私有云建設(shè)方案

書(shū)目

1、項(xiàng)目概述.................................................3

2、項(xiàng)目建設(shè)規(guī)劃..............................................6

2?1、建設(shè)原則...............................................6

2.2、項(xiàng)目建設(shè)內(nèi)容、思路與技術(shù)規(guī)劃...........................7

2.3、技術(shù)架構(gòu)和路途介紹.....................................9

2.3?1、資源池化............................................9

2.3.2>智能化云管理.......................................10

3、私有云總體建設(shè)方案.......................................12

3?1、建設(shè)原則..............................................12

3.2、總體設(shè)計(jì)方案..........................................14

3.2.1、邏輯架構(gòu)...........................................14

3.2?2、網(wǎng)絡(luò)架構(gòu)（假設(shè)）....................................15

3.3、云管理平臺(tái)設(shè)計(jì)........................................17

3.3.K云管理平臺(tái)系統(tǒng)架構(gòu).................................17

3.3.2、管理平臺(tái)功.............???????????20

3.3?3、云管理平臺(tái)設(shè)計(jì)...................................29

3.4、虛擬化設(shè)計(jì)............................................35

3.4.1、服務(wù)器虛擬化.......................................35

3.4.2、桌面虛擬化.........................................36

3.5、平安設(shè)計(jì)..............................................40

3.6、計(jì)算資源池設(shè)計(jì)........................................43

3.6.1、計(jì)算資源池技術(shù)路途.................................43

3.6?2、計(jì)算資源池設(shè)計(jì).....................................45

3.7、存儲(chǔ)資源池設(shè)計(jì)........................................46

3.7?1、存儲(chǔ)資源池技術(shù)路途.................................46

3.7.2、存儲(chǔ)資源池.........................................48

3.8、應(yīng)用遷移與現(xiàn)有設(shè)備利舊................................49

3.8?1、應(yīng)用遷移...........................................50

3.8.2、設(shè)備利舊...........................................51

1、項(xiàng)目概述

云計(jì)算是一種IT資源的交付和運(yùn)用模式，指通過(guò)網(wǎng)絡(luò)（包括互聯(lián)網(wǎng)

Internet和企業(yè)內(nèi)部網(wǎng)Intranet）以按需、易擴(kuò)展的方式獲得所需的軟件、

應(yīng)用平臺(tái)、與基礎(chǔ)設(shè)施等資源。云計(jì)算具有資源池化、彈性擴(kuò)展、自助服

務(wù)、按需付費(fèi)、寬帶接入等關(guān)鍵特征。

從部署和應(yīng)用模式來(lái)講，云計(jì)算分為公有云、私有云和混合云等。

云計(jì)算從服務(wù)模式上來(lái)講主要包括基礎(chǔ)設(shè)施即服務(wù)（laaS）、平臺(tái)即

服務(wù)（PaaS）、軟件即服務(wù)（SaaS）等內(nèi)容。

laaS是Infrastructure-as-a-Service（基礎(chǔ)設(shè)施即服務(wù)）的建成，

云計(jì)算中心可運(yùn)用laaS的模式將其資源供應(yīng)應(yīng)客戶，通過(guò)虛擬化技術(shù)，

虛擬數(shù)據(jù)中心可以將相應(yīng)的物理資源虛擬為多個(gè)虛擬的數(shù)據(jù)中心，從而在

用戶一端看到一個(gè)個(gè)獨(dú)立的，完整的數(shù)據(jù)中心（虛擬的），這些虛擬數(shù)據(jù)

中心可以由用戶發(fā)起申請(qǐng)和維護(hù)，同時(shí)，這些虛擬數(shù)據(jù)中心還具有不同的

資源占用級(jí)別，從而保證不同的用戶具有不一樣的資源運(yùn)用優(yōu)先級(jí)。

PaaS是Platform-as?a-Service（平臺(tái)即服務(wù)）的簡(jiǎn)稱，PaaS能給客

戶帶來(lái)更敏捷、更特性化的服務(wù)，這包括但不僅限于中間件作為服務(wù)、消

息傳遞作為服務(wù)、集成作為服務(wù)、信息作為服務(wù)、連接性作為服務(wù)等。此

處的服務(wù)主要是為了支持應(yīng)用程序。這些應(yīng)用程序可以運(yùn)行在云中，并且

可以運(yùn)行在更加傳統(tǒng)的企業(yè)數(shù)據(jù)中心中。為了實(shí)現(xiàn)云內(nèi)所需的可擴(kuò)展性，

此處供應(yīng)的不同服務(wù)常常被虛擬化。PaaS廠商也吸引軟件開(kāi)發(fā)商在PaaS

平臺(tái)上開(kāi)發(fā)、運(yùn)行并銷(xiāo)售在線軟件。

SaaS是Software-as-a-Service(軟件即服務(wù))的簡(jiǎn)稱，一種通過(guò)

Internet供應(yīng)軟件的模式，廠商將應(yīng)用軟件統(tǒng)一部署在自己的服務(wù)器上，

客戶可以依據(jù)自己實(shí)際需求，通過(guò)互聯(lián)網(wǎng)向廠商定購(gòu)所需的應(yīng)用軟件服

務(wù)，按定購(gòu)的服務(wù)多少和時(shí)間長(zhǎng)短向廠商支付費(fèi)用，并通過(guò)互聯(lián)網(wǎng)獲得廠

商供應(yīng)的服務(wù)。

本次項(xiàng)目為的私有云項(xiàng)目，目標(biāo)為搭建完成一個(gè)面對(duì)于內(nèi)部運(yùn)

用的私有云環(huán)境，將各應(yīng)用系統(tǒng)移植到該私有云上，實(shí)現(xiàn)資源的有效利用、

動(dòng)態(tài)安排、敏捷擴(kuò)展和統(tǒng)一管理。

本方案的寫(xiě)作目的為明確建設(shè)所需資源、實(shí)現(xiàn)步驟與最終呈現(xiàn).本方

案落地實(shí)施后，將完成以下幾方面任務(wù)：

(1)打破IT資源孤立狀況，提高資源利用率

?各業(yè)務(wù)系統(tǒng)擁有獨(dú)立的硬件設(shè)施被統(tǒng)一管理,形成大的資源池;

令資源被統(tǒng)一調(diào)度，打破同一時(shí)段，某些業(yè)務(wù)系統(tǒng)較空閑造成資

源閑置，另外一些系統(tǒng)因業(yè)務(wù)繁忙，設(shè)備超負(fù)荷工作的現(xiàn)狀；

令任何時(shí)候都可以與時(shí)滿意各種變更的業(yè)務(wù)需求，實(shí)現(xiàn)按需服務(wù)。

(2)使運(yùn)維管理更加簡(jiǎn)潔

令隨著系統(tǒng)數(shù)量的不斷增長(zhǎng)，運(yùn)維管理的難度比傳統(tǒng)模式簡(jiǎn)潔，

成本更低；

?新平臺(tái)使得對(duì)各種資源和系統(tǒng)的監(jiān)控和管理更加有效；

令維護(hù)人員工作負(fù)擔(dān)減小，工作效率有效提高。

(3)提升關(guān)鍵業(yè)務(wù)系統(tǒng)硬件處理實(shí)力

令業(yè)務(wù)應(yīng)用在遇到性能瓶頸時(shí)能動(dòng)態(tài)調(diào)整；

?核心業(yè)務(wù)系統(tǒng)建設(shè)較早的設(shè)備，在云計(jì)算支撐平臺(tái)上能夠得到

充分利用，以滿意快速增長(zhǎng)的業(yè)務(wù)需求

2、項(xiàng)目建設(shè)規(guī)劃

2.1、建設(shè)原則

項(xiàng)目建設(shè)遵循如下幾個(gè)原則：

（1）自主可控原則

本次的建設(shè)建議采納自主可控技術(shù)搭建私有云。在產(chǎn)品的選擇上盡

量選擇國(guó)產(chǎn)品牌或者開(kāi)源可控系統(tǒng)，保障私有云信息平安。

（2）開(kāi)放原則

云計(jì)算的優(yōu)勢(shì)是高性價(jià)比，其核心是遵循開(kāi)放技術(shù)路途并大量采納

通用技術(shù)替代專有技術(shù)如Unix,這一點(diǎn)Google、Amazon等云計(jì)算供應(yīng)

商已經(jīng)證明。云計(jì)算建設(shè)應(yīng)遵循開(kāi)放技術(shù)路途，降低投入成本，避開(kāi)形成

對(duì)于供應(yīng)商的鎖定。

（3）按部就班原則

云計(jì)算的建設(shè)不是一蹴而就，應(yīng)按部就班。在本次建設(shè)中，應(yīng)當(dāng)本

著符合運(yùn)用來(lái)限制規(guī)模，假如后續(xù)仍舊有業(yè)務(wù)系統(tǒng)須要遷移，可以利用云

計(jì)算的課擴(kuò)展性，逐步完成擴(kuò)展。

（4）統(tǒng)一規(guī)劃和分布實(shí)施原則

本項(xiàng)目的建設(shè)須要通過(guò)建設(shè)統(tǒng)一的頂層框架，統(tǒng)一規(guī)劃、統(tǒng)一實(shí)施

和統(tǒng)一管理，保證項(xiàng)目依據(jù)進(jìn)度、按安排建設(shè)。

（5）先進(jìn)性原則

本項(xiàng)目的建設(shè)，要求技術(shù)具有先進(jìn)性，并保證在將來(lái)一段時(shí)間內(nèi)具

有先進(jìn)性和擴(kuò)展性。

2.2、項(xiàng)目建設(shè)內(nèi)容、思路與技術(shù)規(guī)劃

云計(jì)算項(xiàng)目的建設(shè)是一個(gè)按部就班的過(guò)程，須要依據(jù)步驟有組織有安

排的推動(dòng)，逐步實(shí)現(xiàn)建設(shè)目標(biāo)。

具體的建設(shè)內(nèi)容包括：

（1）搭建私有云，滿意基礎(chǔ)設(shè)施支撐實(shí)力需求

采納云計(jì)算的最新技術(shù)，包括虛擬化技術(shù)、設(shè)備資源池化技術(shù)、分布

式并行存儲(chǔ)技術(shù)、存儲(chǔ)虛擬化技術(shù)、自動(dòng)運(yùn)維技術(shù)、平安技術(shù)，用軟件整

合、調(diào)度硬件資源，建設(shè)具有良好彈性、擴(kuò)展性、平安性、高牢靠、綠色

節(jié)能、自主可控的私有云，滿意業(yè)務(wù)系統(tǒng)整合、托管、遷移、運(yùn)營(yíng)和運(yùn)維

的需求。

?良好的伸縮性，支撐實(shí)力隨業(yè)務(wù)變更便捷擴(kuò)展

云計(jì)算架構(gòu)具有良好的伸縮性，系統(tǒng)的規(guī)劃能夠滿意近期業(yè)務(wù)和資

源庫(kù)快速增長(zhǎng)的須要，同時(shí)云計(jì)算中心具備了良好的擴(kuò)展性能，能夠隨著

業(yè)務(wù)的快速增長(zhǎng)而擴(kuò)展，能夠?qū)崿F(xiàn)不停機(jī)的狀況下，在線增加系統(tǒng)的存儲(chǔ)、

計(jì)算資源，變更基礎(chǔ)設(shè)施支撐實(shí)力有限的局面，為業(yè)務(wù)的增長(zhǎng)或變更供應(yīng)

