亿动网
云安全组是附加到云实例上的虚拟防火墙。它允许您根据以下条件控制进出云实例的网络流量:
- 源 IP 地址
云实例。
如何创建云安全组
如何将云安全组附加到云实例
要将云安全组附加到云实例,请按照以下步骤操作:
- 登录到您的云提供商门户。
- 导航到实例管理部分。
- 选择要附加安全组的云实例。
- 单击“编辑”。
- 在“网络”选项卡中,从下拉列表中选择安全组。
- 单击“保存”。
结论
云安全组是保护云实例免受网络攻击的重要安全措施。它们易于使用且可高度定制,使您可以根据业务需求控制进出云实例的网络流量。通过使用云安全组,您可以提高云环境的安全性、简化管理并提高灵活性。
简答什么是信息安全
问题一:简述信息安全的重要性信息安全本身包括的范围很大。
大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。
网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。
信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。
重要性 积极推动信息安全等级保护 信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。
信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。
根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。
信息安全是任何国家、 *** 、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。
但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。
我国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。
为了适应这一形势,通信技术发生了前所未有的爆炸性发展。
目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。
与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、侦察机、卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我国通信传输中的信息。
从文献中了解一个社会的内幕,早已是司空见惯的事情。
在20世纪后50年中,从社会所属计算机中了解一个社会的内幕,正变得越来越容易。
不管是机构还是个人,正把 信息安全策略 日益繁多的事情托付给计算机来完成 ,敏感信息正经过脆弱的通信线路在计算机系统之间传送,专用信息在计算机内存储或在计算机之间传送,电子银行业务使财务账目可通过通信线路查阅,执法部门从计算机中了解罪犯的前科,医生们用计算机管理病历,所有这一切,最重要的问题是不能在对非法(非授权)获取(访问)不加防范的条件下传输信息。
传输信息的方式很多,有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。
信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。
不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。
问题二:信息安全的三大基本属性是什么信息安全的基本属性主要表现在以下5个方面: (1)保密性(Confidentiality) 即保证信息为授权者享用而不泄漏给未经授权者。
(2)完整性(Integrity) 即保证信息从真实的发信者传送到真实的收信者手中,传送过程中没有被非法用户添加、删除、替换等。
(3)可用性(Availability) 即保证信息和信息系统随时为授权者提供服务,保证合法用户对信息和资源的使用不会被不合理的拒绝。
(4)可控性(Controllability) 即出于国家和机构的利益和社会管理的需要,保证管理者能够对信息实施必要的控制管理,以对抗社会犯罪和外敌侵犯。
