《大数据云服务平台整体解决方案.docx》由会员分享,可在线阅读,更多相关《大数据云服务平台整体解决方案.docx(61页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、大数据云服务平台整体解决方案2.2云主机租户网络提供了两种组网方式:基础网络、私有网络(基于VLAN或者VxLAN)。 前者是一个由系统维护的全局网络,后者是组织管理员各自自行组建的网络。 基础网络的好处是简单、无需用户做任何配置与管理,即可直接使用,但正因 为它是全局网络,所以其平安保障是依靠防火墙来实现的。与之相对应,私有 网络需要组织管理员创立并管理。但私有网络之间是100%隔离的,以满足对安 全要求。私有网络间使用路由器互联,并可以控制*外网地址对外映射。组织 管理员可以配置私有的防火墙来保证私有网络的平安。云主机租户网络能够快速搭建您的私有云环境,并使用丰富的工具进行自 动化管理。1
2、)创立网络,输入网络名称和描述信息:新建私有网络名称*描述I/I确定 取消2)配置网络,在这里我们可以查看和修改私有网络包含的主机列表和端口列 表;Mt”路由器路由器用于私有网络之间的互联,并提供以下附加服务:DHCP服务、端口 转发、隧道和VPN。如果您还希望路由器能接入互联网,请绑定一个公网IP给 该路由器即可。1)云管理服务台支持创立路由器;新建路由器名称*描述I/I防火埴* |yyyl数量 1总价:0.02/31X1 = 0.02元/小可网14.4元/月)确定取消,一 ,一 . 2)配置路由器,可以配置基本信息和租户信息:首页 网络基本设置ID166d584d-472c-44a2-9a
3、7c-5acfda0c480a名称通述状态私有ip防火塔ccbbaa私有网路创立时间2014-04-01 23:24:32金河间年户信息生效时间2014-04-01 23:24:32终止汨间差价0.02tl/(Jx313)路由器列表和操作列表,包括ID、名称、状态、私网IP、描述和创立时间n2.3自定义镜像镜像是一个包含了软件及必要配置的机器模版。作为基础软件,操作系统 是必须的,还可以根据自己的需求将任何应用软件(比方,数据库、中间件 等)放入镜像中。镜像分为两类。其一是系统提供的,称之为“系统镜像”, 包括了各种Linux、Windows等操作系统,各系统镜像的初始本地终端用户名 和密码均
4、可在各镜像的详情描述中找到。其二是用户通过捕获一个主机来自行 创立的,称之为“自有镜像”。系统镜像全局可见可用,自有镜像只有用户本 人可见可用。帮助您一次性开通多台已完全拷贝相同操作系统及环境数据等的 云服务器,以便满足您弹性扩容的业务需求。创立主机时可以从镜像模板中选择;1)镜像模板列表,包含两局部,一局部为系统自定义的,不能修改和删除, 另一局部为自由的镜像模板,可以创立、修改和删除。WK。1A2)创立镜像:只能从自由列表中创立镜像模板,包括名称、描述、类型、格式化、最小磁盘和最小内存等。创立镜像模板名称*描述类型test-yp-type1格式化VDI最小磁盘*最小内存*最小内存选择文笆未
5、邮文件受保护 确定说明:指定镜像上传到镜像服务目前只支持 URL可用 镜像。镜像服务必须能够 访问到镜像地址。支持镜 像的二进制压缩格式 (.zip,.targz.)请注意:镜像地址必须是 有效的直接定位到镜像二 进制文件的URL。URL被 重定向或者服务器返回错 误页面将导致镜像不可 用。取消2. 4云主机特点1)多种性能规格,可以自定义2)按小时计费3)快速部署资源池并内置多种操作系统和应用标准镜像,需求无论是一台还是百台、 Windows还是Linux,均可实现瞬时供应和部署。4)高可用国际品牌企业级服务器的高性能和可靠性,内置的监控、备机、快照、数据备份 等服务确保故障的快速恢复。提供
6、智能备份功能,将数据风险降到最低。同时具备虚拟机迁移和高可用等技术提高可用性。5)弹性扩展配合XXX专利技术DRX可以实现资源的弹性扩展,满足应用的突发需求。6) 一键部署提供了虚拟机蓝本及虚拟机和应用的组合操作,完成一键部署。第3章.云硬盘服务第4章.云存储服务4.1云存储概述云存储提供对象存储服务。客户可以通过客户端/浏览器访问。云存储将网 络中各类存储设备通过应用软件集合起来协同工作,对外提供数据存储和业务 访问功能的一个系统。传统模型OSD模型文件系统V文件系统用户组件一一用户组件云存储的核心是将数据通路(数据读或写)和控制通路(元数据)别离, 并且基于对象存储设备构建存储系统,每个对
