GB∕T 32399-2015标准规范下载简介
GB∕T 32399-2015 信息技术 云计算 参考架构资源抽象和控制功能组件使云服务提供者能够实现例如快速弹性扩展、资源池化、按需自服务等云 计算特征。资源抽象与控制组件可以包含管理程序、虚拟机、虚拟数据存储和分时等软件元素。 资源抽象与控制组件帮助运营支撑系统组件(见9.2.5.3)实现控制功能、监视和管理能力。例如, 可以存在一个集中的算法来控制、关联和连接物理资源中不同的处理、存储和网络单元,使它们能共同 交付一个NaaS、IaaS、PaaS、SaaS等类型的云服务的运行环境。控制器可以决定哪个CPU或机架来承 载哪个虚拟机,执行给定云负载的哪个部分,以及这些处理单元如何相互连接,以及在条件变化时如何 动态透明地将这些负载重新分配给新的单元。 资源是否是虚拟化的取决于负载的特征。对许多负载(例如计算、存储即服务类型的负载)而言,将 底层物理资源虚拟化是很方便的,特别是对一些物理基础设施无法实现的场景(例如与镜像管理相关或 根据需要动态扩展CPU容量的场景)。对其他负载而言(例如分析或搜索),需要尽可能大的运算能 力,使用成百上千的节点来执行一个特定的任务。在这样的情况下采用非虚拟化的物理资源可能更为 合适。
9.2.4.2物理资源
物理资源功能组件代表云服务提供者运行和管理其提供的云服务所需的各种元素。 物理资源包括硬件资源GB/T 42103-2022 游乐园安全 风险识别与评估,例如计算机(CPU和内存),网络(路由器、防火墙、交换机、网络链路和网 络连接器),存储组件(硬盘)和其他物理计算基础设施元素。这些资源既能包括那些位于云数据中心内 部的资源(例如计算服务器、存储服务器和数据中心的内部网络),也能包括那些位于数据中心外部的资 源,通常是网络资源,例如数据中心间的网络和核心传输网络。 所有物理资源都由运营支撑系统功能组件管理。这些功能组件具备将各个云服务的实例分配到资 源上以满足客户需求的能力。需要注意的是,通常运营支撑系统功能组件自身也运行在一些物理资 源上。
9.2.5.1集成组件
集成组件负责连接体系架构中的其他组件,以构成一个统一的架构体系。 集成组件提供云计算体系架构内部、体系架构的组件间,以及体系架构与外部组件间的消息路由和 消息交换机制。消息路由可以基于不同的标准,例如,上下文,策略等。 集成组件包括: ·安全集成; . 监控集成; 服务集成; . 对等服务集成。
9.2.5.1.1安全集成
9.2.5.1.2监控集成
监控集成功能组件提供从访问层、服务层和资源层的组件到运营支撑系统中监控能力和报告 连接。
9.2.5.1.3服务集成
务的连接。服务集成功能组件是实现服 化的重要方面,可以使服务的位置
9.2.5.1.4对等服务集成
对等服务集成组件用于以可控方式连接对等云服务提供者的服务,这种连接采用适当的安全措 安适当的计量方式计算使用量,同时连接云服务用户的身份系统。对等服务集成组件也把与目 的连接虚拟化,以便这些目标服务可以动态改变,而不对影响依赖它们的那些服务产生影响,
9.2.5.2安全组件
安全组件应用与控制有关的安全策略来降低云计算环境中的安全威胁。安全组件包括所有支持云 计算所需的安全工具。 安全组件包括: ·鉴别和身份管理; ·授权和安全策略管理; ·加密管理。
9.2.5.2.1鉴别和身份管理
鉴别和身份管理组件提供访问云服务及其相关管理和业务能力时的用户身份识别能力。 身份管理可以包括联合身份管理,以允许用户用同一个身份和证书访问多个云服务,提供诸如“单 点登录和鉴别”类能力。
9.2.5.2.2授权和安全策略管理
数据提供授权控制和应用能力。安全策略 和应用
9.2.5.2.3加密管理
9.2.5.3运营支撑系统组件
9.2.5.3.1服务目录
服务目录功能组件提供某一特定云服务提供者的所有云服务列表。服务列表包括/参考所有部 共和运行云服务有关的技术信息
