云計算=SaaS 網格計算 虛擬化

1、 HYPERLINK /wiki/kingdee/2081-cloud-computer-2 奉繼承博士：云計算SaaS+網格計算+虛擬化 到底什么是云計算？ 在IT業(yè)界，對于“云計算”至少有超過20種的解釋。維基百科的定義為“云計算（cloud computing），是這樣一種計算方式，計算資源是動態(tài)易擴展而且虛擬化的，往往通過互聯(lián)網提供。用戶不需要了解云中基礎設施的細節(jié)，不必具有相應的專業(yè)知識，也無需直接進行控制”。埃森哲（Accenture）咨詢公司的定義“第三方提供商通過網絡動態(tài)提供及配置IT功能（硬件、軟件或服務）”。云計算的概念模型其實，云計算作為一種新技術，包含了多層含義：用戶的

2、公共性：云計算所提供的服務對象，既有企業(yè)/政府/學術/個人等最終用戶，也包括應用軟件、中間件平臺等“用戶”，這是根據云計算提供不同層次的服務所決定的。設備的多樣性：云計算所提供服務的設備也是多樣的，既包括各種規(guī)模的服務器、主機、存儲設備，也包括各種類型的終端設備，如計算機、智能手機、各種智能傳感器、RFID設備等。商業(yè)模式的服務性：云計算是以服務的方式提供設備和應用的。這種服務特性體現(xiàn)在兩個方面的特征：簡化和標準的服務接口，按需計費的商業(yè)模式。提供方式的靈活性：云計算既可以作為一種共用設施，提供社會服務，即“公共云”，也可以作為企業(yè)信息化的集中計算平臺來提供，即“私有云”。云計算的概念模型因此

3、，云計算的核心內涵包括： 計算服務化； 資源虛擬化； 管理智能化。云計算的技術體系要完全理解云計算的技術體系，或者其完整含義，我認為需要從三個方面說明。也就是說，云計算一點也不神秘，其實云計算就是軟件即服務SaaS、網格計算、虛擬化三個概念的結合體。云計算的技術基礎 云計算的虛擬化（Virtualization）虛擬化即基礎設施的虛擬化（Virtualization），核心是傳統(tǒng)已經成熟的集群技術和分區(qū)技術的結合。集群計算（Cluster Computing）是將多臺服務器虛擬為一臺服務器的技術，目的是提高計算能力和提升設備的容錯、實現(xiàn)負載均衡。集群技術已經廣泛應用于操作系統(tǒng)、數(shù)據庫和中間件等

4、系統(tǒng)軟件平臺。而分區(qū)計算（Partition Computing）是大型主機和UNIX小型機上一種成熟的技術，就是將一臺服務器虛擬為多臺服務器，每個虛擬單元叫一個分區(qū)，各分區(qū)之間是相互隔離的，目的是提高資源利用率。只不過，現(xiàn)在低端的INTEL架構的PC服務器也支持虛擬化而已。云計算的虛擬化虛擬化目前還包括網絡虛擬化（VPN）和存儲虛擬化（SAN/NAS）等技術，與服務器虛擬化一起，構建為一個完整的計算資源虛擬化環(huán)境，在虛擬化管理系統(tǒng)的控制下，實現(xiàn)動態(tài)的可配置的智能系統(tǒng)。 網格計算（Grid Computing）云計算是網格計算（Grid Computing）的另一種表現(xiàn)形式，是相似技術的兩種表

5、現(xiàn)形式。網格計算是一種計算能力提升的方式，其原理是依據并行計算理論，通過任務分解，將子任務分布式提交到其他服務器上運行，以獲得更強大計算能力。應用場景：科學計算，天氣預報，地震分析、地質勘探、石油勘探等；任務特色：重計算，弱流程，少交互；這種計算任務需要消耗大量的CPU計算，對網絡流量不大，存儲和硬盤訪問量不大。計算模式：任務通過服務分解，分布式計算。因此，網格計算盡管在IBM等公司大力推動下，實際商業(yè)應用并不成功，主要在一些高校、科研機構等建設有這樣的實驗環(huán)境，因為這種計算場景并不普遍。而云計算就是解決商業(yè)應用環(huán)境下的計算資源的虛擬提供更強大計算能力和資源利用率。應用場景：企業(yè)管理，電子政務