7、象存储设备具有一定的智能,能 够自动管理其上的数据分布。兼顾对象存储同兼具SAN高速直接访问磁盘特点 及NAS的分布式共享特点。云存储分为对象、对象存储设备、元数据服务器、对象存储系统的客户端 (或者浏览器)这几局部。云存储服务是在云中的、可无缝扩容的、高可靠而 廉价的存储服务。它能让您不用关心底层的存储技术,也不用关心存储资源扩 容问题,直接通过对象存储调用海量的存储资源,为您的应用存储数据。云存储还提供了快照服务。快照用于在块设备级别上进行基于时间点的硬 盘备份与恢复,可以同时对多张硬盘做快照(包括系统盘和数据盘)。一张硬 盘可以有多个快照,可以随时从任意一个备份点恢复数据。4. 2云存储
8、特性对象存储具有很多先进的特性:1)建立在分布式架构之上,可用性大于等于99. 9沆 数据持久性大于等于99.99999999%2)根据系统实际情况,方案可灵活支撑系统扩容。扩容包括3方面:流数据 扩容、元数据扩容、业务系统扩容;无文件数量限制3)支持部署MySql数据库,单库容量达1TB4)支持部署Hbase,单表存储空间达100TB5)支持文档、视频、音频、图片等类型的对象存储。文件大小可达5TB6)通过分布式存储技术实现三份副本,单台服务器故障不会导致数据丧失。4.3云存储接口 API云存储提供完整的API接口,帮助与第3方系统整合。提供的是标准的RestFul类型接口,同时提供Java
9、、Python Object-c二次开发包。RESTful API是一个本地接口,具备最低延迟和最快的响应时间,。RESTful API又名RESTful Web服务。它是一种直观且易用的面向资源的模型,为大多数Web 2.0应用提供服务。云存储提供的API接口如下:创立文件夹访 问 地址:version / f i leops/create_f older访 问 地址:version /metadata/参数名称说明RootAPP访问数据的根目录path目录路径,如果为空,表示获得根目录的文件列表,path可为文件路径signurl地址签名access_token会话token,使用账号+密
10、码+设备信息获得删除文件或文件夹访问地址:version/fileops/delete文件拷贝访 问 地址:version / f i leops/copy基于文件名的模糊搜索访问地址:version / search/第5章.云数据库服务5.1云数据库服务介绍基于按需即供的设计思路,向云应用提供关系型数据库服务,包括 MySQL、MS SQL Server. ORACLE等。功能上支持数据库的创立和访问,数据库 的管理、备份和恢复,支持用户使用客户端软件进行数据库管理。云数据库服务设计具有以下产品功能:1)服务基于高效的调度系统,备份系统,HA控制系统,监控系统;2)服务可随着用户数和访问量
11、的变化,可以灵活地调整数据库的规格, 包含内存、连接数、存储容量等;3)服务提供99.95%的高可用性(提供有效服务时间与总时间之比),每 份数据都保存两份并可实时切换;4)服务平台数据库自身的管理和维护,用户可专注于其的业务功能。5.2云数据库服务使用流程云数据库服务便捷易用,一键搞定;多维度监控,全方位保证平安;性能卓 越,专业团队承诺。云数据库服务使用主要涉及以下流程:服务申请服务使用服务管理服务监控云数据库服务申请:登录云服务平台,在资源模块选择数据库服务,进入数据库服务管理视 图。进入创立数据库入口,录入用户需求数据库的相应规格参数,提交申请申请云数据库名称*逊詹述私有网络运口 *实
12、例名*最K并发连接appdblMySQL 5.5| zwy-netwok13306INSTANCE。60容量 50 GB50GB-1000GB0.07元小 (卧6.80力月)I 提交 I I BBS I云平台管理员审批用户资源申请,触发云数据库服务交付云数据库管理平台控制面板管理所有订购信息 Welcome to CSA coasumer portalBUMMHIZ. Weicome to CSA consamef portal控翻面蚊目录才家:汨I 一 三记 .二 wt - niiwiI ”口 口 aAWWKSMMJLr “u通过云数据库服务平台管理视图,可以查看申请实例的明细信息。云数据库
