【正文】 理機(jī)上獨(dú)立并行運(yùn)行。 虛擬化架構(gòu)中最重要的部分就是如何將物理硬件與上層操作系統(tǒng)剝離，當(dāng)前，一般通過(guò)兩類技術(shù)達(dá)到這一點(diǎn)：物理層虛擬化和邏輯層虛擬化。 VMware 是第一個(gè)（ 1998 年）將虛擬化技術(shù)引入 X86 平臺(tái)的廠商，目前在 X86 平臺(tái)的虛擬化市場(chǎng)上處于領(lǐng)先地位。 Xen 采用的是裸金屬架構(gòu)技術(shù) 微軟于 2020 年發(fā)布了自己的 Hypervisor—— HyperV，與前兩種不同的是 HyperV 采用的是寄居方式，因此只適用于 Windows 操作系統(tǒng)上。 網(wǎng)絡(luò) 虛擬化 云計(jì)算平臺(tái) 網(wǎng)絡(luò)資源共享之后，多種應(yīng)用將承載在同一張網(wǎng)絡(luò)上。 隨著云計(jì)算服務(wù)器部署采用虛擬化技術(shù)構(gòu)建后，傳統(tǒng)上的網(wǎng)絡(luò)架構(gòu)由于多層結(jié)構(gòu)、安全區(qū)域、安全等級(jí)、策略部署、路由控制、 VLAN劃分、二層環(huán)路、冗余設(shè)計(jì)等諸多因素，不但會(huì)導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，使得云 計(jì)算基礎(chǔ)網(wǎng)絡(luò)的運(yùn)維管理難度較高，還無(wú)法適應(yīng)虛擬機(jī)多變的網(wǎng)絡(luò)要求 。 在虛擬化架構(gòu)上，將傳統(tǒng)網(wǎng)絡(luò)中離散的安全控制點(diǎn)整合進(jìn)來(lái)，進(jìn)一步強(qiáng)化并簡(jiǎn)化了基礎(chǔ)網(wǎng)絡(luò)安全，交換機(jī)虛擬化技術(shù)將在云計(jì)算 平臺(tái)端到端總體設(shè)計(jì)中發(fā)揮重要作用。這里的安全部署模式要求實(shí)現(xiàn)兩類虛擬化技術(shù)： 多虛一：指網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備 上，能夠安裝多種類型的安全設(shè)備，這樣可以實(shí)現(xiàn)不同層次的安全防護(hù) ，達(dá)到綜合安全保護(hù)的策略融合。各部分以存儲(chǔ)設(shè)備為核心，通過(guò)應(yīng)用軟件來(lái)對(duì)外提供數(shù)據(jù)存儲(chǔ)和業(yè)務(wù)訪問(wèn)服務(wù)。 分布式非結(jié)構(gòu)化并行存儲(chǔ)系統(tǒng)是目前海量信息處理環(huán)境下下最為理想的存儲(chǔ)解決方案，它從架構(gòu)設(shè)計(jì)上很好的解決了存儲(chǔ)系統(tǒng)的容量擴(kuò)展和性能擴(kuò)展問(wèn)題。在索引數(shù)據(jù)讀操作比例很高的環(huán)境中，配置加速集群用作分擔(dān)讀負(fù)載。一般文件，它的元數(shù)據(jù)存儲(chǔ)在索引服務(wù)器，而數(shù)據(jù)則分散存儲(chǔ)在不同的數(shù)據(jù)服務(wù)器上。 非結(jié)構(gòu)化并行存儲(chǔ)系統(tǒng)具備高可用和快速恢復(fù)能力。索引服務(wù)器分組使用的模式可以避免擴(kuò)大了的系統(tǒng)帶來(lái)開銷的增長(zhǎng)。 根據(jù)統(tǒng)計(jì)，典型政務(wù)應(yīng)用數(shù)據(jù)庫(kù)規(guī)?？梢苑譃閮深?，一種是 TB 級(jí)別的中大型企業(yè)級(jí)集群，一種是幾十至幾百 GB 級(jí)別的中小數(shù)據(jù)庫(kù)，前者更為強(qiáng)調(diào)性能和可靠性，后者更為強(qiáng)調(diào)靈活性和易管理性。 