XX设计院私有云设计方案2017

1、XX设计院私有云规划方案目 录1 云计算数据中心的建设意义21.1 企业信息化面临的挑战21.2 云计算数据的建设价值42 云计算数据中心技术路线62.1 计算虚拟化技术选择62.2 云管理平台技术选择72.3 云基础资源技术选择82.4 云网络和云安全技术选择93 云计算数据中心建设规划103.1 云计算平台整体架构103.2 云计算平台建设内容114 云计算数据中心解决方案124.1 计算虚拟化平台124.2 云管理平台建设规划154.3 云融合架构资源池184.4 共享云存储规划204.5 云网安整体规划224.5.1 虚机迁移时网络和安全属性的自动迁移224.5.2 云计算服务与传统业

2、务进行互通244.5.3 不同租户的差异化安全需求部署254.5.4 资源池服务器与机房物理位置无关264.6 云资源自动化管理274.7 面向业务的云运维平台294.7.1 高效运维系统架构设计294.7.2 面向业务运维监控设计304.7.3 业务故障影响及投资分析314.7.4 智能化网络拓扑和设备管理321 云计算数据中心的建设意义1.1 企业信息化面临的挑战在企业的信息化建设过程中，基本上都按照“按需、逐个、独立”的建设原则，每一个应用系统都使用独立的服务器、独立的安全和管理标准、独立的数据库和独立的展现层，即烟囱式的孤岛架构。孤岛架构的缺点主要存在两大问题：1、高投入、难管理、低效

3、率、高能耗、单点资源利用低；2、可靠性低，当任意一台服务器出现硬件故障或者软件故障时，则与本服务器相关的应用系统都不能使用，造成应用系统瘫痪。1.2 云计算数据中心的建设价值云计算是能够提供动态资源池、虚拟化和高可用性的下一代计算模式，同时通过统一的云管理平台，可以对企业各级单位和用户提供“按需计算”服务。结合十三五规划，云计算数据中心在企业将有极其重要的应用价值：企业资源的优化整合对目前企业信息化的各种资源进行整合开发利用，充分挖掘潜力，提高资源的利用率。首先将分散在不同地域的企业园区的软硬件资源进行整合，提高其重复利用率，杜绝闲置和浪费现象，达到数据的标准统一、管理统一、维护统一，逐渐将企

4、业网内各个分校、各个应用系统的数据动态及时地互联互通，彻底消除企业信息化中的信息孤岛，实现信息分散、动态采集，集中安全管理，共享应用。通过服务器虚拟化技术，将各种硬件及软件资源虚拟化成一个或多个资源池，并通过系统管理平台对这些虚拟资源进行智能的、自动化的管理和分配。企业资源的服务提供通过多层次的自助服务门户为企业用户提供数据及应用服务，企业用户可以通过自助服务门户浏览和申请使用企业资源，并可以按自己的需要对资源进行下载、重新整合和展现。同时，企业应用开发商或企业资源提供者也可以通过自助服务门户上载企业应用或资源到企业私有云服务平台上，而网络中心可以通过该自助服务门户对用户、资源、计费进行统一管

5、理。企业云平台框架图首先，通过运行在服务器上的虚拟化内核软件，屏蔽底层异构硬件之间的差异性，消除上层客户操作系统对硬件设备及底层驱动的依赖，同时增强虚拟化运行环境中的硬件兼容性、高可靠性、高可用性、可扩展性、性能优化等功能。其次，通过虚拟化管理软件形成云计算资源管理平台，实现对数据中心内的计算、网络和存储等硬件资源的软件虚拟化管理，对上层应用提供自动化服务。其业务范围包括：虚拟计算、虚拟网络、虚拟存储、高可用性（High Availability，HA）、动态资源调度（Dynamic Resource Scheduling，DRS）、虚拟机容灾与备份、虚拟机模板管理、集群文件系统、虚拟交换机策

6、略等。最后，通过云业务管理中心，将基础架构资源（包括计算、存储和网络）及其相关策略整合成虚拟数据中心资源池，并允许用户按需消费这些资源，从而构建安全的多租户混合云。其业务范围包括：组织（虚拟数据中心）、多租户数据和业务安全、云业务工作流、自助式服务门户、兼容OpenStack的REST API接口等。2 云计算数据中心技术路线云计算数据中心从技术层面包含计算虚拟化、云管理平台、服务器、存储、网络和云安全几大方面。以下将结合国内外主流技术，针对各个方面进行技术梳理，为企业云计算数据中心的建设提供参考和论证基础。2.1 私有云 or 公有云对比项公有云专有云服务对象用户群：个人、中小企业为主。业务

7、应用：通常是面向互联网的对外应用系统用户群：政府、教育、企业医疗等大型企业。业务应用：应用广泛，对内与对外的业务均会涉及。网络接入互联网Internet接入。出口带宽、南北互通、公网地址是服务商重点考虑的。专网接入。专网间的隔离与互通，IP地址与路由策略，监控与维护是服务商重点考虑的。行业化特性以自我为中心，标准、统一，服务全人类。不支持行业化定制。以客户为中心，灵活定制，满足不同行业客户的个性化需求（如流程审批、组织架构、应用监控等）技术架构以分布式为技术核心，强调大规模，高性能。软件版本更新频繁，快速叠代。硬件设备选型成本是第一要素。以HA为技术核心，强调高可用、自动化、易维护。积累、重用

