張國(guó)強(qiáng) 董紹彤 于濤

摘要：互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展使得云計(jì)算技術(shù)應(yīng)運(yùn)而生，且迅速成為IT界研究的新熱點(diǎn)。云計(jì)算技術(shù)的快速發(fā)展使得用戶(hù)對(duì)其可靠性和安全性有了更多的要求，建立虛擬化的云管理平臺(tái)變得極有意義。該文基于IaaS平臺(tái)，介紹了一種高安全云管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)，從系統(tǒng)總體設(shè)計(jì)和產(chǎn)品功能兩個(gè)方面對(duì)該系統(tǒng)作了簡(jiǎn)要介紹。

關(guān)鍵詞：云計(jì)算；IaaS；虛擬化技術(shù)；鏡像

中圖分類(lèi)號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）24-5628-04

隨著互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，傳統(tǒng)IT技術(shù)的計(jì)算模式和數(shù)據(jù)中心面臨著越來(lái)越多的困境，大量的數(shù)據(jù)得不到快速處理和存儲(chǔ)，云計(jì)算技術(shù)就應(yīng)運(yùn)而生并迅速成為各方研究的熱點(diǎn)[1]。云計(jì)算是一種由規(guī)模經(jīng)濟(jì)驅(qū)動(dòng)的大規(guī)模公布式計(jì)算模式，通過(guò)這種計(jì)算模式，實(shí)現(xiàn)抽象的、虛擬的、可動(dòng)態(tài)擴(kuò)展、可管理的計(jì)算，存儲(chǔ)，平臺(tái)和服務(wù)的資源池由互聯(lián)網(wǎng)按需提供給外部用戶(hù)[2]。

云計(jì)算作為一種新的計(jì)算模式，著力改變傳統(tǒng)計(jì)算系統(tǒng)的占有和使用方式，從部署模式上可以分為公共云、私有云和混合云[3]；從層次上可以提供三種不同的服務(wù)模式：Saas（軟件即服務(wù)）、PaaS（平臺(tái)即服務(wù)）和IaaS（基礎(chǔ)架構(gòu)即服務(wù)）。IaaS（Infrastructure as a Service）服務(wù)形式是指提供商用虛擬化技術(shù)所擁有的部分或全部服務(wù)器內(nèi)存、I/O設(shè)備、存儲(chǔ)和計(jì)算能力整合成一個(gè)虛擬的資源池，服務(wù)器構(gòu)成的“云”端的基礎(chǔ)設(shè)施以虛擬機(jī)的方式為用戶(hù)提供所需要的IT資源，它是一種硬件托管的方式，用戶(hù)使用廠商提供的硬件設(shè)施并按照使用資源多少進(jìn)行付費(fèi)[4]。

在IaaS層次上，傳統(tǒng)企業(yè)數(shù)據(jù)中心的服務(wù)器數(shù)量都非常龐大，但服務(wù)器利率卻不理想，有的服務(wù)器平均利用率甚至不足百分之十，有的服務(wù)器則因訪問(wèn)過(guò)量而容易造成堵塞或崩潰。因此數(shù)據(jù)中心資源變得嚴(yán)重浪費(fèi)，而且非常難以管理[5]。隨著VMWARE的ESXi、微軟的Hyper_V等虛擬化平臺(tái)的成熟，建立虛擬化的云計(jì)算管理平臺(tái)以很好解決上面存在的問(wèn)題變得非常有意義[6]。

傳統(tǒng)數(shù)據(jù)中心或虛擬化數(shù)據(jù)中心向云計(jì)算中心過(guò)渡，需要云管理平臺(tái)提供足夠的安全性保障機(jī)制[7]，主要有基礎(chǔ)設(shè)施和云平臺(tái)的安全管理等方面，具體包括但不限于：物理安全、計(jì)算存儲(chǔ)等資源安全、虛擬化安全、系統(tǒng)安全、接口安全等。本課題旨在建立一個(gè)高安全的云管理平臺(tái)。

1 系統(tǒng)總體設(shè)計(jì)

1.1 系統(tǒng)架構(gòu)