快速響應(yīng)，實(shí)現(xiàn)業(yè)務(wù)靈敏。

?運(yùn)營(yíng)的易管理和易操作性，降低運(yùn)維壓力

通過(guò)云管理平臺(tái)，能夠?qū)υ朴?jì)算中心的服務(wù)器設(shè)備、存儲(chǔ)設(shè)備和網(wǎng)絡(luò)

設(shè)備以統(tǒng)一的視圖進(jìn)行管理。云管理平臺(tái)支持基于策略管理手段，將固定

的操作以系統(tǒng)運(yùn)維策略的方式進(jìn)行固化管理，一方面實(shí)現(xiàn)運(yùn)維的規(guī)范化，

降低人為操作錯(cuò)誤的發(fā)生，另一方面降低運(yùn)維的壓力，使得更少的運(yùn)維人

員保障業(yè)務(wù)系統(tǒng)的持續(xù)運(yùn)營(yíng)。

?高可用性，故障不再影響業(yè)務(wù)的連續(xù)性

云計(jì)算環(huán)境下，硬件故障將成為不行避開(kāi)的現(xiàn)象。因而私有云的設(shè)計(jì)

是基于不行靠硬件保障業(yè)務(wù)系統(tǒng)的連續(xù)性的理念進(jìn)行設(shè)計(jì)，也即在硬件發(fā)

生故障的狀況下，也能保障業(yè)務(wù)系統(tǒng)的連續(xù)運(yùn)轉(zhuǎn)。

■服務(wù)器的高可用：虛擬化技術(shù)保證虛擬服務(wù)器之間的高可用，

即使服務(wù)器發(fā)生故障，支撐業(yè)務(wù)系統(tǒng)運(yùn)行的虛擬機(jī)能夠快速遷

移到運(yùn)轉(zhuǎn)良好的服務(wù)器上，保證業(yè)務(wù)系統(tǒng)不中斷。

■存儲(chǔ)的高可用：采納熱備方式，即使在一個(gè)存儲(chǔ)節(jié)點(diǎn)發(fā)生故障

的狀況下，保證業(yè)務(wù)系統(tǒng)的運(yùn)行不受影響，同時(shí)也能夠快速的

重建故障節(jié)點(diǎn)。

?業(yè)務(wù)連續(xù)性，保證任何時(shí)候業(yè)務(wù)系統(tǒng)的可用性

業(yè)務(wù)系統(tǒng)遷移到私有云上，能夠充分利用云基礎(chǔ)架構(gòu)的動(dòng)態(tài)負(fù)載均衡

與高可用特性保證業(yè)務(wù)的連續(xù)性。一方面保證業(yè)務(wù)系統(tǒng)的壓力動(dòng)態(tài)的分不

到不同的支撐服務(wù)器上，另一方面，保障業(yè)務(wù)系統(tǒng)部分節(jié)點(diǎn)在出現(xiàn)故障的

狀況下，利用高可用特性保證業(yè)務(wù)的不中斷。

?信息系統(tǒng)彈性，降低突發(fā)事務(wù)的影響

由于突發(fā)事務(wù)的不確定性，進(jìn)而會(huì)導(dǎo)致業(yè)務(wù)系統(tǒng)的訪問(wèn)量有突發(fā)性特

征，這對(duì)基礎(chǔ)設(shè)施的支撐實(shí)力提出了更高的要求，否則突發(fā)事務(wù)往往導(dǎo)致

業(yè)務(wù)系統(tǒng)的癱瘓。將業(yè)務(wù)系統(tǒng)部署到私有云上，業(yè)務(wù)系統(tǒng)有突發(fā)的高并發(fā)

訪問(wèn)時(shí)，云管理平臺(tái)將會(huì)自動(dòng)將閑置的計(jì)算資源調(diào)配給相關(guān)業(yè)務(wù)系統(tǒng)，從

而大幅提升業(yè)務(wù)系統(tǒng)的支撐實(shí)力。

?平安性

私有云系統(tǒng)不僅可以接管傳統(tǒng)信息系統(tǒng)的一切平安設(shè)備和措施，而且

可以通過(guò)云管理平臺(tái)進(jìn)行統(tǒng)一的管理。針對(duì)云計(jì)算中的虛擬化資源，云管

理平臺(tái)通過(guò)虛擬防火墻，VPN,VLAN,負(fù)載均衡等技術(shù)，有效的保障了虛

擬化資源的平安性

2.3、技術(shù)架構(gòu)和路途介紹

在私有云建設(shè)中基本可以分為三大部分：資源池化、智能化云管理等。

2.3.1、資源池化

資源池化就是將計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源通過(guò)虛擬化技術(shù)，將

構(gòu)成相應(yīng)資源的眾多物理設(shè)備組合成一個(gè)整體，形成相應(yīng)的計(jì)算資源池、

存儲(chǔ)資源池、網(wǎng)絡(luò)資源池，供應(yīng)應(yīng)上層應(yīng)用軟件。

資源虛擬化是對(duì)上層應(yīng)用屏蔽底層設(shè)備或架構(gòu)的資源封裝手段，是實(shí)

現(xiàn)云計(jì)算資源池化的重要技術(shù)基礎(chǔ)。

虛擬化技術(shù)由來(lái)已久，所謂虛擬化是相對(duì)于物理實(shí)體而言的，即將真

實(shí)存在的物理實(shí)體，通過(guò)切分或（和）聚合的封裝手段形成新的表現(xiàn)形態(tài)。

聚合封裝是將多個(gè)物理實(shí)體通過(guò)技術(shù)手段封裝為單一虛擬映像/實(shí)例,

可用于完成某個(gè)業(yè)務(wù)。例如SMP、計(jì)算集群（Cluster）、負(fù)載均衡集群

(LoadBalance)>RAID技術(shù)、虛擬存儲(chǔ)、端口匯聚(porttrunk)>

交換機(jī)堆疊(stack)等。

切分封裝是將單個(gè)物理實(shí)體通過(guò)技術(shù)手段封裝為多個(gè)虛擬映像/實(shí)例,

可用于執(zhí)行不同業(yè)務(wù)。例如主機(jī)虛擬化、存儲(chǔ)分區(qū)、虛擬局域網(wǎng)(VLAN)

等。

虛擬化技術(shù)的一個(gè)重要結(jié)果是降低IT架構(gòu)中部件之間的依靠關(guān)系，以

計(jì)算虛擬化為例，集群、主機(jī)虛擬化等計(jì)算虛擬化技術(shù)實(shí)現(xiàn)了應(yīng)用軟件與

物理基礎(chǔ)設(shè)施解耦。最終的效果是分別了應(yīng)用軟件與物理基礎(chǔ)設(shè)施，解

除或弱化了它們之間的耦合，從而也就減弱了各自的技術(shù)發(fā)展所受到的相

互限制，拓展了技術(shù)發(fā)展的空間和敏捷性。

2.3.2.智能化云管理

云計(jì)算架構(gòu)具有l(wèi)aaS、PaaS、SaaS等眾多的服務(wù)模型，供應(yīng)計(jì)算服

務(wù)、存儲(chǔ)服務(wù)、乃至整合各種資源的綜合性服務(wù)，其資源的構(gòu)成更加困難、

規(guī)模更加浩大。為了提高易用性和可維護(hù)性，各種資源構(gòu)成之間的關(guān)系困

難。在本項(xiàng)目中，主要構(gòu)建TaaS層。為了保證云計(jì)算中心的服務(wù)質(zhì)量，

對(duì)于眾多用戶資源配給的調(diào)整也要求更精準(zhǔn)的、更與時(shí)°這些要求已經(jīng)不

是依靠運(yùn)維人員的實(shí)力所能滿意的，須要采納更加智能化的自適應(yīng)運(yùn)維管

理。

云計(jì)算中心運(yùn)維管理要適應(yīng)云服務(wù)對(duì)資源管理所提出的新需求，

?緊耦合的資源管理

云計(jì)算中心采納資源綜合管理，即將系統(tǒng)中的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等資

源視為整體系統(tǒng)，實(shí)施統(tǒng)一管理，這有利于優(yōu)化整體性能、精確定位問(wèn)題、

是實(shí)現(xiàn)動(dòng)態(tài)資源調(diào)度的重要因素。

?多維度的資源管理

云計(jì)算中心的資源具有多種視圖，例如物理資源視圖、虛擬資源視圖、

虛擬組織視圖，因此，云管理也應(yīng)當(dāng)是多維的。

3、私有云總體建設(shè)方案

3.1、建設(shè)原則

1）標(biāo)準(zhǔn)化和開(kāi)放性

系統(tǒng)的標(biāo)準(zhǔn)化和規(guī)范化是信息系統(tǒng)建設(shè)基本而又關(guān)鍵的一步，要實(shí)現(xiàn)

信息通訊與共享，必需規(guī)范信息技術(shù)標(biāo)準(zhǔn)。采納業(yè)務(wù)內(nèi)標(biāo)準(zhǔn)的技術(shù)體系和

設(shè)計(jì)方法，使系統(tǒng)最大程度地具備各種層次的平臺(tái)無(wú)關(guān)性和兼容性。在運(yùn)

用新技術(shù)的同時(shí)充分考慮技術(shù)的國(guó)際標(biāo)準(zhǔn)化，嚴(yán)格依據(jù)國(guó)際國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)

設(shè)計(jì)實(shí)施。

2）先進(jìn)性和超前性

在好用牢靠的前提下，盡可能跟蹤國(guó)內(nèi)外先進(jìn)的計(jì)算機(jī)軟硬件技術(shù)、

信息技術(shù)與網(wǎng)絡(luò)通信技術(shù)，使系統(tǒng)具有較高的性能價(jià)格比，同時(shí)建設(shè)方案

以實(shí)際可接受實(shí)力為尺度，避開(kāi)盲目追求新技術(shù)，造成不必要的奢侈。技

術(shù)上立足于長(zhǎng)遠(yuǎn)發(fā)展，堅(jiān)持選用開(kāi)放性系統(tǒng)，使系統(tǒng)和將來(lái)的新技術(shù)能平

滑過(guò)渡。采納先進(jìn)的體系結(jié)構(gòu)和技術(shù)發(fā)展的主流產(chǎn)品，保證整個(gè)系統(tǒng)高效

運(yùn)行。

3）好用性和便利性

系統(tǒng)建設(shè)要以滿意需求為首要目標(biāo)，采納穩(wěn)定牢靠的成熟技術(shù)，保證

系統(tǒng)長(zhǎng)期平安運(yùn)行。系統(tǒng)應(yīng)用后，的確能為各級(jí)業(yè)務(wù)和管理節(jié)點(diǎn)供應(yīng)一個(gè)