13、服务使用:选择已申请的数据库实例,查看数据库服务实例配置信息页 敏恒U-敏恒U眼务详情基本信息、ID557f2 n 9-e2ea-41 06-953a-11275837d78d名标O D_G CW0424_1ATv1MySQL 5.5痘述裳K 并发举接20留量10状态本据库运行a田通状态创立时1旬2014-04-24 00:49:45运行时1旬15 exitByeroot0dbvm-or-gcwO423-7pin-l -#或者使用MYSQL客户端使用IP和PORT登录使用Xname .HZ101147HZ156TESTTEST2 *一 SettingsNetwork type:Hostname
14、 / IP:User:Password:Port:Databases:Comment:力 Advanced,4.i i StatisticsMySQL (TCP/IP)Prompt for credentials/ DUb (1) J Variables Status Processes Ccmmand-Statistics786.1 KiB *4.0 IGB5.9 KiB I2.0 KiBLDOB4.1 KiB110.3 KiB ;29.6 08 J522.0 KB16,0 iBDaagse -| Size ltenvJ dbevent Func general.log hep.catego
15、ry help_keyword help.feldtion help.topic云数据库服务管理云数据库支持在线无缝升级,数据库访问不间断,可灵活扩容。MNR*4nvrMimmftMQJMOl 55B离1宿AlJQUliimQLSrwrMR2gwezJfiMfiMS80L5Mf 20MR2erw91TM3tatalfla&ftii.M&UALJGL4m21To,4,aaftottflBMtflJCUUMSSQLSmrmM2emtO1TQ4smjimftflom“m,的Et号gfisuas*4MJ 八二C3M8$QL9Mrram2emtomoift1Dc云数据库服务管理支持在线启停实例云数据库服
16、务管理支持随时退订业务,保证用户的利益最大化。/芝*X8*iT?rif7E7. rVM7Wrr.itSTr.rrw此外云数据库服务扩展工具还支持但不限于以下功能自动备份从备份文件创立临时实例从备份文件恢复到实例数据导入导出工具API 接口SDK开发包文档说明数据库操作日志管理数据库管理账户管理云数据库服务平安性支持IP授权访问,通过指定特定IP访问提高访问客户端的合法性,降低 受攻击风险。提供数据库数据存储加密保护,系统采用数据项级存储加密,即数据库中 不同的记录、每条记录的不同字段都采用不同的密钥加密,并辅以校验措施, 以保证数据库数据存储的保密性和完整性,防止数据的非授权访问和修改。提供用
17、户加密身份验证,通过数据库权限控制提供不同的访问权限控制。云数据库服务监控通过平台监控功能实现对实例级别在不同时间粒度完成对磁盘空间、连接 数、CPU、内存、网络流量等参数的监控数据展示5. 3云数据库服务技术架构云数据库服务交付基于CSA+OO+SA (如下列图所示)真正实现全过程的标准 化、自动化。云数据库服务的交付将Cloud+Automation技术紧密结合,为用户 真正提供高效和切实的云数据库资源交付使用。用户,”3系统集成5.4云服务自动化平台云服务自动化平台是云服务中间人,所有异构云服务的统一管理。通过云管理平台,用户从一个门户访问所有云服务一购买cloudservices、管理
18、cloud serviceso管理员使用单一工具管理所有云服务,将多 个云环境的云服务发布到一个单一的目录,管理云上的设备。云服务自动化平台是开放的,灵活的,可扩展的体系结构。订购门户物理服务器眠务器存储网络园应用公共服务 流程自动化引擎流程自动化引擎是工作流驱动的可扩展性和灵活的可视化IT流程自动化平 台。其提供如下技术实现: 提高流程质量创立可预测和可重复的自动化过程 降低运营本钱自动化手动,重复和容易出错的任务,使IT人员可以专注于战略计划调整 协调变更降低了人工交接的低效,复杂和风险性 提高服务质量通过自动化的事件和事件分流,降低升级和诊断和解决平均修复时间(MTTR) 平台云允许通过
