EASTED云管理平台解决方案v1.0

块存储系统的目的是让虚拟机的用户附加存储卷的任何实例。如果虚拟机实例启动失败,用户的EBS卷自动分离,保证用户数据完好无损,然后,用户可以重新装上卷到一个新的实例,并迅速恢复数据。

存储卷就像原始、未格式化的块设备,为用户提供设备的名称和块设备接口。资源池管理平台的EBS卷上,用户可以创建一个文件系统,或以任何其他方式如:使用一个块设备(如:硬盘驱动器)的方式来使用它们。

资源池管理平台的EBS卷放置在一个特定的可用性区域,然后可以连接实例到同一可用性区域。

块存储系统还提供了创建时间点的快照,这些快照可以被用作新的EBS卷的起始点。 块存储系统提供的备份在某时间点的快照。FC-SAN块存储系统的快照增量备份,这意味着,只有自用户上次快照后发生改变的设备块将被保存。如果有一个100GB的数据的设备,但只有5GB的数据已经改变,因为最后一个快照,只有5个额外的EBS快照数据将被存储到二级存储。当用户删除一个快照时,只有不为任何其他快照所需的数据将被删除,所以,不管这之前的快照是否已被删除,所有活动的快照将包含所有需要恢复卷的信息。 块存储系统使用非常简单,但提供无限的选择:快照、可用性、性价比,并提供大量的自动化。毫不夸张地说,块存储系统带来云计算的一个全新的水平。

3.1.2.3 对象存储

对象存储系统提供HttpWeb访问服务,以Restful方式提供给应用开发,兼容亚马逊的S3和Swfit。其核心就是将任何类型的数据当作对象,存储到对象存储提供的空间中。用户可以写入、读取、删除、复制存储空间中的任意对象。同时可以控制存储空间的访问权限、查看该存储空间的访问日志及其对象。向用户提供各种类型数据的存储、访问、备份、共享等管理功能。应用场景包括:网盘应用、存储备份、海量数据存储、BigData分析、HPC数据处理。

基于对象的分布式存储系统的由接口层、服务层、存储层和系统管理模块构成。接口层通过负载均衡和WEB服务为用户应用系统及资源池管理平台提供基于HTTP协议的对象存储服务。服务层实现对象、容器及用户相关的具体功能。存储层使用基于X86架构服务器集群的分布式存储系统实现数据的存取。分布式存储系统提供容器信息、对象内容和对象属性所需要的存储空间和相关存储机制及元数据信息。

系统管理是分布式存储系统内部进行运维的管理控制单元,同时实现资源池管理平台接口实现。系统管理包括计量信息、用户控制、日志管理、统计报表和运维管理等模块。通过对象存储系统为客户提供可按需扩展的文档存储空间,用户可对任何类型的文档进行上传、下载、删除等操作。

3.1.3 网络架构设计

系统组网图

3.1.3.1 系统组网说明

整个业务云系统网络采用大二层结构设计,资源设备由接入交换机直接连到核心交换,取消传统三层架构中的汇聚层。如上图所示,系统的网络构架分为运营管理层、业务层、核心层及网络出口层,以下详细介绍每一层的功能和特点:

? 业务层

业务层提供了各类应用所需的计算、存储资源,并将这些资源接出到外部。业务层的通过资源的分类,又将网络划分为三个区域:主存储、二级存储、计算资源。根据不同应用对各类资源的不同需求,实现资源的按需分配和动态调度。

基于统一平台的原则,计算资源均采用X86平台,主存储可使用IPSAN或FCSAN,二级存储可使用分布式NAS设备。

? 核心层

核心网络层需要支撑整个系统的数据交换和传输功能,是决定系统网络性能的关键区域。

? 运营管理层

运营管理层配备一台X86服务器,在其上部署虚拟化软件,再将云平台部署在虚拟化硬件上。

? 网络出口层

通过双网络出口和万兆光纤接出。 ? 虚拟机网络 事实上,业务云系统中还有另外一个网络平面—虚拟机网络。业务系统运行在虚拟机上,众多的业务虚拟机组成了一个虚拟机网络平台。根据不同的业务需要,虚拟机需要通过VLAN来相互隔离,起到多租户,多业务安全作用。

3.1.3.2 网络方案亮点

3.1.3.2.1 二层网络架构

三层架构

核心层 汇聚层 接入层 服务器 分区1 分区2

传统的网络方案一般采用接入、汇聚、核心三层架构。三层架构下可以保证网络具备很好的扩展性,同一个分区内服务器接入密度高。但三层架构网络设备较多,不便于网络管理,运维工作量大。同时组网成本相对较高。

二层架构

核心层 接入层 服务器

分区1 分区2

随着交换机的端口接入密度也越来越高,二层组网的扩展性和密度已经能够很好的满足绝大多数服务器接入的要求。在服务器虚拟化技术应用越来越广泛的趋势下,二层架构更容易实现VLAN的大二层互通,满足虚拟机的部署和迁移。相比三层架构,二层架构可以大大简化网络的运维与管理

3.1.3.2.2 DMZ区划分

DMZ(DemilitarizedZone)即俗称的非军事区,与军事区和信任区相对应,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等,即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。

