工业服务器虚拟化集成及安全技术研究
2020-11-10陈婷婷何毅
陈婷婷 何毅
摘要:工业服务器、数据存储、虚拟化集成的过程中需进行系统架构设计、系统组网方案确定,在此过程中会出现许多网络安全防护方面的问题,这些问题可能会对工厂造成极为不利的影响。现主要针对工厂服务器虚拟化进行需求分析,并提出了组网方案、架构设计、虚拟化安全、网络安全相应的技术解决措施和方案。
关键词:服务器;虚拟化;网络安全防护
0 引言
当前,大多数工厂生产网络信息化还处于实际设备控制阶段,若建设新一代数字工厂,有利于有效支撑业务和应用的发展。利用多种计算机应用技术、智能化应用技术、虚拟化技术,不断提高安全技术能力,逐渐建立比较完备的网络安全制度,部署比较全面的网络安全防护措施,可以提升网络安全保障能力。同时,应建设新一代运维体系,提升运维效率,降低运维风险。因此,有必要合理规划与建设生产指挥调度中心、能源管理监控中心、物流监控中心、安保监控中心等,实现对企业全区域、全事件、全过程、全时段的数字化管理和控制,达到“精细化”和“智能化”,建设“智能化生产、数字化管理”的工业工厂[1]。
1 服务器、存储及虚拟化集成系统
工业厂区内可考虑建设一套虚拟化存储系统,为生产车间、加工车间、物流的数据提供一个安全的存储空间。
1.1 系统概述
服务器、存储及虚拟化系统是为了降低成本,利用云平台虚拟化技术将IT基础设施中计算、存储、网络资源虚拟化,资源池化管理、统一管理、资源共享、灵活分配,对业务服务器进行整合和统一调配,以适应快速发展的业务需求,提高设备利用率和维护效率。
1.2 虚拟化集成系统的特点
对于工厂的数据中心IT基础设施进行虚拟化具有以下几个明显特点:
(1)聚焦工业工厂核心生产。传统系统建设周期长,IT投资成本高,运维成本高;而通过云平台建设能大幅减少资源配置、人财物投入,工厂投入传统基础建设与维护的核心资源就能释放出来,投入生产。
(2)虚拟化集成即绿色数据中心,节省资源,运维成本低。数据中心的虚拟化,能明显提高资源利用率减少硬件设备的数量,降低硬件成本及能耗,减少供电、散热等开支;同时云平台易扩展、设备易替换,提升了设备资源利用率,云平台具有自动发现故障并及时恢复的功能,从而具备了一定的自维护能力,有效降低了维护成本,从而带来了净利润。
(3)虚拟化集成系统安全可靠。相对于传统的IT系统,虚拟化技术在网络安全、设备安全、系统连续性、系统可靠性方面有特殊的设置,是一个相对安全的系统。
(4)资源池化管理,灵活使用。不需要使用该业务系统时,可以通过删除虚拟机将资源重新释放到资源池,以确保系统安全。
1.3 需求分析
实时数据库服务器、关系数据库服务器、应用服务器、Web服务器组成了工厂中主要的中控及能源系统的虚拟服务器及存储系统。虚拟服务器的操作系统版本要在Windows Server 2012 R2 64位以上,至少两个虚拟网卡组成一个虚拟服务器。采用双机热备模式,集中布置在信息中心机房。其他管理系统(比如设备管理等)提供的虚拟服务器及存储系统要包括数据库服务器、应用服务器、Web服务器等。
2 服务器、存储及虚拟化集成的实现
2.1 虚拟化存储方案设计
工厂云平台的应用可包括Web系统、Mail系统、ERP系统、数据库等。数据中心虚拟化之后,对外提供的功能比传统数据中心更多,管理更加聚焦,而数据中心运行的用户应用不会发生业务逻辑变化,应用系统会平滑迁移到云平台[2]。例如华为是将服务部署到虚拟化的高性能物理服务器上提供方案,以实现高可靠性、智能化目标。整体逻辑架构如图1所示。
该解决方案从逻辑上分为产品解决方案和专业服务解决方案,其中主要的硬件解决方案是从相应厂商提供的数据中心基础层机房建设到供电、到散热方案,再到数据中心使用的服务器(刀片式&机架式)、存储设备、网络设备、安全设备等全套硬件的产品。
2.2 系统组网方案设计
经分析研究,工厂虚拟化系统云平台组网方案的核心交换机设置VLAN的IP地址,接入交换机划分VLAN,做二层转发承担核心层和汇聚层双重任务,形成扁平化的二层网络架构(核心层、接入汇聚层)。扁平化二层架构网络拓扑结构简单,设备使用少,转发效率高。利用虚拟集群和堆叠技术,链路环路问题得到解决,网络安全可靠性相应提高。云平台网络的总体方案如图2所示。
3 系统安全防护技术
3.1 安全框架
为保障系统安全,利用分层和纵深防御的思想,采用强化网络隔离和虚拟隔离的完整的安全架构,避免出现安全真空。分层采用多种方法、多个区域执行安全性策略,以保障单点安全故障不发生。纵深使用多重防御策略,一层防御不够时,另一层防御将会启动,提供多道防线。根据网络层次分为物理、主机/虚拟化、网络、业务和数据、管理维护等几个层面,满足合规性等需求,进行数据中心安全解决方案的部署。数据中心安全解决方案如图3所示。
3.2 虚拟化安全
虚拟机和物理主机,不同部门、不同车间的虚拟机和虚拟机之间是安全地隔离开来的,即虚拟化隔离,这可以从根本上保障虚拟机安全。需要注意的是,我们应部署一些基于主机的虚拟防火墙/IDS/IPS,预防云内部虚拟机之间的恶意攻击,保障虚拟系统安全。
3.3 网络安全
从网络隔离、攻击防护、传输安全等多个角度出发,考虑系统可能遭受的各种类型的DOS攻击和数据遭窃听和篡改等威胁,计算、存储、管理、接入等域利用子网划分、网络隔离手段,单独物理组网,保证网络安全性,避免网络风暴等问题扩散。部署隔离设备、边角防护、堡垒机、日志审计、数据库审计、入侵检测等设备进行提前感知防护。
4 结语
工廠服务器虚拟化集成系统便捷、高效,节省资源。虚拟化技术在网络安全、设备安全、系统连续性及可靠性等方面具备优势,是一个相对安全的系统。通过安全域划分、VPC隔离方式、边界防护、虚拟机隔离、系统加固、安全配置等技术措施,可以安全可靠地保障集成系统运行。
[参考文献]
[1] 栗丰斌.虚拟化技术在卷烟工厂信息化系统建设中的应用初探[J].电子技术与软件工程,2018(9):184-185.
[2] 徐冰.计算机数据存储虚拟化技术优化研究[J].无线互联科技,2020,17(5):146-147.
收稿日期:2020-08-18
作者简介:陈婷婷(1991—),女,贵州铜仁人,助理工程师,主要从事网络信息安全工作。