云原生是什么？

技术圈总是在不停地蹦各种新名词。也不知道从什么时候开始，人们慢慢不怎么提“云计算”这个名词了，而是频繁提到一个新名词“云原生”，好像不这么提就不足以体现云计算原住民的身份。不过，要真的问什么是“云原生”，其实很多人都说不太清楚。随着云原生生态如火如荼的发展，甚至连 CNCF 官方都觉得有必要专门做个定义出来：

前一段时间，我在云栖大会上见到了阿里云的李响，就有人问他，“怎么理解‘云原生’？”作为 CNCF 的技术监督委员会成员的李响，以他的角度对此作了阐释：

“我觉得云原生本身实际上就是比较泛的概念，它最终的目标就是利用云上的资源、云上的服务来重构软件开发以及运行时的生命周期。简而言之就是怎么更好利用云。……随着云的发展，云原生本身也会有一些变化，大家接受云原生的理念和实现云原生的情况也会有变化。……我觉得不用太把云原生本身在一个框框里圈定，它更多还是一个核心的概念——更好地利用云释放云的红利，产生相关的技术让大家去实践。”

在我看来，虽然现在云原生的概念的内涵和外延都在不断的变化当中，但是不可否认的是，云计算生态已经从最初的巨石应用、刚性的分布式计算逐渐演变到原生地基于云计算环境进行设计、开发、部署、运维和弹性伸缩。可以说，云原生重新定义了云计算。

借助于云原生技术，一个计算系统可以很便捷的从一个环境中迁移至另外一个环境当中，而这在之前几年，几乎还是不可想象的。就这个场景，阿里云举了一个例子：比如像三维家，他们在上海云栖大会上宣布了全站上云的消息，因为他们已经应用了云原生的方式，仅花了三天把全部业务迁到阿里云上。而在迁移之后，三维家现在可以利用云原生的方式可以充分发挥云计算的弹性，三分钟之内就可以创建 100 个神龙节点去应对突发的业务需求，极大提升企业 IT 的灵活性，并且降低了 IT 成本。三维家表示，“阿里云的容器生态系统打造得非常完善，从监控、日志、服务暴露、应用拓扑、伸缩扩容方面能够做的更加灵活；基础设施的建设和维护稳定性交给阿里云，目前没有出现过问题。”

云原生进化

今年我参加云栖大会，有一个明显的感受就是，阿里云在不断的大声谈论云原生。事实上阿里云早已是云原生计算基金会的成员（现在是白金成员），也在这个领域耕耘良久，但是今年，无论是多到你参加不过来的各种主题演讲，还是各种产品和服务的消息，都在不断的讲，云原生、云原生……

在过去大家更多是把互联网和移动互联网的应用，大部分是无状态应用部署在容器平台之上，今年越来越多的企业开始把有状态的应用、交易类的应用以原生化的方式进行交付，进行自动化的运维。

这次云栖大会上阿里云还发布了 ACK 2.0。ACK 是阿里云容器服务 Kubernetes 版，它提供了高性能可伸缩的容器应用管理能力，支持企业级 Kubernetes 容器化应用的全生命周期管理，简化了集群的搭建和扩容等工作，整合了阿里云虚拟化、存储、网络和安全能力，以打造云端最佳的 Kubernetes 容器化应用运行环境。

关于阿里云容器服务，阿里云的易立说，从 2015 年底公测、2016 年中正式上线到现在的 4 年时间发展非常快，现在已经覆盖了阿里云全球 20 个地域，支撑了国内外数千家客户的生态系统。同时容器产品在持续保持增长，过去 3 年都能保持 400% 以上的增长速度，现在一个月下载次数超过 3 亿次。今年在 Forrester 全球公共云容器平台的评测里面，阿里云是国内排名第一，在 Gartner 报告也唯一入选公共云容器平台竞争格局。

阿里云容器服务优化整合了阿里云整体的计算、存储、网络、安全等核心能力。

比如说计算，不但能够支持强大虚拟机，像神龙这样的裸金属服务，还有异构计算的 CPU、GPU，未来也会包括云栖大会当天发布的含光芯片，通过容器的高效调度能够让 GPU 的利用率提升了 5 倍，而且容器产品能充分把计算资源弹性发挥出来，可以实现分钟级千节点的弹性伸缩，这对客户来说是非常重要的。

而在容器网络方面，它和阿里云的虚拟化网络进行了优化集成，可以实现原生网络一样的性能，与社区的 VXLAN 实现相比提升了 20% 性能。

在存储方面支持阿里云所有的存储产品，包括块存储、网络存储、对象存储等。针对容器场景进行了很多创新，比如说容器高密度部署时容器之间会对 I/O 进行争抢，通过跟操作系统团队进行深入合作，实现了更好的存储 I/O 隔离。另外，还实现了透明、高效的存储缓存，可以低成本支持像高性能计算和AI场景下大数据吞吐量的需求。

本次云栖大会上阿里云发布的 ACK 2.0 面向云原生进化，最重要的是它为整个企业上云奠定了一个新的基石。首先是容器服务全球化的部署，利用在阿里巴巴集团的大规模生产实践沉淀，建立了这样的基础设施。其次，云边端一体化可以实现边缘节点极大降低访问的延迟降低 75%。第三，可以让客户把他的私有云和云端利用 Kubernetes 进行统一管理，应用发布效率可以提升三倍，另外，还提供了全链路的安全架构，对安全风险进行监控。

对于云原生的发展，作为阿里云内部基础设施负责人的李响，在帮助阿里经济体以更为云原生的方式上云，在推动阿里经济体采用 Kubernetes、Service Mesh、Serverless 这些技术。他谈到：

“阿里和蚂蚁有着最大的 Kubernetes 集群，我们对 Kubernetes 上游拓展性、功能性是最大的贡献者之一，我们今年尝试落地Service Mesh，之前大家对 Service Mesh 的疑问是，它能不能应对一个复杂的场景，尤其和传统的微服务体系对接的场景。在阿里巴巴内部要验证这件事情，我们要告诉大家可以做到，而且我们要告诉大家怎么做到，后续会提供解决方案让大家去做这件事情。

第二，大家会思考 Service Mesh 的规模性是不是足够，阿里巴巴其实有巨大规模性的挑战，我们也会解决 Service Mesh 规模性的问题。我们认为阿里巴巴能够使用 Service Mesh，我想世界上 99% 的公司都可以使用 Service Mesh， 而不会遇到它的规模性问题。

第三，Service Mesh 是不是会影响核心链路上的性能问题，会不会影响在核心时刻的性能。我们也会在双 11 这种洪峰流量，对流量要求极高的情况下去验证 Service Mesh，使用 Service Mesh，去打磨 Service Mesh，所有打磨的东西会反馈到上流，让用户、开发者享受到这种红利。

