李 玨,譚海波,李 波,金石聲,汪 華

(貴州省氣象信息中心，貴州 貴陽 550002)

0 引言

貴州省氣象局利用超融合技術(shù)搭建了虛擬化云平臺[1]，該平臺由23臺物理服務(wù)器組成，其中虛擬CPU共計3022核、計算存儲7100G、存儲219T，目前已搭建虛擬機145個，運行中106個，后續(xù)還將承擔(dān)核心資源池內(nèi)的大量核心業(yè)務(wù)系統(tǒng)的遷入,為整個氣象局提供云計算服務(wù)[2]。

當前省局資源池部署了大量虛擬機，承載了省局較多的業(yè)務(wù)系統(tǒng)，由于省局單位部門多，虛擬機用途各異，資源池中有生產(chǎn)機、測試機、模板機等，總體規(guī)劃混亂，存在虛擬機的歸屬單位不明確，不同功能用途的虛擬機劃分管理不清楚等問題。此外還存在各單位虛擬機之間為互通狀態(tài)的問題，一旦某單位的業(yè)務(wù)發(fā)生安全事件，在未及時發(fā)現(xiàn)的情況下，則極易導(dǎo)致其他虛擬機上的業(yè)務(wù)遭受攻擊，致使氣象業(yè)務(wù)遭受極大的影響和損失。

1 虛擬化云平臺架構(gòu)的規(guī)劃與設(shè)計

虛擬化整體設(shè)計思路旨在將各種分散的硬件資源通過虛擬化技術(shù)集中成為一個整體，達到按需取用，按需分配，按需擴展的云化資源池，從而提升資源利用率，降低能耗和管理復(fù)雜度，提升業(yè)務(wù)使用效率和管理效率。當前資源池中虛擬機數(shù)量較多，總體部署較為混亂，為實現(xiàn)虛擬機的便捷化管理，保障不同單位之間的業(yè)務(wù)安全，對虛擬機部署方式進行了規(guī)劃。如圖1所示。

圖1 氣象虛擬化資源池規(guī)劃設(shè)計拓撲Fig.1 Planning and design topology of weather virtualization resource pool

1.1 區(qū)域劃分

根據(jù)業(yè)務(wù)運行的特點將虛擬化云平臺劃分為數(shù)據(jù)中心資源池、DMZ區(qū)、中試區(qū)3個區(qū)域，其中數(shù)據(jù)中心資源池承載核心業(yè)務(wù)系統(tǒng)、科研系統(tǒng)等業(yè)務(wù)；DMZ區(qū)承載基于內(nèi)部數(shù)據(jù)的對外服務(wù)業(yè)務(wù)；中試區(qū)則承載對外服務(wù)網(wǎng)站、APP等業(yè)務(wù)。

1.2 安全防護設(shè)計

邊界安全：目前在DMZ區(qū)超融合資源池和中試區(qū)資源池出口部署了防火墻設(shè)備，用于提供L2-7層安全防護，實現(xiàn)邊界訪問控制、入侵防御、惡意代碼防護等功能。

主機安全：在行政樓、中試區(qū)、DMZ區(qū)這3個超融合資源池集群中的虛擬機上，部署終端防護軟件，用于實現(xiàn)漏洞檢測、后門檢測、弱密碼檢測、暴力破解檢測、僵尸主機檢測、病毒和木馬查殺等功能。

資源池內(nèi)部安全：內(nèi)部安全指的是資源池東西向流量安全,當前超融合資源池中部分虛擬機之間設(shè)置了分布式防火墻策略，用于實現(xiàn)虛擬機與虛擬機之間的安全防護[3]。

業(yè)務(wù)訪問控制：鑒于當前超融合資源池建設(shè)有各單位業(yè)務(wù)系統(tǒng)，為有效保障各單位的業(yè)務(wù)安全，在對虛擬機進行歸屬劃分后，在相應(yīng)的路由器和交換機上設(shè)置安全訪問策略，以實現(xiàn)不同單位之間業(yè)務(wù)的訪問隔離，并對存在互訪的業(yè)務(wù)做單獨的訪問處置，以保障業(yè)務(wù)的安全性。

橫向安全防護：普通防火墻只能保護邊界，也就是在資源池環(huán)境中所謂的南北向流量。對于數(shù)據(jù)中心內(nèi)部的東西向流量則無法進行控制。超融合資源池平臺中分布式防火墻支持東西、南北向4層隔離，提高數(shù)據(jù)中心內(nèi)部的安全。

分布式防火墻支持根據(jù)IP、IP組、虛擬機、虛擬機組和虛擬機標簽對流量進行控制。建議將需要隔離控制的虛擬機放在不同的虛擬機組，相同業(yè)務(wù)或者不需要隔離的虛擬機放在相同的虛擬機組，然后根據(jù)虛擬機組對業(yè)務(wù)系統(tǒng)的流量進行隔離，只要將虛擬機放在策略匹配的組就會對流量進行控制。

2 虛擬機部署原則

2.1 新建虛擬機

虛擬機是運行操作系統(tǒng)和應(yīng)用程序的軟件計算機，與物理主機相似，需要設(shè)計CPU、內(nèi)存、磁盤、網(wǎng)卡等硬件配置。在通常情況下，參照行業(yè)標準進行虛擬機配置。

新建業(yè)務(wù)虛擬機資源分配情況需根據(jù)業(yè)務(wù)所需資源實際情況而定。

①虛擬機資源評估原則：考慮3～5 a的業(yè)務(wù)增長規(guī)模帶來的資源空間需求，評估的資源需要預(yù)留30%以上。

②虛擬機副本：在新的版本中，當創(chuàng)建虛擬機時，可以根據(jù)業(yè)務(wù)的重要性選擇副本數(shù)量。如果是非常重要的業(yè)務(wù)，可以選擇3副本進行創(chuàng)建，這樣在集群中將會存在該虛擬機的3個副本數(shù)，保障了業(yè)務(wù)的可靠性。

