关键词:数字图书馆;信息数据;安全;存储
中图分类号:TP311文献标识码:A文章编号:1009-3044(2012)14-3226-02
数字图书馆是未来图书馆发展的方向,也是一个国家和地区文化科技的知识宝库,随着数字图书馆建设的不断加快,全方位信息服务水平的不断深入,信息数据资源不断增多,馆藏信息数据的安全保护也提升到了一个新的高度。
信息数据安全保护有两层方面的含义:一是数据自身的安全保护,主要是指采用现代加密算法对数据进行主动保护,如数据保密、数据完整性、双向身份认证等。二是数据存储的安全保护,主要是采用现代先进的信息存储手段对数据进行主动保护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全。数据自身的保护是一种被动的防护,必须基于可靠的加密算法与安全体系来进行,而数据存储的防护是一种主动的防护措施,是将数据本身或者其中的部分以及全部内容在某一点的状态以特定的格式保存下来,以防数据源出现丢失或毁灭等其他各种原因不可用时,可及时准确的将数据备份内容进行恢复的技术。
1数据安全保护技术的现状
在说明现状之前,请看二个真实的例子:
1)2007年5月,蓝色巨人IBM遭遇了一起令人尴尬的数据丢失事件,一批存有IBM员工和客户账户信息等敏感信息的数据备份技术磁带在运送到纽约西切斯特郡过程中意外丢失后又神秘消失了,由于其中只有一部分磁带对信息进行了加密处理,因此剩余磁带中的信息都面临随时泄露的风险,这就迫使IBM不得不在当地报纸刊登广告,希望有人能归还这些磁带。
2)2008年初,瑞典公共图书馆Stockholm的一台电脑上发现了一个带有军方机密信息的U盘,其中包括ImprovisedExplosiveDe?vices(简称IED,一种可在安全距离有效地引爆起获的简易爆炸装置)和阿富汗国内地雷分布等数据信息。随后该U盘被人交给了瑞典国内发行量最大的晚报《Aftonbladet》,并由后者移交给了相关政府机构。
这两起案例虽不涉及图书馆行业,但其中的危害还是让我们认识到单纯的数据存储保护不能够完全的保证系统数据源的安全,即时已经备份了的数据也会面临安全性问题。数据存储保护的最终目的就是快速、准确的将信息恢复至某一时刻的状态,犹如时光机器,可以将信息的历史状态完全记录并进行回放,无疑是一剂可以随时服用的“后悔药”。但是,一旦这剂“后悔药”别人也能服用甚至被销毁,那么数据存储保护技术还能保护你的数据吗?
结合数字图书馆来说,馆藏信息数据主要分为三类:一类是馆内信息,包括历史沿革、馆藏图书机读目录等。二类是自建信息,包括科研信息收集库、馆内读者个人信息、资源服务跟踪信息等。三类是购买信息,包括各种电子资源等。就目前所知的的解决方案,大体可以分为物理保护与逻辑保护两种形式:1)物理保护主要确保存储备份的介质在储存与运输时时的完整性与可靠性。2)逻辑保护主要指备份数据不会被解密,不会被非法的、非授权的访问读取。数据备份技术加密是也解决方法的另一种途径,但在执行数据备份技术任务时会对客户端的性能造成影响,通常在30%~50%之间,因此后台加密技术只有在多核CPU普及后才获得了长足的发展。
2图书馆信息数据保护之道:备份、容灾走向融合
在云平台、智能共享愈演愈烈之时,未来图书馆信息数据将怎样发展?诸多解决方案供应商均了对未来发展趋势的预测,除了云平台、虚拟化以及大数据等热门词汇毫无悬念地位居其中之外,数据容灾首次得到专门"对待",预测的结果表现出了现有数据备份方式将会改变,简单化保护管理将成为未来数据灾难备份技术的重要发展趋势。
我们认为,未来的所有产业都将基于信息技术,产业的核心动力在于信息技术的发展,产业随着信息技术的量变或质变而变化。结合到图书馆行业,笔者认为未来的图书馆更多的是数字图书馆,实体的纸质图书馆将仅限于城市内综合馆的一部分,信息化的数据资源将是图书馆内容的主体,数据信息将越来越重要,相应地,对灾难备份方案的要求和重视程度也越来越高。如果因为灾备方案的缺失,硬件故障致使整个系统宕机,长时间无法恢复,所有图书信息服务业务被迫停止,急需查找的资料或书籍而连不上本地区数字图书馆,进而影响到决策或某项商业活动,所造成的危害根本无法用数字去衡量。
但由于成本方面和技术普及需要时间等客观因素,目前采用的备份方案或只能够备份数据,或只能够备份系统,更有的是仅仅只针对某些应用程序的备份,灾难来临需要数据恢复时又需要备份方案中配套的专门恢复软件,当需要多个备份方案同时进行时就造成了相关资源和经费的浪费并增加了数据管理的复杂性。2012年2月1日,根据Acronis2012年全球灾难复原指数(DisasterRe?coveryIndex,DRI)显示,全球仍有32%的中小企业采用3种或3种以上的备份、容灾解决方案。无独有偶,笔者在与图书馆同行交流当中了解到甚至有同时使用4、5种备份、容灾解决方案的。
众所周知,数据备份的目的是为了恢复,而最关键的步骤也是恢复。然而这么多种的灾难备份解决方案,却没有增加数字图书馆在遭遇数据灾难时恢复的信心。由于要从多种不同的备份环境中恢复需要的数据非常繁琐,图书馆行业甚至是所有相关产业都迫切希望能够拥有一种能够在各种物理平台、各种数据库、多种虚拟以及云端平台环境中使用的“通用恢复平台”。
面对这种需求,有的数据灾难恢复方案商已经开始有所研究,主要方法是在“通用恢复平台”上集成多种备份恢复技术,已优良的用户界面和傻瓜式的操作来以降低管理的复杂性。如一些方案商提出了灾难备份恢复一体融合的理念,戴尔在它推出的以“流动数据架构”为核心的智能数据管理解决方案实际上就是“存储备份容灾一体化”的雏形:“流动数据架构”通过以“适合的地点、适合的时间、适合的成本、适合的数据”,为客户优化存储基础架构,更智能的数据管理策略提供有力的帮助。戴尔认为现有的数据存储有五大问题:1)存储架构缺乏灵活性,扩展成本居高不下。2)存储架构效率低下,存储性能和容量浪费惊人。3)数据保护成本昂贵。4)维护和管理成本等隐性成本偏高。5)信息监管成本越来越大。针对这些问题,当然主要的是存储上的问题戴尔提出了通过流动数据来帮助用户实现高效IT和降低存储成本。在“流动数据构架”中,通过使用内容感知的重复数据删除技术,帮助用户实现存储数据的压缩,在存储空间不变的情况下,最大化的利用存储容量。而虚拟存储技术则是一个在虚拟环境下的高效存储技术,能够使用户的存储效率最大化。利用自动分层技术则能帮助用户实现数据的自动化存储问题,它能自动分辨出高使用率数据和低使用率数据,实现高低数据之间的自动流动,让信息数据可在主存储、备份及容灾系统之间自动流传。
