域名預(yù)訂/競價(jià)，好“米”不錯(cuò)過

經(jīng)常在新聞里聽到“企業(yè)號航母”并不是新船，它是1962-2012年服役的，其核心功能已經(jīng)穩(wěn)定運(yùn)行了50年。鐵打的營盤流水的兵，船上的人經(jīng)常變，電控系統(tǒng)和操作流程，既在尊重傳統(tǒng)，也在持續(xù)演進(jìn)之中。

體驗(yàn)完ZStack 3.6.0版本的更新，我看到了一個(gè)新興商業(yè)軟件的成熟過程。

如果用一個(gè)航母戰(zhàn)斗群來比擬一個(gè)私有云計(jì)算平臺，ZStack從軟件功能上已經(jīng)完成了“造一艘航母”的過程，這幾次更新主要是“完善管理和人為操作的軟裝”，說通俗點(diǎn)就是讓練兵更容易。

01核心功能穩(wěn)定

ZStack很久沒有發(fā)布核心功能更新和關(guān)鍵BUG漏洞的補(bǔ)丁了，這并不是ZStack黔驢技窮，而是私有云主機(jī)產(chǎn)品已經(jīng)很完善了；我接觸過十幾個(gè)ZStack的客戶，大家也都沒反饋有什么BUG。

這里既有虛擬化軟件二十年的經(jīng)驗(yàn)積累，也是ZStack研發(fā)測試團(tuán)隊(duì)的軍功，還是“私有云/專有云”比公有云更穩(wěn)定可靠的明證。

每當(dāng)有朋友想了解云主機(jī)該有哪些功能，我并不會讓他們盲目上手做實(shí)驗(yàn)，而是推薦他們看ZStack的產(chǎn)品說明書，只要是圍繞云主機(jī)開展的功能，1000多頁說明書里應(yīng)有盡有。

02 嚴(yán)謹(jǐn)靈活的權(quán)限和流程

企業(yè)軟件的買單決策人是項(xiàng)目負(fù)責(zé)人、CIO和CEO，在標(biāo)準(zhǔn)軟件功能雷同以后，企業(yè)更看重商業(yè)軟件和自身的管理流程是否匹配。企業(yè)的權(quán)限設(shè)計(jì)是以活動目錄AD為事實(shí)標(biāo)準(zhǔn)的，ZStack是我見到最用心去兼容企業(yè)權(quán)限設(shè)計(jì)的私有云軟件。

以ZStack 3.6.0的更新為例，本次更新將賬號和角色、權(quán)限和資源池（部門/項(xiàng)目）做了徹底的解耦。這個(gè)設(shè)計(jì)在外行看來是細(xì)枝末節(jié)，但對于企業(yè)付費(fèi)者是核心訴求。

互聯(lián)網(wǎng)產(chǎn)品設(shè)計(jì)中，一個(gè)賬戶代表的自然人是權(quán)限和資源設(shè)計(jì)的核心，大家以賬戶的角度去管理資源，角色只是個(gè)“附加屬性”，資源池統(tǒng)計(jì)管理的功能也被弱化了。

但是企業(yè)產(chǎn)品設(shè)計(jì)中，并不存在一個(gè)資源只被一個(gè)賬戶管理的情況，賬戶只是個(gè)身份登錄憑證。角色實(shí)際是一個(gè)權(quán)限集合，企業(yè)產(chǎn)品的授權(quán)操作是給賬戶賦予某種角色，據(jù)此清晰表述一堆用戶對一個(gè)資源池的授權(quán)粒度。

ZStack的另一重要功能是承載審批和業(yè)務(wù)操作的工單。傳統(tǒng)工單更多是郵件的變體，參與者的角色只有客戶和技術(shù)支持，最終工單落實(shí)要靠工程師跨到另一個(gè)系統(tǒng)去操作；這種工單拿到企業(yè)環(huán)境價(jià)值不大，還不如郵件審批來的輕快。

帶審批邏輯的工單，需要將“客戶VS技術(shù)支持”的簡單溝通，變成所有相關(guān)角色參與審批的企業(yè)管理過程；ZStack的工單系統(tǒng)還和業(yè)務(wù)系統(tǒng)緊密結(jié)合，流程審批結(jié)束時(shí)，既可以自動授予權(quán)限，也可以主動完成工作。這種工單系統(tǒng)本質(zhì)上是企業(yè)客戶要的流程自控系統(tǒng)。

我并不信任互聯(lián)網(wǎng)思維的云產(chǎn)品設(shè)計(jì)，只要客戶還是要“勾選用戶注冊協(xié)議”，這就不是一個(gè)平等的甲乙方關(guān)系，而是一個(gè)牧羊人和羊群的關(guān)系，牧羊人不會尊重羊群的管理訴求。

03 尊重工程師的操作優(yōu)化

ZStack3.6.0版本希望實(shí)現(xiàn)從造船到練兵，要想順暢完成練兵，就要理解和尊重客戶側(cè)的工程師，順應(yīng)他們的傳統(tǒng)工作習(xí)慣，而且減少繁瑣易錯(cuò)操作，讓客戶專注核心業(yè)務(wù)判斷。

順應(yīng)傳統(tǒng)工作習(xí)慣并不是貶義詞，比如在網(wǎng)絡(luò)設(shè)計(jì)中，傳統(tǒng)不等于過時(shí)，可能是經(jīng)典場景中的經(jīng)典設(shè)計(jì)。

