1.背景

隨著涉密行業信息化建設和IT業務的快速增長，涉密行業傳統信息化建設中對于服務器應用面臨著如下困境：

資源利用率低：傳統服務器應用部署模式采用“煙囪式”架構，單個應用獨享整個服務器資源，資源利用率低。

業務上線周期長：新增業務時，需要重新采購硬件、業務部署，一般耗費數周甚至數月時間。

故障恢復時間長：服務器應用獨立部署，當出現故障需要更換硬件時，需要重新部署軟件和應用，耗時較長。

系統可靠性差：由于應用軟件部署在單個服務器上，一旦該服務器出現故障，整個應用就立即中斷。

虛擬化產品可以較好的解決上述問題，但是通用的虛擬化產品，在外設接入、數據安全、自主可控、運維管理等幾個方面存在著以下安全隱患：

不合規外設接入：無法對服務器上使用的USB外設進行有效管控，容易違規操作導致泄密；

數據明文傳輸：傳輸協議無保護措施，數據明文傳輸，容易導致非法截取；

數據明文存儲：鏡像、模板、快照等明文存儲，未進行加密保護，容易被竊取；

管理員權限集中：沒有有效的權限制約機制，管理員權限過大；

服務器虛擬化平臺基于自主研發的軟硬件組件，利用云計算技術打造的自主可控的軟硬件平臺。用于為各種應用業務提供虛擬運行環境，可以應用于高性能計算、OA系統、WEB服務器、郵件服務器、信息交換服務器等應用系統，幫助用戶輕松實現信息系統從傳統的IT架構向虛擬化架構轉型，解決傳統涉密信息系統中存在的泄密風險高、維護難度大等問題，使得整個信息系統具有高安全性、易管理性等特點。

2.?????? 設計原則

根據本項目需求及具體技術指標的分析，本項目要求系統具備以下設計原則：

高安全性

計算資源隔離：對CPU指令、內存進行有效隔離防護，防止不法分子在系統內部發起攻擊。

網絡資源隔離：系統能夠根據不同功能要求，建立管理網絡、顯示網絡、業務網絡、遷移網絡，并且對各個網絡平面進行隔離，從而使辦公室的網絡與單位業務網絡進行隔離。

數據安全：VDI協議加密，能夠確保數據從服務器端到管理終端傳輸過程加密；存儲數據擦除，當用戶虛擬機刪除后，確保用戶數據進行有效擦除，無法恢復；內存數據擦除，當用戶虛擬機關機后，確保對應內存空間上的數據進行了擦除。

安全接入、分權分域、集中管控：能夠依據相應的權限策略實現對不同數據中心、不同安全域進行集中管控，保障核心數據，以及對不同業務資源的靈活分配、分權管理與審計。

高效體驗

易用：整個系統簡單、易用，并提供友好用戶界面與自助維護界面。

高可靠性

采用先進虛擬化技術，提供虛擬機負載均衡、虛擬機熱遷移、容災備份等功能；系統的業務、管理、遷移、存儲網絡可以由獨立的平面承載，均衡負載流量，確保系統及業務的可靠運行，并且系統應具有平滑擴容的能力。

高可服務性

具備良好的故障綜合定位分析及恢復能力，從而降低對業務的影響，具有熱遷移功能，能夠為應用系統長期運行提供保障能力。降低運維成本，提高工作效率，減輕管理維護人員的工作強度與不必要的重復勞動。

3.?????? 解決方案

平臺組網規劃方案

安全服務器虛擬化平臺安裝部署包括管理引擎和計算節點，管理引擎實現對虛擬機的管理，計算節點用于部署虛擬機。虛擬平臺已搭建，數據中心已存在1個，還需創建1數據中心，兩個數據中心完全隔離。

對于每個計算集群，可以利用邏輯隔離，把網絡分為管理網絡、業務網絡、存儲網絡，整個平臺的網絡邏輯拓撲結構如下圖所示：

系統網絡規劃圖

管理網絡

管理網絡是用來支撐平臺的管理、心跳等數據的網絡，在設計方案中采用服務器的千兆網卡。后續添加的計算節點服務器同樣接入到管理交換機上，其網絡要求及數據流向如下圖所示：

管理網絡示意圖

業務網絡

業務網絡用作虛擬機的網絡，連接到用戶所使用的業務網絡中，用于虛擬機對外提供網絡服務，采用千兆網絡。后續添加的計算節點服務器按照之前的連接方式連接。其網絡連接及數據流向如下圖所示：

業務網絡示意圖

存儲網絡

存儲網絡用作計算集群服務器連接存儲設備，進行虛擬機鏡像文件數據的傳輸，采用FCSAN存儲，后續添加的計算節點服務器按照之前的連接方式連接到光交上。

其數據流向如下圖：

存儲網絡示意圖

業務數據

本次實施須將新添加計算機點服務器數據遷移出去，數據遷移后服務器需格式化安裝虛擬化平臺系統，安裝完后添加到所需的數據中心去。本次實施只負責擴建虛擬化平臺和部署兩套數據中心，不負責數據遷移工作，數據遷移涉及到很多應用數據和軟件程序等等。

總結

以上是生活随笔為你收集整理的涉密服务器虚拟化软件,虚拟化软件解决方案的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。