基于分布式服務支撐系統設計與實現

蔣安國 杜豐平 邊晉煒

摘 要：隨著互聯網快速發展，針對互聯網數據傳輸很容易遭到篡改、竊取與攻擊，地域性相互獨立的服務支撐、資料共享、學習能力提升、監控數據分析不能形成有效的資源整合問題，本文提出了分布式服務支撐系統的設計與實現，此系統通過建立安全加密專網，使用IPSec鏈路安全加密傳輸，實現總部職能部門與各分支機構人員信息同步共享；通過安全加密專網，提供快速、安全、高效的遠程支撐服務；使用分布式監控系統，將分布在全國的業務平臺進行集中網管監控管理。

關鍵詞：分布式；Zabbix；華為USG；Juniper

中圖分類號：TP393.05 文獻標識碼：A 文章編號：2096-4706（2019）02-0108-03

Abstract：With the rapid development of the internet，the data transmission on the internet is easy to be tampered with，stolen and attacked，and the problems of regional independent service support，data sharing，improvement of learning ability and monitoring data analysis can not form effective resource integration are discussed. The design and implementation of distributed service support system are proposed in this paper. By establishing a secure encryption private network and using IPSec link to secure transmission，the system can realize the synchronous sharing of information between headquarters functional departments and personnel of various branches. It provides fast，safe and efficient remote support services through secure and encrypted private network，and centralizes network management monitoring and management on business platforms distributed throughout the country by using distributed monitoring system.

Keywords：distributed；Zabbix；HUAWEI USG；Juniper

0 引 言

一般而言，隨著公司業務不斷發展，公司會由地方性公司發展為全國性公司，公司職能部門分化為總部職能部門、分公司、辦事處。本文基于“互聯網+”背景，提出一種“分布式服務支撐系統”的設計方案，以滿足各個分支機構之間的信息同步共享、涉密數據的加密傳輸、全國業務平臺的集中網管監控需求，提高工作效率。

1 系統的總體架構設計

該系統主要架構分為安全加密層、應用服務層、交互服務層，涉及的系統模塊有平臺接入專網、圖書館系統、在線考試系統、分布式監控系統。

1.1 總體架構網絡圖

系統總體網絡架構如圖1所示。

1.2 架構說明

（1）安全加密層。安全加密層由IPSec VPN服務器、L2TP over IPSec VPN終端設備，防火墻服務組成，通過數據加密、賬號認證和資源訪問控制實現系統安全加密防護。為了滿足“互聯網+”業務需求，系統專網開放互聯網接入服務，與視頻會議系統、微信服務等對接。

（2）應用服務層。應用服務層提供面向用戶、平臺系統、支撐工程師、營銷人員、財務人員、項目經理等對象的支撐服務功能集。涉及能力提升系統、分布式監控系統、工程資料發布系統、信息發布系統等。

（3）交互服務層。交互服務層分布式系統與用戶、系統、支撐工程師、營銷人員、項目經理、財務人員、手機終端、PC電腦終端、大屏數據交互展示層，是提供支撐服務的最終對象。

1.3 系統特點

（1）數據鏈加密，安全可靠。系統采用IPSec鏈路安全加密和唯一身份驗證技術，具備數據認證和身份認證雙重安全保護措施，經過授權的人員才能訪問設備和資源，用戶數據在系統中可以得到很好的保護。

（2）智能監控，大數據分析潛在運行風險。系統采用分布式智能監控系統，自動搜索用戶網絡內的設備，Web/APP客戶端實時監測運行信息，經過大數據分析可用率、響應時間，全面體現生產系統運行狀態，向用戶提供更專業的運行分析報告。

（3）設備狀態全生命周期管控。系統會自動采集設備所在機房的溫度、濕度、灰塵等數據，經過海量數據深度學習分析，科學、精準地為用戶制定設備全生命周期作業計劃。

（4）智能按需推送，精準能力提升。系統將記錄服務數據，從“人、事件、過程、結果”多個維度轉化為結構化數據并進行大數據分析，為每一位人員量身定制學習計劃，從海量知識庫中精準推送學習資料，并持續分析服務數據，智能感知能力提升效果。

（5）人工實時支撐。需要人工支撐服務時，根據用戶需求關鍵信息，系統會通過海量知識庫進行匹配，預判可行的解決措施，從而選擇最合適的專業工程師提供實時遠程支撐服務。

2 子系統設計

2.1 安全加密專網設計

設計采用華為USG6330、Juniper SRX100和PC電腦IPSec over L2TP客戶端，通過IPSec安全加密技術把各分支機構維護支撐人員、用戶平臺、總部相關系統連接起來，組成安全加密專網。如圖2所示。

