淺談中小型機場云計算中心建設

劉博

【摘要】 隨著云計算、虛擬化技術的快速發(fā)展，云計算技術在中小型機場的應用逐漸廣泛。本文從網(wǎng)絡設計原則、網(wǎng)絡系統(tǒng)設計、網(wǎng)絡安全設計、網(wǎng)絡可靠性設計四個方面，淺談云計算在中小型企業(yè)的應用和建設。緊隨信息技術的高速發(fā)展，穩(wěn)步提升信息化管理水平，確保信息系統(tǒng)的先進性和可靠性，提升中小型機場的運營效率和服務質(zhì)量。

【關鍵詞】 網(wǎng)絡安全 虛擬化 云計算

隨著云計算、虛擬化技術的快速發(fā)展，云計算技術在中小型機場的應用逐漸廣泛。以機場IT規(guī)劃建設為中心，建設高效的機場生產(chǎn)運營管理系統(tǒng)，提高機場運營效率和服務質(zhì)量，提升系統(tǒng)的決策能力。云計算已經(jīng)不再是幾年前的概念，而是真正落地的網(wǎng)絡建設項目。中小型機場的信息化發(fā)展應當緊隨信息技術的腳步，穩(wěn)步更新升級，確保信息系統(tǒng)的先進性，可靠性。

一、網(wǎng)絡設計原則

1、實用性原則。網(wǎng)絡設計要與機場業(yè)務需求深度融合，實用性強，以完全滿足當前業(yè)務需要為主要目標，兼顧今后5年甚至更長的業(yè)務發(fā)展需求，適當超前設計，分步實現(xiàn)目標。

2、先進性與經(jīng)濟性兼顧。在實用的前提下，跟蹤國內(nèi)外先進的信息技術和網(wǎng)絡通信技術，使基礎網(wǎng)絡具有較高的性能。避免重復建設和資源浪費，對現(xiàn)有的網(wǎng)絡設備要充分利用、合理整合、發(fā)揮效益。

3、架構清晰，流量明確。網(wǎng)絡中的每個模塊都要相對獨立，并提供公眾用戶的安全訪問。

4、簡單易用。網(wǎng)絡部署時，盡量部署單一的協(xié)議，多鏈路部署對稱的協(xié)議，通過最少的策略控制達到流控效果；對網(wǎng)絡運維時，做到業(yè)務可視化運維，自動故障檢測與通知，以及對網(wǎng)絡、業(yè)務運行趨勢的自動智能判斷。

5、易擴展、高彈性。后續(xù)網(wǎng)絡鏈路和節(jié)點的增加、減少以及修改不影響網(wǎng)絡的總體架構。網(wǎng)絡的擴展能力和處理性能應該能滿足未來5年內(nèi)的業(yè)務發(fā)展需求。

6、安全可靠。安全是整個網(wǎng)絡建設的重中之重。所以需要對逐級的網(wǎng)絡進行多層次、縱深的安全防御?；诮尤霕I(yè)務的重要程度，需要建設快收斂可自愈的可靠網(wǎng)絡。

二、網(wǎng)絡系統(tǒng)設計

網(wǎng)絡的邏輯平面劃分為管理平面、業(yè)務平面、存儲平面、虛擬機遷移四個部分，分別配置不同的vlan加以區(qū)分。

1、管理平面的網(wǎng)絡主要是實現(xiàn)數(shù)據(jù)中心網(wǎng)絡管理區(qū)域?qū)簶I(yè)務、存儲等區(qū)域的網(wǎng)絡管理，在數(shù)據(jù)中心的網(wǎng)絡管理區(qū)域放置了包括網(wǎng)絡管理平臺和云計算管理平臺，在這個平面的網(wǎng)絡，通過把管理數(shù)據(jù)流設置在一個特定的vlan中，在接入交換機和核心交換機上trunk這個vlan來實現(xiàn)。

