云存儲具有易用和廉價的誘惑力，至少在零資金投入方面讓人怦然心動。然而，出于性能、可用性和安全性等方面的顧慮，現在只有很少的公司愿意考慮全面使用云存儲的能力。

在本周的New Tech Forum上，Panzura公司營銷副總裁Ranajit Nevatia正面回應了這些問題。他的討論重點是云存儲控制器的利用，詳細介紹了它們的底層工作原理，以及它們如何解決云存儲的企業級問題。

采用云存儲的障礙

以按需支付的經濟模式和無限的可擴展性，云存儲似乎是on-site數據存儲持續投資問題的理想解決方案，特別是對于多站點企業。這些企業要么已經實現集中式文件存儲，辦公室必須通過廣域網遠程訪問(隨之而來的是延遲問題和工作流程的中斷)，要么他們分發辦事處之間的存儲，而必須處理文件同步問題。

云存儲承諾解決這些問題，但許多公司仍然不愿移動存儲到云中。

遷移到云的一個問題是，企業存儲“文件”而云存儲“對象” - 后者是一個新的數據結構，是可擴展的云架構的需要。

因此，必須有從文件到對象的翻譯，以支持企業訪問云存儲。此外，客戶可以重寫他們的許多應用程序，以充分利用云存儲的優勢，但他們不愿意這樣做，因為成本很高。云供應商提供基本的匝道(on-ramps)到他們的云 - 執行RAW轉換文件到對象的軟件 - 這些可能成為小型企業的需求，但它們并不適合一家大公司的大多數用例。

企業采用云存儲的其他障礙包括可用性、性能和安全性。公司擔心他們的用戶無法以等同于內部部署存儲可以提供的速度來訪問他們存儲云中的文件。當然，還有一些網絡或云提供商可能會遇到停電的擔心，這剝奪他們在關鍵時刻對數據的訪問。出于對黑客或違反協議的擔憂，公司也不愿意在公共云存放私有數據。

云存儲控制器為解決這些問題提供了新的途徑。控制器自動轉換文件為對象，無需為云重寫應用程序。云存儲控制器被部署在每個分支機構與主辦公室，它實現一個全局文件系統，充分利用站點之間的互聯網連接展示文件系統的統一視圖到所有客戶端，無論他們連接到哪個本地的云存儲控制器。此外，云存儲控制器提供了牢不可破的安全性。

下面讓我們來看看，云存儲控制器具體如何解決可用性和安全性的問題。

可用性：云文件系統

云控制器的主要特性是它的文件系統。云控制器的文件系統背后的一個主要原則，是有效載荷數據和元數據之間的物理和邏輯分離。在傳統的文件系統中，快照包含的有效載荷數據和元數據，并且它作為單一的大塊信息管理。在云控制器的文件系統中，元數據可以很容易地從快照中提取，并與有效載荷數據分開傳輸，同時保持文件系統的一致性。當客戶端與文件系統交互，實際上是元數據操作，不需要訪問有效載荷數據。

通過目錄結構瀏覽，打開文件夾，查看文件列表和基于屬性(如文件名、文件大小、文件類型、創建日期和修改日期)的文件排序/搜索，都是元數據操作。元數據操作如何迅速發生用，對戶體驗的影響很大，所以大多數文件系統在RAM中緩存元數據，以加快響應時間。因此，云控制器文件系統的一個核心設計原則，是為全局部署的元數據操作保持響應時間。

由于云控制器通過所有的控制器展示相同的文件系統視圖，在每個控制器中的元數據必須保持同步。文件系統通過采取文件系統高頻次的快照，從快照提取元數據的變化，并迅速分發這些改變到文件系統中的所有控制器成員，實現這一目的。每個云存儲控制器從其他控制器接收更新元數據，并將其應用于自己的元數據。在這種方式下，文件系統總是相同的，不管哪個控制器呈現它。

當客戶端通過云控制器文件系統瀏覽，其用戶體驗與瀏覽本地文件系統是相同的，因為它們事實上是瀏覽文件系統元數據的本地副本。因此，即使實際數據文件存在于在不同的站點或在云中的控制器，它總是能夠快速導航文件系統。

鎖管理

鎖管理(Lock management)是全局文件系統的另一個重要組成部分。由于多個客戶端共享訪問一個通用的文件存儲庫，必須有一個對多個用戶同時編輯一個文件的鎖機制。一旦用戶打開一個文件時，該文件被鎖定，所有其他用戶無法編輯，直到原有用戶關閉文件。一個有效的云存儲控制器包括一個鎖管理系統，其中鎖定的信息在所有的控制器中實時交換，保證沒有兩個用戶同時爭用文件編輯權限。

至于云中斷事件的文件可用性，云控制器可以設定為自動同步文件的副本存儲在云中的兩個或更多的位置，比如亞馬遜的不同站點。這樣，即使一個數據副本變得不可用，其他的副本仍然在手。

安全

云控制器通過對存儲在云中的所有文件采用軍用級文件加密解決安全問題。加密密鑰保持在客戶自己的網站，以確保完全的安全性。

在云部署，信息將在互聯網上進行傳輸。雖然在某些情況下可以用虛擬專用網絡(VPN)連接站點，甚至是云計算，但云存儲控制器能為傳輸中和靜止的數據提供最大限度的保護。

例如，所有的Panzura Quicksilver Cloud Storage Controllers從有RSA 2048位證書的工廠出貨。如果有需要，用戶可以使用該證書，但它通常被多達4,096位的X.509證書(PFX / PKCS # 12，PEM，DER格式)取代。

當一個云存儲系統建立后，系統管理員指定云控制器被允許加入文件系統的IP地址。現有的控制器在文件系統中使用 HMAC-SHA- 256身份驗證來建立一個安全隧道到新的控制器，并共享文件系統的X.509證書，使用AES -CBC -256加密的證書。

當數據經過網絡，無論是控制器和控制器之間，還是控制器和公共云/私有云之間，控制器產生一個隨機數，改變每32MB的數據，以確保密鑰的輪換。 AES -CBC- 256加密的用戶數據使用該隨機數，并且該隨機數本身也是AES- CBC- 256加密，使用X.509證書的公共密鑰，并嵌入傳輸或存儲的數據的頭部。數據現在被安全地加密，通過在不同的每一個32MB的數據塊之間使用加密，可以阻撓暴力解密的嘗試。

只有有效X.509私鑰的持有者可以解密數據。當一個文件服務控制器訪問信息的加密塊，塊報頭被檢查，然后用私鑰對包含在報頭內之的隨機數進行解密，最后將解密的隨機數用于實際的數據進行解密。

小結

云存儲控制器實現強大的全局文件系統，通過有效載荷數據和元數據分離提供文件的快速訪問。此外，云控制器的文件系統實現全局文件鎖管理，并提供多個文件副本的訪問，以防止云數據中心停電。最后，云存儲控制器實現軍事級別的加密，以消除關于存儲在公共云中的企業敏感信息的擔憂。因此，云存儲控制器能夠幫助用戶克服采用云存儲的常見障礙。