下载文档原格式
云计算资源池平台架构设计目录第1章云平台总体架构设计 (4)第2章资源池总体设计 (5)2.1 X86计算资源池设计 (6)2.1.1 计算资源池设计 (6)2.1.2 资源池主机容量规划设计 (8)2.1.3 高可用保障 (10)2.1.4 性能状态监控 (12)2.2 PowerVM计算资源池设计 (14)2.2.1 IBM Power小型机虚拟化技术介绍 (14)2.2.2 H3Cloud云平台支持Power小型机虚拟化 (16)2.2.3 示例 (18)2.3物理服务器计算资源池设计 (19)2.4网络资源池设计 (20)2.4.1 网络虚拟化 (20)2.4.2 网络功能虚拟化 (35)2.4.3 安全虚拟化 (36)2.5存储资源池设计 (38)2.5.1 分布式存储技术方案 (38)2.6资源安全设计 (46)2.6.1安全体系 (46)2.6.2 架构安全 (47)2.6.3 云安全 (53)2.6.4 安全管理 (60)2.6.5 防病毒 (62)第1章云平台总体架构设计基于当前IT基础架构的现状,未来云平台架构必将朝着开放、融合的方向演进,因此,云平台建议采用开放架构的产品。
目前,越来越多的云服务提供商开始引入Openstack,并投入大量的人力研发自己的openstack版本,如VMware、华三等,各厂商基于Openstack架构的云平台其逻辑架构都基本相同,具体参考如下:图2-1:云平台逻辑架构图从上面的云平台的逻辑架构图中可以看出,云平台大概分为三层,即物理资源池、虚拟抽象层、云服务层。
1、物理资源层物理层包括运行云所需的云数据中心机房运行环境,以及计算、存储、网络、安全等设备。
2、虚拟抽象层资源抽象与控制层通过虚拟化技术,负责对底层硬件资源进行抽象,对底层硬件故障进行屏蔽,统一调度计算、存储、网络、安全资源池。
3、云服务层云服务层是通过云平台Portal提供IAAS服务的逻辑层,用户可以按需申请相关的资源,包括:云主机、云存储、云网络、云防火墙与云负载均衡等。
XXX云资源池安全建设方案1.需求分析等级保护管理规范和技术标准作为增强系统安全防护能力的重要政策,是综合性的安全系统工程,等级保护制度同样适用于云环境,在云环境中,各私有云之间和各用户之间的边界模糊化,无法划分区域,从而导致无法根据不同区域面临的防护需求制定不同的安全策略,无法满足等保要求。
云和虚拟化的安全首先是要解决虚拟环境中网络流的调度,其次根据网络流所属的安全域,提供不同的检测和防护手段,最后应能满足云环境中弹性扩展对安全管理策略弹性迁移的的要求。
XXX云资源池对安全的需求为:➢实现集中采集根据XXX云资源池的网络结构和应用特点,应采用“流量集中采集、安全产品自主分流”的方式,避免多头采集带来的性能损耗。
➢实现集中管理和部署实现对安全产品的统一管理。
使得网络的安全管理人员能在一个入口上完成不同安全产品的配置、修改和查询,而不必面对多个管理入口,从而有效提高管理效率。
➢实现虚拟安全域可视化能够直观的展现虚拟安全域的网络流连接情况,使得网络安全管理人员可以从不同层次查看虚拟安全域的IP资产情况,资产之间的实际流量连接关系拓扑等。
从而有效的避免虚拟资产黑箱化的风险。
➢实现虚拟流量的入侵检测能够对虚拟流量中的病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)等威胁进行检测能力,防止利用虚拟机被作为攻击跳板的行为。
➢实现虚拟流量的网络及数据库行为审计能够对业务环境下的网络操作行为和数据库操作行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,促进核心资产数据库、服务器等的正常运营。
