【云计算学习教程】云计算终端技术详解_在云计算中, 什么提供了一种机制,通 ...

网上学习资料一大堆，但假如学到的知识不成体系，碰到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提拔。
须要这份系统化的资料的朋侪，可以点击这里获取！
一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感爱好的新人，都欢迎加入我们的的圈子（技术互换、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
总之，技术厘革很快，各种协议都处于快速的发展厘革之中，现在比力的结果与数月后的比力结果可能会有所差别，而且还可能有新的协议不停诞生。具备一定技术实力的公司可以在开源协议（SPICE、X、RFB）方面深入发展，并做出全部采用开源软件的云计算方案，这应该具备精良的发展前景。
云计算安全性：从云计算架构、数据生命周期和数据安全3个方面先容

信息安全的首要目标是保护我们的系统和应用所处置惩罚的数据资料。随着单位组织陆续把应用迁移到云端，乃至是迁移到几年前不可想象的外部或公共云端，传统的数据安全措施面对巨大挑衅，随“云”而来的资源弹性、多租户、全新的物理和逻辑架构及抽象层控制，迫切寻求新的数据安全策略。
在云计算时代，如何安全地管理信息是所有组织不得不面对的一项艰巨使命，纵然那些临时还不用云计算的机构也不例外。管理信息具体包罗内部数据管理、云迁移，以及被分散于多个单位组织的应用和服务中的数据的安全保障。信息管理和数据安全在云计算时代须要新的战略和技术架构。荣幸的是，不但用户拥有须要的工具和技术，而且迁移到云端后，数据还能得到更好的保护。
发起采用数据安全生命周期来评估和界说云端数据的安全策略，在制定明确的信息治理策略的底子上，通过诸如加密和专门的监测本领等关键技术来增强其安全性。
云信息架构

差别的云服务模式具备差别的云信息架构。无论是私有还是公共 IaaS 云服务模式，通常包罗下面的存储。
1）原始块存储

存放数据的物理介质，如磁盘、光盘、磁带等。在一些特定的私有云中，这些物理介质能被直接访问。
2）卷存储

包罗被附加到 IaaS 实例的卷（如虚拟硬盘驱动器）。在存储后端，卷通常被打散存储以增强可靠性和安全性。卷差别于磁盘分区，磁盘分区是对一块根本的磁盘举行逻辑划分。
比如从 101 柱面到 10000 柱面划为一个分区，从 10001 至 50000 为另一个分区，因此一个分区的容量不可能超过磁盘的容量。而卷是在整合多少存储介质（如硬盘、分区、U 盘等）的底子上举行逻辑划分，因此一个卷答应跨越多个磁盘。
3）对象存储

通常指文件存储。不像虚拟机硬盘这种块设备，对象存储更像文件共享服务。
4）内容分发网络（CDN）

对象存储中的内容被分发到离用户最近的地方，以便增强终端用户的网络体验。
块存储、卷存储、对象存储和CDN的逻辑关系如图 1 所示。

图 1 块存储、卷存储、对象存储和CDN的逻辑关系
PaaS 云服务在对外提供存储服务的同时也要消耗存储空间。PaaS 能提供的存储服务主要有数据库服务、Hadoop/MapReduce 大数据服务，以及应用存储（被整合到 PaaS 应用平台且通过 APIs 访问的其他存储）服务。而 PaaS 消耗的存储空间包罗：

• 数据库：信息内容被直接存储在数据库中（作为文本或二进制对象）或者被数据库表字段所引用的文件中，而数据库本身可能是共享后端存储的 IaaS 实例集合。
  
• 对象/文件存储：只能通过 PaaS API 访问。
  
• 卷存储：数据被存储在附加给 IaaS 实例的卷中，但这些数据专门供应 PaaS 云服务。
  
• 其他存储：不属于上述三类的其他存储。
  

类似于 PaaS 云服务，SaaS 云服务也提供和消耗各种存储服务，SaaS 云服务提供的存储服务一般通过基于 Web 的用户接口或者 C/S 模式的客户端访问，这点与通过 API 访问的 PaaS 云服务的存储服务差别，不外很多 SaaS 云服务提供商也对外提供 PaaS API 访问接口。
SaaS 云服务可能提供的存储服务包罗：

• 信息存储和管理。比如现在盛行的网络硬盘就是这类存储。
  
• 内容/文件存储。专门存储基于文件的内容，如网络相册等。
  

而 SaaS 云服务消耗的存储包罗：

• 数据库。类似于 PaaS 云服务，绝大多数 SaaS 应用步伐要依赖后端的数据库服务，乃至是文件存储服务。
  
• 对象/文件存储。文件和数据被生存在对象存储中，专门供应 SaaS 应用步伐。
  
• 卷存储。数据被存储于附加在 IaaS 实例的卷中，而且专门供应 SaaS 应用步伐。
  

云信息架构如图 2 所示。

图 2 云信息架构图
数据打散存储

数据打散存储是一种增强数据安全性的技术，它与加密技术差别，通过对数据分片，每个分片以多个副本的形式分散存储在差别的服务器上，以冗余存储变更数据的高可用性和高可靠性。
现在绝大多数云服务提供商都采用了这种方法。例如，一个 500MB 的文件被划分为 5 个片，每片 3 个副本，一共 15 个片，被分散存储在多台服务器上，如许纵然部分服务器破坏，文件也仍旧不会遭到粉碎。当用户读文件时，读取 5 个分片重新“组装”为一个完备的文件。数据打散存储结合加密技术，将会使数据的安全性得到进一步提高。
数据安全生命周期

