張釗榮 黃磊博 鄭 薇

（中國地質科學院探礦工藝研究所，四川成都 611734）

0 引言

現(xiàn)階段，云計算日漸普及，傳統(tǒng)的IT 構架已然無法達到當前時代對企業(yè)信息建設的要求標準，各行業(yè)為在競爭激烈的信息時代中獲得長效發(fā)展，紛紛引入云計算技術，在此情況下，私有云應運而生。私有云的構建宗旨在于為個體提供差異化數(shù)據(jù)資源服務，故而需要對服務質量、安全性以及數(shù)據(jù)提供做出有效控制[1]。企業(yè)應具備相應的基礎性設施，以此為基礎，能夠控制好應用程序部署的手段。一般來說，企業(yè)可在內(nèi)部防火墻或主機存管處創(chuàng)建并部署私有云。通過市場調查不難發(fā)現(xiàn)，部分企業(yè)尚未明晰云技術對自身發(fā)展的意義，也沒能掌握云技術應用要點，私有云構建難以為繼?；诖?，本文從多個方面針對私有云的建設與應用展開了詳細討論。

1 私有云概述

私有云大多由企業(yè)抑或是第三方運營、管理及所有，其部署場所相對廣泛，涉及數(shù)據(jù)庫、防火墻等。使用者也能夠針對其他方面進行授權訪問。限制性和獨立性是私有云最為基礎和典型的特性，其所應用的服務技術與公有云相差不大，故而能夠為終端用戶提供同樣服務。使用者能夠控制及掌握儲存、計算等全部資源，并獲得專項權限。后者將其看作“私有云托管”。在使用私有云時，相關用戶需按要求繳納許可費和基礎架構費等。對于某些看中業(yè)務敏感功能、靈活性以及資源專享的用戶來說，這一選擇十分理想。私有云還可以為企業(yè)提供一定的機會，其付費功能在企業(yè)內(nèi)部同樣適用，管理者可利用該功能統(tǒng)計并收取內(nèi)部費用，進而在企業(yè)中進行成本分攤，提高經(jīng)濟效益的同時強化成本觀念。另外，私有云具備的另一優(yōu)點是可以在數(shù)據(jù)操作工作中應用云計算存在的益處以及附加控制。管理私有云的人員，能夠針對全局視圖的基礎架構進行訪問，同意使用人員針對自動化操作、應用模塊以及基礎性設施進行監(jiān)控。例如按照實際使用需求進行虛擬機的自動調整，有關資源的應用需要一目了然。

2 私有云整體建設的思路

2.1 整合物理資源

將應用交付、網(wǎng)絡設備、服務器、存儲等資源與硬件物理設備進行資源整合，可使私有云更好地發(fā)揮其物理資源管理功能。

2.2 資源池虛擬化

虛擬是信息技術的代名詞，想要推進私有云建設，必須做好企業(yè)資源的虛擬化。有機整合物理及其他運行資源，以此構成資源池，并在相關技術的作用下實現(xiàn)虛擬化，借此為私有云平臺提供一定承載能力。與此同時，網(wǎng)絡資源池在虛擬環(huán)境下能夠發(fā)揮業(yè)務活動方面的編排調度作用，而存儲池除具備日常資源存管功能外，還可以提供運行管理、運維管理等數(shù)據(jù)儲存池。

2.3 建設能力資源池

運維能力、安全能力以及運營能力3 個核心部分構成了能力資源池。相應管理者可借助運維能力從審計運維日志、報表運維、授權管理能力資源池、監(jiān)控資源、池內(nèi)拓撲管理、可視化流量管理、資源池安全故障自檢、告警管理、運維管理租戶等層面完成安全運維工作。而優(yōu)化升級相關應用技術、保障運行安全則是安全能力的主要作用，具體包括審計、入侵監(jiān)管、Web 應用及清洗流量等。從有關運營能力的描述中可以看出，確保運營穩(wěn)定是該部分的核心工作，具體包括了管理租戶以及租戶資源、安全定價、工單管理、支撐租戶相關自服門戶及對接原有賬戶等能力。

3 私有云整體建設關鍵技術

3.1 軟件定義安全

由軟件定義網(wǎng)絡（Software Defined Network）進一步引申為“安全定義”，借助虛擬相關技術抑或是資源集成管理功能，為使用者更加靈活地提供軟件定義的能力[2]。結合各業(yè)務的特性，軟件可按需發(fā)揮其安全定義作用，同時也可依據(jù)不同的防護來源重構功能組合，以便使用者更好地操作應用。

