云计算平台设计方案和对策.pdf

资源描述

《云计算平台设计方案和对策.pdf》由会员分享，可在线阅读，更多相关《云计算平台设计方案和对策.pdf（78页珍藏版）》请在三一文库上搜索。

1、国家质检中心郑州综合检测基地云计算平台建设项目（招标编号：豫财招标采购-2015-112 ）云计算平台设计方案二一五年二月目录第一章项目概述与背景 6 第二章现状与需求分析 7 2.1各业务系统现状 7 2.2.本期项目主要需求 11 2.2.1 整体需求分析 11 2.2.2 云计算平台需求分析 . 12 2.2.3 备份需求分析 12 2.2.4 绿色数据中心需求分析 . 12 2.2.5 质保需求 . 13 第三章设计原则与目标 . 13 3.1设计原则 13 3.2 建设目标 . 15 第四章质监云计算平台设计 . 17 4.1总体设计思想 . 17 4.2 总体架构设计

2、 18 4.3 计算虚拟化 21 4.4 网络虚拟化 21 4.5 存储虚拟化 . 26 4.5.1应用存储系统 26 4.5.2 数据存储系统 . 29 4.6 云资源自动调度设计 30 4.7 河南省质监局云计算平台架构图. 31 第五章质监政务云安全设计 32 5.1云安全需求分析 32 5.2 云安全架构设计 . 33 5.3 云计算物理层安全 34 5.4 虚拟化资源层安全 34 5.5IaaS 服务层安全 35 5.6 二层安全隔离技术 36 5.7 应用层数据安全 . 36 5.8 安全运维体系设计 37 第六章云业务管理平台设计 39 6.1云主机服务 41 6.2 云存储服务

3、 41 6.3 云数据库服务 . 43 6.4 云防火墙服务 . 43 第七章综合运维管理平台设计 . 45 7.1定制首页 . 46 7.2 三维机房 47 7.3 大屏幕展示 . 47 7.4 大屏展示（可按需定制）. 48 7.5 手机/PAD 桌面管理 . 48 7.6 远程手机 /PAD 客户管理 49 7.7 与第三方机房环境系统联动 . 50 7.8 虚拟网络管理 . 50 第八章业务系统迁移方案设计 . 52 8.1业务系统上线迁移方案. 52 8.1.1虚拟化迁移信息调研 . 53 8.1.2 迁移方式选择 . 53 8.1.3迁移工具选择 . 54 8.1.4CPU资源规划

4、 54 8.1.5内存资源规划 . 55 8.1.6存储资源规划 . 55 8.1.7迁移实施计划 56 8.1.8业务迁移流程 . 56 8.1.9业务迁移详细步骤 57 8.1.10迁移实施注意事项 . 57 8.2 业务系统上线后迁移方案. 58 8.2.1 虚拟机的动态迁移 58 8.2.2 虚拟网络的策略及安全配置. 59 8.2.3 基于 IEEE 802.1Qbg 国际标准的迁移方案 59 8.3 虚拟机迁移模式分析及注意事项 62 8.3.1动态迁移 . 62 8.3.2 手工迁移 63 第九章统一基础架构方案优势 . 64 9.1全虚拟化、统一管理 . 64 9.2 高度集成

5、、化繁为简 64 9.3 基础架构深度融合 65 9.4 一站式运维 . 65 9.5 加速部署及整体交付 65 第十章主要设备清单 . 66 第十一章主要设备介绍 67 11.1应用服务器（刀片式） 67 11.2应用存储系统 68 11.3数据库服务器 69 11.4虚拟化管理平台 . 70 11.5云业务管理平台 71 11.6自动资源调度网关 . 72 11.7综合运维管理平台 . 73 11.8数据存储系统 74 第一章项目概述与背景河南省质量技术监督局（以下简称“省局”），为省政府主管标准化、计量、质量工作并行使执法监督职能的直属机构（正厅级）。截止 2013 年底，全省共有

6、18个省辖市、 10个省直管县（市）、 98 个县（市）、50 个市辖区、 15 个经济技术开发区、4 个高新技术产业开发区及黄泛区、郑州航空港区设置了质量技术监督局。各省辖市设有质量技术监督稽查大队、质量技术监督检验测试中心，除郑州市外，其他省辖市还设有特种设备安全检测中心、纤维检验所。各县（市、区）设有质量技术监督稽查队。各县（市）设有质量技术监督检验测试中心。为满足省局各类业务系统及应用的不断扩展及延伸，规划并新建了河南省质监局云数据中心平台，为省局各类应用业务系统的正常运行打造一个稳定、可靠、安全的基础承载平台。传统云计算数据中心建设往往采用多厂商设备硬件堆砌的方式组网，

