?

IaaS云平臺(tái)資源池網(wǎng)絡(luò)管理子系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)*

任易1,2，李煒1,2

(1 北京郵電大學(xué)網(wǎng)絡(luò)與交換技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室，北京 100876; 2 東信北郵信息技術(shù)有限公司，北京 100191）

摘 要隨著科技的進(jìn)步和產(chǎn)業(yè)自動(dòng)化水平的提高，計(jì)算能力作為一種資源越來(lái)越受到社會(huì)的重視和認(rèn)可。云計(jì)算作為一項(xiàng)蓬勃發(fā)展的技術(shù)，在很大程度上解決了人們?nèi)找嬖鲩L(zhǎng)的對(duì)計(jì)算能力的需求。如今越來(lái)越多的企事業(yè)單位開(kāi)始建立私有的IaaS云平臺(tái)以滿(mǎn)足其組織內(nèi)部的IT需求。面對(duì)復(fù)雜多樣的組網(wǎng)需求，如何建立一個(gè)安全而可靠網(wǎng)絡(luò)已成為一個(gè)重要課題。本文旨在設(shè)計(jì)與實(shí)現(xiàn)一種通用的IaaS云平臺(tái)資源池的網(wǎng)絡(luò)管理系統(tǒng)，以滿(mǎn)足私有云建設(shè)中對(duì)網(wǎng)絡(luò)資源的納管需求。

關(guān)鍵詞IaaS；私有云；資源池；網(wǎng)絡(luò)管理

隨著科技的進(jìn)步和產(chǎn)業(yè)自動(dòng)化水平的提高，計(jì)算能力逐漸成為一種具有競(jìng)爭(zhēng)力的資源，越來(lái)越得到社會(huì)的重視和認(rèn)可。然而，以往由單一分離的計(jì)算機(jī)組成的計(jì)算系統(tǒng)已經(jīng)難以滿(mǎn)足人們?nèi)找嬖鲩L(zhǎng)的對(duì)計(jì)算能力的需求。隨著網(wǎng)絡(luò)帶寬的不斷增長(zhǎng)，通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)遠(yuǎn)程計(jì)算服務(wù)（包括數(shù)據(jù)處理、存儲(chǔ)和信息服務(wù)等）的條件越來(lái)越成熟，于是就有了今天我們稱(chēng)作云計(jì)算的技術(shù)。

云計(jì)算根據(jù)其提供服務(wù)的不同層面可以分為IaaS，PaaS和SaaS。其中IaaS指的是用戶(hù)通過(guò)網(wǎng)絡(luò)可以從完善的計(jì)算機(jī)基礎(chǔ)設(shè)施獲得服務(wù)。IaaS將硬件設(shè)備等基礎(chǔ)設(shè)施封裝成服務(wù)供用戶(hù)使用，通過(guò)網(wǎng)絡(luò)向用戶(hù)提供計(jì)算機(jī)（物理機(jī)和虛擬機(jī)）、存儲(chǔ)空間、網(wǎng)絡(luò)連接、負(fù)載均衡和防火墻等基本計(jì)算資源。用戶(hù)在此基礎(chǔ)上部署和運(yùn)行各種軟件，包括操作系統(tǒng)和應(yīng)用程序。IaaS的最大優(yōu)勢(shì)在于它允許用戶(hù)動(dòng)態(tài)申請(qǐng)或釋放節(jié)點(diǎn)，按使用量計(jì)費(fèi)。運(yùn)行IaaS的服務(wù)器規(guī)模可達(dá)到幾萬(wàn)臺(tái)之多，用戶(hù)因而可以認(rèn)為能夠申請(qǐng)的資源幾乎是無(wú)限的。同時(shí)，IaaS是由公眾共享的，因而具有更高的資源使用效率。

