政府私有云

亚马逊周一宣布，AWS云计算服务提供了AWS Secret Region服务，专门满足美国情报部门的计算需求。新的AWS Secret Region可以运行“机密”级别的工作任务。

这并不是亚马逊AWS在美国政务云领域的新产品。在此之前的2013年和2016年，亚马逊AWS的AWS GovCloud以及AWS GovCloud High域也分别通过了美国政府的安全认证，并且在政府部门投入使用。

从已经公开的产品来看，随着亚马逊AWS Secret Region的推出，AWS可以说完成了针对政务云市场的产品布局，能够满足各类政府工作负载服务，包括未分类的、敏感的、秘密的和最高机密的数据分类。

本来这条新闻并不是特别重要，但是沿着这个新闻，科技十点见(ID:luopantech)对美国政务云的安全认证问题进行了深入了解，发现美国政务云在安全认证上的思路很超前，也很有体系。

美国政务云采购指南FedRAMP

美国的政务云可以说是走在整个行业的前列。美国预算管理办公室(Office of Management and Budget，OMB) 于2011年12月8日发布了《云计算环境中信息系统的安全授权》，即联邦风险与授权管理项目 (Federal Risk and Authorization Management Program，FedRAMP) 备忘录，期望提出所谓的“低开销、基于风险管理的”云计算安全认证方法。

需要说明的是，FedRAMP认证仅限于联邦政府采购，在美国商业市场上并没有包括市场准入在内的、政府主导的强制性认证的措施，而且云计算作为信息技术业务也不属于相对强监管的电信市场。

但是，政府采购云计算服务时还是会看类似认证，毕竟政府部门需要承担数据安全的责任。

看了一下fedramp.gov的官方网站，通过认证的服务已经有91项目，涉及Iaas、Paas、SaaS服务商，但是Saas厂商占了绝大部分。

在最高安全级别的产品认证里，只有三家厂商的产品或者服务：微软Azure Government 、AWS GovCloud High以及美国CSRA ARC-P Cloud在列，其他产品的安全等级都是中等。

完善的安全认证系统

FedRAMP项目将所有通过认证的云计算服务商及其解决方案，包括授权协议和相关安全包等资料集中存储和管理，形成随时可用的应用市场。

计划采购云计算服务的政府部门可以从应用市场中选择采购云计算服务，而无须再次经过认证流程，提高了效率。

FedRAMP认证过程中所有利益相关方的代表都参与其中，包括以国防部、国土安全部、商务部 (NIST) 等为代表的政府机构，也包括云计算服务提供商、技术提供商等产业界代表。

FedRAMP认证的流程也很灵活，以公私合作模式 (Public-Private Partnership)，充分利用市场化的第三方认证机构参与技术工作。

进行认证的机构只要是符合ISO/IEC 17020标准要求、并经过美国实验室认可协会(Accredited by American Association for LaboratoryAccreditation， A2LA)认可，都可以参与认证工作。第三方机构的参与一定程度上提高了FedRAMP的效率。

此外，安全认证也呈现出动态性。云计算的安全能力并不是一次认证即可终身制，而是需要持续监管以保证安全承诺得以持续满足。同时，安全的评估标准也会随着技术的进步而不断发展，认证机制也在持续演进。

综合来看，美国政务云的FedRAMP认证实现了各方利益的平衡，引入多个第三方机构提升了认证效率，并且用机制保证了认证的动态演进。可以说，是一套体系完备的安全认证系统。

中国有何借鉴之处？

中国政务云市场目前也发展迅速，并且成为云计算的主要采购方之一。但是诸多政府机构目前对于公有云的采购仍然不多，仍以私有云为主。

但是长远看，推动政府机构采购阿里云、腾讯云等专业公有云厂商的服务仍是一个大方向，毕竟成本可以得到明显的降低。

而如果政府部门大面积上公有云，一套类似FedRAMP的安全认证机制显然是很有必要的。

目前国内具备官方背景的机构在推行可信云服务认证，这类认证只是证明服务协议(SLA)标准性、数据存储可靠性、用户数据私密性、业务可用性、功能完备性、运维系统完善性等多方面达到国内顶级云服务评测系统的认证标准，对于政府部门涉密方面的安全机制可能并没有特别的涉及。

