李沐明　袁亞興

[摘 要]隨著云計(jì)算技術(shù)的不斷發(fā)展，利用云計(jì)算技術(shù)可以建設(shè)高效安全的云管理平臺(tái)。文章基于數(shù)據(jù)中心在管理、維護(hù)、擴(kuò)展等方面存在的問(wèn)題進(jìn)行研究，提出基于統(tǒng)一基礎(chǔ)架構(gòu)的數(shù)據(jù)中心私有云建設(shè)方案，并總結(jié)該私有云管理平臺(tái)的實(shí)現(xiàn)意義，為開放大學(xué)辦學(xué)體系信息化建設(shè)提供建議。

[關(guān)鍵詞]云計(jì)算;開放大學(xué);數(shù)據(jù)中心;私有云;信息化

[中圖分類號(hào)]G434 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1008-7656（2019）03-0015-04

引言

隨著信息網(wǎng)絡(luò)時(shí)代的不斷發(fā)展，傳統(tǒng)的 IT架構(gòu)的數(shù)據(jù)中心面臨著越來(lái)越多的壓力，信息系統(tǒng)的增加帶來(lái)了服務(wù)器需求大幅增長(zhǎng)，需要更多的人力、物力投入到數(shù)據(jù)中心的建設(shè)和管理中，為了解決這些問(wèn)題，行業(yè)一直在不斷探索新的技術(shù)和管理方案[1]。

云計(jì)算（Cloud Computing）概念最早是 2006 年由 Google、Amazon 等公司提出，它是分布式計(jì)算、虛擬化、網(wǎng)絡(luò)存儲(chǔ)等多種技術(shù)混合演進(jìn)、發(fā)展融合的產(chǎn)物[2]?！霸啤笔且恍┛梢宰晕揖S護(hù)和管理的虛擬計(jì)算資源，通常是一些大型服務(wù)器集群，包括計(jì)算服務(wù)器、存儲(chǔ)服務(wù)器和寬帶資源等。各種類型的云計(jì)算應(yīng)用主要有公有云、私有云、混合云。目前，國(guó)內(nèi)廠商提供公有云的主要有阿里云、騰訊云、華為云、百度云等。在數(shù)據(jù)中心私有云建設(shè)方面，目前已有哈爾濱工程大學(xué)、解放軍理工大學(xué)、中南大學(xué)、湖南大學(xué)、湖南師范大學(xué)等高校在數(shù)據(jù)中心部署私有云管理平臺(tái)。

隨著高校信息化建設(shè)的不斷加快，基本建立了服務(wù)于教學(xué)、招生、科研、管理的公共基礎(chǔ)架構(gòu)，完成了眾多的應(yīng)用信息系統(tǒng)包括OA系統(tǒng)、招生系統(tǒng)、科研系統(tǒng)、門戶網(wǎng)站、學(xué)院網(wǎng)站、收費(fèi)系統(tǒng)等。這些系統(tǒng)通常由不同的業(yè)務(wù)部門進(jìn)行建設(shè)，分布在數(shù)據(jù)中心內(nèi)不同物理服務(wù)器上，由不同的運(yùn)維管理人員進(jìn)行相關(guān)管理操作。文章以國(guó)家開放大學(xué)（以下簡(jiǎn)稱國(guó)開）為例，對(duì)數(shù)據(jù)中心面臨的問(wèn)題進(jìn)行分析，通過(guò)對(duì)數(shù)據(jù)中心私有云平臺(tái)的網(wǎng)絡(luò)架構(gòu)進(jìn)行研究，提出一種安全可靠的主機(jī)網(wǎng)絡(luò)架構(gòu)，并實(shí)現(xiàn)一種適合開放大學(xué)數(shù)據(jù)中心的私有云建設(shè)方案，從而提高學(xué)校業(yè)務(wù)信息系統(tǒng)的可靠性，當(dāng)服務(wù)器宕機(jī)時(shí)保證業(yè)務(wù)信息系統(tǒng)不中斷，保證業(yè)務(wù)信息系統(tǒng)穩(wěn)定運(yùn)行。