只管信息生命周期管理是一个相当成熟的领域，但是它并不能完全满足安全专家的要求，为此，人们提出了数据安全生命周期的概念。
数据安全生命周期从创建到销毁共六个阶段，如图 3 所示。一旦被创建，数据可处于任何一个阶段，也答应跨到任何一个阶段，也可能不经过全部的六个阶段（比如，并不是所有的数据末了都要销毁）。准确跟踪你的数据处于数据安全生命周期的哪个阶段，是举行敏感数据保护的条件，同时能帮助你确定在哪里应用安全控制措施。

图 3 数据安全生命周期
1）创建

在第一阶段，人们创建结构化或非结构化的数据，如微软办公电子文档、PDF 文件、电子邮件、数据库中记录或者图片文件。通常在此阶段，根据企业的数据安全策略对新产生的数据举行密级分类。
2）存储

一旦创建了一个文件，它就被生存在某个地方。此时，你要确生存储的数据受到保护，同时应用了须要的数据安全控制措施。通过有效保护你的敏感数据，可以淘汰信息泄露的风险。本阶段通常与创建动作几乎同时发生。
3）使用

一旦一个文件被创建并存储，那么随后可能将被使用。在这个阶段，数据被查看、处置惩罚、修改并生存。此时，在使用数据的过程中须要施加安全控制——你要能够监控用户活动并应用安全控制措施，以确保数据不被泄露。
4）共享

数据经常在员工、客户和互助伙伴之间共享，因此必须要持续监控存储中的敏感数据信息。数据在各种公共的和私有的存储、应用步伐和操作环境之间移动，而且被各个数据所有者通过差别的设备访问，这些环境可能会发生在数据安全生命周期的任何一个阶段，这就是为什么要在精确的时间引用精确的安全控制的真正原因。
5）归档

数据离开生产活动领域并进入长期离线存储状态。
6）销毁

采用物理或者数字本领永世销毁数据，物理本领如硬盘消磁，数字本领如加密切碎。
数据安全

数据是否完备、数据是否泄密、数据是否一致都属于数据是否安全的范畴。数据不完备是指在违背数据主人意愿的条件下，数据全部丢失或者部分丢失，数据所有者自动删除数据不属于数据不完备。数据泄密是指他人违背数据所有者的意愿而从数据中获取信息。下面几种环境不属于数据泄密：
1）从网上下载的免费的并生存在计算机中的电影被他人复制了，因为你不是电影的所有者。
2）用 AES 加密过的一份个人文档被他人复制了，因为他人无法解密，从而无法获取里面的信息。
3）一个没有加密的生存告急文档的 U 盘掉到大海里了，他人得到U盘中信息的概率可忽略不计。
4）网上银行的密钥卡丢了。
5）我自动把一份告急的方案材料传给客户。
上面的例子中，（2）表明他人固然复制了经过 AES 加密的文档，但假如没有密码，他是无法解密的，因为就算是使用当今最快的计算机举行暴力破解，也要花上一百多年的时间。（3）表明掉到大海里的U盘算是彻底损毁了，谁也得不到它，更不用说获取里面的信息了。在（4）中，网上银行的密钥卡丢了，就算别人捡到了，也无法利用我的账户，因为他不知道我的网银账户和登录密码。其他两个例子更容易明确。
数据一致性是指数据没有错乱，能从中获取到这些数据所蕴含的全部信息。为了明确数据完备性和一致性的区别，请看下面的例子，如图 4 所示。

图 4 完备性和一致性
假如把数据比作毛线，那么图 4 左侧的毛线就表示数据是完备的而且是一致的；中间的被使用过的毛线团表示数据是不完备的但是是一致的；而右侧乱糟糟的毛线就表示数据是不一致的，很难从中抽出一根完备的毛线来，比如明显看到文件在硬盘里，但就是打不开，或者打开后显示乱码，这就是数据的不一致。
那么，数据放在云端和放在本地到底哪个更安全呢？结论如下：
数据放在云端比放在本地更安全。
原因如下。
1. 数据完备性方面

云端通过采用服务器集群、异地容灾和容错等技术，可保证数据万无一失，采用数据快照回滚技术，能最大程度降低用户误删数据的丧失，所以云端的数据丢失的概率极低；相反，假如数据生存在本地（计算机硬盘、U 盘、光盘、SD 卡、磁带等），这些存储介质都很容易破坏，另外没有任何措施可防止用户误删数据，现在的数据规复公司业务火爆就充分阐明确本地数据丢失的广泛性。
2. 数据泄密方面

