1、 私有云建设方案私有云建设解决方案2016年4月目录1项目概述22项目建设规划42.1建设原则42.2项目建设内容、思路及技术规划52.3技术架构和路线简介62.3.1资源池化62.3.2智能化云管理73私有云总体建设方案83.1建设原则83.2总体设计方案93.2.1逻辑架构93.2.2网络架构103.3计算资源池设计123.3.1计算资源池技术路线123.3.2计算资源池设计143.3.3产品描述153.4存储资源池设计183.4.1存储资源池技术路线183.4.2存储资源池193.4.3产品描述203.5安全设计243.6云管理平台设计253.6.1云管理平台系统架构253.6.2云管理
2、平台功能273.6.3云管理平台设计334系统设计分析384.1扩展性分析384.2可靠性分析384.3可管理性分析395硬件清单401 项目概述 云计算是一种IT资源交付和使用模式,指通过网络(涉及互联网Internet和公司内部网Intranet)以按需、易扩展方式获得所需软件、应用平台、及基本设施等资源。云计算具备资源池化、弹性扩展、自助服务、按需付费、宽带接入等核心特性。从布置和应用模式来讲,云计算分为公有云、私有云和混合云等。云计算从服务模式上来讲重要涉及基本设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)等内容。IaaS是Infrastructure-as-a
3、-Service(基本设施即服务)建成,云计算中心可使用IaaS模式将其资源提供应客户,通过虚拟化技术,虚拟数据中心可以将相应物理资源虚拟为各种虚拟数据中心,从而在顾客一端看到一种个独立,完整数据中心(虚拟),这些虚拟数据中心可以由顾客发起申请和维护,同步,这些虚拟数据中心还具备不同资源占用级别,从而保证不同顾客具备不同样资源使用优先级。PaaS是Platform-as-a-Service(平台即服务)简称,PaaS能给客户带来更灵活、更个性化服务,这涉及但不但限于中间件作为服务、消息传递作为服务、集成作为服务、信息作为服务、连接性作为服务等。此处服务重要是为了支持应用程序。这些应用程序可以运
4、营在云中,并且可以运营在更加老式公司数据中心中。为了实现云内所需可扩展性,此处提供不同服务经常被虚拟化。PaaS厂商也吸引软件开发商在PaaS平台上开发、运营并销售在线软件。SaaS是Software-as-a-Service(软件即服务)简称,一种通过Internet提供软件模式,厂商将应用软件统一布置在自己服务器上,客户可以依照自己实际需求,通过互联网向厂商定购所需应用软件服务,按定购服务多少和时间长短向厂商支付费用,并通过互联网获得厂商提供服务。本次项目为 私有云项目,目的为搭建完毕一种面向于 内部使用私有云环境,将各应用系统移植到该私有云上,实现资源有效运用、动态分派、灵活扩展和统一管
5、理。本方案写作目为明确建设所需资源、实现环节及最后呈现。本方案落地实行后,将完毕如下几方面任务:(1) 打破IT资源孤立状况,提高资源运用率 各业务系统拥有独立硬件设施被统一管理,形成大资源池; 资源被统一调度,打破同一时段,某些业务系统较空闲导致资源闲置,此外某些系统因业务繁忙,设备超负荷工作现状; 任何时候都可以及时满足各种变化业务需求,实现按需服务。(2)使运维管理更加容易 随着系统数量不断增长,运维管理难度比老式模式简朴,成本更低; 新平台使得对各种资源和系统监控和管理更加有效; 维护人员工作承担减小,工作效率有效提高。(3)提高核心业务系统硬件解决能力 业务应用在遇到性能瓶颈时能动态
6、调节; 核心业务系统建设较早设备,在云计算支撑平台上可以得到充分运用,以满足迅速增长业务需求2 项目建设规划2.1 建设原则项目建设遵循如下几种原则:(1) 自主可控原则本次建设建议采用自主可控技术搭建私有云。在产品选取上尽量选取国产品牌或者开源可控系统,保障私有云信息安全。(2) 开放原则云计算优势是高性价比,其核心是遵循开放技术路线并大量采用通用技术代替专有技术如Unix,这一点Google、Amazon等云计算供应商已经证明。云计算建设应遵循开放技术路线,减少投入成本,避免形成对于供应商锁定。(3) 循序渐进原则云计算建设不是一蹴而就,应循序渐进。在本次建设中,应当本着符合使用来控制规模
