2022信息技术 云计算参考架构

信息技术云计算参考架构目 次前 言 III范围 1规范性引用文件 1术语和定义 1缩略语 2约定 4CCRA的目的和目标 5参考架构概念 5CCRA的架构视图 5云计算用户视图 6云计算功能视图 8用户视图和功能视图之间关系 9用户视图与共同关注点以及功能视图与共同关注点之间关系 10云计算实现视图 10云计算部署视图 11用户视图 11角色、子角色和云计算活动概述 11云服务客户 12云服务提供者 16云服务合作者 23共同关注点 25功能视图 32分层框架 32功能组件 34用户视图与功能视图之间关系 42概述 43服务能力组件 43常用角色、活动和组件 44多租户和隔离 46实现视图 46资源层组件 46服务层组件 48访问层组件 54用户层功能组件 55跨层功能组件 59I部署视图 68定义环境和流程 69定义度量指标与指标采集方法 71定义部署步骤 72附录 A（资料性）关于用户视图和功能视图的进一步描述 74云服务客户和云服务提供者关系 74供和等供“间关系 76云服务开发者和云服务提供者关系 79云服务提供者和审计者关系 80参考文献 82IIPAGEPAGE1PAGEPAGE10信息技术云计算参考架构范围本文件适用于云计算相关产品的设计、开发以及测试。规范性引用文件（包括所有的修改单适用于本文件。GB/T32400-2015信息技术云计算参考架构GB/T36325-2018信息技术云计算云服务级别协议基本要求术语和定义GB/T32400-2015界定的以及下列术语和定义适用于本文件。架构architecture个人标识信息personallyidentifiableinformationPII能用于识别相关的PII主体，或可能与某PII主体直接或间接相关的信息。注：为了判定某个PII主体是否可识别，必须考虑持有数据的隐私相关方或其他参与方为识别某自然人能合理采取的所有措施。activity一组特定任务的集合。云服务产品cloudserviceproduct与一组商业条款一同被提供的一个云服务。注：商业条款能包括定价、定级和服务水平。功能组件functionalcomponent参与活动（3.3）所需的，可实现的一个功能构件块。对等云服务peercloudservice某个云服务提供者提供的，用于组成其他一个或多个云服务提供者云服务的云服务。对等云服务提供者peercloudserviceprovider为其它一个或多个云服务提供者提供部分云服务的云服务提供者。产品目录productcatalogue云服务提供者提供给云服务客户的所有云服务产品（3.4）列表。角色role一组服务于共同目的的活动（3.3）的集合。服务目录servicecatalogue某个云服务提供者的所有云服务的列表。子角色sub-role给定角色（3.9）的活动（3.3）的子集。制品artifact由源码编译打包生成的二进制文件。缩略语下列缩略语适用于本文件。API：应用编程接口（ApplicationProgrammingInterface）ARM：高级精简指令集机器（AdvancedRISCMachine）BGP：边界网关协议（BorderGatewayProtocol）CaaS：通信即服务（CommunicationsasaService）CAS：集中鉴别服务（CentralAuthenticationService）CCRA：云计算参考架构（CloudComputingReferenceArchitecture）CIFS：公共互联网文件系统（CommonInternetFileSystem）CPU：中央处理单元（CentralProcessingUnit）CS：云服务（CloudService）CSC：云服务客户（CloudServiceCustomer）CSN：云服务合作者（CloudServicePartner）CSP：云服务提供者（CloudServiceProvider）CSV：逗号分隔值（Comma-SeparatedValues）DHCP：动态主机配置协议（DynamicHostConfigurationProtocol）DNAT：目标网络地址转换（DestinationNetworkAddressTranslation）DNS：域名系统（DomainNameSystem）DPDK：数据平面开发套件（DataPlaneDevelopmentKit）ETL：提取、转换、加载（Extract、Transform、Load）PAGEPAGE11PAGEPAGE4FCSAN：光纤信道存储区域网络（FibreChannelStorageAreaNetwork）FLAT：完全自适应传输协议（FullLayerAdaptiveTransportProtocol）FPGA：现场可编程门阵列（FieldProgrammableGateArray）GENEVE：通用网络虚拟化封装（GenericNetworkVirtualizationEncapsulation）GPU：图形处理器（GraphicsProcessingUnit）GRE：通用路由封装（GenericRoutingEncapsulation）HTTP：超文本传输协议（HypertextTransferProtocol）HTTPS：安全套接层协议上的超文本传输协议（HyperTextTransferProtocolSecure）IaaS：基础设施即服务（InfrastructureasaService）ICT：信息和通信技术（InformationandCommunicationTechnology）IDC：互联网数据中心（InternetDataCenter）IDE：电子集成驱动器（IntegratedDriveElectronics）IO：输入输出（InputOutput）IOPS：每秒进行读写操作的次数（Input/OutputOperationsPerSecond）IP：互联网通信协议（InternetProtocol）IPSec：IP安全协议（InternetProtocolSecurity）IPv4：互联网协议第四版（InternetProtocolversion4）IPv6：互联网协议第六版（InternetProtocolversion6）IPSAN：IP信道存储区域网络（IPStorageAreaNetwork）KMS：密钥管理服务（KeyManagementService）KPI：关键性能指标（KeyPerformanceIndicator）KVM：基于内核的虚拟机（Kernel-basedVirtualMachine）L2TPVPN：二层隧道协议VPN（Layer2TunnelingProtocolVPN）LDAP：轻型目录访问协议（LightweightDirectoryAccessProtocol）MAC：媒体访问控制（MediaAccessControl）MIPS：无联锁管道级微处理器（MicroprocessorwithoutInterlockedPipedStages）MPP：大规模并行处理（MassivelyParallelProcessing）MSA：主服务协议（MasterServiceAgreement）NaaS：网络即服务（NetworkasaService）NAS：网络附属存储（NetworkAttachedStorage）NAT：网络地址转换（NetworkAddressTranslation）NFS-v3：网络文件系统第三版本（NetworkFileSystemVersion3）NPU：神经网络处理器（NeuralProcessingUnit）NUMA：非一致性内存访问架构（NonUniformMemoryAccess）OAuth2.0：开放授权2