摘要：随着云技术的不断发展和普及，越来越多的企业开始建设自己的云平台。荆州职业技术学院通过采用先进的虚拟化云技术，达到利用教育信息化手段提升自身内涵建设的目的，以超融合虚拟化平台为基础搭建了“智慧校园”软件系统运行平台。通过建设与运行，荆州职业技术学院积累了一定的经验，希望通过此文的分享能带给读者新的思考。

关键词：校园网；虚拟化；云平台；建设

中图分类号：TP311 文献标识码：A

文章编号：1009-3044（2019）09-0031-02

1 虚拟技术及硬件平台的选择

虚拟技术是一项整合硬件资源、统一调配资源、节省能源的有效技术。它可以分为完全虚拟、准虚拟、系统虚拟、桌面虚拟等。其主要目的是实现对IT基础设施的简化和资源管理的访问。

在没用采用虚拟化之前，我校各部门服务器没有实现统一管理，资源分散、系统单一、利用率不高，而且各部门技术人员水平参差不齐，无法有效保障服务器运行的安全。学校总出口只有一台四层硬件防火墙，不具备WAF防护和抗网络攻击能力，校内学生拿校内服务器作攻击测试的事件偶有发生，校园网使用周期过长，线路老化亟待更换等现象层出不穷。为了从根本上解决这些问题，学校在新的“智慧校园”建设规划上，决定购置虚拟化平台。

1.1虚拟化产品的选择

通过第三方代理招标，我校采用了深信服的超融合HCI产品。该产品是基于开源KVM架构，自行研制的虚拟化软件。其软件整合了计算虚拟化（aSV）、网络虚拟化（aNET）、存储虚拟化（aSAN）、下一代防火墙（vNGAF）、应用交付（vAD）、上网行为管理（vAC）、移动办公（vSSL VPN）、广域网优化（vWOC）、数据库安全审计系统（vDAS）、持续数据保护（CDP）、异构虚拟化管理（aHM）、监控中心（aMC）等丰富的功能。

我校根据实际需要，只选用了计算虚拟化（aSV）、网络虚拟化（aNET）、存储虚拟化（aSAN）、下一代防火墙（vNGAF）、应用交付（vAD）、异构虚拟化管理（aHM）、监控中心（aMC）等功能。

1.2服务器群硬件配置

HCI超融合自身最大优势就是一台服务器即可构成虚拟化平台，无需再外接存储等服务器，可根据实际需要扩展（需授权数支持），是基于LINUX的纯软件系統。服务器硬件可新购，也可利旧或改造，其系统只能应用在INTEL平台，最大只支持双路，单CPU不低于8-12T；内存最小16GB，其中系统占用4GB左右；网卡最少4个GE，分为业务、集群、存储、管理4张网；存储只支持JBOD或RAID0，不可热添加硬盘；缓冲盘采用高速SSD或PCI-E，SSD：HDD为1：5或1：3，最小可由1块系统盘、1块SSD缓冲盘、1块HDD数据盘构成。

我校购置单台服务器配置为INTEL XEON V2660处理器*2，INTEL SSD480G系统盘，INTEL PCI-E 800G缓冲盘，HGST 4T HDD数据盘*8，INTEL 10GE网卡*4（存储、业务做端口聚合），INTEL GE网卡*2，内存128GB。规划单台服务器可虚拟15台服务器（4核+8GB内存+1T存储）。实际只能虚拟5～10台（部分虚拟服务器占用32GB内存）。

1.3网络架构需求

HCI超融合需要用到4张独立的网络，集群、管理、存储可以通过同台交换机划分VLAN实现，不需要使用外网，但管理机必须接入到管理VLAN中。业务需要使用校园网。

我校购置了2台48口全万兆交换机和1台24口全千兆交换机用于超融合平台的网络接入。其中24口千兆交换机划分2个VLAN，分别接入集群网、管理网，1台48口全万兆交换机做端口聚合，接入业务网，1台48口全万兆交换机未做端口聚合，接入存储网。

