王 騫，鄒 聯(lián)

（國電大渡河流域水電開發(fā)有限公司 成都610041）

1 引言

信息作為現(xiàn)代企業(yè)的寶貴資源，占據(jù)著越來越重要的地位，已經(jīng)成為現(xiàn)代企業(yè)科學(xué)管理的基礎(chǔ)、正確決策的前提、有效調(diào)控的手段。多年來，各企業(yè)一直按照傳統(tǒng)IT基礎(chǔ)架構(gòu)發(fā)展自己的信息系統(tǒng)，其硬件平臺已經(jīng)具備一定的規(guī)模和現(xiàn)代化水平，并支撐起企業(yè)各業(yè)務(wù)信息系統(tǒng)，如OA、財務(wù)、人力資源、網(wǎng)站等多項業(yè)務(wù)。而傳統(tǒng)IT基礎(chǔ)架構(gòu)意味著一個應(yīng)用即占用一臺或多臺服務(wù)器（一對一或一對多），隨著應(yīng)用的增長，機房內(nèi)的服務(wù)器數(shù)量也將越來越多。機房空間壓力、能耗、成本和管理復(fù)雜度急劇增加。

近年來，隨著云計算、虛擬化等技術(shù)的發(fā)展，服務(wù)器整合技術(shù)已經(jīng)相當(dāng)成熟。虛擬化技術(shù)主要是將多臺服務(wù)器整合為一個計算資源池（IT云），并將其中的資源靈活“組合”為多臺“虛擬”的服務(wù)器。原有應(yīng)用可以平滑遷移到虛擬服務(wù)器上運行。多個應(yīng)用可以在一臺或多臺實際服務(wù)器上運行（多對一或多對多），因此能以低成本實現(xiàn)強大的計算能力、靈活的部署方式以及高可靠性。

表1為傳統(tǒng)方式與虛擬化方式對比。

2 企業(yè)信息系統(tǒng)云計算實施基本步驟

企業(yè)信息系統(tǒng)實施云計算改造并非從零開始建設(shè)，必須充分考慮到原有信息系統(tǒng)如何在云環(huán)境中正常運行，同時要將云遷移過程對業(yè)務(wù)連續(xù)性的影響降到最低。因此，企業(yè)信息系統(tǒng)云計算實施與直接搭建云計算環(huán)境不同，應(yīng)遵循自身特點，按照“統(tǒng)一規(guī)劃、分步實施、系統(tǒng)推進”的原則進行建設(shè)。

2.1 評估云計算實施的必要性、可能性

云計算平臺的優(yōu)勢非常明顯，但在實施之前，必須充分評估本企業(yè)實施云計算平臺的必要性和可行性。

云計算具有高度兼容性和整合能力，適合將企業(yè)原有計算平臺和信息系統(tǒng)進行統(tǒng)一整合。但是，云平臺固有特性決定其暫時不能勝任以下特殊應(yīng)用。

·采用非PC架構(gòu)平臺搭建的應(yīng)用系統(tǒng)。例如運用小型機擔(dān)任計算平臺的應(yīng)用系統(tǒng)，或者主要由蘋果MAC平臺構(gòu)成系統(tǒng)?，F(xiàn)有的企業(yè)虛擬平臺只支持在PC服務(wù)器上部署，也只能虛擬出PC服務(wù)器硬件。

·復(fù)雜圖形處理及3D處理應(yīng)用。虛擬軟件暫時無法支持高性能圖形卡，無法實現(xiàn)硬件加速功能。

·需要單機多屏顯示或者多機獨立顯示的應(yīng)用系統(tǒng)。

·外接端口使用較多的應(yīng)用。例如大量使用RS232串口、USB端口的應(yīng)用，此類應(yīng)用因外接端口與物理主機對應(yīng)，無法實現(xiàn)虛擬機自由遷移，失去了虛擬化的重大優(yōu)勢，如果利用串口服務(wù)器、USB服務(wù)器等第三方硬件實現(xiàn)資源共用，又可能因單點故障影響可靠性。

·I/O密集型應(yīng)用。云平臺實施后，每臺物理服務(wù)器上同時有若干臺虛擬服務(wù)器在運行，其CPU、內(nèi)存等資源均能得到合理劃分。但是，外部存儲I/O一般都是通過SAN光纖存儲實現(xiàn)，多臺虛擬機會對主機的I/O通道進行搶占，在I/O壓力較大的應(yīng)用中可能難以滿足要求。

·因安全問題要求物理隔離部署的應(yīng)用。例如在電力二次安全防護中，生產(chǎn)控制大區(qū)的應(yīng)用系統(tǒng)和管理信息大區(qū)的應(yīng)用系統(tǒng)無法實現(xiàn)整合。

