由中國計(jì)算機(jī)用戶協(xié)會(huì)、中國互聯(lián)網(wǎng)協(xié)會(huì)指導(dǎo)、比特網(wǎng)和IT專家網(wǎng)主辦、比特CIO俱樂部承辦的第五屆中國CIO年會(huì)，在國家會(huì)議中心隆重開幕。本次年會(huì)主題定位在“新技術(shù)浪潮下的IT變革”。聚焦熱點(diǎn)技術(shù)，關(guān)注企業(yè)應(yīng)用，引領(lǐng)IT變革。在今年被廣泛關(guān)注的云計(jì)算新技術(shù)上，如何把云技術(shù)延伸到企業(yè)級(jí)的應(yīng)用是個(gè)熱點(diǎn)，在下午云計(jì)算專題論壇上，來自國內(nèi)云計(jì)算相關(guān)領(lǐng)域的業(yè)內(nèi)專家及從業(yè)技術(shù)負(fù)責(zé)人，以及制造業(yè)、教育業(yè)、互聯(lián)網(wǎng)等方面的CIO在此次論壇中一起探討云時(shí)代的企業(yè)發(fā)展新趨勢(shì)與機(jī)遇。以下為榮新IT培訓(xùn)首席信息官張琦的大會(huì)實(shí)錄：

 榮新IT培訓(xùn)機(jī)構(gòu)的首席信息官張琦在云計(jì)算分論壇里做了主題演講

 張琦在發(fā)言中提到，私有云為何而來？這個(gè)話題咱們把云拋開，先看看管理的一個(gè)場(chǎng)景，那么我們有一個(gè)同學(xué)，有一個(gè)學(xué)員也是在視頻的網(wǎng)站，后來兩家網(wǎng)站合并了，成了比較大的視頻網(wǎng)站，他現(xiàn)在服務(wù)器的容量，虛擬化之前兩千九百臺(tái)，虛擬化之后一千八左右，兩家公司合并大家自己算，這算是虛擬化最大的一個(gè)數(shù)據(jù)中心，數(shù)據(jù)虛擬化一個(gè)百分比達(dá)到了80G，這個(gè)是國內(nèi)已經(jīng)最高了。那么，我們占在這些主機(jī)的面前，在想虛擬化，想著為什么來實(shí)現(xiàn)虛擬化，為什么要建立一個(gè)私有云？因?yàn)槲覀冊(cè)谠瓉頃?huì)有很多成本，會(huì)花在買基礎(chǔ)的硬件上，構(gòu)建一些軟件的創(chuàng)新上面，這個(gè)時(shí)候大家會(huì)發(fā)現(xiàn)我們的成本比例跟現(xiàn)在不太一樣，虛擬化之后的比例不太一樣，虛擬化之后我們看到我們會(huì)把很多的錢拿出來做創(chuàng)新，這也是大家想老板在想，所以你跟他只要去談，我們能得到什么樣的收益，那么這個(gè)虛擬化項(xiàng)目，或者私有云的項(xiàng)目會(huì)被他很容易的所接納，但是實(shí)際上并不是這樣，我們實(shí)際上把這個(gè)錢花到了認(rèn)為是虛擬化能夠帶的利益里面，把前期的設(shè)備投進(jìn)去了，但遇到了更多的問題，就是運(yùn)維管理和安全管理的成本問題。

在一些企業(yè)當(dāng)中，尤其是一些幾年前在做游戲的公司，他們消耗的IT成本在哪？90%消耗在運(yùn)維的部分，這些成本拉動(dòng)了，應(yīng)該是拖住了企業(yè)創(chuàng)新的步伐，也就是說我用一個(gè)例子，大家說虛擬化云計(jì)算，那么會(huì)很節(jié)省人力，那么節(jié)省人力為什么這么多的公司在招IT運(yùn)維管理人員？很簡(jiǎn)單我們可以看到互聯(lián)網(wǎng)你招很簡(jiǎn)單的，就是這種大一點(diǎn)的運(yùn)營公司。你可以發(fā)現(xiàn)他，他招監(jiān)控的人一招是50、100，這個(gè)例子對(duì)我們特別好，因?yàn)槲覀冏雠嘤?xùn)很容易人員就出去了，60%以上花在了運(yùn)維這塊。

