浅谈数据中心基础平台与安全规划
2019-12-16汤剑胡洪新
汤剑 胡洪新
摘要:描述基础平台可能存在的安全问题,通过计算资源池分隔、应用分类、主机多层次防护、计算资源预测来实改善安全现状。
关键词:虚拟化;数据中心;网络;安全
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2019)29-0023-02
信息化建设与网络安全是现在政府及企事业单位都非常重视的一项工作,信息化是提高业务运作效率与便捷性的重要手段,推进信息化建设的基础条件是装备信息化基础设备及网络安全,网络架构与计算资源都是必要的组成部分,如何装备计算资源与有效保障网络安全是信息化过程中的一项必要工作。
1问题现状
随着教育信息化2.0的发布,高校信息化作为重要参与者近年来在网络安全与信息化方面在不断建设。经常碰到的一个问题怎么兼顾计算资源有效分配与保障网络安全,突出的问题有这些:
1.1网络架构、计算及主机资源缺少统一网络安全防护规划
数据中心基础平台的网络架构、计算资源、应用服务等一般都不是一步到位建设完成,从最初的只有一套数据中心主网络设备和一套计算资源,逐到发展到考虑业务可持续性,增加冗余的数据中心第二套主网络设备,实现网络层的双活可用,避免出现网络单点故障,数据中心网络在逻辑架构划分上早期一般仅考虑了业务可运行,因为当时的应用业务量相对较少,这样的划分方式不会现出明显问题,随着建设的应用业务域越来越多,逐步暴露出了较多问题,一些不同服务级别的应用在同一个网段下,一些非关键业务的应用故障或安全事件直接会影响到整个网段内所有业务的运行。
计算资源是随着业务应用的需求的增加而同步进行扩建,在扩展建设时要保证原来应用业务的可持续性,较多的条件限制了计算资源的有效调整分配,较明显的一个现象是存储资源分配的不均衡,一般初始化时计算资源的量为基准进行存储资源的划分与配置,从早期以SAN存储服务为主发展到现在的SAN、NAS服务方式并行,这种方式下存储的划分需要与计算资源、应用主机需求的相结合,并随着应用的增加逐步划分NAS卷,这种需求情况下前期一步到位划分的存储资源显得有些被动。计算资源早期建设规模较小,一般都划入一个大的计算池,后期再被充的计算资源也直接划入同一池,在这种情况下可能出现非关键应用与关键应用使用同一计算主机的现象,偶发性的非关键应用虚机故障导致计算主机资源被异常大量消耗,进行影响在同一计算主机的基础平台管理软件运行,导致计算资源池整体陛能下降及部分资源控制失效。
1.2项目的计算资源需求无法预估
早期计算资源的增加是和应用项目同步进行建设,即一个项目包含基础计算资源和应用业务软件,同项目建设带来的问题是每个项目采购的基础计算资源都不同且管理不便,随着虚拟化大量推广及应用的快速建设,数据中心基础计算资源建设作为单独基础建设项目建设,建议的方式是虚拟化计算集群为主,但建设的计算资源量与实际应用需求的量往往不能匹配,因为信息化建设的加速、大数据分析应用、物联网应用的普及,对计算资源的需求较以前传统应用而言需求量已不同,前期计算资源的建设是按照应用项目的数量来进行大概预计,这种简单的预估方式对于前期应用基本可以应付,但大数据分析应用、物联网应用对计算资源的相对高要求,这种预估数量无法较好匹配多用途应用对计算资源的需求量。
2解决方案
面对计算资源缺乏安全规划与资源需求无法适当预测问题,通过优化基础平台架构的方式来改善现状,主要通过以下几个方面
2.1依据业务架构在资源层实现分隔
按照应用业务的架构一般分为数据库层、中间件层、应用层,规划数据中心基础平台计算池时按照这样的分类进行计算资源池的物理模块化分隔,数据库层专门建立一个计算池且单独建立物理区域,在该计算池配置2个以上高性能计算主机节点均衡计算负载,中间件层建设专用逻辑计算池包含2个以上高性能节点,应用软件资源池由其他的剩下的计算节点构成,这三个池之间的物理设备分布不同位置,各自连接不同的存储资源池,计算资源池过网络核心设备进行互联。
2.2按业务服务层次实现业务域的分级
