警务云计算中心技术方案

 

 

XX云计算中心

技术建议书

 

 

 

 

 

 

 

 

 

 

 

 

 

 

目 录

1.    XX警务云建设方案    3

1.1.    新IT建设思考    3

1.1.1.    IT架构面临的问题    3

1.1.2.    XX警务云架构新思考    5

1.1.3.    云网融合架构设计    8

1.1.4.    IT架构的转变    11

1.1.5.    XX警务云架构设计    12

1.2.    技术架构方案    14

1.2.1.    XX警务云总体架构    14

1.2.2.    XX省警务云中心逻辑架构图    18

1.2.3.    计算资源池设计    18

1.2.4.    存储资源池设计    23

1.2.5.    网络资源池设计    28

1.2.6.    云管理平台规划设计    43

1.3.    云安全方案    94

1.3.1.    云计算环境安全威胁    94

1.3.2.    XX警务云安全标准要求    97

1.3.3.    安全防护模式设计    109

1.3.4.    云安全体系架构设计    110

1.3.5.    云安全交付模式设计    111

1.3.6.    安全控制设计    112

1.4.    云服务方案    120

1.4.1.    云主机服务    120

1.4.2.    云存储服务    129

1.4.3.    云数据库服务    132

1.4.4.    云防火墙服务    143

1.4.5.    云负载均衡服务    147

1.4.6.    云防病毒服务    151

1.4.7.    云备份服务    156

 

 

  1. XX警务云建设方案
    1. 新IT建设思考
      1. IT架构面临的问题

1)传统IT面临的困境    

近几年云计算在全球范围内得到了迅猛的发展,IT基础架构平台的规模和复杂程度出现了大幅度的提升,与此同时,很多单位的数据中心却因为这种提升而面临着新的困境。

  • 高昂的成本支出和管理运营成本。

数据中心内的服务器数量、网络复杂程度以及存储容量急剧增长,随之带来的是高昂的硬件成本支出以及运营成本支出(包括电力、制冷、占地空间、管理人员等)。

  • 缓慢的业务部署速度。

新的服务器、存储设备和网络设备的部署周期较长,整个过程包括硬件选型、采购、上架安装、操作系统安装、应用软件安装、网络配置等。一般情况下,这个过程需要的工作量在20~40小时,交付周期为4~6周。

  • 分散的管理策略。

数据中心内的IT基础设施处于分散的管理状态,管理员遵循”根据最坏情况下的工作负载来确定所有服务器的配置”这一策略导致服务器的配置普遍过高,容易出现大量”只安装一个应用程序”而未得到充分利用的x86服务器,同时缺少统一的集中化IT构建策略,无法对数据中心内的基础设施进行监控、管理、报告和远程访问。

2)虚拟化后的迷茫期

为了解决集中的大规模IT基础设施资源利用率不足的问题,从计算虚拟化、存储虚拟化,到网络虚拟化、L4-L7层服务虚拟化,以降低成本、提升IT运行灵活性、提升资源利用率为目标的各类虚拟化技术开始在数据中心中进行部署。

通过虚拟化技术,一方面可以提高硬件效率,另一方面也大幅提高服务器上线效率,服务器上线所需的时间从原来的以周或月为单位减少到现在的以小时或分钟为单位,大大改善了公安行业的业务应变能力。虚拟化技术的普及,改善了公安行业IT建设面临的成本支出和业务部署速度问题,同时也提高了设备利用率。但新技术的引入同时也带来了新问题和新需求。

图 虚拟化后新问题

在虚拟化前,每个业务系统具有独立的IT资源,虚拟化后,多个系统共享IT资源池,这样就会导致资源边界不明确,从而导致以下新问题:

  • 随着虚拟化技术的大量应用,逻辑设备的数量增加,同时也带来了配置管理的工作压力,手动配置每一个虚拟设备并上线成为了管理员的噩梦,自动化需求应运而生;
  • 应用管理员关注应用的部署,安全管理员关注安全策略的实施,而如何将应用和安全策略部署到IT基础架构,如何实现部署过程的便捷化,实现系统协同和资源整合,成为提升IT运行效率的关键。

图 如何满足云计算模式下的应用部署

当前的现实是,网络管理、存储管理、计算管理是割裂的三大系统,导致所有的应用和安全策略部署,不得不面临多系统的协同配合,以及大量的人工操作。如何实现应用在IT系统(服务器、存储、网络、终端系统)的协同部署,智能化的自动化部署,实现更加高效,便捷的新IT架构,是摆在XX警务云中心面前最直接的问题。

 

 

  1. XX警务云架构新思考

1)公安信息化基础架构演进

资源虚拟化、资源池化等技术的快速普及,使得IT基础架构资源的供给方式开始发生变化,以跨越异构、动态流转的资源池为基础,以自助服务方式获得资源服务逐渐成为新的趋势,IT基础架构开始实现资源的按需分配,按时间和使用量进行计量或计费。

如下图所示,按需服务的新型服务模式导致资源规模化、集中化,从而提高了公安行业信息系统建设和运行效率,提高可持续服务能力,从而也提高了工作效率。

图 资源按需交付

在这种按需服务的建设思路下,IT建设的资源集中化、规模化,能够实现对各类异构软硬件基础资源的兼容,还能够实现资源的动态流转,支持异构资源和实现资源的动态流转,可以更好的利用资源,降低IT基础设施建设成本。

2)自动化所面临的挑战

基础架构资源的整合,对计算、存储、网络的自动化和资源整合提出了新的挑战,并带动了一系列技术、架构、商业模式的变革。

传统模式下,服务器、网络和存储是基于物理设备连接的,因此,针对服务器、存储的访问控制、QoS带宽、流量监控等策略基于物理端口进行部署,管理界面清晰,并且设备及其对应的策略是静态、固定的。

在虚拟化的基础架构中,服务器、网络、存储等都采用了虚拟化技术,形成了资源池的概念和形态。所谓资源池(Resource Pool),是一组可重用资源的集合,提供对外共享的资源服务,同时提供对于共享资源的管理机制,在集合(资源池)中的资源可回收再分配,如下图所示。计算、网络、存储资源均实现可动态分配、回收、配置,在不牺牲效率、设备利用率和扩展性的前提下,降低了资本支出(CAPEX)和运营支出(OPEX),提高了运行效率。

虚拟化技术构建资源池图

构建资源池的关键在于需要解决以下两个问题:

  • 虚拟资源的组成单位是什么,按照什么粒度来分配,是否可回收再分配?
  • 虚拟资源和物理资源的映射关系是什么,如何从物理资源上创建虚拟资源?

计算虚拟资源的最小粒度是以虚拟机为分配单元,存储虚拟资源的最小粒度是以存储空间或者虚拟卷为分配单元。而网络虚拟化的情况则最复杂,虚拟网络资源的最小粒度仅仅依靠虚拟网络设备是不够的,还需要解决虚拟网络路径的分配问题,这就意味着网络虚拟化需要同时处理设备虚拟化和路径虚拟化,将计算资源、存储资源、用户连接在一起的同时保障路径的隔离、独立和连通性,这是一个艰巨的任务。

网络虚拟化图

  • 挑战一:网络自动化,完成网络的虚拟化、实现自动化的网络路径连通性。

    只有网络能够充分感知到计算资源池、存储资源池和用户访问的动态变化,才能进行动态响应,为新创建的计算资源、存储资源提供即时的网络接入,同时保障网络的路径连通性和网络策略的一致性,让用户能够即时的访问到计算、存储资源。

    为了解决网络虚拟化之后的自动化问题,网络控制器必不可少。如果没有这个集中控制点,管理员就需要通过人工干预和手工配置虚拟网络老适应计算存储资源的变化,会大大降低云计算平台的灵活性、可扩展性。

    作为网络资源池的唯一控制点,网络控制器需要实现网络虚拟化,通过网络分片实现网络的纵向隔离和虚拟化,通过网络节点虚拟化,自动为接入网络的计算资源、存储资源、用户提供接入策略、接入控制等服务,同时提供网络动态调整的能力,满足动态的网络容量规划要求。由于在基础架构层面实现网络、计算、存储、终端等资源相互联动的可行性很低,必须在虚拟控制层面打通,这就要求计算控制器、网络控制器、存储控制器之间能够进行有机的融合,形成一个统一的融合控制器。

    自动化需要控制器图

  • 挑战二:跨领域的资源管理和业务统一编排,实现计算、存储、网络资源的整合,形成一个有机的、可灵活调度和扩展的资源池,面向应用实现自动化的部署、监控、管理和运维。

    而当前的现实是,网络管理、存储管理、计算管理是割裂的三大系统,应用管理员关注应用的部署,安全管理员关注安全策略的实施,所有的应用和安全策略部署,不得不面临多系统的协同配合,以及大量的人工操作。如何将应用和安全策略部署到IT基础架构,如何实现部署过程的便捷化,成为提升云平台运行效率的关键。

    应用的部署不再仅仅限于单个领域资源的申请和使用,而是会跨越多个领域,使用计算、存储、网络、安全、LB、DNS等各个领域的资源,通过引入跨领域的统一资源管理,能够更有效的利用资源,更快速的响应。

    跨领域的资源管理图

    跨领域的资源管理解决的是资源的综合利用和资源统一管理问题,势必涉及到资源生命周期管理,包括资源申请、分配、回收、监控等,需要全新的交付模式和交付手段,自服务门户会逐渐成为虚拟资源管理的主要形式。

    自助服务门户图

  1. 云网融合架构设计

当前由云端、网络、终端组成的云计算基础架构中,正经历着巨大的技术变革,传统数据中心向云转变,实现计算资源的弹性扩张,随需交付,应需而动。

而如何实现各种公安行业应用在云中的部署,如何实现各种终端基于安全策略的获取相应的应用服务,成为省XX警务云需要关注的内容。H3C 云网融合架构解决方案,则成为XX警务云的解决之道。云网融合架构自下向上分为三个层面(如图)。

云网融合架构图

1)基础承载层

基础承载层包括端点、网络、计算、存储的基础设施,涉及XX警务云基础架构的全部设施,在网络部分不仅包含的传统网络,也增加了新网络技术如OpenFlow、NFV、Overlay;终端实现了从传统PC到智能终端(Apple IOS、安卓、Windows 8)的管理;数据中心部分包含服务器及其Hypervisor系统、存储、网络的集成和整体交付。

云网融合架构-基础承载层图

2)融合控制层

融合控制层包括VCFC、VCF-EIC、VCF-CAS(如图),分别实现对网络、终端、云计算的软件定义。

云网融合架构-控制层图

其中,VCFC是H3C SDN Controller,提供了对传统经典网络、OpenFlow网络、Overlay网络、NFV网络的支持和网络集中控制,更重要的是提供了基于OF的各种SDN APP,实现SDN的价值,如:软件定义的L2、L3、QoS、TE转发APP、Overlay转发APP、服务链APP、SDN APP的大规模集群架构,以及基于VCF Controller SDK的第三方APP。

VCF-CAS实现了云计算的软件定义,实现VM的创建、迁移、克隆、快照等集中管理功能。

VCF-EIC实现了终端的软件定义,实现对终端(不仅限于设备,还包括iNode、iOS等软件)的安全认证、健康检查、MDM(Mobile Device Management)、MAM(Mobile Application Management)的集中管理(MAM可以根据策略实现应用在终端的推送和擦除)。

3)资源管理层

资源管理层实现面向端点/用户/应用的资源虚拟化,对计算、存储、网络等资源的统一自动化编排,以及资源的按需交付、应需而动。

基于OpenStack 的H3C CSM云服务管理平台在实现网络业务编排的同时,可以支持计算、存储、数据库、安全、DNS等各类资源申请、管理以及业务编排,并且提供完善的自服务门户,为省XX警务云建设提供全套的运维、服务、管理、监控服务。

云网融合架构-资源管理层图

基于资源管理层,提供Open API,支持基于iMC VCF SDK的第三方APP,支持第三方软件对接,支持应用联动需求。

  1. IT架构的转变

H3C 云网融合架构通过软件定义架构,实现了应用在云计算系统(服务器、存储、网络、终端系统)的智能化、自动化的协同部署,实现更加高效、便捷的XX警务云架构。


云网融合架构应用前后对比图

  1. XX警务云架构设计


XX警务云计算平台架构图

整体架构分为六大部分:

1、物理层

物理层包括运行云服务商平台所需的云数据中心机房运行环境,以及计算、存储、网络、安全等设备。云数据中心机房的部署按照分区设计,主要分为数据库区、业务应用区、存储区、系统管理区、网络出口区和安全防护区等区域。

2、资源抽象与控制层

资源抽象与控制层通过虚拟化技术,负责对底层硬件资源进行抽象,对底层硬件故障进行屏蔽,统一调度计算、存储、网络、安全资源池。其核心是虚拟化内核,该内核提供主机CPU、内存、IO的虚拟化 ,通过共享文件系统保证云主机的迁移、HA集群和动态资源调度。同时通过分布式交换机实现多租户的虚拟化层的网络隔离。在存储资源池的构建上,采用分布式存储技术,实现对服务硬盘的虚拟化整合,并通过多副本(3-5份)技术保证存储数据的高可靠。

3、云服务层

云服务层提供IaaS、PaaS和SaaS三层云服务:

IaaS服务:包括云主机、云存储(云数据盘、对象存储)、云数据库服务、云防火墙、云负载均衡和云网络(租户子网/IP/域名等)。IaaS层服务向PaaS层提供开放API接口调用。

PaaS服务:包括消息处理队列、通用中间件(请求代理、事物处理、地理信息)、数据交换平台、开发测试平台,为上层公安行业应用提供标准统一的平台层服务,并提供API接口和SDK开发包,供SaaS层软件开发与部署调用。

SaaS服务:包括本项目需要上线的OA协同办公平台、数字城管、综合治理、创新社会管理,以及公安行业网站群等,本层服务的提供由应用软件开发商完成。

上述云服务通过自助服务门户,向各用户提供自助的线上全流程自动化交付。用户可以在自助服务门户上进行服务的申请,完成审批后相应的云资源将会交付给用户远程控制使用。

4、云安全防护

云安全防护为物理层、资源抽象与控制层、云服务层提供全方位的安全防护,包括防DDoS攻击、漏洞扫描、主机防御、网站防御、租户隔离、认证与审计、数据安全等模块。满足国家安全等级保护3级的部署要求。

5、运行监控与维护管理

此模块为云平台运维管理员提供设备管理、配置管理、镜像管理、备份管理、日志管理、监控与报表等,满足云平台的日常运营维护需求。

6、云服务管理

此模块主要面向云管理员,对云平台提供给用户的云服务进行配置与管理,包括服务目录的发布,组织架构的定义,用户管理、云业务流程定制设计以及资源的配额与计费策略定义等,此部分的功能实现根据XX警务云要求进行定制。

  1. 技术架构方案
    1. XX警务云总体架构

本项目建设将采用”1+4″模式,即一个省云中心和4个地市云分中心,共同组成”XX警务云”,未来总体架构图如下:


未来将按照”1+4″的模式建设全省统一的警务云,省警务云中心主要承载省级公安部门云计算业务。4个地市警务云中心主要承载各区域内地市级公安部门云计算业务。同时在省警务云中心建设全省统一的云业务监控管理中心,省地市二级警务云实现云资源统一管理、云资源的互为备份、云资源的弹性扩展。

云资源的创建与对接

省级警务云管理平台为下级地市警务云平台创建一个公共云资源池,为下级机构创建账户,将公共云资源池分配给下级云使用(包括计算、存储、网络资源等),下级机构利用已分配的账号创建外部资源池,完成区域数据中心与总部数据中心之间的对接。如下图所示:

云资源的申请与审批

区域数据中心下属业务人员登录至用户自助服务门户,通过自选式的虚拟模板申请业务主机,此云业务流程审批至区域数据中心的IT管理人员,IT管理人员判定该申请是否合理、区域内数据中心云资源是否够用,如本地资源池不够用则部署至外部云资源池(即总部数据中心的公共云资源池)。如下图所示:

云资源的备份与恢复

考虑到区域数据中心的数据中心有大量业务虚拟机和数据需要灾备,总部已公为区域数据中心创建了公共云资源池,可以通过云管理平台实现云备份与云恢复。

区域数据中心IT管理人员创建备份计划,指定在非工作时间段内对在线的虚拟机进行分批次的复制,第一次实施完全备份,后续实施增量备份。当区域数据中心数据中心服务器出现故障时,通过云管理平台指定虚拟机实施快速恢复。如下图所示:

云资源的弹性扩展

在区域数据中心业务突增或由于特殊活动造成本地云资源匮乏时,区域数据中心的IT管理人员可有计划地将部分业务迁移至总部数据中心的公共资源池运行,如果是新增加的业务主机可选择直接部署于总部数据中心的公共云资源池,或者通过将已实施备份的业务主机在公共资源池解压并启动,同时关闭本地云资源池内的业务主机。通过基于智能DNS解析的GSLB(全球负载均衡设备)或者手动健康路由注入(RHI)实现访问的切换。

 

  1. XX省警务云中心逻辑架构图


XX警务云中心逻辑架构图

根据XX省警务云计算平台的建设目标和建设原则,XX省警务云计算数据中心总体架构如上图所示,整个云计算中心由以下4大部分组成:

计算资源池:

存储资源池:

网络资源池:

云管理平台:

  1. 计算资源池设计


如上图所示,计算资源池分为:

  1. 通用计算区:由80台H3C R390 G2 2路服务器构成,部署H3C CVK虚拟化软件和CVM虚拟化管理平台。
  2. 高性能计算区::由40台H3C R390 G2 2路服务器构成,部署H3C CVK虚拟化软件和CVM虚拟化管理平台

    以上2个区服务器总数达到120台的规模,完全满足XX警务云的总体需求!

