云基础设施架构分析-云安全深度剖析

2023-11-18 理论教育版权反馈

【摘要】：图3-1 云基础设施栈结构图1.云数据中心网络结构对于数据中心而言，传统的数据中心架构和服务方式已经逐渐落后于时代需求，用户对安全、高效及节能等方面的要求也越来越迫切。

云计算基础设施是以高速以太网连接各种物理资源（如服务器、存储设备、网络设备等）和虚拟资源（如虚拟机、虚拟存储空间等）。其允许的增量增长远远超出典型的基础设施规模水平。这些组件应该根据它们的能力来选择，以支持可伸缩性、高效性和安全性。其中虚拟基础设施资源是利用虚拟化技术构建的建立于物理基础设施资源的基础之上的，对内通过虚拟化技术对物理资源进行抽象，使内部流程自动化并对资源管理进行优化，对外则提供动态灵活的资源服务^[1，2]。

云基础设施栈的结构可以描述为如图3-1所示的形式。

图3-1 云基础设施栈结构图

1.云数据中心网络结构

对于数据中心而言，传统的数据中心架构和服务方式已经逐渐落后于时代需求，用户对安全、高效及节能等方面的要求也越来越迫切。在此背景下，迎合云计算技术的云数据中心应运而生。这种新型的数据中心已经不只是一个简单的服务器托管和维护的场所。它已经衍变成一个集大数据运算和存储为一体的高性能计算机的集结地。各IT厂商将之前以单台为单位的服务器通过各种方式变成多台为群体的模式，在此基础上开发如云存储等一系列的功能，以提高单位数量内服务器的使用效率。

目前，新一代数据中心（又称为云数据中心）的概念仍没有一个标准定义。普遍认为新一代数据中心，是基于标准构建模块，通过模块化软件实现7×24h无人值守运行与管理，并以供应链方式提供共享的基础设施、信息与应用等服务。

由于云计算硬件设施层的服务器可达数十万台，因此，其基础架构的网络结构通常采用如图3-2所示的三层设计方案^[3]。

图3-2 云数据中心网络结构

在当前的云计算架构中，云数据中心是云计算硬件架构最底层的独立计算单位。作为一个大型的数据中心，需要处理大量的数据，而这些计算机要承担的任务，绝大部分是简单的计算。与此同时，为了控制数据中心的成本，数据中心的计算机一般并不是高性能的服务器，而是大量的廉价计算机，随之而来的一个问题就是，当进行大量计算时，如何保证整个数据中心内部的数据交换效率。另外，面向云的数据中心侧重点已由物理架构转向了提供标准化服务。在物理设施和管理层，对内使用良好的调度和平衡方案，大量使用虚拟化技术；对外则屏蔽下层物理设备，为上层提供标准化计算和存储资源，根据用户的不同需求，提供不同水平和集成度的服务。

一般来讲，云数据中心的网络架构需要具备以下五大技术特性^[4]：

（1）高速以太网带宽压力是云数据中心网络的核心问题。比如视频点播等应用，都需要万兆以太网。随着服务器和接入设备上万兆以太网的普及，数据中心的网络汇聚层和核心层设备对万兆以太网的需求越来越强烈。作为新一代云数据中心，其汇聚层或核心层至少应该采用100G以太网才能满足应用需求。

（2）浪涌缓存浪涌，也称为突发流量，表示瞬间的网络高速流量。这种情况在承载搜索业务的数据中心中表现尤为明显。数据中心处理一次搜索业务，一般是由一个服务器发起，然后向数据中心中保存有搜索信息业务的数千台服务器同时发起搜索请求，这些服务器几乎同一时间将搜索结果返回给发出搜索请求的服务器。

传统数据中心的网络采用出端口缓存的机制，使得所有数据流的突发在出端口处被缓存，缓存的大小即是网络最大可能的突发值。云数据中心应用的特点要求缓存要大，所以一般云数据中心的网络设备必须具备超大缓存，同时不再采用出端口缓存，而采用入端口缓存。

这种浪涌缓存技术能够自动调节不同方向的瞬时流量拥塞压力，是当前云数据中心网络的主要应用技术。

（3）网络虚拟化传统数据中心网络架构由于采用多层结构，导致网络结构比较复杂，使得数据中心基础网络的维护管理难度增大。云数据中心需要管理的网络设备会更多，有必要引入虚拟化技术进行设备管理。通过虚拟化技术，用户可以将多台设备连接，“横向整合”起来，组成一个“联合设备”，并将这些设备看作单一设备进行管理和使用。网络虚拟化也可以将一台设备分割成相互之间完全独立的多个虚拟设备。(www.chuimin.cn)

（4）统一交换云数据中心网络需要具备“统一交换”的无阻塞全线速（线速是指线路数据传送的实际速率能够达到的名义值；无阻塞全线速是指交换的任意大小字节的报文均能够达到全线速的能力）交换架构。实现无阻塞全线速的架构也就意味着要具备统一交换技术。