➢实现虚拟环境下访问控制能够提供针对租户南北向的访问控制,集防火墙、VPN等多种安全技术于一身,同时全面支持各种路由协议、QoS等功能,为租户网络边界提供了访问控制以及远程VPN接入实现数据的全程加密访问。
完整word版)云平台建设方案行是主要的能耗来源。
为了降低能耗,云平台建设应考虑采用节能的硬件设备和软件技术,如服务器虚拟化技术、磁盘阵列睡眠技术、网络设备的节能模式等。
此外,还应建立完善的能耗监测和管理体系,实现对能耗的实时监控和精细化管理,以达到绿色节能的目标。
总之,云平台建设需要遵循标准化、高可用、增强二级网络、虚拟化、高性能、开放接口和绿色节能等原则。
在设备选型上应考虑对云服务相关标准的扩展支持能力,保证先进性和未来的信息产业化发展。
网络整体设计和设备配置应按照双备份要求设计,消除单点故障,提供关键设备的故障切换。
同时,应重点考虑增强二级网络技术,解决传统技术带来的问题。
虚拟资源池化和高性能是提高资源利用率和满足PB级别数据处理请求的关键。
为了良好的调度与管理,系统应提供开放的API接口。
最后,为了降低能耗,应采用节能的硬件设备和软件技术,并建立完善的能耗监测和管理体系,实现绿色节能的目标。
作系统、存储和网络等基础设施,用户可以通过云服务商的控制面板来管理这些资源。
在IaaS模式下,用户可以根据自己的需求选择所需的硬件和软件资源,而且可以根据实际使用情况随时调整资源规模,这种灵活性非常适合企业的IT需求。
在建设云平台时,需要考虑到IT设备的能耗和热量对空调散热系统的影响。
因此,我们应该采用低功耗的绿色网络设备,并采用多种方式降低系统功耗。
在云平台建设目标方面,我们需要支持PB级数据存储,保障访问高速、安全,并提供完整的故障预警和处理机制,同时提供弹性计算、自动扩充存储空间功能,以及数据挖掘、数据分析和数据展现工具,部署CDN等。
在云计算的服务模式方面,我们可以选择SaaS、PaaS、IaaS中的一种或多种,根据实际需求进行选择和搭配。
采用云计算模式可以降低客户的维护成本和投入,提高灵活性和可扩展性,同时降低运营成本,非常适合企业的IT需求。
云计算平台是一个包括系统、磁盘存储、数据库和信息资源的综合服务。
云平台规划方案范文一、背景和目标:云计算技术的快速发展使得云平台成为了企业信息化建设的重要方向。
云平台可以提供高效的计算、存储和应用服务,为企业提供更加灵活、可靠和安全的信息化支持。
本文旨在提出一份云平台规划方案,以满足企业的需求,并达到以下目标:1.提供可扩展、高性能的计算和存储能力,满足企业日益增长的业务需求。
2.提供灵活、易用的应用服务,增强企业员工的工作效率。
3.提供安全可靠的数据存储和备份服务,保护企业数据的安全性。
4.提供可靠的监控和管理工具,保障云平台的稳定性和可靠性。
二、规划内容:1.基础设施规划:a.云计算资源池的规划:根据企业的业务需求和预算,确定云计算资源池的大小、配置和扩展能力。
同时,采用虚拟化技术,将物理资源进行合理的划分和管理,提高资源利用率和扩展的灵活性。
b.存储设备的规划:根据企业的数据量和安全需求,选择合适的存储设备,并进行合理的容量规划和数据备份策略。
c.网络设备的规划:根据企业的带宽需求和安全需求,选择合适的网络设备,并进行网络拓扑规划,保证网络的稳定和安全。
2.应用服务规划:a.虚拟化和容器化技术的应用:采用虚拟化和容器化技术,将应用程序和数据进行隔离和管理,提高应用的部署速度和灵活性。
b.应用服务的管理和监控:建立可靠的应用管理和监控系统,及时发现和解决应用故障,保证应用的稳定性和可靠性。
c.提供开发和测试环境:提供开发和测试环境,支持企业员工进行应用的开发和测试工作,提高开发效率和质量。
3.数据存储和备份规划:a.建立可靠的数据存储系统:选择可靠的数据存储设备,并进行合理的数据存储架构规划,确保数据的完整性和可靠性。