(5)不可否认性(Non-Repudiation) 即人们要为自己的信息行为负责,提供保证社会依法管理需要的公证、仲裁信息证据。
这应该是较新的定义,我就是这个专业的。
基本属性的话就是保密性!完整性!不可否认!! 问题三:简述计算机信息安全的五个基本要素?可用性(Availability):得到授权的实体在需要时可访问资源和服务。
可用性是指无论何时,只要用户需要,信息系统必须是可用的,也就是说信息系统不能拒绝服务。
网络最基本的功能是向用户提供所需的信息和通信服务,而用户的通信要求是随机的,多方面的(话音、数据、文字和图像等),有时还要求时效性。
网络必须随时满足用户通信的要求。
攻击者通常采用占用资源的手段阻碍授权者的工作。
可以使用访问控制机制,阻止非授权用户进入网络,从而保证网络系统的可用性。
增强可用性还包括如何有效地避免因各种灾害(战争、地震等)造成的系统失效。
绩 可靠性(Reliability):可靠性是指系统在规定条件下和规定时间内、完成规定功能的概率。
可靠性是网络安全最基本的要求之一,网络不可靠,事故不断,也就谈不上网络的安全。
目前,对于网络可靠性的研究基本上偏重于硬件可靠性方面。
研制高可靠性元器件设备,采取合理的冗余备份措施仍是最基本的可靠性对策,然而,有许多故障和事故,则与软件可靠性、人员可靠性和环境可靠性有关。
完整性(Integrity):信息不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏的特性。
只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被篡改。
即信息的内容不能为未授权的第三方修改。
信息在存储或传输时不被修改、破坏,不出现信息包的丢失、乱序等。
保密性(Confidentiality):保密性是指确保信息不暴露给未授权的实体或进程。
即信息的内容不会被未授权的第三方所知。
这里所指的信息不但包括国家秘密,而且包括各种社会团体、企业组织的工作秘密及商业秘密,个人的秘密和个人私密(如浏览习惯、购物习惯)。
防止信息失窃和泄露的保障技术称为保密技术。
不可抵赖性(Non-Repudiation):也称作不可否认性。
不可抵赖性是面向通信双方(人、实体或进程)信息真实同一的安全要求,它包括收、发双方均不可抵赖。
一是源发证明,它提供给信息接收者以证据,这将使发送者谎称未发送过这些信息或者否认它的内容的企图不能得逞;二是交付证明,它提供给信息发送者以证明这将使接收者谎称未接收过这些信息或者否认它的内容的企图不能得逞。
问题四:简述什么是信息安全等级保护,信息系统的安全等级保护具体分为哪几级?指对国家安全、法人和其他组织及公民的专有信息以及 *** 息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
等级保护分五级,最低一级最高五级: 第一级:用户自主保护级; 第二级:系统审计保护级; 第三级:安全厂记保护级; 第四级:结构化保护级; 第五级:访问验证保护级” 至于其每一级的解释简单点来比喻的话,你可以这样想,一般县级普通系统算1-2级左右,地市2级偏多,重要点的大概3级,省厅大多数都到3级,重要点的可到4级,不过不多,国家部委4级开始多了,国家安全方面的五级。
这样解释的话直观一些 问题五:请简述常用的信息安全防护方法常用的信息安全防护方法: 1、禁用不必要的服务;2、按照补丁程序;3、安装安全防护产品;4、提高安全意识;5、养成良好的习惯;6、及时备份数据。
问题六:简述信息安全的特征信息安全特性: -攻防特性:攻防技术交替改进 -相对性:信息安全总是相对的,够用就行 -配角特性:信息安全总是陪衬角色,不能为了安全而安全,安全的应用是先导 -动态性:信息安全是持续过程 信息安全的六个方面: - 保密性(C, confidentiality ):信息不泄漏给非授权的用户、实体或者过程的特性 - 完整性(I,integrity ):数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
- 可用性(A, availability ):可被授权实体访问并按需求使用的特性,即当需要时应能存取所需的信息。
