全棧專屬云解決方案應(yīng)用研究

呂書林，趙軍生，崔云龍，高 平，任高強(qiáng)

（中國移動通信集團(tuán)設(shè)計(jì)院有限公司 河南分公司，河南 鄭州 450000）

0 引 言

在政策、經(jīng)濟(jì)等因素推動下，云計(jì)算技術(shù)發(fā)展速度越來越快，云原生技術(shù)和架構(gòu)不斷演進(jìn)和成熟，云服務(wù)給企業(yè)帶來的低成本、高穩(wěn)定性、強(qiáng)拓展性等優(yōu)勢越來越明顯，促進(jìn)了企業(yè)上云數(shù)量不斷提升?；谄髽I(yè)技術(shù)能力、成本費(fèi)用、安全隱私等多種因素考量，傳統(tǒng)IT與云并存，私有云、公有云、專屬云以及混合云部署模式并存會是短期內(nèi)云計(jì)算發(fā)展一大趨勢[1]。企業(yè)IT架構(gòu)如圖1所示。

圖1 企業(yè)IT架構(gòu)

私有云是為某一個客戶單獨(dú)建設(shè)的，客戶的計(jì)算設(shè)備、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備等都部署在自建機(jī)房或托管在運(yùn)營商的機(jī)房。私有云同互聯(lián)網(wǎng)物理隔離，具有很高的安全可靠性。但私有云定制化需求多，建設(shè)、維護(hù)成本高，同時在云原生技術(shù)等方面的發(fā)展演進(jìn)不及公有云。全棧專屬云一般與公有云保持統(tǒng)一架構(gòu)、運(yùn)維以及應(yīng)用程序接口（Application Program Interface，API）等，繼承了公有云大規(guī)模商用的成熟架構(gòu)、穩(wěn)定可靠、開放兼容，滿足企業(yè)核心業(yè)務(wù)上云對資源隔離、安全保護(hù)等的要求，為客戶提供與公有云一致的產(chǎn)品與服務(wù)體驗(yàn)[2]。全棧專屬云主要面向大中型企業(yè)，覆蓋交通、醫(yī)療、金融、能源等重點(diǎn)行業(yè)。云應(yīng)用場景對比如表1所示。

表1 云應(yīng)用場景對比

1 整體解決方案

1.1 系統(tǒng)架構(gòu)

全棧專屬云以云服務(wù)租賃方式為客戶提供資源隔離的云產(chǎn)品和統(tǒng)一運(yùn)維服務(wù)，滿足企業(yè)核心業(yè)務(wù)上云需求，系統(tǒng)架構(gòu)如圖2所示。

圖2 系統(tǒng)架構(gòu)

基礎(chǔ)資源主要包括計(jì)算、存儲、網(wǎng)絡(luò)、安全等軟硬件基礎(chǔ)資源，通過虛擬化技術(shù)實(shí)現(xiàn)資源的彈性調(diào)度，提高資源利用率。云服務(wù)主要包括為客戶業(yè)務(wù)提供的基礎(chǔ)設(shè)施即服務(wù)（Infrastructure as a Service，IaaS）、平臺即服務(wù)（Platform as a Service，PaaS）以及軟件即服務(wù)（Software-as-a-Service，SaaS），同時為客戶提供統(tǒng)一Console服務(wù)，客戶根據(jù)業(yè)務(wù)系統(tǒng)部署需求對全棧專屬云的計(jì)算、存儲、網(wǎng)絡(luò)等資源進(jìn)行合理分配和使用。同時，系統(tǒng)還提供標(biāo)準(zhǔn)API接口，供客戶業(yè)務(wù)系統(tǒng)二次開發(fā)使用[3]。全棧專屬云可共享公有云統(tǒng)一運(yùn)維體系，接入公有云統(tǒng)一運(yùn)維監(jiān)控平臺，為運(yùn)維工程師提供云資源的日常維護(hù)需求，統(tǒng)一運(yùn)維，降低成本。

1.2 網(wǎng)絡(luò)架構(gòu)

全棧專屬云在網(wǎng)絡(luò)架構(gòu)規(guī)劃上采用層次化、模塊化的方式，便于靈活復(fù)制、規(guī)模組網(wǎng)。整個網(wǎng)絡(luò)在架構(gòu)設(shè)計(jì)上分為出口層、互聯(lián)層、各業(yè)務(wù)POD網(wǎng)絡(luò)以及管理網(wǎng)[4]。全棧專屬云采用軟件定義網(wǎng)絡(luò)（Software Defined Network，SDN）組網(wǎng)，資源池網(wǎng)絡(luò)分為底層網(wǎng)絡(luò)（Underlay）和SDN重疊網(wǎng)網(wǎng)絡(luò)（Overlay）。SDN解決方案可提升網(wǎng)絡(luò)規(guī)模和網(wǎng)絡(luò)虛擬化能力，為云業(yè)務(wù)系統(tǒng)提供自動開通、配置和管理的網(wǎng)絡(luò)服務(wù)[5]。全棧專屬云邏輯架構(gòu)如圖3所示。

圖3 全棧專屬云邏輯架構(gòu)

全棧專屬云網(wǎng)絡(luò)架構(gòu)如圖4所示。

圖4 全棧專屬云網(wǎng)絡(luò)架構(gòu)

