Tải bản đầy đủ (.pdf) (106 trang)
  1. Trang chủ
    2. >>
  2. Thể loại khác
    3. >>
  3. Tài liệu khác

BỘ CHỈ TIÊU KỸ THUẬT ĐIỆN TOÁN ĐÁM MÂY

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.5 MB, 106 trang )

BỘ THƠNG TIN VÀ TRUYỀN THƠNG
CỤC AN TỒN THƠNG TIN

BỘ CHỈ TIÊU KỸ THUẬT
ĐIỆN TỐN ĐÁM MÂY
PHỤC VỤ CHÍNH PHỦ ĐIỆN TỬ

Hà Nội, 11/2019
1


NỘI DUNG
THUẬT NGỮ VIẾT TẮT .................................................................................................. 5
DANH SÁCH CÁC SƠ ĐỒ, HÌNH VẼ ............................................................................. 7
CÁC TIÊU CHUẨN THAM KHẢO.................................................................................... 8
I.

GIỚI THIỆU CHUNG .............................................................................................. 10
1.1

Đặt vấn đề....................................................................................................... 10

1.2

Cơ sở xây dựng Điện tốn đám mây trên nền cơng nghệ mở ........................ 11

1.2.1

Khái niệm Điện toán đám mây ................................................................. 11

1.2.2



Phân loại một số phương án triển khai ĐTĐM......................................... 13

1.2.3

Phân loại Các mô hình cung cấp dịch vụ ĐTĐM ..................................... 14

1.3

Khái niệm phần mềm mã nguồn mở (OpenSource) ....................................... 16

1.3.1

Phần mềm nguồn mở .............................................................................. 16

1.3.2

Khác nhau giữa Phần mềm nguồn mở và mã nguồn mở ........................ 16

1.3.3

Ưu điểm của phần mềm mã nguồn mở miễn phí .................................... 16

1.4
Sự khác nhau giữa cơng nghệ mã nguồn mở và phần mềm đóng (Phần mềm
thương mại) ............................................................................................................... 18
1.5

Hạ tầng Điện toán đám mây dựa trên mã nguồn mở...................................... 19


1.5.1

Kiến trúc tổng quan hệ thống ................................................................... 19

1.5.2

Server Cluster (Hypervisor) ..................................................................... 20

1.5.3

Khối Storage ............................................................................................ 21

1.5.4

Khối Network ........................................................................................... 24

CÁC TÍNH NĂNG CỦA NỀN TẢNG ĐIỆN TỐN ĐÁM MÂY ............................. 27

II.
1.1

u cầu về năng lực xử lý tính tốn ............................................................... 27

1.1.1

Yêu cầu máy vật lý .................................................................................. 27

1.1.2

Yêu cầu máy ảo ....................................................................................... 27


1.1.3

Yêu cầu cung cấp tài nguyên phần mềm ................................................. 29

1.2

Yêu cầu về năng lực xử lý network ................................................................. 30

1.2.1
1.3

Yêu cầu chung đối với tài nguyên mạng .................................................. 30

Yêu cầu về năng lực xử lý lưu trữ................................................................... 32

1.3.1

Không gian lưu trữ ................................................................................... 32

1.4

Yêu cầu về năng lực quản lý vận hành và tính cước ...................................... 33

1.5

Yêu cầu về giám sát hệ thống......................................................................... 35

2



1.6

Yêu cầu về SLA .............................................................................................. 36

1.7

Các yêu cầu mở rộng cần thiết của một nền tảng mở: ................................... 37

1.7.1

Yêu cầu Hỗ trợ Mơi trường điện tốn đám mây gốc (Cloud Native). ....... 37

1.7.2

Yêu cầu đáp ứng cho môi trường DevOps, CI/CD .................................. 37

1.7.3

Có khả năng xây dựng kiến trúc dữ liệu lớn (Big Data). .......................... 37

1.7.4

Có khả năng xây dựng kiến trúc cho Blockchain. .................................... 37

1.7.5

Có khả năng xây dựng kiến trúc cho trí tuệ nhân tạo (A.I)....................... 37

1.7.6


Có khả năng xây dựng kiến trúc IoT. ....................................................... 37

1.7.7

Có khả năng triển khai nền tảng hạ tầng đa đám mây (Multicloud). ........ 37

BẢO MẬT CHO NỀN TẢNG ĐIỆN TOÁN ĐÁM MÂY ......................................... 38

III.
1.1

Khái quát ......................................................................................................... 38

1.2

Các mối đe doạ an ninh đối với điện toán đám mây ....................................... 39

1.2.1

Các mối đe dọa bảo mật cho khách hàng dịch vụ đám mây (CSC)......... 40

1.2.2

Các mối đe dọa bảo mật cho các nhà cung cấp dịch vụ đám mây (CSP) 41

1.3

Các thách thức bảo mật cho điện toán đám mây............................................ 43


