1.云計(jì)算概述
2007年10月,Google與IBM開始在美國(guó)大學(xué)校園,包括卡內(nèi)基梅隆大學(xué)、麻省理工學(xué)院、斯坦福大學(xué)、加州大學(xué)柏克利分校及馬里蘭大學(xué)等,推廣云計(jì)算的計(jì)劃。
這項(xiàng)計(jì)劃希望能降低分布式計(jì)算技術(shù)在學(xué)術(shù)研究方面的成本,并為這些大學(xué)提供相關(guān)的軟硬件設(shè)備及技術(shù)支持(包括數(shù)百臺(tái)個(gè)人電腦及BladeCenter與System x服務(wù)器,這些計(jì)算平臺(tái)將提供1600個(gè)處理器,支持包括Linux、Xen、Hadoop等開放源代碼平臺(tái))。
而學(xué)生則可以通過網(wǎng)絡(luò)開發(fā)各項(xiàng)以大規(guī)模計(jì)算為基礎(chǔ)的研究計(jì)劃。
云計(jì)算經(jīng)歷四個(gè)階段:電廠模式、效用計(jì)算、網(wǎng)格計(jì)算和云計(jì)算。
電廠模式階段:電廠模式就好比是利用電廠的規(guī)模效應(yīng),來降低電力的價(jià)格,并讓用戶使用起來更方便,且無需維護(hù)和購(gòu)買任何發(fā)電設(shè)備。
效用計(jì)算階段:在1960年左右,當(dāng)時(shí)計(jì)算設(shè)備的價(jià)格是非常高昂的,遠(yuǎn)非普通企業(yè)、學(xué)校和機(jī)構(gòu)所能承受,所以很多人產(chǎn)生了共享計(jì)算資源的想法。
1961年,人工智能之父麥肯錫在一次會(huì)議上提出了“效用計(jì)算”這個(gè)概念,其核心借鑒了電廠模式,具體目標(biāo)是整合分散在各地的服務(wù)器、存儲(chǔ)系統(tǒng)以及應(yīng)用程序來共享給多個(gè)用戶,讓用戶能夠像把燈泡插入燈座一樣來使用計(jì)算機(jī)資源,并且根據(jù)其所使用的量來付費(fèi)。但由于當(dāng)時(shí)整個(gè)IT產(chǎn)業(yè)還處于發(fā)展初期,很多強(qiáng)大的技術(shù)還未誕生,比如互聯(lián)網(wǎng)等,所以雖然這個(gè)想法一直為人稱道,但是總體而言“叫好不叫座”。
網(wǎng)格計(jì)算階段:網(wǎng)格計(jì)算研究如何把一個(gè)需要非常巨大的計(jì)算能力才能解決的問題分成許多小的部分,然后把這些部分分配給許多低性能的計(jì)算機(jī)來處理,最后把這些計(jì)算結(jié)果綜合起來攻克大問題。
可惜的是,由于網(wǎng)格計(jì)算在商業(yè)模式、技術(shù)和安全性方面的不足,使得其并沒有在工程界和商業(yè)界取得預(yù)期的成功。
云計(jì)算階段:云計(jì)算的核心與效用計(jì)算和網(wǎng)格計(jì)算非常類似,也是希望IT技術(shù)能像使用電力那樣方便,并且成本低廉。
但與效用計(jì)算和網(wǎng)格計(jì)算不同的是,現(xiàn)在在需求方面已經(jīng)有了一定的規(guī)模,同時(shí)在技術(shù)方面也已經(jīng)基本成熟了。云計(jì)算的概念模型如圖8-2所示。
(1)虛擬化技術(shù)
虛擬化的目的在于集中IT管理任務(wù),簡(jiǎn)化運(yùn)維流程與降低成本,同時(shí)改善企業(yè)計(jì)算資源有效利用率和可用性。使得企業(yè)更能夠快速響應(yīng)商務(wù)需求以及提升競(jìng)爭(zhēng)力。
簡(jiǎn)單的來說,虛擬化就是改善傳統(tǒng)一臺(tái)物理服務(wù)器上運(yùn)行一個(gè)應(yīng)用程序的模式,讓物理服務(wù)器硬件及網(wǎng)絡(luò)資源能夠被充份的利用配置,使得一臺(tái)物理服務(wù)器上能夠運(yùn)行多個(gè)互相獨(dú)立的虛擬機(jī),并執(zhí)行多個(gè)應(yīng)用服務(wù)程序,如圖8-3所示云計(jì)算模式。
