隨著云計(jì)算的飛速發(fā)展，建立企業(yè)私有云平臺(tái)已成為趨勢(shì)，以下問(wèn)題是在企業(yè)私有云建設(shè)之路上普遍會(huì)遇到的難點(diǎn)，來(lái)自社區(qū)專家的解答分析供大家參考。

問(wèn)題一：云與虛擬化的區(qū)別是什么？云多了什么？

1：達(dá)到什么樣的硬件規(guī)模，才有上私有云的必要？

有幾百上千那是上，有的10臺(tái) 20臺(tái) 也是上。每個(gè)企業(yè)可能衡量的標(biāo)準(zhǔn)不一樣。怎么判斷要不要上？

2：已有虛擬化的情況下，上云到底能帶來(lái)什么樣的幫助？

云比虛擬化多了什么？

解答：

多了云服務(wù)，一種基礎(chǔ)設(shè)施封裝服務(wù)模式。虛擬化提供不了SAAS，PAAS，也提供不了計(jì)費(fèi)、計(jì)量、服務(wù)開發(fā)和自服務(wù)定制。

虛擬化只是一種比較方便支持云計(jì)算的一種技術(shù)手段，并不是云計(jì)算。

那么就回到問(wèn)題，要不要上私有云？其實(shí)我們這里分析的是上私有云是有什么訴求，這些訴求是否值得投入，投入產(chǎn)出如何。

上云、云管理的訴求1：有把基礎(chǔ)設(shè)施強(qiáng)烈服務(wù)化得需求，很多時(shí)候這種訴求來(lái)源于資源規(guī)模大，組織結(jié)構(gòu)分工細(xì)化，基礎(chǔ)設(shè)施部門面向多個(gè)開發(fā)環(huán)境，迫切需要通過(guò)封裝自身的服務(wù)，把自身的服務(wù)能力說(shuō)清，把服務(wù)運(yùn)行成本、責(zé)任分清，云服務(wù)提供式一種良好的方式。訴求2：大規(guī)模資源有效利用、批量管理的需求。云計(jì)算是規(guī)模效益，規(guī)模上不去，效益體現(xiàn)不出來(lái)，因此，要根據(jù)自身的能力和規(guī)模，看看是否值得去上，是否能夠持續(xù)投入。訴求3，也是最重點(diǎn)的需求，供給矛盾是否突出，決定了是否走這條道路，虛擬化環(huán)境現(xiàn)在管的很好，很方便，能夠滿足業(yè)務(wù)需求，那么，個(gè)人認(rèn)為這個(gè)矛盾還沒有到要改變生產(chǎn)力的時(shí)候，什么時(shí)候變呢？基礎(chǔ)設(shè)施要求的速度現(xiàn)有手段跟不上，不能滿足應(yīng)用快速擴(kuò)容的彈性能力，不能滿足應(yīng)用更高層面，比如PAAS\SAAS方面的需求，或者說(shuō)需要通過(guò)標(biāo)準(zhǔn)手段對(duì)架構(gòu)管控，海量運(yùn)維。這時(shí)就是矛盾突出之時(shí)，也是入云日。

因此，在有資金和人力支持的情況下，基礎(chǔ)設(shè)施利用現(xiàn)有的虛擬化進(jìn)一步到云計(jì)算環(huán)境（還要考慮網(wǎng)絡(luò)、存儲(chǔ)、流程的投入），是可以的，但不是必須的，需要考慮自身成本、規(guī)模，量體裁衣。

問(wèn)題二：在虛擬化建設(shè)基礎(chǔ)之上，三個(gè)私有云建設(shè)方向的選擇？

當(dāng)虛擬化的規(guī)模與日劇增，對(duì)自動(dòng)化、標(biāo)準(zhǔn)化、流程化和服務(wù)質(zhì)量需求的迫切性達(dá)到一定程度后，我們會(huì)選擇開展企業(yè)私有云建設(shè)。

私有云建設(shè)目前大致存在三個(gè)方向：

1.在原虛擬化的基礎(chǔ)之上，采用現(xiàn)成大廠商提供的各級(jí)（IAAS、PAAS、SAAS）云管理平臺(tái)產(chǎn)品，進(jìn)行虛擬化的統(tǒng)一接入、統(tǒng)一管理和統(tǒng)一流程。

2.在原虛擬化的基礎(chǔ)之上，利用標(biāo)準(zhǔn)開源的框架，如openstack，Kubernetes，根據(jù)企業(yè)自身需求，量身開發(fā)屬于自己的云計(jì)算需求。

3.在原虛擬化的基礎(chǔ)之上，從基礎(chǔ)框架到軟件需求全部根據(jù)企業(yè)自身需求，量身開發(fā)，更加貼切企業(yè)實(shí)際，安全系數(shù)高，可靠性強(qiáng)。

對(duì)以上私有云建設(shè)三個(gè)方向有何見解？企業(yè)究竟該如何選擇方向？

解答： 

建議如下：

商業(yè)銀行選擇那個(gè)路線，還是需要看自身的戰(zhàn)略規(guī)劃和人員素質(zhì)能力的。這兩個(gè)路線主要區(qū)別如下：

開源私有云：代碼自助可控，平臺(tái)兼容性、定制化能力強(qiáng)，但需要具有大量的人員和財(cái)務(wù)投入，并且是持續(xù)不斷的投入，人員素質(zhì)和財(cái)務(wù)一定要跟上，同時(shí)，開源產(chǎn)品的版本迭代快，健壯性不夠，方向性不明確（沒準(zhǔn)大家一股腦換了一個(gè)框架\產(chǎn)品）,這樣帶來(lái)的糾錯(cuò)成本很高�？傊�，自身利用開源搭建和開發(fā)私有云，對(duì)自身能力帶來(lái)的很大的挑戰(zhàn)，要求企業(yè)能夠打持久戰(zhàn)，并能夠不斷的在社區(qū)中豐富和汲取養(yǎng)分。還有一層，就是開發(fā)、維護(hù)都有自身完成，無(wú)第三方風(fēng)險(xiǎn)轉(zhuǎn)嫁。

