华为给的题，感谢华为督促我学习 XD

关于数据中心的数字孪生和仿真，我想从ICT基础体系和信息安全体系方面简单探讨一下！

1、 数字孪生的特性及关键技术；

针对数据中心的数字孪生在我理解中类似于克隆一个数字化的数据中心，我在高中暑假时曾在某IDC学习过一个月，发现各种网络设备和服务器业务系统之间非常混乱，除非IDC的土著员工，不然很难真正搞清楚架构。

一般在数据中心监控层面，采用zabbix等系统进行监控。但是这种不是基于体系底层的监控方式还是无法真正全面掌控数据中心的全部状态，并作出及时的相应措施。附上一张之前参加华为课程时的zabbix架构图。

使用zabbix等第三方系统监控 存在体系复杂，管理不直接等问题。

亡羊补牢 (×)

互动模拟 (√)

在当前数据中心架构中，一般通过堡垒机、日志审计等方式间接监控网络管理层，通过IDS等方式监控内网安全。

数字孪生和仿真在此方面就可以解决以上问题的同时，通过数字化克隆仿真出一个"虚拟数据中心"的方式，预判某操作在数据中心执行后会产生的问题。

我目前管理某些高校的网络时，就会担心某条指令打下去，会产生什么样的后果，虽然有堡垒机加持，但是仍无法避免一条错误的指令被执行。而数字孪生技术可以让网络工程师、系统工程师在执行某命令在物理机之前，先在数字孪生克隆出的虚拟数据中心环境中执行，工程师判断可行后，再去堡垒机等平台上操作。

不怕笑话，我曾在处理某次故障时，在看LLDP时，把对端和本端端口看反了，然后误操作导致整幢楼断网，还好不是金融系统的网络

我参与过多次省市级护W​，做防守方时总是挺被动，在检查设备后护网开始时，只能通过IDS等设备监控网络某个进出口，IDS模式的优点是

IDS优点：不会造成整体单点故障，这些安全监控设备往往部署在数据中心或园区网的进出口处。当网络流量过大时也不会影响整体业务网络。

IDS缺点：1、不能直接阻断流量，由于IDS属于镜像流量分析，不能直接阻断流量，需要调用上下行设备进行流量阻断。所以往往是恶意流量已经过去了，到了内网才被人工发现。2、误报率高。由于IDS属于镜像流量分析，误报率取决于IDS系统，对于IDS原生优化很重要(各凭本事)，所以不能设置自动联动上下行进行阻断，有可能导致正常业务流量被阻断。

数字孪生数据中心优点：

1、可以在99.99%近似的虚拟数据中心进行模拟操作，由于高保真，可以真实得看到该操作会造成的效(后)果。

2、降低协同处理所需的人力，比如说我网络工程师写了个ACL，禁止了8080端口，然后系统工程师跳脚了~"网工，你不能这么操作，我8080端口要对外服务的！这里包含了一个必要的API！"

安全方面：超越IDS特性，数据孪生可以更好地解决

​

当某条流量进入数据中心，可以通过数字孪生的虚拟数据中心，直观可视化看到这个流量从哪到哪转发几次，解封装后执行了什么。和IDS意义一样，由于是数字孪生，不会对真正的业务系统产生影响，所以可以大肆模拟搞破坏

2、仿真与数字孪生的关系；

我认为仿真只是镜像一股流量，数字孪生借助仿真、实测、数据分析等技术，实现对数据中心的克隆。就像OSI 7层模型一样，一层一层仿真剖析。从比特流到应用层的可视化虚拟数据中心！

仿真只能类似于"离线"方式一样模拟物理网络，自我不具备分析优化功能。

就像IDS，本身不具备处理能力，需要有个像我一样的人盯着，并且还不能IDS说是啥攻击，就是啥攻击。所以仿真还需要更多技术支持，才能实现数字孪生的近似。

数字孪生必须依托并集成其他新技术，配合各种传感器和信息收集端口保证真实性、实时性和处理问题的闭环

3、仿真的原理、分类；

通过AI+建模等方式还原从物理层到应用层，即物理---软件的大部分参数，并根据这些参数构建一个孪生体，就像是我们在学云计算时肯定会接触到一个软件叫vmware workstation，就像是在workstation里创建了一个虚拟机，然后我们要做一个高危操作，可能会导致虚拟机"嗝屁"，保险起见我们可以拍摄快照，也可以克隆若干台一模一样的虚拟机。(题外话：要注意修改网卡的MAC地址，不然会ARP冲突)。在克隆出来的机器做实验，业务主机就不受影响，如果在孪生的虚拟机中没有问题，就可以尝试在业务机上测试。

分类：

1、物理仿真：买套一模一样的设备 (没钱 (ノ｀Д)ノ)

2、数字仿真：通过数字化+算法实现数字模拟构建孪生数据中心

4、 仿真关键技术

首先是基础支持。主要是一些芯片、传感器等软硬件设备。在数据中心中，主要是服务器的网卡，交换机路由器防火墙等设备的MGMT口。用于数据采集，可以参考前文中提到的zabbix框架，存在服务端和客户端，这是不可避免的，毕竟TCP/IP协议也永远存在一个发送端和接收端，即时在现网中可能会有伪造的报文，这种另当别论。

数据中心巡检时非常关注温湿度、机房空调等硬件环境设备的状态。还有一些边缘设备(海监控等)以上这些传感器属于硬件(环境)传感器。

还有软件传感器：比如说在linux上跑的一些信息采集软件，镜像网卡流量、采集CPU/RAM等硬件参数，上报给仿真服务器后端。

其次是技术支持，算法非常重要，就像IDS的算法会直接影响IDS的误报率。在仿真中模型构建的算法会影响数字化孪生体的保真性。在技术支持的底层方面，结合云计算进行大规模运算，重要孪生数据部署在本地云上的部署方式。可以保证安全性和经济性。我个人不推荐所有数据均上云，因为我是做安全的，对于云到本地的传输过程不会非常信任。毕竟没有完全安全的系统……

感谢各位老师垂阅！