私有云的建设与应用

张钊荣 黄磊博 郑 薇

（中国地质科学院探矿工艺研究所，四川成都 611734）

0 引言

现阶段，云计算日渐普及，传统的IT 构架已然无法达到当前时代对企业信息建设的要求标准，各行业为在竞争激烈的信息时代中获得长效发展，纷纷引入云计算技术，在此情况下，私有云应运而生。私有云的构建宗旨在于为个体提供差异化数据资源服务，故而需要对服务质量、安全性以及数据提供做出有效控制[1]。企业应具备相应的基础性设施，以此为基础，能够控制好应用程序部署的手段。一般来说，企业可在内部防火墙或主机存管处创建并部署私有云。通过市场调查不难发现，部分企业尚未明晰云技术对自身发展的意义，也没能掌握云技术应用要点，私有云构建难以为继。基于此，本文从多个方面针对私有云的建设与应用展开了详细讨论。

1 私有云概述

私有云大多由企业抑或是第三方运营、管理及所有，其部署场所相对广泛，涉及数据库、防火墙等。使用者也能够针对其他方面进行授权访问。限制性和独立性是私有云最为基础和典型的特性，其所应用的服务技术与公有云相差不大，故而能够为终端用户提供同样服务。使用者能够控制及掌握储存、计算等全部资源，并获得专项权限。后者将其看作“私有云托管”。在使用私有云时，相关用户需按要求缴纳许可费和基础架构费等。对于某些看中业务敏感功能、灵活性以及资源专享的用户来说，这一选择十分理想。私有云还可以为企业提供一定的机会，其付费功能在企业内部同样适用，管理者可利用该功能统计并收取内部费用，进而在企业中进行成本分摊，提高经济效益的同时强化成本观念。另外，私有云具备的另一优点是可以在数据操作工作中应用云计算存在的益处以及附加控制。管理私有云的人员，能够针对全局视图的基础架构进行访问，同意使用人员针对自动化操作、应用模块以及基础性设施进行监控。例如按照实际使用需求进行虚拟机的自动调整，有关资源的应用需要一目了然。

2 私有云整体建设的思路

2.1 整合物理资源

将应用交付、网络设备、服务器、存储等资源与硬件物理设备进行资源整合，可使私有云更好地发挥其物理资源管理功能。

2.2 资源池虚拟化

虚拟是信息技术的代名词，想要推进私有云建设，必须做好企业资源的虚拟化。有机整合物理及其他运行资源，以此构成资源池，并在相关技术的作用下实现虚拟化，借此为私有云平台提供一定承载能力。与此同时，网络资源池在虚拟环境下能够发挥业务活动方面的编排调度作用，而存储池除具备日常资源存管功能外，还可以提供运行管理、运维管理等数据储存池。

2.3 建设能力资源池

运维能力、安全能力以及运营能力3 个核心部分构成了能力资源池。相应管理者可借助运维能力从审计运维日志、报表运维、授权管理能力资源池、监控资源、池内拓扑管理、可视化流量管理、资源池安全故障自检、告警管理、运维管理租户等层面完成安全运维工作。而优化升级相关应用技术、保障运行安全则是安全能力的主要作用，具体包括审计、入侵监管、Web 应用及清洗流量等。从有关运营能力的描述中可以看出，确保运营稳定是该部分的核心工作，具体包括了管理租户以及租户资源、安全定价、工单管理、支撑租户相关自服门户及对接原有账户等能力。

3 私有云整体建设关键技术

3.1 软件定义安全

由软件定义网络（Software Defined Network）进一步引申为“安全定义”，借助虚拟相关技术抑或是资源集成管理功能，为使用者更加灵活地提供软件定义的能力[2]。结合各业务的特性，软件可按需发挥其安全定义作用，同时也可依据不同的防护来源重构功能组合，以便使用者更好地操作应用。

