读书笔记三，云计算分层简介

1. IaaS

1. 优势：

• 零维护
• 更经济
• 门槛低、易扩展
• 异构平台支持

2. 虚拟化技术是IaaS的关键技术：

虚拟化实现过程中通常有三种方式

• 单资源–>多逻辑表示
• 多资源–>单逻辑表示
• 分层虚拟

3. 服务器虚拟化技术

• 一虚多：一台物理服务器上虚拟多台逻辑服务器，逻辑上相互独立
• 多虚一：多台物理服务器虚拟成一个逻辑服务器，用于处理繁重任务，如大型系统的运维和突发性任务
• 多虚多：将多台物理服务器虚拟成一个逻辑服务器，然后将逻辑服务器细化，分成多个不同的虚拟服务，更充分的利用资源

4. 存储虚拟化技术

• 单一资源虚拟化存储模式：一个存储资源分散成多个，每个服务占用一个虚拟资源，互不干扰；没有对存储的I/O进行优化，仍然是一个存储资源的传输速度，性能没有得到很好的提升
• 多个资源虚拟化存储模式：将多个存储资源整合，形成一个虚拟资源；I/O速度是多块存储资源的叠加，资源数量越多，I/O处理能力越强
• 分层虚拟化模式：模式比较复杂，结合前两种的优势，数据流量较小时采用单一资源虚拟化存储模式，同一时间流量大，采用多个资源虚拟化存储模式，或者节省资源或者提升效率

5. 网络虚拟化技术

1. VLAN（Virtual Local Area Network，虚拟局域网）：将本地的物理网络纵向分割为多个逻辑网段，逻辑网段使用独立的内部数据通道，运行着不同的策略，单一逻辑网段出现安全隐患不会造成全局的影响

2. VPN（Virtual Private Network，虚拟专用网络）：在企业内部网络和互联网中的使用节点之间搭建的专有的、虚拟的“桥梁”，没有物理的链路连接，但专有网络实现点到点的数据加密传输，虚拟但安全

3. 一虚多：一个物理网络抽象出多个逻辑网络，供不同应用使用

4. 多虚一：多个物理网络抽象为一个虚拟网络，聚合操作完成繁重网络任务

5. 多虚多：合而为一再拆分应用

6. 可靠性与安全性：
   (1)严格的数据防护与监视
   (2)高强度的授权认证：
   三个级别

   • 广泛访问控制策略：用户可以对应用和资源进行访问
   • 细化访问控制策略：通过URL针对数据级别的控制访问
   • 精细访问控制策略：可以对函数和视图进行的访问控制

   (3)精细化的认证报告：建立权限严格控制的日志系统，防止事件内容和时间戳等关键信息被恶意篡改
   (4)虚拟化的安全保障：

   • 虚拟存储安全：主机级虚拟存储、设备级虚拟存储、网络级虚拟存储满足不同级别的安全需求
   • 网络安全：防火墙、IDS/IPS、Anti-DDoS、僵尸网络/蠕虫检测、传输安全（SSL VPN）都需要面对

   (5)基础设备和物理安全：基础设备的稳定运行、预防突发事件；云数据中心的监控、进入权限控制、预防意外灾情以及多地数据中心的解决方案等
   (6)建立合规的标准与审核标准

   • 根据法律法规、内部管理建立标准化的规章，对用户做出SLA保障
   • 满足安全管理体系，如注重IT服务标准化的ISO20000，、信息安全管理实施规则的ISO27001、满足电信业质量体系要求与质量体系法则指南的TL9000，以及符合内部控制、安全保障、稽核监督措施的审计标准SAS70等

2. PaaS

把平台打包成一个服务，向用户提供该服务的一个模式，通常PaaS是将软件研发平台打包，再通过SaaS的模式交付给用户,弱化了硬件基础环境和操作系统的配置。

PaaS平台包括APaaS和IPaaS，APaaS（Application Platform as a Service）主要提供开发SDK和应用运行环境，IPaaS（Integration Platform as a Service）提供集成、编排和互操作的功能。

