2016年3月26日,由企業(yè)網(wǎng)D1Net舉辦的2016互聯(lián)網(wǎng)CTO/CIO大數(shù)據(jù)沙龍在北京隆重舉行,大數(shù)據(jù)行業(yè)的大咖云集,干貨紛呈,圍繞大數(shù)據(jù)的落地應用,CTO/CIO碰撞思想和觀點,從互聯(lián)網(wǎng)企業(yè)到運營商,再到政府,它們的大數(shù)據(jù)實踐經(jīng)驗和教訓在這里匯聚。
主持人:Citrix在互聯(lián)網(wǎng)領(lǐng)域有很多方案,下面Citrix大中華區(qū)技術(shù)總監(jiān)宋燁將為我們帶來面向互聯(lián)網(wǎng)時代的應用交付架構(gòu),掌聲歡迎!
Citrix大中華區(qū)技術(shù)總監(jiān) 宋燁
宋燁:大家下午好,非常高興有機會跟大家分享Citrix公司的信息。接到這個任務的時候我非常緊張,我知道這是面向互聯(lián)網(wǎng)公司的一個沙龍。為什么會緊張呢?一年前我去跟一個獵頭聊天,他說,像你這樣在職業(yè)生涯中屬于老頭子類型的人只適合在傳統(tǒng)公司待著,不適合去互聯(lián)網(wǎng)公司。當然,特別有意思,中間我還特別不信邪,離開一段時間Citrix,今年年初又回到這家公司了,也是比較有意思的一件事。其實Citrix這個平臺,提供的產(chǎn)品服務于各種行業(yè),我們有很多客戶是在互聯(lián)網(wǎng)行業(yè)。所以,我想非常簡單,我只要把我們在做的事情向各位匯報清楚,就可以很好地完成任務。
今天我準備的題目叫做“面向互聯(lián)網(wǎng)時代的應用交付架構(gòu)”。直接切入主題,因為我們不引領(lǐng)潮流,只是希望在大潮之下為大家提供一些服務。我們把整個企業(yè)的應用分成兩個大的方向,一個是企業(yè)傳統(tǒng)的應用。目標是給員工和合作伙伴幫助,這是一個受控的應用?,F(xiàn)在所有大型企業(yè)都在面向向互聯(lián)網(wǎng)的轉(zhuǎn)型,比如說像蘇寧也開電商,開網(wǎng)商,其實也越來越多地面向用戶和產(chǎn)品。我們說面向的可能還有產(chǎn)品,因為我們現(xiàn)在是一個互聯(lián)網(wǎng)的狀態(tài),也就是企業(yè)是IT型的,最終可能就是一個冰箱,或者一個電飯鍋,所有這些東西都是通過應用,投入中間的網(wǎng)絡和我們數(shù)據(jù)中心的后臺建立連接。
那么,Citrix在這樣一個大的架構(gòu)之下,希望非常好地服務于這兩個方向。首先,看一下業(yè)務交付,我們要追求的目標是什么?第一,要讓整個環(huán)節(jié)非常安全。其次,現(xiàn)在95后的員工他有什么樣的習慣,其實很多都是未來對靈活訪問的要求越來越高。對于企業(yè)而言,你的管理不能太復雜,剛才也聽到,要把復雜的東西簡單化,簡單的都是標準化,標準的東西自動化。其實都在追求這樣一個目標。當然,所有的東西都不能脫離降低成本,這是我們從企業(yè)內(nèi)部應用角度來說要追求的目標。
那么,Citrix怎么做的呢?其實這個東西原理很簡單,就是我們所謂的虛擬化技術(shù),利用應用和桌面虛擬化技術(shù)把應用做一個云化的概念,當然這已經(jīng)不是什么新的東西了,原理很簡單。原來傳統(tǒng)PC幾十年都是這樣的方式,應用數(shù)據(jù)裝在本地,剛才嘉賓也提到我們要做大數(shù)據(jù),整個將它放到數(shù)據(jù)中心去。未來所有的應用數(shù)據(jù)都在數(shù)據(jù)中心,Citrix的一個產(chǎn)品就是利用所謂應用和桌面虛擬化的技術(shù)把它集中到數(shù)據(jù)中心以后的這些數(shù)據(jù),我們可以看到在這個過程中,我們叫把這個大的PC淘汰掉了,但是筆記本電腦還在。但是,往前推的時候,就推送到各種各樣的異構(gòu)的像這種移動設備,如蘋果的設備上。