【正文】 分配。具體的方式是，將多個網(wǎng)絡(luò)節(jié)點進(jìn)行整合 (稱為橫向整合 )，虛擬化成一臺邏輯設(shè)備，提升 云計算平臺 網(wǎng)絡(luò)可用性、節(jié)點性能的同時將極大簡化網(wǎng)絡(luò)架構(gòu)。 面向海量非結(jié)構(gòu)化數(shù)據(jù)的存儲系統(tǒng)需要具有以下特點： 并行存儲系統(tǒng)中存儲虛擬化，能夠支持無縫的海量擴(kuò)展； 并行存儲系統(tǒng)的性能擴(kuò)展能夠隨著容量的擴(kuò)展而擴(kuò)展； 并行存儲中數(shù)據(jù)保護(hù)技術(shù)保障用戶數(shù)據(jù)的安全； 非結(jié)構(gòu)化并行存儲的可靠性和安全性。平時只有主副本數(shù)據(jù)提供訪問，當(dāng)主副本數(shù)據(jù)所在節(jié)點失效后，訪問自動切換到從副本數(shù)據(jù)上。 目前，云數(shù)據(jù)庫市場蓬勃發(fā)展，涌現(xiàn)出諸多主流廠商。 組織內(nèi)部可進(jìn)行自維護(hù)，可以劃分多個項目，每個項目可申請?zhí)摂M機(jī)和分配用戶；組織之間可實現(xiàn)安全隔離。如果遷移失敗，則需根據(jù)回滾計劃進(jìn)行回滾，并對失敗原因進(jìn)行分析。整合好架構(gòu)之后，要對環(huán)境進(jìn)行測試，避免任何網(wǎng)絡(luò)和存儲故障，這一步完成后就可以開始虛擬化。安全性是最受到普遍關(guān)注的問題， 在傳統(tǒng)IT 環(huán)境中，安全性問題可以方便地通過隔離措施予以解決。一旦發(fā)生任何意外，物理產(chǎn)品環(huán) 境可以再次利用。在這樣的情況下，應(yīng)該實現(xiàn)整體分析，包括使用模式，確定一下計算容量，然后才可以執(zhí)行物理機(jī)到虛擬機(jī)的遷移。然后，應(yīng)該仔細(xì)分析選出的應(yīng)用，并制定一個適合于該應(yīng)用遷移的大致方案。對不同的虛擬化管理服務(wù)器進(jìn)行管理，實現(xiàn)統(tǒng)一的云資源管理平臺。每一套 RAC 可以支持多個用戶和多個數(shù)據(jù)庫實例。采用多索引服務(wù)器，大目錄分段存儲的策略，提高系統(tǒng)總的元數(shù)據(jù)管理能力。 分布式存儲與傳統(tǒng)的存儲設(shè)備相比不僅僅是一個硬件，而是一個網(wǎng)絡(luò)設(shè)備、存儲設(shè)備、服務(wù)器、應(yīng)用軟件、公用訪問接口、接入網(wǎng)、和客戶端程序等多個部分組成的復(fù)雜系統(tǒng)。因此，從長遠(yuǎn)發(fā)展角度看，我們采用Xen 為主構(gòu)建服務(wù)器虛擬化平臺，并輔以少量 VMware 虛擬化技術(shù)用于部分關(guān)鍵應(yīng)用。 虛擬化是一個抽象層，它將物理硬件與操作系統(tǒng)分開，從而提供更高的 IT 資源利用率和靈活性。同時要做好密鑰管理和訪問控制的工作。完整性認(rèn)證是對信息完整性得鑒別，確定數(shù)據(jù)是否被非法篡改，保證合法用戶得到正確、完整得信息。 客戶端在用戶登陸時對用戶名進(jìn)行唯一性鑒別，鑒別信息作復(fù)雜度進(jìn)行檢查；密碼要求最少 8 位以上 。 ● 啟用 SSH 等管理方式，加密管理數(shù)據(jù)，防止被網(wǎng)絡(luò)竊聽。 在 云計算平臺 交換機(jī)處并接部署網(wǎng)絡(luò)行為監(jiān)控與審計系統(tǒng)，形成對全網(wǎng) 絡(luò)數(shù)據(jù)的流量監(jiān)測并進(jìn)行相應(yīng)安全審計，同時和其它網(wǎng)絡(luò)安全設(shè)備共同為集中安全管理提供監(jiān)控數(shù)據(jù)用于分析及檢測。根據(jù)相關(guān)規(guī)定，從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、 數(shù)據(jù)安全進(jìn)行全面防范、加固。