服务器上云之后,什么问题最值得关注?服务器之家认为服务器的安全问题是至关重要的,今天给大家介绍的是互联网数据中心网络多层设计原则,了解这个规则,有助于我们构建安全的云环境。
互联网数据中心网络多层设计原则:
从本质上说,互联网数据中心网络多层设计原则是划分区域、划分层次、各自负责安全防御任务,即将复杂的数据中心内部网络和主机元素按一定的原则分为多个层次多个部分,形成良好的逻辑层次和分区。
数据中心用户的业务可分为多个子系统,彼此之间会有数据共享、业务互访、数据访问控制与隔离的需求,根据业务相关性和流程需要,需要采用模块化设计,实现低耦合、高内聚,保证系统和数据的安全性、可靠性、灵活扩展性、易于管理,把用户的整个IT 系统按照关联性、管理等方面的需求划分为多个业务板块系统,而每个系统有自己单独的核心交换,服务器,安全边界设备等,逐级访问控制,并采用不同等级的安全措施和防护手段。
互联网数据中心网络可同时从个方面划分层次和区域:
(1)根据内外部分流原则分层。
(2)根据业务模块隔离原则分区。
(3) 根据应用分层次访问原则来分级。
1、分层
根据内外部分流原则,数据中心网络可分为4 层:互联网接入层、汇聚层、业务接入层和运维管理层。
互联网接入层配置核心路由器实现与互联网的互联,对互联网数据中心内网和外网的路由信息进行转换和维护,并连接汇聚层的各汇聚交换机,形成数据中心的网络核心。
汇聚层配置汇聚交换机实现向下汇聚业务接入层各业务区的接入交换机,向上与核心路由器互联。部分流量管理设备、安全设备部署在该层。大客户或重点业务可直接接入汇聚层交换机。
业务接入层通过接入交换机接入各业务区内部的各种服务器设备、网络设备等。
运维管理层一般独立成网,与业务网络进行隔离,通过运维管理层的接入及汇聚交换机连接管理子系统各种设备。
2、分区
按照关联性、管理、安全防护等方面的不同需求,可将数据中心网络划分为不同的区域:互联网域、接入域、服务域、管理域、计算域等,各安全域之间经过防火墙隔离,确保相应的访问控制策略。
互联网域包括实施自助管理的管理用户和访问应用的最终用户。
接入域为用户接入数据中心提供统一的界面和借口,又称为非军事化隔离区(DMZ)。服务域提供域名解析、身份认证授权、IP 地址转换等网络服务功能。计算域提供计算服务,可以根据安全需求再划分安全子域。管理域提供安全管理、运营管理、业务管理等。
相对来说,计算域和管理域的安全级别最高,服务域和接入域次之,用户域最低。
3、分级
服务器资源是数据中心的核心,按服务器服务功能将其分为可管理的层次,打破将所有功能都驻留在单一服务器时带来的安全隐患,增强了扩展性和可用性。
服务器层直接与接入设备相连,提供面向客户的应用,如IIS、服务器等等。
应用层用来粘合面向用户的应用程序、后端的数据库服务器或存储服务器,如WebLogic、J2EE 等中间件技术。
数据库层包含了所有的数据库、存储和被不同应用程序共享的原始数据,如MS SQL Server、Oracle 9i、等。
在以上3 种的分层分区域的设计下,不同网络区域之间的安全关系明确,可对每个区域进行安全实施,而对其他区域不会干扰;最大限度地隔离故障区域,加快故障收敛时间,提高可用性;可根据不同的区域和层次的功能分别建设,业务部署灵活;网络结构清晰,易管理。
云服务器的管理是一大关键,大家可别以为租用服务器之后就可以一了百了了,之后的管理跟维护也不能够掉以轻心。