计算资源池,用作实现对计算硬件资源的虚拟化,以及对虚拟资源、业务资源、用户资源的集中管理。此外,为上层云平台提供统一的接口,用于支持上层不同的业务调度与应用部署。要求计算资源管理平台规划设计时包含以下要求:

  1. 计算虚拟化资源池

计算虚拟化软件必须成熟稳定且业界主流技术的虚拟化软件,能够实现各子系统的计算资源和存储资源的动态伸缩和分配管理,便于按上层业务应用系统需求灵活分配资源。规划部署计算资源池时,要参考安全等级保护要求,使整个虚拟化系统需具有以下特点:

  • 通过虚拟机HA、虚机热迁移、存储热迁移功能,能够有效减少设备故障时间,确保核心业务的连续性,避免传统IT,单点故障导致的业务不可用。
  • 易实现物理设备、虚拟设备、应用系统的集中监控、管理维护自动化与动态化。
  • 便于业务的快速发放, 缩短业务上线周期,高度灵活性与平滑可扩展性,提高管理维护效率。
  • 利用云计算虚拟化技术可自动化并简化资源调配,实现分布式动态资源优化,智能地根据应用负载进行资源的弹性伸缩,从而大大提升系统的运作效率,使 IT 资源与业务优先事务能够更好地协调。
  1. 虚拟机安全隔离

为了满足各个平台之间的相互独立,互相不影响。通过虚拟化隔离、VLAN/VxLan网络划分、安全组隔离手段保障计算、存储、管理、接入等域的安全隔离。按照等级保护不同级别划分逻辑隔离的主机资源池,对应相同级别的业务系统可通过虚拟机部署于同一级别资源池,业务虚拟机仅能在相同级别主机池内迁移。虚拟化平台提供包括CPU调度、内存、内部网络隔离和磁盘I/O、虚机存储的安全隔离。

  1. 虚拟机/存储热迁移

提供基于共享存储的迁移以便满足数据中心虚拟化项目的业务连续性要求。虚拟机热迁移特性是指在使用同一共享存储的主机之间将处于运行态的虚拟机由当前所在的主机迁移到另一台主机上,在迁移的过程中不影响用户对虚拟机的使用。

在对主机进行维护操作前将该主机上的虚拟机迁移到其他主机上,然后再作维护,可以降低因主机维护造成的用户业务中断。

通过将繁忙的主机上的虚拟机迁移到空闲的主机上,可以提升虚拟机用户的感受,并使全局业务均衡。

通过将空闲主机上的虚拟机聚拢到几台主机上,然后将没有负载的主机关闭,可以降低数据中心的电能消耗。

在虚拟机正常运行时,通过管理员手动操作,将虚拟机的卷迁移至其他存储单元中,可以在虚拟化平台下的同一个存储设备内、或不同存储设备间进行在线迁移。存储迁移带宽可控,避免对正常业务产生影响,支持跨集群迁移。存储热迁移技术便于对现有存储系统的扩容,减容,便于存储系统的更新换代。

  1. 虚拟机高可靠性

虚拟机考可靠性示意图

计算虚拟化平台提供故障自动迁移(虚拟机HA(High Available))机制,可提升虚拟机的可用度,允许虚拟机出现故障后能够重新在资源池中自动启动虚拟机。

系统周期检测虚拟机状态,当物理服务器宕机、系统软件故障等引起虚拟机故障时,系统可以将虚拟机迁移到其他物理服务器重新启动,保证虚拟机能够快速恢复。目前系统能够检测到的引起虚拟机故障的原因包括物理硬件故障、系统软件故障。

  1. 虚拟机规格动态调整

虚拟机根据应用系统的性能需求,虚拟化平台可以灵活调整虚拟机的配置规格,包括调整vCPU个数,内存大小,网卡个数、磁盘卷个数,调整虚拟卷的大小, 纵向扩展有效保证单个虚拟机QoS。虚拟机快照备份技术。

虚拟化平台自带虚拟机快照备份系统,不需要与第三方的备份软件结合,也不需要额外费用,备份系统就可以对虚机卷(包括系统卷和/或数据卷)数据进行备份。备份过程不需要终端用户参与,也不需要在VM里安装代理,且不影响生产系统的运行。当生产系统由于意外丢失VM卷数据时,系统管理员可以通过本地备份系统恢复VM卷数据,以保证VM能继续正常工作。

管理员接入备份管理系统可以进行选择虚拟机、或虚拟机的某个卷进行备份,灵活设置备份策略,备份起始时间、配置全量备份和增量备份的周期。管理员可以根据备份文件恢复虚机,可以从存储读取快照文件恢复虚拟机。管理员可以选择恢复到原有虚机、或者新虚机、或者其它虚机。

  1. 自动化弹性调度

为了便于后续数据中心的人员运维,虚拟化平台需要提供丰富的自动化运维技术。虚拟化平台提供资源弹性统一调度,支持设置集群资源的调度策略,根据管理员设置的调度策略,可根据应用系统的负载进行自动化调度运维,大大地减少了运维人员的工作量。根据应用场景,提供三种策略类型:弹性资源扩展策略、动态资源调度策略、动态电源管理策略。

(1)弹性资源扩展策略

针对单独的应用而言,应用根据应用的当前负载动态的调整应用实际使用的资源,当一个应用资源负载较高时,自动添加虚拟机并且安装应用软件;当应用的资源负载很低时,自动释放相应的资源。

(2)动态资源调度

当单一宿主服务器不足的情况下,系统可以根据策略调整本物理主机虚拟机承载数量,通过自动化动态迁移的方式调度部分虚机到较空闲的物理主机上,保证主机池所有物理服务器都工作在比较健康的状态。

(3)动态电源管理策略

时间计划策略允许用户对于不同的应用实现资源的分时复用。用户可以设置计划策略,使得不同的应用分时段的使用系统资源,比如说白天让办公用户的虚拟机使用系统资源,到了晚间可以让一些公共的虚拟机占用资源。

虚拟化平台提供多种自动化调试策略,包括节能策略、负载均衡策略。便于用户合理利用资源。可以实现节能降耗,实现轻载合并下电,重载分离上电。

系统负荷不大时,各VM占用CPU较低,部分VM关机了,可以将某些服务器上的虚拟机自动迁移到其他节点,对这个服务器进行休眠或下电,实施系统节能策略。

系统重载时,再让部分物理机上电,并迁移VM到新物理机,保证用户感受。系统需分析并选择合适的物理机上下电,减小迁移的VM数目。

  1. 存储资源池设计

当今社会已经进入数据时代,数据与业务的联系越来越紧密。云计算技术的发展与应用促进了共享存储的需求。目前,企业数据中心大都采用服务器+集中共享存储的层次架构。在这种架构中,共享存储设备通常是Scale-up架构,可扩展性差,降低了整个基础设施架构的敏捷性和弹性,使得业务部署缓慢、IT架构复杂、运维困难, IT系统越来越难以适应瞬息万变的应用场景需要。提高IT资源利用效率、降低运维难度成为数据中心和IT建设的一项重要原则。

本期项目采用25H3C R390 G2存储服务器和H3C ONEStor构建分布式存储系统,每台R390 G2配置124TB硬盘,整个分布式存储系统总容量达到了1.2PB

计算服务器通过iSCSI文件系统协议将分布式存储系统挂载到本地进行使用。整个分布式存储系统采用50个万兆以太网端口共同对外提供数据访问服务,不仅可以达到网络高可用的效果,而且可以提高存储访问的带宽,同时2台存储网交换机通过40G链路和核心交换机相连。

另外,分布式存储可以将虚拟化的存储池灵活地划分成多个逻辑pool,可以针对不同的pool设置不同的副本冗余策略和数据分布策略,从而适配不同的应用场景;还可以在pool内划分逻辑卷,区分不同的应用。增加新的应用或者应用存储需求扩大均可在同一存储池中动态满足,无须复杂规划。

本期建议采用H3C ONEStor存储技术构建存储资源池:

ONEStor存储方案采用分布式存储技术,ONEStor架构的基本单元是x86标准服务器,用户无需像以往那样购买连接计算服务器和存储设备的SAN网络设备(FC SAN或者iSCSI SAN)。在同等存储容量下,不采用特殊专用硬件,存储性价比比传统存储产品有显著提升。

ONEStor拥有灵活的部署方案,根据实际的硬件性能、应用场景,可以将计算虚拟化与存储虚拟化进行分离部署或融合部署,如下图所示。


ONEStor存储与计算虚拟化分离部署

 


ONEStor存储与计算虚拟化融合部署

 

ONEStor存储方案的特点及优势

ONEStor存储系统方案是一种具备良好的线性扩展能力(Scale-out)、高可靠、高性能、智能化、易运维的统一存储。

  1. 线性扩展能力(Scale-out

ONEStor存储系统所有的部件都可以线性扩展,并且横向扩展的数量无理论限制。当客户需要更多的存储资源时,只需以磁盘或服务器为单位进行扩容,而无需像传统存储阵列那样,哪怕是扩容一个硬盘,也需要再购买整套存储设备。集群容量可以根据实际业务需要逐步进行扩展,新加入的服务器节点可以在不中断业务的情况下自动纳入存储资源池,并动态的迁移数据,极大的缩短了扩容的时间和难度。

ONEStor存储采用精简模式配置存储,不会一次性的划分过大的空间给某些应用,而是根据应用实际所需的容量,多次少量的分配,极大的提高了存储的利用率。

  1. 高可靠

ONEStor存储系统的设计目标之一:组件无单点故障,任何时候、任何节点失效是一种常态。用户可以根据实际的业务需求为数据设置副本数量,ONEStor支持用户为每个pool设置不同的副本数目,并且设置不同的副本分布策略,最低保障是不同的副本分布在不同的服务器和物理硬盘上,极大的提高了数据的容错性。当一台甚至多台服务器节点故障时,存储能够正常工作,并且不丢失数据。

ONEStor存储采用分布式设计,具有磁盘、节点、机架、数据中心等多个级别的容错性。即使多个节点故障也不会影响整个存储系统对外提供服务。ONEStor存储还提供的基于pool级或LUN级的快照保护;如果需要,还可以利用远程复制功能将重要的数据复制到远程存储系统上进行保护。

  1. 高性能

ONEStor存储系统采用分布式系统设计,其存储容量和性能随着服务器节点的增加而线性增加。由于每个LUN都横跨全部节点服务器和物理磁盘,所以每个LUN都可以利用全部服务器和物理磁盘的性能,从而提供比传统存储更优秀的性能。

ONEStor存储系统在每个服务器节点上配置RAID卡缓存来增强IO性能,根据存储容量的不同配置不同容量的RAID卡缓存。在追求更高性能的时候,还可以在每台服务器上配置SSD固态硬盘作为缓存进行读写加速,同时,SSD也可以作为日志分区或数据分区,从而提高性能。

同时,ONEStor存储系统的块存储和对象存储,不需要元数据服务器,所有的数据存储位置在client端自动计算,区别于元数据集中管理的存储系统,少了查询元数据的过程,拥有更好的并发性。


  1. 智能化

ONEStor存储系统采用去中心化架构,每个存储节点的角色完全一样,监控节点在失效的时候会自动选出leader,整个存储系统自动管理,无需人工干预。

系统扩容、缩容,存储系统上原有的数据将自动重新均衡,原有LUN的数据将自动扩展到新的物理设备上。

ONEStor存储系统具备强大的自愈能力,一般硬件故障无需人工干预。物理磁盘或者服务器节点故障后,系统可在数秒内自愈,自动恢复业务。

  1. 易运维

ONEStor集群上线部署、扩容、缩容等,都只需要在图形化管理界面简单的操作便可完成。

ONEStor存储的图形管理界面主要有集群管理、存储管理、监控报警、系统管理模块,可以查看集群的健康状态、集群IOPS、集群存储状况、还可以查看每个节点、甚至每块硬盘的状态,同时还具备日志、用户管理、告警等功能、满足了用户日常运维的大部分功能,摆脱了运维需要敲命令行的状态,让运维也变得很轻松。

  1. 统一存储

ONEStor存储系统同时支持块存储、文件存储、对象存储,支持了目前所有的主流存储方式;还提供了函数接口,上层应用可以通过C/C++JavaPythonRubyPHP等接口访问底层存储集群。提高了应用与存储的兼容性,基于ONEStor的多样化的接口,应用与存储的对接也变得很轻松。

 

ONEStor存储具备的高性能、高可靠性,使其成为服务器虚拟化和桌面虚拟化的最佳存储方案选择,也完全能够胜任视频监控、VOD点播、大数据应用,以及企业业务应用系统的存储需要。

 

 

  1. 网络资源池设计


如上图所示,采用业界主流的”核心+接入”扁平化组网,核心交换机直接下联接入交换机,省去了中间汇聚层。随着网络交换技术的不断发展,交换机的端口接入密度越来越高,”扁平化”组网的扩展性和密度已经能够很好的数据中心服务器接入的要求。同时在服务器虚拟化技术应用越来越广泛的趋势下,扁平化二层架构更容易实现VLAN的大二层互通,满足虚拟机的部署和迁移。相比传统三层架构,扁平化二层架构可以大大简化网络的运维与管理。

本期项目核心交换机利旧原有的核心交换机,新增40G端口用于下联接入交换机,同时配置20台48口全万兆接入交换机,通过40G链路上连核心交换机,同时部署IRF网络虚拟化技术,提高网络的可靠性和性能,同时大大简化管理。

  1. 基本需求

为了满足本次的项目业务实际需求,在业务承载的基础网络部分也衍生出如下几个基本的需求:

  1. 首先需要满足在云环境下能够为各种业务系统隔离
  2. 其次在云环境下,最大的好处在于计算资源能够随需移动,计算资源通过计算虚拟化可以实现在单台的物理机下虚拟化成多个虚机,为了保障业务快速部署,业务的高可靠性,各虚机需要在各租户网络内部进行迁移,或进行集群,虚机迁移,其IP地址和IP网关本身不会变化,同时虚机集群也需要各虚机保持在一个网段之内,所以从整个基础网络来看,需要整个数据中心需要提供一个大二层网络。
  3. 最后,本次基础XX警务云整体架构涵盖一个云生产中心和一个云备份中心,网络系统需要能够依据业务需求动态调整和扩展。
  1. 网络技术分析
    1. VLAN+STP技术分析

传统的核心、汇聚、接入通过VLAN实现租户的隔离,通过STP实现多路径保护;但传统二层网络中部署的STP生成树技术协议,部署和维护繁琐,网络规模不宜过大,限制了网络的扩展。而后以厂家私有网络虚拟化技术如vPC等网络虚拟化技术,虽然可以简化部署、同时具备高可靠性,但是对于网络的拓扑架构有严格要求,同时各厂家不支持互通,在网络的可扩展性上有所欠缺,只适合小规模网络部署,一般只适合数据中心内部网络;此外云业务中虚拟机的大规模部署带来的另一个问题就是使传统网络设备二层地址(MAC)表项的大小成了云计算环境下虚拟机规模的关键参数,特别是对于接入设备而言,二层地址表项规格较小,这也将限制整个云计算数据中心业务规模;不建议在此次项目中采用。

  1. TRILL/SPB/FabricPath+VLAN技术分析

随着数据中心接入规模的要求,新出现了大规模二层网络技术TRILL/SPB/FabricPath等,它们通过引入ISIS等协议实现多个二层网络的互通,能支持二层网络的良好扩展,但对数据包所经过的沿途所有网络设备有特殊要求,网络中的设备需要软硬件升级才能支持此类新技术,带来部署成本的上升,同时各厂商互通成为一个难以解决的问题,由于采用传统的VLAN接入,随着云业务的快速发展,对于租户的数量可能在不远的将来成为制约云向更多规模扩展的瓶颈,因此本次需要寻求更具弹性的网络技术实现云计算的接入。

  1. SDN+Overlay的网络虚拟化技术分析

Overlay技术是专门针对云计算环境数据中心建设而引入的技术,在业界知名的互联网数据中心中,以及公有云的建设中成为当前基础网络的首选技术,Ovelay是一种网络架构上叠加的虚拟化技术模式,其大体框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其它网络业务分离,并且以基于IP的基础网络技术为主。

  • Overlay网络是指建立在已有网络上的虚拟网,逻辑节点和逻辑链路构成了Overlay网络。
  • Overlay网络是具有独立的控制和转发平面,对于连接在overlay边缘设备之外的终端系统来说,物理网络是透明的。
  • Overlay网络是物理网络向云和虚拟化的深度延伸,使云资源池化能力可以摆脱物理网络的重重限制,是实现云网融合的关键。

Overlay网络概念图

从当前业界的应用情况来看,Overlay可以满足对于多租户接入、多租户隔离、弹性扩展、大二层组网等需求,本次项目网络方案中采用Overlay技术实现整个基础网络的构建。

  1. SDN+Overlay技术架构
    1. Overlay技术介绍

IETF在Overlay技术领域提出三大技术方案:

VXLAN:VXLAN是将以太网报文封装成UDP报文进行隧道传输,UDP目的端口为已知端口,源端口可按流分配,标准5元组方式有利于在IP网络转发过程中进行负载分担;隔离标识采用24比特来表示;未知目的、广播、组播等网络流量均被封装为组播转发。

NVGRE:NVGRE采用的是RFC2784和RFC2890所定义的GRE隧道协议。将以太网报文封装在GRE内进行隧道传输。隔离标识采用24比特来表示;与VXLAN的主要区别在对流量的负载分担上,因为使用了GRE隧道封装,NVGRE使用了GRE扩展字段flowID进行流量负载分担,这就要求物理网络能够识别GRE隧道的扩展信息。

STT:STT是无状态传输协议,通过将以太网报文封装成TCP报文进行隧道传输,隔离标识采用64比特来表示。与VXLAN和NVGRE的主要区别是在隧道封装格式使用了无状态TCP,需要对传统TCP协议进行修改以适应NVGRE的传输。

总体比较, VXLAN技术具有最佳优势:

  • L2-4层链路HASH能力强,不需要对现有网络改造(GRE有不足,需要网络设备支持)
  • 对传输层无修改,使用标准的UDP传输流量(STT需要修改TCP)
  • 业界支持度最好,商用网络芯片大部分支持

Vxlan解决了在云计算环境下传统网络面临的问题:

  1. vlan的数量限制

    4096个vlan远不能满足大规模云计算数据中心的需求

  2. 物理网络基础设施的限制

    基于IP子网的区域划分限制了需要二层网络连通性的应用负载的部署

  3. TOR交换机MAC表耗尽

    虚拟化以及东西向流量导致更多的MAC表项

  4. 多租户场景

    租户自定义网络架构及自行规划网络IP地址。

基于此,本次的云方案网络架构是基于Vxlan的Overlay技术来规划设计。

  1. SDN技术的引入

上面提到了Overlay的转发层面,在Overlay的控制层面,传统的Overlay各VETP节点之间需要通过主机虚机的MAC地址需要部署IP多播路由协议,且需要支持任意源(ASM)模式——每个成员既是多播的接收者,又是多播的发起者。这大大增加了网络运维的难度。一方面物理网络支持的IP多播组数量是有限的,远小于VXLAN虚拟网络的个数,这限制了整个VXLAN网络的租户数量;另一方面每个IP多播组中的成员个数也是有限的,此外对于多播网络的维护也是一个复杂的过程,因此在本次提供的方案中,将采用SDN的技术,通过引入SDN控制器,实现Overlay控制层面的简化,同时利用SDN的服务链的技术,将整个网络的安全业务部署进一步简化,让Overlay能够提供更好服务。

SDN+Vxlan服务器间网络通信原理图

  1. Overlay方案模型介绍

Overlay分为三种组网模型(如图所示):

三种Overlay组网模型图

网络Overlay:隧道封装在物理交换机完成。这种Overlay的优势在于物理网络设备性能转发性能比较高,可以支持非虚拟化的物理服务器之间的组网互通。

主机Overlay:隧道封装在vSwitch完成,不用增加新的网络设备即可完成Overlay部署,可以支持虚拟化的服务器之间的组网互通。

混合 Overlay:是网络Overlay和主机 Overlay的混合组网,可以支持物理服务器和虚拟服务器之间的组网互通。

相对于主机Overlay和软件网络Overlay,混合型overly网络解决方案,它具有如下特点:

  • Overlay网络是指在传统网络的边缘构架一套全新的智能控制网络。该网络中的结点可以看作通过虚拟或逻辑链路而连接起来的,在Overlay方案中,边缘节点设备可以支持逻辑软件和独立的硬件设备。
  • Overlay网络具有独立的控制和转发平面,对于连接在overlay边缘设备之外的终端系统来说,物理网络是透明的,只需IP可达,并且不在完全限定物理网络是二层网络或是三层网络,具有更高的灵活性。
  • Overlay网络是物理网络向云和虚拟化的深度延伸,使云资源池化能力可以摆脱物理网络的重重限制,是实现云网融合的关键。
  • Overlay的网络架构是在传统物理网络基础上构建了逻辑的二层网络,是网络支持云业务发展的理想选择,是传统网络向网络虚拟化的深度延伸,提供了网络资源池化的最佳解决方式。