使用密码是现在最常用的防止数据泄密的方法，无论是云计算，还是使用本地计算机，都是云云。比如打开计算机，输入账号和密码登录，然后再输入密码登录 QQ、输入密码登录微博、输入密码登录邮箱、输入密码登录云等。另外，也有采用密码加密文档的，如密码保护的 Word 文档、压缩包等。
在当下云计算还不广泛的环境下，因为本地的存储介质（如硬盘、U 盘、SD 卡、手机、光盘等）丢失而导致数据泄密的概率占到 70% 以上，而其他诸如通过网络泄密的概率不到 30%。因此，把数据生存在云端，可以消除因丢失存储介质而泄密的可能性。另外，就算不用云计算，也存在网络泄密的可能性，除非你的计算机不连接网络。
云服务提供商会采取各种防范网络泄密的措施，如防火墙过滤、入侵检测、用户活动异常分析、泄密猜测等高精尖技术，个人用户计算机是不可能花费巨资购买这些设备和技术的。
末了，对于一些敏感的数据资料，用户假如实在不放心，还可以先加密，然后再生存到云端，常用的加密工具有 VeraCrypt、AxCrypt、BitLocker、7-Zip 等，也可以对 IaaS 存储产物（如虚拟机硬盘）全部加密处置惩罚。
3. 数据一致性方面

数据没有错乱，没有遭到粉碎，能正常打开和使用，这一点很关键。用过计算机的人应该都有过如许的经历：不正常关机（如突然停电、不小心按下计算机的电源开关或复位开关等）后重新启动计算机，报告硬盘文件遭到粉碎须要修复，好不容易修复并启动完毕，发现之前辛劳几天编辑的 Word 文档打不开了，这就是各种干扰因素粉碎了数据的一致性。
放在云端的数据一致性遭到粉碎的概率要远远小于本地计算机，原因很简单，云端环境更可靠：机房恒温恒湿、多级电力保障、阵列存储系统、异地灾难备份中心、安全防范措施全面、计算机专业职员维护等，这些措施使得数据不一致的概率几乎为零。
云计算的可靠性（可用性）如何？

前面我们讲过 IT 的概念，即信息技术，其中“I”代表信息（或数据），“T”代表技术（或计算），技术是用来处置惩罚信息的，所以说 I 是目标，T 是本领，T 是为 I 服务的。
《云计算安全性》教程中关注的是 I，本节我们再来看看 T，与 T 关联的安全主要是“计算可用性”，假如由于 T 的原因，人们无法处置惩罚 I，那么这种环境就称为计算不可用。
首先来看下面几个计算不可用的例子：

• 停电，计算机无法开机，所有的计算机软件都无法使用。
  
• 操作系统破坏，计算机启动失败，生存在 U 盘上的数据齐备无损，但是无法欣赏和编辑。
  
• 别人传了一个 PPT 文件给我，但是计算机上没有安装 Office 办公软件，所以我无法打开这个 PPT 文件。
  
• 网络断了，无法通过 QQ 与外界联系，也无法上网和收发邮件。
  
• 音箱坏了，而且没有耳机，所以无法使用计算机看电影。
  
• 我忘记了公司 ERP 的登录密码，所以无法使用财政系统。
  

计算不可用会导致人们无法处置惩罚全部或者部分数据，而断电、断网、软/硬件故障、缺少应用软件、忘记账号或密码等都会导致全部或部分计算不可用。
相对于传统 IT 系统而言，云计算简直增加了一个可能产生故障的环节——云端，而且一旦云端崩溃，影响范围会很广，但不能因此而全盘否定云计算，因为世上根本就没有完善无缺的事物。
一个公安局长在否决私有云建立方案时说的一句话：“万一云端出问题，大家都不用办公了？！”从正面回答公安局长的问题，估计效果不大，可以顺着其思路提出如下类似的问题：