本文旨在設(shè)計(jì)與實(shí)現(xiàn)一種通用的IaaS云平臺(tái)資源池系統(tǒng)的網(wǎng)絡(luò)管理系統(tǒng)。該系統(tǒng)需要能夠虛擬化資源池內(nèi)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，滿(mǎn)足IaaS私有云平臺(tái)所需的網(wǎng)絡(luò)資源服務(wù)要求，包括公網(wǎng)IP服務(wù)、帶寬服務(wù)、虛擬防火墻服務(wù)、負(fù)載均衡服務(wù)等。資源池將由多個(gè)數(shù)據(jù)中心組成，因此既需要考慮數(shù)據(jù)中心內(nèi)部組網(wǎng)，又要考慮跨中心組網(wǎng)的需求。最終目標(biāo)是建設(shè)一個(gè)網(wǎng)絡(luò)安全性高，穩(wěn)定性強(qiáng)，便于使用且具有良好擴(kuò)展性的IaaS私有云網(wǎng)絡(luò)。

1　相關(guān)背景

IaaS私有云由私有云管理平臺(tái)和一個(gè)或多個(gè)資源池系統(tǒng)組成。私有云管理平臺(tái)與資源池系統(tǒng)之間通過(guò)資源池管理接口連接。用戶(hù)和管理人員可以分別通過(guò)云管理平臺(tái)中的用戶(hù)自服務(wù)門(mén)戶(hù)和管理門(mén)戶(hù)使用和管理私有云。資源池自身也提供管理門(mén)戶(hù)，用來(lái)實(shí)現(xiàn)對(duì)資源池內(nèi)部資源的基礎(chǔ)性管理工作。私有云平臺(tái)整體架構(gòu)如圖1所示。

資源池系統(tǒng)是一個(gè)由資源池管理平臺(tái)，各種資源相關(guān)系統(tǒng)或設(shè)備以及連接上述平臺(tái)和設(shè)備的網(wǎng)絡(luò)所組成的實(shí)體集群。資源池管理平臺(tái)接受并執(zhí)行來(lái)自私有云管理平臺(tái)的指令，完成對(duì)各種云計(jì)算IT資源進(jìn)行管理、部署和調(diào)度等任務(wù)。它是包括計(jì)算、存儲(chǔ)及網(wǎng)絡(luò)等各種資源相關(guān)系統(tǒng)或設(shè)備組成的實(shí)體集群。

資源服務(wù)是包含于私有云服務(wù)中，可用于服務(wù)用戶(hù)的各類(lèi)資源。資源可以分為計(jì)算資源、網(wǎng)絡(luò)資源和存儲(chǔ)資源3種基本類(lèi)型，在軟件層面分別通過(guò)計(jì)算子系統(tǒng)、網(wǎng)絡(luò)子系統(tǒng)和存儲(chǔ)子系統(tǒng)實(shí)施納管。本文討論的網(wǎng)絡(luò)資源又可細(xì)分為公網(wǎng)IP資源、帶寬資源、虛擬防火墻和虛擬負(fù)載均衡資源等，在網(wǎng)絡(luò)管理子系統(tǒng)中分別由對(duì)應(yīng)的模塊進(jìn)行抽象、封裝和管理。資源池將網(wǎng)絡(luò)基礎(chǔ)設(shè)施作為服務(wù)對(duì)外提供，通過(guò)硬件虛擬化、安全隔離、集中管理和彈性資源調(diào)度等技術(shù)，將原本靜態(tài)分配的網(wǎng)絡(luò)基礎(chǔ)設(shè)施抽象為可管理、易于調(diào)度、按需分配的網(wǎng)絡(luò)資源，并封裝成各類(lèi)網(wǎng)絡(luò)服務(wù)提供給用戶(hù)或上層管理系統(tǒng)。

2　數(shù)據(jù)模型設(shè)計(jì)

2.1 設(shè)計(jì)原則

在網(wǎng)絡(luò)數(shù)據(jù)模型的設(shè)計(jì)過(guò)程中，需要考慮的因素很多而且復(fù)雜。這里介紹一些主要遵循的設(shè)計(jì)原則。

（1）安全性：主要是指資源池各數(shù)據(jù)中心之間互相不受影響，數(shù)據(jù)中心內(nèi)部不同用戶(hù)的業(yè)務(wù)之間實(shí)現(xiàn)邏輯上的分離，如需外網(wǎng)接入時(shí)需要加入隔離區(qū)和適當(dāng)?shù)姆阑饓ο拗频取?/p>