8、、局部创新，严格验证保证版本稳定。硬件设备选型以安全可靠为第一要素。对比项公有云专有云云安全重点是计算、存储资源的虚拟化。关注租户间的隔离，互联网入口安全防护。但同一个租户内的不提供自定义的安全隔离策略。实现物理数据中心内所有基础设施资源的虚拟化，可以在专有云上为每个租户划分一个虚拟数据中心(vDC)，即保证租户间的安全隔离，又可让租户在vDC内自定议安全隔离策略。多级云只有横向扩展，没有纵向分级，逻辑上是一朵云支持多级云平台，实现分级管理，且多级云平台可资源共享、互为备份。运维方式整网一个公有云概念，统一后台维护，不同物理位置的云需要专线连通进行远程统一运维，全网统一一个版本，统一升级。专有

9、云独立定制运维，与外界环境物理隔离。业务适配性要求用户业务需适配公有云标准。适合新增业务，对于现存业务需进行大量改造或重构，且无法解决专网地址及网络策略冲突的问题，专网业务迁移需要重新规划网络专有云平台设计适配用户业务，可根据需求定制开发。对现有业务无需改造或者影响小，迁移成本小。可以很好的解决专网业务向云迁移问题。总结公有云适合部署面向公众的业务专有云适合部署企业业务应用专有云可替代公有云，但公有云无法替代专有云2.2 计算虚拟化技术选择目前除了VMware的vSphere以及微软的Hyper-V外，KVM和Xen都是主流的Hypervisor层技术，其他各大厂家的虚拟化软件基本上以KVM或

10、Xen为基础，综合国内外虚拟技术的发展，Hypervisor层采用KVM技术的虚拟化软件逐渐成为主流，能够看到KVM相比Xen的优势相当明显。 （1）KVM与Linux紧密结合Linux一直以安全稳定而著称，在服务器操作系统市场占有率上仅次于windows。KVM是Kernel-based Virtual Machine的缩写，2007年9月就成为了Linux内核的一部分，可以随Linux版本的升级而升级，其进程管理、内存调度等机制都可以依赖于Linux，而不需要重写，所以对CPU而言，负载会非常小，当然对于KVM而言，也就可以做得更小、更易用、更高的性能；相较而言Xen开始是一个需要单独安装

11、的组件包，只是在2013年4月被动的加入Linux内核，以寻求更多的资源支持。（2）KVM是首个使用硬件辅助虚拟化技术的产品硬件辅助虚拟化技术出现于2006年，在这之前VMware于1998年成立，Xen于2002年发布，而KVM则是在2007年出现的，KVM一出来就使用了硬件辅助虚拟化技术，这一技术由于芯片厂商在CPU级别的支持，能够大大降低虚拟化对硬件资源的损耗，而VMware和Xen因为需要向前兼容，正所谓“船大掉头难”，没有“历史包袱”使得具有后发优势的KVM，架构上反而更优。（3）国外第三方测试报告KVM相比XEN性能更好， KVM完胜Phoronix是业内知名的BenchMark机

12、构，受到Linux官方认可，Phoronix Test Suite是Phoronix Midea旗下的linux平台测试套件,Phoronix使用该软件在不同虚拟化平台及裸机下测试Ubuntu系统性能结果显示KVM指标处于绝对领先地位。（4）开放虚拟化联盟（OVA）为KVM护航2011年5月，IBM、Red Hat、HP、Intel、AMD、Dell等重量级厂商一起成立开放虚拟化联盟(Open Virtualization Alliance, OVA)，该联盟的宗旨在于促进KVM开放虚拟化技术的应用，加速KVM投入市场的速度目前联盟成员已经超过300家。2.3 云管理平台技术选择OpenSta

13、ck创建的虚拟机默认为KVM：在OpenStack 安装后默认使用的是 KVM (libvirt_type=kvm)，不需要特别配置。只有在因为特殊原因需要其他虚拟化方式（如XEN）时，才会替换为其他虚拟机，需要对OpenStack配置文件做改动。OpenStack对KVM支持特性最丰富：OpenStack对不同虚拟化平台的支撑能力见下表，KVM作为原生支持的虚拟化技术，特性支持最完善，而开源XEN平台支持较差。从目前国内外主流虚拟化软件厂商以及高效云技术数据中心建设情况来看，KVM + OpenStack 是最成熟，商用最多，案例最丰富的组合。同时，OpenStack社区非常活跃，版本每半年

14、更新一次，迭代很快，能够适应将来业务发展的需求。所以，在本期企业云计算数据中心建设也要采用KVM + OpenStack这种架构。而且底层的虚拟化软件能够支持标准的OpenStack接口，兼容不同厂商开发的云管理平台。2.4 云基础资源技术选择云基础资源包含了服务器和存储设备。一方面，服务器以小型机和X86架构的服务器为主。而X86架构的服务器因为价格低廉，扩展性高，采购方便，已经成为企业数据中心的主流设备。此外，x86服务器又分为传统机架式设备和超融合设备。另一方面，通过调研，现在流行的存储有IP SAN存储，FC SAN存储，NAS存储，分布式存储等几种产品形态。考究现在云计算数据中心的主

15、流技术，国内外企业以采用超融合架构或者超融合架构+SAN存储为最普遍的方案。 刀片服务器具有低功耗、空间小、单机售价低等特点，同时它还继承发扬了传统服务器的一些技术指标，比如把热插拔和冗余技术运用到刀片服务器之中，这些设计满足了密集计算环境对服务器性能的需求；还可以通过负载均衡技术，有效地提高服务器的稳定性和核心网络性能。相比于传统构建云计算基础架构平台时，硬件平台、虚拟化软件和云管理软件分阶段部署，或者是使用多厂商产品拼凑统一为用户交付，统一的基础架构系统可以实现一框即云，为用户提供一站式交付和运维。采用来自统一厂商品牌的融合基础架构系统还可以实现了可定制化的云计算IaaS层的整体交付，并对