在具体的业务逻辑层对上面划分的三个域进行业务细化配置,在数据库层划分为核心数据库与交互数据库,核心数据库区域存放业务系统使用的核心数据,仅限相关业务系统访问并拒绝其他访问,交互数据库用于应用系统之间数据库交互,有些系统因为设计不规范,还需要让应用客户端直接访问数据库,交互数据库层主要用来解决数据中间库及应用过滤问题,配置策略相对宽松,核心数据库与交互数据库的计算资源库实现逻辑隔离。
应用层的资源池按照业务划分为非常重要应用、较重要应用、一般应用,非常重要的应用如网络认证平台、一卡通核心平台、统一身份认证平台、应用数据交换平台、支付交费平台等,该类应用需要配置在高性能的计算节点及配置多个计算节点应对负载,较重要应用包括一些使用些量大、影响面广的应用,一般应用包括一些使用范围相对小及使用频率较低的应用,较重要应用配置多个计算节点用于用负载均衡与冗余,一般应用配置在一些性能一般的单计算节点池。
2.3资源规划与网络安全同行
完成上面业务逻辑层面的划分后,在网络层面依据业务进行细化网段划分,划分时需要考虑到网络安全的同步规划、同步建设、同步使用,数据层划分出核心数据段、交互数据库段,该网段必须是物理连到数据中心核心交换,通过数据中心核心交换与应用通信,这种部署方式可以较好满足数据库审计与数据库防火墙的透明部署要求,起到保护数据库的网络安全目的,实现资源的第一层防护。在应用逻辑层将非常重要应用、较重要应用、一般应用分别划分在分隔较远的不同网络区段,便于后期在流量监控分析时清晰的识别流量来源,在网络段层配置粗策略的安全防护或隔离规划,实现资源的第二层防护。结合虚拟计算资源平台的SDN网络功能在每应用主机上层配置主机安全防火墙,做到来源地址、目的地址、目的端口的精细化控制,此功能区别于操作系统自身防火墙功能,不受操作系统的影响,在计算资源平台与虚拟网络层实现安全集中访问管理,以上功能完成资源的第三层防护,数据中心基础平台出口网络配备安全WAF、IPS防护设备、防毒墙等实现区域间的网络安全防护。
2.4计算资源及应用变动统计分析
建立计算资源基础库、应用资源信息库,在计算资源基础库中存放计算资源的基本信息,包括资源的创建时间、CPU容量、内存大小、挂载的存储大小,应用资源信息库存放应用主机的基本信息,包括应用主机的创建时间、应用所属项目、主机用途、CPU、内存、磁盘容量、是否在线等信息。建立应用项目虚拟主机需求模板库,在模板库中存放多个项目模板,如普通应用类模板包含项目所需虚机平均数量、项目所需磁盘平均容量等指标,如大数据应用模块包含项目所需虚机平均数量、项目所需磁盘平均容量等指标,每当新建应用资源项目时,必须先进行项目模板类型选择,每次新建完一批项目应用主机后,定期更新模板数据库的虚机及磁盘容易平均值。项目的建设周期一般为一年一批次,每半年进行一次计算资源、应用主机信息的信息统计,并基于本年度项目的分类信息及历史年度的应用增长速率分析预测,计算出当前计算资源池可支撑的服务周期、下一年可能建设的项目类型偏好与计算资源需求,为后期的基础平台计算资源扩建提供参考。
3运行效果
经过实际环境的计算资源架构改善及网络安全同步规划,使用基础平台兼顾信息系统架构与网络安全要求,应用资源的安全性得到较大的改善,数据库中心区域应用系统被恶意攻击的宕机时件大量减小,借助三层防护机制操作系统出现漏洞时也能稳步应对,大部分情况都是相对安全可控,遇到非常严重的情况时可通过物理隔断关联的计算资源池来保障基础平台整体安全。通过计算资源及应用变动统计分析实现未来年度计算资源需求的初步可预测,改善了前期基础平台资源完全被动及冗余建设的现状,总体初步提升基础平台的安全层次及计算资源建设的合理化與标准化水平。
在实际实现过程中也发现有不少问题,三层防护机制可以适当有效提升应用与网络安全,但部署应用主机时间带来了额外分类工作量,计算资源的需求预测未细化考虑资源池分隔需求,资源池分隔会带来额外的资源浪费,如何在网络安全与计算资源最大化利用上达到较优状态是较难的问题,如何规划更合理的基础平台计算资源架构来满足网络安全、监测、预警、审计、防护的及快速部署的要求是今后继续努力的方向。