说三道四技术文摘-感悟人生的经典句子
说三道四 > 文档快照

艾普网络的OpenStack实践

HTML文档下载 WORD文档下载 PDF文档下载
OpenStack被看成是快速、低成本构建私有云或公有云的有效方式,随着OpenStack不断演进,越来越多的企业加入到OpenStack实践队伍中来。成都信立讯科技的张子凡带领团队为艾普网络建立了基于OpenStack的公有云服务。

张子凡在 blog中透露了这一消息。 艾普网络主要从事互联网接入和宽带应用服务。包括 文思海辉、海云捷迅都已为鹏博士等提供了技术服务,帮助后者建立基于OpenStack的共有云服务。信立讯科技与艾普网络的合作也如出一辙。


张子凡在blog中透露,系统测试已正常运行半年多,目前正在系统待机上线。以下内容根据张子凡的blog整理而成:

测试环境+生产环境

考虑到OpenStack自身的稳定性和快速迭代现状,艾普云建立了测试环境和生产环境并行运行。

验证环境。作为生产系统的镜像系统,用于软件开发测试、生产系统故障及解决方案测试,以及Openstack新版本、新功能之测试平台。

生产环境。用于对用户提供以云服务器、云存储及云应用等服务。

功能实现

镜像上传与下载:用户可以将云中运行的虚拟机镜像下载到企业内部运行或将企业内部的虚拟机镜像上传到云系统内部运行,充分体现Openstack开放云“不锁定客户,能进能出”的系统特色。

云存储功能:一份数据至少同时备份到三台不同的硬件存贮服务器中,数据丢失可能性接近于零。

生产系统

生产系统目前基于E版结合了其它的技术实现高可用性容错布署,意即核心系统任一台服务器、交换机出现硬件问题,云系统仍能正常运行;后期将根据G、H等更新版本的成熟度渐进升级。

  • 系统采用E版的multihost network + VLAN模式布署:
  1. 可顺序扩充支持至4000个左右的租户,每个租户内部提供一个C段的内部IP地址,并以VLAN隔离,租户内可创建100-200台左右的私有云服务器;
  2. 在少量修改代码后,每个租户间的Fixed_IP内网完全隔离,避免了某一租户从内部发起对其它租户系统的攻击。

高可用

系统的控制节点服务均采用双机主备模式处理,弥补了Openstack系统原始设计中控制服务均为单点的不足,确保某一服务器硬件出现问题时,不影响系统的正常运作;

安全隔离

  • 系统设计中,采用云公共Firewall/NAT+计算节点服务器的方案:

Openstack系统原始设计中,计算节点服务器将直接裸露到互联网上,运行在其内的虚拟机则通过floating公网IP直接与互联网连接;这种模式下,云系统将承受着来自互联网的直接安全风险。

艾普云系统的设计是,通过一个或多个公共的高性能云Firewall/NAT设备将内部的计算节点服务器与互联网隔离,不允许互联网直接接触到云内部的计算节点服务器;内部每台虚拟机则采用单一Fixed_IP的方案(不分配floating IP),即每台云服务器在系统内部只有一个IP地址,内部IP通过中央强大的Firewall/NAT完成内外网IP映射,从而对外提供业务,这样做的益处是:

  1. 实现两层防火墙机制:除了云用户本身可以设置虚拟机的软件防火墙外,当用户准备对外提供业务时,艾普云管理员再单独在云系统的硬件防火墙上为用户打开指定的业务端口。因为通常情况下,云用户对复杂的防火墙端口设置均达不到专业水准,难免有漏洞,因此,艾普云两层防火墙机制可有效地避免因用户对防火墙设置不完整而带来的安全风险;
  2. 有效地节约公网IP地址:IP地址不足是国内所有运营商面临的大问题,NAT+私有IP地址模式再配合IP地址共享技术,可有效地利用已有的公网IP地址资源,并满足客户业务及云系统本身的日志要求;
  3. 满足中国法律要求:中国法律要求对公网IP地址的使用必须备案,如果直接采用Openstack 的floating IP技术,用户在备案前即可自由获得IP地址,则与国内法律相违;当然,使用NAT+私网IP地址方法的不足是,用户无法即时获得公网IP地址以迅速开通对外服务,需要向云运营商技术人员申请开通,需要消耗一定的时间,但这是技术与法律间的妥协方案。
  • 管理通道独立于业务通道

Openstack 原始设计中,租户管理云服务器需要通过业务通道进行,即业务通道必须开放虚拟机的管理端口,虽然Linux类服务器可以使用RSA key的方法登录以提高管理安全性,但对很多windows服务器用户而言,通过业务通道直接管理服务器,将承担很大的安全风险。

在艾普云的设计中,我们将管理通道与云服务器的业务通道分开,即云用户管理服务器时,走的是单独的管理通道,而此通道由专业SSL VPN硬件构成,只有先通过SSL VPN的用户身份验证后,云用户才能够访问到与其租户相关的云服务器IP地址;而在业务通道中,只打开用户指定的业务端口,Linux/Windows服务器的管理端口则封闭。

存储

  • 相对于中央存储存在的双机冗余、网络性能而带来的高昂布署成本而言,分散存储模式则是可靠性、性能与成本间的折中方案。艾普云为云用户提供二种数据可靠级别:Raid5+2与Raid10+2;
  • 普通的业务应用以Raid5+2为基础,这一类业务多是网站、邮件、办公等业务;
  • 对金融类等关键业务提供Raid10+2服务,这一类业务多是数据库、ERP、财务管理等业务;
  • 对数据库类高I/O要求的应用,艾普云将提供基于SSD的计算服务器来满足要求;
  • 为确保出现无法预知的灾难性后果,艾普云将自动离线备份所有的云服务器数据;(注:目前首期投入线上测试的系统均为Raid5+2配置。)
(文/包研  审校/仲浩)

9月23-25日,北京,重要安全大会——2013中国互联网安全大会。由CNCERT/CC指导,网络安全应急技术国家工程实验室、灾备技术国家工程实验室、OWASP、Gartner、SyScan等深度参与。特别精选“软件安全论坛”和“云计算安全论坛”,为CSDN的用户预留部分名额。数量Very有限,速报名!

欢迎关注 @CSDN云计算微博,了解更多云信息。

备案号:鲁ICP备13029499号-2 说三道四 www.s3d4.cn 说三道四技术文摘