云迁移安全：企业整体业务上云策略

云迁移安全（四）：企业整体业务上云策略导语AWS的支持非常强大。但我们在这方面仍是新手，因此，就如何开始我们的数字转型之旅而言，得到指导是至关重要的。每年，我们都会更新我们的战略，AWS的反应非常积极，真正理解了组织的目标，并主动提供相关支持。选择Replatform或Refactor迁移的企业，一般是决定进行变革的企业，希望充分利用云的优势。在AWS的调查中，询问了一些企业，云供应商可以采取哪些手段来提高他们向云迁移的信心。他们确定了几个关键的信心增强因素，以帮助他们减轻对安全的顾虑：静态数据加密是需要解决的首要问题，其次是：报告,审计和安全事件报警的API，以及跨云设置和实施安全策略.52%49%47%报告、审计和

安全事件告瞥API跨云设置和实施

安全策略44%35%34%哽立数据边界 虚拟机瞩窝f保抑图1:客户最关心的安全问题对于企业上云的战略规划，可以借鉴一些优秀的实践，选择适合自身需求和发展的方法，并通过持续实践和改进以达成企业目标。企业在制定战略计划前，可以考虑：安全需要一开始就集成于云环境中，安全应成为加速云使用的助推器；要在各类云部署中创建一致的安全策略，可在工具助力下实现完美部署，并且能够对全部云资产以及其面临的威胁形成统一视图；允许多云环境的平滑部署和轻松扩展，消弭高度受控的安全团队与高度敏捷的研发团队之间的差距；增加对IT和非IT人员的审核与培训；借助本地集成的、数据驱动且基于分析的方法（包括机器学习、人工智能），实现威胁情报的自动化，避免人工出错情况的发生。_.Replatform迁移策略Replatform策略是几乎原封不动地将应用迁移到云上，但会替换一些组件以适应云服务。尽管迁移速度相对较快，但其利用云优势的能力可能会受到限制。企业可以进行一些云上优化，以获得收益，但是不会改变应用程序的核心'架构。使用的场景可能是因为系统已经过时，云提供商不再支持这些系统，所以Replatform是迁移的前提。或者，可能希望从一个商业平台转移到一个开源平台，以进一步增强迁移到云的业务案例。在维护核心应用代码的同时，只更改底层服务，应用的架构不会改变。再或者成熟企业通常会有自己较为结构化的遗留系统，以至于无法转移到IaaS平台上。不更改应用核心，而是通过虚拟机模拟应用，以便遗留系统可以与现代云技术兼容。对于那些在云迁移时无法重组的遗留系统来说，Replatform虽然有时成本过高，但可能会是一个更好的选择。识别易得的收益尝试发现那些在迁移上云之前只需要进行小幅优化的应用。在多数情况下，这涉及从托管的设施切换到托管服务。另一种常见的优化是从商业软件转向开源软件。企业在云上可以自由选择，不必担心每个额外实例的许可成本。测试和监控至关■要尽管这种策略涉及到的修改或组件更换较少，但对于生产网，必须进行通用测试和云上部署，而后进行长期观察。注意性能、基本功能和用户指标——如果转化率或商品结算下降，就可能存在问题。3■驱动Replatform迁移的因素Rehost后，希望更进一步利用云的优势；具备更多云计算技能，可以做更多云上尝试；4、Replatform的收益AWS专家将帮助企业如何用AWS服务替换通用应用组件;从云原生能力中直接获益；减少应用/数据的拷贝。5、 Replatform的风险云计算技能不足，导致选择错误的服务或配置；未进行充分考虑的跟风行为；还不需要进入自动化阶段。6、 Replatform所需工具AWSMigrationHubAWSApplicationDiscoveryServiceAWSServerMigrationServiceAWSDatabaseMigrationServiceApplicationModelling/BlueprintingAWS服务的一家大型媒体公司将其在本地运行的数百台Web服务器迁移到了AWS，并且在这个过程中，它从WebLogic切换成了ApacheTomcat。这家媒体公司迁移到AWS后，除了节省成本和增加灵活性外，还节省了数百万美元的授权费用。通过经验和技能，Replatform不仅是Rehost的自然发展，它还通过在迁移期间采用云服务提供更多的业务收益。但AWSReplatform专家通常不是程序员，他们所能提供的是一种云原生能力，这可能会导致企业应用Refactor（重构）组件。7.成功案例一环球电信环球电信（GlobeTelecom,Inc.）是菲律宾领先的电信服务提供商，拥有超过6500万移动电话和150万家庭宽带客户。创新是公司的核心，公司的使命是成为国内领先的数字生活方式服务提供商。2014年，环球电信首席执行官欧ErnestCu推行了云优先政策。