引言
信息化經(jīng)過多年的發(fā)展已經(jīng)成為企業(yè)日常工作的支撐����。實時系統(tǒng)���、營銷和生產(chǎn)等管理系統(tǒng)在企業(yè)中起到的重要作用日益彰顯�。為此�����,企業(yè)根據(jù)最大數(shù)據(jù)量及計算量的需求購置了硬件�����、存儲及相應(yīng)的平臺軟件等。這些硬件和平臺能否安全可靠運行�,能否做到最優(yōu)的利用,除了應(yīng)選用技術(shù)過硬��、質(zhì)量好的產(chǎn)品以外��,還應(yīng)選擇合理的技術(shù)架構(gòu)���,而云計算將會為此提供一種有效的手段����。
1 云計算的目標特性
云計算是這兩年興起的一種新型技術(shù)架構(gòu)���,其目標特性有:
(1)具有標準的�、可擴展的和安全的提供動態(tài)計算的硬件基礎(chǔ)架構(gòu);
(2)是以服務(wù)為中心的;
(3)能夠?qū)崿F(xiàn)基于使用模式的自助式服務(wù);
(4)能夠?qū)崿F(xiàn)資源的自動分配和回收�,以及資源的配置、管理和審計;
(5)能夠提供可靠�、安全的數(shù)據(jù)存儲中心,并實現(xiàn)不同設(shè)備間的數(shù)據(jù)與應(yīng)用共享;
(6)能夠?qū)崿F(xiàn)數(shù)據(jù)的安全訪問;
(7)能夠提供不同數(shù)據(jù)庫和不同開發(fā)語言的通用接口;
(8)能夠提供資源的性能監(jiān)控和安全監(jiān)控;
(9)可以將復(fù)雜的工作負載分解成小塊的工作�����,并將工作分配到可逐漸擴展的架構(gòu)中�����。
2 云計算的主要技術(shù)
目前,幾大信息公司通過一些研究項目和開源項目研發(fā)出了部分云計算產(chǎn)品��,還沒有一家公司能夠提供完整的云計算架構(gòu)�。已采用的主流技術(shù)有:
(1)虛擬化。虛擬化是云架構(gòu)的一種基礎(chǔ)性設(shè)計技術(shù)�����,它允許將服務(wù)器����、存儲設(shè)備和其他硬件視為一個資源池���,而不是離散系統(tǒng)�����,可以根據(jù)需要分配這些資源�����,通過快速提供虛擬機器或物理機器��,迅速部署和增加工作負載�����。除服務(wù)器和存儲整合之外�,還提供整合系統(tǒng)架構(gòu),包括應(yīng)用程序基礎(chǔ)設(shè)施����、數(shù)據(jù)和數(shù)據(jù)庫、接口�����、網(wǎng)絡(luò)��、桌面系統(tǒng)甚至業(yè)務(wù)流程����,通過把多個虛擬系統(tǒng)整合到較少物理系統(tǒng)上,緩解空間壓力�����。云計算提供資源的微分區(qū)能力,例如CPU資源可以細化為一個物理CPU的1/10�����,通過監(jiān)控CPU需求����,并利用業(yè)務(wù)策略來確定為每個業(yè)務(wù)請求分配多少CPU資源。
虛擬化是目前Amazon�、SUN和IBM公司在云計算中使用的主要方法。
(2)負載均衡技術(shù)�����。負載均衡技術(shù)通過虛擬IP地址把多個服務(wù)器和服務(wù)組合起來�����。根據(jù)資源情況調(diào)度服務(wù)器和服務(wù)�,并在節(jié)點失敗時自動進行故障轉(zhuǎn)移���。通過負載均衡技術(shù)��,可以將云計算基礎(chǔ)資源設(shè)計成虛擬專用數(shù)據(jù)中心�����,配置一組不同的系統(tǒng)角色以及這些角色之間的邏輯互連接��。
(3)分布式協(xié)同運算�����。目前Google公司在分布式協(xié)同運算方面的研發(fā)較為成熟���。其實現(xiàn)技術(shù)為:
主節(jié)點將任務(wù)進行分割���,并將輸入數(shù)據(jù)劃分后分配給下層計算節(jié)點,在計算節(jié)點上�,開發(fā)者定義函數(shù)來處理“鍵/值”對,并生成“鍵/值”對集合形式的中間結(jié)果��,之后主節(jié)點根據(jù)開發(fā)者的函數(shù)定義將所有中間結(jié)果進行合并��,完成任務(wù)的處理�。實現(xiàn)分布式計算構(gòu)建在海量存儲能力之上的數(shù)據(jù)處理。