6、，電子商務等；任務特色：弱計算，強流程，多交互；這種應用很難進行分解，頻繁的人機交互，CPU消耗并不大，但存儲和硬盤訪問量很大，因此網絡的訪問流量也非常大。計算模式：資源的虛擬提供更強大的計算能力。云計算與網格計算網格計算的基礎技術就是Web Services，通過任務分解為服務，這些服務可以在分布式的計算環(huán)境中，實現(xiàn)和設備無關的標準交互，并且通過服務的封裝，可以實現(xiàn)并行的事務處理。云計算的平臺技術，主要是依賴于SOA，而我們知道SOA的主要實現(xiàn)技術體系也就是Web Services，因此云計算和網格計算的核心技術基礎是相似的。因此，云計算的商業(yè)用途將非常廣泛，能夠得到廠商和用戶的大力支持。

7、云計算的服務化云計算的使用模式即服務化。所謂服務化，即服務消費者只需提供服務的請求，并提交服務的輸入，而不關心服務的實現(xiàn)方法、技術和流程，而直接得到服務的結果。云計算的服務模式是將軟件作為服務SaaS (Software as a Service)、將平臺作為服務PaaS (Platform as a Service)和將基礎設施作為服務IaaS (Infrastructure as a Service)等各種模式。云計算的服務化軟件即服務Software-as-a-Service，簡稱SaaS，是隨著互聯(lián)網技術的發(fā)展和應用軟件的成熟，而在21世紀開始興起的一種完全創(chuàng)新的軟件應用模式。著名的S

8、aaS供應商salesforce公司提出的SaaS 并運用于CRM行業(yè)，它是一種通過Internet提供軟件的模式，SaaS供應商將應用軟件統(tǒng)一部署在服務器上，客戶可以根據自己實際需求，通過互聯(lián)網向服務商定購所需的應用軟件服務，按定購的服務多少和時間長短向服務商支付費用，并通過互聯(lián)網獲得服務商提供的服務。用戶不用再購買軟件，而改用向提供商租用基于Web的軟件，來管理企業(yè)經營活動，且無需對軟件進行維護，服務提供商會全權管理和維護軟件，軟件廠商在向客戶提供互聯(lián)網應用的同時，也提供軟件的離線操作和本地數(shù)據存儲，讓用戶隨時隨地都可以使用其定購的軟件和服務。對于許多小型企業(yè)來說，SaaS是采用先進技術的

9、最好途徑，它消除了企業(yè)購買、構建和維護基礎設施和應用程序的需要。SaaS之中的軟件“Software”本質上是指應用軟件Application Software，嚴格上來說SaaS應該叫做AaaS（Application as a Service）或者BaaS（Business as a Service），這是因為SaaS出現(xiàn)的時候，系統(tǒng)軟件和平臺軟件還不能也還沒有作為服務來提供。平臺即服務Platform -as-a-Service，簡稱PaaS，是云計算一種重要的服務模式，其核心是將計算環(huán)境和應用程序的運行平臺作為一項服務進行提供。PaaS的實現(xiàn)方式是將中間件平臺、及其組件和運行環(huán)境進行封

10、裝。 例如，如果客戶擁有Java應用程序，或者個性化的一個應用需要電子地圖組件，傳統(tǒng)上必須購買和配置服務器硬件和操作系統(tǒng)，以及應用服務器軟件和電子地圖組件等，還必須購買Oracle數(shù)據庫等系統(tǒng)軟件，才能提供一個綜合的計算平臺，其應用軟件才能夠運行。而現(xiàn)在，云計算就可以提供客戶一個應用運行的平臺，而客戶無須關心平臺的配置硬件環(huán)境和軟件系統(tǒng)，只要部署到PaaS之中的平臺實例或者電子地圖的接口上（WebService）就可以按照租用的方式來運行系統(tǒng)了?；A設施即服務IaaS (Infrastructure as a Service)是將硬件資源進行虛擬化，在操作系統(tǒng)層面將計算基礎設施（CPU/內存和

11、存儲/操作系統(tǒng)）等以出租的方式在虛擬網絡VPN下為客戶提供服務的模式。 云計算的智能化云計算的虛擬化和動態(tài)管理本質上是系統(tǒng)的管理智能化，通過動態(tài)配置的資源管理、自動動態(tài)配置的自適應性和自我恢復能力，將云計算設計為智能系統(tǒng)。這些智能的自我管理特性表現(xiàn)為： 虛擬化設置：可以非常簡化地在控制臺配置虛擬化的計算資源； 資源動態(tài)配置：可以在運行期動態(tài)調整資源配置； 系統(tǒng)自動監(jiān)測：自動監(jiān)測系統(tǒng)運行的健康狀況，對異常情況自動報警； 安全隔離：各虛擬資源之間進行安全的隔離，各個實例之間實現(xiàn)自治； 負載自動均衡：系統(tǒng)在虛擬設備之內實現(xiàn)多個資源之間的自動負載均衡； 資源管理決策支持：可以對云計算資源的適應狀況進行