9.2.5.3.2供应
9.2.5.3.3监控和报告
共服务交付功能,以服务实现和访问端点两种形 务元素以正确的顺序提供,
9.2.5.3.4服务策略组件
服务策略功能组件提供云服务的定义、存储和访问策略。这些策略包括用于云服务本身及其使用 的业务、技术、安全、隐私和认证等策略。 一些策略是通用的,适用于所有用户。另一些策略则专门是针对特定用户的
9.2.5.3.5服务自动化
服务自动化功能组件提供服务交付能力,包括服务的执行和管理,以及服务的协同。服务自动化组 件保存服务的模板,该模板定义了用于提供和交付服务特定访问人口的云计算行为和工作流。 云服务的交付可以自动化,以支持可伸缩的资源操作,包括配置和负载。 云服务用户的云服务管理功能也能够自动化,而不需要云服务提供者的任何干预。 服务自动化组件与交付组件及服务集成组件一起配合实现这一目标。
9.2.5.3.6服务水平管理
服务水平管理功能组件提供特定云服务的服务级别管理功能,以使服务符合它的SLA要求。 服务级别管理组件管理云服务的功能和性能,这包括各项服务策略应用(例如,用于避免单点失效 的分布规则)。 服务级别管理组件从监控和报告组件获得监控信息,以为云计算服务衡量和记录关键的性能指标。 基于这些KPI来分配或去除相应的能力。 服务级别管理组件也记录已分配或可用资源的整体状态。已分配的能力与云服务性能KPI的比 较有助于识别当前或潜在的瓶颈,以支持能力规划
9.2.5.3.7异常和问题管
题可由云服务提供方系统或云服务用户检测和指
9.2.5.3.8平台和虚拟化管理
平台和虚拟化管理功能组件提供管理云服务提供方(如计算机、存储、网络)基础资源的功能,以及 这些资源的虚拟化使用能力(例如,通过管理程序)。 典型情况下这些资源组成资源池。资源池具有如下重要特征: ·标准化硬件部件和配置; ·通过新硬件的增加随时扩展; ·当负载有变化时,可动态迁移资源; 保护和隔离邻近的负载和数据; 通过资源间的负载和数据转移,减少/消除岩机时间; ·基于目标(例如,性能、可用性、许可权和能源使用)管理资源消费
9.2.5.3.9对等服务管理
对等服务管理功能组件提供连接服务提供方的运营支撑系统、业务支撑系统和对等云服务提供方 的管理及业务功能。 对等服务管理功能组件根据对等云服务提供者的请求,负责建立所需的通信路径,传送合适的身份 和证件。
9.2.5.4业务支撑系统
业务支撑系统功能组件涵盖了与业务相关的处理客户和支撑流程的管理能力,包括: 产品目录; 账户管理; 订单管理; ·计费; ·账务。
9.2.5.4.1产品目录
产品目录组件为云服务的客户提供可购买的服务列表的查看功能,并为云服务提供商的员工提供 产品目录的内容管理功能。 产品目录中的每个条目包含了相应云服务的技术信息(如服务所提供的功能,可用服务操作的接口 定义,安全信息等)和商务信息(如价格和计费方式)
9.2.5.4.2账户管理
GB/T 323992015
9.2.5.4.3订单管理
订单管理组件负责处理云服务客户的云服务订单,记录用户新建或修改的订单信息,并确保订 务的交付。
9.2.5.4.4计费
计费组件提供以下功能: ·云服务客户使用云服务的计量和计费一其中计量是指对云服务客户消费使用云服务的度 量,计费是指根据计费方法和计量数据计算出费用。对数据的具体计量形式根据云服务的特 性而定。计费方法可包含针对特定用户特殊条款(如折扣),并需要确定的折算计量数据的 算法; ·基于以上功能产生的费用生成账单,并把账单提交给云服务客户。另外,账单数据还用于账户 管理功能模块和账务功能模块。
9.2.5.4.5账务
账务功能组件负责总账和会计相关的功能 包含应收账款和应付账款。注意账户组件只负责 是供商的账户,不涉及客户账户(后者由账户管理组件负责)
9.2.5.5 开发功能组件
开发功能组件支撑云服务开发者的云计算活动,包括服务实现的开发和/或集成、构建管理和测试 管理。 开发功能组件由以下组件构成: ·开发环境; ·构建管理; ·测试管理
