最全云計(jì)算平臺(tái)設(shè)計(jì)方案

#/60限制對(duì)正在運(yùn)行vCenter的主機(jī)的管理訪問。vCenter自身應(yīng)該運(yùn)行在一個(gè)專門為此目的準(zhǔn)備的獨(dú)立管理帳戶下管理網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)應(yīng)該相互隔離以限制可能造成對(duì)管理功能未經(jīng)授權(quán)訪問的風(fēng)險(xiǎn)。如果授權(quán)管理訪問權(quán)限，應(yīng)該適用最低權(quán)限原則。>管理訪問權(quán)限應(yīng)該盡可能與個(gè)人責(zé)任聯(lián)系在一起。應(yīng)該限制對(duì)根用戶等共享管理帳戶的訪問，同時(shí)還應(yīng)嚴(yán)格限制“su”等工具。>基于角色的訪問控制（RBAC）提供了一種將管理功能分為多個(gè)單獨(dú)角色的方法，授權(quán)用戶可以根據(jù)需要調(diào)用角色。對(duì)于VMwarevCenter，它的CustomRoles功能提供了一種根據(jù)角色定義和分離管理權(quán)限的內(nèi)置方法。環(huán)境監(jiān)控非常重要，尤其是監(jiān)控管理訪問和操作，包括授權(quán)和未經(jīng)授權(quán)的訪問與操作。公司應(yīng)該在計(jì)劃部署事件管理工具時(shí)深入了解虛擬化風(fēng)險(xiǎn)。這包括監(jiān)控對(duì)虛擬機(jī)映像存儲(chǔ)資源的訪問。在此，基于RBAC的角色分離應(yīng)該有助于確保那些具有管理訪問權(quán)限的用戶不能同時(shí)具有篡改管理操作證據(jù)的能力。虛擬化數(shù)據(jù)中心安全架構(gòu)OSME毎申規(guī)盂譽(yù)鑾按以滉息?具一悵可行信掏時(shí)統(tǒng)匯統(tǒng)既進(jìn)度世同K的系建鋁化咸噬擬化的至全釁珞氏全啞制應(yīng)當(dāng)民富擬化基礎(chǔ)架冏核心幵皓’冽如將蛆化主機(jī)"塩擬佬軟件OSME毎申規(guī)盂譽(yù)鑾按以滉息?具一悵可行信掏時(shí)統(tǒng)匯統(tǒng)既進(jìn)度世同K的系建鋁化咸噬擬化的至全釁珞氏全啞制應(yīng)當(dāng)民富擬化基礎(chǔ)架冏核心幵皓’冽如將蛆化主機(jī)"塩擬佬軟件哽件和虎擬化平臺(tái)的整甘監(jiān)控確據(jù)計(jì)算平臺(tái)環(huán)逼的安至可靠圖-虛擬化數(shù)據(jù)中心安全參考架構(gòu)在虛擬化數(shù)據(jù)中心安全設(shè)計(jì)當(dāng)中，由于相比于傳統(tǒng)的安全管理環(huán)境增加了虛擬化層，并且由于虛擬化漂移技術(shù)的出現(xiàn)，和動(dòng)態(tài)資源變更的需求特點(diǎn)，必須要考慮更多的原則，來確保整體的虛擬化數(shù)據(jù)中心安全。硬件和虛擬化平臺(tái)的整合監(jiān)控：對(duì)基礎(chǔ)架構(gòu)的安全監(jiān)控不僅僅需要針對(duì)物理設(shè)備，且需要對(duì)虛擬化資源進(jìn)行監(jiān)控，如虛擬化系統(tǒng)文件，虛擬化網(wǎng)絡(luò)設(shè)備，虛擬化計(jì)算資源池等，做到確保計(jì)算平臺(tái)環(huán)境的安全。從虛擬架構(gòu)層開始：在虛擬化環(huán)境當(dāng)中，存在虛擬化宿主服務(wù)器，用戶可能采用多種虛擬化技術(shù)來進(jìn)行虛擬化的實(shí)現(xiàn)，安全監(jiān)控應(yīng)當(dāng)能夠深入到虛擬化架構(gòu)中，對(duì)虛擬化技術(shù)產(chǎn)品進(jìn)行監(jiān)控，如虛擬化環(huán)境下的攻擊可能并不發(fā)生在從某一物理端口到另一端口，而是在虛擬化服務(wù)平臺(tái)上，同一臺(tái)物理服務(wù)器內(nèi)部的兩個(gè)虛擬機(jī)之間。