【摘要】 今年年初國(guó)務(wù)院發(fā)布了《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》,產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型升級(jí)將邁上新的臺(tái)階。廣播電視行業(yè)一直緊跟國(guó)家大勢(shì),朝著數(shù)字化、網(wǎng)絡(luò)化的方向發(fā)展。中央廣播電視總臺(tái)更是走在行業(yè)前列,大力發(fā)展信息網(wǎng)絡(luò)技術(shù)建設(shè),建立高質(zhì)量的云計(jì)算數(shù)據(jù)中心,為總臺(tái)數(shù)字化、網(wǎng)絡(luò)化轉(zhuǎn)型升級(jí)筑牢根基。
本文以復(fù)興門辦公區(qū)搭建在總臺(tái)云平臺(tái)上的運(yùn)維管理系統(tǒng)為例,簡(jiǎn)要闡述了在云平臺(tái)上搭建系統(tǒng)的構(gòu)架及其優(yōu)勢(shì)。
【關(guān)鍵字】 云計(jì)算 數(shù)據(jù)中心 PaaS 網(wǎng)絡(luò)安全
一.云計(jì)算技術(shù)的劃分
在信息化快速發(fā)展的時(shí)代,云計(jì)算技術(shù)日趨成熟,它將原本分散在各地的IT資源集中起來(lái),通過(guò)虛擬化、分布式、多租戶、自助服務(wù)等服務(wù)方式提供給客戶。業(yè)界以分層理論,通常將云計(jì)算技術(shù)就“基礎(chǔ)服務(wù)、平臺(tái)、軟件系統(tǒng)”,劃分為三類:
IaaS(Infrastructures a Service):基礎(chǔ)設(shè)施即服務(wù),包括網(wǎng)絡(luò)資源、存儲(chǔ)資源、計(jì)算資源,為用戶提供虛擬磁盤,虛擬化。
PaaS(Platform-as-a-Service):平臺(tái)即服務(wù),為用戶提供操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、編程環(huán)境、網(wǎng)絡(luò)協(xié)議。保證高可靠性、可用性。
SaaS(Software-as-a-Service):軟件即服務(wù),為用戶提供安全、豐富的應(yīng)用體驗(yàn),保證應(yīng)用程序的安全、可靠性和高可用性。
另外,繼IaaS、PaaS、SaaS之后,隨著越來(lái)越多的數(shù)據(jù)沉淀,發(fā)展起來(lái)一種新型服務(wù)DaaS(Data as a Service,數(shù)據(jù)即服務(wù))。
DaaS通過(guò)對(duì)數(shù)據(jù)資源的集中化管理,將數(shù)據(jù)聚合、抽象化,把數(shù)據(jù)轉(zhuǎn)換成通用信息,實(shí)現(xiàn)數(shù)據(jù)場(chǎng)景化,從而為公眾提供公共信息服務(wù)。
消費(fèi)者通過(guò)Internet從完善的計(jì)算機(jī)基礎(chǔ)設(shè)施獲得服務(wù)。這類服務(wù)稱為IaaS(基礎(chǔ)設(shè)施即服務(wù))。即通過(guò)軟件平臺(tái)將大量硬件資源集中管理,根據(jù)用戶請(qǐng)求按需分配存儲(chǔ)空間、計(jì)算能力、內(nèi)存大小、防火墻、網(wǎng)絡(luò)環(huán)境等基礎(chǔ)設(shè)施,以滿足用戶需求。
其優(yōu)點(diǎn)在于基礎(chǔ)設(shè)施可以動(dòng)態(tài)擴(kuò)展,根據(jù)需求升級(jí)而增加基礎(chǔ)設(shè)施的配置和容量。用戶只為自己使用到的部分付費(fèi),有效降低了運(yùn)營(yíng)成本。付費(fèi)后可以立即獲取需要的升級(jí)服務(wù),無(wú)須等待較長(zhǎng)時(shí)間。
