Hình 8: Kiến trúc siêu môi giới (Meta-brokering)

cách lỏng lẻo của chính kỹ thuật trọng tâm, được xem xét dưới đây.

•Sự tương thích cơ sở hạ tầng

GridWay (Huedo, Montero, & Llorente, 2004) chủ yếu dựa trên Globus, hỗ trợ đa lưới dùng getways lưới (Huedo, Montero, & Llorente, 2004) để truy cập các nguồn

tài nguyên thuộc về các miền khác nhau, GridWay hướng tới các yêu cầu người dùng cục bộ tới miền khác khi cái hiện tại bị quá tải.

Latin American Grid Meta-brokering (Badia et al., 2007; Bobroff et al., 2008), được đề xuất và hiện thực một tập dùng chung của các giao thức để cho phép tương thích giữa meta-scheduler không đồng nhất tổ chức trong cấu trúc peer-to-peer. Việc lựa chọn miền tài nguyên là dựa trên một mô hình thông tin tài nguyên kết hợp (Rodero, Guim, Corbalan, Fong, & Sadjadi, 2010) và các công việc home domain có thể định tuyến các domain ngang hàng trong thực thi.

•Tối ưu nguồn tài nguyên trong lưới tích hợp

Koala Grid Scheduler (Mohamed & Epema, 2008) tập trung trên dữ liệu và procesor co-allocation. Để kết nối vào các domain lưới như là các thể hiện Koala khác nhau. Chính sách của chúng là dùng các nguồn tài nguyên từ một miền từ xa khi chỉ một cái nội bộ được bão hòa. Chúng sử dụng matchmaking (Iosup, Epema, Tannenbaum, Farelle, & Livny, 2007) để đạt các nguồn tài nguyên phù hợp từ một trong những thể hiện Koala ngang hàng mà không cần định tuyến các công việc theo các miền (domain) ngang hàng.

InterGrid (Assuncao, Buyya, & Venugopal, 2008) đề xuất kết nối các hệ thống Grid khác nhau thông qua các hợp đồng ngang hàng dựa trên định hướng kinh tế để kích hoạt việc chia sẻ tìa nguyên inter-grid. Đây là bước tiến dựa trên kinh tế nơi mà sự hỗ trợ ứng dụng thương mại là một mục tiêu.

VIOLA MetaScheduling Service (Seidel, Waldrich, Zeigler, Wieder, &Yahyapour, 2007) hiện thực sự tương kết lưới thông qua cơ chế SLA (WS- Agreement) và cung cấp co-allocation về đa tài nguyên dựa trên sự dự trữ (reservation).

Những dự án khác khai thác sự gắn kết của các hệ thống lưới thông qua sử dụng các cơ chế, giao thức và giao diện chuẩn. Ví dụ: Grid Interoperability Project (GRIP) (Brooke, Fellows, Garwood, & Goble, 2004), Open Middleware Infrastructure Institute for Europe (OMII-Europe) hoặc công việc thực hiện trong cổng P-GRADE

(Kacsuk, Kiss, & Sipos, 2008). GRIP là một trong những đề xuất kích hoạt sự tương kết giữa UNICORE và Globus Toolkit.

Dự án RESERVOIR giải quyết sự tương kết Cloud với một modular, kiến trúc Cloud mở rộng được dựa trên liên bang Clouds. Ở trong mô hình RESERVOIR, mỗi nhà cung cấp cơ sở hạ tầng là một việc thương mại độc lập với các mục tiêu thương mại của chính nó. Một nhà cung cấp tổ chức liên kết với các nhà cung cấp khác dựa trên các chính sách theo các mục tiêu thương mại của địa điểm. Trong ngữ cảnh của RESERVOIR, các giao diện lưới và các giao thức có thể kích hoạt sự tương kết được yêu cầu giữa Clouds và các nhà cung cấp cơ sở hạ tầng. Một sáng kiến tương tự là dự án Nuba có mục đích chính là sự phát triển của nền tảng đám mây IaaS có liên kết để làm cho dễ dàng việc phát triển tự động của các dịch vụ thương mại mạng, cho phép tính co giãn động trên hiệu năng và các mục dích thương mại tiêu chuẩn.

Một vài nhóm chuẩn hóa Cloud đã bắt đầu làm việc trên định nghĩa các giao diện chung cho sự tương kết. Nhóm OCCI của OGF đang làm việc trên việc định nghĩa một đặc tả API cho việc quản lý từ các các cơ sở hạ tầng điện toán đám mây, cho phép việc phát triển các công cụ tích hợp cho các nhiệm vụ chung bao gồm sự phát triển, co giãn động và giám sát. Dự án Project OpenNebula và RESERVOIR đã cung cấp các hiện thực OCCI.

