|
Bulutli infrastruktura komponentlarini samarali tashkil etish va boshqarish
|
| bet | 12/34 | | Sana | 15.05.2024 | | Hajmi | 4,46 Mb. | | #236274 |
Bog'liq BULUTLI TEXNOLOGIYALAR Bulutli infrastruktura komponentlarini samarali tashkil etish va boshqarish
Amazon web-services taqdim etiluvchi web xizmatlar
Amazon web-services (AWS) Amazon korxonasi tomonidan taqdim etiluvchi bulutda joylashgan web xizmatlar infratuzilmasi hisoblanadi. Bu infratuzilma har xil xizmatlarni taqdim etadi.
1.19- rasm. Amazon web services
Ulardan ma’lumotni saqlash, Amazon S3, virtual serverlar ijarasi, hisob-kitoblar resurslarining taqdim etilishi, Amazon EC2. Amazon S3 online web xizmati har qanday xajmdagi ma’lumotlarni saqlashni va ularda xohlagan vaqtda dunyoning har qaysi nuqtasidan internet orqali foydalanish imkonini taqdim etadi. Amazon Elastic Compute Cloud (Amazon EC2) web xizmati bulutda joylashgan hisob-kitoblar quvvatlarini, resurslarini taqdim etadi. AWS - 2006 yil boshida Amazon tomonidan taqdim etilgan bulutli web-xizmatlar platformalarining infratuzilmasining bir qismidir. AWS da virtual serverlarni ijaraga berish, hisoblash quvvatini taqdim etish, ma’lumotlarni saqlash (fayllarni joylashtirish, taqsimlangan ma’lumotlar omborlari) va h.k. taqdim etiladi.
Oddiy web-ga asoslangan xizmat interfeysi kompyuter quvvatiga ega bo‘lish va minimal manbalar yordamida sozlash imkonini beradi. U foydalanuvchilarga hisoblash resurslarini to‘liq nazorat qilishni, shuningdek, ishlash uchun qulay muhitni taqdim etadi. Ushbu xizmat yangi serverni olish va yuklab olish vaqtini qisqartiradi.
Bulutli konfiguratsiya
Bulut konfiguratsiyasi bu bulutli muhit elementlari uchun apparat va dasturiy ta’minot ma’lumotlarini ular birga ishlashi va muloqot qilishi uchun o‘rnatish jarayoni. Bulut muhitining qiyinchiliklaridan biri oddiy yoki yagona joylashuvga ega tarmoqqa, gomogen tarmoqqa nisbatan konfiguratsiya qilish qiyinroq. Bulut provayderi barcha turdagi qurilmalar va dasturiy ta’minotdan foydalanayotgan turli nuqtalarda joylashgan mijozlar uchun xizmatdan foydalana olish imkoni yaratishga to‘g‘ri keladi.
Bitta binodagi yagona tarmoq administratori kabi bulut provayderi ham xizmat ishonchli, sifat yaxshi va mulokot xavfsiz bo‘lishini ta’minlashi kerak.
Bulut interfeys ilova dasturlari (API, application program interfaces) provayder muhiti bilan o‘zaro ishlashini ta’minlash uchun mijoz qurilmasining eng yuqori qismida turadi. Interfeys ilova dasturlari (API) birlashgan dasturlanadigan tajribani yetkazishga xizmat qiladi, ularga pastda qurilma nima ish bajarayotganligi axamiyatsiz.
Bulutni ta’minlashning asosiy 3 ta elementi orasidagi konfiguratsiya xususiyatlari farq qiladi.
Dasturiy ta’minot xizmat sifatida (SaaS, software as a service) tarqatish modelida ilovalar (applications) vendorlar yoki xizmat provayderlari tomonidan joylashtiriladi va mijozlarga Internet orqali foydalanish imkoniyati beriladi. Dasturiy konfiguratsiya foydalanuvchilarga ruxsat berilishi mumkin.
Dasturiy konfiguratsiya foydalanuvchi uchun mahalliylashtirilgan dasturni sozlash uchun bir xil turdagi o‘zgarishlarni amalga oshirishlari uchun yoqishi mumkin. Dasturiy konfiguratsiya mahalliy joylashtirilgan ilovalarda bir xil turdagi o‘zgarishlarni kiritish uchun foydalanuvchilarga ruxsat berilishi mumkin. Boshqa holatlarda, taklif etiladigan bitta konfiguratsiya bo‘lishi mumkin. Provayderning konfiguratsiya mas’uliyatlari odatda xizmat darajasi shartnomasi (SLA, service level agreement) da belgilanadi.
