職教智慧教育云平臺總體規(guī)劃

1、 職教智慧教育云平臺總體規(guī)劃目錄 TOC o 1-3 h z u HYPERLINK l _Toc528761393 1概述 PAGEREF _Toc528761393 h 3 HYPERLINK l _Toc528761394 1.1職教信息化發(fā)展現(xiàn)狀 PAGEREF _Toc528761394 h 3 HYPERLINK l _Toc528761395 1.2教育部指導(dǎo)思想和工作方針 PAGEREF _Toc528761395 h 3 HYPERLINK l _Toc528761396 2職教智慧教育建設(shè)目標(biāo) PAGEREF _Toc528761396 h 6 HYPERLINK l _T

2、oc528761397 2.1提升職教信息化基礎(chǔ)能力 PAGEREF _Toc528761397 h 6 HYPERLINK l _Toc528761398 2.2構(gòu)建統(tǒng)一的教育資源平臺 PAGEREF _Toc528761398 h 8 HYPERLINK l _Toc528761399 3教育云平臺總體規(guī)劃設(shè)計 PAGEREF _Toc528761399 h 9 HYPERLINK l _Toc528761400 3.1設(shè)計原則 PAGEREF _Toc528761400 h 9 HYPERLINK l _Toc528761401 3.2總體架構(gòu) PAGEREF _Toc528761401

3、 h 10 HYPERLINK l _Toc528761402 3.2.1自主可控的技術(shù)架構(gòu)設(shè)計 PAGEREF _Toc528761402 h 10 HYPERLINK l _Toc528761403 3.2.2通過COC匯聚實現(xiàn)云平臺邏輯建設(shè) PAGEREF _Toc528761403 h 11 HYPERLINK l _Toc528761404 3.2.3層次清晰的平臺部署架構(gòu)圖 PAGEREF _Toc528761404 h 12 HYPERLINK l _Toc528761405 3.3技術(shù)路線 PAGEREF _Toc528761405 h 13 HYPERLINK l _Toc5

4、28761406 3.3.1服務(wù)器虛擬化技術(shù) PAGEREF _Toc528761406 h 13 HYPERLINK l _Toc528761407 3.3.2資源彈性擴展 PAGEREF _Toc528761407 h 16 HYPERLINK l _Toc528761408 3.3.3虛擬化智慧網(wǎng)絡(luò) PAGEREF _Toc528761408 h 16 HYPERLINK l _Toc528761409 3.3.4安全可控技術(shù) PAGEREF _Toc528761409 h 23 HYPERLINK l _Toc528761410 3.3.5創(chuàng)新服務(wù)模式 PAGEREF _Toc5287

5、61410 h 26 HYPERLINK l _Toc528761411 3.3.6充分考慮利舊 PAGEREF _Toc528761411 h 26 HYPERLINK l _Toc528761412 3.3.7海量存儲技術(shù) PAGEREF _Toc528761412 h 26概述職教信息化發(fā)展現(xiàn)狀職業(yè)教育是與經(jīng)濟發(fā)展、社會進步的聯(lián)系最直接、關(guān)系最緊密的教育類型，特別是在現(xiàn)階段，充分發(fā)揮職業(yè)教育的作用對于繁榮經(jīng)濟、促進就業(yè)、消除貧困、維護穩(wěn)定、建設(shè)先進文化有著重大意義。縱觀歐美國家的快速經(jīng)濟發(fā)展，其背后都離不開發(fā)達的職業(yè)教育的支撐。目前來看，我國的普通教育水平，早已接近甚至已經(jīng)超出發(fā)達國家，

6、而職業(yè)教育還遠遠的落后于發(fā)達國家。這種落后除了職業(yè)教育理念、職業(yè)教育領(lǐng)域等方面存在差距外，在職業(yè)教育的信息化建設(shè)方面，差距尤其明顯。近年來，我國不少地方、行業(yè)和職業(yè)院校積極開展職業(yè)教育信息化建設(shè)，在基礎(chǔ)設(shè)施建設(shè)、信息資源開發(fā)、人員技術(shù)培訓(xùn)和管理系統(tǒng)應(yīng)用等方面取得重要進展，對于有效擴大、優(yōu)化配置和開放共享職業(yè)教育資源，大幅提升職業(yè)教育服務(wù)經(jīng)濟社會的能力，發(fā)揮了重要作用。然而不可否認的是，由于政策性投入以及其他歷史原因，我國職業(yè)教育信息化建設(shè)基礎(chǔ)還比較薄弱，發(fā)展水平還不高，尤其是在有些地方，職教信息化依然處于剛剛起步階段，很多教務(wù)工作以及學(xué)生管理甚至還依賴手工記錄管理的方式。對于那些已經(jīng)有一定基礎(chǔ)

7、的職教信息化平臺，則是存在著對信息化建設(shè)缺乏統(tǒng)籌，信息孤島與重復(fù)建設(shè)的現(xiàn)象比較普遍，系統(tǒng)間互聯(lián)互通性較差，資源開放性、共享性不強，信息安全存在隱患等等問題。目前來看，推進職業(yè)教育信息化的建設(shè)任務(wù)非常緊迫。教育部指導(dǎo)思想和工作方針加快推進職業(yè)教育信息化，是我國教育信息化工作的重要內(nèi)容，是職業(yè)教育基礎(chǔ)能力建設(shè)的重要任務(wù)，是支撐職業(yè)教育改革創(chuàng)新的重要基礎(chǔ)，是提高人才培養(yǎng)質(zhì)量的關(guān)鍵環(huán)節(jié)。在2012年5月份，教育部為貫徹落實國家中長期教育改革和發(fā)展規(guī)劃綱要（2010-2020年）關(guān)于加快教育信息化進程的戰(zhàn)略部署，切實推進職業(yè)教育廣泛、深入和有效應(yīng)用信息技術(shù)，不斷提升職業(yè)教育電子政務(wù)能力、數(shù)字校園水平和人

8、才信息素養(yǎng)，全面加強信息技術(shù)支撐職業(yè)教育改革發(fā)展的能力，以先進教育技術(shù)改造傳統(tǒng)教育教學(xué)，以信息化促進職業(yè)教育現(xiàn)代化，對職教信息化建設(shè)提出意見并發(fā)布了教育部關(guān)于加快推進職業(yè)教育信息化發(fā)展的意見。節(jié)選該意見中對“十二五”時期職業(yè)教育信息化發(fā)展的基本思路與工作方針如下：（1）到2015年，職業(yè)院校配備夠用適用的計算機及其配套設(shè)備設(shè)施；90%的職業(yè)院校建成運行流暢、功能齊全的校園網(wǎng)，信息技術(shù)能夠支撐學(xué)校教育、教學(xué)、管理、科研等各項應(yīng)用；85%的職業(yè)院校按標(biāo)準(zhǔn)建成數(shù)字校園；90%的成人學(xué)校及其他職業(yè)培訓(xùn)機構(gòu)實現(xiàn)網(wǎng)絡(luò)寬帶接入；其他學(xué)校都能建成衛(wèi)星數(shù)據(jù)地面接收站；邊遠山區(qū)和貧困地區(qū)職業(yè)學(xué)校建成數(shù)字化資源播放

9、平臺。建成國家職業(yè)教育數(shù)字化信息資源庫，不斷完善各級職業(yè)教育網(wǎng)絡(luò)學(xué)習(xí)平臺；建成國家職業(yè)能力培養(yǎng)虛擬仿真實踐教學(xué)公共環(huán)境，為在校學(xué)生、企業(yè)職工及社會學(xué)習(xí)者提供優(yōu)質(zhì)實踐教學(xué)資源。建成全國職業(yè)教育綜合管理信息系統(tǒng)，實現(xiàn)各級教育行政部門政務(wù)管理和職業(yè)院校業(yè)務(wù)管理的信息化、標(biāo)準(zhǔn)化和規(guī)范化。形成學(xué)生信息技術(shù)職業(yè)能力認證機制。職業(yè)教育信息化能力達到發(fā)達國家水平。（2）努力提升職業(yè)教育信息化基礎(chǔ)能力。建立和完善中國職業(yè)教育信息資源網(wǎng)，建立各地教育行政部門、職業(yè)院校、行業(yè)企業(yè)和科研機構(gòu)相互協(xié)作的網(wǎng)絡(luò)化職業(yè)教育服務(wù)體系和資源共享機制。地方教育行政部門要以加強省級職業(yè)教育網(wǎng)站建設(shè)為重點，創(chuàng)新運行機制和管理模式，建設(shè)

