服务器虚拟机存储池安全 虚拟机存储策略

背后的力量 | 华云数据为东方证券IT架构转型升级保驾护航

随着数字化经济浪潮的持续推进,以金融 科技 为引导的创新已全面崛起,金融业正结合新技术重塑IT架构、革新应用,借数字化转型赢得新机遇。尤其是证券行业,新技术的发展给证券行业带来了商业模式和业务形态的变化,促使证券公司一方面采用创新平台,不断敏捷开发各类应用,另一方面还要兼顾改造、升级现有的生产系统,使其能够更具备运行稳定可靠、高效扩展的IT能力,进而支撑业务成长。

创新互联公司网站建设公司,提供网站建设、成都网站制作,网页设计,建网站,PHP网站建设等专业做网站服务;可快速的进行网站开发网页制作和功能扩展;专业做搜索引擎喜爱的网站,是专业的做网站团队,希望更多企业前来合作!

东方证券是一家经中国证券监督管理委员会批准的综合类证券公司,提供证券、期货、资产管理、理财、投行、投资咨询及证券研究等综合金融服务的上市证券金融控股集团。同时秉承“团结 进取 务实 高效”的企业精神,致力于“成为具有行业一流核心竞争力、为客户提供综合金融服务的现代投资银行”。

东方证券信息化架构采用软件定义及弹性模块化设计来重塑业务体系,同时三线并进:私有云、敏捷开发(包含容器)、大数据支撑着业务发展。利用多数据中心多集群部署实现异地容灾及数据备份,并结合系统监控和智能运维实现了运维智能化茄弊乎及数据可视化。

业务驱动基础架构创新升级

从2014年开始,东方证券开始使用超融合架构,从国外的知名厂商到国内厂商,东方证券在超融合节点数量上也是行业前列。随着超融合使用的深入,东方证券不仅需要超融合实现资源基础功能,还要从应用数据以及存储机制上,为业务提供更高的性能颤悉以及多样化数据冗余机制。

华云数据安超OS在东方证券进行了多轮稳定性及可靠性测试,提供了虚拟机基础资源动态分配,在数据存储上支持全闪与混闪磁盘配置,实现了自定义存储数据块大小(4K 32K)、数据副本数自定义以及机架感知等多种高级功能,在应用性能上和数据保护上都较之前都有一定提升,整个方案架构得到了客户的一致认可。

搭建超融合架卜启构 支持业务发展

华云数据利用安超OS为其构建的超融合架构,基于2U融合服务器,提供计算存储供给和管理能力,并分集群进行部署,利用现有管理平台进行集中管控。安超OS部署在虚拟化管理程序中,能够实现各个服务器中物理存储资源集中,形成统一存储资源池进行管理。同时,安超OS提供存储池来实现以虚拟机为中心的 IT基础设施管理,从而填补了存储基础设施和虚拟化平台之间的差距,带来了架构高效灵活性和稳定性。

架构优势

数据保护的七种容错机制

华云数据安超OS在架构上采用全容错架构设计,提供端到端的容错和容灾方案。通过数据检验、网络容错、缓存容错、数据容错、节点容错、机架容错及集群容错,7个环节去解决数据容错和数据丢失的风险,实现了对数据的多重保护。

针对应用类型对数据块大小设置

块的大小或内存页的大小决定超融合数据存储上虚拟机的最小空间分配单位。超融合数据存储上通常默认页面大小为 4K。安超OS在配置过程中提供一个选项,以配置超融合集群数据存储的页面大小和部署到数据存储的虚拟机磁盘(VMDK)的默认页面大小。

数据压缩算法及副本

平台提供3种虚拟机的压缩算法以及2种数据副本。通常使用lz4来实现数据压缩,另需要更高的压缩率可选择gzip_high 或者 gzip_opt,来提升存储的利用率;磁盘的2副本与3副本的混合设置,为应用系统提供更加多样化的存储机制;

虚拟化配置策略

安超OS 的条带化策略,与虚拟机相关的虚拟磁盘的配置会带来性能提升。每个虚拟机配置多个虚拟磁盘将提高超融合集群中每个物理磁盘的利用率,从而提高总集群性能。此外,安超OS超融合在Vsphere环境中进行了优化,以实现与半虚拟SCSI控制器连接的数据虚拟磁盘。

