第2章云计算标准与新技术_开源云计算：部署、应用、运维-QQ阅读男生玄幻网

上QQ阅读APP看书，第一时间看更新

第2章云计算标准与新技术

2.1 走近云计算标准

2.1.1 国内主流标准

在国内，工业和信息化部自2009年以来已将推动和促进云计算技术研发、产业发展和标准化工作作为重点工作内容之一，并及时组织中国电子技术标准化研究所（CESI）、全国信息技术标准化技术委员会SOA标准工作组和工业和信息化部信息技术服务标准（ITSS）工作组启动了云计算相关技术和服务标准的预研和规划工作。一方面研究国际标准工作情况，调研国内云计算应用及标准化的需求，基于此研究梳理我国的云计算标准体系和产业急需的产业标准；另一方面积极参与国际各种标准化组织的标准化工作，以提升我国在国际云计算标准化工作中的参与度，促进国内云计算标准工作和国际标准的协调发展。

对于制定国内云计算标准，从2014年9月份发布的《信息安全技术云计算服务安全能力要求》（GB/T 31168—2014）开始，工业和信息化部、国家标准化管理委员会等每年都会发布相关的云计算标准。截至2020年5月，现行的我国国家云计算标准共36项，覆盖了云计算架构、安全、应用、技术指标、采购服务等领域。

“信息技术云计算”系列标准涵盖范围广，包含从基础名词的定义到技术层次的接口规范，主要的标准信息如下：

《信息技术云计算概览与词汇》（GB/T 32400—2015）发布于2015年12月，正式实施于2017年1月1日。主要规范了云计算基本定义、概念以及相关专业词汇，是现行最基础的标准。

《信息技术云计算参考架构》（GB/T 32399—2015）发布于2015年12月，正式实施于2017年1月1日。主要规范了云计算平台以及平台建设的参考架构，重点从用户视图、功能视图讲解云架构以及两种视图之间的关系。

《信息技术云计算平台即服务（PaaS）参考架构》（GB/T 35301—2017）发布于2017年12月，正式实施于2017年12月29日。主要规范了云计算平台PaaS层的参考架构，重点从用户视图、功能视图讲解云架构以及两种视图之间的关系。

《信息技术云计算虚拟机管理通用要求》（GB/T 35293—2017）发布于2017年12月，正式实施于2018年7月1日。主要规范了：

1）虚拟机基本管理：兼容、隔离、封装以及硬件独立性；

2）虚拟机生命周期管理，包括虚拟机基本操作、资源池基本操作、模板操作、镜像操作和存储管理；

3）虚拟机配置与调度管理：包含配置管理和调度管理两个方案；

4）虚拟机监控与告警管理：包括虚拟机监控管理、告警管理以及系统日志管理；

5）虚拟机可用性和可靠性：包含可用性管理要求和可靠性管理要求；

6）虚拟机安全性管理要求：包含权限控制、访问控制和数据保护。

《信息技术云计算平台即服务（PaaS）应用程序管理要求》（GB/T 36327—2018）发布于2018年6月，正式实施于2019年1月1日。主要提出来PaaS应用程序的管理流程，并且规定了这些程序的一般要求和管理要求，主要内容：

1）一般要求：PaaS客户管理员和PaaS用户的定义、分工和能力要求；

2）应用程序管理流程：包含开发、部署、运行和迁移4个阶段；

3）应用程序管理要求：包含开发、部署、管理、获取、迁移各个阶段的详细规范要求。

《信息技术云计算云服务运营通用要求》（GB/T 36326—2018）发布于2018年6月，正式实施于2019年1月1日。该标准给出了云服务总体描述，规定了相关云服务提供商在人员、流程、技术及资源方面应具备的条件和能力。

云服务分为IaaS、PaaS、SaaS三种模式，三种模式具备层次管理。外部服务特征包含按需服务、弹性、可计量、网络依存性四种；内部服务特征包含：

1）以人员管理、岗位结构和人员技能构成的人员因素；

2）以运营管理层、运维操作构成的流程要素；

3）以资源池化技术、计量技术、监控技术、调度技术和多租户技术构成的技术要求；

4）以基础设施资源和支撑环境构成的资源要素；

5）以安全保障技术、安全管理和安全性要求构成安全相关特征。

《信息技术云计算云服务级别协议基本要求》（GB/T 36325—2018）发布于2018年6月，正式实施于2019年1月1日。该标准给出了云服务级别协议的构成要素，明确了协议管理要求，并提供了协议中的常用指标。

