榮新IT培訓(xùn)機(jī)構(gòu)的首席信息官?gòu)堢谠朴?jì)算分論壇里做了主題演講
張琦在發(fā)言中提到���,私有云為何而來(lái)?這個(gè)話題咱們把云拋開����,先看看管理的一個(gè)場(chǎng)景�����,那么我們有一個(gè)同學(xué)�,有一個(gè)學(xué)員也是在視頻的網(wǎng)站,后來(lái)兩家網(wǎng)站合并了����,成了比較大的視頻網(wǎng)站�����,他現(xiàn)在服務(wù)器的容量,虛擬化之前兩千九百臺(tái)��,虛擬化之后一千八左右�����,兩家公司合并大家自己算����,這算是虛擬化最大的一個(gè)數(shù)據(jù)中心,數(shù)據(jù)虛擬化一個(gè)百分比達(dá)到了80G���,這個(gè)是國(guó)內(nèi)已經(jīng)最高了�。那么����,我們占在這些主機(jī)的面前,在想虛擬化��,想著為什么來(lái)實(shí)現(xiàn)虛擬化��,為什么要建立一個(gè)私有云?因?yàn)槲覀冊(cè)谠瓉?lái)會(huì)有很多成本,會(huì)花在買基礎(chǔ)的硬件上��,構(gòu)建一些軟件的創(chuàng)新上面���,這個(gè)時(shí)候大家會(huì)發(fā)現(xiàn)我們的成本比例跟現(xiàn)在不太一樣��,虛擬化之后的比例不太一樣�,虛擬化之后我們看到我們會(huì)把很多的錢拿出來(lái)做創(chuàng)新����,這也是大家想老板在想,所以你跟他只要去談���,我們能得到什么樣的收益��,那么這個(gè)虛擬化項(xiàng)目��,或者私有云的項(xiàng)目會(huì)被他很容易的所接納�����,但是實(shí)際上并不是這樣����,我們實(shí)際上把這個(gè)錢花到了認(rèn)為是虛擬化能夠帶的利益里面,把前期的設(shè)備投進(jìn)去了����,但遇到了更多的問(wèn)題,就是運(yùn)維管理和安全管理的成本問(wèn)題��。
在一些企業(yè)當(dāng)中����,尤其是一些幾年前在做游戲的公司��,他們消耗的IT成本在哪?90%消耗在運(yùn)維的部分��,這些成本拉動(dòng)了�,應(yīng)該是拖住了企業(yè)創(chuàng)新的步伐,也就是說(shuō)我用一個(gè)例子�����,大家說(shuō)虛擬化云計(jì)算���,那么會(huì)很節(jié)省人力�����,那么節(jié)省人力為什么這么多的公司在招IT運(yùn)維管理人員?很簡(jiǎn)單我們可以看到互聯(lián)網(wǎng)你招很簡(jiǎn)單的����,就是這種大一點(diǎn)的運(yùn)營(yíng)公司。你可以發(fā)現(xiàn)他����,他招監(jiān)控的人一招是50、100����,這個(gè)例子對(duì)我們特別好,因?yàn)槲覀冏雠嘤?xùn)很容易人員就出去了�����,60%以上花在了運(yùn)維這塊���。
但實(shí)際上云平臺(tái)能給大家?guī)?lái)什么樣的優(yōu)勢(shì)呢?全新的交付后來(lái)也會(huì)講���,這些交付這面的數(shù)據(jù)中心不說(shuō),幾年前大家一說(shuō)就是奔亦莊走����,這些交付流程多么復(fù)雜��,可能你從來(lái)沒(méi)有細(xì)細(xì)的自己去數(shù)�����,他有幾十個(gè)環(huán)節(jié)����。再一個(gè)就是競(jìng)爭(zhēng)的運(yùn)維方式��,集中化管理����,我們想一個(gè)問(wèn)題�����,前幾天做的��,做的一個(gè)策劃案是誰(shuí)的?也別說(shuō)公司名稱了��,他們?cè)谧龈邫n的家具一體化的服務(wù)營(yíng)銷�,全國(guó)應(yīng)該有29家或者到30家��,他們會(huì)每個(gè)門店做什么呢?做桌面虛擬化�����,他想的是把所有的這種桌面的系統(tǒng)�,集中到總部或者說(shuō)門店的服務(wù)器當(dāng)中�����,做完虛擬化以后減少運(yùn)維的這種管理的成本�,實(shí)際上他在做的時(shí)候會(huì)做到很多意想不到的問(wèn)題,會(huì)有新的方案來(lái)解決�����,但是我們不可否認(rèn)����,真正把所有的數(shù)據(jù)集中到一起管理的時(shí)候,他只要能夠提供安全�����、穩(wěn)定���、高效這三個(gè)環(huán)節(jié)如果你能夠滿足�,他確確實(shí)實(shí)是完成了一種質(zhì)的飛躍,是在整個(gè)IT運(yùn)維歷史上一種從未有過(guò)層面��。