当然在这方面有所成就的不止戴尔一家,包括国际厂商的惠普、EMC,国内厂商的浪擎、清华等都加强了在存储和灾难备份方面的一体化整合,包括服务器、网络以及存储的灾备一体化融合解决方案层出不穷,简单化管理、智能化、自动化必然是数据信息保护行业的大势所趋。
然而,就目前国内中小数字图书馆经费和技术条件的实际情况,对那些服务对象为综合大馆的以硬件为基础的一体化灾难备份恢复解决方案只能“望洋兴叹”。在这种情况下,部分方案提供商以其敏锐视角开始为这部分用户提供了单纯利用软件来对数据信息进行备份的方案,以能够确保服务中断后可最大限度的快速恢复,例如SIMPANA软件,它是CommVault一体化信息管理(Sin?gularInformationManagement)软件套件的品牌名称,它提供了数据保护、归档、复制、资源管理和搜索模块,并利用统一的一套源代码无缝的结合在一起,能共享相同的服务功能。再如爱数的云落地战略,它的核心就是云计算平台,它直观的展示了“一个中心,多个基本点”的思想。平台战略以Tx3系统中心为中心,多业务应用节点为基本点,战略的核心是Tx3云平台,目前的业务应用节点包括爱数备份软件、爱数备份存储柜、爱数AnyShare等应用产品。总的来看,这些方案提供商就是围绕着云平台在进行软件活动,提供“软件即服务”的功能,用户可根据自己的实际需求灵活添加功能模块,这就是云计算中的“按需付费”。
3数字图书馆云时代需要更高级的业务连续性与数据保护
云计算是什么?这个答案众说纷纭,我的理解是云计算实际就是资源服务,是一种把在单独各个机房的各种资源整合到一起,并能通过互联网提供给更多的人使用的一种新技术,这个资源包括服务器的运算资源、存储空间资源、软件资源和数据信息资源。使用的人不需要知道服务器在哪里、空间在哪里、软件安装在哪里、数据信息存储在哪里,在任何地点、任何时间只要有互联网就能够使用,用专业的话就是提供:更低的成本,更快速的交付,更多样性的服务,它不是特定的技术,而是一种服务理念,是通过按需弹性扩展和用户自助服务实现IT服务的便捷性和自动化。
因为云计算有着这么多的优异特点,很多企业都构建了自己的“私有云”,而数字图书馆行业也逐步开始在构建自身的“私有云”,因此如何在云时代实现数据的备份和恢复,在各种“私有云”之间实现异地容灾,都是新一代数字图书馆构建时要考虑的重要问题。
目前,较为有效的云环境数据安全解决方案还不多,调研报告显示,云计算以及云端的数据安全发展大致分为三个阶段:首先是准备阶段,该阶段主要进行的是新技术的储备和新概念的推广,相关解决方案和商业运行模式尚在接触、摸索中,用户对云的认知度较低,大多持观望态度;其次是起步阶段,该阶段内一些较成熟的案例逐渐显露,用户对云的了解和认可程度也在不断提高,逐渐有新的方案提供商介入进来,根据自身的理解,涌现出大量的多种各样的解决方案;第三是成熟阶段,云的相关产业链和行业生态链基本成型,各提供商解决方案开始趋于成熟稳定,用户通过云计算取得良好的效果,并成为信息系统不可或缺的组成部分。而现在我们认为刚刚进入准备阶段,各种解决方案尚在摸索,不过其中不乏其佼佼者,比如国内信息安全厂商椒图科技近日就在北京召开了JHSE安全云解决方案会,首次向外界公布了椒图科技在云计算方面的安全理念,并着眼于云计算基础架构平台建设提出了体系化的安全云解决方案,再如总部在北京的全球信息安全解决方案的领先供应商SafeNet也了一个应用在云计算网络应用模式上的数据安全方案,通过该方案,组织机构可确保“云”模式下敏感数据的安全。还有飞康CDP的持续数据保护方案,该方案针对“云”模式下的数据提出了以数据持续保护、系统快速恢复、备份和容灾一体的解决方案。这些方案都对数据信息的灾备有一套自己的做法,其飞康CDP的连续保护技术最具特色,主要特点是:
1)在整个数据的生命周期过程中都能提供强有力的保护,它不仅仅是保护数据,还保护数据环境和系统;
2)该技术在使用过程中对云环境的基础架构没有影响,对已有的系统架构也没哟改变的要求;
3)提供了一套全面灾难防护手段,能够防范各类逻辑方面和物理方面的灾难,确保能够实现本地云环境的全面恢复;
4)具有开放式架构的特点,能够兼容大多的云存储设备;
5)在数据恢复时,具有可以人工选择数据恢复某一个项目的技术;
6)在云端环境下,主机可以做到全天连续备份;
7)具有多种复制策略(连续复制模式、压缩模式、基于时间增量模式、基于数据增量模式等策略可以单独使用也可以组合使用);
8)轻易实现从私有云、公有云环境的本地持续数据保护及不同地域间的云平台环境的的云飘移。
总的来说,在当今不断变化的“云”环境下,只有经过验证的解决方案才能够提供精细、持续的安全保护控制,用户希望能够充分利用“云”的优势,而不必以牺牲安全为代价,云的普及离不开数据安全,保证系统与数据安全势必任重道远。
4数字图书馆的数据保护任重道远
数字图书馆的数据安全包含的内容很多,该文仅仅是从存储角度来论述一个数字图书馆数据信息的保护方式,其他的如网络攻击方面,有人员管理方面等没有进行论述,这些也是数据保护的一个重要内容。总的来说如何进行数据保护不仅仅是图书馆工作者所思考的问题,也是IT行业共同关注的问题。因此数字图书馆数据保护建设要统一考虑,长远规划,保证技术的先进性和可扩展性,在技术上要适应新的网络动态变化,建立适应的安全保障体系,同时要加强安全管理,增强馆员的安全意识,这样才能保证数字图书馆顺利发展。
参考文献:
[1]刘正伟.海量数据持续数据保护技术研究及实现[J].计算机研究与发展,2012(S1).
[2]中小企业数据备份、容灾走向融合[I].微电脑世界,2012(3).
[3]梁晓欢.数据库安全、虚拟化和云计算——现代IT领域数据保护所面临的三大关键技术挑战[J].电脑与电信,2011(4).
[4]马骁宇.企业数据保护和存储安全解决方案[J].科协论坛:下半月,2011(8).
[5]宋爱林.高校图书馆公共机房数据保护综合方案研究[J].图书馆界,2010(1).
[6]田全红.浅析新一代数据保护策略在云计算时代的应用[J].甘肃科技,2011(17).
