首頁>>>行業(yè)應用>>>電信     [相關廠商信息]

“云”災備提升業(yè)務可用性新解

倪蘭 張鵬 2011/02/21

對話嘉賓

  Q1:經(jīng)過一段時期的實踐,您如何看待電信運營商的“云”建設?

  曹魯:目前國內三大運營商對云計算中心建設很重視,并且已經(jīng)開始了初期的試點建設和測試。中國電信推出的“e云”存儲業(yè)務和中國移動的“大云”計劃都已經(jīng)在穩(wěn)步實施當中,聯(lián)通則從IDC整體解決方面入手,以建設虛擬化數(shù)據(jù)中心為建設云計算中心的切入點,從IaaS層面進入云計算的建設。根據(jù)運營商的特征,運營商對云的建設應該主要還是以IaaS和PaaS方向為主,并且由于運營商在業(yè)務規(guī)模、帶寬資源等方面具有“天然”優(yōu)勢,在軟件開發(fā)及運營方面則有一定的弱勢,所以,在云計算初期建設上,運營商會盡量以建設IaaS等平臺類為主,對SaaS層面的東西會涉及得較少。

  云計算技術的創(chuàng)新與發(fā)展,也是IT服務模式的創(chuàng)新與發(fā)展。對于電信運營商而言,云計算主要有三個方面的優(yōu)勢與價值。其一,云計算能提高各種設備的綜合穩(wěn)定性,實現(xiàn)綜合成本降低的預期。其二,云計算能使原來很多非流程化的工作通過系統(tǒng)平臺自動化實現(xiàn),實現(xiàn)高效管理與服務。其三,上層應用的統(tǒng)一接口,便于業(yè)務多樣化、個性化發(fā)展。

  陳旭毅:對于電信運營商來說,云計算在商業(yè)層面將給用戶提供一種新的體驗和業(yè)務模式,能實現(xiàn)標準化、自助式服務,快速服務交付和按使用付費;而在技術層面將給電信運營商帶來一種新的IT基礎架構管理方法,能將物理資源聚合成資源池,為應用使用提供虛擬化資源,實現(xiàn)彈性擴展、動態(tài)部署。

  舉例而言,目前“大云”在中國移動的強力推動下,承擔了天津市和武漢市“無線城市”建設中針對政府政務系統(tǒng)的云計算項目,同時還與新華社的搜索引擎進行了創(chuàng)新性的合作。大云平臺的應用能夠很好地解決目前無線城市中業(yè)務種類多、負載不均衡、業(yè)務動態(tài)變化快等問題,同時在內容采集、數(shù)據(jù)分析、日志處理以及系統(tǒng)可靠性方面有著優(yōu)異的表現(xiàn)。大云平臺不僅對無線城市業(yè)務全程托管,在未來還將完成對無線城市中視頻監(jiān)控業(yè)務的部署工作,也就是說,大云平臺將實現(xiàn)對無線城市中視頻監(jiān)控業(yè)務的遠程部署。

  李剛:商業(yè)理論中有一種說法:制定規(guī)則的人才是最后的贏家。對于電信運營商而言,優(yōu)勢不在于軟件開發(fā)、應用創(chuàng)新,而在于雄厚的數(shù)據(jù)中心儲備和豐富的產(chǎn)品運營經(jīng)驗。電信運營商作為一個平臺提供者可以制定平臺的標準,制定游戲規(guī)則,吸引更多的應用開發(fā)者。但是需要注意的是,運營商提供的平臺必須是開放的、標準的,只有這樣,才能充分調動開發(fā)者的積極性,給予他們創(chuàng)造無限可能的應用舞臺。

  云計算實際上是非常大的產(chǎn)業(yè)鏈,在這個產(chǎn)業(yè)鏈中電信運營商是抓整個產(chǎn)業(yè)鏈,還是只抓其中的某些環(huán)節(jié)呢?

