云管平臺(tái)的構(gòu)建思路探討

王磊

[摘 要]隨著近幾年虛擬化技術(shù)的發(fā)展與應(yīng)用，虛擬化技術(shù)架構(gòu)已經(jīng)成為數(shù)據(jù)中心基礎(chǔ)設(shè)施領(lǐng)域的主流解決方案。但是隨著虛擬機(jī)集群規(guī)模的不斷擴(kuò)張，用戶對于資源服務(wù)的類型和效率的需求不斷提升，以及虛擬化環(huán)境內(nèi)部安全防護(hù)等問題急需解決。因此，企業(yè)需要在虛擬化環(huán)境基礎(chǔ)之上，構(gòu)建云管理平臺(tái)并與底層環(huán)境對接，豐富資源服務(wù)類型，提升服務(wù)效率，實(shí)現(xiàn)Iaas層面資源的精細(xì)化、自動(dòng)化管理，從而逐步開始從虛擬化向云計(jì)算演進(jìn)。

[關(guān)鍵詞]云計(jì)算；虛擬化；資源服務(wù)化

doi：10.3969/j.issn.1673 - 0194.2018.12.025

[中圖分類號]F270.7；F426.92 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號]1673-0194（2018）12-00-02

1 研究背景

近幾年，在企業(yè)數(shù)據(jù)中心云化過程中，建設(shè)了大量虛擬化服務(wù)器集群，實(shí)現(xiàn)了網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)資源的共享與按需調(diào)度，有效提升了企業(yè)基礎(chǔ)設(shè)施資源的利用率，利用模板復(fù)制等技術(shù)大幅度縮短了環(huán)境準(zhǔn)備周期，同時(shí)，基于云計(jì)算高可用技術(shù)特性強(qiáng)化了業(yè)務(wù)延續(xù)性，為企業(yè)信息系統(tǒng)開發(fā)、測試、上線和運(yùn)行提供了有力支撐，對企業(yè)信息化建設(shè)起到促進(jìn)作用。

虛擬化整合的服務(wù)器群，在統(tǒng)一管理中心的協(xié)調(diào)與權(quán)限控制之下，對于上層應(yīng)用來說，所有框架內(nèi)的資源，包括CPU、內(nèi)存、存儲(chǔ)和網(wǎng)絡(luò)等都是共享的，以資源池的方式提供給虛擬服務(wù)器，協(xié)調(diào)管理中心根據(jù)運(yùn)行情況、用戶訪問量，能實(shí)時(shí)動(dòng)態(tài)調(diào)整資源分配情況，保障資源在所有虛擬化體系中的均衡分布，確保信息系統(tǒng)的平穩(wěn)、順暢運(yùn)行。并且虛擬化平臺(tái)應(yīng)用了高可用特性，通過制訂策略確保硬件和虛擬資源的自動(dòng)化故障轉(zhuǎn)移，出現(xiàn)故障能夠立即完成切換恢復(fù)故障，保障了業(yè)務(wù)延續(xù)性尤其是關(guān)鍵生產(chǎn)應(yīng)用的不間斷運(yùn)行。

虛擬化平臺(tái)能夠支撐企業(yè)生產(chǎn)、辦公、綜合管理等信息系統(tǒng)的穩(wěn)定運(yùn)行，通過應(yīng)用虛擬化技術(shù)，將在用信息系統(tǒng)逐步遷移至虛擬化環(huán)境，關(guān)閉耗能低的舊服務(wù)器，節(jié)約了能源，同時(shí)提升了系統(tǒng)安全。同時(shí)，虛擬化平臺(tái)通過信息系統(tǒng)的遷移及集中管理，促使各單位的機(jī)房、基礎(chǔ)設(shè)施、物理服務(wù)器等設(shè)備不斷減少，有效降低了運(yùn)維成本。此外，虛擬化技術(shù)的應(yīng)用，使信息系統(tǒng)建設(shè)過程中的系統(tǒng)開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境分離方便快捷，并大大降低了系統(tǒng)備份、容災(zāi)等難度。

