王磊

[摘 要]随着近几年虚拟化技术的发展与应用，虚拟化技术架构已经成为数据中心基础设施领域的主流解决方案。但是随着虚拟机集群规模的不断扩张，用户对于资源服务的类型和效率的需求不断提升，以及虚拟化环境内部安全防护等问题急需解决。因此，企业需要在虚拟化环境基础之上，构建云管理平台并与底层环境对接，丰富资源服务类型，提升服务效率，实现Iaas层面资源的精细化、自动化管理，从而逐步开始从虚拟化向云计算演进。

[关键词]云计算；虚拟化；资源服务化

doi：10.3969/j.issn.1673 - 0194.2018.12.025

[中图分类号]F270.7；F426.92 [文献标识码]A [文章编号]1673-0194（2018）12-00-02

1 研究背景

近几年，在企业数据中心云化过程中，建设了大量虚拟化服务器集群，实现了网络、计算、存储资源的共享与按需调度，有效提升了企业基础设施资源的利用率，利用模板复制等技术大幅度缩短了环境准备周期，同时，基于云计算高可用技术特性强化了业务延续性，为企业信息系统开发、测试、上线和运行提供了有力支撑，对企业信息化建设起到促进作用。

虚拟化整合的服务器群，在统一管理中心的协调与权限控制之下，对于上层应用来说，所有框架内的资源，包括CPU、内存、存储和网络等都是共享的，以資源池的方式提供给虚拟服务器，协调管理中心根据运行情况、用户访问量，能实时动态调整资源分配情况，保障资源在所有虚拟化体系中的均衡分布，确保信息系统的平稳、顺畅运行。并且虚拟化平台应用了高可用特性，通过制订策略确保硬件和虚拟资源的自动化故障转移，出现故障能够立即完成切换恢复故障，保障了业务延续性尤其是关键生产应用的不间断运行。

虚拟化平台能够支撑企业生产、办公、综合管理等信息系统的稳定运行，通过应用虚拟化技术，将在用信息系统逐步迁移至虚拟化环境，关闭耗能低的旧服务器，节约了能源，同时提升了系统安全。同时，虚拟化平台通过信息系统的迁移及集中管理，促使各单位的机房、基础设施、物理服务器等设备不断减少，有效降低了运维成本。此外，虚拟化技术的应用，使信息系统建设过程中的系统开发环境、测试环境、生产环境分离方便快捷，并大大降低了系统备份、容灾等难度。

但是，随着虚拟机规模的不断扩大，面对物联网、大数据技术对于底层资源的新需求，以及云计算环境内部安全防护等需求方面，还存在如下问题：第一，基础的虚拟化平台自助申请功能较弱，目前资源创建还是手工方式，效率较低；第二，虚拟化平台没有给用户提供管理接口，当虚拟服务器网络或者远程连接服务出现问题后，用户无法对所辖虚拟机进行管理和运维，导致运维效率较低；第三，主流的VMware、华为、KVM、Xen等异构虚拟化环境技术架构彼此独立，难以实现统一管控；第四，基础的云平台只支持二层网络，没有三层及以上的访问限制及安全控制能力，无法实现云平台内部虚拟机之间的安全防护；第五，虚拟化平台主要以虚拟机方式为用户提供服务，比较单一，对于数据库等共性服务不能按需为用户提供自助化服务。

因此，为了解决上述问题，结合现在主流云平台管理技术架构——OpenStack，构建云管平台，以满足上层应用、底层资源运维管理及安全等需求。

2 云管平台的构建方案

2.1 设计原则

在云管平台构建的过程中，要坚持以下原则。

（1）成熟性。基于业界成熟的开源软件OpenStack制订云管平台解决方案，并结合自身需求进行功能订制和二次开发。

（2）开放性。出于对云计算平台所承载业务的性能、可用性和安全性等非功能性的要求，需要考虑X86平台的基础架构云服务能力。云管平台使用主流开源虚拟化方案，向上层提供完善易用的API接口，对主机、硬盘、网络、负载均衡器和防火墙等功能提供API级别的支持，兼容主流虚拟化平台的映像格式。

（3）扩展性。在规划阶段，着眼于基础架构云服务能力，计算能力、存储能力、网络支持能力可以进行线性扩展。后续支持通过VXLAN等隧道协议与异地云平台进行对接，实现异地资源的统一管理与按需调度。

（4）易用性。由于众多业务系统的运营压力不断增加，需要提供容易管理和监控的统一化平台，为用户提供使用云计算资源的门户，提供合适的自动化部署、管理工具，提供软件定义的虚拟网络、虚拟路由器、交换机和负载均衡器等网络功能，具备网络拓扑图形显示功能。

（5）安全性。具备网络间的二层隔离，提供虚拟防火墙等安全机制，帮助用户防护非授权访问与攻击；提供支持HTTPS协议的负载均衡器；提供完善、可靠的备份方式与备份工具，支持主机及硬盘的快照功能，支持实时备份、全量、增量备份等备份模式；具备多副本等保障数据安全的机制。

