云计算系统服务产品规划.pptx

云系统服务产品规划 2012年5月 业界整体云服务 规划 云战略评估 云就绪性咨询 云架构和规划 标准化 企业部署模型 参考云实现 平台升级 整合 平台整合 集成的系统服 务 应用程序迁移 自动化 云运营模型 灾难恢复和故 障切换自动化 自助式供应 优化 计量/付费 服务质 量优化 业务发 展 云平台咨询服务 规划服务 机房与基础设施规划 资源优化 系统升级,快速割接 云安全 平台安全 数据安全 容灾 云平台交付服务 云平台运维服务 目录 云服务规划 目标产出:运维管理体系,包括: 运维组织/制度标准/运维工具 云服务规划 规划方法 1.分析现状 2.设计改进方案 3.服务改进 4.评估与持续改进 云服务规划 规划分析过程 云平台咨询服务 规划服务 机房与基础设施规划 资源优化 系统升级,快速割接 云安全 平台安全 数据安全 容灾 云平台交付服务 云平台运维服务 目录 机房与基础设施规划 机房设备 价格 PC机的价格具有明显优势 稳定性 同样无用质疑，PC服务器的稳定性优势明显。PC服务器设计连续工作时间是36524 小时，而PC的设计工作时间是8小时。目前没有长时间使用PC提供服务器的实际案 例。 管理 PC机不支持IPMI协议，没有远程带外管理 端口。 市场可选性 市场上提供的PC服务器型号多，选择性大。未发现提供机架式PC机的厂商。 通过权衡比较，在云计算系统平台中采用PC服务器作为计算节点。 机房与基础设施规划 目标产品 服务器 交换机 机柜 特点 性能稳定，性价比高 统一的安装、升级、配置、管理能力 可扩展 用途 用于易云部署 适用场景 适于大批量部署 不适于小批量部署场景 一次至少需要3台以上计算节点 云平台咨询服务 规划服务 机房与基础设施规划 资源优化 系统升级,快速割接 云安全 平台安全 数据安全 容灾 云平台交付服务 云平台运维服务 目录 资源优化 IT系统架构 系统性能持 续下降 不断增加的硬 件扩容压力 系统资源规划使用 的不合理带来了系 统的可用性下降 系统建设、升级时 无法获得个性化的 性能优化和容量规 划的服务 当新业务的上线时 ，是否会对现有系 统造成或着造成多 大的影响，无法做 到心中有数 运维阶段无法及 时获得完整的性 能状态信息以及 发展趋势 ? ? ? ? ? ? ? ? ? ? IT系统面临的考验 资源优化 能提供的服务 1基于云计算系统资源负载监控服务 通过负载监控服务，准确了解系统资源的实际负载能力，降低性能管理的 复杂性，在提供应用优化依据的基础上，对应用性能需求增长进行分配和管 理。包括Sytem瓶颈分析、I/O负载分析、Memory负载分析、Network流量分 析、DataFlow分析、Data Structure分析、Database统计分析、虚拟机负载分 析等。 2基于云计算应用性能需求解析服务 解析应用系统在不同业务运行的时间段，性能负载的量化解析。定制化应 用流程的性能需求解析，是系统优化的首要条件。 3基于云计算系统性能提升服务 通过负载监控和应用性能分析服务的结合，定位瓶颈的真正原因和严重情 形。同时依据数据的增长趋势，预测应用负载的发展趋势，满足不断发展的 应用需求，提出系统性能提升的解决方案。 4基于云计算系统升级方案评估服务 协助您充分评估各种不同升级方案的投资效益，选用更符合企业应用的系 统环境， 降低项目风险，提高应用运行效率。 