CLSA（CloudService Level Agreement，云服务级别协议）明确了云服务相关的范围、内容、服务级别等。CLS的管理包括CSLA框架的设计、CLSA的签订、CLSA的执行、CLSA的评审和CLSA的变更。

CLSA的要素包含必备要素（云服务客户、云服务提供者、服务内容、服务期限、服务时间、服务级别等级、SLO/SQO、服务交付物、责任和义务、违约责任、保密要求）和可选要素（第三方、服务优先级、变更管理流程、服务交付相关流程、资源条件、争议解决机制、服务考核要求、服务费用和支付、知识产权、通知和送达）。

CSLA的管理流程包含：设计流程、签署流程、执行流程、评审流程、变更流程。

本系列其余标准见表2-1。

表2-1 “信息技术云计算”系列其他标准

（续）

“信息安全技术云计算”系列标准由全国信息安全标准化技术委员会提出和归口管理。包含云计算服务安全能力要求、云计算服务安全指南、云计算服务安全能力评估方法、云计算安全参考架构、云计算服务运行监管框架、政府网站云计算服务安全指南6个现行的实施标准，主要标准信息为：

《信息安全技术云计算服务安全能力要求》（GB/T 31168—2014）发布于2014年9月，正式实施于2015年4月1日。该标准面向服务商提出了为政府部门提供服务时应具备的安全能力：

1）明确了云环境的安全责任主体，包括IaaS、PaaS、SaaS三种模型下的安全分工界面；

2）提出了安全措施的作用范围，包括针对于整个平台的通用安全措施、针对于特定应用的专用安全措施和混合使用的混合安全措施；

3）将安全要求划分为10类：系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员和物理与环境保护，并针对每一类安全要求提出了详细的细项分类和分级要求标准；

4）明确了云服务商的安全计划标准。至少包括针对每个应用或服务的系统拓扑、系统运营单位、与外部系统的互连情况、云服务模式和部署模式、系统软硬件清单和数据流。

《信息安全技术云计算服务安全指南》（GB/T 31167—2014）发布于2014年9月，正式实施于2015年4月1日。该标准面向政府部门，提出了实验云计算服务时的信息安全管理和技术要求：

1）明确了云计算的概念、优势、安全风险和风险管理措施；

2）为云服务商的选择和运行监管提供了参考标准。

《信息安全技术云计算服务安全能力评估方法》（GB/T 34942—2017）发布于2017年11月，正式实施于2018年5月1日。该标准适用于第三方评估机构，规定了云计算安全服务评估的原则、实施过程以及针对各项具体安全要求进行评估的方法，也可以供云服务商自评参考，主要包含以下内容：

1）评估原则：客观公正、可重用、可重复和可再现、灵活、最小影响及保密；

2）评估内容：主要对系统开发与供应链安全、系统与通信保护、访问控制、配置管理、维护、应急响应与灾备、审计、风险评估与持续监控、安全组织与人员和物理与环境保护等安全措施实施进行评估，并提出了详细的评估方法，基本评估办法为访谈、检查和测试；

3）评估依据：对评估结果起到佐证作用的任何实体，包括但不限于各种文档、图片、录像、录音、实物等，所有评估结果都必须有相对应的证据支持；

4）评估过程：主要包括评估准备、方案编制、现场实施和分析评估四个阶段。

《信息安全技术云计算安全参考架构》（GB/T 35279—2017）发布于2017年12月，正式实施于2018年7月1日。该标准适用于所有云计算参与者在进行云计算系统规划时对安全的评估和设计，主要包含以下内容：

