企業(yè)私有云平臺(tái)建設(shè)初探

趙赫 金建強(qiáng)

摘要：隨著近幾年云計(jì)算技術(shù)的不斷發(fā)展，云平臺(tái)開(kāi)始越來(lái)越多的承載企業(yè)的基礎(chǔ)環(huán)境和業(yè)務(wù)流程。云平臺(tái)是指可以提供IaaS、PaaS、SaaS等各種云服務(wù)的平臺(tái)，按照其功能的不同可以分為以數(shù)據(jù)存儲(chǔ)服務(wù)為主的存儲(chǔ)型云平臺(tái)，以計(jì)算能力提供為主的計(jì)算型云平臺(tái)以及計(jì)算和數(shù)據(jù)存儲(chǔ)處理兼顧的綜合云計(jì)算平臺(tái)。多云平臺(tái)共存的私有云和AWS、Azure、阿里云等公有云結(jié)合的混合云成為企業(yè)云平臺(tái)下一步發(fā)展的趨勢(shì)。

關(guān)鍵詞：企業(yè)私有;云平臺(tái)建設(shè);初探措施

企業(yè)加強(qiáng)私有云平臺(tái)的分析研究與建設(shè)，最明顯的優(yōu)勢(shì)是能縮短信息和企業(yè)業(yè)務(wù)間距，減少信息運(yùn)營(yíng)成本，并增強(qiáng)系統(tǒng)靈活應(yīng)變的能力，保證其柔軟性。堅(jiān)持做好私有云平臺(tái)的分析研究與建設(shè)，能使過(guò)去普遍存在的包含信息孤島等在內(nèi)的問(wèn)題都從根本上杜絕，另外，企業(yè)的各類業(yè)務(wù)系統(tǒng)還能在總線的支持下實(shí)現(xiàn)串聯(lián)，進(jìn)而達(dá)到預(yù)期的一體化目標(biāo)。

1云管平臺(tái)的概念與分析

云管平臺(tái)（CloudManagementPlatform，CMP）為數(shù)據(jù)中心資源的統(tǒng)一管理平臺(tái)，可以管理多個(gè)開(kāi)源或者異構(gòu)的云平臺(tái)，主要功能范圍包括多種基礎(chǔ)架構(gòu)和資源的整合，跨平臺(tái)的編排，以服務(wù)目錄方式展現(xiàn)的自服務(wù)界面，資源訪問(wèn)管理和流程配置，資源統(tǒng)計(jì)和費(fèi)用管理，以及與外部已有的企業(yè)管理系統(tǒng)集成和對(duì)接等。云管平臺(tái)在云計(jì)算體系中扮演著承上啟下的角色，它向上承載和支撐了各類行業(yè)應(yīng)用，向下進(jìn)行資源的管理和調(diào)度。在未來(lái)云管平臺(tái)的發(fā)展方向上應(yīng)該包括增強(qiáng)自動(dòng)化部署，回收休眠資源，減少硬件采購(gòu)、資源按需使用，標(biāo)準(zhǔn)藍(lán)圖部署應(yīng)用、混合云資源統(tǒng)一管理等幾個(gè)方面。

2企業(yè)私有云環(huán)境下面臨的安全風(fēng)險(xiǎn)

2.1網(wǎng)絡(luò)邊界模糊

傳統(tǒng)數(shù)據(jù)中心里，防火墻、入侵防御，以及防病毒等安全解決方案主要聚焦在內(nèi)外網(wǎng)之間邊界上通過(guò)的流量進(jìn)行邊界防護(hù)。而現(xiàn)在進(jìn)行服務(wù)器虛擬化之后，原本清晰的內(nèi)網(wǎng)網(wǎng)絡(luò)邊界消失，所有網(wǎng)絡(luò)下沉到服務(wù)器內(nèi)部，安全防護(hù)原則為越貼近安全防護(hù)對(duì)象則防護(hù)效果越好，但是從目前現(xiàn)狀來(lái)看傳統(tǒng)物理安全防護(hù)設(shè)備離需要重點(diǎn)保護(hù)的業(yè)務(wù)服務(wù)器越來(lái)越遠(yuǎn)，并且無(wú)法按需進(jìn)行靈活擴(kuò)展解決虛擬機(jī)靈活遷移的問(wèn)題。

2.2東西向流量不可見(jiàn)、不可控

流量監(jiān)控是運(yùn)維的重點(diǎn)所在，在傳統(tǒng)數(shù)據(jù)中心里，可以通過(guò)多種手段進(jìn)行流量的監(jiān)控，但在虛擬化場(chǎng)景中，大量的流量交換發(fā)生在服務(wù)器內(nèi)部的虛擬交換機(jī)上，東西流量管理成為困難，虛擬機(jī)之間發(fā)生攻擊也成為防護(hù)盲點(diǎn)，東西向流量不可見(jiàn)、不可控。

2.3云環(huán)境下數(shù)據(jù)存在泄露風(fēng)險(xiǎn)

現(xiàn)有的云化數(shù)據(jù)中心，云資源管理環(huán)節(jié)包括，資源申請(qǐng)、發(fā)放、變更、遷移、刪除。當(dāng)私有云租戶申請(qǐng)資源下線或原有系統(tǒng)發(fā)生遷移時(shí)，系統(tǒng)管理員對(duì)下線系統(tǒng)資源數(shù)據(jù)存儲(chǔ)區(qū)域進(jìn)行數(shù)據(jù)刪除格式化操作，以供下次租戶申請(qǐng)使用。數(shù)據(jù)刪除后新的租戶可以利用某些工具軟件對(duì)已刪除的虛擬機(jī)區(qū)域進(jìn)行數(shù)據(jù)恢復(fù)，那么這會(huì)存在數(shù)據(jù)泄露的威脅。

