張釗榮 黃磊博 鄭 薇

（中國地質(zhì)科學(xué)院探礦工藝研究所，四川成都 611734）

0 引言

現(xiàn)階段，云計算日漸普及，傳統(tǒng)的IT 構(gòu)架已然無法達到當(dāng)前時代對企業(yè)信息建設(shè)的要求標(biāo)準(zhǔn)，各行業(yè)為在競爭激烈的信息時代中獲得長效發(fā)展，紛紛引入云計算技術(shù)，在此情況下，私有云應(yīng)運而生。私有云的構(gòu)建宗旨在于為個體提供差異化數(shù)據(jù)資源服務(wù)，故而需要對服務(wù)質(zhì)量、安全性以及數(shù)據(jù)提供做出有效控制[1]。企業(yè)應(yīng)具備相應(yīng)的基礎(chǔ)性設(shè)施，以此為基礎(chǔ)，能夠控制好應(yīng)用程序部署的手段。一般來說，企業(yè)可在內(nèi)部防火墻或主機存管處創(chuàng)建并部署私有云。通過市場調(diào)查不難發(fā)現(xiàn)，部分企業(yè)尚未明晰云技術(shù)對自身發(fā)展的意義，也沒能掌握云技術(shù)應(yīng)用要點，私有云構(gòu)建難以為繼。基于此，本文從多個方面針對私有云的建設(shè)與應(yīng)用展開了詳細討論。

1 私有云概述

私有云大多由企業(yè)抑或是第三方運營、管理及所有，其部署場所相對廣泛，涉及數(shù)據(jù)庫、防火墻等。使用者也能夠針對其他方面進行授權(quán)訪問。限制性和獨立性是私有云最為基礎(chǔ)和典型的特性，其所應(yīng)用的服務(wù)技術(shù)與公有云相差不大，故而能夠為終端用戶提供同樣服務(wù)。使用者能夠控制及掌握儲存、計算等全部資源，并獲得專項權(quán)限。后者將其看作“私有云托管”。在使用私有云時，相關(guān)用戶需按要求繳納許可費和基礎(chǔ)架構(gòu)費等。對于某些看中業(yè)務(wù)敏感功能、靈活性以及資源專享的用戶來說，這一選擇十分理想。私有云還可以為企業(yè)提供一定的機會，其付費功能在企業(yè)內(nèi)部同樣適用，管理者可利用該功能統(tǒng)計并收取內(nèi)部費用，進而在企業(yè)中進行成本分?jǐn)偅岣呓?jīng)濟效益的同時強化成本觀念。另外，私有云具備的另一優(yōu)點是可以在數(shù)據(jù)操作工作中應(yīng)用云計算存在的益處以及附加控制。管理私有云的人員，能夠針對全局視圖的基礎(chǔ)架構(gòu)進行訪問，同意使用人員針對自動化操作、應(yīng)用模塊以及基礎(chǔ)性設(shè)施進行監(jiān)控。例如按照實際使用需求進行虛擬機的自動調(diào)整，有關(guān)資源的應(yīng)用需要一目了然。

2 私有云整體建設(shè)的思路

2.1 整合物理資源

將應(yīng)用交付、網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲等資源與硬件物理設(shè)備進行資源整合，可使私有云更好地發(fā)揮其物理資源管理功能。

2.2 資源池虛擬化

虛擬是信息技術(shù)的代名詞，想要推進私有云建設(shè)，必須做好企業(yè)資源的虛擬化。有機整合物理及其他運行資源，以此構(gòu)成資源池，并在相關(guān)技術(shù)的作用下實現(xiàn)虛擬化，借此為私有云平臺提供一定承載能力。與此同時，網(wǎng)絡(luò)資源池在虛擬環(huán)境下能夠發(fā)揮業(yè)務(wù)活動方面的編排調(diào)度作用，而存儲池除具備日常資源存管功能外，還可以提供運行管理、運維管理等數(shù)據(jù)儲存池。