分布式協(xié)同運算通常會伴隨著一個可擴展����、結(jié)構(gòu)化的容錯性好的分布式文件系統(tǒng)實現(xiàn)海量的數(shù)據(jù)讀寫操作和一個分布式的文件庫作為存儲系統(tǒng)�。分布式文件系統(tǒng)可以根據(jù)特定需求來控制文件在磁盤不同區(qū)塊的讀寫����。通常由一個控制中心、多個數(shù)據(jù)服務(wù)器以及客戶端組成����,系統(tǒng)中的文件被分隔成固定大小的數(shù)據(jù)塊,存放于數(shù)據(jù)服務(wù)器中���,數(shù)據(jù)塊創(chuàng)建時被系統(tǒng)賦予的全局唯一的ID來進行識別����,并被復(fù)制為至少3份存放在不同的數(shù)據(jù)服務(wù)器之上�����??刂浦行墓芾碇鴶?shù)據(jù)務(wù)器與客戶端的數(shù)據(jù)流動,并且負責(zé)系統(tǒng)負載均衡���,數(shù)據(jù)塊分配和定位以及數(shù)據(jù)服務(wù)器狀態(tài)監(jiān)控等。
3 企業(yè)云計算體系的構(gòu)建
企業(yè)云計算體系包含了網(wǎng)絡(luò)���、存儲���、硬件���、操作系統(tǒng)、數(shù)據(jù)庫�、應(yīng)用、安全�����、監(jiān)控和管理等幾個方面�����。企業(yè)云計算的架構(gòu)如圖1所示�����。
圖1 企業(yè)云計算的架構(gòu)
(1)網(wǎng)絡(luò):是云計算的環(huán)境基礎(chǔ)���,使用云計算的網(wǎng)絡(luò)將更加重要����。有幾個方面的問題需要考慮:
一是由于網(wǎng)上傳輸?shù)臄?shù)據(jù)急劇增長會需要更多的帶寬,應(yīng)考慮云環(huán)境自身以及云環(huán)境和內(nèi)部部署環(huán)境之間的數(shù)據(jù)密集型通信�����,通常帶寬利用率平均不超過75%�,
二是數(shù)據(jù)傳輸距離長會帶來延遲問題,如果用戶接入的云環(huán)境數(shù)據(jù)中心遠在千里之外��,可能也會出現(xiàn)性能減弱的問題����,延遲的計算:
時間=字節(jié)數(shù)*8/帶寬
一般來說,云環(huán)境為用戶提供的數(shù)據(jù)中心距離用戶接入不應(yīng)超過1 km���。
三是鏈路冗余的重要性完全不亞于額外帶寬���,應(yīng)作好故障切換方面的規(guī)劃。
四是要對應(yīng)用和網(wǎng)絡(luò)進行流量的評估分析���,有些應(yīng)用程序要求高性能����、低延遲����,不但需要云環(huán)境數(shù)據(jù)中心,還應(yīng)考慮組建內(nèi)容分發(fā)網(wǎng)絡(luò)��。
五是云環(huán)境應(yīng)提供緩存服務(wù)�����,保障數(shù)據(jù)的安全傳輸���。
(2)云存儲:軟件解決方案實現(xiàn)了從傳統(tǒng)的旨在解決HPC(高性能計算�、超級運算)問題的緊耦合對稱架構(gòu)到旨在解決云部署的大容量存儲需求的集中元數(shù)據(jù)和控制操作的松藕合非對稱架構(gòu)的轉(zhuǎn)變�。云存儲中的存儲節(jié)點(storage node)負責(zé)存放文件,可以使用不同的硬件CPU和存儲配置��,控制節(jié)點(control node)則是作為文件索引��,并負責(zé)監(jiān)控存儲節(jié)點間容量及負載的均衡��,用戶可以通過利用硬件性能或虛擬化實例來調(diào)整云存儲��。用戶存儲數(shù)據(jù)時���,看到的是一個相對“固定的”虛擬的服務(wù)器����,以指針的形式指向云中劃分串來的虛擬空間。
企業(yè)云存儲在設(shè)計時通?�?紤]以下幾點:
一是容量��、帶寬的擴容是否簡便��,因為擴容不能停機�����,需要自動將新的存儲節(jié)點容量納入原來的存儲池�,不做繁復(fù)的設(shè)定。
二是帶寬是否線形增長����,訪問速率和磁盤處理數(shù)據(jù)的速度是否滿足要求,云存儲設(shè)計的飽和點必須考慮�����。
三是易于管理��,需要存儲設(shè)備管理系統(tǒng),可以實現(xiàn)存儲設(shè)備的邏輯虛擬化管理���,多鏈路冗余管理�,以及硬件設(shè)備的狀態(tài)監(jiān)控和故障維護����,用戶可以根據(jù)硬件狀態(tài)和數(shù)據(jù)情況判斷是否需要擴充存儲���。
