2011年9月13日 星期二

如何建構企業專屬的雲端運算平台

如何建構企業專屬的雲端運算平台
                
     雲端運算(Cloud Computing)或又有學者建議翻譯成”雲運算”,這個名詞真可說是繼”虛擬化(Virtualization)”後最被廣泛”應用”的名詞了!雲端 運算彷彿代表了一個新科技、跨時代的新商機!一時之間各大軟硬體廠商、供應商、開發商什麼新的產品、服務、技術都強調跟雲端運算應用有關係,IDC指出 2010年將是台灣雲端運算服務元年,資訊服務市場將有許多商機與重大改革與變化!Gartner更將雲端運算列為未來IT發展趨勢之首!有此可見其火紅 程度與重要性!但到底”雲端運算”是什麼?對我們有什麼具體效益?現在導入有什麼風險?安不安全?有何標準可依循?這些的確是困擾著許多人的問題!底下我 們將來做詳盡的探討。

什麼是雲端運算?
    ”雲(雲端)”其實指的就是”網路”,在繪製網路示意圖時,我們通常就是用一個雲狀圖 案來代表”網路”,簡單來說”雲端運算”就是”網路運算”,使用者端不需安裝複雜軟體、不需使用或建置本地大量運算、儲存交換資源,只需一個連上網路的設 備與簡單的介面(比方說瀏覽器),即可使用來自於雲端所有的資源,經由網路來完成各種複雜工作,這樣的運作方式就是”雲端運算”。引述美國國家標準與技術 研究院(NIST)與維基百科對雲端運算的定義與說明如下:
美國國家標準與技術研究院(NIST)對雲端運算的定義-
    “雲端運算是一種透過網路連結存取共享的運算資源池(如網路、伺服器、儲存空間、應用程式及服務)運作模式,可以在最少的管理工作或服務提供商介入下,自動迅速的提供資源配置和發佈。”

維基百科對雲端運算的定義-
    “是一種基於網際網路運算的新方式,透過網際網路上的服務為個人和企業使用者提供按需即取的運算。由於資源是在網際網路上,而在電腦流程圖中,網際網路常以一個雲狀圖案來表示,因此可以形象地類比為雲端,『雲端』同時也是對底層基礎設施的一種抽象概念。”
“雲端運算的資源是動態易擴充套件而且虛擬化的,透過網際網路提供。終端使用者不需要了解「雲端」中基礎設施的細節,不必具有相應的專業知識,也無需直接進行控制,只關注自己真正需要什麼樣的資源以及如何透過網路來得到相應的服務。”

    “雲端運算”其實不代表一種技術而是一個概念,而在實做這樣的概念會依據產業及應用的不同衍生出不同的技術與架構,但什麼才是真正(我們需要)的雲 端運算?只要是透過網路(雲)利用網路上的資源完成工作就是雲端運算,熱門的交友行銷平台Facebook、線上收發郵件的Gmail、P2P技術的檔案 分享、方便備份的網路硬碟…等,伴隨來的如隱私、資安管控、服務品質…等問題,這是我們需要的?可以應用於企業內部?的確!不是所有的雲端運算服務都是可 以應用在企業內的!甚至因為在本質上的不同、應用的範圍與依循的規範都應該不同,依據在國際上普遍被認同的”美國國家標準與技術研究院(NIST)”對雲 端運算的定義(第15版),對雲端運算定義出五個關鍵特性、三個服務模式、四個部署模式,整體架構如下圖。

圖一 NIST定義的雲端運算架構

雲端運算-五個關鍵特性:  
按需自助服務-可在客戶需要時配置運算能力,如伺服器時間和網絡存儲空間,無需供應商服務人員介入即可自動依需求提供服務。

廣泛的網絡存取-通過網絡提供服務,可支援各種標準的連線機制,包括各種精簡或厚實的客戶端(thin or thick client)平台(如行動電話、筆記型電腦或PDA),存取其他傳統或以雲為基礎的軟體服務。

資源池-供應商的運算資源彙集到資源池中,使用多重租戶模型,按照使用者需要,將不同的物理和虛擬資源動態地分 配或再分配給多個消費者使用。雖然存在某種程度上的位置無關性,也就是說用戶無法控制或根本無法知道所使用資源的確切物理位置,但是原則上可以在較高抽象 層面上來指定位置(例如國家、州、省、或者資料中心)。資源池範圍包括存儲、處理、記憶體、網路頻寬以及虛擬機等。即使是私有的雲(Private Cloud)往往也趨向將資源池虛擬化來為組織的不同部門提供服務。

