將 IaaS 用于 PaaS

Ververica 發布于2019-04-25 17:34 / 3618人閱讀

摘要：由于負載平衡兼容性問題，許多企業無法反映他們在私人數據中心使用的服務以便用于公共。應用程序的示例包括船到港和離港時間表客戶關系管理人力資源和電子表格。設置閾值水平實現故障轉移用戶數據請求資源社交媒體負載平衡和虛擬桌面。

探索 PaaS 開發人員可以使用的 IaaS 交付服務

在一個云島上，PaaS 開發人員通常在博客上和 IaaS 網絡專家討論開發人員使用 IaaS 虛擬機的不同方法。有一天，開發人員無法運行和測試一個應用程序。他抱怨說，當他發現的時候已經太晚了，虛擬機的容量已不足以處理突然增加的大數據量，這些數據是滿足日益增長的合規性需求所必需的。

該 PaaS 開發人員并不能控制虛擬機，所以他立刻通知 IaaS 專家，要求他增加虛擬機的容量。IaaS 專家回應開發人員，增加了他所需要的虛擬機容量。專家對沒有設置閾值策略表示歉意，并要求將策略設置到位。

IaaS 專家對所有開發人員發起了一個網絡會議。議程包括：

開發人員如何使用 IaaS 實現不同服務（除了測試）
可與 IaaS 商討的閾值策略
建立需求策略能力
IaaS 提供的 Layer 4-7 云網絡服務

本文將探討可供 PaaS 開發人員使用的 IaaS 供應商交付服務，詳細介紹 PaaS 可用的交付服務，以及考慮應該采用哪種級別的多防御機制更好地保護 IaaS，以防止云濫用。

Layer 4-7 云網絡

Layer 4-7 云網絡服務是增加虛擬機容量的一種方法，但是這類服務在 2012 年的 IaaS 市場上就已經很少見了。由于負載平衡兼容性問題，許多企業無法反映他們在私人數據中心使用的 Layer 4-7 服務（以便用于公共 IaaS）。如果應用程序需要復雜的負載平衡和專有防火墻，那么企業將無法進行遷移。

許多 IaaS 供應商可以出售 Layer 4-7 云網絡服務，但是這些服務往往是有限的，有時是專用的。供應商無法提供足夠的負載平衡能力。

2013 年，虛擬應用程序交付控制器 (ADC) 和 WAN 優化控制器增長迅速。許多企業能夠利用這些控制器在 IaaS 供應商的云中復制他們的Layer 4-7 服務。但是，您可能會發現，有些 IaaS 供應商往往不愿為您提供 Layer 4-7 服務。提供 Layer 4-7 服務的供應商能夠為 PaaS 開發人員提供許多 IaaS 的交付服務。（請參閱 IaaS 供應商服務交付模式，獲取有關的更多信息。）

Layer 4-7 在網絡包中引用了兩個可以識別其內容的層。它們能夠識別創建請求的包和規范的應用程序。檢查第 4 層可以識別 HTTP 通信（Web 通信），而檢查第 7 層可以決定 HTTP 請求針對什么。

云服務模型的用戶

除了 IaaS 專家之外，PaaS 還可以為 SaaS 用戶所用。模型用戶（獨立用戶或者組用戶）可使用云進行：

按需獲取 SaaS。
使用 SaaS 構建應用程序。
使用 IaaS 虛擬機。

按需獲取 SaaS

當按需獲取 SaaS 時，SaaS 終端用戶擁有最少的控制，而供應商擁有最多的控制。

終端用戶控制: 無論他們是個人、企業（小型或者中型），還是政府機構，終端用戶擁有的惟一控制就是從移動設備的分區上訪問 SaaS 應用程序。SaaS 應用程序的示例包括船到港和離港時間表、客戶關系管理、人力資源和電子表格。
終端用戶使用公司允許的社交媒體工具彼此進行交流，包括在 PaaS 上構建 SaaS 應用程序的 PaaS 開發人員。
SaaS 供應商控制: 供應商至少能夠通過限制授權用戶的數量來管理訪問控制，正如用戶閾值策略所述（參閱參考資料），授權用戶可以同時從移動設備或者虛擬桌面訪問應用程序。供應商控制授權用戶的數量，這些用戶能夠訪問各個虛擬桌面實例，正如虛擬桌面閾值中所述。供應商還控制運行 SaaS 所需的操作系統、服務器和基礎架構。; ?

