趙赫 金建強

摘要：隨著近幾年云計算技術(shù)的不斷發(fā)展，云平臺開始越來越多的承載企業(yè)的基礎(chǔ)環(huán)境和業(yè)務(wù)流程。云平臺是指可以提供IaaS、PaaS、SaaS等各種云服務(wù)的平臺，按照其功能的不同可以分為以數(shù)據(jù)存儲服務(wù)為主的存儲型云平臺，以計算能力提供為主的計算型云平臺以及計算和數(shù)據(jù)存儲處理兼顧的綜合云計算平臺。多云平臺共存的私有云和AWS、Azure、阿里云等公有云結(jié)合的混合云成為企業(yè)云平臺下一步發(fā)展的趨勢。

關(guān)鍵詞：企業(yè)私有;云平臺建設(shè);初探措施

企業(yè)加強私有云平臺的分析研究與建設(shè)，最明顯的優(yōu)勢是能縮短信息和企業(yè)業(yè)務(wù)間距，減少信息運營成本，并增強系統(tǒng)靈活應(yīng)變的能力，保證其柔軟性。堅持做好私有云平臺的分析研究與建設(shè)，能使過去普遍存在的包含信息孤島等在內(nèi)的問題都從根本上杜絕，另外，企業(yè)的各類業(yè)務(wù)系統(tǒng)還能在總線的支持下實現(xiàn)串聯(lián)，進而達到預期的一體化目標。

1云管平臺的概念與分析

云管平臺（CloudManagementPlatform，CMP）為數(shù)據(jù)中心資源的統(tǒng)一管理平臺，可以管理多個開源或者異構(gòu)的云平臺，主要功能范圍包括多種基礎(chǔ)架構(gòu)和資源的整合，跨平臺的編排，以服務(wù)目錄方式展現(xiàn)的自服務(wù)界面，資源訪問管理和流程配置，資源統(tǒng)計和費用管理，以及與外部已有的企業(yè)管理系統(tǒng)集成和對接等。云管平臺在云計算體系中扮演著承上啟下的角色，它向上承載和支撐了各類行業(yè)應(yīng)用，向下進行資源的管理和調(diào)度。在未來云管平臺的發(fā)展方向上應(yīng)該包括增強自動化部署，回收休眠資源，減少硬件采購、資源按需使用，標準藍圖部署應(yīng)用、混合云資源統(tǒng)一管理等幾個方面。

2企業(yè)私有云環(huán)境下面臨的安全風險

2.1網(wǎng)絡(luò)邊界模糊

傳統(tǒng)數(shù)據(jù)中心里，防火墻、入侵防御，以及防病毒等安全解決方案主要聚焦在內(nèi)外網(wǎng)之間邊界上通過的流量進行邊界防護。而現(xiàn)在進行服務(wù)器虛擬化之后，原本清晰的內(nèi)網(wǎng)網(wǎng)絡(luò)邊界消失，所有網(wǎng)絡(luò)下沉到服務(wù)器內(nèi)部，安全防護原則為越貼近安全防護對象則防護效果越好，但是從目前現(xiàn)狀來看傳統(tǒng)物理安全防護設(shè)備離需要重點保護的業(yè)務(wù)服務(wù)器越來越遠，并且無法按需進行靈活擴展解決虛擬機靈活遷移的問題。

2.2東西向流量不可見、不可控

流量監(jiān)控是運維的重點所在，在傳統(tǒng)數(shù)據(jù)中心里，可以通過多種手段進行流量的監(jiān)控，但在虛擬化場景中，大量的流量交換發(fā)生在服務(wù)器內(nèi)部的虛擬交換機上，東西流量管理成為困難，虛擬機之間發(fā)生攻擊也成為防護盲點，東西向流量不可見、不可控。

2.3云環(huán)境下數(shù)據(jù)存在泄露風險

現(xiàn)有的云化數(shù)據(jù)中心，云資源管理環(huán)節(jié)包括，資源申請、發(fā)放、變更、遷移、刪除。當私有云租戶申請資源下線或原有系統(tǒng)發(fā)生遷移時，系統(tǒng)管理員對下線系統(tǒng)資源數(shù)據(jù)存儲區(qū)域進行數(shù)據(jù)刪除格式化操作，以供下次租戶申請使用。數(shù)據(jù)刪除后新的租戶可以利用某些工具軟件對已刪除的虛擬機區(qū)域進行數(shù)據(jù)恢復，那么這會存在數(shù)據(jù)泄露的威脅。

