全栈专属云解决方案应用研究
2021-04-14吕书林赵军生崔云龙任高强
吕书林,赵军生,崔云龙,高 平,任高强
(中国移动通信集团设计院有限公司 河南分公司,河南 郑州 450000)
0 引 言
在政策、经济等因素推动下,云计算技术发展速度越来越快,云原生技术和架构不断演进和成熟,云服务给企业带来的低成本、高稳定性、强拓展性等优势越来越明显,促进了企业上云数量不断提升。基于企业技术能力、成本费用、安全隐私等多种因素考量,传统IT与云并存,私有云、公有云、专属云以及混合云部署模式并存会是短期内云计算发展一大趋势[1]。企业IT架构如图1所示。
图1 企业IT架构
私有云是为某一个客户单独建设的,客户的计算设备、存储设备、网络设备等都部署在自建机房或托管在运营商的机房。私有云同互联网物理隔离,具有很高的安全可靠性。但私有云定制化需求多,建设、维护成本高,同时在云原生技术等方面的发展演进不及公有云。全栈专属云一般与公有云保持统一架构、运维以及应用程序接口(Application Program Interface,API)等,继承了公有云大规模商用的成熟架构、稳定可靠、开放兼容,满足企业核心业务上云对资源隔离、安全保护等的要求,为客户提供与公有云一致的产品与服务体验[2]。全栈专属云主要面向大中型企业,覆盖交通、医疗、金融、能源等重点行业。云应用场景对比如表1所示。
表1 云应用场景对比
1 整体解决方案
1.1 系统架构
全栈专属云以云服务租赁方式为客户提供资源隔离的云产品和统一运维服务,满足企业核心业务上云需求,系统架构如图2所示。
图2 系统架构
基础资源主要包括计算、存储、网络、安全等软硬件基础资源,通过虚拟化技术实现资源的弹性调度,提高资源利用率。云服务主要包括为客户业务提供的基础设施即服务(Infrastructure as a Service,IaaS)、平台即服务(Platform as a Service,PaaS)以及软件即服务(Software-as-a-Service,SaaS),同时为客户提供统一Console服务,客户根据业务系统部署需求对全栈专属云的计算、存储、网络等资源进行合理分配和使用。同时,系统还提供标准API接口,供客户业务系统二次开发使用[3]。全栈专属云可共享公有云统一运维体系,接入公有云统一运维监控平台,为运维工程师提供云资源的日常维护需求,统一运维,降低成本。
1.2 网络架构
全栈专属云在网络架构规划上采用层次化、模块化的方式,便于灵活复制、规模组网。整个网络在架构设计上分为出口层、互联层、各业务POD网络以及管理网[4]。全栈专属云采用软件定义网络(Software Defined Network,SDN)组网,资源池网络分为底层网络(Underlay)和SDN重叠网网络(Overlay)。SDN解决方案可提升网络规模和网络虚拟化能力,为云业务系统提供自动开通、配置和管理的网络服务[5]。全栈专属云逻辑架构如图3所示。
图3 全栈专属云逻辑架构
全栈专属云网络架构如图4所示。
图4 全栈专属云网络架构
出口层负责与外部网络的互联,保证数据中心内部网络高速访问互联网及IP承载网,并对数据中心内网和外网的路由信息进行转换和维护[6]。IP承载网CE路由器南向与核心交换机互联,北向与IP承载网互联。CE路由器与IP承载网接入路由器设备进行EBGP对接,设备横联通过开放式最短路径优先(Open Shortest Path First,OSPF)协议打通loopback地址建立IBGP邻居保护链路[7]。互联网接入路由器双主部署,接入路由器与互联网骨干路由器间运行EBGP,设备横联运行OSPF+IBGP,接入路由器与核心交换机运行EBGP。接入路由器创建Internet VRF,用于承载Underlay业务公网需求流量。互联网接入路由器旁挂抗DDoS流量检测及清洗设备,其中与抗DDOS流量检测采用netflow对接,将流量送至检测设备,检测设备和清洗设备再与管理中心联动实现DDOS攻击流量的引流。此外,与流量清洗设备采用IBGP方式进行流量牵引,通过策略路由方式进行流量回注[8]。
核心交换机承担着全栈专属云南北向和东西向流量的转发。核心交换机和互联网接入路由器运行EBGP,规划用于承载虚机公网流量的VPN路由转发表(Virtual Routing Forwarding,VRF)[9]。核心交换机和内网防火墙运行IBGP,规划VRF对租户Overlay流量至内网防火墙的安全防护,同时规划VRF引导Overlay访问Underlay的流量。核心交换机和SDN网关运行EBGP,针对不同流量划分不同VRF,引导Overlay流量访问Underlay资源或公网。核心交换机旁配置入侵防御系统(Intrusion Prevention System,IPS),将流量镜像至IPS进行流量检测和抓包分析。
管理域和各业务逻辑POD内成对TOR(Top of Rack)交换机进行M-LAG部署,TOR与核心交换机之间通过EBGP传递路由。TOR交换机对核心交换机宣告各类服务器的网关地址段,SDN组件设备宣告VTEP地址。管理域管理核心流量经防火墙和核心交换机对接,引导管理流量和IP承载网互访。
1.3 安全方案
全栈专属云提供符合客户要求的安全架构,满足用户业务的安全可靠性及数据完整性等安全需求,向用户提供全栈立体安全防御。全栈专属云系统架构中的防火墙、IPS、抗DDOS等安全设备和系统从设备核心部件到双机部署方式,均采用高可靠性的设计方案,以满足云业务的安全可靠运行。全栈专属云向用户提供一个全方位立体的安全运行环境,提供系统安全、网络安全、业务安全、业务数据安全以及内容安全5个方面的坚实保障[10]。为满足不同应用对网络接入的不同安全隔离要求,根据业务系统的不同安全等级对专属云的资源划分安全域,包括互联网接入域、核心交换域、业务数据域以及管理维护域等。
2 典型应用场景
全栈专属云可以为不同规模、不同行业的用户提供灵活、可扩展的行业解决方案,能够满足金融、医疗等核心业务上云时对数据隔离部署等的安全需求,并向客户提供统一的运维管理功能。全栈专属云行业需求及应用场景如表2所示。
表2 全栈专属云行业需求及应用场景
3 结 论
综上所述,对运营商全栈专属云的整体解决方案进行了研究,包括系统架构、网络架构及安全方案等,同时分析了全栈专属云的优势和应用场景,对有安全合规上云诉求的大中型企业提供相应的方案参考,具有一定现实意义。