私有云的建設與應用

張釗榮 黃磊博 鄭 薇

（中國地質科學院探礦工藝研究所，四川成都 611734）

0 引言

現階段，云計算日漸普及，傳統的IT 構架已然無法達到當前時代對企業信息建設的要求標準，各行業為在競爭激烈的信息時代中獲得長效發展，紛紛引入云計算技術，在此情況下，私有云應運而生。私有云的構建宗旨在于為個體提供差異化數據資源服務，故而需要對服務質量、安全性以及數據提供做出有效控制[1]。企業應具備相應的基礎性設施，以此為基礎，能夠控制好應用程序部署的手段。一般來說，企業可在內部防火墻或主機存管處創建并部署私有云。通過市場調查不難發現，部分企業尚未明晰云技術對自身發展的意義，也沒能掌握云技術應用要點，私有云構建難以為繼?；诖耍疚膹亩鄠€方面針對私有云的建設與應用展開了詳細討論。

1 私有云概述

私有云大多由企業抑或是第三方運營、管理及所有，其部署場所相對廣泛，涉及數據庫、防火墻等。使用者也能夠針對其他方面進行授權訪問。限制性和獨立性是私有云最為基礎和典型的特性，其所應用的服務技術與公有云相差不大，故而能夠為終端用戶提供同樣服務。使用者能夠控制及掌握儲存、計算等全部資源，并獲得專項權限。后者將其看作“私有云托管”。在使用私有云時，相關用戶需按要求繳納許可費和基礎架構費等。對于某些看中業務敏感功能、靈活性以及資源專享的用戶來說，這一選擇十分理想。私有云還可以為企業提供一定的機會，其付費功能在企業內部同樣適用，管理者可利用該功能統計并收取內部費用，進而在企業中進行成本分攤，提高經濟效益的同時強化成本觀念。另外，私有云具備的另一優點是可以在數據操作工作中應用云計算存在的益處以及附加控制。管理私有云的人員，能夠針對全局視圖的基礎架構進行訪問，同意使用人員針對自動化操作、應用模塊以及基礎性設施進行監控。例如按照實際使用需求進行虛擬機的自動調整，有關資源的應用需要一目了然。

2 私有云整體建設的思路

2.1 整合物理資源

將應用交付、網絡設備、服務器、存儲等資源與硬件物理設備進行資源整合，可使私有云更好地發揮其物理資源管理功能。

2.2 資源池虛擬化

虛擬是信息技術的代名詞，想要推進私有云建設，必須做好企業資源的虛擬化。有機整合物理及其他運行資源，以此構成資源池，并在相關技術的作用下實現虛擬化，借此為私有云平臺提供一定承載能力。與此同時，網絡資源池在虛擬環境下能夠發揮業務活動方面的編排調度作用，而存儲池除具備日常資源存管功能外，還可以提供運行管理、運維管理等數據儲存池。

2.3 建設能力資源池

運維能力、安全能力以及運營能力3 個核心部分構成了能力資源池。相應管理者可借助運維能力從審計運維日志、報表運維、授權管理能力資源池、監控資源、池內拓撲管理、可視化流量管理、資源池安全故障自檢、告警管理、運維管理租戶等層面完成安全運維工作。而優化升級相關應用技術、保障運行安全則是安全能力的主要作用，具體包括審計、入侵監管、Web 應用及清洗流量等。從有關運營能力的描述中可以看出，確保運營穩定是該部分的核心工作，具體包括了管理租戶以及租戶資源、安全定價、工單管理、支撐租戶相關自服門戶及對接原有賬戶等能力。

3 私有云整體建設關鍵技術

3.1 軟件定義安全

由軟件定義網絡（Software Defined Network）進一步引申為“安全定義”，借助虛擬相關技術抑或是資源集成管理功能，為使用者更加靈活地提供軟件定義的能力[2]。結合各業務的特性，軟件可按需發揮其安全定義作用，同時也可依據不同的防護來源重構功能組合，以便使用者更好地操作應用。

