雪山飞狐ZZB
作者雪山飞狐ZZB2019-03-25 10:59
产品经理, 方欣科技有限公司中山分公司

制造企业云融合计算解决方案架构设计的十六个通用问题

字数 7677阅读 3546评论 0赞 2

近年来,很多大型核心数据中心要求以虚拟化、云计算为支撑,以信息安全为核心,以标准化、模块化服务为主体,以运营服务为导向,建设基于云理念的弹性、高效、安全的基础设施资源运营服务中心,实现基础软、硬件设施资源动态调度、自动管控、共享使用和业务快速部署,提高运营效率,降低运营成本,满足企业“数据驱动、用户至上、开放协同、随需应变”的信息化发展战略的要求。

(1)烟囱式的建设方式导致资源无法统一规划、资源无法共享,利用率低。
各业务系统在建设的时候独立规划,系统间设备复用程度低。资源无法在业务系统之间共享,而建设投资基于预估峰值,实际上线后资源利用率低,造成投资浪费。不同阶段设备购置型号不同,增加了设备维护的难度。由于硬件采购周期的原因,业务系统上线周期长达3-6个月。
(2)IT基础架构缺乏弹性
业务发展超出预期时,无法根据业务需求动态调整资源供给,难以满足业务快速增长的需求。系统资源扩展同样需要周期,在此过程中,业务系统将处于高危运行状态,服务质量下降。
(3)运维效率低、压力大
运维压力主要来自于系统资源的监控和管理,如设备是否运行正常、应用平台的优化、设备的升级等问题。现有运维体系依托外包,初步实现了专业化分工,例如有专门的网络管理人员、存储管理人员、应用软件管理人员等,但是由于系统管理缺乏关联性,而是依赖于人员合作,问题定位困难,解决问题的周期长,严重影响服务质量。
部分系统存在单点故障,缺乏高可用设计,有必要对服务器进行虚拟化整合改造,利用虚拟化实现高可用;存储性能和可靠性均不满足未来业务要求,有必要对存储进行整合,提高资源的利用率,提高存储可用性。

为了能更好的解决企业在云融合计算系统时面临的难点,twt社区特别邀请了在这方面有着丰富项目实践的专家与大家一起交流探讨。
社区将本次交流的一些精彩问答特别进行了整理,希望能对大家有所帮助。

1.传统制造业如何在保证数据的安全的前提下构建混合云?

解答:
如果是azure和aws国内节点,有两种实现方案
1、专线
例如azure提供ExpressRoute 方案,可以在azure数据中心和你的本地机房拉一根专线,具体怎么部署需要联系azure的国内节点运营商,最终实现的效果是可以把云上某个vpc和本地数据中心二层拉通。该方案的优势是带宽质量有保障,延时低,但是价格贵、部署周期长,适合跑一些比较关键的业务数据,对延时比较敏感的系统。 aws类似。
2、VPN
azure和aws都提供VPN接入,用的是标准的ipsec协议。在云端vpc内创建一个vpn服务端,然后本地机房使用具备vpn功能的路由器或者vpn设备进行对接即可。 最终能实现云端vpc和本地机房三层互通。该方案的优势成本低,部署快,缺点是网络走互联网(有了专线肯定不用vpn了),网络质量不稳定,适合跑量大但是实时性要求不高的数据,例如备份数据。

2.如何在水泥行业利用现有的机房设备架构私有云?

