【正文】 分配。具體的方式是，將多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行整合 (稱(chēng)為橫向整合 )，虛擬化成一臺(tái)邏輯設(shè)備，提升 云計(jì)算平臺(tái) 網(wǎng)絡(luò)可用性、節(jié)點(diǎn)性能的同時(shí)將極大簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)。 面向海量非結(jié)構(gòu)化數(shù)據(jù)的存儲(chǔ)系統(tǒng)需要具有以下特點(diǎn)： 并行存儲(chǔ)系統(tǒng)中存儲(chǔ)虛擬化，能夠支持無(wú)縫的海量擴(kuò)展； 并行存儲(chǔ)系統(tǒng)的性能擴(kuò)展能夠隨著容量的擴(kuò)展而擴(kuò)展； 并行存儲(chǔ)中數(shù)據(jù)保護(hù)技術(shù)保障用戶(hù)數(shù)據(jù)的安全； 非結(jié)構(gòu)化并行存儲(chǔ)的可靠性和安全性。平時(shí)只有主副本數(shù)據(jù)提供訪(fǎng)問(wèn)，當(dāng)主副本數(shù)據(jù)所在節(jié)點(diǎn)失效后，訪(fǎng)問(wèn)自動(dòng)切換到從副本數(shù)據(jù)上。 目前，云數(shù)據(jù)庫(kù)市場(chǎng)蓬勃發(fā)展，涌現(xiàn)出諸多主流廠商。 組織內(nèi)部可進(jìn)行自維護(hù)，可以劃分多個(gè)項(xiàng)目，每個(gè)項(xiàng)目可申請(qǐng)?zhí)摂M機(jī)和分配用戶(hù)；組織之間可實(shí)現(xiàn)安全隔離。如果遷移失敗，則需根據(jù)回滾計(jì)劃進(jìn)行回滾，并對(duì)失敗原因進(jìn)行分析。整合好架構(gòu)之后，要對(duì)環(huán)境進(jìn)行測(cè)試，避免任何網(wǎng)絡(luò)和存儲(chǔ)故障，這一步完成后就可以開(kāi)始虛擬化。安全性是最受到普遍關(guān)注的問(wèn)題， 在傳統(tǒng)IT 環(huán)境中，安全性問(wèn)題可以方便地通過(guò)隔離措施予以解決。一旦發(fā)生任何意外，物理產(chǎn)品環(huán) 境可以再次利用。在這樣的情況下，應(yīng)該實(shí)現(xiàn)整體分析，包括使用模式，確定一下計(jì)算容量，然后才可以執(zhí)行物理機(jī)到虛擬機(jī)的遷移。然后，應(yīng)該仔細(xì)分析選出的應(yīng)用，并制定一個(gè)適合于該應(yīng)用遷移的大致方案。對(duì)不同的虛擬化管理服務(wù)器進(jìn)行管理，實(shí)現(xiàn)統(tǒng)一的云資源管理平臺(tái)。每一套 RAC 可以支持多個(gè)用戶(hù)和多個(gè)數(shù)據(jù)庫(kù)實(shí)例。采用多索引服務(wù)器，大目錄分段存儲(chǔ)的策略，提高系統(tǒng)總的元數(shù)據(jù)管理能力。 分布式存儲(chǔ)與傳統(tǒng)的存儲(chǔ)設(shè)備相比不僅僅是一個(gè)硬件，而是一個(gè)網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備、服務(wù)器、應(yīng)用軟件、公用訪(fǎng)問(wèn)接口、接入網(wǎng)、和客戶(hù)端程序等多個(gè)部分組成的復(fù)雜系統(tǒng)。因此，從長(zhǎng)遠(yuǎn)發(fā)展角度看，我們采用Xen 為主構(gòu)建服務(wù)器虛擬化平臺(tái)，并輔以少量 VMware 虛擬化技術(shù)用于部分關(guān)鍵應(yīng)用。 虛擬化是一個(gè)抽象層，它將物理硬件與操作系統(tǒng)分開(kāi)，從而提供更高的 IT 資源利用率和靈活性。同時(shí)要做好密鑰管理和訪(fǎng)問(wèn)控制的工作。完整性認(rèn)證是對(duì)信息完整性得鑒別，確定數(shù)據(jù)是否被非法篡改，保證合法用戶(hù)得到正確、完整得信息。 