7、各厂商及各类型的设备之间通过繁杂的线缆连接，成本较高且维护困难。同时传统情况下服务器的利用率长期保持在 20% 以下，各设备间分开供电与散热，带来了大量的空间、电力、能耗等方面的浪费。为了降低云计算数据中心的硬件成本和管理难度，对大量的IT 硬件基础资源进行整合成了必然的趋势。基于此，河南省质监局拟建设一个功能完备、可扩展、可管理的融合基础架构（或称为“统一基础架构”）云数据中心。统一基础架构系统通过在一个机箱中集成了服务器、存储、网络、虚拟化软件等设备，大大提高了服务器的利用率，减少了空间、电力、能耗等方面的消费。经测试统计得出，采用融合基础架构设备，可以提升至少3 倍的服务器

8、利用率，降低至少 75%的空间占用，减少至少27% 的电力消耗，降低初始购买和后期运维成本。第二章现状与需求分析河南省质监局业务系统目前有省局各处室业务系统、12 个二级机构检验检测平台等业务系统，已经建设的业务系统约30 余类。河南省质监局在此阶段取得了非常可喜的成果。在基础设施和应用系统建设方面取得了较大的成绩，但是目前仍然存在各部门数据分散建设的问题，资源的部署方式也是按照应用进行物理的切分，各业务系统独立建设。 2.1各业务系统现状序号单位业务系统硬件支撑平台数据库环境目前己购买空间（ GB）己使用硬盘空间（GB ）预计每年增加量（GB ）购买

9、日期备注一目前正常运行系统 1 省局协同办公系统 2 台应用服务器（2.0GHz CPU 、 32GB 内存）； 2 台数据库服务器； 1台存储设备 Oracle 300GB*2 30GB 10GB 2009 内网 2 省局财务直报系统 1台服务器Oracle 300GB*2 5GB 1GB 2009 内网 3 省局12365系统 2 台应用服务器， 2 台数据库服务器（小机） Oracle 300GB*2 50GB 10GB 2009 外网 4 省局特种设备安全监察系统 4 台服务器Oracle 300GB*2 10GB 5GB 2009 外网 5 省局河

10、南省认证认可监管系统 2 台服务器（1台 16G内存； 1台 32G 内存） SQL Server 300GB*1 300GB*1 500M 100M 2008 外网 6 省局行政许可网上审批 6 台服务器（暂不部署，等待总局安排） Oracle 300GB*2 10GB 5GB 2009 外网 7 省局网站后台管理系统 2 台应用服务器； 2 台数据库服务器； 2 台存储设备 Oracle 300GB*6 500GB*7 1TB*1 160GB 40GB 2009 外网 8 标准院河南标准信息服务网 2 台服务器（1台 2.5GHz CPU 、 4G 内存；

11、1台 2.13GHz CPU 、1 台 16G内存） Oracle 1TB 100GB 5GB 2009 外网 9 标准院河南标准信息动态管理系统 2 台服务器（1台 2.5GHz CPU 、 4G 内存； 1台 2.13GHz CPU 、1 台 16G内存） Oracle 1TB 70GB 3GB 2009 外网 10 标准院车载气瓶监督、管理 1台服务器（ 16G 内存） SQL Server 300GB*3 20GB 10GB 2009 外网 11 计量科学院综合管理系统 1台服务器（ 16G 内存） SQL Server 300GB*6 300GB 30GB 20

12、06 外网 12 计量科学院计量科技创新平台 1台服务器（ 16G 内存） MySQL 300GB*6 300GB 30GB 2013 外网 13 特检院特种设备动态监管系统 2 台服务器（均为双核 2.2GHz CPU、 32G 内存） MySQL 1.5TB 50GB 10GB 2008 外网 14 特检院从业人员考试系统 1台服务器MySQL 120GB 30GB 2GB 2008 外网 15 特检院奥索软件系统 1台服务器MySQL 120GB 30GB 1GB 2008 外网 16 特检院特种设备从业人员管理系统 1台服务器MySQL 1.5TB

13、50GB 2GB 2008 外网 17 特检院私有云存储系统 1台服务器MySQL 1.5TB 10GB 100GB 2008 外网 18 纤维检验局统领 LIMS 系统 1台服务器（2.4GHz CPU ） SQL Server 500GB*4 30GB 10GB 2008 外网 19 产品质量监督检验院标准资料管理系统 1台服务器（2.0GHz CPU 、 8G 内存） SQL Server 300GB 1GB 200MB 2007 外网 20 产品质量监督检验院信息共享平台系统 1台服务器（1.6GHz CPU、 4G 内存） SQL Server

