云计算导论思维脑图思维导图
云计算相关基础知识内容讲解
树图思维导图提供 云计算导论思维脑图 在线思维导图免费制作,点击“编辑”按钮,可对 云计算导论思维脑图 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:3954b6ca98ea9b7f18eef4f184ea8471
思维导图大纲
云计算导论思维导图模板大纲
第一章:走进云计算
1.1 云计算的产生和发展
1.1.1 云计算的思想起源
首次提出:云计算的思想起源最早可追湖到由约翰 •麦卡锡 (John MeCarthy)于 1961 年提出的“效用计算” 概念。
1.1.2云计算的发展历程
电厂模式
效用计算
网格计算
网格计算可用手处理大规模的计算任务,县体头程晏先将大规模计算任务分解为若干个小任务,然后利用集群内大量计算机的未用资源(如 CPU 周期和磁盘存储等)计算这些小任务。最后将计算结果综合起来即可攻克整个任务。
云计算
与效用计算的区别:相同的:云计算同样希望用户方便地获取廉价的计算机资源 不同点:云计算已经具备成熟的技术和市场规模,以亚马逊和微软等公司为代表的互联网服务提供商均制定了不同层次的商业化解决方案
1.2 云计算的概念和特征
1.2.1 什么是云计算
云计算是一种通过网络统一组织和灵活调用各种信息与通信资源池
1.2.2 云计算的特征
用户按需自助获取服务
广泛的网络访问
资源虚拟化
快速弹性的资源分配
可度量的资源使用情况
对云计算服务的度量可让云计算服务提供商对资源使用情况一目了然,同时也可为用户提供由资源使用情况和对应资费组成的明细账单
1.3实例———身边的云计算
1.3.1 云盘
百度网盘
特点:(1)超大容量(2)多元素存储(3)在线压缩(4)在线查看常规数据(5)离线下载(6)文件分类和搜索(7)文件分享
iCloud
1.3.2 云应用
工作原理:把传统软件“本地安装,本地运行”的使用方式变为了“即取即用”的新型方式
uzer.me
office On Wed
第二章:云计算基础
2.1 云计算系统架构参考模型
2.1.1 NIST云计算参考模型
各角色职责
云承载者
职责:与云提供商保持业务关系,并使用云提供商提供的云计算服务的个人或组织
云审核员
能够对云计算服务、能够对云计算服务、信息系统操作、性能和安全性进行独立评佔的申立机构
云提供商
负责向云消费者提供云计算服务的个人、组织或实体
云代理商
对云计算服务的使用、对否计昇服务的使用、性能及交付进行管理,并协调云提供商和云消费者之国关系的实体
云承载者
在云提供商和云消费者之间提供云计算服务的连接和传输的中介
角色的交互关系
云承载者为整个云计算系统提供技术支持和实现途径
云提供商为云消费者提供云计算服务
云消费者可直接向云提供商或通过云代理商申请云计算服务
云代理商可作为云消费者和云提供商之阃的媒介
云审核员为第三方独立車核机构,可对云提供商或代理商提供的云计算服务进行独立审核(包括服务安全性、隐私性和性能等),并将审核结果区馈给云消费者、云提供商和云代理商
2.1.2 “四层两域”模型
四层
基础设施层
作用:是对数据中心、操作系统和服务器等软硬件设施进行管理,为服务域内的其他层提供基础设施资源支持。
目的:使用定制化的操作系统,管理人员可加强对 IT 设备硬件资源(如CPU 频率)的控制,以夹现优化资源配置、提高虛拟化程度和降低會理成本等目的。
资源层
资源层即基础设施经过虚拟化后形成的 1T 资源池。
建设核心:满足资源服务化的需求并实现 IT 资源的自动化管理,常见产品包括云服务器,云存储和软件定义 网络(sofiware defined network, SDND 等。
云服务器可将物理资源以虛拟机或容器(container) 等逻辑资源的形式对外提供,实迎资源的灵活按需供给:
平台层
定义:是链接应用层和资源层的中间层。“平台(platform)”是指可对资源层的I资源进行有机调配的资源管理平合,它屏蔽了底层软硬件基础设施的具体细节,向用户提供通用的服务,用户只需根据自身需求,利用平台来调用相应的资源即可。
应用层
直接面向客户的需求,通常采用友好的交互界面,以向云消费者提供高度集成化的软件云服务
两域
服务域
由基础设施层、资源层、平台层和应用层共同构成,它主妥是低向么计算糸统的用户提供资源服务、平合资源调用服务和应用服务等
管理域
管理的服务对象
是服务域。 无论是服务城的各层还是整个服务域,管理域均有相应的管理方式
管理内容
资源管理
