云计算申报项目技术方案

1、 “云计算平台”方案建议 云计算申报项目技术方案云计算申报项目技术方案 “云计算平台”方案建议 目目 录录 1.总体规划设计总体规划设计.4 1.1it 服务云规划.4 1.2it 服务云设计.6 1.2.1架构设计目标.6 1.2.2架构设计指导原则.6 2.云计算公共服务平台功能设计云计算公共服务平台功能设计.8 2.1服务请求管理设计.9 2.1.1门户系统.9 2.1.2服务目录.14 2.1.3服务控制台.15 2.1.4自助服务.16 2.2运行支持管理设计.16 2.2.1运行支持门户.18 2.2.2资源管理.19 2.2.3自动化管理.22 2.2.4监控管理.27 2.2.

2、5配置和容量管理.33 2.2.6安全管理.36 2.2.7备份管理.52 2.2.8运行支持报表.54 2.2.9其他工具.60 2.3服务发布管理.61 2.3.1服务定义.62 2.3.2服务开发测试.66 2.3.3服务发布.68 2.3.4isv管理.71 4. 云计算服务实现云计算服务实现 .76 4.1 逻辑架构.76 4.2功能实现.80 4.2.1iaas功能设计.80 4.2.2paas功能设计.99 4.2.3saas功能设计.119 4.2.4运维管理.133 4.2.5运营与收费.136 5云计算平台物理架构设计云计算平台物理架构设计.137 第 3 页 共 140

3、页 1.总体规划设计总体规划设计 1.1it 服务云规划服务云规划 #软件园云计算平台是为*省云计算高新产业的示范项目，为 #软件园和开发区企业提供标准化 it 服务的平台，是云计算的一种典型 应用。ibm 公司作为云计算理念的领导者与实践者，在云计算方面不仅积累了 大量的技术，而且在国内外拥有丰富的云计算实施经验。ibm 云计算解决方案 十分适合于”#软件园云计算公共服务平台”项目，可以满足项目的各种功 能性和非功能性指标，能够为#高新区中企业的业务运行和系统运维提供 有力支持。ibm 云计算解决方案是包含软件、硬件和服务的完整解决方案，可 以集成各种管理模块和企业应用，适用于不同云计算应用

4、服务的需求。 图 1.1 ibm 云计算平台体系架构 上图是 ibm 云计算解决方案的完整架构图。该架构包括以下主要组件： 服务请求管理 服务请求管理模块主要以门户系统的方式向用户提供云计算平台的公共入 口，允许用户以自服务的方式登录云计算平台，查询服务目录，提交服务请求， 并对请求和服务进行查看和管理。 业务支持系统 业务支持系统提供支撑云计算平台进行商业运营的能力，其主要实现的功 能包括客户关系管理，计费和结算、以及客户积分管理等。同时业务支撑系统 还提供呼叫中心等为客户提供技术支持的能力。 服务发布系统 服务发布系统为 isv 提供在云计算平台上进行新服务的设计、开发、测试 和发布的全生

5、命周期技术支持，以及 isv 管理系统。 运行支持系统 运行支持系统提供支撑云计算平台的运行能力，它包括对云计算平台的资 源管理，配置和容量管理，以及实现云计算服务的自动化部署技术。此外，运 行支持系统还提供系统的安全备份、监控以及灾备管理。 市场销售管理 市场销售管理系统主要服务于云计算平台的市场营销，其中主要包括市场 活动管理，销售管理和渠道管理。 云计算服务 云计算服务是云计算平台向终端用户提供的服务方式，通常包括基础架构 服务（infrastructure as a service）, 平台服务（platform as a service）和软件服务 （software as a se

6、rvice） 。 虚拟化 虚拟化技术用于将云计算平台中的物理硬件资源以虚拟化的方式提供给终 端用户，具体包括服务器虚拟化、网络虚拟化和存储虚拟化。 物理设备 物理设备包含用于构建云计算平台和为用户提供云计算服务所需的 it 硬件 资源，它通常包含服务器设备，网络设备和存储设备。 1.2it 服务云设计服务云设计 1.2.1 架构设计目标架构设计目标 架构设计的总目标是建设#高新区软件园云计算平台促进#， 乃至*省云计算业务的发展。具体目标如下： 建设#乃至*省的云计算高新产业，并为省内各相关行业企业提 供各种云计算服务； 整合云计算技术和产业优势，打造#软件园云计算公共服务平台； 支持云计算平

7、台业务的商业化运作，具备完善的业务支持能力； 提供完善的云计算服务能力，包括有 iaas、paas 和 saas 服务等。 1.2.2 架构设计指导原则架构设计指导原则 根据架构设计最佳实践以及#高新区软件园云计算公共服务平台建设 的实际需要，我们在设计#软件园云计算服务平台的应用架构时主要遵循 以下原则： 集中化 尽可能集中云计算资源，提升资源共享程度，降低服务成本。 标准化 包括三个方面的标准化，即： 通用软件的标准化：尽可能使用成熟的软件包，通过先进软件的实 施，完善并优化业务流程，减少对成熟软件的修改；在必要的时候 进行定制软件的开发。 软件开发和协同业务流程的标准化：严格遵循如 cm

