华为FusionSphere3.0基础架构虚拟化解决方案-精选版.pptVIP

基础设施安全架构 内容监管、SOX法案、 SAS 70、 PCI/HIPAA等 门禁、机房监控系统 、云监控 集中用户管理和认证、集中日志审计 虚拟机隔离、虚拟防火墙，恶意VM预防 防火墙、IDS/IPS、Anti-DDOS、僵尸网络/蠕虫检测、 网络平面隔离、传输安全（SSL、VPN）、 系统完整性保护、OS/DB/Web加固、安全补丁、 病毒防护等 数据隔离、数据访问控制、剩余信息保护、 数据盘加密存储、存储位置要求 数据 虚拟化 管理安全 网络安全 基础设备 虚拟化 管理安全 网络安全 基础设备 物理安全 物理安全 其他：法律法规的遵循 系统精简加固，提升安全 通过精简 OS 和虚拟机完整性保护，提升虚拟机安全性 精简 OS OS组件裁减：裁剪不需要的组件，减少安全漏洞，且减小软件包大小至 370M 左右 内核裁减：裁减不需要的内核模块，包括蓝牙、WiMAX等 14 个内核模块 加固 系统安全加固：加固端口、访问权限等，且遵守业界安全规范 入侵检测工具 AIDE 实现系统完整性保护 自研 Sray 扫描工具扫描系统高风险项 安全扫描工具SRay 网络隔离安全 技术特点 基础设施的管理平面、存储平面、业务平面物理网络隔离 虚拟机之间通过Vlan隔离，或者通过防火墙三层隔离 VM DHCP欺骗防范 用户剩余信息彻底清除，不留痕 虚拟卷通过格式化方式清除数据，不彻底，可恢复，存在信息泄漏风险 0000 0000 用户A 1 租用 2 使用 3退租 123@@#@！ 123@@#@！ 用户B 4 租用 虚拟卷 对虚拟卷每一个 物理Bit位清“零” 对销户虚拟卷采用物理Bit清零措施，确保数据不可恢复，杜绝信息泄漏风险 用户A 1 租用 2 使用 3退租 123@@#@！ 123@@#@！ 用户B 4 租用 123#@！ 5使用恢复软件，获取数据 虚拟卷 对虚拟卷格式化 风险 安全 虚拟磁盘全盘加密 私有云 公共云 加密虚拟机管理 (High Availability) 秘匙管理 (High Availability） 加密虚拟机 部署于虚拟机 部署于机要室 加密管理系统 （VEM） 密钥管理系统 （KMC CA） 用户虚拟机 (Agent) 业务管理Portal 技术特点 虚拟磁盘加密 对系统卷、数据卷进行全盘的加密，对上层应用程序透明 集中管理 部署集中管理服务器，对客户端进行统一的策略管理和维护 加密硬件加速 基于CPU硬件加密指令，性能损失10% 用户掌握虚拟磁盘加密的密钥，防止虚拟机数据被超级管理员获取 账号安全管理 技术特点 遵从账户-角色模型。每个角色分权：具体到创建虚拟机、创建卷等操作。分域：按逻辑集群纬度。 支持账户、角色的生命周期管理 支持账户口令复杂度策略管理，包括密码长度、有效期等 自动绿色节能 技术特点 系统自动选择合适的物理机上下电，减小迁移VM数量。 保证小部分物理机处理休眠态，以快速满足新增业务所需资源。 应用场景 晚上业务量降低时，物理机资源利用不充分，自动合并虚拟机，腾出空闲物理机后下电。 白天业务早上升时，物理机资源不够用，物理机自动上电，并迁移重载物理机上虚拟机到新上电物理机，保证业务质量。 FusionCompute App FusionCompute App App FusionCompute App App FusionCompute App 交流提纲 FusionCompute 计算 可靠性 安全 自动化 兼容性 网络 存储 自动负载均衡(DRS) 技术特点 同一集群内，VM由系统根据策略自动负载均衡（业界最大：100物理机/集群） 负载均衡算法优化，避免VM无效迁移 应用场景 负载均衡确保业务性能 错峰填谷，避免高峰期的拥塞 FusionCompute App FusionCompute App FusionCompute App App FusionCompute App App App App 升级扩容不中断业务 VM VM VM VM VM VM 应用迁移 数据备份 节点升级 数据迁回 应用迁回 待升级节点 备用节点 技术特点 通过热迁移移动，自动获取备用节点空间 自动化流水线操作模式，使用简单 应用价值 按需、高效调整系统容量，降低维护成本 降低升级成本与风险，保证业务连续性 无中断升级业务 自动化问题定位，缩短问题恢复时间 某友商 ESX紫屏（PSOD