解答1:
根据你的描述,我推测你们在各个厂区都会安排运维人员,统一受总部it部门管理。我理解你遇到如下几个问题:
1、设备类型多,运维很难标准化,对于运维人员要求高
2、厂区分散,总部优质的运维能力无法覆盖到所有厂区,各地招的人员能力参差不齐,导致各个厂区的运维效果差异大
3、数据分散,数据的安全性可靠性得不到保障,无法集中统一的做数据的灾备
4、总部IT部门对整个公司的设备资源缺乏全局把控能力,不好做IT资源规划和成本控制
5、新建设比较保护已有IT投资
我想到的解决方法分为两部分:
1、简化各个厂区的机房
现在各个厂区设备类型多,可以考虑使用超融合架构,把计算、存储、网络都融合到标准的x86服务器上,因为用了虚拟化技术,原本需要多台服务器系统,现在只需要多个虚拟机,物理服务器数量减少了;同时标准的x86服务器让运维和管理更容易标准化。有些超融合厂商支持物理服务器利旧,可以利用目前已有的物理服务器来改造,保护了已有投资。
通过上述改造后,各个厂区的机房将变得简单,只需要x86服务器+交换机,数量也得到减少,对当地运维人员能力要求降低了。
2、通过云管集中管理
各个厂区使用超融合架构后,每个厂区都会有超融合资源池,从总部IT部门视角,需要进行集中的管控,这时候可采用云管,把各个厂区的资源池纳管进来。通过云管集中呈现资源容量、使用趋势等,生成各类资源报表。也可以通过计量计费统计各个厂区的资源使用量,把IT对业务的支撑能力进行量化呈现。总之在统一管控以后,总部IT对资源的管控能力得到加强,可以根据实际需要制定资源管理措施。
3、数据统一灾备
各地厂区系统产生的业务数据,有些事管企业的发展,数据安全可靠是IT部门必须要考虑的,在通过云管对所有资源进行集中管控以后,就可以在云管上对各地厂区的核心系统和数据进行备份,例如在总部减少备份资源池,各地厂区统一备份到总部备份池,各地厂区之间使用专线或者VPN专线互联。
3.对于云用户的需求,除了cpu计算诉求外,对于gpu计算的诉求应该怎么管理?与cpu的管理方式有差异没?

解答2:
无论是CPU还是GPU,或是存储空间,都可以抽象为资源进行管理,管理的思路都是如下;
1.明确管理的目标
2.定义管理的主数据,抽象对象的属性和分类;
3.定义管理的流程
4.开发管理的工具,实现管理的诉求。
4.在传统行业公司领导对云上数据安全有疑虑,担心数据被泄露?

解答3:
1、担心数据泄露可以通过数据加密解决
2、担心数据安全可以通过多份备份、CDP、分布式文件系统解决
这些担忧都可以通过技术完美的解决,关键是领导的思路要跟上时代发展。安全和便利是有一定矛盾的,企业和云平台的信任需要一点点的培养,找到平衡点就好,可以一步步的做,不要一下子全上就好了

解答4:
无论数据在哪里都需要做好相应的数据保护工作,不论是在自己的数据中心还是在云端都会存在数据泄露的风险,但是目前各大云服务商的数据中心的物理设施条件都远远优于企业自建的数据中心,而且公有云厂商的平台都采用了多副本的分布式架构,还可以将云上的数据通过部署在同一服务商的不同服务区来实现异地容灾,云服务商也都通过了国家的等级保护认证,因此理论上讲云上的数据安全性是优于企业自建数据中心的

5.请问哪家云计算厂商在稳定性,价格,安全性方面做的比较好?

解答:
这个主要还是看你自己的业务需求和关注点是什么,你们是准备采用哪种云计算方式,公有、私有还是专有,国内市场上云计算厂商很多,各家各有特点和优势,你所说的问题还需要再具体一些。
国内的话首推阿里云,全球的话Amazon的AWS和Microsoft Azure是排在前两位的。如果能用AWS或Azure的话最好,考虑到成本和其他因素不能用国外的云的话,国内建议使用阿里云

6.传统制造业IT与OT,云计算与边缘计算如何有效结合?

解答:
• 如何统一到统一运算平台中?统一规划企业的云计算,包括本地私有云,和公有云,以及混合云的管理,即可实现运算的统一。目前很多企业都在规划,“一云,一湖,一平台”,云代表的混合云,湖代表的是数据湖,平台代表的是PaaS,
• 实时性,稳定性,安全性,这个是属于IT架构和规划的设计,可以采用很多的技术,如5G,zigbee构建网络等等

7.生产制造企业数据放在云上数据安全性怎么控制?

