服務(wù)器虛擬機(jī)存儲(chǔ)池安全 虛擬機(jī)存儲(chǔ)策略

背后的力量 | 華云數(shù)據(jù)為東方證券IT架構(gòu)轉(zhuǎn)型升級(jí)保駕護(hù)航

隨著數(shù)字化經(jīng)濟(jì)浪潮的持續(xù)推進(jìn)，以金融 科技 為引導(dǎo)的創(chuàng)新已全面崛起，金融業(yè)正結(jié)合新技術(shù)重塑IT架構(gòu)、革新應(yīng)用，借數(shù)字化轉(zhuǎn)型贏得新機(jī)遇。尤其是證券行業(yè)，新技術(shù)的發(fā)展給證券行業(yè)帶來(lái)了商業(yè)模式和業(yè)務(wù)形態(tài)的變化，促使證券公司一方面采用創(chuàng)新平臺(tái)，不斷敏捷開發(fā)各類應(yīng)用，另一方面還要兼顧改造、升級(jí)現(xiàn)有的生產(chǎn)系統(tǒng)，使其能夠更具備運(yùn)行穩(wěn)定可靠、高效擴(kuò)展的IT能力，進(jìn)而支撐業(yè)務(wù)成長(zhǎng)。

創(chuàng)新互聯(lián)公司網(wǎng)站建設(shè)公司，提供網(wǎng)站建設(shè)、成都網(wǎng)站制作，網(wǎng)頁(yè)設(shè)計(jì)，建網(wǎng)站，PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);可快速的進(jìn)行網(wǎng)站開發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展；專業(yè)做搜索引擎喜愛(ài)的網(wǎng)站，是專業(yè)的做網(wǎng)站團(tuán)隊(duì)，希望更多企業(yè)前來(lái)合作!

東方證券是一家經(jīng)中國(guó)證券監(jiān)督管理委員會(huì)批準(zhǔn)的綜合類證券公司，提供證券、期貨、資產(chǎn)管理、理財(cái)、投行、投資咨詢及證券研究等綜合金融服務(wù)的上市證券金融控股集團(tuán)。同時(shí)秉承“團(tuán)結(jié) 進(jìn)取 務(wù)實(shí) 高效”的企業(yè)精神，致力于“成為具有行業(yè)一流核心競(jìng)爭(zhēng)力、為客戶提供綜合金融服務(wù)的現(xiàn)代投資銀行”。

東方證券信息化架構(gòu)采用軟件定義及彈性模塊化設(shè)計(jì)來(lái)重塑業(yè)務(wù)體系，同時(shí)三線并進(jìn)：私有云、敏捷開發(fā)（包含容器）、大數(shù)據(jù)支撐著業(yè)務(wù)發(fā)展。利用多數(shù)據(jù)中心多集群部署實(shí)現(xiàn)異地容災(zāi)及數(shù)據(jù)備份，并結(jié)合系統(tǒng)監(jiān)控和智能運(yùn)維實(shí)現(xiàn)了運(yùn)維智能化茄弊乎及數(shù)據(jù)可視化。

業(yè)務(wù)驅(qū)動(dòng)基礎(chǔ)架構(gòu)創(chuàng)新升級(jí)

從2014年開始，東方證券開始使用超融合架構(gòu)，從國(guó)外的知名廠商到國(guó)內(nèi)廠商，東方證券在超融合節(jié)點(diǎn)數(shù)量上也是行業(yè)前列。隨著超融合使用的深入，東方證券不僅需要超融合實(shí)現(xiàn)資源基礎(chǔ)功能，還要從應(yīng)用數(shù)據(jù)以及存儲(chǔ)機(jī)制上，為業(yè)務(wù)提供更高的性能顫悉以及多樣化數(shù)據(jù)冗余機(jī)制。

華云數(shù)據(jù)安超OS在東方證券進(jìn)行了多輪穩(wěn)定性及可靠性測(cè)試，提供了虛擬機(jī)基礎(chǔ)資源動(dòng)態(tài)分配，在數(shù)據(jù)存儲(chǔ)上支持全閃與混閃磁盤配置，實(shí)現(xiàn)了自定義存儲(chǔ)數(shù)據(jù)塊大?。?K 32K）、數(shù)據(jù)副本數(shù)自定義以及機(jī)架感知等多種高級(jí)功能，在應(yīng)用性能上和數(shù)據(jù)保護(hù)上都較之前都有一定提升，整個(gè)方案架構(gòu)得到了客戶的一致認(rèn)可。

搭建超融合架卜啟構(gòu) 支持業(yè)務(wù)發(fā)展

華云數(shù)據(jù)利用安超OS為其構(gòu)建的超融合架構(gòu)，基于2U融合服務(wù)器，提供計(jì)算存儲(chǔ)供給和管理能力，并分集群進(jìn)行部署，利用現(xiàn)有管理平臺(tái)進(jìn)行集中管控。安超OS部署在虛擬化管理程序中，能夠?qū)崿F(xiàn)各個(gè)服務(wù)器中物理存儲(chǔ)資源集中，形成統(tǒng)一存儲(chǔ)資源池進(jìn)行管理。同時(shí)，安超OS提供存儲(chǔ)池來(lái)實(shí)現(xiàn)以虛擬機(jī)為中心的 IT基礎(chǔ)設(shè)施管理，從而填補(bǔ)了存儲(chǔ)基礎(chǔ)設(shè)施和虛擬化平臺(tái)之間的差距，帶來(lái)了架構(gòu)高效靈活性和穩(wěn)定性。

