朱駿寧 彭偉

摘 ? 要：隨著信息化建設(shè)和互聯(lián)網(wǎng)技術(shù)的不斷進(jìn)步，高校應(yīng)用系統(tǒng)的數(shù)量正快速增長。為了降低數(shù)據(jù)中心建設(shè)成本，實(shí)現(xiàn)IT資源的高可用性，許多高校已經(jīng)基本完成了“虛擬化數(shù)據(jù)中心”的建設(shè)。而傳統(tǒng)的基于后臺(tái)的虛擬化服務(wù)器管理方式，隨著服務(wù)器數(shù)量的激增，管理員的工作強(qiáng)度也會(huì)相應(yīng)增加。另外，一個(gè)虛擬化平臺(tái)往往設(shè)有多個(gè)管理員，他們各自管理相對(duì)獨(dú)立的部分，如物理服務(wù)器、物理存儲(chǔ)、虛擬化服務(wù)器等，這使任何一個(gè)很小的溝通失誤，都有可能帶來嚴(yán)重的后果。虛擬化資源統(tǒng)一管理平臺(tái)的建設(shè)，使學(xué)校運(yùn)維人員能夠從低效煩瑣的工作中抽身出來，同時(shí)極大地簡化虛擬化資源的申請(qǐng)和交付流程。文章對(duì)該系統(tǒng)平臺(tái)的設(shè)計(jì)進(jìn)行了介紹，并詳細(xì)闡述了具體的實(shí)現(xiàn)過程，對(duì)高校的虛擬化建設(shè)工作具有一定的參考價(jià)值。

關(guān)鍵詞：高校信息化建設(shè);虛擬化技術(shù);統(tǒng)一管理平臺(tái)

中圖分類號(hào)：G647 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1673-8454（2019）19-0045-04

一、引言

傳統(tǒng)虛擬化服務(wù)器管理方式是基于后臺(tái)的，虛擬機(jī)需要管理員將操作系統(tǒng)安裝好才能交付用戶使用。一旦發(fā)生用戶誤關(guān)機(jī)、配置網(wǎng)絡(luò)出錯(cuò)等情況，都需要管理員在后臺(tái)完成操作。當(dāng)虛擬機(jī)數(shù)量非常多時(shí)，管理員的工作強(qiáng)度將非常大。特別是在高校中，院系的虛擬機(jī)使用者通常使用電話或郵件的方式與管理員溝通，這進(jìn)一步加大了管理員的工作難度。

以華東師范大學(xué)為例，用戶申請(qǐng)?zhí)摂M服務(wù)器資源的流程如下：

一是電話、郵件或其它方式聯(lián)系信息化辦公室（以下簡稱信息辦），了解虛擬化資源的詳細(xì)情況和具體的申請(qǐng)流程。

二是通過學(xué)校的OA系統(tǒng)將需求遞送至信息辦等待審核。

三是信息辦對(duì)申請(qǐng)進(jìn)行審核。審核通過，則將簽報(bào)內(nèi)容轉(zhuǎn)交給虛擬機(jī)平臺(tái)管理員具體落實(shí)。若審核不通過，則需要繼續(xù)與用戶電話或郵件進(jìn)行溝通，并將簽報(bào)退回。

四是虛擬機(jī)平臺(tái)管理員收到申請(qǐng)后，與需求部門聯(lián)系，確認(rèn)需求，與對(duì)方簽訂托管協(xié)議書和安全責(zé)任書，同時(shí)根據(jù)具體需求開始虛擬機(jī)的部署工作。

五是通過郵件向用戶交付服務(wù)器的遠(yuǎn)程登錄方式。

高校的虛擬化平臺(tái)上往往承載著多種類型的業(yè)務(wù)系統(tǒng)，因此會(huì)使同一虛擬化服務(wù)器平臺(tái)上存在多名管理員。據(jù)粗略統(tǒng)計(jì)，華東師范大學(xué)虛擬機(jī)平臺(tái)上，目前有75%的Web server服務(wù)器，15%的服務(wù)器承載著各院系及單位的信息管理系統(tǒng)，其余10%承載著如APP、科研工具等各類不同的應(yīng)用。如果虛擬化資源的管理沒有嚴(yán)格的規(guī)章制度和統(tǒng)一的業(yè)務(wù)流程，則會(huì)給虛擬化服務(wù)器平臺(tái)的運(yùn)維留下很大的管理隱患。

