主要挑戰(zhàn):
院系服務(wù)器托管模式
導(dǎo)致數(shù)據(jù)中心安全隱患增大
隨著教育信息化的不斷發(fā)展,華東理工大學(xué)的下屬院系和部門為了推進(jìn)管理、教學(xué)和科研的現(xiàn)代化,建立了一些院系/部門的應(yīng)用系統(tǒng),包括部門網(wǎng)站、支持個(gè)性化教學(xué)和科研的應(yīng)用平臺(tái)等等。而承載這些應(yīng)用的 IT 基礎(chǔ)設(shè)施,包括服務(wù)器、存儲(chǔ)等,小部分院系采取自建機(jī)房的方式,大部分院系采取學(xué)校信息辦數(shù)據(jù)中心托管的方式。對(duì)于托管的硬件設(shè)備,學(xué)校信息辦只負(fù)責(zé)電力保障、網(wǎng)絡(luò)接入等服務(wù),系統(tǒng)運(yùn)維工作主要還是由院系自己負(fù)責(zé)。
這樣的方式責(zé)任劃分清晰,在建設(shè)初期得到了很快的推行。但是,隨著應(yīng)用的不斷增加,很多隱患逐漸顯現(xiàn),比如可用性較低,資源浪費(fèi)等,更重要的是這種模式存在多方面的安全隱患:
首先,各院系的網(wǎng)站或應(yīng)用系統(tǒng)大多由外包人員或者學(xué)生開(kāi)發(fā)和部署,很多安全規(guī)范不能得到有效落實(shí),包括操作系統(tǒng)和應(yīng)用軟件的補(bǔ)丁缺失、操作系統(tǒng)弱密碼、防病毒軟件不安裝或者病毒庫(kù)長(zhǎng)期不更新等等。這些都產(chǎn)生了大量的安全漏洞。
其次,各應(yīng)用系統(tǒng)之間缺乏有效隔離。院系自建的機(jī)房很多都沒(méi)有購(gòu)置防火墻設(shè)備;而信息辦的數(shù)據(jù)中心,雖然邊緣設(shè)置了防火墻,但內(nèi)部并沒(méi)有更多的隔離措施。當(dāng)某個(gè)應(yīng)用被黑客攻破,就極可能導(dǎo)致對(duì)方以這臺(tái)服務(wù)器為跳板攻擊其他應(yīng)用系統(tǒng);某一臺(tái)服務(wù)器的病毒感染也很容易導(dǎo)致普遍的感染,危害整個(gè)數(shù)據(jù)中心。
此外,托管模式中缺乏應(yīng)用生命周期管理。這導(dǎo)致了“僵尸”服務(wù)器的存在,這些服務(wù)器雖然長(zhǎng)期運(yùn)行,但其實(shí)已經(jīng)沒(méi)有人在使用。這樣的“僵尸”服務(wù)器,猶如一個(gè)定時(shí)炸彈,導(dǎo)致了不可知的安全隱患。
基于傳統(tǒng)的托管方式的修修補(bǔ)補(bǔ),無(wú)法從根源上徹底解決問(wèn)題,為了確保學(xué)校信息安全,華東理工大學(xué)打算利用新技術(shù)來(lái)解決這一問(wèn)題。
主要挑戰(zhàn)
學(xué)校院系和部門的信息化建設(shè)長(zhǎng)期采用信息辦硬件設(shè)備托管的模式,但是,由于院系和部門的運(yùn)維能力不足,導(dǎo)致了諸多安全隱患。
解決方案
私有云+SDN解決方案
解決方案:
VMware 云平臺(tái)
幫助校方提升安全水平
華東理工大學(xué)信息化辦公室經(jīng)過(guò)多次考察和調(diào)研,了解到唯有通過(guò) “運(yùn)維標(biāo)準(zhǔn)化” 和 “細(xì)粒度隔離”,才能從根源上解決問(wèn)題。這些要落到實(shí)處,必須依靠云計(jì)算技術(shù)。于是,構(gòu)建學(xué)校托管云成為了刻不容緩的任務(wù)。
為此,校方開(kāi)始對(duì)市面上的各種私有云解決方案進(jìn)行反復(fù)比對(duì),最終選擇了 VMware 的 vCloud 私有云 + NSX 軟件定義的網(wǎng)絡(luò)解決方案。
對(duì)此,信息化辦公室副主任房一泉老師說(shuō):“ 我們之前已經(jīng)采用了 vSphere 服務(wù)器虛擬化技術(shù),對(duì) VMware 的產(chǎn)品和服務(wù)比較認(rèn)可。vCloud 和 NSX 與虛擬化平臺(tái)無(wú)縫集成,在同行業(yè)中已有很多成功案例,相比其他廠商的產(chǎn)品更為成熟可靠,而且與我們的需求很契合。這也是我們選擇與 VMware 再次合作的重要原因。”
那么 VMware 的解決方案到底是怎樣幫助華東理工大學(xué)走出困境的呢?簡(jiǎn)單來(lái)說(shuō),主要是通過(guò)以下三個(gè)步驟:
一、采用 vSphere 虛擬機(jī)的托管方式替代原有的物理機(jī)托管,通過(guò)虛擬機(jī)實(shí)現(xiàn)了操作系統(tǒng)和應(yīng)用平臺(tái)的標(biāo)準(zhǔn)化;使用 vRealize 云管理平臺(tái)實(shí)現(xiàn)虛擬機(jī)部署流程的標(biāo)準(zhǔn)化和自動(dòng)化。