快速彈性-服務能力可以快速、彈性地供應–在某些情況下自動地–實現快速擴容、快速上線。對於使用者來說,可供應的服務能力近乎無限,可以隨時按需要購買。

 服務可測量-雲系統(Cloud System)之所以能夠自動控制優化某種服務的資源使用,是因為利用了經過某種程度抽象的測量能力(例如存儲、處理、頻寬 或者活動用戶帳號等)。人們可以監視、控制資源使用、並產生報表,報表可以對提供商和用戶雙方都全然透明的提供。

    雲端服務經常和虛擬化技術一起使用或者架構於虛擬化技術平台,雲端運算不一定要與虛擬化技術綁在一起,但沒有虛擬化的確很難做到很好的資源分配及高可用性,這是必須要取捨考量的。

雲端運算-三個服務模式:
雲軟體即服務(Cloud Software as a Service-SaaS)-該功能提供給客戶使用提 供商運行在雲基礎設施的應用程式。該應用程式可從不同的客戶端設備通過一個精簡客戶端(Thin Client)連接,如網頁瀏覽器(例如-基於網頁服務的電子郵件系統)。客戶不需管理或控制底層的雲基礎設施,例如網路、伺服器、作業系統、儲存空間, 甚至其中單個的應用程式的功能,除非是某些例外、有限用戶特定應用程式的配置設定。

雲平台即服務(Cloud Platform as a Service-PaaS)-提供給用戶的是在雲基礎設施之上部署用戶創建或採購的應用程式,這些應用程式使用服務商支援的程式設計語言或工具開發平台,使用者不需管理或控制底層的雲基礎設施,包括網路、伺服器、作業系統、或儲存設備等,但是可以控制應用程式的部署以及應用程式主機的某個環境配置。

雲基礎設施即服務(Cloud Infrastructure as a Service-IaaS)-提供給 客戶的是雲供應的處理、儲存、網路以及其它基礎性的運算資源,以供客戶部署或運行自己任何的軟體,包括作業系統或應用程式。使用者不需管理或控制底層的雲 基礎設施,但是擁有對作業系統、儲存空間和部署應用程式的控制管理,以及一些網路元件的有限控制(例如-主機式防火牆等)。

雲端運算-四個部署模式:
公共雲(Public Cloud)-由某個組織擁有,其雲基礎設施對公眾或大產業集團提供雲服務。

私有雲(Private Cloud)-雲基礎設施特定為某個組織運行服務。可以是該組織或某個協力廠商負責管理,架構可以是在內部部署(on-premises)也可以是在外部部署(off-premises)。

社區雲(Community Cloud)-雲基礎設施由若干個組織共享, 以支援某個特定的社區。社區是指有共同訴求和追求的團體(例如使命、安全要求、政策或合規性考慮等)。可以是該組織或某個協力廠商負責管理,架構可以是在 內部部署(on-premises)也可以是在外部部署(off-premises)。

混合雲(Hybrid Cloud)-雲基礎設施由兩個或多個雲(私有的、社區的、或公共的)組成獨立存在,但是通過標準的或私有的技術綁定在一起,這些技術促成資料和應用的可移植性(例如-多個雲之間的負載平衡「cloud bursting」技術)。

有關私有雲(Private Cloud)於外部部署(off-premises)這方面的一個例子就是虛擬私有雲(VirtualPrivate Clouds)-以私有或半私有的形式來使用公共雲基礎設施,通常通過虛擬專用網-VPN將公共雲裡的資源連回客戶資料中心內部。