8、mi 的软件开发、 管理等标准。 软件接口标准化：使用基于 j2ee 开发的软件产品，并利用 webservice，portlet 等标准化协议进行软件集成。 集成化 为实现最大效益，需要考虑两个方面的集成： 已政府扶持搭建，企业独立运行为建设宗旨整合平台资源实现资源、 信息、流程的服务化； 支持不同企业、机构和个人与云计算中心的协同，包括资源申请、 分配和维护管理等等。 适应性 能够适应#软件软入园企业或是其余高新区企业对云计算服务的 具体需求。 其它参考原则 其它如可扩展性、安全性、可维护性、便于监控、易于管理等，都是需 要考虑的重要因素及原则。 第 7 页 共 140 页 2.云计算公共

9、服务平台功能设计云计算公共服务平台功能设计 “#软件园云计算公共服务平台”以下简称“云计算公共服务平台 “方案由一系列产品及基于他们的配置和集成组成。方案涉及的产品主要来自 于 ibm。ibm 提供服务门户(ibm websphere portal 及 tivoli)，服务发布管理 (ibm tivoli)，运行支持系统(ibm tivoli)，iaas(ibm tivoli), paas(ibm websphere，lotus 及 rational)，saas(ibm lotus 及 websphere,)软件。ibm 将领 导所有软件的配置和集成工作，保证方案的可靠性和可操作性。以下是各产

10、品 模块与架构图的对应关系。 图 2.1 ibm 云计算公共服务平台整体架构 除了利用已有产品外，为实现招标方提出的项目建设需求，方案针对这些 需求进行了具体而细致的分析，认为这些需求可以通过基于产品进行定制化配 置或集成的方式加以满足。同时，为了实现整体的解决方案，并给用户带来一 致的用户体验，方案采用了以下手段对各个产品进行集成，保证了系统的易用 性： 统一认证系统、权限系统，实现单点登录； 使用门户技术集成不同的后端系统，实现界面统一； 避免将同样的数据存放于不同的位置，避免数据不一致，实现数据统一； 使用 webservice 进行 bss 和 oss 系统的集成，实现自动化的业务受理

11、； 通过 oss 与 iaas/paas/saas 软件的集成，实现自动化的业务请求开通 与自动化运维。 2.1服务请求管理设计服务请求管理设计 2.1.1 门户系统门户系统 云计算平台的门户系统是云计算平台的用户公共入口，它需要将云计算平 台中不同的组件、应用程序、流程和内容组合到统一的表示界面，并允许用户 从个人计算机、pda 和移动电话等广泛的设备进行访问。针对项目需求， “#软件园云计算平台”门户是面向最终用户和 isv 的，它将为用户提供 一站式的信息服务和云计算访问能力。门户上将集中提供以下信息，并以 portlet 形式展现： 平台介绍及演示 通告 产品促销及市场活动 系统帮助

12、sla 报表 自服务管理界面 服务目录 订单管理 用户管理 计费、结算、积分管理 服务请求 用户可以随意组合这些 portlet，改变界面布局和风格，使之符合自己的使 用习惯。 门户系统基于 ibm portal 产品实现。 ibm wehphere portal server 是 ibm 公司在 websphere 应用服务器 （websphere application server）上构建的门户架构解决方案，可以为各种云计 算平台提供集成化的管理及业务处理空间，供各种终端用户通过一个单一的信 息入口，个性化的集成访问企业的各种后台应用系统、信息并通过丰富的协作 功能与他人高效协作。ibm

13、 websphere portal server 通过整合 ibm 的各种领先 中间件技术，提供一个完整的、灵活、开放、可扩展的架构，帮助客户创建一 流的、安全、功能强大的门户系统，并支持企业随着需求的变化进行调整、扩 充，用以服务内部员工（b2e 门户） 、客户（b2c 门户）以及合作伙伴（b2b 门户） 。对于云计算平台而言，websphere portal 门户系统可以提供多源内容聚 合、应用架构整合、服务集成和协作服务等服务，其主要特点包括： 1. 内容聚合内容聚合 websphere portal 门户采用符合 jsr 168 或 jsr 286 开放规范的 portlet 作为 可

14、插入的用户接口组件。作为独立开发的 web ui 组件，不同的 portlet 可以与 云计算平台的支撑系统分别进行交互，展现静态内容或者根据用户请求产生动 态数据，以实现不同的服务和功能。websphere portal 门户内置标准的 portlet 容器作为 portlet 的运行环境，并负责协调多个 portlet 的执行、标记和生命周期 管理，实现不同来源内容的聚合和多源信息的展示。 服务器端聚合是常用的内容聚合方式，它是在门户服务器端对 portlet 的内 容进行编译并加入到用户页面，以应答的方式返回给客户端。为提高应用性能 和用户体验，websphere portal 门户可采

15、用客户端聚合方式。客户端聚合将门户 页面的内容以 rest 服务接口向客户端代码开放，允许客户端 javascript 代码 以 dom 方式从 rest 服务中取回内容，并仅对页面中对应的内容进行更新， 从而使得应用程序更为迅捷地响应用户动作，大幅提升了用户浏览门户页面的 整体体验。 图 2-2 利用 portlet 聚合不同业务系统的数据和内容 2. 权限管理权限管理 websphere portal 门户提供了完备的权限管理。门户中的页面和 portlet 等资 源对象具有独立的访问控制列表，可以为其分别设置用户或群组的访问权限。 当用户登入云计算平台的门户系统之后，将只能访问其自身及其