以較少的硬件資源實(shí)現(xiàn)更多更有效率的企業(yè)服務(wù),節(jié)省總擁有成本。虛擬化可實(shí)現(xiàn)于私有云、混合云與共有云計(jì)算平臺(tái)上,取決于企業(yè)服務(wù)形態(tài)與需求。
虛擬機(jī)是一個(gè)由軟件實(shí)現(xiàn),完全隔離的客操作系統(tǒng)(Guest OS),運(yùn)行于原本的主操作系統(tǒng)(Host OS)中,并有獨(dú)立的計(jì)算環(huán)境。虛擬機(jī)就像物理機(jī)一樣,包含自己的CPU、內(nèi)存(RAM)、外存(DISK)和網(wǎng)卡(NIC)等。
虛擬機(jī)完全是由軟件構(gòu)成,就是一個(gè)或多個(gè)的文件所組成,完全沒有硬件組件。因此,虛擬機(jī)提供了企業(yè)IT環(huán)境更多的彈性與好處,尤其是更快的服務(wù)維護(hù)及部署和更簡(jiǎn)單的備份管理。
除了虛擬化服務(wù)器之外,更進(jìn)一步IT基礎(chǔ)架構(gòu)及數(shù)據(jù)中心都可被虛擬化,使得企業(yè)可自動(dòng)化整合IT基礎(chǔ)架構(gòu),通過計(jì)算資源分享達(dá)到更有成本效益的資源管理配置,提升整體企業(yè)運(yùn)維的效率與彈性。
舉個(gè)簡(jiǎn)單的例子,當(dāng)企業(yè)在部署應(yīng)用服務(wù)的時(shí)候,都會(huì)遇到這個(gè)問題:應(yīng)該部署多少計(jì)算資源才能夠滿足各種情況下的服務(wù)訪問,配置太多不符合成本效益,因?yàn)?0%的時(shí)間服務(wù)器都沒有被有效利用;配置太少又無法滿足在高峰期的使用者訪問,造成服務(wù)品質(zhì)下降甚至服務(wù)中斷。
有了虛擬化基礎(chǔ)架構(gòu),所有計(jì)算資源可以共享,當(dāng)有需要時(shí)虛擬機(jī)可及時(shí)開啟,自動(dòng)化隨時(shí)調(diào)整響應(yīng)企業(yè)服務(wù)需求。IT基礎(chǔ)架構(gòu)的虛擬化(如圖8-4所示虛擬化基礎(chǔ)架構(gòu))也是由軟件來實(shí)現(xiàn),提供了一層系統(tǒng)架構(gòu)以區(qū)隔底層硬件(物理機(jī),存儲(chǔ),網(wǎng)絡(luò))與虛擬機(jī)和運(yùn)行在上的應(yīng)用服務(wù)程序。
虛擬化基礎(chǔ)架構(gòu)基本上包含以下組件功能:虛擬機(jī)和虛擬機(jī)管理程序(Hypervisor);資源管理,配置和備份功能;IT管理流程自動(dòng)化程序,比如錯(cuò)誤復(fù)原。
桌面虛擬化是把傳統(tǒng)桌面操作系統(tǒng)運(yùn)行于遠(yuǎn)端中央服務(wù)器的虛擬機(jī)上,使用者通過現(xiàn)有的物理機(jī)或瘦客戶端從任何位置訪問桌面,對(duì)于使用者來說就像用傳統(tǒng)桌面一樣,同時(shí)提供了更多的方便性、管理性和安全防護(hù)部署的集成,如圖8-5所示虛擬桌面基礎(chǔ)架構(gòu)。
(2)云計(jì)算特點(diǎn)
①計(jì)算資源集成提高設(shè)備計(jì)算能力
云計(jì)算把大量計(jì)算資源集中到一個(gè)公共資源池中,通過多主租用的方式共享計(jì)算資源。單個(gè)用戶在云計(jì)算平臺(tái)獲得服務(wù)水平受到網(wǎng)絡(luò)帶寬等各因素影響,未必獲得優(yōu)于本地主機(jī)所提供的服務(wù),但是從整個(gè)社會(huì)資源的角度而言整體的資源調(diào)控降低了部分地區(qū)峰值荷載提高了部分荒廢的主機(jī)的運(yùn)行率,從而提高資源利用率。
