文|延?jì)I妮
當(dāng)前,加強(qiáng)國(guó)際傳播能力已經(jīng)被確立為增強(qiáng)國(guó)家綜合實(shí)力的重要戰(zhàn)略任務(wù),成為整個(gè)國(guó)家發(fā)展戰(zhàn)略的有機(jī)組成部分。為加快推進(jìn)新華社國(guó)際傳播能力建設(shè),我社啟動(dòng)了全球一體化多媒體采編和數(shù)字加工平臺(tái)項(xiàng)目(以下簡(jiǎn)稱(chēng)“一體化項(xiàng)目”),為新聞信息多媒體業(yè)態(tài)建設(shè)提供現(xiàn)代化的、高度可靠的基礎(chǔ)工作平臺(tái)。在此項(xiàng)目背景下,我們通過(guò)引入虛擬化技術(shù),構(gòu)建服務(wù)器虛擬化和桌面虛擬化基礎(chǔ)架構(gòu),以高可靠、易維護(hù)、資源的充分利用和系統(tǒng)的快速靈活部署為目標(biāo),積極嘗試為新華社全球一體化項(xiàng)目提供虛擬運(yùn)行環(huán)境。
新華社全球一體化采編加工平臺(tái)建設(shè)覆蓋的應(yīng)用系統(tǒng)較多,涉及國(guó)內(nèi)外各分社的多媒體采編發(fā)業(yè)務(wù),隨著新華社業(yè)務(wù)的發(fā)展,新的業(yè)務(wù)上線,將部署更多的服務(wù)器,管理維護(hù)這些服務(wù)器的成本也將顯著增加。單機(jī)系統(tǒng)存在單點(diǎn)故障,可用性級(jí)別低,且后期業(yè)務(wù)遷移比較困難,而現(xiàn)有系統(tǒng)HA架構(gòu)結(jié)構(gòu)復(fù)雜,維護(hù)管理成本也比較高。
服務(wù)器虛擬化技術(shù)能夠讓不同用戶(hù)和應(yīng)用安全地在一臺(tái)服務(wù)器上獨(dú)立運(yùn)行,互不影響,又能在資源需求動(dòng)態(tài)發(fā)生變化時(shí),調(diào)動(dòng)閑置資源為饑渴程序所用,從而顯著提升資源利用率。虛擬化還能幫助縮短部署新應(yīng)用的時(shí)間,在虛擬服務(wù)器上部署應(yīng)用,無(wú)需訂購(gòu)新的服務(wù)器,無(wú)需等候服務(wù)器到貨,上架,加電,理想情況下,時(shí)間將從數(shù)月降低到數(shù)個(gè)小時(shí)。服務(wù)器虛擬化技術(shù)對(duì)虛擬服務(wù)器的管理和遷移等維護(hù)操作簡(jiǎn)單,方式靈活,可靠性較高。
圖1 新華社服務(wù)器虛擬化平臺(tái)拓?fù)鋱D
搭建一體化項(xiàng)目服務(wù)器虛擬化基礎(chǔ)平臺(tái),構(gòu)建虛擬主機(jī)群,為新華社不同應(yīng)用提供虛擬運(yùn)行環(huán)境,為應(yīng)用開(kāi)發(fā)和部署提供測(cè)試環(huán)境,達(dá)到資源整合、成本控制、周期縮短、高靈活性和可靠性等目標(biāo)。
(1)服務(wù)器虛擬化基礎(chǔ)平臺(tái)搭建(如圖1)
一體化項(xiàng)目服務(wù)器虛擬化基礎(chǔ)平臺(tái)主要由以下部分構(gòu)成:
1、主機(jī)集群:由多臺(tái)配置相同的PC Server組成,為虛擬機(jī)提供基本運(yùn)行環(huán)境和管理接口。
2、光纖存儲(chǔ):FC 光纖存儲(chǔ)為所有主機(jī)共享,主要存儲(chǔ)虛擬機(jī)文件,虛擬機(jī)文件是虛擬機(jī)的存在實(shí)體,虛擬機(jī)文件存儲(chǔ)在共享存儲(chǔ)上是虛擬機(jī)在不同主機(jī)間遷移的前提條件。
