您的位置:首页 > 融合创新与教育变革征文

高校IaaS私有云数据中心解决方案

华中农业大学现代教育技术中心 熊浪 谢虎

  随着信息化建设的飞速发展,高校各单位各部门的信息系统上线越来越多,越来越频繁,对基础设施资源的需求越来越多、要求越来越高,传统的烟囱式的建设模式,每个业务系统都独自占用了基础设施资源,硬件利用率低下、运行成本居高不下;业务部门主导信息系统基础设施资源的建设和管理,领域陌生而有心无力。以数据中心的模式集中建设学校信息化基础设施资源,由专业的部门统一管理和调度基础设施资源,是高校信息化基础设施建设的必由之路。

  建设背景

  IaaS私有云数据中心已经广泛应用,特别是政府和企业都已经大量使用,其整体架构如图1显示,是利用虚拟化技术把数据中心内的存储、计算和网络资源进行池化,通过IaaS私有云平台对资源池进行管理和资源调度,并按照用户的需求把资源分配给用户。

图1 IaaS私有云数据中心整体架构

  高校建设IaaS私有云数据中心的过程中需要考虑到高校信息化中用户的特点和应用的特点,适度使用相关技术,逐步搭建适合自身信息化建设需求的云数据中心。

  高校IaaS私有云数据中心服务的用户是多样的,活跃的,用户的信息化素养各不相同。高校几乎人人都会参与到信息化建设中,用户分布于学校层面、部门层面和个人层面,有些部门或者院系的信息化能力很强,甚至有自己专门的信息化部门,而更多的用户却是基本不掌握信息技术。但是,高校的师生对新的科学技术很敏感,都希望使用信息化技术提高自己的管理、教学、科研甚至生活的效率。

  高校IaaS私有云数据中心支撑的应用是多样的,细碎的。高校之中需要数据中心支撑的信息系统,不仅仅是各个业务部门的信息系统,还有教学、科研单位、各种社团、甚至师生个人的信息系统;除了大量的官方应用,还有大量的半官方的、个人的应用。一些信息系统需要很高的服务保障级别,需要做到应用级的双活,比如数字化校园的三大平台、校园卡系统、后勤信息化等,而另一些信息系统可能根本就不需要什么服务保障。

  高校师生的活跃,决定了很多高校的应用的不确定性,师生对新技术的敏感使得大部分应用的迭代速度都很快。

  高校的应用众多,但是每个信息系统的用户有限,除了为全校学生服务的信息系统(比如选课系统等)以外,并发的用户并不高,对基础设施资源的处理能力、读写能力的要求不高,因而高校的数据中心并不需要大量的基础设施资源,不像大型互联网公司那样成千上万的硬件设备。

  这些特点决定了高校的IaaS私有云数据中心小而全的特质,应该有足够的灵活度,去应对不同种类、不同层面的应用和用户。

  网络安全是高校在建设IaaS私有云数据中心的过程中需要着重考虑的另外一个问题。

  随着网络安全法的实施,确定了信息系统安全等级保护的法律地位。如何在云化的数据中心为不同安全级别的信息系统提供相应的安全防护是一个重要的问题。而且,从安全管理的角度,高校存在的最大问题在于,安全责任很难分解,网络服务的实际提供者很多,而相关职能部门认定的责任人却只有一个--学校法人。另一个问题是,高校用户的信息化素养参差不齐,在网络安全方面,高校除了网络中心这类的信息部门的管理员以外,几乎没有人关注相关技术。因此,高校信息系统的安全防护很大程度上是需要集中实施的。

  华中农业大学2014年采用H3Cloud OS搭建了IaaS私有云平台,开始了逐步向云数据中心过渡的过程。至今,IaaS私有云平台承载了全校80%的信息系统,包括网站群平台、邮件系统等基础网络服务系统,数字化校园的三大平台、大数据分析平台等集中建设的公共信息平台,也包括教务、学工、科研、人事等各职能部门的业务系统,图书馆的各类电子资源,多个学科的虚拟仿真教学平台,以及如“柑橘害虫信息系统”这样的科研团队建设的信息系统。平台为全校信息化建设提供了集中而专业的基础设施资源服务。