客戶(hù)端在用戶(hù)登陸時(shí)對(duì)用戶(hù)名進(jìn)行唯一性鑒別，鑒別信息作復(fù)雜度進(jìn)行檢查；密碼要求最少 8 位以上 。 ● 啟用 SSH 等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡(luò)竊聽(tīng)。 在 云計(jì)算平臺(tái) 交換機(jī)處并接部署網(wǎng)絡(luò)行為監(jiān)控與審計(jì)系統(tǒng)，形成對(duì)全網(wǎng) 絡(luò)數(shù)據(jù)的流量監(jiān)測(cè)并進(jìn)行相應(yīng)安全審計(jì)，同時(shí)和其它網(wǎng)絡(luò)安全設(shè)備共同為集中安全管理提供監(jiān)控?cái)?shù)據(jù)用于分析及檢測(cè)。根據(jù)相關(guān)規(guī)定，從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、 數(shù)據(jù)安全進(jìn)行全面防范、加固。黑客在利用漏洞入侵到主機(jī)系統(tǒng)之后，可以對(duì)整個(gè)主機(jī)上的虛擬機(jī)進(jìn)行任意的配置破壞，從而導(dǎo)致系統(tǒng)不能對(duì)外提供業(yè)務(wù)，或者是將相關(guān)數(shù)據(jù)進(jìn)行竊取。 云安全與傳統(tǒng)安全第二大差異是防護(hù)體系上的差異，在傳統(tǒng)安全防護(hù)中，更多的是采用資源結(jié)構(gòu)式的防護(hù)，一般會(huì)分為物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用與數(shù)據(jù)安全和安全管理五部分；而在云計(jì)算環(huán)境下，在傳統(tǒng)資源結(jié)構(gòu)的基礎(chǔ)上，由于虛擬化技術(shù)的引入，安全防護(hù)的將納入虛擬化 平臺(tái)的安全、虛擬化管理層的安全和虛擬化安全三部分。 系統(tǒng)還要實(shí)現(xiàn)對(duì)服務(wù)器系統(tǒng)內(nèi)部網(wǎng)絡(luò)及中心整體網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)；支持各種不同網(wǎng)絡(luò)流量采集協(xié)議， 包括 Netflow、Netstream、 Sflow、 Cflow、 IPFIX 等 各廠家協(xié)議標(biāo)準(zhǔn)；無(wú)論是哪種Flow 格式，都可定義數(shù)據(jù)交互的標(biāo)準(zhǔn)格式，能夠通過(guò)這些格式規(guī)范支持業(yè)內(nèi)幾乎所有的主流網(wǎng)絡(luò)設(shè)備，如 Cisco、 Foundry、 Extreme、Juniper、華為、 H3C 等，保證了對(duì)采集目標(biāo)設(shè)備流量良好的兼容性。 池化管理模塊 通過(guò)服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等虛擬化技術(shù)將云內(nèi)資源按照不同的標(biāo)準(zhǔn)組織成不同的資源池 ，可以方便、快捷地在資源池中自動(dòng)化定制上層應(yīng)用所需資源。目前資源池主要分為計(jì)算資源池、存儲(chǔ)資源池和網(wǎng)絡(luò)資源池，同時(shí)也包括軟件和數(shù)據(jù)等內(nèi)容資源池 。用戶(hù)可以在任意場(chǎng)合、時(shí)間通過(guò)網(wǎng)絡(luò)接入云平臺(tái) ,使用統(tǒng)一的云服務(wù) ,按照自身的需求獲取所需信息 ,并可以實(shí)現(xiàn)不同終端、設(shè)備間的數(shù)據(jù)與應(yīng)用共享，為工作帶來(lái)極大的便利和效率。云計(jì)算的新穎之處在于它幾乎可以提供無(wú)限的廉價(jià)存儲(chǔ)和計(jì)算能力。 云計(jì)算已經(jīng)成為全球信息產(chǎn)業(yè)變革的焦，成為未來(lái)必然的發(fā)展方向。 