云的推广和应用受到许多不确定性因素的限制,如成本与服务等级、数据安全与保护、可伸缩性与可靠性、审计与法规遵从、控制与治理、安全性、性能以及可用性等。因此,必须从优化管理和加强安全着手来保障企业私有云系统高效且持续运行。
云管理
惠普提出的通用云管理平台主要提供云基础设施资源管理、虚拟化和容量管理、云服务生命周期管理等三方面功能。
云基础设施资源管理
云基础设施资源管理的核心是自动发现、监督和控制云中的计算资源(包括物理和虚拟两种资源),建立安全的、高可用的、自动化的基础设施的服务供应管理,以满足计划内与计划外的资源变化需求,并快速完成计算资源的按需供应服务。通常,采用HP SIM等平台管理工具实施对托管的基础设施资源管理。HP SIM 是全球最流行的平台集成管理软件之一,除了服务器还能管理存储、网络、客户机和打印机等资源,并能与其它基础管理软件集成,提供集成跟踪和远程在线支持。HP SIM与HP Storage Essential 集成后,还能提供集成的异构存储管理功能(DAS、SAN、NAS)以及存储资源管理和应用基础设施管理。
虚拟化与容量管理
云计算环境是一种借助虚拟化技术来实现按需动态供应、配置、重新配置资源及取消资源供应的环境。云的基础设施以虚拟共享资源池的方式存在,包括物理机、虚拟机以及其它资源,可按托管应用的需求进行供应与回收。云服务供应商可采用HP Insight Dynamics-VSE等虚拟化管理软件实现快速供应和部署物理机或虚拟机,进行容量管理,并利用工作负载管理器实现动态资源分配。HP Insight Dynamics-VSE是一款集成的虚拟化管理软件,可帮助IT管理人员分析和优化托管的虚拟与物理资源,包含了业界最先进的实时容量规划工具,允许通过收集来自虚拟与物理资源的每天/每台服务器的上千数据,连续分析服务器的容量和用电,并针对不同的服务器工作负载提供最佳的匹配建议。
云服务生命周期管理
惠普云服务管理软件HP Cloud Controller提供了一个完整的云服务生命周期自动管理解决方案,支持企业在数据中心的融合基础设施基础上建立一个企业私有云平台,提供托管和管理云服务能力的运行时环境。该软件是一个基于模型(Model)的云服务管理解决方案,针对云服务面向全球级服务和多租户等特点,从利用模型定义服务实现按需供应,通过服务实例化实现服务的多租户模式,通过实时监控服务实现服务的管理自动化等三方面应对云服务交付模式所引起的种种挑战。该软件满足了云服务管理从设计、实例化、分配、变更到终止整个生命周期的要求,提供了一个中央操作和协调系统平台,能够有效交付云服务并自动管理其生命周期,使采用云服务的优势得以充分发挥。图1是运用HP Cloud Controller建立混合云解决方案的成功实例。
图1混合云解决方案
云安全
云计算安全隐患是阻碍云服务广泛应用的另一难题。实践证明,必须在科学方法学的指导下制订全面覆盖云服务各个层次(从硬件平台、云服务软件层次结构直到最终用户设备)的安全战略,构建完整的安全云服务解决方案,才能提供安全和持续的云服务。
为此,惠普采用ITSA方法学从业务、功能、技术和实施四个视角进行全面的综合分析,提出了安全的云服务解决方案的功能设计和实施方法,确保各种模式云服务系统的安全。
云服务解决方案的功能设计
云服务的安全问题大部分是传统IT早已存在的,传统的信息安全理论与实践仍然适用。但是云安全有其自身新的特点,云服务系统的高分布性、高可伸缩性和多租户应用模式的资源共享、支持全球级用户和更加松散耦合等特性,使得基于云的服务系统的不确定性往往起源于更广泛更复杂的可变因素,更加难以确保其安全。因此,必须在充分考虑云服务特点的基础上,提供如下的安全功能:
Ÿ 身份识别和鉴定技术:保护IT系统安全的第一步,是进行用户身份识别和鉴定,确保合法用户方便访问,非法用户拒绝闯入。安全云服务解决方案必须采用各种有效的身份识别和鉴定技术,来确保各个层次的访问安全,包括:针对用户角色的身份识别、支持双因子身份鉴定机制、在Web联接中采用双向身份鉴定技术、提供单点登录功能等;
Ÿ 访问控制技术:目的是允许或拒绝一个具体实体(人或程序)使用一个资源(信息)。在安全的云服务解决方案中,控制对资源的访问和操作是至关重要的,包括基于角色的授权机制、子系统之间通信保护等;
Ÿ 安全管理技术: 安全的云服务解决方案必须有完善的安全管理技术,包括法规遵从和审计管理、安全性威胁和漏洞管理、设置专门的安全管理服务器等;
Ÿ 资产管理技术:安全的云服务解决方案必须采用自动跟踪和管理物理资产及信息资产的技术,以确保安全;
云安全解决方案实施实例
从实施角度来分析,要选择适当的安全结构、产品、服务和工具,以便在规定的时间进度和预算范围内实施所设计的安全云服务解决方案。
云服务解决方案的安全结构
针对云服务的特点,惠普选择隔离间层次结构来实施云服务安全解决方案。每个隔离间是一个独立的应用运行环境,拥有属于本隔离间的CPU、内存、存储和网络联接资源,分层的软件应用层次结构,支持资源隔离和安全性。这种强制性的隔离能够防止在多用户共享环境中受到其它应用的干扰。
安全的云服务IT基础设施
惠普BladeSystem Matrix是一整套软硬件一体化的安全云服务IT基础设施,支持利用虚拟化资源构建基于逻辑服务器的安全隔离和分隔应用的能力。这种强制性的隔离能够防止在多用户共享环境中其它应用遭到破坏。惠普BladeSystem Matrix还使用了Insight Dynamics 全局工作负载管理器,提供对共享资源的附加保护、身份识别和鉴定、访问控制、安全的开发和资产管理等功能,为客户提供安全的云服务IT基础设施。
云服务SaaS开发平台
惠普除了提供IaaS产品和服务之外,也对外提供SaaS产品和服务,其中喀嚓鱼(Snapfish)就是一个著名的云应用实例。喀嚓鱼是全球网上照片冲印服务的领导者,在2010年已拥有八千多万用户,保存有30多亿张照片。该SaaS云服务平台采用隔离间和层次结构概念构建了图2所示的隔离间体系结构,是一个很好的成功实例。