一、國(guó)家開放大學(xué)數(shù)據(jù)中心現(xiàn)狀

國(guó)開是教育部直屬的，以現(xiàn)代信息技術(shù)為支撐，學(xué)歷教育與非學(xué)歷教育并舉，實(shí)施遠(yuǎn)程開放教育的新型高等學(xué)校[3]。國(guó)開數(shù)據(jù)中心于2011年建成，共有200余臺(tái)物理服務(wù)器，50余臺(tái)網(wǎng)絡(luò)交換機(jī)，60余個(gè)信息系統(tǒng)（網(wǎng)站）。大部分的用戶量小的信息系統(tǒng)包括業(yè)務(wù)測(cè)試系統(tǒng)均單獨(dú)部署在物理服務(wù)器上，使得國(guó)開數(shù)據(jù)中心在管理、維護(hù)等方面存在一些問(wèn)題。

（一）部分服務(wù)器利用率不高

一臺(tái)服務(wù)器安裝一個(gè)操作系統(tǒng)，大多運(yùn)行1個(gè)應(yīng)用程序，cpu和內(nèi)存等資源利用率不高。

（二）信息系統(tǒng)管理成本高

各信息系統(tǒng)不是在同一個(gè)時(shí)間段里進(jìn)行部署，服務(wù)器等設(shè)備的采購(gòu)型號(hào)也不統(tǒng)一，不同品牌的服務(wù)器之間需要不同的運(yùn)維人員負(fù)責(zé)系統(tǒng)的維護(hù)，信息系統(tǒng)管理成本高。

（三）部分信息系統(tǒng)可靠性差

由于各服務(wù)器都處于單機(jī)狀態(tài)，可能存在單點(diǎn)故障，如果有服務(wù)器處于宕機(jī)狀態(tài)，那么該服務(wù)器上運(yùn)行的信息系統(tǒng)也會(huì)隨之中斷。服務(wù)器的管理員在進(jìn)行操作系統(tǒng)升級(jí)維護(hù)時(shí)也可能需要對(duì)該服務(wù)器進(jìn)行重啟等工作，這也使得信息系統(tǒng)存在中斷運(yùn)行的可能。

二、數(shù)據(jù)中心私有云建設(shè)方案

數(shù)據(jù)中心私有云平臺(tái)搭建的關(guān)鍵技術(shù)是虛擬化，目前常用的虛擬化技術(shù)主要有KVM、Xen、VMWare、hyper-v等，針對(duì)國(guó)開數(shù)據(jù)中心建設(shè)中存在的問(wèn)題，通過(guò)對(duì)主流的虛擬化技術(shù)進(jìn)行比較，本文采用文獻(xiàn)研究、工程驗(yàn)證的研究方法，先對(duì)云計(jì)算關(guān)鍵技術(shù)之一的虛擬化技術(shù)相關(guān)文獻(xiàn)進(jìn)行研究，通過(guò)對(duì)主流的虛擬化技術(shù)對(duì)比分析，結(jié)合國(guó)開信息化建設(shè)的實(shí)際情況，選取適合國(guó)開數(shù)據(jù)中心私有云建設(shè)的的虛擬化技術(shù)，提出一個(gè)適合國(guó)開數(shù)據(jù)中心的私有云規(guī)劃建設(shè)方案，然后結(jié)合國(guó)家開放大學(xué)虛擬化平臺(tái)建設(shè)項(xiàng)目進(jìn)行實(shí)踐，將該私有云規(guī)劃建設(shè)方案進(jìn)行實(shí)施。

（一）私有云平臺(tái)網(wǎng)絡(luò)架構(gòu)

