基於華為產品的高校雲資料中心建設規劃設計方案
阿新 • • 發佈:2019-01-22
目錄
第1章專案概述1.1專案成員
1.2專案簡介
1.2.1系統建設拓撲圖
1.3專案需求分析
第2章雲資料中心規劃設計
2.1整體架構設計
2.1.1概念性設計
2.1.2邏輯性設計
2.2基礎設施架構設計
2.2.1計算區
2.2.2儲存區
2.2.3網路區
2.3資料中心雲平臺設計
2.3.1資料中心雲平臺架構
2.3.2異構雲端計算資源池統一管理
2.3.3雲平臺服務設計
2.3.4雲平臺服務管理
2.4運維敏捷性設計
2.4.1統一運維管理平臺
2.4.2雲平臺可擴充套件性
2.5等級保護安全設計
第3章配置清單
3.1配置清單
第1章專案概述
1.1 前情提要
1.2.1系統建設拓撲圖
1.2.1.1xxxxx大學智慧校園整體架構
xxxxx大學智慧校園架構分為五層,分別是基礎設施層、公共平臺層、業務應用層、統一門戶層、業務安全保障層。
基礎設施層:包括三個層次的基礎設施架構,包括雲服務(伺服器即服務、儲存即服務、桌面即服務等)、雲資料中心(L1層機房設施,L2層IT裝置)、雲校園網路。這是建設智慧校園的基礎。
公共平臺層:保留公共支撐平臺以及一些公共資料庫,GIS地理位置資訊資料庫等。
業務應用層:xxxxx大學的URP系統,包括財務資產、教學科研、行政服務、生活服務等四大塊。
統一門戶層:綜合資訊服務Portal。
業務安全保障:包括網路安全、資料中心安全等,部署校園資訊保安防禦體系。
本期專案在老校區的資料中心建設,構建雲平臺承載校園業務,滿足後續業務發展需求。
1.2.1.2xxxxx大學智慧校園全景圖
基於智慧校園的趨勢分析,並結合xxxxx大學目前的現狀及面臨的諸多挑戰,提出xxxxx大學的整體智慧校園的全景圖(如上圖)。
圖中把主要的校園智慧業務分為六類:
領先教研:即教學科研類業務,如教學資源平臺、線上協作學習、數字圖書館、科研管理等業務;
安心校園:即校園安全類業務,如學校安全監控、學校資產管理、學校應急排程、學校秩序管理等;
絕色節能:園區電能計量管理統計、環境控制系統智慧節能等;
便捷生活:無線校園上網、校園一卡通、校園廣播及資訊釋出等;
智慧管理:校長儀表盤、辦公協作、智慧行為管理等;
把智慧校園的總體架構簡單總結為:1(ICT架構) + 3(層次方案) + X(應用),如下圖所示:
“3”層次基礎設施方案:包括雲服務(伺服器即服務、儲存即服務、桌面即服務等)、雲資料中心(L1層機房設施,L2層IT裝置)、雲校園網路。
“X”應用:包括各種上層校園內的智慧應用,如教學平臺、科研平臺、綜合管理平臺、校園監控、能源管理、校園一卡通等。
本文將重點介紹3大層次的基礎設施架構方案,以及“1”個應用—平安校園,這也是本規劃方案中的重點內容。穩定可靠的“3”層次基礎設施架構將靈活彈性支撐多種多樣的上層應用。
1.3專案需求分析
有較高的可靠性和可用性,保障學校業務的正常運轉;
提倡綠色節能;
滿足學校部門多,操作種類複雜的要求;
能夠智慧管理校園執行,減少專業人員維護;
需要有安全監控,保障校園資產。
第2章雲資料中心規劃設計
2.1整體架構設計【有邏輯性】2.1.1概念性設計
xxxxx大學的智慧校園建設是一個複雜的系統工程,不可能一蹴而就,必須遵循 “統一規劃、分步實施”和“以需求為導向,以應用促發展”的原則。
需要遵循以下原則:
成熟性與發展性的統一的原則(發展性可為亮點)
工程建設應首先採用符合當前計算機及應用系統發展趨勢的主流技術,技術先進並趨於成熟的,被公眾認可的優質產品。既要保證當前系統的高可靠性,又能適應未來技術的發展,滿足多業務發展的要求。要本著“有用、適用和好用”的原則,不片面追求軟硬體設施的先進性,應強調整個系統的可連線性和整體佈局、應用的合理性。
先進性與實用性的統一
工程建設方案要面向未來,技術必須具有先進性和前瞻性和實用的原則,在滿足效能價格比的前提下,堅持選用符合標準的,先進成熟的產品和開發平臺。採用高可靠性裝置,軟硬體解耦。
可管理性
由於整個系統涉及的部門、業務種類繁多,基礎設施及網路、計算、儲存等比較複雜,因此係統的可管理性就顯得尤其重要。建立統一雲資料中心管控平臺,實現資源的統一排程,當一個雲資料中心有問題時,可通過這個管控平臺,依託自動化技術,實現全球資源的統一彈性排程,這一切的變化,客戶是無感知的。
標準化(可擴充套件性)
現有資訊科技的發展越來越快,為了使該系統在未來執行過程中其技術能和整個資訊科技的發展同步,系統應具有備靈活適應性和良好的可擴充套件性,系統的結構設計和產品選型要堅持標準化,首先採用國家標準和國際標準,其次採用廣為流傳的實用化工業標準。
可靠性、安全性、保密性(可照搬)
智慧校園建設涉及面廣,設計上要充分考慮其大量硬體裝置、軟體系統和資料資訊資源的實時服務特點,要保證網路、系統、資料的安全,保證系統執行的可靠,防止單點故障,對涉密資訊應充分保證其安全。對安全管理要充分考慮安全、成本、效率三者的權重,並求得適度的平衡。對整個系統要要有周密的系統備份方案設計。對系統主要的資訊實行自動備份,以保證系統的異常情況的補救,並設有系統自動恢復機制。採取必要措施防止資料丟失,保證資料的一致性,保證系統執行過程中的高可靠性。
獨立性與開放性的統一
各系統相互獨立同時又相互關聯,因此在規劃和設計過程中需要考慮本系統的獨立性,以及多系統建的融合和關聯。
可配置性
由於整個系統建設涉及的部門比較多,業務種類比較複雜,因此係統的靈活配置性就顯得非常重要,系統的可配置性應包括部門配置、人員角色配置、公文樣式配置、處理流程配置等。
需求涉及物件 措施
可靠,可用基礎設施;作業系統;資料等裝置質量;鏈路冗餘、熱備機制;容災備份,熱遷移等
綠色節能物理層基礎設施 建設綠色機房;減少TCO,提高ROI
功能複雜平臺的建設 虛擬化技術;合理的分權分域
安全監管物理資產;資訊資產合理的等級保護制度
便捷運維管理平臺建設 統一的運維管理平臺
2.1.2邏輯性設計(基本通用,只需修改業務服務層)