10、泛在、先進、高效和實用的職業(yè)教育信息化基礎(chǔ)設(shè)施。全面提高職業(yè)院校信息技術(shù)裝備水平。職業(yè)院校要以標(biāo)準(zhǔn)化校園網(wǎng)建設(shè)為基礎(chǔ)，實現(xiàn)多種方式接入互聯(lián)網(wǎng)，加快信息技術(shù)終端設(shè)施普及，重點建設(shè)仿真實訓(xùn)基地、網(wǎng)絡(luò)教室、遠程教育培訓(xùn)中心、多媒體應(yīng)用中心等數(shù)字化場所和設(shè)施。努力建成支持學(xué)生學(xué)習(xí)、學(xué)校辦公和政府決策的職業(yè)教育信息化環(huán)境。（3）加快開發(fā)職業(yè)教育數(shù)字化優(yōu)質(zhì)信息資源。開發(fā)包括網(wǎng)絡(luò)課程、虛擬仿真實訓(xùn)平臺、工作過程模擬軟件、通用主題素材庫（包括行業(yè)標(biāo)準(zhǔn)庫、實訓(xùn)項目庫、教學(xué)案例庫、考核試題庫、技能競賽庫等）、名師名課音像以及專業(yè)群落網(wǎng)站等多種形式的職業(yè)教育數(shù)字化信息資源。建成教學(xué)資源平臺、電子閱覽室、數(shù)字圖書館等

11、綜合資源平臺。加快建立健全職業(yè)教育資源開發(fā)機制、認證體系和共享模式。加快建設(shè)國家職業(yè)教育數(shù)字化信息資源庫。支持建設(shè)國家職業(yè)教育數(shù)字化資源開發(fā)基地。建立健全職業(yè)院校、行業(yè)企業(yè)、研究機構(gòu)之間的資源共建共享機制。依托示范性職業(yè)院校和大型企業(yè)，建設(shè)一批國家示范性職業(yè)能力培養(yǎng)虛擬仿真實訓(xùn)中心。（4）加快提高職業(yè)院校數(shù)字校園建設(shè)水平。教育部制定職業(yè)教育數(shù)字校園建設(shè)標(biāo)準(zhǔn)，加快推進標(biāo)準(zhǔn)化數(shù)字校園建設(shè)。各地和職業(yè)院校要建設(shè)寬帶、泛在、安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，推廣應(yīng)用多媒體教室、數(shù)字化實驗室、遠程協(xié)作教室等職業(yè)教育信息化環(huán)境，促進常規(guī)裝備和信息化裝備協(xié)同融合；普及師生個人學(xué)習(xí)終端，創(chuàng)新數(shù)字化的專業(yè)學(xué)習(xí)工具、協(xié)作交流工

12、具和知識建構(gòu)工具，引導(dǎo)廣大師生廣泛運用信息化手段，創(chuàng)新人才培養(yǎng)模式，積極推進信息技術(shù)進校園、進課堂、進教材，促進信息技術(shù)與教育過程、內(nèi)容、方法和質(zhì)量評價的深度融合，提高教育教學(xué)質(zhì)量；推進學(xué)校管理信息化應(yīng)用，不斷提高職業(yè)院校學(xué)生學(xué)員、教師隊伍、辦學(xué)經(jīng)費、基本建設(shè)、條件裝備、教務(wù)、校企合作等關(guān)鍵業(yè)務(wù)管理的信息化水平，提高管理工作效率。職教智慧教育建設(shè)目標(biāo)智慧教育是指通過利用云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等先進技術(shù)，將學(xué)校的教學(xué)、科研、管理與校園資源和應(yīng)用系統(tǒng)進行整合，以提高教學(xué)教務(wù)應(yīng)用交互的明確性、靈活性和響應(yīng)速度，從而實現(xiàn)智慧化服務(wù)和管理的教育模式。智慧教育本質(zhì)上還是教育信息化的內(nèi)涵延伸，其發(fā)展需要云計

13、算等新技術(shù)的支持?！霸朴嬎恪笔且环N模式和思想，它通過多種技術(shù)綜合應(yīng)用于IT系統(tǒng)，促使IT系統(tǒng)更加彈性、動態(tài)、高效、自動化、使得IT系統(tǒng)的使用者不用關(guān)心IT系統(tǒng)的細節(jié)，從而可以將更多的精力投入到其自身業(yè)務(wù)流程的優(yōu)化中。目前，職教信息化正在全國各地如火如荼地開展。從實際情況來看，各地職校硬件設(shè)備投入?yún)⒉畈积R，部署困難，阻礙了軟件的普及應(yīng)用；信息化軟件應(yīng)用不足，缺乏統(tǒng)一部署，無法兼顧多級使用單位和角色，無法實現(xiàn)最優(yōu)化管理等。云計算技術(shù)引入教育領(lǐng)域，極大地解決了這些困惑?；谠朴嬎愕闹腔劢逃畔⒒脚_將為職教信息化的深入發(fā)展提供了強大的技術(shù)支持。提升職教信息化基礎(chǔ)能力以往的職教信息化平臺基本都是采用煙

14、囪式的部署方式，教務(wù)系統(tǒng)、學(xué)生管理系統(tǒng)、辦公系統(tǒng)等應(yīng)用都部署在單獨的物理服務(wù)器上。這種傳統(tǒng)的部署方式在長期的信息化運維中帶來一系列的問題。近年來，學(xué)校對IT平臺動態(tài)化、彈性化、自動化、高效率的需求不斷增長，隨著云計算理念的不斷深入，大多數(shù)學(xué)校在其信息中心的建設(shè)過程中，都期待利用新技術(shù)、新理念，以更科學(xué)的方法構(gòu)建新一代的教育信息化平臺，以滿足業(yè)務(wù)創(chuàng)新所要求的敏捷性，同時降低總體擁有成本。由于云計算平臺具有動態(tài)資源性、虛擬性和高可用性等優(yōu)勢，采用新技術(shù)構(gòu)建職教信息化平臺可以提早規(guī)劃信息化平臺的架構(gòu)，充分考慮未來的發(fā)展需要，繞開傳統(tǒng)信息化方式帶來的問題，避免在信息化發(fā)展中走彎路。（1）增強應(yīng)用系統(tǒng)彈

15、性信息系統(tǒng)的建設(shè)通常都是按峰值情況規(guī)劃的。但是職校的信息系統(tǒng)有其特殊性，例如招生網(wǎng)站在每年特殊時段點擊量相當(dāng)大，而其他時段并發(fā)數(shù)就很低，學(xué)校的門戶網(wǎng)站、教務(wù)處的登分查分系統(tǒng)都有類似情況。 為了保證峰值情況下系統(tǒng)的可靠性，只能進行冗余建設(shè)，這造成巨大浪費。如果不考慮峰值情況，有可能導(dǎo)致關(guān)鍵時期系統(tǒng)癱瘓等問題。云計算技術(shù)可以充分利用資源池動態(tài)變化的特性，可以滿足不同時間段業(yè)務(wù)的不用需求，保證在訪問高峰期，客戶端也可以獲得滿足要求的響應(yīng)。在平時其他時段，系統(tǒng)又可以自動調(diào)節(jié)資源分配，避免資源浪費。（2）平臺高可用性以往的職教信息化平臺基本沒有考慮過系統(tǒng)的高可用，應(yīng)用服務(wù)器出現(xiàn)故障后只能人工干預(yù)，恢復(fù)時

16、間長，對教學(xué)造成不利影響。云計算可以通過本身的集群高可用特性，通過多節(jié)點冗余的方式，自動檢測失效節(jié)點，并將應(yīng)用遷移到可用的節(jié)點上，以保證系統(tǒng)的正常運行。云計算系統(tǒng)還可以采用分布式存儲的方式來存放數(shù)據(jù)，同一份數(shù)椐存儲多個副本。云計算平臺的應(yīng)用能夠保證應(yīng)用的高可用性和數(shù)據(jù)的高可靠性。（3）降低管理維護成本當(dāng)學(xué)校規(guī)模擴大后，應(yīng)用增多且管理難度越來越高，信息化平臺無法實現(xiàn)更高的自動化，運維成本無法降低。云平臺運營管理系統(tǒng)可提供云計算平臺的運營、運維和用戶Portal，可實現(xiàn)云計算中心的統(tǒng)一管理，獲得更高的自動化水平。（4）實現(xiàn)教學(xué)資源信息共享傳統(tǒng)部署方式下應(yīng)用之間無法共享信息和交換數(shù)據(jù)，形成了很多信息