二、使用 NSX 實(shí)現(xiàn)虛擬化環(huán)境的分布式防火墻,加強(qiáng)應(yīng)用之間的細(xì)粒度隔離。默認(rèn)的情況下,同一個(gè)應(yīng)用內(nèi)部的多個(gè) VM 之間可以互訪,不同應(yīng)用的VM 之間實(shí)現(xiàn)網(wǎng)絡(luò)隔離;如果存在業(yè)務(wù)需求,通過(guò)白名單機(jī)制實(shí)現(xiàn)應(yīng)用間訪問(wèn)控制,以及 VM 對(duì)學(xué)校公共 IT 資源的訪問(wèn)控制。
三、使用 vRealize 實(shí)現(xiàn)虛擬機(jī)生命周期的管理,有效的跟蹤每臺(tái)虛擬機(jī)的使用狀態(tài),并且提供用戶的自助申請(qǐng)和變更服務(wù)。
基于這一解決方案,華東理工大學(xué)建立起了安全穩(wěn)定的托管云平臺(tái),實(shí)現(xiàn)院系/部門托管 IT 基礎(chǔ)設(shè)施的統(tǒng)一運(yùn)維管理,并于 2016 年正式投入使用。
VMware產(chǎn)品和服務(wù)
- vSphere
- vRealize Automation
- vRealize OperationsNSX
硬件設(shè)備
- IBM Flex System x240 M5
- Intel Xeon CPU
- E5-2630 v3
上線時(shí)間
2016年9月
客戶收益
1、建立并落實(shí)運(yùn)維標(biāo)準(zhǔn)化,安全性得以明顯提升
借助經(jīng)過(guò)安全加固的標(biāo)準(zhǔn) VM 模板,和 vRealize 的自動(dòng)化部署流程,托管云平臺(tái)可以落實(shí)學(xué)校 IT 基礎(chǔ)設(shè)施的運(yùn)維安全要求。vRealize 的資源全生命周期管理,也徹底杜絕了 “僵尸” 服務(wù)器。通過(guò)運(yùn)維的標(biāo)準(zhǔn)化和集中化,安全性得到大大提升。
2、利用網(wǎng)絡(luò)微分段技術(shù),讓風(fēng)險(xiǎn)范圍更加可控
利用 VMware NSX 網(wǎng)絡(luò)微分段技術(shù),華東理工大學(xué)可以很方便的加強(qiáng)數(shù)據(jù)中心內(nèi)部的安全,有效的實(shí)現(xiàn)應(yīng)用之間的隔離。這樣,即使某個(gè)應(yīng)用發(fā)生安全問(wèn)題,也不會(huì)影響到其他應(yīng)用。
3、統(tǒng)一云平臺(tái)服務(wù),托管應(yīng)用可靠性大大增強(qiáng)
vCloud 云管理平臺(tái)能對(duì)所有虛擬機(jī)的運(yùn)行進(jìn)行全程跟蹤,清楚把控每臺(tái)虛擬機(jī)的資源使用、性能及安全狀態(tài)等,便于運(yùn)維人員及時(shí)管理和調(diào)配資源,大大增強(qiáng)了各院系網(wǎng)站的可用性,也提升了整體資源池的使用效率。
4、實(shí)現(xiàn)了自動(dòng)化和自服務(wù),讓使用者更加方便管理者更加輕松
托管云集中了信息化基礎(chǔ)設(shè)施的同時(shí),信息辦的責(zé)任也更大了。項(xiàng)目立項(xiàng)初期,學(xué)校負(fù)責(zé)運(yùn)維的老師擔(dān)心工作量增加,并且導(dǎo)致用戶的需求響應(yīng)變慢。但是,隨著項(xiàng)目的推進(jìn),通過(guò)使用者自助申請(qǐng)和變更、系統(tǒng)自動(dòng)化部署和自動(dòng)化運(yùn)維等手段,信息辦的老師發(fā)現(xiàn),相對(duì)于之前的物理機(jī)托管,實(shí)際的工作量并沒(méi)有增加,甚至更加便捷。
對(duì)于院系的使用者來(lái)說(shuō),申請(qǐng)流程更加簡(jiǎn)單,交付速度大大提高,院系用戶的滿意度明顯提高。
展望未來(lái)
華東理工大學(xué)托管云平臺(tái)上線之后,無(wú)論是 IT 管理人員還是院系和部門的使用者,對(duì)其都給予了正面的反饋,正是如此,學(xué)校正計(jì)劃擴(kuò)大其使用范圍,為更多的用戶和更多的場(chǎng)景提供 IT 基礎(chǔ)設(shè)施服務(wù)。
客戶評(píng)價(jià)
VMware 的 vCloud 云管理平臺(tái)和NSX 網(wǎng)絡(luò)微分段解決方案非常貼切高校的 IT 基礎(chǔ)設(shè)施托管需求,并且產(chǎn)品成熟穩(wěn)定,幫助我們大大提升了安全性和可靠性。
--- 華東理工大學(xué)信息化辦公室
