钟宇曦

（数字广西集团 云上广西网络科技有限公司，广西 南宁 530000）

0 引 言

在云服务中，LaaS位于基础层，能够为PaaS、SaaS提供网络、存储、服务器等支持。从优化资源利用率目标入手，应当重新整合与优化计算、存储资源，并在实际需求基础上，提高各类硬件设备的利用效率。资源池是各类资源的集合体，内部资源应当通过动态调整的方式实现合理配置。

云计算起步较晚，针对LaaS资源池的研究成果还比较少，无法寻找到成功的规划建设经验。文章结合收集的文献与实际经验，以LaaS资源池对研究对象，详细探讨了其总体架构、规划原则、安全防护以及系统部署等内容，希望能够为行业的规划建设提供有利参考。

1 IaaS资源池总体架构

从功能级别和技术类型入手，可将LaaS资源池划分为4个部分[1]。

（1）物理资源。由各种硬件构成，属于底层架构，包括网络装置、各类硬盘及服务器。

（2）虚拟化资源池。即对物理资源进行虚拟化处理后得到的各类虚拟化资源集合体。这里因为抽象处理了物理硬件，所以物理硬件演变为逻辑资源，具备可调度和管理特征。

（3）运营管理平台。能够统一对用户、资源、接口等资源、业务进行管理，属于自动化系统。

（4）安全。除了基本的数据安全之外，还包括网络、业务以及主机的安全。

2 资源池建设中的关键技术

2.1 主机虚拟化

主机属于硬件设备，由I/O、CPU等构成。主机虚拟化即使用虚拟化软件来调度、管理主机资源，并把这些资源分配至相互隔离的虚拟机（VM）的资源处理方式。当虚拟化主机后，利用虚拟机管理器（VMM），可以在物理主机和虚拟主机间交互资源。从容灾备份、成本以及管理效率等角度考虑，主机虚拟化存在较大的实现价值，不仅对企业运行效率有促进作用，也能盘活IT资源。

在虚拟化主机时，需要应用到开源型或商业型虚拟化软件（Hypervisor）。前者投入资金少，如果待虚拟的资源不多，极有可能实现免费虚拟。后者是厂家用于盈利的产品，具有功能强大、运行稳定的优势，非常适合大规模主机资源的虚拟化操作。在实际选择时，需要根据技术、业务以及资金等因素加以考量。

2.2 存储虚拟化

存储虚拟化是为了节约系统管理投入，提高资源利用率，而对零散资源进行整合并得到“存储池”的技术。快速的数据增长迫切要求与之对应的数据管理能力，借助虚拟化即可以缩减人工作业，还能减少重复性的资源存储、归档以及备份等操作。

存储虚拟化主要有以主机为基础的虚拟存储、基于存储设备的虚拟化以及基于网络的虚拟化3种方法[1]。

以主机为基础进行虚拟存储。该方法对代理软件有很大的依赖性，且会因为运行控制软件而增加主机负担，导致其会对系统安全造成威胁。例如，代理软件有可能对保护数据进行越权访问。当前，该方法已经有相对应的软件产品上市，在实现方法和成本方面具有独特优势。

基于存储设备的虚拟化。该方法可能引起单点故障，且设备兼容性差。例如，因为对功能模块过于依赖，容易出现排斥JBODS的情况。特别是在缺乏虚拟软件的情况下，该方法下的虚拟化程度也比较低。

基于网络的虚拟化。它可以通过路由器与互联设备的虚拟化加以实现，无需过于复杂的配置，但虚拟化程度与前端控制服务器堆叠数量存在直接联系。业界通常会在异构存储环境较为简单的情况下使用这种方式。

3 资源池规划原则和设计要点

（1）提升资源利用率。加快引入云化技术，完善资源分配机制，重新设计软、硬资源配置方式。

（2）利用安全策略维护LaaS的安全，通过高带宽为数据迁移、虚拟机加载提供支持。

（3）关注资源池的兼容性。在业界尚未统一构建LaaS标准，规划建设时必然要考虑各CPU、存储、虚拟机以及硬件间的兼容性。为降低规划风险，可以设置为单一系统。

（4）明确规划目标，有计划、有步骤地进行规划。一般而言，先确定资源池的容量，再完成节点设置及其他部署工作。

4 资源池容量规划

有效梳理待规划的业务系统，可以明确资源池容量，为后期节点设置与总体部署提供参考。

业务部门在处理计算资源时，需求的衡量标准有两个——tpmC或者参考物理服务器配置，如硬盘、CPU参数。为此，应当先定义标准化虚拟机模块，后由用户将计算资源需求转换成标准化模块配置的数量。此外，根据资源的不同，关注内容也会存在差异。例如，在计算网络资源时，需要注意NAT、防火墙、IP地址以及带宽等需求；在处理存储资源时，需分析存储接口与容量。若应用场景较为特殊，也会需要小型机和X86服务器。

如果若干虚拟机同时使用1个CPU，则会出现超配现象。通常，在1台服务器上，CPU核总数等于虚拟CPU总数。利用超配能够有效优化资源使用率。在确定超配比时，应当考虑服务器的业务类型。若无特殊要求，超配比的取值为2～6。

受应用程序的影响下，不仅无法主动释放内存，也会影响内存的共享。鉴于此，可以适当提高服务器内容配比，可参考“CPU核数/内存=1:4”的原则加以配比。若某些业务存在更高的内容要求，则需要增加内存的比例，如将配比调整为1:8或1:16等。

