私有云建設(shè)方案樣本

《私有云建設(shè)方案樣本》由會員上傳分享，免費在線閱讀，更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。

資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。私有云建設(shè)方案私有云建設(shè)解決方案2016年4月

1資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。目錄1項目概述22項目建設(shè)規(guī)劃42.1建設(shè)原則42.2項目建設(shè)內(nèi)容、思路及技術(shù)規(guī)劃52.3技術(shù)架構(gòu)和路線介紹62.3.1資源池化62.3.2智能化云管理73私有云總體建設(shè)方案83.1建設(shè)原則83.2總體設(shè)計方案93.2.1邏輯架構(gòu)93.2.2網(wǎng)絡(luò)架構(gòu)103.3計算資源池設(shè)計123.3.1計算資源池技術(shù)路線123.3.2計算資源池設(shè)計143.3.3產(chǎn)品描述153.4存儲資源池設(shè)計183.4.1存儲資源池技術(shù)路線183.4.2存儲資源池193.4.3產(chǎn)品描述203.5安全設(shè)計24

2資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。3.6云管理平臺設(shè)計253.6.1云管理平臺系統(tǒng)架構(gòu)253.6.2云管理平臺功能273.6.3云管理平臺設(shè)計334系統(tǒng)設(shè)計的分析384.1擴(kuò)展性分析384.2可靠性分析384.3可管理性分析395硬件清單401項目概述云計算是一種IT資源的交付和使用模式,指經(jīng)過網(wǎng)絡(luò)(包括互聯(lián)網(wǎng)Internet和企業(yè)內(nèi)部網(wǎng)Intranet)以按需、易擴(kuò)展的方式獲得所需的軟件、應(yīng)用平臺、及基礎(chǔ)設(shè)施等資源。云計算具有資源池化、彈性擴(kuò)展、自助服務(wù)、按需付費、寬帶接入等關(guān)鍵特征。從部署和應(yīng)用模式來講,云計算分為公有云、私有云和混合云等。云計算從服務(wù)模式上來講主要包括基礎(chǔ)設(shè)施即服務(wù)(IaaS)、平臺即服務(wù)(PaaS)、軟件即服務(wù)(SaaS)等內(nèi)容。IaaS是Infrastructure-as-a-Service(基礎(chǔ)設(shè)施即服務(wù))的建成,云計算中心可使用IaaS的模式將其資源提供給客戶,經(jīng)過虛擬化技術(shù),虛擬數(shù)據(jù)中心能夠?qū)⑾鄳?yīng)的物理資源虛擬為多個虛擬的數(shù)據(jù)中心,從而在用戶一端看到一個個獨立的,完整的數(shù)據(jù)中心(虛擬的),這些虛擬數(shù)據(jù)中心能夠由用戶發(fā)起申請和維護(hù),同時,這些虛擬數(shù)據(jù)中心還具有不同的資源占用級別,

3資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。從而保證不同的用戶具有不一樣的資源使用優(yōu)先級。PaaS是Platform-as-a-Service(平臺即服務(wù))的簡稱,PaaS能給客戶帶來更靈活、更個性化的服務(wù),這包括但不但限于中間件作為服務(wù)、消息傳遞作為服務(wù)、集成作為服務(wù)、信息作為服務(wù)、連接性作為服務(wù)等。此處的服務(wù)主要是為了支持應(yīng)用程序。這些應(yīng)用程序能夠運行在云中,而且能夠運行在更加傳統(tǒng)的企業(yè)數(shù)據(jù)中心中。為了實現(xiàn)云內(nèi)所需的可擴(kuò)展性,此處提供的不同服務(wù)經(jīng)常被虛擬化。PaaS廠商也吸引軟件開發(fā)商在PaaS平臺上開發(fā)、運行并銷售在線軟件。SaaS是Software-as-a-Service(軟件即服務(wù))的簡稱,一種經(jīng)過Internet提供軟件的模式,廠商將應(yīng)用軟件統(tǒng)一部署在自己的服務(wù)器上,客戶能夠根據(jù)自己實際需求,經(jīng)過互聯(lián)網(wǎng)向廠商定購所需的應(yīng)用軟件服務(wù),按定購的服務(wù)多少和時間長短向廠商支付費用,并經(jīng)過互聯(lián)網(wǎng)獲得廠商提供的服務(wù)。本次項目為的私有云項目,目標(biāo)為搭建完成一個面向于內(nèi)部使用的私有云環(huán)境,將各應(yīng)用系統(tǒng)移植到該私有云上,實現(xiàn)資源的有效利用、動態(tài)分配、靈活擴(kuò)展和統(tǒng)一管理。本方案的寫作目的為明確建設(shè)所需資源、實現(xiàn)步驟及最終呈現(xiàn)。本方案落地實施后,將完成以下幾方面任務(wù):(1)打破IT資源孤立情況,提高資源利用率2各業(yè)務(wù)系統(tǒng)擁有獨立的硬件設(shè)施被統(tǒng)一管理,形成大的資源池;2資源被統(tǒng)一調(diào)度,打破同一時段,某些業(yè)務(wù)系統(tǒng)較空閑造成資源閑置,另外一些系統(tǒng)因業(yè)務(wù)繁忙,設(shè)備超負(fù)荷工作的現(xiàn)狀;2任何時候都能夠及時滿足各種變化的業(yè)務(wù)需求,實現(xiàn)按需服務(wù)。(2)使運維管理更加容易2隨著系統(tǒng)數(shù)量的不斷增長,運維管理的難度比傳統(tǒng)模式簡單,成本更低;2新平臺使得對各種資源和系統(tǒng)的監(jiān)控和管理更加有效;

4資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。2維護(hù)人員工作負(fù)擔(dān)減小,工作效率有效提高。(3)提升關(guān)鍵業(yè)務(wù)系統(tǒng)硬件處理能力2業(yè)務(wù)應(yīng)用在遇到性能瓶頸時能動態(tài)調(diào)整;2核心業(yè)務(wù)系統(tǒng)建設(shè)較早的設(shè)備,在云計算支撐平臺上能夠得到充分利用,以滿足迅速增長的業(yè)務(wù)需求

5資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。1項目建設(shè)規(guī)劃1.1建設(shè)原則項目建設(shè)遵循如下幾個原則:（1）自主可控原則本次的建設(shè)建議采用自主可控技術(shù)搭建私有云。在產(chǎn)品的選擇上盡量選擇國產(chǎn)品牌或者開源可控系統(tǒng),保障私有云信息安全。（2）開放原則云計算的優(yōu)勢是高性價比,其核心是遵循開放技術(shù)路線并大量采用通用技術(shù)替代專有技術(shù)如Unix,這一點Google、Amazon等云計算供應(yīng)商已經(jīng)證明。云計算建設(shè)應(yīng)遵循開放技術(shù)路線,降低投入成本,避免形成對于供應(yīng)商的鎖定。（3）循序漸進(jìn)原則云計算的建設(shè)不是一蹴而就,應(yīng)循序漸進(jìn)。在本次建設(shè)中,應(yīng)該本著符合使用來控制規(guī)模,如果后續(xù)依然有業(yè)務(wù)系統(tǒng)需要遷移,能夠利用云計算的課擴(kuò)展性,逐步完成擴(kuò)展。（4）統(tǒng)一規(guī)劃和分布實施原則本項目的建設(shè)需要經(jīng)過建設(shè)統(tǒng)一的頂層框架,統(tǒng)一規(guī)劃、統(tǒng)一實施和統(tǒng)一管理,保證項目按照進(jìn)度、按計劃建設(shè)。（5）先進(jìn)性原則本項目的建設(shè),要求技術(shù)具有先進(jìn)性,并保證在未來一段時間內(nèi)具有先進(jìn)性和擴(kuò)展性。

6資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。1.1項目建設(shè)內(nèi)容、思路及技術(shù)規(guī)劃云計算項目的建設(shè)是一個循序漸進(jìn)的過程,需要按照步驟有組織有計劃的推進(jìn),逐步實現(xiàn)建設(shè)目標(biāo)。具體的建設(shè)內(nèi)容包括:（1）搭建私有云,滿足基礎(chǔ)設(shè)施支撐能力需求采用云計算的最新技術(shù),包括虛擬化技術(shù)、設(shè)備資源池化技術(shù)、分布式并行存儲技術(shù)、存儲虛擬化技術(shù)、自動運維技術(shù)、安全技術(shù),用軟件整合、調(diào)度硬件資源,建設(shè)具有良好彈性、擴(kuò)展性、安全性、高可靠、綠色節(jié)能、自主可控的私有云,滿足業(yè)務(wù)系統(tǒng)整合、托管、遷移、運營和運維的需求。l良好的伸縮性,支撐能力隨業(yè)務(wù)變化便捷擴(kuò)展云計算架構(gòu)具有良好的伸縮性,系統(tǒng)的規(guī)劃能夠滿足近期業(yè)務(wù)和資源庫快速增長的需要,同時云計算中心具備了良好的擴(kuò)展性能,能夠隨著業(yè)務(wù)的快速增長而擴(kuò)展,能夠?qū)崿F(xiàn)不停機的情況下,在線增加系統(tǒng)的存儲、計算資源,改變基礎(chǔ)設(shè)施支撐能力有限的局面,為業(yè)務(wù)的增長或變化提供快速響應(yīng),實現(xiàn)業(yè)務(wù)敏捷。l運營的易管理和易操作性,降低運維壓力經(jīng)過云管理平臺,能夠?qū)υ朴嬎阒行牡姆?wù)器設(shè)備、存儲設(shè)備和網(wǎng)絡(luò)設(shè)備以統(tǒng)一的視圖進(jìn)行管理。云管理平臺支持基于策略管理手段,將固定的操作以系統(tǒng)運維策略的方式進(jìn)行固化管理,一方面實現(xiàn)運維的規(guī)范化,降低人為操作錯誤的發(fā)生,另一方面降低運維的壓力,使得更少的運維人員保障業(yè)務(wù)系統(tǒng)的持續(xù)運營。l高可用性,故障不再影響業(yè)務(wù)的連續(xù)性云計算環(huán)境下,硬件故障將成為不可避免的現(xiàn)象。因而私有云的設(shè)計是基于不可靠硬件保障業(yè)務(wù)系統(tǒng)的連續(xù)性的理念進(jìn)行設(shè)計,也即在硬件發(fā)生故障的情況下,也能保障業(yè)務(wù)系統(tǒng)的連續(xù)運轉(zhuǎn)。