资源优化 系统性能优化提升服务系统性能优化提升服务 系统升级方案评估系统升级方案评估系统性能提升方案系统性能提升方案 系统资源负载监控系统资源负载监控 数据库性能分析 (SQL Server, DB2、 Infomix, Oracle, MySQL) 应用性能需求分析应用性能需求分析 数据分析 (Data Structure) 应用2应用N应用1 应用分析 (峰值时段、性能 负载、瓶颈定位) 能提供的服务 资源优化 的系统优化体制、方法 1998年设立专业、专职的系统优化团队SSD(业务支撑事业部） 通过运用FEMA方法论，结合电信业务系统特点，从网络、主机、存储、 数据库、中间件、系统架构、业务逻辑等多方面进行系统性能的监控、 分析、优化；全面掌握系统情况，高效、准确地发现、解决问题！ 站在电信运营商的企业角度对业务支撑系统的整体（性能）负全责； 使系统失效之影响降至最低，使系統品质、可靠性、成本及维护性提升 至最佳状态。 传统的系统优化方法 被动式：出现问题后，集中应用软件、系统软件、系统集成、厂商方面的专 家，一起分析处理 散沙式：软硬分家，应用软件、系统软件、硬件各自为政，对自己的范围负 责 效率低下、推诿是传统系统优化方法的常见现象！ 资源优化服务的竞争力 资源优化 1 帮助企业定位IT系统 存在的问题，提升企 业IT系统的健壮性 2 帮助企业评估系统存 在的风险，提升企业 IT系统抗打击能力. 3 帮助企业评估各种不 同升级方案的投资收 益，提高企业应用运 行效率 4 为企业提供IT系统的 优化提供咨询服务， 提升企业对外提供服 务水平，提升客户满 意度，有效增加企业 收益. 客户能够得到什么 资源优化 从系统架构上给您提供系统性能优化提升的建议， 大幅提高目前系统性能30以上。 帮助企业定位IT系统存在的问题和风险，提升企业IT系统 的健壮性，降低故障率50以上。 帮助企业评估各种不同升级方案的投资收益，提高 企业应用运行效率。 为企业提供IT系统的优化提供咨询服务，提升企业对外 提供服务水平，提升客户满意度，有效增加企业收益。 客户能够得到什么 云平台咨询服务 规划服务 机房与基础设施规划 资源优化 系统升级,快速割接 云安全 平台安全 数据安全 容灾 云平台交付服务 云平台运维服务 目录 原则 安全 快速 低风险 场景一 P2V割接 P2V Physical to virtual 指将操作系统、应用程序或者数据从物理计算机迁移 到一个虚拟环境中。 P2V迁移有两种方案，一是通过首先准备割接上线环 境为准现网系统，另外一个是通过P2V工具进行割接 。方案一特点是割接速度快，只需要更新新产生的数 据即可，割接前准备工作比较复杂；方案二是操作简 单，适用场景有限，因为目前的P2V工具不能支持所 有的操作系统从物理机到虚拟机的迁移。 P2V工具 进行P2V割接迁移的 时候，尽量协调资源 ，整个业务平台进行 一次性割接，割接上 线系统与割接下线系 统之间保持各自独 立。这样可以降低割 接失败的风险，缩短 割接时间。 场景二 V2V割接 V2V virtual to virtual V2V 迁移是在Hypervisor物理主机之间进行的虚拟机迁 移。虚拟机从一个物理机上的 VMM 迁移到另一个物理机 的 VMM，这两个 VMM 的类型可以相同，也可以不同。 如 VMware 迁移到 KVM， KVM 迁移到 KVM。可以通过 多种方式将虚拟机从一个 VM Host 系统移动到另一个 VM Host 系统。 V2V割接有2种方式：完整复制和写时复制（CoW，Copy on Write）。 写入时复制 (CoW) 模式（仅将已修改的块写入磁盘）。只有采用文件作为后端的 VM 才支 持 CoW 模式。CoW 旨在节省磁盘空间和进行快速克隆，但会略微降低正常磁盘性能。采 用CoW方式，大大缩短了系统割接时间。 无论那种V2V割接，在新系统割接上线运行期间，割接下线的老系统都可待机状态，一旦发 现系统有问题，这可直接将老系统重新启动上线。