此外，虛擬化建設(shè)成本的核算也是非常重要的。若學(xué)校對(duì)虛擬化建設(shè)成本沒有一定的了解和規(guī)劃，將很難在虛擬化運(yùn)營商的選擇、物理服務(wù)器的選型和數(shù)量、存儲(chǔ)設(shè)備的選型和數(shù)量、機(jī)房預(yù)留空間等諸多情況中做出最優(yōu)的決策。要么盲目地將大量財(cái)力和人力投入到虛擬化建設(shè)中，而最終使大量IT資源處于閑置狀態(tài)，以極大的成本換取了極低的資源利用率;要么是以較低的成本完成了虛擬化建設(shè)，但所提供的資源并無法滿足師生的需求，或是服務(wù)質(zhì)量無法達(dá)到預(yù)期，這些都是虛擬化建設(shè)工作中最不愿見到的結(jié)果。以華東師范大學(xué)為例，在虛擬機(jī)平臺(tái)上的部分服務(wù)器運(yùn)行時(shí)間已超過3年，而這些服務(wù)器是否仍然實(shí)際承載著相關(guān)業(yè)務(wù)，IT部門沒有相應(yīng)的判定手段。據(jù)估算，虛擬機(jī)平臺(tái)上現(xiàn)有約20%～30%的服務(wù)器已經(jīng)不再承載相關(guān)業(yè)務(wù)，或業(yè)務(wù)已經(jīng)不再被使用，然而由于無法對(duì)此進(jìn)行判斷，這些服務(wù)器仍然正常運(yùn)行在平臺(tái)上，繼續(xù)消耗著平臺(tái)上約30%的相應(yīng)資源。

本文設(shè)計(jì)并實(shí)現(xiàn)統(tǒng)一的虛擬化資源管理平臺(tái)，平臺(tái)管理虛擬化服務(wù)器、承載虛擬機(jī)的物理服務(wù)器、存儲(chǔ)、虛擬網(wǎng)絡(luò)等資源，并為運(yùn)維部門提供統(tǒng)一的管理入口，使管理員能夠?qū)Y源的使用情況進(jìn)行有效的監(jiān)視，也可以更方便地對(duì)資源進(jìn)行合理的調(diào)整和規(guī)劃，從而使管理員能夠從低效煩瑣的運(yùn)維工作中抽身出來，并在一定程度上能夠避免IT資源的浪費(fèi)，提高現(xiàn)有資源的使用率，幫助學(xué)校對(duì)虛擬化建設(shè)成本進(jìn)行核算。

二、虛擬化和Unified Portal相關(guān)技術(shù)簡介

近年來，許多高校都開始嘗試將虛擬化技術(shù)運(yùn)用到數(shù)據(jù)中心的建設(shè)中。通過虛擬化技術(shù)可以在一臺(tái)物理服務(wù)器上生成若干虛擬化服務(wù)器，且這些虛擬化服務(wù)器能夠在性能及配置相同、能夠訪問相同存儲(chǔ)設(shè)備和網(wǎng)絡(luò)的物理服務(wù)器之間實(shí)現(xiàn)動(dòng)態(tài)遷移，實(shí)現(xiàn)了服務(wù)器資源的高度共享，同時(shí)也實(shí)現(xiàn)了虛擬化服務(wù)器的高可用性。[1]

利用虛擬化存儲(chǔ)技術(shù)，學(xué)?？梢酝ㄟ^iSCSI、SCSI等不同的存儲(chǔ)設(shè)備接口協(xié)議將校內(nèi)所有的存儲(chǔ)資源整合在一起，然后再根據(jù)業(yè)務(wù)的實(shí)際需求，動(dòng)態(tài)地將存儲(chǔ)資源分配給不同的業(yè)務(wù)。[2]而當(dāng)服務(wù)器或業(yè)務(wù)發(fā)生故障時(shí)，由于所有服務(wù)器都可以訪問到統(tǒng)一的存儲(chǔ)資源，業(yè)務(wù)也能夠以最快的速度從其它服務(wù)器上進(jìn)行恢復(fù)，不但保障了數(shù)據(jù)的安全，同時(shí)也提高了業(yè)務(wù)的連續(xù)性及可靠性。