2.3 建設(shè)能力資源池

運維能力、安全能力以及運營能力3 個核心部分構(gòu)成了能力資源池。相應(yīng)管理者可借助運維能力從審計運維日志、報表運維、授權(quán)管理能力資源池、監(jiān)控資源、池內(nèi)拓撲管理、可視化流量管理、資源池安全故障自檢、告警管理、運維管理租戶等層面完成安全運維工作。而優(yōu)化升級相關(guān)應(yīng)用技術(shù)、保障運行安全則是安全能力的主要作用，具體包括審計、入侵監(jiān)管、Web 應(yīng)用及清洗流量等。從有關(guān)運營能力的描述中可以看出，確保運營穩(wěn)定是該部分的核心工作，具體包括了管理租戶以及租戶資源、安全定價、工單管理、支撐租戶相關(guān)自服門戶及對接原有賬戶等能力。

3 私有云整體建設(shè)關(guān)鍵技術(shù)

3.1 軟件定義安全

由軟件定義網(wǎng)絡(luò)（Software Defined Network）進一步引申為“安全定義”，借助虛擬相關(guān)技術(shù)抑或是資源集成管理功能，為使用者更加靈活地提供軟件定義的能力[2]。結(jié)合各業(yè)務(wù)的特性，軟件可按需發(fā)揮其安全定義作用，同時也可依據(jù)不同的防護來源重構(gòu)功能組合，以便使用者更好地操作應(yīng)用。

3.2 可視化與微隔離

結(jié)合微隔離相關(guān)定義可知，該技術(shù)可較好地適應(yīng)虛擬環(huán)境，且可對平臺內(nèi)數(shù)據(jù)起到監(jiān)管作用，常用于阻斷外部攻擊行為，在維持云環(huán)境穩(wěn)定方面有關(guān)鍵作用。隨著此項技術(shù)的不斷發(fā)展，衍生出可視化虛擬網(wǎng)絡(luò)技術(shù)，這一技術(shù)主要用于搜集業(yè)務(wù)及網(wǎng)絡(luò)流量所產(chǎn)生的信息，并實時傳輸給使用者，為其提供可視化服務(wù)。私有云與傳統(tǒng)IT 架構(gòu)相比，具有資源靈活共享的特征，正因如此，將傳統(tǒng)互聯(lián)網(wǎng)的信任邊界巧妙地破除了。業(yè)務(wù)內(nèi)部各虛擬機間、業(yè)務(wù)和業(yè)務(wù)間均難以在常規(guī)隔離手段下達到預(yù)期隔離目標(biāo)。現(xiàn)階段處理公有云的方案中，使用Agent 代理形式是實現(xiàn)監(jiān)控及隔離云主機的一種重要手段，此類手段在私有云之中一樣適用，利用Agent 進行采集，云管理平臺能夠應(yīng)用業(yè)務(wù)不同的虛擬機數(shù)據(jù)，不僅有利于可視化管理云資產(chǎn)，還能夠借用該技術(shù)強化使用者對資產(chǎn)數(shù)據(jù)的管控力。管理私有云的平臺能夠借助提供安全能力的主機、虛擬機內(nèi)部Agent 抑或是微隔離組件，為使用者提供更加強大的安全管控能力以及安全分析能力[3]。另外，Agent 針對主機行為相關(guān)的審計事件進行了詳細記錄，如業(yè)務(wù)虛擬機審計、虛擬主機的安全事件等。同時將此類數(shù)據(jù)發(fā)送至私有云管理平臺，開始啟動日志數(shù)據(jù)的集成化處理和深層次分析功能，對所接收的信息資源進行全方位分析，能夠為使用者提供安全問題追蹤功能以及安全風(fēng)險評估功能。

3.3 虛擬化安全功能

可在各軟硬件設(shè)備通用平臺實施虛擬處理操作，將僅服務(wù)于專用設(shè)備的安全功能作為操作目標(biāo)，以此來降低安全功能對平臺的附屬性和依賴性，同時可實現(xiàn)部署效率及質(zhì)量的雙重提升。需注意的是，嚴(yán)格執(zhí)行運維成本的全面規(guī)劃工作，以期進一步提高安全能力以及網(wǎng)絡(luò)的運維能力、一體化運營能力，提高安全能力整體適配程度。

3.4 資源安全技術(shù)

