私有云的建設(shè)與應(yīng)用

張釗榮 黃磊博 鄭 薇

（中國地質(zhì)科學(xué)院探礦工藝研究所，四川成都 611734）

0 引言

現(xiàn)階段，云計(jì)算日漸普及，傳統(tǒng)的IT 構(gòu)架已然無法達(dá)到當(dāng)前時(shí)代對企業(yè)信息建設(shè)的要求標(biāo)準(zhǔn)，各行業(yè)為在競爭激烈的信息時(shí)代中獲得長效發(fā)展，紛紛引入云計(jì)算技術(shù)，在此情況下，私有云應(yīng)運(yùn)而生。私有云的構(gòu)建宗旨在于為個(gè)體提供差異化數(shù)據(jù)資源服務(wù)，故而需要對服務(wù)質(zhì)量、安全性以及數(shù)據(jù)提供做出有效控制[1]。企業(yè)應(yīng)具備相應(yīng)的基礎(chǔ)性設(shè)施，以此為基礎(chǔ)，能夠控制好應(yīng)用程序部署的手段。一般來說，企業(yè)可在內(nèi)部防火墻或主機(jī)存管處創(chuàng)建并部署私有云。通過市場調(diào)查不難發(fā)現(xiàn)，部分企業(yè)尚未明晰云技術(shù)對自身發(fā)展的意義，也沒能掌握云技術(shù)應(yīng)用要點(diǎn)，私有云構(gòu)建難以為繼?；诖耍疚膹亩鄠€(gè)方面針對私有云的建設(shè)與應(yīng)用展開了詳細(xì)討論。

1 私有云概述

私有云大多由企業(yè)抑或是第三方運(yùn)營、管理及所有，其部署場所相對廣泛，涉及數(shù)據(jù)庫、防火墻等。使用者也能夠針對其他方面進(jìn)行授權(quán)訪問。限制性和獨(dú)立性是私有云最為基礎(chǔ)和典型的特性，其所應(yīng)用的服務(wù)技術(shù)與公有云相差不大，故而能夠?yàn)榻K端用戶提供同樣服務(wù)。使用者能夠控制及掌握儲存、計(jì)算等全部資源，并獲得專項(xiàng)權(quán)限。后者將其看作“私有云托管”。在使用私有云時(shí)，相關(guān)用戶需按要求繳納許可費(fèi)和基礎(chǔ)架構(gòu)費(fèi)等。對于某些看中業(yè)務(wù)敏感功能、靈活性以及資源專享的用戶來說，這一選擇十分理想。私有云還可以為企業(yè)提供一定的機(jī)會，其付費(fèi)功能在企業(yè)內(nèi)部同樣適用，管理者可利用該功能統(tǒng)計(jì)并收取內(nèi)部費(fèi)用，進(jìn)而在企業(yè)中進(jìn)行成本分?jǐn)偅岣呓?jīng)濟(jì)效益的同時(shí)強(qiáng)化成本觀念。另外，私有云具備的另一優(yōu)點(diǎn)是可以在數(shù)據(jù)操作工作中應(yīng)用云計(jì)算存在的益處以及附加控制。管理私有云的人員，能夠針對全局視圖的基礎(chǔ)架構(gòu)進(jìn)行訪問，同意使用人員針對自動(dòng)化操作、應(yīng)用模塊以及基礎(chǔ)性設(shè)施進(jìn)行監(jiān)控。例如按照實(shí)際使用需求進(jìn)行虛擬機(jī)的自動(dòng)調(diào)整，有關(guān)資源的應(yīng)用需要一目了然。

2 私有云整體建設(shè)的思路

2.1 整合物理資源

將應(yīng)用交付、網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲等資源與硬件物理設(shè)備進(jìn)行資源整合，可使私有云更好地發(fā)揮其物理資源管理功能。

