Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
CAN/CSA-ISO/IEC 17789-16(ISO/IEC 17789:2014)云计算参考架构技术详解
基于国际标准构建云计算系统架构的权威指南
标准概况与适用范围
CAN/CSA-ISO/IEC 17789-16(等同于国际标准ISO/IEC 17789:2014《信息技术 — 云计算 — 参考架构》)是云计算领域的基础性架构标准。该标准于2014年首次发布,加拿大标准委员会(CSA)采纳为加拿大国家标准,并在后续更新中持续保持与国际版本一致。至2026年,该标准依然是全球公认的云计算参考架构框架。
本标准适用于以下场景:
- 云服务提供者设计、描述和比较云服务体系结构;
- 云服务客户评估和选择云服务;
- 标准制定机构定义一致的云计算术语和接口;
- 系统集成商进行跨云平台的架构整合。
核心价值在于提供了一个与具体实现无关、涵盖各类云部署模式(公有云、私有云、混合云)和云服务类别(IaaS、PaaS、SaaS)的共同框架。
标准实施益处:采用统一参考架构可显著降低系统集成复杂度,提升不同云解决方案之间的互操作性,并通过角色与职责的清晰划分减少安全与治理盲区。
主要技术内容与要求
云计算参考架构概念模型
标准定义了一个基于角色的概念模型,包含三大主要角色及其子角色:
- 云服务客户(Cloud Service Customer):使用云服务的一方,可进一步分为云服务使用者(Cloud Service User)和云服务管理者(Cloud Service Administrator)。
- 云服务提供者(Cloud Service Provider):提供云服务的一方,承担服务编排、承载、运营等职责,其内部包含服务编排、承载、安全管理等子角色。
- 云服务伙伴(Cloud Service Partner):支持或辅助提供云服务的第三方,如云服务开发者、审计者、中介等。
功能组件与活动
标准将云系统分解为以下功能层与交叉功能:
| 功能层/组件 | 描述 | 包含的活动示例 |
|---|---|---|
| 用户层(User Layer) | 提供用户与云服务交互的界面和入口 | 访问管理、会话管理、用户门户 |
| 访问层(Access Layer) | 实现网络接入、协议转换和端点控制 | API网关、VPN接入、负载均衡 |
| 服务层(Service Layer) | 核心服务逻辑,负责服务实例化与生命周期管理 | 服务目录、自动化编排、计费计量 |
| 资源层(Resource Layer) | 统一管理物理与虚拟化计算、存储和网络资源 | 虚拟化管理、资源池化、监控与调度 |
| 跨层功能(Cross-Layer Functions) | 贯穿所有层级的公共支撑能力 | 安全与隐私、运维管理、服务计量、性能监控 |
服务类别与部署模式
标准明确了三种云服务类别(IaaS、PaaS、SaaS)的定义,并强调它们在架构上的关键差异。同时,定义了公有云、私有云、混合云及社区云四种部署模式,并给出了每种模式在角色交互和责任边界上的特点。
关键技术要点:参考架构中的“服务编排”活动是实现多服务组合与自动化的核心,标准要求服务编排层应支持策略驱动的自动化执行,并保持对底层资源的抽象。
重要注意事项:不同云部署模式下“云服务客户”与“云服务提供者”之间的责任边界可能发生重大变化,例如在私有云中,组织可能同时扮演两个角色,标准建议在此类场景中明确划分不同角色的功能实体。
实施与应用要点
基于参考架构进行系统设计
实施团队应遵循以下步骤应用CAN/CSA-ISO/IEC 17789-16:
- 识别组织在云生态中的角色(客户、提供者或伙伴);
- 参照标准的功能层划分,映射现有或规划中的系统组件;
- 为每个角色定义活动与职责,确保必要的跨层功能被纳入;
