云计算=SaaS 网格计算 虚拟化

1、 HYPERLINK /wiki/kingdee/2081-cloud-computer-2 奉继承博士：云计算SaaS+网格计算+虚拟化 到底什么是云计算？ 在IT业界，对于“云计算”至少有超过20种的解释。维基百科的定义为“云计算（cloud computing），是这样一种计算方式，计算资源是动态易扩展而且虚拟化的，往往通过互联网提供。用户不需要了解云中基础设施的细节，不必具有相应的专业知识，也无需直接进行控制”。埃森哲（Accenture）咨询公司的定义“第三方提供商通过网络动态提供及配置IT功能（硬件、软件或服务）”。云计算的概念模型其实，云计算作为一种新技术，包含了多层含义：用户的

2、公共性：云计算所提供的服务对象，既有企业/政府/学术/个人等最终用户，也包括应用软件、中间件平台等“用户”，这是根据云计算提供不同层次的服务所决定的。设备的多样性：云计算所提供服务的设备也是多样的，既包括各种规模的服务器、主机、存储设备，也包括各种类型的终端设备，如计算机、智能手机、各种智能传感器、RFID设备等。商业模式的服务性：云计算是以服务的方式提供设备和应用的。这种服务特性体现在两个方面的特征：简化和标准的服务接口，按需计费的商业模式。提供方式的灵活性：云计算既可以作为一种共用设施，提供社会服务，即“公共云”，也可以作为企业信息化的集中计算平台来提供，即“私有云”。云计算的概念模型因此

3、，云计算的核心内涵包括： 计算服务化； 资源虚拟化； 管理智能化。云计算的技术体系要完全理解云计算的技术体系，或者其完整含义，我认为需要从三个方面说明。也就是说，云计算一点也不神秘，其实云计算就是软件即服务SaaS、网格计算、虚拟化三个概念的结合体。云计算的技术基础 云计算的虚拟化（Virtualization）虚拟化即基础设施的虚拟化（Virtualization），核心是传统已经成熟的集群技术和分区技术的结合。集群计算（Cluster Computing）是将多台服务器虚拟为一台服务器的技术，目的是提高计算能力和提升设备的容错、实现负载均衡。集群技术已经广泛应用于操作系统、数据库和中间件等

4、系统软件平台。而分区计算（Partition Computing）是大型主机和UNIX小型机上一种成熟的技术，就是将一台服务器虚拟为多台服务器，每个虚拟单元叫一个分区，各分区之间是相互隔离的，目的是提高资源利用率。只不过，现在低端的INTEL架构的PC服务器也支持虚拟化而已。云计算的虚拟化虚拟化目前还包括网络虚拟化（VPN）和存储虚拟化（SAN/NAS）等技术，与服务器虚拟化一起，构建为一个完整的计算资源虚拟化环境，在虚拟化管理系统的控制下，实现动态的可配置的智能系统。 网格计算（Grid Computing）云计算是网格计算（Grid Computing）的另一种表现形式，是相似技术的两种表

5、现形式。网格计算是一种计算能力提升的方式，其原理是依据并行计算理论，通过任务分解，将子任务分布式提交到其他服务器上运行，以获得更强大计算能力。应用场景：科学计算，天气预报，地震分析、地质勘探、石油勘探等；任务特色：重计算，弱流程，少交互；这种计算任务需要消耗大量的CPU计算，对网络流量不大，存储和硬盘访问量不大。计算模式：任务通过服务分解，分布式计算。因此，网格计算尽管在IBM等公司大力推动下，实际商业应用并不成功，主要在一些高校、科研机构等建设有这样的实验环境，因为这种计算场景并不普遍。而云计算就是解决商业应用环境下的计算资源的虚拟提供更强大计算能力和资源利用率。应用场景：企业管理，电子政务

6、，电子商务等；任务特色：弱计算，强流程，多交互；这种应用很难进行分解，频繁的人机交互，CPU消耗并不大，但存储和硬盘访问量很大，因此网络的访问流量也非常大。计算模式：资源的虚拟提供更强大的计算能力。云计算与网格计算网格计算的基础技术就是Web Services，通过任务分解为服务，这些服务可以在分布式的计算环境中，实现和设备无关的标准交互，并且通过服务的封装，可以实现并行的事务处理。云计算的平台技术，主要是依赖于SOA，而我们知道SOA的主要实现技术体系也就是Web Services，因此云计算和网格计算的核心技术基础是相似的。因此，云计算的商业用途将非常广泛，能够得到厂商和用户的大力支持。