7資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。n服務(wù)器的高可用:虛擬化技術(shù)保證虛擬服務(wù)器之間的高可用,即使服務(wù)器發(fā)生故障,支撐業(yè)務(wù)系統(tǒng)運行的虛擬機能夠快速遷移到運轉(zhuǎn)良好的服務(wù)器上,保證業(yè)務(wù)系統(tǒng)不中斷。n存儲的高可用:采用熱備方式,即使在一個存儲節(jié)點發(fā)生故障的情況下,保證業(yè)務(wù)系統(tǒng)的運行不受影響,同時也能夠快速的重建故障節(jié)點。l業(yè)務(wù)連續(xù)性,保證任何時候業(yè)務(wù)系統(tǒng)的可用性業(yè)務(wù)系統(tǒng)遷移到私有云上,能夠充分利用云基礎(chǔ)架構(gòu)的動態(tài)負(fù)載均衡及高可用特性保證業(yè)務(wù)的連續(xù)性。一方面保證業(yè)務(wù)系統(tǒng)的壓力動態(tài)的分不到不同的支撐服務(wù)器上,另一方面,保障業(yè)務(wù)系統(tǒng)部分節(jié)點在出現(xiàn)故障的情況下,利用高可用特性保證業(yè)務(wù)的不中斷。l信息系統(tǒng)彈性,降低突發(fā)事件的影響由于突發(fā)事件的不確定性,進(jìn)而會導(dǎo)致業(yè)務(wù)系統(tǒng)的訪問量有突發(fā)性特征,這對基礎(chǔ)設(shè)施的支撐能力提出了更高的要求,否則突發(fā)事件往往導(dǎo)致業(yè)務(wù)系統(tǒng)的癱瘓。將業(yè)務(wù)系統(tǒng)部署到私有云上,業(yè)務(wù)系統(tǒng)有突發(fā)的高并發(fā)訪問時,云管理平臺將會自動將閑置的計算資源調(diào)配給相關(guān)業(yè)務(wù)系統(tǒng),從而大幅提升業(yè)務(wù)系統(tǒng)的支撐能力。l安全性私有云系統(tǒng)不但能夠接管傳統(tǒng)信息系統(tǒng)的一切安全設(shè)備和措施,而且能夠經(jīng)過云管理平臺進(jìn)行統(tǒng)一的管理。針對云計算中的虛擬化資源,云管理平臺經(jīng)過虛擬防火墻,VPN,VLAN,負(fù)載均衡等技術(shù),有效的保障了虛擬化資源的安全性1.1技術(shù)架構(gòu)和路線介紹在私有云建設(shè)中基本能夠分為三大部分:資源池化、智能化云管理等。

8資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。1.1.1資源池化資源池化就是將計算資源、存儲資源、網(wǎng)絡(luò)資源經(jīng)過虛擬化技術(shù),將構(gòu)成相應(yīng)資源的眾多物理設(shè)備組合成一個整體,形成相應(yīng)的計算資源池、存儲資源池、網(wǎng)絡(luò)資源池,提供給上層應(yīng)用軟件。資源虛擬化是對上層應(yīng)用屏蔽底層設(shè)備或架構(gòu)的資源封裝手段,是實現(xiàn)云計算資源池化的重要技術(shù)基礎(chǔ)。虛擬化技術(shù)由來已久,所謂虛擬化是相對于物理實體而言的,即將真實存在的物理實體,經(jīng)過切分或(和)聚合的封裝手段形成新的表現(xiàn)形態(tài)。聚合封裝是將多個物理實體經(jīng)過技術(shù)手段封裝為單一虛擬映像/實例,可用于完成某個業(yè)務(wù)。例如SMP、計算集群(Cluster)、負(fù)載均衡集群(LoadBalance)、RAID技術(shù)、虛擬存儲、端口匯聚(porttrunk)、交換機堆疊(stack)等。切分封裝是將單個物理實體經(jīng)過技術(shù)手段封裝為多個虛擬映像/實例,可用于執(zhí)行不同業(yè)務(wù)。例如主機虛擬化、存儲分區(qū)、虛擬局域網(wǎng)(VLAN)等。虛擬化技術(shù)的一個重要結(jié)果是降低IT架構(gòu)中部件之間的依賴關(guān)系,以計算虛擬化為例,集群、主機虛擬化等計算虛擬化技術(shù)實現(xiàn)了應(yīng)用軟件與物理基礎(chǔ)設(shè)施解耦。最終的效果是分離了應(yīng)用軟件與物理基礎(chǔ)設(shè)施,解除或弱化了它們之間的耦合,從而也就削弱了各自的技術(shù)發(fā)展所受到的相互限制,拓展了技術(shù)發(fā)展的空間和靈活性。1.1.2智能化云管理云計算架構(gòu)具有IaaS、PaaS、SaaS等眾多的服務(wù)模型,提供計算服務(wù)、存儲服務(wù)、乃至整合各種資源的綜合性服務(wù),其資源的構(gòu)成更加復(fù)雜、規(guī)模更加龐大。為了提高易用性和可維護(hù)性,各種資源構(gòu)成之間的關(guān)系復(fù)雜。在本項目中,

9資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。主要構(gòu)建IaaS層。為了保證云計算中心的服務(wù)質(zhì)量,對于眾多用戶資源配給的調(diào)整也要求更精準(zhǔn)的、更及時。這些要求已經(jīng)不是依靠運維人員的能力所能滿足的,需要采用更加智能化的自適應(yīng)運維管理。云計算中心運維管理要適應(yīng)云服務(wù)對資源管理所提出的新需求,●緊耦合的資源管理云計算中心采用資源綜合管理,即將系統(tǒng)中的計算、存儲、網(wǎng)絡(luò)等資源視為整體系統(tǒng),實施統(tǒng)一管理,這有利于優(yōu)化整體性能、精確定位問題、是實現(xiàn)動態(tài)資源調(diào)度的重要因素。●多維度的資源管理云計算中心的資源具有多種視圖,例如物理資源視圖、虛擬資源視圖、虛擬組織視圖,因此,云管理也應(yīng)該是多維的。

10資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。1私有云總體建設(shè)方案1.1建設(shè)原則私有云的建設(shè)將遵循以下的建設(shè)原則:1)標(biāo)準(zhǔn)化和開放性系統(tǒng)的標(biāo)準(zhǔn)化和規(guī)范化是信息系統(tǒng)建設(shè)基本而又關(guān)鍵的一步,要實現(xiàn)信息通訊與共享,必須規(guī)范信息技術(shù)標(biāo)準(zhǔn)。采用業(yè)務(wù)內(nèi)標(biāo)準(zhǔn)的技術(shù)體系和設(shè)計方法,使系統(tǒng)最大程度地具備各種層次的平臺無關(guān)性和兼容性。在使用新技術(shù)的同時充分考慮技術(shù)的國際標(biāo)準(zhǔn)化,嚴(yán)格按照國際國內(nèi)相關(guān)標(biāo)準(zhǔn)設(shè)計實施。2)先進(jìn)性和超前性在實用可靠的前提下,盡可能跟蹤國內(nèi)外先進(jìn)的計算機軟硬件技術(shù)、信息技術(shù)及網(wǎng)絡(luò)通信技術(shù),使系統(tǒng)具有較高的性能價格比,同時建設(shè)方案以實際可接受能力為尺度,避免盲目追求新技術(shù),造成不必要的浪費。技術(shù)上立足于長遠(yuǎn)發(fā)展,堅持選用開放性系統(tǒng),使系統(tǒng)和將來的新技術(shù)能平滑過渡。采用先進(jìn)的體系結(jié)構(gòu)和技術(shù)發(fā)展的主流產(chǎn)品,保證整個系統(tǒng)高效運行。3)實用性和方便性系統(tǒng)建設(shè)要以滿足需求為首要目標(biāo),采用穩(wěn)定可靠的成熟技術(shù),

11資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。保證系統(tǒng)長期安全運行。系統(tǒng)應(yīng)用后,確實能為各級業(yè)務(wù)和管理節(jié)點提供一個智能化的網(wǎng)絡(luò)信息環(huán)境,以提高管理水平和工作的效率。1)安全性和保密性遵循有關(guān)信息安全標(biāo)準(zhǔn),具有切實可行的安全保護(hù)和保密措施,確保數(shù)據(jù)永久安全。系統(tǒng)應(yīng)提供多方式、多層次、多渠道的安全保密措施,防止各種形式與途徑的非法侵入和機密信息的泄露,保證系統(tǒng)中數(shù)據(jù)的安全。2)穩(wěn)定性和可靠性系統(tǒng)建成并投入使用后,將成為支撐系統(tǒng)平穩(wěn)運轉(zhuǎn)的運行平臺和開發(fā)新業(yè)務(wù)系統(tǒng)的基礎(chǔ)平臺,系統(tǒng)癱瘓的后果是難以想象的。因此系統(tǒng)必須在成本能夠接受的條件下,從系統(tǒng)結(jié)構(gòu)、設(shè)計方案、設(shè)備選型、廠商的技術(shù)服務(wù)與維護(hù)響應(yīng)能力,備件供應(yīng)能力等方面考慮,使得系統(tǒng)故障發(fā)生的可能性盡可能少,影響盡可能小,對各種可能出現(xiàn)的緊急情況有應(yīng)急的工作方案和對策。3)跨平臺性和可移植性由于系統(tǒng)建設(shè)的復(fù)雜性要求,在設(shè)計時,要充分考慮系統(tǒng)的跨平臺、跨系統(tǒng)、跨應(yīng)用、跨地區(qū)性和在各種操作系統(tǒng)、不同的中間件平臺上可移植。4)可維護(hù)性和可擴(kuò)展性要保證系統(tǒng)能在各種操作系統(tǒng)和不同的中間件平臺上移植。系統(tǒng)設(shè)計做到信息內(nèi)容統(tǒng)一,以便日后的系統(tǒng)維護(hù)。在私有云的設(shè)計過程中,充分考慮在未來若干年內(nèi)的發(fā)展趨勢,具有一定的前瞻性,并充分考慮了系統(tǒng)升級、擴(kuò)容、擴(kuò)充和維護(hù)的可行性。

12資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。1.1總體設(shè)計方案1.1.1邏輯架構(gòu)私有云的系統(tǒng)部署邏輯架構(gòu)如下圖所示:邏輯架構(gòu)圖用于對外提供各種服務(wù)的多種類型的虛擬主機節(jié)點的集合構(gòu)成了計算”資源池”,其不但實現(xiàn)了基于服務(wù)器的CPU、內(nèi)存、磁盤、I/O等硬件的虛擬化實現(xiàn)動態(tài)管理的”資源池”,同時還能夠在各類型虛擬主機所在的物理服務(wù)器之間進(jìn)行動態(tài)的遷移和變更資源。為此要求將各種類型的物理服務(wù)器、存儲、網(wǎng)絡(luò)等設(shè)備統(tǒng)一為一個邏輯意義上的”計算資源池”,從而提高資源的利用率,簡化系統(tǒng)管理,實現(xiàn)服務(wù)器整合,讓IT對業(yè)務(wù)的變化更具適應(yīng)力。云管理平臺為用戶提供簡單、統(tǒng)一的管理平臺,內(nèi)置豐富的資源管理與交付功能;云平臺將原本靜態(tài)分配的IT基礎(chǔ)設(shè)施抽象為可管理、易于調(diào)度、按需分配的資源;使用云平臺能夠把資源的能力封裝,對外提供按需靈活使用各類IT資源的服務(wù),滿足各種業(yè)務(wù)的運營。云管理平臺主要進(jìn)行系統(tǒng)資源的服務(wù)化、實現(xiàn)資源快速部署與按需分發(fā)。借助于云管理平臺,能夠構(gòu)建易于管理、動態(tài)高效、靈活擴(kuò)展、穩(wěn)定可靠、按需使用的私有云結(jié)構(gòu)。

13資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。1.1.1網(wǎng)絡(luò)架構(gòu)(假設(shè))私有云網(wǎng)絡(luò)架構(gòu)如下圖所示:管理服務(wù)器:用于云管理平臺管理節(jié)點的安裝,負(fù)責(zé)對私有云的資源池進(jìn)行管理、調(diào)度和監(jiān)控。在本期建設(shè)中,能夠考慮利舊或者是虛擬機來作為管理服務(wù)器節(jié)點。虛擬化服務(wù)器:該服務(wù)器為若干臺服務(wù)器組成的集群,形成計算資源池。經(jīng)過虛擬化軟件將物理服務(wù)器安裝需求,虛擬出若干臺符合應(yīng)用需求的應(yīng)用虛擬機作為私有云業(yè)務(wù)的應(yīng)用負(fù)載服務(wù)器。各虛擬化資源經(jīng)過云管理平臺統(tǒng)一調(diào)度、

