云计算的开放架构设计

录入：edatop.com 点击：

　　1.4 块存储能力开放

　　块存储将存储区域划分成固定大小的小块，是传统裸存储设备的存储空间对外暴露方式，如图4所示。传统设备的块存储面向的是单一的物理设备，而到了云计算环境，块存储设备也将面临分布式环境。

　　在云计算中提供块存储能力对于虚拟机与存储系统的有机结合有着其他存储方式无法替代的作用［2］。因为很多应用软件并没有按照云存储形式进行改造或优化，例如大部分的数据库软件。如果想要在虚拟机中有效地部署并使用这些应用，提供块存储能力必不可少。

　　块存储的一个问题是安全性较差。因并非直接对应用暴露接口，而是面向操作系统暴露底层设备，因此对于存储的内容往往没有较好的办法进行控制。

　　中兴通讯配合虚拟机技术，实现了分布式的块存储访问模式。通过块存储，能够将多台机器上的物理存储设备虚拟化，并且重新切分，分配给需要使用的虚拟机。使用块存储设备还可以很好地利用淘汰下来的旧存储设备，通过存储虚拟化接口层，将不同的物理底层设备接口进行屏蔽［3-4］。

　　通过存储虚拟化层整合各种物理存储设备，并将它的内空间按固定的大小统一切片。然后向客户端提供块存储接口，并将多个切片后的小块存储区域通过存储虚拟化层统一调度并组成客户所需要的卷大小，如图5所示。每个小的切片都会由接口将客户机的块访问请求直接映射成为物理机的块访问请求。

　　1.5 IaaS能力开放的安全性考虑

　　对于商业系统用户来说，系统的高效访问、可靠性、易用性是其中一个方面，但最终决定是否使用云计算作为企业基础服务的是能力开放的安全性。

　　（1）特权使用者的管理

　　特权使用者，例如运营商的管理员，由于具有绝对的权力，必须严格监管。

　　（2）法规的遵守

　　虽然云计算公司是通过运营商提供服务，但法律法规还需要提供服务的公司遵守并承担，而非运营商本身。因此客观要求不仅是服务公司必须满足相关的法规要求，为其提供服务的运营商也必须满足相关的要求才能够避免法律风险。

　　（3）资料所在地理位置的管控

　　隐私保护权在各个国家和地区有所不同，作为无边界的网络服务，必须有能力满足特定地理位置下用户的隐私规则，以保证符合服务地的法规。有些国家和地区对敏感数据的物理存储地址也有限定，服务提供商必须能够满足这些要求。

　　（4）数据的隔离

　　云服务面向很多用户，因此必须保障数据的有效隔离，必要时要有能够提供数据物理隔离的能力。

　　（5）故障情况下数据的恢复能力

　　故障发生时，如何能够快速恢复服务与数据，并有效备份数据，是必须考虑的。

　　（6）对调查的支援能力

　　某些法律，如《萨班斯法案》中，要求所有的数据操作都有可追溯性。如果面临审计或法律调查，服务提供商要能够有效提供相关的操作数据。

　　（7）永久可用性

　　云服务的供应商不一定可以永久地提供服务，例如HP最近就停止了网络相册服务。在服务终止时，将数据和服务由一个运营商迁移到另一个运营商或自己的数据中心是一个非常重要的安全性因素。

　　2 PaaS能力开放架构

　　2.1 基于虚拟化的业务云托管与部署

　　这种应用场景主要是互联网数据中心（IDC）的运营［5］，典型的如Amazon的弹性计算云（EC2），能够支持各种不同的操作系统以及开发环境。这种类型的平台一般向用户提供了如下特性：

　　灵活性

　　系统一般容许用户对运行实例的类型、数量、占用的资源量甚至地理位置进行相对自由的定制，并可以根据用户需求随时调整。

　　低成本

　　使用运营商提供的这种服务以后，小型企业就不必自行购置昂贵的机器设备及网络设备，可根据服务的容量及时间进行收费。

　　安全性

　　运营商一般会提供一整套的安全措施，如基于安全外壳协议（SSH）的访问鉴权、防火墙设置等，同时容许用户对他们的应用自行监控。

　　易用性

　　运营商除了提供基础的虚拟机服务以外，还会提供其他一些基础服务，如对象存储、数据库、消息管道等。应用程序不必额外搭建这些基础设施就能够直接使用。

　　容错性

　　系统一般都提供一定的网络及存储容错机制，一旦发生故障，能够保障数据的可靠及尽可能稳定的用户服务。

　　对外提供的访问接口主要有3类：

　　虚拟机远程访问接口。主要是通过统一验证的SSH服务及可靠数据协议（RDP）服务提供。

　　管理服务接口。提供用户自行监控虚拟服务集群的状态及创建、删除、调整虚拟节点。

　　业务服务访问接口。完全由客户在虚拟机内运行的服务提供，但系统可以提供统一的安全访问服务。

　　2.2 业务能力开放

　　业务开放平台能够提供网络或业务执行的模块接口。开发者能够通过调用开放应用程序编程接口（API）所提供的各种功能［6］，快速集成不同的模块，以建立新的网络应用。目前这类服务有很多，最著名的是Google的地图服务。电信企业也能够开放和电信相关的一些业务，例如手机的位置查询服务、短信群发服务等；淘宝也根据自身需要，开放了与很多用户商品和交易相关的API。

　　为了让这些不同的服务与资料快速集成，很多公司还同时提供Mashup快速开发工具，例如Yahoo 的Pipe、Google 的Mashup Editor 以及微软的Popfly。

　　在业务能力开放平台，一般还需要设立开发者沙箱［7］，用于协助开发者在开发阶段模拟真实系统操作，同时又不干扰真实系统的运营。图6是业务能力开放平台的一套典型部署结构。