提升IT能力 带来多重收益

凭借强大的产品自研能力以及在金融领域积累的实践经验,在此次项目中,华云数据利用安超OS全面满足东方证券敏捷业务对基础架构的需求,提供全方位一站式、全生命周期服务,7x24+360 的技术支持保障系统的连续性。

华云数据帮助东方证券提升了IT能力,实现业务变革,带来了极大的收益和价值,同时借助东方证券现有的云管理平台,实现了“一云多栈,绿色低碳”,响应金融 科技 发展规划(2022-2025)中“数字驱动、智慧为民、绿色低碳、公平普惠”为发展原则。

作为众多金融 科技 行业中的典型代表,东方证券一直以来都走在数字化转型的前沿。像此次华云数据助力东方证券搭建云平台、升级IT基础架构也是一次有力印证。对于东方证券来说,华云数据不仅为其业务数字化转型提供核心力量,还推动了证券行业数字化转型进程,引领行业金融 科技 发展。

金融数字化已经从技术革命开始转变为引领业务高质量发展与体系化服务的战略引擎。华云数据作为金融数字化转型背后坚实的力量,未来将不断 探索 、不断创新,为金融领域及证券行业提供安全合规、稳定可靠、实现快捷、极速易用、易于扩展的产品及解决方案,持续助力东方证券等金融用户引领数字化转型浪潮,保持企业竞争力及成长活力,拓展出更多的经济价值和 社会 效益。

#华云数据#

云计算基础架构

云计算不仅是技术,更是服务模式的创新。云计算之所以能够为用户带来更高的效率、灵活性和可扩展性,是基于对整个IT领域的变革,其技术和应用涉及硬件系统、软件系统、应用系统、运维管理、服务模式等各个方面。

IaaS(基础架构即服务)作为云计算的三大部分之一,将基础架构进行云化,从而更好的为应用系统的上线、部署和运维提供支撑,提升效率,降低 TCO。同时,由于IaaS包含各种类型的硬件和软件系统,因此在向云迁移过程中也面临前所未有的复杂性和挑战。那么,云基础架构包含哪些组件?主要面临 哪些问题?有哪些主要的解决方法呢?

一、云基础架构

如图1所示,传统的IT部署架构是“烟囱式”的,或者模肆叫做“专机专用”系统。

在这种架构中,新的应用系统上线的时候需要分析该应用系统的资源需求,确定基础架构所需的计算、存储、网络等设备规格和数量,这种部署模式主要存在的问题有以下两点:

硬件高配低用。考虑到应用系统未来3~5年的业务发展,以及业务突发的需求,为满足应用系统的性能、容量承载需求,往往在选择计算、存储和网络 等硬件设备的配置时会留有一定比例的余量。但硬件资源上线后,应用系统在一定时间内的负载并不会太高,使得较高配置的硬件设芹胡备利用率不高。

整合困难。用嫌码拦户在实际使用中也注意到了资源利用率不高的情形,当需要上线新的应用系统时,会优先考虑部署在既有的基础架构上。但因为不同的应用 系统所需的运行环境、对资源的抢占会有很大的差异,更重要的是考虑到可靠性、稳定性、运维管理问题,将新、旧应用系统整合在一套基础架构上的难度非常大, 更多的用户往往选择新增与应用系统配套的计算、存储和网络等硬件设备。

这种部署模式,造成了每套硬件与所承载应用系统的“专机专用”,多套硬件和应用系统构成了“烟囱式”部署架构,使得整体资源利用率不高,占用过多的机房空间和能源,随着应用系统的增多,IT资源的效率、扩展性、可管理性都面临很大的挑战。

云基础架构的引入有效解决了传统基础架构的问题(如图2所示)。

云基础架构在传统基础架构计算、存储、网络硬件层的基础上,增加了虚拟化层、云层:

虚拟化层:大多数云基础架构都广泛采用虚拟化技术,包括计算虚拟化、存储虚拟化、网络虚拟化等。通过虚拟化层,屏蔽了硬件层自身的差异和复杂度,向上呈现为标准化、可灵活扩展和收缩、弹性的虚拟化资源池;