邏輯化安全策略：在虛擬化環(huán)境中，虛擬化服務(wù)器，虛擬化網(wǎng)絡(luò)端口都可能隨著資源的動(dòng)態(tài)變化進(jìn)行資源池內(nèi)的漂移，安全策略不能綁定或固定在某一個(gè)物理的資源上，必須能夠跟隨虛擬資源進(jìn)行動(dòng)態(tài)變化。統(tǒng)一匯報(bào)和深度挖掘：在虛擬化環(huán)境中，資源的復(fù)雜度相比物理環(huán)境下層次更多，互相之間的聯(lián)系也更加復(fù)雜，且動(dòng)態(tài)變化，虛擬化環(huán)境下的安全管理系統(tǒng)應(yīng)當(dāng)能夠從眾多聯(lián)系之中，眾多安全事件的聯(lián)系之中，給出聯(lián)合的匯報(bào)，并可以對(duì)具體的事件進(jìn)行細(xì)化分析，深度挖掘，幫助管理員迅速找到安全問題。虛擬化數(shù)據(jù)中心安全組成安全解決方案包括信息安全領(lǐng)域通用的安全措施，同時(shí)針對(duì)虛擬化的引入，應(yīng)當(dāng)具有特別針對(duì)虛擬化提出了相應(yīng)的解決手段，主要包括五部分內(nèi)容：硬件平臺(tái)加固對(duì)虛擬化總線和管理層進(jìn)行加固，同時(shí)遵循虛擬化技術(shù)廠家，互聯(lián)網(wǎng)安全中心（CIS）和信息系統(tǒng)防御組織（DISA）的標(biāo)準(zhǔn)。虛擬化增加了新的總線Hypervisor層（也可以被看做是虛擬機(jī)管理器層），在這一層，總線層對(duì)虛擬資源進(jìn)行分配和調(diào)度等工作；同時(shí)虛擬化架構(gòu)還包括虛擬網(wǎng)絡(luò)和虛擬交換機(jī)。所有的這些組件，在傳統(tǒng)的數(shù)據(jù)中心都是由物理機(jī)構(gòu)成的。虛擬化技術(shù)同時(shí)還引入了新的管理層，負(fù)責(zé)對(duì)虛擬架構(gòu)的管理。所以為了減少未授權(quán)訪問的風(fēng)險(xiǎn)，Hypervisor層和管理層必須被“加固”。系統(tǒng)加固幫助減少了系統(tǒng)的安全脆弱性，通過一系列的措施，例如為虛擬架構(gòu)平臺(tái)配置安全的設(shè)置，應(yīng)用最新的補(bǔ)丁包。虛擬化服務(wù)器對(duì)于它的虛擬化架構(gòu)安全提供了一系列的加固方法，自動(dòng)化的工具大大的降低了管理工作的負(fù)擔(dān)?？梢詭椭總€(gè)系統(tǒng)確保配置成符合行業(yè)標(biāo)準(zhǔn)的系統(tǒng)，并且可以定制化配置特性，同時(shí)提供了系統(tǒng)變更的監(jiān)控和管理。配置和變更管理對(duì)于虛擬化系統(tǒng)的配置和變更管理，對(duì)于保證IT系統(tǒng)的準(zhǔn)確性和靈活性有重要的作用。虛擬環(huán)境的訪問控制規(guī)則安全認(rèn)證用來增強(qiáng)強(qiáng)壯的，多重的管理員身份認(rèn)證，使得認(rèn)證用戶在訪問虛擬化服務(wù)器管理終端的時(shí)候是可信的。虛擬環(huán)境中的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)隔離充分利用虛擬化軟件提供的功能（虛擬交換機(jī)，虛擬防火墻）妥善段虛擬機(jī)和虛擬網(wǎng)絡(luò)。日志審計(jì)為客戶提供了虛擬化平臺(tái)原始的日志審計(jì)，并且可以對(duì)特定事件進(jìn)行告警。并且，安全管理平臺(tái)可以配置成對(duì)特定的異常和懷疑的行為進(jìn)行告警，例如當(dāng)有新的機(jī)器進(jìn)入到虛擬的數(shù)據(jù)中心等等。