.0（OpenAuthorization2.0）OCR：光学字符识别（OpticalCharacterRecognition）OSPF：开放最短路径优先（OpenShortestPathFirst）OSS：运营支撑系统（OperationalSupportSystem）PaaS：平台即服务（PlatformasaService）PCI：外围组件互联（PeripheralComponentInterconnect）QoS：服务质量（QualityofService）RAID：独立冗余磁盘阵列（RedundantArraysofIndependentDisks）RAM：随机访问内存（RandomAccessMemory）RIP：路由信息协议（RoutingInformationProtocol）RISC：精简指令集计算机（ReducedInstructionSetComputer）S3：简单存储服务（SimpleStorageService）SaaS：软件即服务（SoftwareasaService）SATA：串口硬盘（SerialAdvancedTechnologyAttachment）SCSI：小型计算机系统接口（SmallComputerSystemInterface）SLA：服务水平协议（ServiceLevelAgreement）SMP：对称多处理（SymmetricMultiprocessing）SNAT：源地址转换（SourceNetworkAddressTranslation）SQL：结构化查询语言（StructuredQueryLanguage）SR-IOV：单根I/O虚拟化（Single-RootI/OVirtualization）SSL：安全套接层（SecureSocketLayer）TLS：传输层安全（TransportLayerSecurity）ToS：服务条款（TermsofService）T&C：条款（TermsandConditions）UDP：用户数据报协议（UserDatagramProtocol）USB：通用串行总线（UniversalSerialBus）VCPU：虚拟CPU（VirtualCPU）VirtIO：虚拟输入/输出（VirtualInput&Output）VLAN：虚拟局域网（VirtualLocalAreaNetwork）VMDK：虚拟硬盘格式（VirtualMachineDiskFormat）VPC：虚拟私有云（(VirtualPrivateCloud）VPN：虚拟专用网（VirtualPrivateNetwork）VM：虚拟机（VirtualMachine）VXLAN：虚拟扩展局域网（VirtualExtensibleLocalAreaNetwork）XML：可扩展置标语言（ExtensibleMarkupLanguage）XLSX：Excel开放式电子表格（ExcelOpenXMLSpreadsheet）约定本文件使用图来帮助理解CCRA。图1给出了图中使用的图例。注：图1中，“关注点”指的是共同关注点。图1本文件的图中使用的图例CCRACCRA的目的包括：描述云计算的利益相关者群体；描述云计算系统的基本特征；规范基本的云计算活动和功能组件，描述它们之间的关系以及它们与环境之间的关系；CCRA为云计算建设的设计、改进和应用提供指引。CCRA的核心标准化目标包括：有助于制定一系列协调配套的的云计算国际标准；为定义云计算标准提供一个技术中立的参考点；在识别云计算利益和风险时提倡开放性和透明性。CCRACCRA可能会限CCRACCRA并不依赖于任何具体提供商的产品、服务或参考实现，也不定义有碍创新的常规方案。CCRA还用于：帮助理解云计算的运营复杂性；展示和理解各类云服务以及服务的供应和使用；为国际社区理解、讨论、分类和比较云服务提供技术参考；为使用通用的参考架构描述、讨论和编制系统特定的架构提供工具；促进在下述领域进行潜在标准分析，包括：安全、互操作性、可移植性、可复原性、可靠性和服务管理，同时支持后续的参考实现分析。参考架构概念CCRACCRA的四个不同架构视图之间的转换见图2。图2不同架构视图之间的转换每个视图的描述见表1。1CCRACCRA视图视图描述范围用户视图系统环境、参与方、角色、子角色和云计算活动范围内功能视图支撑云计算活动的所需功能范围内实现视图实现服务和/或基础设施部件内的云服务所需的功能范围内部署视图基于已有或新增的基础设施，对云服务功能的技术实现范围内用户视图向功能视图的转换见图3，用户视图和功能视图之间关系见7.4。图3用户视图向功能视图的转换云计算用户视图用户视图涉及以下云计算概念：云计算活动；角色和子角色；参与方；云服务；云部署模型；共同关注点。用户视图所定义的实体见图4。图4用户视图实体云计算活动云计算活动被定义为一组特定任务的集合。云计算活动需要有一个目标，并能交付一个或多个结果。云计算系统的活动通过功能组件来实现，详细描述见7.3。第8章给出云计算活动并进行详细描述。角色和子角色角色是一组具有共同目标的云计算活动的集合。CCRA定义了三个主要角色：云服务客户（CSC）：处于使用云服务业务关系的参与方；云服务提供者（CSP）：提供云服务的参与方；云服务合作者（CSN）：为云服务提供者和/或云服务客户的活动提供支撑或辅助功能的参与方。子角色是某个指定角色的云计算活动的子集。某个角色的云计算活动能被该角色下的不同的子角色所共享。参与方服务和服务类别GB/T32400-2015中包含了对云能力类型和云服务类别的描述，下面给出内容概述。云服务可根据提供资源的不同，通过其提供的云能力类型进行描述。云能力类型包括三类：应用能力类型；平台能力类型；基础设施能力类型。典型的云服务类别包括：基础设施即服务(IaaS)；平台即服务(PaaS)；软件即服务(SaaS)；网络即服务(NaaS)。其他的云服务类别在GB/T32400-2015中描述。云部署模型GB/T32400-2015包含了云部署模型，下面给出云部署模型概述。云部署模型是根据对物理或虚拟资源的控制和共享方式对云计算进行的分类。云部署模型包括：公有云；私有云；社区云；混合云。共同关注点共同关注点指的是需要在不同角色之间协调，且在云计算系统中一致实现的行为或能力。同关注点的描述见8.5。云计算功能视图功能架构还定义了功能之间的依赖关系，以及这些功能对外发布的功能接口。功能视图涵盖了以下云计算概念：功能组件；功能层；跨层功能。功能、层和组件的概念见图5。图5功能层功能组件一个功能组件是参与某一云计算活动所需的，通过实现支撑的功能构建组件。云计算系统的能力完全由一组已经实现的功能组件所定义。功能层层是一组提供类似功能或服务于共同目标的组件集合。功能架构可部分层次化（即包含多个层和一组跨层功能）。CCRA定义了4个不同的层：用户层：支撑云服务客户的云计算活动的组件；接入层：帮助功能的分配和互连的组件；服务层：为云计算系统提供平台和应用服务的组件；资源层：为实现云计算系统所需的资源的组件。需要注意的是，对于某个具体的云计算系统，并不需要提供上述的全部层次。跨层功能跨层功能提供跨越多个功能层次能力的功能组件。跨层功能可进行分组。已定义的跨层功能子集包括：开发功能；集成；安全；运营支撑系统；业务支撑系统。用户视图和功能视图之间关系用户视图如何提供云计算活动的集合见图6，以及这些云计算活动在功能视图中如何表示（并通过实现视图中的技术来实现）。图6从用户视图到功能视图用户视图与共同关注点以及功能视图与共同关注点之间关系如名称所示，共同关注点既适用于云计算的用户视图，又适用于云计算的功能视图。共同关注点适用于用户视图中的角色和子角色，并且直接或间接地影响这些角色所执行的活动。共同关注点也适用于功能视图中的功能组件。这些组件在执行用户视图所描述的活动时被使用。云计算的共同关注点见8.5。