b.数据备份和恢复策略:建立完善的数据备份和恢复策略,保证数据的安全性和可恢复性。
4.安全和监控规划:a.安全策略和防护策略:建立完善的安全策略和防护策略,保护云平台免受恶意攻击和数据泄漏的风险。
b.监控和报警系统:建立完善的监控和报警系统,及时发现并处理云平台的故障和异常情况,保证云平台的稳定性和可用性。
电信运营商云资源池思路及实现方案研究作者:司炜来源:《中国新通信》 2017年第17期一、引言随着行业环境以及国内政策变化,电信运营商将面临新市场、新业务、新模式下的更多挑战。
互联网化新型应用对于基础资源弹性、快速迭代上线的需求将会越来越明显,业务应用整合及基础能力提升已成为影响运营商转型发展的关键因素。
目前电信运营商迫切需要构建企业级云计算资源池,全面重构业务应用和IT 基础设施,支撑公司在打造融合通信、创新流量经营、拓展数字化服务等方面的发展要求。
二、电信运营商云资源池分层架构云资源池架构主要包括:1)业务应用层:包括BOM 域应用,增值业务,传统电信业务应用等;2)平台能力层:包括应用与服务管理框架(开发运行环境、资源调度、服务管理等),公共能力服务等;3)基础设施层:包括基础设施(物理机、虚拟机、块存储、分布式存储、对象存储、带库、交换机、路由器、负载均衡器、防火墙、备份设备、各类专用设备)及设备资源调度(提供主机、存储、网络、安全等资源服务,弹性调度)等;4)运营管理层:运维管理系统、云资源池管理系统、机房管理系统等;5)机房配套层:供配电、暖通空调、机柜机架、综合布线、机房监控等。
三、云资源池分层发展思路总体发展思路如下:1)业务应用层:积极推进业务应用云化改造,重点建设以客户为中心的服务型综合运营业务平台和标准化大数据运营分析体系;2)平台能力层:构建标准平台软件访问框架和企业级能力开放平台,建设大数据资源能力服务平台,重点进行PaaS 层能力构建;3)基础设施层:构建统一管理异构云资源池,进行IaaS 基础资源服务化能力构建,提高服务器、存储、网络设备云化程度,快速为上层业务提供基础设施资源;4)运营管理层:重点进行统一资源运营管理,统一安全管控和统一运维流程的建设,优化管理模式,构建端到端自动化运维管理平台。
5)机房配套层:规划机房功能区域和设备布局,提升机房能效管理,重点进行机房配套的安全、可靠、绿色、节能建设。
云密码资源池建设方案云密码资源池建设方案1. 概述本方案旨在建设一个云密码资源池,用于存储和管理各种类型的密码资源。
通过集中管理密码,提高密码安全性和管理效率,为企业和个人提供便捷的密码解决方案。
2. 方案设计云密码资源池架构•采用云计算技术,建设分布式密码资源池。
•架构包括前端界面、管理后台和云存储系统。
云密码资源池功能•提供用户注册和登录功能,区分个人用户和企业用户。
•支持用户添加、编辑、删除密码资源。
•实现密码的分类管理,允许用户创建自定义分类。
•支持密码的搜索和快速定位功能。
•实现多设备同步,确保用户可以随时随地访问密码。
安全性设计•采用密钥加密算法,保护用户密码的安全性。
•采用SSL加密协议,确保用户的通信安全。
•采用访问控制策略,只允许授权用户访问和管理密码资源。
高可用性设计•数据采用分布式存储,实现数据的冗余备份。
•部署多个资源池节点,实现资源的负载均衡。
•提供自动备份和恢复机制,防止数据丢失。
3. 方案实施系统需求分析•分析用户需求,明确功能要求和性能指标。
•确定系统的硬件和软件要求。
系统设计与开发•设计数据库结构,确保密码资源的存储和管理。
•设计前端界面和后台管理系统,实现密码资源的操作和管理。
•开发云存储系统,实现密码资源的分布式存储和备份。
系统测试与优化•进行系统功能测试,确保各项功能正常运行。
•进行性能测试,评估系统的性能指标。
