【正文】 理機上獨立并行運行。 虛擬化架構(gòu)中最重要的部分就是如何將物理硬件與上層操作系統(tǒng)剝離，當前，一般通過兩類技術(shù)達到這一點：物理層虛擬化和邏輯層虛擬化。 VMware 是第一個（ 1998 年）將虛擬化技術(shù)引入 X86 平臺的廠商，目前在 X86 平臺的虛擬化市場上處于領(lǐng)先地位。 Xen 采用的是裸金屬架構(gòu)技術(shù) 微軟于 2020 年發(fā)布了自己的 Hypervisor—— HyperV，與前兩種不同的是 HyperV 采用的是寄居方式，因此只適用于 Windows 操作系統(tǒng)上。 網(wǎng)絡(luò) 虛擬化 云計算平臺 網(wǎng)絡(luò)資源共享之后，多種應(yīng)用將承載在同一張網(wǎng)絡(luò)上。 隨著云計算服務(wù)器部署采用虛擬化技術(shù)構(gòu)建后，傳統(tǒng)上的網(wǎng)絡(luò)架構(gòu)由于多層結(jié)構(gòu)、安全區(qū)域、安全等級、策略部署、路由控制、 VLAN劃分、二層環(huán)路、冗余設(shè)計等諸多因素，不但會導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，使得云 計算基礎(chǔ)網(wǎng)絡(luò)的運維管理難度較高，還無法適應(yīng)虛擬機多變的網(wǎng)絡(luò)要求 。 在虛擬化架構(gòu)上，將傳統(tǒng)網(wǎng)絡(luò)中離散的安全控制點整合進來，進一步強化并簡化了基礎(chǔ)網(wǎng)絡(luò)安全，交換機虛擬化技術(shù)將在云計算 平臺端到端總體設(shè)計中發(fā)揮重要作用。這里的安全部署模式要求實現(xiàn)兩類虛擬化技術(shù)： 多虛一：指網(wǎng)絡(luò)節(jié)點設(shè)備 上，能夠安裝多種類型的安全設(shè)備，這樣可以實現(xiàn)不同層次的安全防護 ，達到綜合安全保護的策略融合。各部分以存儲設(shè)備為核心，通過應(yīng)用軟件來對外提供數(shù)據(jù)存儲和業(yè)務(wù)訪問服務(wù)。 分布式非結(jié)構(gòu)化并行存儲系統(tǒng)是目前海量信息處理環(huán)境下下最為理想的存儲解決方案，它從架構(gòu)設(shè)計上很好的解決了存儲系統(tǒng)的容量擴展和性能擴展問題。在索引數(shù)據(jù)讀操作比例很高的環(huán)境中，配置加速集群用作分擔讀負載。一般文件，它的元數(shù)據(jù)存儲在索引服務(wù)器，而數(shù)據(jù)則分散存儲在不同的數(shù)據(jù)服務(wù)器上。 非結(jié)構(gòu)化并行存儲系統(tǒng)具備高可用和快速恢復(fù)能力。索引服務(wù)器分組使用的模式可以避免擴大了的系統(tǒng)帶來開銷的增長。 根據(jù)統(tǒng)計，典型政務(wù)應(yīng)用數(shù)據(jù)庫規(guī)?？梢苑譃閮深?，一種是 TB 級別的中大型企業(yè)級集群，一種是幾十至幾百 GB 級別的中小數(shù)據(jù)庫，前者更為強調(diào)性能和可靠性，后者更為強調(diào)靈活性和易管理性。 為了使數(shù)據(jù)庫的實現(xiàn)高可用，滿足高并發(fā)、高負載均衡的需求，數(shù)據(jù)庫節(jié)點采用數(shù)據(jù)庫集群搭建支持采用 Oracle 實時應(yīng)用集群（ Real Application Cluster，簡稱 RAC），能夠?qū)崿F(xiàn)多借點之間負載均衡，同時多個節(jié)點共享一套存儲系統(tǒng)，能有效防止數(shù)據(jù)庫單點故障；最后， Oracle RAC 的集群架構(gòu)具備動態(tài)添加數(shù)據(jù)庫節(jié)點 的功能，具有良好的擴展性。