最全云计算平台设计方案

#/60限制对正在运行vCenter的主机的管理访问。vCenter自身应该运行在一个专门为此目的准备的独立管理帐户下管理网络和生产网络应该相互隔离以限制可能造成对管理功能未经授权访问的风险。如果授权管理访问权限，应该适用最低权限原则。>管理访问权限应该尽可能与个人责任联系在一起。应该限制对根用户等共享管理帐户的访问，同时还应严格限制“su”等工具。>基于角色的访问控制（RBAC）提供了一种将管理功能分为多个单独角色的方法，授权用户可以根据需要调用角色。对于VMwarevCenter，它的CustomRoles功能提供了一种根据角色定义和分离管理权限的内置方法。环境监控非常重要，尤其是监控管理访问和操作，包括授权和未经授权的访问与操作。公司应该在计划部署事件管理工具时深入了解虚拟化风险。这包括监控对虚拟机映像存储资源的访问。在此，基于RBAC的角色分离应该有助于确保那些具有管理访问权限的用户不能同时具有篡改管理操作证据的能力。虚拟化数据中心安全架构OSME毎申规盂誉銮按以滉息•具一悵可行信掏时统汇统既进度世同K的系建铝化咸噬拟化的至全釁珞氏全啞制应当民富拟化基础架冏核心幵皓’冽如將蛆化主机"塩拟佬软件OSME毎申规盂誉銮按以滉息•具一悵可行信掏时统汇统既进度世同K的系建铝化咸噬拟化的至全釁珞氏全啞制应当民富拟化基础架冏核心幵皓’冽如將蛆化主机"塩拟佬软件哽件和虎拟化平台的整甘监控确据计算平台环逼的安至可靠图-虚拟化数据中心安全参考架构在虚拟化数据中心安全设计当中，由于相比于传统的安全管理环境增加了虚拟化层，并且由于虚拟化漂移技术的出现，和动态资源变更的需求特点，必须要考虑更多的原则，来确保整体的虚拟化数据中心安全。硬件和虚拟化平台的整合监控：对基础架构的安全监控不仅仅需要针对物理设备，且需要对虚拟化资源进行监控，如虚拟化系统文件，虚拟化网络设备，虚拟化计算资源池等，做到确保计算平台环境的安全。从虚拟架构层开始：在虚拟化环境当中，存在虚拟化宿主服务器，用户可能采用多种虚拟化技术来进行虚拟化的实现，安全监控应当能够深入到虚拟化架构中，对虚拟化技术产品进行监控，如虚拟化环境下的攻击可能并不发生在从某一物理端口到另一端口，而是在虚拟化服务平台上，同一台物理服务器内部的两个虚拟机之间。逻辑化安全策略：在虚拟化环境中，虚拟化服务器，虚拟化网络端口都可能随着资源的动态变化进行资源池内的漂移，安全策略不能绑定或固定在某一个物理的资源上，必须能够跟随虚拟资源进行动态变化。统一汇报和深度挖掘：在虚拟化环境中，资源的复杂度相比物理环境下层次更多，互相之间的联系也更加复杂，且动态变化，虚拟化环境下的安全管理系统应当能够从众多联系之中，众多安全事件的联系之中，给出联合的汇报，并可以对具体的事件进行细化分析，深度挖掘，帮助管理员迅速找到安全问题。虚拟化数据中心安全组成安全解决方案包括信息安全领域通用的安全措施，同时针对虚拟化的引入，应当具有特别针对虚拟化提出了相应的解决手段，主要包括五部分内容：硬件平台加固对虚拟化总线和管理层进行加固，同时遵循虚拟化技术厂家，互联网安全中心（CIS）和信息系统防御组织（DISA）的标准。虚拟化增加了新的总线Hypervisor层（也可以被看做是虚拟机管理器层），在这一层，总线层对虚拟资源进行分配和调度等工作；同时虚拟化架构还包括虚拟网络和虚拟交换机。所有的这些组件，在传统的数据中心都是由物理机构成的。虚拟化技术同时还引入了新的管理层，负责对虚拟架构的管理。所以为了减少未授权访问的风险，Hypervisor层和管理层必须被“加固”。