張國強 董紹彤 于濤

摘要：互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展使得云計算技術(shù)應(yīng)運而生，且迅速成為IT界研究的新熱點。云計算技術(shù)的快速發(fā)展使得用戶對其可靠性和安全性有了更多的要求，建立虛擬化的云管理平臺變得極有意義。該文基于IaaS平臺，介紹了一種高安全云管理平臺的設(shè)計與實現(xiàn)，從系統(tǒng)總體設(shè)計和產(chǎn)品功能兩個方面對該系統(tǒng)作了簡要介紹。

關(guān)鍵詞：云計算；IaaS；虛擬化技術(shù)；鏡像

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）24-5628-04

隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，傳統(tǒng)IT技術(shù)的計算模式和數(shù)據(jù)中心面臨著越來越多的困境，大量的數(shù)據(jù)得不到快速處理和存儲，云計算技術(shù)就應(yīng)運而生并迅速成為各方研究的熱點[1]。云計算是一種由規(guī)模經(jīng)濟(jì)驅(qū)動的大規(guī)模公布式計算模式，通過這種計算模式，實現(xiàn)抽象的、虛擬的、可動態(tài)擴(kuò)展、可管理的計算，存儲，平臺和服務(wù)的資源池由互聯(lián)網(wǎng)按需提供給外部用戶[2]。

云計算作為一種新的計算模式，著力改變傳統(tǒng)計算系統(tǒng)的占有和使用方式，從部署模式上可以分為公共云、私有云和混合云[3]；從層次上可以提供三種不同的服務(wù)模式：Saas（軟件即服務(wù)）、PaaS（平臺即服務(wù)）和IaaS（基礎(chǔ)架構(gòu)即服務(wù)）。IaaS（Infrastructure as a Service）服務(wù)形式是指提供商用虛擬化技術(shù)所擁有的部分或全部服務(wù)器內(nèi)存、I/O設(shè)備、存儲和計算能力整合成一個虛擬的資源池，服務(wù)器構(gòu)成的“云”端的基礎(chǔ)設(shè)施以虛擬機(jī)的方式為用戶提供所需要的IT資源，它是一種硬件托管的方式，用戶使用廠商提供的硬件設(shè)施并按照使用資源多少進(jìn)行付費[4]。

在IaaS層次上，傳統(tǒng)企業(yè)數(shù)據(jù)中心的服務(wù)器數(shù)量都非常龐大，但服務(wù)器利率卻不理想，有的服務(wù)器平均利用率甚至不足百分之十，有的服務(wù)器則因訪問過量而容易造成堵塞或崩潰。因此數(shù)據(jù)中心資源變得嚴(yán)重浪費，而且非常難以管理[5]。隨著VMWARE的ESXi、微軟的Hyper_V等虛擬化平臺的成熟，建立虛擬化的云計算管理平臺以很好解決上面存在的問題變得非常有意義[6]。

傳統(tǒng)數(shù)據(jù)中心或虛擬化數(shù)據(jù)中心向云計算中心過渡，需要云管理平臺提供足夠的安全性保障機(jī)制[7]，主要有基礎(chǔ)設(shè)施和云平臺的安全管理等方面，具體包括但不限于：物理安全、計算存儲等資源安全、虛擬化安全、系統(tǒng)安全、接口安全等。本課題旨在建立一個高安全的云管理平臺。

1 系統(tǒng)總體設(shè)計

1.1 系統(tǒng)架構(gòu)

云管理平臺用于建設(shè)一個能夠以較低成本運營的虛擬化數(shù)據(jù)中心，在保證業(yè)務(wù)連續(xù)性，數(shù)據(jù)安全性和資源橫向擴(kuò)展以及縱向擴(kuò)展的要求下，能夠快速部署與開通業(yè)務(wù)系統(tǒng)到云計算生產(chǎn)系統(tǒng)域。云管理平臺系統(tǒng)架構(gòu)如圖1所示，總體設(shè)計包括以下幾個方面的要求：

在虛擬化及虛擬資源池化基礎(chǔ)上，依托云管理平臺對基礎(chǔ)架構(gòu)資源進(jìn)行協(xié)同；

云管理平臺上能夠快速開通資源和業(yè)務(wù)；

共享資源之上的業(yè)務(wù)數(shù)據(jù)完全隔離；

業(yè)務(wù)系統(tǒng)保障，能夠根據(jù)資源負(fù)載和故障狀態(tài)，依據(jù)策略，云平臺進(jìn)行資源自動或人工調(diào)度，滿足業(yè)務(wù)連續(xù)性，滿足系統(tǒng)高可用性的。