云层:对资源池进行调配、组合,根据应用系统的需要自动生成、扩展所需的硬件资源,将更多的应用系统通过流程化、自动化部署和管理,提升IT效率。

相对于传统基础架构,云基础架构通过虚拟化整合与自动化,应用系统共享基础架构资源池,实现高利用率、高可用性、低成本、低能耗,并且通过云平台层的自动化管理,实现快速部署、易于扩展、智能管理,帮助用户构建IaaS(基础架构即服务)云业务模式。

二、云基础架构融合

云基础架构资源池使得计算、存储、网络以及对应虚拟化单个产品和技术本身不再是核心,重要的是这些资源的整合,形成一个有机的、可灵活调度和扩展的资源池,面向云应用实现自动化的部署、监控、管理和运维。

云基础架构资源的整合,对计算、存储、网络虚拟化提出了新的挑战,并带动了一系列网络、虚拟化技术的变革。传统模式下,服务器、网络和存储是基 于物理设备连接的,因此,针对服务器、存储的访问控制、QoS带宽、流量监控等策略基于物理端口进行部署,管理界面清晰,并且设备及对应的策略是静态、固 定的。云基础架构模式下,服务器、网络、存储、安全采用了虚拟化技术,资源池使得设备及对应的策略是动态变化的(如图3所示)。

由于部署了虚拟化,一台独立的物理服务器变成了多个虚拟机,并且这些虚拟机是动态的,随着应用系统、数据中心环境的变化而迁移、增加、减少。例 如图3中的Server1,由于某种原因(例如Server1负载过高),其中的某个虚拟机VM1迁移到同一集群中的Server2。此时如果要保持 VM1的业务访问不会中断,需要实现VM1的访问策略能够从Port1随着迁移到Port2,这就需要交换机能够感知到虚拟机的状态变化,并自动更新迁移 前后端口上的策略。

这是一种简单的计算虚拟化与网络融合联动的例子。最新的EVB(以太网虚拟桥接)标准VEPA(虚拟以太网端口聚合,802.1Qbg)即是实 现这种融合联动方案的技术标准,其包括了VDP虚拟机发现和关联、CDCP 虚拟机多通道转发等协议,通过标准化的主机与网络之间虚拟化信息的关联控制,实现虚拟化环境向物理环境的映射,使得虚拟机的服务变更可以通过网络的感知来 自动化响应。

事实上,云基础架构融合的关键在于网络。目前计算虚拟化、存储虚拟化的技术已经相对成熟并自成体系,但就整个IT基础架构来说,网络是将计算资 源池、存储资源池、用户连接组一起的纽带,只有网络能够充分感知到计算资源池、存储资源池和用户访问的动态变化,才能进行动态响应,维护网络连通性的同 时,保障网络策略的一致性。否则,通过人工干预和手工配置,会大大降低云基础架构的灵活性、可扩展性和可管理性。

三、云基础架构融合方案

如图4所示,云基础架构分为三个层次的融合。

硬件层的融合

例如上文提到的VEPA技术和方案,则是将计算虚拟化与网络设备和网络虚拟化进行融合,实现虚拟机与虚拟网络之间的关联。此外,还有FCoE技术和方案,将存储与网络进行融合;以及横向虚拟化、纵向虚拟化实现网络设备自身的融合。

业务层的融合

典型的方案是云安全解决方案。通过虚拟防火墙与虚拟机之间的融合,可以实现虚拟防火墙对虚拟机的感知、关联,确保虚拟机迁移、新增或减少时,防 火墙策略也能够自动关联。此外,还有虚拟机与LB负载均衡之间的联动。当业务突发资源不足时,传统方案需要人工发现虚拟机资源不足,再手工创建虚拟机,并 配置访问策略,响应速度很慢,而且非常的费时费力。通过自动探测某个业务虚拟机的用户访问和资源利用率情况,在业务突发时,自动按需增加相应数量的虚拟 机,与LB联动进行业务负载分担;同时,当业务突发减小时,可以自动减少相应数量的虚拟机,节省资源。不仅有效解决虚拟化环境中面临的业务突发问题,而且 大大提升了业务响应的效率和智能化。

