新加坡政府一直積極擁抱云計算技術(shù)，曾率先推出政府商業(yè)云（Government Commercial Cloud，簡稱GCC）服務(wù)以幫助公共部門各機(jī)構(gòu)輕松管理并保護(hù)自身對于亞馬遜云科技、Google Cloud以及微軟Azure等公有云服務(wù)的應(yīng)用。

截至今年年底，預(yù)計至少有70%的政府系統(tǒng)將采用商業(yè)云服務(wù)，其中包括涉及敏感或機(jī)密數(shù)據(jù)的關(guān)鍵任務(wù)系統(tǒng)。這些系統(tǒng)將由亞馬遜云科技新上線的專用本地可用區(qū)（Dedicated Local Zones）服務(wù)負(fù)責(zé)承載。

新加坡Smart Nation Group政府首席數(shù)字技術(shù)官Chan Cheow Hoe在近期召開的亞馬遜云科技re: Invent大會期間接受了采訪，表示該國政府的云轉(zhuǎn)移之旅始于約七年之前，而且最初托管的為各類非機(jī)密工作負(fù)載，例如通過GCC在公有云服務(wù)上交付校園網(wǎng)站。

Chan回憶道，當(dāng)時GCC的主要工作在于澄清政策和法規(guī)，并據(jù)此決定政府能否在公有云服務(wù)之上托管其工作負(fù)載。

他解釋道，“其中有三項原則絕對不可動搖，首先就是新加坡境內(nèi)的關(guān)鍵和私有數(shù)據(jù)必須擁有「地理護(hù)欄」。這項要求并非來自我個人或者安全部門，而是國家〈官方保密法〉和〈計算機(jī)濫用法〉等法律層面的基本原則，旨在確保工作負(fù)載受到限制和保護(hù)。”

其他要求還包括在政府的本地后端系統(tǒng)和公有云的前端系統(tǒng)之間建立起安全連接，同時制定基準(zhǔn)安全措施，例如使用基礎(chǔ)設(shè)施即代碼來自動部署并防止可能出現(xiàn)的云配置錯誤，以避免被惡意攻擊者所利用。

但Chan同時強(qiáng)調(diào)，對于那些敏感度更高、涉及機(jī)密數(shù)據(jù)的關(guān)鍵任務(wù)工作負(fù)載，在將其遷移至公有云之前，首先需要保證公有云基礎(chǔ)設(shè)施的運行方式更加透明、安全級別更高。他指出，“我們不清楚公有云設(shè)施之內(nèi)發(fā)生了什么，甚至不知道它們是如何運作的。整個體系就像一個巨大的黑盒子，所以透明度非常重要?！?/p>

保障彈性

Chan還提到，透明度將使政府能夠跨可用區(qū)保障關(guān)鍵任務(wù)系統(tǒng)的彈性及其可用性?！叭绻P(guān)閉這些可用區(qū)、甚至斷開其互聯(lián)網(wǎng)連接，會引發(fā)怎樣的情況？它們還能運行多久，又會造成哪些影響？”

但如此嚴(yán)苛的關(guān)鍵任務(wù)托管標(biāo)準(zhǔn)將大大增加系統(tǒng)成本，并導(dǎo)致政府無法享受到由公有云提供的豐富第三方服務(wù)生態(tài)系統(tǒng)。

為了讓魚與熊掌能夠兼得，新加坡政府向主要超大規(guī)?；A(chǔ)設(shè)施運營商尋求幫助，希望獲得一套既能提供關(guān)鍵任務(wù)所需透明度和高級別安全性、同時又不影響政府部門享受云技術(shù)優(yōu)勢的理想解決方案。

Chan表示，雖然市面上不乏此類主權(quán)云產(chǎn)品，但“大多受到嚴(yán)格鎖定”，并不能真正滿足新加坡政府的需求?！拔覀?yōu)榇伺e辦了研討會，并深入研究了超大規(guī)模安全護(hù)欄和專職人員等問題——亞馬遜云科技則已經(jīng)為這項工作做好了最充分的準(zhǔn)備，這就是專用本地可用區(qū)的來歷?！?/p>

依托于專用本地可用區(qū)，政府現(xiàn)在為各公共部門提供三大云部署選項：用于快速部署工作負(fù)載的商業(yè)云服務(wù)；能夠充分滿足本地化設(shè)施要求的GCC；以及面向高度敏感及關(guān)鍵任務(wù)工作負(fù)載的專用本地可用區(qū)。