超融合平台购置时有带宽限制，vNGAF授权只有1.6Gbps带宽，vAD只有5Gbps带宽，所以理论上单卡10GE完全够用。

2 虚拟化平台的基本功能

当HCI超整合平台投入使用后，我校将原信息化系统进行了迁移。如心理测评系统、OA系统、教务系统、数据采集系统、图书管理系统、DNS服务器、HTTP服务器等，后又新建了虚拟仿真、智慧教室、虚拟卡、电梯控制、站群、统一身份认证、门户平台等服务器。

从总体上来看，目前各系统运行稳定，资源保障可控，暂无安全事件发生。

2.1虚拟机支持与建立

HCI将服务器的管理分为了二块。一块是实体机管理功能，即服务器硬件实体管理。可查看单台服务器使用情况、添加新部署主机、服务器集群等，可以很直观地看到服务器当前资源使用情况。一块是虚拟机的管理功能，包括新建虚拟服务器、分组、删除、强制关机、查看当前占用主机资源、IO流速状态等功能，编辑硬件配置或改名需关机处理。

新建虚拟机支持市场主流操作系统，我校主要以WINDOWS家族为主。新建虚拟机后，可转换为模板，进行批量克隆，也可直接克隆。转成模板后不可再操作，无法升级、开机，一旦克隆出新的虚拟机，模板也无法删除，个人感觉十分不便。

服务器和虚拟机都有HA和动态资源调度功能。当资源低于设置的阈值，将自动激活调度功能，动态添加CPU或内存。虚拟机只支持LINUX系列和WINDOWS 2008DC系列的CPU和内存热添加，其他版本仅支持内存热添加。

2.2存储和备份恢复

当HCI安装完成后，平台会自动生成一个虚拟存储，把所有HDD数据盘资源整合成一个大的卷，新集群的服务器会自动加入这个卷里。存储卷分为二个空间，一个是数据存储空间，一个是备份池空间。数据存储主要用于HA和存储，备份池主要用于虚拟机自动备份。当虚拟机发生硬件资源故障时，HA自动把虚拟机恢复到其他主机上运行。备份策略我校设置为按周存储，每天进行增量备份，存储7天后删除。以前低版本上有个虚拟机开机自动恢复初始选项很好用，后来版本更新后取消了，个人认为可以保留。

2.3虚拟网络和安全保障

前文说过，HCI是一个纯系统，因此平台内所有的设备都是虚拟的，比如虚拟交换机、虚拟防火墙、虚拟服务器，用户可以在虚拟网络里自行编辑拓扑。

HCI的防护功能除了vNGAF外，还具有分布式防火墙功能。它可以提供虚机间防护功能，防止某台虚机被攻破后，跃迁到其他虚机。vAD功能我校只用了单臂模式。

3 虚拟化平台在实际应用当中的效果

3.1通过统一管理实现资源调度

虚拟化最大的好处就是可以实现资源统一管理，因此虚机所占资源是可以根据实际需要调整的。案例一：我校HTTP服务器初配资源为CPU4核+内存8GB+C盘100GB+D盘100GB+WINDOWS SERVER 2016DC，使用时，CPU使用率为2%，内存使用率为18%，磁盘使用率为17%，IO读写不超过300KB/S，基本满足了需要，但远程操控时，感觉系统流畅度不够，将CPU调整为8核，问题解决。案例二：我校图书借阅系统服务器初始配置与HTTP服务器相同，因为用到SQL数据库，因此备份数据较多，D盘空间迅速被BAK文件占满，图书馆提出扩容需求后，新增一个500GB磁盘空间。因图书借阅系统服务是从模板克隆的，所以磁盘空间不能在原空间上直接扩容。案例三：集群资源调度出现红色警报，某台实体机内存占用率一直超过阈值，其他实体机正常，日志里没有集群资源调度记录。打开调度配置后，发现原因是新开虚机过多，单台内存分配达到32GB，且没有加入调度虚拟机里，所以都集中在一台实体机上，造成此原因。将新开虚机加入调度，集群自行调度负载后，问题解决。

