搭建一个私有云架构

1、在维持原有预算水平不变的前提下改进IT业务的最好方法就是搭建一个私有云架构。基于云的应用交付正逐步演变成为IT行业发展的必然趋势。要想对IT部门和企业的业务流程进行重新架构来满足内部云服务的交付将会耗费几年时间。而现在是时候该为其打好地基了。成熟老练的IT专家们接触云计算已经好多年的时间了，如果他们有人很不赞同云计算的概念，那也肯定有一定原因。像网格计算这样的其它概念，无论是来还是走都没有引起这么多的关注。但是要记住，X86服务器虚拟化也面临着类似的情况。如今的X86系统管理程序在许多机构对于新的应用来说只能是一个替补平台。这也正是云计算没有不网格计算和其它IT即服务平台的原因所在。定义云计算

2、你或许会问我，难道云计算和IT既服务是一个概念？你说对了，当然，IT市场是与时俱进的。因此，我们有了云计算这个概念。在BurtonGroup,关于云的构成我们进行了许多争论，以下是我们最终得出的结论：云是用来根据用户需求将IT技术转化为服务的一系列规则、技术及业务模式。你或许会认为以上定义过去笼统，事实的确是这样。这是因为云计算涵盖了多项技术,可以概括为以下几部分：软件及服务（SaaS）平台即服务（PaaS）软件基础设施即服务系统基础设施即服务SaaS包括企业外部供应商提供的应用。S和GoogleApps就是成功的SaaS应用交付案例。PaaS提供的云计算平台可以被用来帮企业运行云”外的应用。

3、MicrosoftAzure就是一个很好的PaaS例子。软件基础设施即服务是一种针对独立计算机的云服务，可以提供专门的应用支持，但不提供整体软件平台服务。如果它提供整体软件平台服务，那它就属于PaaS。例如，AmazonSimpleDB和MicrosoftSQLDataServices都属于软件基础设施服务。尽管说MicrosoftSQLDataServices被包含进了Azure平台，但它还是被作为一种单机服务来提供。因此，它拥有自己的软件基础设施服务称号。最后，是系统基础设施即服务，它将物理或虚拟硬件作为服务来提供。这种架构适合于传统的虚拟设备供应商，比如说VMware、Microsoft

4、和Citrix。作为三种主要的云计算类型，SaaS、PaaS及软件基础设施即服务主要是用来为企业提供外部平台的，而系统基础设施即服务可以被IT组织内部运行或由第三方服务供应商来运行。在未来几年内，许多组织和机构将利用虚拟架构来在内部云上为一些服务提供支持,同时还有可能在外部云上对其进行支持。如果可以部署一套允许在企业内部和外部平台间实现负载转换的架构，IT组织的业务会更加灵活，相应的运营成本也会更低。例如，如今又许多企业都在借助外部供应商对企业的培训和研发资源进行运营。此外，现在有许多企业运行的应用都是在一年中的一段时间使用频率很高而在其它时间基本处于空闲的。对于这些负载来说，外部云显得更有意

5、义。为什么要花一年的时间运行实际只需用三个月的物理服务器呢？系统全天候运营对电力、冷却、数据中心的地板空间及管理资源是一种极大的浪费。图1描述的是一个基础设施即服务的云计算模型。其中展示了三种云。Raleigh和Atlanta站是内部云，服务提供商扮演的是外部云的角色。并不是说每一个工作站都是一块云。相反，每个站点提供的都是IT即服务的递交模式。系统是由内部提供支持的，因此Raleigh和Atlanta站会拥有内部云，服务提供商是外部云。或许可以将外部云与内部云的虚拟化架构管理层整合起来,从而部署内部虚拟机镜像文件，并将其运行在外部供应商的架构上。这就可以为培训和研发等业务提供支持。将虚拟化作

6、为云计算的基础可以允许相关组织继续使用现有的操作系统和应用,而不需去学习外部云供应商的自有APIs规划。此外，虚拟化对于硬件的抽象化可以让相关组织的业务更具灵活性，随时可以根据需求迁移到所需的工作负载，可以提高所有应用（包括那些集群外部应用）的可用性。虚拟化可以简化研发、修复、更新、定期维修及灾难恢复等等这些IT任务。但它同时也带来了许多挑战。我们的客户表示，对于法规遵从性的担心是阻碍企业采用公共云的最主要原因。如果供应商想让企业认真考虑他们的平台，他们必须在当前共享企业架构的法规遵从性和安全按性方面做得更好。在本文的第一部分中，我们为大家介绍了云计算定义及类型划分,接下来我们为大家介绍如何为

