混合云内幕,第 4 部分: 实施注意事项

了解实施、治理和保护混合云所需的条件。本系列讨论混合云的优势、每个组件即服务 (XaaS)、无处不在的交付,以及智能工作负载管理 (IWM),IWM 提供了有效和安全地实现一切工作所需的功能。本文是混合云系列中的最后一篇文章。

Grace Walker, IT 顾问, Walker Automated Services

Grace Walker,伊利诺斯州芝加哥市 Walker Automated Services 的合伙人,是一个有丰富背景和广博经验的IT顾问。她曾在 IT 界包括电信、教育、金融服务以及软件等行业工作过,曾经担任过经理、行政人员、程序员、技术指导、业务分析师、产品分析师以及系统分析师等职务。



2012 年 7 月 16 日

混合云的实现有可能充满风险,这些风险可能会削弱您投资的真正价值,并可能让企业处于更加危险的境地。无论采用任何实现,让您的混合云启动运行均需要慎重考虑几个重要因素,以确保实现适当的功能、安全性和可靠性。为了让混合云有效地工作,必须拆除已建立的筒仓(silo),对业务服务管理 (BSM) 与 IT 服务管理 (ITSM) 提供一个共同的方法。它要求智能构造治理策略,以调节系统及其性能,同时保持严格的合规性。

通过实现 IT 即服务 (ITaaS),IT 已经成为一个真正的业务合作伙伴。这种实现需要将 IT 流程设计为具有以下特性:

  • 树立服务提供者的心态
  • 针对业务需求开发一个敏捷且响应快的方法
  • 作为访问云的网关,从而消除了导致软件即服务筒仓和云孤岛的情况
  • 承担安全与合规性合作伙伴的角色,不断评估和审核内部及第三方供应商的服务
  • 通过将 BSM 和 ITSM 策略延伸到云中,消除孤岛
  • 识别并重视对企业财务状况至关重要的经济驱动因素

最终,IT 必须成为企业的价值创造者,防止因在迁移到云的过程中没有良好的协调、监管和管理,云可能引起的混乱。同时,IT 必须基于创新和优化为业务价值的提升提供空间。在这条钢索上施展您的拿手绝活,将为企业带来巨大的价值。

混合云实现的关键阶段

对任何潜在问题的理解和规划,是一个混合云解决方案能够成功部署的关键。为了避免隐患,IT 和业务利益相关者必须紧密合作,清晰说明业务目标,准确地定义项目范围,并明确概述迁移指引。为了执行这些任务,实现团队必须仔细考虑迁移的多个方面,并确保所有利益相关者知情且达成一致意见。

在开始之前,请确保:

  • 描述解决方案所服务的业务需求
  • 记录作为迁移到云的动力的底层驱动因素(新的功能或应用程序,迁移现有解决方案)
  • 了解解决方案的真实性质(它是孤立工作,不是与其他系统配合)
  • 确定将使用新解决方案的用户的数量和性质,以及其潜在的支持和培训需求
  • 确定解决方案的实际成本,涵盖完整的生命周期,而不仅仅是实施
  • 根据按使用付费的新模型,计算对日常现金流的影响

实现过程应被组织为规划、执行、监控和评估阶段。在规划阶段,您应该确定关键业务驱动因素,界定业务目标,并概述项目计划。应建立一个由 IT 和业务利益相关者组成的团队,监督整个过程。在执行阶段,必须根据在规划阶段所建立的指引来实施计划,要保持警惕,以防止范围蔓延。一旦建立系统,就必须不断地监视和访问系统,以确保适当的性能和投资回报 (ROI)。


治理

混合云的治理必须解决与可用性、安全性与合规性有关的策略,同时与一般的 IT 目标和企业整体战略目标保持严格一致性。治理是一个策略制定的过程,旨在评估不断变化和发展的环境中的风险和机会。这些策略必须侧重于云服务和数据的交付及位置,以及在运行时跟踪和执行策略。

治理策略必须同时包括设计时和运行时治理。设计时治理侧重于开发阶段,主要关注内部的问题。运行时间治理所侧重的策略关注对访问、安全性、可以在内部和外部消费的服务性能进行监管。策略必须针对解决以下问题进行设计:

  • 基于角色的访问。建立控制,确定谁有权访问系统、他们可以执行什么操作,包括谁可以部署和管理云资产
  • 监控的指标。评估应用程序的性能和其他业务关键型的关键性能指标
  • 服务水平协议 (SLA)。为应用程序和底层基础架构建立水平标准
  • 服务质量。提供服务交付的基准