14資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。按需分配。如果計算資源池的資源不夠使用,能夠直接添加服務(wù)器,或者采用利舊的方式,無縫擴(kuò)展資源池。存儲:該存儲的主要用于虛擬機的數(shù)據(jù)存儲、業(yè)務(wù)數(shù)據(jù)存儲等。根據(jù)業(yè)務(wù)需要在本次私有云建設(shè)中,采用光纖存儲進(jìn)行通信。本期采用單存儲的方式,做到滿足數(shù)據(jù)和業(yè)務(wù)需求,后期能夠考慮雙存儲以HA的方式互備,保障了整個私有云系統(tǒng)的數(shù)據(jù)安全。存儲同樣屬于計算資源池的一部分,由云管理平臺統(tǒng)一納管。光纖交換機:光纖交換機為服務(wù)器與存儲間的通信交換機,選擇8Gb/s的交換模塊,能夠有效保障服務(wù)器與存儲間的通信速率。本期采用兩臺24口8Gb/s光纖交換機(各激活8個口),以主備方式提供光纖網(wǎng)絡(luò)通信。接入交換機:根據(jù)現(xiàn)有的網(wǎng)絡(luò)環(huán)境和需求,接入交換機選擇兩個48口的千兆交換機進(jìn)行通信。以主備的方式,保障網(wǎng)絡(luò)安全。防火墻:接入交換機數(shù)據(jù)經(jīng)過防火墻上聯(lián)到核心交換機,接入核心網(wǎng)絡(luò)。1.1云管理平臺設(shè)計1.1.1云管理平臺系統(tǒng)架構(gòu)云平臺系統(tǒng)的整體架構(gòu)如下圖所示,系統(tǒng)分為物理資源層、虛擬資源層、云平臺管理系統(tǒng)層和云計算服務(wù)層。

15資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。系統(tǒng)架構(gòu)圖上文提到的服務(wù)器資源和存儲資源、網(wǎng)絡(luò)資源等構(gòu)成了物理資源層,經(jīng)過虛擬化軟件形成統(tǒng)一的虛擬化資源,并經(jīng)過云平臺管理系統(tǒng),將物理設(shè)備和系統(tǒng)資源整合為統(tǒng)一的計算資源池、存儲資源池和網(wǎng)絡(luò)資源池,在此基礎(chǔ)上根據(jù)用戶的需求,自動劃分資源,在資源管理平臺和業(yè)務(wù)服務(wù)管理平臺的支持下,為用戶提供豐富的云服務(wù)。云平臺從運維、運營與用戶三個層面對私有云進(jìn)行資源管理和運營管理。

16資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。云平臺管理架構(gòu)圖云計算管理平臺是一個用來創(chuàng)立云基礎(chǔ)架構(gòu)(IaaS)的平臺。云計算管理平臺允許企業(yè)在公司內(nèi)部設(shè)立一個服務(wù)于企業(yè)自身的私有云。當(dāng)前VMWare,Citrix和Microsoft提供的虛擬化平臺主要幫助企業(yè)的IT人員能夠像以前管理物理機一樣管理她們的虛擬機。而云計算管理平臺是幫助非IT人員能夠經(jīng)過自服務(wù)的方式使用虛擬機服務(wù)。云計算管理平臺包含管理服務(wù)器以及業(yè)界標(biāo)準(zhǔn)的虛擬化軟件(如XenServer,Vsphere,KVM等)的擴(kuò)展。管理服務(wù)器能夠部署在一臺服務(wù)器或一組服務(wù)器集群上。管理服務(wù)器對所有節(jié)點上的資源進(jìn)行統(tǒng)一管理并提供web接口給管理員和用戶,使她們能夠?qū)?quán)限內(nèi)的資源進(jìn)行訪問和操作。云管理平臺統(tǒng)將要實現(xiàn)的目標(biāo)包括:1.對本項目建設(shè)物理資源、網(wǎng)絡(luò)資源和虛擬資源,進(jìn)行統(tǒng)一的管理;2.由于不同的應(yīng)用資源,處于不同的內(nèi)網(wǎng)或外網(wǎng)條件下,

17資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。建設(shè)的云管理平臺能夠跨網(wǎng)絡(luò)管理;1.納管已有的物理資源和網(wǎng)絡(luò)資源,本次實施以實驗的方式,先納管部分資源,根據(jù)使用情況,逐漸將所有物理資源和網(wǎng)絡(luò)資源納管進(jìn)來;2.實現(xiàn)對所有信息資源,包括物理計算資源,虛擬技計算資源,物理網(wǎng)絡(luò)資源、虛擬網(wǎng)絡(luò)資源的自動化管理;3.云管理平臺提供可視,可控,可管的運維系統(tǒng)。1.1.1云管理平臺功能1.1.1.1云平臺服務(wù)云計算管理平臺為用戶創(chuàng)立虛擬機實例提供了多種選擇:l計算服務(wù),由管理員定義,提供CPU速度和個數(shù),內(nèi)存大小和根卷大小等選擇l存儲服務(wù),由管理員定義,提供了數(shù)據(jù)卷大小的選擇l網(wǎng)絡(luò)服務(wù),由云計算管理平臺定義,描述了用戶經(jīng)過虛擬路由器或者外部網(wǎng)絡(luò)設(shè)備能夠使用的功能。l模板和鏡像,模板是一個操作系統(tǒng)的鏡像,用戶能夠從這個鏡像創(chuàng)立新的虛擬機。所有通用的Linux和Windows系統(tǒng)都能夠成為模板。管理員也能夠向系統(tǒng)中導(dǎo)入新的模板。除以上選項之外,還有一種只對云計算管理平臺管理員可見的服務(wù)類型,用于配置虛擬機路由器。1.1.1.2帳戶、用戶和域云計算管理平臺的用戶經(jīng)過分配的帳戶登陸和使用資源。在云環(huán)境里,

18資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。各帳戶之間的環(huán)境是相互隔離的。一個域由一組帳戶構(gòu)成,一個域中的帳戶一般有邏輯上的關(guān)聯(lián)性,域能夠有多個管理員帳戶對域以及域包含的子域進(jìn)行管理。一個賬戶能夠?qū)?yīng)多個用戶,用戶更像是賬戶的別名,同一賬戶的用戶之間沒有相互隔離,她們具有相同的權(quán)限,可見的資源也相同。在大多數(shù)情況下,一個賬戶對應(yīng)一個用戶即可滿足需求。1.1.1.1管理服務(wù)器云計算管理平臺管理服務(wù)器運行于WEB容器(如Tomcat)并使用關(guān)系型數(shù)據(jù)庫(如MySQL)存放數(shù)據(jù),所使用數(shù)據(jù)庫也能夠安裝在一臺獨立的物理機上,也就是數(shù)據(jù)庫服務(wù)器,并能夠根據(jù)需要配置備份服務(wù)器。·提供管理員和用戶訪問的web界面·提供云計算管理平臺對外的API接口·管理每個資源節(jié)點上的虛擬機資源分配·管理每個帳戶的公網(wǎng)和內(nèi)網(wǎng)IP地址分配·管理虛擬硬盤鏡像的存儲空間分配·管理快照(snapshot)、模板、ISO鏡像,并能夠根據(jù)需要將它們跨數(shù)據(jù)中心備份?！ふ麄€云環(huán)境配置的中心1.1.1.2資源服務(wù)器資源服務(wù)器是用來提供虛擬機資源的服務(wù)器。能夠經(jīng)過云管理平臺自帶的虛擬化軟件進(jìn)行虛擬化,也能夠經(jīng)過如VMWARE、CitrixXEN等相關(guān)軟件或功能進(jìn)行虛擬化。·提供虛擬機需要的所有CPU,內(nèi)存,存儲和網(wǎng)絡(luò)資源

19資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。·互相經(jīng)過高速網(wǎng)絡(luò)互聯(lián)互通,并具備Internet連接·能夠位于不同地理位置的不同數(shù)據(jù)中心·能夠具有不同的規(guī)格(如不同的CPU速度,不同的內(nèi)存大小等等)·是高性能通用x86兼容服務(wù)器,自身相對可靠,但規(guī)模較大時允許出現(xiàn)個別服務(wù)器故障1.1.1.1網(wǎng)絡(luò)功能和網(wǎng)絡(luò)虛擬化云計算管理平臺管理內(nèi)網(wǎng)(private)、直連網(wǎng)絡(luò)direct和公網(wǎng)(public)的IP分配。管理員首先將可供分配的內(nèi)網(wǎng),直連網(wǎng)絡(luò)和公網(wǎng)IP輸入系統(tǒng)。主要有兩種網(wǎng)絡(luò)模型可供創(chuàng)立:直連網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)。云計算管理平臺的資源域(Zone)也分為兩類:基本網(wǎng)絡(luò)資源域僅能創(chuàng)立直連無標(biāo)記(untagged)網(wǎng)絡(luò)。高級網(wǎng)絡(luò)資源域除此之外還能夠創(chuàng)立虛擬網(wǎng)絡(luò)以及直連帶標(biāo)記(tagged)網(wǎng)絡(luò)。直連網(wǎng)絡(luò)在直連網(wǎng)絡(luò)中,虛擬機被直接在本地子網(wǎng)中分配IP地址。這些虛擬機能夠直接訪問Internet,也沒有任何NAT轉(zhuǎn)換。它們的網(wǎng)絡(luò)封包不經(jīng)過任何虛擬路由器。因此,直連網(wǎng)絡(luò)無法獲得云計算管理平臺中的軟負(fù)載平衡、防火墻和端口轉(zhuǎn)發(fā)等功能。直連網(wǎng)絡(luò)的用戶根據(jù)配置的不同,能夠和別的直連網(wǎng)絡(luò)用戶相通或隔離。在直連帶標(biāo)記網(wǎng)絡(luò)中,管理員對資源域內(nèi)部的每位用戶分配特定的VLAN標(biāo)識和IP段。用戶的虛擬機能夠從虛擬路由器(相當(dāng)于DHCP服務(wù)器)獲得IP地址。直連帶標(biāo)記網(wǎng)絡(luò)能夠讓用戶的虛擬機方便的與外界網(wǎng)絡(luò)互聯(lián)互通,包括管理服務(wù)器。直連無標(biāo)記網(wǎng)絡(luò)則采用了類似于亞馬遜的安全組概念對每位用戶進(jìn)行隔離,而不采用VLAN

