解析NIST定義的云模型

據(jù)統(tǒng)計(jì)，當(dāng)前比較經(jīng)典的云計(jì)算定義超過50種。不同的專家、企業(yè)都從自己的角度對云計(jì)算的概念進(jìn)行了定義。其中得到比較認(rèn)可、比較權(quán)威的是美國國家標(biāo)準(zhǔn)技術(shù)研究所(NIST)的定義。

NIST對云計(jì)算的定義：云計(jì)算是一個模型，這個模型可以方便地按需訪問一個可配置的計(jì)算資源(例如網(wǎng)絡(luò)、服務(wù)器、存儲設(shè)備、應(yīng)用程序以及服務(wù))的公共集。這些資源可以被迅速提供并發(fā)布，同時最小化管理成本或服務(wù)提供商的干涉。云模型由五個基本特征、三個服務(wù)模型和四個發(fā)布模型組成。

那么該如何解析NIST定義的云模型呢?

首先讓我們了解一下云模型的基本特征。

--按需自助服務(wù)。視客戶需要，可以從每個服務(wù)提供商那里單方面地向客戶提供計(jì)算能力，譬如服務(wù)器時間和網(wǎng)絡(luò)存儲，而這些是自動進(jìn)行的無需干涉的。

--廣泛的網(wǎng)絡(luò)訪問。具有通過規(guī)范機(jī)制網(wǎng)絡(luò)訪問的能力，這種機(jī)制可以使用各種各樣的瘦和胖客戶端平臺(例如攜帶電話、筆記本電腦以及PDA)。

--資源共享。提供商提供的計(jì)算資源被集中起來通過一個多客戶共享模型來為多個客戶提供服務(wù)，并根據(jù)客戶的需求，動態(tài)地分配或再分配不同的物理和虛擬資源。有一個區(qū)域獨(dú)立的觀念，就是客戶通常不需要控制而需要知道被提供資源的確切位置，但是可能會在更高一層的抽象(例如國家、州或者數(shù)據(jù)中心)領(lǐng)域指定資源的位置。資源的例子包括存儲設(shè)備、數(shù)據(jù)加工、內(nèi)存、網(wǎng)絡(luò)帶寬和虛擬機(jī)等。

--快速的可伸縮性。具有快速、可伸縮性提供服務(wù)的能力。在一些場景中，所提供的服務(wù)可以自動、快速地橫向擴(kuò)展，在某種條件下迅速釋放以及快速橫向收縮。對于客戶來講，這種能力用于使所提供的服務(wù)看起來好像是無限的，并且可以在任何時間購買任何數(shù)量。

--可度量的服務(wù)。云系統(tǒng)通過一種可計(jì)量的能力杠桿在某些抽象層上自動地控制并優(yōu)化資源以達(dá)到某種服務(wù)類型(例如存儲、處理、帶寬以及活動用戶賬號)。資源的使用可以被監(jiān)視和控制，通過向供應(yīng)商和用戶提供這些被使用服務(wù)報告以達(dá)到透明化。

該云模型提供了三種服務(wù)模型。

一是軟件即服務(wù)(SaaS)。客戶使用的服務(wù)商提供的應(yīng)用程序運(yùn)行在云基礎(chǔ)設(shè)施上。這些應(yīng)用程序可以通過各種各樣的客戶端設(shè)備來訪問，例如基于WEB的電子郵件。客戶不管理或者控制底層的云基礎(chǔ)架構(gòu)，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)、存儲設(shè)備，甚至獨(dú)立的應(yīng)用程序機(jī)能，在可能異常的情況下，限制用戶可配置的應(yīng)用程序設(shè)置。

二是平臺即服務(wù)(PaaS)。客戶使用云供應(yīng)商支持的開發(fā)語言和工具，開發(fā)出應(yīng)用程序，發(fā)布到云基礎(chǔ)架構(gòu)上。客戶不管理或者控制底層的云基礎(chǔ)架構(gòu)，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)或者存儲設(shè)備，但是能控制發(fā)布應(yīng)用程序和可能的應(yīng)用程序運(yùn)行環(huán)境配置。

