張明安
關(guān)鍵詞:網(wǎng)絡(luò)虛擬化設(shè)計;網(wǎng)絡(luò)安全;云網(wǎng)融合設(shè)計;雙活存儲
中圖分類號:TP319 文獻(xiàn)標(biāo)識碼:A
文章編號:1009-3044(2023)21-0085-03
0 引言
隨著信息技術(shù)的不斷發(fā)展,信息技術(shù)的應(yīng)用不斷深入,信息技術(shù)對經(jīng)濟(jì)、社會和文化的影響更加深刻。正確地引導(dǎo)和發(fā)展信息技術(shù)和信息產(chǎn)業(yè)來推進(jìn)社會發(fā)展、方便人民生活變得尤為重要[1]。
信息化建設(shè)在給系統(tǒng)帶來管理效益和經(jīng)濟(jì)效益的同時,也使系統(tǒng)的正常運作更加依賴信息化。與此同時,信息化建設(shè)也帶來了一些新的問題,如系統(tǒng)故障、電源故障、硬盤的損毀、電腦病毒、人為破壞、誤操作、自然災(zāi)難等,這些問題直接影響信息系統(tǒng)的正常運行,已嚴(yán)重困擾信息主管部門。如何有效地避免這些問題的出現(xiàn),如何保證信息系統(tǒng)的安全、核心數(shù)據(jù)的安全,提供業(yè)務(wù)系統(tǒng)的持續(xù)運行能力,如何利用現(xiàn)有資源進(jìn)行整合,改善原有陳舊設(shè)備,以最小的投入成本獲得更高的回報,保證服務(wù)器應(yīng)用系統(tǒng)的高可用性,已成為人們關(guān)注的焦點話題。
1 信息化系統(tǒng)建設(shè)具體要求及實現(xiàn)目標(biāo)
1.1 網(wǎng)絡(luò)建設(shè)要求
采用二層網(wǎng)絡(luò)架構(gòu)(即:核心-接入)方式,采用扁平化組網(wǎng)模式,核心到數(shù)據(jù)中心、核心到樓層全部為萬兆數(shù)據(jù)網(wǎng)絡(luò),樓層采用萬兆交換機(jī)接入,出口到終端為千兆。出口鏈路采用雙冗余鏈路;核心層采用兩臺高端核心交換機(jī)并通過虛擬化方式將核心交換虛擬為一臺邏輯交換機(jī),保證核心層的高可用,下聯(lián)交換有各樓層交換和服務(wù)器數(shù)據(jù)交換,均采用雙萬兆冗余鏈路。
1.2 計算中心建設(shè)要求
配置兩臺8路服務(wù)器承載核心數(shù)據(jù)業(yè)務(wù),一套刀片服務(wù)器部署應(yīng)用虛擬化服務(wù)器。后端存儲配置2臺SAN交換機(jī)和一套高端雙活存儲保證后臺數(shù)據(jù)高可用性。
1.3 實現(xiàn)目標(biāo)
通過在安徽省食品藥品檢驗研究院建設(shè)云計算中心,為安徽省食品藥品檢驗研究院系統(tǒng)提供云計算、大數(shù)據(jù)服務(wù)。設(shè)計建設(shè)將達(dá)到以下目標(biāo):
1) 技術(shù)先進(jìn)性:采用先進(jìn)的組網(wǎng)及數(shù)據(jù)中心設(shè)計技術(shù)。
2) 高性能性:云平臺建設(shè)后,服務(wù)器的性能將大幅提升,具有更高的性價比。
3) 高可用性:云平臺及存儲設(shè)備都有硬件級別的冗余。
4) 數(shù)據(jù)安全:將采用容災(zāi)設(shè)備對核心數(shù)據(jù)及系統(tǒng)進(jìn)行有效實時保護(hù)。