7、,如果后续依然有业务系统需要迁移,可以运用云计算课扩展性,逐渐完毕扩展。 (4) 统一规划和分布实行原则本项目建设需要通过建设统一顶层框架,统一规划、统一实行和统一管理,保证项目按照进度、按筹划建设。(5) 先进性原则本项目建设,规定技术具备先进性,并保证在将来一段时间内具备先进性和扩展性。2.2 项目建设内容、思路及技术规划云计算项目建设是一种循序渐进过程,需要按照环节有组织有筹划推动,逐渐实现建设目的。详细建设内容涉及:(1) 搭建私有云,满足基本设施支撑能力需求采用云计算最新技术,涉及虚拟化技术、设备资源池化技术、分布式并行存储技术、存储虚拟化技术、自动运维技术、安全技术,用软件整合、调
8、度硬件资源,建设具备良好弹性、扩展性、安全性、高可靠、绿色节能、自主可控私有云,满足业务系统整合、托管、迁移、运营和运维需求。l 良好伸缩性,支撑能力随业务变化便捷扩展云计算架构具备良好伸缩性,系统规划可以满足 近期业务和资源库迅速增长需要,同步云计算中心具备了良好扩展性能,可以随着业务迅速增长而扩展,可以实现不断机状况下,在线增长系统存储、计算资源,变化基本设施支撑能力有限局面,为业务增长或变化提供迅速响应,实现业务敏捷。l 运营易管理和易操作性,减少运维压力通过云管理平台,可以对云计算中心服务器设备、存储设备和网络设备以统一视图进行管理。云管理平台支持基于方略管理手段,将固定操作以系统运维
9、方略方式进行固化管理,一方面实现运维规范化,减少人为操作错误发生,另一方面减少运维压力,使得更少运维人员保障业务系统持续运营。l 高可用性,故障不再影响业务持续性云计算环境下,硬件故障将成为不可避免现象。因而私有云设计是基于不可靠硬件保障业务系统持续性理念进行设计,也即在硬件发生故障状况下,也能保障业务系统持续运转。n 服务器高可用:虚拟化技术保证虚拟服务器之间高可用,虽然服务器发生故障,支撑业务系统运营虚拟机可以迅速迁移到运转良好服务器上,保证业务系统不中断。n 存储高可用:采用热备方式,虽然在一种存储节点发生故障状况下,保证业务系统运营不受影响,同步也可以迅速重建故障节点。 l 业务持续性
10、,保证任何时候业务系统可用性业务系统迁移到私有云上,可以充分运用云基本架构动态负载均衡及高可用特性保证业务持续性。一方面保证业务系统压力动态分不到不同支撑服务器上,另一方面,保障业务系统某些节点在浮现故障状况下,运用高可用特性保证业务不中断。l 信息系统弹性,减少突发事件影响由于突发事件不拟定性,进而会导致业务系统访问量有突发性特性,这对基本设施支撑能力提出了更高规定,否则突发事件往往导致业务系统瘫痪。将业务系统布置到私有云上,业务系统有突发高并发访问时,云管理平台将会自动将闲置计算资源调配给有关业务系统,从而大幅提高业务系统支撑能力。l 安全性私有云系统不但可以接管老式信息系统一切安全设备和
11、办法,并且可以通过云管理平台进行统一管理。针对云计算中虚拟化资源,云管理平台通过虚拟防火墙,VPN,VLAN,负载均衡等技术,有效保障了虚拟化资源安全性 2.3 技术架构和路线简介在私有云建设中基本可以分为三大某些:资源池化、智能化云管理等。2.3.1 资源池化资源池化就是将计算资源、存储资源、网络资源通过虚拟化技术,将构成相应资源众多物理设备组合成一种整体,形成相应计算资源池、存储资源池、网络资源池,提供应上层应用软件。资源虚拟化是对上层应用屏蔽底层设备或架构资源封装手段,是实现云计算资源池化重要技术基本。虚拟化技术由来已久,所谓虚拟化是相对于物理实体而言,即将真实存在物理实体,通过切分或(
12、和)聚合封装手段形成新体现形态。聚合封装是将各种物理实体通过技术手段封装为单一虚拟映像/实例,可用于完毕某个业务。例如SMP、计算集群(Cluster)、负载均衡集群(Load Balance)、RAID技术、虚拟存储、端口汇聚(port trunk)、互换机堆叠(stack)等。切分封装是将单个物理实体通过技术手段封装为各种虚拟映像/实例,可用于执行不同业务。例如主机虚拟化、存储分区、虚拟局域网(VLAN)等。虚拟化技术一种重要成果是减少IT架构中部件之间依赖关系,以计算虚拟化为例,集群、主机虚拟化等计算虚拟化技术实现了应用软件与物理基本设施解耦。 最后效果是分离了应用软件与物理基本设施,解