主要是对底层资源及其虛拟化资源池的正常运行和安全性等方面的管理,包括资源监控、调配、优化和报警等。
运营管理
运营管理是管理域将服务域各层提供的服务作为商品出售给用户,使云计算服务更加商业化。
2.2 云计算服务模型
2.2.1 基础设施即服务
简称LaaS;
定义:它是一种将服务器、存储器、网络设备等1T基础设施虚拟化,并通过 Internet 租给用户的云计算服务模型
主要对象:需要硬件资源的用户。
关键技:虚拟化技术
特点:使用灵活,运维成本低,自助服务,计费透明,可靠性高
2.2.2 平台即服务
简称: PaaS
定义:它是指将应用的开发、管理和运行环境集成并打包为按需付费的服务后,通过 Internet 租给用户的云计算服务模型。
主要对象:是应用程序开发人员,其关键技术是分布式技术
特点:Paas 云服务具有部署开发环境简单、代码实时托管、服务丰富、维护方便
2.2.3 软件即服务
简称:SaaS
定义:它是指将开发好的软件系统作为按需付费的服务,并通过Interet 提供给用户的云计算服务模型。
主要对象:是需要软件服务的企业、组织或个人
关键技术:web 技术
核心竞争力:在于多租户模式下的个性化与可配置
多租户模式:指 Saas 云服务可同时为多个用户提任有差别的软住使用模式,该模式下的每个用户都可不受其他用户影响的访问应用,并可以定制应用的某些属性。
对于个人用户而言:用户不再市安文付節贲的软件购头费用,世不再需要为终端设备配置高性能的硬件,只需将其联网,即可通过浏览器使用 Saas 云服务
对王企业用户而言:由于 SaaS 云服务一般是由大型云计算服务提供商提供的,因此会对软件进行统一管理、升级和维护,这意味着企业用户可以在最大限度降低成本的同时享受高质量的软件托算服务,且其数据安全性世存了很好的保障
2.2.4 其他云计算服务模型
数据即服务
简称:DaaS
定义:它可在保证数据安全性的前提下,以云计算为基础设施,以大数据为载体,通过对大数据进行整合、存储和计算,实现数据挖掘、分析和优化的自动化处理,并通过 Interet 将这种自动化处理作为一种云服务提供给用户
容器即服务
简称:CaaS
定义:它是指云计算服务提供商将基于容器的应用开发平合作为服务提供给用户,,用户可通过web 或 API使用此类服务并按需付费
2.3云计算服务部署模式
2.3.1 公有云
定义:云服务提供商对外提供的公共云服务部署模式
2.3.2 私有云
定义:是指某企业或组织专属的云服务部署模式,私有云拥有者对私有云具有完全的访问和控制权限,而未投权的用户则无法获取私有云的任何信息,更无法使用私有云提供的任何服务
本地私有云:指基础设施和组织架构均由企业自行搭建和维护的私有云
外包私有云:是指由第三方云服务提供商为企业搭建和维护的私有云。
2.3.3 社区云
定义:社区云(community cloud)是面向某社区中所有成的云服务部署式。“社区”是指由一组云消费者组成的集体,社区中的各成员共同制定了安全和隐私政策并统一遵守。
本地社区云
外包社区云
2.2.4 混有云
定义:指包含两个或多个不同的云计算服务部署模式(公有云、私有云或社区云)组成的云服务获取平台,它并不是上述云的简单组合,而是云服务提供商根据企业实际情况定制的个性化云计算服务部署模式。
实例———Docker容器
2.4.1 Docker容器
核心思想:是将各种应用程序及其依赖环境打包为标准的容器,该标准容器可在任何安装了Docker 的操作系统上运行
核心组件
仓库:仓库用于存放镜像,一般为远端镜像服务器,用户可通过 Interet 从仓库中获取镜像(此过程称为“pul1”),也可在制作镜像后将其保存到仓库中(此过程称为“push”)
镜像:是某应用程序及其开发环境的打包文件,而容器是镜像的实例化,两者的关系可比作面向对象编程思想中的类和对象,镜像是一个静态的只读(read-only)模板(好比类)当执行(run)这个模板时,就创建了一个容器(好比对象),容器进行运行、停止、移动和删除等操作时,镜像本身不受影响,运行着的容器也可在当前状态进行提交,形成另一个独立的镜像
容器
2.4.2 安装Docker
启用Hyper-V虚拟机
安装Docker Desktop for Windows
运行一个Docker容器
第三章:云计算中的数据处理技术
3.1 云计算与大数据
3.1.1 什么是大数据
定义:大数据 (big data)也称海量数据或巨量数据,是指数据量大到无法利用传统的数据处理技术在合理的时间内获取、存储、管理和分析的数据集合。
特点(简称4V)
有海量的数据规模 (volume)