3企業(yè)私有云平臺自動化部署程序的設(shè)計與實現(xiàn)

3.1自動化部署ansible腳本的實現(xiàn)

自動化部署ansible腳本的實現(xiàn)主要需要編寫幾個文件。下文以一個controller節(jié)點，一個computer節(jié)點，共兩個節(jié)點搭建的openstack私有云平臺為例進行介紹。

1）ansible系統(tǒng)文件在控制節(jié)點安裝Ansible組件后，主機/etc目錄會生成ansi？ble文件夾，內(nèi)部包含所有的ansible的所必須的配置文件和環(huán)境變量文件。

2）ansible基礎(chǔ)文件配置創(chuàng)建openstack_base目錄。此目錄創(chuàng)建所有使用到的數(shù)據(jù)和變量信息，此目錄的部分文件和目錄如下所示。在上述文件中所有的默認環(huán)境參數(shù)則由group_vars目錄內(nèi)all文件來定義，playbooks中的一個操作由roles目錄內(nèi)的執(zhí)行方法來執(zhí)行，每一個roles目錄內(nèi)的方法均分為tasks和tem？plates兩個目錄，tasks目錄為該方法執(zhí)行的所有腳本，templates目錄為此方法所有的模板文件或配置文件。

3）all文件編寫首先需要填寫環(huán)境參數(shù)文件group_vars目錄內(nèi)文件，具體如右：

4）deploy.yml文件編寫編寫統(tǒng)一的腳本把所有的功能模塊合成一個整體，在roles同級目錄編寫deploy.yml文件。

3.2平臺實施

基于以上對云平臺的規(guī)劃設(shè)計，很多企業(yè)都已經(jīng)完成了對云平臺的建設(shè)，并利用平臺，完成了對OA系統(tǒng)和HR系統(tǒng)的開發(fā)及部署，使業(yè)務(wù)的運營實現(xiàn)了一體化，徹底打通之前面臨的信息壁壘，促使企業(yè)的信息系統(tǒng)從過去以功能性為核心的模式逐漸轉(zhuǎn)化成以流程式為核心的模式，提高上游和下游之間業(yè)務(wù)的通暢性。

4私有云平臺在企業(yè)中的應(yīng)用研究

4.1資源管理

云管平臺可以對云平臺資源（服務(wù)器、存儲和網(wǎng)絡(luò)）進行管理，并按需提供服務(wù)。具體包括：首先是發(fā)現(xiàn)服務(wù)器、存儲、網(wǎng)絡(luò)等，并對其進行標記管理，通過相應(yīng)的自動化工具來對云資源進行配置。其次是與服務(wù)自動化部署和管理配置工具集成，以便于對資源的配置和維護。最后是支持跨云的遷移，包括從私有云向私有云遷移、私有云向公有云遷移等。

4.2混合云管理

云管平臺通過設(shè)定的組織策略來對混合云進行管理。具體包括：首先是具有一個策略引擎，可以根據(jù)組織策略來管理云平臺資源，包括防止將機密數(shù)據(jù)遷移到公有云，統(tǒng)管公有云和私有云的資源配額等。其次是跟蹤和管理合規(guī)性要求，阻止不合規(guī)的公有云服務(wù)。

4.3安全性

云管平臺的安全性必須按照企業(yè)既定策略來管理。具體包括：首先是管理的現(xiàn)有云平臺資源的加密情況，需要具有密鑰管理和加密證書。其次是設(shè)置基于角色的訪問控制，包括最終用戶、開發(fā)人員、管理員等不同的角色定義的權(quán)限。

5結(jié)語

云計算技術(shù)正快速發(fā)展，許多公司都開始提供公有云服務(wù)，在這一實際情況下，更多企業(yè)開始建立私有云平臺。通過私有云計算的實現(xiàn)，能對企業(yè)現(xiàn)有各類計算資源予以整合，并伴隨云計算技術(shù)實際應(yīng)用日益擴展，同時促進企業(yè)的各類業(yè)務(wù)系統(tǒng)還能在總線的支持下實現(xiàn)串聯(lián)，進而達到預期的一體化目標。

參考文獻：

[1]云計算環(huán)境下信息安全分析[J]，張慧，邢培振，計算機技術(shù)與發(fā)展，2011，（12）：164-166+171.

（作者單位：中車大連機車車輛有限公司）