当前生产中心中存在多种不同类型数据库,支撑不同类型业务,有些关键应用为了保证期高性能和稳定性,目前不建议放在虚拟化环境中,但是依然希望能将其纳入overlay网络中统一管理,针对这种情况,混合型overlay方案,能够提供一套包含软硬件的整体解决方案,将云数据中心的所有虚拟机和物理服务器(包含虚拟机宿主和独立承载核心业务的物理主机)同时纳入管理,由SDN控制器统一控制下发网络策略。Overlay控制器作网络管理的核心,和计算管理,存储管理模块一起,受云管理平台的统一控制。

  1. H3C SDN软件定义网络方案介绍

H3C混合Overlay技术实现基础网络搭建,针对有虚拟化的主机,提供VSW实现虚机的Overlay接入,未做或不能做虚拟化的主机,通过L2层网关实现接入;为了简化Overlay网络的部署,引入SDN控制器VCF Controller,实现Overlay的流表学习和控制;为了更灵活地针对各虚机、业务、以及租户的安全控制,引入SDN的服务链的技术,通过L2网关实现接入安全资源池的接入。

 

H3C混合Overlay技术架构图

该组网方案有以下优点:

  • 适用于服务器虚拟化的场景,成本较低,VXLAN物理GW既可以用在核心位置,也可以在现有核心旁挂,保护已有投资。
  • 控制面实现可以由H3C高可靠的SDN Controller集群实现,提高了可靠性和可扩展性,避免了大规模的复杂部署。
  • 网关组部署可以实现流量的负载分担和高可靠性传输。
  • 支持分布式网关功能,使虚机迁移后不需要重新配置网关等网络参数,部署简单、灵活。

下面针对H3C混合Overlay技术架构方案的细节进行逐一介绍:

  1. Overlay网络转发流程
  • 报文所属VXLAN识别

VTEP只有识别出接收到的报文所属的VXLAN,才能对该报文进行正确地处理。

VXLAN隧道上接收报文的识别:对于从VXLAN隧道上接收到的VXLAN报文,VTEP根据报文中携带的VNI判断该报文所属的VXLAN。

本地站点内接收到数据帧的识别:对于从本地站点中接收到的二层数据帧,VTEP通过以太网服务实例(Service Instance)将数据帧映射到对应的VSI, VSI内创建的VXLAN即为该数据帧所属的VXLAN。

  • MAC地址学习

本地MAC地址学习:指本地VTEP连接的本地站点内虚拟机MAC地址的学习。本地MAC地址通过接收到数据帧中的源MAC地址动态学习,即VTEP接收到本地虚拟机发送的数据帧后,判断该数据帧所属的VSI,并将数据帧中的源MAC地址(本地虚拟机的MAC地址)添加到该VSI的MAC地址表中,该MAC地址对应的出接口为接收到数据帧的接口。

远端MAC地址学习:指远端VTEP连接的远端站点内虚拟机MAC地址的学习。远端MAC学习时,VTEP从VXLAN隧道上接收到远端VTEP发送的VXLAN报文后,根据VXLAN ID判断报文所属的VXLAN,对报文进行解封装,还原二层数据帧,并将数据帧中的源MAC地址(远端虚拟机的MAC地址)添加到所属VXLAN对应VSI的MAC地址表中,该MAC地址对应的出接口为VXLAN隧道接口。

  1. Overlay网关高可靠性

Overlay网关的高可靠性原理图

Overlay网关高可靠性:网关组中网关的VTEP IP和GW VMAC 相同,均通过路由协议对内网发布VTEP IP对应路由;

网关组内部,采用无状态转发设计,所有网关信息同步;在处理VSW发往GW的流量时,动态选择GW组中的一个GW,可以很好地起到负载分担的作用;网关故障后,流量切换到分组内其它网关,保证业务平滑迁移。

网关与内外网设备连接,采用聚合或ECMP方式,某链路故障,网关自动切换链路,无需人工干预。单个网关设备采用双主控,原主控故障,新主控接管设备管理,所有处理网关自动完成。转发层面和控制层面分离,SDN Controller不感知,网关上流量转发不受影响。

  1. 控制器集群提供高可靠性

VCF控制器基于AKKA实现了分布式集群管理,AKKA无中心化的集群成员服务,方便实现无单点故障及无单点瓶颈的大规模控制器集群。VCF控制器使用AKKA Actor模型构建了一个支持高并发、强容错、大规模应用程序的开放平台。

VCF控制器集群支持控制器数量的弹性扩展,可以根据网络规模动态伸缩,同时不影响已部署业务,目前最大支持32台集群规模,每个控制器集群支持2.5万台服务器以及20万个虚拟机。

大规模集群设计在提高可靠性的同时,需要在业务的部署上提供完善的架构。传统的一主多备业务模型,只有主节点对外提供服务,其它节点都处于备份状态,主节点会实时把业务数据广播或组播发送给备份节点,完成业务的主备,这种模型在增加集群节点时不能做到业务的ScaleOut,相反会影响原有业务规模。每个节点都提供服务、其它节点做为备份的方式,业务模型本质上还是一主多备。VCF控制器在AKKA集群基础上提出了Region的概念,很好地解决了上述问题:

VCF架构图

  1. 控制器集群提供北向统一IP

VCF控制器集群在北向提供统一IP地址,北向APP无需关心业务所在的集群节点位置,也无需感知集群节点的状态变化,大大简化了编程逻辑。在VCF控制器集群中,一部分成员是领导者(leader),一部分是成员(member)。Leader对上提供北向的访问接口,负责对集群进行管理;Member负责管理控制交换机,通过南向接口连接交换机。整个集群可以按需动态或手工形成两台台到多台的子集群,称之为Region,业务按Region运行,也就是说业务的主备以Region为单位,在Region内完成业务的备份,同时业务也可以在Region内以负载均衡的模式运行,以充分利用备份节点的硬件资源。如图所示,我们把所有的leader放在一个Region里,选一个作为主Leader,其他的作为备份,这样就保持整个集群有一个持续的不间断的对外提供北向服务的能力。交换机需要同时连到Region中的所有成员上,其中一个控制器会被选举为主,其它为备,这样,当Region中的主控制器故障时,Region中的备控制器就可以接管对交换机的控制,提供一个不间断的南向服务能力。

  1. Overlay网关弹性扩展升级

控制器能够动态的将不同租户的隧道建立在不同的Overlay网关上,支持Overlay网关的无状态分布,实现租户流量的负载分担。

如图所示,Overlay网络可以支持Overlay网关随着租户数量增加的扩充,当前最大可以支持超过64K个租户数量,从而提供一个具有弹性扩展能力的Overlay网络架构,满足省XX警务云后期弹性扩展的要求。

 

Overlay网络弹性扩展示意图

  1. Overlay网络虚机迁移

在虚拟化环境中,虚拟机故障、动态资源调度功能、服务器主机故障或计划内停机等都会造成虚拟机迁移动作的发生。虚拟机的迁移,需要保证迁移虚拟机和其他虚拟机直接的业务不能中断,而且虚拟机对应的网络策略也必须同步迁移。

虚拟机迁移及网络策略图

虚拟机迁移及网络策略跟随:

网络管理员通过虚拟机管理平台下发虚拟机迁移指令,虚拟机管理平台通知控制器预迁移,控制器标记迁移端口,并向源主机和目的主机对应的主备控制器分布发送同步消息,通知迁移的VPort,增加迁移标记。同步完成后,控制器通知虚拟机管理平台可以进行迁移了。

虚拟机管理平台收到控制器的通知后,开始迁移,创建VM分配IP等资源并启动VM。启动后目的主机上报端口添加事件,通知给控制器,控制器判断迁移标记,迁移端口,保存新上报端口和旧端口信息。然后控制器向目的主机下发网络策略。

源VM和目的执行内存拷贝,内存拷贝结束后,源VM关机,目的VM上线。源VM关机后,迁移源主机上报端口删除事件,通知给控制器,控制器判断迁移标记,控制器根据信息删除旧端口信息并同时删除迁移前旧端口对应的流表信息。

主控制器完成上述操作后在控制器集群内进行删除端口消息的通知。其他控制器收到删除端口信息后,也删除本控制器的端口信息,同时删除对应端的流表信息。源控制器需要把迁移后新端口通知控制器集群的其他控制器。其他控制器收到迁移后的端口信息,更新端口信息。当控制器重新收到Packet-in报文后,重新触发新的流表生成。

  1. Overlay网络虚机位置无关性

通过使用MAC-in-UDP封装技术,VXLAN为虚拟机提供了位置无关的二层抽象,Underlay网络和Overlay网络解耦合。终端能看到的只是虚拟的二层连接关系,完全意识不到物理网络限制。

更重要的是,这种技术支持跨传统网络边界的虚拟化,由此支持虚拟机可以自由迁移,甚至可以跨越不同地理位置数据中心进行迁移。如此以来,可以支持虚拟机随时随地接入,不受实际所在物理位置的限制。

所以VXLAN的位置无关性,不仅使得业务可在任意位置灵活部署,缓解了服务器虚拟化后相关的网络扩展问题;而且使得虚拟机可以随时随地接入、迁移,是网络资源池化的最佳解决方式,可以有力地支持云业务、大数据、虚拟化的迅猛发展。

  1. Overlay网络安全部署

如图所示,Overlay网络的安全部署有三种模式,这三种模式既可以独立部署,也可以配合部署:

Overlay网络的安全部署示意图

  • 旁挂部署

主要形态:硬件安全资源。

安全资源旁挂在核心/汇聚设备旁侧(部分安全资源也可选作为L3网关)。

安全资源关注VXLAN<->VLAN的安全访问控制。

  • 服务器侧部署

主要形态:软件安全资源。

安全资源以VM形态部署在服务器内部,可以作为其他VM的网关。

如果安全资源支持VXLAN,可以完成VXLAN<->VLAN的安全访问控制。

全硬件VXLAN方案不推荐使用。

  • 专用安全区部署

主要形态:软件或硬件安全资源。

安全资源集中部署在某一个TOR设备下,重点关注不同VXLAN ID之间互访的安全控制。

如果安全资源支持VXLAN,就直接配置VXLAN ID的互访策略。

如果安全资源不支持VXLAN,需要TOR完成VXLAN到VLAN的转换,然后安全资源上配置不同VLAN互访的安全策略。

  1. NFV网络功能虚拟化

对于计算、存储资源的虚拟化,目前的技术成熟度很高,使用也非常普遍。然而对于网络安全资源的虚拟化技术实现,是构建虚拟数据中心的重点和难点,H3C通过多年在网络安全领域的积累,很好的将网络安全的虚拟化技术应用到了H3CLOUD云平台中,通过硬件设备的1:N虚拟化和NFV(网络功能虚拟化)技术,实现网络安全资源虚拟化。如下图所示:

硬件设备1:N虚拟化图

网络功能虚拟化(NFV)示意图

由于布线、归属等原因,目前的物理设备并不适合作为租户独享的设备在云计算环境中部署。为了解决目前存在的问题,需要一个既具备物理网络设备的功能又适合于在公有云多租户环境中部署的设备,NFV(Network Function Virtualisation,网络功能虚拟化)应用而生。

H3C 提供一系列NFV方案,采用业界领先的专业网络平台Comware V7,运行在标准X86服务器或虚拟机上,提供和物理设备相同的功能和体验,包括路由、防火墙、VPN、QoS、及配置管理等,同时充分利用虚拟平台的特点,简化设备的部署安装。

  1. 云管理平台规划设计
    1. 云管理平台整体架构

云管理是整个XX警务云后台的管理、调度、运维中心。基于Openstack平台的商业化云服务平台,在继承原有架构灵活、扩展性强、开放性和兼容度高的基础上,产品稳定性和可靠性大大增强。基于租户到应用的端到端的云服务配置和管理,将用户申请的服务组装成服务链,统一管理和配置。通过对租户的分级管理,实现了私有云多级资源分配的要求,通过定制个性化的审批流程,使得服务的申请更符合某些特殊业务的多级审批要求。通过对服务链的健康状态的整体监控和评分,对每个租户的总体服务质量有全面的把握和管理。

H3C iMC云管理平台是云业务的管理中心,可以融合资源池化、生命周期管理、业务中间件管理、租户管理、身份认证、安全管理、计费与账务、服务运营、服务水平管理、业务流程自动化等内容,是调度、管理云资源必不可少的手段,是云时代ITSM/BSM的新的业务形式。

  1. 云平台分级管理

对于资源数量较多、分布地域较广并且又相对较为集中的网络,iMC提供分级管理的功能,有利于对整个XX警务云进行清晰分权管理和负载分担。H3C iMC平台除了涵盖后台管理功能外,还是其他业务管理组件的承载平台,共同实现了管理的深入融合联动。

分级功能是将整个iMC分为上、下级(地市)两层(或更多层),其中一个iMC为上级云管理平台,其他的iMC为下级云管理平台。管理员可以通过上级iMC直接对下级iMC及其管理的资源进行管理。下级iMC的重要资源、重要告警的信息可以通知上级iMC的管理员。可以在上级iMC的”下级视图”中管理下级iMC及其管理的资源。”下级视图”用来展示当前服务器作为上级服务器所管理的下级服务器的信息,同时也是增加、修改、删除、登录下级iMC等操作的入口。

如果某一级iMC服务器发生故障,可基于H3C云彩虹方案


  1. 设备管理
    1. 网络管理

全面的管理设备类型

H3C iMC智能管理平台实现网络资源、内部用户和业务的融合管理,提供基本的网络资源管理、拓扑管理、故障管理、性能管理、内部用户管理及系统安全管理,基于B/S架构,可以与H3C iMC 其他业务组件有效集成,形成多种解决方案。

H3C iMC智能管理平台不仅可以实现H3C全线数据通信产品的管理,也可通过标准MIB实现对Cisco、华为、迈普等各主流厂商的数据通信设备管理。

除了传统的路由器、交换机外,更能对网络中的无线、安全、存储、语音、监控、视频、服务器、虚拟设备、打印机、UPS等设备进行管理,实现设备资源的集中化管理。

告警管理

告警管理亦称故障管理,是iMC智能管理平台及其他业务组件统一的告警中心,为内部用户提供统一的全流程故障管理体系。

  • 通过设备Trap上报与主动轮询双向确保快速准确发现网络故障。
  • 通过实时告警关联分析,屏蔽重复无效告警,分析生成根因告警。
  • 通过实时告警与拓扑提示、通过告警板声光提示、通过手机短信及Email等远程提示,快速通知网络管理员详细准确的故障信息。
  • 通过固化内部用户维护经验,为后续相关告警处理提供经验参考与快速定位指导。

图表42告警管理流程

性能监视

(1)一目了然的网络TopN性能指标

CPU利用率、内存利用率、带宽利用率、设备响应性能、设备不可达等是网络性能管理中用户最关注的几项,H3C智能管理中心通过TopN列表,使用户对当前网络中的性能瓶颈能够一目了然。

(2)性能视图

用户可灵活定制性能数据浏览视图,分析网络运行趋势。性能视图支持多指标多实例数据组合的展示,支持TopN明细表格、TopN柱图、折线图、柱状图、面积图、汇总数据多种性能监控数据展示方式。

(3)性能与告警的深度结合

H3C智能管理中心支持对每一个性能指标设置两级阈值,发送不同级别的告警。用户可以根据告警信息直接了解到设备监视指标的性能情况,有助于用户随时了解网络的运行状态,预测流量发展趋势,合理优化网络。

拓扑管理

(1)丰富、实用的网络拓扑视图

除传统的IP拓扑视图外,H3C智能管理中心平台还提供全网络的拓扑视图和自定义拓扑视图,使用户可以根据自己的组织结构、地域情况、甚至楼层情况清晰灵活地绘制出客户化的网络拓扑。在全网络拓扑视图中,用户可以随意组织和定制子图。

(2)增强的二层拓扑

传统实现的拓扑都是基于IP的三层拓扑,H3C智能管理中心平台在此基础上更支持二层拓扑,实现了同一个VLAN或者网段内部PC与网络设备、二层网络设备之间的互连关系,更方便直观的体现了网络中设备的互联关系。

(3)嵌入式拓扑

资源自定义视图、IP视图中实现设备的列表式管理和拓扑管理的融合。拓扑中支持添加任意的文字标签,比如下图的”杭州数据中心”。

嵌入拓扑使用HTML5技术,不需要安装Java插件就能支持。同时,在iPad、Surface等移动设备上也能正常显示。

(4)数据中心机房、机架拓扑

H3C智能管理中心支持按设备物理位置进行组织的数据中心机房和机架拓扑。通过此拓扑视图,用户可以很方便的找到设备在机房中所处位置,进而对设备物理实体进行管理维护。

数据中心拓扑:支持数据中心、机房、云图、链路等拓扑对象,提供全局的数据中心监控。

数据中心楼层-机房分布拓扑:在数据中心内部管理、监控各机房在各楼层的分布。

(5)流量拓扑

以端口流量和网络负载为主要视角,向使用者展示所关注的网路拓扑结构和流量负载数据统计及分析情况。

  1. 安全管理

安全设备管理

实现安全设备的安全域、IP、服务、规则等配置获取,实现对单个设备的安全域、IP、服务、规则进行调整和优化。

虚拟设备管理

提供物理设备->引擎组->虚拟设备的树状关系管理,并可以在拓扑上体现折叠关系。

SSM监控各个虚拟设备的CPU/MEM,依据此调整虚拟防火墙分配的CPU/MEM参数。

在”虚拟设备管理”中增加的所有虚拟设备都将加入到”设备管理”中,对于安全业务来说虚拟防火墙和物理防火墙是一样的。

IP地址管理

在部署规则时可以基于IP地址组定义规则。

服务管理

基于用户服务进行域规则组织。

支持自定制服务。

不同服务组合成服务组

设备监控

设备吞吐量监控

在”设备管理”中监控所有设备的当前CPU/MEM利用率,并发连接数、新建连接数指标,点击相应连接可以查看历史数据。

规则有效性监控

业务运行一段事件后,规则数量会越来越多,运维人员面对数以千计的规则无从下手,不知道哪些规则是否还有用处。SSM监控每条规则的匹配速率和最后一次匹配时间,若规则上次匹配命中的时间很久了或速率很低,则在”规则优化管理”中提示用户需要调整该规则了。

安全事件分析及日志接收

在”攻击事件明细”中针对某一个攻击,安全管理可以在拓扑中绘制出攻击路径,并可以限制攻击源的连接速率,这样可以有效控制flood攻击,或通过EIA将其下线。”日志综合审计”提供统一的查询分析功能,如某源IP都发送什么攻击、做了什么NAT转换、发生过什么域间访问等信息,一次性搜索到相关的所有类型的信息。

设备安全日志接收,支持NAT和Syslog格式日志,其中NAT方式支持syslog格式和二进制格式。

  1. 服务器管理

H3C FlexServer系列服务器后端都硬件集成1个独立的GE管理端口,也就是iLO(Integrated Light-Out)口。用iLO口可实现对服务器的硬件级别的管理。

iLO Management Engine 是一整套嵌入式管理功能,支持服务器的整个生命周期,包括最初部署、日常管理以及服务警报和支持。iLO是iLO Management Engine的一项功能。

iLO子系统是H3C FlexServer服务器的一个标准组件,它可以简化初始服务器设置、服务器运行状况监视、电源和散热优化以及远程服务器管理。iLO子系统包括智能微处理器、安全内存和专用网络接口。这种设计使iLO独立于主机服务器及其操作系统。

iLO启用和管理Active Health System,还具有Agentless Management。iLO监视所有重要的内部子系统。启用SNMP警报后,无论主机操作系统是什么或是否安装了主机操作系统,iLO均直接发送这些警报。无论采用什么操作系统软件和服务器上有无安装操作系统代理,具有iLO3的H3C FlexServer服务器上均内置远程支持软件。

