为了进一步促进云计算创新发展,建立云计算信任体系,规范云计算行业,促进市场发展,提升产业技术和服务水平。由中国信息通信研究院、中国通信标准化协会主办的“2018可信云大会”将于2018年8月14日-15日在北京国际会议中心召开。
随如今,云计算已经发展了10余个年头,并逐渐形成庞大的产业规模,企业“上”云也并非难事。但不断出现的信息数据泄露事件给火爆的云计算界敲响了警钟,企业开始逐渐意识到云计算的风险性,明白部署哪一种云都有可能受到黑客攻击。虽然云计算可带来显著的优势,但潜在风险也不容忽视。"2018可信云大会"邀请了行业内多位大咖与权重人物共同探索可信云与云计算的创新发展新路径。
以下为中国信通院云大所云计算部工程师刘如明:《可信云物理云主机服务评估标准解读》演讲全文:
首先谢谢马博士的介绍,大家好我是中国信通院的刘如明,目前主要负责公有云评估测试和私有云一部分的评估测试——物理云主机的服务。
下面由我来介绍下物理云主机服务评估。我将从以下三个部分来解读:评估背景、指标和工作安排。评估背景这一块,物理云主机其实并不是一个新生的服务,它相当于在云平台的传统物理服务器,通过云计算的方式服务用户。现在虚拟化云主机比较多,随着这几年的变化,不管是对主机性能稳定性的要求还是行业安全要求也好,直接使用虚拟机在一定的场景之下不能满足,物理云主机的场景之下因为它的稳定性和高性能逐渐留存下来,使用速度逐渐的增强,物理云主机比较大的优势。首先在资源这块,物理云主机在CPU内存、IO等资源方面完全隔离,不存在资源超分现象,真正意义上做到资源零争抢。物理云主机本身没有虚拟化开销,通过云平台直接纳入虚拟服务器,可以跟物理云服务器相同的高性能服务满足需求。安全性上,物理服务器就是天然隔离的环境,不存在混用资源的情况,安全性相对来讲高一些,也不会存在虚拟机逃逸等等问题。另外它的使用方法非常灵活、弹性,可以提供小时级的交付时间,在传统的服务器交付上可能从采购、下单到真正的资源交付,到全部的东西可以跑起来,需要长达数月的时间。而通过物理云主机可以在小时内获得物理云主机的资源,响应速度非常快,而且可以按需使用弹性扩展,使用非常的方便。
它的主要应用场景大概有几部分:核心应用部署;对于企业来讲承载企业核心的部分还是希望有对性能和稳定性的要求,直接跑在虚机上面对于某些应用服务来讲越来越力不从心,通过物理主机部署相应的应用,更能满足和保障用户的需求。另外对于用户的非核心业务,外部应用还会挂在虚拟机上,通过混合组网实现效能大化。另外对于高性能计算和大数据中数据分析这一块,它的使用特点就是高性能,需要的性能比较高,但是如果直接采购物理主机的话,从性价比来讲并不是很高,通过使用物理云主机可以解决问题取得比较好的性价比。
另一个应用场景就是容器服务,这两年随着容器服务的逐渐落地,企业也把越来越多的应用和服务部署在容器服务上,逐渐推动了物理服务器的演进。可以看到对于用户来讲,某些场景之下直接把应用跑在虚拟机上,再跑容器可能有性能的开销,不如直接跑在云服务器上,以构建高性能容器云服务。
我们对于物理云主机的评估标准有三个,首先是云计算服务协议参考框架,服务商对外公开的服务承诺服务协议。另外是可信云服务评估方法第15部分,物理云主机。主要分为三个维度,企业信息真实性披露,披露它的资质,主要是牌照,企业规模、人员规模、基本业务的信息、业务的具体服务名称、服务时间、支付方式,还有一些基本的业务介绍。
另外一个是云服务指标的完备性和规范性,云服务并不涉及到线下签合同的环节,所以好多的服务、对用户的承诺来讲是会放在官网上,云服务的服务协议有个规范要求,主要是依据框架参考协议。