13、除或弱化了它们之间耦合,从而也就削弱了各自技术发展所受到互相限制,拓展了技术发展空间和灵活性。 2.3.2 智能化云管理云计算架构具备IaaS、PaaS、SaaS等众多服务模型,提供计算服务、存储服务、乃至整合各种资源综合性服务,其资源构成更加复杂、规模更加庞大。为了提高易用性和可维护性,各种资源构成之间关系复杂。在本项目中,重要构建IaaS层。为了保证云计算中心服务质量,对于众多顾客资源配给调节也规定更精准、更及时。这些规定已经不是依托运维人员能力所能满足,需要采用更加智能化自适应运维管理。云计算中心运维管理要适应云服务对资源管理所提出新需求,紧耦合资源管理云计算中心采用资源综合管理,即将系
14、统中计算、存储、网络等资源视为整体系统,实行统一管理,这有助于优化整体性能、精准定位问题、是实现动态资源调度重要因素。 多维度资源管理云计算中心资源具备各种视图,例如物理资源视图、虚拟资源视图、虚拟组织视图,因而,云管理也应当是多维。 3 私有云总体建设方案3.1 建设原则 私有云建设将遵循如下建设原则:1) 原则化和开放性系统原则化和规范化是信息系统建设基本而又核心一步,要实现信息通讯与共享,必要规范信息技术原则。采用业务内原则技术体系和设计办法,使系统最大限度地具备各种层次平台无关性和兼容性。在使用新技术同步充分考虑技术国际原则化,严格按照国际国内有关原则设计实行。2) 先进性和超前性在实
15、用可靠前提下,尽量跟踪国内外先进计算机软硬件技术、信息技术及网络通信技术,使系统具备较高性能价格比,同步建设方案以实际可接受能力为尺度,避免盲目追求新技术,导致不必要挥霍。技术上立足于长远发展,坚持选用开放性系统,使系统和将来新技术能平滑过渡。采用先进体系构造和技术发展主流产品,保证整个系统高效运营。3) 实用性和以便性系统建设要以满足需求为首要目的,采用稳定可靠成熟技术,保证系统长期安全运营。系统应用后,的确能为各级业务和管理节点提供一种智能化网络信息环境,以提高管理水平和工作效率。4) 安全性和保密性遵循关于信息安全原则,具备切实可行安全保护和保密办法,保证数据永久安全。系统应提供多方式、
16、多层次、多渠道安全保密办法,防止各种形式与途径非法侵入和机密信息泄露,保证系统中数据安全。5) 稳定性和可靠性系统建成并投入使用后,将成为支撑系统平稳运转运营平台和开发新业务系统基本平台,系统瘫痪后果是难以想象。因而系统必要在成本可以接受条件下,从系统构造、设计方案、设备选型、厂商技术服务与维护响应能力,备件供应能力等方面考虑,使得系统故障发生也许性尽量少,影响尽量小,对各种也许浮现紧急状况有应急工作方案和对策。6) 跨平台性和可移植性由于系统建设复杂性规定,在设计时,要充分考虑系统跨平台、跨系统、跨应用、跨地区性和在各种操作系统、不同中间件平台上可移植。7) 可维护性和可扩展性要保证系统能在
17、各种操作系统和不同中间件平台上移植。系统设计做到信息内容统一,以便日后系统维护。在私有云设计过程中,充分考虑在将来若干年内发展趋势,具备一定前瞻性,并充分考虑了系统升级、扩容、扩充和维护可行性。 3.2 总体设计方案 3.2.1 逻辑架构 私有云系统布置逻辑架构如下图所示: 逻辑架构图用于对外提供各种服务各种类型虚拟主机节点集合构成了计算“资源池”,其不但实现了基于服务器CPU、内存、磁盘、I/O等硬件虚拟化实现动态管理“资源池”,同步还可以在各类型虚拟主机所在物理服务器之间进行动态迁移和变更资源。为此规定将各种类型物理服务器、存储、网络等设备统一为一种逻辑意义上“计算资源池”,从而提高资源运
18、用率,简化系统管理,实现服务器整合,让IT对业务变化更具适应力。 云管理平台为顾客提供简朴、统一管理平台,内置丰富资源管理与交付功能;云平台将原本静态分派IT基本设施抽象为可管理、易于调度、按需分派资源;使用云平台可以把资源能力封装,对外提供按需灵活使用各类IT资源服务,满足各种业务运营。云管理平台重要进行系统资源服务化、实现资源迅速布置与按需分发 。借助于云管理平台,可以构建易于管理、动态高效、灵活扩展、稳定可靠、按需使用私有云构造。3.2.2 网络架构(假设) 私有云网络架构如下图所示:管理服务器:用于云管理平台管理节点安装,负责对 私有云资源池进行管理、调度和监控。在本期建设中,可以考虑