5) 高擴(kuò)展性:搭建云存儲平臺,提供云平臺的數(shù)據(jù)擴(kuò)展及容災(zāi)存儲空間。
6) 一體化管理:采用圖形化一體化管理界面,有效管理服務(wù)器及數(shù)據(jù)。
2 關(guān)鍵技術(shù)分析及整體設(shè)計與實現(xiàn)
2.1 網(wǎng)絡(luò)系統(tǒng)架構(gòu)設(shè)計
根據(jù)安徽省食品藥品檢驗研究院現(xiàn)有網(wǎng)絡(luò)實際情況以及用戶需求,對基礎(chǔ)網(wǎng)絡(luò)和網(wǎng)絡(luò)統(tǒng)一管理平臺進(jìn)行如圖1所示的規(guī)劃。 安徽省食品藥品檢驗研究院網(wǎng)絡(luò)主要用來查閱、讀取互聯(lián)網(wǎng)數(shù)據(jù),本次安徽省食品藥品檢驗研究院網(wǎng)絡(luò)建設(shè)從綜合布線開始就重視網(wǎng)絡(luò)速度,從機(jī)房到兩棟大樓都采用64芯萬兆骨干網(wǎng)光纖互聯(lián)。各樓層配置兩臺上行萬兆接入交換機(jī),直接接入至機(jī)房核心交換。
整個網(wǎng)絡(luò)采用“核心、接入”的二層扁平構(gòu)架,有效防止因單點故障影響整體網(wǎng)絡(luò),實現(xiàn)網(wǎng)絡(luò)穩(wěn)定可靠運行,達(dá)到萬兆到桌面,各層分別實現(xiàn)不同的業(yè)務(wù)功能。
整網(wǎng)具備入侵防御能力,網(wǎng)絡(luò)出口部署防火墻、IPS等設(shè)備,并配有網(wǎng)絡(luò)安全管理平臺,實現(xiàn)監(jiān)測和管理同步進(jìn)行。
2.1.1 核心層設(shè)計
安徽省食品藥品檢驗研究院核心交換機(jī)需要能提供快速的數(shù)據(jù)交換和極高的永續(xù)性,選用國產(chǎn)華三路由器,較好地滿足了實際需求。
在設(shè)備的選擇上,采用高性能模塊化核心S10500 系列交換機(jī),考慮到本次網(wǎng)絡(luò)的經(jīng)濟(jì)、安全、實用性并要實現(xiàn)新老兩棟樓間的網(wǎng)絡(luò)區(qū)域隔離,在核心交換機(jī)上配備防火墻板塊,通過虛擬防火墻技術(shù)實現(xiàn)不同區(qū)域間的邊界安全防護(hù),對不同區(qū)域間的訪問進(jìn)行安全檢查和控制,為用戶提供全面的安全防護(hù)。同時,在后期無線網(wǎng)絡(luò)大規(guī)模對員工、訪客開放Internet訪問時,可通過較高性能的防火墻業(yè)務(wù)板實現(xiàn)與核心交換機(jī)的安全互聯(lián),在安全穩(wěn)定的基礎(chǔ)上解決一套無線網(wǎng)絡(luò)即可實現(xiàn)內(nèi)外網(wǎng)同時訪問的醫(yī)療信息化發(fā)展需求。
2.1.2 接入層設(shè)計
接入層是網(wǎng)絡(luò)的前沿設(shè)備、終端設(shè)備等接入網(wǎng)絡(luò)的第一層。在設(shè)備的選擇上,直接影響用戶使用滿意程度,本次設(shè)計采用H3C S5130EI交換機(jī)。
2.2 網(wǎng)絡(luò)虛擬化設(shè)計
2.2.1 橫向虛擬化——IRF2
將兩臺核心交換機(jī)組合為一臺虛擬化的邏輯交換機(jī),從而提高運營效率、增強(qiáng)不間斷通信,并將系統(tǒng)帶寬容量擴(kuò)展一倍。
