安超云基座一站式解決方案中篇——“隱蔽技術工程”-魔扣目錄

安超云基座是面向企業數據化轉型的一站式解決方案。融合了全芯全棧的通用型云操作系統、全芯全生態的高性能桌面云以及混合IT架構的云管理平臺，通過自主研發的多項核心技術，為客戶提供可信賴的數字化轉型解決方案。安超云基座解決方案核心模塊和技術介紹如下：

一、全局網絡服務

隨著IT架構快速向云遷移，企業需要面對來自云數據中心網絡的多項挑戰：

現有的網絡基礎架構需要保護投資，如何無縫地遷移到云時代。

可選的云網絡基礎架構方案中許多需要綁定硬件。

網絡類型繁雜，硬件：X86/ARM和信創; 虛擬化環境：KVM，VMware，Kubernetes等；因此產生的物理網絡 / OpenStack網絡 / 容器網絡(CNI）/ VMware虛擬網絡混合管理問題。

通過安超云基座解決方案的全局網絡管理能力，可為用戶帶來以下收益：

全局網絡統一管理

純軟件定義，無需綁定硬件，只需經典的TCP/IP物理網絡作為底層（Underlay），利用虛擬網絡疊加層（VxLAN Overlay）。

跨越絕大多數基礎架構，支持異構集群業務互通，通過超大Overlay 網絡，單一子網覆蓋多個集群，提供大二層網絡能力。

多種網絡支持：打通VMware虛擬網絡，安超虛擬網絡、裸機、容器網絡（CNI）。

成熟產品化SDN方案：多租戶結構，完美隔離不同組織或部門的網絡，全分布式的無廣播L2/L3網絡，流量高效。

轉發，直達目標節點，特別適用大量東西向流量場景。

豐富網絡功能：虛擬網絡能力極大增強，提供QoS、安全策略、防火墻、浮動IP、虛擬路由器、分布式多出口等功能。

國產化支持：支持鯤鵬、飛騰、海光、兆芯可運行在UOS、麒麟和OpenEuler上。

網絡安全

安超云基座解決方案融合了自研的ArSDN網絡安全技術與安全生態廠商的方案，提供內置全棧的安全防護能力。

微分段防火墻：從原生安全能力出發，安超云基座解決方案提供了基于統一策略管理的微隔離技術，即微分段防火墻，該技術支持將異構云網絡按需分段，以資源的視角（如虛機，部門，物理地址等）來細粒度的配置防火墻，這樣在資源變更時可以自動應用相應隔離策略，可滿足零信任模型中的網絡設計，如MCAP（Micro Core and Permiter）等，配合合作伙伴的L7層安全能力，對MCAP間的流量可見，控制最低權限等，最終實現零信任安全模型。

開放整合一直是安超云基座解決方案所秉承的理念之一，因為SDN具有非常強大的網絡調度和管理能力，可以非常容易的和安全生態做融合。還可以實現云安全配置管理和云工作負載保護等防護能力，通過ArSDN的靈活調度，與天融信、山石網科、啟明星辰等安全廠商實現各類方案融合。生態合作伙伴可通過以下方式接入ArSDN網絡，各接入方式優勢如下：

接入方式一：第三方安全網元的串行檢測

多種安全網元可通過服務鏈串行接入到安超云網絡中，當發現威脅流量時，可以立即阻斷威脅流量，并對云管平臺發出安全警報。

接入方式二：第三方安全網元的旁路檢測

在對流量進行檢測時，也可采用旁路檢測的方式，即將流量鏡像按需、按策略復制到第三方安全網元進行分析，從而不影響正常流量的傳輸、避免發卡灣流量，進而保障轉發性能。

二、保障業務高可用

在IT運維中，日常的維護操作（計劃）和突發的系統崩潰（非計劃）都會導致停機，我們通過以下的技術手段，減少停機時間，保障應用和業務的連續性。

容錯虛擬機

為保障客戶核心業務系統持續、不間斷運行，安超云基座解決方案提供容錯虛擬機（簡稱FT Fault Tolerance）功能：即為主虛擬機在另一臺節點上啟動一臺備虛擬機，當主虛擬機出現故障時，業務自動切換到備虛擬機上，從而確保業務的持續運行。其關鍵特性包括：