7、云计算的服务化云计算的使用模式即服务化。所谓服务化，即服务消费者只需提供服务的请求，并提交服务的输入，而不关心服务的实现方法、技术和流程，而直接得到服务的结果。云计算的服务模式是将软件作为服务SaaS (Software as a Service)、将平台作为服务PaaS (Platform as a Service)和将基础设施作为服务IaaS (Infrastructure as a Service)等各种模式。云计算的服务化软件即服务Software-as-a-Service，简称SaaS，是随着互联网技术的发展和应用软件的成熟，而在21世纪开始兴起的一种完全创新的软件应用模式。著名的S

8、aaS供应商salesforce公司提出的SaaS 并运用于CRM行业，它是一种通过Internet提供软件的模式，SaaS供应商将应用软件统一部署在服务器上，客户可以根据自己实际需求，通过互联网向服务商定购所需的应用软件服务，按定购的服务多少和时间长短向服务商支付费用，并通过互联网获得服务商提供的服务。用户不用再购买软件，而改用向提供商租用基于Web的软件，来管理企业经营活动，且无需对软件进行维护，服务提供商会全权管理和维护软件，软件厂商在向客户提供互联网应用的同时，也提供软件的离线操作和本地数据存储，让用户随时随地都可以使用其定购的软件和服务。对于许多小型企业来说，SaaS是采用先进技术的

9、最好途径，它消除了企业购买、构建和维护基础设施和应用程序的需要。SaaS之中的软件“Software”本质上是指应用软件Application Software，严格上来说SaaS应该叫做AaaS（Application as a Service）或者BaaS（Business as a Service），这是因为SaaS出现的时候，系统软件和平台软件还不能也还没有作为服务来提供。平台即服务Platform -as-a-Service，简称PaaS，是云计算一种重要的服务模式，其核心是将计算环境和应用程序的运行平台作为一项服务进行提供。PaaS的实现方式是将中间件平台、及其组件和运行环境进行封

10、装。 例如，如果客户拥有Java应用程序，或者个性化的一个应用需要电子地图组件，传统上必须购买和配置服务器硬件和操作系统，以及应用服务器软件和电子地图组件等，还必须购买Oracle数据库等系统软件，才能提供一个综合的计算平台，其应用软件才能够运行。而现在，云计算就可以提供客户一个应用运行的平台，而客户无须关心平台的配置硬件环境和软件系统，只要部署到PaaS之中的平台实例或者电子地图的接口上（WebService）就可以按照租用的方式来运行系统了。基础设施即服务IaaS (Infrastructure as a Service)是将硬件资源进行虚拟化，在操作系统层面将计算基础设施（CPU/内存和

11、存储/操作系统）等以出租的方式在虚拟网络VPN下为客户提供服务的模式。 云计算的智能化云计算的虚拟化和动态管理本质上是系统的管理智能化，通过动态配置的资源管理、自动动态配置的自适应性和自我恢复能力，将云计算设计为智能系统。这些智能的自我管理特性表现为： 虚拟化设置：可以非常简化地在控制台配置虚拟化的计算资源； 资源动态配置：可以在运行期动态调整资源配置； 系统自动监测：自动监测系统运行的健康状况，对异常情况自动报警； 安全隔离：各虚拟资源之间进行安全的隔离，各个实例之间实现自治； 负载自动均衡：系统在虚拟设备之内实现多个资源之间的自动负载均衡； 资源管理决策支持：可以对云计算资源的适应状况进行

12、优化的管理决策，实现自优化； 自恢复：云计算的实例和虚拟化资源出现运行故障或者死锁，系统具备自我恢复功能。通过这些智能化的管理功能，云计算是一个自适应、自优化的智能系统。附录资料：不需要的可以自行删除 园区网络虚拟化无论规模如何或有什么安全需求，企业现在都能在单一物理网络上，受益于支持多个封闭用户组的虚拟化园区网络。综述随着对园区网络的需求日益复杂，可扩展解决方案也越来越需要将多个网络用户组进行逻辑分区。网络虚拟化提供了多个解决方案，能在保持现有园区设计的高可用性、可管理性、安全性和可扩展性优势的同时，实现服务和安全策略的集中。为达到出色效果，这些解决方案必须包括网络虚拟化的三个主要方面：访问

13、控制、路径隔离和服务边缘。通过实施这些解决方案，网络虚拟化即能与思科系统公司的服务导向网络架构(SONA)相结合，为迁移到智能化信息网络的企业创建一个强大的框架。SONA网络利用NAC和IEEE 802.1x协议提供身份识别服务，从而实现最优访问控制。在用户获准接入网络后，三个路径隔离解决方案GRE隧道、VRF-lite和MPLS VPN能在保留当前园区网设计优势的同时，在现有局域网上叠加分区机制，将网络划分为安全、虚拟的网络。这些解决方案解决了与分布部署服务和安全策略相关的问题。最后，共享服务和安全策略实施的集中化，大大减少了在园区网中维护不同群组的安全策略和服务所需的资本和运营开支。这种集

