基于超融合技術(shù)的學(xué)校數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計

楊 名

(廣西工商職業(yè)技術(shù)學(xué)院,廣西 南寧 530008)

0 引言

目前建設(shè)數(shù)據(jù)中心的兩類技術(shù)架構(gòu),包括傳統(tǒng)數(shù)據(jù)中心架構(gòu)、超融合數(shù)據(jù)中心架構(gòu),傳統(tǒng)技術(shù)架構(gòu)作為建設(shè)數(shù)據(jù)中心的主流方案,利用光纖交換網(wǎng)連接到容量專業(yè)存儲設(shè)備與高性能服務(wù)器,具備了分離計算、存儲、網(wǎng)絡(luò)的特點[1]。 隨著業(yè)務(wù)數(shù)據(jù)量的逐漸增加,傳統(tǒng)技術(shù)架構(gòu)在實際應(yīng)用中易出現(xiàn)存儲性能瓶頸,再加上此種架構(gòu)初期投入較大,復(fù)雜的設(shè)備連接、部署調(diào)試,后期拓展與管理并不便利,難度較大[2]。 超融合技術(shù)是基于超融合架構(gòu),在一臺服務(wù)器中集成存儲、網(wǎng)絡(luò)、計算,聚合多臺服務(wù)器后形成群集統(tǒng)一運維管理。 超融合架構(gòu)技術(shù)與傳統(tǒng)數(shù)據(jù)中心技術(shù)相比,能夠在一個單元節(jié)點內(nèi)融合計算、存儲等資源,無需傳統(tǒng)架構(gòu)利用FC 鏈路、SAN 交換機存取,有效所建存取路徑提高讀寫性能[3]。 并且超融合技術(shù)分布式架構(gòu),避免發(fā)生數(shù)據(jù)丟失問題,多單元節(jié)點形成集群有效消除單點故障,在建設(shè)初期成本較低,可以方便快捷地部署管理,在這些獨特優(yōu)勢下本文提出基于超融合技術(shù)的學(xué)校數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計思路,旨在能夠提高學(xué)校信息化教學(xué)管理水平。

1 學(xué)校數(shù)據(jù)中心建設(shè)需求及總體思路

在建設(shè)學(xué)校數(shù)據(jù)中心時,一般對計算性能、數(shù)據(jù)容量技術(shù)標(biāo)準(zhǔn)要求不高,再加上初期建設(shè)啟動資金成本有限,那么為了盡可能滿足學(xué)校的近期信息化技術(shù)需求,總體設(shè)計思路就是一方面要充分利用有限資金成本,優(yōu)化資源配置中,另一方面要選擇具備高效拓展性的技術(shù)架構(gòu),確保充足拓展接口,滿足未來業(yè)務(wù)成本增加對軟硬件資源的增長需求[4]。

不難發(fā)現(xiàn)為了達到上述學(xué)校數(shù)據(jù)中心建設(shè)需求,以某學(xué)校為例在建設(shè)一期投入60 萬元資金預(yù)算下,基于超融合技術(shù)的學(xué)校數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計。 目前該校已有20 余個應(yīng)用系統(tǒng),再加上建設(shè)智慧校園中所包含的一卡通、學(xué)工等應(yīng)用系統(tǒng),預(yù)計在3 年內(nèi)建設(shè)業(yè)務(wù)系統(tǒng)可以滿足50 個以內(nèi)的虛擬機運行要求。 一個虛擬機的軟硬件配制性能參數(shù)如下:1 個CPU 內(nèi)核總數(shù)≥50、8 G 內(nèi)存總數(shù)≥400 G、1 T 硬盤總配制存儲容量≥90 T;數(shù)據(jù)中心后續(xù)可拓展核心交換網(wǎng)容量≥2.56 Tbps,包轉(zhuǎn)發(fā)率≥720 Mpps;分布式存儲、彈性擴容、可視化運維,具備均衡負(fù)載、網(wǎng)絡(luò)安全虛擬化功能。

2 超融合數(shù)據(jù)中心建設(shè)方案

2.1 服務(wù)器虛擬化及桌面虛擬化

對超融合技術(shù)理解之前,需要對虛擬化機構(gòu)簡單理解,虛擬化技術(shù)就是經(jīng)特定軟件技術(shù),虛擬一臺計算機為若干個邏輯計算機,可以成功運行若干個操作系統(tǒng),各系統(tǒng)獨立運行互不干擾,滿足了IT 資源靈活化動態(tài)調(diào)配、跨域互通共享,極大地降低系統(tǒng)成本提高運行效率。 服務(wù)器虛擬化可以分割單個物理服務(wù)器為多個小型虛擬服務(wù)器,均以一臺實體機運行多個虛擬服務(wù)器,如支持文件共享、數(shù)據(jù)庫、媒體交付、圖形虛擬化[5]。