1）解释了云计算的参与角色，包括云服务商、云服务客户、云审计者、云代理者和云基础网络运营者并明确了他们各自的安全职责；

2）提出了云计算的安全挑战，包括宽带网络接入、客户对数据中心的可视性及控制力度、动态的系统边界、多租户、数据保密性、自动部署与弹性扩展；

3）提供了云计算安全参考架构以及云计算参与角色在其中的定位。

《信息安全技术云计算服务运行监管框架》（GB/T 37972—2019）发布于2019年8月，正式实施于2020年3月1日。该标准确定了云计算服务运行监管框架，规定了安全控制措施监管、变更管理监管和应急响应的内容及监督活动，适用于对政府部门、重点行业和其他事业单位的云计算服务的运行监管。

《信息安全技术政府网站云计算服务安全指南》（GB/T 38249—2019）发布于2019年10月，正式实施于2020年5月1日。该标准给出了政府网站采用云计算服务中各种参与角色的安全职责，适用于指导采用云计算服务的政府机构的网站安全保障建设。主要内容包括规划准备、部署迁移和运行管理三部分的安全规划和实施标准。

《基于云计算的电子政务公共平台总体规范》《基于云计算的电子政务公共平台管理规范》《基于云计算的电子政务公共平台技术规范》和《基于云计算的电子政务公共平台安全规范》系列标准由国家质量监督检验检疫总局、国家标准化管理委员发布，由工业和信息化部（通信）归口管理。该系列标准适用于电子政务公共平台，并详细规范了服务质量要求、系统架构、功能性能、数据管理、信息资源安全等领域的实施标准，标准内容见表2-2。

表2-2 电子政务公共平台相关标准

（续）

2.1.2 常见性能指标

针对云计算平台的性能测试，是基于云平台系统的物理基础，并遵循系统的核心工作流程在物理平台上展开并发访问，从而详细评估云平台的性能标准的测试。

1）CPU使用率：CPU就绪时间（RDY）是云计算平台主机性能的重要指标之一，该指标表示多个虚拟CPU（vCPU）访问物理CPU的等待时间。每个vCPU等待被调度时间的百分比（%RDY）在0%~10%区间时，系统可以正常工作，如果该指标超过10%，需要结合其他指标综合分析，采取调优措施来改善虚拟机的性能。

2）内存使用率：虚拟机消耗云平台主机物理内存量即为主机内存开销，主机内存状态（State）表示主机内存占用情况，当主机可用内存等于或少于6%，表示主机无法满足内存需求。至少要有10%的物理内存值，如果可用物理内存值一直很小，说明计算机总的内存可能不足，或某程序没有释放内存。活动内存指标、内存膨胀指标和内存交换指标都是标志内存性能的关键指标。

3）虚拟网络：网络性能监控一般检查网络数据包的大小、数据接收和数据传输的速度等。虚拟网络性能还需要考查同一虚拟网段内虚拟机之间的通信，跨虚拟网段的虚拟机之间的通信，以及虚拟机通过虚拟网关与外网之间的通信。

4）虚拟存储I/O：由于网络和存储设备与其他租户共享，性能比本地磁盘更加不稳定。一般使用单位时间内系统处理的I/O请求数量（IOPS）度量虚拟存储读写性能，I/O请求通常为读或写数据操作请求。随机读写频繁的应用，IOPS是关键衡量指标。

5）磁盘：一般通过磁盘读/写所用时间百分比（%DiskTime）计数器监控磁盘用于读写操作所占用的时间百分比，通过磁盘队列长度计数器监控等待进行磁盘访问的系统请求数量。

6）网络性能：网络带宽一般使用吞吐量来度量，表示在一次性能测试过程中网络上传输的数据量的总和。判断网络连接速度是否是瓶颈，可以用吞吐量指标值和目前网络的带宽进行比较。

2.1.3 可信云认证体系

1.可信云认证背景介绍

可信云认证是由我国的数据中心联盟、云计算开源产业联盟组织、中国信息通信研究院（信通院）测试评估的面向云计算服务产业的认证体系。可信云认证的核心目标是建立云服务商的评估体系，为用户选择安全、可信的云服务商提供支撑，并最终促进我国云计算市场健康、有序发展，是我国唯一针对云计算信任体系的权威认证体系，也是国际标准之一。

