门内的国企如何看门外的云厂商

瑞典马工23年12月29日发了一篇《卡在政企客户门口的阿里云》，以第三方的视角列出了阿里云作为云厂商在政企受到的7个全方位挑战。然后因为和马工在同一个群，被他CUE了一下，让我写一篇站着政企视角怎么看云厂商的文章，我便尝试以此文回应。本文核心观点如下：

1、云厂商已在国企门内，但未引导至门外

2、云厂商公有云优势未能覆盖疑虑

3、云厂商应持续提升价值，紧抓机会

阅读背景1、我在金融国企从业20年，所以圈子基本集中在金融方面，边界也只蔓延到一些大型国企，对ZF并不了解，所以文中所述，并不提及ZF的IT环境。

阅读背景2、NIST(National Institute of Standards and Technology，美国国家标准和技术研究院)将云计算系统部署分别划分为私有云、社区云、公有云和混合云四种模式，所以并不是公有云才算云，私有云也也是云，关键在于所采用的技术栈是否符合云的特点。如果读者认为私有云不是云，那么这篇文章下面的内容可以跳过，以节省读者宝贵时间。

云厂商在不在门外？

已在门内，未至门外

1.已在门内

1)应用比例：据统计和了解，国内国企已经开始广泛使用私有云。银行业的国内20家系统重要性银行（国有商业银行6家，股份制商业银行9家，城市商业银行5家）已超过80% 使用御三家（阿里、华为、腾讯）私有云产品。证券业的交易所和十多家券商，南北两大电网公司，80% 的航空公司也用了御三家的云产品。

2)应用层次：NIST云计算参考架构中基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)三个层次的云服务，国企主要使用的是 IaaS 层面的产品（除计算、存储、网络传统三大件，基本用到ACK、TKE这类容器层面），部分使用PaaS层面应用（如Redis，MQ等中间件，mPaaS开发框架），SaaS 服务除了钉钉、企业微信和腾讯会议此类，基本没应用.

3)应用范围：办公类应用系统、一般业务类系统已基本使用私有云承载，部分国企的核心系统也已由云厂商的私有云计算栈支持（如马工喷的阿里云，已支持交通银行和深圳农商的核心交易系统）。

4)应用趋势：国企的主要技术发展方向都在朝着云原生技术发展，研究并使用CNCF定义的云原生代表技术（容器、服务网格、微服务、不可变基础设施和声明式API），与云厂商的主要技术发展方向并无冲突，只不过先进程度有先后，双方可以说是相向而行。