16、所在群组的被 授权资源。 资源的访问控制包括查看、编辑和管理三种权限。授予查看权限允许用户 查看页面或者将 portlet 加入到自己的用户页面，授予编辑权限使得用户可以对 页面内容进行变更或者改变 portlet 的设定值，而管理权限的授予不仅允许用户 执行查看和编辑操作，还可以删除网页或 portlet 资源。 3. 界面定制界面定制 界面定制的实现依赖于用户与内容的匹配。websphere portal 门户的界面定 制可以通过基于用户概要的内容定制和基于规则的个性化引擎两种机制而实现。 websphere portal 门户可以为云计算平台的用户分别建立概要文件，概要文 件不仅允许对首

17、选语言、背景等属性进行选择以个性化定制门户的外观，还可 以对页面的 portlet 组成和布局进行设置。当用户登入云计算平台的门户之后， 门户将根据用户概要文件以显示页面上的资源。 图 2-3 不同首选语言下的 portal 外观对比 在资源访问控制的基础上，基于规则的个性化引擎可以对用户的被授权资 源进行分类，并根据用户的概要文件定义类别匹配规则，以实现用户的被授权 资源在特定条件下的可见或隐藏，个性化定制用户登录门户系统后所浏览的内 容。 4. 单点登录单点登录 单点登录（sso，single sign on）允许用户在登录 websphere portal 门户系 统之后，无需再次身份认

18、证即可访问自己权限内的其它应用。单点登录通常由 应用基础架构与 tivoli access manager 的协同工作而实现。 tivoli access manager 是基于策略的应用访问控制解决方案，可提供单一基 础架构环境中的集成访问和身份管理，解决跨应用的资源安全策略问题。利用 tivoli access manager 中的 web 逆向代理安全服务器（web reverse proxy security server，rpss）webseal 与 web 服务器和 websphere portal 所在的 websphere 应用服务器进行连接，并建立预先配置好的信任机制，可以实

19、现 websphere portal 与其它应用系统之间的单点登录，其具体过程如下： 图 2-4 利用 tam 实现门户系统的单点登录 (1) 用户请求访问门户系统，webseal 对用户进行认证提问；用户通过输入 自己的用户标识和密码或者文件证书进行认证； (2) webseal 使用 ldap 用户注册表中的信息对用户进行认证； (3) 用户通过认证，webseal 签发一个 ltpa 令牌并进行高速缓存，同 时将其与用户请求一起发送到 web 服务器，然后再发送到 websphere 应用服务器； (4) websphere 应用服务器接受令牌，允许用户访问门户系统；同时， websea

20、l 通过 ssl 会话标识或者用户请求的其它 cookie 映射 ltpa 令牌 来维护状态。当用户需要访问 websphere 应用服务器上的其它资源时， webseal 自动将令牌和请求一起发送到 websphere 应用服务器，而无需 用户再次登录。 5. 应用集成应用集成 websphere portal 门户提供内置的 portlet 与 erp、crm 等业务系统进行集 成。同时，还可以通过 portlet 的定制，调用云计算平台业务支撑系统的 web service 接口，实现如下应用的集成： 集成自助服务 利用 porltet 与业务支撑系统中服务管理 web service

21、服务的集成，实现 如下功能： 服务控制台 服务目录查询 订单管理 集成计费服务 通过 portlet 与业务支撑系统中业务管理 web service 服务的集成，实现 如下功能： 费用信息查询 支付方式设定和查询 邮寄地址，发票抬头等信息设定 付费历史查询 积分查询 6. 协作服务协作服务 websphere portal 门户的协作服务包括人员查找、信息检索、资源共享等功 能，通过开交换箱即用的 portlet 以整合各种协作应用，快速进行信息，实现云 计算平台的服务公告、业务介绍和系统演示的即时发布与更新帮助云计算平台 的用户加速工作流程。 同时，websphere portal 门户可

22、以与 ibm sametime 集成实现统一的通信及 协作服务，不仅可以提供及时通讯和网络会议等实时交流服务，还可以作为可 开发扩展的服务提供平台，满足不同业务交流和协作的需要。 2.1.2 服务目录服务目录 云计算平台上的服务将以服务产品目录的方式统一展示给最终用户，供用 户搜索、查看服务产品。 选择服务目录 服务目录展示选择展示方式 浏览/检索服务 选择查看服务 服务信息展示选择模拟计费服务 图 2-5 云计算平台的服务目录管理 服务展示 服务列表将根据多种方式进行展示，如发布时间、类别、服务提供 商、优惠信息、套餐等。 用户可以设置过滤条件，进行服务的搜索。 服务信息 用户可以查看服务的

23、详细信息，包括服务的详细描述，提供商，服 务价格，计费方式等。 用户可以查看服务的状态：是否已经申请。 2.1.3 服务控制台服务控制台 平台上的不同服务，具有不同的操作功能。用户可以通过控制台，对特定 的服务，根据其提供的操作功能，进行控制。如备份、环境设置、查看状态等。 服务查找 用户申请的服务将以列表方式展示。 用户可以对特定的服务进行查找并选择。 服务状态 用户可以对服务的状态进行查看。 服务操作 用户可以根据服务提供的功能对其进行操作。 2.1.4 自助服务自助服务 用户对于个人账户信息进行相应的管理。 个人信息 对个人信息，如姓名、组织等信息进行修改。 账户名不得修改。 密码修改