架構(gòu)優(yōu)勢(shì)

數(shù)據(jù)保護(hù)的七種容錯(cuò)機(jī)制

華云數(shù)據(jù)安超OS在架構(gòu)上采用全容錯(cuò)架構(gòu)設(shè)計(jì)，提供端到端的容錯(cuò)和容災(zāi)方案。通過(guò)數(shù)據(jù)檢驗(yàn)、網(wǎng)絡(luò)容錯(cuò)、緩存容錯(cuò)、數(shù)據(jù)容錯(cuò)、節(jié)點(diǎn)容錯(cuò)、機(jī)架容錯(cuò)及集群容錯(cuò)，7個(gè)環(huán)節(jié)去解決數(shù)據(jù)容錯(cuò)和數(shù)據(jù)丟失的風(fēng)險(xiǎn)，實(shí)現(xiàn)了對(duì)數(shù)據(jù)的多重保護(hù)。

針對(duì)應(yīng)用類型對(duì)數(shù)據(jù)塊大小設(shè)置

塊的大小或內(nèi)存頁(yè)的大小決定超融合數(shù)據(jù)存儲(chǔ)上虛擬機(jī)的最小空間分配單位。超融合數(shù)據(jù)存儲(chǔ)上通常默認(rèn)頁(yè)面大小為 4K。安超OS在配置過(guò)程中提供一個(gè)選項(xiàng)，以配置超融合集群數(shù)據(jù)存儲(chǔ)的頁(yè)面大小和部署到數(shù)據(jù)存儲(chǔ)的虛擬機(jī)磁盤（VMDK）的默認(rèn)頁(yè)面大小。

數(shù)據(jù)壓縮算法及副本

平臺(tái)提供3種虛擬機(jī)的壓縮算法以及2種數(shù)據(jù)副本。通常使用lz4來(lái)實(shí)現(xiàn)數(shù)據(jù)壓縮，另需要更高的壓縮率可選擇gzip_high 或者 gzip_opt，來(lái)提升存儲(chǔ)的利用率；磁盤的2副本與3副本的混合設(shè)置，為應(yīng)用系統(tǒng)提供更加多樣化的存儲(chǔ)機(jī)制；

虛擬化配置策略

安超OS 的條帶化策略，與虛擬機(jī)相關(guān)的虛擬磁盤的配置會(huì)帶來(lái)性能提升。每個(gè)虛擬機(jī)配置多個(gè)虛擬磁盤將提高超融合集群中每個(gè)物理磁盤的利用率，從而提高總集群性能。此外，安超OS超融合在Vsphere環(huán)境中進(jìn)行了優(yōu)化，以實(shí)現(xiàn)與半虛擬SCSI控制器連接的數(shù)據(jù)虛擬磁盤。

提升IT能力 帶來(lái)多重收益

憑借強(qiáng)大的產(chǎn)品自研能力以及在金融領(lǐng)域積累的實(shí)踐經(jīng)驗(yàn)，在此次項(xiàng)目中，華云數(shù)據(jù)利用安超OS全面滿足東方證券敏捷業(yè)務(wù)對(duì)基礎(chǔ)架構(gòu)的需求，提供全方位一站式、全生命周期服務(wù)，7x24+360 的技術(shù)支持保障系統(tǒng)的連續(xù)性。

華云數(shù)據(jù)幫助東方證券提升了IT能力，實(shí)現(xiàn)業(yè)務(wù)變革，帶來(lái)了極大的收益和價(jià)值，同時(shí)借助東方證券現(xiàn)有的云管理平臺(tái)，實(shí)現(xiàn)了“一云多棧，綠色低碳”，響應(yīng)金融 科技 發(fā)展規(guī)劃（2022-2025）中“數(shù)字驅(qū)動(dòng)、智慧為民、綠色低碳、公平普惠”為發(fā)展原則。

作為眾多金融 科技 行業(yè)中的典型代表，東方證券一直以來(lái)都走在數(shù)字化轉(zhuǎn)型的前沿。像此次華云數(shù)據(jù)助力東方證券搭建云平臺(tái)、升級(jí)IT基礎(chǔ)架構(gòu)也是一次有力印證。對(duì)于東方證券來(lái)說(shuō)，華云數(shù)據(jù)不僅為其業(yè)務(wù)數(shù)字化轉(zhuǎn)型提供核心力量，還推動(dòng)了證券行業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程，引領(lǐng)行業(yè)金融 科技 發(fā)展。

金融數(shù)字化已經(jīng)從技術(shù)革命開始轉(zhuǎn)變?yōu)橐I(lǐng)業(yè)務(wù)高質(zhì)量發(fā)展與體系化服務(wù)的戰(zhàn)略引擎。華云數(shù)據(jù)作為金融數(shù)字化轉(zhuǎn)型背后堅(jiān)實(shí)的力量，未來(lái)將不斷 探索 、不斷創(chuàng)新，為金融領(lǐng)域及證券行業(yè)提供安全合規(guī)、穩(wěn)定可靠、實(shí)現(xiàn)快捷、極速易用、易于擴(kuò)展的產(chǎn)品及解決方案，持續(xù)助力東方證券等金融用戶引領(lǐng)數(shù)字化轉(zhuǎn)型浪潮，保持企業(yè)競(jìng)爭(zhēng)力及成長(zhǎng)活力，拓展出更多的經(jīng)濟(jì)價(jià)值和 社會(huì) 效益。

#華云數(shù)據(jù)#

云計(jì)算基礎(chǔ)架構(gòu)

