文/涂慶華 李華峰 高靜

從國(guó)際著名咨詢機(jī)構(gòu)Gartner發(fā)布的IT新技術(shù)成熟度曲線可以看出，一項(xiàng)技術(shù)最吸引眼球、最炙手可熱的階段是在它的期望膨脹期，但這只是一個(gè)風(fēng)口，它真正作為一項(xiàng)普及技術(shù)，大規(guī)模應(yīng)用是在其平穩(wěn)成熟期。經(jīng)過(guò)5年多的發(fā)展，云計(jì)算和私有云達(dá)到它的平穩(wěn)成熟期，已成為一項(xiàng)普及技術(shù)。

近年來(lái)，南京理工大學(xué)進(jìn)行了虛擬化云平臺(tái)的建設(shè)，取得了一些實(shí)踐經(jīng)驗(yàn)。據(jù)此，結(jié)合當(dāng)前虛擬化和云計(jì)算的發(fā)展趨勢(shì)，對(duì)未來(lái)的應(yīng)用前景做一些探討。

虛擬化平臺(tái)現(xiàn)狀

南京理工大學(xué)目前共部署有17臺(tái)虛擬化主機(jī)，承載近200臺(tái)虛擬機(jī)，涵蓋了學(xué)校大部分的核心業(yè)務(wù)系統(tǒng)。從經(jīng)濟(jì)角度來(lái)看，高密度刀片服務(wù)器搭配高整合比的虛擬化方案，極大節(jié)約了數(shù)據(jù)中心的空間及能耗；從管理角度來(lái)看，集中統(tǒng)一的虛擬機(jī)資源管理提升了運(yùn)維效率，降低了人員工作負(fù)載，資源申請(qǐng)流程效率提升了80%以上。虛擬化平臺(tái)的高可用性、在線遷移等優(yōu)勢(shì)功能最大限度地保障了業(yè)務(wù)的連續(xù)性。總體看來(lái)，虛擬化平臺(tái)無(wú)論在總體擁有成本還是簡(jiǎn)化運(yùn)維管理方面，都起到了顯著效果。

虛擬化平臺(tái)分為虛擬化平臺(tái)1期和虛擬化平臺(tái)2期兩個(gè)集群。其中1期集群內(nèi)14臺(tái)虛擬化宿主機(jī)，主要運(yùn)行在IBM 刀片內(nèi)（建設(shè)時(shí)間較早）；2期集群內(nèi)有3臺(tái)虛擬化宿主機(jī)，主要運(yùn)行在X86平臺(tái)PC服務(wù)器上。

當(dāng)前，南理工虛擬化平臺(tái)內(nèi)承載了超過(guò)180余臺(tái)虛擬機(jī)，通過(guò)裸光纖實(shí)現(xiàn)了校園內(nèi)兩機(jī)房SAN網(wǎng)絡(luò)的互通。底層存儲(chǔ)設(shè)備通過(guò)存儲(chǔ)的同步技術(shù)實(shí)現(xiàn)了跨機(jī)房的存儲(chǔ)鏡像，確保了業(yè)務(wù)數(shù)據(jù)的安全。

虛擬化平臺(tái)使用的經(jīng)驗(yàn)總結(jié)

虛擬機(jī)的蔓延

從管理角度看，有時(shí)候，虛擬化的優(yōu)勢(shì)也是問(wèn)題的根源。虛擬機(jī)的部署相比傳統(tǒng)實(shí)體機(jī)更方便和快捷，同時(shí)也造成了虛擬機(jī)的大量蔓延。例如：業(yè)務(wù)部門某個(gè)項(xiàng)目臨時(shí)需要使用幾臺(tái)虛擬機(jī)，但項(xiàng)目結(jié)束后并未及時(shí)回收，久而久之，大量無(wú)用的虛擬機(jī)空轉(zhuǎn)運(yùn)行，造成了資源的極大浪費(fèi)。因此，需要加強(qiáng)對(duì)虛擬機(jī)的生命周期管理來(lái)防范此類問(wèn)題。

現(xiàn)有存儲(chǔ)架構(gòu)的局限

盡管計(jì)算虛擬化（服務(wù)器虛擬化）是一個(gè)分布式架構(gòu)，滿足云平臺(tái)資源橫向擴(kuò)展（Scale-Out）的技術(shù)要求，但目前的存儲(chǔ)架構(gòu)仍然采用集中式的SAN/NAS存儲(chǔ)。SAN/NAS存儲(chǔ)是縱向擴(kuò)展（Scale-Up）架構(gòu)，當(dāng)存儲(chǔ)的容量和性能到達(dá)瓶頸時(shí)，需要進(jìn)行擴(kuò)容、更新、數(shù)據(jù)遷移等一系列操作，涉及預(yù)算采購(gòu)及人力服務(wù)，還需考慮設(shè)備利舊，也不符合云平臺(tái)橫向擴(kuò)展的需求。

