張東：浪潮安全可控雲計算平臺的關鍵技術

7月4日消息，2012年中國電腦網路安全年會今日在西安舉行，浪潮系統軟體總監張東發表了題目為「浪潮安全可控雲計算平臺關鍵技術」的演講。

浪潮系統軟體總監張東

以下為演講實錄：

大家好，我彙報的題目是「浪潮安全可控雲計算平臺關鍵技術」。

作為浪潮來講，我們並不是在雲計算方面是專業廠商，我認為雲計算未來會是什麼樣的發展，在這裡面一些關鍵的技術是什麼。 應該說雲計算這個概念出來已經有5、6年的時間了，在10年和11年雲計算還是高高在上的，但是從去年就掉下來了，但是並不是說雲計算就跌出了我們關注之列，現在雖然雲計算沒有以前那麼火，大家都覺得雲計算就像一個新的東西出來， 大家都覺得很好。 雲計算進入這樣一個時期，原來大家都在炒作概念，然後進入到成熟的發展過程，這是未來雲計算的發展。 中國的狀況，作為浪潮來講在雲計算方面做得比較早的廠商，我們說一個非常大的雲計算中心在中國並沒有形成。 在未來幾年，雲計算仍然是整個IT發展的一個關注點。 如何去實現自主可控的安全系統，仍然是我們努力的一個方向。

作為我們的理解，其實雲計算的出現，它並沒有帶來更多我們以前沒有看到的問題，可能更多的事情就像我們把錢放在銀行裡面一樣。 但是從這個意義上來講，安全仍然是雲計算裡面非常關注的一個點，你如何實現自主可控的雲計算系統。 雲計算最主要的目的是為了給大家提供服務，在這裡最關鍵的就是應用，但是承載這些應用我們需要一個堅實的數中心，我們僅僅講到了如何保證安全性，如何提高它的效率，就要從資料中心下手。 未來雲計算資料中心的特點，所謂資訊技術就是要處理資訊的，你的機器堆在那兒，如果不提供對外的服務，那你這一堆機器就會成為廢鐵，雲計算的發展就是資料的發展，在大手筆時代，我們需要一個更大的資源池來存放資料， 要有一個統一平臺的架構，就是我如何讓那麼多的雲，都能夠在一套雲計算的基礎設施裡面搞得更好。

　　目前從雲計算的發展趨勢來講，IT產業從最開始出現的時候，最早做機械的廠商什麼都做，這個在70年代、80年代的時候是非常普通的，提供資料庫，什麼都提供。 但是在80年代以後，隨著開放架構的逐步實現，實際上目前的狀況已經轉變為像中間這樣，也就說這種水準化的分工是很明顯的。 但是進入雲計算以後，非常典型的就是蘋果的出現，所以我們也提出我們的目標，我們要提供一個整體化的解決方案的資料中心這樣一種趨勢。 在雲資料中心裡面，它可能會放很多東西，目前來講我們現有的預算是不是滿足我們未來的發展，我們在這裡面提到了一些新的想法。 比如第一個，高效能雲伺服器。 支援多種雲計算應用類型，可動態滿足應用資源按需獲取、彈性擴展要求，低功耗、高效能的一體化雲伺服器。 採用異構混合體系結構，滿足雲計算應用資源按需獲取、動態調整的需要。 提供通用處理、可變加速、高密度低功耗等三重計算單元，滿足計算密集型，I/O密集型、數密集型等多種雲計算應用類型需要。 採用一體化設計，提高電源轉換效率和散熱效率，整體PUE達到1.1以下。 集中資產、功耗和故障管理，降低維護複雜度，提高設備可用性。 這裡面作為存儲來講仍然是很專業性的東西，不是說我搭一個伺服器就把原有存儲的服務模式完全替代了，實際上這個存儲仍然可以在硬體方面做改變。