19、编排你的传统和云基础架构流程以降低本钱 提高业务灵活性可以通过减少时间更迅速地响应不断变化的业务需求来部署新的基础设施 和终端到终端的业务服务可审计的流程可以记录和执行ITIL兼容的,标准化的流程 便于工作流的创立允许通过减少需要的专门研发资源,以减少管理复杂性自动化实现平台简单的部署的虚拟设备快速实现价值统一的物理和虚拟管理截至最新的合规性报告使治理降低到分钟级别 规模的IT自动化通过在多个站点管理数千台服务器 通过整合工具简化操作 VVWWW*- * ft* A* A# so A# Bs ttw A* A* o 三:一三*W CfiwfnM (m larwSarw 1 Cww*wrtsfw
20、ow Sewtf w tJ Sw *W * Cr*t*wif tew M4m0CHw*hUMi Sarw2 y Crtenvwuvi Ser*IWCHVFWKVk WvwFDma*M * mt a ,Awjwa - 7S.prwW- M4*rvw W* * a*4SwFWWW,1ar* |OOt M M基于此技术平台,按需供应HA数据库实例。MS SQL高可用数据库服务:主动模式对数据库服务器进行群集后会有两台虚拟数据库服务器,如果群 集中的某一个节点出现故作,MSCS控制故障转移,这使另一个正常的节点需要 承受两个节点的服务。图表1MYSQL高可用数据库服务LVS+Keepalived+My
21、SQL单点写入主主同步的高可用方案 主要实现遇如下问题时,服务器之间自动切换: 网络问题; MySQL 问题; 服务器宕机; Keepalived服务停止;Q应用MySQL LVS+Keepa livedMySQL LVS+Keepa lived5. 5技术优势云数据库服务技术优势自建数据库云数据库服务数据平安性自行解决,本钱高15种类型备份数据,保证数据平安服务可用性99. 95%服务可用性数据备份昂0花费,系统自动多时间点数据备份维护本钱0本钱,专业团队7x24小时帮助维护实例扩容一键式直接扩容,平安可靠资源利用率按需申请,资源利用率高达99. 9%技术支持专业团队指导5. 6数据库性能目
22、前支持最高IOPS值超过12000,根据租户不同的业务需求,选择合适的性能规格的云数据库服务。目前提供如下不同性能规格的云数据库服务目录云数据库最大连接数MySQL版本5. 1或5. 56015030060015002000MS SQL Server版本2008标准版1002004006008001200第6章.云防火墙服务6.1技术特性第1章.第aS云服务目录1.1计算存储网络服务目录以下服务目录可以根据实际需要进行调整。编号云服务类别云服务规格1云主机服务1C/2GB21C/4GB32C/4GB42C/8GB54C/8GB64C/12GB74C/16GB88C/16GB98C/24GB10
23、8C/32GB11云数据库服务MySQL51./5. 5/2C/8GB12MySQL51./5. 5/4C/12GB13MySQL51./5.5/4C/16GB14MySQL51./5. 5/8C/16GB15MySQL51./5. 5/8C/24GB16MySQL51./5. 5/8C/32GB17MySQL51./5. 5/2 路/8GB18MySQL51./5. 5/4 路/16GB19MySQL51./5. 5/4 路/32GB20MySQL51./5. 5/集群高可用服务对于XX市*数据共享交换平台,需要通过多种形式对外提供云资源的出 租服务,在考虑*数据共享交换平台整体平安防护的同
24、时,也要关注针对不同 租户个性化的平安防护需求,租户的个性化平安部署可以作为云平安服务出租 给用户,在满足用户需求的前提下,也要到达可运维、可管理的目的。XXX深 入分析多租户云平安防护的需求,提供了两种模式的VFW服务可供选择。 通过高性能防火墙实现laaS模型下vFW需求从运维、本钱、扩展性的角度考虑,典型的部署模式为通过一台实体或裸机的物 理墙进行L N的虚拟化,将不同的虚拟墙提供给不同的租户,对于租户来讲, 就好像拥有了一台独立的具备一定处理能力的实体物理防火墙,租户有独立的管 理账号,可以在独立的管理界面,创立个性化的业务防护策略。同时作为一种可 运营的资源,类似虚拟机一样,要求能够
