基于分布式服務(wù)支撐系統(tǒng)設(shè)計與實現(xiàn)

蔣安國 杜豐平 邊晉煒

摘 要：隨著互聯(lián)網(wǎng)快速發(fā)展，針對互聯(lián)網(wǎng)數(shù)據(jù)傳輸很容易遭到篡改、竊取與攻擊，地域性相互獨立的服務(wù)支撐、資料共享、學(xué)習(xí)能力提升、監(jiān)控數(shù)據(jù)分析不能形成有效的資源整合問題，本文提出了分布式服務(wù)支撐系統(tǒng)的設(shè)計與實現(xiàn)，此系統(tǒng)通過建立安全加密專網(wǎng)，使用IPSec鏈路安全加密傳輸，實現(xiàn)總部職能部門與各分支機構(gòu)人員信息同步共享；通過安全加密專網(wǎng)，提供快速、安全、高效的遠(yuǎn)程支撐服務(wù)；使用分布式監(jiān)控系統(tǒng)，將分布在全國的業(yè)務(wù)平臺進行集中網(wǎng)管監(jiān)控管理。

關(guān)鍵詞：分布式；Zabbix；華為USG；Juniper

中圖分類號：TP393.05 文獻(xiàn)標(biāo)識碼：A 文章編號：2096-4706（2019）02-0108-03

Abstract：With the rapid development of the internet，the data transmission on the internet is easy to be tampered with，stolen and attacked，and the problems of regional independent service support，data sharing，improvement of learning ability and monitoring data analysis can not form effective resource integration are discussed. The design and implementation of distributed service support system are proposed in this paper. By establishing a secure encryption private network and using IPSec link to secure transmission，the system can realize the synchronous sharing of information between headquarters functional departments and personnel of various branches. It provides fast，safe and efficient remote support services through secure and encrypted private network，and centralizes network management monitoring and management on business platforms distributed throughout the country by using distributed monitoring system.

Keywords：distributed；Zabbix；HUAWEI USG；Juniper

0 引 言

一般而言，隨著公司業(yè)務(wù)不斷發(fā)展，公司會由地方性公司發(fā)展為全國性公司，公司職能部門分化為總部職能部門、分公司、辦事處。本文基于“互聯(lián)網(wǎng)+”背景，提出一種“分布式服務(wù)支撐系統(tǒng)”的設(shè)計方案，以滿足各個分支機構(gòu)之間的信息同步共享、涉密數(shù)據(jù)的加密傳輸、全國業(yè)務(wù)平臺的集中網(wǎng)管監(jiān)控需求，提高工作效率。

1 系統(tǒng)的總體架構(gòu)設(shè)計

該系統(tǒng)主要架構(gòu)分為安全加密層、應(yīng)用服務(wù)層、交互服務(wù)層，涉及的系統(tǒng)模塊有平臺接入專網(wǎng)、圖書館系統(tǒng)、在線考試系統(tǒng)、分布式監(jiān)控系統(tǒng)。

1.1 總體架構(gòu)網(wǎng)絡(luò)圖

系統(tǒng)總體網(wǎng)絡(luò)架構(gòu)如圖1所示。

1.2 架構(gòu)說明

（1）安全加密層。安全加密層由IPSec VPN服務(wù)器、L2TP over IPSec VPN終端設(shè)備，防火墻服務(wù)組成，通過數(shù)據(jù)加密、賬號認(rèn)證和資源訪問控制實現(xiàn)系統(tǒng)安全加密防護。為了滿足“互聯(lián)網(wǎng)+”業(yè)務(wù)需求，系統(tǒng)專網(wǎng)開放互聯(lián)網(wǎng)接入服務(wù)，與視頻會議系統(tǒng)、微信服務(wù)等對接。

（2）應(yīng)用服務(wù)層。應(yīng)用服務(wù)層提供面向用戶、平臺系統(tǒng)、支撐工程師、營銷人員、財務(wù)人員、項目經(jīng)理等對象的支撐服務(wù)功能集。涉及能力提升系統(tǒng)、分布式監(jiān)控系統(tǒng)、工程資料發(fā)布系統(tǒng)、信息發(fā)布系統(tǒng)等。

（3）交互服務(wù)層。交互服務(wù)層分布式系統(tǒng)與用戶、系統(tǒng)、支撐工程師、營銷人員、項目經(jīng)理、財務(wù)人員、手機終端、PC電腦終端、大屏數(shù)據(jù)交互展示層，是提供支撐服務(wù)的最終對象。