19、利旧或者是虚拟机来作为管理服务器节点。虚拟化服务器:该服务器为若干台服务器构成集群,形成计算资源池。通过虚拟化软件将物理服务器安装需求,虚拟出若干台符合应用需求应用虚拟机作为 私有云业务应用负载服务器。各虚拟化资源通过云管理平台统一调度、按需分派。如果计算资源池资源不够使用,可以直接添加服务器,或者采用利旧方式,无缝扩展资源池。存储:该存储重要用于虚拟机数据存储、业务数据存储等。依照业务需要在本次私有云建设中,采用光纤存储进行通信。本期采用单存储方式,做到满足数据和业务需求,后期可以考虑双存储以HA方式互备,保障了整个私有云系统数据安全。存储同样属于计算资源池一某些,由云管理平台统一纳管。光纤
20、互换机:光纤互换机为服务器与存储间通信互换机,选取8Gb/s互换模块,可以有效保障服务器与存储间通信速率。本期采用两台24口8Gb/s光纤互换机(各激活8个口),以主备方式提供光纤网络通信。接入互换机:依照既有 网络环境和需求,接入互换机选取两个48口千兆互换机进行通信。以主备方式,保障网络安全。防火墙:接入互换机数据通过防火墙上联到核心互换机,接入 核心网络。3.3 云管理平台设计3.3.1 云管理平台系统架构云平台系统整体架构如下图所示,系统分为物理资源层、虚拟资源层、云平台管理系统层和云计算服务层。系统架构图上文提到服务器资源和存储资源、网络资源等构成了物理资源层,通过虚拟化软件形成统一
21、虚拟化资源,并通过云平台管理系统,将物理设备和系统资源整合为统一计算资源池、存储资源池和网络资源池,在此基本上依照顾客需求,自动划分资源,在资源管理平台和业务服务管理平台支持下,为顾客提供丰富云服务。云平台从运维、运营与顾客三个层面对私有云进行资源管理和运营管理。云平台管理架构图云计算管理平台是一种用来创立云基本架构 (IaaS) 平台。 云计算管理平台容许公司在公司内部设立一种服务于公司自身私有云。当前VMWare,Citrix和Microsoft提供虚拟化平台重要协助公司IT人员可以像此前管理物理机同样管理她们虚拟机。而云计算管理平台是协助非IT人员可以通过自服务方式使用虚拟机服务。云计算
22、管理平台包括管理服务器以及业界原则虚拟化软件(如XenServer,Vsphere,KVM等)扩展。管理服务器可以布置在一台服务器或一组服务器集群上。管理服务器对所有节点上资源进行统一管理并提供web接口给管理员和顾客,使她们可以对权限内资源进行访问和操作。云管理平台统将要实现目的涉及:1. 对本项目建设物理资源、网络资源和虚拟资源,进行统一管理;2. 由于不同应用资源,处在不同内网或外网条件下,建设云管理平台可以跨网络管理;3. 纳管已有物理资源和网络资源,本次实行以实验方式,先纳管某些资源,依照使用状况,逐渐将所有物理资源和网络资源纳管进来;4. 实现对所有信息资源,涉及物理计算资源,虚拟
23、技计算资源,物理网络资源、虚拟网络资源自动化管理;5. 云管理平台提供可视,可控,可管运维系统。 3.3.2 云管理平台功能3.3.2.1 云平台服务云计算管理平台为顾客创立虚拟机实例提供了各种选取:l 计算服务,由管理员定义,提供CPU速度和个数,内存大小和根卷大小等选取l 存储服务,由管理员定义,提供了数据卷大小选取l 网络服务,由云计算管理平台定义,描述了顾客通过虚拟路由器或者外部网络设备可以使用功能。l 模板和镜像,模板是一种操作系统镜像,顾客可以从这个镜像创立新虚拟机。所有通用Linux和Windows系统都可以成为模板。管理员也可以向系统中导入新模板。除以上选项之外,尚有一种只对云
24、计算管理平台管理员可见服务类型,用于配备虚拟机路由器。3.3.2.2 帐户、顾客和域云计算管理平台顾客通过度派帐户登陆和使用资源。在云环境里,各帐户之间环境是互相隔离。一种域由一组帐户构成,一种域中帐户普通有逻辑上关联性,域可以有各种管理员帐户对域以及域包括子域进行管理。一种账户可以相应各种顾客,顾客更像是账户别名,同一账户顾客之间没有互相隔离,她们具备相似权限,可见资源也相似。在大多数状况下,一种账户相应一种顾客即可满足需求。3.3.2.3 管理服务器云计算管理平台管理服务器运营于WEB容器(如Tomcat)并使用关系型数据库(如MySQL)存储数据,所使用数据库也可以安装在一台独立物理机上
