李沐明　袁亞興

[摘 要]隨著云計算技術(shù)的不斷發(fā)展，利用云計算技術(shù)可以建設(shè)高效安全的云管理平臺。文章基于數(shù)據(jù)中心在管理、維護(hù)、擴(kuò)展等方面存在的問題進(jìn)行研究，提出基于統(tǒng)一基礎(chǔ)架構(gòu)的數(shù)據(jù)中心私有云建設(shè)方案，并總結(jié)該私有云管理平臺的實現(xiàn)意義，為開放大學(xué)辦學(xué)體系信息化建設(shè)提供建議。

[關(guān)鍵詞]云計算;開放大學(xué);數(shù)據(jù)中心;私有云;信息化

[中圖分類號]G434 [文獻(xiàn)標(biāo)識碼]A [文章編號]1008-7656（2019）03-0015-04

引言

隨著信息網(wǎng)絡(luò)時代的不斷發(fā)展，傳統(tǒng)的 IT架構(gòu)的數(shù)據(jù)中心面臨著越來越多的壓力，信息系統(tǒng)的增加帶來了服務(wù)器需求大幅增長，需要更多的人力、物力投入到數(shù)據(jù)中心的建設(shè)和管理中，為了解決這些問題，行業(yè)一直在不斷探索新的技術(shù)和管理方案[1]。

云計算（Cloud Computing）概念最早是 2006 年由 Google、Amazon 等公司提出，它是分布式計算、虛擬化、網(wǎng)絡(luò)存儲等多種技術(shù)混合演進(jìn)、發(fā)展融合的產(chǎn)物[2]?！霸啤笔且恍┛梢宰晕揖S護(hù)和管理的虛擬計算資源，通常是一些大型服務(wù)器集群，包括計算服務(wù)器、存儲服務(wù)器和寬帶資源等。各種類型的云計算應(yīng)用主要有公有云、私有云、混合云。目前，國內(nèi)廠商提供公有云的主要有阿里云、騰訊云、華為云、百度云等。在數(shù)據(jù)中心私有云建設(shè)方面，目前已有哈爾濱工程大學(xué)、解放軍理工大學(xué)、中南大學(xué)、湖南大學(xué)、湖南師范大學(xué)等高校在數(shù)據(jù)中心部署私有云管理平臺。

隨著高校信息化建設(shè)的不斷加快，基本建立了服務(wù)于教學(xué)、招生、科研、管理的公共基礎(chǔ)架構(gòu)，完成了眾多的應(yīng)用信息系統(tǒng)包括OA系統(tǒng)、招生系統(tǒng)、科研系統(tǒng)、門戶網(wǎng)站、學(xué)院網(wǎng)站、收費系統(tǒng)等。這些系統(tǒng)通常由不同的業(yè)務(wù)部門進(jìn)行建設(shè)，分布在數(shù)據(jù)中心內(nèi)不同物理服務(wù)器上，由不同的運維管理人員進(jìn)行相關(guān)管理操作。文章以國家開放大學(xué)（以下簡稱國開）為例，對數(shù)據(jù)中心面臨的問題進(jìn)行分析，通過對數(shù)據(jù)中心私有云平臺的網(wǎng)絡(luò)架構(gòu)進(jìn)行研究，提出一種安全可靠的主機(jī)網(wǎng)絡(luò)架構(gòu)，并實現(xiàn)一種適合開放大學(xué)數(shù)據(jù)中心的私有云建設(shè)方案，從而提高學(xué)校業(yè)務(wù)信息系統(tǒng)的可靠性，當(dāng)服務(wù)器宕機(jī)時保證業(yè)務(wù)信息系統(tǒng)不中斷，保證業(yè)務(wù)信息系統(tǒng)穩(wěn)定運行。

一、國家開放大學(xué)數(shù)據(jù)中心現(xiàn)狀

國開是教育部直屬的，以現(xiàn)代信息技術(shù)為支撐，學(xué)歷教育與非學(xué)歷教育并舉，實施遠(yuǎn)程開放教育的新型高等學(xué)校[3]。國開數(shù)據(jù)中心于2011年建成，共有200余臺物理服務(wù)器，50余臺網(wǎng)絡(luò)交換機(jī)，60余個信息系統(tǒng)（網(wǎng)站）。大部分的用戶量小的信息系統(tǒng)包括業(yè)務(wù)測試系統(tǒng)均單獨部署在物理服務(wù)器上，使得國開數(shù)據(jù)中心在管理、維護(hù)等方面存在一些問題。

