APP下载

企业云上架构与管理思考

2021-07-20张钟平张柯张世超

网络安全技术与应用 2021年6期
关键词:公网网关架构

◆张钟平 张柯 张世超

(1.华电电力科学研究院有限公司 浙江 310000;2.浙江省蓄能与建筑节能技术重点实验室 浙江 310000;3.中国华电集团有限公司 北京 100000)

随着互联网信息技术的快速发展,尤其是“云大物移智链”技术的不断发展和成熟,企业信息化建设逐步向云计算转变,不同的企业在进行数字化转型过程中,要同时面对多种不同类型搭建和管理,并能够最大限度地实现这些云间资源互助和利用,全面支撑业务需求。

1 云上架构的几点考虑

(1)弹性:架构能够根据系统的需求进行弹性的伸缩;

(2)可用:要能够保证系统运行的连续性,避免出现业务中断的情况;

(3)性能:要确保系统能够高效、快速地响应用户的请求;

(4)安全:能够保证云上系统的安全,以防止被黑客攻击;

(5)可管理性:搭建的架构能够便于后续的管理,节省管理的时间和成本;

(6)传统架构和云上架构的设计方法是有明显不同,如图1所示,主要包括:传统架构:解决应用和业务有、无的问题,相对厚重,不连续;云上架构:解决应用和业务多、快、好、省的问题,相对轻便,平滑。

图1 传统与云上设计架构区别

2 云上构建思路

基础资源按类型、需求、安全和性能等方面进行分类,通过虚拟化资源进行业务需求梳理,规划企业云上架构,根据对资源的需求不一致进行云上架构规划:

(1)高可用性和响应速度。高可用设计应包括三种不同的方式,如图2所示,分别是:主从方式、双机互备和集群工作方式。为业务部门创建、分配相应的云化资源,采取冗余设计,保障在资源服务出现故障的情况下,不影响用户业务,提升数据中心对业务部门的响应速度。

图2 高可用设计的三种方式

(2)硬件和性能需求。需要对不同设施云上应用的应用系统资源进行特点分析,将应用分为高性能、高可靠、大流量等不同类型,并按不同系数进行资源配置。

(3)等级保护需求。云环境根据不同等保级别及业务特点,对基础设施云资源进行分级分类。

(4)内外网和不同区域需求。虚拟化技术是平台构建的关键技术,被广泛用于云计算领域中资源按需分配的配置和管理。根据内外网以及不同区域数据需求,在虚拟资源池上进行基础设施云环境规划建设规模。

(5)不同的存储数据类型。对结构化和非结构化数据采用不同的存储设备进行分离存储,降低云资源的投资成本,根据对数据的访问特点,对应配置不同级别的存储设备,可将存储的数据分为热数据、温数据和冷数据 3 类,降低云资源的投资成本[1]。

3 云上网络架构

3.1 专有网络VPC

专有网络VPC(Virtual Private Cloud)是公有云推荐使用的网络类型,专有网络之间逻辑上彻底隔离。VPC 是主要上云考虑产品,主要原因:

(1)隔离的网络环境。VPC 基于隧道技术,实现数据链路层的隔离,为每个租户提供一张独立、隔离的安全网络。不同专有网络之间内部网络完全隔离,只能通过对外映射的IP(弹性公网IP 和NAT IP)互连。

(2)可控的网络配置。用户可以完全掌控自己的虚拟网络,选择IP 地址范围、配置路由表和网关等,实现安全而轻松地资源访问。通过专线或VPN 等连接方式将您的专有网络与传统数据中心相连,形成一个按需定制的网络环境,实现应用的平滑迁移上云和对数据中心的扩展。

(3)灵活的访问范围。如果没有多地域部署系统的要求且各系统之间也不需要通过VPC 进行隔离,可以创建VPN 网关,注册到ETCD 数据库中,各个网络通过注册用户 VPN 网关信息完成网络互连,采用 NAT 技术对外映射,能够灵活控制外部用户访问范围。

3.2 有公网需求的网络架构

VPC 网络下,系统可以通过弹性公网IP、NAT 网关、公网负载均衡(SLB)和云主机固定公网IP 等方式连接公网。

(1)需对外提供服务的系统

单台云主机对外提供服务时,如果只存在单一应用,并且业务较小的时候,单台云主机即可满足需求,可以将应用程序、数据库、文件都部署在该云主机上,为这台云主机绑定一个IP 实现对外提供服务。

当业务流量较大,一台云主机不能支持全部访问流量,需要多台云主机才能支持时,且只需要最简单的负载均衡功能。可创建一个公网负载均衡实例,配置四层(TCP/UDP)监听,并在后端挂载多台云主机来搭建整个业务架构。除了基本的流量分发,应用系统需要将不同的业务流量分发到不同的后端服务器时,可以使用七层负载均衡的域名和URL 转发功能来实现,通过创建一个公网负载均衡实例,配置七层(HTTP/HTTPS)监听,并在后端挂载多台云主机来搭建整个业务架构。

图3 需对外提供服务架构

(2)无公网但主机需主动访问互联网系统

若需要访问公网的云主机数量比较多,对每台云主机分别绑定IP 管理成本高,而且绑定IP 也意味着外部用户可以通过公网访问到云主机,相对不安全。此时使用NAT 网关的SNAT 功能,配置SNAT条目来访问公网。

(3)有IPv6 需求的系统

IPv6 转换(IPv6 Translation Service),是有状态的IPv6 和IPv4网络协议转换服务,通过IPv6 转换服务及四层模式(支持TCP 和UDP 协议),实现快速向IPv6 网络侧用户提供访问服务。

5 云资源统一管理平台

大数据着眼于“数据”,关注实际业务,提供数据采集分析挖掘,看重的是信息积淀[4],即数据存储能力。云计算着眼于“计算”,关注IT 解决方案,提供IT 基础架构,看重的是计算能力,即数据处理能力[2]。

(1)云资源统一管理平台规划建设。在数据中心建设中,通过规划企业统一的云资源管理系统平台,利用云资源的数据汇集、资源服务、运行管理、服务支撑和数据展现等功能,覆盖企业范围内的基础设施云环境。通过基础设施资源、软件平台、业务应用等系统整合,实现企业云资源的融合和统一管理。

图4 企业云资源统一管理平台

(2)云资源运行管理。云资源管理与传统基础设施管理区别很大,云上需要的是智能化、快速交付和高可用性服务能力。基于云资源管理平台重点规范云资源的容量管理、资源调度管理和资源维护管理,设置 6 个主要角色,包括使用、决策、资源审批、容量规划、平台管理和资产管理角色[1]。

5 结束语

云计算的概念伴随着产业互联网,数字转型等热词,已经有了新的概念和意义[3],结合业务需求,规划企业云上系统,分析基础设施层的资源服务能力,结合数据中心实际情况规划分层且统一的云资源管理平台,调整云资源的运行管理方式,为企业构建满足企业按需扩展、易于管理、安全可控的信息化升级解决方案。

猜你喜欢

公网网关架构
基于FPGA的RNN硬件加速架构
浅析大临铁路公网覆盖方案
功能架构在电子电气架构开发中的应用和实践
公网铁路应急通信质量提升的技术应用
基于云服务的图书馆IT架构
信号系统网关设备的优化
如何迎接公网对讲的春天
WebGIS架构下的地理信息系统构建研究
基于公网短信的河北省高速公路数据传输应用
LTE Small Cell网关及虚拟网关技术研究