第四，阿里巴巴通过这些事情培养出一批靠谱的工程师，我们有非常强的兜底能力，当用户遇到任何问题，阿里巴巴都能帮你解决问题，阿里巴巴真的是运营这套体系的，有这个生产实践的经验。

阿里巴巴真正把‘云原生’新的概念，在我们认为正确的方向进行落地、进行打磨，最后交付给客户。所有这些东西，当我们说阿里巴巴云上有这样的产品，一定是可靠的，一定是稳定的。”

容器安全是重点

当然我们也看到企业客户在使用云原生技术过程中面对几个挑战，第一个挑战就是安全。

安全是企业上云的首要关注。云原生加剧了这个挑战，云原生平台高密度、高动态部署使得遭受攻击可能性增加，而且一旦遭受攻击，用户不知道是谁受到攻击，也没有办法实时应对。

安全是体系性的东西，永远在最弱的一环去攻破整个企业的安全体系。阿里云容器服务实现了非常全面的端到端的云原生安全的架构，包括基础设施的安全，跟阿里云的云安全基础设施紧密基础，利用 RAM 进行认证、鉴权和审计，支持存储的 BYOK 加密等，提供了一个安全的云基础设施。

同时，在应用的生命周期里面用了安全的镜像检测，上线之前要进行扫描，上线之后会进行实时的安全检测。还有运行时的安全，因为安全的风险无处不在，一旦出现了安全问题必须第一时间对它进行监控、报警。

对于企业来讲，大量采用容器之后面临的挑战之一就是安全隔离。比如说一台机器上要混布多种类型的应用，但是有些像金融交易的应用，安全级别敏感性会很高，不希望受到其他应用的攻击和干扰。另外企业除了自己的应用还要部署第三方应用，这个过程中对一些不可信的应用要进行安全的隔离，阿里云引入了安全沙箱一系列的技术。传统的容器 RunC 用是共享内核的机制，很高效，但是安全隔离做得不好，现在可以利用安全沙箱可以进行安全隔离。

在这方面阿里云有一些差异化的优势：首先就是对它进行大量的性能优化，比如说它的网络跟原生的进程没有任何区别，网络性能非常好。整体能够达到 90% 的原生性能，对用户来讲可以获得非常好的安全性，同时对性能损耗是可以接受的。另外，能够让用户自主选择是 RunC 还是安全沙箱，两种容器运行时用户体验是完全一致的，用户可以根据自己对业务需求来选择合适的容器应用技术。

在安全容器领域有几个重要的项目，如 Google 的 gVisor，以及已经属于蚂蚁金服旗下的 Kata 容器项目等，不过和易立的沟通当中，我了解到阿里云容器服务的安全容器所采用的技术并非照搬 Kata 容器技术，而是集成了目前主流的安全容器项目，加以自身的创新而成的。阿里经济体实际上在容器安全方面投入非常大，包括 Kata，还有其他几种技术。他们与蚂蚁金服、阿里的操作系统团队合作一起来提供这样商业化安全容器的实现。这次发布的安全沙箱容器底层技术针对阿里云进行了大量优化，跟 Kata 技术有些类似，但是里面有很多部分不同，性能也做了大量的优化。

现在提供的是基于虚拟化隔离的安全技术，后续会陆续提供其他的技术能力，它们的隔离级别和适用场景是不同的，用户只要去选择就好了，在保证用户体验是一致的基础上，对用户是透明的。

结语

我们看到，阿里云正在云原生的路上狂奔，将各个产品、服务都押宝在元原生的领域上。最后，让我们用李响的一段话来结束这篇文章：“新兴的应用，或者是新兴的领域，我们建议你使用容器轻量级自动化平台，现在我们阿里云、ACK 都是朝着这种模式跟大家宣导的。我们要去帮助开发者，引导开发者从非原生的体系向云原生体系去转移，我觉得这条道路非常重要，这也是阿里云的责任，带动整个国内的基础设施，带动国内云原生体系发展，我们要去承担这件事情。”

从十多年前云计算开始兴起，这些年云计算已经逐渐蔓延到了我们身边，如今，你所使用的很多服务其背后都是由云计算所支撑的。

但是，很多企业的 IT 设施以及网络服务，还一直因为种种原因而迟迟难以迈出上云的一步。这里面，有很多原因，有 IT 预算和迁移成本问题，有基础设施和应用迁移改造的问题，也有对云计算环境的安全性、可靠性的担忧问题，还有企业技术储备和能力问题。今天，我们将从技术的角度来看看，企业是否已经到了全面上云的拐点？

“企业全面上云的拐点到了”一语最近来自于 7 月 25 日在上海举办的阿里云峰会。在该次大会上，阿里云智能总裁张建锋表示，“全面上云是时代必然，今年是一个非常重要的拐点。”经过了过去十年的发展，云计算以及在关键技术和应用规模上实现了对传统 IT 的全面超越。

这里有个重要的信号，据 IDC 最近发布的《全球云计算 IT 基础设施市场预测报告》显示，2019 年全球云上的 IT 基础设施占比超过传统数据中心，成为市场主导者；而在中国，服务器出货量出现 10 年来首次下滑，企业快速迁移上云是背后主要诱因。

迁移工具就绪

企业上云最大的阻碍之一就是现有 IT 基础设施、应用和数据如何平滑地转移到云上，因此，一套可以无痛解决这个问题的迁移工具是企业上云所面临的当务之急。

各个云厂商均纷纷加大在企业迁云工具方面的努力，这里我们就阿里云来看，他们已经全面考虑到了企业上云的实操问题，提供了从服务器迁移到数据、数据库迁移的完整工具，完善地解决了传统 IT 中积累的大量数据无法搬迁的问题。

服务器迁移面临着三大痛难点，主要是应用高度复杂、操作麻烦、无从下手；迁移周期长、可能影响业务正常运行；通过制作镜像的方式迁移消耗大量人力资源。

阿里云已经免费提供自动化迁云效率工具—— 服务器迁移中心 （ ServerMigration Center ） （SMC），帮助企业服务器快速上云。

数据迁移时，必须要保证迁移数据的完整性、实现迁移时业务无感知，最终以最高的效率完成迁移。

阿里云的明星产品闪电立方，既可以满足轻量级的数据迁移，也能够支持TB到PB级别的数据量迁移。此前还支持过 115 科技完成互联网史上最大规模的数据迁移上云：规模超过 100 PB，整个项目耗时仅 45 天。

