升級學(xué)校云系統(tǒng)

我們學(xué)校要根據(jù)目前學(xué)生互聯(lián)網(wǎng)在線學(xué)習(xí)、教師教學(xué)資源電子化、教學(xué)評價過程化精細(xì)化的需求，計劃升級為云教學(xué)系統(tǒng)。請同學(xué)們根據(jù)學(xué)校發(fā)展實際考慮云交付模型包含哪些？云部署采用什么模型最合適？請具體說明。

9月3日

買電腦還是租電腦

A公司有20人，行政人員5人，科研和技術(shù)人員15人?，F(xiàn)接手一個大工程，15天完成，需要100臺服務(wù)器運行15*24小時，不間斷計算。

討論：A公司小王，建議買100臺電腦，也可以解決后期辦公用。小李建議到B公司接100臺（租用）。會產(chǎn)生搬運費和租金。你有什么建議？

建議到B公司租用電腦，1、公司人員少，僅有20人，體量在互聯(lián)網(wǎng)行業(yè)很小，是初代企業(yè)，開源節(jié)流才能長遠發(fā)展，購買100臺電腦的費用對于小公司來說十分高昂2、大工程的機遇不會經(jīng)常遇到，如果選擇購買，完成項目的利潤會遠遠大于支出，況且也有可能無法滿足工程要求，導(dǎo)致合作終止3、100臺電腦對于20人來說，遠遠超出解決后期辦公問題

阿里雙十一

思考：阿里為了雙十一，為淘寶系統(tǒng)配置了大量服務(wù)器、帶寬網(wǎng)絡(luò)資源等，非雙十一時期計算壓力小，資源浪費嚴(yán)重。如何解決此類問題？

答：成立阿里云服務(wù)器網(wǎng)絡(luò)資源團隊，使其商業(yè)化、國際化

阿里解決這個問題的方法是，活動前在云計算平臺快速申請資源，構(gòu)建新的單元、部署應(yīng)用與數(shù)據(jù)庫。然后將流量與數(shù)據(jù)“彈出”到新的單元，快速提升系統(tǒng)容量。當(dāng)活動結(jié)束后，再將流量與數(shù)據(jù)“彈回”，釋放云計算平臺上的資源。

網(wǎng)絡(luò)堵塞直接原因

思考：最早期12306購票系統(tǒng)，春運購票死機——網(wǎng)絡(luò)堵塞。分析直接原因。

網(wǎng)站架構(gòu)有缺陷，大規(guī)模并發(fā)事務(wù)無法解決，服務(wù)器訪問量過多，系統(tǒng)過載。

9月10日

1.組織邊界

說明組織邊界：云服務(wù)用戶組織邊界，云服務(wù)(云提供者)組織邊界。

p31

組織邊界(organization?boundary)是一個物理范圍，包括由一家組織擁有和管理的IT資源的集合。組織邊界不表示組織的實際邊界，只是該組織的IT資產(chǎn)和IT資源。類似地，云也有組織邊界。

2.公有云、社區(qū)云、私有云和混合云

p41

云部署模型表示的是某種特定的云環(huán)境類型，主要是以所有權(quán)、大小和訪問方式來區(qū)別的。有四種常見的云部署模型：

公有云

社區(qū)云

私有云

混合云

公有云

公有云(public?cloud)是由第三方云提供者擁有的可公公訪問的云環(huán)境。公有云里的IT資源通常是按照事先描述好的云交付模型提供的，而且一般是需要付費才能提供給云用戶的，或者是通過其他途經(jīng)商業(yè)化的(例如廣告)。

云提供者負(fù)責(zé)創(chuàng)建和持續(xù)維護公有云及其IT資源。

圖4-17給出了公有云的部分視圖，重點突出了市場上的一些主要廠商。

社區(qū)云

社區(qū)云類似于公有云，只是它的訪問被限制為特定的云用戶社區(qū)。社區(qū)云可以是社區(qū)成員或提供具有訪問限制的公有云的第三方云提供者共同擁有的。社區(qū)的云用戶成員通常會共同承擔(dān)定義和發(fā)展社區(qū)云的責(zé)任。社區(qū)云的成員不一定要能夠訪問或控制云中的所有IT資源。除非社區(qū)允許，否則社區(qū)外的組織通常不能訪問社區(qū)云。

圖4-18?一個由多個組織組成的社區(qū)訪問社區(qū)云中的IT資源

私有云

私有云是由一家組織單獨擁有的。私有云使得組織把云計算技術(shù)當(dāng)做一種手段，可以集中訪問不同部分、位置或部門的IT資源。當(dāng)有私有云處于受控的環(huán)境中時，3.4節(jié)中描述的問題都不適用。私有云的使用會改變組織和信任邊界的定義和應(yīng)用。私有云環(huán)境的實際管理可以是由內(nèi)部或者外部的人員來實施的。