但是，隨著虛擬機(jī)規(guī)模的不斷擴(kuò)大，面對物聯(lián)網(wǎng)、大數(shù)據(jù)技術(shù)對于底層資源的新需求，以及云計(jì)算環(huán)境內(nèi)部安全防護(hù)等需求方面，還存在如下問題：第一，基礎(chǔ)的虛擬化平臺(tái)自助申請功能較弱，目前資源創(chuàng)建還是手工方式，效率較低；第二，虛擬化平臺(tái)沒有給用戶提供管理接口，當(dāng)虛擬服務(wù)器網(wǎng)絡(luò)或者遠(yuǎn)程連接服務(wù)出現(xiàn)問題后，用戶無法對所轄虛擬機(jī)進(jìn)行管理和運(yùn)維，導(dǎo)致運(yùn)維效率較低；第三，主流的VMware、華為、KVM、Xen等異構(gòu)虛擬化環(huán)境技術(shù)架構(gòu)彼此獨(dú)立，難以實(shí)現(xiàn)統(tǒng)一管控；第四，基礎(chǔ)的云平臺(tái)只支持二層網(wǎng)絡(luò)，沒有三層及以上的訪問限制及安全控制能力，無法實(shí)現(xiàn)云平臺(tái)內(nèi)部虛擬機(jī)之間的安全防護(hù)；第五，虛擬化平臺(tái)主要以虛擬機(jī)方式為用戶提供服務(wù)，比較單一，對于數(shù)據(jù)庫等共性服務(wù)不能按需為用戶提供自助化服務(wù)。

因此，為了解決上述問題，結(jié)合現(xiàn)在主流云平臺(tái)管理技術(shù)架構(gòu)——OpenStack，構(gòu)建云管平臺(tái)，以滿足上層應(yīng)用、底層資源運(yùn)維管理及安全等需求。

2 云管平臺(tái)的構(gòu)建方案

2.1 設(shè)計(jì)原則

在云管平臺(tái)構(gòu)建的過程中，要堅(jiān)持以下原則。

（1）成熟性。基于業(yè)界成熟的開源軟件OpenStack制訂云管平臺(tái)解決方案，并結(jié)合自身需求進(jìn)行功能訂制和二次開發(fā)。

（2）開放性。出于對云計(jì)算平臺(tái)所承載業(yè)務(wù)的性能、可用性和安全性等非功能性的要求，需要考慮X86平臺(tái)的基礎(chǔ)架構(gòu)云服務(wù)能力。云管平臺(tái)使用主流開源虛擬化方案，向上層提供完善易用的API接口，對主機(jī)、硬盤、網(wǎng)絡(luò)、負(fù)載均衡器和防火墻等功能提供API級別的支持，兼容主流虛擬化平臺(tái)的映像格式。

（3）擴(kuò)展性。在規(guī)劃階段，著眼于基礎(chǔ)架構(gòu)云服務(wù)能力，計(jì)算能力、存儲(chǔ)能力、網(wǎng)絡(luò)支持能力可以進(jìn)行線性擴(kuò)展。后續(xù)支持通過VXLAN等隧道協(xié)議與異地云平臺(tái)進(jìn)行對接，實(shí)現(xiàn)異地資源的統(tǒng)一管理與按需調(diào)度。

（4）易用性。由于眾多業(yè)務(wù)系統(tǒng)的運(yùn)營壓力不斷增加，需要提供容易管理和監(jiān)控的統(tǒng)一化平臺(tái)，為用戶提供使用云計(jì)算資源的門戶，提供合適的自動(dòng)化部署、管理工具，提供軟件定義的虛擬網(wǎng)絡(luò)、虛擬路由器、交換機(jī)和負(fù)載均衡器等網(wǎng)絡(luò)功能，具備網(wǎng)絡(luò)拓?fù)鋱D形顯示功能。

（5）安全性。具備網(wǎng)絡(luò)間的二層隔離，提供虛擬防火墻等安全機(jī)制，幫助用戶防護(hù)非授權(quán)訪問與攻擊；提供支持HTTPS協(xié)議的負(fù)載均衡器；提供完善、可靠的備份方式與備份工具，支持主機(jī)及硬盤的快照功能，支持實(shí)時(shí)備份、全量、增量備份等備份模式；具備多副本等保障數(shù)據(jù)安全的機(jī)制。