ZStack在本次更新中，一個(gè)重要網(wǎng)絡(luò)功能就是VPC防火墻。很多人會將防火墻和安全組混淆，將架構(gòu)師和軟件研發(fā)提出的防火墻設(shè)置建議，直接扭曲成安全組配置。但ZStack的說明文檔很清楚的解釋了，防火墻不等于安全組。

安全組誕生于大二層網(wǎng)絡(luò)時(shí)代，做不好二層隔離那就先做好三層隔離，其部署位置在云主機(jī)的網(wǎng)卡上，其重點(diǎn)防范的是其他云主機(jī)的非授權(quán)訪問。在二層隔離VxLan普及以后，安全組的東西向流量隔離功能已經(jīng)略有雞肋，其南北向訪問的配置規(guī)則則過于簡陋。安全組沒必要識別目標(biāo)IP和端口，因?yàn)樽饔命c(diǎn)就是本網(wǎng)卡；我們曾經(jīng)熟悉的“放行所有ESTABLISHED狀態(tài)報(bào)文”，在安全組模式下也無法設(shè)置。

防火墻是部署在VPC路由器上的，并不關(guān)注內(nèi)網(wǎng)傳輸，但對外部訪問的控制粒度很細(xì)，不僅可以識別源IP目標(biāo)IP，對協(xié)議中的報(bào)文狀態(tài)也有清晰的識別能力。對于老網(wǎng)絡(luò)工程師來說，防火墻規(guī)則中的“拒絕”和“丟棄”的區(qū)別，可以當(dāng)做經(jīng)典面試題，而防火墻規(guī)則中復(fù)雜的優(yōu)先級設(shè)計(jì)，是網(wǎng)絡(luò)工程師炫耀邏輯和工程能力的最好戰(zhàn)場。此外VPC路由器支持了NetFlow，在VPC內(nèi)排查故障，跟在物理環(huán)境上已經(jīng)相似了。

ZStack每次更新都有大量操作簡化優(yōu)化，3.6.0版也不例外，目標(biāo)是讓使用者從邊思考邊操作一堆繁瑣命令，變?yōu)橹凰伎家淮魏诵膯栴}，只發(fā)出一條簡單指令。

前文談過權(quán)限設(shè)計(jì)之后，管理員就要做一個(gè)工作——在私有云平臺上創(chuàng)建用戶。ZStack提供了AD對接、表格導(dǎo)入的方式批量創(chuàng)建用戶；云平臺管理員不用把時(shí)間花在如何點(diǎn)鼠標(biāo)新增用戶上，而是集中精力判斷該添加哪個(gè)list的用戶。類似的操作優(yōu)化還有諸如主機(jī)硬盤同時(shí)快照、云主機(jī)優(yōu)先在舊宿主啟動，當(dāng)主機(jī)和硬盤遷移時(shí)對目標(biāo)物理機(jī)按負(fù)載高低排序。

如果說批量創(chuàng)建用戶功能是個(gè)非常規(guī)的單薄操作，那我們就看V2V的自動遷移，ZStack很早就支持vCenter云主機(jī)批量遷移，本次更新后支持了KVM云主機(jī)批量自動遷移。

V2V遷移本來是個(gè)重度依賴遷移工程師人力的工作，要求遷移工程師對業(yè)務(wù)了解、對通用虛擬化標(biāo)準(zhǔn)了解、對新舊V2V資源池的配置了解，然后瞪大了眼睛一臺一臺遷移?，F(xiàn)在ZStack做了足夠多的適配，將V2V遷移自動化，那遷移工程師的工作量會極大降低，他們的重點(diǎn)精力放在選擇遷移對象和時(shí)機(jī)上。

高危操作并不能通過“操作優(yōu)化”來避免，平臺能做的只是精細(xì)化權(quán)限和明確審批過程，但絕對不是無故拖長審批過程甚至干擾高危操作，執(zhí)劍人終歸要承擔(dān)執(zhí)劍人的責(zé)任。

04 利器在手活學(xué)活用

我經(jīng)常強(qiáng)調(diào)一個(gè)概念，成熟的商業(yè)軟件絕對不會讓甲方工程師邊緣化和失業(yè)；而是給甲方工程師留下“肥而不膩”的工作量。甲方工程師始終是一個(gè)有決策能力的專家，而非給供應(yīng)商打工的苦力。

“肥而不膩的肥”，指的是高含金量的工作是有業(yè)務(wù)價(jià)值、無法被簡單匯總的工作；比如ZStack的權(quán)限設(shè)計(jì)只是個(gè)趁手的好工具，甲方工程師仍然要結(jié)合實(shí)際業(yè)務(wù)做精細(xì)調(diào)試；比如防火墻的策略設(shè)置比安全組復(fù)雜多了。

“肥而不膩的膩”，指的是別讓甲方工程師太過勞累繁瑣，比如我不確認(rèn)V2V自動遷移能切掉幾個(gè)友商KVM的項(xiàng)目，但我相信遷移工程師不會因?yàn)檫x擇了ZStack而面臨過大的工作量。

現(xiàn)在ZStack給甲方工程師打造的這套私有云軟件，是有意識也有能力讓客戶側(cè)工程師開心放心的練兵，最終用這套軟件證明自身團(tuán)隊(duì)的價(jià)值。

再先進(jìn)的武器也是為人設(shè)計(jì)的，即使無人機(jī)也要聽司令官下命令?？苹眯≌f里經(jīng)常YY出脫離人類控制的滅世AI軍隊(duì)，但能毀掉使用者的程序，就是有嚴(yán)重BUG的程序，或者空談式Y(jié)Y。

【ZStack學(xué)堂】第二季第10期：ZStack 3.6.0 功能講解

申請創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！