雪山飞狐ZZB
作者雪山飞狐ZZB2019-03-25 11:31
技术总监, 某IT企业

制造企业云融合计算解决方案架构设计九大难点

字数 5976阅读 4838评论 2赞 2

近年来,很多大型核心数据中心要求以虚拟化、云计算为支撑,以信息安全为核心,以标准化、模块化服务为主体,以运营服务为导向,建设基于云理念的弹性、高效、安全的基础设施资源运营服务中心,实现基础软、硬件设施资源动态调度、自动管控、共享使用和业务快速部署,提高运营效率,降低运营成本,满足企业“数据驱动、用户至上、开放协同、随需应变”的信息化发展战略的要求。

(1)烟囱式的建设方式导致资源无法统一规划、资源无法共享,利用率低。
各业务系统在建设的时候独立规划,系统间设备复用程度低。资源无法在业务系统之间共享,而建设投资基于预估峰值,实际上线后资源利用率低,造成投资浪费。不同阶段设备购置型号不同,增加了设备维护的难度。由于硬件采购周期的原因,业务系统上线周期长达3-6个月。
(2)IT基础架构缺乏弹性
业务发展超出预期时,无法根据业务需求动态调整资源供给,难以满足业务快速增长的需求。系统资源扩展同样需要周期,在此过程中,业务系统将处于高危运行状态,服务质量下降。
(3)运维效率低、压力大
运维压力主要来自于系统资源的监控和管理,如设备是否运行正常、应用平台的优化、设备的升级等问题。现有运维体系依托外包,初步实现了专业化分工,例如有专门的网络管理人员、存储管理人员、应用软件管理人员等,但是由于系统管理缺乏关联性,而是依赖于人员合作,问题定位困难,解决问题的周期长,严重影响服务质量。
部分系统存在单点故障,缺乏高可用设计,有必要对服务器进行虚拟化整合改造,利用虚拟化实现高可用;存储性能和可靠性均不满足未来业务要求,有必要对存储进行整合,提高资源的利用率,提高存储可用性。

为了能更好的解决企业在云融合计算系统时面临的难点,twt社区特别邀请了在这方面有着丰富项目实践的专家与大家一起交流探讨。
社区将本次交流的一些精彩问答特别进行了整理,希望能对大家有所帮助。

1. 传统制造业如何在保证数据的安全的前提下构建混合云?

解答:
如果是azure和aws国内节点,有两种实现方案
1、专线
例如azure提供ExpressRoute 方案,可以在azure数据中心和你的本地机房拉一根专线,具体怎么部署需要联系azure的国内节点运营商,最终实现的效果是可以把云上某个vpc和本地数据中心二层拉通。该方案的优势是带宽质量有保障,延时低,但是价格贵、部署周期长,适合跑一些比较关键的业务数据,对延时比较敏感的系统。 aws类似。
2、VPN
azure和aws都提供VPN接入,用的是标准的ipsec协议。在云端vpc内创建一个vpn服务端,然后本地机房使用具备vpn功能的路由器或者vpn设备进行对接即可。 最终能实现云端vpc和本地机房三层互通。该方案的优势成本低,部署快,缺点是网络走互联网(有了专线肯定不用vpn了),网络质量不稳定,适合跑量大但是实时性要求不高的数据,例如备份数据。

2.如何在水泥行业利用现有的机房设备架构私有云?

