虽然现在云计算应用主要以由Amazon EC2为代表的IaaS（基础设施即服务）服务和由Salesforce CRM为代表的SaaS（软件即服务）服务为主，而PaaS（平台即服务）服务则处于比较“小众”的阶段，但是由于PaaS服务在开发环境、管理、伸缩、整合率和经济性等方面的优势，使得其的未来非常值得看好，所以基于YunTable的PaaS服务YunEngine诞生了。在功能上，YunEngine参考了Google App Engine，但与Google App Engine支持Python和Java两种语言，以及提供图像处理、邮件、Memcache和任务队列等多种服务不同的是，YunEngine暂时只支持Java，和Web与数据存储这两个基石级的功能，它的目标是作为一个平台来支撑企业级Java应用的运行，其后端是一个YunTable的集群。还有，值得注意的是，YunEngine应该是国内第一个提供Java语言支持的PaaS，下面将分别对YunEngine的基本架构和路线图进行介绍。

YunEngine的架构

图1. YunEngine的架构图

由于现在YunEngine还处于初创期，其架构显得非常简单，主要由AppServer节点和YunTable集群这两部分组成。

AppServer节点

这个节点主要由一个或者多个Jetty服务器组成，通过这个服务器能很好地支持基于Java Servlet API的Web应用，包括最新 Servlet 3.0。为什么选择Jetty而不是更常用的Tomcat呢？因为在代码方面，Jetty不仅更模块化，而且总量较少，所以在定制化方面非常有优势，这点对YunEngine的未来发展而言非常关键。

现在，Jetty服务器除了运行Web应用之外，还内置一个支持后端数据库为YunTable的JPA（Java Persistence API）实现，名为“YunJPA”。当运行在Jetty中的Web应用需要调用JPA的功能来执行数据处理相关操作时，Jetty会给这个应用生成一个基于YunJPA的EntityManager接口，应用会通过使用这个接口来访问后端的YunTable集群，从而完成和数据处理相关的操作。

YunTable集群

在AppServer节点之后，用于存储数据的，就是一个运行YunTable系统的集群，其主要包括两种类型的节点：其一是Master节点，主要用于管理整个集群，其功能包括数据库表的创建、数据备份的管理和Region节点的容灾等，并且在一个集群中只会存在一个；其二是Region节点，其功能较简单，主要用于存储数据，而且一个集群中会有多个。

路线图

到现在为止，基于大概半个月左右的开发，Web和数据存储这两个核心功能都已经基本实现了，接下来，按照计划，YunEngine将会有下面这几个重要的里程碑（Milestone）。

表1. YunEngine的路线图

最后，熟悉Google App Engine人都知道，其实已经出现了类似AppScale的开源项目，那么为什么要重新发明“轮子的轮子”呢？原因是：由于AppScale有很多核心技术都是依赖第三方，比如，数据库方面采用了Cassandra和Voldemort等，它所做的主要只是拼装而已，所以从长期而言，其可发展性不佳，因为不同的第三方产品和技术，它们在接口和内部机制等方面都会有所不同，如果硬要在将它们完美地整合在一起，这将会是极其艰难的，而YunEngine由于其最核心的，同时也是技术上难度最大的存储功能都是控制在自己手中，所以有信心对YunEngine进行不断地优化和修改，以使其更出色和更稳定。如果大家对YunEngine的未来有什么意见和兴趣的话，可以在本贴中进行进一步地讨论，还有，谢谢大家一直以来对我的支持。

本文是和IT168合作的“走出云计算误区”系列的第三篇。

谈到云计算的定义，可谓众说纷纭，比如，在维基百科上的定义是“云计算是一种基于互联网的计算新方式，通过互联网上异构、自治的服务为个人和企业用户提供按需即取的计算”；著名咨询机构Gartner将云计算定义为“云计算是利用互联网技术来将庞大且可伸缩的IT能力集合起来作为服务提供给多个客户的技术”；而IBM则认为“云计算是一种新兴的IT服务交付方式，应用，数据和计算资源能够通过网络作为标准服务在灵活的价格下快速地提供最终用户”。