該技術(shù)的作用對象為各類虛擬機，具體包括漏洞掃描、堡壘機、WAF、專項網(wǎng)、核查配置、入侵防護系統(tǒng)、審計日志、審計數(shù)據(jù)庫、防火墻等內(nèi)容[4]。部署資源池化安全能力可從虛擬網(wǎng)絡(luò)入手，利用該功能來整合傳統(tǒng)網(wǎng)絡(luò)的風(fēng)險監(jiān)測及防護功能，構(gòu)成真正的資源池化安全能力，具備隨時隨地按實際需要擴容、高可靠性池化級、隨時實例化等特征。

3.5 組件編排

在資源池化的前提下，綜合使用其自身的服務(wù)編排及Overlay 等技術(shù)，進一步實現(xiàn)按照實際需要組裝、編排及實時維管與安全能力相關(guān)的組件。在智能編排技術(shù)的支持下，私有云用戶能夠根據(jù)個人實際狀況決定業(yè)務(wù)內(nèi)容，按照實際需求使用安全防護有關(guān)技術(shù)棧。針對安全防護能力，用戶同樣可依據(jù)個體現(xiàn)實情況來進行購入和編排。若運維管理者切實需要借助安全防護能力，則僅通過申請、部署及編排相關(guān)資源便能夠使私有云管理平臺中運營組件展開自動化運作。此時，相應(yīng)的NFV 便會以時間先后為依據(jù)開始自動運作，對相關(guān)業(yè)務(wù)進行流量編排，實時更新使用者日志及統(tǒng)一數(shù)據(jù)源，通過完整的信息搜集來完成編排任務(wù)，確保該項工作更具嚴(yán)謹(jǐn)性，使用者可以根據(jù)個人網(wǎng)絡(luò)及安全業(yè)務(wù)進行靈活定義。

3.6 安全業(yè)務(wù)聯(lián)動

在網(wǎng)絡(luò)監(jiān)控虛擬化技術(shù)、虛擬資源、可視化技術(shù)以及微隔離技術(shù)的基礎(chǔ)上，平臺不僅支持運維監(jiān)控，同時還能夠在數(shù)據(jù)采集基礎(chǔ)上，借助安全能力和相關(guān)組件來完成日志和流量信息的收集，并開展對應(yīng)編排。通過集成管理及調(diào)度，可實現(xiàn)業(yè)務(wù)聯(lián)動，同時生成安全監(jiān)管檔案。在安全業(yè)務(wù)聯(lián)動的基礎(chǔ)上，建立安全系統(tǒng)的一個體系化工程，從網(wǎng)絡(luò)的安全處置層面、安全檢測層面、數(shù)據(jù)監(jiān)控層面以及網(wǎng)絡(luò)隔離層面均展開了有效整合，進而構(gòu)成更加高效的防護系統(tǒng)。

4 提高私有云應(yīng)用效果的具體措施

4.1 提高應(yīng)用安全性

保障私有云使用者個人信息安全是現(xiàn)階段建設(shè)云平臺的關(guān)鍵所在。私有云平臺建設(shè)是在互聯(lián)網(wǎng)基礎(chǔ)上展開的，現(xiàn)階段網(wǎng)絡(luò)信息技術(shù)發(fā)展速度如此之快也給諸多網(wǎng)絡(luò)用戶帶來了一定的安全問題，個人信息整體私密性不夠好，盡管私有云平臺給使用者個人信息安全帶來了保障，但互聯(lián)網(wǎng)內(nèi)部不法分子層出不窮，不法分子可能會盜取使用者個人信息，以此謀取不合法利益。畢竟使用者個人信息十分重要，一旦發(fā)生信息泄露事件，必然會給使用者帶來難以挽回的損失[5]。不僅如此，也會降低使用者對私有云的信任程度。另外，私有云還存儲著對企業(yè)穩(wěn)定運作有重大意義的數(shù)據(jù)資源，如若發(fā)生病毒入侵事件，則企業(yè)極可能因數(shù)據(jù)丟失或代碼紊亂而遭受經(jīng)濟、聲譽雙重重創(chuàng)，其所面臨的風(fēng)險也會大大增加。從私有云管理者角度考慮，需要加強重視保障私有云平臺整體安全。比如，定期展開安全性檢測，定期更新私有云平臺相關(guān)系統(tǒng)等。除此以外，私有云管理平臺需要持續(xù)更新平臺的服務(wù)系統(tǒng)，逐漸構(gòu)建并完善私有云平臺建設(shè)，進而保障使用者信息安全，利于私有云長期穩(wěn)定發(fā)展。

