某集团工业云场景与平台解决方案.docx

《某集团工业云场景与平台解决方案.docx》由会员分享，可在线阅读，更多相关《某集团工业云场景与平台解决方案.docx（61页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、文档编号密级集团工业云场景与平台解决方案（文档版本：V1.0）集团解决方案部3针对性的解决方案3.1方案概述寄云科技是一家专注于工业互联网的科技企业，旨在利用云计算、 大数据和物联网等先进技术，深入结合行业理解和服务经验，为传统 工业企业提供从数据采集、数据处理和存储、数据建模和分析，以及特 定的行业应用开发等能力，立志于解决传统工业在效率不足、成本过 高、质量过低等方面固有的问题，帮助企业提高核心竞争力，推动中国 的工业企业走向“中国制造2025”。寄云科技作为国家高新技术企业，自成立之初，便始终站在技术 发展最前沿，坚持自主创新，开发了国内首个世界级的工业互联网平 台，填补了该领域国内的空

2、白。平台创造性地将工业设备、边缘计算、 物联网、大数据以及云计算等先进技术紧密结合在一起，为工业企业 实时数据提供从传感器数量采集、实时数据存储和转换、数据分析和 建模、设备和产线监控和告警，到工业大数据的深度处理和分析等多 维度的服务，为客户提供包括故障诊断、故障分析和预测、可靠性分 析、产线优化等全方位的解决方案。集团集团作为中国本土综合实力强大的大型IT企业之一，国内领 先的云计算、大数据领导厂商，先进的信息科技产品与解决方案服务 商，在云计算、大数据等领域具有丰富的产品和实施经验。双方深度合作提出了 “集团工业云平台解决方案”基于集团最新 一代云平台InCloud OpenStack开

3、发，完整适配寄云NeuSeer系统，为 整个工业上云提供重要的技术保障。提供了从设备级别、过程级别和 运营级别等不同层次的解决方案，利用平台优秀的扩展能力和丰富的 微服务，可以为各类离散或流程类企业快速组合生成包括设备智能监 控和预测性维修、产线质量检测和优化以及运行效率优化的工业云解 决方案。传统工业模型的开发是一个非常痛苦的过程，不仅需要开发人员 充分理解设备的工作原理、具备深入的算法和分析技能，还要求会写 算法代码甚至会开发应用，而这种跨专业的人才成本非常高，造成工 业企业普遍无法配备类似的人才，因此难以解决很多定制化和突发的 数据分析和建模问题。平台提供了大量针对特定工业应用场景的算法

4、包，以及多种针对 不同应用场景的机理模型和数据驱动模型，运营分析人员或者数据科 学家可以在此基础上，利用平台提供的快速建模工具进行模型训练和 测试，并将其发布到实时的工业应用中，从而极大降低对数据分析人 员在算法模型开发上的能力要求。工业本身就是环节众多、异常离散和复杂的多应用场景，因此很 难用一套固化的应用来解决非常多的突发和异常、传统的工业应用开 发和迭代过程是一个非常冗长的过程，开发和迭代周期动辄数年，无 法有效的应对突发的情况。工业应用需要的是很多跨领域的专业知识, 包括数据采集、数据处理、数据分析和建模，往往需要具备专业知识的 技术人员依靠不同领域的专业工具来产生各自领域的半成品结果

5、，并 由最终应用开发人员实现整合。但是传统的应用开发模式，缺少类似 API、微服务、容器化的整合方案，无法实现跨领域的有效整合，只能 依赖各方面都精通的跨领域人才实现有效整合，这无疑加大了开发的 难度，限制了应用的扩展和灵活性。集团联合寄云打造的工业云平台不仅能提供丰富的工业微服务， 还提供快速建模的工具，支持客户或合作伙伴在寄云提供的应用和模 型开发框架上进行深度的二次开发，快速构建基于工业机理和数据模 型的工业互联网应用，极大的降低了应用开发的门槛和成本，提升了 应用交付的速度。平台将工业应用所需的大量外围和后端服务，如设 备元数据管理、工业大数据建模套件、时序数据库、边缘设备管理，以 及

