400-638-8808
|
微信公眾號(hào)








穩(wěn)定可靠 永不間斷

海外收發(fā) 暢通無(wú)阻

協(xié)同辦公 資源管理

超大郵件 超級(jí)功能

智能反垃圾郵件技術(shù)
易管理 免維護(hù)

微信掃一掃 關(guān)注"天下數(shù)據(jù)"商品一律九折
![]()
搜索"朗玥科技"關(guān)注,了解最新優(yōu)惠


隨著云計(jì)算的飛速發(fā)展,建立企業(yè)私有云平臺(tái)已成為趨勢(shì),以下問(wèn)題是在企業(yè)私有云建設(shè)之路上普遍會(huì)遇到的難點(diǎn),來(lái)自社區(qū)專家的解答分析供大家參考。
問(wèn)題一:云與虛擬化的區(qū)別是什么?云多了什么?
1:達(dá)到什么樣的硬件規(guī)模,才有上私有云的必要?
有幾百上千那是上,有的10臺(tái) 20臺(tái) 也是上。每個(gè)企業(yè)可能衡量的標(biāo)準(zhǔn)不一樣。怎么判斷要不要上?
2:已有虛擬化的情況下,上云到底能帶來(lái)什么樣的幫助?
云比虛擬化多了什么?
解答:
多了云服務(wù),一種基礎(chǔ)設(shè)施封裝服務(wù)模式。虛擬化提供不了SAAS,PAAS,也提供不了計(jì)費(fèi)、計(jì)量、服務(wù)開發(fā)和自服務(wù)定制。
虛擬化只是一種比較方便支持云計(jì)算的一種技術(shù)手段,并不是云計(jì)算。
那么就回到問(wèn)題,要不要上私有云?其實(shí)我們這里分析的是上私有云是有什么訴求,這些訴求是否值得投入,投入產(chǎn)出如何。
上云、云管理的訴求1:有把基礎(chǔ)設(shè)施強(qiáng)烈服務(wù)化得需求,很多時(shí)候這種訴求來(lái)源于資源規(guī)模大,組織結(jié)構(gòu)分工細(xì)化,基礎(chǔ)設(shè)施部門面向多個(gè)開發(fā)環(huán)境,迫切需要通過(guò)封裝自身的服務(wù),把自身的服務(wù)能力說(shuō)清,把服務(wù)運(yùn)行成本、責(zé)任分清,云服務(wù)提供式一種良好的方式。訴求2:大規(guī)模資源有效利用、批量管理的需求。云計(jì)算是規(guī)模效益,規(guī)模上不去,效益體現(xiàn)不出來(lái),因此,要根據(jù)自身的能力和規(guī)模,看看是否值得去上,是否能夠持續(xù)投入。訴求3,也是最重點(diǎn)的需求,供給矛盾是否突出,決定了是否走這條道路,虛擬化環(huán)境現(xiàn)在管的很好,很方便,能夠滿足業(yè)務(wù)需求,那么,個(gè)人認(rèn)為這個(gè)矛盾還沒有到要改變生產(chǎn)力的時(shí)候,什么時(shí)候變呢?基礎(chǔ)設(shè)施要求的速度現(xiàn)有手段跟不上,不能滿足應(yīng)用快速擴(kuò)容的彈性能力,不能滿足應(yīng)用更高層面,比如PAAS\SAAS方面的需求,或者說(shuō)需要通過(guò)標(biāo)準(zhǔn)手段對(duì)架構(gòu)管控,海量運(yùn)維。這時(shí)就是矛盾突出之時(shí),也是入云日。
因此,在有資金和人力支持的情況下,基礎(chǔ)設(shè)施利用現(xiàn)有的虛擬化進(jìn)一步到云計(jì)算環(huán)境(還要考慮網(wǎng)絡(luò)、存儲(chǔ)、流程的投入),是可以的,但不是必須的,需要考慮自身成本、規(guī)模,量體裁衣。
問(wèn)題二:在虛擬化建設(shè)基礎(chǔ)之上,三個(gè)私有云建設(shè)方向的選擇?
當(dāng)虛擬化的規(guī)模與日劇增,對(duì)自動(dòng)化、標(biāo)準(zhǔn)化、流程化和服務(wù)質(zhì)量需求的迫切性達(dá)到一定程度后,我們會(huì)選擇開展企業(yè)私有云建設(shè)。
私有云建設(shè)目前大致存在三個(gè)方向:
1.在原虛擬化的基礎(chǔ)之上,采用現(xiàn)成大廠商提供的各級(jí)(IAAS、PAAS、SAAS)云管理平臺(tái)產(chǎn)品,進(jìn)行虛擬化的統(tǒng)一接入、統(tǒng)一管理和統(tǒng)一流程。
2.在原虛擬化的基礎(chǔ)之上,利用標(biāo)準(zhǔn)開源的框架,如openstack,Kubernetes,根據(jù)企業(yè)自身需求,量身開發(fā)屬于自己的云計(jì)算需求。
3.在原虛擬化的基礎(chǔ)之上,從基礎(chǔ)框架到軟件需求全部根據(jù)企業(yè)自身需求,量身開發(fā),更加貼切企業(yè)實(shí)際,安全系數(shù)高,可靠性強(qiáng)。
對(duì)以上私有云建設(shè)三個(gè)方向有何見解?企業(yè)究竟該如何選擇方向?