7、内部云架构打好基础。为内部云架构打好基础X86系统管理程序应该是迁移到内部云的基础，但这仅仅是个开始。无论你喜欢与否,一旦外部云走向成熟，想要隐藏IT业务单元的成本几乎是不可能的。尽管说在外部云上托管虚拟机如今已很常见,但企业平衡虚拟机托管外部共享物理架构的安全性和相关条款方面还存在许多问题。将企业业务迁向云基础架构是一个循序渐进的过程。但从中得到的成本节省却足以挽回相应的投资。以下是企业将应用迁向内部云架构的具体步骤：将X86虚拟化作为部署所有新X86应用的默认平台投资引入虚拟化应用管理工具重新调整业务进程及部署补贴利用应用编排工具将通用的IT进程进行自动化编排平衡培训、测试及研发过程中的服

8、务供应考虑所有云架构引发的安全和法规遵从问题对其进行重新设计来增加灵活性将虚拟化作为X86应用默认平台如今，X86服务器常常被用来运行虚拟工作负载，这样就不需因某一单一应用而购买物理硬件。事实上，许多应用并不能最大限度地利用新型2U服务器上的硬件。表1对如今最新的2U服务器配置进行了对比。TODAYSHARDWAREFDRVIRTUALIZATIONSERVERMAXMEMORYCPUEKPAN$K*IDellPowerEdger710144GB(ISslots)2quadtor*Xeon5500s2PCIe覇”2PClex4HPProltaritDL380G6144GB(18slots)2q

9、uadreXflan5500sUito6(PCItrPCE-X)IBM注召站M2128GB(162quadcoreXepn5500s4PCI-Express硬件相关的内存虚拟化是由新的服务器平台提供的,比如说IntelEPT和AMD的RVI,这还可以解决过去威胁虚拟机应用安全的内存性能问题。我们在虚拟化整合、应用灵活性及灾难恢复方面获得的益处都证明将现有应用迁向虚拟化架构是正确的选择。既然硬件虚拟化的改良可以解决大多数应用的性能问题，那虚拟化就应该成为一个默认的平台。当然了，如果你的应用集群对裸机计算能力有所要求的话，那些应用程序就不应该被虚拟化，这项业务也应该被排在你的虚拟化清单末尾。需要注

10、意的是，有些应用用户可能会有一些抵制情绪，因此有必要对他们进行适度的宣传和教育。这样的话，情况就完全不一样了。IT部门无需再将向应用用户推荐虚拟化了。取而代之的是，应用用户需要证明为什么应用需要逻辑计算。投资于虚拟化应用管理工具对于急需IT服务的用户、应用及业务单元而言，将基础架构看做是一朵云是一种理想，但对于IT员工来说这却是一种痛苦。如果有应用出现性能问题，你如何在段时间内迅速敲定物理数据的路径？如果安全员要求你提供某一应用的物理地址及其所有的相关资源,你该怎么办？可以肯定的是，系统管理程序肯定是需要考虑的一层。但是，如过算上10GbENICs上的单一用户I/O虚拟化、多用户I/O虚拟化及

11、存储虚拟化，你就需要考虑四个层面。即使你没有使用所有这些虚拟化类型，也要为其做好规划，这是由好处的。你需要做的就是选择合适的工具来对每个层面进行观察，锁定那个可以为你提供诊断信息的层面。对业务进程和部署补贴进行重新排列提供内部云服务的技术已经出现，而且在逐渐走向成熟。但是进程排列、资产管理、安全政策制定、进程支持及统计等业务依然需要大量的工作。要想从共享的物理资源中获取最大的利益，IT部门必须掌握物理资产的所有权及单独业务单元的部署补贴。对于那些采用外包IT业务进程的组织，比如说一些政府办事处，IT云服务就显得很有意义。他们或许已经有了所需的业务进程和统计流程，时刻准备着将内部IT视为是一种服

12、务。尽管说相关组织可以继续探索部门级物理资产管理的道路来利用共享架构减低其成本的范围，但这同时也会导致额外的运营开支及TCO（总体拥有成本）。考虑云架构的影响安全和相关的遵从性条款仍然是实施共享物理架构的关键因素。相关的标准进程及遵从性说明对管理员来说是很有用的。像Tripwire、ConfigureSoft及ThirdBrigade等供应商正在致力于为用户提供遵从性确认工具。而如今对于一些普通的企业而言，对应用进行一定的物理隔离仍是最方便的。大多数组织都通过隔离物理集群来隔离安全区域。其它组织则是通过将虚拟转换器和物理网络端口分配到每个区域来对网络层进行隔离。例如，安全分区一一也就是不同的内