系统加固帮助减少了系统的安全脆弱性，通过一系列的措施，例如为虚拟架构平台配置安全的设置，应用最新的补丁包。虚拟化服务器对于它的虚拟化架构安全提供了一系列的加固方法，自动化的工具大大的降低了管理工作的负担。可以帮助每个系统确保配置成符合行业标准的系统，并且可以定制化配置特性，同时提供了系统变更的监控和管理。配置和变更管理对于虚拟化系统的配置和变更管理，对于保证IT系统的准确性和灵活性有重要的作用。虚拟环境的访问控制规则安全认证用来增强强壮的，多重的管理员身份认证，使得认证用户在访问虚拟化服务器管理终端的时候是可信的。虚拟环境中的网络安全和网络隔离充分利用虚拟化软件提供的功能（虚拟交换机，虚拟防火墙）妥善段虚拟机和虚拟网络。日志审计为客户提供了虚拟化平台原始的日志审计，并且可以对特定事件进行告警。并且，安全管理平台可以配置成对特定的异常和怀疑的行为进行告警，例如当有新的机器进入到虚拟的数据中心等等。2.1.7虚拟化数据中心容灾数据中心容灾的挑战近年来，很多企业都在面临一大难题，即：如何对他们的基础设施、技术和网络进行灾难备份与恢复，以保证其业务连续性。一个高性价比的容灾解决方案可以帮助企业以一定的IT投入获得最大的产出，同时很好地保护企业的业务免于灾难事件的影响。在多年以前的主机时代，很多企业选择建设第二数据中心，以此来平衡生产中心的工作量，并对企业的备份能力进行测试和改进，从而满足业务运营的要求并提供灾难恢复保障。随着时代的变迁，数据中心的工作量不断膨胀，对第二数据中心的管理和协调也越来越困难。为满足由于业务增长而急剧增加的数据量对数据中心的要求，更大、更复杂的数据中心环境开始出现。除此之外，众多分布式技术平台和安装在各种层面上的系统软件不断出现，而网络技术的发展也使得“随时随地任意互联”成为可能。很多企业开始认识到技术已经越来越难以维护和管理，这不仅增加了维持灾难恢复能力的复杂性，也导致了管理一个完全冗余的第二数据中心无法实现，特别是考虑到对财务、运营和技术方面的整体影响。为了帮助解决这些问题,IT服务提供商引进了多企业共享灾难恢复设施的概念——建设一个配备各种必需技术的综合基础设施，它可以被虚拟地划分为任意大小并进行相应的配置。这一“热站”概念为客户的个性化需求提供了一个资源池，并且全部都由第三方供应商在异地管理，因此可以远离企业的生产中心。这第一次证明了虚拟化灾难恢复策略的可实现性。数据中心容灾中的虚拟化从整体上看，虚拟化方法的主要好处是可以通过整合来实现规模效应。大量的服务器、存储和网络集中在一个资源池中管理，并可以按需配置。从灾难恢复的角度来看，当灾难发生时，资源池可以配置更多的容量和网络接入来帮助恢复主要生产环境。虚拟化方法有其独特的吸引力，但还需要考虑很多潜在的因素。在虚拟化技术下，服务提供商可以在个性化需求的基础上为企业提供约定的资源。为实现对硬件的最大化利用，单一物理设备将被虚拟化为多个分区，从而实现对多个环境进行恢复。同时，这种方式也允许企业只购买其需要的资源。随着时间的推移，对分布式处理恢复的更大需求越来越明显和必要。企业开始认识到利用软件去装备虚拟机器的技术，这种技术可以在恢复场地的独立硬件设备上进行恢复，同时使得明确和描述恢复过程变得更加容易——只需明确定义备份，以及严格遵守硬件的具体要求即可。假设容量、存储和界面足够充分可以为每个个体提供相等或更多吞吐量，就可以实现大量的虚拟机器恢复到一个物理点上。数据容灾的等级和技术容灾备份是通过在异地建立和维护一个备份存储系统，利用地理上的分离来保证系统和数据对灾难性事件的抵御能力。