解答:
建議如下:
商業(yè)銀行選擇那個(gè)路線,還是需要看自身的戰(zhàn)略規(guī)劃和人員素質(zhì)能力的。這兩個(gè)路線主要區(qū)別如下:
開源私有云:代碼自助可控,平臺(tái)兼容性、定制化能力強(qiáng),但需要具有大量的人員和財(cái)務(wù)投入,并且是持續(xù)不斷的投入,人員素質(zhì)和財(cái)務(wù)一定要跟上,同時(shí),開源產(chǎn)品的版本迭代快,健壯性不夠,方向性不明確(沒準(zhǔn)大家一股腦換了一個(gè)框架\產(chǎn)品),這樣帶來(lái)的糾錯(cuò)成本很高?傊陨砝瞄_源搭建和開發(fā)私有云,對(duì)自身能力帶來(lái)的很大的挑戰(zhàn),要求企業(yè)能夠打持久戰(zhàn),并能夠不斷的在社區(qū)中豐富和汲取養(yǎng)分。還有一層,就是開發(fā)、維護(hù)都有自身完成,無(wú)第三方風(fēng)險(xiǎn)轉(zhuǎn)嫁。
商用軟件:缺點(diǎn)大家很清楚,容易被廠商綁定,兼容性差,定制化差,隨著規(guī)模的擴(kuò)大成本增長(zhǎng)明顯,但特點(diǎn)是實(shí)施周期短,對(duì)于企業(yè)本身的人員素質(zhì)較自開發(fā)的情況要求低很多,主要是產(chǎn)品經(jīng)理和用戶的角色。并且對(duì)于系統(tǒng)的維保、OLA可以通過(guò)商務(wù)的方式轉(zhuǎn)嫁部分風(fēng)險(xiǎn)。比較適用于企業(yè)規(guī)模不大,求盡快上云的情況。
最后說(shuō)一點(diǎn)的是,很多商用軟件都是基于開源私有云搭建而成的,可以考慮兩者優(yōu)勢(shì)結(jié)合,通過(guò)開源的方式增強(qiáng)開放性,通過(guò)商用的方式減少自身建設(shè)成本。
目標(biāo)是第三點(diǎn),但要求企業(yè)自身的能力加強(qiáng),可以考慮基于開源的商用產(chǎn)品,并且要求足夠開放,逐步積累經(jīng)驗(yàn),慢慢做到2個(gè)并存,逐步代替。
問(wèn)題三:上私有云對(duì)企業(yè)有什么樣的要求?
1:運(yùn)維水平有哪些要求?或者說(shuō)上了云之后需要具備的素質(zhì)或努力的方向
對(duì)運(yùn)維團(tuán)隊(duì)有哪些典型的要求?制度規(guī)范,技術(shù)水平,角色人員?
2:標(biāo)準(zhǔn)化程度要求?
制度規(guī)范,企業(yè)整體IT治理的階段水平?
解答:
運(yùn)維水平最大的要求是自動(dòng)化的運(yùn)維工具使用、跨領(lǐng)域的協(xié)同、運(yùn)維組織結(jié)構(gòu)調(diào)整,和運(yùn)維文化的轉(zhuǎn)變。
自動(dòng)化運(yùn)維工具應(yīng)對(duì)海量運(yùn)維、最基本的要求就是配置管理的準(zhǔn)確性,要不誰(shuí)敢上去自動(dòng)化呢?
跨領(lǐng)域協(xié)同在私有云建設(shè)中很重要,在大企業(yè)中,網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)、中間件等領(lǐng)域,往往都是獨(dú)立的部門,有獨(dú)立的變更和實(shí)施流程,但在私有云的設(shè)計(jì)、和運(yùn)維上,這必須是一體的,哪怕有個(gè)虛擬團(tuán)隊(duì)承接。這也就是說(shuō),一般情況下,應(yīng)進(jìn)行組織結(jié)構(gòu)的調(diào)整。
人員要具有面對(duì)海量基礎(chǔ)設(shè)施運(yùn)維的能力,要有架構(gòu)團(tuán)隊(duì)、需求分析團(tuán)隊(duì)。人員要具備運(yùn)維工具的開發(fā)能力,這一點(diǎn)建議百度一下 google的SRE團(tuán)隊(duì),是一個(gè)非常好的定位。
談起標(biāo)準(zhǔn)化,是重中之重,也是私有云最有特點(diǎn)和最有優(yōu)勢(shì)的一環(huán),企業(yè)架構(gòu)管控做的好,標(biāo)準(zhǔn)化程度高,決定了云計(jì)算的層次,SAAS服務(wù)的提供,依賴于高度的標(biāo)準(zhǔn)化。要從物理硬件層、OSNETDBSTORAGE各領(lǐng)域完成標(biāo)準(zhǔn)化,然后在繼續(xù)規(guī)范應(yīng)用的部署模式,逐步規(guī)范形成標(biāo)準(zhǔn),有利于PAAS的提供,真對(duì)具體應(yīng)用標(biāo)準(zhǔn)話,才能完成SAAS的轉(zhuǎn)變。
問(wèn)題四:企業(yè)云平臺(tái)建設(shè)一共分幾期?還是一步到位?
解答:
云平臺(tái)很少有一步到位的,往往最開始的階段是滿足最基礎(chǔ)的需求,例如計(jì)算虛擬化,存儲(chǔ)虛擬化,然后網(wǎng)絡(luò)虛擬化,然后容器,監(jiān)控,大數(shù)據(jù),編排,數(shù)據(jù)庫(kù),等等應(yīng)用。其實(shí),這個(gè)和云計(jì)算的分層也是有很大關(guān)系的。從iaas到paas,再到saas,層層遞進(jìn)。企業(yè)的云平臺(tái)建設(shè),往往也是遵循這個(gè)規(guī)律。在實(shí)踐中,可能會(huì)有一些交集。
通常都是分幾期的。第一期為試點(diǎn)項(xiàng)目,第二期根據(jù)一期結(jié)果形成規(guī)范,標(biāo)準(zhǔn),成為新開發(fā)應(yīng)用的標(biāo)準(zhǔn)平臺(tái)。第三期逐漸將老應(yīng)用遷移到云平臺(tái)上。
問(wèn)題五:如何在不做大改變的情況,實(shí)現(xiàn)私有云的升級(jí)改造?應(yīng)該關(guān)注那些方面的問(wèn)題?