12、優(yōu)化的管理決策，實現(xiàn)自優(yōu)化； 自恢復：云計算的實例和虛擬化資源出現(xiàn)運行故障或者死鎖，系統(tǒng)具備自我恢復功能。通過這些智能化的管理功能，云計算是一個自適應、自優(yōu)化的智能系統(tǒng)。附錄資料：不需要的可以自行刪除 園區(qū)網絡虛擬化無論規(guī)模如何或有什么安全需求，企業(yè)現(xiàn)在都能在單一物理網絡上，受益于支持多個封閉用戶組的虛擬化園區(qū)網絡。綜述隨著對園區(qū)網絡的需求日益復雜，可擴展解決方案也越來越需要將多個網絡用戶組進行邏輯分區(qū)。網絡虛擬化提供了多個解決方案，能在保持現(xiàn)有園區(qū)設計的高可用性、可管理性、安全性和可擴展性優(yōu)勢的同時，實現(xiàn)服務和安全策略的集中。為達到出色效果，這些解決方案必須包括網絡虛擬化的三個主要方面：訪問

13、控制、路徑隔離和服務邊緣。通過實施這些解決方案，網絡虛擬化即能與思科系統(tǒng)公司的服務導向網絡架構(SONA)相結合，為遷移到智能化信息網絡的企業(yè)創(chuàng)建一個強大的框架。SONA網絡利用NAC和IEEE 802.1x協(xié)議提供身份識別服務，從而實現(xiàn)最優(yōu)訪問控制。在用戶獲準接入網絡后，三個路徑隔離解決方案GRE隧道、VRF-lite和MPLS VPN能在保留當前園區(qū)網設計優(yōu)勢的同時，在現(xiàn)有局域網上疊加分區(qū)機制，將網絡劃分為安全、虛擬的網絡。這些解決方案解決了與分布部署服務和安全策略相關的問題。最后，共享服務和安全策略實施的集中化，大大減少了在園區(qū)網中維護不同群組的安全策略和服務所需的資本和運營開支。這種集

14、中化有助于在園區(qū)中實施一致的策略。挑戰(zhàn)園區(qū)網絡的設計建議一直缺乏一種對網絡流量分區(qū)，以便為封閉用戶組提供安全獨立環(huán)境的方式（表1）。有許多因素都在推動對于創(chuàng)建封閉用戶組的需要，包括： 企業(yè)中存在不同級別的訪問權限：幾乎每個企業(yè)都需要解決方案來為客戶、廠商、合作伙伴以及園區(qū)局域網上的員工授予不同的訪問級別。 法規(guī)遵從性：部分企業(yè)受法律或規(guī)定的要求，必須對較大的機構進行分區(qū)。例如，在金融公司中，銀行業(yè)務必須與證券交易業(yè)務分開。 過大的企業(yè)需要簡化網絡：對于非常大型的園區(qū)網絡，如機場、醫(yī)院或大學來說，過去，為保證不同用戶組或部門間的安全性，就必須構建和管理不同的物理網絡，這種做法既昂貴又難以管理。

15、網絡整合：在合并和收購時，通常需要迅速集成所收購公司的網絡。 外包：隨著外包和離岸外包的普及，子承包商必須證明各客戶的信息間完全隔離。尤其當一家承包商服務于相互競爭的公司時，這尤為重要。 提供網絡服務的企業(yè)：零售連鎖公司為其他公司支持售貨亭或為加油站提供互聯(lián)網接入；同樣，服務于多家航空公司和零售商的機場能使用單一網絡來提供隔離服務和共享服務。 表1. 不同垂直行業(yè)中網絡分區(qū)的應用示例垂直行業(yè)網絡虛擬化應用示例制造業(yè)生產工廠(自動裝置，生產環(huán)境自動化等)，管理，銷售，視頻監(jiān)視。 金融業(yè)交易大廳，管理，合并。政府支持不同部門的共同建筑物和設施。在部分國家，法律要求這些部門采用不同網絡。醫(yī)療總體趨勢