1.20- rasm. Bulutli hisoblashda asosiy SaaS provayderlar
Platforma xizmat sifatida (PaaS, platform as a service) modelida, operatsion tizimlar va so‘ralgan xizmatlar ularni yuklab olmasdan va o‘rnatmasdan Internet orqali yetkazib beriladi. Dasturchilar uchun platformalar o‘z ichiga operatsion tizimlar, dasturlash tillari, dasturni sinovchi muhitlar, ma’lumotlar bazasi va veb serverlarni olishi mumkin. Barcha elementlarning konfiguratsiyasi va boshqaruvi provayderlarning zimmasida bo‘ladi.
Ishlash prinspi ikkita asosiy metodlarga qaratilgan: IP - paketlarni apparat va dasturiy ta’minotlar yordamida shifrlash, yoki odiygina ochiq trafik orqali. Deyarli har doim kompaniyalar korparativ tarmoqlarida ishlov berilgan shaxsiy konfidensial ma’lumotlar IP - tarmoq orqali kirish imkoniyati mavjud bo‘lishligi uchun saqlanadi. Barcha paketlarni kodirovka qilish tizimda resurslarni ko‘p qismi sariflanishiga sabab bo‘ladi. Shifrlash pog‘onasini pasayishi ochiq trafiklarni ko‘payishiga sabab bo‘ladi va bu konfedensial axborotlar himoya pog‘onasi susayishiga olib keladi. Inson faoliyati soxalarida bunday holat nomaqbul xisoblanadi. Bunung yechimi IP - shifrlash tezligini oshirish orqali xal esa bo‘ladi.
1.21- rasm. Bulutli hisoblashdagi asosi PaaS provayderlar
Infrastruktura xizmatida (IaaS) operatsiyalarni qo‘llab-quvvatlash uchun ishlatiladigan uskunalarni, jumladan, saqlash, apparat, serverlar va tarmoq komponentlarini o‘z ichiga oladi. PaaS xizmat modeliga o‘xshab, barcha elementlarning konfiguratsiyasi provayder zimmasida bo‘ladi.
1.21- rasm Bulutli hisoblashda asosiy IaaS provayderlar
Har bir xizmat ko‘rsatish sohasida xizmat ko‘rsatish mezonlari bo‘lganidek bulutli infrastrukturada xizmat ko‘rsatish darajasi mezonlari mavjud. Bulutli hisoblashlar bo‘yicha mezonlar va talablar Xalqaro Elektraloqa Ittifoqi (International Telecommunication Union ITU-T) ning Y.3500 tavsiyanomasi asosida tartibga solinadi.
Ma’lumotlarga ishlov berish markazi resurslaridan foydalanishda apparat va dasturiy ta’minotlarni ahamiyati
Iste’molchilarning apparat va dasturiy ta’minot bilan ta’minlash. Hozirgi kunlarga kelib, is’temolchi ish joyida IP - oqimlarni SSL protokoli orqali shifrlash dasturiy va apparat vositalari yondashishda xech qanday muomolarni keltirib chiqarmaydi. Tezlik qayta ishlashsiz 1 Mbit/s ga chiqishi mumkin. Hozirgi kunlarda bunday xizmatlar ko‘rsatadigan sertifikatsiyalashgan firmalar yetarlicha xisoblanadi. Iste’molchilar operatsion tizimlaridagi kalitlar va korparativ bulutdagi shaxsiy axborotlar himoyasi axborot xavfsizligini taminlashda katta muomolardan biri xisoblanadi. Is’temolchining shaxsiy kompyuterlarda elektron quluf o‘rnatiladi. Bunday blakirovkani nafaqat is’temolchi balki, kompaniya axborot xavfsizligi xizmati ham nazorat qilish imkoniyatiga ega. Lekin bularning hammasi faqat shaxsiy bulutda mavjud bo‘lib ijtimoiy bulutda bu imkoniyatlar yo‘q.
Gipervizor, dasturiy vosita sifatida apparat resurslarini boshqarishda va resurslarni mexmon operatsion tizimlar o‘rtasida taqsimlaydi, shuning uchun virtual muxitda eng zaif qismi xisoblanadi. uning har qanday buzilgan xolati, mexmon operatsion tizimida nosozlikni yuzaga kelib chiqaradi. Gipervizordan foydalana olish o‘z o‘rnida yovuz niyatdagi shaxslarga turli xil imkoniyatlar kelib chiqaradi. Fakt jixatdan bunday kirish imkoniyati Gipervizor orqali o‘tadigan barcha axborot oqimlarini nazorat qilishga imkoniyat beradi. Bunday imkoniyatlar virtual muxitdan umumfoydalanish xuquqini beradi yani: virtual struktura admistratori cheklovsiz har qanday ma’lumotlardan foydalana olish xuquqiga ega bo‘ladi.