传统的数据库迁移工具要求数据库在迁移中必须停服，极大影响业务。

早在 2015 年，阿里云就发布了 数据传输服务 （ Data Transmission Service ） （DTS），采用 DTS，数据库在迁移过程中依然可以正常提供服务。目前，DTS 可支持多达 18 种数据源，已完成约 40 万个数据库上云。

云端环境就绪

在消除了迁移上云的障碍之后，完善就绪的云端环境决定了企业是否能在云端环境延续计算和应用。而云端环境不仅仅要求能够节省 IT 成本，也要求提供更高的稳定性、安全性和扩展性，以及更丰富的云端产品服务生态。

基础设施的上云不外乎服务器、存储、数据库等核心产品。对阿里云来说，在各个产品维度已经具备了完美的替代，IaaS 层面它们共同构成了飞天云操作系统。

例如服务器，除了性能稳定的 ECS，还有软硬一体的神龙云服务器，兼具虚拟机的灵活、可扩展，又有物理机的稳定和安全隔离特性。

数据库上，云原生数据库 POLARDB 在可用性、安全、成本、管理难易程度上都远远优于商业数据库。

阿里云存储已经连续三年入选 Gartner 全球云存储魔力象限，和 AWS、Microsoft、Google 共同跻身全球四强，服务客户由国家天文台、华大基因、今日头条等。

基础设施上云后，随后考虑的则是可以在云上获取价值的模块上云，包括大数据上云、云上中台、智联网 AIoT，这也都是阿里云承载客户上云的“王牌”。

飞天大数据平台是当前国内规模最大的计算平台，可扩展至 10 万台计算集群，曾创下四项海量数据排序世界纪录。在阿里巴巴经济体中支撑了全局数据存储和计算，单日数据处理量超过 600PB。

双中台是指数据中台和业务中台，已经帮助阿里巴巴经济体多元业务互联互通，业务创新层出不穷，人机协同大量运用，数据智能开创全新的商业形态。通过中台技术，在海外再造一个淘宝天猫，只需要两三个月时间，而盒马更是仅用 4 周就开发上线。

智联网 AIoT 融合了云边端一体化的人工智能与物联网能力。具备从高性能 AI 芯片至云平台、AI 算法、AI 组件以及产业 AI 的立体能力。

当行业大势已定，当阿里云的准备也一切就绪，还有什么可以阻挡企业全面上云的步伐呢？

2017云栖大会，阿里巴巴集团 CTO 兼阿里云 CTO 行癫就开源谈了一番他的看法。

行癫在阿里历经了从技术到商业，又从商业到技术的过程，十多年的阿里生涯，让他对开源、技术和商业有了深刻了解。

开源的核心是连接，社区的根本是连接

行癫说，阿里巴巴的平台将“消费者和商家连接在了一起，这个平台不仅是个渠道，也从消费者获得了非常多一些反馈，能够快速的根据消费者的需求，来做出满足消费者要求的一些产品。我们回过头来想一下，开源社区，非常像这个模式。”

这个商业模式，其实就是将相关的人、物、关系连接到了一起，与开源的道理是一致的。

行癫认为“开源要做好，它最重要、最核心的一点，是把相关的一些开发者、用户，通过软件、工具和平台连接在一起了。”

纵观那些发展的比较好的开源软件，都是通过开源软件、通过开源的模式和开源的平台，将最优秀的开发者联系起来，将最有价值的软件用户连接起来。

互联网的本质是连接。没有互联网之前，所有的行为、所有的商业都是单向的；有互联网之后，非常非常多的连接就产生了。所以对于开源，行癫认为它“是根植于互联网的，有了互联网技术平台之后，开源能够做得更好。”

开源是生长于社区土壤中的，而社区就是一种将参与者连接起来的机制。首先通过将人连接起来，然后才能逐步考虑将来的发展，考虑如何发展和进行商业化发展。

一个开源软件在诞生之初，有可能只是表达一下对技术的理解和看法，也有可能只是解决某个痛点——大多数情况下是自己的痛点，还有可能只是好玩。至于将来能走多远，能否得到社区的迎合，能否发展出一个生态，甚至成为商业新动力，在最初往往并没有很远的计划和远景。

但是，在建立连接后，有了一个社区的土壤之后，就有了成长为一棵大树、一片森林的可能。“把人连接在一起，然后后面才是讨论核心问题，和怎么样进行商业化”。

而现在的云栖大会“也是一个连接”，通过网上直播，中国大概会有一千万左右的开发者会来参加这个云栖大会，所以“云栖大会把中国最具有活力的一群开发者，全部连接在一起了。今天这种形式的大会，本身就是一个对开发者来说，一个最重要的纽带。”

阿里为何拥抱开源

阿里巴巴最初是采用商用软件做解决方案，基于小型机、企业级的基础设施。阿里巴巴的平台三个比较大的特点，“互联网级的规模、金融级的稳定性、企业级的复杂程度。”在这种情况下，一方面，如果继续用 IOE 基础设施，随着业务规模的扩大，将来根本无法覆盖剧增的成本。另外一方面，商用软件的支持情况也难以满足业务的增长带来的各种需求。

因此，阿里巴巴发起了去 IOE 行动，全面投向开源解决方案，用开源软件构建了满足其体量和需求的基础设施。在这个过程中，阿里巴巴一方面大量采用开源软件替代传统的 IOE 基础设施，另外一方面也要面临一些前所未有的需求。

“阿里巴巴应该是最早把这么复杂的一个应用系统，全部放到开源社区的应用上的。”因此，在规模扩大了到开源软件原来很少涉及的数量级时，就会发现很多之前隐藏的场景问题。在这其中解决了无数的问题，因为面临的环境跟别人不一样，面临的要求也跟别人不一样。阿里做了非常多的工作，把他们的互联网的架构中现在社区不具备的一些功能，都纷纷补上去。自己开发了很多的中间件去满足这些功能需求。

积极回馈开源

在全面投入开源的怀抱后，阿里也积极回馈开源社区，真正使自己成为开源社区的一份子。这可以从近年来阿里加大对开源社区的赞助、代码的贡献、开源社区的扶持，以及鼓励技术人员走出去等举措上可以看出来。

在本次云栖大会上，阿里巴巴宣布了正式发布了 OpenMessaging 和 ApsaraCache 两个开源项目。此前，阿里巴巴捐赠的开源的 RocketMQ 已被 Apache 基金会接纳为全球顶级项目。