四是備份�����,需要在接入的云存儲中保存數(shù)據(jù)����,同時在云存儲的其他位置至少保存2份數(shù)據(jù)����,實現(xiàn)數(shù)據(jù)的容災(zāi)備份,如果一臺機器崩潰了�,數(shù)據(jù)能夠被復(fù)制到云中的其他機器上。
五是陳舊數(shù)據(jù)的處理�����。
(3)硬件資源:云計算可以根據(jù)需要動態(tài)地提供、配置��、重新配置以及取消提供服務(wù)器�����。“云”中的服務(wù)器可以是物理機器�����,也可以是虛擬機器�。高級的“云”通常包括其他計算資源,如存儲區(qū)域網(wǎng)絡(luò)(SAN)�����、網(wǎng)絡(luò)裝置�����、防火墻及其他安全設(shè)備����。云計算使計算分布在大量的分布式計算機上,而非本地計算機或遠程服務(wù)器中,使得企業(yè)可以將資源切換到需要的應(yīng)用上����,實現(xiàn)按需訪問硬件資源。同時�����,云計算使用了數(shù)據(jù)多副本容錯�、計算節(jié)點同構(gòu)可互換等措施來保障服務(wù)的高可靠性��。硬件資源從提高單一服務(wù)器運算能力的垂直式擴充改為采用增加服務(wù)器的水平式擴充����,其規(guī)模可以動態(tài)伸縮��,滿足應(yīng)用和用戶規(guī)模增長的需要�,同時提高系統(tǒng)容錯能力。
構(gòu)建企業(yè)云計算硬件資源方面需要考慮以下兩點:
一是云中一些大型服務(wù)器集群���,包括計算服務(wù)器�、存儲服務(wù)器���、寬帶資源等的虛擬計算資源能夠自我維護和管理��。虛擬服務(wù)器是云服務(wù)提供的最小的原子單元���,隨著用戶軟件的運行�����,云會使用其他虛擬服務(wù)器對軟件的代碼進行編譯來決定是否需要增加額外的虛擬機����。
二是考慮企業(yè)云中的處理器數(shù)量和周期速度能否適應(yīng)所需的計算能力�。
(4)操作系統(tǒng)和數(shù)據(jù)庫:操作系統(tǒng)虛擬化在共享硬件資源的同時實現(xiàn)不同虛擬服務(wù)器不同操作系統(tǒng)的模式。企業(yè)云應(yīng)考慮通過應(yīng)用程序來管理運行過程中的規(guī)模變化����,同時保持相應(yīng)的機制對最終用戶不可見。還應(yīng)考慮數(shù)據(jù)庫管理系統(tǒng)通過水平擴展數(shù)據(jù)庫服務(wù)器并在其之間對表進行分區(qū)���。數(shù)據(jù)位置對于獲得高數(shù)據(jù)訪問速率而言是一個重要因素��。為了獲得最佳性能����,需要在多個計算機節(jié)點上分布數(shù)據(jù),或者將所有數(shù)據(jù)集中于一個節(jié)點上����。
(5)應(yīng)用系統(tǒng):云計算與企業(yè)數(shù)據(jù)中心一樣,包括多種編程語言����、操作系統(tǒng)、數(shù)據(jù)庫�����、Web服務(wù)器�����、協(xié)議和應(yīng)用編程接口(API)�,可以同時支撐不同的應(yīng)用運行����。
構(gòu)建企業(yè)云應(yīng)考慮下列因素:
一是對于基于云的系統(tǒng),數(shù)據(jù)模式都是針對特定解決方案的�����。不僅是源代碼,特別是云中的平臺����。比如實際代碼和云中開發(fā)的表單是否具有復(fù)用性。如果使用虛擬化技術(shù)��,就會出現(xiàn)廠商鎖定�����,因為不是所有虛擬化技術(shù)都一樣�。
二是應(yīng)用或平臺解決問題的模式是否能符合矩陣分割方式。
三是企業(yè)云提供的接口是否適合應(yīng)用和平臺的需求����。
四是應(yīng)用所調(diào)用的數(shù)據(jù)使用指針定位并共享,在應(yīng)用程序之間傳遞指針��,而不是傳送實際數(shù)據(jù)提高效率�����,同時保證指針不容易被偽造����。
五是用戶界面簡單易用��,不僅可以直接使用云中部署的應(yīng)用系統(tǒng)�����,也可以通過API使用緩存���,鏡像、郵件及其他應(yīng)用服務(wù)���。