1.3.1

Thách thức bảo mật cho khách hàng dịch vụ đám mây (CSC)................ 43

1.3.2

Thách thức bảo mật cho các nhà cung cấp dịch vụ đám mây (CSP) ...... 46

1.3.3

Thách thức bảo mật cho các đối tác dịch vụ đám mây (CSN) ................. 49

1.4

Các tiêu chí bảo mật cho hạ tầng điện tốn đám mây .................................... 50

1.4.1

Mơ hình ủy thác ....................................................................................... 50

1.4.2
Quản lý danh tính và truy cập (IAM), Xác thực, ủy quyền và kiểm toán
giao dịch 51
1.4.3

Bảo mật phần vật lý ................................................................................. 51

1.4.4

Giao diện bảo mật ................................................................................... 51


1.4.5

Bảo mật cho máy chủ ảo hoá .................................................................. 52

1.4.6

Bảo mật mạng ......................................................................................... 52

1.4.7

Cách ly, bảo vệ và bảo mật dữ liệu ......................................................... 52

1.4.8

Phối hợp an ninh ..................................................................................... 54

1.4.9

Quản lý sự cố, thảm hoạ.......................................................................... 54

1.4.10

Phục hồi thảm họa ................................................................................... 55

1.4.11

Kiểm soát và đánh giá hiện trạng bảo mật............................................... 55

1.4.12


Khả năng tương tác, tính di động và khả năng hoán đổi ......................... 56

1.4.13

Bảo mật đối với các đối tác hợp tác sản phẩm ........................................ 56
3


PHỤ LỤC 01: DANH MỤC ĐÁP ỨNG KỸ THUẬT NỀN TẢNG ĐIỆN TOÁN ĐÁM MÂY
...................................................................................................................................... 58
PHỤ LỤC 02: DANH MỤC ĐÁP ỨNG BẢO MẬT CHO NỀN TẢNG ĐIỆN TOÁN ĐÁM
MÂY .............................................................................................................................. 85
PHỤ LỤC 03: KHUNG ĐÁNH GIÁ BẢO MẬT CHO NỀN TẢNG ĐIỆN TOÁN ĐÁM MÂY
...................................................................................................................................... 97
1.1

Cơ sở .............................................................................................................. 97

1.1

Giới thiệu ISO/IEC 27017:2015 ...................................................................... 98

1.2

Khung kiến trúc đánh giá bảo mật .................................................................. 99

TÀI LIỆU THAM KHẢO ................................................................................................... 0

4



THUẬT NGỮ VIẾT TẮT
STT Từ Viết tắt

Mô tả

1

CPU

Central Processing Unit

2

API

Application Programming Interface

3

BCP

Business Continuity Plan

4

CaaS

Communications as a Service


5

CPU

Central Processing Unit

6

CSC

Cloud Service Customer

7

CSN

Cloud Service Partner

8

CSP

Cloud Service Provider

9

CSU

Cloud Service User


10

DFS

Distributed File System

11

DHT

Distributed Hash Table

12

DNS

Domain Name System

13

ET

Emergency Telecommunications

14

ETS

Emergency Telecommunications Service


15

I/O

Input/Output

16

IaaS

Infrastructure as a Service

17

IAM

Identity and Access Management

18

ICT

Information and Communication Technology

19

IP

Internet Protocol


20

iSCSI

Internet Small Computer System Interface

21

IT

Information Technology

22

LAN

Local Area Network

23

NaaS

Network as a Service

24

NAS

Network Attached Storage


25

NFS

Network File System

26

NTP

Network Time Protocol

27

OS

Operating System

28

PaaS

Platform as a Service

5


29


PII

Personally Identifiable Information

30

PKI

Public Key Infrastructure

31

QoS

Quality of Service

32

SaaS

SaaS Software as a Service

33

SAN

Storage Area Network

34


SIM

Subscriber Identity Module

35

SLA

Service Level Agreement

36

vCPU

virtual CPU

37

VI

Virtual Infrastructure VM Virtual Machine

38

VPN

Virtual Private Network

6



DANH SÁCH CÁC SƠ ĐỒ, HÌNH VẼ
Hình
Hình
Hình
Hình
Hình
Hình
Hình

1 – Mơ hình SPI: Các mơ hình triển khai điện tốn đám mây .............................. 13
2 - Kiến trúc hạ tầng điện toán đám mây ............................................................. 19
3 - Mơ hình SAN truyền thơng ............................................................................. 22
4 - Mơ hình CEPH storage ................................................................................... 23
5 - Mơ hình siêu hội tụ HCI .................................................................................. 23
6 - Mơ hình Software Defined Network ................................................................ 25
7 - Khung kiến trúc ISO 27000 ............................................................................ 98

7


CÁC TIÊU CHUẨN THAM KHẢO
STT

Ký hiệu

Mô tả

ISO
1


ISO/IEC 27017:2015

ISO/IEC 27017:2015-Code of practice for
information security controls

2

ISO/IEC 27018

ISO 27018 - Code of practice for protection of
personally identifiable information (PII) in public
clouds.