3、光纖交換層:承載著主機(jī)和光纖存儲(chǔ)之間的高速數(shù)據(jù)交換。
4、備份存儲(chǔ):用來(lái)做數(shù)據(jù)備份和保存安裝介質(zhì)。
5、虛擬交換層:虛擬化平臺(tái)內(nèi)部數(shù)據(jù)交換層,主要包括兩類(lèi)數(shù)據(jù):虛擬機(jī)運(yùn)行時(shí)內(nèi)存數(shù)據(jù)和備份存儲(chǔ)數(shù)據(jù)。
6、對(duì)外數(shù)據(jù)交換層:實(shí)現(xiàn)虛擬化平臺(tái)和外部數(shù)據(jù)交換,主要包括兩類(lèi)數(shù)據(jù):管理數(shù)據(jù)和虛擬機(jī)業(yè)務(wù)數(shù)據(jù)。
虛擬化平臺(tái)內(nèi)部以及和外部環(huán)境之間需要頻繁交換數(shù)據(jù),主要數(shù)據(jù)流量大致分為以下幾類(lèi):虛擬機(jī)業(yè)務(wù)數(shù)據(jù)、虛擬機(jī)運(yùn)行數(shù)據(jù)、平臺(tái)管理數(shù)據(jù)以及存儲(chǔ)訪問(wèn)數(shù)據(jù)。這些數(shù)據(jù)流量需要通過(guò)良好的設(shè)計(jì)來(lái)進(jìn)行交換和分配,以確保在不堵塞網(wǎng)絡(luò)、不丟失數(shù)據(jù)的前提下,最大化網(wǎng)絡(luò)資源的利用率。因此,虛擬交換網(wǎng)絡(luò)的設(shè)計(jì)至關(guān)重要。
我們?yōu)槊颗_(tái)主機(jī)服務(wù)器配置兩塊HBA卡,通過(guò)光纖鏈路和兩臺(tái)光纖交換機(jī)連接形成冗余路徑,確保對(duì)存儲(chǔ)數(shù)據(jù)的高性能存取。每臺(tái)主機(jī)服務(wù)器配置8塊千兆以太網(wǎng)卡,分為4組,每組兩塊網(wǎng)卡進(jìn)行綁定。其中兩組負(fù)責(zé)虛擬網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)交換,即虛擬機(jī)運(yùn)行數(shù)據(jù)和備份存儲(chǔ)數(shù)據(jù);另外兩組負(fù)責(zé)虛擬網(wǎng)絡(luò)和外部數(shù)據(jù)交換,即虛擬機(jī)業(yè)務(wù)數(shù)據(jù)和管理數(shù)據(jù)。每組網(wǎng)卡都連接到兩臺(tái)以太網(wǎng)交換機(jī)形成冗余路徑。
(2)遷移策略
服務(wù)器虛擬化基礎(chǔ)平臺(tái)搭建完成后,如何創(chuàng)建和部署虛擬機(jī)呢?一種方式是新建一臺(tái)虛擬機(jī)、安裝操作系統(tǒng)、安裝部署應(yīng)用程序,然后將其轉(zhuǎn)換成虛擬機(jī)模板。每個(gè)模板可以通過(guò)改變配置衍生出多個(gè)子模板,依此類(lèi)推,形成模板樹(shù),而后批量創(chuàng)建真正用于生產(chǎn)系統(tǒng)的虛擬機(jī)服務(wù)器。
