CLC (Cloud Controller): Là đầu vào trong đám mây cho các người quản trị, người phát
người quản lý node về thơng tin tài ngun, tạo quyết định lịch trình (schedule) mức cao, và cài đặt chúng bằng cách tạo các yêu cầu tới cluster controller. CLC như trình bày ở hình trên, cũng là giao diện cho nền quảng quản trị. CLC có trách nhiệm đưa ra và quản lý các tài nguyên ảo bên dưới (server, network, và nơi lưu trữ-storage) thông qua một API chuẩn công nghiệp (Amazon EC2) và giao tiếp người dùng dựa trên Web.
CC (Cluster Controller):Thực hiện trên một máy đầu cuối phân đoạn (cluster front-end
machine), hoặc bất kì máy nào có kết nối mạng tới hai node chạy NCs và tới máy chạy CLC. CCs tập hợp thông tin về một tập VMs và lập kế hoạch thực thi trên các VM trên các NC xác định. CC cũng quản lý mạng thể hiện ảo và tham gia làm tăng thêm các SLA được định hướng bởi CLC. Mọi node phục vụ bởi một CC đơn phải ở trong cùng domain (enthernet)
NC (Node Controller): Được thực hiện trên mỗi node và được chỉ ra cho việc lưu trữ các
thể hiện máy ảo. NC điều khiển sự thực hiện, sự giám sát, và sự kết thúc của các thể hiện VM trên máy nơi nó chạy, nạp và loại bỏ những bản sao cục bộ của các ảnh thể hiện (nhân, hệ thống tệp gốc, và ảnh ramdisk), và truy vấn và điều khiển phần mềm hệ thống trên node của nó (lưu trữ OS và hypervisor để truy vấn và điều khiển các yêu cầu từ cluster controller. NC cũng có trách nhiệm quản lý điểm cuối mạng ảo.
SC (Storage controller): Cài đặt việc lưu trữ trên mạng dựa trên truy cập khối (ví dụ,
Amazon Elastic Block Storage) và có khả năng giao tiếp với nhiều hệ thống lưu trữ (NFS, iSCSI,..). Một lưu trữ khối linh hoạt là một thiết bị khối Linux có thể gắn kèm với một máy ảo nhưng có thể sử dụng cho lưu trữ từ xa. Một EBS không thể chia sẻ cho nhiều thể hiện.
Walrus (put/get storage): Cho phép người dùng lưu trữ dữ liệu lâu dài, được tổ chức như
là các bucket và object. Nó cho phép người dùng tạo, xóa, liệt kê các bucket, lưu vào, lấy ra, xóa các đối tượng và thiết lập chính sách điều khiển truy cập. Walrus là giao diện tương thích với S3 của Amazon, và hỗ trợ giao tiếp quản trị ảnh AMI (Amazon Machine Image), do đó cung cấp một phương pháp cho việc lưu trữ và truy cập và ảnh máy ảo và dữ liệu người dùng.
Management Platform: Cung cấp một giao tiếp cho các dịch vụ và module Eucalyptus.
Những đặc tính này có thể bao gồm sự quản lý VM, quản lý storage, quản lý người dùng/nhóm, tính tốn, quan sát, sự định nghĩa SLA và sự tăng cường v.v…
1.7 Bảo mật trong Điện toán đám mây
Một thách thức liên quan đến việc duy trì những mơi trường đáng tin cậy và tăng cường khả năng bảo mật cho các tài nguyên được chia sẻ. Bên cạnh tính đơn giản và khả năng chia sẻ trong các trung tâm dữ liệu sẽn sàng cho điện toán đám mây, các dịch vụ an ninh bảo mật cũng cần phải được hợp nhất và ảo hóa.
Để bảo mật được dữ liệu và các dịch vụ khi chúng đang được lưu trữ hay đang được sử dụng trên mạng, điều quan trọng là cần sử dụng những phương thức bảo mật sau:
Bảo mật luồng thông tin đi vào trung tâm dữ liệu: Xác nhận và mã hóa các kết nối tới thiết bị đầu cuối trong mạng (dùng giao thức SSL) và tới các thiết bị của doanh nghiệp (giao thức IPSec) trong khi vẫn giảm được việc tăng thêm các thiết bị mới. Cũng rất cần phải ngăn chặn những cuộc tấn công từ chối dịch vụ và triển khai tường lửa để bảo vệ đường biên và vành đai mạng.