  首先,技術上運營商應該把目前的通信平臺延展成為云計算平臺。在中國,只有電信企業(yè)有實力,并能有效率地完成這一巨大的平臺建設。目前,這一平臺最重要的是要形成完整的具有自主知識產(chǎn)權的服務框架,包括服務界面標準和服務流程標準;同時確保平臺的安全和可靠。

  此外,更重要的是,在業(yè)務模式上,電信運營商應該逐步樹立和強化自身IT運營商的角色,使更多的IT廠商轉向這一新的服務遞交渠道,同時使更多用戶轉向這一新的服務獲取渠道。

  以上兩項任務,都需要電信企業(yè)聯(lián)合產(chǎn)業(yè)鏈相關企業(yè)共同努力,這樣才能夠形成中國的云計算產(chǎn)業(yè)圈。

  Q2:業(yè)務可用性和安全是否仍是“云”基礎架構部署中運營商最為關注的重點?

  曹魯:云架構中,業(yè)務可用性和安全確實是運營商關注的兩個重點,因為這是最終客戶所關注的。然而事實上,在傳統(tǒng)架構中,可用性和安全性也同樣是客戶所關注的焦點。因此可以說,云計算并沒有增加這兩方面的困難,相反,在業(yè)務可用性和安全性兩個方面都有提升。業(yè)務可用性方面,虛擬化能使業(yè)務及應用平滑遷移,眾多開源的軟件使得客戶能根據(jù)自身需求進行定制開發(fā);安全性方面,云計算可設計相關流程防止大型的攻擊,并有相關的云安全措施防止用戶數(shù)據(jù)的丟失與被盜等。

  陳旭毅:可用性問題的實質是指云計算客戶要求的技術服務組件能否成功運作。服務的可用性和可靠性既是技術問題也是業(yè)務問題。在這個領域,運營商面臨的難點和挑戰(zhàn)包括如何在已有的投資預算范圍內最大限度地擴展云計算平臺的能力,如何在虛擬化環(huán)境下阻止和預防病毒和木馬入侵,如何在強調BI數(shù)據(jù)、業(yè)務分析的同時又保證關鍵用戶的計算和存儲需求。

  每個大型的數(shù)據(jù)中心一般有5000~10000臺全新機器,而每年數(shù)據(jù)中心都會出很多的問題,包括磁盤損壞、網(wǎng)絡中斷等,很多想象不到的問題都會在其中出現(xiàn),在這種情況下IT信息系統(tǒng)的基礎是不穩(wěn)固的。傳統(tǒng)技術是無法保障的,而云計算平臺所做的事是要建一個基礎,在沙地上把這個基石打出來,從而建立萬丈高樓。云計算平臺的理想,最終是要造出一個基于網(wǎng)絡可擴展的超級計算機,適應現(xiàn)在各種IT業(yè)務、IT系統(tǒng)用戶需求的快速變化。

  安全性問題當前仍然是運營商采用云計算技術的最大顧慮。首先,運營商擔心在云計算虛擬環(huán)境中缺乏對網(wǎng)絡的控制,而網(wǎng)絡是提供云存儲和云計算資源的基礎,因此,運營商會存有數(shù)據(jù)被盜竊甚至被篡改的擔憂。其次,安全性一般包括四大元素,即身份驗證、授權、訪問控制和審計。傳統(tǒng)的安全性設計是針對周邊安全性,用以拒絕外部非授權用戶的訪問,而在虛擬化環(huán)境中,虛擬IT服務不存在物理邊界。云基礎架構上的業(yè)務必須假設所有傳輸?shù)臄?shù)據(jù)都有潛在的被攔截風險,在系統(tǒng)取消了物理控制后,就必須依靠其他加固原理來限制對信息的訪問,加密成為了云服務安全性的關鍵性部分。最后,云存儲所面臨的問題尤其具有挑戰(zhàn),因為云存儲中數(shù)據(jù)必須以某種加密格式保存和獲取。一旦加密密鑰本身丟失或損壞,那么數(shù)據(jù)也將丟失或損壞。因此,云存儲和存儲安全性比普通的云安全性問題更加具有挑戰(zhàn)性。