- 真实性:内容的真实性 - 可核查性:对信息的传播及内容具有控制能力,访问控制即属于可控性。
- 可靠性:系统可靠性 问题七:简答题 什么是网络管理网络管理是保证网络安全、可靠、高效和稳定运行的必要手段。
CIMS网络管理,就是通过监视、分析和控制CIMS网络,保证CIMS网络服务的有效实现。
随着网络规模的扩大和网络复杂性的增加,网络管理已成为整个网络系统中必不可少的一部分。
从使用角度,一个网络管理系统应该满足以下要求: ①同时支持网络监视和控制两方面的能力; ②能够管理所有的网络协议; ③尽可能大的管理范围; ④尽可能小的系统开销; ⑤可以管理不同厂家的连网设备; ⑥容纳不同的网管系统。
目前,网络管理的标准主要有OSI的CIMP和IETF的SNMP。
实质上,SNMP是CIMP的一种简化。
随着因特网的发展,以及内联网在企业内的广泛应用,IETF的SNMP已成为企业网管理的主要协议。
根据OSI的网络管理框架以及CIMS的网络特点,一个CIMS网络管理系统必须具有以下功能: (1)失效管理失效管理是基本的网络管理功能,它是与失效检测、失效诊断和恢复等工作有关的部分,其目的是保证网络能够提供连续可靠的服务。
CIMS网络服务的意外中断往往会给企业的生产经营造成很大的影响。
而且在一个大型企业的CIMS网络中,发生失效故障,往往难以确定故障点,这就需要失效管理提供逐步隔离和最后定位故障的一整套方法和工具。
一个好的故障管理系统应能及时地发现故障(包括通过分析和统计,发现潜在的故障),并精确地定位故障点。
(2)配置管理一个CIMS网络是由多种多样的设备连接而成的,这些设备具有不同的功能和属性。
所谓的配置管理就是定义、收集、监测和管理这些设备的参数,通过动态地修改和配置这些设备的参数,使得整个网络的性能得到优化。
配置管理功能至少包括识别被管网络的拓扑结构、标识网络中的各个对象、自动修改设备的配置和动态维护网络配置数据库等。
(3)性能管理性能管理主要包括流量管理和路由管理,通过各种网络信息(流量、使用者、访问资源和访问频度等)的收集、分析和统计,平衡整个网络的负载,合理分配网络流量,提高网络资源的利用率和整个网络的吞吐率,避免网络超载和死锁的发生等。
(4)计费管理计费管理主要记录网络资源的使用情况、计算使用网络资源的代价,控制用户过多占用网络资源,从而达到提高网络效率的目的。
在网络资源有偿使用的情况下,计费管理功能能够统计哪些用户利用哪条通信线路传输了多少信息,访问的是什么资源等,因此,计费管理是商业化计算机网络的重要网络管理功能。
(5)安全管理网络安全管理的主要目的是保证网络资源不被非法使用,以及网络管理系统本身不被未经授权地访问。
网络安全管理主要包括授权管理、访问控制管理,以及安全检查跟踪和事件处理等。
ISO在ISO/IEC 7498-4文档中定义了网络管理的五大功能,并被广泛接受。
这五大功能是: 1、 故障管理(fault management) 故障管理是网络管理中最基本的功能之一。
用户都希望有一个可靠的计算机网络,当网络中某个部件出现问题时,网络管理员必须迅速找到故障并及时排除。
2、 计费管理 用来记录网络资源的使用,目的是控制和检测网络操作的费用和代价,它对一些公共商业网络尤为重要。
3、 配置管理 配置管理同样重要,它负责初始化网络并配置网络,以使其提供网络服务。
4、 性能管理 不言而喻,性能管理估计系统资源的运行情况及通信效率情况。
5、 安全管理 安全性一直是网络的薄弱环节之一,而用户对网络安全的要求有相当高。
...>> 问题八:计算机网络安全的简答题目1.(1)防火墙把未授权用户排除到受保护的网络之外,禁止危及安全的服务 进入或离开网络,防止各种IP盗用和路由攻击。
(2)防火墙可以监视与安全有关的事件。
(3)防火墙可以为几种与安全无关的因特网服务提供方便的平台。
(4)防火墙可以作为IPSec的平台。
2.明文:需要隐藏的消息。
密文:明文被变换成另一种隐藏的形式就称为密文。
密钥:决定从明文到密文的映射,加密算法使用的密钥为加密密钥,解密算法使用的密钥为解密密钥。
加密算法:对明文进行加密时采用的一组规则。
解密算法:对密文解密时采用的一种规则。