黑客在利用漏洞入侵到主機(jī)系統(tǒng)之后，可以對整個主機(jī)上的虛擬機(jī)進(jìn)行任意的配置破壞，從而導(dǎo)致系統(tǒng)不能對外提供業(yè)務(wù)，或者是將相關(guān)數(shù)據(jù)進(jìn)行竊取。 云安全與傳統(tǒng)安全第二大差異是防護(hù)體系上的差異，在傳統(tǒng)安全防護(hù)中，更多的是采用資源結(jié)構(gòu)式的防護(hù)，一般會分為物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用與數(shù)據(jù)安全和安全管理五部分；而在云計算環(huán)境下，在傳統(tǒng)資源結(jié)構(gòu)的基礎(chǔ)上，由于虛擬化技術(shù)的引入，安全防護(hù)的將納入虛擬化 平臺的安全、虛擬化管理層的安全和虛擬化安全三部分。 系統(tǒng)還要實現(xiàn)對服務(wù)器系統(tǒng)內(nèi)部網(wǎng)絡(luò)及中心整體網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測；支持各種不同網(wǎng)絡(luò)流量采集協(xié)議， 包括 Netflow、Netstream、 Sflow、 Cflow、 IPFIX 等 各廠家協(xié)議標(biāo)準(zhǔn)；無論是哪種Flow 格式，都可定義數(shù)據(jù)交互的標(biāo)準(zhǔn)格式，能夠通過這些格式規(guī)范支持業(yè)內(nèi)幾乎所有的主流網(wǎng)絡(luò)設(shè)備，如 Cisco、 Foundry、 Extreme、Juniper、華為、 H3C 等，保證了對采集目標(biāo)設(shè)備流量良好的兼容性。 池化管理模塊 通過服務(wù)器、存儲、網(wǎng)絡(luò)等虛擬化技術(shù)將云內(nèi)資源按照不同的標(biāo)準(zhǔn)組織成不同的資源池 ，可以方便、快捷地在資源池中自動化定制上層應(yīng)用所需資源。目前資源池主要分為計算資源池、存儲資源池和網(wǎng)絡(luò)資源池，同時也包括軟件和數(shù)據(jù)等內(nèi)容資源池 。用戶可以在任意場合、時間通過網(wǎng)絡(luò)接入云平臺 ,使用統(tǒng)一的云服務(wù) ,按照自身的需求獲取所需信息 ,并可以實現(xiàn)不同終端、設(shè)備間的數(shù)據(jù)與應(yīng)用共享，為工作帶來極大的便利和效率。云計算的新穎之處在于它幾乎可以提供無限的廉價存儲和計算能力。 云計算已經(jīng)成為全球信息產(chǎn)業(yè)變革的焦，成為未來必然的發(fā)展方向。 虛擬機(jī)回遷至原物理主機(jī) . 用戶自服務(wù) 針對最終用戶使用的虛擬機(jī)授權(quán)，是最終用戶可管理其使用的虛擬機(jī) 系統(tǒng)日志及監(jiān)控管理 CPU、內(nèi)存、網(wǎng)絡(luò)及磁盤的性能和使用情況 權(quán)限管理及審計 AD 的用戶管理集成 虛擬機(jī) HA 功能 當(dāng)物理主機(jī)故障時，虛擬機(jī)自動在另一臺物理主機(jī)上啟動： 虛擬機(jī)動態(tài)負(fù)載均衡功能 虛擬機(jī)動態(tài)平衡和資源自動分配： 虛擬機(jī)的本地保護(hù)及備份恢復(fù) 指定保護(hù)策略，自動的進(jìn)行虛擬機(jī)的快照和歸檔，在發(fā)生虛擬機(jī)故障時可進(jìn)行恢復(fù) 指定本地保護(hù)策略，對多個虛擬機(jī)進(jìn)行批量定時的快照和歸檔，歸檔可直接歸檔到 NAS 或 CIFS 文件服務(wù)器 進(jìn)行快照的回滾 進(jìn)行虛機(jī)的導(dǎo)入 5．虛擬機(jī)配置文件的備份 虛擬化系統(tǒng)管理控制臺的可靠性 在控制臺失效時虛擬化架構(gòu)的持續(xù)穩(wěn)定運(yùn)行能力，且控制臺的不可用不影響虛擬化架構(gòu)的運(yùn)行 虛擬機(jī)的容錯 在物理機(jī)異常宕機(jī)的情況下，虛擬機(jī)自動的遷移到另一臺物理機(jī)，且不造成業(yè)務(wù)的停頓 云管理平臺 資源管理模塊 實現(xiàn)對所有云內(nèi)資源的管理。 