9.2.5.5.1开发环境
开发环境功能组件提供用于服务实现的软件的开发,支持服务中软件模块的开发,提供服务组合的 工具。 开发环境组件支持使用云服务提供者所提供的服务能力,包括资源连接和网络连接,与其他服务 (包括对等云服务提供者的服务)的集成,监控和管理能力的集成,安全能力的集成。 开发环境组件支持开发的服务相关的配置元数据的生成;支持供服务提供商运维支撑系统使用的 服务配置脚本和组件的生成。
9.2.5.5.2构建管理
9.2.5.5.3测试管理
测试管理功能组件支持对所有的服务实现软件的测试。测试管理组件生成测试报告,并将测 和服务实现软件一同提供给云服务提供者。 一般情况下,测试会在一个特殊的测试环境中执行。测试环境与生产环境非常类似。同时,测讠
到生产环境。云计算下的测试环境可由云服务
GB/T 32399—2015
在第8章介绍云计算角色与活动的用户视图,第9章介绍包含功能组件的功能视图的基础上,本章 描述角色和活动与功能组件之间的逻辑映射关系。 映射关系是标准的一部分。标准中的映射关系可应用于: a)明确信息流或其他类型互操作的程度; b)确保指定的质量(例如安全或服务水平)。 本架构中定义的逻辑关系是确定CCRA及其行为的重要组成部分。该逻辑关系描述内容包括 CCRA组件间交互所需的信息流,
10.2.1服务能力组件
GB/T32399—2015
10.2.2常用角色、活动和组件
图15角色,云计算活动和组件的通用视图
图15中云服务提供者有一个叫CSP:云服务管理者的子角色。云服务管理者执行提供服务活动。 该活动为CSC:云服务用户提供实际使用的服务。但是,在服务能被使用之前,需要进行云服务的开 发、部署和运维。 图15中云服务合作者有两个子角色:云服务开发者和云审计者。云服务开发者使用开发工具组件 开发云服务,使用测试管理组件测试服务。然后将云服务和部署信息一起打包发送给CSP:云服务管 理者。CSP:云服务管理者执行部署和供应服务活动,以便在提供服务活动中提供服务能力组件。同 时,根据各自的策略和治理方案,云审计者对云服务开发者、云服务提供者或云服务客户从事执行审计 和报告审计结果活动。 在CSP:云服务管理者执行完部署和供应服务活动之后,提供服务活动使用服务能力组件。该组 件是对服务的实现,并依次使用资源层组件中的计算、存储和网络资源运行服务。提供服务活动还包括 集成服务能力组件,与安全组件集成提供安全和隐私能力,例如数据加密。运营支持系统组件支持对服 务和资源的管理、监控、自动化和配置。此外,CSP:云服务管理员从事执行服务水平管理活动。该活动 管理服务的可用性和性能,以便服务遵循与云服务客户签订合同中所包含的SLA。服务水平管理、监 控和报告、异常和问题管理这3个组件都是用来实现此目标。 有时,CSP:云服务管理者通过与另一CSP:云服务管理者合作,调用该云服务管理者服务的方式提 供服务。CSP:云服务管理者执行管理对等云服务活动,为使用对等服务签订协议和SLA。对等云服务
GB/T32399—2015
提供者还提供和其他云服务提供者类似的管理云计算和使用云计算活动,包括:提供服务 平管理。 图15中描述了CSP:云服务管理员提供的常用云计算活动集合,但是,本标准也描述了其他的云计 算活动。 现在服务是可用的。云服务客户有两个子角色:CSC:云服务管理员和CSC:云服务用户。CSC:云 服务管理员测试云服务,监控和执行SLA、为使用云服务提供订阅和报告。作为CSC:云服务管理者活 动的一部分,执行管理租户活动使用管理员功能组件保证租户需求被合适地实现。完成上述操作之后 子角色CSC:云服务用户执行使用云服务活动。该活动使用用户功能组件与云服务进行交互。 图16展示了角色、云计算活动和组件。箭头表明多个云计算活动和多个角色之间的关系。附录A 给出了这些关系的描述,
