基于超融合技術(shù)的學(xué)校數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計(jì)

楊 名

(廣西工商職業(yè)技術(shù)學(xué)院,廣西 南寧 530008)

0 引言

目前建設(shè)數(shù)據(jù)中心的兩類技術(shù)架構(gòu),包括傳統(tǒng)數(shù)據(jù)中心架構(gòu)、超融合數(shù)據(jù)中心架構(gòu),傳統(tǒng)技術(shù)架構(gòu)作為建設(shè)數(shù)據(jù)中心的主流方案,利用光纖交換網(wǎng)連接到容量專業(yè)存儲(chǔ)設(shè)備與高性能服務(wù)器,具備了分離計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)的特點(diǎn)[1]。 隨著業(yè)務(wù)數(shù)據(jù)量的逐漸增加,傳統(tǒng)技術(shù)架構(gòu)在實(shí)際應(yīng)用中易出現(xiàn)存儲(chǔ)性能瓶頸,再加上此種架構(gòu)初期投入較大,復(fù)雜的設(shè)備連接、部署調(diào)試,后期拓展與管理并不便利,難度較大[2]。 超融合技術(shù)是基于超融合架構(gòu),在一臺(tái)服務(wù)器中集成存儲(chǔ)、網(wǎng)絡(luò)、計(jì)算,聚合多臺(tái)服務(wù)器后形成群集統(tǒng)一運(yùn)維管理。 超融合架構(gòu)技術(shù)與傳統(tǒng)數(shù)據(jù)中心技術(shù)相比,能夠在一個(gè)單元節(jié)點(diǎn)內(nèi)融合計(jì)算、存儲(chǔ)等資源,無(wú)需傳統(tǒng)架構(gòu)利用FC 鏈路、SAN 交換機(jī)存取,有效所建存取路徑提高讀寫性能[3]。 并且超融合技術(shù)分布式架構(gòu),避免發(fā)生數(shù)據(jù)丟失問題,多單元節(jié)點(diǎn)形成集群有效消除單點(diǎn)故障,在建設(shè)初期成本較低,可以方便快捷地部署管理,在這些獨(dú)特優(yōu)勢(shì)下本文提出基于超融合技術(shù)的學(xué)校數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計(jì)思路,旨在能夠提高學(xué)校信息化教學(xué)管理水平。

1 學(xué)校數(shù)據(jù)中心建設(shè)需求及總體思路

在建設(shè)學(xué)校數(shù)據(jù)中心時(shí),一般對(duì)計(jì)算性能、數(shù)據(jù)容量技術(shù)標(biāo)準(zhǔn)要求不高,再加上初期建設(shè)啟動(dòng)資金成本有限,那么為了盡可能滿足學(xué)校的近期信息化技術(shù)需求,總體設(shè)計(jì)思路就是一方面要充分利用有限資金成本,優(yōu)化資源配置中,另一方面要選擇具備高效拓展性的技術(shù)架構(gòu),確保充足拓展接口,滿足未來(lái)業(yè)務(wù)成本增加對(duì)軟硬件資源的增長(zhǎng)需求[4]。

不難發(fā)現(xiàn)為了達(dá)到上述學(xué)校數(shù)據(jù)中心建設(shè)需求,以某學(xué)校為例在建設(shè)一期投入60 萬(wàn)元資金預(yù)算下,基于超融合技術(shù)的學(xué)校數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計(jì)。 目前該校已有20 余個(gè)應(yīng)用系統(tǒng),再加上建設(shè)智慧校園中所包含的一卡通、學(xué)工等應(yīng)用系統(tǒng),預(yù)計(jì)在3 年內(nèi)建設(shè)業(yè)務(wù)系統(tǒng)可以滿足50 個(gè)以內(nèi)的虛擬機(jī)運(yùn)行要求。 一個(gè)虛擬機(jī)的軟硬件配制性能參數(shù)如下:1 個(gè)CPU 內(nèi)核總數(shù)≥50、8 G 內(nèi)存總數(shù)≥400 G、1 T 硬盤總配制存儲(chǔ)容量≥90 T;數(shù)據(jù)中心后續(xù)可拓展核心交換網(wǎng)容量≥2.56 Tbps,包轉(zhuǎn)發(fā)率≥720 Mpps;分布式存儲(chǔ)、彈性擴(kuò)容、可視化運(yùn)維,具備均衡負(fù)載、網(wǎng)絡(luò)安全虛擬化功能。

