数据中心中不同资产重要程度不同,存放形式不同,对外提供服务的模式不同,这催生了用户建设了不只一个数据中心,而且数据中心也存在私有云、公有云、混合云等多种形态。
但是无论数据中心形态如何变化,无论资产存放在云端还是本地,用户对数据中心进行统一管控的需求从未改变,这对堡垒机的多数据中心、混合云场景提出了挑战。而致力于堡垒机产品研发、生产,从满足用户实际需求出发的齐治科技,拥有完备的混合云场景下的整体堡垒机解决方案,实现统一管理,弹性部署,大大提高了性价比。
无论资产在哪
用户通过堡垒机统一管控的需求从未改变
15年前,用户致力于从数据中心到私有云的转变,将数据中心虚拟化;10年前,用户热衷于从私有云转向公有云,享受公有云的弹性、便利性。但今天,更加成熟的用户,已经开始行动起来:数据中心的资产并不是一刀切的模式。应该根据资产的类别、需求、对外提供服务模式等众多特点,将不同的资产,存放在不同形式的数据中心中——这些数据中心可以是本地的,可以是物理的,可以是虚拟化的,可以是两地三中心的,也可以是在云端租用的。
因为分批建设的历史原因,用户数据中心数量多,按部门、单位、业务创建,产生大量VPC(Virtual PrivateCloud,虚拟私有云)环境。VPC概念由AWS在2009年提出,之后国内云厂商也推出类似功能,为云上租户提供隔离的、私密的虚拟网络空间。每个VPC属于独立虚拟专网,不同VPC存在相同网段。用户各使用部门根据业务需要自主建设规划VPC中的网络、云主机及业务系统。
VPC在满足用户业务需求的同时,带来了新的管理问题:各VPC由于相对独立,很难做到统一运维管控。同时,运维审计数据分散,如果在每个VPC环境中部署各自的堡垒机会导致配置工作量巨大,审计效率低下,投入成本居高不下。
另外,很多传统企业的业务上云是一个漫长的迁移过程,期间会出现传统数据中心+多云的并行模式,加上多地多中心的数据中心灾备架构,运维安全管控更加复杂和困难。
但无论资产以何种形式存放,存放在哪,是否有虚拟化环境进行区隔,对于用户来说,都需要统一进行管理控制,这就是堡垒机的重要职责。对于用户来说,通过堡垒机统一管控所有资产——无论资产在哪里,保证资产的安全、可控,是用户的重要诉求。
为了解决如上所述的用户难题,齐治与银行、证券、互联网、制造等行业大型客户做了深入调研和方案探讨,实践出了较为通用和完整的解决方案,满足用户多数据中心、混合云业务的实际需求,这就是齐治堡垒机的多VPC解决方案。
在上图的多VPC解决方案的管理逻辑中,Master统一入口页面,提供统一运维入口;Master调度Worker节点负载运维会话;Worker节点通过Proxy连接VPC主机。这个方案在实施时,Master根据用户访问数量建议采用HA或负载均衡集群部署;Worker根据会话并发数量采用负载均衡集群部署,后期可横向弹性扩容部署;各VPC部署一台Proxy代理节点即可。
在这个部署方案中,整个VPC部署分为调度层、会话层、代理层三个层次,每个层次有自己的职责和功能。
管理功能:对外提供配置、认证、授权、审计等基础服务
API接口:提供标准restful API接口,供云管平台等其他系统对接
active-active集群:提供多活节点保证高可用性,利用云原生ELB进行负载均衡
统一入口:所有VPC用户的唯一访问入口
承载会话:每个Worker独立承载会话,互不影响
横向扩展:当性能达到瓶颈时可横向扩展Worker来满足弹性计算需求
代理访问:Proxy提供VPC的对外访问入口供Worker调用
应用发布:B/S C/S客户端程序通过Proxy统一调用
跨平台:Proxy支持Windows、Linux
齐治的三层堡垒机多VPC管理解决方案,将调度、会话、代理分开,在不同层次实现不同功能,既方便统一管理,又可实现弹性部署。总体优势如下:
Mater管理节点集中入口,所有VPC用户统一登录Master管理页面
根据会话并发数量弹性横向扩展Worker会话承载节点
VPC中只需部署一台Proxy代理节点,无需独立部署堡垒机系统
齐治堡垒机有17年的研发、生产、销售经验,以洞察用户、满足用户需求为己任。在服务3000+高端客户的过程中,根据越来越复杂的实际业务及应用情况,持续为客户提供统一、高效、可扩展的综合解决方案。
文章来源:https://mp.weixin.qq.com/s/5tIdwttaJbyKSWV3VdHVKw