解答1:
生产类型数据要求实时传输,对稳定要求很高。另外在数据安全上也会考虑很多。面对这种需求建议做混合云,将生产数据库放置在本地,应用服务器部署在云端。
为了提高数据的安全性和数据传输的稳定性,可以在公有云与本地机房之间拉一根专线,需要怎么部署需要联系公有云运营商,最终实现的效果是可以把云上某个vpc和本地数据中心二层拉通。该做法的好处是带宽质量有保障,延时低,但是价格贵、部署周期长,适合跑一些比较关键的业务数据,对延时比较敏感的系统。

解答2:
首先对云安全这一定义做个简单的个人理解:应用端到端的安全控制的能力首先依赖于企业能够理解访问范围,这意味着理解连接企业资产的设备类型,以及他们所利用的连接类型
新的云安全控制的开发需要一种系统的方法。控制设计的简单方法就是远近效应。基本上,安全控制在用户在可信网络上时需要远离,而在其处于不可信网络上时要紧贴用户。因此,当用户在非可信云环境中操作时,企业应该考虑大量的近距离安全控制,以便阻止恶意攻击,包括全磁盘加密、健壮密码强制执行、本地反病毒以及本地防火墙。 企业进行云安全控制需要落实到位,并非一直如此直接,然而由于控制范围发生改变,企业必须为类似的转移做准备。控制在企业云上减少威胁的最好例子就是内容过滤技术,本质上限制了用户可能访问的网站类型,因此减少了受Web服务器牵连的客户端攻击的数量。然而,如果用户转到非可信云中,比如酒店或者甚至是家庭网络,他们可能在上网时有一个更好的自由度,绕过企业在云端设立的内容过滤技术,增加了客户端攻击的风险。

8.容我问个基础性问题,东西南北向流量是什么意思?

解答1:
在Service Mesh微服务架构中,我们常常会听到东西流量和南北流量两个术语。南北流量(NORTH-SOUTH traffic)和东西流量(EAST-WEST traffic)是数据中心环境中的网络流量模式。下面我们通过一个例子来理解这两个术语。
假设我们尝试通过浏览器访问某些Web应用。Web应用部署在位于某个数据中心的应用服务器中。在多层体系结构中,典型的数据中心不仅包含应用服务器,还包含其他服务器,如负载均衡器、数据库等,以及路由器和交换机等网络组件。假设应用服务器是负载均衡器的前端。
当我们访问web应用时,会发生以下类型的网络流量:
客户端(位于数据中心一侧的浏览器)与负载均衡器(位于数据中心)之间的网络流量
负载均衡器、应用服务器、数据库等之间的网络流量,它们都位于数据中心。
南北流量
在这个例子中,前者即即客户端和服务器之间的流量被称为南北流量。简而言之,南北流量是server-client流量。
东西流量
第二种流量即不同服务器之间的流量与数据中心或不同数据中心之间的网络流被称为东西流量。简而言之,东西流量是server-server流量。
当下,东西流量远超南北流量,尤其是在当今的大数据生态系统中,比如Hadoop生态系统(大量server驻留在数据中心中,用map reduce处理),server-server流量远大于server-client流量。
大家可能会好奇,东西南北,为什么这么命名。
该命名来自于绘制典型network diagrams的习惯。在图表中,通常核心网络组件绘制在顶部(NORTH),客户端绘制在底部(SOUTH),而数据中心内的不同服务器水平(EAST-WEST)绘制。

解答2:
通常在数据中心中,我们将其网络流量分为两种类型,一种是数据中心外部用户和内部服务器之间交互的流量,这样的流量称作南北向流量或者纵向流量;另外一种就是数据中心内部服务器之间交互的流量,也叫东西向流量或者横向流量。
早期数据中心的流量,80%为南北向流量,现在已经转变成80%为东西向流量。数据中心网络流量由“南北”为主转变为“东西”为主,主要是随着云计算的到来,越来越丰富的业务对数据中心的流量模型产生了巨大的冲击,如搜索、并行计算等业务,需要大量的服务器组成集群系统,协同完成工作,这导致服务器之间的流量变得非常大。
伴随着这种由业务引发的流量特性的变化,数据中心的网络架构也由典型的三层树型结构,转变为CLOS或者Spine-Leaf等大二层结构。这种大二层概念甚至不再局限于一个数据中心内部,而在数据中心之间也是逻辑上二层互通。

9.超融合是否是制造业最优的选择?