我們現(xiàn)有已經(jīng)在使用的虛擬化環(huán)境包括POWERVM,VMWARE兩種,而且我們的應(yīng)用環(huán)境建設(shè)也要求我們只能做私有云方面的考慮,但是按照我們理解的私有云建設(shè)要求,必然要求涉及到現(xiàn)有環(huán)境中的網(wǎng)絡(luò)和存儲(chǔ)等方面的改造。請(qǐng)教專家,如何在不做大的改變的情況下,實(shí)現(xiàn)或者部分實(shí)現(xiàn)私有云功能的改造,通過(guò)新技術(shù)的應(yīng)用來(lái)改善應(yīng)用環(huán)境的各項(xiàng)新要求?也能夠提高運(yùn)維管理等方面的支持。
解答:
如果把服務(wù)器作為數(shù)據(jù)中心中應(yīng)用的一個(gè)點(diǎn),網(wǎng)絡(luò)、存儲(chǔ)則往往屬于面,屬于底層基礎(chǔ)設(shè)施,改造難度和風(fēng)險(xiǎn)較計(jì)算資源高。在傳統(tǒng)行業(yè)中,沒有一個(gè)新環(huán)境的契機(jī),逐步改造,也是很難的。必然帶來(lái)的網(wǎng)絡(luò)和存儲(chǔ)在搭建私有云中有些技術(shù)跟不上。
之前談過(guò)私有云的理解,不一定私有云一定要去用新技術(shù),例如SDN,存儲(chǔ)虛擬化,私有云重點(diǎn)是實(shí)現(xiàn)面向客戶服務(wù)模式的支撐,資源的彈性和快速服務(wù)能力。在這一點(diǎn)上,一般企業(yè)通過(guò)采用將現(xiàn)有的環(huán)境,向標(biāo)準(zhǔn)化配置努力,大力推動(dòng)自動(dòng)化能力開發(fā)和建設(shè),使之與云平臺(tái)結(jié)合,同時(shí)增強(qiáng)前期容量規(guī)劃的方式,也可以逐步實(shí)現(xiàn)云環(huán)境,同時(shí),結(jié)合新建的契機(jī),逐步使原來(lái)的基礎(chǔ)設(shè)施更替為更好支持云計(jì)算特點(diǎn)的技術(shù)及設(shè)備。
問(wèn)題六:怎么判斷某個(gè)系統(tǒng)是否部署在私有云上,有哪些判斷指標(biāo)?
比如:信用評(píng)分系統(tǒng);計(jì)費(fèi)系統(tǒng)等
解答:
最典型一個(gè)詞來(lái)描述“云原生”應(yīng)用。給您一個(gè)參考,敏捷開發(fā)的12原則,滿足這12原則的應(yīng)用,基本上在云計(jì)算的這種分布式、虛擬化的環(huán)境中可以很好的運(yùn)行。這里,個(gè)人認(rèn)為,最重要的是集群化、支持應(yīng)用補(bǔ)償機(jī)制、模塊化。
只使用一份基準(zhǔn)代碼,但是可以部署到多個(gè)環(huán)境
應(yīng)用之間的依賴關(guān)系要是顯示指定的,比如用配置文件描述,不要用隱式的代碼關(guān)聯(lián)
配置要用環(huán)境變量的方式來(lái)提供給應(yīng)用,而不是用代碼里面的常量或者代碼相關(guān)的方式提供
代碼用到的資源,如數(shù)據(jù)庫(kù),消息隊(duì)列,分布式文件系統(tǒng)等,要作為可attach的資源的方式來(lái)提供,不要寫死到代碼。資源都用資源字符串的形式提供,可從環(huán)境變量注射到應(yīng)用并立即提供服務(wù)
嚴(yán)格將編譯,發(fā)布,生產(chǎn)等環(huán)境進(jìn)行隔離,即使要改動(dòng)生產(chǎn)配置,也需要用持續(xù)發(fā)布的方式從編譯開始構(gòu)建并自動(dòng)發(fā)布到生產(chǎn)系統(tǒng),不要直接更改生產(chǎn)系統(tǒng)
無(wú)狀態(tài)的進(jìn)程的方式提供服務(wù),應(yīng)用需要做到自身無(wú)狀態(tài)無(wú)共享。如果需要保持狀態(tài)或者共享,需要使用外置的服務(wù)的方式來(lái)提供,比如外置session管理器等
使用地址與端口綁定的方式提供服務(wù),例如某個(gè)應(yīng)用服務(wù)的消費(fèi)者只需要知道uri地址與對(duì)應(yīng)的端口,綁定之后即能消費(fèi)該服務(wù)
通過(guò)進(jìn)程模型的方式進(jìn)行橫向擴(kuò)展,即應(yīng)用或者微型的服務(wù)是可以通過(guò)多實(shí)例的方式來(lái)橫向擴(kuò)展并線性擴(kuò)展支撐能力的
通常的應(yīng)用進(jìn)程要設(shè)計(jì)成可以快速啟動(dòng)和優(yōu)雅終止銷毀的模式,這樣能夠方便故障恢復(fù)與橫向擴(kuò)展
開發(fā)環(huán)境與線上環(huán)境等價(jià),盡可能的保持開發(fā),預(yù)發(fā)布,線上生產(chǎn)環(huán)境的相同。要能做到持續(xù)發(fā)布需要盡可能的縮小本地與線上生產(chǎn)環(huán)境的差別。盡量反對(duì)在不同的環(huán)境下使用不同的后端服務(wù)
把日志作為事件流來(lái)對(duì)待,匯總整個(gè)的日志來(lái)監(jiān)控平臺(tái)的應(yīng)用和環(huán)境,這樣經(jīng)過(guò)大數(shù)據(jù)綜合分析更能發(fā)掘出問(wèn)題的根本原因
管理或者其他的任務(wù)作為一次性進(jìn)程來(lái)對(duì)待,例如執(zhí)行一次性的系統(tǒng)檢查,快照一次健康狀態(tài)等等。
問(wèn)題七:私有云的容量如何評(píng)估?成本如何計(jì)算?如何才能做到成本和效率的平衡?