商用軟件：缺點(diǎn)大家很清楚，容易被廠商綁定，兼容性差，定制化差，隨著規(guī)模的擴(kuò)大成本增長(zhǎng)明顯，但特點(diǎn)是實(shí)施周期短，對(duì)于企業(yè)本身的人員素質(zhì)較自開發(fā)的情況要求低很多，主要是產(chǎn)品經(jīng)理和用戶的角色。并且對(duì)于系統(tǒng)的維保、OLA可以通過(guò)商務(wù)的方式轉(zhuǎn)嫁部分風(fēng)險(xiǎn)。比較適用于企業(yè)規(guī)模不大，求盡快上云的情況。

最后說(shuō)一點(diǎn)的是，很多商用軟件都是基于開源私有云搭建而成的，可以考慮兩者優(yōu)勢(shì)結(jié)合，通過(guò)開源的方式增強(qiáng)開放性，通過(guò)商用的方式減少自身建設(shè)成本。

目標(biāo)是第三點(diǎn)，但要求企業(yè)自身的能力加強(qiáng)，可以考慮基于開源的商用產(chǎn)品，并且要求足夠開放，逐步積累經(jīng)驗(yàn)，慢慢做到2個(gè)并存，逐步代替。

問(wèn)題三：上私有云對(duì)企業(yè)有什么樣的要求？

1：運(yùn)維水平有哪些要求？或者說(shuō)上了云之后需要具備的素質(zhì)或努力的方向

對(duì)運(yùn)維團(tuán)隊(duì)有哪些典型的要求？制度規(guī)范，技術(shù)水平，角色人員？

2：標(biāo)準(zhǔn)化程度要求？

制度規(guī)范，企業(yè)整體IT治理的階段水平？

解答：

運(yùn)維水平最大的要求是自動(dòng)化的運(yùn)維工具使用、跨領(lǐng)域的協(xié)同、運(yùn)維組織結(jié)構(gòu)調(diào)整，和運(yùn)維文化的轉(zhuǎn)變。

自動(dòng)化運(yùn)維工具應(yīng)對(duì)海量運(yùn)維、最基本的要求就是配置管理的準(zhǔn)確性，要不誰(shuí)敢上去自動(dòng)化呢？

跨領(lǐng)域協(xié)同在私有云建設(shè)中很重要，在大企業(yè)中，網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)、中間件等領(lǐng)域，往往都是獨(dú)立的部門，有獨(dú)立的變更和實(shí)施流程，但在私有云的設(shè)計(jì)、和運(yùn)維上，這必須是一體的，哪怕有個(gè)虛擬團(tuán)隊(duì)承接。這也就是說(shuō)，一般情況下，應(yīng)進(jìn)行組織結(jié)構(gòu)的調(diào)整。

人員要具有面對(duì)海量基礎(chǔ)設(shè)施運(yùn)維的能力，要有架構(gòu)團(tuán)隊(duì)、需求分析團(tuán)隊(duì)。人員要具備運(yùn)維工具的開發(fā)能力，這一點(diǎn)建議百度一下 google的SRE團(tuán)隊(duì)，是一個(gè)非常好的定位。

談起標(biāo)準(zhǔn)化，是重中之重，也是私有云最有特點(diǎn)和最有優(yōu)勢(shì)的一環(huán)，企業(yè)架構(gòu)管控做的好，標(biāo)準(zhǔn)化程度高，決定了云計(jì)算的層次，SAAS服務(wù)的提供，依賴于高度的標(biāo)準(zhǔn)化。要從物理硬件層、OSNETDBSTORAGE各領(lǐng)域完成標(biāo)準(zhǔn)化，然后在繼續(xù)規(guī)范應(yīng)用的部署模式，逐步規(guī)范形成標(biāo)準(zhǔn)，有利于PAAS的提供，真對(duì)具體應(yīng)用標(biāo)準(zhǔn)話，才能完成SAAS的轉(zhuǎn)變。

問(wèn)題四：企業(yè)云平臺(tái)建設(shè)一共分幾期？還是一步到位？

解答：

云平臺(tái)很少有一步到位的，往往最開始的階段是滿足最基礎(chǔ)的需求，例如計(jì)算虛擬化，存儲(chǔ)虛擬化，然后網(wǎng)絡(luò)虛擬化，然后容器，監(jiān)控，大數(shù)據(jù)，編排，數(shù)據(jù)庫(kù)，等等應(yīng)用。其實(shí)，這個(gè)和云計(jì)算的分層也是有很大關(guān)系的。從iaas到paas，再到saas，層層遞進(jìn)。企業(yè)的云平臺(tái)建設(shè)，往往也是遵循這個(gè)規(guī)律。在實(shí)踐中，可能會(huì)有一些交集。

通常都是分幾期的。第一期為試點(diǎn)項(xiàng)目，第二期根據(jù)一期結(jié)果形成規(guī)范，標(biāo)準(zhǔn)，成為新開發(fā)應(yīng)用的標(biāo)準(zhǔn)平臺(tái)。第三期逐漸將老應(yīng)用遷移到云平臺(tái)上。