16、软硬件设备的性能全面优化，用户不必考虑软、硬件基础设施之间的兼容性问题，同时也解决了多厂商之间服务协调难度大，响应速度慢等问题，使用户从繁琐的设备选型、采购等环节中解放出来，从而把更多的精力投入自身业务的规划当中。一框即云的特性，更是为用户部署实现云计算提供了跨越式发展，大大缩短业务上线速度。2.5 云网络和云安全技术选择云计算中心的网络层面。虚拟机故障、动态资源调整、服务器主机故障或计划内停机等都会造成虚拟机迁移动作的发生。虚拟机的迁移，需要保证迁移虚拟机和其他虚拟机之间的业务不能中断，虚拟机对应的网络策略和安全策略也必须同步迁移。传统模式下业务和网络存在紧耦合关系，服务器边界与网络边界通常

17、固定，虚拟机迁移需要交换机做相应的配置调整，以及需要修改安全设备上的策略，配置修改的工作量比较大，容易导致业务长时间故障无法恢复。云计算中心的安全层面。不同业务部署在不同的虚拟机上，同一租户内各虚拟机之间会存在流量交换，也就是东西向流量，这种情况下外部的安全防护设备无法对其流量进行必要的安全检查，将所有的东西向流量全部引流到外部的安全防火墙也是不现实的，因此，如何在云数据中心环境下，满足不同租户的南北向流量以及东西向流量的差异化安全部署需求，传统的网络往往无法解决。针对上述两个情况。现在最新的解决方案是采用SDN+Overlay网络的技术。整体新网络解决方案包括：SDN控制器、VxLAN网关、

18、VTEP（可以是物理接入交换机，也可以是虚拟vSwitch）、安全资源池（南北流量安全资源池、东西流量安全资源池）。同时还结合云管理平台组合成整套解决方案。通过云平台，对IT租户的整体IT资源进行按需分配，其中网络和安全资源包括:相对独立的逻辑网络和配套FWLBIPSVPN等资源，并且租户内网络和安全资源组件逻辑关系可进行任意编排。通过SDN技术来实现网络和安全资源的按需分配，SDN控制器可以控制支持VxLAN的传统网络，硬件安全资源池或NFV。SDN控制器向上，为云平台提供面向服务的网络和安全资源，向下集中控制网络和安全资源。3 云计算数据中心建设规划3.1 云计算平台逻辑架构云计算数据中心

19、在体系架构分为四大部分：1、融合基础架构层基础架构层包括运行企业专有云所需的云数据中心机房运行环境，以及计算、存储、网络、安全等设备。云中心机房的部署按照分区设计，主要分为数据库区、大数据处理区、业务应用区、存储区、系统管理区、安全访问控制区等区域。2、虚拟化层资源控制层通过虚拟化技术，负责对底层硬件资源进行抽象，对底层硬件故障进行屏蔽，形成计算、存储、网络、安全和数据库资源池。3、云操作系统层云服务层提供IaaS、PaaS和SaaS三层云服务：IaaS服务：提供硬件和软件基础设施服务，包括云主机、云存储、云防火墙、云负载均衡和云网络（租户子网/IP/域名等），操作系统等。IaaS层服务向Pa

20、aS层提供开放API接口调用。PaaS服务：支持统一的云应用框架，提供云中间件、云数据库、大数据处理等服务。同时为上层企业应用提供标准统一的平台层服务，并提供API接口和SDK开发包，供SaaS层软件开发与部署调用。SaaS服务：支持即开即用的软件服务，使得用户无须采购、安装、维护独立软件，如办公软件、通讯云、网站群等。此模块主要面向云管理员，对云服务管理平台提供给委办局用户的云服务进行配置与管理，包括服务目录的发布，组织架构的定义，委办局用户管理、云业务流程定制设计以及资源的配额与计费策略定义等，此部分的功能可根据客户要求进行定制。5、业务应用层应用层主要是为用于部署客户的实际业务模块，包括

21、业务软件、办公软件和对外网站等。3.2 公有云建设模式在公有云建设模式下，企业的所有业务系统都部署在公有云的虚拟机上，机构部门用户通过互联网线路进行访问。整体架构图示如下：对于业务内部的办公业务系统部署公有云端，企业用户访问时需要超过互联网，会产生较大的延迟和波动，基本处于不可用的状态。对于企业对外服务的WEB类业务系统部署在公有云端，可以很好的提供服务。综上所述，对于企业用户来说，公有云只适合承载对社会提供服务的WEB类业务，不适合承载企业的内部业务系统。3.3 私有云建设模式此种建设模式下，客户可以需求建设一个完全属于自己的云数据中心，采用云计算的整体方案部署，最终实现一个对内提供完整服务

22、的私有云模式。整体架构图示如下：在这种模式下，企业机构的所有内部业务系统和WEB类系统全部部署在自己的私有云数据中心中，由于数据中心存在互联网出口线路，所以对社会提供服务的WEB系统仍然可以被公众所访问到。在私有云模式下，所有的IT资源和业务系统均处在企业内部人员的管控之下，在日常运维和资源扩容变更方面拥有足够的灵活性。从过往的项目经验和技术角度，我们建议企业机构采用私有云模式来承载自身的所有业务系统。3.4 私有云+公有云建设模式私有云+公有云建设模式，也称作混合云模式。在这种模式下，客户需要建设自己的云数据中心，用于承载企业部门内部的业务系统；同时租用公有云服务商的云主机，用于承载对社会提