14、 150GB 1GB 200MB 2007 外网 21 稽查总指挥平台系3 台服务器- 1.5TB - - 2005 外队统网 22 组织机构代码中心代码 BS 业务系统 1台服务器（两路 CPU、 32G 内存） SQL Server 300GB*4 5GB 1GB 2008 外网 23 组织机构代码中心代码数字档案系统 1台服务器（四路 CPU、 32G 内存） SQL Server 300GB*4 10TB 存储 3TB 600MB 2008 外网 24 组织机构代码中心代码信息扩展库系统 1台服务器（四路 CPU、16G内存） SQL Server 3

15、00GB*3 10GB 2GB 2008 外网 25 组织机构代码中心河南组织机构信息网 1台服务器（ 16G 内存） SQL Server 300GB*4 10GB 2GB 2008 外网 26 组织机构代码中心河南法人网 1台服务器（ 16G 内存） SQL Server 300GB*4 20GB 4GB 2008 外网 27 锅检院检测报告统计管理系统 2 台服务器（ 8 核 CPU） SQL Server 300GB*3 30GB 30GB 2008 外网 28 锅检院检测报告出具系统 2 台服务器（ 4 核 CPU、4GB 内存） SQL Server

16、 140GB 20GB 20GB 2008 外网 29 锅检院办公自动化系统 2 台服务器MySQL 300GB*3 50GB 50GB 2008 外网二未来 3-5 年计划开发系统 30 产品质量监督检验院工业品生产企业动态监管系统 2 台服务器（ 8 核 CPU、16G内存） Oracle - - 200GB 外网 31 产品质量监督检验院工业品生产许可证企业审核及审查员管理系统 1台服务器（ 16G 内存） SQL Server - - 2GB 外网 32 特检院办公自动化系统 1台服务器（ 16G 内存） MySQL - - 30GB 外网

17、33 特检院公众服务平台 1台服务器（ 16G 内存） MySQL - - 10GB 外网 34 纤维检验局检测业务远程受理及查询系统 1台服务器（ 16G 内存） SQL Server - - 50GB 外网 35 稽查总队办公自动化系统 2 台服务器（16G 内存） MySQL - - 20GB 外网 36 组织机构代码中心民用气瓶监管系统 2 台服务器（16G 内存） SQL Server - - 10GB 外网这种部署方式存在以下风险和挑战：数据部署分散河南省质监局目前各应用系统均采用物理硬件独立部署，增加了管理的复杂度，导致各系统成为信息

18、孤岛，不能即时共享信息。同时由于历史原因，应用系统采用的数据库系统包括 ORACLE 、SQL SERVER、MY SQL 等，且涵盖各数据库不同时期的版本，数据无法集中管理，综合利用率不高，同时维护人员工作强度加大。硬件设备老化河南省质监局目前各应用系统物理设备投入使用年限过长，多数服务器存储设备已在线达 5 年之久，部分设备已在线3 年,设备老化已经影响了业务系统的处理能力且无法满足现有业务的发展。资源利用率低由于应用与资源绑定，每个应用都需要按照其峰值业务量进行资源的配置，这导致在大部分时间许多资源都处于闲置状态，再考虑资源是分布在多个部门的多个软硬件平台中，资源闲置水平

19、可能更高，这对资源的共享、后期数据的整合与挖掘造成了天然的障碍。运维成本高由于每个部门都建立自己的应用系统，采用专用的服务器、网络、操作系统、数据库、存储等软硬件系统，这必然导致某种程度的重复建设，都需要一定的场地投入、机柜投入、制冷设备投入、硬件投入、运营人员投入，不利于进行规模化的运维，无法通过提高运维效率降低成本。安全配套不足现有的安全防御系统主要实现在物理服务器的场景，无法满足业务系统虚拟化后的场景，即各业务系统（虚拟机）之间、虚拟化管理平台以及云管理平台的安全防御需求，无法实现应用层安全防御。运行风险高从政策法规的角度看，政府对于每个单位的数据中心、每个电子

20、政务应用的安全性与合规性都有着明确的要求。为了满足这些要求，运维人员需要进行大量的工作以保证符合要求，但对于数量和业务众多的各部门来说，这一目标很难实现。运维人员在技术水平、工作效率上都存在差异，硬件条件也有很大区别，因此，每个部门的业务系统都需要单独进行安全性上的设计、备份策略的准备、灾备的考虑等等。这不仅造成重复的工作，还可能导致最终的实施结果存在很大差别，从而带来了各种的风险。业务部署流程环节多、上线周期长随着企业的发展，不断需要上线新的业务，就需要购置新的服务器；购置服务器和部署业务系统需要计划部门和采购部门、维护部门等相关部门的参与，各个部门的进度和流程不一致，经常

