劉博
【摘要】 隨著云計算、虛擬化技術的快速發(fā)展,云計算技術在中小型機場的應用逐漸廣泛。本文從網(wǎng)絡設計原則、網(wǎng)絡系統(tǒng)設計、網(wǎng)絡安全設計、網(wǎng)絡可靠性設計四個方面,淺談云計算在中小型企業(yè)的應用和建設。緊隨信息技術的高速發(fā)展,穩(wěn)步提升信息化管理水平,確保信息系統(tǒng)的先進性和可靠性,提升中小型機場的運營效率和服務質(zhì)量。
【關鍵詞】 網(wǎng)絡安全 虛擬化 云計算
隨著云計算、虛擬化技術的快速發(fā)展,云計算技術在中小型機場的應用逐漸廣泛。以機場IT規(guī)劃建設為中心,建設高效的機場生產(chǎn)運營管理系統(tǒng),提高機場運營效率和服務質(zhì)量,提升系統(tǒng)的決策能力。云計算已經(jīng)不再是幾年前的概念,而是真正落地的網(wǎng)絡建設項目。中小型機場的信息化發(fā)展應當緊隨信息技術的腳步,穩(wěn)步更新升級,確保信息系統(tǒng)的先進性,可靠性。
一、網(wǎng)絡設計原則
1、實用性原則。網(wǎng)絡設計要與機場業(yè)務需求深度融合,實用性強,以完全滿足當前業(yè)務需要為主要目標,兼顧今后5年甚至更長的業(yè)務發(fā)展需求,適當超前設計,分步實現(xiàn)目標。
2、先進性與經(jīng)濟性兼顧。在實用的前提下,跟蹤國內(nèi)外先進的信息技術和網(wǎng)絡通信技術,使基礎網(wǎng)絡具有較高的性能。避免重復建設和資源浪費,對現(xiàn)有的網(wǎng)絡設備要充分利用、合理整合、發(fā)揮效益。
3、架構清晰,流量明確。網(wǎng)絡中的每個模塊都要相對獨立,并提供公眾用戶的安全訪問。
4、簡單易用。網(wǎng)絡部署時,盡量部署單一的協(xié)議,多鏈路部署對稱的協(xié)議,通過最少的策略控制達到流控效果;對網(wǎng)絡運維時,做到業(yè)務可視化運維,自動故障檢測與通知,以及對網(wǎng)絡、業(yè)務運行趨勢的自動智能判斷。
5、易擴展、高彈性。后續(xù)網(wǎng)絡鏈路和節(jié)點的增加、減少以及修改不影響網(wǎng)絡的總體架構。網(wǎng)絡的擴展能力和處理性能應該能滿足未來5年內(nèi)的業(yè)務發(fā)展需求。
6、安全可靠。安全是整個網(wǎng)絡建設的重中之重。所以需要對逐級的網(wǎng)絡進行多層次、縱深的安全防御?;诮尤霕I(yè)務的重要程度,需要建設快收斂可自愈的可靠網(wǎng)絡。
二、網(wǎng)絡系統(tǒng)設計
網(wǎng)絡的邏輯平面劃分為管理平面、業(yè)務平面、存儲平面、虛擬機遷移四個部分,分別配置不同的vlan加以區(qū)分。
1、管理平面的網(wǎng)絡主要是實現(xiàn)數(shù)據(jù)中心網(wǎng)絡管理區(qū)域?qū)簶I(yè)務、存儲等區(qū)域的網(wǎng)絡管理,在數(shù)據(jù)中心的網(wǎng)絡管理區(qū)域放置了包括網(wǎng)絡管理平臺和云計算管理平臺,在這個平面的網(wǎng)絡,通過把管理數(shù)據(jù)流設置在一個特定的vlan中,在接入交換機和核心交換機上trunk這個vlan來實現(xiàn)。
2、業(yè)務平面的網(wǎng)絡主要是對外提供業(yè)務訪問,以及數(shù)據(jù)中心內(nèi)部系統(tǒng)的業(yè)務交換。業(yè)務平面的網(wǎng)絡設計,需要滿足大二層的網(wǎng)絡設計思路。把業(yè)務平面網(wǎng)絡的網(wǎng)關放在核心交換機上,讓整個數(shù)據(jù)中心業(yè)務區(qū)呈現(xiàn)扁平化的組網(wǎng)模型。大二層的網(wǎng)絡設計便于虛擬機的遷移,不同業(yè)務之間的安全隔離可以通過在核心交換機上的防火墻業(yè)務板卡來實現(xiàn)。
3、存儲平面的網(wǎng)絡主要功能實現(xiàn)服務器上虛擬機對存儲資源的訪問。在網(wǎng)絡設計上,把服務器虛擬機網(wǎng)段到存儲區(qū)域的網(wǎng)段打通。
4、云計算數(shù)據(jù)中心最大的特點就是可以通過虛擬機的遷移提供業(yè)務部署的靈活性,所以在網(wǎng)絡中,虛擬機的遷移需要做重點考慮。因此在本次網(wǎng)絡設計上,需要考慮把虛擬機遷移部分做一個單獨的網(wǎng)絡平面,這個網(wǎng)絡平面需要滿足大二層的網(wǎng)絡設計思路。
三、網(wǎng)絡安全設計
防火墻設備在云計算中心網(wǎng)絡架構中為內(nèi)部系統(tǒng)提供了安全和可靠性保障。防火墻主要部署在數(shù)據(jù)中心的兩個常見區(qū)域中,即數(shù)據(jù)中心出口區(qū)域和服務器區(qū)域。在數(shù)據(jù)中心出口區(qū)域部署防火墻可以保障業(yè)務的安全性,避免未經(jīng)授權的訪問和網(wǎng)絡攻擊。在數(shù)據(jù)中心服務器區(qū)域部署防火墻可以避免不同服務器系統(tǒng)之間的相互干擾,通過自定義防火墻策略還可以提供更詳細的訪問機制。
防火墻可以與宿主交換機直接建立三層連接。如果防火墻部署在服務器區(qū)域,可以將防火墻設計為服務器網(wǎng)關設備,這樣所有訪問服務器的三層流量都將經(jīng)過防火墻設備,這種部署方式可以提供區(qū)域內(nèi)部服務器之間訪問的安全性。
四、網(wǎng)絡可靠性設計
數(shù)據(jù)中心的故障類型眾多,但故障所導致的結果卻大同小異。即數(shù)據(jù)中心中的設備、鏈路或server發(fā)生故障,無法對外提供正常服務。緩解這些問題最簡單的方式就是冗余設計,可以通過對設備、鏈路、Server提供備份,從而將故障對用戶業(yè)務的影響降低到最小。但是,一味的增加冗余設計無法達到緩解故障影響的目的,可能會將網(wǎng)絡可用性與冗余性等同起來。一味的強調(diào)冗余性有可能會降低可用性,減小冗余所帶來的優(yōu)點。因此,數(shù)據(jù)中心的高可用設計是一個綜合的概念。在選用高可靠設備組件、提高網(wǎng)絡的冗余性的同時,還需要加強網(wǎng)絡構架及協(xié)議部署的優(yōu)化,從而實現(xiàn)真正的高可用。設計一個高可用的數(shù)據(jù)中心網(wǎng)絡,最終實現(xiàn)數(shù)據(jù)中心基礎網(wǎng)絡系統(tǒng)的高可用。
參 考 文 獻
[1]范恂毅.新一代SDN VMware NSX 網(wǎng)絡原理與實踐.人民郵電出版社,2016.
[2]謝希仁. 計算機網(wǎng)絡(第六版).電子工業(yè)出版社,2013.