根据容灾系统对灾难的抵抗程度，可分为数据容灾和应用容灾。数据容灾是指建立一个异地的数据系统，该系统是对本地系统关键应用数据实时复制。当出现灾难时，可由异地系统迅速接替本地系统而保证业务的连续性。应用容灾比数据容灾层次更高，即在异地建立一套完整的、与本地数据系统相当的备份应用系统（可以同本地应用系统互为备份，也可与本地应用系统共同工作）。在灾难出现后，远程应用系统迅速接管或承担本地应用系统的业务运行。设计一个容灾备份系统，需要考虑多方面的因素，如备份/恢复数据量大小、应用数据中心和备援数据中心之间的距离和数据传输方式、灾难发生时所要求的恢复速度、备援中心的管理及投入资金等。根据这些因素和不同的应用场合，通常可将容灾备份分为四个等级。第0级:没有备援中心这一级容灾备份，实际上没有灾难恢复能力，它只在本地进行数据备份，并且被备份的数据只在本地保存，没有送往异地。第1级:本地磁带备份，异地保存在本地将关键数据备份，然后送到异地保存。灾难发生后，按预定数据恢复程序恢复系统和数据。这种方案成本低、易于配置。但当数据量增大时，存在存储介质难管理的问题，并且当灾难发生时存在大量数据难以及时恢复的问题。为了解决此问题，灾难发生时，先恢复关键数据，后恢复非关键数据。第2级:热备份站点备份在异地建立一个热备份点，通过网络进行数据备份。也就是通过网络以同步或异步方式，把主站点的数据备份到备份站点，备份站点一般只备份数据，不承担业务。当出现灾难时，备份站点接替主站点的业务，从而维护业务运行的连续性。第3级:活动备援中心在相隔较远的地方分别建立两个数据中心，它们都处于工作状态，并进行相互数据备份。当某个数据中心发生灾难时，另一个数据中心接替其工作任务。这种级别的备份根据实际要求禾仃殳入资金的多少,又可分为两种:①两个数据中心之间只限于关键数据的相互备份;②两个数据中心之间互为镜像，即零数据丢失等。零数据丢失是目前要求最高的一种容灾备份方式，它要求不管什么灾难发生，系统都能保证数据的安全。所以，它需要配置复杂的管理软件和专用的硬件设备，需要殳资相对而言是最大的，但恢复速度也是最快的。虚拟化灾难恢复策略的要点在使用虚拟化灾难恢复策略时需要考虑以下要点：恢复容量制定虚拟化灾难恢复策略的时候很重要的一点是考虑容量。企业通常会认为恢复时容量利用率不会超过100%.事实上，由于恢复的启动阶段会将系统推向极致，所需容量可能会超过生产容量。此外，恢复过程中有大量的跟进工作，这些工作也需要容量。配套资源恢复能力虽然是需要考虑的重点，但其它各种支持生产环境的要素也要考虑在内。这些要素包括处理器资源（存储、设备界面等）、磁盘资源（存储阵列、存储场地网络SANs、磁盘簇等）、外围设备（控制单元、终端、刀片等）、基础设施（外部交换机）和网络连通性（交换机、资源独立、网络冗余和可测量性避免灾难恢复失败的一个重点是确保虚拟化资源保持独立，而不需要依赖主生产环境。网络冗余是指不仅为内部用户，还必须为外部用户（如客户、业务伙伴、供应商等）提供接入。可测量性则是处理灾难恢复和生产运营的工作量峰值所必需的。恢复计划测试制定虚拟化灾难恢复策略非常重要的一点是考虑对计划的有效测试。测试应在系统层面上全面进行，以有效地了解特定时间段内工作量对虚拟化资源的要求，同时验证业务的完整性和基础设施的有效性。虽然局部的功能测试更容易安排，但却无法保证测试结果的真实性，因此会导致测试的效果大打折扣。重设工作量计划不论是真实情况下还是演练过程中，恢复时都应该制定详细的计划来管理整个过程中不断变化的工作量。