張瑞英 陳秀蘭
摘要:隨著云計(jì)算技術(shù)的不斷發(fā)展成熟,云計(jì)算應(yīng)用已經(jīng)從互聯(lián)網(wǎng)行業(yè)向教育、醫(yī)療、金融等行業(yè)融合。傳統(tǒng)的私有云用戶因?yàn)槭鼙镜赜?jì)算資源及功能的限制,逐步把一部分需要對(duì)外服務(wù)的業(yè)務(wù)遷移到公有云上,而傳統(tǒng)的公有云用戶為了保護(hù)私有數(shù)據(jù)不被泄露,逐漸尋找私有云的解決方案,因此,混合云是未來云計(jì)算發(fā)展的趨勢(shì)。該文主要從混合云平臺(tái)構(gòu)建、管理及安全性方面進(jìn)行研究,具有較強(qiáng)的實(shí)踐意義。
關(guān)鍵詞:云計(jì)算;混合云;混合云管理;云安全
中圖分類號(hào):TP393 ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼:A
文章編號(hào):1009-3044(2022)13-0040-03
1引言
云計(jì)算通過使用虛擬化技術(shù)將計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等資源整合為統(tǒng)一的資源池,實(shí)現(xiàn)了對(duì)硬件資源的二次分配,有效利用了空閑資源?;旌显平ㄔO(shè)為智能化統(tǒng)籌建設(shè)、管理與服務(wù)平臺(tái)提供了有力支撐,進(jìn)一步加速了單位信息化建設(shè)的腳步。本文主要從云計(jì)算概念、部署方式出發(fā),論述混合云平臺(tái)構(gòu)建及管理,最后對(duì)混合云平臺(tái)運(yùn)行的安全性進(jìn)行研究。
目前,許多單位的站群系統(tǒng)、OA辦公系統(tǒng)等內(nèi)部業(yè)務(wù)系統(tǒng)是部署在本地機(jī)房,基于VMware實(shí)現(xiàn)的虛擬化平臺(tái)上運(yùn)行管理的,需要根據(jù)業(yè)務(wù)高峰期運(yùn)行量預(yù)置資源,隨著業(yè)務(wù)的增長(zhǎng)及技術(shù)的更新迭代,VMware虛擬化平臺(tái)承載的業(yè)務(wù)及數(shù)據(jù)較多,導(dǎo)致計(jì)算資源、網(wǎng)絡(luò)資源、存儲(chǔ)資源出現(xiàn)捉襟見肘的現(xiàn)象。同時(shí)受當(dāng)前基礎(chǔ)設(shè)施資源的限制及帶寬等性能指標(biāo)的要求,部分業(yè)務(wù)部署在不同的云平臺(tái)上,從而造成業(yè)務(wù)分散、管理不統(tǒng)一、云資源不能充分利用、安全服務(wù)成本高等弊端。因此,結(jié)合當(dāng)前實(shí)際情況,在信息化基礎(chǔ)設(shè)施建設(shè)上設(shè)計(jì)一套混合云架構(gòu),實(shí)現(xiàn)云上云下無縫對(duì)接,包括在管理層面、網(wǎng)絡(luò)層面、數(shù)據(jù)層面的互聯(lián)互通是非常有必要的。
2云計(jì)算
傳統(tǒng)場(chǎng)景下,一臺(tái)物理服務(wù)器通過主板連接CPU、內(nèi)存、硬盤、網(wǎng)卡等資源實(shí)現(xiàn)協(xié)同工作,提供的服務(wù)容易受到資源的限制,并且不同物理服務(wù)器之間協(xié)同工作也比較困難,硬件資源利用率相對(duì)較低。而在云計(jì)算場(chǎng)景下,數(shù)據(jù)中心的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等資源被整合為統(tǒng)一的資源池,不同設(shè)備中的資源可以借助云計(jì)算進(jìn)行跨硬件的協(xié)同工作,從而最大化實(shí)現(xiàn)空閑資源價(jià)值。