2. Phân hoạch dữ liệu
Phân hoạch dữ liệu nhằm mục đích mở rộng cơ sở dữ liệu ra nhiều điểm khác nhau và cho phép cơ chế nhân bản và di chuyển dữ liệu. Việc phân hoạch phụ thuộc vào mục đích xử lý dữ liệu để có cách phân hoạch phù hợp.
Chẳng hạn với hệ thống cài đặt dữ liệu xử lý trực tuyến (OLTP – Online Transaction Processing) có các giao dịch có vòng đời ngắn, thời gian xử lý nhanh thì sẽ không khả thi nếu chuyển việc xử lý và kết quả xử lý qua lại giữa các tài nguyên tính toán ở các nút khác nhau. Khi đó giao dịch sẽ đƣợc xử lý tại một máy tính tại một vị trí cụ thể. Trong khi đó, với các truy vấn xử lý phân tích trực tuyến (OLAP - Online Analytical Processing) thực hiện trên các bảng có số lƣợng bản ghi lớn, cần tài nguyên tính toán lớn, có thời gian xử lý dài, cần xử lý xong xong thông qua việc phân phối công việc cho nhiều máy tính xử lý.
Cơ chế phân hoạch cơ sở dữ liệu trong mô hình DBaaS đảm bảo khả năng mở rộng một cơ sở dữ liệu tới nhiều nút khác nhau. Cơ chế này rất hữu ích khi khả năng xử lý và tải trọng vƣợt quá khả năng của một tài nguyên tính toán cụ thể. DbaaS sử dụng cơ chế phân hoạch dữ liệu dựa trên tải công việc. Khi dữ liệu hoặc các yêu cầu thực hiện đối với dữ liệu của hệ thống, bộ tiếp nhận trƣớc (Front-end) sẽ tiếp nhận yêu cầu xử lý, phân tích vết thực thi truy vấn để nhận dạng các bản ghi đƣợc truy nhập cùng nhau trong một giao tác. Vết thực thi truy vấn đƣợc đƣợc trình diễn dạng biểu đồ.
Đầu ra của bộ phân hoạch là việc gán những bản ghi khác nhau vào các phân vùng logic phù hợp. Bộ định tuyến của Front-end cần cách ngắn nhất để xác định nơi để gửi một lệnh SQL cho trƣớc. DbaaS sẽ tìm một tập các tính
chất trên tập các thuộc tính xác định. Đây giống nhƣ bài toán phân lớp với điều kiện là đã có một tập các bản ghi và nhãn phân vùng cho các bản ghi (thuộc tính phân lớp). Hệ thống sẽ chiết xuất một tập các thuộc tính ứng viên từ các tính chất trong vết thực thi truy vấn. Giá trị của các thuộc tính lựa chọn đƣợc đƣợc đƣa vào thuật toán cây quyết định cùng với nhãn phân vùng. Nếu cây quyết định tạo phân vùng thành công với số ít tính chất đơn giản, thì một kết quả phân vùng tốt đƣợc trả về. Nếu không có kết quả trả về, hệ thống trở về tìm kiếm các bảng để trình diễn lƣợc đồ phân vùng. Sức mạnh của cách tiếp cận này là sự độc lập lƣợc đồ ngoài và khóa ngoài, cho phép khám phá mối tƣơng quan nội tại ẩn trong các dữ liệu. Cách tiếp cần này hiệu quả trong việc phân hoạch cơ sở dữ liệu chứa nhiều quan hệ nhiều – nhiều.