云管理平臺(tái)用于建設(shè)一個(gè)能夠以較低成本運(yùn)營(yíng)的虛擬化數(shù)據(jù)中心，在保證業(yè)務(wù)連續(xù)性，數(shù)據(jù)安全性和資源橫向擴(kuò)展以及縱向擴(kuò)展的要求下，能夠快速部署與開(kāi)通業(yè)務(wù)系統(tǒng)到云計(jì)算生產(chǎn)系統(tǒng)域。云管理平臺(tái)系統(tǒng)架構(gòu)如圖1所示，總體設(shè)計(jì)包括以下幾個(gè)方面的要求：

在虛擬化及虛擬資源池化基礎(chǔ)上，依托云管理平臺(tái)對(duì)基礎(chǔ)架構(gòu)資源進(jìn)行協(xié)同；

云管理平臺(tái)上能夠快速開(kāi)通資源和業(yè)務(wù)；

共享資源之上的業(yè)務(wù)數(shù)據(jù)完全隔離；

業(yè)務(wù)系統(tǒng)保障，能夠根據(jù)資源負(fù)載和故障狀態(tài)，依據(jù)策略，云平臺(tái)進(jìn)行資源自動(dòng)或人工調(diào)度，滿(mǎn)足業(yè)務(wù)連續(xù)性，滿(mǎn)足系統(tǒng)高可用性的。

該平臺(tái)的門(mén)戶(hù)系統(tǒng)是基于web2.0技術(shù)，面向資源使用用戶(hù)、管理員、運(yùn)維人員提供具體的功能視圖；綜合業(yè)務(wù)運(yùn)營(yíng)管理系統(tǒng)提供云數(shù)據(jù)中心基礎(chǔ)架構(gòu)和虛擬化管理功能以及在其上構(gòu)建的數(shù)據(jù)中心業(yè)務(wù)開(kāi)展、運(yùn)營(yíng)等管理功能，全面支撐基于虛擬化的云計(jì)算數(shù)據(jù)中心。其中，虛擬化管理功能提供虛擬化平臺(tái)的管理功能，實(shí)現(xiàn)服務(wù)器小型機(jī)系統(tǒng)和X86系統(tǒng)虛擬引擎管理和存儲(chǔ)系統(tǒng)虛擬引擎管理，實(shí)現(xiàn)虛擬資源的供給、部署和管理，可管理的服務(wù)器虛擬化技術(shù)包括PowerVM、XEN、VMware、KVM等。

1.2 系統(tǒng)組成

云計(jì)算管理平臺(tái)除了系統(tǒng)管理外主要由業(yè)務(wù)運(yùn)營(yíng)管理、資源管理以及安全監(jiān)控告警四大組件組成。運(yùn)營(yíng)管理平臺(tái)與資源管理平臺(tái)之間通過(guò)資源管理接口進(jìn)行連接，資源管理與監(jiān)控告警平臺(tái)通過(guò)監(jiān)控告警接口進(jìn)行連接。云管理平臺(tái)的核心組件如圖2所示。

業(yè)務(wù)運(yùn)營(yíng)管理：主要向用戶(hù)提供服務(wù)，并為運(yùn)營(yíng)管理人員提供運(yùn)營(yíng)管理功能。運(yùn)營(yíng)管理平臺(tái)由門(mén)戶(hù)應(yīng)用、業(yè)務(wù)運(yùn)營(yíng)以及數(shù)據(jù)、系統(tǒng)管理、接口等模塊組成，其中門(mén)戶(hù)應(yīng)用包括自服務(wù)門(mén)戶(hù)和運(yùn)營(yíng)管理門(mén)戶(hù)兩個(gè)功能模塊；業(yè)務(wù)運(yùn)營(yíng)包括用戶(hù)管理、業(yè)務(wù)管理、訂單管理及支付管理、客戶(hù)服務(wù)、統(tǒng)計(jì)分析、項(xiàng)目管理以及監(jiān)控告警等功能模塊。

資源管理：主要負(fù)責(zé)對(duì)各種云計(jì)算IT資源進(jìn)行部署、操作、回收、統(tǒng)計(jì)分析、安全審計(jì)，對(duì)資源池系統(tǒng)內(nèi)部的各類(lèi)物理設(shè)備進(jìn)行運(yùn)維管理。同時(shí)，資源控制調(diào)度使用配置化的資源部署及調(diào)度策略，通過(guò)虛擬化資源管理中間件提供的虛擬資源接口和監(jiān)控引擎獲取的實(shí)時(shí)性性能數(shù)據(jù)，實(shí)現(xiàn)對(duì)虛擬機(jī)的基于策略的部署及遷移等功能以及提供必需的資源管理接口。