解答:
私有云的容量需要根據(jù)業(yè)務(wù)來(lái)評(píng)估:
以一般金融行業(yè),有web區(qū),有app,有db。需要根據(jù)運(yùn)行在私有云上的業(yè)務(wù)的多少,來(lái)統(tǒng)計(jì)所需要的資源的多少。例如,web區(qū),需要nginx,需要考慮HA和LB,那么就需要2臺(tái)以上;如果多個(gè)業(yè)務(wù)共享nginx,那么就需要多個(gè)nginx來(lái)分擔(dān)業(yè)務(wù)壓力。
成本計(jì)算:
一般私有云平臺(tái)上,都有一個(gè)celimeter這個(gè)模塊,專門用來(lái)計(jì)量CPU,內(nèi)存,網(wǎng)絡(luò)的使用量,可以統(tǒng)計(jì)出使用私有云的資源,相對(duì)傳統(tǒng)環(huán)境節(jié)省了多少資源。
至于成本和效率的平衡,一般在私有云建設(shè)初期很難做到。設(shè)備的購(gòu)置,部署,人員的配置等等都是一筆不小的開支;私有云真正的優(yōu)勢(shì)體現(xiàn),應(yīng)該在后期的使用中容量如何評(píng)估,這個(gè)肯定是沒有普適標(biāo)準(zhǔn)的了。
容量通常從三方面考慮:計(jì)算能力、存儲(chǔ)容量、網(wǎng)絡(luò)帶寬。這三方面可以說(shuō)也是數(shù)據(jù)中心最基本的三大核心要素了,我們都知道,云計(jì)算是以規(guī)模取勝的,這個(gè)規(guī)模如何決定?究竟是20節(jié)點(diǎn),50節(jié)點(diǎn),還是100+節(jié)點(diǎn),這個(gè)得根據(jù)你自己的業(yè)務(wù)需求來(lái)考慮了,在小規(guī)模情況下,為了高可用,如果可用容量評(píng)估是N,那你就按2N來(lái)計(jì)算,私有云一般不會(huì)像達(dá)到公有云那種規(guī)模,所以通常也不可能達(dá)到很多布道師口中的 虛機(jī)隨便掛,真掛了你宿主機(jī)資源沒有了,咋整?
至于成本,得看你的方案了,你是采用開源自建,還是與廠商合作共建,合作情況下如何分工,哪些外包出去,這個(gè)你得仔細(xì)考慮。通常,如果人力資源有限,技術(shù)實(shí)力有限,那就由承包給廠商來(lái)實(shí)施吧,不然到后面也是個(gè)爛攤子。但是,全部外部給廠商的不足也是明顯的,一不小心你就被鎖定,每年燒錢的跑不掉的了,尤其是項(xiàng)目上馬后,停也停不下來(lái)了。
問(wèn)題八:私有云環(huán)境下的統(tǒng)一資源納管怎樣實(shí)現(xiàn)?
客戶的實(shí)際運(yùn)行環(huán)境是十分復(fù)雜的,怎樣實(shí)現(xiàn)不同平臺(tái)資源的統(tǒng)一云管,從主機(jī)、存儲(chǔ)、網(wǎng)絡(luò)不同層面都可以自動(dòng)化管理,實(shí)現(xiàn)自服務(wù)?
解答:
這個(gè)重點(diǎn)考驗(yàn)的是云平臺(tái)的開放度。
企業(yè)在自身選擇云平臺(tái)的時(shí)候要充分考慮自身的環(huán)境,有多少類型要涉及,有多少平臺(tái)要納管,是否支持異構(gòu),是否支持模塊化接入。
建議將云平臺(tái)納管層面定位為工具框架,實(shí)現(xiàn)足夠的開放性,標(biāo)準(zhǔn)化接口和統(tǒng)一格式接入,各個(gè)領(lǐng)域按標(biāo)準(zhǔn)完成自身自動(dòng)化封裝、自身配置采集、統(tǒng)一視圖展示在云平臺(tái)上,云平臺(tái)通過(guò)流程引擎調(diào)度個(gè)領(lǐng)域模塊,實(shí)現(xiàn)操作、納管。
在實(shí)施層面,基本上則是領(lǐng)域負(fù)責(zé)制,每個(gè)想要被納管的平臺(tái)(計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等),完成自身的開發(fā)和服務(wù)的注冊(cè)。
問(wèn)題九:私有云是否需要支持多租戶?多租戶和單租戶本質(zhì)區(qū)別有哪些?
解答:
多租戶的概念包含三層用戶集成:
數(shù)據(jù)中心層
基礎(chǔ)架構(gòu)層
應(yīng)用程序?qū)?/p>
云計(jì)算技術(shù)設(shè)計(jì)中的重要內(nèi)容是多租戶的基礎(chǔ)架構(gòu)和應(yīng)用程序?qū)蛹。此集成?jīng)過(guò)特別的調(diào)整,可節(jié)約成本和開發(fā)具有高度可伸縮性的 SaaS 應(yīng)用程序,而這是以犧牲安全性和客戶隔離需求 (segregation requirement) 為代價(jià)。很多情況下,這樣的設(shè)計(jì)都是有效的,盡管可能不太適用于金融應(yīng)用程序。
在數(shù)據(jù)中心租用空間并提供服務(wù)器、路由器和線纜以支持多個(gè)客戶軟件,這項(xiàng)功能自從硅谷創(chuàng)立初期就已經(jīng)存在,因此用戶對(duì)于數(shù)據(jù)中心層多租戶應(yīng)該并不陌生。如果正確實(shí)現(xiàn)此配置,則該配置能夠提供最高級(jí)別的安全需求,它用防火墻和訪問(wèn)控制來(lái)滿足業(yè)務(wù)需求,還定義了對(duì)提供 SasS 的基礎(chǔ)架構(gòu)的物理位置的安全控制。大多數(shù)情況下,可以將數(shù)據(jù)中心層多租戶用作服務(wù)供應(yīng)商,向公司提供場(chǎng)地來(lái)安置硬件、網(wǎng)絡(luò)以及軟件。