17、孤島。云服務(wù)環(huán)境下通過對中間層的整合，打通應(yīng)用之間通信的渠道，提供統(tǒng)一數(shù)據(jù)交換、多種應(yīng)用集成等功能，實現(xiàn)一個互聯(lián)互通的教學(xué)資源平臺。（5）縮短部署周期傳統(tǒng)模式下業(yè)務(wù)的部署需要涵蓋物理機硬件部署、操作系統(tǒng)安裝、平臺軟件以及應(yīng)用系統(tǒng)搭建多個層面，部署環(huán)節(jié)多且周期較長。而用戶在基礎(chǔ)設(shè)施云平臺之上通過點擊幾次鼠標(biāo)就能在很短的時間內(nèi)生成可以用來部署應(yīng)用系統(tǒng)的操作系統(tǒng)環(huán)境，大大減少了部署的成本和時間。如果在基礎(chǔ)設(shè)施云平臺上進一步構(gòu)建Paas云平臺可提供專業(yè)的易于部署的應(yīng)用部署環(huán)境。所有的應(yīng)用部署環(huán)境從云平臺建設(shè)起就已就緒，免去了大部分的整合工作，部署的成本和時間得以消除。（6）綠色節(jié)能隨著信息化進程的不斷

18、深入，能源消耗已經(jīng)成為IT支出的一項重要組成部分。服務(wù)器增加的同時，配套用電量將呈指數(shù)級上升。數(shù)量巨大的計箅機設(shè)備將會造成大量的能源消耗，這已成為學(xué)校信息化建設(shè)中不容忽視的問題。云計算對基礎(chǔ)設(shè)施進行了統(tǒng)一的配置和和管理，按需進行動態(tài)分配，充分利用空閑的計算資源，提高系統(tǒng)的總體計算能力和效率，使服務(wù)器的數(shù)量減少（每減少一臺服務(wù)器，意味著每年減少11.4噸的二氧化碳排放)，降低信息技術(shù)設(shè)備的電源能耗，在節(jié)能、環(huán)保、降低成本的同時，達到構(gòu)建低碳型教育的新型學(xué)校的目標(biāo)。構(gòu)建統(tǒng)一的教育資源平臺將信息化建立在云計算和服務(wù)的基礎(chǔ)之上，現(xiàn)有分散的各種應(yīng)用系統(tǒng)、數(shù)據(jù)資源轉(zhuǎn)變成為一個與底層具體的網(wǎng)絡(luò)運行環(huán)境、服務(wù)

19、器系統(tǒng)、存儲系統(tǒng)無關(guān)的強大的統(tǒng)一的通用信息平臺。這個平臺首先整合了底層各種硬件資源，使之擁有強大的計算功能、海量的存儲資源，現(xiàn)有的信息化系統(tǒng)建設(shè)中存在的軟硬件資源重復(fù)投入、虛擬化教學(xué)設(shè)備運行能力支持等問題將迎刃而解。再通過整合上層的業(yè)務(wù)系統(tǒng)，整個信息化平臺還可以為教學(xué)資源管理平臺、教務(wù)管理平臺等應(yīng)用提供統(tǒng)一門戶、統(tǒng)一身份認證、統(tǒng)一數(shù)據(jù)交換以及多種應(yīng)用集成等功能，并為第三方應(yīng)用提供標(biāo)準(zhǔn)的數(shù)據(jù)接口?；谠朴嬎愕钠脚_還具有較高的可靠性和安全性，可以將所有的教學(xué)資源、專業(yè)信息和應(yīng)用程序等置于平臺之上運行。教育云平臺總體規(guī)劃設(shè)計設(shè)計原則教育云平臺的建設(shè)要遵循先進性、可擴展性、可靠性、穩(wěn)定性、兼容性等原則

20、，以支持今后不斷更新和升級的需要。（一）先進性和成熟性充分采用符合國際標(biāo)準(zhǔn)的、先進并且成熟的計算機系統(tǒng)、以及軟件系統(tǒng)等先進技術(shù)和產(chǎn)品。先進是指技術(shù)領(lǐng)先期長，保證在未來5-10年內(nèi)的時間內(nèi)技術(shù)的先進性；成熟是指產(chǎn)品線豐富完整、經(jīng)過實踐檢驗、價格合理。這里所講的先進性是為了能夠運用當(dāng)今國內(nèi)、國際上最先進成熟的計算機軟硬件技術(shù)，使新建立的系統(tǒng)和采用的技術(shù)達到當(dāng)代國際較先進水平，同時要兼顧實用性和整體匹配。（二）兼容性云平臺采用多元化的開放架構(gòu)，兼容多種類型的X86平臺服務(wù)器，不受限于具體廠商和產(chǎn)品。多種產(chǎn)品架構(gòu)甚至不同處理器平臺的服務(wù)器產(chǎn)品都能在一個云平臺中使用。（三）可擴展性云平臺的建設(shè)不但要能滿

21、足現(xiàn)階段的業(yè)務(wù)要求，而且要能滿足將來業(yè)務(wù)的進一步增長和新技術(shù)發(fā)展的要求，要在原有設(shè)備繼續(xù)發(fā)揮作用的基礎(chǔ)上，保證用戶能方便地增加或調(diào)整設(shè)備，改善系統(tǒng)功能和性能，支持將來系統(tǒng)不斷更新和便于升級。系統(tǒng)結(jié)構(gòu)應(yīng)能支持主要的協(xié)議、標(biāo)準(zhǔn)和規(guī)范，應(yīng)能運行當(dāng)今流行的軟件環(huán)境下開發(fā)的各種應(yīng)用系統(tǒng)并可以在線軟件升級、調(diào)配；同時應(yīng)留有充分的擴展余地，并保證系統(tǒng)的完整性不受影響，保證系統(tǒng)可以平滑升級、擴容。（四）高安全可靠性、高可用性、高可維護性云平臺要求724小時的持續(xù)服務(wù)能力，因此要考慮選用穩(wěn)定可靠的產(chǎn)品和技術(shù)，使其具有優(yōu)秀的RAS特性和必要的冗余容錯能力，為用戶提供高可用服務(wù)。要求系統(tǒng)在硬件配置、操作系統(tǒng)、虛擬化

22、平臺以及系統(tǒng)管理等環(huán)節(jié)采取嚴(yán)格的安全可靠性措施，以保證系統(tǒng)的正常運轉(zhuǎn)。（五）可管理性云平臺具有完善的管理措施和功能，便于設(shè)備的安裝、配置和維護，以及對各種軟硬件資源的分配、調(diào)度和管理，提高資源和資產(chǎn)利用率，減輕系統(tǒng)管理人員的工作負擔(dān)?？傮w架構(gòu)自主可控的技術(shù)架構(gòu)設(shè)計XXX數(shù)字化校園云平臺的總體技術(shù)架構(gòu)設(shè)計如上圖，整個架構(gòu)包括基礎(chǔ)設(shè)施層、云基礎(chǔ)架構(gòu)層、業(yè)務(wù)應(yīng)用平臺和云服務(wù)層等。其中：基礎(chǔ)設(shè)施層：云平臺的物理環(huán)境主要包括服務(wù)器、網(wǎng)絡(luò)設(shè)備以及存儲等設(shè)備，以便在此基礎(chǔ)上采用虛擬化、分布式存儲等云計算技術(shù)，實現(xiàn)服務(wù)器、網(wǎng)絡(luò)、存儲的虛擬化，構(gòu)建計算資源池、存儲資源池和網(wǎng)絡(luò)資源池，實現(xiàn)基礎(chǔ)設(shè)施即服務(wù)。云基礎(chǔ)架