使用 PaaS 構建 SaaS

當使用 PaaS 構建 SaaS 時，PaaS 開發人員擁有更多的控制，而供應商擁有的控制則較少。

開發人員控制: 開發人員控制和保護整個業務周期中使用 PaaS 創建的所有應用程序。例如，開發人員構建、部署、測試并運行一個自定義的船只到港和離港管理應用程序。開發人員控制從企業內部數據中心遷移出來的應用程序。他們可以設置用戶和虛擬桌面閾值級別。
開發人員使用公司認可的社交媒體工具與 SaaS 終端用戶、IaaS 專家、其他開發人員和供應商進行通信。
PaaS 供應商控制: 供應商至少控制運行 SaaS 應用程序所需的操作系統、服務器和網絡基礎架構，開發新的企業應用程序，或者測試云中現存應用程序的伸縮性。
供應商還控制可下載到開發人員移動設備的社交媒體工具。他們設置資源、數據請求、社交媒體和負載平衡閾值水平。; ?

使用 IaaS 虛擬機

當使用 IaaS 虛擬機時，IaaS 基礎架構或者網絡專家擁有最多的控制權。

網絡專家控制

基礎架構或者網絡專家：

在虛擬機級別上控制操作系統、網絡設備以及已部署的應用程序
能夠擴展或者縮小虛擬機服務器或者存儲區塊
使用社交媒體工具與其他 IaaS 基礎架構專家、PaaS 開發人員以及供應商通信

基礎架構專家能夠設置用戶、負載平衡和虛擬桌面閾值水平。

IaaS 供應商控制

供應商至少可以控制虛擬機下的傳統計算資源基礎架構，以及需要哪個移動應用程序訪問 IaaS。供應商還控制合作環境下使用的社交媒體工具。供應商設置用戶、資源、數據請求、社交媒體和負載平衡閾值水平。

IaaS 供應商的服務交付模型

IaaS 供應商為 IaaS 基礎架構專家或者網絡專家提供 PaaS 開發人員可使用的 IaaS 交付服務。這些服務包括：

災難恢復
故障恢復服務
計算即服務
存儲即服務
數據中心即服務
虛擬桌面基礎架構
高輸入/輸出云爆發
測試環境

本小節其余部分針對各個 IaaS 服務，介紹 IaaS 基礎架構專家應該完成什么任務，以及 PaaS 開發人員如何使用該服務。

災難恢復服務

IaaS 基礎架構專家使用該服務來：

將多個災難恢復系統合并成一個單一的虛擬化實例。
與多個 IT 應用程序共享同一個實例。

PaaS 開發人員能夠就以下問題與 IaaS 基礎架構專家進行協商：

應用程序開發項目的多帶帶災難恢復計劃
獲取資源的閾值策略：用戶、數據請求、資源、社交媒體、負載平衡和虛擬桌面

故障轉移服務

基礎架構專家使用故障轉移服務制定一個計劃，使所有虛擬機在發生故障時都可以通過 IaaS 本地或遠程轉移到健康的服務器上。

PaaS 開發人員可能會與基礎架構專家進行協商：

運行一個特殊應用程序，PaaS 開發該應用程序是為了將故障轉移到健康的虛擬機上。
設置閾值水平實現故障轉移：用戶、數據請求、資源、社交媒體、負載平衡和虛擬桌面。

?計算即服務

基礎架構專家保證即付即用服務能夠為兩種類型的 PaaS 應用程序需求提供充足的按需容量：

企業決策支持系統，它們需要大型數據集
季節性的或短期的應用程序項目

當 PaaS 開發人員需要構建、運行、測試和部署應用程序時，他們可以選擇使用計算即服務。他們可能會與基礎架構專家商議閾值策略。

?存儲即服務

基礎架構專家保證特定的虛擬機能夠：

用作存儲即服務，以滿足兼容性和數據保護需求
通過擴展來存儲呈指數增長的企業應用程序非結構化數據

PaaS 開發人員能夠使用存儲即服務存儲測試數據，將它們用于大量應用程序開發中。他們可能會與基礎架構專家商討設置資源、負載平衡以及數據請求的閾值水平。

?數據中心即服務

基礎架構專家能夠將 IaaS 設置為數據中心即服務，滿足 PaaS 開發人員的計算密集型數據中心容量需求。PaaS 開發人員可與基礎架構專家協商設置資源、平衡負載和數據請求的閾值水平。

