信息系統(tǒng)私有云解決方案

2023-09-19 11:04:02李偉王豐孫斌斌

中國(guó)自動(dòng)識(shí)別技術(shù) 2023年4期

李偉王豐孫斌斌/文

近年來，我國(guó)高度重視信息化工作，提出加快推進(jìn)制造強(qiáng)國(guó)、網(wǎng)絡(luò)強(qiáng)國(guó)、“互聯(lián)網(wǎng)+”行動(dòng)等重大戰(zhàn)略決策，并明確提出要加快5G 網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè)進(jìn)度。這是近年來數(shù)據(jù)中心首次被列入加快建設(shè)的條目，數(shù)據(jù)中心作為“新基建”中的一個(gè)亮點(diǎn)，引起了業(yè)界的高度關(guān)注。

數(shù)據(jù)中心是信息集中處理、計(jì)算、存儲(chǔ)、傳輸、交換和管理的核心資源載體，是支撐信息化應(yīng)用的重要基礎(chǔ)設(shè)施。隨著信息系統(tǒng)的不斷增加和應(yīng)用場(chǎng)景的不斷豐富,數(shù)據(jù)中心持續(xù)擴(kuò)大擴(kuò)容成為必然要求。如何構(gòu)建科學(xué)、高效、開放的數(shù)據(jù)中心是我們必須深入研究的課題。

數(shù)據(jù)中心的發(fā)展

傳統(tǒng)數(shù)據(jù)中心

數(shù)據(jù)中心由通信網(wǎng)絡(luò)支持的信息系統(tǒng)軟硬件聚集而成，通常包括計(jì)算機(jī)、服務(wù)器、網(wǎng)絡(luò)、存儲(chǔ)等關(guān)鍵設(shè)備，還包括這些關(guān)鍵設(shè)備運(yùn)行所需要的環(huán)境因素，如供電系統(tǒng)、制冷系統(tǒng)、機(jī)柜系統(tǒng)、消防系統(tǒng)、監(jiān)控系統(tǒng)等物理基礎(chǔ)設(shè)施。傳統(tǒng)物理架構(gòu)數(shù)據(jù)中心一般由網(wǎng)絡(luò)交換機(jī)、安全設(shè)備、服務(wù)器和外置存儲(chǔ)四部分組成，如圖1所示。

圖1 傳統(tǒng)物理架構(gòu)數(shù)據(jù)中心

目前，大多數(shù)企業(yè)的數(shù)據(jù)中心還是采用傳統(tǒng)物理架構(gòu)建設(shè)模式，也就是典型的“煙囪式”架構(gòu)，就是將信息系統(tǒng)部署在各自的物理服務(wù)器上，這會(huì)造成相互之間在功能上無法關(guān)聯(lián)互動(dòng)，數(shù)據(jù)不能共享互換，數(shù)據(jù)流和應(yīng)用相互脫節(jié)，形成一個(gè)個(gè)IT 煙囪。這種架構(gòu)將導(dǎo)致物理服務(wù)器利用率低，負(fù)載不均衡，存儲(chǔ)容易出現(xiàn)瓶頸，物理冗余成本高，使整個(gè)架構(gòu)平臺(tái)的造價(jià)比較高，管理和運(yùn)維操作比較復(fù)雜，應(yīng)用系統(tǒng)之間很難共享數(shù)據(jù)。

服務(wù)器虛擬化架構(gòu)

為解決信息系統(tǒng)“煙囪式”架構(gòu)帶來的各種問題，虛擬化技術(shù)應(yīng)運(yùn)而生。虛擬化技術(shù)是指通過虛擬化技術(shù)將一臺(tái)計(jì)算機(jī)虛擬為多臺(tái)邏輯計(jì)算機(jī)，實(shí)現(xiàn)資源的模擬、隔離和共享。在一臺(tái)計(jì)算機(jī)上同時(shí)運(yùn)行多個(gè)邏輯計(jì)算機(jī)，每個(gè)邏輯計(jì)算機(jī)可運(yùn)行不同的操作系統(tǒng)，且應(yīng)用程序可以在相互獨(dú)立的空間內(nèi)運(yùn)行而互不影響，從而提高計(jì)算機(jī)工作效率，如圖2所示。

圖2 虛擬化架構(gòu)數(shù)據(jù)中心

服務(wù)器虛擬化技術(shù)利用軟件重新定義劃分IT資源，實(shí)現(xiàn)資源的動(dòng)態(tài)分配、靈活調(diào)度和跨域共享，提高IT 資源利用率、降低成本、加快部署、增強(qiáng)系統(tǒng)整體安全性和可靠性，使IT 資源能夠真正成為社會(huì)基礎(chǔ)設(shè)施，滿足各行各業(yè)靈活多變的應(yīng)用需求。

