2012年1月11日，第六届中国IDC产业年度大典在北京国家会议中心盛大开幕，本届大会以“构建云数据中心暨云应用创新论坛”为主题，邀电信运营商、IDC企业、设备厂商、互联网等业界同仁共同探讨云计算时代下的IDC产业机遇与责任，清华大学教授武永卫发表演讲：清华云存储构架及其安全。

清华大学教授武永卫：各位好，首先就是抱歉，今天早上到迟了。我抱歉的措施是什么？就是讲的快一点。今天关注的问题是云存储，因为大家一听到做科研的，你们做的东西都是研究着玩的，我今天讲的内容，在清华大学校园里面，有两万的用户，仅仅是清华大学的学生和老师来用，对其他人不给用，因为我们不像新浪这么大的全球用户，我们盘子比较小。说到两万这个数字，我特别自豪，看到他们的用户才十七万。我们的数据量已经的100T了，他们才几十T，所以我很自豪。我讲的是云存储，首先说一下自己的认识。首先我们说的云计算，包括今天新浪做的很多事情，因为他们是互联网的大公司，有很多的用户，他们核心，包括今天做的APP，特点就是对数据量大量的交互没有，就是给大家提供小信息的交互，或者小信息的获取，网站、微博，都是这一类，或者打一些小游戏。打游戏，在云里的支持肯定有问题。所以这是一类应用。
我今天关注的一类应用，就是希望把这类应用推到各个单位内部，以一个单位，以前有一个概念叫私有云，我个人认为就是指一个企业或者一个组织，或者一个校园，以这样的单位组织为我们的需求点，而不是对全体开发。两者有什么区别？在校园里面、单位里面具有非常优良的网络条件，千兆以太网到桌面，任何一个单位的千兆以太网80%都用不起来，我们就是帮助他们用起来，提供更好的产品。

我们一直认为云计算是一个模式，根本没有什么新的技术，倒是有一些新的问题。我刚刚问的问题，解决起来很难，里面有一些新问题倒有可能，绝对没有太多的新技术，大家不要太膜拜。

第二，存储是云计算的左腿，没有存储，云计算就没有办法玩，没有云计算，云存储可以继续玩。我90年代开始用ICQ，那个时候QQ没有到国内。后来腾讯就是把ICQ汉化，在中国。这个东西在中国时髦起来了，在美国就是时髦不起来。当时用这个感觉就是找不认识的人，认识的目的就是干一些自己任何时候在老师同学面前不敢做的事情，说一些自己可以撒野的话，然后觉得这个对象不错，就是见见面，就是这个事儿。就是认识以前不认识的人。现在很多的QQ群、Facebook等，我们已经认识很多的人，由于时间地点，慢慢遗忘了，那就提供一个渠道，让这些人都聚起来，没有事情，就是在QQ群里面跟以前的朋友联系一下。

所谓的数据社交是什么？我们希望认识的是一些志同道合的人。我们在清华的一个感觉，这种需求为什么这么强烈？有的同学就对Mac的开发程序感兴趣，他们希望互相交流，代码贡献出来。对Mac没有开发的程序，暴露出来有什么用？无非就是一个垃圾。但是对有兴趣的人，这就是一个宝贝。所以具有真实的社会关系或者具有共同的特征。还有一类，真实的社会关系，在座的各位如果有了小孩，每个人都有家庭，Share一下旅游的照片，拿回来，现在一张照片5到10兆，几百兆的照片，怎么给父母看？只能抱着一个电脑，插上U盘来进行观看。如果父母在外地的话，这件事情就麻烦了，几百G的东西没有很快进行共享。我们说的就是数据创造，创造出数据，然后把数据分享给别人，跟别人共同分享为核心，这就是数据社交。我刚刚说了清华的Mac水果篮子，还有一个清华的跳水队，用我们的社区概念干什么？就是在我们社区放500G的东西，我们偷偷的看了一下，我也没有看到他们的数据，也偷偷看了一下，为什么放这么多数据，跳水动作的照片，还有视频内容，到跳水馆，拿一个Pad一播，就给他们看一下，纠正跳水的问题。一拍一上传，队员在宿舍里面各自又可以看这些照片了，他们就是做这个事情。

