2.2　如何选择云计算

　　生存还是死亡，这是一个问题。——莎士比亚《哈姆雷特》

　　2.2.1　私有还是公有

　　在当今这个分工越来越细的时代，企业对于如何运维和使用IT 服务的选择变得更为多样化。对于一般企业来说是选择自己构建还是采用第三方服务，同样是一个问题。

　　对于一般的企业来说，最终需要的是能够帮助和促进业务的应用，而不是底层IT 基础设施。但是IT 基础设施是支撑这些应用的基础，因此企业既需要IT 基础设施作为底层平台，又需要有相应的应用。在传统方式下，对于应用来说企业可以选择市场上的套装软件，比如许多企业采用了市场上的ERP 和CRM 等套装软件。另外，如果企业的需求相对特殊，或者出于其他考虑企业还可以根据需要选择自己开发应用程序。对于应用的运行环境，企业可以选择自己构建数据中心来运维，也可以选择第三方托管平台或者云计算平台来运行应用程序。云计算平台是传统托管平台的一个延伸和发展，提供了比托管平台更高的服务自动化程度。实际上，我们可以把这些应用和服务的实现方式看成是不同程度的外包。无论是应用还是底层的运行平台，我们都可以从自己构建和采用第三方服务两个维度来考察，图2.5 这个坐标图从两个维度展示了应用的构建和运维方式。

　　图2.5　服务的外包程度

　　显然，在该图中，越靠近左下角，企业对应用的控制能力越强;而越靠近右上角，则相对具有更好的规模效应。企业是选择自己构建和运维IT 服务，还是直接采用第三方的公有云服务，这与企业所从事的行业、企业规模和应用类型等多种因素相关。下面我们从几个不同的方面来讨论一下。

　　1. IT设施的位置

　　当企业自己构建一个私有云平台的时候，IT 基础设施是自己的，一般位于企业内部。而采用公有云平台的时候，IT 基础设施是位于一个第三方的数据中心。这里有一个例外，那就是现在有一些服务提供商提出的虚拟私有云(VPC, Virtual Private Cloud )的概念，它指的是在第三方数据中心内部通过技术手段隔离出来的一个专用计算环境，并通过安全通道与企业相连接。

　　2. 基础设施的差异性

　　对于许多大型企业，由于经过了多年的IT 建设和技术演变，他们的IT 基础设施往往采用了不同的技术和平台，也就是说，这些企业采用的是异构平台环境。但是，对于目前大部分公有云服务提供商来说，他们的平台往往是通过廉价和标准的硬件平台来构建的。这些标准化方式构建的平台能够以比较好的性价比满足大部分用户的需求。另外，在服务的提供方面，公有云服务提供商往往提供最为大众化的、需求量最为广泛和集中的服务。因此，对于公有云服务来说，其服务和环境往往是同构的，这与企业自建的IT 环境不一样。

　　3. 商务模式

　　企业如果选择自己构建IT 系统，那么显然需要进行一次性的大量投资来采购软、硬件设备，甚至包括数据中心的基础建设等。在企业的财务报表中，这体现为一个比较大的固定成本。但是，如果企业采用第三方提供的公有云服务，那么根据目前云计算服务的收费方式，企业可以选择按月服务费的方式或者按IT 资源使用量的方式来进行付费。这样，对于企业来说不需要一个大量的前期投入就可以使用IT 服务，其体现为一个持续的运营成本。

　　4. 控制程度的不同

　　企业自己构建的IT 系统是作为企业资产完全由企业自己拥有，并由企业自己来运维。虽然企业需要自己的IT 运维团队，但好处是企业可以独立控制IT 系统，并根据实际需要来进行改造和客户化。而对于公有云服务，企业实际上是采用租用服务的方式，好处是不需要自己来管理基础平台服务，但是对于企业来说这同时也降低了其定制化的能力，因为所有的基础设施，包括服务器、网络和存储等，以及上面的软件平台都是由服务提供商来进行维护和管理。

　　图2.6　公有还是私有

　　2.2.2　不同企业对云计算的策略

　　由于不同的企业所从事的行业性质、企业规模和文化等都有差异，因此他们对于成本和安全性的敏感度是不同的。比如，大型企业对安全的敏感度要高于小企业，而小企业对成本的敏感度又要高于大型企业。这些差异无可避免地会影响到企业采用云计算的策略和方法。大型企业一般已经在IT 建设上有了大量的投资，因此从保护投资的角度出发这些企业还将继续维护现有的计算环境，只是他们要根据云计算的一些理念和技术对现有环境进行改造。相对于小企业来说，这些大型企业往往也拥有自己的技术团队，对IT 服务的定制化要求和能力也会更高。

