基于融合的安全私有云方案

1、基于融合的安全私有云方案云企業(yè)戰(zhàn)略IT規(guī)劃業(yè)務信息化以云為基礎的兩化融合私有云主機（Hosts）部署虛擬化管理程序的服務器主機主存儲（Primary Storage）用來存放虛擬機數據群集（Cluster）一組主機與相關主存儲的集合機架（Pod）一組Cluster的集合網絡（Network）為虛擬機提供網絡服務二級存儲（Secondary Storage）用來存放虛擬機模板、快照、ISO資源域（Zone）一組Pod及相關二級存儲的集合管理服務器（Management Server）統一管理整個云架構管理平臺架構HostNetworkHostPrima ryStorageClusterVMVMP

2、odPodZoneClusterSecond aryStorage.Cluster NPod 1 Access LayerHost 2Cluster 1Host 1基本組成是包含Hypervisor 的物理主機HostCluster由一組Host組成Cluster中的Host可訪問共享存儲 （Primary Storage）單個或多個Cluster組成Pod一個Pod配置一個2層交換機 設備Availability Zone由一組Pod組成，配置二級存儲（Secondary Storage）整個云由位于不同位置的2個Zone構成PrimaryStorageZone 1.L3 switchSec

3、ondaryStoragePod NMgmtServerInternet云管理多節(jié)點部署Mgmt Server用虛擬機部署為保證性能與冗余性，3臺Mgmt Server(單臺MgmtServer可管理最多5K臺Host)單一管理服務器節(jié)點可管理多個資源域資源域分布在2個物理站點， 站點間通過專用光纖鏈接(不 同園區(qū)內)單一管理服務器節(jié)點可管理5K臺主機節(jié)點多站點部署InternetSAN存儲設備千兆以太網交換機千兆以太網交換機存儲交換機存儲交換機防火墻云軟件管理服務器云平臺管理服務器VPN服務器光纖收發(fā)器光纖收發(fā)器云計算物理服務器主要分為三大部分：云管理中心 云服務中心 云存儲中心物理架構網絡

4、是實現私有云的 基礎，在不同的應用需求 下，要求提供不同的基礎 設施網絡，但要實現云應 用，在物理硬件層必須要求融合網絡，即將所有物理網絡與數據網實現融合。公司在初期就對整個 基礎設施做了詳細的規(guī)劃 部署，特別是數據網建設 上，不僅每個工位前均部 署有多路信息接入點（外 部數據、內部數據、專用數據、語音等多路接入）， 而且，利用無線（MESH 等)技術、VPN技術、數字電路技術等多種技術方 案結合公司完善的安全技 術體系，實現了無論在園區(qū)內還是外部隨時可安全 應用公司資源。融合網絡應用網絡管理網絡VMVMVMVMVMInternet來賓網絡存儲網絡路由器接入層交換機資源域服務器節(jié)點管理服務器二

5、級存儲Pod 1Pod 2Pod 3Pod NMySQL負載均衡器3層核心交換機管理操作API用戶網絡拓撲Tenant 1Tenant 2Tenant 3VirtualRouterGuestVirtualNetwork 1(VLAN 100)VirtualRouterGuestVirtualNetwork 2(VLAN 101)VirtualRouterGuestVirtualNetwork 3(VLAN 105)VirtualRouterGuestVirtualNetwork 4(VLAN 106)VirtualRouterGuestVirtualNetwork 5(VLAN 110)Int

6、ernet公用網絡網絡安全架構-L2隔離機制：VLANGuest 1 VM 1Guest 1 VM 2Guest 1 VM 3Guest 1 VM 4公用網絡Gateway address 10.1.1.1NATDHCPLoad BalancingPort ForwardingFirewallsVPNPublic IP address 65.37.141.1165.37.141.36Guest address 10.1.1.2Guest address10.1.1.3Guest address 10.1.1.4Guest address 10.1.1.5Guest 1 Virtual Rout

7、erGuest 2 VM 1Guest 2 VM 2Guest 2 VM 3Gateway address 10.1.1.1Guest address 10.1.1.2Guest address10.1.1.3Guest address 10.1.1.4Guest 2 Virtual RouterPublic IP address 65.37.141.2465.37.141.80NATDHCPLoadBalancingPortForwardingFirewallsVPNGuest Network 1VLAN 100Guest Network 1VLAN 101Internet網絡安全架構- A

