摘? 要：近年來(lái)，媒體融合建設(shè)如火如荼，廣播電視和報(bào)社針對(duì)傳媒環(huán)境的變化通過(guò)融媒體建設(shè)不斷進(jìn)行業(yè)務(wù)轉(zhuǎn)型。在這個(gè)過(guò)程中，如何保障融媒體上層業(yè)務(wù)穩(wěn)定、安全、高效的運(yùn)行呢？這需要在上層業(yè)務(wù)設(shè)計(jì)之初同步考慮底層架構(gòu)和網(wǎng)絡(luò)安全設(shè)計(jì)。本文中，我們將從云計(jì)算架構(gòu)設(shè)計(jì)和網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)兩個(gè)方面，闡述在融媒體建設(shè)過(guò)程中，深信服是如何通過(guò)洞悉廣電和報(bào)社融媒體業(yè)務(wù)特點(diǎn)，通過(guò)不斷的技術(shù)和產(chǎn)品創(chuàng)新，助力融合媒體智慧轉(zhuǎn)型。

關(guān)鍵詞：融媒體;云計(jì)算;網(wǎng)絡(luò)安全

中圖分類(lèi)號(hào)：TN94? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

本文著錄格式：張明全.業(yè)務(wù)安全和云化，深信服助力融合媒體智慧轉(zhuǎn)型[J].中國(guó)傳媒科技，2020，01（01）：14-19.

1.背景介紹

1.1融媒體簡(jiǎn)介

“融媒體”是充分利用媒介載體，把廣播、電視、報(bào)紙等既有共同點(diǎn)，又存在互補(bǔ)性的不同媒體，在人力、內(nèi)容、宣傳等方面進(jìn)行全面整合，實(shí)現(xiàn)“資源通融、內(nèi)容兼融、宣傳互融、利益共融”的新型媒體。[1]工業(yè)化時(shí)代專業(yè)媒體是傳媒的中心，隨著移動(dòng)互聯(lián)網(wǎng)時(shí)代的到來(lái)，傳統(tǒng)的專業(yè)媒體受到了極大的沖擊，人成為了傳媒主體和中心，各種連接越發(fā)的復(fù)雜，為了應(yīng)對(duì)當(dāng)前傳媒發(fā)展的形勢(shì)，傳統(tǒng)專業(yè)媒體必須實(shí)現(xiàn)業(yè)務(wù)轉(zhuǎn)型，利用移動(dòng)互聯(lián)網(wǎng)的浪潮，發(fā)展融合媒體業(yè)務(wù)。

1.2媒體業(yè)務(wù)安全現(xiàn)狀

通過(guò)和大量的廣播電視以及報(bào)社用戶的溝通交流，當(dāng)前媒體業(yè)務(wù)的網(wǎng)絡(luò)安全現(xiàn)狀不容樂(lè)觀，主要問(wèn)題體現(xiàn)在以下四個(gè)方面。

1.2.1缺少安全隔離

媒體行業(yè)目前外網(wǎng)發(fā)布的業(yè)務(wù)、網(wǎng)站等與內(nèi)網(wǎng)業(yè)務(wù)以及辦公網(wǎng)沒(méi)有進(jìn)行有效的安全隔離，一旦外網(wǎng)遭受攻擊，很容易被作為跳板向內(nèi)網(wǎng)系統(tǒng)進(jìn)行擴(kuò)散，影響核心業(yè)務(wù)。

1.2.2缺乏安全運(yùn)維

媒體行業(yè)信息化運(yùn)維目前普遍存在人員不足的問(wèn)題，尤其是針對(duì)網(wǎng)絡(luò)安全的運(yùn)維更是嚴(yán)重缺乏，但網(wǎng)絡(luò)安全又是動(dòng)態(tài)變化的，需要投入很大運(yùn)維精力才能有效抵御網(wǎng)絡(luò)攻擊。

1.2.3缺欠安全意識(shí)

媒體行業(yè)內(nèi)部辦公人員缺乏安全意識(shí)，隨意的在辦公終端上進(jìn)行缺乏安全性的操作，如隨意在辦公電腦上使用U盤(pán)，WIFI共享插件。

1.2.4缺乏抵御新型網(wǎng)絡(luò)攻擊的能力

媒體行業(yè)目前普遍的安全防御手段不足以抵抗新型網(wǎng)絡(luò)攻擊，特別是今年剛發(fā)布的等保2.0標(biāo)準(zhǔn)，相比于等保1.0標(biāo)準(zhǔn)，特別強(qiáng)調(diào)對(duì)于新型威脅的檢測(cè)和防御能力。

1.3媒體業(yè)務(wù)云化趨勢(shì)