智能化的網(wǎng)絡(luò)信息環(huán)境，以提高管理水平和工作的效率。

4）平安性和保密性

遵循有關(guān)信息平安標(biāo)準(zhǔn)，具有切實(shí)可行的平安愛(ài)護(hù)和保密措施，確保

數(shù)據(jù)永久平安。系統(tǒng)應(yīng)供應(yīng)多方式、多層次、多渠道的平安保密措施，防

止各種形式與途徑的非法侵入和機(jī)密信息的泄露，保證系統(tǒng)中數(shù)據(jù)的平

安。

5）穩(wěn)定性和牢靠性

系統(tǒng)建成并投入運(yùn)用后，將成為支撐系統(tǒng)平穩(wěn)運(yùn)轉(zhuǎn)的運(yùn)行平臺(tái)和開(kāi)發(fā)

新業(yè)務(wù)系統(tǒng)的基礎(chǔ)平臺(tái)，系統(tǒng)癱瘓的后果是不可思議的。因此系統(tǒng)必需在

成本可以接受的條件下，從系統(tǒng)結(jié)構(gòu)、設(shè)計(jì)方案、設(shè)備選型、廠商的技術(shù)

服務(wù)與維護(hù)響應(yīng)實(shí)力，備件供應(yīng)實(shí)力等方面考慮，使得系統(tǒng)故障發(fā)生的可

能性盡可能少，影響盡可能小，對(duì)各種可能出現(xiàn)的緊急狀況有應(yīng)急的工作

方案和對(duì)策。

6）跨平臺(tái)性和可移植性

由于系統(tǒng)建設(shè)的困難性要求，在設(shè)計(jì)時(shí)，要充分考慮系統(tǒng)的跨平臺(tái)、

跨系統(tǒng)、跨應(yīng)用、跨地區(qū)性和在各種操作系統(tǒng)、不同的中間件平臺(tái)上可移

植。

7）可維護(hù)性和可擴(kuò)展性

要保證系統(tǒng)能在各種操作系統(tǒng)和不同的中間件平臺(tái)上移植。系統(tǒng)設(shè)計(jì)

做到信息內(nèi)容統(tǒng)一，以便日后的系統(tǒng)維護(hù)。在私有云的設(shè)計(jì)過(guò)程中，充分

考慮在將來(lái)若干年內(nèi)的發(fā)展趨勢(shì)，具有肯定的前瞻性，并充分考慮了系統(tǒng)

升級(jí)、擴(kuò)容、擴(kuò)充和維護(hù)的可行性。

3.2、總體設(shè)計(jì)方案

3.2.1、邏輯架構(gòu)

私有云的系統(tǒng)部署邏輯架構(gòu)如下圖所示:

邏輯架構(gòu)圖

用于對(duì)外供應(yīng)各種服務(wù)的多種類型的虛擬主機(jī)節(jié)點(diǎn)的集合構(gòu)成了計(jì)

算“資源池”，其不僅實(shí)現(xiàn)了基于服務(wù)器的CPU、內(nèi)存、磁盤(pán)、I/O等硬

件的虛擬化實(shí)現(xiàn)動(dòng)態(tài)管理的“資源池”，同時(shí)還可以在各類型虛擬主機(jī)所

在的物理服務(wù)器之間進(jìn)行動(dòng)態(tài)的遷移和變更資源。為此要求將各種類型的

物理服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等設(shè)備統(tǒng)一為一個(gè)邏輯意義上的“計(jì)算資源池”,

從而提高資源的利用率，簡(jiǎn)化系統(tǒng)管理，實(shí)現(xiàn)服務(wù)器整合，讓IT對(duì)業(yè)務(wù)

的變更更具適應(yīng)力。

云管理平臺(tái)為用戶供應(yīng)簡(jiǎn)潔、統(tǒng)一的管理平臺(tái)，內(nèi)置豐富的資源管理

與交付功能；云平臺(tái)將原本靜態(tài)安排的IT基礎(chǔ)設(shè)施抽象為可管理、易于

調(diào)度、按需安排的資源；運(yùn)用云平臺(tái)可以把資源的實(shí)力封裝，對(duì)外供應(yīng)按

需敏捷運(yùn)用各類IT資源的服務(wù)，滿意各種業(yè)務(wù)的運(yùn)營(yíng)。

云管理平臺(tái)主要進(jìn)行系統(tǒng)資源的服務(wù)化、實(shí)現(xiàn)資源快速部署與按需分

發(fā)。借助于云管理平臺(tái)，可以構(gòu)建易于管理、動(dòng)態(tài)高效、敏捷擴(kuò)展、穩(wěn)

定牢靠、按需運(yùn)用的私有云結(jié)構(gòu)。

3.2.2、網(wǎng)絡(luò)架構(gòu)（假設(shè)）

私有云網(wǎng)絡(luò)架構(gòu)如下圖所示：

核心交換機(jī)

管理服務(wù)器

管理服務(wù)器：用于云管理平臺(tái)管理節(jié)點(diǎn)的安裝，負(fù)責(zé)對(duì)私有云的

資源池進(jìn)行管理、調(diào)度和監(jiān)控。在本期建設(shè)中，可以考慮利舊或者是虛擬

機(jī)來(lái)作為管理服務(wù)器節(jié)點(diǎn)。

虛擬化服務(wù)器：該服務(wù)器為若干臺(tái)服務(wù)器組成的集群，形成計(jì)算資源

池。通過(guò)虛擬化軟件將物理服務(wù)器安裝需求，虛擬出若干臺(tái)符合應(yīng)用需求

的應(yīng)用虛擬機(jī)作為私有云業(yè)務(wù)的應(yīng)用負(fù)載服務(wù)器。各虛擬化資源通過(guò)

云管理平臺(tái)統(tǒng)一調(diào)度、按需安排。假如計(jì)算資源池的資源不夠運(yùn)用，可以

干脆添加服務(wù)器，或者采納利舊的方式，無(wú)縫擴(kuò)展資源池。

存儲(chǔ)：該存儲(chǔ)的主要用于虛擬機(jī)的數(shù)據(jù)存儲(chǔ)、業(yè)務(wù)數(shù)據(jù)存儲(chǔ)等。依據(jù)

業(yè)務(wù)須要在本次私有云建設(shè)中，采納光纖存儲(chǔ)進(jìn)行通信。本期采納單存儲(chǔ)

的方式，做到滿意數(shù)據(jù)和業(yè)務(wù)需求，后期可以考慮雙存儲(chǔ)以HA的方式互

備，保障了整個(gè)私有云系統(tǒng)的數(shù)據(jù)平安。存儲(chǔ)同樣屬于計(jì)算資源池的一部

分，由云管理平臺(tái)統(tǒng)一納管。

光纖交換機(jī)：光纖交換機(jī)為服務(wù)器與存儲(chǔ)間的通信交換機(jī)，選擇

8Gb/s的交換模塊，可以有效保障服務(wù)器與存儲(chǔ)間的通信速率。本期采納

兩臺(tái)24口8Gb/s光纖交換機(jī)（各激活8個(gè)口），以主備方式供應(yīng)光纖網(wǎng)

絡(luò)通信。

接入交換機(jī)：依據(jù)現(xiàn)有的網(wǎng)絡(luò)環(huán)境和需求，接入交換機(jī)選擇兩個(gè)

48口的千兆交換機(jī)進(jìn)行通信。以主備的方式，保障網(wǎng)絡(luò)平安。

防火墻：接入交換機(jī)數(shù)據(jù)經(jīng)過(guò)防火墻上聯(lián)到核心交換機(jī)，接入核

心網(wǎng)絡(luò)。

3.3、云管理平臺(tái)設(shè)計(jì)

3.3.1、云管理平臺(tái)系統(tǒng)架構(gòu)

云平臺(tái)系統(tǒng)的整體架構(gòu)如下圖所示，系統(tǒng)分為物理資源層、虛擬資源

層、云平臺(tái)管理系統(tǒng)層和云計(jì)算服務(wù)層。

云平臺(tái)

管理系統(tǒng)層

系統(tǒng)架構(gòu)圖

上文提到的服務(wù)器資源和存儲(chǔ)資源、網(wǎng)絡(luò)資源等構(gòu)成了物理資源層，

通過(guò)虛擬化軟件形成統(tǒng)一的虛擬化資源，并通過(guò)云平臺(tái)管理系統(tǒng)，將物理

設(shè)備和系統(tǒng)資源整合為統(tǒng)一的計(jì)算資源池、存儲(chǔ)資源池和網(wǎng)絡(luò)資源池，在

此基礎(chǔ)上依據(jù)用戶的需求，自動(dòng)劃分資源，在資源管理平臺(tái)和業(yè)務(wù)服務(wù)管

理平臺(tái)的支持下，為用戶供應(yīng)豐富的云服務(wù)。

云平臺(tái)從運(yùn)維、運(yùn)營(yíng)與用戶三個(gè)層面對(duì)私有云進(jìn)行資源管理和運(yùn)營(yíng)管

理。

云平臺(tái)管理架構(gòu)圖

云計(jì)算管理平臺(tái)是一個(gè)用來(lái)創(chuàng)建云基礎(chǔ)架構(gòu)（laaS）的平臺(tái)。云計(jì)算

管理平臺(tái)允許企業(yè)在公司內(nèi)部設(shè)立一個(gè)服務(wù)于企業(yè)自身的私有云。當(dāng)前

VMWare,Citrix和Microsoft供應(yīng)的虛擬化平臺(tái)主要幫助企業(yè)的IT人員

可以像以前管理物理機(jī)一樣管理他們的虛擬機(jī)。而云計(jì)算管理平臺(tái)是幫助

非IT人員能夠通過(guò)自服務(wù)的方式運(yùn)用虛擬機(jī)服務(wù)。

云計(jì)算管理平臺(tái)包含管理服務(wù)器以與業(yè)界標(biāo)準(zhǔn)的虛擬化軟件（如

XenServer,Vsphere,KVM等）的擴(kuò)展。管理服務(wù)器可以部署在一臺(tái)服

務(wù)器或一組服務(wù)器集群上。管理服務(wù)器對(duì)全部節(jié)點(diǎn)上的資源進(jìn)行統(tǒng)一管理

并供應(yīng)web接口給管理員和用戶，使他們可以對(duì)權(quán)限內(nèi)的資源進(jìn)行訪問(wèn)和

操作。

云管理平臺(tái)統(tǒng)將要實(shí)現(xiàn)的目標(biāo)包括：

1.對(duì)本項(xiàng)目建設(shè)物理資源、網(wǎng)絡(luò)資源和虛擬資源，進(jìn)行統(tǒng)一的管理；

2.由于不同的應(yīng)用資源，處于不同的內(nèi)網(wǎng)或外網(wǎng)條件下，建設(shè)的云管

理平臺(tái)可以跨網(wǎng)絡(luò)管理；

3.納管已有的物理資源和網(wǎng)絡(luò)資源，本次實(shí)施以試驗(yàn)的方式，先納管

部分資源，依據(jù)運(yùn)用狀況，漸漸將全部物理資源和網(wǎng)絡(luò)資源納管進(jìn)