6、大量包括消息、物联网、身份管理、安全和大数据分析的开发者服 务、都以API的方式提供给应用开发者，可以最大限度的降低开发的 门槛，提高开发的效率和开发质量，避免开发者陷入过多的对基础资 源的管理和维护，进而大幅降低开发的成本。平台提供了非常多的精益开发的设计，不仅可以支持开发各种 Cloud Native的微服务应用，同时还提供了 API网关实现服务的发现和 访问权限。用户可以不再拘泥于传统笨重的单块应用的开发模式，转 而采用不同的语言快速开发小型的微服务模块功能，再通过API网关 将模块集成在一起。平台支持持续集成和构建，能够自动检测用户的 代码修改，进而执行编译、打包和部署的动作，自动完成

7、应用的重新构 建过程。方案整体设计思路如下图所示:ISCSOS服务器ISCSAFC服务器服务器OSOS图3-1整体设计思路从传统的各自独立的部署方式，按照应用逐步上云，最终实现应 用系统全部云化部署。工业云平台由工业物联网网关NeuSeer Edge,应用开发与数据分 析平台NeuSeerStack以及工业应用NeuSeer Apps三部分组成。NeuSeer Edge工业 设备业务 系统NeuSeer Stack图3-2工业云平台架构NeuSeer Apps工业物联网网关能够从丰富的工业设备和传感器提取实时的数据, 进行协议的转换，支持对数据进行本地的运算和预处理，执行由平台 推送的特定模型

8、，并通过标准的物联网协议接口发送回来。数据分析与应用开发平台是为工业企业的数据分析和应用开发人 员，提供从基础数据处理、数据存储、数据分析、工业模型和工业应用 运行环境，以及工业模型开发和工业应用开发方面的能力。不仅可以 实现海量工业数据的接收、处理和存储，还能够基于存储的数据进行 深入的分析、快速的模型开发，以及构建针对设备运维、生产过程监 控、质量和效率优化等方面的工业应用。平台上构建的应用，与同传统的MES、ERP有着非常大的区别, 主要是基于平台的数据架构构建的各种设备运维、产线优化和经营分 析等方面的应用。应用开发严格遵循了微服务的开发准则：1）基于模 型开发应用；2）微服务架构；3

9、）基于同一的数据标准；4）统一集成。 总体架构开放云计算框架：根据项目的自主可控、面向未来、防止厂商锁 定的原则，整体方案基于开放的云计算框架，选择以OpenStack 为基础和核心，进行二次开发和优化的云新界面，实现控制节点 的高可用，整合审批流程、统一监控和支持自动化运维开发，实 现自主可控的云计算平台。 计算与存储的分布式架构：采取将计算与存储的分布式架构，实 现类似Google数据中心的，实现可线性横向扩展的分布式云计算 资源池。 软件定义计算：基于优化过的开源虚拟化平台，增加热迁移和高 可用等高级功能，整合自动化物理节点部署和应用部署自动化，实现计算资源的软件定义。可以实现多虚拟化平

10、台的整合，避免 厂商锁定。自助式服 务平台自分研网筋术分布式存储技术计算存储融合一体机5 |OPENSTACKw蠢 aL-openstackJ ， 501F W i I图3-3私有云架构 软件定义网络：通过OpenStack Neutron和OVS以及异构网络硬件 设备的整合，实现控制平面和转发平面的分离，建立软件定义网 络环境软件定义存储：通过OpenStack实现异构存储的统一，底层部署 分布式存储和商用存储并暴露接口，实现存储的灵活调度和按需 分配，并通过分布式存储搭建冗余备份环境，实现软件定义存储 环境。 异构兼容性：需要实现对KVM、VMWARE等多虚拟化的兼容纳管，实现对不同批次不

11、同厂商服务器的兼容纳管。 鉴权管理：云平台需要提供相关的权限管理模块，需要实现基于 角色的访问权限管理；对子项目、子用户、组用户实现分级的管 理。同时实现计量和计费功能。并可使用常用的的鉴权管理系统 进行纳管，包括但不限于LDAP、ADo3.2 总体架构逻辑架构云平台设计将以国际主流laaS技术OpenStack为核心，基于它提 供的计算资源管理、存储管理、网络管理、镜像管理、认证管理、计量 管理和其他模块进行优化，结合分布式存储Ceph,构建一个面向未来 的、易于横向扩展的、高可用的、不被厂商锁定的弹性计算存储云资源池。将来可以实现如下的总体架构:流程管理openstackCLOUD SOF

