在云計(jì)算時(shí)代，存在平臺(tái)與用戶(hù)鎖定的情況，而如果大家都采用開(kāi)源的軟件，遷移將變得容易。以虛擬化應(yīng)用為例，OpenStack支持Xen、KVM、VMware和QEMU等虛擬機(jī)，并通過(guò)統(tǒng)一的虛擬層來(lái)調(diào)用，實(shí)現(xiàn)底層對(duì)用戶(hù)透明。

OpenStack的優(yōu)勢(shì)與劣勢(shì)

Openstack具有三大特點(diǎn)：免費(fèi)開(kāi)源、強(qiáng)大的兼容性以及開(kāi)放性。

Openstack 本身是一個(gè)開(kāi)源、免費(fèi)的軟件，同商業(yè)軟件相比它給了客戶(hù)足夠的自由度，可以在任何場(chǎng)合使用，Openstack開(kāi)放源代碼，讓技術(shù)人員了解程序如何運(yùn)作，由此可以自己進(jìn)行調(diào)整。在云計(jì)算時(shí)代，存在平臺(tái)與用戶(hù)鎖定的情況，而如果大家都采用開(kāi)源的軟件，遷移將變得容易。以虛擬化應(yīng)用為例，OpenStack支持Xen、KVM、VMware和QEMU等虛擬機(jī)，并通過(guò)統(tǒng)一的虛擬層來(lái)調(diào)用，實(shí)現(xiàn)底層對(duì)用戶(hù)透明。用戶(hù)可通過(guò)其對(duì)現(xiàn)有虛擬化技術(shù)的支持實(shí)現(xiàn)OpenStack在不同場(chǎng)景的部署。而且，由于OpenStack使用一個(gè)框架標(biāo)準(zhǔn)和API，只要用戶(hù)具備相應(yīng)的技術(shù)能力，任何人都可以在OpenStack上自行建立和提供云端計(jì)算服務(wù)。

總而言之，OpenStack的推出解決了用戶(hù)在開(kāi)發(fā)、部署與交付云環(huán)境上的靈活性、彈性和低成本問(wèn)題，大大改善了以往企業(yè)如果想實(shí)現(xiàn)云計(jì)算，就必須找Amazon和IBM等云計(jì)算廠(chǎng)商的窘境。

然而，OpenStack也存在如下一些劣勢(shì)：

·項(xiàng)目中面臨的風(fēng)險(xiǎn)由于發(fā)展時(shí)間較短，還缺乏很多必要的功能。比如OpenStack在系統(tǒng)監(jiān)控方面的功能還不夠完善，當(dāng)用于公有云時(shí)，其計(jì)費(fèi)系統(tǒng)還有待開(kāi)發(fā)和完善。DNS管理、LVS負(fù)載管理、Swift的CDN服務(wù)以及EBS塊設(shè)備存儲(chǔ)方面功能也不成熟。事實(shí)上，用OpenStack作最終平臺(tái)的解決方案是存在一定風(fēng)險(xiǎn)的，甚至?xí)�變成一個(gè)根棘手的問(wèn)題，一個(gè)典型例子是對(duì)虛擬化管理程序的支持，OpenStack雖然支持幾乎所有的虛擬化管理程序，但對(duì)它們的支持僅僅是開(kāi)啟與關(guān)閉而已。

·廠(chǎng)商之間的利益沖突Openstack成長(zhǎng)勢(shì)頭強(qiáng)動(dòng)，吸引了眾多IT廠(chǎng)商的支持和參與，但正是眾多廠(chǎng)商的參與，導(dǎo)致其混亂、缺乏協(xié)調(diào)的現(xiàn)狀。而且廠(chǎng)商之間存在利益沖突，他們都想用自己基于OpenStack所開(kāi)發(fā)的產(chǎn)品來(lái)替代開(kāi)源產(chǎn)品以此獲利。例如存儲(chǔ)解決方案提供商和Swift項(xiàng)目都旨在構(gòu)建存儲(chǔ)平臺(tái)，存儲(chǔ)供應(yīng)商在項(xiàng)目中并沒(méi)有開(kāi)放地提供技術(shù)支持，恰恰相反，他們只想確保API的兼容性，并以自己的收費(fèi)產(chǎn)品替代開(kāi)源解決方案。

·兼容性與開(kāi)發(fā)成本OpenStack 是一個(gè)可以建立公有云和私有云的基礎(chǔ)架構(gòu)。但它并不是一個(gè)現(xiàn)成的產(chǎn)品，要想開(kāi)展基礎(chǔ)架構(gòu)方面的工作，企業(yè)需要顧問(wèn)和開(kāi)發(fā)人員，很多時(shí)候還需要第三方的集成工具。

