云计算技术概述与入门
|
云计算的概念最初由谷歌在2006年的搜索引擎大会上提出,随着信息技术的发展,计算模式迄今为止经历了三个阶段,分别是将任务提交大型处理机的集中处理模式、基于网络的分布式处理模式以及当前较为流行的按需处理的云计算模式。经过云计算十余年的发展,业界对其定义的认识已趋于统一,目前云计算的定义以国际标准ISO/IEC 17788《云计算词汇与概述》(Information technology–Cloud Computing–Overview and vocabulary)DIS版的定义为主流,标准中将云计算定义为一种将可伸缩、弹性、共享的物理和虚拟资源池以按需自服务的方式供应和管理,并提供网络访问的模式。云计算以虚拟化技术为基础,以网络为载体,为用户提供基础设施、架构、平台以及软件的服务。 云计算的服务层次一般分为软件即服务(Software-as-a-Service, SAAS)、平台即服务(Platform-As-A-Service, PAAS)、基础设施即服务(Infrastructure-as-a-Service, IAAS)三种,服务层次的概念对于不了解计算机与软件原理的人来说可能比较难以理解,IBM的架构师Albert Barron曾经用披萨的生产销售来描述这个问题:一位餐饮业的创业者决定生产并售卖披萨,如果遵循传统的餐饮业模式,他需要从场地、烤箱、厨具和一切食材开始规划起,从装修厨房接通水电,到面饼的统一制作,再到不同口味设计与烤制,最后到包装与售卖,需要经历很长的流程。但如果是在新的(云计算)场景下,有现成的服务可供选用,那么事情将变得简单。若是当前有现成的厨房与烤箱等基础设施提供租用服务,那么我们就可以直接在此基础上来制作面饼并进行后续程序,这种提供基础设施的服务类似于云计算中的IAAS,披萨生意中的厨房与烤箱等设施对应着云计算中的CPU、存储、网络等基础设施,有了IAAS服务后用户就不再需要管理与维护底层硬件基础设施,而是直接关注架构的设计以及后续工作即可。若是在披萨的生产过程中,除了基础设施外,还有现成的披萨饼皮提供,那我们只需要设计不同的披萨口味,并烤制后包装售卖即可,这种提供标准化饼皮只需要设计和实现想法的服务在云计算中可以理解为是PAAS,饼皮这种披萨行业普遍需要且可以标准化的东西可以认为是云计算中的操作系统、数据库、中间件等平台,使用了PAAS后就可以直接关注业务逻辑的实现了。而若是当前有现成的披萨提供,不需要我们做任何生产性质的工作,只需对披萨进行包装与对外出售,那么这种服务在云计算中就是SAAS,现成的软件与现成的披萨相对应,用户几乎不用关注技术问题,直接使用应用即可。
图1 披萨服务示意图 云计算的部署方式通常分为私有云、公有云、社区云与混合云四种。私有云一般指单独为一位客户或一个机构提供的云服务,通常构建在企业数据中心或是主机托管场所,因为场景和需求较为单一,私有云在数据安全与服务质量上有较好的表现。公有云的概念与私有云相对应,其一般由一个云计算服务商所有,公开对外进行销售,通常构建在与客户实际所在地较远的地方,以降低计算资源的使用成本。社区云是介于私有云与公有云中间的,为若干有相似需求的机构提供的一种云服务。混合云是由两种或是两种以上的云构成,在数据与应用程序上具有可移植性,用于支持按需扩展、弹性扩容等需求。 二、云计算技术原理 1. 基础技术 (1)网络技术 一切云都需要连接到网络,并通过网络远程提供IT资源,因此互联网是云计算的基础,其中大部分云计算使用因特网进行接入,但也存在部分私有云仅通过局域网访问。因特网是由分布在世界各地的广域网,城域网,局域网通过网络互联设备构成的网络,其主干网络由互联网服务提供商(Internet Service Provider, ISP)依靠路由器进行部署和建立,不同ISP之间通过核心路由器互联,并从主要节点层层向外扩展分支,直至达到每一个使用因特网的设备,形成庞大的动态网络拓扑,大部分云计算服务中的数据与消息都通过这种复杂的网络拓扑进行传递。