将 IaaS 用于 PaaS

Ververica 发布于2019-04-25 17:34 / 3367人阅读

摘要：由于负载平衡兼容性问题，许多企业无法反映他们在私人数据中心使用的服务以便用于公共。应用程序的示例包括船到港和离港时间表客户关系管理人力资源和电子表格。设置阈值水平实现故障转移用户数据请求资源社交媒体负载平衡和虚拟桌面。

探索 PaaS 开发人员可以使用的 IaaS 交付服务

在一个云岛上，PaaS 开发人员通常在博客上和 IaaS 网络专家讨论开发人员使用 IaaS 虚拟机的不同方法。有一天，开发人员无法运行和测试一个应用程序。他抱怨说，当他发现的时候已经太晚了，虚拟机的容量已不足以处理突然增加的大数据量，这些数据是满足日益增长的合规性需求所必需的。

该 PaaS 开发人员并不能控制虚拟机，所以他立刻通知 IaaS 专家，要求他增加虚拟机的容量。IaaS 专家回应开发人员，增加了他所需要的虚拟机容量。专家对没有设置阈值策略表示歉意，并要求将策略设置到位。

IaaS 专家对所有开发人员发起了一个网络会议。议程包括：

开发人员如何使用 IaaS 实现不同服务（除了测试）
可与 IaaS 商讨的阈值策略
建立需求策略能力
IaaS 提供的 Layer 4-7 云网络服务

本文将探讨可供 PaaS 开发人员使用的 IaaS 供应商交付服务，详细介绍 PaaS 可用的交付服务，以及考虑应该采用哪种级别的多防御机制更好地保护 IaaS，以防止云滥用。

Layer 4-7 云网络

Layer 4-7 云网络服务是增加虚拟机容量的一种方法，但是这类服务在 2012 年的 IaaS 市场上就已经很少见了。由于负载平衡兼容性问题，许多企业无法反映他们在私人数据中心使用的 Layer 4-7 服务（以便用于公共 IaaS）。如果应用程序需要复杂的负载平衡和专有防火墙，那么企业将无法进行迁移。

许多 IaaS 供应商可以出售 Layer 4-7 云网络服务，但是这些服务往往是有限的，有时是专用的。供应商无法提供足够的负载平衡能力。

2013 年，虚拟应用程序交付控制器 (ADC) 和 WAN 优化控制器增长迅速。许多企业能够利用这些控制器在 IaaS 供应商的云中复制他们的Layer 4-7 服务。但是，您可能会发现，有些 IaaS 供应商往往不愿为您提供 Layer 4-7 服务。提供 Layer 4-7 服务的供应商能够为 PaaS 开发人员提供许多 IaaS 的交付服务。（请参阅 IaaS 供应商服务交付模式，获取有关的更多信息。）

Layer 4-7 在网络包中引用了两个可以识别其内容的层。它们能够识别创建请求的包和规范的应用程序。检查第 4 层可以识别 HTTP 通信（Web 通信），而检查第 7 层可以决定 HTTP 请求针对什么。

云服务模型的用户

除了 IaaS 专家之外，PaaS 还可以为 SaaS 用户所用。模型用户（独立用户或者组用户）可使用云进行：

按需获取 SaaS。
使用 SaaS 构建应用程序。
使用 IaaS 虚拟机。

按需获取 SaaS

当按需获取 SaaS 时，SaaS 终端用户拥有最少的控制，而供应商拥有最多的控制。

终端用户控制: 无论他们是个人、企业（小型或者中型），还是政府机构，终端用户拥有的惟一控制就是从移动设备的分区上访问 SaaS 应用程序。SaaS 应用程序的示例包括船到港和离港时间表、客户关系管理、人力资源和电子表格。
终端用户使用公司允许的社交媒体工具彼此进行交流，包括在 PaaS 上构建 SaaS 应用程序的 PaaS 开发人员。
SaaS 供应商控制: 供应商至少能够通过限制授权用户的数量来管理访问控制，正如用户阈值策略所述（参阅参考资料），授权用户可以同时从移动设备或者虚拟桌面访问应用程序。供应商控制授权用户的数量，这些用户能够访问各个虚拟桌面实例，正如虚拟桌面阈值中所述。供应商还控制运行 SaaS 所需的操作系统、服务器和基础架构。