要管理混合云,您必须实现一个全面的框架,该框架由各种工具以及治理它们所使用的流程组成。在最后的分析中,最优的价值与实用工具的实现,取决于具体企业治理结构的部署效果。这对于从 IT 和相关的人力资源投资实现所需回报而言是关键。

非中介化

其中一个巨大的治理问题是非中介化(disintermediation)(绕过 IT)。云使得着急的和缺乏信息的 IT 或业务单元人员非常容易就能完全绕过 IT 去自己创建解决方案。承受着期限的压力,手握信用卡,有人就会向 Amazon 寻求计算能力,以便快速完成一个项目,一切看起来都很好。或者,业务单元需要目前在内部无法提供的软件,在该单元的人面临着最后期限,不接受任何借口,没有扩展的可能。他们会很快地向云求助,使用该软件,完成该项目,并交付。同样,一切看起来都不错。然而,他们已经在其组织的治理和安全之外的云中留下了痕迹。这是很危险的,并最终会造成破坏。此外,非中介化巩固了筒仓,并导致云孤岛的发展。最后,这种做法导致治理与合规性的混乱,向潜在的数据丢失以及恶意入侵敞开了大门。

对非中介化的解决方案不仅是精心制定的策略,还包括有效的沟通。为了消除非中介化,IT 必须提供一个经过批准的云服务供应商目录或组合,这些服务商已被审核批准,因此用户可以安全地访问他们。整个组织都必须有意识地坚持治理策略,在任何时候都接受 IT 作为网关的责任。记住,ITaaS 的目的是合作和推动。

变更管理

变更管理是另一个问题。您如何处理云中的变更管理?在您的防火墙后面,您可以根据整个组织理解和认同的时间表和日程表,控制应用程序升级的​​部署。在部署之前,您要进行测试,以确保升级或变更不会影响企业的运作。

当实现混合云时,您必须解决所有级别的版本控制,通过 SLA 和内部流程、基础结构和策略确保系统的可行性。重要的是使其成为 SLA 的一部分。在实现变更之前,必须有规则监管您和服务提供商都同意的这些变更。这些规则必须也包括多个版本的使用,以确保遗留应用程序的可行性。

数据管理

移动到云中的数据必须经过加密。加密防止服务提供商的工作人员以及流氓服务器获得对您的数据的访问权限。它也使得丢弃存储设备上的任何残余数据呈现为不可读。


网络连接性

混合云结合了服务和部署模型。当云是私有云时,企业和供应商都被包含在同一网络边界内。当云是公共云时,企业和供应商驻留在不同的网络中。在混合云中,企业网络可能需要扩展到供应商网络内,而供应商网络可能需要进入企业网络。底线是,企业和服务提供商都必须向另一方暴露其网络的一部分。为了满足混合云的新挑战,网络架构必须变得更加灵活,网络服务需要与位置分离,并且需要通过资源的抽象促进自动配置。

带宽

混合云的连接能力云服务的采用和持久使用的核心,而带宽则是一个关键的交付因素。带宽策略是至关重要的,因为数据价值的其中一个重要方面是其交付的及时性。

混合云需要带宽感知的系统。带宽必须立足于预期的数据量,而这可能很难计算,若被高估则会带来昂贵的成本。可扩展的带宽提供了解决方案,同时实现对网络资源的更高效利用。可扩展的带宽对需求变更迅速作出响应,而不必牺牲安全或架构的灵活性。

延迟

延迟也是一个连接性问题。当用户、应用程序和数据分布在全球各地时,您的应用程序的可靠性和性能可能会受到影响。当涉及到性能时,云和最终用户之间的毫秒级延迟有可能让您的业务付出昂贵的成本。最终用户期望能够快速获得结果,若他们没有得到结果,他们则会关闭窗口或离开。

在进行性能评估时,必须考虑云基础架构和网络。它们都发挥着重要的作用,就最终用户的认可而言,云部署的成功会依赖于这两个因素。由于物理定律不能被克服,而延迟是由距离以及跨路由器的跳数决定,重要的是,您要在云评估过程中尽早进行延迟问题的测试。为云基础架构选择适当的位置,这是第一步。侧重于缩短云与您最终用户之间的距离。这样做可以降低延迟,还可以提高应用程序的性能。当涉及到混合云和延迟,口头禅必须是位置,位置,位置

