浅谈云计算在审计数据中心的应用,本文主要内容关键词为:浅谈论文,数据中心论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、云计算的概念
云计算(Cloud Computing)是基于互联网的相关服务增加、使用和交付新模式,通常以互联网来提供动态易扩展且经常是虚拟化的资源。云是网络、互联网的一种比喻说法。以往,云用来表示电信网,后来也用来表示互联网和底层基础设施的抽象。狭义的云计算指IT设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需资源;广义的云计算指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关,也可是其他服务。它意味着计算能力也可作为一种商品通过互联网进行流通。
(一)云计算的提出
2006年8月9日,Google首席执行官埃里克·施密特(Eric Schmidt)在搜索引擎大会(SES San Jose 2006)首次提出“云计算”(Cloud Computing)的概念。Google“云端计算”源于Google工程师克里斯托弗·比希利亚所做的“Google 101”项目。而早在20世纪60年代,麦卡锡提出把计算能力作为一种像水和电一样的公用事业提供给用户的理念,这就是云计算思想的起源,让云计算变的实用而浪漫。
目前,全球主要的大型IT企业都在研究云计算技术和基于云计算的服务,提出了“云计划”,亚马逊、谷歌、微软、戴尔、IBM等IT国际巨头以及百度、阿里、淘宝网、腾讯等国内业界都在其中。几年之内,云计算已从新兴技术发展成为当今的热点技术。
(二)云计算的内含
云计算(Cloud Computing),是分布式计算(Distributed Computing)、并行计算(Parallel Computing)、网格计算(Grid Computing)、效用计算(Utility Computing)、网络存储(Network Storage Technologies)、虚拟化(Virtualization)、负载均衡(Load Balance)等传统计算机和网络技术发展融合的产物。
云计算的分类有很多种,可以分为私有云、公有云和混合云,还可以分为桌面云、计算云、测试云、灾备云和云数据中心。
云计算可以认为包括以下几个层次的服务:基础设施即服务(IaaS),平台即服务(PaaS)和软件即服务(SaaS)。这里所谓的层次,是分层体系架构意义上的“层次”。IaaS,PaaS,SaaS分别在基础设施层,软件开放运行平台层,应用软件层实现。
云计算依托分布式数据处理技术,能实现可靠、安全的数据存储,即用户将数据存储在云端,不用再担心数据的丢失、病毒入侵等麻烦,不必担心数据存放位置及安全性问题。用户也不需要安装和升级电脑上的各种应用软件,只需要具有网络浏览器,就可以方便快捷地使用云计算提供的各种服务和资源。
云计算可以通过集中管理、虚拟化等方式,减少设备数量,达到数据中心的节能降耗,降低运营成本,提升运行效率。
(三)云计算几个主要特征
(1)以网络为中心。云计算的组件和整体构架由网络连接在一起并存在于网络中,同时通过网络向用户提供服务。而客户可借助不同的终端设备,通过标准的应用实现对网络的访问,从而使得云计算的服务无处不在。
(2)需求服务自助化。云计算为客户提供自助化的资源服务,用户无需同提供商交互就可自动直接得到自助的计算资源能力。同时云系统为客户提供一定的应用服务目录,客户可采用自助方式选择满足自身需求的服务项目和内容。
(3)资源配置动态化。根据消费者的需求动态划分或释放不同的物理和虚拟资源,当增加一个需求时,可通过增加可用的资源进行匹配,实现资源的快速弹性提供;如果用户不再使用这部分资源时,可释放这些资源。云计算为客户提供的这种能力是无限的,实现了IT资源利用的可扩展性。
(4)资源的池化和透明化。对云服务的提供者而言,各种底层资源(计算、储存、网络、资源逻辑等)的异构性(如果存在某种异构性)被屏蔽,边界被打破,所有的资源可以被统一管理和调度,成为所谓的“资源池”,从而为用户提供按需服务;对用户而言,这些资源是透明的,无限大的,用户无须了解内部结构,只关心自己的需求是否得到满足即可。