2 超融合數(shù)據(jù)中心建設(shè)方案

2.1 服務(wù)器虛擬化及桌面虛擬化

對(duì)超融合技術(shù)理解之前,需要對(duì)虛擬化機(jī)構(gòu)簡(jiǎn)單理解,虛擬化技術(shù)就是經(jīng)特定軟件技術(shù),虛擬一臺(tái)計(jì)算機(jī)為若干個(gè)邏輯計(jì)算機(jī),可以成功運(yùn)行若干個(gè)操作系統(tǒng),各系統(tǒng)獨(dú)立運(yùn)行互不干擾,滿足了IT 資源靈活化動(dòng)態(tài)調(diào)配、跨域互通共享,極大地降低系統(tǒng)成本提高運(yùn)行效率。 服務(wù)器虛擬化可以分割單個(gè)物理服務(wù)器為多個(gè)小型虛擬服務(wù)器,均以一臺(tái)實(shí)體機(jī)運(yùn)行多個(gè)虛擬服務(wù)器,如支持文件共享、數(shù)據(jù)庫(kù)、媒體交付、圖形虛擬化[5]。

桌面虛擬化作為虛擬化計(jì)算機(jī)終端系統(tǒng),能夠在任何時(shí)間、地點(diǎn)滿足用戶遠(yuǎn)程訪問桌面系統(tǒng),目前桌面虛擬化主要包括兩大陣營(yíng),其一為集中計(jì)算管理;其二為分布式計(jì)算集中管理。 用戶能夠以自身差異化需求選擇不同模式,第一種集中計(jì)算管理可以突破地域限制,實(shí)現(xiàn)桌面漫游管理;第二種分布式計(jì)算集中管理模式,能夠集中簡(jiǎn)化、部署,充分利用終端設(shè)備硬件資源[6]。

2.2 超融合數(shù)據(jù)中心建設(shè)標(biāo)準(zhǔn)及要求

超融合產(chǎn)品是基于分布式、大數(shù)據(jù)、云計(jì)算等核心技術(shù)支承,借鑒國(guó)內(nèi)外云安全、國(guó)家級(jí)保護(hù)標(biāo)準(zhǔn),與共性與特性超融合數(shù)據(jù)中心安全建設(shè)標(biāo)準(zhǔn)體系如下。

(1)《平臺(tái)與應(yīng)用安全》參照CAS 云計(jì)算安全技術(shù),著重對(duì)Web 漏洞、平臺(tái)API、資源授權(quán)管理平臺(tái)的安全防護(hù);

(2)《通信網(wǎng)絡(luò)安全》《物理環(huán)境安全》作為超融合數(shù)據(jù)中心信息安全優(yōu)化拓展標(biāo)準(zhǔn),著重對(duì)多因子身份鑒別準(zhǔn)入,訪問授權(quán)以及用戶操作應(yīng)用全程加密防護(hù);

(3)《數(shù)據(jù)安全》《制度執(zhí)行及人員管理安全》恢復(fù)存儲(chǔ)資源高可用性,秒級(jí)熱備,重點(diǎn)保障數(shù)據(jù)根據(jù)APIT持續(xù)任意點(diǎn)可回溯,數(shù)據(jù)保密與高可用性,快速備份恢復(fù);

(4)依據(jù)超融合核心數(shù)據(jù)保密性,根據(jù)管理特性安全需求及隱患,參照國(guó)際慣例安全模型PDDR 加以拓寬,提出P2DR2M 模型在安全策略、防護(hù)技術(shù)、災(zāi)難恢復(fù)管理及入侵檢測(cè),從多維度提出解決方案,構(gòu)建超融合場(chǎng)景打造與企業(yè)共性相符的安全、優(yōu)秀超融合產(chǎn)品。

3 超融合數(shù)據(jù)中心網(wǎng)絡(luò)安全技術(shù)架構(gòu)

3.1 資源池設(shè)計(jì)實(shí)現(xiàn)

圖1 為本次設(shè)計(jì)超融合技術(shù)數(shù)據(jù)中心網(wǎng)絡(luò)安全架構(gòu)圖,包括基礎(chǔ)架構(gòu)層、數(shù)據(jù)中心業(yè)務(wù)層、VDC 與VPC 層。