2.1.7虛擬化數(shù)據(jù)中心容災(zāi)數(shù)據(jù)中心容災(zāi)的挑戰(zhàn)近年來，很多企業(yè)都在面臨一大難題，即：如何對(duì)他們的基礎(chǔ)設(shè)施、技術(shù)和網(wǎng)絡(luò)進(jìn)行災(zāi)難備份與恢復(fù)，以保證其業(yè)務(wù)連續(xù)性。一個(gè)高性價(jià)比的容災(zāi)解決方案可以幫助企業(yè)以一定的IT投入獲得最大的產(chǎn)出，同時(shí)很好地保護(hù)企業(yè)的業(yè)務(wù)免于災(zāi)難事件的影響。在多年以前的主機(jī)時(shí)代，很多企業(yè)選擇建設(shè)第二數(shù)據(jù)中心，以此來平衡生產(chǎn)中心的工作量，并對(duì)企業(yè)的備份能力進(jìn)行測(cè)試和改進(jìn)，從而滿足業(yè)務(wù)運(yùn)營的要求并提供災(zāi)難恢復(fù)保障。隨著時(shí)代的變遷，數(shù)據(jù)中心的工作量不斷膨脹，對(duì)第二數(shù)據(jù)中心的管理和協(xié)調(diào)也越來越困難。為滿足由于業(yè)務(wù)增長(zhǎng)而急劇增加的數(shù)據(jù)量對(duì)數(shù)據(jù)中心的要求，更大、更復(fù)雜的數(shù)據(jù)中心環(huán)境開始出現(xiàn)。除此之外，眾多分布式技術(shù)平臺(tái)和安裝在各種層面上的系統(tǒng)軟件不斷出現(xiàn)，而網(wǎng)絡(luò)技術(shù)的發(fā)展也使得“隨時(shí)隨地任意互聯(lián)”成為可能。很多企業(yè)開始認(rèn)識(shí)到技術(shù)已經(jīng)越來越難以維護(hù)和管理，這不僅增加了維持災(zāi)難恢復(fù)能力的復(fù)雜性，也導(dǎo)致了管理一個(gè)完全冗余的第二數(shù)據(jù)中心無法實(shí)現(xiàn)，特別是考慮到對(duì)財(cái)務(wù)、運(yùn)營和技術(shù)方面的整體影響。為了幫助解決這些問題,IT服務(wù)提供商引進(jìn)了多企業(yè)共享災(zāi)難恢復(fù)設(shè)施的概念——建設(shè)一個(gè)配備各種必需技術(shù)的綜合基礎(chǔ)設(shè)施，它可以被虛擬地劃分為任意大小并進(jìn)行相應(yīng)的配置。這一“熱站”概念為客戶的個(gè)性化需求提供了一個(gè)資源池，并且全部都由第三方供應(yīng)商在異地管理，因此可以遠(yuǎn)離企業(yè)的生產(chǎn)中心。這第一次證明了虛擬化災(zāi)難恢復(fù)策略的可實(shí)現(xiàn)性。數(shù)據(jù)中心容災(zāi)中的虛擬化從整體上看，虛擬化方法的主要好處是可以通過整合來實(shí)現(xiàn)規(guī)模效應(yīng)。大量的服務(wù)器、存儲(chǔ)和網(wǎng)絡(luò)集中在一個(gè)資源池中管理，并可以按需配置。從災(zāi)難恢復(fù)的角度來看，當(dāng)災(zāi)難發(fā)生時(shí)，資源池可以配置更多的容量和網(wǎng)絡(luò)接入來幫助恢復(fù)主要生產(chǎn)環(huán)境。虛擬化方法有其獨(dú)特的吸引力，但還需要考慮很多潛在的因素。在虛擬化技術(shù)下，服務(wù)提供商可以在個(gè)性化需求的基礎(chǔ)上為企業(yè)提供約定的資源。為實(shí)現(xiàn)對(duì)硬件的最大化利用，單一物理設(shè)備將被虛擬化為多個(gè)分區(qū)，從而實(shí)現(xiàn)對(duì)多個(gè)環(huán)境進(jìn)行恢復(fù)。同時(shí)，這種方式也允許企業(yè)只購買其需要的資源。隨著時(shí)間的推移，對(duì)分布式處理恢復(fù)的更大需求越來越明顯和必要。企業(yè)開始認(rèn)識(shí)到利用軟件去裝備虛擬機(jī)器的技術(shù)，這種技術(shù)可以在恢復(fù)場(chǎng)地的獨(dú)立硬件設(shè)備上進(jìn)行恢復(fù)，同時(shí)使得明確和描述恢復(fù)過程變得更加容易——只需明確定義備份，以及嚴(yán)格遵守硬件的具體要求即可。