16、是在進行治療的同時提供賓館式服務。須隔離醫(yī)護人員、核磁共振成像(MRI)和其他技術設備、病人互聯(lián)網接入，以及為病人提供的廣播和電視等媒體服務。 商業(yè)智能樓宇：多企業(yè)園區(qū)不同部門共享部分資源。多個公司位于同一園區(qū)，其中不同建筑物分屬不同部門，但全使用相同的核心和互聯(lián)網接入機制。園區(qū)所有者管理建筑物自動化體系，覆蓋所有建筑物。零售售貨亭，分支機構中的公共無線局域網，RF識別，WLAN設備（例如，不支持任何WLAN安全特性的較早的WLAN條碼閱讀器）。教育學生、教授、管理人員和外部研究團隊間需要隔離。此外，分布于多個建筑物的各院系可能需要訪問各自的服務器區(qū)域。而某些資源（例如互聯(lián)網、電子郵件和新聞）

17、可能需要共享或通過一個服務區(qū)訪問。此外，建筑物自動化體系也必須分開。園區(qū)局域網的發(fā)展網絡虛擬化允許多個用戶組訪問同一物理網絡，但從邏輯上對它們進行一定程度的隔離，以便它們無法查看其他組這是多年來網絡經理面臨的挑戰(zhàn)。在上世紀90年代，L2交換是園區(qū)局域網的標志性特征，虛擬局域網(VLAN)是在一個通用基礎設施中將局域網劃分為不同工作組的標準。此解決方案安全高效，但無法很好地擴展，而且隨著園區(qū)局域網的發(fā)展，其管理也非易事。核心和分布層中L3交換的出現(xiàn)，在VLAN方式的基礎上對可擴展性、性能和故障排除進行了優(yōu)化。過去幾年中，所構建的基于L3的園區(qū)網絡已經證實，它們便于擴展、功能強大，具有高性能。但在

18、網絡分區(qū)和封閉用戶組方面，L3園區(qū)方式有著重大缺陷和限制。在此情況下，添加封閉用戶組即意味著增加成本和復雜度。解決方案：網絡虛擬化因此我們需要一個便于擴展的解決方案，來保持用戶組完全隔離，實現(xiàn)服務和安全策略的集中，并保留園區(qū)網設計的高可用性、安全性和可擴展性優(yōu)勢。為支持此解決方案，網絡設計必須高效地解決以下問題： 訪問控制：確保能識別合法用戶和設備，對其分類，并允許其接入獲得訪問授權的網絡部分。 路徑隔離：確保各用戶或設備都能高效地分配到正確、安全的可用資源集即正確的VPN。 服務邊緣：確保合法的用戶和設備能訪問相應的正確服務，并集中實施策略。 思科解決方案能通過幾個方式實現(xiàn)網絡虛擬化。虛擬化

19、技術使單一物理設備或資源能作為它自己的多個物理版本，在網絡中共享。網絡虛擬化是思科SONA框架的一個重要組件。思科SONA使用虛擬化技術來改進服務器和存儲局域網（SAN）等網絡資產的使用。例如，一個物理防火墻能配置為執(zhí)行多個虛擬防火墻的功能，幫助企業(yè)優(yōu)化資源和安全投資。其他虛擬化戰(zhàn)略包括集中策略管理、負載均衡和動態(tài)分配等。虛擬化能提高靈活性和網絡效率，降低資本和運營開支。訪問控制：身份驗證和接入層安全接入層安全對于保護園區(qū)局域網免遭外部威脅十分重要。通過在威脅進入園區(qū)前即采取防御措施的特性，能對思科網絡虛擬化解決方案構成補充。IEEE 802.1X即是這樣一種技術，它是端口安全的標準。802.