雲資料中心總體架構設計遵循面向業務需求的設計思路,基於模組化的設計方法,實現資料中心IT基礎架構模組與業務模組鬆耦合,保證資料中心業務動態擴充套件和新業務快速上線。
使用特定規格產品設計,包括硬體、軟體和應用規格化來提供簡單可靠、易於部署和管理、便於擴充套件和升級的IT基礎架構,為使用者提供更好的投資保護,滿足學校資料中心建設以及資料中心的視覺化統一管控的需求。
學校雲資料中心建設的邏輯架構參考如下:
整體架構自底向上為雲機房基礎設施層、雲端計算基礎架構層(基礎資源層和災備層)、業務應用層、服務物件層,以及資料中心的安全保障和資料中心統一管理。
雲機房基礎設施層:基於業務需求的模組化資料中心的設計與實現。
雲端計算基礎架構層:主要涉及基礎資源層與容災備份層
基礎資源層:也可叫雲服務層,包括伺服器裝置、儲存裝置、網路裝置、安全裝置、虛擬化軟體,以及通過虛擬化平臺構建的虛擬化資源池,還有物理資源池,可以通過智慧資源排程與管理平臺對虛擬資源池與物理資源池統一管理,並對上層應用系統提供IT服務,雲服務層是校園資訊化的基礎架構。雲服務層還包括高效能運算解決方案、大資料平臺方案等。
計算:本解決方案所提供的計算系統的裝置為伺服器,伺服器要配合資料中的的雲作業系統,可以為使用者提供高計算密度、高資源利用率、以業務為導向的易管理的計算系統。根據實際業務需求,結合安全和管理需求,除資料庫伺服器和管理伺服器不虛擬化外,其他伺服器將充分採用虛擬化技術。
伺服器多通道接入多個網路:
1、伺服器的多通道,隔離和提高IO能力,採用物理隔離的多個網路介面,充分發揮CPU的高效能。
2、四網多通道分離優點:
整網按區域分為多個業務網路
整網一個管理網路,一個備份網路,一個IP儲存網路
業務網路、管理網路、儲存網和備份網路流量分離,伺服器通過不同的網絡卡分別接入不同的網路,提升網路的整體可靠性。
儲存:儲存與計算分離,儲存採用FC SAN連線主儲存陣列。通過虛擬化集中部署,動態分配和呼叫資源,實現計算和儲存資源的高效管理。同時部署大資料儲存服務,高效能運算服務。
虛擬化平臺:統一虛擬化平臺通過對伺服器物理資源的抽象,將CPU、記憶體、I/O等伺服器物理資源轉化為一組統一管理、可靈活排程、動態分配的邏輯資源,並基於這些邏輯資源在單個物理伺服器上構建多個同時執行、相互隔離的虛擬機器執行環境。
虛擬資源池:採用虛擬化技術實現IT基礎設施的資源池化 ,為上層業務提供IT資源彈性供給,更好地實現IT資源共享,提高利用率 ,快速響應業務需求。
物理資源池:重點是X86物理資源池,包括資料庫物理機部署以及物理機叢集等。
智慧資源排程與管理:同時提供物理資源和虛擬資源的統一監控管理,進而提供全生命週期資源服務。即對計算、儲存、網路資源的池化管理構建虛擬資料中心。
容災備份層:提供容災和備份的解決方案。考慮業務的連續性,按照容災等級可以提供應用容災和資料容災,在本專案中主要考慮核心業務如管理平臺與資源平臺的資料的安全性與業務的連續性。
構建本地備份系統,實現基礎資料庫系統備份與虛擬機器系統備份,實現資料庫資料與業務執行環境保護。
建設雙活災備系統,首先實現資料庫儲存級資料雙活容災,再實現業務級雙活容災。
業務應用層:包括學校的核心業務,如一卡通系統、教務系統、教學系統、科研系統、辦公系統、郵件系統等,以及包括支撐校內主要業務、共享資料和互動資料等內容的核心資料管理,是學校各機構整體資訊化的基礎資料環境。各種業務資料來源包括由學校各部處和院系等現有的各種業務處理應用系統(例如教務、辦公、一卡通等應用系統)等提供的業務資料。
服務物件層:涉及到業務應用層的使用者,可以通過統一門戶平臺獲取到相關的服務。
資料中心安全保障:一體化安全保障系統從物理設施安全、網路安全、主機安全、虛擬化安全、資料安全、應用安全、使用者接入安全、安全管理等多層次為政務系統執行提供全方位安全保障。
資料中心統一運維管理:雲資料中心運維管理採用開放的管理架構和模組化的設計思路,根據雲資料中心管理需求配置運維管理模組。主要管理模組包括服務管理、統一管理門戶、服務流程管理、綜合監控管理以及雲端計算平臺管理。為了保證方案的開放性和可擴張性,運維管理架構採用業界成熟管理產品與管理產品相結合。
管理區負責資料中心的日常運維工作,管理網路分為帯內網路和帶外網路。
帶外網路:與資料中心的業務網路完全隔離,保證管理的可靠性,是優選方案
管理區網路裝置之間建議採用百兆互聯
資料中心的管理建議使用帶外網管
部署要點:獨立管理區域,網路裝置可用帶外網口,執行網管協議實現網路管理、資料收集和實時監控功能。
2.2基礎設施架構設計【有技術含量】
雲資料中心建設內容包含網路、伺服器、儲存等基礎裝置的部署與管理,核心業務如
根據具體場景分析(校園管理公共服務平臺、數字圖書館、郵件系統等業務的雲平臺部署,平安校園監控、視訊教學的物理部署,桌面雲辦公平臺部署。)
雲資料中心物理架構示意圖如下:
本專案中,將資料中心的物理部署架構分成了三區,即網路區、伺服器區、儲存區。
2.2.1計算區
提供計算能力的伺服器裝置,伺服器要配合虛擬化作業系統,為使用者提供高計算密度、高資源利用率、以業務為導向的易管理的計算系統。根據實際業務需求,結合安全和管理需求,除一些特殊應用不虛擬化外,其他伺服器將充分採用虛擬化技術。
雲端計算架構關鍵 技術
超大規模資源排程演算法
異構整合技術
應用無關的可靠性保障技術
單VM及多VM的彈性伸縮技術
計算近端IO效能加速技術
網路虛擬化技術
應用管理自動化技術
設計目標:
1、伺服器區提供各種型別伺服器接入,並支援伺服器自身容錯功能
2、部署防火牆確保伺服器安全
3、部署負載均衡提升伺服器的訪問效率
方案:
匯聚裝置配置VLAN/ACL對分割槽內不同業務進行隔離
匯聚層採用旁掛方式,部署高效能防火牆,可以是框式裝置或者是防火牆叢集
LB1負責整個分割槽內應用負載均衡
LB2在子區內(可選),為區域內應用提供負載均衡
可選配置NetStream,實現流量分析和管理
2.2.2儲存區
