职教智慧教育云平台总体规划

1、 职教智慧教育云平台总体规划目录 TOC o 1-3 h z u HYPERLINK l _Toc528761393 1概述 PAGEREF _Toc528761393 h 3 HYPERLINK l _Toc528761394 1.1职教信息化发展现状 PAGEREF _Toc528761394 h 3 HYPERLINK l _Toc528761395 1.2教育部指导思想和工作方针 PAGEREF _Toc528761395 h 3 HYPERLINK l _Toc528761396 2职教智慧教育建设目标 PAGEREF _Toc528761396 h 6 HYPERLINK l _T

2、oc528761397 2.1提升职教信息化基础能力 PAGEREF _Toc528761397 h 6 HYPERLINK l _Toc528761398 2.2构建统一的教育资源平台 PAGEREF _Toc528761398 h 8 HYPERLINK l _Toc528761399 3教育云平台总体规划设计 PAGEREF _Toc528761399 h 9 HYPERLINK l _Toc528761400 3.1设计原则 PAGEREF _Toc528761400 h 9 HYPERLINK l _Toc528761401 3.2总体架构 PAGEREF _Toc528761401

3、 h 10 HYPERLINK l _Toc528761402 3.2.1自主可控的技术架构设计 PAGEREF _Toc528761402 h 10 HYPERLINK l _Toc528761403 3.2.2通过COC汇聚实现云平台逻辑建设 PAGEREF _Toc528761403 h 11 HYPERLINK l _Toc528761404 3.2.3层次清晰的平台部署架构图 PAGEREF _Toc528761404 h 12 HYPERLINK l _Toc528761405 3.3技术路线 PAGEREF _Toc528761405 h 13 HYPERLINK l _Toc5

4、28761406 3.3.1服务器虚拟化技术 PAGEREF _Toc528761406 h 13 HYPERLINK l _Toc528761407 3.3.2资源弹性扩展 PAGEREF _Toc528761407 h 16 HYPERLINK l _Toc528761408 3.3.3虚拟化智慧网络 PAGEREF _Toc528761408 h 16 HYPERLINK l _Toc528761409 3.3.4安全可控技术 PAGEREF _Toc528761409 h 23 HYPERLINK l _Toc528761410 3.3.5创新服务模式 PAGEREF _Toc5287

5、61410 h 26 HYPERLINK l _Toc528761411 3.3.6充分考虑利旧 PAGEREF _Toc528761411 h 26 HYPERLINK l _Toc528761412 3.3.7海量存储技术 PAGEREF _Toc528761412 h 26概述职教信息化发展现状职业教育是与经济发展、社会进步的联系最直接、关系最紧密的教育类型，特别是在现阶段，充分发挥职业教育的作用对于繁荣经济、促进就业、消除贫困、维护稳定、建设先进文化有着重大意义。纵观欧美国家的快速经济发展，其背后都离不开发达的职业教育的支撑。目前来看，我国的普通教育水平，早已接近甚至已经超出发达国家，

6、而职业教育还远远的落后于发达国家。这种落后除了职业教育理念、职业教育领域等方面存在差距外，在职业教育的信息化建设方面，差距尤其明显。近年来，我国不少地方、行业和职业院校积极开展职业教育信息化建设，在基础设施建设、信息资源开发、人员技术培训和管理系统应用等方面取得重要进展，对于有效扩大、优化配置和开放共享职业教育资源，大幅提升职业教育服务经济社会的能力，发挥了重要作用。然而不可否认的是，由于政策性投入以及其他历史原因，我国职业教育信息化建设基础还比较薄弱，发展水平还不高，尤其是在有些地方，职教信息化依然处于刚刚起步阶段，很多教务工作以及学生管理甚至还依赖手工记录管理的方式。对于那些已经有一定基础

7、的职教信息化平台，则是存在着对信息化建设缺乏统筹，信息孤岛与重复建设的现象比较普遍，系统间互联互通性较差，资源开放性、共享性不强，信息安全存在隐患等等问题。目前来看，推进职业教育信息化的建设任务非常紧迫。教育部指导思想和工作方针加快推进职业教育信息化，是我国教育信息化工作的重要内容，是职业教育基础能力建设的重要任务，是支撑职业教育改革创新的重要基础，是提高人才培养质量的关键环节。在2012年5月份，教育部为贯彻落实国家中长期教育改革和发展规划纲要（2010-2020年）关于加快教育信息化进程的战略部署，切实推进职业教育广泛、深入和有效应用信息技术，不断提升职业教育电子政务能力、数字校园水平和人