3.入侵检测技术的原理: (1)监视、分析用户及系统活动; (2)系统构造和弱点的审计; (3)识别反映已知进攻的活动模式并向相关人士报警; (4)异常行为模式的统计分析; (5)评估重要系统和数据文件的完整性; (6)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
4.计算机病毒:是一种能够通过修改其他程序而“感染”它们的一种程序,修改后的程序里面包含了病毒程序的一个副本,能够继续感染其他程序。
5 技术发展趋势分析 1.防火墙技术发展趋势 在混合攻击肆虐的时代,单一功能的防火墙远不能满足业务的需要,而具备多种安全功能,基于应用协议层防御、低误报率检测、高可靠高性能平台和统一组件化管理的技术,优势将得到越来越多的体现,UTM(UnifiedThreatManagement,统一威胁管理)技术应运而生。
从概念的定义上看,UTM既提出了具体产品的形态,又涵盖了更加深远的逻辑范畴。
从定义的前半部分来看,很多厂商提出的多功能安全网关、综合安全网关、一体化安全设备都符合UTM的概念;而从后半部分来看,UTM的概念还体现了经过多年发展之后,信息安全行业对安全管理的深刻理解以及对安全产品可用性、联动能力的深入研究。
UTM的功能见图1.由于UTM设备是串联接入的安全设备,因此UTM设备本身必须具备良好的性能和高可靠性,同时,UTM在统一的产品管理平台下,集防火墙、VPN、网关防病毒、IPS、拒绝服务攻击等众多产品功能于一体,实现了多种防御功能,因此,向UTM方向演进将是防火墙的发展趋势。
UTM设备应具备以下特点。
(1)网络安全协议层防御。
防火墙作为简单的第二到第四层的防护,主要针对像IP、端口等静态的信息进行防护和控制,但是真正的安全不能只停留在底层,我们需要构建一个更高、更强、更可靠的墙,除了传统的访问控制之外,还需要对废品邮件、拒绝服务、黑客攻击等外部威胁起到综合检测和治理的作用,实现七层协议的保护,而不仅限于第二到第四层。
(2)通过分类检测技术降低误报率。
串联接入的网关设备一旦误报过高,将会对用户带来灾难性的后果。
IPS理念在20世纪90年代就已经被提出,但是目前全世界对IPS的部署非常有限,影响其部署的一个重要问题就是误报率。
分类检测技术可以大幅度降低误报率,针对不同的攻击,采取不同的检测技术,比如防拒绝服务攻击、防蠕虫和黑客攻击、防废品邮件攻击、防违规短信攻击等,从而显著降低误报率。
(3)有高可靠性、高性能的硬件平台支撑。
(4)一体化的统一管理。
由于UTM设备集多种功能于一身,因此,它必须具有能够统一控制和管理的平台,使用户能够有效地管理。
这样,设备平台可以实现标准化并具有可扩展性,用户可在统一的平台上进行组件管理,同时,一体化管理也能消除信息产品之间由于无法沟通而带来的信息孤岛,从而在应对各种各......>> 问题九:简述计算机安全,网络安全,信息安全概念的区别和联系计算机安全的定义 计算机安全国际标准化委员会的定义是:为数据处理系统和采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。
美国国防部国家计算机安全中心的定义是:要讨论计算机安全首先必须讨论对安全需求的陈述。
一般说来,安全的系统会利用一些专门的安全特性来控制对信息的访问,只有经过适当授权的人,或者以这些人的名义进行的进程可以读、写、创建和删除这些信息。
我国公安部计算机管理监察司的定义是:计算机安全是指计算机资产安全,即计算机信息系统资源和信息资源不受自然和人为有害因素的威胁和危害。
网络安全的定义 国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。
信息安全 信息安全本身包括的范围很大。
大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。
网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。
信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。
信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
云主机的优势