虛擬機(jī)回遷至原物理主機(jī) . 用戶(hù)自服務(wù) 針對(duì)最終用戶(hù)使用的虛擬機(jī)授權(quán)，是最終用戶(hù)可管理其使用的虛擬機(jī) 系統(tǒng)日志及監(jiān)控管理 CPU、內(nèi)存、網(wǎng)絡(luò)及磁盤(pán)的性能和使用情況 權(quán)限管理及審計(jì) AD 的用戶(hù)管理集成 虛擬機(jī) HA 功能 當(dāng)物理主機(jī)故障時(shí)，虛擬機(jī)自動(dòng)在另一臺(tái)物理主機(jī)上啟動(dòng)： 虛擬機(jī)動(dòng)態(tài)負(fù)載均衡功能 虛擬機(jī)動(dòng)態(tài)平衡和資源自動(dòng)分配： 虛擬機(jī)的本地保護(hù)及備份恢復(fù) 指定保護(hù)策略，自動(dòng)的進(jìn)行虛擬機(jī)的快照和歸檔，在發(fā)生虛擬機(jī)故障時(shí)可進(jìn)行恢復(fù) 指定本地保護(hù)策略，對(duì)多個(gè)虛擬機(jī)進(jìn)行批量定時(shí)的快照和歸檔，歸檔可直接歸檔到 NAS 或 CIFS 文件服務(wù)器 進(jìn)行快照的回滾 進(jìn)行虛機(jī)的導(dǎo)入 5．虛擬機(jī)配置文件的備份 虛擬化系統(tǒng)管理控制臺(tái)的可靠性 在控制臺(tái)失效時(shí)虛擬化架構(gòu)的持續(xù)穩(wěn)定運(yùn)行能力，且控制臺(tái)的不可用不影響虛擬化架構(gòu)的運(yùn)行 虛擬機(jī)的容錯(cuò) 在物理機(jī)異常宕機(jī)的情況下，虛擬機(jī)自動(dòng)的遷移到另一臺(tái)物理機(jī)，且不造成業(yè)務(wù)的停頓 云管理平臺(tái) 資源管理模塊 實(shí)現(xiàn)對(duì)所有云內(nèi)資源的管理。 用戶(hù)還可通過(guò)上機(jī)日志對(duì)云監(jiān)控系統(tǒng)進(jìn)行日志審計(jì)，查看虛擬機(jī)的操作時(shí)間、操作類(lèi)型、操作者、所屬項(xiàng)目、操作結(jié)果（是否成功）和操作描述。 其他功能模塊 其他功能模塊還包括統(tǒng)計(jì)報(bào)表模塊、可用性管理模塊，生命周期管理模塊、動(dòng)態(tài)負(fù)載均衡管理等功能。針對(duì)上述風(fēng)險(xiǎn)，提出以下幾種安全需求。因此，主要考慮如下思路進(jìn)行 云計(jì)算平臺(tái) 綜合安全防護(hù)體系建設(shè)： ● 基于信息安全等級(jí)保護(hù)，通過(guò)對(duì)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個(gè)方面基本技術(shù)要求進(jìn)行技術(shù)體系建設(shè)，達(dá)到云安全技術(shù)提升； ● 通過(guò)對(duì)安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面基本管理要求進(jìn)行管理體系建設(shè)； ● 通過(guò)云安全管理平臺(tái)加強(qiáng) 云計(jì)算平臺(tái) 安全運(yùn)維管理水平。 ● 按用戶(hù)和系統(tǒng)的允許訪(fǎng)問(wèn)規(guī)則，決定或允許或拒絕用戶(hù)對(duì)受控系統(tǒng)進(jìn)行資源訪(fǎng)問(wèn)，控制粒度為單個(gè)用戶(hù)。 在網(wǎng)絡(luò)中旁路部署 IDS 監(jiān)視 設(shè)備，且能對(duì)端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、注入式攻擊、 IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等。同時(shí)允許管理員設(shè)置白名單例外列表，允許例外列表的主機(jī)不安裝客戶(hù)端但是仍然授予網(wǎng)絡(luò)使用權(quán)限，并根據(jù)需要授予可以和其他授權(quán)認(rèn)證過(guò)的主機(jī)通信的權(quán)限或者允許和任意主機(jī)通信的權(quán)限。