Shuning uchun axborot resurslari xavfsizligini virtual muhit ichida xal etish mumkin. Mantiqiy virtual infratuzilma fizik infratuzilmadan farq qilmaydi shunga ko‘ra birinchidagi taxdidlar ikkinchiga ham taluqli xisoblanadi. Shunda axborot himoya vositalari virtual infratuzilma himoyasini taminlashda, apparat resurslarini opimizatsiyalash qobilyatiga ega bolishlari lozim. Ko‘p hajmga ega bo‘lgan virtual infratuzilmalarda ratsioanal maqsadda axborot himoya vositaladidan foydalanish gipervizor darajasida qurishga yordam beradi. Bulutda asosiy xavf extimolligi virtualizatsiya spesifikatsiyasi, yangi obektlar yuzaga kelishi orqali – bulutli boshqarish tizimi va tizim virtualizatsiyasi orqali yuzaga keladi. Ulardan birini kompromentatsiya qilish bulut xavfsizlikni xavfga qo‘yish bilan tengdir. Virtual muxitdagi fizik serverlarda virtual mashinalar juda ko‘p bo‘lishi mumkin. Virtualizatsiyalashgan server operatsion tizimiga oddiy antivirus o‘rnatilsa, bitta fizik Gipervizorda r antivirusni 100 ta nusxasi yuzaga keladi. Har bir nusxa o‘zida antivirus signaturasi, yuritgich bo‘ladi: bularning hammasini o‘z vaqtida yangilab turish kerak barcha virtual mashinalarda. Bunda gipervizorga yana yangi qo‘shimcha og‘irlik kelib chiqadi va fizik server resurslari samarasiz sarflana boshlaydi.
2009-yilda VMware kompaniyasi gipervizor ishlab chiqaruvchilar qatoridan birinchi bo‘lib gipervizorni chuqur joylashtirish yani uni bir virtual mashinadagina ishlatish bunda shu virtual mashinada yagona signatur nusxasi va yagona yuritgich nusxasi bo‘lib shu orqali boshqa virtual mashinalarni himoyasini taminlashda qo‘llaniladi. VMware kompaniyasi tomonidan ishlab chiqarilgan Gipervizor va unga yondashish standart xisoblandi. Himoya virtualizatsiya vositalari va bulutli muxitdagi asosiy talablash shunga qaratilganki: xavfsizlikdagi chiqimlarnikamaytirish, resurslarga bo‘lgan talablarni qisqartirish, ishlab chiqarishni ko‘tarish va virtualizatsiya beradigan imkoniyatlaridan foydalanish - deb ta’kidlaydi. Denis Bezkorovayniy CSA (Cloud Security Alliance) kompaniyasi asoschisi va RISSPA (Russian Information Security Professional Association) kompaniyasi vitsa - prezidenti.
Misol qilib, oladigan bo‘lsak, virtualizatsiya xavfsizligini taminashda, virusga, xujum va taxdidlarga qarshi Gipervizor darajasidagi vositalar ishlatilinadi. Shunday xavfsizlik yondashuvlar tarmoq pog‘onasida ham qo‘llaniladi. Tarmoqlar aro ekran, xujumni payqash va xatarlani aniqlash, hujumlardan himoyalasnish - bunday ananaviy masalalardan foydalanishda tarmoq chegarasiga o‘rnatilgan apparat ta’minoti orqali amalga oshiriladi. Virtualizatsiya tizimiga xizmat ko‘rsatishda, agar admistratorlarga tegishli virtual mashinalar orasidagi trafik xavfsizligini ta’minlash kerak bo‘lgan xollarda ikki xil yechim imkoniyati bor.
Birinchi yechim shunga asoslanadiki, standart apparat ta’minotini olganda, virtualizatsiya muhitida n o‘ziga tegishli trafikni ajratib olishi va uni shu qurilma orqali otkazish va orqaga qaytish xolatida uni o‘rab qo‘ymoq. Buning uchun xatto standart yechim trafikni filtrizatsiya qilishdan foydalanish mumkin. Lekin bunday yondashish kamsamarali xisoblanadi.
Boshqa yo‘li ya’ni ikkinchi yo‘li masalalarni (echimlarni) Gipervizor darajasida joylashtirish mumkin.
|
| |