在網(wǎng)絡(luò)方面，IP網(wǎng)絡(luò)主要包含兩類鏈路：一類是業(yè)務(wù)鏈路，用于傳輸虛擬服務(wù)器對(duì)外提供服務(wù)的業(yè)務(wù)流量，宿主機(jī)通過(guò)業(yè)務(wù)交換機(jī)上聯(lián)至上游網(wǎng)絡(luò);另一類是宿主機(jī)之間通訊鏈路，用于傳輸VMKernel管理流量和HA集群中FT數(shù)據(jù)同步流量，宿主機(jī)之間互聯(lián)，無(wú)需提供對(duì)外連接。IP網(wǎng)絡(luò)中業(yè)務(wù)部分鏈路里宿主機(jī)通過(guò)雙鏈路上聯(lián)至業(yè)務(wù)交換設(shè)備，為業(yè)務(wù)系統(tǒng)對(duì)外提供對(duì)外傳輸數(shù)據(jù)鏈路條件，鏈路通過(guò)捆綁后實(shí)現(xiàn)負(fù)載均衡以及預(yù)防單點(diǎn)故障.IP網(wǎng)絡(luò)中業(yè)務(wù)外鏈路里每臺(tái)宿主機(jī)至少預(yù)留兩個(gè)NIC接口并各自通過(guò)專用線路進(jìn)行互聯(lián)，其專用于為VMKernel傳輸管理流量以及為FT提供日志同步數(shù)據(jù)鏈路。

（二）私有云平臺(tái)建設(shè)方案

基于VMware架構(gòu)的數(shù)據(jù)中心私有云平臺(tái)建設(shè)方案包括前期規(guī)劃、實(shí)施部署（基礎(chǔ)部分）、實(shí)施部署（功能部分）、測(cè)試驗(yàn)收四個(gè)環(huán)節(jié)。前期規(guī)劃主要分為兩個(gè)部分：設(shè)備物理規(guī)劃與系統(tǒng)參數(shù)規(guī)劃。設(shè)備物理規(guī)劃主要包含物理資源統(tǒng)計(jì)、存儲(chǔ)空間規(guī)劃、網(wǎng)絡(luò)接口規(guī)劃、Fault Tolerance規(guī)劃等。系統(tǒng)參數(shù)規(guī)劃包含宿主機(jī)參數(shù)規(guī)劃、vCenter參數(shù)規(guī)劃、虛擬分布式交換機(jī)規(guī)劃、網(wǎng)絡(luò)分段規(guī)劃以及NSX安全策略規(guī)劃。

統(tǒng)計(jì)物理資源主要目的是合理規(guī)劃整個(gè)虛擬化平臺(tái)的可用及有效容量，防止出現(xiàn)資源過(guò)度分配的情況，提早進(jìn)行擴(kuò)容。為保證虛擬化平臺(tái)獲得最佳的存儲(chǔ)性能，共享存儲(chǔ)空間至少應(yīng)分為三部分：VHD存儲(chǔ)集，用于存儲(chǔ)虛擬機(jī)磁盤文件，如條件允許應(yīng)考慮將讀寫頻繁的虛擬機(jī)磁盤文件安置于存儲(chǔ)高速區(qū)域（SSD、10K/15K SAS），為高速讀寫提供足夠的IO性能;Image存儲(chǔ)集，用于存儲(chǔ)光盤鏡像、操作系統(tǒng)鏡像等文件，主要操作為讀取，操作頻率極低，條件允許應(yīng)盡量安置于存儲(chǔ)低速區(qū)域（10K SAS/NL-SAS）;HA仲裁，VMware HA集群存活仲裁盤，容量一般不大于10GB，可用于當(dāng)HA集群網(wǎng)絡(luò)Keep-Alive機(jī)制故障但宿主機(jī)未宕機(jī)的情況下的存活檢測(cè)。

宿主機(jī)在安裝vSphere前應(yīng)有統(tǒng)一的參數(shù)規(guī)劃要求，包括主機(jī)名、IP地址、DNS、本地存儲(chǔ)等。vCenter Server可選兩種部署方案，分別為軟件單體安裝與OVA打包安裝，區(qū)別在于單體安裝需要用戶自行安裝操作系統(tǒng)與數(shù)據(jù)庫(kù)，OVA打包安裝則通過(guò)由VMware預(yù)先制作的OVA應(yīng)用包直接部署。VMware vSphere環(huán)境中包含兩類虛擬交換機(jī)：vSphere標(biāo)準(zhǔn)交換機(jī)與vSphere分布式交換機(jī)。在本次建設(shè)方案中將為業(yè)務(wù)數(shù)據(jù)路徑配置vSphere分布式交換機(jī)、為管理數(shù)據(jù)路徑配置vSphere標(biāo)準(zhǔn)交換機(jī)。通過(guò)為業(yè)務(wù)配置vSphere分布式交換機(jī)，在最大限度保證虛擬化平臺(tái)對(duì)外數(shù)據(jù)出口的靈活性和易用性外，還可以為后期部署VMware NSX功能提供必要的基本條件。針對(duì)管理部分網(wǎng)絡(luò)需求則采用vSphere標(biāo)準(zhǔn)交換機(jī)提供虛擬網(wǎng)絡(luò)互聯(lián)支持。

