5.1.3 评估服务和供应商
要做出合理的选型决定,需要收集候选服务,了解供应商多大程度上符合选择标准,以及所做出选择背后的风险信息。
要得到服务相关信息,供应商是一个重要的来源。问题是用户是否仅能从互联网上的文档中得到信息,还是可以从供应商获取更多的背景资料,如供应商的质量保证机制。设想一个小客户正在考虑从大供应商那里获得一个简单的、标准的服务,可以预料到,供应商和这个客户之间的联系不会非常"密切"。如果有充分的预期,供应商会倾向于更透明。
我们接下来会讨论选型阶段可以使用的措施,这些措施能帮助我们了解使用某个特定服务和供应商时的质量和风险。接下来的讨论主要从用户角度出发,但我们同时也会谈到供应商的角色。
检查规范和条款
一般情况下,供应商会在互联网上提供各种信息,比如规范和条款。从这些公开的信息可以判断服务是否确实能够达到我们的要求,以及服务如何处理负载、安全性和可扩展性问题。条款中可能有客户必须遵守的限制和规则等信息,甚至可能包含可以执行哪些类型的测试的信息。
我们通过使用供应商提供的一般信息,完成对服务和供应商选型标准的审查。当信息不充分时,用户需要联系供应商。联系供应商可以向客户提供供应商视角的信息。访问供应商难易程度如何?他们对问题和要求的回应有多好?
寻求参考和认证
服务的其他客户的参考和评论提供了他人如何评估服务或供应商的信息。评论中常常出现的内容是重复发生的问题或是突出优势。如果服务是某个社区云的一部分,我们可以很明显查看领域内其他用户的体验。
在越来越多的业务领域中都开始出现可用的标准。如果供应商确实应用了重要标准,例如,安全标准,就能够降低云计算的风险门槛,简化选型过程,并使得不同的服务更具可比性。访问那些成功应用服务的用户,到他们的现场去看一看,是非常具有说服力的。
云计算的具体标准仍处于发展的早期阶段。NIST在2011年7月发布的文件中给出了三组标准。
1.互通性。
- 自助服务的IaaS管理接口标准。例如,开放式云计算接口(OCCI)和云数据管理接口(CDMI)。
- SaaS功能接口标准(通常情况下是通过浏览器,因此不专门针对云)。
- SaaS与其他系统交互的标准接口(不是专门为云)。
2.可移植性。
- 云服务负载格式标准:一种将虚拟机镜像用到云端的方法。例如,开放虚拟化格式(Open Virtualization Format)。
- 数据可移植性。例如,使用可扩展标记语言(XML)和JavaScript对象表示法(JSON)(非云专用)。
- 云计算负载和数据可移植性的标准化仍然需要大量的工作。云计算的一个有趣特性是"被遗忘的权利"。换句话说,数据迁移后真的被删除了吗?
3.安全性。
- 该领域的常规标准。
读者可以在NIST的网站(www.nist.gov)上找到精心制作的表格,这些表格包含了互操作性、可移植性和安全性等方面的标准。在评估服务的这些方面时,对这些标准有一定理解会很有帮助。
执行审计和审查
当来源于文档和参考的信息不够有说服力时,可以通过执行审计或检查来获取更多信息。这种情况下,有必要使用一个专门的部门或外部的第三方。大多数审计和检查需要供应商的协作。下面是一些例子。
- 用建筑物安全性方面的专家来确定访问控制和服务器所在位置的安全摄像监控是否足够。
- 对服务的互联网接入进行安全审计。
- 审核开发和测试过程,判断供应商能否能够开发出具有完美质量(以及更新)的服务。
- 评估供应商提供的测试结果。深入调查供应商在服务上执行测试的结果,这可以提供重要的信息,帮助你了解质量和风险。