23、供服务的WEB类系统。整体架构图示如下：3.5 云计算平台建设内容1、采用先进融合统一架构，构建一个服务器、网络、存储和虚拟化同时融合的资源池，具备深度融合、灵活扩展，快速部署，节约投资等特点。同时考虑采用高可靠性的FC SAN共享存储建设云计算数据中心统一存储资源池；可以为各类应用提供大容量I/O性能支撑。2、通过虚拟化管理软件对底层服务器资源实现虚拟化，实现资源多倍复用，节约投资。能够实现虚拟化资源的全生命周期管理，虚拟化资源的高可靠部署，灵活调度，和高效巡检；3、结合负载均衡器设备，可以实现虚拟化资源的动态扩展技术，使资源根据业务的并发处理需求进行动态扩展和回收，以响应云计算数据中心在不

24、同时候对于虚拟化资源动态分配的业务模式；4、架构云计算平台对底层IT资源进行更灵活调度。通过云业务编排功能，自服务平台，用户只需要通过自助申请，即可获得计算、存储和网络等资源；通过多级管理，实现企业云计算数据中心资源的统一调度；5、通过改造底层的云网络，结合SDN控制器和云管理平台，对IT租户的整体网络和安全资源包括:相对独立的逻辑网络和配套FWLBIPSVPN等资源，并且租户内网络和安全资源组件逻辑关系可进行任意编排。6、通过云资源自动化管理平台实现服务器、网络、存储、应用及其他硬件资源的快速部署，通过一个统一的界面实现所有资源的监控、运维和建设成果展示。7、通过面向业务的云运维平台。深入对

25、业务运行情况及负载数据的掌握。对业务负载情况及业务负载占比情况的数据收集和分析，提供长达数年的数据积累，通过这些数据可直观了解业务的变化规律。可以快速定位某一时间业务及业务所包含资源的性能变化情况，找出系统的瓶颈，为业务系统的扩容提供参考。4 云计算数据中心解决方案 4.1 计算虚拟化平台服务器虚拟化层包括：虚拟化管理中心和虚拟机实体两部分，虚拟化实体负责具体物理机虚拟化，虚拟化管理中心负责管理各个虚拟机实体。（1）虚拟机生命周期：在IaaS架构中，虚拟机作为最为重要的IT基础设施，它的生命周期供贯穿于整个云业务服务的流程之中，并直接关系着云计算平台的资源利用状况。因此，为了更好的将虚拟机的生

26、命周期管理和云业务及资源平台管理结合在一起。虚拟机的生命周期管理已不仅仅涉及虚拟机的创建、修改、启动、关闭和删除等简单的流程。随着虚拟化技术的发展，虚拟机的快照、备份技术愈发成熟，为业务和数据的可靠性提供又一重保障。另外，通过模板，克隆和快速生成功能，可以在极短的时间内完成数据中心的虚拟机部署。为企业内各二级单位的业务的快速上线提供保障。（2）服务器虚拟化可靠性HA：传统数据中心内的服务器高可靠性保障通常会选择依赖于集群技术的部署。而云计算平台将计算资源虚拟化以后，可以利用虚拟服务器自身虚拟化的特点实现传统物理服务器上无法实现的高可靠性。为了提升云业务系统的可靠性，在云计算平台的计算资源池建设

27、时，可以将多个物理主机合并为一个具有共享资源池的集群。虚拟化HA功能会监控该集群下所有的主机和物理主机内运行的虚拟主机。当物理主机发生故障，出现宕机时，HA功能组件会立即响应并在集群内另一台主机上重启该物理主机内运行的虚拟机。当某一虚拟服务器发生故障时，HA功能也会自动的将该虚拟机重新启动来恢复中断的业务。（3）虚拟机热迁移：虚拟化平台可提供基于共享存储的迁移以便满足数据中心虚拟化项目的业务连续性要求。虚拟机热迁移特性是指在使用同一共享存储的主机之间将处于运行态的虚拟机由当前所在的主机迁移到另一台主机上，在迁移的过程中不影响用户对虚拟机的使用。在对主机进行维护操作前将该主机上的虚拟机迁移到其他

28、主机上，然后再作维护，可以降低因主机维护造成的用户业务中断。通过将繁忙的主机上的虚拟机迁移到空闲的主机上，可以提升虚拟机用户的感受，并使全局业务均衡。通过将空闲主机上的虚拟机聚拢到几台主机上，然后将没有负载的主机关闭，可以降低数据中心的电能消耗。（4）集群资源智能巡检：普通的虚拟化平台可以对计算、存储、网络、虚拟化等各个层面的资源进行单独的统计，共运维人员分析。但是随着虚拟化资源池的扩大，以及多应用系统的部署需求，多种资源的同步分析成为管理和运维人员的实际需求。同时，虚拟化资源池的建设走向需要综合的，专业的巡检报告进行支撑。这要求虚拟化平台能够内置健康巡检功能，从系统、集群、主机、存储、网络、

29、告警分析等维度对系统运行情况进行巡检，针对巡检问题平台可自动给出优化建议。巡检报告支持以pdf，Excel等文档方式导出。（5）虚拟机资源动态调整：虚拟化平台可以持续不断地监控计算资源池的各物理主机的利用率，并能够根据用户业务的实际需要，智能地在计算资源池各物理主机间给虚拟机分配所需的计算资源。通过自动的动态分配和平衡计算资源，动态资源调整特性能够： 整合服务器，降低IT成本，增强灵活性； 减少停机时间，保持业务的持续性和稳定性； 减少需要运行服务器的数量，提高能源的利用率。随着业务量的增长，虚拟机对计算资源需求会相应的迅速增加。此时其所在物理主机的可用资源可能就不能再满足其上承载的虚拟机的计