問(wèn)題五：如何在不做大改變的情況，實(shí)現(xiàn)私有云的升級(jí)改造？應(yīng)該關(guān)注那些方面的問(wèn)題？

我們現(xiàn)有已經(jīng)在使用的虛擬化環(huán)境包括POWERVM,VMWARE兩種，而且我們的應(yīng)用環(huán)境建設(shè)也要求我們只能做私有云方面的考慮，但是按照我們理解的私有云建設(shè)要求，必然要求涉及到現(xiàn)有環(huán)境中的網(wǎng)絡(luò)和存儲(chǔ)等方面的改造。請(qǐng)教專家，如何在不做大的改變的情況下，實(shí)現(xiàn)或者部分實(shí)現(xiàn)私有云功能的改造，通過(guò)新技術(shù)的應(yīng)用來(lái)改善應(yīng)用環(huán)境的各項(xiàng)新要求？也能夠提高運(yùn)維管理等方面的支持。

解答：

如果把服務(wù)器作為數(shù)據(jù)中心中應(yīng)用的一個(gè)點(diǎn)，網(wǎng)絡(luò)、存儲(chǔ)則往往屬于面，屬于底層基礎(chǔ)設(shè)施，改造難度和風(fēng)險(xiǎn)較計(jì)算資源高。在傳統(tǒng)行業(yè)中，沒有一個(gè)新環(huán)境的契機(jī)，逐步改造，也是很難的。必然帶來(lái)的網(wǎng)絡(luò)和存儲(chǔ)在搭建私有云中有些技術(shù)跟不上。

之前談過(guò)私有云的理解，不一定私有云一定要去用新技術(shù)，例如SDN，存儲(chǔ)虛擬化，私有云重點(diǎn)是實(shí)現(xiàn)面向客戶服務(wù)模式的支撐，資源的彈性和快速服務(wù)能力。在這一點(diǎn)上，一般企業(yè)通過(guò)采用將現(xiàn)有的環(huán)境，向標(biāo)準(zhǔn)化配置努力，大力推動(dòng)自動(dòng)化能力開發(fā)和建設(shè)，使之與云平臺(tái)結(jié)合，同時(shí)增強(qiáng)前期容量規(guī)劃的方式，也可以逐步實(shí)現(xiàn)云環(huán)境，同時(shí)，結(jié)合新建的契機(jī)，逐步使原來(lái)的基礎(chǔ)設(shè)施更替為更好支持云計(jì)算特點(diǎn)的技術(shù)及設(shè)備。

問(wèn)題六：怎么判斷某個(gè)系統(tǒng)是否部署在私有云上，有哪些判斷指標(biāo)？

比如：信用評(píng)分系統(tǒng)；計(jì)費(fèi)系統(tǒng)等

解答：

最典型一個(gè)詞來(lái)描述“云原生”應(yīng)用。給您一個(gè)參考，敏捷開發(fā)的12原則，滿足這12原則的應(yīng)用，基本上在云計(jì)算的這種分布式、虛擬化的環(huán)境中可以很好的運(yùn)行。這里，個(gè)人認(rèn)為，最重要的是集群化、支持應(yīng)用補(bǔ)償機(jī)制、模塊化。

• 只使用一份基準(zhǔn)代碼，但是可以部署到多個(gè)環(huán)境

• 應(yīng)用之間的依賴關(guān)系要是顯示指定的，比如用配置文件描述，不要用隱式的代碼關(guān)聯(lián)

• 配置要用環(huán)境變量的方式來(lái)提供給應(yīng)用，而不是用代碼里面的常量或者代碼相關(guān)的方式提供

• 代碼用到的資源，如數(shù)據(jù)庫(kù)，消息隊(duì)列，分布式文件系統(tǒng)等，要作為可attach的資源的方式來(lái)提供，不要寫死到代碼。資源都用資源字符串的形式提供，可從環(huán)境變量注射到應(yīng)用并立即提供服務(wù)

• 嚴(yán)格將編譯，發(fā)布，生產(chǎn)等環(huán)境進(jìn)行隔離，即使要改動(dòng)生產(chǎn)配置，也需要用持續(xù)發(fā)布的方式從編譯開始構(gòu)建并自動(dòng)發(fā)布到生產(chǎn)系統(tǒng)，不要直接更改生產(chǎn)系統(tǒng)

• 無(wú)狀態(tài)的進(jìn)程的方式提供服務(wù)，應(yīng)用需要做到自身無(wú)狀態(tài)無(wú)共享。如果需要保持狀態(tài)或者共享，需要使用外置的服務(wù)的方式來(lái)提供，比如外置session管理器等

• 使用地址與端口綁定的方式提供服務(wù)，例如某個(gè)應(yīng)用服務(wù)的消費(fèi)者只需要知道uri地址與對(duì)應(yīng)的端口，綁定之后即能消費(fèi)該服務(wù)

• 通過(guò)進(jìn)程模型的方式進(jìn)行橫向擴(kuò)展，即應(yīng)用或者微型的服務(wù)是可以通過(guò)多實(shí)例的方式來(lái)橫向擴(kuò)展并線性擴(kuò)展支撐能力的

• 通常的應(yīng)用進(jìn)程要設(shè)計(jì)成可以快速啟動(dòng)和優(yōu)雅終止銷毀的模式，這樣能夠方便故障恢復(fù)與橫向擴(kuò)展

• 開發(fā)環(huán)境與線上環(huán)境等價(jià)，盡可能的保持開發(fā)，預(yù)發(fā)布，線上生產(chǎn)環(huán)境的相同。要能做到持續(xù)發(fā)布需要盡可能的縮小本地與線上生產(chǎn)環(huán)境的差別。盡量反對(duì)在不同的環(huán)境下使用不同的后端服務(wù)

• 把日志作為事件流來(lái)對(duì)待，匯總整個(gè)的日志來(lái)監(jiān)控平臺(tái)的應(yīng)用和環(huán)境，這樣經(jīng)過(guò)大數(shù)據(jù)綜合分析更能發(fā)掘出問(wèn)題的根本原因

