作者:束开,张海俊第一作者单位:贵州燃气集团股份有限公司摘自《煤气与热力》年7月刊1概述目前许多公用事业企业存在数据机房承载能力已接近饱和,无法为未来大型系统提供足够的物理资源,运维工作量增大,数据机房分散,网络结构冗杂等问题,对安全和运维能力提出了前所未有的高要求。靠单一的数据机房已难以满足企业信息化发展需求,大量信息化设备的建设与管理,使建设成本、人力成本居高不下。贵州燃气集团在此环境下,提出了企业上云规划。2上云规划按照贵州燃气集团信息技术发展的总体规划,集团公司应用系统上云需要结合贵州燃气本地数据中心整合项目以及应用系统建设情况,综合考虑,采用混合云架构部署。贵州燃气集团采用的混合云系统架构,由阿里云数据中心、用户和员工端、贵州燃气数据中心组成。阿里云数据中心和贵州燃气数据中心以云联接技术相连,确保连接的安全与性能可靠,用户和员工由移动终端或个人计算机端(PC端)设备通过互联网访问阿里云数据中心。贵州燃气集团业务系统架构见图1。图1贵州燃气集团业务系统架构2.1贵州燃气数据中心到阿里云数据中心的设计贵州燃气集团部分系统已经处于淘汰期,但目前还需要和现有系统进行数据对接,经综合考虑,这部分系统暂不上云,依然存放在贵州燃气数据中心。因此,贵州燃气集团采用混合云网络架构设计,通过“云联接”混合云网络架构方案,利用虚拟专用网络VPN(VirtualPrivateNetwork,VPN)设备与云下贵州燃气数据中心进行网络连接。云联接服务给用户提供了一种可以基于互联网,实现高速、稳定的企业组网连接的方案。在企业云化的网络中,实现分支点和中心点之间的高效双向互访,建立公有云与私有云之间的连接。贵州燃气通过虚拟专用网络隧道技术,在贵州燃气数据中心和阿里云数据中心建立三层连接,实现两地内部网段互通。隧道采用SSL加密方式(SecuritySocketLayer加密技术),通过硬件软件防火墙防护贵州燃气数据中心,保障数据安全。另外,阿里云端采用两个虚拟专用网络VPN服务器(VPN1、VPN2),可以防止设备单点故障,确保网络运行的可靠性。2.2阿里云数据中心设计2.2.1网络专有网络VPC(VirtualPrivateCloud,VPC)是阿里云推荐使用的网络类型,专有网络之间逻辑上彻底隔离。VPC的主要优势在于以下2方面。①VPC基于隧道技术,实现数据链路层的隔离,为每个租户提供一张独立、隔离的安全网络。不同专有网络之间内部网络完全隔离,只能通过对外映射的弹性互联网协议地址(InternetProtocolAddress,简称IP地址)和网络地址转换NAT(NetworkAddressTranslation,NAT)互联。②通过掌控自己的虚拟网络,例如选择自己的IP地址范围、划分网段、配置路由表和网关等,从而实现安全而轻松的资源访问和应用程序访问。此外,用户也可以通过专线或者虚拟专用网络等连接方式将专有网络与传统数据中心相连,形成一个按需定制的网络环境,实现应用的平滑迁移上云和对数据中心的扩展。本项目目前暂不考虑多地域部署系统,且各系统之间也不需要通过专有网络VPC进行隔离,同时对实例的需求也在个以内(1个专有网络VPC最多可支持00个实例)。因此,在阿里云数据中心,本项目采用了1个VPC专有网络,基本上可以满足实际需求。为了业务的可管理性,根据不同的业务类型,在此VPC里划分5个可用的虚拟局域网(VirtualLocalAreaNetwork,VLAN),网址分别为:.18.3.0/24、.18.5.0/24、.18.6.0/24、.18.7.0/24、.18.8.0/24),方便后续业务的运维管理。同时根据业务需求,把整个贵州燃气集团的业务信息系统规划在两个区,即可用区A和可用区B。可用区A包括工程管理系统和备份数据库。可用区B包括门户网站、办公协同系统、客户信息系统、智能物联综合管理平台、移动应用等系统。2.2.2应用贵州燃气集团上云建设项目按照“先易后难、分批切换”的原则开展。首次迁移部署到阿里云数据中心的现有系统有客户信息系统(CIS)、办公协同系统(OA)、燃银交易平台、门户网站。同时,新开发的智能物联综合管理平台、工程管理系统、移动应用(APP)、短信平台这4个系统直接部署在云端。①客户信息系统(CIS)该系统由呼叫、营业、域名、时间、文件传输协议(FileTransferProtocol,FTP)、接口1、接口2、报表1、报表2、批次1、批次2等应用服务器,以及生产数据库服务器和备份数据库服务器组成。