8、才信息素养，全面加强信息技术支撑职业教育改革发展的能力，以先进教育技术改造传统教育教学，以信息化促进职业教育现代化，对职教信息化建设提出意见并发布了教育部关于加快推进职业教育信息化发展的意见。节选该意见中对“十二五”时期职业教育信息化发展的基本思路与工作方针如下：（1）到2015年，职业院校配备够用适用的计算机及其配套设备设施；90%的职业院校建成运行流畅、功能齐全的校园网，信息技术能够支撑学校教育、教学、管理、科研等各项应用；85%的职业院校按标准建成数字校园；90%的成人学校及其他职业培训机构实现网络宽带接入；其他学校都能建成卫星数据地面接收站；边远山区和贫困地区职业学校建成数字化资源播放

9、平台。建成国家职业教育数字化信息资源库，不断完善各级职业教育网络学习平台；建成国家职业能力培养虚拟仿真实践教学公共环境，为在校学生、企业职工及社会学习者提供优质实践教学资源。建成全国职业教育综合管理信息系统，实现各级教育行政部门政务管理和职业院校业务管理的信息化、标准化和规范化。形成学生信息技术职业能力认证机制。职业教育信息化能力达到发达国家水平。（2）努力提升职业教育信息化基础能力。建立和完善中国职业教育信息资源网，建立各地教育行政部门、职业院校、行业企业和科研机构相互协作的网络化职业教育服务体系和资源共享机制。地方教育行政部门要以加强省级职业教育网站建设为重点，创新运行机制和管理模式，建设

10、泛在、先进、高效和实用的职业教育信息化基础设施。全面提高职业院校信息技术装备水平。职业院校要以标准化校园网建设为基础，实现多种方式接入互联网，加快信息技术终端设施普及，重点建设仿真实训基地、网络教室、远程教育培训中心、多媒体应用中心等数字化场所和设施。努力建成支持学生学习、学校办公和政府决策的职业教育信息化环境。（3）加快开发职业教育数字化优质信息资源。开发包括网络课程、虚拟仿真实训平台、工作过程模拟软件、通用主题素材库（包括行业标准库、实训项目库、教学案例库、考核试题库、技能竞赛库等）、名师名课音像以及专业群落网站等多种形式的职业教育数字化信息资源。建成教学资源平台、电子阅览室、数字图书馆等

11、综合资源平台。加快建立健全职业教育资源开发机制、认证体系和共享模式。加快建设国家职业教育数字化信息资源库。支持建设国家职业教育数字化资源开发基地。建立健全职业院校、行业企业、研究机构之间的资源共建共享机制。依托示范性职业院校和大型企业，建设一批国家示范性职业能力培养虚拟仿真实训中心。（4）加快提高职业院校数字校园建设水平。教育部制定职业教育数字校园建设标准，加快推进标准化数字校园建设。各地和职业院校要建设宽带、泛在、安全的网络基础设施，推广应用多媒体教室、数字化实验室、远程协作教室等职业教育信息化环境，促进常规装备和信息化装备协同融合；普及师生个人学习终端，创新数字化的专业学习工具、协作交流工

12、具和知识建构工具，引导广大师生广泛运用信息化手段，创新人才培养模式，积极推进信息技术进校园、进课堂、进教材，促进信息技术与教育过程、内容、方法和质量评价的深度融合，提高教育教学质量；推进学校管理信息化应用，不断提高职业院校学生学员、教师队伍、办学经费、基本建设、条件装备、教务、校企合作等关键业务管理的信息化水平，提高管理工作效率。职教智慧教育建设目标智慧教育是指通过利用云计算、大数据、物联网等先进技术，将学校的教学、科研、管理与校园资源和应用系统进行整合，以提高教学教务应用交互的明确性、灵活性和响应速度，从而实现智慧化服务和管理的教育模式。智慧教育本质上还是教育信息化的内涵延伸，其发展需要云计