圖1 超融合平臺(tái)基礎(chǔ)架構(gòu)

(1)超融合基礎(chǔ)架構(gòu)層:經(jīng)萬(wàn)兆數(shù)據(jù)中心交換機(jī)與超融合設(shè)備相連接,提供萬(wàn)兆數(shù)據(jù)交換接口,滿足海量數(shù)據(jù)交換。 超融合設(shè)備提供多節(jié)點(diǎn),提供等同硬件配置,提供雙活、備份及冗余支持。 在標(biāo)配情況下提供48T 存儲(chǔ)資源,運(yùn)用VMware 對(duì)資源統(tǒng)一調(diào)配,這樣超融合設(shè)備能夠“多虛一、一虛多”運(yùn)行模式下,在統(tǒng)一管理中實(shí)現(xiàn)對(duì)全部資源池的管理分配。

(2)數(shù)據(jù)中心業(yè)務(wù)層:經(jīng)VMware 統(tǒng)一資源管理各功能模塊,構(gòu)建高拓展性、靈活高效的數(shù)據(jù)中心,很大程度降低了數(shù)據(jù)資源調(diào)配,簡(jiǎn)化了數(shù)據(jù)中心的業(yè)務(wù)管理操作難易程度。

(3)VDC 及VPC 層:VDC 作為虛擬機(jī)數(shù)據(jù)中心,作為IaaS 資源邏輯抽象,用于可用CPU、存儲(chǔ)、內(nèi)存資源、網(wǎng)絡(luò)管理,具備了自動(dòng)化、虛擬化,分離資源自主分配管理,虛擬私有云VPC 能夠創(chuàng)建VDC 資源,提供網(wǎng)絡(luò)安全防護(hù)與多條數(shù)據(jù)網(wǎng)絡(luò),突破完整IP 地址限制,具備安全組、負(fù)載均衡、彈性、VPN 等高性能。

表1 為本次超融合數(shù)據(jù)中心主要設(shè)備配置參數(shù),包括3 臺(tái)超融合主機(jī)、2 臺(tái)萬(wàn)兆數(shù)據(jù)中心交換機(jī)、1 套超融合軟件。

表1 超融合數(shù)據(jù)中心相關(guān)配置參數(shù)

3.2 拓?fù)浣Y(jié)構(gòu)

圖2 為虛擬化與超融合架構(gòu)參數(shù)對(duì)比,在超融合分布式架構(gòu)新平臺(tái),連接原本UCS 服務(wù)器及SAN 存儲(chǔ),成功融合了原本設(shè)備及新架構(gòu),保證了原本設(shè)備投資的物盡其用。

圖2 虛擬化與超融合架構(gòu)參數(shù)對(duì)比

經(jīng)虛擬交換機(jī)與數(shù)據(jù)中心虛擬服務(wù)實(shí)現(xiàn)的復(fù)制、遷移功能,能夠?qū)崟r(shí)無(wú)中斷的遷移,對(duì)相關(guān)業(yè)務(wù)及服務(wù)不中斷基礎(chǔ)上,實(shí)現(xiàn)各物理服務(wù)器的數(shù)據(jù)遷移。 可以支持獨(dú)立測(cè)試區(qū)域恢復(fù)測(cè)試,在對(duì)服務(wù)運(yùn)行不影響基礎(chǔ)上進(jìn)行系統(tǒng)恢復(fù)測(cè)試,對(duì)正常系統(tǒng)運(yùn)行造成影響。建立系統(tǒng)容錯(cuò)機(jī)制,對(duì)于虛擬機(jī)服務(wù)器故障問題,虛擬機(jī)可以自動(dòng)觸發(fā)故障切換計(jì)劃,實(shí)現(xiàn)虛擬機(jī)硬件資源調(diào)配,提高系統(tǒng)綜合性能。 結(jié)合上述分析超融合技術(shù)對(duì)比傳統(tǒng)虛擬架構(gòu),具備更強(qiáng)的系統(tǒng)穩(wěn)定性、存儲(chǔ)利用性、提高性能降低能耗,增強(qiáng)了系統(tǒng)的功能拓展性。