網(wǎng)絡(luò)分段規(guī)劃主要針對(duì)不同數(shù)據(jù)路徑規(guī)劃充足的地址空間，根據(jù)目前規(guī)劃，本次項(xiàng)目建議主要?jiǎng)澐謨深惥W(wǎng)絡(luò)：一類是虛擬化平臺(tái)內(nèi)部管理網(wǎng)絡(luò)，該網(wǎng)絡(luò)無(wú)對(duì)外出口，僅供vCenter與各宿主機(jī)vSphere軟件傳輸管理、遷移以及同步流量;另一類是虛擬化平臺(tái)業(yè)務(wù)對(duì)外網(wǎng)絡(luò)，該網(wǎng)絡(luò)根據(jù)業(yè)務(wù)歸屬或安全等級(jí)進(jìn)行分段，并為不同分段分配VLAN id、下一跳地址等信息。管理網(wǎng)絡(luò)IP地址配置（宿主機(jī)IP地址）：應(yīng)于宿主機(jī)vSphere安裝時(shí)進(jìn)行;業(yè)務(wù)網(wǎng)絡(luò)IP地址配置（虛擬機(jī)IP地址）：應(yīng)首先將網(wǎng)絡(luò)分段規(guī)劃與網(wǎng)絡(luò)接口規(guī)劃結(jié)合，而后配置vSphere分布式交換機(jī)，最終在部署配置VM時(shí)進(jìn)行指定。

（三）私有云平臺(tái)實(shí)施部署

基礎(chǔ)部分實(shí)施部署工作主要進(jìn)行虛擬化平臺(tái)底層部分安裝調(diào)試及基本功能配置。根據(jù)VMware最佳部署實(shí)踐介紹，下列各項(xiàng)工作建議以既定順序執(zhí)行。實(shí)施工作內(nèi)容中標(biāo)準(zhǔn)化操作流程將不在此處描述，所有實(shí)施方法、操作流程均以VMware部署文檔為準(zhǔn)，主要包括設(shè)備上架與線纜連接、存儲(chǔ)空間分配、宿主機(jī)系統(tǒng)安裝、Vcenter Server安裝、數(shù)據(jù)中心及HA集群配置、虛擬交換機(jī)配置、網(wǎng)絡(luò)設(shè)備配置、NSX安裝及配置、VM模板配置等。實(shí)施部署功能部分針對(duì)虛擬化平臺(tái)中高級(jí)功能、特色功能方面進(jìn)行安裝調(diào)試工作。實(shí)施部署功能部分針對(duì)虛擬化平臺(tái)中高級(jí)功能、特色功能方面進(jìn)行安裝調(diào)試工作。Update Manager安裝、Data Protection安裝、VM安裝配置、vCenter Converter軟件安裝、Fault Tolerance配置等。

VMware NSX作為VMware為服務(wù)器虛擬化平臺(tái)中提供的網(wǎng)絡(luò)虛擬化功能模塊，與無(wú)NSX的主要差異在于：NSX可為虛擬化環(huán)境中每臺(tái)VM提供分布式的防火墻保護(hù);NSX可針對(duì)某一組或某一特性的一些VM提供統(tǒng)一的防火墻策略;NSX無(wú)需外部設(shè)備即可實(shí)現(xiàn)VM間數(shù)據(jù)流的3層轉(zhuǎn)發(fā)與過(guò)濾;NSX無(wú)需外部安全設(shè)備即可實(shí)現(xiàn)不同安全級(jí)別的劃分（零信任環(huán)境）;NSX可通過(guò)Edge邊界提供NAT、邊界安全等傳統(tǒng)路由器設(shè)備提供的功能。VMware NSX部署的必要條件之一是虛擬化環(huán)境中Virtual-to-Virtual網(wǎng)絡(luò)必須是vSphere分布式交換機(jī)。只有通過(guò)分布式交換機(jī)，才可以實(shí)現(xiàn)NSX的各項(xiàng)策略、功能推送至每臺(tái)VM。如果數(shù)據(jù)中心對(duì)于信息系統(tǒng)安全要求比較高可考慮采購(gòu)NSX模塊。