（2）可靠性：需要考慮到實(shí)際組網(wǎng)中異常狀況的發(fā)生和對(duì)穩(wěn)定性的需求，需要支持多節(jié)點(diǎn)冗余，遠(yuǎn)程容災(zāi)備份等。

（3）易使用：設(shè)計(jì)架構(gòu)合理，模型與實(shí)際物理網(wǎng)絡(luò)對(duì)應(yīng)關(guān)系明確，邏輯清晰，便于管理員和用戶(hù)使用。

（4）可擴(kuò)展：資源池和云平臺(tái)的建設(shè)者可以根據(jù)自己的需求擴(kuò)展網(wǎng)絡(luò)，包括網(wǎng)絡(luò)整體規(guī)模的擴(kuò)建，內(nèi)部子網(wǎng)的細(xì)分，底層計(jì)算虛擬化框架的異構(gòu)等。

圖1　私有云平臺(tái)整體架構(gòu)

2.2 設(shè)計(jì)方案

根據(jù)以上設(shè)計(jì)原則，通過(guò)實(shí)地調(diào)研和測(cè)試多種類(lèi)型的物理組網(wǎng)結(jié)構(gòu)，最終設(shè)計(jì)和實(shí)現(xiàn)的網(wǎng)絡(luò)數(shù)據(jù)模型如圖2所示。

(1)Region：是物理區(qū)域的抽象，一個(gè)地理上相對(duì)隔離的機(jī)房可以作為一個(gè)Region。在實(shí)際部署時(shí)，為了既能滿(mǎn)足容災(zāi)備份的需要，又保證服務(wù)質(zhì)量的要求，物理區(qū)域之間的距離一般在30～150 km之間。

（2）Pod：即數(shù)據(jù)中心，是一個(gè)物理區(qū)域內(nèi)相對(duì)獨(dú)立的網(wǎng)絡(luò)、存儲(chǔ)和計(jì)算資源的總稱(chēng)。Pod之間一般情況下沒(méi)有業(yè)務(wù)的交互，但也允許通過(guò)IP專(zhuān)網(wǎng)互通，以滿(mǎn)足特殊需求，如容災(zāi)備份或多個(gè)數(shù)據(jù)中心的統(tǒng)一管理和調(diào)度。為便于統(tǒng)一化、規(guī)范化管理，一個(gè)Pod只包含一個(gè)虛擬化架構(gòu)，如Vmware vSphere、Hyper-V和Xen等。如果一個(gè)物理區(qū)域內(nèi)需要建立多個(gè)虛擬化架構(gòu)，可以通過(guò)建立多個(gè)Pod的方式實(shí)現(xiàn)。

（3）Zone：即網(wǎng)絡(luò)區(qū)域，是數(shù)據(jù)中心內(nèi)相互隔離的區(qū)域，這里的隔離指的是在數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層做得邏輯隔離。劃分網(wǎng)絡(luò)區(qū)域的意義在于滿(mǎn)足用戶(hù)業(yè)務(wù)對(duì)網(wǎng)絡(luò)的差異化需求，比如網(wǎng)絡(luò)性能高低、網(wǎng)絡(luò)業(yè)務(wù)類(lèi)別差異以及安全性差異等。具體的網(wǎng)絡(luò)區(qū)域劃分可根據(jù)實(shí)際業(yè)務(wù)需求和組網(wǎng)架構(gòu)定制。這里提供一種比較通用的劃分方案僅供參考。

外部接入隔離區(qū)： 主要放置外部用戶(hù)可以直接訪(fǎng)問(wèn)的服務(wù)器，如Portal服務(wù)器、遠(yuǎn)程維護(hù)接入服務(wù)器等，是部署可通過(guò)公網(wǎng)訪(fǎng)問(wèn)應(yīng)用的區(qū)域。外部接入?yún)^(qū)從安全的角度來(lái)看，位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，均通過(guò)防火墻隔離。用戶(hù)如想從數(shù)據(jù)中心外部訪(fǎng)問(wèn)內(nèi)部資源，需要先通過(guò)公共網(wǎng)絡(luò)進(jìn)入外部接入?yún)^(qū)，再以該區(qū)域?yàn)樘?，通過(guò)NAT地址轉(zhuǎn)換來(lái)訪(fǎng)問(wèn)對(duì)應(yīng)的內(nèi)部資源。