?虛擬桌面基礎架構

基礎架構專家通過以下方法設置虛擬桌面的基礎架構：

在服務器上運行的虛擬機上安裝一個桌面操作系統
指定哪個物理桌面和移動設備可在虛擬桌面上運行

PaaS 開發人員可能會和基礎架構專家進行協商：

限制他們可以使用的虛擬機數量，正如在虛擬桌面閾值中所描述的那樣
建立各個虛擬桌面的配置準則
設置資源、負載平衡和虛擬桌面的閾值水平

?高輸入/輸出/云爆發

基礎架構專家幫助企業開發人員將企業的基礎架構整合到云中。IaaS 供應商會為企業提供 Layer 4-7 服務，幫助 IaaS 專家保證企業能夠使用 PaaS 創建一個靈活的、高度可伸縮的應用程序主機環境。

PaaS 開發人員使用 IaaS，使以下這些應用程序產生云爆發：

強加季節性資源需求，而企業的內部數據中心無法滿足這些需求
需要額外的可滿足峰值需求的容量，而不影響虛擬機資源

?測試環境

基礎架構專家建立開發的配置或者測試環境，并確保測試環境能夠快速響應來自 PaaS 開發人員的計劃內和計劃外（短期的）測試請求。

PaaS 開發人員使用 IaaS 來：

減少未充分利用的容量和設備。
支持所有軟件測試階段。
執行擴展性測試。

風險遷移計劃

本小節介紹風險遷移的五個實踐步驟。從 IaaS 災難中恢復 PaaS 時，這些步驟會使您的工作更加輕松。如果威脅的優先級發生改變則重復這些步驟。當優先級發生改變時，保障需求和成本也會相應地發生改變。

?識別資產

首次執行風險評估時，需要識別 IaaS 和 PaaS 組件。您的評估應該包括 IaaS 災難恢復服務計劃、虛擬操作系統、服務器、桌面和所有相關的安全策略。需要識別的其他資產還包括：

IaaS 供應商的交付服務，包括災難恢復、故障轉移服務和存儲即服務
授權 SaaS 用戶、PaaS 開發人員以及 IaaS 基礎架構專家的聯系信息
企業服務器，用于遠程控制移動計算機（物理的或者虛擬的），可是個人控制也可使團隊控制
公司認可的社交媒體工具，作為移動計算機、平板電腦、設備以及虛擬桌面用戶間的近實時通信工具
閾值策略：用戶、數據請求、資源、社交媒體、負載平衡和虛擬桌面
服務水平協議 (SLA) 的類型：外部、內部或者內化的（請參閱參考資料）
路線圖，顯示 IaaS 專家、PaaS 開發人員和基礎架構供應商之間的復雜 SLA 關系

?分析關鍵信息

在移動設備或者虛擬桌面上識別關鍵信息，PaaS 開發人員可以使用以下這些信息：

構建、運行、測試和部署應用程序。
檢查 IaaS 的健康狀況。
通過社交媒體工具進行通信。

下載到 PaaS 上的公司數據往往是最重要的，包含公司的會計記錄和 C 級主管的聯系信息。

?分析漏洞

列出一個漏洞清單，這些漏洞可用在移動設備、虛擬桌面和虛擬機上。對漏洞進行定性評級，可分為高、中、低三個級別。例如，通過移動設備產生的 PaaS 威脅至少有五個漏洞：

沒有設置設備密碼。
沒有應用程序社交媒體。
沒有提供遠程數據清除。
沒有開啟數據加密。
性能監控不充足。

每個漏洞都被評定為高級漏洞。利用這些漏洞，黑客無需密碼或者生物認證（指紋或者虹膜掃描）就可以進入設備，查看從 IaaS 健康面板中下載的未加密信息。

如果漏洞的優先級發生變化，或者同一威脅出現新的漏洞，則必須重復這一步驟。例如，假設由于移動技術或者用戶對 IaaS 中的網絡基礎架構認知發生了改變，出現了一個不同類型的 PaaS 漏洞。您必須重新評估和進行遷移風險，從識別資產開始。

?評估風險

評估黑客利用漏洞的可能性或者風險，以及因此所造成的企業在收益和名譽上的損失。可能性的值在 0 和 1 之間。當高可能性趨于 1 時，漏洞被利用的概率就會很高。值為 0 就意味著沒有風險，也不會產生云濫用或者云關閉。可能性的值越低，您使用成本有效的安全設施遷移云濫用風險的機會就越大。

