中国IDC圈2016年9月5日报道,9月1日由工业和信息化部指导,中国信息通信研究院、中国通信标准化协会主办,数据中心联盟承办的“2016可信云大会”在京隆重召开。在私有云可信云开源解决方案分论坛上,中国信息通信研究院技术与标准研究所工程师、可信云认证测试团队负责人陈屹力发表了题为“可信云解决方案评估方法”的演讲。
中国信息通信研究院技术与标准研究所工程师 陈屹力
以下是演讲全文:
各位嘉宾,大家下午好。我来给大家介绍一下开源解决方案认证的一些评估方法,还有我们在首批测试的汇报。
首先看一下背景,可信云服务认证经过了近三年时间,得到市场的广泛认可。随着参评云服务的增加,各式各样的需求都来了,我们可能逐步需要细分市场,借助可信云现有的品牌效应,我们建立一家子品牌,应对各行各业或者不同领域的需求。除了传统的可信云服务认证之外,还有可信云企业级SaaS,还有金牌运维,又加了一个开源解决方案,等于是四个子品牌。
开源解决方案主要评估范围,一个是虚拟化软件,第二个是虚拟化管理软件,还有一个是容器。虚拟化软件包括计算虚拟化、网络虚拟化、存储虚拟化,虚拟化管理软件就是OpenStack、CloudStack。
从市场对云产品认证的需求,IT人员对私有云不够了解,用户难以选择私有云解决方案,第二是部署周期长,原有系统到私有云迁移困难,维护复杂,投资回报低。,认证目标,首先是让用户更了解开源的私有云解决方案,帮助用户做选型,最重要的是我们想培育这个市场,推动产业发展。
前期我们调研也是一些国际上的对于软件层面的评估认证的体系,包括ISO、CMMI等。
之前对于公有云的经验,我们在公有云的评估指标上用了16个指标,包括数据持久性等这些,最终加上金牌运维和云服务性能,一共是18个。我们全新去考量开源解决方案如何去评估,可以看到开源私有云解决方案,除了软件本身,还包含架构、部署、运维、验证、协助、升级。相对传统软件,私有云更具有整体性,对资源协作能力有更好的要求。使用开源软件,虽然说可以降低软件上的支出,对IT的运维、开发可能提出更高的要求。我们根据解决方案的特性,包括我们前期调研的市场需求,我们逐步在完善私有云开源解决方案的评估认证。
评估的方法主要包括两个,一个是解决方案质量问题,第二个是服务能力,延续公有云的经验,我们对私有云解决方案也是两种方式,一个是材料审查,一种是技术测试,材料审查主要是验证解决方案一些基本的信息,比如说企业信息、业务信息,基础设施是对于产品对于解决方案本身,产品功能还有技术指标做一个验证。
下面具体到某个指标包含的内容,第一个是企业基本信息,包含对企业基本信息和业务基本信息真实性的验证,包括经营资质、规模、人员,包括研发人员的运维能力。服务能力,产品周期,承诺交付时间,提供系统漏洞修复和升级服务,自己常规的运维服务。下面是运维服务,提供运维托管服务和协助的运维支持。权益保障是针对用户的权益的一些条款。这两个都是基于材料审查的。
下面是解决方案质量,主要是以基础设施为主,其中包括云平台的基础功能、运维系统功能、文档完备性、可用性、互操作性、安全性、可控性、资源调配能力、异构虚拟化、资源调度效率。包括提交的材料和内容。基础功能包括虚拟机管理、存储管理、快照管理、镜像管理、网络管理、租户管理、存储容灾备份。运维管理包括资源监控、故障管理、权限监控、用户管理。文档完备性包括你的版本信息,社区版本以哪个版本为主,比如说你的核心的组件。发行版就是对企业自身的发行版本的说明。许可信息是发行版授权许可说明。下面是高可用,必须保证物理自研高可用和虚拟机高可用两个。所谓的互操作性是对于OpenStack社区有一个API的校验,在OpenStack衍生版的接口是否能通过校验。最后一个是安全性,对使用扫描工具进行常规的路由扫描。可控性是厂商披露代码的授权协议,说明是否开源,开源之后授权给用户,上面再进行二次开源或者部分闭源。资源调配能力,比如说虚拟机调配功能。异构虚拟化,目前是我们对异构虚拟化主机、异构虚拟化存储,包括异构虚拟化网络,这个是可选的。资源调配效率,对虚拟机生命周期管理、存储生命周期管理,还有批量创建虚拟机。