23、構(gòu)層：在云基礎(chǔ)設(shè)施的基礎(chǔ)上，為了實現(xiàn)動態(tài)資源池的構(gòu)建，通過虛擬化技術(shù)對基礎(chǔ)設(shè)施（網(wǎng)絡(luò)、服務(wù)器和存儲設(shè)備等）進行資源池化、彈性管理，通過自主可控的云計算操作系統(tǒng)，實現(xiàn)云平臺的服務(wù)管理及業(yè)務(wù)管理的統(tǒng)一管理，提高運維及運營的效率。業(yè)務(wù)應(yīng)用平臺： 通過建立統(tǒng)一的信息標(biāo)準(zhǔn)，構(gòu)建統(tǒng)一的信息門戶、統(tǒng)一的身份認證系統(tǒng)和安全可靠的公共數(shù)據(jù)交換系統(tǒng)，在此基礎(chǔ)上建設(shè)先進實用的應(yīng)用支撐系統(tǒng)（包括教務(wù)管理、學(xué)生綜合管理、人力資源管理、資產(chǎn)設(shè)備管理、財務(wù)管理、后勤服務(wù)管理、一卡通管理、實踐教學(xué)信息平臺等），實現(xiàn)各個應(yīng)用系統(tǒng)之間的數(shù)據(jù)交換與數(shù)據(jù)共享，最終實現(xiàn)高校各項管理工作的信息化。云服務(wù)層：是云計算中心與最終用于交互的接

24、口和平臺，通過該平臺能夠?qū)崿F(xiàn)云計算中心統(tǒng)一對外提供服務(wù)。運維和業(yè)務(wù)支撐服務(wù)：包括云平臺的計費審計、資源監(jiān)控、生命周期管理、容量規(guī)劃、報表分析等多項內(nèi)容。通過COC匯聚實現(xiàn)云平臺邏輯建設(shè)圖 綜合運營平臺邏輯架構(gòu)圖整個云平臺設(shè)計采用業(yè)務(wù)區(qū)域的理念。業(yè)務(wù)區(qū)域（即以服務(wù)器集群為核心的物理資源區(qū)域，不同的業(yè)務(wù)區(qū)域設(shè)備配置可以不同）是系統(tǒng)的基本硬件組成單元，整個系統(tǒng)共包括若干個業(yè)務(wù)區(qū)域。系統(tǒng)規(guī)模的擴大可以通過增加業(yè)務(wù)區(qū)域方式，使得整個系統(tǒng)具有很好的可擴展性。業(yè)務(wù)區(qū)域的業(yè)務(wù)網(wǎng)絡(luò)交換機通過萬兆方式上聯(lián)到核心交換區(qū)，通過核心交換區(qū)與其他業(yè)務(wù)區(qū)域和域外系統(tǒng)互聯(lián)。在每個業(yè)務(wù)區(qū)域內(nèi)，通過云資源管理平臺的COC節(jié)點實現(xiàn)

25、在X86業(yè)務(wù)節(jié)點上部署Hypervisor，并形成一個或多個獨立的邏輯資源池，提供給應(yīng)用使用；通過CVM在邏輯資源池內(nèi)可實現(xiàn)資源的共享和動態(tài)分配。每個業(yè)務(wù)區(qū)域包括：CVM（Cloud Virtual Manager）節(jié)點、業(yè)務(wù)節(jié)點、業(yè)務(wù)網(wǎng)絡(luò)、管理網(wǎng)絡(luò)、心跳網(wǎng)絡(luò)、本地鏡像存儲；業(yè)務(wù)區(qū)域根據(jù)各自的業(yè)務(wù)需要訪問FC存儲或并行存儲等業(yè)務(wù)數(shù)據(jù)存儲區(qū)域。云計算平臺配置多臺自助門戶節(jié)點（CSP），為最終用戶的系統(tǒng)管理員提供自助門戶服務(wù)。采用以上設(shè)計理念，使得整個系統(tǒng)具有超高的可擴展性，可使整個系統(tǒng)擴展到上千臺服務(wù)器規(guī)模。同時，云計算中心云計算資源管理平臺底層虛擬化能夠?qū)崿F(xiàn)對目前主流的XEN、KVM及VMWa

26、re等異構(gòu)虛擬化技術(shù)的統(tǒng)一管理，技術(shù)上能夠?qū)崿F(xiàn)很好的兼容性。層次清晰的平臺部署架構(gòu)圖圖 部署架構(gòu)圖依據(jù)XXX學(xué)校教育云平臺的總體需求，勾畫整個項目的部署架構(gòu)，指導(dǎo)XXX學(xué)校教育云平臺的整體建設(shè)。XXX學(xué)校教育云平臺部署主要包括幾個層面：計算資源池的構(gòu)建、業(yè)務(wù)數(shù)據(jù)的分區(qū)規(guī)劃、共享存儲的設(shè)計等。從整個部署架構(gòu)來看：計算資源池的構(gòu)建主要采用高端四路服務(wù)器作為服務(wù)器基礎(chǔ)支撐，通過虛擬化技術(shù)實現(xiàn)底層物理資源的虛擬化，云資源管理平臺通過云資源管理平臺進行虛擬機的創(chuàng)建、動態(tài)分配、遷移及管理，形成統(tǒng)一的計算資源池?？紤]到招生系統(tǒng)等關(guān)鍵教育數(shù)據(jù)的安全性、可靠性及重要性，在本方案中規(guī)劃業(yè)務(wù)數(shù)據(jù)處理的分區(qū)主要采用物

27、理機支撐。這樣能夠保證整個數(shù)據(jù)庫的穩(wěn)定、高I/O吞吐和訪問，主要通過高端八路服務(wù)器通過集群技術(shù)進行部署，支撐關(guān)鍵業(yè)務(wù)數(shù)據(jù)的存儲和管理。共享存儲設(shè)計的存儲數(shù)據(jù)主要包括重要業(yè)務(wù)數(shù)據(jù)和虛擬機鏡像數(shù)據(jù)，其中：教育信息化中的重要業(yè)務(wù)數(shù)據(jù)主要通過Oracle/DB2/SQL Server/MySQL等數(shù)據(jù)庫進行數(shù)據(jù)管理，結(jié)構(gòu)化數(shù)據(jù)存儲利用高端私有云存儲設(shè)備來支撐，在未來需要對存儲容量進行擴展時可方便的橫向縱向擴展；虛擬機鏡像數(shù)據(jù)主要存放在共享存儲部分，通過共享存儲設(shè)備來支撐虛擬機鏡像數(shù)據(jù)的存放，本次共享存儲利用并行存儲系統(tǒng)來支撐。云平臺中采用軟硬一體化的備份系統(tǒng)，可將數(shù)據(jù)庫的結(jié)構(gòu)化數(shù)據(jù)以及應(yīng)用產(chǎn)生的非結(jié)構(gòu)

28、化數(shù)據(jù)進行備份，可方便的創(chuàng)建備份任務(wù)，設(shè)置備份任務(wù)定時自動的運行，充分保障云平臺中數(shù)據(jù)的安全。技術(shù)路線XXX學(xué)校教育云平臺屬于私有云范疇，為了更好的為學(xué)校的信息化提高可靠、穩(wěn)定、高效的基礎(chǔ)資源，本項目采取資源池化、動態(tài)資源調(diào)度、海量存儲技術(shù)、智能化云管理等技術(shù)路線進行構(gòu)建。服務(wù)器虛擬化技術(shù)1）虛擬化技術(shù)概述服務(wù)器虛擬化技術(shù)是實現(xiàn)計算資源池化的重要手段。虛擬化是一個抽象層，它將物理硬件與操作系統(tǒng)分開，從而提供更高的IT資源利用率和靈活性。虛擬化允許具有不同操作系統(tǒng)的多個虛擬機在同一物理機上獨立并行運行。每個虛擬機都有自己的一套虛擬硬件（例如 RAM、CPU、網(wǎng)卡等），可以在這些硬件中加載操作系統(tǒng)