3.2 可視化與微隔離

結合微隔離相關定義可知，該技術可較好地適應虛擬環(huán)境，且可對平臺內(nèi)數(shù)據(jù)起到監(jiān)管作用，常用于阻斷外部攻擊行為，在維持云環(huán)境穩(wěn)定方面有關鍵作用。隨著此項技術的不斷發(fā)展，衍生出可視化虛擬網(wǎng)絡技術，這一技術主要用于搜集業(yè)務及網(wǎng)絡流量所產(chǎn)生的信息，并實時傳輸給使用者，為其提供可視化服務。私有云與傳統(tǒng)IT 架構相比，具有資源靈活共享的特征，正因如此，將傳統(tǒng)互聯(lián)網(wǎng)的信任邊界巧妙地破除了。業(yè)務內(nèi)部各虛擬機間、業(yè)務和業(yè)務間均難以在常規(guī)隔離手段下達到預期隔離目標?，F(xiàn)階段處理公有云的方案中，使用Agent 代理形式是實現(xiàn)監(jiān)控及隔離云主機的一種重要手段，此類手段在私有云之中一樣適用，利用Agent 進行采集，云管理平臺能夠應用業(yè)務不同的虛擬機數(shù)據(jù)，不僅有利于可視化管理云資產(chǎn)，還能夠借用該技術強化使用者對資產(chǎn)數(shù)據(jù)的管控力。管理私有云的平臺能夠借助提供安全能力的主機、虛擬機內(nèi)部Agent 抑或是微隔離組件，為使用者提供更加強大的安全管控能力以及安全分析能力[3]。另外，Agent 針對主機行為相關的審計事件進行了詳細記錄，如業(yè)務虛擬機審計、虛擬主機的安全事件等。同時將此類數(shù)據(jù)發(fā)送至私有云管理平臺，開始啟動日志數(shù)據(jù)的集成化處理和深層次分析功能，對所接收的信息資源進行全方位分析，能夠為使用者提供安全問題追蹤功能以及安全風險評估功能。

3.3 虛擬化安全功能

可在各軟硬件設備通用平臺實施虛擬處理操作，將僅服務于專用設備的安全功能作為操作目標，以此來降低安全功能對平臺的附屬性和依賴性，同時可實現(xiàn)部署效率及質量的雙重提升。需注意的是，嚴格執(zhí)行運維成本的全面規(guī)劃工作，以期進一步提高安全能力以及網(wǎng)絡的運維能力、一體化運營能力，提高安全能力整體適配程度。

3.4 資源安全技術

該技術的作用對象為各類虛擬機，具體包括漏洞掃描、堡壘機、WAF、專項網(wǎng)、核查配置、入侵防護系統(tǒng)、審計日志、審計數(shù)據(jù)庫、防火墻等內(nèi)容[4]。部署資源池化安全能力可從虛擬網(wǎng)絡入手，利用該功能來整合傳統(tǒng)網(wǎng)絡的風險監(jiān)測及防護功能，構成真正的資源池化安全能力，具備隨時隨地按實際需要擴容、高可靠性池化級、隨時實例化等特征。

3.5 組件編排

在資源池化的前提下，綜合使用其自身的服務編排及Overlay 等技術，進一步實現(xiàn)按照實際需要組裝、編排及實時維管與安全能力相關的組件。在智能編排技術的支持下，私有云用戶能夠根據(jù)個人實際狀況決定業(yè)務內(nèi)容，按照實際需求使用安全防護有關技術棧。針對安全防護能力，用戶同樣可依據(jù)個體現(xiàn)實情況來進行購入和編排。若運維管理者切實需要借助安全防護能力，則僅通過申請、部署及編排相關資源便能夠使私有云管理平臺中運營組件展開自動化運作。此時，相應的NFV 便會以時間先后為依據(jù)開始自動運作，對相關業(yè)務進行流量編排，實時更新使用者日志及統(tǒng)一數(shù)據(jù)源，通過完整的信息搜集來完成編排任務，確保該項工作更具嚴謹性，使用者可以根據(jù)個人網(wǎng)絡及安全業(yè)務進行靈活定義。

3.6 安全業(yè)務聯(lián)動

在網(wǎng)絡監(jiān)控虛擬化技術、虛擬資源、可視化技術以及微隔離技術的基礎上，平臺不僅支持運維監(jiān)控，同時還能夠在數(shù)據(jù)采集基礎上，借助安全能力和相關組件來完成日志和流量信息的收集，并開展對應編排。通過集成管理及調度，可實現(xiàn)業(yè)務聯(lián)動，同時生成安全監(jiān)管檔案。在安全業(yè)務聯(lián)動的基礎上，建立安全系統(tǒng)的一個體系化工程，從網(wǎng)絡的安全處置層面、安全檢測層面、數(shù)據(jù)監(jiān)控層面以及網(wǎng)絡隔離層面均展開了有效整合，進而構成更加高效的防護系統(tǒng)。

