云計(jì)算的開放架構(gòu)設(shè)計(jì)

　　1.5 IaaS能力開放的安全性考慮

　　對于商業(yè)系統(tǒng)用戶來說，系統(tǒng)的高效訪問、可靠性、易用性是其中一個方面，但最終決定是否使用云計(jì)算作為企業(yè)基礎(chǔ)服務(wù)的是能力開放的安全性。

　?。?） 特權(quán)使用者的管理

　　特權(quán)使用者，例如運(yùn)營商的管理員，由于具有絕對的權(quán)力，必須嚴(yán)格監(jiān)管。

　?。?） 法規(guī)的遵守

　　雖然云計(jì)算公司是通過運(yùn)營商提供服務(wù)，但法律法規(guī)還需要提供服務(wù)的公司遵守并承擔(dān)，而非運(yùn)營商本身。因此客觀要求不僅是服務(wù)公司必須滿足相關(guān)的法規(guī)要求，為其提供服務(wù)的運(yùn)營商也必須滿足相關(guān)的要求才能夠避免法律風(fēng)險(xiǎn)。

　?。?） 資料所在地理位置的管控

　　隱私保護(hù)權(quán)在各個國家和地區(qū)有所不同，作為無邊界的網(wǎng)絡(luò)服務(wù)，必須有能力滿足特定地理位置下用戶的隱私規(guī)則，以保證符合服務(wù)地的法規(guī)。有些國家和地區(qū)對敏感數(shù)據(jù)的物理存儲地址也有限定，服務(wù)提供商必須能夠滿足這些要求。

　　（4） 數(shù)據(jù)的隔離

　　云服務(wù)面向很多用戶，因此必須保障數(shù)據(jù)的有效隔離，必要時要有能夠提供數(shù)據(jù)物理隔離的能力。

　　（5） 故障情況下數(shù)據(jù)的恢復(fù)能力

　　故障發(fā)生時，如何能夠快速恢復(fù)服務(wù)與數(shù)據(jù)，并有效備份數(shù)據(jù)，是必須考慮的。

　　（6） 對調(diào)查的支援能力

　　某些法律，如《薩班斯法案》中，要求所有的數(shù)據(jù)操作都有可追溯性。如果面臨審計(jì)或法律調(diào)查，服務(wù)提供商要能夠有效提供相關(guān)的操作數(shù)據(jù)。

　　（7） 永久可用性

　　云服務(wù)的供應(yīng)商不一定可以永久地提供服務(wù)，例如HP最近就停止了網(wǎng)絡(luò)相冊服務(wù)。在服務(wù)終止時，將數(shù)據(jù)和服務(wù)由一個運(yùn)營商遷移到另一個運(yùn)營商或自己的數(shù)據(jù)中心是一個非常重要的安全性因素。

　　2 PaaS能力開放架構(gòu)

　　2.1 基于虛擬化的業(yè)務(wù)云托管與部署

　　這種應(yīng)用場景主要是互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）的運(yùn)營［5］，典型的如Amazon的彈性計(jì)算云（EC2），能夠支持各種不同的操作系統(tǒng)以及開發(fā)環(huán)境。這種類型的平臺一般向用戶提供了如下特性：

　　靈活性

　　系統(tǒng)一般容許用戶對運(yùn)行實(shí)例的類型、數(shù)量、占用的資源量甚至地理位置進(jìn)行相對自由的定制，并可以根據(jù)用戶需求隨時調(diào)整。

　　低成本

　　使用運(yùn)營商提供的這種服務(wù)以后，小型企業(yè)就不必自行購置昂貴的機(jī)器設(shè)備及網(wǎng)絡(luò)設(shè)備，可根據(jù)服務(wù)的容量及時間進(jìn)行收費(fèi)。

　　安全性

　　運(yùn)營商一般會提供一整套的安全措施，如基于安全外殼協(xié)議（SSH）的訪問鑒權(quán)、防火墻設(shè)置等，同時容許用戶對他們的應(yīng)用自行監(jiān)控。

　　易用性

　　運(yùn)營商除了提供基礎(chǔ)的虛擬機(jī)服務(wù)以外，還會提供其他一些基礎(chǔ)服務(wù)，如對象存儲、數(shù)據(jù)庫、消息管道等。應(yīng)用程序不必額外搭建這些基礎(chǔ)設(shè)施就能夠直接使用。