25、,也就是数据库服务器,并可以依照需要配备备份服务器。 提供管理员和顾客访问web界面 提供云计算管理平台对外API接口 管理每个资源节点上虚拟机资源分派 管理每个帐户公网和内网IP地址分派 管理虚拟硬盘镜像存储空间分派 管理快照(snapshot)、模板、ISO镜像,并可以依照需要将它们跨数据中心备份。 整个云环境配备中心3.3.2.4 资源服务器资源服务器是用来提供虚拟机资源服务器。可以通过云管理平台自带虚拟化软件进行虚拟化,也可以通过如VMWARE、Citrix XEN等有关软件或功能进行虚拟化。 提供虚拟机需要所有CPU,内存,存储和网络资源 互相通过高速网络互联互通,并具备Intern
26、et连接 可以位于不同地理位置不同数据中心 可以具备不同规格(如不同CPU速度,不同内存大小等等) 是高性能通用x86兼容服务器,自身相对可靠,但规模较大时容许浮现个别服务器故障3.3.2.5 网络功能和网络虚拟化云计算管理平台管理内网(private)、直连网络direct和公网(public) IP分派。管理员一方面将可供分派内网,直连网络和公网IP输入系统。重要有两种网络模型可供创立:直连网络和虚拟网络。云计算管理平台 资源域(Zone)也分为两类:基本网络资源域仅能创立直连无标记(untagged)网络。高档网络资源域除此之外还可以创立虚拟网络以及直连带标记(tagged)网络。直连网
27、络在直连网络中,虚拟机被直接在本地子网中分派IP地址。这些虚拟机可以直接访问Internet,也没有任何NAT转换。它们网络封包不通过任何虚拟路由器。因而,直连网络无法获得云计算管理平台中软负载平衡、防火墙和端口转发等功能。直连网络顾客依照配备不同,可以和别直连网络顾客相通或隔离。在直连带标记网络中,管理员对资源域内部每位顾客分派特定VLAN标记和IP段。顾客虚拟机可以从虚拟路由器(相称于DHCP服务器)获得IP地址。直连带标记网络可以让顾客虚拟机以便与外界网络互联互通,涉及管理服务器。直连无标记网络则采用了类似于亚马逊安全组概念对每位顾客进行隔离,而不采用VLAN。所有顾客无论账号如何都在同
28、一种广播域内。直连无标记网络最常使用在私有云中。所有Hypervisor类型都可以支持直连无标记网络,但只有XenServer和KVM节点可以设立安全组。虚拟网络在虚拟网络中,顾客虚拟机布置于私有虚拟网络中。每个顾客虚拟网络均通过VLAN与其她顾客虚拟网络隔离。每个顾客所有客户机也在自己VLAN中被分派相应网络接口。可以用两种方式建立虚拟网络:基于虚拟路由器和基于外部路由器。l 云计算管理平台在安装时就提供了一种虚拟路由器。这个虚拟路由器可以提供DNS,DHCP,gateway,NAT,负载平衡和VPN服务。l 基于外部路由器虚拟网络使用第三方厂家路由器设备提供gateway和NAT服务,而D
29、NS和DHCP仍旧由虚拟路由器完毕。虚拟网络布置必要使用虚拟路由器或外部路由器。在虚拟网络中,同一种顾客不同虚拟机由于处在同一种VLAN,她们之间网络通信不通过虚拟路由器。VLAN起到顾客之间隔离作用:不同帐户顾客使用不同VLAN。在虚拟网络中,每一种顾客会被分派一种外网IP地址。顾客可以申请更多外网IP地址。外网IP地址是指顾客实际访问虚拟机IP地址。通过虚拟路由器建立虚拟网络每个帐户都被分派一种虚拟路由器。所有此帐户拥有外网IP地址也都分派给这个虚拟路由器。这个虚拟路由器是虚拟机和外网通信管道,并且为虚拟机提供DNS和DHCP服务,以及NAT转换。虚拟路由器存在使得云计算管理平台可觉得顾客
30、提供诸多网络功能,例如:将发送至某个外网IP包转发至一种指定虚拟机,或是在各种虚拟机之间做流量负载平衡,使得通过有限公网IP可以提供更可靠服务。通过外部路由器建立虚拟网络每个帐户依然被分派一种虚拟路由器。但所有此帐户拥有外网IP被分派给外部路由设备。外部路由器成为虚拟机和外网通信桥梁,并提供NAT转换。虚拟路由器仅提供DNS和DHCP功能。负载平衡可以由外部路由器或者虚拟路由器完毕。一种帐户也许既拥有在虚拟网络虚拟机也拥有在直连带标记网络虚拟机。在这种状况下,这个帐户将拥有两台虚拟路由器,一台虚拟路由器负责资源域 VLAN管理,一台虚拟路由器负责直连带标记VLAN管理。在同一种资源域里基本网络