假設(shè)容量、存儲(chǔ)和界面足夠充分可以為每個(gè)個(gè)體提供相等或更多吞吐量，就可以實(shí)現(xiàn)大量的虛擬機(jī)器恢復(fù)到一個(gè)物理點(diǎn)上。數(shù)據(jù)容災(zāi)的等級(jí)和技術(shù)容災(zāi)備份是通過在異地建立和維護(hù)一個(gè)備份存儲(chǔ)系統(tǒng)，利用地理上的分離來保證系統(tǒng)和數(shù)據(jù)對(duì)災(zāi)難性事件的抵御能力。根據(jù)容災(zāi)系統(tǒng)對(duì)災(zāi)難的抵抗程度，可分為數(shù)據(jù)容災(zāi)和應(yīng)用容災(zāi)。數(shù)據(jù)容災(zāi)是指建立一個(gè)異地的數(shù)據(jù)系統(tǒng)，該系統(tǒng)是對(duì)本地系統(tǒng)關(guān)鍵應(yīng)用數(shù)據(jù)實(shí)時(shí)復(fù)制。當(dāng)出現(xiàn)災(zāi)難時(shí)，可由異地系統(tǒng)迅速接替本地系統(tǒng)而保證業(yè)務(wù)的連續(xù)性。應(yīng)用容災(zāi)比數(shù)據(jù)容災(zāi)層次更高，即在異地建立一套完整的、與本地?cái)?shù)據(jù)系統(tǒng)相當(dāng)?shù)膫浞輵?yīng)用系統(tǒng)（可以同本地應(yīng)用系統(tǒng)互為備份，也可與本地應(yīng)用系統(tǒng)共同工作）。在災(zāi)難出現(xiàn)后，遠(yuǎn)程應(yīng)用系統(tǒng)迅速接管或承擔(dān)本地應(yīng)用系統(tǒng)的業(yè)務(wù)運(yùn)行。設(shè)計(jì)一個(gè)容災(zāi)備份系統(tǒng)，需要考慮多方面的因素，如備份/恢復(fù)數(shù)據(jù)量大小、應(yīng)用數(shù)據(jù)中心和備援?dāng)?shù)據(jù)中心之間的距離和數(shù)據(jù)傳輸方式、災(zāi)難發(fā)生時(shí)所要求的恢復(fù)速度、備援中心的管理及投入資金等。根據(jù)這些因素和不同的應(yīng)用場(chǎng)合，通?？蓪⑷轂?zāi)備份分為四個(gè)等級(jí)。第0級(jí):沒有備援中心這一級(jí)容災(zāi)備份，實(shí)際上沒有災(zāi)難恢復(fù)能力，它只在本地進(jìn)行數(shù)據(jù)備份，并且被備份的數(shù)據(jù)只在本地保存，沒有送往異地。第1級(jí):本地磁帶備份，異地保存在本地將關(guān)鍵數(shù)據(jù)備份，然后送到異地保存。災(zāi)難發(fā)生后，按預(yù)定數(shù)據(jù)恢復(fù)程序恢復(fù)系統(tǒng)和數(shù)據(jù)。這種方案成本低、易于配置。但當(dāng)數(shù)據(jù)量增大時(shí)，存在存儲(chǔ)介質(zhì)難管理的問題，并且當(dāng)災(zāi)難發(fā)生時(shí)存在大量數(shù)據(jù)難以及時(shí)恢復(fù)的問題。為了解決此問題，災(zāi)難發(fā)生時(shí)，先恢復(fù)關(guān)鍵數(shù)據(jù)，后恢復(fù)非關(guān)鍵數(shù)據(jù)。第2級(jí):熱備份站點(diǎn)備份在異地建立一個(gè)熱備份點(diǎn)，通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)備份。也就是通過網(wǎng)絡(luò)以同步或異步方式，把主站點(diǎn)的數(shù)據(jù)備份到備份站點(diǎn)，備份站點(diǎn)一般只備份數(shù)據(jù)，不承擔(dān)業(yè)務(wù)。