开发者学堂课程【企业上云攻略-阿里云网络产品应用系列教程:混合云安全和限制】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/573/detail/7925
混合云安全和限制
基本内容
一、混合云的安全注意事项
二、阿里云混合云的解决方案-云上灾备中心
三、混合云的限制
四、总结
五、思考题
一、混合云的安全注意事项
随着越来越多的企业开始采用混合云的价格,因为都感觉到混合云比较重要,数据私有、公有需要区分一下,可以把重要的放在云上,不重要的放到外面去,那么在这个里面,就需要考虑到几个下面一些安全注意事项。下面大概总结了一下,一共是五个层面,这五个是最重要的安全注意事项。
1、数据合规性
第一个就是数据的合规性,要确保对数据相关的政策法规,要有充分的了解,尤其一些特殊行业,特殊行业的话,国家有一些法律法规会对这些数据有一些特定要求。
2、跨云策略管理
第二个跨云策略管理,私有数据中心的安全策略不能直接转移到公有云上,混合云是整个网络中对安全策略进行统一配置和维护的,就需要注意一下公有云和私有云它们的策略,因为比如说企业一开始搭建的是私有云,那么后来可能会选择购买公有云,然后组建混合云。那么私有云,使用的比较成熟,做大量一些安全策略。那现在使用公有云,把安全策略直接推到公有云上,这是不行的,因为这里面它们的特性决定了它们是不能通用的。像公有云上好多的数据,是放在互联网上,而且有一些是由公有云的提供商来提供的,所以说要考虑到了他们一个特殊性。
3、数据泄露
第三个数据泄露,对于混合云原来说必须谨慎考虑,数据存储的位置是,前面是说可以把私密的数据放云上。那么哪些不是私密的?这个要区分清楚,就行业自己来考虑哪些数据放入公有云,有哪些数据放私有云,防止数据的泄密。
4、数据加密
第四个数据加密,在静止时进行加密,是保护数据的最佳方式,在云之间进行迁移的数据也要注意到数据的加密,比如说数据,它会有静止状态和流动状态;静止状态就放在某个地方,比如说放在公司内部,或者放在阿里云上,这时候需要把它给加密一下;那么在企业的话,一定要确保一下在迁移的时候也要保证数据来讲,比如说数据是放在私有云的,现在想往公有云上复制或者说迁移,也要保证数据的加密性。
5、可扩展性
第五个可扩展性,在开发混合云的安全策略的时候,企业需要考虑的最后一个注意事项是确保所有的安全工具过程和实践都是能够扩展,就这些所有这些策略,包括工具都要都能增长的,因为混合云不是一成不变的,不像私有云搭建完多少做多少,以后的话可能会扩展,但是扩展的话都是在控制范围之内的,真正很方便的。但是公有云就不好说了,因为扩展是通过公有云加私有云扩展出来,有很多不可控的东西,所以说在这里面需要社保一下,所有的安全工具,包括过程都是可以增长的。
那么现在来学习一下具体的阿里云的混合云的一些解决方案-云上灾备中心。
二、阿里云混合云解决方案-云上灾备中心。
1、方案简介
阿里云的混合云的一些解决方案-云上灾备中心可以通过一些方式来提高数据的一些安全性,那么为了解决在不可控的业务的连续性的问题,持续地将用户应用和数据复制到灾备数据中心。当无法提供服务的时候,可以在灾备数据中心来启动,继续提供服务。
2、图示说明
在如下图片里面,主要是左边,是企业内部用户的数据中心,数据中心里面有虚拟服务器,包括共享存储、包括物理服务器、包括数据库的服务器通过网关。这个网关可以通过专线接入或者智能接入网关的方式来接入,就是阿里云当中也会有一些数据,这是搭建一个云上灾备中心。什么叫做灾备呢?本地提供主要的业务。作为主数据中心,一旦本地这边出现故障了,跟着把云上的数据拉起来,云上的起开器、云上作为备用中心。这里需要注意一下,它要持续的来抓取到服务器的数据,因为不可能说云上的数据是固定,因为本身数据是在更新的,如果说云上的数据是以前老的数据,那现在虽然可以把业务抓起来,但是数据是不是差距太大了?它需要抓取这个数据,放到云端上来保证它们数据的一致性。那么在这里面支持各类企业的应用,把 RPO/RTO 的使用者可以达到5级容灾的标准,满足的大部分企业用这些容灾需求。
3、RPO/RTO
上面提到的两个词语,懂网络的可能没听过这两个词,懂存储都会听过 RPO/RTO 这两个主要是作为容灾的一个参考标准,RPO 叫做恢复点目标,当 RPO 等于零的时候可以做到零数据,就是程序之间数据一模一样,一边是旧数据,而那边还是最新的数据,这种行为叫做 RPO。RTO 叫做恢复时间目标,当主数据中心出现故障的时候,用户灾备数据中心可以把它解散。那这个时间是多久?时间越短越好,业务中断是越短,RTO 也可以叫做业务中断时间,它叫做恢复时间目标,那么如果也做到为零的话,就可以做到零中断了,但是这个是比较难的,RPO/RTO 是有容灾的,到时候可以找一下相应的标准,这是服务混合云的一种的诉讼方案,通过专线的一种方式记录下来,接到云企业网当中。
那么再往下学习的话,还有就是混合云备份和容灾方案。
4、混合云备份和容灾方案
(1)混合云备份和容灾。如下图左边的就是备份,右边的是容灾。