虽然这几个定义都有一定的道理，但在我看来还没抓住云计算的核心，接下来，我将给大家介绍一下什么是我眼中的云计算？

图1. 云计算的定义

在我看来，云计算就是在后端庞大的云计算中心的支撑下能提供方便的用户体验和低廉的成本的新一代IT模式。

具体而言：由于在后端有规模庞大、非常自动化和高可靠性的云计算中心的存在，人们只要接入互联网，就能非常方便地访问各种基于云的应用和信息，并免去了安装和维护等繁琐操作，同时，企业和个人也能以低廉的价格来使用这些由云计算中心提供的服务或者在云中直接搭建其所需的信息服务，在收费模式上，和水电等公用事业非常类似，只需为所使用的部分付费。接下来，将进一步从于云计算的使用者（主要是个人用户和企业）的角度来分析云计算在用户体验和成本这两方面给他们带来了什么好处？

用户体验方面

对个人用户而言，在云计算的时代，会出现越来越多的基于互联网的服务，这些服务丰富多样、功能强大、随时随地接入，同时也无需购买、下载和安装任何的客户端，并只要使用浏览器就能轻松访问，而无需为软件的升级和病毒的感染操心。还有，人们可以将文档等数据放在云来进行共享和协作，比如，共同编辑同一篇文章，而且通过严格的权限管理机制，来确保协作是在安全的环境下进行。对企业用户而言，可以利用云技术来优化其现有的IT服务，使现有的IT服务更可靠和更自动化，更可以将企业的IT服务整体迁移到云上，使企业卸下维护IT服务的重担，从而更专注于其主营业务。

成本方面

对个人用户而言，由于所使用的服务运行在云端，本地计算需求比较少，所以无需像过去那样不断地升级电脑的配置或者购买昂贵的新电脑，只需一个廉价的可以上网的智能终端，比如：手机和上网本等。同时由于互联网服务是按需使用，而无需在初期购置不廉价的软件客户端。对企业用户而言，除了可以通过利用先进的云技术来降低企业IT初期的投资成本和后期的维护成本之外，更可以通过将IT服务外包或者整体迁移来削减IT部门，使得公司成本的结构更完善。

ISF2010

云安全联盟 CSA（Cloud Security Alliance）成立于2009年的RSA大会，云安全联盟成立的目的是为了在云计算环境下提供最佳的安全方案。自成立以来， CSA迅速获得了业界的广泛认可。现在，CSA和ISACA、OWASP等业界组织建立了合作关系，很多国际领袖公司成为其企业成员。
到目前为止，CSA的企业成员多达50个以上，名单中涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。云安全联盟中国区分会是CSA在中国的分支组织。

CISRG是一个活跃的技术研究团队，团队成员都拥有自己特定的技术研究方向，目前的研究方向主要有：操作系统内核、逆向工程、漏洞挖掘、WEB漏洞挖掘及漏洞利用、渗透测试、信息搜集与社会工程。
2010年11月，让我们相聚上海，继续讨论信息安全这个永恒的主题。

• 地点：中国.上海
• 地址：上海信安左城酒店
• 时间：2010年11月25日-26日
• 邮箱：cisrg.isf@gmail.com
• 议题征集：简体中文版
• 议题征集：English CFP

演讲者名称以字母排序。

去年年底，我曾经与一位很资深的研究员对云计算这个话题进行非常深入的探讨，而且这场讨论使我对云计算有了新的认识。在那次讨论伊始，为了突显我对云计算的熟知，我连绵不绝地抛出诸如Google App Engine，Amazon EC2这类技术语，或者类似随需应变和动态扩展这类广告语。正当我心中暗暗得意，期望他能对我另眼相看时，他却报之以微微一笑，说道：“你所谈的那些东西，的确很吸引人，也非常不错，但无论是过去的PC时代，还是现在互联网时代，亦或是未来的云计算的时代，都是应用为王，也就是说，无论任何技术或者特性，它们存在都是为了如何更好地支撑应用”。当他提到“应有为王”这四个词，我不禁有点呆滞，因为这点不仅是我不曾想到的，而且一语中的。让我们回想一下，在PC刚诞生的年代，商业表格软件VisiCalc的发布使得Apple II 正式进入主流市场，从此PC不再仅是Geek的玩物，在互联网泡沫破灭的时候更是如此，Google的搜索应用不仅使人们能够轻松访问到全世界的信息，而且使这些各式各样的信息深深融入了我们的生活，从此我们无法离互联网五尺之外，难道在云计算时代，应用不再为王了吗？

