摘要:云主机是云计算在基础设施应用上的重要组成部分,位于云计算产业链金字塔底层,产品源自云计算平台。该平台整合了互联网应用三大核心要素:计算、存储、网络,面向用户提供公用化的互联网基础设施服务,与传统的物理机相比,它能够有效地解决传统物理机与VPS服务过程中管理难度大、业务扩展性弱的缺陷。本文主要研究的是云主机与传统物理机的区别,并通过审批中心组网案例进行深入的剖析,结合项目本身的需求以及技术可行性、可操作性的论证,对整个云基础实施进行逻辑功能的模块化划分。
关键词:云平台 云存储 云安全 云资源池
服务器是云计算平台的核心,其承担着云计算平台的“计算”功能。对于云计算平台上的服务器,通常都是将相同或者相似类型的服务器组合在一起,作为资源分配的母体,即所谓的服务器资源池。在这个服务器资源池上,再通过安装虚拟化软件,使得其计算资源能以一种虚拟服务器的方式被不同的应用使用。这里所提到的虚拟服务器,是一种逻辑概念。对不同处理器架构的服务器以及不同的虚拟化平台软件,其实现的具体方式不同。在x86系列的芯片上,其主要是以常规意义上的VMware虚拟机或者其他厂商虚拟机的形式存在。云主机所采用的X86服务均为目前业界主流,高性能的PC服务器,所使用的虚拟化软件为业界商用最稳定、最可靠的VMware虚拟化软件,有效保障了软硬件设备的兼容性。
在提供云平台服务过程中,针对不同的服务类型(例如计算资源租用、存储容量租用服务、网络带宽租用服务等),均有准确的计量的方法来自服务动控制和优化资源配置。即资源的使用可被监测和控制,是一种即付即用的服务模式。政府部门可根据实际使用的资源服务情况,按需租用付费,同时可进行弹性扩展,减少了一次性投入大量的人力、财力和建设时间去扩容硬件设备,以及不需要承担硬件设备维护、折损等后续运维服务的支出。对于云服务而言,各种底层资源(计算、储存、网络、资源逻辑等)的异构性(如果存在某种异构性)被屏蔽,边界被打破,所有的资源可以被统一管理和调度,成为所谓的“资源池”,从而提供按需服务;对用户而言,这些资源是透明的,无限大的,无须了解内部结构,只关心需求是否得到满足即可。审批中心私有云平台部署在温州滨海的云计算中心,将通过光纤直接联入瓯江口新区核心网络。瓯江口新区是温州中心城市主拓展区和温州海洋经济示范区。在审批中心需部署业务系统,从系统建设、资金投入、设备维护等方面考虑,云计算是非常合适的解决方案。
在充分研究本项目需求及考虑到技术的可行性,项目的可实施性及积累的云计算建设经验基础上,对整个云基础实施进行逻辑功能的模块化划分。
1 以数据交换为核心,构建云网络
包含核心的数据交换、数据的汇聚、存储交换机等。围绕云网络通过设置,构建云安全区,DMZ数据交换区、主机资源、存储资源、管理平台等。
2 云安全区,在该逻辑区域首要是解决所构建系统的安全性
通过防火墙进行不同网络之间的隔离;使用IPS/IDS对病毒扫描,及入侵进行检测;同样可以选择对网络DDOS攻击进行防御和分流的设备,保障系统能够正常访问。对于用户的认证及访问可以通过用户认证服务器和VPN设备实现安全的接入和访问。
3 DMZ区
DMZ是英文“Demilitarized Zone”的缩写,中文名称为“隔离区”。它是为了解决安装防火墙后外部网络不能直接访问内部网络服务器,从而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于内部网络和外部网络之间的小网络区域内。在DMZ区域中通常包括堡垒主机、内部防火墙,以及所有需要同外部交换数据的公共服务应用。通过这样一个DMZ区域,更加有效地保护了内部网络。审批中心对外发布平台应用服务器可部署相关应用至DMZ区,做到内外网数据有效隔离,保障内网数据库的安全性与可靠性。
4 主机资源区
包含审批中心云平台所需的计算资源、存储资源及网络资源。该区域所使用的物理服务器均采用业界主流的X86PC服务器,结合主流商用虚拟化软件Vmware,实现高性能、高可靠的虚拟主机。虚拟主机所采用的均为高性能的块存储,有效保障了用户数据的存取速度。虚拟机所共享的网络均为千兆网络,上联核心设备均采用万兆网络,以扁平的大二层,保障了整个云网络的高带宽及可靠性。
5 云存储区
使用中国电信VPN专线与云备份打通,可为审批中心云平台提供包括虚拟机备份、数据库备份、文件备份等多项备份服务。审批中心可根据实际应用安全需求,使用云备份产品,自助选择备份策略,系统将定期自动为重要数据提供多节点的异地备份服务。
6 以数据交换为核心,构建云网络
包含核心的数据交换、数据的汇聚、存储交换机等。围绕云网络通过设置,构建云安全区,DMZ数据交换区、主机资源、存储资源、管理平台等。
7 云安全区
在该逻辑区域首要是解决所构建系统的安全性。通过防火墙进行不同网络之间的隔离;使用IPS/IDS对病毒扫描,及入侵进行检测;同样可以选择对网络DDOS攻击进行防御和分流的设备,保障系统能够正常访问。对于用户的认证及访问可以通过用户认证服务器和VPN设备实现安全的接入和访问。
8 DMZ区
DMZ是英文“Demilitarized Zone”的缩写,中文名称为“隔离区”。它是为了解决安装防火墙后外部网络不能直接访问内部网络服务器,从而设立的一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于内部网络和外部网络之间的小网络区域内。在DMZ区域中通常包括堡垒主机、内部防火墙,以及所有需要同外部交换数据的公共服务应用。通过这样一个DMZ区域,更加有效地保护了内部网络。审批中心对外发布平台应用服务器可部署相关应用至DMZ区,做到内外网数据有效隔离,保障内网数据库的安全性与可靠性。
2222