聶明輝 紀(jì)佩宇

虛擬化技術(shù)在公安網(wǎng)中的應(yīng)用

聶明輝 紀(jì)佩宇

本文在簡(jiǎn)要介紹虛擬化技術(shù)及其主要應(yīng)用類(lèi)別的基礎(chǔ)上，結(jié)合江蘇警官學(xué)院公安網(wǎng)建設(shè)的實(shí)例探討了該技術(shù)在現(xiàn)實(shí)中的運(yùn)用情況。本文認(rèn)為虛擬化技術(shù)在使用過(guò)程中既有明顯的優(yōu)點(diǎn)，也存在一些致命的缺陷。為此，需要相關(guān)不斷加強(qiáng)對(duì)新技術(shù)的學(xué)習(xí)和運(yùn)用，提高管理水平。

虛擬化技術(shù) 公安網(wǎng) 應(yīng)用

一、引言

當(dāng)前，信息化在公安工作中發(fā)揮的作用越來(lái)越大。經(jīng)過(guò)多年的積累和建設(shè)，我國(guó)的公安信息化已有了相當(dāng)?shù)囊?guī)模，尤其是在公安內(nèi)網(wǎng)的建設(shè)方面，從上世紀(jì)九十年代到今天，歷經(jīng)金盾一期、二期建設(shè)，基礎(chǔ)的網(wǎng)絡(luò)幾乎已經(jīng)遍布全國(guó)。然而，隨著全球信息化技術(shù)的持續(xù)更新和提高，公安網(wǎng)在管理、維護(hù)方面的遲滯落后日益明顯，很多新的技術(shù)和管理軟件沒(méi)能及時(shí)跟進(jìn)使用。比如IPV6技術(shù)、數(shù)據(jù)倉(cāng)庫(kù)技術(shù)，再比如云計(jì)算和虛擬化技術(shù)等等。本文在此重點(diǎn)介紹和探討虛擬化技術(shù)的相關(guān)應(yīng)用，并結(jié)合江蘇警官學(xué)院的公安網(wǎng)建設(shè)情況，進(jìn)行分析并提出一些思考。

二、虛擬化技術(shù)介紹

所謂虛擬化就是把物理資源轉(zhuǎn)變?yōu)檫壿嬌峡梢怨芾淼馁Y源，以打破物理結(jié)構(gòu)之間的壁壘。在計(jì)算機(jī)術(shù)語(yǔ)中，虛擬化就是特指計(jì)算機(jī)元件在虛擬的基礎(chǔ)上而不是真實(shí)的基礎(chǔ)上運(yùn)行。虛擬化技術(shù)可以擴(kuò)大硬件的容量，簡(jiǎn)化軟件的重新配置過(guò)程。關(guān)于虛擬化技術(shù)，業(yè)界并沒(méi)有一個(gè)統(tǒng)一而明確的定義。事實(shí)上，虛擬化技術(shù)有著很寬泛的內(nèi)涵，如虛擬內(nèi)存、虛擬文件、虛擬存儲(chǔ)以及網(wǎng)絡(luò)虛擬化、微處理器虛擬化等等。目前，虛擬化技術(shù)以及云計(jì)算已經(jīng)成為計(jì)算機(jī)研究領(lǐng)域的重要趨勢(shì)。從主機(jī)到主流，服務(wù)器的虛擬化已經(jīng)是大勢(shì)所趨?，F(xiàn)實(shí)的服務(wù)器管理中，在基于實(shí)際軟硬件環(huán)境分析的前提下，合理的利用虛擬化技術(shù)能夠于保證服務(wù)器性能的同時(shí)大大減少硬件投資和管理成本，提高工作效率。①聶明輝：《Web服務(wù)器的虛擬化管理》，《中國(guó)教育信息化》2012年第4期。大體上，虛擬化技術(shù)按照其應(yīng)用對(duì)象的不同可以分為以下幾種①周炬等：《虛擬化技術(shù)在金融業(yè)的應(yīng)用以及安全分析》，《中國(guó)金融電腦》2013年第3期。：