3.2 可視化與微隔離

結合微隔離相關定義可知，該技術可較好地適應虛擬環境，且可對平臺內數據起到監管作用，常用于阻斷外部攻擊行為，在維持云環境穩定方面有關鍵作用。隨著此項技術的不斷發展，衍生出可視化虛擬網絡技術，這一技術主要用于搜集業務及網絡流量所產生的信息，并實時傳輸給使用者，為其提供可視化服務。私有云與傳統IT 架構相比，具有資源靈活共享的特征，正因如此，將傳統互聯網的信任邊界巧妙地破除了。業務內部各虛擬機間、業務和業務間均難以在常規隔離手段下達到預期隔離目標?，F階段處理公有云的方案中，使用Agent 代理形式是實現監控及隔離云主機的一種重要手段，此類手段在私有云之中一樣適用，利用Agent 進行采集，云管理平臺能夠應用業務不同的虛擬機數據，不僅有利于可視化管理云資產，還能夠借用該技術強化使用者對資產數據的管控力。管理私有云的平臺能夠借助提供安全能力的主機、虛擬機內部Agent 抑或是微隔離組件，為使用者提供更加強大的安全管控能力以及安全分析能力[3]。另外，Agent 針對主機行為相關的審計事件進行了詳細記錄，如業務虛擬機審計、虛擬主機的安全事件等。同時將此類數據發送至私有云管理平臺，開始啟動日志數據的集成化處理和深層次分析功能，對所接收的信息資源進行全方位分析，能夠為使用者提供安全問題追蹤功能以及安全風險評估功能。

3.3 虛擬化安全功能

可在各軟硬件設備通用平臺實施虛擬處理操作，將僅服務于專用設備的安全功能作為操作目標，以此來降低安全功能對平臺的附屬性和依賴性，同時可實現部署效率及質量的雙重提升。需注意的是，嚴格執行運維成本的全面規劃工作，以期進一步提高安全能力以及網絡的運維能力、一體化運營能力，提高安全能力整體適配程度。

3.4 資源安全技術

該技術的作用對象為各類虛擬機，具體包括漏洞掃描、堡壘機、WAF、專項網、核查配置、入侵防護系統、審計日志、審計數據庫、防火墻等內容[4]。部署資源池化安全能力可從虛擬網絡入手，利用該功能來整合傳統網絡的風險監測及防護功能，構成真正的資源池化安全能力，具備隨時隨地按實際需要擴容、高可靠性池化級、隨時實例化等特征。

3.5 組件編排

在資源池化的前提下，綜合使用其自身的服務編排及Overlay 等技術，進一步實現按照實際需要組裝、編排及實時維管與安全能力相關的組件。在智能編排技術的支持下，私有云用戶能夠根據個人實際狀況決定業務內容，按照實際需求使用安全防護有關技術棧。針對安全防護能力，用戶同樣可依據個體現實情況來進行購入和編排。若運維管理者切實需要借助安全防護能力，則僅通過申請、部署及編排相關資源便能夠使私有云管理平臺中運營組件展開自動化運作。此時，相應的NFV 便會以時間先后為依據開始自動運作，對相關業務進行流量編排，實時更新使用者日志及統一數據源，通過完整的信息搜集來完成編排任務，確保該項工作更具嚴謹性，使用者可以根據個人網絡及安全業務進行靈活定義。

3.6 安全業務聯動

在網絡監控虛擬化技術、虛擬資源、可視化技術以及微隔離技術的基礎上，平臺不僅支持運維監控，同時還能夠在數據采集基礎上，借助安全能力和相關組件來完成日志和流量信息的收集，并開展對應編排。通過集成管理及調度，可實現業務聯動，同時生成安全監管檔案。在安全業務聯動的基礎上，建立安全系統的一個體系化工程，從網絡的安全處置層面、安全檢測層面、數據監控層面以及網絡隔離層面均展開了有效整合，進而構成更加高效的防護系統。

