私有云:您可能不了解的 7 个主要风险

在您的本地数据中心建立私有云将改变格局。 “私有云”蕴含着自行按需计算的强大功能,且完全灵活,能够构建满足您特定应用需求的技术解决方案。 私有云可以让您摆脱供应商的反复无常,比如 Amazon Web Services (AWS) 和 Microsoft Azure,让您按自己的方式办事,比如在本地储存数据和轻松管理合规性;在很多情况下,还可以节省大量成本。

但与此同时,私有云也会带来一系列专门挑战。 采用私有云会让您的组织暴露在多种风险之下,其中一些尚鲜为人知。 都有哪些风险,是否会影响您对私有云或公共云的选择?

我们介绍了可能对您的私有云项目产生重大影响的七大风险,以及可帮助您缓解这些风险的一些可能的解决方案。

-ERR:REF-NOT-FOUND-

-ERR:REF-NOT-FOUND-私有云终归也是存在风险的一种云

许多企业希望私有云成为解决公共云解决方案出现的各种问题的良药,但应认识到的是,私有云使用的基础设施与公共云完全相同或非常类似 —— 从商用硬件到使用 VMware ESXi 等hypervisors 或键盘、视频和鼠标 (KVM) 的虚拟化、乃至诸如 VMware vRealize® 或 OpenStack 之类的软件提供的虚拟基础设施管理 (VIM) 和管理与编排 (MANO)。

我们在公有云中发现的问题 —— 流量和活动可视性差、安全问题等 —— 同样存在于私有云中。 然而,如果您选择公共云,其中很多问题将由公共云的提供者负责,而如果选择私有云,这些问题将由您自己负责。

对私有云提供商而言,云是核心业务,他们期望拥有技术精湛的员工队伍来操控云技术和处理问题。 您的 IT 技术人员是否拥有同等水平的专业技术?对他们进行 OpenStack 等新技术培训或雇佣新云专家将耗资多少?

您将如何处理私有云中可能产生新漏洞和使您的基础设施暴露于新威胁的安全问题 —— 从补丁管理到政策更新乃至新技术采用?

诚然,在您的内部数据中心,您将拥有更强大的功能和灵活性来解决对您重要的问题。 但是,您一开始就可能面临同样的问题。

-ERR:REF-NOT-FOUND-风险 1:安全漏洞

在公共云方面,安全责任由云供应商和消费云服务的组织共同承担。 虚拟机 (VM) 中出现任何问题均由您承担责任,而实体硬件、虚拟化和云服务则由云供应商管理和保护。

事实上,私有云的安全性可能不及公共云。 公共云供应商累积了数年经验,拥有精深的安全专业知识,在很多情况下,他们可以提供久经验证的策略、技术和工具来保护云堆栈的各层。 当然,不可否认的是,公共云更容易成为黑客的攻击目标,但云供应商深刻了解各种云安全问题以及如何解决问题,而作为私有企业,您将不得不学习这些知识。

另一个关注要点是混合云,也在日益普及。 混合云的安全问题就更加复杂了。 当您将工作负载从私有云转移至公共云时 —— 可按需执行此操作 —— 那么如何将安全保护从私有云扩展至公共云呢?不可避免地需要将您的内部安全系统转换成公共云的安全系统。 在这个转换过程中,流量和应用将从一个系统转移至另一个系统,主要风险在于可能招致入侵的“安全漏洞”。 解决这个问题并非易事。

-ERR:REF-NOT-FOUND-风险 2:性能问题

性能是虚拟环境中众所周知的问题。 由于虚拟环境的高度动态变化,难以预测基础设施层不断变化的负载如何影响应用性能和用户体验。

在公共云中,用户知道自己有多少个机器实例以及他们的计算资源,但另外还有很多影响性能的方面 —— 网络带宽、延迟和抖动、共享计算资源中可能产生影响的共享者、重要资源和服务的访问以及访问速度等。 如需了解有关公共云性能风险的更多详情,请参阅我们的相关页面:“VPC:您的钱花得值吗?”