【关键词】云计算;虚拟化;VLAN;Openflow;安全隔离
1引言
随着现在云计算市场竞争的激烈程度加剧以及用户对云计算环境安全要求的提高,越来越多的集成商和云服务提供商开始注重基于其云计算环境的集成方案提供安全应用的接入接口,并以此作为其竞标云计算集成方案的亮点之一。在云计算环境中实现网络安全所要解决的一个重要技术问题就是对网络安全域的逻辑划分以及基于划分的网络安全域进行不同域间的隔离。用户所使用不同的云平台、采用不同集成商的方案、选用不同厂家的网络设备,都将会使得云环境中的安全域及虚拟机间的隔离方案有所不同。本文将针对在不同层面实现云计算安全隔离的方案进行分析,对比各类技术方案的优劣以及其对不同云计算环境安全需求的适应性,为云计算使用者对云安全解决方案的选择提供参考。
2控制网络流的途径
这里我们所说的隔离,并不是让属于不同安全域间的虚拟机完全无法相互访问和通信,而是让被划分在不同的安全域边界内的虚拟机间的通信必须经过相应的网络安全设备的检测和过滤,在网络安全设备确认数据包安全后,跨安全域间的通信才能够进行。这就对网络安全提出了一个新的问题,即如何控制网络流使之经过实现部署在云计算环境中的虚拟或物理的安全设备。这个问题我们可以从三个更具体的方面来分析。
第一,用户的安全需求是什么。传统网络环境下,用户通常关心的是出入一个物理网络边界的流量的网络安全问题,这个边界是物理存在的,比如连接接入交换机和汇聚交换机的一根网线。当外网的机器需要访问内网机器时,是无法绕过这个边界直接访问,因此在传统物理环境下,用户的需求通常是对这个物理存在的边界上流量的安全监控。在云计算环境中,整个网络和其上所有虚拟机都存在于一个大二层的网络环境中,为了实现逻辑上的隔离,通常使用划分VLAN(或VXLAN)的方式来隔离具有不同安全需求的虚拟机,这时就出现了对虚拟机安全隔离的三种不同的安全需求:其一是只监控外网到云计算环境内部的通信;其二是只监控不同VLAN间的虚拟机间的通信(包含第一种需求);其三是需要监控任意两台虚拟机间的通信(包含前两种需求)。
第二,网络安全域的边界如何划分。为了从网络层面保证虚拟机间的有效隔离,网络安全域的划分需要消除与VLAN间的多对一关系,即不能存在多个不同的网络安全域划分在同一个VLAN下的情况,这样在这些不同网络安全域间的虚拟机间的通信将可以通过虚拟交换机直接交换机而不被转发到物理网络上,使得安全监控产品的部署受到很大的局限性。
第三,安全设备的部署方式是什么。从安全设备的部署方式上,我们可以将其分为两类:一类是透明部署在二层网络环境中;另一类是以网关形式部署在三层网络环境中。通常透明部署的方式更多的被应用在实际的生产环境中,因为透明部署将不需要修改用户已有的业务网络的配置。而将安全设以网关方式部署在三层网络环境中的好处是,可以利用路由规则使得需要被监控的网络流量经过安全设备。
综合考虑以上三点,我们可以得出一个较为合理且应用较广的云计算环境中的安全需求定义和规划模型,即以VLAN划分需要隔离的业务网络,安全域的划分需要消除安全域与VLAN间的多对一关系,通过监控VLAN或安全域边界上的网络流量实现安全监控和隔离,安全设备通常工作在二层网络模式下,以透明方式进行部署。那么回到最初的问题,即在这样的安全需求和规划模型下,如何控制网络流,使之能够在出入VLAN或安全域边界时经过部署在云环境中的安全设备。
3网络流控制方法
云计算是一个庞大而复杂的系统,这就使得我们可以在多个位置上寻找到合适的网络流控制方法来解决安全隔离问题。我们需要先了解云计算的技术架构,才能够更好地选择适合的安全隔离方案。在云计算环境中,它的软件系统的核心显然是虚拟化平台,而硬件环境的支持主要是实现虚拟化的硬件服务器和支撑整个云计算环境的网络。安全作为云计算环境中的另外一个重要的组成部件,想要顺利的集成进云计算这个系统中,无法避免将面临三种技术选择:与虚拟化平台整合、与网络环境整合或完全解耦合的独立存在。从云计算和虚拟化的整体技术架构进行剖析,可以在五个不同的层面通过对网络流的控制实现虚拟机间的安全隔离。如图1所示,这五个不同的层面分别是虚拟机网络驱动层、虚拟交换机层、虚拟机监控器网络驱动层、二层物理网络层、三层物理网络层。其中虚拟机网络驱动层和虚拟机监控器网络驱动层需要系统提供API级的支持,其他三层则需要交换机和网络协议级的支持实现。
4安全隔离方案
我们逐层分析在不同层面实现安全隔离时的实现原理和部署方式,以及此类安全隔离方案的优缺点。
方案一:在虚拟机网卡驱动层实现安全隔离的方案,如图2所示,利用安装在虚拟机内的网络驱动层程序截获进出该虚拟机的网络流,实现将需要被监控的流量牵引至部署在云环境内的虚拟或物理安全设备上,由安全设备完成检测和过滤后,送回程序,再送至虚拟机的业务程序中。该方案的优势是能够实现任意虚拟机间的通信隔离和监控,并且完全与虚拟化环境解耦合,不依赖于任何虚拟化平台,可跨平台部署,比较适合安全公司在用户已经完成云计算环境的建设后,追加相应的安全功能。但该方案也存在明显的缺陷,即需要在每台虚拟机上安装,管理复杂,且有可能影响业务虚拟机的稳定性,并且对整个虚拟化环境的计算和网络资源消耗也较高。
方案二:在虚拟交换机层实现安全隔离的方案,如图3所示,虚拟交换机通常是工作在二层模式下,无法进行对其内部交换的流量的任意控制和牵引,但若虚拟交换机开启了Openflow协议的支持,则可以实现基于Openflow流表对其内部流量的控制,通常需要将被监控的流量都牵引至部署在同一台物理机上的安全虚拟机中进行检测和过滤。
该方案的优势仍然是支持任意两台虚拟机间的安全隔离,相对于方案一,在虚拟交换机层面实现的网络流控制功能具有更好的性能和健壮性,且VMware平台的5.5以上基于NSX的虚拟网络实现和OpenvSwitch都直接支持Openflow模式。该方案需要安全管理平台或安全设备的管理中心与虚拟交换机的控制中心相耦合,但安全设备自身与虚拟化平台并没有耦合性,因此能够支持安全设备直接虚拟化后的部署。该方案所存在的问题是需要在虚拟交换机上打开Openflow协议支持,这将使得网络管理和配置和传统模式大相径庭,目前还不被所有用户接受,并且在安全虚拟机中执行安全隔离任务也会消耗较高的虚拟化系统资源。该方案属于跟虚拟网络层耦合的方案,因为在虚拟化环境中,虚拟交换机通常为可替换的组件,但网络流量的牵引需要通过调用虚拟交换机的配置接口修改Openflow规则来实现,因此虚拟交换机能否提供此类接口将影响方案实施的可行性。