當(dāng)出現(xiàn)災(zāi)難時(shí)，備份站點(diǎn)接替主站點(diǎn)的業(yè)務(wù)，從而維護(hù)業(yè)務(wù)運(yùn)行的連續(xù)性。第3級(jí):活動(dòng)備援中心在相隔較遠(yuǎn)的地方分別建立兩個(gè)數(shù)據(jù)中心，它們都處于工作狀態(tài)，并進(jìn)行相互數(shù)據(jù)備份。當(dāng)某個(gè)數(shù)據(jù)中心發(fā)生災(zāi)難時(shí)，另一個(gè)數(shù)據(jù)中心接替其工作任務(wù)。這種級(jí)別的備份根據(jù)實(shí)際要求禾仃殳入資金的多少,又可分為兩種:①兩個(gè)數(shù)據(jù)中心之間只限于關(guān)鍵數(shù)據(jù)的相互備份;②兩個(gè)數(shù)據(jù)中心之間互為鏡像，即零數(shù)據(jù)丟失等。零數(shù)據(jù)丟失是目前要求最高的一種容災(zāi)備份方式，它要求不管什么災(zāi)難發(fā)生，系統(tǒng)都能保證數(shù)據(jù)的安全。所以，它需要配置復(fù)雜的管理軟件和專用的硬件設(shè)備，需要殳資相對(duì)而言是最大的，但恢復(fù)速度也是最快的。虛擬化災(zāi)難恢復(fù)策略的要點(diǎn)在使用虛擬化災(zāi)難恢復(fù)策略時(shí)需要考慮以下要點(diǎn)：恢復(fù)容量制定虛擬化災(zāi)難恢復(fù)策略的時(shí)候很重要的一點(diǎn)是考慮容量。企業(yè)通常會(huì)認(rèn)為恢復(fù)時(shí)容量利用率不會(huì)超過100%.事實(shí)上，由于恢復(fù)的啟動(dòng)階段會(huì)將系統(tǒng)推向極致，所需容量可能會(huì)超過生產(chǎn)容量。此外，恢復(fù)過程中有大量的跟進(jìn)工作，這些工作也需要容量。配套資源恢復(fù)能力雖然是需要考慮的重點(diǎn)，但其它各種支持生產(chǎn)環(huán)境的要素也要考慮在內(nèi)。這些要素包括處理器資源（存儲(chǔ)、設(shè)備界面等）、磁盤資源（存儲(chǔ)陣列、存儲(chǔ)場(chǎng)地網(wǎng)絡(luò)SANs、磁盤簇等）、外圍設(shè)備（控制單元、終端、刀片等）、基礎(chǔ)設(shè)施（外部交換機(jī)）和網(wǎng)絡(luò)連通性（交換機(jī)、資源獨(dú)立、網(wǎng)絡(luò)冗余和可測(cè)量性避免災(zāi)難恢復(fù)失敗的一個(gè)重點(diǎn)是確保虛擬化資源保持獨(dú)立，而不需要依賴主生產(chǎn)環(huán)境。網(wǎng)絡(luò)冗余是指不僅為內(nèi)部用戶，還必須為外部用戶（如客戶、業(yè)務(wù)伙伴、供應(yīng)商等）提供接入?？蓽y(cè)量性則是處理災(zāi)難恢復(fù)和生產(chǎn)運(yùn)營的工作量峰值所必需的?；謴?fù)計(jì)劃測(cè)試制定虛擬化災(zāi)難恢復(fù)策略非常重要的一點(diǎn)是考慮對(duì)計(jì)劃的有效測(cè)試。測(cè)試應(yīng)在系統(tǒng)層面上全面進(jìn)行，以有效地了解特定時(shí)間段內(nèi)工作量對(duì)虛擬化資源的要求，同時(shí)驗(yàn)證業(yè)務(wù)的完整性和基礎(chǔ)設(shè)施的有效性。雖然局部的功能測(cè)試更容易安排，但卻無法保證測(cè)試結(jié)果的真實(shí)性，因此會(huì)導(dǎo)致測(cè)試的效果大打折扣。重設(shè)工作量計(jì)劃不論是真實(shí)情況下還是演練過程中，恢復(fù)時(shí)都應(yīng)該制定詳細(xì)的計(jì)劃來管理整個(gè)過程中不斷變化的工作量。該計(jì)劃應(yīng)該包括一份高層認(rèn)可的正式時(shí)間表，一份恢復(fù)時(shí)資源分配的備選工作計(jì)劃，一個(gè)對(duì)偏移工作量的日常備份流程，以及一份在備用場(chǎng)地復(fù)原這些工作的經(jīng)過測(cè)試的恢復(fù)計(jì)劃。