解析NIST定義的云模型

據(jù)統(tǒng)計(jì)，當(dāng)前比較經(jīng)典的云計(jì)算定義超過(guò)50種。不同的專家、企業(yè)都從自己的角度對(duì)云計(jì)算的概念進(jìn)行了定義。其中得到比較認(rèn)可、比較權(quán)威的是美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所(NIST)的定義。

NIST對(duì)云計(jì)算的定義：云計(jì)算是一個(gè)模型，這個(gè)模型可以方便地按需訪問(wèn)一個(gè)可配置的計(jì)算資源(例如網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)設(shè)備、應(yīng)用程序以及服務(wù))的公共集。這些資源可以被迅速提供并發(fā)布，同時(shí)最小化管理成本或服務(wù)提供商的干涉。云模型由五個(gè)基本特征、三個(gè)服務(wù)模型和四個(gè)發(fā)布模型組成。

那么該如何解析NIST定義的云模型呢?

首先讓我們了解一下云模型的基本特征。

--按需自助服務(wù)。視客戶需要，可以從每個(gè)服務(wù)提供商那里單方面地向客戶提供計(jì)算能力，譬如服務(wù)器時(shí)間和網(wǎng)絡(luò)存儲(chǔ)，而這些是自動(dòng)進(jìn)行的無(wú)需干涉的。

--廣泛的網(wǎng)絡(luò)訪問(wèn)。具有通過(guò)規(guī)范機(jī)制網(wǎng)絡(luò)訪問(wèn)的能力，這種機(jī)制可以使用各種各樣的瘦和胖客戶端平臺(tái)(例如攜帶電話、筆記本電腦以及PDA)。

--資源共享。提供商提供的計(jì)算資源被集中起來(lái)通過(guò)一個(gè)多客戶共享模型來(lái)為多個(gè)客戶提供服務(wù)，并根據(jù)客戶的需求，動(dòng)態(tài)地分配或再分配不同的物理和虛擬資源。有一個(gè)區(qū)域獨(dú)立的觀念，就是客戶通常不需要控制而需要知道被提供資源的確切位置，但是可能會(huì)在更高一層的抽象(例如國(guó)家、州或者數(shù)據(jù)中心)領(lǐng)域指定資源的位置。資源的例子包括存儲(chǔ)設(shè)備、數(shù)據(jù)加工、內(nèi)存、網(wǎng)絡(luò)帶寬和虛擬機(jī)等。

--快速的可伸縮性。具有快速、可伸縮性提供服務(wù)的能力。在一些場(chǎng)景中，所提供的服務(wù)可以自動(dòng)、快速地橫向擴(kuò)展，在某種條件下迅速釋放以及快速橫向收縮。對(duì)于客戶來(lái)講，這種能力用于使所提供的服務(wù)看起來(lái)好像是無(wú)限的，并且可以在任何時(shí)間購(gòu)買(mǎi)任何數(shù)量。

--可度量的服務(wù)。云系統(tǒng)通過(guò)一種可計(jì)量的能力杠桿在某些抽象層上自動(dòng)地控制并優(yōu)化資源以達(dá)到某種服務(wù)類型(例如存儲(chǔ)、處理、帶寬以及活動(dòng)用戶賬號(hào))。資源的使用可以被監(jiān)視和控制，通過(guò)向供應(yīng)商和用戶提供這些被使用服務(wù)報(bào)告以達(dá)到透明化。

該云模型提供了三種服務(wù)模型。

一是軟件即服務(wù)(SaaS)?？蛻羰褂玫姆?wù)商提供的應(yīng)用程序運(yùn)行在云基礎(chǔ)設(shè)施上。這些應(yīng)用程序可以通過(guò)各種各樣的客戶端設(shè)備來(lái)訪問(wèn)，例如基于WEB的電子郵件。客戶不管理或者控制底層的云基礎(chǔ)架構(gòu)，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲(chǔ)設(shè)備，甚至獨(dú)立的應(yīng)用程序機(jī)能，在可能異常的情況下，限制用戶可配置的應(yīng)用程序設(shè)置。

二是平臺(tái)即服務(wù)(PaaS)?？蛻羰褂迷乒?yīng)商支持的開(kāi)發(fā)語(yǔ)言和工具，開(kāi)發(fā)出應(yīng)用程序，發(fā)布到云基礎(chǔ)架構(gòu)上?？蛻舨还芾砘蛘呖刂频讓拥脑苹A(chǔ)架構(gòu)，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)或者存儲(chǔ)設(shè)備，但是能控制發(fā)布應(yīng)用程序和可能的應(yīng)用程序運(yùn)行環(huán)境配置。

