目录
一、云计算架构概述
1.1 概述
二、云计算功能架构
2.1云计算架构中的角色划分
2.2 功能架构的划分
2.2.1 功能架构图
2.2.2 架构内容说明
2.2.2.1 服务
2.2.2.2 管理
三、云计算层次结构
3.1 显示层
3.2 中间层
3.3 基础设施层
3.4 管理层
四、云计算测评基准库
4.1 云计算测评基准库概述
4.2 云计算测评对象图
五、云计算共同关注点
5.1 共同关注点模型
5.2 共同关注点内容
一、云计算架构概述
1.1 概述
NIST和云安全联盟都提出了云计算的参考架构。其共同点是对云计算架构进行分层,从云服务、云管理和云安全等三个方面规定了云计算的整体架构。
二、云计算功能架构
2.1云计算架构中的角色划分
NIST定义的云计算架构如下图所示,它包括云服务提供者、云服务审计者、云服务攻击者和云用户四种角色。其中云服务提供者的主要任务包括云服务编排、云服务管理和云安全服务与隐私保护。
2.2 功能架构的划分
2.2.1 功能架构图
云计算功能架构分为服务和管理两大部分,如下图所示。
2.2.2 架构内容说明
2.2.2.1 服务
在服务方面,主要向用户提供基于云的各种服务,共包含三种模式:SaaS、PaaS和IaaS。其中,SaaS层的作用是将应用主要基于Web的方式提供给用户;PaaS层的作用是将一个应用的开发和部署平台作为服务提供给用户;IaaS层的作用是将各种底层的计算(如虚拟机)和存储等资源作为服务提供给用户。由于这三种服务模式提供的服务是完全不同的,而且面对的用户需求也不尽相同,所以它们之间是独立的关系。但从技术角度上,它们之间也有一定的依赖关系,比如,一个SaaS层的产品和服务不仅需要使用SaaS层本身的技术,而且还可能依赖PaaS层所提供的开发和部署平台或者直接部署于IaaS层所提供的计算资源上。
2.2.2.2 管理
在管理方面,主要提供云相关的管理功能,以确保整个云计算中心能够安全、稳定地运行,并且能够被有效地管理。
三、云计算层次结构
云计算架构按照分层方式,包括显示层、中间层、基础设施层和管理层。
3.1 显示层
云计算架构的显示层主要是以友好的界面展现用户所需的内容和服务体验,并会用到中间层提供的多种服务。
- JavaScript:一种用于Web页面的动态语言,通过JavaScript,能够极大地丰富Web页面的功能,并且用以JavaScript为基础的AJAX创建更具交互性的动态页面。
- HTML:标准的Web页面技术,HTML4、HTML5是其主要的实现技术之一。
- CSS:主要用于控制Web页面的外观,而且能使页面内容与其表现形式之间进行分离。
- Flash:最常用的RIA(Rich Internet Applications)技术,能够提供HTML等技术所无法提供的基于Web的富应用,而且在用户体验方面非常不错。
3.2 中间层
该层是承上启下的,它在下面的基础设施层所提供资源的基础上提供了多种服务,比如缓存服务和REST服务等,而且这些服务既可用于支撑显示层,也可以直接让用户调用。
- 多租户:就是能让一个单独的应用实例为多个组织服务,而且保持良好的隔离性和安全性,通过这种技术能有效降低应用的购置和维护成本。
- 分布式缓存:通过分布式缓存技术不仅能有效降低对后台服务器的压力,而且还能加快相应的反应速度。
- 并行处理:为了处理海量的数据,需要利用庞大的计算资源集群进行规模巨大的并行处理。
- 应用服务器:在原有应用服务器的基础上为云计算做了一定程度的优化。
- REST:通过REST技术能够非常方便和优雅地将中间层所支撑的部分服务提供给调用者。
3.3 基础设施层
