一些術語和概念
邏輯網路邊界(logical network perimeter)通常是由提供和控制資料中心連線的網路裝置建立,例如虛擬防火牆,虛擬網路(vlan、vpn)
虛擬伺服器(vm),虛擬基礎設施管理器(vim,虛擬基礎設施管理器,用於協調與vm例項建立相關的物理伺服器)
雲存貯裝置:cloud storage device。裝置的例項可以被虛擬化。單位為
1、檔案;
2、塊(nfs、cifs-common internet file system);
3、資料集dataset(例如sql)
4、物件:各種型別的資料都可以作為web資源被引用和儲存,例如利用http的crud(create、retrieve、update、delete)操作(如cdmi,cloud data management inte***ce)
雲使用監控用於收集和處理it資源的使用資料。包括有
1、監控**(作為服務**位於通訊路徑上,對資料流進行透明的監控和分析);
2、資源**(事件驅動,例如觀測啟動、暫停、恢復、垂直擴充套件等事件);
3、輪詢**(polling agent,常被用於周期性地監控it資源狀態,例如正常執行時間和停機時間)
資源複製(resource replication)對同乙個it資源建立多個例項。
已就緒環境機制是paas雲交付模型的定義元件,基於雲平台,已有一組安裝好的it資源,可以被雲使用者使用和定製。雲使用者使用這些,遠端開發和配置自身的服務和應用程式。例如資料庫,中介軟體,開發工具和管理工具,例如進行開發和部署web應用程式。
特殊雲機制
負載均衡器(load balancer),有下面幾種方式,都是分布式,而不是主備的方式,因為這是講balance。可以通過交換機,專門的硬體/軟體裝置,以及服務**
1、非對稱分配(asymmetric distribution):較大的工作複雜被送到具有較強處理能的it資源。
2、負載優先順序(workload prioritization):複雜根據其優先級別進行排程、排隊、丟棄和分配。
3、上下文感知的分配(content-aware distribution):根據請求內容分配到不同的it資源。
按使用付費監控器(pay-per-use monitor),按預定的定價引數測量it資源的使用情況,提供給計費系統。典型的有:請求/響應訊息數量,傳送的資料量,頻寬消耗量。
審計監控器用來收集網路和it資源的審計記錄資料,用以滿足管理需要或者合同義務。例如位於認證伺服器之前的審計監控器可以截獲使用者的登入請求,在日誌資料庫中存貯請求者的安全證書,以及成功和失敗的嘗試,供以後的審計報告用。
故障轉移系統(failover system)通過集群技術提供冗餘實現it資源的可靠性和可用性。有兩種基本配置:
1、主動-主動:本例是負荷均衡的,失效的例項從負荷均衡排程器中刪除(或置為失效)
2、主動-被動:有活躍例項和待機例項(無負荷,可最小配置),如果如果檢測到活躍例項失效是,將被重定向到待機例項,該待機例項就成為了活躍例項。原來的活躍例項如果恢復或者重新建立,可成為新的待機例項。這是冗餘機制。
資源集群(resource cluster)將多個it資源例項合併成組,使之能像乙個it資源那樣進行操作。也就是n in 1。在例項間就工作符合分別,任務排程,資料共享和系統同步等進行通訊。集群管理平台作為分布式中介軟體執行在所有的集群節點上。型別包括:
2、資料庫集群:具有同步的特性,集群中使用的各個儲存裝置上儲存資料一致性,提供冗餘能力。
3、大資料集集群(large dataset cluster):實現資料的分割槽和分布,目標資料集可以有效地話費區域,而不需要破空資料的完整性或計算的準確性。每個節點都可以處理總做負載,而不需要向其他型別那樣,與其他節點進行很多的通訊。
方式分為兩類:1、符合均衡的集群;2、ha集群。
多裝置**幫助執行時資料轉換,使得雲服務被更廣泛的使用者程式和裝置所用,就是多幾個介面,格式適配(例如頁面適配)這類,例如xml網路,雲儲存網格、移動裝置閘道器。
狀態管理資料庫是一種儲存裝置,是把狀態資料快取在記憶體的一種替代方法。軟體可以將狀態資料放入db中,用以降低程式占用執行時的記憶體量。
雲管理機制
