一种集团性企业传统IT架构云化的方法与流程

本发明涉及云计算、虚拟化及安全隔离，具体涉及一种集团性企业传统it架构云化的方法。

背景技术：

企业传统it架构是由服务器存储孤立地形成一个个烟囱式的架构，每个服务器（集群）对应独立的存储或网络，每个业务具有独立的区域，每个业务区的物理边界是该业务的专用接入交换机，计算、存储、安全等设备也专属于该业务，存在采购成本昂贵、配置部署复杂不灵活、难以管理、资源利用效率低下、不易扩展等缺点。

云计算是一种能够通过网络以便利的、按需付费的方式获取计算资源（包括网络、服务器、存储、应用和服务等）并提高其可用性、灵活性、易扩展性和资源利用高效的模式，这些资源来自一个共享的可配置的资源池，并能够以最省力和无人干预的方式获取和释放。但集团性企业it架构云化是一个复杂的工程，存在诸多技术问题，单一方法不好实现，需要研究一种综合性的方法。

技术实现要素：

本发明的目的在于提供了一种针对集团性企业传统it架构实现云上系统和云外系统互访，通过私有云平台的边界防护保证企业私有云上业务系统安全的适合企业特色的私有综合云化的方法。

本发明采用的技术方案如下：一种集团性企业传统it架构云化的方法，具体包括以下步骤：

步骤（1）.使用物理服务器、物理存储和物理网络通过云管理软件搭建私有云平台；

步骤（2）.在搭建好的私有云平台上实施物理服务器虚拟化，创建逻辑计算资源池，实施物理存储虚拟化，创建逻辑存储资源池，实施物理网络虚拟化，创建逻辑网络资源池；

步骤（3）.在私有云平台上分配虚拟机，并从逻辑计算资源池、存储资源池和网络资源池中为虚拟机分配cpu、内存、磁盘和ip地址资源，采用ptov将企业的物理服务器上的业务应用系统往私有云平台上的虚拟机中迁移；

步骤（4）.针对企业云化后物理服务器和私有云上虚拟机无法访问的问题，采用网络桥接打通vxlan和vlan，使得物理服务器和私有云平台的宿主机可以通讯，通过制定访问控制策略表，实现两者之间的互访；

步骤（5）.对私有云平台上的虚拟机采用安全隔离中的微分段和微隔离方式，通过制定安全隔离策略表，实现私有云平台宿主机之间东西向流量的防护控制，私有云平台中虚拟机之间安全隔离，达到安全防护。

本发明的有益效果是：

通过本发明的方法使集团性企业结合自身传统it架构特点，实现企业it架构云化，并实现云上系统和云外系统的互访，同时本发明通过私有云平台的边界防护保证了企业私有云上的业务系统的安全，通过云上系统的安全隔离，从而摒弃了传统it架构的缺点，使得企业it架构的资源利用率得到极大提升，系统部署更加灵活方便，采购成本大幅度下降，彻底改变企业信息化基础架构及服务方式，实现企业数据中心由传统数据中心向绿色节能云数据中心的转变，使得企业数据中心进入“云时代”，为企业it支撑其核心业务走向敏捷，更好地应对瞬息万变的企业业务竞争与发展环境和双创平台的推进起到了关键作用。该种方法适用于以下企业：

1．集团性企业it架构为传统架构，希望通过云化，进行传统it架构的转型发展。

2.集团性企业it架构的云化需要基于现有it系统和设备的基础上实施。

3.集团性企业的it架构复杂，涉及业务广，系统应用种类多而且繁杂。

4.集团性企业的大部分核心业务需要迁移到云上，但存在无法迁移的物理环境，需要保证私有云和物理环境的互访。

5.集团性企业实现云化后需要考虑安全防护。

本发明结合企业数据中心网络、服务器、存储现状，搭建出适合企业特色的私有云模式，利用现有企业数据中心基础架构条件，融合现有资源，实现服务器虚拟化并创建逻辑计算资源池，实现存储虚拟化并创建逻辑存储资源池，实现网络虚拟化并创建逻辑网络资源池；通过基于企业现有网络环境，在不改变原有业务系统ip地址的情况下，将现有的业务系统从物理服务器上平稳迁移到搭建好的私有云平台上，实现企业it架构u2vl转型。

本发明通过虚拟化充分发挥服务器、存储和网络的硬件性能，能够在确保企业投入成本的同时，提高运营效率，节约能源降低经济成本和空间浪费，对于发展迅速，成长规模大的用户来说，可以通过虚拟化带来更多的经济效益。服务器虚拟化是将服务器计算资源虚拟化，提供计算资源池。存储虚拟化将具体的存储设备或存储系统同服务器操作系统分隔开来，为存储用户提供统一的虚拟存储池。通过网络虚拟化在一个物理网络上模拟出多个逻辑网络。