此外，新版本的發(fā)布過(guò)于頻繁，平均半年就發(fā)布一個(gè)新版本，如此快的更新頻率難免就存在新老版本兼容性的問(wèn)題。

從上圖(OpenStack架構(gòu)圖)中可以看到，OpenStack平臺(tái)的主要安全問(wèn)題及措施如下：

身份認(rèn)證

用戶(hù)配置是注冊(cè)新用戶(hù)到一個(gè)給定系統(tǒng)的過(guò)程，用戶(hù)取消供應(yīng)的過(guò)程是從系統(tǒng)中刪除用戶(hù)的過(guò)程。Openstack 對(duì)象存儲(chǔ)Swit 通過(guò)稱(chēng)為T(mén)empAuth和SwAuth的認(rèn)證授權(quán)系統(tǒng)提供用戶(hù)數(shù)據(jù)管理任務(wù)的自動(dòng)化。

TempAuth和SwAuth之間的差別在于用戶(hù)數(shù)據(jù)的后端存儲(chǔ)。TempAuth使用戶(hù)數(shù)據(jù)以純文本形式保存在配置文件中。SwAuth是使用Swift本身提供的可擴(kuò)展的認(rèn)證和授權(quán)系統(tǒng)。一個(gè)Swift 帳戶(hù)是在Swift集群上創(chuàng)建的，用戶(hù)信息以JSON編碼的形式存儲(chǔ)在文本文件中。SwAuth和tempAuth都允許按需進(jìn)行用戶(hù)配置和解除。用戶(hù)管理的特點(diǎn)都是基于OpenStack對(duì)象存儲(chǔ)Swift。

TempAuth和SwAuth通常使用用戶(hù)名和密碼進(jìn)行認(rèn)證。當(dāng)成功進(jìn)行身份驗(yàn)證時(shí)，用戶(hù)會(huì)收到一個(gè)令牌，此令牌可以使用戶(hù)在一段時(shí)間內(nèi)有權(quán)訪(fǎng)問(wèn)系統(tǒng)。提供的令牌具有可配置的到期時(shí)間，默認(rèn)設(shè)置為4～6h。

密碼強(qiáng)度

Openstack 項(xiàng)目對(duì)用戶(hù)進(jìn)行身份驗(yàn)證所使用的都是用戶(hù)名和密碼。密碼強(qiáng)度要求應(yīng)接受更嚴(yán)格的審查。例如依據(jù)常用密碼口令字典對(duì)密碼進(jìn)行檢查，規(guī)定最小密碼長(zhǎng)度和必須使用某些特殊字符。然而，這些要求在OpenStack規(guī)范中并不存在。

存儲(chǔ)密碼

密碼存儲(chǔ)是使用密碼驗(yàn)證的所有信息系統(tǒng)中共有的一個(gè)問(wèn)題。在信息安全中的一個(gè)常見(jiàn)做法是要求管理員保證密碼是被加密的，而不是以明文存儲(chǔ)。同樣重要的是要限制訪(fǎng)問(wèn)存儲(chǔ)密碼的位置。TempAuth將用戶(hù)名和密碼存儲(chǔ)在一個(gè)配置文件中，所有密碼都記錄在普通文本格式中。

身份驗(yàn)證令牌

成功的認(rèn)證生成用于授權(quán)服務(wù)請(qǐng)求的令牌。密碼和用戶(hù)名作為輸入提供給API。如果認(rèn)證成功，由此產(chǎn)生的信息包括身份驗(yàn)證令牌和服務(wù)類(lèi)別。令牌保持12小時(shí)有效。發(fā)出的令牌失效有兩種情況：令牌已經(jīng)過(guò)期或令牌被取消。

認(rèn)證數(shù)據(jù)敏感性

將OpenStack的認(rèn)證數(shù)據(jù)從一個(gè)服務(wù)器轉(zhuǎn)移到另一個(gè)服務(wù)器是不安全的。SwAuth存在的安全問(wèn)題是，允許供應(yīng)商管理員查看屬于此管理員管理的所有用戶(hù)數(shù)據(jù)。惡意用戶(hù)還可以獲得其他用戶(hù)訪(fǎng)問(wèn)密碼。

惡意數(shù)據(jù)

大多數(shù)云供應(yīng)商在將數(shù)據(jù)上傳到集群之前不加密數(shù)據(jù)。事實(shí)上，OpenStack未提供任何數(shù)據(jù)加密方法。因此，用戶(hù)需要先加密數(shù)據(jù)，然后上傳加密后的數(shù)據(jù)和管理密鑰本身。

標(biāo)簽： 云計(jì)算 虛擬化 虛擬化技術(shù) 云端計(jì)算 云環(huán)境 系統(tǒng)監(jiān) 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。