25、给虚墙进行资源分配,逻辑的资源包括 接口、VLAN,物理的资源包括CPU、内存、存储介质等。虚墙之间要求数据隔离, 并且在共享硬件能力的基础上实现所分配能力的保障,也即不同虚墙之间不会出 现相互侵占的问题,从而能够实现不同的租户的差异化SLA保证。左桂云主机&云在本工程中,我们部署了两台XXX M9000系列高端防火墙设备,一方面通 过这两台设备实现*数据共享交换平台的整体平安防护;另一方面也通过在 M9000实体防火墙上进行Context划分,为每个申请平安服务的租户提供独立 的vFW服务,租户可在申请防火墙服务时,自主定义FW所需资源和性能指标, 如下列图所示:图表2租户申请防火墙服务界面
26、图表3租户防火墙参数定义租户对防火墙申请成功后,会独享这个vFW的资源,并且具备自己独立配 置、管理所租用vFW的权利。 通过分布式软件防火墙网关实现laaS下的vFW随着云计算虚拟化技术的开展,越来越多的云计算服务商开始采取纯虚拟 化的网络平安解决方案来满足云租户的平安需求。云计算服务商往往有非常丰 富的服务器计算资源,而软件虚拟化平安网关的出现也为租户自行运维管理云 中的平安服务提供了技术支撑,典型的部署模型就是VPC模型。云服务提供商 给租户提供虚拟机出租,云租户可以通过在云中部署虚拟化平安网关如VFW, 实现和*远程分支的VPN互联,使得远程分支用户可以直接访问云中的服务器 资源。通过
27、这种方式*可以把租用的计算资源作为*私有云数据中心或者作 为*自有私有云数据中心的有效补充实现混合云,实现业务需求和本钱的有效 平衡。本工程中,软件vFW部署XXX的vFWIOOO产品,vFWIOOO支持多种虚拟平 台,基于专业的XXX Comware V7平台,能够监控和保护虚拟环境的平安,以避 免虚拟化环境与外部网络遭受内外部威胁的侵害,从而为虚拟化数据中心和云 计算网络带来全面的平安防护,帮助*构建完善的数据中心和云计算网络平安 解决方案。CoqxxacrOA 1 pan6. 2平安策略云防火墙服务是提供给租户在申请云主机、云存储等服务时配套提供的安 全防护服务,所以云防火墙的平安策略定
28、义也要与租户的云服务行为相一致, 主要包括外部用户对*数据共享交换平台内部资源的访问控制和*数据共享 交换平台内部租户/服务器间的访问控制: 外部用户对*数据共享交换平台资源的访问控制策略基于租户的平安控制要求,配置对内的平安访问控制策略,实现租户通过*外网、公有云、互联网等对*数据共享交换平台内部资源的可控访问提供租户通过平安VPN通道访问*数据共享交换平台内部资源的接入网 关,对接入用户的身份和权限进行认证提供外部用户访问*数据共享交换平台资源的流量监控和应用层过滤,有 效保证*数据共享交换平台基础资源的平安性配置NAT/NAT Server策略,实现对*数据共享交换平台资源访问的内外 部
29、地址转换,并把*数据共享交换平台的对外服务发布到公网上去 *数据共享交换平台内部租户/服务器间的访问控制策略提供平安策略,保证*数据共享交换平台内部租户、主机、VM之间的默 认平安隔离对*数据共享交换平台内部租户主机/VM间的互访提供可控的平安访问控 制策略对内部资源共享区,配置限制访问/单向访问控制策略平安控制策略能够随着租户虚机的迁移而同步,保证针对同一资源访问策 略的一致性6.3技术优势XXX在XX*数据共享交换平台工程中提供的云防火墙服务具备如下优势: 具备100G级别云FW服务能力,根据用户需求可以实现性能平滑扩展 云FW设备支持高可靠性部署方式,实现毫秒级的HA双机热备的切换能 力
30、 租户可以登录自服务平台并提交云FW的需求,在需求审批通过后,云 管理平台将实现为该租户快速申请vFW并实现“分钟级别”的自动化部 署 系统支持多达10种以上的云FW服务模板,客户在登录云自助服务门户 时,可以结合自身的需求灵活选择各种云FW服务模板,简化了申请的 流程 云FW服务模板支持用户自定义能力:客户可以对FW的关键指标如吞吐 量,并发连接数目,每秒新建数目及平安策略数目等进行定义 多租户的云FW完全隔离,每个租户的云防火墙服务有独立的配置文件 和转发表项,管理平台将针对不同租户发送独立的平安攻击报告,保 证了多租户之间的数据平安 虚墙能够单独开启、关闭、重启,而不影响其他虚墙业务处理