Trong lúc khuyến nghị các hoạt động trong lĩnh vực Cloud tương kết đang xảy ra, các công nghệ Grid trưởng thành hơn. Vì thế, nó đang hứa hẹn mở rộng những cái này cho Cloud, đặc biệt trong nghiên cứu và đánh giá của lập lịch và các chiến lược lựa chọn nguồn tài nguyên. Trong khi điện toán lưới tập trung vào sự tiện dụng, điện toán đám mấy đang phát triển hơn cho QoS, chi phí, hiệu quả năng lượng.

2.3.6. Bảo mật và quản lý người dùng

Đám mây hiện đang thiếu rất nhiều các cơ chế cần thiết cho hoạt động liên site trong đó an ninh là một yếu tố chính. Quyền hạn khả năng tương tác bảo mật thông thường cơ chế có thể được dịch sang các mô hình được lựa chọn bởi các quản trị viên cục bộ. Thêm vào đó, người dùng cần để có thể gửi yêu cầu không phụ thuộc vào tổ

chức tham gia vào quá trình thực hiện nhiệm vụ theo yêu cầu hoặc cung cấp dữ liệu cần thiết. Điều này đòi hỏi giới thiệu về điện toán đám mây của cơ chế đặc quyền cho phép đăng nhập một lần. Cuối cùng, sự hợp tác giữa các tổ chức tài nguyên chia sẻ yêu cầu phát triển các phương pháp mới để quản lý quyền người dùng.

Những thách thức này đã được giải quyết trong điện toán lưới, nơi một mục đích chính là để cho phép chia sẻ tài nguyên giữa các tổ chức ảo.Các giải pháp lưới được mô tả trong bối cảnh của Globus trung gian và chỉ ra cách các khái niệm có thể được áp dụng cho Đám mây.

Người sử dụng trong lưới được cấp quyền của quản trị trang web dựa trên thông tin của họ, được cung cấp bởi một quyền chứng thực đáng tin cậy. The Grid Security Infrastructure (GSI) (Welch và cộng sự., 2003) là thành phần của phần mền trung gian Globus chịu trách nhiệm sắp đặt an ninh trên các trang web khác nhau. GSI được sử dụng bằng cách thực hiện công việc, chuyển tập tin, và phát hiện tài nguyên và các giao thức giám sát để đảm bảo rằng tất cả các hoạt động bắt đầu bởi một người dùng được cho phép trong các tài nguyên đích.

GSI sử dụng cấu trúc khóa công cộng X.509 (Public Key Infrastructure – PKI) và các giao thức SSL/TLS để chuyển mã. Điều này cho phép các cá nhân thuộc các tổ chức tin tưởng ủy nhiệm nước ngoài do một CA mà không ảnh hưởng đến an ninh của tổ chức các biện pháp. Tuy nhiên, hai yêu cầu bổ sung phát sinh từ bản chất năng động của các hệ thống lưới.

Đăng nhập một lần (Single sign-on): Người sử dụng trong Grid cần phải truy cập

vào nhiều tài nguyên và dịch vụ với các mô hình xác thực khác nhau. Nó sẽ là phiền toái nếu mỗi khi người dùng phải thực hiện một hành động trong một nguồn tài nguyên từ xa anh ta đã phải nhập cụm từ mật khẩu để sử dụng khóa riêng của mình cho việc xác nhận chính mình. Giải pháp có thể như bộ nhớ đệm cụm từ mật khẩu có thể dẫn đến các vấn đề bảo mật bổ sung.

Ủy quyền (Privilege delegation): Do bản chất động của Lưới, người dùng thường cần phải ủy quyền của họ với các dịch vụ khác. Điều này xảy ra khi yêu cầu đòi hỏi

phải phối các nguồn tài nguyên khác nhau, hoặc khi người dùng tạo ra một dịch vụ mới để thực hiện một tập hợp các khả năng.Theo nguyên tắc quyền ít nhất, một tập hợp các khả năng tối thiểu cần được chuyển giao cho các dịch vụ này để họ có thể thực hiện.

Những yêu cầu này được thực hiện bởi một phần mở rộng X.509 được gọi là giấy chứng nhận ủy quền (Welch và cộng sự., 2004). Thay vào đó, người phát hành được xác định bởi một chứng nhận khóa công khai khác. Điều này cho phép các chứng nhận tạm thời được ký kết và sử dụng trong một khoảng thời gian ngắn mà không cần truy cập các khóa tốn nhiều thời gian của người dùng. Bảo mật thoải mái của giấy chứng nhận ủy quyền cũng đủ khi chúng có một vòng đời ngắn.