31、不能与虚拟网络或直连带标记网络共存。一种云环境也许包括一种基本网络资源域,一种虚拟网络与直连带标记网络共存资源域。3.3.2.6 存储功能和虚拟化虚拟机模板是顾客第一次启动虚拟机时所使用基本操作系统镜像。例如,有顾客需要64位CentOS 5.3操作系统镜像,就可以把它作为一种虚拟机模板。每个虚拟机模板均有相应访问权限。访问权限涉及: 公开权限。这个模板可以供所有顾客访问。 私有权限。这个模板只能供创立它顾客,以及该顾客指定使用者访问。管理员和顾客都可以将模板加入至系统。顾客在访问模板时候可以看见模板所有者。云计算管理平台将提供应虚拟机使用一块存储空间称为一种卷。卷既可以是系统盘也可以是数据盘
32、。系统盘在文献系统半途径为”/”或”C:”,也普通作为引导盘使用。数据盘提供额外存储空间(途径为”/opt”或”D:”)。每个虚拟机均有一种系统盘和一种数据盘。顾客可以将各种数据盘挂接在一种虚拟机上。这些数据盘可以从管理员提供存储服务中获得。同步,顾客还可以从卷中创立模板,这也是私有模板原则创立方式。ISO镜像存储和使用方式与模板类似。ISO镜像除了访问权限外,还可分为两种类型:可以引导系统(bootable)和不能引导系统。可以引导ISO镜像普通包括操作系统镜像(如Ubuntu 10.4 安装CD)。MasterStack云计算管理平台容许顾客从ISO镜像启动虚拟机。顾客还可以将ISO镜像挂
33、接到虚拟机上。例如,需要在Windows虚拟机上安装PV驱动程序时就可以挂接相应Hypervisor厂商ISO镜像。云计算管理平台支持卷快照,涉及系统盘和数据盘。管理员可觉得每个顾客可以创立快照数量设限。顾客既可以通过快照来还原卷以恢复丢失数据,也可以从快照来创立模板,以保证当卷无法还原时可以直接启动新虚拟机以保证业务持续性。可以将快照设立为定期任务。快照普通会在主存储设备上生成并备份至二级存储,直到被删除或被新快照覆盖。云计算管理平台可以配备主存储和二级存储。主存储支持iSCSI,FC或NFS接口。主存储上存储虚拟机磁盘镜像,普通和服务器物理位置接近。二级存储上存储模板,ISO镜像以及快照数
34、据,普通一种二级存储可以相应几百台服务器。3.3.2.7 虚拟机分派方略云计算管理平台在创立虚拟机时会依照内置方略选取可用物理机。被选取物理机总是和虚拟机镜像物理位置接近。分派方略涉及“纵向优先”和“横向优先”。纵向优先是指先分派满一台物理机负载,再分派第二台物理机。这样好处是节能,未分派物理机可以处在休眠模式。横向优先是指每台物理机平均分派负载。这样好处是保证每台虚拟机性能最优。云计算管理平台支持CPU 超配(over commit),也就是容许管理员分派比实际CPU个数/能力更多虚拟机给最后顾客。3.3.2.8 虚拟机管理云计算管理平台为管理员和顾客提供了丰富虚拟机管理功能。虚拟机基本操作
35、涉及启动,停止,重启,删除等等。虚拟机包括名称和组别。虚拟机名称和组别对于云计算管理平台是不透明,顾客通过它们来组织和管理虚拟机。虚拟机可以配备HA。对于配备了HA虚拟机,系统会监控它们状态,并在发现出问题时候试着在另一种物理机上重新启动该虚拟机。云计算管理平台无法区别一台虚拟机是正常关机还是异常关机。如果顾客关掉了一台配备HA虚拟机,云计算管理平台会重启它。因而,当顾客真需要关掉配备HA虚拟机话,需要先通过云计算管理平台界面或者API以禁用HA功能。3.3.2.9 其她管理功能系统还提供了警告和事件等管理功能。警告是发送给管理员提示,通惯用邮件发送,告知管理员系统浮现错误。警告信息是可配备。
36、事件功能跟踪管理员和顾客在云计算管理平台所有操作。例如,每次虚拟机启动都相应一种事件。事件存储在管理服务器数据库。云计算管理平台容许管理员将某台物理机设为维护模式。位于维护模式物理机一方面从资源池中移出,不再接受新虚拟机分派祈求。然后,这台物理机上虚拟机会被无缝迁移至其她不在维护模式物理机。由于这里采用是在线迁移技术,客户业务和应用不会受到影响。管理员和顾客还可以监控物理机和虚拟机性能。通过云计算管理平台监控界面,顾客可以理解机器各种资源使用状况以决定与否要换用更高档虚拟机或是更大存储空间。3.3.2.10 API和扩展性云计算管理平台管理员界面和顾客界面是基于同一套原则HTTP祈求合同开发。