13、部可信区域，可能会共享一个通过VLANs隔离的虚拟转换器。在本文的第三部分中，我们将继续为大家介绍搭建私有云架构过程中在业务进程编排、培训及研发服务供应、以及业务灵活性方面的考虑。在本文的第二部分中,我们为大家介绍了如何为私有云架构打好基础，接下来我们将继续为大家介绍在搭建私有云架构过程中在改善Self-Service供给和常用业务和应用流程自动化等方面的注意事项。改善Self-Service供给从一个用户的角度讲，预定一台测试服务器肯定不像在iTunes上买几张音乐光盘那样简单。目前市场上有足够的Self-Service供给机器可以选择，包括：CitrixXenServer和Hyper-VE

14、ssentials管理平台MicrosoftSystemCenterVirtualMachineManagerUserSelf-ServicePortalSurgient虚拟自动化平台VMwareLabManagerVMwareLabManagerSelf-service供给可以降低新技术及测试和培训系统部署的TCO,并简化对虚拟化管理软件的投入。包括定额执行和整合生命周期管理在内的许多工具都允许未经使用的虚拟机进入待机状态。Self-service供给是实现内部云架构的一个便捷步骤，因为用户只需要通过Web界面就可以定制一项服务，很多情况下他们甚至可以为家里定制服务。最后要强调的是，这些服务

15、的递交方式并不是最重要的，只要它们能满足用户对性能和可靠性的期望值即可。利用虚拟架构编排工具使常用进程实现自动化用户Self-service是实现内部云架构的第一步，而虚拟架构编排及补偿则分别是第二和第三步。对虚拟机架构进行编排可以使许多常用IT管理流程实行自动化运营，包括：服务器供给和淘汰变更控制的执行根据储运损耗对虚拟机的启动和停运实现自动化对物理主机间的虚拟机负载进行二次平衡根据性能需求来重新界定虚拟机的硬件规格关闭多余的物理资源再次提醒,任何类型的动态虚拟架构编排或工作负载的二次平衡都需要考虑到安全分区的限制。大多数编排工具都有工作负载图示功能，这使管理人员可以迅速地将一系列流程连贯起

16、来，从而对实际的任务实现自动化处理。如果是服务器虚拟机部署，相应的工作负载包括虚拟机的创建、利用VLAN对虚拟机的连接、存储规划以及管理角色的分配。对于每种虚拟机而言，都需要创建一系列独一无二的工作负载，具体的组织则要考虑到它们的部门地址或物理地址等等因素。灾难恢复的自动化是虚拟架构自动化发展过程中的另一项运用，通过VMwareSiteRecoveryManager和CitrixWorkflowStudio等可以提前撰写灾难恢复失败回复脚本。这使你可以提前规划出虚拟机的重启顺序，使最关键的应用可以在第一时间得到恢复。有些编排工具可能是专门针对应用或工作负载的。例如，对正在运行的虚拟机内存、CP

17、U或存储等资源的动态添加就可以在不影响系统正常运转的前提下解决性能问题。但是，资源的热添加是需要有客户操作系统和客户操作系统应用提供支持的。你的某项应用可能是运行在WindowsServer2008操作系统支持资源的热添加，但该应用启动时所消耗的内存量是固定的。更进一步说，就是一些应用如果不进行重启是不需要更多内存的。强制关闭服务器看起来似乎是一个节省电力和冷却成本的好方法,但如果没有服务器供应商的官方支持，大多数组织并不愿意对服务器进行动态能耗管理。据BurtonGroup预计，从今年起服务器供应商会开始提供动态能耗管理支持，因此这方面的担忧早晚会得到解决。避免被架构锁定要设计一个可以和外部

18、云供应商相兼容的云架构，在选择相应平台时要谨防被架构锁定。一个由单一供应商提供支持、需要私有设计界面的云计算平台可以防止被架构锁定，具有很高的潜在价值。另一方面，如果一个虚拟架构云平台由内部支持运营，但对许多外部供应商来说都可用的话，可以给企业提供诸多选择，比如说对电费进行讨价还价。无论你多么信任外部云的未来，在企业内部制定云规则可以帮你节省大量运营成本。要对业务和IT进程进行调整以支持虚拟架构下的补贴需要投入大量精力，但基础设施即服务递交模式的长期稳定性让这一切都变得很值。云计算小指南（上）2009-2-6大|中|小导读：本文介绍如何最大限度地发挥云计算的优点，包括使用简单、灵活和较低成本；