29、和應(yīng)用程序。無論實際采用了什么物理硬件組件，操作系統(tǒng)都將它們視為一組一致、標(biāo)準(zhǔn)化的硬件。服務(wù)器虛擬化技術(shù)不僅能夠降低資本消耗、減少運營費用，使服務(wù)器能夠適應(yīng)快速、頻繁的重新配置，有效地減少在開發(fā)、測試、準(zhǔn)備和部署周期中所消耗的時間，并能快速動態(tài)部署、遷移，在合理的資源分配策略下，真正實現(xiàn)資源按需分配。針對服務(wù)器，在服務(wù)器單機操作系統(tǒng)虛擬化技術(shù)支持下，采用節(jié)點級虛擬化技術(shù)，支持虛擬機應(yīng)用加速，支持虛擬機動態(tài)遷移、資源動態(tài)調(diào)整等適于云計算環(huán)境的虛擬化特性。UNIX服務(wù)器一般采用硬件分區(qū)技術(shù)，不同架構(gòu)的UNIX服務(wù)器采用不同的分區(qū)技術(shù)；X86平臺（Intel、AMD架構(gòu)）的服務(wù)器可利用服務(wù)器提供的硬

30、件輔助虛擬化技術(shù)，比如Intel VT，AMD-V等；兼容主流的操作系統(tǒng)，比如，Windows NT、WinXP、Win2000、Win2003、Reahat Linux、Suse linux、Solaris x86、Novell等。而且，可以同時運行不同種類的操作系統(tǒng)；兼容現(xiàn)有的存儲設(shè)備，比如SAN、NAS；支持高可用、自動負載平衡特征的虛擬化集群；兼容主流的網(wǎng)絡(luò)設(shè)備，支持VLAN、Trunk等功能可實現(xiàn)國產(chǎn)備份軟件的結(jié)合，以實現(xiàn)虛擬機數(shù)據(jù)的備份，支持Snapshot技術(shù)，可實現(xiàn)從虛擬化軟件底層實現(xiàn)虛擬機備份；具有P2V的轉(zhuǎn)換工具，支持主流操作系統(tǒng)；具有嚴(yán)格的虛擬機隔離性，某個虛擬機故障，不

31、影響其他的虛擬機；對虛擬機資源進行細粒度動態(tài)調(diào)整分配，包括CPU，Memory，網(wǎng)卡及虛擬磁盤等。基于共享存儲實現(xiàn)對虛擬機的動態(tài)遷移。基于存儲與快速部署實現(xiàn)對虛擬機鏡像的備份、模板管理、導(dǎo)入導(dǎo)出等?；谔摂M機動態(tài)資源分配，虛擬機動態(tài)遷移及動態(tài)資源調(diào)度算法實現(xiàn)動態(tài)資源調(diào)度策略。虛擬化架構(gòu)中最重要的部分就是如何將物理硬件與上層操作系統(tǒng)剝離，當(dāng)前，一般通過兩類技術(shù)達到這一點：物理層虛擬化和邏輯層虛擬化。其中前者以硬件分區(qū)技術(shù)為代表，目前只應(yīng)用在UNIX服務(wù)器和大型機中，后者則包括以VMware ESX和Xen為代表的X86平臺上的虛擬化，是目前的市場主流。2）X86平臺服務(wù)器虛擬化技術(shù)的選擇近年來，

32、x86架構(gòu)上的虛擬化技術(shù)逐漸成熟，涌現(xiàn)出不少技術(shù)和產(chǎn)品。其中的代表有：VMware ESX、Xen、微軟Hyper-V。 VMware是第一個（1998年）將虛擬化技術(shù)引入x86平臺的廠商，目前在x86平臺的虛擬化市場上處于領(lǐng)先地位。ESX采用屬裸金屬架構(gòu)技術(shù)。 Xen是劍橋大學(xué)于2005年發(fā)布的一個開源的Hypervisor，已被吸收到Redhat、SuSE、Oracle VM中。Xen已經(jīng)于2007年被Citrix收購，但目前仍然作為一個開源項目由Citrix維護。Xen采用的是裸金屬架構(gòu)技術(shù)微軟于2008年發(fā)布了自己的HypervisorHyper-V，與前兩種不同的是HyperV采用的

33、是寄居方式，因此只適用于Windows操作系統(tǒng)上。下表對以上三種虛擬化技術(shù)進行了比較：代表產(chǎn)品V4.0XenHyper-V廠商VMwareXenMSCitrix（思杰）架構(gòu)裸金屬(bate metal)裸金屬(bate metal)寄居Host OS無無Windows 2008 x64 (Standard/Enterprise /Datacenter) Editions開源否是否隔離性好好好管理工具VC, 有成熟的虛擬化基礎(chǔ)架構(gòu)管理軟件，支持全面的資源庫模型，交互式拓撲圖功能XenCenter Administrator Console, 不支持全面的資源庫模型，支持交互式拓撲圖功能，但需要

34、SCOM支持的Guest OS支持各種未經(jīng)修改的操作系統(tǒng)，包括 Windows、Linux、Solaris 和 Novell NetWare支持 21 種客戶操作系統(tǒng)受限，Hyper-V R2 將僅支持 11 種客戶操作系統(tǒng)Guest OS是否需要修改不需要不需要不需要虛擬機實時遷移支持(VMotion)支持(XenMotion)Quick Migration (not real Live migration)動態(tài)資源調(diào)度支持(DRS)不支持NLB is all MS Offer在線備份VCB無Live Backups with VSS性能高性能Guest OS為Linux時, 性能好; Wi

35、ndows時, 性能稍差性能稍低同樣的硬件更多的VM同樣的硬件較少的VM虛擬機中支持的最大CPU和內(nèi)存數(shù)255GB內(nèi)存128GB內(nèi)存64GB內(nèi)存8 CPU8 CPU4 CPU硬件需求需要支持的SATA或者SCSI控制器支持Intel-VT or AMD-Vx64based 處理器支持Intel VT or AMD-V從上表可以看出，Xen采用裸金屬架構(gòu)，各項指標(biāo)好于HyperV,比ESX略低。Cloudview云操作系統(tǒng)底層采用SUSE Linux系統(tǒng)中的Xen虛擬化技術(shù)，能夠很好的對x86架構(gòu)服務(wù)器進行虛擬化支持。資源彈性擴展數(shù)字化校園云平臺要實現(xiàn)所提供服務(wù)的質(zhì)量，動態(tài)的資源調(diào)度是必不可少的

36、。現(xiàn)有數(shù)據(jù)中心的IT基礎(chǔ)架構(gòu)采用固態(tài)配置，靈活性很差，當(dāng)業(yè)務(wù)發(fā)展超出預(yù)期時，無法及時根據(jù)業(yè)務(wù)需求調(diào)整資源供給，難以滿足業(yè)務(wù)快速增長的需求。而且系統(tǒng)資源擴展需要一定的周期，在此過程中，業(yè)務(wù)系統(tǒng)將處于高危運行狀態(tài)，造成服務(wù)質(zhì)量下降。而為了應(yīng)用峰值而擴展的資源在正常情況下，將處于低負荷狀態(tài)，造成資源浪費。數(shù)字化校園云平臺要避免這樣的情況出現(xiàn)，就必須要實現(xiàn)動態(tài)的資源調(diào)度，實現(xiàn)業(yè)務(wù)系統(tǒng)資源配備的按需調(diào)整，結(jié)合管理系統(tǒng)的資源監(jiān)控，根據(jù)業(yè)務(wù)負載等情況，調(diào)整業(yè)務(wù)資源配給，保障業(yè)務(wù)系統(tǒng)的資源供給，滿足其運行需要，也就保障了業(yè)務(wù)的服務(wù)質(zhì)量。虛擬化智慧網(wǎng)絡(luò)1）交換機虛擬化技術(shù)云計算中心網(wǎng)絡(luò)資源共享之后，多種應(yīng)用將承

37、載在同一張網(wǎng)絡(luò)上。在融合的物理網(wǎng)絡(luò)中如何更好的對業(yè)務(wù)進行邏輯劃分，網(wǎng)絡(luò)管理員如何根據(jù)不斷變化的應(yīng)用要求合理分配物理資源；在設(shè)備繁多的網(wǎng)絡(luò)環(huán)境中如何降低運維工作量和成本；現(xiàn)階段最重要工具就是交換機虛擬化技術(shù)。交換機虛擬化技術(shù)可以將多個物理實體創(chuàng)建一個邏輯實體，實體可以是計算、存儲、網(wǎng)絡(luò)或應(yīng)用資源。具體的方式是，將多個網(wǎng)絡(luò)節(jié)點進行整合(稱為橫向整合)，虛擬化成一臺邏輯設(shè)備，提升云計算中心網(wǎng)絡(luò)可用性、節(jié)點性能的同時將極大簡化網(wǎng)絡(luò)架構(gòu)。隨著云計算中心服務(wù)器部署采用虛擬化技術(shù)構(gòu)建后，傳統(tǒng)上的網(wǎng)絡(luò)架構(gòu)由于多層結(jié)構(gòu)、安全區(qū)域、安全等級、策略部署、路由控制、VLAN劃分、二層環(huán)路、冗余設(shè)計等諸多因素，不但會導(dǎo)