3

ISO/IEC 20000-9

ISO 20000-9-Guidance on the application of
ISO/IEC 20000-1 to cloud Services

4

ISO/IEC 19086-

ISO/IEC19086-1:2016 - Service Level

1:2016

Agreement (SLA) Framework


5

ISO 22301

6

ISO 27001

7

ISO 9001
SOC

1

SOC 1,2,3
NIST

1

NIST 800-171
HIPAA
GDPR
ITU
ITU Y.3500-Y.3999

1

OASIS

PCI

1

PCIDSS
CSA STAR

1

Cloud Security Alliance (CSA STAR) Security
assurance by keeping data secure in the cloud
with rigorous auditing and harmonization of
standard

8


-

Security and Privacy

-

Services Level Agreement (SLA)

-

Exit Management / Transition-Out

-


Responsibilities

9


I.

GIỚI THIỆU CHUNG

1.1 Đặt vấn đề
Cuộc cách mạng công nghiệp lần thứ 4 (CMCN 4.0) đang mở ra một thời đại mới trong
tiến trình phát triển của nhân loại - thời đại số. Với những thành tựu khoa học - công nghệ
tác động ngày càng mạnh mẽ lên mọi mặt hoạt của xã hội, chính phủ số cùng với nền
kinh tế số và xã hội số đang trở thành xu thế phát triển tất yếu của nhiều chính phủ và
quốc gia trên thế giới. Bên cạnh việc xây dựng hạ tầng Internet và Viễn thơng truyền
thống thì việc xây dựng và phát triển hạ tầng dữ liệu - hạ tầng số trên nền tảng điện toán
đám mây được xem là một địi hỏi vơ cùng cấp thiết hiện nay.
Hạ tầng số cho chính phủ dựa trên điện tốn đám mây cần đảm bảo các yêu cầu khái
quát như sau:

1
-

Mở rộng linh hoạt và đồng bộ

Khả năng mở rộng linh hoạt theo u

2
-


cầu.
-

-

Tính an tồn dữ liệu

Có cơ chế dự phịng và phục hồi sau
sự cố, thảm hoạ.

Nhất quán về mặt kiến trúc hạ tầng và

-

Đảm bảo SLA vận hành và tài ngun.

nền tảng.

-

Có cơ bảo vệ và mã hố dữ liệu.

Chia sẻ và tối ưu hạ tầng kết nối và hạ
tầng tính tốn.

3

Tính bảo mật và quyền riêng tư


4

Kiến trúc nền tảng mở

-

Khả năng bảo mật.

Nền tảng cần có kiến trúc mở, phải do người

-

Quyền riêng tư.

Việt làm chủ về cơng nghệ và vận hành. Cần
có các đặc tính hoặc khả năng phát triển cho
các kiến trúc sau:
-

Mã nguồn mở (Open Source).

10


-

Hỗ trợ Mơi trường điện tốn đám mây
gốc (Cloud Native).

-


Phục vụ môi trường vận hành và phát
triển liên tục DevOps/CICD

-

Phục vụ xây dựng kiến trúc dữ liệu lớn
(Big Data).

-

Phục vụ xây dựng kiến trúc cho trí tuệ
nhân tạo (A.I).

-

Phục vụ xây dựng kiến trúc cho
Blockchain.

-

Phục vụ xây dựng kiến trúc IoT.

-

Phục vụ nền tảng hạ tầng đa đám mây
(Multicloud).

1.2 Cơ sở xây dựng Điện tốn đám mây trên nền cơng nghệ mở
1.2.1 Khái niệm Điện toán đám mây

Khái niệm Cloud Computing (Điện toán đám mây - ĐTĐM) được định nghĩa bởi Viện
Tiêu chuẩn và Công nghệ Mỹ (NIST - Nation Institute Standards & Technology) như sau:
"Cloud Computing là mơ hình dịch vụ cho phép người truy cập tài nguyên điện toán
dùng chung (mạng, sever, lưu trữ, ứng dụng, dịch vụ) thông qua kết nối mạng một cách
dễ dàng, mọi lúc mọi nơi, theo yêu cầu. Tài nguyên điện toán đám mây này có thể được
thiết lập hoặc hủy bỏ nhanh chóng bởi người dùng mà khơng cần sự can thiệp của Nhà
cung cấp dịch vụ".
Có 05 đặc điểm cơ bản của ĐTĐM:


On-demand self-service – tự phục vụ nhu cầu: người dùng có thể tự quản lý dịch
vụ của họ mà khơng cần sự trợ giúp của nhà cung cấp hosting.