用戶還可通過上機(jī)日志對云監(jiān)控系統(tǒng)進(jìn)行日志審計，查看虛擬機(jī)的操作時間、操作類型、操作者、所屬項目、操作結(jié)果（是否成功）和操作描述。 其他功能模塊 其他功能模塊還包括統(tǒng)計報表模塊、可用性管理模塊，生命周期管理模塊、動態(tài)負(fù)載均衡管理等功能。針對上述風(fēng)險，提出以下幾種安全需求。因此，主要考慮如下思路進(jìn)行 云計算平臺 綜合安全防護(hù)體系建設(shè)： ● 基于信息安全等級保護(hù)，通過對物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全五個方面基本技術(shù)要求進(jìn)行技術(shù)體系建設(shè)，達(dá)到云安全技術(shù)提升； ● 通過對安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個方面基本管理要求進(jìn)行管理體系建設(shè)； ● 通過云安全管理平臺加強(qiáng) 云計算平臺 安全運(yùn)維管理水平。 ● 按用戶和系統(tǒng)的允許訪問規(guī)則，決定或允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個用戶。 在網(wǎng)絡(luò)中旁路部署 IDS 監(jiān)視 設(shè)備，且能對端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、注入式攻擊、 IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。同時允許管理員設(shè)置白名單例外列表，允許例外列表的主機(jī)不安裝客戶端但是仍然授予網(wǎng)絡(luò)使用權(quán)限，并根據(jù)需要授予可以和其他授權(quán)認(rèn)證過的主機(jī)通信的權(quán)限或者允許和任意主機(jī)通信的權(quán)限。保證數(shù)據(jù)安全和備份恢復(fù)主要從：數(shù)據(jù)完整性、數(shù)據(jù)保密性、備份和恢復(fù)等三個控制點考慮。為了避免管理員訪問 用戶 的數(shù)據(jù)，可以采用數(shù)據(jù)加密和管理權(quán)限分離的方式來保護(hù) 用戶 的數(shù)據(jù)。 數(shù)據(jù)的備份、恢復(fù)、轉(zhuǎn)出、轉(zhuǎn)入的權(quán)限都嚴(yán)格控制。 Xen 采用的是裸金屬架構(gòu)技術(shù) 微軟于 2020 年發(fā)布了自己的 Hypervisor—— HyperV，與前兩種不同的是 HyperV 采用的是寄居方式，因此只適用于 Windows 操作系統(tǒng)上。這里的安全部署模式要求實現(xiàn)兩類虛擬化技術(shù)： 多虛一：指網(wǎng)絡(luò)節(jié)點設(shè)備 上，能夠安裝多種類型的安全設(shè)備，這樣可以實現(xiàn)不同層次的安全防護(hù) ，達(dá)到綜合安全保護(hù)的策略融合。一般文件，它的元數(shù)據(jù)存儲在索引服務(wù)器，而數(shù)據(jù)則分散存儲在不同的數(shù)據(jù)服務(wù)器上。 為了使數(shù)據(jù)庫的實現(xiàn)高可用，滿足高并發(fā)、高負(fù)載均衡的需求，數(shù)據(jù)庫節(jié)點采用數(shù)據(jù)庫集群搭建支持采用 Oracle 實時應(yīng)用集群（ Real Application Cluster，簡稱 RAC），能夠?qū)崿F(xiàn)多借點之間負(fù)載均衡，同時多個節(jié)點共享一套存儲系統(tǒng)，能有效防止數(shù)據(jù)庫單點故障；最后， Oracle RAC 的集群架構(gòu)具備動態(tài)添加數(shù)據(jù)庫節(jié)點 的功能，具有良好的擴(kuò)展性。 云虛擬化管理平臺：管理基本的服務(wù)器分區(qū)，如多臺物理服務(wù)器構(gòu)成服務(wù)分區(qū)。但是，鑒于業(yè)務(wù)應(yīng)用的復(fù)雜性和關(guān)鍵性，遷移所涉及到的問題已經(jīng)遠(yuǎn)超出了技術(shù)的本身的范疇。