將“服務(wù)器平臺(tái)”或“開發(fā)環(huán)境”作為服務(wù)的產(chǎn)品,被稱為PaaS(平臺(tái)即服務(wù))。它讓用戶能夠使用提供商支持的編程語(yǔ)言和工具把應(yīng)用程序部署到云中。用戶不必管理或控制底層基礎(chǔ)架構(gòu),而是控制部署的應(yīng)用程序并在一定程度上控制應(yīng)用程序駐留環(huán)境的配置。
PaaS的價(jià)值在于提供獨(dú)特的價(jià)值能力,這些服務(wù)大多是對(duì)稀有資源的包裝,通過(guò)Open API的方式供第三方調(diào)用。這些資源包括操作系統(tǒng)、業(yè)務(wù)數(shù)據(jù)、業(yè)務(wù)服務(wù)、計(jì)算能力、存儲(chǔ)能力等。
SaaS(Software-as-a-Service)是一種通過(guò)Internet提供軟件的模式,廠商將應(yīng)用軟件統(tǒng)一部署在自己的服務(wù)器上,客戶根據(jù)自己實(shí)際需求,通過(guò)互聯(lián)網(wǎng)向廠商定購(gòu)所需的應(yīng)用軟件服務(wù),按定購(gòu)的服務(wù)多少和時(shí)間長(zhǎng)短向廠商支付費(fèi)用,并通過(guò)互聯(lián)網(wǎng)獲得廠商提供的服務(wù)。企業(yè)不必購(gòu)買、構(gòu)建和維護(hù)基礎(chǔ)設(shè)施和應(yīng)用程序,可降低企業(yè)運(yùn)營(yíng)成本。服務(wù)提供商會(huì)全權(quán)管理和維護(hù)軟件,軟件廠商在向客戶提供互聯(lián)網(wǎng)應(yīng)用的同時(shí),也提供軟件的離線操作和本地?cái)?shù)據(jù)存儲(chǔ),讓用戶隨時(shí)隨地都可以使用其定購(gòu)的軟件和服務(wù)。
其優(yōu)點(diǎn)在于使用方便,運(yùn)營(yíng)成本低。缺點(diǎn)是軟件的定制開發(fā)、升級(jí)、與其他軟件整合,都需要SaaS提供商的支持。
二.傳統(tǒng)中小型系統(tǒng)網(wǎng)絡(luò)構(gòu)架
傳統(tǒng)有外網(wǎng)訪問(wèn)需求的中小型網(wǎng)絡(luò)構(gòu)架通常如圖1所示,用戶通過(guò)互聯(lián)網(wǎng)訪問(wèn)部署于DMZ區(qū)的反向代理服務(wù)器,代理服務(wù)器再向兩臺(tái)應(yīng)用服務(wù)器請(qǐng)求數(shù)據(jù)。反向代理服務(wù)器兼有負(fù)載均衡功能。
傳統(tǒng)的中小型系統(tǒng)構(gòu)架簡(jiǎn)單、部署較為容易。兩臺(tái)應(yīng)用服務(wù)器互為備份,加強(qiáng)了服務(wù)、數(shù)據(jù)的安全性和可 靠性。
圖1 傳統(tǒng)網(wǎng)絡(luò)構(gòu)架
和云計(jì)算構(gòu)架相比,傳統(tǒng)網(wǎng)絡(luò)構(gòu)架存在多方面的 缺點(diǎn):
運(yùn)維成本高。系統(tǒng)雖然構(gòu)架簡(jiǎn)單,但后期維護(hù)和網(wǎng)絡(luò)安全管理還需要投入很大的精力。由于數(shù)據(jù)庫(kù)、存儲(chǔ)等所有重要信息都存儲(chǔ)在DMZ區(qū),安全性較差。
運(yùn)維安全性差。受制于成本影響,中小型應(yīng)用系統(tǒng)一般不配置堡壘機(jī)和審計(jì)系統(tǒng)用于運(yùn)維,系統(tǒng)運(yùn)維與提供服務(wù)通路有重合,有時(shí)還采用遠(yuǎn)程運(yùn)維。這為網(wǎng)絡(luò)入侵提供了可能,難以保障系統(tǒng)的運(yùn)維安全。
數(shù)據(jù)安全性差。數(shù)據(jù)安全是軟件系統(tǒng)安全保障的核心問(wèn)題之一。傳統(tǒng)的運(yùn)維管理系統(tǒng)雖然采用了兩臺(tái)服務(wù)器熱備份的模式,在一定程度上降低了因一臺(tái)服務(wù)器故障導(dǎo)致的系統(tǒng)停止服務(wù)問(wèn)題。但由于兩臺(tái)服務(wù)器通常放在同一個(gè)機(jī)房相近的位置,故而對(duì)于一些蓄意破壞或者不可抗的災(zāi)害問(wèn)題容災(zāi)能力有限。