解答1:
根据你的描述,我推测你们在各个厂区都会安排运维人员,统一受总部it部门管理。我理解你遇到如下几个问题:
1、设备类型多,运维很难标准化,对于运维人员要求高
2、厂区分散,总部优质的运维能力无法覆盖到所有厂区,各地招的人员能力参差不齐,导致各个厂区的运维效果差异大
3、数据分散,数据的安全性可靠性得不到保障,无法集中统一的做数据的灾备
4、总部IT部门对整个公司的设备资源缺乏全局把控能力,不好做IT资源规划和成本控制
5、新建设比较保护已有IT投资
我想到的解决方法分为两部分:
1、简化各个厂区的机房
现在各个厂区设备类型多,可以考虑使用超融合架构,把计算、存储、网络都融合到标准的x86服务器上,因为用了虚拟化技术,原本需要多台服务器系统,现在只需要多个虚拟机,物理服务器数量减少了;同时标准的x86服务器让运维和管理更容易标准化。有些超融合厂商支持物理服务器利旧,可以利用目前已有的物理服务器来改造,保护了已有投资。
通过上述改造后,各个厂区的机房将变得简单,只需要x86服务器+交换机,数量也得到减少,对当地运维人员能力要求降低了。
2、通过云管集中管理
各个厂区使用超融合架构后,每个厂区都会有超融合资源池,从总部IT部门视角,需要进行集中的管控,这时候可采用云管,把各个厂区的资源池纳管进来。通过云管集中呈现资源容量、使用趋势等,生成各类资源报表。也可以通过计量计费统计各个厂区的资源使用量,把IT对业务的支撑能力进行量化呈现。总之在统一管控以后,总部IT对资源的管控能力得到加强,可以根据实际需要制定资源管理措施。
3、数据统一灾备
各地厂区系统产生的业务数据,有些事管企业的发展,数据安全可靠是IT部门必须要考虑的,在通过云管对所有资源进行集中管控以后,就可以在云管上对各地厂区的核心系统和数据进行备份,例如在总部减少备份资源池,各地厂区统一备份到总部备份池,各地厂区之间使用专线或者VPN专线互联。

3.在传统行业公司领导对云上数据安全有疑虑,担心数据被泄露?

解答1:
1、担心数据泄露可以通过数据加密解决
2、担心数据安全可以通过多份备份、CDP、分布式文件系统解决
这些担忧都可以通过技术完美的解决,关键是领导的思路要跟上时代发展。安全和便利是有一定矛盾的,企业和云平台的信任需要一点点的培养,找到平衡点就好,可以一步步的做,不要一下子全上就好了

解答2:
无论数据在哪里都需要做好相应的数据保护工作,不论是在自己的数据中心还是在云端都会存在数据泄露的风险,但是目前各大云服务商的数据中心的物理设施条件都远远优于企业自建的数据中心,而且公有云厂商的平台都采用了多副本的分布式架构,还可以将云上的数据通过部署在同一服务商的不同服务区来实现异地容灾,云服务商也都通过了国家的等级保护认证,因此理论上讲云上的数据安全性是优于企业自建数据中心的

4.生产制造企业数据放在云上数据安全性怎么控制?

解答1:
生产类型数据要求实时传输,对稳定要求很高。另外在数据安全上也会考虑很多。面对这种需求建议做混合云,将生产数据库放置在本地,应用服务器部署在云端。
为了提高数据的安全性和数据传输的稳定性,可以在公有云与本地机房之间拉一根专线,需要怎么部署需要联系公有云运营商,最终实现的效果是可以把云上某个vpc和本地数据中心二层拉通。该做法的好处是带宽质量有保障,延时低,但是价格贵、部署周期长,适合跑一些比较关键的业务数据,对延时比较敏感的系统。

解答2:
首先对云安全这一定义做个简单的个人理解:应用端到端的安全控制的能力首先依赖于企业能够理解访问范围,这意味着理解连接企业资产的设备类型,以及他们所利用的连接类型
新的云安全控制的开发需要一种系统的方法。控制设计的简单方法就是远近效应。基本上,安全控制在用户在可信网络上时需要远离,而在其处于不可信网络上时要紧贴用户。因此,当用户在非可信云环境中操作时,企业应该考虑大量的近距离安全控制,以便阻止恶意攻击,包括全磁盘加密、健壮密码强制执行、本地反病毒以及本地防火墙。 企业进行云安全控制需要落实到位,并非一直如此直接,然而由于控制范围发生改变,企业必须为类似的转移做准备。控制在企业云上减少威胁的最好例子就是内容过滤技术,本质上限制了用户可能访问的网站类型,因此减少了受Web服务器牵连的客户端攻击的数量。然而,如果用户转到非可信云中,比如酒店或者甚至是家庭网络,他们可能在上网时有一个更好的自由度,绕过企业在云端设立的内容过滤技术,增加了客户端攻击的风险。

5.容我问个基础性问题,东西南北向流量是什么意思?