快速的数据流转 (velocity)、
多样的数据类(variety)
较低的价值密度 (value)
单位数据所产生的有价值的信息量
大数据技术:大数据技术是指用非传统的方式对大量结构化和非结构化数据进行处理,以挖掘出岁据中蕴含的价值的技术。
关键技术
数据采集
数据预处理
数据存储与处理
数据分析与挖掘
数据可视化
3.1.2 云计算与大数据关系
定义:作为引领未来技术变革的两项关键技术,云计算与大数据既紧密相连,又相互区别。从整体上看两者是相辅相成的。一方面,云计算为大数据提供了技术支持和实现途径;另一方面,大数拆让云计算更有价值,并推动着云计算相关技术的不断更新和完善。
云计算与大数据的关系
服务领域相同
关键技术相同
云计算与大数据的区别
产生背景不同
目的不同
处理对象不同
推动力不同
带来的价值不同
3.2 分布式数据存储(定义:最主要的特征是拥有大规模模的数据集,基于该数据集向用户提供服务。为了保证高可用性、高可靠性和经济性,云计算采用了分布式数据存储方式。)
3.2.1 分布式系统
集中式系经是指由一台主机和若干终端组成的系统,主机是这个系统的中心节点,一般具有较好的性能和运算能力,主机提供系统对外的一切功能,系统中所有的数据均存储在主机中,所有的任务也交由主机完成,终端只用来展示系统功能或提供用户与主机之间的交互 (输入和输出)。
定义:分布式系统 distwhed systm)是指一组道过网络连的计机及其软件系统,这些算机的耦合度较低,相互之间协调工作以实现整体负载均衡
升级性能
纵向扩展
是指升级当前集中式系统中的主机,其优势是数据备份和恢复简单部署方便、安全性高、稳定性好、维护成本低;
横向扩展
指增加主机数量,将各主机通过网络连接组成分布式系统,共同存储数据和处理任务
3.2.2 分布式存储系统
定义:分布式数据存储即利用分布式系统来存储数据,而用于存储数据的分布式系统也称为分布式存储系统 (distributed storage system)。通俗来讲,分布式存储系统就是使用大量分散的小容量存储器来存储大数据的技术。
特点
低成本
高性能
可扩展
易用性
自治性
3.2.3 分布式数据存储技术
定义:为分布式数据存储提供技术支持的是分布式文件系统(distributed filesystem)。分布式文件系统又称集群文件系统,它是由分布式存储系统中多个节点通过网络共同组建和共享的文件系统。
主控服务器是整个 GFS 的核心,它存储着系统中所有元数据的信息 (如创建时间、索引等)主控服务器返回给客户端要与之户端访问系统文件时,必须向主控服务器发送请求,安互的数据块服务器信息,然后客户端直接访问这些数据块服务器完成数据的存取。
3.3 并行编程技术(定义:并行编程(parallel programming)也称并行程序设计、平行编程,是针对并行计算的程序设计方法,在云计算领域,并行编程则是指对分布式并行计算进行程序设计。)
3.3.1 分布式并行计算
分布式计算
分布式计算 (distributed computing)是一种计算方法,是与集中式计算相对的概念
并行计算
并行计算(parallel computing)又称平行计算,是相对于串行计算来说的。它是一种允许让多条指令以平行的方式同时进行计算的模式
时间并行
时间并行可理解为利用多条流水线同时作业
空间并行
空间并行可理解为是使用多种计算资源执行并发计算,从而减少解决复杂问题所花费的时间
3.3.2 MapReduce并行编程模型
核心思想:分而治之
定义:,MapReduce 并行编程模型(以下简称模型)是一个针对大规模集群中的分布式文件进行并行处理的计算模型。
“Map”意为“映射”,是指将一个大任务分割为多个小任务,以便对这些小任务进行并行计算;
“Reduce”意为“归约”,是指将并行计算后得到的结果进行汇总。
执行过程
输入(Iput)
分解(Split)
映射(Map)
重排(Shume)
归约 (Reduce)
输出 (Falize)
3.4 数据管理技术
3.4.1 NoSQL数据库概述
常用存储模式
键值映射
列族
文档
图
采用:耦合度的数据存储模式,它不再使用关系模型作为数据存储模型(故 NOSQL 也称为“非关系型数据库”),数据不必存储在行列分明的二维表格中,也须遵循严格的存储规范,开发人员可自行制定存储规范。
多采用分布式架构:DBMS 可部署在分布式文件系统上,这意味着NoSQL 数据库支持横向扩展。
Bingtable
特点:存储方式更加灵活,它不再使用传统的关系模型.