另一種有效方式是可以將一臺(tái)物理服務(wù)器通過(guò)P2V工具遷移到虛擬環(huán)境中運(yùn)行。這種方式能夠快速將物理服務(wù)器轉(zhuǎn)換成虛擬機(jī)運(yùn)行,具體的遷移策略和服務(wù)器上運(yùn)行的應(yīng)用程序密切相關(guān)。如果應(yīng)用系統(tǒng)數(shù)據(jù)交換頻繁,可以采用冷遷移方式,在關(guān)閉操作系統(tǒng)后進(jìn)行遷移,冷遷移的好處是在遷移過(guò)程中沒(méi)有數(shù)據(jù)修改發(fā)生,有效避免了壞數(shù)據(jù)塊的產(chǎn)生。相反,對(duì)于那些數(shù)據(jù)交換相對(duì)不太頻繁的應(yīng)用系統(tǒng),可以采用熱遷移,在遷移過(guò)程開(kāi)始前創(chuàng)建一個(gè)快照,然后把快照拷貝到新創(chuàng)建的虛擬機(jī)中。在創(chuàng)建快照的時(shí)間點(diǎn),那些打開(kāi)的文件中的數(shù)據(jù)一致性可能無(wú)法保障。
目前,新華社各編輯部仍基于傳統(tǒng)PC方式工作,前端技術(shù)維護(hù)人員需要在每臺(tái)用戶(hù)PC上安裝業(yè)務(wù)所需的軟件及客戶(hù)端程序,程序升級(jí)和硬件維護(hù)任務(wù)繁重。此外,因?yàn)橛布Y源比較緊張,每臺(tái)PC往往為多個(gè)用戶(hù)共用,用戶(hù)數(shù)據(jù)安全難以保障,用戶(hù)也無(wú)法擁有個(gè)人桌面環(huán)境,用戶(hù)在PC上的個(gè)人數(shù)據(jù)備份難以實(shí)現(xiàn)。通過(guò)引入桌面虛擬化技術(shù)能夠較好地解決以上問(wèn)題。
桌面虛擬化技術(shù)是一種將PC的硬件資源集抽離至后臺(tái)服務(wù)器的技術(shù)手段。服務(wù)器提供給用戶(hù)虛擬的桌面運(yùn)行環(huán)境,終端不提供操作系統(tǒng)、不保存數(shù)據(jù)、不安裝應(yīng)用程序。用戶(hù)登錄系統(tǒng)后,服務(wù)器端提供并由客戶(hù)端展現(xiàn)預(yù)定義的個(gè)性化桌面。在創(chuàng)建虛擬桌面的過(guò)程中,每一個(gè)用戶(hù)都單獨(dú)享有獨(dú)立的虛擬 PC,而這些虛擬 PC統(tǒng)一集中在數(shù)據(jù)中心,從而保障了數(shù)據(jù)的安全性。
搭建一體化項(xiàng)目桌面虛擬化基礎(chǔ)平臺(tái),為虛擬桌面提供集中運(yùn)行環(huán)境,在日常辦公和移動(dòng)報(bào)道中逐漸推廣虛擬桌面的使用,為用戶(hù)提供移動(dòng)辦公能力和數(shù)據(jù)保護(hù)。
(1)桌面虛擬化基礎(chǔ)平臺(tái)搭建(如圖2)
圖2 新華社桌面虛擬化平臺(tái)拓?fù)鋱D
新華社桌面虛擬化基礎(chǔ)平臺(tái)在存儲(chǔ)、主機(jī)集群和交換網(wǎng)絡(luò)等方面的架構(gòu)是類(lèi)似的,虛擬桌面本質(zhì)上就是運(yùn)行在主機(jī)服務(wù)器上的虛擬機(jī)。桌面虛擬化環(huán)境的部署和管理還需要以下服務(wù)器的支撐:
1、管理映射服務(wù)器是桌面虛擬化架構(gòu)中的重要組件,負(fù)責(zé)響應(yīng)來(lái)自部署在桌面虛擬機(jī)上的客戶(hù)端代理對(duì)虛擬桌面的連接請(qǐng)求,查找可用的桌面,建立客戶(hù)端和桌面之間的連接。我們也可以通過(guò)管理映射服務(wù)器來(lái)管理域用戶(hù)和虛擬桌面之間的映射關(guān)系,配置虛擬桌面訪問(wèn)策略等。