    依據NIST對雲端運算的定義與說明僅是讓大家能比較容易了解雲端運算,因為雲端運算目前仍在不斷發展,不管是公共或私人單位對它的定義、應用、基本技術、問題、風險和效益都還在”熱烈”的討論中,當然這些定義、屬性和特性會隨時間演變和變化。
    另外一個特別需要關注的是CSA(Cloud Security Alliance)在該組織發表的”Security Guidance for Critical Areas of Focus in Cloud Computing V2.1”文件中提到”多重用戶共享(Multi-Tenancy)”這樣的架構並將其視為雲端運算的一個重要元素。並指出雲端服務模式中的”多重用戶共 享(Multi-Tenancy)”意味著滿足不同客戶環境對安全、分段、隔離、監管、服務水準以及相應的計費回饋等不同需求。用戶可能會使用公共雲服務 提供商的服務產品或者是同一家組織內部的雲服務,例如不同的業務單位,並不是完全不同的商業組織,它們之間依然需要分享基礎設施。從提供商的角度來看,多 重用戶共享(Multi-Tenancy)對架構和設計提出的要求是通過在很多不同客戶之間分享基礎設施、資料、中繼資料、服務和應用等,來實現可擴展、 可用性、管理、分段、隔離以及運行效率等方面的“經濟性”。

    理解每個雲端運算模式之間的關係和依賴性對於理解雲端運算的安全風險是非常重要的關鍵!IaaS是所有雲端服務的基礎,PaaS建立在IaaS之 上,而SaaS又建立在PaaS之上,請參照”圖二 雲端運算的服務方式”。非常重要的一點是,目前大多數”商業”雲端服務提供商可能並沒有與這個模式對應,如果廠商無法滿足不同客戶環境對安全、分段、隔 離、監管、服務水準以及相應的計費回饋等需求,那使用這些廠商的服務是不是意味將帶來很大的風險?

圖二 雲端運算的服務方式

導入雲端運算的效益與挑戰
藉由雲端運算方案導入對目前企業資料中心的現況有何幫助?列舉如下:
  • 透過資源池概念將資源集中管理藉以提升更高的設備使用率與節能。
  • 依據企業的成長狀況動態且彈性購入資源並能迅速部署應用程式。
  • 利用虛擬化與自動化來減少營運管理工作及降低整體持有成本。
  • 更容易做到服務的品質量測、評估並提供更好的服務等級。
    但要注意的是必須依據相關特性與應用要求選擇適合的服務方式及部署模式導入雲端運算方案,以服務方式來說:IaaS-供應商交付的是基礎架構設備 (例如-主機、網路、儲存空間、作業系統…等),建議適合無足夠人力、資金自建管理資料中心之企業導入,但必須評估該供應商服務中斷造成的影 響;PaaS-供應商交付的是開發應用程式的平台(開發程式語言、工具及資料庫),建議適合無足夠人力、資金自建管理資料中心及購買、管理開發工 具平台之企業導入,但必須考慮私密性、相關法律責任及所有權問題,畢竟有可能置放在供應商平台上的是企業較為機密的相關程式資料;SaaS-供應商交付的 是較為標準且大多為透過網頁方式存取的應用程式(例如-Zimba、SalseForceCRM),大多為中小型企業使用但也有可能需要因為法令規範或機 密性問題甚至依據企業需要彈性移出、移回服務去取捨使用這樣的服務。
根據IDC針對企業應用雲端運算的分析報告,對企業來說有幾個項目是必須審慎考量評估的,例如-安全性、效能、可用性、與企業目前的IT整合、足夠的客製化、成本考量、未來可否從雲端移轉回來、符合法規要求、服務供應商能力是否足夠…等。

圖三 雲端運算的挑戰與問題

    依據上述考量重點,以部署方式來說不管是公共雲、私有雲、社區雲、混和雲最重要的就是安全性!將對企業極為重要的系統服務、機密資料或是
備份備援建置於企業外部的公共平台,不可諱言的風險的確會是比較高的!應該審慎評估雲服務供應商的資訊安全管理流程和能力(比方說ISO/IEC 27001/27002認證)的充足性、成熟度及與使用者資訊安全管理流程的整合性、配合度,並能提供與客戶建立服務水準協定(SLA)及配合安全部門政 策合同契約協定來確保安全需求在合約層面上是可強制執行的。
    再來便是效能與可用性的要求,供應商提供的雲服務效能品質必須是可以被量測、監控的而且能隨時提供透明且詳細的報告甚至是趨勢預估讓客戶能準確的計 算未來準備投入的預算、設備、人力…等;供應商提供的雲端運算服務模式與傳統的主機租賃是截然不同的,必須提出詳細可以被信任的傳統的物理安全防護 (HA)、業務連續性計畫(BCP)和災難恢復(DR)等機制,且必須接受客戶定期、不定期審查、監測與驗證。

    綜合上述條件要求甚至再談到能與企業目前的IT整合、是否能提供足夠的客製化、成本考量、未來可否從雲端移轉回來、配合符合法規要求…等,我們必須 這樣說目前市面上全然能滿足企業要求的公共雲供應商難度是很高的!對企業來說利用雲端運算效益、優勢建置一個專屬的雲端運算平台是最低風險且最值得投資 的!