方案三:在虚拟机监控器网络驱动层实现安全隔离的方案,图4给出了VMware平台上的VMSafeNetAPI的实现原理图,进入虚拟机监控器的网络流在进入虚拟交换机前,将被虚拟机监控器所提供的VMSafeNetAPI导入到安全虚拟机中,安全虚拟机使用特殊的驱动来获取由VMM快通道驱动模块提供的数据包,而安全功能的实现则需要基于安全接口封装层来实现,该层封装了通过特殊驱动层获取数据包的操作,相当于对安全业务实现层提供了相应的库函数。
由于底层驱动级别的特殊API的支持,因此该方案最大的优势是可提供零拷贝的数据包截获,从而获得更高的监控性能,并且能够和虚拟化平台较好的整合而不会影响虚拟化平台的稳定性。但同时由于对虚拟机监控器底层API的依赖,使得该方案与虚拟化平台紧密耦合,因此通常不具有跨平台性,并且通常需要全新的开发相应的支持虚拟机监控器API的安全功能,而无法直接使用从硬件安全设备移植代码。在安全业务实现层面,该方案必须把所有安全功能都集中在一台虚拟机内实现,使得该虚拟机比较容易成为安全产品性能的瓶颈。
方案四:在二层接入物理交换机层实现安全隔离方案,在基于MAC地址学习的物理交换机上是无法实现安全隔离功能的,因此必须让二层接入物理交换机层支持Openflow协议,通过关闭MAC地址学习功能,开启Openflow来实现在物理接入层上对需要隔离的流量的牵引。
这里存在两种不同的实现思路,其一是使用全SDN网络,即虚拟交换机和二层接入物理交换机都要开启Openflow协议支持,这样完全控制任意两台虚拟机间的通信路径,但是这就使得安全隔离方案在网络流的转发路径控制时要同时跟虚拟化平台中的虚拟交换机和物理交换机的管理中心进行交互和整合。由于在实际项目中,不能保证虚拟化平台的提供商和网络提供商是同一厂商,且不能保证他们在网络建设方案上就安全隔离方案的选择和使用达成一致,甚至会出现需要虚拟化平台提供商、网络提供商和安全提供商三方共同构建安全解决方案的情况,因此基于虚拟网络和物理网络全SDN实现安全隔离的方式较难实施。
第二种思路是在虚拟网络层通过VLAN对虚拟机进行隔离,在物理接入交换机上开启Openflow协议。相对于全SDN网络的模式,只在物理网络开启Openflow在管理上相对简单和高效,但该方案无法对在同一台物理机上属于同一VLAN内的不同虚拟机进行有效的隔离,并且在二层环境下,缺乏有效的流量汇聚能力,若完全通过接入交换机把属于同一安全域边界的流量向一个物理端口进行汇聚,会因为虚拟机的物理位置的分布而造成接入交换机网络带宽的极大占用。
方案五:在三层汇聚物理交换机层实现安全隔离方案,由于虚拟交换机和接入交换机都工作在二层模式下,因此所有跨VLAN的网络流量都将上行至三层汇聚物理交换机进行交换,即三层汇聚交换机是整个网络中所有跨VLAN流量的汇聚点,而这种特性与虚拟化平台无关,因此当用户的安全需求满足前文所给出的安全需求定义和规划模型时,都可以应用该方案实现对安全域边界流量的网络安全隔离。该方案的最大优势是充分解耦合了安全隔离方案的实施与虚拟化环境的关系,仅需要在三层汇聚层与网络环境相整合,能够充分利用硬件安全设备的性能和功能优势,完全不占用虚拟化环境的资源,稳定性和性能都超过前面的各种方案。在三层网络环境中,静态路由或Openflow都是可以控制网络流量通过串行安全设备的方式,为了满足之前给出的安全设备工作在二层透明模式的需求,利用Openflow实现流量牵引是更好的解决方案。
图5给出了在启明星辰泰合云安全管理平台管理下的云安全隔离方案,在方案中,该方案要求在物理网络环境中开启Openflow协议支持,云安全管理平台基于用户在其上所定义的安全域划分规则,通过网络环境中SDN控制器提供的API修改服务链(ServiceChain),使得跨安全域边界的网络流被牵引至安全资源池,如图中所示,VLAN100和VLAN200被划分在了安全域1,VLAN300在安全域2。那么当VLAN100和VLAN200内的任意虚拟机间进行通信时,我们认为属于同一安全域内的通信,可不隔离,而当VLAN100或VLAN200内的虚拟机和VLAN300内的虚拟机通信时,这部分流量将被通过安全管理平台下发给SDN控制器的服务链修改策略进行修改,使得这部分流量被牵引到串行安全资源池中,并在安全资源池中基于流量的业务特性进行进一步的细分,使得相应的业务流量通过对应的安全设备(如http流量通过WAF设备)。该方案存在两个方面的局限,其一是需要物理网络环境支持Openflow,其二是无法隔离粒度在虚拟机级别的通信。
5结束语
综上所述,在云计算环境中,网络安全隔离方案的实施过程中,需要考虑到包括虚拟化、网络和安全等不同供应商合作问题,虚拟化平台API支持问题,用户对网络配置方式的接受问题(如是否使用SDN模式),网络平台网络流管控接口支持问题,安全隔离控制粒度问题(如虚拟机级别还是网络安全域边界级别的控制),安全隔离方案性能、功能和稳定性问题等。
特别是由于云环境建设和安全建设的不同期,往往造成安全厂商后介入,而只能采用与云平台和网络环境都完全解耦的解决方案,而对于云平台和网络环境的建设方,往往或不承担安全建设的任务或希望整合打包更多自有安全产品而并未开放足够的可用安全管理调用的管理控制接口,这些都使得云安全特别是云安全隔离解决方案的实施困难重重。我们也期待更多的云服务商和网络服务商更加重视对云计算环境安全的支持,为安全提供更多标准的管控接口,使得安全解决方案能够很好的被整合进整个云环境中。
参考文献
[1]鲁松.计算机虚拟化技术及应用[M].北京:机械工业出版社,2008.3.
[2]胡嘉玺.虚拟智慧VMwareVsphere运维实录[M].北京:清华大学出版社,2011.2.
[3]王春海.虚拟化技术与动手实验[M].机械工业出版社,2008.3.
[4]张东.大话存储-网络存储系统原理精解与最佳实践[M].清华大学出版社,2008.11.
[5]李明.网络虚拟化技术在云计算数据中心的应用[J].2012.2.
[6]孟静.云计算[J].中国信息化,2008.
[7]林立宇,陈云海,张敏.云计算技术及运营可行性分析[J].通信热点,2008.
[8]姜国华,李晓林,季英珍.基于SOA的框架模型研究[J].电脑与信息技术,2007.
