总24期
Industry    行业先锋
Industry    行业先锋
解密:45分钟部署1万台虚机
文/李超

网络安全的实质是攻防,要想真正做到相对安全,就必须时常对系统进行攻防演练与测试,及早发现系统漏洞及安全隐患,从而提前部署、提前防护。而攻防演练与测试直接在实际的生产网络中进行,显然是不现实的。因此在网络安全行业中就诞生了一种新的业务形态——网络靶场。

“靶场”原来指进行各类射击训练的场所,“网络靶场”的概念也是源于此。这是一种基于虚拟化技术,对真实网络空间中的网络架构、系统设备、业务流程的运行状态及运行环境进行模拟和复现的技术或产品,以便更有效地实现与网络安全相关的学习、研究、检验、竞赛、演习等行为,从而提高人员及机构的网络安全对抗水平。

建设一流的“网络靶场”

目前,无论是在网络靶场的应用规模,还是应用级别方面,国内某网络通信领域新型科研实验室都已经成为国内非常具有代表性的一家重要机构。该实验室是瞄准新一轮创新驱动发展需要而打造的国家实验室“预备队”。因此,在网络靶场方面,实验室建设初期就提出要在1小时内生成1万个虚拟化节点的建设要求。彼时,美国的网络靶场建设标准设定是2小时生成1万个节点,而该实验室的建设要求较国际标准整整提升了一倍之多,在节点生成速度方面的要求可谓全球前列。

据悉,在紫光股份旗下新华三集团与软极网络技术(北京)有限公司的合作下,最终为该实验室实现了45分钟内生成1万个虚拟化节点的实际效果和指标,超额完成了建设任务。

下一代云数据中心的基石

网络靶场的业务性能直接由虚拟化平台能力所决定。在该实验室网络靶场的建设项目中,能够通过优化使系统达到如此高的性能与效果,主要得益于新华三集团所提供的计算虚拟化平台H3C CAS的基础保障与支撑能力。

2011年,新华三集团正式发布第一代计算虚拟化平台H3C CAS。同年,H3C CAS全面支撑起新华三内部IT业务,服务超过5000名员工。随后H3C CAS又实现了“纳管异构虚拟化”,支持云资源的统一管理、自助服务、自动化部署与交付。

据了解,2015年,H3C CAS获得国际权威标准SPECvirt虚拟化基准性能测试冠军,并首次排名中国服务器虚拟化市场国产品牌第一,从此开启了连续6年的折桂之路。随后在运营商分层解耦测试中表现出7个9的可靠性,稳定性由企业级提升至电信级,满足了运营商业务对稳定性的苛刻要求。

今天,H3C CAS更为紫光云基础设施能力提供了重要支撑,全面承载起公有云超大规模业务。其凭借融合交付计算、存储、网络、安全虚拟化资源,高效整合数据中心基础架构资源等强大能力,成为一款完全面向数据中心自主研发的虚拟化平台,更是下一代云数据中心的基石。

新华三CAS虚拟化平台核心能力

在本次网络靶场项目中,新华三集团H3C CAS虚拟化平台主要体现出了两大优势:

首先是大规模部署。由于仿真节点上升到了国家级和城市级的仿真等级,仿真虚拟化规模已经达到了万级、十万级的规模。H3C CAS在支持超大规模的横向扩展能力方面表现十分突出,可以实现多个集群的集中部署。

其次是实现定制化开发的支持。由于该实验室的项目需求很多都是超出业内标准的,所以存在大量定制化开发的工作。而新华三集团在项目后期的定制开发及相关需求的响应速度和满足效果方面表现都十分突出。

目前,H3C CAS首创的DRX动态资源扩展方案,已经应用到广西大学云选课相关业务中,首发的一键运维场景化功能,有效地简化了用户的运维工作。同时,H3C CAS全面实现业务访问的IPv6化,支持GPU与vGPU资源的统一管理和调度,为包括广电、地震、气象、设计等业务提供了高性能算力。

更为重要的是,H3C CAS虚拟化平台并非是一款完全固化的平台方案,通过定制开发其能够更好地适应用户多变的业务需求。

在实验室网络靶场建设项目中,H3C CAS解决了困扰网络靶场多年的一系列传统难题。比如在物理网络中添加IPS设备,会在两个设备中间进行添加和连接,属于比较“透明”的部署方式。这在虚拟网络中,给对IPS这类设备的模拟造成了困难,需要将其添加到虚拟机前面,国内现有的网络靶场中几乎没有能够对其进行模拟的能力,而对于这种高级别的需求,实验室是非常看重的。而在实际的网络环境中IPS设备非常普遍,要想还原真实的网络环境就必须解决这些问题。对此,新华三集团专门针对实验室需求定制开发,最终解决了这一困扰网络靶场多年的技术难题。

“云智原生”让H3C CAS能力再升华

随着H3C CAS 7.0的发布,其平台进一步实现了统一管理多架构基础设施的能力,并提供两地三中心多元化建设模式。目前,H3C CAS已经服务于百行百业,在线运行CPU规模已超20万颗。在稳定性方面,H3C CAS更能够利用实时操作系统技术,将虚拟化底层内核系统升级为实时操作系统,在确保计算逻辑性正确的同时,利用微秒级内核时延,秒级故障检测等技术保障了虚拟化平台的稳定运行。

另外,H3C CAS还针对内核层、数据层、业务层和管理层提供了相应的安全防护机制,满足安全合规要求,并通过内核深度集成安全防护引擎,支持无代理防病毒和深度包检测,为虚拟化内核及虚拟机提供了高效的安全防护水平。

早在2016年,新华三集团就联合亚信科技、爱数、精容数安等生态伙伴开始打造CAS生态圈。如今,H3C CAS已经能够广泛兼容第三方软硬件平台,其中涵盖市场上主流的x86服务器和ARM服务器、Intel/AMD/鲲鹏等CPU、存储阵列、原生操作系统、网卡、HBA卡等。

今天依托“云智原生”理念,H3C CAS能够全面支持虚机、容器、新型裸金属等多模管理,一体化承载传统应用和原生应用,并融合智能加速卡、AI、PMem、RDT等新兴技术,为业务云化转型提供强势算力。

结束语

在整个实验室的网络靶场项目中,H3C CAS虚拟化平台发挥出了卓越的基础支撑作用,超额完成了项目需求与目标。通过融合计算、网络、存储、安全资源,形成了弹性的数据中心资源池,实现了资源的自动化调度,为上层应用服务提供了技术保障。简言之,无论在稳定可靠、安全防护、高效运维、兼容开放等诸多方面均体现出了H3C CAS虚拟化平台的技术能力与核心价值。

分享到
关闭