近几年,随着企业、政府单位等用云率的持续提升,混合云成为云计算未来的一个主流发展趋势,其优势愈发凸显。各类用户的比例逐步上升。云服务提供商纷纷在混合云市场布局,加大投入力度。混合云的兴起,对多云管理能力、云网协同能力、安全能力等提出了较高的要求。中国信通院发布的白皮书,对混合云架构各方面的能力提出了建议要求。
(1)多云管理能力
从成本角度来看,公有云的使用成本在一定程度上要低于私有云。同时综合考虑隐私性、合规性、安全性因素,企业采用公有云与私有云混合部署、由多家云服务提供商提供资源服务的模式将成为一个发展趋势。但这也带来了资源管理、运营服务、统一门户等方面的问题。在资源管理方面,需要对所有云数据中心的资源进行统一管理与运维,应能实现统一的资源告警、资源统计、日志分析、故障定位等。在运营服务方面,需要将云基础设施资源封装成为云服务,基于服务目录提供端到端的开通、监控、计量计费等一系列的运营服务。在统一门户方面,应能够为管理员提供统一的资源管理与运维管理界面,实现对虚拟资源、物理资源等的统一维护与管理,同时应提供用户订购界面,并能够实现对已分配的虚拟资产的管理,包括使用与释放等。
(2)云网协同能力
混合云架构需要通过网络打通企业本地信息化基础设施、公有云及私有云,同时可能需要联合多家云服务提供商,因此如何实现云网协同成为实现混合云架构的关键。要实现多云间的互通,对网络质量、稳定性、可靠性提出了较高要求。在多云互通方面,云和网的协同需要保证各资源池与企业本地计算环境的互联互通,包括单一本地环境与多个VPC(Virtual Private Cloud,虚拟私有云)的连接和单个VPC 与多个本地环境的连接。在网络性能方面,应能够在带宽、时延、丢包率等性能指标上满足用户多样性的应用要求。在可靠性方面,应能够支持多条网络专线的容灾,当一条网络链路出现故障时,能够及时快速将流量切换至使用冗余链路传输,避免单点故障。
(3)安全能力
随着更多企业业务在混合云平台上的应用,对企业数据和业务的安全管理变得越来越困难。本地基础设施及多个私有云、公有云构成了复杂的环境,对混合云安全有了更高的要求。
在网络和传输安全方面:为避免多个云平台网络间的互相影响,需要通过安全域划分、虚拟防火墙、VXLAN 等方式实现网络的隔离;为保障传输安全,需要使用HTTPS等安全通信协议,以及SSL/TLS 等安全加密协议;为保障网络连接可靠性,需要使用VPN/IPSec、VPN/MPLS 等安全连接方式。为保障边界安全:需要使用安全组、防火墙、IPD/IDS 等;为实现对流量型攻击和应用层攻击的全面防护,需要对通信的网络流量进行实时监控,针对DDoS、Web 攻击进行防御。
在数据和应用安全方面:在存储、备份和传输过程中应该对数据进行加密,防止数据被篡改、窃听或者伪造;通过数字签名、时间戳等密码技术保证数据完整性,并在检测到完整性被破坏时采取必要的恢复措施;使用安全接口和权限控制等手段对数据访问权限进行管理,从而避免敏感数据的泄露。
在访问和认证安全方面:使用基于密码、基于角色的分权分域等方式对访问进行控制,防止非授权或越权访问;采用随机生成、加密分发、权限认证方式进行密钥的生成、使用和管理,避免因密钥丢失导致的用户无法访问或数据丢失的风险。