企業部署私有雲,第一個念頭想到的便是虛擬化,因為雲端服務經常需要架構於虛擬化的基礎之上。但嚴格而論,雲端運算架構並非一定要虛擬化不可,只是沒有虛擬化技術便很難做到很好的資源分配以及高可用性,這也是為什麼一提到將資料中心雲端化時,人們總是將兩者綁在一起。
企業部署私有雲,第一個念頭想到的便是虛擬化,因為雲端服務經常需要架構於虛擬化的基礎之上。但嚴格而論,雲端運算架構並非一定要虛擬化不可,只是沒有虛擬化技術便很難做到很好的資源分配以及高可用性,這也是為什麼一提到將資料中心雲端化時,人們總是將兩者綁在一起。
但也因為如此容易產生混淆的概念,例如私有雲是不是等同虛擬化、如果透過虛擬化技術把資源共享成一個資源池時,私有雲就算完成了嗎?諸如此類的問題,都在前篇文章中做了澄清,而本文則是針對私有雲部署觀念以及過程中可能面臨的挑戰,先提供讀者作為決策前的參考。
私有雲不是一件件採購案
傳統上IT的部署思維總是從專屬專用的角度來思考,為了某一個新開發的應用或服務而採購一套硬體設備,然後提供該應用服務專用。這固然不是一項錯誤的作為,但就效率以及成本的角度來看,卻是效益不彰的作法,今日的私有雲更強調企業的競爭力,透過服務的概念,更敏捷地提供正確且快速的資源。
舉個簡單的例子或許更容易理解,假設企業同意是以虛擬化技術作為私有雲架構的基礎,但思維邏輯是專屬專用的角度,那麼就很有可能發生以下的現象:某日業務部門提出新構想,並且要求以虛擬化平台提供,再下個月,信用卡部門提出B構想,也想用虛擬化平台來架構,再過一陣子,客服中心說C專案也必須以新的虛擬化平台來因應,長期下來,就會造成每個部門都有自己專屬的虛擬化平台,其結果就是IT有數十套虛擬化平台在資料中心內,除了技術上是採用虛擬化之外,其他與傳統IT並沒有兩樣,但是私有雲更強調的是在統一的架構中滿足不同使用者對於資源、安全、管理、服務水準等等不同的需求。
別只關心眼前看到的成本
每個人都同意「成本」是部署私有雲一個相當重要的關鍵,任何事物就算有再大的規劃與夢想,沒有預算支持,最終都只是空幻。不過,這裡不是探討如何擠出更多預算,而是假設在企業有共識要部署私有雲,願意投資成本佈建時,有兩點思維需要被提醒,包括以整體架構來評估而不是主機虛擬化軟體費用來評估,以及多短的天數可以上線。
NetApp台灣技術總監姜群認為,許多企業只想到主機虛擬化軟體費用或不想要被固定虛擬化軟體業者綁住,因此使用了更便宜或存在各式不同的虛擬化軟體平台在資料中心的環境中,這種作法將導致企業採購更多的軟體協助開發,或造成效率變低,甚至可能花上十倍的金錢與時間,就只是為了讓不同的虛擬化軟體平台可以溝通,因此,從整體架構成本來評估才是根本的作法,這包括了管理成本、資源浪費率、效率,以及機房成本像是電費、水費與租金。
同樣的道理,如果企業只關注每個應用系統要花多少預算才能完成部署,其結果就是可能需要以時間換取金錢,但若是企業評估一天的營運額都以百萬起跳,越早完成當然就越有利,或許愈短天數上線的系統需要花費的成本也愈高,但假設原先的規劃是一年,費用僅僅只有可在半年就完成規劃案的三分之一,企業必須考慮的是,多這半年的時間與多出的三分之二的投資預算,兩者對企業的利弊為何。
管理觀念的改變以及可能的陣痛
一旦企業打算將傳統IT架構轉換成雲端架構時,企業必須面臨到管理觀念的改變。IBM全球資訊科技服務事業部協理陳俊昌提到,傳統IT架構因為是採單獨管理,因此當某一台設備因某種緣故故障或不能使用時,並不會影響到其他的設備或系統,但是在雲端環境中,同樣的狀況,可能影響的是數十個應用服務。由於過去伺服器與伺服器之間的傳輸資料是對外溝通,因此可以一方作為來進行監控,但在虛擬化技術之後,伺服器與伺服器之間在內部就可以進行溝通,反而不容易監控,管理的複雜度就會提升一些。
「但是我認為,技術上可以解決的問題都不是問題。企業應該留心的是,因為雲端架構可能帶來的陣痛。」陳俊昌解釋,這是因為當所有資源共享之後,組織可能會面臨改組所造成。假設今日企業的IT組織是根據應用服務來分類的話,傳統作法下,各個組織都會有自己的系統,以金融業為例,企業內可能有銀行一科、信用卡支援部等等,這些組織有自己的系統,也有歸屬於部門的資訊人員,一旦朝向雲端架構發展之後,這些組織成員很可能異動為雲端服務基礎架構的服務團隊,或許是不能適應新組織,或許是人員的精簡,這些都可能導致陣痛產生。
風險必須更被重視