38、致網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，使得云計算中心基礎(chǔ)網(wǎng)絡(luò)的運維管理難度較高，還無法適應(yīng)虛擬機多變的網(wǎng)絡(luò)要求。交換機虛擬化技術(shù)應(yīng)運而生。使用交換機虛擬化技術(shù)，可以將多臺設(shè)備連接，“橫向整合”起來組成一個“聯(lián)合設(shè)備”，并將這些設(shè)備看作單一設(shè)備進行管理和使用。多個盒式設(shè)備整合類似于一臺機架式設(shè)備，多臺框式設(shè)備的整合相當(dāng)于增加了槽位，虛擬化整合后的設(shè)備組成了一個邏輯單元，在網(wǎng)絡(luò)中表現(xiàn)為一個網(wǎng)元節(jié)點，管理簡單化、配置簡單化、可跨設(shè)備鏈路聚合，極大簡化網(wǎng)絡(luò)架構(gòu)，同時進一步增強冗余可靠性。交換機虛擬化技術(shù)為云計算中心建設(shè)提供了一個新標(biāo)準(zhǔn)，定義了新一代網(wǎng)絡(luò)架構(gòu)，使得各種云計算中心的基礎(chǔ)網(wǎng)絡(luò)都能夠使用這種靈活的架構(gòu)，能夠幫云

39、計算中心在構(gòu)建永續(xù)和高度可用的狀態(tài)化網(wǎng)絡(luò)的同時，優(yōu)化網(wǎng)絡(luò)資源的使用。在虛擬化架構(gòu)上，將傳統(tǒng)網(wǎng)絡(luò)中離散的安全控制點整合進來，進一步強化并簡化了基礎(chǔ)網(wǎng)絡(luò)安全，交換機虛擬化技術(shù)將在云計算中心端到端總體設(shè)計中發(fā)揮重要作用。圖 云計算中心簡捷化架構(gòu)橫向整合的交換機虛擬化上圖的虛擬化云計算中心網(wǎng)絡(luò)架構(gòu)與傳統(tǒng)的網(wǎng)絡(luò)設(shè)計相比，具備運營管理簡化、整體無環(huán)設(shè)計以及進一步提高系統(tǒng)可靠性等多種顯著優(yōu)勢，建議在組網(wǎng)時予以采用。2）虛擬機交換技術(shù)隨著云計算興起、各種虛擬化技術(shù)陸續(xù)被采用，云計算中心網(wǎng)絡(luò)逐漸從物理服務(wù)器互聯(lián)轉(zhuǎn)向了虛擬服務(wù)器互聯(lián)。虛擬化給云計算中心網(wǎng)絡(luò)帶來了新的挑戰(zhàn)：如何實現(xiàn)虛擬服務(wù)器的邊緣虛擬橋接？實現(xiàn)虛擬

40、機的邊緣橋接，目前有軟件和硬件方法兩種，分別簡稱為VEB（Virtual Ethernet Bridge）和VEPA（Virtual Ethernet Port Aggregator）。VEB是一種軟交換，在物理服務(wù)器中采用一個軟件虛擬交換機,實現(xiàn)虛擬機的數(shù)據(jù)交換。思科和VMware是軟交換方法的積極倡導(dǎo)者。不過這種軟交換并沒有從根本上解決網(wǎng)絡(luò)和主機管理界面模糊的問題，不但增加了服務(wù)器的額外開銷、交換性能低，還僅僅只支持VMware虛擬化平臺，兼容性較差。VEPA標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)也被稱為802.1qbg標(biāo)準(zhǔn)。其目標(biāo)是要將虛擬機之間的交換從服務(wù)器內(nèi)部移出到接入硬件交換機上，實現(xiàn)虛擬機之間的“硬交換”

41、。采用這種方法，只需要將接入交換機中的軟件進行修改，就能快速實現(xiàn)。VEPA是標(biāo)準(zhǔn)化和開放化的技術(shù)，具有性能高、可靠性高的特點。VEPA是由HP協(xié)同H3C向IEEE提出的新一代虛擬接入標(biāo)準(zhǔn)，并迅速得到了Juniper、IBM、Qlogic、Brocade等網(wǎng)絡(luò)設(shè)備廠商的支持。虛擬機交換技術(shù)是云計算基礎(chǔ)設(shè)施平臺建設(shè)的重要，直接影響到云平臺的實現(xiàn)和應(yīng)用性能。在此，我們建議在平臺系統(tǒng)建設(shè)中將VEPA技術(shù)作為平臺組網(wǎng)交換機的必要特性。2）分布式入端口緩存機制分布式入端口緩存機制主要解決云計算中心的突發(fā)流量問題。在云計算中心部署服務(wù)器虛擬化的直接效果是導(dǎo)致云計算中心具有更高的應(yīng)用密度，在相同物理空間內(nèi)邏輯

42、服務(wù)器(虛擬機)數(shù)量比物理服務(wù)器大大增加，由此，服務(wù)器的總體業(yè)務(wù)處理量上升，使得服務(wù)器對外吞吐流量增大。并且云計算中心服務(wù)器虛擬化應(yīng)用后，也導(dǎo)致云計算中心流量模型的不定項出現(xiàn)，因而在云計算中心的應(yīng)用環(huán)境中，突發(fā)流量成為主要的流量特征，這就要求針對這種特點在系統(tǒng)設(shè)計時，所選用的網(wǎng)絡(luò)設(shè)備能夠有專門的處理技術(shù)。傳統(tǒng)交換機處理突發(fā)流量的技術(shù)實現(xiàn)多以出端口緩存為主，這種機制使得所有數(shù)據(jù)流的突發(fā)在出端口處被緩存，緩存的大小即是網(wǎng)絡(luò)核心節(jié)點最大可能接受突發(fā)值，但是這種模式容易造成出端口緩存的迅速溢出，從而導(dǎo)致網(wǎng)絡(luò)流量丟包，無法正常轉(zhuǎn)發(fā)。因此在本次系統(tǒng)建設(shè)中，要求網(wǎng)絡(luò)設(shè)備尤其是核心交換機設(shè)備針對突發(fā)流量提供先

43、進的處理模式，如分布式入端口緩存機制，將網(wǎng)絡(luò)突發(fā)流量在入端口即開始進行緩存處理，緩存容量與入端口數(shù)形成正比的線性關(guān)系，從而提高整個設(shè)備乃至整個網(wǎng)絡(luò)系統(tǒng)的突發(fā)流量處理能力。3）安全虛擬化與網(wǎng)絡(luò)安全一體化在云計算中心的網(wǎng)絡(luò)平臺設(shè)計中，安全是整個系統(tǒng)設(shè)計中需要重點考慮的內(nèi)容，基于云計算中心架構(gòu)整合優(yōu)化的要求，目前在云計算中心交換機上整個安全防護模塊成為主流的應(yīng)用技術(shù)，在這樣的技術(shù)架構(gòu)下，可以簡化云計算中心安全設(shè)備的部署數(shù)量，如下圖：針對多個安全防護區(qū)域原本需要部署多個獨立的安全設(shè)備，而采用安全模塊的方式可以實現(xiàn)由一臺安全模塊對所連接的多個安全區(qū)域的統(tǒng)一安全防護。這里的安全部署模式要求實現(xiàn)兩類虛擬化技