建構專屬雲端運算平台
    如何建構一個企業專屬的雲端運算平台?第一步就基礎架構,如同前文提到的不管是PaaS、SaaP都必須架構於IaaS,而最重要的關鍵將會是虛擬 化的導入,而虛擬化解決方案無庸置疑的就是全球市佔率84%的最佳品牌VMware,VMware vSphere可以幫助企業集中整合既有主機、儲存、網路資源,利用VMware VMotion、DRS、HA、FT確保設備高可用性、服務不中斷,VMwae Site Recovery Manager達成更快速更彈性的異地備份備援,透過虛擬化資源池概念提升資源使用率,並能迅速部署系統、應用程式(vApp),管理自動化來減少營運管 理工作,透過VMware AppSpeed、CapacityIQ讓我們更容易做到服務的品質量測、評估並提供更好的服務等級。

圖四 雲端運算的重要關鍵”虛擬化”

    但這樣仍是不夠的,這個企業級資料中心基礎架構還需要符合哪些需求?引用CSA對”多重用戶共享(Multi-Tenancy)”描述提到的…”滿 足不同客戶環境對安全、分段、隔離、監管、服務水準以及相應的計費回饋等不同需求”,滿足不同”客戶”對企業來說可當作是滿足不同”分公司、部門或合作夥 伴”,事實上針對企業這樣的需求業界網路、儲存、虛擬化三大原廠Cisco、NetApp、VMware前所未有的結盟合作並提出”安全的多重用戶設計架 構(Secure Multi-tenancy Design Architecture)”強調是可以全面性兼顧需求且易於部署的雲端運算解決方案,滿足企業目前在專屬雲端運算平台的四大要求:
●安全獨立性(Secure Separation)-用戶在任何情況下都無法存取其他用戶的虛擬機器 (VM)、網路或儲存資源,每個用戶都可確實分隔 。

利用vSpherevShield、Nexus 1000v及UCS 資源切割達成運算層資源的完全的切割與隔離;利用ACL、VLAN及QoS技術達成網路層資源的完全的切割與隔離;利用NetAppvFiler搭配VLAN的管控達成儲存層資源的完全的切割與隔離。

圖五 安全獨立性架構(Secure Separation)



●服務品質保證(Service Assurance)-無論在正常作業期間或是在故障發生當下、或某些用戶造成異常負載時,皆必須維持優質而穩定的運算、網路與儲存效能。


利 用vSphere資源池概念的保留(預留)、限制、共用與可擴充保留等特性及主機資源負載平衡DRS技術達成運算層資源的動態分配與品質保證;利用QoS 技術做到佇列與頻寬控制達成網路層資源的動態分配與品質保證;利用NetAppFlexShare搭配Thin Provisioning儲存虛擬化技術的達成儲存層資源的動態分配與品質保證。

圖六服務品質保證(Service Assurance)


●高可用性(Availability)-基礎架構必須確保在萬一發生故障時,仍可使用必要的運算、網路與儲存資源。

利 用vCenter Server Heartbeat(保護vCenter)、VMware HA(保護ESX Server)、vMotion/Storage vMotion(保護VM-虛擬機器)及UCS Fabric多重線路(Active/Active Mode)等技術達成運算層資源的高可用性;Nexus vPC、Cisco EtherChannel、Nexus 1000v(VSM-Active/Standby Mode)達成網路層資源的高可用性;利用NetAppRAID-DP(保護磁碟)、NetApp HA(保護儲存設備)、Snapshot(保護資料、作業系統及應用程式)、SnapMirror/SnapVault(本地異地備份備援)達成儲存層資 源的高可用性。


    特別說明的是透過VMware Site Recovery Manager、Cisco Nuxus與NetAppSnapMirror整合可達成不管是運算層、網路層或儲存層的自動化異地備援機制,也就是完成整個資料中心的高可用性架構,這 樣的效益是其它廠商無法完整提供的。