（6）高性能。具備不弱于主流商業(yè)云平臺(tái)的虛擬化性能；具備一定的I/O性能，在關(guān)閉Cache的情況下，虛擬存儲(chǔ)設(shè)備可以滿足Oracle、DB2等高I/O數(shù)據(jù)庫應(yīng)用的要求；實(shí)現(xiàn)資源創(chuàng)建、銷毀的快速響應(yīng)。

2.2 技術(shù)方案

基于上述需求及原則，基于OpenStack進(jìn)行開發(fā)，并搭建云管平臺(tái)。首先，與現(xiàn)有云平臺(tái)進(jìn)行對接，同時(shí)也將物理機(jī)納入管理，實(shí)現(xiàn)底層基礎(chǔ)設(shè)施資源的統(tǒng)一管理。其次，基于多租戶對現(xiàn)有資源進(jìn)行劃分，實(shí)現(xiàn)資源共享，并基于網(wǎng)絡(luò)安全虛擬化技術(shù)，將防火墻、IPS等安全設(shè)備虛擬化，部署在云平臺(tái)內(nèi)部，實(shí)現(xiàn)云平臺(tái)內(nèi)部網(wǎng)絡(luò)的安全管控與隔離。最后，通過自助化服務(wù)流程以及應(yīng)用模板提高自助服務(wù)能力，利用自服務(wù)門戶將計(jì)算、存儲(chǔ)、數(shù)據(jù)庫和網(wǎng)絡(luò)安全防護(hù)等資源以服務(wù)的方式提供給租戶，從而不斷提升資源的申請效率。

2.2.1 搭建云管平臺(tái)，并與現(xiàn)有基礎(chǔ)設(shè)施資源進(jìn)行對接

基于標(biāo)準(zhǔn)的API，實(shí)現(xiàn)云管平臺(tái)與現(xiàn)有VMware、華為、KVM、Xen等虛擬化平臺(tái)進(jìn)行對接，實(shí)現(xiàn)基礎(chǔ)設(shè)施資源的統(tǒng)一管理，包括對于虛擬資源的日常管理操作，并保留其高級技術(shù)特性。其中，云管平臺(tái)與KVM環(huán)境是原生兼容的，VMware、華為、Xen環(huán)境等需要與其自帶管理節(jié)點(diǎn)對接，實(shí)現(xiàn)所屬資源的納管，同時(shí)，對于其高級特性還是通過自身管理節(jié)點(diǎn)負(fù)責(zé)管理，云管平臺(tái)只需要同步相關(guān)配置即可。

對于物理服務(wù)器，基于云管平臺(tái)的Ironic管理節(jié)點(diǎn)，對所有物理服務(wù)器進(jìn)行統(tǒng)一管理。通過PXE Driver和IPMI Driver等技術(shù)，實(shí)現(xiàn)X86服務(wù)器的自動(dòng)化管理。

2.2.2 靈活劃分VDC，實(shí)現(xiàn)數(shù)據(jù)中心資源共享

基于云管平臺(tái)，將數(shù)據(jù)中心網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)等資源劃分成多個(gè)VDC（虛擬數(shù)據(jù)中心）來使用。同時(shí)，對于不同的組織機(jī)構(gòu)或者業(yè)務(wù)類型，創(chuàng)建相應(yīng)的租戶作為VDC管理員，在給定的權(quán)限和資源配額，管理VDC相關(guān)資源。實(shí)現(xiàn)數(shù)據(jù)中心資源的分權(quán)、分域管理。此外，各租戶所轄資源都是安全隔離的，默認(rèn)不能相互訪問。

2.2.3 通過網(wǎng)絡(luò)安全虛擬化技術(shù)，強(qiáng)化云平臺(tái)內(nèi)部安全管控能力

通過網(wǎng)絡(luò)安全功能虛擬化等技術(shù)，構(gòu)建網(wǎng)絡(luò)安全資源池，包括VFW、VIPS、VLB等，部署在相關(guān)虛擬網(wǎng)絡(luò)節(jié)點(diǎn)，實(shí)現(xiàn)云平臺(tái)的內(nèi)部網(wǎng)絡(luò)安全防護(hù)。首先，需要對云平臺(tái)內(nèi)部進(jìn)行安全區(qū)域劃分，并針對不同區(qū)域制訂不同的網(wǎng)絡(luò)安全策略。同時(shí)，各區(qū)域之間原則上限制相互訪問，以此來實(shí)現(xiàn)云平臺(tái)內(nèi)部南北向的流量控制與安全防護(hù)，提升云平臺(tái)網(wǎng)絡(luò)的安全性。