使用 PaaS 构建 SaaS

当使用 PaaS 构建 SaaS 时，PaaS 开发人员拥有更多的控制，而供应商拥有的控制则较少。

开发人员控制: 开发人员控制和保护整个业务周期中使用 PaaS 创建的所有应用程序。例如，开发人员构建、部署、测试并运行一个自定义的船只到港和离港管理应用程序。开发人员控制从企业内部数据中心迁移出来的应用程序。他们可以设置用户和虚拟桌面阈值级别。
开发人员使用公司认可的社交媒体工具与 SaaS 终端用户、IaaS 专家、其他开发人员和供应商进行通信。
PaaS 供应商控制: 供应商至少控制运行 SaaS 应用程序所需的操作系统、服务器和网络基础架构，开发新的企业应用程序，或者测试云中现存应用程序的伸缩性。
供应商还控制可下载到开发人员移动设备的社交媒体工具。他们设置资源、数据请求、社交媒体和负载平衡阈值水平。

使用 IaaS 虚拟机

当使用 IaaS 虚拟机时，IaaS 基础架构或者网络专家拥有最多的控制权。

网络专家控制

基础架构或者网络专家：

在虚拟机级别上控制操作系统、网络设备以及已部署的应用程序
能够扩展或者缩小虚拟机服务器或者存储区块
使用社交媒体工具与其他 IaaS 基础架构专家、PaaS 开发人员以及供应商通信

基础架构专家能够设置用户、负载平衡和虚拟桌面阈值水平。

IaaS 供应商控制

供应商至少可以控制虚拟机下的传统计算资源基础架构，以及需要哪个移动应用程序访问 IaaS。供应商还控制合作环境下使用的社交媒体工具。供应商设置用户、资源、数据请求、社交媒体和负载平衡阈值水平。

IaaS 供应商的服务交付模型

IaaS 供应商为 IaaS 基础架构专家或者网络专家提供 PaaS 开发人员可使用的 IaaS 交付服务。这些服务包括：

灾难恢复
故障恢复服务
计算即服务
存储即服务
数据中心即服务
虚拟桌面基础架构
高输入/输出云爆发
测试环境

本小节其余部分针对各个 IaaS 服务，介绍 IaaS 基础架构专家应该完成什么任务，以及 PaaS 开发人员如何使用该服务。

灾难恢复服务

IaaS 基础架构专家使用该服务来：

将多个灾难恢复系统合并成一个单一的虚拟化实例。
与多个 IT 应用程序共享同一个实例。

PaaS 开发人员能够就以下问题与 IaaS 基础架构专家进行协商：

应用程序开发项目的多带带灾难恢复计划
获取资源的阈值策略：用户、数据请求、资源、社交媒体、负载平衡和虚拟桌面

故障转移服务

基础架构专家使用故障转移服务制定一个计划，使所有虚拟机在发生故障时都可以通过 IaaS 本地或远程转移到健康的服务器上。

PaaS 开发人员可能会与基础架构专家进行协商：

运行一个特殊应用程序，PaaS 开发该应用程序是为了将故障转移到健康的虚拟机上。
设置阈值水平实现故障转移：用户、数据请求、资源、社交媒体、负载平衡和虚拟桌面。

计算即服务

基础架构专家保证即付即用服务能够为两种类型的 PaaS 应用程序需求提供充足的按需容量：

企业决策支持系统，它们需要大型数据集
季节性的或短期的应用程序项目

当 PaaS 开发人员需要构建、运行、测试和部署应用程序时，他们可以选择使用计算即服务。他们可能会与基础架构专家商议阈值策略。

存储即服务

基础架构专家保证特定的虚拟机能够：

用作存储即服务，以满足兼容性和数据保护需求
通过扩展来存储呈指数增长的企业应用程序非结构化数据

PaaS 开发人员能够使用存储即服务存储测试数据，将它们用于大量应用程序开发中。他们可能会与基础架构专家商讨设置资源、负载平衡以及数据请求的阈值水平。

数据中心即服务

基础架构专家能够将 IaaS 设置为数据中心即服务，满足 PaaS 开发人员的计算密集型数据中心容量需求。PaaS 开发人员可与基础架构专家协商设置资源、平衡负载和数据请求的阈值水平。