30、算需要。动态资源调整功能组件可以自动并持续地平衡计算资源池中的容量，可以动态的将虚拟机迁移到有更多可用计算资源的主机上，以满足虚拟机对计算资源的需求。可以显著地提升数据中心内计算资源的利用效率，降低数据中心的成本与运营费用。（6）虚拟机资源动态扩展：每台物理服务器主机上的虚拟机分配数量相同的CPU、内存以及磁盘I/O资源。但是，虚拟机因为承载业务的不同往往工作负载不尽相同，例如，SQL服务器和Web服务器的访问需求就不尽相同，因此，手动调整分配给每个虚拟机的资源就显得非常重要。可以通过不同优先级来实现不同业务资源限额。根据应用场景，提供四种策略类型：组内自动伸缩策略、组间资源回收策略、时间计划

31、策略、负载均衡与动态节能策略。1、组内自动伸缩策略。针对单独的应用而言，应用根据应用的当前负载动态的调整应用实际使用的资源，当一个应用资源负载较高时，自动添加虚拟机并且安装应用软件；当应用的资源负载很低时，自动释放相应的资源。2、组间资源回收策略。当系统资源不足的情况下，系统可以根据组间设置的资源复用策略， 优先使优先级高的应用使用资源，使优先级低的应用释放资源，以供优先级高的应用使用。3、时间计划策略。时间计划策略允许用户对于不同的应用实现资源的分时复用。用户可以设置计划策略，使得不同的应用分时段的使用系统资源，比如说白天让办公用户的虚拟机使用系统资源，到了晚间可以让一些公共的虚拟机占用资源

32、。4、负载均衡与动态节能策略。系统负荷不大时，各虚拟机占用CPU较低，部分虚拟机关机了，可以将某些服务器上的虚拟机自动迁移到其他节点，对这个服务器进行休眠或下电，实施系统节能策略。系统重载时，再让部分物理机上电，并迁移虚拟机到新物理机，保证用户感受。系统需分析并选择合适的物理机上下电，减小迁移的虚拟机数目。4.2 云管理平台建设规划随着虚拟化及相关技术的日趋成熟，越来越多的企业数据中心内部完成了计算虚拟化、存储虚拟化以及网络虚拟化的部署，实现了计算、存储、网络资源的池化，通过虚拟化技术极大的提高了IT资源的利用率，但部署和维护模式与传统IT相比却没有多大改变。云计算技术颠覆性的改变了传统IT行

33、业的消费模式和服务模式，将IT设备作为一种服务，实现了使用者从以前的“购买软硬件产品”向“购买IT服务”转变，大大提高了IT效率和敏捷性。为了整合各种虚拟化资源，具备统一出口的云管理平台成为企业建设云计算数据中心的首要选择。云管理平台能够实现将传统IT资源以云服务的方式向用户提供，用户通过统一的Portal即可以完成云资源的申请、使用、管理、销毁，这些云资源使用起来与传统IT资源没有任何区别。同时，统一出口的云管理平台还能够统一解决云安全问题和基础设施进行运维。结合国内外主流技术的发展现状，以及企业业务的实际情况，云管理平台至少应该具备以下几方面的功能：（1）直观的配置与管理基于B/S 架构的

34、管理控制台，不仅可以轻松组织和快速部署整个IT 环境，同时能够对资源池进行多维度的性能监控。基于物理服务器的性能监控，基于虚拟机的性能监控，基于虚拟交换机的性能监控，基于多种存储的性能监控。（2）用户分组管理根据数据中心云业务划分需求，可以将管理员划分为多级进行管理，并支持管理员分组，不同的级别可以具有不同的管理权限和访问权限。系统管理员：或者称之为超级管理员，能够创建和管理数据中心内的所有云资源。对于私有云数据中心，系统管理员是企业信息中心的IT管理员。组织管理员：或者称之为虚拟数据中心管理员，拥有对组织虚拟数据中心的管理权，包括组织内部虚拟机的运行管理、镜像管理、用户管理以及认证策略管理等

35、。最终用户：权限最低，允许最终用户通过RDP协议访问自己专属的虚拟机，并允许通过自助服务门户向组织管理员申请虚拟资源。对于二级单位的私有云数据中心，最终用户由组织管理员创建。（3）按需编排云业务通过云管理平台提供的虚拟化资源池功能，使IT 部门能够将计算、存储和网络等物理资源抽象成按需提供的弹性虚拟资源池，以消费单元（即组织或虚拟数据中心）的形式对外提供服务，IT 部门能够通过完全自动化的自助服务访问，为用户提供这些消费单元以及其它包括虚拟机和操作系统镜像等在内的基础架构和应用服务模板。这种自助式的服务真正实现了云计算的敏捷性、可控性和高效性，并极大程度地提高了业务的响应能力。同时，云管理平台

36、支持业务流程定制功能，可以根据自身业务审批机制定义业务流程，管理员审核完用户申请后，以邮件或短信等方式及时通知用户。在日常管理中，可以通过消息推送功能，将文本消息推送到指定的租户。在用户侧，则可通过支工单向管理员提交IT需求申请各类资源。（4）多用户访问安全通过用户数据安全隔离与网络安全策略模板，确保虚拟化、多用户环境下的用户隐私信息及数据的安全。通过用户权限的精细化控制、管理帐号的分级管理以及详细的操作访问日志，避免权限滥用问题。通过灵活的用户访问控制，对虚拟机的配置和远程访问权限进行保护，同时，审核日志会对重大操作进行详细记录，方便事后审计追踪。（5）虚拟数据中心管理云管理平台能够以计算资