  魏亮:云架構在對原有IT基礎環(huán)境形成挑戰(zhàn)的同時,也給予原有IT系統(tǒng)很多機遇。就現(xiàn)在看,多數(shù)運營企業(yè)研究云架構都是出于通過虛擬化提高資源利用率、降低能耗、減少投資的考慮,當前并沒有集中到為用戶提供云存儲、云安全、計算能力出租等服務上。當然不排除運營企業(yè)將來有這樣的考慮。當前大多數(shù)情況下運營商使用云計算還是想向用戶提供現(xiàn)有的電信服務。在提供原有電信服務時,毫無疑問業(yè)務可用性和安全是運營商考慮的關鍵點。在運營商使用云計算向用戶提供原有電信服務時,這里的云實際上是私有云,一般情況下較少涉及公有云所擔心的隱私泄露、數(shù)據(jù)安全等問題。個人認為“云”當前階段面臨的難點和挑戰(zhàn)應該來說不比原來多。

  Q3:“云”背景下,如何進行更好的業(yè)務可用性保障?

  陳旭毅:要保障業(yè)務可用性,電信運營商的IP網(wǎng)絡應該具有良好的擴展性,能夠為運營商的網(wǎng)絡提供流量分析、安全監(jiān)控和流量清洗服務。這就需要安全防護與流量清洗系統(tǒng)采用分布集中式結構,一臺控制器可以同時關聯(lián)并管理多臺收集器,這樣可根據(jù)網(wǎng)絡規(guī)模和流量變化進行平滑升級,只需要根據(jù)網(wǎng)絡流量變化增加收集器即可增加系統(tǒng)的處理能力。系統(tǒng)的控制器能夠對新增的收集器進行統(tǒng)一的管理,并可以在增加收集器時將原配置在其它收集器的路由器無縫移植到新增的收集器中以減少原有收集器的負載,原有的數(shù)據(jù)和結果并不會丟失。

  由于云時代的全球性,在病毒安全防護上,也應具備同樣廣闊的視野。在這方面,我們可以看看全球多家著名運營商的做法,一些安全廠商幫助他們在網(wǎng)絡內部部署ATLAS服務器,收集網(wǎng)絡內部各類安全事件,再結合FingerPrint(安全攻擊指紋特征)數(shù)據(jù)庫服務器,可以獲取針對運營商網(wǎng)絡新型病毒攻擊的第一手資料。對于運營商而言,這樣做的好處顯而易見:當網(wǎng)絡出現(xiàn)病毒的可能性增加時,運營商能夠通過掃描異常流量和特征行為,定位病毒并找到源頭進行控制。相比之下,傳統(tǒng)的流量分析產(chǎn)品只能在病毒流量達到一定程度的情況下才能夠發(fā)現(xiàn)病毒,而這時病毒已經(jīng)擴散出去了,并且如果無法定位到物理端口的話, 很難對已經(jīng)爆發(fā)的病毒實施精確和全 網(wǎng)關聯(lián)的控制。

  大客戶是運營商業(yè)務發(fā)展的核心重點,在云時代,這一點更需要被強化。因此,運營商需要對大客戶的流量格外關注,相關設備應該具備根據(jù)端口、地址、AS等條件定義用戶,并對用戶的全部流量進行關聯(lián)分析等功能。通過分析大型用戶的業(yè)務特點,運營商可以獲得重要用戶的應用特點和應用最多的IP的分析。而這些寶貴的數(shù)據(jù)將有助于運營商對內部業(yè)務的分析,通過掌握大用戶的信息,最終提高業(yè)務質量和核心競爭能力。目前市場上也有一些安全企業(yè)就是通過Management Portal(管理界面)模塊,為運營商的大客戶提供增值自助服務功能的。運營商的大客戶可以對自己的流量進行監(jiān)控,并自己配置監(jiān)控條件對其關心的內容進行分析。同時根據(jù)用戶的需求,可通過擴容BI產(chǎn)品實現(xiàn)增加系統(tǒng)用戶分析對象。

  李剛:對運營商而言,進行長遠網(wǎng)絡安全管理規(guī)劃的思路正變得愈加困難,相對而言進行近中期的網(wǎng)絡安全管理規(guī)劃更為務實和可操作。從近中期的大背景來看,各類融合,包括網(wǎng)絡融合、技術融合、業(yè)務融合等,其核心是“調整和優(yōu)化”,而在融合的過程中及融合后,傳統(tǒng)的安全問題依然存在,變化的可能是安全的重點,或者是安全重點的構成和方式。比如DDOS攻擊的攻擊源從傳統(tǒng)的設備擴展到各類智能終端,又比如準入控制的覆蓋要擴大到各類智能終端等。