桌面虛擬化作為虛擬化計算機終端系統(tǒng),能夠在任何時間、地點滿足用戶遠程訪問桌面系統(tǒng),目前桌面虛擬化主要包括兩大陣營,其一為集中計算管理;其二為分布式計算集中管理。 用戶能夠以自身差異化需求選擇不同模式,第一種集中計算管理可以突破地域限制,實現(xiàn)桌面漫游管理;第二種分布式計算集中管理模式,能夠集中簡化、部署,充分利用終端設(shè)備硬件資源[6]。

2.2 超融合數(shù)據(jù)中心建設(shè)標(biāo)準(zhǔn)及要求

超融合產(chǎn)品是基于分布式、大數(shù)據(jù)、云計算等核心技術(shù)支承,借鑒國內(nèi)外云安全、國家級保護標(biāo)準(zhǔn),與共性與特性超融合數(shù)據(jù)中心安全建設(shè)標(biāo)準(zhǔn)體系如下。

(1)《平臺與應(yīng)用安全》參照CAS 云計算安全技術(shù),著重對Web 漏洞、平臺API、資源授權(quán)管理平臺的安全防護;

(2)《通信網(wǎng)絡(luò)安全》《物理環(huán)境安全》作為超融合數(shù)據(jù)中心信息安全優(yōu)化拓展標(biāo)準(zhǔn),著重對多因子身份鑒別準(zhǔn)入,訪問授權(quán)以及用戶操作應(yīng)用全程加密防護;

(3)《數(shù)據(jù)安全》《制度執(zhí)行及人員管理安全》恢復(fù)存儲資源高可用性,秒級熱備,重點保障數(shù)據(jù)根據(jù)APIT持續(xù)任意點可回溯,數(shù)據(jù)保密與高可用性,快速備份恢復(fù);

(4)依據(jù)超融合核心數(shù)據(jù)保密性,根據(jù)管理特性安全需求及隱患,參照國際慣例安全模型PDDR 加以拓寬,提出P2DR2M 模型在安全策略、防護技術(shù)、災(zāi)難恢復(fù)管理及入侵檢測,從多維度提出解決方案,構(gòu)建超融合場景打造與企業(yè)共性相符的安全、優(yōu)秀超融合產(chǎn)品。

3 超融合數(shù)據(jù)中心網(wǎng)絡(luò)安全技術(shù)架構(gòu)

3.1 資源池設(shè)計實現(xiàn)

圖1 為本次設(shè)計超融合技術(shù)數(shù)據(jù)中心網(wǎng)絡(luò)安全架構(gòu)圖,包括基礎(chǔ)架構(gòu)層、數(shù)據(jù)中心業(yè)務(wù)層、VDC 與VPC 層。

圖1 超融合平臺基礎(chǔ)架構(gòu)

(1)超融合基礎(chǔ)架構(gòu)層:經(jīng)萬兆數(shù)據(jù)中心交換機與超融合設(shè)備相連接,提供萬兆數(shù)據(jù)交換接口,滿足海量數(shù)據(jù)交換。 超融合設(shè)備提供多節(jié)點,提供等同硬件配置,提供雙活、備份及冗余支持。 在標(biāo)配情況下提供48T 存儲資源,運用VMware 對資源統(tǒng)一調(diào)配,這樣超融合設(shè)備能夠“多虛一、一虛多”運行模式下,在統(tǒng)一管理中實現(xiàn)對全部資源池的管理分配。

(2)數(shù)據(jù)中心業(yè)務(wù)層:經(jīng)VMware 統(tǒng)一資源管理各功能模塊,構(gòu)建高拓展性、靈活高效的數(shù)據(jù)中心,很大程度降低了數(shù)據(jù)資源調(diào)配,簡化了數(shù)據(jù)中心的業(yè)務(wù)管理操作難易程度。

(3)VDC 及VPC 層:VDC 作為虛擬機數(shù)據(jù)中心,作為IaaS 資源邏輯抽象,用于可用CPU、存儲、內(nèi)存資源、網(wǎng)絡(luò)管理,具備了自動化、虛擬化,分離資源自主分配管理,虛擬私有云VPC 能夠創(chuàng)建VDC 資源,提供網(wǎng)絡(luò)安全防護與多條數(shù)據(jù)網(wǎng)絡(luò),突破完整IP 地址限制,具備安全組、負(fù)載均衡、彈性、VPN 等高性能。

表1 為本次超融合數(shù)據(jù)中心主要設(shè)備配置參數(shù),包括3 臺超融合主機、2 臺萬兆數(shù)據(jù)中心交換機、1 套超融合軟件。

表1 超融合數(shù)據(jù)中心相關(guān)配置參數(shù)

3.2 拓?fù)浣Y(jié)構(gòu)

圖2 為虛擬化與超融合架構(gòu)參數(shù)對比,在超融合分布式架構(gòu)新平臺,連接原本UCS 服務(wù)器及SAN 存儲,成功融合了原本設(shè)備及新架構(gòu),保證了原本設(shè)備投資的物盡其用。