2、業(yè)務平面的網(wǎng)絡主要是對外提供業(yè)務訪問，以及數(shù)據(jù)中心內(nèi)部系統(tǒng)的業(yè)務交換。業(yè)務平面的網(wǎng)絡設計，需要滿足大二層的網(wǎng)絡設計思路。把業(yè)務平面網(wǎng)絡的網(wǎng)關放在核心交換機上，讓整個數(shù)據(jù)中心業(yè)務區(qū)呈現(xiàn)扁平化的組網(wǎng)模型。大二層的網(wǎng)絡設計便于虛擬機的遷移，不同業(yè)務之間的安全隔離可以通過在核心交換機上的防火墻業(yè)務板卡來實現(xiàn)。

3、存儲平面的網(wǎng)絡主要功能實現(xiàn)服務器上虛擬機對存儲資源的訪問。在網(wǎng)絡設計上，把服務器虛擬機網(wǎng)段到存儲區(qū)域的網(wǎng)段打通。

4、云計算數(shù)據(jù)中心最大的特點就是可以通過虛擬機的遷移提供業(yè)務部署的靈活性，所以在網(wǎng)絡中，虛擬機的遷移需要做重點考慮。因此在本次網(wǎng)絡設計上，需要考慮把虛擬機遷移部分做一個單獨的網(wǎng)絡平面，這個網(wǎng)絡平面需要滿足大二層的網(wǎng)絡設計思路。

三、網(wǎng)絡安全設計

防火墻設備在云計算中心網(wǎng)絡架構中為內(nèi)部系統(tǒng)提供了安全和可靠性保障。防火墻主要部署在數(shù)據(jù)中心的兩個常見區(qū)域中，即數(shù)據(jù)中心出口區(qū)域和服務器區(qū)域。在數(shù)據(jù)中心出口區(qū)域部署防火墻可以保障業(yè)務的安全性，避免未經(jīng)授權的訪問和網(wǎng)絡攻擊。在數(shù)據(jù)中心服務器區(qū)域部署防火墻可以避免不同服務器系統(tǒng)之間的相互干擾，通過自定義防火墻策略還可以提供更詳細的訪問機制。

防火墻可以與宿主交換機直接建立三層連接。如果防火墻部署在服務器區(qū)域，可以將防火墻設計為服務器網(wǎng)關設備，這樣所有訪問服務器的三層流量都將經(jīng)過防火墻設備，這種部署方式可以提供區(qū)域內(nèi)部服務器之間訪問的安全性。

四、網(wǎng)絡可靠性設計

數(shù)據(jù)中心的故障類型眾多，但故障所導致的結果卻大同小異。即數(shù)據(jù)中心中的設備、鏈路或server發(fā)生故障，無法對外提供正常服務。緩解這些問題最簡單的方式就是冗余設計，可以通過對設備、鏈路、Server提供備份，從而將故障對用戶業(yè)務的影響降低到最小。但是，一味的增加冗余設計無法達到緩解故障影響的目的，可能會將網(wǎng)絡可用性與冗余性等同起來。一味的強調(diào)冗余性有可能會降低可用性，減小冗余所帶來的優(yōu)點。因此，數(shù)據(jù)中心的高可用設計是一個綜合的概念。在選用高可靠設備組件、提高網(wǎng)絡的冗余性的同時，還需要加強網(wǎng)絡構架及協(xié)議部署的優(yōu)化，從而實現(xiàn)真正的高可用。設計一個高可用的數(shù)據(jù)中心網(wǎng)絡，最終實現(xiàn)數(shù)據(jù)中心基礎網(wǎng)絡系統(tǒng)的高可用。

參 考 文 獻

[1]范恂毅.新一代SDN VMware NSX 網(wǎng)絡原理與實踐.人民郵電出版社，2016.

[2]謝希仁. 計算機網(wǎng)絡（第六版）.電子工業(yè)出版社，2013.