  數(shù)據(jù)安全保護和管理方面,最大的挑戰(zhàn)是非結構化數(shù)據(jù)的安全,而新的Data Insight感知技術能夠改善這種情況,這種技術可以幫助了解某一數(shù)據(jù)是誰擁有的,以什么模式在使用,誰在使用,可以更好地保護和管理非結構化數(shù)據(jù)。

  企業(yè)將其業(yè)務和數(shù)據(jù)托管到運營商的“云”中之后,安全的可視化或者說合規(guī)性管理非常重要,這將增強客戶使用的信心。另一方面,IT架構往“云”上遷移將是一步步進行的,在相當長的一段時期里將是混合模式,一部分用“云”,一部分在本地。因此相應安全工具應具有兼容性,應是一種具連續(xù)性的工具。

  Q4:業(yè)界聲音,一部分認為在“云”環(huán)境下想要很好實現(xiàn)災備、災難恢復可能存在很大風險;同時另一部分也認為,“云”的出現(xiàn)為數(shù)據(jù)中心的容災備份提出了新的規(guī)劃思路和市場機遇。您如何看待?

  陳旭毅:傳統(tǒng)災備采用的模式一般是兩地三中心,在兩個地方分別建立生產(chǎn)中心、災備中心和異地的災備中心,這些災備中心在正常情況下是不使用的,只有在問題發(fā)生時會切換到備用資源上。但有了云計算服務模式,運營商可以把所謂的生產(chǎn)中心和災備中心之間的界限“云”化,就是說云計算時代沒有所謂明確劃分的災備中心,更多的時候是以共享的集中的處理資源池給整個運營商系統(tǒng)提供服務,而資源池的分布可以是分散的,這樣不僅能夠在云計算下滿足災備需求,而且還可以大大提升資源利用率。

  目前共享災備有兩種建設模式,一種是基于垂直性強的行業(yè)的縱向建設,比如交通、電力、能源等行業(yè);還有一種是針對某一區(qū)域的橫向部門的服務型共享災備,比如金融、電信、政府等。共享災備要同時為多個用戶提供服務,這些用戶可能跨省、跨區(qū)域,且鏈路帶寬要求也不相同,因此,跨廣域的多點對一點的災備網(wǎng)絡建設對于廠商的技術而言是很大的考驗。另外,共享災備模式中,由于各個用戶的IT系統(tǒng)各不相同,會帶來兼容性的問題,這就對廠商提出了很高的要求。

  在云技術框架下,另外的一種新興解決方案是云災備技術,該技術也可作為災難發(fā)生時確保業(yè)務連續(xù)性和數(shù)據(jù)可用性的一種手段。云災備技術目標是可以快速實現(xiàn)災備,降低災備系統(tǒng)的總體擁有成本,其三個關鍵技術包括:重復數(shù)據(jù)刪除技術、云存儲安全技術和操作系統(tǒng)虛擬化。前兩者解決數(shù)據(jù)級云災備中的效率和安全性問題,后者解決系統(tǒng)級云災備的靈活性問題。

  在云計算的技術背景下,涌現(xiàn)了不少基于“云”的災備解決方案,這些方案具有相當?shù)撵`活性、擴展性和快速性,但是對于新技術,也要著眼于實際業(yè)務需求,解決實際問題,這樣才能在享受云技術優(yōu)勢、拓展新的市場空間的同時,延續(xù)舊有系統(tǒng)的高可靠性。

