荊州職業技術學院虛擬化云平臺建設實例

摘要：隨著云技術的不斷發展和普及，越來越多的企業開始建設自己的云平臺。荊州職業技術學院通過采用先進的虛擬化云技術，達到利用教育信息化手段提升自身內涵建設的目的，以超融合虛擬化平臺為基礎搭建了“智慧校園”軟件系統運行平臺。通過建設與運行，荊州職業技術學院積累了一定的經驗，希望通過此文的分享能帶給讀者新的思考。

關鍵詞：校園網；虛擬化；云平臺；建設

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2019）09-0031-02

1 虛擬技術及硬件平臺的選擇

虛擬技術是一項整合硬件資源、統一調配資源、節省能源的有效技術。它可以分為完全虛擬、準虛擬、系統虛擬、桌面虛擬等。其主要目的是實現對IT基礎設施的簡化和資源管理的訪問。

在沒用采用虛擬化之前，我校各部門服務器沒有實現統一管理，資源分散、系統單一、利用率不高，而且各部門技術人員水平參差不齊，無法有效保障服務器運行的安全。學校總出口只有一臺四層硬件防火墻，不具備WAF防護和抗網絡攻擊能力，校內學生拿校內服務器作攻擊測試的事件偶有發生，校園網使用周期過長，線路老化亟待更換等現象層出不窮。為了從根本上解決這些問題，學校在新的“智慧校園”建設規劃上，決定購置虛擬化平臺。

1.1虛擬化產品的選擇

通過第三方代理招標，我校采用了深信服的超融合HCI產品。該產品是基于開源KVM架構，自行研制的虛擬化軟件。其軟件整合了計算虛擬化（aSV）、網絡虛擬化（aNET）、存儲虛擬化（aSAN）、下一代防火墻（vNGAF）、應用交付（vAD）、上網行為管理（vAC）、移動辦公（vSSL VPN）、廣域網優化（vWOC）、數據庫安全審計系統（vDAS）、持續數據保護（CDP）、異構虛擬化管理（aHM）、監控中心（aMC）等豐富的功能。

我校根據實際需要，只選用了計算虛擬化（aSV）、網絡虛擬化（aNET）、存儲虛擬化（aSAN）、下一代防火墻（vNGAF）、應用交付（vAD）、異構虛擬化管理（aHM）、監控中心（aMC）等功能。

1.2服務器群硬件配置

HCI超融合自身最大優勢就是一臺服務器即可構成虛擬化平臺，無需再外接存儲等服務器，可根據實際需要擴展（需授權數支持），是基于LINUX的純軟件系統。服務器硬件可新購，也可利舊或改造，其系統只能應用在INTEL平臺，最大只支持雙路，單CPU不低于8-12T；內存最小16GB，其中系統占用4GB左右；網卡最少4個GE，分為業務、集群、存儲、管理4張網；存儲只支持JBOD或RAID0，不可熱添加硬盤；緩沖盤采用高速SSD或PCI-E，SSD：HDD為1：5或1：3，最小可由1塊系統盤、1塊SSD緩沖盤、1塊HDD數據盤構成。

我校購置單臺服務器配置為INTEL XEON V2660處理器*2，INTEL SSD480G系統盤，INTEL PCI-E 800G緩沖盤，HGST 4T HDD數據盤*8，INTEL 10GE網卡*4（存儲、業務做端口聚合），INTEL GE網卡*2，內存128GB。規劃單臺服務器可虛擬15臺服務器（4核+8GB內存+1T存儲）。實際只能虛擬5～10臺（部分虛擬服務器占用32GB內存）。

1.3網絡架構需求

HCI超融合需要用到4張獨立的網絡，集群、管理、存儲可以通過同臺交換機劃分VLAN實現，不需要使用外網，但管理機必須接入到管理VLAN中。業務需要使用校園網。

我校購置了2臺48口全萬兆交換機和1臺24口全千兆交換機用于超融合平臺的網絡接入。其中24口千兆交換機劃分2個VLAN，分別接入集群網、管理網，1臺48口全萬兆交換機做端口聚合，接入業務網，1臺48口全萬兆交換機未做端口聚合，接入存儲網。