该政策旨在将公司环球电信的IT支出从依赖于持续购买服务器的资本支出模式，转变为易于扩展的运营支出模式。到目前为止，大约60%的新工作负载是放在AWS上运行的的。从专有走向开源作为菲律宾电信市场上仅有的两大运营商之一，环球电信一直在寻求降低成本和改善服务的途径。Oracle在其90%的服务中使用，但事实证明，要想维持竞争地位，目前的成本太高了。IT团队决定采用非专用的数据库。AWS响应了环球电信寻找最适合的开源数据库的需求，提供了迁移建议以及优化这些工作负载的最佳方法。该团队还联系了环球电信的一家独立软件供应商（ISV），以支持该公司脱离Oracle。承诺伙伴合作AWS合作网络(APN)标准技术合作伙伴DANATEQ同意与环球电信在开源方面合作。DANATEQ是一家为企业提供基于人工智能和机器学习分析解决方案的ISV。环球电信使用DANATEQ公司的LINK认知流媒体分析软件作为其中央消息平台。该平台为每个用户建立档案，包括使用模式和账单数据，用于为多个计划发送与活动相关的营销信息。LINK每秒处理120,000事务，这是电信级工作负载的标准，但在其他行业却是繁重的工作量。在谈到环球电信的开源计划时，DANATEQ的销售主管MonicaRaymundo说，“我们必须确保在从Oracle转到AWS的同时，还能保持平台的完整性，同时提供更低的成本。”该项目还将使我们能够为预期的增长提供一个经得起未来考验的平台。截至2018年6月，环球电信的移动用户总数为6510万，比去年同比增长了9%。为何选择AWS环球电信选择PostgreSQL作为项目的开源数据库，它运行在AmazonEC2实例上。在七个月内，电信类工作量全面转移，服务质量没有受到影响。环球电信ISG转型办公室负责人MelissaBanzon表示，“AWS的支持非常强大。但我们在这方面仍是新手，因此，就如何开始我们的数字转型之旅而言，得到指导是至关重要的。每年，我们都会更新我们的战略，AWS的反应非常积极，真正理解了组织的目标，并主动提供相关支持。”在谈到谷歌与AWS最初几天的对比时，Banzon补充道，AWS从一开始就给我们提出了削减成本的建议，这让我们很吃惊。事实证明AWS是真正相信客户至上，并致力于与客户建立长期的战略合作伙伴关系。培训也是环球电信的一个优先事项，目前有四名团队成员获得了AWS解决方案架构师的认证。AWS为环球电信的员工以及供应商合作伙伴提供云技能培训，每个季度都提供专家课程、非正式培训和架构设计与状态审查。与其他基于AWS的应用一样，使用LINK平台，环球电信的许多安全问题都得到了解决。电信企业有一个政策，批准所有在AWS上运行的新应用，因为AWS拥有良好的合规性。这改善了环球电信新服务的上线时间。〃快速扩张对我们来说非常重要，我们的信息安全团队对AWS非常满意，〃Banzon说。“我们已进入开放服务目录的最后阶段，这将使我们更快地提供新产品和新服务。”收益2018年2月完成的LINK开源项目已经产生影响。在生产和开发环境中都释放了20个处理器和40个DBEE核心。Oracle的退出还将在未来三年内节省大约100万美元的授权费——这些资金可以用于新的数字化转型项目。而且性能非常稳定——远超预期40毫秒延迟目标。这一成功将为其他ISV的电信级工作负载迁移的提供最佳实践。今年，AWS和环球电信将与另夕卜三家ISV接触，讨论开源迁移。〃带着像LINK这样的系统告别Oracle给了我们很大信心，让我们相信这是可能的。我们开始与其他ISV进行对话，因为我们希望专注于云上开源和敏捷开发，如果供应商的路线图与之不一致，那么他们可能不会成为我们未来的一部分” Banzon。二、Refactor/Re-architect迁移策略Re-architect策略旨在重新设想应用架构和开发方式，通常使用云原生特性。这通常由增加特性、弹性或性能的强业务需求所驱动，因为在现有环境中很难实现这些需求。该策略要求对应用进行全面检查，以便在云原生环境重新构建应用。对于那些存在提高性能、增加规模或无法在本地实现某些功能的现有业务需求项目来说，它是一种合适的选择，能够为企业提供高效率和灵活性。在某些情况下，重构/重新构建意味着将应用分解为自治服务并转移到微服务体系结构。1,最贵的方法Re-architect是一种迁移策略，它涉及的成本最高、投入和风险也最大。但实际上，许多应用最终都要为云进行重构，不管是在迁移之前还是之后。例如企业是否希望从单片架构迁移到面向服务（或无服务器）架构，以增强敏捷性或改善业务连续性？这种模式往往很昂贵，但是，如果企业有很好的产品市场适合，这也可能是企业获得最大收益的选择。2,临界点Re-architect策略不是二元决策，它更多的是何时的问题一一在什么时间会达到一个临界点，即云原生特性（收益）将超过重构项目所带来的投入和阻碍。