　　小型企业不太可能具备必要的技能来构建一个云计算平台，相反他们将会更多地考虑一些公有云的服务。这些公有云服务提供商可能有特定行业的技能，相比于小型企业掌握的技能，他们掌握更高的云服务的技能，并利用规模化效应保持尽可能低的成本。公有云服务对小企业来说更是一个机遇，因为它降低了高质量IT 服务的门槛，并可以让小企业不受IT 服务的限制快速进入市场。从IT 服务水平的角度，公有云让小企业与大企业站在同一个水平线上成为了一种可能。

　　2.2.3　发展路线

　　从长远的角度来看，公有云将在企业IT 服务中占据重要角色。但是，在相当长的一段时间内，企业将采用混合型的云计算服务。大型企业将继续让IT 部门管理和部署内部IT 资源，其中的一些就是私有云。IT 部门也将担负起IT 服务采购的责任，确定何时利用外部服务提供商，何时进行内部部署，以及何时利用两者实现特定的服务。也就是说，大型企业云计算的发展更多会基于“先私后公”，并逐步达到公有云服务为主的阶段。

　　私有云服务将是未来公有云服务的基石，随着时间的推移，私有云和公共云的资源将被混合或者交错利用，并且公有云服务所占的比例会越来越大。私有云计算方面的适当投资将方便企业未来逐步使用公有云服务。私有云计算中的许多投资可为企业部署公有云做准备。这些投资不仅仅是技术上的变化，也是流程、业务接口，甚至是文化上的变化。企业在进行私有云建设的时候，可以先从相对简单的IaaS 类型平台开始入手，然后逐步过渡到相对复杂的PaaS 类型云计算平台。

　　企业需要认识到，有些IT 服务是注定要采取云计算模式的，而其他一些IT 服务则要与已有业务进行较多的整合与密切互动。一旦确定某个特定服务需要通过云计算进行，那么就需要做出决定，是等待比较成熟的云服务出现还是尽早发展私有云服务，并判断哪种对业务发展更有帮助。对于一些需要业务紧密整合、定制化和多样化的IT 服务，应作为私有云建设的重点。而另外一些侧重在独立、标准化接口和非定制化的IT 服务，则可以作为潜在的公有云服务候选者。

　　云计算的发展方向目前已经比较明确，企业针对云计算的战略制定宜早不宜迟。这将帮助企业更早地做好云计算准备并更好地实施云计算策略，同时也能帮助企业更为顺利地过渡到将来的公有云服务。

　　2.2.4　云计算服务商的选择

　　既然云计算是IT 服务的发展方向，那么其中必然孕育着大量商机。Gartner 预测云计算服务的市场在2013 年将超过1500 亿美元。不同的云计算服务商纷沓而来，他们有由传统IT 厂商演变而来的，也有新兴的初创企业，甚至有从在线电子商务公司转变而来的。他们提供不同的服务类型，服务质量也良莠不齐。企业在选择这些云计算服务的时候要结合自身需求，从不同的角度进行考察。

　　虽然说云计算能给企业带来许多好处，但是企业在面对云计算这个相对比较新的IT 服务模式的时候还是有许多担心。由于私有云的服务模式与传统IT 服务方式没有本质的区别，因此这些担心主要集中在公有云服务上面。企业对云计算服务商的服务透明度问题，比如到底有哪些功能必须包含在安全因素里，谁可以访问数据，使用了什么样的等级加密，我们的数据在哪里，我们的物理机又在哪里，服务水平协议到底是怎样规定的，技术支持服务是7×24 还是5×8等。著名的市场调研机构IDC 曾经在2009 年9 月做过企业对云计算的担心的调研，图2.7 所示是企业对采用公有云服务的主要担心。

　　图2.7　企业对公有云服务的担心

　　关于私有云解决方案提供商的选择，我们还是可以遵循传统IT 解决方案的选择方式来考察各个方案，需要特别注意的一点是这些私有云解决方案提供商自身在云计算服务上有多少实践经验，是不是只是把原来的方案包装一下而已。下面我们主要从如何选择公有云的角度来讨论服务供应商选择时的注意点。

　　1. 服务的类别

　　云计算的三大类服务是各不相同的，企业在选择云计算的时候要注意区别它们之间的差异。如果需要对服务有更多的控制，那么企业应该选取IaaS 类服务。但是，更多的控制同时对企业IT 的技术要求也更高，因为IaaS 服务底层的硬件平台由服务商管理，但是其上的平台一般需要客户自己来管理。如果需要把尽可能多的IT 服务外包出去，那么企业应该选择最上层的SaaS 类服务。当然，如果选这类服务，企业对服务环境的控制力就非常有限，而且也不是所有应用需求都有相应的SaaS 服务。

