气象虚拟化云平台搭建及安全防护的探讨

李 珏,谭海波,李 波,金石声,汪 华

(贵州省气象信息中心，贵州 贵阳 550002)

0 引言

贵州省气象局利用超融合技术搭建了虚拟化云平台[1]，该平台由23台物理服务器组成，其中虚拟CPU共计3022核、计算存储7100G、存储219T，目前已搭建虚拟机145个，运行中106个，后续还将承担核心资源池内的大量核心业务系统的迁入,为整个气象局提供云计算服务[2]。

当前省局资源池部署了大量虚拟机，承载了省局较多的业务系统，由于省局单位部门多，虚拟机用途各异，资源池中有生产机、测试机、模板机等，总体规划混乱，存在虚拟机的归属单位不明确，不同功能用途的虚拟机划分管理不清楚等问题。此外还存在各单位虚拟机之间为互通状态的问题，一旦某单位的业务发生安全事件，在未及时发现的情况下，则极易导致其他虚拟机上的业务遭受攻击，致使气象业务遭受极大的影响和损失。

1 虚拟化云平台架构的规划与设计

虚拟化整体设计思路旨在将各种分散的硬件资源通过虚拟化技术集中成为一个整体，达到按需取用，按需分配，按需扩展的云化资源池，从而提升资源利用率，降低能耗和管理复杂度，提升业务使用效率和管理效率。当前资源池中虚拟机数量较多，总体部署较为混乱，为实现虚拟机的便捷化管理，保障不同单位之间的业务安全，对虚拟机部署方式进行了规划。如图1所示。

图1 气象虚拟化资源池规划设计拓扑Fig.1 Planning and design topology of weather virtualization resource pool

1.1 区域划分

根据业务运行的特点将虚拟化云平台划分为数据中心资源池、DMZ区、中试区3个区域，其中数据中心资源池承载核心业务系统、科研系统等业务；DMZ区承载基于内部数据的对外服务业务；中试区则承载对外服务网站、APP等业务。

1.2 安全防护设计

边界安全：目前在DMZ区超融合资源池和中试区资源池出口部署了防火墙设备，用于提供L2-7层安全防护，实现边界访问控制、入侵防御、恶意代码防护等功能。

主机安全：在行政楼、中试区、DMZ区这3个超融合资源池集群中的虚拟机上，部署终端防护软件，用于实现漏洞检测、后门检测、弱密码检测、暴力破解检测、僵尸主机检测、病毒和木马查杀等功能。

资源池内部安全：内部安全指的是资源池东西向流量安全,当前超融合资源池中部分虚拟机之间设置了分布式防火墙策略，用于实现虚拟机与虚拟机之间的安全防护[3]。

业务访问控制：鉴于当前超融合资源池建设有各单位业务系统，为有效保障各单位的业务安全，在对虚拟机进行归属划分后，在相应的路由器和交换机上设置安全访问策略，以实现不同单位之间业务的访问隔离，并对存在互访的业务做单独的访问处置，以保障业务的安全性。

横向安全防护：普通防火墙只能保护边界，也就是在资源池环境中所谓的南北向流量。对于数据中心内部的东西向流量则无法进行控制。超融合资源池平台中分布式防火墙支持东西、南北向4层隔离，提高数据中心内部的安全。

分布式防火墙支持根据IP、IP组、虚拟机、虚拟机组和虚拟机标签对流量进行控制。建议将需要隔离控制的虚拟机放在不同的虚拟机组，相同业务或者不需要隔离的虚拟机放在相同的虚拟机组，然后根据虚拟机组对业务系统的流量进行隔离，只要将虚拟机放在策略匹配的组就会对流量进行控制。

2 虚拟机部署原则

2.1 新建虚拟机

虚拟机是运行操作系统和应用程序的软件计算机，与物理主机相似，需要设计CPU、内存、磁盘、网卡等硬件配置。在通常情况下，参照行业标准进行虚拟机配置。

新建业务虚拟机资源分配情况需根据业务所需资源实际情况而定。

①虚拟机资源评估原则：考虑3～5 a的业务增长规模带来的资源空间需求，评估的资源需要预留30%以上。

②虚拟机副本：在新的版本中，当创建虚拟机时，可以根据业务的重要性选择副本数量。如果是非常重要的业务，可以选择3副本进行创建，这样在集群中将会存在该虚拟机的3个副本数，保障了业务的可靠性。