解答1:
在Service Mesh微服务架构中,我们常常会听到东西流量和南北流量两个术语。南北流量(NORTH-SOUTH traffic)和东西流量(EAST-WEST traffic)是数据中心环境中的网络流量模式。下面我们通过一个例子来理解这两个术语。
假设我们尝试通过浏览器访问某些Web应用。Web应用部署在位于某个数据中心的应用服务器中。在多层体系结构中,典型的数据中心不仅包含应用服务器,还包含其他服务器,如负载均衡器、数据库等,以及路由器和交换机等网络组件。假设应用服务器是负载均衡器的前端。
当我们访问web应用时,会发生以下类型的网络流量:
客户端(位于数据中心一侧的浏览器)与负载均衡器(位于数据中心)之间的网络流量
负载均衡器、应用服务器、数据库等之间的网络流量,它们都位于数据中心。
南北流量
在这个例子中,前者即即客户端和服务器之间的流量被称为南北流量。简而言之,南北流量是server-client流量。
东西流量
第二种流量即不同服务器之间的流量与数据中心或不同数据中心之间的网络流被称为东西流量。简而言之,东西流量是server-server流量。
当下,东西流量远超南北流量,尤其是在当今的大数据生态系统中,比如Hadoop生态系统(大量server驻留在数据中心中,用map reduce处理),server-server流量远大于server-client流量。
大家可能会好奇,东西南北,为什么这么命名。
该命名来自于绘制典型network diagrams的习惯。在图表中,通常核心网络组件绘制在顶部(NORTH),客户端绘制在底部(SOUTH),而数据中心内的不同服务器水平(EAST-WEST)绘制。

解答2:
通常在数据中心中,我们将其网络流量分为两种类型,一种是数据中心外部用户和内部服务器之间交互的流量,这样的流量称作南北向流量或者纵向流量;另外一种就是数据中心内部服务器之间交互的流量,也叫东西向流量或者横向流量。
早期数据中心的流量,80%为南北向流量,现在已经转变成80%为东西向流量。数据中心网络流量由“南北”为主转变为“东西”为主,主要是随着云计算的到来,越来越丰富的业务对数据中心的流量模型产生了巨大的冲击,如搜索、并行计算等业务,需要大量的服务器组成集群系统,协同完成工作,这导致服务器之间的流量变得非常大。
伴随着这种由业务引发的流量特性的变化,数据中心的网络架构也由典型的三层树型结构,转变为CLOS或者Spine-Leaf等大二层结构。这种大二层概念甚至不再局限于一个数据中心内部,而在数据中心之间也是逻辑上二层互通。

6.超融合是否是制造业最优的选择?

解答1:
超融合目前在中国比较火爆,厂家众多,对于广大想拥抱云计算又担心公有云安全性,同时在一个较低成本下构建私有云环境的需求下,目前超融合还可以算是一个比较好的选择。

解答2:
现在超融合架构不断完善体系和要求,很多企业也在不断的上超融合这种架构,它的安全性还是非常可靠
(1) 登录安全:采用CA认证及堡垒机登录,确保身份可信,并对登录人员账号进行权限管理。
(2) 传输安全:外部登录数据传输采用VPN隧道方式接入,对明文数据进行SSL加密。
(3) 边界安全:根据安全级别对业务系统进行安全区域划分,分区间采用防火墙进行安全隔离;在互联网出口处部署入侵检测防御、病毒检测防御、抗DDOS攻击设备等安全措施个区域边界进出数据和流量的安全。
(4) 主机安全:采用系统安全加固、防病毒软件手段保证业务主机安全。
(5) 数据安全:采用数据加密存储、介质冗余、存储双活、定时备份等措施,确保数据安全。
(6) 运维安全:利用日志审计、数据库审计系统及时发现系统中存在的或潜在的威胁,并通过监控实时发现异常情况以及时处理。
(7) 云安全:利用VLAN隔离、安全组策略,结合边界防火墙共同部署构筑南北+东西流量安全防护机制,并对云平台、API接口进行安全加固,确保云平台自身的安全

7.制造企业的私有云环境下数据存储选择哪种模式好?分布式存储还是传统型磁盘阵列?哪些数据适合分布式?