• 管理或者其他的任務(wù)作為一次性進(jìn)程來(lái)對(duì)待，例如執(zhí)行一次性的系統(tǒng)檢查，快照一次健康狀態(tài)等等。

問(wèn)題七：私有云的容量如何評(píng)估？成本如何計(jì)算？如何才能做到成本和效率的平衡？

解答：

私有云的容量需要根據(jù)業(yè)務(wù)來(lái)評(píng)估：

以一般金融行業(yè)，有web區(qū)，有app，有db。需要根據(jù)運(yùn)行在私有云上的業(yè)務(wù)的多少，來(lái)統(tǒng)計(jì)所需要的資源的多少。例如，web區(qū)，需要nginx，需要考慮HA和LB，那么就需要2臺(tái)以上；如果多個(gè)業(yè)務(wù)共享nginx，那么就需要多個(gè)nginx來(lái)分擔(dān)業(yè)務(wù)壓力。

成本計(jì)算：

一般私有云平臺(tái)上，都有一個(gè)celimeter這個(gè)模塊，專門用來(lái)計(jì)量CPU，內(nèi)存，網(wǎng)絡(luò)的使用量，可以統(tǒng)計(jì)出使用私有云的資源，相對(duì)傳統(tǒng)環(huán)境節(jié)省了多少資源。

至于成本和效率的平衡，一般在私有云建設(shè)初期很難做到。設(shè)備的購(gòu)置，部署，人員的配置等等都是一筆不小的開支；私有云真正的優(yōu)勢(shì)體現(xiàn)，應(yīng)該在后期的使用中容量如何評(píng)估，這個(gè)肯定是沒有普適標(biāo)準(zhǔn)的了。

容量通常從三方面考慮：計(jì)算能力、存儲(chǔ)容量、網(wǎng)絡(luò)帶寬。這三方面可以說(shuō)也是數(shù)據(jù)中心最基本的三大核心要素了，我們都知道，云計(jì)算是以規(guī)模取勝的，這個(gè)規(guī)模如何決定？究竟是20節(jié)點(diǎn)，50節(jié)點(diǎn)，還是100+節(jié)點(diǎn)，這個(gè)得根據(jù)你自己的業(yè)務(wù)需求來(lái)考慮了，在小規(guī)模情況下，為了高可用，如果可用容量評(píng)估是N，那你就按2N來(lái)計(jì)算，私有云一般不會(huì)像達(dá)到公有云那種規(guī)模，所以通常也不可能達(dá)到很多布道師口中的 虛機(jī)隨便掛，真掛了你宿主機(jī)資源沒有了，咋整？

至于成本，得看你的方案了，你是采用開源自建，還是與廠商合作共建，合作情況下如何分工，哪些外包出去，這個(gè)你得仔細(xì)考慮。通常，如果人力資源有限，技術(shù)實(shí)力有限，那就由承包給廠商來(lái)實(shí)施吧，不然到后面也是個(gè)爛攤子。但是，全部外部給廠商的不足也是明顯的，一不小心你就被鎖定，每年燒錢的跑不掉的了，尤其是項(xiàng)目上馬后，停也停不下來(lái)了。

問(wèn)題八：私有云環(huán)境下的統(tǒng)一資源納管怎樣實(shí)現(xiàn)？

客戶的實(shí)際運(yùn)行環(huán)境是十分復(fù)雜的，怎樣實(shí)現(xiàn)不同平臺(tái)資源的統(tǒng)一云管，從主機(jī)、存儲(chǔ)、網(wǎng)絡(luò)不同層面都可以自動(dòng)化管理，實(shí)現(xiàn)自服務(wù)？

解答：

這個(gè)重點(diǎn)考驗(yàn)的是云平臺(tái)的開放度。

企業(yè)在自身選擇云平臺(tái)的時(shí)候要充分考慮自身的環(huán)境，有多少類型要涉及，有多少平臺(tái)要納管，是否支持異構(gòu)，是否支持模塊化接入。

建議將云平臺(tái)納管層面定位為工具框架，實(shí)現(xiàn)足夠的開放性，標(biāo)準(zhǔn)化接口和統(tǒng)一格式接入，各個(gè)領(lǐng)域按標(biāo)準(zhǔn)完成自身自動(dòng)化封裝、自身配置采集、統(tǒng)一視圖展示在云平臺(tái)上，云平臺(tái)通過(guò)流程引擎調(diào)度個(gè)領(lǐng)域模塊，實(shí)現(xiàn)操作、納管。

在實(shí)施層面，基本上則是領(lǐng)域負(fù)責(zé)制，每個(gè)想要被納管的平臺(tái)（計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等），完成自身的開發(fā)和服務(wù)的注冊(cè)。

問(wèn)題九：私有云是否需要支持多租戶？多租戶和單租戶本質(zhì)區(qū)別有哪些？

解答：

多租戶的概念包含三層用戶集成：

數(shù)據(jù)中心層

基礎(chǔ)架構(gòu)層

應(yīng)用程序?qū)?/p>

云計(jì)算技術(shù)設(shè)計(jì)中的重要內(nèi)容是多租戶的基礎(chǔ)架構(gòu)和應(yīng)用程序?qū)蛹�成。此集成�?jīng)過(guò)特別的調(diào)整，可節(jié)約成本和開發(fā)具有高度可伸縮性的 SaaS 應(yīng)用程序，而這是以犧牲安全性和客戶隔離需求 (segregation requirement) 為代價(jià)。很多情況下，這樣的設(shè)計(jì)都是有效的，盡管可能不太適用于金融應(yīng)用程序。