13、算等新技术的支持。“云计算”是一种模式和思想，它通过多种技术综合应用于IT系统，促使IT系统更加弹性、动态、高效、自动化、使得IT系统的使用者不用关心IT系统的细节，从而可以将更多的精力投入到其自身业务流程的优化中。目前，职教信息化正在全国各地如火如荼地开展。从实际情况来看，各地职校硬件设备投入参差不齐，部署困难，阻碍了软件的普及应用；信息化软件应用不足，缺乏统一部署，无法兼顾多级使用单位和角色，无法实现最优化管理等。云计算技术引入教育领域，极大地解决了这些困惑。基于云计算的智慧教育信息化平台将为职教信息化的深入发展提供了强大的技术支持。提升职教信息化基础能力以往的职教信息化平台基本都是采用烟

14、囱式的部署方式，教务系统、学生管理系统、办公系统等应用都部署在单独的物理服务器上。这种传统的部署方式在长期的信息化运维中带来一系列的问题。近年来，学校对IT平台动态化、弹性化、自动化、高效率的需求不断增长，随着云计算理念的不断深入，大多数学校在其信息中心的建设过程中，都期待利用新技术、新理念，以更科学的方法构建新一代的教育信息化平台，以满足业务创新所要求的敏捷性，同时降低总体拥有成本。由于云计算平台具有动态资源性、虚拟性和高可用性等优势，采用新技术构建职教信息化平台可以提早规划信息化平台的架构，充分考虑未来的发展需要，绕开传统信息化方式带来的问题，避免在信息化发展中走弯路。（1）增强应用系统弹

15、性信息系统的建设通常都是按峰值情况规划的。但是职校的信息系统有其特殊性，例如招生网站在每年特殊时段点击量相当大，而其他时段并发数就很低，学校的门户网站、教务处的登分查分系统都有类似情况。 为了保证峰值情况下系统的可靠性，只能进行冗余建设，这造成巨大浪费。如果不考虑峰值情况，有可能导致关键时期系统瘫痪等问题。云计算技术可以充分利用资源池动态变化的特性，可以满足不同时间段业务的不用需求，保证在访问高峰期，客户端也可以获得满足要求的响应。在平时其他时段，系统又可以自动调节资源分配，避免资源浪费。（2）平台高可用性以往的职教信息化平台基本没有考虑过系统的高可用，应用服务器出现故障后只能人工干预，恢复时

16、间长，对教学造成不利影响。云计算可以通过本身的集群高可用特性，通过多节点冗余的方式，自动检测失效节点，并将应用迁移到可用的节点上，以保证系统的正常运行。云计算系统还可以采用分布式存储的方式来存放数据，同一份数椐存储多个副本。云计算平台的应用能够保证应用的高可用性和数据的高可靠性。（3）降低管理维护成本当学校规模扩大后，应用增多且管理难度越来越高，信息化平台无法实现更高的自动化，运维成本无法降低。云平台运营管理系统可提供云计算平台的运营、运维和用户Portal，可实现云计算中心的统一管理，获得更高的自动化水平。（4）实现教学资源信息共享传统部署方式下应用之间无法共享信息和交换数据，形成了很多信息

17、孤岛。云服务环境下通过对中间层的整合，打通应用之间通信的渠道，提供统一数据交换、多种应用集成等功能，实现一个互联互通的教学资源平台。（5）缩短部署周期传统模式下业务的部署需要涵盖物理机硬件部署、操作系统安装、平台软件以及应用系统搭建多个层面，部署环节多且周期较长。而用户在基础设施云平台之上通过点击几次鼠标就能在很短的时间内生成可以用来部署应用系统的操作系统环境，大大减少了部署的成本和时间。如果在基础设施云平台上进一步构建Paas云平台可提供专业的易于部署的应用部署环境。所有的应用部署环境从云平台建设起就已就绪，免去了大部分的整合工作，部署的成本和时间得以消除。（6）绿色节能随着信息化进程的不断

