基于私有云的企業(yè)三層網(wǎng)絡(luò)架構(gòu)設(shè)計

◆彭青梅 鄭平輝

基于私有云的企業(yè)三層網(wǎng)絡(luò)架構(gòu)設(shè)計

◆彭青梅1鄭平輝2

（1.福建師范大學(xué)閩南科技學(xué)院 福建 362332；2.廈門外國語學(xué)校海滄附屬學(xué)校 福建 361026）

傳統(tǒng)的企業(yè)信息化建設(shè)過程中存在花費(fèi)大量的人力、物力、財力，見效很慢等問題。針對這些問題，提出一種基于私有云的企業(yè)三層網(wǎng)絡(luò)架構(gòu)設(shè)計，將云計算、網(wǎng)絡(luò)技術(shù)等結(jié)合，整合VMWare ESXI軟件與硬件資源，實現(xiàn)企業(yè)虛擬機(jī)平臺的管理與服務(wù)、私有云存儲冗余服務(wù)、個性化按需服務(wù)，降低企業(yè)的資金和硬件投入成本。通過分析得出：這種虛擬網(wǎng)絡(luò)架構(gòu)兼顧經(jīng)濟(jì)、高可靠、易管理等特性，能夠?qū)崿F(xiàn)企業(yè)統(tǒng)一調(diào)度管理，數(shù)據(jù)存儲安全可靠，資源按需分配，達(dá)到企業(yè)高效管理的目的。

云計算技術(shù)；私有云；網(wǎng)絡(luò)架構(gòu)；安全防護(hù)

0 前言

整個社會步入信息化時代，我國企業(yè)信息化發(fā)展水平仍不夠高，在企業(yè)信息化建設(shè)過程中還存在許多問題。云計算為企業(yè)轉(zhuǎn)型、發(fā)展帶來契機(jī)，擁有新的信息技術(shù)，運(yùn)用信息化平臺，對企業(yè)的未來以及在市場激烈的競爭中，可以利于不敗之地。企業(yè)受到自身的規(guī)模和成本的限制，采用云計算技術(shù)，既滿足了其信息化建設(shè)的需要，又能降低企業(yè)的資金和硬件投入的成本，降低企業(yè)信息化建設(shè)過程中的難度。

隨著企業(yè)發(fā)展，業(yè)務(wù)數(shù)據(jù)會不斷增加，業(yè)務(wù)數(shù)據(jù)就是企業(yè)的生命線，數(shù)據(jù)的安全關(guān)系著企業(yè)的發(fā)展和生存，業(yè)務(wù)功能需求不斷增加，需要大量數(shù)據(jù)處理任務(wù)。云計算能夠擔(dān)負(fù)大量數(shù)據(jù)的處理任務(wù)，能夠提供更多的業(yè)務(wù)功能。企業(yè)可以將業(yè)務(wù)數(shù)據(jù)放在內(nèi)部的存儲服務(wù)器做冗余備份來保障數(shù)據(jù)的安全，不必?fù)?dān)心調(diào)整人員或者硬件損壞帶來的風(fēng)險。將各種數(shù)據(jù)保存到云儲存平臺上進(jìn)行數(shù)據(jù)處理。虛擬化技術(shù)可以實現(xiàn)硬件和軟件的虛擬化，降低管理成本。遠(yuǎn)程訪問使用的計算機(jī)只是提供一個平臺，不需要很強(qiáng)的計算能力，這就降低了終端設(shè)備購置成本。

企業(yè)利用云計算搭建信息化平臺，企業(yè)可以選擇公共云，不用建設(shè)數(shù)據(jù)中心，也不需要關(guān)心虛擬化技術(shù)等難點(diǎn)，云計算服務(wù)提供商提供云計算平臺。但是當(dāng)企業(yè)發(fā)展到一定規(guī)模，不想把應(yīng)用外包，同時具備系統(tǒng)開發(fā)、運(yùn)行、維護(hù)能力的時候，在操作性、安全性和可控性方面來說，私有云更適合其發(fā)展，企業(yè)可根據(jù)自身需求定制所需的服務(wù)，可以很好地利用云服務(wù)，減少資源的浪費(fèi)[1]。

1 企業(yè)私有云網(wǎng)絡(luò)架構(gòu)總體設(shè)計

基于云平臺的方便，實現(xiàn)資源共享，搭建一個基于私有云的企業(yè)三層網(wǎng)絡(luò)架構(gòu)，運(yùn)用私有云存儲對外提供服務(wù)，云內(nèi)部是個生態(tài)可管控的網(wǎng)絡(luò)整體架構(gòu)[2]。