云計(jì)算不僅是技術(shù)，更是服務(wù)模式的創(chuàng)新。云計(jì)算之所以能夠?yàn)橛脩魩?lái)更高的效率、靈活性和可擴(kuò)展性，是基于對(duì)整個(gè)IT領(lǐng)域的變革，其技術(shù)和應(yīng)用涉及硬件系統(tǒng)、軟件系統(tǒng)、應(yīng)用系統(tǒng)、運(yùn)維管理、服務(wù)模式等各個(gè)方面。

IaaS(基礎(chǔ)架構(gòu)即服務(wù))作為云計(jì)算的三大部分之一，將基礎(chǔ)架構(gòu)進(jìn)行云化，從而更好的為應(yīng)用系統(tǒng)的上線、部署和運(yùn)維提供支撐，提升效率，降低 TCO。同時(shí)，由于IaaS包含各種類型的硬件和軟件系統(tǒng)，因此在向云遷移過(guò)程中也面臨前所未有的復(fù)雜性和挑戰(zhàn)。那么，云基礎(chǔ)架構(gòu)包含哪些組件?主要面臨 哪些問(wèn)題?有哪些主要的解決方法呢?

一、云基礎(chǔ)架構(gòu)

如圖1所示，傳統(tǒng)的IT部署架構(gòu)是“煙囪式”的，或者模肆叫做“專機(jī)專用”系統(tǒng)。

在這種架構(gòu)中，新的應(yīng)用系統(tǒng)上線的時(shí)候需要分析該應(yīng)用系統(tǒng)的資源需求，確定基礎(chǔ)架構(gòu)所需的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等設(shè)備規(guī)格和數(shù)量，這種部署模式主要存在的問(wèn)題有以下兩點(diǎn)：

硬件高配低用。考慮到應(yīng)用系統(tǒng)未來(lái)3～5年的業(yè)務(wù)發(fā)展，以及業(yè)務(wù)突發(fā)的需求，為滿足應(yīng)用系統(tǒng)的性能、容量承載需求，往往在選擇計(jì)算、存儲(chǔ)和網(wǎng)絡(luò) 等硬件設(shè)備的配置時(shí)會(huì)留有一定比例的余量。但硬件資源上線后，應(yīng)用系統(tǒng)在一定時(shí)間內(nèi)的負(fù)載并不會(huì)太高，使得較高配置的硬件設(shè)芹胡備利用率不高。

整合困難。用嫌碼攔戶在實(shí)際使用中也注意到了資源利用率不高的情形，當(dāng)需要上線新的應(yīng)用系統(tǒng)時(shí)，會(huì)優(yōu)先考慮部署在既有的基礎(chǔ)架構(gòu)上。但因?yàn)椴煌膽?yīng)用 系統(tǒng)所需的運(yùn)行環(huán)境、對(duì)資源的搶占會(huì)有很大的差異，更重要的是考慮到可靠性、穩(wěn)定性、運(yùn)維管理問(wèn)題，將新、舊應(yīng)用系統(tǒng)整合在一套基礎(chǔ)架構(gòu)上的難度非常大， 更多的用戶往往選擇新增與應(yīng)用系統(tǒng)配套的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)等硬件設(shè)備。

這種部署模式，造成了每套硬件與所承載應(yīng)用系統(tǒng)的“專機(jī)專用”，多套硬件和應(yīng)用系統(tǒng)構(gòu)成了“煙囪式”部署架構(gòu)，使得整體資源利用率不高，占用過(guò)多的機(jī)房空間和能源，隨著應(yīng)用系統(tǒng)的增多，IT資源的效率、擴(kuò)展性、可管理性都面臨很大的挑戰(zhàn)。

云基礎(chǔ)架構(gòu)的引入有效解決了傳統(tǒng)基礎(chǔ)架構(gòu)的問(wèn)題(如圖2所示)。

云基礎(chǔ)架構(gòu)在傳統(tǒng)基礎(chǔ)架構(gòu)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)硬件層的基礎(chǔ)上，增加了虛擬化層、云層：

虛擬化層：大多數(shù)云基礎(chǔ)架構(gòu)都廣泛采用虛擬化技術(shù)，包括計(jì)算虛擬化、存儲(chǔ)虛擬化、網(wǎng)絡(luò)虛擬化等。通過(guò)虛擬化層，屏蔽了硬件層自身的差異和復(fù)雜度，向上呈現(xiàn)為標(biāo)準(zhǔn)化、可靈活擴(kuò)展和收縮、彈性的虛擬化資源池;

云層：對(duì)資源池進(jìn)行調(diào)配、組合，根據(jù)應(yīng)用系統(tǒng)的需要自動(dòng)生成、擴(kuò)展所需的硬件資源，將更多的應(yīng)用系統(tǒng)通過(guò)流程化、自動(dòng)化部署和管理，提升IT效率。

相對(duì)于傳統(tǒng)基礎(chǔ)架構(gòu)，云基礎(chǔ)架構(gòu)通過(guò)虛擬化整合與自動(dòng)化，應(yīng)用系統(tǒng)共享基礎(chǔ)架構(gòu)資源池，實(shí)現(xiàn)高利用率、高可用性、低成本、低能耗，并且通過(guò)云平臺(tái)層的自動(dòng)化管理，實(shí)現(xiàn)快速部署、易于擴(kuò)展、智能管理，幫助用戶構(gòu)建IaaS(基礎(chǔ)架構(gòu)即服務(wù))云業(yè)務(wù)模式。