虚拟桌面基础架构

基础架构专家通过以下方法设置虚拟桌面的基础架构：

在服务器上运行的虚拟机上安装一个桌面操作系统
指定哪个物理桌面和移动设备可在虚拟桌面上运行

PaaS 开发人员可能会和基础架构专家进行协商：

限制他们可以使用的虚拟机数量，正如在虚拟桌面阈值中所描述的那样
建立各个虚拟桌面的配置准则
设置资源、负载平衡和虚拟桌面的阈值水平

高输入/输出/云爆发

基础架构专家帮助企业开发人员将企业的基础架构整合到云中。IaaS 供应商会为企业提供 Layer 4-7 服务，帮助 IaaS 专家保证企业能够使用 PaaS 创建一个灵活的、高度可伸缩的应用程序主机环境。

PaaS 开发人员使用 IaaS，使以下这些应用程序产生云爆发：

强加季节性资源需求，而企业的内部数据中心无法满足这些需求
需要额外的可满足峰值需求的容量，而不影响虚拟机资源

测试环境

基础架构专家建立开发的配置或者测试环境，并确保测试环境能够快速响应来自 PaaS 开发人员的计划内和计划外（短期的）测试请求。

PaaS 开发人员使用 IaaS 来：

减少未充分利用的容量和设备。
支持所有软件测试阶段。
执行扩展性测试。

风险迁移计划

本小节介绍风险迁移的五个实践步骤。从 IaaS 灾难中恢复 PaaS 时，这些步骤会使您的工作更加轻松。如果威胁的优先级发生改变则重复这些步骤。当优先级发生改变时，保障需求和成本也会相应地发生改变。

识别资产

首次执行风险评估时，需要识别 IaaS 和 PaaS 组件。您的评估应该包括 IaaS 灾难恢复服务计划、虚拟操作系统、服务器、桌面和所有相关的安全策略。需要识别的其他资产还包括：

IaaS 供应商的交付服务，包括灾难恢复、故障转移服务和存储即服务
授权 SaaS 用户、PaaS 开发人员以及 IaaS 基础架构专家的联系信息
企业服务器，用于远程控制移动计算机（物理的或者虚拟的），可是个人控制也可使团队控制
公司认可的社交媒体工具，作为移动计算机、平板电脑、设备以及虚拟桌面用户间的近实时通信工具
阈值策略：用户、数据请求、资源、社交媒体、负载平衡和虚拟桌面
服务水平协议 (SLA) 的类型：外部、内部或者内化的（请参阅参考资料）
路线图，显示 IaaS 专家、PaaS 开发人员和基础架构供应商之间的复杂 SLA 关系

分析关键信息

在移动设备或者虚拟桌面上识别关键信息，PaaS 开发人员可以使用以下这些信息：

构建、运行、测试和部署应用程序。
检查 IaaS 的健康状况。
通过社交媒体工具进行通信。

下载到 PaaS 上的公司数据往往是最重要的，包含公司的会计记录和 C 级主管的联系信息。

分析漏洞

列出一个漏洞清单，这些漏洞可用在移动设备、虚拟桌面和虚拟机上。对漏洞进行定性评级，可分为高、中、低三个级别。例如，通过移动设备产生的 PaaS 威胁至少有五个漏洞：

没有设置设备密码。
没有应用程序社交媒体。
没有提供远程数据清除。
没有开启数据加密。
性能监控不充足。

每个漏洞都被评定为高级漏洞。利用这些漏洞，黑客无需密码或者生物认证（指纹或者虹膜扫描）就可以进入设备，查看从 IaaS 健康面板中下载的未加密信息。

如果漏洞的优先级发生变化，或者同一威胁出现新的漏洞，则必须重复这一步骤。例如，假设由于移动技术或者用户对 IaaS 中的网络基础架构认知发生了改变，出现了一个不同类型的 PaaS 漏洞。您必须重新评估和进行迁移风险，从识别资产开始。

评估风险

评估黑客利用漏洞的可能性或者风险，以及因此所造成的企业在收益和名誉上的损失。可能性的值在 0 和 1 之间。当高可能性趋于 1 时，漏洞被利用的概率就会很高。值为 0 就意味着没有风险，也不会产生云滥用或者云关闭。可能性的值越低，您使用成本有效的安全设施迁移云滥用风险的机会就越大。

