存体系两大类。其中,多处理器共享内存的机器,多个处理器以单地址空间的形式共享存储器,又分为 UMA(Uniform Memory Access,一致性存储访问结构)和NUMA(Non-uniform Memory Access,非一致性存储访问结构)。UMA 以中央存储器的形式共享内存,NUMA 以分布式存储器的形式共享内存。UMA,指在一个母板上有多个处理器共享中央存储器,具有统一的内存地址空间。NUMA,把上百个 CPU 组合成多个模块,每个模块由多个 CPU 组成。每个模块内的 CPU 可以访问整个系统的内存,使用统一的访问地址空间。当然,CPU 访问本地模块内存的速度远远高于访问其他模块(系统内其他节点)的内存。因此,NUMA 系统上的应用程序开发,应尽量减少不同模块间的信息交互。UMA 包括 PVP(并行向量机)、SMP(对称向量机)等系统,每个共享的资源都可能造成整个系统服务扩展时的性能瓶颈,最受限的是内存空间。由于每个 CPU必须通过相同的内存总线访问相同的物理内存,导致随着 CPU 数量的增加,内存访问冲突将迅速增加。在存储器接口达到饱和的时候,增加处理器并不能获得更高的性能,反而造成 CPU 资源的浪费。实验证明,SMP 服务器 CPU 利用率
最好的情况是 2~4 个 CPU。NUMA 技术可以较好地解决 UMA 架构的扩展问题,在 1 台物理服务器上可以支持上百个 CPU。但是,由于访问其他模块(系统内其他节点)的内存的时延远远超过本地内存,当 CPU 数量超过一定值时,其系统性能无法线形增加。HP 公司发布 Superdome 服务器时,曾公布了与其它 UNIX 服务器的相对性能值的比较,64 路 CPU 的 Superdome(NUMA 架构)的性能值为 20,而 8 路 N4000(SMP架构)的性能值为 6.3。可见,8 倍的 CPU 数量只得到了 3 被的性能提升。另一类 MIMD 体系的计算机架构是多计算机独立内存体系,多地址空间,非共享存储器,不支持远程节点访问内存,称为 NORMA(No-remote Memory Access)。NORMA 基于同一总线(Interconnect Network),把所有独立的计算节点连接起来,是一种分布式内存架构。共享内存的 UMA 和 NUMA,数据一致性由硬件专门管理;分布式内存的 NORMA,节点之间的数据一致性由系统软件,甚至是应用程序来管理。因此,基UMA/NUMA 和基于 NORMA 的编程模型完全不一样。MPP(大规模并行计算)和 Cluster(集群),都属于 NORMA 架构,也叫完全无共享(Share Nothing)结构。
12.试述 MIMID 的 NUMA 与 SN 架构的区别。
从架构角度,NUMA 和 MPP 与 Cluster 有许多相似之处:它们都由多个节点
组成,每个节点都有对立的 CPU、内存、I/O,节点之间都可以通过节点互连机
制进行信息交互。主要区别在于:
a.节点间的互连机制:NUMA 的节点连接是在一个物理服务器内部全局实现
的,一个节点内的 CPU 可以访问其它节点的内存。MPP 和 Cluster 的节点连接 是不同的节点间通过 I/O 外部实现的,每个节点的 CPU 只能访问本地内存。
云安全的威胁作用者可能来自内部,也可能来自外部;可能来自于人,也可能来自于软件。包括匿名攻击者,授信的攻击者,恶意服务代理,恶意的内部人员,等类型。匿名攻击者是云中没有权限、不被信任的云用户,通常是一个外部软件程序。通过公网发动网络攻击。恶意服务作用者能截取并转发云内的网络流量。它通常是带有被损害的或恶意逻辑的服务代理(或伪装成服务代理的程序)。也有可能是能远程截取并破坏消息内容的外部程序。授信的攻击者与同一云环境中的云用户共享 IT 资源,试图利用合法的证书把云提供者以及那些与他们共享 IT 资源的云租户作为攻击目标。授信的攻击者又称为恶意的租户,能使用基于云的 IT 资源做很多非法行为,包括非法入侵认证薄弱的进程、破解加密、往电子邮件账号发垃圾邮件,或者发起常见的攻击,如拒绝服务攻击。恶意的内部人员是人为的威胁作用者,他们的行为代表云提供者。他们通常是现任或前任雇员,或者能访问云提供者资源的第三方。恶意的内部人员可能拥有访问云用户 IT 资源的管理特权,因此破坏性极大。