5 资源池节点设置及节点间互联

如果各项条件满足要求，且因为资源池存在规模效应和集约效应，不妨选取集中部署方案。机房应当配齐各类基础设施，位于交通要道。同时，考虑到后续业务需要，机房空间要够宽广，且要有多余的机架。如果机房条件较为简陋或者机架在200个以上，则可以采取节点布置方案。在相同节点上，可以部署存在较高关联性的业务系统。

为了实时迁移虚拟机，完成服务器集群计算任务，应当在布置节点时构建广域2层网络互联架构。在云计算行业，一般使用OTV、L2TP、光纤直联、VPLS与VPN二层互联等方式构建节点间的二层互联体系。如果部署的节点不在同城范围，那么也会影响迁移的实时性，即增加迁移延时。广域二层网络本身也存在缺陷，如IP地址全域规划难、广播风暴以及VRRP扩散等。鉴于节点部署过程中存在的尚无彻底解决的问题，业界探索了其他方法，即三层IP/VPN互联。

6 资源池部署方案

6.1 资源池分区

资源池中包括网络、存储以及计算资源，还设计了保障系统，即管理维护和安全防护系统。在核心业务区、非核心业务区和开发测试区，分别放置了不同保障级别的资源。因为在维护等级、硬件与软件选择上进行了不同设计，所以能够为各区域数据提供不同的保障。

6.2 计算资源部署

X86服务器是部署计算资源时可以支持虚拟化技术的重要主体。通过虚拟化软件的多样化选择，用户可以按需构建虚拟机集群。若应用场景较为特殊，也会需要小型机和X86服务器。

除了管理平台有权对全部的计算资源进行调配、管理外，也可使用对应的管理工具单独调配计算资源，进而提高资源管理的灵活性和独立性。

6.3 存储资源部署

“共享存储、分布式对象存储相结合”是部署存储资源时的基本指导思想。对市场上的存储技术进行综合考量后，应视条件采取不同的部署方案。对于中高端存储需求，FCSAN可提供有效的部署支持，性能优秀。但是，因为要建设光纤存储网络，所以费用相对更高。如果存储需求为中低端存储，则可以选择IPSAN、FCoE模式。该模式下，没有建设光纤存储网络的要求，直接通过网络交换机便可以对存储资源进行虚拟化，可节约资金。若存储数据较多且读写频率较低，则可以使用分布式对象存储模式。本模式虽然响应速度慢，但在容量、成本方面具有独有的优势。此外，需采用离线备份方式，如使用SATA阵列和传动磁带库。

6.4 网络资源部署

经多方考量，笔者认为扁平化架构可以满足网络资源部署的要求。核心层设计有3层交换机，容量较大，可以转发节点集群流量，也能同外部网络交换流量。核心层可接入负载均衡设备、大容量防火墙，并由其他业务系统共享。此外，由交换机组建接入层，功能是接入服务器。

7 安全防护

在互联网平台，需要从多个方面考量资源池的安全设计。例如，需要综合保障接口、网络、主机、物理与数据的安全，并通过业务连续性、身份识别、密钥与安全事件管理等措施提高安全级别。当前，在云计算领域使用的安全防护手段多是直接引入传统防护措施。但是，在主机与存储虚拟化后，必须更新防护协议。

针对虚拟化安全防护，通过总结业界结论，发现需要解决两方面问题[2]。一方面，提高虚拟技术的安全级别，防止因技术本身存在漏洞而造成安全问题。另一方面，解决由虚拟化引起的各类安全问题。为了加强虚拟化安全防护，研究者探索出众多有效方法，如VM监控与访问控制、VM隔离与安全迁移、检查虚拟镜像文件的完整性以及加密存储虚拟镜像文件等。

特别是商业型软件，因为虚拟层本身存在设计漏洞，所以为了提高用户体验，厂商应当加强补丁更新，并及时完善Hypervisor策略，做好安全日志的审核工作。另外，Sandbox可限制非可信程序，包括Cerb、Janus、BlueBox等实现方案，是一种深度防御技术。

8 业务迁移

在完成资源池部署工作后，应当有计划地进行业务迁移。一般而言，业务迁移的必经过程为“前期评估→制定方案→调度资源→部署业务割接→审计→评估成效”[3]。有的业务系统存在较大的集成商支持，考虑到兼容性问题，认为可以在虚拟机上部署后再迁移。有的系统支撑力度小，不妨采用自动迁移法，如使用P2V工具。需注意，因系统差异，迁移工具的转换效果也存在不同。

9 结 论

云计算体现了网格计算的特征，具有快速处理大量数据的能力。随着研究的深入，云计算已经具备了网络存储、负载均衡以及热备份冗余等能力。云计算的出现催生了第三次互联网革命，但因为正处于起步阶段，业界尚未构建统一的标准，在特殊领域也没有成功的经验可以借鉴。所以，在推广实施云计算时，需记录好工作中存在的不足，通过经验积累不断提高IaaS的规划质量。文章简要分析IaaS资源池架构，详细探讨了主机与存储虚拟化。在部署问题上，笔者从资源池的分区入手，介绍了网络、存储、计算资源的部署方式，并针对业务迁移的重要性，给出了迁移流程及迁移方式。