通过使用iLO,可以执行以下操作:

  • 监视服务器运行状况。iLO监视服务器中的温度并向风扇发送校正信号以维持正常的服务器散热。iLO还监视固件版本以及风扇、内存、网络、处理器、电源和内部存储的状态。
  • 下载Active Health System日志、支持案例未解决时,可发送日志文件。
  • 如果具有到服务器的网络连接,则可以从世界上的任何地方访问服务器的高性能且安全的集成远程控制台。集成远程控制台具有两个版本:
    • .NET IRC
    • Java IRC

除非另有说明,否则,通常所说的远程控制台适用于 .NET IRC和Java IRC。

  • 使用共享 .NET IRC 与最多4个服务器管理员进行协作。
  • 将高性能虚拟介质设备远程安装到服务器上。
  • 从 GUI、CLI或iLO Scripting Toolkit中使用虚拟电源和虚拟介质执行很多任务,包括自动部署和配置。
  • 安全地远程控制管理的服务器的电源状态。
  • 监视能耗和服务器电源设置。
  • 通过iLO发出SNMP警报以实现真正的Agentless Management,而无论主机服务器处于何种状态.
  • 使用本地或基于目录的用户帐户登录到iLO。
  • 使用 iL O 语言包在汉语和其它支持的语言之间切换。
  • 使用远程管理工具控制iLO。
  1. 存储管理
  1. 分布式存储ONEStor管理

ONEStor集群由标准的X86硬件以及ONEStor分布式存储组件构成。ONEStor集群的初始化配置十分简单:

  • 一个可以支持高可用的集群必须具备3个及以上的物理节点。
  • 一个万兆交换机,将内部网络连接之后,在一个节点上进行初始化集群的操作即可。

待初始化以后,可通过ONEStor管理界面完成存储集群管理和存储卷管理。还可以查看集群节点的健康状态以及异常报警。

图表43 ONEStor管理控制台

集群管理,即对集群的主机管理,包括存储节点的创建、删除;监控节点管理;机架管理等。下图所示为集群管理功能:

图表44 ONEStor集群管理

存储管理包括pool管理、块存储管理、对象存储管理及高可用管理。下图所示为块存储管理。

图表45 ONEStor块存储管理

监控报警包括查看集群各个节点的CPU、内存、硬盘吞吐、硬盘时延、硬盘IOPS、硬盘容量,设置告警。下图所示为运维监控。

图表46 ONEStor运维监控

系统管理包括操作日志管理、系统日志管理、用户组管理、用户管理。下图所示为操作日志管理。

图表47 ONEStor操作日志管理

 

  1. 数据库区FC存储管理

H3C P8200作为行业领先的存储产品,其卓越的阵列管理功能可以消除存储层的复杂性,从而减轻存储管理的负担。在提高系统透明度和控制的同时,还消除了昂贵的、重复的和易错的手动任务。以P8200 InForm操作系统为依托,可提供一系列软件产品来提高用户公用存储部署的敏捷性和高效性

  • H3C P8200InForm操作系统

P8200 InForm操作系统采用先进的内部虚拟化技术,可提高管理的效率、系统利用率和存储性能。同时,InForm操作系统能够在子系统层面对存储配置和变更管理进行智能地自动化处理,且无需管理人员的介入,从而简化了系统的存储管理。所有类型的InServ服务器都支持InForm操作系统,因此所有P8200阵列都享有同样的内置软件虚拟化和自动化功能。

  • P8200InForm管理控制台

P8200InForm管理控制台通过一个统一的、点击式界面,简化了系统管理。该界面支持所有P8200InForm软件产品,且为InServ阵列内所有的物理和逻辑对象提供非常丰富的指示。这种丰富的指示,配之以强大和个性化的报告功能,消除了对更多软件工具的需求,用户也无需因为故障查找和诊断而咨询专业的服务。SNMP和SMI-S可提供开放式的管理支持。

     

  • 精简技术 

P8200所提供的软件产品独具特色,因为采用了业界仅有的ThinBuiltIn™硬件架构,精简配置,削减高达75%的SAN成本、占地空间和能源开支,无需为每个应用或服务级别分配存储资,也无需支付不必要的电力、空间和磁盘散热费用。

精简转换。利用ThinBuiltIn™架构,精简转换可以将全配置的存储简单、快速地转换为精简配置的存储,从而消除多达75%的原有容量。 

精简持续。精简持续可以回收已删除卷的空间,从而使您的存储长期保持精简。该软件可实现主机文件系统与InServ的智能通信,以回收与文件删除相关的容量空间。

  • 数据保护和灾难恢复 

P8200的数据保护和恢复产品依托硬件独有的、灵活高效的写入复制快照技术,后者使用户能够以低成本最大限度地实现恢复点和恢复时间目标。 

FullCopy。以独立的服务级别参数创建时间点克隆。支持快速重新同步化且具备精简配置感知功能。

VirtualCopy。虚拟复制是一款无预留、非重复的写入复制软件产品,可以让您保护和共享任何应用数据。有了虚拟复制,用户再也无需为存储预留容量,并且变更的数据永远不会在快照树中被复制。

RemoteCopy。远程复制可以更为经济地保护和共享任何应用数据。远程复制凭借精简复制技术,使中高端阵列融为一体,还消除了专业服务的需求,从而大幅降低了远程数据复制和容灾的成本。

  • 多客户端弹性和安全性

P8200提供多个具备数据弹性和安全性的产品,旨在与多客户端公用存储阵列协同工作。

VirtualDomain。虚拟域这款虚拟机软件可为不同的应用和用户群提供安全、独立的访问和强大的存储服务,以及更高的存储服务级别,包括性能、可用性和功能性。

VirtualLock。虚拟锁定能够实现存储卷安全的保留。在和无预留的、非重复的快照一起使用时,P8200虚拟锁定为数据监管和法律搜索流程提供了高效的存储基石。

  • 自动管理

简单而高效的解决方案具备多项自动策略管理功能,可提供更高的可靠性并减少存储管理时间。

AdaptiveOptimization。自适应优化利用P8200经过验证、细粒度的数据移动引擎,可应用于卷内独立的存储区域,从而实现高度可靠的、连续的自动分层存储,在合适的时间将合适的服务质量(QoS)匹配给合适的数据。在实现服务级别目标的同时节省高达30%的存储成本。 

DynamicOptimization。在多个存储层上连续的分配和再分配应用卷,以确保应用需求与按需的数据服务质量级别相一致。分析卷如何使用物理磁盘,自动进行不间断的智能化调整,以确保最佳的卷性能和容量利用率。 

AutonomicGroups。自动组可创建主机、卷和域的分组,以加快存储配置的自动化。您只需要点击3次鼠标和60秒时间,就可以完成多个卷的创建并将其配置到多个虚拟服务器。快速配置。快速配置通过较低级别组件的细粒度虚拟化,可提供即时、应用定制的配置,从而消除了阵列规划任务。存储配置管理可智能且自动的进行,同时内部资源的数据条带化确保可为所有工作负载类型提供可预测的高级别服务。 

SystemReporter。是一个易于使用、基于Web的性能和容量管理工具,可将一个或多个InServ存储服务器的历史系统信息集合在一起。对于服务级别协议(SLA)和chargeback支持而言,SystemReporter是满足其故障排除、规划、综合的监测和收集信息需求的理想之选。 

HostExplorer。自动进行主机搜索和收集详细的主机配置信息,以加快配置和简化维护。可确保主机信息和主机多路径数据到InServ的安全通信,以减少手动管理。

  1. 资源管理
    1. IP资源管理

VLAN管理

VLAN管理提供了对设备的VLAN规划,VLAN配置下发等功能。通过VLAN管理对网络的VLAN进行统一的规划,然后把这些配置统一下发到设备上,完成网络的VLAN管理。同时VLAN管理组件还提供VLAN拓扑功能,可以直观的查看到VLAN的部署情况。VLAN管理的功能包括:全网VLAN管理、VLAN设备管理、VLAN配置报告、VLAN拓扑、VLAN批量部署。

图表48 全网拓扑管理

ACL管理

iMC ACL 管理定位于网络ACL资源管理,结合交换机和路由器设备,提供智能化的ACL资源管理,可严格实现客户所需的访问控制策略,从而实现对网络访问的最终权限控制,方便管理员对ACL进行批量配置,提高解决方案的易用性,减轻网络管理人员的工作量;既可实现对单设备的配置管理,也可方便内部用户实现对多设备的批量配置管理。

图表49 ACL部署向导

图表50 ACL模板

IP地址管理

随着在数据中心网络中服务器、PC机、打印机、语音电话等(注:下文将服务器、PC机、打印机、语音电话等直接称之为网络终端)网络终端的增加,对这些网络终端的管理难度越来越大,同时这些网络终端接入网络时的安全认证风险也越来越高。iMC IP/MAC终端准入管理提供一套简洁的工具,帮助网络管理员对网络终端的安全接入进行管理和控制。终端准入管理通过IP地址分配、终端准入绑定、交换机准入绑定、IP-MAC绑定、终端异常处理策略和日志记录等方式,实现对网络中终端资源的统一管理与监控。

图表51 IP地址分配

图表52 IP/MAC绑定

 

  1. 服务健康管理

ITIL要求IT服务部门通过服务水平管理来保证其服务有效,建立服务健康水平监督体系,来保证服务达到规定的健康水平等级,即使服务失败,也可以正确分析原因,帮助IT服务部门做出正确的应对决策。

服务健康管理系统(以下简称SHM),正是定位于IT服务的健康监控管理方案,服务是指数据中心提供的一系列业务,例如语音服务、邮箱服务等。基于iMC系统的网络性能、告警、NQA链路监控,NTA流量分析、APM应用管理等业务模块,提取关键性能指标(KPI),建立服务各个方面质量的度量指标(KQI)以及服务整体质量的度量模型(SLA),基于服务可用性、MTTR、MTBF等的监控和分析对服务的健康水平做出评价。用户可以通过KQI的创建与服务的建立,来完成整个服务的度量监控和管理。通过丰富的图形报表,可以将关键质量指标直观的展示出来,从而更容易的了解数据中心的整体服务水平并及时发现潜在问题。

  1. 数据库管理

登录云管理平台,在资源模块选择数据库服务,进入数据库服务管理视图。通过该视图可以完成日常数据库管理的在线操作。

通过云数据库管理平台可以给用户在数据库管理带来以下好处

  1. 便捷:用户可以快速的在云平台中申请实例资源
  2. 易用:按需自助在线操作,无需进行任何的代码改造。
  3. 安全:提供在线的主从两份数据存储,确保线上数据安全。同时通过备份机制保存多天的备份数据以便于在灾难情况进行数据恢复。
  4. 高性能:集中安装专用高性能存储服务器来支持海量访问。
  5. 省心:提供7×24小时的专业服务,扩容和迁移对用户透明且不影响服务。提供全方位、全天候立体式监控。
  1. 资源编排
    1. 网络资源池化

受网络设备硬件和协议的限制,网络的许多配置是有限制的,如每个设备上的ACL数量受到ACL号的限制和硬件的限制,中低端设备的ACL数量不超过2000个、VLAN号最多只有4096个、网络总带宽受到接口带宽的限制、不同设备的不同接口支持的ACL和QoS的能力也是不同的,等等。RAM对网络资源和设备能力进行池化,为后续的网络编排、服务匹配及服务模拟部署提供支撑,是RAM自动化的基石。

统一的网络设备适配层

网络设备适配层支持SNMP/Telnet/SSH/Netconf/Restful/SOAP/WMI/Shell等各种网络基础架构层的访问方式,支持对物理设备和虚拟设备的统一管理,支持对网络资源和计算资源的统一管理,支持路由器、交换机、防火墙、LB、hypervisor的统一管理,支持H3C、Cisco、Huawei、F5等多主流网络厂家设备的统一管理。

RAM的VLAN、ACL、QoS等是基于IMC业务组件实现的,使得RAM快速提供广泛的设备支持能力。

  1. 网络域和租户管理

网络域是整体网络的一部分,通常是租户到应用或服务器的端到端网络。对于某个租户或应用来说,从租户到应用的端到端网络配置完全可以在一个网络域上完成实施。

可以基于网络域设置租户的接入端口作为接入点,并将这些接入点与租户绑定。这里的租户代表使用网络或应用的人。

  1. 基于业务的可视化服务编排

抽象服务单元

引入服务单元(Service Unit)的概念,服务单元是服务编排的最小单位。提供如下可供服务编排的服务单元:

分类

服务单元

服务单元描述

Net

L2Net

对租户接入网络的抽象,用于自动配置和部署租户网络中的VLAN等,避免管理员逐一配置每个接入设备和汇聚设备。

Dev

Router

路由器服务单元

Switch

交换机服务单元

vSwitch

Hypervisor中的vSwitch服务单元

Port

Port

端口服务单元

Link

Link

链路服务单元

Security

Firewall

防火墙服务单元

LoadBalance

负载均衡服务单元

Host

Host

主机服务单元

Hypervisor

Hypervisor服务单元

NIC

NIC服务单元

VM

虚拟机服务单元

App

SAP

SAP应用,必须附着在Host或VM上

Lync

Lync应用,必须附着在Host或VM上

Exchange

Exchange应用,必须附着在Host或VM上

Polycom

Polycom应用,必须附着在Host或VM上

网络模型

在业务编排中引入网络模型的概念,将网络按照层次进行切分,从而使得网络结构更加清晰。系统提供常用的网络结构模型,管理员可以根据自己的网络结构创建出自己的网络模型,甚至定义自己的网络角色。

基于业务的正向编排

在服务模型编排界面,直接拖拽服务单元构造符合业务拓扑的逻辑拓扑结构。支持基于服务单元的配置,不同的服务单元支持不同的配置项。

基于网络域的反向编排

在网络域上选择相关设备后,能够快速的创建出贴合实际拓扑结构的业务逻辑拓扑,而不再需要拖拽服务单元构造业务逻辑拓扑。

  1. 服务快速申请与撤销

基于服务目录的服务模型管理

编排完成的服务模型统一存储在服务目录中,提供服务目录的增删改,可以为不同的服务模型指定不同的图标,管理员可以上传自己的图标文件。服务模型提供拖拽式逻辑拓扑展示,方便用户快速浏览各个服务模型。

服务模型作为一个模板能够重复地应用在不同的网络域,为不同的租户提供部署服务。服务模型和网络域必须基于相同的网络模型才能够进行匹配。

智能服务自动匹配

以网络资源池化数据为基础,根据各个设备的支持能力与服务模型中的配置智能的匹配拓扑路径。

智能服务冲突检测

以网络资源池化数据为基础,对新增的网络配置进行全面检查,检查的错误主要包括:

  • 与本设备的冲突,如VLAN虚接口IP已经被占用;
  • 与整网配置冲突,如从租户到VLAN虚接口没有一条有效的路径,再如QoS带宽保证配置时网络接口带宽不足;
  • 与其他服务的未下发配置冲突(服务一旦创建,相关的网络资源都会被预留)。

可规划的业务部署

创建服务时可以指定服务的执行类型:立即执行或按租期执行。允许指定租期的起至时间,系统将根据租期的开始时间定时部署配置到设备上,也会根据根据租期的结束时间自动去部署网络配置。执行部署前可以对配置进一步执行冲突检测,进一步提高配置下发的有效性。

服务创建后,可以随时去部署已经部署的服务,或立即部署未部署的服务。

  1. 全面的服务监控

资源池监控

提供设备级网络资源池化、路径资源池化及LB设备资源池化。

  • 设备级池化主要包括端口、ACL、VLAN的可用资源等;
  • 路径资源池化主要包括选定两点之间的路径、端口、带宽及链路数等;
  • LB设备资源池化主要包括吞吐量、连接数、CPU和内存利用率、以及当前配置的virtual server等。

租户监控

租户监控提供全部租户的dashboard和单个租户的dashboard。全部租户dashboard提供服务租期统计、Top5带宽利用率、Top5设备告警、Top5阈值告警、以及租户接收报文速率和发生报文速率;单个租户dashboard提供设备状态统计、Top5设备告警、租户带宽统计和Top5带宽利用率等。

  1. 资源监控

iMC APM应用管理是为了帮助XX警务云各种业务的监控管理需求而提供的应用监控管理解决方案,它提供了强大的系统与应用监控管理能力,可以对不同的业务系统、应用和网络服务(如服务器、操作系统、数据库、Web服务、中间件、邮件、其他关键应用等),进行远程监控和管理,从而充分满足XX警务云用户对各种关键业务和数据中心的监控管理需求。

iMC APM采用易于部署的Web架构,并提供友好的安装向导,即使是不熟悉相关技术的维护人员,也可以在半小时内安装完毕,并初步搭建起对公安行业各种应用提供监控的管理平台。iMC APM同时支持Agentless(无监控代理)和Agent代理的最新技术,用户可根据自身需要进行选择适合方案。APM提供了自动发现应用、应用监视、主机监视、分类监视、应用分组等模块,同时拥有报表功能。当被监视的应用出现异常时,iMC应用管理就会产生告警,通过这些告警,可以鉴别出问题的根本原因。

全方位监视功能

iMC APM基于B/S架构,安装过程非常简单,界面简洁明了,一般管理人员在短时间内就可以掌握,降低了部署和使用成本。

iMC APM可以监视各种应用程序和服务器,包括应用服务器、数据库、操作系统、邮件服务器、Web服务器、各种服务以及自定义的监视器,可以为整个业务基础架构提供统一的视图。APM还提供监视器分组功能,可以将相关的设备关联到一个监视器组中,方便管理。如下图所示,展示自定义应用的整体性能概览。

APM可根据用户不同需求定制不同应用展现层次:

主机监视:应用管理从应用所在服务器/PC的角度提供了应用监视的功能,可方便地查看到各服务器/PC自身和部署应用的运行情况;

概览视图:概览视图提供了系统监控应用所在主机的列表,并列出了该主机上监视应用的可用性和健康状况。

列表视图:列表提供了系统监控应用所在主机的列表,给出了主机自身的可用性和健康状况,并提供了主机上监视应用的列表。

分类监视:应用管理从应用类型的角度提供了应用监视的功能,可方便地查看到各应用类型的汇总分析情况。分类监视概览提供了系统支持监视的应用类型的列表,并列出了每个应用类型所包含应用健康状况的汇总数据。下图展示了云中某些业务系统的健康度。

点击某个具体的”业务系统”,可以展开其中包含的应用类型及状态,如下图所示。

点击详细报告,可展示云中详细应用系统的可用性报告:

监视故障根源

APM可以对被监视参数设置阈值,在严重故障发生之前就发现问题,产生告警,从而实现主动的监控,大大提高了服务的可用性。iMC APM通过智能事件-告警关联分析技术,在产生告警的同时生成根本原因分析,协助管理人员对故障进行处理,减少了故障时间。iMC APM支持各种标准的通知方式,如发送电子邮件、短信、SNMP TRAP、记录工单,也可执行自定义的程序来自行修复故障,使用户不需要坐在电脑前,就可以获得告警信息,从而能够及时地解决问题。APM用不同的颜色来表示不同重要度的警报,让管理人员一目了然,快速掌握整个业务基础架构的情况。管理人员还可以对告警添加注释,为今后的故障处理提供了参考。

