新加坡政府一直積極擁抱云計(jì)算技術(shù)，曾率先推出政府商業(yè)云（Government Commercial Cloud，簡(jiǎn)稱GCC）服務(wù)以幫助公共部門各機(jī)構(gòu)輕松管理并保護(hù)自身對(duì)于亞馬遜云科技、Google Cloud以及微軟Azure等公有云服務(wù)的應(yīng)用。

截至今年年底，預(yù)計(jì)至少有70%的政府系統(tǒng)將采用商業(yè)云服務(wù)，其中包括涉及敏感或機(jī)密數(shù)據(jù)的關(guān)鍵任務(wù)系統(tǒng)。這些系統(tǒng)將由亞馬遜云科技新上線的專用本地可用區(qū)（Dedicated Local Zones）服務(wù)負(fù)責(zé)承載。

新加坡Smart Nation Group政府首席數(shù)字技術(shù)官Chan Cheow Hoe在近期召開的亞馬遜云科技re: Invent大會(huì)期間接受了采訪，表示該國(guó)政府的云轉(zhuǎn)移之旅始于約七年之前，而且最初托管的為各類非機(jī)密工作負(fù)載，例如通過GCC在公有云服務(wù)上交付校園網(wǎng)站。

Chan回憶道，當(dāng)時(shí)GCC的主要工作在于澄清政策和法規(guī)，并據(jù)此決定政府能否在公有云服務(wù)之上托管其工作負(fù)載。

他解釋道，“其中有三項(xiàng)原則絕對(duì)不可動(dòng)搖，首先就是新加坡境內(nèi)的關(guān)鍵和私有數(shù)據(jù)必須擁有「地理護(hù)欄」。這項(xiàng)要求并非來自我個(gè)人或者安全部門，而是國(guó)家〈官方保密法〉和〈計(jì)算機(jī)濫用法〉等法律層面的基本原則，旨在確保工作負(fù)載受到限制和保護(hù)?！?/p>

其他要求還包括在政府的本地后端系統(tǒng)和公有云的前端系統(tǒng)之間建立起安全連接，同時(shí)制定基準(zhǔn)安全措施，例如使用基礎(chǔ)設(shè)施即代碼來自動(dòng)部署并防止可能出現(xiàn)的云配置錯(cuò)誤，以避免被惡意攻擊者所利用。

但Chan同時(shí)強(qiáng)調(diào)，對(duì)于那些敏感度更高、涉及機(jī)密數(shù)據(jù)的關(guān)鍵任務(wù)工作負(fù)載，在將其遷移至公有云之前，首先需要保證公有云基礎(chǔ)設(shè)施的運(yùn)行方式更加透明、安全級(jí)別更高。他指出，“我們不清楚公有云設(shè)施之內(nèi)發(fā)生了什么，甚至不知道它們是如何運(yùn)作的。整個(gè)體系就像一個(gè)巨大的黑盒子，所以透明度非常重要?！?/p>

保障彈性

Chan還提到，透明度將使政府能夠跨可用區(qū)保障關(guān)鍵任務(wù)系統(tǒng)的彈性及其可用性?！叭绻P(guān)閉這些可用區(qū)、甚至斷開其互聯(lián)網(wǎng)連接，會(huì)引發(fā)怎樣的情況？它們還能運(yùn)行多久，又會(huì)造成哪些影響？”

但如此嚴(yán)苛的關(guān)鍵任務(wù)托管標(biāo)準(zhǔn)將大大增加系統(tǒng)成本，并導(dǎo)致政府無法享受到由公有云提供的豐富第三方服務(wù)生態(tài)系統(tǒng)。

為了讓魚與熊掌能夠兼得，新加坡政府向主要超大規(guī)模基礎(chǔ)設(shè)施運(yùn)營(yíng)商尋求幫助，希望獲得一套既能提供關(guān)鍵任務(wù)所需透明度和高級(jí)別安全性、同時(shí)又不影響政府部門享受云技術(shù)優(yōu)勢(shì)的理想解決方案。

Chan表示，雖然市面上不乏此類主權(quán)云產(chǎn)品，但“大多受到嚴(yán)格鎖定”，并不能真正滿足新加坡政府的需求。“我們?yōu)榇伺e辦了研討會(huì)，并深入研究了超大規(guī)模安全護(hù)欄和專職人員等問題——亞馬遜云科技則已經(jīng)為這項(xiàng)工作做好了最充分的準(zhǔn)備，這就是專用本地可用區(qū)的來歷。”

依托于專用本地可用區(qū)，政府現(xiàn)在為各公共部門提供三大云部署選項(xiàng)：用于快速部署工作負(fù)載的商業(yè)云服務(wù)；能夠充分滿足本地化設(shè)施要求的GCC；以及面向高度敏感及關(guān)鍵任務(wù)工作負(fù)載的專用本地可用區(qū)。