解決問題

即使是較好的可用云服務信息保險產品也有其固有的弱點。經驗豐富的敵人能夠利用技術在這些產品中發現他們能夠利用的漏洞。對手在某個產品中發現的可利用漏洞在其他產品中可能并不存在。

要解決這一問題，需要建立一個應對策略，在對手與其目標（IaaS 和 PaaS）間部署多個防御機制層。每個經濟有效的機制都必須顯示其阻止對手的獨特障礙。當減少對手成功滲透到 IaaS 供應商交付服務的機會時，就能更好地幫助檢測對手。

這里至少有五個建立防御層的技巧。

被動類攻擊：

第一層防御：網絡層加密
第二層防御：社交媒體、負載平衡和虛擬桌面閾值

內部類攻擊：

第一層防御：物理和個人安全
第二層防御：審計、訪問控制和相關安全策略

開發類攻擊：

第一層防御：物理和個人安全
第二層防御：云服務和社交媒體工具的技術監督對策

發布類攻擊：

第一層防御：信任的軟件發布
第二層防御：運行時完整性和受保護的存儲控制

積極類攻擊：

第一層防御：防御 enclave 邊界（例如，外部防火墻）。
第二層防御：防御供應商的數據中心（例如，內部防火墻），和/或虛擬機故障轉移到美國境內的健康安全的數據中心。

在現實中，有多種針對 IaaS 交付服務、社交媒體以及云服務的攻擊。每種類型的攻擊有更多層的防御。每層防御都能夠進一步被分解為較低層的防御，而它們之間也有各種復雜的關系。如需獲得更多信息，請參閱 National Security Agency 的 “Defense in Depth” 一文（參閱參考資料）。

結束語

本文重點介紹了您為什么應該考慮采用較佳實踐來開發 PaaS 開發人員可以使用的 IaaS 供應商交付服務。確保 IaaS 供應商能夠為您的企業提供兼容的 Layer 4-7 服務，將應用程序遷移到云。三個最重的 IaaS 交付服務包括：災難恢復、故障轉移和云爆發服務。負載平衡和虛擬桌面閾值是全新的概念，已添加到其他閾值術語的清單中。我們需要建立一個團隊，并且使這個由開發人員、經理、業務分析人員和系統工程師組成的團隊更輕松地為 PaaS 開發人員提供 IaaS 交付服務。

參考資料

如需獲取關于風險遷移的更多信息，請閱讀作者的以下文章：
- “制定移動設備安全策略”（developerWorks，2011 年 10 月）：構成云移動安全策略的四個變量。
- “云計算與網格計算：服務類型、異同點及有關問題”（developerWorks，2009 年 3 月）：探討安全性問題，以及云中 Web 開發的選擇。
- “改變應用程序行為：從內部轉到云上”（developerWorks，2011 年 3 月）：將數據庫中心應用程序遷移到云上：主動而非被動。
- “云服務：降低風險，保持可用性”（developerWorks，2011 年 3 月）：云服務安全，以及如何將風險遷移到云服務器，保證高度的正常運行時間可用。
- “制訂云性能指標策略”（developerWorks，2011 年 9 月）：確保云性能的三項前瞻性措施：監控、測試和構建策略。
- “制定一個面向 SaaS 的 Web 應用程序漏洞緩解策略”（developerWorks，2012 年 6 月）建立面向 SaaS 的 web 應用程序漏洞緩解策略，它能預測應用程序故障出處，并提供幾個預定義的解決方案來解決這些問題。
- “降低云資源枯竭停機的風險”（developerWorks，2013 年 2 月）：使用服務級別協議和其他前瞻性工具避免云停機。
如果要獲取更多關于閾值策略的信息，請閱讀作者的以下文章：
- “在云環境中平衡工作負載：使用閾值策略動態平衡工作負載”（developerWorks，2011 年 1 月）：學習什么是閾值策略以及它如何在云環境中幫助動態地平衡負載需求。
- “云計算與網格計算：服務類型，異同點及有關問題 ” （developerWorks，2009 年 3 月）：探索一些安全問題以及云中 web 開發的選擇。
- “在云上構建積極的閥值策略”（developerWorks，2011 年 5 月）：發現目的、范圍、背景、用戶控制、行動以及約束的影響。
- “為關鍵的云組件構建并采用閾值標準”（developerWorks，2013 年 2 月）：特定于云的閾值標準，以及故障發生時采取的前瞻性措施的場景。
Defense in Depth（National Security Agency）在當今的高度網絡化環境下實現信息保障。
云網絡上的更多信息：
- Networking outlook: Controllers, Layer 4-7 will roil SDN 2013 market（SearchNetworking，2013 年 1 月）：2013 年，應該為軟件定義的網絡準備什么。
- Layer 4-7 cloud networking still scarce in IaaS market（SearchNetworking，2012 年 8 月）：Layer 4-7 網絡服務在技術上和操作上依然是一個令人頭痛的問題。
了解如何訪問 IBM SmartCloud Enterprise。
在 developerWorks 的云開發人員參考資料，發現和共享應用程序的知識和經驗，并幫助開發人員構建他們自己的云部署項目。
關注 Twitter 上的 developerWorks。

