氣象虛擬化云平臺搭建及安全防護的探討

李 玨,譚海波,李 波,金石聲,汪 華

(貴州省氣象信息中心，貴州 貴陽 550002)

0 引言

貴州省氣象局利用超融合技術搭建了虛擬化云平臺[1]，該平臺由23臺物理服務器組成，其中虛擬CPU共計3022核、計算存儲7100G、存儲219T，目前已搭建虛擬機145個，運行中106個，后續還將承擔核心資源池內的大量核心業務系統的遷入,為整個氣象局提供云計算服務[2]。

當前省局資源池部署了大量虛擬機，承載了省局較多的業務系統，由于省局單位部門多，虛擬機用途各異，資源池中有生產機、測試機、模板機等，總體規劃混亂，存在虛擬機的歸屬單位不明確，不同功能用途的虛擬機劃分管理不清楚等問題。此外還存在各單位虛擬機之間為互通狀態的問題，一旦某單位的業務發生安全事件，在未及時發現的情況下，則極易導致其他虛擬機上的業務遭受攻擊，致使氣象業務遭受極大的影響和損失。

1 虛擬化云平臺架構的規劃與設計

虛擬化整體設計思路旨在將各種分散的硬件資源通過虛擬化技術集中成為一個整體，達到按需取用，按需分配，按需擴展的云化資源池，從而提升資源利用率，降低能耗和管理復雜度，提升業務使用效率和管理效率。當前資源池中虛擬機數量較多，總體部署較為混亂，為實現虛擬機的便捷化管理，保障不同單位之間的業務安全，對虛擬機部署方式進行了規劃。如圖1所示。

圖1 氣象虛擬化資源池規劃設計拓撲Fig.1 Planning and design topology of weather virtualization resource pool

1.1 區域劃分

根據業務運行的特點將虛擬化云平臺劃分為數據中心資源池、DMZ區、中試區3個區域，其中數據中心資源池承載核心業務系統、科研系統等業務；DMZ區承載基于內部數據的對外服務業務；中試區則承載對外服務網站、APP等業務。

1.2 安全防護設計

邊界安全：目前在DMZ區超融合資源池和中試區資源池出口部署了防火墻設備，用于提供L2-7層安全防護，實現邊界訪問控制、入侵防御、惡意代碼防護等功能。

主機安全：在行政樓、中試區、DMZ區這3個超融合資源池集群中的虛擬機上，部署終端防護軟件，用于實現漏洞檢測、后門檢測、弱密碼檢測、暴力破解檢測、僵尸主機檢測、病毒和木馬查殺等功能。

資源池內部安全：內部安全指的是資源池東西向流量安全,當前超融合資源池中部分虛擬機之間設置了分布式防火墻策略，用于實現虛擬機與虛擬機之間的安全防護[3]。

業務訪問控制：鑒于當前超融合資源池建設有各單位業務系統，為有效保障各單位的業務安全，在對虛擬機進行歸屬劃分后，在相應的路由器和交換機上設置安全訪問策略，以實現不同單位之間業務的訪問隔離，并對存在互訪的業務做單獨的訪問處置，以保障業務的安全性。

橫向安全防護：普通防火墻只能保護邊界，也就是在資源池環境中所謂的南北向流量。對于數據中心內部的東西向流量則無法進行控制。超融合資源池平臺中分布式防火墻支持東西、南北向4層隔離，提高數據中心內部的安全。

分布式防火墻支持根據IP、IP組、虛擬機、虛擬機組和虛擬機標簽對流量進行控制。建議將需要隔離控制的虛擬機放在不同的虛擬機組，相同業務或者不需要隔離的虛擬機放在相同的虛擬機組，然后根據虛擬機組對業務系統的流量進行隔離，只要將虛擬機放在策略匹配的組就會對流量進行控制。

2 虛擬機部署原則

2.1 新建虛擬機

虛擬機是運行操作系統和應用程序的軟件計算機，與物理主機相似，需要設計CPU、內存、磁盤、網卡等硬件配置。在通常情況下，參照行業標準進行虛擬機配置。

新建業務虛擬機資源分配情況需根據業務所需資源實際情況而定。

①虛擬機資源評估原則：考慮3～5 a的業務增長規模帶來的資源空間需求，評估的資源需要預留30%以上。

②虛擬機副本：在新的版本中，當創建虛擬機時，可以根據業務的重要性選擇副本數量。如果是非常重要的業務，可以選擇3副本進行創建，這樣在集群中將會存在該虛擬機的3個副本數，保障了業務的可靠性。