基礎(chǔ)架構(gòu)層的多租戶是最簡(jiǎn)單軟件棧概念,一個(gè)棧專用于一個(gè)特定客戶。與數(shù)據(jù)中心層多租戶相比,此配置更節(jié)約成本,因?yàn)闂J歉鶕?jù)實(shí)際的客戶賬戶部署的。在這種情況下,可以根據(jù)實(shí)際的服務(wù)使用來(lái)增加硬件需求。另外,基礎(chǔ)架構(gòu)層的每個(gè)用戶都可以選擇高可用性。每個(gè)客戶都知道棧,所以軟件和硬件最佳實(shí)踐提供了一些實(shí)現(xiàn)選項(xiàng)。
應(yīng)用程序?qū)佣嘧鈶粜枰谲浖䦟雍突A(chǔ)架構(gòu)層基礎(chǔ)上進(jìn)行架構(gòu)實(shí)現(xiàn)。需要修改現(xiàn)有軟件架構(gòu),包括應(yīng)用程序?qū)拥亩嘧鈶裟J。例如,多租戶?yīng)用程序需要一些應(yīng)用程序方法和數(shù)據(jù)表來(lái)訪問(wèn)和存儲(chǔ)不同用戶賬戶的數(shù)據(jù),這會(huì)犧牲安全性。但如果正確實(shí)現(xiàn)此操作,就可以節(jié)省成本。對(duì)于小部件和簡(jiǎn)單的 Web 應(yīng)用程序,應(yīng)用程序?qū)佣嘧鈶羰且粋(gè)可行的解決方案,因?yàn)閱蝹(gè)開發(fā)人員可以更快地開發(fā)軟件,也負(fù)擔(dān)得起調(diào)整規(guī)模的費(fèi)用。不足之處在于更復(fù)雜的應(yīng)用程序架構(gòu)和實(shí)現(xiàn);與基礎(chǔ)架構(gòu)處理多租戶不同的是,如果基礎(chǔ)架構(gòu)發(fā)生變化,應(yīng)用程序團(tuán)隊(duì)需要保持編程模式的可伸縮性和可靠性,而且在未來(lái)可用。
多租戶服務(wù)指定從在軟件應(yīng)用程序中構(gòu)建并直接訪問(wèn)的 HTTP RESTful 接口或 WSDL Web 服務(wù)終端訪問(wèn)。這些服務(wù)是建立多租戶模式的面向服務(wù)的應(yīng)用程序的關(guān)鍵,因?yàn)樗鼈兛芍赜糜诙喾N事務(wù)類型。
應(yīng)用服務(wù)器是應(yīng)用程序和基礎(chǔ)架構(gòu)層多租戶的關(guān)鍵部件,因?yàn)槎嘧鈶魰?huì)影響安裝、配置和應(yīng)用程序代碼。對(duì)于基礎(chǔ)架構(gòu)層,應(yīng)用服務(wù)器的多租戶意味著調(diào)整更快、更廣,它配置了額外的服務(wù)器,其中包括應(yīng)用服務(wù)器安裝、配置和應(yīng)用程序代碼。多租戶層不需要更改代碼(除非應(yīng)用程序設(shè)置了特別的需求),調(diào)整也很簡(jiǎn)單,一般由 IT 運(yùn)營(yíng)機(jī)構(gòu)完成,而不是由開發(fā)人員重新設(shè)計(jì)應(yīng)用程序源代碼。通常,如果添加了新客戶,則需要添加一個(gè)相同配置的棧,以便更輕松地滿足安全需求。
問(wèn)題十:私有云平臺(tái)架構(gòu)中,安全規(guī)則和方案怎么制定?
解答:
1) 云計(jì)算物理層安全
云計(jì)算物理層面臨著對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與計(jì)算機(jī)系統(tǒng)的物理裝備的威脅,是指由于周邊系統(tǒng)環(huán)境和物理特性導(dǎo)致的網(wǎng)絡(luò)安全設(shè)備和線路的不可用,從而造成所承載的網(wǎng)絡(luò)應(yīng)用不可用。主要表現(xiàn)在自然災(zāi)害、電磁輻射、三防(防火、防水、防塵)及惡劣的工作環(huán)境方面,而相應(yīng)的防范措施包括抗干擾系統(tǒng)、物理隔離、防輻射系統(tǒng)、供電系統(tǒng)的冗余設(shè)計(jì)和可靠性備份,采取前后上下等多種通風(fēng)方式。
2) 虛擬化資源層安全
虛擬化層是云計(jì)算代表性的屬性之一,也是現(xiàn)階段云計(jì)算數(shù)據(jù)中心實(shí)施最為廣泛的技術(shù),基于服務(wù)器的虛擬化技術(shù),可以將單臺(tái)物理服務(wù)器虛擬出多臺(tái)虛擬機(jī)并獨(dú)立安裝各自的操作系統(tǒng)和應(yīng)用程序,從而有效提升服務(wù)器本身的利用效率。但是這種虛擬化技術(shù)也帶來(lái)了一些安全風(fēng)險(xiǎn),比較典型的有基于虛擬化所衍生的一些安全漏洞,以及針對(duì)VM-VM虛擬機(jī)流量交換的安全問(wèn)題。
虛擬化軟件導(dǎo)致的安全漏洞風(fēng)險(xiǎn):這個(gè)問(wèn)題可以從2個(gè)方面來(lái)看,一方面,以虛擬化應(yīng)用程序本身可能存在的安全漏洞將影響到整個(gè)物理主機(jī)的安全。黑客在利用漏洞入侵到主機(jī)系統(tǒng)之后,可以對(duì)整個(gè)主機(jī)上的虛擬機(jī)進(jìn)行任意的配置破壞,從而導(dǎo)致系統(tǒng)不能業(yè)務(wù),或者是將相關(guān)數(shù)據(jù)進(jìn)行竊取,如果黑客侵入了虛擬機(jī)配置管理程序,則會(huì)直接影響到其管理的全部虛擬機(jī)的安全。另一方面,基于虛擬化環(huán)境開發(fā)的各種第三方應(yīng)用程序的漏洞安全。這些應(yīng)用程序是云服務(wù)交付的核心組成,包括Web前端的應(yīng)用程序、各種中間件應(yīng)用程序及數(shù)據(jù)庫(kù)程序等,即使在傳統(tǒng)網(wǎng)絡(luò)安全環(huán)境下,他們?nèi)匀粫?huì)因?yàn)榫幊碳夹g(shù)的缺陷而存在多個(gè)安全漏洞,在云計(jì)算環(huán)境下,這些安全漏洞會(huì)繼續(xù)存在,典型如各種WEB會(huì)話控制漏洞、會(huì)話劫持漏洞及各種注入攻擊漏洞。同時(shí)為了適應(yīng)或使用虛擬化環(huán)境下的各種API管理接口,也可能產(chǎn)生一些新的安全漏洞。