解决问题

即使是较好的可用云服务信息保险产品也有其固有的弱点。经验丰富的敌人能够利用技术在这些产品中发现他们能够利用的漏洞。对手在某个产品中发现的可利用漏洞在其他产品中可能并不存在。

要解决这一问题，需要建立一个应对策略，在对手与其目标（IaaS 和 PaaS）间部署多个防御机制层。每个经济有效的机制都必须显示其阻止对手的独特障碍。当减少对手成功渗透到 IaaS 供应商交付服务的机会时，就能更好地帮助检测对手。

这里至少有五个建立防御层的技巧。

被动类攻击：

第一层防御：网络层加密
第二层防御：社交媒体、负载平衡和虚拟桌面阈值

内部类攻击：

第一层防御：物理和个人安全
第二层防御：审计、访问控制和相关安全策略

开发类攻击：

第一层防御：物理和个人安全
第二层防御：云服务和社交媒体工具的技术监督对策

发布类攻击：

第一层防御：信任的软件发布
第二层防御：运行时完整性和受保护的存储控制

积极类攻击：

第一层防御：防御 enclave 边界（例如，外部防火墙）。
第二层防御：防御供应商的数据中心（例如，内部防火墙），和/或虚拟机故障转移到美国境内的健康安全的数据中心。

在现实中，有多种针对 IaaS 交付服务、社交媒体以及云服务的攻击。每种类型的攻击有更多层的防御。每层防御都能够进一步被分解为较低层的防御，而它们之间也有各种复杂的关系。如需获得更多信息，请参阅 National Security Agency 的 “Defense in Depth” 一文（参阅参考资料）。

结束语

本文重点介绍了您为什么应该考虑采用较佳实践来开发 PaaS 开发人员可以使用的 IaaS 供应商交付服务。确保 IaaS 供应商能够为您的企业提供兼容的 Layer 4-7 服务，将应用程序迁移到云。三个最重的 IaaS 交付服务包括：灾难恢复、故障转移和云爆发服务。负载平衡和虚拟桌面阈值是全新的概念，已添加到其他阈值术语的清单中。我们需要建立一个团队，并且使这个由开发人员、经理、业务分析人员和系统工程师组成的团队更轻松地为 PaaS 开发人员提供 IaaS 交付服务。

参考资料

如需获取关于风险迁移的更多信息，请阅读作者的以下文章：
- “制定移动设备安全策略”（developerWorks，2011 年 10 月）：构成云移动安全策略的四个变量。
- “云计算与网格计算：服务类型、异同点及有关问题”（developerWorks，2009 年 3 月）：探讨安全性问题，以及云中 Web 开发的选择。
- “改变应用程序行为：从内部转到云上”（developerWorks，2011 年 3 月）：将数据库中心应用程序迁移到云上：主动而非被动。
- “云服务：降低风险，保持可用性”（developerWorks，2011 年 3 月）：云服务安全，以及如何将风险迁移到云服务器，保证高度的正常运行时间可用。
- “制订云性能指标策略”（developerWorks，2011 年 9 月）：确保云性能的三项前瞻性措施：监控、测试和构建策略。
- “制定一个面向 SaaS 的 Web 应用程序漏洞缓解策略”（developerWorks，2012 年 6 月）建立面向 SaaS 的 web 应用程序漏洞缓解策略，它能预测应用程序故障出处，并提供几个预定义的解决方案来解决这些问题。
- “降低云资源枯竭停机的风险”（developerWorks，2013 年 2 月）：使用服务级别协议和其他前瞻性工具避免云停机。
如果要获取更多关于阈值策略的信息，请阅读作者的以下文章：
- “在云环境中平衡工作负载：使用阈值策略动态平衡工作负载”（developerWorks，2011 年 1 月）：学习什么是阈值策略以及它如何在云环境中帮助动态地平衡负载需求。
- “云计算与网格计算：服务类型，异同点及有关问题 ” （developerWorks，2009 年 3 月）：探索一些安全问题以及云中 web 开发的选择。
- “在云上构建积极的阀值策略”（developerWorks，2011 年 5 月）：发现目的、范围、背景、用户控制、行动以及约束的影响。
- “为关键的云组件构建并采用阈值标准”（developerWorks，2013 年 2 月）：特定于云的阈值标准，以及故障发生时采取的前瞻性措施的场景。
Defense in Depth（National Security Agency）在当今的高度网络化环境下实现信息保障。
云网络上的更多信息：
- Networking outlook: Controllers, Layer 4-7 will roil SDN 2013 market（SearchNetworking，2013 年 1 月）：2013 年，应该为软件定义的网络准备什么。
- Layer 4-7 cloud networking still scarce in IaaS market（SearchNetworking，2012 年 8 月）：Layer 4-7 网络服务在技术上和操作上依然是一个令人头痛的问题。
了解如何访问 IBM SmartCloud Enterprise。
在 developerWorks 的云开发人员参考资料，发现和共享应用程序的知识和经验，并帮助开发人员构建他们自己的云部署项目。
关注 Twitter 上的 developerWorks。