在數(shù)據(jù)中心租用空間并提供服務(wù)器、路由器和線纜以支持多個(gè)客戶軟件，這項(xiàng)功能自從硅谷創(chuàng)立初期就已經(jīng)存在，因此用戶對(duì)于數(shù)據(jù)中心層多租戶應(yīng)該并不陌生。如果正確實(shí)現(xiàn)此配置，則該配置能夠提供最高級(jí)別的安全需求，它用防火墻和訪問(wèn)控制來(lái)滿足業(yè)務(wù)需求，還定義了對(duì)提供 SasS 的基礎(chǔ)架構(gòu)的物理位置的安全控制。大多數(shù)情況下，可以將數(shù)據(jù)中心層多租戶用作服務(wù)供應(yīng)商，向公司提供場(chǎng)地來(lái)安置硬件、網(wǎng)絡(luò)以及軟件。

基礎(chǔ)架構(gòu)層的多租戶是最簡(jiǎn)單軟件棧概念，一個(gè)棧專用于一個(gè)特定客戶。與數(shù)據(jù)中心層多租戶相比，此配置更節(jié)約成本，因?yàn)闂Ｊ歉鶕?jù)實(shí)際的客戶賬戶部署的。在這種情況下，可以根據(jù)實(shí)際的服務(wù)使用來(lái)增加硬件需求。另外，基礎(chǔ)架構(gòu)層的每個(gè)用戶都可以選擇高可用性。每個(gè)客戶都知道棧，所以軟件和硬件最佳實(shí)踐提供了一些實(shí)現(xiàn)選項(xiàng)。

應(yīng)用程序?qū)佣嘧鈶粜枰�在軟件層和基礎(chǔ)架構(gòu)層基礎(chǔ)上進(jìn)行架構(gòu)實(shí)現(xiàn)。需要修改現(xiàn)有軟件架構(gòu)，包括應(yīng)用程序?qū)拥亩嘧鈶裟Ｊ�。例如，多租戶�?yīng)用程序需要一些應(yīng)用程序方法和數(shù)據(jù)表來(lái)訪問(wèn)和存儲(chǔ)不同用戶賬戶的數(shù)據(jù)，這會(huì)犧牲安全性。但如果正確實(shí)現(xiàn)此操作，就可以節(jié)省成本。對(duì)于小部件和簡(jiǎn)單的 Web 應(yīng)用程序，應(yīng)用程序?qū)佣嘧鈶羰且粋�(gè)可行的解決方案，因?yàn)閱蝹�(gè)開發(fā)人員可以更快地開發(fā)軟件，也負(fù)擔(dān)得起調(diào)整規(guī)模的費(fèi)用。不足之處在于更復(fù)雜的應(yīng)用程序架構(gòu)和實(shí)現(xiàn)；與基礎(chǔ)架構(gòu)處理多租戶不同的是，如果基礎(chǔ)架構(gòu)發(fā)生變化，應(yīng)用程序團(tuán)隊(duì)需要保持編程模式的可伸縮性和可靠性，而且在未來(lái)可用。

多租戶服務(wù)指定從在軟件應(yīng)用程序中構(gòu)建并直接訪問(wèn)的 HTTP RESTful 接口或 WSDL Web 服務(wù)終端訪問(wèn)。這些服務(wù)是建立多租戶模式的面向服務(wù)的應(yīng)用程序的關(guān)鍵，因?yàn)樗鼈兛芍赜糜诙喾N事務(wù)類型。

應(yīng)用服務(wù)器是應(yīng)用程序和基礎(chǔ)架構(gòu)層多租戶的關(guān)鍵部件，因?yàn)槎嘧鈶魰?huì)影響安裝、配置和應(yīng)用程序代碼。對(duì)于基礎(chǔ)架構(gòu)層，應(yīng)用服務(wù)器的多租戶意味著調(diào)整更快、更廣，它配置了額外的服務(wù)器，其中包括應(yīng)用服務(wù)器安裝、配置和應(yīng)用程序代碼。多租戶層不需要更改代碼（除非應(yīng)用程序設(shè)置了特別的需求），調(diào)整也很簡(jiǎn)單，一般由 IT 運(yùn)營(yíng)機(jī)構(gòu)完成，而不是由開發(fā)人員重新設(shè)計(jì)應(yīng)用程序源代碼。通常，如果添加了新客戶，則需要添加一個(gè)相同配置的棧，以便更輕松地滿足安全需求。

問(wèn)題十：私有云平臺(tái)架構(gòu)中，安全規(guī)則和方案怎么制定？

解答：

1) 云計(jì)算物理層安全

云計(jì)算物理層面臨著對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與計(jì)算機(jī)系統(tǒng)的物理裝備的威脅，是指由于周邊系統(tǒng)環(huán)境和物理特性導(dǎo)致的網(wǎng)絡(luò)安全設(shè)備和線路的不可用，從而造成所承載的網(wǎng)絡(luò)應(yīng)用不可用。主要表現(xiàn)在自然災(zāi)害、電磁輻射、三防（防火、防水、防塵）及惡劣的工作環(huán)境方面，而相應(yīng)的防范措施包括抗干擾系統(tǒng)、物理隔離、防輻射系統(tǒng)、供電系統(tǒng)的冗余設(shè)計(jì)和可靠性備份，采取前后上下等多種通風(fēng)方式。

2) 虛擬化資源層安全

虛擬化層是云計(jì)算代表性的屬性之一，也是現(xiàn)階段云計(jì)算數(shù)據(jù)中心實(shí)施最為廣泛的技術(shù)，基于服務(wù)器的虛擬化技術(shù)，可以將單臺(tái)物理服務(wù)器虛擬出多臺(tái)虛擬機(jī)并獨(dú)立安裝各自的操作系統(tǒng)和應(yīng)用程序，從而有效提升服務(wù)器本身的利用效率。但是這種虛擬化技術(shù)也帶來(lái)了一些安全風(fēng)險(xiǎn)，比較典型的有基于虛擬化所衍生的一些安全漏洞，以及針對(duì)VM-VM虛擬機(jī)流量交換的安全問(wèn)題。