3. Vị trí và di chuyển dữ liệu
Cấp phát tài nguyên là một thách thức lớn khi thiết kế một dịch vụ cơ sở dữ liệu có khả năng mở rộng và đa kênh thuê. Vấn đề bao gồm: giám sát các yêu cầu tài nguyên của mỗi khối lƣợng công việc, dự đoán tải khi nhiều khối lƣợng công việc đƣợc tạo ra khi cùng thực thi trên một máy chủ, việc phân công khối lƣợng công việc đến các máy chủ vật lý, và di chuyển công việc cũng nhƣ kết quả xử lý giữa các nút vật lý. Trong mô hình dịch vụ cơ sở dữ liệu, ban đầu cơ sở dữ liệu đƣợc cài đặt tại một tại một số nút tùy ý cho các ứng dụng sử dụng. Đồng thời cơ sở dữ liệu đƣợc cài đặt tại một vị trí dành riêng chạy trên thiết bị phần cứng chuyên biệt. Cùng thời điểm, hệ thống thực hiện giám sát việc sử dụng tài nguyên trong vùng dành riêng. Hồ sơ sử dụng tài nguyên theo thời gian đƣợc sử dụng để dự báo tải công việc sẽ tƣơng tác nhƣ thế nào với các tải công việc khác đang thực thi trong cùng dịch vụ. Căn cứ vào đó, hệ thống sẽ quyết định việc chia tải công việc xử lý. Nếu một tải công việc cần đƣợc phân vùng, hệ thống sẽ chia tải công việc đó ra các nút để xử lý. Sau đó, hệ thống thực hiện đặt từng tải công việc hoặc các phần công việc đã đƣợc phân tách vào các máy chủ phục vụ đang hoạt động cùng với các tải công việc và các phần công việc khác.
4. Bảo mật dữ liệu
Bảo mật dữ liệu trên Internet là một vấn đề cần quan tâm . Có hai vấn đề cơ bản là bảo mật dữ liệu trong thời gian truyền và bảo mật dữ liệu đƣợc lƣu trữ. Mô hình dịch vụ cơ sở dữ liệu quan tâm tới vấn đề bảo mật dữ liệu đƣợc lƣu trữ.
Thực hiện bảo mật dữ liệu đƣơc lƣu trữ bằng việc kiểm soát lối vào ra của dữ liệu và mã hóa dữ liệu.
Việc kiểm soát lối vào ra của dữ liệu có kiểm soát truy nhập, kiểm soát luồng, và kiểm soát suy diễn. [1]
Kiểm soát truy nhập là việc đáp ứng các truy nhập trực tiếp tới đối tƣợng hệ thống tuân theo phƣơng pháp và chính sách bảo vệ dữ liệu.
Hình 2.3. Hệ thống kiểm soát truy nhập [1].
Hệ thống kiểm soát gồm ba phần chính gồm: i)Các chính sách an ninh và quy tắc truy nhập: Security Policies, Access Rules – đặt ra kiểu khai thác thông tin lƣu trữ trong hệ thống, ii)Các thủ tục kiểm soát (cơ chế an ninh): Control procedures – thực hiện kiểm tra yêu cầu truy nhập, cho phép hay từ chối yêu cầu khai thác, iii) Các công cụ và phƣơng tiện thực hiện kiểm soát truy nhập (hạ tầng cơ sở)
Chính sách an ninh (Security Policies): Chính sách kiểm soát truy nhập thiết lập khả năng , chỉ ra cách để chủ thể và đối tƣợng trong hệ thống đƣợc nhóm lại, để dùng chung kiểu truy nhập nào đó, cho phép thiết lập các chuyển quyền truy nhập. Chính sách kiểm soát truy nhập liên quan đến thiết kế và quản lý hệ thống cấp quyền khai thác. Cách thông thƣờng để bảo đảm an ninh CSDL là định danh các đối tƣợng tham gia hệ thống và xác định quyền truy nhập của chủ thể tới đối tƣợng.
Định danh (Identifier): Gán cho mỗi đối tƣợng một định danh (tên gọi) theo một cách thống nhât, không có sự trùng lặp các định danh.
Uỷ quyền (Authrization): Uỷ quyền khai thác một phép toán của một chủ thể trên một đối tƣợng.
Chính sách giới hạn quyền truy nhập: Để trả lời câu hỏi: bao nhiêu thông tin có thể đƣợc truy nhập cho mỗi chủ thể là đủ ? Có hai chính sách cơ bản:
+ Chính sách đặc quyền tối thiểu: Các chủ thể sử dụng lƣợng thông tin tối thiểu cần thiết cho hoạt động.
