【正文】 通過本項目的實踐 ，我們總結(jié)出 在進(jìn)行一個 應(yīng)用向 云計算 平臺遷移時，需要謹(jǐn)慎計劃，為實施 提供一個安全的、可衡量的方法 ，這樣更有助于成功的實施 項目 。對于第二層安全措施，有周期定制 /服務(wù)器級防火墻和入侵檢測 。但是 在云環(huán)境中，所有的用戶 都需要對安全技術(shù)和風(fēng)險擁有比之前非云計算的典型環(huán)境更廣泛的認(rèn)識。 第五是注意安全問題。物理環(huán)境得留著，運(yùn)行那些不能虛擬化的應(yīng)用和服務(wù)器。確保物理產(chǎn)品的環(huán)境已經(jīng)卸下，但不要完全退役。最初可以少遷移一些關(guān)鍵應(yīng)用和相關(guān)架構(gòu)。除了這些， 還得觀察自動化存儲管理，這樣做能讓存儲資源安排在多 用戶 或者空中架構(gòu)中，實現(xiàn)在不同應(yīng)用中共享存儲。容量規(guī)劃和管理的首要問題就是存儲使用模式的分析。針對分 離和孤立網(wǎng)絡(luò)，我們可以使用虛擬局域網(wǎng)配置，要把流量 分開，確保適合的帶寬利用率。 第三是 網(wǎng)絡(luò)和存儲虛擬化 。如果有應(yīng)用在兩個數(shù)據(jù)庫運(yùn)行，就得用中間件服務(wù)器或者運(yùn)行多數(shù)據(jù)庫的 SQL 服務(wù)器。在高峰時段或者升級時分析計算需求，這些需求會影響性能和管理。服務(wù)器需求一直存在變動，這樣使得特定的服務(wù)器有時會空閑。本項目中的應(yīng)用都需要高 CPU 能量和大數(shù)據(jù)庫，需要在虛擬資源充足的條件下才能 轉(zhuǎn)入虛擬化環(huán)境。分類標(biāo)準(zhǔn)可以有很多，比如基于平臺，或是否需要中間件對應(yīng)用分類，同樣的基于數(shù)據(jù)庫來分類也可行。分析完成后，物理機(jī)到虛擬機(jī)的遷移就可以有效提升資源利用率，免除了對新物理架構(gòu)的需求。 第一是 分析物理環(huán)境。 整個應(yīng)用遷移的流程圖如下圖所示： 對 現(xiàn) 有 的 應(yīng) 用 進(jìn) 行 評 估 ， 選 出 本 次 遷 移 的 應(yīng) 用對 選 出 的 應(yīng) 用 做 進(jìn) 一 步 的 分 析 ， 確 定 其 所 涉 及到 的 各 個 部 件 以 及 它 們 之 間 的 關(guān) 系 。最后是對遷移的實施。這個方案可以在云計算平臺的測試環(huán)境上進(jìn)行驗證。整體而言，首先應(yīng)該 要 對當(dāng)前各個應(yīng)用進(jìn)行評估，根據(jù)各個應(yīng)用的特性選擇需要遷移的業(yè)務(wù)應(yīng)用。但是，鑒于業(yè)務(wù)應(yīng)用的復(fù)雜性和關(guān)鍵性，遷移所涉及到的問題已經(jīng)遠(yuǎn)超出了技術(shù)的本身的范疇。只有將應(yīng)用遷移到云計算平臺，才能更好地發(fā)揮云計算平臺的作用。 系統(tǒng)用戶的狀態(tài)分為注冊、登錄、退出、凍結(jié)、注銷 系統(tǒng)中運(yùn)維管理、運(yùn)營管理、終端用戶及各種資源視圖的邏輯關(guān)系如下圖 。組織管理員可以在系統(tǒng)中申請?zhí)摂M機(jī)、存儲等各種資源，并在組織內(nèi)部建立項目、創(chuàng)建項目成員并分配資源；項目成員有權(quán)限管理項目中的各種資源。 用戶管理：系統(tǒng)用戶分為管理員、終端用戶兩類；終端用戶又分為組織管理員與項目成員。 多 用戶 管理（組織管理）支持多用戶登陸，多個組 織（部門）都可以通過云平臺申請和使用資源，以虛擬數(shù)據(jù)中心的形式呈現(xiàn)。實現(xiàn)云計算系統(tǒng)運(yùn)營管理，輔助運(yùn)營人員快速靈活的處理終端用戶的請求。 云資源管理：為運(yùn)營人員提供便捷的資源管理操作體驗。 云虛擬化管理平臺：管理基本的服務(wù)器分區(qū)，如多臺物理服務(wù)器構(gòu)成服務(wù)分區(qū)。