37、源、网络资源、存储资源等多个维度，展示三种视角下的虚拟化拓扑，多层次展示出物理主机、存储、虚拟交换机、虚拟机之间的内部逻辑关系。通过多维度拓扑的切换和监控，可以快速定位各个虚拟数据中心中计算、网络或者存储单元的故障情况。可以更为精准的为不同租户梳理业务底层资源基础架构。（6）支持Overlay网络调用Overlay网络是灾备建设和云计算建设的最佳落地技术。这种组网模式具有改动少，层次清晰，运维简单特点，不仅解决了服务器资源跨区域灵活部署的问题，同时没有大二层协议的复杂性，简化运维，降低综合成本。云管理平台通过虚拟交换机，结合Vxlan技术，通过与SDN控制器配合可以实现Overlay网络的构建

38、和灵活管理，对于企业数据云计算数据中心日后的弹性扩展，资源灵活调度，以及物理服务器与部署位置解耦合具备重要的意义。4.3 云融合架构资源池对云计算平台而言，服务器资源池一般都是采用相同处理器、相近型号系列并且配置与物理位置接近的服务器群比如相近型号、物理距离不远的机架式服务器或者刀片服务器。而对于本次新建服务器资源池，考虑到服务器对机房资源占用和服务效率，采用包含服务器、存储、网络、虚拟化、云管理的融合架构的服务器资源池方案，其具体特性如下：（1）继承刀片式服务器特点刀片服务器是一种高密度服务器，具有低功耗、空间小、单机售价低等特点，同时它还继承发扬了传统服务器的一些技术指标，比如把热插拔和冗

39、余技术运用到刀片服务器之中，这些设计满足了密集计算环境对服务器性能的需求，而从外表看，与传统的机架/塔式服务器相比，刀片服务器能够最大限度地节约服务器的使用空间和费用，并为用户提供灵活、便捷的扩展升级手段。（2）深度融合、节约投资一整套采用机架式设备的传统设施至少需要占用1个机柜的空间，各设备之间通过繁杂的线缆连接，维护较为困难。同时传统情况下服务器的利用率长期保持在20%以下，各设备间分开供电与散热，带来了大量的空间、电力、能耗等方面的浪费。融合架构系统通过在一个10U的刀箱中集成了服务器、存储、网络、虚拟化软件、风扇和电源等设备，大大提高了服务器的利用率，减少了空间、电力、能耗等方面的消费

40、。经测试统计得出，采用统一基础架构系统，可以提升至少3倍的服务器利用率，降低至少75%的空间占用，减少至少40%的电力消耗。 （3）灵活集群，按需扩展刀片服务器超融合架构，是专为实现数据中心的便利性而打造的设计。在标准高度的机架式机箱内可插装多个卡式的服务器单元，实现高可用和高密度。每一块“刀片”实际上就是一一个个独立的服务器，在这种模式下，每一块刀片运行自己的系统，服务于指定的不同用户群，相互之间没有关联，也可以根据业务的需求使用系统软件将这些刀片集合成一个服务器集群。在集群模式下，刀片网络模块连接起来，为所有刀片服务器提供高速的网络环境，并同时共享资源，为相同的用户群服务。在集群中插入新的

41、“刀片”，就可以提高整体性能。而由于每块“刀片”都是热插拔的，所以，系统可以轻松地进行替换，并且将维护时间减少到最小。（4）全虚拟化、统一管理统一基础架构系统不仅融合了服务器、存储和网络等硬件设备，同时采用虚拟化技术实现了全套硬件设备的虚拟化。全虚拟化的实现保证了刀箱整体系统设备的高可靠，任何一台设备宕机都不会影响业务的正常运行和数据丢失。实现虚拟机和交换机的深度融合，使交换机能够识别虚拟机的数量和感知每个虚拟机的流量。通过在一个平台上实现了对服务器、网络、虚拟机、虚拟网络设备、存储等进行统一管理，极大地简化了管理工作，使用户的管理效率提高至少3倍。（5）一箱即云，快速部署相比于传统构建云计算

42、基础架构平台时，硬件平台、虚拟化软件和云管理软件分阶段部署，或者是使用多厂商产品拼凑统一为用户交付，统一的基础架构系统可以实现一框即云，为用户提供一站式交付。本方案采用来自统一厂商品牌的融合架构系统，可以实现可定制化的云计算IaaS层的整体交付，并对软硬件设备的性能全面优化，用户不必考虑软、硬件基础设施之间的兼容性问题。（6）整体交付，高效运维融合架构系统实现了服务器、网络、存储虚拟化软件和云管理软件的整体交付，不必考虑云计算IT基础设施的兼容性和性能匹配等问题，使用户从繁琐的设备选型、采购等环节中解放出来，从而把更多的精力投入自身业务的规划当中。内基础设施组件进行统一的售后保障，用户不必担心

43、传统数据中心多厂商协调难度大、响应速度慢等问题，极大的提高了用户数据中心问题定位和处理的效率。4.4 共享云存储规划在搭建云存储资源池之前，首先应该确定资源池的种类和规模。通过调研，现在流行的存储有IP存储，FC存储，NAS存储，分布式存储等几种产品形态。其中，前两种存储形态统称为SAN存储。SAN（Storage Area Network）存储区域网络，是一种高速的、专门用于存储操作的网络，通常独立于计算机局域网（LAN）。SAN将主机和存储设备连接在一起，能够为其上的任意一台主机和任意一台存储设备提供专用的通信通道。SAN将存储设备从服务器中独立出来，实现了服务器层次上的存储资源共享。SA