　　2. 计费情况

　　提供商业云计算服务的供应商会根据不同的情况来进行收费，比如有多少使用用户、具体使用了多少计算资源、使用了什么样的服务等。与所有购买的服务一样，企业需要能够看清所有服务的计费情况，尤其是在所使用的云计算服务能够动态扩展资源的情况下。大部分云计算服务供应商都会提供一个应用或接口为用户提供资源计费的具体情况。如果服务提供商不能提供类似的信息，那么企业选择这样的供应商就很可能会有问题。当然，另外一个与计费直接相关的问题就是服务的收费情况，企业需要做两方面的比较。一个是自己提供服务的成本与一个服务周期内预计服务费用的比较，另外一个就是不同云计算服务商之间收费的横向比较。

　　3. 关于标准遵循和认证问题

　　云计算服务的标准遵循会从几个方面影响客户。如果云计算服务支持标准，那么用户就可以通过标准的方式来访问。比如微软Windows Azure 平台的存储访问是基于标准的REST 方式，那么无论用户使用什么语言在什么平台上，都可以基于REST 来访问这些存储。另外一方面，云计算平台对标准的支持可以让用户有选择的余地，而不至于完全锁定在一个特定的云计算服务上面。当然，不同层次的云计算服务对用户的锁定程度是不一样的，一般来说PaaS 类服务比IaaS 类服务更具有锁定性，而SaaS 类服务比PaaS 类服务更具有锁定性，但是用户至少需要有能够把数据从云计算服务平台上迁移或备份出来的能力。

　　云计算服务商所获得的认证也是一个非常重要的考察指标，认证是第三方对于服务商的一种认可和肯定。有一些认证与IT 系统的运维和安全相关，比如ISO/IEC 27001:2500 。有一些认证与合规性相关，比如在美国有一个SAS 70 (Statement on Auditing Standards )，审计准则说明的认证。SAS 70 认证是一个关于服务商的内部控制和财务相关的认证，因此对于云计算服务商而言这个认证尤为重要。SAS 70 认证由美国注册公共会计师协会创建，这种认证主要包含两个级别。一种是第一类认证，通过企业自己搜集内部信息，向监管机构证明所做的所有行为、控制目标、流程符合法律法规的监管。第二类认证更加严格，是在第一类认证的基础上，增加了服务监管人对于这个企业审核的意见。有了这两个认证的企业基本上可以保证在法律法规以及风险管理方面符合企业对于云计算安全的考虑。

　　4. 安全性问题

　　云计算放大了IT 的挑战，原来放在自己服务器内部的一些服务资料，现在要放到云当中，而云当中的应用可能在任何的地方。如何保证用户登录的安全，这个应用能否从某一个点迁移到另外一个点，到底什么人能够看到什么样的信息，看到这些信息的资料多少到底是由什么决定的，所有这些问题都是企业在考虑云计算安全时需要考虑的因素。

　　从前面IDC 的调研可以看到安全是企业采纳云计算时最担心的地方，但是如果在选择云计算服务的时候能够特别关注供应商在安全方面的具体实现情况，并且采用一些安全方面的非常好的实践，那么将可以提高企业使用云计算服务的安全性。公司在使用云计算服务之前应当进行全面的风险评估，其中涉及数据保护、数据完整性、数据恢复和合规性。我们建议企业在评估云计算安全的时候采用类似于金融服务行业的风险管控模式。云计算的风险管控要从安全性、隐私、合规性以及服务的可持续性等方面综合考虑。

　　图2.8　云计算的风险管控内容

　　企业需要查看云计算服务商有没有相关的安全认证，相关的安全架构、流程和风险管控的方法等具体情况。另外，根据一些国家监管的规定，企业可能还需要了解服务商物理数据中心的位置，以满足企业对数据存储地点的要求。

　　5. 与企业已有系统的集成问题

　　企业在构建信息系统的时候要尽量避免形成“信息孤岛”的情况。无论是在数据层次、应用层次或者是在界面层次，应用和应用之间都要能够比较方便地集成，从而让数据能够方便地流转，最终用户也能有良好的用户体验。这就需要企业在选择公有云服务的时候，要考虑目标公有云服务与自己企业内部的系统如何进行集成。这种集成可以通过多种方式来实现。比如数据交换是一个比较基本的要求，最低的一个要求是可以借助手工操作的方式来进行。当然理想的目标是通过自动化的方式来实现各种集成方式。企业可以从两个方面来考察云计算服务的集成能力。一个是云计算服务是否提供与企业数据中心之间的安全传输通道来进行集成通信。比如，微软的Windows Azure 平台和亚马逊的AWS 就提供它们的云平台数据中心与企业数据中心之间基于IPSec 的安全通道。

