研制开发
吕书林,赵军生,崔云龙,高平,任高强
标准车当量数(中国移动通信集团设计院有限公司河南分公司,河南
随着传统行业上云步伐不断加快,企业对网络安全、业务可靠的要求不断提升,专属云市场增长率逐渐 提高。全栈专属云不但具备公有云的稳定性较强、易用性较优、扩展性较好等特点,又兼备了私有云较高的安全可
靠性,能够很好地满足金融、交通、医疗等重点行业应用对资源隔离、安全合规等的上云诉求。基于此,对全栈专
Research on the Application of Full-Stack Exclusive Cloud Solution
LV Shulin, ZHAO Junsheng, CUI Yunlong, GAO Ping, REN Gaoqiang
(Henan Branch of China Mobile Design Institute Co., Ltd., Zhengzhou
Abstract: As the pace of cloud adoption in traditional industries continues to accelerate, enterprises
for network security and business reliability continue to increase, and the growth rate of the dedicated cloud market is gradually increasing. Full-stack dedicated cloud not only has the characteristics of strong stability, better usability,
云云服务
商机房
公有/
私有云
混合IT混合云
私有云
公有/
私有云
客户自
建机房
传统IT
图1 企业IT架构
私有云是为某一个客户单独建设的,客户的计算设备、存储设备、网络设备等都部署在自建机房或托管在运营商的机房。私有云同互联网物理隔离,具有很高的安全可靠性。但私有云定制化需求多,建设、维护成本高,同时在云原生技术等方面的发展演进不
收稿日期:2021-09-28
作者简介:吕书林(1986-),男,河南新乡人,硕士研究生,工程师,主要研究方向为通信网络规划设计。
工程师提供云资源的日常维护需求,统一运维,降低全栈专属云在网络架构规划上采用层次化、模块化的方式,便于灵活复制、规模组网。整个网络在架构设计上分为出口层、互联层、各业务POD 网络以全栈专属云采用软件定义网络(Software SDN )组网,资源池网络分为底层)和SDN 重叠网网络
(Overlay )。解决方案可提升网络规模和网络虚拟化能力,为云业务系统提供自动开通、配置和管理的网络服务[5]。全栈专属云逻辑架构如图3所示。
网络及安全服务( SDN、VPN、防火墙、
IPS等服务)
存储POD (对象、文件存储等服务)
计算POD (计算、块存储等服务)
业务域
管理域
(管理、维护及
安全等服务)出口层
IP承载网
客户IDC
专线
数据中心核心交换机
Internet
互联层
管理及业务图3 全栈专属云逻辑架构
全栈专属云网络架构如图4所示。
出口层负责与外部网络的互联,保证数据中心内部网络高速访问互联网及IP 承载网,并对数据中心内网和外网的路由信息进行转换和维护[6]。IP 承载网CE 路由器南向与核心交换机互联,北向与IP 承载网互联。CE 路由器与IP 承载网接入路由器设备进行
EBGP 对接,设备横联通过开放式最短路径优先Shortest Path First ,OSPF )协议打通立IBGP 邻居保护链路[7]。互联网接入路由器双主部署,接入路由器与互联网骨干路由器间运行设备横联运行OSPF+IBGP ,接入路由器与核心交换机运行EBGP 。接入路由器创建Internet VRF 载Underlay 业务公网需求流量。互联网接入路由器旁挂抗DDoS 流量检测及清洗设备,其中与抗量检测采用netflow 对 短程蒸馏器接,将流量送至检测设备,检测设备和清洗设备再与管理中心联动实现击流量的引流。此外,与流量清洗设备采用方式进行流量牵引,通过策略路由方式进行流量回注[8]。
核心交换机承担着全栈专属云南北向和东西向流量的转发。核心交换机和互联网接入路由器运行EBGP ,规划用于承载虚机公网流量的表(Virtual Routing Forwarding ,VRF 机和内网防火墙运行IBGP ,规划VRF 流量至内网防火墙的安全防护,同时规划导Overlay 访问Underlay 的流量。核心交换机和网关运行EBGP ,针对不同流量划分不同导Overlay 流量访问Underlay 资源或公网。核心交换机旁配置入侵防御系统(Intrusion Prevention System IPS ),将流量镜像至IPS 进行流量检测和抓包分析。
表1 云应用场景对比
部署机房客户机房
对系统和数据安全有严格要求;使用云服务商资源和运维服务;需求
