校园网上的私有云(下)

编者按：新的一年，“高手论技”继续伴随大家前行，身处一线的你，就那些技术上最常遇到的故障、最需要解决的难题、最成熟的应用……都可以在此畅所欲言，各抒己见。是继续围观还是现身说法，新浪微群q.t.省略/264976，期待您的共同参与。

关于云计算的讨论早已经沸沸扬扬，各种互联网服务都在向“云”靠拢，云平台、云服务、云查杀、云端……各种大“云”小“云”雨后春笋般露出头角，似乎与云不沾边就已经落伍于时代。本刊也开辟过多期云计算辅助教学的专栏，但“云”的技术实现尤其是在校园网上的技术实现还未曾涉及。本期高手论将继续漫谈私有云。

应用沙龙

私有云漫谈

主持人：

邱元阳 河南省安阳县职业中专

嘉宾：

刘宗凡 广东省四会市四会中学

刘树明 广东省深圳市第二实验学校

第四届云计算中国峰会刚刚结束，而有关云计算的话题仍热度依旧。由于公有云的高昂代价和安全性缺陷，目前国内的云架构主要还是主打私有云。

今天你“云”了吗？

邱元阳：云计算通过大量的分布式计算机，经过网络将服务延伸到了我们生活的各个角落，不知不觉中，我们已经置身于云服务的包围中了。云存储、云查杀、云安全、云搜索、云终端……各种“云”的名词不断涌现，似乎我们的网络生活，无不与“云”密切相关。

刘树明：很多的“云”口号，其实并不关云计算的事，只是一种时尚和跟风。

邱元阳：概念泛化的结果，使得云服务包罗万象，基本上各种网络应用都被收纳于“云”的旗下。

刘宗凡：云计算普遍被认为是计算机、互联网之后的第三次重要革命，将对未来产生不可估量的影响。目前对云计算还没有一个完全统一的认识，标准尚未形成，各个企业有不同的定义。“云计算”的内涵还在不断发展，所以，中国与发达国家相比，在云计算方面虽然整体上落后一些，但大致仍处于同一起跑线上。正是因为这样，对于没有赶上前两次革命的中国，云计算更是充满了挑战和机遇。云计算将是中国高科技行业走向潮头的“最后的机会”。云计算带来的不仅仅是技术变革，更会是一场社会变革。

刘树明：但是，云计算是昂贵的。

刘宗凡：对于建设公有云来说，成本无疑是昂贵的。在今年3月13日，北京市与内蒙古自治区在北京饭店举行“京锡共建战略性新兴产业体系合作协议”签字仪式，共建云计算数据中心产业链的核心目标是：京蒙两地用5年左右的时间，建成500万台服务器规模的超大云计算数据中心，使内蒙古成为全球首屈一指的国际信息港，有力提升中国在全球云计算产业中的主导地位。合作协议全部项目总投资将达2000亿元。

刘树明：除了前期投资，云计算数据中心的资源消耗也是非常惊人的。以100万台服务器的规模计算，如果每台服务器的功耗为250W，使机器保持在正常温度工作需要的电量约为其功耗的1～2倍，以1倍计算，服务器功耗加降温功耗约500W，则一年需要耗电约为：100万×365×24×0.5=4380000000度，以工业用电每度1元计算，每年仅电费就将近50亿元。为了减少降温所需要消耗的能源，谷歌将其云计算数据中心部署在比利时寒冷的荒野（如下图），让其自然冷却。仅此一举就将为公司节约大量资金，且对环境的保护和能源的节约来说意义重大。

邱元阳：由此看来，我国面对云计算的机遇，既要迎头赶上，也要避免盲目建设，造成资源和能源的浪费。

刘宗凡：不过，云服务的使用是廉价的。

刘树明：是的。虽然建设、维护大型公有云非常昂贵，但我们对云服务的使用是按需取用的，如建设自来水厂和铺设水管等并不便宜，但我们却能使用到廉价的自来水。

刘宗凡：举个例子，《纽约时报》想把创刊后的1100万篇文章从TIF格式转换为PDF格式。这需要大量的计算，如果自建系统，可能需要几个月的时间，而且花费不菲，但是它租用亚马逊的云计算中心，短短24小时就完成了任务，耗资仅仅240美元。