44、術(shù)：多虛一：指網(wǎng)絡(luò)節(jié)點設(shè)備上，能夠安裝多種類型的安全設(shè)備，這樣可以實現(xiàn)不同層次的安全防護（如防火墻+IPS的組合可以實現(xiàn)網(wǎng)絡(luò)層27層的安全防護），達到綜合安全保護的策略融合。一虛多：指融合在網(wǎng)絡(luò)節(jié)點設(shè)備上的安全設(shè)備，能夠虛擬化出來多個安全實例，針對不同的安全防護區(qū)域提供對應(yīng)安全實例，并且在不同的安全實例上針對區(qū)域的安全防護要求部署不同的安全訪問和控制策略，這樣采用真正發(fā)揮安全模塊融合在網(wǎng)絡(luò)設(shè)備上所帶來的應(yīng)用意義。隨著云計算中心安全性要求的不斷提高，安全產(chǎn)品在云計算中心基礎(chǔ)網(wǎng)絡(luò)架構(gòu)中扮演著越來越重要的角色。安全方案的部署在傳統(tǒng)的云計算中心建設(shè)中通常采用獨立式的設(shè)備，這種方式存在單點故障、網(wǎng)絡(luò)結(jié)構(gòu)

45、復(fù)雜、性能存在瓶頸等問題，因此，在建立云計算中心時建議匯聚接入層具備安全等多業(yè)務(wù)模塊的擴展能力：高可靠性：降低單點故障1.在設(shè)備內(nèi)部，基于交換機的無阻塞技術(shù)，各種插卡通過背板總線進行數(shù)據(jù)交換。任何一塊插卡出現(xiàn)故障，可以通過Bypass方式使得流量自動繞過故障插卡，保證業(yè)務(wù)流正常處理和轉(zhuǎn)發(fā)，不會出現(xiàn)單點故障。2.插卡式設(shè)備，所有的關(guān)鍵部件都可以冗余部署。單獨的盒式設(shè)備，一般最多提供雙電源的可靠性設(shè)計。而插卡式設(shè)備，包括電源、引擎、接口板、業(yè)務(wù)板等都可以冗余部署，大大提高了可靠性。當(dāng)所有的關(guān)鍵部件都進行冗余部署的時候，實際上就是兩臺設(shè)備在同時工作，并可以進行負載分擔(dān)。3.所有的插卡都支持熱插拔，大

46、大降低出現(xiàn)故障時更換設(shè)備的時間。高性能和高擴展性：減少業(yè)務(wù)瓶頸1.高性能：業(yè)務(wù)模塊都采用業(yè)界高性能、分布式硬件架構(gòu)。這種分布式的硬件架構(gòu)保證所有的業(yè)務(wù)能在第一時間并行處理。對于現(xiàn)在大量的應(yīng)用層安全攻擊，由于需要進行深入的報文分析，只有這種多核多線程的硬件架構(gòu)才能真正做到實時處理，不會產(chǎn)生大的數(shù)據(jù)延遲。2.高轉(zhuǎn)發(fā)：業(yè)務(wù)模塊與交換機及其他插卡之間都是通過交換機Crossbar總線進行數(shù)據(jù)傳輸，數(shù)據(jù)帶寬高達10Gbps以上。相對于盒式設(shè)備之間通常采用的網(wǎng)線連接方式，數(shù)據(jù)帶寬更高、延時更低，而且可靠性更高，不會出現(xiàn)由于網(wǎng)線故障或連接故障導(dǎo)致的業(yè)務(wù)中斷。3.盒式設(shè)備性能一般是固定的，但是插卡式設(shè)備的處理

47、能力可以通過板卡的擴展進行數(shù)倍的提升。即使是單塊的業(yè)務(wù)板，得益于其先進的多核架構(gòu)，其性能優(yōu)勢也很明顯（FW性能可以達到單模塊萬兆處理能力）。4.接口多：普通盒式設(shè)備一般最多提供幾個接口，而插卡式設(shè)備的接口板可提供無限制的接口，并且可根據(jù)要求進行擴展，所有接口的VLAN都可以共享各種業(yè)務(wù)板卡。同時，通過虛擬化技術(shù)，可以將同一塊物理業(yè)務(wù)板卡在邏輯上劃分為相互獨立的多個板卡，每個邏輯板卡擁有完全獨立的資源和策略。5.接口種類豐富：普通盒式設(shè)備，只能提供普通的以太網(wǎng)電口和光口。而基于交換機和路由器的插卡，還可以提供各種POS接口、ATM接口、E1/T1口等接口類型。6.組網(wǎng)簡單：采用插卡式設(shè)備，只需在

48、交換機中插入所需模塊，相對盒式設(shè)備來說不會占用空間。且所有插卡都集成在一臺交換機中，數(shù)據(jù)交換通過背板總線實現(xiàn)，組網(wǎng)更加簡單，不像盒式設(shè)備，各個設(shè)備之間都要通過復(fù)雜的網(wǎng)線進行連接。管理簡單：1.每個插卡可以通過WEB界面進行獨立管理，也可以由交換機與其他業(yè)務(wù)板一樣進行統(tǒng)一管理。不同插卡的狀態(tài)可以基于主控板統(tǒng)一顯示，通過主控板實現(xiàn)對插卡的統(tǒng)一管理。2.各個插卡的安全告警和日志信息統(tǒng)一上報給安全管理平臺。通過統(tǒng)一安全信息收集和篩選，提取相關(guān)的關(guān)聯(lián)信息，然后進行統(tǒng)一配置和管理，真正做到安全聯(lián)動。成本投入低：得利于良好的擴展性，在對接口、功能、性能等進行升級的時候，在升級標(biāo)準(zhǔn)相同的條件下，再次投入的成本

49、大幅降低，原有的投資也能得到保障。5）云間互聯(lián)技術(shù)云間互聯(lián)有三種方式：三層互聯(lián)：也稱為云計算中心前端網(wǎng)絡(luò)互聯(lián)，所謂“前端網(wǎng)絡(luò)”是指云計算中心面向企業(yè)園區(qū)網(wǎng)或企業(yè)廣域網(wǎng)的出口。不同云計算中心（主中心、災(zāi)備中心）的前端網(wǎng)絡(luò)通過IP技術(shù)實現(xiàn)互聯(lián)，園區(qū)或分支的客戶端通過前端網(wǎng)絡(luò)訪問各云計算中心。當(dāng)主云計算中心發(fā)生災(zāi)難時，前端網(wǎng)絡(luò)將實現(xiàn)快速收斂，客戶端通過訪問災(zāi)備中心以保障業(yè)務(wù)連續(xù)性。二層互聯(lián)：也稱為云計算中心服務(wù)器網(wǎng)絡(luò)互聯(lián)（簡稱DCI）。在不同的云計算中心服務(wù)器網(wǎng)絡(luò)接入層，構(gòu)建一個跨云計算中心的大二層網(wǎng)絡(luò)（VLAN），以滿足服務(wù)器集群或虛擬機動態(tài)遷移等場景對二層網(wǎng)絡(luò)接入的需求。SAN互聯(lián)：也稱為后端存

50、儲網(wǎng)絡(luò)互聯(lián)，借助傳輸技術(shù)（DWDM、SDH等）可實現(xiàn)主中心和災(zāi)備中心間磁盤陣列的數(shù)據(jù)復(fù)制。云間互聯(lián)技術(shù)還是數(shù)據(jù)備份和應(yīng)用災(zāi)備的重要建設(shè)手段。在本方案中，在進行網(wǎng)絡(luò)設(shè)計時，采用了“大二層無環(huán)”的網(wǎng)絡(luò)互連技術(shù)，采用二層組網(wǎng)的方式進行方案設(shè)計。6）其他網(wǎng)絡(luò)新技術(shù)此外，基于無丟包以太網(wǎng)技術(shù)標(biāo)準(zhǔn)族（802.3Qau、802.1Qbb、802.1Qaz、Data Center Bridging Exchange Protocol）實現(xiàn)云計算中心的統(tǒng)一交換架構(gòu)，也是云中心網(wǎng)絡(luò)新技術(shù)的一個發(fā)展方向，可以在一個交換平臺上有效支撐業(yè)務(wù)的前端訪問、服務(wù)器高速互聯(lián)、存儲訪問。由于統(tǒng)一交換架構(gòu)出現(xiàn)時間不長，還沒有獲得眾