（一）部分服務(wù)器利用率不高

一臺服務(wù)器安裝一個操作系統(tǒng)，大多運行1個應(yīng)用程序，cpu和內(nèi)存等資源利用率不高。

（二）信息系統(tǒng)管理成本高

各信息系統(tǒng)不是在同一個時間段里進(jìn)行部署，服務(wù)器等設(shè)備的采購型號也不統(tǒng)一，不同品牌的服務(wù)器之間需要不同的運維人員負(fù)責(zé)系統(tǒng)的維護(hù)，信息系統(tǒng)管理成本高。

（三）部分信息系統(tǒng)可靠性差

由于各服務(wù)器都處于單機(jī)狀態(tài)，可能存在單點故障，如果有服務(wù)器處于宕機(jī)狀態(tài)，那么該服務(wù)器上運行的信息系統(tǒng)也會隨之中斷。服務(wù)器的管理員在進(jìn)行操作系統(tǒng)升級維護(hù)時也可能需要對該服務(wù)器進(jìn)行重啟等工作，這也使得信息系統(tǒng)存在中斷運行的可能。

二、數(shù)據(jù)中心私有云建設(shè)方案

數(shù)據(jù)中心私有云平臺搭建的關(guān)鍵技術(shù)是虛擬化，目前常用的虛擬化技術(shù)主要有KVM、Xen、VMWare、hyper-v等，針對國開數(shù)據(jù)中心建設(shè)中存在的問題，通過對主流的虛擬化技術(shù)進(jìn)行比較，本文采用文獻(xiàn)研究、工程驗證的研究方法，先對云計算關(guān)鍵技術(shù)之一的虛擬化技術(shù)相關(guān)文獻(xiàn)進(jìn)行研究，通過對主流的虛擬化技術(shù)對比分析，結(jié)合國開信息化建設(shè)的實際情況，選取適合國開數(shù)據(jù)中心私有云建設(shè)的的虛擬化技術(shù)，提出一個適合國開數(shù)據(jù)中心的私有云規(guī)劃建設(shè)方案，然后結(jié)合國家開放大學(xué)虛擬化平臺建設(shè)項目進(jìn)行實踐，將該私有云規(guī)劃建設(shè)方案進(jìn)行實施。

（一）私有云平臺網(wǎng)絡(luò)架構(gòu)

在網(wǎng)絡(luò)方面，IP網(wǎng)絡(luò)主要包含兩類鏈路：一類是業(yè)務(wù)鏈路，用于傳輸虛擬服務(wù)器對外提供服務(wù)的業(yè)務(wù)流量，宿主機(jī)通過業(yè)務(wù)交換機(jī)上聯(lián)至上游網(wǎng)絡(luò);另一類是宿主機(jī)之間通訊鏈路，用于傳輸VMKernel管理流量和HA集群中FT數(shù)據(jù)同步流量，宿主機(jī)之間互聯(lián)，無需提供對外連接。IP網(wǎng)絡(luò)中業(yè)務(wù)部分鏈路里宿主機(jī)通過雙鏈路上聯(lián)至業(yè)務(wù)交換設(shè)備，為業(yè)務(wù)系統(tǒng)對外提供對外傳輸數(shù)據(jù)鏈路條件，鏈路通過捆綁后實現(xiàn)負(fù)載均衡以及預(yù)防單點故障.IP網(wǎng)絡(luò)中業(yè)務(wù)外鏈路里每臺宿主機(jī)至少預(yù)留兩個NIC接口并各自通過專用線路進(jìn)行互聯(lián)，其專用于為VMKernel傳輸管理流量以及為FT提供日志同步數(shù)據(jù)鏈路。

（二）私有云平臺建設(shè)方案

基于VMware架構(gòu)的數(shù)據(jù)中心私有云平臺建設(shè)方案包括前期規(guī)劃、實施部署（基礎(chǔ)部分）、實施部署（功能部分）、測試驗收四個環(huán)節(jié)。前期規(guī)劃主要分為兩個部分：設(shè)備物理規(guī)劃與系統(tǒng)參數(shù)規(guī)劃。設(shè)備物理規(guī)劃主要包含物理資源統(tǒng)計、存儲空間規(guī)劃、網(wǎng)絡(luò)接口規(guī)劃、Fault Tolerance規(guī)劃等。系統(tǒng)參數(shù)規(guī)劃包含宿主機(jī)參數(shù)規(guī)劃、vCenter參數(shù)規(guī)劃、虛擬分布式交換機(jī)規(guī)劃、網(wǎng)絡(luò)分段規(guī)劃以及NSX安全策略規(guī)劃。