我們舉一個(gè)電源的例子�����,企業(yè)IT運(yùn)維原來(lái)有需要20個(gè)電源���,五臺(tái)服務(wù)器�����,咱們現(xiàn)在算十臺(tái)��,一臺(tái)服務(wù)器兩個(gè)���,十臺(tái)服務(wù)器二十個(gè)電源���,后來(lái)簽到一個(gè)虛擬機(jī)上有兩個(gè)電源就可以����,服務(wù)器利用會(huì)提到80%以上。原來(lái)服務(wù)器單獨(dú)購(gòu)買一臺(tái)�����,如果是光口會(huì)買一個(gè)光傳輸?shù)?�,為這些服務(wù)器在虛擬化之后�����,實(shí)際上這臺(tái)服務(wù)器已經(jīng)原原本本的放在那里�。
虛擬化過(guò)程當(dāng)中,虛擬化可以直接遷移的�,有的IT管理人員不能說(shuō)出自己出問(wèn)題的服務(wù)器在哪個(gè)主機(jī)上?當(dāng)然你有一臺(tái)的肯定在這個(gè)上,但是很大的一個(gè)里面����,具體在哪真的說(shuō)不清,有些說(shuō)的省電��,虛擬化省電的時(shí)候會(huì)把這些負(fù)載不高的服務(wù)器遷移到另外一個(gè)服務(wù)器上面��,然后這臺(tái)服務(wù)器在晚上的時(shí)候����,關(guān)閉狀態(tài)����,但是你牽回來(lái)之后出現(xiàn)問(wèn)題了�����,操作認(rèn)為失誤或者沒(méi)按標(biāo)準(zhǔn)流程走���,會(huì)找不到出現(xiàn)問(wèn)題的服務(wù)器是哪一臺(tái)���。
所以,虛擬化如果是講安全����,講私有云的安全,我們做虛擬化這種安全管理的時(shí)候����,要把他剝離開,就是傳統(tǒng)的和虛擬化還是要分離�,因?yàn)橛行┌踩奈幕灰煜教摂M化之后�,這個(gè)文化根本不靠邊,靠邊的話在之前就很好的解決�����,我們把這個(gè)蓋把他摘了。
這里沒(méi)有虛擬化�,這也是虛擬化遇到的一些問(wèn)題,我們有這么一復(fù)牌���,這里有很多的問(wèn)題很多威脅����,還有很多廠商提供他所對(duì)應(yīng)的方案��,這些方案和我出現(xiàn)的問(wèn)題���,我自己都沒(méi)辦法理清楚����,哪類是哪類��,哪種是哪種�����,那些問(wèn)題應(yīng)該對(duì)應(yīng)那種解決方案,現(xiàn)在如果把花色給理出來(lái)呢?我們黑色的是問(wèn)題����,然后我們紅色的代表我們的配套的解決方案跟產(chǎn)品,這樣可以解決����,首先先理清楚你遇到哪些威脅,有哪些方案可以解決你的威脅�,他雖然不是一一對(duì)應(yīng)的,但是有問(wèn)題�,終究可以有解決的方法,為什么玩斗地主喜歡在電腦上��,因?yàn)殡娔X幫你理好牌�。
虛擬化之前沒(méi)有解決好的一個(gè)案例,這張圖用了很多次���,在不同的演講在做一些具體培訓(xùn)���,這張圖幾年前在用,到現(xiàn)在依然喜歡���,在很早以前����,我們?cè)谥v安全的時(shí)候會(huì)講密碼��,密碼的安全策略決定你一個(gè)企業(yè)當(dāng)中是否會(huì)造成數(shù)據(jù)泄露和病毒攻擊���,建議這些使用者不要把密碼貼在自己的顯示器上��,不要把他自己的生日����,把電話號(hào)碼當(dāng)成這種密碼�,幾年之后這種方式有了很好的改變,但是這種案例���,我們?cè)谠贫说墓芾韱T是否有一個(gè)密碼����,這個(gè)密碼只有一個(gè)人掌握�,或者說(shuō)我們只要使用這個(gè)密碼,一個(gè)人就能整個(gè)來(lái)獲得整個(gè)超級(jí)管理權(quán)限���,我咨詢了很多了解了很多���,確確實(shí)實(shí)依然還采用一個(gè)管理員就能利用超級(jí)密碼�����,可以控制所有的這種服務(wù)器或者其他的資源��,我們可能也知道�,有一個(gè)密碼本���,密碼本可以通過(guò)另外的二層加密然后打開密碼本�,在用密碼本登錄我們不同業(yè)務(wù)部門的服務(wù)器�����,這是最不安全的��。
我們單獨(dú)講虛擬化的層面的問(wèn)題���,有很多的問(wèn)題��,什么網(wǎng)絡(luò)的隔離問(wèn)題�����,管理復(fù)雜問(wèn)題�,最重要的是虛擬化的交換機(jī),就是沒(méi)有通過(guò)你的交換機(jī)通口到外面去�����,所以問(wèn)題在這��,怎么解決他的不可見(jiàn)���,有廠商在回去查沒(méi)問(wèn)題,流量要解決的問(wèn)題��,這是內(nèi)部的���。