查看APM告警的详细信息时,点击告警分类的链接可直接联动到该应用的报告页面。

在应用报告页面,显示了该应用Top5未恢复告警,并以背景色标识告警的严重级别。

监视报表

iMC APM为所有的监视器及其重要参数提供了内置报表,通过报表用户可以查看这些监视对象一段时间内的变化趋势。iMC APM可以提供日报表、周报表、月报表、年报表、自定义时间报表还有排行报表,报表可以导出为pdf、csv格式,打印报表,也可以通过E-mail发送报表。iMC APM还提供日程报表,可以计划需要生成报表的时间,并发送到指定的邮箱中。

监视融合

iMC APM与iMC智能管理平台实现了完美的融合,不仅可以从业务的角度进行管理,也可以从网络的角度直接监控业务。APM作为一个组件可以通过iMC监控代理进行安装,并允许用户通过监控代理查看、启动、停止APM进程。在iMC管理平台的设备详细信息和拓扑图中可以选择被监控的服务器,直接查看被监控的各种业务系统的运行信息。也可调用APM的应用监控功能,查看进一步的应用名称、应用类型、可用性状态和健康状况。

如下图所示,展示了示例云中”基层社会管理综合信息系统”的应用拓扑关系。

 

  1. 用户管理
    1. 用户管理策略

iMC用户是系统及各业务组件的管理维护人员,不同的操作员拥有不同的管理权限。此外还可以通过操作员访问控制列表来限制操作员访问系统时所在的位置;通过密码控制策略来控制操作员的密码复杂度及密码失效后的处理方式,并且任何操作员都可以修改自己的密码;通过在线操作员管理来管理正在执行系统维护工作的所有操作员;通过操作日志来审计和跟踪操作员执行的操作。操作员闲置超时时长为登录后的操作员提供更进一步的保护,当登录后的操作员闲置时间超过操作员闲置超时时长时,系统自动将操作员注销。在操作员登录时,系统还提供了另一个角度的安全保护:连续三次登录不成功的操作员,系统会在一段时间内禁止其登录,以避免恶意登录尝试。

  1. 用户权限控制

通过权限管理,可为不同的iMC操作人员规划不同的权限,从而实现精细化分权管理能力。

iMC智能管理平台提供多维度精细化权限管理,分别为:基于业务功能维度(操作员分组)和数据资源维度。iMC提供这两个维度的交叉权限管理能力。

    

对业务功能维度通过操作员分组来划分,iMC可以控制特定业务具体功能的可用性,例如修改用户基本信息等。

系统缺省存在管理员、维护员和查看员三个缺省分组,也可以在此基础上创建新的分组,类似角色概念,进行更为精细化的权限控制。

对数据资源维度,iMC通过设备分组和可分级的用户分组,配置操作员可访问的数据资源。当操作员用户特定用户分组管理权限时,只能看到此分组下的用户。无权访问的业务功能和数据资源对操作员均不可见。

  1. 流程管理
    1. 流程定制化

不同的内部用户对实际运维流程有各自习惯和强制要求,为了适应这种差异,iMC SOM组件提供了从流程各个步骤到流程模板的灵活定制能力。内部用户可以基于系统预置的流程模板,定义适用的流程。在流程定义中,可以指定流程的优先级、各阶段任务的可操作内部用户。对于高级内部用户,可以使用脚本语言创建或定制流程模板。

图表53 流程定制

 

  1. 实时精确的联合CMDB

CMDB是IT运维服务管理的核心部件,和一般的资产管理相比,除了资产配置项本身信息,还维护各配置项之间的关系、当前状态和变更情况。iMC SOM CMDB采取”CMDB核心数据”加”原始业务资产数据”的管理组织方式,通过联合的CMDB,可以帮助内部用户度量系统IT资产的价值,为服务管理流程提供有关IT基础设施的准确信息,为故障管理、问题管理、变更管理和发布管理等的运作提供后台支持。

图表54 CMDB

  1. 完整的服务运维流程

iMC SOM组件从关注服务运维流程的角度出发,提供了配置管理、变更管理、请求/事件/故障管理、问题管理等IT网络运维流程的全生命周期管理。

图表55流程处理

  1. 故障维护流程

iMC SOM的网络故障维护流程,实现了与iMC故障告警功能的融合,为内部用户提供了一个从定位、审核、修复到确认关闭的闭环过程,保障网络故障得到及时有效处理。

图表56告警维护流程

  1. 变更流程

iMC SOM的网络配置变更维护流程可以和iMC 配置管理相融合,使IT管理人员通过iMC所做的所有网络变更操作都满足受控、可审计的要求,提高内部用户对网管操作的透明度和信任度。

图表57配置变更流程

  1. 知识库管理

iMC SOM集中的知识库保存解决方案避免了重复工作,并通过有效的知识共享,提高了整体生产效率,不管是哪个技术人员处理请求,内部用户都能得到一致的回答。

图表58知识库管理

  1. 服务台

iMC SOM组件的服务台功能为运维人员提供了个性化的工作空间,为所有运维活动提供了理想的工作平台。

在每个运维人员的工作区中,提供了和个人相关的运维工作内容。配置管理、变更管理、请求/事件/故障、问题管理、知识库管理等所有运维活动,也都可以在这个服务台上衔接完成。

图表59服务台

  1. 日志管理
    1. 操作日志管理

iMC能够记录所有相关管理员在CSM云平台的相关活动的日志,并对其进行审计。操作日志用于显示和查询操作员在执行管理任务中的一些关键操作的基本信息,例如操作员登录系统、对设备进行添加、删除和配置等操作的基本信息。日志管理包括查看详细信息、查询等操作。其中查询可以按照操作员、IP地址、模块名称、操作结果、开始时间、结束时间和操作描述进行查询。另外,管理员可以通过数据转储功能对操作日志进行备份和删除。如果日志量过大,系统提供了操作日志的自动转储功能,满足转储条件的操作日志会被系统备份成文件后存储到指定目录下,并把转储的数据从系统中删除。

  1. SYSLog日志管理

Syslog日志接收

H3C智能管理系统支持多厂商设备的SYSLOG原始报文接收,提供日志浏览、查询、导出及自动转储功能。

图表60 Syslog浏览

Syslog日志提取与分析

H3C智能管理系统支持在海量日志中提取重要信息,并升级为告警,及时提示内部用户关注。

图表61 Syslog分析规则

  • 支持按日志类别、日志级别分析提取;
  • 支持统计分析提取,如在300秒内连续收到50次日志”VTY login”,则产生告警提示内部用户。
  • 支持生成告警级别及描述设置。

内部用户可按需设置生成告警的级别,也可以设置告警描述。如可配置生成”VTY login flood”告警;可配置成”%SYSLOG%”告警,即将SYSLOG日志原文直接做为告警描述提示给内部用户;也可配置成”Duplicate address $(Duplicate IP) on $(Source VLAN)”告警,即通过提取SYSLOG中关键参数信息组成告警描述提示给内部用户。

  • 支持解析模板定义,对SYSLOG日志原文进行分析提取。

模板内容可以直接输入不带参数的匹配文本,如:”-IP address IP collision detected”。匹配文本可以输入”*”通配符,代表一个或者多个字符。模板内容支持匹配文本中带有参数,参数的形式:$(参数名称),如:”Duplicate address $(Duplicate IP) on $(Source VLAN)”,系统会自动提取参数信息供后续分析及告警生成使用。

  1. 报表管理

H3C iMC智能分析报表解决方案基于B/S架构,将报表分析和报表展示能力与iMC无缝集成,实现从数据提取、数据转换和数据展示等功能,提供有效报表系统解决方案。

开放数据源

iMC开放的数据源是自定义报表的基础,涵盖了iMC预定义报表使用的几乎所有数据源,对于自定义报表开发来讲是完备的。iMC平台开放的是基础网管的数据,包括资源、性能、告警模块,每个业务组件也会根据自己的设计开放完备的数据源。

ETL分析能力

iMC报表平台同时内嵌的ETL模块(数据提取、转换、加载),提供强大的智能分析能力,作为有力的数据分析工具,在iMC开放的原始数据源和对应复杂报表需求的内部用户自定义报表数据源之间搭建起了一个桥梁。

预定义报表模板

iMC平台和各业务组件提供了丰富的预定义报表模板,对于大部分内部用户,已经完全能够满足日常的报表需求。

报表设计功能

业界领先的报表设计器(iAR),提供可视化的自动义报表设计环境。

设计环境用户操作融合

iMC报表平台提供iMC数据源配置的导出功能,简化了报表设计过程中的数据源建立过程。而对于内部用户来讲,数据库连接和数据源的建立往往是最不容易完成的操作。从而使报表设计工作轻松上手。iMC目前支持Oracle、SqlServer两种数据库,并使用JDBC来连接数据库,导出的数据源配置就是这两种数据库的JDBC连接。

很多时候,内部用户只是对已有报表的部分细节不满意;这时可以将iMC中的预定义报表直接导出为报表设计工程文件,在报表设计器中进行调整后,再导回到iMC报表平台中使用。如下,选择RPT格式即可导出报表设计工程文件。

使用报表设计器设计出来的自定义报表模板的发布操作非常简单,只需要在报表平台上执行一个增加操作,即可将新的自定义报表模板等同于原有的预定义模板使用。

报表展示

如下为iMC平台提供的一个预定义报表实例。

周期性报表机制

在报表平台中,可以使用报表模板创建各类周期的报表,包括天报表、周报表、月报表、季度报表、半年报表、年报表。可以设定周期性报表的开始时间、失效时间。

完成一次性配置后,就可以自动化的产生周期性的报表结果。

对所有的报表模板,都可以使用立即报表的操作查看实时的报表数据,而不必等到每个周期结束时。有助于实时的发现定位问题。

报表分发

对于自动化生成的周期性报表,可以根据需要发送给不同角色的内部用户,比如决策人、投资人、管理员等。如果采用手工的操作,将是一件繁重的工作,iMC报表方案提供了自动化的Email发放报表方式。

  1. 计费策略管理

针对XX警务云到租户,以及租户到内部终端用户的分级计费统计,针对服务类型和服务时间提供灵活的计费方式。两个策略可以不同。

计费策略自定义,基于云服务(主机、存储、数据库、应用)对资产进行数据采集、计量、预处理,提供账单、结算报表。

计费策略可以定制结算周期,最小计费单位等。整个私有云有一个基本使用费用(类似月租费),然后加上各个资源申请使用的单个计费。各个计费资源,例如CPU,也有初始基本费用和后续递增费用。

XX警务云基础资源服务IaaS提供给用户计算、存储、网络,安全和其它基本资源。用户通过IaaS服务能够部署和运行其应用系统。用户不需要管理或控制任何云计算基础设施硬件,但能选择操作系统、储存空间、部署的应用,也可控制防火墙和负载均衡器。客户可以基于这些服务进行编排,构建属于自己的虚拟数据中心。

 

  1. 云安全方案
    1. 云计算环境安全威胁

传统信息系统中存在的安全威胁在云计算环境中仍然存在,如:恶意攻击、身份冒用、抵赖等,本节重点介绍与云计算信息系统特点密切相关的几个主要威胁:

  1. 数据丢失、篡改或泄露

云租户的数据包含三方面内容,一是云租户业务数据;二是云租户操作审计、网络流量审计和业务系统运行状态监控等数据;三是云租户在云平台上的隐私数据,例如云租户注册信息和云服务消费信息等。以上数据虽然从法律上所有权归云租户所有,但是数据实际处于云服务方的直接控制下,云租户在这些数据安全的管控上,不具备完全控制力,只能通过协议或者合同来约束云服务方行为,但是当云服务方违反协议或者合同,对云租户利益造成损失时,云租户无法事前预知并及时阻止,只能被动接受,并进行事后处理。

在云计算环境下,云平台采用虚拟化等技术实现多租户资源共享,云租户间的隔离和防护容易受到攻击,跨租户的非授权数据访问风险突出;云服务方可能会使用其他云服务方的服务,使云平台复杂性的增加,云平台实施有效的数据保护措施更加困难,云租户数据被未授权访问、篡改、泄露和丢失的风险增大。

  1. 不安全的接口

不安全的接口将使云计算信息系统面临极大风险,如接口访问密钥的丢失,将使攻击者能够直接访问云租户数据,导致敏感数据泄露;通过接口实施注入攻击,可能篡改或者破坏云租户数据;通过接口的漏洞,攻击者可绕过虚拟机监视器的安全控制机制,获取到系统管理权限。

  1. 云服务中断

云平台聚集了大量云租户的应用系统和数据资源,因而更容易成为被攻击的目标。一旦遭受攻击或其他软硬件故障,会导致大量云服务的异常中断和数据丢失,如不能及时恢复,将损害广大云租户的利益。

  1. 越权、滥用与误操作

云租户的应用系统和业务数据处于云计算环境中,云平台的运营管理和运维管理归属于云服务方,运营管理和运维管理等人员的恶意破坏或误操作在一定程度上会造成云租户应用系统的运行中断和数据丢失、篡改或泄露。

  1. 滥用云服务

面向公众提供的云服务可向任何人提供计算资源,如果管控不严格,不考虑使用者的目的,很可能被攻击者利用,如通过租用计算资源发动拒绝服务攻击。

  1. 共享技术漏洞

由于云服务是多租户共享,如果云租户之间的隔离措施失效,一个云租户有可能侵入另一个云租户的环境,或者干扰其他云租户应用系统的运行。而且,很有可能出现专门从事攻击活动的人员绕过隔离措施,干扰、破坏其他云租户应用系统的正常运行。

  1. 安全责任界定不清

在云计算环境下,除了云租户具有其业务数据的操作权限,云服务方也会具有一定的操作权限,如果数据安全的责任划分缺乏明确的规定,出现安全事故时,云租户和云服务方之间的责任很难界定。

  1. 司法管辖范围受限

在云计算环境下,数据的实际存储位置往往不受云租户控制,云租户的数据可能存储在境外,改变了数据的司法管辖关系。

  1. 过度依赖

由于缺乏统一的标准和接口,不同云平台上的云租户数据和应用系统难以相互迁移,同样也难以从云平台迁移回云租户的数据中心。另外,云服务方出于自身利益考虑,往往不愿意为云租户的数据和应用系统提供可移植能力。这种对特定云服务方的过度依赖可能导致云租户的应用系统随云服务方的干扰或停止服务而受到影响,也可能导致数据和应用系统迁移到其他云服务方的代价过高。

  1. 残留

云租户数据的存储介质由云服务方拥有,云租户不能直接管理和控制存储介质。当云租户退出云服务时,云服务方应该完全删除云租户的数据,包括完全删除备份数据。但是目前还缺乏有效的机制、标准或工具来验证云服务方是否实施了完全删除操作,云租户退出云服务后其数据仍然可能完整保存或残留在云平台上,带来数据安全风险。

  1. 审查不到位

迁移到云计算环境之前,云租户需要对云计算环境中面临的风险进行评估,如果不了解应用系统是否适合迁移,云服务方采取哪些安全措施及云服务的合规性,就冒然将应用系统迁移到云上,会对云租户应用系统安全产生未知的风险。

  1. XX警务云安全标准要求
    1. 云计算三级等级保护安全介绍

本方案中提供的云计算安全等级保护三级要求,是《信息安全技术 信息安全等级保护 第二分册 云计算安全技术要求》中的内容,不包含《信息安全技术 信息安全等级保护 第一分册 基本要求》中的内容。

《信息安全技术 信息安全等级保护 第二分册 云计算安全技术要求》是针对当前云计算特点对《信息安全技术 信息安全等级保护 第一分册 基本要求》的补充内容,所以,在整个省XX警务云安全建设中,需要同时参考《信息安全技术 信息安全等级保护 第一分册 基本要求》和《信息安全技术 信息安全等级保护 第二分册 云计算安全技术要求》两部分内容。

以下将以网络安全技术要求等保三级具体内容举例:

网络安全技术要求(将第一份和第二分册的内容合并后的内容,未加粗字体内容是第一分册内容,加粗字体内容是第二分册内容):

  1. 云计算等级保护安全要求及应对措施

等保内容

应对措施

1、网络安全/结构安全 

a)应实现不同租户之间虚拟网络资源的隔离,并避免网络资源的过量占用;

VxLAN + NFV

通过VxLAN技术为每个租户分配虚拟网络,利用NFV技术为租户分配独立的边界安全控制资源,结合VRF、QoS技术可确保网络层隔离与带宽保障

b)应绘制与当前运行情况相符的虚拟网络拓扑结构图,并能对虚拟网络资源、网络拓扑及相应访问控制策略进行实时更新和集中监控

云平台支持

c) 应根据租户各部门的工作职能、系统业务类型、重要性和所涉及信息的重要程度等因素,为虚拟机划分不同的安全区域

NFV +服务链

通过NFV + 服务链技术在租户虚拟数据中心内部部署VFW实现安全域隔离

d) 应保证虚拟机只能接收到目的地址包括自己地址的报文;

CVM + OVS

e) 应保证业务网、存储网、管理网组网架构分离;

带外管理 + 独立的存储网络

f) 应能识别、监控所有虚拟机之间、宿主机与虚拟机之间的流量;

CVM + OVS

g) 应提供开放接口,允许接入第三方安全产品。

云平台基于Openstack标准架构,第三方安全产品可通过Openstack框架接入
服务链支持第三方安全设备通过代理网关接入

2、网络安全/访问控制 

a) 在虚拟网络边界应部署访问控制设备,启用访问控制功能;

VxLAN + NFV

通过VxLAN隔离租户网络,利用NFV技术在虚拟网络边界部署VFW进行访问控制

b) 应采取安全的技术手段避免直接通过互联网管理云资源;

管理网与业务网隔离,管理中心边界部署防火墙进行访问控制

c) 应依据安全策略启用虚拟机间的访问控制功能。

NFV +服务链

通过NFV + 服务链技术在租户虚拟数据中心内部部署VFW实现虚拟机间访问控制

3、网络安全/安全审计

a) 应为安全审计数据的汇集提供接口,允许可信的第三方接入,实现集中审计。

部署安管平台实现集中审计

4、网络安全/入侵防范

a) 应能够检测租户通过虚拟机访问宿主机资源,并进行告警;

CVM支持

b) 应能检测到租户对外的攻击行为,并能记录攻击类型、攻击时间、攻击流量;

通过NFV + VxLAN技术在租户虚拟网络出口部署NGFW实现双向流量的攻击检测

c) 应具备对异常流量和对未知威胁的识别、监控和防护能力;

通过NFV + VxLAN技术在租户虚拟网络出口部署NGFW实现双向流量的监控

d) 应对有害信息发布等安全事件进行实时监测和告警。

通过NFV + VxLAN技术在租户虚拟网络出口部署NGFW实现双向流量的内容监控与审计

5、网络安全/网络设备防护

a) 应采取安全可信的方式对管理用户进行接入认证;

云平台支持

b) 应实现租户和云服务商管理用户的权限分离;

云平台支持

c) 应在网络控制器和网络设备(或设备代理)之间建立双向身份验证机制;

需VCFC支持(目前还不支持VCFC与设备间的双向身份验证,理论上承载netconf的HTTPS协议和下发流表的OpenFlow协议均可以提供双向身份验证机制)

d) 应保证网络安全策略只能通过云平台进行统一配置和发布;