來(lái)；

4.實(shí)現(xiàn)對(duì)全部信息資源，包括物理計(jì)算資源，虛擬技計(jì)算資源，物理

網(wǎng)絡(luò)資源、虛擬網(wǎng)絡(luò)資源的自動(dòng)化管理；

5.云管理平臺(tái)供應(yīng)可視，可控，可管的運(yùn)維系統(tǒng)。

3.3.2.云管理平臺(tái)功能

3.3.2.1、云平臺(tái)服務(wù)

云計(jì)算管理平臺(tái)為用戶創(chuàng)建虛擬機(jī)實(shí)例供應(yīng)了多種選擇：

?計(jì)算服務(wù)，由管理員定義，供應(yīng)CPU速度和個(gè)數(shù)，內(nèi)存大小和根

卷大小等選擇

?存儲(chǔ)服務(wù)，由管理員定義，供應(yīng)了數(shù)據(jù)卷大小的選擇

?網(wǎng)絡(luò)服務(wù)，由云計(jì)算管理平臺(tái)定義，描述了用戶通過(guò)虛擬路由器或

者外部網(wǎng)絡(luò)設(shè)備可以運(yùn)用的功能。

?模板和鏡像，模板是一個(gè)操作系統(tǒng)的鏡像，用戶可以從這個(gè)鏡像創(chuàng)

建新的虛擬機(jī)。全部通用的Linux和Windows系統(tǒng)都可以成為

模板。管理員也可以向系統(tǒng)中導(dǎo)入新的模板。

除以上選項(xiàng)之外，還有一種只對(duì)云計(jì)算管理平臺(tái)管理員可見(jiàn)的服務(wù)類

型，用于配置虛擬機(jī)路由器。

3.3.2.2、帳戶、用戶和域

云計(jì)算管理平臺(tái)的用戶通過(guò)安排的帳戶登陸和運(yùn)用資源。在云環(huán)境

里，各帳戶之間的環(huán)境是相互隔離的。一個(gè)域由一組帳戶構(gòu)成，一個(gè)域中

的帳戶一般有邏輯上的關(guān)聯(lián)性，域可以有多個(gè)管理員帳戶對(duì)域以與域包含

的子域進(jìn)行管理。

一個(gè)賬戶可以對(duì)應(yīng)多個(gè)用戶，用戶更像是賬戶的別名，同一賬戶的用

戶之間沒(méi)有相互隔離，他們具有相同的權(quán)限，可見(jiàn)的資源也相同。在大多

數(shù)狀況下，一個(gè)賬戶對(duì)應(yīng)一個(gè)用戶即可滿意需求。

3?3.2?3、管理服務(wù)器

云計(jì)算管理平臺(tái)管理服務(wù)器運(yùn)行于WEB容器（如Tomcat）并運(yùn)用

關(guān)系型數(shù)據(jù)庫(kù)（如MySQL）存放數(shù)據(jù)，所運(yùn)用數(shù)據(jù)庫(kù)也可以安裝在一臺(tái)

獨(dú)立的物理機(jī)上，也就是數(shù)據(jù)庫(kù)服務(wù)器，并可以依據(jù)須要配置備份服務(wù)器。

?供應(yīng)管理員和用戶訪問(wèn)的web界面

?供應(yīng)云計(jì)算管理平臺(tái)對(duì)外的API接口

?管理每個(gè)資源節(jié)點(diǎn)上的虛擬機(jī)資源安排

?管理每個(gè)帳戶的公網(wǎng)和內(nèi)網(wǎng)IP地址安排

?管理虛擬硬盤(pán)鏡像的存儲(chǔ)空間安排

?管理快照（snapshot）、模板、ISO鏡像，并可以依據(jù)須要將它

們跨數(shù)據(jù)中心備份。

?整個(gè)云環(huán)境配置的中心

、資源服務(wù)器

資源服務(wù)器是用來(lái)供應(yīng)虛擬機(jī)資源的服務(wù)器。可以通過(guò)云管理平臺(tái)自

帶的虛擬化軟件進(jìn)行虛擬化，也可以通過(guò)如VMWARE、CitrixXEN等相

關(guān)軟件或功能進(jìn)行虛擬化。

?供應(yīng)虛擬機(jī)須要的全部CPU,內(nèi)存，存儲(chǔ)和網(wǎng)絡(luò)資源

?相互通過(guò)高速網(wǎng)絡(luò)互聯(lián)互通，并具備Internet連接

?可以位于不同地理位置的不同數(shù)據(jù)中心

?可以具有不同的規(guī)格(如不同的CPU速度，不同的內(nèi)存大小

等等)

?是高性能通用x86兼容服務(wù)器，自身相對(duì)牢靠，但規(guī)模較大時(shí)

允許出現(xiàn)個(gè)別服務(wù)器故障

、網(wǎng)絡(luò)功能和網(wǎng)絡(luò)虛擬化

云計(jì)算管理平臺(tái)管理內(nèi)網(wǎng)(private)、直連網(wǎng)絡(luò)direct和公網(wǎng)(public)

的IP安排。管理員首先將可供安排的內(nèi)網(wǎng)，直連網(wǎng)絡(luò)和公網(wǎng)IP輸入系統(tǒng)。

主要有兩種網(wǎng)絡(luò)模型可供創(chuàng)建：直連網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)。

云計(jì)算管理平臺(tái)的資源域(Zone)也分為兩類：基本網(wǎng)絡(luò)資源域僅能

創(chuàng)建直連無(wú)標(biāo)記(untagged)網(wǎng)絡(luò)。高級(jí)網(wǎng)絡(luò)資源域除此之外還可以創(chuàng)建虛

擬網(wǎng)絡(luò)以與直連帶標(biāo)記(tagged)網(wǎng)絡(luò)。

直連網(wǎng)絡(luò)

在直連網(wǎng)絡(luò)中，虛擬機(jī)被干脆在本地子網(wǎng)中安排IP地址。這些虛擬

機(jī)可以干脆訪問(wèn)Internet,也沒(méi)有任何NAT轉(zhuǎn)換。它們的網(wǎng)絡(luò)封包不經(jīng)

過(guò)任何虛擬路由器。因此，直連網(wǎng)絡(luò)無(wú)法獲得云計(jì)算管理平臺(tái)中的軟負(fù)載

平衡、防火墻和端口轉(zhuǎn)發(fā)等功能。

直連網(wǎng)絡(luò)的用戶依據(jù)配置的不同，可以和別的直連網(wǎng)絡(luò)用戶相通或隔

離。在直連帶標(biāo)記網(wǎng)絡(luò)中，管理員對(duì)資源域內(nèi)部的每位用戶安排特定的

VLAN標(biāo)識(shí)和IP段。用戶的虛擬機(jī)可以從虛擬路由器（相當(dāng)于DHCP服

務(wù)器）獲得IP地址。直連帶標(biāo)記網(wǎng)絡(luò)可以讓用戶的虛擬機(jī)便利的與外界

網(wǎng)絡(luò)互聯(lián)互通，包括管理服務(wù)器。

直連無(wú)標(biāo)記網(wǎng)絡(luò)則采納了類似于亞馬遜的平安組概念對(duì)每位用戶進(jìn)

行隔離，而不采納VLAN。全部用戶不論賬號(hào)如何都在同一個(gè)廣播域內(nèi)。

直連無(wú)標(biāo)記網(wǎng)絡(luò)最常運(yùn)用在私有云中。全部的Hypervisor類型都可以支

持直連無(wú)標(biāo)記網(wǎng)絡(luò)，但只有XenServer和KVM的節(jié)點(diǎn)可以設(shè)置平安組。

虛擬網(wǎng)絡(luò)

在虛擬網(wǎng)絡(luò)中，用戶的虛擬機(jī)部署于私有的虛擬網(wǎng)絡(luò)中。每個(gè)用戶的

虛擬網(wǎng)絡(luò)均通過(guò)VLAN與其他用戶的虛擬網(wǎng)絡(luò)隔離。每個(gè)用戶的全部客戶

機(jī)也在自己的VLAN中被安排相應(yīng)的網(wǎng)絡(luò)接口。

可以用兩種方式建立虛擬網(wǎng)絡(luò)：基于虛擬路由器和基于外部路由器。

?云計(jì)算管理平臺(tái)在安裝時(shí)就供應(yīng)了一個(gè)虛擬路由器。這個(gè)虛擬路由器

可以供應(yīng)DNS,DHCP,gateway,NAT,負(fù)載平衡和VPN服務(wù)。

?基于外部路由器的虛擬網(wǎng)絡(luò)運(yùn)用第三方廠家的路由器設(shè)備供應(yīng)

gateway和NAT服務(wù)，而DNS和DHCP照舊由虛擬路由器完成。

虛擬網(wǎng)絡(luò)的部署必需運(yùn)用虛擬路由器或外部路由器。在虛擬網(wǎng)絡(luò)中，

同一個(gè)用戶的不同虛擬機(jī)因?yàn)樘幱谕粋€(gè)VLAN,他們之間的網(wǎng)絡(luò)通信不

通過(guò)虛擬路由器。VLAN起到用戶之間隔離的作用：不同帳戶的用戶運(yùn)用

不同的VLAN。

在虛擬網(wǎng)絡(luò)中，每一個(gè)用戶會(huì)被安排一個(gè)外網(wǎng)IP地址。用戶可以申

請(qǐng)更多的外網(wǎng)IP地址。外網(wǎng)IP地址是指用戶實(shí)際訪問(wèn)虛擬機(jī)的IP地址。

通過(guò)虛擬路由器建立虛擬網(wǎng)絡(luò)

每個(gè)帳戶都被安排一個(gè)虛擬路由器。全部此帳戶擁有的外網(wǎng)IP地址

也都安排給這個(gè)虛擬路由器。這個(gè)虛擬路由器是虛擬機(jī)和外網(wǎng)通信的管

道，并且為虛擬機(jī)供應(yīng)DNS和DHCP服務(wù)，以與NAT轉(zhuǎn)換。

虛擬路由器的存在使得云計(jì)算管理平臺(tái)可以為用戶供應(yīng)很多網(wǎng)絡(luò)功

能，例如：將發(fā)送至某個(gè)外網(wǎng)IP的包轉(zhuǎn)發(fā)至一個(gè)指定的虛擬機(jī)，或是在

多個(gè)虛擬機(jī)之間做流量的負(fù)載平衡，使得通過(guò)有限的公網(wǎng)IP可以供應(yīng)更

牢靠的服務(wù)。

通過(guò)外部路由器建立虛擬網(wǎng)絡(luò)

每個(gè)帳戶仍舊被安排一個(gè)虛擬路由器。但全部此帳戶擁有的外網(wǎng)IP

被安排給外部路由設(shè)備。外部路由器成為虛擬機(jī)和外網(wǎng)通信的橋梁，并供

應(yīng)NAT轉(zhuǎn)換。虛擬路由器僅供應(yīng)DNS和DHCP功能c負(fù)載平衡可以由

外部路由器或者虛擬路由器完成。

一個(gè)帳戶可能既擁有在虛擬網(wǎng)絡(luò)的虛擬機(jī)也擁有在直連帶標(biāo)記網(wǎng)絡(luò)