災(zāi)難恢復(fù)風(fēng)險(xiǎn)控制在制定虛擬化災(zāi)難恢復(fù)策略時(shí)應(yīng)考慮到給業(yè)務(wù)帶來的風(fēng)險(xiǎn)。由于虛擬化的固有弱點(diǎn)，距離可能會(huì)受到限制，但地理的多樣性必須被考慮在內(nèi)?；謴?fù)場(chǎng)所應(yīng)該與企業(yè)已有的風(fēng)險(xiǎn)規(guī)避策略所明確的風(fēng)險(xiǎn)承受能力相符，而不應(yīng)該是滿足技術(shù)要求的結(jié)果。清晰明確的工作量在確定構(gòu)成虛擬池的具體資源之前，很重要的一點(diǎn)是要了解災(zāi)難恢復(fù)的工作量。明確業(yè)務(wù)的優(yōu)先次序和臨界點(diǎn)，制定出與處理流程、應(yīng)用的集成和相互依賴性、以及IT支持模塊相關(guān)的詳細(xì)計(jì)劃，從而保證虛擬化環(huán)境的可恢復(fù)性。保持完整性的規(guī)則包括問題、變更、事件、配置和資產(chǎn)管理在內(nèi)的嚴(yán)格的系統(tǒng)管理規(guī)則是實(shí)施任何新的虛擬化災(zāi)難恢復(fù)策略的前提。這對(duì)保持恢復(fù)環(huán)境的完整性是至關(guān)重要的，同時(shí)對(duì)虛擬化資源池的最終操作、監(jiān)控和維護(hù)的有效性也是至關(guān)重要的。業(yè)務(wù)和IT報(bào)告對(duì)災(zāi)難恢復(fù)項(xiàng)目進(jìn)程的跟蹤、狀態(tài)的傳遞和結(jié)果的報(bào)告是所有災(zāi)難恢復(fù)項(xiàng)目的重要輸出，對(duì)于判斷IT功能虛擬化所進(jìn)行的大量投入的效果是非常重要的。2.1.8應(yīng)用部署參考標(biāo)準(zhǔn)并非所有的應(yīng)用都可以遷移到虛擬化環(huán)境，但是應(yīng)當(dāng)盡可能的遷移到虛擬化環(huán)境中。當(dāng)虛擬環(huán)境下進(jìn)行應(yīng)用進(jìn)行部署時(shí)會(huì)存在兩種情況：＞從物理環(huán)境遷移到虛擬化環(huán)境＞在虛擬化環(huán)境下直接部署新的應(yīng)用在虛擬環(huán)境下進(jìn)行應(yīng)用部署時(shí)應(yīng)當(dāng)遵循以下的原則：＞戰(zhàn)略制定設(shè)計(jì)應(yīng)用虛擬化戰(zhàn)略，獲得最終的架構(gòu)圖，以降低整體部署的復(fù)雜度并確保得到最優(yōu)的價(jià)值。＞單一目的服務(wù)器使用單一目的的服務(wù)器來簡(jiǎn)化管理，并且能夠提供更優(yōu)的獨(dú)立性、降低應(yīng)用沖突和提升資源利用率。＞Active-Active將關(guān)鍵業(yè)務(wù)應(yīng)用復(fù)雜部署到多個(gè)服務(wù)器上，并實(shí)現(xiàn)共同服務(wù)，以分散風(fēng)險(xiǎn)，避免當(dāng)系統(tǒng)出現(xiàn)故障時(shí)的意外業(yè)務(wù)停止。＞備份維護(hù)基于快照的備份，提供更加可靠和穩(wěn)固的恢復(fù)能力。＞可遷移采用基于SAN啟動(dòng)的服務(wù)器，確保應(yīng)用系統(tǒng)可以隨時(shí)遷移到不同的物理服務(wù)器上，避免單一服務(wù)器故障點(diǎn)。＞安全維護(hù)正確的訪問控制列表，采用可靠的認(rèn)真技術(shù)，如果需要的話，應(yīng)當(dāng)采用數(shù)據(jù)加密技術(shù)對(duì)應(yīng)用產(chǎn)生的敏感性數(shù)據(jù)進(jìn)行加密。＞標(biāo)準(zhǔn)化配置采用標(biāo)準(zhǔn)化的LUN，系統(tǒng)配置等，讓部署更加快速。＞將SWAP空間存方攵在非虛擬磁盤上。