该计划应该包括一份高层认可的正式时间表，一份恢复时资源分配的备选工作计划，一个对偏移工作量的日常备份流程，以及一份在备用场地复原这些工作的经过测试的恢复计划。灾难恢复风险控制在制定虚拟化灾难恢复策略时应考虑到给业务带来的风险。由于虚拟化的固有弱点，距离可能会受到限制，但地理的多样性必须被考虑在内。恢复场所应该与企业已有的风险规避策略所明确的风险承受能力相符，而不应该是满足技术要求的结果。清晰明确的工作量在确定构成虚拟池的具体资源之前，很重要的一点是要了解灾难恢复的工作量。明确业务的优先次序和临界点，制定出与处理流程、应用的集成和相互依赖性、以及IT支持模块相关的详细计划，从而保证虚拟化环境的可恢复性。保持完整性的规则包括问题、变更、事件、配置和资产管理在内的严格的系统管理规则是实施任何新的虚拟化灾难恢复策略的前提。这对保持恢复环境的完整性是至关重要的，同时对虚拟化资源池的最终操作、监控和维护的有效性也是至关重要的。业务和IT报告对灾难恢复项目进程的跟踪、状态的传递和结果的报告是所有灾难恢复项目的重要输出，对于判断IT功能虚拟化所进行的大量投入的效果是非常重要的。2.1.8应用部署参考标准并非所有的应用都可以迁移到虚拟化环境，但是应当尽可能的迁移到虚拟化环境中。当虚拟环境下进行应用进行部署时会存在两种情况：＞从物理环境迁移到虚拟化环境＞在虚拟化环境下直接部署新的应用在虚拟环境下进行应用部署时应当遵循以下的原则：＞战略制定设计应用虚拟化战略，获得最终的架构图，以降低整体部署的复杂度并确保得到最优的价值。＞单一目的服务器使用单一目的的服务器来简化管理，并且能够提供更优的独立性、降低应用冲突和提升资源利用率。＞Active-Active将关键业务应用复杂部署到多个服务器上，并实现共同服务，以分散风险，避免当系统出现故障时的意外业务停止。＞备份维护基于快照的备份，提供更加可靠和稳固的恢复能力。＞可迁移采用基于SAN启动的服务器，确保应用系统可以随时迁移到不同的物理服务器上，避免单一服务器故障点。＞安全维护正确的访问控制列表，采用可靠的认真技术，如果需要的话，应当采用数据加密技术对应用产生的敏感性数据进行加密。＞标准化配置采用标准化的LUN，系统配置等，让部署更加快速。＞将SWAP空间存方攵在非虚拟磁盘上。在虚拟化环境下部署应用不存在标准流程，但是通过上述的原则可以获得部署的指导。无论应用时从物理服务器上迁移还是全新建立，一定要理解应用的特性并且准备针对性的部署方案。2.2云计算服务门户2.2.1云服务门户在新的服务模式中，IT是业务部门的服务提供者，这样既实现了云计算的优势，又不会牺牲安全性和控制力。用户将体验到前所未有的响应速度和灵活性，而IT部门则通过更高程度的整合、任务自动化和简化管理而得以降低成本。＞用户只需点击一下按钮即可部署预先配置好或已定制的服务，即可提高业务灵活性。＞禾U用基于策略的用户控制技术和安全技术，可以保持多租户环境的安全性和可控性。＞以虚拟数据中心的形式向内部组织高效地提供资源以提高整合率并简化管理；可以降低成本。＞以渐进方式实现云计算一利用现有投资和开放标准，以保证云之间的互操作性和应用程序可移植性云计算服务云计算服务门户与底层虚拟化平台协同工作，可以将基础架构作为服务提供给终端用户来使用，即IaaS，包括了对IaaS使用流程的管理，资源生命周期的管理以及所提供的服务内容的管理。