• 万一银行的数据中心出问题，大家都不用取钱了？！所以银行不应该建立数据中心，但现在银行都建立了数据中心并实现了数据大会合。
  
• 万一电厂出问题，所有的电器设备都不能用了？！所以家家都要自备发电机发电，但今天谁会自备发电机呢？
  
• 万一移动公司的数据中心出问题，大家都不用手机了？！但现在几乎人人都在用手机。
  
• 万一自来水厂出问题，大家都不用水了？！只管存在这种断水的可能性，但哪家还会自挖水井呢？
  
• 万一地球发生爆炸，大家都不用活命了？！所以人根本不应该活着，而实际环境是活着的我们有谁总担心地球发生爆炸呢？
  

类似的问题还有很多，不再一一列出。我的一个好朋侪从 1994—2002 年在银行工作，从事计算机技术岗位，见证并到场了银行从完全手工办理业务（算盘、手写存折）到天下数据大会合并实现网上银行的整个发展过程。1996 年以前，人们只能到开户行去存取款；而今天，我们不但能异地跨行存取款，而且坐在家里通过网上银行就能轻松实现支付和转账。总之，银行数据大会合利大于弊。
为了确保银行数据中心的可靠性，每家银行一般会在差别都会（如北京、上海和西安）各建一个中心，平时一个中心工作，另外两个作为灾备中心，三个中心的数据实时同步更新。如许，就算战争、地动等损毁了两个中心，也不会影响银行业务的正常办理。纵然三个中心全部遭到粉碎，也还有离线备份的数据，数据安全性绝对没有问题。
决策者和云计算工程师们会在计算的告急性和成本之间综合衡量，以建立一个令各方都满意的云端。
例如，一个天下性的关系到每个人长处的公共云，就会考虑在差别的都会建立灾备云端，在另一个国家建立数据备份中心；一个涉及全省的公共云，可能会考虑在其他省的都会建立数据备份中心；一个世界500强企业的私有云，可能会建立一个异地灾备云端；一家中型企业的私有云，可能会引入集群、容错和故障转移技术；纵然一家只有十几个人的小型公司的私有办公云，也会采用双机容错技术，只有当两台服务器同时出现故障时才会影响办公，但同时出现故障的概率几乎可以忽略不计，除非发生断电或地动等不可控变乱。
就像银行数据中心的演化过程，IT 系统也遵循“手工→单机→私有云→公共云”的发展过程，每一次演化带来的好处要远远大于引入的毛病。
纵然没有使用云计算的企业，在其 IT 系统中，也存在不少“单点故障”——一出问题就会影响整个企业的业务办理。比如企业的邮件系统、流派网站、ERP 系统、文件服务器、局域网接入认证系统等，即 C/S 或 B/S 的 S 端（服务器端）就是单点故障点。导致计算不可用的主要原因有停电、断网、硬件故障、软件故障（含病毒感染）。
在传统 IT 系统中，个人计算机的软、硬件故障导致计算不可用的概率接近 95%，其中又以软件故障最为广泛，而因停电、断网导致计算不可用的概率微乎其微，服务器故障导致计算不可用的概率还不到 5%。而当一家企业采用云计算后，云终端是一个纯硬件、低功耗产物，而且 CPU、内存都焊死在主板上，又没有硬盘，所以云终端出故障的概率几乎可以忽略不计。
云端采用多路供电、恒温恒湿系统，引入集群技术、容错技术及负载均衡技术等措施确保计算持续可用，如许由云端、网络、终端组成的云计算系统具备极高的可靠性和安全性，计算可用性非常高。
云计算的互操作性与可移植性如何？

差别于传统的位于单位组织内部的 IT 底子办法，云计算的诞生给单位组织的 IT 资源供给带来了亘古未有的机动性——可以瞬时增加、转移或者淘汰计算资源来快速响应动态的资源需求厘革，能在几个小时而不是几周内部署一个新的应用来满足业务需求。
为了达到这种更具弹性的计算能力，在计划任何云系统时必须要考虑互操作性与可移植性。

• 互操作性规定，IT 系统中应用软件层以下各层采用开放的通用型组件，杜绝使用云服务提供商各自内部的封闭组件。
  
• 可移植性规定，IT 系统中应用软件层和数据信息层应采用开放的通用数据格式和软件运行环境，保证同一个应用和数据能随意迁移到其他地方。
  

一方面，互操作性与可移植性能让你把服务扩充到多个由差别云服务提供商提供的云端，在操作层面就像一个系统；另一方面，互操作性与可移植性能在差别平台或者差别云端之间轻松移动数据和应用。
互操作性与可移植性不是随云计算出现而产生的新概念，也不但是在云计算环境中人们才考虑互操作性与可移植性，只不外与传统 IT 系统相比，具备开放和共享处置惩罚能力的云计算更须要考虑互操作性与可移植性。多租户意味着多个单位组织的数据和应用并存，而且不清除能通过共享平台、共享存储和共享网络访问（有意或偶然）他人机密数据的可能性。
下面重点先容在计划互操作性与可移植性时必须考虑的关键因素。
互操作性

互操作性是云计算生态系统中各个协同工作的组件应具备的特征，这些组件可能来自各种云端和传统 IT 系统。互操作性使得我们可以随时使用新的或者来自差别云服务提供商的组件来替换已有的组件，而不会停止云中的使命，也不影响数据在差别系统之间举行互换。
单位组织在使用云服务的过程中可能会考虑更换云服务提供商，常见的原因如下：

• 续签合同时，云服务提供商的报价令消耗者难以接受。
  
• 消耗者发现有价格更便宜的同范例云服务产物。
  
• 云服务提供商制止了业务运营。
  
• 云服务提供商在没有给出公道的数据迁移计划之前，关停了企业正在使用的服务。
  
• 云服务提供商的服务质量难以令消耗者满意，如未能达到服务程度协议（SLA）中规定的一些关键性能指标。
  
• 云服务供/需两边之间存在商业纠纷。
  

假如缺少互操作性（与可移植性），就会出现消耗者被云服务提供商捆绑的征象，终极会侵害消耗者的长处。
一个云端互操作性的优劣程度每每取决于该云服务提供商是否使用开放的或者公开发布的架构和标准协议及标准的 API 接口。很多云服务提供商（如 Eucalyptus）喜欢在标准组件的底子上添加非公开的钩子和扩展，以及一些增强功能，显然这些都会降低互操作性与可移植性。
可移植性