共同关注点包括：可审计性；可用性；治理；互操作性；维护和版本控制；性能；可移植性；隐私；健壮性；可复原性；安全；服务水平和服务水平协议；兼容性；软硬件供应链；云服务碳排放计量。云计算实现视图云计算实现视图基于云计算功能视图，定义了各功能层组件所包括的具体功能。包括：资源层组件；资源抽象和控制；物理资源。服务层组件；服务能力；业务能力；管理能力；服务编排。访问层组件；访问控制；连接管理。用户层功能组件；用户功能；业务功能；CSC：云服务管理者功能。跨层功能组件。集成组件；安全组件；运营支撑系统组件；业务支撑系统组件；开发功能组件。云计算部署视图云计算服务由（见）定义环境和流程；确认环境部署业务需求；规划资源容量及调度方案；评估安全及合规要求；确认维护要求及流程。定义度量指标与指标采集方法；云服务指标定义；云服务指标收集与加工；云服务指标报告与管理。定义部署步骤。资源准备；组件部署；测试验证；服务开通。用户视图角色、子角色和云计算活动概述本章描述一些常用的与云计算相关的角色和子角色。云计算的角色包括：云服务客户（8.2）；云服务提供者（8.3）；云服务合作者（8.4）。图7云计算角色云计算的角色及其包含的子角色见图8，后续详细描述图中的每一个子角色。图8角色和子角色云服务客户角色概述云服务客户的活动包含在-所描述的子角色中。CSC：云服务使用者云服务使用者的云计算活动包括：使用云服务（）。CSC：云服务管理者云服务管理者的云计算活动包括：a)试用服务（见）；b)监控服务(见)；c)安全策略管理（见）；提供计费和使用量报告（）；e)处理问题报告（见）；f)管理租户（见）。CSC：云服务业务管理者云服务业务管理者是云服务客户的一个子角色，其目的是通过经济有效的方式获取和使用云服务，云服务业务管理者的云计算活动包括：a)执行业务管理（见）；选择和购买服务（）；获取审计报告（0）。CSC：云服务集成者云服务集成者是云服务客户的一个子角色，负责云服务与云服务客户现有ICT系统的集成，包括应用功能和数据的集成。云服务集成者的云计算活动包括：ICT（1）。云计算活动概述与云服务客户的子角色相关的云计算活动如图9所示：图9与云服务客户的子角色相关的云计算活动使用云服务使用云服务活动指的是为了完成某些任务使用云服务提供者的服务。典型的使用云服务活动包含：提供用户证书，使得云服务提供者能够认证用户并赋予对云服务的访问权限；调用云服务去执行操作并交付特定结果。试用服务试用服务活动包括：提供用户证书，使得云服务提供者能够认证用户并赋予对“测试”云服务的访问权限；调用“试用”云服务。云服务客户能对“试用”云服务进行业务需求的测试。监控服务监控服务活动根据云服务客户与云服务提供者之间的服务水平协议（SLA）所定义的服务水平监控已交付服务的质量。该活动利用云系统固有的监控功能。该活动包括：跟踪每个云服务的使用量，以及被哪个用户使用。通过跟踪保证适宜的云服务使用量；ICT定义服务的测量点和性能指标(例如：服务可用性、服务中断频率、平均修复时间、提供者帮助平台的响应性)；监控、分析和归档指标数据；比较实际交付服务的服务质量和达成协定的服务质量。安全策略管理安全策略管理活动包括：确保存放在云计算环境中的云服务客户数据的安全性；制定确保数据备份和恢复，以及可能的数据复制和故障转移的计划；定义适用于静态和动态云服务客户数据的加密和完整性技术；PII提供计费和使用量报告提供计费和使用量报告活动包括准备客户组织的云服务使用量报告，以及与使用量相关的账单/发票数据的报告。这些报告提供给业务经理。问题处理问题处理活动包括客户端对与云服务使用量相关问题的处理，具体包括：评估每个问题的影响；通过故障排除，找到问题的原因；向云服务提供者公开问题，并跟踪至问题解决；寻找问题解决办法；将在约定时间内无法修复或对业务具有严重影响的问题进行升级。管理租户管理租户活动管理和云服务提供者之间的租赁关系。该活动包括：对安全性的配置和控制，包括用户帐、安全角色、身份识别和权限；对同一租户内不同用户间共享数据的识别和控制。执行业务管理执行业务管理活动包括对使用云服务的业务方面进行管理，包括会计和财务管理，具体包括：调整业务计划以适应云服务的使用；跟踪服务的使用，处理会计和财务管理；处理因使用云服务而收到的来自云服务提供者的帐单/发票；确保帐单和云服务客户的实际云服务使用量相匹配；向云服务提供者进行支付；记录与使用云服务相关的帐务。选择和购买服务选择和购买服务活动包括：检查（一个或多个）云服务提供者的云服务供应，以决定供应的服务是否满足云计算客户的业务和技术需求。这个活动通常包括读取每项服务的产品目录和文档。这些文档中可能包含服务的技术信息、SLA、以及包含定价内容的业务信息；协商云服务条款（如果云服务提供者允许可变更的服务条款）；客户接受云服务合同，并在云服务提供者处注册。获取审计报告ICT连接ICT系统和云服务活动包括集成现有的ICT系统和云服务，既包括集成现有的ICT组件和应用到目标云服务，又包括集成客户和云服务提供者的监控和管理系统。集成现有的ICT组件和应用到目标云服务包括：评估云服务对现有的流程、系统和服务的影响；ICTICT为云服务使用者提供访问权限；定义和实现安全相关的需求，包括数据流的保密性和完整性；集成管理用户帐号、安全角色，身份和许可权的客户设施和管理云服务的对等设施；创造和监控使用云服务管理接口的特定用户帐号和身份；集成云服务与云服务客户的监控和管理基础设施之间的登录和安全事件管理。云服务提供者角色概述（及其所有子角色云服务提供者负责处理和云服务客户之间的业务关系。～描述了云服务提供者包含的子角色活动。CSP：云服务运营管理者CSP：云服务运营管理者的云计算活动包括：a)准备系统，见；；；。CSP：云服务部署管理者CSP：云服务部署管理者是云服务提供者的子角色，负责规划服务部署。该活动包括定义服务运营环境、定义服务部署的初始步骤、定义服务运行过程的依赖资源和可用的运营流程。CSP：云服务部署管理者的云计算活动包括：；；。CSP：云服务管理者CSP：云服务管理者的云计算活动包括：a)提供服务，见；；0。CSP：云服务业务管理者CSP：云服务业务管理者的云计算活动包括：1；b)管理客户关系，见2；c)管理财务流程，见3。CSP：客户支持和服务代表CSP：客户支持和服务代表是云服务提供者的子角色，是云服务客户和云服务提供者之间的主要接CSP：客户支持和服务代表的云计算活动包括：4。CSP：跨云提供者CSP：跨云提供者是云服务提供者的子角色。该子角色依靠一个或者多个云服务提供者向云服务客CSP：跨云提供者的云计算活动包括：5；6。CSP：云服务安全和风险管理者CSP：云服务安全和风险管理者是云服务提供者的子角色，负责确保云服务提供者能恰当地管理与CSP：云服务安全和风险管理者的云计算活动包括：7；8；9。CSP：网络提供者CSP：网络提供者是云服务提供者的子角色，主要为云服务客户、云服务合作者和云服务提供者提供网络连接和网络服务。CSP：网络提供者可以在数据中心内部和|或数据中心外部运营。CSP：网络提供者的云计算活动包括：a0；b)交付网络服务，见1；c)提供网络管理服务，见2。CSP：网络提供者可将对网络连接的动态控制作为NaaS提供。云服务活动概述与云计算服务提供者包含的子角色相关的云计算活动见图10。图10与云服务提供者的子角色相关的云计算活动准备系统准备系统活动主要是为部署新的服务，在云服务提供者环境中所做的系统准备工作。该活动包括：评估新服务的部署或已有服务的增长所带来的影响；修改数据中心的资源配置，或扩展数据中心的资源规模，以满足新的部署需求。监控和管理服务监控云服务提供者的服务和基础设施；获取对提供者业务重要的事件和数据，并将数据以有价值的形式提供给云服务业务管理者。