本发明通过ptov（物理机向虚拟机迁移），即物理机克隆到虚拟机技术，提供了一种服务器虚拟化的系统迁移工具。

本发明通过网络桥接，依据osi网络模型的链路层的地址，对网络数据包进行转发的过程，主要用到vxlan和vlan的交接，即实现vxlan和vlan的连接。企业中一些物理小机的系统无法迁移到私有云平台上，但是该物理小机上的系统和私有云平台上的系统需要互访，本发明通过实施网络虚拟化和部署vxlan后，实现物理服务器和私有云平台上的服务器的相互访问。

本发明通过网络隔离，以访问控制思想为策略，物理隔离为基础，并定义相关约束和规则来保障网络的安全强度，既可以使两个网络实现物理上的隔离，又能在安全的网络环境下进行数据交换，主要目标是将有害的网络安全威胁隔离开，以保障数据信息在可信网络内进行安全交互。

采用本发明的方法实现集团性企业从传统架构向云架构的转型，搭建企业私有云，使原来企业使用上百台服务器支撑上百个业务的情况转变为使用几十台服务器可以支撑几百个应用，有效提升资源利用率，极大的节省企业设备采购成本，大大降低了系统和设备故障率和运维成本。采用本发明的方法彻底改变了企业信息化基础架构及服务方式，将企业数据中心由传统数据中心发展为绿色节能的云数据中心；并结合企业实际情况，可实现云上和云下系统互访；同时实现了云平台上系统的安全隔离，保证了系统和数据的安全可靠。

附图说明

图1.本发明的私有云平台的建立及业务系统的迁移示意图；

图2.本发明的私有云平台中的系统和其它物理服务器系统的互访实现示意图；

图3.本发明的私有云平台微隔离实现示意图；

图4.为整合的物理主机和计算资源；

图5.为整合的存储资源；

图6.为整合的逻辑网络资源；

图7.为迁移至私有云平台的业务系统；

图8.为通过桥接功能实现vlan网络和vxlan网络的互通图；

图9.为安全防护图；

图10.为用户组管理界面；

图11.为租户资源池申请界面；

图12.为为资源稽核流程。

图中：1—私有云平台；2—逻辑计算资源池；3—逻辑存储资源池；4—逻辑网络资源池；5—物理服务器；6—物理存储；7—物理网络；8—可迁至私有云的业务系统；9—虚拟机；10—1号物理交换机；11—2号物理交换机；12—3号物理交换机；13—4号物理交换机；14—物理主机；15—私有云虚拟机；16—1号宿主机；17—2号宿主机；18—3号宿主机；19—云管平台。

具体实施方式

下面结合具体附图和实施例对本发明作进一步详细说明；

一种集团性企业传统it架构云化的方法，具体包括以下步骤：

步骤（1）：使用物理服务器5、物理存储6和物理网络7通过云管理软件搭建企业私有云平台1;

步骤（2）：在搭建好的私有云平台1上，实施服务器虚拟化，建立逻辑计算资源池2；在搭建好的私有云平台1上，实施存储虚拟化，建立逻辑存储资源池3；利用现有物理网络7，在搭建好的私有云平台1上，实施网络虚拟化，建立逻辑网络资源池4；

步骤（3）：基于逻辑计算资源池2、存储资源池3和逻辑网络资源池4分配虚拟机9，采用ptov将可迁至私有云的业务系统8平稳迁移到私有云平台1上的虚拟机9中；

步骤（4）：针对企业云化后物理主机14和私有云上虚拟机15无法访问的问题，采用网络桥接打通vxlan和vlan，使得物理服务器5和私有云平台的1号宿主机16,2号宿主机17,3号宿主机18可以通讯，通过在云管平台19制定访问控制策略表，实现无法上云的物理主机14和私有云虚拟机15之间的连接，实现物理网络中的系统可通过1号物理交换机10,2号物理交换机11,3号物理交换机12,4号物理交换机13和私有云平台中系统的互相访问；所述访问控制策略表，包含虚拟机的mac地址信息、虚拟机的ip地址信息、路由信息、vxlan封装到vlan的转换信息、物理服务器的mac地址信息和物理服务器的ip地址信息；

步骤（5）：针对私有云平台1上的系统如何实施安全防护的问题，在云管平台19制定安全隔离策略表，通过微分段和微隔离方式，实现私有云平台1的东西向流量的防护控制，实现私有云平台1上私有云虚拟机15之间的安全隔离，以达到安全防护的效果；所述安全隔离策略表，包含虚拟机的mac地址信息、虚拟机的ip地址信息、虚拟机的名称信息、虚拟机的网卡信息、虚拟机所在的安全组信息、虚拟机所在的逻辑交换机信息、需要隔离的端口信息、隔离方向（出站或入站）信息、隔离策略（允许或拒绝）信息。

