基于超融合技术的学校数据中心网络安全设计

杨 名

(广西工商职业技术学院,广西 南宁 530008)

0 引言

目前建设数据中心的两类技术架构,包括传统数据中心架构、超融合数据中心架构,传统技术架构作为建设数据中心的主流方案,利用光纤交换网连接到容量专业存储设备与高性能服务器,具备了分离计算、存储、网络的特点[1]。 随着业务数据量的逐渐增加,传统技术架构在实际应用中易出现存储性能瓶颈,再加上此种架构初期投入较大,复杂的设备连接、部署调试,后期拓展与管理并不便利,难度较大[2]。 超融合技术是基于超融合架构,在一台服务器中集成存储、网络、计算,聚合多台服务器后形成群集统一运维管理。 超融合架构技术与传统数据中心技术相比,能够在一个单元节点内融合计算、存储等资源,无需传统架构利用FC 链路、SAN 交换机存取,有效所建存取路径提高读写性能[3]。 并且超融合技术分布式架构,避免发生数据丢失问题,多单元节点形成集群有效消除单点故障,在建设初期成本较低,可以方便快捷地部署管理,在这些独特优势下本文提出基于超融合技术的学校数据中心网络安全设计思路,旨在能够提高学校信息化教学管理水平。

1 学校数据中心建设需求及总体思路

在建设学校数据中心时,一般对计算性能、数据容量技术标准要求不高,再加上初期建设启动资金成本有限,那么为了尽可能满足学校的近期信息化技术需求,总体设计思路就是一方面要充分利用有限资金成本,优化资源配置中,另一方面要选择具备高效拓展性的技术架构,确保充足拓展接口,满足未来业务成本增加对软硬件资源的增长需求[4]。

不难发现为了达到上述学校数据中心建设需求,以某学校为例在建设一期投入60 万元资金预算下,基于超融合技术的学校数据中心网络安全设计。 目前该校已有20 余个应用系统,再加上建设智慧校园中所包含的一卡通、学工等应用系统,预计在3 年内建设业务系统可以满足50 个以内的虚拟机运行要求。 一个虚拟机的软硬件配制性能参数如下:1 个CPU 内核总数≥50、8 G 内存总数≥400 G、1 T 硬盘总配制存储容量≥90 T;数据中心后续可拓展核心交换网容量≥2.56 Tbps,包转发率≥720 Mpps;分布式存储、弹性扩容、可视化运维,具备均衡负载、网络安全虚拟化功能。

2 超融合数据中心建设方案

2.1 服务器虚拟化及桌面虚拟化

对超融合技术理解之前,需要对虚拟化机构简单理解,虚拟化技术就是经特定软件技术,虚拟一台计算机为若干个逻辑计算机,可以成功运行若干个操作系统,各系统独立运行互不干扰,满足了IT 资源灵活化动态调配、跨域互通共享,极大地降低系统成本提高运行效率。 服务器虚拟化可以分割单个物理服务器为多个小型虚拟服务器,均以一台实体机运行多个虚拟服务器,如支持文件共享、数据库、媒体交付、图形虚拟化[5]。

桌面虚拟化作为虚拟化计算机终端系统,能够在任何时间、地点满足用户远程访问桌面系统,目前桌面虚拟化主要包括两大阵营,其一为集中计算管理;其二为分布式计算集中管理。 用户能够以自身差异化需求选择不同模式,第一种集中计算管理可以突破地域限制,实现桌面漫游管理;第二种分布式计算集中管理模式,能够集中简化、部署,充分利用终端设备硬件资源[6]。

2.2 超融合数据中心建设标准及要求

超融合产品是基于分布式、大数据、云计算等核心技术支承,借鉴国内外云安全、国家级保护标准,与共性与特性超融合数据中心安全建设标准体系如下。

(1)《平台与应用安全》参照CAS 云计算安全技术,着重对Web 漏洞、平台API、资源授权管理平台的安全防护;

(2)《通信网络安全》《物理环境安全》作为超融合数据中心信息安全优化拓展标准,着重对多因子身份鉴别准入,访问授权以及用户操作应用全程加密防护;

(3)《数据安全》《制度执行及人员管理安全》恢复存储资源高可用性,秒级热备,重点保障数据根据APIT持续任意点可回溯,数据保密与高可用性,快速备份恢复;

(4)依据超融合核心数据保密性,根据管理特性安全需求及隐患,参照国际惯例安全模型PDDR 加以拓宽,提出P2DR2M 模型在安全策略、防护技术、灾难恢复管理及入侵检测,从多维度提出解决方案,构建超融合场景打造与企业共性相符的安全、优秀超融合产品。

