浅析在油气田数字化转型背景下的DMZ区升级优化

2021-09-22 07:59莫岚李永亮顾伟廖小军
科技创新导报 2021年16期
关键词:升级改造数字化转型虚拟化

莫岚 李永亮 顾伟 廖小军

摘  要:2021年是数字化转型发展的重要年份,国家大力倡导,企业纷纷跟进,尤其在能源领域,各大石油集团大力倡导“转型发展,提质增效”,而现目正是数字化转型的关键时期,企业日益增加的DMZ区需求与现有资源存在极大的不平衡,本文将以XX油气田的DMZ区架构及资源配置使用情况为例,从3个优化架构方案入手,对DMZ区的升级改造进行探讨和分析。

关键词:数字化转型  DMZ区  升级改造  虚拟化  H3C超融合  深信服超融合

中图分类号:TP391.44                      文献标识码:A                  文章编号:1674-098X(2021)06(a)-0049-03

Optimization of DMZ upgrade under the background of digital transformation of oil and gas fields

MO Lan  LI Yongliang  GU Wei  LIAO Xiaojun

(Communication and Information Technology Center of PetroChina Southwest Oil and Gas Field Company, Chengdu, Sichuan, Province, 610051  China)

Abstract: 2021 is an important year for the development of digital transformation. The country vigorously advocates, and governments and enterprises have followed suit. Especially in the energy field, major oil groups vigorously advocate "transformation and development, improving quality and efficiency". During the critical period of digital transformation, there is a huge imbalance between the company's increasing DMZ demand and existing resources. This article will take the DMZ structure and resource allocation and usage of the XX oil and gas field as an example, starting with three optimized architecture schemes. Discuss and analyze the upgrading and reconstruction of DMZ area.

Key Words: Digital transformation; DMZ; Upgrade; Virtualization; H3C super fusion; Convinced super fusion

1  DMZ区简介

1.1 基本介绍

DMZ(Demilitarized Zone)中文名称为“隔离区”,也常常称“非军事化区”[1-2]。为解决安装防火墙后,外部网络的访问用户不能访问内部网络服务器这一问题,人们设立了介于非安全系统与安全系统之间的缓冲区,即DMZ区。一方面,它位于企业内部网络和外部网络之间的小网络区域内,可放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,该区的设置可以更加有效地保护内部网络。

1.2 应用

网絡设备开发商利用这一技术开发出了名为“非军事区结构模式”的防火墙解决方案[3-4]。在该方案中,包括内外2个防火墙,内部防火墙管理DMZ对于内部网络的访问,外部防火墙抵挡外部网络攻击,并管理所有内部网络对DMZ的访问。内部防火墙是内部网络的第三道安全防线,当外部防火墙失效的时候可以保护内部网络。而局域网内部,对于Internet的访问由内部防火墙和位于DMZ的堡垒主机控制。在这样的结构里,一个黑客必须通过外部防火墙、内部防火墙和堡垒主机3个独立的区域,才能到达局域网。攻击难度加大,内部网络安全性就更强。

2  XX油气田DMZ区现状

2.1 目前架构

XX油气田DMZ虚拟化平台现状为3台物理服务器安装vsphere 6.7组成群集接入总部专用DMZ交换机,如图1所示,具体如下。

(1)台曙光I620-G20处理器;逻辑处理器16个;内存64GB;本地存储550G,共享存储4.37T。

(2)台联想SR650处理器;逻辑处理器40个;内存256GB;本地存储11.77TB共享存储4.37T。

2.2 当前面临的主要问题

近年XX油气田新增DMZ区应用中,部分应用还在内网环境测试未正式部署,现有服务器环境无法满足DMZ区虚拟化新增及原有硬件DMZ区系统的虚拟化所需的资源。目前该油气田移动平台服务器设计未考虑大量部署虚拟服务,其配置、存储资源只为满足平台自身。近年来,新增服务器资源较多,若出现新服务器宕机情况,老服务器无法接管多余虚拟机,会导致其他系统全部宕机,而后期相应的虚拟化安全管理、国产化等问题也需解决,且现有DMZ区接入交换机已经没有可控端口。

