ZStack 3.6.0，支持云主机从任意KVM云平台在线迁移至ZStack

ZStack3.6.0，支持云主机从任意KVM云平台在线迁移至ZStack

经常在新闻报道中听到“企业级航母”不是新舰。它从1962年到2013年一直在服役，其关键功能已经平稳运行了50年。船上的人经常变化，电控系统和 *** 作步骤既重视传统风格，也在不断进化。

在感受了zstack3.6.0版本的升级后，我看到了一个欣欣向荣的商业软件完善的全过程。

如果把一个航母编队比喻成一个专属的云 *** 作系统，ZStack从手机软件的功能上就已经完成了“造航母空”的全过程。这些升级主要是“健全管理方法和人为因素 *** 作的软包设计”，通俗点说就是让整个培训变得更简单。

01关键功能稳定

ZStack已经很久没有公布关键功能升级和重要BUG系统漏洞的补丁下载了。并不是ZStack已经黔驴技穷，而是云主机产品的独占使用已经很健全了；我接触过十几个ZStack的客户，大家对有什么bug都没有意见。

积累了20年的虚拟化软件工作经验，这也是ZStack产品R&D测试组的功勋，也是“私有云存储/私有云”比云计算平台更稳定可靠的见证。

每次有盆友想知道云主机应该有什么功能，我是不会让他们盲目跟风去测试的。我只是强烈建议他们去看看ZStack的产品手册。如果是紧紧围绕云主机的功能，有1000多条使用说明。

02细致入微的管理权限和步骤

企业管理软件的决策者是项目经理、首席信息官和首席执行官。在规范了手机软件的功能相似度后，公司更加注重商业软件和自己的流程管理是否匹配。公司的权限设计是基于ActiveDirectoryAD的事实标准，ZStack是我见过最仔细适应公司权限设计的私有云存储手机软件。

根据ZStack3.6.0的升级特点，此次升级将账户与角色、管理权限、资源池(公司/新项目)完全解耦。这种设计对于非专业人士来说是一个次要的细节，但对于企业支付者来说却是一个关键的需求。

在互联网设计产品中，账户所代表的普通合伙人是管理权限和资源设计方案的关键。大家都是从账号的角度来管理资源，人物角色只是一个“额外的功能”，资源池的统计分析和管理方法的功能也被弱化了。

但在公司设计的产品中，不会出现一个资源只由一个账号管理，账号只是真实身份登录凭证的情况。角色是管理权限的组合。公司产品的授权 *** 作，就是给一个账户授予某种角色，从而清晰地描述了一堆客户对一个资源池的授权粒度分布。

Z-ZStack的另一个关键功能是承载审计和业务流程 *** 作的客户订单。传统的客户订单大多是邮件的组合，参与者的角色只能由客户和服务来支持。最后，客户订单的执行依赖于工程师跨越到另一个系统软件去 *** 作。这种客户订单在公司的自然环境下几乎没有使用价值，还不如邮件审核来得痛快。

要审核符合逻辑的客户订单，必须将“客户VS服务支持”的简单交流转变为所有相关角色都参与审核的企业管理全过程；ZStack的工单系统也与业务管理系统紧密相连。步骤审核时，管理权限可完全自动授予，工作可积极开展。这种工单系统本质上就是客户要求的步进自动化控制系统软件。

我不信任互联网营销的云设计产品。如果客户还想“启用会员注册协议”，这就不是一个承包商和一只羊的公平关联了。只是一个牧羊人和羊群之间的关联，一个牧羊人要注意一个羊群的管理方法并不容易。

03重视工程师的 *** 作改进

ZStack3.6.0版本3.6.0预计完成从造船到整训。想要顺利进行培训巩固，就需要了解和关注客户端的工程师，满足他们的传统工作习惯，减少复杂和频繁的错误 *** 作，让客户专注于关键业务流程的识别。

遵从传统的工作习惯并不是一个贬义词。比如网络设计方案中，传统风格不代表过时，可能是经典场景中的设计风格。

在这次升级中，一个关键的互联网功能是VPC服务器防火墙。很多人会把服务器防火墙和安全组混为一谈，马上把系统架构师、软件R&D明确提出的防火墙设置方案扭曲到安全组里。但是ZStack的文本文档中明确说明了服务器防火墙不等于安全组。