（一）桌面的虛擬化

桌面虛擬化是相對(duì)服務(wù)器虛擬化提出的。桌面虛擬化是指采用虛擬軟件虛擬出多個(gè)不同界面為不同用戶提供服務(wù)。具體來(lái)說(shuō)就是將桌面及環(huán)境與用戶使用的物理計(jì)算機(jī)分離，在服務(wù)器上通過(guò)虛擬化技術(shù)向用戶提供桌面，同時(shí)桌面環(huán)境被保存在服務(wù)器上。多個(gè)用戶可以從不同的地理位置通過(guò)網(wǎng)絡(luò)，使用各種設(shè)備比如傳統(tǒng)的個(gè)人電腦、瘦客戶端連接服務(wù)器訪問(wèn)屬于自己桌面。桌面虛擬化的代表技術(shù)有Microsoft推出的MED-V（Microsoft Enterprise Desktop Virtualization），VMware的VMware VDI （Virtual Desktop Infrastructure），Citrix與HP合作推出的XenDesktop等。

（二）服務(wù)器的虛擬化

服務(wù)器虛擬化是指在傳統(tǒng)單一物理服務(wù)器上通過(guò)虛擬化技術(shù)手段，實(shí)現(xiàn)多臺(tái)基于軟件控制的，能夠互聯(lián)共存的虛擬計(jì)算機(jī)。每個(gè)虛擬機(jī)都有屬于本身的虛擬CPU、內(nèi)存、硬盤(pán)等一套硬件資源，每臺(tái)虛擬機(jī)安裝不同的操作系統(tǒng)和應(yīng)用軟件作為業(yè)務(wù)系統(tǒng)服務(wù)器同時(shí)運(yùn)行供用戶使用。服務(wù)器物理硬件資源由虛擬機(jī)監(jiān)控器（VMM）管理，同時(shí)VMM將這些資源劃分為虛擬資源供虛擬機(jī)使用。根據(jù)虛擬化層實(shí)現(xiàn)方式的不同，服務(wù)器虛擬化主要分為兩種類(lèi)型，即裸機(jī)虛擬化和寄居虛擬化。IBM VM/370、Disco、VMware ESX Server、Xen和Microsoftyper-V、VMware workstation、Sun VirtualBox分別作為兩種類(lèi)型的主流技術(shù)。裸機(jī)虛擬化是在物理計(jì)算機(jī)直接使用虛擬化軟件實(shí)現(xiàn)虛擬機(jī)，這種方式產(chǎn)生的虛擬機(jī)稱為I型虛擬機(jī)，VMM 直接管理和使用硬件資源，而寄居虛擬化是在物理計(jì)算機(jī)上先安裝操作系統(tǒng)作為宿主操作系統(tǒng)，再通過(guò)在宿主操作系統(tǒng)上安裝虛擬化軟件。

（三）存儲(chǔ)的虛擬化

存儲(chǔ)虛擬化就是將多種、多個(gè)存儲(chǔ)設(shè)備統(tǒng)一管理起來(lái)形成單一的虛擬存儲(chǔ)設(shè)備——存儲(chǔ)池(Storage Pool)，從而為用戶提供大容量、高數(shù)據(jù)傳輸性能的存儲(chǔ)系統(tǒng)。因向用戶屏蔽了存儲(chǔ)設(shè)備硬件的特殊性，存儲(chǔ)虛擬化使是對(duì)存儲(chǔ)設(shè)備的管理更加簡(jiǎn)化，使用更加靈活。存儲(chǔ)虛擬化應(yīng)用主要有兩類(lèi)：塊虛擬化和文件虛擬化。塊虛擬化是指對(duì)多塊硬盤(pán)使用RAID、SAN等技術(shù)建立邏輯卷的存儲(chǔ)虛擬方式。對(duì)于使用者，塊虛擬化是虛擬出一個(gè)個(gè)硬盤(pán)供訪問(wèn)，一個(gè)邏輯卷完全等同于一塊物理硬盤(pán)，可以在邏輯卷上硬盤(pán)建立文件系統(tǒng)，存放數(shù)據(jù)。文件虛擬化是指使用NAS等技術(shù)物理存儲(chǔ)設(shè)備虛擬成統(tǒng)一的專有的目錄文件結(jié)構(gòu)，如分布式文件系統(tǒng)（DFS）、Google文件系統(tǒng)（GFS）和VMware虛擬文件系統(tǒng)（VMFS）。對(duì)于使用者，文件虛擬化是虛擬出一個(gè)很大的已經(jīng)格式化的硬盤(pán)供訪問(wèn)。