除了亞馬遜云科技之外，新加坡政府也同時(shí)選用了微軟Azure和Google Cloud提供的公有云服務(wù)。Chan解釋道，隨著其他類似于專用本地可用區(qū)的超大規(guī)模設(shè)施方案的發(fā)展成熟，政府方面也將認(rèn)真評(píng)估并嘗試采用。

他在采訪中提到，“從安全和彈性的角度出發(fā)，我們不想把所有雞蛋都放在一個(gè)籃子里。各家云服務(wù)商在設(shè)計(jì)理念上往往存在很大差異，而且并不能說一家云服務(wù)商就一定比另一家更好。我們正在與各大服務(wù)商開展合作，并認(rèn)真考慮各種具有現(xiàn)實(shí)意義的產(chǎn)品選項(xiàng)?！?/p>

但同時(shí)在多家公有云服務(wù)商之上運(yùn)行工作負(fù)載，仍是項(xiàng)令人望而生畏的工作。因?yàn)檫@要求技術(shù)團(tuán)隊(duì)熟悉每種云環(huán)境的內(nèi)部運(yùn)作機(jī)制。Chan坦言，新加坡政府一方?jīng)]有對(duì)云服務(wù)商的選擇做出硬性規(guī)定，但呼吁云服務(wù)商方面通過投資提供良好培訓(xùn)。

以亞馬遜云科技為例，自2017年以來，他們就通過Skill Builder以及re/Start等各種項(xiàng)目為超過20萬新加坡民眾提供了云技能培訓(xùn)，幫助人們?yōu)樵骗h(huán)境下的職業(yè)生涯做好準(zhǔn)備。今年早些時(shí)候，亞馬遜又與義安理工學(xué)院合作，在三年之內(nèi)為500多名信息/通信技術(shù)學(xué)生提供參加培訓(xùn)與認(rèn)證項(xiàng)目的機(jī)會(huì)。

云遷移方法

新加坡政府在云遷移工作上采取務(wù)實(shí)態(tài)度，包括從本地環(huán)境中直接遷移工作負(fù)載；推動(dòng)平臺(tái)化重構(gòu)，例如將Solaris等遺留平臺(tái)上的代碼編譯為Java；用軟件即服務(wù)方案替代陳舊系統(tǒng)；重新構(gòu)建云原生應(yīng)用程序；并清除掉那些幾乎不再使用的工作負(fù)載等。

Chan回憶道，在上述方法當(dāng)中，直接遷移選項(xiàng)受到的批評(píng)最多，很多人認(rèn)為這種作法簡(jiǎn)單粗暴、效果有限。但他本人卻不這么看，并堅(jiān)稱對(duì)遺留工作負(fù)載的直接遷移能夠?yàn)楦鳈C(jī)構(gòu)及相關(guān)供應(yīng)商留出寶貴的時(shí)間窗口，讓他們有時(shí)間學(xué)習(xí)如何使用云技術(shù)。

他補(bǔ)充稱，“此外，我們也沒辦法將所有應(yīng)用程序都重構(gòu)至云端，因?yàn)檫@涉及大量工作，對(duì)應(yīng)的時(shí)間和金錢投入完全難以承受。相反，不妨在應(yīng)用程序的生命周期快要結(jié)束時(shí)進(jìn)行重構(gòu)，而且盡量以速度為優(yōu)先考量，這樣就能實(shí)現(xiàn)對(duì)基礎(chǔ)設(shè)施的合理化改造。”

不同應(yīng)用程序的對(duì)應(yīng)原型也將決定具體采用哪種遷移方法。Chan表示，面向客戶的應(yīng)用程序往往需要進(jìn)行架構(gòu)調(diào)整，因?yàn)檫@需要使用云原生服務(wù)和用于支持支付系統(tǒng)第三方服務(wù)的應(yīng)用程序編程接口（API），從而使其更具可擴(kuò)展性、彈性和用戶友好性。

更重要的是，應(yīng)用程序還需要在數(shù)據(jù)中心中斷期間通過故障轉(zhuǎn)移被交給別的可用區(qū)。Chan表示，雖然當(dāng)前云服務(wù)提供的多可用區(qū)設(shè)計(jì)已經(jīng)大大降低了這種故障轉(zhuǎn)移門檻，但I(xiàn)T團(tuán)隊(duì)仍須對(duì)應(yīng)用程序做出正確配置才能達(dá)成理想的效果。

Chan總結(jié)道，“很多技術(shù)已經(jīng)客觀存在，最重要的是知曉該如何使用。這也是我們一直強(qiáng)調(diào)培訓(xùn)重要性的原因，而且培訓(xùn)的對(duì)象不只是學(xué)生、更包括我們的供應(yīng)商。這是一條分秒必爭(zhēng)的產(chǎn)業(yè)升級(jí)賽道，誰在競(jìng)爭(zhēng)中落后誰就將陷入被動(dòng)。”