Broad network access – khả năng truy cập mọi lúc, mọi nơi.



Resource pooling – hồ chứa tài nguyên: các dịch vụ chạy trong datacenter sử
dụng hạ tầng chia sẻ với nhiều mục đích và nhiều tổ chức khác nhau.

11




Rapid elasticity or expansion – co giãn nhanh chóng: khả năng của dịch vụ cloud
có thể được co giãn dễ dàng theo đúng nhu cầu. Các dịch vụ phải được scale up
và down theo đúng nhu cầu.




Measured service – đo lường dịch vụ: dịch vụ cloud được tối ưu cho lưu lượng
sử dụng theo nhu cầu của khách hàng và có khả năng báo cáo giám sát thường
xuyên.

12


1.2.2 Phân loại một số phương án triển khai ĐTĐM

Hình 1 – Mơ hình SPI: Các mơ hình dịch vụ điện tốn đám mây



Public Cloud – ĐTĐM cơng cộng

Là các dịch vụ ĐTĐM được triển khai và cung cấp ngoài tường lửa của mỗi doanh
nghiệp và được nhà cung cấp đám mây quản lý. Public Cloud xây dựng nhằm phục vụ
cho mục đích sử dụng cơng cộng, người dùng sẽ đăng ký với nhà cung cấp và trả phí sử
dụng dựa theo chính sách giá của nhà cung cấp. Public cloud là mơ hình triển khai được
sử dụng phổ biến nhất hiện nay của cloud computing.


Private Cloud – ĐTĐM riêng

13



Private cloud được định nghĩa là các dịch vụ được cung cấp qua Internet hoặc mạng
nội bộ riêng với người dùng trong mạng nội bộ đó thay vì cơng khai. Private cloud cũng
có thể được gọi là đám mây nội bộ. Trong đó, Private cloud cung cấp cho doanh nghiệp
nhiều lợi ích tương tự như Public cloud - bao gồm các đặc tính self-service, khả năng mở
rộng và giãn nở linh hoạt – nhưng có thêm sự kiểm sốt và hỗ trợ tùy chỉnh từ các tài
nguyên chuyên dụng trên cơ sở hạ tầng máy tính được lưu trữ tại chỗ.
Ngoài ra, Private cloud cũng cung cấp mức độ bảo mật và riêng tư cao hơn nhờ vào
hệ thống tường lửa và lưu trữ nội bộ để đảm bảo dữ liệu nhạy cảm và các hoạt động của
công ty không bị truy cập bởi các nhà cung cấp bên thứ ba.


Hybrid Cloud

Là sự kết hợp của private cloud và public cloud. Cho phép Doanh nghiệp khai thác
điểm mạnh của từng mơ hình cũng như đưa ra phương thức sử dụng tối ưu cho người
sử dụng. Những “đám mây” này thường do doanh nghiệp tạo ra và việc quản lý sẽ được
phân chia giữa doanh nghiệp và nhà cung cấp điện tốn đám mây cơng cộng.


Multicloud

Multicloud dùng để chỉ việc sử dụng nhiều hơn 1 đám mây chung. Việc này xảy ra khi
tổ chức/khách hàng tránh không muốn bị phụ thuộc vào một nhà cung cấp dịch vụ đám
mây. Thay vào đó, họ chọn các dịch vụ tốt của mỗi bên để phục vụ cho cơng việc của
mình. Điển hình là việc doanh nghiệp triển khai các ứng dụng gốc trên nhiều nhà cung
cấp dịch vụ đám mây khác nhau đồng thời như Amazon Web Service, Azure Mirosoft,
Google Cloud Platform…
1.2.3 Phân loại Các mơ hình cung cấp dịch vụ ĐTĐM



Infrastructure as a Serice – IaaS

IaaS (Infrastructure-as-a-Service) cung cấp cho người dùng hạ tầng thuần tuý
(thường dưới hình thức các máy ảo) như một dịch vụ. Người dùng có thể triển khai và
chạy phần mềm trên các máy ảo như trên một máy chủ thực hay có thể đưa dữ liệu cá
nhân lên “đám mây” và lưu trữ. Người dùng khơng có quyền kiểm soát hạ tầng thực bên
trong “đám mây” tuy nhiên họ có tồn quyền quản lý và sử dụng tài nguyên mà họ được
cung cấp, cũng như yêu cầu mở rộng lượng tài nguyên họ được phép sử dụng.