的虛擬機(jī)。在這種狀況下，這個(gè)帳戶將擁有兩臺(tái)虛擬路由器，一臺(tái)虛擬路

由器負(fù)責(zé)資源域VLAN的管理，一臺(tái)虛擬路由器負(fù)責(zé)直連帶標(biāo)記VLAN

的管理。

在同一個(gè)資源域里基本網(wǎng)絡(luò)不能與虛擬網(wǎng)絡(luò)或直連帶標(biāo)記網(wǎng)絡(luò)共存。

一個(gè)云環(huán)境可能包含一個(gè)基本網(wǎng)絡(luò)資源域，一個(gè)虛擬網(wǎng)絡(luò)與直連帶標(biāo)記網(wǎng)

絡(luò)共存的資源域。

3.3.2.6、存儲(chǔ)功能和虛擬化

虛擬機(jī)模板是用戶第一次啟動(dòng)虛擬機(jī)時(shí)所運(yùn)用的基本操作系統(tǒng)鏡像。

例如，有用戶須要64位CentOS5.3的操作系統(tǒng)鏡像，就可以把它作為

一個(gè)虛擬機(jī)模板。每個(gè)虛擬機(jī)模板都有相應(yīng)的訪問(wèn)權(quán)限。訪問(wèn)權(quán)限包括：

?公開(kāi)權(quán)限。這個(gè)模板可以供全部用戶訪問(wèn)。

?私有權(quán)限。這個(gè)模板只能供創(chuàng)建它的用戶，以與該用戶指定的

運(yùn)用者訪問(wèn)。

管理員和用戶都可以將模板加入至系統(tǒng)。用戶在訪問(wèn)模板的時(shí)候可以

望見(jiàn)模板的全部者。云計(jì)算管理平臺(tái)將供應(yīng)應(yīng)虛擬機(jī)運(yùn)用的一塊存儲(chǔ)空間

稱為一個(gè)卷。卷既可以是系統(tǒng)盤(pán)也可以是數(shù)據(jù)盤(pán)。系統(tǒng)盤(pán)在文件系統(tǒng)中的

路徑為“/"或“C:“，也通常作為引導(dǎo)盤(pán)運(yùn)用。數(shù)據(jù)盤(pán)供應(yīng)額外的存儲(chǔ)

空間（路徑為"/opt“或"D:"）。每個(gè)虛擬機(jī)都有一個(gè)系統(tǒng)盤(pán)和一個(gè)數(shù)

據(jù)盤(pán)。用戶可以將多個(gè)數(shù)據(jù)盤(pán)掛接在一個(gè)虛擬機(jī)上。這些數(shù)據(jù)盤(pán)可以從管

理員供應(yīng)的存儲(chǔ)服務(wù)中獲得。同時(shí)，用戶還可以從卷中創(chuàng)建模板，這也是

私有模板的標(biāo)準(zhǔn)創(chuàng)建方式。

ISO鏡像的存儲(chǔ)和運(yùn)用方式與模板類似。ISO鏡像除了訪問(wèn)權(quán)限外，

還可分為兩種類型：可以引導(dǎo)系統(tǒng)的（bootable）和不能引導(dǎo)系統(tǒng)的?？梢?/p>

引導(dǎo)的ISO鏡像一般包含操作系統(tǒng)鏡像（如Ubuntu10.4安裝CD）。

Masterstack云計(jì)算管理平臺(tái)允許用戶從ISO鏡像啟動(dòng)虛擬機(jī)。用戶還

可以將ISO鏡像掛接到虛擬機(jī)上。例如，須要在Windows虛擬機(jī)上安裝

PV驅(qū)動(dòng)程序時(shí)就可以掛接對(duì)應(yīng)Hypervisor廠商的ISO鏡像。

云計(jì)算管理平臺(tái)支持卷的快照，包括系統(tǒng)盤(pán)和數(shù)據(jù)盤(pán)。管理員可以為

每個(gè)用戶可以創(chuàng)建的快照數(shù)量設(shè)限。用戶既可以通過(guò)快照來(lái)還原卷以復(fù)原

丟失的數(shù)據(jù)，也可以從快照來(lái)創(chuàng)建模板，以確保當(dāng)卷無(wú)法還原時(shí)可以干脆

啟動(dòng)新的虛擬機(jī)以保證業(yè)務(wù)的連續(xù)性。可以將快照設(shè)置為定期任務(wù)?？煺?/p>

一般會(huì)在主存儲(chǔ)設(shè)備上生成并備份至二級(jí)存儲(chǔ)，直到被刪除或被新的快照

覆蓋。

云計(jì)算管理平臺(tái)可以配置主存儲(chǔ)和二級(jí)存儲(chǔ)。主存儲(chǔ)支持iSCSI,FC

或NFS接口。主存儲(chǔ)上存放虛擬機(jī)的磁盤(pán)鏡像，一般和服務(wù)器物理位置

接近。二級(jí)存儲(chǔ)上存放模板，ISO鏡像以與快照數(shù)據(jù)，通常一個(gè)二級(jí)存儲(chǔ)

可以對(duì)應(yīng)幾百臺(tái)服務(wù)器。

3.3.2,1,虛擬機(jī)安排策略

云計(jì)算管理平臺(tái)在創(chuàng)建虛擬機(jī)時(shí)會(huì)依據(jù)內(nèi)置策略選擇可用的物理機(jī)。

被選擇的物理機(jī)總是和虛擬機(jī)的鏡像物理位置接近。安排策略包括“縱向

優(yōu)先”和“橫向優(yōu)先”?？v向優(yōu)先是指先安排滿一臺(tái)物理機(jī)的負(fù)載，再安

排其次臺(tái)物理機(jī)。這樣的好處是節(jié)能，未安排的物理機(jī)可以處于休眠模式。

橫向優(yōu)先是指每臺(tái)物理機(jī)平均安排負(fù)載。這樣的好處是確保每臺(tái)虛擬機(jī)的

性能最優(yōu)。

云計(jì)算管理平臺(tái)支持CPU超配(overcommit),也就是允許管理員

安排比實(shí)際CPU個(gè)數(shù)/實(shí)力更多的虛擬機(jī)給最終用戶。

3.3.2.8、虛擬機(jī)管理

云計(jì)算管理平臺(tái)為管理員和用戶供應(yīng)了豐富的虛擬機(jī)管理功能。虛擬

機(jī)的基本操作包括啟動(dòng)，停止，重啟，刪除等等。虛擬機(jī)包含名稱和組別。

虛擬機(jī)的名稱和組別對(duì)于云計(jì)算管理平臺(tái)是不透亮的，用戶通過(guò)它們來(lái)組

織和管理虛擬機(jī)。

虛擬機(jī)可以配置HA。對(duì)于配置了HA的虛擬機(jī)，系統(tǒng)會(huì)監(jiān)控它們的

狀態(tài)，并在發(fā)覺(jué)出問(wèn)題的時(shí)候試著在另一個(gè)物理機(jī)上重新啟動(dòng)該虛擬機(jī)。

云計(jì)算管理平臺(tái)無(wú)法區(qū)分一臺(tái)虛擬機(jī)是正常關(guān)機(jī)還是異樣關(guān)機(jī)。假如

用戶關(guān)掉了一臺(tái)配置HA的虛擬機(jī)，云計(jì)算管理平臺(tái)會(huì)重啟它。因此，當(dāng)

用戶真的須要關(guān)掉配置HA的虛擬機(jī)的話，須要先通過(guò)云計(jì)算管理平臺(tái)界

面或者API以禁用HA功能。

3.3.2.9、其他管理功能

系統(tǒng)還供應(yīng)了警告和事務(wù)等管理功能。警告是發(fā)送給管理員的提示，

通常用郵件發(fā)送，通知管理員系統(tǒng)出現(xiàn)錯(cuò)誤。警告信息是可配置的。

事務(wù)功能跟蹤管理員和用戶在云計(jì)算管理平臺(tái)的全部操作。例如，每

次虛擬機(jī)啟動(dòng)都對(duì)應(yīng)一個(gè)事務(wù)。事務(wù)存放在管理服務(wù)器的數(shù)據(jù)庫(kù)。

云計(jì)算管理平臺(tái)允許管理員將某臺(tái)物理機(jī)設(shè)為維護(hù)模式。位于維護(hù)模

式的物理機(jī)首先從資源池中移出，不再接收新的虛擬機(jī)安排懇求。然后，

這臺(tái)物理機(jī)上的虛擬機(jī)會(huì)被無(wú)縫遷移至其他不在維護(hù)模式的物理機(jī)。由于

這里采納的是在線遷移技術(shù)，客戶的業(yè)務(wù)和應(yīng)用不會(huì)受到影響。

管理員和用戶還可以監(jiān)控物理機(jī)和虛擬機(jī)的性能。通過(guò)云計(jì)算管理平

臺(tái)的監(jiān)控界面，用戶可以了解機(jī)器各種資源的運(yùn)用狀況以確定是否要換用

更高級(jí)的虛擬機(jī)或是更大的存儲(chǔ)空間。

3.3.2.10、API和擴(kuò)展性

云計(jì)算管理平臺(tái)的管理員界面和用戶界面是基于同一套標(biāo)準(zhǔn)的HTTP

懇求協(xié)議開(kāi)發(fā)的。這一套協(xié)議確保界面和后端的松耦合，不論是改寫(xiě)用戶

界面還是開(kāi)發(fā)吩咐行工具都很便利。

云計(jì)算管理平臺(tái)的可擴(kuò)展安排策略架構(gòu)允許接入新的安排策略來(lái)安

排存儲(chǔ)和物理機(jī)。

3.3.2.11.彈性和可用性

云計(jì)算管理平臺(tái)的設(shè)計(jì)確保對(duì)多個(gè)數(shù)據(jù)中心，上千臺(tái)服務(wù)器規(guī)模的支

持。我們把一個(gè)機(jī)架(Pod)作為大規(guī)模部署下的一個(gè)單位。一般一個(gè)Pod

對(duì)應(yīng)一個(gè)物理機(jī)架。系統(tǒng)規(guī)模的擴(kuò)展也就是增加新的機(jī)架以與在管理服務(wù)

器中對(duì)新加的資源進(jìn)行管理的流程。

云計(jì)算管理平臺(tái)也包含了一系列保證可用性的特性。首先，管理服務(wù)

器可以是一組配置了負(fù)載平衡的服務(wù)器機(jī)群。其次，數(shù)據(jù)庫(kù)可以配置自動(dòng)

備份以確保在出錯(cuò)時(shí)可以人工復(fù)原。對(duì)于資源服務(wù)器，云計(jì)算管理平臺(tái)支

持網(wǎng)卡綁定，多網(wǎng)絡(luò)存儲(chǔ)以與iSCSI多路徑。

3.3.3、云管理平臺(tái)設(shè)計(jì)

、資源管理系統(tǒng)設(shè)計(jì)

資源整合和虛擬化將原本靜態(tài)安排的IT資源池化，打破資源孤島、

形成邏輯的資源池，使上層的應(yīng)用不再以豎井(Silo)和專用(Dedicated)