但實(shí)際上云平臺(tái)能給大家?guī)硎裁礃拥膬?yōu)勢(shì)呢？全新的交付后來也會(huì)講，這些交付這面的數(shù)據(jù)中心不說，幾年前大家一說就是奔亦莊走，這些交付流程多么復(fù)雜，可能你從來沒有細(xì)細(xì)的自己去數(shù)，他有幾十個(gè)環(huán)節(jié)。再一個(gè)就是競(jìng)爭(zhēng)的運(yùn)維方式，集中化管理，我們想一個(gè)問題，前幾天做的，做的一個(gè)策劃案是誰的？也別說公司名稱了，他們?cè)谧龈邫n的家具一體化的服務(wù)營銷，全國應(yīng)該有29家或者到30家，他們會(huì)每個(gè)門店做什么呢？做桌面虛擬化，他想的是把所有的這種桌面的系統(tǒng)，集中到總部或者說門店的服務(wù)器當(dāng)中，做完虛擬化以后減少運(yùn)維的這種管理的成本，實(shí)際上他在做的時(shí)候會(huì)做到很多意想不到的問題，會(huì)有新的方案來解決，但是我們不可否認(rèn)，真正把所有的數(shù)據(jù)集中到一起管理的時(shí)候，他只要能夠提供安全、穩(wěn)定、高效這三個(gè)環(huán)節(jié)如果你能夠滿足，他確確實(shí)實(shí)是完成了一種質(zhì)的飛躍，是在整個(gè)IT運(yùn)維歷史上一種從未有過層面。

我們舉一個(gè)電源的例子，企業(yè)IT運(yùn)維原來有需要20個(gè)電源，五臺(tái)服務(wù)器，咱們現(xiàn)在算十臺(tái)，一臺(tái)服務(wù)器兩個(gè)，十臺(tái)服務(wù)器二十個(gè)電源，后來簽到一個(gè)虛擬機(jī)上有兩個(gè)電源就可以，服務(wù)器利用會(huì)提到80%以上。原來服務(wù)器單獨(dú)購買一臺(tái)，如果是光口會(huì)買一個(gè)光傳輸?shù)模瑸檫@些服務(wù)器在虛擬化之后，實(shí)際上這臺(tái)服務(wù)器已經(jīng)原原本本的放在那里。

虛擬化過程當(dāng)中，虛擬化可以直接遷移的，有的IT管理人員不能說出自己出問題的服務(wù)器在哪個(gè)主機(jī)上？當(dāng)然你有一臺(tái)的肯定在這個(gè)上，但是很大的一個(gè)里面，具體在哪真的說不清，有些說的省電，虛擬化省電的時(shí)候會(huì)把這些負(fù)載不高的服務(wù)器遷移到另外一個(gè)服務(wù)器上面，然后這臺(tái)服務(wù)器在晚上的時(shí)候，關(guān)閉狀態(tài)，但是你牽回來之后出現(xiàn)問題了，操作認(rèn)為失誤或者沒按標(biāo)準(zhǔn)流程走，會(huì)找不到出現(xiàn)問題的服務(wù)器是哪一臺(tái)。

所以，虛擬化如果是講安全，講私有云的安全，我們做虛擬化這種安全管理的時(shí)候，要把他剝離開，就是傳統(tǒng)的和虛擬化還是要分離，因?yàn)橛行┌踩奈幕灰煜教摂M化之后，這個(gè)文化根本不靠邊，靠邊的話在之前就很好的解決，我們把這個(gè)蓋把他摘了。

這里沒有虛擬化，這也是虛擬化遇到的一些問題，我們有這么一復(fù)牌，這里有很多的問題很多威脅，還有很多廠商提供他所對(duì)應(yīng)的方案，這些方案和我出現(xiàn)的問題，我自己都沒辦法理清楚，哪類是哪類，哪種是哪種，那些問題應(yīng)該對(duì)應(yīng)那種解決方案，現(xiàn)在如果把花色給理出來呢？我們黑色的是問題，然后我們紅色的代表我們的配套的解決方案跟產(chǎn)品，這樣可以解決，首先先理清楚你遇到哪些威脅，有哪些方案可以解決你的威脅，他雖然不是一一對(duì)應(yīng)的，但是有問題，終究可以有解決的方法，為什么玩斗地主喜歡在電腦上，因?yàn)殡娔X幫你理好牌。

虛擬化之前沒有解決好的一個(gè)案例，這張圖用了很多次，在不同的演講在做一些具體培訓(xùn)，這張圖幾年前在用，到現(xiàn)在依然喜歡，在很早以前，我們?cè)谥v安全的時(shí)候會(huì)講密碼，密碼的安全策略決定你一個(gè)企業(yè)當(dāng)中是否會(huì)造成數(shù)據(jù)泄露和病毒攻擊，建議這些使用者不要把密碼貼在自己的顯示器上，不要把他自己的生日，把電話號(hào)碼當(dāng)成這種密碼，幾年之后這種方式有了很好的改變，但是這種案例，我們?cè)谠贫说墓芾韱T是否有一個(gè)密碼，這個(gè)密碼只有一個(gè)人掌握，或者說我們只要使用這個(gè)密碼，一個(gè)人就能整個(gè)來獲得整個(gè)超級(jí)管理權(quán)限，我咨詢了很多了解了很多，確確實(shí)實(shí)依然還采用一個(gè)管理員就能利用超級(jí)密碼，可以控制所有的這種服務(wù)器或者其他的資源，我們可能也知道，有一個(gè)密碼本，密碼本可以通過另外的二層加密然后打開密碼本，在用密碼本登錄我們不同業(yè)務(wù)部門的服務(wù)器，這是最不安全的。