我就说明一个问题，数据社交核心问题就是数据量比较大，如果只是消息的话，就是建议大家用新浪，我们以大数据量为核心。

在座的都是大学毕业生，社区有600个，100多个都是班级，比如说G53，就是2005年入学的第三个班级，全是班级出游的照片和DV，这些东西现在还搬不走，毕业了，希望我天天开着，已经700多G了，想搬还搬不走，对企业运营来说就非常重要了，离不开你的时候，就是你赚钱的开始。

现在开始说存储，以前我们获得了FTP  迅雷、电驴等，就是很快的将想要的内容下载下来，清华大学按流量收费的时候，这些事情同学们不敢做了，下载一个电影几百块钱就没有了，问题就来了，对于单位来说，我的市场就来了。

Dropbox，在全球做得好，中国做的网盘都是朝他们学习，一个模子。不管学成什么样，都是一样的，本质上来说，还是一个备份。也就是说对用户感觉来说，像使用本地文件一样使用这个东西。对于快盘的开发者，系统开发的角度来说，他们同时都是像FTP一样，没有太多的东西。也就是说不是经过网络读写文件，而是把文件在本地做了Cache，再放到后端，FTP把数据传过去，旧的覆盖掉，就是做同步的问题。所有数据在本地需要做Cache，在网上有实际，本地必须有实际，除非不换电脑，个人数据超过100G的话，按照国家目前的三网融合，我不知道需要下载多长时间，我使用过快盘的速度，也使用Dropbox，就不知道怎么办了。说别人不好，但是别人也有非常优秀的地方，只是不愿意说。先说他们的缺点，把他们的缺点解决掉，说成我的优势。写论文也是这样，做搜索也是这样。

我们做了云存储，第一，有云的特征，通过网络能够很容易获得。什么叫容易呢？随时随地随方式，手机、Mac、笔记本、台式机、集群，任何时候在任何操作系统下，很快获取想要的内容。什么叫获得，HTTP叫获得，不需要一定要先下载下来，可以做Cache一部分，没有的话，就直接读写。90年代使用的NFS一样，这样的情况下，IO效率肯定降低，要求比较高的话，就对Cache进行修改，IO不高可以放在网上。大家现在整天分享的东西都是照片、DV，这些东西需要修改吗？不需要，仅仅需要看。这样的东西不需要做Cache，通过网络足够可以看了。看照片花三五秒，把照片五兆的东西传到桌面上，就觉得没有什么区别了，就跟在本地感觉一样了，这样就很好。

第三点，永不丢失，数据资产成为一辈子的资产，美国存一个密码和用户名的密码存下来遗传的时候，就是收费，每年12美金，这样就可以赚钱了，把密码和用户名继承下来，传给后代，就是要收费。数据资产一定要遗传，跟房产一样，一辈子的资产要遗传下来，放在我们这里非常安全，不会丢失。可审查，意味着我们可以看。我们最终解决的是技术问题，让系统管理员看不到。

为了做这个事情，我们有三个阶段，第一，创造一个模式出来，云计算成功的地方就是有新的模式。我们做了类似于分布式的FTP的东西，用我们的东西还是要上传下载，我们提出一个概念叫社区，社区叫做任何一小撮人放在一起就是一个社区，一个班级、一个组织、一个协会叫一个社区，把内容共享出来。所以就是很容易创建和使用的社区。

我们就是为了验证这件事情，在校园里面建了这么一个东西，这个东西怕大家听不懂，简单说一下使用方式。三种用户，第一，对个人，就是跟网盘一样，网上有空间，可以放数据，可以拿数据。第二，就是社区，加入100个社区，相当于C盘下面多了100个目录，不同的文件有不同的内容，就是跟别人分享的。其实每一个人都有很多的社交的圈子，唯一最终的交集就是你自己，其他都没有交集。这样的社区圈子里，就是很多不同的目录。
还有一个就是公共和传统的FTP没有很大的区别。

其他技术上的内容，我相信，现在的技术很成熟，大家用心学，计算机不复杂，没有想不到的，只有做不到的。构架也不说了。

我说一下界面，最终大家使用的感受很重要，右上角就是界面，是客户端，使用习惯是一模一样，跟本地的资源管理器没有任何的整合，我们自己开发的。第二，可以把本地的C盘、D盘，中间公共的，下面一登录，就会把个人的空间和社区都列出来了，有自己的文件，还有下面下载的速度、质量、进度的感受。这个东西为什么在学校里使用很快，99%的客户不搞计算机的，使用习惯就是保留，资源管理器怎么用，他们就一直使用下来了。