互联网架构由无连接分组交换与基于路由器的互联两部分组成。无连接分组交换即数据报网络,数据流被分割为固定大小的数据报,其中每个数据报包括报头与报文两部分,数据报依据报头中的地址信息进行传送,通过排队转发在不同节点之间进行传递。基于路由器的互联则是对多个网络进行连接,路由器根据网络拓扑信息定位下一个节点,并将数据报正确地转发。 数据传输速度是云计算的核心问题之一,其与网络技术高度相关。数据传输速度不仅会受到ISP的数据链路宽度影响,还会受到共享数据链路的传输容量以及延迟的影响。对于传输容量问题,目前已有动态缓存、压缩和预取等技术可以在一定程度上缓解,而对于网络延迟问题,因其高度可变性导致难以预测,目前通常采用广域网加速技术进行优化。 (2)数据中心技术 数据中心是专门的IT基础设施,用于集中存放服务器、数据库、操作系统等IT资源。数据中心通常基于标准化的硬件进行模块化的架构设计,将多个基础设施通过虚拟化技术整合到一起,是云计算的可扩展性、可增长性的基础。 硬件资源是数据中心的核心,包括计算硬件、存储硬件、网络硬件以及其他配套设施。计算硬件一般以标准的机架式服务器与刀片式服务器为主,具有计算资源高密度的特点,在标准机架的每个单元都可以容纳一个具有几百个处理器的多核CPU,而刀片式服务器的计算资源集成度比机架式服务器更高,其电源与风机等部件通常被集成在刀片服务器背后的机架上,提供电源、冷却、网络端口和其他连接部件;存储硬件用于保存云计算系统中庞大的数字信息,使用硬盘阵列与I/O高速缓存技术实现数据的高速读写,同时常使用开放系统的直连式存储(Direct-Attached Storage, DAS)、存储区域网络(Storage Area Network, SAN)与网络附属存储(Network Attached Storage, NAS)等技术增加存储容量,另外还使用硬盘的热拔插技术以及快照与卷克隆等数据复制技术,实现存储资源的灵活扩展与数据复用;网络硬件则是实现多层次互联的基础,数据中心的网络设施分为NAS网关、SAN网关、局域网光网络、Web负载均衡与广域网网络五个网络子系统,通过容错与冗余配置,保证数据中心的通信可靠性;硬件配套设施是专门为保证大规模硬件设施平稳运行所设计的,用于监控温度、通风、消防安全等。 在云计算中,用户对数据中心的可用性要求极高,任何形式的服务问题都有可能对用户的业务造成重大影响。因此在可用性方面,数据中心往往需要采用冗余度较高的设计,使用不间断电源、综合布线、环境控制系统、集群硬件、高冗余通信链路等方法提高数据中心的鲁棒性,避免系统故障。数据中心的大部分管理与运维任务都是自动化实现的,通过自动供给、配置、补丁与监控技术实现云计算系统的自调优、自配置、自保护、自修复,以技术管理技术的方式降低云计算系统的管控成本。而其余需要运维人员进行人工操作的任务,一般也只需使用网络远程控制技术对服务器进行远程操控,除了硬件拆装与布线等特殊任务,基本无需进入物理机房所在地。 (3) 虚拟化技术 虚拟化是将物理IT资源转化为虚拟IT资源的过程,计算硬件、存储硬件、网络硬件以及电源等都可以被转化为虚拟资源。以虚拟服务器为例,创建新的虚拟服务器需要进行物理IT资源的划分,并为每个虚拟服务器安装独立的操作系统,使其具体使用与在物理服务器别无二致,用户在使用中几乎不会感知到虚拟化的过程。 在传统的计算机环境中,操作系统往往依赖于硬件资源进行配置,当硬件资源发生变化时,操作系统也需要进行更改或是重新配置。而虚拟化技术支持多个虚拟服务器共享同一台物理服务器,通过对IT硬件的仿真将其标准化为基于软件的版本,使软件易于在虚拟机之间迁移与克隆,并自动解决软硬件不兼容的问题,为云计算提供了硬件无关性、服务器整合能力、资源复制能力与灵活可扩展性的技术基础。 (4)Web技术 由于云计算对网络与通信的依赖,通用的Web技术通常被用作云服务的实现介质与云管理接口。 Web应用分为数据层、应用层与表示层三层基本架构。数据层为数据存储服务器等持久性数据存储设施;应用层用于做一些有效性验证的工作以保证程序运行的健壮性;表示层用于表现用户界面,主要包括Web客户端与Web服务器两个组件。Web客户端与Web服务器通过统一资源定位符(Uniform Resource Locator, URL)、超文本传输协议(HyperText Transfer Protocol, HTTP)、标记语言(Markup Language, ML)等规范实现对互联网中Web资源的增删查改。 在云计算的应用中,Web客户端与Web服务器往往被分别部署在用户的电子设备与云计算中心上,二者通过Web接口的通信实现用户与云计算中心的互联。在云数据中心的管理与运维中云计算平台技术,也是通过Web接口实现对资源的操作与管理。 (5)多租户技术 多租户技术又称为多重租赁技术,指一个数据中心在保证用户数据隔离的前提下,以单一系统架构为多个客户端提供服务。云计算中的使用多租户技术的目的是实现多个用户在逻辑上同时访问同一个应用,且不会意识到自己正在与其他人共用同一的资源。多租户技术与虚拟化技术有些类似,二者的区别在于虚拟化技术是指一个物理服务器中运行多个服务器环境的虚拟副本,而多租户技术指同一个应用程序被不同的用户共同使用,且这个应用程序既可以是运行在物理服务器上的也可以是运行在虚拟服务器上的。 支持多租户技术的系统需要在设计上对其数据与配置进行虚拟分区,从而使系统的每个用户都能够使用一个单独的应用实例,只能访问到属于自己的数据,并且对应用独立进行用户界面、业务流程、数据模型、访问控制等个性化配置。 2. 云安全 (1)身份认证与访问管理 身份与访问管理是限制云计算用户对云计算服务端的访问的主要机制,能够规范用户对云计算资源的使用能力及使用范围,以确保云计算资源不被非法使用和访问。 云计算因为使用了虚拟化与多租户技术,其访问管理机制相比传统的管理机制,在访问主体角色的认定与被访问主体边界的划分上具有更大的挑战。云计算环境下的访问管理主要包括访问控制模型的选择、基于加密机制的访问控制、虚拟化环境的访问控制三类问题,需要根据实际情况进行选择或是混合使用。访问控制模型包括基于任务、基于属性、基于UCON模型等多种类型,基于加密机制的访问控制主要包括对称加密、非对称加密、属性加密、混合加密等,虚拟化环境的访问控制主要为云中多租户及虚拟化访问控制技术。 身份认证是信息系统对用户真实身份进行核验的过程,云计算中的身份认证与传统信息系统差别不太大,都是用户像服务提供方出示身份证明,进而获得访问某些资源权限的过程。但由于云计算的服务繁杂、跨域服务量大、用户数据安全需求高,以及存在多点登录可能产生的指令冲突问题,云计算一般采用单点登录方式,保证身份认证的效率与可靠性。 (2)数据加密与隐私保护 云计算中的数据放置在较为开放的云端环境中,与传统数据中心将数据进行物理隔离的方式相比,云计算的存储方式存在更高的数据安全与隐私泄露的风险。另外,云计算用户的数据、指令等敏感信息都需要经过网络传输与云上IT资源进行交换,因此在数据传输的过程中也需要注意信息安全问题。目前,云计算对于数据的存储与传输问题的解决方案以数据加密为主,保护用户的数据安全。 传统的数据加密以对称密码体系与非对称密码体系为主,有成熟的行业标准与大量的应用案例,部分云计算服务商也正在使用这些技术。但因为云计算中还需对密文进行操作,实现密文检索或是统计加工等需求,因此,同态加密技术往往是更好的选择。同态加密是基于数学问题的加密函数,不需要访问数据本身就可以对数据进行加工。对经过同态加密后的数据进行处理并将其解密的结果,与相同方法下处理未加密数据的结果相同,这一特点使同态加密在对密文可操作可处理需求高的云计算、多方计算等应用场景中具备较大优势。 (3)虚拟化安全 虚拟化技术在为云系统提高了资源利用效率的同时,也带来了一些安全问题。云计算中的虚拟化安全威胁多为攻击型,主要包括虚拟化管理安全与虚拟机使用安全两类。 虚拟化平台较为脆弱,且各类虚拟化软件不断引入了新的攻击方式,当前虚拟化管理安全威胁有软件篡改、接口非法访问、资源分配拒绝服务等,虚拟化管理的安全问题可能会导致用户数据泄漏与云服务被非法控制等严重隐患。同样的,虚拟化使用安全问题也需要重视,因为虚拟机间的交互与通信可能不经过传统的网络接入层,传统的全防护手段无法发挥作用,虚拟机间数据交换的内容很有可能会被窃听或泄露。此外,虚拟化使用中的镜像文件篡改、虚拟机迁移安全隐患等问题也会对数据安全产生威胁。 随着安全威胁的出现,虚拟化安全技术也在不断发展。目前较为主流的虚拟化安全技术有管理虚拟机内部流量的边缘虚拟桥技术、为虚拟化平台与物理网卡间创造中间层的通信技术、对虚拟机进行安全监控的虚拟机自省技术、基于信任链机制的可信计算等,并以这些安全技术为基础形成了较为完善的虚拟化商业安全方案。 三、云计算特征 1. 技术特征 (1)按需自助服务使用 使用云计算服务的用户可以按照自己的需求,自助地配置IT资源,避免资源紧张或是资源浪费等问题。配置成功后,云上IT资源的访问可以完全自动化实现,不再需要用户或是云服务提供者介入。 (2)泛在接入 泛在接入是指用户在任何时间、任何地点,使用任何网络与任何类型的终端,都可以接入云服务。云服务因为具备标准化的传输协议、访问接口和安全技术,而可以被广泛访问。另外,为满足云服务用户特殊的需求,云服务提供商还可能会剪裁云服务架构以满足不同等级的访问。 (3)多租户 多租户技术将同一资源在逻辑上划分为多份,保证系统共性的部分被共享,个性的部分被单独隔离,为多个用户同时使用同一系统提供了技术基础,此外,云服务商通常会使用资源池,将其IT资源放到一个池子中,使用多租户模型动态地分配资源,同时为多个云计算用户分配IT资源并提供服务。 (4)弹性 云计算的弹性特征体现在可以动态地扩展资源上,云服务商根据用户事先提出的要求或是运行时产生的需求自动改变资源提供量,使云计算服务更加个性化。云计算服务的弹性范围主要与云服务商的总体规模相关,IT资源规模越大的服务商往往能够提供弹性越大的云计算服务。 (5)可测量的使用 可测量的使用是指云服务商可以精确测量和记录用户对IT资源的使用情况,这些使用记录将作为收费的依据,并可以为用户提供使用的数据与可视化报告,以供用户掌握其云上应用的访问量与使用情况。 (6)可恢复性 云计算用户对可用性的要求较高,因此可恢复性是云服务的一大重要特征。云服务的可恢复性往往是通过在多个冗余的物理IT资源中进行故障转移实现的,云服务商设置高冗余的物理IT资源,一旦某一资源出现故障就自动转到其他冗余的实现上继续处理,实现自恢复功能。 2.功能特征 (1)高利用率 在常规的计算机运算中,CPU与内存的利用率通常较低,存在较多资源浪费问题。云计算服务在一台物理服务器上通过多重租赁技术运行多台虚拟服务器,以互联网或内部网络为媒介为用户提供访问,并为动态分配资源,将计算资源的利用效率大幅提高。 (2)通用性 云服务以用户广泛的需求为基础提供标准化服务,通常一种云服务的配置能够涵盖多个应用场景的需求。而用户基于相同的云服务,也可以构建出多种不同的应用,实现不同的业务需求。 (3)可靠性 云服务具有自主恢复性,同时高度冗余的IT资源、不断改进的负载均衡技术、数据备份机制、标准化组件与成熟的技术标准进一步更加了云服务的可靠性。此外,大型云服务商的基础设施往往具有高鲁棒性且有多种容灾措施,几乎不会出现因基础设施问题而宕机的情况,服务的可靠性相比自建机房或是计算中心更高。 (4)低成本 组建一个高性能服务器所消耗的资金很多,而云计算通过采用搭建在远离聚居地的大量商业计算机组成集群与运用多租户技术和资源池技术的方式,降低云服务的使用成本。