管理网与业务网隔离,管理网边界部署防火墙进行访问控制,仅允许管理终端登录云平台进行管理操作

e) 应采取必要措施防止网络控制器和网络设备(或设备代理)之间的网络通信被窃听和嗅探。

VCFC与设备间通信加密

6、主机安全/身份鉴别

b) 应建立安全可信的接入认证方式,保证管理用户对虚拟资源访问的安全性。

云平台(用户认证) + SSL VPN(远程安全接入)

c)云平台web接口不应使用自签名证书。

采购权威的签名证书

7、主机安全/访问控制

a) 应保证云服务对物理资源的调度和管理均在资源抽象层内完成,应隔离平台内承载信息资源的云服务对平台物理资源的直接访问;

云平台 + CAS + CVM(计算存储资源管理调度),CVM限制VM对物理资源的直接访问

云平台 + VCFC + NFV(网络安全资源管理调度),VCFC + NFV限制应用对物理网络安全资源的直接访问

b) 应启动访问控制功能,依据安全策略控制虚拟机间的访问;

NFV +服务链

通过NFV + 服务链技术在租户虚拟数据中心内部部署VFW实现虚拟机间访问控制

c) 应采取安全控制措施,防止通过虚拟机漏洞获得对所在物理机的访问和控制;

CVM隔离虚拟机对物理主机的访问

d) 应采用技术措施保证不同虚拟化实例之间的资源隔离;

CVM保证计算虚拟化实例资源隔离,VxLAN + NFV保证网络安全虚拟化实例资源隔离

e) 应确保逻辑卷同一时刻只能被一个虚拟机挂载;

CAS + CVM提供保障

f) 应采用安全措施保障数据库实例隔离;

数据库软件提供保障

g) 应采用安全措施防止云服务商非授权访问云租户数据或者利用租户信息进行数据分析。

云平台提供租户资源的访问控制措施,确保仅租户管理员具体对租户资源、数据的访问权限;租户数据通过加密存储防止非授权访问引发信息泄露

h) 应实现租户管理用户和云服务商管理用户的权限分离;

云平台提供云平台管理员及租户管理员角色,实现管理权限分离

8、主机安全/安全审计

a) 审计内容应包括重要用户行为、虚拟机间迁移、虚拟资源调度、虚拟资源分配、虚拟资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;

部署安管中心集中审计,云平台、CAS、VCFC、NFV等组件提供审计日志

b) 为安全审计数据的汇集提供接口,允许可信的第三方接入,实现集中审计。

部署安管平台实现集中审计

c) 应保证云服务商对租户系统和数据的操作可被租户审计。

部署安管平台实现基于租户的集中审计,租户仅允许查看自身系统、数据操作相关审计信息

9、主机安全/剩余信息保护

a) 应采取技术措施在虚拟资源回收时,对数据进行清除。

云计算平台的管理模块在规划资源调度时需要进行设计。

b)应确保云用户在退出时,数据多个冗余得到清除。

同上

10、主机安全/入侵防范

a) 应能检测到未经授权打开的端口,并提供告警;

部署主机漏扫系统进行监控

b) 应能够检测云用户通过虚拟机访问物理机资源,并进行告警;

CAS + CVM提供保障

c) 应确保虚拟资源在启用后,供用户使用时,版本或补丁保持最新;

CAS + CVM提供保障

11、主机安全/恶意代码防范

a) 应确保虚拟资源在启用后,供用户使用时,及时进行恶意代码软件版本和恶意代码库升级,并进行恶意代码检测;

部署360杀毒,VM中仅部署轻量化Agent,恶意代码库部署在集中的查杀服务器中,定期从云端更新

b) 应能够检测恶意代码感染及在虚拟机间蔓延的情况,并提出告警。

部署360杀毒,通过集中的控制中心提供报告及告警

12、主机安全/虚拟机安全

a) 应提供虚拟机自动迁移功能,支持虚拟机实例从其他物理机启动;

CAS + CVM提供

b) 不同虚拟机之间的虚拟CPU指令隔离;

CVM保障

c) 虚拟机不能迁移至低于其所在系统安全等级的环境;

云平台支持对不同等保计算资源分区隔离管理

d) 应提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复;

CAS + CVM提供

e) 应屏蔽虚拟资源故障,某个虚拟机崩溃后不影响虚拟机监视器及其他虚拟机;

CVM保障

f) 应对物理资源和虚拟资源按照策略做统一管理调度与分配;

CAS + CVM提供

g) 应禁用虚拟内存优化技术,保证虚拟内存的独占访问;

CVM保障

h) 应保证虚拟资源的业务处理能力具备冗余空间,满足业务高峰期需要;

DRX提供计算资源弹性扩展

i) 应限制单个虚拟机对物理资源的最大或最小使用限度;

CVM保障

j) 当对同一台物理机上有多个虚拟机进行漏洞扫描与恶意代码防范时,应将漏洞扫描与恶意代码防范产品部署在对资源的消耗控制在安全的范围内。

漏扫软件与恶意代码防护软件提供保障

k) 应按照对业务服务的重要次序来指定虚拟资源分配优先级别,保证在资源紧张的时候优先保护重要业务服务所占用资源;

CVM保障

l) 监控信息的汇集提供接口,允许可信的第三方接入,实现集中监控;

部署安管平台实现集中审计

13、主机安全/镜像和快照保护

a) 应提供虚拟机镜像文件完整性校验功能,防止虚拟机镜像被恶意篡改;

CAS + CVM提供保障

b) 应采取加密或其他技术手段,防止虚拟机快照中可能存在的敏感资源被非法访问;

CAS + CVM提供保障

14、主机安全/资源监控

a) 当监测到应用服务过载时,应能够根据预设的策略自动扩展计算资源,确保应用服务质量;

DRX支持计算资源弹性扩展

15、主机安全/安全开发  

a) 应采用安全技术措施,保障资源访问的应用编程接口安全。

对编程接口开发进行安全规划,对发布的编程接口进行安全测试

16、主机安全及备份/数据安全 

a) 应确保在虚拟资源迁移过程中,虚拟资源数据的完整性,并在检测到完整性错误时采取必要的恢复措施。(新增)

云计算平台资源调度时需要规划设计对虚拟机迁移时的数据完整性的保障。

CAS + CVM提供保障

b) 应确保在虚拟资源迁移过程中,虚拟资源数据的保密性,防止在虚拟资源迁移过程中的信息泄露。(新增)

云计算平台资源调度时需要规划设计对虚拟机迁移时的数据完整性的保障

CAS + CVM提供保障

a) 租户应对业务数据进行定期备份。

从管理层面对租户落实备份制度

b) 对于重要数据存储的位置应限定在安全可控的地理范围内;

云平台支持存储、数据库资源的分区管理,针对不同地理位置的资源可划分独立分区,应用系统申请资源时从指定分区分配

c) 应提供虚拟资源的数据级冗余备份机制。

存储备份

a)租户与云服务商服务合约到期时,应完整地返还租户信息。

公有云租赁合同签订时评估并明确相关要求

b)在租户定义的时间内,清除云服务平台上存储的租户信息,并确保不能采用技术手段恢复。

公有云租赁合同签订时评估并明确相关要求

c)云服务商应协助租户将信息迁移到其他云服务平台或者传统的 IT 平台。

公有云租赁合同签订时评估并明确相关要求

17、管理及人员安全  

a) 云服务商对云租户数据的访问和操作必须经过云租户的授权,授权必须保留相关记录。(新增)

管理层面强制落实制度,技术层面采用云堡垒进行审计。

a) 云服务商相关人员应签署商业行为准则协议,确保对云租户数据的安全,确保云租户数据的隐私。(新增)

选择云供应商时进行评估审查

管理层面强制落实制度,技术层面采用云堡垒进行审计。

a)云平台定级应不低于云平台所承载的云租户业务系统的安全级别。(新增)(云平台如何定级,建议考虑清楚是否可以定级在写该条)

选择云供应商时进行评估审查,选择不低于业务系统定级的云平台

18、系统建设及管理/服务商选择 

a) 云服务商应满足服务水平协议(SLA)要求;

签订公有云服务合同时明确相关条款

b) 云服务商应在服务水平协议(SLA)中规定云计算所能提供的安全服务的内容,并提供安全声明;

c) 云服务商应与云租户协同规定云服务商和云租户的权限与责任,权限与责任细化到岗位;

d) 云服务商应与云租户协同规定违背服务水平协议(SLA)的惩罚措施,惩罚措施细化到岗位;

e) 云服务商需提供第三方合作商安全能力服务水平证明,并提供对第三方安全能力服务水平监管证明。

f) 云服务商与云租户应签订隐私保护相关协议。

19、系统建设及管理/服务商选择 

a) 应要求信息系统、组件或服务开发商提供描述相关功能的文档和信息;

制定相关安全管理制度并落实到系统建设、运维过程中

b) 应要求信息系统、组件或服务开发商为信息系统实施威胁和脆弱性分析;

c) 应要求信息系统、组件或服务开发商提供所使用的安全措施的描述文档;

d) 应要求信息系统、组件或服务开发商制定对安全措施有效性的持续监控的相关策略;

e) 应要求信息系统、组件或服务开发商提供事故应急预案,并将事故应急预案纳入云服务商的事件响应计划中;

f) 云服务商应在开发商、供应商或厂商不再对系统组件提供支持时采取相关措施。

20、系统运维管理/监控管理和安全管理中心 

a) 应对云平台的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存;

云平台提供监控及审计

b) 应建立对物理资源和虚拟资源进行统一调度和分配的规范或策略;

云平台提供

c) 云服务商应建立安全应急响应中心,收集和处理云平台的安全漏洞;

部署Web、系统、数据库漏扫工具,及时更新相关软件补丁

d) 应具备自动发现系统内虚拟主机和虚拟网络等各类虚拟资源的能力,通过图示的方法展现,并可对发现的虚拟网络拓扑进行实时监控和更新。

云平台提供

21、系统运维管理/网络和系统安全管理 

a) 应建立虚拟资源申请审查制度,保障重要虚拟机的资源使用,避免非法调用资源;

云安全运维管理制度;运维管理流程;操作流程;操作日志审查

b) 应建立虚拟资源隔离策略文档,定期对策略进行一致性检查;

制度+技术

c) 应规定重要业务系统需要使用加固的操作系统镜像;

安全软件+补丁更新+最小化软件部署

d) 应保证私有云的运维管理由投资建设方自行完成,或者由与产品提供商无任何商业关系的第三方完成。

运维服务

e) 应保证公有云租户业务运维管理由租户自行完成,或者由与云服务商无任何商业关系的第三方完成。

云平台应可以定义多种角色,并对不同的角色赋予不同的权限。

22、系统运维管理/风险评估和漏洞修复 

a) 云平台系统应具有独立的测试云。

云平台建设时规划独立的测试区域

23、系统运维管理/密码管理 

a) 应指定密钥的合法使用范围;

密钥管理规范和管理制度

b) 应合理选择密钥的存储方式,禁止云租户的密钥存放在云端;

密钥管理规范和管理制度

c) 应建立合理的密钥撤销机制,被撤销的密钥必须归档;

密钥管理规范和管理制度

d) 对于公有云,应部署两套CA。面向公共的部分使用外部CA。内部的管理安全域(管理网)部分使用组织自己的私有CA。两套CA不能混用。

合规性设计

e) 应根据不同云的需求量,定制配置足够的熵源,防止实例的熵饥饿(根据云平台内所容纳的计算资源规模,选择合适的熵源,以确保有足够的硬件随机数来生成密钥)

容量规划

24、系统运维管理/备份和恢复管理 

a) 应制定对重要数据的存储限定在安全可控的地理范围内的相关要求。

物理位置规划,数据中心选址分析

25、系统运维管理/服务终止 

a)租户与云服务商服务合约到期时,应完整地返还租户信息。

签订公有云服务合同时明确相关条款

b)在租户定义的时间内,清除云服务平台上存储的租户信息,并确保不能采用技术手段恢复。

签订公有云服务合同时明确相关条款

 

  1. 安全防护模式设计


安全防护模式转变图

在传统数据中心IT安全技术架构设计中,所有的安全防护都是基于设备的,安全防护受限于物理位置,当后端被保护对象的物理位置发生变化时和变化后,由于安全设备及安全策略不能随之动态调整,造成安全防护失效。

然而在云计算环境中,被保护对象(例如,虚拟服务器)其位置是不固定的,因业务对资源需求的不同,业务繁忙程度的不同,其位置可能会随之改变,如果还按照传统安全技术架构进行安全防护,那么在多数的时间内,业务系统无法得到有效的安全保护。从而使得业务系统面临安全风险,造成业务系统无法稳定、持续的运行。

为了能够使得在云计算环境中的被保护对象(例如,虚拟服务器)在全生命周期内始终得到安全防护,这时就需要改变传统安全防护技术架构,从传统的设备防护,转变为贴近业务的安全防护,使得安全防护策略能够贴近业务,并能够随着业务的变化而变化,当业务服务器的位置发生变化时和变化后,安全策略始终都能够提供安全防护。

  1. 云安全体系架构设计


H3C云计算安全体系架构图

H3C云计算安全体系架构既能够满足对业务安全防护的全面性,又能够满足国家安全相关标准安全技术要求。从而能够帮助用户建设完善的安全防护体系。

从上中可以看出,H3C云计算安全体系涵盖了基础设施物理安全、基础设施资源安全(IAAS层面的安全)、平台安全(PAAS)、应用安全(SAAS)、云接入安全和安全管理等内容,这些内容涵盖了云计算环境下业务系统对不层面上的安全需求,而且不同层面的安全之间实现联动,使得整个安全防护体系更加有效。

 

  1. 云安全交付模式设计


安全从设备交付转为服务交付示意图

在传统的数据中心安全技术架构中,安全交付是以设备形式进行交付的,在真个交付流程中,需要设备采购、设备安装调试、安全策略配置和安全防护交付,这样的交付流程大大延长了业务上线周期,而这,才仅仅是一类安全设备交付过程,如果在不同的阶段,业务对安全有不同的安全需求,那么,在传统交付模式下,业务将因安全设备交付周期过程,造成无法得到及时的安全防护。

为了能够为业务系统及时、按需提供安全防护能力,安全交付需要从传统的设备交付模式转变为以服务交付模式,将安全作为一种服务,及时、按需进行交付。从而及时响应业务安全需求,及时提供安全防护。

安全即服务内容如下图:


安全即服务清单示意图

  1. 安全控制设计


安全控制模式转变示意图

传统安全业务的部署,通常基于物理拓扑,将安全设备串行到业务流量路径当中,这种部署模式存在如下问题:业务上线或业务变更需要调整整个路径下设备的策略,无法满足快速变更的需求;设备能力扩展性较差,一旦出现性能不足,通常只能更换更高端的设备;设备的能力无法在多业务间共享;传统基于路径的部署方式无法应用于Overlay网络。

新IT架构下,安全部署模式需要随之发生变化,基于Overlay网络构建集中的安全能力资源池。通过集中的控制器将需要进行安全防护的业务流量引流到安全能力中心进行防护,并且根据业务需求编排安全业务的防护顺序,也就是通常所说的服务链。由于实现了物理拓扑的解耦,所以能够很好地支持安全能力的弹性扩展及多业务能力共享。

安全服务链概念:

数据报文在网络中传递时,根据业务类型、安全保护的等级要求需要经过各种各样的安全服务节点,这些安全服务节点包括熟知的防火墙、入侵检测、负载均衡等。通常,网络流量需要按照业务逻辑所要求的既定顺序,穿过这些安全服务节点,这就是所谓的服务链(Service Chain),可见,服务链并不是一个新的概念。

随着SDN及网络虚拟化的不断推进,服务链逐渐变得更加重要。在Overlay网络下,服务链的各服务节点可能位于相同或者不同的安全能力资源池。通过面向租户、面向应用的服务链编排界面,自动下发引流策略,进行相应的安全防护,从而达到或优于传统安全防护的效果。


安全服务链实现逻辑架构图

  1. 服务链处理流程

1)服务链中的角色:

在服务链模型中,涉及到服务链定义、引流下发、服务链报文封装、服务链业务处理等多个环节,各功能节点对应的业务组件如下。

控制平面(Control Plane):管理服务链域内的设备,创建服务链,将服务链的配置信息,下发到各个相关节点上,目前主要是通过Controller实现,对用户的业务界面主要由IMC CSM组件实现。

流分类节点(Classification):匹配流分类规则的数据报文,会按照要求被转发到服务链中处理。最初的流分类节点,部署在服务链域的边缘,即所谓的服务链接入点。服务链之间,也可以依靠流分类衔接。如图所示,华三通信服务链模型接入点包括如下四种类型: 支持业务链的Vswitch:由Vswitch接入VM报文后直接做流分类,增加业务链Overlay封装。

交换机接入普通Vswitch:VM通过普通Vswitch接入,Vswitch仅作二层交换使用,上送VxLAN GW设备后,由VxLAN GW设备进行流分类,增加业务链Overlay封装。

交换机接入物理设备:交换机直接接入物理服务器,对物理服务器发送的用户报文做流分类后,增加业务链Overlay封装。

交换机接入普通VxLAN:Vswitch作为VxLAN的VTEP,将普通VxLAN报文上送到VxLAN GW,由VxLAN GW设备进行流分类,换成业务链Overlay封装。


安全服务链角色部署架构图

服务节点(Service Function):服务节点作为资源被分配使用,它的物理位置可以是任意的,分散的,通过服务链的串联,完成预定义的工作。如图所示,华三通信服务链模型中服务节点包括如下两种类型。

支持服务链功能处理的节点:包括华三通信新一代硬件安全设备或虚拟的软件安全设备,能够识别服务链封装报文,并对业务链内部封装报文进行安全处理,处理完毕后修改VxLAN封装并转发到下一个安全服务处理节点。

不支持服务链功能处理的节点:包括华三通信传统安全设备或者第三方安全设备。这些服务节点不支持识别服务链封装报文,必须通过代理节点(通常为接入交换机)将服务链头剥掉后转发给服务节点,服务节点处理完毕后再转发给代理节点,代理节点转发给下一个服务节点或目的VM。


代理节点(Proxy Node):对于不支持服务链封装的业务节点,需要通过代理节点剥离服务链封装,将业务策略信息转换成VLAN等,转交给服务节点处理。

2)服务链处理流程:

在服务链模型中,控制器会给服务链接入点下发引流策略及服务链信息(Service Path ID和第一个安全服务节点IP),服务链节点匹配引流策略,然后对数据流进行服务链VxLAN封装,然后通过Overlay网络转发到第一个安全业务服务节点。支持和不支持服务链报文识别的两种节点的处理机制稍有不同下文分别说明一下:

支持服务链报文处理的服务节点:

对于支持服务链报文处理的服务节点来说,在服务链配置过程中,控制器会给服务链中的每一个节点下发对应业务链ID的上一个服务节点IP(Pre-Node IP)和下一个服务节点IP(Next-Node IP),对于第一个节点只有Pre-Node IP,而对于最后一个节点则只有Next-Node IP,同时会下发前后Node IP对应的Fib表项。当服务节点收到一个VxLAN报文时,会根据VxLAN报文中携带的Service Path ID查找相应的业务链表项,如果匹配上则进行解封装,针对解封装后的报文进行安全业务处理,做完安全业务处理后,查找服务链对应的Next-Node IP,并进行服务链封装,转发到下一个服务节点。如果本安全节点就是最后一个服务节点,那么在进行完安全处理后,要根据内层载荷的目的IP做普通的VxLAN转发,也就是根据目的VTEP IP进行VxLAN封装。支持VxLAN报文识别的服务节点模式对基础网络设备无特别要求,兼容性较好。