+ Chính sách đặc quyền tối đa: Các chủ thể sử dụng lƣợng thông tin tối đa cần thiết cho hoạt động.Tuy nhiên phải đảm bảo thông tin không bị xâm phạm quá mức cho phép.
Có hai kiến trúc kiểm soát truy nhập: i)Hệ thống đóng: Chỉ các yêu cầu có quyền truy nhập mới đƣợc phép. ii)Hệ thống mở: Các truy nhập không bị cấm thì đƣợc phép.
Chính sách quản lý quyền truy nhập: Chính sách quản lý quyền truy nhập có thể đƣợc dùng trong kiểm soát tập trung hoặc phân tán, việc lựa chọn này cũng là một chính sách an ninh, có thể kết hợp để có chính sách phù hợp: i)Phân cấp uỷ quyền: Cơ chế kiểm soát đƣợc thực hiện tại nhiều trạm, tập trung kiểm soát các trạm. Ví dụ: Tổ chức các trạm nhƣ các nút trên cây. ii) Chọn ngƣời sở hữu: Mô tả quan hệ, mô tả ngƣời sở hữu và đảm bảo quyền khai thác thông tin của họ. iii) Quyết định tập thể: Tài nguyên có thể do một nhóm sở hữu, khi có yêu cầu truy nhập tài nguyên này, cần đƣợc sự đồng ý của cả nhóm. Ví dụ: Chia sẻ khóa bí mật.
Dịch vụ cơ sở dữ liệu đảm bảo an toàn cho dữ liệu đƣợc lƣu trữ thông qua việc mã hóa tất cả các bản ghi. Khi truy vấn dữ liệu, ngƣời sử dụng sẽ đƣợc truy vấn trên dữ liệu đã đƣợc mã hóa. Với những thao tác viên làm việc quản trị cơ sở dữ liệu (DBAs) sẽ vẫn thực hiện những công việc quản trị nhƣ bình thƣờng bao gồm những việc liên quan tới tinh chỉnh hệ thống, nâng cấp hệ thống… nhƣng các DBA sẽ không nhìn thấy dữ liệu thực sự là gì. Điều này đảm bảo dữ liệu khách hàng đƣợc bảo mật ở mức cao nhất. Có nhiều kỹ thuật mã hóa để mã hóa dữ liệu trong đó có kỹ thuật mã hóa ngẫu nhiên (RND), mã hóa xác định (DET). Có thể thực hiện mã hóa bằng phần mềm hoặc mã hóa bằng phần cứng.
5. Tổng kết
Chƣơng 2 tác giả đã trình bày những vấn đề tổng quan nhất về dịch vụ cơ sở dữ liệu cũng nhƣ những yêu cầu một dịch vụ cơ sở dữ liệu cần có khi ứng dụng mô hình tính toán đám mây.
CHƢƠNG 3: Thực nghiệm 1. Giới thiệu
Hiện nay, công nghệ cơ sở dữ liệu đang chiếm vị trí quan trọng trong lĩnh vực công nghệ thông tin. Cùng với sự phát triển của dịch vụ công nghệ thông tin theo mô hình tính toán đám mây, việc phát triển dịch vụ cơ sở dữ liệu theo mô hình này nhằm đáp ứng nhu cầu đa dạng của ngƣời dùng đang ngày càng phổ biến.
Mô hình kiến trúc dịch vụ cơ sở dữ liệu tổng quát nhƣ sau:
Hình 3.1. Mô hình DBaaS tổng quát [3] .
Khách hàng sử dụng dịch vụ DBaaS thông qua trình duyệt web thực hiện đăng ký tài khoản sử dụng dịch vụ với nhà cung cấp dịch vụ. Nhà cung cấp dịch vụ sẽ thực hiện tạo tài khoản sử dụng dịch vụ cho khách hàng.
Sau khi có tài khoản hợp lệ, khách hàng đăng nhập vào hệ thống và thực hiện các thao tác ban đầu với dữ liệu nhƣ tạo mới, tải dữ liệu. Tùy theo điều khoản sử dụng dịch vụ đƣợc ký kết giữa khách hàng và nhà cung cấp dịch vụ thì các thao tác với cơ sở dữ liệu nhƣ trên có thể đƣa về phía nhà cung cấp dịch vụ thực hiện.
