李 玨,譚海波,李 波,金石聲,汪 華

(貴州省氣象信息中心，貴州 貴陽 550002)

0 引言

貴州省氣象局利用超融合技術(shù)搭建了虛擬化云平臺(tái)[1]，該平臺(tái)由23臺(tái)物理服務(wù)器組成，其中虛擬CPU共計(jì)3022核、計(jì)算存儲(chǔ)7100G、存儲(chǔ)219T，目前已搭建虛擬機(jī)145個(gè)，運(yùn)行中106個(gè)，后續(xù)還將承擔(dān)核心資源池內(nèi)的大量核心業(yè)務(wù)系統(tǒng)的遷入,為整個(gè)氣象局提供云計(jì)算服務(wù)[2]。

當(dāng)前省局資源池部署了大量虛擬機(jī)，承載了省局較多的業(yè)務(wù)系統(tǒng)，由于省局單位部門多，虛擬機(jī)用途各異，資源池中有生產(chǎn)機(jī)、測(cè)試機(jī)、模板機(jī)等，總體規(guī)劃混亂，存在虛擬機(jī)的歸屬單位不明確，不同功能用途的虛擬機(jī)劃分管理不清楚等問題。此外還存在各單位虛擬機(jī)之間為互通狀態(tài)的問題，一旦某單位的業(yè)務(wù)發(fā)生安全事件，在未及時(shí)發(fā)現(xiàn)的情況下，則極易導(dǎo)致其他虛擬機(jī)上的業(yè)務(wù)遭受攻擊，致使氣象業(yè)務(wù)遭受極大的影響和損失。

1 虛擬化云平臺(tái)架構(gòu)的規(guī)劃與設(shè)計(jì)

虛擬化整體設(shè)計(jì)思路旨在將各種分散的硬件資源通過虛擬化技術(shù)集中成為一個(gè)整體，達(dá)到按需取用，按需分配，按需擴(kuò)展的云化資源池，從而提升資源利用率，降低能耗和管理復(fù)雜度，提升業(yè)務(wù)使用效率和管理效率。當(dāng)前資源池中虛擬機(jī)數(shù)量較多，總體部署較為混亂，為實(shí)現(xiàn)虛擬機(jī)的便捷化管理，保障不同單位之間的業(yè)務(wù)安全，對(duì)虛擬機(jī)部署方式進(jìn)行了規(guī)劃。如圖1所示。

圖1 氣象虛擬化資源池規(guī)劃設(shè)計(jì)拓?fù)銯ig.1 Planning and design topology of weather virtualization resource pool

1.1 區(qū)域劃分

根據(jù)業(yè)務(wù)運(yùn)行的特點(diǎn)將虛擬化云平臺(tái)劃分為數(shù)據(jù)中心資源池、DMZ區(qū)、中試區(qū)3個(gè)區(qū)域，其中數(shù)據(jù)中心資源池承載核心業(yè)務(wù)系統(tǒng)、科研系統(tǒng)等業(yè)務(wù)；DMZ區(qū)承載基于內(nèi)部數(shù)據(jù)的對(duì)外服務(wù)業(yè)務(wù)；中試區(qū)則承載對(duì)外服務(wù)網(wǎng)站、APP等業(yè)務(wù)。

1.2 安全防護(hù)設(shè)計(jì)

邊界安全：目前在DMZ區(qū)超融合資源池和中試區(qū)資源池出口部署了防火墻設(shè)備，用于提供L2-7層安全防護(hù)，實(shí)現(xiàn)邊界訪問控制、入侵防御、惡意代碼防護(hù)等功能。

主機(jī)安全：在行政樓、中試區(qū)、DMZ區(qū)這3個(gè)超融合資源池集群中的虛擬機(jī)上，部署終端防護(hù)軟件，用于實(shí)現(xiàn)漏洞檢測(cè)、后門檢測(cè)、弱密碼檢測(cè)、暴力破解檢測(cè)、僵尸主機(jī)檢測(cè)、病毒和木馬查殺等功能。

資源池內(nèi)部安全：內(nèi)部安全指的是資源池東西向流量安全,當(dāng)前超融合資源池中部分虛擬機(jī)之間設(shè)置了分布式防火墻策略，用于實(shí)現(xiàn)虛擬機(jī)與虛擬機(jī)之間的安全防護(hù)[3]。