14




Platform as a Serice – PaaS

PaaS (Platform as a Service) Mơ hình PaaS cung cấp cách thức cho phát triển ứng
dụng trên một nền tảng ảo hóa. Nó hỗ trợ việc triển khai ứng dụng mà không quan tâm
đến chi phí hay sự phức tạp của việc trang bị và quản lý các lớp phần cứng và phần mềm
bên dưới, cung cấp tất cả các tính năng cần thiết để hỗ trợ việc xây dựng và cung cấp
một ứng dụng và dịch vụ web sẵn sàng trên Internet mà không cần bất kì thao tác tải hay
cài đặt phần mềm cho những người phát triển, quản lý tin học, hay người dùng cuối.
PaaS cho phép các nhà phát triển ứng dụng có thể tạo ra các ứng dụng một cách nhanh
chóng, khi nhiều rắc rối trong việc thiết lập máy chủ, cơ sở dữ liệu đã được nhà cung cấp
PaaS giải quyết.


Software as a Service – SaaS

SaaS (Software as a Service) là một mơ hình triển khai ứng dụng mà ở đó người cung

cấp cho phép người dụng sử dụng dịch vụ theo yêu cầu. Những nhà cung cấp SaaS có
thể lưu trữ ứng dụng trên máy chủ của họ hoặc tải ứng dụng xuống thiết bị khách hàng,
vô hiệu hóa nó sau khi kết thúc thời hạn. Các chức năng theo u cầu có thể được kiểm
sốt bên trong để chia sẻ bản quyền của một nhà cung cấp ứng dụng thứ ba.

15


1.3 Khái niệm phần mềm mã nguồn mở (OpenSource)
1.3.1 Phần mềm nguồn mở
Phần mềm nguồn mở là phần mềm với mã nguồn được công bố và sử dụng
một giấy phép nguồn mở.
1.3.2 Khác nhau giữa Phần mềm nguồn mở và mã nguồn mở
Thuật ngữ "phần mềm nguồn mở" có nghĩa gần tương đương với "mã nguồn mở"
nhưng với độ bao hàm cao hơn. Phần mềm nguồn mở thì có hệ quả là mã nguồn mở,
nhưng điều ngược lại thì khơng đúng (ví dụ một phần mềm có mã nguồn mở nhưng giấy
phép "đóng" - hệ quả của tình huống này là người dùng được truy cập vào mã nguồn
nhưng có thể bị ngăn cấm quyền sao chép, chỉnh sửa, phân phối lại...).
Ngày nay có rất nhiều dạng mở (khơng đóng) bao gồm: phần cứng, phần mềm
nguồn mở, tài liệu/ học liệu mở, thiết kế mở... Phần mềm nguồn mở ngày nay phát triển
với tốc độ khá cao, cho thấy nó có nhiều động lực hơn so với mã đóng. Khơng nghi ngờ
ngày nay sự phát triển lĩnh vực công nghệ thơng tin có thể nói tới nguồn mở như cái gì
đó năng động nhất. Tốc độ phát triển của nó có thể nói đến từng giờ một.
1.3.3 Ưu điểm của phần mềm mã nguồn mở miễn phí


Là phần mềm miễn phí

- Miễn phí bản quyền và các phiên bản nâng cấp trong tồn bộ vịng đời sử dụng của
sản phẩm.

- Có thể sao chép hồn tồn miễn phí phần mềm này.


Giảm chi phí

- Giảm chi phí phát triển phần mềm đáp ứng theo yêu cầu nghiệp vụ.
- Kéo dài thời gian sử dụng/ tái sử dụng các phần cứng, thiết bị trong khi vẫn đảm
bảo hiệu năng toàn hệ thống

16


- Chi phí đầu tư, vận hành hệ thống tập trung cho các dịch vụ "hữu hình" đem lại giá
trị trực tiếp, thiết thực cho tổ chức như: tư vấn, sửa đổi theo yêu cầu, triển khai, đào
tạo, bảo trì, nâng cấp hệ thống...
- Mức chi phí tiết kiệm khoảng 75-80% so với phần mềm license ngay trong năm đầu
tiên.


Giảm tính phụ thuộc

- Giảm tối đa sự phụ thuộc vào một vài nhà cung cấp phần mềm độc quyền dẫn đến
dịch vụ kém (do khơng có cạnh tranh).
- Các định dạng file khơng hồn tồn bị kiểm sốt bởi một vài nhà cung cấp. Điều gì
sẽ xảy ra khi dữ liệu nằm trong một phần mềm độc quyền? Việc sử dụng một định
dạng file bí ẩn sẽ khiến khách hàng chỉ dùng chương trình của một cơng ty. Nhưng với
OpenSource khách hàng có thể làm việc với nhiều nhà cung cấp.


Tính bảo mật tốt


- Hầu hết các sản phẩm Open Source đều có khả năng bảo mật tốt hơn, khi một lỗi
được tìm thấy thì thường được phát hiện nhanh hơn phần mềm có bản quyền.
- Có thể kiểm chứng khơng có mã độc, back door... với mã nguồn được phân phối
kèm.