(2)备份的 RPO/RTO 都会比较大,备份是什么?相当于把数据备份一份,但数据发生丢失了,再把它还原回来,在还原这个数据时候,中断时间肯定短不了,而且备份肯定是历史的数据,一天备份一次,但数据可能会只有一天的数据,备份的这种方式它的成本是比较低的,每天备份一次,备份把数据放到云端上,这个没什么太大的成本。
(3)混合云的容灾,容灾两个数据中心云上、云下各有一套,像刚才介绍的云下正常,用云上的先留着,当云下出现故障,再把云上起来,那么首先两边都是一整套的,其次数据要保证一致,而且在云上要购买大量时间用,不像备份,只需要购买一个十年的空间就够了,其他东西都可以不用买,反正只要备份,如果数据丢了,再把它还原回来继续用。但是容灾和备份不一样,容灾在线上和线下都要搭建银行,那这个成本要高很多。右边的是容灾,混合云里的容灾,云上云下的备份数据,可以看到它是实时上云的,要随时随地的传到云端上去。如下图所示:
5、混合云的安全
混合云的安全介绍了两个安全,一个备份,一个容灾。这两种都可以保政府关于数据安全。那么网络安全其实网络里面,安全也不是说不要考虑好多,在向各种连接方式已经考虑到了,项目的前面提到 VPN 品网关、智能接入网关包括项目的专线,VPN 网关都是加密的,专线是私有的,所有的更不用考虑它的安全性。但是还需要考虑到什么呢?多种连接方式做一个备份,项目前面介绍混合云的组网方案的时候,一般都是单一的介绍某一种,采用专线的接入、采用的这个 VPN 网关接入、采用的智能接入网关接入,实际上的话,在这里面还要考虑到如果一种连接方式出故障,可能会考虑使用备用方案,这种和容灾有一点类似,有点像网络层面的,对网络做一下费用的链路。那么需要注意混合云的有哪些使用限制呢?下面进行讲解。
三、混合云的限制
1、高速通道(专线接入)的问题主要体现
下面来学习一下混合云,用户在使用中遇到一些限制。高速通道(专线接入)的问题受限于一个人是受服务商这些约束需要改动网络的。不同的地区接入的时候服务商会可能不一样。高昂的组网成本,这个价钱是比较贵的,费用比较高。成本的话高一些,增加了企业的负担,企业可能需要花费大量的一些费用在组网上面。那么高昂的组网成本,这是专线接入的问题。如图:
2、VPN 网关接入
首先要注意,它便宜是好处,但是最大的问题现在向客户端接入,需要在主机上安装客户端、安装软件的;那么每次要接入云端都需要启动软件,利用软件的方式来接入。那么这个对于用户需求技能方面需求是比较高一些,要懂一些计算机的知识,能够完成这些配置。那么站点接入需要配置路由器或防火墙。需要在网关设备上来配置 IPsec-VPN 接入版,把它配完以后需要专业的管理员维护路由器,这也是一个问题。这是 VPN 网关。企业当中能具备这个条件,有专门的管理员,而且用户都会用软件,那可以选择这种方式。如图:
3、 混合云其他方面的挑战
除了前面常见的一些问题以外,混合云可能会涉及下面的几个问题,一个是资源的一些配置。资源的配置情况,资源组存放一些位置资源,该怎么来进行存放?该怎么进行使用?资源方面、资源配置部分、资源配置方面是考虑会比较多的地方。除了这个以外还会考虑到一些安全性,安全性在混合云考虑最多的数据,数据该怎么放?先放在本地、先放在线上、放在哪?前面两个都还好,资源配置线下、线上该怎么可以用的一些东西、线下有多少、线上有多少?包括安全性。账号管理和计费是比较麻烦的,收费方面:像私有云,搭建是不收费的,但是成本也有,电费、水电这些费用是要花的。但是一直全力投入,所以说尽量呢,能用线下更好,而且线下速度更快,线上的收费,那什么时候用线上的资源、什么时候用线下的资源?要考虑到的这个收费方面的事,费用方面包括像一些账号的管理、这些账号的管理也需要考虑到收费是一个帐号。这些都是后面使用混合云的时候,需要考虑到这些问题。
4、讨论
客户选择高速通道(物理专线)的方式接入阿里云的服务构建混合云架构,物理专线该如何选择呢?比如说物理专线的该怎么选?
稍微提示一下,需要考虑到宽度、延迟、稳定性等等。这时候考虑到以后,如果说对于效率比较高,可以选择专线的方式接入。因为专线它的成本方面会比较高一点,但是它的安全稳定性会有优势形成规模的。需要注意,在选择的时候啊,就是租用线路,要考虑到的像所有的光纤连接,还有带宽,还有网络的一些性能等等,都需要考虑到,还有阿里云里面的人 VPC 的规划。就哪些地方需要规划VPC。包括像VPN网关接入也需要单独给接入一个 VPC 。
四、总结
这一章的内容主要介绍了混合云的概念,混合云架构的优势,包括混合云的场景以及VPN网关构建混合云、智能接入网关构建混合云、高速通道构建混合云、云企业网如何构建混合云。最后还说了一下组合方式构建的混合云。
五、思考题
提出了几个思考题。第一个什么是混合云的架构?私有云、公有云、混合云,把这三个特点描述一下?为什么要用到混合云?第二个就是混合云的优势,为什么要用到它?使用私有云可以,公有云可以使用,为什么还要有混合云?描述一下如何构建混合云的一些架构,包括多种方式、物理专线,包括备份网关,包括智能接入网关,包括云企业网这几个,要理清楚它们在整个混合云网络架构中所承担的角色,包括在何种情况下选择何种接入方式以及它们的各自的优缺点。