因此，国内云计算产业和政府部门可以推动政务云安全认证机制，让政府部门未来可以在一个应用商店内，选用安全等级适用的解决方案。

近日，爱分析在京举办了2018爱分析·中国云计算高峰论坛，本次论坛以“云化万物，智动未来”为主题，探讨云计算行业的发展趋势。爱分析邀请了云计算领域标杆公司同方有云的董事长程辉进行主题演讲。

程辉认为，私有云软件系统复杂、厂商和企业客户缺乏对软件价值的认知，导致目前私有云行业的商业模式不可持续。私有云采用OpenStack、Ceph和Kubernetes分而治之的产品结构，重视服务水平，是未来能够匹敌公有云体验的关键。

现将同方有云董事长程辉的主题演讲实录与大家分享。

01

演讲实录

程辉：大家好，我是同方有云的董事长程辉，很高兴来到爱分析组织的云计算高峰论坛，我今天的演讲主题是“私有云的未来在哪里？”，与大家共同探讨私有云市场的现状与未来。

今天我的话题跟私有云相关，同方有云从2013年进入这个领域，应该算是主打基于开放系统私有云的第一家公司，也是这个领域第一家获得主流风险投资的公司。此后一到两年内，这个行当里面一直没有其它公司，一直到2014、2015年才陆陆续续有了其它公司进场，尤其在2015、2016年，华为、BAT纷纷进入这个市场，现在这个市场特别热闹。

私有云市场在中国经过五年发展，现在是什么样子？未来私有云将会走向哪里？前面徐工信息的周总提到，相信未来一定是公有云的世界，我曾经也这么看，现在有了一些不同的想法，今天借此机会跟大家分享。

02

私有云的新定义

首先，讲私有云话题之前，我先对这个私有云做一下简单的定义。

第一，我这里说的私有云是指在企业防火墙内部的，这是跟“公”相对应的。

第二，特指IaaS基础设施和PaaS平台软件层面的共享资源服务，我定义的私有云不包含传统软件和企业里面的SaaS业务，专门指IaaS和PaaS共享资源服务型的业务。

第三，我这里说的私有云并不把硬件包含进去，为什么呢？因为私有云作为一个独立的市场，你会发现绝大部分玩家的核心卖点、核心价值点全在服务上，市场主流硬件厂商并不是私有云市场的主要玩家。私有云软件平台和硬件也是充分解耦的，因此这里面私有云市场排除了硬件。

03

私有云市场份额小、厂商多，竞争激烈

如果这么定义，我们来看看这个市场到底有多大，以至于这么多的云厂商和创业公司会进入。

IDC2018年给出了一个报告，把整个IT资源内市场分为了三大块：公有云、私有云和传统企业服务市场。我们可以看到，私有云在其中份额看上去不小，能有公有云的四分之一到五分之一。

大家都知道，公有云是巨头的天下，在此之前这个市场那么多玩家，他们都需要做转型，公有云玩不了，就只有一条路，做私有云。所以到目前为止粗略估计，全国各地有几百家公司分布在这个市场上。

根据我前面的定义，这个私有云份额水分特别大，它把大量硬件包含进去了，所以显得市场特别大。但真实的情况是什么样的呢？

国外一家我特别信的咨询公司Wikibon，非常小众，但是在IT市场、云市场上的分析非常地道。Wikibon跟我刚才对私有云的定义是一样的，我们注意到，在2015年到2018年，私有云市场份额特别小，这还是欧美市场。中国市场私有云是公有云或者传统硬件的五十分之一到百分之一，这是我们认为私有云市场真正的份额。

这么小的区间从2014年到现在陆陆续续挤进去了几百家家公司，很明显，蛋糕小，要分的人太多，这是宏观上我们对这个市场的理解。

04

私有云现状残酷

当前商业模式难持续

往细来看，真正在一线，私有云是什么样的状态？现在绝大部分私有云项目跟十年前的IT项目差不多，从机房到硬件到平台，最多是加了一套云的软件而已，但是事实上做的事还不少。

另外一方面，相比公有云，私有云项目的交付周期跟当年的IT项目一样，也是以月为单位的交付周期，特别长。这也是这个市场特别难做的原因之一，交付周期长意味着资金流转周期长，预增投入特别长。这也是从2014年有大量玩家涌入到2016、2017年陆陆续续有一批公司退场的原因，做不下去。而且这个市场客户大都是大型企业，耗不起。