12、TWARE用户自助界面云界面管理员界面监控集成消息队列存储管理优化私椁云引擎对外Web API接口AD集成租户管理模板管理镜像管理调度管理日志管理虚拟机管理大数据支持计算管理网络管理数据库自动化管理DB-a-a-S支持分布式网络（网络资源池）服务器虚拟化 （计算资源池）分布式存储（备份） 伸储资源池）分布式存储（镜像和文件） 传储资源池）集中式存储（数据库文件） 传储资源池）外层用户：根据应用/基础架构资源的层次，整个云平台所面向用户有四类，相应的权限限定如下：云平台系统外部用户：从因特网访问云平台系统，但无法访问内 部系统。根据这一访问特点，云平台可以通过前端设备NAT映射的来 限定可以被外

13、网访问的系统，同时结合防火墙设置以及VLAN分配，做 好对外防护和对内隔离的设置。云平台系统内部用户：从内网访问云平台系统或者办公系统，云 平台将通过VLAN隔离以及设备（服务器和存储资源）的物理隔离等方 式，限制外网和内网之间的安全划分，同时结合内网资源（子网 /VLAN/IP/安全组）的管理，做好应用之间的隔离。云平台系统应用层管理员（云租户）：负责支持系统应用层的运维, 负责应用层的监控、升级和问题解决。具有系统相对应的操作系统、存 储、网络和数据库等基础架构资源的访问和管理权限。云平台将通过 租户管理模块，从逻辑上进行组织划分以及可使用资源的限定，进行 租户隔离云平台管理员：云平台整体

14、管理员，负责云平台的租户管理、资源 分配、状态监控和系统运维等工作。上层交互界面：租户使用界面：云计算租户作为各个应用系统的管理员，通过租 户界面，租户可以访问自己的操作系统和存储资源，请求新资源，同时 进行一些基本的管理操作。云平台管理员界面：云平台整体管理员通过这一界面实现对整个 云平台的资源分配、监控和管理。管理员也可以通过命令行进行一些 更高级的管理操作。API接口：云平台同时提供整体云平台的API,可以基于此二次开 发，可以和其他系统进行集成。中层核心框架：基础模块：用户记录各个模块数据的结构化数据库、用户保存监 控数据的非结构化数据库和用户个模块之间通信的消息模块核心云计算框架：包

15、含认证模块、计算（虚拟化）管理模块、存储 管理模块、网路管理模块、镜像管理模块和自动化运维模块，通过这些 核心组件，构建软件定义数据中心的基本框架。业务流程引擎：根据云平台云的需求进行资源申请和审批的业务 流程资源监控：监控整个云平台资源使用情况异构兼容：按照扩展需求，能够支持结合插件（Plug-in）和驱动（Driver）,将异构的硬件整合到云平台中底层架构：计算节点虚拟化：通过在每个节点上部署虚拟化软件，实现计算 资源的虚拟化，提供虚拟机资源分布式存储：通过分布式存储Ceph为云平台提供各种存储资源。3.2.1 组件架构云平台的将划分为控制区域、计算区域、分布式存储区域，三个区 域构建，区

16、域之间管理和存储分别通过千兆和万兆网络，通过不同的 VLAN划分各个网络，保证业务隔离。控制区域文档版本管理文档版本号文档负责人文档审核人负责人联系方式完成日期具体修改内容本区域主要为云平台提供虚拟机管理、存储管理、网络管理，为避 免控制节点出现单点故障，故采用三物理节点做HA来提供控制区域 的高可用性。控制区域部署控制端所需组件，各个组件均提供HA的能 力。需要对KVM计算区域及VMWARE计算区域的网络进行统一的分 配和管理，可以实现vmware同cluster下多网络的统一纳管，虚拟机 网络部分直接采用物理网关和外部通讯。具体组件构成如下图所示：图3-5组件构成各组件之间通过如下的逻辑关