21、导致业务部署流程环节多、上线周期长。另外，随着业务规模的不断扩展和延伸，目前的数据中心承载着各类关键业务、核心应用，信息数据的完整性、业务运行的可靠性、网络系统的可用性越来越重要。目前虽然已采取了存储备份、硬盘备份、双机热备、光盘刻录等措施，预防数据受损或丢失，但是由于尚未开展异地容灾备份，如果数据中心因误操作或设备故障等原因会造成数据丢失、系统瘫痪，将会影响正常的运转秩序，更为严重的是，一旦遇有机房断电、火灾等灾难性事件，将有可能丢失全部业务数据。突发灾难事件对信息系统造成的破坏，不仅会造成无可挽回的经济损失，还将严重影响全省经济的快速发展和社会的和谐稳定。 2.2.本期项目主

22、要需求 2.2.1 整体需求分析针对河南质监局IT 现状、新业务的发展需求以及未来的业务建设规划，需要新建云数据中心，把目前的业务系统整合迁移到云平台上，新规划的业务直接部署到云平台上，同时根据省质检业务的发展，预计年业务增长率为5%，预留 3 年规划所需15%的资源。需要把适合云化的现有业务系统迁移到云平台上，业务服务器采用虚拟机部署。业务系统迁移时，需要提供专业的业务迁移服务，尽可能保证业务的连续性，减少业务中断时间。对于计划新上线的业务系统，优先选择在云平台上部署。要求虚拟化组网，组成虚拟企业数据中心，需要对内外网划分DMZ 区域。建立从防火墙到病毒防护、数据备份的端到端安

23、全机制。 2.2.2 云计算平台需求分析虚拟化管理平台：目前河南省质监局大部分业务系统部署在独立的硬件设备，物理服务器出现故障会影响业务系统的运行，此次采用虚拟化平台将会对计算资源、存储资源进行池化，业务系统按需从资源池获取所需的计算及存储资源的同时，也通过虚拟化平台的HA、DRS、热迁移等特性，保障业务系统的持续性运行。对于已经在在物理服务器部署的业务系统，通过P2V 转换工具，实现将现有业务系统无损迁移到虚拟化平台。云业务管理平台：河南省质监局每个部门对于IT 资源有不同的需求，若各部门的IT 系统都由质监局信息中心手工干预下完成则大幅度增加了维护人员的难度，采用云业务管理

24、平台可以实现云服务自动化、服务/ 网络 / 存储自动化，各部门负责人可以通过WEB 页面独立完成所需 IT 资源部署。 2.2.3 备份需求分析在业务系统整合完毕后，所有业务系统已经实现高可靠以及自动化部署，由于数据的集中，单一的存储设备已经成为影响云计算平台稳定性的因素，对于存储的备份变的尤为迫切。本次采用快照+ 同步远程复制将业务系统数据实时同步到备用存储。本次存储设备配置两台相同存储，采用主备方式运行，一旦主用存储出现故障，由人工进行存储主备切换，切换时间小于10分钟。 2.2.4 绿色数据中心需求分析通过数据中心虚拟化，明显提高资源复用率，控制和减少物理设备的数量；云平台

25、易扩展、设备易替换，根据应用系统的负荷自动进行服务器上电重载分离、服务器下电轻载合并改善 IT 资源利用率，能够有效地实现节能减排。从而降低硬件成本，有效降低总体拥有成本（TCO ）、提高投资回报率（ROI）。 2.2.5 质保需求云计算平台建设整体免费质保时间三年以上。第三章设计原则与目标 3.1设计原则先进性广泛采用虚拟化、自动化调配等先进技术与模式，确保先进技术与应用模式的有效与适用。数据中心云平台的建设与业界流行的虚拟化理念是一致的。应将虚拟化的技术先进性和理念先进性体现在云数据中心这一具体的项目上，突出虚拟化带来的价值。可扩展性数据中心云平台支持资源应能根据业

26、务应用工作负荷需求进行伸缩，这样性能及与服务水平的符合性就保持适当。应用程序及其数据松散耦合，以使可扩展性最大化。在系统进行容量扩展时，只需增加相应数量的硬件设备，并在其上部署相应的资源调度管理软件和业务应用软件，即可实现系统扩展。成熟性整个数据中心云平台建设，要充分体现系统的成熟性。要考虑采用成熟的各种技术手段，实现各种功能，满足相关部门的业务要求。开放性与兼容性数据中心云平台采用兼容业界通用的服务器，并能够兼容主流的操作系统，虚拟化软件，以及应用程序，降低使用、管理、维护等成本。可靠性数据中心平台作为承载未来我厅信息系统的重要IT 基础设施，承担着稳定运行和业务创新