2.2 信息化基礎(chǔ)資源調(diào)查

企業(yè)信息化基礎(chǔ)資源調(diào)查是建設(shè)企業(yè)云計算平臺的重要步驟。主要工作是調(diào)查統(tǒng)計現(xiàn)有信息化基礎(chǔ)資源情況，包括PC服務(wù)器、數(shù)據(jù)存儲設(shè)備、網(wǎng)絡(luò)情況等，建議以表格形式整理匯總，具體見表2。

本步驟有兩個目的：一是確定企業(yè)云平臺建設(shè)規(guī)模，根據(jù)現(xiàn)有服務(wù)器的實際數(shù)量和配置要求決定遷移至虛擬平臺后的虛擬機數(shù)量和資源需求，從而推斷出所需物理服務(wù)器的實際數(shù)量；二是可篩選出現(xiàn)有服務(wù)器中配置較高者，經(jīng)升級后作為云平臺的資源池，盡量節(jié)省成本。根據(jù)經(jīng)驗，在典型的企業(yè)應(yīng)用環(huán)境中，一臺主流的PC服務(wù)器可承載6～8臺中等負(fù)荷的虛擬服務(wù)器穩(wěn)定運行（內(nèi)存需根據(jù)虛擬服務(wù)器要求進行擴充）。

表1 傳統(tǒng)方式與虛擬化方式對比

2.3 選擇云平臺硬件、軟件方案

完整的企業(yè)云平臺基礎(chǔ)設(shè)施由物理服務(wù)器、存儲系統(tǒng)、網(wǎng)絡(luò)以及平臺軟件組成。這里采用的是市場占有率較高的VMware軟件。

在本步驟中，物理服務(wù)器要求如下。

·單個CPU內(nèi)核數(shù)盡量高，因VMware通過物理CPU個數(shù)授權(quán)，因此同等價格下，單個CPU內(nèi)核數(shù)越多，性能和處理器負(fù)荷冗余度越好。

·內(nèi)存足夠大，單臺物理服務(wù)器要支持多個虛擬服務(wù)器同時運行，足夠的內(nèi)存必不可少，以筆者的實施經(jīng)驗，單臺物理服務(wù)器內(nèi)存應(yīng)大于64 GB。

·應(yīng)配置2塊以上8 GB HBA卡接入冗余多路徑SAN或者采用冗余10 GB iSCSI存儲網(wǎng)絡(luò)，以保證數(shù)據(jù)存儲可靠性等性能。

·對磁盤I/O要求不高、網(wǎng)絡(luò)結(jié)構(gòu)較為簡單的，可以選用刀片式服務(wù)器，以節(jié)省安裝空間和能耗。

·可盡量利用原有配置較高的服務(wù)器升級而成。

存儲系統(tǒng)一般采用SAN結(jié)構(gòu)，也可以使用iSCSI。結(jié)構(gòu)簡單、主機數(shù)量少時，也可以用SAS、SCSI電纜等直接組網(wǎng)，只要滿足“存儲設(shè)備發(fā)布的LUN能同時被所有主機訪問”即可。存儲設(shè)備容量根據(jù)現(xiàn)有服務(wù)器的總?cè)萘窟x取，必須支持RAID5或RAID6，并根據(jù)需要增加熱備份盤，介質(zhì)應(yīng)盡量采用高速FC或SAS硬盤（15 000 r/min），為節(jié)省成本，也可使用其他類型硬盤。

網(wǎng)絡(luò)系統(tǒng)與傳統(tǒng)架構(gòu)相同，建議每臺物理服務(wù)器有兩塊及以上的網(wǎng)卡連接到企業(yè)內(nèi)部網(wǎng)交換機。

2.4 搭建云計算平臺

本步驟開始為正式實施安裝階段，主要工作由集成商完成，步驟及注意事項如下。

（1）規(guī)劃各硬件設(shè)備安裝位置，網(wǎng)絡(luò)、光存儲連接方案。

（2）安裝存儲設(shè)備，上電后進行基本陣列配置，建立RAID，設(shè)定熱備份盤，劃分LUN（邏輯單元號）并予以全局發(fā)布。因虛擬機遷移需要，此處應(yīng)至少劃分2個LUN。

（3）安裝新增的物理服務(wù)器，連接HBA卡和光纖交換機，連接網(wǎng)絡(luò)。

（4）在新增的物理服務(wù)器上安裝虛擬平臺軟件，如VMware的ESXi及vCenter，云平臺基本成型。

（5）將擬升級加入云平臺資源池的服務(wù)器上的現(xiàn)有應(yīng)用遷移到云平臺中。

（6）對這些服務(wù)器進行升級（主要是內(nèi)存及HBA卡），安裝虛擬平臺軟件，加入云平臺資源池。

（7）將其他應(yīng)用逐一遷移至云平臺。

（8）配置云環(huán)境下的高可用，例如HA或FT。

3 原有信息系統(tǒng)向云平臺遷移經(jīng)驗

系統(tǒng)遷移是將運行在物理服務(wù)器上的應(yīng)用程序及操作系統(tǒng)平滑轉(zhuǎn)移到虛擬機中運行，每臺服務(wù)器數(shù)據(jù)量往往都在數(shù)十吉比特以上，較為耗時。為保證遷移過程中應(yīng)用系統(tǒng)正常運行，需要利用專用工具軟件進行在線遷移，因為操作系統(tǒng)和軟件環(huán)境的影響，在線遷移有時會失敗。