2.2 資源池虛擬化

虛擬是信息技術(shù)的代名詞，想要推進(jìn)私有云建設(shè)，必須做好企業(yè)資源的虛擬化。有機(jī)整合物理及其他運(yùn)行資源，以此構(gòu)成資源池，并在相關(guān)技術(shù)的作用下實(shí)現(xiàn)虛擬化，借此為私有云平臺提供一定承載能力。與此同時(shí)，網(wǎng)絡(luò)資源池在虛擬環(huán)境下能夠發(fā)揮業(yè)務(wù)活動(dòng)方面的編排調(diào)度作用，而存儲池除具備日常資源存管功能外，還可以提供運(yùn)行管理、運(yùn)維管理等數(shù)據(jù)儲存池。

2.3 建設(shè)能力資源池

運(yùn)維能力、安全能力以及運(yùn)營能力3 個(gè)核心部分構(gòu)成了能力資源池。相應(yīng)管理者可借助運(yùn)維能力從審計(jì)運(yùn)維日志、報(bào)表運(yùn)維、授權(quán)管理能力資源池、監(jiān)控資源、池內(nèi)拓?fù)涔芾?、可視化流量管理、資源池安全故障自檢、告警管理、運(yùn)維管理租戶等層面完成安全運(yùn)維工作。而優(yōu)化升級相關(guān)應(yīng)用技術(shù)、保障運(yùn)行安全則是安全能力的主要作用，具體包括審計(jì)、入侵監(jiān)管、Web 應(yīng)用及清洗流量等。從有關(guān)運(yùn)營能力的描述中可以看出，確保運(yùn)營穩(wěn)定是該部分的核心工作，具體包括了管理租戶以及租戶資源、安全定價(jià)、工單管理、支撐租戶相關(guān)自服門戶及對接原有賬戶等能力。

3 私有云整體建設(shè)關(guān)鍵技術(shù)

3.1 軟件定義安全

由軟件定義網(wǎng)絡(luò)（Software Defined Network）進(jìn)一步引申為“安全定義”，借助虛擬相關(guān)技術(shù)抑或是資源集成管理功能，為使用者更加靈活地提供軟件定義的能力[2]。結(jié)合各業(yè)務(wù)的特性，軟件可按需發(fā)揮其安全定義作用，同時(shí)也可依據(jù)不同的防護(hù)來源重構(gòu)功能組合，以便使用者更好地操作應(yīng)用。

3.2 可視化與微隔離

結(jié)合微隔離相關(guān)定義可知，該技術(shù)可較好地適應(yīng)虛擬環(huán)境，且可對平臺內(nèi)數(shù)據(jù)起到監(jiān)管作用，常用于阻斷外部攻擊行為，在維持云環(huán)境穩(wěn)定方面有關(guān)鍵作用。隨著此項(xiàng)技術(shù)的不斷發(fā)展，衍生出可視化虛擬網(wǎng)絡(luò)技術(shù)，這一技術(shù)主要用于搜集業(yè)務(wù)及網(wǎng)絡(luò)流量所產(chǎn)生的信息，并實(shí)時(shí)傳輸給使用者，為其提供可視化服務(wù)。私有云與傳統(tǒng)IT 架構(gòu)相比，具有資源靈活共享的特征，正因如此，將傳統(tǒng)互聯(lián)網(wǎng)的信任邊界巧妙地破除了。業(yè)務(wù)內(nèi)部各虛擬機(jī)間、業(yè)務(wù)和業(yè)務(wù)間均難以在常規(guī)隔離手段下達(dá)到預(yù)期隔離目標(biāo)?，F(xiàn)階段處理公有云的方案中，使用Agent 代理形式是實(shí)現(xiàn)監(jiān)控及隔離云主機(jī)的一種重要手段，此類手段在私有云之中一樣適用，利用Agent 進(jìn)行采集，云管理平臺能夠應(yīng)用業(yè)務(wù)不同的虛擬機(jī)數(shù)據(jù)，不僅有利于可視化管理云資產(chǎn)，還能夠借用該技術(shù)強(qiáng)化使用者對資產(chǎn)數(shù)據(jù)的管控力。管理私有云的平臺能夠借助提供安全能力的主機(jī)、虛擬機(jī)內(nèi)部Agent 抑或是微隔離組件，為使用者提供更加強(qiáng)大的安全管控能力以及安全分析能力[3]。另外，Agent 針對主機(jī)行為相關(guān)的審計(jì)事件進(jìn)行了詳細(xì)記錄，如業(yè)務(wù)虛擬機(jī)審計(jì)、虛擬主機(jī)的安全事件等。同時(shí)將此類數(shù)據(jù)發(fā)送至私有云管理平臺，開始啟動(dòng)日志數(shù)據(jù)的集成化處理和深層次分析功能，對所接收的信息資源進(jìn)行全方位分析，能夠?yàn)槭褂谜咛峁┌踩珕栴}追蹤功能以及安全風(fēng)險(xiǎn)評估功能。

