2016年3月26日,由企业网D1Net举办的2016互联网CTO/CIO大数据沙龙在北京隆重举行,大数据行业的大咖云集,干货纷呈,围绕大数据的落地应用,CTO/CIO碰撞思想和观点,从互联网企业到运营商,再到政府,它们的大数据实践经验和教训在这里汇聚。
主持人:Citrix在互联网领域有很多方案,下面Citrix大中华区技术总监宋烨将为我们带来面向互联网时代的应用交付架构,掌声欢迎!
Citrix大中华区技术总监 宋烨
宋烨:大家下午好,非常高兴有机会跟大家分享Citrix公司的信息。接到这个任务的时候我非常紧张,我知道这是面向互联网公司的一个沙龙。为什么会紧张呢?一年前我去跟一个猎头聊天,他说,像你这样在职业生涯中属于老头子类型的人只适合在传统公司待着,不适合去互联网公司。当然,特别有意思,中间我还特别不信邪,离开一段时间Citrix,今年年初又回到这家公司了,也是比较有意思的一件事。其实Citrix这个平台,提供的产品服务于各种行业,我们有很多客户是在互联网行业。所以,我想非常简单,我只要把我们在做的事情向各位汇报清楚,就可以很好地完成任务。
今天我准备的题目叫做“面向互联网时代的应用交付架构”。直接切入主题,因为我们不引领潮流,只是希望在大潮之下为大家提供一些服务。我们把整个企业的应用分成两个大的方向,一个是企业传统的应用。目标是给员工和合作伙伴帮助,这是一个受控的应用。现在所有大型企业都在面向向互联网的转型,比如说像苏宁也开电商,开网商,其实也越来越多地面向用户和产品。我们说面向的可能还有产品,因为我们现在是一个互联网的状态,也就是企业是IT型的,最终可能就是一个冰箱,或者一个电饭锅,所有这些东西都是通过应用,投入中间的网络和我们数据中心的后台建立连接。
那么,Citrix在这样一个大的架构之下,希望非常好地服务于这两个方向。首先,看一下业务交付,我们要追求的目标是什么?第一,要让整个环节非常安全。其次,现在95后的员工他有什么样的习惯,其实很多都是未来对灵活访问的要求越来越高。对于企业而言,你的管理不能太复杂,刚才也听到,要把复杂的东西简单化,简单的都是标准化,标准的东西自动化。其实都在追求这样一个目标。当然,所有的东西都不能脱离降低成本,这是我们从企业内部应用角度来说要追求的目标。
那么,Citrix怎么做的呢?其实这个东西原理很简单,就是我们所谓的虚拟化技术,利用应用和桌面虚拟化技术把应用做一个云化的概念,当然这已经不是什么新的东西了,原理很简单。原来传统PC几十年都是这样的方式,应用数据装在本地,刚才嘉宾也提到我们要做大数据,整个将它放到数据中心去。未来所有的应用数据都在数据中心,Citrix的一个产品就是利用所谓应用和桌面虚拟化的技术把它集中到数据中心以后的这些数据,我们可以看到在这个过程中,我们叫把这个大的PC淘汰掉了,但是笔记本电脑还在。但是,往前推的时候,就推送到各种各样的异构的像这种移动设备,如苹果的设备上。有这个方式去把它整个的变成一个,其实说白了技术很简单,它这儿只是我们中间一个协议,它用键盘或者触屏的指令发回去,人民那边把屏幕的变化发回来,原理很简单,技术很简单。其实很有效的可以实现刚才追求的四个目标。第一,利用这个方式可以做到提升企业所有的数据安全,因为是一个虚拟化技术,所以所有数据都在数据中心,回来的东西就是主要的控制指令,没有真实的数据在往里传输。
举个例子,我们有一个客户是杭州做手游的公司,它的规模很小,只有30来个人,他发现研发人员会接私活儿,他非常认真在那儿敲键盘,可是不出活,后来公司去观察,为什么都认认真真做事情,可是没有结果出来。后来发现在网上有很多开发需求,这个模块的开发费用多少钱,他把活接了,就在上班的时候做,虽然他很认认真真写代码,但是不是给老板写代码。后来他用这个技术,把所有的代码圈到数据中心,也就是你在本地没有任何数据落地,用这个方式很好地提高了整个研发效率。这个私活的现象就少了很多。当然,现在在我们的客户里面,最大的研发环境部署规模已经超过十万多人,也就是这个公司有十万个研发人员,桌面都是在虚拟化的环境工作的。当然,和安全有关的故事还特别多,我就不再多说了,这个方式可以很有效的提升安全。甚至有一个大连的客户是专门对日本的软件外包,他跟我们说,我用自建的方式打包,跟日本客户说,我用虚拟化的方式研发,类似这样的一些需求。