8、dvanced Isolated網絡模式（L2隔離）網絡請求受到策略限制的一組虛機包括Ingress/egress規(guī)則默認屏蔽所有Ingress請求，開放所有egress請求可限制源地址、源賬戶、端口范圍以 及協議類型所有賬戶擁有自己的默認SG用戶可以根據需求創(chuàng)建新的SG基于iptables/ebtables實現虛擬機獲得的IP地址是不連續(xù)的不同用戶的資源通過安全組隔離類似AWS的網絡模式網絡安全架構-L3隔離機制：安全組多層級網絡 2011 Zenprise, Inc. All rights reserved. *移動應用架構云存儲以云存儲架構構建統一的儲存池，所有存儲應用均從池中分配， 并

9、接受統一管理，同時可通過云 管理平臺實現自助式存儲空間分4層建設云存儲架構，其中訪 問層與應用層依賴云應用平臺實 現個人空間服務、 公共空間服務等歸檔、集中存儲、遠程共享等數據備份、數據智能園區(qū)、工控系統等基礎設施 存儲需求網絡接入、用戶認證等公用API接口、應用軟件、webservices等集群系統、分布 式文件系統內容分發(fā)、重復 數據刪除、數據 壓縮數據加密、數據 備份、數據容災存儲虛擬化、存儲集中管理、狀態(tài)控制、維護升級等 存儲設備（NAS、FC、ISCSI等）訪問層應用接口層基礎管理層存儲層應用架構及特點統一架構：運行 虛擬化存儲操 作系統，通過單個可擴展架構支 持多種工作負載。安全多

10、租戶： 分離和隔離共享 服務器、存儲與網絡資源，并將 其提供給不同的組、用戶、部門 或應用。服務自動化和分析： 實現自動 化存儲配置，以及對可用性、性 能和策略合規(guī)性的全面顯示、監(jiān) 控和主動預警。集成數據保護：滿足備份、災難 恢復、歸檔、合規(guī)性以及安全性 服務級別協議?？v向擴展、縮減規(guī)模和橫向擴展： 在多個方面（性能、容量和操作）滿足云計算的動態(tài)業(yè)務需 求。云存儲知識管理協同管理云管理平臺云管理平臺應用發(fā)布虛擬存儲存儲設備業(yè)務層應用層系統層物理層Pod 1Host 2Cluster 1Host 1主存 儲L3 switch二級存 儲L2 switch在每個Cluster中進行配置存儲虛擬機磁盤

11、卷需要保證I/O性能與可靠性每個Cluster可配置多個主存儲支持FC SAN、NFS、iSCSI主存儲（Primary Storage）在Zone級別進行配置存儲模板、ISO與快照文件可以配置多個二級存儲支持NFS與OpenstackSwift二級存儲（Secondary Storage）存儲管理存儲管理VolumeVM 1添加刪除卷快照計劃Hourly WeeklyNowDailyMonthly創(chuàng)建模版VolumeTemplate瀏覽快照歷史.現代信息技術的發(fā)展將園區(qū)智能化成為可能，利用 IP網絡及虛擬化技術融合數據、視頻、音頻信息控 制，將安防、消防、后勤保障 、自動控制通訊等 全方位基

12、礎設施需求融合在一起智能園區(qū)由監(jiān)控、會議、有線電視、LED大屏、電梯控制系統、考勤、門禁、一卡通消費等組成通過融合基礎架構設計，株洲路園區(qū)具備了高度的 集成性及融合性，具備了基礎設施的虛擬化和云發(fā) 布能力，其特點有：統一網絡：智能園區(qū)網絡按照分層、模塊化的 思路進行設計和規(guī)劃，建立統一融合的網絡平 臺，具備各類應用一體化網絡總體架構及靈活 的接入等特點統一安全：通過將各基礎設施應用集成，將個 系統安全保障也納入統一體系里，通過IP架構 安全體系，可有效發(fā)布安全策略保護各基礎設 施安全。統一管理：園區(qū)中通信、計算、監(jiān)控、安防等 各類業(yè)務應用和網絡的融合，促使基礎設施服 務管理向“信息服務和流程服

13、務”和“精確管 理和精益運營”轉變。端到端服務：數據網所承載的各種割裂的系統 和資源被納入到一個統一的平臺體系。通過虛 擬化技術支撐使之向水電一樣提供便捷的基礎 設施服務云智能園區(qū)平臺服務-服務器虛擬化服務器虛擬化是云計算的基礎服務器虛擬化是指將服務器物理資源抽 象成邏輯資源，讓一臺服務器變成幾臺 甚至上百臺相互隔離的虛擬服務器，不受限于物理上的界限，而是讓CPU、內存、磁盤、I/O等硬件變成可以動態(tài)管理的“資源池”，從而提高資源的利用率，簡化系統管理，實現服務器整合服務器虛擬化的優(yōu)點：高兼容性、應用 隔離、高資源利用率、高可管理性、高 可用性、節(jié)能通過XENSERVER建立虛擬服務器池，將