2.3 优化目标

通过对DMZ区的优化调整,建设与现有业务发展匹配的DMZ区云资源池,能够承载现有测试环境的业务系统部署,并能够平滑扩容。尽量保证现有架构较小改动,且能管理现有虚拟化资源,充分保护现有信息化投资。减小业务应用系统从现有测试环境迁移时的技术壁垒。

3  架构优化设计

3.1 架构一:扩容现有虚拟化

3.1.1 方案描述

(1)新增一组新DMZ接入交换机。若防火墙拥有可用接口,交换机直接上联至DMZ區防火墙,防火墙端口所属安全域与现有集团DMZ接入交换机所属安全域一致,访问控制安全策略与现有环境保持一致,无需变更。现有服务器根据与新增交换机端口匹配情况及变更难度,考虑是否迁移到新DMZ接入交换机,也可保持现状不变。因现有DMZ接入交换机无可用端口,可考虑将现有服务器接入变更至新DMZ接入,新DMZ接入交换机上联至现有集团DMZ区。

(2)存储增加冗余控制机头,并增加存储盘柜,提供至少100T的可用空间。

(3)新增一组光纤SAN交换机,保证交换机冗余可靠性。SAN交换机满足6台服务器接入端口,及对应端口授权;所有服务器需配置两张HBA网卡,每张网卡2个FC16G端口。

(4)增加VMware vsphere虚拟化授权,共计6个CPU,与现有VMware服务器组成集群,提供管理和运维。

3.1.2 优势与问题

扩容现有虚拟化的优势是可以保持现有架构不变,仍然只运维管理一个VMware集群,业务及虚拟机也可以平滑迁移和漂移,并采用传统架构,组成双机、双控、服务器集群扩大后,架构经过多年考研,成熟稳定。

但该方案需增加一组SAN交换机,一组万兆交换机、存储双控及扩展柜、存储硬盘等,成本费用相对较高。VMware作为国外品牌产品,与国产化替代的战略有矛盾,维保收费较高,且原厂服务响应相比国产厂商响应较慢。并且,该方案只能提供计算资源的虚拟化,存储、网络等资源调配、申请和回收等不够灵活。DMZ虚拟化环境安全设计有所缺失,特别是虚拟机层面。

3.2 架构二:新建H3C超融合结构

3.2.1 方案描述

(1)新增一组新DMZ接入交换机。若防火墙拥有可用接口,交换机直接上联至DMZ区防火墙,防火墙端口所属安全域与现有集团DMZ接入交换机所属安全域一致,访问控制安全策略与现有环境保持一致,无需变更。现有3台服务器根据与新增交换机端口匹配情况及变更难度,考虑是否迁移到新DMZ接入交换机,也可保持现状不变。因现有DMZ接入交换机无可用端口,可考虑将现有服务器接入变更至新DMZ接入,新DMZ接入交换机上联至现有集团DMZ区。

(2)新增一组万兆交换机作为存储数据交换机,用于超融合节点间的数据同步和传输,保证传输效率和质量。

(3)新增3台超融合节点,组成新集群,运行网络虚拟化、计算虚拟化、存储虚拟化、安全虚拟化,并提供IAAS的云服务:

①计算虚拟化采用CAS,并提供P2V、V2V的迁移工具;

②存储虚拟化采用onestore,提供同一集群中,按业务系统不同需求的多副本或者纠删码技术,既保证关键业务的保存多份数据可靠性要求,又能在非关键业务节约磁盘空间;

③网络虚拟化提供3层的vrouter、vFW、vLB等特性功能。

(4)针对现有VMware资源池:通过云管理平台的图形化界面对已有的VMware虚拟化平台进行无缝纳管,并且支持虚拟机的批量纳管,纳管过程中虚拟机无需重启、用户业务不中断;提供VMware虚拟机的全生命周期管理和运维;支持VMware 5.5/6.0/6.5/6.7的标准版、企业版、企业增强版。