可移植性是指能把应用和数据迁移到其他地方而不用理会云服务提供商、平台、操作系统、底子办法、地点、存储、数据格式或者 API 接口如何。
在选择云服务提供商时，可移植性是须要考虑的一个告急方面，因为可移植性既能防止云服务提供商锁定客户，又答应我们把雷同的云应用部署到差别的云服务提供商那里，如建立灾备中心、同一应用全球分布式部署等。
假如未能妥善办理云迁移中的可移植性与互操作性，那么可能会无法实现迁移到云计算后的预期效益，并可能导致成本上升或项目延期，这是因为本该避免而未能避免的如下因素：
1）云服务署理商或提供商锁定——一个特定的云办理方案的选择可能会限制以后转移到另一个云服务提供商。
2）处置惩罚不兼容和辩说造成服务停止——云服务提供商、云平台和应用的差异可能会引发不兼容性，这种不兼容性会导致应用系统在差别的云底子架构中发生不可预料的故障。
3）不可预料的应用系统重新计划或者业务流程更改——当迁移到一个新的云服务提供商时，可能须要重新审视步伐的功能或者要求修改代码，以确保其最初的实行活动。
4）高昂的数据迁移或数据转换成本——由于缺乏互操作性与可移植性，当迁移到新的云服务提供商时，可能会导致计划外的数据厘革。
5）数据或应用步伐安全的丧失——差别的云服务提供商可能采用差别的安全控制、密钥管理或者数据保护策略，当迁移到一个新的云服务提供商或云平台时，可能会袒露原先未被发现的安全漏洞。
把应用迁移到云端是外包的一种形式，而外包的金科玉律是“了解前期并做好如何退出合同的计划”。因此，可移植性（和在一定程度上互操作性）应该是任何单位组织计划迁入云端时必须考虑的关键标准，同时开发好一个切实可行的退出方案。
实施发起

1. 关于互操作性方面的发起

1）物理计算设备

同一个云服务提供商在差别时期的硬件或者同一时期差别云服务提供商的硬件差别很大，假如直接让消耗者访问硬件设备（如物理服务器），则会存在巨大的互操作性鸿沟。发起：

• 尽可能采用虚拟化来屏蔽底层硬件的差异，但是要注意虚拟化并不能屏蔽全部的硬件差异，特殊是现在的系统。
  
• 假如消耗者必须要直接访问硬件，那么从一个云服务提供商迁移到另一个云服务提供商时，选择雷同或更好的物理硬件和管理安全控制就显得至关告急。
  

2）物理网络设备

差别的云服务提供商使用的网络设备（包罗安全设备）也不尽雷同，包罗它们的 API 和设置流程也不尽雷同。为了保证互操作性，网络硬件设备应该虚拟化，并尽可能使得 API 具备雷同的功能。
3）虚拟化

固然虚拟化有助于消除物理硬件的差异，但是常用的虚拟机管理步伐（如 Xen、VMware、KVM 等）之间存在明显的差异。发起：

• 利用开放虚拟化文件格式，如 OVF，以确保互操作性。
  
• 了解并记录使用了哪些特定的虚拟化扩展钩子（Hook），固然这些钩子与虚拟化文件格式无关，但是仍旧存在这种可能性：在其他虚拟机管理步伐中不起作用。
  

4）框架

差别的平台提供商提供了差别的云应用步伐框架，而且这些框架之间确实存在影响互操作性的差异。发起：

• 在迁移到一个新的云服务提供商时，先搞清晰API的差别之处，然后拟定修改应用系统的计划。
  
• 使用公开发布的API以保证各组件之间具备最佳的互操作性，为了便于迁移应用和数据，偶然很有须要变更云服务提供商。
  
• 云端的应用系同一般通过因特网交互，可能随时发生各种故障（如组件运行失败、网络停止等）。
  

我们要做的是，确定一个组件发生故障（或反应慢）将如何影响其他组件，而且当一个远程组件出现故障时，要尽量避免可能会粉碎系统的数据完备性的状态依赖——依赖另一个组件对数据的修改。
5）存储

数据范例差别对存储的要求也差别，结构化数据通常生存在关系数据库系统中，非结构化数据通常是按照应用步伐（如微软的 Word 文字处置惩罚步伐、Excel 表格步伐和 Powerpoint 步伐）所要求的格式存放。为了无缝地在差别云服务提供商之间移动数据，发起如下：

• 以一个被广泛接受的可移植的格式存放非结构化数据。
  
• 评估数据在传输过程中是否须要加密。
  
• 检查各种兼容的数据库系统，假如须要，再评估差别数据库之间举行数据移植的难易程度。
  

2. 关于可移植性方面的发起

把应用迁入云端的过程中会碰到很多问题，在可移植性方面的发起如下。
1）服务程度

差别云服务提供商的SLA也差别，所以有须要了解清晰SLA会如何影响你将来更换云服务提供商。
2）差别的架构

云中的应用系统可以驻留在差别的平台架构中。通过了解应用与平台的依赖性，我们就能搞清晰这些（包罗API、虚拟机管理步伐、应用步伐逻辑等）将如何影响可移植性。
3）安全集成

