最全云計算平臺設(shè)計方案

#/60限制對正在運行vCenter的主機(jī)的管理訪問。vCenter自身應(yīng)該運行在一個專門為此目的準(zhǔn)備的獨立管理帳戶下管理網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)應(yīng)該相互隔離以限制可能造成對管理功能未經(jīng)授權(quán)訪問的風(fēng)險。如果授權(quán)管理訪問權(quán)限，應(yīng)該適用最低權(quán)限原則。>管理訪問權(quán)限應(yīng)該盡可能與個人責(zé)任聯(lián)系在一起。應(yīng)該限制對根用戶等共享管理帳戶的訪問，同時還應(yīng)嚴(yán)格限制“su”等工具。>基于角色的訪問控制（RBAC）提供了一種將管理功能分為多個單獨角色的方法，授權(quán)用戶可以根據(jù)需要調(diào)用角色。對于VMwarevCenter，它的CustomRoles功能提供了一種根據(jù)角色定義和分離管理權(quán)限的內(nèi)置方法。環(huán)境監(jiān)控非常重要，尤其是監(jiān)控管理訪問和操作，包括授權(quán)和未經(jīng)授權(quán)的訪問與操作。公司應(yīng)該在計劃部署事件管理工具時深入了解虛擬化風(fēng)險。這包括監(jiān)控對虛擬機(jī)映像存儲資源的訪問。在此，基于RBAC的角色分離應(yīng)該有助于確保那些具有管理訪問權(quán)限的用戶不能同時具有篡改管理操作證據(jù)的能力。虛擬化數(shù)據(jù)中心安全架構(gòu)OSME毎申規(guī)盂譽(yù)鑾按以滉息?具一悵可行信掏時統(tǒng)匯統(tǒng)既進(jìn)度世同K的系建鋁化咸噬擬化的至全釁珞氏全啞制應(yīng)當(dāng)民富擬化基礎(chǔ)架冏核心幵皓’冽如將蛆化主機(jī)"塩擬佬軟件OSME毎申規(guī)盂譽(yù)鑾按以滉息?具一悵可行信掏時統(tǒng)匯統(tǒng)既進(jìn)度世同K的系建鋁化咸噬擬化的至全釁珞氏全啞制應(yīng)當(dāng)民富擬化基礎(chǔ)架冏核心幵皓’冽如將蛆化主機(jī)"塩擬佬軟件哽件和虎擬化平臺的整甘監(jiān)控確據(jù)計算平臺環(huán)逼的安至可靠圖-虛擬化數(shù)據(jù)中心安全參考架構(gòu)在虛擬化數(shù)據(jù)中心安全設(shè)計當(dāng)中，由于相比于傳統(tǒng)的安全管理環(huán)境增加了虛擬化層，并且由于虛擬化漂移技術(shù)的出現(xiàn)，和動態(tài)資源變更的需求特點，必須要考慮更多的原則，來確保整體的虛擬化數(shù)據(jù)中心安全。硬件和虛擬化平臺的整合監(jiān)控：對基礎(chǔ)架構(gòu)的安全監(jiān)控不僅僅需要針對物理設(shè)備，且需要對虛擬化資源進(jìn)行監(jiān)控，如虛擬化系統(tǒng)文件，虛擬化網(wǎng)絡(luò)設(shè)備，虛擬化計算資源池等，做到確保計算平臺環(huán)境的安全。從虛擬架構(gòu)層開始：在虛擬化環(huán)境當(dāng)中，存在虛擬化宿主服務(wù)器，用戶可能采用多種虛擬化技術(shù)來進(jìn)行虛擬化的實現(xiàn)，安全監(jiān)控應(yīng)當(dāng)能夠深入到虛擬化架構(gòu)中，對虛擬化技術(shù)產(chǎn)品進(jìn)行監(jiān)控，如虛擬化環(huán)境下的攻擊可能并不發(fā)生在從某一物理端口到另一端口，而是在虛擬化服務(wù)平臺上，同一臺物理服務(wù)器內(nèi)部的兩個虛擬機(jī)之間。