综上所述，以应用的比例、层次和范围来看，很难说云厂商仍在国企门外徘徊，并未进入门内，而且云厂商和国企发展的技术栈方向也并无冲突，并未相背而行。

2.未至门外

由于必要性、合规成本和安全性等考虑，除了CDN，还有一些非主要业务且不带敏感信息的应用场景（如行情-公开信息），国企并未大量使用云厂商的公有云产品。

怎么看门外的公有云？

优势未能覆盖疑虑

1、公有云的优势

1）先进性：先进性毋庸置疑，云厂商作为最大规模和密度最高的IT人才聚集地（至少是收入最高），也是用户和应用场景最多的地方，技术不先进才是怪事。

2）易用性：虽然还做不到水电那种高度标准化的傻瓜式易用性，但对于有一定IT背景的人，还是能基本达到可见即可得。

3）经济性：按需付费，浪费较少。

4）标准化：能对部分企业内部多种技术栈林立的现状起到一个架构收敛的好处，且云厂商以容器为基础的技术栈，更能对应用部署的一致性和完整性提供更好的保障。

关于云的优势，网上有一万篇文章，就不在此赘述了。

2、公有云的疑虑

1）产品价值不明显

公有云相对私有云的产品价值目前更多体现在更强的敏捷和弹性，还有部分的技术先进性。但对于国企来讲，敏捷和弹性，并不是最核心的关注点，可预见性和安全性才是。

敏捷性：国企敏捷重点在于研发的效率，并不在资源服务的供给，业务需求确认、架构设计、开发加测试这些才是占据最大时间块的地方，资源供给的时间只占很小一部分，资源供给从几小时缩短到几分钟，并无本质区别，所以国企关于敏捷投入的主要还是在看板、敏捷流程、统一开发框架、功能组件、代码示例、api资产梳理等地方。
弹性：基于运行安全重点保障的首要目标下，国企基于自身和行业监管的要求（如证券期货业的监管规定“核心机构和经营机构重要信息系统的性能容量应当在历史峰值的两倍以上”），本来就在资源上就有较大的冗余度，而且也不像互联网企业，会忽然有什么爆点业务活动。总体来说小政企不会有啥爆点，大政企，本来本地的冗余资源池就大，只需要私有云来实施本地弹性，并不需要弹性调配公有云资源满足突发需求。
先进性：国企的主营业务并不是IT。18-19年曾经有一段时间国企的数字化转型口号大量出现“IT引领业务”的短语，但随着时光和事实的演进，这句口号大多回到了“支撑和赋能”，所以国企对于IT技术的选择，主要在于其企业自身视角的恰当和需要。国企通过成本、环境、合规、可持续、风险等多个方面和角度综合评判技术可行性，选择应用恰当的技术，而不是单从技术先进性方面进行抉择。正如厨师做菜的好吃与否，并不是由一把厨刀的锋利与否决定的，而是由顾客预期、价格控制、食材素质、厨师技能、厨具水平等因素综合决定的。公有云对比私有云多出的先进技术通常代表更短的技术验证周期，更高的技术风险，更少的案例参考，也就代表着对于国企来讲这些技术具备更强的试验意味，并不是风险偏好较低的国企行业的刚需。国企选择的还是技术的从循渐进，先保持技术方向的正确性，成熟一步再往走一步，目前主流还是在私有云技术栈方面处于建好云、上好云、用好云的积累阶段。

综上所述，公有云带来的技术差异并未能给国企带来显而易见的技术价值，国企选用的动力并不强。其实，对于能直接助力于业务的IT技术，国企自身也是不遗余力的投入，就像目前FPGA在证券业的使用，我司17年开始研究应用，目前大部分交易在公司侧的耗时已控制在数十微秒内完成，部分交易环节已到达0.5微秒，而这些对企业主营业务产生直接效果的技术也未见云厂商能提供。

2)合规成本增加

公有云一个非常核心的价值，是全球化。出海企业优先选用公有云是因为选云能大幅减少合规成本，能比从头开始自建更好地满足当地的法律和行业合规要求,如欧洲GDPR、美国HIPAA、美国全球PCI DSS、中国个保法等等，无论是国内公司出海外选AWS，还是国外公司进入国内选阿里云均是如此，但注意，这些均为新进入国家的应用合规场景。而与之相反，大量的国企本来就长期在合规监管环境内运营，已经有团队、资源和流程满足相关的监管规定，拥有比云厂商更长的合规运营周期，了解更细的行业合规操作细节，凭什么需要云厂商的公有云产品来降低合规风险和成本？

以目前国家法案和行业监管趋势，供应链安全的重要性越来越高。从国家法案来看：网安法第35、36条，数安法34条，个保法的21条；以金融业为示例看行业监管：《证监会证券期货业网络和信息安全管理办法》第22、23条、原银保监会《关于银行业保险业数字化转型的指导意见》第25条、原银保监《银行保险机构信息科技外包风险监管办法》2021年141号文，这林林总总都对提供信息服务的外包商提出了非常高的要求。作为数据离开企业，企业外员工直接维护的公有云应用场景，国企需要和国内云厂共同面对更高更严的要求，需要承担额外的、较高的合规成本，相对于公有云的收益，很多时候并不对等，所以大部分国企选择放弃也属正常。

3)信心不足

信心不足主要还是聚焦于公有云产品的安全性和可靠性方面。

安全性：就如马工12月底喷的原话“国内的腾讯云阿里云和华为云什么的，全都教用户把那个 Access ID，编码到代码里面。阿里云和腾讯云去年已经改正了，因为我写文章揭露他们。但是至今为止，华为云和火山引擎上面的范例里面还是页编码，Access key，这是非常不负责任的一个做法。” ，关于应用范围最广之一的云产品对象存储，我也不止一次的在一些供应商的代码里面看到了这种非常不安全的实现，这些供应商在服务企业的时候，把SaaS版本的代码注释掉一部分就作为私有化部署发布包进行提供，而注释代码里面就存有这些Access key，通过使用这些AK就可以直接从互联网访问这些供应商SaaS里面的数据，安全风险极大。那么国企如果采用此类公有云服务，那么企业自身是否能确保所有相关代码100%不流出，而一旦流失，数据安全风险不堪设想。类似于对象存储，公有云ES服务也出现过企业在使用实践中采用硬编码存访问密码，因代码泄露最终导致大规模数据泄露的安全风险事件。所以目前，国企既对部分云产品的应用安全设计信心不足，也对企业内部人员能正确安全地使用公有云产品信心不足。
可靠性：对于看不到，摸不着的公有云内部运维保障体系，单靠纸面的SLA服务合同无法给予国企足够的信心，信心需要云产品的实际运行情况来建立。可惜的是，今年各类云厂商的故障层出不穷，各厂商排着队，说真的，各家谁也别笑话谁，故障规模的影响的业务之多，时间之长，都是国企难以想象的，特别对于关键基础设施企业，这些以小时为计量单位的大规模故障造成的后果，根本无法承受。而且在大规模故障的情况下，应急故障通道是否还能有效，不得而知，比如一个大故障，同时影响中石油和一家规模相对小的国企，那么这些小国企觉得自己的响应需求还能排前吗？容易造成叫不动的情况。