系統(tǒng)升級(jí)迭代成本高。由于系統(tǒng)與基礎(chǔ)設(shè)施的高耦合性,當(dāng)系統(tǒng)需要升級(jí)迭代時(shí),應(yīng)用系統(tǒng)業(yè)務(wù)連續(xù)性將受到干擾,且升級(jí)迭代成本高。
三.運(yùn)維管理系統(tǒng)在云平臺(tái)的構(gòu)架
復(fù)興門辦公區(qū)新建的運(yùn)維管理系統(tǒng)主要支撐技術(shù)人員的日常運(yùn)維工作管理、設(shè)備管理和節(jié)目部門的考勤管理,包括運(yùn)維管理系統(tǒng)、資產(chǎn)管理系統(tǒng)和安播到崗系統(tǒng)三 部分。
系統(tǒng)搭建在總臺(tái)光華路辦公區(qū)數(shù)據(jù)中心的PaaS云架構(gòu)之上。云平臺(tái)的網(wǎng)絡(luò)帶寬、存儲(chǔ)空間、計(jì)算能力等IaaS基礎(chǔ)設(shè)施服務(wù)由華為云提供,服務(wù)器、數(shù)據(jù)庫(kù)、防火墻、用戶管理、中間件等PaaS平臺(tái)服務(wù)由總臺(tái)數(shù)據(jù)中心提供。對(duì)于搭建在數(shù)據(jù)中心的系統(tǒng)來(lái)說(shuō),數(shù)據(jù)中心提供的是包含系統(tǒng)、數(shù)據(jù)庫(kù)、用戶管理等服務(wù)的PaaS平臺(tái)。
運(yùn)維管理系統(tǒng)的架構(gòu)如圖2所示,代理服務(wù)器、生產(chǎn)服務(wù)器及數(shù)據(jù)庫(kù)均以虛擬機(jī)的形式部署在光華路數(shù)據(jù)中心華為云上。其中數(shù)據(jù)庫(kù)部署在核心區(qū),核心區(qū)擁有最高的安全等級(jí)。生產(chǎn)服務(wù)器部署在辦公內(nèi)網(wǎng)的云上,外網(wǎng)不能直接訪問(wèn)。外網(wǎng)用戶只能通過(guò)設(shè)立在DMZ區(qū)的代理服務(wù)器,間接訪問(wèn)生產(chǎn)服務(wù)器。
圖2 運(yùn)維管理系統(tǒng)構(gòu)架
1.運(yùn)維部署
為保證應(yīng)用系統(tǒng)運(yùn)維安全,生產(chǎn)服務(wù)器、代理服務(wù)器及數(shù)據(jù)庫(kù)的部署、運(yùn)維只能通過(guò)總臺(tái)堡壘機(jī)進(jìn)行,在復(fù)興門辦公區(qū)指定了一臺(tái)運(yùn)維電腦通過(guò)訪問(wèn)總臺(tái)堡壘機(jī)進(jìn)行運(yùn)維及部署。圖2中紅色線為運(yùn)維通路。運(yùn)維線路各環(huán)節(jié)只申請(qǐng)開通了運(yùn)維必需的訪問(wèn)策略,其他不必要的端口全部 關(guān)閉。
2.業(yè)務(wù)訪問(wèn)
業(yè)務(wù)訪問(wèn)的通路如圖2中黑色線所示,內(nèi)部網(wǎng)絡(luò)訪問(wèn)時(shí)會(huì)被指向代理服務(wù)器的云內(nèi)網(wǎng)址,外部網(wǎng)絡(luò)訪問(wèn)時(shí)域名會(huì)被解析為代理服務(wù)器的云外地址,然后通過(guò)NAT轉(zhuǎn)換指向代理服務(wù)器。
四.云平臺(tái)技術(shù)的優(yōu)點(diǎn)
1.高可擴(kuò)展性。
云計(jì)算平臺(tái)下的數(shù)據(jù)中心的模塊化擴(kuò)展能力解決了傳統(tǒng)數(shù)據(jù)中心擴(kuò)容難的問(wèn)題。