此类信息包括云服务客户的云服务使用量和云服务的供应成本等；IP（VPN）分配和管理存储资源；管理用户和系统权限；配置和维护操作系统和资源管理程序；管理虚拟化环境；ICTSLA记录和适时地报告问题（可能涉及向一个或多个客户发送问题消息），并跟踪问题处理流程，直到问题解决。管理资产和库存管理资产和库存活动包括：跟踪计算、存储、网络和软件资产的多个方面，例如版本和补丁信息，相关的配置信息等；新资产的上线和旧资产的回收。这一过程可包括确保新上线的资产符合使用目的，且对安全性和可管理性已进行适当的检查，也包括对不再需要资产的处理。这一过程可包含对保存数据的所有资产进行适当的安全处理。提供审计数据根据日志等数据生成和发送合适的审计信息；PII定义环境和流程定义环境和流程活动关注于定义服务运行所需的技术环境和操作流程。该活动包括：定义服务运行所需的技术环境，包括计算、存储和网络资源，以及服务所依赖的软件和相应的配置；定义资源可伸缩性使用的策略和流程，以实现资源的按需供应；确保云服务符合与安全性和业务合规性相关的标准；定义服务运行所遵循的的流程，包括问题修复、升级和迁移流程等。定义度量指标和指标采集方法定义度量指标和指标采集方法活动关注于定义服务水平指标和管理。该活动包括：SLA设计每个云服务的指标如何收集；SLA定义部署步骤提供服务管理服务的异常处理过程；管理业务支撑系统和运营支撑系统；维护服务和底层的基础设施；自动化系统流程；管理长期的容量趋势和性能走势；安装、配置和维护云服务提供者的数据中心所需的硬件，包括计算、存储和网络通信能力；对运营云提供者数据中心和支持云服务实现所需的软件进行安装和配置。根据需要对软件进打补丁、更新和升级。部署和配置服务遵循为服务定义的部署流程。注：该活动还包含实现服务的去部署和去配置的云计算活动。服务水平管理服务水平管理活动主要管理服务与SLA条款之间的依从性。该活动包括：SLASLASLASLA管理业务规划管理业务规划活动包括：定义服务交付，描述服务交付的技术方面（如功能接口、SLA）和业务方面；注：当建立服务交付时，云服务提供者可能需要考虑与对等的服务提供者之间的交互。创建业务规划，包括以下方面：为客户交付一个或多个云服务、处理服务的财务和技术方面SLA、市场渠道和销售目标等；根据业务规划，跟踪销售和服务使用情况，以确保云服务提供者财务目标的实现；为提供云服务准备和调整业务规划。管理客户关系管理客户关系活动包括对云服务提供者和云服务客户之间业务关系的管理，具体包括：创建和维护产品目录的内容；获取客户；为客户提供各项业务事宜的联系方式；讨论并解决客户的顾虑或问题；处理客户的需求变更请求（例如，客户权利的变更）。管理财务处理流程管理财务处理流程活动包括：处理账单更新或客户对账单的疑问；云服务提供者生成与云服务使用相关的账单信息和或发票，并将其发送给云服务客户；收取云服务客户支付的费用，与云服务客户进行费用核算。监控客户请求监控客户请求活动包括：处理云服务客户发来的服务请求和报告。云服务提供者可向客户提供多种与服务支持人员交流的方式，如论坛、电子邮件、客户支持桌面系统、Web一些请求或报告可能只要求提供信息，或详细说明，其他的请求和报告可能要求对问题的分析，或者是需求变更申请。管理对等云服务管理对等云服务活动关注于对一个对等云服务提供者的云服务使用的管理。该活动包括：选取和使用一个对等云服务提供者的一个或多个服务；SLA管理对等云服务提供者的云服务的业务方面，包括业务规划和财务处理等；跟踪对等云服务提供者的每一个云服务的使用情况，包括服务的使用量、使用服务的用户，并确保服务使用合理，并在业务规划范围内；监控对等云服务提供者的云服务和已有的服务实现的集成，以确保业务目标的实现；在云服务客户和所有对等的云服务提供者之间协调身份和安全证书。互连、联合、强化、聚合和仲裁互连、联合、强化、聚合和仲裁活动是指按如下特定的方式使用对等云服务提供者的云服务。互连是指使用一个对等云服务提供者的云服务；联合是指使用一组对等云服务提供者的云服务，组合这组云服务提供者的服务能力，来提供客户需要的一组云服务；强化是指云服务提供者通过调整或增强对等云服务提供者的云服务来提供自己的云服务。增强云服务的例子包括管理对云服务的访问，提供云服务应用编程接口（API）、身份管理、性能报告、增强的安全性等；聚合是指云服务提供者通过组合对等云服务提供者提供的一组云服务提供一个云服务；仲裁是指云服务提供者从对等云服务提供者提供的一组云服务中进行选择从而提供云服务。管理安全和风险SLA定义与云服务相关的信息安全风险，以及为满足云服务提供者的业务目标而对这些风险所采取的解决办法。这里的一个重点是管理信息安全风险有相应的成本，提供者可从业务的角度考虑自己不处理一些风险，相反通过服务协议的方式，交给云服务客户处理，以满足部分市场的成本需求；为解决与所选的服务和设计点相关的风险，选取设计点和相关的信息安全控制。信息安全控制通常包括以下类别，如：身份和访问管理；发现、分类、保护数据和信息资产；信息系统的获取、开发和维护；对威胁和漏洞安全的基础设施；问题和信息安全事件管理；安全治理和合规性；物理安全和人员安全；网络安全和通信安全；隔离性（多租户情况下多个租户之间）。确保为部署的服务和底层的基础设施落实可识别的信息安全控制；设计、实现和评价系统和应用的安全性；管理、设计、实现和评价对等云服务提供者的云服务安全性；评价已实现的信息安全控制的有效性，并基于经验做相应的调整；确保运营支撑系统和业务支撑系统基于特定的云服务客户租户提供对云服务提供者内容的数据访问。设计与实现服务连续性设计与实现服务连续性活动包括：考虑到云服务和支撑基础设施的潜在故障模式，通过诸如故障转移和冗余等技术，落实恢复SLA确保合规性确保合规性活动主要实现对法规合规性和标准合规性的支持。该活动包括：确保云服务和支撑基础设施的实现满足所有需要支持的标准的需求。例如，目标客户群要求的标准，或者提供者用来保证服务所选择的认证体系所要求的标准；确保云服务和支撑基础设施的实现（包括数据处理）满足对服务或服务所存储或处理数据的所有法规需求。提供网络连接网络能力包括为所有云服务类别以及NaaS交付网络服务交付网络服务活动提供网络相关的服务，例如防火墙或者负载均衡等。提供网络管理服务保持网络正常并运行流畅；跟踪网络资源及其分配状况；进行维修和升级，例如当需要置换设备或升级设备增加新功能的时候；配置网络中的资源以支持云服务。云服务合作者角色概述云服务合作者是为云服务提供者和/或云服务客户的活动提供支撑或辅助功能的参与方。云服务合作者的云计算活动随着合作者的类型及其与云服务提供者和云服务客户之间关系的不同而变化。云服务开发者云服务开发者的云计算活动包括：；b)组合服务，见；c)测试服务，见。注1：云服务集成者和云服务组件开发者是云服务开发者的子角色。其中，云服务集成者处理服务的组合，云服务组件开发者处理单个服务组件的设计、创建、测试和维护。注2：该活动包括服务实现和服务组件。服务组件涉及与对等云服务提供者的交互。云审计者注：针对审计准则的规范有很多，例如，ISO/IEC27002涉及安全规范。云审计者的云计算活动包括：a)执行审计，见；b)报告审计结果，见。云服务代理者云服务代理者的云计算活动包括：获取和评估客户（）；b)评估市场（见）；c)设立法律协议（见）。云计算活动概述与云服务合作者的子角色相关的云计算活动见图11。图11与云服务合作者的子角色相关的云计算活动设计、创建和维护服务组件设计、创建和维护服务组件活动涉及如下内容：设计和创建用于服务实现的软件组件；创建新的功能并提供给服务用户使用。该功能也包括将服务组件连接至云服务提供者的运营支撑系统，以便监控和控制服务实现；处理与服务实现的运营相关的问题报告；提供对服务实现的修正能力；提供对服务实现的扩展能力。组合服务组合服务活动主要关注通过已有服务组合新的服务。