27、的重任。因此平台的建设从基础资源池（计算、存储、网络）、虚拟化平台、云平台等多个层面充分考虑业务的高可用，基础单元出现故障后业务应用能够迅速进行切换与迁移，用户无感知，保证业务的连续性。安全性云数据中心与省电子政务内网、国土资源部分别连接，必须防范网络入侵攻击、病毒感染。因此，数据中心云平台应该在各个层面进行完善的安全防护，确保信息的安全和私密性。统一管理与自动化虚拟化数据中心平台的最终目标是要实现系统的按需运营，多种服务的开通，而这依赖于对计算、存储、网络资源的调度和分配，同时提供用户管理、组织管理、工作流管理等。从业务部门 IT 资源的申请、审批到分配部署的智能化。管理系

28、统不仅要实现对传统的物理资源和新的虚拟资源进行管理，还要从全局而非割裂地管理资源，因此统一管理与自动化将成为必然趋势。标准规范化原则标准化、规范化建设虚拟化数据中心平台，是应用系统实现互联互通、信息共享、业务协同、安全可靠的前提。标准化就是要建立相关的标准规范，标准规范地建设国土厅云数据中心的全过程，在整个平台建设、运维过程中，将依据国际、国内相关标准，避免采用私有的协议与标准而导致厂商锁定以及互通困难。同时通过遵循统一的标准、实现资源共享、业务协同、安全可靠运转奠定坚实的基础。开放接口传统的管理系统与上层系统对接，注重故障的上报和信息的查询。而虚拟化的管理系统更关注如何

29、实现自动化的部署，在接口方面更关注资源调度和分配，这就需要管理系统在业务调度方面实现开放。为保证服务器、存储、网络等资源能够被虚拟化运营平台良好的调度与管理，要求系统提供开放的API 接口，虚拟化运营管理平台能够通过API 接口、命令行脚本实现对设备的配置与策略下发联动。同时云平台也提供开放的API 接口，未来可以在这些接口的基础上进行二次定制开放，实现面向虚拟化的数据中心管理平台。 3.2 建设目标河南省质监局云计算平台建设采取逐步整合、分期建设的思路：资源整合：针对河南省质监局目前IT 现状，投入新的IT 设备，建立计算资源池、存储资源池，将原有业务、新业务系统逐步整合、迁移

30、到新的虚拟化平台。所有业务系统按需动态从计算资源池中获取所需的资源，保障业务系统的运行。预计在2015 年实现将所有业务迁移到虚拟化平台，并将老设备逐步替换、淘汰完毕实现所有资源的整合。自动化运维：所有资源整合到虚拟化平台以后，在虚拟化平台之上建立云计算平台，实现 IT 资源的自动化运维、简化IT 人员管理维护难度（业务部署自动化）、简化 IT 部署流程、缩短 IT 业务的部署时间。数据分析平台：在一系列资源整合，业务、数据实现集中部署之后，建设数据分析平台，对现有数据进行挖掘、分析、预测，即时发现有问题的数据并采取相关手段防范。第四章质监云计算平台设计 4.1总体设计思想传统云

31、计算数据中心建设往往采用多厂商设备硬件堆砌的方式组网，各厂商及各类型的设备之间通过繁杂的线缆连接，成本较高且维护困难。同时传统情况下服务器的利用率长期保持在 20% 以下，各设备间分开供电与散热，带来了大量的空间、电力、能耗等方面的浪费。本次将采用H3C UIS8000 统一基础架构系统构建省质监局一体化云计算平台，通过将计算、网络、存储访问和虚拟化统一到一个综合的系统中，进行集中管理，并采用具有国内自主研发的 H3C CAS 虚拟化管理平台、H3C CSM 云业务管理平台中等进行资源调度和分配，提升信息化管理水平。示意图如下：图 4- 1 传统架构与云计算架构对比示意图 H3C

32、 UIS8000 统一基础架构机框内融合了多款刀片服务器、大容量存储、高性能网络设备、 FC/FCOE协议交换机等组件，通过计算虚拟化、网络虚拟化、存储虚拟化技术进行基础资源整合，同时利用自动调度网关和统一的云管理平台，实现资源的按需扩展和自动调度，提供统一融合架构的大规模云计算数据中心，加快业务部署、提升管理能力。另外，在硬件配置上，机箱系统应采用双管理模块、冗余电源、冗余风扇及冗余的网络交换模块，采用智能阵列控制器，支持写高速缓存FBWC ，采用智能硬盘托架，并支持多种热插拔 SAS、 SATA SSD 和 SATA SSD 硬盘选择；同时内置智能供应功能，满足系统快速实现所有

