文章插图
维护私有云安全,第一步是计画 。在计画阶段,执行协定和程式,访问私有云中的数据 。如果仅仅访问云内部,显然,公司必须确保这些服务不能被外部访问 。但是,如果员工处在公司的外部网路,访问私有云资源,决定如何获得数据,并将身份验证机制落实到位变得很重要 。此外,如果有限制的话,还要确定哪些资源需要设定访问限制 。如果几个人正在同时访问资源,创建多个虚拟机(VM),运行多个应用程式,那幺,私有云可能会过载,私有云的安全性可能会受到威胁 。因此,提前制定计画,降低这种风险,执行协定 。其次,当构建私有云时,公司要保证配备专门的安全人员来降低风险 。安全人员负责保护运行环境,在发生灾难性事件时,能够随时做好应对的準备 。测试私有云的安全性在物理机器上进行周期性Wireshark或TShark捕捉,物理机器覆盖着虚拟基础设施 。一旦管理员大概了解哪些类型的流量能够进出网路,哪些类型的流量不能够进出网路,那幺,他们就可以很容易编写脚本 。开发一个关于什幺是正常网路行为的基线,也是一个好方法 。例如,如果网路管理员知道自己的私有云不具备DHCP伺服器,然而,他们在Wireshark捕获看到“提供DHCP”的信息,进一步调查是至关重要的 。当在私有云环境中使用Wireshark时,一定要确保从一个主机完成捕获 。这样能更全面的捕获网路流量,而不是简单地从虚拟机内部捕获流量 。此外,经常进行系统日誌的检查,因为这些日誌属于私有云环境 。有很多硬体设备和软体应用程式,执行自动的日誌分析,完成报警触发和警报讯息 。例如,如果一个人在周六下午2点试图登录到私有云,这可能被自动化系统视为是不合法的 。然而,这些系统也是由人类创建的,这些系统永远不可能完全取代一个经验丰富的人员,能够察觉到异常 。因此,一个有经验的专业人士进行经常性检查是必要的 。解决方案两条路实现云计算的解决方案演进式第一是演进式的,戴尔通过保障现有的一些投资,把一些现有的基础架构集成在一个虚拟化的环境里面,逐步去提供这些自动化,动态的数据中心管理,能够达到IT高效管理水準 。这种方式比较适合一些传统套用,像传统的套用可以逐步演进式的达到高效目的 。革命性第二是革命性的,一些大型客户,像谷歌、阿里巴巴、微软等等,他们是用一个全新的套用模式,包括套用到底层的基础架构整个是全新的,一个云计算大规模扩展的环境 。另一个架构是运用戴尔的融合基础架构,通过Vstart平台将戴尔的伺服器、网路、存储等产品统一的结合起来,形成一体化的方案打包给客户 。而整个VIS私有云解决方案架构由三部分组成,戴尔VIS自助服务创建器、戴尔VIS工作负载导向器和戴尔VIS高级架构管理者 。VIS高级架构管理者是基于Scalent的云虚拟化的基础管理平台,可以与vSphere、Hyper-V和Xen集成,完成P2V、V2V和虚拟机自动化操作如发现、配置、启动、创建和删除等 。戴尔VIS自助服务创建器是虚拟化用户的套用门户,用户通过简单易用的Creator门户,自己在规定许可权内自动创建、配置所需的虚拟资源 。戴尔VIS工作负载导向器是监控、检测、、分析、修复、治理和回收虚拟化资源,保证虚拟化资源按需、按质交付,并跟蹤虚拟化资源的使用状况,及时回收虚拟化资源,避免浪费 。戴尔VIS架构和服务可帮助客户将新技术和现有技术迁移至类似云的开放式模型,该模型能够动态调节套用负载并将异构计算、存储和网路资产整合进统一的资源池 。VIS架构由模组化组件构成,这些组件可与客户现有的IT环境相互集成 。VStart则可以在很多不同的场景得到使用,包括伺服器的整合,把多个伺服器整合到一个虚拟化的架构里面,或者是作为个私有云的基础架构,私有云资源池基础架构来部署,或者是用来支撑一些套用的平台,像SAP不同的套用作为资源池或者是一个虚拟架构 。同时也可以在一些扩展的虚拟架构或者是远程的分支机构里面都可以得到很好部署 。转变策略刚刚开始的时候,更多用户是集中在节省成本、节省投资、节省成本架构的方面做一些基础架构的集成那些方面 。但是慢慢的,越做越大,整个管理跟运营会出现很大问题 。下一个问题就是在于怎幺解决这些虚拟架构扩展的问题,怎幺去管理,怎幺去把这些整个IT的营运管理可以自动化,可以更好地去管理这些虚拟资源 。针对云计算的需求,戴尔现在的IT部门也在慢慢地向私有云转变,主要是一些商业方面的需求 。他给我们举了一个例子,比如说现在某些公司的IT部门提供一些资源需要很长时间,比如说两个月时间才能提供给一些IT资源来支持一个新业务 。但是假如说现在可以很容易在一些公有云几分钟申请到一个新的虚拟机 。