一些術語和概念

邏輯網路邊界（logical network perimeter）通常是由提供和控制資料中心連線的網路裝置建立，例如虛擬防火牆，虛擬網路（VLAN、VPN）

虛擬伺服器（VM），虛擬基礎設施管理器（VIM，虛擬基礎設施管理器，用於協調與VM例項建立相關的物理伺服器）

雲存貯裝置：cloud storage device。裝置的例項可以被虛擬化。單位為

1、檔案；

2、塊（NFS、CIFS-Common Internet File System）；

3、資料集dataset（例如SQL）

4、物件：各種型別的資料都可以作為web資源被引用和儲存，例如利用HTTP的CRUD（create、retrieve、update、delete）操作（如CDMI，Cloud Data Management Interface）

雲使用監控用於收集和處理IT資源的使用資料。包括有

1、監控代理（作為服務代理位於通訊路徑上，對資料流進行透明的監控和分析）；

2、資源代理（事件驅動，例如觀測啟動、暫停、恢復、垂直擴充套件等事件）；

3、輪詢代理（polling agent，常被用於週期性地監控IT資源狀態，例如正常執行時間和停機時間）

資源複製（resource replication）對同一個IT資源建立多個例項。

已就緒環境機制是PaaS雲交付模型的定義元件，基於雲平臺，已有一組安裝好的IT資源，可以被雲使用者使用和定製。雲使用者使用這些，遠端開發和配置自身的服務和應用程式。例如資料庫，中介軟體，開發工具和管理工具，例如進行開發和部署Web應用程式。

特殊雲機制

自動伸縮監聽器（automated scaling listener）是代理服務，監聽和追蹤使用者和雲服務之間的通訊或IT資源的使用情況，通常靠近FW。實際就是監聽，如果發現超過閾值（大或者小，例如CPU>70%，使用者請求每秒大於10個，並持續10分鐘），通知雲使用者（VIM平臺），雲使用者（VIM平臺）可以進行調整。注意，這只是監聽器，監聽在動伸縮的需求，不是處理自動伸縮。如果擴充套件需求在同一物理伺服器上無法實現，則需要VIM執行虛擬機器線上遷移，遷移到滿足條件的另一臺物理伺服器上。

負載均衡器（load balancer），有下面幾種方式，都是分散式，而不是主備的方式，因為這是講balance。可以通過交換機，專門的硬體/軟體裝置，以及服務代理

1、非對稱分配（asymmetric distribution）：較大的工作複雜被送到具有較強處理能的IT資源。

2、負載優先順序（workload prioritization）：複雜根據其優先級別進行排程、排隊、丟棄和分配。

3、上下文感知的分配（content-aware distribution）：根據請求內容分配到不同的IT資源。

SLA監控器（SLA monitor），例如輪詢檢測是否線上，檢測QoS是否達到SLA的要求。

按使用付費監控器（pay-per-use monitor），按預定的定價引數測量IT資源的使用情況，提供給計費系統。典型的有：請求/響應訊息數量，傳送的資料量，頻寬消耗量。

審計監控器用來收集網路和IT資源的審計記錄資料，用以滿足管理需要或者合同義務。例如位於認證伺服器之前的審計監控器可以截獲使用者的登入請求，在日誌資料庫中存貯請求者的安全證書，以及成功和失敗的嘗試，供以後的審計報告用。

故障轉移系統（failover system）通過叢集技術提供冗餘實現IT資源的可靠性和可用性。有兩種基本配置：

1、主動-主動：本例是負荷均衡的，失效的例項從負荷均衡排程器中刪除（或置為失效）

2、主動-被動：有活躍例項和待機例項（無負荷，可最小配置），如果如果檢測到活躍例項失效是，將被重定向到待機例項，該待機例項就成為了活躍例項。原來的活躍例項如果恢復或者重新建立，可成為新的待機例項。這是冗餘機制。

Wei：現在有技術進行線上備份或者遷移的，能夠對有上下文要求的，有狀態機要求的進行復制，也就是說可以無縫接管，這種屬於主導-被動方式。而負載均衡只是對新請求進行保護，對於正在處理的請求（或者請求組）是會丟失的。採用哪種方式，具體業務特性決定。

虛擬機器監控器（hypervisor）用來在物理機器上生成虛擬伺服器例項，通常限於一臺物理伺服器內，提供對硬體資源使用的控制、共享和排程。VIM提供了一組特性來管理跨物理伺服器的多hypervisor，看進行資料中心的硬體資源排程，例如分配合適hypervision，進行線上遷移到空閒的物理機等。