14、服務器系統通過虛擬化實現云端發(fā)布集中管理所有桌面，確保 最高的安全性集中完成所有桌面的安裝、更新和打補丁工作移動、添加和修改所需時 間從數小時縮短到幾分鐘即使發(fā)生中斷，也能幫助員工立即恢復生產隨時隨地使用任何設備自助選擇各種應用可在同一設備上實現辦公和個人桌面的任意切換數分鐘之內即可在新設備上實 現系統恢復，無數據丟失虛擬桌面可為用戶和IT部門帶來巨大優(yōu)勢IT部門可實現最有效的控制用戶可獲得最高的靈活性用戶可以通過安裝有 Citrix Receiver的任意設 備最方便地訪問桌面用戶可以從相同設備上訪問多個桌面-桌面虛擬化虛擬桌面是云計算發(fā)展中重要的關鍵環(huán)節(jié)桌面虛擬化指將計算機的桌面進 行虛擬

15、化，以達到桌面使用的安 全性和靈活性?？梢酝ㄟ^任何設 備，在任何地點，任何時間訪問 在網絡上的屬于我們個人的桌面 系統。提高可管理性、簡化部署、更高 的靈活性、提高數據保護能力、 提高資源利用率、降低成本利用 XENSERVERXENDESTOPPV S等CITRIX桌面系列產品，成功 搭建桌面池,并通過與安全技術融 合，打造獨有安全桌面應用-桌面虛擬化公司虛擬桌面部署架構通過應用HDX-3D實 現對圖形工作站的發(fā) 布，將圖形應用整合 進來，實現圖形應用 的云發(fā)布利用顯卡穿透技術支 持對多GPU資源的大 型三維用戶充分利用原工作站進 行物理發(fā)布實現圖形 資源的統一管理-桌面虛擬化之圖形應用應用

16、瘦客戶實現高效穩(wěn)定 的桌面發(fā)布應用零客戶機實現最大戶 的桌面應用體驗通過與安全技術、虛擬網 絡技術融合實現各類主流 移動終端桌面接入（包含IPHONEIPOAD等IOS系統、黑莓系統、安卓系統 及WINDOWS MOBILE等智能系統終端）通過XENCLIENT同步服務 器支持筆記本離線桌面鏡 像應用-桌面虛擬化之終端應用應用程序虛擬化以IT應用客戶端 集中部署平臺為核心，以對最終用戶 透明的方式完全使用戶的應用和數據 在平臺上統一計算和運行，應用虛擬 化將應用程序與操作系統解耦合，為 應用程序提供了一個虛擬的運行環(huán)境應用程序虛擬化的優(yōu)勢能夠顯著提高部署簡易性、通過集中 化應用管理來降低應用管

17、理成本、保 證業(yè)務連續(xù)性、將應用及時交付給任 何地點的用戶、利用對數據和應用的 集中化控制和安全訪問來增強安全性通過建立應用發(fā)布池將公司應用 整合起來，并按需配給，大大提高了 應用效率并降低了應用投入及管理成 本。-應用發(fā)布利用DAZZLE技術 建設管理應用池，實現 應用資源的自助配給通過與安全技術結合實現應用安全發(fā)布通過與業(yè)務層門戶 等業(yè)務應用集成實現在 線業(yè)務發(fā)布-應用商店將所有物理打印機按物 理特性分層部署并融入 數據網絡利用多層打印服務器（server及thinprint）及虛擬化發(fā)布技術建設打 印服務池通過鏡像發(fā)布、安全策 略中心將打印資源按需 自動配置，實現打印云 應用-云打印服務

18、-統一文件服務由于采用瘦終端的桌面系統發(fā)布架構，本地 無存儲資源，因此需要提供靈活的文件服務， 由于采取數據分類管理策略，除系統數據（包含鏡像數據及緩存數據）與業(yè)務數據（數據庫）外，即配置信息數據與應用環(huán)境 數據通過文件服務器提供存儲服務。其中配置數據由虛擬化系統專用配置工具 及WINDOWS漫游配置服務共同完成，以實現各 種個人配置信息如瀏覽器配置、輸入法配置、 打印配置、CAD應用配置等等配置信息與應用 數據分離，實現應用環(huán)境的系統環(huán)境、設備、 位置接入方式的無關性，即無論更換桌面操 作系統、更換桌面接入設備在任何地點以任何 方式接入都保持個人配置環(huán)境的不變。在應用數據存儲服務方面，通過統