儲存與計算分離,虛擬化平臺業務儲存採用FC SAN連線主儲存陣列。通過虛擬化集中部署,動態分配和呼叫資源,實現計算和儲存資源的高效管理。同時對於核心業務資料通過映象卷技術實現本地儲存高可用,以及後續的雙資料中心容災的平滑演進。對於非結構化資料的多媒體應用業務,儲存採用NAS儲存提供高頻寬、高併發的檔案共享服務。
2.2.2.1儲存資源池設計
儲存系統應採用先進、成熟的技術和優良的系統設計,使系統在整體上具有很快的響應速度和更高的資料頻寬,可長時間承受大量使用者極高的訪問頻率和訪問速度。在系統設計中,應切合雲主機應用,將不同特點的資料均儲存在大型集中的的儲存裝置中,使整個儲存系統具有高可靠性、異構平臺共享、高性價比、可擴充套件、易管理、易使用、效能優良等一系列優勢,並能平滑地升級擴充套件,很好地適應資料儲存技術的發展,滿足學校的中長期發展的資料儲存需求。
當前虛擬主機數量及型別多,要求儲存系統能夠提供非常好的相容性將主機各應用系統接入;應用系統和作業系統差別很大,要求儲存系統必須提供統一的資料保護方案,簡化方案的部署和維護;儲存裝置比較多,要求建設方案能夠將現有和新增的儲存裝置進行統一的管理、配置、資料保護和儲存應用。業務擴充套件需求,要求系統必須是一個開放的平臺,能夠線上擴充套件儲存容量和應用,能夠平滑升級儲存資料保護層次。
鑑於本專案複雜的現網情況和豐富的業務需求,儲存與計算分離,虛擬化平臺業務儲存採用FC SAN連線主儲存陣列。通過虛擬化集中部署,動態分配和呼叫資源,實現計算和儲存資源的高效管理。同時對於核心業務資料通過映象卷技術實現本地儲存高可用,以及後續的雙資料中心容災的平滑演進。對於非結構化資料的多媒體應用業務,儲存採用NAS儲存提供高頻寬、高併發的檔案共享服務。
2.2.2.2異構儲存整合
基於VIS6600T的虛擬化方案拓撲
在生產中心SAN架構網路層需要加入VIS6600T虛擬化智慧裝置一臺,實現對異構儲存系統的整合和統一管理。
VIS6600T儲存虛擬化是基於儲存網路的虛擬化,通過為資料管理系統提供了一層虛擬的“卷”的邏輯裝置,來遮蔽異構儲存裝置的差異,並通過對邏輯卷的管理,克服硬體裝置的物理侷限性和差異性,使邏輯卷可以跨越多個物理磁碟。另外,VIS6600T能在系統處於活動狀態時動態配置磁碟儲存區。
客戶處主機數量多、型別豐富,作業系統和應用也各不相同。VIS6600T具備非常好的相容性,不但可以支援UNIX、Windows、Linux等主流作業系統,而且可以相容VMware、Hyper-V、Citrix XenServer等主流虛擬機器軟體。
VIS6600T可以完成對於客戶處所有陣列的統一管理以及統一資料保護,大大簡化了網路架構、提升了工作效率。客戶處原有陣列常常需要分散管理,耗費較多人力和精力。部署完VIS6600T以後,可以實現多臺陣列的統一管理,節約了管理成本,簡化了管理難度。
為保證虛擬化前後資料狀態的一致性,VIS6600T通過一系列保障技術,能夠使得虛擬化後的資料與虛擬化之前的資料狀態保持一致,這就避免了虛擬化過程中複雜的資料遷移和恢復過程,不僅大大簡化了虛擬化的實施,而且減少了系統的停機時間,提高了業務的連續性。
VIS6600T能夠線上擴充套件儲存容量和應用,客戶處新增儲存陣列或者新增業務主機可輕鬆加入現有網路,實現系統平滑升級。
同時,VIS6600T產品可以提供豐富的資料管理功能,這些功能可以適用於VIS6600T管理的所有儲存系統。主要可以提供的軟體特性列舉如下:
1.提供高階的資料複製功能:能跨多種儲存系統複製資料 ,實現同城或者跨越城市的遠距離容災解決方案。
2.提供高階的遠端映象功能:利用遠端映象功能,可實現基於FC通道的同步遠端容災解決方案。
2.2.2.3本地高可用保障
本地高可用解決方案通過儲存虛擬化和卷映象技術,實現儲存的高可用部署 ,結合主機層叢集技術如Oracle RAC等實現業務連續性本地高可用解決方案,當故障發生時,確保備用伺服器,備用網路和備用儲存能快速自動的實現業務的冗餘訪問。避免但裝置故障引發的業務長時間中斷。
應用層通過主機叢集或者應用程式叢集實現高可用組網,當任一主機故障之後應用自動切換到其他主機。應用主機安裝多路徑軟體UltraPath,提高資料傳輸的可靠性,保障應用主機與儲存陣列之間的路徑安全性。
儲存層通過冗餘的FC交換機、VIS虛擬化閘道器的異構虛擬化特性實現陣列間資料同步映象,達到高可用組網。當任一交換機、磁碟或者儲存陣列故障,不影響主機應用。
2.2.3網路區
即資料中心網路架構層,採用扁平化二層網路架構(核心層、接入層),使用網路虛擬化技術,核心交換機承擔著核心層和匯聚層的雙重任務。
LFR“無環乙太網” 構建無間斷資料中心
1、通過堆疊(IStack)/叢集(CSS)技術保證節點的可靠性;一臺裝置故障後,另一臺裝置自動接管所有的業務
2、CSS+LAG+iStack端到端可靠性架構打造無間斷資料中心,保證業務持續運營
3、多臺接入層堆疊,2臺匯聚層叢集,2臺核心交換機叢集
方案特色:
1、無環乙太網簡化網路架構,收斂時間遠優於xSTP,收斂時間到達ms級
2、提升鏈路利用率,採用逐流方式負載均衡,支援不同負載分擔方式,二層報文,IP報文。
3、轉發支援本地優先轉發策略,減少裝置間轉發,配置簡單,不易引入配置故障,不需要配置多數可靠性的協議,如VPPR等。
4、鏈路的可靠性保證,通過Trunk技術,一條或多條鏈路故障後,流量自動切換到其他正常鏈路
高效的框式交換機叢集方案(CSS)
【備案】
伺服器區主要包括核心業務的雲端計算資源池,非結構化資料業務的物理叢集的物理資源池。
雲端計算資源池:通過統一虛擬化平臺對伺服器物理資源的抽象,將CPU、記憶體、I/O等伺服器物理資源轉化為一組統一管理、可靈活排程、動態分配的邏輯資源,並基於這些邏輯資源在單個物理伺服器上構建多個同時執行、相互隔離的虛擬機器執行環境,虛擬資源池是通過這些邏輯資源構建的。在本專案中,針對郵件系統、辦公系統、一卡通系統、教務系統、數字圖書館等教育相關的業務系統。通過虛擬化技術提高業務的敏捷性,使得教育應用在資源利用上彈性可伸縮。通過將業務與具體物理機解耦合,實現業務在計算資源池內靈活遷移,不受具體物理機故障的影響。雲端計算平臺業務通常採用刀鋒伺服器。
