基于超融合架構的智慧校園雙活數據中心建設研究*

畢紅棋 陳露

（1.豫章師范學院現代教育技術中心；2.豫章師范學院繼續教育中心）

一、智慧校園建設現狀

（一）靈活的資源調度帶來了隱蔽的安全風險

隨著高校教育信息化的不斷發展，大部分業務已經從傳統的物理數據中心架構遷移到超融合平臺上，極大提升了高校教育信息化業務的上線速度，提升了高校教育信息化業務的穩定性、加快了響應速度，同時顯現了潛在的網絡安全風險。超融合技術打破了主機之間的物理邊界[1]，帶來了靈活的資源調度，虛擬業務主機之間的數據交互直接在物理主機內完成，不通過前端安全防御設備，導致原有安全防護手段失效，無法進行有效的安全隔離。

（二）業務安全邊界有待加強

校園網是校園極為重要的基礎建設，是教育信息化的體現。校園網絡安全已經上升到意識形態的高度，嚴重的網絡安全可能會造成資料泄露、信息傳遞中斷，因此，隨著網絡信息安全形勢的變化，有待加強業務系統的安全邊界的防護[2]。

（三）不間斷業務安全監測的困難

隨著高校教育信息化的發展，軟硬件的投入不斷增加，數據中心的規模不斷擴大，大幅提升了信息化工作者的工作量。數據中心的服務器、網絡設備、安全設備、業務系統的數量不斷增加，給現有的維護人員帶來了極大的壓力。高校信息中心普遍存在正式編制員工少，聘用員工待遇低，信息化總體工作人員數量低的現象。無法依靠高校自身的力量實現對眾多業務系統進行不間斷的安全監測，需要找到新的處理方法應對具有針對性、潛伏性、持續性的安全攻擊，從而整體提升信息的安全性[3]。

（四）教育信息化發展趨勢

隨著大數據的出現，物聯網的應用，高校教育信息化正在向數字化轉型，信息化業務需要高性能，高擴展性，高穩定性的IT基礎設施。數據中心和業務系統相對封閉，擴展性較差，新增業務系統的同時需要采購硬件服務器；傳統外置存儲的擴容成本高、技術難度大，難以實現數據中心資源彈性擴容，因此，云數據中心建設已經成為教育信息化的發展趨勢[4]。

二、基于超融合架構的需求分析

（一）滿足信息系統等級保護測評三級系統合規要求

教育信息化的應用要求逐步提高，網絡覆蓋面越來越大，有效利用計算機網絡技術可有效提高工作效率。信息技術帶來便利的同時，也帶來了各種各樣的網絡安全問題[5]。由于計算機網絡所具有多樣性、開放性、互連性等的特點，造成網絡易受攻擊。有來自黑客，也有其他諸如計算機病毒等形式的攻擊，具體的攻擊是多方面的。

（二）云數據中心建設的難點及必要性

1.基礎架構存在的問題

早期數據中心基礎架構的擴展性能差，無法實現快速調整資源，新增業務系統時需要采購硬件服務器；隨著用戶數量逐年增加，對外業務的信息系統在性能瓶頸，導致可靠性降低；傳統外置存儲的擴容成本高、技術難度大，較難實現數據中心資源彈性擴容[6]。

2.運維與管理的難度系數高

早期應用監控技術應用不廣泛，因此早期數據中心建設中沒有安全監控平臺，無法實現全面的監控管理，運維與管理過程中很難精準定位故障點。

3.云數據中心建設的必要性

云計算（Cloud Computing），是一種近年出現的基于網絡的計算模式，通過共享特定的軟件、硬件的資源、信息，根據需要供給其他設備使用。基于通用的計算機網絡，通過瀏覽器或Web服務訪問云服務器上對應軟件、數據。云數據中心有較強的抗風險能力，能提高計算速度，更大程度提升應用服務能力。

三、建設方案

（一）網絡拓撲

基于超融合構建的數據中心，硬件部分包括服務器和網絡交換機，形成統一資源池。超融合軟件、所有的業務虛擬機運行資源池中，存儲虛擬化軟件統一管理服務器的所有本地磁盤，構建高性能高可靠的存儲資源池[7]。超融合技術不僅能為業務提供計算和存儲資源，也能實現不同業務的網絡區域隔離、集成網絡安全模塊實現安全管控，還可以實現對VMware集群的納管。

