如何最大限度地發(fā)揮云計(jì)算的優(yōu)點(diǎn)

云計(jì)算的魅力在于用戶只要有身份證和信用卡就可以開始使用，但這也是問題所在。這么簡(jiǎn)單的服務(wù)勢(shì)必會(huì)給毫無準(zhǔn)備的IT部門帶來許多挑戰(zhàn)。之前我們已經(jīng)多次碰到過這個(gè)現(xiàn)象：某項(xiàng)技術(shù)易于采用的優(yōu)點(diǎn)到頭來卻變成了意料之外的管理難題，比如虛擬化技術(shù)導(dǎo)致虛擬機(jī)散亂，智能電話帶來新的安全風(fēng)險(xiǎn)，即時(shí)通訊引發(fā)公司治理方面的問題。

本文表明我們?nèi)蕴幱谠朴?jì)算的早期階段，這意味著，相關(guān)工具和技術(shù)還在不斷完善中。比方說，經(jīng)過長達(dá)兩年的測(cè)試后，亞馬遜網(wǎng)絡(luò)服務(wù)公司的彈性計(jì)算云（ElasTIc Compute Cloud）服務(wù)在去年底才推向市場(chǎng)；監(jiān)測(cè)、管理和負(fù)載平衡等企業(yè)級(jí)功能仍在其規(guī)劃當(dāng)中。同樣，谷歌應(yīng)用引擎（App Engine）屬于預(yù)覽版本。微軟的Azure云服務(wù)也屬于預(yù)覽版本，目前只有Windows開發(fā)人員可以使用有限的功能，其他早期采用者無法使用。

不過現(xiàn)在可以開始規(guī)劃了，你既可以實(shí)際感受這種新的IT交付模式（包括了解各種故障和缺陷），又可以比其他在考慮獨(dú)自利用云服務(wù)的公司同事超前一步。

一、管理篇

牢牢控制云計(jì)算

管理云計(jì)算服務(wù)的工具形形色色，既可以使用簡(jiǎn)單的儀表板，讓你在幾分鐘內(nèi)就能創(chuàng)建虛擬軟件棧；也有能夠處理各種配置和管理任務(wù)的企業(yè)級(jí)平臺(tái)。云計(jì)算使用越廣泛，就越需要那些高端工具。

亞馬遜、谷歌及其他云服務(wù)提供商提供了幫助客戶入手的基本工具。比方說，谷歌應(yīng)用引擎的管理控制臺(tái)可以顯示流量大小、帶寬、CPU利用率以及谷歌托管應(yīng)用程序的出錯(cuò)率，這些數(shù)據(jù)可以幫助你深入研究日志文件，并獲得其他詳細(xì)數(shù)據(jù)，還可以用它來控制管理權(quán)限、管理應(yīng)用程序的升級(jí)。

然而，應(yīng)用引擎仍屬于“預(yù)覽”版本；這意味著，隨著需求越來越高，這些工具將無力滿足要求。谷歌的產(chǎn)品經(jīng)理Pete Koomen承認(rèn)：“我們還缺少一部分功能?！?/P>

我們看到，云服務(wù)提供商、新興公司和系統(tǒng)管理廠商都在競(jìng)相為客戶提供功能更齊全的工具，以管理云環(huán)境中的資源。亞馬遜表示，它會(huì)“很快”為彈性計(jì)算云服務(wù)推出新的管理控制臺(tái)和云監(jiān)測(cè)功能。亞馬遜已經(jīng)在提供一些基本功能，比如使用命令行界面創(chuàng)建亞馬遜機(jī)器映像（Amazon Machine Images）的功能。管理控制臺(tái)讓用戶可以配置及管理EC2資源，而監(jiān)測(cè)功能將包含EC2實(shí)例和 “可用區(qū)域”（availability zones）方面的實(shí)時(shí)度量――可用區(qū)域是客戶為了確保冗余和最高可用性而選擇的亞馬遜基礎(chǔ)架構(gòu)中的一部分。亞馬遜還計(jì)劃在2009年提供負(fù)載均衡和自動(dòng)擴(kuò)展功能。

專門從事云管理的公司是另一個(gè)選擇。RightScale公司的托管服務(wù)平臺(tái)包括管理儀表板、數(shù)據(jù)庫和網(wǎng)站管理、批處理、多服務(wù)器部署功能以及自動(dòng)擴(kuò)展功能。提供基本功能的開發(fā)版本可免費(fèi)使用，但大多數(shù)IT部門會(huì)需要RightScale的另外三個(gè)版本（網(wǎng)站版、網(wǎng)格版和高級(jí)版），這些版本的起價(jià)為每月500美元，外加2500美元的一次性費(fèi)用。