兩臺核心交換機(jī)之間通過萬兆鏈路連接起來,利用核心交換機(jī)支持的IRF2技術(shù),將兩臺設(shè)備虛擬化為一臺邏輯設(shè)備。這樣,核心層在可靠性、分布性和易管理性方面具有強(qiáng)大的優(yōu)勢,同時滿足和實現(xiàn)管理運營的簡化,為整體設(shè)計提供了靈活的部署能力。
2.2.2 縱向虛擬化設(shè)計
隨著信息化的發(fā)展,業(yè)務(wù)對網(wǎng)絡(luò)傳輸能力和穩(wěn)定性的需求日益增長,要求具有更高的帶寬、更強(qiáng)大的性能、更高密度的接入能力,同時又要兼?zhèn)淇煽啃院鸵坠芾硇?。網(wǎng)絡(luò)節(jié)點的大量增加無疑提升了網(wǎng)絡(luò)復(fù)雜度和管理難度。
在后期改造中建議使用縱向虛擬化技術(shù),可以將整個園區(qū)網(wǎng)絡(luò)設(shè)備虛擬為一臺設(shè)備,在網(wǎng)絡(luò)中以單一管理節(jié)點的形式存在,原有層級之間的連接全部變?yōu)閮?nèi)部鏈路,維護(hù)簡單便捷,適應(yīng)未來業(yè)務(wù)發(fā)展的需求。
2.3 網(wǎng)絡(luò)安全設(shè)計
2.3.1 云網(wǎng)融合設(shè)計
部署獨立的安全設(shè)備無疑將增加安徽省食品藥品檢驗研究院網(wǎng)絡(luò)建設(shè)的成本,同時也增加了網(wǎng)絡(luò)安全部署的復(fù)雜度及網(wǎng)絡(luò)管理的難度,首先需要考慮安全部件簡單化地融入網(wǎng)絡(luò)中以及設(shè)備的易部署性需要在將防火墻部署在WEB 訪問服務(wù)器及路由器之間,這樣可以增強(qiáng)核心交換機(jī)抗擊網(wǎng)絡(luò)風(fēng)險的能力,提升安全機(jī)能,保障內(nèi)部網(wǎng)絡(luò)變成安全網(wǎng)絡(luò),將安全轉(zhuǎn)發(fā)技術(shù)和網(wǎng)絡(luò)技術(shù)有機(jī)融合在一起。
2.3.2 WEB服務(wù)安全防護(hù)
當(dāng)下,伴隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,各種WEB應(yīng)用系統(tǒng)越來越多,系統(tǒng)的增多也預(yù)示著外界針對性網(wǎng)絡(luò)攻擊也越來越多。
本次在服務(wù)器端劃分DMZ區(qū),所有對外服務(wù)都部署在DMZ區(qū),DMZ區(qū)部署WAF防護(hù)墻,部署在核心交換機(jī)與服務(wù)器接入交換機(jī)之間,連接方式采用串聯(lián)方式。并在WAF上啟用策略路由方式,能有效防范外部對DMZ區(qū)發(fā)起的攻擊,同時保證其他業(yè)務(wù)非訪問WEB 服務(wù)流量的高速轉(zhuǎn)發(fā)。WAF設(shè)備能有效防范各類SQL 注入、掃描器掃描、跨站、掛馬、盜鏈行為等攻擊行為。
2.4 主機(jī)存儲設(shè)計
2.4.1 系統(tǒng)拓?fù)?/p>
