工業服務器虛擬化集成及安全技術研究

陳婷婷 何毅

摘要：工業服務器、數據存儲、虛擬化集成的過程中需進行系統架構設計、系統組網方案確定，在此過程中會出現許多網絡安全防護方面的問題，這些問題可能會對工廠造成極為不利的影響。現主要針對工廠服務器虛擬化進行需求分析，并提出了組網方案、架構設計、虛擬化安全、網絡安全相應的技術解決措施和方案。

關鍵詞：服務器;虛擬化;網絡安全防護

0? ? 引言

當前，大多數工廠生產網絡信息化還處于實際設備控制階段，若建設新一代數字工廠，有利于有效支撐業務和應用的發展。利用多種計算機應用技術、智能化應用技術、虛擬化技術，不斷提高安全技術能力，逐漸建立比較完備的網絡安全制度，部署比較全面的網絡安全防護措施，可以提升網絡安全保障能力。同時，應建設新一代運維體系，提升運維效率，降低運維風險。因此，有必要合理規劃與建設生產指揮調度中心、能源管理監控中心、物流監控中心、安保監控中心等，實現對企業全區域、全事件、全過程、全時段的數字化管理和控制，達到“精細化”和“智能化”，建設“智能化生產、數字化管理”的工業工廠[1]。

1? ? 服務器、存儲及虛擬化集成系統

工業廠區內可考慮建設一套虛擬化存儲系統，為生產車間、加工車間、物流的數據提供一個安全的存儲空間。

1.1? ? 系統概述

服務器、存儲及虛擬化系統是為了降低成本，利用云平臺虛擬化技術將IT基礎設施中計算、存儲、網絡資源虛擬化，資源池化管理、統一管理、資源共享、靈活分配，對業務服務器進行整合和統一調配，以適應快速發展的業務需求，提高設備利用率和維護效率。

1.2? ? 虛擬化集成系統的特點

對于工廠的數據中心IT基礎設施進行虛擬化具有以下幾個明顯特點：

（1）聚焦工業工廠核心生產。傳統系統建設周期長，IT投資成本高，運維成本高;而通過云平臺建設能大幅減少資源配置、人財物投入，工廠投入傳統基礎建設與維護的核心資源就能釋放出來，投入生產。

（2）虛擬化集成即綠色數據中心，節省資源，運維成本低。數據中心的虛擬化，能明顯提高資源利用率減少硬件設備的數量，降低硬件成本及能耗，減少供電、散熱等開支;同時云平臺易擴展、設備易替換，提升了設備資源利用率，云平臺具有自動發現故障并及時恢復的功能，從而具備了一定的自維護能力，有效降低了維護成本，從而帶來了凈利潤。

（3）虛擬化集成系統安全可靠。相對于傳統的IT系統，虛擬化技術在網絡安全、設備安全、系統連續性、系統可靠性方面有特殊的設置，是一個相對安全的系統。

（4）資源池化管理，靈活使用。不需要使用該業務系統時，可以通過刪除虛擬機將資源重新釋放到資源池，以確保系統安全。

1.3? ? 需求分析

實時數據庫服務器、關系數據庫服務器、應用服務器、Web服務器組成了工廠中主要的中控及能源系統的虛擬服務器及存儲系統。虛擬服務器的操作系統版本要在Windows Server 2012 R2 64位以上，至少兩個虛擬網卡組成一個虛擬服務器。采用雙機熱備模式，集中布置在信息中心機房。其他管理系統（比如設備管理等）提供的虛擬服務器及存儲系統要包括數據庫服務器、應用服務器、Web服務器等。

2? ? 服務器、存儲及虛擬化集成的實現

2.1? ? 虛擬化存儲方案設計

工廠云平臺的應用可包括Web系統、Mail系統、ERP系統、數據庫等。數據中心虛擬化之后，對外提供的功能比傳統數據中心更多，管理更加聚焦，而數據中心運行的用戶應用不會發生業務邏輯變化，應用系統會平滑遷移到云平臺[2]。例如華為是將服務部署到虛擬化的高性能物理服務器上提供方案，以實現高可靠性、智能化目標。整體邏輯架構如圖1所示。

該解決方案從邏輯上分為產品解決方案和專業服務解決方案，其中主要的硬件解決方案是從相應廠商提供的數據中心基礎層機房建設到供電、到散熱方案，再到數據中心使用的服務器（刀片式&機架式）、存儲設備、網絡設備、安全設備等全套硬件的產品。

2.2? ? 系統組網方案設計

經分析研究，工廠虛擬化系統云平臺組網方案的核心交換機設置VLAN的IP地址，接入交換機劃分VLAN，做二層轉發承擔核心層和匯聚層雙重任務，形成扁平化的二層網絡架構（核心層、接入匯聚層）。扁平化二層架構網絡拓撲結構簡單，設備使用少，轉發效率高。利用虛擬集群和堆疊技術，鏈路環路問題得到解決，網絡安全可靠性相應提高。云平臺網絡的總體方案如圖2所示。

3? ? 系統安全防護技術

3.1? ? 安全框架

為保障系統安全，利用分層和縱深防御的思想，采用強化網絡隔離和虛擬隔離的完整的安全架構，避免出現安全真空。分層采用多種方法、多個區域執行安全性策略，以保障單點安全故障不發生。縱深使用多重防御策略，一層防御不夠時，另一層防御將會啟動，提供多道防線。根據網絡層次分為物理、主機/虛擬化、網絡、業務和數據、管理維護等幾個層面，滿足合規性等需求，進行數據中心安全解決方案的部署。數據中心安全解決方案如圖3所示。

3.2? ? 虛擬化安全

虛擬機和物理主機，不同部門、不同車間的虛擬機和虛擬機之間是安全地隔離開來的，即虛擬化隔離，這可以從根本上保障虛擬機安全。需要注意的是，我們應部署一些基于主機的虛擬防火墻/IDS/IPS，預防云內部虛擬機之間的惡意攻擊，保障虛擬系統安全。

3.3? ? 網絡安全

從網絡隔離、攻擊防護、傳輸安全等多個角度出發，考慮系統可能遭受的各種類型的DOS攻擊和數據遭竊聽和篡改等威脅，計算、存儲、管理、接入等域利用子網劃分、網絡隔離手段，單獨物理組網，保證網絡安全性，避免網絡風暴等問題擴散。部署隔離設備、邊角防護、堡壘機、日志審計、數據庫審計、入侵檢測等設備進行提前感知防護。

4? ? 結語

工廠服務器虛擬化集成系統便捷、高效，節省資源。虛擬化技術在網絡安全、設備安全、系統連續性及可靠性等方面具備優勢，是一個相對安全的系統。通過安全域劃分、VPC隔離方式、邊界防護、虛擬機隔離、系統加固、安全配置等技術措施，可以安全可靠地保障集成系統運行。

[參考文獻]

[1] 栗豐斌.虛擬化技術在卷煙工廠信息化系統建設中的應用初探[J].電子技術與軟件工程，2018（9）：184-185.

[2] 徐冰.計算機數據存儲虛擬化技術優化研究[J].無線互聯科技，2020，17（5）：146-147.

收稿日期：2020-08-18

作者簡介：陳婷婷（1991—），女，貴州銅仁人，助理工程師，主要從事網絡信息安全工作。