云计算作业🎉

Table of Contents

作业1 #

1-1 云使能技术包括哪些技术组件？用一句话简要说明其关键特征。 #

技术组件包括：

宽带网络和Internet架构
数据中心技术
虚拟化技术
Web技术
多租户技术
服务技术

关键特征：所有的云必须连接到网络，同时利用数据中心技术集中存放IT资源，应用虚拟化技术将物理IT资源转换为虚拟IT资源，从而提供了硬件无关性、服务器整合、资源复制、对资源更强的支持和可扩展性；使用Web技术作为云服务的实现介值和管理接口；设计多租户技术使多个用户在逻辑上同时访问一个应用；其中的服务技术是云计算的基石，形成了“作为服务”的云交付模型的基础。

1-2 列举至少3种虛拟化软件，并用一句话概括其特点。 #

常用的有Parallells、VMware（VMware workstation（适合单台计算机使用）、VMware vsphere（VMware esxi ）、VMware Fusion（Mac））， Oracle VM VirtualBox，Xenserver；还有Microsoft Hyper-V、KVM、华为Fusion Sphere等。

Parallells：支持“融合模式”，可以无感地在Mac系统下运行exe可执行文件；
VMware ESXi：侧重于服务器虚拟化，技术较成熟，功能也多，支持虚机系统多；
Xenserver重点在于桌面虚拟化，性价比高，网络性能好，适用于快速与大规模部署，支持系统也相对较多；
Hype-V 微软开发，起步相对较晚，对于MS的系统较为支持。
Oracle VM VirtualBox 开源，支持的系统种类繁多。

作业2 #

2-1 列举威胁作用者有哪些，并简要说明。 #

威胁作用者主要有：

匿名攻击者、恶意服务作用者，授信的攻击者、恶意的内部人员；

说明：

匿名攻击者是不被信任的威胁作用者，通常试图从云边界的外部进行攻击
恶意服务作用者截取网络通信，试图恶意地使用或篡改数据。
授信的攻击者是经过授权的云服务用户，具有合法的证书，他们会使用这些证书来访问基于云的IT资源。
恶意的内部人员是试图滥用对云资源范围的访问特权的人。

2-2 列举云安全威胁有哪些，并简要说明。 #

云安全威胁主要有：

流量窃听
恶意媒介
拒绝服务
授权不足
虚拟化攻击
信任边界重叠

说明：

流量窃听和恶意媒介攻击通常是由截取网络流量的恶意服务作用者实施的；
拒绝服务攻击的发生是当目标IT资源由于请求过多而负载过重，这些请求意在使IT资源性能陷入瘫痪或不可用；
授权不足攻击是指错误的授予了攻击者访问权限或是授权太宽泛，或是使用了弱密码；
虚拟化攻击利用的是虚拟化环境的漏洞，获得了对底层物理硬件未被授权的访问；
重叠的信任边界潜藏了一种威胁，攻击者可以利用多个云用户共享的、基于云的IT资源。

作业3 #

3-1 云基础设施机制包括哪些主要构件？简要说明这些构件的概念。 #

逻辑网络边界：将一个网络环境与通信网络的其他部分分割开来，形成一个虚拟网络边界，包含并隔离了一组关于云的IT资源，且这些资源可能是分布式的。逻辑网络边界通常由提供和控制数据中心连接的网络设备来建立，一般是作为虚拟化IT环境进行部署的。
虚拟服务器：一种模拟物理服务器的虚拟化软件。通过提供独立的虚拟服务器，可以实现多个用户共享一个物理服务器。从映像文件进行虚拟服务器的实例化是一个可以快速且按需完成资源分配过程。
云存储设备：云存储设备（cloud storage device）机制是指专门为基于云配置所设计的存储设备。如同物理服务器如何大量产生虚拟服务器映像一样，这些设备的实例可以被虚拟化。在支持按使用计费的机制时，云存储设备通常可以提供固定增幅的容量分配。此外，通过云存储服务，还可以远程访问云存储设备。主要问题在于数据的安全性、完整性和保密性。另一个问题关于大型数据库性能方面，即LAN提供的本地数据存储在网络可靠性和延迟水平上均优于WAN。
云使用监控：云使用监控机制是一种轻量级的自制软件机制，用于收集和处理IT资源的使用数据。根据需要收集的使用指标类型和使用数据收集方式，云使用监控器可以以不同的形式存在。3种常见的基于代理的实现形式为监控代理，资源代理和轮询代理。每种形式都将收集到的使用数据发送到日志数据库，以便进行后续处理和报告
资源复制：复制被定义为对同一个IT资源创建多个实例，通常在需要加强IT资源的可用性和性能时执行。使用虚拟化技术来实现资源复制（ resource replication）机制可以复制基于云的IT资源
已就绪环境：已就绪环境机制是PaaS云交付模型的定义组件，它代表的是预定义的基于云的平台，该平台由一组已安装的IT资源组成，可以被云用户使用和定制。云用户使用这些环境在云内远程开发和配置自身的服务与应用程序。典型的已就绪环境包括预安装的IT资源，如数据库、中间件，开发工具和管理工具。