文章版权归作者所有，未经允许请勿转载,若此文章存在违规行为，您可以联系管理员删除。

转载请注明本文地址：https://www.ucloud.cn/yun/4048.html

专家：IaaS阻碍PaaS云架构发展

摘要：我对美国康卡斯特电信公司会放弃对整个运营环境的控制权持怀疑态度，该公司融合产品架构师表示。这个美国的电信巨头使用的是亚马逊服务架构打造。选择真正PaaS的组织已经部署完毕，因为PaaS能让他们自己部署，并且只需花费少量成本与人力资源就能在内部或IaaS上实施。但是PaaS云架构仍然让企业犹豫不决。美国迈阿密的Choose Digital提供一个数字市场平台，将客户白标签作为忠诚和亲和力...

Luosunce 2019-04-25 17:38 评论0 收藏0
IaaS vs PaaS vs SaaS：应该选择哪一个?

摘要：根据调研机构公司最新的全球公共云服务支出调查预测，云计算支出增长速度比整体支出快七倍。领先的云计算供应商提供广泛的不同计算和存储实例，使客户能够选择最符合他们需求的性能特征。在云计算的早期阶段，企业面临的最大问题是他们是否应该使用公共云服务。如今，几乎所有的组织都在采用一些公共云服务。更重要的问题是企业应该使用哪种云服务：基础设施即服务（IaaS），平台即服务（PaaS），还是软件即服务（S...

Riddler 2019-04-30 11:36 评论0 收藏0
一文读懂什么是混合IT？

摘要：然而，一些客户只是依靠混合作为一种临时解决方案，并计划最终将所有资源迁移到云平台。根据公司最近的一份调查报告，已经有近一半的服务都是云计算服务。混合成本按需付费定价是混合采用的主要推动力。人们需要了解当今大多数企业使用混合IT的原因，以及这个计算模型与纯粹云计算和无云替代方案的比较。混合IT是一种企业计算模型，其中组织通过传统的内部IT系统提供一些资源，同时还将云计算服务的某种组合用...

Gu_Yan 2019-05-05 14:49 评论0 收藏0
PaaS仍旧缺席别谈云计算格局已定

摘要：而不久之后将正式登场亮相的服务商们或将成为未来改写中国云计算市场格局的一个个因素。因此，在仍旧缺席的中国云计算市场说格局已定，还为时尚早。云计算业内对IaaS和SaaS的关注度素来高涨。相比之下，关于PaaS的讨论则颇为冷清。想围绕PaaS写个三部曲的想法由来已久，年初接连完成两篇（《PaaS是位好同志，但SaaS公司搞PaaS却不大靠谱》《夹缝求生，PaaS要靠什么来刷存在感？》），第三篇...

William_Sang 2019-04-30 11:27 评论0 收藏0
从单租户IaaS到多租户PaaS——金融级别大数据平台MaxCompute的多租户隔离实践

摘要：摘要在年云栖大会北京峰会的大数据专场中，来自阿里云的高级技术专家李雪峰带来了主题为金融级别大数据平台的多租户隔离实践的演讲。三是运行隔离机制。针对这一问题，提供了多层隔离嵌套方案以便规避这种潜在的安全风险。摘要：在2017年云栖大会•北京峰会的大数据专场中，来自阿里云的高级技术专家李雪峰带来了主题为《金融级别大数据平台的多租户隔离实践》的演讲。在分享中，李雪峰首先介绍了基于传统Iaa...

beanlam 2019-06-24 17:58 评论0 收藏0