地市公司资源池及安全防护建设方法
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2016)11-0191-01
1 背景
随着电力信息网网络安全要求的不断提升,对业务部门系统提出了更高的安全规范要求,但由于业务部门主要关注业务实现,忽略了系统自身的安全防护,给电力信息网带来了一定的安全隐患[1]。目前信息部门对公司业务部门系统进行了梳理及下线处理,但业务部门需要部分系统支持实际工作,使得信通公司需要针对该类系统给出合适的安全防护及运维方案,一方面保障系统的安全,另一方面更好的支撑业务部门的实际应用[2]。
为此考虑建设地市电力公司系统资源池,通过资源池综合利用自建系统的硬件设施,建设操作系统等基础应用设施,并进行统一的安全防护与运维管理,最终提升系统的资源利用率、系统可靠性以及系统的运行效率。
2 建设目标及范围
通过系统资源池建设拟实现以下目标:
(1)合理利用现有的旧服务器、存储资源建设硬件、网络资源及操作系统、数据库资源池(IaaS)[3],面向自建系统提供统一的系统发布资源,支撑自建系统的集中部署与统一管理。
(2)通过对资源池网络边界、操作系统、数据库及WEB容器进行定期的补丁安装、巡检及时消除自建系统运行安全隐患,提升自建系统安全性。
(3)依托资源池建立系统上线、运行及下线标准,保障资源申请、资源利用的合理性,规范自建系统投运流程。
3 资源池建设方案
3.1 网络部署
根据系统需求逐步建设资源池,资源池内部物理主机(控制节点与计算节点)通过管理网络(私网)连接,虚拟机直接接入信息网,并通过防火墙形成DMZ区(隔离区),防火墙策略根据业务需求进行开放。资源池网络部署见图1。
3.2 资源池建设技术路线
资源池建设以提供WEB容器虚拟机(tomcat、IIS)、数据库虚拟机以及支持JAVA、Dotnet环境的应用虚拟机为直接目标,实现基础的IaaS计算环境。
OpenStack 作为目前十分主流的私有云平台,已经被很多组织应用于其内部,提升其内部 IT 基础架构运行和管理的效率。经过充分调研需求,拟在公司内部实现一套基于 OpenStack 的虚拟机资源管理平台(VMMS),以高效的响应公司业务部门自建系统部署运行使用虚拟机请求。
通过OpenStack搭建的IaaS架构由控制节点与计算节点构成,计算节点上运行的虚拟机承载Web容器、数据库及Java、Dotnet运行环境。
(1)机器选型。在进行机器选择时,根据现有的服务器进行定制,主要要求实现服务器性能的均衡,选者其中性能比较好的主机类型作为计算节点和控制节点;主要的可用机器配置详细参数为:
计算节点: DELL _R720,CPU: E5-2640v2*2,MEM:16G,磁盘:2*600G SAS(Raid1) SATA,网卡: 1G*2 。
控制节点: DELL_R620,CPU: E5-2630v2*2,MEM:16G,磁盘:2*600G SAS,网卡: 1G*2 。
(2)虚拟机版本选择。为了稳定性和兼容性,采用CentOS做为OpenStack的操作系统,并采用RDO的方式进行安装。
(3)网络接入。选择Neutron,同时网络模型选择VLAN,因为地市公司信息网现有网络模型也是采用VLAN模型,同时停用L3 Agent,无单独的网络节点,让虚拟机网络通过Trunk直接和物理交换机相连,虚拟机网络比较高效和稳定。
4 资源池运维方案
资源池由信通公司统一运维,运维包括安全运维、性能运维、数据运维及基础设施运维。
4.1 安全运维
定期对虚拟机、数据库以及Web容器进行漏洞扫描、补丁升级,消除基础设施的安全隐患;定期对虚拟机、数据库帐号口令、审计策略进行巡检并优化;定期对防火墙ACL策略进行分析并优化,保障防火墙策略开放的合理性。
4.2 性能运维
通过对虚拟机进行性能监测,发现CPU占用率、内存占用率较高的业务系统,并进行针对性的扩容,保障业务系统的运行效率。
4.3 数据运维
定期备份虚拟机镜像、业务系统数据库实现应用及应用数据的备份存储。
4.4 基础设施运维
通过OpenStack基础设施监测平台及时发现控制节点、计算节点及管理网络故障并及时消缺。