Cộng đồng hỗ trợ lớn

- Ln có một cộng đồng hỗ trợ lớn. Không bị phụ thuộc vào một công ty nào.
- Open Source đã giành được khoảng 70% thị trường ứng dụng, và con số này vẫn
tiếp tục tăng lên hàng năm.

17


1.4 Sự khác nhau giữa công nghệ mã nguồn mở và phần mềm đóng
(Phần mềm thương mại)
Sự khác nhau giữa phần mềm mở và phần mềm đóng được thấy ở ngay tên gọi,
Phần mềm mã nguồn mở là phần mềm mà mã nguồn gốc được cung cấp miễn phí và có
thể được phân phối lại và sửa đổi. Với phần mềm mã nguồn đóng thì phần mềm mã
nguồn gốc khơng được nhà phát triển chia sẻ mã nguồn mở của mình.
Ngồi ra, phần mềm mã nguồn mở đem lại nhiều lợi ích cho người sử dụng:


Tính bảo vệ: Mọi người thường nghĩ phần mềm mã nguồn mở là không an tồn.
Tuy nhiên điều đó phụ thuộc vào yếu tố đội ngũ kỹ thuật và con người vận hành.




Quyền sở hữu dữ liệu: Ngoài việc bảo vệ và an toàn, mã nguồn mở cũng mang
lại cho người dùng toàn quyền sở hữu dữ liệu của chính mình. Với giải pháp mã
nguồn đóng nhà cung cấp phần mềm họ là người điều khiển bản quyền phần
mềm, họ có thể tang giá hoặc tính phí khách hang để mua lại dữ liệu của người
dùng nếu người dùng muốn chuyển đổi sang đơn vị cung cấp phần mềm khác.



Hệ thống được cập nhật nhanh và mới nhất: Với phần mềm mã nguồn đóng,
họ chỉ có một nhóm các nhà phát triển làm việc để giữ cho hệ thống của họ được
cập nhật. Với phần mềm mã nguồn mở là cả cộng đồng phát triển.

18


1.5 Hạ tầng Điện toán đám mây dựa trên mã nguồn mở
1.5.1 Kiến trúc tổng quan hệ thống

Hình 2 - Kiến trúc hạ tầng điện toán đám mây

Theo khái niệm đã mô tả ở trên, về phương diện người dùng và nhà cung cấp dịch
vụ Cloud Computing là mơ hình dịch vụ cho phép người truy cập tài nguyên điện toán
dùng chung (mạng, sever, lưu trữ, ứng dụng, dịch vụ) thông qua kết nối mạng một cách
dễ dàng, mọi lúc mọi nơi, theo yêu cầu. Tài nguyên điện toán đám mây này có thể được
thiết lập hoặc hủy bỏ nhanh chóng bởi người dùng mà khơng cần sự can thiệp của “Nhà
cung cấp dịch vụ". Đối với người xây dựng hệ thống Cloud, Cloud Computing core được
xây dựng dựa trên 3 khối chính: Khối Compute (Server Cluster), khối Storage và khối
Network (Virtual Network).

19



Để xây dựng hệ thống Cloud Computing cần phải có kiến thức chuyên sâu về các
mảng kiến thức về Compute, Storage và Network để có thể xây dựng và tích hợp các
thành phần này lại với nhau để cung cấp dịch vụ cho người dùng.
1.5.2 Server Cluster (Hypervisor)
Khối Cluster (Hypervisor) làm nhiệm vụ cung cấp các thành phần ảo hóa RAM,
CPU và Network cho Virtual Machine. Có nhiều phần mềm cung cấp ứng dụng ảo hóa
như các bản thương mại bao gồm VMware, Hyper-V, PowerVM, Oracle hay các bản mã
nguồn mở Xen, KVM … Trong đó KVM hiện tại đang đứng đầu trong việc cung cấp phần
mềm ảo hóa cho người dùng.
Cơng nghệ ảo hóa KVM (Viết tắt của thuật ngữ Kernel-based Virtualization
Machine) là cơng nghệ ảo hóa cho phéo ảo hóa tồn bộ nền tảng phần cứng. Nghĩa là
phần mềm chính (Thành phần hệ điều hành trên máy chủ vật lý) cho phép các hệ điều
hành con chạy trên đó. KVM cho phép quản lý, chi sẻ, giám sát và phân bổ tài nguyên
như ổ đĩa, network và CPU cho các hệ điều hành con trên KVM.
Mặc dù ra đời sau các nền tảng ảo hóa khác nhưng với cộng đồng phát triển mạnh
mẽ và khả năng đáp ứng nhu cầu đa dạng cho người dùng. Nhưng KVM đang dẫn đầu
thị phần đối với các nhà xây dựng và cung cấp dịch vụ Điện tốn đám mây trên tồn thế
giới. Đặc biệt các đơn vị cung cấp Public Cloud lớn như Amazon, Alibala, IBM … đều sử
dụng KVM trong Cloud Computing.
Ưu điểm của KVM:
Tính linh hoạt: Cho phép ảo hóa và cung cấp đa dạng hệ điều hành cho người
dùng trên nền chip x86 như Windows và Linux
Tính tồn quyền cao: Người dùng được cấp và toàn quyền (root) sử dụng máy
chủ ảo theo cấu hình mà quản trị cung cấp mà không phải chia sẻ hay ảnh hưởng
bởi các máy chủ ảo khác trên cùng hệ thống. Điều này cho phép người quản trị
cân đối, tính tốn lượng tải đối với các thành phần khác như Storage, Network.
Bảo mật cao: KVM cho phép tích hợp bảo mật của hệ điều hành core – Selinux
nên thừa hưởng bảo mật nhiều lớp giúp bảo vệ các máy ảo tối đa và cách ly hoàn