運(yùn)維管理系統(tǒng)需具備如下關(guān)鍵技術(shù)特色：多 用戶 租賃、完善的自服務(wù)機(jī)制、可定制的資產(chǎn)類型、按需彈性計算、資產(chǎn)生命周期管理、全方位虛擬機(jī)管理、資源池化機(jī)制、混合資源管理、增強(qiáng)的安全保障機(jī)制。 云數(shù)據(jù)庫服務(wù)簡化了數(shù)據(jù)庫的部署、規(guī)劃和使用，支持多種數(shù)據(jù)庫和訪問接口，降低企業(yè)級云數(shù)據(jù)庫的 TCO，增加業(yè)務(wù)響應(yīng)敏捷度。 2020 年，傳統(tǒng)存儲巨頭 EMC 聯(lián)合VMware 推出 Aurora 云數(shù)據(jù)庫解決方案，依托 VMware 穩(wěn)定、高可用、可擴(kuò)展的資源池提供云數(shù)據(jù)庫服務(wù)，最新版本支持 Oracle。微軟推出了 Microsoft SQL Azure 云數(shù)據(jù)庫； 2020 年，甲骨文宣布其數(shù)據(jù)庫等產(chǎn)品可以由客戶授權(quán)在云計算環(huán)境中執(zhí)行，率先支持的平臺為Amazon EC2，既有客戶無需額外付費(fèi)即可在 EC2 上運(yùn)行 Oracle Database 11g、 Oracle Fusion middleware 及 Oracle Enterprise Manager 等軟件； IBM 也不甘落后，在 EC2 平臺上提供包括 DBInformix Dynamic Server、 WebSphere Portal 等產(chǎn)品在內(nèi)的 IBM 產(chǎn)品；谷歌的 Bigtable 是一個管理結(jié)構(gòu)化數(shù)據(jù)的分布式存儲系統(tǒng)，其設(shè)計目的是為了擴(kuò)展到非常大的數(shù)據(jù)存儲系統(tǒng)，通過數(shù)千臺服務(wù)器實現(xiàn) PB 級數(shù)據(jù)存儲； Salesforce 也推出了云數(shù)據(jù)庫服 ，據(jù)稱它是一個開放式數(shù)據(jù)庫，支持任何設(shè)備、平臺和應(yīng)用程序。它倡導(dǎo)類似于自來水取用一般的服務(wù)機(jī)制，在理想狀態(tài)下，它 能夠支持無限的并發(fā)用戶，提供永不枯竭的數(shù)據(jù)應(yīng)用資源。也可以按照業(yè)務(wù)需求搭建擴(kuò)展 Oracle RAC 節(jié)點(diǎn)等，一切以業(yè)務(wù)實際需求量為主。 云計算平臺采用高端服務(wù)器搭建 Oracle RAC 數(shù)據(jù)庫系統(tǒng)，并通過高速網(wǎng)絡(luò)實現(xiàn)內(nèi)部互聯(lián)。 為了使數(shù)據(jù)庫的實現(xiàn)高可用，滿足高并發(fā)、高負(fù)載均衡的需求，數(shù)據(jù)庫節(jié)點(diǎn)采用數(shù)據(jù)庫集群搭建支持采用 Oracle 實時應(yīng)用集群（ Real Application Cluster，簡稱 RAC），能夠?qū)崿F(xiàn)多借點(diǎn)之間負(fù)載均衡，同時多個節(jié)點(diǎn)共享一套存儲系統(tǒng)，能有效防止數(shù)據(jù)庫單點(diǎn)故障；最后， Oracle RAC 的集群架構(gòu)具備動態(tài)添加數(shù)據(jù)庫節(jié)點(diǎn) 的功能，具有良好的擴(kuò)展性。 企業(yè)級數(shù)據(jù)庫 數(shù)據(jù)庫是大多數(shù)電子政務(wù)系統(tǒng)的基礎(chǔ)支撐。 根據(jù)統(tǒng)計，典型政務(wù)應(yīng)用數(shù)據(jù)庫規(guī)模可以分為兩類，一種是 TB 級別的中大型企業(yè)級集群，一種是幾十至幾百 GB 級別的中小數(shù)據(jù)庫，前者更為強(qiáng)調(diào)性能和可靠性，后者更為強(qiáng)調(diào)靈活性和易管理性。 采用上述技術(shù)，可以構(gòu)建可擴(kuò)展、高可靠，有效處理海量元數(shù)據(jù)和數(shù)據(jù)的存儲系統(tǒng)。索引服務(wù)器分組使用的模式可以避免擴(kuò)大了的系統(tǒng)帶來開銷的增長。