核心生產(chǎn)區(qū)：是最主要的內(nèi)部服務(wù)區(qū)域，用來(lái)部署應(yīng)用系統(tǒng)的核心應(yīng)用，一般用戶(hù)的日常業(yè)務(wù)均在此部署。該區(qū)域通常是規(guī)模最大，安全防護(hù)等級(jí)最高的組網(wǎng)區(qū)域。

高性能服務(wù)區(qū)：該區(qū)域中的計(jì)算資源采用高性能的服務(wù)器，交換設(shè)備為單獨(dú)配置的高性能接入交換機(jī)，專(zhuān)門(mén)用來(lái)部署對(duì)計(jì)算速率和網(wǎng)絡(luò)帶寬要求較高的業(yè)務(wù)。

接入維護(hù)區(qū)：該區(qū)域用來(lái)滿(mǎn)足用戶(hù)遠(yuǎn)程運(yùn)維或現(xiàn)場(chǎng)代維需求，部署資源池及其上層接入管理平臺(tái)。區(qū)域內(nèi)只包含網(wǎng)絡(luò)設(shè)備，其它所需設(shè)備（如計(jì)算設(shè)備、存儲(chǔ)設(shè)備等）根據(jù)用戶(hù)特定需求自行攜帶并接入網(wǎng)絡(luò)。

測(cè)試區(qū)：用于部署各類(lèi)測(cè)試系統(tǒng)，滿(mǎn)足用戶(hù)對(duì)應(yīng)用的開(kāi)發(fā)和測(cè)試需求。該區(qū)域提供測(cè)試必須的底層網(wǎng)絡(luò)、計(jì)算和存儲(chǔ)資源，用戶(hù)可根據(jù)實(shí)際需求在其上部署軟件測(cè)試平臺(tái)或測(cè)評(píng)中心等上層專(zhuān)業(yè)系統(tǒng)。

圖2　網(wǎng)絡(luò)數(shù)據(jù)模型

(4)NetworkAsset：即網(wǎng)絡(luò)設(shè)備，主要包括交換機(jī)、路由器、防火墻和負(fù)載均衡器等。其中，交換機(jī)和路由器提供VLAN和IP的劃分和管理功能；防火墻提供公網(wǎng)IP帶寬控制和虛擬防火墻安全策略；負(fù)載均衡器則用來(lái)提供負(fù)載均衡服務(wù)。為了滿(mǎn)足多節(jié)點(diǎn)冗余的組網(wǎng)方式，網(wǎng)絡(luò)設(shè)備設(shè)計(jì)成抽象概念，它與多個(gè)網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)關(guān)聯(lián)，設(shè)備節(jié)點(diǎn)對(duì)應(yīng)實(shí)際的物理節(jié)點(diǎn)。當(dāng)網(wǎng)絡(luò)設(shè)備下的某個(gè)設(shè)備節(jié)點(diǎn)出現(xiàn)故障，其它節(jié)點(diǎn)可以接替其工作。網(wǎng)絡(luò)設(shè)備在資源池中一般不被直接使用，而是虛擬化為“池”后通過(guò)接口對(duì)外提供能力。

IpPool、VlanPool、LbPool和FwPool分別是IP、VLAN、負(fù)載均衡和防火墻服務(wù)池化后的對(duì)象。向上與網(wǎng)絡(luò)區(qū)域相關(guān)聯(lián)，向下對(duì)應(yīng)具體的網(wǎng)絡(luò)設(shè)備。這些池化資源對(duì)象可以提供VLAN申請(qǐng)、IP綁定、公網(wǎng)IP申請(qǐng)、帶寬申請(qǐng)、負(fù)載均衡和虛擬防火墻等服務(wù)，在整個(gè)資源池網(wǎng)絡(luò)虛擬化中起至關(guān)重要的作用。當(dāng)需要在網(wǎng)絡(luò)區(qū)域內(nèi)調(diào)配網(wǎng)絡(luò)資源時(shí)，只需調(diào)用相應(yīng)的池化資源對(duì)象接口，這些對(duì)象會(huì)控制與其相關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備完成具體操作。