RightScale創(chuàng)辦于2007年，以管理亞馬遜網(wǎng)絡(luò)服務(wù)起家；如今擴(kuò)大了業(yè)務(wù)范圍，可以管理其他公共云服務(wù)，包括FlexiScale和GoGrid的云服務(wù)。RightScale還為加州大學(xué)圣巴巴拉分校的Eucalyptus公共云提供了一個(gè)平臺(tái)， 把面向云計(jì)算的開源Eucalyptus軟件部署在集群服務(wù)器上。它實(shí)際上是一個(gè)研究測(cè)試項(xiàng)目，但目的是通過RightScale的儀表板，能夠管理公共云和基于Eucalyptus的專有云。

與Web應(yīng)用程序一樣簡(jiǎn)單

在管理Web應(yīng)用程序和基礎(chǔ)架構(gòu)方面有過經(jīng)驗(yàn)的IT部門會(huì)發(fā)現(xiàn)，云計(jì)算有著相似之處。Hyperic公司首席執(zhí)行官Javier Soltero說：“如果你能管理Web應(yīng)用程序，就能管理云應(yīng)用程序?！痹摴居幸粋€(gè)版本的Web應(yīng)用程序監(jiān)測(cè)軟件正在亞馬遜網(wǎng)絡(luò)服務(wù)中運(yùn)行。

Hyperic HQ由中央管理服務(wù)器和代理軟件組成，前者通常在公司內(nèi)部部署的服務(wù)器上運(yùn)行，而后者駐留在Web服務(wù)器上，向中央管理服務(wù)器報(bào)告可用性、性能及其他度量數(shù)據(jù)。借助剛發(fā)布的HQ 4.0，Hyperic服務(wù)器可以配置成EC2中的亞馬遜機(jī)器映像。對(duì)IT管理員而言，這意味著部署簡(jiǎn)單、訂購費(fèi)較低、性能更高。Hyperic HQ的功能包括自動(dòng)發(fā)現(xiàn)軟件、診斷、報(bào)警、分析和報(bào)告以及其他工具。

有人認(rèn)為，對(duì)云應(yīng)用程序“眼不見心不煩”，這種態(tài)度大有問題。Soltero說：“有人認(rèn)為，因?yàn)槟阍谠浦胁渴鹆藨?yīng)用程序，所以根本不需要監(jiān)測(cè)和管理，這是云計(jì)算方面的天大謊言之一。代碼天生有缺陷，技術(shù)也會(huì)出問題，所以你需要監(jiān)測(cè)功能。”

Kaavo公司也專門從事多個(gè)云的管理。這家新興公司的平臺(tái)支持服務(wù)器監(jiān)測(cè)、云中的LAMP軟件配置、負(fù)荷管理、軟件審計(jì)、補(bǔ)丁管理、運(yùn)行時(shí)配置管理、通知及報(bào)警。它已推出按需基礎(chǔ)架構(gòu)和中間件（Infrastructure and Middleware On Demand）軟件的免費(fèi)測(cè)試版；很快會(huì)推出普通發(fā)行版。Kaavo的優(yōu)勢(shì)在于其管理團(tuán)隊(duì)：創(chuàng)辦人兼首席執(zhí)行官Jamal Mazhar是獲得Sun認(rèn)證的J2EE架構(gòu)師，首席技術(shù)官Shahzad Pervez以前在大公司擔(dān)任過IT主管和企業(yè)架構(gòu)師。

知名的系統(tǒng)管理軟件廠商也為云環(huán)境帶來了新的控制工具。IBM公司自主計(jì)算開發(fā)主管Dennis Quan表示，IBM的TIvoli部門計(jì)劃把云管理功能集成到服務(wù)請(qǐng)求管理器（Service Request Manager）、配置管理器（Provisioning Manager）和監(jiān)測(cè)（Monitoring）等產(chǎn)品線中。IBM還希望為客戶賦予更大的“控制權(quán)”，控制把數(shù)據(jù)放在云中的系統(tǒng)，從而提升客戶對(duì)云安全的信心，但Quan沒有透露IBM在這方面會(huì)如何做到。