三是架構(gòu)即服務(wù)(IaaS)。向客戶提供處理、存儲、網(wǎng)絡(luò)以及其他基礎(chǔ)計(jì)算資源，客戶可以在上面運(yùn)行任意軟件，包括操作系統(tǒng)和應(yīng)用程序。用戶不管理或者控制底層的云基礎(chǔ)架構(gòu)，但是可以控制操作系統(tǒng)、存儲、發(fā)布應(yīng)用程序，以及可能限度的控制選擇的網(wǎng)絡(luò)組件(例如防火墻)。

該云模型的發(fā)布形態(tài)有幾種：私有云、社區(qū)云、公有云、混合云。

在云計(jì)算的具體實(shí)踐中，一般是從某幾個方面開始涉入，與具體的應(yīng)用結(jié)合，找到一條通過云計(jì)算技術(shù)來提升效率的成功之路。

我國在戰(zhàn)略上非常重視云計(jì)算的這一波浪潮，在國家多個部門的“十二五”規(guī)劃中，都把云計(jì)算提到了一個非常重要的位置，并在多個城市、多個企業(yè)開始了云計(jì)算的試點(diǎn)。在云計(jì)算的試點(diǎn)實(shí)踐中，如何有規(guī)劃、分步驟地開始云計(jì)算系統(tǒng)的建設(shè)，是一個重要問題。

云計(jì)算系統(tǒng)的安全保障

企業(yè)云計(jì)算系統(tǒng)的建設(shè)過程與安全保障

在國內(nèi)云計(jì)算系統(tǒng)的建設(shè)實(shí)踐中，比較典型的推進(jìn)方式是：從私有云開始，從IaaS服務(wù)開始，逐漸擴(kuò)展到云計(jì)算應(yīng)用的其他方面。

如左圖所示，某大型集團(tuán)企業(yè)的云計(jì)算系統(tǒng)規(guī)劃如下：

1.通過資源層的整合，將核心計(jì)算域的服務(wù)器資源整合成計(jì)算資源池，形成云計(jì)算數(shù)據(jù)中心，并通過引入服務(wù)器虛擬化技術(shù)來提高資源使用效率。

2.通過統(tǒng)一管理平臺，解決云計(jì)算數(shù)據(jù)中心的資源分配與管理，實(shí)現(xiàn)動態(tài)彈性部署和備份遷移管理。

3.開發(fā)云計(jì)算系統(tǒng)的用戶管理和用戶自服務(wù)界面，為集團(tuán)內(nèi)部各部門和各業(yè)務(wù)系統(tǒng)提供IaaS服務(wù)。

在私有云和IaaS服務(wù)的基礎(chǔ)上，擴(kuò)展到針對集團(tuán)內(nèi)部的PaaS/SaaS服務(wù)，再擴(kuò)展到對外提供服務(wù)。

在整個云計(jì)算系統(tǒng)的實(shí)施過程中，相應(yīng)的安全保障措施是對客戶提出的一項(xiàng)巨大挑戰(zhàn)。根據(jù)云計(jì)算系統(tǒng)的不同建設(shè)階段，提出了相應(yīng)的安全保障措施。

一是在計(jì)算資源整合與服務(wù)器虛擬化階段，安全保障的關(guān)鍵是解決服務(wù)器虛擬化所帶來的安全網(wǎng)關(guān)部署位置問題。

二是在統(tǒng)一管理平臺階段，安全保障的重點(diǎn)是解決虛擬服務(wù)器動態(tài)部署所帶來的安全功能伴隨遷移問題。

三是在用戶自服務(wù)接口開發(fā)階段，安全保障的重點(diǎn)是統(tǒng)一身份認(rèn)證系統(tǒng)的建設(shè)和運(yùn)維審計(jì)問題。

服務(wù)器虛擬化之后的安全設(shè)備部署

服務(wù)器虛擬化對安全網(wǎng)關(guān)設(shè)備的部署提出了新的要求。

一是針對傳統(tǒng)的安全設(shè)備，需要支持多實(shí)例(也稱為虛擬安全網(wǎng)關(guān))，每個實(shí)例支持獨(dú)立的安全引擎和安全管理配置界面，以支持云計(jì)算系統(tǒng)中的多個用戶使用。

二是在同一臺物理服務(wù)器內(nèi)部的不同虛擬化服務(wù)器之間的通信流量不經(jīng)過網(wǎng)絡(luò)，需要一種新形態(tài)的安全設(shè)備，部署在虛擬操作系統(tǒng)內(nèi)部，可以對虛擬服務(wù)器之間的訪問進(jìn)行控制。