33、固件、驱动程序的部署和升级，无需CD 或 DVD，提高管理效率。 4.2 总体架构设计河南省质监局目前仍采用传统的IT 部署架构，即“烟囱式 ”的，或者叫做“专机专用 ”系统架构。图 4- 2 传统 IT 架构示意图在这种架构中，新的应用系统上线的时候需要分析该应用系统的资源需求，确定基础架构所需的计算、存储、网络等设备规格和数量，这种部署模式主要存在的问题有以下两点：硬件高配低用：考虑到应用系统未来35 年的业务发展，以及业务突发的需求，为满足应用系统的性能、容量承载需求，往往在选择计算、存储和网络等硬件设备的配置时会留有一定比例的余量。但硬件资源上线后，应用系统在一定时间

34、内的负载并不会太高，使得较高配置的硬件设备利用率不高。整合困难：用户在实际使用中也注意到了资源利用率不高的情形，当需要上线新的应用系统时，会优先考虑部署在既有的基础架构上。但因为不同的应用系统所需的运行环境、对资源的抢占会有很大的差异，更重要的是考虑到可靠性、稳定性、运维管理问题，将新、旧应用系统整合在一套基础架构上的难度非常大，更多的用户往往选择新增与应用系统配套的计算、存储和网络等硬件设备。这种部署模式，造成了每套硬件与所承载应用系统的“专机专用 ”，多套硬件和应用系统构成了 “烟囱式 ”部署架构，使得整体资源利用率不高，占用过多的机房空间和能源，随着应用系统的增多，I

35、T 资源的效率、扩展性、可管理性都面临很大的挑战。统一基础架构的引入有效解决了传统基础架构的问题。能够改善数据中心环境，令管理人员可以专注于管理和创新，使科技成为改变业务的关键所在。共享服务池可在运行中随时调用，提高业务环境的灵活性，加速实现应用程序的价值。融合基础设施充分利用现有的技术投资，消除数据中心的技术设备冗积问题，化繁为简。通过统一的管理，所有资产都成为资源池的一部分，能够分割、组合、变化，动态适应任何业务、负载或应用的需求。这些资源的使用也经过优化，能够提高利用率，降低使用能耗和成本。从而更好的为应用系统的上线、部署和运维提供支撑，提升效率，降低TCO。统一基础架构

36、在传统基础架构计算、存储、网络硬件层的基础上，增加了虚拟化层、云层：图 4- 3 云计算架构示意图虚拟化层：大多数统一基础架构都广泛采用虚拟化技术，包括计算虚拟化、存储虚拟化、网络虚拟化等。通过虚拟化层，屏蔽了硬件层自身的差异和复杂度，向上呈现为标准化、可灵活扩展和收缩、弹性的虚拟化资源池；云层：对资源池进行调配、组合，根据应用系统的需要自动生成、扩展所需的硬件资源，将更多的应用系统通过流程化、自动化部署和管理，提升IT 效率。相对于传统基础架构，统一基础架构通过虚拟化整合与自动化，应用系统共享基础架构资源池，实现高利用率、高可用性、低成本、低能耗，并且通过云平台层的自动

37、化管理，实现快速部署、易于扩展、智能管理，帮助用户构建基础架构即服务的云服务平台。云业务管理平台是整个河南省质监政务云后台的管理、调度、运维中心。基于Openstack 平台的商业化云服务平台，在继承原有架构灵活、扩展性强、开放性和兼容度高的基础上，产品稳定性和可靠性大大增强。基于租户到应用的端到端的云服务配置和管理，将用户申请的服务组装成服务链，统一管理和配置。通过对租户的分级管理，实现了云多级资源分配的要求，通过定制个性化的审批流程，使得服务的申请更符合某些特殊业务的多级审批要求。通过对服务链的健康状态的整体监控和评分，对每个租户的总体服务质量有全面的把握和管理。下面将从计算

38、虚拟化、网络虚拟化、存储虚拟化以及基础资源自动调度、云安全和云业务管理平台层面，进行详细的规划设计，实现如下图的业务逻辑：图 4- 4 河南省质监云业务流程逻辑示意图 4.3 计算虚拟化业界主流的四类计算资源虚拟化平台，其中Vmware公司的 ESX/ESXi平台和微软公司的 Hyper-V平台属于私有技术，开放性较差。图 4- 5 业界虚拟化平台对比示意图 XEN 和 KVM 同属于开源平台，更加符合目前软件行业趋于开源的整体发展方向，在云数据中心建设部署时被选用的也相对更多。本次统一基础架构中配置的虚拟化软件H3C CAS 虚拟化管理平台，同样是基于KVM 平台并具有国内自主