（四）私有云建設(shè)平臺(tái)測(cè)試驗(yàn)收

測(cè)試驗(yàn)收階段分為三步，即依次進(jìn)行性能測(cè)試、功能測(cè)試以及平臺(tái)業(yè)務(wù)的可用性測(cè)試。測(cè)試簡(jiǎn)要描述如下。

1.性能測(cè)試。檢測(cè)外部業(yè)務(wù)訪問(wèn)性能，如Web或App響應(yīng)速度，具體測(cè)試客體由用戶提供。

2.功能測(cè)試。檢測(cè)虛擬化環(huán)境各項(xiàng)功能，包括基本功能與高級(jí)功能，VM創(chuàng)建、修改、刪除;手動(dòng)vMotion，宿主高負(fù)載下自動(dòng)vMotion;集群整體低負(fù)載下DRS調(diào)配;Update Manager推送更新;其他vCenter Server可提供基礎(chǔ)功能。

3.可用性測(cè)試。檢測(cè)虛擬化環(huán)境中HA、FT以及Data Protection功能，HA功能檢測(cè)，VM-Kernel中斷HA檢測(cè)、FC存儲(chǔ)網(wǎng)絡(luò)中斷HA檢測(cè)、同時(shí)中斷HA檢測(cè);FT功能檢測(cè)，宿主機(jī)強(qiáng)制斷電檢測(cè)（基于系統(tǒng)底層命令執(zhí)行重新啟動(dòng)）;DP備份恢復(fù)檢測(cè)。

三、數(shù)據(jù)中心私有云管理平臺(tái)實(shí)現(xiàn)

考慮到VMWare是相對(duì)比較成熟的商業(yè)軟件，市場(chǎng)占有率較大，而且搭建的私有云平臺(tái)易于管理，比較穩(wěn)定，因此本文采用VMWare虛擬化軟件實(shí)現(xiàn)硬件、存儲(chǔ)資源的集成和整合，搭建基于VMWare的私有云管理平臺(tái)，基于VMware架構(gòu)的私有云平臺(tái)搭建完成后，將業(yè)務(wù)信息系統(tǒng)部署到該私有云平臺(tái)，同時(shí)將已有的基于KVM架構(gòu)的管理平臺(tái)上的業(yè)務(wù)系統(tǒng)遷移到該私有云平臺(tái)，對(duì)數(shù)據(jù)中心的業(yè)務(wù)信息系統(tǒng)實(shí)行統(tǒng)一管理。

利用數(shù)據(jù)中心內(nèi)5臺(tái)Lenovo X3950x6服務(wù)器搭建基于VMWare架構(gòu)的私有云管理平臺(tái)，利用兩套存儲(chǔ)設(shè)備做虛擬機(jī)復(fù)制，用于虛擬化共享存儲(chǔ)，利用兩臺(tái)DELL EMC 光纖交換機(jī)做鏈路主備，用于存儲(chǔ)鏈路冗余。共有物理cpu 1104GHz，物理內(nèi)存2560G，物理存儲(chǔ)空間90TB。經(jīng)過(guò)虛擬化后，可擴(kuò)展1920個(gè)vcpu，可劃分cpu 4416GHz，可支持200臺(tái)虛擬服務(wù)器在線運(yùn)行。

國(guó)開私有云平臺(tái)目前已部署虛擬機(jī)89個(gè)，內(nèi)存使用率32.5%，存儲(chǔ)使用率37.3%，還可容納150臺(tái)左右虛擬機(jī)。隨著信息化建設(shè)的不斷深入，新開發(fā)的信息系統(tǒng)可優(yōu)先部署在該私有云平臺(tái)上。