利用VLAN、VPN、MPLS VPN等網(wǎng)絡(luò)虛擬化技術(shù)，則可以滿足學(xué)校對(duì)網(wǎng)絡(luò)的訪問控制、路徑隔離、集中管理等要求。將校園網(wǎng)劃分為多個(gè)網(wǎng)絡(luò)，為校園網(wǎng)中的應(yīng)用及用戶之間的安全隔離，提供可行的方案。[3]而在高校的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中，就存在著這樣的問題。同一個(gè)物理網(wǎng)絡(luò)環(huán)境包含著辦公網(wǎng)絡(luò)、服務(wù)器網(wǎng)絡(luò)、核心業(yè)務(wù)網(wǎng)絡(luò)等等，這些網(wǎng)絡(luò)之間不但需要盡可能地提供安全策略的集中管理，同時(shí)也要保障網(wǎng)絡(luò)架構(gòu)的安全性及可擴(kuò)展性。[4]

Unified Portal是本次研究系統(tǒng)中的核心功能組件。在本次設(shè)計(jì)中，系統(tǒng)會(huì)將定制的服務(wù)藍(lán)圖和預(yù)留資源管理藍(lán)圖交由Unified Portal處理，并由Unified Portal根據(jù)藍(lán)圖要求和用戶的具體操作請(qǐng)求觸發(fā)相應(yīng)的系統(tǒng)功能或系統(tǒng)的其它外部組件，如身份認(rèn)證系統(tǒng)。Unified Portal的具體功能架構(gòu)如圖1所示。

三、高校虛擬化資源統(tǒng)一管理平臺(tái)的設(shè)計(jì)

1.管理流程設(shè)計(jì)

第一，需要實(shí)現(xiàn)申請(qǐng)和審批的標(biāo)準(zhǔn)化、自動(dòng)化流程。用戶在虛擬化資源統(tǒng)一管理平臺(tái)上，根據(jù)實(shí)際需求提交相應(yīng)申請(qǐng)的同時(shí)，完成所有協(xié)議和責(zé)任書的簽訂。管理員完成審批后，直接進(jìn)入虛擬機(jī)的部署和交付流程。

第二，實(shí)現(xiàn)定制化部署模版。按照以往的經(jīng)驗(yàn)，結(jié)合高校教育科研的實(shí)際需求情況，制定出滿足用戶需求的多種標(biāo)準(zhǔn)化的部署模版。用戶無需再與IT部門面對(duì)面溝通需求，而是直接在平臺(tái)上選擇適合自己需求的模版即可。

第三，實(shí)現(xiàn)自動(dòng)化的部署流程。用戶提交的申請(qǐng)?jiān)诮?jīng)過審批后，平臺(tái)自動(dòng)根據(jù)申請(qǐng)中的需求，從模版中部署虛擬機(jī)。

第四，用戶可以自行完成對(duì)虛擬機(jī)的基本操作。用戶可以在平臺(tái)上完成虛擬機(jī)電源開關(guān)、掛載光盤鏡像、添加磁盤等基本虛擬機(jī)操作，而無需管理員登錄vCenter進(jìn)行手動(dòng)操作。

第五，實(shí)現(xiàn)資源的回收機(jī)制。對(duì)用戶申請(qǐng)的資源設(shè)置有效期，到期未提交延期申請(qǐng)的，對(duì)資源進(jìn)行回收。建立服務(wù)器使用率的監(jiān)視制度，對(duì)符合判定標(biāo)準(zhǔn)明顯無業(yè)務(wù)運(yùn)行的虛擬機(jī)，由管理員聯(lián)系用戶，并酌情對(duì)資源進(jìn)行回收。