  IaaS私有云数据中心的建设

  1.底层的物理资源建设

  IaaS私有云的底层物理资源是基础,稳定、可扩展是必要的要求。

  高校应该至少有两个数据中心,毕竟有许多业务需要很高的服务保障,两个数据中心是业务连续性和数据安全的基础。

  针对学校种类繁多的应用,在数据中心内,需要把物理资源大致分成两大类来建设,类似于某些厂家提出的稳态IT资源和敏态IT资源,两类资源用来支撑不同类型的业务。

  对于管理部门的信息系统以及公共数据库等重要业务,整体发展目标明确,业务的形态和数据的增长基本是可以预期的,这类业务对基础设施资源的要求是高性能、服务的连续性和数据的安全性。如图2所示,这类资源部署在中高端的FC集中式存储上,满足重要的业务高稳定性和高性能的要求。把两个数据中心分别作为生产中心及灾备中心,分别建立全局化的存储资源池,纳管不同品牌的FC集中式存储,简化日常维护工作,提高前端业务部署的灵活性;对非核心应用提供基于数据块级别的数据保护,通过存储底层的复制功能将生产中心的非关键数据备份至灾备中心;对核心业务提供更可靠的保护,在生产中心与灾备中心间实现应用级的双活,使核心业务的RTO、RPO均为零(接近零)。

图2 重要业务的基础设施

  除了重要业务外,高校其他业务系统的特点是用户分散,资源增长量大且难以预计,上线快速、迭代也快速,对基础设施资源的要求,强调的是弹性扩展、用户的自服务。如图3所示,华中农业大学将这类资源主要部署在H3C OneStor(分布式存储)上,分布式存储的横向扩展能力和成本优势正好弥补了FC存储的不足,而又足够支撑低烈度的业务,更吸引人的是,理论上说,这类资源可以支撑业务系统进行不中断业务的迁移。

图3 一般业务基础设施

  2.网络建设

  数据中心的网络需要性能高、时延小、端口密度高,安全稳定而易于维护。华中农业大学数据中心利用H3C的横向虚拟化和纵向虚拟化技术将数据中心的核心网络设备H3C S10508、接入网络设备H3C S5100整合成一台设备,从而提高网络的可用性,方便管理员管理。

  大二层的数据中心网络是IaaS私有云数据中心的必然选择,由于高校数据中心内基础资源的总量不大,在这里,Overlay技术的网络虚拟化技术对比与传统的vlan技术并没有很明显的应用优势。然而,SDN技术在IaaS私有云数据中心内还是有它的应用场景的。

  3.安全建设

  IaaS平台的云安全,通常意义上是指用户可以自己申请、配置安全防护,实现虚拟机与虚拟机之间的安全隔离或者是vDC和vDC之间的安全隔离。但是,高校的特点,特别是安全责任难以分解的特点,决定了高校信息系统的安全防护需要集中建设、集中管理,用户自助的云安全功能在这里并不重要。

  IaaS私有云数据中心的安全建设,应该和信息系统的重要性(等保级别)、安全管理制度、安全责任人的授权以及信息系统管理员的可信程度相关,而跟物理层的相关配置无关。

  SDN为满足这样的安全部署要求提供了好的解决办法。在SDN的网络架构下,控制与转发分离,使得逻辑上集中的控制平面能够拥有全网的完整视图,这样控制平面就能够看到任何正常的、或者不正常的流量;集中化的网络控制,使得控制平面能够控制任何流量的路径;而SDN开放的编程接口能够将上述所有的操作实现可编程以及自动化。

  构建全局的安全资源池,利用SDN技术,进行服务流控制,提供与拓扑无关的全局安全策略。在安全集中管理、安全分区有限的情况下,高校的IaaS私有云数据中心的安全资源池可以由物理设备组成,而不必去追求利用NFV建立虚拟的安全资源池。

  如图4所示,数据中心部署SDN交换机,将FW、IPS、WAF、数据库防火墙等安全设备形成安全资源池,旁挂到这个SDN交换机上,SDN VCFC控制器集群对安全资源池、网络设备及vSwitch上的业务进行统一管理,根据应用需求、业务流量特点定义不同的业务链,使特定的流量经过特定的安全设备进行安全检测/防护,甚至将同一条流依次调度到不同的安全设备,实现不同业务流经过不同安全单元进行差异化处理。

图4 SDN数据中心安全

  4.虚拟化层的建设

  目前IaaS云数据中心的虚拟化业务平台有ESX/ESXi、Hyper-V、XEN和KVM四大主流软件产品。其中ESX/ESXi是VMware公司的私有技术平台,Hyper-V是Microsoft公司的私有技术平台。而其他厂商的虚拟化平台产品大多都是基于XEN和KVM这两款开源平台定制开发的。从基本功能支持与性能可靠性上比较,上述四款平台的差别不大。而高校IaaS私有云数据中心的建设是一个漫长的过程,是持续的利用云计算技术,对IT系统一步步的改造,不同的建设阶段很有可能采用不用的虚拟化平台,这并不影响数据中心的使用。