31、 能够在线调整虚墙的处理能力,比方在业务不中断情况下调整虚墙的 CPU能力占比、内存占比 每个租户云防火墙具备完整的FW功能,能够支持状态检测防火墙和 VPN, NAT,攻击防范等功能,各个云防火墙具备独立管理的能力第7章.云负载均衡服务7.1 技术特性随着WEB应用的快速开展和业务量的不断提高,基于 / S的数据访问流 量正在迅速增长,对*各行业数据中心以及门户网站等的访问甚至到达了 10Gb/s的级别;同时,服务器网站借助 、FTP、SMTP等应用程序,为访问者 提供了越来越丰富的内容和信息,服务器逐渐被数据淹没;另外,大局部网站(尤 其电子商务等网站)都需要提供不间断24小时服务,任何服
32、务中断或通信中的 关键数据丧失都会造成直接的商业损失。所有这些都对应用服务提出了高性能和 高可靠性的需求。但是,相对于网络技术的开展,服务器处理速度和内存访问速度的增长却 远远低于网络带宽和应用服务的增长,网络带宽增长的同时带来的用户数量的 增长,也使得服务器资源消耗严重,因而服务器成为了网络瓶颈。传统的单机 模式,也往往成为网络故障点。在这种情况下负载均衡技术应运而生,负载均 衡可以实现对网络设备和服务器带宽的有效扩展,充分利用多台服务器的业务 处理能力,通过合理的调度算法和健康检查双方,可以有效感知服务器的负载 并将业务流量调度到最恰当的服务器上,从而提高网络的灵活性和可用性。在XX市*数
33、据共享交换平台工程中,部署了支持laaS架构的云负载均衡 设备L5000-C,能够为每个租户提供提供独立的vLB功能,实现租户业务的安全隔离,vLB资源独享也能够保证租户负载均衡服务的性能。Server Server Server同时,XXX的云LB解决方案能够支持针对虚机的负载均衡,满足*数据 共享交换平台虚拟化云网络资源负载均衡的需要。用户在申请云服务时,可以根据需求在业务申请界面上选择申请云LB服 务,如下列图申请界面所示:在申请云LB时,可以根据自身需要,配置vLB的指标参数,如vLB数量、 吞吐量、服务IP地址等,满足用户vDC自定义的需求。租户申请完负载均衡服务后,会有申请流程提交
34、到管理员处,管理在评估 用户的业务需求、费用等信息后,批准/驳回用户的云负载均衡服务的申请。7.2 负载均衡策租户在申请云负载均衡服务时,可以根据自己业务系统的需要,合理定义 负载均衡策略: 吞吐量:100M2G的吞吐量可自由定义,满足业务系统和计费需求 设置前端虚服务地址和后端实服务器地址,实服务动态添加和删除 针对选定的虚服务,可以选择不同的业务类型:包括协议类型和端口,例如 协议,端口80;包括 、IP、TCP和UDP等类型 选择不同的均衡方式:主要有:轮转算法,最小连接算法,源地址 hash算法,目的地址hash算法 设置会话保持方式:会话保持方式包括源地址方法、源地址端口方 法、目的
35、地址方法、目的地址端口方法、源地址目的地址方法等 设置健康检查算法:支持设定以下健康检查算法,ICMP-echo. UDP- echo、 TCP、 FTP、 SNMP. DNS、 、 ARP、 IMAP、 POP3、 Radius. RTSP、 SIP、 SMTP、 SSL等7.3技术优势快速部署:租户可以登录自服务平台并提交云负载均衡的服务申请,在申请审批通过后,云 管理平台将自动快速下发配置并完成服务交付。服务自定义:每个租户可以结合自身的业务需求,选择不同的云负载均衡服务模板,系 统默认支持多种服务模板,简化租户的服务提交申请流程。多租户隔离每个租户申请的vLB服务在CPU、内存等硬件资
36、源上实现独立保证,并且 每个租户仅能配置自己申请的vLB,无法查看和管理其他租户的vLB,实现了多 租户的平安隔离。轻量级部署支持VMware ESXi、Linux KVM、XXX CAS等多个主流的虚拟平台,充分发 挥虚拟化的优势,实现快速部署、批量部署、镜像备份、快速恢复,并且能够 灵活迁移。领先的专业平台架构业界领先的Comware V7平台,支持丰富的网络和平安功能,能够满足数据 中心多租户环境中的应用交付需求。控制平面和数据平面别离,专门为虚拟环境优化的多核数据转发,更能充 分利用计算资源。模块化的体系架构,开放的网络平台,允许网络按需运行和控制,更容易 实现NFV/SDN落地。和物