还有一点是，真实的情况下，私有云层面上客户满意度普遍不够高，这个不够高是跟公有云相比，这是整个市场私有云的真实情况。

为什么会是这个样子呢？这跟大家传统想象的好像不那么一样，这里面有三个方面的原因。

第一，私有云软件并不简单。跟公有云相对应的私有云整个套件并不简单，里面组件的复杂度跟一个小规模公有云其实不相上下。如果再加上企业传统IT内部建设的约束和负担，包括一些兼容的话，它的复杂度其实比建设一个中等规模、按照标准化的软硬件做的公有云还要复杂。

另外还有一点，因为毕竟是云的软件，整个系统是分布式的，软件故障域比以前IT软件大很多。以前IT软件基本上单机为主，现在可能几十台机器、上百台机器作为集群，故障域大很多，整个管理复杂度增加很多。

第二，市场共识未形成。客户经常问建一个大规模私有云，50万够不够？私有云项目价格战特别惨烈，因为各家厂商都打一个算盘，没关系，我先进去，等你离不开我的时候再涨价。大企业还好，对于小企业，这招也玩不起。

另外，目前建设私有云基本上还是以政府和大企业为主，背后的商业决策非常复杂。这跟做toC或者to B的SaaS软件是很不一样的，（to C或者to B的SaaS）只要软件质量过硬，解决客户需求，痛点满足就可以了，但是政府和大企业在这方面就完全不是那么回事。

第三，商业模式不可持续。这个圈子里面绝大部分公司并没有挣钱的，也不像巨头的公有云，虽然不挣钱，但是给公司带来资本市场增值，给公司带来长远价值；但是对于私有云，尤其是中小玩家来说，是需要靠回款养活公司、养活团队、招募更多人、提供更好服务的，目前商业模式其实并不是那么成熟。

现在很多客户对于软件定价的共识是，绝大部分情况下客户采购私有云的时候，只考虑硬件预算，为什么？因为个别大厂常年都是买硬件送软件，导致这个层面价值不断被贬低。不是客户和市场贬低这个软件，贬低这个服务，而是自己贬低自己，这是我们看到这个市场的真实情况。

这客观上导致了很多项目的私有云建设是失败的，当年抱着一个极高的期望，承载着公司战略转型希望的项目，最后发现成了一个烂尾工程，到无以为继的时候四处找其它供应商，这种情况比较普遍。

05

私有云产品

应分而治之、关注服务

以上是我们对这个市场的几点观察，是否意味着这个市场就像很多人预测的那样，就不需要存在了？等公有云大规模垄断，在全国各地都建好数据中心的时候，私有云就完全不需要了？私有云出路何在？

第一点，无论是甲方还是乙方，我们对私有云建设的认识一定要足够一致，切勿大而全。我们从很多招标文件看到，一份招标文件这么厚，里面描述的功能比阿里云现在的服务还全，报价30万、50万，这还是包含硬件。这是我们经常看到的标书，你投还是不投？我们一般这种情况下选择暂时不考虑，显然客户还没有想清楚。但是这种项目多了的话，如果你都不去覆盖，不去影响客户，那这个生意也不好做。

第二点，也是我们公司成立以来特别关注的一点，我们从最开始就关注客户私有云建设的后续服务。前面讲很多公司，尤其是传统IT大厂，他们会卖硬件送软件，为什么？因为他不管后面的服务，也不管后面的运维。在第一天验收的过程中，你看到界面上能点，机器能创建，资源能分配，一项项打勾，就可以验收软件了。这是以前单机的企业软件采购的思路，因为基本上后面不会有太大问题。

但是现在的私有云，大家都知道，在基础设施这个领域，开源软件特别发达。只需要一个懂行的中级工程师，就可以把一个私有云搭好，所有都能打勾，一个人就可以搞定。第一天可以，第一个月也可以，但是到第二个月、第三个月，真正开始业务上云的时候出现一大堆问题。如果没有专业服务团队持续支持、持续运维的话，平台很快陷入烂尾。所以无论是市场甲方还是乙方，都要注重平台上线之后的持续运维。

第三点，云计算虽然在中国发展这么多年，但是甲乙双方对于一个合适的、体面的云平台，尤其是私有云平台应该长什么样子都没有明确认知。客户关注的是这里面有面板，有这些功能。但事实上云计算最核心的是什么？是它的API，是它的软件定义，是它的自动化能力， 而这些东西都没有办法在标书里面用客观的指标写出来，这样市场就没有办法往这个方向走，这也是这个市场的情况。