以上數(shù)據(jù)模型對(duì)應(yīng)資源池基礎(chǔ)網(wǎng)絡(luò)架構(gòu)，在工程實(shí)施中，需要由專(zhuān)業(yè)的網(wǎng)絡(luò)工程師進(jìn)行硬件（主要是交換機(jī)、路由器、防火墻、負(fù)載均衡器等）和軟件部署，并由網(wǎng)絡(luò)管理員進(jìn)行配置和管理。下面將要介紹的是與用戶(hù)相關(guān)的業(yè)務(wù)網(wǎng)絡(luò)模型設(shè)計(jì)。

（5）Network：由用戶(hù)通過(guò)業(yè)務(wù)系統(tǒng)建立，當(dāng)用戶(hù)建立Network時(shí)需要指定其所在的網(wǎng)絡(luò)區(qū)域、共享狀態(tài)和工作模式。一個(gè)業(yè)務(wù)下可建立多個(gè)Network，并對(duì)其進(jìn)行資源計(jì)費(fèi)、流量統(tǒng)計(jì)等統(tǒng)一控制。Network可以設(shè)置為共享狀態(tài)并共享給其它業(yè)務(wù)使用。用戶(hù)、業(yè)務(wù)和網(wǎng)絡(luò)之間的關(guān)系如圖3所示。

Network的工作模式有FLAT和VLAN兩種。

FLAT模式適用于對(duì)性能要求不高的簡(jiǎn)單網(wǎng)絡(luò)，當(dāng)Network在該模式下工作時(shí)，與網(wǎng)絡(luò)區(qū)域內(nèi)的其它Network共享一個(gè)廣播域，會(huì)受到廣播風(fēng)暴的干擾而影響性能。但該網(wǎng)絡(luò)模式架構(gòu)簡(jiǎn)單，對(duì)網(wǎng)絡(luò)設(shè)備要求較低。

當(dāng)用戶(hù)對(duì)業(yè)務(wù)網(wǎng)絡(luò)性能和安全性要求較高時(shí)，宜選擇VLAN工作模式。VLAN劃分之后可以享受獨(dú)立的廣播域并與外界安全隔離，不同VLAN之間如需交互可以做VLAN互通配置（需要網(wǎng)絡(luò)層設(shè)備支持）。VLAN根據(jù)劃分方式的不同可以分為基于端口的VLAN，基于MAC地址的VLAN，基于IP的VLAN和基于策略的VLAN，其中基于端口的VLAN的劃分是最簡(jiǎn)單、有效的VLAN劃分方法，建議在實(shí)際組網(wǎng)時(shí)優(yōu)先考慮。

(6)Subnet：Network是一個(gè)抽象的概念，只負(fù)責(zé)邏輯網(wǎng)絡(luò)的劃分。而Subnet用來(lái)承載具體的網(wǎng)絡(luò)IP和計(jì)算資源。當(dāng)用戶(hù)需要建立計(jì)算集群時(shí)，需要在Network下申請(qǐng)指定大小的Subnet，IpPool則會(huì)根據(jù)需求為其分配相應(yīng)的IP地址段。之后，用戶(hù)就可以通過(guò)計(jì)算資源的接口申請(qǐng)?zhí)摂M機(jī)并綁定至當(dāng)前Subnet中的IP地址上。

3　服務(wù)及其流程設(shè)計(jì)

資源池網(wǎng)絡(luò)管理子系統(tǒng)內(nèi)的基礎(chǔ)設(shè)施通過(guò)底層驅(qū)動(dòng)、池化、接口封裝等處理步驟最終以服務(wù)的形式開(kāi)放給用戶(hù)使用和管理。用戶(hù)在操作過(guò)程中只需關(guān)注所要申請(qǐng)的資源而無(wú)需感知具體網(wǎng)絡(luò)設(shè)備的存在。目前網(wǎng)絡(luò)管理子系統(tǒng)提供的服務(wù)可以分為以下幾種類(lèi)型。