業(yè)務(wù)訪問控制：鑒于當(dāng)前超融合資源池建設(shè)有各單位業(yè)務(wù)系統(tǒng)，為有效保障各單位的業(yè)務(wù)安全，在對(duì)虛擬機(jī)進(jìn)行歸屬劃分后，在相應(yīng)的路由器和交換機(jī)上設(shè)置安全訪問策略，以實(shí)現(xiàn)不同單位之間業(yè)務(wù)的訪問隔離，并對(duì)存在互訪的業(yè)務(wù)做單獨(dú)的訪問處置，以保障業(yè)務(wù)的安全性。

橫向安全防護(hù)：普通防火墻只能保護(hù)邊界，也就是在資源池環(huán)境中所謂的南北向流量。對(duì)于數(shù)據(jù)中心內(nèi)部的東西向流量則無法進(jìn)行控制。超融合資源池平臺(tái)中分布式防火墻支持東西、南北向4層隔離，提高數(shù)據(jù)中心內(nèi)部的安全。

分布式防火墻支持根據(jù)IP、IP組、虛擬機(jī)、虛擬機(jī)組和虛擬機(jī)標(biāo)簽對(duì)流量進(jìn)行控制。建議將需要隔離控制的虛擬機(jī)放在不同的虛擬機(jī)組，相同業(yè)務(wù)或者不需要隔離的虛擬機(jī)放在相同的虛擬機(jī)組，然后根據(jù)虛擬機(jī)組對(duì)業(yè)務(wù)系統(tǒng)的流量進(jìn)行隔離，只要將虛擬機(jī)放在策略匹配的組就會(huì)對(duì)流量進(jìn)行控制。

2 虛擬機(jī)部署原則

2.1 新建虛擬機(jī)

虛擬機(jī)是運(yùn)行操作系統(tǒng)和應(yīng)用程序的軟件計(jì)算機(jī)，與物理主機(jī)相似，需要設(shè)計(jì)CPU、內(nèi)存、磁盤、網(wǎng)卡等硬件配置。在通常情況下，參照行業(yè)標(biāo)準(zhǔn)進(jìn)行虛擬機(jī)配置。

新建業(yè)務(wù)虛擬機(jī)資源分配情況需根據(jù)業(yè)務(wù)所需資源實(shí)際情況而定。

①虛擬機(jī)資源評(píng)估原則：考慮3～5 a的業(yè)務(wù)增長規(guī)模帶來的資源空間需求，評(píng)估的資源需要預(yù)留30%以上。

②虛擬機(jī)副本：在新的版本中，當(dāng)創(chuàng)建虛擬機(jī)時(shí)，可以根據(jù)業(yè)務(wù)的重要性選擇副本數(shù)量。如果是非常重要的業(yè)務(wù)，可以選擇3副本進(jìn)行創(chuàng)建，這樣在集群中將會(huì)存在該虛擬機(jī)的3個(gè)副本數(shù)，保障了業(yè)務(wù)的可靠性。

③模版虛擬機(jī)制作：制作模版虛擬機(jī)時(shí)，建議使用最新且穩(wěn)定的正版操作系統(tǒng)，安裝好需要的系統(tǒng)軟件環(huán)境及性能優(yōu)化工具，更新系統(tǒng)補(bǔ)丁并安裝終端防護(hù)軟件。

④虛擬機(jī)賬號(hào)管理：新建虛擬機(jī)時(shí)做好操作記錄、記錄業(yè)務(wù)單位和責(zé)任人、聯(lián)系方式等。保存好超級(jí)管理員，然后建立二級(jí)管理員給業(yè)務(wù)人員使用。

⑤虛擬機(jī)克?。菏褂媚０嫣摂M機(jī)進(jìn)行克隆可以提升虛擬機(jī)部署的效率，克隆時(shí)勾選重新生成UUID。

相同的操作系統(tǒng)部署不同的應(yīng)用時(shí)，建議在虛擬機(jī)安裝操作系統(tǒng)后進(jìn)行克隆，然后分別部署不同的應(yīng)用。

相同的操作系統(tǒng)部署相同的應(yīng)用時(shí)，可以使用一個(gè)虛擬機(jī)安裝操作系統(tǒng)并部署應(yīng)用，然后轉(zhuǎn)換為模板進(jìn)行派生。

⑥虛擬機(jī)備份：建立虛擬機(jī)之后，需要確定備份級(jí)別，根據(jù)不同的備份級(jí)別做不同的備份策略。

2.2 物理機(jī)或虛擬機(jī)遷移

一般情況下物理環(huán)境業(yè)務(wù)系統(tǒng)的硬件配置都有一定的冗余，為了更好的利用超融合平臺(tái)上的物理資源，建議遷移過來的業(yè)務(wù)系統(tǒng)的基礎(chǔ)環(huán)境配置可以根據(jù)上面采集到的系統(tǒng)信息進(jìn)行修改并遵循以下原則：