“开源和阿里巴巴都根植于互联网，有了互联网技术平台之后，开源和商业将在未来相当长的时间内保持平衡的发展。”行癫表示。

据悉， OpenMessaging 项目是由阿里巴巴发起，与雅虎、滴滴出行、 Streamlio 公司共同参与创立的分布式消息中间件、流处理领域的应用开发标准，目前已正式入驻 Linux 基金会，这也是国内首个在全球范围内发起的分布式消息领域的国际标准。

该标准可以不受编程语言限制，能满足企业对扩展性、伸缩性、隔离和安全的要求，可提供大规模的工业级支持，支持标准参照点的添加与标准化测试，开放接口便于对其他不同标准的接入，适用于金融、电商、物联网、工业互联网等行业。

“OpenMessaging 希望成为全球化、无国界、无公司边界、面向云和大数据、多行业领域的一站式方案标准，这也是阿里巴巴第一次在国际社区进行的主导和探索。” 项目负责人蒋江伟表示。

同时，在云栖大会现场，阿里云数据库负责人余锋与 Redis 创始人 Salvatore 共同宣布 ApsaraCache 在 Github 上正式开放下载。ApsaraCache 是阿里云数据库 Redis 版的分支，适用于更大的数据规模和更多的应用场景。

“ApsaraCache 项目开源是一件非常好的事情，将能够吸引全世界更多 Redis 核心专家参与，进一步提升产品的稳定性和可用性。” Salvatore 表示。

Mysql 之父、 MariaDB 创始人 Michael Widenius 已经连续三年参加云栖大会，年过 50 的他依然奋斗在代码第一线，Widenius 表示：“很多 MariaDB 的运用源自我们的开发者，维基百科用的就是 MariaDB，我们也从阿里巴巴中获得了很多开源的支持和贡献，确保能给大家提供功能丰富的数据库产品。”

图为 Mysql 之父、 MariaDB 创始人 Michael Widenius

近年来，阿里巴巴在技术领域投入不断加强，拥抱开源也由来已久，积极加入了包括自由软件基金会、Apache 软件基金会和 Linux 基金会在内的多家国际知名开源组织。目前，阿里巴巴开源和维护的开源项目超过 150 个，涵盖中间件、开发框架、数据库和各种工具类软件。在开源中国公布的“2016 年度最受欢迎中国开源软件评选 TOP20”榜单中，阿里巴巴独占 4 席。其中 Weex、Ant Design、Dubbo、Fastjson 在 GitHub 上的星标数已经破万，“Alibaba”组织在 GitHub 上星标数超过 170,000，组织排名进入前十。

开源之路

行癫认为，“开源我觉得有几个层次”，刚开始可能只是做了一个工具，这个工具做得非常好，可以解决一个非常确定性的问题。逐渐地，这个工具可能会变成一个产品、变成一个系统，慢慢延伸出一堆工具。“开源要成功，第一步要做好一个工具，第二步会变成全链的产品，我觉得最成功的就是变成新的一个生态。” 开源软件组成了一个生态，无数人为这个生态贡献了新的智慧、新的工具。融入这个生态的人，或许只用非常少的代价，就能够找到跟他的工作场景、业务场景相匹配的模式。到这个程度，“这个社区就发展得比较成熟了。这个可能是大多数开源软件必须要去走的一些路径。”

“今天要开源的其实不仅是软件，还有很多硬件”，行癫说。“今天的开源比以前的更复杂，有可能是端跟云端的结合。……互联网第一阶段的开源，是基于互联网的端建成的；互联网的第二个阶段是 IoT，我们希望所有的设备能够串起来。所以我认为接下去开源软件会与硬件结合，这就是从单纯的互联网向 IoT 时代发展非常重要的一个过程。”

结语

在近来几届云栖大会上，开源已经成为了永恒的主题，除了开源专场之外，在各个会场和论坛，充斥着各种热烈的开源气息，无数建筑于开源之上的产品、服务源源不断的开发出来，无数的技术人员和开源爱好者投身于开源世界。让我们期待云栖大会成为开源的大会，成为中国开源界和世界开源接轨的枢纽。

先分享一个好消息：今天 《麻省理工学院科技评论》 （ MIT Technology Review ） 杂志揭晓 2017 年全球青年科技创新人才榜（TR35）评选结果，阿里巴巴人工智能实验室首席科学家王刚、阿里云首席安全科学家吴翰清脱颖而出，获此殊荣。

TR 35 获奖者 吴瀚清

TR35 是一个针对 35 岁以下青年科技才俊，为找出最有可能改变世界的牛人而设立的奖项。

自 1999 年以来，该杂志每年会在全球 IT（计算机、通信、网络）和生物医药、商业等领域内，从影响力、创新力、进取力、未来潜力、沟通力五个维度进行评估，挖掘学术界和工业界的 35 位科技创新精英。

从以往的上榜者来看，说 TR 35 是预言人类进程的先知也不为过。Google 联合创始人拉里·佩奇（2002 年）和谢尔盖·布林（2002 年），Linux 之父林纳斯·托瓦兹（1999 年），Facebook创始人马克·扎克伯格（2007 年），Yahoo 创始人杨致远（1999 年），Apple 设计总监乔纳夫·伊森（1999 年）等，都曾是该奖的座上宾。如今，他们正在改变我们所处的世界，甚至影响人类进步的方向。

正因如此，TR35 的门槛极高。据统计，从 1999 年到 2016 年，共评选出 820 名 TR35，中国入选者仅 17 人。今年，阿里巴巴有两位科学家同时入选，创下中国互联网科技企业的先例。

非常荣幸，上月在北京举办的网络安全生态峰会上，我与吴翰清有过一次深入的独家专访。本文特别采用问答形式，希望还原吴翰清在技术领域的深度思考。

一、云计算终极目标：实现飞机那样的技术普惠

老王：

网络攻击和渗透行为日益增多，给社会和企业带来巨大危害。但并不是每个企业都有足够的预算和技术能力来迎接安全风险的威胁。

安全服务也能像水、电、网这样的基础服务一样，可以随时购买、随时使用，而不用关心很多引擎盖下面的技术细节？

吴瀚清：

我自己觉得这个问题得分成两部分来看。

首先，今天整个云端团队，或者阿里云安全团队希望成为互联网安全的一种基础设施。既然它是基础设施，它对于很多的人来说，就应该是普惠的，如同今天的水、电、网一样。在这个层面上来讲，我们希望把安全服务做的更加的透明一些，更加的无感知一些。

从技术的角度来讲，有一些问题通过弹性安全网络就有可能解决掉。

但网络安全服务其实是一个研究对抗的问题，只要是人与人之间的对抗，只要还要有坏人存在，就一定有新的安全问题会涌现出来，只是会随着技术发展不断更新。

比如，过去从 PC 走向了互联网、移动互联网，再走向 IoT，所有的安全问题也是跟随着 PC 的发展，然后到互联网，再到移动互联网的安全问题，到未来是研究 IoT 的安全问题。