3 超融合数据中心网络安全技术架构

3.1 资源池设计实现

图1 为本次设计超融合技术数据中心网络安全架构图,包括基础架构层、数据中心业务层、VDC 与VPC 层。

图1 超融合平台基础架构

(1)超融合基础架构层:经万兆数据中心交换机与超融合设备相连接,提供万兆数据交换接口,满足海量数据交换。 超融合设备提供多节点,提供等同硬件配置,提供双活、备份及冗余支持。 在标配情况下提供48T 存储资源,运用VMware 对资源统一调配,这样超融合设备能够“多虚一、一虚多”运行模式下,在统一管理中实现对全部资源池的管理分配。

(2)数据中心业务层:经VMware 统一资源管理各功能模块,构建高拓展性、灵活高效的数据中心,很大程度降低了数据资源调配,简化了数据中心的业务管理操作难易程度。

(3)VDC 及VPC 层:VDC 作为虚拟机数据中心,作为IaaS 资源逻辑抽象,用于可用CPU、存储、内存资源、网络管理,具备了自动化、虚拟化,分离资源自主分配管理,虚拟私有云VPC 能够创建VDC 资源,提供网络安全防护与多条数据网络,突破完整IP 地址限制,具备安全组、负载均衡、弹性、VPN 等高性能。

表1 为本次超融合数据中心主要设备配置参数,包括3 台超融合主机、2 台万兆数据中心交换机、1 套超融合软件。

表1 超融合数据中心相关配置参数

3.2 拓扑结构

图2 为虚拟化与超融合架构参数对比,在超融合分布式架构新平台,连接原本UCS 服务器及SAN 存储,成功融合了原本设备及新架构,保证了原本设备投资的物尽其用。

图2 虚拟化与超融合架构参数对比

经虚拟交换机与数据中心虚拟服务实现的复制、迁移功能,能够实时无中断的迁移,对相关业务及服务不中断基础上,实现各物理服务器的数据迁移。 可以支持独立测试区域恢复测试,在对服务运行不影响基础上进行系统恢复测试,对正常系统运行造成影响。建立系统容错机制,对于虚拟机服务器故障问题,虚拟机可以自动触发故障切换计划,实现虚拟机硬件资源调配,提高系统综合性能。 结合上述分析超融合技术对比传统虚拟架构,具备更强的系统稳定性、存储利用性、提高性能降低能耗,增强了系统的功能拓展性。

4 超融合数据中心网络安全设计应用

通过运用超融合技术虚拟化特点,利用服务形式为数据中心提供云环境,建设与数据中心相符的私有云平台,这样能够满足日益增长的软硬件建设要求。此项目能够满足240 个Visual CPU,存储容量144 TB,内存1.5 TB,直至部署完成所有超融合数据中心网络安全中心软硬件环境,之后即可开始进行虚拟机配置。经系统管理平台优化所有软硬件资源,包括硬盘、CPU、USB 接口、内存等,满足系统软硬件需求,对动态化分配做出及时调整,这能够极大促进提升信息系统建设效率。 为了保证超融合数据中心网络安全性,设计了资源冗余处理功能,经RAID 自动化备份相关数据,能够一旦在损坏用户数据后,充分运用备份数据恢复受损数据,确保用户数据安全性。

依据超融合数据中心网络安全设计应用所需,开通CRP 数字化管理系统、学院门户网站群、DASCOM教学管理平台,高校数字化资源库平台,OA 系统,各院教学管理共计16 个虚拟机,经压力测试发现能够达到10%的系统CPU 利用率,达到30%的存储空间利用率[7-9]。 通过建设超融合平台达到30%的存储空间利用率。 经建设超融合平台,可以奠定“智慧工程”基础,助推学员整合应用系统、业务平台及IP 运维平台,通过网上办事大厅跨越至一体化智能管理服务平台。 目前已经基本整合了该校的所有业务系统,用户能够经统一身份认证即可无感知认证系统,对师生的数据中心应用提供极大便利,对所有数据接口严格规范,方便对接未来新增业务扩容其他系统并满足发展所需。 通过为期1 年的超融合数据中心系统测试,系统运行均稳定,无论用户体验及数据安全性,满足了数据中心建设需求。

5 结语

本文提出基于超融合技术数据中心网络安全设计思路,在数据中心系统基础架构,融合传统存储、网络构件,保证云平台的高效运行有助于横向系统扩展,顺应行业发展。 主流融合技术可以划分网络为集群管理、带外管理、业务网、存储网及接口网,与超融合技术特点相结合,综合考虑各类风险问题提出网络设计思路,强化网络安全设计服务各类场景。