我們單獨(dú)講虛擬化的層面的問題，有很多的問題，什么網(wǎng)絡(luò)的隔離問題，管理復(fù)雜問題，最重要的是虛擬化的交換機(jī)，就是沒有通過你的交換機(jī)通口到外面去，所以問題在這，怎么解決他的不可見，有廠商在回去查沒問題，流量要解決的問題，這是內(nèi)部的。

服務(wù)器層面就更多了，先說免罪金牌，測(cè)試服務(wù)器和生產(chǎn)服務(wù)器，如果之前說了沒法進(jìn)行隔離，之間可以交叉感染，測(cè)試服務(wù)器是不是可以不裝殺毒軟件，大部分是不裝的。再有一個(gè)我們管他為什么叫免罪金牌，我臨時(shí)使兩天，你要多大，50個(gè)G，要發(fā)布嗎？肯定要發(fā)布，什么安全措施都沒有，這段時(shí)間是最危險(xiǎn)的，但他確實(shí)是，通常是允許這樣，但一個(gè)虛擬機(jī)內(nèi)部的掃描風(fēng)暴，掃描風(fēng)暴和后面三個(gè)問題是一樣，是怎么產(chǎn)生？還拿開始的那個(gè)例子說，建家具的零售店，一個(gè)店里拿50臺(tái)主機(jī)，分配一個(gè)服務(wù)器做虛擬化，每一個(gè)中段按殺毒軟件，策略我們沒法分開定制，沒有進(jìn)行分組，但是同時(shí)間全盤掃描殺毒，統(tǒng)一時(shí)間攔截外網(wǎng)的信息，會(huì)造成三大環(huán)節(jié)出現(xiàn)高符合高復(fù)雜，這些在零售店的情況下可能還能夠容忍，但是在金融行業(yè)里面，在證券的里面，出現(xiàn)了網(wǎng)絡(luò)延遲、出現(xiàn)拒絕服務(wù)，這個(gè)時(shí)候這個(gè)損失誰來承擔(dān)？所以說在虛擬機(jī)下面?zhèn)鹘y(tǒng)的防毒的問題，會(huì)造成防病毒的一個(gè)風(fēng)暴，這種對(duì)虛擬化是非常致命的，有廠商可以解決，采用傳統(tǒng)是不是不行，不建議這么做，但是你要堅(jiān)持，現(xiàn)在知道所有的防毒里面會(huì)進(jìn)行分組和策略掃描，在傳統(tǒng)的想法里面，認(rèn)為他的一致性在很短的時(shí)間就可以解決，我們要分開，防止統(tǒng)一時(shí)間進(jìn)行安全策略的掃描。

APT的攻擊就叫高級(jí)的威脅，是企業(yè)最薄弱的環(huán)節(jié)采用一個(gè)最容易得手的方式，他后面有很多種方式，他一個(gè)公司的銷售可以拿到銷售的業(yè)績和銷售客戶的聯(lián)系方式，通過他的私人郵箱和微博和個(gè)人的東西，你可以拿到他的密碼，你可以進(jìn)入公司企業(yè)里面數(shù)據(jù)的內(nèi)部，這種是長期的，是一種不被人發(fā)現(xiàn)的，可能你自己根本不知道遇到了這些問題，那么你的測(cè)試問題，虛擬化測(cè)試平臺(tái)，這種測(cè)試平臺(tái)一定要找到那些免罪金牌，對(duì)他進(jìn)行完完全全的監(jiān)控，他發(fā)現(xiàn)他有連接的時(shí)候，你確確實(shí)實(shí)已經(jīng)遭受這種攻擊，而這種攻擊會(huì)造成大量的相應(yīng)機(jī)密的泄露。我不知道這個(gè)會(huì)場(chǎng)場(chǎng)上有多少，每一次在講的時(shí)候，講這個(gè)問題的時(shí)候，實(shí)際上廠商的朋友可能會(huì)，用戶的朋友是有好處的，選擇用戶的產(chǎn)品不建議這么做，我們整個(gè)通過他的數(shù)據(jù)掃描到中段，選擇同樣的產(chǎn)品他的策略相同，有可能在兩臺(tái)背對(duì)背服務(wù)器密碼都是相同的，那么第一個(gè)第二個(gè)背對(duì)背就沒有用了。

對(duì)于公司來說是這樣，對(duì)于IT管理人員來說，希望做的事情是更簡(jiǎn)單，在交付這塊是實(shí)現(xiàn)更簡(jiǎn)單，管理這塊實(shí)現(xiàn)更簡(jiǎn)單，非常有名的一個(gè)圖，說明公司多么強(qiáng)大，這是做飛機(jī)一家公司的，這個(gè)公司有什么樣的方式，實(shí)際上我們需要這樣的圖嗎？我認(rèn)為不想這樣，我認(rèn)為一個(gè)復(fù)雜的事情能夠選擇簡(jiǎn)單的方法是最重要的，不要把問題引出的更多。