虛擬化軟件導(dǎo)致的安全漏洞風(fēng)險(xiǎn)：這個(gè)問(wèn)題可以從2個(gè)方面來(lái)看，一方面，以虛擬化應(yīng)用程序本身可能存在的安全漏洞將影響到整個(gè)物理主機(jī)的安全。黑客在利用漏洞入侵到主機(jī)系統(tǒng)之后，可以對(duì)整個(gè)主機(jī)上的虛擬機(jī)進(jìn)行任意的配置破壞，從而導(dǎo)致系統(tǒng)不能業(yè)務(wù)，或者是將相關(guān)數(shù)據(jù)進(jìn)行竊取,如果黑客侵入了虛擬機(jī)配置管理程序，則會(huì)直接影響到其管理的全部虛擬機(jī)的安全。另一方面，基于虛擬化環(huán)境開發(fā)的各種第三方應(yīng)用程序的漏洞安全。這些應(yīng)用程序是云服務(wù)交付的核心組成，包括Web前端的應(yīng)用程序、各種中間件應(yīng)用程序及數(shù)據(jù)庫(kù)程序等，即使在傳統(tǒng)網(wǎng)絡(luò)安全環(huán)境下，他們?nèi)匀粫?huì)因?yàn)榫幊碳夹g(shù)的缺陷而存在多個(gè)安全漏洞，在云計(jì)算環(huán)境下，這些安全漏洞會(huì)繼續(xù)存在，典型如各種WEB會(huì)話控制漏洞、會(huì)話劫持漏洞及各種注入攻擊漏洞。同時(shí)為了適應(yīng)或使用虛擬化環(huán)境下的各種API管理接口，也可能產(chǎn)生一些新的安全漏洞。

云計(jì)算虛擬機(jī)流量交換的安全新風(fēng)險(xiǎn)：在虛擬化環(huán)境下，單臺(tái)物理服務(wù)器上可以虛擬化出多個(gè)完全對(duì)立的虛擬機(jī)并運(yùn)行不同的操作系統(tǒng)和應(yīng)用程序，各虛擬機(jī)之間可能存在直接的二層流量交換，而這種二層交換并不需要經(jīng)過(guò)外置的二層交換機(jī)，管理員對(duì)于該部分流量既不可控也不可見，在這種情況下，管理員需要判斷VM虛擬機(jī)之間的訪問(wèn)是否符合預(yù)定的安全策略，或者需要考慮如何設(shè)置策略以便實(shí)現(xiàn)對(duì)VM之間流量的訪問(wèn)控制。

3) 多租戶IaaS服務(wù)層安全

多租戶環(huán)境下的基礎(chǔ)安全服務(wù)主要體現(xiàn)在IaaS服務(wù)層。IaaS作為云計(jì)算的重要組成部分，其將基礎(chǔ)設(shè)施包括網(wǎng)絡(luò)、存儲(chǔ)、計(jì)算等資源進(jìn)行虛擬化等處理，能夠?yàn)槊總�(gè)用戶提供相對(duì)獨(dú)立的服務(wù)器計(jì)算資源、存儲(chǔ)資源以及在承載網(wǎng)上設(shè)定專有的數(shù)據(jù)轉(zhuǎn)發(fā)通道，這種云計(jì)算的模式已經(jīng)得到IT業(yè)界的廣泛認(rèn)可.在本次大地保險(xiǎn)云安全平臺(tái)的建設(shè)過(guò)程中，基于IaaS模型下的各種安全服務(wù)體系的建設(shè)其是重點(diǎn)所在，根據(jù)現(xiàn)階段的需求來(lái)看，這部分服務(wù)主要包括針對(duì)云計(jì)算防火墻服務(wù)、云計(jì)算負(fù)載均衡業(yè)務(wù)。不同的租戶可以根據(jù)自身的業(yè)務(wù)需求，合理的選擇部署云安全防火墻服務(wù)或者是防火墻疊加負(fù)載均衡業(yè)務(wù)。部署該安全服務(wù)后，每個(gè)租戶可以獲得邏輯上完全屬于自己的防火墻和負(fù)載均衡。租戶可以根據(jù)自身需求，設(shè)定自身的各種安全防護(hù)策略，生成自身獨(dú)有的安全日志分析報(bào)告。同時(shí)對(duì)于部分需要負(fù)載均衡的業(yè)務(wù)，也可以設(shè)置獨(dú)立的負(fù)載均衡的算法，以保證業(yè)務(wù)的可靠性運(yùn)行。當(dāng)然，考慮到應(yīng)用層的安全風(fēng)險(xiǎn)一直是互聯(lián)網(wǎng)的重點(diǎn)防護(hù)對(duì)象之一，各種基于web應(yīng)用層的安全攻擊會(huì)導(dǎo)致用戶業(yè)務(wù)系統(tǒng)的權(quán)限被竊取以及關(guān)鍵數(shù)據(jù)的泄露，未來(lái)也可以考慮增加一些新的諸如IPS入侵檢測(cè)等增值服務(wù)，用戶可以根據(jù)自身業(yè)務(wù)系統(tǒng)的安全級(jí)別合理選擇是否租用該漏洞防護(hù)服務(wù)等。這部分的內(nèi)容后續(xù)將作為重點(diǎn)進(jìn)行論述。