云计算与应用

既然应用如此重要，那么在即将来临的新时代，云计算技术该怎么更好地为应有服务呢？

首先，思考一下在现有技术支撑下的应用有哪些不足之处？总体看来，在三个方面比较突出：

1. 开发麻烦，最明显的例子就是在一个普通应用的整个开发和测试过程中，不仅需要兼顾多个平台，比如Windows，Linux等，而且还要注意每个平台的多个版本，比如Ubuntu 9.10，Ubuntu 8.04 LTS等等。
2. 部署麻烦，因为一个应用的安装是很难离开艰涩的教程和繁琐的步骤， 而且缺乏安全和许可证的管理，使得使用者的利益很难保护，而且开发者的权益更难捍卫。
3. 维护麻烦，原因是一个应用不仅包括ISV（独立软件开发商）开发的软件，还包括其他供应商的操作系统，中间件和数据库等，使得其升级麻烦，寻求技术支持方面更麻烦。

其次，有那些云计算技术能帮助应用呢？虚拟器件（Virtual Appliance）应该是一个相当不错的帮手。虚拟器件，是一个预配置的软件堆栈，包括1个或多个虚拟机，而且其中每个虚拟机都是可以自运行，而且自带操作系统和相关应用，并明确其所需的虚拟资源。（如果大家想进一步了解虚拟器件，可查看《程序员》2010年4月刊的《虚拟器件 – 虚拟化技术的新利刃》），虚拟器件对应用的好处也体现在相似的三个方面：

1. 开发简单，因为开发人员能限定应用自带的操作系统，中间件和数据库等软件的版本，比如SLES 11，WAS 7和DB2 9.7等，这样将非常有效缩小开发和测试的范围，从而极大地减低开发测试的难度和复杂度。
2. 部署简单，首先，如果使用虚拟器件方式部署的话，能将本来需要几天的工作缩短到几分钟，能将本来几十步操作精简到轻轻一击。其次，能非常简单的将应用部署或者迁移到公有云上，以应对突发情况。
3. 3维护简单，因为整个虚拟器件都是来自于同一个ISV，所以任何软件升级和技术支持，都只要和一个ISV联系就可以了，不仅避免了常见的扯皮现象，而且简化了相关流程。

虽然虚拟器件这个想法不错，但是大家都知道“无以规矩不成方圆”的道理，所以VMware带领众虚拟化技术提供商提出了Open Virtualization Format （简称“OVF”）协议来规范虚拟器件的发展。

OVF协议

OVF协议是用于发布和部署虚拟器件的开放标准，被VMware CTO Steve Herrod喻为虚拟机的MP3格式，由业界著名DMTF(分布式管理任务组) 协会制定和发布，并且隶属于志在推动云计算互操作性的VMAN(Virtualization Management，虚拟化管理) 计划。OVF协议定义了一种开放、安全、可迁移、有效，跨平台以及可扩展的格式，以用于封装和分发将在虚拟机上运行的软件。

设计理念

OVF的设计理念主要体现在三个方面：

1. 便于分发，其支持虚拟器件的认证和完整性检验等安全措施，并提供软件许可的管理机制。
2. 支持多种架构，包括单个虚拟机，多个虚拟机或者多层（Multi-Tier）架构。
3. 开放程度高，因为OVF协议不依赖于特定的虚拟化平台，而且支持一定程度的扩展以满足虚拟器件技术不断发展和某些特殊的需求。

组成部分

主要有五种文件组成：

1. OVF 描述文件（.ovf）：通常称为“OVF信封”，是一个XML文档，用于定义整个虚拟器件的组成部分（比如虚拟机），及每个组成部分的特性和其资源需求。
2. 虚拟磁盘文件：其是虚拟机的二进制磁盘镜像。
3. 清单文件（.mf）：清单包含OVF包中各文件的 SHA-1 摘要，其作用是确保包的完整性。
4. 证书文件（.cert）：作用是通过对清单文件进行数字签名来确保整个虚拟器件的可信性，以 base64编码的X.509 证书形式存储。
5. OVF环境（Environment）文件 （.env）：一个Key-Value形式的XML文档，用于设定和维护虚拟机上软件的配置。

