Модель гибридного «облака» обеспечивает многочисленные преимущества, позволяя выбрать оптимальное расположение для конкретной рабочей нагрузки. Благодаря гибридным «облакам» у компаний появляется возможность разместить одни рабочие нагрузки в общедоступном «облаке», а другие в локальном частном «облаке». Вы больше не окажетесь в положении, когда рабочие нагрузки могут быть размещены только в определенном месте. Выбрать оптимальное местоположение не всегда просто, и такие факторы, как соблюдение регулятивных норм, могут перевесить доводы в пользу эффективности и экономии.
Вероятно, самый важный критерий при выборе, следует ли запускать рабочую нагрузку локально в частном «облаке», — уровень требований регулирующих органов и проблемы соответствия. По мере того как ИТ-технологии становятся более зрелыми, регулятивные нормы приобретают все большее значение при принятии решений.
Существует великое множество правил, регулирующих способы хранения информации в зависимости от ее свойств. Хранение финансовой, личной и медицинской информации определяется разнообразными правилами, многие из которых были введены в действие до того, как общедоступное «облако» вышло за рамки гипотетической технической возможности. Эти правила также различаются в разных областях юрисдикции, что затрудняет компаниям поиск общего решения, удовлетворяющего всем требованиям.
Так, определенные типы конфиденциальных данных должны храниться в зашифрованном виде. В правилах, относящихся к этому типу данных, часто указывается, что криптографические ключи, необходимые для шифрования и восстановления конфиденциальных данных, должны храниться определенным образом, например в аппаратном модуле безопасности (HSM). Аппаратный модуль безопасности — средство блокировки, специально предназначенное для хранения криптографических сведений. Выполнить требования к соответствию, в частности в отношении хранения ключей шифрования, проще, когда компания контролирует все локальное оборудование. Дело в том, что аудитор может просто определить, соответствует ли текущая реализация регулятивным требованиям. Аудитор может углубить детализацию и выяснить, отвечает ли реализация требованиям соответствия.
Выполнить требования для соответствия может быть труднее, если рабочая нагрузка размещена в «облаке», просто потому что оборудование и среда контролируются другой компанией. Поставщики услуг общедоступного «облака» сертифицированы на соответствие определенным регулятивным стандартам, но авторы законодательной базы, составляющие стандарты, не всегда успевают за быстрыми изменениями технологий, и это типичная проблема для общедоступного «облака». Поставщик услуг общедоступного «облака» может иметь все необходимые сертификаты для большинства видов бизнеса, но не располагать конкретным сертификатом, необходимым для размещения рабочих нагрузок компании с необычными требованиями.
Помимо соответствия, для выбора общедоступного или частного «облака» при выполнении рабочей нагрузки в гибридной среде важно, поддерживается ли размещение рабочей нагрузки в общедоступном «облаке».
Многим компаниям по-прежнему необходимо выполнять устаревшие рабочие нагрузки, которые нельзя напрямую перенести в общедоступное «облако» по нескольким причинам. Например, рабочая нагрузка может быть связана с приложением прежней версии и быть совместимой только с определенной версией операционной системы, не поддерживаемой ни одним поставщиком общедоступного «облака». До тех пор, пока не удастся отказаться от таких рабочих нагрузок, компании необходимо развернуть функционирующее, локальное частное «облако».
Выбор модели, наиболее подходящей компании (общедоступной, частной или гибридной), во многом зависит от повседневных рабочих нагрузок, выполняемых компанией. Об этом обязан помнить каждый сотрудник, ответственный за принятие решений.
Что необходимо знать о контейнерах и гибридном «облаке»
Контейнеры Windows Server и Hyper-V являют собой наглядный пример преимуществ развертывания в гибридном «облаке». Контейнеры Windows Server и Hyper-V — новая технология, незнакомая большинству ИТ-специалистов и руководителям, ответственным за принятие решений. В сущности, контейнеры Windows Server и Hyper-V — самодостаточные виртуальные среды для размещения приложений. Контейнеры Windows Server функционируют поверх Windows Server 2016 или Microsoft Azure. Контейнеры Hyper-V можно запускать поверх Hyper-V Server 2016 или внутри Microsoft Azure.
В отличие от виртуальной машины, которая содержит все файлы операционной системы, контейнер хранит только файлы приложения и связанные с ними. Размеры виртуальных машин могут превышать 20 Гбайт, но контейнер с приложением может быть размером всего в десятки или сотни Мбайт. Кроме того, контейнеры — временные объекты. В них размещается все необходимое для запуска приложения, но данные следует хранить в другом месте, например в базе данных или ином постоянном хранилище.
Благодаря чрезвычайно малому размеру контейнеры гораздо проще переносить, чем виртуальные машины. В зависимости от пропускной способности сети, часто требуется некоторое время для пересылки 20 или более гигабайт через общедоступные каналы к Интернету из локальной среды в Azure. А в случае с контейнерами перемещение даже пары сотен мегабайт занимает относительно немного времени.