②分布式數(shù)據(jù)中心保證系統(tǒng)容災(zāi)能力
分布式數(shù)據(jù)中心可將云端的用戶信息備份到地理上相互隔離的數(shù)據(jù)庫主機(jī)中,甚至用戶自己也無法判斷信息的確切備份地點(diǎn)。該特點(diǎn)不僅僅提供了數(shù)據(jù)恢復(fù)的依據(jù),也使得網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)黑客的攻擊失去目的性而變成徒勞,大大提高系統(tǒng)安全性和容災(zāi)能力。
③軟硬件相互隔離減少設(shè)備依賴性
虛擬化層將云平臺(tái)上方的應(yīng)用軟件和下方的基礎(chǔ)設(shè)備隔離開來。技術(shù)設(shè)備的維護(hù)者無法看到設(shè)備中運(yùn)行的具體應(yīng)用。同時(shí)對(duì)軟件層的用戶而言基礎(chǔ)設(shè)備層透明的,用戶只能看到虛擬化層中虛擬出來的各類設(shè)備。這種架構(gòu)減少了設(shè)備依賴性,也為動(dòng)態(tài)的資源配置提供可能。
④平臺(tái)模塊化設(shè)計(jì)體現(xiàn)高可擴(kuò)展性
目前主流的云計(jì)算平臺(tái)均根據(jù)SPI架構(gòu)在各層集成功能各異的軟硬件設(shè)備和中間件軟件。大量中間件軟件和設(shè)備提供針對(duì)該平臺(tái)的通用接口,允許用戶添加本層的擴(kuò)展設(shè)備。部分云與云之間提供對(duì)應(yīng)接口,允許用戶在不同云之間進(jìn)行數(shù)據(jù)遷移。類似功能更大程度上滿足了用戶需求,集成了計(jì)算資源,是未來云計(jì)算的發(fā)展方向之一。
⑤虛擬資源池為用戶提供彈性服務(wù)
云平臺(tái)管理軟件將整合的計(jì)算資源根據(jù)應(yīng)用訪問的具體情況進(jìn)行動(dòng)態(tài)調(diào)整,包括增大或減少資源的要求。因此云計(jì)算對(duì)于在非恒定需求的應(yīng)用,如對(duì)需求波動(dòng)很大、階段性需求等,具有非常好的應(yīng)用效果。在云計(jì)算環(huán)境中,既可以對(duì)規(guī)律性需求通過事先預(yù)測(cè)事先分配,也可根據(jù)事先設(shè)定的規(guī)則進(jìn)行實(shí)時(shí)公臺(tái)調(diào)整。彈性的云服務(wù)可幫助用戶在任意時(shí)間得到滿足需求的計(jì)算資源。
⑥按需付費(fèi)降低使用成本
作為云計(jì)算的代表按需提供服務(wù)按需付費(fèi)是目前各類云計(jì)算服務(wù)中不可或缺的一部分。對(duì)用戶而言,云計(jì)算不但省去了基礎(chǔ)設(shè)備的購(gòu)置運(yùn)維費(fèi)用,而且能根據(jù)企業(yè)成長(zhǎng)的需要不斷擴(kuò)展訂購(gòu)的服務(wù),不斷更換更加適合的服務(wù),提高了資金的利用率。
2.云計(jì)算服務(wù)
IaaS(Infrastructure-as-a-Service)基礎(chǔ)設(shè)施級(jí)服務(wù),消費(fèi)者通過Internet可以從完善的計(jì)算機(jī)基礎(chǔ)設(shè)施獲得服務(wù)。IaaS是把數(shù)據(jù)中心、基礎(chǔ)設(shè)施等硬件資源通過Web分配給用戶的商業(yè)模式。
PaaS(Platform-as-a-Service)平臺(tái)級(jí)服務(wù),是指將軟件研發(fā)的平臺(tái)作為一種服務(wù),以SaaS的模式提交給用戶。因此PaaS也是SaaS模式的一種應(yīng)用。但是,PaaS的出現(xiàn)可以加快SaaS的發(fā)展,尤其是加快SaaS應(yīng)用的開發(fā)速度。PaaS服務(wù)使得軟件開發(fā)人員可以不購(gòu)買服務(wù)器等設(shè)備環(huán)境的情況下開發(fā)新的應(yīng)用程序。