每一份元數(shù)據(jù)都有其副本數(shù)據(jù)，主從數(shù)據(jù)之間通過分布式日志系統(tǒng)保證它們之間的一致性。 非結(jié)構(gòu)化并行存儲系統(tǒng)具備高可用和快速恢復(fù)能力。采用自適應(yīng)存儲技術(shù)，對于不同大小的文件，采用不同的大小、數(shù)據(jù)切分策略，甚至是數(shù)據(jù)和元數(shù)據(jù)統(tǒng)一存儲的策略，既保證大量小文件同時存取的效率，也能保證大文件對于帶寬的要求。一般文件，它的元數(shù)據(jù)存儲在索引服務(wù)器，而數(shù)據(jù)則分散存儲在不同的數(shù)據(jù)服務(wù)器上。對于較大的媒體文件，各存儲服務(wù)器可獨(dú)立輸出帶寬，從而可提供高達(dá)幾十GB/s 的聚合帶寬。在索引數(shù)據(jù)讀操作比例很高的環(huán)境中，配置加速集群用作分擔(dān)讀負(fù)載。 非結(jié)構(gòu)化并行存儲系統(tǒng)主要由索引服務(wù)器集群和存儲服務(wù)器集群組成，其軟件部件對應(yīng)用表現(xiàn)為一個文件系統(tǒng)，下圖給出了非結(jié)構(gòu)化并行存儲系統(tǒng)的架構(gòu)，它采用業(yè)界主流的控制路徑和數(shù)據(jù)路徑分離的設(shè)計理念。 分布式非結(jié)構(gòu)化并行存儲系統(tǒng)是目前海量信息處理環(huán)境下下最為理想的存儲解決方案，它從架構(gòu)設(shè)計上很好的解決了存儲系統(tǒng)的容量擴(kuò)展和性能擴(kuò)展問題。正因為分布式存儲具備這些特性，所以受到了大型系統(tǒng)客戶的認(rèn)可，逐漸成為目前各個云計算系統(tǒng)平臺的主流存儲架構(gòu)。各部分以存儲設(shè)備為核心，通過應(yīng)用軟件來對外提供數(shù)據(jù)存儲和業(yè)務(wù)訪問服務(wù)。 海量云存儲 為保證高可用、高可靠和經(jīng)濟(jì)性，云計算平臺通常采用分布式存儲的方式來存儲數(shù)據(jù)，分布式存儲系統(tǒng)本身采用冗余存儲的方式來保證存儲數(shù)據(jù)的可靠性，即為同一份數(shù)據(jù)存儲多個副本。這里的安全部署模式要求實現(xiàn)兩類虛擬化技術(shù)： 多虛一：指網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備 上，能夠安裝多種類型的安全設(shè)備，這樣可以實現(xiàn)不同層次的安全防護(hù) ，達(dá)到綜合安全保護(hù)的策略融合。安全方案的部署通常采用獨(dú)立式的設(shè)備，這種方式存在單點(diǎn)故障、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、性能存在瓶頸等問題，因此，在匯聚層交換機(jī)上整合安全防護(hù)模塊成為主流的應(yīng)用技術(shù)，在這樣的技術(shù)架構(gòu)下，可以簡化 云平臺 安全設(shè)備的部署數(shù)量。 在虛擬化架構(gòu)上，將傳統(tǒng)網(wǎng)絡(luò)中離散的安全控制點(diǎn)整合進(jìn)來，進(jìn)一步強(qiáng)化并簡化了基礎(chǔ)網(wǎng)絡(luò)安全，交換機(jī)虛擬化技術(shù)將在云計算 平臺端到端總體設(shè)計中發(fā)揮重要作用。多個盒式設(shè)備整合類似于一臺機(jī)架式設(shè)備，多臺框式設(shè)備的整合相當(dāng)于增加了槽位，虛擬化整合后的設(shè)備組成了一個邏輯單元，在網(wǎng)絡(luò)中表現(xiàn)為一個網(wǎng)元節(jié) 點(diǎn)，管理簡單化、配置簡單化、可跨設(shè)備鏈路聚合，極大簡化網(wǎng)絡(luò)架構(gòu)，同時進(jìn)一步增強(qiáng)冗余可靠性。 隨著云計算服務(wù)器部署采用虛擬化技術(shù)構(gòu)建后，傳統(tǒng)上的網(wǎng)絡(luò)架構(gòu)由于多層結(jié)構(gòu)、安全區(qū)域、安全等級、策略部署、路由控制、 VLAN劃分、二層環(huán)路、冗余設(shè)計等諸多因素，不但會導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，使得云 計算基礎(chǔ)網(wǎng)絡(luò)的運(yùn)維管理難度較高，還無法適應(yīng)虛擬機(jī)多變的網(wǎng)絡(luò)要求 。