董飛宇

【摘要】 在云計算日益普及的情況下，大量的業(yè)務(wù)應(yīng)用系統(tǒng)遷移到云平臺上，云平臺的基本構(gòu)架成為大家所關(guān)注的問題。

【關(guān)鍵字】 云計算 構(gòu)架 安全

一、引言

本文對云平臺各個資源池的部署進(jìn)行說明，以便讀者能夠大略了解云平臺部署的基本構(gòu)架，對云平臺具備一定的認(rèn)識。

二、云平臺資源劃分

這個云平臺按照資源來劃分主要分為云計算資源、存儲資源、網(wǎng)絡(luò)資源；同時網(wǎng)絡(luò)資源中結(jié)合安全設(shè)備和手段，保證云平臺的安全性；存儲資源中結(jié)合備份系統(tǒng)保障數(shù)據(jù)的安全性。各資源主要說明如下： 網(wǎng)絡(luò)資源：網(wǎng)絡(luò)資源是云平臺互聯(lián)互通以及訪問控制的資源節(jié)點(diǎn)、是實現(xiàn)業(yè)務(wù)區(qū)域劃分、用戶流量隔離、互訪安全控制、流量負(fù)載分擔(dān)、安全VPN接入等相關(guān)需求的基礎(chǔ)保證。計算資源：計算資源是云平臺的核心資源，也是業(yè)務(wù)承載的關(guān)鍵。通過虛擬化軟件的管理節(jié)點(diǎn)，實現(xiàn)對云資源池的劃分、管理和調(diào)度；相關(guān)云資源池的計算節(jié)點(diǎn)則是具體提供相應(yīng)的虛擬化云服務(wù)的平臺。存儲資源：存儲資源是存儲數(shù)據(jù)的資源，只有通過共享存儲資源，才能夠?qū)崿F(xiàn)云計算平臺業(yè)務(wù)遷移的功能，同時專用的存儲資源，也是保證數(shù)據(jù)存放安全可靠的關(guān)鍵。

三、云平臺構(gòu)架及分析

3.1云平臺的分層與分區(qū)

1）核心層主要負(fù)責(zé)整個云平臺的出口和路由的公告，同時也是對外安全的保障。通過部署出口防火墻、IPS、帶庫管理、網(wǎng)頁防篡改等設(shè)備實現(xiàn)內(nèi)外網(wǎng)絡(luò)安全的隔離和包含。

2）業(yè)務(wù)匯聚層則是實現(xiàn)內(nèi)部云平臺分區(qū)的關(guān)鍵、可依據(jù)管理功能分為云平臺管理區(qū)、業(yè)務(wù)區(qū)，業(yè)務(wù)區(qū)又可根據(jù)不同的業(yè)務(wù)類型劃分為不同的業(yè)務(wù)區(qū)域；每個業(yè)務(wù)區(qū)域?qū)?yīng)到云計算資源上，則是一個云計算資源池。在安全要求高的云平臺內(nèi)，不同業(yè)務(wù)區(qū)域的匯聚層旁應(yīng)具備一定的安全設(shè)備，例如防火墻等，實現(xiàn)內(nèi)部業(yè)務(wù)區(qū)的安全隔離和不同業(yè)務(wù)區(qū)之間的訪問控制和隔離。

3）業(yè)務(wù)接入層，則是直接連接服務(wù)器，例如虛擬化服務(wù)器、數(shù)據(jù)庫服務(wù)器、備份服務(wù)器；服務(wù)器可考慮雙上行接入不同的物理交換機(jī)，在數(shù)據(jù)中心的環(huán)境下，可將多個接入交換機(jī)虛擬為一臺邏輯交換機(jī)；在這種情況下，服務(wù)器的雙網(wǎng)卡可考慮綁定實現(xiàn)流量負(fù)載。對于不具備虛擬化功能的交換機(jī)，則可以使用主備的方式接入。