[9]宋坤,周智海.面向服务的软件体系结构[J].海洋技术,2007.
[10]曹会敏,林碧英.SOA服务设计原则的研究[J].中国电力教育,2007.
[11]斯桃枝.局域网技术与局域网组建[M].北京:人民邮电出版社,2009-4.
[12][美]RichardDeal.CCNA学习指南――CiscoCertifiedNetworkAssociate(Exam640-802)(中文版).北京:人民邮电出版社,2009-4.
[13]杨威,贾祥福,杨陟卓.局域网组建、管理与维护[M].北京:人民邮电出版社,2009-2.
[14]张晖,杨云.计算机网络实训教程[M].北京:人民邮电出版社,2008-11.
[15]张基温.计算机网络技术(第2版)[M].北京:高等教育出版社,2008-9.
[16]吴献文.计算机网络安全基础与技能训练[M].西安电子科技大学出版社,2008.
[17]期刊论文.云计算环境下OpenFlow网络研究与实验探索[J].实验室研究与探索,2013,32(12).
[18]学位论文.SDN在电力通信网中的适应性研究[D].2014.
[19]期刊论文.OpenFlow网络中虚拟网络分片的动态迁移[J].网络安全技术与应用,2013(9).
[20]期刊论文.一种支持细粒度并行的SDN虚拟化编程框架[J].软件学报,2014(10).
[21]谭钦红.无线局域网安全与认证的研究和公用WLAN的应用[D].重庆大学,2014年.
[22]汤鹏杰.WLAN拒绝服务供给分析与研究[J].计算机安全,2008.08.
[23]崔鑫,吕昌泰著.计算机网络实验指导[M].清华大学出版社,2007.
[24]谢希仁著.计算机网络[M].北京:电子工业出版社,2008.
[25]徐昭铭.基于高度整合型设备的网络安全方案[A].广东省通信学会2006年度学术论文集[C],2007年.
[26]Thomas,Jenny.Market-OrientedCloudComputing:Vision,Hype,andRealityforDeliveringITServicesasComputingUtilities[C].10thIEEEInternationalConferenceonPerformanceComputingandCommunications,2008,9:25~27.
[27]LijunMei,Chan,W.K.,Tse,T.H.Ataleofclouds:paradigmcomparisonsandsomethoughtsonresearchissues[C].2008IEEEAsia-PacificServicesComputingConference(APSCC2008),2008.
[28]Youseff,L.,Butrico,M.,DaSilva,D.TowardaUnifiedOntologyofCloudComputing[c].2008GridComputingEnvironmentsWorkshop,2008:10.
关键词:云桌面云计算虚拟化民航离港系统
中图分类号:TP316文献标识码:A文章编号:1674-098X(2016)09(a)-0006-02
中国民航市场是全球最具有活力的市场,年均增长率在10%以上,2015年,全民航运输机场完成旅客吞吐量为9.15亿人次,预计十三五期末旅客吞吐量为14亿人次。
当前,离港系统是机场的核心应用系统。随着旅客量的上升,航站楼面积的大幅增加,离港系统的投入和维护成本也急速上升,而云桌面技术的发展和成熟,能为此提供一个绿色节约的解决方案,该文对这个方案将详细阐述。
1机场离港系统部署面临的挑战
目前中大型机场航站楼规模都比较大,核心的离港系统均采用原有传统PC客户端的部署方式,虽然此类PC提供了价格、性能与功能的高性能组合,但是,在不少使用案例中,传统PC客户端并不是理想的解决方案,缺点包括如下几方面。
难以管理:面对广泛分布的PC硬件,用户日益要求能在任何地方访问其桌面环境,因此集中式PC管理极难实现。此外,众所周知,由于PC硬件种类繁多,用户修改桌面环境的需求各有不同,因此PC桌面标准化也是一个难题。
维护成本较高:PC管理工作包括部署软件、更新和修补程序等,由于这些工作需要对多种PC配置的部署进行测试和验证,因而会耗费大量的人力。同时,由于标准化程度不高,支持人员经常需要亲临现场解决问题,这就进一步增加了支持成本。
难以保护数据的安全:确保PC上的数据能成功备份并能在PC出现故障或文件丢失时恢复,是一个巨大的挑战。即使数据能成功备份,PC失窃的风险也威胁着重要数据的安全。
2机场云桌面一体化解决方案
使用云桌面技术来构建基于服务器的桌面解决方案,不仅可以良好地完成值机、登机等离港业务工作,还能解决PC桌面面临的各种难题,同时还可以优化可用性、可管理性、总体拥有成本和灵活性。借助云桌面虚拟化,在使用云桌面软件虚拟化的服务器上运行的虚拟机中,可以构建完整的桌面环境-操作系统、应用程序和配置。管理员可使用集中管理环境中的所有虚拟机。最终用户可使用虚拟桌面客户端软件或WEB,从现有PC访问其桌面环境。
云桌面将操作系统、应用程序和用户数据封装到相互隔离的层次,以改善桌面管理,并为用户提供各自桌面的个性化视图。
云桌面技术在机场核心业务中应用,能够帮助客户使用云桌面虚拟化的桌面解决方案,在完成值机功能和登机功能的同时,还能实现以下几个目标。
提高资源利用率:由于一台服务器可以运行多个桌面环境,因此客户能够有效集中硬件资源。同时,该解决方案十分灵活,您可以轻松地重新使用计算资源,并以动态形式将其分配给桌面环境。
改善管理和控制:通过集中管理套件,可以集中管理数据中心的所有桌面,即时为新用户、部门或办公室调配桌面。从中央映像创建即时克隆并创建动态桌面池,以便快速调配和更新。
提高数据保护能力:管理员只需遵循目前在数据中心使用的备份过程,即可确保可靠的桌面备份。虚拟机的硬件独立性极大地简化了桌面恢复工作。另外,由于所有数据均驻留在数据中心,因此保护数据安全的工作也得到了简化。
可靠的业务连续性和灾难恢复:云桌面能够将桌面备份和恢复作为数据中心内的业务流程实现自动化。
降低碳排放量和能源成本:瘦客户端设备的功耗通常只相当于传统PC的1/10,通过将云桌面与瘦客户端设备结合使用,可以降低能源成本,并将碳排放量降低80%之多。
3某中型机场设计案例
3.1需求概述
基于行业IT建设标准的需求评估,以当前华南地区某中型机场航站楼离港业务需求的云桌面架构,拟建设实现150个用户云桌面为例。
该机场当前有登机口35个,值机柜台115个。运维人员每天需要对这150个离港业务点进行巡检。从运维人员所在的值班机房出发,从第一个登机口巡检到达最远的登机口,约有5km,轮训一圈也需要1h左右;从第一个值机柜台巡检到达最远的值机柜台,约有8km,轮训一圈大概1.5h。由此可见,日常巡检花费在路上的时间都已经不少。
3.2方案概述
在前文所述的背景下,通过对应用现状及需求的分析,本着降低成本、减轻维护工作的原则,进行方案设计;结合云终端技术,提供“云桌面+云终端+终端管理系统”综合性的云桌面一体化解决方案。
3.3总体物理架构
根据机场离港业务终端的需求,终端虚拟化系统采用集中部署的方式。云终端服务器部署在核心业务机房内,云桌面可以支持150个客户端甚至更多。
方案采用了云桌面虚拟桌面解决方案和应用功能。
整个平台在机场离港作业区内采用服务器集群提供虚拟桌面终端,为多个同时在线访问终端的用户提供高可用。