為了使數(shù)據(jù)庫(kù)的實(shí)現(xiàn)高可用，滿足高并發(fā)、高負(fù)載均衡的需求，數(shù)據(jù)庫(kù)節(jié)點(diǎn)采用數(shù)據(jù)庫(kù)集群搭建支持采用 Oracle 實(shí)時(shí)應(yīng)用集群（ Real Application Cluster，簡(jiǎn)稱 RAC），能夠?qū)崿F(xiàn)多借點(diǎn)之間負(fù)載均衡，同時(shí)多個(gè)節(jié)點(diǎn)共享一套存儲(chǔ)系統(tǒng)，能有效防止數(shù)據(jù)庫(kù)單點(diǎn)故障；最后， Oracle RAC 的集群架構(gòu)具備動(dòng)態(tài)添加數(shù)據(jù)庫(kù)節(jié)點(diǎn) 的功能，具有良好的擴(kuò)展性。也可以按照業(yè)務(wù)需求搭建擴(kuò)展 Oracle RAC 節(jié)點(diǎn)等，一切以業(yè)務(wù)實(shí)際需求量為主。微軟推出了 Microsoft SQL Azure 云數(shù)據(jù)庫(kù)； 2020 年，甲骨文宣布其數(shù)據(jù)庫(kù)等產(chǎn)品可以由客戶授權(quán)在云計(jì)算環(huán)境中執(zhí)行，率先支持的平臺(tái)為Amazon EC2，既有客戶無(wú)需額外付費(fèi)即可在 EC2 上運(yùn)行 Oracle Database 11g、 Oracle Fusion middleware 及 Oracle Enterprise Manager 等軟件； IBM 也不甘落后，在 EC2 平臺(tái)上提供包括 DBInformix Dynamic Server、 WebSphere Portal 等產(chǎn)品在內(nèi)的 IBM 產(chǎn)品；谷歌的 Bigtable 是一個(gè)管理結(jié)構(gòu)化數(shù)據(jù)的分布式存儲(chǔ)系統(tǒng)，其設(shè)計(jì)目的是為了擴(kuò)展到非常大的數(shù)據(jù)存儲(chǔ)系統(tǒng)，通過(guò)數(shù)千臺(tái)服務(wù)器實(shí)現(xiàn) PB 級(jí)數(shù)據(jù)存儲(chǔ)； Salesforce 也推出了云數(shù)據(jù)庫(kù)服 ，據(jù)稱它是一個(gè)開放式數(shù)據(jù)庫(kù)，支持任何設(shè)備、平臺(tái)和應(yīng)用程序。 云數(shù)據(jù)庫(kù)服務(wù)簡(jiǎn)化了數(shù)據(jù)庫(kù)的部署、規(guī)劃和使用，支持多種數(shù)據(jù)庫(kù)和訪問(wèn)接口，降低企業(yè)級(jí)云數(shù)據(jù)庫(kù)的 TCO，增加業(yè)務(wù)響應(yīng)敏捷度。 云虛擬化管理平臺(tái)：管理基本的服務(wù)器分區(qū)，如多臺(tái)物理服務(wù)器構(gòu)成服務(wù)分區(qū)。實(shí)現(xiàn)云計(jì)算系統(tǒng)運(yùn)營(yíng)管理，輔助運(yùn)營(yíng)人員快速靈活的處理終端用戶的請(qǐng)求。 用戶管理：系統(tǒng)用戶分為管理員、終端用戶兩類；終端用戶又分為組織管理員與項(xiàng)目成員。 系統(tǒng)用戶的狀態(tài)分為注冊(cè)、登錄、退出、凍結(jié)、注銷 系統(tǒng)中運(yùn)維管理、運(yùn)營(yíng)管理、終端用戶及各種資源視圖的邏輯關(guān)系如下圖 。但是，鑒于業(yè)務(wù)應(yīng)用的復(fù)雜性和關(guān)鍵性，遷移所涉及到的問(wèn)題已經(jīng)遠(yuǎn)超出了技術(shù)的本身的范疇。這個(gè)方案可以在云計(jì)算平臺(tái)的測(cè)試環(huán)境上進(jìn)行驗(yàn)證。 