24、对账户密码进行修改。 遗忘密码时，进行密码重置。 角色管理 根据当前用户的角色进行权限管理。 2.2运行支持管理设计运行支持管理设计 运行支持系统是云计算平台功能运行能的保证，其总体架构如下图所示： 图 2-6 运行支持系统的整体架构 整个运行支持管理平台包含三大部分： 运行支持门户，运行支持门户，是云平台管理人员提供对整个平台进行运维和管理的界 面； 运行支持平台，运行支持平台，包含云平台管理运维的各个模块： 用户管理 资源管理 配置和容量管理 自动化部署管理 监控管理 安全管理 备份管理 软件管理 报表管理 物理资源池，物理资源池，包含服务器，网络资源，存储等物力资源以及软件资源， 也包含

25、了所涉及的各种虚拟化技术有服务器虚拟化、存储虚拟化和网络 虚拟化。 2.2.1 运行支持门户运行支持门户 运行支持门户为云平台管理人员对整个云环境基础设施进行管理和维护的 统一入口，门户界面 tsam 提供，同时集成监控软件 itm、netcool，备份软 件 tsm，以及客户化的运行支持报表，可以为以下子系统提供统一的门户入口： 资源管理，自动化管理，监控管理，容量管理和配置管理，安全管理，备份管 理，运行支持报表。 图 2-7 运行支持门户的整体架构 其中 tsam 本身提供了资源管理，自动化管理，容量和配置管理和审计， itm 提供系统监控管理，netcool 提供网络监控，使用 omi

26、nibus 将系统监控和 网络监控集为统一的监控管理视图，tsm 提供备份管理，tds 提供用户认证管 理，运行支撑报表为客户化定制的报表。运行支持门户界面为 tsam 的管理界 面，tsam 提供了菜单扩展的能力，可以将监控管理、备份管理、运行支持报 表的 ui 入口定义到 tsam 菜单中，然后通过统一认证平台提供的单点登录能 力实现运行支持所需各个模块的统一访问，从做到成通过 tsam 管理界面来进 行所有的运行支持操作。 2.2.2 资源管理资源管理 在 ibm 的云计算解决方案中通过 tivoli service automation manager（tsam）对企业数据中心中的各种

27、资源进行管理。tsam 基于 ibm 资产管理软件 maximo 平台，内置了配置管理数据库 cmdb，可以对数据中心 中的各种硬件设备和软件进行配置管理，通过云平台进行资源部署和回收时， 资源的配置变化会同步更新到配置管理数据库；tsam 包含了 tpm 组件，对于 各种硬件资源进行了分类管理，对于不同的设备都定义完备的管理接口逻 辑操作（ldo） ，比如针对物理服务器分配和删除虚拟服务器的操作；虚拟服务 器的开关机操作；存储网络 zone 的创建和删除；存储卷的分配，映射，快照操 作；网络子网的划分，acl 创建；软件的介质管理，安装，补丁升级，审计等 等（这里列举的只是极小的一部分） ，

28、对于个别用户比较特别的需求 tsam 还 支持用户自己定义设备的管理逻辑操作。 图 2-8 tsam 产品架构 tsam 支持资源池的划分，用户可以定义一个或者多个资源池，按照不同 的设备类型或者使用习惯将资源放到不同的资源池中，比如将 x86 架构的采用 kvm 虚拟化的服务器放进一个资源池进行管理，将 ibm 小型机采用 powervm 虚拟化的服务器放进另一个资源池，或者将开发测试用的服务器放进 一个资源池，将支撑生产系统的服务器放进另一个资源池。对于软件资源的管 理，每个资源池可以对应一个软件栈，软件栈中包含在该资源池中可以使用的 软件（操作系统、数据库，中间件，应用软件） 。对于存储

29、资源的支持，可以支 持使用服务器本地存储和网络存储（san 和 nas） ，使用网络存储时也可以将 存储划分为存储池。每个资源池可以与一个子网相对应，每个子网对应一个 vlan。 图 2-9 tsam 资源池展示 tsam 通过配置管理数据库记录资源的配置信息，包括资源的数量，关键 的属性，以及状态，同时支持通过发现功能扫描和更新配置管理数据库。 tsam 中所有的资源部署和回收操作都通过 tpm 部署引擎完成，tpm 部署引 擎会自动的同步更新配置管理数据库，以配置信息的一致性。 在 tsam 中资源池中所有的服务器的 cpu，内存和存储三类资源分别被作 为一个整体进行统一管理，用户可以看到

30、资源池中所有的，已用掉的和剩余的 cpu，内存和存储的数量，用户在使用资源的时候不必考虑具体的资源是在资 源池中的那个物理设备上面。 tsam 中通过子网对 ip 进行管理，每个子网可以作为一个 ip 资源池，包 含子网掩码，网络号，网关，广播地址，可用 ip 地址，同时可以根据需要屏蔽 网段内某些 ip 地址；每个 vlan 可以与一个子网相对应，可以标记 vlan id；tsam 也包含了访问控制策略管理的能力。其中对于服务器资源池可以通 过配置的方式对应一个子网（即 ip 资源池） 。同时 tsam 中可以支持内网 ip 和 外网 ip 的管理，可以通过配置为虚拟机配置两块虚拟网卡的方式