本項目中的應(yīng)用都需要高 CPU 能量和大數(shù)據(jù)庫，需要在虛擬資源充足的條件下才能 轉(zhuǎn)入虛擬化環(huán)境。最初可以少遷移一些關(guān)鍵應(yīng)用和相關(guān)架構(gòu)。對于第二層安全措施，有周期定制 /服務(wù)器級防火墻和入侵檢測 。針對分 離和孤立網(wǎng)絡(luò)，我們可以使用虛擬局域網(wǎng)配置，要把流量 分開，確保適合的帶寬利用率。 第一是 分析物理環(huán)境。組織管理員可以在系統(tǒng)中申請?zhí)摂M機(jī)、存儲等各種資源，并在組織內(nèi)部建立項目、創(chuàng)建項目成員并分配資源；項目成員有權(quán)限管理項目中的各種資源。 2020 年，傳統(tǒng)存儲巨頭 EMC 聯(lián)合VMware 推出 Aurora 云數(shù)據(jù)庫解決方案，依托 VMware 穩(wěn)定、高可用、可擴(kuò)展的資源池提供云數(shù)據(jù)庫服務(wù)，最新版本支持 Oracle。 采用上述技術(shù)，可以構(gòu)建可擴(kuò)展、高可靠，有效處理海量元數(shù)據(jù)和數(shù)據(jù)的存儲系統(tǒng)。 非結(jié)構(gòu)化并行存儲系統(tǒng)主要由索引服務(wù)器集群和存儲服務(wù)器集群組成，其軟件部件對應(yīng)用表現(xiàn)為一個文件系統(tǒng)，下圖給出了非結(jié)構(gòu)化并行存儲系統(tǒng)的架構(gòu)，它采用業(yè)界主流的控制路徑和數(shù)據(jù)路徑分離的設(shè)計理念。多個盒式設(shè)備整合類似于一臺機(jī)架式設(shè)備，多臺框式設(shè)備的整合相當(dāng)于增加了槽位，虛擬化整合后的設(shè)備組成了一個邏輯單元，在網(wǎng)絡(luò)中表現(xiàn)為一個網(wǎng)元節(jié) 點，管理簡單化、配置簡單化、可跨設(shè)備鏈路聚合，極大簡化網(wǎng)絡(luò)架構(gòu)，同時進(jìn)一步增強(qiáng)冗余可靠性。 近年來， X86架構(gòu)上的虛擬化技術(shù)逐漸成熟，涌現(xiàn)出不少技術(shù)和產(chǎn)品。 備份和恢復(fù) 對特殊重要的系統(tǒng)，采用 備份軟件實時備份數(shù)據(jù) 。 （ 2）基于將基于多 用戶 的細(xì)粒度訪問控制策略 策略驅(qū)動式的數(shù)據(jù)訪問對于 用戶 數(shù)據(jù)的安全性有良好的保障。部署 SSL VPN 系統(tǒng)保證遠(yuǎn)程數(shù)據(jù)傳輸?shù)臄?shù)據(jù)機(jī)密性。運(yùn)用用戶信息和主機(jī)信息匹配方式實時發(fā)現(xiàn)接入主機(jī)的合法性，及時阻止 IP 地址的篡改和盜用行 為。 邊界防范 在邊界處部署了防火墻、審計，能對內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查。 訪問控制 信息安全等級保護(hù)的一個重要要求是實現(xiàn)自主訪問控制和強(qiáng)制訪問控制。隨著時間的推移，由于鏡像存儲很長時間沒有使用，這些虛擬機(jī)可能會 過時，需要在使用的間歇時間里離線使用補(bǔ)丁，以保證它們在下一次啟動的時候盡可能是安全的。 云計算系統(tǒng)的核心是采用虛擬化技術(shù)實現(xiàn)計算資源的池化和動態(tài)配置。 統(tǒng)一監(jiān)控策略管理包括統(tǒng)一描述和實施，其意義在于可以屏蔽各種受管設(shè)備和應(yīng)用的具體監(jiān)控管理策略的配置細(xì)節(jié)和差異，而以統(tǒng)一的監(jiān)控管理策略配置界面呈現(xiàn)給系統(tǒng)管理員，使管理員能夠?qū)Ｐ牡貙⒆匀徽Z言描述的服務(wù)器監(jiān)控管理策略映射成機(jī)器能夠?qū)嵤┑牟呗浴? 服務(wù)模板管理 可以根據(jù)服務(wù)模板選擇應(yīng)用所需的軟、硬件資源參數(shù)進(jìn)行自動化部署。 云計算服務(wù)平臺遵循云計算經(jīng)典服務(wù)模型，提供 IaaS 層服務(wù)。云計算模式中用戶只需通過網(wǎng)絡(luò)使用服務(wù)商所提供