整個(gè)應(yīng)用遷移的流程圖如下圖所示： 對(duì) 現(xiàn) 有 的 應(yīng) 用 進(jìn) 行 評(píng) 估 ， 選 出 本 次 遷 移 的 應(yīng) 用對(duì) 選 出 的 應(yīng) 用 做 進(jìn) 一 步 的 分 析 ， 確 定 其 所 涉 及到 的 各 個(gè) 部 件 以 及 它 們 之 間 的 關(guān) 系 。分析完成后，物理機(jī)到虛擬機(jī)的遷移就可以有效提升資源利用率，免除了對(duì)新物理架構(gòu)的需求。本項(xiàng)目中的應(yīng)用都需要高 CPU 能量和大數(shù)據(jù)庫(kù)，需要在虛擬資源充足的條件下才能 轉(zhuǎn)入虛擬化環(huán)境。在高峰時(shí)段或者升級(jí)時(shí)分析計(jì)算需求，這些需求會(huì)影響性能和管理。 第三是 網(wǎng)絡(luò)和存儲(chǔ)虛擬化 。容量規(guī)劃和管理的首要問(wèn)題就是存儲(chǔ)使用模式的分析。最初可以少遷移一些關(guān)鍵應(yīng)用和相關(guān)架構(gòu)。物理環(huán)境得留著，運(yùn)行那些不能虛擬化的應(yīng)用和服務(wù)器。但是 在云環(huán)境中，所有的用戶 都需要對(duì)安全技術(shù)和風(fēng)險(xiǎn)擁有比之前非云計(jì)算的典型環(huán)境更廣泛的認(rèn)識(shí)。通過(guò)本項(xiàng)目的實(shí)踐 ，我們總結(jié)出 在進(jìn)行一個(gè) 應(yīng)用向 云計(jì)算 平臺(tái)遷移時(shí)，需要謹(jǐn)慎計(jì)劃，為實(shí)施 提供一個(gè)安全的、可衡量的方法 ，這樣更有助于成功的實(shí)施 項(xiàng)目 。對(duì)于第二層安全措施，有周期定制 /服務(wù)器級(jí)防火墻和入侵檢測(cè) 。 第五是注意安全問(wèn)題。確保物理產(chǎn)品的環(huán)境已經(jīng)卸下，但不要完全退役。除了這些， 還得觀察自動(dòng)化存儲(chǔ)管理，這樣做能讓存儲(chǔ)資源安排在多 用戶 或者空中架構(gòu)中，實(shí)現(xiàn)在不同應(yīng)用中共享存儲(chǔ)。針對(duì)分 離和孤立網(wǎng)絡(luò)，我們可以使用虛擬局域網(wǎng)配置，要把流量 分開，確保適合的帶寬利用率。如果有應(yīng)用在兩個(gè)數(shù)據(jù)庫(kù)運(yùn)行，就得用中間件服務(wù)器或者運(yùn)行多數(shù)據(jù)庫(kù)的 SQL 服務(wù)器。服務(wù)器需求一直存在變動(dòng)，這樣使得特定的服務(wù)器有時(shí)會(huì)空閑。分類標(biāo)準(zhǔn)可以有很多，比如基于平臺(tái)，或是否需要中間件對(duì)應(yīng)用分類，同樣的基于數(shù)據(jù)庫(kù)來(lái)分類也可行。 第一是 分析物理環(huán)境。最后是對(duì)遷移的實(shí)施。整體而言，首先應(yīng)該 要 對(duì)當(dāng)前各個(gè)應(yīng)用進(jìn)行評(píng)估，根據(jù)各個(gè)應(yīng)用的特性選擇需要遷移的業(yè)務(wù)應(yīng)用。只有將應(yīng)用遷移到云計(jì)算平臺(tái)，才能更好地發(fā)揮云計(jì)算平臺(tái)的作用。組織管理員可以在系統(tǒng)中申請(qǐng)?zhí)摂M機(jī)、存儲(chǔ)等各種資源，并在組織內(nèi)部建立項(xiàng)目、創(chuàng)建項(xiàng)目成員并分配資源；項(xiàng)目成員有權(quán)限管理項(xiàng)目中的各種資源。 多 用戶 管理（組織管理）支持多用戶登陸，多個(gè)組 織（部門）都可以通過(guò)云平臺(tái)申請(qǐng)和使用資源，以虛擬數(shù)據(jù)中心的形式呈現(xiàn)。 云資源管理：為運(yùn)營(yíng)人員提供便捷的資源管理操作體驗(yàn)。