物理資源池:對於非結構化資料的多媒體應用業務,如校園安全的視訊監控業務、遠端視訊教學業務對於業務處理的實時性要求很高,業務資料的安全性要求也很高,建議採用物理機叢集方式部署可以更好地保障業務高效性。對CPU和記憶體要求高的關鍵應用如校園監控,實時遠端教學等可以選擇4-8路CPU的機架伺服器。
可池化---池化網路實現資源按需排程
A. 橫向虛擬化:簡化邏輯網路架構
B. 縱向虛擬化:網路資源按需分配
可池化---負載均衡器實現IT資源共享
S9300 負載均衡器(靈活插卡)為每個應用建立一個伺服器群組,根據伺服器 CPU 資源或者頻寬使用的情況動態選擇負載較輕的伺服器應答請求,達到加速訪問的目的。
可池化---多種VPN實現DC廣域互聯
可池化---防火牆虛擬化提高DC安全性
視覺化---智慧可視網管實現ICT統一管理
A. IP&IT 統一管理,降低建設和運維成本
網管平臺整合資料中心多種裝置的管理能力,只需部署一套網管,維護效率高
B. “視覺化”智慧網管,運維直觀高效
提供資料中心拓撲檢視,輕鬆進行業務部署
隨板 NetStream 為使用者提供圖形化的流量分析報告
視覺化---圖形化網流分析助力資料中心業務規劃
A. 網路流量清晰可見,輕鬆支援流量規劃
B. NetStream 全域性部署,業務分佈一目瞭然
視覺化---IP&IT統一管理提高維護效率
T IT 和 IP 資源的統一監控和管理,使維護人員能夠對整個系統全域性把握,在業務的故障定位上給與高效支援
2.3資料中心雲平臺設計
2.3.1資料中心雲平臺架構
xxxxx大學雲平臺總體架構設計遵循面向業務需求的設計思路,基於模組化的設計方法,實現資料中心IT基礎架構模組與業務模組鬆耦合,保證資料中心業務動態擴充套件和新業務快速上線。雲資料中心是校園業務部署的主要支撐平臺,需要整合分散在各處的伺服器、儲存與網路裝置資源,通過雲作業系統的虛擬化平臺實現伺服器虛擬化、儲存虛擬化、網路虛擬化,構建全校共享的硬體資源池,通過雲作業系統的智慧資源排程管理平臺實行資源的分配、排程與管理,快速響應教育資訊化的業務需求。
雲資料中心架構分為三層,分別是基礎設施層、虛擬化資源層、雲服務統一管理層。具體如下圖:
基礎設施層由伺服器、網路裝置、備份裝置、安全裝置和儲存裝置組成。
虛擬化資源層用於幫助客戶收編現有的資源池,實現資源的統一管理和共享。並且提供VDC虛擬資料中心的邏輯隔離的技術,將物理資源池化後,按組織、業務需要靈活分配,構建的一個邏輯的資料中心,為使用者提供最貼心的資源共享和分配方案。
雲服務統一管理層通過華為FusionSphere中的FusionManager實現虛擬資源、物理資源、以及VDC和VPC的統一管理。
雲平臺支援伺服器、儲存的平滑擴容。伺服器、儲存裝置均可根據業務根據需求,線上平滑增加伺服器、伺服器虛擬叢集,線上擴充套件磁碟、磁碟框、控制框。
2.3.2異構雲端計算資源池統一管理
華為虛擬化軟體系統FusionSphere主要由虛擬化基礎引擎FusionCompute、雲管理FusionManager兩大部件組成。
FusionSphere的所有管理模組預設是主備模式部署的,不需要用其它第三方軟體來實現主備功能,主備功能由FusionSphere自身實現,這樣既提升了系統的可靠性,又為使用者節省了購置第三方軟體提高可靠性的的費用。另外,FusionSphere的管理模組都是直接部署在自身管理的虛擬機器上面,每個管理模組無需獨立佔用物理伺服器,從而節省了使用者的物理資源開支。
FusionManager提供虛擬資源與物理資源的統一管理功能(統一拓撲、統一告警、統一監控、容量管理、效能報表、關聯分析、資源生命週期管理、賬號管理等),並且能通過自動發現功能發現其管轄下的物理裝置資源(包括機框、伺服器、刀片、儲存裝置、交換機)以及他們的組網關係,將裝置納入其管理範圍;FusionManager對外提供統一的、基於Web訪問的、介面友好的管理介面。
除了對華為自身的虛擬化引擎FusionCompute進行管理,FusionManager還支援對VMware vSphere、Citrix XenServer組建的虛擬化資源池進行管理,而且管理流程和華為資源池的管理流程完全一致。在使用者建設了多個廠家的虛擬化資源池時,通過FusionManager的異構管理功能,可以方便的將多個不同虛擬化廠家的資源池整合為一個統一的邏輯資源池,大大簡化使用者的維護管理工作量,節省管理成本。
2.3.3雲平臺服務設計
面對目前學校一個雲平臺可能存在多種虛擬化平臺的現狀。建設統一融合資源池,實現多資源池統一管理,實現真正的管理統一。
將所有裝置,包括安全,網路,虛擬化資源,形成一個校園雲平臺的集合。
對異構虛擬化平臺進行管理對接。按業務對物理資源和虛擬資源進行統一的管理和SLA設定,基於SLA實現校園雲平臺資源的策略發放和排程,自動化配置。以VDC的方式實現分權分域管理,降低管理成本。此外,通過網路打通實現跨地域異構虛擬化資源池自動化管理。
1.針對學校不同部門獨立管理的訴求,通過VDC實現資源的相互隔離,互不干擾。
2.按照應用業務屬性和安全分級進行資源域劃分設計。
3.一個完整vDC包括配額、使用者、服務目錄、網路、資源、模板。
4.通過VPC滿足不同學校或部門的 應用安全隔離。
5.學校部門可在資源池中自行建立雲主機、雲端儲存、虛擬網路、負載均衡、彈性IP等基礎設施服務。
2.3.3.1虛擬校園雲平臺(VDC)服務
將學校物理校園雲平臺根據各業務部門需求靈活劃分成VDC(Virtual Data Center),每個VDC可以獨立提供的服務完全和物理校園雲平臺一樣服務以及資源,每個VDC都有自己的管理員、服務目錄等等,VDC管理員可以直接管理、審批VDC內使用者的服務申請。VDC之間的資源和網路相對隔離,同時可以通過VDC跨物理校園雲平臺,實現多個物理校園雲平臺資源的統一發放和排程。華為FusionSphere和VMware vSphere資源池可劃分在一個VDC中,也可獨立劃分。