toàn.

20


Tiết kiệm chi phí, độ mở rộng cao: Được phát triển trên nền tảng mã nguồn mở
hồn tồn miễn phí, được hỗ trợ từ cộng đồng và từ nhà sản xuất thiết bị, KVM ngày
càng lớn mạnh và trở thành một lựa chọn hàng đầu cho doanh nghiệp với chi phí thấp,
hiệu quả sử dụng cao.
Kiến trúc mở: KVM được xây dựng trên nền mã nguồn mở vì vậy dễ dàng tích
hợp, phát triển, nâng cấp các bản vá và dịch vụ cho người sử dụng. Đồng thời nhờ tính
mở trong nghệ mã nguồn mở cho phép dễ dàng tích hợp với các nhà cung cấp khác.
KVM cung cấp tập API cho phép nhà phát triển xây dựng và tính hợp với các thành
phần khác trong môi trường Cloud Computing để cung cấp giao diện cho người sử dụng.
KVM được coi ví như là trái tim của hệ thống Cloud. Nhà phát triển có thể sử dụng trực
tiếp API để xây dựng lên hệ thống quản trị Cloud cho họ hoặc sử dụng sẵn các giao diện
người dùng/quản trị thông qua các ứng dụng mã nguồn mở như OpenStack, Opera, KVM
manager …
Đối với với các dự án sử dụng KVM, nhà phát triển hồn tồn có thể xây dựng hệ
thống giao diện vận hành, quản lý cho admin và khách hàng dựa trên nền tảng
OpenStack và kết nối với thư viện API. Do vậy phù hợp với mơ hình chính phủ điện tử
do người Việt làm chủ về công nghệ, vận hành, phát triển và tích hợp.
1.5.3 Khối Storage
Với sự phát triển của công nghệ ngày nay, hầu hết các máy tính, PC, laptop hay
server chủ yếu bị giới hạn bởi việc đọc ghi ổ đĩa cứng. Người sử dụng bình thường có
thể kiểm chứng giữa dùng ổ cứng HDD thông thường với ổ SSD (tốc độ đọc ghi cao hơn
hàng chục lần so với ổ HDD) trên laptop, máy tính.
Đối với hệ thống Cloud Computing cũng tương tự, vấn đề về Storage luôn là trọng
tâm trong hệ thống Cloud Computing. Nhà cung cấp phải xây dựng hệ thống Storage cho
hệ thống Cloud đủ khả năng cung cấp cho hàng nghìn VM mà khơng biết chính xác tải

của các VM trên hệ thống. Vì vậy yêu cầu đặt ra cho hệ thống storage là tốc độ đọc ghi
không giới hạn, dễ mở rộng và luôn luôn online (không bị downtime hay có điểm Single
Point of Failure).
Mơ hình tổng qt hệ thống Cloud sử dụng Hardware SAN:

21


Hình 3 - Mơ hình SAN truyền thơng

Mơ hình Cloud (hay các mơ hình server – storage truyền thống), người dùng
thường sử dụng hệ thống Hardware SAN như hình vẽ. Mặc dù Hardware SAN thường
được đánh giá có độ ổn định và hiệu năng tốt hơn các loại server thông thường. Tuy
nhiên Hardware SAN vẫn tồn tại các nhược điểm nhất định như IOPS bị giới hạn bởi
SAN, bổ sung tài nguyên khó khăn, vẫn có 1 điểm Single Point of Failure … Mơ hình
Hardware SAN thường chỉ phù hợp khi biết trước (tính tốn được trước) lượng tài ngun
tiêu thụ như Private Cloud. Nhằm khắc phục những điểm hạn chế của hệ thống SAN
truyền thống, hệ thống Cloud Computing chuyển sang sử dụng hệ thống Cloud Storage
để cung cấp khả năng lưu trữ cho Cloud.
Cloud Storage
CEPH là một nền tảng phần mềm cho hệ thống Storage miễn phí cho phép xây
dựng hạ tầng lưu trữ phân tán, ổn định, tin cậy và hiệu năng cao, dễ dàng mở rộng trong
tương lai. Khác với hệ thống Hardware SAN, CEPH được điều khiển bằng phần mềm
22