該平臺的門戶系統(tǒng)是基于web2.0技術(shù)，面向資源使用用戶、管理員、運維人員提供具體的功能視圖；綜合業(yè)務(wù)運營管理系統(tǒng)提供云數(shù)據(jù)中心基礎(chǔ)架構(gòu)和虛擬化管理功能以及在其上構(gòu)建的數(shù)據(jù)中心業(yè)務(wù)開展、運營等管理功能，全面支撐基于虛擬化的云計算數(shù)據(jù)中心。其中，虛擬化管理功能提供虛擬化平臺的管理功能，實現(xiàn)服務(wù)器小型機(jī)系統(tǒng)和X86系統(tǒng)虛擬引擎管理和存儲系統(tǒng)虛擬引擎管理，實現(xiàn)虛擬資源的供給、部署和管理，可管理的服務(wù)器虛擬化技術(shù)包括PowerVM、XEN、VMware、KVM等。

1.2 系統(tǒng)組成

云計算管理平臺除了系統(tǒng)管理外主要由業(yè)務(wù)運營管理、資源管理以及安全監(jiān)控告警四大組件組成。運營管理平臺與資源管理平臺之間通過資源管理接口進(jìn)行連接，資源管理與監(jiān)控告警平臺通過監(jiān)控告警接口進(jìn)行連接。云管理平臺的核心組件如圖2所示。

業(yè)務(wù)運營管理：主要向用戶提供服務(wù)，并為運營管理人員提供運營管理功能。運營管理平臺由門戶應(yīng)用、業(yè)務(wù)運營以及數(shù)據(jù)、系統(tǒng)管理、接口等模塊組成，其中門戶應(yīng)用包括自服務(wù)門戶和運營管理門戶兩個功能模塊；業(yè)務(wù)運營包括用戶管理、業(yè)務(wù)管理、訂單管理及支付管理、客戶服務(wù)、統(tǒng)計分析、項目管理以及監(jiān)控告警等功能模塊。

資源管理：主要負(fù)責(zé)對各種云計算IT資源進(jìn)行部署、操作、回收、統(tǒng)計分析、安全審計，對資源池系統(tǒng)內(nèi)部的各類物理設(shè)備進(jìn)行運維管理。同時，資源控制調(diào)度使用配置化的資源部署及調(diào)度策略，通過虛擬化資源管理中間件提供的虛擬資源接口和監(jiān)控引擎獲取的實時性性能數(shù)據(jù)，實現(xiàn)對虛擬機(jī)的基于策略的部署及遷移等功能以及提供必需的資源管理接口。

安全監(jiān)控服務(wù)：對云管理平臺涉及的各種業(yè)務(wù)和資源，云管理平臺的監(jiān)控數(shù)據(jù)采集層模塊通過SNMP協(xié)議、IPMI協(xié)議、Agent代理或集成第三方監(jiān)控系統(tǒng)接口等采集方式，對資源的KPI性能指標(biāo)按設(shè)定監(jiān)控時間進(jìn)行主動輪詢收集，提供統(tǒng)一的事件告警，在此基礎(chǔ)上達(dá)到實時監(jiān)控資源健康狀態(tài)、主動發(fā)現(xiàn)故障、及時運維的目的。系統(tǒng)對存儲資源、網(wǎng)絡(luò)資源、軟件資源的監(jiān)控功能通過與第三方監(jiān)控系統(tǒng)進(jìn)行接口集成來支持，并為運營管理、資源管理平臺和第三方系統(tǒng)提供API標(biāo)準(zhǔn)接口。

云引擎：在體系中實現(xiàn)虛擬化管理部分，通過虛擬化技術(shù)手段，提供虛擬機(jī)，虛擬存儲，虛擬網(wǎng)絡(luò)等虛擬資源，并在此之上形成可共享的系統(tǒng)資源池。云引擎支持X86架構(gòu)的服務(wù)器，使用Xen、Vmware、KVM等進(jìn)行虛擬化，技術(shù)主流的Windows、Linux操作系統(tǒng)；支持小型機(jī)以及小型機(jī)平臺上的虛擬化；支持集成各類存儲設(shè)備及其云存儲管理軟件技術(shù)實現(xiàn)云存儲管理。云引擎通過SCE、Director來管理Power虛擬化，通過VCenter管理Vmware虛擬化。