統(tǒng)計物理資源主要目的是合理規(guī)劃整個虛擬化平臺的可用及有效容量，防止出現(xiàn)資源過度分配的情況，提早進(jìn)行擴(kuò)容。為保證虛擬化平臺獲得最佳的存儲性能，共享存儲空間至少應(yīng)分為三部分：VHD存儲集，用于存儲虛擬機(jī)磁盤文件，如條件允許應(yīng)考慮將讀寫頻繁的虛擬機(jī)磁盤文件安置于存儲高速區(qū)域（SSD、10K/15K SAS），為高速讀寫提供足夠的IO性能;Image存儲集，用于存儲光盤鏡像、操作系統(tǒng)鏡像等文件，主要操作為讀取，操作頻率極低，條件允許應(yīng)盡量安置于存儲低速區(qū)域（10K SAS/NL-SAS）;HA仲裁，VMware HA集群存活仲裁盤，容量一般不大于10GB，可用于當(dāng)HA集群網(wǎng)絡(luò)Keep-Alive機(jī)制故障但宿主機(jī)未宕機(jī)的情況下的存活檢測。

宿主機(jī)在安裝vSphere前應(yīng)有統(tǒng)一的參數(shù)規(guī)劃要求，包括主機(jī)名、IP地址、DNS、本地存儲等。vCenter Server可選兩種部署方案，分別為軟件單體安裝與OVA打包安裝，區(qū)別在于單體安裝需要用戶自行安裝操作系統(tǒng)與數(shù)據(jù)庫，OVA打包安裝則通過由VMware預(yù)先制作的OVA應(yīng)用包直接部署。VMware vSphere環(huán)境中包含兩類虛擬交換機(jī)：vSphere標(biāo)準(zhǔn)交換機(jī)與vSphere分布式交換機(jī)。在本次建設(shè)方案中將為業(yè)務(wù)數(shù)據(jù)路徑配置vSphere分布式交換機(jī)、為管理數(shù)據(jù)路徑配置vSphere標(biāo)準(zhǔn)交換機(jī)。通過為業(yè)務(wù)配置vSphere分布式交換機(jī)，在最大限度保證虛擬化平臺對外數(shù)據(jù)出口的靈活性和易用性外，還可以為后期部署VMware NSX功能提供必要的基本條件。針對管理部分網(wǎng)絡(luò)需求則采用vSphere標(biāo)準(zhǔn)交換機(jī)提供虛擬網(wǎng)絡(luò)互聯(lián)支持。

網(wǎng)絡(luò)分段規(guī)劃主要針對不同數(shù)據(jù)路徑規(guī)劃充足的地址空間，根據(jù)目前規(guī)劃，本次項目建議主要劃分兩類網(wǎng)絡(luò)：一類是虛擬化平臺內(nèi)部管理網(wǎng)絡(luò)，該網(wǎng)絡(luò)無對外出口，僅供vCenter與各宿主機(jī)vSphere軟件傳輸管理、遷移以及同步流量;另一類是虛擬化平臺業(yè)務(wù)對外網(wǎng)絡(luò)，該網(wǎng)絡(luò)根據(jù)業(yè)務(wù)歸屬或安全等級進(jìn)行分段，并為不同分段分配VLAN id、下一跳地址等信息。管理網(wǎng)絡(luò)IP地址配置（宿主機(jī)IP地址）：應(yīng)于宿主機(jī)vSphere安裝時進(jìn)行;業(yè)務(wù)網(wǎng)絡(luò)IP地址配置（虛擬機(jī)IP地址）：應(yīng)首先將網(wǎng)絡(luò)分段規(guī)劃與網(wǎng)絡(luò)接口規(guī)劃結(jié)合，而后配置vSphere分布式交換機(jī)，最終在部署配置VM時進(jìn)行指定。