云計(jì)算通過使用虛擬化技術(shù)將硬件設(shè)備進(jìn)行邏輯層面的化整為零,實(shí)現(xiàn)了對(duì)硬件資源的二次分配,通過資源整合、調(diào)度、分配等方式可以同時(shí)創(chuàng)建多臺(tái)邏輯主機(jī),每臺(tái)邏輯主機(jī)可運(yùn)行不同的操作系統(tǒng),部署不同的應(yīng)用程序,應(yīng)用程序在相互獨(dú)立的空間內(nèi)運(yùn)行且互不影響,進(jìn)一步提升了基礎(chǔ)設(shè)施的資源利用率。
云計(jì)算主要是基于計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)等基礎(chǔ)設(shè)施提供按需訂閱的資源,主要有基礎(chǔ)設(shè)施即服務(wù) (IaaS)、平臺(tái)即服務(wù) (PaaS)和軟件即服務(wù) (SaaS)三種模型。按照部署方式的不同可以分為公有云、私有云、混合云[1]。其中公有云是指由第三方提供商建設(shè)計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)等資源池,在公有網(wǎng)絡(luò)中提供服務(wù),用戶通過互聯(lián)網(wǎng)使用計(jì)算資源。私有云的核心是專有資源,用戶擁有基礎(chǔ)設(shè)施,可以在基礎(chǔ)設(shè)施上部署應(yīng)用程序,因此可有效控制數(shù)據(jù)安全性[2]?;旌显迫诤狭斯性坪退接性疲霉性频目蓴U(kuò)展性獲取更高的計(jì)算資源,將內(nèi)部重要數(shù)據(jù)保存在本地?cái)?shù)據(jù)中心,有效保障了數(shù)據(jù)的安全性。
目前,云應(yīng)用于很多方面,例如進(jìn)行數(shù)據(jù)備份、災(zāi)難恢復(fù)、電子郵件收發(fā)、虛擬桌面、軟件開發(fā)及測(cè)試、大數(shù)據(jù)分析等[3]。云應(yīng)用受到廣泛關(guān)注,關(guān)注云應(yīng)用較多的問題包括如何保障部署時(shí)應(yīng)用程序的安全性、如何保障使用時(shí)數(shù)據(jù)的安全、如何實(shí)現(xiàn)數(shù)據(jù)隔離、如何實(shí)現(xiàn)網(wǎng)絡(luò)安全防護(hù)、如何實(shí)現(xiàn)安全備份與恢復(fù)、身份鑒別及權(quán)限管理等,可將人工智能(AI)技術(shù)與云安全技術(shù)結(jié)合,有效實(shí)現(xiàn)云安全智能分析、檢測(cè)和防御。例如在智能分析方面,AI技術(shù)能夠深入挖掘與云安全相關(guān)的海量數(shù)據(jù)以提取有效信息,從而極大地提升分析效率;在智能檢測(cè)方面,AI技術(shù)可以發(fā)現(xiàn)潛在安全事件,并預(yù)警可能發(fā)生的風(fēng)險(xiǎn);在智能防御方面,結(jié)合數(shù)據(jù)分析,可提出事件處置或響應(yīng)事件建議,實(shí)現(xiàn)安全防御。以后,隨著5G、AI、大數(shù)據(jù)等技術(shù)的不斷發(fā)展和更新及新基建的不斷落地,構(gòu)建端到端的云、網(wǎng)、邊一體化架構(gòu)將是實(shí)現(xiàn)全域數(shù)據(jù)高速互聯(lián)、應(yīng)用整合調(diào)度分發(fā)以及計(jì)算力全覆蓋的重要途徑,也會(huì)將云計(jì)算及應(yīng)用發(fā)展推向一個(gè)新的高度。
3 混合云平臺(tái)構(gòu)建