3.2通过策略配置保障用网安全

HCI自带东西、南北两个方向的防护功能。内外网防护有vNGAF，虚机间防护有分布式防火墙。vNGAF与普通硬件防火墙相似，只是防护系统运行在虚拟硬件上。也可以对虚拟硬件的网口数量、CPU核数、内存容量、磁盘容量、运行位置等参数进行调整，通过点击详细状态，可对当前设备状态、会话数量、连接状态、网络状态等参数进行实时查看。

进入vNGAF的WEB控制台可以看到更加详细的防护策略与状态。其中用到最多的功能是：漏洞扫描、WAF防护、应用控制、全局放行与封堵。案例一：某内网IP每次连接DNS服务器时，UDP会话数都超过万位，进行手动封锁后，该IP会话数被限制，过几天该IP的UDP会话数又暴增，通过设置防火墙中连接数控制，会话被自动限制。案例二：WAF中设置了CC攻击防护阈值，某内网IP访问内网服务器频率高于该阈值被WAF规则匹配到，自动加入封锁IP名单内。案例三：防火墙检测到内网服务器IP流量异常，查看详情，提示80/8080端口异常，可能感染了木马，正对外发送大量异常的数据包，可疑外发流速为24Mbps，而正常外发流速为38Kbps。经分析，为服务器安装了TeamViewer软件，厂家工程师远程连接维护造成。案例四：通过观察内置数据中心，发现某台内网服务器每天零点后，都会定点向广州2个IP发送数据包，初感认为中了木马，后进入该虚机查看，发现服务器上安装有腾讯电脑管家软件，删除该软件后，问题解决。案例五：通过观察内置数据中心，发现外网访问、攻击、扫描、爬虫数据特别多，有些被成功匹配拒绝，有些被允许通过，安全风险过大，通过调整相应WEB应用防护识别库的规则号后，攻击、爬虫等原先被允许的访问被拒绝。

分布式防火墙配置较简单，主要针对虚机的防护。可通过配置简单访问规则实现勒索病毒的防护，也可针对某台具体虚机进行配置访问端口。配置与普通防火墙相同，这里就不再赘述。

3.3通过流量管控保障虚机应用

HCI授权的带宽只有1.6GB，相对于校园网来说带宽是非常有限的，后期如需提速，还需另外授权。如何用有限的带宽为众多应用提供流量保障，那就必须启用流量管理，依据每台虚机的带宽使用情况设置更加精细化的带宽分配策略。

经采样，非视频虚机最大猝发流速达到了接收1.3Mbps（HCI只能看到最近24小时数据），因此单向5Mbps的基本带宽，10Mbps的最大带宽基本适用于常规应用的虚机。智慧教室录播主机最大猝发流速达到了接收6.11Mbps（最近24小时数据），因此单向10Mbps的基本带宽，20Mbps的最大使用带宽基本足够。

具有云播功能的服务器建议使用实体机。一是虚机出口总带宽不够，二是视频文件通过虚机进行网络拷贝速度太慢，三是HCI更新需要重启服务器，存在数据安全风险。

4 使用后的几点感受

从2017年7月开始建设到现在，HCI在系统升级中也出现过几次无法解决的问题，比如恢复备份问题、存储问题、操作系统支持问题等，也通过厂商论坛进行过求助，后来厂商还专门成立了技术小组，通过研发新补丁的方式解决。

总体感觉，一是人机界面上还有待改善，特别是vNGAF和vAD，相比阿里云、腾讯云、天翼云等还有很大差距；二是底层LINUX系统无法在平台上监管，接入网络后存在安全风险；三是操作应更简单、直观，配置层级过多，寻找不方便；四是需要增加传送门功能，不仅仅是提示，而是可直达到配置页面。

大家常说，要给国产软件多些包容，但笔者觉得，在市场竞争如此激烈的当下，包容越多淘汰越快。希望国产软件在全方位都能做到国际一流。

参考文献：

[1] 李刚.荆州職业技术学院校园网优化与实现[J].电脑知识与技术，2016（7）：24-25.

[2] 李刚.浅谈云时代下数字化校园网络架构的调整与优化[J].电脑知识与技术，2015（5）：12-13.

【通联编辑：朱宝贵】