19、同时最大限度地减小风险。包括了许可、管理工具、带宽、安全和架构等方面的内容。关键词：云计算许可管理工具带宽云计算的魅力在于，用户只要有身份证和信用卡就可以开始使用，但这也是问题所在。这么简单的服务势必会给毫无准备的IT部门带来许多挑战。之前我们已经多次碰到过这个现象：某项技术易于采用的优点到头来却变成了意料之外的管理难题，比如虚拟化技术导致虚拟机散乱，智能电话带来新的安全风险，即时通讯引发公司治理方面的问题。本文旨在向IT经理们介绍如何最大限度地发挥云计算的优点，包括使用简单、灵活和较低成本；同时最大限度地减小风险。这篇实用指南包括了许可、管理工具、带宽、安全和架构等方面的内容。本文表明我们仍

20、处于云计算的早期阶段，这意味着，相关工具和技术还在不断完善中。比方说，经过长达两年的测试后，亚马逊网络服务公司的弹性计算云(ElasticComputeCloud)服务在去年底才推向市场；监测、管理和负载平衡等企业级功能仍在其规划当中。同样，谷歌应用引擎(AppEngine)属于预览版本。微软的Azure云服务也属于预览版本，目前只有Windows开发人员可以使用有限的功能，其他早期采用者无法使用。不过现在可以开始规划了，你既可以实际感受这种新的IT交付模式(包括了解各种故障和缺陷)，又可以比其他在考虑独自利用云服务的公司同事超前一步。一、管理篇牢牢控制云计算管理云计算服务的工具形形色色，既可

21、以使用简单的仪表板，让你在几分钟内就能创建虚拟软件栈；也有能够处理各种配置和管理任务的企业级平台。云计算使用越广泛，就越需要那些高端工具。亚马逊、谷歌及其他云服务提供商提供了帮助客户入手的基本工具。比方说，谷歌应用引擎的管理控制台可以显示流量大小、带宽、CPU利用率以及谷歌托管应用程序的出错率，这些数据可以帮助你深入研究日志文件,并获得其他详细数据，还可以用它来控制管理权限、管理应用程序的升级。然而，应用引擎仍属于预览版本；这意味着，随着需求越来越高，这些工具将无力满足要求。谷歌的产品经理PeteKoomen承认：我们还缺少一部分功能。我们看到，云服务提供商、新兴公司和系统管理厂商都在竞相为客

22、户提供功能更齐全的工具，以管理云环境中的资源。亚马逊表示，它会很快为弹性计算云服务推出新的管理控制台和云监测功能。亚马逊已经在提供一些基本功能，比如使用命令行界面创建亚马逊机器映像(AmazonMachineImages)的功能。管理控制台让用户可以配置及管理EC2资源，而监测功能将包含EC2实例和可用区域”(availabilityzones)方面的实时度量可用区域是客户为了确保冗余和最高可用性而选择的亚马逊基础架构中的一部分。亚马逊还计划在2009年提供负载均衡和自动扩展功能。专门从事云管理的公司是另一个选择。Rightscale公司的托管服务平台包括管理仪表板、数据库和网站管理、批处理、

23、多服务器部署功能以及自动扩展功能。提供基本功能的开发版本可免费使用，但大多数IT部门会需要RightScale的另外三个版本(网站版、网格版和高级版)，这些版本的起价为每月500美元，外加2500美元的一次性费用。RightScale创办于2007年，以管理亚马逊网络服务起家；如今扩大了业务范围，可以管理其他公共云服务，包括FlexiScale和GoGrid的云服务。RightScale还为加州大学圣巴巴拉分校的Eucalyptus公共云提供了一个平台，把面向云计算的开源Eucalyptus软件部署在集群服务器上。它实际上是一个研究测试项目，但目的是通过RightScale的仪表板，能够管理公

24、共云和基于Eucalyptus的专有云。与Web应用程序一样简单在管理Web应用程序和基础架构方面有过经验的IT部门会发现，云计算有着相似之处。Hyperic公司首席执行官JavierSoltero说：如果你能管理Web应用程序，就能管理云应用程序。该公司有一个版本的Web应用程序监测软件正在亚马逊网络服务中运行。HypericHQ由中央管理服务器和代理软件组成，前者通常在公司内部部署的服务器上运行，而后者驻留在Web服务器上，向中央管理服务器报告可用性、性能及其他度量数据。借助刚发布的HQ4.0,Hyperic服务器可以配置成EC2中的亚马逊机器映像。对IT管理员而言，这意味着部署简单、订购