实施例

某企业私有云平台建设是一种集团性企业传统it架构云化的典型案例，就是依据云计算技术架构和发展趋势，结合企业的实际情况，编制和滚动建设规划，搭建完成企业私有云基础平台的计算资源池化和存储资源池化，通过实现网络虚拟化，建立了私有云的安全防护，同时实现了企业私有云平台自助服务模式，具体实施情况如下：

1、资源整合

使用物理服务器、物理存储和物理网络通过云管理软件搭建企业私有云平台；在搭建好的私有云平台上，实施服务器虚拟化，共完成36台物理服务器的资源整合，建立逻辑计算资源池，如图4所示为整合的物理主机和计算资源；实施存储虚拟化，共完成3台存储的资源整合，建立逻辑存储资源池，如5图所示为整合的存储资源：利用现有物理网络，整合10台物理交换机，实现网络虚拟化，建立逻辑网络资源池，如图6所示，为整合的逻辑网络资源。

2、业务系统迁移

基于逻辑计算资源池、存储资源池和逻辑网络资源池分配虚拟机，采用ptov将可迁至私有云的业务系统平稳迁移到私有云平台上的虚拟机中，如图7所示，为迁移至私有云平台的业务系统：如图7所示：采购web物理服务器，使用ptov技术将系统迁移到私有云平台上的虚拟机cgweb中。

3、制定访问控制和安全隔离策略

针对企业云化后物理主机和私有云上虚拟机无法访问的问题，采用网络桥接打通vxlan和vlan，通过在云管平台制定访问控制策略表，实现无法上云的物理主机和私有云虚拟机之间的连接，实现物理网络中的系统可通过物理交换机和私有云平台中的系统的互相访问，桥接如图8所示：通过桥接功能实现vlan网络和vxlan网络的互通，如图8所示：10.1.201网段主机分别在vlan网络和vxlan网络中，通过桥接功能实现物理网络中的erp系统和虚拟网络中的计量系统的数据互相访问。

针对私有云平台上的系统如何实施安全防护的问题，在云管平台制定安全隔离策略表，通过微分段和微隔离方式，实现私有云平台的东西向流量的防护控制，实现私有云平台上虚拟机之间的安全隔离，以达到安全防护的效果。具体如图9所示：通过分布式防火墙功能实现虚拟机与虚拟机之间、虚拟机与物理机之间东西向流量基于端口级别的安全防护，如图9所示，允许任意主机访问私有云平台上某虚拟服务器的ftp、http服务及4455/4477/8080/8891/8892端口。

4、私有云平台主要功能模块

最终，完成私有云平台部署，主要包含以下功能模块：

1)用户及权限管理

角色管理

用于管理角色，增加、删除、修改角色以及设定角色的权限。

部门管理

用于管理部门，增加、删除、修改部门。

用户管理

用于管理用户，增加、删除、修改用户以及重置用户的密码。ad用户目录集成支持内部ad用户目录协议，通过内部用户目录服务进行验证。

租户管理

用于管理租户，增加、删除、修改租户，重置租户管理员登录密码、终止租户等操作。如图10所示，为用户组管理界面：

2）资源池的管理

对硬件资源池进行管理，如：主机、cpu、内存、存储、网络等的池化资源。将资源碎片化，成为一个个可独立分配的计算单元、存储单元、计费单元。

组织管理

用于显示组织列表数据，修改、刷新云平台用户组织数据。

资源提供平台管理

用于管理资源提供平台，增加、归档、修改后台云资源池。

计算资源预留

用于向不同租户划分计算资源池，包含：cpu、内存、虚拟机数量、网络接入能力。

网络资源预留

用于向虚拟化平台不同的网络端口配置默认网络信息，如：ip范围、网关、dns等。同时支持网络池功能，在部署阶段进行ip的分配和回收。

存储资源预留

用于存储资源sla分级管理，并对存储配额进行设置。

租户资源池分配

向各个租户分配预留资源池，资源池包含：计算资源预留、网络资源预留、存储资源预留。如图11所示，为租户资源池申请界面。

3）申请流程和部署管理

用户使用云平台中发布的产品和服务，必须通过自服务门户通过申请流程进行资源一致性和合规性检查，通过或不通过人员审批（视业务要求），最后有系统自动化部署流程引擎进行自动化部署。

审批流程设定

用于管理审批流程设定，增加、删除、修改审批流程。设定流程节点中的自动流程规则、策略，流程节点人员的选择路由。

审批场景设定

用于管理审批场景设定，增加、删除、修改审批场景。审批场景由多条审批流程设定组合而成，可以根据不同的项目等信息设定场景中的流程优先级。

稽核流程设定

用于管理稽核流程设定，增加、删除、修改稽核流程。

稽核场景设定

用于管理稽核场景设定，增加、删除、修改稽核场景。

部署管理

依据申请和审批情况，依据服务目录，开发定制自动部署方案，实现自动化资源部署。如图12所示，为资源稽核流程。