的形式運(yùn)用資源，而是多個(gè)應(yīng)用共享資源池，既可以提高資源利用率，又

可以通過(guò)快速部署、動(dòng)態(tài)安排等應(yīng)對(duì)應(yīng)用對(duì)資源的突發(fā)需求。

在私有云建設(shè)中，當(dāng)資源池就緒之后，通過(guò)云管理平臺(tái)資源管理

模塊實(shí)現(xiàn)異構(gòu)資源池的統(tǒng)一管理，動(dòng)態(tài)安排和調(diào)度資源以滿意多應(yīng)用需

求。已有設(shè)備和新購(gòu)入設(shè)備均可以納入云管理平臺(tái)的管理中。

設(shè)備管理：統(tǒng)一的設(shè)備資產(chǎn)管理，清楚、便利的維護(hù)和管理各類設(shè)備

相關(guān)信息，如設(shè)備名稱、編號(hào)、型號(hào)，所處的具體物理位置信息等，實(shí)現(xiàn)

設(shè)備與資源的統(tǒng)一納管和集中監(jiān)控展示。

網(wǎng)絡(luò)拓?fù)洌焊采w虛擬機(jī)層級(jí)的網(wǎng)絡(luò)拓?fù)鋱D、VLAN圖，以與直觀的機(jī)

架圖，從各個(gè)層面展示私有云的設(shè)備連接狀況，精確了解虛擬機(jī)與物理機(jī)

的依存關(guān)系。

系統(tǒng)監(jiān)控：圖形化和列表的方式展示虛擬機(jī)、Hypervisor主機(jī)、物

理機(jī)、存儲(chǔ)、網(wǎng)絡(luò)設(shè)備的啟停狀態(tài)、資源利用率等具體監(jiān)控信息；并可通

過(guò)儀表板的集中呈現(xiàn)，全面直觀的了解整個(gè)資源系統(tǒng)的概要信息。

告警管理：告警規(guī)則配置與管理，告警事務(wù)統(tǒng)一展示，可與時(shí)了解資

源池中的各種異樣事務(wù)和告警信息。

報(bào)表系統(tǒng)：豐富的報(bào)表統(tǒng)計(jì)功能，可統(tǒng)計(jì)分析各種資源的歷史運(yùn)用狀

況、利用率狀況、可用性等信息，為資源的進(jìn)一步優(yōu)化利用供應(yīng)決策信息。

3.3.3.2、運(yùn)營(yíng)管理系統(tǒng)設(shè)計(jì)

云管理平臺(tái)除了變更傳統(tǒng)信息系統(tǒng)的管理方式外，更體現(xiàn)了云計(jì)算中

“服務(wù)”的概念。在私有云建設(shè)中，通過(guò)云管理平臺(tái)的運(yùn)營(yíng)管理系統(tǒng),

可以將資源服務(wù)化，更好的供應(yīng)便利快捷的信息資源服務(wù)。在資源池之上,

將資源封裝為可度量的服務(wù)，并使最終用戶以最便捷敏捷的形式按需運(yùn)用

這些服務(wù)。供應(yīng)了服務(wù)管理、訂單管理、用戶管理、計(jì)費(fèi)管理等功能，以

幫助信息管理人員完成日常運(yùn)營(yíng)工作，面對(duì)最終用戶供應(yīng)自助服務(wù)流程。

實(shí)現(xiàn)“按需自助服務(wù)”這一云計(jì)算最終目的。

主要設(shè)計(jì)功能：

資源封裝，預(yù)置豐富的云服務(wù)

針對(duì)的實(shí)際應(yīng)用或業(yè)務(wù)需求，協(xié)作信息管理人員，將資源池中的

各種資源封裝為適合不同應(yīng)用運(yùn)用的不同服務(wù)模板，并通過(guò)服務(wù)書(shū)目的形

式在門(mén)戶系統(tǒng)上呈現(xiàn)，供用戶閱讀和選擇所需服務(wù)。

運(yùn)營(yíng)管理員也可以依據(jù)信息業(yè)務(wù)發(fā)展?fàn)顩r和用戶反饋的看法，創(chuàng)建新

服務(wù)模板并發(fā)布，以滿意不同用戶的需求。通過(guò)門(mén)戶系統(tǒng)，管理員可以輕

松的管理服務(wù)模板的創(chuàng)建、修改、發(fā)布、刪除等整個(gè)生命周期過(guò)程。

訂單管理

云管理平臺(tái)供應(yīng)“購(gòu)物車(chē)”功能，用戶通過(guò)自服務(wù)門(mén)戶，可以像網(wǎng)上

購(gòu)物一樣選擇服務(wù)產(chǎn)品放入購(gòu)物車(chē)并提交以生成訂單，訂單可管理、查看

審批軌跡與刪除。運(yùn)營(yíng)管理員則對(duì)全部用戶提交的訂單進(jìn)行管理。運(yùn)用者

和運(yùn)營(yíng)管理者無(wú)需溝通溝通即可申請(qǐng)信息資源的運(yùn)用。大大化簡(jiǎn)了信

息資源的申請(qǐng)審批流程，便利了一線職工的運(yùn)用，削減了信息管理人員的

工作量。

審批流程

為了防止在審批流程中出現(xiàn)問(wèn)題，審批可以是單層或?qū)蛹?jí)審批，每一

級(jí)審批可設(shè)置為自動(dòng)或人工完成。對(duì)審批層級(jí)和自動(dòng)/人工審批的配置均

可以通過(guò)運(yùn)營(yíng)管理的管理員門(mén)戶完成?？梢砸罁?jù)訂單的重要程度，設(shè)計(jì)不

同的審批模式，有效的保障了信息資源運(yùn)用的平安性和合理性。

按需自助服務(wù)，完整的用戶自服務(wù)流程

云平臺(tái)的自服務(wù)流程為用戶供應(yīng)了完整的按需自助式服務(wù)體驗(yàn)，整個(gè)

自服務(wù)流程包括服務(wù)申請(qǐng)、訂單審批與管理、服務(wù)交付、服務(wù)實(shí)例運(yùn)用與

回收等步驟與功能。假如訂單通過(guò)審批，系統(tǒng)會(huì)自動(dòng)依據(jù)訂單為用戶安排

資源，生成相應(yīng)的服務(wù)實(shí)例交付給用戶，用戶可通過(guò)各種方式登錄和運(yùn)用

自己的資源，也可對(duì)服務(wù)實(shí)例進(jìn)行更改、申請(qǐng)作廢等操作。未通過(guò)審批的

訂單不會(huì)獲得任何資源安排。

服務(wù)限制臺(tái)，供應(yīng)服務(wù)實(shí)例的全生命周期管理

服務(wù)實(shí)例全生命周期管理，是指用戶的服務(wù)實(shí)例從創(chuàng)建到回收的整個(gè)

過(guò)程的管理。包括對(duì)服務(wù)實(shí)例的自動(dòng)部署，用戶對(duì)服務(wù)實(shí)例的運(yùn)用、更改、

申請(qǐng)作廢，系統(tǒng)對(duì)服務(wù)實(shí)例對(duì)應(yīng)資源的釋放和回收等。云平臺(tái)自服務(wù)門(mén)戶

供應(yīng)一個(gè)服務(wù)限制臺(tái)，用戶可對(duì)自己的服務(wù)實(shí)例進(jìn)行查詢、操作和管理，

比如對(duì)虛擬機(jī)進(jìn)行開(kāi)機(jī)、重啟、關(guān)機(jī)等操作，或者將一個(gè)塊存儲(chǔ)掛載給虛

擬機(jī)。另外，云平臺(tái)支持用戶通過(guò)閱讀器干脆訪問(wèn)虛擬機(jī)，為用戶供應(yīng)了

極大的便利。當(dāng)用戶不再須要所申請(qǐng)的資源時(shí)，可以對(duì)服務(wù)實(shí)例申請(qǐng)作廢,

云平臺(tái)會(huì)回收并釋放該用戶申請(qǐng)的資源，服務(wù)訂購(gòu)關(guān)系終止。

界面友好，基于角色的門(mén)戶系統(tǒng)

云平臺(tái)對(duì)管理員和最終用戶都供應(yīng)了友好的門(mén)戶系統(tǒng)，通過(guò)權(quán)限限

制，云平臺(tái)對(duì)不同角色的用戶呈現(xiàn)不同功能的門(mén)戶界面。

日志審計(jì)

云平臺(tái)的日志系統(tǒng)可記錄管理員和用戶在云平臺(tái)內(nèi)的全部操作，如登

錄系統(tǒng)、資源操作等?？稍诮缑骘@示全部日志與日志詳情，也可以對(duì)日志

進(jìn)行查詢，基于日志可實(shí)現(xiàn)對(duì)用戶操作的審計(jì)。

3.3.3.3.云管理平臺(tái)平安設(shè)計(jì)

在云管理平臺(tái)的設(shè)計(jì)中，特殊突出平安性設(shè)計(jì)。

多層面的平安隔離

1、Zone和在Zone之間可能實(shí)現(xiàn)了某種形式的物理隔離和冗余

2、不同帳戶的用戶運(yùn)用不同的VLAN,VLAN起到用戶之間隔離的

作用；基于用戶的虛擬機(jī)隔離：即管理員可以通過(guò)云平臺(tái)將不同用戶之間

的虛擬機(jī)配置為無(wú)法建立2層鏈接，實(shí)現(xiàn)基于用戶的虛擬機(jī)隔離。

3、供應(yīng)多種網(wǎng)絡(luò)類型，一些是真實(shí)的，一些是虛擬的，虛擬網(wǎng)絡(luò)通

過(guò)VLAN隔離，物理網(wǎng)絡(luò)通過(guò)不同的硬件和設(shè)備隔離等，比如通過(guò)公網(wǎng)IP、

私網(wǎng)IP通過(guò)不同的網(wǎng)卡隔離流量.也通過(guò)不同的組網(wǎng)，如3個(gè)平面來(lái)隔離

業(yè)務(wù)、管理、存儲(chǔ)