隨著政策導(dǎo)向的明確和輿論引導(dǎo)的復(fù)雜化，融媒體業(yè)務(wù)呈現(xiàn)出多種形態(tài)的延伸，延伸朝著多終端化、全天化、快速迭代發(fā)展，這些變化勢(shì)必對(duì)整體IT帶來(lái)了很多新的挑戰(zhàn)，主要挑戰(zhàn)體現(xiàn)在以下四個(gè)方面。

1.3.1缺少統(tǒng)一規(guī)劃

IT架構(gòu)缺什么補(bǔ)什么，沒(méi)有頂層設(shè)計(jì)，無(wú)法平滑演進(jìn)IT架構(gòu)，5G、AI、大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算落地割裂。

1.3.2媒體業(yè)務(wù)變化快

融媒體業(yè)務(wù)變化快、潮汐性大，保證業(yè)務(wù)快速迭代、穩(wěn)定運(yùn)行沒(méi)有太多參考指南。另外融媒體業(yè)務(wù)場(chǎng)景通常伴隨短視頻業(yè)務(wù)，視頻業(yè)務(wù)需要更好的存儲(chǔ)、發(fā)布和使用。

1.3.3移動(dòng)化的挑戰(zhàn)

多終端化中移動(dòng)業(yè)務(wù)是融媒體的重要組成，新形勢(shì)下要求業(yè)務(wù)快速響應(yīng)隨時(shí)隨地辦公，比如老的業(yè)務(wù)不適合短時(shí)間內(nèi)做APP版怎么跨平臺(tái)，老業(yè)務(wù)老操作系統(tǒng)才能適配，在外怎么快速安全高效的獲取想要的資源都是我們認(rèn)為目前遇到的相應(yīng)挑戰(zhàn)。

通過(guò)分析以上挑戰(zhàn)可以看出融媒體業(yè)務(wù)的特點(diǎn)是融為一體，移動(dòng)優(yōu)先，大數(shù)據(jù)推動(dòng)，這意味著融媒體業(yè)務(wù)會(huì)是多種特點(diǎn)業(yè)務(wù)的合集，而每個(gè)業(yè)務(wù)特點(diǎn)對(duì)于底層承載資源的需求是不同，再使用傳統(tǒng)架構(gòu)已經(jīng)無(wú)法適應(yīng)這種狀況，而云計(jì)算的特點(diǎn)是資源按需分配，動(dòng)態(tài)遷移的，恰好是符合當(dāng)前融媒體建設(shè)的需求，因此媒體業(yè)務(wù)的云化勢(shì)必成為趨勢(shì)。

1.4融媒體建設(shè)政策導(dǎo)向

在融媒體建設(shè)中，相關(guān)行業(yè)監(jiān)管單位也著重強(qiáng)調(diào)了業(yè)務(wù)云化和安全的要求。2019年年初由廣電總局發(fā)布的《縣級(jí)融媒體中心建設(shè)規(guī)范》和《縣級(jí)融媒體中心省級(jí)平臺(tái)規(guī)范要求》中明確提及，省級(jí)融媒體平臺(tái)的安全防護(hù)能力宜不低于GB/T22239中第三級(jí)的要求，[2]縣級(jí)融媒體平臺(tái)的網(wǎng)絡(luò)安全保護(hù)等級(jí)安全防護(hù)能力宜不低于GB/T22239中第二級(jí)的要求[3]，同時(shí)融媒體平臺(tái)的安全建設(shè)應(yīng)符合 GD/J 038-2011 的要求。在云計(jì)算方面，建設(shè)規(guī)范要求省級(jí)融媒體技術(shù)平臺(tái)采用開(kāi)放的云架構(gòu)，具有松耦合、資源池化、高可擴(kuò)展等特性，具備滿足業(yè)務(wù)發(fā)展快速迭代升級(jí)的能力，可采用微服務(wù)架構(gòu)方式實(shí)現(xiàn)[2]?？h級(jí)融媒體中心應(yīng)充分依托云計(jì)算、大數(shù)據(jù)等技術(shù)，適應(yīng)移動(dòng)互聯(lián)網(wǎng)，特別是5G的發(fā)展。[3]

2.業(yè)務(wù)安全建設(shè)