18、深入，能源消耗已经成为IT支出的一项重要组成部分。服务器增加的同时，配套用电量将呈指数级上升。数量巨大的计箅机设备将会造成大量的能源消耗，这已成为学校信息化建设中不容忽视的问题。云计算对基础设施进行了统一的配置和和管理，按需进行动态分配，充分利用空闲的计算资源，提高系统的总体计算能力和效率，使服务器的数量减少（每减少一台服务器，意味着每年减少11.4吨的二氧化碳排放)，降低信息技术设备的电源能耗，在节能、环保、降低成本的同时，达到构建低碳型教育的新型学校的目标。构建统一的教育资源平台将信息化建立在云计算和服务的基础之上，现有分散的各种应用系统、数据资源转变成为一个与底层具体的网络运行环境、服务

19、器系统、存储系统无关的强大的统一的通用信息平台。这个平台首先整合了底层各种硬件资源，使之拥有强大的计算功能、海量的存储资源，现有的信息化系统建设中存在的软硬件资源重复投入、虚拟化教学设备运行能力支持等问题将迎刃而解。再通过整合上层的业务系统，整个信息化平台还可以为教学资源管理平台、教务管理平台等应用提供统一门户、统一身份认证、统一数据交换以及多种应用集成等功能，并为第三方应用提供标准的数据接口。基于云计算的平台还具有较高的可靠性和安全性，可以将所有的教学资源、专业信息和应用程序等置于平台之上运行。教育云平台总体规划设计设计原则教育云平台的建设要遵循先进性、可扩展性、可靠性、稳定性、兼容性等原则

20、，以支持今后不断更新和升级的需要。（一）先进性和成熟性充分采用符合国际标准的、先进并且成熟的计算机系统、以及软件系统等先进技术和产品。先进是指技术领先期长，保证在未来5-10年内的时间内技术的先进性；成熟是指产品线丰富完整、经过实践检验、价格合理。这里所讲的先进性是为了能够运用当今国内、国际上最先进成熟的计算机软硬件技术，使新建立的系统和采用的技术达到当代国际较先进水平，同时要兼顾实用性和整体匹配。（二）兼容性云平台采用多元化的开放架构，兼容多种类型的X86平台服务器，不受限于具体厂商和产品。多种产品架构甚至不同处理器平台的服务器产品都能在一个云平台中使用。（三）可扩展性云平台的建设不但要能满

21、足现阶段的业务要求，而且要能满足将来业务的进一步增长和新技术发展的要求，要在原有设备继续发挥作用的基础上，保证用户能方便地增加或调整设备，改善系统功能和性能，支持将来系统不断更新和便于升级。系统结构应能支持主要的协议、标准和规范，应能运行当今流行的软件环境下开发的各种应用系统并可以在线软件升级、调配；同时应留有充分的扩展余地，并保证系统的完整性不受影响，保证系统可以平滑升级、扩容。（四）高安全可靠性、高可用性、高可维护性云平台要求724小时的持续服务能力，因此要考虑选用稳定可靠的产品和技术，使其具有优秀的RAS特性和必要的冗余容错能力，为用户提供高可用服务。要求系统在硬件配置、操作系统、虚拟化

22、平台以及系统管理等环节采取严格的安全可靠性措施，以保证系统的正常运转。（五）可管理性云平台具有完善的管理措施和功能，便于设备的安装、配置和维护，以及对各种软硬件资源的分配、调度和管理，提高资源和资产利用率，减轻系统管理人员的工作负担。总体架构自主可控的技术架构设计XXX数字化校园云平台的总体技术架构设计如上图，整个架构包括基础设施层、云基础架构层、业务应用平台和云服务层等。其中：基础设施层：云平台的物理环境主要包括服务器、网络设备以及存储等设备，以便在此基础上采用虚拟化、分布式存储等云计算技术，实现服务器、网络、存储的虚拟化，构建计算资源池、存储资源池和网络资源池，实现基础设施即服务。云基础架