圖1 企業(yè)私有云

基于私有云的企業(yè)網(wǎng)絡(luò)架構(gòu)，部署的框架運(yùn)用云服務(wù)器客戶端模式，如圖1，包括相關(guān)的物理服務(wù)器、虛擬主機(jī)軟件平臺、整體平臺構(gòu)架。其中，物理資源由存儲設(shè)備、硬件設(shè)備、服務(wù)器集群設(shè)備、網(wǎng)絡(luò)設(shè)備等組成。此平臺實現(xiàn)了數(shù)據(jù)、軟硬件設(shè)備等大規(guī)模資源的統(tǒng)一調(diào)度管理。物理服務(wù)器采用虛擬技術(shù)整合成虛擬資源池，建立多個虛擬機(jī)，將云服務(wù)器整合為多個虛擬計算機(jī)集群系統(tǒng)[3]。

在圖1的基礎(chǔ)上設(shè)計一個企業(yè)私有云，用戶使用普通電腦等常用辦公工具，不需要安裝服務(wù)器程序或任何軟件，通過互聯(lián)網(wǎng)連接企業(yè)云平臺，通過云平臺界面連接，調(diào)用云資源的虛擬機(jī)，即調(diào)用了云服務(wù)器上的軟件和訪問內(nèi)部資料，獲得用戶所需服務(wù)。虛擬機(jī)工作的過程和結(jié)果保存在云服務(wù)器中。

2 企業(yè)私有云三層網(wǎng)絡(luò)架構(gòu)詳細(xì)設(shè)計

圖2 云計算平臺總體架構(gòu)圖

圖2 是云計算平臺總體架構(gòu)圖，也是應(yīng)用于企業(yè)設(shè)計的私有云三層網(wǎng)絡(luò)架構(gòu)設(shè)計拓?fù)鋱D。該企業(yè)私有云可以提供的服務(wù):虛擬機(jī)租用服務(wù)、站點(diǎn)發(fā)布服務(wù)、私有云存儲服務(wù)、企業(yè)級遠(yuǎn)程開發(fā)等。整個云計算平臺架構(gòu)設(shè)計分為三層：云平臺區(qū)域、數(shù)據(jù)交換區(qū)域、互聯(lián)網(wǎng)區(qū)域。

2.1 云平臺區(qū)域

基于私有云搭建企業(yè)網(wǎng)絡(luò)架構(gòu)，如圖2的左邊部分是云平臺區(qū)域，是私有云三層網(wǎng)絡(luò)架構(gòu)的第一層，硬件配置包括:三臺ESXI服務(wù)器，兩臺光纖交換機(jī)，一臺大容量的存儲服務(wù)器。服務(wù)器群，通過高速物理網(wǎng)絡(luò)（推薦光纖交換機(jī)）聯(lián)通，冗余鏈接，如其中某一臺ESXI服務(wù)器發(fā)生故障，不影響云平臺正常工作。存儲服務(wù)器主要負(fù)責(zé)企業(yè)員工工作中數(shù)據(jù)的在線存儲，ESXI服務(wù)器負(fù)責(zé)搭建虛擬機(jī)，提供員工工作環(huán)境并負(fù)責(zé)監(jiān)控虛擬機(jī)環(huán)境運(yùn)行狀態(tài)。兩臺光纖交換機(jī)，通過一根心跳線來連接。心跳線的作用:兩臺光纖交換機(jī)互為備份，其中一臺交換機(jī)由于某種原因停止服務(wù)，另一臺通過軟件的方式監(jiān)測到，則立即投入使用，以保證網(wǎng)絡(luò)的暢通和服務(wù)的正常運(yùn)行。心跳線主要利用一條RS-233檢測鏈路來完成，采用Ping方式檢測驗證系統(tǒng)Down機(jī)檢測的準(zhǔn)確性[4]。

云平臺區(qū)域就是把物理服務(wù)器通過虛擬技術(shù)整合在一起，即通過ESXI虛擬化技術(shù)將物理資源整合為虛擬資源池，劃分成多個虛擬資源，操作系統(tǒng)運(yùn)行于虛擬機(jī)上，虛擬服務(wù)器跟物理服務(wù)器一樣，可以安裝大多數(shù)操作系統(tǒng)和軟件應(yīng)用，且一個物理服務(wù)器運(yùn)行多個操作系統(tǒng)而不互相影響。

