云计算探索与实践优质PPT.ppt

1、Cluster computing,Grid computing,Cloud computing,2008 Gartner IT Hype Cycle of Emerging Technologies,2009 Gartner IT Hype Cycle of Emerging Technologies,2010 Gartner IT Hype Cycle of Emerging Technologies,Top 10 Technologies for 2010,云计算的技术背景,云计算是并行计算（Parallel Computing）、分布式计算（Distributed Computing）

2、和网格计算（Grid Computing）的发展，或者说是这些计算机科学概念的商业实现云计算是虚拟化（Virtualization）、效用计算（Utility Computing）、IaaS（基础设施即服务）、PaaS（平台即服务）、SaaS（软件即服务）等技术混合演进并跃升的结果,维基中的云计算定义,Cloud computing involves the provision of dynamically scalable and often virtualized resources as a service over the Internet.,云计算的服务类型,Enabler,Prov

3、iders,Consumers,IaaS,PaaS,SaaS,IaaS：Infrastructure as a ServicePaaS:Platform as a ServiceSaaS:Software as a Service,网格计算与云计算的比较,资源异构多机构虚拟组织以科学计算为主采用高性能计算机问题求解环境紧耦合,并不强调资源异构单一机构拥有虚拟机以商业应用为主采用普通服务器集群松耦合环境下的海量数据处理,云计算技术体系结构,云计算的核心支撑技术：虚拟化,Hardware,Xen,Domain0,XenoLinux,XenoWindows,Application,Applicati

4、on,Application,Application,Application,Application,Application,Application,Application,Control,I/O（Domain 0）,Guest Domain,Guest Domain,系统虚拟化是云资源管理的关键技术,云计算的核心支撑技术：虚拟化,桌面虚拟化是用户使用云资源的重要方式,云计算的重要工具：MapReduce,提供了简便的分布式数据处理编程模型为云数据中心的大规模数据处理提供支撑,目 录,云计算初探云计算实践,我们的一些实践,面向科学计算与企业信息化的云计算平台CRANE云存储平台ppStore云

5、备份系统B-Cloud云安全技术及基于云模式的大规模主动安全防御系统CloudFence面向云环境的虚拟化桌面ClouDesk,面向科学计算与企业信息化的云计算平台CRANE,CRANE-系统架构,核心管理层,驱动层,服务层,接口层,PaaS（科学计算）,PaaS（企业信息化）,CLI,PORTAL,API,监控诊断,存储管理,网络管理,资源调度,DATACENTER,HARDWARE,NETWORK,STORAGE,资源供给,模板库管理,跨域协作,Public cloud,云扩展,Virtual Platform Driver,Storage System Driver,Agent Driv

6、er,VM,Agent,交互接口,DATACENTER,安全,QoS,可靠性,用户认证管理,IaaS,VM,Agent,VM,Agent,VM,Agent,CRANE-IaaS,VIM,Local infrastructure,External cloud,CLI,IaaS接口,PaaS接口,Core,存储管理,网络管理,模板库管理,资源调度,提供多种驱动支持多种虚拟化平台与存储系统,支持IPV6网络,模块化结构可灵活扩展,基础设施动态扩展兼容EC2接口,CRANE-IaaS（调度器）,CRANE-PaaS,科学计算PaaS,企业信息化PaaS,两种类型的PaaS服务由IaaS提供基础虚拟环境

7、支撑,MPI基础环境及常用应用环境环境模板定制流程化作业管理,信息化站点托管自动负载均衡透明扩容缩容,由CRANE云监控提供信息支持,CRANE,CRANE-科学计算PaaS,CRANE 科学计算PaaS 是基于CRANE IaaS，集虚拟集群创建、MPI环境部署、作业调度、作业自动化处理、模板创建与管理等功能的PaaS平台平台提供两种服务：1.虚拟集群；2.MPI作业托管,虚拟集群：在Web上选择虚拟机模板，提交模板数量，系统根据参数创建虚拟集群。用户通过SSH登录虚拟集群即可使用MPI作业托管：在Web上提交参数（部署有所需MPI应用的虚拟机模板、资源量、输入数据、应用运行参数），系统根据

8、参数处理作业，最终返回结果给用户,通过SSH登录虚拟集群，即可使用,通过Web，提交相关参数，提交作业，系统自动处理作业，并返回结果,CRANE-企业信息化PaaS,传统的Web托管,云环境下的Web托管 云计算利用相对集中的资源，在一个有较好的稳定性和扩展性的基础架构上，按需为人们提供各类服务，这就为解决传统Web主机扩展性差、资源利用率低、可定制性差等问题创造了条件,CRANE云平台中的企业信息化PaaS利用云平台的IaaS基础设施为个人和企业提供优质的主机服务，让部署一个Web应用变得廉价和快捷，并且使Web服务具有良好的扩展性,一键部署,动态扩容,可定制性强,云存储平台ppStore,

9、26,ppStore系统架构,27,ppStore 存储服务的使用,用户,网盘,FTP,Email,免费的网络存储服务,上传,下载,网络上现有的免费存储服务（简称SS）,优点：用户不用在网络上架设服务器，就可以获得一种网络平台的服务，让用户在任何时候，任何地方都可以获得文件缺点：鸡蛋放在一个篮子里，可用性、安全性无法保证,28,存储服务（SS）的聚合,问题的症结：单个SS供应商的服务能力是有限的关键思想：化零为整，原来的每个SS单独为用户服务的单一点到点的服务模式，转化为综合各种SS服务，相互有联系的面到点服务模式,SS,SS,SS,SS,用户,用户,用户,用户,SS,SS,SS,SS,中间件