解答1:
正常分布式应该比较适合那种非结构化的文档,-大型运算应用我觉得更适合san架构,还有一个问题,就是企业自建私有云的时候分布式的存储可能会现在产品差距比较大可能自己维护下来要要相对来说难度大一些,

解答2:
建议使用统一存储系统+分布式存储的混合架构,并根据云管理平台和应用的需求进行灵活的配置。统一存储架构,基于文件的网络附加存储(NAS)以及基于数据块的SAN的网络化的存储架构,可将其数据存储变成了一个共享的资源池,来存储块的或者文件数据,保障云平台对共享云的使用。分布式存储架构,这种架构的基本单元是部署了虚拟化系统的x86标准服务器。在提供虚拟计算资源的同时,服务器上的空闲磁盘空间被组织起来形成一个统一的虚拟共享存储。由于不再需要集中共享存储设备,云管理平台基础架构得以扁平化,大大简化了IT运维和管理。当然具体采用何种方式去做,需要考虑的地方太多,根据企业自身的情况选择合适的方式去搭建。

8.如何改变烟囱式制造企业云融合计算?

解答1:
我觉得传统的烟囱式结构演变的历程应该是先是进行业务整合业务虚拟化,然后云化,然后再变成上公务员,或者是内建的私有云或者混合云最后随着整体的网络存储结构一起变成超融合的架构,嗯,但是这个还是要根据具体的业务,可能有一些生产业务需要大型的运算,并不一定适合这样的云计算,或者者操纵额的计算

解答2:
烟囱式的建设方式导致资源无法统一规划、资源无法共享,利用率低。各业务系统在建设的时候独立规划,系统间设备复用程度低。资源无法在业务系统之间共享,而建设投资基于预估峰值,实际上线后资源利用率低,造成投资浪费。不同阶段设备购置型号不同,增加了设备维护的难度。由于硬件采购周期的原因,业务系统上线周期长达3-6个月。需要把这些问题根据企业自身的情况做好罗列,如果这些问题点已经严重影响到企业现在的运行情况,那么需要及时的做好整改计划和工作。及时做出改变

9.我比较关心的是:在云基础架构搭建完毕后,现有业务如何无缝迁移到私有云或者公有云上?

解答1:
嗯,这种业务迁移特别是在制造业里面的业务迁移,我觉得在你见云基础之前就应该要考虑他的迁移问题,好多业务并不是说能够那么容易的无缝迁移到云云环境上的,因为有一些设计生产的可能要跟一些生产设备连接的,还有一些受一些软件版本的影响,或者还会存在兼容性的问题,这个再建云之前可能就要做一个大概的调研和基础的方案

解答2:

  1. 现有应用系统无非是 Windows、Linux、Unix和AIX为底层的操作系统
    2、现有应用系统迁移到私有云都有的成熟的迁移工具针对 Windows 和Linux系统从物理机到虚拟机的迁移,类似与克隆操作,只要有足够的时间窗口,迁移过去不用担心数据丢失什么的
    3、如果想无缝迁移到公有云,最好的方案是先搭建好私有云,本地系统先迁移到私有云,然后将私有云虚拟机迁移到公有云。因为公有云支持目前所有私有云的虚拟磁盘格式
    4、剩下的情况,就需要完全重新部署应用就不在这里讨论了

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

2

添加新评论2 条评论

ld1818ld1818项目经理, 云南华东
2020-09-20 10:24
谢谢值得收藏!
michael1983michael1983技术总监, 某证券
2019-03-27 10:54
很好的总结,谢谢分享
Ctrl+Enter 发表

本文隶属于专栏

活动总结
活动总结是社区交流活动内容的总结及延伸,为大家提供了社区专家们丰富且高水平的理论知识、实践经验以及常见问题的最佳解决方法,非常值得大家收藏学习。

作者其他文章

相关文章

相关问题

相关资料

X社区推广