二、云基礎(chǔ)架構(gòu)融合

云基礎(chǔ)架構(gòu)資源池使得計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)以及對(duì)應(yīng)虛擬化單個(gè)產(chǎn)品和技術(shù)本身不再是核心，重要的是這些資源的整合，形成一個(gè)有機(jī)的、可靈活調(diào)度和擴(kuò)展的資源池，面向云應(yīng)用實(shí)現(xiàn)自動(dòng)化的部署、監(jiān)控、管理和運(yùn)維。

云基礎(chǔ)架構(gòu)資源的整合，對(duì)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)虛擬化提出了新的挑戰(zhàn)，并帶動(dòng)了一系列網(wǎng)絡(luò)、虛擬化技術(shù)的變革。傳統(tǒng)模式下，服務(wù)器、網(wǎng)絡(luò)和存儲(chǔ)是基 于物理設(shè)備連接的，因此，針對(duì)服務(wù)器、存儲(chǔ)的訪問(wèn)控制、QoS帶寬、流量監(jiān)控等策略基于物理端口進(jìn)行部署，管理界面清晰，并且設(shè)備及對(duì)應(yīng)的策略是靜態(tài)、固 定的。云基礎(chǔ)架構(gòu)模式下，服務(wù)器、網(wǎng)絡(luò)、存儲(chǔ)、安全采用了虛擬化技術(shù)，資源池使得設(shè)備及對(duì)應(yīng)的策略是動(dòng)態(tài)變化的(如圖3所示)。

由于部署了虛擬化，一臺(tái)獨(dú)立的物理服務(wù)器變成了多個(gè)虛擬機(jī)，并且這些虛擬機(jī)是動(dòng)態(tài)的，隨著應(yīng)用系統(tǒng)、數(shù)據(jù)中心環(huán)境的變化而遷移、增加、減少。例 如圖3中的Server1，由于某種原因(例如Server1負(fù)載過(guò)高)，其中的某個(gè)虛擬機(jī)VM1遷移到同一集群中的Server2。此時(shí)如果要保持 VM1的業(yè)務(wù)訪問(wèn)不會(huì)中斷，需要實(shí)現(xiàn)VM1的訪問(wèn)策略能夠從Port1隨著遷移到Port2，這就需要交換機(jī)能夠感知到虛擬機(jī)的狀態(tài)變化，并自動(dòng)更新遷移 前后端口上的策略。

這是一種簡(jiǎn)單的計(jì)算虛擬化與網(wǎng)絡(luò)融合聯(lián)動(dòng)的例子。最新的EVB(以太網(wǎng)虛擬橋接)標(biāo)準(zhǔn)VEPA(虛擬以太網(wǎng)端口聚合，802.1Qbg)即是實(shí) 現(xiàn)這種融合聯(lián)動(dòng)方案的技術(shù)標(biāo)準(zhǔn)，其包括了VDP虛擬機(jī)發(fā)現(xiàn)和關(guān)聯(lián)、CDCP 虛擬機(jī)多通道轉(zhuǎn)發(fā)等協(xié)議，通過(guò)標(biāo)準(zhǔn)化的主機(jī)與網(wǎng)絡(luò)之間虛擬化信息的關(guān)聯(lián)控制，實(shí)現(xiàn)虛擬化環(huán)境向物理環(huán)境的映射，使得虛擬機(jī)的服務(wù)變更可以通過(guò)網(wǎng)絡(luò)的感知來(lái) 自動(dòng)化響應(yīng)。

事實(shí)上，云基礎(chǔ)架構(gòu)融合的關(guān)鍵在于網(wǎng)絡(luò)。目前計(jì)算虛擬化、存儲(chǔ)虛擬化的技術(shù)已經(jīng)相對(duì)成熟并自成體系，但就整個(gè)IT基礎(chǔ)架構(gòu)來(lái)說(shuō)，網(wǎng)絡(luò)是將計(jì)算資 源池、存儲(chǔ)資源池、用戶連接組一起的紐帶，只有網(wǎng)絡(luò)能夠充分感知到計(jì)算資源池、存儲(chǔ)資源池和用戶訪問(wèn)的動(dòng)態(tài)變化，才能進(jìn)行動(dòng)態(tài)響應(yīng)，維護(hù)網(wǎng)絡(luò)連通性的同 時(shí)，保障網(wǎng)絡(luò)策略的一致性。否則，通過(guò)人工干預(yù)和手工配置，會(huì)大大降低云基礎(chǔ)架構(gòu)的靈活性、可擴(kuò)展性和可管理性。

三、云基礎(chǔ)架構(gòu)融合方案

如圖4所示，云基礎(chǔ)架構(gòu)分為三個(gè)層次的融合。

硬件層的融合

例如上文提到的VEPA技術(shù)和方案，則是將計(jì)算虛擬化與網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)虛擬化進(jìn)行融合，實(shí)現(xiàn)虛擬機(jī)與虛擬網(wǎng)絡(luò)之間的關(guān)聯(lián)。此外，還有FCoE技術(shù)和方案，將存儲(chǔ)與網(wǎng)絡(luò)進(jìn)行融合;以及橫向虛擬化、縱向虛擬化實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備自身的融合。

