交易峰值，每秒12萬筆的支付峰值，成功支持了與平日相比暴增437倍的電商交易?；疖嚻?2306作為實時交易系統(tǒng)也面臨著高流量和高并發(fā)等問題，特別在春運期間并發(fā)量快速上升，解決問題的關鍵在于上云（混合云），讓云端分擔網站訪問量最大的查詢業(yè)務，目前幾乎100%的查詢訪問都在云端進行，查詢能力可達每秒40萬次。

通過云擴展能力實現插接式開發(fā)

通過云市場擴展能力，可將自身數據與第三方API產生關聯(lián)，插接式地開發(fā)新產品和服務。該模式的典型代表是應用編程接口（API）市場，企業(yè)通過對API的開放和使用。一方面，有助于企業(yè)采用便捷方式獲取、共享和使用外部企業(yè)的數據或技術資源，可以快速實現插接式創(chuàng)新，從而大幅度拓展了產品創(chuàng)新的潛在空間；另一方面，有助于企業(yè)實現直接利用高端技術，而無需在企業(yè)內部進行開發(fā)，從而更快速地推出創(chuàng)新產品。例如，上汽通用利用IBM的API產品（Management、WebSphere DataPower）打通對外服務通道，實現了對旗下各品牌汽車B2C服務平臺的整合管理，包括服務于車主的手機應用、微信以及各類自助服務門戶。一些智能家居系統(tǒng)集成商，為了提升新系統(tǒng)的室內火災警報能力，在新產品或服務中接入第三方API（例如，火焰檢測識別API可在圖像中識別到火焰并進行報警），這樣就可以投入較少的人力物力進行相關場景應用的開發(fā)，實現插接式的產品快速迭代創(chuàng)新。

利用云計算多區(qū)域部署能力，為用戶提供最佳性能

云計算的多區(qū)域部署能力，可在多個不同地點部署應用，為廣泛分布的用戶提供最佳性能。多數企業(yè)為了節(jié)省成本和時間，往往只能關注一個地理區(qū)域，但這很難為分布廣泛的用戶提供最佳性能，特別是對于那些互聯(lián)網內容供應商（如網絡直播平臺、視頻等大文件分享等）。利用基于互聯(lián)網的云計算平臺，企業(yè)可以使用在不同地點運作的相同云計算平臺輕松部署應用，進而支持業(yè)務以最佳性能在多區(qū)域進行快速擴展。例如，斗魚、熊貓、虎牙、企鵝電競等直播平臺人氣不斷上升，要保證上傳和下載數據的同步性、高同時在線人數下的正常傳輸，要求網絡傳輸、視頻服務器具有較高穩(wěn)定性，目前的主流做法是采用內容分發(fā)網絡（CDN）對視頻服務器進行分流減負。目前，阿里云、騰訊云等云服務商都在提供云CDN服務，其是建立并覆蓋在承載網之上、由分布在不同區(qū)域的邊緣節(jié)點服務器群組成的分布式網絡，作用是將源站資源緩存到云平臺上的各個邊緣服務器，用戶能夠就近快速獲取資源，提升用戶體驗（降低了錯誤率、卡頓率等關鍵指標），并且降低了源站壓力。

雄關漫道真如鐵

雖然看到了企業(yè)上云在縮減成本、提升效率方面的優(yōu)勢，但是企業(yè)仍對上云存在重重顧慮，上云之路困難重重。

決策者對于上云安全存在顧慮

許多企業(yè)決策者的顧慮集中于以下方面：一是關于數據安全的問題，一些決策者擔心數據被云服務提供商“偷窺”或利用。這種擔心不無道理。2018年3月，Facebook被曝非法將大約5000萬用戶信息用于大數據分析，進而精準刻畫這些用戶的心理特征，并向其推送假新聞和定制廣告。接著，谷歌云在博客發(fā)文《確保企業(yè)云上數據安全》，該文針對目標群體是企業(yè)級用戶，旨在消除企業(yè)級用戶的安全顧慮。二是關于業(yè)務連續(xù)性的問題，一些企業(yè)決策者擔心云服務提供商可能由于某種原因（管理原因、安全漏洞等）致使云平臺出現故障，進而影響到用戶業(yè)務系統(tǒng)的連續(xù)性。例如，亞馬遜AWS、微軟的Azure、蘋果iCloud、阿里云等云服務提供商都在2016-2017年間出現過宕機事件，對于云上業(yè)務系統(tǒng)連續(xù)性造成一定程度負面影響。三是關于監(jiān)管合規(guī)的問題，一些特定行業(yè)的企業(yè)擔心采用云服務的相關監(jiān)管政策不明朗，對于企業(yè)上云業(yè)務的合規(guī)性存在顧慮。

重構傳統(tǒng)業(yè)務系統(tǒng)的難度較大

傳統(tǒng)單體架構通常包含較多的模塊，模塊之間耦合度較高、依賴關系錯綜復雜，變更功能或修改缺陷時往往需要重新部署整個應用。單體架構的可擴展性較差，只能采取垂直擴展模式（增加服務器的配置）提升系統(tǒng)的處理能力，難以針對特定業(yè)務模塊特點進行伸縮，例如IO密集型、計算密集型服務等。