運(yùn)維管理系統(tǒng)需具備如下關(guān)鍵技術(shù)特色：多 用戶 租賃、完善的自服務(wù)機(jī)制、可定制的資產(chǎn)類型、按需彈性計(jì)算、資產(chǎn)生命周期管理、全方位虛擬機(jī)管理、資源池化機(jī)制、混合資源管理、增強(qiáng)的安全保障機(jī)制。 2020 年，傳統(tǒng)存儲(chǔ)巨頭 EMC 聯(lián)合VMware 推出 Aurora 云數(shù)據(jù)庫(kù)解決方案，依托 VMware 穩(wěn)定、高可用、可擴(kuò)展的資源池提供云數(shù)據(jù)庫(kù)服務(wù)，最新版本支持 Oracle。它倡導(dǎo)類似于自來(lái)水取用一般的服務(wù)機(jī)制，在理想狀態(tài)下，它 能夠支持無(wú)限的并發(fā)用戶，提供永不枯竭的數(shù)據(jù)應(yīng)用資源。 云計(jì)算平臺(tái)采用高端服務(wù)器搭建 Oracle RAC 數(shù)據(jù)庫(kù)系統(tǒng)，并通過(guò)高速網(wǎng)絡(luò)實(shí)現(xiàn)內(nèi)部互聯(lián)。 企業(yè)級(jí)數(shù)據(jù)庫(kù) 數(shù)據(jù)庫(kù)是大多數(shù)電子政務(wù)系統(tǒng)的基礎(chǔ)支撐。 采用上述技術(shù)，可以構(gòu)建可擴(kuò)展、高可靠，有效處理海量元數(shù)據(jù)和數(shù)據(jù)的存儲(chǔ)系統(tǒng)。每一份元數(shù)據(jù)都有其副本數(shù)據(jù)，主從數(shù)據(jù)之間通過(guò)分布式日志系統(tǒng)保證它們之間的一致性。采用自適應(yīng)存儲(chǔ)技術(shù)，對(duì)于不同大小的文件，采用不同的大小、數(shù)據(jù)切分策略，甚至是數(shù)據(jù)和元數(shù)據(jù)統(tǒng)一存儲(chǔ)的策略，既保證大量小文件同時(shí)存取的效率，也能保證大文件對(duì)于帶寬的要求。對(duì)于較大的媒體文件，各存儲(chǔ)服務(wù)器可獨(dú)立輸出帶寬，從而可提供高達(dá)幾十GB/s 的聚合帶寬。 非結(jié)構(gòu)化并行存儲(chǔ)系統(tǒng)主要由索引服務(wù)器集群和存儲(chǔ)服務(wù)器集群組成，其軟件部件對(duì)應(yīng)用表現(xiàn)為一個(gè)文件系統(tǒng)，下圖給出了非結(jié)構(gòu)化并行存儲(chǔ)系統(tǒng)的架構(gòu)，它采用業(yè)界主流的控制路徑和數(shù)據(jù)路徑分離的設(shè)計(jì)理念。正因?yàn)榉植际酱鎯?chǔ)具備這些特性，所以受到了大型系統(tǒng)客戶的認(rèn)可，逐漸成為目前各個(gè)云計(jì)算系統(tǒng)平臺(tái)的主流存儲(chǔ)架構(gòu)。 海量云存儲(chǔ) 為保證高可用、高可靠和經(jīng)濟(jì)性，云計(jì)算平臺(tái)通常采用分布式存儲(chǔ)的方式來(lái)存儲(chǔ)數(shù)據(jù)，分布式存儲(chǔ)系統(tǒng)本身采用冗余存儲(chǔ)的方式來(lái)保證存儲(chǔ)數(shù)據(jù)的可靠性，即為同一份數(shù)據(jù)存儲(chǔ)多個(gè)副本。安全方案的部署通常采用獨(dú)立式的設(shè)備，這種方式存在單點(diǎn)故障、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、性能存在瓶頸等問(wèn)題，因此，在匯聚層交換機(jī)上整合安全防護(hù)模塊成為主流的應(yīng)用技術(shù)，在這樣的技術(shù)架構(gòu)下，可以簡(jiǎn)化 云平臺(tái) 安全設(shè)備的部署數(shù)量。