也可以按照業(yè)務(wù)需求搭建擴展 Oracle RAC 節(jié)點等，一切以業(yè)務(wù)實際需求量為主。微軟推出了 Microsoft SQL Azure 云數(shù)據(jù)庫； 2020 年，甲骨文宣布其數(shù)據(jù)庫等產(chǎn)品可以由客戶授權(quán)在云計算環(huán)境中執(zhí)行，率先支持的平臺為Amazon EC2，既有客戶無需額外付費即可在 EC2 上運行 Oracle Database 11g、 Oracle Fusion middleware 及 Oracle Enterprise Manager 等軟件； IBM 也不甘落后，在 EC2 平臺上提供包括 DBInformix Dynamic Server、 WebSphere Portal 等產(chǎn)品在內(nèi)的 IBM 產(chǎn)品；谷歌的 Bigtable 是一個管理結(jié)構(gòu)化數(shù)據(jù)的分布式存儲系統(tǒng)，其設(shè)計目的是為了擴展到非常大的數(shù)據(jù)存儲系統(tǒng)，通過數(shù)千臺服務(wù)器實現(xiàn) PB 級數(shù)據(jù)存儲； Salesforce 也推出了云數(shù)據(jù)庫服 ，據(jù)稱它是一個開放式數(shù)據(jù)庫，支持任何設(shè)備、平臺和應(yīng)用程序。 云數(shù)據(jù)庫服務(wù)簡化了數(shù)據(jù)庫的部署、規(guī)劃和使用，支持多種數(shù)據(jù)庫和訪問接口，降低企業(yè)級云數(shù)據(jù)庫的 TCO，增加業(yè)務(wù)響應(yīng)敏捷度。 云虛擬化管理平臺：管理基本的服務(wù)器分區(qū)，如多臺物理服務(wù)器構(gòu)成服務(wù)分區(qū)。實現(xiàn)云計算系統(tǒng)運營管理，輔助運營人員快速靈活的處理終端用戶的請求。 用戶管理：系統(tǒng)用戶分為管理員、終端用戶兩類；終端用戶又分為組織管理員與項目成員。 系統(tǒng)用戶的狀態(tài)分為注冊、登錄、退出、凍結(jié)、注銷 系統(tǒng)中運維管理、運營管理、終端用戶及各種資源視圖的邏輯關(guān)系如下圖 。但是，鑒于業(yè)務(wù)應(yīng)用的復(fù)雜性和關(guān)鍵性，遷移所涉及到的問題已經(jīng)遠超出了技術(shù)的本身的范疇。這個方案可以在云計算平臺的測試環(huán)境上進行驗證。 整個應(yīng)用遷移的流程圖如下圖所示： 對 現(xiàn) 有 的 應(yīng) 用 進 行 評 估 ， 選 出 本 次 遷 移 的 應(yīng) 用對 選 出 的 應(yīng) 用 做 進 一 步 的 分 析 ， 確 定 其 所 涉 及到 的 各 個 部 件 以 及 它 們 之 間 的 關(guān) 系 。分析完成后，物理機到虛擬機的遷移就可以有效提升資源利用率，免除了對新物理架構(gòu)的需求。本項目中的應(yīng)用都需要高 CPU 能量和大數(shù)據(jù)庫，需要在虛擬資源充足的條件下才能 轉(zhuǎn)入虛擬化環(huán)境。在高峰時段或者升級時分析計算需求，這些需求會影響性能和管理。 第三是 網(wǎng)絡(luò)和存儲虛擬化 。容量規(guī)劃和管理的首要問題就是存儲使用模式的分析。最初可以少遷移一些關(guān)鍵應(yīng)用和相關(guān)架構(gòu)。物理環(huán)境得留著，運行那些不能虛擬化的應(yīng)用和服務(wù)器。但是 在云環(huán)境中，所有的用戶 都需要對安全技術(shù)和風險擁有比之前非云計算的典型環(huán)境更廣泛的認識。通過本項目的實踐 ，我們總結(jié)出 在進行一個 應(yīng)用向 云計算 平臺遷移時，需要謹慎計劃，為實施 提供一個安全的、可衡量的方法 ，這樣更有助于成功的實施 項目 。對于第二層安全措施，有周期定制 /服務(wù)器級防火墻和入侵檢測 。 第五是注意安全問題。