傳統(tǒng)數(shù)據(jù)中心在擴(kuò)容時(shí)會(huì)受到系統(tǒng)設(shè)計(jì)、機(jī)房設(shè)計(jì)及網(wǎng)絡(luò)設(shè)計(jì)的影響,對(duì)于機(jī)房擴(kuò)容來(lái)說(shuō)是一個(gè)系統(tǒng)性的工程,特別是在空間和電力能源有限的情況下,要實(shí)現(xiàn)擴(kuò)容是無(wú)法完成的事情。然而,云計(jì)算數(shù)據(jù)中心可以在總體空間和電力提供不變的情況下,通過(guò)提高單機(jī)架的容納能力及降低PUE等方式實(shí)現(xiàn)“擴(kuò)容”。
云計(jì)算的網(wǎng)絡(luò)、存儲(chǔ)、計(jì)算資源松耦合,可以根據(jù)數(shù)據(jù)中心內(nèi)各種資源的消耗比例適當(dāng)增加或減少某種資源配置。使得數(shù)據(jù)中心的管理具有較大靈活性,資源配置更加優(yōu)化。
2.構(gòu)建完善的安全體系
構(gòu)建一個(gè)完善的安全體系,是云計(jì)算平臺(tái)的命脈所在,也是用戶選擇云服務(wù)時(shí)考慮的核心問(wèn)題。總臺(tái)網(wǎng)絡(luò)安全部門攜手云服務(wù)供應(yīng)商,構(gòu)建了完善的網(wǎng)絡(luò)安全方案。
安全計(jì)算環(huán)境保障措施:
①在主機(jī)上部署了防病毒軟件,基于病毒庫(kù)對(duì)已知病毒等惡意代碼進(jìn)行查殺。
②對(duì)堡壘機(jī)登錄采用了雙因素認(rèn)證措施、需同時(shí)提供硬件USB KEY及密碼。將運(yùn)維登錄與身份認(rèn)證網(wǎng)關(guān)進(jìn)行結(jié)合,做到了人為操作的有據(jù)可查。
③在重要服務(wù)器設(shè)備上,部署了內(nèi)核加固軟件,通過(guò)其加入了標(biāo)記及強(qiáng)制訪問(wèn)控制的措施。
安全網(wǎng)絡(luò)邊界保障措施:
①在數(shù)據(jù)中心與辦公網(wǎng)的邊界處部署防火墻,對(duì)進(jìn)出數(shù)據(jù)中心的數(shù)據(jù)實(shí)施過(guò)濾和訪問(wèn)控制。
②在數(shù)據(jù)中心與辦公網(wǎng)的信息邊界,部署防病毒網(wǎng)關(guān)設(shè)備,基于病毒庫(kù)對(duì)信息流中的惡意代碼進(jìn)行查殺。
③在數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部部署入侵檢測(cè)設(shè)備,防范外部的入侵行為;
安全管理中心部署措施:
①部署運(yùn)維審計(jì)、數(shù)據(jù)庫(kù)審計(jì),對(duì)用戶的設(shè)備操作和數(shù)據(jù)庫(kù)操作行為進(jìn)行審計(jì)。
②部署安全管理平臺(tái),對(duì)所有安全設(shè)備的日志進(jìn)行收集匯總和集中分析,對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、分析和報(bào)警。
通過(guò)構(gòu)建覆蓋計(jì)算環(huán)境、網(wǎng)絡(luò)邊界、安全管理等多層次的安全防御體系,防止惡意用戶對(duì)總臺(tái)云平臺(tái)核心數(shù)據(jù)的破壞。
3.自動(dòng)化管理體系
自動(dòng)化管理是傳統(tǒng)數(shù)據(jù)中心沒(méi)有的功能。云計(jì)算數(shù)據(jù)中心的自動(dòng)化管理使得在規(guī)模較大的情況下,實(shí)現(xiàn)較少工作人員對(duì)數(shù)據(jù)中心的高度智能管理。此特性一方面能降低數(shù)據(jù)中心的人工維護(hù)成本,另一方面能提高管理效率,提升客戶體驗(yàn)。
云平臺(tái)能夠提供精細(xì)的管理和監(jiān)控,比如能夠觀察應(yīng)用運(yùn)行的情況和具體數(shù)值(比如吞吐量Throughput和響應(yīng)時(shí)間Response Time等)來(lái)更好地衡量應(yīng)用的運(yùn)行狀態(tài)。
4.經(jīng)濟(jì)性