（二）部署規劃

1.計算資源池

計算資源平臺作為介于硬件和操作系統之間的軟件層，可以采用裸金屬架構的X86虛擬化技術，實現對服務器物理資源的抽象，將服務器的處理器、內存儲器、輸入輸出等物理設備轉變成可動態管理的邏輯資源。

（1）高可用：為了提升服務器虛擬化系統的高可用性，計算資源池從如下多維度提供了高可用技術，保障業務的穩定性，其中包括故障遷移（HA）、熱遷移（Motion）、跨存儲熱遷移。

（2）極速備份：超融合計算資源平臺，將備份系統融合在整體VMP平臺，實現簡單易用的備份系統，由客戶設置自動備份計劃，系統管理根據這些設置定期進行自動備份處理，以增強系統數據的安全性，同時增強自動處理事務能力，可以在不處理日常業務的時間里進行此項工作。

（3）高效P2V遷移：通過Convert實現快速的物理機遷移虛擬機，跨平臺的虛擬機遷移虛擬機。而整個虛擬化遷移過程不超過5分鐘。

（4）高安全性虛擬化平臺保障，通過高強度加密的虛擬化文件系統，保證數據安全。通過添加每用戶的密鑰實現加密功能提高安全性。

2.網絡資源池

超融合架構網絡資源池幫助數據中心操作員將敏捷性和經濟性提高若干數量級。

（1）簡化網絡結構，節省硬件網絡投資。（2）簡化網絡配置，實現業務自動化調整。（3）高可靠性與高性能并存。

3.存儲資源池

存儲資源池可以將多個存儲設備進行集中管理，通過軟件實現動態劃分，當設備出現異常時，數據會自動遷移。

（1）橫向、縱向線性按需擴展。（2）數據保護和高可用性。（3）高性能SSD緩存技術。

4.分布式存儲

（1）備份存儲。分布式存儲數據保護系統可以提供多種級別的數據保護。對于一般的業務系統，可以采用定時備份的方式進行保護，對于RPO和RTO要求比較高的核心業務系統;為了保證其業務連續性，可以采用是基于數據塊的I/O級別的CDP持續數據保護[8]。

（2）網盤功能。分布式存儲專有文檔云解決方案為可以為全校師生提供便捷的云盤服務，滿足移動教學、論文撰寫及存檔、實驗創新等多個教學科研場景。“交鑰匙”般的專有服務，不再需要投入專門的維護團隊來管理文檔云的軟硬件維護，大幅降低了學校信息中心的工作負擔。

（三）不間斷電源的作用

UPS(Uninterruptible Power System)，又稱為不間斷電源，廣泛應用于數據中心機房。不間斷電源主要有兩種功能：穩壓、提供不間斷電源。當電路中電壓輸入正常時，UPS經過設備逆變輸出，能夠提供穩定性高的電壓輸出。當市電出現斷路時，UPS的電池提供電源，能夠保護設備，不會在短時間內停止設備。對于虛擬化設備組成的云數據中心的一個致命弱點是，如果沒有UPS等等設備防護，在市電斷開后會造成虛擬平臺崩潰、數據丟失等，比獨立服務器產生異常的概率高很多。因此，建設較早、UPS性能較弱的企事業單位在建設云數據中心時，一定把UPS納入規劃。

四、結語

通過全網安全的等保合規建設以及數據中心的云化建設，可為學校帶來如下功能價值：

滿足法律規范要求，滿足《教育信息化工作要點》《教育信息化“十三五”規劃》。加強防御能力、對檢測和及時響應能力，滿足《網絡安全法》、等保2.0的相關安全建設要求。

提升高校安全可視能力，引入人工智能技術，對高校全網的安全進行可視化，實現看得見風險，看得見資產，看得見訪問關系，看得見威脅。對校園復雜多樣的業務系統核心資產進行自動識別和梳理，如應用軟件、用戶、設備、內容等。

簡化高校安全事件分析過程、響應過程，通過云端分析、人工智能等手段，持續增強對校內潛伏威脅檢測能力，包括弱密碼、系統威脅等，對未知新型威脅的檢測能力，并給出解決方法，通過微信、云端預警提升響應能力，形成安全閉環。