圖七 高可用性(Availability)

●易管理性(Management)-可快速配置、管理及監控所有資源的能力。
利 用運算層VMware vCenter(監控資源使用狀況)、VMware AppSpeed(監控系統服務品質)、CapacityIQ(管理資源與使用趨勢預估)、Lifecycle Manager(使用者依需自助配置資源)及UCS Manager...等管理功能,網路層Cisco Data Center Network Manager管理功能及儲存層NetApp Operations Manager(包括Provisioning Manager及Protection Manager )管理功能可達成整體資料中心資源易管理性要求。

    值得一提的是不管是NIST、CSA或是普遍對雲端運算的管理要求,Cisco、NetApp及VMware提出的”安全的多重用戶設計架構(Secure Multi-tenancy Design Architecture)”對管理者來說-只要透過網路,經由簡單的用戶端程式或網頁瀏覽器就可以做到整個雲端運算平台服務的管理,並可在最少的管理工作或服務提供商介入下,自動迅速的提供資源配置和發佈;對使用者來說-不必具有相應的專業知識,也無需直接進行控制,只關注自己真正需要什麼樣的資源以及如何透過網路來得到相
應的服務,這就是『企業專屬的雲端運算平台』。

圖八 易管理性(Management)

彈性端對端服務品質
目前的確鮮少有能對”端對端服務品質”的這項 難題提出方案的廠商,常見的作法只能做到某一層(運算層、網路層或儲存層)的服務品質機制,以冀望能同時對下游或上游數層達到節流的目的。但事實上,不同 的應用程式常會有不同的特性,有些可能需要密集運算、有些較耗用網路資源,有些則需要大量 I/O。僅只是限制 I/O,對於大量使用 CPU 的應用程式將難有效控制CPU使用率。若無法在這三層上都使用適當機制,就無法完全確保服務品質。

    Amazon、Google 與其他幾家公司為了解決這樣的問題,皆已動龐大開發人力、歷時數年開發專屬軟體,建立其多重用戶共享或「雲端」服務,但遺憾的是這樣的”專屬軟體”是有局 限的、是封閉的,無法提供給企業內部建置使用,Cisco、NetApp與VMware提供的”安全的多重用戶設計架構”是企業垂手可得的,而且相對建置 起來容易且極富彈性。整體架構如下:

圖九安全的多重用戶設計架構(Secure Multi-tenancy Design Architecture)


整體方案提供彈性的端對端服務架構 (Resilient End-to-End Architecture),針對各階層上的主要軟、硬體元件強調提供高安全性、高服務品質、高可用度與更便利彈性的管理。

圖十彈性端對端服務架構 (Resilient End-to-End Architecture)

針對Cisco、NetApp與VMware提出的”安全的多重用戶設計架構”整體架構與效益部份,將其分成運算層、網路層、儲存層例舉幾個重點特色說明如下:

運算層
在運算層上,VMwarevSphere可 提供健全的伺服器虛擬化環境,可將伺服器資源動態配置給在虛擬機器內執行的多個虛擬作業系統,並能夠確保資源被彈性且正常使用 (尤其是CPU與記憶體資源的使用)。其”資源池”是可彈性管理資源的邏輯概念,並且藉由資源的保留(預留)、限制、共用與可擴充保留等資源的資源池設計 特性,獲得非常精細的控制性,並可讓您為某個用戶、系統、服務授與較高的優先權。

VMware VMotion、Storage VMotion透過這種兩種技術應用可確保企業資料中心的系統、服務、儲存空間在移轉過程中不會造成任何服務因此中斷。

VMware HA(High Availability)會 持續監控資源池中的所有伺服器,並且偵測是否有故障,而每一台ESX Server都會置放一個代理程式,以確認有伺服器彼此保持「心跳」並確保有足夠的備援資源,一旦某伺服器的「心跳」停止,就會對該ESX Server所有受影響的虛擬機器執行重新啟動於其他ESX Server。

VMware Distributed Resource Scheduler (DRS)可持續監控各資源池中虛擬機器資源的使用情形,並以智慧方式為多部虛擬機器配置可用資源,而且完全自動化不需人為介入,使架構中的所有ESX Server內所有虛擬機器達到資源負載平衡。