IaaS服务采用自服务的方式，服务的生命周期如下图：r>通用谥廊;也；*鶴日章席坏』（如■务■傘位射建IaaS服务采用自服务的方式，服务的生命周期如下图：r>通用谥廊;也；*鶴日章席坏』（如■务■傘位射建Kt£LJW町剛的痕券JK^'I'Wf和MttIaaS服务生命周期主要分成以下几个阶段：＞服务模板定义主要指准备云计算环境，将各种合适的资源纳入到云计算资源池，准备标准的计算能力。＞创建服务目录主要指将计算资源标准化，按照服务的方式进行提供。服务目录中的资源可以为服务器、可以为单个的CPU或内存、可以为存储容量、可以为应用软件、可以为特定执行程序，服务目录是一个云计算环境可用计算资源的集中体现。＞服务订阅主要是指云服务消费者申请云计算能力和服务，或者更改某个已有的服务申请。云计算环境越是庞大、其服务管理就越是要求准确和严格。如果出现计划服务的时间无法获得所需的计算资源，就会影响相关服务申请的服务水平，从而给使用部门，即云服务消费者，带来业务上的损失。＞服务运行服务运行首先意味着服务的供应，通过自动化的供应平台使消费者在指定的时间获得云计算资源；其次意味着服务的管理，需要确保云计算服务的质量，包括计算性能和可靠性。这些都是云计算服务中需要关注的部分。＞服务终止当消费者不再需要服务时，服务会被终止，资源会被回收。资源可以重新放回资源池以重新利用。IaaS的生命周期围绕着业务需求将计算资源得以最大限度地使用，所以IaaS服务部件需要计算资源，也同样需要对其生命周期进行管理的平台。云计算服务管理平台可以涵盖云计算服务提供所需的各个环节，通常包括：服务申请和流程管理服务交付和回收，自动供应平台■资源使用统计和计费■服务质量监控■其它的支撑服务，包括安全性等在整个服务的生命周期包括两类参与角色，终端用户即服务订阅者，云平台运营管理用户，包括云计算平台管理员，服务目录管理者和服务水平管理员。用户申请资源IaaS时，可以指定需要使用的资源的起始/结束日期。申请资源在需要使用的日期之前，不会占用云计算中心的实际资源。在使用日期之前，云计算服务门户平台会自动在有合适的可用资源的资源池中，自动部署所需要的虚拟服务器（主机名、IP地址、CPU、内存、存储空间）及应用。云计算基础架构以虚拟数据中心的形式为内/外部组织提供资源。通过以逻辑方式将计算、存储和网络容量组合成虚拟数据中心资源池，可以利用在计算中心服务的交付和提供

环节之间的完全抽象化，更高效地管理资源。不再是为组织提供孤立的多个物理基础架构，而是基于公用物理基础架构提供相互隔离的虚拟数据中心。通过将这些后端物理资源创建为资源池，硬件利用率和整合率都获得了提高。类似地，底层基础架构也可以聚合到不同的层中，以不同的服务级别和价格向用户提供。订问拉散用户云齡访问就粗卓：日轡可生署黄迢用戶云至更网学尹却网宰世”DCs比vDCs甜”DC高。类似地，底层基础架构也可以聚合到不同的层中，以不同的服务级别和价格向用户提供。订问拉散用户云齡访问就粗卓：日轡可生署黄迢用戶云至更网学尹却网宰世”DCs比vDCs甜”DC提供B*9£：ffiar衍|i£3h也-二W」」vAddNe:work—”允许用户以自助方式访问自己的虚拟数据中心云计算服务门户改变了组织使用云计算服务的方式。不必再填写服务台申请单并排队等待，现在，应用程序和业务线所有者可以利用自助门户来访问自己的虚拟数据中心。云计算服务门户使用户能够通过一个Web门户和编程接口，将这些资源作为一项目录服务来使用。IT团队可以针对同一基础架构定义多种使用模式，从按需提供容量到保留池不等。通过与有助于推动责任管理并实现精确使用量监控的计费软件集成，可以以适当的成本模型提供这些资源。最终，IT组织可利用基于现有LDAP（轻型目录访问协议）目录服务实现的角色访问控制机制，通过权限、