20資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。。所有用戶不論賬號如何都在同一個廣播域內(nèi)。直連無標(biāo)記網(wǎng)絡(luò)最常使用在私有云中。所有的Hypervisor類型都能夠支持直連無標(biāo)記網(wǎng)絡(luò),但只有XenServer和KVM的節(jié)點能夠設(shè)置安全組。虛擬網(wǎng)絡(luò)在虛擬網(wǎng)絡(luò)中,用戶的虛擬機部署于私有的虛擬網(wǎng)絡(luò)中。每個用戶的虛擬網(wǎng)絡(luò)均經(jīng)過VLAN與其它用戶的虛擬網(wǎng)絡(luò)隔離。每個用戶的所有客戶機也在自己的VLAN中被分配相應(yīng)的網(wǎng)絡(luò)接口。能夠用兩種方式建立虛擬網(wǎng)絡(luò):基于虛擬路由器和基于外部路由器。l云計算管理平臺在安裝時就提供了一個虛擬路由器。這個虛擬路由器能夠提供DNS,DHCP,gateway,NAT,負(fù)載平衡和VPN服務(wù)。l基于外部路由器的虛擬網(wǎng)絡(luò)使用第三方廠家的路由器設(shè)備提供gateway和NAT服務(wù),而DNS和DHCP依舊由虛擬路由器完成。虛擬網(wǎng)絡(luò)的部署必須使用虛擬路由器或外部路由器。在虛擬網(wǎng)絡(luò)中,同一個用戶的不同虛擬機因為處于同一個VLAN,她們之間的網(wǎng)絡(luò)通信不經(jīng)過虛擬路由器。VLAN起到用戶之間隔離的作用:不同帳戶的用戶使用不同的VLAN。在虛擬網(wǎng)絡(luò)中,每一個用戶會被分配一個外網(wǎng)IP地址。用戶能夠申請更多的外網(wǎng)IP地址。外網(wǎng)IP地址是指用戶實際訪問虛擬機的IP地址。經(jīng)過虛擬路由器建立虛擬網(wǎng)絡(luò)每個帳戶都被分配一個虛擬路由器。所有此帳戶擁有的外網(wǎng)IP地址也都分配給這個虛擬路由器。這個虛擬路由器是虛擬機和外網(wǎng)通信的管道,而且為虛擬機提供DNS和DHCP服務(wù),以及NAT轉(zhuǎn)換。虛擬路由器的存在使得云計算管理平臺能夠為用戶提供很多網(wǎng)絡(luò)功能,例如:將發(fā)送至某個外網(wǎng)IP的包轉(zhuǎn)發(fā)至一個指定的虛擬機,

21資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除?；蚴窃诙鄠€虛擬機之間做流量的負(fù)載平衡,使得經(jīng)過有限的公網(wǎng)IP能夠提供更可靠的服務(wù)。經(jīng)過外部路由器建立虛擬網(wǎng)絡(luò)每個帳戶依然被分配一個虛擬路由器。但所有此帳戶擁有的外網(wǎng)IP被分配給外部路由設(shè)備。外部路由器成為虛擬機和外網(wǎng)通信的橋梁,并提供NAT轉(zhuǎn)換。虛擬路由器僅提供DNS和DHCP功能。負(fù)載平衡能夠由外部路由器或者虛擬路由器完成。一個帳戶可能既擁有在虛擬網(wǎng)絡(luò)的虛擬機也擁有在直連帶標(biāo)記網(wǎng)絡(luò)的虛擬機。在這種情況下,這個帳戶將擁有兩臺虛擬路由器,一臺虛擬路由器負(fù)責(zé)資源域VLAN的管理,一臺虛擬路由器負(fù)責(zé)直連帶標(biāo)記VLAN的管理。在同一個資源域里基本網(wǎng)絡(luò)不能與虛擬網(wǎng)絡(luò)或直連帶標(biāo)記網(wǎng)絡(luò)共存。一個云環(huán)境可能包含一個基本網(wǎng)絡(luò)資源域,一個虛擬網(wǎng)絡(luò)與直連帶標(biāo)記網(wǎng)絡(luò)共存的資源域。1.1.1.1存儲功能和虛擬化虛擬機模板是用戶第一次啟動虛擬機時所使用的基本操作系統(tǒng)鏡像。例如,有用戶需要64位CentOS5.3的操作系統(tǒng)鏡像,就能夠把它作為一個虛擬機模板。每個虛擬機模板都有相應(yīng)的訪問權(quán)限。訪問權(quán)限包括:·公開權(quán)限。這個模板能夠供所有用戶訪問?！に接袡?quán)限。這個模板只能供創(chuàng)立它的用戶,以及該用戶指定的使用者訪問。管理員和用戶都能夠?qū)⒛０寮尤胫料到y(tǒng)。用戶在訪問模板的時候能夠看見模板的所有者。云計算管理平臺將提供給虛擬機使用的一塊存儲空間稱為一個卷。卷既能夠是系統(tǒng)盤也能夠是數(shù)據(jù)盤。系統(tǒng)盤在文件系統(tǒng)中的路徑為”/”或”C:”,也一般作為引導(dǎo)盤使用。數(shù)據(jù)盤提供額外的存儲空間(路徑為”/opt”或”D:”

22資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。)。每個虛擬機都有一個系統(tǒng)盤和一個數(shù)據(jù)盤。用戶能夠?qū)⒍鄠€數(shù)據(jù)盤掛接在一個虛擬機上。這些數(shù)據(jù)盤能夠從管理員提供的存儲服務(wù)中獲得。同時,用戶還能夠從卷中創(chuàng)立模板,這也是私有模板的標(biāo)準(zhǔn)創(chuàng)立方式。ISO鏡像的存儲和使用方式與模板類似。ISO鏡像除了訪問權(quán)限外,還可分為兩種類型:能夠引導(dǎo)系統(tǒng)的(bootable)和不能引導(dǎo)系統(tǒng)的。能夠引導(dǎo)的ISO鏡像一般包含操作系統(tǒng)鏡像(如Ubuntu10.4安裝CD)。MasterStack云計算管理平臺允許用戶從ISO鏡像啟動虛擬機。用戶還能夠?qū)SO鏡像掛接到虛擬機上。例如,需要在Windows虛擬機上安裝PV驅(qū)動程序時就能夠掛接對應(yīng)Hypervisor廠商的ISO鏡像。云計算管理平臺支持卷的快照,包括系統(tǒng)盤和數(shù)據(jù)盤。管理員能夠為每個用戶能夠創(chuàng)立的快照數(shù)量設(shè)限。用戶既能夠經(jīng)過快照來還原卷以恢復(fù)丟失的數(shù)據(jù),也能夠從快照來創(chuàng)立模板,以確保當(dāng)卷無法還原時能夠直接啟動新的虛擬機以保證業(yè)務(wù)的連續(xù)性。能夠?qū)⒖煺赵O(shè)置為定期任務(wù)?？煺找话銜谥鞔鎯υO(shè)備上生成并備份至二級存儲,直到被刪除或被新的快照覆蓋。云計算管理平臺能夠配置主存儲和二級存儲。主存儲支持iSCSI,FC或NFS接口。主存儲上存放虛擬機的磁盤鏡像,一般和服務(wù)器物理位置接近。二級存儲上存放模板,ISO鏡像以及快照數(shù)據(jù),一般一個二級存儲能夠?qū)?yīng)幾百臺服務(wù)器。1.1.1.1虛擬機分配策略云計算管理平臺在創(chuàng)立虛擬機時會根據(jù)內(nèi)置策略選擇可用的物理機。被選擇的物理機總是和虛擬機的鏡像物理位置接近。分配策略包括”縱向優(yōu)先”和”橫向優(yōu)先”。縱向優(yōu)先是指先分配滿一臺物理機的負(fù)載,再分配第二臺物理機。這樣的好處是節(jié)能,未分配的物理機能夠處于休眠模式。橫向優(yōu)先是指每臺物理機平均分配負(fù)載。這樣的好處是確保每臺虛擬機的性能最優(yōu)。云計算管理平臺支持CPU超配(overcommit),也就是允許管理員分配比實際

23資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。CPU個數(shù)/能力更多的虛擬機給最終用戶。1.1.1.1虛擬機管理云計算管理平臺為管理員和用戶提供了豐富的虛擬機管理功能。虛擬機的基本操作包括啟動,停止,重啟,刪除等等。虛擬機包含名稱和組別。虛擬機的名稱和組別對于云計算管理平臺是不透明的,用戶經(jīng)過它們來組織和管理虛擬機。虛擬機能夠配置HA。對于配置了HA的虛擬機,系統(tǒng)會監(jiān)控它們的狀態(tài),并在發(fā)現(xiàn)出問題的時候試著在另一個物理機上重新啟動該虛擬機。云計算管理平臺無法區(qū)分一臺虛擬機是正常關(guān)機還是異常關(guān)機。如果用戶關(guān)掉了一臺配置HA的虛擬機,云計算管理平臺會重啟它。因此,當(dāng)用戶真的需要關(guān)掉配置HA的虛擬機的話,需要先經(jīng)過云計算管理平臺界面或者API以禁用HA功能。1.1.1.2其它管理功能系統(tǒng)還提供了警告和事件等管理功能。警告是發(fā)送給管理員的提示,一般見郵件發(fā)送,通知管理員系統(tǒng)出現(xiàn)錯誤。警告信息是可配置的。事件功能跟蹤管理員和用戶在云計算管理平臺的所有操作。例如,每次虛擬機啟動都對應(yīng)一個事件。事件存放在管理服務(wù)器的數(shù)據(jù)庫。云計算管理平臺允許管理員將某臺物理機設(shè)為維護(hù)模式。位于維護(hù)模式的物理機首先從資源池中移出,不再接收新的虛擬機分配請求。然后,這臺物理機上的虛擬機會被無縫遷移至其它不在維護(hù)模式的物理機。由于這里采用的是在線遷移技術(shù),客戶的業(yè)務(wù)和應(yīng)用不會受到影響。管理員和用戶還能夠監(jiān)控物理機和虛擬機的性能。經(jīng)過云計算管理平臺的監(jiān)控界面,用戶能夠了解機器各種資源的使用情況以決定是否要換用更高級的虛擬機或是更大的存儲空間。

24資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。1.1.1.1API和擴(kuò)展性云計算管理平臺的管理員界面和用戶界面是基于同一套標(biāo)準(zhǔn)的HTTP請求協(xié)議開發(fā)的。這一套協(xié)議確保界面和后端的松耦合,不論是改寫用戶界面還是開發(fā)命令行工具都很方便。云計算管理平臺的可擴(kuò)展分配策略架構(gòu)允許接入新的分配策略來分配存儲和物理機。1.1.1.2彈性和可用性云計算管理平臺的設(shè)計確保對多個數(shù)據(jù)中心,上千臺服務(wù)器規(guī)模的支持。我們把一個機架(Pod)作為大規(guī)模部署下的一個單位。一般一個Pod對應(yīng)一個物理機架。系統(tǒng)規(guī)模的擴(kuò)展也就是增加新的機架以及在管理服務(wù)器中對新加的資源進(jìn)行管理的流程。云計算管理平臺也包含了一系列保證可用性的特性。首先,管理服務(wù)器能夠是一組配置了負(fù)載平衡的服務(wù)器機群。其次,數(shù)據(jù)庫能夠配置自動備份以確保在出錯時能夠人工恢復(fù)。對于資源服務(wù)器,云計算管理平臺支持網(wǎng)卡綁定,多網(wǎng)絡(luò)存儲以及iSCSI多路徑。1.1.2云管理平臺設(shè)計1.1.2.1資源管理系統(tǒng)設(shè)計資源整合和虛擬化將原本靜態(tài)分配的IT資源池化,打破資源孤島、形成邏輯的資源池,使上層的應(yīng)用不再以豎井(Silo)和專用(Dedicated)的形式使用資源,而是多個應(yīng)用共享資源池,既能夠提高資源利用率,又能夠經(jīng)過快速部署、動態(tài)分配等應(yīng)對應(yīng)用對資源的突發(fā)需求。