在私有云中,您可以更灵活地构建云。 您可以选择硬件和软件、网络基础设施以及能够优化使用性能的拓扑。 但谁能承诺您能真正获得预期的、理论上的性能?

正如动态变化的虚拟基础设施的复杂性使得公共云供应商不能始终提供用户所需的性能一样,在私有云中,您也不可能始终达到理论上的性能目标

虚拟化系统中可能有隐藏的瓶颈,性能可能有所变动,具体取决于工作负载、VMware、OpenStack 或系统其它要素的软件更新,以及其他众多因素。 您能确保您的基础设施能在所有使用情况和环境条件下(包括更新之后)有效运行吗?

消除这种风险的关键措施是准备一个持续的流程来验证您的性能。 对于每一项部署,您均应能够执行明确、真实的性能测试,也可以采用自动测试,从而在早期暴露各种问题。 没有这样的流程,将导致您的组织面临不可预测的性能问题所带来的风险。

-ERR:REF-NOT-FOUND-风险 3:专业知识和学习曲线

私有云自诞生已有一段时间了,很多都是由使用 VMware 的软件基础设施构建而成,VMware 非常知名,拥有庞大的客户群。 然而,越来越多的私有云项目开始选择以开源平台为代表的成本更低的方案。 新兴的 OpenStack 成为了私有云的实际标准 —— 该平台是一个巨大的未知数。

如果您的团队中没有资深的 OpenStack 专家 —— 此类人才尚比较少 —— 那么从头开始构建 OpenStack 项目将极具挑战。 在 OpenStack User Survey 2016 中,用户讨论了使用 OpenStack 的难度和复杂性,尽管该平台正在不断走向成熟。 如果您不在 OpenStack 部署的早期这么做,之后可能会出现问题。 这可能会影响您构建私有云的能力,无法使其具备您所需的功能以及达到项目期间各里程碑的时间安排。

-ERR:REF-NOT-FOUND-风险 4:缺乏可视性

舍弃公共云,转而选择私有云的原因之一是获取云中所有动态的可视性。 普遍认为,一旦在内部数据中心建立私有云,对工作负载、使用率、流量和性能等的可视性将高得多。

在公共云中,并没有在数据包层面实现网络流量可视性的简单解决方案。 现有的监测工具,例如 Amazon 的 CloudWatch 和 CloudTrail,不会让您“窥探数据包”来对网络问题进行高级诊断和预防安全问题。

而在私有云,情况也好不到哪里去。 您将面临“东西向流量”问题 —— 网络流量流向虚拟机 (VM) 之间,不会经过物理网络,因此对传统检测工具而言完全不可视。 东西向流量可能占据虚拟化数据中心流量的 80% 或更多,给 IT 团队造成巨大的盲点

所以,需要一种解决方案,实现东西向流量在整个虚拟化数据中心基础架构内完全可视,同时可访问流向和来自个人用户与应用的流量,并将此类流量路由至分析工具以执行分析和报告问题。

-ERR:REF-NOT-FOUND-

-ERR:REF-NOT-FOUND-风险 5:规模有限

许多企业都建立私有云,而非坚持采用常规数据中心,以期获得按需计算的能力并加快企业应用和服务的开发。 但是,私有云的容量终归受预算限制。

如果应用使用率远远高于预期会如何呢?例如,如果您运营一项面向客户的服务且使用率“爆满”,您的云将如何提供支持?或者,另举一例,如果您拥有内部企业服务且在企业内的使用率远远高于预期,或数据量超出预期,您的私有云将需要作何改变?