2.1建設(shè)理念

結(jié)合等級(jí)保護(hù)2.0相關(guān)標(biāo)準(zhǔn)和要求以及國(guó)內(nèi)外最新的安全防護(hù)體系模型，從保障融媒體業(yè)務(wù)安全高效運(yùn)行為根本出發(fā)點(diǎn)，整體思路圍繞“持續(xù)保護(hù)，不止合規(guī)”的中心思想展開(kāi)建設(shè)。隨著等級(jí)保護(hù)對(duì)象擴(kuò)展到云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)與大數(shù)據(jù)等，如今的網(wǎng)絡(luò)環(huán)境復(fù)雜度已遠(yuǎn)超過(guò)去。同時(shí)，有效的風(fēng)險(xiǎn)管理一定是建立在一定的模型之上的。[4]為適應(yīng)融媒體業(yè)務(wù)特點(diǎn)下新的安全形勢(shì)，安全建設(shè)在滿足等保2.0要求的前提下，建議引入新的智安全能力模型“APDRO”，其中集防御（P）、檢測(cè)（D）、響應(yīng)（R）于一體的閉環(huán)安全已經(jīng)深入人心，但是僅有PDR還不夠，安全能力模型需要適應(yīng)新的安全形勢(shì)的，因此才有了對(duì)PDR的改進(jìn)模型，A代表智能，O代表運(yùn)營(yíng)，在PDR模型上疊加智能和運(yùn)營(yíng)能力。APDRO安全架構(gòu)的簡(jiǎn)單邏輯就是，首先，要去打造集防御、檢測(cè)和響應(yīng)于一體的閉環(huán)安全能力，滿足等保2.0的基本要求，然后，面對(duì)自動(dòng)化水平不斷提高的威脅，利用人工智能技術(shù)來(lái)提升PDR的自動(dòng)化程度，最后由運(yùn)營(yíng)來(lái)讓PDR變得更有效，讓PDR運(yùn)轉(zhuǎn)的更好。通過(guò)以APDRO安全能力模型支撐，為融媒體的業(yè)務(wù)運(yùn)行構(gòu)建以技術(shù)、管理和運(yùn)營(yíng)三大安全體系為目標(biāo)的可運(yùn)營(yíng)的智能化安全體系，讓融媒體業(yè)務(wù)具備了安全可視、持續(xù)檢測(cè)、協(xié)同防御的能力。[5]

2.2建設(shè)思路

依據(jù)等級(jí)保護(hù)政策、標(biāo)準(zhǔn)、指南等文件要求以及融媒體業(yè)務(wù)的實(shí)際安全需求，對(duì)保護(hù)對(duì)象進(jìn)行區(qū)域劃分和定級(jí)，對(duì)不同的保護(hù)對(duì)象從物理環(huán)境防護(hù)、通信網(wǎng)絡(luò)防護(hù)、區(qū)域邊界防護(hù)、計(jì)算環(huán)境防護(hù)等各方面進(jìn)行不同級(jí)別的安全防護(hù)設(shè)計(jì)。同時(shí)統(tǒng)一的安全管理中心保障了防護(hù)的有效協(xié)同及一體化管理，保障了安全技術(shù)措施有效運(yùn)行和落地。以等級(jí)保護(hù)安全框架為依據(jù)和參考，在滿足國(guó)家法律法規(guī)和標(biāo)準(zhǔn)體系的前提下通過(guò)“一個(gè)中心、三重防護(hù)”的安全設(shè)計(jì)，形成網(wǎng)絡(luò)安全綜合技術(shù)防護(hù)體系。[5]突出技術(shù)思維和立體防范，注重全方位主動(dòng)防御、動(dòng)態(tài)防御、整體防控和精準(zhǔn)防護(hù)。

2.3建設(shè)方案

基于以上建設(shè)理念和建設(shè)思路，融媒體業(yè)務(wù)安全最終落地的建設(shè)方案如下圖。

2.3.1方案概述

2.3.1.1分級(jí)分域設(shè)計(jì)

首先基于不同功能不同重要程度，將網(wǎng)絡(luò)進(jìn)行分級(jí)分域，對(duì)不同區(qū)域?qū)嵭蟹旨?jí)保護(hù)。一般來(lái)說(shuō)融媒體平臺(tái)可以劃分為外場(chǎng)接入?yún)^(qū)、公有云/專屬云區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、內(nèi)網(wǎng)制作區(qū)、辦公網(wǎng)、融媒體數(shù)據(jù)中心區(qū)、安全管理區(qū)。

2.3.1.2通信網(wǎng)絡(luò)安全

融媒體業(yè)務(wù)的通信網(wǎng)絡(luò)通過(guò)安全設(shè)計(jì)確保網(wǎng)絡(luò)架構(gòu)的冗余性和通信傳輸?shù)陌踩?。例如在互?lián)網(wǎng)出口區(qū)，內(nèi)部web業(yè)務(wù)的對(duì)外發(fā)布和外部的內(nèi)網(wǎng)接入都需要通過(guò)該區(qū)域，為了確保該區(qū)域的高可用性和數(shù)據(jù)傳輸?shù)陌踩?，通過(guò)雙機(jī)部署鏈路負(fù)載和上網(wǎng)行為管理確保網(wǎng)絡(luò)高峰期的鏈路高可用性，部署防火墻和SSLVPN確保對(duì)外發(fā)布業(yè)務(wù)安全和外部?jī)?nèi)網(wǎng)接入安全。通過(guò)這樣的互聯(lián)網(wǎng)出口部署架構(gòu)，任何出口設(shè)備出現(xiàn)故障（接口故障或宕機(jī)），都能保證秒級(jí)的切換，保證業(yè)務(wù)不中斷。