邱元阳：正因为公有云建设的代价高昂，才有了私有云的发展空间。

是是非非私有云

刘树明：既然使用公有云的服务非常便宜，那么私有云还有存在的必要吗？

刘宗凡：云计算数据的处理和存储都在云平台上进行，计算资源的拥有者与使用者相分离已成为云计算模式的固有特点，由此而产生的用户对自己数据的安全存储和隐私性的担忧是不可避免的。具体来说，用户数据甚至包括涉及隐私的内容在远程计算、存储、通信过程中都有被故意或非故意泄露的可能，亦存在由断电或宕机等故障引发的数据丢失问题，甚至对于不可靠的云基础设施和服务提供商，还可能通过对用户行为的分析推测，获知用户的隐私信息。

刘树明：也就是说，除了使用代价，还要考虑信息安全性问题。

刘宗凡：可以说现在云计算的核心就是安全问题。数据安全对企业来说，就是它的生命。虽然云计算的核心就是保证数据的安全，但还是不能确保万一。对于企业来说重要数据的丢失或泄漏将涉及企业的生死存亡。因此，不少企业舍弃廉价的公有云服务，不遗余力建设自己的私有云。虽然私有云也无法做到绝对安全，但建立在防火墙后的私有云，它的稳定性、安全性、可靠性、服务质量、资源管理的便利性都比公有云更让企业放心。

邱元阳：不管公有云是多么强大、廉价，私有云都有其存在的价值。它将成为公有云的一个有益的补充，甚至比公有云有着更广阔的前景。

刘宗凡：较之通过Internet进行访问来提供给公众使用的公有云，私有云一般在防火墙之内，专为某企业提供运营服务，因此在安全性、法规遵从以及服务质量方面更加具有保障，也更加容易集成现有应用，降低运营成本。但是公有云使用成本更低，管理负担更轻，在容量分配等方面更具有优势。可以在私有云和公有云之间，通过一种混合云的方式，提供企业发展所需要的IT服务，没有必要把所有的应用全部构建在私有云中。对于有些应用而言，私有云成本过高，而且在安全、可靠性方面没有很高的要求，就适合使用公有云的服务。

刘树明：在我们可以了解到的IT信息中，私有云主要还是在企业中应用，学校的校园网上似乎还比较少见。

邱元阳：一方面，私有云的建设成本较高，尤其是采用现有大公司的成套解决方案时。如果自建，对于基础教育的中小学来说，人员与技术力量无法达到，一般也没有更多可以提供的云服务，但是对于高等院校和职业学校，它的优势却具有很大的吸引力。

刘宗凡：如果校园网的管理人员有能力自己建设私有云，它的代价将变得很低，而且基于虚拟化的应用在安全性和服务器节约以及硬件成本、运维成本上较之传统校园网都有非常大的优势。

邱元阳：如果私有云的技术壁垒被打破，会很快从企业普及到大学校园网，甚至中职学校的校园网，而且很可能会成为校园网络的趋势。

私有云的信息安全

刘树明：云计算存在着先天不足，那便是它的隐私与安全。云计算给信息安全带来了巨大的挑战，一方面计算和数据资源的集中化对信息安全提出了新的要求，另一方面云计算改变了传统的IT网络模式，传统的网络安全产品失去了部署位置。

刘宗凡：私有云的安全有这样几个核心问题：

1．身份与权限控制

在虚拟、复杂的环境下，如何保证自己的应用、数据依然清晰可控，使得身份与权限控制非常重要。

2．Web安全防护

用户使用云计算，以Web应用作为唯一的接口，各种Web攻击直接影响到私有云的发展。

3．虚拟化的安全

虚拟化是云计算最重要的技术支持之一，云计算和传统IT环境最大的区别就在于其虚拟的计算环境，使得其安全问题和以前相比更加难以解决。

邱元阳：云时代，大家更加关心的是云存储的安全性。华硕所倡导的企业私有云Turnkey Solution解决方案是目前全球唯一整合了云端平台、企业应用软件和服务器系统的完整方案，不但将数据储存于企业防火墙内，同时拥有SSL加密、智能云端数据过滤以及金融VIP安全等级的OTP动态密码身份认证、异地备援与多点机房架构，再加上AES数据加密机制，为用户提供了安全可靠的数据防护。另外，HP的私有云解决方案也是包括了软硬件和服务、安全在内的完整方案。