25資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。在私有云建設(shè)中,當(dāng)資源池就緒之后,經(jīng)過云管理平臺資源管理模塊實現(xiàn)異構(gòu)資源池的統(tǒng)一管理,動態(tài)分配和調(diào)度資源以滿足多應(yīng)用需求。已有設(shè)備和新購入設(shè)備均能夠納入云管理平臺的管理中。設(shè)備管理:統(tǒng)一的設(shè)備資產(chǎn)管理,清晰、方便的維護(hù)和管理各類設(shè)備相關(guān)信息,如設(shè)備名稱、編號、型號,所處的具體物理位置信息等,實現(xiàn)設(shè)備與資源的統(tǒng)一納管和集中監(jiān)控展示。網(wǎng)絡(luò)拓?fù)?覆蓋虛擬機層級的網(wǎng)絡(luò)拓?fù)鋱D、VLAN圖,以及直觀的機架圖,從各個層面展示私有云的設(shè)備連接情況,準(zhǔn)確了解虛擬機與物理機的依存關(guān)系。系統(tǒng)監(jiān)控:圖形化和列表的方式展示虛擬機、Hypervisor主機、物理機、存儲、網(wǎng)絡(luò)設(shè)備的啟停狀態(tài)、資源利用率等詳細(xì)監(jiān)控信息;并可經(jīng)過儀表板的集中展現(xiàn),全面直觀的了解整個資源系統(tǒng)的概要信息。告警管理:告警規(guī)則配置與管理,告警事件統(tǒng)一展示,可及時了解資源池中的各種異常事件和告警信息。報表系統(tǒng):豐富的報表統(tǒng)計功能,可統(tǒng)計分析各種資源的歷史使用情況、利用率情況、可用性等信息,為資源的進(jìn)一步優(yōu)化利用提供決策信息。1.1.1.1運營管理系統(tǒng)設(shè)計云管理平臺除了改變傳統(tǒng)信息系統(tǒng)的管理方式外,更體現(xiàn)了云計算中”服務(wù)”的概念。在私有云建設(shè)中,經(jīng)過云管理平臺的運營管理系統(tǒng),能夠?qū)①Y源服務(wù)化,更好的提供方便快捷的信息資源服務(wù)。在資源池之上,將資源封裝為可度量的服務(wù),并使最終用戶以最便捷靈活的形式按需使用這些服務(wù)。提供了服務(wù)管理、訂單管理、用戶管理、計費管理等功能,以幫助信息管理人員完成日常運營工作,面向最終用戶提供自助服務(wù)流程。實現(xiàn)”按需自助服務(wù)”這一云計算最終目的。主要設(shè)計功能:

26資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。資源封裝,預(yù)置豐富的云服務(wù)針對的實際應(yīng)用或業(yè)務(wù)需求,配合信息管理人員,將資源池中的各種資源封裝為適合不同應(yīng)用使用的不同服務(wù)模板,并經(jīng)過服務(wù)目錄的形式在門戶系統(tǒng)上展現(xiàn),供用戶瀏覽和選擇所需服務(wù)。運營管理員也能夠根據(jù)信息業(yè)務(wù)發(fā)展情況和用戶反饋的意見,創(chuàng)立新服務(wù)模板并發(fā)布,以滿足不同用戶的需求。經(jīng)過門戶系統(tǒng),管理員能夠輕松的管理服務(wù)模板的創(chuàng)立、修改、發(fā)布、刪除等整個生命周期過程。訂單管理云管理平臺提供”購物車”功能,用戶經(jīng)過自服務(wù)門戶,能夠像網(wǎng)上購物一樣選擇服務(wù)產(chǎn)品放入購物車并提交以生成訂單,訂單可管理、查看審批軌跡及刪除。運營管理員則對所有用戶提交的訂單進(jìn)行管理。使用者和運營管理者無需溝通交流即可申請信息資源的使用。大大化簡了信息資源的申請審批流程,方便了一線職工的使用,減少了信息管理人員的工作量。審批流程為了防止在審批流程中出現(xiàn)問題,審批能夠是單層或?qū)蛹墝徟?每一級審批可設(shè)置為自動或人工完成。對審批層級和自動/人工審批的配置均能夠經(jīng)過運營管理的管理員門戶完成。能夠根據(jù)訂單的重要程度,設(shè)計不同的審批模式,有效的保障了信息資源使用的安全性和合理性。按需自助服務(wù),完整的用戶自服務(wù)流程云平臺的自服務(wù)流程為用戶提供了完整的按需自助式服務(wù)體驗,整個自服務(wù)流程包括服務(wù)申請、訂單審批與管理、服務(wù)交付、服務(wù)實例使用與回收等步驟與功能。如果訂單經(jīng)過審批,系統(tǒng)會自動根據(jù)訂單為用戶分配資源,生成相應(yīng)的服務(wù)實例交付給用戶,用戶可經(jīng)過各種方式登錄和使用自己的資源,也可對服務(wù)實例進(jìn)行更改、申請作廢等操作。未經(jīng)過審批的訂單不會獲得任何資源分配。

27資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。服務(wù)控制臺,提供服務(wù)實例的全生命周期管理服務(wù)實例全生命周期管理,是指用戶的服務(wù)實例從創(chuàng)立到回收的整個過程的管理。包括對服務(wù)實例的自動部署,用戶對服務(wù)實例的使用、更改、申請作廢,系統(tǒng)對服務(wù)實例對應(yīng)資源的釋放和回收等。云平臺自服務(wù)門戶提供一個服務(wù)控制臺,用戶可對自己的服務(wù)實例進(jìn)行查詢、操作和管理,比如對虛擬機進(jìn)行開機、重啟、關(guān)機等操作,或者將一個塊存儲掛載給虛擬機。另外,云平臺支持用戶經(jīng)過瀏覽器直接訪問虛擬機,為用戶提供了極大的便利。當(dāng)用戶不再需要所申請的資源時,能夠?qū)Ψ?wù)實例申請作廢,云平臺會回收并釋放該用戶申請的資源,服務(wù)訂購關(guān)系終止。界面友好,基于角色的門戶系統(tǒng)云平臺對管理員和最終用戶都提供了友好的門戶系統(tǒng),經(jīng)過權(quán)限控制,云平臺對不同角色的用戶呈現(xiàn)不同功能的門戶界面。日志審計云平臺的日志系統(tǒng)可記錄管理員和用戶在云平臺內(nèi)的所有操作,如登錄系統(tǒng)、資源操作等?？稍诮缑骘@示所有日志及日志詳情,也能夠?qū)θ罩具M(jìn)行查詢,基于日志可實現(xiàn)對用戶操作的審計。1.1.1.1云管理平臺安全設(shè)計在云管理平臺的設(shè)計中,特別突出安全性設(shè)計。多層面的安全隔離1、Zone和在Zone之間可能實現(xiàn)了某種形式的物理隔離和冗余2、不同帳戶的用戶使用不同的VLAN,VLAN起到用戶之間隔離的作用;基于用戶的虛擬機隔離:即管理員能夠經(jīng)過云平臺將不同用戶之間的虛擬機配置為無法建立2層鏈接,實現(xiàn)基于用戶的虛擬機隔離。

28資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。3、提供多種網(wǎng)絡(luò)類型,一些是真實的,一些是虛擬的,虛擬網(wǎng)絡(luò)經(jīng)過VLAN隔離,物理網(wǎng)絡(luò)經(jīng)過不同的硬件和設(shè)備隔離等,比如經(jīng)過公網(wǎng)IP、私網(wǎng)IP經(jīng)過不同的網(wǎng)卡隔離流量.也經(jīng)過不同的組網(wǎng),如3個平面來隔離業(yè)務(wù)、管理、存儲4、直連網(wǎng)絡(luò)能夠經(jīng)過給用戶分配VLAN來隔離,直連無標(biāo)記網(wǎng)絡(luò)則采用了類似于亞馬遜的安全組概念對每位用戶進(jìn)行隔離,而不采用VLAN。所有的安全域都經(jīng)過防火墻接入到網(wǎng)絡(luò)中,各個安全域經(jīng)過虛擬防火墻進(jìn)行邏輯隔離,安全域之間不能直接訪問,在虛擬防火墻上經(jīng)過訪問控制策略,對用戶進(jìn)行文件和數(shù)據(jù)操作權(quán)限的限制,防范用戶的越權(quán)訪問。全面的虛擬機安全機制1、同一物理服務(wù)器上的虛擬機隔離,同一物理機服務(wù)器上資源隔離,包括CPU、內(nèi)存、內(nèi)部網(wǎng)絡(luò)隔離、磁盤I/O有效的隔離,不會因為某一個虛擬機被攻擊而導(dǎo)致其它同一物理服務(wù)器上的虛擬機被影響。2、內(nèi)部虛擬機訪問隔離,提供虛擬防火墻,如安全組功能,確保不同租戶的虛擬機之間的網(wǎng)絡(luò)隔離(包括同一個物理主機內(nèi)的不同虛擬機)。針對每個安全組能夠定義ACL規(guī)則,如對外開放某個具體的服務(wù)或端口,允許外部某個IP地址訪問虛擬機的某個端口,也能夠在安全組之間相互授權(quán)訪問。3、惡意VM預(yù)防,云平臺要能防止同一個物理主機內(nèi)VM能嗅探到其它VM的數(shù)據(jù)包。例如ARP防護(hù),云平臺防止惡意虛擬機的IP欺騙和ARP地址欺騙,限制虛擬機只能發(fā)送本機地址的報文。4、虛擬機操作日志審計,經(jīng)過云平臺記錄對虛擬機進(jìn)行VM操作,便于合規(guī)審計。訪問控制1、對業(yè)務(wù)和應(yīng)用中保存的帳號進(jìn)行集中管理,包括帳號創(chuàng)立、變更和刪除等。同時根據(jù)預(yù)定策略,修改帳號的口令。接入認(rèn)證安全、傳輸安全;

29資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。2、將人員和其在各個業(yè)務(wù)系統(tǒng)中承擔(dān)角色關(guān)聯(lián),實現(xiàn)對維護(hù)人員和用戶等的集中授權(quán)。3、記錄帳號登錄、登出等相關(guān)的日志信息,并帳號登錄、登出的信息和用戶的真實身份相關(guān)聯(lián)。4、根據(jù)預(yù)先制定的審計策略對日志進(jìn)行分析,發(fā)現(xiàn)高危操作,產(chǎn)生審計事件告警。輸出符合薩班斯審計需要等要求的審計報告。融合已有傳統(tǒng)安全措施1、防火墻:最主流也是最重要的安全產(chǎn)品,是邊界安全解決方案的核心。它能夠?qū)φ麄€網(wǎng)絡(luò)進(jìn)行區(qū)域分割,提供基于IP地址和TCP/IP服務(wù)端口等的訪問控制;對常見的網(wǎng)絡(luò)攻擊,如拒絕服務(wù)攻擊、端口掃描、IP欺騙、IP盜用等進(jìn)行有效防護(hù);并提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MAC綁定等安全增強措施。2、VPN網(wǎng)關(guān):虛擬專用網(wǎng)(VirtualPrivateNetwork,VPN)技術(shù)以其靈活、安全、經(jīng)濟(jì)、易擴(kuò)展的特點,能夠提高溝通效率和資源利用效率,建立成員單位與云平臺之間的具有保密性的網(wǎng)絡(luò)連接。能滿足遠(yuǎn)程管理接入需求。設(shè)備支持VPN隧道數(shù)量和最大并發(fā)用戶數(shù)量滿足當(dāng)前維護(hù)需求。3、安全支援區(qū)域,建議建立安全支援區(qū)域,該區(qū)域完成所有安全設(shè)備的網(wǎng)管工作,同進(jìn)能夠放置防病毒系統(tǒng)、補丁管理系統(tǒng)等。1.1虛擬化設(shè)計1.1.1服務(wù)器虛擬化服務(wù)器虛擬化產(chǎn)品的成熟度將對業(yè)務(wù)應(yīng)用運行產(chǎn)生較大影響,因此本期方案推薦業(yè)內(nèi)知名的CitrixXenServer產(chǎn)品作為服務(wù)器虛擬化的落地支撐。