23、构层：在云基础设施的基础上，为了实现动态资源池的构建，通过虚拟化技术对基础设施（网络、服务器和存储设备等）进行资源池化、弹性管理，通过自主可控的云计算操作系统，实现云平台的服务管理及业务管理的统一管理，提高运维及运营的效率。业务应用平台： 通过建立统一的信息标准，构建统一的信息门户、统一的身份认证系统和安全可靠的公共数据交换系统，在此基础上建设先进实用的应用支撑系统（包括教务管理、学生综合管理、人力资源管理、资产设备管理、财务管理、后勤服务管理、一卡通管理、实践教学信息平台等），实现各个应用系统之间的数据交换与数据共享，最终实现高校各项管理工作的信息化。云服务层：是云计算中心与最终用于交互的接

24、口和平台，通过该平台能够实现云计算中心统一对外提供服务。运维和业务支撑服务：包括云平台的计费审计、资源监控、生命周期管理、容量规划、报表分析等多项内容。通过COC汇聚实现云平台逻辑建设图 综合运营平台逻辑架构图整个云平台设计采用业务区域的理念。业务区域（即以服务器集群为核心的物理资源区域，不同的业务区域设备配置可以不同）是系统的基本硬件组成单元，整个系统共包括若干个业务区域。系统规模的扩大可以通过增加业务区域方式，使得整个系统具有很好的可扩展性。业务区域的业务网络交换机通过万兆方式上联到核心交换区，通过核心交换区与其他业务区域和域外系统互联。在每个业务区域内，通过云资源管理平台的COC节点实现

25、在X86业务节点上部署Hypervisor，并形成一个或多个独立的逻辑资源池，提供给应用使用；通过CVM在逻辑资源池内可实现资源的共享和动态分配。每个业务区域包括：CVM（Cloud Virtual Manager）节点、业务节点、业务网络、管理网络、心跳网络、本地镜像存储；业务区域根据各自的业务需要访问FC存储或并行存储等业务数据存储区域。云计算平台配置多台自助门户节点（CSP），为最终用户的系统管理员提供自助门户服务。采用以上设计理念，使得整个系统具有超高的可扩展性，可使整个系统扩展到上千台服务器规模。同时，云计算中心云计算资源管理平台底层虚拟化能够实现对目前主流的XEN、KVM及VMWa

26、re等异构虚拟化技术的统一管理，技术上能够实现很好的兼容性。层次清晰的平台部署架构图图 部署架构图依据XXX学校教育云平台的总体需求，勾画整个项目的部署架构，指导XXX学校教育云平台的整体建设。XXX学校教育云平台部署主要包括几个层面：计算资源池的构建、业务数据的分区规划、共享存储的设计等。从整个部署架构来看：计算资源池的构建主要采用高端四路服务器作为服务器基础支撑，通过虚拟化技术实现底层物理资源的虚拟化，云资源管理平台通过云资源管理平台进行虚拟机的创建、动态分配、迁移及管理，形成统一的计算资源池。考虑到招生系统等关键教育数据的安全性、可靠性及重要性，在本方案中规划业务数据处理的分区主要采用物

27、理机支撑。这样能够保证整个数据库的稳定、高I/O吞吐和访问，主要通过高端八路服务器通过集群技术进行部署，支撑关键业务数据的存储和管理。共享存储设计的存储数据主要包括重要业务数据和虚拟机镜像数据，其中：教育信息化中的重要业务数据主要通过Oracle/DB2/SQL Server/MySQL等数据库进行数据管理，结构化数据存储利用高端私有云存储设备来支撑，在未来需要对存储容量进行扩展时可方便的横向纵向扩展；虚拟机镜像数据主要存放在共享存储部分，通过共享存储设备来支撑虚拟机镜像数据的存放，本次共享存储利用并行存储系统来支撑。云平台中采用软硬一体化的备份系统，可将数据库的结构化数据以及应用产生的非结构

28、化数据进行备份，可方便的创建备份任务，设置备份任务定时自动的运行，充分保障云平台中数据的安全。技术路线XXX学校教育云平台属于私有云范畴，为了更好的为学校的信息化提高可靠、稳定、高效的基础资源，本项目采取资源池化、动态资源调度、海量存储技术、智能化云管理等技术路线进行构建。服务器虚拟化技术1）虚拟化技术概述服务器虚拟化技术是实现计算资源池化的重要手段。虚拟化是一个抽象层，它将物理硬件与操作系统分开，从而提供更高的IT资源利用率和灵活性。虚拟化允许具有不同操作系统的多个虚拟机在同一物理机上独立并行运行。每个虚拟机都有自己的一套虚拟硬件（例如 RAM、CPU、网卡等），可以在这些硬件中加载操作系统