1、安全稳定、数据可靠有保障系统稳定:在线率高达99.9%,支持云主机故障自动迁移,恢复速度快,云主机信息不变 (IP信息,磁盘等)。
网络安全:安全组间自带防火墙;可杜绝ARP攻击和MAC欺骗;有效防护DDoS攻击,可进行端口入侵扫描,挂马扫描,漏洞扫描等。
数据安全:采用大规模分布式计算系统,每份数据多个副本;单份损坏可以在短时间内快速恢复,保证数据安全。
2、卓越性能以及弹性伸缩功能灵活扩容:计算资源可弹性伸缩;可以按需变更服务器的配置。
云主机支持套餐升级、带宽灵活按天升级(无需停机)等,随时满足您的业务发展需求。
3、成本低,更人性化云主机可以帮用户在节约成本的同时享受到简单易用的操作管理。
支持多种主流操作系统,让您以服务的方式使用计算及存储资源,按需取用,按需付费,无需购买大量设备,相比于传统主机投入成本降低30%-80%。
OpenStack详细资料大全
OpenStack是一个由NASA(美国国家航空航天局)和Rackspace合作研发并发起的,以Apache许可证授权的自由软体和开放原始码项目。
OpenStack是一个开源的云计算管理平台项目,由几个主要的组件组合起来完成具体工作。OpenStack支持几乎所有类型的云环境,项目目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。OpenStack通过各种互补的服务提供了基础设施即服务(IaaS)的解决方案,每个服务提供API以进行集成。
OpenStack是一个旨在为公共及私有云的建设与管理提供软体的开源项目。它的社区拥有超过130家企业及1350位开发者,这些机构与个人都将OpenStack作为基础设施即服务(IaaS)资源的通用前端。OpenStack项目的首要任务是简化云的部署过程并为其带来良好的可扩展性。本文希望通过提供必要的指导信息,帮助大家利用OpenStack前端来设定及管理自己的公共云或私有云。
OpenStack云计算平台,帮助服务商和企业内部实现类似于 Amazon EC2 和 S3 的云基础架构服务(Infrastructure as a Service, IaaS)。OpenStack 包含两个主要模组:Nova 和 Swift,前者是 NASA 开发的虚拟伺服器部署和业务计算模组;后者是 Rackspace开发的分散式云存储模组,两者可以一起用,也可以分开单独用。OpenStack除了有 Rackspace 和 NASA 的大力支持外,还有包括 Dell、Citrix、 Cisco、 Canonical等重量级公司的贡献和支持,发展速度非常快,有取代另一个业界领先开源云平台 Eucalyptus 的态势。
基本介绍
运用范围,厂商支援,技术资料,项目,核心项目,社区项目,市场趋向,大型用户,内容详解,构建私有云,服务中心,概述,系统构成,服务内容,服务体验,服务价值,成员企业,
运用范围
OpenStack是IaaS(基础设施即服务)组件,让任何人都可以自行建立和提供 云端运算 服务。 此外,OpenStack也用作建立 防火墙 内的“ 私有云 ”(Private Cloud),提供机构或企业内各部门共享资源。
厂商支援
美国国家航空航天局的Nebula运算平台。 美国国家航空航天局的Nebula运算平台。现时已表示支持OpenStack项目的大型硬体厂商包括:IBM、AMD、Intel和戴尔等。 微软在2010年10月表示支持OpenStack与Windows Server 2008 R2的整合。 2011年2月,思科系统正式加入OpenStack项目,重点研制OpenStack的网路服务。 Ubuntu未来在堆叠方面的云网路化方案。 2012年4月,IBM宣布加入OpenStack项目,并作为主要赞助商。 2012年10月,Viacloud互联云平台加入OpenStack项目,研制OpenStack公有云平台和私有云平台。 IBM在2013年举行的 IBM Pulse大会宣布将基于OpenStack提供私有云服务以及相关套用。
技术资料
以Python程式语言编写 整合Tornado 网页伺服器、Nebula运算平台 使用Twisted软体框架 遵循Open Virtualization Format、AMQP、SQLAlchemy等标准 虚拟机器软体支持包括:KVM、Xen、VirtualBox、QEMU、 LXC 等。
