基于私有云的企業三層網絡架構設計

◆彭青梅 鄭平輝

基于私有云的企業三層網絡架構設計

◆彭青梅1鄭平輝2

（1.福建師范大學閩南科技學院 福建 362332；2.廈門外國語學校海滄附屬學校 福建 361026）

傳統的企業信息化建設過程中存在花費大量的人力、物力、財力，見效很慢等問題。針對這些問題，提出一種基于私有云的企業三層網絡架構設計，將云計算、網絡技術等結合，整合VMWare ESXI軟件與硬件資源，實現企業虛擬機平臺的管理與服務、私有云存儲冗余服務、個性化按需服務，降低企業的資金和硬件投入成本。通過分析得出：這種虛擬網絡架構兼顧經濟、高可靠、易管理等特性，能夠實現企業統一調度管理，數據存儲安全可靠，資源按需分配，達到企業高效管理的目的。

云計算技術；私有云；網絡架構；安全防護

0 前言

整個社會步入信息化時代，我國企業信息化發展水平仍不夠高，在企業信息化建設過程中還存在許多問題。云計算為企業轉型、發展帶來契機，擁有新的信息技術，運用信息化平臺，對企業的未來以及在市場激烈的競爭中，可以利于不敗之地。企業受到自身的規模和成本的限制，采用云計算技術，既滿足了其信息化建設的需要，又能降低企業的資金和硬件投入的成本，降低企業信息化建設過程中的難度。

隨著企業發展，業務數據會不斷增加，業務數據就是企業的生命線，數據的安全關系著企業的發展和生存，業務功能需求不斷增加，需要大量數據處理任務。云計算能夠擔負大量數據的處理任務，能夠提供更多的業務功能。企業可以將業務數據放在內部的存儲服務器做冗余備份來保障數據的安全，不必擔心調整人員或者硬件損壞帶來的風險。將各種數據保存到云儲存平臺上進行數據處理。虛擬化技術可以實現硬件和軟件的虛擬化，降低管理成本。遠程訪問使用的計算機只是提供一個平臺，不需要很強的計算能力，這就降低了終端設備購置成本。

企業利用云計算搭建信息化平臺，企業可以選擇公共云，不用建設數據中心，也不需要關心虛擬化技術等難點，云計算服務提供商提供云計算平臺。但是當企業發展到一定規模，不想把應用外包，同時具備系統開發、運行、維護能力的時候，在操作性、安全性和可控性方面來說，私有云更適合其發展，企業可根據自身需求定制所需的服務，可以很好地利用云服務，減少資源的浪費[1]。

1 企業私有云網絡架構總體設計

基于云平臺的方便，實現資源共享，搭建一個基于私有云的企業三層網絡架構，運用私有云存儲對外提供服務，云內部是個生態可管控的網絡整體架構[2]。

圖1 企業私有云

基于私有云的企業網絡架構，部署的框架運用云服務器客戶端模式，如圖1，包括相關的物理服務器、虛擬主機軟件平臺、整體平臺構架。其中，物理資源由存儲設備、硬件設備、服務器集群設備、網絡設備等組成。此平臺實現了數據、軟硬件設備等大規模資源的統一調度管理。物理服務器采用虛擬技術整合成虛擬資源池，建立多個虛擬機，將云服務器整合為多個虛擬計算機集群系統[3]。

在圖1的基礎上設計一個企業私有云，用戶使用普通電腦等常用辦公工具，不需要安裝服務器程序或任何軟件，通過互聯網連接企業云平臺，通過云平臺界面連接，調用云資源的虛擬機，即調用了云服務器上的軟件和訪問內部資料，獲得用戶所需服務。虛擬機工作的過程和結果保存在云服務器中。

2 企業私有云三層網絡架構詳細設計

圖2 云計算平臺總體架構圖

圖2 是云計算平臺總體架構圖，也是應用于企業設計的私有云三層網絡架構設計拓撲圖。該企業私有云可以提供的服務:虛擬機租用服務、站點發布服務、私有云存儲服務、企業級遠程開發等。整個云計算平臺架構設計分為三層：云平臺區域、數據交換區域、互聯網區域。

2.1 云平臺區域

基于私有云搭建企業網絡架構，如圖2的左邊部分是云平臺區域，是私有云三層網絡架構的第一層，硬件配置包括:三臺ESXI服務器，兩臺光纖交換機，一臺大容量的存儲服務器。服務器群，通過高速物理網絡（推薦光纖交換機）聯通，冗余鏈接，如其中某一臺ESXI服務器發生故障，不影響云平臺正常工作。存儲服務器主要負責企業員工工作中數據的在線存儲，ESXI服務器負責搭建虛擬機，提供員工工作環境并負責監控虛擬機環境運行狀態。兩臺光纖交換機，通過一根心跳線來連接。心跳線的作用:兩臺光纖交換機互為備份，其中一臺交換機由于某種原因停止服務，另一臺通過軟件的方式監測到，則立即投入使用，以保證網絡的暢通和服務的正常運行。心跳線主要利用一條RS-233檢測鏈路來完成，采用Ping方式檢測驗證系統Down機檢測的準確性[4]。

云平臺區域就是把物理服務器通過虛擬技術整合在一起，即通過ESXI虛擬化技術將物理資源整合為虛擬資源池，劃分成多個虛擬資源，操作系統運行于虛擬機上，虛擬服務器跟物理服務器一樣，可以安裝大多數操作系統和軟件應用，且一個物理服務器運行多個操作系統而不互相影響。