•根据测试结果,对系统进行优化和调整。
系统部署与运维•部署密码资源池系统,确保系统的高可用性和访问性能。
•建立系统运维和监控机制,及时发现和解决问题。
•定期进行系统备份和恢复,保证密码数据的安全。
4. 方案收益提高密码管理效率•集中管理密码资源,提供便捷的操作和管理方式。
•支持搜索和快速定位功能,节省用户的查找时间。
提升密码安全性•采用加密算法保护用户密码的安全性。
•采用SSL加密协议,确保用户的通信安全。
提供灵活的密码解决方案•支持用户自定义分类,满足不同用户的密码管理需求。
企业私有云平台建设概要设计与技术方案一、概要设计1.架构设计-高可用性:能够提供高可用的服务,确保企业业务的连续性。
-可扩展性:能够根据企业业务的发展需要,灵活地扩展和调整云平台的资源。
-安全性:提供多层次的安全保障,保护企业的敏感数据和业务。
-效率:通过自动化和智能化的技术手段,提高云平台的管理和运维效率。
2.存储与计算资源-存储资源:通过虚拟化技术,将存储设备抽象为虚拟存储池,提供统一的存储服务,支持企业业务的扩展和迁移。
-计算资源:通过虚拟化技术,将物理服务器抽象为虚拟机资源池,提供统一的计算资源服务,支持企业业务的快速部署和管理。
3.网络与安全-网络服务:提供虚拟网络的创建、管理和配置,实现企业内部和外部网络的互联互通。
-安全服务:提供身份认证、访问控制、防火墙等安全手段,保护企业的数据和业务免受攻击。
4.管理与监控实现云平台的高效管理。
-监控功能:对云平台的各项指标进行实时监控和报警,及时发现和解决问题,确保云平台的稳定运行。
二、技术方案根据概要设计的要求,下面是企业私有云平台建设的技术方案:1.虚拟化技术采用虚拟化技术,通过软件将物理资源抽象为虚拟资源,提供统一的资源管理和调度。
可以选择常见的虚拟化技术,如VMware、OpenStack等。
2.存储技术采用分布式存储技术,将多个存储设备组成存储集群,实现数据的高可用性和扩展性。
可以选择Ceph、GlusterFS等分布式存储方案。
3.网络技术采用软件定义网络(SDN)技术,通过集中式管理和控制,实现虚拟网络的创建、管理和配置。
可以选择OpenFlow、Cisco ACI等SDN解决方案。
4.安全技术采用网络隔离、身份认证、访问控制、防火墙等安全手段,提供全面的安全保障。
可以选择常见的安全设备和技术,如防火墙、入侵检测系统(IDS)、虚拟专用网络(VPN)等。
5.管理与监控技术理功能。
可以选择OpenStack、VMware vRealize等云管理平台。
XX云安全资源池建设方案介绍2021年02月22日目录1 项目概述 (4)1.1 项目背景 (4)1.1.1 云计算及云安全市场的迅猛发展 (4)1.1.2 法律法规 (4)1.2 项目建设目标 (5)1.3 项目安全建设现状 (7)2 安全需求分析 (8)2.1 主要技术问题 (8)2.1.1 网络非法访问风险 (8)2.1.2 网络边界模糊的风险 (9)2.1.3 网络资源共享风险 (9)2.1.4 东西向流量不可见 (9)2.1.5 虚拟化软件安全风险 (10)2.2 主要管理问题 (11)2.2.1 安全权责模型 (11)2.2.2 租户环境安全 (12)2.3 管理问题应对 (13)2.3.1 结合实际优化安全责任分担模型 (13)2.3.2 租户环境安全应对 (14)2.4 技术问题应对 (14)3 解决方案总体设计 (15)3.1 设计思路 (15)3.1.1 云管端一体化 (15)3.1.2 云安全资源池建设 (16)3.2 设计原则 (17)3.3 面向云租户等保安全保障方案(云安全资源池) (18)3.3.1 部署架构 (18)3.3.2 南北向安全服务设计 (21)3.3.3 东西向安全服务设计 (25)3.3.4 性能与冗余架构设计 (26)3.4 方案的优势 (27)3.4.1 领先的智能化运维管理 (27)3.4.2 平台解耦,全面兼容 (27)3.4.3 租户合规安全,服务化交付 (28)3.4.4 全面保障云安全,动态感知威胁及时预警 (28)4 设备及安全服务清单 (28)4.1 设备清单 (28)1项目概述1.1项目背景1.1.1云计算及云安全市场的迅猛发展云计算的发展是全球信息化的发展趋势,我国也在2015年由国务院印发国发(2015)号文《国务院关于促进云计算创新发展培育信息产业新业态的意见》,在意见中指出,要探索电子政务企业云计算发展新模式。
鼓励应用云计算技术整合改造现有电子政务信息系统,实现各领域企业信息系统整体部署和共建共用,大幅减少自建数据中心的数量。
XXX云资源池安全建设方案1. 需求分析等级保护管理规范和技术标准作为增强系统安全防护能力的重要政策,是综合性的安全系统工程,等级保护制度同样适用于云环境,在云环境中,各私有云之间和各用户之间的边界模糊化,无法划分区域,从而导致无法根据不同区域面临的防护需求制定不同的安全策略,无法满足等保要求。
云和虚拟化的安全首先是要解决虚拟环境中网络流的调度,其次根据网络流所属的安全域,提供不同的检测和防护手段,最后应能满足云环境中弹性扩展对安全管理策略弹性迁移的的要求。
XXX云资源池对安全的需求为:实现集中采集根据XXX云资源池的网络结构和应用特点,应采用“流量集中采集、安全产品自主分流”的方式,避免多头采集带来的性能损耗。
实现集中管理和部署实现对安全产品的统一管理。
使得网络的安全管理人员能在一个入口上完成不同安全产品的配置、修改和查询,而不必面对多个管理入口,从而有效提高管理效率。
实现虚拟安全域可视化能够直观的展现虚拟安全域的网络流连接情况,使得网络安全管理人员可以从不同层次查看虚拟安全域的IP资产情况,资产之间的实际流量连接关系拓扑等。
从而有效的避免虚拟资产黑箱化的风险实现虚拟流量的入侵检测能够对虚拟流量中的病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为(如P2P上传/下载、网络游戏、视频/音频、网络炒股)等威胁进行检测能力,防止利用虚拟机被作为攻击跳板的行为。
实现虚拟流量的网络及数据库行为审计能够对业务环境下的网络操作行为和数据库操作行为进行解析、分析、记录、汇报,用来帮助用户事前规划预防,事中实时监视、违规行为响应,事后合规报告、事故追踪溯源,促进核心资产数据库、服务器等的正常运营。
实现虚拟环境下访问控制能够提供针对租户南北向的访问控制,集防火墙、VPN等多种安全技术于一身,同时全面支持各种路由协议、QoS等功能,为租户网络边界提供了访问控制以及远程VPN接入实现数据的全程加密访问2. 设计原则根据以上对XXX云安全需求的分析,XXX云安全资源池的建设应遵循以下原则:多样产品组合,产生协同效应:单一的安全产品是无法满足高级别的安全合规要求(例如等保),安全资源池支持多个虚拟安全产品并行运行,不同种类的安全产品组合在一起,产生协同效应,不但可以产生出新的安全价值,而且可以更好的满足安全合规要求。
高效利用资源,节省运维成本:安全资源池可以将多个安全产品以虚拟机的方式运行在一台硬件设备中,充分发挥了硬件性能,提高了硬件使用效率。
另外,在节约了硬件成本的同时,还节省了以往多台硬件消耗的机架租金、电力、人力维护等运维成本。
多个安全产品部署在同一台设备中,可节约交换机物理端口资源的占用,缩短了产品上线时间。
快速部署实现,即时应急响应:安全资源池可以从安全市场获得各种安全产品虚机映像,通过虚机映像可以快速创建各种虚拟化的安全产品,这个过程最多十几分钟,最快甚至只需要1~2分钟,从而实现了快速部署安全产品。
