信息系統私有云解決方案

李偉 王豐 孫斌斌/文

近年來，我國高度重視信息化工作，提出加快推進制造強國、網絡強國、“互聯網+”行動等重大戰略決策，并明確提出要加快5G 網絡、數據中心等新型基礎設施建設進度。這是近年來數據中心首次被列入加快建設的條目，數據中心作為“新基建”中的一個亮點，引起了業界的高度關注。

數據中心是信息集中處理、計算、存儲、傳輸、交換和管理的核心資源載體，是支撐信息化應用的重要基礎設施。隨著信息系統的不斷增加和應用場景的不斷豐富,數據中心持續擴大擴容成為必然要求。如何構建科學、高效、開放的數據中心是我們必須深入研究的課題。

數據中心的發展

傳統數據中心

數據中心由通信網絡支持的信息系統軟硬件聚集而成，通常包括計算機、服務器、網絡、存儲等關鍵設備，還包括這些關鍵設備運行所需要的環境因素，如供電系統、制冷系統、機柜系統、消防系統、監控系統等物理基礎設施。傳統物理架構數據中心一般由網絡交換機、安全設備、服務器和外置存儲四部分組成，如圖1所示。

圖1 傳統物理架構數據中心

目前，大多數企業的數據中心還是采用傳統物理架構建設模式，也就是典型的“煙囪式”架構，就是將信息系統部署在各自的物理服務器上，這會造成相互之間在功能上無法關聯互動，數據不能共享互換，數據流和應用相互脫節，形成一個個IT 煙囪。這種架構將導致物理服務器利用率低，負載不均衡，存儲容易出現瓶頸，物理冗余成本高，使整個架構平臺的造價比較高，管理和運維操作比較復雜，應用系統之間很難共享數據。

服務器虛擬化架構

為解決信息系統“煙囪式”架構帶來的各種問題，虛擬化技術應運而生。虛擬化技術是指通過虛擬化技術將一臺計算機虛擬為多臺邏輯計算機，實現資源的模擬、隔離和共享。在一臺計算機上同時運行多個邏輯計算機，每個邏輯計算機可運行不同的操作系統，且應用程序可以在相互獨立的空間內運行而互不影響，從而提高計算機工作效率，如圖2所示。

圖2 虛擬化架構數據中心

服務器虛擬化技術利用軟件重新定義劃分IT資源，實現資源的動態分配、靈活調度和跨域共享，提高IT 資源利用率、降低成本、加快部署、增強系統整體安全性和可靠性，使IT 資源能夠真正成為社會基礎設施，滿足各行各業靈活多變的應用需求。

服務器虛擬化架構是比傳統物理架構更具成本效益、更為靈活和實用的替代方案。在服務器虛擬化架構中，虛擬服務器通過管理程序模擬處理器、操作系統和其他資源，物理服務器資源被視為可以在現有虛擬機或新虛擬機之間重新分配的資源池。虛擬化架構具有可擴展性強、資源利用率高、使用成本低等優點。但整個業務結構并沒有改變，虛擬化架構仍存在除計算虛擬化以外的其他弊端，如外置存儲擴容慢、部署成本高、業務上線速度慢、運維復雜等。

基于云架構的數據中心

云計算是在虛擬化基礎上通過計算機網絡形成的計算能力極強的系統，可集合相關資源并按需配置，向用戶提供個性化服務。在云計算基礎上將存儲及網絡資源進行耦合，完全虛擬化各種IT 設備，形成模塊化程度、自動化程度和綠色節能程度較高的云架構數據中心，如圖3所示。

圖3 基于云架構的數據中心

特點

云架構是一種基于虛擬化技術的云計算模型，它實現了更高級別的服務和管理功能，以滿足組織內的IT 需求。虛擬化的重點是對資源的虛擬，比如把一臺大型的服務器虛擬成多臺小型的服務器。云計算的重點是對虛擬化資源池進行統一的管理和調度。

云架構數據中心的特點，首先是高度的虛擬化，這其中包括服務器、存儲、網絡、應用等虛擬化，用戶可以按需調用各種資源；其次是較高的自動化管理程度，包括對物理服務器、虛擬服務器的自動化管理和對相關業務的自動化流程、客戶服務的收費等管理；最后是綠色節能，云數據中心各方面均符合綠色節能標準，一般PUE值不超過1.5。