（四）網(wǎng)絡(luò)的虛擬化

網(wǎng)絡(luò)虛擬化是通過(guò)軟硬件的結(jié)合將一個(gè)或多個(gè)物理網(wǎng)絡(luò)劃分和整合成多個(gè)或一個(gè)邏輯網(wǎng)絡(luò)。網(wǎng)絡(luò)虛擬化早已存在并被廣泛應(yīng)用，目前常見(jiàn)的兩種網(wǎng)絡(luò)虛擬化技術(shù)，一是使用VLAN（虛擬局域網(wǎng)）技術(shù)將物理網(wǎng)絡(luò)劃分成不同的虛擬子網(wǎng)，二是通過(guò)VPN（虛擬專用網(wǎng)）把一些相對(duì)小型的物理網(wǎng)絡(luò)組合成一個(gè)大的虛擬網(wǎng)絡(luò)。這兩種網(wǎng)絡(luò)虛擬化技術(shù)都是為了提高網(wǎng)絡(luò)安全性發(fā)展起來(lái)的。

三、虛擬化技術(shù)在公安網(wǎng)中的應(yīng)用

江蘇警官學(xué)院接入公安網(wǎng)絡(luò)后陸續(xù)架構(gòu)了WEB服務(wù)器、圖書(shū)資源服務(wù)器、公安精品課程服務(wù)器以及網(wǎng)絡(luò)教學(xué)服務(wù)器等多臺(tái)應(yīng)用服務(wù)器。而隨著公安信息化的大發(fā)展以及大平臺(tái)的推廣應(yīng)用，服務(wù)器越來(lái)越多，品牌越來(lái)越雜，維護(hù)和管理也越來(lái)越難。由此，學(xué)院考慮采用虛擬化技術(shù)在公安網(wǎng)絡(luò)上部署服務(wù)器。

（一）總體架構(gòu)和部署

公安網(wǎng)配置12臺(tái)IBM刀片服務(wù)器組以及10T的IBM存儲(chǔ)組，整體結(jié)構(gòu)及網(wǎng)絡(luò)拓?fù)洌ㄒ?jiàn)圖1）：刀片機(jī)箱自帶三臺(tái)交換機(jī)，其中兩臺(tái)為普通交換機(jī)一端與網(wǎng)絡(luò)中心交換機(jī)相連，一端刀片機(jī)箱的高速總線相連，互作鏈路的冗余備份。另有一臺(tái)交換機(jī)為光纖通道交換機(jī)，與存儲(chǔ)設(shè)備組相連，專走存儲(chǔ)數(shù)據(jù)。

圖1 總體架構(gòu)和部署

（二）虛擬化服務(wù)器的構(gòu)建和管理

公安網(wǎng)上采用的虛擬化軟件是經(jīng)過(guò)授權(quán)的Vmware5.1。Vmware通過(guò)ESXI軟件安裝和連通主機(jī)，再通過(guò)vCenter Server軟件部署虛擬機(jī)構(gòu)建環(huán)境，管理員由vsphere client虛擬客戶端進(jìn)入系統(tǒng)進(jìn)行虛擬機(jī)創(chuàng)建和管理。虛擬機(jī)操作系統(tǒng)由管理員自由選擇，安裝時(shí)能夠通過(guò)本地客戶機(jī)的光驅(qū)進(jìn)行安裝（見(jiàn)圖2）。