③模版虛擬機制作：制作模版虛擬機時，建議使用最新且穩定的正版操作系統，安裝好需要的系統軟件環境及性能優化工具，更新系統補丁并安裝終端防護軟件。

④虛擬機賬號管理：新建虛擬機時做好操作記錄、記錄業務單位和責任人、聯系方式等。保存好超級管理員，然后建立二級管理員給業務人員使用。

⑤虛擬機克隆：使用模版虛擬機進行克隆可以提升虛擬機部署的效率，克隆時勾選重新生成UUID。

相同的操作系統部署不同的應用時，建議在虛擬機安裝操作系統后進行克隆，然后分別部署不同的應用。

相同的操作系統部署相同的應用時，可以使用一個虛擬機安裝操作系統并部署應用，然后轉換為模板進行派生。

⑥虛擬機備份：建立虛擬機之后，需要確定備份級別，根據不同的備份級別做不同的備份策略。

2.2 物理機或虛擬機遷移

一般情況下物理環境業務系統的硬件配置都有一定的冗余，為了更好的利用超融合平臺上的物理資源，建議遷移過來的業務系統的基礎環境配置可以根據上面采集到的系統信息進行修改并遵循以下原則：

①CPU：虛擬機的虛擬CPU核數不低于物理機的CPU核數,但是如果實際 CPU數超過最佳實踐的CPU核數，以最佳實踐 CPU核數為準。

②內存：內存的配置為物理機業務高峰期時實際使用內存的1.5倍；比較特殊的業務還可以使用動態內存自動添加功能。

③磁盤：磁盤的配置可以根據原有業務系統的磁盤容量然后除以運行年限，估算出客戶每年的數據增長情況，然后規劃出后續4 a的磁盤增長情況進行評估需要的磁盤容量。

④網絡流量：根據實際應用系統的流量特征進行評估，應當區分虛擬機之間的流量(東西向)，以及虛擬機與物理網絡之間的流量(南北向)。

2.3 虛擬機備份分級

2.3.1 虛擬機備份級別設置 根據業務需要的備份需求，進行備份策略的選擇，可參考以下備份級別進行業務策略的備份配置。如表1所示。

表1 備份級別進行業務策略的備份配置Tab.1 Backup configuration of business strategy at backup level

2.3.2 虛擬機備份方式

①快速備份(虛擬機備份)

虛擬機備份，是將虛擬機備份到其他存儲，作為容災的一種手段，當集群環境中主機或存儲故障時，可以從其他存儲中將虛擬機恢復出來繼續運行。在建設虛擬機過程中可選擇默認策略備份或自定義策略備份，對于重要的業務系統建議采用自定義備份策略，詳細備份策略需根據系統所需情況而定。

超融合平臺支持快速恢復功能，快速拉起整個過程在3 min內完成，15 min內性能爬升到正常使用的狀態，快速恢復業務運行，極大地保障了業務連續性，RTO≤15 min。通過快速拉起全新虛擬機，可以快速驗證備份的有效性，并保護此備份。自動備份策略規劃如下：

②數據實時備份(CDP)

通過傳統的備份手段，大部分只能做到小時級別的備份，即RPO為1 h，這意味著一旦發生數據存儲故障，將會丟失小時級的數據量，這對一些關鍵業務而言是不可接受的，這些業務系統需要實現更細粒度的RPO備份，為了滿足這種需求，就需要對業務系統進行CDP保護。超融合平臺提供了一種低成本、易部署的CDP解決方案，能夠很方便的對關鍵業務系統開啟CDP保護功能。

3 結語

就目前運行情況看來，基于超融合搭建的新虛擬化平臺，擁有較高的可靠性、實用性和可擴展性，為各個業務單位申請資源提供科學的依據，同時安全性上達到貴州省氣象局使用虛擬化技術以來前所未有的程度。在今后的運行過程中，依然存在各種問題，只有建立一套科學的管理體系，時刻強化對虛擬化云平臺的管理才能將該平臺發揮到極致，從而為氣象服務提供強有力的后盾。