该活动包括：通过组合已有的一个或多个服务来创建新的服务功能；描述服务的技术方面（例如功能接口，SLA）；为云服务客户设计一个简单统一的接口来访问多个云服务提供者提供的服务；组合可包括对已有服务的强化、聚合或仲裁。测试服务测试活动主要关注于测试云服务开发者创建的组件和服务。该活动包括：对构成服务实现的组件进行测试，以确保这些组件完整并正确地实现了服务功能；确保与对等云服务提供者提供的服务/功能接口的互操作性；应检查与云服务提供者的运营支撑系统的连接是否运行正常。因此，通常有必要在云服务提供者数据中心的测试区执行部分测试。执行审计执行审计活动包括：请求或获取审计证据；可在待审计系统上进行任何需要的测试；通过待审计系统提供的一组接口，通过程序调用的方式获取审计证据；在必要时可修改审计证据，以保护敏感信息或受法规控制的信息（例如：PII）；对比所用的审计方案或审计标准中描述的审计准则和获得的审计证据。报告审计结果获取和评估客户SLA与客户协商服务条款和价格；评估客户对云服务的需求；注：云服务客户的需求评估活动包括为确定和解决云服务客户的需求所采取的措施。其中，云服务客户的需求在对客户现有能力和预期能力进行差距分析的基础上标识。评估市场对云服务提供者所供应的产品进行调研，获取技术信息和商业信息。订阅和接受云服务提供者产品目录内容变更的通知。对产品供应和云服务客户需求进行匹配，匹配内容包括技术、商业和法规等方面。创建合法协议共同关注点概述CCRA描述范围内或与CCRA实例系统运营相关的多个元素。这些共同关注点在多个角色、活动和组件中共享。（共同关注点包括：可审计性；可用性；治理；互操作性；维护和版本控制；性能；可移植性；隐私；健壮性；可复原性；安全性；服务水平和服务水平协议；兼容性；软硬件供应链；云服务碳排放计量。可审计性可用性可用性也是授权实体按需进行访问和使用的属性（ITU-TX.800|ISO/IEC27000:2012）。治理互操作性云计算语境下的互操作性包括云服务客户与云服务之间按照规定的方法交互和交换信息并获得可互操作性还包括一个云服务与其他云服务一起工作的能力，既可以通过一个云服务提供者（CSP）的云间提供商关系，也可以由云服务客户自己以某种形式组合多个不同的云服务来实现其业务目标。维护和版本控制SaaS维护实践应记录在云服务的SLA中，并宜包括为客户提供报告问题和请求修复的能力，也应包括一种云服务提供者将等待维护变更的内容和其进度通知客户的机制。版本控制是给一个服务（或一个服务的组件，如用于IaaS服务的操作系统级别）标上适当的标签，（服务一个服务在两个版本之间的发生重大变化时，旧版本和新版本服务应是在一段约定期限内并行可用。性能性能包括与云服务操作相关的非功能层面的一个集合：服务的可用性；完成服务请求的响应时间；执行服务请求的交易速率；延迟服务请求；数据吞吐量速率（输入和输出）；并发服务请求数量（可扩展性）；数据存储容量；（IaaSPaaS）一个应用可用的并发执行线程数量；（IaaSPaaS）正在运行程序可用的内存（RAM）数量；IP/VLAN（IaaS或基于不同收费模式，云服务按照服务水平协议（SLA）条款来伸缩使用资源的能力也可成为性能的一个重要层面。性能应使每一个被标识的性能条件在SLA中有度量指标定义，并且应在云服务的操作过程中监测这些指标，以确保服务满足SLA性能条款。可移植性（厂商可接受的成本和中断时间的数量可能会根据正在使用的云服务类型不同而不同。IaaS镜像并在另一个同样的IaaSSaaSSaaS（SaaS服务提供商SaaS云服务提供者的数据模型和格式对应排列程度的一SaaS应用之间切换，也允许涉及云服务客户自己去适应新的（与服务互操作性相关的）服务接口。（IaaS服务（PaaS服务从一个云服务提供者迁移到另一个。隐私云服务提供者宜保护与云服务相关的个人可标识信息（PII）的收集、处理、传播、使用和处置的确信、合适和一致。根据既定指南，一个组织的关键业务必要需求之一是确保个人可识别信息（PII）的隐私。虽然云在许多司法管辖领域，有适用于处理PII的严格规则和法规-任何使用云服务来存储和处理的PII可遵守这些规则和法规。健壮性（时提供和维持一种可接受的服务水平的能力。实现风险管理是弹性的固有内容—因为弹性是由系统中最小弹性的组件，以及成本/性能或对弹性成为可能或实际的限制范围等其他因素决定的。风险和价值的结合在选择提供弹性的实施中实现。可复原性安全性一般要求云服务的安全功能包括：存取控制、保密、完整性和可获得性。其他规范会详细描述云计算安全。用户的存取权限。还包括：支持尽早探测、诊断和修复云服务和资源的相关问题；对于网络上的存取记录、活动报告、进程监控和包检测实施安全日志管理；为云服务提供者系统提供防火墙、恶意攻击检测和防护服务。一个用户不能干扰其他用户使用云服务。（VP。和云服务提供者。其他规范会更加完整地描述这些威胁。分布式安全责任例如，IaaS云服务提供商通常执行IaaS服务初始化系统特权用户的账户管理控制，同时采用IaaS服务来部署应用的云服务客户承担部署到IaaSSaaS（云服务类别视角云服务目录在GB/T32400-2015定义为一组具有通用质量集合的云服务。云服务目录向云服务客户例如，SaaS为用户提供了通过网络连接获取云计算的能力，可能通过互联网和Web浏览器。SaaS云计算系统重视WebIaaS服务的云部署模型的影响数据保护策略和责任注：如何识别敏感数据见ISO/IEC27002。服务水平和服务水平协议云计算服务水平协议（云SLA）基于对云计算特有术语的分类，在云服务提供者和云服务客户之间所达成的对所交付的云服务质量进行设置的服务水平协议。云SLA描述了所交付的云服务质量的以下方面：一组云计算特有的可测量的属性（业务方面和技术方面）；一组指定的云计算角色（云服务客户和云服务提供者，及其相关子角色）。SLASLA能覆盖以下条款：SLASLA内列出一组不针对云服务客户的明确承诺，例如，云服务客户需要接受的限制和义务。云SLA应定义数据对象分（（T&C）SLASLA兼容性“一云多芯”或“一云多算力”兼容要求，不仅包括x86ARM等CPUGPUFPGAASIC云计算平台对异构算力的兼容具有如下特征：多样化的硬件架构。计算节点由不同的处理器、协处理器、可编程逻辑等构成，不同的计算任务可以选择最适合的硬件架构，提高计算效率；提供高性能计算。通过使用异构算力，云计算可以在高性能计算任务中取得更好的成果，特别是在大规模的科学计算、仿真等方面，异构算力可以提供更高性能，处理更复杂的任务；提升能耗效率。异构算力可以提高能耗效率，通过对计算任务的特性进行分析，选择最适合的硬件架构，可以降低处理器空转、内存寻址等操作带来的能耗浪费。云服务客户（CSC）、云服务提供者（CSP）和云服务合作者（CSN）均关注云计算平台对异构算力的兼容性：云服务客户：异构算力可以提供更多种类的计算资源选择，使得客户可以根据实际需求选择性价比更高的云计算服务。同时，异构计算技术也可以提高计算速度，缩短任务的完成时间，提高客户的满意度；云服务提供者：异构算力可以提高云平台的性能和效率，减少能源消耗和成本。采用异构计算技术可以在不同的硬件环境下实现高效的任务提交和调度，提高资源利用率；云服务合作者：异构算力可以提供更好的云服务协同和集成的条件。云服务合作者可以通过异构技术实现不同云平台之间的资源共享和协同管理，提高服务水平和效率。同时，云服务合作者之间也可以在异构技术领域进行技术共享，加强合作，共同发展。软硬件供应链云服务碳排放计量为了减少云计算的碳排放，云服务提供者可以采取一系列措施，包括使用更高效的数据中心设计、功能视图分层框架概述云计算功能架构用一组高层的功能组件来描述云计算。功能组件代表了为执行第8章描述的与云计算相关的各种角色和子角色的云计算活动的功能集合。