2.3.1.3區(qū)域邊界安全

對(duì)于已經(jīng)完成分級(jí)分域的區(qū)域，不同區(qū)域邊界必須設(shè)置應(yīng)對(duì)網(wǎng)絡(luò)層和應(yīng)用層攻擊的防護(hù)手段，確保各區(qū)域之間的數(shù)據(jù)交互必須通過(guò)安全威脅的過(guò)濾，對(duì)于不同安全級(jí)別的區(qū)域嚴(yán)格做好網(wǎng)絡(luò)層的訪問(wèn)控制，建議使用具有2-7層防護(hù)的下一代防火墻進(jìn)行區(qū)域邊界的安全隔離。此外，對(duì)于未知威脅和新型攻擊，在網(wǎng)絡(luò)中關(guān)鍵節(jié)點(diǎn)部署潛伏威脅探針，通過(guò)基于大數(shù)據(jù)和人工智能技術(shù)的分析平臺(tái)進(jìn)行威脅的持續(xù)監(jiān)測(cè)。

2.3.1.4計(jì)算環(huán)境安全

隨著業(yè)務(wù)云化成為趨勢(shì)，安全邊界也逐漸下移，計(jì)算環(huán)境的安全防護(hù)顯得越發(fā)的重要。但計(jì)算環(huán)境的安全絕不能是孤立的防護(hù)，終端的安全防護(hù)需要和網(wǎng)絡(luò)層形成有效聯(lián)動(dòng)，才能提升防護(hù)效率和應(yīng)急響應(yīng)周期。對(duì)于終端安全可以部署EDR（終端安全檢測(cè)響應(yīng)）系統(tǒng)，EDR的優(yōu)勢(shì)在于可以一體化的完成終端安全和桌面管控的集中管理，同時(shí)可以實(shí)現(xiàn)和網(wǎng)絡(luò)側(cè)防護(hù)體系的聯(lián)動(dòng)處置。

2.3.1.5管理中心設(shè)計(jì)

等保2.0相較于等保1.0，著重強(qiáng)調(diào)了安全的集中管控和集中審計(jì)，同時(shí)集中管控的安全設(shè)計(jì)也有利于安全的統(tǒng)一運(yùn)維。對(duì)于安全的集中管控，建議使用態(tài)勢(shì)感知作為全網(wǎng)的安全大腦，實(shí)現(xiàn)網(wǎng)絡(luò)和終端安全的統(tǒng)一分析和呈現(xiàn)，并能實(shí)現(xiàn)閉環(huán)處置;對(duì)于集中審計(jì)，通過(guò)軟件定義安全組件的方式，構(gòu)建基于超融合架構(gòu)的云安全一體化平臺(tái)。

2.3.1.6安全運(yùn)營(yíng)設(shè)計(jì)

完整的信息安全保障體系應(yīng)該是安全技術(shù)和安全運(yùn)營(yíng)實(shí)施的結(jié)合，才能真正達(dá)到信息安全保障目標(biāo)。通過(guò)以上網(wǎng)端的安全設(shè)計(jì)，在技術(shù)層面已完成完整的體系化安全建設(shè)，構(gòu)建了集防御、檢測(cè)、響應(yīng)于一體的閉環(huán)安全能力體系。然而防御、檢測(cè)、響應(yīng)的閉環(huán)安全能力都是通過(guò)產(chǎn)品來(lái)承載的，如果這些產(chǎn)品無(wú)法被合理的使用和運(yùn)營(yíng)起來(lái)就無(wú)法形成真正有效的安全風(fēng)險(xiǎn)管理，因此，安全運(yùn)營(yíng)設(shè)計(jì)是風(fēng)險(xiǎn)管理的有效落地的重要保障。當(dāng)前安全服務(wù)趨勢(shì)正在由傳統(tǒng)人工方式的安全服務(wù)轉(zhuǎn)向人機(jī)結(jié)合的業(yè)務(wù)安全托管服務(wù)轉(zhuǎn)變。通過(guò)業(yè)務(wù)安全托管服務(wù)可確保安全建設(shè)效果落地，且能確保融媒體業(yè)務(wù)可以獲得7×24小時(shí)的安全服務(wù)。

2.3.2方案亮點(diǎn)

2.3.2.1安全運(yùn)維管理一體化平臺(tái)——極簡(jiǎn)交付，滿足合規(guī)

2.3.2.1.1一體化交付，快速合規(guī)