邏輯化安全策略：在虛擬化環(huán)境中，虛擬化服務(wù)器，虛擬化網(wǎng)絡(luò)端口都可能隨著資源的動態(tài)變化進(jìn)行資源池內(nèi)的漂移，安全策略不能綁定或固定在某一個物理的資源上，必須能夠跟隨虛擬資源進(jìn)行動態(tài)變化。統(tǒng)一匯報和深度挖掘：在虛擬化環(huán)境中，資源的復(fù)雜度相比物理環(huán)境下層次更多，互相之間的聯(lián)系也更加復(fù)雜，且動態(tài)變化，虛擬化環(huán)境下的安全管理系統(tǒng)應(yīng)當(dāng)能夠從眾多聯(lián)系之中，眾多安全事件的聯(lián)系之中，給出聯(lián)合的匯報，并可以對具體的事件進(jìn)行細(xì)化分析，深度挖掘，幫助管理員迅速找到安全問題。虛擬化數(shù)據(jù)中心安全組成安全解決方案包括信息安全領(lǐng)域通用的安全措施，同時針對虛擬化的引入，應(yīng)當(dāng)具有特別針對虛擬化提出了相應(yīng)的解決手段，主要包括五部分內(nèi)容：硬件平臺加固對虛擬化總線和管理層進(jìn)行加固，同時遵循虛擬化技術(shù)廠家，互聯(lián)網(wǎng)安全中心（CIS）和信息系統(tǒng)防御組織（DISA）的標(biāo)準(zhǔn)。虛擬化增加了新的總線Hypervisor層（也可以被看做是虛擬機(jī)管理器層），在這一層，總線層對虛擬資源進(jìn)行分配和調(diào)度等工作；同時虛擬化架構(gòu)還包括虛擬網(wǎng)絡(luò)和虛擬交換機(jī)。所有的這些組件，在傳統(tǒng)的數(shù)據(jù)中心都是由物理機(jī)構(gòu)成的。虛擬化技術(shù)同時還引入了新的管理層，負(fù)責(zé)對虛擬架構(gòu)的管理。所以為了減少未授權(quán)訪問的風(fēng)險，Hypervisor層和管理層必須被“加固”。系統(tǒng)加固幫助減少了系統(tǒng)的安全脆弱性，通過一系列的措施，例如為虛擬架構(gòu)平臺配置安全的設(shè)置，應(yīng)用最新的補(bǔ)丁包。虛擬化服務(wù)器對于它的虛擬化架構(gòu)安全提供了一系列的加固方法，自動化的工具大大的降低了管理工作的負(fù)擔(dān)。可以幫助每個系統(tǒng)確保配置成符合行業(yè)標(biāo)準(zhǔn)的系統(tǒng)，并且可以定制化配置特性，同時提供了系統(tǒng)變更的監(jiān)控和管理。配置和變更管理對于虛擬化系統(tǒng)的配置和變更管理，對于保證IT系統(tǒng)的準(zhǔn)確性和靈活性有重要的作用。虛擬環(huán)境的訪問控制規(guī)則安全認(rèn)證用來增強(qiáng)強(qiáng)壯的，多重的管理員身份認(rèn)證，使得認(rèn)證用戶在訪問虛擬化服務(wù)器管理終端的時候是可信的。虛擬環(huán)境中的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)隔離充分利用虛擬化軟件提供的功能（虛擬交換機(jī)，虛擬防火墻）妥善段虛擬機(jī)和虛擬網(wǎng)絡(luò)。日志審計為客戶提供了虛擬化平臺原始的日志審計，并且可以對特定事件進(jìn)行告警。