有這個方式去把它整個的變成一個,其實說白了技術(shù)很簡單,它這兒只是我們中間一個協(xié)議,它用鍵盤或者觸屏的指令發(fā)回去,人民那邊把屏幕的變化發(fā)回來,原理很簡單,技術(shù)很簡單。其實很有效的可以實現(xiàn)剛才追求的四個目標。第一,利用這個方式可以做到提升企業(yè)所有的數(shù)據(jù)安全,因為是一個虛擬化技術(shù),所以所有數(shù)據(jù)都在數(shù)據(jù)中心,回來的東西就是主要的控制指令,沒有真實的數(shù)據(jù)在往里傳輸。
舉個例子,我們有一個客戶是杭州做手游的公司,它的規(guī)模很小,只有30來個人,他發(fā)現(xiàn)研發(fā)人員會接私活兒,他非常認真在那兒敲鍵盤,可是不出活,后來公司去觀察,為什么都認認真真做事情,可是沒有結(jié)果出來。后來發(fā)現(xiàn)在網(wǎng)上有很多開發(fā)需求,這個模塊的開發(fā)費用多少錢,他把活接了,就在上班的時候做,雖然他很認認真真寫代碼,但是不是給老板寫代碼。后來他用這個技術(shù),把所有的代碼圈到數(shù)據(jù)中心,也就是你在本地沒有任何數(shù)據(jù)落地,用這個方式很好地提高了整個研發(fā)效率。這個私活的現(xiàn)象就少了很多。當然,現(xiàn)在在我們的客戶里面,最大的研發(fā)環(huán)境部署規(guī)模已經(jīng)超過十萬多人,也就是這個公司有十萬個研發(fā)人員,桌面都是在虛擬化的環(huán)境工作的。當然,和安全有關(guān)的故事還特別多,我就不再多說了,這個方式可以很有效的提升安全。甚至有一個大連的客戶是專門對日本的軟件外包,他跟我們說,我用自建的方式打包,跟日本客戶說,我用虛擬化的方式研發(fā),類似這樣的一些需求。
第二,靈活訪問。的確現(xiàn)在設備非常多,我們利用這個技術(shù)把傳統(tǒng)的Windows挪到數(shù)據(jù)中心,把它的界面推送到前端各種各樣的設備上。但是,這個看上去很美,我們希望讓用戶在任何時間、任何地點、任何設備都可以工作,而且從企業(yè)角度來說,移動化也是一個非常重要的發(fā)展方向。但是在這個過程中我們發(fā)現(xiàn)還是走了一些彎路。因為最早我們希望這種方式可以針對所有的,可能幾年以前Pad出來的時候也非常高調(diào),說未來沒有PC了。但是,我們發(fā)現(xiàn)幾年下來這是一個笑話,現(xiàn)在PC還活的好好的,而且我聽說今年P(guān)C的出貨量要有所增加。
所以,這個過程其實我們看到,我們也做了很多移動辦公的客戶,但是他們其實很多的情況下,特別有意思的是真正喜歡移動辦公的是,比如我們有一個客戶,他是全國連鎖的食品蛋糕店的老大,是一個臺灣的老先生,70多歲了,他原來用PC,每天只能回到家看今天的銷量怎么樣,這個特別不方便,而且他用的ERP軟件不穩(wěn)定。他也用這種方式,把界面推送到老先生的移動設備上,這個老先生感覺非常方便,現(xiàn)在可以隨時看到各個門店的銷售情況,而且可以放大。所以,這種方式客戶還是比較多的。
但是,在這樣一個場景之下,我們可以看到他對信息的需求是發(fā)送,也就是說,去獲取信息,而沒有返回,不是一個交互式的過程。如果說真的交互式,其實我個人認為,鍵盤、鼠標,因為它非常準確,可能在未來多少年內(nèi)我們找不到一個更好的方法可以取代它,當然這個是我個人的一個觀點。因為眼睛和手的結(jié)合是人類輸入信息最主要的手段,語音、腦電波。
我們有的客戶做了這樣的事,每周有一天時間在咖啡廳辦公,這是創(chuàng)業(yè)人坐的咖啡廳,里面都是充滿熱情的年輕人,他們希望在那個地方做一些工作,老板說好,每周允許有一天時間,大家各自帶著各自的筆記本到這種地方工作。但是,企業(yè)應用系統(tǒng)他們也發(fā)了一條微信,你只要能有網(wǎng)絡,就可以訪問你在數(shù)據(jù)中心的業(yè)務,這也是業(yè)務場景。