服務(wù)器虛擬化軟件有微軟的Hyper-V、Xen、VMWare（ESXI是免費(fèi)的，vSphere是收費(fèi)的）以及KVM等[5]。通過VMWare ESXI創(chuàng)建一個虛擬平臺，VMWare ESXI 服務(wù)器是具有高資源管理功能高效、靈活的虛擬主機(jī)平臺。VMWare ESXI是任何系統(tǒng)環(huán)境下都適用的企業(yè)級的免費(fèi)虛擬主機(jī)軟件。VMWare ESXI可以實現(xiàn)服務(wù)器部署整合，適合各種嚴(yán)格的應(yīng)用程序的高需求，能提供完全動態(tài)的資源可測量控制。通過VMWare ESXI創(chuàng)建虛擬機(jī)平臺。利用VMWare ESXI管理控制端，可實現(xiàn)動態(tài)分配各虛擬機(jī)內(nèi)存容量和CPU數(shù)目，也可實時監(jiān)控各虛擬機(jī)的運(yùn)行狀態(tài)。企業(yè)員工只需要在云平臺的登錄界面,輸入正確的用戶名和密碼后，便可在本地對云端的虛擬機(jī)進(jìn)行操作。通過瀏覽器操作虛擬機(jī)，進(jìn)行數(shù)據(jù)上傳和下載,所有的服務(wù)都運(yùn)行于云端，無需使用U盤、移動硬盤，減少病毒入侵服務(wù)器的機(jī)會,保證了系統(tǒng)的穩(wěn)定性和用戶數(shù)據(jù)安全。

2.2 數(shù)據(jù)交換區(qū)域

圖2的中間部分是數(shù)據(jù)交換區(qū)域，私有云三層網(wǎng)絡(luò)架構(gòu)的第二層，包括匯聚層交換機(jī)、云平臺管理系統(tǒng)、DNS服務(wù)器、準(zhǔn)入控制系統(tǒng)。

兩臺匯聚層交換機(jī)可支持VRRP協(xié)議，VRRP是一種路由容錯協(xié)議，也稱備份路由協(xié)議。當(dāng)缺省路由的端口down掉，內(nèi)部主機(jī)將無法與外部通信，兩臺匯聚層交換機(jī)設(shè)置VRRP時，虛擬路由就將啟用備份路由，從而實現(xiàn)全網(wǎng)通信。

在企業(yè)私有云網(wǎng)絡(luò)架構(gòu)設(shè)計中，最關(guān)鍵的是如何有效管理和支撐這個云平臺，這就必須建立一個高效、智能化的云平臺管理系統(tǒng)，有效降低運(yùn)營管理成本，確保云平臺的戰(zhàn)略得到實現(xiàn)[6]。云平臺管理系統(tǒng)需要能對底層的所有資源具有動態(tài)監(jiān)控、配置、管理能力，包括資源申請、資源調(diào)度、資源回收。云平臺管理系統(tǒng)實現(xiàn)虛擬機(jī)管理、服務(wù)器管理、資源池管理、配置及狀態(tài)管理，通過虛擬機(jī)的封裝，管理員通過云平臺管理系統(tǒng)，實現(xiàn)物理資源的按需分配，根據(jù)企業(yè)員工的需求安裝虛擬機(jī)，制定所需內(nèi)存容量、CPU的數(shù)目、磁盤空間等。工作中使用的大型軟件也不必安裝在本地計算機(jī)上，根據(jù)不同部門工作的需求，配置獨(dú)立的運(yùn)行環(huán)境，安裝所需的操作系統(tǒng)和應(yīng)用軟件，有效實現(xiàn)共享服務(wù)器中心資源。

數(shù)據(jù)交換區(qū)域中的DNS服務(wù)器會根據(jù)不同的授權(quán)區(qū)，記錄所屬該網(wǎng)域下的各名稱資料，這個資料包括網(wǎng)域下的次網(wǎng)域名稱及主機(jī)名稱。DNS服務(wù)器在這個云架構(gòu)里，是一種組織成層次結(jié)構(gòu)的分布式數(shù)據(jù)庫，作為云平臺虛擬主機(jī)的IP地址解析，一個虛擬機(jī)就要一個主機(jī)名，通過DNS來記錄。

客戶端通過互聯(lián)網(wǎng)遠(yuǎn)程訪問企業(yè)私有云，最重要的就是數(shù)據(jù)的安全性，業(yè)務(wù)數(shù)據(jù)就是企業(yè)的生命線。在數(shù)據(jù)交換區(qū)域，加入一個準(zhǔn)入控制系統(tǒng)，確保企業(yè)數(shù)據(jù)的訪問安全。

