Đề xuất triển khai mô hình tổng thể hạ tầng máy chủ Cloud cho Hệ thống

quản trị tại Đại học Thái Nguyên như sau:

Phương pháp triển khai:
- Triển khai song song cho từng đơn vị thành viên
- Tại mỗi đơn vị: triển khai từng phần của hệ thống.

Hình 12. Mô hình triển khai hệ thống máy chủ Cloud

1.1.1.1. Thuyết minh chi tiết hệ thống máy chủ
a) Máy chủ APP (Cụm máy chủ ứng dụng)
- Chức năng: Phục vụ triển khai hệ thống ứng dụng gồm webserver python, chạy
trên hệ điều hành core Linux trên các hệ điều hành redhat kernel như: Centos 7,8,
Ubuntu 18 trở lên.
- Cơ chế hoạt đông: cụm máy chủ ứng dụng gồm 2 máy chủ độc lập, thực hiện
Load balencer (LB) giúp san tải, phục vụ sẵn sàng cao (HA). Toàn bộ session file
và filestore sẽ được centralize bằng phân vùng Object storage (file storage), phân
vùng object storage được share cho cả 2 máy chủ ứng dụng đảm bảo 1 user online
có thể hoạt động trên bất cứ 1 máy chủ nào ở mỗi thời điểm/ giao dịch.
- Cơ chế backup: Dựa vào cơ chế dùng chung của filestorage 2 máy chủ ứng
dụng được phép truy cập chung tài nguyên, vì vậy một trong 2 máy chủ offline
hoặc disaster máy chủ còn lại sẽ đảm nhiệm toàn bộ hoạt động của user của hệ
thống.
b) Máy chủ DB (Cụm máy chủ cơ sở dữ liệu chính – DB Master)
- Chức năng: Phục vụ cài đặt cơ sở dữ liệu Postgresql, máy chủ chạy trên hệ điều
hành core Linux trên các hệ điều hành redhat kernel như: Centos 7,8, Ubuntu 18
trở lên.
- Cơ chế hoạt đông: Cụm máy chủ Cơ sở dữ liệu gồm 2 máy chủ độc lập, thực
hiện cài đặt Postgersql. Máy chủ postgresql chính có thể hoạt động độc lập và cung
cấp connection cho 2 máy chủ ứng dụng truy cập vào cơ sở dữ liệu của ứng dụng.
- Load Balancer: Sử dụng Pgpool II quản lý các connection đã được kết nối đến
PostgreSQL Server và tái sử dụng chúng mỗi khi có connection mới với cùng các
thuộc tính với connect đã kết nối ( như username, database, version protocol, …).
Nó giúp giảm tổng lượng thông tin overhead trên tất cả connection, từ đó cải thiện
hiệu năng tổng thể
- Cơ chế backup: Nếu database server master bị shutdown và không thể hoạt
động, Pgpool II sẽ gỡ nó ra khỏi cấu hình và đưa database server slave lên thành
master.Đây gọi là cơ chế Automated fail over.
c) Máy chủ DB Slave (Máy chủ cơ sở dữ liệu dự phòng – DB Slave)
- Chức năng: Phục vụ cài đặt cơ sở dữ liệu Postgresql repicate từ máy chủ DB
master, máy chủ chạy trên hệ điều hành core Linux trên các hệ điều hành redhat
kernel như: Centos 7,8, Ubuntu 18 trở lên.
- Cơ chế hoạt đông: Gồm một Master Database và một hoặc nhiều Slave
Replication Database. Với Master sử dụng cho việc ghi dữ liệu và các Replication
được dùng cho việc đọc dữ liệu. Dữ liệu được ghi vào Master sẽ được chuyển qua
các Replication để dữ liệu trên toàn hệ thống DB của ta được đồng bộ với nhau.
Trong một ứng dụng thông thường ta chỉ xài một DB cho cả việc đọc và ghi, nếu
ứng dụng có lượt truy cập không cao thì sử dụng một DB cũng đủ đáp ứng yêu cầu
cho người dùng. Nhưng đối với các ứng dụng mà có lượt truy cập cao thì chỉ sử
dụng một DB cho cả việc đọc và ghi sẽ dẫn tới DB bị quá tải và ứng dụng không
thể xử lý nổi tất cả các yêu cầu của người dùng
- Cơ chế backup: Postgresql hỗ trợ cơ chế multi-slave. Master sẽ chịu trách
nhiệm "giao tiếp" với Slave 01 và Slave 02 để tạo các bản sao lưu dự phòng trên
Slave 01 và Slave 02. Như vậy, nếu số Slave càng lớn thì nhiệm vụ của Master
càng nặng nề và dễ dẫn đến quá tải ở Master, đặc biệt là nếu áp dụng Synchronous
Streaming Replication thì tốc độ đáp ứng của Master với Client sẽ rất thấp.
 d) Hệ thống Load Balancer (LB)
- Chức năng: Giúp phân phối tải truy cập đến các máy chủ web trong một cụm,
đảm bảo mỗi máy chủ nhận được chỉ một phần tải. Giúp tăng hiệu suất của ứng
dụng web, đồng thời đảm bảo tính sẵn sàng và độ tin cậy bằng cách chuyển hướng
lưu lượng khi 1 máy chủ gặp sự cố.
- Cơ chế hoạt động: Hỗ trợ cân bằng tải lớp 7 (HTTP/HTTPS) và lớp 4
(TCP/UDP). Cung cấp bảo mật ứng dụng với tính năng quản lý chứng chỉ xác thực
và mã hóa SSl/TLS. Cho phép theo dõi tình trạng truy cập và trạng thái dịch vụ sử
dụng qua màn hình giám sát.
e) Filestorage (back up as a service)
- Chức năng: Hệ thống được xây dựng trên nền tảng web base, Filestorage lưu
trữ toàn bộ session của client khi truy cập vào ứng dụng. Ngoài ra hệ thống cho
phép lưu trữ toàn bộ object file trong quá trình hoạt động của user tại filestore để
giảm tải dung lượng trên CSDL.
- Cơ chế hoạt động: Cloud Object Storage (vObject) cung cấp giải pháp lưu trữ
với khả năng mở rộng không giới hạn, truy xuất dữ liệu nhanh chóng và dễ dàng
thông qua RESR API, đáp ứng ngay lập tức sự thay đổi đột biến về nhu cầu. Bên
cạnh đó đảm bảo tính an toàn và bảo mật cho dữ liệu. Bên cạnh chuẩn giao tiếp S3,
VObject Storage còn cung cấp giao diện web trực quan sinh động cho người dùng.
1.1.1.2. Đề xuất cấu hình máy chủ Cloud
STT Danh mục Thông số kỹ thuật ĐVT SL
- vCPU: 24
- RAM: 48GB
1 Cloud Server (Máy chủ App) - SSD (GB): 300 Gói 2
- IP Public: 1
- Băng thông (upto): 300Mbps
- vCPU: 32
- RAM: 64GB
Cloud Server (Máy chủ
2 - SSD (GB): 1000 Gói 2
Database Master)
- IP Public: 1
- Băng thông: 300Mbps
- vCPU: 8
- RAM: 16GB
Cloud Server (Máy chủ
3 - SSD (GB): 1000 Gói 1
Database Slave)
- IP Public: 1
- Băng thông (upto): 300Mbps
- New Connection: 16000 req/s
4 Load Balancer gói Premium - Active Connection: 16000 req/s Gói 1
- Băng thông: 1Gbps
STT Danh mục Thông số kỹ thuật ĐVT SL
5 File Storage 1000 GB Gói 1
- vCPU: 8
- RAM: 8GB
Cloud Server (Máy chủ phục
6 - SSD (GB): 200 Gói 1
vụ giám sát ATTT (Sensor))
- IP Public: 1
- Băng thông (upto): 300Mbps
- vCPU: 8
Cloud Server (Máy chủ phục - RAM: 12GB
7 vụ giám sát ATTT - SSD (GB): 300 Gói 1
(Fowarder)) - IP Public: 1
- Băng thông (upto): 300Mbps
Cloud Backup (backup ổ của
8 4000 GB Gói 1
DB)