(5)新建的超融合集群,采用无代理防病毒方案,在虚拟化内核集成亚信AV能力,并能在管理平台做安全的统一管理,在增加系统总体安全性的同时,减低资源的消耗。

(6)南北向流量,出入DMZ区的安全防护,可利用现有DMZ区防火墙,做严格的访问控制策略。

3.2.2 优势与问题

该方案总体投资最低。提供云计算IAAS平台能力,计算、存储、网络、安全等资源可以灵活调配调度、申请和回收,并提供审批、报表、多维度展示等功能。存储同时提供多副本和纠删码的能力,既可以保障高要求业务的数据高可用要求,又可以通过纠删码方式提升磁盘利用率。降低整网复杂度,减少SAN交换机、存储机头、磁盘柜等硬件故障节点。提供虚机层面和3层网络的安全防控能力,提升整个系统的安全性。

但该架构是通过CLOUD云平台管理VMware集群,采用了2种虚拟化技术,运维复杂度有所提升,不同虚拟化平台间的业务迁移需要采用工具实现。

3.3 架构三:新建深信服超融合结构

3.3.1 方案描述

(1)现有服务器与存储继续沿用,运行模式仍然不变。物理层面按照“交换机+服务器+存储”方式,逻辑层面单独运行的VMware集群,管理方式及运行模式与现在不变。

(2)新增3台超融合节点和2组接入交换机。3台节点组成深信服超融合集群,单独运行和运维管理,现有在开发测试环境的应用可逐步迁移上新建集群,未来可以平滑扩容集群节点,承载更多应用系统。

①网络连接方式一:一组作为业务接入,上联至现有DMZ去防火墙,一组作为存储后端接入交换机,用作超融合节点存储数据内部传输及同步。现有DMZ区防火墙需提供新的物理接口,接入超融合节点业务服务器,防火墙接口与现有集团DMZ接入交换机属于同一安全域,并按照需求定制访问控制策略。

②网络连接方式二:利用现有集团DMZ接入交换机资源,申请空闲端口资源,每台交换机设备至少3个。

③新建深信服超融合集群可纳管VMware集群。

3.3.2 优势与问题

该方案总体投资较低。提供计算、存储、网络、安全等资源的统一虚拟化。存储提供多副本的能力,保障业务数据的可靠性[5]。降低整网复杂度,减少SAN交换机、存储机头、磁盘柜等硬件故障节点。提供虚机层面和3层网络的安全防控能力,提升整个系统的安全性[6]。

但该架构通过与现有VMware集群、H3C业务云平台采用了不同的架构和技术,总共运维3套系统,运维压力及复杂度最高[7]。不同虚拟化平台间的业务迁移需要采用工具实现。

4  建议架构

通过分析,H3C超融合架构平台具有最全面的云计算能力,包括计算、存储、网络、安全、云平台,采用虚拟化无代理杀毒等技术,系统资源占用率低,可以用于部署业务系统的资源利用率最高。运维便利,总共运维两个平台,与现网一致。同时多副本、纠删码等技术,数据可靠性及存储空间利用率最高。提供最多的存储类型:块、NAS、对象。国产品牌拥有自主知识产权,本地技术支持团队响应快,所以该优化结构为最佳方案。

参考文献

[1] 陈卫平.DMZ区安全建设模型初探[J].现代电视技术,2013(2):125-128.

[2] 祝成.档案信息系统安全防护体系设计原则[J].中国档案,2017(11):70-71.

[3] 张守俊.C企业网络安全分析与改进研究[D].南京:南京邮电大学,2018.

[4] 陈兴蜀,曾雪梅,王文贤,等.基于大数据的网络安全与情报分析[J].工程科学与技术,2017,49(3):1-12.

[5] 肖文华.恶劣环境下移动云计算协同方法研究[D].长沙:国防科技大学,2017.

[6] 孔斌.高安全等级信息系统的风险评估研究[D].北京:北京交通大学,2021.

[7] 吴红玲,杨红军,洪佩雯,等.异构政务云平台的搭建与运营[J].电信科学,2020,36(S1):89-96.

猜你喜欢
升级改造数字化转型虚拟化
基于OpenStack虚拟化网络管理平台的设计与实现
对基于Docker的虚拟化技术的几点探讨
虚拟化技术在计算机技术创造中的应用
试论融合创新思想对新时期图书策划和营销的指导作用
《华盛顿邮报》转型的实践与借鉴
我国出版上市公司数字化转型的困境与对策
传统杂志的数字化转型与融合发展
发射台自台质量保证系统分析及升级改造设想
存储虚拟化还有优势吗?