无论在公有云还是私有云中,你都无需去考虑底层基础设施,而只需要通过虚拟机和网络处理业务。当然,硬件在供应商那里。如果你正在构建一个私有云,会有很多选项来决定如何去构建它。每个选项都有不同的特性、安全性能和成本,但是在任何一种情况下,你都必须保留大量的安全责任。
这些选项与传统的服务器部署模式类似:你可以部署在自己的服务器上,也可以在一个联合本地中心部署,你甚至可以在“托管但是专用”的基础上使用一个传统的托管服务。
这些指南适用于混合云及私有云。事实上,大多数组织都无法将完全私有的云适当化,但是他们可以为混合模型提供一个很好的案例。在混合云中,你可以通过公有云服务集成一个云并将其运行在由你直接管理的系统上。目前在市场上占据主要地位的公有云——AWS、微软Azure和谷歌云平台——都对这种集成提供了广泛的支持。
有很多的因素会致使你需要在一个私有环境中运行部分或全部系统。通常,依从性、安全性和性能会是主要因素,而且这些因素可能也会对你如何构建、在哪里构建私有云产生影响。
例如,你可能必须将数据保存在某个国家。你也有可能需要安装专业的硬件或使用非传统的配置。也许在公有云中为虚拟机设置的CPU/RAM配置不适合你的需求。也许你有基于GPU的大数据分析系统。你可能还会担心网络延迟。你可以在某些位置通过私有云提供更快的服务,特别是在需要本地处理时。
在自身场地部署,你需要提供一个数据中心,包括电力、电力冗余、HVAC、物理安全、物理网络基础设施和很多的工作人员。对于大多数组织来说,很难去调整。更便宜而且会同样好的方法是只把你的系统和硬件掌握在自己手里,在这个方案中,你拥有计算、存储和网络硬件,并且可以完全控制所有数据,直到它到达传输点。
而联合本地供应商则负责设施、物理安全、消防安全、电力和电力冗余、HVAC和网络连接,以及你能运行专用线路的能力。这些服务减去了很多费用和麻烦,让你能够更专注于自身业务核心。联合本地化的安排可以同时考虑到专业硬件和非正统的配置,它可以很好地改善你的网络性能。
不过联合本地供应商无法阻止你因为某些错误而使你的系统和数据暴露在攻击中,特别是在任何面向网络的情况下。解决办法通常有:确保数据在休眠和传输时是被加密的;保持对身份、身份验证和授权的控制;使用虚拟的下一代防火墙保护面向网络的工作负载;遵循最少特权原则。
托管私有云是另一个使成本下降的方案。上面所描述的那些可能会运行在联合本地设施中的公司,虽然会被承诺硬件是专用化的,但经常会在不明的情况下与他人共享其他资源,有时还会被限制控制选项。你可能不会得到一个单独的网络段或完全管理服务器的能力。在多租户、公有云环境中,肯定存在比你更大的隔离性,但是你需要仔细阅读这些难懂的条文,以确保托管服务满足你的需要,并满足计算主机所需的所有安全职责。
由于各种原因,大型、复杂的组织常常需要维护某些系统的控制。云架构仍然是这些用例的未来,但在这种情况下,它们仍然具有保护数据和软件的义务。
原文发布时间为:2017-10-17
本文作者:谢涛编译