SaaS(Software-as-a-Service)軟件級(jí)服務(wù),是一種通過Internet提供軟件的模式,用戶無需購(gòu)買軟件,而是向提供商租用基于Web的軟件,來管理企業(yè)經(jīng)營(yíng)活動(dòng)。SaaS模式大大降低了軟件的使用成本和客戶的管理維護(hù)成本,由于軟件是托管在服務(wù)商的服務(wù)器上可靠性也更高。
Amazon開發(fā)了彈性計(jì)算云EC2(Elastic Computing Cloud)和簡(jiǎn)單存儲(chǔ)服務(wù)S3(Simple Storage Service)為企業(yè)提供計(jì)算和存儲(chǔ)服務(wù)。EC2向客戶提供虛擬執(zhí)行環(huán)境租賃服務(wù),供企業(yè)開發(fā)、測(cè)試或執(zhí)行應(yīng)用程序使用,客戶可以所需選擇內(nèi)存空間、運(yùn)算單位及存儲(chǔ)空間等環(huán)境。
S3是一個(gè)公開的服務(wù),Web應(yīng)用程序開發(fā)人員可以使用它存儲(chǔ)數(shù)字資產(chǎn)包括圖片、視頻、音樂和文檔,S3提供一個(gè)RESTful API以編程方式實(shí)現(xiàn)與該服務(wù)的交互。
AWS已經(jīng)具備云計(jì)算的三個(gè)基本特征:用戶需要的IT資源不在自己的數(shù)據(jù)中心里面,這些資源可以通過互聯(lián)網(wǎng)獲得,沒有固定的投資成本。
Amazon Web Services(AWS,Amazon WEB服務(wù))包括四種服務(wù):S3提供無限制存儲(chǔ)空間,存儲(chǔ)是每月每GB為15美分;EC2根據(jù)配置不同,服務(wù)器容量是每小時(shí)10-80美分,用戶可以選擇不同的服務(wù)器配置,對(duì)實(shí)際用到的計(jì)算處理量進(jìn)行付費(fèi);Simple Queuing Service(一種簡(jiǎn)單的消息隊(duì)列),以及處在測(cè)試階段的SimpleDB(簡(jiǎn)單的數(shù)據(jù)庫管理)。目前,Amazon通過互聯(lián)網(wǎng)提供計(jì)算處理、存儲(chǔ)、消息隊(duì)列、數(shù)據(jù)庫管理系統(tǒng)等“即插即用”型服務(wù)。
Google Drive是谷歌公司推出的一項(xiàng)在線云存儲(chǔ)服務(wù),用戶通過統(tǒng)一的谷歌賬戶進(jìn)行登錄;通過這項(xiàng)服務(wù),用戶可以獲得15GB的免費(fèi)存儲(chǔ)空間;同時(shí)如果用戶有更大需求,則可以通過付費(fèi)方式獲得更大的存儲(chǔ)空間。
Google Drive服務(wù)有本地客戶端版本、網(wǎng)絡(luò)界面版本,針對(duì)Google Apps客戶推出,配上特殊域名;Google向第三方提供API接口,允許從其它程序上存內(nèi)容到Google Drive。
Google Drive支持直接從網(wǎng)頁瀏覽器打開多達(dá)30多種文件格式,包括高清視頻和Photoshop文件,采用與其它App服務(wù)一樣的基礎(chǔ)架構(gòu),擁有同樣的管理工具和安全可靠性。