當(dāng)前，存儲(chǔ)技術(shù)日新月異，除傳統(tǒng)的SAN/NAS，分布式存儲(chǔ)、軟件定義存儲(chǔ)、對(duì)象存儲(chǔ)都有各自的適用場(chǎng)景，未來(lái)需要結(jié)合高校不同的業(yè)務(wù)類型，實(shí)現(xiàn)精細(xì)化適配。例如，圖書館應(yīng)用場(chǎng)景，對(duì)存儲(chǔ)容量要求高，對(duì)性能要求相對(duì)低一些。針對(duì)這樣的業(yè)務(wù)場(chǎng)景，可以考慮使用并行NAS存儲(chǔ)或?qū)ο蟠鎯?chǔ)；對(duì)于一卡通業(yè)務(wù)，穩(wěn)定性、并發(fā)性要求較高，容量要求較低，可采用塊存儲(chǔ)技術(shù)；對(duì)虛擬化平臺(tái)而言，各方面的需求相對(duì)平衡，從擴(kuò)展性角度考慮，采用軟件定義存儲(chǔ)會(huì)更合適。

網(wǎng)絡(luò)安全管理的挑戰(zhàn)

在全校信息資產(chǎn)梳理工作中發(fā)現(xiàn)，虛擬化平臺(tái)的系統(tǒng)密度較高，且各類應(yīng)用的操作系統(tǒng)版本繁雜，更容易加速風(fēng)險(xiǎn)傳遞，在網(wǎng)絡(luò)安全管理上面臨極大挑戰(zhàn)。所以，加強(qiáng)安全防范風(fēng)險(xiǎn)要從技術(shù)和管理上雙管齊下，技術(shù)上進(jìn)行加固，管理上要有明確的制度規(guī)范。

虛擬化平臺(tái)的運(yùn)行機(jī)制不同于傳統(tǒng)實(shí)體機(jī)，在安全防護(hù)上也需要有合適防護(hù)手段。傳統(tǒng)的網(wǎng)絡(luò)防火墻、IDS/IPS等仍然可用，但不夠精細(xì)化。傳統(tǒng)的網(wǎng)絡(luò)安全手段防護(hù)更多的是數(shù)據(jù)中心南北向流量，屬于入口防護(hù)，當(dāng)威脅進(jìn)入數(shù)據(jù)中心內(nèi)部后基本屬于不設(shè)防狀態(tài)，通過(guò)無(wú)保護(hù)的東西向流量將可快速傳播。

在所有服務(wù)器間部署防火墻基本不現(xiàn)實(shí)，而且對(duì)于虛擬化環(huán)境，也無(wú)法部署傳統(tǒng)防火墻。網(wǎng)絡(luò)虛擬化的微分段技術(shù)，可實(shí)現(xiàn)對(duì)數(shù)據(jù)中心內(nèi)部東西向的流量進(jìn)行保護(hù)。微分段技術(shù)通過(guò)虛擬出多個(gè)分布式虛擬防火墻，可以做到針對(duì)每一個(gè)虛擬機(jī)配置一個(gè)虛擬機(jī)防火墻，并為每個(gè)虛擬機(jī)提供定制化的安全策略。例如前段時(shí)間大規(guī)模爆發(fā)的勒索病毒，通過(guò)445端口對(duì)服務(wù)器系統(tǒng)進(jìn)行攻擊，如果部署了分布式虛擬防火墻，可以有兩種方式進(jìn)行防御。一種方法是對(duì)虛擬機(jī)進(jìn)行分類，應(yīng)用不同的分類安全策略。例如Web服務(wù)器，通常只需開(kāi)通80和8080端口，可直接在保護(hù)Web服務(wù)器的虛擬防火墻上設(shè)置“80,8080 Allow，其余所有端口Deny”的策略；第二種方法是在網(wǎng)絡(luò)虛擬化的控制中心設(shè)置一條“端口445 Deny”的策略，然后統(tǒng)一下發(fā)到各個(gè)虛擬防火墻即可。在對(duì)虛擬機(jī)進(jìn)行分類后，同一類的虛擬機(jī)屬于相同的安全策略區(qū)，無(wú)論該虛擬機(jī)在集群中如何遷移，這些安全策略始終是跟隨虛擬機(jī)的。相對(duì)于傳統(tǒng)基于端口的網(wǎng)絡(luò)安全策略，分布式虛擬防火墻提供的網(wǎng)絡(luò)安全策略更加靈活、高效。

傳統(tǒng)管理模式的挑戰(zhàn)

虛擬化的利用率可分為三個(gè)階段：第一階段為0～30%，第二階段為最多70%，第三階段則達(dá)到70%以上。成本節(jié)約貫穿上述所有階段，第一階段通過(guò)資金開(kāi)銷整合實(shí)現(xiàn)節(jié)約，第二階段通過(guò)自動(dòng)化管理模式降低運(yùn)維開(kāi)銷，第三階段可真正實(shí)現(xiàn)敏捷性提高。以上是虛擬化平臺(tái)向云計(jì)算平臺(tái)轉(zhuǎn)變的必然過(guò)程。