第六，實(shí)現(xiàn)靈活統(tǒng)一的資源管理方式。如本節(jié)開頭所述，現(xiàn)行管理模式是傳統(tǒng)的分級(jí)管理方式，即物理服務(wù)器主機(jī)、虛擬機(jī)平臺(tái)、虛擬服務(wù)器通過不同的方式，由不同的人員進(jìn)行管理。要打破這樣的分級(jí)管理方式，需要同時(shí)實(shí)現(xiàn)管理入口的統(tǒng)一、管理能力和權(quán)限的集中，以及管理操作的便捷，需要將虛擬服務(wù)器、物理服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等資源的基本管理功能集中在統(tǒng)一的平臺(tái)上。理論上管理員可以使用同一個(gè)賬號(hào)，在一個(gè)或少數(shù)幾個(gè)界面中完成對(duì)上述所有資源基本的運(yùn)維管理操作，從而打破管理入口的分級(jí)限制。如圖2所示。

2.基礎(chǔ)架構(gòu)設(shè)計(jì)

根據(jù)實(shí)際的生產(chǎn)情況，本架構(gòu)中物理服務(wù)器分別由Cisco UCS刀片式服務(wù)器、IBM刀片式服務(wù)器和DELL機(jī)架式服務(wù)器構(gòu)成。虛擬化由VMware vShpere實(shí)現(xiàn)，服務(wù)器分別使用了不同品牌的外置存儲(chǔ)，如EMC、DELL等。平臺(tái)擁有單點(diǎn)登錄組件的同時(shí)擁有一個(gè)AD或LDAP服務(wù)器，用戶信息保存在AD或LDAP服務(wù)器上。平臺(tái)擁有SMTP和Email服務(wù)器，以實(shí)現(xiàn)郵件通知功能。

本架構(gòu)核心部件為vCloud Automation Center，其本身由多個(gè)組件構(gòu)成，組件之間通過穩(wěn)定、可靠的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)進(jìn)行通信，如圖3所示。該部件的核心功能是使用戶能夠根據(jù)定義的策略請(qǐng)求，調(diào)配和管理基礎(chǔ)架構(gòu)服務(wù)、應(yīng)用服務(wù)和自定義服務(wù)，以進(jìn)行按需交付。

3.身份認(rèn)證功能的邏輯架構(gòu)設(shè)計(jì)

平臺(tái)的身份認(rèn)證功能不僅需要通過用戶的學(xué)工號(hào)和密碼來判斷用戶是否能夠成功登錄平臺(tái)，還需要獲取用戶更詳細(xì)的身份信息以支持平臺(tái)的其它功能，如郵箱、所屬部門、激活狀態(tài)、賬號(hào)失效期等。而在華東師范大學(xué)生產(chǎn)環(huán)境里原有的權(quán)威LDAP服務(wù)器中，用戶的字段信息并不完整，部分字段數(shù)據(jù)缺失。但學(xué)校公共數(shù)據(jù)庫系統(tǒng)中，擁有較為完整的用戶字段和準(zhǔn)確的用戶基本信息。因此本文將身份認(rèn)證功能作為一個(gè)獨(dú)立的部分進(jìn)行研究和設(shè)計(jì)。

在本次研究的生產(chǎn)環(huán)境中，身份認(rèn)證系統(tǒng)為一臺(tái)Sun One Directory Server（LDAP）服務(wù)器，其為學(xué)校所有的業(yè)務(wù)系統(tǒng)提供認(rèn)證功能。公共數(shù)據(jù)庫系統(tǒng)中保存了全校師生的諸多個(gè)人信息，如姓名、郵箱、離校日期等，且能夠提供相應(yīng)的Web service接口來提取對(duì)應(yīng)的用戶信息。另外，虛擬化統(tǒng)一資源管理平臺(tái)的設(shè)計(jì)中擁有獨(dú)立的Acitive Directory域服務(wù)器。

在身份認(rèn)證功能的邏輯架構(gòu)設(shè)計(jì)中，需將LDAP中的用戶密碼實(shí)時(shí)導(dǎo)入平臺(tái)的AD服務(wù)中，并通過Web service接口將用戶的其它字段信息也同步到AD中。具體方法如下：

建立一臺(tái)中間的LDAP服務(wù)器，在本次研究中實(shí)際部署的是一臺(tái)Novell eDirectory Server。

建立一臺(tái)調(diào)用Web service接口的服務(wù)器，定時(shí)將Web service接口中取到的用戶信息，通過Novell eDirectory Server的特定接口導(dǎo)入服務(wù)器，同時(shí)將Web service中取到的信息和Novell LDAP中的信息進(jìn)行比對(duì)，完成新增用戶在服務(wù)器中的創(chuàng)建。