本次混合云平臺(tái)通過“雙云一管”模式進(jìn)行建設(shè),如圖1所示。雙云是指私有云平臺(tái)和公有云平臺(tái),一管是指一個(gè)云管理平臺(tái)。私有云平臺(tái)主要實(shí)現(xiàn)單位內(nèi)業(yè)務(wù)量不高,但對(duì)數(shù)據(jù)安全性要求較高的信息系統(tǒng)業(yè)務(wù)的承載;公有云平臺(tái)主要實(shí)現(xiàn)對(duì)帶寬等有較高要求的互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)的整合承載;一個(gè)云管理平臺(tái)實(shí)現(xiàn)云平臺(tái)資源的可控、可管、可查、可用。
基于云化架構(gòu)的混合云平臺(tái)由管理節(jié)點(diǎn)、計(jì)算節(jié)點(diǎn)、存儲(chǔ)網(wǎng)絡(luò)和FC網(wǎng)絡(luò)、IP網(wǎng)絡(luò)構(gòu)成[4],其中管理節(jié)點(diǎn)為整個(gè)云平臺(tái)提供基于Web的訪問控制和管理,提供如訪問控制、監(jiān)控、配置等的云平臺(tái)管理服務(wù);計(jì)算節(jié)點(diǎn)為在物理服務(wù)器上運(yùn)行云計(jì)算模塊的標(biāo)準(zhǔn)×86服務(wù)器,組合類似配置的×86服務(wù)器,連接相同網(wǎng)絡(luò)和存儲(chǔ)子系統(tǒng),實(shí)現(xiàn)虛擬環(huán)境中的資源集合;存儲(chǔ)網(wǎng)絡(luò)和FC網(wǎng)絡(luò)支持FC SAN、IP SAN和NAS、分布式存儲(chǔ)等存儲(chǔ)技術(shù),存儲(chǔ)陣列通過存儲(chǔ)區(qū)域網(wǎng)絡(luò)連接到服務(wù)器組,實(shí)現(xiàn)存儲(chǔ)資源的聚合、靈活共享;IP網(wǎng)絡(luò)使每臺(tái)計(jì)算節(jié)點(diǎn)都可以有多個(gè)物理網(wǎng)絡(luò)適配器,從而為整個(gè)云平臺(tái)的運(yùn)行提供較高的帶寬和可靠的網(wǎng)絡(luò)連接[5]。
3.1混合云建設(shè)
私有云建設(shè)采用集中存儲(chǔ)建設(shè)方案。其中,物理層和虛擬化層提供硬件資源基礎(chǔ)管理,同時(shí)基于硬件構(gòu)建池化的虛擬資源。私有云虛擬資源包括服務(wù)器虛擬化、存儲(chǔ)虛擬化、網(wǎng)絡(luò)虛擬化和監(jiān)控/運(yùn)維系統(tǒng)等。初期的建設(shè)方案中,根據(jù)實(shí)際業(yè)務(wù)量及近幾年業(yè)務(wù)發(fā)展的需要,考慮集群資源池規(guī)模,配備相應(yīng)CPU能力和內(nèi)存的服務(wù)器、NAS/SAN存儲(chǔ)等,還可配備高速固態(tài)盤作為二級(jí)緩存以提高存儲(chǔ)的訪問效率。私有云建設(shè)后,在后期使用過程中應(yīng)能夠根據(jù)資源負(fù)載情況進(jìn)行服務(wù)器和存儲(chǔ)的動(dòng)態(tài)擴(kuò)充,同時(shí)支持一鍵無縫升級(jí),能夠在不影響所有線上業(yè)務(wù)的情況下通過升級(jí)獲得私有云平臺(tái)最新的功能和安全補(bǔ)丁。
公有云中計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源、安全服務(wù)、運(yùn)維管理服務(wù)等為購(gòu)買方式,需根據(jù)系統(tǒng)實(shí)際運(yùn)行情況及總體建設(shè)要求,綜合權(quán)衡配置公有云資源及服務(wù),并選擇服務(wù)期限。在云服務(wù)層,云IAAS向管理員/用戶提供云平臺(tái)服務(wù),包括云主機(jī)服務(wù)、網(wǎng)頁(yè)交互、API接口、監(jiān)控系統(tǒng)、彈性網(wǎng)絡(luò)、賬戶管理、計(jì)費(fèi)模塊、負(fù)載均衡和端口轉(zhuǎn)發(fā)等內(nèi)容。