1. 优势

1. 低成本简约部署
   免去配置环境的步骤，减少平台部署时间，可以快速投入开发
2. 针对性的应用环境
   平台简化统一技术路线，平衡各种接口，统一的开发规则，提升测试和上线效率，应用环境也更加稳定
3. 充分利用开源技术
   PaaS平台供应商建立标准化的研发、实施过程、统一接口，解决了升级的兼容性问题
4. 解放被平台“绑架”的用户
   形成统一的交互方案，平台逐渐同质化，标准更加一致，减少平台“绑架”用户行为

2. 关键技术

利用分布式技术构建各个子系统：分布式文件系统、分布式数据库、分布式计算、分布式同步机制，以及诸多平台的协同管理技术

1. 分布式文件系统
   
   Hadoop HDFS是分布式文件系统的典型应用，由一台主服务器和多台块服务器组成。主服务器用于管理文件系统的元数据：名字空间、刚问控制信息、文件块的位置信息、块租用管理、孤儿块的垃圾回收以及块-块服务器间的迁移；块服务器是将文件分散成多个固定大小的数据块，并控制着数据间的读写和存储。客户端的数据读写主要与块服务器交互，与主服务器只传递块位置信息，不会损失性能
2. 分布式数据库
   分布式文件系统管理非结构化的数据，面向的对象比较繁多且复杂，分布式数据库则更多地处理结构化的数据，以逻辑的方式统一管理整个物理场内的数据库资源，存储效率高、响应速度快、拥有良好的负载抗衡能力
3. 分布式计算——两种处理机制
   • 分割计算：应用程序的功能分割成多个计算能力，然后分发到多台计算机上协同处理，适合于小规模的数据处理
   • 分割数据：将数据集进行分割，再分发到多台计算机分别计算。
4. 分布式同步机制
   基于锁机制的并发控制方法，对共享资源的任何操作都需要先申请锁
5. 协同管理技术
   平台要支持较为流行的语言和数据库软件，及时跟进用户的开发行为；数据库根据用户需求采用某种集群模式保证数据的安全性；建立完整的协同管理机制，统一基础业务，简化业务逻辑开发流程；提供应用管理技术、不同应用之间的隔离技术。

3. 可靠性与安全性

1. 数据库集群技术
   • 高可用性集群（High Availability Cluster,HAC）通过集成的硬件和软件的容错性实现整体高可用性，重点放到数据库的持续性方面，但是安全级别略低
   • 高安全性集群（High Security Cluster,HSC）侧重于容灾，它的备份机制、灾难恢复机制非常成熟，确保数据的最大安全，但是可用性有所降低
   • 负载均衡集群（Load Balance Cluster）综合了高可用性和高安全性的优缺点，更具节点的计算能力、网络状况先行分析，然后将负载均衡的分配到集群的各节点，进行动态、弹性的管理，注重数据库的性能和数据库的横向扩展能力
2. 接口安全与监管保证
   • 对于接口，供应商应采取高强度用户认证、加密数据传输、对访问控制进行详细记录、避免内部或外部的接口攻击行为、防止SSL协议攻击，对用户、资源和数据设定阈值，非正常操作时终止用户行为
   • 供应商要根据SLA监控平日行为，避免恶意黑客利用PaaS基础设施行使恶意软件服务，发现异常及时关停、封锁
3. 用户权限管理
4. 人员安全培训
   培训安全意识，提高对于网络安全攻击的识别能力

3. SaaS

1. 成熟度模型分级

• 可扩展：平台架构可以处理大规模的任务，实现资源有效利用，允许动态的、抽象的接口设计，也允许资源池共享数据库关键资源
• 高效多租户：面向不同公司、不同人员，要区分不同客户的数据资源
• 可配置：可配置元素倾向于元数据（Metadata），利用这一最基本的数据进行描述和定义，确保用户可以获取最简单的SaaS
  根据可扩展、高效多租户和可配置能力，成熟度模型分为四个级别：