多數企業(yè)的應用系統(tǒng)都是歷經多年積累構建，業(yè)務軟件和數據通常以傳統(tǒng)架構（ORM和MVC）來進行設計，向云端遷移勢必導致企業(yè)業(yè)務架構的大幅度改變，需要對自身業(yè)務系統(tǒng)進行重新梳理，并協(xié)調其中的利益關系。企業(yè)的單體架構向微服務架構的重構過程耗時耗力且技術難度系數也較大，企業(yè)原有IT開發(fā)和管理人員可能難以勝任，并且也難以理解與適應云端業(yè)務模式。

可能面臨云服務系統(tǒng)性風險

企業(yè)上云（特別是公有云和混合云），越來越多的敏感性信息存儲在云服務提供商的數據中心之中，一些安全疏漏將可能引發(fā)范圍廣、系統(tǒng)性的安全威脅。2017年12月，云計算安全聯(lián)盟（CSA）發(fā)布《云計算的12大威脅：行業(yè)見解報告》，該報告認為云計算在數據泄露、身份憑證和訪問管理不善、不安全的應用程序編程接口、系統(tǒng)漏洞、賬戶劫持、懷有惡意的內部人士、高級持續(xù)性威脅、數據丟失、盡職調查不足、濫用和惡意使用云服務、拒絕服務、共享的技術漏洞等方面存在安全威脅。近期一些云服務商出現了系列宕機和數據安全事件。例如，2017年初，亞馬遜AWS的一位工程師試圖調試亞馬遜的弗吉尼亞數據中心S3存儲系統(tǒng)，輸入了一個錯誤指令后，導致Slack、Quora和Trello等眾多互聯(lián)網企業(yè)平臺宕機4個小時。2017年2月，Cloudflare被曝出由于編程錯誤致使其系統(tǒng)會將服務器內存里的部分內容緩存至網頁，惡意用戶可以通過該漏洞隨機獲取來自其他人的會話中的敏感信息，該事件涉及Uber、1password等眾多購買其服務的互聯(lián)網公司業(yè)務。

跨越企業(yè)上云難關

普及云安全知識

世界上沒有100%安全的系統(tǒng)，安全攻防戰(zhàn)一直都存在。這里應該找準安全參考系，企業(yè)上云的安全性應與企業(yè)自建系統(tǒng)進行比較，主要有以下方面：一是企業(yè)自建系統(tǒng)看似能夠自我掌控風險，但企業(yè)自己的安全團隊的專業(yè)性可能遠遠不及云服務商，存在著很多安全隱患，甚至可能還不自知（一些數據可能在企業(yè)毫不知情的情況下被竊?。?；二是企業(yè)自建數據中心通常集中在某區(qū)域，難以做到跨大區(qū)域的異地備份，在容災方面有欠缺，一旦發(fā)生重大災害，將有重大風險隱患。目前針對于云特有的安全問題，云安全責任共擔模式已在業(yè)界達成共識，亞馬遜AWS、微軟Azure、阿里云等企業(yè)均采用了與用戶共擔風險的安全策略。云服務提供商負責組建專門團隊保護其服務的底層基礎設施不受威脅、漏洞、濫用和欺詐的侵害，并且為客戶提供主要安全功能。例如，數據加密、身份與訪問管理、多因子身份驗證等。用戶負責安全功能的恰當配置，安裝更新和確保雇員不把敏感數據泄露給未授權方等。

采用更加靈活、可擴展性更強的微服務架構

企業(yè)的傳統(tǒng)架構不能夠充分利用上云在彈性擴展方面的優(yōu)勢。微服務架構可以被定義為細粒度的SOA（面向服務的架構），該種架構的最主要特征是小的服務開發(fā)成單一應用的形式，每個應用都運行在單一的進程中，并使用HTTP輕量級接口。微服務通常被封裝成輕量型、可移植、自給自足的容器。這些容器可以使用標準操作來處理，并可以在幾乎任何硬件平臺上一致地運行。企業(yè)遷移到微服務架構需要對業(yè)務有充分理解并進行重新梳理，將那些松耦合、高內聚的微服務分離出來。采用自動化測試工具、持續(xù)集成與自動化部署工具來輔助團隊開發(fā)和管理眾多服務。對于那些難以修改的遺留系統(tǒng)，可采用絞殺者模式，在其外層增加新的功能做成微服務方式，從而逐步將舊系統(tǒng)進行替換。

加強企業(yè)隱私保護

云服務提供商可以提供安全訪問、防止云中敏感數據泄露等方式來加強企業(yè)隱私保護。在安全訪問方面，管理員指定可訪問某個應用程序或資源的身份組，需要經過授權和身份驗證的用戶能訪問在云上運行的某個程序或資源，例如，谷歌云的身份感知代理（IAP）、阿里云的RAM賬號安全管理和訪問控制。數據泄露防護方面，例如，谷歌云采用數據泄露防護DLP API讓IT團隊識別和修改可能在谷歌云平臺上運行的應用程序中的任何敏感信息，DLP技術執(zhí)行深層內容分析，從而根據敏感數據類型（如賬號及其他聯(lián)系信息）列表查找匹配項，管理員可決定適用于每種數據類型的保護級別及方式。

總之，企業(yè)上云是企業(yè)數字化轉型的重要路徑，切實從企業(yè)角度思考打消決策者對于上云的安全顧慮、幫助企業(yè)梳理業(yè)務系統(tǒng)重構問題，以及降低可能面臨的云服務系統(tǒng)性風險，才能讓“天塹變通途”，跨越企業(yè)上云的重重難關。