云计算的高利用率与高通用性使其在达到同样性能的前提下,所需要的费用与用户自搭建计算中心相比要少很多。 四、云计算发展趋势 1. 边缘云与分布式云 随着物联网的兴起,边缘计算的概念逐渐开始流行,并推动了业界对边缘侧赋能的关注。边缘计算是一种分散式运算的架构,将应用程序、数据资料与服务的运算,由网络中心节点移至网络逻辑上更接近于用户终端的边缘节点来处理,加快数据的传送速度,减少消息延迟。而边缘云是云计算向网络边缘侧进行拓展而产生的新形态,中国电子技术标准化研究院和阿里云计算有限公司联合发布的《边缘云计算技术及标准化白皮书》中将边缘云计算定义为基于云计算技术的核心和边缘计算的能力,构筑在边缘基础设施之上的云计算平台。边缘云通过将网络转发、存储、计算,智能化数据分析等工作放在边缘节点进行处理,有效降低响应时延、减轻云端压力、降低带宽成本。 边缘云可以与中心云采取相同的统一的架构、接口与管理方式,降低开发与运维成本,将云计算拓展至离数据源更近的位置,拓宽云计算的应用场景。边缘云计算不仅继承了云计算的按需使用、泛在接入、弹性、可测量、可恢复等特征,还因为空间距离的缩短减少了在链路传输、路由转发、网络拥塞上耗费的时间,在常规云计算的基础上进一步缩短时延、降低成本、实现业务本地化。此外,边缘云计算为传统的云服务增加了分布式能力,其分布式能力的不断完善又发展出了分布式云计算的概念。 分布式云计算是云计算从单一数据中心部署向不同物理位置多数据中心部署、从中心化架构向分布式架构扩展的新模式,相比传统的云计算,分布式云计算可以实现更广的连接、更低的时延、更灵活控制。分布式云根据部署位置、IT资源规模与服务能力的不同,分为中心云、区域云与边缘云三种业务形态,通过计算资源、安全策略、应用管理、业务管理等方面的云边协同,实现更加全局化的弹性算力资源。另外,在边缘节点与区域节点等分节点进行部分业务的处理,仅向中心节点提交处理后的数据,能够降低数据回传的压力,保证网络通道畅通。 边缘云与分布式云的应用场景可以分为对边缘节点本地化有需求的本地覆盖类,以及对就近计算或网络链路优化有需求的全网覆盖类两种。其中本地覆盖类的典型应用以智慧城市、新零售等需要在边缘对视频进行处理的场景为主,而全网覆盖类的应用以互动直播等服务覆盖面广且对数据传播速度有较高要求的场景为主。 2. 原生云及其安全 云原生是在应用的初始设计阶段就考虑到了未来将运行在云上,通过微服务、DevOps、持续交付、容器化等方式充分发挥云服务的泛在接入、弹性、可恢复等优势,使云架构由稳态转向敏捷。云原生技术现已在生产环境中被广泛应用,但IT架构的变化也导致了传统的安全模型不适用与云原生应用,因此原生云安全问题是云计算的一大研究方向。 原生云以容器和编排为核心,容器代替传统云计算中的虚拟机成为了资源承载与调度的最小单元,那么传统的虚拟化安全技术与虚拟化安全解决方案将无法保证原生云的安全。容器镜像是云原生技术架构中软件交付流转的主要形态,保证环境运行的一致性,为应用拆分解耦为微服务提供了前提,但同时也带来了容器镜像来源复杂难管控、通信中的数据篡改难以检验、链路监控实现困难、应用拆分导致攻击面增加、微服务间强关联容易遭到连锁攻击等一系列原生云安全问题,目前这些问题通过前置安全管理与研发测试等手段实现了一定程度的控制,但还待在技术上进行进一步优化。 此外,安全产品原生化也是云安全的一大趋势。内嵌于云系统的原生安全产品能够更充分地发挥其安全防护能力,提高云计算服务的便捷性、稳定性、全面性、灵活性。将多种单类云产品整合为综合原生云安全解决方案是安全产品原生化后的进一步发展方向,目前整合后的综合解决方案主要包括云工作负载保护平台、云访问安全代理、云安全态势管理等,为用户提供更加便捷、高效和隐形的安全服务。 (编辑:温州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