采用私有云時，一家組織從技術(shù)上講既可以是云用戶又可以是云提供者(圖4-19)。

混合云

混合云是由兩個或者更多不同云部署模型組成的云環(huán)境。例如，云用戶可能會選擇把處理敏感數(shù)據(jù)的云服務(wù)部署到私有云上，而將其他不那么敏感的云服務(wù)部署到公有云上。這種組合就得到了混合部署模型(圖4-20)。

公有云是第三方所有的，通常向云用戶組織提供商業(yè)化的云服務(wù)和IT資源。

私有云是僅被一家組織所擁有的，并且位于該組織的范圍之內(nèi)。

社區(qū)云一般只能被一組共享擁有權(quán)和責(zé)任的云用戶訪問。

混合云是兩種或多種云部署模型的組合。

其他云部署模型

虛擬私有云

互連云

3.IaaS、PaaS和SaaS三種云交付模型

p35

云交付模型(cloud?delivery?model)是云提供者提供的具體的、事先打包好的IT資源組合。公認(rèn)的和被形式描述了的三種常見云交付模型是：

基礎(chǔ)設(shè)施作為服務(wù)

平臺作為服務(wù)

軟件作為服務(wù)

基礎(chǔ)設(shè)施作為服務(wù)

基礎(chǔ)設(shè)施作為服務(wù)Iaa

S交付模型是一種自我包含的IT環(huán)境，由以基礎(chǔ)設(shè)施為中心的IT資源組成，可以通過基于云服務(wù)的接口和工具訪問和管理這些資源。這個環(huán)境可以包括硬件、網(wǎng)絡(luò)、連通性、操作系統(tǒng)以及其他一些“原始的(raw)”IT資源。與傳統(tǒng)的托管或外包環(huán)境相比，在IaaS中IT資源通常是虛擬化的并打包成包，IaaS環(huán)境一般要允許用戶對其資源配置和使用進行更高層次的控制。IaaS提供的IT資源通常是未配置好的，管理的責(zé)任直接落在云用戶身上。因此，對創(chuàng)建的基于云的環(huán)境需要有更高控制權(quán)的用戶會使用這種模型。

平臺作為服務(wù)

平臺作為服務(wù)PaaS交付模型是預(yù)先定義好的“就緒可用”(ready-to-use)的環(huán)境，一般由已經(jīng)部署好的和配置好的IT資源組成。特別地，PaaS依賴于使用已就緒(ready-made)環(huán)境(也主要是由此定義的)，設(shè)立好一套預(yù)先打包好的產(chǎn)品和用來支持定制化應(yīng)用的整個交付生命周期的工具。

軟件作為服務(wù)

軟件作為服務(wù)SaaS通常是把軟件程序定位成共享的云服務(wù)，作為“產(chǎn)品”或通用的工具進行提供。SaaS交付模型一般是使一個可重用云服務(wù)對大多數(shù)云用戶可用(通常是商用)。SaaS產(chǎn)品是有完善的市場的，可以處于不同的目的和通過不同的條款來租用和使用這些產(chǎn)品。（圖4-13）。

4.云提供者，云用戶，云服務(wù)擁有者

云提供者

云提供者(cloud?provider)就是提供基于云的IT資源的組織機構(gòu)。

云用戶

云用戶(cloud?consumer)是組織機構(gòu)(或者人)，他們與云提供者簽訂正式的合同或者約定來使用云提供者提供的可用的IT資源。

云服務(wù)擁有者

在法律上擁有云服務(wù)的個人或者組織稱為云服務(wù)擁有者(cloud?service?owner)。云服務(wù)擁有者可以是云用戶，或者是擁有該云服務(wù)所在的云的云提供者。

eg:云X的云用戶或是云X的云提供者可以擁有云服務(wù)A（圖4-2和圖4-3）

9月17日?第5章云使能技術(shù)

1.你第一次使用的網(wǎng)絡(luò)是什么時候，請做一個簡單描述。

小學(xué)，注冊qq郵箱，發(fā)送郵件，發(fā)送郵件很漫長對方才能接收到！

2.列舉4種以上網(wǎng)絡(luò)設(shè)備

交換機 、 路由器 、防火墻、 網(wǎng)橋 、 集線器 、 網(wǎng)關(guān) 、VPN服務(wù)器、 網(wǎng)絡(luò)接口 卡（NIC）、 無線接入點 （WAP）、 調(diào)制解調(diào)器 、 5G基站 、 光端機 、光纖收發(fā)器、光纜。