業(yè)務(wù)層的融合

典型的方案是云安全解決方案。通過(guò)虛擬防火墻與虛擬機(jī)之間的融合，可以實(shí)現(xiàn)虛擬防火墻對(duì)虛擬機(jī)的感知、關(guān)聯(lián)，確保虛擬機(jī)遷移、新增或減少時(shí)，防 火墻策略也能夠自動(dòng)關(guān)聯(lián)。此外，還有虛擬機(jī)與LB負(fù)載均衡之間的聯(lián)動(dòng)。當(dāng)業(yè)務(wù)突發(fā)資源不足時(shí)，傳統(tǒng)方案需要人工發(fā)現(xiàn)虛擬機(jī)資源不足，再手工創(chuàng)建虛擬機(jī)，并 配置訪問(wèn)策略，響應(yīng)速度很慢，而且非常的費(fèi)時(shí)費(fèi)力。通過(guò)自動(dòng)探測(cè)某個(gè)業(yè)務(wù)虛擬機(jī)的用戶訪問(wèn)和資源利用率情況，在業(yè)務(wù)突發(fā)時(shí)，自動(dòng)按需增加相應(yīng)數(shù)量的虛擬 機(jī)，與LB聯(lián)動(dòng)進(jìn)行業(yè)務(wù)負(fù)載分擔(dān);同時(shí)，當(dāng)業(yè)務(wù)突發(fā)減小時(shí)，可以自動(dòng)減少相應(yīng)數(shù)量的虛擬機(jī)，節(jié)省資源。不僅有效解決虛擬化環(huán)境中面臨的業(yè)務(wù)突發(fā)問(wèn)題，而且 大大提升了業(yè)務(wù)響應(yīng)的效率和智能化。

管理層的融合

云基礎(chǔ)架構(gòu)通過(guò)虛擬化技術(shù)與管理層的融合，提升了IT系統(tǒng)的可靠性。例如，虛擬化平臺(tái)可與網(wǎng)絡(luò)管理、計(jì)算管理、存儲(chǔ)管理聯(lián)動(dòng)，當(dāng)設(shè)備出現(xiàn)故障影 響虛擬機(jī)業(yè)務(wù)時(shí)，可自動(dòng)遷移虛擬機(jī)，保障業(yè)務(wù)正常訪問(wèn);此外，對(duì)于設(shè)備正常、操作系統(tǒng)正常、但某個(gè)業(yè)務(wù)系統(tǒng)無(wú)法訪問(wèn)的情況，虛擬化平臺(tái)還可以與應(yīng)用管理聯(lián) 動(dòng)，探測(cè)應(yīng)用系統(tǒng)的狀態(tài)，例如Web、APP、DB等響應(yīng)速度，當(dāng)某個(gè)應(yīng)用無(wú)法正常提供訪問(wèn)時(shí)，自動(dòng)重啟虛擬機(jī)，恢復(fù)業(yè)務(wù)正常訪問(wèn)。

四、結(jié)束語(yǔ)

數(shù)據(jù)中心由傳統(tǒng)基礎(chǔ)架構(gòu)向云基礎(chǔ)架構(gòu)的轉(zhuǎn)變，極大提升了基礎(chǔ)架構(gòu)融合的必要性和可行性。通過(guò)資源池的云網(wǎng)融合，構(gòu)建統(tǒng)一、融合、聯(lián)動(dòng)的基礎(chǔ)架構(gòu)系統(tǒng)，不僅提升了應(yīng)用系統(tǒng)部署的可靠性、靈活性、可擴(kuò)展性和可管理性，而且也促進(jìn)了云計(jì)算的應(yīng)用和實(shí)踐。

目前人民檢察院的信息化系統(tǒng)也將從傳統(tǒng)的數(shù)據(jù)中心架構(gòu)向云基礎(chǔ)架構(gòu)演進(jìn)，滿足檢察院信息系統(tǒng)的快速批量部署、系統(tǒng)性能優(yōu)化、降低管理維護(hù)工作量的需求，適應(yīng)偵查信息化和裝備現(xiàn)代化的科技強(qiáng)檢需求，實(shí)現(xiàn)偵查方式戰(zhàn)略轉(zhuǎn)變、推動(dòng)犯罪偵查工作和檢務(wù)管理工作科學(xué)發(fā)展。

云計(jì)算系統(tǒng)已經(jīng)在政府、教育、大企業(yè)、運(yùn)營(yíng)商等行業(yè)得到越來(lái)越多的成熟應(yīng)用，涌現(xiàn)出一批國(guó)內(nèi)外的具有完善解決方案的云基礎(chǔ)架構(gòu)供應(yīng)商，包括華 三、VMware、微軟、亞馬遜等公司，尤其是國(guó)內(nèi)的華三公司還可以提供集計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、虛擬化和云管理于一體的整體式交付的UIS統(tǒng)一基礎(chǔ)架構(gòu)系 統(tǒng)，可以顯著簡(jiǎn)化檢務(wù)云基礎(chǔ)架構(gòu)的部署和運(yùn)維成本，而且憑借豐富的工程實(shí)施經(jīng)驗(yàn)提供專業(yè)快捷的運(yùn)維保障，將云基礎(chǔ)架構(gòu)系統(tǒng)的部署時(shí)間縮短70%以上。

如何確保VMware VCenter Server的安全

確保VMware VCenter Server的安全是瞎遲嘩非常重要的，這是因?yàn)閂Mware VCenter Server（從前叫做Virtual Center）對(duì)其管理的所有虛擬機(jī)擁有完全的訪問(wèn)控制權(quán)限。你可能已經(jīng)采取一定的手段防止非授權(quán)用戶登錄VCenter，但是有兩個(gè)方面可能被許多系統(tǒng)管理員所忽略。VCenter有兩個(gè)非常重要的集成組件：存儲(chǔ)VCenter配置數(shù)據(jù)的數(shù)據(jù)庫(kù)和認(rèn)證用戶身份的Active Directory。如果這兩個(gè)組件沒(méi)有得到很好保護(hù)的話，惡意用戶就可以通過(guò)這兩個(gè)組件取得對(duì)你工作平臺(tái)環(huán)境的訪問(wèn)控制權(quán)限。

