根據稅務行業的網絡架構特性,每個數據中心可以分爲互聯網區、稅務專網區和外聯網區。每個區裡(lǐ)又劃分了多個安全域,安全域間使用物理防火牆進(jìn)行隔離,不同安全域網段不同、網關不同、安全設備不同,同時每個安全域内單獨部署了各自的虛拟化資源池。
目前,資源池存在如下問題:
資源規劃難
省稅務業系統上線,一般需要部署在多個安全域,而這(zhè)些業務系統對(duì)資源的要求,一般由應用廠商ISV提出,難以提前規劃具體安全域需要有多少個資源。
業務上線難
各類資源池比較分散且不均勻,當新的業務系統上線時,一旦某個資源池的資源不足,隻能(néng)新增服務器,不能(néng)利用現有的其他安全域中的服務器,業務上線受到影響。
可靠性難保障
部分資源不足的安全域并沒(méi)有提供足夠的安全加固服務,業務可靠性難以得到保障。
虛拟化資源難分配
有部分安全域隻有一兩(liǎng)個應用,但也要配置一到兩(liǎng)台服務器來構成(chéng)一個池,虛拟化資源浪費嚴重。
本方案將(jiāng)不同安全域的虛拟機運行在同一服務器上,默認運行在原安全域的服務器上;不同安全域之間虛拟機的訪問,必須走核心交換機,保障跨安全域訪問受防火牆控制。虛拟機飄移到起(qǐ)他安全域服務器上時,需訪問虛拟機原對(duì)應的接入層網關。
同時,根據業務需求分爲不同的網段:
有效利用資源
共享不同安全域計算資源,將(jiāng)小安全域的服務器充分利用,提升資源利用率。
保障業務安全
更好(hǎo)适應現有環境,無需要變動現有的網絡,保障業務安全不受影響。
方便業務上線
方便管理,業務上線快。
清晰管理職責
網絡與虛拟化平台管理可以按原有虛拟化系統管理,職責劃分清晰。