3企業(yè)私有云平臺(tái)自動(dòng)化部署程序的設(shè)計(jì)與實(shí)現(xiàn)

3.1自動(dòng)化部署ansible腳本的實(shí)現(xiàn)

自動(dòng)化部署ansible腳本的實(shí)現(xiàn)主要需要編寫(xiě)幾個(gè)文件。下文以一個(gè)controller節(jié)點(diǎn)，一個(gè)computer節(jié)點(diǎn)，共兩個(gè)節(jié)點(diǎn)搭建的openstack私有云平臺(tái)為例進(jìn)行介紹。

1）ansible系統(tǒng)文件在控制節(jié)點(diǎn)安裝Ansible組件后，主機(jī)/etc目錄會(huì)生成ansi？ble文件夾，內(nèi)部包含所有的ansible的所必須的配置文件和環(huán)境變量文件。

2）ansible基礎(chǔ)文件配置創(chuàng)建openstack_base目錄。此目錄創(chuàng)建所有使用到的數(shù)據(jù)和變量信息，此目錄的部分文件和目錄如下所示。在上述文件中所有的默認(rèn)環(huán)境參數(shù)則由group_vars目錄內(nèi)all文件來(lái)定義，playbooks中的一個(gè)操作由roles目錄內(nèi)的執(zhí)行方法來(lái)執(zhí)行，每一個(gè)roles目錄內(nèi)的方法均分為tasks和tem？plates兩個(gè)目錄，tasks目錄為該方法執(zhí)行的所有腳本，templates目錄為此方法所有的模板文件或配置文件。

3）all文件編寫(xiě)首先需要填寫(xiě)環(huán)境參數(shù)文件group_vars目錄內(nèi)文件，具體如右：

4）deploy.yml文件編寫(xiě)編寫(xiě)統(tǒng)一的腳本把所有的功能模塊合成一個(gè)整體，在roles同級(jí)目錄編寫(xiě)deploy.yml文件。

3.2平臺(tái)實(shí)施

基于以上對(duì)云平臺(tái)的規(guī)劃設(shè)計(jì)，很多企業(yè)都已經(jīng)完成了對(duì)云平臺(tái)的建設(shè)，并利用平臺(tái)，完成了對(duì)OA系統(tǒng)和HR系統(tǒng)的開(kāi)發(fā)及部署，使業(yè)務(wù)的運(yùn)營(yíng)實(shí)現(xiàn)了一體化，徹底打通之前面臨的信息壁壘，促使企業(yè)的信息系統(tǒng)從過(guò)去以功能性為核心的模式逐漸轉(zhuǎn)化成以流程式為核心的模式，提高上游和下游之間業(yè)務(wù)的通暢性。

4私有云平臺(tái)在企業(yè)中的應(yīng)用研究

4.1資源管理

云管平臺(tái)可以對(duì)云平臺(tái)資源（服務(wù)器、存儲(chǔ)和網(wǎng)絡(luò)）進(jìn)行管理，并按需提供服務(wù)。具體包括：首先是發(fā)現(xiàn)服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等，并對(duì)其進(jìn)行標(biāo)記管理，通過(guò)相應(yīng)的自動(dòng)化工具來(lái)對(duì)云資源進(jìn)行配置。其次是與服務(wù)自動(dòng)化部署和管理配置工具集成，以便于對(duì)資源的配置和維護(hù)。最后是支持跨云的遷移，包括從私有云向私有云遷移、私有云向公有云遷移等。

4.2混合云管理

云管平臺(tái)通過(guò)設(shè)定的組織策略來(lái)對(duì)混合云進(jìn)行管理。具體包括：首先是具有一個(gè)策略引擎，可以根據(jù)組織策略來(lái)管理云平臺(tái)資源，包括防止將機(jī)密數(shù)據(jù)遷移到公有云，統(tǒng)管公有云和私有云的資源配額等。其次是跟蹤和管理合規(guī)性要求，阻止不合規(guī)的公有云服務(wù)。

4.3安全性

云管平臺(tái)的安全性必須按照企業(yè)既定策略來(lái)管理。具體包括：首先是管理的現(xiàn)有云平臺(tái)資源的加密情況，需要具有密鑰管理和加密證書(shū)。其次是設(shè)置基于角色的訪問(wèn)控制，包括最終用戶、開(kāi)發(fā)人員、管理員等不同的角色定義的權(quán)限。

5結(jié)語(yǔ)

云計(jì)算技術(shù)正快速發(fā)展，許多公司都開(kāi)始提供公有云服務(wù)，在這一實(shí)際情況下，更多企業(yè)開(kāi)始建立私有云平臺(tái)。通過(guò)私有云計(jì)算的實(shí)現(xiàn)，能對(duì)企業(yè)現(xiàn)有各類計(jì)算資源予以整合，并伴隨云計(jì)算技術(shù)實(shí)際應(yīng)用日益擴(kuò)展，同時(shí)促進(jìn)企業(yè)的各類業(yè)務(wù)系統(tǒng)還能在總線的支持下實(shí)現(xiàn)串聯(lián)，進(jìn)而達(dá)到預(yù)期的一體化目標(biāo)。

參考文獻(xiàn)：

[1]云計(jì)算環(huán)境下信息安全分析[J]，張慧，邢培振，計(jì)算機(jī)技術(shù)與發(fā)展，2011，（12）：164-166+171.

（作者單位：中車大連機(jī)車車輛有限公司）