智慧校园云平台建设策略
2016-07-09何晓冬
何晓冬
[关 键 词] 智慧校园;校园信息化;云平台
[中图分类号] G717 [文献标志码] A [文章编号] 2096-0603(2016)19-0170-03
智慧校园云平台以丰富的云基础设施,虚拟计算资源、虚拟存储资源、虚拟网络资源、云管理和云安全服务于学校各级部门,提供了一个功能完整的、标准开放的、方便集成的IaaS服务层,提供海量数据的存储、处理和分析,为学校各部门集中提供基础的信息处理能力,承接各部门的应用系统迁移和部署,实现相关云数据中心的资源整合、集中部署与统一管理。
本文首先对校园信息化现状进行分析,然后阐述了对智慧校园云平台的理解,最后将智慧校园云平台划分为基础资源层、虚拟资源层、管理服务层和安全防护层四层架构,讲述如何构建智慧校园云平台。
一、校园信息化现状
目前,全国校园传统信息化在基础设施和应用系统建设方面都取得了很大的成就,如学校的教务管理、人事管理、办公管理、财务管理、固定资产管理、教学管理等都实现了信息化的管理。在信息化建设过程中,每一个管理应用都使用独立的服务器、独立的安全标准、独立的管理标准、独立的数据库和独立的展现层,这样的信息化部署架构可能导致如下的风险和挑战。
(一)资源利用不合理
校园传统信息化建设中管理应用都是按照其峰值业务量进行资源的配置,这导致两种情况,一种情况是如果服务器性能很高,有资源剩余,但不能将多余的资源给其他应用系统使用,造成浪费;另一种情况是当应用高峰时,可能一台服务器资源不足,也无法从其他地方获取更多的硬件资源支持,造成应用的瘫痪。
(二)硬件维护成本高
校园的信息化促进了业务的信息化,校园的业务部门会不断地提出新增应用系统的需求,再加上资源利用的不合理性,服务器、网络和存储的设备数量将会迎来迅速的膨胀,占地空间、电力供应、散热制冷和维护成本都将急剧上升,大幅度增加了硬件的维护成本。
(三)资源信息难共享
校园的信息化应用系统之间是烟囱孤岛式架构,各业务部门,如教务处、财务处、人事处等应用系统及数据各自独立,应用系统间缺乏协同工作能力,每个应用系统都很难站在自己的信息集上进行整个学校的全面信息查询和决策分析,各个应用系统能够发挥的效益没有更好地利用和挖掘。
二、智慧校园云平台的理解
(一)智慧校园的概念
智慧校园是从数字化校园发展而来,目前,全国很多地区、很多学校都在进行智慧校园的建设和探索。智慧校园基于物联网技术、计算机技术、网络技术、通信技术和传感技术,对学校教学、科研、管理相关的信息资源进行全面整合、互联与集成,采用深度的数据挖掘与大数据分析,为教学管理提供全面的、有效的、智能化的支撑。智慧校园提供了智慧的环境、智慧的服务、智慧的管理。
1.智慧的环境
以物联网的理论为基础,构建教学、科研、管理、校园生活为一体的新型智能化环境。
2.智慧的服务
提供面向师生的个性化的智慧服务,学校师生能快速、准确地获取与自己相关的内容服务。
3.智慧的管理
采用智慧化的业务管理和大数据分析,为学校各种决策提供最基础的业务和数据支撑,实现智慧的管理。
(二)智慧校园云平台的价值
随着学校信息化的不断发展,各业务应用系统对信息数据的完整性、运行的可靠性、网络系统的可用性要求越来越高,为保证业务应用系统高效稳定地运行,传统烟囱式的架构改造势在必行。目前,云平台技术已经延伸到学校的各个层面,其有利于整合和合理利用信息资源,降低硬件维护成本,有利于实现信息共享,促进学校教学、管理和科研水平的发展。因此,云平台技术将在学校的IT政策和战略中扮演越来越重要的角色。