(5)服务可计量化。在提供云服务过程中,可针对客户不同的服务类型,通过计量的方法来自动控制和优化资源配置。即资源的使用可被监测和控制,是一种即付即用的服务模式。
(四)云计算的优势
1.资源来自网络
这是云计算的根本理念所在,即通过网络提供用户所需的计算力、存储空间、软件功能和信息服务等。云计算是利用大规模数据中心和超级计算机集群建立庞大的运算系统,用户能够通过互联网获取所需的各种软件及服务,而无须再为每台计算机购买独立的操作系统和各种软件。其“聚集供应”模式能对所有软件、数据进行整合,从而打破地域限制以及系统与软件间的不兼容,真正实现信息化和网络化。“云计算”赋予用户前所未有的计算能力,让每位用户以极低的成本享受超级计算机的服务,可以只需花费少量资金、几天时间就能完成以前需要大量资金、数月时间才能完成的任务。
2.性价比优势
云计算将数量庞大的廉价计算机放进资源池中,用软件容错来降低硬件成本,通过规模化的共享使用来提高资源利用率。其超强的运算能力将大大降低技术应用门槛。“云计算”可以动态管理几十万、几百万甚至几千万台计算机资源所具有的总处理能力,并按需分配给网络用户,而所有数据处理都是远程,用户无须知道计算如何进行、资料存储在哪里。这就是说用户可以随时获得超级计算机才拥有的强大处理能力、巨量数据存储及复杂数据分析能力。国外代表性云计算平台提供商达到了惊人的10~40倍的性能价格比提升。国内由于技术、规模和统一电价等问题,暂时难以达到同等的性能价格比,但其性能价格比随着规模和利用率的提升还有进一步提升空间。
二、传统数据中心的现状与问题
数据中心(Internet Data Center,简称IDC),随着金审工程二期的完成,全国各地的审计机关数据中心的硬件、网络建设和数据中心基本规划已经纷纷建成。未来5年我国对数据中心流量处理能力需求将增长7~10倍,机房面积至少翻一番才能满足未来建设需求。全国有13省规划了超过10万台的数据中心,投资估算总额达到2700亿,总服务器建设规模达到1000万台。
如此大规模的数据中心(IDC)建设需求带来了挑战的同时也带来了机遇,同时也带来了极大挑战:如何应对数据中心需求增大的压力?如何面对数据中心业务转型?如何实现数据中心节能降耗?云计算数据中心如何发展等等问题都摆在了我们的面前。
(一)传统数据中心的情况
在没有云计算的时候,传统企业数据中心大多出身名门,属于足不出户的大家闺秀。想当初,只有大型制造业、银行等才买得起计算机,那时候基本是大型机的天下。后来虽然经过数十年的发展,中小型企业往往还是享受不起企业级数据中心,因为企业级数据中心依赖于IT厂商的成熟产品,硬件和软件都比较昂贵,即使进行了某些客制化,仍然主要是业务逻辑层的客制化,架构层还是以标准的小型机、网络、存储设备,外加标准的操作系统、数据库、中间件等构成。
本世纪初的审计系统大规模开展网络建设,各地审计机关中心机房建设陆续展开,基于应用的各种服务器、应用系统和数据存储设备也相继建立,基于相对的应用需求和技术水平,多个应用系统都是独立建设的。
传统数据中心一般由三部分组成:(1)由机房网络设备、消防系统、供电系统、空调通风系统等组成的基础设施硬件平台;(2)服务器、存储设备等;(3)业务应用系统、数据库和存储管理系统等软件平台。
数据中心架构大多围绕复杂、多样的服务器和存储系统构建,数据中心只是多个应用系统放在一起,它们分别拥有独立的网络连接设备、网络安全设备和网络资源设备;因此,传统的数据中心存在各个独立的数据中心不能实现物理硬件资源的共享;不能安全的实现多个用户统一的访问需求;独立的数据中心需要人为的管理,不能智能化,这就增加了人为犯错的潜在安全威胁,响应用户的速度也慢等多种弊端,消除信息孤岛、统一数据来源和实现统一身份认证成为新一代数据中心的必然要求。
(二)传统数据中心的问题
(1)数据中心的应用系统、服务器等逐年增多,增大了管理难度和维护成本;
(2)软、硬件各自独立,其计算、网络、存储的利用率较低;
(3)现有电力已不能扩容,机房的面积也不能再增大;
(4)有90%的服务器,在多数的时间里,CPU占用低于10%,这表明资源存在着较大的浪费;
因此,数据中心需要引入新的技术,以充分利用现有的资源,发挥出更高的效率。