準(zhǔn)入控制系統(tǒng)是企業(yè)私有云的一道安全防護(hù)墻，它的作用是控制終端的一些不良行為。未經(jīng)允許的入網(wǎng)終端設(shè)備無法進(jìn)入網(wǎng)絡(luò)，對所有入網(wǎng)終端設(shè)備的統(tǒng)一身份認(rèn)證（IP地址、MAC地址、機(jī)器識別碼認(rèn)證）。可以實現(xiàn)對網(wǎng)絡(luò)邊界準(zhǔn)入的控制。結(jié)合國家安全局及企業(yè)內(nèi)部相關(guān)安全制度，部署終端的安全策略。

2.3 互聯(lián)網(wǎng)區(qū)域

整個企業(yè)私有云架構(gòu)設(shè)計的第三部分是互聯(lián)網(wǎng)區(qū)域，如圖2的右邊部分，互聯(lián)網(wǎng)區(qū)域為訪問云服務(wù)的兩條線路，企業(yè)可以搭建移動和電信兩條不同運(yùn)營商的線路，達(dá)到相互冗余。硬件設(shè)備包括交換機(jī)、負(fù)載均衡、私有云架構(gòu)的另一道安全防護(hù)墻（即網(wǎng)絡(luò)層的安全防護(hù)：防火墻、IPS入侵檢測、DDOS防護(hù)）[7]。

在私有云架構(gòu)的互聯(lián)網(wǎng)區(qū)域加入負(fù)載均衡技術(shù)，有著極大的意義。負(fù)載均衡是一種技術(shù)，通過算法實現(xiàn)負(fù)載分擔(dān)的方法。一種廉價有效透明的方法擴(kuò)展網(wǎng)絡(luò)設(shè)備的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性。在企業(yè)私有云網(wǎng)絡(luò)架構(gòu)設(shè)計，可以使用F5負(fù)載均衡。

互聯(lián)網(wǎng)區(qū)域中網(wǎng)絡(luò)層的安全防護(hù)使用了防火墻、IPS入侵檢測防御系統(tǒng)、DDOS防護(hù)保障數(shù)據(jù)安全。

3 總結(jié)

本文闡述傳統(tǒng)的企業(yè)信息化建設(shè)意義及過程存在一些問題，提出一種基于私有云的企業(yè)三層網(wǎng)絡(luò)架構(gòu)，分別為云平臺區(qū)域、數(shù)據(jù)交換區(qū)域、互聯(lián)網(wǎng)區(qū)域，分析介紹了每個區(qū)域所使用的設(shè)備方案以及關(guān)鍵技術(shù)；實現(xiàn)企業(yè)個性化按需服務(wù)，降低企業(yè)的資金和硬件投入的成本。通過分析得出:這種虛擬網(wǎng)絡(luò)架構(gòu)兼顧經(jīng)濟(jì)性、高可靠性、易管理等原則，同時能夠統(tǒng)一調(diào)度管理，數(shù)據(jù)安全可靠，資源按需分配，企業(yè)管理高效的作用。此課題模擬實驗驗證研究階段，在具體實施需要結(jié)合企業(yè)發(fā)展實際管理出發(fā)，客觀的對理論進(jìn)行完善。

[1]張強(qiáng).云計算環(huán)境下中小企業(yè)信息化建設(shè)發(fā)展研究[D].安徽:安徽大學(xué)，2014.

[2]朱近之.智慧的云計算:物聯(lián)網(wǎng)的平臺[M].北京:電子工業(yè)出版社，2011.

[3]陶姿邑，畢善為.基于云計算的虛擬計算實驗室[J].信息技術(shù)，2013.

[4]心跳線.H百科.http://www.baike.com/wiki/%E5%BF%8 3%E8%B7%B3%E7%BA%BF.

[5]薛靜.基于虛擬化的云計算平臺中安全機(jī)制研究[D].西北大學(xué)，2010.

[6]張志宏.云計算平臺管理系統(tǒng)的研究與實現(xiàn)[J].北京:中國移動通信研究院，2012.

[7]雷萬云.云計算:技術(shù)、平臺及應(yīng)用案例[M].北京:清華大學(xué)出版社，2011.

[8]張乃千，楊海，周麗濤.基于云計算的虛擬實驗云平臺設(shè)計[J].計算機(jī)教育，2015.

課題項目:教育部數(shù)字化學(xué)習(xí)支撐技術(shù)工程研究中心“十三五”全國數(shù)字化學(xué)習(xí)研究規(guī)劃課題，課題批準(zhǔn)號2016BB120。