　　一體化雲計算資料中心。 資料中心建設需要考慮土建、機房環境建設、系統建設及運營維護，週期長，成本高。 一體化資料中心解決方案，提供標準化、模組化、便利性。 全方位自主可控的雲計算系統軟體平臺。 第一是資源配置，我如何去應對需求，來提供一個能夠彈性伸縮的框架。 對應用來講它實際上需要的是計算的能力，而作為一個好的雲平臺的系統，我們需要一個什麼樣的訪問能力和處理能力，你要處理什麼樣的資料。 在這裡面雲計算同樣需要提供這樣一個架構，能夠真正合理應用合理性的資源。 在整個的框架裡面，另外一個框架就是雲的安全體系，我在安全方面更多關注的是我提供的虛擬資源的安全，我提供的整個系統使用者管理。 計算虛擬化與網路虛擬化。 計算虛擬化：資源自我調整分配，資源彈性擴展，虛機鏡像分散式管理機制，高效的虛擬鏡像創建和存取速度。 網路虛擬化：全網統一交換器策略，高效快照磁片格式，虛擬網路分散式快照，虛機不停機的網路一致快照。 分散式檔案系統與持續資料保護。 分散式檔案系統：中繼資料分佈、使用者資料分佈、無單點故障、百PB級的海量資料管理。 資料保護：持續資料保護（CDP）、任意時刻恢復，支援資料庫、應用程式、檔案系統、磁片數。 其實在一個雲計算資料中心裡面，最關鍵是如何讓你的資源高效應用起來，如何讓你的設備用最低的消耗提供更高的服務。

在雲計算裡面，其實很多的安全問題有沒有雲計算它都是同樣存在的，但是有了雲計算資料中心虛擬資源整合以後，實際上多出來一些問題，使這些問題更加突出了，我們下面要講的，如何針對這些突出來的問題採取的一些措施。 在虛擬機器的框架之下，我如何證明虛擬機器的架構是安全的，其實大家在用單機的時候問題是同樣存在的，而在雲資料中心領域，這個問題會更突出一點。 安全保障—資源安全隔離。 對虛擬機器I/O讀寫的關鍵路徑上添加隔離器，防止一個惡意使用者的I/O讀寫影響其它虛擬機器I/O。 針對各使用者的虛擬集群，建立一個全域I/O調度器/隔離器，提供面向使用者的I/O服務品質保證。 I/O安全調度，針對不同的服務隊各種能力具有不同強度的需求，研究應用線上即時條件下其資源或能力動態需求變化規律的合理性及其容許的合理變動區間，防止間接性拒絕服務攻擊。 安全保障—虛擬機器鏡像安全管理。 虛擬機器完整性度量，捕獲系統調用、中斷、異常等事件，對系統的最新狀態實施動態度量。 虛擬機器鏡像安全管理，完成虛擬機器鏡像安全管理模組研製，以全透明的方式帶外檢測使用者虛擬機器訪問虛擬存儲所產生的I/O資料流程，檢測惡意I/O操作。 對虛擬機器鏡像進行拆分，安全地存儲到資料庫中。 系統運維—大規模分散式資產管理，異構資源線上配置，支援大規模資料中心資產管理；建立資產管理模型。 大規模分散式問題和故障管理，自動化的問題分析語故障處理模型問題知識庫，保存發生的故障，及解決故障的方法，實現IT運維經驗的積累。 故障排除，根據基礎設施的上報資訊，確定已經發生的事故以及提供的服務中潛在的可能發生的事故的根本原因，通過提出變更請求來消除事故。

當朝雲海，著力中國的行業雲應用，遵循開放標準化的技術路線，依託自主創新，重點發展高端伺服器、高密度伺服器和海量存儲等雲基礎裝備，面向資料中心的雲資料中心作業系統。 我們提出行業雲的概念，是由行業內或某個區域內起主導作用或者掌握關鍵資源的組織建立和維護，以公開或者半公開的方式。 這地面主要依託浪潮的硬體設備，我們的軟體平臺，包括在做的雲的伺服器，雲的存儲，包括雲的平臺搭建。 同時提供快捷、靈活、隨需應變的雲服務運營的交付。 浪潮積極參與雲計算相關標準制定，08年以來浪潮在雲計算相關的基礎架構、節能體系、安全體系等領域主導起草了7個國家級標準。

我今天的介紹就到這裡，謝謝大家。

(責任編輯：蒙遺善)