下面是服务指标的完备性和规范性,产品周期,包括产品交付、系统故障、系统升级、研发能力。运维服务是服务时间、培训服务、运维协助、迁移服务,迁移服务目前这个水平不是说什么都能达到。权益保障是持续服务、服务范围、服务费用、用户条款。
测试环境,目前是10个物理节点单集群规模,计算、控制、存储比例遵循3:3:4。环境部署基本上是三种方式,第一种是脚本安装,第二种是基于Docker的容器部署,还有一种是基于UI界面化工具。部署的周期一般一天时间搞定。基础功能,都具备或者都提供这种基本能力,有几个点,网络管理、内网外网流量控制,对于他的业务本身或者使用场景不同,内网外网不是所有都可具备。运维管理,运维系统一般有两种方式,一种是自研的,功能强大,运维效率高。还有一种是集成第三方运维系统,比如zabbix、nagios。测试指标,角色、用户、权限管理有差异,部分厂商解决方案颗粒度较细,控制更灵活。高可用是物理高可用和虚拟机高可用,物理高可用是实现计算、存储、网络、控制节点高可用,虚拟机高可用是物理节点故障,保证虚拟机自动疏散。安全性主要是两种方式,一种是常规漏洞扫描,一种是Web漏洞扫描。测试结果,发现高危漏洞扫描基本上都可以现场修复,漏洞类型包括openssl、snmp、vncserver。资源调配能力,CPU、内存、磁盘、网络资源调整,为保证业务连续性,CPU、内存可以只支持增加不支持减少。磁盘调整至少支持数据盘的增加和减少。互操作性,从我们的角度来讲,至少要保证五个核心组件,比如Keystone、Neutron等,还有一种方法是通过OpenStack官方DefCore认证。下面是异构虚拟化,选了两个,一个是异构虚拟化主机,至少支持VMware虚拟化平台,版本可选vcenter5.5和vcenter6.0。可管理VMware可用域计算、存储、网络资源。最后一个是资源调度效率从虚拟机生命周期管理卷存储生命周期管理效率、批量创建虚拟机管理效率,测试工具是Rally,配置信息是按照虚拟机生命周期管理是执行100次,并发2个,卷存储生命周期管理是执行30次,并发10个,批量是执行50次,并发20个,计算、存储节点分别为3个,并发次数偶数,保证不对称调度。测试结果为执行时间,以秒为单位。测试的原则,首先保证公平公正,统一测试环境,第二是节点分布统一,测试例配置信息一致,测试周期统一为5天。修正机制,在测试周期内,安全性漏洞可现场修复,资源调度效率可进行优化。客观严谨是说所有测试环节都需要现场测试人员认可并验证。
测试亮点,环境部署,UMCloud、华为都提供了自动化部署工具,分别是Fuel和fusionShpere,中联润通采用Docker容器技术实现快速部署。基础功能,除了社区版提供的基础组件和功能外,部分解决方案还扩展了更加丰富、颗粒度更细的特性功能。运维能力,EasyStack、云途腾具有自研的独立运维管理系统,其他厂商均可以提供7x24小时运维服务。
测试结果汇总,基础功能、运维功能等有几个可选项。最后一个,资源调度效率,这是一个总的表。
大概就是这样,谢谢大家。