在虛擬化環(huán)境下部署應(yīng)用不存在標(biāo)準(zhǔn)流程，但是通過上述的原則可以獲得部署的指導(dǎo)。無論應(yīng)用時(shí)從物理服務(wù)器上遷移還是全新建立，一定要理解應(yīng)用的特性并且準(zhǔn)備針對(duì)性的部署方案。2.2云計(jì)算服務(wù)門戶2.2.1云服務(wù)門戶在新的服務(wù)模式中，IT是業(yè)務(wù)部門的服務(wù)提供者，這樣既實(shí)現(xiàn)了云計(jì)算的優(yōu)勢(shì)，又不會(huì)犧牲安全性和控制力。用戶將體驗(yàn)到前所未有的響應(yīng)速度和靈活性，而IT部門則通過更高程度的整合、任務(wù)自動(dòng)化和簡(jiǎn)化管理而得以降低成本。＞用戶只需點(diǎn)擊一下按鈕即可部署預(yù)先配置好或已定制的服務(wù)，即可提高業(yè)務(wù)靈活性。＞禾U用基于策略的用戶控制技術(shù)和安全技術(shù)，可以保持多租戶環(huán)境的安全性和可控性。＞以虛擬數(shù)據(jù)中心的形式向內(nèi)部組織高效地提供資源以提高整合率并簡(jiǎn)化管理；可以降低成本。＞以漸進(jìn)方式實(shí)現(xiàn)云計(jì)算一利用現(xiàn)有投資和開放標(biāo)準(zhǔn)，以保證云之間的互操作性和應(yīng)用程序可移植性云計(jì)算服務(wù)云計(jì)算服務(wù)門戶與底層虛擬化平臺(tái)協(xié)同工作，可以將基礎(chǔ)架構(gòu)作為服務(wù)提供給終端用戶來使用，即IaaS，包括了對(duì)IaaS使用流程的管理，資源生命周期的管理以及所提供的服務(wù)內(nèi)容的管理。IaaS服務(wù)采用自服務(wù)的方式，服務(wù)的生命周期如下圖：r>通用謚廊;也；*鶴日章席壞』（如■務(wù)■傘位射建IaaS服務(wù)采用自服務(wù)的方式，服務(wù)的生命周期如下圖：r>通用謚廊;也；*鶴日章席壞』（如■務(wù)■傘位射建Kt￡LJW町剛的痕券JK^'I'Wf和MttIaaS服務(wù)生命周期主要分成以下幾個(gè)階段：＞服務(wù)模板定義主要指準(zhǔn)備云計(jì)算環(huán)境，將各種合適的資源納入到云計(jì)算資源池，準(zhǔn)備標(biāo)準(zhǔn)的計(jì)算能力。＞創(chuàng)建服務(wù)目錄主要指將計(jì)算資源標(biāo)準(zhǔn)化，按照服務(wù)的方式進(jìn)行提供。服務(wù)目錄中的資源可以為服務(wù)器、可以為單個(gè)的CPU或內(nèi)存、可以為存儲(chǔ)容量、可以為應(yīng)用軟件、可以為特定執(zhí)行程序，服務(wù)目錄是一個(gè)云計(jì)算環(huán)境可用計(jì)算資源的集中體現(xiàn)。＞服務(wù)訂閱主要是指云服務(wù)消費(fèi)者申請(qǐng)?jiān)朴?jì)算能力和服務(wù)，或者更改某個(gè)已有的服務(wù)申請(qǐng)。云計(jì)算環(huán)境越是龐大、其服務(wù)管理就越是要求準(zhǔn)確和嚴(yán)格。如果出現(xiàn)計(jì)劃服務(wù)的時(shí)間無法獲得所需的計(jì)算資源，就會(huì)影響相關(guān)服務(wù)申請(qǐng)的服務(wù)水平，從而給使用部門，即云服務(wù)消費(fèi)者，帶來業(yè)務(wù)上的損失。＞服務(wù)運(yùn)行服務(wù)運(yùn)行首先意味著服務(wù)的供應(yīng)，通過自動(dòng)化的供應(yīng)平臺(tái)使消費(fèi)者在指定的時(shí)間獲得云計(jì)算資源；其次意味著服務(wù)的管理，需要確保云計(jì)算服務(wù)的質(zhì)量，包括計(jì)算性能和可靠性。這些都是云計(jì)算服務(wù)中需要關(guān)注的部分。＞服務(wù)終止當(dāng)消費(fèi)者不再需要服務(wù)時(shí)，服務(wù)會(huì)被終止，資源會(huì)被回收。