在内网,云桌面服务器可以支持150甚至更多个客户端虚拟化桌面,保证这些用户能够完整的访问并使用与离港业务相关的值机、登机应用。
内网部署服务器用于客户端及用户管理。
后台采用SAN存储,为整合系统提供统一的存储空间。
3.4方案核心功能模块简介
该方案通过将传统桌面PC虚拟化后托管在数据中心并在桌面部署节能环保、小巧的云终端来简化桌面设备管理,从而实现离港各项业务的开展,方案主要包含以下部分:
3.4.1云桌面平台
云桌面平台是一体化企业级虚拟化平台,它融合了企业级的服务器和桌面虚拟化的功能和优势,用户仅需要使用价格低廉的云终端或精简PC就可以连接到数据中心中的Windows或Linux桌面,甚至是服务器桌面,并获得类似本地PC的使用体验。
3.4.2云离港管理系统
云离港管理系统,它能全面实现对各种平台下云终端设备、服务器设备的集中自动化管理,同时还可以监控当前离港业务运行的基础信息。系统可实现资源池按需分配、镜像连接、系统配置、远程管理等功能。云离港管理系统是针对机场离港相关业务所设计的一套云终端设备管理的系统解决方案,它为IT管理人员提供易用的组织管理、终端控制和终端的OS镜像及运行状态监控等功能。
4结语
通过对比分析,可以看到云桌面技术虽已广泛应用,但在较为专业的领域如民航核心领域、机场业务领域中还鲜有应用,还需要根据实际需求,按需定制。该方案就是结合实际,为民航核心系统的部署提供了一种全新的、绿色环保的、可行的解决方案。
参考文献
企业正在进入个人计算的新时代,云将增强个人电脑的作用并成为整合连接设备网络的粘合剂。云也将成为同步点以及我们数字生活的中心。当个人云用于工作中时,在第三方基础设施里储存敏感的企业信息,这就会带来数据泄露的风险、保密信息的丢失和未经授权的访问。企业应该以拥抱消费化的名义无节制地使用个人云服务,还是应该冒着“守旧派”的压力而阻碍其使用?
越来越多的员工在路上或在工作中远程访问他们的家用电脑或外部硬盘驱动器,这实际上是一个个人云的私有云变种,服务包括远程桌面、文件共享、在家里远程访问网络接入存储(NAS),甚至通过Slingbox轻松访问新闻频道。
将这些加起来,不精通技术的用户也能轻松拥有10个重叠的云服务作为其个人云的一部分。乘以用户的数量和他们的多样化设备,不难想象,与企业数据/服务相邻着几十个甚至更多潜在的云服务。企业需要了解这些服务的影响和意义,最急迫的情况是IT的响应和机制已经被BYOD所打破,一直以来企业IT人员为员工的设备提供配置和交付的任务,而现在员工可以在属于自己的设备上对数据和应用程序进行处理。企业不得不对现有的IT管理和监控机制重新作出调整,同时要制定出新的IT策略,让企业IT重新回到平衡的轨道上。个人云正在走近我们,企业如果不能在“新标准”建立以前就作出响应,则IT部门对局势的控制就会变得困难。
消费化赢家
这些服务的使用在那些善用解决方案以提高其生产力的精通技术的员工中普遍存在。虽然用户可能宣称显著提高生产力,对于企业来说,仍然存在一些需要管理的真正风险。
阻止使用这些服务的规定和技术措施有可能导致明显的员工挫折感。然而,从企业安全的角度来说,完全、无限制的访问没有意义。
个人云是在工作场所消费化的一个典型案例,最终用户一直要求允许使用自己的移动设备和自己的电脑(包括Macs)。而个人云要求使用自己的应用程序,需求针对软件和服务。如果员工的需求导致了企业接受员工使用自有设备,那么同样的需求也适用于个人云。显然,对企业IT部门来说,这将导致管理复杂性的激增。
Gartner认为消费化将永远是赢家。产业正在转型,个人云是一个重要的里程碑,同样也是对正在兴起的新企业态势的再考验。值得注意的是,尚未出现企业和个人数据可以安全共处的消费化企业。正如企业已经与移动设备共处,个人云也应该被允许,但绝不会以牺牲企业安全等问题作为代价。
管理个人云,企业需要首先确保管理设备的多样性。企业将永远无法在碎片化移动平台的移动目标上管理众多个人云服务。
一旦设备的多样性得到控制,客户应识别一些顶级的个人云服务(例如电子邮件、书签、媒体、文件同步和屏幕共享等)并了解员工正在使用的市场上最流行的服务。企业可以仅在平台类设备而非应用类设备上支持这些服务,或者只在有业务需求时同时在两类设备上支持这些服务。
此外,还有众多潜在的云服务需要评估。由于WindowsPhone和BBX的持续演进,附加设备也呈现出更多的多样性。对IT部门来说,跟踪每个新服务的任务都不容易。云计算的兴起和公共云提供商,如亚马逊Web服务(AWS)的普及,意味着现在任何人都可以在互联网上很容易地拥有一个后端。你需要的只是一张信用卡和短短几分钟的时间。包括新兴市场在内的全球移动数据的繁荣增加了个人云需求的增长。不像几年前在设备的本地数据库里存储数据并与个人电脑同步,数据现在可以很容易地实现在云中存储,因此可以立即在所有其他设备上访问数据。由于前端进入的障碍已经被扫除,因此Gartner预测,个人云服务将呈爆炸性增长。企业将需要跟上新的个人云服务发展的步伐并在管理列表中增加新的类别。这些新的技术也应像以前的技术,如P2P文件共享、IM和Skype那样得到重视并快速处理,Gartner预计企业这次的处理速度会非常快速。
确保企业数据孤立
对于每一个个人云服务类别和可管理的多样性设备层,企业应进行风险评估以找出薄弱环节。这些漏洞应优先考虑直接管理个人云最严重的漏洞(以可能性乘以严重性)。
在许多企业环境中,FSS有可能是被带进直接的企业管理里的一个更高优先级的个人云服务,员工可以从多种设备上访问这些服务。而这将引发数据泄漏的问题,因为黑客可以很容易从非企业控制的计算机系统里访问到敏感的企业数据。云服务提供商的后端服务器也在企业IT控制之外,因为这些系统安全保障水平是未知的,敏感的企业数据可能会面临更多的风险。
所以第三方个人云软件的使用意味着安全漏洞,员工设备上未经授权的远程访问也会对企业带来危险。
当直接管理FSS时,企业IT部门可以部署其解决方案并使用政策和MDM拉黑所有第三方解决方案。首选的解决方案可能是内置企业安全的优秀云供应商,如的Egnyte,FilesAnywhere、Mozy、OxygenCloud、SafeSync或SugarSync。它也可能是包括互补性安全解决方案的一个内部可管理、集成的解决方案。例如,利用Dropbox使用加密解决方案(如BoxCryptor/encfs)以确保文件存储的安全。
另一种解决方案趋势是将消费者主导的个人云服务与企业产品相整合。例如,由于客户的需求,包括Airwatch等几个MDM厂商已经宣布,将可选择的FSS添加到其产品之上。许多Airwatch的客户可能会使用内置解决方案代替像Dropbox的解决方案。
在BYOD环境中,对于应用层员工自有的移动设备来说,上述两种方法可能会被认为太冒进,企业也可以选择另外一个替代的解决方案。
随着整机柜服务器的悄然兴起,“刀片将死”的言都说大树底下好乘凉,在公有云领域,MicrosoftAzure应该算得上是一棵大树,而企业用户在享受“阴凉”的同时,难免会遭遇蚊虫叮咬或电闪雷鸣,这就如同企业用户在现实中必须慎重对待云安全问题一样。
先走了一步
从客户到合作伙伴,从云安全解决方案的创新到渠道建设的增强,梭子鱼网络很明显地加强了对云安全市场的投入。梭子鱼网络的这种变化既是客户需求驱动的,也是梭子鱼网络自身业务拓展的必然选择。中国云计算市场方兴未艾,而将所有业务与云紧密联系的梭子鱼网络能够成为中国云安全市场上的弄潮儿吗?