不支持服务链报文处理的服务节点:

在服务链部署模型中,通过代理节点方式兼容传统的安全设备或者第三方设备。以下图为例说明:控制器给服务链接入点下发的IP为代理节点IP,同时控制器会给代理节点下发服务链处理信息。

当代理节点收到服务链报文时,首先匹配北向南服务链信息,然后将报文转发到FW服务节点,FW服务节点处理完毕,通过Inline转发返回给代理节点,代理节点继续匹配南向北服务链信息,然后将报文转发给IPS服务节点,IPS服务节点处理完毕,通过Inline转发返回给代理节点,代理节点在匹配不到服务链信息的情况下走VxLAN正常转发,将报文转到目的VTEP1。在这种模式下安全服务节点可以单臂模式部署,也可以双臂模式部署。

这种部署模式,对安全设备要求较低,但是对代理节点要求较高,需要支持大容量ACL表项,在实际部署中存在一定局限性。

  1. 安全服务链典型部署模式

数据中心通常存在两类流量:东西流量和南北流量。所谓南北流量是指从服务器到Internet网络的纵向流量,而东西流量则为服务器之间的横向流量。安全服务链需要对这两种流量进行防护。

南北流量防护模式:

南北流量的防护模式分为以下两种。模式一采用一体化的NGFW设备实现VxLAN IP GW及多业务安全防护的功能,部署模式上符合服务链模型,实现了安全设备与物理拓扑的解耦。安全功能执行与传统设备无差异。优点是支持全业务安全功能,但存在无法按需调整安全功能处理顺序问题。模式二通过采用不同的安全设备实现不同的安全功能,实现了功能级别的安全资源池,是真正意义上的安全服务链模型,可以满足灵活的业务防护需求。

模式一:

南北流量防护模式1示意图

在这种部署模式中,NGFW设备作为VxLAN IP Gateway终结租户的VxLAN流量,并转换为VLAN流量转发到Internet,反向实现VLAN到VxLAN的转换。NGFW同时支持NAT、安全域、IPS、SLB等多种功能。通过创建不同的虚拟防火墙对应不同的租户。VxLAN网关可以部署多台,通过控制器下发的引流策略实现多台VxLAN网关的负载分担。这种模式部署简单,在控制器上仅管理一种设备类型。如果要实现差异化的服务,通过在设备增加或删除配置即可。这种部署模式的缺点就是同一台设备上集成了多业务的功能,多业务之间的处理顺序由设备本身的业务实现逻辑决定,无法调整。

模式二:

南北流量防护模式2示意图

在这种部署模式中,将LB功能和IPS功能分离出来采用单独的设备实现,在最外层采用防火墙设备作为VxLAN网关实现VxLAN和VLAN之间的互通。由于采用单独的IPS和LB设备,控制器根据租户需求进行业务编排可以控制流量只经过FW和LB或者是只经过FW和IPS。采用这种部署好处就是业务处理节点清晰,并且不同节点仅实现相对单一的功能,可以做到更高的性能。

东西流量防护模式:

东西流量防护模式2示意图

东西向流量通常是租户内部的流量比如WEB到APP服务器,或者是APP服务器到DB服务器。租户内部流量通过纯Overlay网络转发,所有的安全业务节点处理的都是VxLAN的报文。通过控制器编排下发的引流策略按需按序穿过各安全业务节点。

 

  1. 安全服务链的价值

新IT架构下,基于Overlay网络,建立统一的安全能力资源池,实现安全能力部署与物理拓扑的解耦,从而支持安全能力的弹性扩展及资源共享,支撑IT业务的快速上线及变更。同时,基于安全服务链技术,IT管理员可以基于风险评估结果实时动态调整安全策略,增加新的安全防护能力,实现整网主动安全防护。

  1. 安全服务链方案设计

FV资源池中的VFW支持透明模式部署,满足内部VM间安全防护需求;支持透明模式部署,提供对数据中心内VM间流量防护:

1)设置安全策略控制对VM虚拟机之间的访问,对这些VM之间的流量访问进行允许或禁止;

2)对VM之间的流量互访进行攻击检测,及时发现内部攻击行为。

虚机间的流量要想按需调度到NFV资源池中,要依赖于SDN+VxLAN技术,还要依赖服务链技术。数据报文在网络中传递时,需要经过各种各样的业务节点,才能保证网络能够按照设计要求,提供给用户安全、快速、稳定的网络服务。网络流量按照业务逻辑所要求的既定的顺序,经过这些业务点,这就是服务链。

传统网络中的防火墙、负载均衡器等业务节点和网络拓扑有紧密的耦合,部署较为复杂,在服务链变更、扩容时,都需要改动网络拓扑,并重新进行网络设备的配置。随着NFV技术的的发展,业务节点可以方便的部署在虚拟化网络甚至直接安装到服务器中。为了引导网络中的业务报文次序通过虚拟化网络中的多个业务节点处理后再进行转发,需要SDN的服务链功能来实现。服务链是支撑虚拟化、业务网络可编程的关键技术。

简单来说,本项目中采用的VFW实际是作为一个特殊的虚拟机运行在虚拟平台中,正常情况下VM间访问流量直接经过vSwitch互访,当需要对其进行安全防护时,管理员配置通过SDN控制器创建服务链策略,当VM间第一次发生交互流量时,vSwitch会向控制器申请的引流策略(包含服务链策略的流表), 策略下发后,vSwitch根据流表内容对流量进行匹配,将需要防护的流量引流到VFW中,由VFW对虚拟机间流量进行防护处理,最后经VFW处理过的流量再回到vSwtich中进行正常转发;

安全服务链方案实现说明图

  1. 云服务方案
    1. 云主机服务

云主机服务是省省XX警务云计算在基础设施应用上的重要组成部分。省省XX警务云主机服务让您完全控制您的计算资源,当您的计算资源需求发生改变时,可以按照省省XX警务云提供的资源套餐随时进行计算资源的提升。云主机服务整合了对于省省XX警务云主机服务的常用管理功能,通过云主机服务您可以看到您的云主机服务的配置信息,而且可以对您的云主机服务执行重启、关机、启动、销毁、远程连接等操作。而且还可以随时查看最近八小时、最近一天、最近两周、最近一月和最近半年您的云主机服务的监控信息,监控信息包括:CPU利用率、内存利用率、磁盘IO和网络流量。

云主机的规格是:

云主机及操作系统

一核

2GB

linux系统盘不低于20G,Windows系统盘不低于40G

4GB

两核

4GB

8GB

四核

8GB

12GB

16GB

八核

16GB

24GB

32GB

  1. 云主机概述

云主机是以虚拟机的形式运行的镜像副本。 基于一个镜像,您可以创建任意数量的主机。在创建主机时, 您需要指明 CPU 和内存的配置。 CPU、内存的数量可以选择, 也允许在主机创建之后随时再行调整。云主机的功能包括:租户的云主机列表、创建云主机、云主机的操作列表、云主机的监控信息和费用报告。

云主机的列表:租户登录H3Cloud云服务管理平台后,可以查看所有自己管理的主机列表,查看云主机信息包括:所属用户、名称、状态、内网IP、镜像模板、规格类型、网络、运行时间和远程登录主机;

  1. 创建云主机:根据镜像的分类选择镜像,镜像列表包括镜像名称和描述;

  1. 创建云主机:选择规格,规格内容包括规格类型、CPU、内存和系统盘;配置详情包括每小时和每天的总价:

  1. 创建云主机:设置网络,选择云主机接入的网络;

  1. 创建云主机:基本配置,需要输入云主机名称、云主机数量和描述;

  1. 云主机操作列表,用户可以管理所有的主机操作,操作包括刷新、新建、启动、关机、重启、修改等;

  1. 帮助用户查看云主机的监控信息,并可以查看包括所有的费用总统计和明细、资源总统计和明细,应用统计和性能统计。

  1. 云主机租户网络

提供了两种组网方式:基础网络、私有网络(基于VLAN或者VxLAN)。 前者是一个由系统维护的全局网络,后者是组织管理员各自自行组建的网络。基础网络的好处是简单、无需用户做任何配置与管理,即可直接使用, 但正因为它是全局网络,所以其安全保障是依靠防火墙来实现的。 与之相对应,私有网络需要组织管理员创建并管理。但私有网络之间是100%隔离的,以满足对安全要求。私有网络间使用路由器互联,并可以控制公安行业外网地址对外映射。组织管理员可以配置私有的防火墙来保证私有网络的安全。

云主机租户网络能够快速搭建您的私有云环境,并使用丰富的工具进行自动化管理。

  1. 创建网络,输入网络名称和描述信息:

  1. 配置网络,在这里我们可以查看和修改私有网络包含的主机列表和端口列表;

路由器

路由器用于私有网络之间的互联,并提供以下附加服务:DHCP服务、端口转发、隧道和VPN。如果您还希望路由器能接入互联网,请绑定一个公网IP给该路由器即可。

  1. 云管理服务台支持创建路由器;

  1. 配置路由器,可以配置基本信息和租户信息:

  1. 路由器列表和操作列表,包括ID、名称、状态、私网IP、描述和创建时间等:

  1. 自定义镜像

镜像是一个包含了软件及必要配置的机器模版。 作为基础软件,操作系统是必须的,还可以根据自己的需求将任何应用软件 (比如,数据库、中间件等)放入镜像中。镜像分为两类。其一是系统提供的,称之为”系统镜像”, 包括了各种 Linux、Windows 等操作系统, 各系统镜像的初始本地终端用户名和密码均可在各镜像的详情描述中找到。 其二是用户通过捕获一个主机来自行创建的,称之为”自有镜像”。 系统镜像全局可见可用,自有镜像只有用户本人可见可用。帮助您一次性开通多台已完全拷贝相同操作系统及环境数据等的云服务器,以便满足您弹性扩容的业务需求。

创建主机时可以从镜像模板中选择;

  1. 镜像模板列表,包含两部分,一部分为系统自定义的,不能修改和删除,另一部分为自由的镜像模板,可以创建、修改和删除。

  1. 创建镜像:只能从自由列表中创建镜像模板,包括名称、描述、类型、格式化、最小磁盘和最小内存等。

  1. 云主机特点
  1. 多种性能规格,可以自定义
  2. 按小时计费
  3. 快速部署

资源池并内置多种操作系统和应用标准镜像,需求无论是一台还是百台、Windows还是Linux,均可实现瞬时供应和部署。

  1. 高可用

国际品牌企业级服务器的高性能和可靠性,内置的监控、备机、快照、数据备份等服务确保故障的快速恢复。提供智能备份功能,将数据风险降到最低。同时具备虚拟机迁移和高可用等技术提高可用性。

  1. 弹性扩展

配合H3C专利技术DRX可以实现资源的弹性扩展,满足应用的突发需求。

  1. 一键部署

提供了虚拟机蓝本及虚拟机和应用的组合操作,完成一键部署。

  1. 云存储服务
    1. 云存储概述

云存储提供对象存储服务。客户可以通过客户端/浏览器访问。云存储将网络中各类存储设备通过应用软件集合起来协同工作,对外提供数据存储和业务访问功能的一个系统。

云存储的核心是将数据通路(数据读或写)和控制通路(元数据)分离,并且基于对象存储设备构建存储系统,每个对象存储设备具有一定的智能,能够自动管理其上的数据分布。兼顾对象存储同兼具SAN高速直接访问磁盘特点及NAS的分布式共享特点。

云存储分为对象、对象存储设备、元数据服务器、对象存储系统的客户端(或者浏览器)这几部分。云存储服务是在云中的、可无缝扩容的、高可靠而廉价的存储服务。它能让您不用关心底层的存储技术,也不用关心存储资源扩容问题,直接通过对象存储调用海量的存储资源,为您的应用存储数据。

云存储还提供了快照服务。快照用于在块设备级别上进行基于时间点的硬盘备份与恢复, 可以同时对多张硬盘做快照(包括系统盘和数据盘)。一张硬盘可以有多个快照,可以随时从任意一个备份点恢复数据。

  1. 云存储特性

对象存储具有很多先进的特性:

  1. 建立在分布式架构之上,可用性大于等于99.9%,数据持久性大于等于99.99999999%
  2. 根据系统实际情况,方案可灵活支撑系统扩容。扩容包括3方面:流数据扩容、元数据扩容、业务系统扩容;无文件数量限制
  3. 支持部署MySql数据库,单库容量达1TB
  4. 支持部署Hbase,单表存储空间达100TB
  5. 支持文档、视频、音频、图片等类型的对象存储。文件大小可达5TB
  6. 通过分布式存储技术实现三份副本,单台服务器故障不会导致数据丢失。
    1. 云存储接口API

云存储提供完整的API接口,帮助与第3方系统整合。提供的是标准的RestFul类型接口,同时提供Java、Python、Object-c 二次开发包。

RESTful API是一个本地接口,具备最低延迟和最快的响应时间,。RESTful API又名RESTful Web服务。它是一种直观且易用的面向资源的模型,为大多数Web 2.0应用提供服务。云存储提供的API接口如下:

创建文件夹

访问地址:{version}/fileops/create_folder

参数名称

说明

Root

APP访问数据的根目录

Path

目录路径,可一次性创建多层子目录

Sign

url地址签名

access_token

会话token,使用账号+密码+设备信息获得

获得文件或文件夹的元数据

访问地址:{version}/metadata/<root>/<path>

参数名称

说明

Root

APP访问数据的根目录

path

目录路径,如果为空,表示获得根目录的文件列表,path可为文件路径

sign

url地址签名

access_token

会话token,使用账号+密码+设备信息获得

删除文件或文件夹

访问地址:{version}/fileops/delete

参数名称

说明

root

APP访问数据的根目录

path

文件或文件夹的路径

sign

url地址签名

access_token

会话token,使用账号+密码+设备信息获得

文件拷贝

访问地址:{version}/fileops/copy

参数名称

说明

Root

APP访问数据的根目录

from_path

源文件或文件夹的路径

to_path

目标文件或文件夹的路径

Sign

url地址签名

access_token

会话token,使用账号+密码+设备信息获得

基于文件名的模糊搜索

访问地址:{version}/search/<root>/<path>

参数名称

说明

root

APP访问数据的根目录

path

文件路径

query

搜索关键字

sign

url地址签名

access_token

会话token,使用账号+密码+设备信息获得

  1. 云数据库服务
    1. 云数据库服务介绍

基于按需即供的设计思路,向云应用提供关系型数据库服务,包括MySQL、MS SQL Server、ORACLE等。功能上支持数据库的创建和访问,数据库的管理、备份和恢复,支持用户使用客户端软件进行数据库管理。

云数据库服务设计具有以下产品功能:

  1. 服务基于高效的调度系统,备份系统,HA控制系统,监控系统;
  2. 服务可随着用户数和访问量的变化,可以灵活地调整数据库的规格,包含内存、连接数、存储容量等;
  3. 服务提供99.95%的高可用性(提供有效服务时间与总时间之比),每份数据都保留两份并可实时切换;
  4. 服务平台数据库自身的管理和维护,用户可专注于其的业务功能。
  1. 云数据库服务使用流程

云数据库服务便捷易用,一键搞定; 多维度监控,全方位保证安全;性能卓越,专业团队承诺。

云数据库服务使用主要涉及以下流程:

服务申请

服务使用

服务管理

服务监控

云数据库服务申请:

登录云服务平台,在资源模块选择数据库服务,进入数据库服务管理视图。

进入创建数据库入口,录入用户需求数据库的相应规格参数,提交申请

云平台管理员审批用户资源申请,触发云数据库服务交付

云数据库管理平台控制面板管理所有订购信息

通过云数据库服务平台管理视图,可以查看申请实例的明细信息。

云数据库服务使用:

选择已申请的数据库实例,查看数据库服务实例配置信息

登录云服务器,在云服务器上使用下面标准MYSQL语句登录云数据库(云数据库的帐号默认为 root)。

mysql -h [云数据库IP] -P [云数据库端口号] –uroot -p[云数据库密码]

或者使用MYSQL客户端使用IP和PORT登录使用

云数据库服务管理

云数据库支持在线无缝升级,数据库访问不间断,可灵活扩容。

云数据库服务管理支持在线启停实例

云数据库服务管理支持随时退订业务,保证用户的利益最大化。

此外云数据库服务扩展工具还支持但不限于以下功能:

  • 自动备份
  • 从备份文件创建临时实例
  • 从备份文件恢复到实例
  • 数据导入导出工具
  • API接口
  • SDK开发包
  • 文档说明
  • 数据库操作日志管理
  • 数据库管理
  • 账户管理

云数据库服务安全性

支持IP授权访问,通过指定特定IP访问提高访问客户端的合法性,降低受攻击风险。

提供数据库数据存储加密保护,系统采用数据项级存储加密,即数据库中不同的记录、每条记录的不同字段都采用不同的密钥加密,并辅以校验措施,以保证数据库数据存储的保密性和完整性,防止数据的非授权访问和修改。

提供用户加密身份验证,通过数据库权限控制提供不同的访问权限控制。

云数据库服务监控

通过平台监控功能实现对实例级别在不同时间粒度完成对磁盘空间、连接数、CPU、内存、网络流量等参数的监控数据展示

  1. 云数据库服务技术架构

云数据库服务交付基于CSA+OO+SA(如下图所示)真正实现全过程的标准化、自动化。云数据库服务的交付将Cloud+Automation技术紧密结合,为用户真正提供高效和切实的云数据库资源交付使用。

  1. 云服务自动化平台

云服务自动化平台是云服务中间人,所有异构云服务的统一管理。

通过云管理平台,用户从一个门户访问所有云服务–购买cloud services、管理 cloud services。管理员使用单一工具管理所有云服务,将多个云环境的云服务发布到一个单一的目录,管理云上的设备。

云服务自动化平台是开放的,灵活的,可扩展的体系结构。

  • 流程自动化引擎

流程自动化引擎是工作流驱动的可扩展性和灵活的可视化IT流程自动化平台。其提供如下技术实现:

  • 提高流程质量

创建可预测和可重复的自动化过程

  • 降低运营成本

自动化手动,重复和容易出错的任务,使IT人员可以专注于战略计划调整

  • 协调变更

降低了人工交接的低效,复杂和风险性

  • 提高服务质量

通过自动化的事件和事件分流,降低你的升级和诊断和解决平均修复时间(MTTR)

  • 平台云

允许您通过编排你的传统和云基础架构流程以降低成本

  • 提高业务灵活性

您可以通过减少时间更迅速地响应不断变化的业务需求来部署新的基础设施和终端到终端的业务服务

  • 可审计的流程

您可以记录和执行ITIL兼容的,标准化的流程

  • 增加时间实现价值

允许您根据最佳实践和集成到惠普和第三方系统管理工具使用的开箱即用的内容

  • 便于工作流的创建

允许通过减少需要的专门研发资源,以减少管理复杂性

自动化实现平台

简单的部署的虚拟设备快速实现价值

统一的物理和虚拟管理

截至最新的合规性报告使治理降低到分钟级别

规模的IT自动化通过在多个站点管理数千台服务器

通过整合工具简化操作

基于此技术平台,按需供应HA数据库实例。

MS SQL高可用数据库服务:

主动模式对数据库服务器进行群集后会有两台虚拟数据库服务器,如果群集中的某一个节点出现故作,MSCS控制故障转移,这使另一个正常的节点需要承受两个节点的服务。

图表62 MYSQL高可用数据库服务

LVS+Keepalived+MySQL单点写入主主同步的高可用方案

主要实现遇如下问题时,服务器之间自动切换:

  • 网络问题;
  • MySQL问题;
  • 服务器宕机;
  • Keepalived服务停止;

  1. 技术优势

云数据库服务技术优势

  

自建数据库

云数据库服务

数据安全性

 

自行解决,成本高昂

15种类型备份数据,保证数据安全

服务可用性

99.95%服务可用性

数据备份

0花费,系统自动多时间点数据备份

维护成本

0成本,专业团队7×24小时帮助维护

实例扩容

一键式直接扩容,安全可靠

资源利用率

按需申请,资源利用率高达99.9%

技术支持

专业团队指导

  1. 数据库性能

目前支持最高IOPS值超过12000,根据租户不同的业务需求,选择合适的性能规格的云数据库服务。

目前提供如下不同性能规格的云数据库服务目录

云数据库

 

最大连接数

MySQL

版本5.1或5.5

60

150

300

600

1500

2000

MS SQL Server

版本2008标准版

100

200

400

600

800

 

1200

  1. 云防火墙服务
    1. 技术特性

对于省XX警务云,需要通过多种形式对外提供云资源的出租服务,在考虑省XX警务云整体安全防护的同时,也要关注针对不同租户个性化的安全防护需求,租户的个性化安全部署可以作为云安全服务出租给用户,在满足用户需求的前提下,也要达到可运维、可管理的目的。H3C深入分析多租户云安全防护的需求,提供了两种模式的vFW服务可供选择。

  • 通过高性能防火墙实现IaaS模型下vFW需求

从运维、成本、扩展性的角度考虑,典型的部署模式为通过一台实体或裸机的物理墙进行1:N的虚拟化,将不同的虚拟墙提供给不同的租户,对于租户来讲,就好像拥有了一台独立的具备一定处理能力的实体物理防火墙,租户有独立的管理账号,可以在独立的管理界面,创建个性化的业务防护策略。同时作为一种可运营的资源,类似虚拟机一样,要求能够给虚墙进行资源分配,逻辑的资源包括接口、VLAN,物理的资源包括CPU、内存、存储介质等。虚墙之间要求数据隔离,并且在共享硬件能力的基础上实现所分配能力的保障,也即不同虚墙之间不会出现相互侵占的问题,从而能够实现不同的租户的差异化SLA保证。

在本项目中,我们部署了NFV架构防火墙设备,一方面通过这两台设备实现省XX警务云的整体安全防护;为每个申请安全服务的租户提供独立的vFW服务,租户可在申请防火墙服务时,自主定义FW所需资源和性能指标,如下图所示:

图表63租户申请防火墙服务界面

图表64租户防火墙参数定义

租户对防火墙申请成功后,会独享这个vFW的资源,并且具备自己独立配置、管理所租用vFW的权利。

  • 通过分布式软件防火墙网关实现IaaS下的vFW

随着云计算虚拟化技术的发展,越来越多的云计算服务商开始采取纯虚拟化的网络安全解决方案来满足云租户的安全需求。云计算服务商往往有非常丰富的服务器计算资源,而软件虚拟化安全网关的出现也为租户自行运维管理云中的安全服务提供了技术支撑,典型的部署模型就是VPC模型。云服务提供商给租户提供虚拟机出租,云租户可以通过在云中部署虚拟化安全网关如vFW,实现和公安行业远程分支的VPN互联,使得远程分支用户可以直接访问云中的服务器资源。通过这种方式公安行业可以把租用的计算资源作为公安行业私有云数据中心或者作为公安行业自有私有云数据中心的有效补充实现混合云,实现业务需求和成本的有效平衡。

本项目中,软件vFW部署H3C的vFW1000产品,vFW1000支持多种虚拟平台,基于专业的H3C Comware V7平台,能够监控和保护虚拟环境的安全,以避免虚拟化环境与外部网络遭受内外部威胁的侵害,从而为虚拟化数据中心和云计算网络带来全面的安全防护,帮助公安行业构建完善的数据中心和云计算网络安全解决方案。

  1. 安全策略

云防火墙服务是提供给租户在申请云主机、云存储等服务时配套提供的安全防护服务,所以云防火墙的安全策略定义也要与租户的云服务行为相一致,主要包括外部用户对省XX警务云内部资源的访问控制和省XX警务云内部租户/服务器间的访问控制:

  • 外部用户对省XX警务云资源的访问控制策略

基于租户的安全控制要求 ,配置对内的安全访问控制策略,实现租户通过省卫生专网、公有云、互联网等对省XX警务云内部资源的可控访问

提供租户通过安全VPN通道访问省XX警务云内部资源的接入网关,对接入用户的身份和权限进行认证

提供外部用户访问省XX警务云资源的流量监控和应用层过滤,有效保证省XX警务云基础资源的安全性

配置NAT/NAT Server策略,实现对省XX警务云资源访问的内外部地址转换,并把省XX警务云的对外服务发布到公网上去

  • 省XX警务云内部租户/服务器间的访问控制策略

提供安全策略,保证省XX警务云内部租户、主机、VM之间的默认安全隔离

对省XX警务云内部租户主机/VM间的互访提供可控的安全访问控制策略

对内部资源共享区,配置限制访问/单向访问控制策略

安全控制策略能够随着租户虚机的迁移而同步,保证针对同一资源访问策略的一致性

  1. 技术优势

H3C在项目中提供的云防火墙服务具备如下优势:

  • 具备100G级别云FW服务能力,根据用户需求可以实现性能平滑扩展
  • 云FW设备支持高可靠性部署方式,实现毫秒级的HA双机热备的切换能力
  • 租户可以登录自服务平台并提交云FW的需求,在需求审批通过后,云管理平台将实现为该租户快速申请vFW并实现”分钟级别”的自动化部署
  • 系统支持多达10种以上的云FW服务模板,客户在登录云自助服务门户时,可以结合自身的需求灵活选择各种云FW服务模板,简化了申请的流程
  • 云FW服务模板支持用户自定义能力:客户可以对FW的关键指标如吞吐量,并发连接数目,每秒新建数目及安全策略数目等进行定义
  • 多租户的云FW完全隔离,每个租户的云防火墙服务有独立的配置文件和转发表项,管理平台将针对不同租户发送独立的安全攻击报告,保证了多租户之间的数据安全
  • 虚墙能够单独开启、关闭、重启,而不影响其他虚墙业务处理
  • 能够在线调整虚墙的处理能力,比如在业务不中断情况下调整虚墙的CPU能力占比、内存占比
  • 每个租户云防火墙具备完整的FW功能,能够支持状态检测防火墙和VPN,NAT,攻击防范等功能,各个云防火墙具备独立管理的能力
  1. 云负载均衡服务
    1. 技术特性

随着WEB应用的快速发展和业务量的不断提高,基于HTTP/HTTPS的数据访问流量正在迅速增长,对公安行业各行业数据中心、企业以及门户网站等的访问甚至达到了10Gb/s的级别;同时,服务器网站借助HTTP、FTP、SMTP等应用程序,为访问者提供了越来越丰富的内容和信息,服务器逐渐被数据淹没;另外,大部分网站(尤其电子商务等网站)都需要提供不间断24小时服务,任何服务中断或通信中的关键数据丢失都会造成直接的商业损失。所有这些都对应用服务提出了高性能和高可靠性的需求。

但是,相对于网络技术的发展,服务器处理速度和内存访问速度的增长却远远低于网络带宽和应用服务的增长,网络带宽增长的同时带来的用户数量的增长,也使得服务器资源消耗严重,因而服务器成为了网络瓶颈。传统的单机模式,也往往成为网络故障点。在这种情况下负载均衡技术应运而生,负载均衡可以实现对网络设备和服务器带宽的有效扩展,充分利用多台服务器的业务处理能力,通过合理的调度算法和健康检查双方,可以有效感知服务器的负载并将业务流量调度到最恰当的服务器上,从而提高网络的灵活性和可用性。

在云项目中,部署了支持IaaS架构的云负载均衡设备L1000-C,能够为每个租户提供提供独立的vLB功能,实现租户业务的安全隔离,vLB资源独享也能够保证租户负载均衡服务的性能。

同时,H3C的云vLB解决方案能够支持针对虚机的负载均衡,满足省XX警务云虚拟化云网络资源负载均衡的需要。

用户在申请云服务时,可以根据需求在业务申请界面上选择申请云vLB服务,如下图申请界面所示:

在申请云LB时,可以根据自身需要,配置vLB的指标参数,如vLB数量、吞吐量、服务IP地址等,满足用户vDC自定义的需求。

租户申请完负载均衡服务后,会有申请流程提交到管理员处,管理在评估用户的业务需求、费用等信息后,批准/驳回用户的云负载均衡服务的申请。

  1. 负载均衡策略

租户在申请云负载均衡服务时,可以根据自己业务系统的需要,合理定义负载均衡策略:

  • 吞吐量:100M~2G的吞吐量可自由定义,满足业务系统和计费需求
  • 设置前端虚服务地址和后端实服务器地址,实服务动态添加和删除
  • 针对选定的虚服务,可以选择不同的业务类型:包括协议类型和端口,例如http协议,端口80;包括HTTP、IP、TCP和UDP等类型
  • 选择不同的均衡方式:主要有:轮转算法,最小连接算法,源地址hash算法,目的地址hash算法
  • 设置会话保持方式:会话保持方式包括源地址方法、源地址端口方法、目的地址方法、目的地址端口方法、源地址目的地址方法等
  • 设置健康检查算法:支持设定以下健康检查算法,ICMP-echo、UDP-echo、TCP、FTP、SNMP、DNS、HTTP、ARP、IMAP、POP3、Radius、RTSP、SIP、SMTP、SSL等
  1. 技术优势

快速部署:

租户可以登录自服务平台并提交云负载均衡的服务申请,在申请审批通过后,云管理平台将自动快速下发配置并完成服务交付。

服务自定义:

每个租户可以结合自身的业务需求,选择不同的云负载均衡服务模板,系统默认支持多种服务模板,简化租户的服务提交申请流程。

多租户隔离

每个租户申请的vLB服务在CPU、内存等硬件资源上实现独立保证,并且每个租户仅能配置自己申请的vLB,无法查看和管理其他租户的vLB,实现了多租户的安全隔离。

轻量级部署

支持VMware ESXi、Linux KVM、H3C CAS等多个主流的虚拟平台,充分发挥虚拟化的优势,实现快速部署、批量部署、镜像备份、快速恢复,并且能够灵活迁移。

领先的专业平台架构

业界领先的Comware V7平台,支持丰富的网络和安全功能,能够满足数据中心多租户环境中的应用交付需求。

控制平面和数据平面分离,专门为虚拟环境优化的多核数据转发,更能充分利用计算资源。

模块化的体系架构,开放的网络平台,允许网络按需运行和控制,更容易实现NFV/SDN落地。

和物理网络设备采用统一的软件平台,提供相同的功能特性和一致的管理界面。

 

  1. 云防病毒服务

云防病毒服务系统主要由安全控制中心、查杀服务器(SVM)及虚拟机的无代理安全防护组件构成,产品架构图如下图所示:

 

  1. 防病毒管理

虚拟化防病毒采用了云查杀技术,进行病毒的安全防御。

云查杀引擎,是完全基于大数据和云计算技术,不仅扫描速度比传统杀毒引擎快10倍以上,而且不再需要频繁升级病毒/木马库。只要终端能够连接云(私有/公有),就能实时与云安全数据中心无缝对接,利用服务器端的最新木马库对虚拟机进行扫描和查杀。因此哪怕是最新爆发的木马或病毒,也能在几分钟内捕获并具备查杀能力,而且占用系统资源极小。 实现了用户”零负担”,这不是简单的技术创新,而是安全软件告别”特征库升级时代”的技术革命。

  1. 云查杀检测引擎
  • 云查杀技术的必要性

随着病毒的大量出现,传统的本地病毒库的查杀方式已经无法在本地加载绝大多数病毒样本特征,目前已发现的病毒样本已经远远超过20亿的规模,而目前大多数的终端杀毒软件,受本地存储资源的限制,本地病毒特征库的规模大约在1000万 ~ 2000万左右,这个数字只占不到20+ 亿已发现病毒样本的1%,依靠1%的病毒库去检测互联网中肆虐的病毒,这说明传统的本地病毒库的查杀方式已经无法满足对已知病毒的查杀要求,需要通过云端的海量计算资源与海量存储资源满足对数十亿病毒进行100%查杀的安全需求。

  • 云查杀资源与技术

云查杀技术需要大量的样本资源、计算资源、检测技术资源,如果没有这些资源作支撑,则无法构建高质量的云查杀系统,本质上来说,云查杀系统是一个海量资源系统,这个资源系统中,既包括客户资源,又包括硬件资源与软件算法资源:

  • 样本资源

    构建云查杀系统,需要海量的病毒、木马、僵尸网络等恶意代码样本作为资源支撑,否则,所构建的云查杀系统将因为缺乏足够的病毒样本积累而难以保证对于已知病毒和恶意代码的检测率。本方案中,我们采用的云查杀平台,拥有涵盖了近20年的所有已知的病毒、木马、蠕虫等恶意代码的样本文件,其所积累的去重之后病毒样本数量已经超过20亿。

    样本资源的基础是客户资源,没有足够的客户资源作支撑,无法收集足够的病毒样本文件,只有广泛部署了终端系统的情况下,才能在短期内收集足够数量的恶意代码样本文件,奇虎360在全国拥有超过4亿的终端用户,覆盖了全国终端用户的95%以上,其中绝大多数已经选择加入了奇虎360公司的”云安全计划”,这些遍布全国的海量用户为360提供了丰富、及时的病毒样本资源,保证了云查杀系统病毒样本收集的及时、有效。目前平均来说,一个病毒从首次在国内互联网上出现,到被360云查杀系统捕获之间,只有不到10个小时的时间。

  • 计算资源

    为了构造有效的云查杀系统,需要大量的计算资源进行支撑,以便对搜集到的样本资源进行深入分析,一般来说,一台标准的服务器(配置为:双路16核CPU(Xeon E5-2690,单路8核,主频2.9GHz)、内存16GB(ECC DDR3)、硬盘900GB(SAS接口)),每天(24小时)可处理的样本数量大约在3000万个左右,因此,对于标准1000终端的用户来说,若按照每天每台终端提交10个样本进行深度检测,则大约需要4台服务器组成的云查杀系统才能满足查杀需要。

  • 算法资源

    构建有效了云查杀环境,除了稳定、及时的样本收集资源与足够数量的硬件计算环境之外,还需要先进的未知病毒及恶意代码的检测算法,这样才能够在收集到病毒与恶意代码样本之后,进行有效的分析与处理。因此,对未知病毒与恶意代码的快速检测能力,就成了构建有效的云查杀环境的关键。在本方案中,所提供的云查杀环境集成了大量先进的真对未知病毒与恶意代码的查杀算法,这些算法中,有基于病毒与恶意代码静态样本共性特征的QVM-II算法(该算法采用人工智能与机器学习的方法,对目前已经积累的20多亿病毒样本进行多次切片学习,抽取出病毒与恶意代码的共性特征,建立恶意代码的不同族系模型,该算法在北美、欧洲的多项恶意代码检测能力测评之中名列第一),也有目前主流的动态沙箱深度分析技术,同时还集成了利用未知漏洞进行病毒与恶意代码传播的基于内存分析的动态漏洞利用攻击分析技术,最后,对于非常复杂、难于分析的可疑文件,还会采用具有多年病毒分析与对抗经验的专家分析团队进行彻底分析。以上这些先机的自动化分析技术与方病毒专家团队人工分析的有效结合,多种手段、人机结合,保证了对病毒与恶意代码分析的万无一失。

  1. 人工智能检测引擎

对于病毒和恶意代码的检测,一直存在着两个技术方向,一个是依靠病毒特征匹配的静态检测技术,这种技术的特点是必须依靠已知的病毒特征,一般静态特征匹配的技术适合对已知病毒、恶意代码的检测。另外一种是依靠对病毒行为的动态分析技术,这种技术更适合对未知病毒、恶意代码的检测。这两种技术是目前对病毒进行检测的关键技术,分别实现对已知、未知的病毒及恶意代码检测。

其中采用特征对病毒进行检测的技术又分为两个方向,一个是穷举式病毒特征提取,即针对每个已发现的病毒、恶意代码样本提取各自的病毒特征,这种方式的优点是能够准确识别出已提取特征的病毒与恶意代码,误报率和漏报率都很低。另一种是针对不同族类的病毒及恶意代码提取出共性的族群特征,并以此作为检测依据对恶意代码进行检测。这种方式的优点是不依赖某一个病毒或恶意代码的具体特征,而是提取某一族群的恶意代码共性特征,因此,这种检测方法对于某一病毒与恶意代码族群内的新生病毒具有非常强的检测能力,同时还能对检测出来的病毒与恶意代码进行族系归类。

人工智能检测引擎采用人工智能与机器学习的方法,对目前已经积累的20多亿病毒样本进行多次切片学习,抽取出病毒与恶意代码的共性特征,建立恶意代码的不同族系模型。该技术的主要组成框架如下:

 

  1. 虚拟机安全防护

虚拟化资源池中各个虚拟机计算资源相互独立又可以通过虚拟交换机进行网络通信,因此在对虚拟机进行安全防护时,不仅需要考虑文件安全防护,而且还需要考虑例如宏病毒、内存病毒、注册表病毒、计划任务病毒和驱动类病毒的查杀,无代理安全防护组件可以与外部查杀服务器形成智能威胁联动,可以对上述问题进行有效处理。

  1. 宿主机安全防护

随着新型威胁形态的不断更新,威胁态势也开始呈现全面化、智能化等特点,而宿主机的安全防护一直以来都是虚拟化防护中的空白,天擎虚拟化安全管理系统将轻型代理部署至宿主机的Hypervisor之中,能够有效防范针对宿主机的攻击行为。

  1. 安全策略管理

天擎虚拟化安全管理系统创新的管理架构中首次引入了查杀服务器的角色,由于查杀服务器担负起查杀和更新病毒码的任务,一直以来困扰安全管理员的虚拟化无法差时防护的问题便可以迎刃而解,而且天擎虚拟化安全管理系统可以直接同步虚拟化平台所有树形结构,且安全策略可以根据不同需求进行统一管理和分发,可以大大提升管理运维效率。

 

  1. 云备份服务

在云计算环境中,云备份服务主要分为两类服务,第一类服务是对用户本地数据备份到云端的数据备份服务;第二类服务是对用户运行在云平台上业务应用及数据的备份服务。

第一类云备份服务:这类云备份服务是云服务商为用户提供本地数据备份到云平台上的服务。当用户本地数据因本次磁盘或者病毒等原因造成数据损坏且无法恢复时,可以将备份到云端的数据恢复到本地,从而达到数据恢复的目的。

这样的备份服务,一般用户通过云服务商提供app软件可以自行完成。

第二类云备份服务:这类云备份服务的备份对象主要是数据、云主机和云存储。依据对象的不同,具体的备份服务也不同。例如:

备份对象为数据的备份服务:

  1. 文件备份服务:通过在云主机中部署数据备份软件,实现文件数据的备份服务。
  2. 数据库备份服务:通过在数据库服务器上部署数据库备份软件,或者通过数据库自带的备份工具实现数据库数据的备份。

备份对象为云主机的备份服务:

  1. 通过云主机快照、克隆等技术实现对云主机的备份
  2. 通过复制软件或者存储复制技术实现云主机的备份。

备份对象为云存储的备份服务:

通过存储复制方式实现云存储的备份。