另一方面，其实我觉得云计算的安全方面，或者云计算本身，它非常像飞机。比如说你要造一架飞机，用到的技术是极其复杂的，但是今天我们每个人都能够用非常便宜的价格，去享受这个航班的服务。所以我觉得这就是里面的差别。

就是说，我们要重新去发明一项技术，把它做到足够成熟是需要非常专业的人，花非常大的代价去把它做出来的。但是，最后我们要把这个非常复杂的技术，做到每个人都能够用。每个人都能够用最低的成本、最低的门槛去使用。

我觉得这个就是云计算所要追求的目标。就是要让技术变的普惠。让每个人都能够非常简单的去用非常复杂的技术。

对于普通客户，他并不需要理解一架飞机的原理，它只要能乘坐就好。

二、安全边界将会越来越模糊

老王：

怎么样才能让用户，在需要时能够感知到安全，没有遇到安全问题的时候实现隐形。这个安全边界是怎么确定比较好？

吴瀚清：

AWS 提出了责任共担模型，他们认为操作系统之下的都是他们来负责；操作系统之上的都是客户自己来负责的，比如客户自己写的应用，比如自己管理的一些系统，比如客户配置出现了问题，都是要客户自己来负责的。但是操作系统之下，进程本身的安全，包括底层基础设施的安全，这些都是由 AWS 来负责。他们把这个边界划在这里。

但是我觉得这个边界，也不是一成不变的，它会随着软件架构的演进而不断发生变化。

边界会越来越模糊，而且我们整个技术是在进步的，所以在我的理解里，云计算是不需要像 Windows 跟 Linux 这样的 PC 时代的操作系统的。

因为今天大量的云时代的应用，或者互联网时代的应用，实际上就是用代码直接操作数据，其实并不需要关心底层操作系统。从这个角度来讲，今天这些程序员写代码的方式将来都是需要变化的。当计算时代真正到来的时候，比如说现在 AWS 就在推 serverless 这样的一些东西，谷歌也有 GCE，类似这些东西，实际上它真正代表的是未来我们写代码操作数据的方式。

所以回到未来来看，今天你所关心的很多的软件问题，在那个时候已经不再是一个问题了。因为都被云计算公司封装到了它的责任范围之内，所以我觉得这条线、这个边界是在不断地演进的，而且它的封装是越来越完整的。

三、未来五年，安全看 IoT 和 AI

老王：

你们现在有没有考虑到三年、五年以后的安全势态会怎么样，会不会研发相应的产品和技术？

吴瀚清：

我觉得未来要抓的两件事情，还是相对比较明确。

在战略思考方面，第一个就是抓 IoT。可能在整个 IoT 这方面，最根本的一个东西就是认证体系，它应该是从一个硬件芯片开始，通过证书做硬件的加密和认证，然后通过信任链的传递，在整个 IoT 里面我们就会有一个可信的计算环境。我们今天在 IoT 的安全方面，已经有一些解决方案。

另外一件，我觉得 AI 是我们这个时代接下来需要重点去抓的事情，它带来的这个变化，可能会超过我们所有人的想象，它可能会像手机出现的时候，会对这个世界带来这么大的影响和变化。所以今天如何把 AI 应用在我们安全技术本身，这个是我们今天要去思考的。

四、对网络暴力斗争到底

老王：

在安全圈子里，有没有攻击者和厂商互相勾结？

吴瀚清：

从这个行业乱象来讲，今天一定存在你刚才说的这种黑与白的互相勾结，或者收取保护费的事情。

特别在我所了解的高防这个产业，实际上有一些这样的乱象的，就是攻击者和收保护费的实际上是同一波人。但是今天从其他的一些我所了解的一些厂商来说，比如说像今天的阿里，或者我们的一些友商，他们是绝对不会做这种事情。

因为对于阿里自己来说，对我们来说每一次大的攻击的挑战，实际上都是一次磨炼我们技术的机会，如果我们不去正面迎接这种挑战，我们的技术就不会进步。错过了我们技术进步的这个机会，我觉得这才是对阿里来说更大的一个损失。所以面对这种网络暴力，实际上我们更加采取的是这种绝不宽容的这种态度，一定会去斗争到底的。

五、安全和开源、闭源没有关系

老王：

你对开源与安全是怎么看的？它们之间有没有必然联系？有什么样的联系？

吴瀚清：

我觉得安全不安全，跟开源还是闭源没有直接的关系。但是它跟这个软件背后的这个运营方是有关系的。

比如就开源软件来讲，有很多很多的开源软件，确实对整个互联网作出了不可磨灭的贡献。但是也有很多开源软件，它的软件开发者是非常、非常缺乏安全意识的。

像 Linux 这种，它本身有一个非常好的基金会，它的开发者都是非常资深的软件工程师，本身又有非常好的安全意识和非常完善的机制。从这个角度来讲，Linux 本身的安全，我觉得是做的非常不错的，而且它也在持续的、不断推出一些新的安全功能。

回到闭源软件这一边，比如微软本身就建立了非常好的一个应急响应机制，它本身建立了非常大的安全团队来做安全这个事情。从这个角度来讲，微软的安全也做的不错。

在我看来，更重要的应该去关注应急响应，这应该是整个安全机制里面最重要的一些事情。甚至我觉得，应该占到整个安全工作的 50%。另外 50% 的工作就是检测，所以安全实际上就是做两件事情，就是检测和响应。

所以在这里面我们做的很多工作，都可以看成应急响应的一部分。比如说你发现问题之后，你去做这个漏洞的修补，以及定期检查之后做的加固。包括通知机制，实际上都是应急响应需要去做的。应急响应不仅仅是解决具体某一个漏洞的问题，它还包括一系列的问题，包括安全的分析，以及产品能力本身的提升，比如说这次响应没有做好，下一次你的产品是不是有更强的能力来提升？

同时这还涉及到一个对外舆情的问题。这种应急响应是不是会带来恐慌？比如说有一些安全问题，完全是炒作漏洞，很多客户就会引发恐慌，这时候你能不能通过技术分析出来拨乱反正？所以有很多这样的问题，综合起来就会变成一个体系。