相對(duì)傳統(tǒng)硬件設(shè)備堆疊的方式，安全運(yùn)維管理一體化平臺(tái)可以實(shí)現(xiàn)硬件設(shè)備的快速交付和部署，各類(lèi)安全功能組件按需調(diào)用，實(shí)現(xiàn)了等級(jí)保護(hù)的快速合規(guī)。

2.3.2.1.2安全服務(wù)化交付，管理極簡(jiǎn)

通過(guò)安全運(yùn)維管理一體化平臺(tái)構(gòu)建的一站式等級(jí)保護(hù)解決方案可以實(shí)現(xiàn)各類(lèi)安全組件的統(tǒng)一管理和靈活編排，大大減少了安全硬件的運(yùn)維工作，實(shí)現(xiàn)安全的極簡(jiǎn)管理。

2.3.2.1.3安全功能資源化，彈性擴(kuò)展

通過(guò)安全運(yùn)維管理一體化平臺(tái)滿足等保建設(shè)要求的同時(shí)，也可根據(jù)后續(xù)業(yè)務(wù)的安全需求，按需定義調(diào)度一體機(jī)上的安全組件和服務(wù)，實(shí)現(xiàn)安全功能的彈性擴(kuò)展。

2.3.2.2安全態(tài)勢(shì)感知平臺(tái)——構(gòu)建內(nèi)網(wǎng)安全大腦

通過(guò)關(guān)鍵節(jié)點(diǎn)上部署的潛伏威脅探針采集的流量，以全流量分析為核心，結(jié)合威脅情報(bào)、行為分析建模、UEBA、失陷主機(jī)檢測(cè)、圖關(guān)聯(lián)分析、機(jī)器學(xué)習(xí)、大數(shù)據(jù)關(guān)聯(lián)分析、可視化平臺(tái)等技術(shù)，對(duì)全網(wǎng)的流量實(shí)現(xiàn)業(yè)務(wù)可視化，威脅可視化，攻擊與可疑流量可視化，定位異常與違規(guī)行為，發(fā)現(xiàn)潛伏威脅，解決安全黑洞與安全洼地的問(wèn)題。

2.3.2.3終端安全管理——?dú)⒍尽?zhǔn)入與桌管一體化解決方案

通過(guò)圍繞終端資產(chǎn)安全生命周期，通過(guò)預(yù)防、防御、檢測(cè)、響應(yīng)賦予終端更為細(xì)致的隔離策略、更為精準(zhǔn)的查殺能力、更為持續(xù)的檢測(cè)能力、更為快速的處置能力。在應(yīng)對(duì)高級(jí)威脅的同時(shí)，通過(guò)云網(wǎng)端聯(lián)動(dòng)協(xié)同、威脅情報(bào)共享、多層級(jí)響應(yīng)機(jī)制，幫助用戶快速處置終端安全問(wèn)題，構(gòu)建輕量級(jí)、智能化、響應(yīng)快的下一代終端安全系統(tǒng)。

面對(duì)媒體行業(yè)普遍面臨的終端安全運(yùn)維問(wèn)題，該方案在終端僅安裝一個(gè)客戶端即可完成殺毒、準(zhǔn)入與桌管功能，極大的減輕廣電終端安全的運(yùn)維壓力。

3.業(yè)務(wù)云化設(shè)計(jì)

融媒體業(yè)務(wù)的建設(shè)，甚至是往后整個(gè)媒體行業(yè)的業(yè)務(wù)變革，除了上層業(yè)務(wù)的變化外，重構(gòu)IT基礎(chǔ)架構(gòu)也是必經(jīng)之路，而云計(jì)算技術(shù)因其高可用性和易擴(kuò)展性，必然成為媒體業(yè)務(wù)承載的最佳方式。

如上圖所呈現(xiàn)的，重構(gòu)IT基礎(chǔ)架構(gòu)，對(duì)于技術(shù)本身來(lái)講存在很強(qiáng)的技術(shù)隱蔽性，對(duì)于終端用戶或者業(yè)務(wù)使用同事只能看到冰山的上面，實(shí)際IT底層有太多需要考慮的部分?？偟膩?lái)說(shuō)，首先需要按照標(biāo)準(zhǔn)的層級(jí)進(jìn)行劃分 IAAS、PAAS、SAAS層，同時(shí)考慮未來(lái)構(gòu)建中臺(tái)、微服務(wù)等新架構(gòu)，為了便于后期進(jìn)行業(yè)務(wù)擴(kuò)展不同層級(jí)之間在建設(shè)之初需要預(yù)留標(biāo)準(zhǔn)API接口，那么重構(gòu)IT基礎(chǔ)架構(gòu)采用什么架構(gòu)？