14、中化有助于在园区中实施一致的策略。挑战园区网络的设计建议一直缺乏一种对网络流量分区，以便为封闭用户组提供安全独立环境的方式（表1）。有许多因素都在推动对于创建封闭用户组的需要，包括： 企业中存在不同级别的访问权限：几乎每个企业都需要解决方案来为客户、厂商、合作伙伴以及园区局域网上的员工授予不同的访问级别。 法规遵从性：部分企业受法律或规定的要求，必须对较大的机构进行分区。例如，在金融公司中，银行业务必须与证券交易业务分开。 过大的企业需要简化网络：对于非常大型的园区网络，如机场、医院或大学来说，过去，为保证不同用户组或部门间的安全性，就必须构建和管理不同的物理网络，这种做法既昂贵又难以管理。

15、网络整合：在合并和收购时，通常需要迅速集成所收购公司的网络。 外包：随着外包和离岸外包的普及，子承包商必须证明各客户的信息间完全隔离。尤其当一家承包商服务于相互竞争的公司时，这尤为重要。 提供网络服务的企业：零售连锁公司为其他公司支持售货亭或为加油站提供互联网接入；同样，服务于多家航空公司和零售商的机场能使用单一网络来提供隔离服务和共享服务。 表1. 不同垂直行业中网络分区的应用示例垂直行业网络虚拟化应用示例制造业生产工厂(自动装置，生产环境自动化等)，管理，销售，视频监视。 金融业交易大厅，管理，合并。政府支持不同部门的共同建筑物和设施。在部分国家，法律要求这些部门采用不同网络。医疗总体趋势

16、是在进行治疗的同时提供宾馆式服务。须隔离医护人员、核磁共振成像(MRI)和其他技术设备、病人互联网接入，以及为病人提供的广播和电视等媒体服务。 商业智能楼宇：多企业园区不同部门共享部分资源。多个公司位于同一园区，其中不同建筑物分属不同部门，但全使用相同的核心和互联网接入机制。园区所有者管理建筑物自动化体系，覆盖所有建筑物。零售售货亭，分支机构中的公共无线局域网，RF识别，WLAN设备（例如，不支持任何WLAN安全特性的较早的WLAN条码阅读器）。教育学生、教授、管理人员和外部研究团队间需要隔离。此外，分布于多个建筑物的各院系可能需要访问各自的服务器区域。而某些资源（例如互联网、电子邮件和新闻）

17、可能需要共享或通过一个服务区访问。此外，建筑物自动化体系也必须分开。园区局域网的发展网络虚拟化允许多个用户组访问同一物理网络，但从逻辑上对它们进行一定程度的隔离，以便它们无法查看其他组这是多年来网络经理面临的挑战。在上世纪90年代，L2交换是园区局域网的标志性特征，虚拟局域网(VLAN)是在一个通用基础设施中将局域网划分为不同工作组的标准。此解决方案安全高效，但无法很好地扩展，而且随着园区局域网的发展，其管理也非易事。核心和分布层中L3交换的出现，在VLAN方式的基础上对可扩展性、性能和故障排除进行了优化。过去几年中，所构建的基于L3的园区网络已经证实，它们便于扩展、功能强大，具有高性能。但在

18、网络分区和封闭用户组方面，L3园区方式有着重大缺陷和限制。在此情况下，添加封闭用户组即意味着增加成本和复杂度。解决方案：网络虚拟化因此我们需要一个便于扩展的解决方案，来保持用户组完全隔离，实现服务和安全策略的集中，并保留园区网设计的高可用性、安全性和可扩展性优势。为支持此解决方案，网络设计必须高效地解决以下问题： 访问控制：确保能识别合法用户和设备，对其分类，并允许其接入获得访问授权的网络部分。 路径隔离：确保各用户或设备都能高效地分配到正确、安全的可用资源集即正确的VPN。 服务边缘：确保合法的用户和设备能访问相应的正确服务，并集中实施策略。 思科解决方案能通过几个方式实现网络虚拟化。虚拟化

19、技术使单一物理设备或资源能作为它自己的多个物理版本，在网络中共享。网络虚拟化是思科SONA框架的一个重要组件。思科SONA使用虚拟化技术来改进服务器和存储局域网（SAN）等网络资产的使用。例如，一个物理防火墙能配置为执行多个虚拟防火墙的功能，帮助企业优化资源和安全投资。其他虚拟化战略包括集中策略管理、负载均衡和动态分配等。虚拟化能提高灵活性和网络效率，降低资本和运营开支。访问控制：身份验证和接入层安全接入层安全对于保护园区局域网免遭外部威胁十分重要。通过在威胁进入园区前即采取防御措施的特性，能对思科网络虚拟化解决方案构成补充。IEEE 802.1X即是这样一种技术，它是端口安全的标准。802.