（5）绿色节能云数据中心的网络是数据中心中能耗的主要组成部分之一，只有通过降低网络的能耗才能提升云数据中心的运行效率。网络设备消耗的功率是该设备内所有器件消耗功率的总和，选择低功耗的器件是实现节能降耗的源头。其带来的效果不仅仅是整机功耗简单累加后的降低，还将降低热设计的代价。网络设备的电源系统要采用完备的电源智能管理，自动调节功率分配。此外，还可以通过模块化的设计以及虚拟化等绿色节能技术，降低云数据中心的设备投入成本以及运营维护成本。

2.云计算硬件基础架构

云计算硬件设施层位于云基础设施最底层，包括CPU、GPU和网络等必备硬件，是云计算的承载实体。根据云计算技术的特性，云计算环境中的硬件设备数量较多而且分布于不同地理位置，硬件设备之间通过互联网以及网络传输介质等途径进行连接。不同的硬件设备由统一的硬件设备管理系统进行管理，通过底层基础组成部件而实现硬件设备的逻辑虚拟化管理、多链路冗余管理、硬件基础设施的监控和故障处理管理等系统化管理措施。

具体来讲，云计算硬件基础架构主要包括服务器集群、海量存储设备和高速的网络带宽链路三部分^[5]。

（1）服务器集群云计算最基本的硬件就是串联起来的服务器，为解决大规模服务器串联所引起的主机散热问题，云计算数据中心采用“货柜式”摆放法，即将大量的服务器集群规整地摆放在类似大货车的集装箱里。为实现云计算平台的效用性，对庞大规模的服务器集群需要采用具有可伸缩性、数据可重复性以及容错和平衡负载等特性的串联技术。比如，Google的Altanta数据中心与Oregon Dellas数据中心互为备份，为维护服务器集群之间的负载平衡，将计算工作平均分配到不同服务器集群上。

（2）海量存储设备作为IaaS承载实体，除提供高性能的计算之外，还必须要有足够的存储空间，以满足用户对不断增强的信息存储的需求。比如Google在全球约有36个数据中心，其中19个在美国，12个在欧洲，3个在亚洲，1个在俄罗斯，1个在南美，可提供近115.2万兆字节存储空间，并通过GFS和BigTable实现数据的存储和管理。

（3）高速的网络带宽链路一个云内可以包含数千甚至上万台服务器，虚拟化技术的普遍采用使实际网络节点的数量更加巨大。因此用于连接云内不同节点的网络就成为实现高效计算和存储能力的关键环节之一。云计算相关的网络技术需要解决以下三个主要问题：①虚拟机流量的接入与控制。由于虚拟机的引入，虚拟机之间流量的交换可能深入到网卡内部进行，使得原本服务器与网络设备之间在网络接入层比较清晰的界限被打破。目前的主流方法是采用虚拟机软件厂商所提供的软件交换机。②数据中心内部横向流量的承载。在云计算数据中心中，出于对虚拟机热迁移的需要，汇聚层通常采用二层网络组网，这使得汇聚层二层网络规模大大增加，原有技术有可能造成链路的大量浪费。③数据和存储网络的融合。传统数据中心中存在两类网络，即连接服务器的以太网，以及连接服务器和存储设备的光纤存储网。两类网络的并存抬高了建设和运行管理成本，为适应云计算低成本的需要，数据网络和存储网络的融合成为一种趋势。④大量的服务器群和超容量空间的数据存储与交换，不仅要求云计算数据中心的服务器之间使用超高速网络连接，同时，对客户端的网络速度和频宽也提出了更高的要求。

3.云计算软件栈架构

为了更好地组织构成云计算基础架构的物理实体，必须设计相应的系统软件，以便更好地发挥物理实体的作用。

（1）IaaS层 IaaS层主要由分布文件系统和虚拟化层构成。为了更好地组织构成云基础的硬件设施，云计算底层通常有一个能够控制这些硬件设施的文件系统层，以便负责系统对硬件的访问。比如Google的GFS和Hadoop的HDFS。

虚拟化可以将独立的服务器和软件系统虚拟化为多个并行的可供操作的逻辑对象。虚拟化技术使应用程序和底层的物理硬件资源实现逻辑独立，解除了捆绑，使得系统能够适应各种应用程序，而与底层物理设备不再直接关联。

（2）PaaS层 PaaS层主要由云计算编程模式和数据管理层构成。云计算平台的一个重要指标是计算能力。对此，云计算服务平台必须提供一个简单有效的计算模型。目前，广泛应用于云计算平台的计算模型为MapReduce模型。

云计算平台处理的数据具有规模大、分布广的特点。为了更好地组织用户访问的数据，需要数据库管理服务器专门处理数据，这样才能够满足用户高速存取数据的需求。比如Google和Hadoop的数据管理层分别是BigTable和HBase。

（3）SaaS层 SaaS层的作用在于根据不同的业务需求开发对应的应用服务接口，从而提供不同的业务访问能力，提高云计算服务系统供给的多样性和广泛性。其中，SaaS层是否拥有设计良好、操作简单的应用接口和界面是SaaS层应用软件成功与否的关键。

需要指出的是，由于目前不同的云计算服务提供商均为独立实体，各自拥有自己的云计算服务提供方式，所以云计算服务系统的访问类型和访问手段会随云服务提供商的不同而存在差异。

云基础设施架构分析-云安全深度剖析

相关推荐