采用:键值映射的数据存储模式。
3.5 实例———Apache Hadoop项目
Hadoop 简介
核心设计
易于编程
良好的扩展性
高容错性
Hadoop生态系统
核心技术
HDFS
定义:是一个主从(master/slave)架构系统,即一个HDFS 集群由一个 NameNode 和若干个 DataNode组成。其中,NameNode为主节点(管理节点), DataNode 为从节点(工作节点)。
核心组件
NameNode
定义: 是集群的核心管理部分,一个 Hadoop 集群中只有一NameNode,它负责管理 HDFS 的目录树和维护关的文件元数据信息,这些信息包HDFS元数据镜像文件和文件改动日志等。
DataNode
定义:是 HDFS 系统中的各存节点、它们将数据以固定大小(默认为64 MB)的块 (block)进行存。
Hadoop MapReduce
定义:Hadoop MapReduce 是根据谷歌 MapReduce 论文《MapReduce: 大规模集群中的简化数据处理》设计的一个并行编程模型的开源版本,它可将大型数据处理任务进行分片处理,分配给分布式系统中的多台计算机进行并行计算,并将最终的结果进行汇总,以实现大数据的并行计算。MapReduce 是整个 Hadoop 生态系统的核心技术,也是 HDFS 得以实现的技术支撑。
HBase
定义:HBase 根据谷歌的 Bigtable 论文《Bigtable: 一个针对结构化数据的分布式存储系统》设计和开发,是 Google Bigtable 的克隆版本和开源实现。Hbase 是一个针对海量数据存储的动态模式的数据库。与传统关系数据库不同,HBase 的数据存储模式为键值映射。
主要组件
Ambari
Pig
Pig、Mahoutlume、Zookeeper、Sgoop、Kafka 和 Spark
Mahoutlume
Zookeeper
Sgoop
Kafka
Spark
第四章:虚拟化技术
4.1 虚拟化概述
4.1.1 虚拟化和虚拟机
虚拟化
定义:是一种通过虚拟化软件将计算机系统中的各物理资源(如服器、网络、存储和应用等)抽象为逻辑资源,打破实体设备之间不可分割和组合的障碍对资源进行重新整合和分配的资源管理技术。
虚拟化技术:虚拟化技术的典型应用就是虚拟机。众所周知,传统的计算机一般由硬件系统和软件系统组成,硬件系统也可称为物理主机,它包括计算设备(CPU和GPU等)、存储设备(内存和外存)、电源和 I/O设备(键盘和鼠标等);软件系统指安装在硬件系统上的操作系统(Windows、Linux 或macos 等)和安装在操作系统上的各应用软件等。
虚拟化技术的优势
有效利用资源
更好的容错能力
提高系统可用性
管理的快捷方便
节约能源的消耗
虚拟化技术的特征
区分
隔离
封装
独立
虚拟机
虚拟机是由安装在计算机软件系统上的虚拟机软件部署的。虚拟机软件将计算机的便件资源进行分区、隔离和封装,并抽象出一台逻辑上独立的虚拟主机。用户可在虚拟机上安装操作系统,该操作系统完全独立于物理主机(称为宿主机)上的原生作系统,两者可同时运行,共享物理主机的硬件资源。
4.1.2 虚拟化的发展历程
首次:20 世纪60年代
2006 年,谷歌公司在搜索引擎大会上首次提出了“云计算”的概念,
4.2 虚拟化的分类
4.2.1 服务器虚拟化
定义:,服务器虚拟化就是通过虚拟化软件将一台物理服务器抽象为若干台逻辑独立的虚拟服务器的资源管理技术。
实现方式
寄宿
定义:是在服务器的主机操作系统 (HostS)上安装拟化软件,用虚拟化软件安装寄宿操作系统 (Guest OS)。
特点:部署方便,实现容易,性能较低。
原生
定义:指在服务器的裸物理主机上使用虚拟化软件形成一个虚拟层,在虚拟层上安装多个操作系统,各操作系统之间地位平等,互不干扰,共同使用服务器的硬件资源。
特点:化性能较高、实现较难。
虚拟化数据中心的优势
降低运营成本
提高运营兼容性
加速应用部署
提升资源利用率
降低能源消耗
4.2.2 网络虚拟化
定义:是指将物理网络设备(如交换机)和线路抽象为逻辑上的网络设备和线路。
局域网虚拟化
虚拟局域网
局域网
局域网(local area network,LAN)是指由某组织或机构借助任何第三方机构建的信息传输网络。
虚拟局域网 (virtuallocalarea network,VLAN)是一种网络虚拟化技术,划分VLAN指将局域网划分成若于个广播域,使广播仅在 VLAN 内部传播。
广域网虚拟化
虚拟专用网
专用网:专用网(private network)是指仅供组织或部门内部使用,不对外开放的网络,专用网内部的主机使用专用 IP 地址进行通信。
采用方法
是租用运营商的通信线路作为本机构专用线路,这种方法简单方便,但成本过高,很多普通企业难以承受。
是使用虚拟专用网。
虚拟专用网virtual private network,VPN)是指将公共的Interet 为专用网之间通信载体的网络虚拟化技术
核心技术:隧道加密技术
4.2.3 存储虚拟化