31、，虚拟网卡分 别与实际的物理服务器的内网网卡和外网网卡通过桥接的方式进行绑定，然后 分别为每块网卡配置内网 ip 和外网 ip。 通过 tsam 中定义的物理服务器上的创建和删除虚拟服务器的逻辑操作可 以支持对不同架构硬件平台所支持的各种虚拟化的技术的虚拟机的创建和删除 操作，通过物理服务器上的分配和回收资源操作对虚拟服务器的资源进行修改。 通过虚拟服务器上的启动和关闭操作对虚拟服务器进行启动和终止操作。 tsam 对于各种虚拟化技术的管理行为都抽象为逻辑操作，而对于具体的 一个虚拟化技术则通过 tpm 驱动程序（tcdriver）的方式进行提供，只需要在 tsam 管理界面上针对不同的虚拟化

32、技术进行绑定即可，目前已经提供的驱动 程序包括 xen，kvm，vmware。 tsam 支持 x86 架构的机架式服务器和刀片式服务器上的虚拟化技术的管 理，同时也可以支持主流的 unix 服务器上的虚拟化技术的管理，比如 ibm 的 powervm，hp 的 vpar，sun 的 logic domain 等。 tsam 可以物理网络设备和虚拟交换机进行管理，通过调用脚本的方式来 进行控制，可以对不同的 vlan 设置不同的 qos，从而做到对网络流量控制。 在整体部署拓扑中可以加入域名服务器（dns） ，该服务器可以为一台虚拟 服务器，之上运行 linux 系统，通过 linux 上的

33、dns 软件管理云中所有的物理 服务器和部署产生的虚拟服务器的主机名和 ip 映射，并且可以将改服务器指向 云外部的域名服务器，从而使云中的需要访问外部域名的服务器能过进行域名 解析。tsam 在部署过程中可以将动态产生的虚拟服务器的主机名和 ip 地址映 射动态的注册到域名服务器，同时可以自动为虚拟服务器指定域名服务器。 类似于域名服务器，在部署拓扑中还可以加入时钟服务器（ntp） ，该服务 器上运行 linux 系统，通过 linux 的 ntp 服务来为云中的服务器提供网络时钟 服务，同时该服务器与外网的标准时钟服务器进行时钟同步，确保时钟的准确 性。tsam 在部署过程中可以为动态产生

34、的虚拟服务器指定网络时钟服务器， 并设置时钟同步策略，从而保证云中服务器的时钟一直性和准确性，根据实际 情况 ntp 服务器可以跟时钟服务器 dns 部署在一起，也可以分别部署。 ibm 的云解决方案可以支持网络的虚拟化，通过虚拟网络（vlan）实现 网络的虚拟化，也可以支持 vpn 设备保证虚拟网络的安全访问,同时 tsam 可 以支持通过脚本对防火墙，ids/ips，和负载均衡设备进行控制从而支持这些设 备上的虚拟化能力，这部分需要跟据不同的设备配置管理脚本。 ibm 的云解决方案，通过存储虚拟化产品 svc 可以对存储设备进行虚拟化， 将多个异构的存储虚拟化为一个整体进行管理，可以在无需

35、定制开发的情况下 支持不同厂商的异构存储。终端用户可以按照需求动态的申请存储资源，由 tsam 通过 svc 的驱动程序完成对 san 存储的部署，包括 lun 的创建，映射， 回收，快照等等。对于存储和虚拟化的集成，可以通过两种方式，一种是裸设 备，直接让虚拟服务器使用 lun 作为服务器的系统盘，比如 xen 和 kvm， 另外一种方式是通过文件系统，比如 vmware 的 vmfs。另外对 tsam 可以 通过管理脚本对 san 网交换机进行管理，比如 zone 的创建，删除等等操作。 2.2.3 自动化管理自动化管理 ibm 云解决方案中的的自动化能力主要有 tpm 部署引擎来提供，t

36、pm 对 于各种软件硬件都预定义了完备的管理接口逻辑操作（ldo） ，而管理操作 则由 tpm 内置的一种脚本语言工作流 workflow 来实现，tpm 工作引擎负责 workflow 脚本的编译和执行，同一个设备上的所有逻辑操作可以实现成一组工 作流的集合，并且可以打包为 tpm 驱动程序包（tcdriver） 。对于常用的物理设 备和软件 ibm 提供了相应的驱动程序包，同时 ibm 官网 opal 提供自动化部 署包的下载，ibm 工程师会编写并更新到该站点。 图 2-10 tpm 逻辑架构图 用户在进行资源申请的时候可以通过自服务界面填写资源申请的相关参数， 比如所使用的资源池，虚拟

37、服务器的配置参数 cpu，内存，存储空间的大小， 所要安装的软以及相关的配置参数，这些数据在 tsam 会保存为部署模板，当 资源申请被批准后，tsam 自动触发部署流程，整个部署流程无需人工干预， tpm 引擎会自动的按照预先定义的流程对资源进行部署和配置。 ibm 的云解决方案包含了资源监控模块，监控功能由 ibm tivoli monitoring（itm）提供，itm 可以针对服务器的系统进行全方位的监控，比如 cpu 的利用率，内存使用情况，存储的使用情况等等，对于每个服务器的各项 指标可以设定阈值，当性能达设定的阈值时 itm 可以通过邮件，短信平台或者 告警通知管理员，也可以在监

38、控模块设定策略，当达到阈值的时候调用其他系 统的接口。tsam 平台提供了对虚拟服务器资源配置进行调整的能力，用户可 以通过云平台的界面手工对虚拟服务器的资源进行变更，也可以通过调用 api 的方式进行资源的调整。如果需要根据资源使用情况按照策略自动调整资源， 可以将监控模块与 tsam 的资源调整 api 进行集成即可。 ibm 的云解决方案提供了逻辑操作系统安装的能力，可以支持不同厂商的 异构平台的裸机操作系统的安装，比如针对 x86 平台通过 tpmfosd 进行裸机 部署 windows 和 linux 操作系统，通过 nim 为 ibm 小型机安装 aix，通过 ignite 为 h