37、这一套合同保证界面和后端松耦合,无论是改写顾客界面还是开发命令行工具都很以便。云计算管理平台可扩展分派方略架构容许接入新分派方略来分派存储和物理机。3.3.2.11 弹性和可用性云计算管理平台设计保证对各种数据中心,上千台服务器规模支持。咱们把一种机架(Pod)作为大规模布置下一种单位。普通一种Pod相应一种物理机架。系统规模扩展也就是增长新机架以及在管理服务器中对新加资源进行管理流程。云计算管理平台也包括了一系列保证可用性特性。一方面,管理服务器可以是一组配备了负载平衡服务器机群。另一方面,数据库可以配备自动备份以保证在出错时可以人工恢复。对于资源服务器,云计算管理平台支持网卡绑定,多网络存
38、储以及iSCSI多途径。3.3.3 云管理平台设计3.3.3.1 资源管理系统设计资源整合和虚拟化将原本静态分派IT资源池化,打破资源孤岛、形成逻辑资源池,使上层应用不再以竖井(Silo)和专用(Dedicated)形式使用资源,而是各种应用共享资源池,既可以提高资源运用率,又可以通过迅速布置、动态分派等应相应用对资源突发需求。在 私有云建设中,当资源池就绪之后,通过云管理平台资源管理模块实现异构资源池统一管理,动态分派和调度资源以满足多应用需求。已有设备和新购入设备均可以纳入云管理平台管理中。设备管理:统一设备资产管理,清晰、以便维护和管理各类设备有关信息,如设备名称、编号、型号,所处详细物
39、理位置信息等,实现设备与资源统一纳管和集中监控展示。网络拓扑:覆盖虚拟机层级网络拓扑图、VLAN图,以及直观机架图,从各个层面展示私有云设备连接状况,精确理解虚拟机与物理机依存关系。系统监控:图形化和列表方式展示虚拟机、Hypervisor主机、物理机、存储、网络设备启停状态、资源运用率等详细监控信息;并可通过仪表板集中呈现,全面直观理解整个资源系统概要信息。告警管理:告警规则配备与管理,告警事件统一展示,可及时理解资源池中各种异常事件和告警信息。报表系统:丰富报表记录功能,可记录分析各种资源历史使用状况、运用率状况、可用性等信息,为资源进一步优化运用提供决策信息。3.3.3.2 运营管理系统
40、设计云管理平台除了变化老式信息系统管理方式外,更体现了云计算中“服务”概念。在 私有云建设中,通过云管理平台运营管理系统,可以将资源服务化,更好提供以便快捷信息资源服务。在资源池之上,将资源封装为可度量服务,并使最后顾客以最便捷灵活形式按需使用这些服务。提供了服务管理、订单管理、顾客管理、计费管理等功能,以协助信息管理人员完毕寻常运营工作,面向最后顾客提供自助服务流程。实现“按需自助服务”这一云计算最后目。重要设计功能:资源封装,预置丰富云服务针对 实际应用或业务需求,配合信息管理人员,将资源池中各种资源封装为适合不同应用使用不同服务模板,并通过服务目录形式在门户系统上呈现,供顾客浏览和选取所
41、需服务。运营管理员也可以依照信息业务发展状况和顾客反馈意见,创立新服务模板并发布,以满足不同顾客需求。通过门户系统,管理员可以轻松管理服务模板创立、修改、发布、删除等整个生命周期过程。订单管理云管理平台提供“购物车”功能,顾客通过自服务门户,可以像网上购物同样选取服务产品放入购物车并提交以生成订单,订单可管理、查看审批轨迹及删除。运营管理员则对所有顾客提交订单进行管理。使用者和运营管理者无需沟通交流即可申请信息资源使用。大大化简了 信息资源申请审批流程,以便了一线职工使用,减少了信息管理人员工作量。审批流程为了防止在审批流程中浮现问题,审批可以是单层或层级审批,每一级审批可设立为自动或人工完毕
42、。对审批层级和自动/人工审批配备均可以通过运营管理管理员门户完毕。可以依照订单重要限度,设计不同审批模式,有效保障了信息资源使用安全性和合理性。按需自助服务,完整顾客自服务流程云平台自服务流程为顾客提供了完整按需自助式服务体验,整个自服务流程涉及服务申请、订单审批与管理、服务交付、服务实例使用与回收等环节与功能。如果订单通过审批,系统会自动依照订单为顾客分派资源,生成相应服务实例交付给顾客,顾客可通过各种方式登录和使用自己资源,也可对服务实例进行更改、申请作废等操作。未通过审批订单不会获得任何资源分派。服务控制台,提供服务实例全生命周期管理服务实例全生命周期管理,是指顾客服务实例从创立到回收整