第二,灵活访问。的确现在设备非常多,我们利用这个技术把传统的Windows挪到数据中心,把它的界面推送到前端各种各样的设备上。但是,这个看上去很美,我们希望让用户在任何时间、任何地点、任何设备都可以工作,而且从企业角度来说,移动化也是一个非常重要的发展方向。但是在这个过程中我们发现还是走了一些弯路。因为最早我们希望这种方式可以针对所有的,可能几年以前Pad出来的时候也非常高调,说未来没有PC了。但是,我们发现几年下来这是一个笑话,现在PC还活的好好的,而且我听说今年PC的出货量要有所增加。
所以,这个过程其实我们看到,我们也做了很多移动办公的客户,但是他们其实很多的情况下,特别有意思的是真正喜欢移动办公的是,比如我们有一个客户,他是全国连锁的食品蛋糕店的老大,是一个台湾的老先生,70多岁了,他原来用PC,每天只能回到家看今天的销量怎么样,这个特别不方便,而且他用的ERP软件不稳定。他也用这种方式,把界面推送到老先生的移动设备上,这个老先生感觉非常方便,现在可以随时看到各个门店的销售情况,而且可以放大。所以,这种方式客户还是比较多的。
但是,在这样一个场景之下,我们可以看到他对信息的需求是发送,也就是说,去获取信息,而没有返回,不是一个交互式的过程。如果说真的交互式,其实我个人认为,键盘、鼠标,因为它非常准确,可能在未来多少年内我们找不到一个更好的方法可以取代它,当然这个是我个人的一个观点。因为眼睛和手的结合是人类输入信息最主要的手段,语音、脑电波。
我们有的客户做了这样的事,每周有一天时间在咖啡厅办公,这是创业人坐的咖啡厅,里面都是充满热情的年轻人,他们希望在那个地方做一些工作,老板说好,每周允许有一天时间,大家各自带着各自的笔记本到这种地方工作。但是,企业应用系统他们也发了一条微信,你只要能有网络,就可以访问你在数据中心的业务,这也是业务场景。
第三,简化管理,我们要把复杂的事情简单化,PC是非常复杂的东西。在这儿原理很简单,出去的东西反正你只要前端是一个设备,可接收就行了。所以,全部发到数据中心,相当于是把一个管理从前端复杂的终端设备移到数据中心去,在这个过程中,它就实现了非常好的标准化。我们也在给很多用户做标准化。我们曾经做过一个呼叫中心,银行的信用卡中心,大家都接到过他们的电话,说你是我们的优质客户。他在这个过程中通过这种方式把整个所有的职场里面的PC全部收掉,换成了刚才照片里面的一个小盒子,这个盒子不会坏,因为它没有影片,也没有用风扇散热的CPU,所以很小,散热也很低,当然我去参观过,这种环境很差,他们上班的位置跟开会的位置差不多,本身人在散热,机器在散热,我们帮它做了改进之后,当时我们看的时候3000个人,CIO说基本上只有一两个人在管理,因为现场是没有人管理的,后台做了大量的标准化工作,也让他保证管理尽量简单。
第四,节省成本,在这个架构之下,其实成本是非常复杂的话题,真正说能够节省成本,都不是绿色的,而是用了三年,或者五年。我们有一个客户,刚才我们说它研发特别多,有非常多的研发,其实他说这种方案除了能看到的,或者不买PC了,节省电费,可能软件少一些,类似这些需求之外,还有很多无形的成本节省。比如他提到,研发人员有好几个大的屏幕,有的是横着放,有的是竖着放,每天早晨上班的时候大概花两三分钟的时间把他的习惯调出来,也就是这个窗口要放在这里,结果要放在这里,然后大小大概调一下,每天要做。为什么你说放那儿别动就行了,不行,因为PC不能让它过夜。你只能每天早上起来,他要花两到三分钟的时间开PC准备,但是这个时间点对他而言是最清醒的。所以,他们觉得这其实是很浪费钱的一个状态。于是,后来改成这种方式,每个人一点登录,昨天的环境全部出来了,每人每天节省3分钟,如果十万人,这是多大的一笔收入。