這一轉(zhuǎn)變使得信息化部門能夠轉(zhuǎn)變運(yùn)維方式，從被動(dòng)反應(yīng)轉(zhuǎn)變?yōu)橹鲃?dòng)創(chuàng)新的部門，從而將節(jié)約的IT資源投入到有助于實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)目標(biāo)的新應(yīng)用/服務(wù)或計(jì)劃。主動(dòng)創(chuàng)新的部門更能與業(yè)務(wù)目標(biāo)保持一致，并且對(duì)高校的發(fā)展、創(chuàng)新和競(jìng)爭(zhēng)能力起著更為關(guān)鍵的作用。在云平臺(tái)下，現(xiàn)有的管理模式已不能滿足需求，轉(zhuǎn)變運(yùn)維模式勢(shì)在必行，流程及工具成為云平臺(tái)運(yùn)維模式下的必備選項(xiàng)，例如，通過(guò)監(jiān)控工具可以及時(shí)發(fā)現(xiàn)正在發(fā)生或潛在的問(wèn)題，并可通過(guò)流程觸發(fā)具體的運(yùn)維動(dòng)作。

未來(lái)展望

云平臺(tái)是由IaaS、PaaS和SaaS三個(gè)層面組成，做個(gè)簡(jiǎn)單的比喻，IaaS是一座寫字樓的地基，包括水、電、管網(wǎng)等基礎(chǔ)設(shè)施；PaaS則是一座座標(biāo)準(zhǔn)化的寫字樓；SaaS是寫字樓的租用客戶。虛擬化只解決了基礎(chǔ)設(shè)施資源的集中化和集約化，面向業(yè)務(wù)應(yīng)用、標(biāo)準(zhǔn)化的PaaS平臺(tái)是未來(lái)的趨勢(shì)。

當(dāng)前大部分的系統(tǒng)都是以業(yè)務(wù)為導(dǎo)向，這種“業(yè)務(wù)決定資源”的豎井式模式，將帶來(lái)一系列的資源瓶頸問(wèn)題。同時(shí)，還存在另外一個(gè)問(wèn)題，軟件資源沒(méi)有標(biāo)準(zhǔn)化。每個(gè)應(yīng)用開(kāi)發(fā)商可能會(huì)使用不同的軟件版本，比如A應(yīng)用使用Windows 2012/SQL Server；B應(yīng)用要求Redhat Linux/MySQL；C應(yīng)用是Suse Linux/Oralce。每個(gè)應(yīng)用要求的軟件資源都不相同，直接造成軟件無(wú)法管理的問(wèn)題。軟件版本的不統(tǒng)一給運(yùn)維管理帶來(lái)了很大挑戰(zhàn)，也是安全風(fēng)險(xiǎn)的根源之一。

通用基礎(chǔ)軟件平臺(tái)提供的是標(biāo)準(zhǔn)化的軟件服務(wù)?？梢允崂順I(yè)務(wù)應(yīng)用的特點(diǎn)，精簡(jiǎn)成幾類標(biāo)準(zhǔn)的軟件鏡像，再封裝成軟件服務(wù)提供給業(yè)務(wù)應(yīng)用。例如，經(jīng)過(guò)業(yè)務(wù)分析，高校信息化服務(wù)平臺(tái)只需要提供Weblogic、Tomcat兩類標(biāo)準(zhǔn)化的中間件版本，及SQL Sever、MySQL兩類標(biāo)準(zhǔn)化的數(shù)據(jù)庫(kù)版本，再通過(guò)平臺(tái)封裝成四類軟件鏡像，提供中間件和數(shù)據(jù)庫(kù)服務(wù)接口，并形成使用規(guī)范和標(biāo)準(zhǔn)。新開(kāi)發(fā)的業(yè)務(wù)應(yīng)用都必須按照通用基礎(chǔ)軟件平臺(tái)的要求去開(kāi)發(fā)應(yīng)用。

這種方式帶來(lái)的好處有很多，第一，盡可能地精簡(jiǎn)和統(tǒng)一了軟件類型和版本，減輕了運(yùn)維壓力和安全風(fēng)險(xiǎn)；第二，將應(yīng)用和基礎(chǔ)軟件解耦，應(yīng)用只需要關(guān)心業(yè)務(wù)邏輯和代碼實(shí)現(xiàn)即可，給應(yīng)用瘦身的同時(shí)提高了業(yè)務(wù)的敏捷性；第三，標(biāo)準(zhǔn)化的數(shù)據(jù)庫(kù)使用規(guī)范提高了數(shù)據(jù)質(zhì)量，減輕了大數(shù)據(jù)業(yè)務(wù)繁重的數(shù)據(jù)治理工作。這也是現(xiàn)在“重平臺(tái)、輕應(yīng)用”的趨勢(shì)和路徑。

未來(lái)，南京理工大學(xué)的信息化要從虛擬化全面向云平臺(tái)過(guò)渡，把能虛擬化的資源都進(jìn)行改造，打造綜合云平臺(tái)，構(gòu)建微服務(wù)，優(yōu)化業(yè)務(wù)流程，為智慧校園建設(shè)奠定堅(jiān)實(shí)基礎(chǔ)。