3.3 虛擬化安全功能

可在各軟硬件設(shè)備通用平臺實(shí)施虛擬處理操作，將僅服務(wù)于專用設(shè)備的安全功能作為操作目標(biāo)，以此來降低安全功能對平臺的附屬性和依賴性，同時(shí)可實(shí)現(xiàn)部署效率及質(zhì)量的雙重提升。需注意的是，嚴(yán)格執(zhí)行運(yùn)維成本的全面規(guī)劃工作，以期進(jìn)一步提高安全能力以及網(wǎng)絡(luò)的運(yùn)維能力、一體化運(yùn)營能力，提高安全能力整體適配程度。

3.4 資源安全技術(shù)

該技術(shù)的作用對象為各類虛擬機(jī)，具體包括漏洞掃描、堡壘機(jī)、WAF、專項(xiàng)網(wǎng)、核查配置、入侵防護(hù)系統(tǒng)、審計(jì)日志、審計(jì)數(shù)據(jù)庫、防火墻等內(nèi)容[4]。部署資源池化安全能力可從虛擬網(wǎng)絡(luò)入手，利用該功能來整合傳統(tǒng)網(wǎng)絡(luò)的風(fēng)險(xiǎn)監(jiān)測及防護(hù)功能，構(gòu)成真正的資源池化安全能力，具備隨時(shí)隨地按實(shí)際需要擴(kuò)容、高可靠性池化級、隨時(shí)實(shí)例化等特征。

3.5 組件編排

在資源池化的前提下，綜合使用其自身的服務(wù)編排及Overlay 等技術(shù)，進(jìn)一步實(shí)現(xiàn)按照實(shí)際需要組裝、編排及實(shí)時(shí)維管與安全能力相關(guān)的組件。在智能編排技術(shù)的支持下，私有云用戶能夠根據(jù)個(gè)人實(shí)際狀況決定業(yè)務(wù)內(nèi)容，按照實(shí)際需求使用安全防護(hù)有關(guān)技術(shù)棧。針對安全防護(hù)能力，用戶同樣可依據(jù)個(gè)體現(xiàn)實(shí)情況來進(jìn)行購入和編排。若運(yùn)維管理者切實(shí)需要借助安全防護(hù)能力，則僅通過申請、部署及編排相關(guān)資源便能夠使私有云管理平臺中運(yùn)營組件展開自動(dòng)化運(yùn)作。此時(shí)，相應(yīng)的NFV 便會以時(shí)間先后為依據(jù)開始自動(dòng)運(yùn)作，對相關(guān)業(yè)務(wù)進(jìn)行流量編排，實(shí)時(shí)更新使用者日志及統(tǒng)一數(shù)據(jù)源，通過完整的信息搜集來完成編排任務(wù)，確保該項(xiàng)工作更具嚴(yán)謹(jǐn)性，使用者可以根據(jù)個(gè)人網(wǎng)絡(luò)及安全業(yè)務(wù)進(jìn)行靈活定義。

