一群两治:构建高校网站业务群混合云
网站群业务混合云的核心思想是一“群”两“治”,即对站群进行公有云和私有云的分布式部署。同时,两云之间通过物理互联专线打通。
中山大学自2009年开始探索基于网站群思想进行建站和运维,经过多年技术演进和迭代,特别是经过十九大时期的学校专项网站治理行动,基本实现校内网站的统一上群。
随着学校安全管理的进一步深入,尤其在安全防护、监测和预警方面,诸如附属医院等独立法人机构的网站也需纳入统管范畴。为保留其自主设计灵活性和业务延续性,学校开始探索基于公有云构建学校混合云试点,扩展学校现有站群到公有云,并开展了初步实践。
信息基础设施概况
中山大学已形成广州、珠海、深圳“三校区五校园”的基本办学格局,现有在校学生数量约6.14万人,教职工数量约0.85万人。
中山大学
在校园网络方面,已建成跨3座城市、覆盖10家附属医院的大型网络,全网采用IPv4/IPv6双栈技术构建,互联网出口带宽32Gbps(含1Gbps的IPv6出口带宽),部署无线接入点2.2万余个,对各校园图书馆、教学楼、学生宿舍、行政办公等区域实施了无线网室内覆盖,最高并发IP数量超过10万个,其中无线网并发终端数量约6万个。
在数据中心方面,充分利用计算资源和存储资源虚拟化技术,学校已基本完成了“云”化演进,形成了基于特定业务的若干个私有云服务,如网络基础支撑业务、核心信息系统业务、科研项目支撑业务,网站群业务等。数据中心计算CPU核数约1500个、计算内存数约10T、存储容量约1000T、虚拟机数量超过600台。
在网络安全建设方面,基于Cloudera Hadoop平台构建了校园网全流量分析平台,结合威胁情报形成统一威胁展示页面,并与网络防火墙联动对威胁IP实施阻断,进一步提升了态势感知、安全预警和应急响应能力。
网站群建设成效及进阶需求
网站群是实现网站统一管理和集中安全防护的有效手段。中山大学自2009年开始探索基于站群思想进行建站和运维,但未强制使用,只有极少量的网站入站群。
2016年,学校以信息系统安全等级保护及网站集群建设为抓手,建立由信息安全技术防护、信息安全管理制度和信息安全事件应急响应等构成的信息安全保障体系,致力保障学校网络平稳运行及核心信息资产安全。
出台《中山大学互联网网站管理办法》,并在此基础之上,启动了信息系统和网站安全综合治理行动,要求对校内网站实行三个统一管理:统一运维、统一防护和统一监测,并要提高网站安全应急处置时效性。其中对网站采取“两个必须”措施,一是必须通过校内网站备案,二是必须迁移到学校统一站群,否则,将不予以对外开放。
图1 近四年入站群网站数量统计
近四年,经过持续综合治理行动,校内累积330余个网站完成到站群的迁移(如图1所示),原来二级网站分散的情况得到根本扭转,网站安全势态得到较大缓解。
随着网站安全综合治理工作的进一步深入,学校提出了更高的管理要求,对于附属医院等独立法人机构类的网站,也要实现上述的三个统一管理。一方面,这类网站都由医院自行建设和运维,其对外发布方式多样化且分散,有通过本地数据中心发布的,也有基于公有云形式发布的,首先需要解决集中网站发布问题;另一方面,根据对医院网站管理需求的调研,由于其行业特性,对于网站的域名管理、网站设计、内容管理、交互式应用等需尽量维持不变,即保留医院对网站的自主管理权限。
基于此管理目标,并结合现状,我们提出了一“群”两“治”技术路线,即构建网站群业务混合云,并陆续将该类型网站迁移到混合云之中。混合云融合了公有云和私有云,出于安全考虑,企业更愿意将数据存放在私有云中,同时又希望可以获得公有云的计算资源,以获得最佳的实践效果。
同样,一“群”两“治”路线也是源于混合云理念,即是将一个网站群业务按照功能化组件进行分布式部署,核心关键性组件置于校内私有云,非关键性组件可以置于校内,也可以置于校外公有云,使其在一个相对空间里,实现统一管控网站的两种不同策略。
网站群业务混合云构建
现有网站群架构
学校网站群平台基于开源Drupal系统构建,逻辑架构如图2所示。
图2 现有站群逻辑架构
在建站层面上,采用前后端分离技术。前端系统由两大功能组件组成,一是内容管理组件,提供网站内容编辑、内容设计、界面设计等功能,适用于静态页面发布站点;二是信息聚合与应用组件,提供网站交互应用功能,如投稿、投票、资源预定、报名等,适用于需要提供交互式应用的站点。
后端由六大功能组件构成,具体包括代码管理(代码库,用于网站开发)、数据库、全文搜索引擎、文件服务、Drupal平台、站群管理及监控(提供网站的增减、修改、备份与恢复功能)。
在网站对外发布层面,利用应用交付设备、WAF及防火墙实现了统一网站发布和统一防护,进一步加强了网站安全。在日志审计层面,将网站群站点的访问日志(主要为Apache日志)、系统日志等都接入了学校统一日志管理与分析平台进行存储和分析。
实施拓扑
网站群业务混合云的核心思想是一“群”两“治”,即对站群进行公有云和私有云的分布式部署。
基于现有站群架构基础,将后端系统(包括代码管理等六大功能组件)定义为核心关键性组件,仅在校内私有云中部署;前端系统(内容管理等两大功能组件)定义为非关键性组件,在校内私有云和校外公有云中各部署一套,然后私有云与公有云之间采用物理专线互联,即形成混合云。
图3 中山大学网站群业务混合云实施拓扑
具体实施拓扑如图3所示,对于网站群私有云,与原有一致,不需要做任何变化;对于网站群公有云,一方面需要利用云主机、云存储、云数据库等资源构建网站群前端系统,另一方面也需用到云安全资源构建统一的应用发布和安全防护策略,云安全资源的配比可以根据业务需求按需提供,本方案是按照信息系统安全等级保护三级标准进行配比的。同时,两云之间通过物理互联专线打通,整个网站群混合云雏形构建完成。
实践效果
网站群业务混合云的构建,是基于特定业务、满足特定管理需求的一种实践方法,具有较高灵活性和业务扩展性。
对于网站访问者,其体验与过去一致;对于网站管理员,其拥有对网站的自主管理权限,且重点关注域名管理、网站设计、内容管理、交互式应用等方面,不需要考虑建站的工具、硬件资源及安全资源的配比问题;对于学校来讲,网站管理的三个统一目标得以实现,因为网络得以延伸到公有云,同一套站群核心的分布式部署,能实现网站的统一管理,基于云应用发布和云安全防护可以制定与校内一致的安全策略,实现入群网站的统一防护,将公有云设备日志、系统日志、镜像流量等通过专线发送到学校现有的安全大数据分析平台,实现统一监测和预警。
(本文刊载于《中国教育网络》杂志2020年2-3月合刊,作者:赵琼,单位为中山大学网络与信息技术中心)