4)经济账难算

这个在冯若航同学《云计算泥石流合集》的系列文章中以其开源自建的角度通过数据去评价公有云的价格，虽说不能光以原材料的价格去评判最终成品的价格是否合理，不应忽视决策成本、时间成本、风险成本等方面，但这毕竟代表一种特别容易让国企内非IT专家的财务人员理解的计算方式和角度。相信不少国企IT从业者也面临内部财务人员的ROI质问，为什么要用外面贵的，而不自己搞，为什么要贵这么多。国企具备的是长期IT服务需求特征，而非初创、中小企业那种弹性短期需求，所以摊长到五到十年的时间段来看，CapEx 、OpEx对于国企来说，一个样，甚至增大CapEx能扩大国企资产规模，减少OpEx能扩大国企当期利润。所以公有云的一个价值“ OpEx替换CapEx ”在国企很多时候也不太成立，经济账难算。

对云厂商的建议？

提升价值，紧抓机会

1、真正的KYC

引用金融行业常用的术语，“了解你的客户”，云厂商暂时离了解国企真实需求还存在较大差距。就以银行业为例，御三家的投入仍是不足，我在阿里云看到了一些P9、P10的具有银行业从业背景的专家，在华为也见到了一些21和22级的银行业从业背景的专家，虽然不多也不够，但至少有，而在腾讯云却基本是外企从业背景。其他云厂商由于公司发展、收入水平和职业稳定性，就更难获得银行从业背景专家的奔赴，也就无法谈真正和更深层次的KYC。那么，云厂商如果明确国企在其发展战略的路线图内，那就应加大资源投入去了解和剖析国企客户的真实技术需要，形成详实的客户需求画像，因为产品目标不对，后面的投入都是空中楼阁，纯碰运气。不了解客户真实需要，云厂商在和国企客户沟通时，就容易产生双方心里互相问候一声SB后，再握手道别的“友好”情景。

2、提升产品价值

当明确认知客户需求后，云厂商就应重点提升云产品的价值。云产品分为单品价值和组合价值，如果价值够大，什么价格、合规成本、可靠性都可以放在次要位置。就像ChatGPT此类爆品，即使价格昂贵、部署云端，服务卡慢，但仍是个纯卖方市场。ChatGPT今年内多次长时间中断，国内网上对于其可靠性的抨击凤毛麟角，因为没有替代品，你爱用不用。单品爆品很多时候可遇不可求，但组合云产品对于国企的高价值案例应该成为云厂商的常规武器库。云厂商的单品产品通常不见得能比传统的单个商用产品更成熟而先进，其优势在于多产品组合应用。国企在选用云厂商产品很多时候的朴素逻辑是“我没用过，你告诉我怎么用最好”，对云厂商自身多个云产品之间的兼容性、灵活组合能力和组合出来的优秀数字化转型案例抱有极大的期望。希望云厂商能把这底裤守好，多收集、多研究、多组合、多创新，将有真实效果的优秀实践在国企客户落地，帮助客户成功。

3、完善组织治理

产品和服务是人做出来的，我觉得现在的云厂商们均存在较为严重的组织治理问题，以产品为维度的话，主要分为产服脱节、产间脱节和产内脱节：

产服脱节：也有人叫研服脱节。可能由于这两部分团队的KPI或者目标不一致，由销售团队、解决方案架构师和在客户现场服务的运维团队组成的国企客户服务团队，这个服务团队的声音很多时候无法被正确传达到到真正决定产品路线的产研人耳朵里，更恐怖的是，很多时候不被重视，产研的人听了当没听，觉得来自客户的声音是呱噪之声，觉得和自己心目中的实现不符，不优雅，采用掩耳盗铃的姿态拒绝深度思考和改变，最终陷入了产品生命力与现实场景脱节的窘境。当然如果产品的牵头人能牛到改变这个业态的应用模式，重新定义行业规则，或者客户版图内就没有这批国企用户，那么坚持没问题，但事实上大部分都变成了手拿铁锤的人,看什么都像钉子，又不舍得这些营收，那么把现场服务团队和甲方的使用者坑的够惨。
产间脱节：可能是互联网厂商的产品多样性、人员规模和赛马制竞争导向，同一云厂商的各云产品团队的沟通和协作性较差，不至于老死不相往来，但各家自扫门前雪的形容可能还是比较贴切的，导致云厂商应该最有优势的云服务组合最佳实践寥寥无几，或者参在藏在深闺人未识，加法效应都未能达到，更勿论乘法效应，过于浪费。
产内脱节：产品团队和服务团队的部分脱节我可以理解，但有些产品团队内部的脱节就让我有些时候匪夷所思，甲方和产品团队的一线同学确认了一个技术现状的结论（注意，是现状），几天内见到其老板，结论变了，几天后再见到其老板的老板，结论再变，最后得出一个匪夷所思的结果就是谁大谁说了算，老板吹的牛B由小弟实现，甭管现实如何。这种情况表现出产品团队内存在信息不一致性和功能随意性的问题。