项目
核心项目
OpenStack覆盖了网路、虚拟化、作业系统、伺服器等各个方面。它是一个正在开发中的云计算平台项目,根据成熟及重要程度的不同,被分解成核心项目、孵化项目,以及支持项目和相关项目。每个项目都有自己的委员会和项目技术主管,而且每个项目都不是一成不变的,孵化项目可以根据发展的成熟度和重要性,转变为核心项目。截止到Icehouse版本,下面列出了10个核心项目(即OpenStack服务)。 计算(Compute):Nova。一套控制器,用于为单个用户或使用群组管理虚拟机实例的整个生命周期,根据用户需求来提供虚拟服务。负责虚拟机创建、开机、关机、挂起、暂停、调整、迁移、重启、销毁等操作,配置CPU、记忆体等信息规格。自Austin版本集成到项目中。 对象存储(Object Storage):Swift。一套用于在大规模可扩展系统中通过内置冗余及高容错机制实现对象存储的系统,允许进行存储或者检索档案。可为Glance提供镜像存储,为Cinder提供卷备份服务。自Austin版本集成到项目中 镜像服务(Image Service):Glance。一套虚拟机镜像查找及检索系统,支持多种虚拟机镜像格式(AKI、AMI、ARI、ISO、QCOW2、Raw、VDI、VHD、VMDK),有创建上传镜像、删除镜像、编辑镜像基本信息的功能。自Bexar版本集成到项目中。 身份服务(Identity Service):Keystone。为OpenStack其他服务提供身份验证、服务规则和服务令牌的功能,管理Domains、Projects、Users、Groups、Roles。自Essex版本集成到项目中。 网路&地址管理(Neork):Neutron。提供云计算的网路虚拟化技术,为OpenStack其他服务提供网路连线服务。为用户提供接口,可以定义Neork、Sub、Router,配置DHCP、DNS、负载均衡、L3服务,网路支持GRE、VLAN。外挂程式架构支持许多主流的网路厂家和技术,如OpenvSwitch。自Folsom版本集成到项目中。 块存储 (Block Storage):Cinder。为运行实例提供稳定的数据块存储服务,它的外挂程式驱动架构有利于块设备的创建和管理,如创建卷、删除卷,在实例上挂载和卸载卷。自Folsom版本集成到项目中。 UI 界面 (Dashboard):Horizon。OpenStack中各种服务的Web管理门户,用于简化用户对服务的操作,例如:启动实例、分配IP位址、配置访问控制等。自Essex版本集成到项目中。 测量 (Metering):Ceilometer。像一个漏斗一样,能把OpenStack内部发生的几乎所有的事件都收集起来,然后为计费和监控以及其它服务提供数据支撑。自Havana版本集成到项目中。 部署编排 (Orchestration):Heat。提供了一种通过模板定义的协同部署方式,实现云基础设施软体运行环境(计算、存储和网路资源)的自动化部署。自Havana版本集成到项目中。 资料库服务(Database Service):Trove。为用户在OpenStack的环境提供可扩展和可靠的关系和非关系资料库引擎服务。自Icehouse版本集成到项目中。
社区项目
(14个) 负载均衡:Atlas-LB(Rackspace) 讯息伫列:Burrow(Piston) 云管理工具:Clanavi(Drupal) 自动部署:Crowbar(Dell) 服务部署:Juju(Ubuntu) 关系型资料库:RedDwarf(Rackspace) ...
市场趋向
Rackspace以OpenStack为基础的私有云业务每年营收7亿美元,增长率超过了20%。 OpenStack虽然有些方面还不太成熟,然而它有全球大量的组织支持,大量的开发人员参与,发展迅速。国际上已经有很多使用OpenStack搭建的公有云、私有云、混合云,例如:RackspaceCloud、惠普云、MercadoLibre的IT基础设施云、AT&T的CloudArchitec、戴尔的OpenStack解决方案等等。而在国内OpenStack的热度也在逐渐升温,华胜天成、高德地图、京东、阿里巴巴、网络、中兴、华为等都对OpenStack产生了浓厚的兴趣并参与其中。自2010年创立以来,已发布10个版本。其中Icehouse版本有120个组织、1202名代码贡献者参与,而最新的是Juno版本。OpenStack很可能在未来的基础设施即服务(IaaS)资源管理方面占据领导位置,成为公有云、私有云及混合云管理的“云作业系统”标准