(6)安全:云中的安全性可以通過利用嚴格的身份驗證���、授權(quán)和賬號管理,確保靜止和移動中數(shù)據(jù)的安全性�。整合身份管理技術(shù)和流程,與單點登錄技術(shù)結(jié)合起來���,讓云系統(tǒng)通過輕型目錄訪問協(xié)議(LDAP)進行驗證。擴展基于Web的驗證協(xié)議���,通過Web服務(wù)來進行驗證����。對在虛擬服務(wù)器中運行的操作系統(tǒng)、應(yīng)用程序或數(shù)據(jù)庫管理系統(tǒng)采用數(shù)據(jù)加密�。做好冗余和備份措施防范故障。數(shù)據(jù)在云存儲中被分解為散亂的狀態(tài)�����,以確保安全����。
企業(yè)云的安全性需要考慮以下因素:
一是首先要評估需要保護的資產(chǎn)以及如何防護。
二是提供用戶監(jiān)測云中所有權(quán)數(shù)據(jù)訪問的功能�,針對正常運行時間、反垃圾郵件效果�、反病毒效果、延遲和性能等提供詳細的審計跟蹤記錄�。
三是對空閑的和傳送中的數(shù)據(jù)進行加密。使得未經(jīng)授權(quán)的人即使能夠訪問到該數(shù)據(jù)�,數(shù)據(jù)也不會被破譯,注意加密方法以及破解算法并隨時間的推移用新算法取代�����。
四是在應(yīng)用程序組件之間進行嚴格的身份驗證��,只把數(shù)據(jù)傳送給已知接受方����。
五是在應(yīng)用程序的設(shè)計����、實現(xiàn)和部署的各個方面都要注意其安全性�,例如,接口只能給授權(quán)用戶提供相應(yīng)的數(shù)據(jù)�,避免可能導(dǎo)致易受攻擊的編碼做法,最新安全補丁對操作系統(tǒng)各層進行及時更新等�。
六是對應(yīng)用程序部署架構(gòu)的各層進行分割和保護,并把客戶彼此隔離開來�。例如,使用安全域把虛擬機組合在一起��,然后通過云的端口過濾功能控制對域的訪問����。
七是采用網(wǎng)絡(luò)安全設(shè)備進行包過濾和流量控制,并對操作系統(tǒng)���、中間件和應(yīng)用軟件進行安全加固等。
八是通過內(nèi)容分發(fā)系統(tǒng)��、數(shù)據(jù)加密技術(shù)等保證云存儲中的數(shù)據(jù)不會被未授權(quán)的用戶所訪問��,同時,通過各種數(shù)據(jù)備份和容災(zāi)技術(shù)和措施可以保證云存儲中的數(shù)據(jù)不會丟失����,保證云存儲自身的安全和穩(wěn)定。
(7)監(jiān)控和管理:在云計算服務(wù)中監(jiān)控和管理的重要性遠超過用戶的本地網(wǎng)絡(luò)�����。應(yīng)考慮以下因素:
一是通過簡便的方法監(jiān)控流量大小����、帶寬、CPU利用率�、服務(wù)器運行狀態(tài)、自動發(fā)現(xiàn)軟件�、存儲空間、多服務(wù)器部署以及托管應(yīng)用程序的出錯率等�����。
二是實現(xiàn)資源配置管理�����,為用戶提供數(shù)據(jù)庫、虛擬服務(wù)器檢測���、軟件配置�����、負荷管理��、軟件審計��、補丁管理���、運行時配置管理、通知及報警���。
三是需要監(jiān)控設(shè)備失效轉(zhuǎn)移功能�,防止監(jiān)控設(shè)備故障����。
四是監(jiān)控級聯(lián),將監(jiān)控的數(shù)據(jù)統(tǒng)一發(fā)送到中央管理服務(wù)器����。
五是通過監(jiān)控數(shù)據(jù)和日志文件實現(xiàn)負載均衡和自動擴展功能,涉及資源提供、變更請求��、重新映像���、重新平衡工作負載等。
4 企業(yè)云的前景
計算機的發(fā)展從匯編語言到高級語言�����,到模塊化-中間件-SOA�����,一直遵循著封裝���、繼承的模式�����。云計算是封裝和繼承的延續(xù)����,同時也給大家提供了一種新的工作和思維模式�。例如,在公司內(nèi)實施企業(yè)云,由總部的信息人員統(tǒng)一進行管理��。各分公司信息人員只需要維護網(wǎng)絡(luò)即可�����,免去了購置硬件�����、應(yīng)用開發(fā)等問題��。也可以由各省市人員按照數(shù)據(jù)存儲量和計算量租用企業(yè)云��。
但是���,云計算的發(fā)展剛剛開始�����,標準和規(guī)范還都沒有制定����,安全性也是需要關(guān)注的重要問題�����,實施完善的企業(yè)云還需依照標準和規(guī)范而行。