保證數(shù)據(jù)安全和備份恢復(fù)主要從：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等三個(gè)控制點(diǎn)考慮。為了避免管理員訪(fǎng)問(wèn) 用戶(hù) 的數(shù)據(jù)，可以采用數(shù)據(jù)加密和管理權(quán)限分離的方式來(lái)保護(hù) 用戶(hù) 的數(shù)據(jù)。 數(shù)據(jù)的備份、恢復(fù)、轉(zhuǎn)出、轉(zhuǎn)入的權(quán)限都嚴(yán)格控制。 Xen 采用的是裸金屬架構(gòu)技術(shù) 微軟于 2020 年發(fā)布了自己的 Hypervisor—— HyperV，與前兩種不同的是 HyperV 采用的是寄居方式，因此只適用于 Windows 操作系統(tǒng)上。這里的安全部署模式要求實(shí)現(xiàn)兩類(lèi)虛擬化技術(shù)： 多虛一：指網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備 上，能夠安裝多種類(lèi)型的安全設(shè)備，這樣可以實(shí)現(xiàn)不同層次的安全防護(hù) ，達(dá)到綜合安全保護(hù)的策略融合。一般文件，它的元數(shù)據(jù)存儲(chǔ)在索引服務(wù)器，而數(shù)據(jù)則分散存儲(chǔ)在不同的數(shù)據(jù)服務(wù)器上。 為了使數(shù)據(jù)庫(kù)的實(shí)現(xiàn)高可用，滿(mǎn)足高并發(fā)、高負(fù)載均衡的需求，數(shù)據(jù)庫(kù)節(jié)點(diǎn)采用數(shù)據(jù)庫(kù)集群搭建支持采用 Oracle 實(shí)時(shí)應(yīng)用集群（ Real Application Cluster，簡(jiǎn)稱(chēng) RAC），能夠?qū)崿F(xiàn)多借點(diǎn)之間負(fù)載均衡，同時(shí)多個(gè)節(jié)點(diǎn)共享一套存儲(chǔ)系統(tǒng)，能有效防止數(shù)據(jù)庫(kù)單點(diǎn)故障；最后， Oracle RAC 的集群架構(gòu)具備動(dòng)態(tài)添加數(shù)據(jù)庫(kù)節(jié)點(diǎn) 的功能，具有良好的擴(kuò)展性。 云虛擬化管理平臺(tái)：管理基本的服務(wù)器分區(qū)，如多臺(tái)物理服務(wù)器構(gòu)成服務(wù)分區(qū)。但是，鑒于業(yè)務(wù)應(yīng)用的復(fù)雜性和關(guān)鍵性，遷移所涉及到的問(wèn)題已經(jīng)遠(yuǎn)超出了技術(shù)的本身的范疇。本項(xiàng)目中的應(yīng)用都需要高 CPU 能量和大數(shù)據(jù)庫(kù)，需要在虛擬資源充足的條件下才能 轉(zhuǎn)入虛擬化環(huán)境。最初可以少遷移一些關(guān)鍵應(yīng)用和相關(guān)架構(gòu)。對(duì)于第二層安全措施，有周期定制 /服務(wù)器級(jí)防火墻和入侵檢測(cè) 。針對(duì)分 離和孤立網(wǎng)絡(luò)，我們可以使用虛擬局域網(wǎng)配置，要把流量 分開(kāi)，確保適合的帶寬利用率。 第一是 分析物理環(huán)境。組織管理員可以在系統(tǒng)中申請(qǐng)?zhí)摂M機(jī)、存儲(chǔ)等各種資源，并在組織內(nèi)部建立項(xiàng)目、創(chuàng)建項(xiàng)目成員并分配資源；項(xiàng)目成員有權(quán)限管理項(xiàng)目中的各種資源。 2020 年，傳統(tǒng)存儲(chǔ)巨頭 EMC 聯(lián)合VMware 推出 Aurora 云數(shù)據(jù)庫(kù)解決方案，依托 VMware 穩(wěn)定、高可用、可擴(kuò)展的資源池提供云數(shù)據(jù)庫(kù)服務(wù)，最新版本支持 Oracle。 