超融合平臺購置時有帶寬限制，vNGAF授權只有1.6Gbps帶寬，vAD只有5Gbps帶寬，所以理論上單卡10GE完全夠用。

2 虛擬化平臺的基本功能

當HCI超整合平臺投入使用后，我校將原信息化系統進行了遷移。如心理測評系統、OA系統、教務系統、數據采集系統、圖書管理系統、DNS服務器、HTTP服務器等，后又新建了虛擬仿真、智慧教室、虛擬卡、電梯控制、站群、統一身份認證、門戶平臺等服務器。

從總體上來看，目前各系統運行穩定，資源保障可控，暫無安全事件發生。

2.1虛擬機支持與建立

HCI將服務器的管理分為了二塊。一塊是實體機管理功能，即服務器硬件實體管理。可查看單臺服務器使用情況、添加新部署主機、服務器集群等，可以很直觀地看到服務器當前資源使用情況。一塊是虛擬機的管理功能，包括新建虛擬服務器、分組、刪除、強制關機、查看當前占用主機資源、IO流速狀態等功能，編輯硬件配置或改名需關機處理。

新建虛擬機支持市場主流操作系統，我校主要以WINDOWS家族為主。新建虛擬機后，可轉換為模板，進行批量克隆，也可直接克隆。轉成模板后不可再操作，無法升級、開機，一旦克隆出新的虛擬機，模板也無法刪除，個人感覺十分不便。

服務器和虛擬機都有HA和動態資源調度功能。當資源低于設置的閾值，將自動激活調度功能，動態添加CPU或內存。虛擬機只支持LINUX系列和WINDOWS 2008DC系列的CPU和內存熱添加，其他版本僅支持內存熱添加。

2.2存儲和備份恢復

當HCI安裝完成后，平臺會自動生成一個虛擬存儲，把所有HDD數據盤資源整合成一個大的卷，新集群的服務器會自動加入這個卷里。存儲卷分為二個空間，一個是數據存儲空間，一個是備份池空間。數據存儲主要用于HA和存儲，備份池主要用于虛擬機自動備份。當虛擬機發生硬件資源故障時，HA自動把虛擬機恢復到其他主機上運行。備份策略我校設置為按周存儲，每天進行增量備份，存儲7天后刪除。以前低版本上有個虛擬機開機自動恢復初始選項很好用，后來版本更新后取消了，個人認為可以保留。

2.3虛擬網絡和安全保障

前文說過，HCI是一個純系統，因此平臺內所有的設備都是虛擬的，比如虛擬交換機、虛擬防火墻、虛擬服務器，用戶可以在虛擬網絡里自行編輯拓撲。

HCI的防護功能除了vNGAF外，還具有分布式防火墻功能。它可以提供虛機間防護功能，防止某臺虛機被攻破后，躍遷到其他虛機。vAD功能我校只用了單臂模式。

3 虛擬化平臺在實際應用當中的效果

3.1通過統一管理實現資源調度

虛擬化最大的好處就是可以實現資源統一管理，因此虛機所占資源是可以根據實際需要調整的。案例一：我校HTTP服務器初配資源為CPU4核+內存8GB+C盤100GB+D盤100GB+WINDOWS SERVER 2016DC，使用時，CPU使用率為2%，內存使用率為18%，磁盤使用率為17%，IO讀寫不超過300KB/S，基本滿足了需要，但遠程操控時，感覺系統流暢度不夠，將CPU調整為8核，問題解決。案例二：我校圖書借閱系統服務器初始配置與HTTP服務器相同，因為用到SQL數據庫，因此備份數據較多，D盤空間迅速被BAK文件占滿，圖書館提出擴容需求后，新增一個500GB磁盤空間。因圖書借閱系統服務是從模板克隆的，所以磁盤空間不能在原空間上直接擴容。案例三：集群資源調度出現紅色警報，某臺實體機內存占用率一直超過閾值，其他實體機正常，日志里沒有集群資源調度記錄。打開調度配置后，發現原因是新開虛機過多，單臺內存分配達到32GB，且沒有加入調度虛擬機里，所以都集中在一臺實體機上，造成此原因。將新開虛機加入調度，集群自行調度負載后，問題解決。