　　图2.9　安全通道示意

　　另外一方面是看云计算服务供应商有没有提供一个开放的管理接口或

　　管理工具，以便企业可以把云计算服务集成到自身数据中心中的应用管理中去。微软的Windows Azure 平台提供了基于REST 的服务管理的编程接口(Service Management API )，而且微软还更进一步扩展了其基于System Center 的系统管理工具，让企业IT 管理人员可以在一个管理界面上同时管理其部署在企业内部的应用和部署在Windows Azure 平台上的应用。

　　2.2.5　不适合云计算的一些场景

　　虽然说云计算可以从许多方面给企业带来好处，但显然没有什么是功能较多的。事情都有两面性，云计算也不例外。在现在的技术条件下，并不是所有应用都适合采用云计算的方式。下面我们讨论一些不适合采用云计算的应用场景，当然这里主要指的是公有云场景。

　　1. 安全和合规性

　　在目前阶段，安全方面的担心和法规上的限定可能是企业采用云计算的一个最大的担心。在企业自建的环境中，企业对硬件和服务流程有着完全的控制，包括数据中心的位置、谁可以访问和使用这些基础设施、采用什么样的安全流程等。但是如果采用第三方的云计算服务，企业就会面临安全和法规遵循方面的担心。比如有些国家规定存放企业数据的数据中心必须在自己国家内部，而有些国家则规定企业数据不能存放在一些指定国家的数据中心。所以，这就要求企业在选择服务提供商的时候要注意云计算服务提供商的数据中心具体位置是否可选，注意这些服务的使用与国家法规之间是否有冲突等。

　　除了国家法律规定外，一些企业还需要遵循相应的行业和上市企业所需要遵循的规定和标准。比如在美国上市的企业要求遵循萨班斯法案(SOX, Sarbanes-Oxley Act )，医疗方面的应用要遵循HIPAA 法案(Health Insurance Portability and Accountability Act )等。云计算服务商是否能够让用户或第三方对其进行审核来验证其安全政策的完备性和有效性也是一个重要的考虑因素。不是所有的云计算服务提供商都能够满足这些法规遵循要求，因此企业在权衡使用云计算服务的时候一定要详细评估这些因素。

　　2. 硬件依赖

　　如果企业的应用有特殊的硬件要求，那么云计算方案一般就不适合。这种特殊的要求可以分为两类。一类是应用需要特殊的硬件支持，比如需要GPU 支持、特殊的芯片组或加密硬件等。对于这类需要特殊硬件支持的应用，云计算服务提供商不大可能提供支持，就算碰巧有服务商提供，但用户可选的余地也很小，从而减少了讨价还价的余地。另一类是虽然也采用标准的、通用的硬件，但是对硬件的容量和数量等有特殊要求。比如企业的应用需要完全控制它所运行的环境，比如多大的内存、多少处理器内核等。因此，对于这些应用，我们建议采用自建的方式而不是云计算方式。

　　3. 与现有应用集成

　　无论是流程、应用层或数据层面，如果企业有两个应用需要紧密集成，一般我们建议它们不要分隔得太远。在大部分场景中，这种基于互联网的应用集成会带来一些稳定性、性能等方面的问题。所以，如果企业有一个应用要与自己数据中心中的一个应用紧密集成，那么把这个应用放到云计算平台上就需要进行特别的论证，需要仔细研究这两个应用集成度到底如何，网络的延时是否会影响到服务的使用等。

　　4. 实时应用

　　云计算具有强大的处理能力，但它们是通过分布在互联网上的不同数据中心来提供服务的。如果企业的应用对响应时间要求不高，比如一般的Web 应用或是批处理应用，那么采用云计算服务完全能够满足性能上的要求。但如果是一些时间要求非常高的应用，比如实时性应用，那么云计算可能就不太适合。因为就算采用CDN 这样的服务，通过互联网传输的网络延时对于实时应用来说也还是显得比较大。

　　5. 缺乏需求

　　虽然云计算在目前是一个非常流行的词语，我们仍然不建议企业纯粹为了赶时髦而进行云计算项目。这种缺乏需求的项目会给企业带来额外的风险和成本。比如一个遗留的传统应用运行没有什么问题，同时也能在可预见的未来满足需要，那么除非是能够非常清楚改造的必要性，否则一般不建议只是为了云计算而对它进行改造。我们认为企业采纳云计算是一个逐步演进的过程，而不是一夜之间把所有应用都“大跃进”到云计算时代。