当然,整个这种所谓虚拟化的手段在我们企业IT里面有特别多的一些场景。我在这儿列的只是金融的客户,场景也很复杂,比如呼叫中心、研发、BYOD、移动平台等等,不多说了。这种方式本身是原理很简单,但是真正要实现其实并不是那么容易。刚才主持人提到Citrix还是比较有名气的,其实我觉得最得益于还是我们真正了解该怎么做这种虚拟化的改造。在我们的客户里面,国内我们现在有十多家客户部署了超过一万个点的,上千点的客户都已经过了六七百家,我们真正能够把这个方案落地,因为我们太了解PC,太了解桌面。很多人说,Citrix本质是一家什么样的公司,因为我们对微软的架构非常了解,所以才能把架构做得非常稳定,当然我们也不否定有一些项目做得不太成功。任何一个板如果断,效果也不会太好。真正我们做完把企业的IT分成四个大的环节,这个是终端设备,这是中间的接入控制,对外有端口,这边相当于访问和控制层,身份验证,一些端点控制,再后面是应用,然后到后台。
说完对企业内部的应用要求,接下来看一下企业外部对应用的要求,其实我们认为跟企业内部的应用稍微有点不一样,在这个场景里面,最重要的是用户的体验,现在做任何一个细分事情都有太多的人参与。其次,安全防护,我们看到现在各种各样的中心,某一个网站又把所有用户账户泄露出来了,有很多类似这样一些新的报道,访问可靠。什么是不可靠呢?举个例子,我本人比较喜欢跑马拉松,马拉松的报名网站就是典型的不可靠,总是说哪一天十点钟开始报名,结果你刷一下午,都刷不出那个框。还有什么不可靠呢?铁路购票。再有就是我们要追求低成本。在这个过程中,当然应用不像企业内部应用这么复杂,各种各样的架构,通常都是基于互联网的这些技术在做。当然,优化用户体验,首先是最核心的要求,这边我们可以看到,如果你的效率降低20%,可能会造成非常大的损失。
在这个过程中,我们随便举个说法,好比一个网站,最简单先登录,登录完了查询,查询完了下单。在这个里面我们要说一下,有一个是我们的请求交换,叫Content Switch,这是一个硬件设备,能够把用户的CRM进行仔细分析,然后把你所有下单的访问请求定向到你指定的服务器。就算下单有点慢,但是所有的过程是重点保障的,可以根据服务请求分配资源。在一个固定的投入成本之下,我们把每一分钱用在刀刃上,对于网站而言最重要的就是下单。所以我们利用这样的技术把所有下单的请求独立到几个固定的服务器上,而其他的查询图片刷的慢一点,但是不会掉任何一个下单的访问请求,这是第一个,我们叫做内容交换。这个过程不需要对应用做任何修改,我会智能判断你的URL到底访问什么服务类,这就是我们所谓的在应用层做的。
同时,我们知道今天技术的变迁也是在寻找各种各样的优化方案,很多人也在提所谓新的HTTP2.0或者这样的一些技术。当然,在这个过程中的确也是这样,HTTP发明时间比较久了,和今天的网络,和今天的内容可能都不是太搭。所以,这个里面有一个新协议叫SPDY,是Google发明的。当然很遗憾在国内不太好访问,说Google在Chrome上更快,原因是支持SPDY协议。我们这个平台可以做非常快速的SPDY支持,你对后台的应用不需要做任何修改。在这个过程中,其实你对应用也不需要做太多修改,这些支持SPDY浏览器的东西访问过来,当然还有一些支持传统的只能支持SPDY的过来,所以这块上面我们会对移动应用,对新的互联网应用做一些改造。
提升用户体验第三个改进方法就是全局负载均衡。我们曾经给一个非常有名的快餐公司,这个快餐公司曾经有一周时间,他觉得它的网页有些地方用户反馈说,它的速度比竞争对手大概慢一两秒。他就很紧张,他专门为了这个东西去经常开会,去抓包,看到底什么原因。后来我们帮他分析,说白了就是一些访问的指向问题。比如我是联通用户,我是甘肃联通用户,结果他把我指向了上海电信一家服务器,速度肯定就很慢。后来我们抓了它很多新用户的行为以后,帮他配置GSLB全局负载均衡,目标就是他人在这儿登这台服务器,当然这个过程有复杂的学习过程,还有一些设备需要配置,最终目标,当然通过这个配置好以后,完全解决不会发生甘肃联通用户访问到上海电信的服务器,不会发生这种事情了。