梭子鱼网络的业务围绕着安全和存储展开。不管客户的应用环境是物理的、虚拟化的,还是云化的,梭子鱼网络都可以提供全面的支持。大约三年前,中国的云计算市场还处于宣传教育的阶段,尤其是公有云。但在过去一年中,我们能很明显地感觉到,云计算应用正在中国加速落地。用户通常的习惯是,先选择一个云平台,然后再逐步考虑网络安全、数据保护这些问题,并不断在云平台上添加这些功能。现实中越来越多的用户对云安全产生了迫切的需求,并已经开始使用云平台。正是因为这样,越来越多的用户会向梭子鱼网络这样提供安全和存储增值服务的厂商寻求解决方案和服务。
从虚拟化到云计算,从企业私有云到公有云,用户的安全需求在变化,云安全的应用处于持续演进中。从梭子鱼网络的实践来看,现阶段针对虚拟化环境、私有云的安全保护需求更加旺盛,梭子鱼网络在这些领域的成功案例也比较多。同时,梭子鱼网络也看到客户的业务在不断成长,从传统IT架构到云架构的转变需要时间。针对公有云环境的安全保护项目已经开始落地,未来这种项目会越来越多,而公有云安全市场的发展速度也会越来越快。
云安全的需求很明显地摆在那里,但能否将需求转化为商机,那还要看梭子鱼网络自身的实力,以及捕捉商机的能力。梭子鱼网络做好准备了吗?
发力云计算之前,梭子鱼网络其实做了很长时间的准备。2013年,梭子鱼网络在纽交所上市的时候,名片背面已经清楚地印上了“云融合”这几个字,它明确地表明了公司的定位。而且早在2008年,梭子鱼网络已经开始提供公有云的安全解决方案和服务。目前,梭子鱼网络在全球拥有7个数据中心。
在众多的安全厂商中,为什么梭子鱼网络能够成为首批通过MicrosoftAzure认证的安全解决方案供应商?除了因为梭子鱼网络具有很强的技术创新能力以外,还因为其战略具有前瞻性,提早在云计算方面进行布局,取得了先发优势。现在,对梭子鱼网络的一个考验是,如何将这种优势转化为胜势,从而奠定其在云融合市场的领导地位。
现在,梭子鱼网络对云融合市场的重视程度非常高。梭子鱼网络从起步时就明智地选择了云计算这个细分领域,并且做了许多开创性的工作,比如推出Web应用防火墙云端解决方案,以及致力于实现云基础上的安全与存储的融合等。梭子鱼网络并不具备那些传统IT巨头的知名度和规模,但是,梭子鱼网络的业务和产品定位清晰,抢占了云市场先机,并且建立了符合云业务发展的营销架构,制定了积极的策略,这才让梭子鱼网络凭借云融合安全与存储脱颖而出。
在公有云方面,除了与MicrosoftAzure合作以外,梭子鱼网络与AWS也结成了重要合作伙伴关系。同时,梭子鱼网络还与中国本地的公有云服务商积极联络。作为一家独立的第三方安全和存储供应商,梭子鱼网络将顺应市场发展趋势,积极支持主流的公有云平台。
云安全的示范效应
云计算早已从概念炒作阶段过渡到加速落地阶段,但时至今日,问起上云的最大障碍这个问题,安全仍然是用户心中最大的困惑。
如果你也想趁早搭上云计算这趟快车,如果安全也是你心头挥之不去的阴影,不妨看看梭子鱼网络是怎样帮助用户实现云平台应用安全的,也许对你来说是一种有益的参考和借鉴。
在云平台应用中有效实现高等级安全防护,同时兼容现有环境,保护原有投资,对很多用户而言是一个严峻的挑战。梭子鱼网络能够提供与公有云平台有良好集成且经过严格验证的安全解决方案,其核心是一个专门针对外部应用做防护的应用层的防火墙,可以抵御各种攻击,确保客户云应用的安全。这是一种典型的云安全应用场景。
梭子鱼网络Web应用防火墙云端解决方案可以提供持续的保护,抵御各种不断变化的威胁,同时其超细粒度的身份验证和接入管理功能,也满足了用户对安全级别的最高要求。另外,梭子鱼网络Web应用防火墙云端解决方案还具有超强的兼容性和可扩展的安全性,可以满足站点云应用和数据安全保护的需求,同时提供直观的满足合规要求的运维报告。
梭子鱼网络Web应用防火墙云端解决方案是全球首款通过MicrosoftAzure认证的Web应用防火墙,而梭子鱼网络本身也是首批通过MicrosoftAzure认证的安全解决方案供应商。梭子鱼网络与MicrosoftAzure的紧密合作成了梭子鱼网络在云安全方面的一个重要突破口和成功样板,在业内具有良好的示范效应。
梭子鱼网络的云安全服务主要有两种典型的应用场景:第一种方式,用户采购梭子鱼网络的云安全产品,相当于部署了一个虚拟机,梭子鱼网络的云安全产品与MicrosoftAzure、托管的MicrosoftCloudPlatform、WindowsServerHyper-V预置私有云等在后端已经做好了集成,用户直接安装、配置和使用即可;第二种方式在全球范围内应用比较普遍,就是SaaS模式的云安全服务,用户可以直接从MicrosoftAzureMarketplace中获取,部署时间可以缩短50%~80%。
梭子鱼网络MicrosoftAzure集成解决方案主要包括Web应用防火墙、下一代防火墙、邮件安全网关和邮件归档。梭子鱼网络的定位是云融合安全与存储解决方案提供商,云是前提,安全与存储的融合是解决用户问题的手段和方式。另外,针对像Office365这样的云应用,除了提供网络和应用安全的保障以外,梭子鱼还可以提供包括分类垃圾邮件、归档和备份在内的三合一服务,这在业界是独有的。
不是巨头是专家