保護(hù)VCenter Server數(shù)據(jù)庫(kù)

VCenter數(shù)據(jù)庫(kù)是存放配置數(shù)據(jù)和其它數(shù)據(jù)的地方，其中包括角色、許可權(quán)、事件、任務(wù)、性能數(shù)據(jù)、數(shù)據(jù)中心信息、集群信息、資源池信息以及其它更多信息。

如果使用SQL 工具連接SQL服務(wù)器數(shù)據(jù)庫(kù)，并且查看VCenter數(shù)據(jù)庫(kù)的話，你就會(huì)看到許多VCenter使用的表。這些表中有許多都是以VPX開頭的。VPX_ACCESS表用來(lái)存放對(duì)VCenter的訪問(wèn)控制信息，主要由以下幾列組成：ID、PRINCIPAL、ROLE_ID、ENTITY_ID和FLAG。如果我們輸入一個(gè)簡(jiǎn)單的SQL查詢語(yǔ)句，就可以看到這個(gè)表中主要包含的信息：

Select * from vpx_access

結(jié)果類似于這樣：

讓我們看一下表中的各列數(shù)據(jù)以及這些數(shù)據(jù)所代表的含義：

ID是表中的唯一標(biāo)識(shí)符，用來(lái)標(biāo)識(shí)表中的每一條記錄

Principal是本地或者域用戶或用戶組的名字，在域用戶和群組的前面有一個(gè)“\”（如ACME\TJones）

ROLE_ID是VPC_ROLE表中定義的角色所對(duì)應(yīng)的ID。VPC_ROLE表包括ID和與其對(duì)應(yīng)的角色。-1表示是管理員身份，管理員角色不可能從VCenter中刪除，否則就也就不會(huì)在數(shù)據(jù)庫(kù)中。VCenter中的另外一些角色，如DataCenterAdministrator的ID是2、VirtualMachine用戶的ID是5；

Entity_ID是VPX_ENTITY表中定義的客體所對(duì)應(yīng)的ID。VPX_ENTITY表中包括實(shí)體和與其對(duì)應(yīng)的ID。VCenter內(nèi)的所有實(shí)體都有一個(gè)唯一的ID，這些實(shí)體對(duì)象包括虛擬機(jī)、主機(jī)、集群、資源池和數(shù)據(jù)中心。ID 1用來(lái)標(biāo)識(shí)較高級(jí)別的實(shí)體，如主機(jī)、集群。

Flag用來(lái)標(biāo)識(shí)Principal表示的是一個(gè)用戶還是一個(gè)群組。Flag為3表示principal是一個(gè)群組，F(xiàn)lag為1表示principal是一個(gè)用戶。

在我們知道這些數(shù)據(jù)代表的含義之后，就可以詳細(xì)闡述VPX_ACCESS表中所返回的數(shù)據(jù)，如下：

本地Windows群組管理員是主機(jī)或者集群級(jí)別的管理員角色的一個(gè)成員

ACME Windows域的VCenter_Admins群組是主機(jī)或者集群級(jí)別管理員角色的一個(gè)成員

ACME Windows域的TJones用戶是某個(gè)特定角色的成員，該角色對(duì)一個(gè)叫Win2000-5（在vpx_entity表中1422 = Win2000-5）的特定虛擬機(jī)來(lái)講稱之為vCenter Network (在vpx_entity表中120 = vCenterNetwork)

ACME Windows域的vCenter_Users群組是某個(gè)特定角色的成員，這個(gè)角色對(duì)Denver1數(shù)據(jù)中心（在vpx_entity表中21 = Denver1）來(lái)講叫做vCenterOps（在vpx_entity表中140 = vCenterOps）

如果某用戶擁有訪問(wèn)數(shù)據(jù)庫(kù)的權(quán)限，并且擁有一個(gè)本地Windows賬號(hào)或者域賬號(hào)，就可以通過(guò)如下的SQL命令給自己賦予管理員的權(quán)限，獲得對(duì)較高的主機(jī)和集群級(jí)的訪問(wèn)控制權(quán)限：

insert into vpx_access (ID， PRINCIPAL， ROLE_ID， ENTITY_ID， FLAG) values ('100'， 'ACME\JSMITH'， '-1'， '1'， '1'旦氏);

commit;

這樣做可以賦予一個(gè)名字叫JSmith（ACME\JSMITH）域用戶賬號(hào)（1）磨行在高的主機(jī)和集群級(jí)別（1）上的管理員的角色（-1）；輸入ID 100表示當(dāng)前在表中沒(méi)有使用這個(gè)賬號(hào)。如果SQL表更新，而VCenter沒(méi)有立刻識(shí)別出更新信息的話，關(guān)閉、然后重新啟動(dòng)VCenter服務(wù)器就可以強(qiáng)制VCenter識(shí)別更新信息，并且用戶此時(shí)也可以登錄到VCenter服務(wù)器。

總之一句話：通過(guò)使用強(qiáng)密碼機(jī)制和限制對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)來(lái)保護(hù)VCenter SQL數(shù)據(jù)庫(kù)。并且對(duì)于其它任何可以訪問(wèn)表（如MS-SQL這種的“sa”賬號(hào)）的賬號(hào)也需要確保使用強(qiáng)密碼機(jī)制。另外，如果可能的話在一個(gè)特定的SQL服務(wù)器上運(yùn)行VCenter數(shù)據(jù)庫(kù)，盡量不要和其它用戶使用共享的SQL服務(wù)器。最后，及時(shí)給SQL服務(wù)器打補(bǔ)丁，防止惡意用戶通過(guò)一些眾所周知的漏洞取得對(duì)服務(wù)器的訪問(wèn)控制權(quán)限。

