云管理工具随云的使用而变化。对于这个测试,我们选择了五种工具,每种工具从不同的角度攻击云管理。
我们研究了symsimplify用于专门针对基于saas的应用程序的身份管理,Puppet Labs用于虚拟机部署,HP用于构建和管理私有云,Abiquo用于IaaS平台管理,TurnKey Linux用于低成本云备份。
简化身份管理和单点
Symplified Identity Manager(SIM)为管理员提供了一种处理基于web的应用程序身份和密码的方法。这是通过“身份”实现的路由器“叫SinglePoint。SIM产品反过来为使用SaaS应用程序的用户管理身份。
所涵盖的SaaS应用包括LinkedIn、谷歌Apps(商业版)、Salesforce等。使用HTTP联合,几乎所有有登录屏幕的Web应用程序都可以被包括在内。
对于SIM和SinglePoint,所有的认证构建都是在用户“幕后”完成的。在管理上,我们发现SIM和SinglePoint有点难,但一旦构建起来就非常有用。
SIM开发了一个身份库,存储选定网站的密码和身份。这些标识可以通过包含的SimpleLink连接器链接到本地内部用户存储,如LDAP或Active Directory。
身份和密码存储在一个集中式保险库中,该保险库使用AES128加密,使用一个旋转加密密钥。保险库存储在Identity Router上,可以在本地安装,也可以由simplify托管(我们的是托管的)。
身份路由器成为连接用户和应用程序的中间人。单点登录(SSO)、访问控制和集中审计是SinglePoint的一些优点。
设置和配置
SIM需要一个虚拟机(VM)来将凭据(如Active Directory或LDAP)连接到simplified云托管代理身份验证系统。虚拟机实例使用CentOS 5+或Red Hat Linux操作系统。我们使用CentOS,只安装了SSH服务器在上面。
之后,我们安装了SimpleLink RPM (Red Hat Package Manager)工具包。simplify通常帮助客户完成安装的这一部分;我们试着自己做。在我们进行安装调用后,我们得到了将活动目录链接到symfied云平台的帮助。有一个用于上传凭据的本地Web界面。SimpleLink服务器然后将我们的基础设施与它的身份路由器连接起来,SimpleLink在幕后使用openVPN来保护通道。
SinglePoint Studio是一个基于云的管理Web门户,在这里设置和配置一切。SinglePoint Studio是一个基于Flash的应用程序,响应性很强,尽管它使用Flash会给一些组织带来好处安全的担忧。门户允许我们添加用户存储或登录id和密码条目。我们可以创建应用程序组和到应用程序本身的链接。可以发现HTTP Federation或SAML类型的应用程序,但也可以手动配置让用户登录的基于HTTP的应用程序。
在门户的应用程序组选择中,我们可以创建策略,允许某些用户/组基于从各种用户商店检索到的属性访问各种应用程序。
有一个“我的仪表盘”部分,显示身份路由器会话、负载、文件系统、CPU使用、系统内存和配置信息(如已经创建了多少用户商店、应用程序组、应用程序、策略和Web服务器)的概述。
也许我们对这一过程唯一的操作批评是,当配置发生改变时,没有间隙信息提醒我们发布配置。如果我们忘记并在没有发布的情况下退出,那么什么也不会被保存。
总的来说,SIM是一种很好的、轻量级的、但非常有效的方法,可以处理许多需要使用多个流行的基于云的SAML/HTTP应用程序进行单点登录的内部用户。它是灵活的,并且在一个令人讨厌的过程中不会令人讨厌。
Abiquo 1.7
的Abiquo平台是一个统一的管理应用程序,兼容VMware、Xen、HyperV、Red Hat和kvm的产品。
Abiquo是一个多租户应用程序,可以以有趣的方式重构资源。我们用所谓的“概念建模证明”来测试Abiquo。这种方法在测试方面有其局限性,但我们能够很好地了解Abiquo是如何工作的。
Abiquo的工程师指导我们安装,就像该公司为所有客户所做的那样。需要安装多个服务,包括Abiquo Server、Abiquo Remote services、Abiquo V2V Conversion services、DHCP和NFS Server。
我们可以把所有这些服务放在一个ESXi主机上,然后在不同的vm下安装这些服务。一旦所有的先决条件都准备好了,Abiquo非常容易使用。
我们的安装细节使用了CentOS安装。我们所要做的就是选择我们想要安装的不同选项并填充一些值。服务器vm很容易设置和配置。安装形式是可以理解和有用的。
我们也可以给我们的门户打上品牌。这允许客户将服务捆绑在一起,以便面向组进行聚合。所有需要做的就是替换一些文件并重新启动服务器。
在GUI内部是供管理员使用的基础架构视图,它根据虚拟机、vcpu、存储和其他基础架构特征显示资源。管理员可以将“裸金属”物理管理程序添加到“机架”中,并对每个虚拟机进行配置。他们还可以查看网络、存储层和分配规则。
Abiquo的虚拟数据中心是其中令人兴奋的组成部分。我们可以看到使用提供的或我们自己的虚拟设备2020欧洲杯预赛以及网络和容量信息创建虚拟数据中心。我们可以添加/删除/编辑虚拟设备,它适合“现成的”2020欧洲杯预赛供应。我们还可以为每个虚拟数据中心设置资源限制。2020欧洲杯预赛
反过来,应用程序库会列出所有从远程存储库下载或从本地文件上传的虚拟映像。
GUI中的选项卡列出了每个“企业”的用户,可以使用该选项卡将用户划分到不同的组和角色中。事件选项卡列出了发生的所有事件(类似于Unix日志,信息,警告,正常,重要,严重)-所有颜色编码为我们的观看乐趣。
