媒體報(bào)道

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2021 > 正文

揭秘：實(shí)踐400+私有云打造的云安全高可用架構(gòu)詳解

閱讀量：次

安恒云云安全管理平臺提供安全產(chǎn)品的統(tǒng)一管理和運(yùn)營功能，用戶可以在云安全管理平臺上對已開通的安全產(chǎn)品統(tǒng)一進(jìn)行管理。安恒云云安全解決方案總體架構(gòu)分為：安恒云云安全管理平臺、集中型共享安全能力引擎以及分布型專享安全能力組件。

提到高可用，一直以來都是用戶關(guān)心的重點(diǎn)問題，針對高可用的現(xiàn)狀，安恒云基于400+私有云的實(shí)踐經(jīng)驗(yàn)，錘煉了一套成熟的高可用能力，在用戶的每個業(yè)務(wù)層面都做了保障。

安恒云解決方案高可用整體能力圖△

安恒云安全管理平臺高可用

一

主備模式

? ? 在主備模式下，安恒云安全管理平臺在不同區(qū)域部署兩套環(huán)境，通過安恒自研高可用技術(shù)“AHCloud HA”實(shí)現(xiàn)數(shù)據(jù)同步、主備切換，用戶只需要訪問浮動Ip即可訪問安全門戶服務(wù)。AHCloud HA實(shí)現(xiàn)主備模式下高可用方案需要滿足以下三個條件：

心跳鏈路：通過心跳鏈路監(jiān)測主機(jī)和備機(jī)的運(yùn)行狀況；

浮動IP：一旦心跳鏈路發(fā)現(xiàn)主機(jī)遇到故障，則將對外服務(wù)的IP漂移至備機(jī)，并由備機(jī)提供服務(wù)；

共享存儲：備機(jī)能夠正常工作的基礎(chǔ)和前提是和主機(jī)保持相同的業(yè)務(wù)數(shù)據(jù)，通常我們使用共享存儲或者專用的復(fù)制組件來保證這一點(diǎn)。

二

集群模式

? ? 安恒云云安全管理平臺的核心功能模塊均支持分布式集群部署。為保證安恒云安全管理平臺的高可用性、或當(dāng)單機(jī)管理平臺的安全設(shè)備納管能力達(dá)到上限的時候，可以通過集群模式將云安全管理平臺后端模塊分別部署在多個計(jì)算節(jié)點(diǎn)上，既可避免單點(diǎn)故障，又能充分挖掘計(jì)算資源的使用效率，從而提供高負(fù)載下的水平擴(kuò)展能力。

? ? 采用分布式集群部署，還可以充分利用云環(huán)境中的負(fù)載均衡SLB、彈性伸縮Auto Scaling等服務(wù)，這都可以根據(jù)您的特定環(huán)境而選用針對性的技術(shù)方案。

共享安全能力高可用實(shí)現(xiàn)

? ? 共享安全能力中，與業(yè)務(wù)強(qiáng)相關(guān)的WAF等共享安全能力引擎默認(rèn)為主備LB集群高可用方式+多節(jié)點(diǎn)分布式引擎方式部署；與業(yè)務(wù)非強(qiáng)相關(guān)的堡壘機(jī)、EDR管理中心、漏洞掃描等共享安全能力，支持多節(jié)點(diǎn)分布式引擎部署。

LB集群

? ? 以WAF為例，共享WAF安全能力引擎通過一組LB設(shè)備、通過VRRP實(shí)現(xiàn)主備模式。如下圖所示，兩個LB通過vrrp協(xié)議配置虛擬代理地址，在使用共享WAF安全能力時，只需要使用該虛擬地址作為業(yè)務(wù)IP，對目標(biāo)站點(diǎn)進(jìn)行代理或引流即可實(shí)現(xiàn)防護(hù)。當(dāng)其中一臺LB故障時，vrrp協(xié)議會將虛擬地址切換到另外一臺LB設(shè)備上。流量經(jīng)過LB集群后，可以將將洪峰流量攻擊處理為不含網(wǎng)絡(luò)層攻擊的小流量回源到后端掛載的WAF引擎。