- 使用标准提供的概念模型与术语,编写架构描述文档;
- 基于架构设计进行服务选型或开发,并与合作伙伴进行接口对齐。
合规与评估
对于云服务提供者,标准可作为自我评估或第三方审计的框架基础。业界常将其与ISO/IEC 19086(服务水平协议)和ISO/IEC 27017(云安全控制)配合使用,形成完整的云治理体系。
安全关键要求:标准明确要求跨层安全功能必须涵盖身份与访问管理、数据保护、审计日志和合规监管。任何参考架构的实现均需确保这些安全基线的可配置与可审计性,否则可能引发严重的数据泄露风险。
与其他标准的关系
CAN/CSA-ISO/IEC 17789-16是整个云计算标准家族的顶层架构标准:
- ISO/IEC 19086系列:定义云服务水平协议框架,其术语和角色模型均继承自17789。
- ISO/IEC 17203(Open Virtualization Format):提供虚拟机镜像的打包格式,为资源层标准化提供支撑。
- ISO/IEC 19941(云互操作性):在17789架构上进一步阐述跨云互操作性的粒度与要求。
- ISO/IEC 27017/27018:云安全与隐私保护控制,实现跨层安全功能的具体实践。
因此,理解本标准是掌握其他云计算国际标准的基石。
标准体系协调:若企业同时需要满足多个云标准,建议以CAN/CSA-ISO/IEC 17789-16作为主架构框架,再按具体标准导入补充要求,可避免重复定义和架构冲突。
常见问题(FAQ)
问:CAN/CSA-ISO/IEC 17789-16是否强制要求使用特定的云技术或产品?
答:不强制。该标准是技术中立、厂商中立的参考架构,仅提供概念模型和功能框架,不涉及具体实现技术或商业产品。它允许组织自由选择最适合其业务的技术栈。
答:不强制。该标准是技术中立、厂商中立的参考架构,仅提供概念模型和功能框架,不涉及具体实现技术或商业产品。它允许组织自由选择最适合其业务的技术栈。
问:标准中的“云服务伙伴”角色具体包含哪些实体?
答:主要包括云服务开发者(开发SaaS或中间件)、云服务审计者(评估服务质量与安全)、云服务中介(代理或聚合多提供商服务)、以及云服务承载者(提供网络和基础设施连接)。
答:主要包括云服务开发者(开发SaaS或中间件)、云服务审计者(评估服务质量与安全)、云服务中介(代理或聚合多提供商服务)、以及云服务承载者(提供网络和基础设施连接)。
问:对于混合云部署,标准是否提供专门的架构指导?
答:标准定义了混合云模式,并指出其架构特征在于至少两种不同部署模式(如公有云+私有云)之间通过标准化接口和策略进行交互。实施时应特别关注跨域身份、网络连接、数据同步和安全策略的一致性。
答:标准定义了混合云模式,并指出其架构特征在于至少两种不同部署模式(如公有云+私有云)之间通过标准化接口和策略进行交互。实施时应特别关注跨域身份、网络连接、数据同步和安全策略的一致性。
问:本标准的更新频率如何?2026年是否有新版本?
答:ISO/IEC 17789自2014年发布后,于2018年进行了一次确认维持有效,目前仍在持续修订中。截至2026年,最新版本仍为2014版(含后续修订),加拿大CSA对应号为CAN/CSA-ISO/IEC 17789-16。建议用户及时关注ISO/IEC JTC 1/SC 38工作组动态以获取最新进展。
答:ISO/IEC 17789自2014年发布后,于2018年进行了一次确认维持有效,目前仍在持续修订中。截至2026年,最新版本仍为2014版(含后续修订),加拿大CSA对应号为CAN/CSA-ISO/IEC 17789-16。建议用户及时关注ISO/IEC JTC 1/SC 38工作组动态以获取最新进展。
本文撰写于2026年,内容基于CAN/CSA-ISO/IEC 17789-16(ISO/IEC 17789:2014,含后续修订)公开资料整理。