06

K8S助力未来发展

私有云有机会

与公有云、传统硬件三分天下

前面虽然说了私有云的一些现状，比较残酷的现状，但是我们仍然对这个市场抱有一百分的信心。虽然从2015年到2018年，私有云市场只占公有云的五十分之一，但是往后仍然有机会跟公有云和传统硬件三分天下，当然那是在五年或十年之后。这里有三个对未来趋势的观察，这三点对私有云市场影响会特别大。

第一，Google的助力。整个云计算、整个互联网、整个大规模的分布式系统，都得益于谷歌这个全人类的救星。谷歌不断发文章，不断发布开源系统，引领一波又一波浪潮，从大数据，到移动互联网安卓，到最近的K8S。K8S被誉为下一代云计算基础设施，我个人特别看好它，它能彻底解决硬件标准化的问题，解决软件比较复杂的问题，因为这个K8S能做到非常简单。

第二，数据中心的硬件将会进一步标准化。目前很多客户采购基本上沿用以前的套路，各种品类硬件都会采购一些。但我们预见未来只会有两类的设备存在，一个是通用网络设备，一个是服务器，自带硬盘的服务器，其它的硬件设备存在意义不是那么大，所有的功能都会在上层云平台软件里面去实现。

第三，虚拟化和分布式存储技术带来的飞跃和变化。从2013年到2018年，如果让我观察私有云市场在技术领域最大的变化是什么，那就是分布式存储上的变化。因为在2013年，分布式存储还特别不成熟，性能特别差，但是到现在，分布式存储技术已经能够接近中低端存储阵列。一旦这个问题解决了，可靠性、稳定性各方面可以得到极大提升，能极大简化数据中心的基础建设和整个云的建设成本，对于上层的业务有极大的利好。在我们的客户私有云环境中，虚拟机通过分布式存储实现的高能IO能够达到甚至超过一台物理机的性能。

我认为这三个角度会对这个市场带来非常大的变化，这也是为什么国外机构预测遥远的未来，私有云市场还会三分天下。K8S技术发展之后，公有云和私有云在技术上差别不会很大，因为K8S像一个水管一样，公有云任何优势可以通过水管流到私有云，只要平台标准化，技术是很容易流动的，我相信私有云很快也能获得公有云各种各样的优势。

07

同方有云打造UOS、UDS、UCS产品，提供托管运维服务

从2013年到现在，同方有云一直专注于私有云基础设施软件。从最早的OpenStack和Ceph，到现在Kubernetes，基于这三个开源套件有三个产品，UOS、UDS和UCS。

UOS是基于OpenStack的IaaS云平台。我们并不把OpenStack当作一个大而全的云平台，把OpenStack作为一个很好的虚拟化替代就可以了，只要超过传统物理机性能或者接近物理机性能，对它来讲就可以了。当你把对它的要求降到这个层面的时候，OpenStack是非常棒的，而且稳定性、可靠性各方面随着过去八年的发展得到了极大的提升。

UDS是基于Ceph的分布式存储产品。这是我们从2012年就开始研发的，到现在也有六年多历史，我们是国内最早在这个领域投入的公司。到目前为止，我们已经累计交付超过100PB的存储，超过100个云数据中心已经在使用我们的UOS UDS组合。我们也是市场上首家把Ceph和OpenStack做了整合，并且在2014年把所有的架构设计文档开放出去了。往后所有的私有云厂商，几乎100%全是OpenStack Ceph架构，我们也算是引领了这个行业的方向和趋势。

UCS是基于Kubernetes的PaaS云管理平台。Kubernetes是未来唯一能够大规模跟公有云匹敌的工具，它足够简单，但又足够强大。我们主要基于Kubernetes构建企业级PaaS平台，包括产品从开发到上线的全生命周期的流程管理，企业级应用市场，带状态的数据服务如MySQL，Cassandra，Hadoop等平台的支持等能力。PaaS概念从08年Google发布第一个有影响力的PaaS平台Google App Engine（GAE）至今天，中间经历了多次起起伏伏，市场也一直没有起色。我们认为，现在真正到了PaaS发展黄金时期。

更重要的是，我们以上软件平台对客户完全开源、开放，而且坚持采用原生的开源核心，不修改核心代码，通过解耦式研发解决功能扩展和增强的需求。客户可以随时自己接管，或者换厂家来支持整个的私有云平台，彻底避免厂商锁定风险。

客户有了软件平台还不够，最重要的还是如何持续运维与发展，对于公布式架构的私有云平台来说，没有服务再好的软件平台也会失效。

关于私有云服务，我们在2014年，创新性地提出�...