中国联通私有云的思考
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国联通关于私有云的思考
2011年09月
云平台建设的整体考量
私有云 私有 公有云 公有 提供的是服务 应用、流程、信息作为服务(SaaS)
(行业应用, CRM, ERP, OA等) 电信行业建设云平台面临的问题: 9技术不是主要问题,技术的积累相对简单。 9云平台的管理框架不是很完善。 9电信行业云平台的运维模式几乎空白,整体安全管理 平台作为服务(PaaS) 框架几乎空白 混合云建设缺乏数据安全性的总体防护 框架几乎空白,混合云建设缺乏数据安全性的总体防护 (优化的中间件– 应用服务器、 思路。 数据库服务器等) 9贸然对公众开放云计算服务缺乏管理、运维、用户体 验等方面的经验。 一种思路 9以企业私有云为突破口,从基础架构开始,由简到难, 基础架构作为服务(IaaS) 逐步积累,进行云平台试点。 (虚拟的服务器、存储、网络) 9从内部信息化支撑系统开始,积累技术经验,探索服 务模式和运维管理模式,为公有云建设积累经验。
混合云
云具有多种形式和应用场景,那么作为运营商应该如何制定发展道路呢?
1
云平台建设的初步考虑
IaaS IaaS IaaS
IaaS
IaaS PaaS
I
II
III
2
信息化云平台
信息化建设中的困惑:
传统建设模式中,应用系统的 传统建设模式中 应用系统的IT基础资源分配相对固化, 基础资源分配相对固化 一般存在以下问题: 般存在以下问题: 1、因基础设施资源不足,导致项目建设周期过长,对新业务的支撑进度相对缓慢,无 法满足快速变化的市场需求; 2、底层的硬件架构制约上层的应用扩展,支撑系统时常需要扩容或迁移; 底层的硬件架构制约上层的应用扩展 支撑系统时常需要扩容或迁移; 3、为了确保系统安全,核心支撑系统一般采取1+1备份方式,设备总体资源利用率不 高; 4、节假日、月底月初业务高峰期时系统资源紧张易导致系统运行不稳定; 5、基础设施的建设、维护人员无法复用,投资、维护成本偏高。 未来高速移动互联网、物联网等应用对IT支撑平台提出巨大挑战,急需一种快速、高 效、绿 的资源交付模式。 效、绿色的资源交付模式。
思考:如何才能达成业务需求快速 响应、投资维护成本最大节省、各 系统安全稳定的多方共赢? 系统安全稳定的多方共赢 答案:云
3
信息化云平台
桌面云部署方式
应用或桌面100%安 装及运行于服务器上 服务器 只有屏幕、鼠标和 键盘等更新信息在 网络里传输
数据中心
瘦客户机 桌面影像显示在 桌 影像 在 客户端 z 桌面操作系统 z 各种业务应用的客 户端
虚拟化 服务器
存储
数据
数据
后台业务系统 •ESS系统 •CRM系统 •客服系统 •……
4
信息化云平台
桌面云实施效果:
使用云计算+瘦终端完全可以替代当前营业厅终端功能,完全访问BSS所有应用及各类业务办理 、业务服务,支持各种外设; 易于使用和原有PC机使用方式没有差别 支持双屏显示; 全厅2M电路上行足以承载; 占地面积小,噪声小,易于维护;
5
信息化云平台建设中的安全问题
CRM、客服 等后台业务 系统
LDAP、AD、 DHCP等已有 IT基础系统
瘦终端+胖终 端安全问题
网络传输 安全问题
虚机安全问题
应用虚拟化后 的安全问题
对于现有安全框架的影响: 1、对于安全域划分的影响 2、云平台系统的安全管理 3、对于安全运维 模式的影响
6
信息化云平台建设中的安全问题
终端的安全问题 瘦终端内还是有一定的硬件芯片,具有本地缓存, 实现方式多为精简的linux,如何保证安全性? 胖终端通过插件等方式实现桌面虚拟化功能,和 普通软件一样,如何保证虚拟化应用的内存不被入 侵?如何保证虚拟化应用的IO不被劫持? 手机终端越来越智能化,如何保证智能移动终端 的安全性? 终端外设如何控制,如何确保外设接口的安全, 如何防止外设接口的非法操作? 终端侧网络端口如何实现与物理终端的绑定?如 何防止授权以外的其他终端接入? 终端侧安全实现方式各不相同 缺乏统 标准 缺 终端侧安全实现方式各不相同,缺乏统一标准,缺 乏规范性要求。
7
信息化云平台建设中的安全问题
网络传输的安全问题
终端和虚机通信是否有足够的保护机制,防止信息在传输中被获取。(实际 使用中可以采用自有协议或者加密隧道的方式) 各厂商自有协议和加密方式繁多,缺乏统一标准要求,扩展性差,不利于集成 和统一管理。 虚机的安全问题 如何防止风险在不同VM间扩散,特别是在同一台物理主机 上的虚机之间进行通讯时。(实际中可以与普通终端同样对待, 每台VM部署防毒软件, 部署防毒软件 VM之间部署虚拟防火墙,但是安全软 之间部署虚拟防火墙 但是安全软 件会耗费大量资源。) VMM层如何防护?虽然该层现在没有安全事件发生,但是 存在极大隐患 VMM失守会导致驱动层、 存在极大隐患, 失守会导致驱动层 VM完全被控制。 完全被控制 虚机安全防护缺乏总体指导规范,缺乏统一标准,缺乏针对 VMM层的监控产品。
8
VM
VM
VMM
信息化云平台建设中的安全问题
应用虚拟化后的安全问题
CRM应用 OA应 用 业务应用能力 数据分析 结算系统 … 门户
基于VDC的IT系统架构
中间件服务(云)
DB服务(云)
企业基础设施服务
计算 网络
存储
应用虚拟化之后大量数据和存储共 享,如何保证数据的访问和使用受到 规范管理? 不同应用系统具备不同的安全等级, 不同应用系统具备不同的安全等级 系统安全等级如何界定。(避免防护 过当,浪费投资) 应用虚拟化后应用系统分属不同部 门管理,对于账号、口令等4A管理体 系应如何搭建。 虚拟化应用服务器应如何防护(和 VM终端面临同样的安全问题) 应用虚拟化缺乏数据安全等技术细节 的防护方案 也缺乏安全运维和管理 的防护方案,也缺乏安全运维和管理 的整体解决方案,需要有统一的标准 和规范来指导。
9