除了亞馬遜云科技之外，新加坡政府也同時選用了微軟Azure和Google Cloud提供的公有云服務(wù)。Chan解釋道，隨著其他類似于專用本地可用區(qū)的超大規(guī)模設(shè)施方案的發(fā)展成熟，政府方面也將認(rèn)真評估并嘗試采用。

他在采訪中提到，“從安全和彈性的角度出發(fā)，我們不想把所有雞蛋都放在一個籃子里。各家云服務(wù)商在設(shè)計理念上往往存在很大差異，而且并不能說一家云服務(wù)商就一定比另一家更好。我們正在與各大服務(wù)商開展合作，并認(rèn)真考慮各種具有現(xiàn)實意義的產(chǎn)品選項?！?/p>

但同時在多家公有云服務(wù)商之上運行工作負(fù)載，仍是項令人望而生畏的工作。因為這要求技術(shù)團(tuán)隊熟悉每種云環(huán)境的內(nèi)部運作機(jī)制。Chan坦言，新加坡政府一方?jīng)]有對云服務(wù)商的選擇做出硬性規(guī)定，但呼吁云服務(wù)商方面通過投資提供良好培訓(xùn)。

以亞馬遜云科技為例，自2017年以來，他們就通過Skill Builder以及re/Start等各種項目為超過20萬新加坡民眾提供了云技能培訓(xùn)，幫助人們?yōu)樵骗h(huán)境下的職業(yè)生涯做好準(zhǔn)備。今年早些時候，亞馬遜又與義安理工學(xué)院合作，在三年之內(nèi)為500多名信息/通信技術(shù)學(xué)生提供參加培訓(xùn)與認(rèn)證項目的機(jī)會。

云遷移方法

新加坡政府在云遷移工作上采取務(wù)實態(tài)度，包括從本地環(huán)境中直接遷移工作負(fù)載；推動平臺化重構(gòu)，例如將Solaris等遺留平臺上的代碼編譯為Java；用軟件即服務(wù)方案替代陳舊系統(tǒng)；重新構(gòu)建云原生應(yīng)用程序；并清除掉那些幾乎不再使用的工作負(fù)載等。

Chan回憶道，在上述方法當(dāng)中，直接遷移選項受到的批評最多，很多人認(rèn)為這種作法簡單粗暴、效果有限。但他本人卻不這么看，并堅稱對遺留工作負(fù)載的直接遷移能夠為各機(jī)構(gòu)及相關(guān)供應(yīng)商留出寶貴的時間窗口，讓他們有時間學(xué)習(xí)如何使用云技術(shù)。

他補(bǔ)充稱，“此外，我們也沒辦法將所有應(yīng)用程序都重構(gòu)至云端，因為這涉及大量工作，對應(yīng)的時間和金錢投入完全難以承受。相反，不妨在應(yīng)用程序的生命周期快要結(jié)束時進(jìn)行重構(gòu)，而且盡量以速度為優(yōu)先考量，這樣就能實現(xiàn)對基礎(chǔ)設(shè)施的合理化改造?！?/p>

不同應(yīng)用程序的對應(yīng)原型也將決定具體采用哪種遷移方法。Chan表示，面向客戶的應(yīng)用程序往往需要進(jìn)行架構(gòu)調(diào)整，因為這需要使用云原生服務(wù)和用于支持支付系統(tǒng)第三方服務(wù)的應(yīng)用程序編程接口（API），從而使其更具可擴(kuò)展性、彈性和用戶友好性。

更重要的是，應(yīng)用程序還需要在數(shù)據(jù)中心中斷期間通過故障轉(zhuǎn)移被交給別的可用區(qū)。Chan表示，雖然當(dāng)前云服務(wù)提供的多可用區(qū)設(shè)計已經(jīng)大大降低了這種故障轉(zhuǎn)移門檻，但I(xiàn)T團(tuán)隊仍須對應(yīng)用程序做出正確配置才能達(dá)成理想的效果。

Chan總結(jié)道，“很多技術(shù)已經(jīng)客觀存在，最重要的是知曉該如何使用。這也是我們一直強(qiáng)調(diào)培訓(xùn)重要性的原因，而且培訓(xùn)的對象不只是學(xué)生、更包括我們的供應(yīng)商。這是一條分秒必爭的產(chǎn)業(yè)升級賽道，誰在競爭中落后誰就將陷入被動?！?/p>