VMware vShield Zone 可提供運算層內的安全性,它是 vSphere中附帶的一種集中管理、可設定狀態的分散式虛擬防火牆,可運用虛擬網路來建立安全性區域。 vShield Zone可整合至 VMware vCenter 中,可簡化防火牆規則的管理與信任區域的配置。

Cisco Unified Computing System(UCS) 是新一代的資料中心平台,可將運算、伺服器網路存取、儲存裝置存取與虛擬化整合在單一整合系統中。 UCS主體採用低延遲、不失真的 10 Gigabit乙太網路網路架構,整合並取代傳統乙太網路、儲存區域網路改善企業原有複雜、管理不易的架構,某種程度來說藉由這樣的特性是可以降低成本、 提升效率的,並提供全新企業級的x86 架構伺服器,這樣的伺服器是整合式、可擴充的多機箱式平台,可讓所有運算資源統一管理且能彈性擴充,除了大幅節省資料中心空間並能達成節能成效。在 硬體層級上,Cisco UCS 會使用 Data Center Ethernet (DCE) 處理 Cisco UCS 系統內的所有流量。 這項業界標準的乙太網路強化功能會將乙太網路管道的頻寬分成八個虛擬通道,系統類別將決定這些虛擬通道中的 DCE 頻寬應如何配置給整個 Cisco UCS 系統,每個系統類別分別會為一個特定類型的流量保留一個特定頻寬區段,如此即可達成一定程度的流量管理彈性。

    值得一提的是Cisco除 了強調可以緊密與VMwarer結合提升虛擬化性(例如:Nexus 1000v、VN-Link技術或Nexus 1010-提升管理性與降低負載),Cisco UCS整體硬體設計也具備虛擬化、資源池這樣的概念,透過網界面的管理模組UCSM可以很容易地去建立”Sevice Profile”、”Pool”,而每個Service Profile(包含了服務器名稱、主機識別碼、MAC address、WWN/ WWPN、網路設定參數、SAN設定參數、韌體、BIOS設定、開機設定)是可以動態部署在任一欲使用的主機(刀鋒),當發生某一刀鋒主機故障僅需將 Profile套用於未故障的主機上即可回復功能上線運作,而且每部主機(刀鋒)的網路(NIC)與HBA介面的都是虛擬化的可依需求設定數目或者是採取 何種備援模式,這些設定都能更加提升設備高可用性、大幅降低故障停機帶來的影響!

    相關對應的參數設定值以Pool(資源池)概念整合管理,可預 先定義規畫好整個資料中心的IP、MAC、WWN…等資源參數(範圍),當有實體主機資源需求時透過簡易且彈性的管理介面可以自動核發相關設定值給每部主 機迅速的完成實體主機的部屬,不需要太多管理與技術介入。