图16活动和组件之间关系和交换示例
GB/T 32399—2015
GB/T 32399—2015
10.2.3多租户和隔离
.1云服务客户和云服务提供者关系
服务客户和云服务提供者
附录A (资料性附录) 关于用户视图和功能视图的进一步描述
在云服务客户和云服务提供者关系中有3个关键要素: a) CSC:云服务用户使用提供者的云服务来实现自身的业务目标; b) CSC:业务管理者基于云服务提供商的业务能力订购云服务并从业务的视角管理服务; C) CSC:云服务管理者基于云服务提供者提供的管理能力,从云服务客户的视角来管理云服务的 使用。
云服务用户通过整和服务切同切能 信息训 与特定的云服务相关,因此不属于参考架构的范畴,但是服务接口中应反映某些通用需求,特别是需要 识别和验证云服务用户的需求。 CSC:云服务用户通过用户功能组件来执行使用云服务的活动。该功能组件通过服务访问功能组 件来调用云服务。服务访问功能组件执行对CSC:云服务用户的身份验证,并进行使用特定云服务能 力的授权。如果被授权,服务访问功能组件调用云服务实现来完成用户请求。 图A.1展示了CSC:云服务用户使用云服务活动过程中所涉及功能组件之间的关系。
图A.1“使用云服务”活动中的CSC云服务用户关系
CSC:云服务业务管理者通过用户层的业务功能功能组件来完成各类云计算活动:选择和购买服 务、执行业务管理和获取审计报告。业务功能功能组件通过业务访问功能组件的终端和接口来调用云 服务提供者的业务能力。 业务访问功能组件验证CSP:云服务业务管理者的身份,并授权其访问业务能力的特定功能。业 务能力功能组件与业务支撑系统功能组件交互来完成CSC:云服务业务管理者的各类请求。业务支撑 系统功能组件包括产品目录,账户管理和订购管理。 业务能力相关的信息通常包括: a)可用云服务的产品目录,包含相关的技术信息、定价、条款和条件等; b)订购信息,包括客户订购了哪些服务,以及可能包含的相关数量信息(如用户数、数据量、处理 量等); c)计费信息,包括使用量计费、付款和账户状态。 图A.2展示了CSC:云服务业务管理者选择和购买服务活动过程中所涉及功能组件之间的关系。
“选择和购买服务”活动中的CSC.云服务业务管
图A.3“监控服务”活动所涉及的CSC:云服务管理者关系
与云服务客户和云服务提供者之间关系相关的因素能包括客户和提供者之间的协议。该协议 A知识产权和管理,例如对个人数据的适当保护。
A.2提供者和对等提供者(“云间")关系
一个云服务提供者能使用其他云服务提供者提供的一个或多个云服务。这种关系称为提供者与对 等提供者关系,也称为“云间”关系。其中,使用服务的提供者称为主云服务提供者,提供服务的提供者 称为从云服务提供者。 相较于云服务客户和云服务提供者间的关系,云服务提供者间的关系包含两个功能组件: ·主云服务提供者使用从服务提供者的云服务; ·主云服务提供者的CSP:云服务运营管理者和CSP:云服务管理者使用从云服务提供者的业务 能力和管理能力来使用和控制从提供者的云服务。 对于从服务提供者来说,主服务提供者承担云服务客户的角色。从云服务提供者的服务提供给主 云服务提供者的客户使用。通过主提供者将从云服务提供者和云服务客户联系起来时,需要特别考虑 安全、PII保护和数据所有权等方面。 至关重要的是,主提供者需要确保从提供者的服务(SLA)满足主提供者的服务要求,并且任何违背 SLA的情况都得到适当处理。 提供者和对等提供者关系中包含3类接口:管理接口、业务接口和服务接口,这些接口提供了与云 服务客户和云服务提供者间接口大体相同的能力。管理接口的使用方式如图A.4所示。服务接口的 使用方式如图A.5所示。业务接口的使用方式如图A.6所示,
图A.4提供者和对等提供者之间的管理活动关系
图A.5提供者和对等提供者之间的使用服务活动关系
A.6提供者和对等提供者之间的业务接口关系
A.3云服务开发者和云服务提供者关系