出口層負(fù)責(zé)與外部網(wǎng)絡(luò)的互聯(lián)，保證數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)高速訪問互聯(lián)網(wǎng)及IP承載網(wǎng)，并對數(shù)據(jù)中心內(nèi)網(wǎng)和外網(wǎng)的路由信息進(jìn)行轉(zhuǎn)換和維護(hù)[6]。IP承載網(wǎng)CE路由器南向與核心交換機(jī)互聯(lián)，北向與IP承載網(wǎng)互聯(lián)。CE路由器與IP承載網(wǎng)接入路由器設(shè)備進(jìn)行EBGP對接，設(shè)備橫聯(lián)通過開放式最短路徑優(yōu)先（Open Shortest Path First，OSPF）協(xié)議打通loopback地址建立IBGP鄰居保護(hù)鏈路[7]?；ヂ?lián)網(wǎng)接入路由器雙主部署，接入路由器與互聯(lián)網(wǎng)骨干路由器間運(yùn)行EBGP，設(shè)備橫聯(lián)運(yùn)行OSPF+IBGP，接入路由器與核心交換機(jī)運(yùn)行EBGP。接入路由器創(chuàng)建Internet VRF，用于承載Underlay業(yè)務(wù)公網(wǎng)需求流量?；ヂ?lián)網(wǎng)接入路由器旁掛抗DDoS流量檢測及清洗設(shè)備，其中與抗DDOS流量檢測采用netflow對接，將流量送至檢測設(shè)備，檢測設(shè)備和清洗設(shè)備再與管理中心聯(lián)動實(shí)現(xiàn)DDOS攻擊流量的引流。此外，與流量清洗設(shè)備采用IBGP方式進(jìn)行流量牽引，通過策略路由方式進(jìn)行流量回注[8]。

核心交換機(jī)承擔(dān)著全棧專屬云南北向和東西向流量的轉(zhuǎn)發(fā)。核心交換機(jī)和互聯(lián)網(wǎng)接入路由器運(yùn)行EBGP，規(guī)劃用于承載虛機(jī)公網(wǎng)流量的VPN路由轉(zhuǎn)發(fā)表（Virtual Routing Forwarding，VRF）[9]。核心交換機(jī)和內(nèi)網(wǎng)防火墻運(yùn)行IBGP，規(guī)劃VRF對租戶Overlay流量至內(nèi)網(wǎng)防火墻的安全防護(hù)，同時規(guī)劃VRF引導(dǎo)Overlay訪問Underlay的流量。核心交換機(jī)和SDN網(wǎng)關(guān)運(yùn)行EBGP，針對不同流量劃分不同VRF，引導(dǎo)Overlay流量訪問Underlay資源或公網(wǎng)。核心交換機(jī)旁配置入侵防御系統(tǒng)（Intrusion Prevention System，IPS），將流量鏡像至IPS進(jìn)行流量檢測和抓包分析。

管理域和各業(yè)務(wù)邏輯POD內(nèi)成對TOR（Top of Rack）交換機(jī)進(jìn)行M-LAG部署，TOR與核心交換機(jī)之間通過EBGP傳遞路由。TOR交換機(jī)對核心交換機(jī)宣告各類服務(wù)器的網(wǎng)關(guān)地址段，SDN組件設(shè)備宣告VTEP地址。管理域管理核心流量經(jīng)防火墻和核心交換機(jī)對接，引導(dǎo)管理流量和IP承載網(wǎng)互訪。

1.3 安全方案

全棧專屬云提供符合客戶要求的安全架構(gòu)，滿足用戶業(yè)務(wù)的安全可靠性及數(shù)據(jù)完整性等安全需求，向用戶提供全棧立體安全防御。全棧專屬云系統(tǒng)架構(gòu)中的防火墻、IPS、抗DDOS等安全設(shè)備和系統(tǒng)從設(shè)備核心部件到雙機(jī)部署方式，均采用高可靠性的設(shè)計(jì)方案，以滿足云業(yè)務(wù)的安全可靠運(yùn)行。全棧專屬云向用戶提供一個全方位立體的安全運(yùn)行環(huán)境，提供系統(tǒng)安全、網(wǎng)絡(luò)安全、業(yè)務(wù)安全、業(yè)務(wù)數(shù)據(jù)安全以及內(nèi)容安全5個方面的堅(jiān)實(shí)保障[10]。為滿足不同應(yīng)用對網(wǎng)絡(luò)接入的不同安全隔離要求，根據(jù)業(yè)務(wù)系統(tǒng)的不同安全等級對專屬云的資源劃分安全域，包括互聯(lián)網(wǎng)接入域、核心交換域、業(yè)務(wù)數(shù)據(jù)域以及管理維護(hù)域等。

2 典型應(yīng)用場景

全棧專屬云可以為不同規(guī)模、不同行業(yè)的用戶提供靈活、可擴(kuò)展的行業(yè)解決方案，能夠滿足金融、醫(yī)療等核心業(yè)務(wù)上云時對數(shù)據(jù)隔離部署等的安全需求，并向客戶提供統(tǒng)一的運(yùn)維管理功能。全棧專屬云行業(yè)需求及應(yīng)用場景如表2所示。

表2 全棧專屬云行業(yè)需求及應(yīng)用場景

3 結(jié) 論

綜上所述，對運(yùn)營商全棧專屬云的整體解決方案進(jìn)行了研究，包括系統(tǒng)架構(gòu)、網(wǎng)絡(luò)架構(gòu)及安全方案等，同時分析了全棧專屬云的優(yōu)勢和應(yīng)用場景，對有安全合規(guī)上云訴求的大中型企業(yè)提供相應(yīng)的方案參考，具有一定現(xiàn)實(shí)意義。