基于云計(jì)算的數(shù)據(jù)中心私有云規(guī)劃建設(shè)，是對(duì)學(xué)校數(shù)據(jù)中心的一次基礎(chǔ)技術(shù)升級(jí)，主要意義如下。

（一）提高服務(wù)器等資源利用效率

通過(guò)數(shù)據(jù)中心已有的服務(wù)器和存儲(chǔ)等硬件資源，利用虛擬化技術(shù)將硬件資源和網(wǎng)絡(luò)資源等進(jìn)行整合，搭建數(shù)據(jù)中心私有云管理平臺(tái)，能夠?qū)⒏邩?biāo)準(zhǔn)化的服務(wù)器達(dá)到最優(yōu)化，充分提高硬件資源利用率，將服務(wù)器成本降低20%～50%，并且將服務(wù)器及存儲(chǔ)利用率上升至40～80%。

（二）應(yīng)用系統(tǒng)部署更加靈活

通過(guò)統(tǒng)一的私有云管理平臺(tái)能夠?qū)崿F(xiàn)硬件資源的快速部署，并且增強(qiáng)數(shù)據(jù)的可操作性，可以滿足絕大部分分析任務(wù)，快速響應(yīng)分析需求，提高系統(tǒng)管理的效率和質(zhì)量，并能以最小的管理代價(jià)和工作量實(shí)現(xiàn)數(shù)據(jù)資源的合理化分配。在業(yè)務(wù)系統(tǒng)不斷調(diào)整的時(shí)期，學(xué)?？梢愿鶕?jù)需要利用云數(shù)據(jù)中心進(jìn)行資源的合理分配，滿足IT實(shí)時(shí)的部署需求。

（三）信息系統(tǒng)更加安全可靠

通過(guò)統(tǒng)一的私有云管理平臺(tái)，對(duì)所有的信息系統(tǒng)進(jìn)行統(tǒng)一規(guī)劃，進(jìn)行安全加固和優(yōu)化，做好數(shù)據(jù)備份，能夠保證學(xué)校信息系統(tǒng)的安全性，從而為學(xué)校信息化建設(shè)提供基礎(chǔ)保障，為學(xué)校教職工搭建一個(gè)高速、穩(wěn)定、安全、可靠的應(yīng)用環(huán)境[4]。并且通過(guò)IT資源的分配能夠?qū)崿F(xiàn)大量用戶并發(fā)訪問(wèn)需求，快速創(chuàng)建服務(wù)器并部署應(yīng)用系統(tǒng)，通過(guò)容災(zāi)備份等措施虛擬服務(wù)器上數(shù)據(jù)的快速恢復(fù)。

四、結(jié)語(yǔ)

隨著《網(wǎng)絡(luò)安全法》和《教育信息化2.0行動(dòng)計(jì)劃》等一系列法律、政策的出臺(tái)，在信息化建設(shè)的過(guò)程中需要高度重視信息系統(tǒng)的安全，因此在私有云平臺(tái)的建設(shè)過(guò)程中要加強(qiáng)安全加固，加強(qiáng)對(duì)數(shù)據(jù)中心私有云平臺(tái)的監(jiān)控和管理，避免內(nèi)部數(shù)據(jù)信息的泄露和丟失，保障信息系統(tǒng)在運(yùn)行中安全可靠，這是當(dāng)下及未來(lái)數(shù)據(jù)中心私有云建設(shè)的一項(xiàng)重要工作。

[參考文獻(xiàn)]

[1]許玉煥.基于VMware的高校云計(jì)算數(shù)據(jù)中心設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與用，2016（8）.

[2]蘇命峰.云計(jì)算環(huán)境下高校數(shù)據(jù)中心的虛擬化研究與實(shí)現(xiàn)[D].長(zhǎng)沙：湖南大學(xué)，2014.

[3]楊志堅(jiān).國(guó)家開放大學(xué)建設(shè)：改革與創(chuàng)新[J].中國(guó)遠(yuǎn)程教育，2013（7）.

[4]李菊.基于私有云安全平臺(tái)的網(wǎng)絡(luò)安全部署研究與實(shí)施[J].信息網(wǎng)絡(luò)安全，2013（8）.