①CPU：虛擬機(jī)的虛擬CPU核數(shù)不低于物理機(jī)的CPU核數(shù),但是如果實(shí)際 CPU數(shù)超過最佳實(shí)踐的CPU核數(shù)，以最佳實(shí)踐 CPU核數(shù)為準(zhǔn)。

②內(nèi)存：內(nèi)存的配置為物理機(jī)業(yè)務(wù)高峰期時(shí)實(shí)際使用內(nèi)存的1.5倍；比較特殊的業(yè)務(wù)還可以使用動(dòng)態(tài)內(nèi)存自動(dòng)添加功能。

③磁盤：磁盤的配置可以根據(jù)原有業(yè)務(wù)系統(tǒng)的磁盤容量然后除以運(yùn)行年限，估算出客戶每年的數(shù)據(jù)增長情況，然后規(guī)劃出后續(xù)4 a的磁盤增長情況進(jìn)行評(píng)估需要的磁盤容量。

④網(wǎng)絡(luò)流量：根據(jù)實(shí)際應(yīng)用系統(tǒng)的流量特征進(jìn)行評(píng)估，應(yīng)當(dāng)區(qū)分虛擬機(jī)之間的流量(東西向)，以及虛擬機(jī)與物理網(wǎng)絡(luò)之間的流量(南北向)。

2.3 虛擬機(jī)備份分級(jí)

2.3.1 虛擬機(jī)備份級(jí)別設(shè)置 根據(jù)業(yè)務(wù)需要的備份需求，進(jìn)行備份策略的選擇，可參考以下備份級(jí)別進(jìn)行業(yè)務(wù)策略的備份配置。如表1所示。

表1 備份級(jí)別進(jìn)行業(yè)務(wù)策略的備份配置Tab.1 Backup configuration of business strategy at backup level

2.3.2 虛擬機(jī)備份方式

①快速備份(虛擬機(jī)備份)

虛擬機(jī)備份，是將虛擬機(jī)備份到其他存儲(chǔ)，作為容災(zāi)的一種手段，當(dāng)集群環(huán)境中主機(jī)或存儲(chǔ)故障時(shí)，可以從其他存儲(chǔ)中將虛擬機(jī)恢復(fù)出來繼續(xù)運(yùn)行。在建設(shè)虛擬機(jī)過程中可選擇默認(rèn)策略備份或自定義策略備份，對(duì)于重要的業(yè)務(wù)系統(tǒng)建議采用自定義備份策略，詳細(xì)備份策略需根據(jù)系統(tǒng)所需情況而定。

超融合平臺(tái)支持快速恢復(fù)功能，快速拉起整個(gè)過程在3 min內(nèi)完成，15 min內(nèi)性能爬升到正常使用的狀態(tài)，快速恢復(fù)業(yè)務(wù)運(yùn)行，極大地保障了業(yè)務(wù)連續(xù)性，RTO≤15 min。通過快速拉起全新虛擬機(jī)，可以快速驗(yàn)證備份的有效性，并保護(hù)此備份。自動(dòng)備份策略規(guī)劃如下：

②數(shù)據(jù)實(shí)時(shí)備份(CDP)

通過傳統(tǒng)的備份手段，大部分只能做到小時(shí)級(jí)別的備份，即RPO為1 h，這意味著一旦發(fā)生數(shù)據(jù)存儲(chǔ)故障，將會(huì)丟失小時(shí)級(jí)的數(shù)據(jù)量，這對(duì)一些關(guān)鍵業(yè)務(wù)而言是不可接受的，這些業(yè)務(wù)系統(tǒng)需要實(shí)現(xiàn)更細(xì)粒度的RPO備份，為了滿足這種需求，就需要對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行CDP保護(hù)。超融合平臺(tái)提供了一種低成本、易部署的CDP解決方案，能夠很方便的對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)開啟CDP保護(hù)功能。

3 結(jié)語

就目前運(yùn)行情況看來，基于超融合搭建的新虛擬化平臺(tái)，擁有較高的可靠性、實(shí)用性和可擴(kuò)展性，為各個(gè)業(yè)務(wù)單位申請(qǐng)資源提供科學(xué)的依據(jù)，同時(shí)安全性上達(dá)到貴州省氣象局使用虛擬化技術(shù)以來前所未有的程度。在今后的運(yùn)行過程中，依然存在各種問題，只有建立一套科學(xué)的管理體系，時(shí)刻強(qiáng)化對(duì)虛擬化云平臺(tái)的管理才能將該平臺(tái)發(fā)揮到極致，從而為氣象服務(wù)提供強(qiáng)有力的后盾。