接口、报表、批次服务器分别两两集群,而2台数据库服务器则1主1备。生产数据库为主服务器,通过甲骨文数据防护软件(OracleDataGuard)将数据实时备份至备份数据库。考虑到CIS数据的重要性,选择了阿里云同城的两个可用区,把备份的数据部署在可用区A,即使可用区B的主数据库出现问题,也能够从可用区A的备份数据库及时恢复,防止同一可用区不可用造成的业务停顿,进一步提高数据的安全性及系统的可用性。②办公协同系统(OA)该系统由应用和数据库2组成。由于原OA系统已经不能满足集团后续业务的开展,因此,在本次OA系统上云前,新开发了一套OA系统,并对原OA系统做了保留,在新的OA系统里添加了老OA系统的访问链接,以便通过新系统也能快速访问老系统的相关资料和信息。③燃银交易平台该系统由应用和数据库3组成,该系统为现有系统,在上云前需要对应用系统进行一定改造,但系统本身比较简单,改造完成后,直接部署在云上。④门户网站该系统由应用和数据库1组成,该系统为现有系统,系统比较简单,在上云前,需要稍微调整,即可部署在云上。⑤智能物联综合管理平台该系统由部署、配置管理、应用1、应用2、Agent(在IT领域,Agent指能够自主活动的软件或者硬件实体)、监控、数据库4及负载均衡服务器组成。该系统为新建系统,在开发完成后,直接云上部署。⑥工程管理系统该系统由应用1、应用2、数据库5组成。该系统为新建系统,在开发完成后,直接在云上部署。⑦移动应用(APP)该系统由APP开发服务器和APP生产服务器组成。该系统为新建系统,在开发完成后,直接在云上部署。⑧短信平台(MSG)短信平台由1台应用服务器组成。该系统为新建系统,在应用服务器采购到位后,直接在云上部署。2.2.3文件储存阿里云对象存储(ObjectStorageService,OSS)服务器专门用来存储文件,8个系统可共用同一个OSS服务器进行文件储存和管理。2.2.4安全数据安全对燃气公司来说至关重要。本次在阿里云数据中心,采用了堡垒机+安骑士+态势感知+Web应用防火墙的架构来确保系统的高可用、高可靠和高安全。堡垒机集中了运维身份鉴别、账号管控、系统操作审计等多种功能。基于协议正向代理实现,通过正向代理的方式实现对安全外壳协议(SecureShell,SSH)、远程桌面、安全文件传送协议(SecureFileTransferProtocol,SFTP)等常见运维协议的数据流进行全程记录,并通过协议数据流重组的方式进行录像回放,达到运维审计的目的。安骑士是一款服务器安全运维管理产品。通过安装在服务器上的轻量级Agent插件与云端防护中心的规则联动,实时感知和防御入侵事件,保障服务器的安全。态势感知提供的是一项软件即服务(Software-as-a-Service,SAAS)服务,即在大规模云计算环境中,对那些能够引发网络安全态势发生变化的要素进行全面、快速和准确地捕获和分析。然后,把客户当前遇到的安全威胁与过去的威胁进行关联回溯和大数据分析,最终确定未来可能发生的安全事件的威胁风险,并提供一个体系化的安全解决方案。Web应用防火墙(WebApplicationFirewall,WAF)基于云安全大数据能力实现,通过防御结构化查询语言(StructuredQueryLanguage,SQL)注入等防范常见攻击,过滤海量恶意攻击,避免网站资产数据泄露,保障网站的安全与可用性。在阿里云数据中心通过堡垒机,所有人员对服务器的操作都会被监管,每个操作都会留下痕迹,可追溯,可回退,确保云上人员合规。通过在阿里云划分专有网络VPC安全隔离,同时利用安骑士、态势感知保证内部各业务系统的运行安全。贵州燃气集团整体架构综合考虑了高可用、高可靠、高安全、灵活敏捷的设计方式,既确保了业务系统的稳定性,也大幅提升了性能,降低了成本。2.3用户和员工访问用户和员工在互联网环境中,通过移动终端(4G网络或无线WIFI)或个人电脑访问云端各业务系统,并通过Web应用防火墙确保数据的访问安全。3结语通过对贵州燃气集团业务系统架构的合理规划,项目从年9月29日到年1月10日,按照混合云架构整体设计、应用系统上云规划、云环境准备、验证测试、部署等一系列步骤,上云顺利完成,业务系统上云后运行良好。通过上云,将为企业信息化建设增加弹性扩容,提高服务器稳定性与数据安全性,降低硬件、人力各项成本,至少可节省近0×元的投资。同类论文1、私有云在燃气企业的建设及应用
2、智能燃气表云平台研究
维普免费下载《煤气与热力》论文(现刊和过刊均可)
日前,《煤气与热力》杂志社有限公司在维普网站