并且，安全管理平臺可以配置成對特定的異常和懷疑的行為進(jìn)行告警，例如當(dāng)有新的機(jī)器進(jìn)入到虛擬的數(shù)據(jù)中心等等。2.1.7虛擬化數(shù)據(jù)中心容災(zāi)數(shù)據(jù)中心容災(zāi)的挑戰(zhàn)近年來，很多企業(yè)都在面臨一大難題，即：如何對他們的基礎(chǔ)設(shè)施、技術(shù)和網(wǎng)絡(luò)進(jìn)行災(zāi)難備份與恢復(fù)，以保證其業(yè)務(wù)連續(xù)性。一個高性價比的容災(zāi)解決方案可以幫助企業(yè)以一定的IT投入獲得最大的產(chǎn)出，同時很好地保護(hù)企業(yè)的業(yè)務(wù)免于災(zāi)難事件的影響。在多年以前的主機(jī)時代，很多企業(yè)選擇建設(shè)第二數(shù)據(jù)中心，以此來平衡生產(chǎn)中心的工作量，并對企業(yè)的備份能力進(jìn)行測試和改進(jìn)，從而滿足業(yè)務(wù)運營的要求并提供災(zāi)難恢復(fù)保障。隨著時代的變遷，數(shù)據(jù)中心的工作量不斷膨脹，對第二數(shù)據(jù)中心的管理和協(xié)調(diào)也越來越困難。為滿足由于業(yè)務(wù)增長而急劇增加的數(shù)據(jù)量對數(shù)據(jù)中心的要求，更大、更復(fù)雜的數(shù)據(jù)中心環(huán)境開始出現(xiàn)。除此之外，眾多分布式技術(shù)平臺和安裝在各種層面上的系統(tǒng)軟件不斷出現(xiàn)，而網(wǎng)絡(luò)技術(shù)的發(fā)展也使得“隨時隨地任意互聯(lián)”成為可能。很多企業(yè)開始認(rèn)識到技術(shù)已經(jīng)越來越難以維護(hù)和管理，這不僅增加了維持災(zāi)難恢復(fù)能力的復(fù)雜性，也導(dǎo)致了管理一個完全冗余的第二數(shù)據(jù)中心無法實現(xiàn)，特別是考慮到對財務(wù)、運營和技術(shù)方面的整體影響。為了幫助解決這些問題,IT服務(wù)提供商引進(jìn)了多企業(yè)共享災(zāi)難恢復(fù)設(shè)施的概念——建設(shè)一個配備各種必需技術(shù)的綜合基礎(chǔ)設(shè)施，它可以被虛擬地劃分為任意大小并進(jìn)行相應(yīng)的配置。這一“熱站”概念為客戶的個性化需求提供了一個資源池，并且全部都由第三方供應(yīng)商在異地管理，因此可以遠(yuǎn)離企業(yè)的生產(chǎn)中心。這第一次證明了虛擬化災(zāi)難恢復(fù)策略的可實現(xiàn)性。數(shù)據(jù)中心容災(zāi)中的虛擬化從整體上看，虛擬化方法的主要好處是可以通過整合來實現(xiàn)規(guī)模效應(yīng)。大量的服務(wù)器、存儲和網(wǎng)絡(luò)集中在一個資源池中管理，并可以按需配置。從災(zāi)難恢復(fù)的角度來看，當(dāng)災(zāi)難發(fā)生時，資源池可以配置更多的容量和網(wǎng)絡(luò)接入來幫助恢復(fù)主要生產(chǎn)環(huán)境。虛擬化方法有其獨特的吸引力，但還需要考慮很多潛在的因素。在虛擬化技術(shù)下，服務(wù)提供商可以在個性化需求的基礎(chǔ)上為企業(yè)提供約定的資源。為實現(xiàn)對硬件的最大化利用，單一物理設(shè)備將被虛擬化為多個分區(qū)，從而實現(xiàn)對多個環(huán)境進(jìn)行恢復(fù)。同時，這種方式也允許企業(yè)只購買其需要的資源。