三是架構(gòu)即服務(wù)(IaaS)。向客戶提供處理、存儲(chǔ)、網(wǎng)絡(luò)以及其他基礎(chǔ)計(jì)算資源，客戶可以在上面運(yùn)行任意軟件，包括操作系統(tǒng)和應(yīng)用程序。用戶不管理或者控制底層的云基礎(chǔ)架構(gòu)，但是可以控制操作系統(tǒng)、存儲(chǔ)、發(fā)布應(yīng)用程序，以及可能限度的控制選擇的網(wǎng)絡(luò)組件(例如防火墻)。

該云模型的發(fā)布形態(tài)有幾種：私有云、社區(qū)云、公有云、混合云。

在云計(jì)算的具體實(shí)踐中，一般是從某幾個(gè)方面開(kāi)始涉入，與具體的應(yīng)用結(jié)合，找到一條通過(guò)云計(jì)算技術(shù)來(lái)提升效率的成功之路。

我國(guó)在戰(zhàn)略上非常重視云計(jì)算的這一波浪潮，在國(guó)家多個(gè)部門(mén)的“十二五”規(guī)劃中，都把云計(jì)算提到了一個(gè)非常重要的位置，并在多個(gè)城市、多個(gè)企業(yè)開(kāi)始了云計(jì)算的試點(diǎn)。在云計(jì)算的試點(diǎn)實(shí)踐中，如何有規(guī)劃、分步驟地開(kāi)始云計(jì)算系統(tǒng)的建設(shè)，是一個(gè)重要問(wèn)題。

云計(jì)算系統(tǒng)的安全保障

企業(yè)云計(jì)算系統(tǒng)的建設(shè)過(guò)程與安全保障

在國(guó)內(nèi)云計(jì)算系統(tǒng)的建設(shè)實(shí)踐中，比較典型的推進(jìn)方式是：從私有云開(kāi)始，從IaaS服務(wù)開(kāi)始，逐漸擴(kuò)展到云計(jì)算應(yīng)用的其他方面。

如左圖所示，某大型集團(tuán)企業(yè)的云計(jì)算系統(tǒng)規(guī)劃如下：

1.通過(guò)資源層的整合，將核心計(jì)算域的服務(wù)器資源整合成計(jì)算資源池，形成云計(jì)算數(shù)據(jù)中心，并通過(guò)引入服務(wù)器虛擬化技術(shù)來(lái)提高資源使用效率。

2.通過(guò)統(tǒng)一管理平臺(tái)，解決云計(jì)算數(shù)據(jù)中心的資源分配與管理，實(shí)現(xiàn)動(dòng)態(tài)彈性部署和備份遷移管理。

3.開(kāi)發(fā)云計(jì)算系統(tǒng)的用戶管理和用戶自服務(wù)界面，為集團(tuán)內(nèi)部各部門(mén)和各業(yè)務(wù)系統(tǒng)提供IaaS服務(wù)。

在私有云和IaaS服務(wù)的基礎(chǔ)上，擴(kuò)展到針對(duì)集團(tuán)內(nèi)部的PaaS/SaaS服務(wù)，再擴(kuò)展到對(duì)外提供服務(wù)。

在整個(gè)云計(jì)算系統(tǒng)的實(shí)施過(guò)程中，相應(yīng)的安全保障措施是對(duì)客戶提出的一項(xiàng)巨大挑戰(zhàn)。根據(jù)云計(jì)算系統(tǒng)的不同建設(shè)階段，提出了相應(yīng)的安全保障措施。

一是在計(jì)算資源整合與服務(wù)器虛擬化階段，安全保障的關(guān)鍵是解決服務(wù)器虛擬化所帶來(lái)的安全網(wǎng)關(guān)部署位置問(wèn)題。

二是在統(tǒng)一管理平臺(tái)階段，安全保障的重點(diǎn)是解決虛擬服務(wù)器動(dòng)態(tài)部署所帶來(lái)的安全功能伴隨遷移問(wèn)題。

三是在用戶自服務(wù)接口開(kāi)發(fā)階段，安全保障的重點(diǎn)是統(tǒng)一身份認(rèn)證系統(tǒng)的建設(shè)和運(yùn)維審計(jì)問(wèn)題。

服務(wù)器虛擬化之后的安全設(shè)備部署

服務(wù)器虛擬化對(duì)安全網(wǎng)關(guān)設(shè)備的部署提出了新的要求。

一是針對(duì)傳統(tǒng)的安全設(shè)備，需要支持多實(shí)例(也稱為虛擬安全網(wǎng)關(guān))，每個(gè)實(shí)例支持獨(dú)立的安全引擎和安全管理配置界面，以支持云計(jì)算系統(tǒng)中的多個(gè)用戶使用。

二是在同一臺(tái)物理服務(wù)器內(nèi)部的不同虛擬化服務(wù)器之間的通信流量不經(jīng)過(guò)網(wǎng)絡(luò)，需要一種新形態(tài)的安全設(shè)備，部署在虛擬操作系統(tǒng)內(nèi)部，可以對(duì)虛擬服務(wù)器之間的訪問(wèn)進(jìn)行控制。