　　容錯性

　　系統(tǒng)一般都提供一定的網(wǎng)絡(luò)及存儲容錯機(jī)制，一旦發(fā)生故障，能夠保障數(shù)據(jù)的可靠及盡可能穩(wěn)定的用戶服務(wù)。

　　對外提供的訪問接口主要有3類：

　　虛擬機(jī)遠(yuǎn)程訪問接口。主要是通過統(tǒng)一驗(yàn)證的SSH服務(wù)及可靠數(shù)據(jù)協(xié)議（RDP）服務(wù)提供。

　　管理服務(wù)接口。提供用戶自行監(jiān)控虛擬服務(wù)集群的狀態(tài)及創(chuàng)建、刪除、調(diào)整虛擬節(jié)點(diǎn)。

　　業(yè)務(wù)服務(wù)訪問接口。完全由客戶在虛擬機(jī)內(nèi)運(yùn)行的服務(wù)提供，但系統(tǒng)可以提供統(tǒng)一的安全訪問服務(wù)。

　　2.2 業(yè)務(wù)能力開放

　　業(yè)務(wù)開放平臺能夠提供網(wǎng)絡(luò)或業(yè)務(wù)執(zhí)行的模塊接口。開發(fā)者能夠通過調(diào)用開放應(yīng)用程序編程接口（API）所提供的各種功能［6］，快速集成不同的模塊，以建立新的網(wǎng)絡(luò)應(yīng)用。目前這類服務(wù)有很多，最著名的是Google的地圖服務(wù)。電信企業(yè)也能夠開放和電信相關(guān)的一些業(yè)務(wù)，例如手機(jī)的位置查詢服務(wù)、短信群發(fā)服務(wù)等；淘寶也根據(jù)自身需要，開放了與很多用戶商品和交易相關(guān)的API。

　　為了讓這些不同的服務(wù)與資料快速集成，很多公司還同時提供Mashup快速開發(fā)工具，例如Yahoo 的Pipe、Google 的Mashup Editor 以及微軟的Popfly。

　　在業(yè)務(wù)能力開放平臺，一般還需要設(shè)立開發(fā)者沙箱［7］，用于協(xié)助開發(fā)者在開發(fā)階段模擬真實(shí)系統(tǒng)操作，同時又不干擾真實(shí)系統(tǒng)的運(yùn)營。圖6是業(yè)務(wù)能力開放平臺的一套典型部署結(jié)構(gòu)。

　　業(yè)務(wù)能力開放平臺對于客戶端的接入必須要有訪問控制功能，一方面是客戶方的鑒權(quán)與認(rèn)證，只有經(jīng)過合法認(rèn)證的客戶方才能夠使用業(yè)務(wù)服務(wù)；另一方面不同級別客戶的訪問權(quán)限及調(diào)用頻率需要驗(yàn)證，以防錯誤的客戶方或惡意的程序?qū)е路?wù)異?；驍?shù)據(jù)異常。

　　2.3 在線服務(wù)托管模式

　　在線業(yè)務(wù)托管平臺是企業(yè)資源計(jì)劃（ERP）、客戶關(guān)系管理（CRM）或通用的服務(wù)提供商通過開放平臺，容許第三方在托管平臺上開發(fā)自己的服務(wù)并對外提供服務(wù)。這些第三方開發(fā)的服務(wù)有各自明確的用戶、獨(dú)立的需求，但是需要使用平臺方提供的基礎(chǔ)資源進(jìn)而對外服務(wù)。典型的如Google的App Engine、Saleforce 的force.com及ebay與淘寶的托管平臺。第三方服務(wù)共享平臺的資源、用戶和數(shù)據(jù)，專心開發(fā)需求解決方案，有效地補(bǔ)充了平臺所不具備的各種能力。例如目前eBay 有45%的商品是通過第三方應(yīng)用上架。

　　各平臺包含標(biāo)準(zhǔn)的服務(wù)框架、數(shù)據(jù)訪問接口以及特定的編程語言支持。部署在平臺上以后，平臺可以自動根據(jù)訪問的熱度等分配計(jì)算資源，進(jìn)行平滑擴(kuò)展。

　　2.4 開放服務(wù)接口的版本管理與動態(tài)升級

　　對外服務(wù)不可避免地會涉及到接口的版本管理與升級策略，為保證服務(wù)的持續(xù)性，我們必須保證能夠在不中斷服務(wù)的情況下進(jìn)行版本升級，保障不同版本客戶端之間的兼容性與可用性。圖7說明了如何進(jìn)行向前兼容的服務(wù)接口設(shè)計(jì)及升級流程。