29、和应用程序。无论实际采用了什么物理硬件组件，操作系统都将它们视为一组一致、标准化的硬件。服务器虚拟化技术不仅能够降低资本消耗、减少运营费用，使服务器能够适应快速、频繁的重新配置，有效地减少在开发、测试、准备和部署周期中所消耗的时间，并能快速动态部署、迁移，在合理的资源分配策略下，真正实现资源按需分配。针对服务器，在服务器单机操作系统虚拟化技术支持下，采用节点级虚拟化技术，支持虚拟机应用加速，支持虚拟机动态迁移、资源动态调整等适于云计算环境的虚拟化特性。UNIX服务器一般采用硬件分区技术，不同架构的UNIX服务器采用不同的分区技术；X86平台（Intel、AMD架构）的服务器可利用服务器提供的硬

30、件辅助虚拟化技术，比如Intel VT，AMD-V等；兼容主流的操作系统，比如，Windows NT、WinXP、Win2000、Win2003、Reahat Linux、Suse linux、Solaris x86、Novell等。而且，可以同时运行不同种类的操作系统；兼容现有的存储设备，比如SAN、NAS；支持高可用、自动负载平衡特征的虚拟化集群；兼容主流的网络设备，支持VLAN、Trunk等功能可实现国产备份软件的结合，以实现虚拟机数据的备份，支持Snapshot技术，可实现从虚拟化软件底层实现虚拟机备份；具有P2V的转换工具，支持主流操作系统；具有严格的虚拟机隔离性，某个虚拟机故障，不

31、影响其他的虚拟机；对虚拟机资源进行细粒度动态调整分配，包括CPU，Memory，网卡及虚拟磁盘等。基于共享存储实现对虚拟机的动态迁移。基于存储与快速部署实现对虚拟机镜像的备份、模板管理、导入导出等。基于虚拟机动态资源分配，虚拟机动态迁移及动态资源调度算法实现动态资源调度策略。虚拟化架构中最重要的部分就是如何将物理硬件与上层操作系统剥离，当前，一般通过两类技术达到这一点：物理层虚拟化和逻辑层虚拟化。其中前者以硬件分区技术为代表，目前只应用在UNIX服务器和大型机中，后者则包括以VMware ESX和Xen为代表的X86平台上的虚拟化，是目前的市场主流。2）X86平台服务器虚拟化技术的选择近年来，

32、x86架构上的虚拟化技术逐渐成熟，涌现出不少技术和产品。其中的代表有：VMware ESX、Xen、微软Hyper-V。 VMware是第一个（1998年）将虚拟化技术引入x86平台的厂商，目前在x86平台的虚拟化市场上处于领先地位。ESX采用属裸金属架构技术。 Xen是剑桥大学于2005年发布的一个开源的Hypervisor，已被吸收到Redhat、SuSE、Oracle VM中。Xen已经于2007年被Citrix收购，但目前仍然作为一个开源项目由Citrix维护。Xen采用的是裸金属架构技术微软于2008年发布了自己的HypervisorHyper-V，与前两种不同的是HyperV采用的

33、是寄居方式，因此只适用于Windows操作系统上。下表对以上三种虚拟化技术进行了比较：代表产品V4.0XenHyper-V厂商VMwareXenMSCitrix（思杰）架构裸金属(bate metal)裸金属(bate metal)寄居Host OS无无Windows 2008 x64 (Standard/Enterprise /Datacenter) Editions开源否是否隔离性好好好管理工具VC, 有成熟的虚拟化基础架构管理软件，支持全面的资源库模型，交互式拓扑图功能XenCenter Administrator Console, 不支持全面的资源库模型，支持交互式拓扑图功能，但需要