30資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。XenServer是在云計算環(huán)境中經(jīng)過驗證的企業(yè)級虛擬化平臺,可提供創(chuàng)立和管理虛擬基礎(chǔ)架構(gòu)所需的所有功能。它深得很多要求苛刻的企業(yè)信賴,被用于運行最關(guān)鍵的應(yīng)用,而且被最大規(guī)模的云計算環(huán)境和xSP所采用。XenServer:經(jīng)過整合服務(wù)器,降低電源、冷卻和數(shù)據(jù)中心空間需求來降低成本允許在幾分鐘內(nèi)完成新服務(wù)器置備和IT服務(wù)交付,進(jìn)而提高IT靈活性確保可始終達(dá)到應(yīng)用要求和性能水平標(biāo)準(zhǔn)減少故障影響,防止災(zāi)難,進(jìn)而最大限度地減少停機,免費版XenServer配備有64位系統(tǒng)管理程序和集中管理、實時遷移及轉(zhuǎn)換工具,可創(chuàng)立一個虛擬平臺來最大限度地提高虛擬機密度和性能。Premium版XenServer擴(kuò)展了這一平臺,可幫助任何規(guī)模的企業(yè)實現(xiàn)管理流程的集成和自動化,是一種先進(jìn)的虛擬數(shù)據(jù)中心解決方案。通俗的理解:XenServer是思杰公司(Citrix)推出的一款服務(wù)器虛擬化系統(tǒng),強調(diào)一下是服務(wù)器”虛擬化系統(tǒng)”而不是”軟件”,與傳統(tǒng)虛擬機類軟件不同的是它無需底層原生操作系統(tǒng)的支持,也就是說XenServer本身就具備了操作系統(tǒng)的功能,是能直接安裝在服務(wù)器上引導(dǎo)啟動并運行的?；赬enServer系統(tǒng),能夠?qū)⒁慌_性能強勁的服務(wù)劃分成多臺服務(wù)器,讓這些服務(wù)器同時運行提供各種應(yīng)用服務(wù),節(jié)省硬件投資也方便管理。1.1.1桌面虛擬化云終端虛擬桌面是端到端一體化虛擬桌面解決方案,桌面云平臺將傳統(tǒng)桌面PC虛擬化后托管在數(shù)據(jù)中心,每位人員經(jīng)過一臺云終端訪問桌面及應(yīng)用。

31資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。1.1.1.1桌面云平臺簡介桌面云平臺是中國首發(fā)的一體化企業(yè)級虛擬化平臺,它融合了企業(yè)級的服務(wù)器和桌面虛擬化的功能和優(yōu)勢,經(jīng)過統(tǒng)一的管理平臺全面管理位于數(shù)據(jù)中心的物理和虛擬資源,用戶僅需要使用價格低廉的云終端或傳統(tǒng)PC就能夠連接到數(shù)據(jù)中心中的Windows或Linux桌面,甚至是服務(wù)器桌面,并獲得類本地PC的使用體驗。桌面云平臺為企業(yè)部署桌面云提供了所需的全部功能,它致力于幫助企業(yè)利用有限成本,最大化IT資源的效率和利用率,最大限度幫助企業(yè)構(gòu)建最具靈活性的基礎(chǔ)架構(gòu)平臺,幫助管理員有效管理復(fù)雜的企業(yè)桌面環(huán)境。借助于桌面云平臺能夠?qū)崿F(xiàn):u統(tǒng)一管理:統(tǒng)一的web管理平臺實現(xiàn)對服務(wù)器和桌面虛擬化的統(tǒng)一管理;u高可用性:簡單配置即可實現(xiàn)虛擬桌面失效切換,提升桌面SLA等級;u在線遷移:讓虛擬桌面在不同物理服務(wù)器之間遷移,桌面應(yīng)用不中斷;u系統(tǒng)調(diào)度:策略式的系統(tǒng)調(diào)度策略使系統(tǒng)資源根據(jù)負(fù)載自動進(jìn)行負(fù)載均衡;u節(jié)能管理:自定義策略降低電源和制冷開銷,響應(yīng)國家綠色節(jié)能號召;u鏡像管理:創(chuàng)立、管理和供應(yīng)虛擬桌面鏡像,可實現(xiàn)大批量供應(yīng)桌面;u高級檢索功能:大規(guī)模桌面部署環(huán)境中的快速定位、簡化管理;

32資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。u云端傳輸協(xié)議:優(yōu)化的網(wǎng)絡(luò)性能,提供類本地PC的使用體驗。1.1.1.1桌面云平臺架構(gòu)桌面云平臺是一個一體化的企業(yè)級虛擬化平臺,主要由桌面云虛擬化主機、桌面云管理平臺、桌面云連接協(xié)議套件三大核心組件組成,用戶經(jīng)過云端傳輸協(xié)議去連接虛擬服務(wù)器和桌面,并為用戶提供一流的管理和使用體驗。其系統(tǒng)架構(gòu)及組件如下圖所示:u桌面云虛擬化主機:簡稱CTVN,以內(nèi)核虛擬機技術(shù)KVM為基礎(chǔ),是精簡、安全、高效的虛擬基礎(chǔ)架構(gòu)平臺。u桌面云管理平臺:簡稱CTVM,是一個綜合性的統(tǒng)一web管理控制臺,經(jīng)過它能夠查看和管理物理和虛擬化環(huán)境內(nèi)的所有組件和資源,如物理的主機、存儲和網(wǎng)絡(luò)以及虛擬的模版、鏡像、虛擬機,同時能簡單經(jīng)過此單一控制臺對虛擬化資源進(jìn)行綜合管理,如虛擬桌面的全生命周期管理和控制、

33資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。高級檢索、資源調(diào)度、電源管理、負(fù)載均衡以及高可用和線遷移等功能。u桌面云協(xié)議套件:簡稱CTVP,它是一項高性能的遠(yuǎn)程網(wǎng)絡(luò)通訊協(xié)議,為用戶經(jīng)過云端傳輸協(xié)議訪問虛擬桌面獲得一致性的桌面訪問體驗。1.1.1.1桌面云平臺具有在線遷移、HA、數(shù)據(jù)備份等高級特性,可保證整合后平臺的穩(wěn)定可靠運行。決數(shù)據(jù)安全問題l桌面和數(shù)據(jù)總是駐留在數(shù)據(jù)中心,終端只顯示影像,沒有任何實際業(yè)務(wù)數(shù)據(jù)傳輸?shù)阶烂鎙終端與數(shù)據(jù)中心之間的通訊和影像傳輸已加密且可控l各虛擬桌面之間相互隔離,互不影響l遠(yuǎn)程映射USB設(shè)備進(jìn)行管控和審計l應(yīng)用安裝控制,上網(wǎng)行為控制,實現(xiàn)集中安全管控l集中的病毒木馬防護(hù),從數(shù)量較少的網(wǎng)關(guān)處控制互聯(lián)網(wǎng)安全l統(tǒng)一的安全互聯(lián)網(wǎng)出口1.1.1.2基礎(chǔ)架構(gòu)提升數(shù)據(jù)的安全性l底層安全性:虛擬OS托管在高安全性的Linux之上l系統(tǒng)高可用性:經(jīng)過集群動態(tài)均衡技術(shù)和自動遷移技術(shù),在不影響用戶使用和數(shù)據(jù)可靠的情況下,允許1/3的服務(wù)器宕機l高可靠服務(wù)器,冗余電源及高效的散熱設(shè)計;多網(wǎng)卡配置提供數(shù)據(jù)傳輸冗余l(xiāng)可用性達(dá)99.999%的存儲系統(tǒng),控制器冗余,高級容災(zāi)備份,存儲加密技術(shù)1.1.1.3集成的桌面安全管理特性l安全準(zhǔn)入控制:未知終端準(zhǔn)入控制,終端用戶認(rèn)證管理,終端安全準(zhǔn)入控制

34資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。l行為安全管控:聊天行為,上網(wǎng)行為,網(wǎng)絡(luò)應(yīng)用使用;OS操作行為,文件操作,P2P下載l桌面安全管理:資產(chǎn)管理,外設(shè)管理,終端加固;異常監(jiān)控,違規(guī)外聯(lián)l數(shù)據(jù)安全管理:文檔信息加密,移動介質(zhì)管理;數(shù)據(jù)安全銷毀,敏感信息檢查;數(shù)據(jù)備份與恢復(fù)l安全審計管理:即時通訊審計,上網(wǎng)行為審計;郵件審計,OS及文件操作審計;文件輸出審計1.1安全設(shè)計本項目將以天云趨勢的安全產(chǎn)品作為安全支撐,天云趨勢服務(wù)器虛擬安全解決方案針可對CitirxXenServer虛擬平臺提供無代理的安全防護(hù)措施,在每臺物理機中應(yīng)用一臺虛擬機安裝趨勢Elastershield的virtualAppliance插件,就為每臺虛擬主機的多層次安全防護(hù),包括:防病毒功能、訪問控制功能、虛擬補丁、攻擊防御、完整性監(jiān)控等。部署Elastershield后模塊后,無需在虛擬主機操作系統(tǒng)中Agent程序就能夠?qū)崿F(xiàn)基礎(chǔ)的多種防護(hù)功能。l訪問控制傳統(tǒng)技術(shù)的防火墻技術(shù)常常以硬件形式存在,用于經(jīng)過訪問控制和安全區(qū)域間的劃分,計算資源虛擬化后導(dǎo)致邊界模糊,很多的信息交換在虛擬系統(tǒng)內(nèi)部就實現(xiàn)了,而傳統(tǒng)防火墻在物理網(wǎng)絡(luò)層提供訪問控制,如何在虛擬系統(tǒng)內(nèi)部實現(xiàn)訪問控制和病毒傳播抑制是虛擬系統(tǒng)面臨的最基本安全問題。天云趨勢Elastershield防火墻提供全面基于狀態(tài)檢測細(xì)粒度的訪問控制功能,能夠?qū)崿F(xiàn)針對虛擬交換機基于網(wǎng)口的訪問控制和虛擬系統(tǒng)之間的區(qū)域邏輯隔離。Elastershield的防火墻同時支持各種泛洪攻擊的識別和攔截。l入侵檢測/防護(hù)

