主要挑战:
院系服务器托管模式
导致数据中心安全隐患增大
随着教育信息化的不断发展,华东理工大学的下属院系和部门为了推进管理、教学和科研的现代化,建立了一些院系/部门的应用系统,包括部门网站、支持个性化教学和科研的应用平台等等。而承载这些应用的 IT 基础设施,包括服务器、存储等,小部分院系采取自建机房的方式,大部分院系采取学校信息办数据中心托管的方式。对于托管的硬件设备,学校信息办只负责电力保障、网络接入等服务,系统运维工作主要还是由院系自己负责。
这样的方式责任划分清晰,在建设初期得到了很快的推行。但是,随着应用的不断增加,很多隐患逐渐显现,比如可用性较低,资源浪费等,更重要的是这种模式存在多方面的安全隐患:
首先,各院系的网站或应用系统大多由外包人员或者学生开发和部署,很多安全规范不能得到有效落实,包括操作系统和应用软件的补丁缺失、操作系统弱密码、防病毒软件不安装或者病毒库长期不更新等等。这些都产生了大量的安全漏洞。
其次,各应用系统之间缺乏有效隔离。院系自建的机房很多都没有购置防火墙设备;而信息办的数据中心,虽然边缘设置了防火墙,但内部并没有更多的隔离措施。当某个应用被黑客攻破,就极可能导致对方以这台服务器为跳板攻击其他应用系统;某一台服务器的病毒感染也很容易导致普遍的感染,危害整个数据中心。
此外,托管模式中缺乏应用生命周期管理。这导致了“僵尸”服务器的存在,这些服务器虽然长期运行,但其实已经没有人在使用。这样的“僵尸”服务器,犹如一个定时炸弹,导致了不可知的安全隐患。
基于传统的托管方式的修修补补,无法从根源上彻底解决问题,为了确保学校信息安全,华东理工大学打算利用新技术来解决这一问题。
主要挑战
学校院系和部门的信息化建设长期采用信息办硬件设备托管的模式,但是,由于院系和部门的运维能力不足,导致了诸多安全隐患。
解决方案
私有云+SDN解决方案
解决方案:
VMware 云平台
帮助校方提升安全水平
华东理工大学信息化办公室经过多次考察和调研,了解到唯有通过 “运维标准化” 和 “细粒度隔离”,才能从根源上解决问题。这些要落到实处,必须依靠云计算技术。于是,构建学校托管云成为了刻不容缓的任务。
为此,校方开始对市面上的各种私有云解决方案进行反复比对,最终选择了 VMware 的 vCloud 私有云 + NSX 软件定义的网络解决方案。
对此,信息化办公室副主任房一泉老师说:“ 我们之前已经采用了 vSphere 服务器虚拟化技术,对 VMware 的产品和服务比较认可。vCloud 和 NSX 与虚拟化平台无缝集成,在同行业中已有很多成功案例,相比其他厂商的产品更为成熟可靠,而且与我们的需求很契合。这也是我们选择与 VMware 再次合作的重要原因。”
那么 VMware 的解决方案到底是怎样帮助华东理工大学走出困境的呢?简单来说,主要是通过以下三个步骤:
一、采用 vSphere 虚拟机的托管方式替代原有的物理机托管,通过虚拟机实现了操作系统和应用平台的标准化;使用 vRealize 云管理平台实现虚拟机部署流程的标准化和自动化。
二、使用 NSX 实现虚拟化环境的分布式防火墙,加强应用之间的细粒度隔离。默认的情况下,同一个应用内部的多个 VM 之间可以互访,不同应用的VM 之间实现网络隔离;如果存在业务需求,通过白名单机制实现应用间访问控制,以及 VM 对学校公共 IT 资源的访问控制。
三、使用 vRealize 实现虚拟机生命周期的管理,有效的跟踪每台虚拟机的使用状态,并且提供用户的自助申请和变更服务。
基于这一解决方案,华东理工大学建立起了安全稳定的托管云平台,实现院系/部门托管 IT 基础设施的统一运维管理,并于 2016 年正式投入使用。
VMware产品和服务
- vSphere
- vRealize Automation
- vRealize OperationsNSX
硬件设备
- IBM Flex System x240 M5
- Intel Xeon CPU
- E5-2630 v3
上线时间
2016年9月
客户收益
1、建立并落实运维标准化,安全性得以明显提升
借助经过安全加固的标准 VM 模板,和 vRealize 的自动化部署流程,托管云平台可以落实学校 IT 基础设施的运维安全要求。vRealize 的资源全生命周期管理,也彻底杜绝了 “僵尸” 服务器。通过运维的标准化和集中化,安全性得到大大提升。
2、利用网络微分段技术,让风险范围更加可控
利用 VMware NSX 网络微分段技术,华东理工大学可以很方便的加强数据中心内部的安全,有效的实现应用之间的隔离。这样,即使某个应用发生安全问题,也不会影响到其他应用。
3、统一云平台服务,托管应用可靠性大大增强
vCloud 云管理平台能对所有虚拟机的运行进行全程跟踪,清楚把控每台虚拟机的资源使用、性能及安全状态等,便于运维人员及时管理和调配资源,大大增强了各院系网站的可用性,也提升了整体资源池的使用效率。
4、实现了自动化和自服务,让使用者更加方便管理者更加轻松
托管云集中了信息化基础设施的同时,信息办的责任也更大了。项目立项初期,学校负责运维的老师担心工作量增加,并且导致用户的需求响应变慢。但是,随着项目的推进,通过使用者自助申请和变更、系统自动化部署和自动化运维等手段,信息办的老师发现,相对于之前的物理机托管,实际的工作量并没有增加,甚至更加便捷。
对于院系的使用者来说,申请流程更加简单,交付速度大大提高,院系用户的满意度明显提高。
展望未来
华东理工大学托管云平台上线之后,无论是 IT 管理人员还是院系和部门的使用者,对其都给予了正面的反馈,正是如此,学校正计划扩大其使用范围,为更多的用户和更多的场景提供 IT 基础设施服务。
客户评价
VMware 的 vCloud 云管理平台和NSX 网络微分段解决方案非常贴切高校的 IT 基础设施托管需求,并且产品成熟稳定,帮助我们大大提升了安全性和可靠性。
--- 华东理工大学信息化办公室