1.3 系統(tǒng)部署

通過虛擬化、分布式計算、資源池化及容災(zāi)備份等關(guān)鍵技術(shù)構(gòu)建動態(tài)的IT基礎(chǔ)架構(gòu)，將云計算的優(yōu)勢發(fā)揮到極致。該管理平臺支持異構(gòu)物理設(shè)備和虛擬化平臺，企業(yè)可靈活選用不同的技術(shù)及不同類型的設(shè)備整合起來協(xié)同工作，一方面根據(jù)策略，動態(tài)虛擬化資源，最大限度提高企業(yè)現(xiàn)有IT資源的利用率，另一方面通過全面的服務(wù)監(jiān)控，整合備份及遷移技術(shù)，保障業(yè)務(wù)系統(tǒng)的可用性。支持跨地域分布式資源管理，有效IT資源池的規(guī)模，同時可視化管理模式提升企業(yè)數(shù)據(jù)中心的管理效率，最終將數(shù)據(jù)中心轉(zhuǎn)變成為IT服務(wù)中心，Wincloud拓?fù)鋱D如圖3所示。

云計算管理平臺建設(shè)分為云計算管理域和云計算資源域兩部分，其中云計算資源域建設(shè)包括計算資源池和存儲資源池。云管理平臺部署架構(gòu)拓?fù)鋱D如圖4所示。

2 產(chǎn)品功能

產(chǎn)品主要由五個組成部分：WCE（Wincloud Engine）、Wincenter、MS（Monitor Server）、CSC（Cloud Service Center）以及系統(tǒng)管理，總體功能架構(gòu)如圖5所示。

從功能架構(gòu)圖可以看出，產(chǎn)品功能眾多，這里就不一一介紹，選取幾個重要功能作簡要介紹。

2.1 虛擬化管理

云管理平臺能支持VMware，PowerVm等虛擬化技術(shù)。并能通過接口獲取物理機(jī)的信息情況、運行情況、軟件資源情況、承載虛擬機(jī)等。虛擬化管理具體有如下功能：

1） 支持物理機(jī)虛擬化管理；

支持Intel-VT和AMD-V硬件輔助虛擬化技術(shù)；

獲取到硬件虛擬化的信息，如芯片代號、主頻、外頻、倍頻、接口、緩存、指令集、整數(shù)單元、浮點單元等；

對物理機(jī)進(jìn)行主頻設(shè)置；

根據(jù)資源使用率調(diào)整能耗策略。

2） 支持hypervisor的信息查詢、參數(shù)設(shè)置；

3） 支持系統(tǒng)虛擬化軟件的信息查詢、參數(shù)設(shè)置、安裝、升級和功能調(diào)用；

4） 支持自動發(fā)現(xiàn)物理機(jī)上正在運行的虛擬機(jī)實例。

2.2 虛擬機(jī)資源管理

在云管理平臺，用戶申請的計算資源最后將體現(xiàn)為虛擬機(jī)。云平臺支持的虛擬化技術(shù)提供對虛擬機(jī)的生命周期管理，提供物理機(jī)-虛擬機(jī)視圖信息查看和對虛擬機(jī)運行實例的狀態(tài)監(jiān)控，可快速瀏覽虛擬機(jī)與物理機(jī)的承載關(guān)系和虛擬機(jī)資源的使用情況。具體來說，虛擬機(jī)資源管理主要有如下功能：1） 提供虛擬機(jī)的生命周期管理（虛擬機(jī)的創(chuàng)建、刪除、掛起等）；2） 提供虛擬機(jī)運行管理（虛擬機(jī)的開機(jī)、關(guān)機(jī)、重啟等）；3） 提供虛擬機(jī)實例的遷移操作；4） 根據(jù)虛擬機(jī)資源使用情況，虛擬機(jī)的縱向擴(kuò)容功能，調(diào)整虛擬機(jī)的CPU、內(nèi)存、存儲大小和網(wǎng)絡(luò)使用資源等；5） 提供虛擬機(jī)運行實例的狀態(tài)監(jiān)控和信息查詢，并可查詢虛擬機(jī)歷史狀態(tài)；6） 提供虛擬機(jī)靜態(tài)克隆與動態(tài)克隆功能；7） 支持現(xiàn)有各大不同計算虛擬化技術(shù)之間的相互轉(zhuǎn)換。