在混合云(公有云+私有云)場(chǎng)景下,可通過專線、裸光纖、VPN等多種方式進(jìn)行自有數(shù)據(jù)中心和公有云數(shù)據(jù)中心的互通互訪。本次建設(shè)采用雙鏈路數(shù)據(jù)專線完成本地化部署的私有云與公有云之間的互聯(lián)互通,同時(shí)在本地部署一臺(tái)備份設(shè)備集中備份公有云和私有云重要業(yè)務(wù),從而解決故障導(dǎo)致的數(shù)據(jù)丟失問題,如圖2所示。
3.2混合云管理平臺(tái)建設(shè)
混合云平臺(tái)搭建后需要進(jìn)行統(tǒng)一管理,可使用混合云管理平臺(tái),主要實(shí)現(xiàn)管理和調(diào)度私有云、公有云及異構(gòu)云等多云資源、創(chuàng)建云主機(jī)映像、監(jiān)控優(yōu)化工作負(fù)載,包括建立優(yōu)化服務(wù)目錄,支持配置內(nèi)存、硬盤等存儲(chǔ)資源和網(wǎng)絡(luò)IP地址、端口等,允許加強(qiáng)資源管理并提供資源、主機(jī)運(yùn)行等的監(jiān)控,提高系統(tǒng)性能和可用性。其結(jié)構(gòu)圖如圖3所示。
建設(shè)時(shí),在客戶側(cè)部署云管理系統(tǒng),通過云管理系統(tǒng)納管客戶側(cè)的私有云。為了保證云管平臺(tái)的開放性及先進(jìn)性,云管平臺(tái)軟件需能通過虛擬化軟件直接管理硬件資源,提供包括CPU調(diào)度、內(nèi)存、內(nèi)部網(wǎng)絡(luò)隔離和虛機(jī)存儲(chǔ)的安全隔離,同時(shí)納管公有云側(cè)的資源池實(shí)現(xiàn)混合云的統(tǒng)一管理和調(diào)度。
云管理系統(tǒng)使管理維護(hù)人員能在統(tǒng)一的portal頁(yè)面完成對(duì)混合云的管理、監(jiān)控和運(yùn)維操作。其功能主要為:1)為不同云平臺(tái)提供獨(dú)立的運(yùn)維監(jiān)控頁(yè)面,方便運(yùn)維人員快速了解云平臺(tái)運(yùn)行狀況,快速定位問題,最大限度地避免業(yè)務(wù)中斷。其中云主機(jī)性能監(jiān)控可以動(dòng)態(tài)顯示云主機(jī)CPU、內(nèi)存利用率,顯示磁盤讀寫IO以及吞吐量大小、網(wǎng)絡(luò)數(shù)據(jù)包的吞吐量以及錯(cuò)包量,用戶可以查看實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)、歷史監(jiān)控?cái)?shù)據(jù)、查看15分鐘、1小時(shí)、1天、1周、1月、1年等多個(gè)時(shí)間段的云主機(jī)資源的使用情況,并可以根據(jù)實(shí)際業(yè)務(wù)情況設(shè)置CPU、網(wǎng)絡(luò)、磁盤使用比例告警閾值;2)支持按區(qū)域?qū)⒁鸭{管云環(huán)境抽象為資源池,將各種私有云、公有云進(jìn)行面向場(chǎng)景的邏輯劃分,支持將資源池劃分給一個(gè)或多個(gè)用戶使用,并對(duì)資源池的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等各項(xiàng)資源進(jìn)行配額管理,實(shí)現(xiàn)資源精細(xì)化管控;3)支持云主機(jī)創(chuàng)建、開機(jī)、關(guān)機(jī)、掛起、配置CPU、內(nèi)存等信息規(guī)格、遷移、重啟、銷毀、設(shè)置標(biāo)簽等操作,支持創(chuàng)建、刪除云主機(jī)快照。