企业IT架构云化管理技术课件

1、网驰云：企业IT架构云化管理技术中国科学院软件研究所北京2016/6/21技术交流提纲网驰云目标网驰云解决方案虚拟机管理平台 容器管理平台网驰云规划总结、现状和计划企业IT企业是指机房硬件管理以及应用系统开发交付模式涉及应用管理，资源管理两大大核心问题开发人员（信息系统开发）运维人员（硬件和信息系统管理）企业IT架构资源管理应用管理企业IT架构内涵与外延-包括硬件资源和应用系统两个部分企业IT架构管理现状-资源管理和应用管理还是以人工为主需求分析硬件采购资源分配应用维护应用部署应用开发在整个企业IT架构中，部分资源管理和应用管理流程可由用户参与转变成为平台管理，通过自动化技术进行优化环境安装资

2、源分配环境安装应用部署应用维护企业IT架构迫切需要优化-提升自动化程度迫在眉睫需求分析硬件采购资源分配应用维护应用部署应用开发要求底层物理资源可管理、可编程要求上层应用系统易部署，易维护环境安装底层物理平台资源可管理，可编程上层应用平台资源易部署，易维护网驰云包括虚拟机和容器，分别针对资源和应用管理问题虚拟机解决企业IT架构的高效能转型，资源平均利用率高容器解决企业IT架构的敏捷化转型，应用开发运维一体化虚拟机容器服务器网络存储运行环境中间件数据库虚拟机（2011- ）使得物理硬件可划分、可编程痛点是平均利用率低，仅5%-15%容器(2014- )面向软件环境易配置，易交付痛点是适应应用移动化

3、需求，版本更新频繁网驰云-解决IT架构的资源管理和应用管理问题提纲网驰云目标网驰云解决方案虚拟机管理平台 容器管理平台网驰云规划虚拟机技术(核心是虚拟机模型自主可控，按需定制满足个性化场景需求)网驰虚拟机历史-长期积累，自主可控以VMWare为目标，基于开源Xen开发 (2011 - 2012)功能分类全部覆盖每个功能分类遵循“二八”原则，实现基本和常用点核心技术研发(2012-2014)扩展虚拟机组成模型，具备资源热插拔和动态限制能力扩展虚拟机通信机制，方便安装虚拟机软件环境加强虚拟机网络安全，按需定制安全需求模仿 OpenStack，支持权限和分布式存储(2014-2015)增强用户管理和

4、日志审计，满足企业权限管理要求支持分布式存储，适应虚拟化发展趋势网驰虚拟机功能-兼顾VMWare深度和OpenStack广度对比项VMWareOpenStack网驰ONCE生命周期支持支持支持失效恢复VM热备和冷备不支持VM冷备迁移策略内存/磁盘迁移内存/磁盘迁移内存迁移资源插拔开机/关机生效大多关机生效开机/关机生效，策略更多限速控制开机/关机生效关机生效开机/关机生效软件安装种类有限不支持易于扩展网络协议网络虚拟化网络及其功能虚拟化网络及其功能虚拟化支持存储SAN、iSCSI、分布式文件系统分布式文件系统SAN、iSCSI、分布式文件系统密码管理不支持支持支持网驰虚拟机兼顾VMWare深度

5、和OpenStack广度自主可控，满足中等规模虚拟机管理需求虚拟机能力对比网驰虚拟机基于自定义模型，随需应变驱动层计算模块网络模块存储模块安全模块集群管理模块政务安全审计场景监测预警可靠管理限速管理日志记录大数据分析安全保护场景Restful API/扩展模块基于自定义虚拟机模型具备基本虚拟机管理要求满足政务和大数据分析等个性化需求虚拟机模型网驰虚拟机基本组成11产出四大服务：功能上覆盖VMWare、OpenStack主要功能虚拟主机服务虚拟硬盘服务虚拟网络服务安全备份服务基本功能可视化虚拟主机和硬盘场景可视化批量管理虚拟机，定制虚拟机密码，配置虚拟机资源，在线调整虚拟机资源基本功能网络安全的

6、按需配置部门A部门B互联互通部门A部门B私有网络隔离细粒度端口控制部门A部门BX安全互联网交付部门A内外网映射功能对比涉及常用功能70项部分功能优于VMWare ESXi性能对比与VMWare ESXi U2性能基本一致与VMWare ESXi 6.0U2性能基本一致兼容性测试支持主流操作系统支持主流操作系统操作系统OnceCloud 2.0.0 GAVMware ESXi 6.0U2Windows Server 2003 x64/x86支持支持Windows XP支持支持Windows Server 2008 x64/x86支持支持Windows Server 2012 x64/x86支持支

7、持Windows 10 Enterprise x64/x86支持支持RHEL 5.11/6.7/7.0 x64/x86支持支持SUSE Linux Enterprise Server 12 Service Pack 1 x64/x86支持支持Solaris 11 x64/x86支持支持Ubuntu 15.04 x64/x86支持支持认证机构中国信息安全认证中心 中国信息安全认证中心是经中央编制委员会批准成立，由国务院信息化工作办公室、国家认证认可监督管理委员会等八部委授权，依据国家有关强制性产品认证、信息安全管理的法律法规，负责实施信息安全认证的专门机构。安全认证满足信息安全要求测试标准GB/