  从这个方面而言,IaaS私有云平台使用开放的架构,能够纳管各种主流虚拟化平台就应该是高校IaaS云数据中心的标配,比如Openstack和CloudStack。H3Cloud OS云管理平台是一个基于业界标准的OpenStack开源项目的IaaS私有云平台,华中农业大学使用H3Cloud OS云管理平台纳管了不同时期建设的分别基于Citrix、VMWare以及CAS的虚拟化资源池。

  5.用户管理

  针对学校多样的用户群和信息化能力不同的用户群,高校IaaS私有云管理平台要有提供多租户管理的能力,能够通过自定义组织结构、审批流程来满足用户的不同需求。

  华中农业大学在H3Cloud OS云管理平台上部署了三类用户,VDC用户、普通用户和开放用户。

  vDC用户对应于H3Cloud OS云管理平台上的组织管理员。为那些需求量大、自身维护能力强的部门在云平台上建立组织,直接划分一部分虚拟的计算、存储和网络资源给这个组织,以形成虚拟数据中心(vDC)。组织管理员可以按自己的需求去生成虚拟资源;有权利在内部进行用户管理、审批内部用户的申请、为内部用户分配vDC范围的资源。

  普通用户对应于H3Cloud OS云管理平台上的普通用户。为各个业务部门或者某个业务系统的管理者在云平台上部署普通用户。普通用户使用IaaS平台可以查看自己的资源使用概况,进行计算与存储资源的管理,申请虚拟资源。

  开放用户主要是针对学校师生的半官方、个人的需求,或者是试验性质的需求,这部分用户需要在H3Cloud OS云管理平台上注册为平台用户,而H3Cloud OS云管理平台和学校数字化校园系统完成了对接,通过学校相关系统的身份认证才能注册,注册成功后就可以和普通用户一样去申请、管理资源。对于这类用户有租期的限制,资源到期前通过邮件、微信、短信等方式提示用户续租,如果不续租,资源就回收。

  除了这三类用户,高校可能还存在第四类用户,可以称之为直管用户,这类用户其实并不是私有云平台的用户,他们通过电话等方式申请资源,由IaaS平台管理员生成资源后交由用户使用。

  6.可交付的应用

  H3Cloud OS云管理平台可以交付给用户的应用很多,除了云主机、云存储、云安全之外,还有云负载均衡、云数据库等等应用。

  鉴于前面论述的高校用户和应用的特点,需要负载均衡功能的信息系统比较少,而且一般都需要网络中心之类的专业信息部门管理,IaaS平台为用户提供自助的负载均衡功能,其必要性并不大。集中建设和维护数据库平台提供给信息系统调用,应该是高效率的模式,然而,高校的信息系统的主导权在各个业务部门,信息系统所采用的数据库种类不同、版本不同,由IaaS平台提供云数据库实际上是不现实的。

  华中农业大学在使用H3Cloud OS云管理平台交付给用户的应用主要还是云主机和云存储。

  7.运维管理

  IaaS私有云数据中心表面提供给用户的是池化的资源,底层物理资源隐藏在幕后,而且IaaS私有云数据中心的底层物理资源都有较好的冗余设计,小的、零星的故障都不会影响业务,但是一旦忽略了,积累起来,可能导致严重的问题。

  H3Cloud OC云运维中心与H3Cloud OS无缝融合,为管理员提供了一个高效、灵活、易于量化的管理平台,运维中心能够清晰体展示出服务器、存储、网络这些底层的物理资源的运行状态,监控云平台中虚拟机的性能状况,以及各种资源(CPU、内存、存储、网络)的相关统计。运维中心关注云平台资源供给、分配、监控、维护的全生命周期管理,帮助云数据中心管理者简化运维、规范流程、提升运维效率、辅助决策分析。

  IaaS私有云数据中心是一套复杂的、规模庞大的系统,需要管理人员具有服务器、存储、网络的综合管理能力,进行规范化的运维管理,才能保证数据中心稳定、安全、高效的运行。

  高校的需求特性,是介于政企网和运营商之间的,需要管理而无法制定政企网那样严格的管理制度,也不能像运营商一样,提供一个标准的服务让众多而分散的用户自己去匹配,同时,IaaS私有云数据中心的建设是一个云化的过程,需要综合考虑自身的IT状况、学校的发展规划、技术成熟度等因素,循序渐进地进行。

来源:中国教育网络作者:熊浪 谢虎