主要挑戰:
院系服務(wù)器托管模式
導致數據中心安全隱患增大
隨著(zhù)教育信息化的不斷發(fā)展,華東理工大學(xué)的下屬院系和部門(mén)為了推進(jìn)管理、教學(xué)和科研的現代化,建立了一些院系/部門(mén)的應用系統,包括部門(mén)網(wǎng)站、支持個(gè)性化教學(xué)和科研的應用平臺等等。而承載這些應用的 IT 基礎設施,包括服務(wù)器、存儲等,小部分院系采取自建機房的方式,大部分院系采取學(xué)校信息辦數據中心托管的方式。對于托管的硬件設備,學(xué)校信息辦只負責電力保障、網(wǎng)絡(luò )接入等服務(wù),系統運維工作主要還是由院系自己負責。
這樣的方式責任劃分清晰,在建設初期得到了很快的推行。但是,隨著(zhù)應用的不斷增加,很多隱患逐漸顯現,比如可用性較低,資源浪費等,更重要的是這種模式存在多方面的安全隱患:
首先,各院系的網(wǎng)站或應用系統大多由外包人員或者學(xué)生開(kāi)發(fā)和部署,很多安全規范不能得到有效落實(shí),包括操作系統和應用軟件的補丁缺失、操作系統弱密碼、防病毒軟件不安裝或者病毒庫長(cháng)期不更新等等。這些都產(chǎn)生了大量的安全漏洞。
其次,各應用系統之間缺乏有效隔離。院系自建的機房很多都沒(méi)有購置防火墻設備;而信息辦的數據中心,雖然邊緣設置了防火墻,但內部并沒(méi)有更多的隔離措施。當某個(gè)應用被黑客攻破,就極可能導致對方以這臺服務(wù)器為跳板攻擊其他應用系統;某一臺服務(wù)器的病毒感染也很容易導致普遍的感染,危害整個(gè)數據中心。
此外,托管模式中缺乏應用生命周期管理。這導致了“僵尸”服務(wù)器的存在,這些服務(wù)器雖然長(cháng)期運行,但其實(shí)已經(jīng)沒(méi)有人在使用。這樣的“僵尸”服務(wù)器,猶如一個(gè)定時(shí)炸彈,導致了不可知的安全隱患。
基于傳統的托管方式的修修補補,無(wú)法從根源上徹底解決問(wèn)題,為了確保學(xué)校信息安全,華東理工大學(xué)打算利用新技術(shù)來(lái)解決這一問(wèn)題。
主要挑戰
學(xué)校院系和部門(mén)的信息化建設長(cháng)期采用信息辦硬件設備托管的模式,但是,由于院系和部門(mén)的運維能力不足,導致了諸多安全隱患。
解決方案
私有云+SDN解決方案
解決方案:
VMware 云平臺
幫助校方提升安全水平
華東理工大學(xué)信息化辦公室經(jīng)過(guò)多次考察和調研,了解到唯有通過(guò) “運維標準化” 和 “細粒度隔離”,才能從根源上解決問(wèn)題。這些要落到實(shí)處,必須依靠云計算技術(shù)。于是,構建學(xué)校托管云成為了刻不容緩的任務(wù)。
為此,校方開(kāi)始對市面上的各種私有云解決方案進(jìn)行反復比對,最終選擇了 VMware 的 vCloud 私有云 + NSX 軟件定義的網(wǎng)絡(luò )解決方案。
對此,信息化辦公室副主任房一泉老師說(shuō):“ 我們之前已經(jīng)采用了 vSphere 服務(wù)器虛擬化技術(shù),對 VMware 的產(chǎn)品和服務(wù)比較認可。vCloud 和 NSX 與虛擬化平臺無(wú)縫集成,在同行業(yè)中已有很多成功案例,相比其他廠(chǎng)商的產(chǎn)品更為成熟可靠,而且與我們的需求很契合。這也是我們選擇與 VMware 再次合作的重要原因。”
那么 VMware 的解決方案到底是怎樣幫助華東理工大學(xué)走出困境的呢?簡(jiǎn)單來(lái)說(shuō),主要是通過(guò)以下三個(gè)步驟:
一、采用 vSphere 虛擬機的托管方式替代原有的物理機托管,通過(guò)虛擬機實(shí)現了操作系統和應用平臺的標準化;使用 vRealize 云管理平臺實(shí)現虛擬機部署流程的標準化和自動(dòng)化。