19、一的安 全策略及發(fā)布，實現對容量、顯示、安全策 略的統一管理。系統建設依據整體云層次架構進行，在層主要建設重 點是提供語音服務的PBX（支持PRI信令）/E1線路基礎 設施、VoIP網關設備、本地PBX/IAD設備等語音通信基 礎設施規(guī)劃建設，通過模擬與數字語音通信混合通信 方案最大化的保留了傳統語音使用習慣，同時又實現 語音與IP數據網的融合；在統一視頻服務上，主要是 融合會議系統、監(jiān)控系統，在智能會議室建設規(guī)劃開 始，即設計從中控系統、視頻會議終端、會議發(fā)聲系 統等融入IP網絡，考慮符合對應管理系統規(guī)劃要求的 設備選型及部署方案為數據、語音、視頻通信服務提供了廣泛支持，在數 據融合服務上，

20、分別部署了手機短信服務器、郵件（包含內外部前后端及堡壘服務器等）集群服務、IM服務、消息中心服務器等，在語音及視頻方面部署了 統一通信服務器、語音網關服務器、視頻服務器（DVS）、流媒體服務器等提供了語音視頻信息的采集、 處理、發(fā)布及集成等服務開發(fā)了統一的前端通信平臺，用戶只需使用統一的通 信客戶端平臺即使用包含數據、語音、視頻的所有通 信服務通過提供開放式集成接口，可快速與各業(yè)務應用結合， 實現業(yè)務應用自助式通信集成，如在業(yè)務組件開發(fā)設 計上可快速實現郵件或消息調用或電話留言功能，在 融合門戶使用上，可自助式申請各業(yè)務板塊的消息使 用功能。通過統一通信平臺的建設，目前已經基本實現內 部郵件、

21、外部郵件、手機短信、各應用消息系統、會 議系統、電話、即時消息等等通信實現融合，用戶可 通過統一通信平臺隨時隨地進行視頻會議、電話、短 信溝通，同時也可使用手機、固定電話、移動終端等 享受統一通信的便利。-云通信服務云管理平臺云計算的第一步是將硬 件統一為資源池進行統 一的管理及調度，不同 的虛擬化可以視為一個 資源池，目前青島雙瑞 云已支持Xen Server和 Hyper-v兩大虛擬化群-資源池管理UsersStartStopRestartDestroyRestoreMigration虛擬機操作控制臺訪問CPU UtilizedNetwork ReadNetwork Writes虛擬機狀態(tài)

22、變更配置2 CPUs1 GBRAM20 GB20 Mbps4 CPUs4 GBRAM200 GB100Mbps-云資源監(jiān)控-云資源監(jiān)控-結算管理在業(yè)務層秉承業(yè)務虛擬 化發(fā)展理念，其核心在 于在全業(yè)務基礎架構上，按需配給業(yè)務應用，實現業(yè)務云應用-云業(yè)務核心云業(yè)務應用的基礎在于全業(yè) 務系統的發(fā)展，即將所有業(yè) 務需求按兩化融合的精神要 求，發(fā)展出相關的信息化應 用，建立企業(yè)完整的業(yè)務池，并且隨著業(yè)務發(fā)展，業(yè)務 應用池也同步發(fā)展或引領性 發(fā)展。-全業(yè)務應用業(yè)務云與基礎架構的 不同之處在于其并非 由技術架構串接，而 是由業(yè)務邏輯分布組 成，在業(yè)務池的建設 中，應以邏輯線串接 分層分塊布局建設。-業(yè)務邏輯

23、分布建設企業(yè)應用數據倉庫不僅是決策支持和商務智能 業(yè)務系統的直接需求，更是實現業(yè)務云的基礎，是 業(yè)務池承載的物理基礎，即數據云通過云技術建立企業(yè)數據云，搭建各業(yè)務系統與決 策支持系統的橋梁，通過集成BI組件完成系統個性 化定制；運用企業(yè)數據云可以高效、透明、無縫、 靈活地連接企業(yè)各種應用系統，還可以為決策支持 商務智能等業(yè)務提供統一的數據接口和可靠的數據 來源在邏輯架構設計上，把各分散的數據模塊重新抽象 化，根據決策原則和需求進行數據倉庫的建立，對 數據進行集中化管理，包括系統功能模塊的重新劃 分、數據分析與數據挖掘工具的邏輯部署；主要分 三大模塊：實體數據集市、虛擬數據集市和云管控 引擎。業(yè)