隨著時間的推移，對分布式處理恢復(fù)的更大需求越來越明顯和必要。企業(yè)開始認(rèn)識到利用軟件去裝備虛擬機(jī)器的技術(shù)，這種技術(shù)可以在恢復(fù)場地的獨立硬件設(shè)備上進(jìn)行恢復(fù)，同時使得明確和描述恢復(fù)過程變得更加容易——只需明確定義備份，以及嚴(yán)格遵守硬件的具體要求即可。假設(shè)容量、存儲和界面足夠充分可以為每個個體提供相等或更多吞吐量，就可以實現(xiàn)大量的虛擬機(jī)器恢復(fù)到一個物理點上。數(shù)據(jù)容災(zāi)的等級和技術(shù)容災(zāi)備份是通過在異地建立和維護(hù)一個備份存儲系統(tǒng)，利用地理上的分離來保證系統(tǒng)和數(shù)據(jù)對災(zāi)難性事件的抵御能力。根據(jù)容災(zāi)系統(tǒng)對災(zāi)難的抵抗程度，可分為數(shù)據(jù)容災(zāi)和應(yīng)用容災(zāi)。數(shù)據(jù)容災(zāi)是指建立一個異地的數(shù)據(jù)系統(tǒng)，該系統(tǒng)是對本地系統(tǒng)關(guān)鍵應(yīng)用數(shù)據(jù)實時復(fù)制。當(dāng)出現(xiàn)災(zāi)難時，可由異地系統(tǒng)迅速接替本地系統(tǒng)而保證業(yè)務(wù)的連續(xù)性。應(yīng)用容災(zāi)比數(shù)據(jù)容災(zāi)層次更高，即在異地建立一套完整的、與本地數(shù)據(jù)系統(tǒng)相當(dāng)?shù)膫浞輵?yīng)用系統(tǒng)（可以同本地應(yīng)用系統(tǒng)互為備份，也可與本地應(yīng)用系統(tǒng)共同工作）。在災(zāi)難出現(xiàn)后，遠(yuǎn)程應(yīng)用系統(tǒng)迅速接管或承擔(dān)本地應(yīng)用系統(tǒng)的業(yè)務(wù)運行。設(shè)計一個容災(zāi)備份系統(tǒng)，需要考慮多方面的因素，如備份/恢復(fù)數(shù)據(jù)量大小、應(yīng)用數(shù)據(jù)中心和備援?dāng)?shù)據(jù)中心之間的距離和數(shù)據(jù)傳輸方式、災(zāi)難發(fā)生時所要求的恢復(fù)速度、備援中心的管理及投入資金等。根據(jù)這些因素和不同的應(yīng)用場合，通?？蓪⑷轂?zāi)備份分為四個等級。第0級:沒有備援中心這一級容災(zāi)備份，實際上沒有災(zāi)難恢復(fù)能力，它只在本地進(jìn)行數(shù)據(jù)備份，并且被備份的數(shù)據(jù)只在本地保存，沒有送往異地。第1級:本地磁帶備份，異地保存在本地將關(guān)鍵數(shù)據(jù)備份，然后送到異地保存。災(zāi)難發(fā)生后，按預(yù)定數(shù)據(jù)恢復(fù)程序恢復(fù)系統(tǒng)和數(shù)據(jù)。這種方案成本低、易于配置。但當(dāng)數(shù)據(jù)量增大時，存在存儲介質(zhì)難管理的問題，并且當(dāng)災(zāi)難發(fā)生時存在大量數(shù)據(jù)難以及時恢復(fù)的問題。為了解決此問題，災(zāi)難發(fā)生時，先恢復(fù)關(guān)鍵數(shù)據(jù)，后恢復(fù)非關(guān)鍵數(shù)據(jù)。第2級:熱備份站點備份在異地建立一個熱備份點，通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)備份。