3.2 可视化与微隔离

结合微隔离相关定义可知，该技术可较好地适应虚拟环境，且可对平台内数据起到监管作用，常用于阻断外部攻击行为，在维持云环境稳定方面有关键作用。随着此项技术的不断发展，衍生出可视化虚拟网络技术，这一技术主要用于搜集业务及网络流量所产生的信息，并实时传输给使用者，为其提供可视化服务。私有云与传统IT 架构相比，具有资源灵活共享的特征，正因如此，将传统互联网的信任边界巧妙地破除了。业务内部各虚拟机间、业务和业务间均难以在常规隔离手段下达到预期隔离目标。现阶段处理公有云的方案中，使用Agent 代理形式是实现监控及隔离云主机的一种重要手段，此类手段在私有云之中一样适用，利用Agent 进行采集，云管理平台能够应用业务不同的虚拟机数据，不仅有利于可视化管理云资产，还能够借用该技术强化使用者对资产数据的管控力。管理私有云的平台能够借助提供安全能力的主机、虚拟机内部Agent 抑或是微隔离组件，为使用者提供更加强大的安全管控能力以及安全分析能力[3]。另外，Agent 针对主机行为相关的审计事件进行了详细记录，如业务虚拟机审计、虚拟主机的安全事件等。同时将此类数据发送至私有云管理平台，开始启动日志数据的集成化处理和深层次分析功能，对所接收的信息资源进行全方位分析，能够为使用者提供安全问题追踪功能以及安全风险评估功能。

3.3 虚拟化安全功能

可在各软硬件设备通用平台实施虚拟处理操作，将仅服务于专用设备的安全功能作为操作目标，以此来降低安全功能对平台的附属性和依赖性，同时可实现部署效率及质量的双重提升。需注意的是，严格执行运维成本的全面规划工作，以期进一步提高安全能力以及网络的运维能力、一体化运营能力，提高安全能力整体适配程度。

3.4 资源安全技术

该技术的作用对象为各类虚拟机，具体包括漏洞扫描、堡垒机、WAF、专项网、核查配置、入侵防护系统、审计日志、审计数据库、防火墙等内容[4]。部署资源池化安全能力可从虚拟网络入手，利用该功能来整合传统网络的风险监测及防护功能，构成真正的资源池化安全能力，具备随时随地按实际需要扩容、高可靠性池化级、随时实例化等特征。

3.5 组件编排

在资源池化的前提下，综合使用其自身的服务编排及Overlay 等技术，进一步实现按照实际需要组装、编排及实时维管与安全能力相关的组件。在智能编排技术的支持下，私有云用户能够根据个人实际状况决定业务内容，按照实际需求使用安全防护有关技术栈。针对安全防护能力，用户同样可依据个体现实情况来进行购入和编排。若运维管理者切实需要借助安全防护能力，则仅通过申请、部署及编排相关资源便能够使私有云管理平台中运营组件展开自动化运作。此时，相应的NFV 便会以时间先后为依据开始自动运作，对相关业务进行流量编排，实时更新使用者日志及统一数据源，通过完整的信息搜集来完成编排任务，确保该项工作更具严谨性，使用者可以根据个人网络及安全业务进行灵活定义。

3.6 安全业务联动

在网络监控虚拟化技术、虚拟资源、可视化技术以及微隔离技术的基础上，平台不仅支持运维监控，同时还能够在数据采集基础上，借助安全能力和相关组件来完成日志和流量信息的收集，并开展对应编排。通过集成管理及调度，可实现业务联动，同时生成安全监管档案。在安全业务联动的基础上，建立安全系统的一个体系化工程，从网络的安全处置层面、安全检测层面、数据监控层面以及网络隔离层面均展开了有效整合，进而构成更加高效的防护系统。