防火墙

防火墙也必须考虑。理想的方法是一个基于云的 Web 应用程序防火墙 (WAF)。基于云的防火墙是不可知的,并且不需要对硬件或软件进行更改以适应扩张。因为基于云的 WAF 是集中管理的,服务的所有租户之间共享威胁检测,从而带来更高的检出率,以及较低的误报。服务随着您的需求一起增长和扩张,并提供一个弹性的和可扩展的解决方案。当移动设备和远程通信的使用被放进组合中时(更不用提增加您自己的设备交付),就能很容易就能看到,对防火墙管理负担在成倍增加。


访问控制

综合的身份识别和访问管理 (IAM) 是混合云获得成功的重要标准。IAM 除了在保护数据中发挥作用之外,它也是满足严格合规性的关键。合规性不仅要求您显示谁已被授予访问,以及围绕角色的安全性,它也要求跟踪用户被授予访问后所执行的操作。

安全信息和事件管理 (SIEM) 技术可用于提高 IAM 的用户和角色管理。与单独使用 IAM 相比,SIEM 支持更广泛的异常监测和审计功能,并为您的日志和报告提供一致的界面。

这个方法在组织或经济结构需要发生变化时也提供了优势。今天,在经济和业务模式的变化往往非常快。身份驱动的云提供更高的业务流程可见性,让您可以收集实时的、事件驱动的信息,这有利于方向的迅速变化,同时对职责分离提供一个明确的视图。

多租户

实现混合云意味着您的企业可能会处于一个多租户环境中。多租户 是在多个租户之间实现资源(如计算、存储和网络)的共享。在这种情况下,企业必须确保其信息及系统访问密钥的安全性。为了保证在多租户环境中正确地管理安全性,您必须调查服务提供商,了解它如何组织情况。例如,在多租户环境中,租户都无权允许访问或知道分配给其他租户的资源的存在。您必须知道该安全性如何实现,并验证其实现方法是有效的。

在一个多租户环境使用的安全性必须是基于角色的。必须有一个安全的管理功能,在分配资源的同时不会向服务提供商的管理员透露任何资源内容。管理员必须能够建立和部署,以及分配更多资源,但不能允许管理员执行单一租户环境的功能。

企业管理员也必须是基于角色的。企业管理员必须能够为企业分发管理和访问角色。

VPN 隧道

为了保护混合云中的数据,在私有云和公共云服务之间使用虚拟专用网络 (VPN) 隧道。VPN 隧道有助于实现安全连接,以及使用一个名称和密码来访问大量云资产。VPN 通信使用 Internet 等普遍可用的资产作为移动混合云数据的手段。该过程采用加密的访问模式和安全套接字层 (Secure Sockets Layer) 协议的双密钥加密。

记住,您所使用的访问控制并不只是与用户有关。您的云供应商也可以访问您的服务器,所以您必须确保它遵循您所制定的访问策略。


结束语

混合云是最具成本效益和最高效的手段,让企业能够对如今市场上的快节奏变化作出快速反应。它提供的 ROI 是单独使用内部解决方案所无法实现的。这个模式所新带来的风险可以通过适当的治理和监督来减轻。本文是这一混合云系列文章的结尾篇。感谢您抽出时间一直关注本系列。

参考资料

学习

获得产品和技术

讨论

  • 加入 developerWorks 中文社区。查看开发人员推动的博客、论坛、组和维基,并与其他 developerWorks 用户交流。

条评论

developerWorks: 登录

标有星(*)号的字段是必填字段。


需要一个 IBM ID?
忘记 IBM ID?


忘记密码?
更改您的密码

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件

 


在您首次登录 developerWorks 时,会为您创建一份个人概要。您的个人概要中的信息(您的姓名、国家/地区,以及公司名称)是公开显示的,而且会随着您发布的任何内容一起显示,除非您选择隐藏您的公司名称。您可以随时更新您的 IBM 帐户。

所有提交的信息确保安全。

选择您的昵称



当您初次登录到 developerWorks 时,将会为您创建一份概要信息,您需要指定一个昵称。您的昵称将和您在 developerWorks 发布的内容显示在一起。

昵称长度在 3 至 31 个字符之间。 您的昵称在 developerWorks 社区中必须是唯一的,并且出于隐私保护的原因,不能是您的电子邮件地址。

标有星(*)号的字段是必填字段。

(昵称长度在 3 至 31 个字符之间)

单击提交则表示您同意developerWorks 的条款和条件。 查看条款和条件.

 


所有提交的信息确保安全。


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=Cloud computing
ArticleID=826451
ArticleTitle=混合云内幕,第 4 部分: 实施注意事项
publish-date=07162012