2、域管理服務(wù)器也是桌面虛擬化管理體系中的重要組件,為虛擬環(huán)境提供統(tǒng)一用戶(hù)管理和驗(yàn)證支持,確保每個(gè)客戶(hù)端到虛擬桌面的連接都處于雙向信任關(guān)系的域中。
桌面虛擬化實(shí)施過(guò)程需要考慮的一個(gè)重要方面是虛擬環(huán)境中的安全設(shè)置問(wèn)題。虛擬環(huán)境中的安全策略和以往我們實(shí)施的項(xiàng)目有所不同。在用戶(hù)端,我們通過(guò)為用戶(hù)分配不配置移動(dòng)部件的瘦客戶(hù)機(jī)和雙重認(rèn)證提高安全性;在網(wǎng)路配置方面,我們將客戶(hù)端代理和桌面之間的連接設(shè)置為安全加密鏈路;在虛擬環(huán)境中強(qiáng)制實(shí)施桌面安全區(qū)域,劃分不同安全等級(jí)的桌面域來(lái)控制不同等級(jí)用戶(hù)對(duì)桌面的訪問(wèn)。
(2)虛擬桌面生成和管理
桌面虛擬化技術(shù)可以為用戶(hù)帶來(lái)極大便利,用戶(hù)可以通過(guò)任何一臺(tái)PC或瘦客戶(hù)機(jī)訪問(wèn)自己的桌面環(huán)境。對(duì)于管理員而言,因?yàn)樗械奶摂M機(jī)和用戶(hù)數(shù)據(jù)都集中在服務(wù)器端,意味著用戶(hù)桌面可以批量生成和升級(jí),硬件資源可以隨時(shí)根據(jù)需求進(jìn)行調(diào)整,管理將更加集中和靈活。
虛擬桌面可以基于桌面模板進(jìn)行批量生產(chǎn),但需要為此申請(qǐng)和購(gòu)買(mǎi)不同的windows SID,否則克隆得到的虛擬桌面將無(wú)法正常使用。用戶(hù)數(shù)據(jù)的管理策略需要在實(shí)踐中不斷完善,尤其是數(shù)據(jù)需要通過(guò)移動(dòng)介質(zhì)拷入和拷出時(shí)。此外,既需要從整體架構(gòu)出發(fā)通盤(pán)考慮,也需要以每個(gè)虛擬桌面為切入點(diǎn)不斷完善虛擬環(huán)境的安全體系配置。
虛擬化技術(shù)在新華社采編生產(chǎn)系統(tǒng)中的應(yīng)用還處于起步嘗試階段,規(guī)模和范圍都還有限。但可以預(yù)見(jiàn)到,隨著此項(xiàng)技術(shù)的進(jìn)一步推廣,將會(huì)給我社技術(shù)系統(tǒng)規(guī)劃、建設(shè)和運(yùn)維模式帶來(lái)巨大的變化,技術(shù)人員也將面臨著更多的挑戰(zhàn)。例如,虛擬機(jī)的申請(qǐng)、分配和回收流程,虛擬機(jī)的生命周期管理、用戶(hù)數(shù)據(jù)管理規(guī)范等都是我們以前運(yùn)維工作中不曾遇到的情況;虛擬桌面的應(yīng)用也會(huì)帶來(lái)前端服務(wù)變得輕松,而后端保障壓力加大等新情況。這些都意味著我們必須改變既往的工作模式。對(duì)此,一方面,需要我們?cè)趯?shí)踐中不斷摸索,嘗試解決問(wèn)題和積累經(jīng)驗(yàn);另一方面,在新技術(shù)的推廣過(guò)程中,技術(shù)人員也需要掌握新技術(shù)環(huán)境下的管理技巧,不斷規(guī)范和優(yōu)化管理流程,提高技術(shù)和管理水平。我們希望虛擬化技術(shù)的應(yīng)用成果能夠?yàn)樾氯A社構(gòu)建其云計(jì)算環(huán)境提供可借鑒的實(shí)際經(jīng)驗(yàn)?!?/p>