1. Level1：定制开发，每个客户拥有独立的、定制的应用实例
2. Level2：可配置，与level1架构相同，区别在于在同一份支撑代码的基础上进行二次开发，满足用户不同需求
3. Level3：可配置&高效多租户，
4. Level4：可配置&高效多租户&可扩展，每个客户使用独立数据库实例，可配置元数据为每一个客户部署个性化用户体验，统一系统升级可快速作用于所有客户环境，满足独立性、动态性、多租户的管理要求

2. 适合SaaS的企业及应用

1. 适用企业
   • 中小企业
   • 大型企业：可以在总部或下属数据中心建立私有云中的SaaS，子分公司、工厂可以联网使用；非关键信息可以放在公有云的SaaS
   • 教育行业
   • 政府部门
2. 应用
   • ERP（Enterprise Resource Planning，企业资源计划）
   • SCM（Supply Chain Management，供应链管理）
   • CRM（Customer Relationship Management，客户关系管理）
   • OA（Offce Automation，办公自动化）
   • HRM（Human Resource Management，人力资源管理）
   • 电子商务系统
   • 财务管理系统
   • 在线视频会议
   • 在线学习平台

3. SaaS关键技术

1. 基于web访问：全部是B/S架构，实现跨平台统一
2. 单软件多重租赁：同一个系统服务于不同的客户，不同租户之间数据、安全、隐私相互隔离，避免数据混乱
3. 单点登录：一个账户密码可以访问权限内的所有应用
4. 扩展&配置&伸缩：
   • 扩展：用户的所有定制要求体现在多租户管理表、字段配置表、业务扩展表中，不会浪费资源、损坏结构、降低效率
   • 配置：应用可以拆分为基本的独立的原子功能，用户按需选择租用
   • 伸缩：用户激增时应用不会崩溃，用户较少时空闲的负载可以“休息”

4. 可靠性与安全性

1. 加密传输协议HTTPS
   HTTPS（Hypertext Transfer Protocol over Secure Socket Layer,安全的HTTP协议）已SSL为安全基础，实现数据加密传输、身份认证的网络协议。
2. 数据安全隔离策略
   • 将数据与应用进行安全隔离；
   • 各个服务器与核心业务数据进行安全隔离，避免单点攻击造成的重大损失；
   • 应用系统数据方面采用不同的数据库或表存储，保证不同应用数据之间的安全；
   • 多租户之间的业务数据需要完全、独立的隔离环境；
   • 网络方面防火墙、网络漏洞扫描、杀软将异常的数据隔离到网外
3. 灾难恢复策略
   • 数据保护需要配备无中断备份机制，以及快速的、无差别的恢复过程；
   • 保证连续性和高可用性，需要建立多机冗余机制，确保单点故障不会造成全局影响，通过计划内外停机时间排除故障；
   • 拥有异地恢复策略
4. SLA和安全管理机制的制定
   • 技术方面，SaaS供应商对核心数据提供安全保密机制，SaaS内部人员也无法获取原文，所有秘钥只由企业相关人员掌控，避免SaaS内部人员非法贩卖
   • 对企业的应用和维护人员，加大培训力度，增强安全意识，识别危险的安全行为，不被非法利用

4. 自己的理解

IaaS、PaaS、SaaS就像组装电脑的不同选项，

• IaaS就像只配好电脑硬件，任何操作系统都不安装，用户自己根据需求安装，配置环境，研发应用
• PaaS就是电脑硬件配好，安装好操作系统，配置好环境，用户可以选择自己需要的系统和环境，直接在上面进行软件研发、应用部署等操作
• SaaS是电脑硬件配好，操作系统、环境配置好，软件应用安装好，用户选择自己需要的软件应用租用