圖2 虛擬化與超融合架構(gòu)參數(shù)對比

經(jīng)虛擬交換機與數(shù)據(jù)中心虛擬服務(wù)實現(xiàn)的復(fù)制、遷移功能,能夠?qū)崟r無中斷的遷移,對相關(guān)業(yè)務(wù)及服務(wù)不中斷基礎(chǔ)上,實現(xiàn)各物理服務(wù)器的數(shù)據(jù)遷移。 可以支持獨立測試區(qū)域恢復(fù)測試,在對服務(wù)運行不影響基礎(chǔ)上進行系統(tǒng)恢復(fù)測試,對正常系統(tǒng)運行造成影響。建立系統(tǒng)容錯機制,對于虛擬機服務(wù)器故障問題,虛擬機可以自動觸發(fā)故障切換計劃,實現(xiàn)虛擬機硬件資源調(diào)配,提高系統(tǒng)綜合性能。 結(jié)合上述分析超融合技術(shù)對比傳統(tǒng)虛擬架構(gòu),具備更強的系統(tǒng)穩(wěn)定性、存儲利用性、提高性能降低能耗,增強了系統(tǒng)的功能拓展性。

4 超融合數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計應(yīng)用

通過運用超融合技術(shù)虛擬化特點,利用服務(wù)形式為數(shù)據(jù)中心提供云環(huán)境,建設(shè)與數(shù)據(jù)中心相符的私有云平臺,這樣能夠滿足日益增長的軟硬件建設(shè)要求。此項目能夠滿足240 個Visual CPU,存儲容量144 TB,內(nèi)存1.5 TB,直至部署完成所有超融合數(shù)據(jù)中心網(wǎng)絡(luò)安全中心軟硬件環(huán)境,之后即可開始進行虛擬機配置。經(jīng)系統(tǒng)管理平臺優(yōu)化所有軟硬件資源,包括硬盤、CPU、USB 接口、內(nèi)存等,滿足系統(tǒng)軟硬件需求,對動態(tài)化分配做出及時調(diào)整,這能夠極大促進提升信息系統(tǒng)建設(shè)效率。 為了保證超融合數(shù)據(jù)中心網(wǎng)絡(luò)安全性,設(shè)計了資源冗余處理功能,經(jīng)RAID 自動化備份相關(guān)數(shù)據(jù),能夠一旦在損壞用戶數(shù)據(jù)后,充分運用備份數(shù)據(jù)恢復(fù)受損數(shù)據(jù),確保用戶數(shù)據(jù)安全性。

依據(jù)超融合數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計應(yīng)用所需,開通CRP 數(shù)字化管理系統(tǒng)、學(xué)院門戶網(wǎng)站群、DASCOM教學(xué)管理平臺,高校數(shù)字化資源庫平臺,OA 系統(tǒng),各院教學(xué)管理共計16 個虛擬機,經(jīng)壓力測試發(fā)現(xiàn)能夠達到10%的系統(tǒng)CPU 利用率,達到30%的存儲空間利用率[7-9]。 通過建設(shè)超融合平臺達到30%的存儲空間利用率。 經(jīng)建設(shè)超融合平臺,可以奠定“智慧工程”基礎(chǔ),助推學(xué)員整合應(yīng)用系統(tǒng)、業(yè)務(wù)平臺及IP 運維平臺,通過網(wǎng)上辦事大廳跨越至一體化智能管理服務(wù)平臺。 目前已經(jīng)基本整合了該校的所有業(yè)務(wù)系統(tǒng),用戶能夠經(jīng)統(tǒng)一身份認(rèn)證即可無感知認(rèn)證系統(tǒng),對師生的數(shù)據(jù)中心應(yīng)用提供極大便利,對所有數(shù)據(jù)接口嚴(yán)格規(guī)范,方便對接未來新增業(yè)務(wù)擴容其他系統(tǒng)并滿足發(fā)展所需。 通過為期1 年的超融合數(shù)據(jù)中心系統(tǒng)測試,系統(tǒng)運行均穩(wěn)定,無論用戶體驗及數(shù)據(jù)安全性,滿足了數(shù)據(jù)中心建設(shè)需求。

5 結(jié)語

本文提出基于超融合技術(shù)數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)計思路,在數(shù)據(jù)中心系統(tǒng)基礎(chǔ)架構(gòu),融合傳統(tǒng)存儲、網(wǎng)絡(luò)構(gòu)件,保證云平臺的高效運行有助于橫向系統(tǒng)擴展,順應(yīng)行業(yè)發(fā)展。 主流融合技術(shù)可以劃分網(wǎng)絡(luò)為集群管理、帶外管理、業(yè)務(wù)網(wǎng)、存儲網(wǎng)及接口網(wǎng),與超融合技術(shù)特點相結(jié)合,綜合考慮各類風(fēng)險問題提出網(wǎng)絡(luò)設(shè)計思路,強化網(wǎng)絡(luò)安全設(shè)計服務(wù)各類場景。