39、知识产权，在投标文件商务部分提供了加盖H3C 公章的国家版权局的计算软件著作权证书。 4.4 网络虚拟化根据本次业务系统的需求，在性能及安全上有非常高的要求，因此需要在统一基础架构系统前端配置汇聚交换机，为保证系统可靠性，建议采用虚拟化组网，其技术原理是将多台物理设备虚拟为一台逻辑设备，多台设备之间互为备份、负载分担，与其它设备之间采用跨设备链路聚合互联，并且共用一个管理IP、一张转发表和路由表，设备/ 链路 / 接口带宽利用率达到 100%，不仅消除了单点故障、避免了业务中断，同时提高了资源利用率、简化了管理、提升了运营效率。如下图所示：图 4- 6 传统组网与虚拟化组网对比示

40、意图在传统的数据中心网络安全部署时，往往是网络与安全各自为战，在网络边界或关键节点串接安全设备(如 FW 防火墙、 IPS入侵防御、 LB 负载均衡等 )。随着数据中心部署的安全设备的种类和数量也越来越多，这将导致数据中心机房布线、空间、能耗、运维管理等成本越来越高。可以采用在汇聚交换机的业务槽位中安装安全插卡的方式，实现各安全功能的叠加，其通过交换机背板互连实现流量转发，共用交换机电源、风扇等基础部件。融合部署除了简化机房布线、节省机架空间、简化管理之外，还具备以下优点：互连带宽高。安全插卡采用背板总线与交换机进行互连，背板总线带宽一般可超过 40Gbps，相比传统的独立安

41、全设备采用普通千兆以太网接口进行互连，在互连带宽上有了很大的提升，而且无需增加布线、光纤和光模块成本。业务接口灵活。安全插卡上不对外提供业务接口（仅提供配置管理接口），当交换机上插有安全插卡时，交换机上原有的所有业务接口均可配置为安全业务接口。此时再也无需担心安全业务接口不够而带来网络安全部署的局限性。性能平滑扩展。当一台交换机上的一块安全插卡的性能不够时，可以再插入一块或多块插卡实现性能的平滑叠加。而且所有插卡均支持热插拔，在进行扩展时无需停机中断现有的业务。因此，建议在核心交换机（本次项目不涉及）上增加硬件防火墙业务模块，以实现安全防御的需求。另外，由于统一基础

42、架构系统中的计算资源模块需要通过刀片交换机与汇聚交换机互联，因此刀片交换机的性能及可靠性尤为重要，建议配置两片并通过虚拟化技术组网，与两台核心交换机之间进行万兆双链路跨设备链路聚合组网。图 4- 7 刀片交换机虚拟化组网示意图计算虚拟化技术的出现使得计算服务提供不再以主机为基础，而是以虚拟机为单位来提供，同时为了满足同一物理服务器内虚拟机之间的数据交换需求，服务器内部引入了网络功能部件虚拟交换机vSwitch （Virtual Switch），如下图所示，虚拟交换机提供了虚拟机之间、虚拟机与外部网络之间的通讯能力。IEEE 的 802.1 标准中，正式将“虚拟交换机”命名为“Vi

43、rtual Ethernet Bridge”，简称VEB ，或称 vSwitch 。邻接交换机物理服务器 App VM App VM App VM App VM App VM App VM 软件 VEB （亦称为 vSwitch）1 2 3 图 4- 8 vSwitch 逻辑架构示意图 vSwitch的引入，给云计算数据中心的运行带来了以下两大问题：网络界面的模糊主机内分布着大量的网络功能部件vSwitch ，这些 vSwitch 的运行、部署为主机操作与维护人员增加了巨大的额外工作量，在云计算数据中心通常由主机操作人员执行，这形成了专业技能支撑的不足，而网络操作人员一般只能管理物

44、理网络设备、无法操作主机内vSwitch ，这就使得大量vSwicth具备的网络功能并不能发挥作用。此外，对于服务器内部虚拟机之间的数据交换，在vSwitch内有限执行，外部网络不可见，不论在流量监管、策略控制还是安全等级都无法依赖完备的外部硬件功能实现，这就使得数据交换界面进入主机后因为vSwitch的功能、性能、管理弱化而造成了高级网络特性与服务的缺失。虚拟机的不可感知性物理服务器与网络的连接是通过链路状态来体现的，但是当服务器被虚拟化后，一个主机内同时运行大量的虚拟机，而此前的网络面对这些虚拟机的创建与迁移、故障与恢复等运行状态完全不感知，同时对虚拟机也无法进行实时网络