3.1 申請(qǐng)內(nèi)網(wǎng)IP服務(wù)

用戶(hù)在構(gòu)建Subnet搭建集群時(shí)不僅需要指明其所屬的Network，還需要為其申請(qǐng)相應(yīng)的IP資源，用以在內(nèi)網(wǎng)中綁定集群的計(jì)算節(jié)點(diǎn)、負(fù)載均衡器、防火墻等設(shè)備。這個(gè)過(guò)程在申請(qǐng)Subnet的請(qǐng)求中自動(dòng)進(jìn)行，用戶(hù)只需在私有云管理平臺(tái)中指定Subnet的規(guī)模（一般以計(jì)算節(jié)點(diǎn)數(shù)量為標(biāo)準(zhǔn)），資源池網(wǎng)絡(luò)管理子系統(tǒng)就會(huì)通過(guò)IpPool為其申請(qǐng)適當(dāng)大小的IP地址段。一般來(lái)說(shuō)，為了防止IP地址碎片的產(chǎn)生，IpPool采用首次適配算法并且將IP地址段定為2的整數(shù)次冪大小。所申請(qǐng)的內(nèi)網(wǎng)IP地址段隨Subnet共同記錄在資源池系統(tǒng)中并一起返回給申請(qǐng)用戶(hù)。

圖3　用戶(hù)、業(yè)務(wù)和網(wǎng)絡(luò)關(guān)系圖

3.2 綁定公網(wǎng)IP地址服務(wù)

用戶(hù)可以申請(qǐng)公網(wǎng)IP地址來(lái)綁定其業(yè)務(wù)內(nèi)的計(jì)算資源，從而實(shí)現(xiàn)通過(guò)外網(wǎng)控制和部署計(jì)算集群的功能。首先，用戶(hù)在私有云管理平臺(tái)上選擇所需綁定的公網(wǎng)IP地址和計(jì)算資源。接著，私有云管理平臺(tái)檢查公網(wǎng)IP地址是否已經(jīng)處于綁定狀態(tài)，若處于綁定狀態(tài)，則告知用戶(hù)公網(wǎng)IP地址處于綁定狀態(tài)無(wú)法再次綁定；私有云管理平臺(tái)檢查公網(wǎng)IP地址和計(jì)算資源是否屬于同一資源池系統(tǒng)的同一安全域內(nèi)，若不屬于同一資源池系統(tǒng)的同一安全域內(nèi)，則告知用戶(hù)錯(cuò)誤信息。通過(guò)以上驗(yàn)證之后，私有云管理平臺(tái)向公網(wǎng)IP地址所在的資源池系統(tǒng)發(fā)起公網(wǎng)IP地址綁定請(qǐng)求，資源池系統(tǒng)將公網(wǎng)IP地址綁定到計(jì)算資源并將公網(wǎng)IP地址綁定響應(yīng)返回給私有云管理平臺(tái)，私有云管理平臺(tái)告知用戶(hù)公網(wǎng)IP地址綁定結(jié)果。

3.3 公網(wǎng)帶寬服務(wù)

用戶(hù)可以按不同速率大小配置租賃公網(wǎng)帶寬，計(jì)算資源的帶寬業(yè)務(wù)未開(kāi)通或取消時(shí)，資源池系統(tǒng)在交換機(jī)和防火墻上設(shè)置公網(wǎng)流量的限速為最低限速，以保證計(jì)算資源在公網(wǎng)內(nèi)可以訪(fǎng)問(wèn)。當(dāng)用戶(hù)申請(qǐng)公網(wǎng)IP后，才可以申請(qǐng)帶寬租賃業(yè)務(wù)，申請(qǐng)的帶寬與公網(wǎng)IP關(guān)聯(lián)。當(dāng)公網(wǎng)IP取消時(shí)，與之關(guān)聯(lián)的帶寬也一并取消。計(jì)算資源的帶寬更改實(shí)際為退訂舊帶寬業(yè)務(wù)和訂購(gòu)新帶寬業(yè)務(wù)的組合。