1.3 系統(tǒng)特點

（1）數(shù)據(jù)鏈加密，安全可靠。系統(tǒng)采用IPSec鏈路安全加密和唯一身份驗證技術(shù)，具備數(shù)據(jù)認(rèn)證和身份認(rèn)證雙重安全保護措施，經(jīng)過授權(quán)的人員才能訪問設(shè)備和資源，用戶數(shù)據(jù)在系統(tǒng)中可以得到很好的保護。

（2）智能監(jiān)控，大數(shù)據(jù)分析潛在運行風(fēng)險。系統(tǒng)采用分布式智能監(jiān)控系統(tǒng)，自動搜索用戶網(wǎng)絡(luò)內(nèi)的設(shè)備，Web/APP客戶端實時監(jiān)測運行信息，經(jīng)過大數(shù)據(jù)分析可用率、響應(yīng)時間，全面體現(xiàn)生產(chǎn)系統(tǒng)運行狀態(tài)，向用戶提供更專業(yè)的運行分析報告。

（3）設(shè)備狀態(tài)全生命周期管控。系統(tǒng)會自動采集設(shè)備所在機房的溫度、濕度、灰塵等數(shù)據(jù)，經(jīng)過海量數(shù)據(jù)深度學(xué)習(xí)分析，科學(xué)、精準(zhǔn)地為用戶制定設(shè)備全生命周期作業(yè)計劃。

（4）智能按需推送，精準(zhǔn)能力提升。系統(tǒng)將記錄服務(wù)數(shù)據(jù)，從“人、事件、過程、結(jié)果”多個維度轉(zhuǎn)化為結(jié)構(gòu)化數(shù)據(jù)并進行大數(shù)據(jù)分析，為每一位人員量身定制學(xué)習(xí)計劃，從海量知識庫中精準(zhǔn)推送學(xué)習(xí)資料，并持續(xù)分析服務(wù)數(shù)據(jù)，智能感知能力提升效果。

（5）人工實時支撐。需要人工支撐服務(wù)時，根據(jù)用戶需求關(guān)鍵信息，系統(tǒng)會通過海量知識庫進行匹配，預(yù)判可行的解決措施，從而選擇最合適的專業(yè)工程師提供實時遠(yuǎn)程支撐服務(wù)。

2 子系統(tǒng)設(shè)計

2.1 安全加密專網(wǎng)設(shè)計

設(shè)計采用華為USG6330、Juniper SRX100和PC電腦IPSec over L2TP客戶端，通過IPSec安全加密技術(shù)把各分支機構(gòu)維護支撐人員、用戶平臺、總部相關(guān)系統(tǒng)連接起來，組成安全加密專網(wǎng)。如圖2所示。

網(wǎng)段規(guī)劃：

19.0.0.0/24 VPN Server與內(nèi)網(wǎng)互聯(lián)（如果需要）；

19.255.250.0/24 L2TP用戶地址段；

19.255.251.0/24 VPN站點設(shè)備-現(xiàn)場維護人員使用網(wǎng)段（所有VPN站點均使用該相同網(wǎng)段，類似于當(dāng)做私網(wǎng)網(wǎng)段使用，可用于訪問總部服務(wù)器、其他VPN站點，訪問時，源地址會被轉(zhuǎn)換為VPN站點設(shè)備的管理地址。不建議單獨分配網(wǎng)段或地址，因為其會大大增加VPN配置復(fù)雜度）；

19.255.255.0/24 VPN站點設(shè)備管理地址（每臺VPN站點設(shè)備分配一個32位IP）該地址亦可用作現(xiàn)場Zabbix代理服務(wù)器的管理地址（建議通過VPN站點設(shè)備管理地址進行端口映射，不建議單獨分配網(wǎng)段或地址，因為其會大大增加VPN配置復(fù)雜度）；

19.1.0.0-11.100.255.255 VPN站點映射到用戶設(shè)備的地址段；

其余地址段暫為預(yù)留。

2.2 平臺接入專網(wǎng)設(shè)計

利用IPSec安全加密技術(shù)，通過Juniper SRX100設(shè)備，將平臺網(wǎng)絡(luò)進行雙向IP地址轉(zhuǎn)換（源地址轉(zhuǎn)換+目的地址轉(zhuǎn)換）接入安全加密專網(wǎng)。

2.3 圖書館系統(tǒng)設(shè)計

該系統(tǒng)采用B/S結(jié)構(gòu)體系，圖書館服務(wù)器放在安全加密專網(wǎng)中，通過讀寫權(quán)限控制，訪問人員根據(jù)預(yù)設(shè)權(quán)限進行讀取文件或上傳文件操作。