將Sun One Directory Server（LDAP）中的用戶信息導(dǎo)出為LDIF文件，并導(dǎo)入Novell eDirectory Server，完成第一次全量用戶的密碼同步工作。

修改公共數(shù)據(jù)庫密碼的頁面，這也是Sun LDAP中唯一的修改密碼的入口，在每次用戶修改密碼的同時(shí)，將密碼通過Novell LDAP的接口導(dǎo)入服務(wù)器。

身份認(rèn)證功能邏輯結(jié)構(gòu)設(shè)計(jì)如圖4所示。

4.基礎(chǔ)架構(gòu)即服務(wù)設(shè)計(jì)

虛擬化資源統(tǒng)一管理平臺(tái)的核心部件Vcloud Auomation Center通過其內(nèi)置的IaaS服務(wù)組件管理平臺(tái)的各類基礎(chǔ)架構(gòu)資源。在這部分整體設(shè)計(jì)中，相關(guān)的組件包含“基礎(chǔ)架構(gòu)資源”、“計(jì)算資源”、“資源組”、“資源預(yù)留”、“業(yè)務(wù)組”、“資源預(yù)留策略”、“服務(wù)配置”和“服務(wù)藍(lán)圖”，如圖5所示。在本次設(shè)計(jì)的架構(gòu)中，由用戶提出的租用請(qǐng)求，IT部門制定的審批策略、管理規(guī)則、資源回收制度共同制定出平臺(tái)最終需要交付的服務(wù)藍(lán)圖。核心業(yè)務(wù)組件根據(jù)服務(wù)藍(lán)圖來管理基礎(chǔ)架構(gòu)中所有的虛擬化資源。身份認(rèn)證及角色控制交由核心組件外部的身份認(rèn)證系統(tǒng)來實(shí)現(xiàn)。管理員和租戶通過平臺(tái)門戶登錄后，通過不同的操作，觸發(fā)核心業(yè)務(wù)組件完成所有的服務(wù)工作，如調(diào)用虛擬機(jī)平臺(tái)的內(nèi)部接口完成服務(wù)器的開關(guān)機(jī)操作等。

四、結(jié)束語

本文關(guān)注了高校傳統(tǒng)虛擬服務(wù)器平臺(tái)使用和管理上的不足，并進(jìn)行了客觀分析。從分析的結(jié)論出發(fā)，設(shè)計(jì)了基于VMware Unified Portal的高校虛擬化資源統(tǒng)一管理平臺(tái)。

該平臺(tái)的設(shè)計(jì)，主要目的有兩點(diǎn)：

一是通過標(biāo)準(zhǔn)化的部署模版和自動(dòng)化的審批流程，最大程度地節(jié)約在虛擬化資源申請(qǐng)、審批和交付環(huán)節(jié)的時(shí)間人力成本;

二是通過對(duì)資源的統(tǒng)一監(jiān)控、管理和循環(huán)分配，能夠最大化地使珍貴的高校虛擬化資源得到利用，減少資源的閑置率，提高資源的靈活性和利用率。

著眼未來，虛擬化資源統(tǒng)一管理平臺(tái)的建設(shè)還將在整合公有云和私有云資源的方向上繼續(xù)探索，同時(shí)也會(huì)在網(wǎng)絡(luò)及數(shù)據(jù)安全的方面給予更多的關(guān)注和考慮。

參考文獻(xiàn)：

[1]王宇，劉小鋒，王興偉.虛擬化技術(shù)在高校信息化建設(shè)中的應(yīng)用[J].計(jì)算機(jī)科學(xué)與探索，2010（4）.

[2]李韶馳.虛擬化技術(shù)在黨校信息化建設(shè)中的應(yīng)用與實(shí)踐[J].電腦知識(shí)與技術(shù)，2012（17）.

[3]成薩薩，姚琴，田麗麗，錢陽明，李勁松.基于云計(jì)算技術(shù)的醫(yī)院信息系統(tǒng)集成[J].中國數(shù)字醫(yī)學(xué)，2013（9）.

[4]曹雪春.容災(zāi)備份系統(tǒng)中虛擬化技術(shù)的應(yīng)用[J].有線電視技術(shù)，2011（12）.

（編輯：王天鵬）