3.數(shù)據(jù)中心需要的關(guān)鍵技術(shù)有哪些？

虛擬化

標(biāo)準(zhǔn)化與模塊化

自動化

遠程操作與管理

高可用性

安全感知的設(shè)計、操作和管理

配套設(shè)施

計算硬件

存儲硬件

網(wǎng)絡(luò)硬件

其他考量

9月24日?第6章基本云安全

1.基本術(shù)語和概念

保密性

保密性(confidentiality)是指事物只有被授權(quán)才能訪問的特性。在云環(huán)境中保密性主要是關(guān)于對傳輸和存儲的數(shù)據(jù)進行訪問限制的。

完整性

完整性(integrity)是指未被授權(quán)方篡改的特性。

真實性

真實性(authenticity)是指事物是由經(jīng)過授權(quán)的源提供的這一特性。這個概念包括不可否認(rèn)性，也就是一方不能否認(rèn)或質(zhì)疑一次交互的真實性。

可用性

可用性(availability)是指在特定的時間段內(nèi)可以訪問的和可以使用的特性。

2.風(fēng)險管理的主要工作

p76

在評估與采用云相關(guān)的可能的影響和挑戰(zhàn)時，云用戶被鼓勵進行一個正式的風(fēng)險評估，作為風(fēng)險管理的策略的一部分。用于增強戰(zhàn)略、戰(zhàn)術(shù)安全和風(fēng)險管理的循環(huán)執(zhí)行過程是由一組相互協(xié)調(diào)的監(jiān)管和控制風(fēng)險的活動組成。主要的工作通常是風(fēng)險評估、風(fēng)險處理和風(fēng)險控制。

風(fēng)險評估(risk?assessment)——在風(fēng)險評估階段，要分析云環(huán)境，識別出威脅可能會利用的潛在的漏洞和缺陷。云提供者可能會被要求提供過去在它的云中發(fā)生的(成功或不成功的)攻擊。根據(jù)發(fā)生的概率和對用戶計劃使用基于云的IT資源的影響的程度，對識別出來的風(fēng)險進行定量和定性。

風(fēng)險處理(risk?treatment)——在風(fēng)險處理階段設(shè)計的風(fēng)險減輕策略和計劃意在成功地處理在風(fēng)險評估階段發(fā)現(xiàn)的風(fēng)險。有些風(fēng)險可以消除，有些可以減輕，還有一些可以通過外包或者甚至加入保險或運營損失預(yù)算中。云提供者本身也能同意把責(zé)任作為合同義務(wù)的一部分。

風(fēng)險控制(risk?control)——風(fēng)險控制階段是與風(fēng)險監(jiān)控相關(guān)的，含有一個三階段處理過程，包括調(diào)查相關(guān)的時間，審閱這些事件來決定前期評估和處理的有效性。確認(rèn)是否需要進行策略調(diào)整。根據(jù)所需監(jiān)控的本質(zhì)，這個階段可以由云提供者進行或與云提供者一同進行。

10月15日

1.虛擬化與透明化

云計算中有兩個概念“虛擬化”技術(shù)、“透明化”技術(shù)，請進行概念性比對區(qū)別。

虛擬化，是指通過虛擬化技術(shù)將一臺計算機虛擬為多臺邏輯計算機（對計算機物理資源的抽象，實現(xiàn)資源的模擬、隔離和共享）。在一臺計算機上同時運行多個邏輯計算機，每個邏輯計算機可運行不同的操作系統(tǒng)，并且應(yīng)用程序都可以在相互獨立的空間內(nèi)運行而互不影響，從而顯著提高計算機的工作效率。

虛擬化是一種資源管理技術(shù)，打破實體結(jié)構(gòu)的不可分割的障礙，可以對數(shù)據(jù)中心的所有資源進行虛擬化和管理，可以實現(xiàn)服務(wù)虛擬化、存儲虛擬化、網(wǎng)絡(luò)虛擬化和桌面虛擬化！所謂透明，是指對使用者來說是透明的，感覺不到加密存在，當(dāng)使用者在打開或編輯指定文件時，系統(tǒng)將自動對加密的數(shù)據(jù)進行解密，讓使用者看到的是明文。保存數(shù)據(jù)的時候，系統(tǒng)自動對數(shù)據(jù)進行加密，保存的是密文。而沒有權(quán)限的人，無法讀取保密數(shù)據(jù)，從而達到數(shù)據(jù)保密的效果。

在計算機中，虛擬化英語：Virtualization是一種資源管理技術(shù)，是將計算機的各種實體資源，如服務(wù)器、網(wǎng)絡(luò)、內(nèi)存及存儲等，予以抽象、轉(zhuǎn)換后呈現(xiàn)出來，打破實體結(jié)構(gòu)間的不可切割的障礙，使用戶可以比原本的組態(tài)更好的方式來應(yīng)用這些資源。所謂透明，是指對使用者來說是透明的，感覺不到加密存在，當(dāng)使用者在打開或編輯指定文件時，系統(tǒng)將自動對加密的數(shù)據(jù)進行解密，讓使用者看到的是明文。