將校園雲平臺之中的物理資源進行“池化”,可以根據各個部門/組織不同的訴求靈活劃分和分配物理資源,同時提供對應的服務,並讓各個部門/組織獨立管理以及使用本VDC的資源,將整個校園雲平臺的超級管理員的工作進行分攤以及管理上分權,降低超級管理員的管理成本,更靈活的滿足不同租戶/部門的要求。
系統管理員作為所有資源的管理員可以將學校整個校園雲平臺的計算、儲存、網路資源劃分到各個VDC,分配給各個組織或部門。
VDC管理員作為VDC的所有者,可以在VDC裡定義模板、定義VPC,發放VM等操作,是最終的使用校園雲平臺資源的組織的管理員。
終端使用者作為某個VDC的業務最終使用者,可以通過自主平臺或者線下申請VDC內的資源。
通過VDC管理,讓學校各業務部門擁有自己獨享的校園雲平臺。
2.3.3.2虛擬私有云(VPC)服務
VPC(Virtual Private Cloud)提供隔離的虛擬機器和網路環境,滿足不同部門網路隔離要求,可以提供直聯網路、路由網路和內部網路多種組網模式。
每個VPC可以提供獨立的虛擬防火牆、彈性IP、VLB、安全組、IPSec VPN、NAT閘道器等業務。
此外,VPC還可以提供各類資源的計次或流量統計資訊,可作為計費系統的輸入。
VPC管理,滿足所有應用的網路和安全需求。
VPC網路應用場景:
為滿足不同部門的 應用安全隔離的需求, 學校雲校園雲平臺公共服務平臺為各部門提供虛擬私有云(以下簡稱VPC)服務。
學校雲校園雲平臺公共服務平臺為每個要進行應用部署的各部門分配一個獨立的VPC。VPC能夠為各部門提供安全、隔離的網路環境,實現各部門間應用的隔離,及外部網路訪問的安全控制。
在各部門的VPC中,擁有獨立的網路邊界:虛擬防火牆,VPN,NAT;能夠部署獨立的內部網路能力:多平面,地址管理,DHCP,安全組,負載均衡器等。各部門可以在VPC中定義與傳統網路無差別的虛擬網路,以滿足業務部署要求。
【備案】
VPC內部資源示意圖:
1、 應用部署使用
各部門需要部署 應用時,需要將虛擬運主機掛在到自己的虛擬機器內部,即可實現與虛擬機器網路的互聯,及與其他VPC雲主機的隔離。
各部門在VPC內部可以通過劃分子網的方式,實現不同應用間的隔離;通過負載均衡服務,實現大訪問量業務的虛擬機器負載均衡;通過虛擬防火牆實現對VPC外部的隔離,通過。可以通過彈性IP與內部虛擬機器或負載均衡的內部地址對映,實現網際網路使用者對於 應用的訪問。
VPC內 應用部署邏輯圖:
2、與各部門區域網對接
VPC是在 學校雲校園雲平臺的雲環境中構建的具有自己私有網路的雲服務,能夠與各部門的網路互通。在VPC中,各部門具有完全獨立的IP地址空間設定,以及與其他各部門VPC的虛擬機器的完全網路隔離。
各部門可以使用 網VPN閘道器將自己的VPC和自己辦公樓的網路連通,將VPC網路看做各部門自有網路的子網來使用。
VPC提供三種網路,協助 學校各部門部署業務應用及對外服務。
直連網路
直連網路與外部網路相連,其自身不包含任何網路資源,在直連網路中建立虛擬機器或應用時實際使用的是外部網路中的資源。外部網路可以是各部門現有網路或者公網。當外部網路為各部門現有網路時,直連網路與各部門現有網路對接,虛擬機器可分配到各部門現有網路得IP地址資源。當外部網路為公網時,其直連網路中的虛擬機器具有直接訪問公網的能力。
內部網路
獨享一個網路資源,該網路與其他網路安全隔離。由於內部網路和其他的網路是隔離的,因此內部網路中可以部署對安全性要求較高的業務,例如,可將資料庫所在伺服器部署在內部網路中,以保證資料安全。
路由網路
路由網路具有靈活的互通能力和多種業務功能,基於虛擬防火牆的路由網路能夠與VPC中的其他路由網路互通,或者繫結彈性IP與公網進行通訊。除了彈性IP,路由網路還能提供ACL、DNAT和VPN業務,以滿足業務部署要求。在建立路由網路前,需要先為VPC申請了虛擬防火牆。
VPC及其網路的邏輯結構下圖所示:
【備案】
2.3.3.3虛擬主機服務
智慧校園雲平臺可為各學院提供虛擬主機租用服務,各部門管理員可以在公共平臺上對租用的虛擬主機進行全生命週期的管理,具體包括:
1.建立虛擬機器
各部門管理員可以通過建立應用、使用虛擬機器模板、自定義方式以及克隆方式建立虛擬機器。
2.銷燬虛擬機器
各部門管理員可以通過刪除應用來銷燬虛擬機器,將不再使用的虛擬機器銷燬,以釋放系統資源。
3.虛擬機器操作管理
各部門管理員可以通過對一個或多個虛擬機器,執行啟動/喚醒、安全重啟、強制重啟、休眠、安全關閉和強制關閉等操作。
4.遷移虛擬機器
各部門管理員可以將虛擬機器從一臺主機上遷移到另一臺主機上。
5.修復虛擬機器
虛擬機器作業系統異常後,各部門管理員可以對虛擬機器進行修復。修復虛擬機器不會影響使用者資料,確保使用者資訊不丟失。
6.建立虛擬機器快照
虛擬機器快照可保留虛擬機器某一個時刻的狀態,當虛擬機器出現故障時,各部門管理員可以使用快照將虛擬機器恢復到建立快照的時刻點。
7.虛擬機器資源調整
各部門管理員可以根據業務負載調整資源的使用情況調整虛擬機器的QoS、調整虛擬機器CPU數目、調整記憶體大小、增加或修改虛擬磁碟、刪除虛擬磁碟、增加或修改網絡卡、刪除網絡卡、調整虛擬機器磁碟的IO上限等。
8.虛擬機器效能監控
各部門管理員可以獲取虛擬機器CPU佔用率、記憶體佔用率、網路流速和磁碟I/O等資訊,還可以按周、月、年及自定義時段查詢效能監控結果。
2.3.3.4虛擬桌面服務
1、OA辦公虛擬桌面
OA辦公桌面雲是指企業使用桌面雲來進行正常的辦公活動。使用者的虛擬機器執行Windows XP、Windows 7、Windows8.1系統,執行各種文字辦公軟體,如Office編輯文件、Project、Visio、Internet Explorer瀏覽網頁、Outlook處理郵件、金山詞霸等。桌面雲可對接入USB裝置、列印裝置、儲存裝置進行對映管理;虛擬機器裡可安裝監控軟體,提供多種安全方案,保證辦公環境的資訊保安。
