返回
ZStack实践汇|ZStack与安恒天池云对接实践
2020-07-27 13:40


一、ZStack与安恒天池云概述

大道至简·极速部署,ZStack致力于产品化私有云和混合云。

云轴科技(ZStack)是一家自主创新、专注产品化的云计算公司,以“降低企业上云门槛”为使命、“让每一家企业都拥有自己的云”为愿景,提供自研的ZStack私有云、ZStack混合云、ZStack Mini边缘计算一体机、ZStack CMP多云管理平台、ZStack企业级分布式存储以及ZStack信创云平台等产品和方案。

作为新一代创新开源的云计算IaaS软件,ZStack由英特尔、微软、CloudStack等世界上最早一批虚拟化工程师创建,拥有KVM、Xen、Hyper-V等成熟的技术背景。ZStack创新提出了云计算4S理念,即Simple(简单)、Strong(健壮)、Scalable(弹性)、Smart(智能),通过全异步架构,无状态服务架构,无锁架构等核心技术,完美解决云计算执行效率低,系统不稳定,不能支撑高并发等问题,实现HA和轻量化管理。ZStack拥有云平台的完全自主知识产权,是国内最大的自主开源 IaaS 社区发起者,累计服务企业客户超过1200家,覆盖10多类行业。

天池云安全管理平台(简称“天池”) 是安恒结合自身在安全领域多年的经验及技术积累打造的专门针对云上安全的产品。天池云安全解决方案融合了众多安全产品的能力,旨在帮助用户解决云上的安全问题。帮助用户构建一个弹性扩容、按需分配、安全能力完善的云安全资源池,并为用户提供便捷的统一管理平台,实现安全产品的统一运维、自动编排、策略管理、资产管理、状态监控、数据分析等。运营管理员可以通过天池云安全运营平台监控整个云平台的安全状态和安全资源的使用情况,云租户可以通过天池云安全租户平台管理自己的云安全资源,掌握自己业务的安全动态,满足云计算环境下等保2.0的安全要求。

二、对接方案

在传统的数据中心内,平台安全建设将FW、WAF、IPS、数据库防火墙等安全网元构建成安全资源池,旁挂到SDN交换机上。通过引流技术将流量牵引至云安全资源池内清洗,完成后再将正常流量原路回注,最终到达业务VM上。这种方式通常基于硬件结构,安全设备形式单一,通常只能向单个业务系统服务,且性能方面难以满足云环境下的动态调整和扩展。

在建设云安全防护体系时,需要充分考虑安全能力的灵活调整、按需使用的需求,满足不同业务系统对安全能力的差异化要求。本次ZStack与安恒天池云对接方案为一种紧耦合方式,如图2-1所示。天池与云平台完全融合,成为整个云平台的服务模块,天池安全运维管理平台VM虚机部署在ZStack云平台上,再通过API对接,天池运维管理平台会在ZStack上自动开通其它安全产品VM,提供个性化、全方位的安全能力。
1.png
图2-1  ZStack & 天池云融合对接架构图

三、天池云管理平台搭建

1.在ZStack云平台云资源池内上传天池管理平台及其它安全产品镜像,如图3-1所示。

2.png
图3-1上传安全产品镜像

2.使用上传的“天池云管理平台”镜像创建云主机,如图3-2所示。

3.png

图3-2创建“天池云”管理平台云主机

3.为了满足租户对安全资源各不相同的需求,ZStack租户体系和天池账户体系实现认证对接,针对安全产品给租户统一分配、利用和管理云上安全资源的权限。登陆界面如图3-3所示。账户体系对接后,云安全运营平台、云平台之间的账户体系将会打通,即云平台租户可以登录到自己的云安全运营平台上,并通过该平台申请需要的安全产品。同时,云安全运营平台将会打通所有的产品权限体系,实现所有安全产品的统一登陆。

4.png
图3-3  登陆“天池云”安全运维平台

4.首次登录天池云安全运维平台后,默认进入部署页面。点击
5.png
图3-4 部署天池云安全管理平台

5.自动化完成云安全管理平台部署后,可直接访问天池云安全管理平台,如图3-5所示。
6.png
图3-5  自动部署完成

6.配置IP资源池:为安全产品保留业务网段,用作安全产品的业务地址。在菜单栏点击“部署配置IP资源池”,点击
7.png
图3-6  配置IP资源池

7.配置引流:在菜单栏点击“部署配置引流配置”,点击
8.png
图3-7  创建引流配置

8.引流配置创建后,ZStack云平台内自动创建对应的“二层网络”。同时会基于创建的二层网络创建出三层公有网络及WAF业务网络,如图3-8、3-9所示。
9.png
图3-8  自动创建二层网络
10.png
图3-9  三层公有网络和waf业务网络

四、安全产品开通

1.以云平台超级管理员身份登陆天池云管理平台,在菜单栏点击“租户管理-开通产品”后,自动调用ZStack云平台资源为不同租户开通不同的安全产品。如图4-1、4-2所示。

11.png

图4-1  开通安全产品

12.png

图4-2  自动创建的安全产品VM

2.以云平台租户身份登陆天池云管理平台,管理自己权限范围内的安全产品,通过管理界面无感知的登陆到各个安全产品,进行产品的配置、策略更改等操作。如图4-3、4-4所示。