OVF信封

OVF信封是整个虚拟器件的核心文件，主要包括以下几个模块：

1. 磁盘（Disk）模块：用于描述存放在OVF包内的虚拟磁盘的信息，比如磁盘的大小和格式。
2. 网络（Network）模块：用于描述OVF包内虚拟机的网络拓扑结构。
3. 启动（Startup）模块：用于定义OVF包内多个虚拟机之间的启动顺序。
4. 虚拟系统（Virtual System）模块：用于描述一个虚拟机，并且作为一个容器，来包含多个隶属于这个虚拟机的模块，比如：许可协议模块，资源分配模块，操作系统模块和产品模块等。整个OVF信封可包括多个虚拟系统模块以支持多虚拟机部署。
5. 资源分配（Resource Allocation）模块：定义虚拟机所需要的资源量，比如vCPU的个数和内存的大小等。
6. 许可协议（Eula）模块：其包含这个虚拟机相关的许可协议和法律条款，并且在这些协议和条款都将在部署时被使用者确认。
7. 产品（Product）模块：用于描述安装在虚拟机上软件的信息，比如，软件的名字，版本号，供应商等，并定义一些重要的软件配置信息，比如，Web服务器和数据库的开放端口等，而且指定哪些配置是使用默认值，哪些配置是需要在部署时输入的。
8. 操作系统（Operating System）模块：其定义虚拟机内部操作系统的版本信息，比如Microsoft Windows Server 2008。

OVF环境文件

OVF 环境文件常用在部署阶段，里面主要存放并维护在信封内的产品模块里面定义的配置信息。此文件在部署时具体使用流程是：首先，部署工具会让用户回答并确认信封的产品模块内的软件配置选项，比如Linux 系统的IP地址。接着，部署工具会通过刚才的输入生成OVF环境文件，并通过虚拟光驱或者虚拟软驱将环境文件传入虚拟机中。最后，虚拟机上软件会读取这个环境文件，并执行相关操作。

使用流程

在这里，我们以一个典型的Lamp（Linux-Apache-MySQL-PHP）应用为例，来讲述如何利用OVF协议来部署应用。

1. 启动两个空白的虚拟机。首先，在第一台虚拟机上安装Linux系统，Apache Web服务器和用于设置网络和软件配置的激活软件（比如IBM Activation Engine），并加载PHP应用。其次，在另一台虚拟机上安装Linux 系统，MySQL数据库和激活软件，并创建应用的数据库表。最后，关闭这两台已经安装成功的虚拟机，并导出它们的磁盘镜像。
2. 在OVF工具（比如IBM OVF Toolkit）上创建和编辑Lamp应用的OVF 信封，并在工具上导入上步骤生成的两块磁盘镜像，最后在工具上生成文件名为Lamp.ova的OVF包。还有，清单文件和认证文件一般都由工具自动生成并放置在OVF包内。下图1为部署之前Lamp应用的内部结构。
3. 在虚拟化平台上面（比如VMware vSphere 4）部署这个OVF包，首先，在部署时，平台让用户回答并确认信封内的产品模块里面定义的软件配置选项，比如两个虚拟机的网络地址和Apache等软件的配置。接着，虚拟机平台会根据刚才的设置自动生成一个OVF环境文件，并为这个文件创建一个ISO。最后将生成的ISO做为虚拟的CD-ROM插入到虚拟机的虚拟光驱内。
4. 在两台VM启动的时候，激活软件会作为一个服务被启动，首先，它会读取虚拟光驱内的OVF环境文件。接着，它会根据OVF环境文件来设置虚拟机的网络地址和相关软件配置，最后，确保应用能正常运行。下图2为部署之后Lamp应用的内部结构。

图1.部署之前的Lamp应用

图2.部署之后的Lamp应用

OVF与云计算实践

虽然现在只是OVF 1.0协议正式发布半年之后，但是有许多厂商已经对OVF协议进行了一定的实践，并在自己的云计算产品中引入了OVF协议并将其作为核心的部署模型，其中包括开源的Xen Cloud Platform，VMware的vCloud Express和IBM的WebSphere CloudBurst Appliance等等，在这些产品中，对OVF最为重视的，非WebSphere CloudBurst Appliance莫属，因为它不仅将整个工作流程都围绕OVF展开，而且还在OVF的基础上加入预优化和自动激活等“灵丹妙药”来让用户更方便地部署应用。

OVF的不足之处

虽然OVF协议在很多方面都很优秀，但是还是存在一些不足之处：

1. 在跨平台方面存在缺陷，虽然OVF协议支持跨平台，但因为镜像格式的限制，所以现在部分虚拟器件无法跨平台，其原因是现有的虚拟器件主要使用VMware的VMDK作为镜像格式，而此格式在非VMware的平台缺乏支持。
2. 缺乏一部分业界巨头强力的支持。首先，Amazon已经在OVF协议之前推出了类似于OVF的私有格式AMI（Amazon Machine Images），同时使用者甚众，且短期内似乎没有支持OVF的迹象。其次，虽然微软已经表明了对OVF支持的态度，但可惜到现在还未推出相关的产品。
3. 体积庞大，因为OVF包需携带磁盘镜像的原因，使的OVF包常以GB为单位，导致其难于通过网络传输，这将影响其用户体验，虽然VMware已经提出了Delta Disk和Stream等技术，但在短期内这个问题很难被克服。