39、p 小型机安装 hpux 等，针对虚拟服务器通过镜像克隆的方式然后修 改配置的方式来实现，操作系统安装的自动化流程通过 tpm 的工作流完成。针 对目前 tsam 已经支持的 x86 架构虚拟服务器操作系统安装虚拟化技术有 xen，kvm 和 vmware，tsam 提供了对虚拟操作系统镜像管理的能力，包 括镜像发现、部署、配置等。如下图为 tsam 资源申请过程。 图 2-11 tsam 上的资源申请过程 用户的资源申请被配准以后，tsam 启动自动化部署过程，通过 tpm 部署 引擎和模板中对应的参数完成虚拟服务器的划分，虚拟服务器所用存储资源的 划分，操作系统镜像的克隆和配置，从 ip

40、池中分配 ip 地址并且配置给虚拟服 务器，然后再按照用户所选的软件列表按照先后顺序安装软件。另外 tpm 还提 供了对 os 镜像的基线审核能力。部署流程完全自动化无需人工干预，对于特 别的需要手工干预的情况，可以通过将安装过程分成安装和配置两部分，通过 然后定义为 maximo 的工作流，当需要手工输入的时候通过 maximo 工单的方式 通知管理员，完成输入后再继续后面的配置过程。 用户可以通过 tsam 界面对虚拟服务器进行管理和控制，包含备份、恢复、 停止、启动、重启、重设密码和删除等操作。 图 2-12 利用 tsam 对虚拟机进行控制 ibm 云计算解决方案支持对存储的虚拟化和自

41、动化部署，有以下特点： 兼容性，通过存储虚拟化产品 svc 将不同的异构存储逻辑抽象为存储 池，从而屏蔽了硬件平台的异构性。svc 可支持主流的存储产品，比 如 ibm 的 ds 系列，xiv，第三方的存储设备。 自动化部署，由 tpm 通过 tcdriver 驱动 svc 管理接口实现存储卷的划 分，然后映射给虚拟服务器。 隔离性，其中每个虚拟机使用的是专属的 lun，之间是相互隔离的， 从而保证了数据的安全性。 灵活性，对于已经部署的 lun 可以通过 svc 的管理接口对存储空间大 小进行调整，使用户可以根据需求的变化灵活的调配存储空间。 ibm 云计算解决方案集成了对网络设备的管理，可

42、以支持的设备有交换机、 防火墙、vpn、负载均衡设备，tpm 可以自动从 ip 资源池中获取 ip 地址，子 网掩码，网关资源，并且自动对服务器进行配置。对于网络资源的自动化方式 可以通过两种方法来实现： 采用预配置的方式，将网络资源在网络设备上配置好，比如 vlan，子 网，访问控制策略等，然后在 tpm 中定义为网络资源池，在部署过程 中有工作流自动获取。 采用动态分配的方式，这种方式需要将网络设备的管理行为编写成脚本， 从而转换为 tpm 可以执行的工作流，然后在部署过程中根据需要动态 的创建网络资源。 ibm 云解决方案通过 tpm 来实现软件的自动化部署，tpm 可以对软件介 质进行

43、管理，通过介质仓库 repository 来存放软件介质，tpm 支持本地介质仓 库也支持远程介质仓库，介质仓库通过网络文件系统进行访问。tpm 提供了对 软件自动安装的支持，采用的静默安装的方式，在安装过程中所需要输入的参 数可以定义为软件模板，在部署过程中有工作流从模板中获取并传递给安装脚 本，同时 tpm 也提供了对软件卸载的支持，当软件安出现异常时可以调用卸载 操作，将系统回滚到安装前的状态。另外 tpm 也提供了对于软件安装基线审核 的能力。通常安装过程完全自动化实现，对于特别的需要手工干预的情况，可 以采用类似于操作系统安装和配置的方式，通过 maximo 的工作流和工单来实 现。

44、对于补丁的自动部署基本类似于软件的安装，另外 tpm 提供了审计功能， 系统可以根据预定义的审计策略，对所有的服务器进行补丁的审计，以确定服 务器是否按照策略更新了补丁，对于未更新补丁的服务器可以进行告警或者按 照策略自动的更新补丁。 tsam 中的服务流程和部署流程相集成，在业务流程完成之后会自动触发 资源部署流程，整个部署过程无需人工干预，在完成资源部署之后会通过邮件 通知的方式告知用户资源部署完成，并且告知用户资源的访问方式。 tsam 内置了配置管理数据库 cmdb，在资源部署过程中，所分配的资源 的数量和状态的变化都会自动的更新的 cmdb，以保证配置管理数据库的完整 性和一致性。

45、2.2.4 监控管理监控管理 整个云平台的监控管理由 ibm tivoli ominibus、ibm tivoli monitoring 和 ibm tivoli netcool 联合提供，其中 ominibus 可以将各种事件监控集成包括系 统、网络和应用，itm 提供了系统监控能力，netcool 提供了网络监控能力， 本次方案用到了 netcool 的 network manager 和 performance flow analyzer， network manager 实现对网络拓扑的发现，performance flow analyzer 实现对网 络流量监控和分析。 图 2-13