3.1 遷移工具的使用

各虛擬技術(shù)提供商均會免費提供適合自身平臺使用的在線遷移工具，如VMware的Convert Standalone。軟件具體使用方法不再贅述，僅提出如下使用過程中的要點。

·Convert可以安裝在被轉(zhuǎn)換的Windows服務(wù)器上，也可以安裝在網(wǎng)絡(luò)中其他Windows服務(wù)器上，前者轉(zhuǎn)換速度稍快，后者可同時轉(zhuǎn)換多臺服務(wù)器，可根據(jù)實際需要進行選擇。

·遷移時盡量選取服務(wù)器訪問量較小的時間段進行，避免二次同步中出現(xiàn)錯誤。

·遷移操作前應(yīng)保證被遷移服務(wù)器和vCenter服務(wù)器網(wǎng)絡(luò)連接可靠，并關(guān)閉被遷移服務(wù)器上的網(wǎng)絡(luò)防火墻和病毒防火墻。

·被遷移服務(wù)器上的server、workstation服務(wù)應(yīng)保持開啟，系統(tǒng)策略中應(yīng)允許具有管理員權(quán)限的賬號在網(wǎng)絡(luò)登錄。

·遷移選項中，轉(zhuǎn)換后的系統(tǒng)服務(wù)應(yīng)將物理機硬件相關(guān)服務(wù)全部禁用，例如HP Smart Array、HP System Management Homepage、HP Remote Monitor等。

·如果想在Windows主機轉(zhuǎn)換后對系統(tǒng)進行自動配置，如刷新SID等操作，需提前按遷移工具的提示，自行在網(wǎng)絡(luò)上下載對應(yīng)版本的sysprep包，復(fù)制到指定的目錄方可進行操作。

·如果轉(zhuǎn)換過程中報錯失敗，可根據(jù)錯誤提示對被遷移的系統(tǒng)進行調(diào)整后重新轉(zhuǎn)換。如果始終無法轉(zhuǎn)換，則只能將被遷移主機停機，用另一工具VMware ConvertCD光盤啟動系統(tǒng)，進行離線冷克隆。冷克隆兼容性最好，但速度較慢，且被遷移主機在遷移期間無法提供服務(wù)。

·轉(zhuǎn)換后應(yīng)檢查虛擬機的數(shù)據(jù)完整性，為網(wǎng)卡配置IP地址，檢測相關(guān)服務(wù)是否正常。

3.2 虛擬機管理命名

為便于管理，各類云平臺支撐軟件都會給用戶提供方便、直觀的管理控制臺，為適應(yīng)云環(huán)境下的主機管理，建議在給虛擬機命名時包含主機名、系統(tǒng)名及IP地址等基本信息，盡量使用英文、數(shù)字及英文標(biāo)點，不要使用中文。

3.3 遷移錯誤排查

以本單位實施過程為例，遷移過程中可能出現(xiàn)的一些常見錯誤及解決方案如下。

（1）在對Windows主機進行遷移時提示VSS快照創(chuàng)建失敗

VSS（volume shadow copy，卷影復(fù)制）是Windows提供的系統(tǒng)服務(wù)，用于創(chuàng)建基礎(chǔ)存儲設(shè)備的高保真時間點映像，如果該服務(wù)運行異常，遷移程序?qū)o法正常運行。

解決方法：檢查系統(tǒng)服務(wù)中VSS運行是否正常，可重啟服務(wù)后再次嘗試。另外，如果源主機掛載有USB或ESATA存儲設(shè)備，建議在遷移時將其排除。

（2）轉(zhuǎn)換后的虛擬機無法設(shè)置原IP地址，提示該IP地址已經(jīng)分配給其他適配器

遷移前后，操作系統(tǒng)識別到網(wǎng)卡發(fā)生變化，但原IP地址仍關(guān)聯(lián)到已經(jīng)不存在的網(wǎng)卡上，導(dǎo)致無法分配給新網(wǎng)卡使用。

