全棧專屬云解決方案應用研究

呂書林，趙軍生，崔云龍，高 平，任高強

（中國移動通信集團設計院有限公司 河南分公司，河南 鄭州 450000）

0 引 言

在政策、經濟等因素推動下，云計算技術發展速度越來越快，云原生技術和架構不斷演進和成熟，云服務給企業帶來的低成本、高穩定性、強拓展性等優勢越來越明顯，促進了企業上云數量不斷提升。基于企業技術能力、成本費用、安全隱私等多種因素考量，傳統IT與云并存，私有云、公有云、專屬云以及混合云部署模式并存會是短期內云計算發展一大趨勢[1]。企業IT架構如圖1所示。

圖1 企業IT架構

私有云是為某一個客戶單獨建設的，客戶的計算設備、存儲設備、網絡設備等都部署在自建機房或托管在運營商的機房。私有云同互聯網物理隔離，具有很高的安全可靠性。但私有云定制化需求多，建設、維護成本高，同時在云原生技術等方面的發展演進不及公有云。全棧專屬云一般與公有云保持統一架構、運維以及應用程序接口（Application Program Interface，API）等，繼承了公有云大規模商用的成熟架構、穩定可靠、開放兼容，滿足企業核心業務上云對資源隔離、安全保護等的要求，為客戶提供與公有云一致的產品與服務體驗[2]。全棧專屬云主要面向大中型企業，覆蓋交通、醫療、金融、能源等重點行業。云應用場景對比如表1所示。

表1 云應用場景對比

1 整體解決方案

1.1 系統架構

全棧專屬云以云服務租賃方式為客戶提供資源隔離的云產品和統一運維服務，滿足企業核心業務上云需求，系統架構如圖2所示。

圖2 系統架構

基礎資源主要包括計算、存儲、網絡、安全等軟硬件基礎資源，通過虛擬化技術實現資源的彈性調度，提高資源利用率。云服務主要包括為客戶業務提供的基礎設施即服務（Infrastructure as a Service，IaaS）、平臺即服務（Platform as a Service，PaaS）以及軟件即服務（Software-as-a-Service，SaaS），同時為客戶提供統一Console服務，客戶根據業務系統部署需求對全棧專屬云的計算、存儲、網絡等資源進行合理分配和使用。同時，系統還提供標準API接口，供客戶業務系統二次開發使用[3]。全棧專屬云可共享公有云統一運維體系，接入公有云統一運維監控平臺，為運維工程師提供云資源的日常維護需求，統一運維，降低成本。

1.2 網絡架構

全棧專屬云在網絡架構規劃上采用層次化、模塊化的方式，便于靈活復制、規模組網。整個網絡在架構設計上分為出口層、互聯層、各業務POD網絡以及管理網[4]。全棧專屬云采用軟件定義網絡（Software Defined Network，SDN）組網，資源池網絡分為底層網絡（Underlay）和SDN重疊網網絡（Overlay）。SDN解決方案可提升網絡規模和網絡虛擬化能力，為云業務系統提供自動開通、配置和管理的網絡服務[5]。全棧專屬云邏輯架構如圖3所示。

圖3 全棧專屬云邏輯架構

全棧專屬云網絡架構如圖4所示。

圖4 全棧專屬云網絡架構

出口層負責與外部網絡的互聯，保證數據中心內部網絡高速訪問互聯網及IP承載網，并對數據中心內網和外網的路由信息進行轉換和維護[6]。IP承載網CE路由器南向與核心交換機互聯，北向與IP承載網互聯。CE路由器與IP承載網接入路由器設備進行EBGP對接，設備橫聯通過開放式最短路徑優先（Open Shortest Path First，OSPF）協議打通loopback地址建立IBGP鄰居保護鏈路[7]。互聯網接入路由器雙主部署，接入路由器與互聯網骨干路由器間運行EBGP，設備橫聯運行OSPF+IBGP，接入路由器與核心交換機運行EBGP。接入路由器創建Internet VRF，用于承載Underlay業務公網需求流量。互聯網接入路由器旁掛抗DDoS流量檢測及清洗設備，其中與抗DDOS流量檢測采用netflow對接，將流量送至檢測設備，檢測設備和清洗設備再與管理中心聯動實現DDOS攻擊流量的引流。此外，與流量清洗設備采用IBGP方式進行流量牽引，通過策略路由方式進行流量回注[8]。

核心交換機承擔著全棧專屬云南北向和東西向流量的轉發。核心交換機和互聯網接入路由器運行EBGP，規劃用于承載虛機公網流量的VPN路由轉發表（Virtual Routing Forwarding，VRF）[9]。核心交換機和內網防火墻運行IBGP，規劃VRF對租戶Overlay流量至內網防火墻的安全防護，同時規劃VRF引導Overlay訪問Underlay的流量。核心交換機和SDN網關運行EBGP，針對不同流量劃分不同VRF，引導Overlay流量訪問Underlay資源或公網。核心交換機旁配置入侵防御系統（Intrusion Prevention System，IPS），將流量鏡像至IPS進行流量檢測和抓包分析。

管理域和各業務邏輯POD內成對TOR（Top of Rack）交換機進行M-LAG部署，TOR與核心交換機之間通過EBGP傳遞路由。TOR交換機對核心交換機宣告各類服務器的網關地址段，SDN組件設備宣告VTEP地址。管理域管理核心流量經防火墻和核心交換機對接，引導管理流量和IP承載網互訪。

1.3 安全方案

全棧專屬云提供符合客戶要求的安全架構，滿足用戶業務的安全可靠性及數據完整性等安全需求，向用戶提供全棧立體安全防御。全棧專屬云系統架構中的防火墻、IPS、抗DDOS等安全設備和系統從設備核心部件到雙機部署方式，均采用高可靠性的設計方案，以滿足云業務的安全可靠運行。全棧專屬云向用戶提供一個全方位立體的安全運行環境，提供系統安全、網絡安全、業務安全、業務數據安全以及內容安全5個方面的堅實保障[10]。為滿足不同應用對網絡接入的不同安全隔離要求，根據業務系統的不同安全等級對專屬云的資源劃分安全域，包括互聯網接入域、核心交換域、業務數據域以及管理維護域等。

2 典型應用場景

全棧專屬云可以為不同規模、不同行業的用戶提供靈活、可擴展的行業解決方案，能夠滿足金融、醫療等核心業務上云時對數據隔離部署等的安全需求，并向客戶提供統一的運維管理功能。全棧專屬云行業需求及應用場景如表2所示。

表2 全棧專屬云行業需求及應用場景

3 結 論

綜上所述，對運營商全棧專屬云的整體解決方案進行了研究，包括系統架構、網絡架構及安全方案等，同時分析了全棧專屬云的優勢和應用場景，對有安全合規上云訴求的大中型企業提供相應的方案參考，具有一定現實意義。