第三,簡化管理,我們要把復雜的事情簡單化,PC是非常復雜的東西。在這兒原理很簡單,出去的東西反正你只要前端是一個設備,可接收就行了。所以,全部發(fā)到數(shù)據(jù)中心,相當于是把一個管理從前端復雜的終端設備移到數(shù)據(jù)中心去,在這個過程中,它就實現(xiàn)了非常好的標準化。我們也在給很多用戶做標準化。我們曾經(jīng)做過一個呼叫中心,銀行的信用卡中心,大家都接到過他們的電話,說你是我們的優(yōu)質(zhì)客戶。他在這個過程中通過這種方式把整個所有的職場里面的PC全部收掉,換成了剛才照片里面的一個小盒子,這個盒子不會壞,因為它沒有影片,也沒有用風扇散熱的CPU,所以很小,散熱也很低,當然我去參觀過,這種環(huán)境很差,他們上班的位置跟開會的位置差不多,本身人在散熱,機器在散熱,我們幫它做了改進之后,當時我們看的時候3000個人,CIO說基本上只有一兩個人在管理,因為現(xiàn)場是沒有人管理的,后臺做了大量的標準化工作,也讓他保證管理盡量簡單。
第四,節(jié)省成本,在這個架構(gòu)之下,其實成本是非常復雜的話題,真正說能夠節(jié)省成本,都不是綠色的,而是用了三年,或者五年。我們有一個客戶,剛才我們說它研發(fā)特別多,有非常多的研發(fā),其實他說這種方案除了能看到的,或者不買PC了,節(jié)省電費,可能軟件少一些,類似這些需求之外,還有很多無形的成本節(jié)省。比如他提到,研發(fā)人員有好幾個大的屏幕,有的是橫著放,有的是豎著放,每天早晨上班的時候大概花兩三分鐘的時間把他的習慣調(diào)出來,也就是這個窗口要放在這里,結(jié)果要放在這里,然后大小大概調(diào)一下,每天要做。為什么你說放那兒別動就行了,不行,因為PC不能讓它過夜。你只能每天早上起來,他要花兩到三分鐘的時間開PC準備,但是這個時間點對他而言是最清醒的。所以,他們覺得這其實是很浪費錢的一個狀態(tài)。于是,后來改成這種方式,每個人一點登錄,昨天的環(huán)境全部出來了,每人每天節(jié)省3分鐘,如果十萬人,這是多大的一筆收入。
當然,整個這種所謂虛擬化的手段在我們企業(yè)IT里面有特別多的一些場景。我在這兒列的只是金融的客戶,場景也很復雜,比如呼叫中心、研發(fā)、BYOD、移動平臺等等,不多說了。這種方式本身是原理很簡單,但是真正要實現(xiàn)其實并不是那么容易。剛才主持人提到Citrix還是比較有名氣的,其實我覺得最得益于還是我們真正了解該怎么做這種虛擬化的改造。在我們的客戶里面,國內(nèi)我們現(xiàn)在有十多家客戶部署了超過一萬個點的,上千點的客戶都已經(jīng)過了六七百家,我們真正能夠把這個方案落地,因為我們太了解PC,太了解桌面。很多人說,Citrix本質(zhì)是一家什么樣的公司,因為我們對微軟的架構(gòu)非常了解,所以才能把架構(gòu)做得非常穩(wěn)定,當然我們也不否定有一些項目做得不太成功。任何一個板如果斷,效果也不會太好。真正我們做完把企業(yè)的IT分成四個大的環(huán)節(jié),這個是終端設備,這是中間的接入控制,對外有端口,這邊相當于訪問和控制層,身份驗證,一些端點控制,再后面是應用,然后到后臺。
說完對企業(yè)內(nèi)部的應用要求,接下來看一下企業(yè)外部對應用的要求,其實我們認為跟企業(yè)內(nèi)部的應用稍微有點不一樣,在這個場景里面,最重要的是用戶的體驗,現(xiàn)在做任何一個細分事情都有太多的人參與。其次,安全防護,我們看到現(xiàn)在各種各樣的中心,某一個網(wǎng)站又把所有用戶賬戶泄露出來了,有很多類似這樣一些新的報道,訪問可靠。什么是不可靠呢?舉個例子,我本人比較喜歡跑馬拉松,馬拉松的報名網(wǎng)站就是典型的不可靠,總是說哪一天十點鐘開始報名,結(jié)果你刷一下午,都刷不出那個框。還有什么不可靠呢?鐵路購票。再有就是我們要追求低成本。在這個過程中,當然應用不像企業(yè)內(nèi)部應用這么復雜,各種各樣的架構(gòu),通常都是基于互聯(lián)網(wǎng)的這些技術(shù)在做。當然,優(yōu)化用戶體驗,首先是最核心的要求,這邊我們可以看到,如果你的效率降低20%,可能會造成非常大的損失。