最重要的是速度要快，清华大学做下来，平均五兆/秒，看3D也看不了实时的，还需要下载，我们做到5mb/s.有一个故事，我们老师有一个小孩，促进了社会和谐，为什么促进？老教授有一个小孩，在二环以内工作，离清华很远，平时社交活动很多，懒得回家，这位老教授，就是我们组的，跟他的小孩讲，我们组做了一个东西，里面有电影，可以看一下，这个小孩说，这个消息好，每天回来，先下载5个电影，吃完饭就可以看了，就是在我们的社区里。从那以后，每周周末就回来了，促进了家庭和谐。为什么我这里快？就是清华大学校园网5mb/s，很快就能拿到资源。其他的快速共享等，还有数据社交，这个词只有我现在在鼓吹，希望大家理解。移动硬盘、硬盘扩容等，我们已经到了200G的数据，都是学生自己放上去的。这是一些其他的地方用我们的东西，这是去年的PPT，我们数据量是100T，每天有1.3T的数据流入流出，新浪的数据量没有我们高，我们在校园网里，很快，又是视频，量很大，1.3T从系统进来或者出去，其他方面就不想说了。

当然还有其他的单位，他们也用，都是免费在用，以后就不会免费了。现在里面有一个核心的问题，就是那么多的数据资源哪里来的，我要告诉大家一开始的时候，里面放了3T的视频数据，都是我们组学生自己的，他们自己的硬盘，放在里面，就不用占硬盘了，就把视频数据放进去了，学生都愿意看。结果清华里面有一个电影协会，说维护里面的电影，维护什么？就是最后谁上传片子，是西欧还是东亚的，还是幽默的，就是分分类，整理之后给大家。结果同学们非常愿意互相分享，为什么？如果你的同学说，你看那个片子多么好，肯定想看，怎么给他呢？难道拿一个U盘考吗？还挺麻烦。所以数据全是同学们自己奉献的，这就叫共享，他们贡献出来，自己获得共享之后的好处。这就是我的数据产生的途径。

典型的社区，每个社区多少人，2008年，2010年的数据都有了。现在说新的内容，现在中国类似于网盘的东西，查了一下，去年6、7月份的时候，是有17个，现在估计已经有170个了，因为门槛太低，都会做。我们说说这个东西，我们加了一个定语，Meepo，就是新型，第一，实现文件数据的存储和共享，将网络资源与本地无缝集成。所看到的社区资源、公共资源，100T的数据，在本地和本地硬盘完全整合，使用模式就在资源管理器里，客户端都没有了。有人说，快盘也这样，Dropbox也是这样，他们只能是个人数据，或者小组共享的一部分数据，数据量非常有限，必须所有的东西做Cache，100T的数据做Cache，PC机做不了，我们通过网络的文件系统，网络文件直接读写，这就是本质上的区别。

理念方面，个人空间、社区空间、公共空间一脉相承，没有太多的区别。还有一个金，金山快盘就出来了，放一个M，就是M盘，金盘和M盘的区别，就是前面刚刚已经说到的，大家可以看到内部都是一样，跟C盘、D盘都一样，都是资源管理器的使用模式。现在要回答大家一个问题，你说的天花乱坠，在清华大学校园里玩，有什么用呢？在座的各位有清华的吗？没有，所以对在座的各位都没有意义。我现在要说的是，如果我们全国有7000所大学，有用了我们这个系统，再把这个系统连接起来，我现在已经连接起来了，开始给各个大学布，连接起来之后，上研究生，换了一个大学，通过后端自动的迁移，像谷歌的mail一样。这是第一件事情，就可以允许在全国跑来跑去。

第二，把千所大学连接起来，每一所大学，所有的教育，就是在学生时代都没有问题了，我们大多数的学生要走出校园，走出校园的时候，我们就在在座各位所擅长的IDC机房里布，就是最终的系统，希望的是一个广泛分布，也就是说大规模的分布。不像我们现在谷歌，甚至国内的互联网公司，也就是在我们中国布一个数据中心，谷歌已经不错了。我们国内最多布的点就是20几个点，已经是很大的了，包括存图片等，我了解的就是20多个点，我的希望就是广泛分布，使用效率就马上上来了。我们的出发点跟在座的互联网公司是不一样。这样的代价非常大，起步非常艰难，谁布这些点，技术谁来维护，我们在大学里好办一点，走上社会还没有想，首先希望在大学里面做。