在维护安全性方面，云系统引入了独特的可移植性担忧，具体包罗：

• 现在云系统中的所有组件都会使用认证和身份机制，使用诸如SAML这种开放标准的身份机制将有助于提高可移植性，开发遵循SAML协议的内部IAM系统有助于系统将来移植到云中。
  
• 加密密钥应该托管在本地，并尽可能地在本地维护。
  
• 元数据是数据信息的一部分，但经常容易被忽视，因为我们在操作文件和文档时不能直接看到元数据。在云端，我们必须重视元数据，因为元数据随着文件一起移动，当移动文件和文件的元数据到一个新的云端时，要确保安全地删除了源文件元数据的全部副本，否则遗留下来的元数据可能会成为一个安全隐患。
  

用户自由度

互操作性与可移植性都是为了保障用户能自由使用云服务，这里的“自由”表现在以下几方面。
1）用户可以自由地迁入、迁出云计算，不花或者花费很少的时间和款项成本。
2）用户能自由访问其他云应用：每个云端都是开放的，在这个云端中的用户能访问其他云端中的应用和资料。果断杜绝运营商出于长处的考量封闭自身的云应用来黏住用户。
3）用户能自由选择云服务提供商：买方能自由选择卖方是完全竞争市场的一个告急特征。为了保证自由度，政府应该努力营造完全自由竞争的云计算市场，果断打击运营商“捆绑”用户的不正当竞争活动。
4）用户能自由地把应用和数据从一个云服务提供商迁移到另一个云服务提供商：云端生存了用户的资料并安装用户须要的软件，当用户想更换云服务提供商时不应该存在障碍。打扫人为的障碍，杜绝不兼容性。所以，政府应该制定公道的云计算标准，并提供简单易用的迁移工具。
5）云服务提供商能自由选择云组件：云服务提供商搭建云端，涉及很多技术和软/硬件产物，规划之初就要充分考虑伸缩性、开放性、标准性，杜绝被组件产物厂商捆绑。现在的很多云服务提供商热衷于采用开源的软/硬件产物，这是对的。
6）云终端可以自由接入任何云端：一台终端设备成为人们的云计算总出入口。
云计算的加密与密钥管理详解

“假如你不信任他们，你就把数据加密。”这是数据安全专家经常挂在嘴边的一句话。部署在企业内部的数据中心，由于单位组织完全控制全部的软/硬件设备，所以数据要不要加密由企业规章制度界定。
但是在云端，多个互不认识的租户共用计算资源，每个租户须要加密的数据天然就更多，须要加密的数据越多，业务流程越复杂，密钥管理也就越繁重。所以，在实际的操作过程中，我们要综合考虑各个因素，制定出一套既满足安全要求又不大幅度增加加/解密和密钥管理的工作难度的方案。
加密先容

根据企业的规章制度，某些数据被列为机密并必须要加以保护，当前存储在企业内部的机密数据开始被陆续迁入云端，所以数据保护的力度必须要加大。把机密数据存储在企业的安全边界之外，这增加了数据保护的复杂度，同时也增加了风险系数。
关于云端的数据加密，以下因素必须慎重考虑。
1）不单单在传输过程中须要加密保护，在云端存储和使用数据的过程中也依然须要加密保护。
2）存储在云端并被共享的非结构化数据文件保护方法有以下两种：

• 采用授权服务器举行会合加密；
  
• 加密直接被嵌入到每个文件当中（分散加密）。
  

当使用经第一种方法加密的文件时，首先要联系授权服务器举行解密，比如微软的 Word 文字处置惩罚软件会自动联系服务器并完成身份验证和解密工作。
3）加/解密的密钥的管理限期就是数据的整个生命周期，在数据被销毁之前假如密钥丢失，则会导致数据无法解密。另外，对于密钥的保护和正当使用，要尽可能避免依赖云服务提供商。
4）保护那些经常被忽视却又包含敏感信息的文件，比如日志文件和元数据假如不加以保护，那么很可能成为数据泄露的途径。
5）云端的加密密钥应具备充足的强度（如 AES-256），且与同一单位组织内部的加密密钥一致。提倡使用开放的且经过验证的加密格式，尽可能避免使用特有的加密格式。
云端数据库加密

首先考虑数据要不要加密，因为加密数据会提高成本并使得业务处置惩罚复杂化。现在几乎所有的数据库都具备权限管理机制，假如设置恰当，数据库管理系统本身就能很好地保护敏感数据。假如碰到下面 3 种环境，那么我们就不得不对数据库中的记录举行加密了：

• 不想让有权限的人（如数据库管理员）看到记录信息。
  
• 法律规定一些记录必须要加密（如交易记录中的信用卡信息）。
  
• 数据存储在数据库的一个 Schema 中，但是数据的主人无法控制访问这些数据的账号（比如多人使用的共享账号，每个人都不能随意修改账号密码）。
  

当人们使用云端数据库，尤其是 SaaS 应用（该应用须要使用数据库）时，假如数据库不能操作加密的数据，那么数据库的功能会大打折扣。当然，条件是数据库管理系统或者应用能够访问密钥。
数据加密是以提高复杂度和降低性能为代价的，下面是一些替代的方法。
1）使用数据库本身的对象安全机制

