華為云Stack “云聯(lián)邦”技術(shù)針對(duì)企業(yè)中現(xiàn)有的多朵獨(dú)立自治的云并不改變現(xiàn)有云的歸屬權(quán)，也不改變當(dāng)前的運(yùn)營(yíng)運(yùn)維和使用方式，在現(xiàn)有云上運(yùn)行的業(yè)務(wù)應(yīng)用仍然由現(xiàn)有的組織或部門(mén)負(fù)責(zé)，無(wú)需進(jìn)行復(fù)雜的 遷移 操作。那么云聯(lián)邦是如何實(shí)現(xiàn)將多朵云連云成片的呢？我們以多套華為云Stack協(xié)同為例，為大家介紹以下三個(gè)關(guān)鍵技術(shù)：

一、 聯(lián)邦認(rèn)證

要將多個(gè)分散的云聯(lián)接起來(lái)，首先要解決的問(wèn)題就是用戶認(rèn)證和訪問(wèn)權(quán)限的問(wèn)題。通過(guò)基于SAML 2.0的聯(lián)邦認(rèn)證技術(shù)，可以讓原本屬于不同云平臺(tái)的用戶，能夠在同一個(gè)云平臺(tái)上被正確識(shí)別，并獲得對(duì)應(yīng)的身份和權(quán)限，從而實(shí)現(xiàn)一次登錄就可以使用多個(gè)云平臺(tái)資源的目的。

如上圖所示，部門(mén)一的云平臺(tái)用戶張三，登錄本部門(mén)的云平臺(tái)A，再訪問(wèn)部門(mén)二的云平臺(tái)B，如果云平臺(tái)A與B之間建立了聯(lián)邦認(rèn)證，那么張三就可以無(wú)需二次登錄到云平臺(tái)B就可以訪問(wèn)云平臺(tái)B的云服務(wù)和資源。

通過(guò)聯(lián)邦認(rèn)證，使得不同企業(yè)組織的人員可以使用本組織的云平臺(tái)賬號(hào)自由訪問(wèn)和使用其他組織的云平臺(tái)，實(shí)現(xiàn)企業(yè)內(nèi)不同組織的云平臺(tái)的資源共享。

二、 聯(lián)邦目錄

雖然連云成片的目的是為了將云平臺(tái)的資源進(jìn)行共享，然而具體到某個(gè)部門(mén)的云平臺(tái)，并不是所有的云服務(wù)都可以被共享出來(lái)供其他部門(mén)使用，因此這個(gè)時(shí)候就需要建立所謂聯(lián)邦目錄。每個(gè)云平臺(tái)都可以建立多個(gè)聯(lián)邦目錄，為每一個(gè)聯(lián)邦關(guān)系設(shè)定關(guān)聯(lián)的聯(lián)邦目錄，其中包含允許聯(lián)邦訪問(wèn)的云服務(wù)。

如上圖所示，部門(mén)一的云平臺(tái)A和部門(mén)二的云平臺(tái)B建立聯(lián)邦關(guān)系，云平臺(tái)A的用戶可以共享使用云平臺(tái)B的云服務(wù)，此時(shí)云平臺(tái)B的管理員可以在云平臺(tái)B上建立聯(lián)邦目錄，允許云平臺(tái)A的用戶訪問(wèn)指定范圍的云服務(wù)。云平臺(tái)A通過(guò)聯(lián)邦關(guān)系讀取到云平臺(tái)B設(shè)定的聯(lián)邦目錄，將其映射為云平臺(tái)A的一個(gè)遠(yuǎn)端Region，這樣云平臺(tái)A的用戶就可以像使用云平臺(tái)A的本地云服務(wù)一樣使用云平臺(tái)B的云服務(wù)，無(wú)需關(guān)心云服務(wù)的實(shí)際部署位置。

聯(lián)邦目錄使得部門(mén)可以根據(jù)自身云平臺(tái)的能力以及聯(lián)邦的需求方來(lái)設(shè)定和發(fā)布聯(lián)邦服務(wù)目錄，避免共享云服務(wù)范圍的擴(kuò)大化。對(duì)于一個(gè)大型集團(tuán)型企業(yè)來(lái)說(shuō)，更好的做法是建立一個(gè)大規(guī)模并且具有豐富云服務(wù)的云平臺(tái)，通過(guò)聯(lián)邦目錄將集團(tuán)云平臺(tái)的全部云服務(wù)能力注入到各級(jí)組織的現(xiàn)有云平臺(tái)中，同時(shí)鼓勵(lì)和牽引各級(jí)組織充分使用集團(tuán)云平臺(tái)的服務(wù)能力，從而逐步將各級(jí)組織的業(yè)務(wù)應(yīng)用平滑遷移到集團(tuán)云平臺(tái)之上。