说一下安全，新浪的专家说的非常对，安全一定要和系统结合起来，系统的特点决定安全怎么做。我们做数据的，拿DFS来说，前面的东西没有用DFS，DFS为互联网公司打造的，不是为实时读取打造的，有学生问我，能不能用DFS来做某某东西，谷歌做GFS，一开始就是支持搜索，而不是做其他业务服务的。DFS有了，我们要做安全，我想这个上面说了很多，传统的都能做。比如说控制放在交换机上，进入数据中心之前就访问，让你不进门，现在中国人好客，都是先进来再说，这不行，先把门关着，不合格就不行。进来之后，要访问的数据在哪个机器上，只去那个机器，不要瞎跑，乱跑乱撞，就是给黑客大的作案空间。第三，就是做防弹衣。我们现在做监视器，数据最终都要监视什么时候流动，被谁看。清华100T数据，都被学校的宣传部门专门找到我，需要审查，我说为什么？安全部门已经发现你们这个里面的数据量特别大，我们楼里的千兆，就是FIT输入95%的流量都是我这个系统出去的，以为是什么？就让他们查，看了一遍走了。这个东西就是通过后期的观察。说实话，用户将隐私的照片放在上面，能Check这个事情确实不太合理。

我们后面会说，技术上不能解决这件事情的时候，只能说都谁看过，系统管理员看过，也需要记载下来，一看，这个家伙太不地道了，看人家的数据干吗？这就是监视器。还有一个防火防灾，文件分成不同的片，放在不同的服务器上，一本书撕碎，怎么合起来，慢慢合吧。再说防弹衣，穿防弹衣之前，先介绍一下业界做数据怎么做？所谓的加密，也就是说用户把数据在这个地方存，根据用户名密码，然后加密，之后存在硬盘上，这样不靠谱。为什么？加密过程，很多数据要进内存，把内存跟踪下来，公司所有的帐号密码都可以看到，因为运行过程没有保护出来，内存里面还是露着的。网络上通过很多的方式，但是到了机器，让他们加密，是不靠谱的。我们来说，我们做这件事情，只为了防止系统管理员看不到，别人看不到都是访问控制，可以做得很复杂，也可以做得很简单。访问控制没有太多新花样，科研领域来说，没有太多新花样，谁都可以做到别人看不见，立法律法规，公司的规章制度可以限制，本质上来说，不能防止有些人作案。希望这个人没有作案的能力，杀人没有刀就是杀不了，就是不要给他刀的意思。进程保护就是这个意思。所谓的进程保护，我们在操作系统下装一个类似虚拟机，VMM，是轻量级的东西，把所有的东西都管理起来，这样操作系统运行在这个虚拟机上，操作系统上运行各种各样的进程，我们左边两个安全应用的进程需要保护的时候，所要访问任何硬件的时候，首先必须注册，需要保护。对所有硬件的访问，我必须去审查，也就是说有TCB去审查，只要让你访问，内存操作系统管理员肯定能看的，所有数据往内存、硬盘、Cache里面放的时候，因为比权限管理员好，都可以进行处理，加密的方式有很多种，可以加密处理。处理完之后，要做计算，在计算的时候，在CPU进行运算，再进内存、硬盘、Cache的时候，还加密。这样的话，系统管理员是可以看到硬盘，也可以看到内存和Cache，看到的全是不认识的东西。或者是原来80写成8，这就是我们做的。现在这个东西没有到商业化的程度，也不是说不可用。现在已经在我们的校园网里面没有做这个事情，在我们的实验室已经做了。

大家可以看到南桥、北桥，IOMMU  MMU 的原理，我都不讲了。其他的东西比较简单，也不多讲了。用了进程加密保护起来之后损耗的性能。可以简单的看到，如果用SSSL，通过一个客户端直接到系统里，我只说服务器端，CPU利用率多了15.39%，再加上我们的保护方式，也就是说进程加密之后，多了19.45%，也就是说只消耗了多余的4.4%过一点的CPU.多核时代了，CPU闲得没事儿干了，CPU利用率还可以忍受。加上SSSL，在服务器端，在校园网里每秒达到370兆B，用我们这个之后，也是少了0.02兆，也可以忍受。加起来，下面一张表说明了，Cline端的情况，不是很大的问题，用户都是分散的，没有关系。服务器端性能可以容忍。
下面这一张图是说明对一万个100K文件同时操作来看，也差不多，损失也不是很大，结果类似。就是得到这样的结论。

