陈培培：深信服云端统一接入解决方案

 首先我们跟普通的厂商不一样，我们的注意力不是提高云的计算能力和处理能力方面，我们的重点是怎么样为自己的用户打造一个安全快捷的云的交互平台，因为我们的云资源是提供给用户访问的，所以我们如何在提供云发布的安全所提出的一些思考和思路。

关键字：云计算  虚拟化  绿色it  2011数据中心  

各位来宾，大家上午好，我也容幸能够代表深信服科技与大家交流，我们在云平台云建设一些好的方案的分享。

首先我们跟普通的厂商不一样，我们的注意力不是提高云的计算能力和处理能力方面，我们的重点是怎么样为自己的用户打造一个安全快捷的云的交互平台，因为我们的云资源是提供给用户访问的，所以我们如何在提供云发布的安全所提出的一些思考和思路。

首先看一些我们以前的处理的方式，首先是大型机向tc客户端服务器的转化，一直到以后的web的转化，把计算的过程集中化，在这个过程当中我们可以问一个问题，我们什么时候使用自己的云计算呢，在这个过程当中，我们怎么可以面对自己的发布安全问题，我们云平台的业务安全问题和信息安全文化，前一段时候亚马孙出现了一个云的中断，这是业界带来的一个反思，我们怎么样保证自己的云平台的安全发布，如果我们的服务时断时续，我们的用户怎么办？我这里为大家介绍的主要的思路就是在云平台构建的时候经常会遇到的一些问题，你可以看一下，上面就是我的数据中心所需要的云端，这里有为我们私有云和公有云，不公是提供给内网用户还是公网用户，经过了这些网络，比如我们的广域网络、互联网、移动互联网，这些会导致我们在云计算的过程当中的资源损耗，以及这个过程当中还存在传输过程的安全问题。其实我们再看终端，我们制定的大中型客户、中小型客户、移动介入客户，他们的第一个安全是资源安全，我们的用户的使用群体肯定是需要一个身份认证，我们的云发布平台不可能是只发布一种，这样多的种类发展的同时我们怎么样保证用户访问的时候权限是没有问题的，另外数据的传输是否加密了，是否会篡改了，是否会泄露等等的问题，这中间存在的安全隐患怎么办？

首先我们看一些数据介入安全端的一个问题，比如说云端身份确认，简单的用户名加密码是否足够？第二是云端访问控制的安全，基于断口和应用的粒度是否足够？三是云端介入链路，第三方线路安全性能是否保障？第四是云端入侵保护，传统的安全设备如何防护"未知攻击？提高我们的安全问题，这个得到解决了之后，因为我们的服务是要提供给自己的用户进行访问的，我们如何保证和体验，感知这些云端资源的时候是一个什么样的状态。因为我们大家知道在局域网感觉不到，一旦跨域了局域网我们的用户的体验会降的很快，第二就是丢包和延迟导致应用系统的使用效果大打折扣地第三我们的一些应用系统交互过多，协议有缺陷，第四带宽缺乏合理规划，资源被无序抢占，这里需要我们要考虑的问题，特别是云端发布和服务的时候。

第三个问题就是跨平台部署的复杂性，我们怎么样不管什什么平台发布，我们怎么做到一样的看待，这是我们云端资源发布的时候要面对的一个问题，我们迈向云端的问题要注意安全、高效、便捷的问题。高效就是我们怎么样克服在云发布的时候怎么样克服用户的体验，安全就是我们怎么样保证用户的身份检查的问题。

我们现在提出了云端统一介入的解决方案了，我们做云平台的时候会考虑一个同步的问题，同步的数据如何优化，第二个方面就是云平台搭建起来了，怎么样安全的提供云端服务，这一块需要两个方面，首先要保证云端数据的传输安全，第二要保证云端平台自身的安全，防止从外到内的数据的篡改等等行为，第二块要关注的就是便捷，我们怎么样提供便捷的介入接口，第三个问题我们认证了之后我们的数据发布了出去了，我们怎么样通过自己的优化设备跟我们的应用交付设备同时解决多链路的选入，或者是恶劣的环境传入的瓶颈问题，第三个我们看终端的区域，我们可以进行端到端的加速体验，另外我们提供多平台的终端接入。在提供管理的方面我们推出了首先有集中的管理中心，可以对所有的设备进行管理和控制，第二是进行了应用可视化的管理，可以对云平台发布的所有的设备以及用户从终端访问的所有的过程当中，现在遇到的设备的工作状态等等有一个全面可视的功能，这些功能就提供了云端解决的方案了。我们在三个方面提供的解决方案。