定义:存储虚拟化是指将不同厂商、型号、通信技术和介质的异构存储设备相互连接,并过存储虚拟化软件映射为统一的存储资源池。
实现方式
基于主机的虚拟化
.基于存储设备的虚拟化
基于存储网络的虚拟化
4.2.4 应用虚拟化
定义:应用虚拟化是指将应用程序的人机交互逻辑 (程序界面、IO 操作等)与实体计算隔离开来,并使用客户端/服务器 (client/server,C/S)架构,用户与应用之间的交互在本地客户端进行,而数据处理和存储等操作则在远端的服务器中进行。
分为
桌面虚拟化
应用程序虚拟化
4.3 虚拟化解决方案
4.3.1 VMware 虚拟化
4.3.2 VirtualBox 虚拟化
4.3.3 Hyper-V虚拟化
4.3.4Xen 虚拟化
4.3.5 KVM 虚拟化
4.4 实例———使用VMware Workstation Pro 创建虚拟化
4.4.1下载Ubuntu 镜像文件
4.4.2 创建虚拟机
4.4.3 为虚拟机Ubuntu
第五章:云计算管理平台
5.1云计算管理平台概述
5.1.1 什么是云计算管理平台
云平台
云计算平台:云计算平台(cloud computing platform)又称云平台,是指用户获取 JaaS、PaaS和SaaS等云计算服务(以下简称云服务)的平台。
用途不同:云平台可分为存储型云平台、计算型云平台和两者兼顾的综合型云平台。
云服务部署方式的不同:云平台可分为公有云平台、私有云平台和混合云平等
公有云平台:指由大型云服务提供商发布到 Interet 中的云平台,用户可通过Internet 访问云平台的门户网站,如阿里云并通过付费获取云服务:
私有云平台:指企业使用虚拟化技术将其IT 资源搭建为私有云,并为企业网内的用户提供云服务的平台。
混有云平台:指企业使用虚拟化技术将其IT 资源搭建为私有云,并为企业网内的用户提供云服务的平台
云计算管理平台
定义:吞计筑管理平台也愁天算母平台(cloud management platform,CMP),它是用于管理云平合资源的工具,可对大量异构的 IT 资源进行整合、管控和调配,这些IT 资源可能属于同一个云平台,也可能属于不同的云平台
5.1.2 云计算管理平台的功能
管理云资源
定义:管理天资源是指将 CMP 部署在公有、私有或混合云计算平台上,通过严密的资源管理、权限管理、安全管理、计费管理等管理机制实现数据中心的弹性资源池、云服务及整个云平台的运维管理,从而为用户提供优质可靠的云服务。
CMP的最终月
可视化是指 CMP 使用交互界面和 API 供用户、开发人员和管理人员对云平台实施管理。
可控化是 CMP 通过合云服务的提供流程和生命周期、资源池中资源和相关技术等因素,保证云服务符合与用户所签订合约中规定的等级和效应效率,使云服务保持高可靠性
自动化是 CMP可根据用户的请求自动执行云服务开通、监择、处理结算和扩展等操作,
提供云服务
CMP 对云服务的支撑
业务支撑
运维支撑
管理支撑
5.1.3 云计算管理平台的特点
管理对象:云平台
管理内容
对云平台中计算资源的调度
对云平台中计算资源的部署
对云平台中计算资源的监控
对云平台中计算资源的管理
对云平台中计算资源的运营
特点
统一管理云服务
CMP 可以实现跨云平台的资源管理,因此用一套方案可实现对混合云平台中所有云服务的管理,从而有效提高云服务的管理效率。
保障资源安全性
CMP 可有效防止云平台的非法操作或不当访问的发生,保障云平台及其中资源的安全性。
简化云服务流程
CMP可实现用户请求的快速效应,并通过自动化管理机制,迅速为云服务的整个生命周期 提供支撑,所有流程均可由用户以自助的方式发起,大大简化了用户获取和使用云服务的流程。
最大化利用资源
CMP 可根据云平台提供的云服务类型对资源池中的资源进行统计划分并制定 SLA,根据 SLA对云服务进行定价和计费,从而核算资源成本与收益,实现资源利用和收益的最大化。
5.2 云计算管理平台技术
5.2.1 libvirt
libvirt 是一种虚拟化API (virtualization API)具,它可将不同的VMM 提供的若个虚拟机管理工具整合为标准的API。
Libvit 旨在为 CMP 提供一套通用的虚拟机管理解决方案,并最小化编程难度。
libvit采取了安全的加密与认证措施,可实现对虚拟机的远程管理。
libvirt的组件
ibvirt 的AP I库中包含域 (这里指虚拟机)管理API (libvirt-domain)、事件管理API(libvirt-event)、主机管理API (libvirt-host)等多个具有不同功能的标准虚拟机管理接口,CMP可根据资源管理的需要,在系统中集成具有相应功能的 API以实现对虚拟资源池中各资源的管理和调度。
virsh 是 bvirt 中默认的虚拟机管指集,使用者可在行界面(ommandlineinterface,CLI)中输入指令集中的指令以对虚拟机进行启动、停用、配置和连接控制台等操作。
ibvirtd 是 libvirt 的守护进程它随 ibvirt 系统启动自动运行,运行期间不受任何进程或指令的干扰,其功能是保障 libvirt 所有组件及其功能的稳定运行,在某功能发生故障时进行修复,以及提供远程管理服务支持。