遠端管理系統是必不可少的,通過遠端管理系統可以訪問資源管理系統、sla管理系統以及計費管理系統。遠端管理系統的有兩個入口:使用與管理入口,自服務入口。這個系統也包括api,雲使用者可以通過這些標準api來構建自己的控制台,雲使用者可能使用多個雲提供者的服務,也可能更換提供者。
資源管理系統幫助協調it資源,其核心是vim。
sla管理系統對相關資料的管理、收集、存貯、報告以及執行時通知,通常會有乙個服務資料測量庫。
計費管理系統根據計費實踐和定價模型出具清單。
雲安全機制
加密:對明文(plaintext)進行加密(encryption),通過加密部件(cipher)的標準化演算法將明文轉換為密文(ciphertext),而金鑰(encryption key)扮演關鍵角色。
一、對稱加密(symmetric encryption),例如rc4、triple-des,aes。
二、非對稱加密(asymmetric encryption)。https就是用ssl/tls作為http的底層加密協議。
雜湊:單向的不可逆的資料保護機制,常用於密碼。通過雜湊可以獲得訊息摘要(message digest)
數字簽名(digital signature)進行資料真實性和完整性的驗證,涉及hash和非對稱加密,將乙個由私鑰加密的訊息摘要附加到原始訊息中,接收者用公鈅來解密這個數字簽名,得到訊息摘要,然後對比原始訊息hash得到的message digest,一致則證明訊息的真實性和完整性。
公鑰管理設施(pki,public key infrastructure)是管理非對稱加密金鑰辦法,也就是通過數字證書將公鑰告知對方。pki依賴於數字證書(帶數字簽名的資料結構,與公鑰一起驗證證書持有者身份),常由第三方證書頒發機構(ca,certificate authority)簽發。
身份與訪問管理(identity and access manager,iam)機制具有認證、授權、使用者管理、證書管理。iam中有些目標和pki相似,但還包括訪問控制,策略等內容。
單一登入(single sign-on)機制使得乙個雲服務能被一安全**認證,這個安全**建立乙個安全的上下文,當該雲使用者訪問其他雲服務或資源時,這個上下文會被持久化。類似於統一認證,即跨多個雲服務為使用者進行aaa,無需在使用者的使用過程中,進行多次的認證授權的密碼請求。例如安全**通過安全令牌的方式,在分布式的雲服務a、雲服務b、雲服務c中自動認證該使用者。又例如安全**收到安全證書後傳播給不同雲中的已就緒環境。
基於雲的安全組(cloud-based security group)通過基於雲資源的分隔減少或避免不同使用者的信任邊界重疊,當乙個雲安全組受到攻擊時不會波及到另乙個雲安全組。例如公開組/私有組,開發組/生產組,在vim分配雲資源時,根據sla,在相應的雲安全組的物理機器上進行資源分配。
強化的(hardening)虛擬伺服器映像:強化是將不必要的軟體從系統中玻璃出來,限制可能被攻擊者利用的潛在漏洞,包括關閉不必要的伺服器端口,關閉不必要的服務,關閉不需要的內部根賬號,關閉對系統目錄的的賓客方位,解除安裝冗餘軟體,建立記憶體限額等。
相關連線:我的無限網路文章
雲計算學習筆記
1 通俗的理解是,雲 是儲存於網際網路伺服器集群上的資源,它包括硬體資源 伺服器 儲存器 cpu 等 和軟體資源 應用軟體 整合開發環境等 本地計算機只需要通過網際網路傳送乙個需求資訊,遠端就會有成千上萬的計算機為使用者提供需要的資源並將結果返回到 本地計算機 2 在雲計算環境下,由於使用者直接面對...
雲計算學習
雲計算的儲存和資源管理策略 雲計算是由分布式計算和網格計算發展而來,通過網際網路上的異構 自治的服務提供按需分配的計算資源。雲計算的資源特性 動態 容易擴充套件 虛擬化。服務層次 基礎設施服務iaas 平台即服務paas 軟體服務saas 虛擬化在雲計算中越來越重要,包括了伺服器 儲存 網路 pc等...
雲計算學習筆記(一)
雲計算的定義 nist 雲計算是對基於網路的 可配置的共享計算資源池能夠方便的 隨需訪問的一種模式。是一種顛覆性的交付模式,一體化的共享服務平台。雲計算由雲計算平台和雲服務應用兩個層面組成。從使用者體驗的角度來講,雲計算可分為三種服務模式 基礎設施即服務 iaas 平台即服務 paas 軟體即服務 ...