4) PaaS/SaaS應(yīng)用層數(shù)據(jù)安全

在云安全體系的建設(shè)過(guò)程中，PaaS和SaaS的安全建設(shè)也非常重要。和IaaS的建設(shè)思路不同，PaaS的安全建設(shè)，其關(guān)鍵在于平臺(tái)開放的思想下，開發(fā)者應(yīng)用平臺(tái)及數(shù)據(jù)庫(kù)系統(tǒng)對(duì)于多開發(fā)者數(shù)據(jù)安全的適配。典型問(wèn)題包括針對(duì)開發(fā)者的用戶身份認(rèn)證，開發(fā)者的平臺(tái)和數(shù)據(jù)庫(kù)的訪問(wèn)使用權(quán)限控制，不同開發(fā)者數(shù)據(jù)的安全隔離、及操作行為審計(jì)等內(nèi)容。為此需要在數(shù)據(jù)庫(kù)的開發(fā)及平臺(tái)應(yīng)用環(huán)境開發(fā)過(guò)程中考慮到上述安全風(fēng)險(xiǎn)的防護(hù)。而在SaaS模型下，應(yīng)用系統(tǒng)級(jí)的多租戶共享涉及到的應(yīng)用層安全問(wèn)題，除了多租戶身份認(rèn)證和權(quán)限控制及數(shù)據(jù)庫(kù)安全隔離等需求外，還需要考慮針對(duì)應(yīng)用環(huán)境的代碼級(jí)的安全審計(jì)等問(wèn)題，確保提供給租戶的應(yīng)用程序本身的安全具備很高的水平，不會(huì)輕易被黑客等攻擊者利用其內(nèi)在的各種安全漏洞。在本次的大地保險(xiǎn)云建設(shè)過(guò)程中，這部分的安全通過(guò)合理配置數(shù)據(jù)庫(kù)及應(yīng)用程序來(lái)進(jìn)行保證。

5) 建立安全運(yùn)維體系，確保系統(tǒng)安全

除了前面提到的各種安全措施，還需要在運(yùn)維管理方面建立相應(yīng)的安全措施，形成完善的運(yùn)維體系，以確保整個(gè)系統(tǒng)安全。

--專業(yè)安全運(yùn)維團(tuán)隊(duì)

配備了一支高水平的專業(yè)安全運(yùn)維團(tuán)隊(duì),安全團(tuán)隊(duì)的成員都經(jīng)過(guò)嚴(yán)格挑選，具備良好的道德修養(yǎng)和職業(yè)操守，同時(shí)具備極高的專業(yè)安全技術(shù)水平。安全團(tuán)隊(duì)有嚴(yán)格安全保密制度，有效的安全操作管控能力，以及長(zhǎng)效的安全審計(jì)機(jī)制。

--日常安全流程

安全運(yùn)維團(tuán)隊(duì)實(shí)行7X24小時(shí)安全值守服務(wù)，隨時(shí)監(jiān)控和處理日常安全問(wèn)題。對(duì)于常見的網(wǎng)絡(luò)攻擊和入侵探測(cè)等，大多數(shù)都由云平臺(tái)自動(dòng)化處理，少數(shù)情況需安全人員人工判斷后加以處理。同時(shí)，安全團(tuán)隊(duì)還及時(shí)對(duì)各系統(tǒng)運(yùn)維人員的安全服務(wù)請(qǐng)求作出響應(yīng)，配合各系統(tǒng)運(yùn)維人員做好安全防范工作。

--應(yīng)急響應(yīng)流程

一旦發(fā)生特大的網(wǎng)絡(luò)攻擊或新類型的安全問(wèn)題，安全運(yùn)維團(tuán)隊(duì)將啟動(dòng)突發(fā)安全事件應(yīng)急響應(yīng)流程。應(yīng)急響應(yīng)流程將緊急調(diào)動(dòng)各方資源，臨時(shí)提升云平臺(tái)防護(hù)門檻，組織專家會(huì)診安全問(wèn)題，制定緊急應(yīng)對(duì)方案并立即實(shí)施。對(duì)于新型安全問(wèn)題，將即刻啟動(dòng)安全防御新功能開發(fā)，并盡快上線啟用，保證安全系統(tǒng)的及時(shí)升級(jí)和安全的長(zhǎng)效性。

--安全消防演習(xí)

安全團(tuán)隊(duì)不定期會(huì)進(jìn)行必要的安全消防演習(xí)，以考驗(yàn)各種安全流程和資源在實(shí)戰(zhàn)狀態(tài)下的有效性。消防演習(xí)一般不做事前通知，并在可控范圍內(nèi)發(fā)起模擬網(wǎng)絡(luò)攻擊和黑客入侵，同時(shí)記錄各安全處理環(huán)境的效率和結(jié)果，最終評(píng)判整個(gè)安全體系的防衛(wèi)和響應(yīng)能力。

問(wèn)題十一： 基于私有云的容災(zāi)實(shí)現(xiàn)是怎么樣的？

私有云的本地容災(zāi)、異地容災(zāi)，不同數(shù)據(jù)中心的容災(zāi)，OpenStack  分布式存儲(chǔ)等， 在上述容災(zāi)場(chǎng)景 上 有什么具體的方案、成功案例、注意事項(xiàng)？

解答：

這里有個(gè)概念，首先大家看看是不是理解一致，我認(rèn)為災(zāi)備事項(xiàng)，在云的環(huán)境中，分為兩種，一個(gè)是災(zāi)備云，一個(gè)是云的災(zāi)備。災(zāi)備云指的是該云環(huán)境中主要提供的服務(wù)都是用于災(zāi)備的，云的災(zāi)備，指的是將云環(huán)境整個(gè)備份至災(zāi)備中心。