nên dễ dàng tích hợp với hệ thống khác, hỗ trợ đa dạng các loại phần cứng khác nhau.
CEPH có khả năng cung cấp giải pháp lưu trữ theo hướng đối tượng (Object), theo khối
(Block) và dạng file (File) trên cùng một nền tảng (Hardware SAN chỉ cung cấp dạng
Block)


Hình 4 - Mơ hình CEPH storage

Dữ liệu trên hệ thống CEPH được chia đều trên toàn hệ thống nhằm đảm bảo an
tồn nhất. Các server trên hệ thống CEPH có vai trò ngang nhau, việc đọc/ghi dữ liệu
được trải dài trên tất cả server. Vì vậy, khi cần tăng dung lượng chỉ đơn giản bổ sung
thêm ổ cứng hoặc server mà không làm ảnh hưởng đến hệ thống, không bị giới hạn tốc
độ truy xuất toàn hệ thống vSAN.

23


Virtual
Data Center

Internet (10G)

Host v?t lý

Host v?t lý

Host v?t lý

vCPU

vSwitch

vSwitch

vSwitch


vSwitch

vSAN

vSAN

vSAN

vSAN

Storage (8/10/16 GB)

Dựa trên mơ hình CEPH được xây dựng trên nền tảng lưu trữ định nghĩa bởi phần
mềm (Software Defined Storage), ngồi việc cung cấp Storage cho Cloud hệ thống cịn
có thể xây dựng theo mơ hình siêu hội tụ (HCI) nhằm tích hợp trực tiếp Hypervisor và
CEPH trên cùng server vật lý. Như vậy máy chủ vừa có vai trị Hypervisor vừa là một
thành phần hệ thống storage nhằm giảm chi phí phần cứng cho hệ thống.
1.5.4 Khối Network
Network sử dụng công nghệ SDN (Software Defined Network) dựa trên nền tảng
OpenFlow và một số cơng nghệ khác như ĨSVDB, XMPP… – công nghệ mà hầu hết các
nhà cung cấp Cloud trên thế giới đều sử dụng. Điểm mạnh của SDN là cho phép đa kết
nối đến mạng Cloud (MPLS, VPN, LeaseLine …). Và định nghĩa các QoS cung cấp virtual
network cho các máy ảo và hệ thống firewall trên từng cổng máy ảo.

24


Hình 6 - Mơ hình Software Defined Network


Khác với mơ hình mạng truyền thống, SDN sử dụng kiến trúc tập trung phần điều
khiển (Control Plane), có thể lập trình vì vậy có thể cung cấp hệ thống mạng linh động
nhằm giải quyết các nhu cầu thay đổi của người sử dụng. Việc sử dụng mạng SDN trên
hệ thống Cloud cho phép xây dựng bộ chuyển mạch phù hợp với người dùng mạng Cloud
trong nước như phân tách rõ rang lưu lượng mạng trong nước/quốc tế trên mỗi VM. Hay
thực hiện chặn, lọc các IP, dải IP tấn công vào 1 IP cụ thể trên hệ thống.
Khả năng quản lý lưu lượng linh hoạt và hiệu quả cũng giúp cho người quản trị sử
dụng tài nguyên tiết kiệm hơn và có khả năng kiểm soát lưu lượng mạng nhiều hơn mang
lại lợi ích về kỹ thuật và kinh doanh.
Mơ hình SDN mang lại các lợi ích sau:
-

Thiết lập trực tiếp: Chính sách mạng SDN được thiết lập trực tiếp vì các
chức năng điều khiển được tách rời khỏi các chức năng chuyển tiếp, cho
phép mạng được cấu hình theo chương trình bởi các cơng cụ tự động hóa
nguồn mở hoặc độc quyền, bao gồm: OpenStack, OpenDaylight
(Controller), OpenvSwitch…

-

Quản lý tập trung: Mạng thông minh được tập trung một cách logic trong
phần mềm điều khiển SDN duy trì chế độ xem tồn hệ thống của mạng,
như một ứng dụng.

-

Giảm CapEx: SDN có khả năng hạn chế nhu cầu mua phần cứng mạng,
dựa trên ASIC và thay vào đó hỗ trợ các mơ hình trả tiền khi cần phát triển

25



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×