1.整合和合理利用信息资源,降低硬件维护成本
智慧校园云平台将校园的各种资源进行整合开发利用,充分挖掘潜力,提高资源的利用率。智慧校园云平台将分散的软硬件资源进行整合,提高其重复利用率,通过服务器虚拟化技术,将各种硬件及软件资源虚拟化成一个或多个资源池,并通过系统管理平台对这些虚拟资源进行智能的、自动化的管理和分配,彻底消除教育信息化中的信息孤岛,实现信息分散、动态采集,集中安全管理,共享应用。
2.实现信息共享,促进学校教学、管理和科研水平的发展
智慧校园云平台促进各个应用系统的数据动态及时地互联互通,基于教学、科研、管理、服务等各个领域,为学校提供涵盖整个校园相关的信息化、智能化服务。为学生、教师、家长、公众、管理者提供数据及应用底层的服务。
(三)智慧校园云平台的原则
智慧校园云平台建设原则必须保证其前瞻性、可用性、开放性和安全性。
1.前瞻性
云计算是一个新兴技术,产业发展还不够成熟,相关标准也不够完善,为保证将来硬件和软件的良好兼容性,与第三方厂商设备保持良好的对接,云平台的顶层设计必须保证前瞻性,遵循已有的云计算相关标准,以保证良好的兼容性,以适应未来的技术发展。
2.可用性
智慧校园云平台为校园业务应用提供重要的IT基础设施,承担着各个业务应用系统稳定运行的重任。所以,云平台的建设必须从基础资源池(计算、存储、网络)、虚拟化平台、云安全等多个层面充分考虑业务的高可用,一旦出现故障,业务应用能够迅速进行切换与迁移,达到用户的无感知,业务的连续性。
3.开放性
智慧校园云平台需要提供开放的API接口,能够通过API接口、命令行脚本实现对设备的配置与策略下发联动,未来的扩展可以基于这些接口进行二次定制开放,也可方便地融合第三方应用系统。
4.安全性
云平台的安全性分为管理和技术两个层面。在技术方面包括环境、系统、虚拟机、存储和网络的安全防护;在管理方面,应对云平台、云服务、云数据的整个生命周期、安全事件、运行维护和监测、度量和评价进行管理。
三、智慧校园云平台的建设
智慧校园云平台将所需的软硬件设备进行集中管理,利用虚拟化技术实现任意的组合搭配,由此智慧校园业务应用可按需求智能地分配到相应的资源。
(一)云平台架构
智慧校园云平台架构分为基础资源层、虚拟资源层、管理服务层和安全防护层。
智慧校园云平台可以采用自建模式和租赁模式,自建模式的投资和运营成本较高,但是灵活性、可靠性和安全性较高。租赁模式的投资和运营成本较低,但是依赖第三方机构,在扩展性和灵活性上都受到限制。
(二)基础资源层
智慧校园云平台基础资源层包括硬件设备和软件设备。硬件设备有服务器、存储、备份一体机、存储控制系统、SAN交换机、路由器、交换机、负载均衡、VPN网关、防火墙等,根据应用规模,硬件性能及规模可在不影响应用正常运行的情况下进行弹性扩充。软件设备有操作系统、虚拟化软件、中间件、数据库系统、云计算管理平台、入侵防御检测系统、身份认证系统、运维安全审计系统、数据库安全审计系统、漏洞扫描系统。所有软硬件设备构建了智慧校园云平台的计算资源、存储资源、网络资源及安全保障。
(三)虚拟资源层
智慧校园云平台虚拟资源层通过虚拟化技术,将服务器、存储和网络资源统一管理和调度,构成一个虚拟资源池对内对外提供服务。虚拟化技术为底层资源的访问提供了简单、统一的接口,使用户不必关心底层系统的复杂性。首先,通过运行在服务器上的虚拟化内核软件,屏蔽底层异构硬件之间的差异性,消除上层客户操作系统对硬件设备及底层驱动的依赖,同时增强虚拟化运行环境中的硬件兼容性、高可靠性、高可用性、可扩展性、性能优化等功能。