通過(guò)多年的云計(jì)算落地實(shí)踐，對(duì)于融媒體業(yè)務(wù)建設(shè)建議采用超融合架構(gòu)進(jìn)行搭建，用標(biāo)準(zhǔn)的x86服務(wù)器+標(biāo)準(zhǔn)的二層交換機(jī)配合超融合軟件對(duì)上提供計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、安全、桌面資源，在這些資源上可以擴(kuò)展延伸中臺(tái)、大數(shù)據(jù)、PAAS等服務(wù)，同時(shí)采用超融合架構(gòu)可以靈活的按業(yè)務(wù)數(shù)據(jù)和模塊擴(kuò)展。

3.1方案設(shè)計(jì)

3.2資源池搭建框架

3.3計(jì)算虛擬化設(shè)計(jì)

對(duì)于融媒體平臺(tái)中協(xié)同生產(chǎn)服務(wù)器、文件服務(wù)、人力資源、Web等對(duì)服務(wù)器性能要求不高的業(yè)務(wù)系統(tǒng)，采用x86服務(wù)器，通過(guò)在x86服務(wù)器上部署虛擬化系統(tǒng)，將物理服務(wù)器虛擬化為細(xì)顆粒的虛擬機(jī)，形成服務(wù)器池，應(yīng)用系統(tǒng)部署于虛擬機(jī)上。任何虛擬機(jī)出現(xiàn)宕機(jī)時(shí)，可以將業(yè)務(wù)瞬間切換到服務(wù)器池的其他虛擬機(jī)上，保障業(yè)務(wù)的連續(xù)性。同時(shí)如果有新增業(yè)務(wù)系統(tǒng)，用戶只需創(chuàng)建新的虛擬機(jī)，非常方便高效。物理服務(wù)器的利用率得到明顯提高，管理和運(yùn)營(yíng)成本明顯降低。

3.3.1主機(jī)資源化平臺(tái)設(shè)計(jì)

在服務(wù)器資源池上需要再通過(guò)安裝虛擬化軟件平臺(tái)，使得其計(jì)算資源能以一種云主機(jī)的方式被不同的應(yīng)用和不同用戶使用。在x86系列的服務(wù)器上，其主要是以云主機(jī)的形式存在，如下為虛擬化軟件平臺(tái)的構(gòu)成。

3.3.1.1虛擬化內(nèi)核平臺(tái)

運(yùn)行在基礎(chǔ)設(shè)施層和上層操作系統(tǒng)之間的“元”操作系統(tǒng)，用于協(xié)調(diào)上層操作系統(tǒng)對(duì)底層硬件資源的訪問(wèn)，減輕軟件對(duì)硬件設(shè)備以及驅(qū)動(dòng)的依賴性，同時(shí)對(duì)虛擬化運(yùn)行環(huán)境中的硬件兼容性、高可靠性、高可用性、可擴(kuò)展性、性能優(yōu)化等問(wèn)題進(jìn)行加固處理。

3.3.1.2虛擬化管理系統(tǒng)

主要實(shí)現(xiàn)對(duì)數(shù)據(jù)中心內(nèi)的計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)等硬件資源的軟件虛擬化，形成虛擬資源池，對(duì)上層應(yīng)用提供自動(dòng)化服務(wù)。其業(yè)務(wù)范圍包括：虛擬計(jì)算、虛擬網(wǎng)絡(luò)、虛擬存儲(chǔ)、高可靠性（HA）、動(dòng)態(tài)資源調(diào)度（DRS）、云主機(jī)容災(zāi)與備份、云主機(jī)模板管理、集群文件系統(tǒng)、虛擬交換機(jī)策略等。

采用虛擬化平臺(tái)對(duì)多臺(tái)服務(wù)器虛擬化后，連接到共享存儲(chǔ)，構(gòu)建成計(jì)算資源池，通過(guò)網(wǎng)絡(luò)按需為用戶提供計(jì)算資源服務(wù)。同一個(gè)資源池內(nèi)的云主機(jī)可在資源池內(nèi)的物理服務(wù)器上動(dòng)態(tài)漂移，實(shí)現(xiàn)資源的動(dòng)態(tài)調(diào)配。

建成后的虛擬化系統(tǒng)，虛擬機(jī)之間安全隔離;虛擬機(jī)可以實(shí)現(xiàn)物理機(jī)的全部功能;兼容主要服務(wù)器廠商的主流x86服務(wù)器、主流存儲(chǔ)陣列產(chǎn)品、運(yùn)行在x86服務(wù)器上的主流操作系統(tǒng)，并支持主流應(yīng)用軟件的運(yùn)行。

3.3.2高可用性設(shè)計(jì)

高可用性包括兩個(gè)方面：

虛擬機(jī)之間的隔離：每個(gè)虛擬機(jī)之間可以做到隔離保護(hù)，其中一個(gè)虛擬機(jī)發(fā)生故障不會(huì)影響同一個(gè)物理機(jī)上的其他虛擬機(jī)。