資源叢集（resource cluster）將多個IT資源例項合併成組，使之能像一個IT資源那樣進行操作。也就是N in 1。在例項間就工作符合分別，任務排程，資料共享和系統同步等進行通訊。叢集管理平臺作為分散式中介軟體執行在所有的叢集節點上。型別包括：

1、伺服器叢集：執行在不同物理伺服器上的虛擬機器監控器可以被配置為共享虛擬伺服器執行狀態（例如記憶體頁和處理器暫存器狀態），以此建立起叢集化的虛擬伺服器，通常需物理伺服器共享儲存，這樣虛擬伺服器可以從一個物理伺服器線上遷移到另一個。

2、資料庫叢集：具有同步的特性，叢集中使用的各個儲存裝置上儲存資料一致性，提供冗餘能力。

3、大資料集叢集（large dataset cluster）：實現資料的分割槽和分佈，目標資料集可以有效地話費區域，而不需要破空資料的完整性或計算的準確性。每個節點都可以處理總做負載，而不需要向其他型別那樣，與其他節點進行很多的通訊。

方式分為兩類：1、符合均衡的叢集；2、HA叢集。

多裝置代理幫助執行時資料轉換，使得雲服務被更廣泛的使用者程式和裝置所用，就是多幾個介面，格式適配（例如頁面適配）這類，例如XML網路，雲端儲存網格、移動裝置閘道器。

狀態管理資料庫是一種儲存裝置，是把狀態資料快取在記憶體的一種替代方法。軟體可以將狀態資料放入DB中，用以降低程式佔用執行時的記憶體量。

雲管理機制

遠端管理系統是必不可少的，通過遠端管理系統可以訪問資源管理系統、SLA管理系統以及計費管理系統。遠端管理系統的有兩個入口：使用與管理入口，自服務入口。這個系統也包括API，雲使用者可以通過這些標準API來構建自己的控制檯，雲使用者可能使用多個雲提供者的服務，也可能更換提供者。

資源管理系統幫助協調IT資源，其核心是VIM。

SLA管理系統對相關資料的管理、收集、存貯、報告以及執行時通知，通常會有一個服務資料測量庫。

計費管理系統根據計費實踐和定價模型出具清單。

雲安全機制

加密：對明文（plaintext）進行加密（encryption），通過加密部件（cipher）的標準化演算法將明文轉換為密文（ciphertext），而金鑰（encryption key）扮演關鍵角色。

一、對稱加密（symmetric encryption），例如RC4、Triple-DES，AES。

二、非對稱加密（asymmetric encryption）。https就是用SSL/TLS作為http的底層加密協議。

雜湊：單向的不可逆的資料保護機制，常用於密碼。通過雜湊可以獲得訊息摘要（message digest）

數字簽名（digital signature）進行資料真實性和完整性的驗證，涉及hash和非對稱加密，將一個由私鑰加密的訊息摘要附加到原始訊息中，接收者用公鑰來解密這個數字簽名，得到訊息摘要，然後對比原始訊息hash得到的message digest，一致則證明訊息的真實性和完整性。

公鑰管理設施（PKI，public key infrastructure）是管理非對稱加密金鑰辦法，也就是通過數字證書將公鑰告知對方。PKI依賴於數字證書（帶數字簽名的資料結構，與公鑰一起驗證證書持有者身份），常由第三方證書頒發機構（CA，Certificate Authority）簽發。

身份與訪問管理（Identity and Access Manager，IAM）機制具有認證、授權、使用者管理、證書管理。IAM中有些目標和PKI相似，但還包括訪問控制，策略等內容。

單一登入（Single Sign-On）機制使得一個雲服務能被一安全代理認證，這個安全代理建立一個安全的上下文，當該雲使用者訪問其他雲服務或資源時，這個上下文會被持久化。類似於統一認證，即跨多個雲服務為使用者進行AAA，無需在使用者的使用過程中，進行多次的認證授權的密碼請求。例如安全代理通過安全令牌的方式，在分散式的雲服務A、雲服務B、雲服務C中自動認證該使用者。又例如安全代理收到安全證書後傳播給不同雲中的已就緒環境。

基於雲的安全組（cloud-based security group）通過基於雲資源的分隔減少或避免不同使用者的信任邊界重疊，當一個雲安全組受到攻擊時不會波及到另一個雲安全組。例如公開組/私有組，開發組/生產組，在VIM分配雲資源時，根據SLA，在相應的雲安全組的物理機器上進行資源分配。

強化的（hardening）虛擬伺服器映像：強化是將不必要的軟體從系統中玻璃出來，限制可能被攻擊者利用的潛在漏洞，包括關閉不必要的伺服器埠，關閉不必要的服務，關閉不需要的內部根賬號，關閉對系統目錄的的賓客方位，解除安裝冗餘軟體，建立記憶體限額等。