您无法购买无穷无尽的计算资源来支持私有云的工作负载,而且购买大量机器来支持一项非高峰负载也毫无经济意义。

对此问题的经典解决方案是混合云,当工作负载超过您的本地资源时,混合云能够实现从私有云到公共云的“云爆发”。 但是,设立混合云会增加私有云项目的成本和复杂性。 而且,首先建立私有云的普遍原因是合乎内部政策或外部法规。 例如,可能存在必须将高度机密数据存储在本地且不得泄露至公共云的内部政策,或不得使数据流出国境的法律要求。 在这些情形下针对峰值负载使用混合云可能问题重重 —— 您如何确保仅非敏感型工作负载在私有云和公共云之间均衡,同时将您的机密或规约信息保留在本地?

如果混合云并非有效解决方案,您将暴露于超出容量的风险,因此失去在一开始建立私有云的规模经济性和成本效益。

-ERR:REF-NOT-FOUND-风险 6:服务有限

这不仅适用于规模或云服务和能力。 在诸如 Amazon EC2 或 Microsoft Azure 等公共云中,您可以访问大量云服务,包括本地和第三方,通过点击按钮的操作即可全部为您所用,从高级管理功能到自动扩展和高可利用性、存储服务、数据库和大数据集群的即时部署等。

您可以在私有云中获得其中的大多数功能,但必须对其进行规划,花费时间和资金来整合和部署这些功能。 在某些情况下,您甚至必须从零开始创建各项功能。 尤其是 Amazon AWS 等云服务提供的高可用性和恢复能力难以自行重新创建。 诸如 Multi-AZ 这样可以让您将机器实例的副本保存在不同数据中心的功能,大多数私有云都无法提供。

私有云中的底线是必须创建之后才能拥有。 如果您的项目范围中未包括某项特性或功能,您在私有云中的创新能力将受限。

-ERR:REF-NOT-FOUND-风险 7:数据丢失

根据 Veritas* 的数据,在企业数据的 6,000 种风险源中,很多私有云实施面临的主要风险是数据丢失。 数据丢失可能发生在三个层:管理程序层、虚拟机层和灾难恢复或系统备份层。 鉴于私有云的动态性质,传统的数据保护技术可能会不够,无法在所有情形中以可预测的方式发挥作用。 此外还可能存在很多配置不当的情形,可能导致灾难性的后果。

以下是一些常见示例,其中很多均在 Veritas 调查中提及过:

  • 运行多个版本的 VMware ESX,其中有一些使用较早版本不支持的虚拟机文件系统 (VMFS) 选项,可能会导致虚拟机出现故障、数据丢失和停机。
  • 如果一个关键应用在两个虚拟机上运行,一个作为实时版本,另一个作为备份副本,其中一个发生故障时,通常可以进行自动迁移。 如果该故障转移将同一台物理主机上的备份实例化为实时版本,则出现单点故障。
  • 如果有用于生成数据的高性能 RAID 1 和用于归档和暂存的性能较低的 RAID 5,则可能出现不匹配,部分虚拟机会将生产写入性能较低的存储中,导致性能下降或数据丢失。

-ERR:REF-NOT-FOUND-通过 Ixia 消除私有云风险

Ixia 是云和网络测试、可视性及安全领域的领先企业,针对测试和验证虚拟化网络设备和基础设施提供强大的跟踪记录。 很多大型云供应商和在私有云上运行主要业务的企业都通过 Ixia 测试和验证他们的实施。

我们在上文提及的部分私有云问题的根本原因仍未可知。 IT 组织的私有云经验有限,对私有云的运营方式和各种情况下可能出现的问题不甚了解。

Ixia 提供了一种在真实条件下仿真和测试这些场景的独特方法。 可以在系统开发期间执行测试,也可以在生产期间持续测试。 持续测试可帮助客户找到技术解决方案和操作流程,用以识别私有云实施中的潜在问题,并在造成损害之前加以解决。 Ixia 还可以帮助提供全面的可视化来洞察现代数据中心和私有云中的东西向流量,帮助 IT 团队诊断性能问题、识别安全漏洞等。

我们准备了一份快速指南,旨在说明如何利用 Ixia 解决方案轻松地对私有云执行持续测试和监测,消除风险,以确保您获得最大的投资回报。