3.2通過策略配置保障用網安全

HCI自帶東西、南北兩個方向的防護功能。內外網防護有vNGAF，虛機間防護有分布式防火墻。vNGAF與普通硬件防火墻相似，只是防護系統運行在虛擬硬件上。也可以對虛擬硬件的網口數量、CPU核數、內存容量、磁盤容量、運行位置等參數進行調整，通過點擊詳細狀態，可對當前設備狀態、會話數量、連接狀態、網絡狀態等參數進行實時查看。

進入vNGAF的WEB控制臺可以看到更加詳細的防護策略與狀態。其中用到最多的功能是：漏洞掃描、WAF防護、應用控制、全局放行與封堵。案例一：某內網IP每次連接DNS服務器時，UDP會話數都超過萬位，進行手動封鎖后，該IP會話數被限制，過幾天該IP的UDP會話數又暴增，通過設置防火墻中連接數控制，會話被自動限制。案例二：WAF中設置了CC攻擊防護閾值，某內網IP訪問內網服務器頻率高于該閾值被WAF規則匹配到，自動加入封鎖IP名單內。案例三：防火墻檢測到內網服務器IP流量異常，查看詳情，提示80/8080端口異常，可能感染了木馬，正對外發送大量異常的數據包，可疑外發流速為24Mbps，而正常外發流速為38Kbps。經分析，為服務器安裝了TeamViewer軟件，廠家工程師遠程連接維護造成。案例四：通過觀察內置數據中心，發現某臺內網服務器每天零點后，都會定點向廣州2個IP發送數據包，初感認為中了木馬，后進入該虛機查看，發現服務器上安裝有騰訊電腦管家軟件，刪除該軟件后，問題解決。案例五：通過觀察內置數據中心，發現外網訪問、攻擊、掃描、爬蟲數據特別多，有些被成功匹配拒絕，有些被允許通過，安全風險過大，通過調整相應WEB應用防護識別庫的規則號后，攻擊、爬蟲等原先被允許的訪問被拒絕。

分布式防火墻配置較簡單，主要針對虛機的防護。可通過配置簡單訪問規則實現勒索病毒的防護，也可針對某臺具體虛機進行配置訪問端口。配置與普通防火墻相同，這里就不再贅述。

3.3通過流量管控保障虛機應用

HCI授權的帶寬只有1.6GB，相對于校園網來說帶寬是非常有限的，后期如需提速，還需另外授權。如何用有限的帶寬為眾多應用提供流量保障，那就必須啟用流量管理，依據每臺虛機的帶寬使用情況設置更加精細化的帶寬分配策略。

經采樣，非視頻虛機最大猝發流速達到了接收1.3Mbps（HCI只能看到最近24小時數據），因此單向5Mbps的基本帶寬，10Mbps的最大帶寬基本適用于常規應用的虛機。智慧教室錄播主機最大猝發流速達到了接收6.11Mbps（最近24小時數據），因此單向10Mbps的基本帶寬，20Mbps的最大使用帶寬基本足夠。

具有云播功能的服務器建議使用實體機。一是虛機出口總帶寬不夠，二是視頻文件通過虛機進行網絡拷貝速度太慢，三是HCI更新需要重啟服務器，存在數據安全風險。

4 使用后的幾點感受

從2017年7月開始建設到現在，HCI在系統升級中也出現過幾次無法解決的問題，比如恢復備份問題、存儲問題、操作系統支持問題等，也通過廠商論壇進行過求助，后來廠商還專門成立了技術小組，通過研發新補丁的方式解決。

總體感覺，一是人機界面上還有待改善，特別是vNGAF和vAD，相比阿里云、騰訊云、天翼云等還有很大差距；二是底層LINUX系統無法在平臺上監管，接入網絡后存在安全風險；三是操作應更簡單、直觀，配置層級過多，尋找不方便；四是需要增加傳送門功能，不僅僅是提示，而是可直達到配置頁面。

大家常說，要給國產軟件多些包容，但筆者覺得，在市場競爭如此激烈的當下，包容越多淘汰越快。希望國產軟件在全方位都能做到國際一流。

參考文獻：

[1] 李剛.荊州職業技術學院校園網優化與實現[J].電腦知識與技術，2016（7）：24-25.

[2] 李剛.淺談云時代下數字化校園網絡架構的調整與優化[J].電腦知識與技術，2015（5）：12-13.

【通聯編輯：朱寶貴】