25、费较低、性能更高。HypericHQ的功能包括自动发现软件、诊断、报警、分析和报告以及其他工具。有人认为，对云应用程序眼不见心不烦，这种态度大有问题。Soltero说：有人认为，因为你在云中部署了应用程序，所以根本不需要监测和管理，这是云计算方面的天大谎言之一。代码天生有缺陷，技术也会出问题，所以你需要监测功能。Kaavo公司也专门从事多个云的管理。这家新兴公司的平台支持服务器监测、云中的LAMP软件配置、负荷管理、软件审计、补丁管理、运行时配置管理、通知及报警。它已推出按需基础架构和中间件(InfrastructureandMiddlewareOnDemand)软件的免费测试版；很快会推出普

26、通发行版。Kaavo的优势在于其管理团队：创办人兼首席执行官JamalMazhar是获得Sun认证的J2EE架构师，首席技术官ShahzadPervez以前在大公司担任过IT主管和企业架构师。知名的系统管理软件厂商也为云环境带来了新的控制工具。IBM公司自主计算开发主管DennisQuan表示,IBM的Tivoli部门计划把云管理功能集成到服务请求管理器(ServiceRequestManager)、配置管理器(ProvisioningManager)和监测(Monitoring)等产品线中。IBM还希望为客户赋予更大的控制权，控制把数据放在云中的系统，从而提升客户对云安全的信心，但Quan没

27、有透露IBM在这方面会如何做到。微软仍在开发解决云管理难题的方案。它在去年10月推出了WindowsAzure操作系统及相关的Azure服务平台，但没有表明何时启用Azure云服务，不过开发人员已可以使用开发工具和基本构建模块入手。微软高级副总裁BobMuglia在同一个月演示了代号为Atlanta的系统中心（SystemCenter）企业管理平台，该平台将在微软的云中运行。所有这些活动表明，众厂商在竞相为新兴的云服务开发企业级控制工具。IT管理员面临的难题是，在云服务采用突飞猛进之前，将相关工具部署到位。二、底层架构：亚马逊、谷歌和微软平台比较人们很容易忽视云服务背后的技术，这是一个误区。公

28、司的技术人员必须确保云服务与本企业的基础架构相互集成。这就需要一种基础架构能够结合两者。云计算的各部分与企业数据中心的各部分一样，同样包括诸多编程语言、操作系统、数据库、Web服务器、协议和应用编程接口（API）。关键就是确认哪些云服务真正适合自己内部的系统、应用程序和专长技能。下面比较一下亚马逊的弹性计算云、谷歌应用引擎和WindowsAzure三大服务，看看哪个更适合你。亚马逊的EC2为客户提供了种类丰富的软件选择：WindowsServer、OpenSolaris和七个Linux版本；MySQL、SQLServer和Oracle11g数据库；以及Java、JBoss和RubyonRail

29、s等开发环境。谷歌的特长则在于简单易用。应用引擎让用户可以利用谷歌的自主开发数据库及其他基础架构软件；可以通过API使用缓存、镜像、邮件及其他应用服务oPython是惟一得到支持的编程语言，不过谷歌打算在将来也支持其他编程语言。WindowsAzure和Azure服务平台与微软的内部部署企业软件系列其实一脉相承。Azure包括了托管版本的SQLServer、SharePoint、DynamicsCRM和.Net服务，用VisualStudio和.Net框架开发而成。微软表示，Azure将支持开放协议（HTTP、REST、SOAP和XML）以及非微软编程语言（Eclipse、Ruby、PHP和P

30、ython）。如果IT人员要了解云体系结构的概况，云服务提供商的网站上提供了许多详细信息。亚马逊有一份介绍云体系结构的白皮书，想尽快补上一课的人不妨看一下。你的设计蓝图应当考虑到云服务可能由多家厂商提供，所以要想好该如何确保互操作性和应用集成。云计算新兴公司Elastra的高级软件架构师StuartCharlton建议采用REST和Atom联合格式(AtomSyndicationFormat)作为全球云体系架构中的底层规范。他表示，联合身份管理方面的标准也很重要。IBM公司自主计算开发主管DennisQuan表示，面向服务的架构(SOA)已经让通过符合标准的方式连接云服务成为可能。下一步关键是