2.3 鏡像管理

虛擬鏡像是虛擬機(jī)的存儲實體，虛擬鏡像大致可以分為兩類：一類是在虛擬機(jī)停機(jī)的狀態(tài)下創(chuàng)建的鏡像，早于這時的虛擬機(jī)內(nèi)存沒有數(shù)據(jù)需要保存，因此這種鏡像只有虛擬機(jī)的磁盤數(shù)據(jù)，這種方式稱為鏡像抓?。涣硪活愄摂M機(jī)運行過程中做快照所生產(chǎn)的鏡像，在這種情況下，虛擬機(jī)內(nèi)存的數(shù)據(jù)也會被導(dǎo)出到一個文件中，因此這種鏡像能夠保存虛擬機(jī)做快照時的內(nèi)存狀態(tài)，在用戶重新使用虛擬機(jī)時可以立即恢復(fù)到進(jìn)行快照時的狀態(tài)，這種方式稱為鏡像快照。

云管理平臺提供對不同類型的鏡像進(jìn)行分級分類管理的功能，對應(yīng)生成不同的鏡像庫，通常一個實體數(shù)據(jù)中心對應(yīng)一個鏡像庫。具體提供以下功能：1） 支持鏡像的創(chuàng)建、查詢、刪除等；2） 支持對鏡像資源進(jìn)行維護(hù)管理功能，包括抓取、導(dǎo)入、配置、查詢和刪除等；3） 鏡像OS用戶名、密碼等信息的配置；4） 支持將本地鏡像庫對外共享，提供給其它云計算運營管理系統(tǒng)。

2.4 監(jiān)控告警

對云管理平臺涉及的各種資源，云管理平臺的監(jiān)控數(shù)據(jù)采集層模塊通過SNMP協(xié)議、IPMI協(xié)議、Agent代理等采集方式，對資源的KPI性能指標(biāo)（如CPU使用率、內(nèi)存使用率先等）按設(shè)定監(jiān)控時間進(jìn)行主動輪詢收集，并在此基礎(chǔ)上達(dá)到實時監(jiān)控資源健康狀態(tài)、主動發(fā)現(xiàn)故障、及時運維的目的。具體來說包括物理機(jī)資源監(jiān)控、存儲資源監(jiān)控、網(wǎng)絡(luò)資源監(jiān)控、虛擬機(jī)資源監(jiān)控、系統(tǒng)軟件監(jiān)控、性能安全監(jiān)控、告警分析、事件管理、故障管理以及綜合視圖等功能。

3 結(jié)束語

本平臺通過采用硬件設(shè)備虛擬化、軟件版本標(biāo)準(zhǔn)化、系統(tǒng)管理自動化和服務(wù)流程一體化等手段，將IT設(shè)備提供的計算能力，通信能力，存儲能力封裝成資源池，建設(shè)一個以服務(wù)為中心的云計算運行平臺，把資源的使用方式從專有獨占方式轉(zhuǎn)變成資源池化的共享方式，運行環(huán)境可以自動部署和調(diào)整資源分配，實現(xiàn)資源隨需掌控。從而幫助客戶建立一個基于業(yè)務(wù)的資源共享、服務(wù)集中、自動化、安全的云計算數(shù)據(jù)中心。目前該平臺已在多個公司得到應(yīng)用，取得較好的社會效應(yīng)和經(jīng)濟(jì)效應(yīng)。

參考文獻(xiàn)：

[1] 羅軍舟，金嘉暉，宋愛波，東方.云計算：體系架構(gòu)與關(guān)鍵技術(shù)[J].通信學(xué)報，2011，32（7）：3-7.

[2] Foster I，Zhao Yong.Cloud computing and Grid Computing 360-Degree Compared[M].2008 Grid Computing Environments Workshop，IEEE.Austin，Texas，2008.

[3] 岳冬利，劉海濤，孫傲冰.Iaas公有云平臺高度模型研究[J].計算機(jī)工程與設(shè)計，2011，32（6）：1889-1892.

[4] 鄧晗，陳維鋒.云計算模式下的Iaas虛擬化平臺網(wǎng)絡(luò)設(shè)計[J].技術(shù)與市場，2011，18（12）：21-25.

[5] 鄭楚鋒.虛擬數(shù)據(jù)中心云管理平臺的設(shè)計與實現(xiàn)[D].廣州：華南理工大學(xué)軟件學(xué)院，2012.

[6] 李剛健.基于虛擬化技術(shù)的云管理平臺架構(gòu)研究[J].吉林建筑工程學(xué)院學(xué)報，2011，28（1）：5-7.

[7] 何國鋒，陳公超，李建華.建設(shè)安全可靠的IaaS平臺[J].電信科學(xué)，2011，27（5）：42-46.