多節(jié)點(diǎn)部署

? ? 以WAF為例，通過在LB集群后端掛載多節(jié)點(diǎn)WAF引擎，當(dāng)LB集群接收到業(yè)務(wù)流量上自動負(fù)載調(diào)度到多個WAF引擎上，同時LB集群與WAF引擎之間通過心跳檢測維護(hù)鏈路狀態(tài)，當(dāng)檢測到WAF引擎節(jié)點(diǎn)故障時自動繞開該節(jié)點(diǎn)，，保證訪問流量的通暢。

專享安全能力高可用實(shí)現(xiàn)

一

網(wǎng)絡(luò)高可用

鏈路聚合

? ? 安恒云云安全解決方案中，交換機(jī)側(cè)接口采用動態(tài)聚合模式（通過Link Aggregation Control Protocol即鏈路聚合控制協(xié)議實(shí)現(xiàn)）與物理服務(wù)器網(wǎng)卡采用的bond4模式（通過IEEE 802.3ad動態(tài)鏈接聚合協(xié)議實(shí)現(xiàn)）形成數(shù)據(jù)鏈路的聚合，將多條物理鏈路聚合成一個邏輯鏈路，實(shí)現(xiàn)網(wǎng)絡(luò)高可用。

流量BYPASS

? ? 流量遷移到安全資源池時，通過配置NQA健康性檢測，周期性地探測安全資源池與業(yè)務(wù)網(wǎng)絡(luò)之間的連通狀態(tài)；同時配置Track項(xiàng)，當(dāng)連續(xù)探測失敗的次數(shù)達(dá)到指定的閾值時，即當(dāng)檢測到業(yè)務(wù)網(wǎng)絡(luò)與安全資源池之間發(fā)生網(wǎng)絡(luò)故障時，NQA將通知Track監(jiān)測對象出現(xiàn)異常，Track項(xiàng)同時使引流配置失效，流量自動切換至默認(rèn)路由轉(zhuǎn)發(fā)。同時安全資源池內(nèi)部也使用健康性檢測機(jī)制，當(dāng)流量從防火墻引如到WAF上時，防火墻會探測WAF狀態(tài)，探測的機(jī)制包括ICMP、TCP、HTTP等等，如發(fā)現(xiàn)WAF故障，則流量自動跳過WAF，優(yōu)先保證業(yè)務(wù)連續(xù)性。

二

存儲高可用

? ? 安恒云云安全解決方案中，每臺超融合一體機(jī)節(jié)點(diǎn)都使用多塊物理硬盤組件RAID1陣列。部分物理磁盤發(fā)生損壞時，系統(tǒng)可以自動切換到鏡像磁盤上讀寫，保證業(yè)務(wù)高可用。同時安恒云云安全解決方案中，所有服務(wù)器的SSD硬盤組建獨(dú)立的SSD存儲池Pool，所有服務(wù)器SAS硬盤組建為獨(dú)立的SAS存儲池Pool。存儲池中數(shù)據(jù)切片保存3副本，當(dāng)某個數(shù)據(jù)切片丟失時，另外兩副本備份可保證業(yè)務(wù)數(shù)據(jù)不丟失。其中，每個數(shù)據(jù)切片打散到不同存儲節(jié)點(diǎn)上，當(dāng)其中一個存儲節(jié)點(diǎn)數(shù)據(jù)故障，該節(jié)點(diǎn)數(shù)據(jù)可以通過其他節(jié)點(diǎn)副本同步到新節(jié)點(diǎn)，保證數(shù)據(jù)持續(xù)三副本保存。故在一個資源池內(nèi)，出現(xiàn)兩個節(jié)點(diǎn)或兩塊磁盤同時故障，整個系統(tǒng)不會丟失數(shù)據(jù)，不影響業(yè)務(wù)正常使用。

? ? 同時，超融合一體機(jī)支持對接基于IP及FC網(wǎng)絡(luò)的SAN存儲網(wǎng)絡(luò)，依托SAN存儲網(wǎng)絡(luò)的本身的冗余設(shè)計(jì)實(shí)現(xiàn)存儲高可用。

