1 引言

金山雲作為業界領先的公有雲平台，為客戶提供IaaS、PaaS以及SaaS服務。IaaS（Infrasture as a Service，基礎設施及服務）提供的計算、存儲和網路基礎服務，其穩定性、安全性和伸縮性是金山雲PaaS和SaaS服務的基礎，也是客戶基於IaaS快速交付安全的雲上IT應用的重要保證。

本文包括如下內容：

1、金山雲IaaS服務模型介紹

2、針對一個典型的雲上應用如何規劃使用金山雲IaaS

3、金山雲IaaS服務總結

2 金山雲IaaS服務模型

金山雲IaaS服務的核心是充分發揮虛擬機和物理機的各自優勢，並通過軟體定義網路技術，幫助客戶在雲上構建企業級數據中心，滿足企業交付大容量、高並發、高可靠應用的全方位需求。其核心包括計算和存儲（不包括對象存儲）和網路服務。

2.1 計算和存儲服務模型

計算和存儲服務是為客戶提供一個具有CPU、內存、磁碟文件系統和網卡的雲伺服器或者雲物理主機，並通過網卡關聯的內網地址實現雲伺服器或者雲物理主機之間聯通。通過UML（Unified ModelingLanguage，統一建模語言）類圖描述計算和存儲服務實體之間的相互關係。其中菱形箭頭表示包含關係，比如數據中信和可用區之間是包含關係，一個數據中心可以包含1個或2個可用區，如果數據中心不存在，則可用區不存在；單向箭頭表示關聯關係，比如雲伺服器和雲伺服器類型之間是關聯關係，表示在創建雲伺服器時，必須選擇一個雲伺服器類型；虛線箭頭表示弱關聯關係，比如在創建一個雲伺服器的數據盤時，可以根據一個現有的快照來創建，從而創建的數據盤中將具有快照中的數據。

圖：金山雲IaaS計算和存儲服務實體關係圖

基於上圖的金山雲計算和存儲服務實體關係圖提供的雲伺服器或者雲物理機，具有如下優勢：

1、系統盤和數據盤分離，重裝系統盤時可保留數據盤中的數據，避免重複雲伺服器實例；

2、快速根據鏡像和快照來創建具有特定系統盤和數據盤的伺服器，可以實現系統的快速擴容；

3、基於虛擬化的雲伺服器和雲物理主機採用的統一的安全策略和監控管理；

4、通過容災組、可用區、和數據中心三重機制，實現物理伺服器容災，機房容災以及數據中心容災。

2.2 網路服務模型

網路服務根據安全性、連通性以及可管理型等需求，對網路地址空間進行合理規劃，為雲伺服器或者雲物理主機上對網卡分配內網IP地址，定義子網級和伺服器的安全訪問控制策略，提供伺服器被外網訪問以及訪問外網的相關配置。

圖：金山雲IaaS網路服務實體關係圖

基於上圖的金山雲計算網路實體關係圖提供的網路服務，具有如下優勢：

1、實現雲伺服器和雲物理主機網路的統一管理；

2、基於安全組和網路ACL的訪問安全控制，確保伺服器安全；

3、通過公網NAT和內網NAT，實現一個子網的伺服器採用相同的IP訪問互聯網或者其他子網，提供應用部署的擴展性；

4、通過負載均衡器實現負載分流，提高應用系統的可伸縮性。

3 針對典型應用的金山雲IaaS規劃和使用

Web應用是企業應用上雲的首選。基於金山雲IaaS服務交付Web應用，可以充分利用其在安全、可靠和彈性等方面的優勢，並縮短整個應用系統交付周期。下圖是一個Web應用的典型邏輯架構

圖：Web應用典型邏輯架構

金山雲IaaS基礎設施包括北京1區、北京5區、北京6區、上海2區、香港2區等多個數據中心。下面將根據北京6區提供的IaaS服務，規劃該Web應用生產環境的部署架構。

圖：基於金山雲IaaS的Web應用部署架構

該架構具有如下特點：

1、該應用運行在一個獨立的VPC，確保和其它應用的運行環境完全隔離；

2、資料庫伺服器採用雲物理主機，並採用主、從模式，確保資料庫的可用和訪問速度；

3、通過子網實現Web伺服器、應用伺服器、資料庫伺服器以及API網關伺服器的隔離，並通過網路ACL控制訪問許可權；

4、採用多可用區，確保雲伺服器的同城雙活；

5、通過負載均衡器實現大訪問流量的分流；

6、通過NAT實現從API 網關訪問第三方公有雲服務（比如微信支付等）。

此外，藉助自定義鏡像和磁碟快照功能，可快速創建統一的雲伺服器，實現計算能力的快速擴容。

4 金山雲IaaS服務總結

金山作為國內最早提供公有雲的服務商之一，從2012年開始一直致力於向客戶提供安全、可靠、高效的IaaS基礎設施以及伺服器安全、高防 IP、漏洞掃描以及Web應用防火牆等安全服務。此外，通過伺服器託管、專線網路以及VPN技術，實現金山雲IaaS服務和客戶現有IT基礎設施的整合，幫助客戶充分利用現有IT投資和滿足行業監管要求。最終助力客戶藉助雲計算技術加速業務數字化轉型。