书生安全云解决方案与应用.ppt

* 证书加密可以说是把数据管理权彻底交给用户了，这是私有云的安全思路 纠删码技术同样被EMC Isilon采用 * * * 除了RESTFUL API接口，能否加入传统的NAS接口 * * * * * 简单灵活的系统管理方式 目前企业网盘在设计时为了保证数据的安全，往往设置了非常复杂的权限管理造成管理难度很大，降低了用户使用的积极性。书生公司采用了优化的权限管理机制，既保证了数据安全又提升了用户体验 系统管理员的权限限制 企业网盘实际运作时，系统管理员一般只是普通员工，书生企业网盘设计时就对系统管理员各种权限进行了限制，保证数据安全 提供开放接口方便二次开发 各软件模块采用分层松耦合架构，在PaaS层上实现了数据加密、重复数据删除和在线浏览，并对外提供开放存储API接口： 竞品分析 项目 书生 联想 华为 基础架构 可为用户提供软硬件一体化的解决方案，通过SAS交换架构和书生分布式文件系统为用户提供海量高性能可靠的基础架构 基于开源分布式文件系统，部署复杂 基于开源分布式文件系统，部署复杂 数据安全 独有的Truprivacy数据加密技术，端到端无缝加密，一文一密，保证即使云端管理员也无法获取用户文件内容 AES256数据加密，不能一文一密，云端管理员可以获取用户文件内容 AES256数据加密，不能一文一密，云端管理员可以获取用户文件内容 系统功能 组织架构管理、用户管理、权限管理 组织架构管理、用户管理、权限管理 组织架构管理、用户管理、、权限管理 文件管理 上传、下载、共享、分享、查找等，上传文件大小无限制 上传、下载、共享、分享、查找等，上传文件大小有限制 上传、下载、共享、分享、查找等，上传文件大小有限制 典型用户案例-东风汽车 用户文件管理存在的问题 书生企业云盘解决方案 感谢聆听 * * SAS交换机为高性能低成本的云存储平台硬件基础 存储平台：提供高性能可扩展低成本的云存储平台(聚合式软件定义存储) 计算平台：可靠高效的虚拟化平台KVM * * * 低时延：原生SCSI协议，数据传输效率高 高带宽：单端口24Gb/s 全局存储池：不像云存储系统，每个控制器只能访问本地硬盘，Surcloud中每个控制器可以“看到”后端所有硬盘（相当于没有划ZONE、VLAN） 数据本地访问：原生SAS网络连接，读写都不涉及与其他节点的交互，提供了相当于本地硬盘访问效率的低延迟数据传输通道 动态管理：软件划分每个服务器所管理的磁盘，当某个节点不可用时，可以实时将其加载的磁盘动态挂载到其他节点上，不影响正常的读写访问，当节点恢复后，直接挂回原有磁盘，不需要数据副本之间的同步（重构）过程 成本低：一台SAS交换机成本只有2000美元，比专有交换网络成本低很多。 * 存储控制器以虚拟机的方式部署在裸金属架构的虚拟化平台上，每台物理服务器都有一个存储虚拟机，该物理服务器上的所有计算虚拟机都自动连接到本地的存储虚拟机，存储虚拟机通过SAS交换机连接到JBOD直接读写硬盘或SSD，并可以横向扩展，这样当虚拟机数量迅猛增长后，不会出现存储瓶颈；计算到存储之间不经过任何物理交换设备，直接通过CPU总线交换，数据路径被缩短到极致。通过采用计算和存储聚合架构，减少了硬件设备的采购数量，对于提供公有云业务的大型企业，这种采购成本的降低是一笔不小的数目。 * 存储控制器以虚拟机的方式部署在裸金属架构的虚拟化平台上，每台物理服务器都有一个存储虚拟机，该物理服务器上的所有计算虚拟机都自动连接到本地的存储虚拟机，存储虚拟机通过SAS交换机连接到JBOD直接读写硬盘或SSD，并可以横向扩展，这样当虚拟机数量迅猛增长后，不会出现存储瓶颈；计算到存储之间不经过任何物理交换设备，直接通过CPU总线交换，数据路径被缩短到极致。通过采用计算和存储聚合架构，减少了硬件设备的采购数量，对于提供公有云业务的大型企业，这种采购成本的降低是一笔不小的数目。 * * 访问接口：通过软件堆栈的方式实现用户需要访问的存储接口，用户按需在存储服务器内配置数据块、文件或对象访问接口，支持负载均衡和IP漂移 元数据：采用多副本分布式存储方式，彻底消除传统云存储系统的元数据节点访问瓶颈和高可用性问题 底层文件系统：动态加载后端存储设备，进行数据“本地”读写。 * 1.SSD命中，从SSD中读取数据 2.SSD不命中，从硬盘读取数据，然后缓存到SSD中，便于下次读取 * 假定一个VP，里面6块硬盘，每一个格子代表一个条带，应用纠删码技术保证数据可靠性。 纠删码N+M，N：原始数据块，M：校验块，图示为N+1，相当于RAID 5，通过原始数据块计算校验块，然后写入N+M个数据块区域，我们保证N+M个数据块处于不同的JBOD中 将原始数据块分成N（这里N=5）个条带， * 上面的点表