服務(wù)器虛擬化架構(gòu)是比傳統(tǒng)物理架構(gòu)更具成本效益、更為靈活和實(shí)用的替代方案。在服務(wù)器虛擬化架構(gòu)中，虛擬服務(wù)器通過管理程序模擬處理器、操作系統(tǒng)和其他資源，物理服務(wù)器資源被視為可以在現(xiàn)有虛擬機(jī)或新虛擬機(jī)之間重新分配的資源池。虛擬化架構(gòu)具有可擴(kuò)展性強(qiáng)、資源利用率高、使用成本低等優(yōu)點(diǎn)。但整個(gè)業(yè)務(wù)結(jié)構(gòu)并沒有改變，虛擬化架構(gòu)仍存在除計(jì)算虛擬化以外的其他弊端，如外置存儲(chǔ)擴(kuò)容慢、部署成本高、業(yè)務(wù)上線速度慢、運(yùn)維復(fù)雜等。

基于云架構(gòu)的數(shù)據(jù)中心

云計(jì)算是在虛擬化基礎(chǔ)上通過計(jì)算機(jī)網(wǎng)絡(luò)形成的計(jì)算能力極強(qiáng)的系統(tǒng)，可集合相關(guān)資源并按需配置，向用戶提供個(gè)性化服務(wù)。在云計(jì)算基礎(chǔ)上將存儲(chǔ)及網(wǎng)絡(luò)資源進(jìn)行耦合，完全虛擬化各種IT 設(shè)備，形成模塊化程度、自動(dòng)化程度和綠色節(jié)能程度較高的云架構(gòu)數(shù)據(jù)中心，如圖3所示。

圖3 基于云架構(gòu)的數(shù)據(jù)中心

特點(diǎn)

云架構(gòu)是一種基于虛擬化技術(shù)的云計(jì)算模型，它實(shí)現(xiàn)了更高級(jí)別的服務(wù)和管理功能，以滿足組織內(nèi)的IT 需求。虛擬化的重點(diǎn)是對(duì)資源的虛擬，比如把一臺(tái)大型的服務(wù)器虛擬成多臺(tái)小型的服務(wù)器。云計(jì)算的重點(diǎn)是對(duì)虛擬化資源池進(jìn)行統(tǒng)一的管理和調(diào)度。

云架構(gòu)數(shù)據(jù)中心的特點(diǎn)，首先是高度的虛擬化，這其中包括服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、應(yīng)用等虛擬化，用戶可以按需調(diào)用各種資源；其次是較高的自動(dòng)化管理程度，包括對(duì)物理服務(wù)器、虛擬服務(wù)器的自動(dòng)化管理和對(duì)相關(guān)業(yè)務(wù)的自動(dòng)化流程、客戶服務(wù)的收費(fèi)等管理；最后是綠色節(jié)能，云數(shù)據(jù)中心各方面均符合綠色節(jié)能標(biāo)準(zhǔn)，一般PUE值不超過1.5。

優(yōu)勢(shì)

云數(shù)據(jù)中心將傳統(tǒng)數(shù)據(jù)中心的計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)、安全等資源進(jìn)行深度融合，提升了資源整合密度。云計(jì)算架構(gòu)與傳統(tǒng)物理架構(gòu)、虛擬化架構(gòu)在特點(diǎn)、統(tǒng)一化管理、集中配置部署、技術(shù)實(shí)現(xiàn)等方面有所不同，見表1。其優(yōu)勢(shì)如下：

表1

成本降低數(shù)據(jù)中心硬件設(shè)備只有服務(wù)器和交換機(jī)，成本降低；

平臺(tái)可用性高采用分布式架構(gòu)，任何一臺(tái)主機(jī)故障都不會(huì)影響超融合平臺(tái)的穩(wěn)定性和可用性；

業(yè)務(wù)可靠性高虛擬機(jī)高可用HA 和數(shù)據(jù)多副本等機(jī)制保證業(yè)務(wù)的高可靠；

運(yùn)維簡(jiǎn)化架構(gòu)更簡(jiǎn)單，可以滿足資源快速部署和快速調(diào)整的需求，支持可視化大屏操作、故障定位監(jiān)控預(yù)警機(jī)制等，簡(jiǎn)化運(yùn)維操作；

資源利用率高服務(wù)器的資源通過虛擬化技術(shù)可分配給多業(yè)務(wù)使用，提高資源利用率。

云架構(gòu)還可實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)登錄認(rèn)證、攻擊防御、數(shù)據(jù)傳輸及存儲(chǔ)保護(hù)、日志審計(jì)等全過程管理，并配合邊界隔離、病毒檢測(cè)、實(shí)時(shí)監(jiān)控等運(yùn)維措施，實(shí)現(xiàn)端到端的安全，主要包括：