17、系构成，控制节点部署所需的API、 镜像服务、数据库服务、消息服务等所需的服务。采用HAProxy. packmaker.Galera等集群技术构建控制节点高可用，详细如下图所示， 在应用层形成高可用方案：horizonMariadb/Galera Cluster.() Active/BackuQ .一1(- * keepalived vip)A b);/m:、.(y、b,、( ,Y/ -： w X、(),/ / /、 ： ： , ,(Y : : / 尸 / ,1(* MongoDB Cluster卜Active/BackupA1.RabbitMO ClusterActive/ActiveII

18、HAProxyglance-apineutron-apinova-consoleInfluxDBMongoDBrabbitmqceilometer-apiglance-registry(nova-metadatacinder-api7控制节点1 I mysql-wsrepnova-api(keystone-api控制节点2 mysql-wsrep HAProxyceilometerapi )glance-registry Jglance-apinova-apikeystone-apineutron-apicinder-apihorizonnova-metadatanova-consoleInf

19、luxDBMongoDBrabbitmqManadb/Galera ClusterArbitrationkeepalived ,vip控制节点3garbdHAProxyceilometer-apiglance-registryCglance-api. ( nova-api.Ceystone-api )、(neutron-api ) cinder-api) ) ) ) Ahorizon* nova-metadatanova-consoleInfluxdDBMongoDB ClusterArbilraitionRabbitMQ ClusterActive/Active, V MongoDB( 一

20、rabbitmq图3-6组件逻辑关系计算区域计算区域将有X86服务器组成，使用多种虚拟化技术同时作为虚 拟化软件，提供虚拟化能力。OVS提供为虚拟机提供vswitch,从而为 灵活组网提供支撑。Libvirtd作为虚拟化管理API层，为上层novacompute 提供控制kvm的接入层。Nova-compute对集群节点进行计算 资源管理，neutron-ovs-agent对集群节点网络进行管理，ceilometer- compute-agent提供数据采集，为上层的计费和监控提供数据。Zabbix- agent提供监控数据采集。平台可以通过划分Region和AZ的方法来实 现多区域以及多资源

21、池的管理，解决平台规模扩展和性能瓶颈的问题, 同时区分不能的虚拟化技术池。Ceph分布式存储区域非融合部署架构：控制、计算、存储节点部署在不同的服务器上， Ceph 集群为 InCloud OpenStack 提供存储资源，Ceph 由 Ceph Monitor服务（3个节点各部署一个Ceph Monitor服务进程）与CephOSD服务（每个节点根据硬盘数量部署多个Ceph OSD服务进程）组成，每个 CephOSD服务进程管理一块硬盘。分布式存储网络考虑到业务使用以 及性能要求，将划分为4个网络，具体如下图所示：管理网络：管理Ceph集群服务的网络，需1Gb以上带宽Ceph public网

22、络:OpenStack及VM访问Ceph集群的数据网络，需 10Gb以上带宽C即h cluster网络：Ceph集群内进程数据东西向通信的网络，需10Gb以上带宽10Gb 0pnStack 业务M10Gb 0pnStack 业务MCephnode 1Ceph node 2Ceph node nCeph MonitorCeph MonitorCeph MonitorCeph OSDCeph OSDCeph OSDCentOS 7CerrtOS 7CeirtOS 7IF3IF2IF2IF2IF3IF2IF3IF2IF3OpenStack ControllerOpenStack Controller

23、OpenStack ControllerOpenStack ComputeOpenStack CompirteIF2 IF3IF 2 IF3CentOS 7CentOS 7CeirtOS 7CentOS 7CentOS 7node 1ipenstacinode 2peiiSTacl node 3penstaclnode 4ipenstacinoden图3-7分布式存储OpenStack Compute SchedulerOpenStack Compute SchedulerOpenStack Image Service图3-8 VMWARE纳管通过对OpenStack平台网络部分的架构改造，使

24、其适应于vmware. kvm共存的异构资源池，因Vmware本身产品的限制，需要对网络进 行部分改造以便对多个网络同时进行管理。3.3 计算资源设计计算虚拟化是计算资源池化提供计算即服务的主要技术手段，也 是软件定义计算最主要的解决途径。依托计算虚拟化技术，虚拟机成 为计算调度和管理的单位，可以在数据中心内部甚至跨数据中心的范 围内动态迁移而不用担心服务中断。计算资源主要以物理机及虚拟机两种方式提供服务。其中，物理 机主要承载数据库服务的部署；虚拟机主要承载应用中间件、WEB服务 器等服务。在部署业务时，首先考虑使用虚拟化平台，优先采用虚拟主机满足，对于虚拟主机不能满足的应用，则采用物理服务