一旦所有的資源被集中成為一個共享的資源池時,資料的保護也必須提高等級。雖然私有雲的優勢之一就是節省成本,甚至可以依使用量來對部門收費,進而轉變IT的角色,從成本單位轉成賺錢單位,但別忘了,雞蛋都放在同一個籃子的結果就是風險的增加。
賽門鐵克技術顧問陳力維表示,在傳統的IT架構中,因為資源不共用,儘管仍然需要在系統建置時考慮安全性問題,但由於網路可以全部切開、資料不共享,因此不需要配置到防範高風險的設備,只要把大系統外圍的資訊安全做好防護,幾乎就可以防範大部份的資安問題發生。
「但是私有雲卻是全然的共享,再也不能一刀隔開,因此資訊安全的管控就要做得更細微,透過一些政策或權限的設定來控管,例如讓別人看不到我的資料,就算看得到也不能有存取權限。如果企業在部署過程中沒有考慮完整,那麼就很容易出現漏洞,例如當其他系統受到感染或攻擊時,可能會跨過虛擬機器攻擊。」
他提到,這時企業的思考就要更全面,以作業系統來說,作業系統該由IT來設定維護,還是把資源提供給該單位自己去啟動或維護這個作業系統,這兩種作法在資安等級全不同,若是提供給該單位維護,就必須設想萬一遇到Windows的漏洞使用者會自己維護補強嗎?「老實說虛擬機器與虛擬機器中間的控管是比較弱的,這時就要依據公司的資安政策進行控管,比較嚴謹的公司一定有個標準的作業流程,而且依據公司的資安政策而設。」
阻擋還是開放 資安管控應該更全面
私有雲具有許多優勢,包括方便以及彈性,不管內部員工或是開放給行動工作者由外存取,甚至提供給合作伙伴進行連線,都是雲端運用上可能成型的作法。
由於行動工作的彈性使得行動工作者由外連回公司內部存取的情況也會愈來愈常見,再加上愈來愈多的行動工作者以自己擁有的行動裝置來為企業處理工作的態勢愈來愈明顯,使得安全考量,必須從單純的內部網路安全的角度延伸到更外部的安全。
 |
| ▲中華龍網業務處協理林伯勛指出,一旦企業由傳統IT架構轉換到雲端之後,就會產生信任性的問題。 |
中華龍網業務處協理林伯勛舉例,一般企業員工因為業務需求出國,而透過行動裝置連回公司內部查找資料,大部分還是透過VPN連線方式,目前業者提供的VPN解決方案有很多種,但憑良心講,真要破解VPN也不是難事,Google一下就會有工具可以攔截封包,這時加密機制就成為企業必須著墨的地方。
「再舉個例子,一旦企業由傳統IT架構轉換到雲端之後,最大的改變是由外對內是允許的,這裡就會產生信任性的問題,這部分建立詳細的日誌以及嚴謹的稽核流程會比較重要。而且建置私有雲之後,裡面的所有應用服務、所使用的設備,包含硬體與軟體,上面潛藏的安全性弱點都必須有所加強。」林伯勛解釋,多數企業提供的服務通常都是Web服務,像業務主管要從外登入到內部的某一個系統,也都是透過網頁的服務再轉到系統的資料庫,或其他應用服務,但是目前多數的安全性只有架構在帳密登入確認這件事上,其實這樣是不夠的。
「假設,這位主管的電腦已經被置入Keylogger(鍵盤側錄木馬)而不自知,帳密登入成功的同時,Keylogger也已經啟動,進入系統後操作了那些畫面以及指令,也都被側錄而且傳送出去,遠端的駭客已經竊取到相關的資料,」林伯勛提到,現在要考量的安全性與以前的邏輯有很不同,以前只是單純地擋攻擊、擋病毒,現在整個解決方案都必須是更完整。
儲存空間與備援的必要考量
提到儲存空間,或許讀者早就知道即使將五台伺服器上的應用服務整合,全部移到一台實體主機上的虛擬機器,原本需要的儲存空間並沒有減少,每一台應用程式與作業系統,還有系統內的資料將會原原本本地移到虛擬機器之中,再加上預留空間以及Mirror備份,儲存空間也將是一項成本,一旦企業部署私有雲是以虛擬化為基礎,這個問題也將會出現。
「在虛擬機器中很多資料都是重複的,例如作業系統也需要這麼多的磁碟空間,而且每個都要考慮到備份……,種種的問題應該從儲存方案現有的技術來著手降低這些空間的部署。」陳力維提到,除了空間之外,備援反而是私有雲架構不得不做的防護措施,「規劃私有雲,高可用性很重要,傳統一個系統掛掉就只是一個系統的問題,但是當建立私有雲後,儲存系統掛掉就是公司一百個系統的事,HA(高可用性備援)、DR(災害復原)機制才能對企業資料提供適當的保護。」
最後,仍免不了要再次提醒,私有雲的部署是件長遠的過程,就算一開始的預算只能少部分的進行,但是如果沒有規劃好,到時又變得很多座私有雲,落得與傳統IT架構一樣,那麼就喪失了企業部署的初衷,本系列的報導提供一些觀念與思維上的分享,希望能夠在企業打算部署私有雲時有所助益。