Процедура перемещения контейнеров проста. Вы можете переместить контейнер с одного узла на другой, просто перенеся файлы контейнера. Такая переносимость полезна для компаний с развернутым гибридным частным или общедоступным «облаком», так как разработчики приложений могут построить контейнер на своем компьютере, переслать его в частное «облако» компании для расширенного тестирования, а затем отправить тот же контейнер в Azure, когда приложение будет готово к производственному развертыванию.
Локальное общедоступное «облако» функционирует как пространство, в котором могут быть настроены все параметры приложения перед его передачей в «облако» в распоряжение пользователей.
Когда требуется обновить приложение, можно разместить новую версию контейнера. Если нужно переслать лишь несколько десятков мегабайт данных между локальной средой и Microsoft Azure, то можно избрать иной подход к обновлению приложений, нежели в случае, когда приходится перемещать 20 или более гигабайт каждый раз при небольшом изменении.
Гибридные «облака» и преимущества унифицированного набора инструментов управления
Действительно ли системные администраторы, имеющие дело с единственным набором инструментов управления, работают более эффективно? Да, и на то есть причины.
Огромное преимущество работы с гибридным «облаком» на основе продуктов Microsoft, когда локальная инфраструктура размещается в Hyper-V и управляется System Center, а общедоступный компонент «облака» работает в Microsoft Azure, заключается в возможности использования единственного унифицированного набора инструментов управления.
Наличие унифицированного набора инструментов управления означает, что системным администраторам приходится иметь дело только с одним набором инструментов. Одно из преимуществ в данном случае — сокращение времени, необходимого для обучения. Другое — более компетентное использование инструментов управления. Администраторам приходится работать только с одним набором инструментов, поэтому они лучше владеют им, чем специалисты, использующие разнообразный инструментарий.
Ситуация гораздо сложнее, если локальная инфраструктура и поставщик общедоступного «облака» используют разнородные технологии, у каждой из которых есть собственный уникальный инструментарий управления. Изобилие отдельных инструментов с перекрывающейся функциональностью не только затрудняет действия по управлению, в зависимости от того, размещена рабочая нагрузка локально или в общедоступном «облаке», но и усложняет перемещение рабочих нагрузок между локальной средой и общедоступной «облачной» средой, если базовые технологии каждой среды спроектированы и обслуживаются различными поставщиками.
Одно из важнейших преимуществ гибридного «облака» на основе продуктов Microsoft — PowerShell. Это мощный инструмент автоматизации системного администрирования, с помощью которого можно эффективно управлять почти любыми технологиями Microsoft. Многие команды PowerShell, применяемые для управления локальной инфраструктурой, работают почти так же, как набор команд PowerShell для управления инфраструктурой в Microsoft Azure.
Унифицированная технология не только поможет администратору в совершенстве овладеть набором инструментов; есть и другие преимущества, в том числе активное сообщество PowerShell. Администраторы, сталкивающиеся с задачами, которые не удается решить немедленно, могут найти скрипты и полезные советы на форумах.
Для успешного развертывания гибридного «облака» нужны эффективные системные администраторы. Администраторы, которые применяют унифицированный набор инструментов, более продуктивны, чем их коллеги, использующие инструменты от разных поставщиков, спроектированные для достижения различных целей.
Защита виртуальных машин в гибридном «облаке» путем шифрования
Пользователи, которые опасаются перемещать конфиденциальные рабочие нагрузки в общедоступный компонент гибридного «облака», обычно считают, что запуск виртуальных машин в чужой инфраструктуре открывает перед владельцем инфраструктуры или злоумышленниками, взломавшими ее, возможность доступа к информации. Иными словами, как проверить, не заглянет ли Microsoft или другой поставщик общедоступного «облака» в ваши виртуальные машины?
Существуют весомые юридические причины и политики, которые исключают такие происшествия. Но есть и технические решения, благодаря которым даже если кто-то получит доступ к файлам виртуального жесткого диска в Azure, ему не удастся прочитать информацию, так как файлы полностью зашифрованы.
С помощью Azure Disk Encryption можно включить функцию шифрования томов, встроенную в поддерживаемые операционные системы виртуальных машин IaaS Azure. Компания Microsoft обеспечивает использование решения для полного шифрования томов BitLocker на виртуальных машинах IaaS Azure с операционными системами Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2, а также позволяет использовать DM-Crypt, подсистему автоматического шифрования дисков, встроенную в ядро Linux версий 2.6 и выше.
Ключи шифрования для BitLocker и DM-Crypt хранятся в Azure Key Vault, компоненте Azure, доступном только для пользователей и приложений, уполномоченных владельцем подписки. Azure Key Vault позволяет хранить ключи в аппаратном модуле безопасности, соответствующем спецификации FIPS 140-2 Level 2.
Azure Disk Encryption позволяет развертывать новые виртуальные машины с зашифрованными томами, шифровать существующие виртуальные машины, функционирующие в Azure, а также импортировать и запускать в Azure локально зашифрованные виртуальные машины без шифрования виртуальных жестких дисков.
При включенном режиме шифрования дисков Azure на виртуальных машинах IaaS Azure Windows Server или Linux можно быть уверенным, что только уполномоченные лица получат доступ к информации на жестких дисках этих виртуальных машин.