也就是通過網(wǎng)絡(luò)以同步或異步方式，把主站點的數(shù)據(jù)備份到備份站點，備份站點一般只備份數(shù)據(jù)，不承擔(dān)業(yè)務(wù)。當(dāng)出現(xiàn)災(zāi)難時，備份站點接替主站點的業(yè)務(wù)，從而維護(hù)業(yè)務(wù)運行的連續(xù)性。第3級:活動備援中心在相隔較遠(yuǎn)的地方分別建立兩個數(shù)據(jù)中心，它們都處于工作狀態(tài)，并進(jìn)行相互數(shù)據(jù)備份。當(dāng)某個數(shù)據(jù)中心發(fā)生災(zāi)難時，另一個數(shù)據(jù)中心接替其工作任務(wù)。這種級別的備份根據(jù)實際要求禾仃殳入資金的多少,又可分為兩種:①兩個數(shù)據(jù)中心之間只限于關(guān)鍵數(shù)據(jù)的相互備份;②兩個數(shù)據(jù)中心之間互為鏡像，即零數(shù)據(jù)丟失等。零數(shù)據(jù)丟失是目前要求最高的一種容災(zāi)備份方式，它要求不管什么災(zāi)難發(fā)生，系統(tǒng)都能保證數(shù)據(jù)的安全。所以，它需要配置復(fù)雜的管理軟件和專用的硬件設(shè)備，需要殳資相對而言是最大的，但恢復(fù)速度也是最快的。虛擬化災(zāi)難恢復(fù)策略的要點在使用虛擬化災(zāi)難恢復(fù)策略時需要考慮以下要點：恢復(fù)容量制定虛擬化災(zāi)難恢復(fù)策略的時候很重要的一點是考慮容量。企業(yè)通常會認(rèn)為恢復(fù)時容量利用率不會超過100%.事實上，由于恢復(fù)的啟動階段會將系統(tǒng)推向極致，所需容量可能會超過生產(chǎn)容量。此外，恢復(fù)過程中有大量的跟進(jìn)工作，這些工作也需要容量。配套資源恢復(fù)能力雖然是需要考慮的重點，但其它各種支持生產(chǎn)環(huán)境的要素也要考慮在內(nèi)。這些要素包括處理器資源（存儲、設(shè)備界面等）、磁盤資源（存儲陣列、存儲場地網(wǎng)絡(luò)SANs、磁盤簇等）、外圍設(shè)備（控制單元、終端、刀片等）、基礎(chǔ)設(shè)施（外部交換機(jī)）和網(wǎng)絡(luò)連通性（交換機(jī)、資源獨立、網(wǎng)絡(luò)冗余和可測量性避免災(zāi)難恢復(fù)失敗的一個重點是確保虛擬化資源保持獨立，而不需要依賴主生產(chǎn)環(huán)境。網(wǎng)絡(luò)冗余是指不僅為內(nèi)部用戶，還必須為外部用戶（如客戶、業(yè)務(wù)伙伴、供應(yīng)商等）提供接入?？蓽y量性則是處理災(zāi)難恢復(fù)和生產(chǎn)運營的工作量峰值所必需的。恢復(fù)計劃測試制定虛擬化災(zāi)難恢復(fù)策略非常重要的一點是考慮對計劃的有效測試。測試應(yīng)在系統(tǒng)層面上全面進(jìn)行，以有效地了解特定時間段內(nèi)工作量對虛擬化資源的要求，同時驗證業(yè)務(wù)的完整性和基礎(chǔ)設(shè)施的有效性。雖然局部的功能測試更容易安排，但卻無法保證測試結(jié)果的真實性，因此會導(dǎo)致測試的效果大打折扣。重設(shè)工作量計劃不論是真實情況下還是演練過程中，恢復(fù)時都應(yīng)該制定詳細(xì)的計劃來管理整個過程中不斷變化的工作量。