交換機(jī)虛擬化技術(shù)可以將多個物理實體創(chuàng)建一個邏輯實體，實體可以是計算、存儲、網(wǎng)絡(luò)或應(yīng)用資源。 網(wǎng)絡(luò) 虛擬化 云計算平臺 網(wǎng)絡(luò)資源共享之后，多種應(yīng)用將承載在同一張網(wǎng)絡(luò)上。不過，在三者之中， Xen 是開源技術(shù)，不論從開放性還是從性價比方面都遠(yuǎn)遠(yuǎn)高于 VMware 和 HyperV，受到了業(yè)界大多數(shù)廠商的支持，成為了事實標(biāo)準(zhǔn)。 Xen 采用的是裸金屬架構(gòu)技術(shù) 微軟于 2020 年發(fā)布了自己的 Hypervisor—— HyperV，與前兩種不同的是 HyperV 采用的是寄居方式，因此只適用于 Windows 操作系統(tǒng)上。 Xen 是劍橋大學(xué)于 2020 年發(fā)布的一個開源的 Hypervisor，已被吸收到 Redhat、 SuSE、 Oracle VM 中。 VMware 是第一個（ 1998 年）將虛擬化技術(shù)引入 X86 平臺的廠商，目前在 X86 平臺的虛擬化市場上處于領(lǐng)先地位。 近年來， X86架構(gòu)上的虛擬化技術(shù)逐漸成熟，涌現(xiàn)出不少技術(shù)和產(chǎn)品。 虛擬化架構(gòu)中最重要的部分就是如何將物理硬件與上層操作系統(tǒng)剝離，當(dāng)前，一般通過兩類技術(shù)達(dá)到這一點(diǎn)：物理層虛擬化和邏輯層虛擬化。無論實際采用了什么物理硬件組件，操作系統(tǒng)都將它們視為一組一致、標(biāo)準(zhǔn)化的硬件。虛擬化允許具有不同操作系統(tǒng)的多個虛擬機(jī)在同一物理機(jī)上獨(dú)立并行運(yùn)行。嚴(yán)禁未授權(quán)將數(shù)據(jù)備份出系統(tǒng)； 技術(shù)路線 服務(wù)器虛擬化 服務(wù)器虛擬化技術(shù)是實現(xiàn)計算資源池化的重要手段。 數(shù)據(jù)的備份、恢復(fù)、轉(zhuǎn)出、轉(zhuǎn)入的權(quán)限都嚴(yán)格控制。 當(dāng)存儲過重要數(shù)據(jù)的介質(zhì)（如光盤、軟盤、磁帶等）報廢時應(yīng)由專人員進(jìn)行物理性銷毀。 涉及數(shù)據(jù)備份和恢復(fù)的由專人負(fù)責(zé)數(shù)據(jù)備份工作， 填寫備份日志。 備份和恢復(fù) 對特殊重要的系統(tǒng)，采用 備份軟件實時備份數(shù)據(jù) 。權(quán)限分離的機(jī)制能夠進(jìn)一步提高 用戶 數(shù)據(jù)的安全性，保護(hù)了 用戶 的數(shù)據(jù)。這樣避免了運(yùn)營商管理員全面掌握所有數(shù)據(jù)資源。 ● 對于 用戶 的數(shù)據(jù)需要全部加密，而密鑰只掌握在數(shù)據(jù)的擁有者的手中， 用戶 可以通過協(xié)定來對密鑰的生命周期等進(jìn)行規(guī)定。采用安全的通信協(xié)議 HTTPS 與云的前置機(jī)進(jìn)行交互，通過前置機(jī)與云系統(tǒng)通信來建立一條安全的傳輸通路。為了避免管理員訪問 用戶 的數(shù)據(jù)，可以采用數(shù)據(jù)加密和管理權(quán)限分離的方式來保護(hù) 用戶 的數(shù)據(jù)。細(xì)粒度的保護(hù)通過定義誰可以在一天中什么時間訪問什么數(shù)據(jù)的細(xì)粒度政策，在數(shù)據(jù)的整個生命周期中對其保持控制。明確界定哪些類型的數(shù)據(jù)受到保護(hù)，哪些應(yīng)用程序可以訪問數(shù)據(jù)并不受限制地與其交互等等。 （ 2）基于將基于多 用戶 的細(xì)粒度訪問控制策略 策略驅(qū)動式的數(shù)據(jù)訪問對于 用戶 數(shù)據(jù)的安全性有良好的保障。 （ 1）以強(qiáng)身份驗證為基礎(chǔ) 數(shù)據(jù)訪問