隨著業(yè)務(wù)系統(tǒng)負(fù)載變化,動(dòng)態(tài)調(diào)整云主機(jī)CPU、內(nèi)存、硬盤等資源的規(guī)模,實(shí)現(xiàn)資源擴(kuò)容,滿足業(yè)務(wù)系統(tǒng)的運(yùn)行需求;4)支持用戶生命周期管理,包括:創(chuàng)建、刪除、修改、查詢、啟用/禁用、重置密碼等操作,支持為用戶指派/取消指派角色,基于角色獲取訪問和操作權(quán)限;5)納管現(xiàn)有資源池,要能支持云主機(jī)熱遷移,可以將云主機(jī)遷移到任一指定的物理服務(wù)器,最大限度地降低業(yè)務(wù)中斷,保證業(yè)務(wù)的連續(xù)性;6)提供平臺(tái)操作的日志記錄,顯示已完成和進(jìn)行中的操作記錄,支持短時(shí)間內(nèi)的誤操作恢復(fù),支持按時(shí)間段導(dǎo)出操作日志列表。
4混合云平臺(tái)安全性研究
云平臺(tái)環(huán)境下的信息安全情況較傳統(tǒng)信息安全情況而言更加復(fù)雜,除滿足網(wǎng)絡(luò)安全、物理安全、系統(tǒng)安全和數(shù)據(jù)安全等要求外,還需要滿足信息化系統(tǒng)虛擬化層面的安全控制、監(jiān)控和審計(jì)等。云平臺(tái)安全設(shè)計(jì)框架如圖4所示。
公有云平臺(tái)是按照網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)要求和云平臺(tái)網(wǎng)絡(luò)安全審查要求,由云服務(wù)提供商提供可靠性高的平臺(tái)安全防護(hù)能力及安全增值服務(wù),以確保部署在公有云平臺(tái)上的應(yīng)用和服務(wù)的安全運(yùn)行。其中平臺(tái)安全防護(hù)能力包括網(wǎng)絡(luò)安全防護(hù)、網(wǎng)站應(yīng)用防護(hù)、網(wǎng)頁(yè)防篡改、病毒防護(hù)、運(yùn)維安全監(jiān)測(cè)、平臺(tái)安全監(jiān)控等內(nèi)容;安全增值服務(wù)是對(duì)操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫(kù)等進(jìn)行安全配置檢查、漏洞掃描、數(shù)據(jù)庫(kù)審計(jì)等,并提供檢查整改報(bào)告。
私有云網(wǎng)絡(luò)安全是按照不同區(qū)域、不同業(yè)務(wù)特性分區(qū)分層進(jìn)行防御,從而達(dá)到業(yè)務(wù)可視、網(wǎng)絡(luò)可視、安全可視等。首先,在安全物理環(huán)境下將數(shù)據(jù)中心整體網(wǎng)絡(luò)劃分為互聯(lián)網(wǎng)出口區(qū)、核心交換區(qū)、私有云接入?yún)^(qū)、用戶接入?yún)^(qū)、遠(yuǎn)程接入?yún)^(qū)、安全運(yùn)維管理區(qū)等區(qū)域。核心交換區(qū)域與私有云區(qū)域均采用雙核心架構(gòu),配合升級(jí)為萬兆網(wǎng)絡(luò)的接入層環(huán)境,以保障網(wǎng)絡(luò)性能與健壯性;其次,在網(wǎng)絡(luò)邊界部署防火墻及入侵防御系統(tǒng),能夠?qū)Ψ欠ㄔL問、入侵行為、DDos等攻擊進(jìn)行檢測(cè)和防護(hù),在核心交換機(jī)和防火墻上可設(shè)置不同網(wǎng)段、不同用戶對(duì)服務(wù)器的訪問控制權(quán)限,在核心交換區(qū)部署一臺(tái)潛伏威脅探針鏡像與用戶接入相關(guān)的