確保物理產(chǎn)品的環(huán)境已經(jīng)卸下，但不要完全退役。除了這些， 還得觀察自動化存儲管理，這樣做能讓存儲資源安排在多 用戶 或者空中架構(gòu)中，實現(xiàn)在不同應(yīng)用中共享存儲。針對分 離和孤立網(wǎng)絡(luò)，我們可以使用虛擬局域網(wǎng)配置，要把流量 分開，確保適合的帶寬利用率。如果有應(yīng)用在兩個數(shù)據(jù)庫運行，就得用中間件服務(wù)器或者運行多數(shù)據(jù)庫的 SQL 服務(wù)器。服務(wù)器需求一直存在變動，這樣使得特定的服務(wù)器有時會空閑。分類標準可以有很多，比如基于平臺，或是否需要中間件對應(yīng)用分類，同樣的基于數(shù)據(jù)庫來分類也可行。 第一是 分析物理環(huán)境。最后是對遷移的實施。整體而言，首先應(yīng)該 要 對當前各個應(yīng)用進行評估，根據(jù)各個應(yīng)用的特性選擇需要遷移的業(yè)務(wù)應(yīng)用。只有將應(yīng)用遷移到云計算平臺，才能更好地發(fā)揮云計算平臺的作用。組織管理員可以在系統(tǒng)中申請?zhí)摂M機、存儲等各種資源，并在組織內(nèi)部建立項目、創(chuàng)建項目成員并分配資源；項目成員有權(quán)限管理項目中的各種資源。 多 用戶 管理（組織管理）支持多用戶登陸，多個組 織（部門）都可以通過云平臺申請和使用資源，以虛擬數(shù)據(jù)中心的形式呈現(xiàn)。 云資源管理：為運營人員提供便捷的資源管理操作體驗。運維管理系統(tǒng)需具備如下關(guān)鍵技術(shù)特色：多 用戶 租賃、完善的自服務(wù)機制、可定制的資產(chǎn)類型、按需彈性計算、資產(chǎn)生命周期管理、全方位虛擬機管理、資源池化機制、混合資源管理、增強的安全保障機制。 2020 年，傳統(tǒng)存儲巨頭 EMC 聯(lián)合VMware 推出 Aurora 云數(shù)據(jù)庫解決方案，依托 VMware 穩(wěn)定、高可用、可擴展的資源池提供云數(shù)據(jù)庫服務(wù)，最新版本支持 Oracle。它倡導(dǎo)類似于自來水取用一般的服務(wù)機制，在理想狀態(tài)下，它 能夠支持無限的并發(fā)用戶，提供永不枯竭的數(shù)據(jù)應(yīng)用資源。 云計算平臺采用高端服務(wù)器搭建 Oracle RAC 數(shù)據(jù)庫系統(tǒng)，并通過高速網(wǎng)絡(luò)實現(xiàn)內(nèi)部互聯(lián)。 企業(yè)級數(shù)據(jù)庫 數(shù)據(jù)庫是大多數(shù)電子政務(wù)系統(tǒng)的基礎(chǔ)支撐。 采用上述技術(shù)，可以構(gòu)建可擴展、高可靠，有效處理海量元數(shù)據(jù)和數(shù)據(jù)的存儲系統(tǒng)。每一份元數(shù)據(jù)都有其副本數(shù)據(jù)，主從數(shù)據(jù)之間通過分布式日志系統(tǒng)保證它們之間的一致性。采用自適應(yīng)存儲技術(shù)，對于不同大小的文件，采用不同的大小、數(shù)據(jù)切分策略，甚至是數(shù)據(jù)和元數(shù)據(jù)統(tǒng)一存儲的策略，既保證大量小文件同時存取的效率，也能保證大文件對于帶寬的要求。對于較大的媒體文件，各存儲服務(wù)器可獨立輸出帶寬，從而可提供高達幾十GB/s 的聚合帶寬。 非結(jié)構(gòu)化并行存儲系統(tǒng)主要由索引服務(wù)器集群和存儲服務(wù)器集群組成，其軟件部件對應(yīng)用表現(xiàn)為一個文件系統(tǒng)，下圖給出了非結(jié)構(gòu)化并行存儲系統(tǒng)的架構(gòu)，它采用業(yè)界主流的控制路徑和數(shù)據(jù)路徑分離的設(shè)計理念。正因為分布式存儲具備這些特性，所以受到了大型系統(tǒng)客戶的認可，逐漸成為目前各個云計算系統(tǒng)平臺的主流存儲架構(gòu)。 