華為云Stack “云聯(lián)邦”技術(shù)針對企業(yè)中現(xiàn)有的多朵獨立自治的云并不改變現(xiàn)有云的歸屬權(quán)，也不改變當前的運營運維和使用方式，在現(xiàn)有云上運行的業(yè)務(wù)應(yīng)用仍然由現(xiàn)有的組織或部門負責，無需進行復(fù)雜的 遷移 操作。那么云聯(lián)邦是如何實現(xiàn)將多朵云連云成片的呢？我們以多套華為云Stack協(xié)同為例，為大家介紹以下三個關(guān)鍵技術(shù)：

一、 聯(lián)邦認證

要將多個分散的云聯(lián)接起來，首先要解決的問題就是用戶認證和訪問權(quán)限的問題。通過基于SAML 2.0的聯(lián)邦認證技術(shù)，可以讓原本屬于不同云平臺的用戶，能夠在同一個云平臺上被正確識別，并獲得對應(yīng)的身份和權(quán)限，從而實現(xiàn)一次登錄就可以使用多個云平臺資源的目的。

如上圖所示，部門一的云平臺用戶張三，登錄本部門的云平臺A，再訪問部門二的云平臺B，如果云平臺A與B之間建立了聯(lián)邦認證，那么張三就可以無需二次登錄到云平臺B就可以訪問云平臺B的云服務(wù)和資源。

通過聯(lián)邦認證，使得不同企業(yè)組織的人員可以使用本組織的云平臺賬號自由訪問和使用其他組織的云平臺，實現(xiàn)企業(yè)內(nèi)不同組織的云平臺的資源共享。

二、 聯(lián)邦目錄

雖然連云成片的目的是為了將云平臺的資源進行共享，然而具體到某個部門的云平臺，并不是所有的云服務(wù)都可以被共享出來供其他部門使用，因此這個時候就需要建立所謂聯(lián)邦目錄。每個云平臺都可以建立多個聯(lián)邦目錄，為每一個聯(lián)邦關(guān)系設(shè)定關(guān)聯(lián)的聯(lián)邦目錄，其中包含允許聯(lián)邦訪問的云服務(wù)。

如上圖所示，部門一的云平臺A和部門二的云平臺B建立聯(lián)邦關(guān)系，云平臺A的用戶可以共享使用云平臺B的云服務(wù)，此時云平臺B的管理員可以在云平臺B上建立聯(lián)邦目錄，允許云平臺A的用戶訪問指定范圍的云服務(wù)。云平臺A通過聯(lián)邦關(guān)系讀取到云平臺B設(shè)定的聯(lián)邦目錄，將其映射為云平臺A的一個遠端Region，這樣云平臺A的用戶就可以像使用云平臺A的本地云服務(wù)一樣使用云平臺B的云服務(wù)，無需關(guān)心云服務(wù)的實際部署位置。

聯(lián)邦目錄使得部門可以根據(jù)自身云平臺的能力以及聯(lián)邦的需求方來設(shè)定和發(fā)布聯(lián)邦服務(wù)目錄，避免共享云服務(wù)范圍的擴大化。對于一個大型集團型企業(yè)來說，更好的做法是建立一個大規(guī)模并且具有豐富云服務(wù)的云平臺，通過聯(lián)邦目錄將集團云平臺的全部云服務(wù)能力注入到各級組織的現(xiàn)有云平臺中，同時鼓勵和牽引各級組織充分使用集團云平臺的服務(wù)能力，從而逐步將各級組織的業(yè)務(wù)應(yīng)用平滑遷移到集團云平臺之上。

三、聯(lián)邦流程

企業(yè)中各種服務(wù)的申請和使用都離不開相應(yīng)的流程，那么對于申請和使用云聯(lián)邦共享的云服務(wù)更是如此。云服務(wù)的管控流程通常分為三個部分：事前預(yù)算（云服務(wù)配額）、過程控制（申請審批）、和事后審計（云服務(wù)計量）。對于云平臺本地服務(wù)而言，上述流程控制都在本地完成，但是對于通過云聯(lián)邦共享引入的云服務(wù)，技術(shù)原理上有所不同。

如上圖所示，部門一的云平臺A與部門二的云平臺B建立聯(lián)邦關(guān)系，共享云平臺B的云服務(wù)，那么云平臺A的用戶在申請云平臺B的聯(lián)邦目錄中共享的云服務(wù)S之前，首先必須由云平臺B的管理員在云平臺B配置可被共享的云服務(wù)S的配額，當云平臺A檢查到云服務(wù)S的可用配額大于申請量的時候，才允許提交申請。提交的申請跟其他云平臺A的本地云服務(wù)申請一樣，經(jīng)過在云平臺A預(yù)配置的申請審批流程，才真正在云平臺B分配出對應(yīng)的云資源。那么在使用云服務(wù)S過程中產(chǎn)生的云服務(wù)計量數(shù)據(jù)，將被云平臺B采集并同步到云平臺A，兩個云平臺的管理員均可以查看到共享的云服務(wù)S的計量統(tǒng)計數(shù)據(jù)。

聯(lián)邦流程使得在企業(yè)內(nèi)通過聯(lián)邦共享的云服務(wù)與本地云平臺上的云服務(wù)一樣受到標準化的云服務(wù)管控流程，滿足在企業(yè)內(nèi)申請和使用云服務(wù)的規(guī)范性要求。

云聯(lián)邦實踐

通過華為云平臺管理系統(tǒng)ManageOne來建立多朵云的聯(lián)邦，不僅僅實現(xiàn)了上述聯(lián)邦認證、聯(lián)邦目錄、聯(lián)邦流程的關(guān)鍵能力，同時還在多級組織管理、一站式云資源運維監(jiān)控上有提供了更多的能力。華為云聯(lián)邦技術(shù)不僅適用于企業(yè) 私有云 和公有云的混合管理場景，也適用于大中型企業(yè)分階段建云用云的場景，為企業(yè)和組織提供多云一云的管理體驗，為加速企業(yè)數(shù)字化轉(zhuǎn)型鋪平道路。

基于云聯(lián)邦，華為云Stack幫助中國人壽構(gòu)建了一朵智慧保險云。通過使用公有云 彈性公網(wǎng)IP 和CDN，每年節(jié)省約3000萬元，降低了70%的網(wǎng)絡(luò)成本。公有云承載活動平臺前端應(yīng)用，彈性擴容敏捷快速，滿足6.16客戶節(jié)、雙11、雙12等促銷節(jié)點期間促銷業(yè)務(wù)訴求，保障全年10W+次營銷活動。非活動期間釋放不必要資源，節(jié)省了30%以上IT開支。

基于云聯(lián)邦，華為云Stack為某大型制造集團多個云平臺之間實現(xiàn)聯(lián)動。集團總部云部署了豐富的云服務(wù)，且資源有結(jié)余，而分支云僅部署ECS等基礎(chǔ)服務(wù)滿足日常辦公OA訴求。當集團分支云進行業(yè)務(wù)創(chuàng)新，需要使用GPU云主機、 大數(shù)據(jù) 、AI等能力時，無需自建，通過云聯(lián)邦一鍵借用總部資源即可，避免企業(yè)重復(fù)建設(shè)，減少投資。