35資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。同時在主機和網(wǎng)絡(luò)層面進(jìn)行入侵監(jiān)測和預(yù)防,是當(dāng)今信息安全基礎(chǔ)設(shè)施建設(shè)的主要內(nèi)容。然而,隨著虛擬化技術(shù)的出現(xiàn),許多安全專家意識到,傳統(tǒng)的入侵監(jiān)測工具可能沒法融入或運行在虛擬化的網(wǎng)絡(luò)或系統(tǒng)中,像它們在傳統(tǒng)企業(yè)網(wǎng)絡(luò)系統(tǒng)中所做的那樣。天云趨勢Elastershield能夠?qū)ο到y(tǒng)交換機或端口組進(jìn)行管理,這時虛擬的IDS傳感器能夠感知在同一虛擬段上的網(wǎng)絡(luò)流量。Elastershield除了提供傳統(tǒng)IDS/IPS系統(tǒng)功能外,還提供虛擬環(huán)境中基于政策的(policy-based)監(jiān)控和分析工具,使Elastershield更精確的流量監(jiān)控、分析和訪問控制,還能分析網(wǎng)絡(luò)行為,為虛擬網(wǎng)絡(luò)提供更高的安全性。天云趨勢Elastershield利用虛擬機在虛擬系統(tǒng)中占用更少的資源,避免過度消耗宿主機的硬件能力。l虛擬補丁防護(hù)隨著新的漏洞不斷出現(xiàn),許多公司在為系統(tǒng)打補丁上疲于應(yīng)付,等待安裝重要安全補丁的維護(hù)時段可能是一段艱難的時期。另外,操作系統(tǒng)及應(yīng)用廠商針對一些版本不提供漏洞的補丁,或者發(fā)布補丁的時間嚴(yán)重滯后,還有最重要的是,如果IT人員的配備不足,時間又不充裕,那么系統(tǒng)在審查、測試和安裝官方補丁更新期間很容易陷入風(fēng)險。天云趨勢Elastershield經(jīng)過虛擬補丁技術(shù)完全能夠解決由于補丁導(dǎo)致的問題,經(jīng)過在虛擬系統(tǒng)的接口對虛擬機系統(tǒng)進(jìn)行評估,并能夠自動對每個虛擬主機提供全面的漏洞修補功能,在操作系統(tǒng)在沒有安裝補丁程序之前,提供針對漏洞攻擊的攔截。天云趨勢Elastershield的虛擬補丁功能既不需要停機安裝,也不需要進(jìn)行廣泛的應(yīng)用程序測試。此集成包能夠為IT人員節(jié)省大量時間。在安全管理安全域中建立安全管理中心,是有效幫助管理人員實施好安全措施的重要保障,是實現(xiàn)業(yè)務(wù)穩(wěn)定運行、長治久安的基礎(chǔ)。經(jīng)過安全管理中心的建設(shè),

36資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。真正實現(xiàn)安全技術(shù)層面和管理層面的結(jié)合,全面提升用戶網(wǎng)絡(luò)的信息安全保障能力。

37資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。1.1計算資源池設(shè)計1.1.1計算資源池技術(shù)路線計算資源池承載私有云中的所有業(yè)務(wù)系統(tǒng)的計算需求,在進(jìn)行計算資源池設(shè)計時,需要注意的兩點:1.根據(jù)先進(jìn)可用的原則,既要保證整個計算平臺的運行穩(wěn)定,又不能過多的追求高性能,要做到合理選型,合理分配。2.盡量的利舊,現(xiàn)有可用資源能夠根據(jù)后續(xù)需要設(shè)計到整個計算平臺中,防止浪費。在服務(wù)器選型方面要符合以下幾方面的要求:可靠性、可用性、可擴(kuò)展性、易用性、可管理性。可靠性衡量服務(wù)器可靠性的主要指標(biāo)是平均失效間隔,發(fā)生故障時間越少,服務(wù)器的可靠性越高。對于可靠性要求很高的業(yè)務(wù)來說,即使是短暫的系統(tǒng)故障也會造成難以挽回的損失,因此在服務(wù)器的選擇上,可靠性為一項重要的衡量指標(biāo)?？捎眯钥捎眯允墙?jīng)過系統(tǒng)的可靠性和可管理性等一些指標(biāo)來度量的。一般見平均無故障時間來度量系統(tǒng)的可靠性,用平均維修時間來度量系統(tǒng)的可維護(hù)性。對易損部件或設(shè)備采取保護(hù)措施能夠提高服務(wù)器的可用性,如減少硬件的平均故障間隔時間和利用專用功能機制(容錯、冗余等)可在出現(xiàn)故障時自動進(jìn)行部件或設(shè)備切換,以避免或減少意外停機。可擴(kuò)展性可擴(kuò)展是指服務(wù)器的硬件配置,如內(nèi)存、適配器、硬盤和處理器等能夠在原有的基礎(chǔ)上很方便地根據(jù)需要來增加。為了保持高可擴(kuò)展性,

38資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。一般需要在服務(wù)器上具備一定的可擴(kuò)展性空間和冗余件(如磁盤柜盤陣位、PCI插槽和內(nèi)存條插槽等)。要求服務(wù)器具有較多的類似于PCI之類的插槽,較多的驅(qū)動器支架及較大的內(nèi)存擴(kuò)展能力,提供冗余電源、冗余風(fēng)扇。易用性服務(wù)器的設(shè)計應(yīng)多采用國際標(biāo)準(zhǔn),機箱設(shè)計科學(xué)合理、拆卸方便,可經(jīng)過指示燈方便地查看服務(wù)器的運行狀態(tài),可熱插拔部件較多,可隨時更換故障部件,而且隨機配有完善的用戶手冊,能夠指導(dǎo)用戶迅速簡單地安裝和使用?？晒芾硇钥晒芾硇允窃朴嬎憬ㄔO(shè)中選擇服務(wù)器時應(yīng)考慮的重要因素。使用合適的系統(tǒng)管理工具有助于降低支持和管理成本,有效監(jiān)控系統(tǒng)的運行狀態(tài),及時發(fā)現(xiàn)并解決問題。經(jīng)過服務(wù)器的硬件管理接口和管理軟件,可對服務(wù)器的性能、存儲、可用性/故障、網(wǎng)絡(luò)、安全、配置、軟件分發(fā)、統(tǒng)計、技術(shù)支持等內(nèi)容進(jìn)行監(jiān)控和管理。從以上幾方面考慮,建議采用X86架構(gòu)機架式云服務(wù)器。首先,當(dāng)前服務(wù)器市場的服務(wù)器,以X86架構(gòu)服務(wù)器和Unix小型機服務(wù)器為主。小型機的架構(gòu)有著密閉性的特點,不同品牌的小型機在結(jié)構(gòu)式具有一定的差異性,一旦選擇某個品牌,基本被綁定。而且從小型機的計算性能來說,國外品牌具有一定的壟斷地位,國內(nèi)技術(shù)與之相比,具有一定的滯后性。從應(yīng)用開發(fā)角度來說,大多數(shù)應(yīng)用是基于windows系統(tǒng)開發(fā),而小型機對于windows的開發(fā)支持性較差。在私有云上的應(yīng)用也以windows系統(tǒng)下開發(fā)的應(yīng)用為主。因此采用X86架構(gòu)更為合適。其次,X86架構(gòu)的開放性更好,無論哪個品牌的服務(wù)器,都遵循相同的架構(gòu),從擴(kuò)展性角度來說,不會被某一品牌綁架。所有品牌的服務(wù)器都能夠無縫投入到資源池中。最后,在X86架構(gòu)的服務(wù)器選擇上,當(dāng)前分為機架式服務(wù)器和刀片式服務(wù)器。

39資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。刀片式服務(wù)器一般在10U左右的空間,集成14個刀片,集成度很高。可是在擴(kuò)展性、散熱性等角度來說較差。適合于高性能計算等。而且從投入成本角度來說,特別是不需要滿籠刀片的情況下,客戶依然需要為機箱、后備板、交換模塊等基礎(chǔ)設(shè)施投入資金。從網(wǎng)絡(luò)角度來說,用戶的網(wǎng)絡(luò)環(huán)境將被刀箱后備交換模塊所”綁架”。而機架式服務(wù)器具備更靈活的擴(kuò)展性,能夠根據(jù)用戶需求,靈活添加PCI-E擴(kuò)展模塊,靈活進(jìn)行網(wǎng)絡(luò)配置。在機架式服務(wù)器中,主要為雙路和四路服務(wù)器,從使用角度來說,雙路服務(wù)器多應(yīng)于應(yīng)用場景,四路服務(wù)器應(yīng)用于數(shù)據(jù)庫等場景。而60%的雙路機架式服務(wù)器的市場份額,也說明的該種選擇所具有的市場代表性。因此在本項目中,計算資源池采用雙路機架式服務(wù)器。1.1.1計算資源池設(shè)計虛擬服務(wù)器系統(tǒng)以X86平臺服務(wù)器作為基礎(chǔ)平臺,在基礎(chǔ)平臺上經(jīng)過部署云計算虛擬化軟件完成資源池化,并根據(jù)業(yè)務(wù)系統(tǒng)的不同需求生成不同配置的服務(wù)模板以及虛擬機,部署服務(wù)器操作系統(tǒng)及服務(wù)器業(yè)務(wù)應(yīng)用,對外提供虛擬計算服務(wù)。虛擬資源池中的所有業(yè)務(wù)系統(tǒng)可根據(jù)規(guī)模或安全相關(guān)性設(shè)定虛擬邏輯域,每個邏輯域內(nèi)配置不同數(shù)量的服務(wù)器和存儲資源。每個業(yè)務(wù)系統(tǒng)中的系統(tǒng)、應(yīng)用、等都部署在它的業(yè)務(wù)邏輯域中的虛擬機上,存儲系統(tǒng)也要與其它業(yè)務(wù)域進(jìn)行邏輯隔離。每個業(yè)務(wù)域之間經(jīng)過防火墻進(jìn)行隔離,邏輯區(qū)內(nèi)的虛擬服務(wù)器之間經(jīng)過軟件負(fù)載均衡實現(xiàn)動態(tài)負(fù)載分配調(diào)度。整個虛擬資源池,包括每個業(yè)務(wù)域的邏輯資源池中,為了保證系統(tǒng)的安全性和連續(xù)性,都會預(yù)留一定的空閑資源。當(dāng)整體平臺或資源域中的物理服務(wù)器或存儲節(jié)點出現(xiàn)問題時,或需要進(jìn)行必要的硬件升級時,空閑區(qū)域即能夠動態(tài)的承載原先資源下的業(yè)務(wù)系統(tǒng)和存儲需要,保證業(yè)務(wù)的連續(xù)性,保證整體業(yè)務(wù)系統(tǒng)運行的穩(wěn)定性和連續(xù)性。