这样不但确保了业务系统的安全可用，而 且大大降低了故障恢复时间。 场景三 硬件升级 这里的硬件升级主要是指服务器升级。 通过虚拟机在线迁移技术，在用户无感知的情况下进行硬件升级。 其特点是无缝割接，安全性高（即便硬件升级本身失败，也不会造成业务中断）。 App Server2 App Server 1 Mail Server DNS / DHCP Hypervisor Server 1 Hypervisor Server 2 Hypervisor Server 3 进行硬件升级 Hypervisor Hardware 场景四 软件升级 通过虚拟克隆技术，使得软件升级操作的安全性更高，对业务的中断时间要 求更短。 Hypervisor Hardware 需软件升级 进行软件升级、测试 虚拟机克隆 现网虚拟机下线升级后服务器上线 软件升级成功 云平台咨询服务 规划服务 机房与基础设施规划 资源优化 系统升级,快速割接 云安全 平台安全 数据安全 容灾 云平台交付服务 云平台运维服务 目录 攻击者使用云的理由与合法消费者相同低成本进行巨量处理 说明 密码破解、DDoS、恶意存取、垃圾邮件、c&c服务器、CAPTCHA破解 等 影响 现在在中搜索MalwareDomainL可获得21个结 果 “过去三年中，ScanSafe记录 了与amazonaws相关的80个恶意事件” ScanSafe博客 Amazon的EC2出现了垃圾邮件和恶意软件的问题 - Slashdot 举例 平台安全主要威胁 恶意使用 平台安全 由于不合适的访问控制或弱加密造成数据破解 因为多租户结构，不够安全的数据风险较 高 说明 数据完整性和保密性 影响 喂，别碰我的云：可以查询第三方电脑云中的数据泄漏（ UCSD/MIT） 研究详细技术，确保图像位于相同的物理硬件中，然后利用跨虚 拟机攻击检查 数据泄漏 举例 数据丢失/数据泄露 平台安全 1对数据进行加密 2改写安全软件开发生命周期 3了解供应商的修正、供应与保护 4记录、数据渗漏、精细客户分离 5强化虚拟机形象 6提供研究工具和流程，进行评估 能提供的服务 平台安全 私有云网络 移动办公人员 外部合作机构接入 分支机构接入 SC SM Patch ServerCore Network 业务服务器2 业务服务器1 认证后域 认证前域 隔离域 SACG1 SACG2 Internet 5.安全接入控制网关 4.SSL VPN网 关 3.防火 墙 6.终端管理、文档管理 1.IPSec VPN 2.SSL VPN 能提供网络安全服务 平台安全 办公云管理平台 NAT映射表 App OS App OS 办公云 Internet/ Intranet 非信任域 业务域 管理域 存储域 云存储中心 安全域划分和NAT映射 防 火 墙 业 务 板 IPS 业 务 板 高端防火墙硬件平台 接 口 板 主 控 板 防火墙处 理模块 IPS业务 处理模块 总流量 需要IPS 处理的 流量 只需要防 火墙处理 的流量 IPS分流流程 1.通过安全域的划分及安全策略的设置提高网络安全 级别 2.提供DDoS防护、NAT转换等功能 3.通过多种方法(复合签名,状态签名,协议异常)抵御来 自应用层的攻击 4.HTTP, SMTP, POP3, IMAP, FTP, DNS, P2P/IM, 广泛的协议支持 能提供网络安全服务 平台安全 l1.虚拟机隔离 p虚拟机VLAN隔离 p虚拟机安全组 p自定义虚拟机安全规则 l2.恶意虚拟机防护 p防地址欺骗功能 p阻断对VM端口扫描、嗅探等 l3.虚拟机镜像加密存储 l4.安全补丁管理 p系统安全定制、检查工具 l5.