采用上述技術(shù)，可以構(gòu)建可擴(kuò)展、高可靠，有效處理海量元數(shù)據(jù)和數(shù)據(jù)的存儲(chǔ)系統(tǒng)。 非結(jié)構(gòu)化并行存儲(chǔ)系統(tǒng)主要由索引服務(wù)器集群和存儲(chǔ)服務(wù)器集群組成，其軟件部件對(duì)應(yīng)用表現(xiàn)為一個(gè)文件系統(tǒng)，下圖給出了非結(jié)構(gòu)化并行存儲(chǔ)系統(tǒng)的架構(gòu)，它采用業(yè)界主流的控制路徑和數(shù)據(jù)路徑分離的設(shè)計(jì)理念。多個(gè)盒式設(shè)備整合類(lèi)似于一臺(tái)機(jī)架式設(shè)備，多臺(tái)框式設(shè)備的整合相當(dāng)于增加了槽位，虛擬化整合后的設(shè)備組成了一個(gè)邏輯單元，在網(wǎng)絡(luò)中表現(xiàn)為一個(gè)網(wǎng)元節(jié) 點(diǎn)，管理簡(jiǎn)單化、配置簡(jiǎn)單化、可跨設(shè)備鏈路聚合，極大簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)，同時(shí)進(jìn)一步增強(qiáng)冗余可靠性。 近年來(lái)， X86架構(gòu)上的虛擬化技術(shù)逐漸成熟，涌現(xiàn)出不少技術(shù)和產(chǎn)品。 備份和恢復(fù) 對(duì)特殊重要的系統(tǒng)，采用 備份軟件實(shí)時(shí)備份數(shù)據(jù) 。 （ 2）基于將基于多 用戶(hù) 的細(xì)粒度訪(fǎng)問(wèn)控制策略 策略驅(qū)動(dòng)式的數(shù)據(jù)訪(fǎng)問(wèn)對(duì)于 用戶(hù) 數(shù)據(jù)的安全性有良好的保障。部署 SSL VPN 系統(tǒng)保證遠(yuǎn)程數(shù)據(jù)傳輸?shù)臄?shù)據(jù)機(jī)密性。運(yùn)用用戶(hù)信息和主機(jī)信息匹配方式實(shí)時(shí)發(fā)現(xiàn)接入主機(jī)的合法性，及時(shí)阻止 IP 地址的篡改和盜用行 為。 邊界防范 在邊界處部署了防火墻、審計(jì)，能對(duì)內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶(hù)未通過(guò)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查。 訪(fǎng)問(wèn)控制 信息安全等級(jí)保護(hù)的一個(gè)重要要求是實(shí)現(xiàn)自主訪(fǎng)問(wèn)控制和強(qiáng)制訪(fǎng)問(wèn)控制。隨著時(shí)間的推移，由于鏡像存儲(chǔ)很長(zhǎng)時(shí)間沒(méi)有使用，這些虛擬機(jī)可能會(huì) 過(guò)時(shí)，需要在使用的間歇時(shí)間里離線(xiàn)使用補(bǔ)丁，以保證它們?cè)谙乱淮螁?dòng)的時(shí)候盡可能是安全的。 云計(jì)算系統(tǒng)的核心是采用虛擬化技術(shù)實(shí)現(xiàn)計(jì)算資源的池化和動(dòng)態(tài)配置。 統(tǒng)一監(jiān)控策略管理包括統(tǒng)一描述和實(shí)施，其意義在于可以屏蔽各種受管設(shè)備和應(yīng)用的具體監(jiān)控管理策略的配置細(xì)節(jié)和差異，而以統(tǒng)一的監(jiān)控管理策略配置界面呈現(xiàn)給系統(tǒng)管理員，使管理員能夠?qū)Ｐ牡貙⒆匀徽Z(yǔ)言描述的服務(wù)器監(jiān)控管理策略映射成機(jī)器能夠?qū)嵤┑牟呗浴? 服務(wù)模板管理 可以根據(jù)服務(wù)模板選擇應(yīng)用所需的軟、硬件資源參數(shù)進(jìn)行自動(dòng)化部署。 云計(jì)算服務(wù)平臺(tái)遵循云計(jì)算經(jīng)典服務(wù)模型，提供 IaaS 層服務(wù)。云計(jì)算模式中用戶(hù)只需通過(guò)網(wǎng)絡(luò)使用服務(wù)商所提供