支持運行在兩節點、三節點及以上的安超集群中。

支持運行在X86和ARM架構的安超集群上，后端存儲可以是本地存儲或共享存儲。

可以手動設置備份虛擬機的位置，也可以由系統策略來調度。

跨集群在線遷移

安超云基座解決方案支持多種遷移方式，包括集群內虛擬機和存儲的離線遷移、在線遷移，甚至是跨集群遷移。其中跨集群在線遷移具備的特性如下：

能保證業務在跨集群遷移時持續穩定運行，對于目標規劃兩地三中心業務高可用的用戶來講非常重要。

用戶可以根據實際場景選擇是遷移性能優先還是保障業務性能優先的模式。

支持用戶手動選擇目標地址，也支持系統根據策略來遷移調度。

支持遷移數據加密，保證數據安全性。

遷移過程中的異常的處理，結合虛機業務的完善回滾方案，也能處理數據遷移過程中的各種硬件和網絡異常情況。

異構集群存儲遷移與備份

針對處理器是異構的安超集群，安超云基座解決方案可以跨CPU架構遷移存儲數據，包括X86、ARM等，該功能具備如下特性：

采用LAN-Free方式，不占用管理網絡帶寬。

實時無代理備份，不侵入用戶的GuestOS。

數據增量復制、空洞數據識別、數據壓縮，減少存儲空間占用。

備份數據就近恢復，不做數據拷貝，避免額外的存儲開銷，減少恢復時間窗口。

數據傳輸加密，保證數據傳輸的安全性。

支持備份限速，避免對生產環境網絡和存儲造成過高的壓力。

雙活集群

雙活集群屬于災備技術中的一種，區別于傳統災備中心的模式，雙活集群分別運行于兩個數據中心之中，運行相同的應用，具備同樣的數據，能夠提供跨中心業務負載均衡運行能力，實現持續的應用可用性和災難備份能力，所以稱為雙活。

雙活集群最大的特點是：

充分利用資源，避免了一個數據中心常年處于閑置狀態而造成浪費，通過資源整合，雙活集群的服務能力是可以翻倍的。

支持跨故障域HA，即整個故障域出現問題，虛擬機可以從另一個故障域拉起。

支持對分布式應用實現數據雙活和業務雙活，即RPO=0，RTO由應用自身的切換機制所需的時間決定。

三、云原生應用中心

應用的云原生化可以帶來顯而易見的收益。對于基礎設施團隊，提高資源利用率，減少基礎設施的成本支出。對于研發團隊，微服務化的架構優勢，自動化的CICD提升研發效率。對于運維團隊，提供從平臺到應用維度的日志、監控、時間、靈活的發布和流量管理。對于用戶，一鍵部署應用，提升應用的可靠性和靈活性。但是由于較高的技術門檻以及復雜的運維難度，往往使得IT管理人員望而卻步，安超云基座解決方案通過應用中心所提供的多種技術能力，將為用戶拉低各項技術門檻，幫助用戶輕松實現應用的云原生化。安超云基座的應用中心主要解決應用云原生過程中遇到的幾大問題：

應用程序版本管理：如應用程序在線、離線、更新、回滾、發布。更改應用程序的網絡策略或配額。查看應用程序使用的群集資源以及配置維護和歷史版本信息。

多層次的資源監控：查看多級資源的聲明、事件和消息。對于一些特殊資源，如pod，用戶可以查看pod的詳細信息。我們將顯示用戶cpu使用情況、內存使用情況、詳細的運行時信息和動態日志。我們還提供應用程序入口、監控報警、持久日志等功能，方便用戶操作和維護應用程序。

應用藍綠/灰度發布能力：應用程序發布功能由一組發布節點組成，它包括發布任務的狀態控制、節點編輯、驗證和結果報告。

應用包管理：支持應用包共享功能，使得應用包可以在多個租戶之間傳輸。每個應用包包含多個版本，每個包都包含有關應用程序的信息，如入口配置、報警配置、日志配置等。用戶可以通過多種方式在線創建和維護軟件包。

應用商店：支持用戶跨多個團隊共享應用程序。

四、高性能桌面云

后疫情時代遠程辦公需求激增，基于國產化技術全自研的的高性能桌面云虛擬化產品，通過深度整合服務器虛擬化、桌面虛擬化，底層支持超融合分布式存儲架構和虛擬化架構，支持鯤鵬、飛騰、海光、申威等全芯國產化服務器CPU和統信UOS、麒麟等國產化操作系統。利用安超桌面云產品快速構建自己的云桌面數據中心，可滿足政企辦公、科研教學、圖形設計等多種領域的業務需求。