31、把服务从一个云迁移到另一个云。Quan表示，完成这项功能的规范仍处在开发初期。在本文的下半部分中，我们将介绍如何保护云里的数据、如何配置网络与签定服务合同。在本文的上半部分中,我们介绍了云计算的管理工具以及底层架构。在本部分中，我们将继续为您介绍带宽、安全等方面的内容。三、数据保护篇重视安全开发人员喜欢云计算部署后不用去管的功能;公司希望通过云计算降低基础架构成本；用户则喜欢新的功能能够更迅速地推出。然而，负责信息安全的人员在为如何把应用程序和数据安全地转移到云中而挠头。IT界孜孜以求的一个目标就是整合身份管理技术和流程；而云计算可能让这个目标晚十年才能实现。许多公司可能会把目录服务验证扩展到

32、内部环境以外，以处理云中的应用程序、甚至系统；但如果第三方系统的安全受到危及，这种做法会导致验证系统岌岌可危。公司也许可以实施一种新的解决方案，让云基础架构管理与现有的基础架构管理相互独立。但缺点是，必须集成多个身份和访问管理系统。还有一种办法是及时回去、单独管理云，但这缺乏吸引力。幸好,有些云服务提供商正在竭力解决这个问题。谷歌提供了这项功能:把GoogleApps与目前实施的单点登录技术结合起来，从而加强安全、简化管理。一家知名互联网公司部署了边缘验证服务器，让云系统通过轻型目录访问协议(LDAP)进行验证。另一家公司则扩展了基于Web的验证协议，通过Web服务来进行验证；验证通过，即可访

33、问其内部的系统。数据丢失与备份数据存储在哪里？谁可以访问？数据安全吗？这些都是重大问题，因为没有几家云服务提供商在处理敏感数据方面证明一向很可靠，许多软件即服务(SaaS)提供商除外。如果数据保存在共享存储系统上，要料到可能面临风险。其实，即使我们放在自己公司内部的数据也面临风险。需要把衡量内部数据效益与风险的同一套措施用于衡量云，然后确定哪些数据可以放到云上、并如何保护。这就需要知道及核实提供商采用的标准以及改动标准的灵活性有多大。企业使用亚马逊的弹性计算云等服务时，可以在虚拟实例中运行的操作系统、应用程序或数据库管理系统里面采用数据加密。其他服务(如应用托管服务)提供商在开发应用程序时需要

34、更全面的考虑，确保已包括加密等安全措施。不管自己的数据在哪里，公司都应当防范数据丢失。亚马逊知道计算机会出故障，所以它劝告公司要借助冗余和备份措施作好防范故障的规划。有些云服务提供商提供备份服务或者导出数据的方法，那样公司可以自己备份数据，另一些提供商要求客户使用自定义或第三方的应用程序。因此，我们不妨牢记下面这些关键因素：备份如何进行？有些云服务提供商进行备份，不过更有可能是你想自己进行备份。亚马逊EC2的许多客户还使用亚马逊的简单存储服务(SimpleStorageService，S3)或弹性块存储(ElasticBlockStorage)用于存储备份文件。备份经得住测试吗？如果服务无法使

35、用，你能访问备份数据吗？备份数据将放在哪里？它也许放在云存储系统上、由提供商来托管，或者转到你自己的基础架构。不管怎样，你还是要知道备份数据在存储和传输中，数据得到了怎样的保护。管理与监测许多公司的信息安全团队平时经常监测安全漏洞邮件列表、给系统打补丁、改写代码以解决缺陷。在云中，他们相信提供商事先至少对一些方面进行了调查。很少有提供商让客户可以核实自己采取的安全做法，不过有些提供商变得更愿意配合。公司在使用Joyent或亚马逊的EC3等云系统时，可以在操作系统、数据库和应用程序等层面采取安全措施，但他们仍依赖各自的提供商确保网络、存储和虚拟基础架构的安全性。尽管云服务用户并不控制实际的打补丁

36、和漏洞监测工作，但他们仍有责任管理自己的风险。所以他们要评估哪些资产需要保护、如何防护这些资产，包括在云基础架构上添加安全措施。即使那样，支付卡行业（PCI）标准等行业法规仍可能会让人措手不及，因为PCI委员会方面没有明确规定如何对云服务提供商进行分类。这可能意味着，不同审计人员对待云服务提供商的标准会略有不同。云服务客户必须要求保证自己可监测谁在访问自己的数据。如果公司要求提供详细的审计跟踪记录，应当采用数据加密；或者只把所处理数据不是特别敏感的应用程序交给云服务提供商。这个方面可能会迅速得到改进。谷歌近期表示，GoogleApps的安全流程已通过了SAS70TypeII审计标准。预计会听到