主要提供的功能
虚拟机管理
远程机器支持
存储管理
网络接口管理
实现基于网络地址转换 (network address translation,NAT)
路由的虚拟网络
5.2.2 QEMU
5.3实例———OpenStack云计算管理平台
5.3.1 OpenStack 简介
OpenSfack 主要由若于具备不同功能的组件构成,它支持几乎所有类型的云平台环培可提供功能丰富、实施简单、可大规模扩展、APL标准统一的开源云计算管理平台。
5.3.2 OpenStack相关组件
计算服务组件 Nova
网络服务组件 Neutron
对象存储服务组件 Swift
块存储服务组件 Cinder
镜像服务组件 Glance
认证服务组件 Keystone
监控服务组件 Ceilometer
仪表盘组件 Horizon
编排服务组件 Heat
5.4实践———在Ubuntu操作系统上安装OpenStack
更换下载服务器
前期准备工作
创建新用户
安装OpenStack
体验OpenStack
第六章:云计算解决方案
6.1 LaaS的解决方案———Amazon Web Service
6.1.1 Amazon Web Service 概述
Amazon Web Service (简称AWS)是亚马逊公司于2002年7月成立的子公司,它最初只是亚马逊公司用于出租闲置基础设施的网站
6.1.2 Amazon Web Service 的LaaS 云服务
弹性计算云 EC2
简单存储服务 S3
关系型数据库服务 RDS
非关系型数据库服务 DynamoDB
6.1.3 Amazon Web Service 的成功案例
爱奇艺
小米
格兰仕
6.2 PaaS 的解决方案———Microsoft Azure
6.2.1 Microsoft Azure 简介
MicrosoftAzure是一个功能完整且在不断扩展的公有云平台,它集成了开发、测试、部署和管理应用程序所需的 PaaS 云服务,可为应用程序开发人员的现有应用程序提供托管服务。
MicrosoftAzure 旨在为广大的应用程序开发人员提供一个强大灵活、多人协作、按需扩展、高可用性的混合云开发平台,使开发人员摆脱当前计算平台的限制,可在任何可访问Internet 的终端设备中随时随地进行开发工作,从而充分发挥出群体协作的优势。
MicrosoftAzure的前身是微软公司于 2008 年 10月推出的 Windows Azure。最初WindowsAzure的对标对象是AWS的EC2和S3服务与AWS不同的是,WindowsAzure提供的云虚拟机仅支持Windows Server 操作系统。
6.2.2 使用Microsoft Azure 的PaaS 云服务
定义:Microsoft Azure(以下简称 Azure)是一个以PaaS 见长的公有云平台。
使用方法
激活沙盒
Azure 的各项 PaaS云服务为收费服务,为方便广大用户更好地了解其云服务,Azure 提供了“沙盒”功能。
使用 WordPress 创建网站
WordPress 是一款开源的内容管理系统 (contentmanagement system,CMS),它使用PHP 语言和MySQL数据库开发,简单易用,用户可使用其提供的免费网站架构模板快速创建个人博客网站
体验个人博客网站
6.3 SaaS 的解决方案———Microsoft 365
6.3.1 Microsoft 365 简介
Microsoft 365就是一系列基于云的跨平台软件、服务和策略集合,软件主要包括 Windows 10 专业版、Ofice 套件 (Word、Excel、PowerPoint、OneNote)、数据库软件(Access)、稿件模板软件(Publisher)、电子邮件和日历软件服务(Outlook、Exchange,Delve)、会议和语音软件服务 (Microsoft Teams)、企事业单位内部互联网 (Itranet)软件服务(SharePoint、Yammer)、文件存储和管理软件服务(OneDrive、Stream、Sway)、任务管理软件服务(PowerApps、Forms、Planner、To-Do)高级分析软件服务(MyAnalytics.Power BI Pro);策略包括设备和应用管理、威胁防护和信息保护。
6.3.2 Microsoft 365 的订阅和计划
家用版
Microsoft 365 家用版是针对家庭或个人用户推出的订阅方案,分为 Microsoft 365 家庭版、Microsoft 365 个人版、Ofice 家庭和学生版 2019 共种订阅计划。
商业版
Microsot 365 商业版是针对中小型企业推出的订阅方案,最多支持规模为 300 人的企业。
企业版
Microsoft 365企业版是针对大型企业推出的订阅方案,它可看作是Microsoft 365 商业版的升级版本,不仅包含Microsoft 365 商业版中的所有软件和服务的使用权限,还包含了强健的威胁防护、安全性、合规性和分析功能等策略,为企业提供高效的生产力解决方案