帶寬服務(wù)開(kāi)通時(shí)，用戶(hù)通過(guò)私有云管理指定使用帶寬的公網(wǎng)IP地址，由私有云平臺(tái)生成資源訂單并向資源池系統(tǒng)發(fā)起公網(wǎng)帶寬申請(qǐng)請(qǐng)求。資源池系統(tǒng)在防火墻上根據(jù)公網(wǎng)IP地址做公網(wǎng)流量限速，當(dāng)任意計(jì)算資源綁定該公網(wǎng)IP地址后，將獲得與該IP地址相關(guān)的公網(wǎng)帶寬。最后，資源池系統(tǒng)將帶寬申請(qǐng)響應(yīng)返回給私有云管理平臺(tái)，私有云管理平臺(tái)保存用戶(hù)帶寬資源信息并告知用戶(hù)帶寬分配結(jié)果。

3.4 虛擬防火墻服務(wù)

虛擬防火墻通過(guò)對(duì)物理防火墻進(jìn)行虛擬化實(shí)現(xiàn)，每個(gè)虛擬防火墻均可以看成是一臺(tái)完全獨(dú)立的防火墻設(shè)備，彼此之間互不干擾，并擁有獨(dú)立的系統(tǒng)資源、接口、路由表、會(huì)話(huà)表、安全配置策略、用戶(hù)管理等功能。用戶(hù)可以通過(guò)私有云管理平臺(tái)為自己的業(yè)務(wù)系統(tǒng)申請(qǐng)?zhí)摂M防火墻。用戶(hù)首先在管理界面選擇計(jì)算資源所屬的業(yè)務(wù)系統(tǒng)，接著對(duì)虛擬防火墻的具體參數(shù)（如防火墻資源需求，管理的計(jì)算資源IP列表，防火墻服務(wù)描述信息等）進(jìn)行配置，由私有云平臺(tái)生成資源訂單并向資源池系統(tǒng)發(fā)起虛擬防火墻申請(qǐng)請(qǐng)求。在資源池系統(tǒng)創(chuàng)建虛擬防火墻期間，私有云管理平臺(tái)定期向資源池系統(tǒng)發(fā)起狀態(tài)查詢(xún)請(qǐng)求，資源池系統(tǒng)向私有云管理平臺(tái)返回虛擬防火墻狀態(tài)查詢(xún)響應(yīng)。當(dāng)私有云管理平臺(tái)查詢(xún)到虛擬防火墻狀態(tài)由創(chuàng)建中轉(zhuǎn)為就緒時(shí)，私有云管理平臺(tái)保存申請(qǐng)成功的虛擬防火墻信息并告知用戶(hù)虛擬防火墻分配結(jié)果，從而完成虛擬防火墻申請(qǐng)流程。

虛擬防火墻申請(qǐng)成功后，用戶(hù)可在業(yè)務(wù)系統(tǒng)服務(wù)門(mén)戶(hù)中對(duì)虛擬防火墻進(jìn)行配置和修改，并查看其監(jiān)控信息。

3.5 負(fù)載均衡服務(wù)

用戶(hù)可以為自己業(yè)務(wù)系統(tǒng)內(nèi)的一組計(jì)算資源設(shè)置負(fù)載均衡服務(wù)。通過(guò)私有云管理平臺(tái)發(fā)起申請(qǐng)負(fù)載均衡資源請(qǐng)求，用戶(hù)首先在管理界面選擇計(jì)算資源所屬的業(yè)務(wù)系統(tǒng)，接著對(duì)負(fù)載均衡的具體參數(shù)（如負(fù)載均衡策略、流量協(xié)議、負(fù)載均衡服務(wù)描述信息等）進(jìn)行配置，由私有云平臺(tái)生成資源訂單并向資源池系統(tǒng)發(fā)起負(fù)載均衡申請(qǐng)請(qǐng)求。資源池系統(tǒng)根據(jù)請(qǐng)求參數(shù)在負(fù)載均衡設(shè)備上配置負(fù)載均衡策略和計(jì)算資源服務(wù)器的IP列表，并將負(fù)載均衡資源編號(hào)和負(fù)載均衡的入口IP等信息返回給私