数据库中的表、视图、存储过程、函数等统称为对象，对这些对象的访问，数据库管理系统本身提供了一套权限管理机制，诸如账号、分组、角色、授权、撤权等。要严格控制那些被授权的账号，确保这些账号只分配给精确的人。
2）存储安全哈希值

只存储数据的哈希值，而不直接存储数据本身。这使得你的应用步伐能证明持有精确哈希值的人就是持有精确数据的人，因为数据与哈希值是一一对应关系，即 hash（data）=x，把 x 存储在数据库中，而 data 存储在另外一个私密的地方，从 x 是无法反算出 data 的。
密钥管理

无论是采用对称加密算法还是采用非对称加密算法，密钥的管理都是重中之重，尤其是对于多租户模式的公共云端来说，密钥管理是一个比力繁重的使命。
最简单的案例是应用在云端运行，而只在企业内部使用密钥对迁移到云端的数据举行加密——在企业的网络安全边界部署一个加密引擎，只要通过这个加密引擎，那么离开企业的数据就会自动加密，而进入企业的数据则会自动解密。
而下面这种环境会把变乱搞得很复杂：假如一个使用密钥的应用又包含其他须要使用密钥解密数据的进程（如一个批处置惩罚应用可能包含很多进程），且这些进程又驻留云端，那么此时的密钥须要离开企业内部的网络安全边界而进入云端。
企业一般为每个须要加密功能的实体（用户、设备、进程等）分配单独的密钥，如许就不用共享一个密钥，从而避免带来很多隐患。
为了管理浩繁的实体密钥，最简便的方法是部署一个基于身份的密钥管理中心，从而使得为一个具体实体加密的任何数据只对该实体本身有效。假如同一个组的成员确实须要共享数据，那么可以给该组分配组级的密钥，同组成员共享组级密钥。正如前面所提到的那样：密钥的管理必须局限在企业内部。
假如数据存储在公共云环境中，那么在退出这个环境时，须要确保所有的数据（特殊是 PII、SPI 数据或受到羁系的数据）已经从公共云环境中删除，其中包罗其他存储介质（如备份磁带）上的数据。本地管理密钥的做法很容易实现这个目标：只要从本地密钥管理中心删除相应的密钥即可，从而保证残留在公共云的任何数据再也不能被解密。
假如云服务提供商和消耗者不严格实行各自的密钥管理流程，那么数据加密就没有什么实际意义。比如云服务提供商，假如职责紊乱，大家可以随意访问密钥服务器和存储了加密数据的服务器，或者 DBA 能随意访问数据库中的个人密钥，那么数据加密就形同虚设。
同样，比如云服务消耗者，假如存储密钥的终端设备本身就不安全（如移动设备）或者没有达到与加密系统同等安全级别的终端设备，这就像用木板做保险柜，那么这时加密数据无疑也是形同虚设。
围绕如何保护密钥本身，方案计划师通常的做法是采用密钥来加密密钥，只在内存中产生有效密钥，而且只存储加密过的密钥。这明确起来有点绕，其实就是把密钥看成普通的数据再次举行加密。
国内外主流云服务提供商有哪些？

前面讲到，经营云端的公司应具备更多的投入和技术以保证其安全性，但是一个真正落地的云端能不能达到抱负的安全级别，还要看云端运营公司的声誉、品牌、技术实力，以及当地政府的羁系力度。
欧美国家的云服务提供商广泛好于国内的公司，其资金雄厚、技术实力强、品牌声誉好。选择一家技术过硬、实力雄厚、信誉精良、服务到位的云服务提供商很告急，因为云服务不是一次性买卖，供需两边须要长期互助。
为了搞清晰一家云服务公司的产物线，我们首先要明确一个传统数据中心的组成，否则很难搞清晰一家云服务提供商提供的浩繁产物线的作用和它们之间的关系。
传统的数据中心由多少个局域网、一定数目标服务器、多少存储设备、一些负载均衡器、入侵检测设备、域名服务、数据库服务、DNS 服务、DHCP 服务、邮箱系统、流派网站、目次服务、用户身份认证和权限管理服务、文件服务、虚拟办公桌面等组成。假如一家云服务公司能全面接受一家企业的数据中心，而这家企业只需摆放云终端和出口宽带设备，那么这家云服务公司的产物线是最全面的。
停止 2015 年，云服务提供商以美国企业为主。中国云服务提供商发展迅速，而且绝大多数的云服务提供商提供 IaaS 和 PaaS 范例的云服务，而紧贴人们生存的 SaaS 类云应用不多。下面简单先容一下现在一些典型的云服务提供商。
1. 亚马逊 AWS

亚马逊刚开始是做电商的，购买了一批服务器搭建电商平台，由于服务器具备富余的计算资源，于是其考虑对外出租这些资源，从此开展了云计算业务并越做越大。现在，亚马逊算是世界上最大的云计算服务公司，产物线丰富，具体包罗如图 1 所示的云服务。