25、器满足。对内存容 量、10、扩展性的要求都不高，且有节约空间和能源的应用，我们推荐 采用虚拟化计算资源来满足；对于高性能计算，大容量存储，大容量内 存和高10的需求，虚拟化不能满足应用需求，则采用4路或者8路 X86服务器等高性能物理主机满足；采用虚拟主机能节约计算资源、 机架空间、能源；数据库服务器需要承担大量实时并发处理和数据分 析能力，对10和计算要求都非常高，为了保证数据安全和系统稳定, 建议采用物理机。3.4 存储资源设计在生产内网，分别部署集中式存储和海量存储，推荐配置高端集 中式存储和海量存储，集中式存储用来承担各业务系统的核心数据库, 海量存储通过FC光纤网络或IP以太网和云管

26、平台连接，用来存储各 业务系统虚拟机文件，海量存储用来存储视频安防监控系统的视频流。生产网络存储本地数据保护方式使用存储同步镜像方式实现，保 证备份存储数据与主存储数据的完全一致性，当主存储系统出现故障 后，可以快速切换应用至备份存储系统并持续对外提供业务访问。存储设计指导原则如下： 按照数据重要性级别进行有效分类，区分块级、应用的需求 按需区分性能和容量，将投资回报率有效提高 存储系统包含多协议融合、分布式技术，可以按需提高性能 集中式企业级高端存储具有高可靠、高扩展、高性能、功耗低、尽 量节省部署空间等产品特性，可以提供数十万1(5及99.9999%以上 的可靠性支撑，发生故障时更换配件尽

27、量不降低性能、不需要停机进 行维护。同时，存储双活镜像技术实现数据的同步，当主存储系统出现 故障后，可以在极短的时间内将业务切换到备用存储系统并持续对外 提供业务访问。主存储中数据与备存储实时同步或根据链路可调整为 异步复制方式，RPO约等于0。海量存储面向云计算、大数据、视频监控应用等海量数据业务，支 持 NAS、Object. SAN 存储功能，融合 iSCSI、Infiniband 及 10Gb 万 兆主机接口，囊括了目前主流的存储网络架构及主机连接方式。支持 海量存储，在线横向扩展，控制器集群体系架构，所有控制器并行承担 数据10、保障系统整体负载均衡，数据分散存储，避免单控制器故障

28、带来的风险和性能的瓶颈，支持控制器在线横向扩展，满足持续增长 的容量和性能需求；模块化设计，人性管理，客户按需选择，维护、升 级、管理简单方便；绿色节能，全系统选取节能降耗的处理器、芯片 组、风扇和散热片等部件，提高系统的能效利用率；支持在线扩容/缩 减时数据自动迁移，确保系统按需配置，同时支持Maid磁盘节能技术, 降低磁盘能耗，节约开支；支持自动精简技术，大大提高存储资源利用 率。3.5 网络资源设计网络设计规划整个网络分为互联网环境、办公内网环境和生产网环境三大部分。 在办公网和核心生产网分别设置核心骨干三层交换机以太网交换设备, 办公网和互联网可以共用交换机，通过网络技术技术进行逻辑隔

29、离。 具有万兆交换能力的三层以太网交换机，作为各子网络区域的统一接 入和数据交换处理，通过链路聚合提高网络资源利用率，实现网络负 载和链路冗余备份。各子网络区域内单独部署汇聚交换设备，与核心 交换机进行连接。图3-9网络整体架构3.5.1 网络安全设计依据国家等级保护的有关标准和规范，结合信息系统的建设目标, 为地铁建立一个完整的安全保障体系，有效保障其系统业务的正常开展，保护敏感数据信息的安全，保证地铁行业信息系统的安全防护能力达到信息安全技术信息系统安全等级保护基本要求中第三级的 相关技术和管理要求。安全域的划分是网络防护的基础，事实上每一个安全边界所包含 的区域都形成了一个安全域。这些区

