信息化觀察網(wǎng)

近幾年，隨著企業(yè)、政府單位等用云率的持續(xù)提升，混合云成為云計算未來的一個主流發(fā)展趨勢，其優(yōu)勢愈發(fā)凸顯。各類用戶的比例逐步上升。云服務提供商紛紛在混合云市場布局，加大投入力度?；旌显频呐d起，對多云管理能力、云網(wǎng)協(xié)同能力、安全能力等提出了較高的要求。中國信通院發(fā)布的白皮書，對混合云架構各方面的能力提出了建議要求。

（1）多云管理能力

從成本角度來看，公有云的使用成本在一定程度上要低于私有云。同時綜合考慮隱私性、合規(guī)性、安全性因素，企業(yè)采用公有云與私有云混合部署、由多家云服務提供商提供資源服務的模式將成為一個發(fā)展趨勢。但這也帶來了資源管理、運營服務、統(tǒng)一門戶等方面的問題。在資源管理方面，需要對所有云數(shù)據(jù)中心的資源進行統(tǒng)一管理與運維，應能實現(xiàn)統(tǒng)一的資源告警、資源統(tǒng)計、日志分析、故障定位等。在運營服務方面，需要將云基礎設施資源封裝成為云服務，基于服務目錄提供端到端的開通、監(jiān)控、計量計費等一系列的運營服務。在統(tǒng)一門戶方面，應能夠為管理員提供統(tǒng)一的資源管理與運維管理界面，實現(xiàn)對虛擬資源、物理資源等的統(tǒng)一維護與管理，同時應提供用戶訂購界面，并能夠?qū)崿F(xiàn)對已分配的虛擬資產(chǎn)的管理，包括使用與釋放等。

（2）云網(wǎng)協(xié)同能力

混合云架構需要通過網(wǎng)絡打通企業(yè)本地信息化基礎設施、公有云及私有云，同時可能需要聯(lián)合多家云服務提供商，因此如何實現(xiàn)云網(wǎng)協(xié)同成為實現(xiàn)混合云架構的關鍵。要實現(xiàn)多云間的互通，對網(wǎng)絡質(zhì)量、穩(wěn)定性、可靠性提出了較高要求。在多云互通方面，云和網(wǎng)的協(xié)同需要保證各資源池與企業(yè)本地計算環(huán)境的互聯(lián)互通，包括單一本地環(huán)境與多個VPC（Virtual Private Cloud，虛擬私有云）的連接和單個VPC與多個本地環(huán)境的連接。在網(wǎng)絡性能方面，應能夠在帶寬、時延、丟包率等性能指標上滿足用戶多樣性的應用要求。在可靠性方面，應能夠支持多條網(wǎng)絡專線的容災，當一條網(wǎng)絡鏈路出現(xiàn)故障時，能夠及時快速將流量切換至使用冗余鏈路傳輸，避免單點故障。

（3）安全能力

隨著更多企業(yè)業(yè)務在混合云平臺上的應用，對企業(yè)數(shù)據(jù)和業(yè)務的安全管理變得越來越困難。本地基礎設施及多個私有云、公有云構成了復雜的環(huán)境，對混合云安全有了更高的要求。

在網(wǎng)絡和傳輸安全方面：為避免多個云平臺網(wǎng)絡間的互相影響，需要通過安全域劃分、虛擬防火墻、VXLAN等方式實現(xiàn)網(wǎng)絡的隔離；為保障傳輸安全，需要使用HTTPS等安全通信協(xié)議，以及SSL/TLS等安全加密協(xié)議；為保障網(wǎng)絡連接可靠性，需要使用VPN/IPSec、VPN/MPLS等安全連接方式。為保障邊界安全：需要使用安全組、防火墻、IPD/IDS等；為實現(xiàn)對流量型攻擊和應用層攻擊的全面防護，需要對通信的網(wǎng)絡流量進行實時監(jiān)控，針對DDoS、Web攻擊進行防御。

在數(shù)據(jù)和應用安全方面：在存儲、備份和傳輸過程中應該對數(shù)據(jù)進行加密，防止數(shù)據(jù)被篡改、竊聽或者偽造；通過數(shù)字簽名、時間戳等密碼技術保證數(shù)據(jù)完整性，并在檢測到完整性被破壞時采取必要的恢復措施；使用安全接口和權限控制等手段對數(shù)據(jù)訪問權限進行管理，從而避免敏感數(shù)據(jù)的泄露。

在訪問和認證安全方面：使用基于密碼、基于角色的分權分域等方式對訪問進行控制，防止非授權或越權訪問；采用隨機生成、加密分發(fā)、權限認證方式進行密鑰的生成、使用和管理，避免因密鑰丟失導致的用戶無法訪問或數(shù)據(jù)丟失的風險。