流量窃听,恶意媒介通常是由窃取网络流量的恶意服务作用者实施的;DoS 攻击发生时,目标 IT 资源由于请求过多而负载过重,这些请求意在使 IT 资源性能陷于瘫痪或者不可用,因此,DoS 攻击通常由恶意媒介服务作用者实施,它可以是匿名的攻击者,也可以是授信的攻击者,还可以是恶意的内部人员;授权不足指的是错误地授予了攻击者访问权限或授权太宽泛,或使用了弱密码,因此,通常由授信的攻击者实施;虚拟化攻击利用的是虚拟化环境中的漏洞,获得了对底层物理硬件未被授权的访问,通常也是由授信的攻击者实施;重叠信任边界潜藏了一种威胁,攻击者可能利用多个云用户共享的、基于云的 IT 资源,新人边界重叠的威胁,通常由授信的攻击者实施。
EC2是AWS 最早提供的 IaaS 云计算服务,它具有任何一台个人 PC 所具备的功能。根用户可以完全控制 EC2 实例。与个人 PC 可以部署在局域网中类似,EC2可以被部署在 AWS 的 VPC 中。
S3 是 AWS 继 EC2 之后推出的又一个 IaaS 云计算服务。用户无需自选区域
(AWS region),由 AWS 自动就近分配一个 region。因此,EC2 访问 S3需要通过网络,以及权限认证。这个认证方式,可以是密钥的形式,也可以是通过AWS IAM 角色的分配来实现。
VPC 是 AWS 为用户提供的私有网络配置,通过对外的 Internet 网关和对内
的弹性网络接口实现内网的联通和外网的访问
云安全机制有哪些?
威胁、漏洞和风险,指的是云安全的一条因果链。一个基于网络的分布式
系统存在不可避免的漏洞,这些漏洞被威胁作用者利用,对 IT 资源、云服务构成威胁,带来风险。安全控制、机制和策略,指的是云安全中的另一条行动链。安全策略确定安全控制的定位,决定使用哪些安全机制进行安全控制。常用的云安全机制有:加密、身份与访问控制、单点登录、基于云的安全组、强化的虚拟服务器映像。其中,加密不仅仅是云安全机制,也是信息安全的一个重要机制。而后两种机制则是云计算生态系统所特有的安全机制。身份与访问控制、单点登录机制,在互联网应用中也早已广泛使用,并不局限于云计算领域。
加密(encryption)机制是一种数字编码系统,专门用来保护数据的保密性和
完整性,用来把明文数据编码成受保护的、不可读的格式。加密技术通常依赖于
称为加密部件的标准化算法,把原始的明文数据转换成加密的数据,称密文。当
对明文进行加密时,数据与一个称为密钥的字符串结成对,其中密钥是由被授权
的各方建立和共享的秘密消息。密钥用来把密文解密回原始的明文格式。加密机
制可以帮助对抗流量窃听、恶意媒介、授权不足和信任边界重叠等安全威胁。例
如,试图进行流量窃听的恶意服务代理如果没有密钥,就不能对传输的消息解密。
哈希机制对消息进行哈希(加密)时,消息就被锁住了,并且不提供密钥。
哈希机制常见的应用是密码的存储。哈希技术可以用来获得消息的哈希代码或消
息摘要,通常是固定的长度,小于原始的消息大小。于是,消息发送者可以用哈
希机制把消息摘要附加到消息后面。接收者对收到的消息使用同样的哈希函数,
验证生成的消息摘要和与消息一同收到的消息摘要是否一致。对原始数据的任何
修改都会导致消息摘要的变化,消息摘要不同就明确表明发生了篡改。
数字签名机制是一种通过身份验证和不可否认性来提供数据真实性和完整性
的手段。在发送之前,赋予消息一个数字签名,如果之后消息发生了未被授权的
修改,那么这个数字签名就会变得非法。数字签名提供了一种证据,证明收到的
消息与合法的发送者创建的那个消息是否一致。数字签名机制,涉及哈希机制和
非对称加密机制:对原始信息应用哈希机制,得到消息摘要;由私钥加密消息摘
要,并附加到原始消息中;接收者用公钥解密这个数字签名,得到消息摘要,来
验证消息的真实性和完整性。
身份与访问管理(Identity and Access Management),用于控制和追踪用户身份、IT 资源、环境、系统访问特权的组件和策略。IAM 机制包括四个主要组
成部分:认证、授权、用户管理和证书管理。对于一般用户而言,认证和授权并
没有什么使用感受中的区别,都是对于某些资源的使用权限。但是对于云管理员
来说,认证,指的是认证证书的形式,包括用户名/密码组合、数字签名、数字证书、生物特征识别硬件、特殊软件等,以及用户帐号邦定的 IP 或者 MAC 地址;而授权则是用于定义正确的访问控制粒度。