白皮书： 《为虚拟化数据中心实现 IT 即服务》

白皮书为虚NetApp2009年拟化数p年8月|WP数据中心P-7083-080心实现IT09T即服务务2安全云架构目录1简介............................................................................................................................................32隔离和安全性...............................................................................................................................5保密性...........................................................................................................................................................................6完整性.........................................................................................................................................................................103灵活性.......................................................................................................................................11存储配置.....................................................................................................................................................................11服务器配置..................................................................................................................................................................11可扩展性.....................................................................................................................................................................12移动性.........................................................................................................................................................................134弹性..........................................................................................................................................15高可用性.....................................................................................................................................................................165管理..........................................................................................................................................19分区.............................................................................................................................................................................19记账和监控..................................................................................................................................................................196结论..........................................................................................................................................213安全云架构1简介随着IT环境迅速变化，降低成本的压力、缩短上市时间的要求和员工授权等因素迫使企业与IT服务提供商开发创新战略，以应对这些挑战。作为一种IT服务交付方法，云计算业已成为需要多加关注的关键领域。计算、网络和存储基础架构的抽象概念构成了云计算的基础。此基础架构是一种服务，其组件必须随时可用、可取，能够满足所支持的大量应用程序的迫切需求。通过云计算，数据中心内不再需要传统的不同应用平台，可以提高IT组织的灵活性和可扩展性。这种灵活性有助于解决企业和IT服务提供商面临的挑战，包括快速变化的IT环境、降低成本的压力和缩短上市时间的要求。我们通常将云计算描述为作为服务提供的IT，即IT即服务(ITaaS)。目前有三种主要的ITaaS云计算模式，分別针对特定的客户使用情況。这些模式可提供更高水平的自动化和安全性，能够成功实现应用程序的自我管理和客户业务目标。这些ITaaS云模式包括：•基础架构即服务，该模式可向客户环境提供计算资源、操作系统、网络和存储。通常，除基础部署外，客户还需要负责其环境中的全部操作，以及环境的管理和配置。•存储即服务(StaaS)，该模式可以从池化资源中提供存储配置，用作应用程序数据集、备份以及内容库。•软件即服务(SaaS)，该模式可以提供统包管理式应用程序，可以交付即用，此类应用程序通常托管在服务提供商的数据中心中。许多企业和IT服务提供商都在为公共和内部客户应用程序研发云服务产品。无论是关注公共云服务还是私有云服务，这些工作都有以下几个共同目标：•通过颇具成本效益地使用昂贵的基础架构提高运营效率。•通过共享资源推动规模经济发展。•快速灵活地部署客户环境或应用程序。•通过标准化提高服务质量、加快交付速度。•通过昀大限度地高效利用共享资源，促进绿色计算，进而减少能源消耗。如果能实现这些目标，将对收益、生产率和产品质量产生积极而又深远的影响。但是，在云服务架构中利用共享基础架构和资源会带来其它挑战，导致这些做法不能被需要安全隔离的客户或应用程序环境但又要求高度灵活管理的IT服务提供商广泛采用。由于企业IT环境规模显著扩大、复杂性明显提高，并且服务种类大大增加，因此他们通常在专用基础架构的应用平台中部署应用程序和客户环境。这些不同应用平台基于特定应用程序、客户环境、企业组织、运营要求和法规遵从（Sarbanes-Oxley、HIPAA、PCI）而构建，或者用于确保特定专有数据的保密性。例如：•大型企业需要隔离HR记录、财务、客户信用卡详细信息等。•在外包项目中对外公开的资源需要与内部企业环境分离。•医疗机构必须确保病人记录的保密性。•大学需要将学生用户服务与学校运营、学生管理系统及商业或敏感研究项目分离。•电信及服务提供商必须分离计费、CRM、支付系统、经销商门户和托管环境。•金融组织需要安全隔离客户记录和投资、批发与零售银行服务。•政府机构必须分离收入记录、司法资料、社会服务、运营体系等。4安全云架构要让服务提供商将这些环境迁移到云架构中，需要在继续提供共享资源的管理和灵活性优势的同时，还能够提供安全隔离。外部云服务提供商必须能够安全地将全部客户数据、通信和应用程序环境与其他租户隔离。使用外部云时，隔离必须足够彻底和安全，确保租户“看不到”彼此。内部云提供商必须提供其组织结构、应用程序要求或法规遵从所需的安全分离。但是，广泛采用云服务模式存在一个主要障碍，那就是市场对于通过灵活管理弹性资源提供这种安全隔离缺乏信心。NetApp、Cisco和VMware合作开发了独特的基础架构解决方案，该解决方案采用综合的存储、网络和计算技术，能够促进动态、共享资源管理，同时又能维护安全、隔离的环境。VMware®vSphere、CiscoNexus以及使用NetAppDataMotion™的NetApp®MultiStore®提供了强大的解决方案，可充分满足各种规模的云部署对安全隔离和灵活性的严苛要求。传统共享托管（内部或外部）服务与典型IaaS云服务的主要区别之一是用户对环境控制程度的不同。对于传统托管服务，用户可进行常规应用程序或平台管理控制，而对于IaaS部署，用户通常可进行更广泛的计算资源控制。安全云架构将用户的控制权限进一步扩展到整个环境：计算平台、网络连接、存储资源和数据管理。借助此架构，服务提供商和企业能够安全地为用户提供对整个应用程序环境前所未有的控制权限。独特的隔离技术结合广泛的管理灵活性，可为IT提供商提供云计算的所有优势，以便他们满怀信心地为多租户客户环境和整合的应用程序环境提供高水平的安全保护和服务。以下概述详细介绍了NetApp、Cisco和VMware提供的功能和技术，这些功能和技术能够提供具备完整功能的云基础架构解决方案，不仅如同传统应用平台部署一样安全、可靠、强大，还能实现云架构的灵活、高效和降低OPEX/CAPEX等优势。5安全云架构图1)安全云架构概述。2隔离和安全性在传统部署中，如果环境对安全性和隔离有更高要求，那么它需要一套单独的设备和基础架构。虽然这样能提供所要求的隔离，但是由于利用率过低，效率会严重下降，而更高的管理和资本支出还导致了成本上升。通过在存储、网络和服务器等每一层都制订安全、隔离的多租户解决方案，安全云架构避免了这些问题。6安全云架构图2)安全云架构中的隔离。隔离和安全性目标关注的是整个环境中数据的保密性和完整性。安全云架构中的每个组件都能够提供独特的功能以满足这些需求。以下小节从存储、网络和计算资源角度对此进行了详细说明。保密性为保证保密性，必须对虚拟环境中的通信和数据加以隔离并保证其安全。行业已经认可了以下产品的功能：NetAppMultiStore对存储资源的虚拟化、虚拟LAN(VLAN)和虚拟设备上下文（VDC，即VirtualDeviceContext）对联网的虚拟化，以及vSphere管理程序对服务器资源的虚拟化。借助NetAppMultiStore，云提供商能够在一个NetApp存储系统上快速轻松地创建独立且完全私有的逻辑分区，作为离散管理域（称为虚拟存储容器）。这些虚拟存储容器可让一个物理存储控制器看起来