韓潤平

數(shù)據(jù)中心是一整套復雜的設施，它不僅僅包括計算機、系統(tǒng)和其他與之配套的設備(如通信和存儲系統(tǒng))，還包含冗余的數(shù)據(jù)通信連接、環(huán)境控制設備、監(jiān)控設備以及各種安全裝置。傳統(tǒng)的應用程序運行模式是“一個應用對應一臺服務器”模式，各個應用有專用服務器資源，它們之間的資源無法共享，且利用率低下。

云計算通過虛擬化技術實現(xiàn)服務器、存儲、網(wǎng)絡等IT設備的共享。標準化的硬件設施透過不同維度、不同層級的虛擬化技術在IaaS框架的管理控制之下實現(xiàn)運維管理、業(yè)務連續(xù)、安全管理以及備份容災支持等架構服務，從而形成云基礎架構層，為上層應用提供可靠的支撐。在此基礎架構之上，將已初具規(guī)模的教育基礎信息數(shù)據(jù)庫整合演進為教育部門統(tǒng)一數(shù)據(jù)平臺，進一步開發(fā)和完善教育管理系統(tǒng)、E-learning、教育互動社區(qū)等應用服務，形成教育云應用服務層。IT基礎架構、應用等在云服務管理控制之下，以云的形式向?qū)W生、教師及社會提供服務。

結構建設

虛擬化平臺是虛擬化數(shù)據(jù)中心的核心運行平臺，是進行虛擬化數(shù)據(jù)中心建設的基礎和核心組件。虛擬化服務器技術采用穩(wěn)定可靠、性能消耗極低的虛擬化操作系統(tǒng)，充分保障虛擬化操作系統(tǒng)層的穩(wěn)定可靠和高效運行；同時確保各個虛擬機之間獨立運行，互不影響；虛擬化技術應當能夠支持更多的操作系統(tǒng)要求，確保現(xiàn)在已有應用需求的X86平臺上能夠穩(wěn)定運行。

容災設計

服務器通過在每臺物理服務器上都安裝配置虛擬架構軟件，可使每個單臺物理服務器配置多個虛擬機。因此，可將目前可進行虛擬化的服務器均納入虛擬架構中，形成眾多虛擬機，通過高級資源管理、高可用性和安全功能提高了服務級別。

網(wǎng)絡利用網(wǎng)絡虛擬化技術，將多臺網(wǎng)絡設備虛擬化整合。虛擬化整合后的網(wǎng)絡系統(tǒng)，對外表現(xiàn)為單臺物理設備，在保持基本網(wǎng)絡互聯(lián)條件下，可將一對網(wǎng)絡系統(tǒng)之間的多條線纜進行鏈路捆綁聚合動作，從而將不同網(wǎng)絡層之間的網(wǎng)狀互聯(lián)簡化成單條邏輯鏈路。采用虛擬化技術的網(wǎng)絡具有可靠性、分布性、易管理性等特點。

存儲為滿足可靠性的要求，虛擬化存儲集群采用真正的“Active-Active”的高可靠架構，提供可被數(shù)據(jù)中心主機并發(fā)訪問的共享雙活卷，連接到其任何虛擬化引擎上的主機都可以訪問同一個虛擬卷，并像訪問單套存儲一樣對虛擬卷進行讀寫。兩套存儲可同時對同一個業(yè)務系統(tǒng)提供讀寫服務，并自動實現(xiàn)業(yè)務在站點間的負載均衡，為用戶提供更加靈活的數(shù)據(jù)訪問方式。存儲雙活方案提供了全自動的故障處理機制，提高了系統(tǒng)的可維護性。

安全防護

邊界防護我們應在數(shù)據(jù)中心前端盡可能采取一些其他的安全措施，如防火墻、上網(wǎng)行為管理、IPS系統(tǒng)部署等，對出入數(shù)據(jù)中心的數(shù)據(jù)進行訪問控制和深層的安全分析、檢測，從而在安全威脅到達數(shù)據(jù)中心之前進行有效的攔截和警告。