大型用户
美国国家航空航天局 加拿大半官方机构CANARIE网路的DAIR(Digital Aelerator for Innovation and Research)项目,向大学与中小型企业提供研究和开发云端运算环境;DAIR用户可以按需要快速建立网路拓扑。 惠普云(使用Ubuntu Linux) MercadoLibre的IT基础设施云,现时以OpenStack管理超过6000 台虚拟机器。 AT&T的“Cloud Architect”,将在美国的达拉斯、圣地亚哥和新泽西州对外提供云端服务。
内容详解
创建虚拟机(VM)需要各种服务的互动和配合工作。下图展示了OpenStack典型环境架构,各个服务之间的互动和职能。 OpenStack典型环境架构OpenStack因Open而开放,因组件而灵活,因包容而博大。有计算、网路、对象存储、块存储、身份、镜像服务、门户、测量、部署编排、资料库服务等等组件,有的组件可以根据需要选择安装,组网结构也很灵活、多样。实现了支持接入多种主流虚拟机软体:KVM、LXC、QEMU、Hyper-V、VMware、XenServer,也可以自行开发外挂程式接入其他的虚拟化软体。 OpenStack Compute (Nova)是一套控制器,用于为单个用户或使用群组启动虚拟机实例。它同样能够用于为包含着多个实例的特定项目设定网路。OpenStack Compute在公共云处理方面堪与Amazon EC2相提并论;而在私有云方面也毫不逊色于VMware的产品。在公共云中,这套管理机制将提供预制的镜像或是为用户创建的镜像提供存储机制,这样用户就能够将镜像以虚拟机的形式启动。 OpenStack 对象存储(Swift)是一套用于在大规模可扩展系统中通过内置冗余及容错机制实现对象存储的系统。这些对象能够通过一个REST API或是像Cyberduck这样可以对接对象存储API的客户端加以恢复。 OpenStack镜像服务 (Glance)是一套虚拟机镜像查找及检索系统。它能够以三种形式加以配置:利用OpenStack对象存储机制来存储镜像;利用Amazon的简单存储解决方案(简称S3)直接存储信息;或者将S3存储与对象存储结合起来,作为S3访问的连线器。OpenStack镜像服务支持多种虚拟机镜像格式,包括VMware(VMDK)、Amazon镜像(AKI、ARI、AMI)以及VirtualBox所支持的各种磁碟格式。镜像元数据的容器格式包括Amazon的AKI、ARI以及AMI信息,标准OVF格式以及二进制大型数据。 OpenStack的开发周期是每年固定发布两个新版本,并且每一个新版软体发布时,开发者与项目技术领导者已经在规划下一个版本的细节。这些开发者来自全球70多个组织,超过1600人。他们采用高级的工具与开发方式,进行代码查看、持续的集成、测试与开发架构,让版本在快速成长的同时也能确保稳定性。
构建私有云
第一步是设定正确的硬体和网路环境。尽管OpenStack允许在一个单一的平面网路上部署一切,从安全的角度来看并不安全。取决于你所使用的管理程式以及虚拟网路接口,它会允许guest虚拟机嗅探管理流量。建议至少使用两个网路:一个用来管理流量,一个用来进行虚拟机之间的对话。这意味着所有的云计算结点中你需要两个网卡(一个运行实例)和网路管理者。这些应该运行在不同的IP范围中。计算结点和实例的网路也需要支持VLAN标记,因为这是在“项目”之间隔绝流量所使用的机制。一个项目等价于你的亚马逊EC2账户,除了你不能按照你所希望的数目创建和分配之外。每一个项目都有自己的管理员和用户,在既定项目中的所有实例可以彼此通信。通过指派每一个项目自己的VLAN以及内部和外部的IP位址池来执行。 一旦硬体和网路设定好,下一步就是确定在哪里部署所有的OpenStack组件。