  魏亮:這兩種聲音主要是來自兩種不同的考慮角度。從用戶角度看,實施云計算以后數(shù)據(jù)在“云”中,而當前由于云存儲實施在標準化之前,用戶無法衡量云存儲的提供者所提供服務的安全等級、內容如何分布、存儲地點如何選擇等,因此對云存儲的災備以及災難恢復存在疑慮,用戶不知道自己需要做什么,只能被動信任云存儲提供者。在云計算初期,確實存在因為云存儲提供者的問題而導致用戶數(shù)據(jù)丟失的現(xiàn)象。因此有些人認為云計算的環(huán)境下災備以及災難恢復存在風險。從另外一個角度來看,云存儲是可以在沒有國界之分的“云”中共享存儲能力,運營企業(yè)實際上能夠控制如何存儲數(shù)據(jù)、如何備份恢復,所以有些人認為云的出現(xiàn)為數(shù)據(jù)中心災難恢復和備份提供了新的思路和市場機遇。因此只要云計算/云存儲相關災備和恢復的標準制定了,用戶有手段來衡量云服務提供者所提供服務的安全等級,應該來說分歧會減少。

  李剛:無論是私有云還是公有云,如果將備份服務遷移到“云”上,運營商應該在四個方面重點加強。

  其一,由于數(shù)據(jù)在網(wǎng)絡上傳送,且數(shù)量較大,重復數(shù)據(jù)刪除技術就變得相當重要。其二是備份加密技術,因為在互聯(lián)網(wǎng)上傳送數(shù)據(jù)的安全性要有保障。其三是靈活性,原來的備份系統(tǒng)面對的企業(yè)規(guī)模比較小,而在“云”中存在各類客戶,接入的平臺和應用也都不同,靈活性在此時更加重要。最后,加強服務質量監(jiān)控。

  Q5:云計算增加了潛在數(shù)據(jù)暴露于非授權用戶的風險,在這一方面電信運營商需要如何著力?

  魏亮:運營商首先要參與并推動云計算相關標準的制定實施,使相關服務在提供時都有安全方面的分析、指導;其次運營商如果提供云計算服務,應該有一定的機制供用戶(至少是供第三方)來測試衡量或評估其所提供云服務的安全程度等級,必要情況下還需要能驗證災難備份及恢復等;第三運營企業(yè)還需要推動身份認證、訪問控制等相關技術的應用和創(chuàng)新等,并對用戶進行有必要的提示和培訓。

  陳旭毅:一般來說,云計算安全性可以通過嚴格的身份驗證(包括動態(tài)、靜態(tài)驗證)、授權和賬號管理,確保靜止和移動中數(shù)據(jù)的安全性:整合身份管理技術和流程,與單點登錄技術結合起來,讓云計算系統(tǒng)通過輕型目錄訪問協(xié)議(LDAP)進行驗證;在云計算框架下實現(xiàn)對服務資源的4A防護;擴展基于Web的驗證協(xié)議,通過Web服務來進行驗證;對在虛擬服務器中運行的操作系統(tǒng)、應用程序或數(shù)據(jù)庫管理系統(tǒng)采用數(shù)據(jù)加密;做好冗余和備份措施防范故障;保證數(shù)據(jù)在云存儲中被分解為散亂的狀態(tài),以確保數(shù)據(jù)安全。

  曹魯:即使沒有云計算,我們的安全性也同樣面臨著挑戰(zhàn),因為互聯(lián)網(wǎng)的無界性就已經(jīng)決定了這一點。云計算安全性其實是比我們普通的IT安全多了一層,那就是云計算平臺的安全。舉個簡單的例子,如果用戶將一臺服務器托管在我們的IDC機房,用戶要遠程訪問它,只要通過KVM工具遠程登錄訪問即可,這一手段的安全系數(shù)并不是很高;但是如果在云中心里用戶租用了一臺服務器,首先用戶得經(jīng)過云計算平臺的驗證,才能登錄到自己的服務器進行認證,相當于是增加了一道安全手續(xù)。當然,還有更多的安全措施可以在云中心部署實施,比如遠程指紋認證等等,因為云計算有了彈性的大容量的計算能力,所以這些是有可能實現(xiàn)的。
共 2 頁:1 2 

通信世界周刊


相關閱讀:
隱形云 一種新類型的云計算 2011-02-18
預測2011云計算:商業(yè)應用三大趨勢 2011-02-15
云計算下終端安全認證應用分析 2011-01-24
云計算占互聯(lián)網(wǎng)“高地” 多媒體應用借機全面開花 2011-01-24
2010年終盤底:中國電信的云端之路 2010-12-27

熱點專題:  云計算
分類信息:  云計算_與_電信