OA辦公使用者採用完整複製桌面雲。完整複製桌面雲基於虛擬機器級別的隔離,每個桌面都有單獨的系統盤,安全性高;個性化強;外設支援型別豐富;使用者體驗與傳統PC一致。每個使用者都有一個獨立的虛擬機器,虛擬機器系統盤採用伺服器的本地儲存,高度整合。使用者如果需要擴充套件儲存空間,可增加SAN儲存。OA辦公的使用者與虛擬機器採用1:1配置,每個人獨佔一臺虛擬機器。使用者通過本地瘦終端,或軟終端可以遠端登入虛擬機器。虛擬機器採用業界高保真的HDP協議將虛擬機器桌面顯示投送到使用者終端上。瘦終端的無本地儲存,不涉密。可管控,功耗低。辦公環境相對PC環境更簡潔,無噪音。
基於桌面雲的移動辦公方案,桌面雲與移動終端結合,使用者可以在家或非辦公室時通過3G/4G網路,或通過WIFI網路接入桌面雲。使用者不僅可遠端登陸虛擬機器,同時也可以通過釋出的應用程式如Word、Powerpoint,進行移動辦公,此時使用者無需登陸虛擬機器直接使用應用,對頻寬的要求更低。
為保證桌面雲接入的安全性,增加一個接入閘道器。華為桌面雲支援各種移動膝上型電腦、Pad、手機終端接入,可以實現無縫的隨時隨地接入進行遠端辦公,提升效率。手持終端支援的系統如下:Android系統、蘋果iOS系統。
【備案】
2、圖書館閱覽室虛擬桌面
電子閱覽室場景中,使用者只需要登陸和使用虛擬機器,閱覽所需要的軟體提前安裝在映象中,業務比較簡單。電子閱覽室主要有如下特點:
•可以上網,網路傳播的病毒、木馬、防不勝防。
•人員流動性大,虛擬機器無需經常關機。
•需要支援外接U盤。
•維護簡單,提高工作效率。
此場景對儲存的要求不高,考慮到存在安全威脅,非常適用連結克隆虛擬桌面。連結克隆共用一個只讀的系統母盤,這個母盤中安裝電子閱覽所需要應用軟體。這個母盤不會感染病毒、木馬。使用者登入使用時,上網、瀏覽產生的臨時資料儲存在差分盤中,即使差分盤中了病毒木馬。只需要對虛擬機器進行重啟,差分盤即可清除,還原到系統的初始狀態。管理員要對虛擬機器進行升級、打補丁,只要更新母盤即可。
為提高資源複用率,可採用動態多使用者方式(動態池)分配給使用者。每個TC繫結固定的虛擬機器賬戶,開機即可登入使用。流動的使用者不用再輸入帳戶與密碼,使用起來非常方便。
【備案】
2.3.3.5虛擬網路服務
公共平臺可為租用的各部門提供各種網路服務,各部門管理員可以使用公共平臺提供的網路服務,根據自己也為需求特點搭建相應的虛擬網路,實現業務間的互通、隔離、及對外部網路的互聯互通等,具體如下:
1.DNAT服務
當VPC內部需要提供對教師或學生的服務時,通過網際網路發起連線請求,由防火牆上的閘道器接收這個連線,然後將連線轉換到內部,此過程是由帶有公網IP的閘道器替代內部服務來接收外部的連線,然後在內部做地址轉換,此轉換稱為DNAT,主要用於內部服務對外發布,如下圖所示:
2.SNAT服務
內部地址單向發起請求訪問公網上的服務時(如web訪問),內部地址會主動發起連線,由防火牆上的閘道器對內部地址做地址轉換,將內部IP地址轉換為公網IP地址。這個由閘道器完成的地址轉換稱為SNAT,主要用於內部共享IP訪問外部,如下圖所示。
3.VPN服務
實現將VPN對映到公共平臺中為各部門分配的業務資源中。對於公共業務,劃分獨立的公共業務資源區,並將公共VPN進行對映。
VPN業務用於在公網和 學校校園雲平臺內部網路之上建立一條安全、穩定的通訊隧道,各部門的私有業務隔離開來,確保各業務部門的私有業務之間相互隔離,並保證通訊隧道內傳送和接收資料的安全性。對於公共業務亦實現與部門私有業務之間的隔離。
4.安全組服務
安全組用來實現安全組內和組間虛擬機器的訪問控制,加強虛擬機器的安全保護。安全組建立後,管理員可以在安全組中定義各種訪問規則,當虛擬機器加入該安全組後,即受到這些訪問規則的保護。
典型場景舉例:虛擬機器隔離。例如,在同一VLAN下的兩個部門之間相互隔離,同一部門之間的虛擬機器可以相互訪問,但是所有虛擬機器都可以和伺服器通訊。解決方法如下圖所示,分別為部門1、部門2建立安全組1、安全組2,且安全組為組內互通;為安全組1和安全組2新增安全組規則,允許伺服器的IP地址段訪問安全組。
虛擬機器隔離如下圖:
【備案】
5.彈性IP服務
對於學校需要對網際網路使用者提供服務的業務, 學校雲校園雲平臺公共服務平臺為 應用提供彈性IP服務。
彈性IP地址是一個公網IP地址,該IP地址可以與各部門VPC內部署的 應用虛擬機器或負載均衡的內部地址進行繫結,從而實現網際網路使用者的訪問。這個內部地址可以是虛擬機器的IP地址,彈性負載均衡(VLB)的虛擬IP地址,或者是浮動IP地址。例如,為VPC內的Web伺服器繫結彈性IP後,公網使用者通過訪問彈性IP地址使用Web服務,如下圖所示:
各部門可根據需要調整自己的彈性IP對應的虛擬機器或負載均衡地址。
6.彈性負載均衡服務
學校雲校園雲平臺公共服務平臺為各部門應用虛擬機器提供負載均衡服務,各部門可以申請負載均衡器,將業務主機關聯到負載均衡器中。負載均衡器可以根據使用者設定的負載均衡策略,將業務請求均勻分發到相互關聯的主機上,使得每個業務主機的負載保持均衡,保證業務執行的穩定性和可靠性。
負載均衡器能夠檢查服務池中雲伺服器的健康狀態,自動隔離異常狀態的雲伺服器,從而解決單臺伺服器在處理效能、擴充套件性、穩定性方面的問題,同時負載均衡器還能起到增強伺服器池抗攻擊的能力。
彈性負載均衡可以由負載均衡硬體或者負載均衡軟體提供。其中,硬體負載均衡器具有高效能、高穩定性、高可靠性、高成本、支援協議多的特點。負載均衡軟體屬於經濟型負載均衡器,具有穩定性差、可靠性低、成本低、支援協議少的特點。
2.3.4雲平臺服務管理
2.3.4.1服務定義
服務中心預置了開箱即用服務,包括VDC、雲主機、雲磁碟、物理機等服務,這些預置服務向用戶開放所有的服務引數,使用者在申請服務時可以選擇或輸入服務引數,完全由使用者自定義所要的服務。例如通過預置服務申請雲主機時,使用者選擇雲主機的硬體規格、作業系統版本,配置雲主機的網路。