第三是真实性,服务商对外承诺了服务的指标,考核它能不能做到这一点,对它的真实性做评估。评估的主要指标分为三大类型16个细项的指标,有些交叉项,罗列的这些是重点考察的。材料有可用性、知情权还有商务这一块。技术测试对服务功能、私密性、服务的资源调配能力方面做交流,实际考察到现场考察运维。
材料考察主要是对数据的知情权要求厂商披露数据中心的大概位置有无备份,有几个备份,每次的备份会存在哪个数据中心,用户数据由谁来使用?怎样来使用?有没有什么方式审查?这是在材料里面主要考察的部分。
业务可用性包含基础架构的可用性、软件的可用性、应有的可用性、网络的可用性。软实力还有人员和故障整体的材料方面的考察。
商务条款关注服务的合作前提、怎样终止有没有变更,出现问题怎么赔付、赔付的指标、额度和计算方式,是对于厂商和用户的双重约束。
对于技术测试主要是针对这6个指标:
1、数据迁移性;迁移性主要考虑文件性的迁入和迁出,厂商没有做到P2A的转化,厂商可以协助用户做P2A的转换,用户完全自助做目前来讲还没有大规模的实现,需要做系统性的迁入和迁出。
2、私密性:考察多租户间隔离,不同的租户和租户之间的环境能够满足要求。另外单租户的访问控制,考虑安全策略这一块的测试。
3、服务功能:包括日志、资源和基本云主机的考察项目差不多,但是IPMI管理是独有的,IPMI管理提供了服务器从通过IPMI的代码管理做主机方面的操作,既可以做日志查询也可以做问题的排查,方便用户使用和监管物理云主机。对于镜像功能考虑的是能否提供常规的镜像,有没有能力帮助用户实现自定义镜像的生成,有些特殊的需求需要有特殊的自定义镜像上传。
4、资源调配:主要针对资源的横向扩展,因为物理云主机没有办法做到云主机一样的纵向的资源调整,如果纵向通过插内存条的方式,这种并没有意义,现在横向扩展的速度能不能实现,到底应该有什么样的速度,目前来看应该普遍可以提供在几分钟之内备板资源开采。
5、网络接入性能:大部分物理云主机跑在内网上对内网带宽要求不小于千兆,目前我们测试的数据,基本上会对主流运营商进行千兆或者万兆的考核,也有高速的架构做公用互联网选择。公网带宽要求与实际带宽的测试值偏差要小于5%
6、计费计量:物理云主机计费是线上发生,主要考察计费的隔离度是否明确,跟前端开启资源的服务跟后端的资源扣费能否符合需要核对,也需要核对计费方式是否准确。
实际考察有几个指标:可销毁性,物理云主机销毁资源的时候,要看到数据是确确实实在销毁,用户把数据放到物理云主机上想要迁出的时候,迁出的数据有没有妥善处理彻底删除掉这是我们实际考察的点;业务可审查性,关键业务的日志是否存储、运维人员的操作记录有没有存储,可以看到运维人员对关键的组建、关键的维护操作有纪录,包括权限的管理有划分需要现场考察一下,包括是否有完善的运维管理系统,现场有模拟故障,考察恢复和处理的能力。
下面是物理云主机评估的大概的环节,主要分四个部分,材料审核刚才说了前面的维度,会把文档性的东西在系统提交做文档审核。第二现场运维审查,针对管理总方针、组织机制、运维管理系统共极15大类62细分项的现场审核。第三是技术测试,三项结束之后会进行专家评审,在全部环节通过之后可以拿到评估的证书。
首批通过物理云主机的云服务商是中国电信集团有限公司、腾讯云计算(北京)有限责任公司和上海优刻得信息科技有限公司三家。
后续的工作,在大会结束之后的下个月开始要正式启动第十一批公有云评估测试这一块,公有云目前有16类的服务可以评估,包括一些私有云评估。下半年重点工作是在无服务架构技术的探讨跟标准或者白皮书的相关制定,也有同时在做无服务有状态和无状态服务,这一块也是我们下半年会做的方向。谢谢大家!