多方位实现云数据中心的数据存储安全.docxVIP

PAGE 1 PAGE 1 多方位实现云数据中心的数据存储安全  云计算的一个特征就是通过公有或者私有网络来供应资源和服务，租户的数据的存储和计算资源都在云端，服务的结果通过网络返回给租户。  云计算的一个特征就是通过公有或者私有网络来供应资源和服务，租户的数据的存储和计算资源都在云端，服务的结果通过网络返回给租户。于此同时云计算数据中心面临的安全威逼是前所未有的，云计算数据中心为了提高资源的使用效率，不同租户之间共享计算资源池、存储资源池、网络资源池，在这种状况下如何实现租户之间的安全隔离和防护恶意攻击等安全问题，是我们尤为关注的。云计算的安全涉及的领域特别广，本文仅以云计算平台（以下简称云平台）的数据存储安全如何实现，并结合云平台建设的实际案例进行分析阐述。  云平台面临的数据存储安全的挑战主要有几个方面：数据的高可用性；数据的稳定性；数据的长久可用性和数据的访问安全性。  1、数据的高可用性，即数据存储装置的可用性达到99.99%以上的级别。  目前云计算数据中心使用的数据存储装置，主要分为几类，即在线存储，近线存储和离线存储。满意租户业务实时性要求高的，安全性要求高的，保证业务连续性要求高的数据存储装置一般是在线存储。目前的在线存储主要是通常我们所说的存储阵列，存储阵列又分为基于SAN、NAS、DAS架构的存储阵列。其中基于数据块的SAN网络化的存储架构和基于文件网络附加存储NAS，底层磁盘技术很通用，为此近两年推出的统一存储UnifiedStorage可以支持不同的存储协议，为主机系统供应统一的数据存储，越来越多的云计算数据中心已经或计划采用这种多协议存储。云计算数据中心的存储利用存储虚拟化技术，可以将底层传统的多种存储进行池化统一管理，可以满意不同租户敏捷的存储需求。  存储阵列的高可用性主要体现在存储掌握器结构以及磁盘RAID保护技术。不同存储的存储掌握器有着不同的结构，中低端存储阵列多采用双掌握器结构，多采用主备方式来保证存储的高可用性；高端存储阵列多采用多掌握器结构（矩阵直连式，矩阵交换式，全分布式，智能矩阵式，全交换式，动态虚拟矩阵式等等），多采用负载均衡方式不但满意存储的高可用性，而且适应高端存储的高I/O吞吐量需求。  我们在进行一个云平台建设项目的存储选型过程中，结合实际应用场景以及成本预算考虑，最终采用中高端存储，采用多掌握器结构，多掌握器负载均衡方式保证掌握器节点的高可用性。  存储阵列的高可用性的另一个方面是磁盘RAID保护技术的应用，目前企业级用户依据不同的应用场景会选择RAID0，1，10，3，5，6等等RAID方式，通常设计RAID保护类型的时候会结合业务的特点，同时考虑成本、保护级别、读写性能以及写处罚（RAIDWritePenalty）几个方面。RAID-1供应比较好的读写性能，RAID-5读性能不错，但是写入性能就不如RAID-1，RAID-6保护级别更高，但写性能相对比较差，RAID10是供应最好的性能和数据保护，不过成本最高。存储的性能直接影响到前端应用访问的能力，所以要求存储具有较高的可用性保障能力，要求存储阵列不仅仅能达到“能运行”这个等级，还要达到能够支撑前端应用的实时访问的性能要求。为此在RAID层面上分析写处罚和磁盘供应的吞吐能力IOPS也是特别关键的。如下表所示，不同RAID级别的写处罚值。  其中RAID-0是直接数据条带方式，数据每次写入会对应物理磁盘上的一次写入操作，所以写处罚值为1。RAID-1和RAID10，由于数据是镜像方式存在的，所以对于每一个数据写入会有两次写入磁盘操作，所以写处罚值为2。RAID-5是采用奇偶校验的计算机制，对于任何一次数据写入，在存储端，需要分别进行两次读加两次写的磁盘操作，需要读数据、读校验位、写数据、写校验位四个步骤，所以RAID-5的写处罚值是4。RAID-6由于有两个校验位的存在，与RAID-5相比，需要读取两次校验位和写入两次校验位，所以RAID-6的写处罚值是6。设计存储的IO吞吐量需要参考存储中磁盘可以供应的IOPS值，这个值就是通过下面公式估算出来的：  可供应的IOPS=（物理磁盘的IOPS×磁盘数目×写百分比÷RAID写处罚）+（物理磁盘总的IOPS×读百分比）。  业界通用参考的不同应用程序对应的I/O大小、读写比例、随机和顺序比例如下面：“不同应用的I/O读写比例表”所示。  我们在进行云平台的设计过程中充分考虑了承载业务的类型，通过对比分析以及实际测试得出了较为合理的设计结论，云平台建设过程中依据应用访问读写比例类型的不同采用RAID10，RAID5不同的级别，满意顺