除了預置服務,全域性業務管理員或VDC業務管理員可以根據企業、部門情況,自定義服務目錄。例如,全域性業務管理員可以定義“標準測試Linux主機”服務,此服務已經固定使用了哪種作業系統型別、硬體規格,甚至雲主機所使用的網路、IP地址也是由管理員決定的,使用者申請“標準測試Linux主機”時只能輸入數量、申請時長,不能由使用者決定安裝哪種作業系統型別,選擇哪種硬體規格。
全域性業務管理員或VDC業務管理員在服務定義時,可定義專案包括:
1.服務名稱、描述、圖示。
2.使用者申請服務時可輸入哪些服務引數。(例如可以在定義服務時開放雲主機規格由使用者申請雲主機服務時使用者自己輸入)。
3.管理員審批時可以配置哪些服務引數。(例如管理員收到雲主機申請後,可以給雲主機配置一個靜態IP)
4.鎖定某些服務引數,鎖定的服務引數在使用者申請服務時沒有許可權配置。(例如定義雲主機服務指定作業系統型別為Win7)。
5.配置服務的審批策略:需要審批、不需要審批。
2.3.4.2服務申請
使用者可在自助務門戶的服務目錄中檢視到管理員預定義的各類服務,並根據自己的業務需要選擇相應的服務提交申請。申請時可以指定服務的規格引數和使用期限;
各預置服務申請功能列表:
預置服務功能列表:
服務申請功能
雲主機使用者可以指定地域、可用分割槽、作業系統型別、硬體規格、雲主機所在網路,雲主機個數。
雲磁碟使用者可以指定地域、可用分割槽、硬體規格、儲存型別、雲磁碟個數。
VDC使用者可指定配額(CPU核數、記憶體、儲存、彈性IP個數、VPC個數、安全組個數、虛擬機器個數)、VDC可使用哪些資源池。
彈性IP使用者可以指定地域、VPC、彈性IP個數,當前採用硬體路由器時,可以指定規格、公網IP池。
2.3.4.3服務審批
VDC 業務管理員可以審批來自VDC內使用者提交的服務申請,全域性業務管理員可以審批來自VDC 業務管理員提交的VDC服務申請。審批時,審批者可以選擇“同意”或者拒絕外,還可以配置一些服務引數,例如虛擬機器所使用的網路(審批者可以配置哪些服務引數可以在定義服務階段配置)。
2.3.4.4服務維護
業務使用者可以對已申請服務進行維護操作,例如VNC登入虛擬機器、虛擬機器上/下電,虛擬機器繫結彈性IP,磁碟繫結虛擬機器。
各服務維護功能列表:
服務維護功能列表:
服務維護功能
雲主機雲主機上/下電、重啟、休眠、雲主機轉虛擬機器模板、VNC登入、檢視監控資訊、建立雲主機快照。
雲磁碟雲磁碟掛載到雲主機,或從雲主機上解除安裝。
彈性IP彈性IP繫結到雲主機或負載均衡器,或從雲主機、負載均衡器解繫結。
VDC檢視VDC配額使用情況,VDC下已申請資源列表,資源數量統計。
VPC檢視VPC網路拓撲,在VPC下管理網路、路由器、防火牆、安全組、彈性IP、負載均衡器、VPN、DNAT。
2.3.4.5服務變更
對於已發放的資源,使用者可以提出變更申請對服務引數進行變更。如,使用者可以申請將一臺已發放的4G記憶體的虛擬機器變更為8G記憶體。
服務變更功能列表:
服務變更功能
雲主機變更雲主機硬體規格、服務到期時間。
雲磁碟變更塊雲磁碟規格、服務到期時間。
VDC變更VDC的配額、服務到期時間。
彈性IP服務到期時間。
2.3.4.6服務釋放
對於不再使用的資源,使用者可以提出釋放申請,系統會自動釋放使用者的資源。也支援服務到期後,由管理員釋放資源。對於到期的服務,業務使用者和VDC業務管理員登入到租戶Portal後,會收到到期提醒。對於已經到期的VDC,使用者無法從VDC服務目錄下繼續申請服務。
2.4運維敏捷性設計【對運維敏捷的見解力】
2.4.1統一運維管理平臺
資料中心綜合運維管理針對的主要問題是資源利用率低下、運維效率低下、維護成本高、業務上線慢、系統故障頻發等。為此需要實現的主要目標是運維自動化、便捷化、低成本、高效率,以及高可靠和高可用。
雲資料中心運維管理平臺提供一站式解決方案,把物理分散的多資料中心資源整合為邏輯統一的資源池;把計算、儲存、網路等基礎架構資源作為雲服務向用戶提供;實現了使用者自助服務;資料中心物理資源和虛擬資源統一排程,自動化控制和部署;流程化、標準化的對雲服務進行統一監管維護。
統一運維管理平臺通過對老校區資料中心資源的統一管理達成如下目標:
1.提高資源利用率,降低TCO
整合現有資料中心資源,將多個物理分離的資料中心整合為邏輯上統一的大資源池。在統一資源池內統一分配和排程位於不同資料中心的資源。資源分配時,可以按業務資源使用量進行排程。對物理資源池、資源分割槽,做資源碎片整理,避免盲目資源擴容。
2.業務敏捷,縮短業務上線時間
通過服務目錄、自助服務,業務部門可以自助、快速的申請資源;通過所見即所得的服務編排,快速定義業務執行需要的計算、網路、儲存等環境模板;根據模板,能夠實現資源的自動化控制,使業務所需資源可以及時獲取。
3.創新服務模式
基於各部門或業務單元對資源使用進行計量、統計,為各部門或業務單元分擔資源成本提供依據。如按數字圖書館的資源需求分配資源。
統一運維管理平臺的系統功能要求如下:
1.雲服務運營
為使用者提供統一的自服務門戶,使用者在門戶中可以進行服務申請、資源管理、資源操作等。
為管理員提供管理門戶,門戶的主要功能包括服務定義、訂單審批、服務流程編排、使用者管理、資源管理、模板管理、資源和運營報表等。
把新校區(西校區)資料中心與老校區資料中心的資源池整合為一個大的邏輯資源池,完成全域性資源監控、全域性資源排程、資源使用計量、資源容量規劃等功能。
2.服務運維
基於ITIL V3最佳實踐,提供事件管理、配置管理、釋出管理、變更管理、容量管理、CMDB等功能。
3.維護中心
提供多資料中心全域性統一的監控、告警管理、效能管理。是資料中心日常運維的門戶。
4.資源池管理
接受服務運營模組的資源服務請求,實現本地資源的分配排程,並對計算、儲存、網路等裝置做自動化控制、部署,以提供滿足業務要求的執行環境。