46、 监控管理逻辑结构图 omnibus 平台能够实时的集中监视复杂的各种 it 系统情况。通过日处理 超过数千万事件的可扩展性， omnibus 提供不中断的管理和自动化功能，帮 您保证服务和应用的持续运行、优化运行成本和效率并缩短上市时间。 使用 omnibus，可以实时管理复杂的 it 系统事件信息，从而帮助优化各 种 it 系统的服务的可用性。omnibus 可帮助加速新服务的上市并最大限度地 提高系统可靠性，以增强客户满意度并提高操作人员的工作效率。omnibus 可 将网络管理和多个管理系统及工具合并到一个综合视图中，帮助企业跨越大型 异构网络和 it 孤岛轻松管理问题，从而降低成本并

47、提高总体生产率。 omnibus 支持的环境包括大量网络设备、互联网协议、系统、商业应用和 安全产品。由于软件提供广泛的覆盖范围、快速部署能力、易用性和卓越的可 扩展性和性能，使全世界的企业和服务供应商都可利用 omnibus 套件来管理 全球规模最大、最复杂的环境。 omnibus 提供了丰富的接口，企业用户可自己设定事件关联性、事件重复 性、以及可自动处理告警事件。许多著名的服务供应商都使用 omnibus 来实 时管理复杂的网络和应用，从而帮助优化各种异构平台或网络下服务的可用性。 omnibus 软件可帮助加速新服务的上市并最大限度地提高网络可靠性，以增强 客户满意度并提高操作人员的工

48、作效率和加快服务上市进度。 ibm tivoli monitoring 作为系统管理平台和操作系统管理部件，为云平台 提供了系统监控的基础和对系统管理基本对象的监控功能，itm能提供对物理 服务器和虚拟服务器进行系统级别的监控，itm的逻辑架构如下： 图 2-14 itm 逻辑结构图 itm 提供了统一的视图界面（tivoli enterprise portal） ，用户可以在同一个 界面里面查看和配置所有的监控对象。tep有如下特点： 集中的管理界面，简化用户操作集中的管理界面，简化用户操作 基于上下文环境和组合视图，降低用户诊断问题的时间； 基于角色和权限的控制，增强管理的安全性； 可定制

49、化的工作区和视图，提高操作的灵活性。 图 2-15 itm 可以为不同监控提供统一管理界面 历史数据采集历史数据采集 统一的历史数据采集配置； 灵活的历史数据采集和分发策略； 灵活的历史数据裁剪和汇聚策略。 统一报表展示统一报表展示 事件报告，自动响应预定义的告警事件，大量基于实践经验的预定义场景 （situation） ，给用户提供参考，节约客户化时间。 动态的阀值设定，当达到阈值的时候可以通过邮件，短信或者声音的方 式进行通知； 集成专家建议，协助用户诊断问题时间； 通过自定义操作，自动响应事件（take action） 。 图 2-16 itm 可以为不同监控提供统一报表展示 通过工作流

50、（通过工作流（workflow）定制，实现自动化处理复杂的客户场景的告警）定制，实现自动化处理复杂的客户场景的告警 事件。事件。 图形化的工作流定制界面； 整合自动响应事件（take action） 。 situation is true action succeeded resume situation is false situation is true situation is true action succeeded resume situation is false situation is true 图 2-17 itm 的图形化工作流设计界面 ibm tivoli netcoo

51、l提供了对网络进行监控的能力，通过netcool的network manager实现对网络拓扑的发现，通过performance flow analyzer实现对网络流 量监控和分析。 其中 network manager 可以对网络进行拓扑和资源的发现，自动发现网络的 连接关系，详细到端口与端口的连接，设备和端口的详细信息等。这些信息一 方面可以帮助管理人员查看网络的连接和配置信息，另一方面在发生故障时， 可以帮助判断故障点的位置。 (1) 丰富的拓扑和资源发现手段：丰富的拓扑和资源发现手段：通过多种发现引擎，这些引擎有些针对不 同厂商的网络设备，如 cisco、北电、华为，有些针对不同的管

52、理协议， 如 cdp、arpcache、iproutingtable 等等，这些发现引擎可以自动发现 网络上存在的节点，并进一步发现它们之间的连接关系和详细的资源信 息。 (2) 灵活定制的发现内容：灵活定制的发现内容：发现引擎除了缺省的发现信息外还允许管理人员 根据需要增加发现的内容，这对于发现网络设备的配置信息是很有帮助 的，比如设备的系列号、端口 mtu、cisco 设备的 flash 文件等信息， 这些信息对于连接关系可能并不重要，但是对于了解网络的配置情况是 有帮助的。 (3) 强大的分析和处理功能：强大的分析和处理功能：根据发现的网络数据，建立网络拓扑数据库， 包含设备和端口的信息

53、即包含关系，以及相互的连接关系，这种连接关 系既包含设备端口连接关系，也包含其他逻辑连接关系，如子网、 vlan 等。 更重要的是，在网络发生故障时，自动判断故障位置，找到根源的故障 点。由于网络中一个点的故障，可以影响到其他资源的连接故障，方案 通过记录网络的详细连接情况，在发生故障的时候就可以自动判断网络 的根源故障点，并且更新事件，将根源故障和关联事件分离出来，从而 帮助管理人员更有针对性地对问题进行处理。 (4) 灵活分权的拓扑呈现：灵活分权的拓扑呈现：通过基于 web 的 topoviz 呈现界面，将网络拓 扑提供给管理人员。管理人员可以方便的通过 topoviz 提供的导航树快 速