3.6 安全業(yè)務(wù)聯(lián)動(dòng)

在網(wǎng)絡(luò)監(jiān)控虛擬化技術(shù)、虛擬資源、可視化技術(shù)以及微隔離技術(shù)的基礎(chǔ)上，平臺不僅支持運(yùn)維監(jiān)控，同時(shí)還能夠在數(shù)據(jù)采集基礎(chǔ)上，借助安全能力和相關(guān)組件來完成日志和流量信息的收集，并開展對應(yīng)編排。通過集成管理及調(diào)度，可實(shí)現(xiàn)業(yè)務(wù)聯(lián)動(dòng)，同時(shí)生成安全監(jiān)管檔案。在安全業(yè)務(wù)聯(lián)動(dòng)的基礎(chǔ)上，建立安全系統(tǒng)的一個(gè)體系化工程，從網(wǎng)絡(luò)的安全處置層面、安全檢測層面、數(shù)據(jù)監(jiān)控層面以及網(wǎng)絡(luò)隔離層面均展開了有效整合，進(jìn)而構(gòu)成更加高效的防護(hù)系統(tǒng)。

4 提高私有云應(yīng)用效果的具體措施

4.1 提高應(yīng)用安全性

保障私有云使用者個(gè)人信息安全是現(xiàn)階段建設(shè)云平臺的關(guān)鍵所在。私有云平臺建設(shè)是在互聯(lián)網(wǎng)基礎(chǔ)上展開的，現(xiàn)階段網(wǎng)絡(luò)信息技術(shù)發(fā)展速度如此之快也給諸多網(wǎng)絡(luò)用戶帶來了一定的安全問題，個(gè)人信息整體私密性不夠好，盡管私有云平臺給使用者個(gè)人信息安全帶來了保障，但互聯(lián)網(wǎng)內(nèi)部不法分子層出不窮，不法分子可能會盜取使用者個(gè)人信息，以此謀取不合法利益。畢竟使用者個(gè)人信息十分重要，一旦發(fā)生信息泄露事件，必然會給使用者帶來難以挽回的損失[5]。不僅如此，也會降低使用者對私有云的信任程度。另外，私有云還存儲著對企業(yè)穩(wěn)定運(yùn)作有重大意義的數(shù)據(jù)資源，如若發(fā)生病毒入侵事件，則企業(yè)極可能因數(shù)據(jù)丟失或代碼紊亂而遭受經(jīng)濟(jì)、聲譽(yù)雙重重創(chuàng)，其所面臨的風(fēng)險(xiǎn)也會大大增加。從私有云管理者角度考慮，需要加強(qiáng)重視保障私有云平臺整體安全。比如，定期展開安全性檢測，定期更新私有云平臺相關(guān)系統(tǒng)等。除此以外，私有云管理平臺需要持續(xù)更新平臺的服務(wù)系統(tǒng)，逐漸構(gòu)建并完善私有云平臺建設(shè)，進(jìn)而保障使用者信息安全，利于私有云長期穩(wěn)定發(fā)展。