OVF的未来

谈到OVF的未来，首先，肯定是对现有功能的强化，就像OVF最近推出1.1版本那样，并没有在范围的扩展上做文章，而是增强其原有的部署功能，比如支持文件系统格式的镜像。其次，OVF协议身为VMAN计划的一个核心的组成部分，在将来会进一步为整个VMAN计划服务。

总结

在2007年10月初，当我第一次看到OVF协议初稿的时候，我不禁暗暗赞叹这奇思妙想，并深信它将有助于整个IT事业的发展。2年半后，当我看到OVF协议已经茁壮成长的时候，我不仅更坚定了当初对它的期望，更觉得在今后云计算的时代它将进一步推动应用的发展，使应用依旧为王。

参考资料

1. OVF 1.1 规范。
2. 使用 OVF Toolkit 构建虚拟工具。
3. Inside the OVF Package。
4. 《虚拟器件 – 虚拟化技术的新利刃》，《程序员》2010年4月刊
5. WebSphere CloudBurst Appliance 中的 “特殊原料”。

【陈怀临注：此文为转载。原文可参阅：http://www.1000plan.org/blog 】　

【序：这是我在9月3日《科学网》组织的关于高层次人才引进会议上的发言总结，综合了我对千人计划的很多看法。发言着重阐述了千人计划的必要性、迫切性，也回答了网上的一些质疑。请大家不要忘记：中国在迄今为止的过去二十多年的时间里始终在积极引进海外人才，因为这些人才是中华民族的人才储备。事实上，现在国内科技界的领军人物以及行政领导大多数是我们过去从海外引进的人才，他们对中国的发展起到了至关重要的作用。现在的千人计划是过去二十年国家人才政策的自然和必然延续，只是根据创新型国家建设的需要把引进重点之一放在了海外高层次人才。过去一年，千人计划在国内外引起轰动效应，也已经开始显现效果。但千人计划作为一个刚刚实施不到两年的高端人才引进计划，当然还不完美，甚至还有不少缺陷。这一点也正是为什么千人计划需要大家充分理解并进行理性思考，从国家长远发展的角度去提出建设性的意见和建议，支持千人计划做得更好、更成功。】

　　今天听了前面几位的演讲我很激动，大家有的观点不同，但有一个共识，那就是所有人都希望这个国家强大、和平发展以及有一个很好的前途。但是在和平时期，在生活丰衣足食的时候，我们更多的是在想自己的一些事情，想周围的一些事情，眼光放得很近，有时包括我自己在内，眼光放得很短。可是，可能我受“生于忧患死于安乐”的思想影响太深了，我经常很忧虑，当报道中国不如国外的时候我忧虑，当报道我们一些重要成就的时候我依然担心。我经常想万一不行怎么办?我宁愿咱们比世界其他国家好很多的时候你还认为不行，有种紧迫感和压力，而不希望在自己还很差的时候却夜郎自大地认为自己很好。

　　今天是讲国家高端人才引进，我以这个为开场，来讨论有没有必要引进高端人才。回答这个必要性当然是和我们的科技现状有关。中国科技究竟是什么水平?在各行各业，各个领域究竟到什么水平?在生命科学、制药界，重大创新制药我有很强烈的看法，今天我不想多说了，在座有懂这个领域的都知道，我们很落后!其他的领域我不知道，只能道听途说。

　　刚才李国杰老师讲得非常好，包括他提到的李凯教授，我们在普林斯顿就是很好的朋友，他也给我讲了一些事情。各行各业我也有一些朋友，我也得到一些消息，总的来说，中国的科技大多数领域跟外国差距很大。这些事实令我忧虑，很难平静。刚才陈老师提到的日本，尽管感情上我很不喜欢这个国家，但是科学技术上人家确实走在了我们的前面，我们也得承认人家还有几十位科学家有获得诺贝尔奖的潜力，而中国有几个?当然我也觉得前途会是好的，我们要等待，有耐心。但是机制不好的话，我们怎么办?科技现状和人才直接相关，所谓的科技强不就是人才强吗?我非常同意刚才陈杰老师说的一流人才用二流设备是可以做出一流成果的，但是二流三流的人才用一流的仪器是不可能做出一流的科学成果的。
阅读全文»