集中式管理,新的控制工具可以讓管理員刪除或者添加個(gè)人或者群組用戶的存儲(chǔ)空間;安全性,通過對(duì)傳輸于瀏覽器和服務(wù)器之間的數(shù)據(jù)進(jìn)行加密,同時(shí)采取2步認(rèn)證方式,以防止非授權(quán)的賬戶登錄獲取記錄;數(shù)據(jù)鏡像,即使在某個(gè)服務(wù)器宕機(jī)的情況下,數(shù)據(jù)仍然將是安全與可用的,因?yàn)閷?shù)據(jù)同步到了多個(gè)數(shù)據(jù)中心;可用性,Google保證99.9%時(shí)間正常運(yùn)行,因此無需擔(dān)心數(shù)據(jù)的可用性,任何時(shí)候需要時(shí)都可以獲得想要的數(shù)據(jù)。
3.云計(jì)算安全
云安全(Cloud Security)通過網(wǎng)狀的大量客戶端對(duì)網(wǎng)絡(luò)中軟件行為的異常監(jiān)測(cè),獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息,推送到服務(wù)端進(jìn)行自動(dòng)分析和處理,再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。
整個(gè)互聯(lián)網(wǎng),變成了一個(gè)超級(jí)大的殺毒軟件,這就是云安全計(jì)劃的宏偉目標(biāo)。云安全的策略構(gòu)想是:使用者越多,每個(gè)使用者就越安全,因?yàn)槿绱她嫶蟮挠脩羧海阋愿采w互聯(lián)網(wǎng)的每個(gè)角落,只要某個(gè)網(wǎng)站被掛馬或某個(gè)新木馬病毒出現(xiàn),就會(huì)立刻被截獲。
云安全技術(shù)是P2P技術(shù)、網(wǎng)格技術(shù)、云計(jì)算技術(shù)等分布式計(jì)算技術(shù)混合發(fā)展、自然演化的結(jié)果。
云安全的核心思想與反垃圾郵件網(wǎng)格非常接近,垃圾郵件泛濫而無法用技術(shù)手段很好地自動(dòng)過濾,是因?yàn)樗蕾嚨娜斯ぶ悄芊椒ú皇浅墒旒夹g(shù)。垃圾郵件的最大的特征是:它會(huì)將相同的內(nèi)容發(fā)送給數(shù)以百萬計(jì)的接收者。
為此,可以建立一個(gè)分布式統(tǒng)計(jì)和學(xué)習(xí)平臺(tái),以大規(guī)模用戶的協(xié)同計(jì)算來過濾垃圾郵件:首先,用戶安裝客戶端,為收到的每一封郵件計(jì)算出一個(gè)唯一的“指紋”,通過比對(duì)“指紋”可以統(tǒng)計(jì)相似郵件的副本數(shù),當(dāng)副本數(shù)達(dá)到一定數(shù)量,就可以判定郵件是垃圾郵件;
其次,由于互聯(lián)網(wǎng)上多臺(tái)計(jì)算機(jī)比一臺(tái)計(jì)算機(jī)掌握的信息更多,因而可以采用分布式貝葉斯學(xué)習(xí)算法,在成百上千的客戶端機(jī)器上實(shí)現(xiàn)協(xié)同學(xué)習(xí)過程,收集、分析并共享最新的信息。
反垃圾郵件網(wǎng)格體現(xiàn)了真正的網(wǎng)格思想,每個(gè)加入系統(tǒng)的用戶既是服務(wù)的對(duì)象,也是完成分布式統(tǒng)計(jì)功能的一個(gè)信息節(jié)點(diǎn),隨著系統(tǒng)規(guī)模的不斷擴(kuò)大,系統(tǒng)過濾垃圾郵件的準(zhǔn)確性也會(huì)隨之提高。
用大規(guī)模統(tǒng)計(jì)方法來過濾垃圾郵件的做法比用人工智能的方法更成熟,不容易出現(xiàn)誤判假陽性的情況,實(shí)用性很強(qiáng)。
反垃圾郵件網(wǎng)格就是利用分布互聯(lián)網(wǎng)里的千百萬臺(tái)主機(jī)的協(xié)同工作,來構(gòu)建一道攔截垃圾郵件的“天網(wǎng)”。
反垃圾郵件網(wǎng)格思想提出后,被IEEE Cluster 2003國(guó)際會(huì)議選為杰出網(wǎng)格項(xiàng)目在香港作了現(xiàn)場(chǎng)演示,在2004年網(wǎng)格計(jì)算國(guó)際研討會(huì)上作了專題報(bào)告和現(xiàn)場(chǎng)演示,引起較為廣泛的關(guān)注。