在這個過程中,我們隨便舉個說法,好比一個網(wǎng)站,最簡單先登錄,登錄完了查詢,查詢完了下單。在這個里面我們要說一下,有一個是我們的請求交換,叫Content Switch,這是一個硬件設備,能夠把用戶的CRM進行仔細分析,然后把你所有下單的訪問請求定向到你指定的服務器。就算下單有點慢,但是所有的過程是重點保障的,可以根據(jù)服務請求分配資源。在一個固定的投入成本之下,我們把每一分錢用在刀刃上,對于網(wǎng)站而言最重要的就是下單。所以我們利用這樣的技術(shù)把所有下單的請求獨立到幾個固定的服務器上,而其他的查詢圖片刷的慢一點,但是不會掉任何一個下單的訪問請求,這是第一個,我們叫做內(nèi)容交換。這個過程不需要對應用做任何修改,我會智能判斷你的URL到底訪問什么服務類,這就是我們所謂的在應用層做的。
同時,我們知道今天技術(shù)的變遷也是在尋找各種各樣的優(yōu)化方案,很多人也在提所謂新的HTTP2.0或者這樣的一些技術(shù)。當然,在這個過程中的確也是這樣,HTTP發(fā)明時間比較久了,和今天的網(wǎng)絡,和今天的內(nèi)容可能都不是太搭。所以,這個里面有一個新協(xié)議叫SPDY,是Google發(fā)明的。當然很遺憾在國內(nèi)不太好訪問,說Google在Chrome上更快,原因是支持SPDY協(xié)議。我們這個平臺可以做非??焖俚腟PDY支持,你對后臺的應用不需要做任何修改。在這個過程中,其實你對應用也不需要做太多修改,這些支持SPDY瀏覽器的東西訪問過來,當然還有一些支持傳統(tǒng)的只能支持SPDY的過來,所以這塊上面我們會對移動應用,對新的互聯(lián)網(wǎng)應用做一些改造。
提升用戶體驗第三個改進方法就是全局負載均衡。我們曾經(jīng)給一個非常有名的快餐公司,這個快餐公司曾經(jīng)有一周時間,他覺得它的網(wǎng)頁有些地方用戶反饋說,它的速度比競爭對手大概慢一兩秒。他就很緊張,他專門為了這個東西去經(jīng)常開會,去抓包,看到底什么原因。后來我們幫他分析,說白了就是一些訪問的指向問題。比如我是聯(lián)通用戶,我是甘肅聯(lián)通用戶,結(jié)果他把我指向了上海電信一家服務器,速度肯定就很慢。后來我們抓了它很多新用戶的行為以后,幫他配置GSLB全局負載均衡,目標就是他人在這兒登這臺服務器,當然這個過程有復雜的學習過程,還有一些設備需要配置,最終目標,當然通過這個配置好以后,完全解決不會發(fā)生甘肅聯(lián)通用戶訪問到上海電信的服務器,不會發(fā)生這種事情了。
這里面第二塊互聯(lián)網(wǎng)應用就是安全防護。當然,尤其是網(wǎng)站,一旦放入互聯(lián)網(wǎng)會有非常多的攻擊。SSL,這個是必須要有的一個東西,在它的過程當中,只要是交易型網(wǎng)站,一定是SSL的方式,當然SSL本身也面臨非常多的攻擊。我們經(jīng)??吹骄W(wǎng)上寫又有一個新的SSL的漏洞,特別有意思,我們在這個領(lǐng)域的競爭對手基本上每一次都會中,在行業(yè)里面唯一沒有中過SSL的人就是我們,因為我們底層并沒有over SSL的技術(shù),我們用自己的技術(shù)。別人如果中了怎么辦?也不用太擔心,打補丁。其實這不應該像Windows系統(tǒng)一樣經(jīng)常打補丁,這不是一個好的選擇。