这里存在一^风险：如果通过Rehost或Replatform方式迁移企业原本想Re-architect迁移的应用，那么Re-architect选项将不再存在，应用现代化（与新兴技术或云原生优势融合）可能永远再无可能。3,驱动Re-architect迁移的因素Re-architect由强大的业务需求驱动（这些业务需要通过利用云来增加特性、弹性/性能——在现有的非云环境中很难实现这些优势。也就是说，旧的方法不能解决问题，如果你坚持旧的方法，你的业务在面对敏捷性能竞争时将面临在市场上生存的威胁）；Re-architect也许会成为最有效的云模型（应用借助云原生特性，利用持续的云创新，从降低成本、改进操作、弹性和安全性中获益）。4、Re-architect的收益（所有好处都将在未来实』长期成本优化/降低；增加弹性；快速业务事件响应；借助AWS的云上创新。5、Re-architect的风险应用的强云原生性，使得它与云密不可分；需要有丰富且高级应用、自动化和AWS技能经验，并非所有企业有适合；从非云应用切换到云原生应用十分复杂，迁移时间过长；相当于重新设计开发应用，这就意味着更容易出错。每一个错误都可能导致延迟、成本增加和潜在的业务中断。很少有迁移计划会选择Re-architect策略，这就好比是太阳系外环行星旅行。只有具备充足资源、技术和导航的人才能造访该星球。Re-architect最关键的是这么做的理由和自身能力，其通常只适用于大型、小众和技术驱动的公司。例如，Uber、Twitter、Facebook彻底重写了他们的应用。如果企业从未进行过云迁移，那么Re-architect绝对不是首选，因为它需要深入的应用和云技能。对于一个没有经验的团队来说，一夜之间将一个独立的Web应用改为微服务和功能即服务并非明智之举。这不仅困难重重，而且云原生模式的操作工具和流程与“传统”应用完全不同，日后运维也将是一项挑战。如果企业非要尝试Re-architect方法，那么可以试试寻找像Cloudsoft这样的合作伙伴，其拥有深入应用、自动化和AWS技能的员工，可以以合作伙伴方式为企业提供托管服务。Re-architect最好的方法之一是随着时间的推移迭代地进行，重新分步构建应用，并使用收集的数据检查进程，而非一蹴而就。6.成功案例 国泰航空国泰航空(CathayPacific)是一家在香港注册总部位于香港的国际航空公司。它为49个国家和地区的近200个目的地提供定期的客运和货运服务。该公司运营146架飞机，并订购了最新的空客A350-900、A350-1000和波音777-9X飞机。国泰航空及其子公司国泰港龙在香港雇用约18500名员工，是香港的一家大型企业。现在网上机票预订已经成为主要方式。自2014年以来，超过90%的旅客在网站购买机票。鉴于这一统计数据，航空公司网站和预订引擎的性能至关重要。国泰航空IT解决方案总经理LawrenceFong认为："如果其中任何一个环节出现问题，客户就无法购买机票，而且势必会影响收入。”实际上，受影响的不仅仅是收入，还有公司的声誉。国泰航空是一个伟大的品牌，要确保客户在他们旅途的每个阶段都有很好的体验，这也包括在线服务使用体验。为国泰航空公司网站和预订引擎提供更高的性能是一项挑战。公司过分依赖手动流程来进行网站改进。这就减缓了创新的步伐。由于网站和预订引擎由物理基础设施提供支持，因此公司如果想要刷新和扩展平台，就会面临上市时间的问题。“我们不得不过度配置该平台，以确保我们能够支持越来越多的在线客户。" Fong国泰航空计划重组其网站和预订引擎基础设施。希望通过使用专为云设计的容器化软件RedHatOpenShift来实现基础设施、应用部署和自动化扩展。在这一点上，Fong将AWS视为可能的云服务提供商。国泰航空使用AWS启动了为期三个月的POC，创建了多个模拟环境来运行云原生工具集。在这期间，团队发现RedHatOpenShift在AWS云上表现良好，并且AWS提供了敏捷的开发环境。而且，AWS的每一层都内置了安全性，这让公司十分放心。继POC之后，国泰航空将其网站应用程序重构于AmazonEC2实例上运行的RedHatOpenShift平台。位于AmazonVPC内部的网站使用AmazonRDS来存储应用数据和来自网站应用的事务处理数据。公司还利用AmazonElastiCache提供内存数据缓存来提高Web应用性能，并利用AmazonS3来存储站点静态图像。8,优势如今，国泰航空在线服务性能再无后顾之忧。自从迁移到AWS以来，企业客户体验到Web应用性能的提高。期间，系统没有发生过任何停机，并且重构的Web应用具有100%的可