登錄安全采用CA 認(rèn)證及堡壘機(jī)登錄，確保身份可信，并對(duì)登錄人員賬號(hào)進(jìn)行權(quán)限管理；

傳輸安全外部登錄數(shù)據(jù)傳輸采用VPN 隧道方式接入，對(duì)明文數(shù)據(jù)進(jìn)行SSL加密；

邊界安全根據(jù)安全級(jí)別對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行安全區(qū)域劃分，分區(qū)間采用防火墻進(jìn)行安全隔離，在互聯(lián)網(wǎng)出口處部署入侵檢測(cè)防御、病毒檢測(cè)防御、抗DDOS 攻擊設(shè)備等安全措施，確保區(qū)域邊界進(jìn)出數(shù)據(jù)和流量的安全；

主機(jī)安全采用系統(tǒng)安全加固和防病毒軟件手段保證業(yè)務(wù)主機(jī)安全；

數(shù)據(jù)安全采用數(shù)據(jù)加密存儲(chǔ)、介質(zhì)冗余、存儲(chǔ)雙活、定時(shí)備份等措施確保數(shù)據(jù)安全；

運(yùn)維安全利用日志審計(jì)和數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)及時(shí)發(fā)現(xiàn)系統(tǒng)中存在或潛在的威脅，通過監(jiān)控實(shí)時(shí)發(fā)現(xiàn)異常情況并及時(shí)處理；

云安全利用VLAN 隔離和安全組策略，結(jié)合邊界防火墻共同構(gòu)筑“南北+東西”流量安全防護(hù)機(jī)制，并對(duì)云平臺(tái)和API接口進(jìn)行安全加固，確保云計(jì)算平臺(tái)自身的安全。

近幾年隨著云計(jì)算技術(shù)的逐漸普及，越來越多的企業(yè)選擇云計(jì)算方案。其中，私有云因在數(shù)據(jù)安全、數(shù)據(jù)備份等方面有自主可選空間而受到青睞。

私有云解決方案典型部署示例

私有云是云計(jì)算的一種特殊模式，IT 服務(wù)通過專用IT 基礎(chǔ)架構(gòu)進(jìn)行配置，供單個(gè)組織專用，提供更好的IT 服務(wù)和支持。私有云通常由一組虛擬化服務(wù)器和相關(guān)的管理工具組成，這些服務(wù)器為組織內(nèi)的各個(gè)部門計(jì)算、存儲(chǔ)和提供網(wǎng)絡(luò)資源。在私有云模式下，云資源池只能由單個(gè)組織訪問，因此可以保護(hù)該組織的隱私權(quán)，并加大其控制權(quán)。

信息系統(tǒng)私有云架構(gòu)一般分為互聯(lián)網(wǎng)接入?yún)^(qū)、核心交換區(qū)、信息系統(tǒng)區(qū)和運(yùn)維管理區(qū)四個(gè)區(qū)域，如圖4所示。

圖4 私有云解決方案典型部署

互聯(lián)網(wǎng)接入?yún)^(qū)部署負(fù)載均衡、網(wǎng)絡(luò)防火墻、上網(wǎng)行為管理等網(wǎng)絡(luò)設(shè)備，提供互聯(lián)網(wǎng)接入服務(wù)，供用戶訪問信息系統(tǒng)。

核心交換區(qū)是數(shù)據(jù)中心南北向流量和東西向流量的交匯點(diǎn)，其主要功能是完成各服務(wù)功能分區(qū)之間數(shù)據(jù)流量的高速交換。核心交換區(qū)必須具備高速轉(zhuǎn)發(fā)的能力，同時(shí)還需要有很強(qiáng)的擴(kuò)展能力，滿足業(yè)務(wù)未來快速發(fā)展的需求。

信息系統(tǒng)區(qū)部署高性能服務(wù)器，組建私有云集群，區(qū)域內(nèi)設(shè)備全部采用全冗余架構(gòu)，計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)等各維度均雙鏈路運(yùn)行，保障業(yè)務(wù)持續(xù)運(yùn)行。

運(yùn)維管理區(qū)為數(shù)據(jù)中心提供統(tǒng)一的安全、運(yùn)營(yíng)運(yùn)維、災(zāi)備等管理系統(tǒng)。在運(yùn)維管理區(qū)部署兩臺(tái)主備防火墻，開啟防病毒、IPS 和應(yīng)用控制功能，對(duì)運(yùn)維安全進(jìn)行防護(hù)。

信息系統(tǒng)私有云建成后，需對(duì)現(xiàn)有業(yè)務(wù)進(jìn)行遷移。制訂遷移方案時(shí)要重點(diǎn)評(píng)估遷移過程中業(yè)務(wù)中斷的時(shí)間以及遷移后的數(shù)據(jù)一致性。選擇遷移方法時(shí)也要綜合考慮操作系統(tǒng)類型、業(yè)務(wù)是否允許中斷、數(shù)據(jù)一致性要求是否嚴(yán)格等因素，見表2。

表2