江苏农信SDN技术应用在云平台架构设计实践经验.doc

? ? ? ? ? ? ? ? 江苏农信SDN技术应用在云平台架构设计实践经验 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 背景 江苏农信响应银监会 “ 十三五 ” 规划指导意见要求，期望通过私有云 + 行业云的金融云建设，搭建既满足自用又行业共享的云平台，帮助减轻农商行在基础 IT 环境维护方面的压力，借助省会的人才科技等优势，高质高效地开展资源池的维护统一的云服务，使各地农商行的科技部门能将更多精力投入到行内业务部门的支持和当地的办公运营设备的维护管理上，达到整合资源，降本增效的目的。 为了更好地满足云业务的 快速化部署，资源集中管理的需求。 我们拟依托互联网金融平台和全省门户网站上收两个项目来建设省联社的 互联网 云平台 SDN 网络 ， 探索 SDN 技术在省联社云平台中的应用发展。 需求分析 互联网金融和网站上收两个项目都要与互联网连接。需要符合监管机构的规范和要求。 人行规范： 《网上银行系统信息安全通用规范》（ JR/T 0068—2012 ）。在网上银行系统的描述中，应根据应用系统、客户对象、数据敏感程度等划分安全域。（ 5.4 节） 外部区域：网上银行的用户，利用网上银行客户端，通过互联网、移动通信网络、其他开放性公众或专用网络访问网上银行业务系统； 安全区域一：网上银行访问子网，主要提供客户的 Web 访问； 安全区域二：网上银行业务系统，主要进行网上银行的业务处理； 银行内部系统：银行处理系统，主要进行银行内部的数据处理。 银监会：商业银行信息科技风险现场检查手册 应在网络边界对公共网络出口、与第三方机构网络联接出口、 DMZ 区域部署防火墙等访问控制设备，启用访问控制功能；应合理配置防火墙等网络安全设备，根据实际业务需求，制定合理的安全策略；应对不同逻辑安全域之间的互相访问进行有效控制，合理配置访问控制列表（ ACL ）。 根据文件要求与总体规划，本次云平台 SDN 建设需满足以下要求： 1 、满足监管机构的区域隔离要求，进行多区域划分； 2 、提供高性能的网络环境，满足万兆高速传输需求； 3 、配置支持 SDN 技术的网络设备，满足未来业务扩展需求； 4 、新增设备要支持虚拟化，通过逻辑隔离，复用设备，减少设备投入； 5 、尽可能利旧现有的网络设备。 技术路线 传统的网络规划设计依据高可靠思路，形成了冗余复杂的网状网结构，结构化网状网的物理拓扑在保持高可靠、故障容错、提升性能上有着极好的优势，是通用设计规则。云平台的大规模运营，给传统网络架构和传统应用部署都带来了挑战，新一代网络支撑这种巨型的计算服务，不论是技术革新还是架构变化，都需要服务于云计算的核心要求，动态、弹性、灵活，并实现网络部署的简捷化。 具体来说传统网络面临的挑战主要有以下三点： 1 、传统网络的复杂性在实际的运维中，管理人员承担了极其繁冗的工作量； 2 、云平台下多虚拟机部署在同一台物理服务器上运行，服务器端口流量大幅提升，对网络性能提出更高要求； 3 、云平台中，虚拟机在物理服务器之间进行迁移，为了避免虚拟机迁移后路由的震荡和修改网络规划，迁移只在在二层域进行，因此云平台需要具备一个性能更高、二层域更大的网络环境为迁移提供保障。 通过分析云计算对传统网络基础架构带来的挑战，我们可以从两个方面来应对。一是通过构建高性能、高可靠的网络，从而满足云计算给网络带来的压力；二是通过构建虚拟化网络来满足云计算中由于虚拟机部署、迁移、以及安全策略实施对网络提出的灵活性、安全性的要求。 为满足云计算的业务要求，统一的基础网络要素必然包括：高性能交换、虚拟化应用、透明化交换。 方案设计 1、业务现状 按照功能类型省联社对外的互联网业务系统可以分为两类： ? 网银交易类，包含网上银行、手机银行、微信银行，这类业务是通过互联网交互完成银行各类账户交易。 ? 信息服务类，包含省联社网站访问，法院、税务局各类外联单位的信息交互，不牵涉账户类交易。 网银交易类业务系统目前已经比较完善，而且参照各监管部门要求，定期评估。但是信息服务类由于原建设单位分散，缺乏统一规划。因此亟需重新规划互联网信息服务区，部署非交易类互联网业务系统以实现统一管理，减少运行风险。 2、 网络架构分析 网络架构按照逻辑划分可分为： 外部区域：运营商互联网网线路接入区域，用于外部接入及部署相关安全防护设备； Web 区域：对互联网提供服务部署区域； App 区域：内部服务区域；核心区域：数据中心内部网络区域。 3、建设思路 满足人行、银监等各类监管部门的规范。互联网金融和网站上收，都属于互联网业务，网络安全域的划分一定要合规。 WEB 区和 APP 区之间用防火墙隔离， APP 区与核心区之间用防火墙隔离。 现有网银架构和互联网信息服务区架构