既然垃圾郵件可以如此處理,病毒、木馬等亦然,這與云安全的思想就相去不遠(yuǎn)了。
云安全技術(shù)原理,是網(wǎng)絡(luò)時(shí)代信息安全的最新體現(xiàn),它融合了并行處理、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念,
通過網(wǎng)狀的大量客戶端對(duì)網(wǎng)絡(luò)中軟件行為的異常監(jiān)測(cè),獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息,推送到Server端進(jìn)行自動(dòng)分析和處理,再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端,如圖8-7所示。
未來殺毒軟件將無法有效地處理日益增多的惡意程序。來自互聯(lián)網(wǎng)的主要威脅正在由電腦病毒轉(zhuǎn)向惡意程序及木馬,在這樣的情況下,采用的特征庫判別法顯然已經(jīng)過時(shí)。云安全技術(shù)應(yīng)用后,識(shí)別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫,而是依靠龐大的網(wǎng)絡(luò)服務(wù),實(shí)時(shí)進(jìn)行采集、分析以及處理。整個(gè)互聯(lián)網(wǎng)就是一個(gè)巨大的“殺毒軟件”,參與者越多,每個(gè)參與者就越安全,整個(gè)互聯(lián)網(wǎng)就會(huì)更安全(如圖8-8所示云安全架構(gòu))。
云安全的概念提出后,曾引起了廣泛的爭(zhēng)議,許多人認(rèn)為它是偽命題。但事實(shí)勝于雄辯,云安全的發(fā)展像一陣風(fēng),瑞星、趨勢(shì)、卡巴斯基、MCAFEE、SYMANTEC、江民科技、PANDA、金山、360安全衛(wèi)士等都推出了云安全解決方案。
我國(guó)安全企業(yè)金山、360、瑞星等都擁有相關(guān)的技術(shù)并投入使用。金山的云技術(shù)使得自己的產(chǎn)品資源占用得到極大的減少,在很多老機(jī)器上也能流暢運(yùn)行。趨勢(shì)科技云安全已經(jīng)在全球建立了5大數(shù)據(jù)中心,幾萬部在線服務(wù)器。
據(jù)悉,云安全可以支持平均每天55億條點(diǎn)擊查詢,每天收集分析2.5億個(gè)樣本,資料庫第一次命中率就可以達(dá)到99%。借助云安全,趨勢(shì)科技現(xiàn)在每天阻斷的病毒感染最高達(dá)1000萬次。
在基于“云安全”技術(shù)的多種殺毒軟件的2010版本中,很多用戶在使用后已感覺到,其新版極大降低了在不同狀態(tài)下的整體資源占用。
基于“云計(jì)算”的殺毒軟件打破了傳統(tǒng)殺毒軟件此前須將病毒特征庫存放于本地,通過單純升級(jí)累積的弊端,將病毒定義和特征庫置于服務(wù)端(云端),使得用戶僅在本地調(diào)用引擎和特征庫的情況下,隨時(shí)訪問和借助幾千萬的病毒特征庫來識(shí)別對(duì)應(yīng)威脅,并通過已被多次驗(yàn)證的,對(duì)病毒木馬樣本高達(dá)99%的檢測(cè)率,證明了云殺毒技術(shù)的優(yōu)勢(shì)所在。
基于“云安全”技術(shù)的專業(yè)殺毒軟件,可以給用戶提供更為全面的防御功能,它可以針對(duì)現(xiàn)有病毒不斷的發(fā)生,病毒創(chuàng)造非??斓奶攸c(diǎn),推出云安全技術(shù),并將此技術(shù)應(yīng)用到了產(chǎn)品當(dāng)中,給用戶提供了足夠的安全保障。