云計(jì)算虛擬機(jī)流量交換的安全新風(fēng)險(xiǎn):在虛擬化環(huán)境下,單臺(tái)物理服務(wù)器上可以虛擬化出多個(gè)完全對(duì)立的虛擬機(jī)并運(yùn)行不同的操作系統(tǒng)和應(yīng)用程序,各虛擬機(jī)之間可能存在直接的二層流量交換,而這種二層交換并不需要經(jīng)過(guò)外置的二層交換機(jī),管理員對(duì)于該部分流量既不可控也不可見,在這種情況下,管理員需要判斷VM虛擬機(jī)之間的訪問(wèn)是否符合預(yù)定的安全策略,或者需要考慮如何設(shè)置策略以便實(shí)現(xiàn)對(duì)VM之間流量的訪問(wèn)控制。
3) 多租戶IaaS服務(wù)層安全
多租戶環(huán)境下的基礎(chǔ)安全服務(wù)主要體現(xiàn)在IaaS服務(wù)層。IaaS作為云計(jì)算的重要組成部分,其將基礎(chǔ)設(shè)施包括網(wǎng)絡(luò)、存儲(chǔ)、計(jì)算等資源進(jìn)行虛擬化等處理,能夠?yàn)槊總(gè)用戶提供相對(duì)獨(dú)立的服務(wù)器計(jì)算資源、存儲(chǔ)資源以及在承載網(wǎng)上設(shè)定專有的數(shù)據(jù)轉(zhuǎn)發(fā)通道,這種云計(jì)算的模式已經(jīng)得到IT業(yè)界的廣泛認(rèn)可.在本次大地保險(xiǎn)云安全平臺(tái)的建設(shè)過(guò)程中,基于IaaS模型下的各種安全服務(wù)體系的建設(shè)其是重點(diǎn)所在,根據(jù)現(xiàn)階段的需求來(lái)看,這部分服務(wù)主要包括針對(duì)云計(jì)算防火墻服務(wù)、云計(jì)算負(fù)載均衡業(yè)務(wù)。不同的租戶可以根據(jù)自身的業(yè)務(wù)需求,合理的選擇部署云安全防火墻服務(wù)或者是防火墻疊加負(fù)載均衡業(yè)務(wù)。部署該安全服務(wù)后,每個(gè)租戶可以獲得邏輯上完全屬于自己的防火墻和負(fù)載均衡。租戶可以根據(jù)自身需求,設(shè)定自身的各種安全防護(hù)策略,生成自身獨(dú)有的安全日志分析報(bào)告。同時(shí)對(duì)于部分需要負(fù)載均衡的業(yè)務(wù),也可以設(shè)置獨(dú)立的負(fù)載均衡的算法,以保證業(yè)務(wù)的可靠性運(yùn)行。當(dāng)然,考慮到應(yīng)用層的安全風(fēng)險(xiǎn)一直是互聯(lián)網(wǎng)的重點(diǎn)防護(hù)對(duì)象之一,各種基于web應(yīng)用層的安全攻擊會(huì)導(dǎo)致用戶業(yè)務(wù)系統(tǒng)的權(quán)限被竊取以及關(guān)鍵數(shù)據(jù)的泄露,未來(lái)也可以考慮增加一些新的諸如IPS入侵檢測(cè)等增值服務(wù),用戶可以根據(jù)自身業(yè)務(wù)系統(tǒng)的安全級(jí)別合理選擇是否租用該漏洞防護(hù)服務(wù)等。這部分的內(nèi)容后續(xù)將作為重點(diǎn)進(jìn)行論述。
4) PaaS/SaaS應(yīng)用層數(shù)據(jù)安全
在云安全體系的建設(shè)過(guò)程中,PaaS和SaaS的安全建設(shè)也非常重要。和IaaS的建設(shè)思路不同,PaaS的安全建設(shè),其關(guān)鍵在于平臺(tái)開放的思想下,開發(fā)者應(yīng)用平臺(tái)及數(shù)據(jù)庫(kù)系統(tǒng)對(duì)于多開發(fā)者數(shù)據(jù)安全的適配。典型問(wèn)題包括針對(duì)開發(fā)者的用戶身份認(rèn)證,開發(fā)者的平臺(tái)和數(shù)據(jù)庫(kù)的訪問(wèn)使用權(quán)限控制,不同開發(fā)者數(shù)據(jù)的安全隔離、及操作行為審計(jì)等內(nèi)容。為此需要在數(shù)據(jù)庫(kù)的開發(fā)及平臺(tái)應(yīng)用環(huán)境開發(fā)過(guò)程中考慮到上述安全風(fēng)險(xiǎn)的防護(hù)。而在SaaS模型下,應(yīng)用系統(tǒng)級(jí)的多租戶共享涉及到的應(yīng)用層安全問(wèn)題,除了多租戶身份認(rèn)證和權(quán)限控制及數(shù)據(jù)庫(kù)安全隔離等需求外,還需要考慮針對(duì)應(yīng)用環(huán)境的代碼級(jí)的安全審計(jì)等問(wèn)題,確保提供給租戶的應(yīng)用程序本身的安全具備很高的水平,不會(huì)輕易被黑客等攻擊者利用其內(nèi)在的各種安全漏洞。在本次的大地保險(xiǎn)云建設(shè)過(guò)程中,這部分的安全通過(guò)合理配置數(shù)據(jù)庫(kù)及應(yīng)用程序來(lái)進(jìn)行保證。
5) 建立安全運(yùn)維體系,確保系統(tǒng)安全