我们觉得今天可能更多的东西，应该是从实践中来的。所以几乎阿里云每周都在进行安全响应，每周都在响应两到三次。所以就会把我们的一套非常高效的流程给逼出来。

在未来我们也希望在这一块能够帮到更多的企业，我们在应急响应这块，也希望能够推出更多的产品和服务。

六、坚持产品的使命是最根本的东西

老王：

你是阿里云的初创成员之一，也是阿里云安全团队初创成员。是否可以分享一下如何规划团队的技术和发展？

吴瀚清：

阿里本身也是一家使命驱动的公司。所以这两点，造成我们的做事方式实际上还是有迹可循的。

今天在所有的战略思考和所有的坚持上面，我们的使命一直是建设互联网安全的基础设施。

从这个角度来讲，我们会做很多、很多的东西。我们现在的产品，不管这个产品的形态如何发生变化，可能会经历一些阶段性的失败，但是我们的产品，最终它要去的那个地方，是始终没有动摇过的。

像我们的高防产品，我们第一天就打出一个使命，就是我们要消灭互联网的 DDoS，这是我们和其他所有做高防产品厂商的区别。他们都是希望 DDoS 存在的，因为这个能带来业务收入。

但是我们今天不在乎靠这个反 DDoS 产品赚钱，虽然今天我们的主要收入确实来自这个产品。这是一个现状，但是未来我们要去的地方-------我们是希望消灭整个互联网的 DDoS 的。我也觉得，只有真正到了那一天，我们对这个互联网和对这个社会的贡献的价值足够大，才会有足够大的商业空间诞生出来。我觉得这是我对整个商业的一个理解。

所以我觉得，今天在整个使命愿景的坚持上面，是我们最根本的东西，今天经历的所有的波折，实际上都是可以根据时间随着来调整的。

七、给年轻从业者的建议

老王：

现在有很多年轻人想从事安全服务行业。作为一个资深的网络安全专家，有什么建议？

吴瀚清：

我觉得主要是三件事情。第一件就是多看一些书；第二件是多去见一些真正优秀的人；第三件是多经历一些事情。

回到安全服务这个行业，我觉得除了多看书之外，动手能力是最重要的。我觉得这个对于所有从事计算机产业的年轻人，都是非常重要的一个建议。就是动手远比从书本上看东西要重要------当然看书也很重要。

再就是能够多接触一些行业里面真正优秀的顶尖人物，我觉得这是需要他自己不断去找机会去拓展的。

安全这个行业，我觉得跟其他产业不太一样的地方，就是在于今天我们是在里面有一个对抗存在，涉及到正义与邪恶的，我希望未来的年轻人不要走上邪路，要站在正义的这一方，真正成为光明的守护者，去保护我们人民财产的安全。

采访后记

对吴瀚清的采访就到这里，从和吴瀚清的交谈中，我能体会到真正纯粹的技术专家的赤子之心，也能感受到吴瀚清和他的团队对安全的热爱和社会责任感，其所一直践行的，或许就是他的“道”吧。

采访者：老王，Linux 中国开源社区的创始人，曾任职亚信旗下的玛赛系统安全公司的华东区技术总监，中国电信系统集成公司网络安全事业部高级专家。

近日，老王获邀参加了阿里云举办的年度盛典 2016 杭州云栖大会，第一次赶赴了传说中的云栖小镇（这地方名字真的就叫这个，我一直以为只是个别称呢），参加这场前后持续了四天的盛会，也是第一次参加了还有夜间场次的技术会议。

从五通一平，到人工智能 ET；从金融云，到互联网级操作系统，物联网，城市大脑。为期四天的会议真是带来了太多信息，以至于我只能选择性的参与一些场次，今天还有朋友问我，有没有记录会议笔记可以给她学习下。说实话，还真没专门记些什么，不过我把自己印象深刻的几个地方写出来，算是分享给大家吧。

在第一天的主论坛上，马云做了重头讲演，对他的讲演已经有了太多的媒体披露和阐述了，我就不赘述了。老王还是以一位专业技术人员的角色来谈谈自己的感受吧。

在主论坛上，阿里云资深总监李津回顾了从 2009 年开始，阿里云飞天系统写下第一行底层代码到今天，飞天给大数据，人工智能等领域带来的变化，并发布了一系列的新产品。

其中有几个谈到的地方值得关注，首先是一些趋势和数据的变化：

• 金融是传统 IT 产业皇冠上的明珠，也是云计算的金线。今天已经有 2000+ 以上的金融机构跑在阿里云上。
• 阿里云在上一个季度实现了 156% 的增长，并发布了一站式软件交付系统，即将改变了技术生态与企业的连接模式。
• 阿里云的基础设施已经覆盖了全球 600 个节点。
• 传统 IT 存储市场急速下降，阿里云存储市场上升 500%。
• 云市场增速 652%，已经有数千万的 ISV 提供服务。
• 华北 3 数据中心即将开服，中国最大的绿色数据中心，数据中心能源效率（PUE）指标可达 1.13。
• 阿里云将国家地震局的分析计算从 10 个月降低到了 18 个小时。

这里面颇有几个令人吃惊的数据，不过我更关注的技术和开源领域的变化：

• 宣布阿里云和 Docker 达成深度合作。李津认为，只要中国云计算生态做的足够好，世界终将会拥抱中国云计算生态。
• 阿里云正式开源 AliSQL，后续会不断推进开源。我目睹了 AliSQL 在 GitHub 上的代码库从“Private” 变成了“Public”的那一刻，想必开源界会有不少人会去亲自 review 代码看看。
• 计算和存储分离的架构带来更高效率。主流开源界开始拥抱中国云计算，OSS 被诸多开源软件原生支持。
• CDN 支持 HTTP/2，高速，安全，可靠的 CDN 时代来临。

此外，在网络安全方面，阿里云安全体系保障了 G20 期间 200 多家政务系统，应对了世界级的安全挑战。阿里云金融云平台通过公安部云计算等级保护四级，这是当前最高安全等级。

以及，Intel 首次为中国云计算定制 CPU，具有高主频高密度等特点，软硬件结合将改变底层生态。这挺让人震撼的。

当然，还有一个消息就是，降价了。技术让阿里云成本更低：核心产品降价10%。同时对于云服务，云数据库，云安全及云储存产品两年 7 折，三年 5 折。核心产品按量付费直接降价50%。据说，过去一年已经降价 17 次了！

除了主论坛，老王专门参加了开源技术专场，亏我去的早，坐到了第一排，亲见了 MySQL 之父 Michael Widenius （即 Monty）和 Docker 公司的生态开发总监 John Willis （他也是一位全球有名的 DevOps 专家）。

从右向左分别是：Michael Widenius、John Willis 及其随员。在讲演前后，一大批与会者纷纷与两位大神级程序员合影留念（没有人与美女随员合影，不知道她内心的感受是……）。