資源可以重新放回資源池以重新利用。IaaS的生命周期圍繞著業(yè)務(wù)需求將計(jì)算資源得以最大限度地使用，所以IaaS服務(wù)部件需要計(jì)算資源，也同樣需要對(duì)其生命周期進(jìn)行管理的平臺(tái)。云計(jì)算服務(wù)管理平臺(tái)可以涵蓋云計(jì)算服務(wù)提供所需的各個(gè)環(huán)節(jié)，通常包括：服務(wù)申請(qǐng)和流程管理服務(wù)交付和回收，自動(dòng)供應(yīng)平臺(tái)■資源使用統(tǒng)計(jì)和計(jì)費(fèi)■服務(wù)質(zhì)量監(jiān)控■其它的支撐服務(wù)，包括安全性等在整個(gè)服務(wù)的生命周期包括兩類參與角色，終端用戶即服務(wù)訂閱者，云平臺(tái)運(yùn)營管理用戶，包括云計(jì)算平臺(tái)管理員，服務(wù)目錄管理者和服務(wù)水平管理員。用戶申請(qǐng)資源IaaS時(shí)，可以指定需要使用的資源的起始/結(jié)束日期。申請(qǐng)資源在需要使用的日期之前，不會(huì)占用云計(jì)算中心的實(shí)際資源。在使用日期之前，云計(jì)算服務(wù)門戶平臺(tái)會(huì)自動(dòng)在有合適的可用資源的資源池中，自動(dòng)部署所需要的虛擬服務(wù)器（主機(jī)名、IP地址、CPU、內(nèi)存、存儲(chǔ)空間）及應(yīng)用。云計(jì)算基礎(chǔ)架構(gòu)以虛擬數(shù)據(jù)中心的形式為內(nèi)/外部組織提供資源。通過以邏輯方式將計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)容量組合成虛擬數(shù)據(jù)中心資源池，可以利用在計(jì)算中心服務(wù)的交付和提供

環(huán)節(jié)之間的完全抽象化，更高效地管理資源。不再是為組織提供孤立的多個(gè)物理基礎(chǔ)架構(gòu)，而是基于公用物理基礎(chǔ)架構(gòu)提供相互隔離的虛擬數(shù)據(jù)中心。通過將這些后端物理資源創(chuàng)建為資源池，硬件利用率和整合率都獲得了提高。類似地，底層基礎(chǔ)架構(gòu)也可以聚合到不同的層中，以不同的服務(wù)級(jí)別和價(jià)格向用戶提供。訂問拉散用戶云齡訪問就粗卓：日轡可生署黃迢用戶云至更網(wǎng)學(xué)尹卻網(wǎng)宰世”DCs比vDCs甜”DC高。類似地，底層基礎(chǔ)架構(gòu)也可以聚合到不同的層中，以不同的服務(wù)級(jí)別和價(jià)格向用戶提供。訂問拉散用戶云齡訪問就粗卓：日轡可生署黃迢用戶云至更網(wǎng)學(xué)尹卻網(wǎng)宰世”DCs比vDCs甜”DC提供B*9￡：ffiar衍|i￡3h也-二W」」vAddNe:work—”允許用戶以自助方式訪問自己的虛擬數(shù)據(jù)中心云計(jì)算服務(wù)門戶改變了組織使用云計(jì)算服務(wù)的方式。不必再填寫服務(wù)臺(tái)申請(qǐng)單并排隊(duì)等待，現(xiàn)在，應(yīng)用程序和業(yè)務(wù)線所有者可以利用自助門戶來訪問自己的虛擬數(shù)據(jù)中心。云計(jì)算服務(wù)門戶使用戶能夠通過一個(gè)Web門戶和編程接口，將這些資源作為一項(xiàng)目錄服務(wù)來使用。IT團(tuán)隊(duì)可以針對(duì)同一基礎(chǔ)架構(gòu)定義多種使用模式，從按需提供容量到保留池不等。通過與有助于推動(dòng)責(zé)任管理并實(shí)現(xiàn)精確使用量監(jiān)控的計(jì)費(fèi)軟件集成，可以以適當(dāng)?shù)某杀灸Ｐ吞峁┻@些資源。最終，IT組織可利用基于現(xiàn)有LDAP（輕型目錄訪問協(xié)議）目錄服務(wù)實(shí)現(xiàn)的角色訪問控制機(jī)制，通過權(quán)限、