很快部署,但是如果IT还是反应那幺慢的话,那幺久才可以提供资源的方案,跟不上业务的发展 。所以,IT会有更大的需求转向私有云方面这个也是一些客户本身的业务需求,他的商业方面的需求引起这些转变的 。不同的客户在不同阶段有不同的需求,戴尔的VIS和VStart的方案,可以从刚刚开始虚拟化到整个IT过程转变可以提供一个很好的方案 。不同类型的客户都可以满足他们的需求 。投入建议但就目前来看虽然有不少研究证明云计算架构确实可为机构用户创造相当多的效益,但根据调查报告显示,仍有50%的公司用户会担心云端所带来的潜在数据安全问题,而更有超过1/5的人对其可靠性抱持着相当怀疑的态度 。「机构用户将重要的数据放在公有云的风险太高,在目前其安全状况尚未改善之前,还是以私有云较为可行 。而Gartner的分析也显示,由机构用户自行建置的私有云,较能让机构用户所接受 。但若要建构一套可用的私有云,机构用户本身在初期便需投入相当的费用来建构平台与其基础架构 。「这对资金有限的中小机构用户而言,会是很沉重的负担 。」对此机构用户IT人员在进行云计算架构的规划之初,就可先将云的投资内容,概分为软硬体资产投资(如电脑、储存/网路设备、管理平台与终端授权费….等)、维护项目投资(工程师、新增设备的费用)与运作费用投资(如教育训练、工作移转)等三大区块,以此简化其成本问题处理时的複杂程度 。以逐步扩充方式减少私有云期初投资成本机构用户在建构私有云之初,由于对其服务内容与运作方式尚不熟悉,基于风险与成本的考量,多半会先以少量导入,或是在较不会影响机构用户营运的部门来进行试行,待日后系统稳定后才予以逐步扩充 。这表示私有云服务架构,必须具备相当的扩充性 。新一代私有云新一代私有云的主流形态以企业客户防火墙内的複杂环境和数据需求为设计初衷,建立以客户数据为中心的、具备多云管理能力的私有云 。拥有良好的硬体和软体的兼容性,兼顾企业级新一代套用和传统套用,同时具备应对企业複杂环境下的可进化特性,还提供公有云似的消费级体验 。如果用一句话总结就是——新一代私有云是云的私有部署 。一方面,相对私有云和公有云以云为中心的表达,云的私有部署和公有部署更能体现以“将云移动到数据上”的主导模式,即防火墙内的数据需要云的私有部署,防火墙外的数据需要云的公有部署 。另一方面,相对私有云和公有云的分割式表达,云的私有部署和公有部署更能体现云的一致性体验 。公有和私有部署一致性为亮点的AWS Outpost们,其设计初衷围绕公有云为核心,其价值更多在于公有云服务在防火墙内的延伸,是新一代私有云主流形态的重要补充 。新一代私有云特性首先,在业务层的套用上,新一代私有云能够承载Cloud、Mobile、IoT、BigData、AI等新一代企业级套用 。第二,在PaaS的体验上,基于开源PaaS为主的生态,通过Kubernetes构建跨公有云/私有云的可共享PaaS;另一方面,可以根据需求在云上开发新的PaaS,套用于特定场景和适用行业;第三,在IaaS的实施上,云平台的微服务化和一体化设计,新一代私有云能带来公有云似的消费级体验,不仅从交付、运维、升级实现“交钥匙工程”,也使得新一代私有云按需付费的云服务模式得以实现,从云软体时代进入云服务时代 。第四,在演进路径上,基于开源生态的产品化是新一代私有云演进的一部分 。当各大公有云厂商大量套用Linux/KVM/MangoDB等开源技术,谷歌更是在Google cloud next 2019大会上直接挑明——“公有云的未来是开源” 。新一代私有云在保持与开源生态兼容与同步的前提下高度产品化,一方面保持与社区的充分同步,另一方面通过场景化的合作生态来满足客户需求 。第五,在演进方式上,新一代私有云演进的核心驱动力是可进化 。可进化不同于可升级,需要服务能力、产品形态、支撑场景三大方向上实现演进 。新一代私有云核心特性是可进化在云的公有部署中,可进化是一项基础能力 。云的私有部署中,环境更複杂,且不可能都有运维团队,同时,传统私有云产品版本叠代升级速度越快,碎片化就越严重,升级就越困难 。在无人工干预的前提下,传统的私有云实现不同版本的升级尚有难度,新一代私有云要在云的私有部署中实现服务能力、产品形态、支撑场景的可进化,就需要从核心架构的最基础单元开始,具备各种技术栈的微服务化和一体化设计能力,这也是新一代私有云的核心竞争力 。升级包含三大要素:业务无感知、数据不迁移、服务不中断 。升级不仅包含升级云平台过程中业务无影响,更可在升级云平台过程中对云平台自身的操作不受影响,这就像一辆新能源汽车在升级系统的同时仍然可以正常行驶,iPhone在升级iOS过程中仍然可以打电话和操作APP 。