該計劃應(yīng)該包括一份高層認(rèn)可的正式時間表，一份恢復(fù)時資源分配的備選工作計劃，一個對偏移工作量的日常備份流程，以及一份在備用場地復(fù)原這些工作的經(jīng)過測試的恢復(fù)計劃。災(zāi)難恢復(fù)風(fēng)險控制在制定虛擬化災(zāi)難恢復(fù)策略時應(yīng)考慮到給業(yè)務(wù)帶來的風(fēng)險。由于虛擬化的固有弱點，距離可能會受到限制，但地理的多樣性必須被考慮在內(nèi)?；謴?fù)場所應(yīng)該與企業(yè)已有的風(fēng)險規(guī)避策略所明確的風(fēng)險承受能力相符，而不應(yīng)該是滿足技術(shù)要求的結(jié)果。清晰明確的工作量在確定構(gòu)成虛擬池的具體資源之前，很重要的一點是要了解災(zāi)難恢復(fù)的工作量。明確業(yè)務(wù)的優(yōu)先次序和臨界點，制定出與處理流程、應(yīng)用的集成和相互依賴性、以及IT支持模塊相關(guān)的詳細(xì)計劃，從而保證虛擬化環(huán)境的可恢復(fù)性。保持完整性的規(guī)則包括問題、變更、事件、配置和資產(chǎn)管理在內(nèi)的嚴(yán)格的系統(tǒng)管理規(guī)則是實施任何新的虛擬化災(zāi)難恢復(fù)策略的前提。這對保持恢復(fù)環(huán)境的完整性是至關(guān)重要的，同時對虛擬化資源池的最終操作、監(jiān)控和維護(hù)的有效性也是至關(guān)重要的。業(yè)務(wù)和IT報告對災(zāi)難恢復(fù)項目進(jìn)程的跟蹤、狀態(tài)的傳遞和結(jié)果的報告是所有災(zāi)難恢復(fù)項目的重要輸出，對于判斷IT功能虛擬化所進(jìn)行的大量投入的效果是非常重要的。2.1.8應(yīng)用部署參考標(biāo)準(zhǔn)并非所有的應(yīng)用都可以遷移到虛擬化環(huán)境，但是應(yīng)當(dāng)盡可能的遷移到虛擬化環(huán)境中。當(dāng)虛擬環(huán)境下進(jìn)行應(yīng)用進(jìn)行部署時會存在兩種情況：＞從物理環(huán)境遷移到虛擬化環(huán)境＞在虛擬化環(huán)境下直接部署新的應(yīng)用在虛擬環(huán)境下進(jìn)行應(yīng)用部署時應(yīng)當(dāng)遵循以下的原則：＞戰(zhàn)略制定設(shè)計應(yīng)用虛擬化戰(zhàn)略，獲得最終的架構(gòu)圖，以降低整體部署的復(fù)雜度并確保得到最優(yōu)的價值。＞單一目的服務(wù)器使用單一目的的服務(wù)器來簡化管理，并且能夠提供更優(yōu)的獨立性、降低應(yīng)用沖突和提升資源利用率。＞Active-Active將關(guān)鍵業(yè)務(wù)應(yīng)用復(fù)雜部署到多個服務(wù)器上，并實現(xiàn)共同服務(wù)，以分散風(fēng)險，避免當(dāng)系統(tǒng)出現(xiàn)故障時的意外業(yè)務(wù)停止。＞備份維護(hù)基于快照的備份，提供更加可靠和穩(wěn)固的恢復(fù)能力。＞可遷移采用基于SAN啟動的服務(wù)器，確保應(yīng)用系統(tǒng)可以隨時遷移到不同的物理服務(wù)器上，避免單一服務(wù)器故障點。＞安全維護(hù)正確的訪問控制列表，采用可靠的認(rèn)真技術(shù)，如果需要的話，應(yīng)當(dāng)采用數(shù)據(jù)加密技術(shù)對應(yīng)用產(chǎn)生的敏感性數(shù)據(jù)進(jìn)行加密。