CCRA的分层框架包括4层，以及一个跨越各层的跨层功能集合，分层框架见图12。图12云计算层次框架用户层访问层web页面，或在安全通信的基础上，通过编程的方式访问一组Web服务。访问层的另一个职责是为云服务能力的访访问层还负责对来自用户层（例如，提交给向云服务提供者的服务请求）和流向用户层的（例如，云服务的输出）流量实施QoS策略。服务层（但不包括底层的虚拟机监控器、主机操作系统、设备驱动程序等），并安排通过访问层为用户提供云服务服务层的服务实现软件依次依赖于资源层的可用能力来提供服务，并确保满足服务的任何SLA需求（例如，通过使用充足的资源）。资源层注：云服务提供者为了提供符合SLA的服务，需要在用户和云服务提供者之间建立专用和/或安全的连接。跨层功能运营支撑系统能力（运行时管理、监控、供应和维护）；业务支持系统能力（产品分类、计费和财务管理）；安全系统能力（认证、授权、审计、验证、加密）；集成能力（连接不同组件以实现所需的功能）；开发支撑能力（包括服务和服务组件的创建、测试和生命周期管理）。功能组件概述CCRA使用分层框架方式组织的对CCRA组件的高层次概述见图13。13CCRA用户层功能组件概述用户层功能组件包括：用户功能；业务功能；管理功能。提供给CSC：云服务使用者的云服务主要可以分为两大类：功能服务和自服务管理服务。后者可进一步分解为业务服务和管理服务。用户功能用户功能功能组件支持CSC：云服务使用者访问和使用云服务（使用云服务活动）。某些情况下，业务功能业务功能功能组件支持CSC：业务管理者的云计算活动，包括云服务的选择和订购，使用云服务涉管理功能管理功能功能组件支持CSC：云服务管理者的云计算活动，包括用户身份和配置文件管理、对服务活动和服务使用的监控、事件处理和问题报告。云管理能力只能通过使用云服务来获取。访问层组件概述图14展示了访问层组件，包括访问控制和连接管理。应提供对云服务、云服务所依赖的资源，以及相关控制功能的访问控制。图14访问层组件访问控制服务访问服务访问组件提供对云服务提供者提供的云服务的访问。业务访问业务访问组件提供对云服务提供者提供的业务能力的访问。该组件由业务支撑系统实现。管理访问管理访问组件提供对云服务提供者提供的管理能力的访问。该组件由运营支撑系统实现。开发访问开发访问组件提供对提供者系统内一组能力的访问。该组能力支撑云服务实现的开发、测试和维护。连接管理连接管理组件依据来自用户层组件的流量和/QoS服务层组件服务能力服务能力组件包括为实现提供给云服务客户的服务所必需的软件。服务能力组件实现了服务接口（例如，提供给云服务客户的服务接口）所定义的功能。服务能力组件不依赖于服务实现。业务能力管理能力服务编排资源层组件资源抽象和控制云服务提供者使用资源抽象和控制功能组件通过软件抽象提供对物理计算资源的访问。资源抽象需要确保对底层基础设施进行高效、安全和可靠地使用。该组件的控制特性能实现对资源抽象特性的管理。（见资源是否是虚拟化的取决于负载的特征。对许多负载（例如计算、存储即服务类型的负载）而言，（例如与镜像管理相关或根据需要动态扩展CPU容量的场景）。对其它负载而言（例如分析或搜索），需要尽可能大的运算能物理资源物理资源功能组件代表云服务提供者运行和管理其提供的云服务所需的各种元素。物理资源包括硬件资源，例如计算机（CPU和内存），网络（路由器、防火墙、交换机、网络链路和网络连接器（硬盘（跨层功能集成组件概述集成组件负责连接体系架构中的其他组件，以构成一个统一的架构体系。集成组件包括：安全集成；监控集成；服务集成；对等服务集成；数据集成；流程集成。安全集成监控集成服务集成对等服务集成对等服务集成组件用于以可控方式连接对等云服务提供者的服务，这种连接采用适当的安全措施，数据集成数据集成组件提供的功能包括但不限于：数据建模管理。根据业务场景需求，设计数据模型，并支持模型可编辑迭代优化；数据接入管理。数据接入源管理、数据接入标准、交换标准；数据治理。按照数据模型对源数据进行加工治理，提升数据质量，形成标准化的数据集市；数据分析。根据消费场景，利用规则、算法模型等方式对数据进行深度分析，指导业务场景作出相宜决策；数据消费。建立数据开放共享原则和范围，提供数据消费方式和数据对接方法；数据安全管理。流程集成流程集成组件的功能包括但不限于：流程编排。提供流程设计者可视化表单设计能力、可视化流程设计，支持表单或动作联动、人工或者自动处理环节等功能；流程发布。提供流程使用者创建、处理、工单状态、查询工单等功能；SLA安全组件安全组件包括：认证和身份管理；授权和安全策略管理；加密管理。认证和身份管理认证和身份管理组件提供访问云服务及其相关管理和业务能力时的用户身份识别能力。授权和安全策略管理加密管理加密管理提供与数据（静态或动态数据）加密有关的能力，例如加密密钥管理和加密模式选择等。操作审计操作行为管理；审计策略管理；日志管理。运营支撑系统组件概述运营支撑系统组件包括：服务目录；供应；监控和报告；服务策略组件；服务自动化；服务水平管理；异常和问题管理；平台和虚拟化管理；对等服务管理。服务目录服务目录功能组件提供某一特定云服务提供者的所有云服务列表。服务列表包括/参考所有部署、提供和运行云服务有关的技术信息。供应监控和报告监测和报告功能组件支撑CSC：云服务管理者在监控服务活动过程的能力要求，根据各层（包括资源层、服务层、访问层、用户层、跨层功能）对象属性的不同提供不同的监控能力。具体提供如下功能：CSC:云服务使用者（诸如服务访问和服务实现）直接使用云服务时（例如，某一用户调用一个云服务操作）涉及的组件。OSS（例如，为某一用户提供服务实例）；提供云服务提供者系统的行为报告，具有时间敏感特性的行为可采取警告的形式（例如，某个错误的发生,任务的完成）,或者采用历史数据聚合的形式(例如,服务使用数据)；以日志记录存储和访问监控和事件数据。服务策略管理一些策略是通用的，适用于所有用户。另一些策略则专门是针对特定用户的。服务自动化云服务的交付可以自动化，以支持可伸缩的资源操作，包括配置和负载。云服务用户的云服务管理功能也能够自动化，而不需要云服务提供者的任何干预。服务自动化组件与交付组件及服务集成组件一起配合实现这一目标。服务水平管理服务水平管理功能组件提供特定云服务的服务级别管理功能，以使服务符合它的SLA要求。（服务级别管理组件从监控和报告组件获得监控信息，以为云计算服务衡量和记录关键的性能指标。基于这些KPI来分配或去除相应的能力。服务级别管理组件也记录已分配或可用资源的整体状态。已分配的能力与云服务性能KPI的比较有助于识别当前或潜在的瓶颈，以支持能力规划。异常和问题管理异常和问题管理功能组件提供事故和问题报告的捕获功能，并通过分析来管理这些报告。事故和问题可由云服务提供方系统或云服务用户检测和报告。平台和虚拟化管理（典型情况下这些资源组成资源池。资源池具有如下重要特征：标准化硬件部件和配置；通过新硬件的增加随时扩展；当负载有变化时，可动态迁移资源；保护和隔离邻近的负载和数据；通过资源间的负载和数据转移，减少/消除宕机时间；基于目标（例如，性能、可用性、许可权和能源使用）管理资源消费。对等服务管理业务支撑系统组件概述业务支撑系统功能组件涵盖了与业务相关的处理客户和支撑流程的管理能力，包括：产品目录；账户管理；订单管理；计量和计费；账务；配额管理；容量管理。产品目录（产品定义组件通过产品、子产品、产品项、产品细项四个层级定义云产品的服务能力和计量属性，为云服务运营各环节提供数据模型基础，包括资源申请、容量管理、配额管理、计量管理、成本管理等。账户管理帐户管理组件提供管理云服务客户关系的功能，包括：合同管理；云服务订单；权限；服务定价，可包含对特定用户的特殊条款（如折扣）；云服务用户数据的处理策略。源于用户帐户数据的重要性和敏感性，帐户管理组件及其相关的数据库有严格的可用性和安全要求。