2.2.4 完善數(shù)據(jù)庫集中環(huán)境，實(shí)現(xiàn)數(shù)據(jù)庫資源的共享

隨著企業(yè)數(shù)據(jù)庫集工作的深入，大部分企業(yè)利用構(gòu)建數(shù)據(jù)庫集群環(huán)境的方式，來承載分散的數(shù)據(jù)庫，解決了數(shù)據(jù)庫運(yùn)維管理、容災(zāi)及信息安全問題。通過權(quán)限控制，限制用戶只能管理所轄數(shù)據(jù)庫，從而實(shí)現(xiàn)數(shù)據(jù)庫的分級管理與資源共享。同時(shí)，制定數(shù)據(jù)庫分級管理辦法，為數(shù)據(jù)庫大批量集中提供管理依據(jù)。后續(xù)，隨著云管平臺(tái)的建立，基于接口與數(shù)據(jù)庫集中環(huán)境對接，利用自助服務(wù)門戶，實(shí)現(xiàn)數(shù)據(jù)庫資源以自助服務(wù)的形式提供。

2.2.5 構(gòu)建服務(wù)目錄，實(shí)現(xiàn)多元化自助服務(wù)

結(jié)合云管平臺(tái)自助服務(wù)門戶，通過建立自助服務(wù)目錄將計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)以及數(shù)據(jù)庫等其他資源以服務(wù)的方式，基于多租戶的不同權(quán)限來提供服務(wù)。其中，計(jì)算服務(wù)包括虛擬機(jī)、物理機(jī)等；存儲(chǔ)服務(wù)包括塊存儲(chǔ)、對象存儲(chǔ)以及分布式存儲(chǔ)等；網(wǎng)絡(luò)服務(wù)包括VLB、VFW、VRouter、VIPS等；數(shù)據(jù)庫服務(wù)可以是現(xiàn)在主流的SQL、Oracle、MySql等，也可以與MapReduce、Spark等大數(shù)據(jù)分析環(huán)境對接提供大數(shù)據(jù)分析服務(wù)。在建立自助服務(wù)流程的過程中，首先由VDC租戶申請相關(guān)資源和服務(wù)，VDC管理員對VDC租戶所需的服務(wù)、資源、安全策略等進(jìn)行定義，在通過審核后下發(fā)，由VDC用戶即可管理相關(guān)資源、使用相關(guān)服務(wù)。

2.2.6 基于智能監(jiān)控管理引擎，實(shí)現(xiàn)精細(xì)化運(yùn)維管理

隨著云管理平臺(tái)的建立，企業(yè)要利用智能監(jiān)控管理引擎，實(shí)現(xiàn)數(shù)據(jù)中心云計(jì)算資源、物理資源監(jiān)控信息的統(tǒng)一匯總與展示。隨著運(yùn)行數(shù)據(jù)的不斷積累，形成系統(tǒng)正常運(yùn)行的基線，并且能夠在數(shù)據(jù)異常時(shí)發(fā)出告警，為管理員日常運(yùn)維管理提供參考。在資源管理方面，管理員要持續(xù)關(guān)注資源實(shí)際使用情況，對于資源閑置和資源不足的情況，可以靈活調(diào)節(jié)、盤活資源，提升資源的利用率。

3 結(jié) 語

云管平臺(tái)的建立與應(yīng)用，能夠解決基礎(chǔ)的虛擬化平臺(tái)在運(yùn)維管理方面的問題，實(shí)現(xiàn)基礎(chǔ)設(shè)施資源的統(tǒng)一管理及優(yōu)化整合，并實(shí)現(xiàn)了精細(xì)化運(yùn)維管理，有效提升運(yùn)維管理效率。同時(shí)，企業(yè)通過將網(wǎng)絡(luò)、存儲(chǔ)、計(jì)算、安全和數(shù)據(jù)庫等資源，以服務(wù)的方式為信息系統(tǒng)提供服務(wù)，能有效提升資源服務(wù)效率，為企業(yè)信息系統(tǒng)提供了有力支撐，對企業(yè)信息化建設(shè)起到了積極的促進(jìn)作用。