物理機(jī)發(fā)生故障不會(huì)影響應(yīng)用：故障物理機(jī)上運(yùn)行的虛擬機(jī)可被自動(dòng)遷移接管，即虛擬機(jī)可以在同一集群內(nèi)的多臺(tái)服務(wù)器之間進(jìn)行遷移，從而實(shí)現(xiàn)多臺(tái)物理服務(wù)器之間的相互熱備，實(shí)現(xiàn)當(dāng)其中一個(gè)物理服務(wù)器發(fā)生故障時(shí)，自動(dòng)將其上面的虛擬機(jī)切換到其他的服務(wù)器，應(yīng)用在物理機(jī)宕機(jī)情況下保證零停機(jī)。虛擬機(jī)的遷移需要依賴共享存儲(chǔ)，關(guān)于共享存儲(chǔ)，后續(xù)章節(jié)將詳細(xì)介紹。

虛擬化平臺(tái) HA功能會(huì)監(jiān)控該集群下所有的主機(jī)和物理主機(jī)內(nèi)運(yùn)行的虛擬主機(jī)。當(dāng)物理主機(jī)發(fā)生故障，出現(xiàn)宕機(jī)時(shí)，HA功能組件會(huì)立即響應(yīng)并在集群內(nèi)另一臺(tái)主機(jī)上重啟該物理主機(jī)內(nèi)運(yùn)行的虛擬機(jī)。當(dāng)某一虛擬服務(wù)器發(fā)生故障時(shí)，HA功能也會(huì)自動(dòng)的將該虛擬機(jī)重新啟動(dòng)來(lái)恢復(fù)中斷的業(yè)務(wù)。

3.3.3動(dòng)態(tài)資源調(diào)度

在虛擬化環(huán)境中，如果生產(chǎn)環(huán)境的應(yīng)用整合到硬件資源相對(duì)匱乏的物理主機(jī)上，虛擬機(jī)的資源需求往往會(huì)成為瓶頸，全部資源需求很有可能超過(guò)主機(jī)的可用資源，這樣業(yè)務(wù)系統(tǒng)的性能也無(wú)法保障。

aSV虛擬化管理平臺(tái)提供的動(dòng)態(tài)資源調(diào)度技術(shù)，通過(guò)引入一個(gè)自動(dòng)化機(jī)制，持續(xù)地動(dòng)態(tài)平衡資源能力，將虛擬機(jī)遷移到有更多可用資源的主機(jī)上，確保每個(gè)虛擬機(jī)在任何節(jié)點(diǎn)都能及時(shí)地調(diào)用相應(yīng)的資源。即便大量運(yùn)行對(duì)CPU和內(nèi)存占用較高的虛擬機(jī)（比如數(shù)據(jù)庫(kù)虛擬機(jī)），只要開(kāi)啟了動(dòng)態(tài)資源調(diào)度功能，就可實(shí)現(xiàn)全自動(dòng)化的資源分配和負(fù)載平衡功能，也可以顯著地降低數(shù)據(jù)中心的成本與運(yùn)營(yíng)費(fèi)用。

3.4存儲(chǔ)虛擬化設(shè)計(jì)

aSAN是基于分布式文件系統(tǒng)作為超融合架構(gòu)中的重要組成部分，為云計(jì)算環(huán)境而設(shè)計(jì)，融合了分布式緩存、SSD讀寫(xiě)緩存加速、多副本機(jī)制保障、故障自動(dòng)重構(gòu)機(jī)制等諸多存儲(chǔ)技術(shù)，能夠滿足關(guān)鍵業(yè)務(wù)的存儲(chǔ)需求，保證客戶業(yè)務(wù)高效穩(wěn)定可靠的運(yùn)行。

融媒體平臺(tái)運(yùn)行業(yè)務(wù)均為超融合生產(chǎn)業(yè)務(wù)系統(tǒng)，對(duì)IO性能、容量擴(kuò)展和彈性擴(kuò)拓展提出了新的要求，不同業(yè)務(wù)系統(tǒng)對(duì)平臺(tái)需求不盡相同，上表對(duì)報(bào)社業(yè)務(wù)系統(tǒng)做了簡(jiǎn)單分類(lèi)，生產(chǎn)業(yè)務(wù)系統(tǒng)。

3.4.1數(shù)據(jù)保護(hù)和高可用性

在可靠性方面，虛擬化存儲(chǔ)aSAN沒(méi)有采用傳統(tǒng)FC存儲(chǔ)的raid方式，而是把每份數(shù)據(jù)復(fù)制成多份副本進(jìn)行多副本存儲(chǔ)，服務(wù)器只需要以常規(guī)手段掛載硬盤(pán)，虛擬化存儲(chǔ)平臺(tái)會(huì)把數(shù)據(jù)、在不同的物理服務(wù)器硬盤(pán)里創(chuàng)建2個(gè)到3個(gè)一樣的副本。而且，每一次數(shù)據(jù)的變化，都會(huì)通過(guò)網(wǎng)絡(luò)，同時(shí)在aSAN中的所有副本里進(jìn)行同步，從而確保數(shù)據(jù)的一致性。這樣做的好處非常明顯，多副本的同步存儲(chǔ)方式，能夠在最大程度上確保數(shù)據(jù)的互備效果，從而低成本的實(shí)現(xiàn)存儲(chǔ)的高可靠。