这些问题在个人用户和小企业面前，可能简单表现为就是被马工挑刺多次的各类文档不正确、死链。但在国企面前，这种问题就变得非常严重，影响互信建立和大规模推广应用。我看到御三家都在做各种组织上的架构调整，希望能尽快解决或者减少此类问题，因为国企面对的是一个完整的云厂商，而不应面对的是一个个独立的云产品团队。

4、增强安全性

对于国企来说，安全性比什么都重要，主要分为以三防（防入侵、防病毒和防泄露）为主的狭义网络安全和业务连续性为主的运行安全。当安全性这条国企红线出问题的时候，国企IT领导过往的什么功劳，技术产生的什么价值都可能被一杆清袋。云厂商要成为值得国企信赖，监管认可的核心服务商，就要在安全这条红线、底线上深耕。云厂商应做好产品的安全三防设计，优化产品架构上管理平面和运行平面的耦合问题，解决服务间的循环依赖问题，通过精细化的运营，由其公有云和私有云产品的运行情况自证其云产品安全性，同时协助用户参照最佳实践进行实施，并提供长期、甚至自动化的校验机制防止云产品和用户跑偏。强安全，增信心，是云厂商目前最紧迫需要做到的事情。

5、抓住机会

说了很多问题，但近几年却实实在在是云厂商深入国企的大好机会（当然，云厂商要不要国企这类客户，那是另外一回事）：

信息技术创新：在国家加速并持续推动信息领域核心技术突破的背景下，国企开始大规模应用国内的创新信息技术，需要寻找国外传统技术栈的替代品，而且传统的甲方选择成熟单品，自行组装IT服务场景的甲方集成模式，在面对技术相对不成熟，生态未完善的国内创新信息技术栈时，存在对相关技术了解不深，掌握不足的困难，稳定运行风险较大。而在此时，云厂商自身在创新技术栈的投入，多技术栈的组合应用和用户场景的实际承载运行为国企提供了一条看上去可行的路线，所以近两到三年时间，云厂商的私有云产品相比以前得到大规模增长（只谈规模，不谈利润）。
发展趋势：大模型为代表的AIGC技术、数据要素的挖掘应用、日益加重的安全合规风险，甚至是绿色环保带来的新建机房PUE 1.3要求，都在不断提高国企私有化部署的门槛，规模较小的国企除非能坦然面对业务效率、功能和安全性的每况愈下，否则其必须寻找新的IT部署出路。而且我也相信，国家也不会坐视这些国企自然消亡并爆发风险，所以必然会在此之前，指明一条可行之路，或合并或IT上公有云或行业云。我建议云厂商尽早与行业监管部门商讨建立相对完善的行业云，为国企，特别是中小国企提供必要的IT服务支撑，但同时也要以开放的心态打造行业云的应用生态，避免生态全占，吃相难看。
技术同构：国企的主流技术栈正在向云厂商的技术栈靠拢，迁移变得越来越容易。

困难虽然重重，问题好像也是多多，但相比过往，目前国企放在云厂商面前的机会是前所未有的大和光明，甲方国企需要，监管好像也需要，但这个需要是否能落到目前正阅读这篇文章的读者所就职的某个具体云厂商，那就不得而知。这需要各云厂商去规划、去投入、去改变、去实现、去竞争。

本文描述观点和看法纯为个人言论，必有偏颇之处（请读者不吝赐教），但打是情，骂是爱，我还是选择愿意相信和支持云厂商干好自己的一亩三分地，相信国企和云厂商能相向而行，最终在某个地方会师并相互成就。

BTW：本文正文刚好结束于1月2日的最后一分钟，而此时此刻，瑞典马工那篇《卡在政企客户门口的阿里云》阅读量停留在5.1万次，阿里云的同学无需焦虑与郁闷，马工说，他是挑国内最先进的喷，其他家他都懒得这么有逻辑地花时间喷。