三

虛擬化平臺高可用

虛擬化平臺管理高可用

? ? 超融合一體機(jī)中提供多管理節(jié)點(diǎn)物理機(jī)高可用功能。當(dāng)其中任何一個管理節(jié)點(diǎn)失聯(lián)，秒級觸發(fā)高可用切換，從而保障管理節(jié)點(diǎn)持續(xù)提供服務(wù)。。

安恒云云安全解決方案中，超融合集群運(yùn)行獨(dú)立的高可用進(jìn)程，負(fù)責(zé)實(shí)時監(jiān)控管理節(jié)點(diǎn)上的關(guān)鍵服務(wù)（包括：管理節(jié)點(diǎn)服務(wù)、UI服務(wù)、數(shù)據(jù)庫服務(wù)），當(dāng)任何一個關(guān)鍵服務(wù)出現(xiàn)宕機(jī)，立即通過Keep Alived觸發(fā)VIP（Virtual IP）遷移，然后嘗試恢復(fù)宕機(jī)服務(wù)。

虛擬化實(shí)例業(yè)務(wù)高可用

? ? 安恒云云安全解決方案中，一組服務(wù)器主機(jī)合并為一個具有共享資源池的集群，而安恒云云安全管理平臺和安全實(shí)例皆以虛擬化實(shí)例形式存在。集群內(nèi)所有的服務(wù)器主機(jī)與虛擬機(jī)運(yùn)行狀況會持續(xù)進(jìn)行檢測，一旦某臺服務(wù)器宕機(jī)后，會立即在集群內(nèi)另一臺服務(wù)器上重啟所有受影響的虛擬機(jī)，保證業(yè)務(wù)的連續(xù)性。

? ? 同時安恒云云安全管理平臺和安全實(shí)例皆支持?jǐn)?shù)據(jù)備份功能，可以將配置、數(shù)據(jù)庫、日志等數(shù)據(jù)定期備份，故障時重新導(dǎo)入備份數(shù)據(jù)即可恢復(fù)。

四

安全組件高可用

安全組件監(jiān)控與告警

? ? 安恒云云安全解決方案中，通過豐富的性能評估因子形成對整個安全資源池的運(yùn)維態(tài)勢感知?；赪eb的可視化安全資源池運(yùn)維態(tài)勢感知大屏可以動態(tài)顯示安全組件CPU、內(nèi)存利用率，磁盤利用率及網(wǎng)絡(luò)數(shù)據(jù)流量吞吐，用戶可以查看近五小時以內(nèi)安全組件資源的使用情況，對安全組件性能進(jìn)行實(shí)時監(jiān)控。

? ? 同時，可視化的運(yùn)維態(tài)勢感知大屏針對安全組件資源利用率異常升高、安全組件網(wǎng)絡(luò)失聯(lián)等狀況可以做出瞬時告警，能夠有效減少業(yè)務(wù)故障故障時間，最大限度確保核心業(yè)務(wù)的連續(xù)性。

安全組件業(yè)務(wù)高可用

? ? 安恒云云安全解決方案中，安全組件普遍支持業(yè)務(wù)層面HA功能配置。以下以下一代防火墻舉例說明。

? ? 主備模式是指實(shí)現(xiàn)HA的兩臺設(shè)備中，一臺作為主設(shè)備，另外一臺作為備設(shè)備。主設(shè)備在進(jìn)行業(yè)務(wù)的同時，將相關(guān)的配置和數(shù)據(jù)信息實(shí)時同步到備設(shè)備。當(dāng)主設(shè)備出現(xiàn)故障或主設(shè)備的鏈路中斷時，備用設(shè)備成為主設(shè)備，接管原主設(shè)備的工作，實(shí)現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)的無縫切換。在主備模式下，主設(shè)備響應(yīng)各類報(bào)文請求，并且轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量；備用設(shè)備不響應(yīng)報(bào)文請求，也不轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量。主備設(shè)備之間通過HA心跳線同步狀態(tài)信息，配置信息以及特征庫文件。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>