4.2 培養(yǎng)高素質(zhì)專業(yè)人才

在建設(shè)私有云平臺的過程中，專業(yè)性較強(qiáng)的技術(shù)人才占據(jù)著十分重要的地位。眾所周知，“人”乃立業(yè)之本，“人才”是企業(yè)運(yùn)營的基石，任何工作的開展均無法離開專業(yè)人才。專業(yè)人才是企業(yè)發(fā)展的命脈[6]。除此之外，技術(shù)專業(yè)人才不可或缺，在建設(shè)私有云平臺的過程中，若想保障私有云整體的安全性能，必須安排技術(shù)專業(yè)人才對私有云展開維護(hù)，對使用者個(gè)人信息安全展開維護(hù)。不僅如此，技術(shù)專業(yè)人才大多數(shù)情況下是素質(zhì)較高的人才，不僅能夠?qū)λ接性破脚_進(jìn)行專業(yè)性的維護(hù)，而且能夠盡心盡力地維護(hù)使用者個(gè)人信息安全。例如，在行業(yè)競爭日趨激烈的環(huán)境下，利益誘惑事件時(shí)常發(fā)生，對手為鞏固自身地位往往會利用物質(zhì)或非經(jīng)濟(jì)利益誘惑負(fù)責(zé)私有云管理的相關(guān)人員，部分工作者因貪圖利益向其提供企業(yè)內(nèi)部核心機(jī)密以及客戶信息等。不過大部分技術(shù)專業(yè)人才均經(jīng)過嚴(yán)格的培訓(xùn)工作，其職業(yè)素養(yǎng)相對較高，且具備企業(yè)精神，能夠主動(dòng)維護(hù)自身和企業(yè)的權(quán)益，并不會在外界高利益驅(qū)使下改變原則，亦不可能損害企業(yè)形象或使其處于危機(jī)困境中。另外，高素質(zhì)人員除業(yè)務(wù)能力出眾外，其對自身也有著較高要求，諸多人才均嚴(yán)于律己、盡職盡責(zé)，對企業(yè)存在非常高的忠誠度。故而，構(gòu)建私有云平臺的過程中應(yīng)用素質(zhì)較高的專業(yè)技術(shù)人才是十分重要且必要的。

4.3 保持創(chuàng)新理念

盡人皆知，持續(xù)進(jìn)步的前提是變革，企業(yè)若想在時(shí)代更迭中穩(wěn)住腳跟，唯有將創(chuàng)新落實(shí)于私有云的創(chuàng)建及運(yùn)維全過程，確保該平臺能與時(shí)俱進(jìn)，在當(dāng)下及未來發(fā)展中更好地服務(wù)于企業(yè)[7]。私有云管理平臺能夠定期展開創(chuàng)新優(yōu)化，進(jìn)一步提升其市場競爭能力，對優(yōu)化私有云平臺、保障行業(yè)穩(wěn)定發(fā)展十分有利。除此以外，隨著新時(shí)代的到來，設(shè)計(jì)理念逐漸變得重要。吸引使用者的關(guān)鍵在于設(shè)計(jì)理念，故而設(shè)計(jì)理念創(chuàng)新在建設(shè)私有云平臺中占據(jù)著重要地位。建設(shè)私有云平臺是依據(jù)云計(jì)算推出的，過往私有云平臺所具備的內(nèi)容模式均難以滿足不同客戶的實(shí)際需求，私有云平臺建設(shè)需與行業(yè)發(fā)展獨(dú)特因素相結(jié)合。例如，企業(yè)可按照當(dāng)前大眾想要的生活模式創(chuàng)建私有云，能夠以此為基礎(chǔ)著手主題建設(shè)，根據(jù)使用者需求播報(bào)某些綠色環(huán)保類型的新聞、講解可持續(xù)發(fā)展這一環(huán)保理念等，均存在較高的可行性。

5 結(jié)語

建設(shè)私有云平臺需要不同方面的保護(hù)及支持，只依靠有關(guān)工作者是遠(yuǎn)遠(yuǎn)不夠的。本文在概述私有云的基礎(chǔ)上，分析了私有云整體建設(shè)的思路，如資源池虛擬化、建設(shè)能力資源池等。不僅如此，對私有云整體建設(shè)關(guān)鍵技術(shù)也展開了細(xì)致分析，關(guān)鍵技術(shù)包括了軟件定義安全、微隔離與可視化虛擬網(wǎng)絡(luò)、虛擬化安全功能、資源池化安全能力、組件編排以及安全業(yè)務(wù)聯(lián)動(dòng)等，進(jìn)而提出提高私有云應(yīng)用效果的具體措施，以供行業(yè)參考。