服務(wù)器層面就更多了�����,先說(shuō)免罪金牌�,測(cè)試服務(wù)器和生產(chǎn)服務(wù)器����,如果之前說(shuō)了沒(méi)法進(jìn)行隔離��,之間可以交叉感染���,測(cè)試服務(wù)器是不是可以不裝殺毒軟件,大部分是不裝的�����。再有一個(gè)我們管他為什么叫免罪金牌���,我臨時(shí)使兩天�����,你要多大��,50個(gè)G�����,要發(fā)布嗎?肯定要發(fā)布�,什么安全措施都沒(méi)有���,這段時(shí)間是最危險(xiǎn)的�����,但他確實(shí)是��,通常是允許這樣�����,但一個(gè)虛擬機(jī)內(nèi)部的掃描風(fēng)暴����,掃描風(fēng)暴和后面三個(gè)問(wèn)題是一樣���,是怎么產(chǎn)生?還拿開始的那個(gè)例子說(shuō)����,建家具的零售店���,一個(gè)店里拿50臺(tái)主機(jī)���,分配一個(gè)服務(wù)器做虛擬化,每一個(gè)中段按殺毒軟件��,策略我們沒(méi)法分開定制,沒(méi)有進(jìn)行分組����,但是同時(shí)間全盤掃描殺毒,統(tǒng)一時(shí)間攔截外網(wǎng)的信息��,會(huì)造成三大環(huán)節(jié)出現(xiàn)高符合高復(fù)雜���,這些在零售店的情況下可能還能夠容忍��,但是在金融行業(yè)里面�����,在證券的里面���,出現(xiàn)了網(wǎng)絡(luò)延遲、出現(xiàn)拒絕服務(wù)���,這個(gè)時(shí)候這個(gè)損失誰(shuí)來(lái)承擔(dān)?所以說(shuō)在虛擬機(jī)下面?zhèn)鹘y(tǒng)的防毒的問(wèn)題�����,會(huì)造成防病毒的一個(gè)風(fēng)暴�����,這種對(duì)虛擬化是非常致命的��,有廠商可以解決��,采用傳統(tǒng)是不是不行�,不建議這么做,但是你要堅(jiān)持��,現(xiàn)在知道所有的防毒里面會(huì)進(jìn)行分組和策略掃描��,在傳統(tǒng)的想法里面�,認(rèn)為他的一致性在很短的時(shí)間就可以解決��,我們要分開����,防止統(tǒng)一時(shí)間進(jìn)行安全策略的掃描。
APT的攻擊就叫高級(jí)的威脅�,是企業(yè)最薄弱的環(huán)節(jié)采用一個(gè)最容易得手的方式,他后面有很多種方式���,他一個(gè)公司的銷售可以拿到銷售的業(yè)績(jī)和銷售客戶的聯(lián)系方式���,通過(guò)他的私人郵箱和微博和個(gè)人的東西�����,你可以拿到他的密碼���,你可以進(jìn)入公司企業(yè)里面數(shù)據(jù)的內(nèi)部,這種是長(zhǎng)期的�����,是一種不被人發(fā)現(xiàn)的����,可能你自己根本不知道遇到了這些問(wèn)題,那么你的測(cè)試問(wèn)題�����,虛擬化測(cè)試平臺(tái)����,這種測(cè)試平臺(tái)一定要找到那些免罪金牌,對(duì)他進(jìn)行完完全全的監(jiān)控,他發(fā)現(xiàn)他有連接的時(shí)候�,你確確實(shí)實(shí)已經(jīng)遭受這種攻擊,而這種攻擊會(huì)造成大量的相應(yīng)機(jī)密的泄露���。我不知道這個(gè)會(huì)場(chǎng)場(chǎng)上有多少����,每一次在講的時(shí)候����,講這個(gè)問(wèn)題的時(shí)候,實(shí)際上廠商的朋友可能會(huì)����,用戶的朋友是有好處的,選擇用戶的產(chǎn)品不建議這么做�,我們整個(gè)通過(guò)他的數(shù)據(jù)掃描到中段,選擇同樣的產(chǎn)品他的策略相同����,有可能在兩臺(tái)背對(duì)背服務(wù)器密碼都是相同的����,那么第一個(gè)第二個(gè)背對(duì)背就沒(méi)有用了。
對(duì)于公司來(lái)說(shuō)是這樣,對(duì)于IT管理人員來(lái)說(shuō)����,希望做的事情是更簡(jiǎn)單,在交付這塊是實(shí)現(xiàn)更簡(jiǎn)單����,管理這塊實(shí)現(xiàn)更簡(jiǎn)單,非常有名的一個(gè)圖��,說(shuō)明公司多么強(qiáng)大���,這是做飛機(jī)一家公司的���,這個(gè)公司有什么樣的方式,實(shí)際上我們需要這樣的圖嗎?我認(rèn)為不想這樣�,我認(rèn)為一個(gè)復(fù)雜的事情能夠選擇簡(jiǎn)單的方法是最重要的,不要把問(wèn)題引出的更多��。