4 提高私有云應用效果的具體措施

4.1 提高應用安全性

保障私有云使用者個人信息安全是現階段建設云平臺的關鍵所在。私有云平臺建設是在互聯網基礎上展開的，現階段網絡信息技術發展速度如此之快也給諸多網絡用戶帶來了一定的安全問題，個人信息整體私密性不夠好，盡管私有云平臺給使用者個人信息安全帶來了保障，但互聯網內部不法分子層出不窮，不法分子可能會盜取使用者個人信息，以此謀取不合法利益。畢竟使用者個人信息十分重要，一旦發生信息泄露事件，必然會給使用者帶來難以挽回的損失[5]。不僅如此，也會降低使用者對私有云的信任程度。另外，私有云還存儲著對企業穩定運作有重大意義的數據資源，如若發生病毒入侵事件，則企業極可能因數據丟失或代碼紊亂而遭受經濟、聲譽雙重重創，其所面臨的風險也會大大增加。從私有云管理者角度考慮，需要加強重視保障私有云平臺整體安全。比如，定期展開安全性檢測，定期更新私有云平臺相關系統等。除此以外，私有云管理平臺需要持續更新平臺的服務系統，逐漸構建并完善私有云平臺建設，進而保障使用者信息安全，利于私有云長期穩定發展。

4.2 培養高素質專業人才

在建設私有云平臺的過程中，專業性較強的技術人才占據著十分重要的地位。眾所周知，“人”乃立業之本，“人才”是企業運營的基石，任何工作的開展均無法離開專業人才。專業人才是企業發展的命脈[6]。除此之外，技術專業人才不可或缺，在建設私有云平臺的過程中，若想保障私有云整體的安全性能，必須安排技術專業人才對私有云展開維護，對使用者個人信息安全展開維護。不僅如此，技術專業人才大多數情況下是素質較高的人才，不僅能夠對私有云平臺進行專業性的維護，而且能夠盡心盡力地維護使用者個人信息安全。例如，在行業競爭日趨激烈的環境下，利益誘惑事件時常發生，對手為鞏固自身地位往往會利用物質或非經濟利益誘惑負責私有云管理的相關人員，部分工作者因貪圖利益向其提供企業內部核心機密以及客戶信息等。不過大部分技術專業人才均經過嚴格的培訓工作，其職業素養相對較高，且具備企業精神，能夠主動維護自身和企業的權益，并不會在外界高利益驅使下改變原則，亦不可能損害企業形象或使其處于危機困境中。另外，高素質人員除業務能力出眾外，其對自身也有著較高要求，諸多人才均嚴于律己、盡職盡責，對企業存在非常高的忠誠度。故而，構建私有云平臺的過程中應用素質較高的專業技術人才是十分重要且必要的。

4.3 保持創新理念

盡人皆知，持續進步的前提是變革，企業若想在時代更迭中穩住腳跟，唯有將創新落實于私有云的創建及運維全過程，確保該平臺能與時俱進，在當下及未來發展中更好地服務于企業[7]。私有云管理平臺能夠定期展開創新優化，進一步提升其市場競爭能力，對優化私有云平臺、保障行業穩定發展十分有利。除此以外，隨著新時代的到來，設計理念逐漸變得重要。吸引使用者的關鍵在于設計理念，故而設計理念創新在建設私有云平臺中占據著重要地位。建設私有云平臺是依據云計算推出的，過往私有云平臺所具備的內容模式均難以滿足不同客戶的實際需求，私有云平臺建設需與行業發展獨特因素相結合。例如，企業可按照當前大眾想要的生活模式創建私有云，能夠以此為基礎著手主題建設，根據使用者需求播報某些綠色環保類型的新聞、講解可持續發展這一環保理念等，均存在較高的可行性。

5 結語

建設私有云平臺需要不同方面的保護及支持，只依靠有關工作者是遠遠不夠的。本文在概述私有云的基礎上，分析了私有云整體建設的思路，如資源池虛擬化、建設能力資源池等。不僅如此，對私有云整體建設關鍵技術也展開了細致分析，關鍵技術包括了軟件定義安全、微隔離與可視化虛擬網絡、虛擬化安全功能、資源池化安全能力、組件編排以及安全業務聯動等，進而提出提高私有云應用效果的具體措施，以供行業參考。