37、理网络设备采用统一的软件平台,提供相同的功能特性和一致的管理 界面。第8章.云入侵防御服务8.1 技术特性当前,针对各类应用系统的平安漏洞的攻击也一直没有停止过。在这些应 用系统访问的过程中。目前Internet面临的平安威胁从方法上有如下几种: 漏洞利用,比方针对软件操作系统对内存操作的缺陷,采用缓冲区溢出 方法,以获得高操作权限运行攻击代码;如著名的微软MS05-047 Windows UMPNPMGR wsprintfW 栈溢出漏洞;,欺骗攻击,如IP地址欺骗等,其利用TCP/IP协议建立的连接未进行认 证的缺陷进行源IP地址的伪造,从而到达访问关键信息的目的; 蠕虫/病毒,蠕虫/病毒是
38、目前网络上最为常见的威胁,其具有传播快覆 盖广的特点,如红色代码病毒(Code Red),在12小时之内覆盖全部的 Intewet网络,给全球带来了极大的危害;通常蠕虫/病毒通过利用现有系统 软件的一些漏洞,从而到达传播的目的; 木马,通常在系统中会秘密翻开一个访问程序,以绕过系统的平安策 略,从而到达获取信息的目的; 拒绝服务,通常称之为DoS/DDoS攻击,其通过单台或者多台设备作为 攻击的发起者,对一个特定的目标进行DoS攻击,从而到达破坏的目的,通常 拒绝服务攻击会伴随者采用IP地址欺骗等方法以隐藏攻击者的目的;因此部署专业的高性能入侵防御系统实现各类威胁防范显得尤为必要。* 数据共享
39、交换平台的租户可以为其关键应用服务器的流量引入到入侵防护系统 进行攻击防护。 通过高性能硬件网关实现laaS模型下vIPS需求从运维、本钱、扩展性的角度考虑,典型的部署模式为通过一台实体或裸机的物 理墙进行L N的虚拟化,将不同的虚拟墙提供给不同的租户,对于租户来讲, 就好像拥有了一台独立的具备一定处理能力的实体物理IPS,租户有独立的管理 账号,可以在独立的管理界面,创立个性化的业务防护策略。同时作为一种可运 营的资源,类似虚拟机一样,要求能够给虚拟IPS进行资源分配,逻辑的资源包 括接口、VLAN,物理的资源包括CPU、内存、存储介质等。虚拟IPS之间要求数 据隔离,并且在共享硬件能力的基
40、础上实现所分配能力的保障,也即不同虚墙之 间不会出现相互侵占的问题,从而能够实现不同的租户的差异化SLA保证。本次 工程选用XXX M9000上内置的IPS模块来实现IPS能力,即保证了与防火墙一致 的高性能、高可靠,同时也降低了本钱。在XX市*数据共享交换平台工程中,部署云入侵防御服务,采用M9000 集成的IPS功能,作为云平安服务提供给租户,提供入侵防御/检测、病毒过滤和带宽管理等功能。块在租户没有申请入侵防御服务时,租户的流量不会被送到M9000 IPS模块 进行平安防护。对申请了入侵防御服务的租户,管理员添加流量牵引配置,把 租户的流量引入到M9000 IPS模块进行平安检测和病毒过
41、滤,检测通过的流量 再向*数据共享交换平台转发。8. 2入侵防御策略21SQL Server/2C/8GB22SQL Server/4C/12GB23SQL Server/4C/16GB24SQL Server/8C/16GB25SQL Server/8C/24GB26SQL Server/8C/32GB27SQL Server/2 路/8GB28SQL Server/4 路/16GB29SQL Server/4 路/32GB30SQL Server/集群高可用服务310racle/2C/8GB320racle/4C/12GB330racle/4C/16GB340racle/8C/16GB350racle/8C/24GB360racle/8C/32GB37Oracle/2 路/8GB38Oracle/4 路/16GB39Oracle/4 路/32GB40Oracle Rac/集群高可用服务41存储服务云存储(GB)42网络服务弹性IP服务43域名解析服务44互联网带宽服务-10Mb45互联网带宽服务-20Mb46互联网带宽服务-50Mb
限制150内