20、1X在用户及其相关的VPN间形成强大的连接，防止在未授权情况下访问禁止接入的资源。另一种补充技术是思科网络准入控制(NAC)。NAC的职责是在边缘防御威胁，在有害流量到达分布层或核心层前即将其删除。NAC有助于确保用户不会使园区基础设施遭受到任何病毒、蠕虫等威胁。路径隔离：L3 VPN为支持园区网络虚拟化，思科提供了三个非常适用于典型园区网络设计，并混合使用了L2和L3技术的解决方案： GRE隧道 VRF-lite MPLS VPN GRE隧道GRE隧道为在园区网络上创建封闭用户组提供了一种相当简单且高效的方法。GRE隧道非常适于作为托管“访客”接入的企业解决方案，使公司能为访客或来访者提供全

21、球互联网接入，而又能防止这些用户访问内部资源。在图1中，GRE隧道与Cisco VRF-lite特性共用，为访客接入创建了一个简单、易于管理的解决方案。图1. 结合使用GRE隧道和VRF-lite该解决方案的优势包括： 能跨越典型的多层园区网络（无需园区级VLAN）。 访客用户流量与其他公司局域网流量隔离。 所有访客流量的进入点位于中央位置，使安全性和服务质量(QoS)策略更易于管理。 甚至能通过广域网扩展到分支机构。 在将GRE隧道作为支持封闭用户组的解决方案时，需要注意的一个因素是隧道本身较难配置和管理，因此不建议解决方案部署超过两条隧道。此类网络虚拟化适用于需要星型拓扑的场合。VRF-l

22、iteVRF-lite是一个思科特性，通常称为多VRF客户边缘，通过使用单一路由设备支持多个虚拟路由器，来提供园区分区解决方案。VRF-lite是MPLS的轻量版本。利用VRF-lite，网络经理能灵活地为任意特定VPN使用任意IP地址空间，而无论它是否与其他VPN的地址空间重叠或冲突。这种灵活性在很多场合都非常实用。例如，当所收购公司的网络合并到一个共享局域网中，所收购的网络能作为独立VPN进入基础设施，几乎或完全不会干扰网络上的日常业务流程。VRF-lite能用作端到端解决方案，如图2所示，也能与另一解决方案共用来支持封闭用户组，这将在下一部分中讨论。总体来说，VRF-lite的可扩展性高

23、于GRE隧道，但它最适用于有四或五个分区的网络。每次添加用户组时，它都需要人工重配置，因此相当耗费劳力。图2. VRF作为端到端解决方案部署MPLS VPN另一种为封闭用户组进行园区网络分区的方法为基于MPLS的L3 VPN。和GRE隧道与VRF-lite一样，MPLS VPN提供了一种安全可靠的方式，在通用物理基础设施上进行网络逻辑分区。尽管电信运营商使用MPLS技术的时间已有几年，但因为局域网交换机上缺乏对MPLS的支持，它还未在企业网络中广泛部署。而不断改变的业务需求，以及相应的新产品面世，正帮助MPLS成为园区基础设施中的重要技术。随着Cisco Catalyst 6500系列提供了对

24、于MPLS VPN的支持，对许多大型企业来说，MPLS技术已拥有了廉宜价位。MPLS VPN具有本文中讨论的其他解决方案的所有优势（参见图3）。此外，任何MPLS VPN都能通过配置，连接至用户和位于网络中任意地点的资源，而不会影响性能或网络设计。相应地，MPLS VPN也是三个思科网络基础设施虚拟化解决方案中可扩展性最高的。当添加或改动用户组时，无需人工重配置，这提高了可扩展性，降低了运营开支。当在网络边缘使用VLAN，在园区的路由部分使用L3 VPN时，保留了层次化园区网部署的所有优势，同时该解决方案还能在园区局域网中实现端到端、可扩展分区，并支持集中的安全特性和服务。和VRF-lite一样，网络定址灵活性也是MPLS VPN的另一优势。图3. MPLS VPN支持任意到任意连接统一接入提供灵活性这三个思科园区网虚拟化解决方案并不限制用户使用任何特定的接入类型。尽管他们在单一物理网络基础设施中工作，但这些解决方案能轻松地支持移动用户。无论使用的解决方案是基于GRE隧道、VRF-lite还是MPLS VPN，用户只要能接入网络，就能透明地与其所属的封闭用户组相关联。虚拟化服务虚拟化网络服务是思科网络基础设施