微軟仍在開發(fā)解決云管理難題的方案。它在去年10月推出了Windows Azure操作系統(tǒng)及相關(guān)的Azure服務(wù)平臺(tái)，但沒有表明何時(shí)啟用Azure云服務(wù)，不過開發(fā)人員已可以使用開發(fā)工具和基本構(gòu)建模塊入手。微軟高級(jí)副總裁Bob Muglia在同一個(gè)月演示了代號(hào)為Atlanta的系統(tǒng)中心（System Center）企業(yè)管理平臺(tái)，該平臺(tái)將在微軟的云中運(yùn)行。

所有這些活動(dòng)表明，眾廠商在競(jìng)相為新興的云服務(wù)開發(fā)企業(yè)級(jí)控制工具。IT管理員面臨的難題是，在云服務(wù)采用突飛猛進(jìn)之前，將相關(guān)工具部署到位。

二、底層架構(gòu)：亞馬遜、谷歌和微軟平臺(tái)比較

人們很容易忽視云服務(wù)背后的技術(shù)，這是一個(gè)誤區(qū)。公司的技術(shù)人員必須確保云服務(wù)與本企業(yè)的基礎(chǔ)架構(gòu)相互集成。這就需要一種基礎(chǔ)架構(gòu)能夠結(jié)合兩者。

云計(jì)算的各部分與企業(yè)數(shù)據(jù)中心的各部分一樣，同樣包括諸多編程語言、操作系統(tǒng)、數(shù)據(jù)庫、Web服務(wù)器、協(xié)議和應(yīng)用編程接口（API）。關(guān)鍵就是確認(rèn)哪些云服務(wù)真正適合自己內(nèi)部的系統(tǒng)、應(yīng)用程序和專長技能。下面比較一下亞馬遜的彈性計(jì)算云、谷歌應(yīng)用引擎和Windows Azure三大服務(wù)，看看哪個(gè)更適合你。

亞馬遜的EC2為客戶提供了種類豐富的軟件選擇：Windows Server、OpenSolaris和七個(gè)Linux版本；MySQL、SQL Server和Oracle 11g數(shù)據(jù)庫；以及Java、JBoss和Ruby on Rails等開發(fā)環(huán)境。

谷歌的特長則在于簡(jiǎn)單易用。應(yīng)用引擎讓用戶可以利用谷歌的自主開發(fā)數(shù)據(jù)庫及其他基礎(chǔ)架構(gòu)軟件；可以通過API使用緩存、鏡像、郵件及其他應(yīng)用服務(wù)。Python是惟一得到支持的編程語言，不過谷歌打算在將來也支持其他編程語言。

Windows Azure和Azure服務(wù)平臺(tái)與微軟的內(nèi)部部署企業(yè)軟件系列其實(shí)一脈相承。Azure包括了托管版本的SQL Server、SharePoint、Dynamics CRM和.Net服務(wù)，用Visual Studio和.Net框架開發(fā)而成。微軟表示，Azure將支持開放協(xié)議（HTTP、REST、SOAP和XML）以及非微軟編程語言（Eclipse、Ruby、PHP和Python）。

如果IT人員要了解云體系結(jié)構(gòu)的概況，云服務(wù)提供商的網(wǎng)站上提供了許多詳細(xì)信息。亞馬遜有一份介紹云體系結(jié)構(gòu)的白皮書，想盡快補(bǔ)上一課的人不妨看一下。

你的設(shè)計(jì)藍(lán)圖應(yīng)當(dāng)考慮到云服務(wù)可能由多家廠商提供，所以要想好該如何確?；ゲ僮餍院蛻?yīng)用集成。云計(jì)算新興公司Elastra的高級(jí)軟件架構(gòu)師Stuart Charlton建議采用REST和Atom聯(lián)合格式（Atom SyndicaTIon Format）作為全球云體系架構(gòu)中的底層規(guī)范。他表示，聯(lián)合身份管理方面的標(biāo)準(zhǔn)也很重要。

IBM公司自主計(jì)算開發(fā)主管Dennis Quan表示，面向服務(wù)的架構(gòu)（SOA）已經(jīng)讓通過“符合標(biāo)準(zhǔn)的方式”連接云服務(wù)成為可能。下一步關(guān)鍵是把服務(wù)從一個(gè)云遷移到另一個(gè)云。Quan表示，完成這項(xiàng)功能的規(guī)范仍處在開發(fā)初期。