解答1:
超融合目前在中国比较火爆,厂家众多,对于广大想拥抱云计算又担心公有云安全性,同时在一个较低成本下构建私有云环境的需求下,目前超融合还可以算是一个比较好的选择。

解答2:
现在超融合架构不断完善体系和要求,很多企业也在不断的上超融合这种架构,它的安全性还是非常可靠
(1) 登录安全:采用CA认证及堡垒机登录,确保身份可信,并对登录人员账号进行权限管理。
(2) 传输安全:外部登录数据传输采用VPN隧道方式接入,对明文数据进行SSL加密。
(3) 边界安全:根据安全级别对业务系统进行安全区域划分,分区间采用防火墙进行安全隔离;在互联网出口处部署入侵检测防御、病毒检测防御、抗DDOS攻击设备等安全措施个区域边界进出数据和流量的安全。
(4) 主机安全:采用系统安全加固、防病毒软件手段保证业务主机安全。
(5) 数据安全:采用数据加密存储、介质冗余、存储双活、定时备份等措施,确保数据安全。
(6) 运维安全:利用日志审计、数据库审计系统及时发现系统中存在的或潜在的威胁,并通过监控实时发现异常情况以及时处理。
(7) 云安全:利用VLAN隔离、安全组策略,结合边界防火墙共同部署构筑南北+东西流量安全防护机制,并对云平台、API接口进行安全加固,确保云平台自身的安全

10.如何应对集群的应用或配置调整太频繁?

解答1:
业界比较好的实践是采用服务树对应用服务,模块进行抽象
配置调整建议采用类似Apollo这种集中配置管理工具。

解答2:
1.采用统一存储系统+分布式存储的混合架构,并根据云管理平台和应用的需求进行灵活的配置。
2.统一存储架构,基于文件的网络附加存储(NAS)以及基于数据块的SAN的网络化的存储架构,可将其数据存储变成了一个共享的资源池,来存储块的或者文件数据,保障云平台对共享云的使用。
3.分布式存储架构,这种架构的基本单元是部署了虚拟化系统的x86标准服务器。在提供虚拟计算资源的同时,服务器上的空闲磁盘空间被组织起来形成一个统一的虚拟共享存储。由于不再需要集中共享存储设备,云管理平台基础架构得以扁平化,大大简化了IT运维和管理

11.让集群的资源对用户可视化,是否有助于集群的资源管理?

解答:
1.IT基础平台配置管理需具备对IT基础资源进行全面的监控能力,包括网络监控及主机应用监控,结合CMDB的自动化数据采集能力,将网络信息采集进入CMDB,进行统一的IT基础信息配置管理。
2.结合企业管理体系及实际情况,建立以IT基础平台信息配置信息库为核心,以流程为导向符合ITIL/ISO 20000标准的运维管理体系,使用规范化的流程管理办法将涉及运维服务管理的每一项规章制度在日常工作中进行模式化和固定化,使以往繁杂无序的运服管理工作变成标准有序,不断降低云运维服务管理工作的风险,为管理人员和技术人员提供一个灵活的、易于量化的管理平台。

12.制造企业的私有云环境下数据存储选择哪种模式好?分布式存储还是传统型磁盘阵列?哪些数据适合分布式?

解答1:
正常分布式应该比较适合那种非结构化的文档,-大型运算应用我觉得更适合san架构,还有一个问题,就是企业自建私有云的时候分布式的存储可能会现在产品差距比较大可能自己维护下来要要相对来说难度大一些

解答2:
建议使用统一存储系统+分布式存储的混合架构,并根据云管理平台和应用的需求进行灵活的配置。统一存储架构,基于文件的网络附加存储(NAS)以及基于数据块的SAN的网络化的存储架构,可将其数据存储变成了一个共享的资源池,来存储块的或者文件数据,保障云平台对共享云的使用。分布式存储架构,这种架构的基本单元是部署了虚拟化系统的x86标准服务器。在提供虚拟计算资源的同时,服务器上的空闲磁盘空间被组织起来形成一个统一的虚拟共享存储。由于不再需要集中共享存储设备,云管理平台基础架构得以扁平化,大大简化了IT运维和管理。当然具体采用何种方式去做,需要考虑的地方太多,根据企业自身的情况选择合适的方式去搭建。

13.如何改变烟囱式制造企业云融合计算?