全流量,在私有云接入?yún)^(qū)部署一臺(tái)潛伏威脅探針鏡像與應(yīng)用業(yè)務(wù)相關(guān)的全流量,同時(shí)部署一臺(tái)安全感知平臺(tái)獲取探針數(shù)據(jù)及其他安全設(shè)備的日志來實(shí)現(xiàn)智能分析、危險(xiǎn)點(diǎn)防護(hù)及清查、統(tǒng)一呈現(xiàn)全網(wǎng)安全風(fēng)險(xiǎn)并聯(lián)動(dòng)其他安全設(shè)備及時(shí)處置安全威脅,同時(shí)為后續(xù)的跟蹤審計(jì)提供依據(jù)。在遠(yuǎn)程接入?yún)^(qū)、私有云出口區(qū)域以及統(tǒng)一的互聯(lián)網(wǎng)出口區(qū)域均有相應(yīng)縱深的南北向流量防護(hù)體系,能夠?qū)M(jìn)出流量進(jìn)行檢測(cè)過濾,有效管控不同區(qū)域流量的進(jìn)出權(quán)限;再次,在安全運(yùn)維區(qū)部署漏洞掃描、防病毒網(wǎng)關(guān)、WAF、堡壘機(jī)、VPN、日志審計(jì)、上網(wǎng)行為審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、終端安全防護(hù)系統(tǒng)等安全設(shè)備,相互配合完成對(duì)全網(wǎng)的深度系統(tǒng)掃描、安全防護(hù)、統(tǒng)一運(yùn)維權(quán)限管理、數(shù)據(jù)的完整性和保密性防護(hù)及操作日志集中收集和分析;最后,網(wǎng)絡(luò)安全工作“三分靠技術(shù),七分靠管理”,云安全同樣遵從這個(gè)模式,應(yīng)制訂相應(yīng)的管理制度規(guī)范和保障混合云的安全運(yùn)行,建立完善的網(wǎng)絡(luò)系統(tǒng)安全漏洞日常掃描、病毒日常掃描與查殺、網(wǎng)絡(luò)檢測(cè)評(píng)估與加固、系統(tǒng)配置及策略變更、惡意代碼監(jiān)測(cè)防護(hù)、應(yīng)用系統(tǒng)運(yùn)行日志審計(jì)記錄和分析、重要數(shù)據(jù)的備份和恢復(fù)、應(yīng)急處置響應(yīng)等機(jī)制與辦法。通過對(duì)全網(wǎng)的實(shí)時(shí)監(jiān)控、實(shí)時(shí)響應(yīng)、定期檢查、定期加固,從而全面保障混合云平臺(tái)的安全性。
5總結(jié)
混合云是未來云計(jì)算發(fā)展的趨勢(shì),本文研究了混合云的構(gòu)建,通過使用混合云管理平臺(tái)進(jìn)行資源的統(tǒng)一管理及調(diào)度從而解決了信息孤島和管理復(fù)雜性問題,同時(shí)介紹了如何安全有效地管理混合云,具有一定的實(shí)踐意義。
參考文獻(xiàn):
[1] 楊武.混合云平臺(tái)的設(shè)計(jì)及實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù),2021,17(11):77-78.
[2] 唐彭卉.混合云環(huán)境下整體安全防護(hù)體系探討[J].現(xiàn)代電視技術(shù),2021(1):110-114.
[3] 海繼尚,朱奕健,莊彥宇.主流云平臺(tái)架構(gòu)與混合云設(shè)計(jì)[J].電子技術(shù)與軟件工程,2021(1):174-176.
[4] 黃衍博,閔宇.混合云架構(gòu)與技術(shù)演進(jìn)[J].信息與電腦,2019(8):145-146.
[5] 朱斌.云計(jì)算安全運(yùn)維管理研究[J].網(wǎng)絡(luò)空間安全,2018,9(10):101-104.
【通聯(lián)編輯:代影】