（6）高性能。具备不弱于主流商业云平台的虚拟化性能；具备一定的I/O性能，在关闭Cache的情况下，虚拟存储设备可以满足Oracle、DB2等高I/O数据库应用的要求；实现资源创建、销毁的快速响应。

2.2 技术方案

基于上述需求及原则，基于OpenStack进行开发，并搭建云管平台。首先，与现有云平台进行对接，同时也将物理机纳入管理，实现底层基础设施资源的统一管理。其次，基于多租户对现有资源进行划分，实现资源共享，并基于网络安全虚拟化技术，将防火墙、IPS等安全设备虚拟化，部署在云平台内部，实现云平台内部网络的安全管控与隔离。最后，通过自助化服务流程以及应用模板提高自助服务能力，利用自服务门户将计算、存储、数据库和网络安全防护等资源以服务的方式提供给租户，从而不断提升资源的申请效率。

2.2.1 搭建云管平台，并与现有基础设施资源进行对接

基于标准的API，实现云管平台与现有VMware、华为、KVM、Xen等虚拟化平台进行对接，实现基础设施资源的统一管理，包括对于虚拟资源的日常管理操作，并保留其高级技术特性。其中，云管平台与KVM环境是原生兼容的，VMware、华为、Xen环境等需要与其自带管理节点对接，实现所属资源的纳管，同时，对于其高级特性还是通过自身管理节点负责管理，云管平台只需要同步相关配置即可。

对于物理服务器，基于云管平台的Ironic管理节点，对所有物理服务器进行统一管理。通过PXE Driver和IPMI Driver等技术，实现X86服务器的自动化管理。

2.2.2 灵活划分VDC，实现数据中心资源共享

基于云管平台，将数据中心网络、计算、存储等资源划分成多个VDC（虚拟数据中心）来使用。同时，对于不同的组织机构或者业务类型，创建相应的租户作为VDC管理员，在给定的权限和资源配额，管理VDC相关资源。实现数据中心资源的分权、分域管理。此外，各租户所辖资源都是安全隔离的，默认不能相互访问。

2.2.3 通过网络安全虚拟化技术，强化云平台内部安全管控能力

通过网络安全功能虚拟化等技術，构建网络安全资源池，包括VFW、VIPS、VLB等，部署在相关虚拟网络节点，实现云平台的内部网络安全防护。首先，需要对云平台内部进行安全区域划分，并针对不同区域制订不同的网络安全策略。同时，各区域之间原则上限制相互访问，以此来实现云平台内部南北向的流量控制与安全防护，提升云平台网络的安全性。

2.2.4 完善数据库集中环境，实现数据库资源的共享

随着企业数据库集工作的深入，大部分企业利用构建数据库集群环境的方式，来承载分散的数据库，解决了数据库运维管理、容灾及信息安全问题。通过权限控制，限制用户只能管理所辖数据库，从而实现数据库的分级管理与资源共享。同时，制定数据库分级管理办法，为数据库大批量集中提供管理依据。后续，随着云管平台的建立，基于接口与数据库集中环境对接，利用自助服务门户，实现数据库资源以自助服务的形式提供。

2.2.5 构建服务目录，实现多元化自助服务

结合云管平台自助服务门户，通过建立自助服务目录将计算、网络、存储以及数据库等其他资源以服务的方式，基于多租户的不同权限来提供服务。其中，计算服务包括虚拟机、物理机等；存储服务包括块存储、对象存储以及分布式存储等；网络服务包括VLB、VFW、VRouter、VIPS等；数据库服务可以是现在主流的SQL、Oracle、MySql等，也可以与MapReduce、Spark等大数据分析环境对接提供大数据分析服务。在建立自助服务流程的过程中，首先由VDC租户申请相关资源和服务，VDC管理员对VDC租户所需的服务、资源、安全策略等进行定义，在通过审核后下发，由VDC用户即可管理相关资源、使用相关服务。

2.2.6 基于智能监控管理引擎，实现精细化运维管理

随着云管理平台的建立，企业要利用智能监控管理引擎，实现数据中心云计算资源、物理资源监控信息的统一汇总与展示。随着运行数据的不断积累，形成系统正常运行的基线，并且能够在数据异常时发出告警，为管理员日常运维管理提供参考。在资源管理方面，管理员要持续关注资源实际使用情况，对于资源闲置和资源不足的情况，可以灵活调节、盘活资源，提升资源的利用率。

3 结 语

云管平台的建立与应用，能够解决基础的虚拟化平台在运维管理方面的问题，实现基础设施资源的统一管理及优化整合，并实现了精细化运维管理，有效提升运维管理效率。同时，企业通过将网络、存储、计算、安全和数据库等资源，以服务的方式为信息系统提供服务，能有效提升资源服务效率，为企业信息系统提供了有力支撑，对企业信息化建设起到了积极的促进作用。