虽然与欧美相比,中国的云安全市场发展略有滞后,即使是与亚太地区的澳大利亚、日本等国相比,中国客户的云安全意识和实践也有待加强。但中国也有自己的独特优势,比如客户基数大,而且在互联网化、移动化等很多方面都是超前的,或处于全球领先地位。相信中国客户在突破了对云计算认知的瓶颈,越过怀疑、观望和“吃螃蟹”的那个阶段之后,在云计算方面的成长会更快。
传统的安全是基于PC的,拥有严格的内外网划分,形成了一套固定的边界防御模式。但是随着云计算、移动化的兴起,安全的边界已经十分模糊。从某种意义上说,云安全对于传统安全思维来说是一种颠覆。
可见,让传统的数据中心接纳云网络概念并不容易。但是在年初,锐捷刚刚推出云产品的时候,就宣布其产品已实现商用,还成功为阿里巴巴等典型的云计算企业构建了云化的数据中心。以如此之快的速度让云产品落地市场,锐捷到底用了什么方法?带着这个疑问,记者来到了锐捷2011年的渠道大会,以期寻找到答案。
完整的云图
“锐捷们”,是记者对锐捷渠道商的一贯称呼。在锐捷今年的渠道大会上,记者发现锐捷们对云的兴趣开始越来越浓。可见,去年还对云概念懵懵懂懂的渠道商,如今也渐渐嗅出了云计算技术发展可能给他们带来的机遇。
网络市场并不是从今年才开始热衷于云计算的,目前很多厂商都推出了相应的产品或是了相应的网络架构。各种新技术、新产品一股脑儿涌入市场,不免令人一头雾水。但奇怪的是,到场的锐捷们几乎在一天半的时间里,就完全理解了锐捷的云网络。
锐捷对云的描述没有从某个产品或技术开始,而是展示了一幅云网络的“全景图”。这是一套完整的解决方案,包含了数据中心安全运维管理系统、数据中心安全智能系列、数据中心核心交换系列、数据中心接入交换系列四大类别的面向云计算需求的全线数据中心产品。锐捷的云更像是一种一站式的服务,通过锐捷的产品或方案,用户数据中心向云转换过程中所遇到的问题,都能在锐捷找到相应的解决方法。用锐捷副总裁刘弘瑜的话来说,锐捷要做的是一个适合未来商业模型的“无阻塞”的云计算网络,只有全系列的产品才能使客户对云计算策略的部署在数据中心落地时真实可靠。
今年年初,记者在采访云快线的时候了解到,在云计算数据中心运营的过程中,网络带来的复杂性问题越来越严重。他们认为云中的网络将不再仅是数据中心里的基础设施,它的作用应该更像是神经系统。网络应该在提供强大的数据通信能力的同时,也能实现智能扩张及智能管理,以及处理安全问题的能力。从这一点来看,用户对云网络产品的需求将和对传统网络产品的需求大不相同,单一的产品或是只能解决局部问题的方案将逐渐失去价值。可见,一站式的方案将会更贴近未来数据中心用户的实际需求。从另一个角度来看,全面的产品线也更便于渠道完成部署,大幅缩短锐捷云产品进入市场的周期。
应“变”能力
在刘弘瑜看来,云计算的本质就是“按需可扩展”,它要求数据中心的服务器能做到灵活地一变多和多变一,这样的能力目前主要依靠虚拟化技术来实现,但要达到相应的效果,网络产品应“变”的能力才是关键。比如当虚拟化需要由一变多时,网络如何即时反应?虚拟化由多变一,设备性能是否能满足成倍增长的要求?各种虚拟化环境,安全如何保障?业务如何管理?
从网络层面解决这些问题,交换机的应“变”能力至关重要。在锐捷的多款云网产品中,都可以看到这类应“变”技术。如RG-S12000CloudComputing系列采用了VSU虚拟化技术,可将多台高端设备虚拟化为一台逻辑设备,能有效实现虚拟机迁移过程中网络不中断。而其支持802.1Qbg的特性,也能够解决传统虚拟机交互性能低下的问题。对VRF虚拟化的支持,更便于满足数据中心网络一变多的需求,以及多业务安全隔离的需要。
TRILL协议目前被业界认为是有效简化网络设计,提高网络可扩展性和弹性的基础,也是构建大型虚拟化云计算网络的根基。在锐捷的RG-S12000云计算交换机产品系列中,记者也看到了其对TRILL协议透明交换技术的全面支持。同时,伴随着数据中心融合网络的趋势,锐捷的RG-S12000系列还为服务器提供了FCoE(FibreChanneloverEthernet)接入和以太网接入服务,解决了数据中心在网络过渡过程中整合异构的LAN和SAN网络的需要。
锐捷一直遵循着一个很有名的战略思想,那就是利基战略:利基一词来源于法语nichi,它所表达的是一种在攀爬的过程中抓住缝隙努力向上的精神。在锐捷,它不仅是做事业的思路,也是做产品的思路:通过无限贴近客户需求,寻求差异化的方案,以求得生存发展的空间。对于云,锐捷所强调的网络应“变”能力独树一帜,但这正是当前数据中心向云计算环境进化的根本需求,或许这也是让锐捷的云能够快速走入商用的原因之一。
把合作伙伴引入云生态链
“云计算时代的来临被称为第三次IT浪潮。它将带来工作方式和商业模式的根本性改变,可以说,云计算已越来越成为经济发展与科技发展过程中的一种必然选择,尽管它才刚刚开始。这将是一个以万亿元计的市场。”在刘弘瑜眼中,云是一个巨大的市场,它对锐捷和锐捷的合作伙伴而言都是巨大的机会。但在这样的机会面前,合作将变得比任何时候更加重要。因为大量新的尖端技术的落地与云计算相关整体解决方案的形成、部署、维护,都需要生态链中各环节的密切配合才能将机会变为现实。
除了提品和相应的解决方案外,锐捷还提供了一个被其称为基于“开放共享的云服务”理念的IT运维管理解决方案。据刘弘瑜介绍,IT运维管理是一个快速增长的市场,这几年的平均市场容量增长达30%,已经是一个50亿元规模的市场。在云安全管理领域,锐捷从2007年开始研究、2009年正式推出产品和服务,至今已成为这个领域的主要方案提供商,而锐捷拓展这个市场采用的就是基于“开放共享的云服务”的理念。