开源专场是由阿里云技术专家唐容主持的，并做了开篇演讲《阿里开源发展与生态》，算是比较系统的讲了阿里开源的发展和理念吧。

其后两位国外大神的英文演讲还是干货满满，感觉不错，就是同声传译的女生好像对技术不太了然，翻译这种技术演讲感觉很辛苦。说到 AliSQL 开源仪式，还真是个仪式，现场为大家展示了如何将一个“Private”的 GitHub 仓库变成“Public”的。 ：D

次日，我去听了 YunOS IoT 峰会。YunOS 事业群总裁张春晖做了开篇演讲，其中有几个内容引起了我的注意，分享给大家：

• APP 的孤岛是无法用 APP 时代来打破的，所以一定要用一个新的方法来打破，那就是服务，那就是一个服务的世界、一个万物互联网的时代所带来的。
• 怎么才能打破设备的孤岛？什么是最根本的东西，那可能就是芯片，从芯片入手，可能就可以实现打破设备的孤岛。
• 当我们能打破APP的孤岛，设备的孤岛，最后就有可能演变到万物互联网。

除了演讲，在会场和展台也看到了很多 YunOS 的应用， 有机器人、智能家电、互联网汽车等等。不过，我更感兴趣的是，晚上举办的开发者之夜。说起来，我还从来没参加过晚上举办的技术大会——可见这场大会的信息密度有多大了。

草草吃了一点晚饭后，就赶快去开发者夜场了，YunOS 技术专家讲到了 CAF， 据其介绍，这是一个开发框架，作为专为服务和互联而生的框架，它可以大幅降低开发门槛，无需安装即可使用，不仅可以快速提升应用分发能力，同时还可以全面覆盖多终端而无需单独开发。据其后讲演的掌阅副总裁贾生亭说，借助于 YunOS 大数据分析能力及精准的用户画像，人均阅读时间增长 40%，付费转化率提升 45%。

感觉 CAF 对 YunOS 的生态建设起到了很重要的作用，应该去试试： http://open.yunos.com/ 。

最后，还有个小花絮，这场大会里， Costa 咖啡专门定制了飞天（APSARA）咖啡——“听说咖啡产代码”，喏就是这个：

作为一位老程序员，这一定得喝一杯啊。于是我就专门跑遍了整个会展中心，终于找到了 Costa 咖啡店，并出示了定制卡片。然而，我得到的是这样的：

瞧人家的代码，再看看我的代码……

参加完 2016 杭州云栖大会之后，当飞机着陆到北京首都国际机场，走出机场时，我又见到了：

阿里云云栖大会6月15号在厦门盛大召开，我们有幸和阿里云资深总监李津面对面进行了交流，就阿里云在云计算方面的一些发展和战略进行了较为深入的讨论。

这次谈话是在李津（以下简称李）、Linux中国的创始人王兴宇（以下简称王）之间展开的。通过这次讨论让我们对阿里云有了更新的认识。

话题是先从 HTTPS 云加速引开的

王：在之前已有消息说阿里云在开发 HTTPS 云加速的服务，而业界，包括国内已经有云加速服务商提供了 HTTPS 云加速服务。不知道阿里云这方面的进展如何？

李：阿里云的 HTTPS 的云加速其实从技术上已经完成了，目前还在调测一些用户体验的部分，技术上并不是障碍，关键是易用性。HTTPS 云加速事实上是基于 CDN 做的，但是这里还有一些需要完善的部分，CDN 本身是一种管道，解决了从 CDN 到用户的加密传输，但是还需要解决从源站到 CDN 节点间的传输。如果用户本身没有支持 HTTPS ，那么还需要考虑从源站到 CDN 节点之间的传输问题，而部署 HTTPS 对于不少客户来说还是比较复杂的，很多用户希望有一键部署的体验。

此外，对于已经部署 HTTPS 的用户，他们还是愿意将其私钥放在自己控制的服务器上，而不是放到阿里云的 CDN 节点上，对于这种情况下，有两种方式：一种是采用伪密钥的方式，即由 CDN 提供证书给客户，另外一种是客户将自己的 SSL 证书上传，这可以是上传到一个信任的第三方的黑盒中。

窦：说到证书服务，阿里是否有计划建立自己的 CA 或者购买一家 CA 服务商？

李：CA 服务商最重要的不是颁发证书，而是要对所颁发证书的可信性进行背书。颁发了证书就要确保该证书所保护的信息具备起码的安全水准，有些 CA 服务商这方面做的还不够。不仅仅是用户购买就颁发证书，而且要对客户进行检查和判断，判断是否达成安全可信标准。CA 服务商不是一个生意，更多的是一种保障的能力。

王：如果阿里云提供 CA 服务，是否会采用类似 Let’s Crypt 这种免费模式？

李：如果不叠加更多安全服务，是可以采用免费摸，但是如果叠加了比如扫描检查等增值服务，就需要商业收费模式。这些年来，对于安全方面的承诺，需要越来越慎重， CA 证书代表的是信任所传递的责任。

云计算的新形势下，基础运维的变化

窦：云计算让运维行业迎来了第二春，对运维人员的界定也在发生变化。那么您认为将来运维行业会发生什么变化？

李：首先，云计算是从运维上发展起来的一个方向，而不是一个自顶向下的变化。其次，随着 DevOps 的流行，开发和运维在某种程度上是融合的，今天的运维人员已经有能力和空间去做一些更应该去做的事情了，而不仅仅是守在机房整理机架。运维是什么？按照 Google SRE 的说法，就是站点的可持续性的保障。

窦：随着云计算的发展，传统的互联网公司的基础运维部分会越来越少，这部分过渡到了云计算平台服务商了。

李：从使用者的角度看，基础运维会越来越少，而业务运维会越来越多。云计算平台不会提供所有服务，但是会尽量提供各种原子性的服务。比如说，在我看来，MySQL、Cache 现在就是一个原子性的服务，而不像过去，是一个解决方案。现在的业务运维就是快速地用原子化的部件搭建自己的业务系统，支撑业务运维，就像乐高积木一样搭建。今天很多云服务商都喜欢用乐高积木来比喻其服务，其实就是指这些服务会形成标准件，用户可以用这些标准件来搭建自己的业务系统。

当然这种标准件会让客户丧失部分的自主权，比如说某种原子化部件不存在怎么办？有两种方式，如果确实是一种原子性的产品，那么云计算服务商一定会提供的；如果是当下急需或个性的需求，那就可以客户自己做。非常有意思的是，每个大的云计算服务商背后都会有一个云市场，你自己做出自己的原子化部件，也可以将它放到云市场上去。