40資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。根據(jù)本次項目需求,將各應(yīng)用系統(tǒng)將遷移到虛擬機上,同時還需要預(yù)留擴(kuò)展空間。根據(jù)虛擬化原理,最少要有一個物理內(nèi)核來作為vCPU使用,因此虛擬機的最大數(shù)量=物理CPU數(shù)量*每個物理CPU的核心數(shù)(從可用性方面考慮,不考慮超賣情況),考慮到后續(xù)業(yè)務(wù)的擴(kuò)展性,要在有限的空間內(nèi),有盡量多的虛擬機可能。同時,需要考慮數(shù)據(jù)中心的空間成本和電力成本。1.1存儲資源池設(shè)計1.1.1存儲資源池技術(shù)路線存儲系統(tǒng)是私有云數(shù)據(jù)存儲的基礎(chǔ),用于支撐私有云上各應(yīng)用對存儲的需求。整個私有云對存儲的需求具有以下特點:1、先進(jìn)性原則:技術(shù)構(gòu)成先進(jìn),符合信息科技的發(fā)展趨勢,能適應(yīng)當(dāng)前不同數(shù)據(jù)平臺架構(gòu)下進(jìn)行大規(guī)模數(shù)據(jù)存儲的需要,保證系統(tǒng)具有較強的開發(fā)、使用空間;2、均衡性原則:提供較好的系統(tǒng)運行效率,不產(chǎn)生系統(tǒng)瓶頸;3、節(jié)能性原則:綠色環(huán)保為營造良好的節(jié)能環(huán)境,節(jié)約能源為前提;4、拓展性原則:隨著業(yè)務(wù)規(guī)模的擴(kuò)大比較方便地獨立升級,能夠比較方便地和其它系統(tǒng)進(jìn)行無縫集成;5、穩(wěn)定性原則:保證系統(tǒng)7×24小時的穩(wěn)定運行,并能保證一段時間關(guān)機情況下重起系統(tǒng)的穩(wěn)定性;6、安全性原則:有嚴(yán)謹(jǐn)周密的安全體系結(jié)構(gòu),系統(tǒng)能夠提供有效的安全機制,防御各種可能的自然毀傷或惡意攻擊,在運行安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全和應(yīng)用系統(tǒng)安全等方面有合理可靠的策略;7、風(fēng)險性原則:提供比較成熟可靠的運行管理、監(jiān)控、

41資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。故障處理等技術(shù)手段,最大限度地降低實施過程的風(fēng)險;8、經(jīng)濟(jì)性原則:設(shè)備有較好的性能價格比?；诖?存儲系統(tǒng)需要滿足如下幾個核心要求:1.足夠的傳輸能力。網(wǎng)絡(luò)中心為單位所有用戶提供服務(wù),由于客戶端眾多,數(shù)據(jù)流量大,因此整個系統(tǒng)需要很強的傳輸能力。包括存儲系統(tǒng)與服務(wù)器之間的大容量、高頻率的I/O傳輸,設(shè)備內(nèi)部的總線傳輸帶寬,服務(wù)器的網(wǎng)絡(luò)性能和響應(yīng)能力等都是非常重要的方面。2.海量存儲能力。大容量的存儲系統(tǒng)是網(wǎng)絡(luò)中心服務(wù)應(yīng)用的核心,擁有一套或多套大容量的存儲系統(tǒng)是保證數(shù)據(jù)安全性和服務(wù)連續(xù)性的基礎(chǔ)。解決方案中,不但需要存儲系統(tǒng)具有超大容量,而且硬件的可靠性、容量的靈活擴(kuò)展、簡便的安裝維護(hù)管理也是必不可少的。3.先進(jìn)的存儲架構(gòu)。存儲系統(tǒng)所采用的架構(gòu)需要是成熟而先進(jìn)的,能適應(yīng)未來幾年內(nèi)的技術(shù)發(fā)展方向。4.高穩(wěn)定性和高可用性。解決方案中應(yīng)保證數(shù)據(jù)安全和隨時可用;另外系統(tǒng)數(shù)據(jù)量大,很難恢復(fù)或恢復(fù)時間長,而高校網(wǎng)絡(luò)又需要7×24不間斷可用,因此還要為備份系統(tǒng)的建設(shè)打好基礎(chǔ)。5.快速的響應(yīng)能力。解決方案中不但要滿足當(dāng)前的需要,由于網(wǎng)絡(luò)對連續(xù)性的要求很高,因此在售后服務(wù)方面也應(yīng)保證快速響應(yīng),一旦出現(xiàn)問題,服務(wù)人員能盡快趕到。另外,存儲系統(tǒng)的設(shè)計還應(yīng)遵循可擴(kuò)展性原則及完整性原則。除了系統(tǒng)硬件要符合技術(shù)潮流外,與之相配的軟件也需采用先進(jìn)技術(shù),以利于整個系統(tǒng)的平滑升級。而作為數(shù)據(jù)存儲的統(tǒng)一平臺,系統(tǒng)的各項設(shè)計應(yīng)從整體考慮,協(xié)調(diào)各子系統(tǒng)構(gòu)成完整的數(shù)據(jù)存儲管理系統(tǒng)。

42資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。1.1.1存儲資源池我們建議采用1臺統(tǒng)一存儲連接服務(wù)器,建立成豐富完善的SAN架構(gòu)存儲,當(dāng)服務(wù)器的本地存儲空間來存放數(shù)據(jù)。利用光纖通道技術(shù),SAN能夠有效地傳輸數(shù)據(jù)塊。經(jīng)過支持在存儲和服務(wù)器之間傳輸海量數(shù)據(jù)塊,SAN提供了數(shù)據(jù)備份的有效方式。因此,傳統(tǒng)上用于數(shù)據(jù)備份的網(wǎng)絡(luò)帶寬能夠節(jié)約下來用于其它應(yīng)用。由于SAN是為在服務(wù)器和存儲設(shè)備之間傳輸大塊數(shù)據(jù)而進(jìn)行優(yōu)化的,因此SAN對于以下應(yīng)用來說是理想的選擇:2關(guān)鍵任務(wù)數(shù)據(jù)庫應(yīng)用,其中可預(yù)計的響應(yīng)時間、可用性和可擴(kuò)展性是基本要素。2集中的存儲備份,其中性能、數(shù)據(jù)一致性和可靠性能夠確保企業(yè)關(guān)鍵數(shù)據(jù)的安全。2高可用性和故障切換環(huán)境能夠確保更低的成本、更高的應(yīng)用水平。2可擴(kuò)展的存儲虛擬化,可使存儲與直接主機連接相分離,并確保動態(tài)存儲分區(qū)。改進(jìn)的災(zāi)難容錯特性,在主機服務(wù)器及其連接設(shè)備之間提供光纖通道高性能和擴(kuò)展的距離。當(dāng)前8GbFCSAN技術(shù)成熟穩(wěn)定,建議使用2臺8Gb交換機作為核心SAN交換機,滿足當(dāng)前和未來擴(kuò)展的需求。另外每個服務(wù)器上需要配置光纖卡和相應(yīng)的連接線。1.2應(yīng)用遷移及現(xiàn)有設(shè)備利舊云計算數(shù)據(jù)中心建設(shè)需要充分考慮業(yè)務(wù)應(yīng)用系統(tǒng)遷移和設(shè)備利舊需求,切實保障業(yè)務(wù)數(shù)據(jù)遷移完整性與一致性,充分確保業(yè)務(wù)應(yīng)用平滑過渡。在業(yè)務(wù)系統(tǒng)平穩(wěn)切換前提下,經(jīng)過虛擬化等多種技術(shù)將現(xiàn)有應(yīng)用服務(wù)器,網(wǎng)絡(luò)設(shè)備,

43資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。安全設(shè)備和存儲設(shè)備等資源整合到新建的資源池中,實現(xiàn)統(tǒng)一運維管理,提高資源利用率,延長設(shè)備使用壽命。1.1.1應(yīng)用遷移云計算數(shù)據(jù)中心業(yè)務(wù)應(yīng)用系統(tǒng)遷移采用平臺專用軟件經(jīng)過P2V實現(xiàn)。P2V技術(shù)經(jīng)過對操作系統(tǒng)進(jìn)行VolumeShadowCopy實現(xiàn)在物理服務(wù)器主機系統(tǒng)無修改的情況下,將系統(tǒng)數(shù)據(jù)、環(huán)境配置、應(yīng)用軟件和業(yè)務(wù)數(shù)據(jù)整體以”快照”形式導(dǎo)入到云平臺計算資源池中,轉(zhuǎn)換為以虛擬機方式運行。遷移過程分為系統(tǒng)備份,遷移測試,數(shù)據(jù)驗證和系統(tǒng)切換四個步驟。遷移過程中原有服務(wù)器臨時中斷,待驗證新的虛擬機業(yè)務(wù)應(yīng)用正常運行后進(jìn)行系統(tǒng)切換。系統(tǒng)切換前需要停止原有業(yè)務(wù)應(yīng)用的對外服務(wù)進(jìn)行一次數(shù)據(jù)同步。遷移主要適用于業(yè)務(wù)應(yīng)用的遷移,常見操作系統(tǒng)大部分可經(jīng)過遷移方式實現(xiàn)整體遷移。對數(shù)據(jù)庫服務(wù)器和遷移失敗的應(yīng)用服務(wù)器,采用手動遷移方式進(jìn)行。手動方式根據(jù)遷移系統(tǒng)的操作系統(tǒng)提前部署虛擬機,需要協(xié)調(diào)業(yè)務(wù)應(yīng)用開發(fā)單位在虛擬機中經(jīng)過重新安裝應(yīng)用軟件和導(dǎo)入數(shù)據(jù)方式完成系統(tǒng)的遷移。帶有硬件加密狗的業(yè)務(wù)系統(tǒng)需要協(xié)調(diào)業(yè)務(wù)應(yīng)用開發(fā)單位修改軟件授權(quán)方式后部署到新的計算資源池中。遷移過程按照網(wǎng)絡(luò)拓?fù)浜凸δ芊謪^(qū)逐一進(jìn)行,在保持現(xiàn)有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)基本不變和業(yè)務(wù)應(yīng)用不中斷前提下,首先完成應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器的遷移,然后完成資源共享業(yè)務(wù)專區(qū)中行政審批和相關(guān)委辦局應(yīng)用遷移,最后完成衛(wèi)生局業(yè)務(wù)系統(tǒng)遷移,遷移過程網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。

44資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。1.1.1設(shè)備利舊設(shè)備利舊是云計算中心建設(shè)方案的重頭戲,好的方案設(shè)計能夠提高用戶原有設(shè)備的利用效率,利舊可分為兩部分,一部分可加入到資源池中,為應(yīng)用提供服務(wù);另一部分較老的設(shè)備能夠作為應(yīng)用冷備份、數(shù)據(jù)備份管理端、平臺管理端來使用,具體能夠加入資源池的處理器型號請參見下表:XenServerVersion55.55.65.6FP1/SP26.0.06.0.26.1.06.2.0VendorCPUFamilyCodename　　　　　　　　IntelXeon53xxClovertown????????IntelXeon54xxHarpertown????????IntelXeon73xxTigerton????????IntelXeon74xxDunnington????????IntelXeon55xxNehalem????????IntelXeon56xxWestmere-EP　???????IntelXeon65xx,75xxNehalem-EX　　??????IntelXeonE7-28xx,E7-48xx,E7-88xxWestmere-EX　　　?????IntelXeonE3-12xxSandyBridge　　　　?*?*??IntelXeonE5-16xx,E5-26xx,E5-46xxSandyBridge-EP　　　　?*?*??IntelXeonE5-24xxSandyBridge-EN　　　　?*?*??IntelXeonE3-12xxV2IvyBridge　　　　　　??

45資料內(nèi)容僅供您學(xué)習(xí)參考，如有不當(dāng)之處，請聯(lián)系改正或者刪除。IntelXeonE5-16xxV2,E5-26xxV2IvyBridge-EP　　　　　　?*?IntelXeonE5-24xxv2,E5-14xxv2IvyBridge-EN　　　　　　?*?IntelXeonE7-28xxv2,E7-48xxv2,E7-88xxv2IvyBridge-EX　　　　　　　?*IntelXeonE3-12xxV3Haswell　　　　　　　?*IntelXeonE5-16xx,26xxV3Haswell-EP　　　　　　　?*^由上表可見從IntelXeon53xx系列至最新的IntelXeonE5-26xxV3系列的處理器都能夠支持