该层的作用是为上面的中间层或者用户准备其所需的计算和存储等资源。
- 虚拟化:可以理解为基础设施层的“多租户”,因为通过虚拟化技术,能够在一个物理服务器上生成多个虚拟机,并且能在这些虚拟机之间实现全面的隔离,这样不仅能降低服务器的购置成本,而且还能降低服务器的运维成本。
- 分布式存储:为了承载海量的数据,同时保证这些数据的可管理性,就需要一整套分布式的存储系统。
- 关系型数据库:基本是在原有关系型数据库的基础上做了扩展和管理等方面的优化,使其在云中更适应。
- NoSQL:满足一些关系型数据库所无法满足的目标。
3.4 管理层
该层是为另外三层服务的,并给这三层提供管理和维护等方面的多种技术。
- 账号管理:通过良好的账号管理技术,能够在安全的条件下方便用户登录,并方便管理员对账号的管理。
- SLA监控:对各层运行的虚拟机、服务和应用等进行性能方面的监控,以使它们都能在满足预先设定的SLA(Service Level Agreement)的情况下运行。
- 计费管理:也就是对每个用户所消耗的资源等进行统计,以便准确地向用户收取费用。
- 安全管理:对数据、应用和账号等IT资源采取全面保护,使其免受犯罪分子和恶意程序的侵害。
- 负载均衡:通过将流量分发给一个应用或者服务的多个实例来应对突发情况。
- 运维管理:主要是使运维操作尽可能专业和自动化,从而降低云计算中心的运维成本。
四、云计算测评基准库
4.1 云计算测评基准库概述
随着云计算产业规模的迅速扩大,各类云计算产品、解决方案和服务层出不穷。为了解决云服务提供者和客户所面临的如何评价云解决方案是否满足客户需求、如何提供满足质量要求的云服务、如何合规有效地建设云和使用云等问题,需以GB/T 32399—2015《信息技术 云计算参考架构》为基础,构建统一的云测评基准库。
4.2 云计算测评对象图
云计算测评基准库具体包含资源池、云解决方案和云服务,如下图所示。
在云解决方案测评方面,针对各类IaaS、PaaS、Saas的公有云、社区云、私有云和混合云解决方案,建立云计算解决方案测评体系,包含资源层、服务层、运营系统支撑层、业务系统支撑层、安全层等九个方面。
对云服务测评方面,ISO/IEC 17789中针对各类IaaS、PaaS、SaaS的公有云、社区云、私有云和混合云解决方案,建立云服务测评体系,包含云服务业务管理者、云服务运营管理者等8个子角色和互操作性、可移植性等6个共同关注点。
五、云计算共同关注点
云计算的共同关注点包含架构层面和运营层面的考虑。共同关注点在多个角色(云服务用户、云服务提供者、云服务合作者)、活动和组件中共享。
5.1 共同关注点模型
为了支持一个共同关注点,需要在不同角色和同一角色的不同活动之间进行协调。支持共同关注点还需要支持云计算活动、技术能力和实现的组件。云计算架构共同关注点模型如下图所示。
5.2 共同关注点内容
共同关注点主要从互操作性、可移植性、隐私、健壮性、可复原性、治理6个方面开展。
- 互操作性涉及的工作内容主要是在云服务提供过程中遵循相关的接口标准或规范。
- 可移植性涉及的工作内容主要是确保在云服务提供过程中,云间数据和应用在云间和云内是可移植的。
- 隐私涉及的工作内容主要是在云服务提供过程中能确保个人身份信息受到保护。
- 健壮性涉及的工作内容主要是系统在面对影响正常运转的故障时提供和维持一种可接受的服务水平。
- 可复原性涉及的工作内容主要是确保云用户停止使用服务后,所有云用户的数据被删除。
- 治理涉及的工作内容主要是提供内部和外部治理能力。
好了,本次内容就分享到这,欢迎大家关注《云计算安全》专栏,后续会继续输出相关内容文章。如果有帮助到大家,欢迎大家点赞+关注+收藏,有疑问也欢迎大家评论留言!