1.訪問控制、應用隔離

數(shù)據(jù)中心因其重要地位，必須與其他網(wǎng)絡區(qū)域進行隔離，對于進出數(shù)據(jù)中心的數(shù)據(jù)流進行嚴格的訪問控制。防火墻是最成熟、最經(jīng)濟、最有效的安全措施之一。對于數(shù)據(jù)中心來說，可在與其他網(wǎng)絡區(qū)域連接邊界部署防火墻，進行訪問控制，攔截網(wǎng)絡攻擊行為。

2.入侵防御

數(shù)據(jù)中心的安全不可能完全依靠防火墻來實現(xiàn)，還需要有入侵檢測和防御(IPS)的功能，IPS可根據(jù)已有的、最新的攻擊行為代碼對進出網(wǎng)絡的所有訪問行為進行實時監(jiān)控、記錄，從而防止針對數(shù)據(jù)中心的攻擊行為。

3.堡壘機

堡壘機技術主要幫助內(nèi)網(wǎng)信息系統(tǒng)管理者，實現(xiàn)單點登錄、賬號管理、身份認證、資源授權、訪問控制、操作審計六大方面智能化支撐和高安全性防護，這六方面的功能也是國際通行的堡壘機“標配”功能。

內(nèi)部防護服務器內(nèi)部防護是通過對服務器進行全方位體檢，檢測各種可能出現(xiàn)的服務器安全漏洞，并提供相應的修復功能，有效地提高服務器安全性與穩(wěn)定性。主要包括殺毒、系統(tǒng)漏洞修復、系統(tǒng)賬號優(yōu)化、目錄權限優(yōu)化、數(shù)據(jù)庫優(yōu)化、系統(tǒng)服務優(yōu)化、注冊表優(yōu)化等方面。如發(fā)現(xiàn)問題，可根據(jù)提示立即修復系統(tǒng)，以提高服務器性能。功能涵蓋了服務器系統(tǒng)優(yōu)化（包括服務器漏洞補丁修復等）、服務器程序守護、遠程桌面監(jiān)控、文件目錄守護、系統(tǒng)賬號監(jiān)控、DDOS防火墻、ARP防火墻、Web防火墻、安全策略設置以及郵件實時告警等多方面模塊，為用戶的服務器在運營過程中提供完善的保護，使其免受惡意的攻擊和破壞。

運行監(jiān)察

系統(tǒng)運維管理數(shù)據(jù)中心是一個復雜的信息處理系統(tǒng)，包括系統(tǒng)、網(wǎng)絡、存儲、協(xié)議、需求、開發(fā)、測試、安全、空調(diào)、供電、監(jiān)控等多個環(huán)節(jié)。一套有效的運維管理系統(tǒng)可以節(jié)省很多的人力和物力，而且維護起來更加方便直觀。

環(huán)境監(jiān)察數(shù)據(jù)中心機房要求有良好的機房環(huán)境作為基礎條件，才可能高效地發(fā)揮數(shù)據(jù)中心的運行效率。在實際應用中，數(shù)據(jù)中心的環(huán)境監(jiān)控系統(tǒng)的軟件平臺需要具有完備的Web化的遠程管理功能。數(shù)據(jù)中心的管理員可以在網(wǎng)絡連接的任意位置，通過瀏覽器瀏覽所有數(shù)據(jù)中心環(huán)境設備的實時信息，當發(fā)生設備故障、停電、水災、火災、失竊等緊急事件時，維護人員可在第一時間獲悉情況，并迅速處理。

展 望

傳統(tǒng)數(shù)據(jù)中心架構復雜且缺乏靈活性，業(yè)務與基礎設施緊耦合，應用系統(tǒng)受制于軟硬件之間的依賴關系，同時傳統(tǒng)數(shù)據(jù)中心運維管理復雜，資源利用率低，維護成本高。軟件定義數(shù)據(jù)中心（Softwares Defined Data Center，SDDC）概念的提出，是云計算、軟件定義、DevOps、基礎設施快速靈活部署等一系列技術與需求在數(shù)據(jù)中心的具體實現(xiàn)。通過SDDC實現(xiàn)了以用戶為中心、以服務為導向，基于高效、綠色、軟件定義的IT與網(wǎng)絡基礎架構，自動化按需提供各類云服務。