使得用户在面对安全威胁时,迅速以安全产品组织防御体系,帮助用户做到对安全事件的及时响应,维护用户利益。
产品平滑升级,保障系统稳定:安全产品会经常面临特征库或软件版本的升级。
有些谨慎的用户,希望在保障业务的前提下进行升级操作。
如升级中发现问题,用户希望能迅速回退到最近的正常状态。
使用安全资源池可开启多个虚拟机分别运行升级前后的软件。
如升级后发现问题,可迅速切换。
保障业务稳定运行。
灵活扩展组件,持续提升能力:安全资源池既支持在单机硬件资源允许的条件下,用户通过创建安全产品虚拟机,快速扩展自己的安全能力;同时也要支持分布式系统架构,在单机硬件资源不够时,可将多台主机组成硬件资源池,通过在资源池中获得硬件资源并创建安全产品线虚拟机的方式,近乎无限扩展安全能力。
具备未来扩展到软件定义网络的能力:随着云平台网络虚拟化技术的升级,安全资源池应具备扩展支持SDN的能力,能够与SDN网络对接, 实现安全资源服务能力的业务编排,并统一虚拟安全资源和物理安全资源。
3. 整体架构基于软件定义安全的思想,实现了网络安全设备与它们的接入模式、部署位置解耦合。
智慧流安全平台由安全资源池、转发层、平台管理中心三部分组成。
安全资源池由各种物理形态或虚拟形态的网络安全设备组成,兼容各家厂商的产品。
这些安全设备不再采用单独部署、各自为政的工作模式,而是由管理中心统一部署、管理、调度,以实现相应的安全功能。
安全资源可以按需取用,支持高扩展性、高弹性,就像一个资源池一样。
转发层本方案中转发层实现可根据XXX云资源池实际情况提供两种部署模式,即SDN模式和虚拟导流模式。
实现对IDC资源池虚拟流量的牵引。
SDN模式:适用于云资源池采用SDN技术的环境,即软件定义网络(Software Defined Network , SDN )中的硬件交换机。
将网络安全设备接入转发层后,通过将流导入或绕过安全设备,即可实现安全设备的部署和撤销,采用该模式需要与各云资源池的SDN控制器进行联动,通过云资源池控制器对宿主机内部的虚拟流量进行牵引或复制。
虚拟导流模式:适用于云资源池采用非SDN技术的环境,支持Vmware 和KVM ,通过虚拟导流技术实现对虚拟机流量复制并导出到外部安全资源池进行检测和审计,采用该模式需要在每台物理主机上(宿主机)安装虚拟导流器。
平台管理中心由侧重于安全方面的应用组成,包含用户交互界面,将用户配置的或运行中实时产生的安全功能需求转化为具体的安全资源调度策略下发给转发层予以实现,做到安全防护的智能化、自动化、服务化。
提供北向API接口,接受上层综合管理系统的管理4. 安全资源池技术要求安全产品虚拟化就是使软件和硬件相互分离,把软件从主要安装硬件中分离出来,使得安全产品的系统可以直接运行在虚拟环境上,可允许多个安全产品同时运行在一个或N个物理硬件之上,形成安全资源池,对外提供各项安全服务。
如下图所示:安全资源池系统架构图安全资源池管理系统负责安全产品的虚机管理、授权管理以及系统的自身管理。
具有可集平台管理中心安全资源池成多种虚拟安全产品于一身的强大扩展能力,可根据云的实际需求动态调整相应的虚拟安全产品,而无需经过复杂的硬件产品上架过程。
安全资源池主要功能要求如下:主机管理支持对主机(宿主机Host )的CPU、内存、硬盘资源使用情况进行监控,支持监控主机运行时间,支持远程关机、重启等操作。
虚机管理支持对虚机(安全产品虚机)创建、删除、启动、关闭、重启、暂停等操作,支持VNC (用于远程控制的软件)、串口、HTTP几种对虚机的管控方式。
支持虚机实时和24小时的CPU、内存、磁盘读写的监控。
支持虚机自定义设置CPU、内存、硬盘、网卡等资源,支持选择产品映像模板(安全市场中下载)创建对应的安全产品虚机实例,实现相应安全功能。
虚机支持32位或64位CPU,支持共享和绑定CPU两种方式,网络接口支持桥、I/O透传和I/O虚拟化三种应用方式。