当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。

? 内网可以访问外网

内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。 ? 内网可以访问DMZ

此策略是为了方便内网用户使用和管理DMZ中的服务器。 ? 外网不能访问内网

很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。 ? 外网可以访问DMZ

DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。

? DMZ不能访问内网

很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。

? DMZ不能访问外网

此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全。 在本方案中采用防火墙设备提供的虚拟防火墙实现。虚拟防火墙是一个逻辑概念,可以在一个单一的硬件平台上提供多个防火墙实体,即,将一台防火墙设备在逻辑上划分成多台虚拟防火墙,每台虚拟防火墙都可以被看成是一台完全独立的防火墙设备,可拥有独立的管理员、安全策略、用户认证数据库等。每个虚拟防火墙能够实现防火墙的大部分特性。每个虚拟防火墙之间相互独立,一般情况下不允许相互通信。 SecPath/SecBlade虚拟防火墙具有如下技术特点:

每个虚拟防火墙维护自己一组安全区域

每个虚拟防火墙维护自己的一组资源对象(地址/地址组,服务/服务组等) 每个虚拟防火墙维护自己的包过滤策略

每个虚拟防火墙维护自己的ASPF策略、NAT策略、ALG策略

限制每个虚拟防火墙占用资源数:防火墙Session以及ASPFSession数目 虚拟防火墙预先定义了四个安全区域,这些安全区域也称为系统安全区域,分别为Local区域、Trust区域、Untrust区域和DMZ区域。这些区域分别代表了不同的安全级别,安全级别由高到低依次为Local、Trust、DMZ、Untrust。Untrust区域连接外部Internet网,Truste区域连接云内网,DMZ规划资源池用于业务需要的WebServer,MailServer及其他的需要暴露到公网的服务。

此处由于DMZ区域的资源需有云管理平台统一管理,故需要为管理网络同样配置虚拟防火墙实例,按照同样的方式配置DMZ区。即Trust域为云管理平台,DMZ区连接资源的管理面网络交换机,此虚拟防火墙不提供公网到DMZ的访问能力。

3.1.3.2.3 多业务、多租户网络隔离

系统提供以下几个层次的网络隔离手段来达到端到端的多租户的业务安全 ? 系统网络系统物理隔离

? 基础设施的云管理平台、云存储平台、云计算平台物理隔离

整个系统中网络按照通信类型分为管理、存储、业务3类,所有资源池中的计算资源(服务器)通过多网卡(6个)连入不同的物理网络,提供完全的物 ? 隔离基础设施与公网之间通过防火墙隔离

所有基础架构的设备均通过防火墙与公网隔离,提供DMZ区来开放必须对外提供的服务的Web,Mail服务,通过内部的防火墙加强对核心的云管理平台、云存储平台、云计算平台网络进行保护

? 租户隔离

通过将不同租户的虚拟机网络使用不同VLAN来达到隔离互不影响 ? 业务隔离

? 不同业务之间VLAN隔离

提供同一用户的不同业务和不同用户的业务均采用VLAN隔离来加强网络安全 ? 业务之间VPN隔离

通过VPN来连接业务云和MDCN网络中同类型业务,达到整合业务系统的目的,同时保证也业务隔离互不影响 ? 同一业务虚拟机之间安全组隔离

3.1.3.3 与其他系统对接情况

云管理 云数据中心 云计算 基础设施物理隔离 安全组隔离 VPN隔现有业务A 现有业务B 云存储 业务A 业务B 业务C VLAN1VLAN2VLAN3VPVPVP现有业务C 如上图所示,与已有的业务系统对接,完成统一的业务系统。实现上通过虚拟防火墙提供的VPN能力来连接业务云中的各网中业务和DCN中的业务。

虚拟防火墙是一个逻辑上的概念,每个虚拟防火墙都是VPN实例和安全实例的综合体,能够为虚拟防火墙用户提供私有的路由转发业务和安全服务。每个虚拟防火墙中可以包含三层接口、二层物理接口、二层VLAN子接口和二层Trunk接口+VLAN。

VPN实例与虚拟防火墙是一一对应的,它为虚拟防火墙提供相互隔离的VPN路由,与虚拟防火墙相关的信息主要包括:VPN路由以及与VPN实例绑定的接口。VPN路由将为转发来自与VPN实例绑定的接口的报文提供路由支持。

安全实例为虚拟防火墙提供相互隔离的安全服务,同样与虚拟防火墙一一对应。安全实例具备私有的ACL规则组和NAT地址池;安全实例能够为虚拟防火墙提供地址转换、包过滤、ASPF和NATALG等私有的安全服务。

通过在DCN网络侧的防火墙,为不同的业务配置不同的VPN实例来达到业务隔离的目的。一方面是为了解决业务多实例的问题,更主要的是为了将一个物理防火墙划分为多个逻辑防火墙来用。多个逻辑防火墙可以分别配置单独不同的安全策略,同时默认情况下,不同的虚拟防火墙之间是默认隔离的。

3.1.4 部署架构设计

系统部署的架构如下图所示:

为了便于对资源分类和异构管理,以及对后续的扩展,每个数据中心均为独立的系统。每个数据中心都有自己的管理节点,提供各自的管理门户,各管理节点的用户中心指向主控管理节点的用户中心。其效果是同一套用户和权限可同时管理多个数据中心,并且在支持各类异构资源池的同时,能够保留该资源池的特性,当其中一个资源池中的管理节点发生故障时不会影响其他管理节点的正常运行。用户还可以为不同的数据中心指定资源池的密级,只有指定密级的资源才可以创建在这些数据中心内。

3.2 功能设计

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4