本次系統(tǒng)設(shè)計選用先進(jìn)的H3C UIS刀片服務(wù)器系統(tǒng),結(jié)合宏杉科技MS5520雙活存儲和曙光DBstor100數(shù)據(jù)庫備份一體機(jī),對整個應(yīng)用系統(tǒng)和數(shù)據(jù)安全進(jìn)行有效保護(hù),構(gòu)建安徽省食品藥品檢驗研究院數(shù)據(jù)中心。核心數(shù)據(jù)庫服務(wù)器采用2臺曙光I980-G10 8 路服務(wù)器承載核心數(shù)據(jù)庫業(yè)務(wù),本次系統(tǒng)設(shè)計充分考慮靈活性和可擴(kuò)展性,既要滿足現(xiàn)在的應(yīng)用需求又能適應(yīng)未來一定時間內(nèi)的業(yè)務(wù)增長需求,建設(shè)方案拓?fù)淙鐖D4所示。
2.4.2 雙活存儲設(shè)計
雙活存儲組網(wǎng)如圖5所示。
如圖5所示,安徽省食品藥品檢驗研究院存儲設(shè)備采用雙活技術(shù),兩臺存儲設(shè)備之間使用雙活網(wǎng)絡(luò)互連,任一臺存儲設(shè)備出現(xiàn)雙點故障時,另一臺存儲設(shè)備能繼續(xù)提供存儲服務(wù),服務(wù)器上業(yè)務(wù)可無縫調(diào)取存儲中的數(shù)據(jù),從而保證業(yè)務(wù)連續(xù)性[2],同時又可保證雙活鏡像對的兩個LUN中數(shù)據(jù)完全一致。
在故障處理方面,在配置SDAS后,如果任一引擎中任一控制器發(fā)生故障,業(yè)務(wù)將通過雙控故障切換機(jī)制切換到該引擎中另外一個控制器上;如果任一引擎中兩個控制器同時發(fā)生故障,將通過SDAS的引擎故障檢測機(jī)制觸發(fā)引擎間切換,業(yè)務(wù)切換到另外一個引擎上。同時,針對計劃內(nèi)維護(hù)需求,當(dāng)任一引擎中兩個控制器需要同時重啟或關(guān)機(jī)時,也會觸發(fā)引擎間切換,業(yè)務(wù)切換到另外一個引擎上。
3 結(jié)束語
安徽省食品藥品檢驗研究院信息化建設(shè)分別從網(wǎng)絡(luò)虛擬化設(shè)計、網(wǎng)絡(luò)安全性考慮、主機(jī)系統(tǒng)好的靈活性和可擴(kuò)展性設(shè)計以及雙活存儲的設(shè)計實現(xiàn)等方面考慮,保證了單位網(wǎng)絡(luò)系統(tǒng)的高性能、高可靠和數(shù)據(jù)中心的高安全。
高性能方面,網(wǎng)絡(luò)上采用“核心、接入”的二層扁平構(gòu)架,有效防止因單點故障影響整體網(wǎng)絡(luò),實現(xiàn)網(wǎng)絡(luò)穩(wěn)定可靠運行,實現(xiàn)并達(dá)到萬兆網(wǎng)絡(luò)到桌面。
高可靠性方面,實現(xiàn)了網(wǎng)絡(luò)的虛擬化部署,服務(wù)器也采用虛擬化技術(shù)進(jìn)行資源整合,通過CAS虛擬化平臺管理各虛擬機(jī),保證業(yè)務(wù)不中斷。存儲采用宏杉雙活存儲系統(tǒng),最大限度地保障系統(tǒng)及網(wǎng)絡(luò)的高可靠性[3]。
高擴(kuò)展性方面,從系統(tǒng)構(gòu)建之初就充分考慮擴(kuò)展需求,無論是在服務(wù)器、存儲還是在網(wǎng)絡(luò)資源的擴(kuò)展上都可以做到靈活擴(kuò)展。
高安全性方面,硬件設(shè)備上采用一系列安全設(shè)備來保障系統(tǒng)的安全性,利用虛擬化保障虛擬主機(jī)的安全。在數(shù)據(jù)存儲方面,通過雙活存儲以及曙光備份柜來實現(xiàn)業(yè)務(wù)數(shù)據(jù)的實時保護(hù),從各個方面保證系統(tǒng)的安全性[4]。