51、多交換設(shè)備廠商的支持，成熟的應(yīng)用案例也很少。因此，在本次云平臺建設(shè)時，我們暫不建議采用。不過，可實時關(guān)注其發(fā)展。安全可控技術(shù)采用數(shù)據(jù)安全技術(shù)、應(yīng)用安全技術(shù)和虛擬化安全技術(shù)等安全可控技術(shù)滿足計算中心的安全需求。1）數(shù)據(jù)安全技術(shù)數(shù)據(jù)傳輸安全技術(shù)在使用云計算時，對于傳輸中的數(shù)據(jù)最大的威脅是不采用加密算法。通過Internet傳輸數(shù)據(jù)，采用的傳輸協(xié)議也要能保證數(shù)據(jù)的完整性。采用加密數(shù)據(jù)和使用非安全傳輸協(xié)議的方法可以達到保密的目的，但無法保證數(shù)據(jù)的完整性。數(shù)據(jù)存儲安全技術(shù)加密磁盤上的數(shù)據(jù)可以用來防止云服務(wù)提供商、惡意的鄰居“租戶”及某些類型應(yīng)用的濫用。如果使用簡單存儲服務(wù)進行長期的檔案存儲，用戶可以加密

52、他們自己的數(shù)據(jù)后發(fā)送密文到云數(shù)據(jù)存儲商那里存儲。數(shù)據(jù)殘留處理技術(shù)數(shù)據(jù)殘留是數(shù)據(jù)在被以某種形式擦除后所殘留的物理表現(xiàn)，存儲介質(zhì)被擦除后可能留有一些物理特性使數(shù)據(jù)能夠被重建。在云計算環(huán)境中，數(shù)據(jù)殘留更有可能會無意泄露敏感信息，因此向云用戶保證其鑒別信息所在的存儲空間被釋放或再分配給其他云用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中，保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資源所在的存儲空間被釋放或重新分配給其他云用戶前得到完全清除。2）應(yīng)用安全技術(shù)終端用戶安全技術(shù)對于使用云服務(wù)的用戶，應(yīng)該保證自己計算機的安全。在用戶的終端上部署安全軟件，包括反惡意軟件、防病毒、個人防火墻以及IPS類型的

53、軟件。因此云用戶應(yīng)該采取必要措施保護瀏覽器免受攻擊，在云環(huán)境中實現(xiàn)端到端的安全。云用戶應(yīng)使用自動更新功能，定期完成瀏覽器打補丁和更新工作。SaaS應(yīng)用安全技術(shù)云計算中心為SaaS提供高強度密碼的身份驗證和訪問控制功能，并提供基于Web的管理用戶界面，最終用戶可以分派讀取和寫入權(quán)限給其他用戶。在SaaS應(yīng)用中可以通過惟一的客戶標(biāo)識符在應(yīng)用中的邏輯執(zhí)行層實現(xiàn)客戶數(shù)據(jù)邏輯上的隔離。PaaS應(yīng)用安全技術(shù)PaaS云提供給用戶的能力是在云基礎(chǔ)設(shè)施之上部署用戶創(chuàng)建或采購的應(yīng)用，這些應(yīng)用使用云計算中心支持的編程語言或工具開發(fā)，用戶并不管理或控制底層的云基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)或存儲等，但是可以控制

54、部署的應(yīng)用以及應(yīng)用主機的某個環(huán)境配置。PaaS應(yīng)用安全包含兩個層次：PaaS平臺自身的安全；客戶部署在PaaS平臺上應(yīng)用的安全。云計算中心維護PaaS平臺運行引擎的安全，在多租戶模式下提供“沙盒”架構(gòu)，平臺運行引擎的“沙盒”特性可以集中維護客戶部署在PaaS平臺上應(yīng)用的保密性和完整性；負責(zé)監(jiān)控新的程序缺陷和漏洞，以避免這些缺陷和漏洞被用來攻擊PaaS平臺和打破“沙盒”架構(gòu)。云用戶部署的應(yīng)用安全需要云計算中心PaaS應(yīng)用配合，開發(fā)人員需要熟悉平臺的API、部署和管理執(zhí)行的安全控制軟件模塊。開發(fā)人員必須熟悉平臺特定的安全特性，這些特性被封裝成安全對象和Web服務(wù)。開發(fā)人員通過調(diào)用這些安全對象和We

55、b服務(wù)實現(xiàn)在應(yīng)用內(nèi)配置認證和授權(quán)管理。IaaS應(yīng)用安全技術(shù)客戶的應(yīng)用程序和運行引擎，無論運行在何種平臺上，都由客戶部署和管理。3）虛擬化安全技術(shù)基于虛擬化技術(shù)的云計算引入的風(fēng)險主要有兩個方面：一個是虛擬化軟件的安全；另一個使用虛擬化技術(shù)的虛擬服務(wù)器的安全。虛擬化軟件安全技術(shù)該軟件層直接部署于裸機之上，提供能夠創(chuàng)建、運行和銷毀虛擬服務(wù)器的能力。實現(xiàn)虛擬化的方法不止一種，實際上，有幾種方法都可以通過不同層次的抽象來實現(xiàn)相同的結(jié)果，如操作系統(tǒng)級虛擬化、全虛擬化或半虛擬化。由于虛擬化軟件層是保證客戶的虛擬機在多租戶環(huán)境下相互隔離的重要層次，可以使客戶在一臺計算機上安全地同時運行多個操作系統(tǒng)，所以必須嚴(yán)

56、格限制任何未經(jīng)授權(quán)的用戶訪問虛擬化軟件層。云平臺需要建立必要的安全控制措施，限制對于Hypervisor和其他形式的虛擬化層次的物理和邏輯訪問控制。虛擬服務(wù)器安全技術(shù)虛擬服務(wù)器位于虛擬化軟件之上，對于物理服務(wù)器的安全原理與實踐也可以被運用到虛擬服務(wù)器上，并兼顧虛擬服務(wù)器的特點。安裝虛擬服務(wù)器時，為每臺虛擬服務(wù)器分配一個獨立的硬盤分區(qū)，以便將各虛擬服務(wù)器之間從邏輯上隔離開來。虛擬服務(wù)器系統(tǒng)還安裝基于主機的防火墻、殺毒軟件、IPS（IDS）以及日志記錄和恢復(fù)軟件，以便將它們相互隔離，并與其他安全防范措施一起構(gòu)成多層次防范體系。對于每臺虛擬服務(wù)器通過VLAN和不同的IP網(wǎng)段的方式進行邏輯隔離。對需要

57、相互通信的虛擬服務(wù)器之間的網(wǎng)絡(luò)連接通過VPN的方式來進行，以保護它們之間網(wǎng)絡(luò)傳輸?shù)陌踩嵤┫鄳?yīng)的備份策略，包括它們的配置文件、虛擬機文件及其中的重要數(shù)據(jù)都要進行備份，備份按一個具體的備份計劃來進行，包括完整、增量或差量備份方式。在防火墻中，對每臺虛擬服務(wù)器做相應(yīng)的安全設(shè)置，進一步對它們進行保護和隔離。將服務(wù)器的安全策略加入到系統(tǒng)的安全策略當(dāng)中，并按物理服務(wù)器安全策略的方式來對等。對于虛擬服務(wù)器系統(tǒng)，像對一臺物理服務(wù)器一樣地對它進行系統(tǒng)安全加固，包括系統(tǒng)補丁、應(yīng)用程序補丁、所允許運行的服務(wù)、開放的端口等。同時嚴(yán)格控制物理主機上運行虛擬服務(wù)的數(shù)量，禁止在物理主機上運行其他網(wǎng)絡(luò)服務(wù)。如果虛擬服務(wù)器需要與主機進行連接或共享文件，使用 VPN方式進行，以防止由于某臺虛擬服務(wù)器被攻破后影響物理主機。文件共享也應(yīng)當(dāng)使用加密的網(wǎng)絡(luò)文件系統(tǒng)方式進行。對虛擬服務(wù)器的運行狀態(tài)進行嚴(yán)密的監(jiān)控，實時監(jiān)控各虛擬機當(dāng)中的系統(tǒng)日志和防火墻日志，以此來發(fā)現(xiàn)存在的安全隱患。以上所涉及到的安全技術(shù)是目前云計算平臺安全研究的主要問題，涵蓋了從IAAS到SAAS層的安全問題，是云平臺安全保障系統(tǒng)建設(shè)的關(guān)鍵。創(chuàng)新服務(wù)模式從長期發(fā)展看，云平臺的建設(shè)將涵蓋云計算服務(wù)的四種典型模式：IaaS、DaaS、PaaS和SaaS。IaaS基于自主研發(fā)的云計算服務(wù)管理軟件面向用戶提供IaaS服務(wù)。相比傳統(tǒng)應(yīng)用模式，