44、N将通道技术和网络技术引入存储环境中，提供了一种新型的网络存储解决方案，能够同时满足吞吐率、可用性、可靠性、可扩展性和可管理性等方面的要求。NAS（Network Attached Storage）网络附加存储。NAS实际上是一个带有瘦服务器的存储设备，其作用类似于一个专用的文件服务器。这种专用存储服务器去掉了通用服务器原有的不适用的大多数计算功能，而仅仅提供文件系统功能。与传统以服务器为中心的存储系统相比，数据不再通过服务器内存转发，直接在客户机和存储设备间传送，服务器仅起控制管理的作用。分布式存储采用的是大型服务器集群共建存储池的模式。形态上跟NAS存储差不多，但是服务器的选型上不受限制。

45、分布式存储主要是针对预算敏感，对数据可靠性要求较低，主要看重并行处理能力的部署场景。企业建设云计算数据中心在构建存储时需要着重考虑存储的稳定性，IO的高效性，存储的扩展性和存储容灾能力。综合这几个因素，FC存储阵列无疑还是云计算数据中心存储模块的首选。同时可以作为融合架构中存储资源的补充。首先，FC存储的普遍配置大缓存，可以对前端应用加速，提升整体IOPS。而且，主流的FC存储支持一致性缓存特性，任何一个控制器损坏都不会引起写缓存关闭，性能不会大幅下降，保障业务的持续稳定运行。其次，FC存储具备很好的“双活模式”，现在主流的FC存储能够支持每个卷在系统内所有控制器上激活。这样形成的全激活群集带

46、来了稳定的负载平衡性能，为经济高效的扩展提供了更大的空间。此外，FC存储具备的可扩展架构可以逐渐无缝扩展存储，无中断地添加新的应用和工作负载，所有这一切均可在一个自主分层、闪存优化的阵列内完成。同时，在存储的选择上必须要对存储的容量使用率和数据可靠性进行综合考虑。FC存储阵列要求采用底层硬盘虚拟化FastRaid技术来提高容量使用率、数据恢复速度、数据可靠性以及易用性。FastRaid将每个物理磁盘划分为小粒度的分配单元（chunklet），在管理员生成卷的时候，就会把需单元自动分配至逻辑磁盘（logical disk），然后logical disk组成了虚拟卷（virtual volume）

47、， 无需管理员人工规划磁盘空间使用情况，并且不需要使用独立的热备盘。FastRaid技术将介质设备（基于磁盘或闪存）分为小块空间，对物理驱动器进行虚拟化后做RAID冗余保护，既能够保障数据可靠性，又可以提高可用性并避免容量浪费。逻辑磁盘是应用了诸如可用性级别、驱动器介质类型和 RAID 级别等服务质量参数的虚拟化层。它能够实现每个卷的数据和 I/O 在所有系统资源（控制器、端口、缓存和驱动器）上呈广泛的条带化分布形式，这样就可以大幅提升每个逻辑磁盘的性能及利用率。即使小规模的卷，也同样可以利用数百个磁盘的卓越性能以及系统的所有控制器节点，在不影响容量利用率的情况下实现最佳性能。如果出现介质故障

48、，系统范围内的冗余机制可以通过实现硬盘多对多数据重构，而非传统多硬盘向单一硬盘重构，进而大幅加快重新构建的速度，帮助业务迅速恢复数据完整性，大大降低硬盘再故障而造成的数据丢失。全自动管理该系统范围的数据在硬盘中的分布负载平衡，因此不需要额外的时间或复杂性来创建或维护最优配置的系统。4.5 云网安整体规划面向云计算环境下，网络和安全资调度的不灵活。通过新网络解决方案加以解决。方案包括：SDN控制器、VxLAN网关、VTEP（VxLAN接入端设备，可以是物理接入交换机，也可以是虚拟vSwitch）、安全资源池（南北流量安全资源池、东西流量安全资源池）。其中SDN控制器实现对整个新网络设备资源进行统

49、一控制，并对接云平台，VxLAN网关和VTEP之间建立按需构建的VxLAN，VTEP和VxLAN之间可以是原有传统IP网络，IP可达即可，利旧原有网络资源。通过云平台，对IT租户的整体IT资源进行按需分配，其中网络和安全资源包括:相对独立的逻辑网络和配套FWLBIPSVPN等资源，并且租户内网络和安全资源组件逻辑关系可进行任意编排。通过这些技术的结合，云计算数据中心能够真正实现以下几项价值：4.5.1 虚机迁移时网络和安全属性的自动迁移在虚拟化环境中，虚拟机故障、动态资源调度功能、服务器主机故障或计划内停机等都会造成虚拟机迁移动作的发生。虚拟机的迁移，需要保证迁移虚拟机和其他虚拟机直接的业务不

50、能中断，而且虚拟机对应的网络策略也必须同步迁移。虚拟机迁移及网络策略跟随具体实现过程网络管理员通过虚拟机管理平台下发虚拟机迁移指令，虚拟机管理平台通知控制器预迁移，控制器标记迁移端口，并向源主机和目的主机对应的主备控制器分布发送同步消息，通知迁移的VPort，增加迁移标记。同步完成后，控制器通知虚拟机管理平台可以进行迁移了。虚拟机管理平台收到控制器的通知后，开始迁移，创建VM分配IP等资源并启动VM。启动后目的主机上报端口添加事件，通知给控制器，控制器判断迁移标记，迁移端口，保存新上报端口和旧端口信息。然后控制器向目的主机下发网络策略。源VM和目的执行内存拷贝，内存拷贝结束后，源VM关机，目的