10、,用户,用户,用户,用户,存储管理,共享处理,29,ppStore 数据传输性能保证,支持的P2P协议：Kademlia支持的邮箱支持的网盘 Rapidshare,异构数据协议封装,30,30,ppStore 系统截图,云备份系统B-Cloud,什么是云备份？,云备份是指通过网络将位于客户端机器上的数据自动备份到存储服务提供商（SSP）的异地数据中心，以便将来恢复数据云备份是商业服务概念在存储领域的一种体现。存储服务提供商（SSP）为客户提供存储空间，并给客户必要的承诺（安全、可用、可靠等）,双方的合作建立在相互信任基础上云备份让用户脱离技术与部署上的复杂性，通过Internet获得备份服务,

11、B-Cloud总体设计,B-Cloud的几个关键技术,执行备份作业,执行恢复作业,云安全技术及基于云模式的大规模主动安全防御系统CloudFence,云计算的最核心问题云安全,Gartner在2008年关于云安全的报告中所指出的：云平台最大的安全威胁来自于平台提供商员工对于租户隐私数据的非法访问2010年9月份Google解雇了两名对租户的Google Voice,Gtalk等帐户进行侵入以获取隐私数据的员工Gartner于2010年4月给出的调查报告指出：安全与隐私成为了人们对云计算最为担心的问题2007年，华盛顿邮报就披露了客户关系管理领域的著名云提供商S由于安全攻击而导致大量租户数据的泄

12、漏与丢失主流云提供商为租户提供的安全与隐私保护手段还非常有限著名的Amazon 云服务AWS（Amazon Web Services）的2010年租户协议就明确指出Amazon并不能保证租户数据的安全性,云计算安全问题分析,云计算安全问题主要源于云计算平台的服务外包特征、多租户资源共享特征，以及平台的开放特征在云计算环境下，租户数据的计算和存储都交由云端处理，云平台的这种服务外包特征使得云服务提供商员工可能会窃取租户的隐私数据不同租户乃至竞争对手的数据经常存放于云端同一存储设备或在同一主机上进行处理，云平台的这种多租户资源共享特征使得平台中一个租户可能试图攻击同平台的其他租户，恶意租户可通过占

13、用大量资源的方式导致其他租户的服务不可用，或使用旁道方法探测运行在同一主机上其他租户的隐私数据由于云平台的开放性以及常采用存在较多安全漏洞与缺陷的开放性软件构建平台，导致平台的安全风险大大增加，攻击者更容易窃取或破坏租户数据,云计算安全挑战,任务可信执行问题,资源隔离问题,云服务的可靠性问题,监控和管理问题,云安全服务,虚拟化技术提高了云平台资源使用的效率，但需要在物理节点上的多虚拟机之间进行有效隔离,由于云平台同时为很多用户提供服务，云平台必须对用户行为进行有效监控，防止云平台上的攻击云,为了保证为云用户提供不间断服务，云平台必须保证服务软件的可靠性及云平台中数据备份问题,用户失去了对云端资

14、源的控制，如何保证云端用户任务的安全执行以及用户数据的安全性,41,云计算安全挑战,任务可信执行问题,资源隔离问题,云服务的可靠性问题,监控和管理问题,云安全服务,虚拟化技术提高了云平台资源使用的效率，但需要在物理节点上的多虚拟机之间进行有效隔离,由于云平台同时为很多用户提供服务，云平台必须对用户行为进行有效监控，防止云平台上的攻击云,为了保证为云用户提供不间断服务，云平台必须保证服务软件的可靠性及云平台中数据备份问题,用户失去了对云端资源的控制，如何保证云端用户任务的安全执行以及用户数据的安全性,42,资源隔离问题,虚拟化技术是云计算的核心技术，单节点多虚拟机之间存在资源共享即使实施了诸如中

15、国墙之类的隔离策略，但同样存在隐通道问题（如左图所示），可导致相互竞争的公司之间的信息泄露在云环境中对虚拟机进行有效的隔离是非常有必要的,43,资源访问控制模型,优先中国墙模型（PCW）：通过将中国墙模型中的静态冲突集替换成动态冲突集，从而降低了虚拟机之间由于隐通道带来的信息泄露,44,云计算安全挑战,任务可信执行问题,资源隔离问题,云服务的可靠性问题,监控和管理问题,云安全服务,虚拟化技术提高了云平台资源使用的效率，但需要在物理节点上的多虚拟机之间进行有效隔离,由于云平台同时为很多用户提供服务，云平台必须对用户行为进行有效监控，防止云平台上的攻击云,为了保证为云用户提供不间断服务，云平台必须

16、保证服务软件的可靠性及云平台中数据备份问题,用户失去了对云端资源的控制，如何保证云端用户任务的安全执行以及用户数据的安全性,45,可信执行环境-TEE,云计算的三个组件:云资源提供商、云软件服务提供商（SaaS）、云用户，我们的方法是同时在用户端和云端提供可信执行环境,云软件服务提供商,46,TEE的组件,云端的可信执行环境（TEEc）虚拟动态可信度量根（vDRTM）让一个物理平台上的多个用户、多个虚拟机可以同时拥有自己的DRTM用户可以在任意时刻启动基于vDRTM的可信执行环境来运行安全敏感应用而不用重新启动虚拟机，并能向第三方提供可信证明,用户端的可信执行环境（TEEu）可以在操作系统运行时动态插入轻量级虚拟机到OS的下面，并可随时动态撤销轻量级虚拟机管理器开销很小并不需要对用户本身的系统做任何的修改,47,TEEc,TEEc=支持vDRTM的vTPM管理器+虚拟LPC+vD-CRTM+TEE核心模块+TEE域