24、務應用以數據云為基礎建立各指標體系，并實現 面向對象決策主題數據的存儲和管理。并支持元數 據管理、ETL抽取管理、ODS監(jiān)控、外部數據導入 及數據抽?。〝祿逑础祿D換、數據匯總）。-大數據EAISOA云集成-業(yè)務架構（分布式SOA）從公司成立信息化初步規(guī)劃開始，可考慮到各應用集成的演進，初期規(guī)劃基礎是EAI隨著業(yè)務應用的逐步發(fā)展，各應用接口的增長，集 成成本倍增，同時由于基于應用接口開發(fā)集成并未 真正實現統一的身份認證、狀態(tài)認證、安全控制等 基礎服務，在業(yè)務邏輯上并未真正打通，隨著需求 與技術的發(fā)展，逐漸將架構轉向SOA按照云集成需求“軟件就是服務”要求，應用間是 互為服務的關系。服務同業(yè)

25、務流程結合在一起，能 夠更加精確地表示業(yè)務模型，通過將注意力放在服 務上，應用系統會更加真實地反映出與業(yè)務模型的 結合；將各應用服務組件都變成了“標準件”，即 可按照自身業(yè)務需求創(chuàng)造出各種組合，不需要重新 定制基礎的服務零件，重點在于服務組件的接口。通過將業(yè)務應用架構抽象出來，將其功能以粗粒度 的服務形式表示出來，每種服務都清晰地表示其業(yè) 務價值，那么，公司用戶隨時明確可得到這些服務，而不必考慮其后臺實現的具體技術，這就要求這 些服務背后的應用架構實現最大化的靈活性，即云 集成架構設計。業(yè)務層-業(yè)務發(fā)布（門戶EIP）云業(yè)務除要求在后端架構及承載方式等方面，在前端發(fā)布上 也需要相應支持，EIP是

26、一個現實選擇。傳統EIP是一個將企業(yè)的所有應用和數據集成并以統一的用 戶界面提供給用戶的基于Web的信息門戶。能向分布各處的 用戶提供商業(yè)信息，幫助用戶管理、組織和查詢與企業(yè)和部 門相關的信息。內部和外部用戶只需要使用瀏覽器就可以得 到自己需要的數據、分析報表及業(yè)務決策支持信息。是為了 滿足企業(yè)不斷增長的需求，即更有效地利用企業(yè)的數據資源 和信息資產，必須保證內部和外部的每一個用戶都能隨時訪 問到信息。在云計算架構之上， 公司對門戶有了更多要求（特點），除 支持業(yè)務層展示外，對其他層云應用資源發(fā)布及管理也逐步 發(fā)展到自助式門戶之上，為業(yè)務部門提供了一個瀏覽器圖形 界面，在統一門戶WEB之上可直

27、接申請、管理、跟蹤和撤銷 私有云服務和容量，進而滿足個性化業(yè)務需求云安全云安全建設組成 身份保護基礎架構保護 信息保護云安全建設步驟 集中化數據管理集中化應用程序管理聯合身份管理 2012 Zenprise, Inc. All rights reserved.44移動應用安全設備配置安全，保證設備合規(guī)網絡安全連接數據文檔安全傳送數據防泄漏應用程序+端到端安全防范不安全應用；保護應用端到端安全物理層安全物理安全：包含門禁、防雷、防火、防水防潮、防 靜電、溫濕度控制、電力供應、電磁防護 等安全基礎設施建設網絡安全：包含網絡結構安全、訪問控制、安全審 計、邊界完整性檢查、入侵防范、網絡設 備防護，主

28、要應用物理設備有：內網防火 墻外網防火墻、SSLVPN設備、IPSECVPN 設備、入侵檢測設備、上網行為管理、網 閘設備、身份鑒別設備、終端訪問控制系 統、指紋認證終端設備、KEY設備等*提供用戶與應用程序間安全，專用，類VPN鏈接選擇性訪問 vs. all-or-nothing 的VPN隔離重要企業(yè)應用程序性能更佳、可靠度更高、數據壓縮傳輸成本更低、持續(xù)性更好-移動應用專屬VPN移動應用安全系統層安全分層建設統一的安全中心， 以安全類別建設模塊化安全 體系，目前已建設有身份鑒 別中心、生物識別中心、 CA認證中心、策略控制中 心、審計中心、加密中心等 模塊化安全服務器。各安全模塊即相互獨立又相 互融合以適應云安全應用需 求，可隨時響應應用及業(yè)務 層靈活定制的安全需求在AD域安全集成、桌面云 集成、遠程接入物理層與系 統層集成方面均為前瞻性應 用，在國內無論在理論技術 架構還是實際部署應用處于 領先地位CA中心AD認證審計 中心生物 識別