③模版虚拟机制作：制作模版虚拟机时，建议使用最新且稳定的正版操作系统，安装好需要的系统软件环境及性能优化工具，更新系统补丁并安装终端防护软件。

④虚拟机账号管理：新建虚拟机时做好操作记录、记录业务单位和责任人、联系方式等。保存好超级管理员，然后建立二级管理员给业务人员使用。

⑤虚拟机克隆：使用模版虚拟机进行克隆可以提升虚拟机部署的效率，克隆时勾选重新生成UUID。

相同的操作系统部署不同的应用时，建议在虚拟机安装操作系统后进行克隆，然后分别部署不同的应用。

相同的操作系统部署相同的应用时，可以使用一个虚拟机安装操作系统并部署应用，然后转换为模板进行派生。

⑥虚拟机备份：建立虚拟机之后，需要确定备份级别，根据不同的备份级别做不同的备份策略。

2.2 物理机或虚拟机迁移

一般情况下物理环境业务系统的硬件配置都有一定的冗余，为了更好的利用超融合平台上的物理资源，建议迁移过来的业务系统的基础环境配置可以根据上面采集到的系统信息进行修改并遵循以下原则：

①CPU：虚拟机的虚拟CPU核数不低于物理机的CPU核数,但是如果实际 CPU数超过最佳实践的CPU核数，以最佳实践 CPU核数为准。

②内存：内存的配置为物理机业务高峰期时实际使用内存的1.5倍；比较特殊的业务还可以使用动态内存自动添加功能。

③磁盘：磁盘的配置可以根据原有业务系统的磁盘容量然后除以运行年限，估算出客户每年的数据增长情况，然后规划出后续4 a的磁盘增长情况进行评估需要的磁盘容量。

④网络流量：根据实际应用系统的流量特征进行评估，应当区分虚拟机之间的流量(东西向)，以及虚拟机与物理网络之间的流量(南北向)。

2.3 虚拟机备份分级

2.3.1 虚拟机备份级别设置 根据业务需要的备份需求，进行备份策略的选择，可参考以下备份级别进行业务策略的备份配置。如表1所示。

表1 备份级别进行业务策略的备份配置Tab.1 Backup configuration of business strategy at backup level

2.3.2 虚拟机备份方式

①快速备份(虚拟机备份)

虚拟机备份，是将虚拟机备份到其他存储，作为容灾的一种手段，当集群环境中主机或存储故障时，可以从其他存储中将虚拟机恢复出来继续运行。在建设虚拟机过程中可选择默认策略备份或自定义策略备份，对于重要的业务系统建议采用自定义备份策略，详细备份策略需根据系统所需情况而定。

超融合平台支持快速恢复功能，快速拉起整个过程在3 min内完成，15 min内性能爬升到正常使用的状态，快速恢复业务运行，极大地保障了业务连续性，RTO≤15 min。通过快速拉起全新虚拟机，可以快速验证备份的有效性，并保护此备份。自动备份策略规划如下：

②数据实时备份(CDP)

通过传统的备份手段，大部分只能做到小时级别的备份，即RPO为1 h，这意味着一旦发生数据存储故障，将会丢失小时级的数据量，这对一些关键业务而言是不可接受的，这些业务系统需要实现更细粒度的RPO备份，为了满足这种需求，就需要对业务系统进行CDP保护。超融合平台提供了一种低成本、易部署的CDP解决方案，能够很方便的对关键业务系统开启CDP保护功能。

3 结语

就目前运行情况看来，基于超融合搭建的新虚拟化平台，拥有较高的可靠性、实用性和可扩展性，为各个业务单位申请资源提供科学的依据，同时安全性上达到贵州省气象局使用虚拟化技术以来前所未有的程度。在今后的运行过程中，依然存在各种问题，只有建立一套科学的管理体系，时刻强化对虚拟化云平台的管理才能将该平台发挥到极致，从而为气象服务提供强有力的后盾。