文章版權歸作者所有，未經允許請勿轉載,若此文章存在違規行為，您可以聯系管理員刪除。

轉載請注明本文地址：http://m.specialneedsforspecialkids.com/yun/4048.html

專家：IaaS阻礙PaaS云架構發展

摘要：我對美國康卡斯特電信公司會放棄對整個運營環境的控制權持懷疑態度，該公司融合產品架構師表示。這個美國的電信巨頭使用的是亞馬遜服務架構打造。選擇真正PaaS的組織已經部署完畢，因為PaaS能讓他們自己部署，并且只需花費少量成本與人力資源就能在內部或IaaS上實施。但是PaaS云架構仍然讓企業猶豫不決。美國邁阿密的Choose Digital提供一個數字市場平臺，將客戶白標簽作為忠誠和親和力...

Luosunce 2019-04-25 17:38 評論0 收藏0
IaaS vs PaaS vs SaaS：應該選擇哪一個?

摘要：根據調研機構公司最新的全球公共云服務支出調查預測，云計算支出增長速度比整體支出快七倍。領先的云計算供應商提供廣泛的不同計算和存儲實例，使客戶能夠選擇最符合他們需求的性能特征。在云計算的早期階段，企業面臨的最大問題是他們是否應該使用公共云服務。如今，幾乎所有的組織都在采用一些公共云服務。更重要的問題是企業應該使用哪種云服務：基礎設施即服務（IaaS），平臺即服務（PaaS），還是軟件即服務（S...

Riddler 2019-04-30 11:36 評論0 收藏0
一文讀懂什么是混合IT？

摘要：然而，一些客戶只是依靠混合作為一種臨時解決方案，并計劃最終將所有資源遷移到云平臺。根據公司最近的一份調查報告，已經有近一半的服務都是云計算服務。混合成本按需付費定價是混合采用的主要推動力。人們需要了解當今大多數企業使用混合IT的原因，以及這個計算模型與純粹云計算和無云替代方案的比較。混合IT是一種企業計算模型，其中組織通過傳統的內部IT系統提供一些資源，同時還將云計算服務的某種組合用...

Gu_Yan 2019-05-05 14:49 評論0 收藏0
PaaS仍舊缺席別談云計算格局已定

摘要：而不久之后將正式登場亮相的服務商們或將成為未來改寫中國云計算市場格局的一個個因素。因此，在仍舊缺席的中國云計算市場說格局已定，還為時尚早。云計算業內對IaaS和SaaS的關注度素來高漲。相比之下，關于PaaS的討論則頗為冷清。想圍繞PaaS寫個三部曲的想法由來已久，年初接連完成兩篇（《PaaS是位好同志，但SaaS公司搞PaaS卻不大靠譜》《夾縫求生，PaaS要靠什么來刷存在感？》），第三篇...

William_Sang 2019-04-30 11:27 評論0 收藏0
從單租戶IaaS到多租戶PaaS——金融級別大數據平臺MaxCompute的多租戶隔離實踐

摘要：摘要在年云棲大會北京峰會的大數據專場中，來自阿里云的高級技術專家李雪峰帶來了主題為金融級別大數據平臺的多租戶隔離實踐的演講。三是運行隔離機制。針對這一問題，提供了多層隔離嵌套方案以便規避這種潛在的安全風險。摘要：在2017年云棲大會?北京峰會的大數據專場中，來自阿里云的高級技術專家李雪峰帶來了主題為《金融級別大數據平臺的多租戶隔離實踐》的演講。在分享中，李雪峰首先介紹了基于傳統Iaa...

beanlam 2019-06-24 17:58 評論0 收藏0