安全组是在二层互联网时代出来的。如果做不好第二层防护，那就先做好第三层防护。它的部署位于云主机的网络端口，最重要的是防止其他云主机的非授权浏览。二层保护VxLan普及后，安全组东面的总流量保护功能已经略显可有可无，其南北方向浏览的配置标准过分简单。安全组不需要识别整体目标IP和端口号，因为支持的是网络端口；我们曾经知道的“所有既定情况通关的消息格式”在安全组模式下是无法设置的。

防火墙部署在VPC无线路由上，不关心内网传输。而外部浏览的粒度分布非常精细，不仅能识别源IP的整体目标IP，还能清晰识别协议中的报文格式。对于互联网老工程师来说，服务器防火墙标准中“拒绝”与“被拒绝”的区别可以作为一个经典的面试问题，而服务器防火墙标准中复杂的优先级设计方案则是互联网工程师展示逻辑性和工程项目工作能力的最佳竞技场。另外，VPC无线路由应用NetFlow，在VPC检查常见故障类似于在物理自然环境下。

ZStack的每一次升级往往都会涉及到很多简单的 *** 作，包括3.6.0版本。总体目标是让用户在思考的同时 *** 作一堆复杂的指令，变成只思考一次关键问题，只出一个简单的命令。

上面谈了权限设计，管理者需要做一项工作——在私有云存储服务平台上建立客户。ZStack展示了广告连接和报表导入的方法来大量建立客户；云平台管理员不需要花时间在如何点击电脑鼠标增加客户上，只需要集中精力确定要添加哪些名单客户即可。类似的 *** 作改进包括，例如，通过另一个快照更新服务器计算机的硬盘，优先启动旧主机中的云主机，以及在迁移服务器和计算机硬盘时，按照高或低负载的顺序排列整体目标物理机。

如果是大批量建设客户功能的非传统弱运营，那么人们都会把目光投向V2V的全自动迁移。ZStack早就适用于vCenter云主机的全自动迁移，此次升级后适用于KVM云主机的全自动迁移。

V2V移民最初是一项严重依赖移民工程师人力资源的工作。按照规定，迁移工程师应该掌握业务流程、通用虚拟化技术规范以及新旧V2V资源池的分配，然后睁大眼睛一个一个地移动。现在，ZStack已经做了足够的兼容性工作，并迁移了V2V自动化技术，迁移工程师的工作量将大大减少，他们最重要的活动将是选择迁移目标和机会。

高风险手术不能按照“手术推广”来预防。服务平台能做的只是细化管理权限，建立审核全流程，但肯定不会无缘无故拖着审核全流程，甚至影响高风险 *** 作。执剑人终究要承担执剑人的义务。

04神器的手应该不变地变化

我一直很注意一个定义。完美的商业软件绝不会政治化，裁掉招标方的工程师。只不过是留给招标方工程师的“肥而不腻”的劳动量。投标工程师自始至终都是有管理能力的权威专家，而不是给经销商打工赚钱的苦力。

“肥而不腻”是指认可度高的工作，具有业务流程的价值，不能简单概括；比如ZStack的权限设计只是一个很好的专用工具，招标方的工程师还是要结合实际的业务流程进行详细的调整；比如服务器防火墙的对策设置就比安全组的复杂得多。

“肥而不腻”就是招标方的工程师不要太累太复杂。比如我不确定V2V自动迁移能不能去掉KVM同行的很多新项目，但是我相信迁移工程师由于选择了ZStack，不容易遇到劳动量过大的情况。

现在这套由ZStack为招标方工程师打造的私有云存储手机软件，就是一个让客户的工程师开心放心的有目的有工作能力的彻底培训。最后用这套手机软件来证明自己群体的使用价值。

再优秀的武器装备，都是为生命而设计的，哪怕无人飞机也得听指挥者的指令。玄幻小说里，经常有YY的灭神AI部队摆脱人的 *** 控，但能毁灭用户的程序流，是有严重bug的程序流，或者空话YY。

【ZStack学院】第二季第十期:ZStack3.6.0功能解读