虚拟化资源层包括虚拟计算资源、虚拟存储资源和虚拟网络资源。
1.虚拟计算资源
云平台各个系统对计算资源的需求主要通过服务器来完成。服务器虚拟化将一台物理服务器划分成多台虚拟服务器,彼此之间的数据是隔离的,对计算资源的使用也是可控的。物理服务器和虚拟服务器在应用和操作上几乎没有区别,用户可以在虚拟服务器上灵活地安装任何软件。
目前主要的虚拟化工具有ESXi、Hyper-V、XEN和KVM。前两者是私有技术云平台,而后两者是开源的虚拟化云平台,经二次开发可以满足大部分实际的业务需求。
2.虚拟存储资源
存储通过集群应用、网格技术和分布式文件系统集合起来协同工作。存储虚拟化将存储系统的内部功能从应用、主机或者网络资源中抽象、隐藏或者隔离,其目的是进行与应用和网络无关的存储或数据管理。存储虚拟化通过数据块存储地址的虚拟化,实现对存储内容的快速寻址,通过合理的组织将其构建为能被统一访问的物理资源池,将其虚拟化为逻辑资源,并为上层应用使用。
目前,主要的数据共享存储系统是IP SAN或FC SAN。前者的成本较低,适合要求较低的场景,需要的数据规模也比较小。后者成本较高,适合要求较高的场景,主要针对大规模的数据。
3.虚拟网络资源
网络是云平台的基础,云平台可搭建智慧校园内外网。针对内外网之间的物理隔离,网络可采用双链路聚合的方式,即可提高安全性,又可扩充带宽。网络虚拟化包括对外部网络环境的虚拟化和对云平台内部(服务器到接入设备、服务器到存储设备、接入设备到核心设备)的网络虚拟化两种。网络虚拟化技术是面向云计算的网络虚拟化技术的核心,通过与传统网络虚拟化技术的配合,实现虚拟防火墙、虚拟IDS、虚拟负载均衡器、虚拟SSL VPN网络。
(四)管理服务层
智慧校园云平台管理服务层通过虚拟化管理软件形成云计算资源管理平台,实现计算、网络和存储等硬件资源的软件虚拟化管理。通过虚拟化技术和基于策略的自动化管理技术,实现对物理资源、虚拟资源的统一管理和分配,主要包括设备管理、资源管理、服务管理、接口管理和系统管理功能。
1.设备管理
设备管理指接入和管理物理设备,包括设备发现、设备监控、设备配置、设备部署、设备告警、数据上报等。云平台定期(如按照秒、分钟、小时等)向服务器或应用程序发送探测信号(如HTTP请求、TCP请求、PING请求等),针对包括网线断开、网卡损坏造成的网络通信故障;断电、cpu故障、内存故障或其他配件原因造成的服务器故障;存储离线、磁盘损坏或磁盘空间不足造成的存储故障;操作系统死机、软件进程中断等造成的程序故障,云平台给予告警提示和数据上报。
2.资源管理
资源管理包括动态分配资源、动态管理耗能、管理调度策略、资源池高可用性和备份恢复等功能。可实现对资源(计算、存储和网络资源)的申请、更改和取消。同时可对资源使用情况进行管理,包括资源的使用情况和剩余情况等。
计算资源管理:通过管理工具对不同计算资源的开放接口进行连接和统一配置,实现对所有计算资源的集中部署与控制。
存储资源管理:采用IP SAN(以太网光纤通道)和FC SAN(基于光纤通道的存储局域网络)相结合的模式进行存储资源的部署。
网络资源管理:通过三层交换机与外部进行节点流量转发和集群间流量转发,通过大容量防火墙和负载均衡设备供内部业务系统共享使用资源。
3.服务管理
服务管理指基础资源池服务能力,如动态伸缩、负载均衡等。智慧校园云平台使用各种虚拟化系统管理插件、系统管理插件和物理机部署插件,将物理机与虚拟机整合成一个共享的计算架构,进行资源的预约和按需分配。在真实与虚拟间进行比较,对数据进行深度的挖掘和分析,自动发现可能发生的隐患问题,使智慧校园云平台能够根据当前的负载和资源的使用情况,有序地进行资源的合理分配。