有趣的是,Abiquo将vm划分为托管或持久化与非持久化,后者在关闭时蒸发并重新填充可用的资源池。
Abiquo的数据2020欧洲杯预赛中心基础设施是平等的,但对于内部使用和客户或业务单位来说,部署和管理都相当容易。
惠普CloudSystem矩阵
我们测试了惠普的CloudSystem Matrix 6.3,这是一个面向私有的IaaS管理工具。还有CloudSystem Enterprise,它控制内部IaaS、PaaS和SaaS,以及一个服务提供商版本。
Matrix是一个复杂的HP刀片服务器和管理软件的组合。它的广度是惊人的,但系统的复杂性也使其难以使用。Matrix在IaaS的控制平面中管理各种各样的硬件、软件和虚拟机(主要是VMware)。其组件由多个服务器组成,包括刀片服务器、软件控制、服务器存储和软件。这个包不仅适用于惠普系统,CloudSystem Matrix还可以根据IP地址范围发现一长串硬件和基础设施,尽管这还没有经过测试。
我们在HP刀片上测试了《黑客帝国》,它给人一种“盒装云”的感觉。有许多软件部件一起使用,并通过基于web的管理门户进行管理。门户包含到所有不同应用程序部分的链接。
门户网站相当令人生畏,因为每个屏幕上都有如此多的菜单、子菜单和选项;它需要一个巨大的显示器或两个显示器。CloudSystem的操作似乎是拼凑在一起的,它的一些部分似乎加载了另一个部分,但我们不确定加载的是哪个部分。尽管如此,CloudSystem的广度管理着各种各样的基础设施。
洞察力编排
《黑客帝国》的关键部分是通过一款名为Insight Orchestration的应用程序运行的。Matrix有一个在现有基础设施上工作的发现应用程序,可以识别资产并安排它们。它们被添加到一个聪明的工具中,该工具使用图标拖放已发现或插入的基础结构的可视化表示。
然后使用模板将裸金属或虚拟磁盘、服务器、网络和vlan等对象拖放到映射中。然后我们可以将对象连接在一起,在设计过程中插入关于连接的细节。
模板完成后,就会启动它,并可以查看部署进度的可视化表示,以及部署步骤中可能需要管理员批准的操作。然后添加用户,我们可以连接到Active Directory,将用户链接到应用程序。
我们还可以创建机器的资产池,将它们划分为对象。Matrix的更高级版本允许对汇集/分组资产进行品牌标识。
云应用程序也可以以这种方式进行池化,以便允许用户选择与特定或一般任务相关的现成配置。
我们有能力查看云地图,这是我们配置和部署的云资源的强有力的可视化解释。然后,如果我们想对不同场景执行假设类型分析,可以切换到Capacity Advisor。我们发现用户界面很麻烦,程序上也不直观。
用户界面似乎有许多可用的选项,而且看起来程序上和效率上都很简单,但我们发现了很多问题。我们的任务是部署两台ESXi服务器,在这个过程中,我们的小山丘变成了大山。经过试验、错误和HP支持,我们能够让虚拟机运行。
我们还必须在VMware内部做大量的手工工作,为我们的ESXi服务器执行与CloudSystem的关联。这些文件虽然有些用处,但并没有为我们所拥有的令人生畏的经历做好准备。
CloudSystem Matrix很复杂,但它有能力管理和潜在地“重新营销”各种基础设施资产。
傀儡实验室MCollective
我们第一次看到MCollective是在Ubuntu 11.04服务器和云版本的回顾中。让我们感兴趣的是它能够快速提供操作系统实例,以及应用程序实例。它面向开发人员,目前仅限于Linux实例。
尽管Marionette Collective/MCollective(“mc”)工具是CLI,但无论实例位于何处,它都能以惊人的速度与潜在的数千个实例进行通信,速度与移动消息的连线速度一样快。mc工具是中间件,它使用一个类似于多播的推送消息系统来控制节点。没有艺术的拖放机架配置。没有类似于库的用户界面Web页面可以“检出”所需应用程序的实例。如果说“CloudSystem Matrix”和“Abiquo 1.7”是军队的天空管理将军,那么“MCollective”就是营长,失去了精致、豪华和环境。
在mc控件的实例中,有两个从rpm安装的mc代理守护进程。守护进程基于Ruby代码,可以管理进程间通信和包管理。客户端有类似的组件。因此,“集合”由节点组成,而节点中又有服务器在运行——客户机中的代理是与中间件对话的信使。集体是有生命的、有活力的东西——但作为一个客体,它完全丧失了安全感。
这意味着通信必须通过VPN链接和SSH执行,像Apache或LAMP安装这样的应用程序必须在mc管理的外部启用它们自己的安全组件。幸运的是,这大部分可以通过mc来完成——但是我们发现,对于集合对象来说,应用程序安全性和链接安全性是两件不同的事情。
向上
MCollective可以以惊人的速度启动应用程序。我们部署了一个实例,并为它提供了mc。我们在大约29秒内完成了40个实例。
然后,我们指示mc将Apache安装到实例中,启动实例并告诉我们已经完成了。总时间约为31秒。停止所有40个Apache服务器实例大约需要7秒。通过验证关闭实例大约需要12秒。
中间件跟踪关于已部署实例的基本连接事实,但是没有数据库;它是一个无状态的、基于推的消息传递概念,消息传递中包含元数据智能,使集体工作。我们使用的命令很容易被脚本化为scripts/batch。如果我们有足够的预算,我们在一分钟内可以旋转的实例数量可以达到上千个。让他们工作,发送消息或存储结果,然后关闭(并停止成本循环)可以惊人的快。