＞標(biāo)準(zhǔn)化配置采用標(biāo)準(zhǔn)化的LUN，系統(tǒng)配置等，讓部署更加快速。＞將SWAP空間存方攵在非虛擬磁盤上。在虛擬化環(huán)境下部署應(yīng)用不存在標(biāo)準(zhǔn)流程，但是通過上述的原則可以獲得部署的指導(dǎo)。無論應(yīng)用時從物理服務(wù)器上遷移還是全新建立，一定要理解應(yīng)用的特性并且準(zhǔn)備針對性的部署方案。2.2云計算服務(wù)門戶2.2.1云服務(wù)門戶在新的服務(wù)模式中，IT是業(yè)務(wù)部門的服務(wù)提供者，這樣既實現(xiàn)了云計算的優(yōu)勢，又不會犧牲安全性和控制力。用戶將體驗到前所未有的響應(yīng)速度和靈活性，而IT部門則通過更高程度的整合、任務(wù)自動化和簡化管理而得以降低成本。＞用戶只需點擊一下按鈕即可部署預(yù)先配置好或已定制的服務(wù)，即可提高業(yè)務(wù)靈活性。＞禾U用基于策略的用戶控制技術(shù)和安全技術(shù)，可以保持多租戶環(huán)境的安全性和可控性。＞以虛擬數(shù)據(jù)中心的形式向內(nèi)部組織高效地提供資源以提高整合率并簡化管理；可以降低成本。＞以漸進(jìn)方式實現(xiàn)云計算一利用現(xiàn)有投資和開放標(biāo)準(zhǔn)，以保證云之間的互操作性和應(yīng)用程序可移植性云計算服務(wù)云計算服務(wù)門戶與底層虛擬化平臺協(xié)同工作，可以將基礎(chǔ)架構(gòu)作為服務(wù)提供給終端用戶來使用，即IaaS，包括了對IaaS使用流程的管理，資源生命周期的管理以及所提供的服務(wù)內(nèi)容的管理。IaaS服務(wù)采用自服務(wù)的方式，服務(wù)的生命周期如下圖：r>通用謚廊;也；*鶴日章席壞』（如■務(wù)■傘位射建IaaS服務(wù)采用自服務(wù)的方式，服務(wù)的生命周期如下圖：r>通用謚廊;也；*鶴日章席壞』（如■務(wù)■傘位射建Kt￡LJW町剛的痕券JK^'I'Wf和MttIaaS服務(wù)生命周期主要分成以下幾個階段：＞服務(wù)模板定義主要指準(zhǔn)備云計算環(huán)境，將各種合適的資源納入到云計算資源池，準(zhǔn)備標(biāo)準(zhǔn)的計算能力。＞創(chuàng)建服務(wù)目錄主要指將計算資源標(biāo)準(zhǔn)化，按照服務(wù)的方式進(jìn)行提供。服務(wù)目錄中的資源可以為服務(wù)器、可以為單個的CPU或內(nèi)存、可以為存儲容量、可以為應(yīng)用軟件、可以為特定執(zhí)行程序，服務(wù)目錄是一個云計算環(huán)境可用計算資源的集中體現(xiàn)。＞服務(wù)訂閱主要是指云服務(wù)消費者申請云計算能力和服務(wù)，或者更改某個已有的服務(wù)申請。云計算環(huán)境越是龐大、其服務(wù)管理就越是要求準(zhǔn)確和嚴(yán)格。如果出現(xiàn)計劃服務(wù)的時間無法獲得所需的計算資源，就會影響相關(guān)服務(wù)申請的服務(wù)水平，從而給使用部門，即云服務(wù)消費者，帶來業(yè)務(wù)上的損失。＞服務(wù)運行服務(wù)運行首先意味著服務(wù)的供應(yīng)，通過自動化的供應(yīng)平臺使消費者在指定的時間獲得云計算資源；其次意味著服務(wù)的管理，需要確保云計算服務(wù)的質(zhì)量，包括計算性能和可靠性。