45、定位，当虚拟机迁移时网络配置也无法进行实时地跟随，虽然有些数据镜像、分析侦测技术可以局部感知虚拟机的变化，但总体而言目前的虚拟机交换网络架构无法满足虚拟化技术对网络服务提出的要求。图 4- 9 传统 DC 与云计算 DC 运维示意图为了解决上述问题，业界的解决思路是将虚拟机的所有流量都引至外部接入交换机，此时因为所有的流量均经过物理交换机，因此与虚拟机相关的流量监控、访问控制策略和网络配置迁移问题均可以得到很好的解决，此方案最典型的代表是802.1Qbg 标准。 802.1Qbg 是由 IEEE 802.1 工作组制定一个新标准，也称为VEPA 。主要用于解决vSwtich 的上述

46、局限性，其核心思想是：将虚拟机产生的网络流量全部交给与服务器相连的物理交换机进行处理，即使同一台物理服务器虚拟机间的流量，也将发往外部物理交换机进行查表处理，之后再 180度调头返回到物理服务器。 VEPA标准具有如下的技术特点：借助发卡弯转发机制将外网交换机上的众多网络控制策略和流量监管特性引入到虚拟机网络接入层，不但简化了网卡的设计，而且充分利用了外部交换机专用 ASIC芯片的处理能力、减少了虚拟网络转发对CPU 的开销；充分利用外部交换机既有的控制策略特性（ACL 、QOS、端口安全等）实现整网端到端的策略统一部署；充分利用外部交换机的既有特性增强了虚拟机流量监管能力，如

47、各种端口流量统计， Netstream 、端口镜像等。 VEPA标准中定义了虚拟机与网络之间的关联标准协议，使得虚拟机在变更与迁移时通告网络及网管系统，从而可以借助此标准实现数据中心全网范围的网络配置变更自动化工作，使得大规模的虚拟机云计算服务运营部署自动化能够实现。 4.5 存储虚拟化建议将应用存储系统（主要用于存放虚拟化文件、应用系统文件等）与数据存储系统（主要用于存放数据库）物理分离设计。因为数据存储系统为结构化数据，应用存储系统为非结构化数据，而结构化数据一般采用FC 协议并以块存储的方式集中存储，非结构化数据一般采用iSCSI 协议并以文件的方式分布式存储，以满足安全性

48、、系统I/O 、扩展性的要求。 4.5.1应用存储系统本次应用存储系统采用H3C vStor 零存储技术（或称为云存储、分布式存储技术），其技术原理是利用存储虚拟化软件H3C vStor ，采用标准 X86 服务器（本次采用 H3C R390 系列服务器），通过将服务器上的磁盘空间组织起来，虚拟成一个统一的大容量存储空间，提供给应用系统存放虚拟机文件、应用软件镜像、备份等，并且具备高可用、高可靠、性价比高等特点，组网示意图如下：图 4- 10 存储虚拟化组网示意图存储虚拟化技术的原理：全部存储空间被分成许多大小一致的块（大小可设置，864M，称为 chunk ），虚拟磁盘的

49、chunk 均匀分布到集群中所有磁盘上。数据采用伪随机算法均衡分布在整个集群上以利用全部节点的性能，整体性能是传统RAID 盘 2 倍以上。每个卷上支持数据 25 副本（本次设计2 个副本），以满足应用业务数据存储的需求。其原理图如下：图 4- 11 存储虚拟化技术的原理示意图不同于传统RAID 以空闲的硬盘作为热备，存储虚拟化在集群全部磁盘中均匀分配热备空间。任意一块磁盘故障，剩余全部磁盘都参与重构，将重构时间由10小时 /TB缩短为 20 分钟 /TB 。图 4- 12 存储虚拟化与传统陈列对比示意图另外，为提高系统性能，建议采用SSD 硬盘做缓存，热点数据读性能可提升20 倍以上。其中写操作默认采用write around的 cache 模式，写透HDD 以确保安全。可设置为writeback模式提升写性能。从整体应用考虑，本次配置2 套存储系统，每套采用三节点集群部署，每节点均配置双控制器、内置冗余电源、冗余风扇、2GB 控制器缓存和16GB 内存，1块 240G SSD 硬盘和 11块 600G SAS 10K 硬盘。为了保证数据不丢失，本次采用2 份数据副本镜像进行存储（最大可支持5 份），以保证数据的安全性。支持数据分层技术，能够将1块 240G SSD 做为高速数据交换缓存，其余11块 600GB SA

展开阅读全文