多個(gè)盒式設(shè)備整合類似于一臺(tái)機(jī)架式設(shè)備，多臺(tái)框式設(shè)備的整合相當(dāng)于增加了槽位，虛擬化整合后的設(shè)備組成了一個(gè)邏輯單元，在網(wǎng)絡(luò)中表現(xiàn)為一個(gè)網(wǎng)元節(jié) 點(diǎn)，管理簡(jiǎn)單化、配置簡(jiǎn)單化、可跨設(shè)備鏈路聚合，極大簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)，同時(shí)進(jìn)一步增強(qiáng)冗余可靠性。交換機(jī)虛擬化技術(shù)可以將多個(gè)物理實(shí)體創(chuàng)建一個(gè)邏輯實(shí)體，實(shí)體可以是計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)或應(yīng)用資源。不過(guò)，在三者之中， Xen 是開源技術(shù)，不論從開放性還是從性價(jià)比方面都遠(yuǎn)遠(yuǎn)高于 VMware 和 HyperV，受到了業(yè)界大多數(shù)廠商的支持，成為了事實(shí)標(biāo)準(zhǔn)。 Xen 是劍橋大學(xué)于 2020 年發(fā)布的一個(gè)開源的 Hypervisor，已被吸收到 Redhat、 SuSE、 Oracle VM 中。 近年來(lái)， X86架構(gòu)上的虛擬化技術(shù)逐漸成熟，涌現(xiàn)出不少技術(shù)和產(chǎn)品。無(wú)論實(shí)際采用了什么物理硬件組件，操作系統(tǒng)都將它們視為一組一致、標(biāo)準(zhǔn)化的硬件。嚴(yán)禁未授權(quán)將數(shù)據(jù)備份出系統(tǒng)； 技術(shù)路線 服務(wù)器虛擬化 服務(wù)器虛擬化技術(shù)是實(shí)現(xiàn)計(jì)算資源池化的重要手段。 當(dāng)存儲(chǔ)過(guò)重要數(shù)據(jù)的介質(zhì)（如光盤、軟盤、磁帶等）報(bào)廢時(shí)應(yīng)由專人員進(jìn)行物理性銷毀。 備份和恢復(fù) 對(duì)特殊重要的系統(tǒng)，采用 備份軟件實(shí)時(shí)備份數(shù)據(jù) 。這樣避免了運(yùn)營(yíng)商管理員全面掌握所有數(shù)據(jù)資源。采用安全的通信協(xié)議 HTTPS 與云的前置機(jī)進(jìn)行交互，通過(guò)前置機(jī)與云系統(tǒng)通信來(lái)建立一條安全的傳輸通路。細(xì)粒度的保護(hù)通過(guò)定義誰(shuí)可以在一天中什么時(shí)間訪問(wèn)什么數(shù)據(jù)的細(xì)粒度政策，在數(shù)據(jù)的整個(gè)生命周期中對(duì)其保持控制。 （ 2）基于將基于多 用戶 的細(xì)粒度訪問(wèn)控制策略 策略驅(qū)動(dòng)式的數(shù)據(jù)訪問(wèn)對(duì)于 用戶 數(shù)據(jù)的安全性有良好的保障。由于云 用戶 失去了對(duì)于物理機(jī)和存儲(chǔ)系統(tǒng)的控制和管理，所以數(shù)據(jù)訪問(wèn)控制機(jī)制將有所調(diào)整。存儲(chǔ)是計(jì)算機(jī)中的數(shù)據(jù)可以說(shuō)每天都在增加與此同時(shí)需要訪問(wèn)這些數(shù)據(jù)的人數(shù)也在增長(zhǎng)這樣無(wú)疑對(duì)數(shù)據(jù)的完整性的潛在需求也隨之而增長(zhǎng)。各個(gè)“關(guān)口”把好了，數(shù)據(jù)本身再具有一些防御和修復(fù)手段，必然將對(duì)數(shù)據(jù)造成的損害降至最小。部署 SSL VPN 系統(tǒng)保證遠(yuǎn)程數(shù)據(jù)傳輸?shù)臄?shù)據(jù)機(jī)密性。應(yīng)用維護(hù)端提供失敗登錄處理功能。 應(yīng)用安全 身份鑒別 虛擬服務(wù)器的客戶端維護(hù)端提供登錄控制模塊對(duì)登錄用戶進(jìn)行身份標(biāo)識(shí)和鑒別，有效防止身份冒用。 ● 非法主機(jī)網(wǎng)絡(luò)阻斷 對(duì)于探測(cè)到的非法主機(jī)，