43、个过程管理。涉及对服务实例自动布置,顾客对服务实例使用、更改、申请作废,系统对服务实例相应资源释放和回收等。云平台自服务门户提供一种服务控制台,顾客可对自己服务实例进行查询、操作和管理,例如对虚拟机进行开机、重启、关机等操作,或者将一种块存储挂载给虚拟机。此外,云平台支持顾客通过浏览器直接访问虚拟机,为顾客提供了极大便利。当顾客不再需要所申请资源时,可以对服务实例申请作废,云平台会回收并释放该顾客申请资源,服务订购关系终结。界面和谐,基于角色门户系统云平台对管理员和最后顾客都提供了和谐门户系统,通过权限控制,云平台对不同角色顾客呈现不同功能门户界面。日记审计云平台日记系统可记录管理员和顾客在云
44、平台内所有操作,如登录系统、资源操作等。可在界面显示所有日记及日记详情,也可以对日记进行查询,基于日记可实现对顾客操作审计。 3.3.3.3 云管理平台安全设计在云管理平台设计中,特别突出安全性设计。多层面安全隔离1、Zone和在Zone之间也许实现了某种形式物理隔离和冗余2、不同帐户顾客使用不同VLAN,VLAN起到顾客之间隔离作用;基于顾客虚拟机隔离:即管理员可以通过云平台将不同顾客之间虚拟机配备为无法建立2层链接,实现基于顾客虚拟机隔离。3、提供各种网络类型,某些是真实,某些是虚拟,虚拟网络通过VLAN隔离,物理网络通过不同硬件和设备隔离等,例如通过公网IP、私网IP通过不同网卡隔离流量
45、.也通过不同组网,如3个平面来隔离业务、管理、存储4、直连网络可以通过给顾客分派VLAN来隔离,直连无标记网络则采用了类似于亚马逊安全组概念对每位顾客进行隔离,而不采用VLAN。所有安全域都通过防火墙接入到网络中,各个安全域通过虚拟防火墙进行逻辑隔离,安全域之间不能直接访问,在虚拟防火墙上通过访问控制方略,对顾客进行文献和数据操作权限限制,防范顾客越权访问。全面虚拟机安全机制1、同一物理服务器上虚拟机隔离,同一物理机服务器上资源隔离,涉及CPU、内存、内部网络隔离、磁盘I/O有效隔离,不会由于某一种虚拟机被袭击而导致其她同一物理服务器上虚拟机被影响。2、内部虚拟机访问隔离,提供虚拟防火墙,如安
46、全组功能,保证不同租户虚拟机之间网络隔离(涉及同一种物理主机内不同虚拟机)。针对每个安全组可以定义ACL规则,如对外开放某个详细服务或端口,容许外部某个IP地址访问虚拟机某个端口,也可以在安全组之间互相授权访问。3、恶意VM防止,云平台要能防止同一种物理主机内VM能嗅探到其他VM数据包。例如ARP防护,云平台防止恶意虚拟机IP欺骗和ARP地址欺骗,限制虚拟机只能发送本机地址报文。4、虚拟机操作日记审计,通过云平台记录对虚拟机进行VM操作,便于合规审计。访问控制1、对业务和应用中保存帐号进行集中管理,涉及帐号创立、变更和删除等。同步依照预定方略,修改帐号口令。接入认证安全、传播安全;2、将人员和
47、其在各个业务系统中承担角色关联,实现对维护人员和顾客等集中授权。3、记录帐号登录、登出等有关日记信息,并帐号登录、登出信息和顾客真实身份有关联。4、依照预先制定审计方略对日记进行分析,发现高危操作,产生审计事件告警。输出符合萨班斯审计需要等规定审计报告。融合已有老式安全办法1、防火墙:最主流也是最重要安全产品,是边界安全解决方案核心。它可以对整个网络进行区域分割,提供基于IP地址和TCP/IP服务端口等访问控制;对常用网络袭击,如回绝服务袭击、端口扫描、IP欺骗、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、顾客认证、IP与MAC绑定等安全增强办法。2、VPN网关:虚拟专用网(Virtual Private Network,VPN)技术以其灵活、安全、经济、易扩展特点,可以提高沟通效率和资源运用效率,建立成员单位与云平台之间具备保密性网络连接。能满足远程管理接入需求。设备支持VPN隧道数量和最大并发顾客数量满足当
浙ICP备2021020529号-1 | 浙B2-20240490 