圖2 虛擬服務(wù)器的構(gòu)建示意圖

ESXI軟件將每一臺(tái)刀片虛擬化成ESXI主機(jī)，由vsphere client虛擬客戶端進(jìn)入后在ESXI主機(jī)上進(jìn)一步創(chuàng)建任意臺(tái)虛擬服務(wù)器，同時(shí)創(chuàng)建出用于服務(wù)器間相互連接的虛擬交換機(jī)以及對(duì)應(yīng)的虛擬網(wǎng)卡。圖3所示是通過(guò)vsphere clien客戶端進(jìn)去后對(duì)虛擬機(jī)進(jìn)行實(shí)際創(chuàng)建和管理的操作界面圖。

圖3 虛擬服務(wù)器的管理界面圖

（三）存儲(chǔ)設(shè)備的虛擬化構(gòu)建和管理

存儲(chǔ)設(shè)備也是統(tǒng)一采用Vmware軟件管理。存儲(chǔ)大體上包括三類(lèi)：一是刀片自帶的本地硬盤(pán)；二是iscsi硬盤(pán)；三是基于光纖通道的SAN存儲(chǔ)。存儲(chǔ)設(shè)備的虛擬化構(gòu)建見(jiàn)圖4：

圖4 存儲(chǔ)設(shè)備的虛擬化構(gòu)建示意圖

物理存儲(chǔ)盤(pán)經(jīng)過(guò)虛擬化后形成多個(gè)存儲(chǔ)池，再根據(jù)需要由不同的虛擬服務(wù)器進(jìn)行調(diào)用（見(jiàn)圖5）。

圖5 存儲(chǔ)設(shè)備虛擬化管理界面圖

（四）應(yīng)用效果分析

江蘇警官學(xué)院公安網(wǎng)部署的Vmware虛擬化軟件以服務(wù)器和存儲(chǔ)的虛擬化為主，同時(shí)綜合了網(wǎng)絡(luò)的虛擬化以及桌面的虛擬化。公安網(wǎng)上虛擬化技術(shù)的應(yīng)用使得空閑的服務(wù)器、存儲(chǔ)盤(pán)等硬件資源得以充分利用，同時(shí)節(jié)約了硬件的維護(hù)、管理成本。此外，虛擬化技術(shù)中的主機(jī)快速克隆技術(shù)，為新服務(wù)器的構(gòu)建節(jié)省了大量的時(shí)間；而自動(dòng)故障遷移技術(shù)則從軟件層面智能化的保障了服務(wù)器的安全。

不過(guò)，集中化、智能化的管理也具有非常致命的缺陷：一是對(duì)電源的要求，必須常年提供不間斷電源保障，一旦斷電，所有的業(yè)務(wù)系統(tǒng)都將無(wú)法工作，而且在服務(wù)器和存儲(chǔ)重新虛擬化連接的過(guò)程中也可能會(huì)出現(xiàn)很多無(wú)法預(yù)料的問(wèn)題；二是對(duì)賬號(hào)的管理要求，vsphere clien客戶端登錄后，對(duì)公安網(wǎng)上所有應(yīng)用服務(wù)器都能隨意刪除修改，所以必須保證管理賬號(hào)的絕對(duì)安全。

（責(zé)任編輯：王 焱）

D631

：B

：1672-1020(2013)06-0105-04

2013-10-18

聶明輝（1978-），男，江蘇鎮(zhèn)江人，漢族，江蘇警官學(xué)院現(xiàn)代教育技術(shù)中心工程師，南京，210031；紀(jì)佩宇（1978-），男，江蘇南通人，江蘇警官學(xué)院科技系工程師，南京，210031。