由于aSAN存儲(chǔ)虛擬化采用副本方式保存數(shù)據(jù)，支持2-3份副本。當(dāng)物理硬盤(pán)出現(xiàn)故障的時(shí)候，存儲(chǔ)則會(huì)被重新指向另外一個(gè)健康的副本，整個(gè)過(guò)程是毫秒級(jí)的切換，對(duì)用戶來(lái)講基本是無(wú)感知的。

如果不幸遇上了物理主機(jī)或者是網(wǎng)絡(luò)故障，整個(gè)虛擬化平臺(tái)可以完成分鐘級(jí)的切換，業(yè)務(wù)系統(tǒng)或者網(wǎng)絡(luò)設(shè)備的虛機(jī)可以快速切換到另一臺(tái)服務(wù)器拉起，幾分鐘就能恢復(fù)正常運(yùn)作，而存儲(chǔ)的指向仍然保持了同步，這樣就比傳統(tǒng)方式的業(yè)務(wù)恢復(fù)速度快了很多。

3.4.2自動(dòng)化運(yùn)維

企業(yè)云提供一鍵式的自動(dòng)化運(yùn)維手段，通過(guò)平臺(tái)提供的一鍵故障檢測(cè)、一鍵健康檢測(cè)，通過(guò)平臺(tái)提供故障定位分析，能夠快速分析出問(wèn)題節(jié)點(diǎn)，并能夠指出具體的原因和修復(fù)的指導(dǎo)、而平臺(tái)提供的一鍵健康檢測(cè)，能夠快速分析出平臺(tái)潛在的業(yè)務(wù)風(fēng)險(xiǎn)，包括各種和資源性能或者容量風(fēng)險(xiǎn)，平臺(tái)管理和租戶管理員，可以根據(jù)系統(tǒng)建議，可以選擇手動(dòng)或者自動(dòng)的方式，實(shí)現(xiàn)業(yè)務(wù)的故障排除和資源優(yōu)化。

結(jié)語(yǔ)

媒體融合發(fā)展之路會(huì)是個(gè)不斷改革不斷創(chuàng)新的過(guò)程，在這個(gè)過(guò)程中需要更好的底層架構(gòu)來(lái)承載業(yè)務(wù)，需要更有效的安全防護(hù)。本文中，通過(guò)分析當(dāng)前融媒體業(yè)務(wù)特性以及政策導(dǎo)向，結(jié)合業(yè)務(wù)安全現(xiàn)狀和業(yè)務(wù)云化趨勢(shì)，給出當(dāng)前融媒體建設(shè)中業(yè)務(wù)安全建設(shè)和業(yè)務(wù)云化設(shè)計(jì)的解決方案，該解決方案最終期望交付給融媒體建設(shè)用戶一個(gè)穩(wěn)定、簡(jiǎn)單、安全和高效的網(wǎng)絡(luò)和計(jì)算環(huán)境，助力融媒建設(shè)智慧轉(zhuǎn)型。

[1]百度百科“融媒體”詞條[EB/OL].https：//baike.baidu.com/item/融媒體/4588919？fr=aladdin.2019（12）：25.

[2]國(guó)家廣電總局官網(wǎng).中宣部、國(guó)家廣電總局發(fā)布《縣級(jí)融媒體中心建設(shè)規(guī)范》[J].中國(guó)廣播，2019，309（3）：15.

[3]國(guó)家廣播電視總局官網(wǎng).國(guó)家發(fā)布縣級(jí)融媒體中心建設(shè)標(biāo)準(zhǔn)和規(guī)范[J].新聞?wù)搲?019，199（1）：108.

[4]深信服科技.央視報(bào)道等保2.0標(biāo)準(zhǔn)發(fā)布，合規(guī)建設(shè)時(shí)不我待[Z/OL].2019-05-29.

[5]深信服科技.數(shù)字化熱力升級(jí)，2019深信服創(chuàng)新大會(huì)有點(diǎn)不一樣！[Z/OL].2019-08-16.

作者簡(jiǎn)介：張明全，男，漢族，深信服科技股份有限公司媒體事業(yè)部網(wǎng)絡(luò)安全運(yùn)營(yíng)專家，研究方向：網(wǎng)絡(luò)安全運(yùn)營(yíng)。