解答1:
我觉得传统的烟囱式结构演变的历程应该是先是进行业务整合业务虚拟化,然后云化,然后再变成上公务员,或者是内建的私有云或者混合云最后随着整体的网络存储结构一起变成超融合的架构,嗯,但是这个还是要根据具体的业务,可能有一些生产业务需要大型的运算,并不一定适合这样的云计算,或者者操纵额的计算

解答2:
烟囱式的建设方式导致资源无法统一规划、资源无法共享,利用率低。各业务系统在建设的时候独立规划,系统间设备复用程度低。资源无法在业务系统之间共享,而建设投资基于预估峰值,实际上线后资源利用率低,造成投资浪费。不同阶段设备购置型号不同,增加了设备维护的难度。由于硬件采购周期的原因,业务系统上线周期长达3-6个月。需要把这些问题根据企业自身的情况做好罗列,如果这些问题点已经严重影响到企业现在的运行情况,那么需要及时的做好整改计划和工作。及时做出改变

14.云平台技术架构选型及PAAS平台建设?

解答:
如果只是做私有云的话,可以考虑基于Vmware的平台以及各类成熟的超融合产品。PaaS目前国内已经有了一些比较成熟的产品,比如寄云。

15.我比较关心的是:在云基础架构搭建完毕后,现有业务如何无缝迁移到私有云或者公有云上?

解答1:
嗯,这种业务迁移特别是在制造业里面的业务迁移,我觉得在你见云基础之前就应该要考虑他的迁移问题,好多业务并不是说能够那么容易的无缝迁移到云云环境上的,因为有一些设计生产的可能要跟一些生产设备连接的,还有一些受一些软件版本的影响,或者还会存在兼容性的问题,这个再建云之前可能就要做一个大概的调研和基础的方案

解答2:
1、现有应用系统无非是 Windows、Linux、Unix和AIX为底层的操作系统
2、现有应用系统迁移到私有云都有的成熟的迁移工具针对 Windows 和Linux系统从物理机到虚拟机的迁移,类似与克隆操作,只要有足够的时间窗口,迁移过去不用担心数据丢失什么的
3、如果想无缝迁移到公有云,最好的方案是先搭建好私有云,本地系统先迁移到私有云,然后将私有云虚拟机迁移到公有云。因为公有云支持目前所有私有云的虚拟磁盘格式
4、剩下的情况,就需要完全重新部署应用就不在这里讨论了

16.制造型企业数据中心与公有云的关系?

解答1:
我觉得这会是一个很漫长的过程,至于将来会发展成什么样子,现在可能也都很难说,但是以目前的技术来看我觉得短时间内大型制造业的数据中心还是不太容易被取代的,毕竟它的业务有很多和生产设备,直接相连的,我觉得这些业务很难说,在短期内签到云上去,可能更多的会是一种混合云的模式

解答2:
个人认为企业数据中心不会迁到云上。理由如下:
1企业内网带宽大,如果迁到公有云,出口带宽费用对企业是压力。
2数据中心迁到公网,数据几乎完全暴露在公网,安全防护的费用也不菲。
3原本只有内网访问权限的用户,也必须开放公网访问权限。即使只开放部分公网IP访问权限,对企业边际安全设备的设置与管理对网管也是一种考验。
因此在上述问题没有好的解决办法之前,应该不会有企业网管敢把数据中心放在公有云上。

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

2

添加新评论0 条评论

Ctrl+Enter 发表

本文隶属于专栏

活动总结
活动总结是社区交流活动内容的总结及延伸,为大家提供了社区专家们丰富且高水平的理论知识、实践经验以及常见问题的最佳解决方法,非常值得大家收藏学习。

关于TWT  使用指南  社区专家合作  厂商入驻社区  企业招聘  投诉建议  版权与免责声明  联系我们
© 2019  talkwithtrend — talk with trend,talk with technologist 京ICP备09031017号-30