Giấy chứng nhận ủy quyền cũng được sử dụng để tạo ra các chứng nhận mới với tập hợp con được ủy quyền các đặc quyền. Kiến trúc GSI cho phép mức độ khác nhau của độ chi tiết khi xác định những đặc quyền được thừa kế bởi các proxy tạo ra. Mức độ tốt hơn của độ chi tiết có thể được thực hiện bằng cách sử dụng các chính sách để thể hiện các chính sách ủy thác. Cơ hội này được khai thác một cách hiệu quả bởi các dịch vụ bảo mật nâng cao dựa trên GSI như là dịch vụ CAS được mô tả dưới đây.

Một ví dụ về việc sử dụng giấy chứng nhận ủy quyền sẽ là một công việc tính toán mà yêu cầu truy cập vào một máy chủ lưu trữ để kéo tập hợp dữ liệu được xử lý. Trong trường hợp này, một proxy mới sẽ được tạo ra tại trang web đầu tiên bằng cách ủy quyền các đặc quyền của người sử dụng trên mạng, và lần lượt các nguồn tài nguyên nhận được yêu cầu sẽ chuyển ủy quyền đến máy chủ lưu trữ mà sẽ thực hiện các hoạt động dựa trên các chính sách cấp phép của nó. Một vấn đề với X509 dựa trên giấy chứng nhận Proxy là sự cần thiết cho người sử dụng để bắt đầu yêu cầu từ một máy mà có các khóa riêng được lưu trữ, thêm vào các phần mềm yêu cầu để tạo ra một proxy và bắt đầu một yêu cầu đến Grid. Thông thường, người dùng truy cập Grid thông qua cổng thông tin web, làm cho nó khó khăn để tạo ra giấy chứng nhận proxy của họ. Kho lưu trữ chứng chỉ MyProxy được tạo ra để giải quyết vấn đề này và cho phép bất kỳ người sử dụng để truy cập tài nguyên lưới thông qua một cổng

Grid sử dụng một trình duyệt web (Novotny,Tuecke, và Welch, 2001). Mô hình MyProxy thêm một dịch vụ kho chứa nơi người sử dụng chuyển giao thông tin của họ và kết hợp chúng cho một tên người dùng và mật khẩu.Sau đó, người dùng có thể đăng nhập vào một cổng thông tin web MyProxy được kích hoạt và lấy ra và sử dụng giấy chứng nhận Grid lưu trữ trước đó.Giấy chứng nhận giao cho kho MyProxy có thời gian sống lâu hơn các proxy thông thường để người dùng chỉ cần tạo ra chúng một cách thường xuyên. Cơ sở hạ tầng GSI cho phép chủ sở hữu nguồn tài nguyên định nghĩa các chính sách truy cập trong một kiểu Adhoc: thường thường, các quản trị viên trang web có trách nhiệm định nghĩa một ánh xạ từ tên phân biệt (DNS) cho phương thức bảo mật cục bộ. Các vấn đề, đặc biệt khi giải quyết lượng lớn Vos được phân phối qua khác nhau tổ chức: vấn đề đầu tiên là gánh nặng thêm cho người quản trị bao gồm truy cập các chính sách cho tất cả người sử dụng, đặc biệt nếu có nhu cầu định nghĩa những khác nhau từ một nguồn tài nguyên khác. Thứ hai, hệ thống quản trị chịu trách nhiệm chính sách truy cập được gán không có một bức tranh lớn về nhu cầu dự án về cấu trúc cho phép. Dịch vụ ủy quyền cộng đồng (CAS) (Pearlman, Welch, Foster & Kesselman, 2002) là một phần mở rộng xây dựng trên GSI cung cấp thêm cơ chế để giải quyết những thiếu sót nêu trên. CAS trừu tượng hóa sự phức tạp của chính sách truy cập cho một dự án vào một máy chủ trung tâm hoạt động như một kho lưu trữ các chính sách và người sử dụng, giải phóng quản trị viên tài nguyên cục bộ từ nhiệm vụ xác định các yêu cầu cho phép. Lợi ích trước mắt của tách biệt này của các mối quan tâm là quản trị viên dự án có thể xác định người sử dụng và các quy tắc truy cập trong CAS máy chủ, và thậm chí tạo ra các nhóm định nghĩa các chính sách. Một khi người dùng được thêm vào đến máy chủ CAS, họ liên lạc với bạn khi truy cập vào một nguồn tài nguyên là cần thiết, và CAS máy chủ trao cho họ một khả năng đó là tương đương với một giấy chứng nhận ủy quyền (proxy).Quản trị viên trang web chỉ cần xác nhận rằng các hoạt động dự định được phép cho cộng đồng người sử dụng thuộc và các hoạt động được cho phép bởi khả năng cung cấp.Quy mô thương pháp này độc lập với số lượng người dùng và tài nguyên.Nó là

trực tiếp xây dựng trên GSI, cho phép triển khai của nó với những thay đổi tối thiểu đối với các công nghệ hiện có.