Bảo mật luồng thông tin lưu chuyển bên trong trung tâm dữ liệu: Phân chia mạng thành các phân khúc với các mạng nội bộ ảo, các khu vực, các bộ định tuyến ảo, và mạng riêng ảo, đồng thời sử dụng tường lửa để bảo vệ các lưu lượng từ ứng dụng tới ứng dụng – giữa các máy chủ, giữa các máy ảo và giữa các điểm với nhau. Ngoài ra cũng cần triển khai các chính sách bảo mật theo nhận biết ứng dụng và dựa trên định danh.
Thiết lập các chính sách trên tồn mạng từ một điểm trung tâm nhằm đảm bảo sự tuân thủ quy định bảo mật. Các cơ chế báo cáo tập trung cho phép bao quát tổng thể theo thời gian thực và trước đó về các ứng dụng cũng như dữ liệu, đồng thời cho phép đội ngũ CNTT thực hiện các đánh giá về lỗ hổng bảo mật theo lịch trình định sẵn.
Những lo ngại về an ninh, bảo mật thông tin luôn là trở ngại lớn. Việc giao trách nhiệm về các ứng dụng và dữ liệu quan trọng cho đối tác thứ ba (nhà dịch vụ), có nghĩa là khách hàng phải biết chính xác các nhà cung cấp dịch vụ điện toán máy chủ ảo xử lý thế nào về các vấn đề an ninh và kiến trúc hệ thống. Các nhà cung cấp dịch vụ sẽ minh bạch đến mức nào về những chi tiết trên vẫn còn là câu hỏi. Các nhà cung cấp dịch vụ điện toán đám mây thường lưu trữ dữ liệu của nhiều khách hàng khác nhau lên cùng một phần cứng. Trong khi đó, các cơng ty muốn dữ liệu của họ được tách biệt rõ ràng so với dữ liệu của đối thủ cạnh tranh. Khơng có gì đáng ngạc nhiên khi những nỗi lo về bảo mật là yếu
vừa qua của trang web CIO.com, 59% trong số 173 lãnh đạo doanh nghiệp và công nghệ thông tin (CNTT) cho rằng các nhà cung cấp dịch vụ chưa quan tâm đúng mức đến những điều lo ngại về bảo mật của họ.
Bên cạnh đó là nỗi lo mất kiểm sốt. An ninh, độ trễ (latency), dịch vụ kèm theo và tính sẵn sàng là những vấn đề mà các nhà quản lý CNTT quan tâm khi đề cập đến điện toán đám mây. Các nhà cung cấp cịn có q nhiều việc phải làm trong những năm tới để làm hài lòng các CIO. Một số người suy nghĩ rằng họ khơng cịn giữ dữ liệu của họ nữa, nó đang ở một nơi mà họ khơng có ở đó, khơng quản lý trực tiếp. Bằng cách tự lưu trữ ứng dụng của mình, một cơng ty có thể dễ dàng xác định những mục tiêu kiểm soát và duy trì tình trạng tồn vẹn của dữ liệu theo yêu cầu của luật lệ. Tuy nhiên, nếu công ty này muốn đưa những ứng dụng tài chính của mình lên ―đám mây‖, họ chắc chắn sẽ phải đánh giá lại những mục tiêu kiểm sốt để bảo đảm khơng vi phạm vấn đề tuân thủ luật lệ.
Chương 2 - NỀN TẢNG DỊCH VỤ AZURE
Nội dung chương này tìm về nền tảng dịch vụ Azure của Microsoft, tìm hiểu các thành phần dịch vụ mà nền tảng này cung cấp cho nhà phát triển.Chương này đặc biệt đi sâu tìm hiểu về ba dịch vụ chính mà Azure cung cấp là dịch vụ Windows Azure, dịch vụ SQL Azure và dịch vụ điều khiển truy cập ACS, và trên cơ sở đó sẽ định hướng sẽ sử dụng những dich vụ nào để xây dựng ứng dụng thử nghiệm.