4）為了進(jìn)一步縮減層次，也可考慮采用大容量的數(shù)據(jù)中心交換機(jī)，將接入和匯聚層合并。

3.2云平臺的存儲資源

1）首先磁盤陣列是所有虛擬化服務(wù)器和數(shù)據(jù)庫服務(wù)器公用的存儲資源，同一虛擬資源池內(nèi)的計算資源通過共享存儲資源從實現(xiàn)虛擬機(jī)的遷移；數(shù)據(jù)庫服務(wù)器RAC通過共享存儲資源實現(xiàn)數(shù)據(jù)庫的之間實例的切換備份；同時磁盤陣列是基于SAN環(huán)境下，每臺服務(wù)器通過雙網(wǎng)卡接入不同的SAN交換機(jī)，SAN交換機(jī)通過劃分zone實現(xiàn)流量的隔離，同時存儲設(shè)備的前端端口分別接入SAN交換機(jī)中，同時通過多路徑實現(xiàn)鏈路的冗余性。存儲本身通過全局熱備盤和采用raid方式，實現(xiàn)存儲設(shè)備本身的可靠性。2）NAS存儲作為文件存儲資源，可基于NFS/CIFS協(xié)議實現(xiàn)對虛擬服務(wù)器提供相關(guān)的文件存儲資源服務(wù)。文件系統(tǒng)資源可通過控制IP地址和帳號的方式實現(xiàn)安全的管理。3）虛擬帶庫作為備份的存儲介質(zhì)，通過備份服務(wù)器實現(xiàn)數(shù)據(jù)的存儲。在服務(wù)器上安裝備份客戶端，同負(fù)責(zé)備份策略制定和執(zhí)行的備份策略服務(wù)器通訊，控制流數(shù)據(jù)通過IP網(wǎng)絡(luò)到達(dá)。同時通過備份數(shù)據(jù)量采用lan_free方式，通過san環(huán)境下傳輸；實現(xiàn)備份數(shù)據(jù)的傳遞。

3.3云平臺的計算資源

對于同一資源池內(nèi)的計算資源，資源池內(nèi)的虛擬機(jī)可實現(xiàn)自由遷移；同時相關(guān)計算資源的創(chuàng)建、劃分、管理通過云資源管理區(qū)的管理節(jié)點(diǎn)實現(xiàn)對相關(guān)計算資源的管理。一般每臺計算節(jié)點(diǎn)服務(wù)器都連接三個網(wǎng)絡(luò)，一個是通過HBA連接san網(wǎng)絡(luò)訪問存儲資源；一個是通過以太網(wǎng)絡(luò)接入業(yè)務(wù)接入交換機(jī)實現(xiàn)虛擬機(jī)業(yè)務(wù)流量的傳輸；最后是通過以太網(wǎng)絡(luò)和管理區(qū)的管理節(jié)點(diǎn)，用于傳輸計算資源池的管理流量。

3.4云平臺的安全防護(hù)

1）網(wǎng)絡(luò)隔離實現(xiàn)安全防護(hù)。除了基本的網(wǎng)絡(luò)層vlan隔離，可在業(yè)務(wù)匯聚層部署區(qū)域防火墻，實現(xiàn)進(jìn)一步不同區(qū)域的安全控制。如果需要更為徹底的隔離則可以考慮引入MPLS VPN的方式，將業(yè)務(wù)控制在VPN范圍內(nèi)。同時對于不同區(qū)域間存在互通需求的情況下，則通過安全網(wǎng)閘實現(xiàn)信息數(shù)據(jù)的互通。2）專業(yè)設(shè)備避免異常攻擊。通過在入口部署IPS/帶寬控制/WAF（網(wǎng)頁防篡改）實現(xiàn)對異常攻擊的檢測和防護(hù)功能；3）安全接入。可考慮通過SSL VPN設(shè)備實現(xiàn)遠(yuǎn)程安全的vpn接入；4）主機(jī)側(cè)安全控制。通過漏洞掃描、安全加固、補(bǔ)丁升級的方式實現(xiàn)對虛擬主機(jī)的安全防護(hù)；對于數(shù)據(jù)庫服務(wù)器則通過數(shù)據(jù)庫審計的方式來保證安全。

四、結(jié)束語

由于業(yè)務(wù)平臺的性質(zhì)不同，其構(gòu)架也會略有不同，但是云平臺的總體構(gòu)架上則都是大同小異。最終的構(gòu)架還需要結(jié)合具體的業(yè)務(wù)應(yīng)用和設(shè)備特性規(guī)劃設(shè)計。

參 考 文 獻(xiàn)

[1]華為文檔，云計算構(gòu)架