三、云计算数据中心的构建
据工信部网站显示,工信部、发改委、国土资源部、电监会、能源局五部委联合发布《数据中心建设布局指导意见》、加速我国数据中心,特别是大型数据中心的合理布局和健康发展。《指导意见》要求,数据中心建设和布局要遵照市场需求导向、资源环境优先、区域统筹协调、多方要素兼顾和发展与安全并重等原则;新建超大型、大型数据中心,要重点考虑气候环境、能源供给等要素;新建中小型数据中心,要重点考虑市场需求、能源供给等要素;已建数据中心,鼓励企业利用云计算、绿色节能等先进技术进行整合、改造和升级。
(一)审计数据中心建设目标
1.构建安全、可扩展、管理方便、低能耗的服务运维环境,为审计机关应用提供硬件支撑。
2.构建安全、高效的数据集中存储体系,建立重要数据的备份容灾机制;
3.构建安全、稳定的数据中心,防止单点故障,保证各应用系统不间断运行。
(二)服务体系架构
传统数据中心的技术在云时代通常被组合成Infrastructure as a Service(IaaS),再考虑应用支持与开发方面,如中间件、业务逻辑、应用系统、WEB、测试管理等构成了大数据中心,或云时代的数据中心的基础,通常称之为Platform asa Service(PaaS)和Software asa Service(Paas)。
云计算数据中心是服务于审计办公自动化(OA)、审计现场软件(AO)、网站腾讯通、网络培训、邮件系统、新闻发布、公众交流、公众留言等需要的网络基础设施和公共支撑平台,其应用服务体系架构包括物理层、虚拟层、管理层和应用层,其中管理层是保障审计机关运转和服务的核心。
1.物理层
物理层是位于云计算数据中心的最底层,也称为HaaS(Hardware as a Service,硬件设施即服务)。该层主要包括机房环境和带宽资源,主要是硬件和交换机等网络设备,是云的基础骨架。可以通过使用PC级的服务器获得极高的性能,降低了硬件成本。
2.虚拟层
虚拟层是云计算数据中心基础设施层,也称为IaaS(Infrastructure as a Sevice,基础设施即服务),它是一个虚拟化环境。该层将物理层的基础设施硬件(服务器、存储与网络设备)全面虚拟化,建立一个共享的、按需分配的基础资源设施;建设分布式的数据存储系统,用于海量数据的存储和访问。本层可按用户的需要,组成新的云软件环境或应用,然后通过虚拟机提供给用户。
3.管理层
管理层是云计算数据中心的决策层,也称为PaaS(Platform as a Service,平台即服务),它通常基于虚拟层来支撑其上的云应用,主要实现用户管理、任务管理、资源管理和安全管理。该层在总体上规划分布式的数据和计算资源,设计相应的分布式数据存储系统,定义资源的单元和生命周期;负责检测和响应应用层提交过来的服务请求,动态分配虚拟化资源,提供和释放计算资源,实时更新可用资源库,达到负载平衡和电源减耗;实时侦测各种资源的工作状态,做到非正常状态时能够报警并自动调整资源的分配;保证数据的安全性。
4.应用层
应用层是数据中心的接口层,也称为SaaS(Software as a Service,软件即服务),为用户使用云计算数据中心资源提供规范的接口。面向不同层次的用户需求提供差异化的云计算服务。
(三)数据中心的关键技术
建设云计算数据中心时,需要重点考虑虚拟化、资源池化、资源动态管理和资源动态扩展等技术,他们是实现云计算数据中心的关键环节。
1.跨地互联技术
因为远距离、供电、制冷以及容灾和备份的要求,数据中心必须在物理上相互分开,但是逻辑上要保持一体,通过该网络,要使得计算能力能够在不同数据中心间自由的流动。这时就提出了OTV(Overlay Transport Virtualization)技术。OTV能够实现打通数据中心的IP骨干网络,并通过ISIS建立Adjacency关系,从而方便管理交换数据中心的MAC表。OTV技术通过IP网络实现了多个数据中心间网络的虚拟化和整合,使得资源能够在不同数据中心之间自由流动,大大简化了对网络的维护、提高了网络的整体稳定性,同时也为数据中心提供了网络保证。
2.超大规模扩展技术
