4.2　公有云解決方案

公有云解決方案即面向可公開通過互聯網在線對外提供計算、存儲、軟件、服務等可量化、可計費的資源租用服務的云計算平臺的解決方案，它能大幅降低社會管理成本和信息化成本，推動公共管理信息技術的普及與應用。從部署模型方面，公有云是一種當前熱度最高的“云計算公共服務平臺”，可以公開通過互聯網對外提供服務。

4.2.1　公有云解決方案分類

從服務模型（即服務層次）出發，公有云平臺也可以再進行劃分。

4.2.1.1　IaaS公有云解決方案

一般會成為企業最先選擇的投入模式，它通過對傳統數據中心的改造，對外提供計算、存儲等各種資源。IaaS公有云也是我國各級地方政府當前最優先選擇的推進云計算的項目，其核心目標是按用戶定制需求，提供對應操作系統類型、CPU頻率、核心數、互聯網帶寬和磁盤存儲空間的虛擬機。如圖4-1所示，用戶可以通過公有云的入口，包括Portal或客戶端接入公有云平臺，在線申請資源或遠程接入使用。

4.2.1.2　PaaS公有云解決方案

與具體的部署、訪問、應用模型綁定較為緊密，用戶服務受制于具體的某一種平臺，導致PaaS公共服務平臺的業務有萎縮趨勢。如2011年，Google APP Engine關閉了多個地區的服務。

4.2.1.3　SaaS公有云解決方案

這是商業模式最為簡單，用戶群體廣大的公共服務平臺。在多個地區面向中小企業提供了SaaS公共服務平臺，但是SaaS平臺提供的軟件在跨云間集成、云間軟件與自有數據中心軟件的集成、數據安全保證等方面存在較多問題，亟待解決。

4.2.2　公有云解決方案要素

公有云解決方案一般要針對如下核心需求，提供相應的說明。

4.2.2.1　云用戶管理

公有云平臺中要具備完備的用戶管理機制，要能夠支持云用戶的申請和批準、云用戶的創建、云用戶身份證書的發放、云用戶信息的修改及云用戶信息的存儲等。一般情況下，公有云用戶可以分為以下幾類。

（1）資源使用者　是指使用云資源的最終用戶，在云計算中有唯一的身份，在通過合法身份認證和資源提供者的授權后獲得云資源的使用權。

（2）資源提供者　是指向云計算提供資源的資源所有者和管理者，負責制定資源共享策略以及資源訪問授權和控制策略。

（3）云管理員　類似于網絡管理員，云管理員主要負責云計算公共設施的管理和維護。

（4）應用開發員　是指在云計算系統層之上開發特定應用服務器軟件的設計和開發人員，主要負責軟件開發和測試。

（5）系統開發員　是指面向云計算系統本身和資源進行開發的編程人員，主要負責完成云計算系統擴展模塊的設計開發以及按照云資源接入框架規范完成資源接入模塊的設計開發任務。

此外，平臺還需要提供用戶審計功能，即用戶使用資源的記錄匯總和計費。用戶記賬是對用戶進行收費的依據。

4.2.2.2　云資源管理與監控

云平臺在系統管理和監控方面要具有以下功能。

（1）云計算平臺軟件安裝與配置工具　這方面的工作需要參考現有大型軟件的安裝配置技術，實現整個系統的快速安裝和配置。

（2）云計算系統維護工具　包括系統狀態獲取工具、系統備份工具、系統快速恢復工具等。

（3）系統日志分析工具　向云計算管理員和資源提供者提供強有力的支持，可以快捷地獲得系統運行的基本信息和產生的問題，提高系統的健壯性。

（4）用戶審計分析工具　可以對用戶云的行為進行跟蹤和回溯，為云計算的訪問控制提供支持。

（5）云平臺監控工具，即監控模塊和維護模塊　監控模塊主要完成對資源和系統的監測和控制，同時支持全局資源和系統的監控視圖，以及局部資源和系統的監控視圖。對云資源的監控主要包括資源性能的監測與預警、資源失效的報警和實時處理。對云計算系統的監控主要包括系統軟件運行的監測和預警、系統軟件的故障恢復等。

4.2.2.3　虛擬機管理與監控

公有云平臺一般要提供資源的總體管理功能。當前虛擬化是資源管理的核心，公有云平臺要支持虛擬化技術，主要包括以下功能。

（1）虛擬機創建　平臺能夠從操作系統安裝鏡像或虛擬機鏡像模板兩種方式為用戶創建虛擬機實例。用戶可以通過針對不同的應用場景創建虛擬機模板（包含操作系統和常用辦公軟件）來提高虛擬機創建效率。

（2）虛擬機重新配置　虛擬機創建后，當資源不能滿足用戶需求時，用戶可以按需對資源進行重新配置，如提供更多的CPU、存儲、內存、網絡資源等。

（3）虛擬機備份　平臺能夠根據用戶需求，對用戶當前的虛擬機鏡像進行保存，用戶的虛擬機實例所有的應用數據、硬盤數據將作為一個整體被保存下來。用戶虛擬機的內存文件也可以被保存下來，以備用戶選擇時間點進行恢復。