下面一个故事，就是当我们把一个数据平台做好的时候，上面的应用可以很多，打游戏也罢，我非常吃惊的一点，去年不知道康熙来了，去年才知道，这个节目看的人很多，有的人天天把康熙来了放上去，就在安卓手机上开发这样的应用，在校园网通过WiFi，3G也可以看，就可以看里面的频道。这个东西每天有300个人看，就是300次的观看，在校园网。这是高的，挺好玩的，就看了一下，当你有了数据，有了对外开发的接口，网络的系统暴露出来，开发出来的App可以有很多。照相机做一个插件，照的照片可以上传上来，应用做到成千上万，Appstore很多，这些不是我们做的，鼓励大家慢慢去做。以后还可以做聊天，谢谢大家！

主持人：感谢武教授的演讲，目前中国的网盘也有100多了，大学有很多的优点，目前普通的是没有办法具备的，比如说在线点播，我也挺惊讶的，实现跟本地PC无线的结合，通过网盘在线的点播，不需要下载到本地，再看资料，也可以直接打开，这是网盘当中很好的创新和体验。接下来有一个提问的环节，有三个名额。

提问：您好，刚才我听您说，就是做存储的时候，大部分的数据，目前认为应该是少修改，都是读取的操作。我关注最近的火车票订票难的问题，网站经常登录上去的时候，会出现拥塞，可能是用户过多的问题。还有一个问题，是不是跟大的数据量修改也有关系。因为订票，一张票不能两个人订，对于登录量又大，数据量又大，同时兼顾修改的时候，存储应该怎么做？

清华大学教授武永卫：与时俱进，我这两天看了，也不知道硬盘怎么这么衰，我认识铁路信息中心的人，怎么做成那样，他说就几台服务器，数据分布不开，分布就存在一致的问题，订票的票要检查，这是他们大的问题，跟我们的问题还不太一样，我们客户端都是分布的，大家在不同的渠道到一个地方，访问数据中心的地方，数据中心的地方是瓶颈，数据中心的地方解决这个瓶颈的时候，只有两个办法。第一，多放数据服务器，为什么说广泛分布，多放数据服务器，每一个服务器对外都是千兆带宽。第二，每一个服务器都有光纤的出口很好，清华都是光纤，其他学校做不到，也没有办法。广泛分布之后，带来的问题也非常简单，一致性、维护拷贝等所有都要搞定。我们的核心价值就是体现在中间的那一张图，这么广泛分布以后，怎么管理好，怎么让大家不经过中间这一块，登录之后直接获取服务器的数据，进行修改和读取，技术的改变，在中间都要记录下来，没有中间这一块，用户正在读取数据，中间机器宕了，也没有问题。或者就是修改和读取的数据没有记录下来，希望通过客户端里面加一些内容，比如说做了哪些的修改，做了修改注册以后，收尾的时候，告诉服务器，修改哪些数据，然后再做原数据的搜索。原数据的管理，是做我们这个广泛分布系统的核心，也是最难的地方。问题太多了，我们大概有700多个问题。

提问：挺好，我想问一下，您最后提到的数据处理保护进程，在您这个系统里用了吗？

清华大学教授武永卫：实验室的阶段，没有在清华校园里面布。这里有一个故事，催发我们做这个事情，就是一个女同事，就是清华的计算机老师，有一天突然有一个事儿找我，我在你那儿，把所有数据都放保护进程里了，说你能不能看见，我说你想听真话还是假话，当然想听真话，我说能看见，她就走了，过了一会儿打电话，所有的数据都移出来，往哪儿存，这个问题问我没有用。现在这是作为我们的研究，这件事情还没有成熟到所有的东西部署上去没有问题。真正别人用的时候，7×24小时，在校园里面不是产品，断一个小时，Email可能就会登爆，就是问题太多，就是拼命发问题，我们现在还没有部署，但是我希望，能在2012或者2013年的时候，在校园环境里面部署试用，还有三个小问题没有彻底解决好。