目前的大型互联网数据中心大都采取基于map reduce的编程模式,从而实现对海量数据的高效并行处理。但是由于map reduce框架要求开发人员必须在超大规模计算集群上分配计算任务并进行并行处理,这样就会造成计算集群之间和服务器之间较大的吞吐量,因此网络需要具有足够承载该计算集群而无交换阻塞的能力。因此,面向云计算的数据中心网络应该具备在二层网络上提供超大规模网络扩展的能力。VPC(Virtual Port Channel)是一种通过合理整合2个交换机的转发平面,从而应用Port—Channel技术实现接入设备能够同时链接2个汇聚交换机而实现双倍聚合带宽的扩展技术。另外,业界还提出了Fabric.Path协议,该技术以MAC地址学习为基础,有效减小边缘交换机的MAC地址表压力。通过该技术能够构建一个扁平的、高效的和超大规模的数据中心网络,是目前大规模虚拟化数据中心的最重要技术之一。
3.虚拟交换机技术
云计算环境具有显著的多租户特点,在同一套物理设备上运行不同用户业务要求网络的隔离能力必须完善,这样才能保证多业务能够整合在同一网络系统上。现在的网络技术在传统网络技术的多层面逻辑隔离的基础上,对数据中心核心交换机提供了进一步隔离技术,即通过虚拟交换机技术在逻辑上将一个实体交换机分成多个虚拟交换机,不同虚拟机之间彻底隔离,各自独立拥有二层、三层协议栈、进程和管理员。该技术能够保证系统的高安全性和可靠性、对资源调度的灵活性和高效性。
4.客户端路由感知技术
在面向云计算的数据中心网络中,计算资源能够在不同数据中心之间自由的流动。这时,就需要知道流动发生以后,客户端怎样感知到流动的计算资源,这样才能保证正确的把数据包发送到新的数据中心。新一代路由技术LISP很好地解决了上述问题,LISP通过应用BGP协议来构建控制平面,并应用MS(map server)记录RLOC与EID之间的相互对应关系。虚拟机一旦流动到新数据中心就必须到MS重新注册得到新的RLOC和EID对应关系,这样客户机就可以通过查询MS来找到新的RLOC,进而把数据包送到新的数据中心内。
5.虚拟化I/O技术
传统数据中心存在多种网络类型且性能差别较大,使得数据中心网络相互分割,无法形成一个统一的虚拟资源池,对网络I/O的整合与节能减排非常不利。想要通过以太网对数据中心网络进行整合,就必须对现有以太网进行改进,从而实现不丢帧和提高服务质量的结果,这就是以太网DCB。DCB包括一系列相关协议,包括进行流控和保证服务质量的重要协议IEEE802.lqbb与IEEE802.lqaz。除此之外,T11还通过FC.BB.6对DCB网络上的FC帧承载方法进行了定义,即FCOE。通过这些技术就可以把以前需要多张网才能承载的流量整合到使用一张网进行承载,实现了网络I/O虚拟和整合。
(四)云计算的安全部署
1.建设基于VEPA的安全防护体系
VEPA方案的目标是要将虚拟机之间的交换从服务器内部移出到接入硬件交换机上,实现各个虚拟机之间的“硬交换”。
采用VEPA方案,虚拟机的流量都是通过物理接入层交换机完成,它的访问控制和报文下发策略也是基于物理接入层交换机,因此很好地避免了网络和服务器设备管理边界模糊的难题。VEPA标准协议VDP还能准确地感知虚拟机的工作状态,当虚拟机发生迁移时,VEPA协议会将与此相关的访问控制和报文下发等策略重新部署到新的接入交换机。
2.建设以虚拟化为技术支撑的安全防护体系
目前,虚拟化已经成为云计算环境下数据中心的关键技术手段,包括基础网络架构、存储资源、计算资源以及应用资源都已经在支持虚拟化方面向前迈进了一大步,只有基于这种虚拟化技术,才可能根据不同用户的需求,提供个性化的存储计算及应用资源的合理分配,并利用虚拟化实例间的逻辑隔离实现不同用户之间的数据安全。安全无论是作为基础的网络架构,还是基于安全即服务的理念,都需要支持虚拟化,这样才能实现端到端的虚拟化计算。
从安全即服务的角度,云计算服务商联合内容安全提供商提供类似防病毒和反垃圾邮件等服务,也必须考虑配合VMware等中间件实现操作系统层面的虚拟化实例,同一服务器运行多个相互独立的操作系统及应用软件,每个用户的保密数据在进行防病毒和反垃圾邮件检查的时候,数据不能被其他虚拟化系统引擎所访问,只有这样才能保证用户数据的安全。
3.建设高性能高可靠的网络安全防护体系