订单管理计量和计费计量和计费组件提供以下功能：云服务客户使用云服务的计量和计费。其中计量是指对云服务客户消费使用云服务的度量，计费是指根据计费方法和计量数据计算出费用。对数据的具体计量形式根据云服务的特性而定。计费方法可包含针对特定用户特殊条款（如折扣），并需要确定的折算计量数据的算法；计量管理组件提供云服务客户的云资源订单信息和用量明细信息。订单信息记录用户新建、变配、销毁资源的订单信息，用量明细记录用户每个计量周期下的资源用量信息；基于以上功能产生的费用生成账单，并把账单提交给云服务客户。另外，账单数据还用于账户管理功能模块和账务功能模块；成本核算分摊组件，云产品及云服务的成本要素整理、成本单价计算和成本分摊。账务配额管理容量管理平台容量管理支撑云资源全生命周期管理，云资源自动化停售卖管理与云资源自动化扩容管理。开发功能组件概述开发功能组件支撑云服务开发者的云计算活动，包括服务实现的开发和/或集成、构建管理和测试管理。开发功能组件由以下组件构成：开发环境；构建管理；测试管理。开发环境（包括对等云服务提供者的服务）的集成，监控和管理能力的集成，安全能力的集成。构建管理测试管理用户视图与功能视图之间关系概述本章描述角色和活动与功能组件之间的关系。通过关系描述有助于：明确信息流或其它类型互操作的程度；确保指定的质量（例如安全或服务水平）。角色和活动与功能组件之间的关系是确定CCRACCRA组件间交互所需的信息流。图15展示了CCRA主要元素的常用配置，包括角色、云计算活动和组件。在图15共同关注点包括可审计性、可用性、治理、互操作性、维护和版本控制、性能、可移植性、隐私、15图15中的云服务能力组件代表云服务自身的实现。服务能力组件云服务通过服务接口提供一种或多种云能力类型。云能力类型通过服务能力组件中的倒置L形框来表示。顶层的L形框代表应用能力类型，中间层的L形框代表平台能力类型，底层的L形框代表基础设施能力类型。L（取决于云服务提供者的选择平台能力类型的实现可以使用或者不使用基础设施能力类型。对于SaaS或CaaS其它云服务类别见GB/T32400-2015。图15角色、云计算活动和组件的通用视图常用角色、活动和组件图15中云服务提供者有一个叫CSP：云服务管理者的子角色。云服务管理者执行提供服务活动。该活动为CSC：云服务用户提供实际使用的服务。但是，在服务能被使用之前，需要进行云服务的开发、部署和运维。图15在CSP：云服务管理者执行完部署和供应服务活动之后，提供服务活动使用服务能力组件。该组件SLA图15中描述了CSP：云服务管理员提供的常用云计算活动集合，但是，本文件也描述了其他的云计算活动。现在服务是可用的。云服务客户有两个子角色：CSC：云服务管理员和CSC：云服务用户。CSC：云SLA图16展示了角色、云计算活动和组件。箭头表明多个云计算活动和多个角色之间的关系。附录A给出了这些关系的描述。图16活动和组件之间关系和交换示例多租户和隔离云服务的租户与云服务客户并不完全相同。一个租户是一组CSC：云服务用户，这些用户共享对一组物理资源和虚拟资源的访问。通常情况下，一组CSC：云服务用户与一个特定的云服务客户有关，但是，一个云服务客户可以包含多个租户，例如，来自客户组织内不同部门的用户组。实现视图资源层组件资源抽象和控制计算资源抽象和控制虚拟化虚拟化将物理资源抽象为多个虚拟资源，实现硬件资源的共享，实现资源有效利用：支持物理服务器部署服务器虚拟化软件（Hypervisor）；CPUCPUCPUGPUCPUx86、ARM、MIPS、LoongArch、Alpha、RISC-V等；CPU支持多种硬件架构体系，包括且不限于：SMPNUMA支持虚拟硬件热插拔，包括且不限于：CPU、内存、网卡、磁盘等；支持硬件辅助虚拟化能力；支持多种控制能力，包括且不限于：工作负载可用性监控、高可用、动态资源调度等；虚拟化实现类型包括且不限于：Xen、KVM支持虚拟机的故障隔离，任意虚拟机发生故障均不会影响同一个物理机上的其它虚拟机运行；支持虚拟机跨宿主机迁移，包括在线热迁移、离线冷迁移等；虚拟机支持主流操作系统；支持虚拟化系统的资源监控，指标包括且不限于：CPU、内存、存储、网络；支持虚拟机生命周期管理，包括且不限于：创建、启动、重启、关闭、调整配置、创建模板、删除等。容器基于操作系统层的隔离与限制实现容器实例的抽象，多容器实例共享操作系统内核：容器管理实现技术包括且不限于：Docker、LinuxContainer容器运行时实现技术包括且不限于：containerd、runc支持容器集群编排调度技术，包括且不限于：Kubernetes、Mesos、Swarm支持容器镜像仓库管理，包括且不限于：Registry、Harbor；支持有状态、无状态服务类型；underlay、overlay支持容器实例版本快速升级/回滚；GPU支持配置容器组之间亲和性、反亲和性及容器组与节点的亲和性反亲和性；支持多种类型容器应用的发布规则，例如：滚动发布，灰度发布，蓝绿发布等；应支持容器镜像的拉取、推送、创建、删除、查看等操作；CPU支持实时监控容器的集群、节点、应用，并提供图形化界面展示；支持节点和容器高可用，如集群中一个节点宕机，不影响系统的正常使用。软件定义支持软件定义裸金属服务器资源控制逻辑，实现包括且不限于电源控制、系统部署与监控、网络连接等过程，提供基于服务器硬件及操作系统的访问形式；API支持软件定义云桌面抽象逻辑，实现例如桌面发布、策略管理、电源控制、资源监控、销毁等过程，提供基于接入端的访问形式。存储资源抽象和控制支持虚拟存储设备的模拟，包括且不限于：虚拟存储池、虚拟磁盘等；支持接入多种存储设备类型，包括且不限于：本地磁盘设备、FCSAN、IPSAN、NAS、分布式存储等；支持软件定义存储架构，包括且不限于：将存储设备抽象为虚拟存储池，或基于本地磁盘设备实现分布式存储，提供至少一种存储访问形态，包括且不限于块、对象、文件等；至少支持一类虚拟磁盘格式，包括且不限于：RAW、Qcow2、VMDK支持多种虚拟磁盘置备格式，包括且不限于：精简置备、厚置备置零、厚置备延迟置零等；IOQoSIOIOPS至少支持一类虚拟磁盘总线类型，包括且不限于：IDE、SCSI、SATA、USB、VirtIO支持将虚拟机转换为镜像，通过镜像实现快速批量生成一致的虚拟机；支持虚拟机快照技术，包括且不限于：内存快照、磁盘快照；应提供多冗余、多副本或纠删码、同城备份、异地备份等机制保证数据存储持久性及安全性；支持存储卷直通给计算资源实例使用；支持资源池负载均衡功能，根据集群各节点、磁盘负载状况自动均衡数据的分布；支持数据自愈功能，单个节点故障不影响业务正常运行；API网络资源抽象和控制支持虚拟网络设备的模拟，包括且不限于：虚拟网卡、虚拟交换机等；至少支持向虚拟机模拟一类虚拟网卡设备；IOIOIO支持硬件加速或共享技术，包括且不限于：PCI-Passthrough、SR-IOV、DPDK支持网络隔离技术，包括且不限于：VLAN、VXLAN、GENEVE、GREQoS支持虚拟网元的模拟，包括且不限于：VPC、虚拟子网、虚拟路由器、虚拟防火墙、虚拟负载均衡等；支持网络流量监控，包括且不限于：吞吐量、收发报文数、端口镜像等；支持网络流量安全控制，包括且不限于：IP/MAC支持虚拟网络创建，自定义网段、网关地址及网络访问规则；应支持网络控制功能（如路由计算、访问控制等）与数据转发功能分离，网络控制可以通过集中的控制器进行管理，而数据转发可以在分布式的网络设备上执行；应支持集中的控制器对网络设备进行统一管理和配置，提高网络的可视化和可控制性；应支持动态的网络配置和优化，使网络资源可以根据实时的业务需求和流量状况进行调整；应采用开放的标准和协议（OpenFlow），便于与其他网络设备和系统进行集成；应支持集中式的安全策略管理和实施，有助于提高网络的安全性和可靠性。