Trong trường hợp của điện toán đám mây, sự thiếu chuẩn hóa giữa các nhà cung cấp kết quả trong nhiều mô hình bảo mật: ví dụ, cả Amazon EC2 và Eucalyptus sử dụng cặp chứng chỉ X.509 và khóa riêng để xác thực. Google App Engine, một ví dụ về giải pháp PaaS, yêu cầu người dùng đầu tiên đăng nhập thông qua tài khoản Google. Sự đa dạng của các phương pháp làm cho nó khó khăn để tạo ra cơ hội mới cho tính liên kết, và sự phân mảnh của các mô hình an ninh cản trở việc tái sử dụng phát triển các tính năng mới.

OGF Open Cloud Coputing Interface (OCCI) đã tạo một bước tiến trong việc đề xuất một bộ tiêu chuẩn hóa các hoạt động, và đặc điểm kỹ thuật của nó nó cho thấy rằng việc triển khai có thể yêu cầu xác thực sử dụng tiêu chuẩn HTTP các cơ chế hoặc mã hóa qua SSL/TLS. Các phiên bản mới nhất của OpenNebula hỗ trợ đặc điểm kỹ thuật này để giao tiếp với bộ điều khiển Cloud của họ. Định nghĩa này đại diện cho một khả năng để tạo ra cơ sở chung cho việc triển khai IaaS, cung cấp các mô hình an ninh thống nhất giữa các nhà cung cấp khác nhau.

Tuy nhiên, vẫn còn nhiều việc phải làm để đạt được một cơ sở hạ tầng an ninh tốt trong Cloud. Phương pháp để xác định sự tin tưởng giữa các tổ chức phát hành chứng nhận và tài nguyên chủ sở hữu vẫn chưa được thực hiện, đặc biệt là cho các kịch bản trong đó các tổ chức khác nhau tham gia chia sẻ chúng. Các mô hình như cơ sở hạ tầng GSI, nơi các nhà cung cấp khác nhau tin tưởng nhà chức trách chứng nhận nhiều mà không ảnh hưởng phần còn lại của các tổ chức, sẽ cho phép mở rộng quy mô của Cloud bên ngoài của ranh giới tổ chức chung. Trong trường hợp đó, kỹ thuật bổ sung cho quản lý người dùng và đặc quyền liên quan của họ sẽ là cần thiết để tránh tập trung và phân phối mới sẽ được yêu cầu. Đám mây có thể học hỏi từ các giải pháp này trong định nghĩa, giao diện mới được tiêu chuẩn hóa cho phép an toàn, liên tổ chức thông tin liên lạc.

Grid và Cloud có nhiều điểm tương đồng trong kiến trúc, công nghệ của chúng và kỹ thuật.Ngày nay, có vẻ như điện toán đám mây đang có ý nghĩa hơn như một

phương tiện để cung cấp một nền tảng đàn hồi để truy cập tài nguyên xử lý từ xa. Tuy nhiên, vẫn còn nhiều khía cạnh của điện toán đám mây cần được giải quyết, chẳng hạn như an ninh, các hệ thống giám sát tốt hơn, … Chúng tôi tin rằng các công nghệ phát triển tính toán lưới có thể là đòn bẩy để thúc đẩy sự trưởng thành của điện toán đám mây, và các cơ hội mới giới thiệu sau này sẽ giải quyết một số thiếu sót của Grid. Như chương này đã cố gắng truyền đạt, có lẽ lĩnh vực mà Cloud có thể đạt được nhiều nhất từ công nghệ Grid là khả năng tương tác đa trang web.Điều này xuất phát từ thực tế là mục đích chính của các hệ thống lưới để cho phép các trang web từ xa dưới các chính sách quản lý khác nhau để thiết lập hiệu quả và cộng tác. Mặt khác, điện toán lưới, thông qua việc sử dụng các chuẩn được xác định tốt, đã đạt được khả năng tương tác trang web như nó có thể được nhìn thấy bằng các máy tính và dữ liệu đa lưới được sử dụng bởi các dự án trong các lĩnh vực như vật lý, khoa học trái đất,di truyền học và khoa học kinh tế.

CHƯƠNG 3. TÌM HIỂU VỀ GOOGLE APP ENGINE

3.1 Giới thiệu về Google App Engine

Google App Engine (sử dụng viết tắt là GAE hoặc chỉ đơn giản gọi là App Engine) là một nền tảng như một dịch vụ (PaaS) trên nền tảng điện toán đám mây để phát triển và lưu trữ các ứng dụng web trong trung tâm dữ liệu quản lý của Google. Các ứng dụng GAE dễ ràng xây dựng, dễ bảo trì và dễ ràng mở rộng quy mô khi lưu lượng truy cập và nhu cầu lưu trữ dữ liệu tăng lên.Bản phát hành đầu tiên được đưa ra