（三）私有云平臺實施部署

基礎(chǔ)部分實施部署工作主要進(jìn)行虛擬化平臺底層部分安裝調(diào)試及基本功能配置。根據(jù)VMware最佳部署實踐介紹，下列各項工作建議以既定順序執(zhí)行。實施工作內(nèi)容中標(biāo)準(zhǔn)化操作流程將不在此處描述，所有實施方法、操作流程均以VMware部署文檔為準(zhǔn)，主要包括設(shè)備上架與線纜連接、存儲空間分配、宿主機(jī)系統(tǒng)安裝、Vcenter Server安裝、數(shù)據(jù)中心及HA集群配置、虛擬交換機(jī)配置、網(wǎng)絡(luò)設(shè)備配置、NSX安裝及配置、VM模板配置等。實施部署功能部分針對虛擬化平臺中高級功能、特色功能方面進(jìn)行安裝調(diào)試工作。實施部署功能部分針對虛擬化平臺中高級功能、特色功能方面進(jìn)行安裝調(diào)試工作。Update Manager安裝、Data Protection安裝、VM安裝配置、vCenter Converter軟件安裝、Fault Tolerance配置等。

VMware NSX作為VMware為服務(wù)器虛擬化平臺中提供的網(wǎng)絡(luò)虛擬化功能模塊，與無NSX的主要差異在于：NSX可為虛擬化環(huán)境中每臺VM提供分布式的防火墻保護(hù);NSX可針對某一組或某一特性的一些VM提供統(tǒng)一的防火墻策略;NSX無需外部設(shè)備即可實現(xiàn)VM間數(shù)據(jù)流的3層轉(zhuǎn)發(fā)與過濾;NSX無需外部安全設(shè)備即可實現(xiàn)不同安全級別的劃分（零信任環(huán)境）;NSX可通過Edge邊界提供NAT、邊界安全等傳統(tǒng)路由器設(shè)備提供的功能。VMware NSX部署的必要條件之一是虛擬化環(huán)境中Virtual-to-Virtual網(wǎng)絡(luò)必須是vSphere分布式交換機(jī)。只有通過分布式交換機(jī)，才可以實現(xiàn)NSX的各項策略、功能推送至每臺VM。如果數(shù)據(jù)中心對于信息系統(tǒng)安全要求比較高可考慮采購NSX模塊。

（四）私有云建設(shè)平臺測試驗收

測試驗收階段分為三步，即依次進(jìn)行性能測試、功能測試以及平臺業(yè)務(wù)的可用性測試。測試簡要描述如下。

1.性能測試。檢測外部業(yè)務(wù)訪問性能，如Web或App響應(yīng)速度，具體測試客體由用戶提供。

2.功能測試。檢測虛擬化環(huán)境各項功能，包括基本功能與高級功能，VM創(chuàng)建、修改、刪除;手動vMotion，宿主高負(fù)載下自動vMotion;集群整體低負(fù)載下DRS調(diào)配;Update Manager推送更新;其他vCenter Server可提供基礎(chǔ)功能。

3.可用性測試。檢測虛擬化環(huán)境中HA、FT以及Data Protection功能，HA功能檢測，VM-Kernel中斷HA檢測、FC存儲網(wǎng)絡(luò)中斷HA檢測、同時中斷HA檢測;FT功能檢測，宿主機(jī)強(qiáng)制斷電檢測（基于系統(tǒng)底層命令執(zhí)行重新啟動）;DP備份恢復(fù)檢測。

三、數(shù)據(jù)中心私有云管理平臺實現(xiàn)

考慮到VMWare是相對比較成熟的商業(yè)軟件，市場占有率較大，而且搭建的私有云平臺易于管理，比較穩(wěn)定，因此本文采用VMWare虛擬化軟件實現(xiàn)硬件、存儲資源的集成和整合，搭建基于VMWare的私有云管理平臺，基于VMware架構(gòu)的私有云平臺搭建完成后，將業(yè)務(wù)信息系統(tǒng)部署到該私有云平臺，同時將已有的基于KVM架構(gòu)的管理平臺上的業(yè)務(wù)系統(tǒng)遷移到該私有云平臺，對數(shù)據(jù)中心的業(yè)務(wù)信息系統(tǒng)實行統(tǒng)一管理。