有云平臺(tái)。私有云管理平臺(tái)保存用戶(hù)負(fù)載均衡資源信息并告知用戶(hù)負(fù)載均衡分配結(jié)果，從而完成負(fù)載均衡申請(qǐng)流程。

4　結(jié)論

一個(gè)性能良好，可靠性高的資源池網(wǎng)絡(luò)框架，是建設(shè)IaaS私有云平臺(tái)必不可少的基礎(chǔ)。實(shí)現(xiàn)一個(gè)架構(gòu)合理，可用性強(qiáng)，擴(kuò)展性高的網(wǎng)絡(luò)管理子系統(tǒng)已經(jīng)成為各企事業(yè)單位網(wǎng)絡(luò)建設(shè)的迫切所需。本文介紹的設(shè)計(jì)方案很好地滿(mǎn)足了這方面的需求，適用于多物理地區(qū)、多數(shù)據(jù)中心的擴(kuò)展需求，也支持多種計(jì)算和存儲(chǔ)虛擬化架構(gòu)，可供不同規(guī)模、不同需求的單位根據(jù)實(shí)際情況選擇具體實(shí)現(xiàn)。本文成果已在中國(guó)移動(dòng)浙江資源池項(xiàng)目建設(shè)中實(shí)踐，目前已經(jīng)取得了良好的進(jìn)展。

參考文獻(xiàn)

[1]劉鵬. 云計(jì)算(第2版)[M]. 北京:電子工業(yè)出版社, 2011.

[2]羅嗣彬. IaaS中資源池接口模塊的設(shè)計(jì)與實(shí)現(xiàn)[D]. 北京:北京郵電大學(xué), 2013.

[3]李小康. IaaS私有云資源池管理平臺(tái)[D]. 北京:北京郵電大學(xué), 2013.

[4]謝希仁. 計(jì)算機(jī)網(wǎng)絡(luò)[M]. 北京: 電子工業(yè)出版社, 2008: 2642-267.

[5]李小康. IaaS云資源池中VLAN劃分及IP池管理[J]. 電信工程技術(shù)與標(biāo)準(zhǔn)化, 2013.

Design and implementation of resource pool network management subsystem for IaaS cloud platform

REN Yi1, 2, LI Wei1, 2

(1 State Key Lab of Networking and Switching Technology, Beijing University of Posts and Telecommunications, Beijing 100876, China; 2 EBUPT Information Technology Co., Ltd. Beijing 100191, China)

Abstract With the rapid improvement of technology and automation, computing power, as a kind of resource, is getting more and more attention and recognition. Cloud computing, which is a burgeoning technology, has solved people’s increasing demand for computing ability to a great extent. At present, more and more enterprises and organizations begin to build their own IaaS private cloud platform in order to meet their inner IT requirements. Faced with complicated network demands, how to build a safe and reliable network system become an important topic. This paper will introduce a design and implementation of resource pool network management system for IaaS cloud platform, which can provide a general way to supervise network resources in private clouds.

Keywords IaaS; private cloud; resource pool; network management

* 基金項(xiàng)目：國(guó)家973計(jì)劃項(xiàng)目（編號(hào)：2013CB329102）；國(guó)家自然科學(xué)基金資助項(xiàng)目（No. 61471064，61372120, 61271019, 61101119, 61121001）；長(zhǎng)江學(xué)者和創(chuàng)新團(tuán)隊(duì)發(fā)展計(jì)劃資助（編號(hào)：IRT1049）；教育部科學(xué)技術(shù)研究重點(diǎn)(重大)項(xiàng)目資助（編號(hào)：MCM20130310）；北京高等學(xué)校青年英才計(jì)劃項(xiàng)目（編號(hào)：YETP0473）。

收稿日期：2014-12-26

文章編號(hào)1008-5599（2015）02-0053-06

文獻(xiàn)標(biāo)識(shí)碼A

中圖分類(lèi)號(hào)TN915