8、T 18336-2008信息技术 安全技术 信息技术安全性评估准则 ISCCC-TR-015-2012虚拟化软件产品安全技术要求认证结论 网池虚拟化平台软件 产品，符合GB/T 18336-2008信息技术安全技术信息技术安全性评估准则和ISCCC-TR-015-2012虚拟化软件产品安全技术要求的检测要求。典型场景政务安全审计场景目标：接管苏州超过200家国资企业，为苏州1300万居民提供服务。难点：资源统计与审计目标：整合现有电子政务外网、内网及其他专网，建立内蒙古公共基础云计算服务平台难点：资源管理和权限管理政务场景-权限管理基于操作粒度的角色访问控制方法， 比如用户A只能创建虚拟机，用

9、户B只能开关虚拟机政务场景-限额管理基于规则的实现方法比如限制每个部门能使用的资源上限政务场景-审计统计采用按分钟计费的策略， 比如可对用户删除的资源进行审计和统计典型场景大数据分析安全防护场景中国卒中数据中心具有585万例数据资源，打算基于云计算平台完成中国心脑血管病大数据共享服务平台建设银联智惠是中国银联旗下子公司,依托中国银联在中国及海外的庞大数据资源，构建大数据共享服务平台难点：将数据公共化服务，如何防止用户将敏感数据拷贝至本地大数据分析场景-终端不留密将内网数据及其桌面显示，转换成图片交付给用户，用户可访问，但由于网络限制，无法拷贝达到终端不留密的效果部门A内外网映射图形转换器外网内

10、网大数据分析场景-细粒度控制虚拟机磁盘状态具有细粒度虚拟机磁盘读写状态管控能力使得敏感数据存放在只读磁盘上，进一步防止数据拷贝虚拟机外网内网OS盘（读写）数据盘（只读）数据盘生成器主要界面管理员端主要界面用户端容器技术（核心是应用管理，支持多种应用发布机制、应用扩容策略）网驰容器历史-国内第一批研发者和贡献者研发可视化容器管理平台 (2015 - 2016)容器稳定性和性能测试集群管理方案研发核心技术研发(2016-)研发权限管理模型，满足跨开发和运维部分权限管理需求研发应用管理机制，支持多种策略的应用发布和扩容方案加强应用可靠管理，具备应用失效检查和快速恢复集成容器镜像安全检查模块，确保容器

11、的安全性网驰容器具备开发和运维阶段应用管理部分容器化解决方案满足企业IT架构分步转型，开发运维个性化管理要求特色是异构资源管理和多种应用管理策略典型场景物理服务器物理服务器容器集群管理（不同部门隔离和共享资源需求）持续集成可视编排离线分析实时处理物理服务器多种应用管理策略网驰容器基本组成30产出三大服务：具备Docker+Jenkins+CloudFoundry核心功能容器管理应用维护服务编排Docker基础支撑平台基本功能-服务编排Web UI部署引擎运行引擎自治管理复杂过程定义和转换模型任务执行器应用编排管理事件驱动控制指令数据监测基本功能应用维护虚拟应用节点1应用运行环境节点代理智能应用

12、路由应用集群管理资源管理部署管理复制管理虚拟应用节点3应用运行环境节点代理虚拟应用节点2应用运行环境节点代理虚拟应用节点4应用运行环境节点代理应用集群管理根据物理节点健康状况和访问量调整动态调整应用的部署基于容器和负载均衡的半自动化应用集群技术稳定性测试稳定性满足预期测试场景并发量错误率每秒处理请求数每秒并发10/20/50/100个用户创建容器100120025004.9100010每秒并发10/20/50/100个用户开启容器103%21207%40507%10010016%196每秒并发10/20/50/100个用户关闭容器100102004050065.11000129.3每秒并发10

13、/20/50/100个用户获取容器列表1002.5200550012.1100025.2每秒并发10/20/50/100个用户获取容器日志10015.420013.850013.8100013.9每秒并发10/20/50/100个用户获取镜像列表1002.62004.850012.7100024.6稳定性达到上线要求性能测试与物理机基本一致与物理机基本一致典型案例-容器应用到传统IT企业江苏省电力公司是国家电网公司系统规模最大的省级电力公司。难点：面临互联网转型，多种基础设施如何应用编排管理面临挑战。中国民生银行是中国大陆第一家由民间资本设立的全国性商业银行难点：百万并发，迫切需要协调多种基础

14、设施，敏捷的应用管理技术中国银联是中国的银行卡联合组织，实现商业银行系统间的互联互通和资源共享。难点：大规模异构基础设施管理技术特色-具备容器和物理机管理能力传统企业IT架构难以复制互联网企业，实现全容器化通常初期只会将应用容器化，因而要求具备容器和物理机管理能力，具有多软件系统协调工作能力技术特色-涉及开发和运维部门，通常需要定制传统企业IT难以复制互联网企业，开发运维流程通常个性化支持普通发布、灰度发布、比例发布等多种应用管理策略技术能力-容器管理开源社区贡献者容器及其管理开源社区贡献者(Docker、Swarm、Kubernetes等)重点解决容器稳定性问题主要界面管理员端提纲网驰云目标

15、网驰云解决方案虚拟机管理平台 容器管理平台网驰云规划和总结网驰云规划-多源异构融合云Heterogeneous Cloud ComputingInfrastructure LifecycleCompute、Network、Storage、Rack、Data CenterVM Manager1.Lifecycle manager2.CPU、Memory、Network、Disk hot (un)plugContainer Manager1.Lifecycle manager2.CPU、Memory dynamic configurationAdvanced Container AbilityCI、AC(Application Compose)Advanced VM AbilitySDN、NFV、SDSMulti-source可容器管理虚拟机、容器又支持主流的公有云和私有云解决方案具备混合云能力总结网驰云目标通过虚拟化实现物理资源可编程容器实现软件系统的易配置网驰