37、更多的提供商宣称自己的安全标准，因为安全仍是导致公司不敢把应用程序转移到云中的一大障碍因素。当然，内部信息安全团队不应该坐等提供商来加强安全。从桌面应用程序到服务器托管的各个应用领域，云计算都会变得越来越诱人。需要更高安全级别的应用程序，比如与健康保险可携性及责任性法案（HIPAA）或PCI相关的应用程序，可能在云中更难得到保证，因而放在公司内部比较妥当。社区应用程序和内容网站比较适合放在云中。公司的技术团队必须确定把什么数据放在云中不会有问题，但他们也要明白：云最终会是整个基础架构的一部分；还得要自己弄清楚如何把企业系统与云基础架构安全连接起来。四、网络篇一家地区银行在试用成功后决定全面使用

38、S服务，但却没有考虑到以后需要更多的带宽。当员工们的互联网连接突然变得慢腾腾时，这家银行为所犯的这个错误付出了代价。网上传输的数据急剧增长，预示着没有投资于更多带宽的公司会面临带宽危机。但带宽不是惟一潜在的网络问题。数据传输距离长会带来延迟问题；而互联网的稳定性不确定，加上服务提供商的数据中心充满未知因素，更是带来了可靠性问题。公司只要升级带宽就能缓解其中一些问题。一家医疗公司就把带宽增加了五倍，将后端批事务处理转移到亚马逊网络服务。幸好，带宽价格在不断下跌，但公司仍需要认真规划。一些技术有助于评估分析流量，比如Packeteer公司的PacketShaper；大多数防火墙厂商允许客户免费试用

39、30天的报告服务，这种服务可以告诉公司使用了多少带宽。网络集成商GreenPages的首席技术官MikeHealey表示，云服务提供商的带宽要求往往不可靠或很难弄到，所以公司至少应当一方面基于试用数据来评估带宽要求0Healey表示，为了准备好应对高峰需求，公司应当规划确保足够带宽，以便自己的带宽利用率平均不超过75%。冗余的重要性完全不亚于额外带宽。没有作好故障切换方面的规戈是我们见到客户经常犯下的最大错误，”Healey说。多家电信公司在大多数大城市提供最后一英里的互联网接入服务。另外，即使公司升级了带宽，如果云服务提供商最近的那个数据中心远在千里之外，可能也会出现性能减弱的问题。思科首席

40、技术官办公室的技术主管GlennDasmalchi说:人们只谈论连接和吞吐量，但延迟也很要紧，即使在云中也是如此，因为你面对的是分布式环境，客户们需要彼此联系。”有些应用程序要求高性能、低延迟，比如用于计算市场风险或把组件结合到组合式应用程序的应用程序。亚马逊在全球各地不但组建数据中心，还组建内容分发网络，一方面就是由于这个原因，之前Akamai或Limelight提供了类似的缓存服务。因此你不妨问问提供商他们是如何减少延迟的。如果公司需要更高效的带宽用于云计算，还可以使用负载平衡器。一家软件新兴公司把其大部分基础架构：存储、计算和开发环境转移到了云中，并且投资于10条50MbpsVerizo

41、n光纤服务(FiOS)线路，使用一个Radware负载平衡器把带宽聚合成一条相当于500Mbps的线路。由于即将出现广域网优化标准以及云环境和内部部署环境之间的数据密集型通信，Dasmalchi预计广域网优化也会在加速云计算提供商、互联网服务提供商(ISP)和云计算用户之间的流量方面起到作用。云计算在带来一些新的网络难题的同时，也能解决其他网络难题。对转移到云中的应用程序而言，网络管理员有望减少改动内部网络体系架构方面的工作量，因为他们只要确保连接至云服务提供商的数据中心就可以了。虽然潜在的云服务客户让自己的网络准备好使用这种服务，但也要向云服务提供商询问其网络：谁提供回程链路？连接是否冗余？

42、数据中心建在哪里？Healey说：最好，你能够看看提供商的网络设计框架。虽然云服务提供商有义务构建合格的网络，但客户也有必要进行一番准备工作，确保网络稳定可靠。五、服务合同篇认真洽谈说到合同条款，购买云服务与购买套装软件很不一样。如果是最基本的云计算，只要在网上填几张表格，几乎谁都可以订购及使用服务。不过，大多数公司会希望看到一些针对自己要求的比较正规的许可证协议，这时候情况会变得复杂起来。提供商在云服务和SaaS许可证方面通常采用两种方法：按人数收费或按使用量收费。比方说，微软Exchange在线版的收费标准是每个用户每月10美元。其他提供商按交易的事务量或按交换的数据量收费。亚马逊S3存储