除了前面提到的各種安全措施,還需要在運(yùn)維管理方面建立相應(yīng)的安全措施,形成完善的運(yùn)維體系,以確保整個(gè)系統(tǒng)安全。
--專業(yè)安全運(yùn)維團(tuán)隊(duì)
配備了一支高水平的專業(yè)安全運(yùn)維團(tuán)隊(duì),安全團(tuán)隊(duì)的成員都經(jīng)過(guò)嚴(yán)格挑選,具備良好的道德修養(yǎng)和職業(yè)操守,同時(shí)具備極高的專業(yè)安全技術(shù)水平。安全團(tuán)隊(duì)有嚴(yán)格安全保密制度,有效的安全操作管控能力,以及長(zhǎng)效的安全審計(jì)機(jī)制。
--日常安全流程
安全運(yùn)維團(tuán)隊(duì)實(shí)行7X24小時(shí)安全值守服務(wù),隨時(shí)監(jiān)控和處理日常安全問(wèn)題。對(duì)于常見的網(wǎng)絡(luò)攻擊和入侵探測(cè)等,大多數(shù)都由云平臺(tái)自動(dòng)化處理,少數(shù)情況需安全人員人工判斷后加以處理。同時(shí),安全團(tuán)隊(duì)還及時(shí)對(duì)各系統(tǒng)運(yùn)維人員的安全服務(wù)請(qǐng)求作出響應(yīng),配合各系統(tǒng)運(yùn)維人員做好安全防范工作。
--應(yīng)急響應(yīng)流程
一旦發(fā)生特大的網(wǎng)絡(luò)攻擊或新類型的安全問(wèn)題,安全運(yùn)維團(tuán)隊(duì)將啟動(dòng)突發(fā)安全事件應(yīng)急響應(yīng)流程。應(yīng)急響應(yīng)流程將緊急調(diào)動(dòng)各方資源,臨時(shí)提升云平臺(tái)防護(hù)門檻,組織專家會(huì)診安全問(wèn)題,制定緊急應(yīng)對(duì)方案并立即實(shí)施。對(duì)于新型安全問(wèn)題,將即刻啟動(dòng)安全防御新功能開發(fā),并盡快上線啟用,保證安全系統(tǒng)的及時(shí)升級(jí)和安全的長(zhǎng)效性。
--安全消防演習(xí)
安全團(tuán)隊(duì)不定期會(huì)進(jìn)行必要的安全消防演習(xí),以考驗(yàn)各種安全流程和資源在實(shí)戰(zhàn)狀態(tài)下的有效性。消防演習(xí)一般不做事前通知,并在可控范圍內(nèi)發(fā)起模擬網(wǎng)絡(luò)攻擊和黑客入侵,同時(shí)記錄各安全處理環(huán)境的效率和結(jié)果,最終評(píng)判整個(gè)安全體系的防衛(wèi)和響應(yīng)能力。
問(wèn)題十一: 基于私有云的容災(zāi)實(shí)現(xiàn)是怎么樣的?
私有云的本地容災(zāi)、異地容災(zāi),不同數(shù)據(jù)中心的容災(zāi),OpenStack 分布式存儲(chǔ)等, 在上述容災(zāi)場(chǎng)景 上 有什么具體的方案、成功案例、注意事項(xiàng)?
解答:
這里有個(gè)概念,首先大家看看是不是理解一致,我認(rèn)為災(zāi)備事項(xiàng),在云的環(huán)境中,分為兩種,一個(gè)是災(zāi)備云,一個(gè)是云的災(zāi)備。災(zāi)備云指的是該云環(huán)境中主要提供的服務(wù)都是用于災(zāi)備的,云的災(zāi)備,指的是將云環(huán)境整個(gè)備份至災(zāi)備中心。
感覺樓主想問(wèn)的是第二種如何實(shí)現(xiàn),在openstack和分布式存儲(chǔ)上,做災(zāi)備我了解業(yè)界還沒有成熟解決方案,而且在云計(jì)算行業(yè),尤其在私有云,大家基本上都采用災(zāi)備云的方式解決容災(zāi)的問(wèn)題。主要實(shí)現(xiàn)是在異地同城搭建災(zāi)備的云環(huán)境,應(yīng)用采用傳統(tǒng)的方式,進(jìn)行數(shù)據(jù)級(jí)、應(yīng)用級(jí)容災(zāi),由于災(zāi)備云環(huán)境的彈性,往往這些資源日常被用于和開發(fā)測(cè)試復(fù)用,體現(xiàn)了災(zāi)備云的效益,這個(gè)在以往,災(zāi)備測(cè)試復(fù)用往往是很復(fù)雜,并且只在一些低等級(jí)系統(tǒng)中應(yīng)用的。這樣的好處是應(yīng)用層實(shí)現(xiàn)的越多,對(duì)底層基礎(chǔ)設(shè)施的同構(gòu)要求就越少,可以盡量節(jié)約災(zāi)備帶來(lái)的成本負(fù)擔(dān)。也實(shí)現(xiàn)了應(yīng)用可靠性要求與基礎(chǔ)架構(gòu)的松耦合,在這一點(diǎn)上,是明顯符合分布式、互聯(lián)網(wǎng)架構(gòu)、云計(jì)算的特點(diǎn)的。
如果要做云的災(zāi)備,基本上還是要涉及數(shù)據(jù)文件、虛擬機(jī)文件的復(fù)制、對(duì)底層架構(gòu)的同構(gòu)性要求也高,分布式存儲(chǔ)、云管理平臺(tái)的備份,更是帶來(lái)了復(fù)雜性。往往這樣的災(zāi)備,容易導(dǎo)致基礎(chǔ)設(shè)施稍微變動(dòng),對(duì)端也要變、上面的應(yīng)用也受到影響。因此,在提供公有云的廠商中,往往大多也都是采用分布式的部署應(yīng)用和數(shù)據(jù),而沒有把整個(gè)云采用某一種手段全面容災(zāi)的。供參考
問(wèn)題十二:上云之后對(duì)IT部門的架構(gòu)有什么樣的影響?