私有云的存储系统

刘树明：说到云计算，始终都绕不开存储这个基础支撑组件，dSaaS(data-Storage-as-a-Service)更是把存储提到了首要的位置。而从我们目前能得到的信息来看，现在越来越多的公司在云存储应用方面已经解决得相当好了，我能了解的国内的应用得比较好的公司就有金山（金山快盘）、迅雷（迅雷离线下载服务）和腾讯（文件中转站、QQ邮箱超大附件上传等）等公司。

邱元阳：云服务带来的一个重大变革是从以设备为中心转向以信息为中心，而大量的信息，需要海量的存储，存储容量的单位GB都显得有些不够用了，进而出现TB（TeraByte）、PB（PetaByte）、EB（Exa Byte）、ZB（ZettaByte）、YB（YottaByte）、NB（NonaByte）、DB（DoggaByte）等容量单位。2010年人类创造的数据总量约为1.2ZB。在私有云部署中，网络存储也是不可或缺的，校园网存储系统的容量一般在20TB左右就够用了。

刘宗凡：网络存储从结构上大致分为三种：直连式存储（DAS：Direct Attached Storage）、网络附着存储（NAS：Network Attached Storage）和存储网络（SAN：Storage Area Network）。

DAS也包括了SAS（Sever Attached Storage，服务器连接存储），其存储产品是作为计算机的附属部分，采用直接连接存储结构，如作为服务器的内部硬件驱动，是计算机系统中最常用的数据存储方法。

NAS采用直接与网络介质相连的特殊设备实现数据存储，这些设备都分配有IP地址，所以客户机可以直接访问或通过充当数据网关的服务器对其进行存取访问。NAS设备非常易于部署，适合数据的长距离传输，其基于网络的文件级锁定提供了高级并发访问保护的功能，因而很适于低成本的网络存储，如在校园网和办公自动化环境中的存储系统。NAS有文件操作和管理系统，其基本应用是文件和数据的共享。

SAN是指存储设备相互连接且与一台服务器或一个服务器群相连的网络，可以看作是通过网线连接的磁盘阵列，具备磁盘阵列的所有主要特征，如高容量、高效能、高可靠性等。SAN属于高性能的网络存储，安装容易、部署快速，对服务器要求低，具有更快的响应速度和更高的数据带宽，但只能独享数据存储池。

刘树明：从结构模型看，私有云的存储系统由以下四层组成。

1．存储层

存储层是云存储最基础的部分。存储设备可以是FC光纤通道存储设备，可以是NAS和iSCSI等IP存储设备，也可以是 SCSI或SAS等DAS存储设备。存储设备之上是一个统一存储设备管理系统，可以实现存储设备的逻辑虚拟化管理、多链路冗余管理，以及硬件设备的状态监控和故障维护。

2．基础管理层

基础管理层是云存储最核心的部分，也是最难以实现的部分。基础管理层通过集群、分布式文件系统和网格计算等技术，实现云存储中多个存储设备之间的协同工作，使多个存储设备可以对外提供同一种服务，并提供更大、更强、更好的数据访问性能。CDN内容分发系统、数据加密技术保证云存储中的数据不会被未授权的用户所访问，同时，通过各种数据备份、容灾技术和措施可以保证云存储中的数据不会丢失，保证云存储自身的安全和稳定。

这里非常值得一提的是Sun公司推出的非常优秀的开源文件系统ZFS，现在最新的版本已经升级到了2.8。它的优点大家都可以很容易在网络上查到，这里就不多说了，我感到非常惊异的是它的RAID-Z池的容错性能（注：RAID-Z包括RAID-Z1、RAID-Z2、RAID-Z3，分别容许1、2、3个硬盘损坏）。我们都知道RAID5阵列能在容许一块硬盘损坏的情况下尽量节省磁盘空间（可能会牺牲一些性能），我拿7块硬盘在FreeBsd9.0操作系统下面做试验时发现，它比RAID5更优异的性能是它在人为拔走一块硬盘的情况下，仍然可以读写数据（RAID5只能读不能写），只是整个Zpool的空间被减去了拔走的那块硬盘的容量而已。插回硬盘后，能够自动Resilvering（“缝合”的意思），恢复整个Zpool的功能和容量。

