无资产支出
更敏捷
无限的规模
提升资源利用率
客户可控制的迁移(镜像可迁移)
弹性(业务峰值时可以弹性支出,峰值过后,可以回收)
按用量付费
卷存储:虚拟磁盘
裸存储:存储阵列柜
保护云基础设施:
无资产支出
更敏捷
无限的规模
提升资源利用率
客户可控制的迁移(镜像可迁移)
弹性(业务峰值时可以弹性支出,峰值过后,可以回收)
按用量付费
卷存储:虚拟磁盘
裸存储:存储阵列柜
保护云基础设施:
云计算基础设施安全:openstack
基本基础设施-责任由云提供者承担
虚拟基础设施-责任在消费者这(虚拟机管理程序):QM,
管理平面-管理后台
控制器:API服务器、消息队列、数据库
网络:SDN管理器、DHCP、安全组
计算:虚拟机管理程序
存储:卷管理、裸存储
所有的这些核心组件都需要安全的配置、打补丁、加固和维护
加固主机(WAF/IPS/停掉不必要的服务)、加固基础设施服务(多做副本、负载均衡、VPC)、安全网络、加固管理平面(登陆多因素认证)
Iaas基础网络:管理网络、存储网络、服务网络
实现物理隔离
SDN 软件定义网络:可以实现有效的安全屏障、实现了控制平面与底层硬件的解耦OpenFlow,几乎所有的实现都支持api,不需要考虑硬件、无兼容性问题
数据转发和控制分离将基础硬件与业务实现分离, 其硬件仅负责数据转发和存储 , 因此可以采用相对廉价的通用设备构建网络基础设施。且将控制与转发分离后,更利于网络的集中控制,使得控制层获得网络资源的全局信息,并根据业务需求进行资源的全局调配和优化,例如流量工程、负载均衡等。
爆炸半径BOOM:使用多账户隔离控制
虚机导致网络可见性缺失,可以把网络流量路由到物理网络上
堡垒网络/账号混合
SDP 软件定义边界
最小化对限制弹性或性能的虚拟设备的依赖
保护计算工作负载:
不可变基础设施
尽可能利用不可变的工作负载
管理平面安全:身份验证、访问控制、日志/监控
DRP/BCP:混沌工程是随机关掉一些server,看是不是会影响到整个网络