解答:
云計(jì)算使傳統(tǒng)意義上的數(shù)據(jù)中心從原來(lái)的成本中心轉(zhuǎn)變成服務(wù)中心,支持向公司內(nèi)部輸出規(guī)范的、有質(zhì)量保證的服務(wù),降低服務(wù)成本、運(yùn)營(yíng)成本的同時(shí)促進(jìn)IT部門運(yùn)維模式發(fā)展變革,簡(jiǎn)化系統(tǒng)建設(shè)、運(yùn)維工作,提升工作效率。
對(duì)于金融保險(xiǎn)業(yè),云計(jì)算有其獨(dú)特的價(jià)值:
縮短上線周期:
云計(jì)算的引入能夠顯著縮短硬件資源、平臺(tái)環(huán)境、應(yīng)用系統(tǒng)的部署周期,支持各部門在最短時(shí)間內(nèi)以“隨需即取”的方式獲取系統(tǒng)部署所需的一切服務(wù)資源,運(yùn)維管理團(tuán)隊(duì)即可根據(jù)服務(wù)模板實(shí)現(xiàn)遠(yuǎn)程快速部署和動(dòng)態(tài)調(diào)整,減少重復(fù)性建設(shè)工作,支撐業(yè)務(wù)的快速發(fā)展變化。
進(jìn)一步實(shí)現(xiàn)綠色節(jié)能:
云計(jì)算構(gòu)建于池化的硬件資源基礎(chǔ)上,并進(jìn)一步實(shí)現(xiàn)服務(wù)化封裝及更高層級(jí)的細(xì)粒度服務(wù)復(fù)用,從而相應(yīng)降低對(duì)數(shù)據(jù)中心機(jī)房的電力、制冷、空間消耗,實(shí)現(xiàn)機(jī)房綠色節(jié)能。
促進(jìn)運(yùn)維模式發(fā)展變革:
針對(duì)業(yè)務(wù)需求部門提供自助式服務(wù),需求部門依據(jù)定制的云服務(wù)目錄選取所需的計(jì)算資源、存儲(chǔ)空間、網(wǎng)絡(luò)服務(wù)、基礎(chǔ)平臺(tái)環(huán)境等服務(wù)項(xiàng)并提交申請(qǐng),運(yùn)維管理團(tuán)隊(duì)根據(jù)定制成型的服務(wù)模板,依靠自動(dòng)化技術(shù)及云管理平臺(tái)來(lái)交付規(guī)范的、有質(zhì)量保證的服務(wù),將傳統(tǒng)運(yùn)維模式轉(zhuǎn)變?yōu)橐苑⻊?wù)為中心的方式,降低系統(tǒng)建設(shè)、運(yùn)維、管理工作量。
運(yùn)維人員角色的轉(zhuǎn)變,image維護(hù)人員,云服務(wù)實(shí)施人員,持續(xù)運(yùn)維人員,和資源管理人員,角色不通 與傳統(tǒng)運(yùn)維,日后運(yùn)維多是 運(yùn)維需求調(diào)研開發(fā)運(yùn)維產(chǎn)品上線,自動(dòng)業(yè)務(wù)需求梳理開發(fā)相關(guān)軟件上線
越來(lái)越多的企業(yè)開始自建私有云,天下數(shù)據(jù)已為多家企業(yè)提供企業(yè)自建私有云解決方案,并贏得了客戶信任和口碑!天下數(shù)據(jù)為各行業(yè)打造專屬的企業(yè)私有云解決方案,具體詳詢?cè)诰客服!
產(chǎn)品與服務(wù)
香港服務(wù)器 香港高防服務(wù)器 美國(guó)服務(wù)器 韓國(guó)服務(wù)器 新加坡服務(wù)器 日本服務(wù)器 臺(tái)灣服務(wù)器云服務(wù)器
香港云主機(jī) 美國(guó)云主機(jī) 韓國(guó)云主機(jī) 新加坡云主機(jī) 臺(tái)灣云主機(jī) 日本云主機(jī) 德國(guó)云主機(jī) 全球云主機(jī)高防專線
海外高防IP 海外無(wú)限防御 SSL證書 高防CDN套餐 全球節(jié)點(diǎn)定制 全球?qū)>GPLC關(guān)于我們
關(guān)于天下數(shù)據(jù) 數(shù)據(jù)招商加盟 天下數(shù)據(jù)合作伙伴 天下數(shù)據(jù)團(tuán)隊(duì)建設(shè) 加入天下數(shù)據(jù) 媒體報(bào)道 榮譽(yù)資質(zhì) 付款方式關(guān)注我們
微信公眾賬號(hào)
新浪微博
天下數(shù)據(jù)手機(jī)站 關(guān)于天下數(shù)據(jù) 聯(lián)系我們 誠(chéng)聘英才 付款方式 幫助中心 網(wǎng)站備案 解決方案 域名注冊(cè) 網(wǎng)站地圖
天下數(shù)據(jù)18年專注海外香港服務(wù)器、美國(guó)服務(wù)器、海外云主機(jī)、海外vps主機(jī)租用托管以及服務(wù)器解決方案-做天下最好的IDC服務(wù)商
《中華人民共和國(guó)增值電信業(yè)務(wù)經(jīng)營(yíng)許可證》 ISP證:粵ICP備07026347號(hào)
朗信天下發(fā)展有限公司(控股)深圳市朗玥科技有限公司(運(yùn)營(yíng))聯(lián)合版權(quán)
深圳總部:中國(guó).深圳市南山區(qū)深圳國(guó)際創(chuàng)新谷6棟B座10層 香港總部:香港上環(huán)蘇杭街49-51號(hào)建安商業(yè)大廈7樓
7×24小時(shí)服務(wù)熱線:4006388808香港服務(wù)電話:+852 67031102
本網(wǎng)站的域名注冊(cè)業(yè)務(wù)代理北京新網(wǎng)數(shù)碼信息技術(shù)有限公司的產(chǎn)品