窦：在这个方面我发现一个问题，比如说他们已经做出来了这个原子件，但是有一天云计算厂商发现这个东西不错，我也要做这个，那你怎么平衡这个关系？

李：这个事情从某种程度上讲一定会发生。为什么呢？原子化的就是抽象化的，如果云技术服务商发现它已经成为大多数人所需要的一个东西，就会向下抽象，让它成为服务平台的一部分。那么对于上层厂商来说该如何发展呢？他们应该向上走，将这个东西做的更细分、更好。这就是一种倒逼机制，就像是假如你要做一个杯子，而你的杯子的生产成本已经远远高于通用化制造的杯子，那你肯定会被淘汰。但是如果你把这个杯子变成陶瓷的、变成有收藏价值的，那就可以做了，不会被通用化制造的杯子挤压到没有市场。

举例说， AWS 上有两家存储服务商，DropBox 和 Box，那这两家公司有生存空间么？其实他们都是做数据文件的共享，而文件共享其实是 AWS 的基础服务。这两家做的是数据增值服务，如果这种增值服务对所有人来说都是标准服务需求的时候，它就会被 AWS 所提供，那么这两家厂商就不停的被底层的厂商倒逼着不停地提供更多的增值服务。但是它们越做新的增值服务，就和用户越贴近，挖掘到的需求对用户的帮助就越大。这个时候产业是良性的。但是如果厂商固守在数据存储上，那这个“游戏”就结束了。

我们再换个例子说，比如手机里面，之前任何一个智能手机里面都有一个“日历”应用的厂商，但今天还有日历厂商么？很少了，因为这种需求已经是一个通用的需求了。但是“万年历”还存在，这是因为“万年历”这个数据是独特的，也不是通用的需求。但是普通的日历、农历是通用的需求，所以就被底层厂商“吃”掉了；同样，“手电筒”应用也是，它成为了手机自身的功能。

安全服务的边界

王：刚才我们提到了安全问题，我们知道阿里云给客户提供了很多安全服务。做安全实际上存在一个矛盾，在效率和安全之间是存在一定的抵触的。据我所知，阿里云至少在两个层面上为客户提供了安全服务，一个是在云的层面上提供了云防火墙；另外一个是在主机层面提供主机安全防护。这里我想知道，阿里云在安全方面的策略是如何的？因为如果安全方面厂商做的太多，会影响到客户的使用，但是如果有些服务不做的话，一些安全问题就会导致客户应用的问题，甚至会造成安全事故的蔓延。

李：安全的最大问题是：安全的边界。如果这个边界说不清，就会出现你说的这个问题，多做、少做都不对。第二个问题是，安全边界是个大家认知的问题，道德和法律的差异，法律是本分、道德是情分，这是有差别的。在安全方面，阿里云做了三个层面：业务安全、主机安全和平台安全。业务安全是防止客户被入侵，保障客户应用的安全，是从外向里看；而主机安全是从主机向外看。还有一个层面是平台本身的安全。

安全一定是要划清边界的，因为不可能包揽百分百，这就一定要和用户说清楚那些部分是不能包揽的。安全里面 30% 是技术的问题，70% 是人的问题，但今天有没有什么办法让人的部分降低到那怕是 50%？让使用更便捷一点？但是这里有个问题是，当你管的多了时候，客户怎么确认你管的这么多是合适的？

窦：很多人对安全的保姆模式还处于一个认可的过程，对保姆模式的信任也没有建立起来。

李：首先是你说的客户不一定相信，不是你说了客户就会相信，这是一个很正常的事情。那只能是在一开始的时候就尽量将事情说清楚。其次是，能以授权的方式存在的就一定要以授权的模式做，让客户随时可控。

当时“安骑士”这个事件之后，在我们内部反思过这个问题。在我看来，第一个，授权做的不清晰；第二个，给用户做的可上可下的提示不明确。如果它是可上可下的、授权清晰的，那就是个用户自我选择的问题。然后是，“安骑士”你到底都做了什么？这个你得给客户提供审计报告出来。

不只是“安骑士”，包括阿里云做的所有东西，都应该提供专业的审计报告。比如说一台主机，服务商进行了维护调整，环境上有了变化，它可能都会对用户发生影响。这个时候，作为用户，我都看不到就没有安全感。那么这个时候应该以一种什么样的方式将这个报告提供出来？所以，我们今天就将各种服务，比如 RDS 的维护日志、用户自己的操作日志都让用户能看到。而且如果用户使用了多种服务，如何将多个报告融合在一起，这也需要我们大量的工作。

企业的开源发展的四个阶段

王：阿里云做了许多产品，也开源了许多产品，阿里云在开源方面的战略是如何的？

李：阿里云做了很多中间件，最流行的是 dubbo。为什么它会很快的流行呢？首先它是一个简单的应用，其次是它被阿里淬炼过，保证了其稳定性。我最近在管理开源社区方面的事务，发现它的社区非常大，使用文档、案例、手册等庞大无比，我非常惊讶，远远超过我的预期！社区对它的贡献非常大。我想说的是，在它刚刚推出的那一刻，它是不成功的，但是随着社区对它的完善，包括我们自己还不断的对它做升级。它变了，它变成了一个很庞大的东西。在它刚刚推出的那个时候，它是不够简单易用的，但是随着社区对它的贡献参与，它就变得简单易用了。之所以这样，是因为它有了更多的使用案例。

我认为开源有四个阶段：

第一个阶段是拥抱开源，就是你去用开源软件，这样让你可以最快地有能力达到一个基本的技术水准上。

第二个阶段是回馈开源，比如你可以将你的一些补丁反馈给社区。比如阿里就对 mysql、hadoop 等做了很多贡献。

第三个阶段是融合开源，你的产品别人是否支持？之前是我反馈给社区，而现在别人是否在开源产品中支持你，比如在 Hadoop 源码中支持你，在 Docker 源码中支持你。我拥抱你，你拥抱我，互相接纳。

第四个阶段是回报开源，当你已经被开源社区接受的时候，那这个时候你要有选择性的回报，将一些产品开源出去。这里是有你自己的商业诉求在里面，比如说你有一个方向性的东西你看不清，那么开源出来，大家一起来做，这种情况就比如说 Google 开源它的深度学习。另外一个做法是是将之前换代的产品开源出去。

阿里集团有一个开源委员会，旗下的各个商业部门都有参与，用来决策如何开源，以什么原则，什么节奏去开源。

结语

经过长达一个小时的深入沟通，我们对许多问题进行了探讨和了解，从阿里云这里能够看到，国内的顶级互联网企业，已经跳出了巢臼，能够更大的从产业、文化、趋势方面对运维行业、云计算领域乃至于互联网行业进行深远的布局。

以上，由 Linux 中国的老王为您独家披露。