云平臺(tái)的租戶模式,讓在基礎(chǔ)設(shè)施層的“多租戶”,通過(guò)虛擬化技術(shù),能夠在一個(gè)物理服務(wù)器上生成多個(gè)虛擬機(jī),并且能在這些虛擬機(jī)之間能實(shí)現(xiàn)全面的隔離,這樣不僅能降低服務(wù)器的購(gòu)置成本,而且還能同時(shí)降低服務(wù)器的運(yùn)維成本。符合我國(guó)節(jié)能減排、綠色環(huán)保的可持續(xù)發(fā)展 戰(zhàn)略。
云平臺(tái)提供的虛擬機(jī),能支持多種操作系統(tǒng),所以云平臺(tái)所支持應(yīng)用的范圍是非常廣泛的。
五.運(yùn)維管理系統(tǒng)部署在總臺(tái)云平臺(tái)的優(yōu)點(diǎn)
1.?dāng)U容容易
云平臺(tái)上計(jì)算能力、存儲(chǔ)空間、網(wǎng)絡(luò)帶寬等資源松散耦合,搭建在云平臺(tái)上的運(yùn)維管理系統(tǒng)只需根據(jù)現(xiàn)階段服務(wù)所需申請(qǐng)網(wǎng)絡(luò)、存儲(chǔ)資源。后續(xù)如系統(tǒng)業(yè)務(wù)范圍擴(kuò)大或有新增業(yè)務(wù)時(shí),只需向總臺(tái)數(shù)據(jù)中心申請(qǐng)擴(kuò)容,便可快速實(shí)現(xiàn)業(yè)務(wù)范圍的擴(kuò)大。
2.安全性好
云服務(wù)供應(yīng)商及總臺(tái)數(shù)據(jù)中心負(fù)責(zé)數(shù)據(jù)庫(kù)、虛擬機(jī)、網(wǎng)絡(luò)環(huán)境的安全防護(hù),不僅安全性能好,還可以為應(yīng)用系統(tǒng)的部署節(jié)省很多精力。
在運(yùn)維安全方面,由指定的堡壘機(jī)對(duì)服務(wù)器進(jìn)行運(yùn)維,且需使用身份認(rèn)證USB KEY和密碼雙因素認(rèn)證才能登錄堡壘機(jī)。在數(shù)據(jù)傳輸環(huán)節(jié),使用SSL數(shù)字證書進(jìn)行加密處理。在網(wǎng)絡(luò)傳輸邊界,僅開放業(yè)務(wù)必須的端口及協(xié)議,阻斷基于通用協(xié)議的攻擊。多方位保障應(yīng)用系統(tǒng)的安全。
3.經(jīng)濟(jì)性
不論是在部署,還是在運(yùn)行的時(shí)候,運(yùn)維管理系統(tǒng)都無(wú)需為服務(wù)器、 操作系統(tǒng)、網(wǎng)絡(luò)和存儲(chǔ)等資源的運(yùn)維而操心,這些繁瑣的工作都由云服務(wù)供應(yīng)商和總臺(tái)數(shù)據(jù)中心 負(fù)責(zé)。
對(duì)于在云平臺(tái)上搭建應(yīng)用系統(tǒng)的用戶,大大減少了網(wǎng)絡(luò)安全方面的工作量,極大方便了系統(tǒng)的搭建及后期的維護(hù)管理。B&P
參考文獻(xiàn)
[1]廣電總局發(fā)布電視臺(tái)、廣播電臺(tái)融合媒體平臺(tái)建設(shè)技術(shù)白皮書[J].中國(guó)廣播,2016(04):101.
[2]熊偉.中央廣播電視總臺(tái)光華路辦公區(qū)數(shù)據(jù)中心現(xiàn)狀分析與節(jié)能探索[J].現(xiàn)代電視技術(shù),2021(12):145-148.
[3]薛慧麗,邵孟良.云計(jì)算的核心技術(shù)與應(yīng)用前景研究
[J].實(shí)驗(yàn)室科學(xué),2015,18(06):55-59.
[4]魏喜蓮.云數(shù)據(jù)中心網(wǎng)絡(luò)安全設(shè)備部署研究[J].鐵道通信信號(hào),2021,57(04):41-47.
[5]董紅.基于混合云架構(gòu)的廣播電臺(tái)融媒體技術(shù)平臺(tái)[J].衛(wèi)星電視與寬帶多媒體,2020(13):68-69.[管理運(yùn)營(yíng)Management]