20、1X在用戶及其相關的VPN間形成強大的連接，防止在未授權情況下訪問禁止接入的資源。另一種補充技術是思科網絡準入控制(NAC)。NAC的職責是在邊緣防御威脅，在有害流量到達分布層或核心層前即將其刪除。NAC有助于確保用戶不會使園區(qū)基礎設施遭受到任何病毒、蠕蟲等威脅。路徑隔離：L3 VPN為支持園區(qū)網絡虛擬化，思科提供了三個非常適用于典型園區(qū)網絡設計，并混合使用了L2和L3技術的解決方案： GRE隧道 VRF-lite MPLS VPN GRE隧道GRE隧道為在園區(qū)網絡上創(chuàng)建封閉用戶組提供了一種相當簡單且高效的方法。GRE隧道非常適于作為托管“訪客”接入的企業(yè)解決方案，使公司能為訪客或來訪者提供全

21、球互聯(lián)網接入，而又能防止這些用戶訪問內部資源。在圖1中，GRE隧道與Cisco VRF-lite特性共用，為訪客接入創(chuàng)建了一個簡單、易于管理的解決方案。圖1. 結合使用GRE隧道和VRF-lite該解決方案的優(yōu)勢包括： 能跨越典型的多層園區(qū)網絡（無需園區(qū)級VLAN）。 訪客用戶流量與其他公司局域網流量隔離。 所有訪客流量的進入點位于中央位置，使安全性和服務質量(QoS)策略更易于管理。 甚至能通過廣域網擴展到分支機構。 在將GRE隧道作為支持封閉用戶組的解決方案時，需要注意的一個因素是隧道本身較難配置和管理，因此不建議解決方案部署超過兩條隧道。此類網絡虛擬化適用于需要星型拓撲的場合。VRF-l

22、iteVRF-lite是一個思科特性，通常稱為多VRF客戶邊緣，通過使用單一路由設備支持多個虛擬路由器，來提供園區(qū)分區(qū)解決方案。VRF-lite是MPLS的輕量版本。利用VRF-lite，網絡經理能靈活地為任意特定VPN使用任意IP地址空間，而無論它是否與其他VPN的地址空間重疊或沖突。這種靈活性在很多場合都非常實用。例如，當所收購公司的網絡合并到一個共享局域網中，所收購的網絡能作為獨立VPN進入基礎設施，幾乎或完全不會干擾網絡上的日常業(yè)務流程。VRF-lite能用作端到端解決方案，如圖2所示，也能與另一解決方案共用來支持封閉用戶組，這將在下一部分中討論?？傮w來說，VRF-lite的可擴展性高

23、于GRE隧道，但它最適用于有四或五個分區(qū)的網絡。每次添加用戶組時，它都需要人工重配置，因此相當耗費勞力。圖2. VRF作為端到端解決方案部署MPLS VPN另一種為封閉用戶組進行園區(qū)網絡分區(qū)的方法為基于MPLS的L3 VPN。和GRE隧道與VRF-lite一樣，MPLS VPN提供了一種安全可靠的方式，在通用物理基礎設施上進行網絡邏輯分區(qū)。盡管電信運營商使用MPLS技術的時間已有幾年，但因為局域網交換機上缺乏對MPLS的支持，它還未在企業(yè)網絡中廣泛部署。而不斷改變的業(yè)務需求，以及相應的新產品面世，正幫助MPLS成為園區(qū)基礎設施中的重要技術。隨著Cisco Catalyst 6500系列提供了對

24、于MPLS VPN的支持，對許多大型企業(yè)來說，MPLS技術已擁有了廉宜價位。MPLS VPN具有本文中討論的其他解決方案的所有優(yōu)勢（參見圖3）。此外，任何MPLS VPN都能通過配置，連接至用戶和位于網絡中任意地點的資源，而不會影響性能或網絡設計。相應地，MPLS VPN也是三個思科網絡基礎設施虛擬化解決方案中可擴展性最高的。當添加或改動用戶組時，無需人工重配置，這提高了可擴展性，降低了運營開支。當在網絡邊緣使用VLAN，在園區(qū)的路由部分使用L3 VPN時，保留了層次化園區(qū)網部署的所有優(yōu)勢，同時該解決方案還能在園區(qū)局域網中實現(xiàn)端到端、可擴展分區(qū)，并支持集中的安全特性和服務。和VRF-lite一樣，網絡定址靈活性也是MPLS VPN的另一優(yōu)勢。圖3. MPLS VPN支持任意到任意連接統(tǒng)一接入提供靈活性這三個思科園區(qū)網虛擬化解決方案并不限制用戶使用任何特定的接入類型。盡管他們在單一物理網絡基礎設施中工作，但這些解決方案能輕松地支持移動用戶。無論使用的解決方案是基于GRE隧道、VRF-lite還是MPLS VPN，用戶只要能接入網絡，就能透明地與其所屬的封閉用戶組相關聯(lián)。虛擬化服務虛擬化網絡服務是思科網絡基礎設施