4、直連網(wǎng)絡(luò)可以通過(guò)給用戶安排VLAN來(lái)隔離，直連無(wú)標(biāo)記網(wǎng)絡(luò)則

采納了類似于亞馬遜的平安組概念對(duì)每位用戶進(jìn)行隔離，而不采納VLANo

全部的平安域都通過(guò)防火墻接入到網(wǎng)絡(luò)中，各個(gè)平安域通過(guò)虛擬防火

墻進(jìn)行邏輯隔離，平安域之間不能干脆訪問(wèn)，在虛擬防火墻上通過(guò)訪問(wèn)限

制策略，對(duì)用戶進(jìn)行文件和數(shù)據(jù)操作權(quán)限的限制，防范用戶的越權(quán)訪問(wèn)。

全面的虛擬機(jī)平安機(jī)制

1、同一物理服務(wù)器上的虛擬機(jī)隔離，同一物理機(jī)服務(wù)器上資源隔離,

包括CPU、內(nèi)存、內(nèi)部網(wǎng)絡(luò)隔離、磁盤(pán)I/O有效的隔離，不會(huì)因?yàn)槟骋?/p>

個(gè)虛擬機(jī)被攻擊而導(dǎo)致其他同一物理服務(wù)器上的虛擬機(jī)被影響。

2、內(nèi)部虛擬機(jī)訪問(wèn)隔離，供應(yīng)虛擬防火墻，如平安組功能，確保不

同租戶的虛擬機(jī)之間的網(wǎng)絡(luò)隔離（包括同一個(gè)物理主機(jī)內(nèi)的不同虛擬機(jī)）。

針對(duì)每個(gè)平安組可以定義ACL規(guī)則，如對(duì)外開(kāi)放某個(gè)具體的服務(wù)或端口,

允許外部某個(gè)IP地址訪問(wèn)虛擬機(jī)的某個(gè)端口，也可以在平安組之間相互

授權(quán)訪問(wèn)。

3、惡意VM預(yù)防，云平臺(tái)要能防止同一個(gè)物理主機(jī)內(nèi)VM能嗅探到

其它VM的數(shù)據(jù)包。例如ARP防護(hù)，云平臺(tái)防止惡意虛擬機(jī)的IP欺瞞和

ARP地址欺瞞，限制虛擬機(jī)只能發(fā)送本機(jī)地址的報(bào)文。

4、虛擬機(jī)操作日志審計(jì)，通過(guò)云平臺(tái)記錄對(duì)虛擬機(jī)進(jìn)行VM操作，

便于合規(guī)審計(jì)。

訪問(wèn)限制

1、對(duì)業(yè)務(wù)和應(yīng)用中保存的帳號(hào)進(jìn)行集中管理，包括帳號(hào)創(chuàng)建、變更

和刪除等。同時(shí)依據(jù)預(yù)定策略，修改帳號(hào)的口令。接入認(rèn)證平安、傳輸平

安；

2、將人員和其在各個(gè)業(yè)務(wù)系統(tǒng)中擔(dān)當(dāng)角色關(guān)聯(lián)，實(shí)現(xiàn)對(duì)維護(hù)人員和

用戶等的集中授權(quán)。

3、記錄帳號(hào)登錄、登出等相關(guān)的日志信息，并帳號(hào)登錄、登出的信

息和用戶的真實(shí)身份相關(guān)聯(lián)。

4、依據(jù)預(yù)先制定的審計(jì)策略對(duì)日志進(jìn)行分析，發(fā)覺(jué)高危操作，產(chǎn)生

審計(jì)事務(wù)告警。輸出符合薩班斯審計(jì)須要等要求的審計(jì)報(bào)告。

融合已有傳統(tǒng)平安措施

1、防火墻：最主流也是最重要的平安產(chǎn)品，是邊界平安解決方案的

核心。它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行區(qū)域分割，供應(yīng)基于IP地址和TCP/IP服

務(wù)端口等的訪問(wèn)限制；對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊，如拒絕服務(wù)攻擊、端口掃描、

IP欺瞞、IP盜用等進(jìn)行有效防護(hù)；并供應(yīng)NAT地址轉(zhuǎn)換、流量限制、用

戶認(rèn)證、IP與MAC綁定等平安增加措施。

2、VPN網(wǎng)關(guān)：虛擬專用網(wǎng)(VirtualPrivateNetwork,VPN)技術(shù)

以其敏捷、平安、經(jīng)濟(jì)、易擴(kuò)展的特點(diǎn)，可以提高溝通效率和資源利用效

率，建立成員單位與云平臺(tái)之間的具有保密性的網(wǎng)絡(luò)連接。能滿意遠(yuǎn)程管

理接入需求。設(shè)備支持VPN隧道數(shù)量和最大并發(fā)用戶數(shù)量滿意當(dāng)前維護(hù)

需求。

3、平安支援區(qū)域，建議建立平安支援區(qū)域，該區(qū)域完成全部平安設(shè)

備的網(wǎng)管工作，同進(jìn)可以放置防病毒系統(tǒng)、補(bǔ)丁管理系統(tǒng)等。

3.4、虛擬化設(shè)計(jì)

3.4.1、服務(wù)器虛擬化

服務(wù)器虛擬化產(chǎn)品的成熟度將對(duì)業(yè)務(wù)應(yīng)用運(yùn)行產(chǎn)生較大影響，因此本

期方案舉薦業(yè)內(nèi)知名的CitrixXenServer產(chǎn)品作為服務(wù)器虛擬化的落地

支撐。

XenServer是在云計(jì)算環(huán)境中經(jīng)過(guò)驗(yàn)證的企業(yè)級(jí)虛擬化平臺(tái)，可供應(yīng)

創(chuàng)建和管理虛擬基礎(chǔ)架構(gòu)所需的全部功能。它深得很多要求苛刻的企業(yè)信

任，被用于運(yùn)行最關(guān)鍵的應(yīng)用，而且被最大規(guī)模的云計(jì)算環(huán)境和xSP所

采納。XenServer：

通過(guò)整合服務(wù)器，降低電源、冷卻和數(shù)據(jù)中心空間需求來(lái)降低成本允

許在幾分鐘內(nèi)完成新服務(wù)器置備和IT服務(wù)交付，進(jìn)而提高IT敏捷性確保

可始終達(dá)到應(yīng)用要求和性能水平標(biāo)準(zhǔn)削減故障影響，防止災(zāi)難，進(jìn)而最大

限度地削減停機(jī)，免費(fèi)版XenServer配備有64位系統(tǒng)管理程序和集中

管理、實(shí)時(shí)遷移與轉(zhuǎn)換工具，可創(chuàng)建一個(gè)虛擬平臺(tái)來(lái)最大限度地提高虛擬

機(jī)密度和性能。Premium版XenServer擴(kuò)展了這一平臺(tái)，可幫助任何

規(guī)模的企業(yè)實(shí)現(xiàn)管理流程的集成和自動(dòng)化，是一種先進(jìn)的虛擬數(shù)據(jù)中心解

決方案。

通俗的理解：

XenServer是思杰公司(Citrix)推出的一款服務(wù)器虛擬化系統(tǒng)，強(qiáng)調(diào)

一下是服務(wù)器“虛擬化系統(tǒng)”而不是“軟件”，與傳統(tǒng)虛擬機(jī)類軟件不同

的是它無(wú)需底層原生操作系統(tǒng)的支持，也就是說(shuō)XenServer本身就具備

了操作系統(tǒng)的功能，是能干脆安裝在服務(wù)器上引導(dǎo)啟動(dòng)并運(yùn)行的?；?/p>

XenServer系統(tǒng)，可以將一臺(tái)性能強(qiáng)勁的服務(wù)劃分成多臺(tái)服務(wù)器，讓這些

服務(wù)器同時(shí)運(yùn)行供應(yīng)各種應(yīng)用服務(wù)，節(jié)約硬件投資也便利管理。

3.4.2.桌面虛擬化

云終端虛擬桌面是端到端一體化虛擬桌面解決方案，桌面云平臺(tái)將傳

統(tǒng)桌面PC虛擬化后托管在數(shù)據(jù)中心，每位人員通過(guò)一臺(tái)云終端訪問(wèn)桌面

與應(yīng)用。

3.4.2.1、桌面云平臺(tái)簡(jiǎn)介

桌面云平臺(tái)是中國(guó)首發(fā)的一體化企業(yè)級(jí)虛擬化平臺(tái)，它融合了企業(yè)級(jí)

的服務(wù)器和桌面虛擬化的功能和優(yōu)勢(shì)，通過(guò)統(tǒng)一的管理平臺(tái)全面管理位于

數(shù)據(jù)中心的物理和虛擬資源，用戶僅須要運(yùn)用價(jià)格低廉的云終端或傳統(tǒng)

PC就可以連接到數(shù)據(jù)中心中的Windows或Linux桌面，甚至是服務(wù)器

桌面，并獲得類本地PC的運(yùn)用體驗(yàn)。桌面云平臺(tái)為企業(yè)部署桌面云供

應(yīng)了所需的全部功能，它致力于幫助企業(yè)利用有限成本，最大化IT資源

的效率和利用率，最大限度幫助企業(yè)構(gòu)建最具敏捷性的基礎(chǔ)架構(gòu)平臺(tái)，幫

助管理員有效管理困難的企業(yè)桌面環(huán)境。

借助于桌面云平臺(tái)可以實(shí)現(xiàn)：

?統(tǒng)一管理：統(tǒng)一的web管理平臺(tái)實(shí)現(xiàn)對(duì)服務(wù)器和桌面虛擬化的統(tǒng)

一管理；

?高可用性：簡(jiǎn)潔配置即可實(shí)現(xiàn)虛擬莫面失效切換，提升桌面SLA

等級(jí)；

?在線遷移：讓虛擬桌面在不同物理服務(wù)器之間遷移，桌面應(yīng)用不中

斷；

?系統(tǒng)調(diào)度：策略式的系統(tǒng)調(diào)度策略使系統(tǒng)資源依據(jù)負(fù)載自動(dòng)進(jìn)行負(fù)

載均衡；

?節(jié)能管理：自定義策略降低電源和制冷開(kāi)銷(xiāo)，響應(yīng)國(guó)家綠色節(jié)能號(hào)

召；

?鏡像管理：創(chuàng)建、管理和供應(yīng)虛擬桌面鏡像，可實(shí)現(xiàn)大批量供應(yīng)桌

面；

?高級(jí)檢索功能：大規(guī)模桌面部署環(huán)境中的快速定位、簡(jiǎn)化管理；

?云端傳輸協(xié)議：優(yōu)化的網(wǎng)絡(luò)性能，供應(yīng)類本地PC的運(yùn)用體驗(yàn)。

3.4.2.L1、桌面云平臺(tái)架構(gòu)

桌面云平臺(tái)是一個(gè)一體化的企業(yè)級(jí)虛擬化平臺(tái)，主要由桌面云虛擬

化主機(jī)、桌面云管理平臺(tái)、桌面云連接協(xié)議套件三人核心組件組成，用戶

通過(guò)云端傳輸協(xié)議去連接虛擬服務(wù)器和桌面，并為用戶供應(yīng)一流的管理和

WebBrowserWebBrowser

CLIShellRESTAPI

AdministratorPortalUserPortal

DirectoryService

PostgreSQL

CTVP

orRDP

HypervisorHypervisor

運(yùn)用體驗(yàn)。其系統(tǒng)架構(gòu)與組件如下圖所示:

?桌面云虛擬化主機(jī)：簡(jiǎn)稱CTVN,以內(nèi)核虛擬機(jī)技術(shù)KVM為

基礎(chǔ)，是精簡(jiǎn)、平安、高效的虛擬基礎(chǔ)架構(gòu)平臺(tái)。

?桌面云管理平臺(tái)：簡(jiǎn)稱CTVM,是一個(gè)綜合性的統(tǒng)一web管理

限制臺(tái)，通過(guò)它可以查看和管理物理和虛擬化環(huán)境內(nèi)的全部組件和

資源，如物理的主機(jī)、存儲(chǔ)和網(wǎng)絡(luò)以與虛擬的模版、鏡像、虛擬機(jī),

同時(shí)能簡(jiǎn)潔通過(guò)此單一限制臺(tái)對(duì)虛擬化資源進(jìn)行綜合管理，如虛擬

桌面的全生命周期管理和限制、高級(jí)檢索、資源調(diào)度、電源管理、

負(fù)載均衡以與高可用和線遷移等功能。

?桌面云協(xié)議套件：簡(jiǎn)稱CTVP,它是一項(xiàng)高性能的遠(yuǎn)程網(wǎng)絡(luò)通

訊協(xié)議，為用戶通過(guò)云端傳輸協(xié)議訪問(wèn)虛擬桌面獲得一樣性的桌面

訪問(wèn)體驗(yàn)。

3.4.2.L2、桌面云平臺(tái)具有在線遷移、HA、數(shù)據(jù)備份等高級(jí)特性，可

保證整合后平臺(tái)的穩(wěn)定牢靠運(yùn)行。決數(shù)據(jù)平安問(wèn)題

?桌面和數(shù)據(jù)總是駐留在數(shù)據(jù)中心，終端只顯示影像，沒(méi)有任何實(shí)際

業(yè)務(wù)數(shù)據(jù)傳輸?shù)阶烂?/p>

?終端與數(shù)據(jù)中心之間的通訊和影像傳輸已加密且可控

?各虛擬桌面之間相互隔離，互不影響

?遠(yuǎn)程映射USB設(shè)備進(jìn)行管控和審計(jì)

?應(yīng)用安裝限制，上網(wǎng)行為限制，實(shí)現(xiàn)集中平安管控

?集中的病毒木馬防護(hù)，從數(shù)量較少的網(wǎng)關(guān)處限制互聯(lián)網(wǎng)平安

?統(tǒng)一的平安互聯(lián)網(wǎng)出口

3.4.2.2、基礎(chǔ)架構(gòu)提升數(shù)據(jù)的平安性

?底層平安性：虛擬OS托管在高平安性的Linux之上

?系統(tǒng)高可用性：通過(guò)集群動(dòng)態(tài)均衡技術(shù)和自動(dòng)遷移技術(shù)，在不影響

用戶運(yùn)用和數(shù)據(jù)牢靠的狀況下，允許1/3的服務(wù)器宕機(jī)

?高牢靠服務(wù)器，冗余電源與高效的散熱設(shè)計(jì)；多網(wǎng)卡配置供應(yīng)數(shù)據(jù)

傳輸冗余

?可用性達(dá)99.999%的存儲(chǔ)系統(tǒng)，限制器冗余，高級(jí)容災(zāi)備份，存

儲(chǔ)加密技術(shù)

3.4.2.3、集成的桌面平安管理特性

?平安準(zhǔn)入限制：未知終端準(zhǔn)入限制，終端用戶認(rèn)證管理，終端平安

準(zhǔn)入限制

?行為平安管控：閑聊行為，上網(wǎng)行為，網(wǎng)絡(luò)應(yīng)用運(yùn)用；OS操作行

為,文件操作，p2P下載

?桌面平安管理：資產(chǎn)管理，外設(shè)管理，終端加固；異樣監(jiān)控，違規(guī)

外聯(lián)

?數(shù)據(jù)平安管理：文檔信息加密，移動(dòng)介質(zhì)管理；數(shù)據(jù)平安銷(xiāo)毀，敏

感信息檢查；數(shù)據(jù)備份與復(fù)原

?平安審計(jì)管理：即時(shí)通訊審計(jì)，上網(wǎng)行為審計(jì)；郵件審計(jì)，OS與

文件操作審計(jì)；文件輸出審計(jì)

3.5、平安設(shè)計(jì)

本項(xiàng)目將以天云趨勢(shì)的平安產(chǎn)品作為平安支撐，天云趨勢(shì)服務(wù)器虛擬

平安解決方案針可對(duì)CitirxXenServer虛擬平臺(tái)供應(yīng)無(wú)代理的平安防護(hù)

措施，在每臺(tái)物理機(jī)中應(yīng)用一臺(tái)虛擬機(jī)安裝趨勢(shì)Elastershield的

virtualAppliance插件，就為每臺(tái)虛擬主機(jī)的多層次平安防護(hù)，包括：

防病毒功能、訪問(wèn)限制功能、虛擬補(bǔ)丁、攻擊防衛(wèi)、完整性監(jiān)控等。部署

Elastershield后模塊后，無(wú)需在虛擬主機(jī)操作系統(tǒng)中Agent程序就可以

實(shí)現(xiàn)基礎(chǔ)的多種防護(hù)功能。

?訪問(wèn)限制

傳統(tǒng)技術(shù)的防火墻技術(shù)常常以硬件形式存在，用于通過(guò)訪問(wèn)限制和平

安區(qū)域間的劃分，計(jì)算資源虛擬化后導(dǎo)致邊界模糊，很多的信息交換在虛

擬系統(tǒng)內(nèi)部就實(shí)現(xiàn)了，而傳統(tǒng)防火墻在物理網(wǎng)絡(luò)層供應(yīng)訪問(wèn)限制，如何在

虛擬系統(tǒng)內(nèi)部實(shí)現(xiàn)訪問(wèn)限制和病毒傳播抑制是虛擬系統(tǒng)面臨的最基本平

安問(wèn)題。

天云趨勢(shì)Elastershield防火墻供應(yīng)全面基于狀態(tài)檢測(cè)細(xì)粒度的訪

問(wèn)限制功能，可以實(shí)現(xiàn)針對(duì)虛擬交換機(jī)基于網(wǎng)口的訪問(wèn)限制和虛擬系統(tǒng)之

間的區(qū)域邏輯隔離。Elastershield的防火墻同時(shí)支持各種泛洪攻擊的識(shí)

別和攔截。

?入侵檢測(cè)/防護(hù)

同時(shí)在主機(jī)和網(wǎng)絡(luò)層面進(jìn)行入侵監(jiān)測(cè)和預(yù)防，是當(dāng)今信息平安基礎(chǔ)設(shè)

施建設(shè)的主要內(nèi)容。然而，隨著虛擬化技術(shù)的出現(xiàn)，很多平安專家意識(shí)到,

傳統(tǒng)的入侵監(jiān)測(cè)工具可能沒(méi)法融入或運(yùn)行在虛擬化的網(wǎng)絡(luò)或系統(tǒng)中，像它

們?cè)趥鹘y(tǒng)企業(yè)網(wǎng)絡(luò)系統(tǒng)中所做的那樣。

天云趨勢(shì)Elastershield可以對(duì)系統(tǒng)交換機(jī)或端口組進(jìn)行管理，這時(shí)

虛擬的IDS傳感器能夠感知在同一虛擬段上的網(wǎng)絡(luò)流量。Elastershield

除了供應(yīng)傳統(tǒng)IDS/IPS系統(tǒng)功能外，還供應(yīng)虛擬環(huán)境中基于政策的

(policy-based)監(jiān)控和分析工具，使Elastershield更精確的流量監(jiān)控、

分析和訪問(wèn)限制，還能分析網(wǎng)絡(luò)行為，為虛擬網(wǎng)絡(luò)供應(yīng)更高的平安性。

天云趨勢(shì)Elastershield利用虛擬機(jī)在虛擬系統(tǒng)中占用更少的資源，

避開(kāi)過(guò)度消耗宿主機(jī)的硬件實(shí)力。

?虛擬補(bǔ)丁防護(hù)

隨著新的漏洞不斷出現(xiàn)，很多公司在為系統(tǒng)打補(bǔ)丁上疲于應(yīng)付，等待

安裝重要平安補(bǔ)丁的維護(hù)時(shí)段可能是一段艱難的時(shí)期。另外，操作系統(tǒng)與

應(yīng)用廠商針對(duì)一些版本不供應(yīng)漏洞的補(bǔ)丁，或者發(fā)布補(bǔ)丁的時(shí)間嚴(yán)峻滯

后，還有最重要的是，假如IT人員的配備不足，時(shí)間又不充裕，那么系

統(tǒng)在審查、測(cè)試和安裝官方補(bǔ)丁更新期間很簡(jiǎn)潔陷入風(fēng)險(xiǎn)。

天云趨勢(shì)Elastershield通過(guò)虛擬補(bǔ)丁技術(shù)完全可以解決由于補(bǔ)丁導(dǎo)

致的問(wèn)題，通過(guò)在虛擬系統(tǒng)的接口對(duì)虛擬機(jī)系統(tǒng)進(jìn)行評(píng)估，并可以自動(dòng)對(duì)

每個(gè)虛擬主機(jī)供應(yīng)全面的漏洞修補(bǔ)功能，在操作系統(tǒng)在沒(méi)有安裝補(bǔ)丁程序

之前，供應(yīng)針對(duì)漏洞攻擊的攔截。天云趨勢(shì)Elastershield的虛擬補(bǔ)丁功

能既不須要停機(jī)安裝，也不須要進(jìn)行廣泛的應(yīng)用程序測(cè)試。此集成包可以

為IT人員節(jié)約大量時(shí)間。在平安管理平安域中建立平安管理中心，是有

效幫助管理人員實(shí)施好平安措施的重要保障，是實(shí)現(xiàn)業(yè)務(wù)穩(wěn)定運(yùn)行、長(zhǎng)治

久安的基礎(chǔ)。通過(guò)平安管理中心的建設(shè)，真正實(shí)現(xiàn)平安技術(shù)層面和管理層

面的結(jié)合，全面提升用戶網(wǎng)絡(luò)的信息平安保障實(shí)力。

3.6、計(jì)算資源池設(shè)計(jì)

3.6.1.計(jì)算資源池技術(shù)路途

計(jì)算資源池承載私有云中的全部業(yè)務(wù)系統(tǒng)的計(jì)算需求，在進(jìn)行計(jì)算資

源池設(shè)計(jì)時(shí)，須要留意的兩點(diǎn)：

1.依據(jù)先進(jìn)可用的原則，既要保證整個(gè)計(jì)算平臺(tái)的運(yùn)行穩(wěn)定，又不能

過(guò)多的追求高性能，要做到合理選型，合理安排。

2.盡量的利舊，現(xiàn)有可用資源可以依據(jù)后續(xù)須要設(shè)計(jì)到整個(gè)計(jì)算平臺(tái)

中，防止奢侈。

在服務(wù)器選型方面要符合以下幾方面的要求：牢靠性、可用性、可擴(kuò)

展性、易用性、可管理性。

牢靠性

衡量服務(wù)器牢靠性的主要指標(biāo)是平均失效間隔，發(fā)生故障時(shí)間越少，

服務(wù)器的牢靠性越高。對(duì)于牢靠性要求很高的業(yè)務(wù)來(lái)說(shuō)，即使是短暫的系

統(tǒng)故障也會(huì)造成難以挽回的損失，所以在服務(wù)器的選擇上，牢靠性為一項(xiàng)

重要的衡量指標(biāo)。

可用性

可用性是通過(guò)系統(tǒng)的牢靠性和可管理性等一些指標(biāo)來(lái)度量的。通常用

平均無(wú)故障時(shí)間來(lái)度量系統(tǒng)的牢靠性，用平均修理時(shí)間來(lái)度量系統(tǒng)