管理层的融合

云基础架构通过虚拟化技术与管理层的融合,提升了IT系统的可靠性。例如,虚拟化平台可与网络管理、计算管理、存储管理联动,当设备出现故障影 响虚拟机业务时,可自动迁移虚拟机,保障业务正常访问;此外,对于设备正常、操作系统正常、但某个业务系统无法访问的情况,虚拟化平台还可以与应用管理联 动,探测应用系统的状态,例如Web、APP、DB等响应速度,当某个应用无法正常提供访问时,自动重启虚拟机,恢复业务正常访问。

四、结束语

数据中心由传统基础架构向云基础架构的转变,极大提升了基础架构融合的必要性和可行性。通过资源池的云网融合,构建统一、融合、联动的基础架构系统,不仅提升了应用系统部署的可靠性、灵活性、可扩展性和可管理性,而且也促进了云计算的应用和实践。

目前人民检察院的信息化系统也将从传统的数据中心架构向云基础架构演进,满足检察院信息系统的快速批量部署、系统性能优化、降低管理维护工作量的需求,适应侦查信息化和装备现代化的科技强检需求,实现侦查方式战略转变、推动犯罪侦查工作和检务管理工作科学发展。

云计算系统已经在政府、教育、大企业、运营商等行业得到越来越多的成熟应用,涌现出一批国内外的具有完善解决方案的云基础架构供应商,包括华 三、VMware、微软、亚马逊等公司,尤其是国内的华三公司还可以提供集计算、存储、网络、虚拟化和云管理于一体的整体式交付的UIS统一基础架构系 统,可以显著简化检务云基础架构的部署和运维成本,而且凭借丰富的工程实施经验提供专业快捷的运维保障,将云基础架构系统的部署时间缩短70%以上。

如何确保VMware VCenter Server的安全

确保VMware VCenter Server的安全是瞎迟哗非常重要的,这是因为VMware VCenter Server(从前叫做Virtual Center)对其管理的所有虚拟机拥有完全的访问控制权限。你可能已经采取一定的手段防止非授权用户登录VCenter,但是有两个方面可能被许多系统管理员所忽略。VCenter有两个非常重要的集成组件:存储VCenter配置数据的数据库和认证用户身份的Active Directory。如果这两个组件没有得到很好保护的话,恶意用户就可以通过这两个组件取得对你工作平台环境的访问控制权限。

保护VCenter Server数据库

VCenter数据库是存放配置数据和其它数据的地方,其中包括角色、许可权、事件、任务、性能数据、数据中心信息、集群信息、资源池信息以及其它更多信息。

如果使用SQL 工具连接SQL服务器数据库,并且查看VCenter数据库的话,你就会看到许多VCenter使用的表。这些表中有许多都是以VPX开头的。VPX_ACCESS表用来存放对VCenter的访问控制信息,主要由以下几列组成:ID、PRINCIPAL、ROLE_ID、ENTITY_ID和FLAG。如果我们输入一个简单的SQL查询语句,就可以看到这个表中主要包含的信息:

Select * from vpx_access

结果类似于这样:

让我们看一下表中的各列数据以及这些数据所代表的含义:

ID是表中的唯一标识符,用来标识表中的每一条记录

Principal是本地或者域用户或用户组的名字,在域用户和群组的前面有一个“\”(如ACME\TJones)

ROLE_ID是VPC_ROLE表中定义的角色所对应的ID。VPC_ROLE表包括ID和与其对应的角色。-1表示是管理员身份,管理员角色不可能从VCenter中删除,否则就也就不会在数据库中。VCenter中的另外一些角色,如DataCenterAdministrator的ID是2、VirtualMachine用户的ID是5;

Entity_ID是VPX_ENTITY表中定义的客体所对应的ID。VPX_ENTITY表中包括实体和与其对应的ID。VCenter内的所有实体都有一个唯一的ID,这些实体对象包括虚拟机、主机、集群、资源池和数据中心。ID 1用来标识较高级别的实体,如主机、集群。