3-2 简要说明云存储设备的存储等级和使用的主要存储接口。 #

云存储等级：指数据存储的逻辑单元，主要分为以下四个等级。
文件：数据集合分组存放在文件夹中的文件里。
块：存储的最低等级，最接近硬件，是可被独立访问数据的最小单位。
数据集 ：基于表格、以分隔符分割或以记录形式组织的数据集合。
对象：将数据及相关的元数据组织为Web的资源。
主要存储接口：
网络存储接口：文件存储和块存储通常通过网络存储接口来访问。文件存储需要将独立的数据存入不同的文件，当数据发生变化时，原来的文件要被生成的新文件替换。云存储设备机制是基于这种接口的，数据搜索和抽取性能很可能不是最优的。存储水平和阈值都是由文件系统本身决定。不论事逻辑单元号（LUN）还是虚拟卷，块存储与文件集存储相比，拥有更好的性能。
对象存储接口：各种类型的数据都可以作为Web资源被引用和存储，这就是对象存储，它以可以支持多种数据和媒体类型的技术为基础。实现这种接口的云存储设备机制通常可以通过以HTTP为主要协议的REST或者基于Web服务的云服务来访问。网络存储行业协会（SNIA）的云数据管理接口（CDMI）规范支持使用对象存储接口。
数据库存储接口：基于数据库存储接口的云存储设备机制除了支持基本存储操作外，通常还支持查询语言，并通过标准API或管理用户接口来实现存储管理。根据存储结构，这种存储接口分为两种主要类型：关系数据库存储和非关系数据库存储（NoSQL）。其中，关系数据库依靠表格，将相似的数据组织为行列的形式，表格之间的关系可以用于保护数据的完整性，避免冗余（规范化）。基于云的关系数据库的主要挑战来自于扩展和性能。垂直扩展比水平扩展更加复杂。远程访问时，大量数据的表可能会出现更高的处理开销和延迟。非关系数据库采用更松散的结构存储数据，避免关系数据库带来可能的复杂性和处理成本，可以进行更多的水平扩展。限于有限的或原始的模式或数据模型。非关系存储倾向于不支持关系数据库的功能，如事务或连接。将规范化数据导出到非关系存储后，数据大小一般会增加。非关系数据存储机制是专有的，严重限制了数据的可移植性。

作业4 #

4-1 简述容器技术的主要机制。 #

定义：包含相应应用程序组件的服务实例即为容器(Container)。在一个容器中运行的程序无法看到容器外的程序进程，包括那些直接运行在宿主机(host)上的应用和其它容器中的应用。

容器虚拟化是虚拟化操作系统。对一个应用程序而言，容器往往容纳了该程序运行所需要的全部文件，它可能包含自己的库、自己的/boot目录、/usr目录、/home目录等。然而，如果需要的话，运行中的容器甚至可能仅包含一个文件，比如运行一个不依赖任何文件的二进制程序。虽然容器封装了服务需要的运行环境，它却是轻量级的系统。与虚拟机相比，它不需要运行Hypervisor，因而减少了额外负载。在容器技术支持下，能够从现有硬件资源中获取更丰厚的性能回报。用户可以在一个内核上运行基于不同库和环境的应用，对计算的衡量也可以采用不同单位，包括从一个物理或虚拟机到更细粒度更灵活的容器实例等。

容器技术不是虚拟化的替代方案，它还不能取代全系统的服务器虚拟化技术，全虚拟化技术的多数应用场景是面向高度复杂服务的云基础设施，为其提供计算、存储、迁移等服务。容器技术优缺点：优点：

（1）轻量级、易扩展：虚拟机自身是一个完备系统，拥有虚拟化的硬件和特定资源，如果每个VM有2GB容量，则10个虚拟机就需要20GB；若采用容器，因为共享其操作系统内核，因此并不会占据20GB空间。

（2）资源利用率高：虚拟机需要借助虚拟化软件层模拟硬件行为，而容器则直接运行在主机操作系统上。其启动时间也短。

（3）简化配置、提升效率：降低了硬件资源和应用环境的耦合度，并且可以给开发者提供理想的开发环境，提升开发效率

作业7 #

7-1 简述网络通信的四个安全要素 #

1、保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。

2、完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。

3、可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。

4、可控性：对信息的传播及内容具有控制能力。

5、不可抵赖性：出现安全问题时提供依据与手段。