這些都是云計算服務(wù)中需要關(guān)注的部分。＞服務(wù)終止當(dāng)消費者不再需要服務(wù)時，服務(wù)會被終止，資源會被回收。資源可以重新放回資源池以重新利用。IaaS的生命周期圍繞著業(yè)務(wù)需求將計算資源得以最大限度地使用，所以IaaS服務(wù)部件需要計算資源，也同樣需要對其生命周期進(jìn)行管理的平臺。云計算服務(wù)管理平臺可以涵蓋云計算服務(wù)提供所需的各個環(huán)節(jié)，通常包括：服務(wù)申請和流程管理服務(wù)交付和回收，自動供應(yīng)平臺■資源使用統(tǒng)計和計費■服務(wù)質(zhì)量監(jiān)控■其它的支撐服務(wù)，包括安全性等在整個服務(wù)的生命周期包括兩類參與角色，終端用戶即服務(wù)訂閱者，云平臺運營管理用戶，包括云計算平臺管理員，服務(wù)目錄管理者和服務(wù)水平管理員。用戶申請資源IaaS時，可以指定需要使用的資源的起始/結(jié)束日期。申請資源在需要使用的日期之前，不會占用云計算中心的實際資源。在使用日期之前，云計算服務(wù)門戶平臺會自動在有合適的可用資源的資源池中，自動部署所需要的虛擬服務(wù)器（主機(jī)名、IP地址、CPU、內(nèi)存、存儲空間）及應(yīng)用。云計算基礎(chǔ)架構(gòu)以虛擬數(shù)據(jù)中心的形式為內(nèi)/外部組織提供資源。通過以邏輯方式將計算、存儲和網(wǎng)絡(luò)容量組合成虛擬數(shù)據(jù)中心資源池，可以利用在計算中心服務(wù)的交付和提供

環(huán)節(jié)之間的完全抽象化，更高效地管理資源。不再是為組織提供孤立的多個物理基礎(chǔ)架構(gòu)，而是基于公用物理基礎(chǔ)架構(gòu)提供相互隔離的虛擬數(shù)據(jù)中心。通過將這些后端物理資源創(chuàng)建為資源池，硬件利用率和整合率都獲得了提高。類似地，底層基礎(chǔ)架構(gòu)也可以聚合到不同的層中，以不同的服務(wù)級別和價格向用戶提供。訂問拉散用戶云齡訪問就粗卓：日轡可生署黃迢用戶云至更網(wǎng)學(xué)尹卻網(wǎng)宰世”DCs比vDCs甜”DC高。類似地，底層基礎(chǔ)架構(gòu)也可以聚合到不同的層中，以不同的服務(wù)級別和價格向用戶提供。訂問拉散用戶云齡訪問就粗卓：日轡可生署黃迢用戶云至更網(wǎng)學(xué)尹卻網(wǎng)宰世”DCs比vDCs甜”DC提供B*9￡：ffiar衍|i￡3h也-二W」」vAddNe:work—”允許用戶以自助方式訪問自己的虛擬數(shù)據(jù)中心云計算服務(wù)門戶改變了組織使用云計算服務(wù)的方式。不必再填寫服務(wù)臺申請單并排隊等待，現(xiàn)在，應(yīng)用程序和業(yè)務(wù)線所有者可以利用自助門戶來訪問自己的虛擬數(shù)據(jù)中心。云計算服務(wù)門戶使用戶能夠通過一個Web門戶和編程接口，將這些資源作為一項目錄服務(wù)來使用。IT團(tuán)隊可以針對同一基礎(chǔ)架構(gòu)定義多種使用模式，從按需提供容量到保留池不等。通過與有助于推動責(zé)任管理并實現(xiàn)精確使用量監(jiān)控的計費軟件集成，可以以適當(dāng)?shù)某杀灸Ｐ吞峁┻@些資源。最終，IT組織可利用基于現(xiàn)有LDAP（輕型目錄訪問協(xié)議）目錄服務(wù)實現(xiàn)的角色訪問控制機(jī)制，通過權(quán)限、