Flag用来标识Principal表示的是一个用户还是一个群组。Flag为3表示principal是一个群组,Flag为1表示principal是一个用户。

在我们知道这些数据代表的含义之后,就可以详细阐述VPX_ACCESS表中所返回的数据,如下:

本地Windows群组管理员是主机或者集群级别的管理员角色的一个成员

ACME Windows域的VCenter_Admins群组是主机或者集群级别管理员角色的一个成员

ACME Windows域的TJones用户是某个特定角色的成员,该角色对一个叫Win2000-5(在vpx_entity表中1422 = Win2000-5)的特定虚拟机来讲称之为vCenter Network (在vpx_entity表中120 = vCenterNetwork)

ACME Windows域的vCenter_Users群组是某个特定角色的成员,这个角色对Denver1数据中心(在vpx_entity表中21 = Denver1)来讲叫做vCenterOps(在vpx_entity表中140 = vCenterOps)

如果某用户拥有访问数据库的权限,并且拥有一个本地Windows账号或者域账号,就可以通过如下的SQL命令给自己赋予管理员的权限,获得对较高的主机和集群级的访问控制权限:

insert into vpx_access (ID, PRINCIPAL, ROLE_ID, ENTITY_ID, FLAG) values ('100', 'ACME\JSMITH', '-1', '1', '1'旦氏);

commit;

这样做可以赋予一个名字叫JSmith(ACME\JSMITH)域用户账号(1)磨行在高的主机和集群级别(1)上的管理员的角色(-1);输入ID 100表示当前在表中没有使用这个账号。如果SQL表更新,而VCenter没有立刻识别出更新信息的话,关闭、然后重新启动VCenter服务器就可以强制VCenter识别更新信息,并且用户此时也可以登录到VCenter服务器。

总之一句话:通过使用强密码机制和限制对数据库的访问来保护VCenter SQL数据库。并且对于其它任何可以访问表(如MS-SQL这种的“sa”账号)的账号也需要确保使用强密码机制。另外,如果可能的话在一个特定的SQL服务器上运行VCenter数据库,尽量不要和其它用户使用共享的SQL服务器。最后,及时给SQL服务器打补丁,防止恶意用户通过一些众所周知的漏洞取得对服务器的访问控制权限。

Active Directory和VCenter许可权

接下来我们讨论Active Directory。默认情况下,VCenter每天验证一次所有用户和群组对VCenter中实体对象的许可权限。这样做的目的是查看用户和群组,确保他们仍然在AD中,如果没有在AD中的话就自动删除许可权限。如果在删除一个AD账号之后又创建一个同名账号,并且VCenter还没有删除原来账号对应的权限,那么这个新的账号就可以使用这个许可权限访问VCenter。因此如果一个叫MJONES的AD账号早上被删除了,并且这个账号拥有VCenter的管理员权限,几个小时后又创建了一个叫MJONES的账号,那么这个账号就拥有同样的VCenter管理员权限,因为这个账号是在vCenter每日的例行验证之前重建的。

这种情况确实是有可能发生的,因为在VCenter中没有使用系统标识符(SIDS:System identifiers)、长字符串和或者长数字串,这些都是Windows用来唯一标识用户的。在Windows中,如果一个账号被从AD中删除了,然后重新创建了一个同名账号,那么这个账户将会有不同的SID,也就不可能拥有之前同名账户所拥有的同样的Windows许可权限。然而对于VCenter来讲,这两者就会被视为同一个账号,拥有同样的许可权限,这是因为VCenter只使用域和用户的用户名来做检查,而不使用SID。

在VCenter中,在“Top Menu”中选择“Administration”来完成控制这类行为的设置,然后选择“VCenter Management Server Configuration”选项。在左侧的方框中选择“Active Directory”,从右侧方框就可以看到“Enable Validation”的设置,下面是验证周期(精确到分钟)。可以完全关闭这个特性,默认的时间间隔是1440分钟(一天),当然这个可以修改。如果用户注重操作环境中的安全问题的话,可以把验证周期修改为一个较低的值(如120分钟)。由于这个特点可以通过自动删除不再有效的许可权限来保护VCenter,所以建议不要关闭这个属性特征。