感覺樓主想問(wèn)的是第二種如何實(shí)現(xiàn)，在openstack和分布式存儲(chǔ)上，做災(zāi)備我了解業(yè)界還沒有成熟解決方案，而且在云計(jì)算行業(yè)，尤其在私有云，大家基本上都采用災(zāi)備云的方式解決容災(zāi)的問(wèn)題。主要實(shí)現(xiàn)是在異地同城搭建災(zāi)備的云環(huán)境，應(yīng)用采用傳統(tǒng)的方式，進(jìn)行數(shù)據(jù)級(jí)、應(yīng)用級(jí)容災(zāi)，由于災(zāi)備云環(huán)境的彈性，往往這些資源日常被用于和開發(fā)測(cè)試復(fù)用，體現(xiàn)了災(zāi)備云的效益，這個(gè)在以往，災(zāi)備測(cè)試復(fù)用往往是很復(fù)雜，并且只在一些低等級(jí)系統(tǒng)中應(yīng)用的。這樣的好處是應(yīng)用層實(shí)現(xiàn)的越多，對(duì)底層基礎(chǔ)設(shè)施的同構(gòu)要求就越少，可以盡量節(jié)約災(zāi)備帶來(lái)的成本負(fù)擔(dān)。也實(shí)現(xiàn)了應(yīng)用可靠性要求與基礎(chǔ)架構(gòu)的松耦合，在這一點(diǎn)上，是明顯符合分布式、互聯(lián)網(wǎng)架構(gòu)、云計(jì)算的特點(diǎn)的。

如果要做云的災(zāi)備，基本上還是要涉及數(shù)據(jù)文件、虛擬機(jī)文件的復(fù)制、對(duì)底層架構(gòu)的同構(gòu)性要求也高，分布式存儲(chǔ)、云管理平臺(tái)的備份，更是帶來(lái)了復(fù)雜性。往往這樣的災(zāi)備，容易導(dǎo)致基礎(chǔ)設(shè)施稍微變動(dòng)，對(duì)端也要變、上面的應(yīng)用也受到影響。因此，在提供公有云的廠商中，往往大多也都是采用分布式的部署應(yīng)用和數(shù)據(jù)，而沒有把整個(gè)云采用某一種手段全面容災(zāi)的。供參考

問(wèn)題十二：上云之后對(duì)IT部門的架構(gòu)有什么樣的影響？

解答：

云計(jì)算使傳統(tǒng)意義上的數(shù)據(jù)中心從原來(lái)的成本中心轉(zhuǎn)變成服務(wù)中心，支持向公司內(nèi)部輸出規(guī)范的、有質(zhì)量保證的服務(wù)，降低服務(wù)成本、運(yùn)營(yíng)成本的同時(shí)促進(jìn)IT部門運(yùn)維模式發(fā)展變革，簡(jiǎn)化系統(tǒng)建設(shè)、運(yùn)維工作，提升工作效率。

對(duì)于金融保險(xiǎn)業(yè)，云計(jì)算有其獨(dú)特的價(jià)值：

縮短上線周期：

云計(jì)算的引入能夠顯著縮短硬件資源、平臺(tái)環(huán)境、應(yīng)用系統(tǒng)的部署周期，支持各部門在最短時(shí)間內(nèi)以“隨需即取”的方式獲取系統(tǒng)部署所需的一切服務(wù)資源，運(yùn)維管理團(tuán)隊(duì)即可根據(jù)服務(wù)模板實(shí)現(xiàn)遠(yuǎn)程快速部署和動(dòng)態(tài)調(diào)整，減少重復(fù)性建設(shè)工作，支撐業(yè)務(wù)的快速發(fā)展變化。

進(jìn)一步實(shí)現(xiàn)綠色節(jié)能：

云計(jì)算構(gòu)建于池化的硬件資源基礎(chǔ)上，并進(jìn)一步實(shí)現(xiàn)服務(wù)化封裝及更高層級(jí)的細(xì)粒度服務(wù)復(fù)用，從而相應(yīng)降低對(duì)數(shù)據(jù)中心機(jī)房的電力、制冷、空間消耗，實(shí)現(xiàn)機(jī)房綠色節(jié)能。

促進(jìn)運(yùn)維模式發(fā)展變革：

針對(duì)業(yè)務(wù)需求部門提供自助式服務(wù)，需求部門依據(jù)定制的云服務(wù)目錄選取所需的計(jì)算資源、存儲(chǔ)空間、網(wǎng)絡(luò)服務(wù)、基礎(chǔ)平臺(tái)環(huán)境等服務(wù)項(xiàng)并提交申請(qǐng)，運(yùn)維管理團(tuán)隊(duì)根據(jù)定制成型的服務(wù)模板，依靠自動(dòng)化技術(shù)及云管理平臺(tái)來(lái)交付規(guī)范的、有質(zhì)量保證的服務(wù)，將傳統(tǒng)運(yùn)維模式轉(zhuǎn)變?yōu)橐苑��?wù)為中心的方式，降低系統(tǒng)建設(shè)、運(yùn)維、管理工作量。

運(yùn)維人員角色的轉(zhuǎn)變，image維護(hù)人員，云服務(wù)實(shí)施人員，持續(xù)運(yùn)維人員，和資源管理人員，角色不通 與傳統(tǒng)運(yùn)維，日后運(yùn)維多是 運(yùn)維需求調(diào)研開發(fā)運(yùn)維產(chǎn)品上線，自動(dòng)業(yè)務(wù)需求梳理開發(fā)相關(guān)軟件上線

越來(lái)越多的企業(yè)開始自建私有云，天下數(shù)據(jù)已為多家企業(yè)提供企業(yè)自建私有云解決方案，并贏得了客戶信任和口碑！天下數(shù)據(jù)為各行業(yè)打造專屬的企業(yè)私有云解決方案，具體詳詢?cè)诰�客服！

本文鏈接：http://m.51huadong.com/cloundnews/11002951.html