云服务开发者完成服务实现和服务打包,然后提交给云服务提供者部署和运营。因此服务开发者 与云服务提供者交互实现以下目标: ·检查云服务提供者的服务执行环境; ·测试服务实现; ·提交服务实现包。 开发功能功能组件支持的云服务开发者云计算活动包括:开发服务、测试服务和维持服务。这些云 计算活动依赖开发环境、构建管理和测试管理功能组件。 图A.7中开发环境组件相关的线条表示云服务开发者实现服务,并使用开发环境功能组件组合服 务,然后使用构建管理系统构建服务和相关的构件,并打成一个部署包。测试管理功能组件进出的线段 表明测试管理系统针对构建好的包执行相应的测试,从构建管理系统获取包,通过开发访问功能组件与 开发环境交互来部署服务的测试版本,并执行测试。 为了在目标执行环境运行服务实现和服务访问,安全、监控、管理、自动化等需要正常启动,同样需要 成功的集成到服务集成环境。云服务开发者(红线)通过使用开发接口活动发现监控集成、安全集成和服 务集成的合理实现。此外认证和身份管理及授权和服务政策管理的信息和需求通过开发接人组件恢复。 部署和配置云服务实现的启动同样通过开发环境和构建管理系统完成(例如,通过脚本生配置元数 据文件)。云服务开发者使用开发接口组件发现配置和部署的需求。 服务实现同配置和部署一起被打包,并传给源程序:云服务管理者执行部署服务活动,结果是在提 供服务活动中服务对消费者是可用的
图A.7云服务开发者和云服务提供者关系
A.4云服务提供者和审计者关系
云审计者应审计议定的技术参数、政策及协议。 审计技术参数以是云服务提供者设定标准,审计员设定的标准,独立设定的标准或根据法律需要设 定。选取哪个取决于审计者审计结果的目标。如果审计结果的目标是需要一些独立保证的云服务消费 者,那么审计使用独立设定的标准。 政策由提供者为审计提供者的基础设施各服务设定。这些政策在治理过程中由生意设定。 云服务协议可能包括与云服务提供者审计JGJ/T 110-2017 建筑工程饰面粘结强度检验标准(完整正版、清晰无水印),或可能为云服务消费者审计相关的条款。相似的协议 应该在主要的云服务提供者与次要云服务提供者之间合适的位置。审计者的责任在不同情况下是相 同的。 云审计者的云计算活动有安全审计,隐私影响审计和业绩审计。对所有这些云计算活动,审计者可 从云服务提供者那里得到审计凭证。审计凭证的格式将取决于适应于审计的审计和标准的类型而多种 多样。凭证可以是程序文件的形式,也可以是日志记录。无论如何,云服务提供者都有云审计者获取所 需凭证的手段。 在图16中,云审计者的执行审计活动通过提供者的管理接人组件,调用必要的管理活动向云提供 者得出审计凭证的要求
系统安全审计有各种各样的标准。涵盖信息安全管理的ISO/IEC27001是其中之一。同时 多其他组织为云安全提供审计标准,
各种数据保护部门(例如,加拿大隐私权专员和英国信息专员)均发布了程序、政策或系统的隐私安 全的评定和/或审计的指导方针。个人验证信息的保护是管理和/或立法的典型对象,但与云服务相关 的问题之一是,云服务消费者与云服务提供在不同的管辖区内。如果云服务提供者在不同的辖区内操 作多个数据中心并在这些数据中心间转移数据或服务执行(例如,出于服务连续的目的或资源利用的有 效性的目的),情况会变得更加复杂。 ISO/IECSC27负责制定定义适用于担当数据处理器的云服务提供者的信息安全控制的标准 SO/IECSC27同时处理更广的安全标准(例如ISO/IEC29100系列标准)。 数据审计者按照数据保护部门的执导方针和相关标准,对云服务的隐私方面和云服务提供者针对 适合的隐私规则的操作进行评估。
性能审计评估云服务提供者的能力是否与待定云服务性能目标是否一致,性能目标通常记录在 SLA中。
JG/T 546-2019 建筑施工用附着式升降作业安全防护平台打印H期:2016年3月17HF009B
丁印H期:2016年3月17HF009B