作者：李俊武 华为云Stack资深架构师，申思  华为云Stack基础服务首席架构师

管理区解耦介绍

类似公有云架构理念，主打政企客户本地部署的华为云Stack保持和华为公有云同架构，包括Region、AZ、主机组等相关区域概念也基本一致。从云平台相关组件/云服务作用域划分来看，通常业界也会将组件/云服务部署位置分为Global作用域和Region作用域，Global组件/服务就是属于云的管理区。

• Global组件/服务：作用在各Region的，比如云管、认证鉴权的IAM服务、跨Region的管理面容灾或业务面的CSDR、跨Region的网络互通CC服务（Cloud Connect）等，在实际使用中面向一朵云下的多个Region

• Region作用域：Region级的服务则是通常作用在Region内部，比如Region1的ECS服务可以给Region1发放虚拟机，但它无法发放另一个Region2的虚拟机，类似的还有EVS块存储、VPC、EIP、VPN服务等。

这里有两个服务比较特殊，可能和读者理解的不太一致，需要澄清一下。1）VPC-Peering打通的是一个Region内两个VPC的网络互通，所以和CC不同，也定位为Region级云服务；2）ELB云服务虽然可以添加该Region外的IP地址作为后端，但是ELB所能看到的也是该Region内部的对象和该Region可互通的对象，所以也是Region级的云服务；

华为云Stack的管理区解耦，提供了一个轻敏的底座来部署我们的Global组件和服务，这样形成一个特定部署区域，我们称之为独立Global区，并且可以部署两个独立Global区来实现Global组件/服务的管理面的容灾能力。

原来的部署架构是将Global组件/服务选择某个业务Region进行部署，作为首Region；再选择一个作为备Region，以此来实现Global组件/服务的容灾；其余业务称为从Region。现在，通过华为云Stack的自动化部署实现了管理区解耦区部署，这样就可以扩容和变更相关的业务Region，也能在管理多版Region时相互独立变更和操作。第一个Global区是首Region；第二个Global区是备Region，来实现Global组件/服务的容灾；其余业务Region都是从Region。也就是说，和整体主备主从的架构理念是一致的。

图1 开启容灾的管理区解耦设计

这就好比在一些地区供电，从前每家每户有自己的发电机，A家庭进行了扩建，也要同时对发电机进行更新升级；A家庭的发电机损坏了，B家庭为A家庭继续供电会浪费时间和经历。但现在使用统一电网，即管理区解耦，同时还有一个备用电网，如果电网损坏，会有备用电网立刻补上，减少时间损耗；同时，每个家庭进行扩建都很方便。

管理区解耦的优势也很明显：

1. 整体更轻敏：对于部署/升级/后续变更操作都耗时比较少，演进方便；

2. 管理面高可用：如上所述，独立global区具有管理面容灾能力，具有好的高可用性；

3. 版本迭代更方便：独立Global区可以管理大量不同版本的Region，通常遵循N-2原则；Region可以各自独立扩容、升级和变更，无需其他业务Region配合，从而实现各个业务Region间的变更解耦。

4. 部署更灵活：独立Global区可以在独立的数据中心，无需和所管辖Region共DC部署

管理区解耦典型使用场景

管理区解耦部署这个架构，可以帮助政企客户解决一些常年累月积累的顽疾。

一、存量演进

软件的整体架构会随着支持的云服务种类的增多、计算节点的增加规模越来越大，这时，就需要对软件进行架构优化。架构优化会对产品带来巨大的收益，但是可能出现的代价之一，是会让原来架构的存量Region升级更复杂、甚至无法升级，这就要导致不同架构的Region需要在一朵云下进行统一管理。为了解决不同架构的Region并存的问题，基于管理区解耦，可以实现平滑演进和扩容新架构Region。

图2 存量演进场景

在存量演进场景下，除自动化部署工具外，还提供了Global组件/服务的自动化搬迁工具能力，除同类型CPU的搬迁能力外，还实现了跨CPU类型的数据搬迁能力。可以实现原存量合布Region是X86的管理节点，将Global组件/服务的数据，搬迁到ARM CPU管理节点的独立Global区上，反之从ARM到X86可以同样支持。

二、 多云合一

在政企客户中，基于公司合并、组织调整、人事变动等情况，客户会要求将存量的多朵HCS合并成一个HCS，以便实现一朵云管理。相比原来提供的云联邦，基于管理区解耦提供了多云合一能力，能够更匹配客户一朵云的管理诉求，来实现客户的统一管理能力。

图3 多云合一场景

首先创建一个新的独立的Global区，将需要合并的云的Global管理区，逐一合入到新建的Global区即可；这里的数据合并类似上述存量演进的Global组件/服务的数据搬迁，我们也提供了工具自动化能力；这样，通过工具自动化能力，可以将任意所需的多朵云逐步合并为一朵云。

三、集权管理

在政企客户通常会有组织总部和分支的划分，总部进行决策和整体操盘控制，不部署业务，分支使用云资源，进行该地域的业务经营。通常，总部为了控制采购、划分组织模型、统筹资源等原因，会构建全局一朵云，分支的认证鉴权要到总部去申请。在我们管理区解耦架构下，通过创建没有任何资源池和租户云服务能力的独立Global区，进行客户云管/IAM的部署和控制，分支可独立负责并申请扩容Region资源池，总部来进行审计和审批。这样可以满足总部和分支对云平台各司其职的协作关系。

图4 集权管理场景

除此之外，Global还可以管理分部不同版本的Region资源池，从而来实现前面说的，不同分支间操作仅需要被总部感知，其他业务Region相互间变更不影响，有效降低了不同分部间流程审批的时间、提高效率。

四、 跨池搬迁

在Region内，为支持滚动升级，VM提供了热迁移或跨AZ的迁移能力；而在一朵云下的多个Region资源池，由于客户数据中心租赁到期、客户存量资源池扩容空间不够等原因，很多客户都有将Region内的VM和存储数据搬迁到另一个Region上的诉求。我们在管理区解耦下的搬迁能力，可以先复用存量数据，将Global组件/服务数据搬迁到Global独立区上，然后再扩容新的业务Region（可以是新架构的业务Region），实现跨Region甚至不同架构的搬迁能力。

图5 跨池搬迁场景

在管理区解耦下进行跨池搬迁，可以继承原来客户已有的账户/口令、组织模型和相关数据，最大程度减少搬迁前后的客户重建操作和使用差异感知。

总结

华为云Stack已经在某股份制商业银行部署，通过管理区解耦，实现集权管理；在某保险机构通过该方案完成存量演进，保护客户已有投资；在某国有大行，实现集权管理和多region解耦独立升级。事实证明，将HCS的Global管理区独立部署，可以有效解决客户对于存量演进、多云合一、集权管理、跨池搬迁等诉求，这个架构，政企客户用了都说好！