虛擬化

云計算成功的關鍵在于基礎設施即服務(IaaS)的概念，以及它通過管理程序的API為虛擬機提供服務的能力。管理程序允許您在同一物理硬件上托管多個操作系統(即虛擬機)。大多數現代管理程序設計為模擬多個CPU體系結構，其中包括Intel (x86和x86-64)、ARM、PowerPC和MIPS。在云計算下，通過基于web前端，您可以完全控制所有分配的計算資源，并且能夠在幾分鐘內獲得并啟動一個新的服務器實例。

試想您可以在幾分鐘內同時委托一臺服務器或數千個服務器實例。所有這些都是由web服務API控制的，對于那些不太熟悉的人來說，API就是將服務、應用程序和整個系統粘合在一起的東西。通常，API通過公開業務功能和服務，充當公司或產品的公共角色。針對云的API可以從瀏覽器、移動應用程序或任何其他支持互聯網的端點調用。

同樣，對于每個部署的服務器實例，您都可以完全控制。換句話說：您對每一個都有root訪問權限（帶有控制臺輸出），并且能夠根據需要與它們交互。通過相同的web服務API，您可以啟動或停止任何需要的實例。云服務供應商允許用戶選擇(虛擬)硬件配置——即內存、CPU和帶有驅動器分區大小的存儲。用戶還可以從多個操作系統(包括Linux發行版和Microsoft Windows Server)和軟件包的列表中選擇安裝。最后，值得注意的是，選擇的資源越多，服務器實例的成本就越高。

圖2 在裸機系統、管理程序和容器上運行的應用程序之間的區別

容器

在運行虛擬機時，容器幾乎是光禿禿的金屬。托管虛擬機的開銷很小甚至沒有。該特性限制、考慮并隔離一個或多個進程的CPU、內存、磁盤I/O和網絡使用。從本質上說，容器將軟件應用程序與操作系統解耦，為用戶提供一個干凈的、最小的操作環境，同時在一個或多個隔離的“容器”中運行其他所有操作。

這種隔離防止在給定容器中運行的進程監視或影響在另一個容器中運行的進程。而且，這些服務不會影響或干擾主機。能夠將分散在多個物理服務器上的多個服務合并到一個服務器上的想法是數據中心選擇采用該技術的眾多原因之一。這種隔離方法通過限制安全違反或違反所造成的損害，增加了技術的安全性。如果入侵者成功地利用了在該容器中運行的某個應用程序上的安全漏洞，那么入侵者將被限制為該容器中的一組操作。

在云環境中，容器極大地簡化了應用程序部署，不僅將應用程序從一個完整的操作系統(虛擬)中隔離出來，還能夠部署最低數量要求的軟件和硬件，進一步減少維護成本。

Serverlesscomputing

云原生計算或Serverless computing是描述部署和管理應用程序的最新趨勢術語。這個想法很簡單：每個應用程序或流程都被打包到自己的容器中，而容器又是跨節點集群動態編排(即調度和管理)的。這種方法將應用程序從物理硬件和操作系統依賴轉移到它們自己的自包含的沙箱環境中，可以在數據中心的任何地方運行。云原生方法是關于分離應用程序交付的各種組件的。

這聽起來可能與在云中運行任何其他容器相同，但云原生計算的獨特之處在于，您不需要擔心管理該容器(意味著開銷更少)。這項技術對開發人員是隱藏的。只需上傳您的代碼，當啟用了指定的觸發器時，API網關(由服務提供者維護)將按照它打算處理該觸發器的方式部署您的代碼。

首先想到的是亞馬遜的AWS Lambda。同樣，在此模型下，不需要提供或管理物理或虛擬服務器。假設它處于穩定或生產狀態，只需上傳代碼就可以了，您的代碼只是部署在一個隔離的容器化環境中。在Lambda的例子中，Amazon為開發人員提供了一個框架來上載他們的事件驅動的應用程序代碼和響應事件（如網站點擊在毫秒內）。容器中提供了運行大量代碼的所有庫和依賴項。

至于應用程序類型的事件觸發，亞馬遜可以實現以下場景：網站訪問或點擊，REST HTTP請求API網關，傳感器在物聯網設備上讀數，甚至向S3 bucket上傳照片。

圖3 云本地計算的典型模型

那么，這些組件是如何組合在一起的呢？首先，用戶通過網站或移動設備上的應用程序訪問服務。web服務器和它所依賴的各種組件可能來自本地管理的容器甚至虛擬機。如果web服務器或移動應用程序需要某個特定功能，它將接觸第三方身份驗證服務，如AWS身份和訪問管理(IAM)服務，以獲得訪問API網關之外托管的無服務器功能所需的適當憑據。當被觸發時，這些函數將執行必要的操作，并返回web服務器或移動應用程序所請求的內容。

安全

通常認為私有云和本地解決方案比公共云更安全，但最近的研究表明情況并非如此。公共云服務供應商花費更多的時間和資源咨詢安全專家，并更新他們的軟件框架，以限制安全漏洞。盡管這可能是真的，但在利用公共云服務方面真正的安全挑戰是以安全的方式使用它。對于企業組織來說，這意味著應用最佳實踐來采用安全云，盡可能減少鎖定，最大化可用性和正常運行時間。

我們已經提到了身份和身份驗證方法，當涉及到公開的服務時，這個特性變得越來越重要。這些身份驗證服務允許用戶管理來自其供應商的對云服務的訪問。例如，AWS有一個叫做IAM的東西。使用IAM，您將能夠創建和管理AWS用戶/組，并具有允許/拒絕他們訪問各種AWS資源或特定AWS服務API的權限。對于更大(甚至更小)的部署，這個權限框架簡化了對組成云的各種組件的全局訪問。它通常是由主要供應商提供的免費服務。