首先我们看一下我们的云接入的安全，我们提供了端到端的安全防护，这是一个整体，通过我们的虚拟机设备和ssl设备来做，我们确定一个人的身份是否合法，是否有权力是用我们的与平台，他再接入我们的云终端的时候要进行检测，切断的从终端进入的潜在的风险，通过了我们的加密技术，第四就是权限安全了，第五就是通过应用的防火墙做到二到七层的防护，安全安全是多重组合认证的，目的就是确定这个人进入身份的唯一性。同时它也可以为我们本来已经有的第三方认证系统相结合的方式相结合，做到了之后，我们就要防止了如何控制关键数据的泄露问题，终端的安全是例如一个安全桌面进行检测的，在操作控制上是无法本地保存、外设拷贝打印的。这里还有一个权限的问题，我们基于用户应用授权、支持更细致的url级别授权的，还有就是主翠帐号的绑定，用户介入登陆帐号与应用帐号对应进行绑定了，这就保证了我们介入的过程当中对于权限有了保证了。

我们看一下应用安全，这是防护云平台应动互联网风险的，我们看一下黑客入侵，一是扫描ip，二是扫描软件版本信息，三是选取对应的漏洞、sql注入、跨站脚本、获取权限、四是上转脚本恶意代码等等，我们保证自己的发布云平台是安全，最后我们就要对云接入进行优化了，我们怎么样使自己的用户体验越来越好。我们大家有一个概念，在局域网的内部使用云资源是没有问题的，一旦我们出了广域网和互联网这个体验的下降是非常的明显了，这样我们的私有云的价值哪里？投资的意义在哪里？公有云怎么样把云带给私有云。这样我们云接入的优化一定要先感知，我们怎么样去感知自己提供的服务是好还是坏呢，我们需要提供这样一个端到端的这样的设备或者是一套解决方案，要优化的同时要先感知，知道这个问题到底出现什么地方。我们通过的应用性能管理提高自己的感知能力，我们可以从流量可视、设备监控、性能分析、智能预警这些方面来提高。感知到了之后我们就要提供这种解决方法，我们有三家运营商电信、移动、联通，我们出现跨区域的网络访问的时候就出现的跨运营商了，我们有的客户会选择几个运营商，我们一个用户发起了访问了，首先会从最好的一个路径接入进来，保障你不会出现跨运营商的情况，一旦进入以来的之后，这个时候我会根据自己对下面服务器实施的性能监控或者是现在的cpu的内存的占有率感知到了之后会选择一个感应能力最强的服务器为你服务，会你提供的一个完整的解决方案。这是我们为运用交互提供的解决方案，我们还提供的一个单边加速。

 第二，我们更偏重于提高广域网端的用户体验，提升船素速度的同时，保证云内容的更新及时性，我们在提高广域网带宽价值的方面效果是非常明显的。第三，我们就是在跨区域、高丢包、高延时下加速的效果，我们通过链路优化、传输优化、数据优化、应用优化、带宽保障的情况下提高了传输了速率。提高了端到端的加速以后，我们服务的类型也是分等级的，从重要服务到一般服务，我们怎么样进行分级呢，越核心的服务我们优先使用网络带宽，重要的服务放第二位，一般的服务放第三位。介绍完了我们的接入优化之后，我们这里要提高云端接入门户接口的问题了，我们在发布云端服务的时候要克服兼容性问题和便捷性的问题。比如说窗口是一套，苹果用另外一套服务系统怎么样兼容，这是比较关注的话题。面对这样多的操作系统平台，我们提供了统一的接入方式来时下对于云端资源的访问，这就是我们统一接入方式的一个截图，提高了我们用户的便捷性了。我们不但提供统一的界面，如果你访问的系统资源是多个的，你可以实现但点登陆，无需二次认证，这样就提高了效率。

这里我们是综合的解决方案，我们做多种数据中心备份的情况，我们把帮你选择一个最快的可以接入的数据中心，在北京出差就把你接入到北京的数据中心，在广州出差就把你接入广州的数据中心，如果你使用了统一域名的话，我们一台数据设备可以虚拟成为多台的虚拟数据设备，可以做到二合多，也可以做到一对多，多种方式灵活实现。我们刚才从云接入安全，身份安全、中蹲安全、传输安全、权限安全、应用安全、到云接入优化，如应用体验监控、关键业务带宽保障、透明的链路优化、应用性能优化到云接入门户，它可以提供终端统一接入门户，云端统一管理门户，到通过sc集中管理平台、降低云维成本，提升了规律效率，这些也比较简单，等一下大家如果有感兴趣的可以去了解一下。

我现在回顾一下，以前大家说云这样一个概念有一点虚，云有的人说是互联网加数据中心的概念，这也不错，我可以讲一下后续我们公司有一个发展趋势，他们更多的是想做一款虚拟动态扩展这样一个概念。我们以后不推出自己的硬件产品了，而是退出了资源池的概念，通过sangsfor os虚拟化技术达到讲安全与优化等设备的软件功能与硬件载体松绑、降低投资成本，将安全与优化按照时间、带宽应用等需求形成可扩大的空间。综上所述，有的客户了解我们的产品，或者也使用过我们的产品，所以我们提供这样多的产品为我们的客户迈向云端的时候，可以构建一个安全、快速、便捷的云端平台而努力。