云平臺構架淺析

董飛宇

【摘要】 在云計算日益普及的情況下，大量的業務應用系統遷移到云平臺上，云平臺的基本構架成為大家所關注的問題。

【關鍵字】 云計算 構架 安全

一、引言

本文對云平臺各個資源池的部署進行說明，以便讀者能夠大略了解云平臺部署的基本構架，對云平臺具備一定的認識。

二、云平臺資源劃分

這個云平臺按照資源來劃分主要分為云計算資源、存儲資源、網絡資源；同時網絡資源中結合安全設備和手段，保證云平臺的安全性；存儲資源中結合備份系統保障數據的安全性。各資源主要說明如下： 網絡資源：網絡資源是云平臺互聯互通以及訪問控制的資源節點、是實現業務區域劃分、用戶流量隔離、互訪安全控制、流量負載分擔、安全VPN接入等相關需求的基礎保證。計算資源：計算資源是云平臺的核心資源，也是業務承載的關鍵。通過虛擬化軟件的管理節點，實現對云資源池的劃分、管理和調度；相關云資源池的計算節點則是具體提供相應的虛擬化云服務的平臺。存儲資源：存儲資源是存儲數據的資源，只有通過共享存儲資源，才能夠實現云計算平臺業務遷移的功能，同時專用的存儲資源，也是保證數據存放安全可靠的關鍵。

三、云平臺構架及分析

3.1云平臺的分層與分區

1）核心層主要負責整個云平臺的出口和路由的公告，同時也是對外安全的保障。通過部署出口防火墻、IPS、帶庫管理、網頁防篡改等設備實現內外網絡安全的隔離和包含。

2）業務匯聚層則是實現內部云平臺分區的關鍵、可依據管理功能分為云平臺管理區、業務區，業務區又可根據不同的業務類型劃分為不同的業務區域；每個業務區域對應到云計算資源上，則是一個云計算資源池。在安全要求高的云平臺內，不同業務區域的匯聚層旁應具備一定的安全設備，例如防火墻等，實現內部業務區的安全隔離和不同業務區之間的訪問控制和隔離。

3）業務接入層，則是直接連接服務器，例如虛擬化服務器、數據庫服務器、備份服務器；服務器可考慮雙上行接入不同的物理交換機，在數據中心的環境下，可將多個接入交換機虛擬為一臺邏輯交換機；在這種情況下，服務器的雙網卡可考慮綁定實現流量負載。對于不具備虛擬化功能的交換機，則可以使用主備的方式接入。

4）為了進一步縮減層次，也可考慮采用大容量的數據中心交換機，將接入和匯聚層合并。

3.2云平臺的存儲資源

1）首先磁盤陣列是所有虛擬化服務器和數據庫服務器公用的存儲資源，同一虛擬資源池內的計算資源通過共享存儲資源從實現虛擬機的遷移；數據庫服務器RAC通過共享存儲資源實現數據庫的之間實例的切換備份；同時磁盤陣列是基于SAN環境下，每臺服務器通過雙網卡接入不同的SAN交換機，SAN交換機通過劃分zone實現流量的隔離，同時存儲設備的前端端口分別接入SAN交換機中，同時通過多路徑實現鏈路的冗余性。存儲本身通過全局熱備盤和采用raid方式，實現存儲設備本身的可靠性。2）NAS存儲作為文件存儲資源，可基于NFS/CIFS協議實現對虛擬服務器提供相關的文件存儲資源服務。文件系統資源可通過控制IP地址和帳號的方式實現安全的管理。3）虛擬帶庫作為備份的存儲介質，通過備份服務器實現數據的存儲。在服務器上安裝備份客戶端，同負責備份策略制定和執行的備份策略服務器通訊，控制流數據通過IP網絡到達。同時通過備份數據量采用lan_free方式，通過san環境下傳輸；實現備份數據的傳遞。

3.3云平臺的計算資源

對于同一資源池內的計算資源，資源池內的虛擬機可實現自由遷移；同時相關計算資源的創建、劃分、管理通過云資源管理區的管理節點實現對相關計算資源的管理。一般每臺計算節點服務器都連接三個網絡，一個是通過HBA連接san網絡訪問存儲資源；一個是通過以太網絡接入業務接入交換機實現虛擬機業務流量的傳輸；最后是通過以太網絡和管理區的管理節點，用于傳輸計算資源池的管理流量。

3.4云平臺的安全防護

1）網絡隔離實現安全防護。除了基本的網絡層vlan隔離，可在業務匯聚層部署區域防火墻，實現進一步不同區域的安全控制。如果需要更為徹底的隔離則可以考慮引入MPLS VPN的方式，將業務控制在VPN范圍內。同時對于不同區域間存在互通需求的情況下，則通過安全網閘實現信息數據的互通。2）專業設備避免異常攻擊。通過在入口部署IPS/帶寬控制/WAF（網頁防篡改）實現對異常攻擊的檢測和防護功能；3）安全接入。可考慮通過SSL VPN設備實現遠程安全的vpn接入；4）主機側安全控制。通過漏洞掃描、安全加固、補丁升級的方式實現對虛擬主機的安全防護；對于數據庫服務器則通過數據庫審計的方式來保證安全。

四、結束語

由于業務平臺的性質不同，其構架也會略有不同，但是云平臺的總體構架上則都是大同小異。最終的構架還需要結合具體的業務應用和設備特性規劃設計。

參 考 文 獻

[1]華為文檔，云計算構架