7月4日消息,2012年中国计算机网络安全年会今日在西安举行,浪潮系统软件总监张东发表了题目为“浪潮安全可控云计算平台关键技术”的演讲。
浪潮系统软件总监张东
以下为演讲实录:
大家好,我汇报的题目是“浪潮安全可控云计算平台关键技术”。
作为浪潮来讲,我们并不是在云计算方面是专业厂商,我认为云计算未来会是什么样的发展,在这里面一些关键的技术是什么。应该说云计算这个概念出来已经有5、6年的时间了,在10年和11年云计算还是高高在上的,但是从去年就掉下来了,但是并不是说云计算就跌出了我们关注之列,现在虽然云计算没有以前那么火,大家都觉得云计算就像一个新的东西出来,大家都觉得很好。云计算进入这样一个时期,原来大家都在炒作概念,然后进入到成熟的发展过程,这是未来云计算的发展。中国的状况,作为浪潮来讲在云计算方面做得比较早的厂商,我们说一个非常大的云计算中心在中国并没有形成。在未来几年,云计算仍然是整个IT发展的一个关注点。如何去实现自主可控的安全系统,仍然是我们努力的一个方向。
作为我们的理解,其实云计算的出现,它并没有带来更多我们以前没有看到的问题,可能更多的事情就像我们把钱放在银行里面一样。但是从这个意义上来讲,安全仍然是云计算里面非常关注的一个点,你如何实现自主可控的云计算系统。云计算最主要的目的是为了给大家提供服务,在这里最关键的就是应用,但是承载这些应用我们需要一个坚实的数中心,我们仅仅讲到了如何保证安全性,如何提高它的效率,就要从数据中心下手。未来云计算数据中心的特点,所谓信息技术就是要处理信息的,你的机器堆在那儿,如果不提供对外的服务,那你这一堆机器就会成为废铁,云计算的发展就是数据的发展,在大手笔时代,我们需要一个更大的资源池来存放数据,要有一个统一平台的架构,就是我如何让那么多的云,都能够在一套云计算的基础设施里面搞得更好。
目前从云计算的发展趋势来讲,IT产业从最开始出现的时候,最早做机械的厂商什么都做,这个在70年代、80年代的时候是非常普通的,提供数据库,什么都提供。但是在80年代以后,随着开放架构的逐步实现,实际上目前的状况已经转变为像中间这样,也就说这种水平化的分工是很明显的。但是进入云计算以后,非常典型的就是苹果的出现,所以我们也提出我们的目标,我们要提供一个整体化的解决方案的数据中心这样一种趋势。在云数据中心里面,它可能会放很多东西,目前来讲我们现有的预算是不是满足我们未来的发展,我们在这里面提到了一些新的想法。比如第一个,高效能云服务器。支持多种云计算应用类型,可动态满足应用资源按需获取、弹性扩展要求,低功耗、高效能的一体化云服务器。采用异构混合体系结构,满足云计算应用资源按需获取、动态调整的需要。提供通用处理、可变加速、高密度低功耗等三重计算单元,满足计算密集型,I/O密集型、数密集型等多种云计算应用类型需要。采用一体化设计,提高电源转换效率和散热效率,整体PUE达到1.1以下。集中资产、功耗和故障管理,降低维护复杂度,提高设备可用性。这里面作为存储来讲仍然是很专业性的东西,不是说我搭一个服务器就把原有存储的服务模式完全替代了,实际上这个存储仍然可以在硬件方面做改变。
一体化云计算数据中心。数据中心建设需要考虑土建、机房环境建设、系统建设及运营维护,周期长,成本高。一体化数据中心解决方案,提供标准化、模块化、便利性。全方位自主可控的云计算系统软件平台。第一是资源配置,我如何去应对需求,来提供一个能够弹性伸缩的框架。对应用来讲它实际上需要的是计算的能力,而作为一个好的云平台的系统,我们需要一个什么样的访问能力和处理能力,你要处理什么样的数据。在这里面云计算同样需要提供这样一个架构,能够真正合理应用合理性的资源。在整个的框架里面,另外一个框架就是云的安全体系,我在安全方面更多关注的是我提供的虚拟资源的安全,我提供的整个系统用户管理。计算虚拟化与网络虚拟化。计算虚拟化:资源自适应分配,资源弹性扩展,虚机镜像分布式管理机制,高效的虚拟镜像创建和访问速度。网络虚拟化:全网统一交换机策略,高效快照磁盘格式,虚拟网络分布式快照,虚机不停机的网络一致快照。分布式文件系统与持续数据保护。分布式文件系统:元数据分布、用户数据分布、无单点故障、百PB级的海量数据管理。数据保护:持续数据保护(CDP)、任意时刻恢复,支持数据库、应用程序、文件系统、磁盘数。其实在一个云计算数据中心里面,最关键是如何让你的资源高效应用起来,如何让你的设备用最低的消耗提供更高的服务。
在云计算里面,其实很多的安全问题有没有云计算它都是同样存在的,但是有了云计算数据中心虚拟资源整合以后,实际上多出来一些问题,使这些问题更加突出了,我们下面要讲的,如何针对这些突出来的问题采取的一些措施。在虚拟机的框架之下,我如何证明虚拟机的架构是安全的,其实大家在用单机的时候问题是同样存在的,而在云数据中心领域,这个问题会更突出一点。安全保障—资源安全隔离。对虚拟机I/O读写的关键路径上添加隔离器,防止一个恶意用户的I/O读写影响其它虚拟机I/O。针对各用户的虚拟集群,建立一个全局I/O调度器/隔离器,提供面向用户的I/O服务质量保证。I/O安全调度,针对不同的服务队各种能力具有不同强度的需求,研究应用在线实时条件下其资源或能力动态需求变化规律的合理性及其容许的合理变动区间,防止间接性拒绝服务攻击。安全保障—虚拟机镜像安全管理。虚拟机完整性度量,捕获系统调用、中断、异常等事件,对系统的最新状态实施动态度量。虚拟机镜像安全管理,完成虚拟机镜像安全管理模块研制,以全透明的方式带外检测用户虚拟机访问虚拟存储所产生的I/O数据流,检测恶意I/O操作。对虚拟机镜像进行拆分,安全地存储到数据库中。系统运维—大规模分布式资产管理,异构资源在线配置,支持大规模数据中心资产管理;建立资产管理模型。大规模分布式问题和故障管理,自动化的问题分析语故障处理模型问题知识库,保存发生的故障,及解决故障的方法,实现IT运维经验的积累。故障排除,根据基础设施的上报信息,确定已经发生的事故以及提供的服务中潜在的可能发生的事故的根本原因,通过提出变更请求来消除事故。
当朝云海,着力中国的行业云应用,遵循开放标准化的技术路线,依托自主创新,重点发展高端服务器、高密度服务器和海量存储等云基础装备,面向数据中心的云数据中心操作系统。我们提出行业云的概念,是由行业内或某个区域内起主导作用或者掌握关键资源的组织建立和维护,以公开或者半公开的方式。这地面主要依托浪潮的硬设备,我们的软件平台,包括在做的云的服务器,云的存储,包括云的平台搭建。同时提供快捷、灵活、随需应变的云服务运营的交付。浪潮积极参与云计算相关标准制定,08年以来浪潮在云计算相关的基础架构、节能体系、安全体系等领域主导起草了7个国家级标准。
我今天的介绍就到这里,谢谢大家。
(责任编辑:蒙遗善)