内容


评论专栏

通过 WebSphere CloudBurst Appliance 拥有自己的云和方法

Comments

系列内容:

此内容是该系列 # 部分中的第 # 部分: 评论专栏

敬请期待该系列的后续内容。

此内容是该系列的一部分:评论专栏

敬请期待该系列的后续内容。

便捷性和合规性

就个人而言,如果可能,我宁愿提供实时演示。但是,实时演示总是伴随着风险,因此,在最近执行的一个针对 1000 人的主题演讲中的一个三分钟演示单元中,我决定使用一个预先录制的演示。毕竟,这有什么错呢?

我的演示接近主题演讲的末尾,我的笔记本和演示已在演示台上准备就绪。我关闭了我的屏幕保护程序,以便轮到我时一切都将准备就绪。当我登台进行我的演示时,我看了看我的笔记本,立即发现了一条消息,该消息来自我们的 IBM 安全实用工具,告知我禁用我的屏幕保护程序违反了一个策略。

这是公司为验证 IT 策略合规性而建立的程序和流程的一个多么刻板的提醒程序啊!

公司限制系统上允许的操作,必要软件的要求,以及那些程序的配置准则 — 更不用说规定那些程序可以执行和禁止执行的操作了。我确信,对于 IBM 在我们在这个领域的流程中拥有份额,您肯定不会感到惊讶,但是我知道,你们中的许多人拥有与 IBM 类似、甚至可能更严格的要求。你们中的有些人还负责建立和实施这些准则。

那么,云计算如何适应您的现有流程和过程呢?云有作用吗?您需要为此做出多大改变?

在与采用 IBM WebSphere CloudBurst 的客户的合作过程中,我们看到使用 WebSphere CloudBurst 采用私有云在合规性控制方面带来了一些益处,当然还有传统的云计算益处,比如降低硬件和管理成本以及提高灵活性。通过分阶段实现云计算和重用大量现有资产,许多公司实现了这些益处。

使用 WebSphere CloudBurst 控制云

我们使用 WebSphere CloudBurst 的目标是使您轻松采用 WebSphere CloudBurst,以便将您的 WebSphere 环境作为一个预置(on-premise)私有云进行创建、部署和管理。实现这个目标意味着不强制执行无法接受的变革。从一开始,我们就做出了一些设计决策,帮助您将 WebSphere CloudBurst 集成到您的现有流程中。例如,我们的 “带上您自己的云(bring-your-own-cloud)” 设计点能够支持使用现有硬件资源,而不是需要一个新的大额资本支出。我们的设计支持多级定制,包括定制映像、构造自己的多映像模式、以及引入现有脚本。我们发布的 WebSphere CloudBurst V2.0.0.2(2010 年 10 月)使用环境配置文件特性添加了额外的部署控制。

下面,我们就来看看这些功能如何用于对您的云部署提供控制,并展示迁移到私有云的益处的一些示例。

可以建立几个不同的控制领域,其目的可以是为了实现 IT 策略合规性,也可以只是为了通过一致性和可重复性来减少成本。这些控制领域包括控制内容、控制配置、控制部署和控制用户。

控制内容

通过创建存储在 WebSphere CloudBurst 目录中的自定义映像,可以轻松控制部署的内容。使用扩展和捕获选项来添加内容,比如监控代理和安全合规性检查实用工具。这个特性支持确保您的云中部署的每个映像都包含特殊的内容。WebSphere CloudBurst 提供一个对比,以便查看在父映像和扩展后的映像之间更改的文件。

扩展/捕获功能提供一种简单的方法来定制 IBM 提供的虚拟机监控程序(hypervisor)映像的内容。即使在 IBM 内部,我们也不能在我们的内部网(intranet)中部署 “vanilla” IBM WebSphere Application Sever Hypervisor Edition 映像,因为该映像在开箱即用情况下并不能满足所有的 IBM 特定安全标准。IBM 只是在多个防火墙后面的隔离网络上执行开箱即用虚拟机监控程序版本映像的测试。但是,由于 WebSphere Application Server 测试团队希望在没有额外防火墙限制的情况下利用 WebSphere CloudBurst 来对应用程序服务器进行功能测试和系统测试,因此他们将扩展/捕获功能用作注入必要的合规性的一种技术。

我们的客户由于相似的原因而使用扩展/捕获功能,其中包括要将他们的各种监控代理注入映像。我们还有一些客户使用扩展/捕获功能来从映像中移除他们的环境中不需要的内容。

控制配置

要控制部署配置,可以使用 WebSphere CloudBurst 模式编辑器来创建模式。需要指定要部署的一个或多个映像,还需要指定配置参数。要完全控制配置,可以在模式中指定一些配置值并在参数上使用 “锁” 来防止修改。要进一步控制,可以向 WebSphere CloudBurst 在每次模式部署过程中都将执行的模式添加一些自定义脚本。这些脚本也可以包含一些可以锁定的参数,从而实现一致性。

