信息系统私有云解决方案

李伟 王丰 孙斌斌/文

近年来，我国高度重视信息化工作，提出加快推进制造强国、网络强国、“互联网+”行动等重大战略决策，并明确提出要加快5G 网络、数据中心等新型基础设施建设进度。这是近年来数据中心首次被列入加快建设的条目，数据中心作为“新基建”中的一个亮点，引起了业界的高度关注。

数据中心是信息集中处理、计算、存储、传输、交换和管理的核心资源载体，是支撑信息化应用的重要基础设施。随着信息系统的不断增加和应用场景的不断丰富,数据中心持续扩大扩容成为必然要求。如何构建科学、高效、开放的数据中心是我们必须深入研究的课题。

数据中心的发展

传统数据中心

数据中心由通信网络支持的信息系统软硬件聚集而成，通常包括计算机、服务器、网络、存储等关键设备，还包括这些关键设备运行所需要的环境因素，如供电系统、制冷系统、机柜系统、消防系统、监控系统等物理基础设施。传统物理架构数据中心一般由网络交换机、安全设备、服务器和外置存储四部分组成，如图1所示。

图1 传统物理架构数据中心

目前，大多数企业的数据中心还是采用传统物理架构建设模式，也就是典型的“烟囱式”架构，就是将信息系统部署在各自的物理服务器上，这会造成相互之间在功能上无法关联互动，数据不能共享互换，数据流和应用相互脱节，形成一个个IT 烟囱。这种架构将导致物理服务器利用率低，负载不均衡，存储容易出现瓶颈，物理冗余成本高，使整个架构平台的造价比较高，管理和运维操作比较复杂，应用系统之间很难共享数据。

服务器虚拟化架构

为解决信息系统“烟囱式”架构带来的各种问题，虚拟化技术应运而生。虚拟化技术是指通过虚拟化技术将一台计算机虚拟为多台逻辑计算机，实现资源的模拟、隔离和共享。在一台计算机上同时运行多个逻辑计算机，每个逻辑计算机可运行不同的操作系统，且应用程序可以在相互独立的空间内运行而互不影响，从而提高计算机工作效率，如图2所示。

图2 虚拟化架构数据中心

服务器虚拟化技术利用软件重新定义划分IT资源，实现资源的动态分配、灵活调度和跨域共享，提高IT 资源利用率、降低成本、加快部署、增强系统整体安全性和可靠性，使IT 资源能够真正成为社会基础设施，满足各行各业灵活多变的应用需求。

服务器虚拟化架构是比传统物理架构更具成本效益、更为灵活和实用的替代方案。在服务器虚拟化架构中，虚拟服务器通过管理程序模拟处理器、操作系统和其他资源，物理服务器资源被视为可以在现有虚拟机或新虚拟机之间重新分配的资源池。虚拟化架构具有可扩展性强、资源利用率高、使用成本低等优点。但整个业务结构并没有改变，虚拟化架构仍存在除计算虚拟化以外的其他弊端，如外置存储扩容慢、部署成本高、业务上线速度慢、运维复杂等。

基于云架构的数据中心

云计算是在虚拟化基础上通过计算机网络形成的计算能力极强的系统，可集合相关资源并按需配置，向用户提供个性化服务。在云计算基础上将存储及网络资源进行耦合，完全虚拟化各种IT 设备，形成模块化程度、自动化程度和绿色节能程度较高的云架构数据中心，如图3所示。

图3 基于云架构的数据中心

特点

云架构是一种基于虚拟化技术的云计算模型，它实现了更高级别的服务和管理功能，以满足组织内的IT 需求。虚拟化的重点是对资源的虚拟，比如把一台大型的服务器虚拟成多台小型的服务器。云计算的重点是对虚拟化资源池进行统一的管理和调度。

云架构数据中心的特点，首先是高度的虚拟化，这其中包括服务器、存储、网络、应用等虚拟化，用户可以按需调用各种资源；其次是较高的自动化管理程度，包括对物理服务器、虚拟服务器的自动化管理和对相关业务的自动化流程、客户服务的收费等管理；最后是绿色节能，云数据中心各方面均符合绿色节能标准，一般PUE值不超过1.5。