③模版虛擬機制作：制作模版虛擬機時，建議使用最新且穩(wěn)定的正版操作系統(tǒng)，安裝好需要的系統(tǒng)軟件環(huán)境及性能優(yōu)化工具，更新系統(tǒng)補丁并安裝終端防護軟件。

④虛擬機賬號管理：新建虛擬機時做好操作記錄、記錄業(yè)務(wù)單位和責(zé)任人、聯(lián)系方式等。保存好超級管理員，然后建立二級管理員給業(yè)務(wù)人員使用。

⑤虛擬機克?。菏褂媚０嫣摂M機進行克隆可以提升虛擬機部署的效率，克隆時勾選重新生成UUID。

相同的操作系統(tǒng)部署不同的應(yīng)用時，建議在虛擬機安裝操作系統(tǒng)后進行克隆，然后分別部署不同的應(yīng)用。

相同的操作系統(tǒng)部署相同的應(yīng)用時，可以使用一個虛擬機安裝操作系統(tǒng)并部署應(yīng)用，然后轉(zhuǎn)換為模板進行派生。

⑥虛擬機備份：建立虛擬機之后，需要確定備份級別，根據(jù)不同的備份級別做不同的備份策略。

2.2 物理機或虛擬機遷移

一般情況下物理環(huán)境業(yè)務(wù)系統(tǒng)的硬件配置都有一定的冗余，為了更好的利用超融合平臺上的物理資源，建議遷移過來的業(yè)務(wù)系統(tǒng)的基礎(chǔ)環(huán)境配置可以根據(jù)上面采集到的系統(tǒng)信息進行修改并遵循以下原則：

①CPU：虛擬機的虛擬CPU核數(shù)不低于物理機的CPU核數(shù),但是如果實際 CPU數(shù)超過最佳實踐的CPU核數(shù)，以最佳實踐 CPU核數(shù)為準。

②內(nèi)存：內(nèi)存的配置為物理機業(yè)務(wù)高峰期時實際使用內(nèi)存的1.5倍；比較特殊的業(yè)務(wù)還可以使用動態(tài)內(nèi)存自動添加功能。

③磁盤：磁盤的配置可以根據(jù)原有業(yè)務(wù)系統(tǒng)的磁盤容量然后除以運行年限，估算出客戶每年的數(shù)據(jù)增長情況，然后規(guī)劃出后續(xù)4 a的磁盤增長情況進行評估需要的磁盤容量。

④網(wǎng)絡(luò)流量：根據(jù)實際應(yīng)用系統(tǒng)的流量特征進行評估，應(yīng)當區(qū)分虛擬機之間的流量(東西向)，以及虛擬機與物理網(wǎng)絡(luò)之間的流量(南北向)。

2.3 虛擬機備份分級

2.3.1 虛擬機備份級別設(shè)置 根據(jù)業(yè)務(wù)需要的備份需求，進行備份策略的選擇，可參考以下備份級別進行業(yè)務(wù)策略的備份配置。如表1所示。

表1 備份級別進行業(yè)務(wù)策略的備份配置Tab.1 Backup configuration of business strategy at backup level

2.3.2 虛擬機備份方式

①快速備份(虛擬機備份)

虛擬機備份，是將虛擬機備份到其他存儲，作為容災(zāi)的一種手段，當集群環(huán)境中主機或存儲故障時，可以從其他存儲中將虛擬機恢復(fù)出來繼續(xù)運行。在建設(shè)虛擬機過程中可選擇默認策略備份或自定義策略備份，對于重要的業(yè)務(wù)系統(tǒng)建議采用自定義備份策略，詳細備份策略需根據(jù)系統(tǒng)所需情況而定。

超融合平臺支持快速恢復(fù)功能，快速拉起整個過程在3 min內(nèi)完成，15 min內(nèi)性能爬升到正常使用的狀態(tài)，快速恢復(fù)業(yè)務(wù)運行，極大地保障了業(yè)務(wù)連續(xù)性，RTO≤15 min。通過快速拉起全新虛擬機，可以快速驗證備份的有效性，并保護此備份。自動備份策略規(guī)劃如下：

②數(shù)據(jù)實時備份(CDP)

通過傳統(tǒng)的備份手段，大部分只能做到小時級別的備份，即RPO為1 h，這意味著一旦發(fā)生數(shù)據(jù)存儲故障，將會丟失小時級的數(shù)據(jù)量，這對一些關(guān)鍵業(yè)務(wù)而言是不可接受的，這些業(yè)務(wù)系統(tǒng)需要實現(xiàn)更細粒度的RPO備份，為了滿足這種需求，就需要對業(yè)務(wù)系統(tǒng)進行CDP保護。超融合平臺提供了一種低成本、易部署的CDP解決方案，能夠很方便的對關(guān)鍵業(yè)務(wù)系統(tǒng)開啟CDP保護功能。

3 結(jié)語

就目前運行情況看來，基于超融合搭建的新虛擬化平臺，擁有較高的可靠性、實用性和可擴展性，為各個業(yè)務(wù)單位申請資源提供科學(xué)的依據(jù)，同時安全性上達到貴州省氣象局使用虛擬化技術(shù)以來前所未有的程度。在今后的運行過程中，依然存在各種問題，只有建立一套科學(xué)的管理體系，時刻強化對虛擬化云平臺的管理才能將該平臺發(fā)揮到極致，從而為氣象服務(wù)提供強有力的后盾。