4.接口管理
接口管理基于API对外开放标准的计算接口、存储接口和网络接口,以便数据、业务或应用的集成,设备自动化部署、调度和分配。
5.系统管理
系统管理包括用户管理、日志管理、告警和性能监控等,应对智慧校园云平台的整个生命周期、安全事件、运行维护和监测、度量和评价进行管理。
(五)安全防护层
智慧校园云平台安全防护层要保证环境、系统、虚拟机、存储和网络的安全。
1.环境安全
环境安全是整个智慧校园云平台安全的基石。智慧校园云平台的环境安全主要指服务器等硬件设备免遭地震、水灾、火灾等事故以及人为破坏,需要采用防盗窃、防破坏、防雷、防火、防静电、防尘、防电磁干扰、防线路非法接入等相关安全措施。需要建立人员的日常行为准则,将责任细化并落实到个人;需要建立日常巡检制度,随时发现安全隐患,做好记录并采取各种防范措施;需要建立应急措施,一旦发现安全事件,立即启动应急响应。
2.系统安全
智慧校园云平台的系统安全主要指操作系统和数据库系统的安全,主要包括操作系统本身所存在的不安全因素,如身份认证、访问控制、漏洞病毒问题等,需要采用关闭无关服务、身份鉴别、访问控制、安全审计(服务器、数据库)、入侵防御、恶意代码控制、漏洞管理、补丁管理、病毒防护、运维安全管理等安全措施。
3.虚拟机安全
智慧校园云平台虚拟机虽然不易受病毒和其他问题的影响,但也并非坚不可摧,需要像保护物理机那样保护虚拟机,以防恶意操作或无意破坏。云平台虚拟机安全需采取基准级别安全控制、资源分配、数据流控制等安全措施。
4.存储安全
智慧校园云平台既存有大量的内部和外部数据,另外还包括用户的各类隐私信息,虽然采用诸如数据标记等技术可以防犯非法访问混合数据,但通过应用程序的漏洞仍可以实现非法访问,为了从根本上解决这一问题,必须通过存储区域划分的方式来实现数据隔离,对系统、虚拟机、物理机和软件进行备份,以较好地解决数据存储安全问题。
5.网络安全
智慧校园云平台的网络安全主要包括网络架构安全(子网、防火墙和操作系统锁定等物理组件的安全)、网络访问控制(对网络上传输的敏感数据进行加密保护,并对传输信道的两端进行身份认证)、网络入侵防御、网络安全审计、网络设备防护、边界完整性检查,需要采用防火墙、安全隔离网闸、入侵防御系统、网络安全审计、防病毒、网关、强身份认证等安全措施。防火墙能够实现故障转移技术,满足智慧校园云平台的要求。针对防火墙允许的一些攻击行为,防火墙是无能为力的,必须配备入侵防御,对入侵事件进行实时跟踪、报警、阻断和记录。
总之,云平台技术已经延伸到学校的各个层面,它将所需的软硬件设备进行集中管理,利用虚拟化技术实现任意的组合搭配,把每个物理服务器虚拟化成若干个虚拟机、操作系统和数据库等系统软件运行,从而解除应用系统与硬件服务器绑定,以达到对硬件资源动态分配、按需使用、统一管理、动态迁移、负载均衡等目的。云计算是一个新兴技术,产业发展还不够成熟,相关标准也不够完善,在建设过程中一定要充分考虑其前瞻性、可用性、安全性和开放性。
建设智慧校园必须从基础做起,建立底层的IaaS。只有把基础打好,才能更好地为将来智慧校园的应用建设和数据整合,以及对管理者、学生、教师、家长和社会公众提供更好的服务。
参考文献:
[1]芦蓓荣,任友群.中国教育信息化的云中漫步[J].远程教育杂志,2012(1):62-67.
[2]孙进康.教育资源信息化建设的实践思考[J].南京师大学报,2002(25):158-162.