實現資料中心本地資源的自動發現、自動化控制,通過監控感知資源狀態、資源負載,並根據策略對資源做動態調整。
提供本地管理Portal,實現本地資源配置、模板管理、映象管理。
統一運維管理平臺的使用價值要求如下:
1.易於使用
系統本身具有直觀、易理解的操作介面,讓使用者第一眼就能找到自己最關注的功能操作和資料資訊。操作步驟、結果不違背多數人的常識和常規意識,並提供詳細的幫助資訊。
UI介面分角色,呈現使用者角色關心的資訊,少部分使用者使用的高階特性通過選項方式呈現。
90%以上的任務操作小於3步,超過5步的操作採用導航的方式。
要讓系統總是在合理的時間反饋給使用者合理的資訊,而不是讓使用者等待,操作響應小於3秒。
2.VMware異構虛擬化相容管理
通過FusionManager與vCenter對接可以管理VMware虛擬化資源池,可以實現虛擬機器的建立、刪除、遷移、關閉等生命週期管理,對外呈現的統一的資源服務。可以實現虛擬機器的監控和叢集的監控。
3.統一門戶
統一管理門戶提供了各類管理子系統的單點登入入口,也提供整合客戶已有管理系統入口的能力。另外,統一管理門戶提供了可定製的各類Dashboard,為使用者直觀展現所關心的資料中心各類指標。
4.統一管理
支援對單個或多個分散式資料中心內的物理和虛擬資源進行統一管理。
5.靈活定製
支援通過外掛方式,實現南向介面能力擴充套件、和客戶已有IT管理系統進行對接。
服務目錄、資源模型、資源檢視、排程策略等,支援客戶自定義,通過外掛擴充套件排程策略、服務型別。
支援資源和服務的靈活編排,統一排程計算、儲存、網路資源。
視覺化流程設計,通過外掛擴充套件流程節點,滿足靈活多樣的使用者服務請求和配置策略。
6.平滑擴充套件
系統按照高效能、大容量原則設計,提供平滑可伸縮的系統架構,支援高併發量使用者訪問,具備良好的擴充套件性。
7.開放標準
系統採用SOA架構,提供開放的API,易於跟第三方系統整合對接;採用開放的體系架構,遵循國際標準、行業標準,能夠適應業界主流的作業系統、Web中介軟體、資料庫等,保證系統能夠隨時無障礙地進行更新和移植。
8.元件化、鬆耦合
系統各部件之間鬆耦合,功能部件間的升級、變動不影響其他元件。
9.高可靠
統一運維管理平臺具備高可用性、高可靠性。採用高可用雙機技術、流量控制及過載保護機制,從硬體、網路、軟體等各層次進行系統可靠性系統架構設計,保證系統能夠提供高效能的資料處理和應用響應能力,確保各類應用系統和資料庫的高效執行,承載大量的使用者訪問。
2.4.2雲平臺可擴充套件性
2.4.2.1主機可擴充套件性
雲平臺中每個FusionManager最大支援256個VRM叢集,4096個主機伺服器、80000個虛擬機器支援。每VRM叢集支援的伺服器數量最大可達到256臺,每VRM叢集支援32個HA資源池。每HA資源池內支援的伺服器數量最多可擴充套件至128臺伺服器,可輕鬆滿足未來桌面的平滑擴容需求。
單虛擬機器可擴充套件性設計:單虛擬機器支援vCPU個數最大可以擴充套件到64個,記憶體可以擴充套件到1024GB,支援的虛擬網絡卡數最多可以支援12個,可充分滿足虛擬機器規格的彈性伸縮。
2.4.2.2虛擬桌面擴充套件性
虛擬桌面管理節點可分散式平滑擴充套件。一套虛擬桌面最大支援20000桌面使用者,當超過20000使用者容量後,需要新增加一套虛擬桌面管理節點,虛擬桌面管理節點之間屬於分散式,相互之間完全獨立。
2.4.2.3儲存擴充套件性
根據儲存需求增長,可以實現儲存線上平滑擴容,根據規劃可以線上擴充套件磁碟、磁碟框、控制框。華為FusionSphere支援儲存冷熱遷移,支援將虛擬機器的儲存卷在同一套儲存中的不同LUN,或者兩套不同儲存之間進行遷移;滿足客戶儲存進行平滑擴容的需求。
2.5等級保護安全設計
網路安全
1、劃分安全域:安全域的劃分從規劃和設計上將不同使用者的不同安全等級要求網路進行劃分,為部署和實施隔離措施提供了依據。
2、防火牆:在網路邊界對網路進行隔離和訪問控制
管理防火牆:部署在資料中心雲管理裝置和雲管理網路邊界,完成兩者之間的隔離和防護,是運營商的基礎設施
業務防火牆:部署在資料中心和外網(如Internet)的邊界,完成兩者之間的隔離和防護,是運營商的基礎設施
虛擬防火牆:部署在企業出租虛擬機器的邊界,主要租賃給企業完成各個租戶網路和外部網路的隔離和防護,企業根據自己的策略定製防火牆規則
3、流量清洗:對DDoS等惡意流量進行清洗,保護網路的可用性(高強度、高精度、靈活部署、系列化)
4、VPN 接入:通過傳輸加密措施,保護資料傳輸的機密性、完整性
資料中心傳輸安全由以下幾個方面保證:
• 管理面信任域與非信任域之間全部SSL加密;
• 使用者管理接入支援HTTPS,安全性要求高的提供SSL VPN接入使用者訪問虛擬機器支援SSH。
5、入侵檢測與防禦:對網路上的攻擊行為進行實施檢測、防禦並響應
◆實時檢測與攔截網路攻擊
對網路流量進行實時檢測,攔截各種網路攻擊及維護網路安全的行為。
◆產生報警並提供統計分析資料
對攻擊行為產生實時報警,並存儲歷史報警資料,通過統計歷史資料進行統計分析,提供各
種維度的資料報表,供決策使用。
6、網路防病毒:在網路上對病毒進行攔截
7、網閘:實現不同安全等級網路間的隔離
資料只能以專有資料塊方式靜態地在兩個網路間進行“擺渡”,從而切斷了不同安全等級網路之間的所有直接連線,保證資料能夠安全、可靠地交換
2、主機安全:主機惡意軟體防護、主機安全系統加固
系統加固:通過合理配置相應系統引數、降低程式執行許可權等手段,達到增強系統安全能力的目的,保護租戶的業務資料和資產安全
3、虛擬化安全
雲平臺安全加固:提供針對Cloud管理應用和HyperVisor的安全加固解決方案
虛擬機器模板加固:提供基於業界最佳實踐的雲主機加固模板
惡意虛擬機器防護:提供基於虛擬機器的IPS解決方案,彌補了傳統網路層入侵檢測和入侵防禦措施的不足,及時發現入侵威脅,並進行有效處理
安全隔離:有完善的虛擬機器隔離