（4）虛擬機恢復　平臺能夠根據用戶需求選擇虛擬機備份文件，對虛擬機整體進行恢復。虛擬機恢復時間一般小于10秒，從而保證系統更大的安全性和穩定性。

（5）虛擬機遷移　平臺能夠實現虛擬機從一臺物理機遷移到另一臺物理機上的運行。虛擬機遷移是平臺實現負載平衡和容災恢復的基礎。

4.2.2.4　云資源管理服務

公有云平臺方案中要體現資源的管理方法。一般情況下，公有云平臺資源住處組成“樹型”結構，稱這樣的樹為資源目錄樹，這個樹包含一個根節點。從根節點開始，各個子樹中包含著實際的資源使用信息，如云計算系統中常用的用戶、虛擬機映像、節點、網絡、性能要求等，通過將這些信息和資源的有效匹配來動態為用戶分配資源。平臺從統一管理的角度，將用戶的資源有效整合，在保證滿足用戶需求的同時，提高資源的使用效率。

4.2.2.5　信息訪問API

在公有云平臺中，平臺應支持用戶程序調用。通過建立一套訪問接口API，能夠在保證用戶數據安全的同時，動態獲取用戶、資源、應用等信息，提供給用戶監控和第三方程序擴展。

4.2.2.6　安全管理

即在公有云環境下，用戶提供的訪問控制、數據傳輸、網絡控制等公有云資源使用所必需的訪問、管理及監控工具或手段等，以最大限度地保證用戶數據安全。

4.2.2.7　SLA（服務質量）

公有云方案所能提供的SLA是用戶較為關注的。因為公有云服務一般作為通用服務提供，因此能夠提供的SLA相對較低，近期如國外的Amazon、國內的盛大公有云服務都曾出現過數據丟失及終端服務問題。

4.2.3　公有云解決方案示例

寶德開開游戲云網絡服務平臺是基于Eucalyptus的一種公有云架構。根據需求，提供基礎的彈性計算平臺租賃給運營方，從而做到了全方位的資源的優化配置。該平臺不但是一種網絡游戲運營平臺，更提供了統一的用戶共享平臺、推廣平臺、充值計算平臺和利益分成監控平臺（圖4-2）。

該平臺和技術路線是基于寶德科技集團（簡稱寶德）自主研發生產的軟硬件設備，結合寶德十多年網游行業經驗，整合全方位信息安全的策略，為網游產品提供一個無限接入的云計算基礎設施服務平臺，并對產品進行一個資源部署，負責開開游戲平臺開發運營。寶德計劃有數千臺服務器，在全國有100多個數據中心，在哈爾濱有一個大型基地支撐上千款網游運營產品服務，整個技術架構主要包括運維、運營兩塊。本平臺計劃擁有1000萬以上注冊用戶，且免費對玩家開放，這樣就相當于把一千多萬游戲玩家導入到開開游戲平臺，推廣游戲；同時早在2003年全國有一個CDN平臺、100個機房和一個加固節點，目前采用免費策略，用來推廣開開游戲云網絡服務平臺，這是一個云計算服務管理平臺。通過虛擬化技術將服務器、存儲資源構筑成一個整體資源池，基于資源池動態調配每個游戲廠商分布不同的硬件資源，在游戲應用平臺進行網站開發、廣告監測系統開發、公共系統開發、充值系統開發、對外標準化接口開發、一卡通系統的開發等。

4.2.3.1　系統流程架構

系統數據處理流程架構思想如圖4-3所示。

4.2.3.2　軟件處理流程

①用戶注冊、登錄信息經過OutPacket模塊打包后發送給sendQueue。

②UdpSession模塊從sendQueue接收發送消息，調用Socket模塊發送給登錄服務器。

③UdpSession通過Socket模塊接收返回包InPacket。

④用戶信息驗證通過之后，通過RasApi32接口撥號連接節點服務器，建立PPTP-VPN連接。

⑤四大網絡業務通過PPTP-VPN與節點服務器通信（IP數據包轉發）。

⑥HookDll模塊負責掛載客戶端插件（Plug-Ins）。

⑦SkinTool模塊負責客戶端界面皮膚處理。

⑧Config模塊負責存取客戶端配置信息。

⑨Upgrade模塊負責最新版本檢測和升級、數據更新。

4.2.3.3　安全性設計

系統采用安全的單向加密算法MD5（圖4-4），在軟件應用層對用戶密碼進行加密。MD5的典型應用是對一段信息（Message）產生信息摘要（Message-Digest），以防止被篡改。

MD5以512位分組來處理輸入的信息，且每一分組又被劃分為16個32位子分組，經過了一系列的處理后，算法的輸出由四個32位分組組成，將這四個32位分組級聯后將生成一個128位散列值。

在MD5算法中，首先需要對信息進行填充，使其位長度對512求余的結果等于448。因此，信息的位長度（Bits Length）將被擴展至N×512+448，即N×64+56個字節（Bytes），N為一個正整數。填充的方法如下：在信息的后面填充一個1和無數個0，直到滿足上面的條件時才停止用0對信息的填充。然后，再在這個結果后面附加一個以64位二進制表示的填充前信息長度。經過這兩步的處理，現在的信息字節長度=N×512+448+64=（N+1）×512，即長度恰好是512的整數倍。這樣做的原因是為滿足后面處理中對信息長度的要求。

MD5中有四個32位被稱作鏈接變量（Chaining Variable）的整數參數，他們分別為：A=0x01234567，B=0x89abcdef，C=0xfedcba98，D=0x76543210。

當設置好這四個鏈接變量后，就開始進入算法的四輪循環運算。循環的次數是信息中512位信息分組的數目。

將上面四個鏈接變量復制到另外四個變量中：A到a，B到b，C到c，D到d。

主循環有四輪（MD4只有三輪），每輪循環都很相似。第一輪進行16次操作。每次操作對a、b、c和d中的其中三個作一次非線性函數運算，然后將所得結果加上第四個變量、文本的一個子分組和一個常數。再將所得結果向右環移一個不定的數，并加上a、b、c或d中之一。最后用該結果取代a、b、c或d中之一。