安全監(jiān)控服務(wù)：對(duì)云管理平臺(tái)涉及的各種業(yè)務(wù)和資源，云管理平臺(tái)的監(jiān)控?cái)?shù)據(jù)采集層模塊通過(guò)SNMP協(xié)議、IPMI協(xié)議、Agent代理或集成第三方監(jiān)控系統(tǒng)接口等采集方式，對(duì)資源的KPI性能指標(biāo)按設(shè)定監(jiān)控時(shí)間進(jìn)行主動(dòng)輪詢(xún)收集，提供統(tǒng)一的事件告警，在此基礎(chǔ)上達(dá)到實(shí)時(shí)監(jiān)控資源健康狀態(tài)、主動(dòng)發(fā)現(xiàn)故障、及時(shí)運(yùn)維的目的。系統(tǒng)對(duì)存儲(chǔ)資源、網(wǎng)絡(luò)資源、軟件資源的監(jiān)控功能通過(guò)與第三方監(jiān)控系統(tǒng)進(jìn)行接口集成來(lái)支持，并為運(yùn)營(yíng)管理、資源管理平臺(tái)和第三方系統(tǒng)提供API標(biāo)準(zhǔn)接口。

云引擎：在體系中實(shí)現(xiàn)虛擬化管理部分，通過(guò)虛擬化技術(shù)手段，提供虛擬機(jī)，虛擬存儲(chǔ)，虛擬網(wǎng)絡(luò)等虛擬資源，并在此之上形成可共享的系統(tǒng)資源池。云引擎支持X86架構(gòu)的服務(wù)器，使用Xen、Vmware、KVM等進(jìn)行虛擬化，技術(shù)主流的Windows、Linux操作系統(tǒng)；支持小型機(jī)以及小型機(jī)平臺(tái)上的虛擬化；支持集成各類(lèi)存儲(chǔ)設(shè)備及其云存儲(chǔ)管理軟件技術(shù)實(shí)現(xiàn)云存儲(chǔ)管理。云引擎通過(guò)SCE、Director來(lái)管理Power虛擬化，通過(guò)VCenter管理Vmware虛擬化。

1.3 系統(tǒng)部署

通過(guò)虛擬化、分布式計(jì)算、資源池化及容災(zāi)備份等關(guān)鍵技術(shù)構(gòu)建動(dòng)態(tài)的IT基礎(chǔ)架構(gòu)，將云計(jì)算的優(yōu)勢(shì)發(fā)揮到極致。該管理平臺(tái)支持異構(gòu)物理設(shè)備和虛擬化平臺(tái)，企業(yè)可靈活選用不同的技術(shù)及不同類(lèi)型的設(shè)備整合起來(lái)協(xié)同工作，一方面根據(jù)策略，動(dòng)態(tài)虛擬化資源，最大限度提高企業(yè)現(xiàn)有IT資源的利用率，另一方面通過(guò)全面的服務(wù)監(jiān)控，整合備份及遷移技術(shù)，保障業(yè)務(wù)系統(tǒng)的可用性。支持跨地域分布式資源管理，有效IT資源池的規(guī)模，同時(shí)可視化管理模式提升企業(yè)數(shù)據(jù)中心的管理效率，最終將數(shù)據(jù)中心轉(zhuǎn)變成為IT服務(wù)中心，Wincloud拓?fù)鋱D如圖3所示。

云計(jì)算管理平臺(tái)建設(shè)分為云計(jì)算管理域和云計(jì)算資源域兩部分，其中云計(jì)算資源域建設(shè)包括計(jì)算資源池和存儲(chǔ)資源池。云管理平臺(tái)部署架構(gòu)拓?fù)鋱D如圖4所示。

2 產(chǎn)品功能

產(chǎn)品主要由五個(gè)組成部分：WCE（Wincloud Engine）、Wincenter、MS（Monitor Server）、CSC（Cloud Service Center）以及系統(tǒng)管理，總體功能架構(gòu)如圖5所示。