这里面第二块互联网应用就是安全防护。当然,尤其是网站,一旦放入互联网会有非常多的攻击。SSL,这个是必须要有的一个东西,在它的过程当中,只要是交易型网站,一定是SSL的方式,当然SSL本身也面临非常多的攻击。我们经常看到网上写又有一个新的SSL的漏洞,特别有意思,我们在这个领域的竞争对手基本上每一次都会中,在行业里面唯一没有中过SSL的人就是我们,因为我们底层并没有over SSL的技术,我们用自己的技术。别人如果中了怎么办?也不用太担心,打补丁。其实这不应该像Windows系统一样经常打补丁,这不是一个好的选择。
从安全角度,有太多的网络里面有各种各样的攻击,其实Citrix我们在处理的时候,或者利用这个设备把恶意用户抓出来。怎么抓呢?我说一个最简单的场景,非常多,各种各样的一些东西,最简单的场景是,我们可以根据客户端请求速率限制,我们对访问者,人在点这个概念,大概他要点多少时间,根据这个东西学习以后设你的策略,目标就是把攻击的人,把机器人全部抓出来。通常其实就是所谓的页面传输速率的方式解决。比如通过对用户行为的学习,如果说你的查询速率超过30秒钟两次,这时候把你定向到一个重新指定的网页上。这样其实说白了就是把黑客、攻击的行为,一些恶意拆东西的行为全都屏蔽掉,这也是一个手段。我在这儿说的还是其中一小部分,包括像DDoS攻击,SSL的漏洞问题。当然,从企业角度来说,WAF攻击也是一个特别常见的场景,我们利用WAF做一个应用层的防火墙,利用它可以把这个网站,我们所谓的这个东西,就是对你原来网站不需要做太多更改。如果你从代码角度来说,你可以做很多校验防止这件事情,但是你有这个设备,只要让他学会,整个表单里面,这儿应该是什么,那儿应该是什么,他学会了,下一次就应该出不同的内容。这是安全。
访问可靠,不能把用户的行为丢掉,像刚才说的马拉松报名网站,双11的促销,这个现象发生的还是比较多,平时可能没有几个人访问,突然之间访问量特别多,怎么办呢?这也是Citrix独有的一个技术,叫连接复用/浪涌保护。就是所有的数据非常多,如果没有设备在,只是到了服务器,这时候所有的连接都会压在服务器上面。Citrix在中间摆这样一个设备,首先从我的设备到后台服务器之间是建立连接的,所有对外的用户连接都是由我的设备来承担。所以在这儿有一个数据,在用户端可能80万的连接,但是到服务器端可能只有5000个连接,因为我知道你的连接里面访问内容是什么?这叫内容交换,由此使整个后台服务器压力变得很小。而且可以先把请求发到对面,让使用者不感到服务中断,因此保护后台的这个平台。最后用户体验感觉可能比较慢,但是他是在接收的。当然,用我们这个方案的客户的确也特别多,都是我们的客户。
节省成本。节省成本,其实说实话,最典型的一个案例就是SSL加速,原来由服务器做,服务器的压力太大了。现在把SSL剪掉了,从我的设备到服务器之间,就是HTTP的格式,或者从我的设备出去到你的终端就是HTTPS,在整个行业里面,做过SSL加速效率最高的就是我们SSL这个产品。还有包括像静态内容的缓存,比如图片,根本不需要放太多图片服务器,可以把图片放在我的服务器上,由我对外服务。因为现在SSL的要求越来越高,所以我们对2048的SSL也提供更好的支持。所以,像这些所有交易的网站基本上都用我们的方式在铺SSL。
这个设备本身严格来说是一个叫ADC的产品,传统方式我们在网络里面真正的用户要访问你的数据,可能要经过这么多不同的环节,有链路的负载均衡、服务器负载均衡,还有SSL的卸载,这边还有WAF的保护、应用防火墙、VPE、全局负载均衡。到中间也需要服务器平衡,到后台有数据库的全局服务。为什么说Only One,因为有专门做服务器,做VPN的,但是NetScaler是Only One,通过这个设备所有环节都可以实现。这是我们从研发角度来说也是一个比较厉害的东西,我们最新的一个东西叫CPX,是兼容容器技术。整个这个东西也是在行业里面有大量的使用场景。其实刚才我主要跟大家汇报的就是Citrix两个比较重要的产品。一个是虚拟化解决方案,还有ADC的解决方案。其实很多人对我们虚拟化比较了解,但是对ADC不太知道,我们都认为Citrix ADC比虚拟化还要好,也就是NetScaler这个产品更好一点。
我们这个公司20多岁了,不是新人了,在IT界是一个老公司了,而且我们做的技术也比较领先。谢谢大家!