4 提高私有云应用效果的具体措施

4.1 提高应用安全性

保障私有云使用者个人信息安全是现阶段建设云平台的关键所在。私有云平台建设是在互联网基础上展开的，现阶段网络信息技术发展速度如此之快也给诸多网络用户带来了一定的安全问题，个人信息整体私密性不够好，尽管私有云平台给使用者个人信息安全带来了保障，但互联网内部不法分子层出不穷，不法分子可能会盗取使用者个人信息，以此谋取不合法利益。毕竟使用者个人信息十分重要，一旦发生信息泄露事件，必然会给使用者带来难以挽回的损失[5]。不仅如此，也会降低使用者对私有云的信任程度。另外，私有云还存储着对企业稳定运作有重大意义的数据资源，如若发生病毒入侵事件，则企业极可能因数据丢失或代码紊乱而遭受经济、声誉双重重创，其所面临的风险也会大大增加。从私有云管理者角度考虑，需要加强重视保障私有云平台整体安全。比如，定期展开安全性检测，定期更新私有云平台相关系统等。除此以外，私有云管理平台需要持续更新平台的服务系统，逐渐构建并完善私有云平台建设，进而保障使用者信息安全，利于私有云长期稳定发展。

4.2 培养高素质专业人才

在建设私有云平台的过程中，专业性较强的技术人才占据着十分重要的地位。众所周知，“人”乃立业之本，“人才”是企业运营的基石，任何工作的开展均无法离开专业人才。专业人才是企业发展的命脉[6]。除此之外，技术专业人才不可或缺，在建设私有云平台的过程中，若想保障私有云整体的安全性能，必须安排技术专业人才对私有云展开维护，对使用者个人信息安全展开维护。不仅如此，技术专业人才大多数情况下是素质较高的人才，不仅能够对私有云平台进行专业性的维护，而且能够尽心尽力地维护使用者个人信息安全。例如，在行业竞争日趋激烈的环境下，利益诱惑事件时常发生，对手为巩固自身地位往往会利用物质或非经济利益诱惑负责私有云管理的相关人员，部分工作者因贪图利益向其提供企业内部核心机密以及客户信息等。不过大部分技术专业人才均经过严格的培训工作，其职业素养相对较高，且具备企业精神，能够主动维护自身和企业的权益，并不会在外界高利益驱使下改变原则，亦不可能损害企业形象或使其处于危机困境中。另外，高素质人员除业务能力出众外，其对自身也有着较高要求，诸多人才均严于律己、尽职尽责，对企业存在非常高的忠诚度。故而，构建私有云平台的过程中应用素质较高的专业技术人才是十分重要且必要的。

4.3 保持创新理念

尽人皆知，持续进步的前提是变革，企业若想在时代更迭中稳住脚跟，唯有将创新落实于私有云的创建及运维全过程，确保该平台能与时俱进，在当下及未来发展中更好地服务于企业[7]。私有云管理平台能够定期展开创新优化，进一步提升其市场竞争能力，对优化私有云平台、保障行业稳定发展十分有利。除此以外，随着新时代的到来，设计理念逐渐变得重要。吸引使用者的关键在于设计理念，故而设计理念创新在建设私有云平台中占据着重要地位。建设私有云平台是依据云计算推出的，过往私有云平台所具备的内容模式均难以满足不同客户的实际需求，私有云平台建设需与行业发展独特因素相结合。例如，企业可按照当前大众想要的生活模式创建私有云，能够以此为基础着手主题建设，根据使用者需求播报某些绿色环保类型的新闻、讲解可持续发展这一环保理念等，均存在较高的可行性。

5 结语

建设私有云平台需要不同方面的保护及支持，只依靠有关工作者是远远不够的。本文在概述私有云的基础上，分析了私有云整体建设的思路，如资源池虚拟化、建设能力资源池等。不仅如此，对私有云整体建设关键技术也展开了细致分析，关键技术包括了软件定义安全、微隔离与可视化虚拟网络、虚拟化安全功能、资源池化安全能力、组件编排以及安全业务联动等，进而提出提高私有云应用效果的具体措施，以供行业参考。