三、數(shù)據(jù)保護(hù)篇

重視安全

開發(fā)人員喜歡“云計(jì)算部署后不用去管”的功能；公司希望通過云計(jì)算降低基礎(chǔ)架構(gòu)成本；用戶則喜歡新的功能能夠更迅速地推出。

然而，負(fù)責(zé)信息安全的人員在為如何把應(yīng)用程序和數(shù)據(jù)安全地轉(zhuǎn)移到云中而撓頭。

IT界孜孜以求的一個(gè)目標(biāo)就是整合身份管理技術(shù)和流程；而云計(jì)算可能讓這個(gè)目標(biāo)晚十年才能實(shí)現(xiàn)。

許多公司可能會(huì)把目錄服務(wù)驗(yàn)證擴(kuò)展到內(nèi)部環(huán)境以外，以處理云中的應(yīng)用程序、甚至系統(tǒng)；但如果第三方系統(tǒng)的安全受到危及，這種做法會(huì)導(dǎo)致驗(yàn)證系統(tǒng)岌岌可危。公司也許可以實(shí)施一種新的解決方案，讓云基礎(chǔ)架構(gòu)管理與現(xiàn)有的基礎(chǔ)架構(gòu)管理相互獨(dú)立。但缺點(diǎn)是，必須集成多個(gè)身份和訪問管理系統(tǒng)。還有一種辦法是及時(shí)回去、單獨(dú)管理云，但這缺乏吸引力。

幸好，有些云服務(wù)提供商正在竭力解決這個(gè)問題。谷歌提供了這項(xiàng)功能：把Google Apps與目前實(shí)施的單點(diǎn)登錄技術(shù)結(jié)合起來，從而加強(qiáng)安全、簡(jiǎn)化管理。一家知名互聯(lián)網(wǎng)公司部署了邊緣驗(yàn)證服務(wù)器，讓云系統(tǒng)通過輕型目錄訪問協(xié)議（LDAP）進(jìn)行驗(yàn)證。另一家公司則擴(kuò)展了基于Web的驗(yàn)證協(xié)議，通過Web服務(wù)來進(jìn)行驗(yàn)證；驗(yàn)證通過，即可訪問其內(nèi)部的系統(tǒng)。

數(shù)據(jù)丟失與備份

數(shù)據(jù)存儲(chǔ)在哪里？誰可以訪問？數(shù)據(jù)安全嗎？這些都是重大問題，因?yàn)闆]有幾家云服務(wù)提供商在處理敏感數(shù)據(jù)方面證明一向很可靠，許多軟件即服務(wù)（SaaS）提供商除外。如果數(shù)據(jù)保存在共享存儲(chǔ)系統(tǒng)上，要料到可能面臨風(fēng)險(xiǎn)。其實(shí)，即使我們放在自己公司內(nèi)部的數(shù)據(jù)也面臨風(fēng)險(xiǎn)。需要把衡量?jī)?nèi)部數(shù)據(jù)效益與風(fēng)險(xiǎn)的同一套措施用于衡量云，然后確定哪些數(shù)據(jù)可以放到云上、并如何保護(hù)。這就需要知道及核實(shí)提供商采用的標(biāo)準(zhǔn)以及改動(dòng)標(biāo)準(zhǔn)的靈活性有多大。

企業(yè)使用亞馬遜的彈性計(jì)算云等服務(wù)時(shí)，可以在虛擬實(shí)例中運(yùn)行的操作系統(tǒng)、應(yīng)用程序或數(shù)據(jù)庫管理系統(tǒng)里面采用數(shù)據(jù)加密。其他服務(wù)（如應(yīng)用托管服務(wù)）提供商在開發(fā)應(yīng)用程序時(shí)需要更全面的考慮，確保已包括加密等安全措施。

不管自己的數(shù)據(jù)在哪里，公司都應(yīng)當(dāng)防范數(shù)據(jù)丟失。亞馬遜知道計(jì)算機(jī)會(huì)出故障，所以它勸告公司要借助冗余和備份措施作好防范故障的規(guī)劃。有些云服務(wù)提供商提供備份服務(wù)或者導(dǎo)出數(shù)據(jù)的方法，那樣公司可以自己備份數(shù)據(jù)，另一些提供商要求客戶使用自定義或第三方的應(yīng)用程序。