2.1 Giới thiệu nền tảng dịch vụ Azure
Nền tảng dịch vụ Azure là một platform dịch vụ đám mây có khả năng mở rộng trên Internet ở các trung tâm dữ liệu Microsoft, cung cấp một hệ điều hành và một tập của các dịch vụ các nhà phát triển có thể sử dụng riêng biệt hay cùng với nhau. Platform linh hoạt và có thể tương tác của Azure có thể được sử dụng để tạo nên một ứng dụng mới để chạy từ đám mây hay làm tăng khả năng của các ứng dụng đang tồn tại sử dụng dịch vụ đám mây. Kiến trúc mở của nó cho phép các các nhà phát triển lựa chọn xây dựng các ứng dụng web, các ứng dụng chạy trên các thiết bị đã kết nối, các máy PC, các máy Server, hay các giải pháp lai cung cấp khả năng online tốt nhất và những tiền đề tốt nhất
Azure giảm thiểu chi phí kĩ thuật trả trước, và nó cho phép các nhà phát triển xây dựng ứng dụng một cách nhanh chóng và dễ dàng chạy trên đám mây bằng việc sử dụng những kĩ năng đang có của họ với mơi trường phát triển Visual Studio và Microsoft .NET Framework. Thêm vào đó đối với các ngơn ngữ lập trình được hỗ trợ bởi .NET, Azure sẽ hỗ trợ nhiều ngơn ngữ lập trình và các mơi trường phát triển trong tương lai gần. Azure đơn giản hóa bảo trì và hoạt động của các ứng dụng bằng cách cung cấp tính tốn và nơi lưu trữ theo yêu cầu để lưu trữ, mở rộng, và quản lý web và các ứng dụng kết nối. Quản lý cơ sở hạ tầng được tự động với một platform được thiết kế cho tính sẵn sàng cao và mở rộng tự động để phù hợp các sự cần thiết sử dụng với lựa chọn của một mơ hình chi phí pay-as-you-go. Azure cung cấp một mơi trường mở, tương tác và dựa trên chuẩn với việc hỗ trợ cho nhiều giao thức internet, bao gồm HTTP, REST, SOAP, và XML.
Microsoft cũng cung cấp các ứng dụng đám mây sẵn sàng cho sự sử dụng bởi các khách hàng như Window LiveTM
, Microsoft DynamicsTM, và những dịch vụ Online Microsoft khác cho kinh doanh như Microsoft Exchange Online và SharePoint®Online. Nền tảng dịch vụ Azure trợ giúp các các nhà phát triển cung cấp cho những người dùng riêng của họ bằng cách cung cấp các thành phần cơ bản như tính tốn, lưu trữ, và xây
dựng các dịch vụ có sẵn nhằm trợ giúp trong việc xây dựng các ứng dụng trong đám mây [1].
2.2 Các thành phần chính của nền tảng dịch vụ Azure
2.2.1 Windows Azure
Window® Azure là một hệ điều hành các dịch vụ đám mây phục vụ như môi trường phát triển, dịch vụ, lưu trữ và quản lý dịch vụ cho Azure Service Platform. Window Azure cung cấp cho các các nhà phát triển với khả năng lưu trữ và tính tốn theo u cầu để lưu trữ, mở rộng và quản lý Internet hay các ứng dụng đám mây. Window Azure hỗ trợ sự triển khai thí nghiệm phát triển thống nhất thơng qua sự tích hợp của nó với Visual Studio. Trong phiên bản chạy miễn phí, .NET quản lý các ứng dụng xây dựng sử dụng Visual Studio sẽ được hỗ trợ. Window Azure là một nền tảng mở sẽ hỗ trợ cả các ngôn ngữ và môi trường của Microsoft và không phải của Microsoft. Window Azure mong muốn chào đón các cơng cụ của các bên thứ 3 và các ngôn ngữ như là Eclipse, Ruby, PHP, và Python.
2.1
[5]
.
- –
.)
.
. .
[2].
Ứng dụng trên Windows Azure
Trên Windows Azure, một ứng dụng thơng thường có nhiều thể hiện, mỗi cái chạy trên một bản sao của mã ứng dụng. Mỗi một thể hiện chạy trên máy ảo của riêng nó. Những máy ảo này chạy hệ điều hành Windows Server 2008 64 bit, và chúng cung cấp một mặt nạ (hypervisor) được thiết kế đặc biệt cho việc sử dụng trên đám mây.
Một nhà phát triển không cung cấp ảnh VM của riêng họ cho Windows Azure để chạy, hay không cần lo lắng về việc duy trì một bản sao hệ điều hành Windows.
Thay vào đó, phiên bản miễn phí cho phép nhà phát triển tạo ứng dụng sử dụng thể hiện Web role và/ hoặc Worker role. Hình 5 chỉ ra làm hai thể hiện trên.
Hình 2.2: Ứng dụng Windows Azure có thể bao gồm các thể hiện web role và worker role, trong đó mỗi thể hiện chạy trên máy ảo của riêng nó [6]
Như tên mơ tả của nó, mỗi thể hiện web role chấp nhận các yêu cầu HTTP (hay HTTPS) đầu vào thông qua IIS (Internet Information Service) 7. Một Web Role có thể được cài đặt sử dụng ASP.NET, WCF hay một kĩ thuật khác mà làm việc với IIS. Như hình trên đã chỉ ra, Windows Azure cung cấp cơ chế cân bằng tải trọng để phân bổ các yêu cầu tới các thể hiện web role mà là các thành phần của cùng ứng dụng.