4.2 培養(yǎng)高素質(zhì)專業(yè)人才

在建設(shè)私有云平臺的過程中，專業(yè)性較強的技術(shù)人才占據(jù)著十分重要的地位。眾所周知，“人”乃立業(yè)之本，“人才”是企業(yè)運營的基石，任何工作的開展均無法離開專業(yè)人才。專業(yè)人才是企業(yè)發(fā)展的命脈[6]。除此之外，技術(shù)專業(yè)人才不可或缺，在建設(shè)私有云平臺的過程中，若想保障私有云整體的安全性能，必須安排技術(shù)專業(yè)人才對私有云展開維護，對使用者個人信息安全展開維護。不僅如此，技術(shù)專業(yè)人才大多數(shù)情況下是素質(zhì)較高的人才，不僅能夠?qū)λ接性破脚_進行專業(yè)性的維護，而且能夠盡心盡力地維護使用者個人信息安全。例如，在行業(yè)競爭日趨激烈的環(huán)境下，利益誘惑事件時常發(fā)生，對手為鞏固自身地位往往會利用物質(zhì)或非經(jīng)濟利益誘惑負責(zé)私有云管理的相關(guān)人員，部分工作者因貪圖利益向其提供企業(yè)內(nèi)部核心機密以及客戶信息等。不過大部分技術(shù)專業(yè)人才均經(jīng)過嚴(yán)格的培訓(xùn)工作，其職業(yè)素養(yǎng)相對較高，且具備企業(yè)精神，能夠主動維護自身和企業(yè)的權(quán)益，并不會在外界高利益驅(qū)使下改變原則，亦不可能損害企業(yè)形象或使其處于危機困境中。另外，高素質(zhì)人員除業(yè)務(wù)能力出眾外，其對自身也有著較高要求，諸多人才均嚴(yán)于律己、盡職盡責(zé)，對企業(yè)存在非常高的忠誠度。故而，構(gòu)建私有云平臺的過程中應(yīng)用素質(zhì)較高的專業(yè)技術(shù)人才是十分重要且必要的。

4.3 保持創(chuàng)新理念

盡人皆知，持續(xù)進步的前提是變革，企業(yè)若想在時代更迭中穩(wěn)住腳跟，唯有將創(chuàng)新落實于私有云的創(chuàng)建及運維全過程，確保該平臺能與時俱進，在當(dāng)下及未來發(fā)展中更好地服務(wù)于企業(yè)[7]。私有云管理平臺能夠定期展開創(chuàng)新優(yōu)化，進一步提升其市場競爭能力，對優(yōu)化私有云平臺、保障行業(yè)穩(wěn)定發(fā)展十分有利。除此以外，隨著新時代的到來，設(shè)計理念逐漸變得重要。吸引使用者的關(guān)鍵在于設(shè)計理念，故而設(shè)計理念創(chuàng)新在建設(shè)私有云平臺中占據(jù)著重要地位。建設(shè)私有云平臺是依據(jù)云計算推出的，過往私有云平臺所具備的內(nèi)容模式均難以滿足不同客戶的實際需求，私有云平臺建設(shè)需與行業(yè)發(fā)展獨特因素相結(jié)合。例如，企業(yè)可按照當(dāng)前大眾想要的生活模式創(chuàng)建私有云，能夠以此為基礎(chǔ)著手主題建設(shè)，根據(jù)使用者需求播報某些綠色環(huán)保類型的新聞、講解可持續(xù)發(fā)展這一環(huán)保理念等，均存在較高的可行性。

5 結(jié)語

建設(shè)私有云平臺需要不同方面的保護及支持，只依靠有關(guān)工作者是遠遠不夠的。本文在概述私有云的基礎(chǔ)上，分析了私有云整體建設(shè)的思路，如資源池虛擬化、建設(shè)能力資源池等。不僅如此，對私有云整體建設(shè)關(guān)鍵技術(shù)也展開了細致分析，關(guān)鍵技術(shù)包括了軟件定義安全、微隔離與可視化虛擬網(wǎng)絡(luò)、虛擬化安全功能、資源池化安全能力、組件編排以及安全業(yè)務(wù)聯(lián)動等，進而提出提高私有云應(yīng)用效果的具體措施，以供行業(yè)參考。