HashiCorp 云战略调研报告解读

HashiCorp 最近推出了 2022 版的《HashiCorp 2022 State of Cloud Strategy Survey》。

与 2021 年的版本相比，今年 HashiCorp 委托了独立的第三方调研机构 FORRESTER 咨询进行了本次调研。

在此选取一些我个人感兴趣的点进行翻译和评论。本文仅代表我个人的观点和意见，与 HashiCorp 与 FORRESTER 无关。

大多数受访者已经采用了多云战略

今年的调研中有 60% 的受访者表示他们已经采纳了多云战略，另外有 21% 的受访者表示他们计划在未来的 12 个月内实施多云战略：

比较有趣的是：

2021 年的调研中 76% 的受访者表示他们已经采纳了多云战略，今年的数字实际上是下降的。但考虑到与全球范围内使用公有云的企业总数相比，2021 年的调研是基于大约 3000+ 份问卷得出的结论，而 2022 年大概只有 1000+ 份问卷，调研的机构、方法和采样空间不尽相同，并且只做了两届，所以这个数字有所波动应该也属正常。

多云战略是成功的

90% 的受访者认为多云战略帮助企业实现了业务目标。这个数字在 2021 的版本中是 53%：

采用多云战略的动机是什么？

排名前四的动机分别是：可靠性、数字化转型、可扩展性以及安全治理。但是调研也提到，多云战略的实施成果受制于运维多云的复杂性。

这里的“可靠性”指的什么意思？我们看一下 2021 年的这个数据：

2021 年排名第二的动机是“避免云供应商锁定”，我们有理由相信它等价于 2022 年的“可靠性”。同时我们可以看到 2021 年的第三名“降低成本”在 2022 年中掉出了前四，而原来排名比较靠后的“安全治理”上升到了第四。2022 年的一个特点是企业会更加求稳，防止被供应商锁定后成本失控，以及安全合规的重要性大幅增加。

安全可控在云战略中至关重要

要成功实施云战略，最重要的工具/计划有哪些？在这个问题中：

1. 数据保护/加密
2. 访问控制以及会话管理
3. 机密管理
4. 合规与治理的策略即代码
5. 机器间的连接安全
6. Golden Image 的创建与管理

前 13 名的因素中有 6 项与安全有关，这是非常明确的一个信号。拜登政府在 2021 年 05 月发布了加强美国信息安全的总统行政令：

其中有专门的章节规定加强软件供应链安全：

中国今年也爆出好几起与云、数据泄漏以及勒索软件相关的事件，在未来云计算领域安全合规以及数据加密保护的重要性可能会越来越高。假如你的企业存储了关键数据（例如用户隐私），而你还不知道什么是动态机密管理、策略即代码、软件供应链安全，那么你的企业正暴露在越来越大的安全风险之中。

阻碍组织运营多云的因素

分别是：

1. 缺乏技能
2. 烟囱式团队（团队间很少合作，沟通不畅）
3. 合规以及风险管理
4. 缺乏培训
5. 不同云环境之间工作流的不一致

而 2021 年的调研中，“缺乏技能”也是高居榜首：

能够把云用好的人才不足，这一节实际上和我之前一文中的观点一致：

云计算平台的首要目标用户应该是工程团队，特别是应用交付团队，因为工程团队更能把云平台用出区分度来；简单地把一个公有云交付到工程团队手上并不能直接提升云平台的区分度，错误的工作流一样导致我们把公有云用成传统裸金属集群。一个应用交付团队采用正确的工作流和工具链，可以极大加速向用户交付价值的迭代速度和频率，这种加速使得团队可以更频繁地调节自身，更好地适应各种新的变化。

云计算战略中最重要的因素应该是人。

是什么造成了云开支的浪费？

1. 闲置或使用率不足的资源
2. 预置了过多的资源
3. 缺乏所需的技能
4. 手工容器化（这个我没看懂）

特别的一点，24% 的组织发现他们最终的年度云开支超预算了。这实际上是这些年开始兴起的 FinOps 运动的土壤。

请列举出组织所面临的挑战，并标出一项最大的挑战

被选为最大挑战的是“多云环境的复杂性（多种 API、应用以及流程）”。IaC 以及其他工具可以缓解这一问题，但面临的挑战依然很大。与此同时我们仍然可以看到企业的安全焦虑，在总数的排名上：

1. 数据/隐私保护
2. 威胁检测与治理
3. 合规
4. 落后的安全文化

前 7 项中有 4 项与安全有关。

对云端安全最大的威胁是什么

1. 数据窃取
2. 勒索软件
3. 钓鱼攻击/社会工程学攻击
4. 密码/凭证/机密泄漏
5. 针对第三方软件/云供应商的攻击
6. 威胁行为体（专业进行攻击的个人或团体）
7. 拒绝服务攻击
8. 针对物理设备的赛博攻击
9. 心怀不满的员工/来自内部的攻击
10. 物联网攻击
11. 劫持挖矿
12. 国家支持的攻击

特别解释一下什么是针对物理设备的赛博攻击。现在越来越多的关键的物理基础设施都通过网络连接和远程控制，针对这些设备的攻击也多了起来，例如：

当云计算真的逐渐成为“像水、电一样的基础设施”时，针对云端系统的攻击也就真的可以转变为针对水、电这样的基础设施的攻击，结合当下的全球局势来看，要站在网络战的层面来审视云端系统的安全防护问题。

自动化是管理云系统的最重要的基石

89% 的受访者认为自动化对管理多云基础设施“至关重要”或“重要”。个人的观点，那些只提供一个 GUI 界面的 MSP CMP 是死路一条，因为 GUI 是没法整合进自动化的。自动化的路线一定是 API -> SDK -> Provider -> IaC 或 IaS(oftware)。

停止自研自动化工具

购买、使用商业或者开源的自动化工具以及 SaaS 服务已成主流，对于像 Terraform 或者 K8s、Nomad 这样的工具来说，从头自研一个竞品没有任何意义。

今年的一些感想

安全的重要性无以复加

今年的报告中很多地方都强调了安全的重要性，信息安全越来越像是构成实数的那个正负号，如果安全出了问题，后面的数字规模越大反而后果越严重。

应对安全的挑战，中国很多企业的策略是部属一个不连公网的私有云（Air Gap），设置只要是私有云，连不连公网可能也无所谓。结果就是我们看到这些私有云专有云实际上并不能很好地保护信息安全。安全问题的解决最终还是要依靠各种自动化工具、安全工具和防护措施。

成本控制大有可为

企业用云除了安全，最大的担忧就是预算超支问题。我在《中国的云计算革命尚未开始》一文中提出的一个观点：

云的使用者在旧式的思维指导下用云观念落后，导致局部优化对总体效率的提升相当有限，反而是增加了更多的复杂度。

用数据中心时代的思路去用云，结果就是无法充分发挥出云计算高度弹性的特点和各种托管服务的优势，使得成本比之前用数据中心时可能更高。这两年业界开始有不少 FinOps 团队，但根据“没有银弹”的规律，单一的系统、工具都不太可能使得企业一夜之间就能够有效降低云端开支。最终这个问题又回到了两年两次调查里反复提到的那个问题：

云计算成功的关键在于人

两次调研都把“缺乏技能”列为企业和组织用云最大的障碍。这方面中国可能情况更加糟糕一些，因为中国的公有云总体渗透率也是不如国际先进水平的。我们不可能幻想着原地坐等大量优质的相关人才从天而降，如何培养大批高素质行业从业人员，这是中国互联网行业以及信息产业界必须要认真思考的问题。