Active Directory和VCenter許可權(quán)

接下來(lái)我們討論Active Directory。默認(rèn)情況下，VCenter每天驗(yàn)證一次所有用戶和群組對(duì)VCenter中實(shí)體對(duì)象的許可權(quán)限。這樣做的目的是查看用戶和群組，確保他們?nèi)匀辉贏D中，如果沒(méi)有在AD中的話就自動(dòng)刪除許可權(quán)限。如果在刪除一個(gè)AD賬號(hào)之后又創(chuàng)建一個(gè)同名賬號(hào)，并且VCenter還沒(méi)有刪除原來(lái)賬號(hào)對(duì)應(yīng)的權(quán)限，那么這個(gè)新的賬號(hào)就可以使用這個(gè)許可權(quán)限訪問(wèn)VCenter。因此如果一個(gè)叫MJONES的AD賬號(hào)早上被刪除了，并且這個(gè)賬號(hào)擁有VCenter的管理員權(quán)限，幾個(gè)小時(shí)后又創(chuàng)建了一個(gè)叫MJONES的賬號(hào)，那么這個(gè)賬號(hào)就擁有同樣的VCenter管理員權(quán)限，因?yàn)檫@個(gè)賬號(hào)是在vCenter每日的例行驗(yàn)證之前重建的。

這種情況確實(shí)是有可能發(fā)生的，因?yàn)樵赩Center中沒(méi)有使用系統(tǒng)標(biāo)識(shí)符（SIDS：System identifiers）、長(zhǎng)字符串和或者長(zhǎng)數(shù)字串，這些都是Windows用來(lái)唯一標(biāo)識(shí)用戶的。在Windows中，如果一個(gè)賬號(hào)被從AD中刪除了，然后重新創(chuàng)建了一個(gè)同名賬號(hào)，那么這個(gè)賬戶將會(huì)有不同的SID，也就不可能擁有之前同名賬戶所擁有的同樣的Windows許可權(quán)限。然而對(duì)于VCenter來(lái)講，這兩者就會(huì)被視為同一個(gè)賬號(hào)，擁有同樣的許可權(quán)限，這是因?yàn)閂Center只使用域和用戶的用戶名來(lái)做檢查，而不使用SID。

在VCenter中，在“Top Menu”中選擇“Administration”來(lái)完成控制這類行為的設(shè)置，然后選擇“VCenter Management Server Configuration”選項(xiàng)。在左側(cè)的方框中選擇“Active Directory”，從右側(cè)方框就可以看到“Enable Validation”的設(shè)置，下面是驗(yàn)證周期（精確到分鐘）?？梢酝耆P(guān)閉這個(gè)特性，默認(rèn)的時(shí)間間隔是1440分鐘（一天），當(dāng)然這個(gè)可以修改。如果用戶注重操作環(huán)境中的安全問(wèn)題的話，可以把驗(yàn)證周期修改為一個(gè)較低的值（如120分鐘）。由于這個(gè)特點(diǎn)可以通過(guò)自動(dòng)刪除不再有效的許可權(quán)限來(lái)保護(hù)VCenter，所以建議不要關(guān)閉這個(gè)屬性特征。

如上所述，在VCent中還有需要格外注意的區(qū)域，用戶確保已經(jīng)了解這些區(qū)域并且恰當(dāng)?shù)乇Ｗo(hù)這些區(qū)域。其中保護(hù)數(shù)據(jù)庫(kù)是關(guān)鍵問(wèn)題，另外保證及時(shí)阻止非法訪問(wèn)是保護(hù)VCenter服務(wù)器不受未授權(quán)入侵的關(guān)鍵。

服務(wù)器虛擬化的安全風(fēng)險(xiǎn)