Một thể hiện worker role, ngược lại, không thể nhận u cầu trực tiếp từ bên ngồi – nó khơng được phép có bất kì đầu vào kết nối trên mạng nào, và IIS không chạy trong VM của nó. Thay vào đó, nó nhận đầu vào thơng qua một hàng đợi trong nơi lưu trữ Windows Azure. Các thơng điệp trong hàng đợi có thể đến từ thể hiện web role, một ứng dụng trong nhà hay một cái khác. Bất kể thông điệp đến từ đâu, một thể hiện worker role có thể gửi đầu ra tới hàng đợi khác hay ra bên ngoài – các kết nối đầu ra tới mạng bên ngoài được cho phép. Và không giống thể hiện web role, được tạo ra để điều khiển các yêu cầu HTTP đầu vào, một thể hiện worker role là một công việc theo lơ. Thích hợp với số đơng, một worker role có thể được cài đặt sử dụng bất kì kĩ thuật Windows nào với một phương thức main().
Kể cả chạy thể hiện web role hay worker role, mỗi VM chứa một tác nhân Windows Azure (Windows Azure agent) cho phép ứng dụng tương tác với Windows Azure fabric, như hình trên chỉ ra. Agent đưa ra một API cho phép thể hiện ghi vào một log được duy trì bởi Windows Azure, gửi các cảnh báo tới chủ ứng dụng thông qua Windows Azure fabric, và nhiều công việc khác nữa.
Phiên bản Windows Azure đầu tiên duy trì một quan hệ một - một giữa VM và một nhân bộ xử lý – và do đó hiệu năng của mỗi ứng dụng có thể được đảm bảo. Mỗi thể hiện web role và Worker role có nhân xử lý của riêng nó. Để tăng hiệu năng của ứng dụng, chủ sở hữu ứng dụng có thể tăng số lượng thể hiện chạy trong file cấu hình của ứng dụng. Windows Azure fabric sẽ khởi tạo VM mới, đăng ký nó với các bộ xử lý, và bắt đầu chạy thêm các thể hiện của ứng dụng. Fabric cũng phát hiện khi nào một Web role hoặc Worker role bị lỗi, và khởi tạo một cái mới. Cả các Web Role và Worker Role được cài đặt sử dụng kĩ thuật chuẩn Windows. Tuy nhiên việc chuyển đổi từ ứng dụng đã tồn tại sang Windows Azure vẫn đòi chút tay đổi. Trong Windows Azure, truy cập nơi lưu trữ của Windows Azure sử dụng các dịch vụ dữ liệu ADO.NET khơng có trong các ứng dụng trên máy cục bộ trước đây (một ứng dụng Windows Azure có thể sử dụng ADO.NET chuẩn để truy cập nơi lưu trữ quan hệ cung cấp bởi Cơ sở dữ liệu SQL Azure, do đó tạo điều kiện dễ dàng để chuyển một ứng dụng đã tồn tại lên nền tảng đám mây.) Hơn nữa, các thể hiện worker role dựa trên những hàng đợi trong Windows Azure storage cho đầu vào của chúng. Đây một sự ảo hóa khơng có sẵn trong các mơi trường Windows trong nhà. Tuy nhiên, nhìn chung một ứng dụng chạy trên Windows Azure sẽ trơng giống như nó chạy trên bất kì hệ thống Windows server 2008 nào. Đối với các nhà phát triển, xây dựng một ứng dụng Windows Azure trong phiên bản miễn phí giống như xây dựng một ứng dụng Windows truyền thống. Microsoft cung cấp các mẫu project trong Visual Studio 2008 cho việc tạo các Windows Azure web role, worker role, và sự tổ hợp của chúng. Các nhà phát triển được tự do sử dụng các ngơn ngữ lập trình Windows (mặc dù cơng bằng mà nói Microsoft tập trung chính vào ngơn ngữ C#). Hơn nữa, bộ phát triển phần mềm Windows Azure bao gồm một phiên bản của môi trường Windows Azure chạy trên máy của nhà phát triển. được biết như Windows Azure Development Fabric, nó bao gồm Windows Azure storage, một tác nhân Windows Azure, và mọi thứ khác liên quan đến việc chạy ứng dụng trên đám mây. Một nhà phát triển có thể tạo và gỡ lỗi ứng dụng của họ sử dụng sự mô phỏng trên máy cục bộ, sau đó phân phối ứng dụng tới Windows Azure trong đám mây khi đã sẵn sàng. Tuy vậy, có một số thứ khác biệt
khi đưa lên đám mây. Ví dụ, khơng thể ghép một bộ gỡ lỗi lên ứng dụng dựa trên đám mây, và do đó việc gỡ lỗi ứng dụng trên đám mây dựa trên việc viết vào log