網段規劃：

19.0.0.0/24 VPN Server與內網互聯（如果需要）；

19.255.250.0/24 L2TP用戶地址段；

19.255.251.0/24 VPN站點設備-現場維護人員使用網段（所有VPN站點均使用該相同網段，類似于當做私網網段使用，可用于訪問總部服務器、其他VPN站點，訪問時，源地址會被轉換為VPN站點設備的管理地址。不建議單獨分配網段或地址，因為其會大大增加VPN配置復雜度）；

19.255.255.0/24 VPN站點設備管理地址（每臺VPN站點設備分配一個32位IP）該地址亦可用作現場Zabbix代理服務器的管理地址（建議通過VPN站點設備管理地址進行端口映射，不建議單獨分配網段或地址，因為其會大大增加VPN配置復雜度）；

19.1.0.0-11.100.255.255 VPN站點映射到用戶設備的地址段；

其余地址段暫為預留。

2.2 平臺接入專網設計

利用IPSec安全加密技術，通過Juniper SRX100設備，將平臺網絡進行雙向IP地址轉換（源地址轉換+目的地址轉換）接入安全加密專網。

2.3 圖書館系統設計

該系統采用B/S結構體系，圖書館服務器放在安全加密專網中，通過讀寫權限控制，訪問人員根據預設權限進行讀取文件或上傳文件操作。

圖書館系統將審核通過的平臺維護資料、營銷資料、工程項目資料、培訓資料、知識庫對各分支機構發布、共享，各分支機構可通過移動端（手機、平板電腦）安全專網登陸系統在線學習。

2.4 在線考試系統設計

在線考試系統服務器，放在安全加密專網中，學員通過專網進入在線考試系統參加考核評定。在線考試系統能夠對每位學員的考卷進行自動閱卷，并從試卷、考試、成績多個維度進行統計分析。將考試系統的考核成績作為技能評定的一項參考項，為公司技術人才儲備奠定基礎。

2.5 分布式監控系統設計

分布式監控系統由Zabbix網管監控服務器和Zabbix Proxy Server網管監控代理服務器組成，網管監控服務器放在安全加密專網中心端（華為USG6330），網管監控代理服務器放在全國用戶的平臺網絡中，通過雙網卡方式連接平臺網絡和安全加密專網終端Juniper SRX100設備。

網管監控代理服務器將平臺監控數據通過安全加密專網推送給網管監控服務器，實現全國平臺統一集中監控服務。在大屏上監控展示，實時監控公司分布全國的業務平臺，提前發現問題，減少平臺宕機風險。如圖3所示。

3 結 論

在“互聯網+”背景下，通過建立安全加密專網將全國分支機構組建為分布式服務支撐系統，形成一個整體，系統能夠滿足公司的業務需求。通過圖書館系統（維護資料、營銷資料、工程項目資料、培訓資料、FAQ知識庫），實現總部職能部門與各分支機構人員信息同步共享，降低了數據在互聯網傳輸的網絡風險，向維護支撐工程師推送學習資料和FAQ知識庫，使其無需回到公司進行相關的培訓學習，提高了工作效率；在線考試系統，定期檢驗維護支撐工程師對圖書館系統的掌握情況，助力維護支撐工程師能力的快速提升；分布式監控系統，通過安全加密專網，將分布在全國的業務平臺進行集中網管監控管理，實現了對監控數據的實時分析；平臺遠程支撐，通過安全加密專網，提供快速、安全、高效的遠程支撐服務。

參考文獻：

[1] Juniper SRX防火墻管理手冊JNPR-v1，2015.

[2] 李朝陽.利用ZABBIX進行系統和網絡管理 [J].計算機時代，2008（10）：19-22.

[3] [美] Merike Kaeo著.網絡安全性設計 [M].吳中福，譯.北京：人民郵電出版社，2005.

[4] 李海光.計算機網絡安全技術與防范策略 [J].電子技術與軟件工程，2017（1）：210-211.

作者簡介：蔣安國（1989.05-），男，漢族，四川遂寧人，主管，研究方向：計算機科學技術、維護自動化、虛擬化、容器技術；杜豐平（1982.09-），男，漢族，部門專家，本科，研究方向：計算機科學技術、維護自動化、虛擬化、容器技術；邊晉煒（1984.01-），男，漢族，浙江紹興人，部門經理，碩士在讀，研究方向：維護自動化、虛擬化、容器技術。