二、使用 NSX 實(shí)現虛擬化環(huán)境的分布式防火墻,加強應用之間的細粒度隔離。默認的情況下,同一個(gè)應用內部的多個(gè) VM 之間可以互訪(fǎng),不同應用的VM 之間實(shí)現網(wǎng)絡(luò )隔離;如果存在業(yè)務(wù)需求,通過(guò)白名單機制實(shí)現應用間訪(fǎng)問(wèn)控制,以及 VM 對學(xué)校公共 IT 資源的訪(fǎng)問(wèn)控制。
三、使用 vRealize 實(shí)現虛擬機生命周期的管理,有效的跟蹤每臺虛擬機的使用狀態(tài),并且提供用戶(hù)的自助申請和變更服務(wù)。
基于這一解決方案,華東理工大學(xué)建立起了安全穩定的托管云平臺,實(shí)現院系/部門(mén)托管 IT 基礎設施的統一運維管理,并于 2016 年正式投入使用。
VMware產(chǎn)品和服務(wù)
- vSphere
- vRealize Automation
- vRealize OperationsNSX
硬件設備
- IBM Flex System x240 M5
- Intel Xeon CPU
- E5-2630 v3
上線(xiàn)時(shí)間
2016年9月
客戶(hù)收益
1、建立并落實(shí)運維標準化,安全性得以明顯提升
借助經(jīng)過(guò)安全加固的標準 VM 模板,和 vRealize 的自動(dòng)化部署流程,托管云平臺可以落實(shí)學(xué)校 IT 基礎設施的運維安全要求。vRealize 的資源全生命周期管理,也徹底杜絕了 “僵尸” 服務(wù)器。通過(guò)運維的標準化和集中化,安全性得到大大提升。
2、利用網(wǎng)絡(luò )微分段技術(shù),讓風(fēng)險范圍更加可控
利用 VMware NSX 網(wǎng)絡(luò )微分段技術(shù),華東理工大學(xué)可以很方便的加強數據中心內部的安全,有效的實(shí)現應用之間的隔離。這樣,即使某個(gè)應用發(fā)生安全問(wèn)題,也不會(huì )影響到其他應用。
3、統一云平臺服務(wù),托管應用可靠性大大增強
vCloud 云管理平臺能對所有虛擬機的運行進(jìn)行全程跟蹤,清楚把控每臺虛擬機的資源使用、性能及安全狀態(tài)等,便于運維人員及時(shí)管理和調配資源,大大增強了各院系網(wǎng)站的可用性,也提升了整體資源池的使用效率。
4、實(shí)現了自動(dòng)化和自服務(wù),讓使用者更加方便管理者更加輕松
托管云集中了信息化基礎設施的同時(shí),信息辦的責任也更大了。項目立項初期,學(xué)校負責運維的老師擔心工作量增加,并且導致用戶(hù)的需求響應變慢。但是,隨著(zhù)項目的推進(jìn),通過(guò)使用者自助申請和變更、系統自動(dòng)化部署和自動(dòng)化運維等手段,信息辦的老師發(fā)現,相對于之前的物理機托管,實(shí)際的工作量并沒(méi)有增加,甚至更加便捷。
對于院系的使用者來(lái)說(shuō),申請流程更加簡(jiǎn)單,交付速度大大提高,院系用戶(hù)的滿(mǎn)意度明顯提高。
展望未來(lái)
華東理工大學(xué)托管云平臺上線(xiàn)之后,無(wú)論是 IT 管理人員還是院系和部門(mén)的使用者,對其都給予了正面的反饋,正是如此,學(xué)校正計劃擴大其使用范圍,為更多的用戶(hù)和更多的場(chǎng)景提供 IT 基礎設施服務(wù)。
客戶(hù)評價(jià)
VMware 的 vCloud 云管理平臺和NSX 網(wǎng)絡(luò )微分段解決方案非常貼切高校的 IT 基礎設施托管需求,并且產(chǎn)品成熟穩定,幫助我們大大提升了安全性和可靠性。
--- 華東理工大學(xué)信息化辦公室