43、服务收费标准是，每存储1GB数据收费12至15美分，在美国每传送1GB数据收费10至17美分。有些提供商结合使用了上述两种方法。尽管扩展性是云计算的主要优点之一，但公司应当了解这方面有什么限制。AriaSystems为云服务提供商提供计费服务，该公司的首席执行官EdSullivan表示，服务提供商常常根据他们认为的客户支付能力，对最高服务级别加以限制。如果是小公司，可能会限制客户每个月只能使用1万美元的服务。对于SaaS，提供商们越来越多地销售捆绑服务，包括从基本到高端的各个版本。微软销售Exchange在线版费用较低的无电脑工作者(desklessworker)版本，客户可以使用Outloo

44、kWebAccess的基本版，无法使用Outlook客户软件。还有免费版的GoogleApps以及提供一些商业保障的高级版。与任何技术一样，公司购买的SaaS和云计算服务量越大，在合同和价格方面可能得到的优惠就越多。比方说，如果顾客按照微软企业协议EnterpriseAgreement)批量购买服务，微软提供折扣。如果客户使用更多的S3和EC3,亚马逊会少收费。随着云计算更加流行起来，公司开始下更大的单子，提供商们必须在价格方面体现出灵活性。明确责任SaaS和云计算在安全、正常运行时间、性能和稳定性等方面具有一定的不确定性。如果是套装软件，公司内部的IT人员可以自行处理问题。律师RobertS

45、cott为设计许可证条款的提供商和洽谈云服务合同的公司客户同时提供服务；他表示，在云中，公司只能依靠服务提供商来尽量降低风险，这需要在合同中有所明确。Scott表示，标准条款往往很少涉及与风险有关的许多重要方面。比方说，如果服务出现了危及财务数据的安全问题，按照美国州或联邦法律，提供商可能需要通知客户，否则会吃官司。Scott问道：那谁为此买单呢？”云服务洽谈非常像外包协议洽谈，在仔细阅读许可证条款时要想到另一方。公司应确保合同条文明确如果决定不继续使用服务、无力支付费用，或者提供商突然关门大吉时，如何要回数据。客户需要知道如何从服务提供商处获得数据；一旦可以访问数据，如何使用数据。服务级别协

46、议的复杂和限制服务级别协议相当于另一块拼图。如果服务停用时间占了当月的一定比例-按服务提供商响应客户的数据请求来衡量，那么大多数云服务提供商会退回一部分费用。凯捷咨询公司的IT产品营销全球主管WarrenRoss表示，如果谈妥的服务级别协议要求比较高，这意味着费用不菲，因为如果附以专门的服务级别协议，服务成本变得比较高。S等大多数提供商在服务级别协议中不包括计划停机，所以如果提供商告诉你这是计划停机，就拿不到退款。SaaS计费与测量新兴公司eVapt的首席执行官DivakarJandhyala表示，由于往往存在相当长的计划停机时间，所以服务级别协议的价值就打折扣了。尽管如此，服务级别协议变得更

47、过硬，有些情况下变得更复杂，就像当初Web托管服务进入主流那样。微软的Exchange托管过滤(ExchangeHostedFiltering)服务就有五种服务级别协议：分别针对正常运行时间、反垃圾邮件效果、反病毒效果、延迟和性能。微软为Exchange在线版和SharePoint在线版提供了多档次服务级别协议。最基本的是承诺99.9%可用性的服务级别协议；如果未达到这个要求，客户每个月可以拿到25%的返额。如果低于99%，客户可拿到50%的返额。要是出现严重停用或病毒爆发，客户可以拿到当月的全额退款。但是许多公司在洽谈服务级别协议时希望将来不用拿退款。如果一家零售商的网站在销售高峰期无法使用，拿到当月费用5%的退款又有什么用呢？云计算许可证的其他内容应当包括书面确认服务提供商会满足法规要求、保护知识财产。购买云服务的许可证比使用套装软件既简单，又复杂。云服务购买很方便，许多还附带标准的服务级别协议，提供了相当高的保护级别。但为了确保风险和责任的所有方面都兼顾到，就要随时运用那些洽谈技巧，还得备着律师的电话号码。提防被厂商锁定IT人士都很熟悉本公司被专有的编程语言、信息存储方式及其他技术牢牢束缚所带来的后果。如果存在开放标准，多少可以减少将来迁移成本高、难度大的可能性。但要是几乎没有标准目前的云计算就是这样，万一有必要换提供