服務器虛擬化軟件有微軟的Hyper-V、Xen、VMWare（ESXI是免費的，vSphere是收費的）以及KVM等[5]。通過VMWare ESXI創建一個虛擬平臺，VMWare ESXI 服務器是具有高資源管理功能高效、靈活的虛擬主機平臺。VMWare ESXI是任何系統環境下都適用的企業級的免費虛擬主機軟件。VMWare ESXI可以實現服務器部署整合，適合各種嚴格的應用程序的高需求，能提供完全動態的資源可測量控制。通過VMWare ESXI創建虛擬機平臺。利用VMWare ESXI管理控制端，可實現動態分配各虛擬機內存容量和CPU數目，也可實時監控各虛擬機的運行狀態。企業員工只需要在云平臺的登錄界面,輸入正確的用戶名和密碼后，便可在本地對云端的虛擬機進行操作。通過瀏覽器操作虛擬機，進行數據上傳和下載,所有的服務都運行于云端，無需使用U盤、移動硬盤，減少病毒入侵服務器的機會,保證了系統的穩定性和用戶數據安全。

2.2 數據交換區域

圖2的中間部分是數據交換區域，私有云三層網絡架構的第二層，包括匯聚層交換機、云平臺管理系統、DNS服務器、準入控制系統。

兩臺匯聚層交換機可支持VRRP協議，VRRP是一種路由容錯協議，也稱備份路由協議。當缺省路由的端口down掉，內部主機將無法與外部通信，兩臺匯聚層交換機設置VRRP時，虛擬路由就將啟用備份路由，從而實現全網通信。

在企業私有云網絡架構設計中，最關鍵的是如何有效管理和支撐這個云平臺，這就必須建立一個高效、智能化的云平臺管理系統，有效降低運營管理成本，確保云平臺的戰略得到實現[6]。云平臺管理系統需要能對底層的所有資源具有動態監控、配置、管理能力，包括資源申請、資源調度、資源回收。云平臺管理系統實現虛擬機管理、服務器管理、資源池管理、配置及狀態管理，通過虛擬機的封裝，管理員通過云平臺管理系統，實現物理資源的按需分配，根據企業員工的需求安裝虛擬機，制定所需內存容量、CPU的數目、磁盤空間等。工作中使用的大型軟件也不必安裝在本地計算機上，根據不同部門工作的需求，配置獨立的運行環境，安裝所需的操作系統和應用軟件，有效實現共享服務器中心資源。

數據交換區域中的DNS服務器會根據不同的授權區，記錄所屬該網域下的各名稱資料，這個資料包括網域下的次網域名稱及主機名稱。DNS服務器在這個云架構里，是一種組織成層次結構的分布式數據庫，作為云平臺虛擬主機的IP地址解析，一個虛擬機就要一個主機名，通過DNS來記錄。

客戶端通過互聯網遠程訪問企業私有云，最重要的就是數據的安全性，業務數據就是企業的生命線。在數據交換區域，加入一個準入控制系統，確保企業數據的訪問安全。

準入控制系統是企業私有云的一道安全防護墻，它的作用是控制終端的一些不良行為。未經允許的入網終端設備無法進入網絡，對所有入網終端設備的統一身份認證（IP地址、MAC地址、機器識別碼認證）。可以實現對網絡邊界準入的控制。結合國家安全局及企業內部相關安全制度，部署終端的安全策略。

2.3 互聯網區域

整個企業私有云架構設計的第三部分是互聯網區域，如圖2的右邊部分，互聯網區域為訪問云服務的兩條線路，企業可以搭建移動和電信兩條不同運營商的線路，達到相互冗余。硬件設備包括交換機、負載均衡、私有云架構的另一道安全防護墻（即網絡層的安全防護：防火墻、IPS入侵檢測、DDOS防護）[7]。

在私有云架構的互聯網區域加入負載均衡技術，有著極大的意義。負載均衡是一種技術，通過算法實現負載分擔的方法。一種廉價有效透明的方法擴展網絡設備的帶寬、增加吞吐量、加強網絡數據處理能力、提高網絡的靈活性和可用性。在企業私有云網絡架構設計，可以使用F5負載均衡。

互聯網區域中網絡層的安全防護使用了防火墻、IPS入侵檢測防御系統、DDOS防護保障數據安全。

3 總結

本文闡述傳統的企業信息化建設意義及過程存在一些問題，提出一種基于私有云的企業三層網絡架構，分別為云平臺區域、數據交換區域、互聯網區域，分析介紹了每個區域所使用的設備方案以及關鍵技術；實現企業個性化按需服務，降低企業的資金和硬件投入的成本。通過分析得出:這種虛擬網絡架構兼顧經濟性、高可靠性、易管理等原則，同時能夠統一調度管理，數據安全可靠，資源按需分配，企業管理高效的作用。此課題模擬實驗驗證研究階段，在具體實施需要結合企業發展實際管理出發，客觀的對理論進行完善。

[1]張強.云計算環境下中小企業信息化建設發展研究[D].安徽:安徽大學，2014.

[2]朱近之.智慧的云計算:物聯網的平臺[M].北京:電子工業出版社，2011.

[3]陶姿邑，畢善為.基于云計算的虛擬計算實驗室[J].信息技術，2013.

[4]心跳線.H百科.http://www.baike.com/wiki/%E5%BF%8 3%E8%B7%B3%E7%BA%BF.

[5]薛靜.基于虛擬化的云計算平臺中安全機制研究[D].西北大學，2010.

[6]張志宏.云計算平臺管理系統的研究與實現[J].北京:中國移動通信研究院，2012.

[7]雷萬云.云計算:技術、平臺及應用案例[M].北京:清華大學出版社，2011.

[8]張乃千，楊海，周麗濤.基于云計算的虛擬實驗云平臺設計[J].計算機教育，2015.

課題項目:教育部數字化學習支撐技術工程研究中心“十三五”全國數字化學習研究規劃課題，課題批準號2016BB120。