图 1 亚马逊AWS
图 1 中右侧就是亚马逊公司提供的云计算服务产物线，涵盖了 IT 系统架构的各个层次，加上另外几个部署和运维产物，一个企业的数据中心可以采用亚马逊云计算服务产物来完全替换。亚马逊公司最核心的云服务产物是主机（EC2）和存储，其他是增值产物或者支撑产物。
一台主机（EC2）就是一台供用户租用的虚拟服务器或者物理服务器，属于 IaaS 范例。亚马逊现在提供几十种差别的主机范例供用户选择，主要是 Windows 和 Linux 各版本。用户可以根据实际应用的计算需求来选择差别主机的种类和数目，并可以在数分钟内构建起本身的计算环境。
虚拟桌面（WorkSpaces）就是一个基于云的桌面虚拟化服务，是传统 VDI 方案的一种基于云计算的实现方式，用户可以使用诸如个人计算机、平板电脑、Kindle 和 Android 平板等各种终端设备通过网络访问虚拟桌面，但要首先安装一个相应的小客户端软件，采用 PCoIP 通讯协议。只要网速满足要求，用户就可以用任何设备在任何地点接入远程桌面，真正实现移动办公。
软件流（AppStream）将软件界面直接显示到云终端屏幕上，差别于 WorkSpaces 把整个电脑桌面显示到终端上，AppStream 只把运行在亚马逊服务器上的软件界面显示到终端屏幕上，与其他软件界面（无论是本地还是云端的软件）一起整合到本地桌面上。
终极的结果就是，用户的云终端屏幕上同时显示多个软件的界面，而这些软件有的是 Windows 软件，有的是 Linux 软件，有的是 Mac 软件，还有的可能是 Android 软件。有的运行在亚马逊，有的运行在私有云端，有的运行在本地。
亚马逊的 AppStream 与微软的 RemoteApp、思杰的 XenApp 及 VMware 公司的 ThinApp 互为竞争产物。AppStream 特殊恰当那些须要大量计算资源而操作终端又须要多样化的软件，如跨平台的多人游戏、图形渲染、生命科学研究等软件，如图 2 所示。

图 2 AppStream
2. 微软Azure

微软云端的技术绝大多数是本身的，如 Windows 操作系统、SQL Server 数据库、Office 办公软件、活动目次等，优点是架构简洁、综合成本低，但是缺点也很明显，即开放性有待提高，现在固然引入了 Linux、Hadoop、Eclipse 等开源产物，但还远远不够。微软 Azure 云服务产物线如图 3 所示。

图 3 微软Azure
微软的云中开发比力有优势，包罗开发移动应用、Web 应用和传统软件。另外，微软把 Office 办公套件搬上了云端，取名为 Office 365。
3. 谷歌云平台

谷歌公司的云计算服务产物线固然没有亚马逊公司丰富，但是也有其特色，如翻译、大数据、Bigtale 等，如图 4 所示。

图 4 谷歌云平台
谷歌公司的云计算服务产物线具备储如虚拟主机、存储和组网等核心产物，但没有类似亚马逊的虚拟桌面和软件流（AppStream），不外用户可以本身在虚拟主机的底子上设置，比如在虚拟主机里安装 Windows 8，然后采用微软的远程桌面协议 RDP 实现 VDI。
另外，谷歌提供的免费版谷歌硬盘集成了在线办公功能（Google Docs，包罗文字排版、表格、PPT 文件等），网站为 https：//drive.google.com/。
4. 阿里云

阿里云拥有诸如虚拟主机、存储和虚拟网络等核心产物，但是相比国外的云服务公司，其其他产物线有待进一步完善。不外，阿里云的出口带宽和稳固性在国内的云服务公司中还是相当不错的。
另外，阿里云以一个数据中心的平面示意图来标注各个产物的作用和关系（见图 5），从而使用户能轻松明确并购买恰当本身需求的云服务，而亚马逊的产物先容则做得不够人性化。

图 5 阿里云

最全的Linux教程，Linux从入门到精通
======================

• linux从入门到精通(第2版)
  
• Linux系统移植
  
• Linux驱动开发入门与实战
  
• LINUX 系统移植 第2版
  
• Linux开源网络全栈详解 从DPDK到OpenFlow
  

第一份《Linux从入门到精通》466页
====================
内容简介
====
本书是得到了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷，并被51CTO读书频道评为“最受读者喜欢的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本，循序渐进地向读者先容了Linux 的底子应用、系统管理、网络应用、娱乐和办公、步伐开发、服务器设置、系统安全等。本书附带1张光盘，内容为本书配套多媒体讲授视频。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件，供读者免费下载。

本书恰当广大Linux初中级用户、开源软件爱好者和大专院校的学生阅读，同时也非常恰当预备从事Linux平台开发的各类职员。
   须要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋侪们劳烦您转发+评论
  网上学习资料一大堆，但假如学到的知识不成体系，碰到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提拔。
须要这份系统化的资料的朋侪，可以点击这里获取！
一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感爱好的新人，都欢迎加入我们的的圈子（技术互换、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。