從功能架構(gòu)圖可以看出，產(chǎn)品功能眾多，這里就不一一介紹，選取幾個(gè)重要功能作簡(jiǎn)要介紹。

2.1 虛擬化管理

云管理平臺(tái)能支持VMware，PowerVm等虛擬化技術(shù)。并能通過(guò)接口獲取物理機(jī)的信息情況、運(yùn)行情況、軟件資源情況、承載虛擬機(jī)等。虛擬化管理具體有如下功能：

1） 支持物理機(jī)虛擬化管理；

支持Intel-VT和AMD-V硬件輔助虛擬化技術(shù)；

獲取到硬件虛擬化的信息，如芯片代號(hào)、主頻、外頻、倍頻、接口、緩存、指令集、整數(shù)單元、浮點(diǎn)單元等；

對(duì)物理機(jī)進(jìn)行主頻設(shè)置；

根據(jù)資源使用率調(diào)整能耗策略。

2） 支持hypervisor的信息查詢(xún)、參數(shù)設(shè)置；

3） 支持系統(tǒng)虛擬化軟件的信息查詢(xún)、參數(shù)設(shè)置、安裝、升級(jí)和功能調(diào)用；

4） 支持自動(dòng)發(fā)現(xiàn)物理機(jī)上正在運(yùn)行的虛擬機(jī)實(shí)例。

2.2 虛擬機(jī)資源管理

在云管理平臺(tái)，用戶(hù)申請(qǐng)的計(jì)算資源最后將體現(xiàn)為虛擬機(jī)。云平臺(tái)支持的虛擬化技術(shù)提供對(duì)虛擬機(jī)的生命周期管理，提供物理機(jī)-虛擬機(jī)視圖信息查看和對(duì)虛擬機(jī)運(yùn)行實(shí)例的狀態(tài)監(jiān)控，可快速瀏覽虛擬機(jī)與物理機(jī)的承載關(guān)系和虛擬機(jī)資源的使用情況。具體來(lái)說(shuō)，虛擬機(jī)資源管理主要有如下功能：1） 提供虛擬機(jī)的生命周期管理（虛擬機(jī)的創(chuàng)建、刪除、掛起等）；2） 提供虛擬機(jī)運(yùn)行管理（虛擬機(jī)的開(kāi)機(jī)、關(guān)機(jī)、重啟等）；3） 提供虛擬機(jī)實(shí)例的遷移操作；4） 根據(jù)虛擬機(jī)資源使用情況，虛擬機(jī)的縱向擴(kuò)容功能，調(diào)整虛擬機(jī)的CPU、內(nèi)存、存儲(chǔ)大小和網(wǎng)絡(luò)使用資源等；5） 提供虛擬機(jī)運(yùn)行實(shí)例的狀態(tài)監(jiān)控和信息查詢(xún)，并可查詢(xún)虛擬機(jī)歷史狀態(tài)；6） 提供虛擬機(jī)靜態(tài)克隆與動(dòng)態(tài)克隆功能；7） 支持現(xiàn)有各大不同計(jì)算虛擬化技術(shù)之間的相互轉(zhuǎn)換。

2.3 鏡像管理

虛擬鏡像是虛擬機(jī)的存儲(chǔ)實(shí)體，虛擬鏡像大致可以分為兩類(lèi)：一類(lèi)是在虛擬機(jī)停機(jī)的狀態(tài)下創(chuàng)建的鏡像，早于這時(shí)的虛擬機(jī)內(nèi)存沒(méi)有數(shù)據(jù)需要保存，因此這種鏡像只有虛擬機(jī)的磁盤(pán)數(shù)據(jù)，這種方式稱(chēng)為鏡像抓?。涣硪活?lèi)虛擬機(jī)運(yùn)行過(guò)程中做快照所生產(chǎn)的鏡像，在這種情況下，虛擬機(jī)內(nèi)存的數(shù)據(jù)也會(huì)被導(dǎo)出到一個(gè)文件中，因此這種鏡像能夠保存虛擬機(jī)做快照時(shí)的內(nèi)存狀態(tài)，在用戶(hù)重新使用虛擬機(jī)時(shí)可以立即恢復(fù)到進(jìn)行快照時(shí)的狀態(tài)，這種方式稱(chēng)為鏡像快照。