4 超融合數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計(jì)應(yīng)用

通過(guò)運(yùn)用超融合技術(shù)虛擬化特點(diǎn),利用服務(wù)形式為數(shù)據(jù)中心提供云環(huán)境,建設(shè)與數(shù)據(jù)中心相符的私有云平臺(tái),這樣能夠滿足日益增長(zhǎng)的軟硬件建設(shè)要求。此項(xiàng)目能夠滿足240 個(gè)Visual CPU,存儲(chǔ)容量144 TB,內(nèi)存1.5 TB,直至部署完成所有超融合數(shù)據(jù)中心網(wǎng)絡(luò)安全中心軟硬件環(huán)境,之后即可開始進(jìn)行虛擬機(jī)配置。經(jīng)系統(tǒng)管理平臺(tái)優(yōu)化所有軟硬件資源,包括硬盤、CPU、USB 接口、內(nèi)存等,滿足系統(tǒng)軟硬件需求,對(duì)動(dòng)態(tài)化分配做出及時(shí)調(diào)整,這能夠極大促進(jìn)提升信息系統(tǒng)建設(shè)效率。 為了保證超融合數(shù)據(jù)中心網(wǎng)絡(luò)安全性,設(shè)計(jì)了資源冗余處理功能,經(jīng)RAID 自動(dòng)化備份相關(guān)數(shù)據(jù),能夠一旦在損壞用戶數(shù)據(jù)后,充分運(yùn)用備份數(shù)據(jù)恢復(fù)受損數(shù)據(jù),確保用戶數(shù)據(jù)安全性。

依據(jù)超融合數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計(jì)應(yīng)用所需,開通CRP 數(shù)字化管理系統(tǒng)、學(xué)院門戶網(wǎng)站群、DASCOM教學(xué)管理平臺(tái),高校數(shù)字化資源庫(kù)平臺(tái),OA 系統(tǒng),各院教學(xué)管理共計(jì)16 個(gè)虛擬機(jī),經(jīng)壓力測(cè)試發(fā)現(xiàn)能夠達(dá)到10%的系統(tǒng)CPU 利用率,達(dá)到30%的存儲(chǔ)空間利用率[7-9]。 通過(guò)建設(shè)超融合平臺(tái)達(dá)到30%的存儲(chǔ)空間利用率。 經(jīng)建設(shè)超融合平臺(tái),可以奠定“智慧工程”基礎(chǔ),助推學(xué)員整合應(yīng)用系統(tǒng)、業(yè)務(wù)平臺(tái)及IP 運(yùn)維平臺(tái),通過(guò)網(wǎng)上辦事大廳跨越至一體化智能管理服務(wù)平臺(tái)。 目前已經(jīng)基本整合了該校的所有業(yè)務(wù)系統(tǒng),用戶能夠經(jīng)統(tǒng)一身份認(rèn)證即可無(wú)感知認(rèn)證系統(tǒng),對(duì)師生的數(shù)據(jù)中心應(yīng)用提供極大便利,對(duì)所有數(shù)據(jù)接口嚴(yán)格規(guī)范,方便對(duì)接未來(lái)新增業(yè)務(wù)擴(kuò)容其他系統(tǒng)并滿足發(fā)展所需。 通過(guò)為期1 年的超融合數(shù)據(jù)中心系統(tǒng)測(cè)試,系統(tǒng)運(yùn)行均穩(wěn)定,無(wú)論用戶體驗(yàn)及數(shù)據(jù)安全性,滿足了數(shù)據(jù)中心建設(shè)需求。

5 結(jié)語(yǔ)

本文提出基于超融合技術(shù)數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計(jì)思路,在數(shù)據(jù)中心系統(tǒng)基礎(chǔ)架構(gòu),融合傳統(tǒng)存儲(chǔ)、網(wǎng)絡(luò)構(gòu)件,保證云平臺(tái)的高效運(yùn)行有助于橫向系統(tǒng)擴(kuò)展,順應(yīng)行業(yè)發(fā)展。 主流融合技術(shù)可以劃分網(wǎng)絡(luò)為集群管理、帶外管理、業(yè)務(wù)網(wǎng)、存儲(chǔ)網(wǎng)及接口網(wǎng),與超融合技術(shù)特點(diǎn)相結(jié)合,綜合考慮各類風(fēng)險(xiǎn)問題提出網(wǎng)絡(luò)設(shè)計(jì)思路,強(qiáng)化網(wǎng)絡(luò)安全設(shè)計(jì)服務(wù)各類場(chǎng)景。