從安全角度,有太多的網(wǎng)絡里面有各種各樣的攻擊,其實Citrix我們在處理的時候,或者利用這個設備把惡意用戶抓出來。怎么抓呢?我說一個最簡單的場景,非常多,各種各樣的一些東西,最簡單的場景是,我們可以根據(jù)客戶端請求速率限制,我們對訪問者,人在點這個概念,大概他要點多少時間,根據(jù)這個東西學習以后設你的策略,目標就是把攻擊的人,把機器人全部抓出來。通常其實就是所謂的頁面?zhèn)鬏斔俾实姆绞浇鉀Q。比如通過對用戶行為的學習,如果說你的查詢速率超過30秒鐘兩次,這時候把你定向到一個重新指定的網(wǎng)頁上。這樣其實說白了就是把黑客、攻擊的行為,一些惡意拆東西的行為全都屏蔽掉,這也是一個手段。我在這兒說的還是其中一小部分,包括像DDoS攻擊,SSL的漏洞問題。當然,從企業(yè)角度來說,WAF攻擊也是一個特別常見的場景,我們利用WAF做一個應用層的防火墻,利用它可以把這個網(wǎng)站,我們所謂的這個東西,就是對你原來網(wǎng)站不需要做太多更改。如果你從代碼角度來說,你可以做很多校驗防止這件事情,但是你有這個設備,只要讓他學會,整個表單里面,這兒應該是什么,那兒應該是什么,他學會了,下一次就應該出不同的內(nèi)容。這是安全。
訪問可靠,不能把用戶的行為丟掉,像剛才說的馬拉松報名網(wǎng)站,雙11的促銷,這個現(xiàn)象發(fā)生的還是比較多,平時可能沒有幾個人訪問,突然之間訪問量特別多,怎么辦呢?這也是Citrix獨有的一個技術(shù),叫連接復用/浪涌保護。就是所有的數(shù)據(jù)非常多,如果沒有設備在,只是到了服務器,這時候所有的連接都會壓在服務器上面。Citrix在中間擺這樣一個設備,首先從我的設備到后臺服務器之間是建立連接的,所有對外的用戶連接都是由我的設備來承擔。所以在這兒有一個數(shù)據(jù),在用戶端可能80萬的連接,但是到服務器端可能只有5000個連接,因為我知道你的連接里面訪問內(nèi)容是什么?這叫內(nèi)容交換,由此使整個后臺服務器壓力變得很小。而且可以先把請求發(fā)到對面,讓使用者不感到服務中斷,因此保護后臺的這個平臺。最后用戶體驗感覺可能比較慢,但是他是在接收的。當然,用我們這個方案的客戶的確也特別多,都是我們的客戶。
節(jié)省成本。節(jié)省成本,其實說實話,最典型的一個案例就是SSL加速,原來由服務器做,服務器的壓力太大了?,F(xiàn)在把SSL剪掉了,從我的設備到服務器之間,就是HTTP的格式,或者從我的設備出去到你的終端就是HTTPS,在整個行業(yè)里面,做過SSL加速效率最高的就是我們SSL這個產(chǎn)品。還有包括像靜態(tài)內(nèi)容的緩存,比如圖片,根本不需要放太多圖片服務器,可以把圖片放在我的服務器上,由我對外服務。因為現(xiàn)在SSL的要求越來越高,所以我們對2048的SSL也提供更好的支持。所以,像這些所有交易的網(wǎng)站基本上都用我們的方式在鋪SSL。
這個設備本身嚴格來說是一個叫ADC的產(chǎn)品,傳統(tǒng)方式我們在網(wǎng)絡里面真正的用戶要訪問你的數(shù)據(jù),可能要經(jīng)過這么多不同的環(huán)節(jié),有鏈路的負載均衡、服務器負載均衡,還有SSL的卸載,這邊還有WAF的保護、應用防火墻、VPE、全局負載均衡。到中間也需要服務器平衡,到后臺有數(shù)據(jù)庫的全局服務。為什么說Only One,因為有專門做服務器,做VPN的,但是NetScaler是Only One,通過這個設備所有環(huán)節(jié)都可以實現(xiàn)。這是我們從研發(fā)角度來說也是一個比較厲害的東西,我們最新的一個東西叫CPX,是兼容容器技術(shù)。整個這個東西也是在行業(yè)里面有大量的使用場景。其實剛才我主要跟大家匯報的就是Citrix兩個比較重要的產(chǎn)品。一個是虛擬化解決方案,還有ADC的解決方案。其實很多人對我們虛擬化比較了解,但是對ADC不太知道,我們都認為Citrix ADC比虛擬化還要好,也就是NetScaler這個產(chǎn)品更好一點。
我們這個公司20多歲了,不是新人了,在IT界是一個老公司了,而且我們做的技術(shù)也比較領(lǐng)先。謝謝大家!