13.png
图4-3  租户操作安全产品

结合天池云管理平台搭建及安全资源池产品开通步骤,总体流程如4-4 所示。
14.png
图4-4

五、业务资源安全防护配置

安全组件分为网关型和非网关型两大类。网关型安全组件包括:下一代云防火墙(vFW)和云WEB应用防火墙(WAF),剩余安全组件均为非网关型安全组件。

网关型安全组件防护中,外部物理交换机将外部WEB流量引向vFW外网口,vFW将WEB流量引向WAF业务网口,进行攻击流量清洗,WAF将清洗后的WEB业务流量返回给vFW,再将WEB流量返回给外部物理交换机。

非网关型安全组件只需要与被保护主机网络互通,不需要在物理交换机上做引流操作。其中部分非网关型安全组件(如:云数据库审计、云网页防篡改、主机安全及管理系统、云综合日志审计)还需要在被保护主机上安装Agent 才能提供安全能力。剩余的非网关型安全组件(如:云堡垒机和云综合漏洞扫描)则不需要在主机安装Agent 即可提供相关安全能力。

下面以vFW、WAF等网关型安全产品为例,详细说明引流策略的配置。假如租户网络内有台WEB应用服务器,WEB服务器IP地址为192.168.0.238/24。WEB服务器对公网提供HTTP服务,现在需要用WAF对该访问网站的流量进行防护。

首先需要在核心交换机上配置引流,将http的流量牵引至引流防火墙,同时在引流防火墙上配置相同的引流策略,将流量再牵引至WAF。

具体配置方式如下:

1. 防火墙上配置策略路由,如图5-1、5-2所示.
15.png
图5-1将外网访问web服务器的流量引流给WAF
16.png
图5-2 将网站响应外部请求的流量引流至WAF 

2.WAF内配置保护站点,把WAF业务网IP下发到业务口上,此时防火墙才能ping通WAF,如图5-3所示。
17.png
图5-3 配置保护站点

六、总结

ZStack与安恒天池云的对接,客户可以通过ZStack云平台实现计算、存储、网络等资源按需分配、按需使用。同时结合安恒天池云,客户可以进行云平台资源安全建设和云内业务安全建设,满足不同业务系统对安全能力的差异化需求,打造网络、主机、应用、数据多层安全保障的云基础环境,并从外部攻击防御到内部安全管控两方面提升云安全水平,建设安全、可信的云基础环境。


升级提醒

若您选择升级至4.0.0及之后版本,请注意以下功能调整:

1. 云路由器全面升级为VPC路由器,云路由网络全面升级为VPC网络,不再单独设云路由器页面。升级全程无感知,相关业务不受任何影响。

2. 企业管理账号体系取代用户组与用户,不再单独设用户/用户组页面,不可再使用用户/用户组账号登录云平台。升级前,请先将“用户组与用户”纳管的账号数据妥善迁移至“企业管理”纳管,再执行升级操作。注意:对于admin创建并具备admin权限的用户账号同步取消,如有需要,可使用企业管理账号体系中的平台管理员实现相同功能。

3. 调整AD/LDAP与账户的对接管理方式,统一由企业管理纳管,不再单独设AD/LDAP页面。升级前,请先将“账户”对接纳管的AD/LDAP账号数据妥善迁移至“企业管理”纳管,再执行升级操作。

如对上述升级提醒有任何疑问或需要升级帮助,请联系ZStack官方技术支持

下载ZStack企业版

您已填写过基本信息?点击这里

姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

下载链接将会通过邮件形式发送至您的邮箱,请谨慎填写。

下载ZStack企业版

还未填写过基本信息?点击这里

邮箱或手机号码格式错误
验证手机号
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
登录观看培训视频
仅对注册用户开放,请 登录 或 填写资料 观看培训视频
填写资料

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io
ZStack认证培训咨询
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io
申请ZStack多机版
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io
培训认证合作伙伴申请
姓名应该不少于2个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
邮箱格式错误
城市名称不应该少于2个字符
公司名称不应该少于4个字符
职位名称不应该少于2个字符

商务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io
ZStack&工信人才联合证书申请
已获得ZStack原厂证书
未获得ZStack原厂证书
请填写您的基本信息
姓名应该不少于2个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
邮箱格式错误
城市名称不应该少于2个字符
公司/学校名称不应该少于4个字符
证书类型
ZCCT
ZCCE
ZCCA
ZCPC-ISP
申请ZStack&工信人才联合证书须支付工本费,是否可以接受

商务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。 当您收到电子邮件后,请点击 URL 链接,以完成下载。

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。
或点击下方URL链接 (IE内核浏览器请右键另存为), 完成下载:

感谢您使用 ZStack 产品和服务。

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。

立即体验

联系我们

商务咨询
400-962-2212 转 1
售后咨询
400-962-2212 转 2

回到顶部

产品试用申请
请选择您要试用的产品
ZStack Cloud 企业版
ZStack Ceph分布式存储
ZStack Cloud 混合云版
ZStack Cube 超融合一体机
ZStack Cloud 基础版
ZStack Mini 边缘计算一体机
ZStack Cloud 标准版
ZStack CMP 多云管理平台
ZStack 信创云平台
ZStack Zaku 容器云平台
请填写您的基本信息
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。