優勢

云數據中心將傳統數據中心的計算、網絡、存儲、安全等資源進行深度融合，提升了資源整合密度。云計算架構與傳統物理架構、虛擬化架構在特點、統一化管理、集中配置部署、技術實現等方面有所不同，見表1。其優勢如下：

表1

成本降低數據中心硬件設備只有服務器和交換機，成本降低；

平臺可用性高采用分布式架構，任何一臺主機故障都不會影響超融合平臺的穩定性和可用性；

業務可靠性高虛擬機高可用HA 和數據多副本等機制保證業務的高可靠；

運維簡化架構更簡單，可以滿足資源快速部署和快速調整的需求，支持可視化大屏操作、故障定位監控預警機制等，簡化運維操作；

資源利用率高服務器的資源通過虛擬化技術可分配給多業務使用，提高資源利用率。

云架構還可實現業務系統登錄認證、攻擊防御、數據傳輸及存儲保護、日志審計等全過程管理，并配合邊界隔離、病毒檢測、實時監控等運維措施，實現端到端的安全，主要包括：

登錄安全采用CA 認證及堡壘機登錄，確保身份可信，并對登錄人員賬號進行權限管理；

傳輸安全外部登錄數據傳輸采用VPN 隧道方式接入，對明文數據進行SSL加密；

邊界安全根據安全級別對業務系統進行安全區域劃分，分區間采用防火墻進行安全隔離，在互聯網出口處部署入侵檢測防御、病毒檢測防御、抗DDOS 攻擊設備等安全措施，確保區域邊界進出數據和流量的安全；

主機安全采用系統安全加固和防病毒軟件手段保證業務主機安全；

數據安全采用數據加密存儲、介質冗余、存儲雙活、定時備份等措施確保數據安全；

運維安全利用日志審計和數據庫審計系統及時發現系統中存在或潛在的威脅，通過監控實時發現異常情況并及時處理；

云安全利用VLAN 隔離和安全組策略，結合邊界防火墻共同構筑“南北+東西”流量安全防護機制，并對云平臺和API接口進行安全加固，確保云計算平臺自身的安全。

近幾年隨著云計算技術的逐漸普及，越來越多的企業選擇云計算方案。其中，私有云因在數據安全、數據備份等方面有自主可選空間而受到青睞。

私有云解決方案典型部署示例

私有云是云計算的一種特殊模式，IT 服務通過專用IT 基礎架構進行配置，供單個組織專用，提供更好的IT 服務和支持。私有云通常由一組虛擬化服務器和相關的管理工具組成，這些服務器為組織內的各個部門計算、存儲和提供網絡資源。在私有云模式下，云資源池只能由單個組織訪問，因此可以保護該組織的隱私權，并加大其控制權。

信息系統私有云架構一般分為互聯網接入區、核心交換區、信息系統區和運維管理區四個區域，如圖4所示。

圖4 私有云解決方案典型部署

互聯網接入區部署負載均衡、網絡防火墻、上網行為管理等網絡設備，提供互聯網接入服務，供用戶訪問信息系統。

核心交換區是數據中心南北向流量和東西向流量的交匯點，其主要功能是完成各服務功能分區之間數據流量的高速交換。核心交換區必須具備高速轉發的能力，同時還需要有很強的擴展能力，滿足業務未來快速發展的需求。

信息系統區部署高性能服務器，組建私有云集群，區域內設備全部采用全冗余架構，計算、網絡、存儲等各維度均雙鏈路運行，保障業務持續運行。

運維管理區為數據中心提供統一的安全、運營運維、災備等管理系統。在運維管理區部署兩臺主備防火墻，開啟防病毒、IPS 和應用控制功能，對運維安全進行防護。

信息系統私有云建成后，需對現有業務進行遷移。制訂遷移方案時要重點評估遷移過程中業務中斷的時間以及遷移后的數據一致性。選擇遷移方法時也要綜合考慮操作系統類型、業務是否允許中斷、數據一致性要求是否嚴格等因素，見表2。

表2

私有云數據中心可有效降低重復建設投資，在節能環保的基礎上提高基礎設施資源利用率，還可以實現信息系統快速部署和業務上線，通過基于業務視角的界面展示、可視化運維和一鍵故障定位，實現統一管理和極簡運維。我們應不斷優化現有信息系統的基礎設施和環境，采用新技術和新思路，在保證信息系統穩定性的前提下打好私有云數據中心建設基礎，提高信息系統運行可靠性，使資源利用更加靈活和高效，從而實現未來資源池化的目標，實現統一化、智能化、靈活化的運維手段。