优势

云数据中心将传统数据中心的计算、网络、存储、安全等资源进行深度融合，提升了资源整合密度。云计算架构与传统物理架构、虚拟化架构在特点、统一化管理、集中配置部署、技术实现等方面有所不同，见表1。其优势如下：

表1

成本降低数据中心硬件设备只有服务器和交换机，成本降低；

平台可用性高采用分布式架构，任何一台主机故障都不会影响超融合平台的稳定性和可用性；

业务可靠性高虚拟机高可用HA 和数据多副本等机制保证业务的高可靠；

运维简化架构更简单，可以满足资源快速部署和快速调整的需求，支持可视化大屏操作、故障定位监控预警机制等，简化运维操作；

资源利用率高服务器的资源通过虚拟化技术可分配给多业务使用，提高资源利用率。

云架构还可实现业务系统登录认证、攻击防御、数据传输及存储保护、日志审计等全过程管理，并配合边界隔离、病毒检测、实时监控等运维措施，实现端到端的安全，主要包括：

登录安全采用CA 认证及堡垒机登录，确保身份可信，并对登录人员账号进行权限管理；

传输安全外部登录数据传输采用VPN 隧道方式接入，对明文数据进行SSL加密；

边界安全根据安全级别对业务系统进行安全区域划分，分区间采用防火墙进行安全隔离，在互联网出口处部署入侵检测防御、病毒检测防御、抗DDOS 攻击设备等安全措施，确保区域边界进出数据和流量的安全；

主机安全采用系统安全加固和防病毒软件手段保证业务主机安全；

数据安全采用数据加密存储、介质冗余、存储双活、定时备份等措施确保数据安全；

运维安全利用日志审计和数据库审计系统及时发现系统中存在或潜在的威胁，通过监控实时发现异常情况并及时处理；

云安全利用VLAN 隔离和安全组策略，结合边界防火墙共同构筑“南北+东西”流量安全防护机制，并对云平台和API接口进行安全加固，确保云计算平台自身的安全。

近几年随着云计算技术的逐渐普及，越来越多的企业选择云计算方案。其中，私有云因在数据安全、数据备份等方面有自主可选空间而受到青睐。

私有云解决方案典型部署示例

私有云是云计算的一种特殊模式，IT 服务通过专用IT 基础架构进行配置，供单个组织专用，提供更好的IT 服务和支持。私有云通常由一组虚拟化服务器和相关的管理工具组成，这些服务器为组织内的各个部门计算、存储和提供网络资源。在私有云模式下，云资源池只能由单个组织访问，因此可以保护该组织的隐私权，并加大其控制权。

信息系统私有云架构一般分为互联网接入区、核心交换区、信息系统区和运维管理区四个区域，如图4所示。

图4 私有云解决方案典型部署

互联网接入区部署负载均衡、网络防火墙、上网行为管理等网络设备，提供互联网接入服务，供用户访问信息系统。

核心交换区是数据中心南北向流量和东西向流量的交汇点，其主要功能是完成各服务功能分区之间数据流量的高速交换。核心交换区必须具备高速转发的能力，同时还需要有很强的扩展能力，满足业务未来快速发展的需求。

信息系统区部署高性能服务器，组建私有云集群，区域内设备全部采用全冗余架构，计算、网络、存储等各维度均双链路运行，保障业务持续运行。

运维管理区为数据中心提供统一的安全、运营运维、灾备等管理系统。在运维管理区部署两台主备防火墙，开启防病毒、IPS 和应用控制功能，对运维安全进行防护。

信息系统私有云建成后，需对现有业务进行迁移。制订迁移方案时要重点评估迁移过程中业务中断的时间以及迁移后的数据一致性。选择迁移方法时也要综合考虑操作系统类型、业务是否允许中断、数据一致性要求是否严格等因素，见表2。

表2

私有云数据中心可有效降低重复建设投资，在节能环保的基础上提高基础设施资源利用率，还可以实现信息系统快速部署和业务上线，通过基于业务视角的界面展示、可视化运维和一键故障定位，实现统一管理和极简运维。我们应不断优化现有信息系统的基础设施和环境，采用新技术和新思路，在保证信息系统稳定性的前提下打好私有云数据中心建设基础，提高信息系统运行可靠性，使资源利用更加灵活和高效，从而实现未来资源池化的目标，实现统一化、智能化、灵活化的运维手段。