海量云存儲 為保證高可用、高可靠和經(jīng)濟性，云計算平臺通常采用分布式存儲的方式來存儲數(shù)據(jù)，分布式存儲系統(tǒng)本身采用冗余存儲的方式來保證存儲數(shù)據(jù)的可靠性，即為同一份數(shù)據(jù)存儲多個副本。安全方案的部署通常采用獨立式的設(shè)備，這種方式存在單點故障、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、性能存在瓶頸等問題，因此，在匯聚層交換機上整合安全防護模塊成為主流的應(yīng)用技術(shù)，在這樣的技術(shù)架構(gòu)下，可以簡化 云平臺 安全設(shè)備的部署數(shù)量。多個盒式設(shè)備整合類似于一臺機架式設(shè)備，多臺框式設(shè)備的整合相當于增加了槽位，虛擬化整合后的設(shè)備組成了一個邏輯單元，在網(wǎng)絡(luò)中表現(xiàn)為一個網(wǎng)元節(jié) 點，管理簡單化、配置簡單化、可跨設(shè)備鏈路聚合，極大簡化網(wǎng)絡(luò)架構(gòu)，同時進一步增強冗余可靠性。交換機虛擬化技術(shù)可以將多個物理實體創(chuàng)建一個邏輯實體，實體可以是計算、存儲、網(wǎng)絡(luò)或應(yīng)用資源。不過，在三者之中， Xen 是開源技術(shù)，不論從開放性還是從性價比方面都遠遠高于 VMware 和 HyperV，受到了業(yè)界大多數(shù)廠商的支持，成為了事實標準。 Xen 是劍橋大學于 2020 年發(fā)布的一個開源的 Hypervisor，已被吸收到 Redhat、 SuSE、 Oracle VM 中。 近年來， X86架構(gòu)上的虛擬化技術(shù)逐漸成熟，涌現(xiàn)出不少技術(shù)和產(chǎn)品。無論實際采用了什么物理硬件組件，操作系統(tǒng)都將它們視為一組一致、標準化的硬件。嚴禁未授權(quán)將數(shù)據(jù)備份出系統(tǒng)； 技術(shù)路線 服務(wù)器虛擬化 服務(wù)器虛擬化技術(shù)是實現(xiàn)計算資源池化的重要手段。 當存儲過重要數(shù)據(jù)的介質(zhì)（如光盤、軟盤、磁帶等）報廢時應(yīng)由專人員進行物理性銷毀。 備份和恢復(fù) 對特殊重要的系統(tǒng)，采用 備份軟件實時備份數(shù)據(jù) 。這樣避免了運營商管理員全面掌握所有數(shù)據(jù)資源。采用安全的通信協(xié)議 HTTPS 與云的前置機進行交互，通過前置機與云系統(tǒng)通信來建立一條安全的傳輸通路。細粒度的保護通過定義誰可以在一天中什么時間訪問什么數(shù)據(jù)的細粒度政策，在數(shù)據(jù)的整個生命周期中對其保持控制。 （ 2）基于將基于多 用戶 的細粒度訪問控制策略 策略驅(qū)動式的數(shù)據(jù)訪問對于 用戶 數(shù)據(jù)的安全性有良好的保障。由于云 用戶 失去了對于物理機和存儲系統(tǒng)的控制和管理，所以數(shù)據(jù)訪問控制機制將有所調(diào)整。存儲是計算機中的數(shù)據(jù)可以說每天都在增加與此同時需要訪問這些數(shù)據(jù)的人數(shù)也在增長這樣無疑對數(shù)據(jù)的完整性的潛在需求也隨之而增長。各個“關(guān)口”把好了，數(shù)據(jù)本身再具有一些防御和修復(fù)手段，必然將對數(shù)據(jù)造成的損害降至最小。部署 SSL VPN 系統(tǒng)保證遠程數(shù)據(jù)傳輸?shù)臄?shù)據(jù)機密性。應(yīng)用維護端提供失敗登錄處理功能。 應(yīng)用安全 身份鑒別 虛擬服務(wù)器的客戶端維護端提供登錄控制模塊對登錄用戶進行身份標識和鑒別，有效防止身份冒用。 ● 非法主機網(wǎng)絡(luò)阻斷 對于探測到的非法主機，