物理资源计算设备计算设备主要指物理服务器,物理服务器中的CPU、内存及GPU卡等配件对上提供计算能力。具备CPU负荷卸载能力的RAID卡、智能网卡等配件，也承载部分计算设备的功能。存储设备存储设备主要包括可对外提供完整存储功能的存储设备。网络设备服务层组件服务能力基础设施能力类型计算服务虚拟机服务能力包括但不限于：提供多种计算规格、架构类型、操作系统版本、多种云硬盘规格、多种创建方式（包括镜像、快照、备份等）的虚拟机实例；提供虚拟机实例的高可用服务，提升业务可靠性；线上全自助开通，通过界面进行计费方式、地域、规格、镜像、网络等配置信息的选择和设置。支持对虚拟机实例进行生命周期管理，包括订退续、开关机、重启和重装等操作；提供虚拟机实例的数据安全服务，包括不限于快照、备份、快照、克隆和持续数据保护等服务；提供虚拟机迁移能力。裸金属服务能力包括但不限于：提供多种异构计算架构类型（CPU、NPU、GPU）、计算规格、存储规格、存储协议、支持多种网络类型（VLAN、VXLAN）的弹性裸金属实例；线上全自助开通，通过界面进行计费方式、地域、规格、镜像、网络等配置信息的选择和设置。支持对订购的裸机实例进行生命周期管控，包括订退续、开关机、重启和重装等操作；提供具有弹性伸缩能力的弹性裸金属实例以及批量部署；提供虚弹性裸金属实例的数据安全服务，如安全组、快照，备份，持续数据保护和物理级安全隔离等服务；VPC网络服务VPC提供租户隔离的私有网络，不同租户默认不可互相访问；VLAN，FLAT，GENEVE，VXLANDHCP、DNS、IPIPv4、IPv6提供网络加速能力，提升网络性能，如：智能网卡、DPDK。负载均衡服务包括但不限于：提供多种类型的负载均衡服务，如多种协议（4-7）负载均衡、HTTPSHTTTL-HELUDPCONECT等方式；支持多种负载均衡算法，如轮询、最小连接数等；支持多种方式保障负载均衡的高可用性，如故障域隔离、主备集群等。NATIDC/NATSNAT、DNATDNAT支持高性能、高可靠性。IP应支持与虚拟机、裸机、负载均衡等资源灵活地绑定及解绑；支持带宽按需弹性伸缩，如设置周期、告警触发等；IPv4、IPv6VPNVPNL2TPVPN、GREVPN、IPSecVPNVPNRIP、OSPFBGPQoS、流量监控和流量整形；支持多种队列调度策略。存储服务块存储服务包括但不限于：为用户提供高可靠、高并发、低延时、大容量、弹性扩展的块级别存储产品。可以为云主机/裸金属提供系统盘和数据盘；提供多种规格类型的块存储服务，如容量型、性能优化型、高性能型和极速型等，支撑高性能计算、读写密集型数据库以及企业核心集群/关键应用系统等场景应用；对象存储服务包括但不限于：支持多种存储类型，如标准型、低频型和归档型。适用于包括图片或音视频等非结构化数据存储、数据分析处理等应用场景；提供自动负载均衡策略；S3、Swift提供用户接入和数据传输安全机制，如签名访问授权、SSL文件存储服务包括但不限于：NFS-v3、CIFS。适用场景包括文件及内容搜索、多文件大量共享写入、数据大量读取等；提供多种类型文件存储服务，如容量型、性能型以及极速型等；提供文件系统的快照功能并支持快照回滚；提供文件系统的数据安全访问能力，如读写权限设置等。安全即服务安全即服务能力应包括：支持云端对安全服务的集中运维和管理；支持安全即服务的按需提供和整合能力，用户可基于业务安全防护需求选择对应的服务；支持安全服务资源的弹性扩容和按需订阅；支持可视化的安全监控能力，对检测到的威胁统计信息以及资产设备信息进行展示；支持对安全事件进行实时监控和告警，形成报告，感知安全态势；支持对安全事件的响应处置能力；支持安全运营能力，监控核心资产安全状态；支持脆弱性的识别以及信息汇总，并具备对漏洞的修复能力；支持分布式防火墙等多种虚拟化安全能力，实现东西向及南北向的网络隔离、入侵防御和访问控制等安全保障。函数即服务函数即服务能力包括但不限于：提供多种函数开发语言及触发方式（包括有多种服务、定时器等异步触发或同步触发）；提供图形化的工作流编排，支撑有状态、异步和长时间执行等业务场景应用；宜支持云上和云下统一开发与调试；Web支持以容器镜像为函数开发交付件，复用容器工具、版本管理等生态。容器即服务容器管理服务包括但不限于：支持容器集群资源的管理，如编排调度、配置、扩容和节点升级等；CPUNPU支持容器应用管理，如部署发布、升级、配置、健康检查和弹性伸缩等；支持容器应用服务注册发现；支持统一运维运营节点、集群和容器应用；支持容器集群和容器应用的高可用。容器实例服务包括但不限于：提供多种粒度的容器实例，如容器节点、容器集群和多容器集群等；提供容器实例的管理，包括：创建、启动、运行、中止和弹性扩缩容等；提供容器的网络和存储管理能力，保障与其他容器和外部系统的通信和交互；提供容器的安全管理能力，以确保容器之间的隔离性和安全性；提供容器的版本管理，支持容器回滚或升级到特定版本。容器镜像服务包括但不限于：提供多种操作系统（Windows、Linux）、多架构（ARM、x86）的容器镜像；支持私有容器镜像的安全防护，例如：漏洞扫描、加密等；支持容器镜像的管理，如创建、导入/导出、复制、授权、共享、分发、查看概览和删除等；支持多种类型的存储，如块存储，文件存储和对象存储等。运维即服务监控服务包括但不限于：提供对多种对象的监控，如云服务、站点、用户体验、数据安全保护和隐私保护、性能等；注：用户体验指的是按照地理、终端分布、页面浏览量等维度监控。支持自定义监控指标；支持全链路追踪，监控和分析应用的被调用情况，如调用次数、响应时间等；支持对监控数据进行智能分析与预测。日志服务包括但不限于：支持从不同采集端采集日志数据；支持实时查询与分析日志；支持日志数据多种存储方式、冷热分层存储；提供日志的安全防护，如：数据加密、身份认证和访问控制等；提供日志审计功能。告警服务包括但不限于：提供监控数据的告警功能，通过设置报警规则来定义监控项的阈值，并在监控项满足报警条件时发送报警通知；支持用户自定义配置云服务资源的告警规则；支持多种方式发送告警通知，如短信、邮件等；支持自动处理告警事件；支持自定义告警压制策略；支持告警与自动化处置联动，实现故障自愈。运维自动化服务包括但不限于：提供标准的、规范的原子操作能力，根据作业需求定义相关原子操作。应内置丰富的标准场景下的原子操作，具备开箱即用的能力；支持多操作的可视化编排能力，支持操作的串/并行组合、多层嵌套等能力；支持根据时、日、周、月、年等任意时刻制定不同的作业计划，并通过当日作业列表的形式展现；支持自动化作业执行和审批流程的联动，对自动化执行进行流程管控；交互式的显示执行过程，详细记录作业执行过程中的状态、执行轨迹、实时日志、实时参数等信息，允许用户进行重做、跳过等操作；支持以服务化的方式对外部系统/用户提供服务。平台能力类型概述平台即服务（PlatformasaService，PaaS）是指提供编程语言和执行环境来部署、管理、运行数据库服务数据库服务包括但不限于：应提供关系型数据库服务。依托云计算平台提供专业、高性能、高可靠的云关系数据库服务；应提供内存数据库服务。将数据放在内存中直接操作处理的数据库；应提供图数据库服务。使用图形结构进行语义查询的数据库；应提供全文数据库服务。收录原始文献全文，并为用户提供数据存储、索引和检索的数据库服务；MPP应提供分布式列数据库服务。指提供以列存储架构进行数据存储的分布式数据库服务。中间件服务中间件服务包括但不限于：API应提供消息队列服务。基于高可用分布式集群技术，搭建一套包括接入、管理、监控报警的完整的高性能消息云服务，支持消息队列、消息传输、消息分发和消息保存等能力，用于业务系统间或系统模块间异步消息通信；Web应提供分布式事务中间件服务。用于解决分布式环境下事务一