利用數(shù)據(jù)中心內(nèi)5臺Lenovo X3950x6服務(wù)器搭建基于VMWare架構(gòu)的私有云管理平臺，利用兩套存儲設(shè)備做虛擬機(jī)復(fù)制，用于虛擬化共享存儲，利用兩臺DELL EMC 光纖交換機(jī)做鏈路主備，用于存儲鏈路冗余。共有物理cpu 1104GHz，物理內(nèi)存2560G，物理存儲空間90TB。經(jīng)過虛擬化后，可擴(kuò)展1920個vcpu，可劃分cpu 4416GHz，可支持200臺虛擬服務(wù)器在線運行。

國開私有云平臺目前已部署虛擬機(jī)89個，內(nèi)存使用率32.5%，存儲使用率37.3%，還可容納150臺左右虛擬機(jī)。隨著信息化建設(shè)的不斷深入，新開發(fā)的信息系統(tǒng)可優(yōu)先部署在該私有云平臺上。

基于云計算的數(shù)據(jù)中心私有云規(guī)劃建設(shè)，是對學(xué)校數(shù)據(jù)中心的一次基礎(chǔ)技術(shù)升級，主要意義如下。

（一）提高服務(wù)器等資源利用效率

通過數(shù)據(jù)中心已有的服務(wù)器和存儲等硬件資源，利用虛擬化技術(shù)將硬件資源和網(wǎng)絡(luò)資源等進(jìn)行整合，搭建數(shù)據(jù)中心私有云管理平臺，能夠?qū)⒏邩?biāo)準(zhǔn)化的服務(wù)器達(dá)到最優(yōu)化，充分提高硬件資源利用率，將服務(wù)器成本降低20%～50%，并且將服務(wù)器及存儲利用率上升至40～80%。

（二）應(yīng)用系統(tǒng)部署更加靈活

通過統(tǒng)一的私有云管理平臺能夠?qū)崿F(xiàn)硬件資源的快速部署，并且增強(qiáng)數(shù)據(jù)的可操作性，可以滿足絕大部分分析任務(wù)，快速響應(yīng)分析需求，提高系統(tǒng)管理的效率和質(zhì)量，并能以最小的管理代價和工作量實現(xiàn)數(shù)據(jù)資源的合理化分配。在業(yè)務(wù)系統(tǒng)不斷調(diào)整的時期，學(xué)校可以根據(jù)需要利用云數(shù)據(jù)中心進(jìn)行資源的合理分配，滿足IT實時的部署需求。

（三）信息系統(tǒng)更加安全可靠

通過統(tǒng)一的私有云管理平臺，對所有的信息系統(tǒng)進(jìn)行統(tǒng)一規(guī)劃，進(jìn)行安全加固和優(yōu)化，做好數(shù)據(jù)備份，能夠保證學(xué)校信息系統(tǒng)的安全性，從而為學(xué)校信息化建設(shè)提供基礎(chǔ)保障，為學(xué)校教職工搭建一個高速、穩(wěn)定、安全、可靠的應(yīng)用環(huán)境[4]。并且通過IT資源的分配能夠?qū)崿F(xiàn)大量用戶并發(fā)訪問需求，快速創(chuàng)建服務(wù)器并部署應(yīng)用系統(tǒng)，通過容災(zāi)備份等措施虛擬服務(wù)器上數(shù)據(jù)的快速恢復(fù)。

四、結(jié)語

隨著《網(wǎng)絡(luò)安全法》和《教育信息化2.0行動計劃》等一系列法律、政策的出臺，在信息化建設(shè)的過程中需要高度重視信息系統(tǒng)的安全，因此在私有云平臺的建設(shè)過程中要加強(qiáng)安全加固，加強(qiáng)對數(shù)據(jù)中心私有云平臺的監(jiān)控和管理，避免內(nèi)部數(shù)據(jù)信息的泄露和丟失，保障信息系統(tǒng)在運行中安全可靠，這是當(dāng)下及未來數(shù)據(jù)中心私有云建設(shè)的一項重要工作。

[參考文獻(xiàn)]

[1]許玉煥.基于VMware的高校云計算數(shù)據(jù)中心設(shè)計與實現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與用，2016（8）.

[2]蘇命峰.云計算環(huán)境下高校數(shù)據(jù)中心的虛擬化研究與實現(xiàn)[D].長沙：湖南大學(xué)，2014.

[3]楊志堅.國家開放大學(xué)建設(shè)：改革與創(chuàng)新[J].中國遠(yuǎn)程教育，2013（7）.

[4]李菊.基于私有云安全平臺的網(wǎng)絡(luò)安全部署研究與實施[J].信息網(wǎng)絡(luò)安全，2013（8）.