圖十一Cisco UCS部屬自動化、管理簡易且便利

網路層
改變以往網路與儲存架構,網路層可提供運算層與儲存層之間的安全網路連線以及與外部網路和用戶端的連線。 主要元件包括:
  • Cisco Nexus 7000-提供資料中心10 Gigabit 乙太網路與整合光纖技術。
  • Cisco Nexus 5000-適用於需要支援光纖介面的儲存裝置和 Cisco 7000傳輸連接的介面。
  • Cisco Nexus 1000v-其為Cisco與VMware共同開發的虛擬網路交換器,用以提供Cisco VN-Link 服務,讓虛擬機器與網路環境緊密整合,使網路規則可已跟著虛擬機器在服務不中斷的VMotion即時移轉期間隨其移動至其他ESX Server甚至是另一個資料中心。
  • Cisco MDS 9124 為多重光纖通道交換器,適用於傳統儲存區域網路(SAN)的環境 ,讓 UCS上執行的VMware ESX Server可以支援SAN Storage 環境。
在網路層級上,流量會根據由 Nexus 1000v 所指定、並經由 UCS 系統受理或納入規則的服務類別 (CoS) 進行分段。 有兩種不同的方法可提供狀態穩定的效能保護:
  • 佇列-可讓網路裝置根據分類準則來排程封包遞送作業。 如果能夠辨別應優先遞送哪些封包,最終即能夠在超額配置發生時,以回應時間的角度來辨別哪些是重要的應用程式。 當所有服務類別完全利用指定的頻寬時,才會執行佇列。
  • 頻寬控制-頻寬控制可讓網路裝置在各佇列上能夠有適量的緩衝區,使特定的流量類別不致過度使用頻寬。 如此可讓其他佇列擁有均等的機會,以便因應其餘類別的需求。
企業可以透過規則制訂與速率限定,來定義服務保護、保證層級,底下例舉三種流量類型的規則制訂方式說明效益:
  • VMotion-為了不影響服務移轉不中斷技術VMotion的品質,可針對各個刀鋒伺服器的流量控制在至少1Gbps 的水準(VMware標準建議值),並可依需求提高或降低此限定值,一旦設定此值後,有保證流量速率不會受到其他服務影響或影響其它的服務。
  • 交易與儲存服務的差異化-多重用戶共享設計中會使用多種方法來產生不同品質需求的服務。 例如-針對最重要的服務,會使用「高優先權」佇列,對於可容許延遲的一般服務流量,則會使用「不捨棄」原則,對固定速率的服務則會使用速率限定,這樣就可 以將每個應用程式或服務依據其重要性規劃不同特定的層級。
  • 管理要求-透過 VLAN來確保資源隔離切割,並且可以做流量限定來確保網路、儲存交換品質且不會互相影響。
儲存層
儲存層由NetApp 統一化儲存系統所構成,依據企業對服務應用各種要求,可以同時支援SAN連線 (比方說SAN Boot或LUN)、ISCSI、NFS環境,特別建議的是透過乙太網路執行採用NFS環境的VMware架構,不但可提供大幅簡化管理與降低備份備援程 序,還可降低建置成本。
NetAppMultiStore在共用儲存裝置環境可提供如同實體隔離儲存陣列的 安全性與隔離等級,在單一儲存系統上建立多個完全隔離的邏輯分割區,在共用儲存時仍能保有隱私與切割,用戶不可逾越此分割區的界限。 除了安全性以外,對於用戶分割區中正在執行的應用程式,也確保其不會間接干擾到其他用戶分割區中的運作。其可為多重用戶共享環境提供安全的隔離性。
NetAppFlexShare可對 MultiStore 組態中的每個儲存磁碟區或每項 vFiler 裝置調整三個獨立參數,依據需要對某個用戶分割區設定較高的優先權。
    提 到真正的儲存虛擬化NetApp的確是不遑多讓,其資源配置亦可提供「隨需儲存」的功能,達成所有儲存資源集中且共用分享可以依據需要分割隔離,在多重用 戶共享組態中可設定「磁碟區自動成長」、「Snapshot排程自動執行」、「Snapshot自動刪除」與「部分保留」的規則。 「磁碟區自動成長」可讓磁碟區以定義的增量值為單位進行擴充,並以預先定義的臨界值為上限。 「Snapshot 自動刪除」是一項自動化機制,可在磁碟區空間即將滿載時刪除最舊的 Snapshot 複本。「部分保留」可讓空間保留百分比隨著相關資料的重要性進行修改。

結論
    對 企業來說雲端運算平台的導入最重要的就是安全性、高可用性、品質保證,還有更重要的一點就是更少的成本(人力、物力及資金)投入;雲端運算代表的只是一個 概念而且不斷的在延伸、變化,重點是在現今這個”人云亦雲”的大環境下,如何了解雲端運算的真締並善用其特性帶來的效益建構一個企業專屬的雲端運算平台, 才是企業如何永續經營的真正關鍵!




參考文件:
    • 美國國家標準與技術研究院(NIST)-雲端運算的定義(v15)、Effectively and Securely Using the Cloud Computing Paradigm(v26)
    • 雲安全組織CSA(Cloud Security Alliance)-Security Guidance for Critical Areas of Focus in Cloud Computing V2.1
    • 維基百科-雲端運算、虛擬化定義說明
    • IDC、Gartner 各項趨勢分析資訊
    • Cisco、NetApp、VMware-安全的多重用戶設計架構(Secure Multi-tenancy Design Architecture)相關文件
    • VMware–Corporate Overview:Enabling IT as a Service及相關文件
    • NetApp-Tech OnTap:NetApp與思科一同打造虛擬化的資料中心、適用於雲端的儲存基礎架構、端對端服務品質…等專題報導