新加坡政府一直積極擁抱云計算技術，曾率先推出政府商業(yè)云（Government Commercial Cloud，簡稱GCC）服務以幫助公共部門各機構輕松管理并保護自身對于亞馬遜云科技、Google Cloud以及微軟Azure等公有云服務的應用。

截至今年年底，預計至少有70%的政府系統(tǒng)將采用商業(yè)云服務，其中包括涉及敏感或機密數(shù)據(jù)的關鍵任務系統(tǒng)。這些系統(tǒng)將由亞馬遜云科技新上線的專用本地可用區(qū)（Dedicated Local Zones）服務負責承載。

新加坡Smart Nation Group政府首席數(shù)字技術官Chan Cheow Hoe在近期召開的亞馬遜云科技re: Invent大會期間接受了采訪，表示該國政府的云轉移之旅始于約七年之前，而且最初托管的為各類非機密工作負載，例如通過GCC在公有云服務上交付校園網(wǎng)站。

Chan回憶道，當時GCC的主要工作在于澄清政策和法規(guī)，并據(jù)此決定政府能否在公有云服務之上托管其工作負載。

他解釋道，“其中有三項原則絕對不可動搖，首先就是新加坡境內的關鍵和私有數(shù)據(jù)必須擁有「地理護欄」。這項要求并非來自我個人或者安全部門，而是國家〈官方保密法〉和〈計算機濫用法〉等法律層面的基本原則，旨在確保工作負載受到限制和保護?！?/p>

其他要求還包括在政府的本地后端系統(tǒng)和公有云的前端系統(tǒng)之間建立起安全連接，同時制定基準安全措施，例如使用基礎設施即代碼來自動部署并防止可能出現(xiàn)的云配置錯誤，以避免被惡意攻擊者所利用。

但Chan同時強調，對于那些敏感度更高、涉及機密數(shù)據(jù)的關鍵任務工作負載，在將其遷移至公有云之前，首先需要保證公有云基礎設施的運行方式更加透明、安全級別更高。他指出，“我們不清楚公有云設施之內發(fā)生了什么，甚至不知道它們是如何運作的。整個體系就像一個巨大的黑盒子，所以透明度非常重要?！?/p>

保障彈性

Chan還提到，透明度將使政府能夠跨可用區(qū)保障關鍵任務系統(tǒng)的彈性及其可用性?！叭绻P閉這些可用區(qū)、甚至斷開其互聯(lián)網(wǎng)連接，會引發(fā)怎樣的情況？它們還能運行多久，又會造成哪些影響？”

但如此嚴苛的關鍵任務托管標準將大大增加系統(tǒng)成本，并導致政府無法享受到由公有云提供的豐富第三方服務生態(tài)系統(tǒng)。

為了讓魚與熊掌能夠兼得，新加坡政府向主要超大規(guī)?；A設施運營商尋求幫助，希望獲得一套既能提供關鍵任務所需透明度和高級別安全性、同時又不影響政府部門享受云技術優(yōu)勢的理想解決方案。

Chan表示，雖然市面上不乏此類主權云產品，但“大多受到嚴格鎖定”，并不能真正滿足新加坡政府的需求。“我們?yōu)榇伺e辦了研討會，并深入研究了超大規(guī)模安全護欄和專職人員等問題——亞馬遜云科技則已經為這項工作做好了最充分的準備，這就是專用本地可用區(qū)的來歷?！?/p>

依托于專用本地可用區(qū)，政府現(xiàn)在為各公共部門提供三大云部署選項：用于快速部署工作負載的商業(yè)云服務；能夠充分滿足本地化設施要求的GCC；以及面向高度敏感及關鍵任務工作負載的專用本地可用區(qū)。

除了亞馬遜云科技之外，新加坡政府也同時選用了微軟Azure和Google Cloud提供的公有云服務。Chan解釋道，隨著其他類似于專用本地可用區(qū)的超大規(guī)模設施方案的發(fā)展成熟，政府方面也將認真評估并嘗試采用。

他在采訪中提到，“從安全和彈性的角度出發(fā)，我們不想把所有雞蛋都放在一個籃子里。各家云服務商在設計理念上往往存在很大差異，而且并不能說一家云服務商就一定比另一家更好。我們正在與各大服務商開展合作，并認真考慮各種具有現(xiàn)實意義的產品選項?！?/p>

但同時在多家公有云服務商之上運行工作負載，仍是項令人望而生畏的工作。因為這要求技術團隊熟悉每種云環(huán)境的內部運作機制。Chan坦言，新加坡政府一方沒有對云服務商的選擇做出硬性規(guī)定，但呼吁云服務商方面通過投資提供良好培訓。

以亞馬遜云科技為例，自2017年以來，他們就通過Skill Builder以及re/Start等各種項目為超過20萬新加坡民眾提供了云技能培訓，幫助人們?yōu)樵骗h(huán)境下的職業(yè)生涯做好準備。今年早些時候，亞馬遜又與義安理工學院合作，在三年之內為500多名信息/通信技術學生提供參加培訓與認證項目的機會。

云遷移方法

新加坡政府在云遷移工作上采取務實態(tài)度，包括從本地環(huán)境中直接遷移工作負載；推動平臺化重構，例如將Solaris等遺留平臺上的代碼編譯為Java；用軟件即服務方案替代陳舊系統(tǒng)；重新構建云原生應用程序；并清除掉那些幾乎不再使用的工作負載等。

Chan回憶道，在上述方法當中，直接遷移選項受到的批評最多，很多人認為這種作法簡單粗暴、效果有限。但他本人卻不這么看，并堅稱對遺留工作負載的直接遷移能夠為各機構及相關供應商留出寶貴的時間窗口，讓他們有時間學習如何使用云技術。

他補充稱，“此外，我們也沒辦法將所有應用程序都重構至云端，因為這涉及大量工作，對應的時間和金錢投入完全難以承受。相反，不妨在應用程序的生命周期快要結束時進行重構，而且盡量以速度為優(yōu)先考量，這樣就能實現(xiàn)對基礎設施的合理化改造。”

不同應用程序的對應原型也將決定具體采用哪種遷移方法。Chan表示，面向客戶的應用程序往往需要進行架構調整，因為這需要使用云原生服務和用于支持支付系統(tǒng)第三方服務的應用程序編程接口（API），從而使其更具可擴展性、彈性和用戶友好性。

更重要的是，應用程序還需要在數(shù)據(jù)中心中斷期間通過故障轉移被交給別的可用區(qū)。Chan表示，雖然當前云服務提供的多可用區(qū)設計已經大大降低了這種故障轉移門檻，但IT團隊仍須對應用程序做出正確配置才能達成理想的效果。

Chan總結道，“很多技術已經客觀存在，最重要的是知曉該如何使用。這也是我們一直強調培訓重要性的原因，而且培訓的對象不只是學生、更包括我們的供應商。這是一條分秒必爭的產業(yè)升級賽道，誰在競爭中落后誰就將陷入被動。”