如上所述,在VCent中还有需要格外注意的区域,用户确保已经了解这些区域并且恰当地保护这些区域。其中保护数据库是关键问题,另外保证及时阻止非法访问是保护VCenter服务器不受未授权入侵的关键。

服务器虚拟化的安全风险

破坏了正常的网络架构采用服务器虚拟化技术,需要对原来的网络架构进行一定的改动,建立新的网络架构,以适应服务器虚拟化的要求。但是,网络架构的改动打破了原来平衡的网络架构系统,也就会产生一些危险系统安全的风险安全问题。比如:如果不使用服务器虚拟化技术,客户可以把几个隔离区设置在防火墙的设备上。这样一来,一个隔离区就可以管理着一个服务器,服务器之间可以不同的管理原则,不同的服务器也就可以有不同的管理方法。这样,当有一个服务器被外界攻击时,其它的服务器就不会受到影响,可以正常运行。但是,如果采用了服务器虚拟化技术,就需要把虚拟的服务器一起连接到同一个虚拟交换机上。通过虚拟交换机就把所有的虚拟的服务器同外部网络联系了起来。因为所有的虚拟的服务器都连接在同一个虚拟交换机上,这就造成了一方面原来设置的防火墙功能失去了防护作用,另一方面给所有的虚拟服务器增加了安全风险。当一个虚拟服务器遭受到攻击或出现状况时,其它的虚拟服务器也会受到影响。可能致使系统服务器超载服务器虚拟化虽然能产生若干个服务器供用户使用,但是这些产生的服务器只是虚拟的,还需要借用物理服务器的硬件系统来进行各种应用程序的运行。各个虚拟服务器的应用程序非常多,这些应用程序一旦全部运行起来,就会大量占用物理服务器的内存、中央处理器、网络等硬件系统,从而给物理服务器带来沉重的运行负担。如果有一天,所有的虚拟服务器都在运行大量的应用程序,就有可能使物理服务器负荷太大,从而出现服务器超载的现象。服务器超载到一定程度,就有可能造成各个档搜虚拟服务器运行程序速度太慢,影响客户的使用。更严重的还可能造成物理服务器系统崩溃,给客户带来无法估量的损失。致使虚拟机失去安全保护服务器虚拟化后,每个虚拟机都会被装上自己的管理程序,供客户操作和使用虚拟服务器。但是不是和宴所有的管理程序都是完美无缺,没有安全漏洞的。管理程序在设计中都有可能会产生一些安全漏洞和缺陷。而这些安全漏洞和缺陷则有可能成为电脑黑客的攻击服务器的着手点。他们通过这些安全漏洞和缺陷会顺利地进入服务器,进行一些非法操作。更重要的是,一台虚拟机管理程序的安全漏洞和缺陷会传染给其它虚拟机。当一台虚拟机因安全漏洞和缺陷遭受黑客攻击时,其它的虚拟机也会受到影响,致使虚拟机失去安全保护。服务器被攻击的机会大大增加连接于同一台物理服务器的所有服务器虚拟机是能相互联系的。在相互联系的过程中,就有可能产生一些安全风险,致使服务器遭受黑客的攻击。而且,黑客不需要对所有的服务器虚拟机逐个进行攻击,只需要对其中的一台虚拟机进行攻击。只要攻下一台虚行棚历拟机,其它的虚拟机就可以被攻下。因为,所有的虚拟机都是相互联系的。所以说,服务器虚拟化后被攻击的机会大大增加了。虚拟机补丁带来的安全风险每个虚拟机都有着自己的管理系统,而这些管理系统是经常需要及时安装最新补丁以防止被攻击。但是,一个物理服务器可以带许多个虚拟机,每个虚拟机就是一台服务器,都需要安装补丁,工作量太大。这就给虚拟机的补丁安装带来麻烦,会大大影响补丁的安装速度,使虚拟机不能够及时安装不断,从而带来安全隐患。另外,一些客户会通过一些技术手段保留个别虚拟机用于虚拟机的灾难恢复。但是,保留的虚拟机很可能没有及时安装新的补丁,从而会给灾难恢复的虚拟机带来运行的安全风险。


名称栏目:服务器虚拟机存储池安全 虚拟机存储策略
网站链接:http://scyanting.com/article/ddpsdgd.html