3.4 实验网3N+网络结构设计
产品检测平台采用了以功能属性为导向的网络结构设计理念,整体上将实验网自上而下划分为管理网(Management Network,MN)、资源网(Source Network,SN)和测试网(Testing Network,TN)3层,并对测试网赋予了多个子网域弹性扩展的能力,形成了以3层主网络域为主体,测试网多子网域弹性扩展的3N+网络结构布局,如图5所示。
图5 3N+网络结构
(1)管理网位于3N+网络结构的最上层,是超融合集群和测试资源实现远程管理、配置和调度的主干网。管理网配置了本地域名系统(DNS)和动态主机配置协议(DHCP)服务,并为每个管理站点分配了唯一域名。各管理站点由统一身份认证系统接管,测试人员通过身份认证后可直接接入对应的管理系统,执行系统和资源的管理调度。
(2)资源网是测试资源池对外提供数据、功能和服务的主干网,通常与DUT的业务接口连接,用于接收和访问检测平台提供的测试报文、攻击流量、办公自动化(OA)服务等测试资源。基于测试网可实现测试资源的多节点远程并行访问,充分提高了测试资源的利用率。
(3)测试网能够为DUT提供模拟实际应用场景中存在的不同逻辑域、快速构建多子网检测环境的基础网络条件,可根据实际需要,利用虚拟局域网(VLAN)和VLAN隔离等技术将其划分为多个逻辑子网域。DUT只需接入相应的子网域,并调用对应的虚拟检测环境拓扑,即可快速完成检测环境部署。
3.5 容灾备份架构设计
在容灾备份层面,检测平台基于HCI原生的备份机制,结合现有的备份手段,形成了三级容灾备份体系,如图6所示。
图6 超融合检测平台的三级容灾备份体系
第一级是利用HCI原生支持的本地快照备份机制实现集群内备份,可以根据业务重要性,配置定时自动快照备份策略,保证某一虚拟机在发生异常时能够快速恢复。
第二级是利用Veeam等一体化灾备系统进行本地集群外备份,此过程可实现对虚拟机的输入/输出(I/O)级实时备份,当超融合集群出现异常导致整个系统崩溃时,该机制能够保证集群中虚拟机个体的数据完整性,并能够基于集群外备份副本快速覆盖本地集群的故障点,保证本地超融合集群能够从异常状态中及时恢复。
第三级是远程集群级备份,即在独立的容灾机房中建立本地集群系统的实时远程镜像,当本地集群环境发生严重灾难(如集群系统突然断电等)导致集群系统完全失效时,能够立即切换至远程集群镜像,保证检测平台不间断运行。
上述三级容灾备份体系由集群内部拓展至集群外部,再延伸至其他地理空间,形成了由中心向周边扩散的放射状灾备架构,能够在最大程度上保证检测平台的稳定性和可靠性。
4 产品检测平台的应用实践
本节分别以串联部署、旁路部署和点对点部署3类典型部署方式的产品为例,阐述在超融合检测平台上进行检测环境快速部署和具体测试应用的过程。
4.1 串联部署类产品检测
防火墙、网络入侵防御、安全网关等是典型的串联部署类产品,这类产品的测试环境通常由管理端、内网和外网3个域组成。以防火墙检测为例,管理端与管理主机连接,对防火墙进行安全策略配置和管理,内网域部署受保护的服务器,外网域向内网服务器发起访问请求,防火墙串联部署于内网和外网之间,对数据报文进行安全策略应答。
根据防火墙产品的测试环境特征,在超融合产品检测平台上快速创建检测环境,具体过程是:首先,将防火墙的管理端物理接口接入MN网(记为M端),并配置通过DHCP方式从检测平台自动获取管理地址;然后,将防火墙的内网域物理接口接入SN网,并在该物理接口上配置路由,建立与测试资源池(记为S端)的网络连接;最后,将防火墙的外网域物理接口接入TN网,并在检测平台上生成一台虚拟终端(记为C端),作为向服务端发起访问请求的主体。通过以上步骤即可完成防火墙产品检测环境的部署,如图7所示。
图7 串联部署类产品在超融合检测平台上的测试过程