产品市场支持安全市场客户端,可以从安全市场源服务器下载各种安全产品映像和产品文档,用于创建虚机实例和配置虚机实例。
安全市场客户端支持下载第三方ISO文件,用于安装第三方产品虚拟机(例如windows、Centos linux)更新安全市场源服务器上的内容,无需更新安全资源池系统版本,即可创建更多类型的安全产品虚机,满足日益增长的安全需求。
授权中心支持对系统和安全产品虚机的授权管理,用户可以导入授权或追加授权。
网络管理支持以太网接口、桥接口、路由、DNS等常用网络配置管理。
支持对本地提供的服务http、https、ssh、ping、mysql、vnc提供访问控制,支持串口管理。
系统管理系统具有丰富的自身配置管理功能,包括A或B双系统启动、补丁管理,支持NTP和手工时间同步。
日志查询支持对系统日志、虚机日志、操作日志的查询,可根据时间、级别、模块等多种条件进行查询。
5. 安全资源池安全产品软件要求安全产品需要部署在安全资源池的虚拟平台上,并满足以下需求:5.1.入侵检测52 网络审计53安全域流量审计54安全网关火墙、VPNDN、高可用等类型分别存储6. 虚拟导流器转发技术网络安全产品通常部署在网络边界。
如下图所示,传统网络环境下的安全域的边界就是安全域所在交换机的上行链路。
对该链路上的网络流量进行监控,就可以对安全域的边界进行防护。
传统网络边界防护原理图而在虚拟网络环境中,同一个安全域内的虚拟机可能分布在不同的虚拟化服务器中。
并不能通过一条物理或虚拟的链路就可以监听到安全域中的所有边界流量,即通常所说的“网络边界消失”了。
“网络边界消失”后,基于网络边界进行防护的网络安全产品就无法部署到虚拟化环境中。
虚拟网络监控系统利用技术手段,梳理出虚拟网络的边界,使得利用物理网络安全产品对虚拟网络进行防护成为可能。
虚拟网络监控系统在每个虚拟化服务器中部署一个导流虚拟机(AGT)。
AGT本质上是一个虚拟机。
它的主要功能是将虚拟交换机上的网络报文按照策略要求导引到指定的位置。
如下图所示,在AGT的辅助下,可以将分散在多个虚拟化服务器中的安全域中(边界或内部)的网络流量分流汇聚到指定的物理交换机端口或物理设备上。
通过这种方式就构造出了虚拟安全域中的网络流量汇防护安全域i防护安全域2人安全域1安全域2聚点。
基于这个汇聚点,就可以通过物理网络安全设备对虚拟网络安全域进行安全防护。
策略控制中心是虚拟网络监控系统的管理控制中心。
通过策略控制中心可以划分和管理安全域,下发和管理安全域的安全防护策略,控制导流虚拟机的行为,查看导流虚拟机的工作状态和统计信息防护安全域1防护安全域2图虚拟网络监控系统原理图虚拟网络监控系统用于对虚拟化计算环境的虚拟安全域进行防护。
虚拟化管理中心和虚拟化服务器(ESXi Server)是被保护的对象。
虚拟网络监控系统对被保护对象几乎不做调整。
在虚拟化计算环境的网络可达位置,需要部署一个策略控制中心,对虚拟化网络监控系统进行监控HHHHHHfl■■■■■■■■vCe nter k ___ J 图虚拟网络监控系统典型部署场景导流虚拟机是一个具有特定功能的虚拟机。
导流虚拟机通常至少有3个网卡。
一个网卡用于作为管理端口; 一个网卡(通常是物理直通网卡)用于转发网络报文, 将流量导引到指定的位置;其它的虚拟网卡都用于抓取网络报文。
虚拟网络监控系统需要在每一台虚拟化服务器中都部署一个导流虚拟机。
导流虚拟机的抓包网卡需要连接到虚拟交换机的混杂端口组。
每个需要被监控的虚 拟机所在的虚拟交换机上都需要配置混杂端口组,并将导流虚拟机的一个抓包网卡连接到这个端口组中,用于抓取网络报文。
导流虚拟机的转发网卡可以是物理网卡通过 PCI passthrough 技术直接赋给 导流虚拟机使用,也可以是虚拟网卡。