因此，我們不妨牢記下面這些關(guān)鍵因素：

——備份如何進(jìn)行？有些云服務(wù)提供商進(jìn)行備份，不過更有可能是你想自己進(jìn)行備份。亞馬遜EC2的許多客戶還使用亞馬遜的簡(jiǎn)單存儲(chǔ)服務(wù)（Simple Storage Service，S3）或彈性塊存儲(chǔ)（ElasTIc Block Storage）用于存儲(chǔ)備份文件。

——備份經(jīng)得住測(cè)試嗎？如果服務(wù)無法使用，你能訪問備份數(shù)據(jù)嗎？

——備份數(shù)據(jù)將放在哪里？它也許放在云存儲(chǔ)系統(tǒng)上、由提供商來托管，或者轉(zhuǎn)到你自己的基礎(chǔ)架構(gòu)。不管怎樣，你還是要知道備份數(shù)據(jù)在存儲(chǔ)和傳輸中，數(shù)據(jù)得到了怎樣的保護(hù)。

管理與監(jiān)測(cè)

許多公司的信息安全團(tuán)隊(duì)平時(shí)經(jīng)常監(jiān)測(cè)安全漏洞郵件列表、給系統(tǒng)打補(bǔ)丁、改寫代碼以解決缺陷。在云中，他們相信提供商事先至少對(duì)一些方面進(jìn)行了調(diào)查。很少有提供商讓客戶可以核實(shí)自己采取的安全做法，不過有些提供商變得更愿意配合。公司在使用Joyent或亞馬遜的EC3等云系統(tǒng)時(shí)，可以在操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用程序等層面采取安全措施，但他們?nèi)砸蕾嚫髯缘奶峁┥檀_保網(wǎng)絡(luò)、存儲(chǔ)和虛擬基礎(chǔ)架構(gòu)的安全性。

盡管云服務(wù)用戶并不控制實(shí)際的打補(bǔ)丁和漏洞監(jiān)測(cè)工作，但他們?nèi)杂胸?zé)任管理自己的風(fēng)險(xiǎn)。所以他們要評(píng)估哪些資產(chǎn)需要保護(hù)、如何防護(hù)這些資產(chǎn)，包括在云基礎(chǔ)架構(gòu)上添加安全措施。即使那樣，支付卡行業(yè)（PCI）標(biāo)準(zhǔn)等行業(yè)法規(guī)仍可能會(huì)讓人措手不及，因?yàn)镻CI委員會(huì)方面沒有明確規(guī)定如何對(duì)云服務(wù)提供商進(jìn)行分類。這可能意味著，不同審計(jì)人員對(duì)待云服務(wù)提供商的標(biāo)準(zhǔn)會(huì)略有不同。

云服務(wù)客戶必須要求保證自己可監(jiān)測(cè)誰在訪問自己的數(shù)據(jù)。如果公司要求提供詳細(xì)的審計(jì)跟蹤記錄，應(yīng)當(dāng)采用數(shù)據(jù)加密；或者只把所處理數(shù)據(jù)不是特別敏感的應(yīng)用程序交給云服務(wù)提供商。

這個(gè)方面可能會(huì)迅速得到改進(jìn)。谷歌近期表示，Google Apps的安全流程已通過了SAS 70 Type II審計(jì)標(biāo)準(zhǔn)。預(yù)計(jì)會(huì)聽到更多的提供商宣稱自己的安全標(biāo)準(zhǔn)，因?yàn)榘踩允菍?dǎo)致公司不敢把應(yīng)用程序轉(zhuǎn)移到云中的一大障礙因素。

當(dāng)然，內(nèi)部信息安全團(tuán)隊(duì)不應(yīng)該坐等提供商來加強(qiáng)安全。從桌面應(yīng)用程序到服務(wù)器托管的各個(gè)應(yīng)用領(lǐng)域，云計(jì)算都會(huì)變得越來越誘人。需要更高安全級(jí)別的應(yīng)用程序，比如與《健康保險(xiǎn)可攜性及責(zé)任性法案》（HIPAA）或PCI相關(guān)的應(yīng)用程序，可能在云中更難得到保證，因而放在公司內(nèi)部比較妥當(dāng)。社區(qū)應(yīng)用程序和內(nèi)容網(wǎng)站比較適合放在云中。公司的技術(shù)團(tuán)隊(duì)必須確定把什么數(shù)據(jù)放在云中不會(huì)有問題，但他們也要明白：云最終會(huì)是整個(gè)基礎(chǔ)架構(gòu)的一部分；還得要自己弄清楚如何把企業(yè)系統(tǒng)與云基礎(chǔ)架構(gòu)安全連接起來。