2.負(fù)載均衡器

請解釋負(fù)載均衡器的作用和實現(xiàn)機理。

水平擴展的常見方法是把負(fù)載在兩個或更多的IT資源上做負(fù)載均衡，與單一IT資源相比，這提升了性能和容量。負(fù)載均衡器(load?balancer)機制是一個運行時代理，其邏輯基本上就是基于這個思想的。除了簡單的勞動分工算法(圖8-5)，負(fù)載均衡器可以執(zhí)行一組特殊的運行時負(fù)載分配功能：

非對稱分配

負(fù)載優(yōu)先級

上下文感知的分配

負(fù)載均衡器被程序編碼或者配置成含有一組性能和QoS規(guī)則與參數(shù)，一般目標(biāo)是優(yōu)化IT資源的使用，避免過載并最大化吞吐量。

負(fù)載均衡器的機制可以是：

多層網(wǎng)絡(luò)交換機

專門的硬件設(shè)備

專門的基于軟件的系統(tǒng)(在服務(wù)器操作系統(tǒng)中比較常見)

服務(wù)代理(通常由云管理軟件控制)

負(fù)載均衡器通常位于產(chǎn)生負(fù)載的IT資源和執(zhí)行負(fù)載處理的IT資源之間的通信路徑上。這個機制可以被設(shè)計成一個透明的代理，保持對云服務(wù)用戶不可見，或者設(shè)計成一個代理組件，對執(zhí)行工作負(fù)載的IT資源進行抽象。

3.時間戳

請解釋“時間戳”的作用和實現(xiàn)機理。

時間戳是字符或編碼信息的序列，用于標(biāo)識何時發(fā)生特定事件，通常給出日期和時間，有時精確到幾分之一秒。時間戳就是一份能夠表示一份數(shù)據(jù)在一個特定時間點已經(jīng)存在的完整的可驗證的數(shù)據(jù)。

客戶端在向服務(wù)端接口進行請求，如果請求信息進行了加密處理，被第三方截取到請求包，可以使用該請求包進行重復(fù)請求操作。如果服務(wù)端不進行防重放攻擊，就會服務(wù)器壓力增大，而使用時間戳的方式可以解決這一問題。

防篡改：一般使用的方式就是把參數(shù)拼接，當(dāng)前項目 AppKey，雙方約定的“密鑰”，加入到 Dictionary 字典集中，按 ABCD 順序進行排序，最后在 MD5+加密?？蛻舳藢⒓用茏址驼埱髤?shù)一起發(fā)送給服務(wù)器。服務(wù)器按照上述規(guī)則拼接加密后，與傳入過來的加密字符串比較是否相等。

防復(fù)用：上面的方式進行加密，就無法解決防復(fù)用的問題，這時需要在客戶端和服務(wù)端分別生成 UTC 的時間戳，這個 UTC 是防止你的客戶端與服務(wù)端不在同一個時區(qū)，然后把時間戳 timestamp 拼在密文里就可以了。

時間戳服務(wù)工作流程:

用戶對文件數(shù)據(jù)進行Hash摘要處理;

用戶提出時間戳的請求,Hash值被傳遞給時間戳服務(wù)器;時間戳服務(wù)器對哈希值和一個日期/時間記錄進行簽名,生成時間戳;時間戳數(shù)據(jù)和文件信息綁定后返還,用戶進行下一步電子交易操作；

當(dāng)您使用WoSign的微軟代碼簽名證書對電腦文件進行數(shù)字簽名時,會提示您添加WoSign免費提供的時間戳URL:http://timestamp.digicert.com,WoSign的時間戳服務(wù)器會反簽名附上簽名時間(請注意:不是您的電腦時間,是WoSign時間戳服務(wù)器上的格林威治標(biāo)準(zhǔn)時間換算成您電腦設(shè)置的時區(qū)的當(dāng)?shù)貢r間)；

您可以右擊查看已經(jīng)簽名的文件屬性,如下圖 2 所示,與其他電腦文件不同的是,屬性中增加了"數(shù)字簽名"屬性,顯示了簽名人姓名、電子郵件和簽名時間戳,點擊詳細(xì)信息:

不僅可以查看簽名人的簽名證書所有信息,還可以查看反簽名人信息,也就是時間戳服務(wù)簽名信息以及反簽名證書信息,反簽名人：WoSign Time Stamping Signer.這樣,用戶才會確信此文件確實是來自簽名人和簽名時的時間,因為簽名人的真實身份是通過權(quán)威的第三方 WoSign 認(rèn)證的。

（于 2023-02-26 21:35:10 發(fā)布）文章來源地址http://www.zghlxwxcb.cn/news/detail-771259.html