54、查看每个视图和其包含的相关信息。同时管理人员也可以在方便的查 询节点的连接信息，如输入节点名称或地址，查看该地址所属设备、与 其它节点的连接关系、自己的配置属性信息等等。 拓扑视图的访问同样是分权限的，可以定义不同的用户访问不同的管理 视图。每个用户在访问网络管理系统时，可以只授权其查看自己授权的 拓扑连接视图。 (5) 支持网络配置管理流程：支持网络配置管理流程：不管是设备的信息还是连接关系信息，全部可 以通过接口按照用户需要的格式导出到网络资源数据库中，形成在线设 备资源信息，这些信息可以提供给用户的网络资源数据库进行比较，从 而保证网络资源数据库数据的准确性。 performance f

55、low analyzer 网络性能管理通过 snmp、icmp 等多种方式检 查网络设备的性能，线路的连通性和服务质量，同时通过对网络协议和服务的 检查，查看网络为业务提供的服务的可用性和服务质量。性能数据存储在数据 库中，并且通过性能管理的呈现界面形成各种性能报告。 性能管理实现对网络性能和流量的采集、处理、分析和报告。特点如下： (1) 高效的性能采集：高效的性能采集：可以对网络设备、线路的性能进行采集，以获取网络 全面的性能状况。根据需要可以将被管理对象进行分组，按组设定不同 的采集周期策略。支持灵活的性能采集定制，可以根据管理需要定义性 能采集的参数等。 (2) 丰富的性能报警功能：丰

56、富的性能报警功能：提供丰富的性能报警功能，和门限报警，如果监 控中发现性能偏离正常范围，产生性能报警事件。 (3) 灵活丰富的性能呈现：灵活丰富的性能呈现：针对不同的性能采集对象和参数提供不同的性能 报告。可以以曲线图、饼图等多种方式查看设备端口采集到性能参数值。 性能和流量管理采集分析丰富的网络性能和使用情况数据，可以极大地提 高网络人员对网络应用状况的可视性，通过丰富的性能报告，了解网络是否存 在瓶颈，哪些应用占用最多的网络资源，网络带宽是否需要升级等等，这些数 据可以帮助管理人员更好的进行网络规划，充分利用现有网络资源，并及时升 级和调整。 当管理人员需要查看网络的容量信息以确定是否需要

57、变更或者变更是否合 理时，可以通过性能管理提供的丰富信息。比如如果需要确定是否需要升级带 宽，可以首先查看线路的使用情况，在确定资源容量不足时，提出变更申请。 此外在变更结束后，通过容量报告确定变更实施的效果，以保证变更的成功实 施。 2.2.5 配置和容量管理配置和容量管理 tsam 内置了配置管理数据库 cmdb，cmdb 中存储的主要配置信息如下： 服务器：服务器名、cpu、内存、磁盘、网卡（ip、子网） 、安装的 os、安装的软件、访问凭证、虚拟机（及每个虚拟机分配的资源） ； 存储：存储名、存储控制器（管理 ip） 、卷组信息（卷组大小、raid 类型） 、划分的逻辑卷、访问凭证；

58、网络：子网（ip 地址范围、掩码、网关） 、路由器（路由表） 、交换机 （物理端口） 、vlan； 软件：名称、版本、安装介质、安装脚本； os：名称、版本、对应的安装服务器； 安装服务器（如 nim）：ip 地址、镜像存储位置； 自定义属性。 图 2-18 tpm 中管理的配置信息 除了这些 tsam 支持的配置项外，管理员可以自定义其他的配置参数，从 而支持灵活的配置能力。 tsam 还存储的配置信息如下： -用户及用户组； -用户对应的服务实例； -服务实例对应的资源（虚拟机、物理机等） ； -服务模板（服务拓扑模型、对应的tpm工作流） ； 以上这些配置信息也可以进行自定义。 图 2-

59、19 tsam 中管理的配置信息 当向系统定义新资源时，tpm 可以对目标系统进行自动扫描，将配置信息 自动输入到配置数据库，包括管理的物理服务器和虚拟服务器。tpm 内置了多 种发现机制可以对硬件信息，操作系统信息，软件信息和补丁信息进行发现操 作，并且更新到配置管理数据库。 下图为通过 hmc 自动发现 power 服务器。 图 2-20 利用 hmc 自动发现 power 服务器 当用户通过 tsam/tpm 提交服务请求导致目标系统配置变更时， tsam/tpm 会通过内置逻辑或者工作流中实现的逻辑对配置数据库进行更改， 从而保证配置数据库中的配置信息与实际环境一致。 容量管理所涉及的

60、按资源池资源使用情况统计、按用户使用资源的统计和 按时间使用资源的统计均有后面的运行支持报表提供。 2.2.6 安全管理安全管理 云计算平台采用统一管理的系统资源为客户提供各种服务，每个客户在属 于自己的虚拟资源下运行相关程序。用户可根据实际情况控制这些虚拟资源的 安全策略，虚拟资源之间是通过一定技术手段相互“隔离”的，从而保证其安 全性。 图 2-21 云计算平台的安全策略 ibm 云计算安全架构以 ibm 信息安全框架为基础，按照实际用户情况，进 一步解析为： ibm 信息安全框架信息安全框架ibm 云计算安全架构云计算安全架构 人员和身份人员和身份用户认证与授权 数据和信息数据和信息数据