4 提高私有云應用效果的具體措施

4.1 提高應用安全性

保障私有云使用者個人信息安全是現(xiàn)階段建設云平臺的關鍵所在。私有云平臺建設是在互聯(lián)網(wǎng)基礎上展開的，現(xiàn)階段網(wǎng)絡信息技術發(fā)展速度如此之快也給諸多網(wǎng)絡用戶帶來了一定的安全問題，個人信息整體私密性不夠好，盡管私有云平臺給使用者個人信息安全帶來了保障，但互聯(lián)網(wǎng)內(nèi)部不法分子層出不窮，不法分子可能會盜取使用者個人信息，以此謀取不合法利益。畢竟使用者個人信息十分重要，一旦發(fā)生信息泄露事件，必然會給使用者帶來難以挽回的損失[5]。不僅如此，也會降低使用者對私有云的信任程度。另外，私有云還存儲著對企業(yè)穩(wěn)定運作有重大意義的數(shù)據(jù)資源，如若發(fā)生病毒入侵事件，則企業(yè)極可能因數(shù)據(jù)丟失或代碼紊亂而遭受經(jīng)濟、聲譽雙重重創(chuàng)，其所面臨的風險也會大大增加。從私有云管理者角度考慮，需要加強重視保障私有云平臺整體安全。比如，定期展開安全性檢測，定期更新私有云平臺相關系統(tǒng)等。除此以外，私有云管理平臺需要持續(xù)更新平臺的服務系統(tǒng)，逐漸構建并完善私有云平臺建設，進而保障使用者信息安全，利于私有云長期穩(wěn)定發(fā)展。

4.2 培養(yǎng)高素質專業(yè)人才

在建設私有云平臺的過程中，專業(yè)性較強的技術人才占據(jù)著十分重要的地位。眾所周知，“人”乃立業(yè)之本，“人才”是企業(yè)運營的基石，任何工作的開展均無法離開專業(yè)人才。專業(yè)人才是企業(yè)發(fā)展的命脈[6]。除此之外，技術專業(yè)人才不可或缺，在建設私有云平臺的過程中，若想保障私有云整體的安全性能，必須安排技術專業(yè)人才對私有云展開維護，對使用者個人信息安全展開維護。不僅如此，技術專業(yè)人才大多數(shù)情況下是素質較高的人才，不僅能夠對私有云平臺進行專業(yè)性的維護，而且能夠盡心盡力地維護使用者個人信息安全。例如，在行業(yè)競爭日趨激烈的環(huán)境下，利益誘惑事件時常發(fā)生，對手為鞏固自身地位往往會利用物質或非經(jīng)濟利益誘惑負責私有云管理的相關人員，部分工作者因貪圖利益向其提供企業(yè)內(nèi)部核心機密以及客戶信息等。不過大部分技術專業(yè)人才均經(jīng)過嚴格的培訓工作，其職業(yè)素養(yǎng)相對較高，且具備企業(yè)精神，能夠主動維護自身和企業(yè)的權益，并不會在外界高利益驅使下改變原則，亦不可能損害企業(yè)形象或使其處于危機困境中。另外，高素質人員除業(yè)務能力出眾外，其對自身也有著較高要求，諸多人才均嚴于律己、盡職盡責，對企業(yè)存在非常高的忠誠度。故而，構建私有云平臺的過程中應用素質較高的專業(yè)技術人才是十分重要且必要的。

4.3 保持創(chuàng)新理念

盡人皆知，持續(xù)進步的前提是變革，企業(yè)若想在時代更迭中穩(wěn)住腳跟，唯有將創(chuàng)新落實于私有云的創(chuàng)建及運維全過程，確保該平臺能與時俱進，在當下及未來發(fā)展中更好地服務于企業(yè)[7]。私有云管理平臺能夠定期展開創(chuàng)新優(yōu)化，進一步提升其市場競爭能力，對優(yōu)化私有云平臺、保障行業(yè)穩(wěn)定發(fā)展十分有利。除此以外，隨著新時代的到來，設計理念逐漸變得重要。吸引使用者的關鍵在于設計理念，故而設計理念創(chuàng)新在建設私有云平臺中占據(jù)著重要地位。建設私有云平臺是依據(jù)云計算推出的，過往私有云平臺所具備的內(nèi)容模式均難以滿足不同客戶的實際需求，私有云平臺建設需與行業(yè)發(fā)展獨特因素相結合。例如，企業(yè)可按照當前大眾想要的生活模式創(chuàng)建私有云，能夠以此為基礎著手主題建設，根據(jù)使用者需求播報某些綠色環(huán)保類型的新聞、講解可持續(xù)發(fā)展這一環(huán)保理念等，均存在較高的可行性。

5 結語

建設私有云平臺需要不同方面的保護及支持，只依靠有關工作者是遠遠不夠的。本文在概述私有云的基礎上，分析了私有云整體建設的思路，如資源池虛擬化、建設能力資源池等。不僅如此，對私有云整體建設關鍵技術也展開了細致分析，關鍵技術包括了軟件定義安全、微隔離與可視化虛擬網(wǎng)絡、虛擬化安全功能、資源池化安全能力、組件編排以及安全業(yè)務聯(lián)動等，進而提出提高私有云應用效果的具體措施，以供行業(yè)參考。