30、域具有不同的使命，具有不同的 功能，分域保护的框架为明确各个域的安全等级奠定了基础，保证了 信息流在交换过程中的安全性。在本项目中，将严格按照信息系统的重要性和网络使用的逻辑特 性划分安全域，根据地铁网络与信息系统各节点的网络结构、具体的 应用以及安全等级的需求，按照技术体系中网络安全规划，将地铁系 统划分为八个安全域。依据安全域划分原则，同一安全域拥有相同的安全等级和属性,互联网接入区域、核心交换安全域、对外服务器区域、内部服务器区域、远程接入区域、安全管理域、用户终端区域内部是相互信任的, 安全风险主要来自不同的安全域互访，需要加强安全域边界的安全防 护。区域之间依据业务及安全的需要配置安

31、全策略，有效实现信息系 统合理安全域划分。鼻勺远程接入区SSLVPN集群全网态势感知终端检测响日志审计 扇数据库审计安全服务云安全管理域互联网接入域ISPISP上网行为管理办公终端办公终端办公终端POE交蝴AP 邑 R.无线办公用户终端域图3-10网络分区架构互联网接入区域：提供统一的对互联网威胁的防护能力，通过链 路负载均衡、下一代应用防火墙（包含入侵防御、防病毒网关等功能模 块）上网行为管理等设备进行网络边界的安全防护，提供外网用户对 网内数据访问的安全保障。对外服务器区域：是指对外网访问者提供服务的网站、WAP、短信 平台、微信、外部门户等系统，通过Web防火墙（包含网页防篡改模 块）和

32、服务器负载对服务器的安全保护。安全管理域：网络安全管理安全域是指通过安全管理平台、日志 审计、运维审计、数据库审计等系统对全网进行安全管理的区域。核心交换安全域：核心交换安全域是指对全网进行提供数据交换 的核心区域，包括核心交换机及部分汇聚交换机。内网服务器区域：地铁内网服务器区域，包括信息系统所在的服 务器群，主要有财务管理、资产管理、施工管理、运输策划管理、票务 管理、运营日报管理、乘务司机管理等，同时包括系统所涉及的配套基 础，如数据库、存储等设备。跟进等级保护建设基本要求，对重要区域 进行划分和防护，如果服务器就直接接在核心交换机上，将会存在很 大的安全风险。内网终端区域：地铁网络中的

33、各个终端区域，包括接入网络中的 PC和移动终端、笔记本等。另外，随着移动办公和无线热点的不断发 展，人们上网对无线的使用越来越多，所以对外无线网络的用户，也需 要进行隔离划分，并能进行审计和控制远程接入区域：随着互联网的不断发展，不断出现网络架构的调整 的，同时第三方协同办公、运维、移动办公的普及，数据的安全传输是 一个比较重要的问题，所以对于远程接入的部分重点进行划分，做数 据的加密传输，保障整个网络的安全性。3.6 云平台设计云计算平台由资源池、虚拟化平台、云管理平台组成。资源池部分 主要有物理设备组成，包括服务器，存储和网络等基础架构资源，通过 虚拟化平台对基础架构设备进行池化，从而形成

34、资源池；虚拟化平台 就是将物理资源进行池化的软件组合；云计算管理平台就是对底层资工业企业直到今天还主要只在研发设计上实现了数字化，而在生 产、运维和服务上缺少数字化支撑能力，这也就造成了很多工业场景 无法通过数据来进行精确的决策的困境。这种矛盾不仅表现在无法对 生产过程中的各种参数实现有效的稳定性控制，进而稳定和提高产品 质量，更无法通过对设备的运行状态和维修策略做出精确的评估和预 测来避免非计划停机。正是由于工业在设计、生产和运维上的专业性、复杂性和离散特 点，造成了工业应用在建设场景中“烟囱式”的业务结构。为了解决 这种烟囱式业务系统问题，开发了集团工业云场景与平台解决方案， 紧紧围绕着以

35、数据为中心的设计思路，针对不同的分析主题来提取不 同的数据子集进行分析，使得平台不仅提供了能够支持海量工业数据 存储和查询的时序数据库，同时还提供了丰富的工业应用开发、分析 的框架和服务，帮助客户快速体验工业云的价值。源池和虚拟化软件进行管理，并且，针对管理和运维需要，云计算管理 平台实现云计算服务的交付和云计算中心用户和流程的管理以及数据 中心的监控。以Openstack为核心，构建开放融合安全的云产品竞争力行业云政务云IOP展中心级运营、运物艮务平台)ICMA : InCloud ManaqeAII (云安全InQoud Manager (云管理平台)InCloud Openstadc C