主要内容
企业版 Ofice 套件
基于云的文件存储
基于云的文件共享
应用管理
第七章:云计算安全
7.1 云计算安全概述
7.1.1 云计算安全事故
Google Gmail 的全球性故障
Microsoft Azure 停止运行
Amazon 云数据中心大面积宕机
斯诺登与“棱镜门”
7.1.2 什么是云计算安全
定义:云计算安全(cloudcomputing security)是由计算机安全、网络安全及更广泛的信息安全所演化出的概念,有时也简称云安全(cloud security)。
对于云服务提供商而言:云计算安全是指一套由广泛的硬件技术、软件平台、实施方法、统一标准、法律法规等共同组成的综合性策略,用于保护其云计算系统(主要指公有云平台)中的基础设施、IP 网络、应用程序、用户数据等资产;
对于用户而言:云计算安全意味着其所使用云服务环境的稳定性和私密性,以及其存储在云中的数据的完整性和隐私性。
7.1.3 云计算安全的顶级威胁
数据泄露
数据泄露是指敏感且受保护的机密文件在未经授权的情况下遭到公布、查看、窃取或使用的安全事故。
身份认证、凭证和密钥管理缺陷
身份认证、凭证和密钥管理缺陷包括未使用多因素认证,使用弱密码策略,以及长时间使用缺乏自动更新的随机密钥、密码和证书等。
不安全的接口和API
为方便用户对云服务的交互与管理,云服务提供商一般会提供用户界面 (userimterface,UI)或API,对云服务的供应、管理、编排和监控等一系列重要操作均通过这些接口完成,这些接口的安全性决定了云服务的安全性和可用性。
系统漏洞
系统漏洞是指操作系统组件(系统内核、系统库和应用程序工具)或应用程序中的故障与漏洞 (bug),黑客可利用这些 bug 潜入计算机系统窃取数据、控制系统或破坏服务, 使得所有服务和数据的安全性受到重大威胁。
账户劫持
账户劫持是指黑客通过诱导性电子邮件和网页等实施网络钓鱼、欺诈,或通过软件漏洞窃取用户的账户密码并登录系统实施破坏,如窃听用户活动和交易,操纵、查看和修改数据,伪造信息,重定向客户端到非法站点等。
恶意内部人士
恶意内部人士是指已授权访问企业网络、系统或数据并且有意越职责滥用权限的现任或前任企业员工、承包商或其他合作伙伴。
高级持续威胁
高级持续威胁(advanced persistent threats,APT)是一种网络攻击的方法,它以一种木马的形式存在,可渗透进目标企业的 IT 基础架构,并从其中走私数据和知识产权
数据丢失
数据丢失是网络攻击所造成的恶果之一,但是,存储在云中的数据丢失问题绝不能仅归因于恶意攻击。
尽职调查不足
尽职调查不足是指企业中的相关决策者在未对当前云市场、云计算技术和云服务提供商等情况进行详细调查的情况下,制定企业上云(如搭建混合云、私有云或社区云)的策略,最终导致企业上云失败,或蒙受经济损失等。
滥用和恶意使用云服务
当前云服务市场中的产品以IaaS、PaaS 和 Saas 的公有云服务为主,由于市场上激烈的竞争关系,各云服务提供商均推出了免费试用或价格较低的云服务,这给了不法分子可乘之机
拒绝服务攻击
拒绝服务(denialof service,DoS)攻击是指在短时间内通过极大的通信量或连接请求恶意访问某服务器,造成此服务器的资源(CPU、内存和网络带宽)均处于满负荷、全占用的状态。
共享技术漏洞
构成支持云服务部署的底层硬件(CPU、GPU、内存等)可能并未给多租户架构(IaaS)可重新部署的平台 (PaaS) 或多客户应用程序(SaaS) 提供强大的隔离属性,而是通过hypervisor 和共享技术实现的,由于是通过软件手段实现的隔离,因此实现共享技术的软件漏洞往往为黑客所利用。
7.2 云计算安全管理
7.2.1 云计算安全责任模型
定义:云服务提供商和用户对资源的控制范围不同,控制范围则决定了安全责任的边界,云计算环境的安全责任并不应全由云服务提供商承担,而应由用户和云服务提供商共同承担
Garter 提出了一种云计算安全责任模型,该模型根据云服务的3 种模式将云平台的所有资源分为了基础设施、虚拟化、主机、中间件、应用和数据。
7.2.2 云计算安全管理流程模型
需求分析
选择云服务提供商、云服务模型及部署模式
定义企业的云架构
评估安全控制
确定控制差距
设计和实施控制以弥补差距
持续管理变更
7.2.3 云计算基础设施安全
从物理角度:对云计算基础设施的安全管理包括选择地理位置、物理访问控制、防盗窃和破坏、防雷击、防火、防水、防潮、防静电、防地震、温湿度控制、电力供应、电磁防护等措施,以避免由于不可抗力或人为因素造成的业务中断、数据损失。
从网络角度:对云计算基础设施的安全管理主要包括网络边界防护和保障网络通信安全。
7.2.4 云计算虚拟化安全
虚拟化平台安全
虚拟化平台安全是指对外的API必须在租户间实现虚拟机或容器的隔离,保障虚拟化平台中资源的逻辑独立性和数据的机密性。
网络虚拟化安全
网络虚拟化安全主要是指虚拟机间及虚拟机与外部网络之间通信的安全性。
存储虚拟化安全