圖書館系統(tǒng)將審核通過的平臺維護資料、營銷資料、工程項目資料、培訓(xùn)資料、知識庫對各分支機構(gòu)發(fā)布、共享，各分支機構(gòu)可通過移動端（手機、平板電腦）安全專網(wǎng)登陸系統(tǒng)在線學(xué)習(xí)。

2.4 在線考試系統(tǒng)設(shè)計

在線考試系統(tǒng)服務(wù)器，放在安全加密專網(wǎng)中，學(xué)員通過專網(wǎng)進入在線考試系統(tǒng)參加考核評定。在線考試系統(tǒng)能夠?qū)γ课粚W(xué)員的考卷進行自動閱卷，并從試卷、考試、成績多個維度進行統(tǒng)計分析。將考試系統(tǒng)的考核成績作為技能評定的一項參考項，為公司技術(shù)人才儲備奠定基礎(chǔ)。

2.5 分布式監(jiān)控系統(tǒng)設(shè)計

分布式監(jiān)控系統(tǒng)由Zabbix網(wǎng)管監(jiān)控服務(wù)器和Zabbix Proxy Server網(wǎng)管監(jiān)控代理服務(wù)器組成，網(wǎng)管監(jiān)控服務(wù)器放在安全加密專網(wǎng)中心端（華為USG6330），網(wǎng)管監(jiān)控代理服務(wù)器放在全國用戶的平臺網(wǎng)絡(luò)中，通過雙網(wǎng)卡方式連接平臺網(wǎng)絡(luò)和安全加密專網(wǎng)終端Juniper SRX100設(shè)備。

網(wǎng)管監(jiān)控代理服務(wù)器將平臺監(jiān)控數(shù)據(jù)通過安全加密專網(wǎng)推送給網(wǎng)管監(jiān)控服務(wù)器，實現(xiàn)全國平臺統(tǒng)一集中監(jiān)控服務(wù)。在大屏上監(jiān)控展示，實時監(jiān)控公司分布全國的業(yè)務(wù)平臺，提前發(fā)現(xiàn)問題，減少平臺宕機風(fēng)險。如圖3所示。

3 結(jié) 論

在“互聯(lián)網(wǎng)+”背景下，通過建立安全加密專網(wǎng)將全國分支機構(gòu)組建為分布式服務(wù)支撐系統(tǒng)，形成一個整體，系統(tǒng)能夠滿足公司的業(yè)務(wù)需求。通過圖書館系統(tǒng)（維護資料、營銷資料、工程項目資料、培訓(xùn)資料、FAQ知識庫），實現(xiàn)總部職能部門與各分支機構(gòu)人員信息同步共享，降低了數(shù)據(jù)在互聯(lián)網(wǎng)傳輸?shù)木W(wǎng)絡(luò)風(fēng)險，向維護支撐工程師推送學(xué)習(xí)資料和FAQ知識庫，使其無需回到公司進行相關(guān)的培訓(xùn)學(xué)習(xí)，提高了工作效率；在線考試系統(tǒng)，定期檢驗維護支撐工程師對圖書館系統(tǒng)的掌握情況，助力維護支撐工程師能力的快速提升；分布式監(jiān)控系統(tǒng)，通過安全加密專網(wǎng)，將分布在全國的業(yè)務(wù)平臺進行集中網(wǎng)管監(jiān)控管理，實現(xiàn)了對監(jiān)控數(shù)據(jù)的實時分析；平臺遠(yuǎn)程支撐，通過安全加密專網(wǎng)，提供快速、安全、高效的遠(yuǎn)程支撐服務(wù)。

參考文獻(xiàn)：

[1] Juniper SRX防火墻管理手冊JNPR-v1，2015.

[2] 李朝陽.利用ZABBIX進行系統(tǒng)和網(wǎng)絡(luò)管理 [J].計算機時代，2008（10）：19-22.

[3] [美] Merike Kaeo著.網(wǎng)絡(luò)安全性設(shè)計 [M].吳中福，譯.北京：人民郵電出版社，2005.

[4] 李海光.計算機網(wǎng)絡(luò)安全技術(shù)與防范策略 [J].電子技術(shù)與軟件工程，2017（1）：210-211.

作者簡介：蔣安國（1989.05-），男，漢族，四川遂寧人，主管，研究方向：計算機科學(xué)技術(shù)、維護自動化、虛擬化、容器技術(shù)；杜豐平（1982.09-），男，漢族，部門專家，本科，研究方向：計算機科學(xué)技術(shù)、維護自動化、虛擬化、容器技術(shù)；邊晉煒（1984.01-），男，漢族，浙江紹興人，部門經(jīng)理，碩士在讀，研究方向：維護自動化、虛擬化、容器技術(shù)。