模式提供了一种强大的方法来为您的自定义部署模式创建自助服务环境。WebSphere Application Server 测试团队定义了一组模式,那些模式与它们的标准测试拓扑相对应;测试团队还在他们的模式中包含了一些脚本,以便将应用程序部署到那些拓扑上。测试团队还有一些脚本,用于在创建 VMs 时将其注册到 IBM 的合规性数据库,并在删除 VMs 时取消注册,后者与前者同样重要。

我们的客户正在标准化模式,设计数量有限的跨环境公共模式。而且,客户还在使用模式脚本和参数来针对特定数据库和目录服务器配置预安装软件,以及在企业监控服务器上注册 VMs 并取消注册。

控制部署

在 WebSphere CloudBurst 中控制部署的方式是:建立多个不同的云组,从而以物理方式分隔底层硬件资源。这种方式实现了以下三方面控制(可选):在物理上不同的几个资源池上分隔不同的组织;分隔开发和测试;当然还有,分隔不同的虚拟机监控程序,比如 VMware ESX 和 PowerVM™。

WebSphere Application Server 测试团队将他们的云资源分区为 3 个池:一个用于自助服务测试访问;一个用于自动回归测试;一个独立池用于特殊活动,比如性能测试。另外,测试团队自动化了一个向云添加和从云删除虚拟机监控程序的流程,从而跨物理和虚拟测试台共享这些硬件资源。

我们的客户对他们的开发和测试云使用类似的技术;但是,许多客户要求对部署(特别是针对生产环境)进行额外的控制。例如,一些用户想为每个虚拟机指定确切 IP 地址,而不是让 WebSphere CloudBurst 从他们预先建立的池中选择 IP 地址。环境配置文件功能提供了这种额外控制。

环境配置文件向分配给虚拟机的 IP 地址、以及用于命名虚拟机的命名约定(可选地)提供部署时间控制。可以针对不同的环境(比如开发、测试和生产)建立和应用不同的配置文件。另外,环境配置文件提供一个更灵活的联网配置,支持跨不同的云组部署单个模式。

图 1 展示了一个测试环境的环境配置文件规范示例,其中虚拟机名称以 “uat” 开始,IP 地址由模式部署者在部署时提供,模式能够跨越多个云组。

图 1. 环境配置文件示例
图 1. 环境配置文件示例
图 1. 环境配置文件示例

控制用户

除了需要控制映像内容、配置和部署外,还需要控制用户的权限。为此,WebSphere CloudBurst 同时提供了角色和细粒度访问控制功能。

首先,WebSphere CloudBurst 角色在宏观层面上规定了用户可以执行的特定任务。例如,有一些预定义的角色负责管理、创建目录内容、创建模式、以及部署模式。这支持创建具有以下权限的用户:只能部署模式,但无权向映像添加内容、添加脚本或修改模式。这对于限制用户能够在云中部署的内容方面非常有效。另外,可以对每个映像和每个模式应用不同的细粒度访问控制,控制能够读取资产的用户和能够编辑资产的用户。这进一步支持对特定用户的权限进行强有力的控制。还可以对能够部署到不同云组的用户应用访问控制。

我们的客户同时利用基于角色的权限和细粒度访问控制。大部分用户还配置 WebSphere CloudBurst 来使用一个现有 LDAP 目录进行用户身份验证。WebSphere Application Server 测试团队仅对少数几个用户授予创建内容和模式的权限。使用自助服务环境的测试员只有权部署模式,细粒度访问控制只允许他们查看一小部分针对他们的使用专门创建的已定义模式。这确保测试社区进行可重复的、合规的部署。

结果

那么,这些控制有效吗?WebSphere Application Server 测试团队案例是一个 经受考验的成功案例。首先,该团队不再违反安全规范。通过 WebSphere CloudBurst 实现和提供的自动化总是提供合规的部署。除了合规性,测试团队还从 WebSphere CloudBurst 受益良多。他们极大地加快了部署速度(从 3 小时减少到 18 分钟),大大减少了部署问题。他们将硬件利用率从不到 10% 提高到平均 60%,从而降低了管理和实用工具成本。第一年就直接节约了 500,000 美元,实现了 210 万美元的灵活性收益。参见 参考资料 部分了解更多信息。

IT 合规性流程是企业的一个重要组成部分,迁移到云并不会降低其重要性。一旦您使用 WebSphere CloudBurst Appliance 采用云计算,就能利用扩展/捕获、模式和脚本、访问控制、以及 2.0.0.2 环境配置文件等特性,随意控制部署用户、部署内容和部署位置。您不仅能够实现需要的控制,还能降低管理成本和提高灵活性。

现在,返回演示台......

顺便提一下,您可能想知道:我能否在向观众演示之前消除安全警告。我在关闭我的屏幕保护程序时没有遇到麻烦 —— 至少是当时没有遇到麻烦。


相关主题


评论

添加或订阅评论,请先登录注册

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=10
Zone=WebSphere, Cloud computing
ArticleID=619032
ArticleTitle=评论专栏: 通过 WebSphere CloudBurst Appliance 拥有自己的云和方法
publish-date=01272011