可信云认证包括云主机服务、对象存储服务、在线应用服务等11部分，具体测评内容包括三大类共16项，分别是：数据管理类（数据存储持久性、数据可销毁性、数据可迁移性、数据保密性、数据知情权、数据可审查性）、业务质量类（业务功能、业务可用性、业务弹性、故障恢复能力、网络接入性能、服务计量准确性）和权益保障类（服务变更、终止条款、服务赔偿条款、用户约束条款和服务商免责条款），基本涵盖了云服务商需要向用户承诺或告知的90%的问题。可信云服务认证将系统评估云服务商对这些指标的实现程度，为用户选择云服务商提供基本依据。

可信云服务评估体系已日臻成熟，在政务、金融、通信、工业、物联网五大行业开展评估，评估内容涵盖了基础云服务、私有云软件、开发运维、安全及风险管理能力、混合云、行业云、开源治理能力等众多领域。可信云评估体系的系列标准及评估结果已经成为政府支撑、行业规范、用户选型的重要参考。

2.可信云认证的国际化

云计算服务认证的目的主要是规范市场竞争行为，为云计算资源采购和用户选择提供依据。鉴于云计算服务认证的重要性，自2011年起，包括美国、英国、日本、韩国、德国在内的多个国家都展开了云计算服务市场的相关认证工作，其中，日本、韩国和德国的云计算服务认证与我国市场需求接近，因此它们的探索和经验对我国云计算服务认证的开展具有非常重要的借鉴意义。

（1）日本：云服务信息披露认证

云服务信息披露认证指的是云服务商必须公开认证体系要求的必选信息，通过对这些信息的评定，可以简单有效地反映云服务的安全性和可靠性，从而量化、可视化结果。日本开展云服务信息披露认证的主要目的是培育市场，以帮助云服务使用者选择更好的云服务提供商。从具体的认证机制来看，日本的云服务信息披露认证主要依托两大组织展开：FMMC（多媒体通信基金会）与ASPIC（ASP-SaaS产业会社）。两者各有分工，FMMC负责接待认证企业，组织专家评审，颁发证书；ASPIC则负责认证标准和证书管理。同时，该认证还得到日本MIC认证的支持。

云服务信息披露认证具体内容涵盖服务和供应商基本信息两部分。服务部分包括基本特征、应用、平台、服务器、网络、机房安全性、服务支撑（服务的保证、连续性）等。供应商基本信息认证包括：商业基本信息、人员情况、财务情况、资本关系、组织结构等。日本云服务信息披露：认证主要针对ASP-SaaS、IaaS-PaaS以及数据中心这三种云服务进行评估。由于起步较早，ASP-SaaS认证已经成为日本云服务提供商向用户出示的认证标准之一。

（2）韩国：质量、性能、安全三大认证

韩国的云计算服务认证从服务质量、设备性能、安全三大方面展开。

在具体的认证机制上，韩国云服务认证的运营主体是第三方中立机构——韩国云服务协会（KCSA），该认证还受到韩国通信委员会（KCC）的支持。

在服务质量上，韩国云计算服务认证主要关注稳定性和连续性；在设备性能上，可扩展性和互操作性是关键指标；在安全性上，数据管理能力将得到认证。

（3）德国：可信云计算服务质量认证

可信云计算服务质量认证是德国互联网协会经欧洲云计算协会授权，牵头开发制定的云计算认证体系。该体系适用于整个欧洲的云计算认证。可信云计算服务质量认证体系拥有多个参与方，分别是德国联邦信息技术安全局、欧盟标准化委员会、欧洲认证组织（ECO）专家、云计算服务供应商、毕马威、财政金融交易方面的专家、自然科学研究机构等。

可信云计算服务质量认证包括云计算平台认证和基础设施5星级认证两项。在基础设施5星级认证中，认证方通过星级来区分云计算服务商的服务质量以及基础设施的安全水平：2星之下的，表示没有合格，产品只能用于测试，不能接入SAP（企业管理解决方案）系统；从3星开始，表明基本满足各方面的要求；4星表明操作运营过程做得比较好，也采取了质量保证措施；5星表明在基础设施上有很高的安全性。