破壞了正常的網(wǎng)絡(luò)架構(gòu)采用服務(wù)器虛擬化技術(shù)，需要對(duì)原來(lái)的網(wǎng)絡(luò)架構(gòu)進(jìn)行一定的改動(dòng)，建立新的網(wǎng)絡(luò)架構(gòu)，以適應(yīng)服務(wù)器虛擬化的要求。但是，網(wǎng)絡(luò)架構(gòu)的改動(dòng)打破了原來(lái)平衡的網(wǎng)絡(luò)架構(gòu)系統(tǒng)，也就會(huì)產(chǎn)生一些危險(xiǎn)系統(tǒng)安全的風(fēng)險(xiǎn)安全問(wèn)題。比如：如果不使用服務(wù)器虛擬化技術(shù)，客戶可以把幾個(gè)隔離區(qū)設(shè)置在防火墻的設(shè)備上。這樣一來(lái)，一個(gè)隔離區(qū)就可以管理著一個(gè)服務(wù)器，服務(wù)器之間可以不同的管理原則，不同的服務(wù)器也就可以有不同的管理方法。這樣，當(dāng)有一個(gè)服務(wù)器被外界攻擊時(shí)，其它的服務(wù)器就不會(huì)受到影響，可以正常運(yùn)行。但是，如果采用了服務(wù)器虛擬化技術(shù)，就需要把虛擬的服務(wù)器一起連接到同一個(gè)虛擬交換機(jī)上。通過(guò)虛擬交換機(jī)就把所有的虛擬的服務(wù)器同外部網(wǎng)絡(luò)聯(lián)系了起來(lái)。因?yàn)樗械奶摂M的服務(wù)器都連接在同一個(gè)虛擬交換機(jī)上，這就造成了一方面原來(lái)設(shè)置的防火墻功能失去了防護(hù)作用，另一方面給所有的虛擬服務(wù)器增加了安全風(fēng)險(xiǎn)。當(dāng)一個(gè)虛擬服務(wù)器遭受到攻擊或出現(xiàn)狀況時(shí)，其它的虛擬服務(wù)器也會(huì)受到影響。可能致使系統(tǒng)服務(wù)器超載服務(wù)器虛擬化雖然能產(chǎn)生若干個(gè)服務(wù)器供用戶使用，但是這些產(chǎn)生的服務(wù)器只是虛擬的，還需要借用物理服務(wù)器的硬件系統(tǒng)來(lái)進(jìn)行各種應(yīng)用程序的運(yùn)行。各個(gè)虛擬服務(wù)器的應(yīng)用程序非常多，這些應(yīng)用程序一旦全部運(yùn)行起來(lái)，就會(huì)大量占用物理服務(wù)器的內(nèi)存、中央處理器、網(wǎng)絡(luò)等硬件系統(tǒng)，從而給物理服務(wù)器帶來(lái)沉重的運(yùn)行負(fù)擔(dān)。如果有一天，所有的虛擬服務(wù)器都在運(yùn)行大量的應(yīng)用程序，就有可能使物理服務(wù)器負(fù)荷太大，從而出現(xiàn)服務(wù)器超載的現(xiàn)象。服務(wù)器超載到一定程度，就有可能造成各個(gè)檔搜虛擬服務(wù)器運(yùn)行程序速度太慢，影響客戶的使用。更嚴(yán)重的還可能造成物理服務(wù)器系統(tǒng)崩潰，給客戶帶來(lái)無(wú)法估量的損失。致使虛擬機(jī)失去安全保護(hù)服務(wù)器虛擬化后，每個(gè)虛擬機(jī)都會(huì)被裝上自己的管理程序，供客戶操作和使用虛擬服務(wù)器。但是不是和宴所有的管理程序都是完美無(wú)缺，沒(méi)有安全漏洞的。管理程序在設(shè)計(jì)中都有可能會(huì)產(chǎn)生一些安全漏洞和缺陷。而這些安全漏洞和缺陷則有可能成為電腦黑客的攻擊服務(wù)器的著手點(diǎn)。他們通過(guò)這些安全漏洞和缺陷會(huì)順利地進(jìn)入服務(wù)器，進(jìn)行一些非法操作。更重要的是，一臺(tái)虛擬機(jī)管理程序的安全漏洞和缺陷會(huì)傳染給其它虛擬機(jī)。當(dāng)一臺(tái)虛擬機(jī)因安全漏洞和缺陷遭受黑客攻擊時(shí)，其它的虛擬機(jī)也會(huì)受到影響，致使虛擬機(jī)失去安全保護(hù)。服務(wù)器被攻擊的機(jī)會(huì)大大增加連接于同一臺(tái)物理服務(wù)器的所有服務(wù)器虛擬機(jī)是能相互聯(lián)系的。在相互聯(lián)系的過(guò)程中，就有可能產(chǎn)生一些安全風(fēng)險(xiǎn)，致使服務(wù)器遭受黑客的攻擊。而且，黑客不需要對(duì)所有的服務(wù)器虛擬機(jī)逐個(gè)進(jìn)行攻擊，只需要對(duì)其中的一臺(tái)虛擬機(jī)進(jìn)行攻擊。只要攻下一臺(tái)虛行棚歷擬機(jī)，其它的虛擬機(jī)就可以被攻下。因?yàn)椋械奶摂M機(jī)都是相互聯(lián)系的。所以說(shuō)，服務(wù)器虛擬化后被攻擊的機(jī)會(huì)大大增加了。虛擬機(jī)補(bǔ)丁帶來(lái)的安全風(fēng)險(xiǎn)每個(gè)虛擬機(jī)都有著自己的管理系統(tǒng)，而這些管理系統(tǒng)是經(jīng)常需要及時(shí)安裝最新補(bǔ)丁以防止被攻擊。但是，一個(gè)物理服務(wù)器可以帶許多個(gè)虛擬機(jī)，每個(gè)虛擬機(jī)就是一臺(tái)服務(wù)器，都需要安裝補(bǔ)丁，工作量太大。這就給虛擬機(jī)的補(bǔ)丁安裝帶來(lái)麻煩，會(huì)大大影響補(bǔ)丁的安裝速度，使虛擬機(jī)不能夠及時(shí)安裝不斷，從而帶來(lái)安全隱患。另外，一些客戶會(huì)通過(guò)一些技術(shù)手段保留個(gè)別虛擬機(jī)用于虛擬機(jī)的災(zāi)難恢復(fù)。但是，保留的虛擬機(jī)很可能沒(méi)有及時(shí)安裝新的補(bǔ)丁，從而會(huì)給災(zāi)難恢復(fù)的虛擬機(jī)帶來(lái)運(yùn)行的安全風(fēng)險(xiǎn)。

當(dāng)前題目：服務(wù)器虛擬機(jī)存儲(chǔ)池安全 虛擬機(jī)存儲(chǔ)策略
網(wǎng)頁(yè)鏈接：http://m.jiaotiyi.com/article/ddpsdgd.html