34、SCOM支持的Guest OS支持各种未经修改的操作系统，包括 Windows、Linux、Solaris 和 Novell NetWare支持 21 种客户操作系统受限，Hyper-V R2 将仅支持 11 种客户操作系统Guest OS是否需要修改不需要不需要不需要虚拟机实时迁移支持(VMotion)支持(XenMotion)Quick Migration (not real Live migration)动态资源调度支持(DRS)不支持NLB is all MS Offer在线备份VCB无Live Backups with VSS性能高性能Guest OS为Linux时, 性能好; Wi

35、ndows时, 性能稍差性能稍低同样的硬件更多的VM同样的硬件较少的VM虚拟机中支持的最大CPU和内存数255GB内存128GB内存64GB内存8 CPU8 CPU4 CPU硬件需求需要支持的SATA或者SCSI控制器支持Intel-VT or AMD-Vx64based 处理器支持Intel VT or AMD-V从上表可以看出，Xen采用裸金属架构，各项指标好于HyperV,比ESX略低。Cloudview云操作系统底层采用SUSE Linux系统中的Xen虚拟化技术，能够很好的对x86架构服务器进行虚拟化支持。资源弹性扩展数字化校园云平台要实现所提供服务的质量，动态的资源调度是必不可少的

36、。现有数据中心的IT基础架构采用固态配置，灵活性很差，当业务发展超出预期时，无法及时根据业务需求调整资源供给，难以满足业务快速增长的需求。而且系统资源扩展需要一定的周期，在此过程中，业务系统将处于高危运行状态，造成服务质量下降。而为了应用峰值而扩展的资源在正常情况下，将处于低负荷状态，造成资源浪费。数字化校园云平台要避免这样的情况出现，就必须要实现动态的资源调度，实现业务系统资源配备的按需调整，结合管理系统的资源监控，根据业务负载等情况，调整业务资源配给，保障业务系统的资源供给，满足其运行需要，也就保障了业务的服务质量。虚拟化智慧网络1）交换机虚拟化技术云计算中心网络资源共享之后，多种应用将承

37、载在同一张网络上。在融合的物理网络中如何更好的对业务进行逻辑划分，网络管理员如何根据不断变化的应用要求合理分配物理资源；在设备繁多的网络环境中如何降低运维工作量和成本；现阶段最重要工具就是交换机虚拟化技术。交换机虚拟化技术可以将多个物理实体创建一个逻辑实体，实体可以是计算、存储、网络或应用资源。具体的方式是，将多个网络节点进行整合(称为横向整合)，虚拟化成一台逻辑设备，提升云计算中心网络可用性、节点性能的同时将极大简化网络架构。随着云计算中心服务器部署采用虚拟化技术构建后，传统上的网络架构由于多层结构、安全区域、安全等级、策略部署、路由控制、VLAN划分、二层环路、冗余设计等诸多因素，不但会导

38、致网络结构比较复杂，使得云计算中心基础网络的运维管理难度较高，还无法适应虚拟机多变的网络要求。交换机虚拟化技术应运而生。使用交换机虚拟化技术，可以将多台设备连接，“横向整合”起来组成一个“联合设备”，并将这些设备看作单一设备进行管理和使用。多个盒式设备整合类似于一台机架式设备，多台框式设备的整合相当于增加了槽位，虚拟化整合后的设备组成了一个逻辑单元，在网络中表现为一个网元节点，管理简单化、配置简单化、可跨设备链路聚合，极大简化网络架构，同时进一步增强冗余可靠性。交换机虚拟化技术为云计算中心建设提供了一个新标准，定义了新一代网络架构，使得各种云计算中心的基础网络都能够使用这种灵活的架构，能够帮云

39、计算中心在构建永续和高度可用的状态化网络的同时，优化网络资源的使用。在虚拟化架构上，将传统网络中离散的安全控制点整合进来，进一步强化并简化了基础网络安全，交换机虚拟化技术将在云计算中心端到端总体设计中发挥重要作用。图 云计算中心简捷化架构横向整合的交换机虚拟化上图的虚拟化云计算中心网络架构与传统的网络设计相比，具备运营管理简化、整体无环设计以及进一步提高系统可靠性等多种显著优势，建议在组网时予以采用。2）虚拟机交换技术随着云计算兴起、各种虚拟化技术陆续被采用，云计算中心网络逐渐从物理服务器互联转向了虚拟服务器互联。虚拟化给云计算中心网络带来了新的挑战：如何实现虚拟服务器的边缘虚拟桥接？实现虚拟