51、VM上线。源VM关机后，迁移源主机上报端口删除事件，通知给控制器，控制器判断迁移标记，控制器根据信息删除旧端口信息并同时删除迁移前旧端口对应的流表信息。主控制器完成上述操作后在控制器集群内进行删除端口消息的通知。其他控制器收到删除端口信息后，也删除本控制器的端口信息，同时删除对应端的流表信息。源控制器需要把迁移后新端口通知控制器集群的其他控制器。其他控制器收到迁移后的端口信息，更新端口信息。当控制器重新收到Packet-in报文后，重新触发新的流表生成。通过SDN控制器来实现虚机迁移时网络属性和东西安全访问权限属性的自动迁移。4.5.2 云计算服务与传统业务进行互通私有云资源如果服务于不同IP

52、网段的传统网络业务，需要实现私有云区虚拟机和传统业务服务器L2互通，保证业务不中断。具体的实现方案是对传统业务网络进行适当改造，在传统业务汇聚交换机旁挂L2 VxLAN网关，将传统业务L3 网关迁移到 VxLAN L3网关。具体实现过程：4.5.3 不同租户的差异化安全需求部署租户的差异化安全需求包括两部分，一部分是南北流量的安全需求，一部分是东西流量的安全需求。基于虚拟数据中心，对不同”租户”IT资源池进行逻辑隔离,通过南北安全资源池实现南北流量差异化安全，如，财务处、教务处、不同院系；针对不同“租户”内部，不同角色服务器之间安全防护通过东西安全资源池实现差异化防护，如，财务处、教务处。4.

53、5.4 资源池服务器与机房物理位置无关通过使用MAC-in-IP封装技术，VxLAN为虚拟机提供了位置无关的二层抽象，Underlay网络和Overlay网络解耦合。终端能看到的只是虚拟的二层连接关系，完全意识不到物理网络限制。由于有了叠加在L3网络上的L2网络VxLAN，服务器可以在机房任意地点设置，可以灵活归属于任意VxLAN，因此，物理服务器在机房中位置无关。更重要的是，这种技术支持跨传统网络边界的虚拟化，由此支持虚拟机可以自由迁移，甚至可以跨越不同地理位置数据中心进行迁移。如此以来，可以支持虚拟机随时随地接入，不受实际所在物理位置的限制。所以VxLAN的位置无关性，不仅使得业务可在任意

54、位置灵活部署，缓解了服务器虚拟化后相关的网络扩展问题；而且使得虚拟机可以随时随地接入、迁移，是网络资源池化的最佳解决方式，可以有力地支持云业务、大数据、虚拟化的迅猛发展。4.6 云资源自动化管理云计算为用户的业务以及运维模式带来了巨大的改变，同时也对IT基础架构提出了新的要求。目前用户IT基础设备及管理普遍割裂严重，硬件设备相互独立且被 不同的管理平台管理，节点设备众多，造成功耗大、线缆互联混乱、管理复杂等众多问题。随着云计算虚拟化软件的部署，数据中心IT模型发生巨大变化，IT的复杂度成倍增加，逐渐超出了信息部门的管理能力，造成极大的运维工作量及压力，管理成本也越来越高。因此，云计算基础设施的

55、无缝融合、统一管理，基础架构平台一体化的交付和运维已经成为当前的迫切需求。同时，这种融合架构应该是形态简单的，可以1U2U高的机架型的盒式设备呈现，与独立与网络组网松耦合，设备本身的故障不会影响到业务的运行，只要IP可达就可以实现对数据中心的计算，存储和网络进行统一管理。详细而言，这种融合架构应该具备以下多种功能：（1）资源一站式监控统一管理矩阵提供了数据中心的统一门户，通过单点登录方式，提供了对数据中心内服务器、网络、存储、服务器虚拟化、负载均衡设备、机柜、上层业务等资源的一体化管理，实现了一个平台内对所有业务的上线、资源的统计和设备的管理。从数据中心机房建模、设备装机模拟、IT资产管理、拓

56、扑呈现等IT机房的管理，到设备的配置和监控、应用监控等IT设备的管理， 统一管理矩阵提供了业界最全的数据中心管理功能。（2）设备自助上线统一管理矩阵提供了设备自助上线功能，通过预配置好的服务器模板，当有设备需要上线，只需通过一键拖拽的方式将配置下发给该设备，之后此设备便会自动配置和安装OS。当有大量设备需要上线时，操作依然如此简单，极大的节约了设备上线的速度以及管理员的工作量。（3）应用一键部署统一管理矩阵提供了应用一键部署功能，管理员只需填写该应用需要的计算、网络、存储、OS等资源，点击“一键部署”按键，UIS便会自动生成该应用。UIS的一键部署功能，加快了业务上线的速度，减少了管理员的工作

57、量。（4）资源弹性扩展统一管理矩阵提供了资源弹性扩展功能，在应用流量突发的情况下，无需新增物理设备，会自动扩展该应用需要的资源，以满足突发流量下的访问需求。当流量降下来之后，会自动回收相应的资源。资源扩展和回收的整个过程无需人工干预。资源弹性扩展功能带来了设备使用率的提高、应用需求的及时响应等价值。（5）问题事件快速处理统一管理矩阵提供了问题事件快速处理的功能。统一的监控平台，可以帮助管理员及时快速的定位出故障源。同时统一管理矩阵实现了业界独有的无状态数据中心，即将计算、网络和存储资源的配置与设备解关联，存放于统一管理矩阵中，资源池化的属性和配置信息可以下发给任意设备。无状态数据中心特性保证了当设备配件或整机更换时，设备的属性和配置信息保持不变，无需重新配置。4.7 面向业务的云运维平台企业现有运维管理手段也是僵化的。日常仅靠基础的网络运维平台对底下的计算、存储和网络设备进行监管。但是这些管控都是割裂的，没有把各个维度联动起来。针对具体业务故障还需要逐级去排查，效率很低。所以企业亟