范围收敛,可标准化;全资源池租赁;客户接受统一运维云服务商对系统和数据安全无特殊要求;统一使用云服务商资源和运维服务
客户机房
客户独占网络、
计算、存储资源
二次开发服务入口
云服务基础设施统一硬件体系,资源独享全栈专属云服务统一运维管理
API接口IaaS服务PaaS服务SaaS服务
网络
存储计算监控、告警等
云管平台
运维控制台
用户运维人员
图2 系统架构
2021年11月25日第38卷第22期
Telecom Power Technology
Nov. 25, 2021, Vol.38 No.22
吕书林,等:全栈专属云解决方案
应用研究
1.3 安全方案
全栈专属云提供符合客户要求的安全架构,满足
用户业务的安全可靠性及数据完整性等安全需求,向用户提供全栈立体安全防御。全栈专属云系统架构中的防火墙、IPS 、抗DDOS 等安全设备和系统从设备核心部件到双机部署方式,均采用高可靠性的设计方案,以满足云业务的安全可靠运行。全栈专属云向用户提供一个全方位立体的安全运行环境,提供系统安全、网络安全、业务安全、业务数据安全以及内容安全5个方面的坚实保障[10]。为满足不同应用对网络
接入的不同安全隔离要求,根据业务系统的不同安全等级对专属云的资源划分安全域,包括互联网接入域、核心交换域、业务数据域以及管理维护域等。
2 典型应用场景
全栈专属云可以为不同规模、不同行业的用户提供灵活、可扩展的行业解决方案,能够满足金融、医疗等核心业务上云时对数据隔离部署等的安全需求,并向客户提供统一的运维管理功能。全栈专属云行业需求及应用场景如表2所示。
核心交换机
客户专线防火墙Internet
IP承载网
互联网接入路由器
计算P O D
管理域
IP专网CE路由器存储P O D
管理域防火墙
抗DDoS
内网防火墙
SDN网关
云主机、裸金属、块存储等资源池管理、监控、DPI、运维等管理系统
对象存储、文件
存储等IPS 客户IDC
外网防火墙
...
......
废钯碳回收钯技术
互联层
蚀刻因子
出口层
TOR TOR
TOR
图4 全栈专属云网络架构
表2 全栈专属云行业需求及应用场景
行业
细分场景场景描述
主要业务需求
政务
政务云及大数据以省、市、区县为单位的政务云项目和政务大数
据项目
安全合规、数据治理、区块链垂直部委行业云集中建设的厅局委办专属行业云项目物联网、移动办公、区块链、微服务创新智慧城市智慧城市大数据项目、人工智能建设项目
数据治理、物联网、AI 使能、移动办公
平安城市雪亮工程、视频大联网项目视频汇聚、共享、AI 使能产业园区政府主导的产业园区项目智慧园区、工业互联网、AI 使能金融
传统银行
大型金融机构建设金融行业云平台
提前放电避雷针互联网金融、开放银行、金融行业云平台
证券券商IT 平台能力证券全业务保险保险公司IT 平台能力保险全业务
互联网金融公司
互联网金融业务为主营方向小微贷、消费贷、众筹、虚拟银行制造业
制造类企业等
央企/国企/大型企业新建数据中心项目、
数据中心升级改造
企业业务上云(ERP 、设计仿真等)、
大数据平台、低时延等
电力电网集团等
集团总部大数据、人工智能等新技术数据中心新建、各省地方电网能源大数据中心新建物联网、核心业务、监控与数据采集系统、
导线测量法模拟系统
交通交通厅、高速公路管理局等
新建数据中心项目交通运行指挥中心TOCC 、高速公路视频上云
教育高校新建校区有综合云平台的需求
教育云平台、教育数据治理医疗
医院等
数字化建设需求
智慧医疗、区域医疗云平台
Telecom Power Technology
综上所述,对运营商全栈专属云的整体解决方案网络架构及安全方案等,同时分析了全栈专属云的优势和应用场景,对有安全合规上云诉求的大中型企业提供相应的方案参考,具信息与电
基于全栈私有云的智慧校园架构设计与应
201-204.云原生技术促进产业数字
公有云承载的多种网
生态互联 数字
电力[5] 月 池部署115-122.
[6] 武振宇,牛瑛霞,李道通,等池设计方法探究34([7] 朱益佳子测试,[8] 岳 防技术研究综述2315-2336.
[9] 段晓东,应伟锋,沈金龙高层25-28.
[10] 田 平台安全解决方案研究2021变电所容量及末端压降均能满足供电需求,保证系统安全可靠的运行。在对比选择支援方案时,要尽可能选择倒闸操作少、倒闸清晰的方案,避免出现故障情况,由于运营人员的误操作导致停电范围的扩大。若涉及到需要增加投资和进行改造时,还需要对比考虑改造的可行性和经济性。参考文献:
[1] 范锦江,陈慧民,姜东杰.城市轨道交通不同牵引供
ZS1主变电所Ⅰ段ZS1主变电所Ⅱ段
ZS1主变电所HWS1分区1分区2分区3分区4分区5分区6分区7分区8分区9
HWS2
ZS2主变电所ZS3主变电所
ZS2主变电所Ⅰ段ZS2主变电所Ⅱ段
ZS3主变电所Ⅰ段
ZS3主变电所Ⅱ段
环网开关位置
图11 ZS3主变电所完全解列的供电范围划分
(上接第22页)
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议