Nhà cung cấp dịch vụ sẽ thực hiện lƣu trữ cơ sở dữ liệu khách hàng, xây dựng các cơ chế dự phòng dữ liệu, sao lƣu và phục hồi để đảm bảo hệ thống cơ sở dữ liệu khách hàng luôn có tính sẵn sàng và mức độ an toàn cao nhất.
Ngƣời dùng cuối thao tác với dữ liệu khách hàng, dữ liệu kết quả đƣợc truyền về nơi lƣu trữ dữ liệu tại trung tâm dữ liệu của nhà cung cấp dịch vụ thông qua môi trƣờng internet.
Để xây dựng đƣợc một hệ thống mô tả đầy đủ mô hình và các chức năng của một hệ thống tính toán đám mây đòi hỏi phải đầu tƣ rất lớn về thời gian, kinh phí, nguồn nhân lực và hạ tầng cơ sở. Do điều kiện thời gian còn hạn chế, cơ sở thiết bị vật chất còn khó khăn nên trong khuôn khổ luận văn, chúng tôi chỉ tập trung xây dựng mô phỏng một số chức năng trong mô hình dịch vụ cơ sở dữ liệu đề xuất (Hình 3.1), cụ thể nhƣ sau:
Quản lý máy ảo
Quản lý các dịch vụ CSDL
Thử nghiệm cài đặt và khai thác hai dịch vụ ghi nhận các giao dịch thẻ ATM và tài khoản khách hàng của Ngân hàng liên doanh Việt Nga.
2. Thiết kế hệ thống thử nghiệm
Hệ thống thử nghiệm sẽ đƣợc triển khai nhƣ mô hình kiến trúc dƣới đây:
Hình 3.2. Mô hình hệ thống thử nghiệm. Client Client VM Management Server(host) CloudStack Management Server XenCenter StorageServer CSDL GD thẻ CSDL Tài khoản
Yêu cầu Khai báo host
Tạo VM
Quản lý host
- Quản trị các máy ảo trên hạ tầng vật lý: Có thể sử dụng nhiều môi trƣờng khác nhau nhƣ VmWare, OracleVM, KVM, …. Tuy nhiên, trong khuôn khổ luận văn này, chúng tôi chỉ thực nghiệm với XenServer vì đây là bản miễn phí.
- Quản trị dịch vụ CSDL: Sẽ đƣợc tiến hành cài đặt với hệ thống mã mở CloudStack.
- Dịch vụ thử nghiệm: Hai chức năng của hệ thống thanh toán thẻ ATM trong ngân hàng liên doanh Việt Nga gồm ghi nhận giao dịch thẻ và quản lý tài khoản. Khi có bất cứ giao dịch nào phát sinh liên quan tới thẻ do Ngân hàng Liên doanh Việt – Nga phát hành hoặc giao dịch thẻ của ngân hàng khác trong liên minh thẻ Banknet hoặc thẻ do tổ chức thẻ quốc tế VISA do VISA phát hành thực hiện trên hệ thống thiết bị đầu cuối của Ngân hàng Liên doanh Việt – Nga quản lý, hệ thống sẽ ghi nhận lại thông tin của các giao dịch bao gồm số thẻ, thời điểm giao dịch, loại giao dịch, tên thiết bị đầu cuối, tài khoản (nếu là thẻ do Ngân hàng Liên doanh Việt – Nga phát hành), trạng thái giao dịch,…Nếu là giao dịch rút tiền do thẻ Ngân hàng Liên doanh Việt – Nga phát hành thì hệ thống sẽ thực hiện cập nhật tài khoản khách hàng.
Để triển khai hệ thống thực nghiệm cần ít nhất bốn máy chủ gồm: Máy chủ quản lý CloudStack (CloudStack Management Server), máy chủ lƣu trữ (Storage Server), máy chủ XenServer (VM Management Server), máy chủ XenCenter (XenCenter).