存储虚拟化是云平台为用户提供按需取用的存储资源的基础,它将大量物理存储设备虚拟化为一个逻辑存储资源池,用户在使用基于存储虚拟化的云服务时,只访问逻辑存储。
(1)数据隔离。
(2)访问控制。
(3)数据可靠性。
(4)保护剩余信息。
7.2.5 安全及服务
定义:通过云服务提供商提供的开放API端口为用户提供服务,通过许可协议从用户手中接管资源的访问和控制权限并承担相应的安全责任。
7.3 云计算安全相关标准及法律法规
7.3.1 云计算安全国际标准及法律法规
ISO/ECJTC1/SC 27 标准文档
国际标准化组织(international organization for standardization,ISO)是一个成立于1947 年的全球性非营利组织
国际电工委员会(interationalelectrotechnicalcommission,IEC)是一个成立于1906年的国际性电工标准化机构
ISO/IECJTCI是ISO与IEC 联合组建的联合技术委员会,其附属委员会SC27在其中专门负责制定IT 安全技术相关标准。
7个工作组:分别负责信息安全管理系统,密码和安全机制,安全评估、测试和规范,安全控制与服务等信息安全相关国际标准的制定。
NIST 网络安全框架
NIST 即美国国家标准与技术研究院,是隶属于美国商务部的政府机构。
CSA《云计算关键领域安全指南》
定义:,CSA 从云计算概念和体系架构,云计算治理与企业风险管理,法律问题、合同和电子举证,合规和审计管理,信息治理,管理平面和业务连续性,基础设施安全,虚拟化和容器,事件响应,应用安全,数据安全和加密,身份、授权和访问管理,安全即服务。
欧盟《通用数据保护条例》
定义:GDPR不仅是欧盟成员国的网络安全相关法律法规,也同样适用于处在欧盟之外但为欧盟成员国提供服务的企业组织。
GDPR 采用同意机制的法律框架,即机构在收集和处理个人(称为数据主体)的隐私数据时,须在获得数据主体依照其意愿自由作出的特定的、知情的指示后方可进行。
GDPR主要针对隐私安全、问责机制、个人敏感数据、数据主体的权利、数据处理者,数据泄露和通知、数据保护者等的权利、义务等内容进行了规定、约束、禁止或建议,不遵守数据隐私法规会受到严厉的法律制裁和巨额的罚款。
美国《国防部云计算安全要求指南》
政府部门的数据和文件尤其需要严格保密,因此国防部使用的商用云服务必须保证极高的安全性,为此,隶属美国国防部的国防信息系统局在 2015 年1月发布了《国防部云计算安全要求指南》
7.3.2 云计算安全国内标准及法律法规
全国信息安全标准化技术委员会发布的国家标准
委员会(主任、副主任、委员):
秘书处
信息安全标准体系与协调工作组
密码技术标准工作组
鉴别与授权标准工作组
信息安全评估标准工作组
通信安全标准工作组
信息安全管理标准工作组
大数据安全特别工作组
《中华人民共和国网络安全法》
2016 年 11月 7日,中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议通过了《中华人民共和国网络安全法》,该法已于 2017年6月1日起正式实施。
《中华人民共和国网络安全法》是我国第一部网络安全的专门性综合立法,是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展而制定的法律。
7.4 实例———典型的SECaaS 提供商
7.4.1 亚信安全
定义:亚信安全隶属于亚信科技有限公司,是中国网络安全行业中较成熟的解决方案提供商,其解决方案涵盖了政务、电信运营商、金融、医疗、教育、能源、制造业和交通等各行业,并在云安全、身份安全、端点安全、安全管理、高级威胁治理、威胁情报 6大核心技术领域拥有国际领先技术。
7.4.2 360 企业安全
云计算安全领域,360 企业安全的解决方案主要有:
360 云甲虚拟化防护系统360云阵云安全管理平台
360云探安全监测系统和360警云安全防护系统。
第八章:云计算应用
8.1 云计算与热门IT技术的融合
8.1.1 云计算与移动互联网
8.1.2 云计算与物联网
8.1.3 云计算与ERP
8.2 实例———云计算的产业实践
8.2.1 浙江省智慧农业平台
8.2.2 中国航天云网
8.2.3 深圳智慧交通云服务平台
8.2.4 国家政务服务平台
8.2.5 新零售
8.2.6 北京“健康宝”小程序
8.2.7 山东省教育服务平台
分支主题 9
相关思维导图模板
树图思维导图提供 线尚线思维脑图 在线思维导图免费制作,点击“编辑”按钮,可对 线尚线思维脑图 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:b18ab228102bb24c74e3227330b6849e
树图思维导图提供 工程项目文档思维导图 在线思维导图免费制作,点击“编辑”按钮,可对 工程项目文档思维导图 进行在线思维导图编辑,本思维导图属于思维导图模板主题,文件编号是:718a88d0c4fb7156de16d684c08f2d78
沪公网安备 31011502019485号
上海工商