3．应用接口层

应用接口层是云存储最灵活多变的部分。不同的云存储运营单位可以根据实际业务类型，开发不同的应用服务接口，提供不同的应用服务。比如视频监控应用平台、IPTV和视频点播应用平台、网络硬盘应用平台、远程数据备份应用平台等。

4．访问层

任何一个授权用户都可以通过标准的公共应用接口来登录云存储系统，享受云存储服务。云存储运营单位不同，云存储提供的访问类型和访问手段也不同。

刘宗凡：实际上，上面这四层中的第一层相当于物理硬件，第二层相当于系统层，这两层除了云系统管理人员，一般的用户是看不到的。第三层是应用接口层，它为存储系统开放接口，提供对外的服务。这层对用户来说表面上也是不透明的，它通常是通过WEB2.0技术和第四层的访问层进行交互。我们可以使用网络抓包工具捕捉到它们的会话过程，不过它们的会话过程通常都经过了加密，我们只能监听到它们有会话动作，无法确定会话内容，更不能获取它们之间的通讯协议。第四层直接和终端用户进行交互，像金山快盘和迅雷就是通过客户端软件的形式面向用户，而腾讯的产品通常是通过在用户机器上安装WEB浏览器插件的方式向用户提供服务。

邱元阳：简单地看，虚拟化加集群再加网络存储，就构成了私有云的框架，而私有云中的各种应用和服务，还要依赖于存储系统。

刘树明：云存储不是要取代现有的磁盘阵列，而是为了应对高速成长的数据量与带宽而产生的新的形态的存储系统，因此云存储在设计时通常会考虑以下几点：

1．容量、带宽的扩容是否简便

扩容不能停机，会自动将新的存储节点容量纳入原来的存储池，不需要做繁杂的设定。

2．带宽是否线性增长

私有云要考虑未来带宽的增长，因此私有云存储产品设计的好坏会产生很大的差异，有些十几个节点便达到饱和，这样对未来带宽的扩容就有不利的影响，这一点要事先弄清楚，否则等到发现不符合需求时，已经买了几百TB，后悔就来不及了。

3．管理是否容易

腾讯公司的服务器数量超过了10万台，Google据说超过了100万台。我们学校这样的单位虽然说远远达不到这个数字，但是500～1000名教职工的学校还是有很多的。这些单位随着数据量的逐步增多，服务器增长到100台以上是很平常的事情，管理超过100台服务器的存储就是一项巨大的工作，一不小心就可能导致某些应用的崩溃。如果采用私有云方案，节约服务器数量的同时，使用网络存储系统，就可以把应用迁移到云存储，管理的就是一台存储，而不是100台甚至更多台存储。管理一台存储不容易出错，分别管理几百台要不出错就很难了。因此云存储的应用是一个必然的趋势，存储管理是否容易也应考虑。

邱元阳：实际上很多时候，我们在不知不觉中也使用了网络存储。除了各种网盘、网络空间、邮箱、网上相册等，就连在局域网教学环境中使用的微软的虚拟应用程序，实际上也是使用了网络存储，学生端不用专门安装软件，完全从服务器读取软件配置环境和程序。而“云端”系统则可以让我们直接从互联网上来使用各种绿色或“绿化”的软件（因为版权问题，这种形式还不能推广）。

刘宗凡：在校园网中建立云存储也是有必要的。我们平时有很多资料是大家都需要用到的，如常用软件（Windows安装盘，Office安装包之类）、视频、电影等，如果每个人要用的时候都去网上下载，几百名教职工就要下载几百份，这给校园网带来的外网带宽压力是非常巨大的，如果我们建立云端，将共享文件实行统一管理，并采用哈希摘要建立索引，自动查询用户需要的资料，优先使用私有云端现有文件库，就能大大减少外网压力，同时也能极大地节省用户远程下载所花费的时间。如果采用一些类似Samba的协议，允许用户直接打开云端文件，用户压根儿都不需要将一些大型资料下载到本机，更是大大节省了时间和硬盘空间。

结语

在第四届云计算中国峰会上，国家信息中心专家委员会主任宁家骏指出：“我们一定不能人‘云’亦‘云’，一定要化‘云’为雨。”建设不是目的，应用才是根本，化“云”为雨，让私有云真正为我们所用，为教育服务，才是我们的目标。