谈谈云计较数据中心DevSecOps运维模式中的安详性

本文想从技能的角度谈谈我对云计较数据中心 DevSecOps 运维模式中的安详性的领略，和已往几年我在云处奇迹务持续性打点方面的试探。

此刻公有云处事商都不谋而合地转向 DevSecOps 模式。DevSecOps 是 DevOps 的另一种实践，它将信息技能安详性作为软件开拓全部阶段的一个根基点。安详性，不只涉及各类条理的断绝和合规性搜查，并且涉及从技能层面确保营业持续性。在 ISO/IEC 27001 信息安详打点系统中，“营业持续性打点”是安详打点中很是重要的一环，目标是为镌汰营业勾当的间断，使要害营业进程免受首要妨碍或天灾的影响，并确保实时规复。“营业持续性打点”是安详管理中的术语，把它转化到计较机产物中的术语，就是“靠得住性，可用性和可维护性（RAS）”。

一、去中心化 

每个云计较数据中心都有一些中心化的共享处事，好比防火墙、DNS、焦点路由、负载平衡器、漫衍式存储等等。固然IT基本架构在计划和代码执行充实思量到了高可用和高通量，然则现实上，老是有一些破例。好比，我们在一次防火墙进级时，由于一个偶发的 Bug，Peer 并没有经受全部的流量，功效导致了许多处事的非打算间断。

在这之后，将 IT 基本架构从中心化布局解析成浩瀚的较小的妨碍域布局，成了我们在计划和改造云计较数据中心的要害思量身分之一。我们云基本架构漫衍于几十个地域（Regions）。每个地域的数据中心又从物理上脱离为 3 个可用性域（Availability Domains），这些可用性域全部的基本办法都独立的。可用域互相断绝，容错，而且险些不行能同时失败。因为可用性域不共享基本办法（譬喻电源或冷却）或内部可用性域收集，因此地区内一个可用性域的妨碍不太也许影响统一地区内其他可用性域的客户。在每个可用性域里，我们又进一步去中心化，分组为多个妨碍域（Fault Domains）。妨碍域是一组硬件和基本架构。通过适内地操作妨碍域，我们的客户可以进步在 Oracle Cloud Infrastructure 上运行的应用措施的可用性。譬喻，客户若有两个 Web 处事器和一个集群数据库，我们会提议他们将一个 Web 处事器和一个数据库节点组合在一个妨碍域中，将另一半组分派到另一个妨碍域中。这可以确保任何一个妨碍的失败都不会导致应用措施间断。

除了上面这个妨碍域，我们还针对 Oracle SaaS 处事（Oracle 的 ERP、CRM、HCM 等行业办理方案，今朝有高出 2.5 万的企业客户）提出了详细的指标：任何组件的劫难变乱都应无法导致该数据中心 10% 的客户，或 100 个客户的处事间断。为此，我们团队几年前计划并实验一个去中心化的改造方案以实现这一方针。这是个以零停机时刻为方针的基本架构优化方案，涉及了防火墙、DNS、负载平衡器、Web 前端、存储、IMAP 等等。

二、备份与容灾

备份与容灾是担保处事安详性和可用性绕不开的话题。固然备份与容灾的本钱很高，我们照旧提供了针对各类场景的备份与容灾方案供客户本身选择。

备份数据行使率很低。在出产情形中，我接到的数据规复哀求均匀每个季度不到千分之二，首要是顾主测试情形中的数据规复。而真实的出产情形的 SaaS 处事数据规复哀求均匀每个季度不到万分之二。为了这万分之二的行使概率，运维部分每周城市抽取必然比例的备份凭证特定的安详的流程举办数据规复测试和验证，以确保备份是有用的。

我还和我的同事们还开拓了 Oracle SaaS DR 的执行方案。客户如购置了这一处事，则可通过 Oracle Site Guard 的 Web GUI 界面的简朴几步操纵，即可快速将出产情形从一个数据中心切换到另一个数据中心。蘑菇街技能处事总监赵成老师在他的文章《做容灾，冷备是不是个好方案》中提到了冷备的难点。我们的 DR 方案在技能上重点就是办理了非打算间断之后，数据同步、破除非常锁文件、负载平衡器更新、应用设置更新、行使 Data Guard 切换数据库等方面的题目，以及主节点规复后怎样举办反向同步并自动切换到非打算间断之前的设置。关于我们 DR 方案的 RTO（Recovery Time Objective）和 RPO（Recovery Point Objective），你可以 Google 查询“Disaster Recovery for Oracle SaaS Public Cloud Services ”，从官方正式的文档中获得。现实上，我们出产情形中验证的数据比对外发布的数据要好得多。

三、一连改造会见节制，在服从和安详中找到均衡点 

我把会见节制的范畴归纳综合为：客户授权的特定的人、在指定的时刻内、以验证过的安详方法、会见脱敏的内容，并尽也许地加密客户数据途经的全部通道和节点。

（1)、客户授权。我们按照客户的行业属性差异和数据安详性需求差异，定制了多个客户安详审计部分参的会见节制核准事变流。这个授权的措施涉及 SRE 工程师的国籍、第三方配景观测、客户数据掩护相干的安详培训、条记本电脑的硬盘加密状态等。会见授权的时效也许是一次性、也许是几天、也也许是 1 个月，按照行业特点和客户需求而定。

（2)、会见节制的细粒度。在技能的执行上，除了 VPN 和 Bastion (又称 Jumpbox) 外，我们还引入了 Oracle Break Glass 方案来让外部客户本身来核准和授权Oracle 的 SRE 工程师对体系和处事的打点会见，提供给用层的特另外安详性。Break Glass 会见是偶然刻限定的，它通过仅提供对 Oracle 支持职员的姑且会见来掩护客户的数据。我们还引入 HSM 来增强云处事变形中的数字密钥的打点。在新一代的 Oracle SaaS 处事中，任何工程师对数据库的 SQL 操纵，会自动挂起并自动发生一个要求核准执行的SR，直到相干职员检察 SQL 语句安详性并核准后才会执行。

（3)、数据加密。除了这种受控会见之外，我们还行使 Oracle 的 Transparent Data Encryption（TDE）和 Database Vault 对静态数据行掩护和审计。客户可以节制 TDE 主加密密钥并打点其生命周期。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!