Thuyết minh các tiêu chí đảm bảo ATTT cấp độ 3

STT Các tiêu chí đảm bảo ATTT cấp độ 3 Tên giải pháp
Phương án quản lý truy cập, quản trị hệ thống từ xa Quản lý trên FW cứng + Cloud
1
an toàn IAM + Msuite

Phương án quản lý truy cập giữa các vùng mạng và Quản lý trên FW cứng +
2
phòng chống xâm nhập Security Group

Phương án cân bằng tải và dự phòng nóng cho các

3 LB mềm trên Cloud
thiết bị mạng chính

Phương án chặn lọc phần mềm độc hại trên môi Enpoint Dectection & Response
4
trường mạng EDR

5 Phương án phòng chống tấn công từ chối dịch vụ Cloudrity

Phương án phòng, chống tấn công mạng cho ứng

6 Cloudrity
dụng web
Quản lý trên FW cứng +
7 Phương án quản lý truy cập lớp mạng Security Group + Network
Security Monitoring
8 Phương án giám sát hệ thống thông tin tập trung Giám sát Promethus
9 Phương án quản lý sao lưu dự phòng tập trung Dự phòng trên SDS Cloud
Có phương án quản lý phần mềm phòng chống mã Enpoint Dectection & Response
10
độc trên các máy chủ/máy tính người dùng tập trung EDR
11 Có phương án duy trì ít nhất 02 kết nối mạng Nhiều đường truyền kết nối
 STT Các tiêu chí đảm bảo ATTT cấp độ 3 Tên giải pháp
Internet từ các ISP sử dụng hạ tầng kết nối trong
nước khác nhau

- Các dịch vụ, giải pháp đảm bảo ATTT cấp độ 3:

STT Danh mục
Giải pháp bảo vệ Website
1 trên nền Cloud - Cloudrity
- Gói WP-Gold
Phương án quản lý truy
cập quản trị hệ thống từ xa
2 Gói
an toàn cho máy chủ quản
trị hệ thống.
Thông số kỹ thuật ĐVT SL
Cung cấp hệ thống bảo vệ:
- Lớp bảo vệ giảm thiểu tấn công
DDOS tầng mạng (Mitigate DDoS
Layer 3.4)
- Lớp bảo vệ giảm thiểu tấn công
DDOS tầng ứng dụng. tầng mạng Domain 1
(Mitigate DDoS Layer 4. layer 7)
- Tần suất request tối đa 5000 rps
- Thêm tập luật tùy chỉnh 25
- Quản lý ACL Blacklist & Whitelist
(IP. URI)
Phương án quản lý truy cập. quản trị
hệ thống từ xa an toàn cho máy chủ
1
quản trị hệ thống. VPN Msuite cho
100 tài khoản