云管理平臺(tái)提供對(duì)不同類(lèi)型的鏡像進(jìn)行分級(jí)分類(lèi)管理的功能，對(duì)應(yīng)生成不同的鏡像庫(kù)，通常一個(gè)實(shí)體數(shù)據(jù)中心對(duì)應(yīng)一個(gè)鏡像庫(kù)。具體提供以下功能：1） 支持鏡像的創(chuàng)建、查詢(xún)、刪除等；2） 支持對(duì)鏡像資源進(jìn)行維護(hù)管理功能，包括抓取、導(dǎo)入、配置、查詢(xún)和刪除等；3） 鏡像OS用戶(hù)名、密碼等信息的配置；4） 支持將本地鏡像庫(kù)對(duì)外共享，提供給其它云計(jì)算運(yùn)營(yíng)管理系統(tǒng)。

2.4 監(jiān)控告警

對(duì)云管理平臺(tái)涉及的各種資源，云管理平臺(tái)的監(jiān)控?cái)?shù)據(jù)采集層模塊通過(guò)SNMP協(xié)議、IPMI協(xié)議、Agent代理等采集方式，對(duì)資源的KPI性能指標(biāo)（如CPU使用率、內(nèi)存使用率先等）按設(shè)定監(jiān)控時(shí)間進(jìn)行主動(dòng)輪詢(xún)收集，并在此基礎(chǔ)上達(dá)到實(shí)時(shí)監(jiān)控資源健康狀態(tài)、主動(dòng)發(fā)現(xiàn)故障、及時(shí)運(yùn)維的目的。具體來(lái)說(shuō)包括物理機(jī)資源監(jiān)控、存儲(chǔ)資源監(jiān)控、網(wǎng)絡(luò)資源監(jiān)控、虛擬機(jī)資源監(jiān)控、系統(tǒng)軟件監(jiān)控、性能安全監(jiān)控、告警分析、事件管理、故障管理以及綜合視圖等功能。

3 結(jié)束語(yǔ)

本平臺(tái)通過(guò)采用硬件設(shè)備虛擬化、軟件版本標(biāo)準(zhǔn)化、系統(tǒng)管理自動(dòng)化和服務(wù)流程一體化等手段，將IT設(shè)備提供的計(jì)算能力，通信能力，存儲(chǔ)能力封裝成資源池，建設(shè)一個(gè)以服務(wù)為中心的云計(jì)算運(yùn)行平臺(tái)，把資源的使用方式從專(zhuān)有獨(dú)占方式轉(zhuǎn)變成資源池化的共享方式，運(yùn)行環(huán)境可以自動(dòng)部署和調(diào)整資源分配，實(shí)現(xiàn)資源隨需掌控。從而幫助客戶(hù)建立一個(gè)基于業(yè)務(wù)的資源共享、服務(wù)集中、自動(dòng)化、安全的云計(jì)算數(shù)據(jù)中心。目前該平臺(tái)已在多個(gè)公司得到應(yīng)用，取得較好的社會(huì)效應(yīng)和經(jīng)濟(jì)效應(yīng)。

參考文獻(xiàn)：

[1] 羅軍舟，金嘉暉，宋愛(ài)波，東方.云計(jì)算：體系架構(gòu)與關(guān)鍵技術(shù)[J].通信學(xué)報(bào)，2011，32（7）：3-7.

[2] Foster I，Zhao Yong.Cloud computing and Grid Computing 360-Degree Compared[M].2008 Grid Computing Environments Workshop，IEEE.Austin，Texas，2008.

[3] 岳冬利，劉海濤，孫傲冰.Iaas公有云平臺(tái)高度模型研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2011，32（6）：1889-1892.

[4] 鄧晗，陳維鋒.云計(jì)算模式下的Iaas虛擬化平臺(tái)網(wǎng)絡(luò)設(shè)計(jì)[J].技術(shù)與市場(chǎng)，2011，18（12）：21-25.

[5] 鄭楚鋒.虛擬數(shù)據(jù)中心云管理平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[D].廣州：華南理工大學(xué)軟件學(xué)院，2012.

[6] 李剛健.基于虛擬化技術(shù)的云管理平臺(tái)架構(gòu)研究[J].吉林建筑工程學(xué)院學(xué)報(bào)，2011，28（1）：5-7.

[7] 何國(guó)鋒，陳公超，李建華.建設(shè)安全可靠的IaaS平臺(tái)[J].電信科學(xué)，2011，27（5）：42-46.