36、ore (核心云平台)Extensions软件定义计算软件定义存储软件定义网络软件定义安全1ICS/gMWKVM/ PowerVMInCJoud Storage /ySan/Cep.h.ACI/NSX/OVSSSR-v/SSR-h/ylBICOS : InCloud Openstack (OpenstackoKfi)SSASSRSDPSSC图3-11云平台整体架构X86服务器/Powe可用1路由器/咬换机安全没备InCloud OpenStack是集团的云资源管理平台，设计实现上遵循 以下原则：(1)基于主流开源方案，保持各组件解耦及实现对于厂商的弱依 赖，可提供实施简单、可大规模扩展、丰富、

37、标准统一的云计算管理平 台。OpenStack通过各种互补的服务提供基础设施即服务(laaS)的解 决方案，每个服务提供API以进行集成。(2)综合分布式存储和集中式商业存储，满足容量和性能的需求。(3)支持基于大二层网络的分布式组网，结合SDN技术，实现资 源跨区域共享和自动化管理。通过VxLAN构建跨多数据中心的虚拟化 网络。首先通过跨站点的大二层网络打通，构建多租户的云计算服务 环境，并提供方便的数据复制、同步的网络基础服务，满足对旧的数据 中心无缝升级改造以及基于虚拟机层面构建多节点数据中心的需求。(4)通过网络隔离，实现不同租户不同业务之间的安全隔离。虚 拟数据中心(Virtual

38、Data Center)将物理资源池化后，按组织、业 务需要灵活分配，构建的一个逻辑的数据中心，包括数据中心需要的 计算、存储和网络资源。(5)提供虚拟机和物理机的混合编排发放，服务不同应用场景。基于 OpenStack Ironic 开放框架，通过 PXE Driver 和 IPMI Driver技术，实现标准X86服务器接入和自动化管理(6)基于SDN技术，实现物理服务器网络自动化配置为Oracle DB、重载应用提供裸金属物理资源云资源管理平台能为办公内网平台实现组织管理、用户和角色管 理、认证管理、镜像管理、业务流程管理、业务组织与项目管理等基础 功能，同时也能实现云资源管理和调度(计

39、算、网络、存储)，能很好 的支撑服务体系建设，平台具有高可靠性和开放性设计。3.7 云安全设计参考标准云平台的安全设计，首先需要参考国家、行业和企业的一系列标 准，根据自身特点，制定自身安全管理体系。信息系统安全等级保护基本要求第三级（GB/T22239-2008）信息技术网络安全等级保护基本要求（第2部分云计算安全扩展要求）工信部可信云认证（云主机、对象存储、云数据库、云缓存等认证）企业信息安全保障体系企业内外网数据安全交换平台技术规范ISO/IEG4so27001信息安全管理体系认证图3-12云安全参考标准3.7.2 云安全特点相较于传统平台，面临更多的新问题和挑战，也具备更多的新技术加强

40、安全管理。他们的相同之处和不同之处在于:传统网络IP攻击操作系统与软件漏洞传统安全 威胁云平台安全框架安全API安全数据库保护认证安全病毒螭虫木马拒绝服务攻击僵尸网络Web攻击如选择广泛采用的框架还是国内某个厂商自研的产品访问API的Token机制和租户的API访问边界即使API权限被非法获取，也能保护数据库的安全 不同角色的权限边界云计算面 临的新安 全威胁虚拟资源隔离多租户安全虚拟机操作系统安全虚拟资源的访问控制虚拟机权限管理虚拟机通信安全虚拟机迁移安全数据隔离数据泄露、隐私保护如何保证虚拟机操作系统内的安全访问虚拟机的方式RDP/SSH/VNC/SPICE定义不同角色、租户和租户内用户的