加固 p补丁测试、自动补丁安装、回退等机制 p精简加固OS l6.防病毒 pDomain 0安装AV软件 OS APP OS APP OS APP VM OS APP OS APP OS APP OS APP OS APP OS APP VMVM vSwitchvSwitchvSwitch vFirewall 能提的平台安全服务 云平台咨询服务 规划服务 机房与基础设施规划 资源优化 系统升级,快速割接 云安全 平台安全 数据安全 容灾 云平台交付服务 云平台运维服务 目录 数据安全 传输安全与数据加密 l基于SSL的安全传输，确保用户的数据在网络上不被窃取。 l数据加密采用对称式加密算法确保加密的速度，支持多种加密算法，如DES， 3DES，AES， 等 l数据加密密钥保存在云端，私钥无法读出，避免了恶意用户窃取到私钥而导致数据泄漏。 l采用MAC算法保证数据的完整性。 FWPEPE 企业网 数据中心 部门1 部门2 SSL VPN 基于SSL的安全传输传输，Diffie-Hellman的密钥协钥协商 SSL VPN 服务器存储 加密 传输 解密加密 密钥 存储 密钥服务器 支持多种加密算法的数据加密 用户需要获取数据，需先通过多因素身份认证，才能 获取该用户虚拟机权限 合法用户从密钥管理系统中获取数据属于该用户的 数据密钥 数据安全 终端数据安全 1、普通PC软件终端 lPC通过浏览器和协议客户端访问桌面云服务器，利用云服务器的计算能力和存储能力 l集中控制PC外设接口、屏幕拷贝、硬盘使用等 l启动多种认证方式（指纹、密码、智能卡、短信动态密码等） l软件集中控制屏保密码 2、瘦终端 l无存储设备、不保存数据 l安装数字证书，确保终端身份认证 l集中管理，统一配置端口禁用和启用状态 l可集中设置 USB端口作用，防止数据流失 数据 数据安全-文档安全 信息信息 泄密泄密 黑黑 客客 攻攻 击击 介质介质 遗失遗失 内部人员内部人员 泄密泄密 解决方案 文档泄密途径 技术 l 信息加密，根本保证文档安全 l 合理授权，主动防止非授权用户信息泄密 l 文档操作日志审计，有效追溯泄密行为 管理 l 建立安全保密制度 l 加强员工的保密教育 如何使用电子文档，又能防止机密外 泄？ 向 外 分 发 信 息 1、信息保护 l用户加密文件 l文件权限信息上传 1 2、安全验证 l 用户操作认证 l 密钥和权限信息 2 3、信息分发 l通过Internet, 邮件附件， lftp下载，其他存储设备 3 4、信息访问 l接收用户认证 l暂时获取密钥和权限 l授权离线操作，可缓存密钥 4 身份验证失败 无法下载权限信息 l禁止外部用户访问 无访问身份及访问权限 DSM服务器 外部用户 云平台咨询服务 规划服务 机房与基础设施规划 资源优化 系统升级,快速割接 云安全 平台安全 数据安全 容灾 云平台交付服务 云平台运维服务 目录 容灾 1. 潜在风险分析 2. 业务影响评估 3. RPO/RTO设计 4. 管理目标设计 5. 方案设计 6. 方案实施 7. 方案验证 8.灾难恢复计划设计 9.灾难恢复计划管理 的容灾服务 1数据集 中 高可靠性 高性能 可扩展性 管理简单 2数据备 份 数据冗余 异地存放 系统恢复 3数据流 程 备份策略 介质管理 恢复演练 监督措施 绩效考核 4服务器 虚拟化 服务器资 源整合 存储资源 整合 应用级冗 余 5容灾系 统 数据容灾 应用容灾 容灾 的容灾服务 容灾 P1 (Protection Level 1) 定时数据保护 P2(Protection Level 2) 实时数据保护 P3 (Protection Level 3) 应用容灾保护 P4 (Protection Level 4) 异地容灾保护 容灾保护级别 云平台咨询服务 云平台交付服务 系统平台安装 系统平台测试 云平台运维服务 基础设施维护 云平台运营 SLA 目录 系统平台安装 系统平台软件安装 系统平台硬件安装 IBM 小型机 HP 小型机 SUN 小型机 IBM PC Server HP PC Server DELL PC Server CISCO防火墙 HUAWEI防火墙 CISCO 路由器 HUAWEI 路由器 提供安装服务 云安装 虚拟机安装 Xen安装 操作系统 云平台咨询服务 云平台交付服务 系统平台安装 系统平台测试 云平台运维服务 目录 系统平台测试 云终终端 测试测试 侧重于设备 兼容性测试 和用户易用性测试 ：接入设备 适配性测 试、接入设备 功能性测试 、数据安全性测试 等 云平台 测试测试 侧重点是API、版本认证 等：数据中心基准测试 、虚拟机安全性测 试、云计算平台兼容性测试 等 云设设施 测试测试 侧重于为厂商提供云计算产品符合性测试 服务：基准测试 、存储 能耗测试 、基础设 施兼容性测试 、安全性测试 等 云应应用 测试测试 侧重于部署在云系统中的应用软件的可移植性和可用性测试 ：对应 用的功能、性能、稳定性、易用性等进行体验测试、负载测试 等 提供的测试服务 系统平台测试 云平台咨询服务 云平台交付服务 云平台运维服务 基础设施维护 云平台运营 SLA 目录 基础设施维护 7x24小时现场 值守监控服务 第一时间故障报告 故障跟踪、反馈 机房的配套设施 提供基础维护 定期例会 通报系统运行情况 日常巡检 日常清洁维护 系统监测 为相关设备及信息 提供安全服务 系统统代维维服务务 1值值守服务务 2维护维护服务务 4日常服务务 6故障响应应 3运行例会 5机房安全服务务 的运维服务 基础设施维护 客户收益 协助用户规范机房系统维护制度 7*24值守，第一时间故障反馈 确保业务系统稳定运行，使故障对业务的影响降到最 低 解决了客户维护人员不足的问题 解决了客户机房维护的后顾之忧 解决客户后顾之忧解决客户后顾之忧 1 1 确保业务稳定运行确保业务稳定运行 2 2 规范机房维护制度规范机房维护制度 3 3 基础设施维护 系统维保服 务流程 基础设施维护 的服务方式 硬件故障解决服务(现场,电话) 备件更换服务 硬件清洗服务 硬件状态评估服务 硬件资源迁移服务 搬迁服务 基础设施维护 服务质量管理与考核 服务质量评估标准总分加权 电话 支持 客户将获得工程师提供的电话 技术支持服务，包括技术咨询，故障 分析，远程诊断，将对严 重问题 迅速升级，包括将问题 升级到高级处 理 中心和派遣当地工程师迅速到达现场 。 客户对 当次电话 支持不满意并提出书面投诉，经由双方调查 核实后 ，每次投诉扣除5分。 10020% 现场 响应 工程师应根据服务级别 和客户定义的事故紧急程度，在规定时间 到 达现场 。现场 工程师响应时间 定义：从工程师与客户确定需要提供现场 服务到实际 到达现场 的时间间 隔。 客户对 当次现场 响应时间 不满意并提出书面投诉，经由双方调查 核 实后，每超过30分钟扣除1分。 10040% 服务技能与服务 态度 工程师经 由的培训和认证 ，应具备较 高的技术技能和服务水准。 客户对 当次工程师服务技能与服务态 度不满意并提出书面投诉，经 由双方调查 核实后，每次投诉扣除5分。 10020% 跟踪维护 支持 将及时通告可能造成系统故障的潜在问题 并提供解决方案。 客户对跟踪维护 支持不满意并提出书面投诉，经由双方调查 核实后 ，每次扣除5分。 10020% 云平台咨询服务 云平台交付服务 云平台运维服务 基础设施维护