三、聯(lián)邦流程

企業(yè)中各種服務(wù)的申請(qǐng)和使用都離不開(kāi)相應(yīng)的流程，那么對(duì)于申請(qǐng)和使用云聯(lián)邦共享的云服務(wù)更是如此。云服務(wù)的管控流程通常分為三個(gè)部分：事前預(yù)算（云服務(wù)配額）、過(guò)程控制（申請(qǐng)審批）、和事后審計(jì)（云服務(wù)計(jì)量）。對(duì)于云平臺(tái)本地服務(wù)而言，上述流程控制都在本地完成，但是對(duì)于通過(guò)云聯(lián)邦共享引入的云服務(wù)，技術(shù)原理上有所不同。

如上圖所示，部門(mén)一的云平臺(tái)A與部門(mén)二的云平臺(tái)B建立聯(lián)邦關(guān)系，共享云平臺(tái)B的云服務(wù)，那么云平臺(tái)A的用戶在申請(qǐng)?jiān)破脚_(tái)B的聯(lián)邦目錄中共享的云服務(wù)S之前，首先必須由云平臺(tái)B的管理員在云平臺(tái)B配置可被共享的云服務(wù)S的配額，當(dāng)云平臺(tái)A檢查到云服務(wù)S的可用配額大于申請(qǐng)量的時(shí)候，才允許提交申請(qǐng)。提交的申請(qǐng)跟其他云平臺(tái)A的本地云服務(wù)申請(qǐng)一樣，經(jīng)過(guò)在云平臺(tái)A預(yù)配置的申請(qǐng)審批流程，才真正在云平臺(tái)B分配出對(duì)應(yīng)的云資源。那么在使用云服務(wù)S過(guò)程中產(chǎn)生的云服務(wù)計(jì)量數(shù)據(jù)，將被云平臺(tái)B采集并同步到云平臺(tái)A，兩個(gè)云平臺(tái)的管理員均可以查看到共享的云服務(wù)S的計(jì)量統(tǒng)計(jì)數(shù)據(jù)。

聯(lián)邦流程使得在企業(yè)內(nèi)通過(guò)聯(lián)邦共享的云服務(wù)與本地云平臺(tái)上的云服務(wù)一樣受到標(biāo)準(zhǔn)化的云服務(wù)管控流程，滿足在企業(yè)內(nèi)申請(qǐng)和使用云服務(wù)的規(guī)范性要求。

云聯(lián)邦實(shí)踐

通過(guò)華為云平臺(tái)管理系統(tǒng)ManageOne來(lái)建立多朵云的聯(lián)邦，不僅僅實(shí)現(xiàn)了上述聯(lián)邦認(rèn)證、聯(lián)邦目錄、聯(lián)邦流程的關(guān)鍵能力，同時(shí)還在多級(jí)組織管理、一站式云資源運(yùn)維監(jiān)控上有提供了更多的能力。華為云聯(lián)邦技術(shù)不僅適用于企業(yè) 私有云 和公有云的混合管理場(chǎng)景，也適用于大中型企業(yè)分階段建云用云的場(chǎng)景，為企業(yè)和組織提供多云一云的管理體驗(yàn)，為加速企業(yè)數(shù)字化轉(zhuǎn)型鋪平道路。

基于云聯(lián)邦，華為云Stack幫助中國(guó)人壽構(gòu)建了一朵智慧保險(xiǎn)云。通過(guò)使用公有云 彈性公網(wǎng)IP 和CDN，每年節(jié)省約3000萬(wàn)元，降低了70%的網(wǎng)絡(luò)成本。公有云承載活動(dòng)平臺(tái)前端應(yīng)用，彈性擴(kuò)容敏捷快速，滿足6.16客戶節(jié)、雙11、雙12等促銷(xiāo)節(jié)點(diǎn)期間促銷(xiāo)業(yè)務(wù)訴求，保障全年10W+次營(yíng)銷(xiāo)活動(dòng)。非活動(dòng)期間釋放不必要資源，節(jié)省了30%以上IT開(kāi)支。

基于云聯(lián)邦，華為云Stack為某大型制造集團(tuán)多個(gè)云平臺(tái)之間實(shí)現(xiàn)聯(lián)動(dòng)。集團(tuán)總部云部署了豐富的云服務(wù)，且資源有結(jié)余，而分支云僅部署ECS等基礎(chǔ)服務(wù)滿足日常辦公OA訴求。當(dāng)集團(tuán)分支云進(jìn)行業(yè)務(wù)創(chuàng)新，需要使用GPU云主機(jī)、 大數(shù)據(jù) 、AI等能力時(shí)，無(wú)需自建，通過(guò)云聯(lián)邦一鍵借用總部資源即可，避免企業(yè)重復(fù)建設(shè)，減少投資。