3. Môi trƣờng thực nghiệm
3.1 CloudStack
CloudStack là phần mềm mã nguồn mở đƣợc viết bằng ngôn ngữ Java. CloudStack đƣợc thiết kế để triển khai và quản lý mạng máy ảo, đáp ứng tính sằn sàng cao và mở rộng nền tảng trong mô hình tính toán đám mây.
CloudStack hình thành nền tảng cho những đám mây cơ sở hạ tầng và nhà điều hành trung tâm dữ liệu có thể xây dựng các dịch vụ điện toán đám mây một cách nhanh chóng và dễ dàng bên trong cơ sở hạ tầng hiện có của nhà cung cấp dịch vụ để đƣa ra các dịch vụ đám mây mềm dẻo theo yêu cầu.
Ngƣời sử dụng CloudStack có thể tận dụng lợi thế của điện toán đám mây để cung cấp hiệu quả cao hơn, quy mô không giới hạn và triển khai nhanh hơn các dịch vụ mới và các hệ thống cho ngƣời dùng cuối. CloudStack sẽ cho phép ngƣời sử dụng phối hợp máy chủ ảo hóa, mạng và lƣu trữ mạng để cung cấp cơ sở hạ tầng nhƣ một dịch vụ (IaaS) cũng giống nhƣ nhà cung cấp lƣu trữ nhƣng trên phần cứng của riêng họ.
CloudStack cung cấp các tính năng mạnh mẽ để cho phép môi trƣờng tính toán đám mây an toàn và đa kênh thuê. Với một cú nhấp chuột, các máy chủ ảo có thể đƣợc triển khai từ một mẫu đƣợc xác định trƣớc. Các trƣờng hợp ảo hóa có thể bị tắt, bị tạm dừng và đƣợc khởi động lại thông qua giao diện web, dòng lệnh hoặc bởi lời gọi API CloudStack rộng.
CloudStack cũng có thể đƣợc sử dụng cho nhiều mục đích khác nhau: - Các nhà cung cấp dịch vụ có thể cung cấp ảo hóa lƣu trữ trong một cấu
hình điện toán đám mây có tính đàn hồi, có thể mở rộng hoặc co hẹp lại. - Doanh nghiệp có thể lên kế hoạch cho các giai đoạn phát triển, thử
nghiệm và sản xuất một cách nhất quán nhằm làm giảm quá trình phát triển và xuất bản cho các ứng dụng.
- Các nhà cung cấp nội dung web có thể triển khai cơ sở hạ tầng có khả năng mở rộng , đàn hồi nhằm đáp ứng nhu cầu của độc giả.
- Nhà cung cấp dịch vụ phần mềm (SaaS) có thể cung cấp dịch vụ lƣu trữ phần mềm nhiều ngƣời thuê nhƣng vẫn đảm bảo khả năng bảo vệ cho mỗi môi trƣờng ngƣời dùng [15]
3.1.1 Mô hình kiến trúc
CloudStack có các thành phần chính gồm các tài nguyên vật lý, các chƣơng trình điều khiển lƣu trữ, điều khiển mạng, điều khiển tính toán; các thành phần hỗ trợ giao tiếp với ngƣời dùng cuối và ngƣời dùng cuối:
Hình 3.3. Mô hình CloudStack tổng quát [15] .
Các tài nguyên vật lý (Physical Resources): gồm thiết bị lƣu trữ, thiết bị mạng (router, switch), các tài nguyên tính toán (máy chủ).
Các chƣơng trình điều khiển (CloudStack Orchestration Engine): Thực hiện điều khiển hoạt động của các tài nguyên vật lý, gồm chƣơng trình điều khiển tài nguyên tính toán (Compute Controller), chƣơng trình điều khiển mạng (Network Controller), chƣơng trình điều khiển lƣu trữ (Storage Controller)
Giao diện lập trình ứng dụng (CloudStack API): Cho phép ngƣời dùng cuối giao tiếp với các tài nguyên tính toán mức vật lý. Ngƣời dùng cuối có thể