解決辦法：運行“注冊表編輯器（regedit.exe）”，搜索原IP地址，將值改為空，再重新在網(wǎng)絡(luò)屬性中為新網(wǎng)卡配置IP地址。

（3）不明原因的反復(fù)遷移失敗

部分服務(wù)器可能因特殊的軟件兼容性問題導(dǎo)致不可預(yù)料的遷移過程反復(fù)失敗。對此，建議將遷移程序安裝在被轉(zhuǎn)換的服務(wù)器進行嘗試。如果仍不能成功轉(zhuǎn)換，則采用光盤啟動進行冷克隆。

3.4 遷移完成后的優(yōu)化

系統(tǒng)遷移完成后，應(yīng)及時對應(yīng)用系統(tǒng)進行全面測試和檢查，包括云平臺的運行情況、主要資源占用；各虛擬機的資源分配是否充足；檢查虛擬網(wǎng)絡(luò)是否通暢；驗證虛擬機遷移能否正常動作；對關(guān)鍵服務(wù)器進行性能分析，如果有硬件瓶頸應(yīng)采用升級或資源調(diào)配的方式予以解決，確保正式投運后平臺長期穩(wěn)定運行。

4 云環(huán)境中的系統(tǒng)安全

企業(yè)信息系統(tǒng)遷移到云平臺后，傳統(tǒng)IT架構(gòu)下的信息安全策略及方法大部分仍然適用。同時，鑒于云平臺自身的特點，也具有一些新的安全風(fēng)險和相應(yīng)的防范技術(shù)。

4.1 合理分配管理權(quán)限

云平臺將原有分立的各服務(wù)器集成到統(tǒng)一的資源平臺中，操作員可以遠(yuǎn)程在集成的管理環(huán)境中進行硬件層面的操作，而默認(rèn)平臺管理員對所有資源和虛擬服務(wù)器擁有完整的操作權(quán)，在多管理員的環(huán)境下，可能帶來越權(quán)使用的風(fēng)險。因此必須根據(jù)企業(yè)的實際情況，對不同級別的操作人員分配相應(yīng)的管理權(quán)限，并按照AAA（認(rèn)證、授權(quán)、審計）規(guī)則嚴(yán)格進行訪問控制。

4.2 云環(huán)境數(shù)據(jù)安全

云平臺中的所有數(shù)據(jù)全部存儲在集中存儲設(shè)備（磁盤陣列）中，一旦存儲出現(xiàn)故障，可能導(dǎo)致系統(tǒng)大規(guī)模停運和嚴(yán)重的數(shù)據(jù)損失。在企業(yè)環(huán)境中必須絕對避免這種情況。

硬件層面：集中存儲設(shè)備必須擁有高可靠性，必須采用合理的RAID級別（RAID 5或RAID 6），指定足夠數(shù)量的熱備份盤，有條件者建議采用雙機鏡像克隆。在日常巡檢中，應(yīng)特別注意存儲設(shè)備的運行情況，及時處理出現(xiàn)的問題。

數(shù)據(jù)層面：合理制定備份策略，對重要數(shù)據(jù)定期進行備份。主要方法有虛擬機克隆、平臺級備份工具Veeam Backup Server、傳統(tǒng)的主機級備份工具等；病毒防范可沿用原有防毒體系，也可采用云平臺認(rèn)證的嵌入式防毒體系，可根據(jù)企業(yè)自身實際情況選擇。

企業(yè)云計算從本質(zhì)上隔離了應(yīng)用。對于運維的單一個體來說安全性必然會提高，防止安全問題的引入以及隱患擴散。同時對于整個平臺來說，整體管理控制、局部獨立管理模式也提高了平臺的安全性，通過補丁管理，以push方式可以短時間內(nèi)彌補所轄虛擬機的安全漏洞，同時也使得平臺本身安全性提高。針對具體應(yīng)用系統(tǒng)的安全，可以利用同步鏡像、負(fù)載均衡技術(shù)提供進一步的保護。

5 結(jié)束語

該信息系統(tǒng)云平臺使用效果較好，既大幅度降低了數(shù)據(jù)中心運維成本和總體擁有成本，又保障了數(shù)據(jù)安全和系統(tǒng)、應(yīng)用的穩(wěn)定。經(jīng)過一年多的正常運行，云計算平臺與以往傳統(tǒng)方式相比，資源利用、節(jié)能降耗成效顯著。據(jù)初步測算，云計算平臺實施后，現(xiàn)有規(guī)模下可減少服務(wù)器25臺，節(jié)約投資成本125萬～200萬元；節(jié)約機房空間、制冷量約60%；每年節(jié)約電能2.6×106kW·h；后續(xù)管理運維成本顯著降低。隨著信息化建設(shè)的推進，企業(yè)云平臺也將進一步完善，最終建成一套數(shù)據(jù)高可靠、業(yè)務(wù)高可用、設(shè)備高效用的基礎(chǔ)平臺，更好地為企業(yè)信息化應(yīng)用提供保障。