41、访问和操作粒度虚拟机间通信健康和流量镜像分析定义虚拟机的迁移权限租户间的存储和网络隔离如虚拟硬盘加密删除后剩余数据的非法恢复如禁止下载硬盘镜像图3-13云安全与传统平台安全比较我们将集成集团传统安全的管理，同时会根据云计算的特有特点 进行安全加固，从整体上保证云平台的安全性。3.7.3 安全整体设计我们将构建以下云平台安全体系，从管理、应用、数据安全、基础 设施安全等几个方面，保障信息系统的安全：安全建设框架应用安全数据安全基础设施安全管理安全终端接入安全平台安全数据备份 传输加密 数据加密 完整性保护 数据访问 SQL注入防护服务总线安全 应用端口管理 双因子认证 应用防护 集中日志分析 漏

42、洞扫描 统一审计系统 统一身份认证统一安全中心访问和授权 鉴别和认证 存储安全 网络安全 虚拟机安全 计算节点安全 API安全 云平台安全图3-14云安全整体框架云安全分项设计3.7.3.1 云平台框架安全所有API访问操作需要通过云平台的认证模块(Keystone)强制认 证，任何API接口或者命令操作，必须通过用户本身的用户名和密码 向Keystone获取安全令牌(Token)之后才能执行，Keystone通过租户 (Tenant)的隔离实现资源层面的访问隔离，通过基于角色的认证控制(RBAC)控制每个用户可以访问的资源权访问策略控制安全令牌控制OpenStack 服务OpenStack

43、服务Keystone认证模块访问点控制用户以及权限控$0图3-15云平台框架安全傻瓜式(Brain-less)计算节点，保证计算节点安全受到影响的情 况下不会波及控制节点。nova-compute是nova里最不被信任的服务, 避免直接访问数据库可以规避的潜在风险。每个计算节点的调度通过 Nova Conductor协调，通过消息队列rpc.call的方式实现对控制节点信 息的获取，从设计上实现了 “无需直连数据库的计算节点(no-db- compute)”。图3-16计算节点协调虚拟机安全虚拟镜像限定只能通过私有证书方式访问；在虚拟化层，对于存储镜像进行加密传输，保证在传输过程中的 存储安全

44、。对于镜像文件和用户生成的数据，进行权限认证和加密，从 而保障数据加密安全；对于虚拟机的网络安全方面，采用支持虚拟防火墙的设备对各个 租户进行访问隔离。并且可以在虚拟防火墙内部定义租户的规则和访 问策略。能细粒度的控制一个租户内部虚拟机的访问策略。另外，管理 员可以通过外部接入控制，有效的保证整个内部网络的安全。对虚拟机内植入的监控、自动化代理(Agent)和相关的透传元数 据(Meta-Data)和和脚本要做严格的设计和安全审查，排除安全漏洞。3.7.3.2 网络安全整个云平台业务网络、存储网络、虚拟机网络和管理网络分离网络之间通过防火墙限定访问策略。保证私有云用户无法单方面 越过防火墙访问

45、服务器；对于外部用户接入采用VPN安全接入的方式，保证安全访问，接 入采用基于证书的安全加密；通过虚拟防火墙有效控制二层网络攻击和七层的网络过滤，有效 针对租户做上网行为管理；云控制器可有有效的集成防火墙的管理配置，可以统一由云控制 器管理网络，实现软件定义数据中心（SDN）。3.744存储安全分布式存储（虚拟机镜像、扩展盘、文件和备份存储），采用多副 本的方式，把用户数据分布到各个存储节点上，多副本方式可以有效 保证数据的一致性，提供数据安全性和保护；集中式存储（数据库业务），磁盘层采用设置raid保护，控制机头 实现双冗余。系统数据传输使用加密的传输协议，防止数据在传输过 程中被截获分析。374.5访问和授权安全支持系统运行的各个组件、服务、操作系统等的服务账户充分考虑安全性要求，提供完善的系统服务账户管理方案和策略。3.8运维管理设计监控设计云平台提供全面的监控告警管理功能，包括资源容量监控，主机 性能监控，虚机性能监控，应用性能监控，告警阈值设置，容量告警， 性能告警，应用告警等图3-17监控设计系统主要监控三个层面的监控：基础架构监控、云平台服务级别 监控、应用级别健康物理设备主要通过Zabbxi实现监控，Zabbix监控需要在客户端植 入代理。主机监控：Host uptimeNumber of processesProcessor load