较传统网络,云计算网络的流量模型发生了两个显著变化:一、从外部到内部的纵向流量加大;二、云业务内部虚拟机之间的横向流量加大。为保证未来业务开展,整个云计算数据中心必须具有高的吞吐能力和处理能力,在数据转发和控制的各个节点上不能存在阻塞,同时具备突发流量的承受能力,具体体现在以下两个方面:
一方面,参照云计算数据中心对于核心交换机设备的要求,安全设备要具备对高密度的10GE甚至100G接口的处理能力;无论是独立的机架式安全设备,还是配合数据中心高端交换机的各种安全业务引擎,都可以根据用户的云规模和建设思路进行合理配置;另一方面,考虑到云计算环境的业务永续性,设备的部署必须要考虑到高可靠性的支持,诸如双机热备、配置同步、电源风扇的冗余、链路捆绑聚合、硬件等特性,真正实现大流量汇聚情况下的基础防护。
(五)云计算的法律环境
要全面应对云计算发展带来的安全挑战,不仅需要从技术上为云计算系统和每个用户实例提供保障措施,还需要配套的法律法规和监管环境的完善,明确服务提供商和用户之间的责任和权利,对用户个人信息进行有效保护,防止数据跨境流动带来的法律适用性风险。
欧盟、美国、日本和韩国等拥有相对完善的网络信息安全保护法律体系,为云计算的发展提供了较好的法律保障。其法律规定主要包括以下几个方面:
一是个人信息保护。美国早在上世纪70年代就制订了《隐私法》保护个人信息,并准备修订其《电子通信隐私法》以适应云计算的发展;欧盟1995年通过了《个人数据保护指令》,2002年通过并于2009年修订了《有关个人数据处理和电子通信领域隐私保护的指令》,对个人信息保护提出要求;日本出台了《个人信息保护法》;韩国《促进信息和通信网络利用及信息保护法》也对个人信息保护进行了规定。二是数据跨境流动。欧盟的《个人数据保护指令》是关于数据跨境流动限制最典型的法律规定。三是保障国家安全,在特定条件下政府可以通过一定的程序接触到云计算中的个人信息。典型的如美国的《爱国者法》、加拿大的《反恐法案》、《国防法》等,美国政府可根据《爱国者法》而访问到由美国公司提供的云服务中的个人信息。四是保障政府机构使用的云计算服务安全。如美国的《联邦信息安全管理法案》。
相比之下,我国在个人隐私保护,在线数据保护,数据跨境流动等方面的法律法规存在很大缺失,还需要从立法、规章制度等多方面不断完善适应云计算发展的信息安全法律监管环境。
四、结束语
此文中,笔者只是讨论了云计算在审计数据中心中的应用。其实云计算的应用非常广泛,比如云存储。结合到审计工作和云计算数据中心,最需要云存储的无疑就是AO软件,以往的信息包、电子账簿等文件都需要由采集生成后经U盘等移动存储介质传送,而且时常有更新,导来导去,容易出错不说,还容易传播病毒;审计报告、工作信息等文件经常需要修改,常常是脑中有了一个好点子,而手边却没有原稿,无法修改。采用云存储后,只需要将文件推送到云数据中心,使用者同步到本地即可,电脑、手机、平板等都可以成为云的接收端,文件修改后直接存在云服务器,需要时直接打开,工作的便利性能得到很大的提高。
笔者还有一点担忧,审计人员的知识结构还不能满足云计算的技术要求。云计算技术的应用需要既懂审计又懂网络、数据库、计算机的复合型人才。为培养计算机审计的复合型人才,审计署开展了计算机审计培训和考试。截至2012年6月,通过审计署计算机审计中级考试的审计人员有4400多人,占全国审计干部比例仍然偏低。当前还应继续加大审计人员知识结构转变力度,完善计算机审计培训的课程结构,以适应云计算技术对审计的要求。
据了解,天津市政府的政务云、河西区政务云建设得可以整合全市的大信息资源,在大城市、政府间的应用树立的榜样,对政府间的审计机关交互做出示例。与此同时,我们的审计同行,审计署沈阳办已经开始积极探索“云计算”技术理论研究与实际应用,他们的步伐也很快,开始了技术培训还成立了攻关小组。希望他们能把云计算这一技术成功运用到审计实际,为全国审计机关树立楷模。
标签:云计算论文; 云计算数据中心论文; 服务器虚拟化论文; 桌面虚拟化论文; 虚拟技术论文; 虚拟网络论文; 数据与信息论文; 电脑服务器论文; 资源池论文; 审计软件论文; 个人管理论文; 服务器类型论文; 虚拟商品论文; 技术与管理论文; 安全审计论文; 网络基础设施论文; 数据整合论文; 计算机用户论文; 个人计算机论文; 信息发展论文;