标准部署应有一个控制器和一系列计算结点。控制器运行讯息伺服器,资料库和其他的组件来编排云,同时计算结点运行实例。但是你也可以分解控制器为地理的部分,从而改善性能,像把MySQL放在不同的物理盒中。对于安全而言,最关键的是确保每一部分都安装在安全的主机上,你只需要将其附加在网路上,让云运转即可。 只有两部分需要暴露给外面的世界(即使那只是你的企业网路):API伺服器/Web 控制台(如果开启)和网路管理者。这些伺服器需要过硬,你甚至可以使用第三方网路接口来隔离后端管理用户连线产生的流量。 如果你遵循默认安装说明书,可能这些部分并不如他们应该的那样安全。下面是一些具体的改变: * MySQL伺服器使用指定的用户账户,不是根MySQL管理账户。这个账户和密码将会暴露在每一个云结点上,即使使用基于证书的认证,因此所有结点需要访问这个资料库伺服器。 * MySQL配置档案中,限制访问伺服器,OpenStack用户账户为唯一授权IP位址。 * 移除任何不需要的OS组件并确保你所设定的伺服器只支持通过SSH的基于密钥的登入。 * 默认MySQL和RabbitMQ(讯息伺服器)流量不加密。如果你隔离了管理网路和坚固的主机,这就不应该是一个很糟糕的风险。如果你的云网路易于嗅探(例如,它和其他伺服器共享网路),你需要加密流量。你可以使用OpenSSL来进行MySQL 和RabbitMQ处理。(我个人还没进行测试,因此配置可能有点难。) 下一步,记住如果支持Web管理控制台,默认不适用SSL。
服务中心
中国OpenStack服务中心
概述
2013年6月18日在南京召开了“中国云计算产业促进大会暨中国OpenStack服务中心发布会”,华胜天成在会上正式宣布推出中国首家OpenStack服务中心。OpenStack是全球开发者共同参与的一个开源项目,旨在实现“云作业系统”,即一个具有部署和管理公有云、私有云以及混合云基础架构能力的平台。 1、建设并运营中国第一也可能是唯一的Openstack支持中心。 2、为Openstack的研究者,开发者和使用者提供丰富的线上及现场专业支持服务和咨询服务,消除客户使用开源软体的后顾之忧。 3、提高国内云计算从业人员数量和素质,普及开源软体精神与技术。 4、打破云计算建设的垄断,大大降低云计算平台建设与运营成本,推动并保障国内云计算平台建设蓬勃发展。
系统构成
800电话支持中心(100坐席) Web线上支持平台(100坐席) 服务电子销售平台 知识库 CRM系统 专业咨询团队(10人) 专业现场技术支持团队(50人) 专业客户化开发团队(100人) 专业运维管理团队(300人) 全球实验室级支持团队(2个国际顶级核心代码实验室)
服务内容
提供完善的L1,L2以及L3实验室级别线上与现场服务 24*7电话咨询/支持服务,Web线上咨询服务/支持服务 版本发布与升级服务 测试服务 现场安装,升级/调优服务 定制开发服务 培训服务 知识库共享服务 运维服务 电子交易
服务体验
1、客户可以24小时通过电话或网路在支持中心获得帮助,包括云技术咨询,资料索取,购买服务包。 2、收费服务包分为级别(例) 基本服务包(5*8 电话支持服务) 标准服务包(7*24电话支持服务+现场服务) 高级服务包(7*24*6平台修复保证) 3、专业服务选项(例) 系统集成服务 专人值守服务 系统调优服务 系统迁移服务 巡检服务 运维管理服务 应急回响服务 培训服务
服务价值
1、对开源云计算的用户和潜在用户 提供了一个获得知识,指导和技术支持的渠道,解决了套用开源云技术找不到技术后盾的尴尬局面。 提供了一个高水平的技术团队对用户进行安装,配置,开发,最佳化,运维服务,使云计算平台可以正确的被部署和使用,真正产生效益。 2、对于Openstack产业链 促进Openstack在中国的落地生根,开花结果。解决了Openstack雾里看花的尴尬。 3、对于支持中心本身 获得大量的客户信息和项目机会,获得高利润的服务业务。聚合大量业内技术资源,形成技术资源池,并通过聚合效应使产业链共同成长。 4、对社会 大大促进云建设步伐,降低IT运营成本,提高业务敏捷度,节能减排,促进产业升级。
成员企业
华胜天成 Intel Canonical Rackspace 中国开源云联盟