40、机的边缘桥接，目前有软件和硬件方法两种，分别简称为VEB（Virtual Ethernet Bridge）和VEPA（Virtual Ethernet Port Aggregator）。VEB是一种软交换，在物理服务器中采用一个软件虚拟交换机,实现虚拟机的数据交换。思科和VMware是软交换方法的积极倡导者。不过这种软交换并没有从根本上解决网络和主机管理界面模糊的问题，不但增加了服务器的额外开销、交换性能低，还仅仅只支持VMware虚拟化平台，兼容性较差。VEPA标准，该标准也被称为802.1qbg标准。其目标是要将虚拟机之间的交换从服务器内部移出到接入硬件交换机上，实现虚拟机之间的“硬交换”

41、。采用这种方法，只需要将接入交换机中的软件进行修改，就能快速实现。VEPA是标准化和开放化的技术，具有性能高、可靠性高的特点。VEPA是由HP协同H3C向IEEE提出的新一代虚拟接入标准，并迅速得到了Juniper、IBM、Qlogic、Brocade等网络设备厂商的支持。虚拟机交换技术是云计算基础设施平台建设的重要，直接影响到云平台的实现和应用性能。在此，我们建议在平台系统建设中将VEPA技术作为平台组网交换机的必要特性。2）分布式入端口缓存机制分布式入端口缓存机制主要解决云计算中心的突发流量问题。在云计算中心部署服务器虚拟化的直接效果是导致云计算中心具有更高的应用密度，在相同物理空间内逻辑

42、服务器(虚拟机)数量比物理服务器大大增加，由此，服务器的总体业务处理量上升，使得服务器对外吞吐流量增大。并且云计算中心服务器虚拟化应用后，也导致云计算中心流量模型的不定项出现，因而在云计算中心的应用环境中，突发流量成为主要的流量特征，这就要求针对这种特点在系统设计时，所选用的网络设备能够有专门的处理技术。传统交换机处理突发流量的技术实现多以出端口缓存为主，这种机制使得所有数据流的突发在出端口处被缓存，缓存的大小即是网络核心节点最大可能接受突发值，但是这种模式容易造成出端口缓存的迅速溢出，从而导致网络流量丢包，无法正常转发。因此在本次系统建设中，要求网络设备尤其是核心交换机设备针对突发流量提供先

43、进的处理模式，如分布式入端口缓存机制，将网络突发流量在入端口即开始进行缓存处理，缓存容量与入端口数形成正比的线性关系，从而提高整个设备乃至整个网络系统的突发流量处理能力。3）安全虚拟化与网络安全一体化在云计算中心的网络平台设计中，安全是整个系统设计中需要重点考虑的内容，基于云计算中心架构整合优化的要求，目前在云计算中心交换机上整个安全防护模块成为主流的应用技术，在这样的技术架构下，可以简化云计算中心安全设备的部署数量，如下图：针对多个安全防护区域原本需要部署多个独立的安全设备，而采用安全模块的方式可以实现由一台安全模块对所连接的多个安全区域的统一安全防护。这里的安全部署模式要求实现两类虚拟化技

44、术：多虚一：指网络节点设备上，能够安装多种类型的安全设备，这样可以实现不同层次的安全防护（如防火墙+IPS的组合可以实现网络层27层的安全防护），达到综合安全保护的策略融合。一虚多：指融合在网络节点设备上的安全设备，能够虚拟化出来多个安全实例，针对不同的安全防护区域提供对应安全实例，并且在不同的安全实例上针对区域的安全防护要求部署不同的安全访问和控制策略，这样采用真正发挥安全模块融合在网络设备上所带来的应用意义。随着云计算中心安全性要求的不断提高，安全产品在云计算中心基础网络架构中扮演着越来越重要的角色。安全方案的部署在传统的云计算中心建设中通常采用独立式的设备，这种方式存在单点故障、网络结构

45、复杂、性能存在瓶颈等问题，因此，在建立云计算中心时建议汇聚接入层具备安全等多业务模块的扩展能力：高可靠性：降低单点故障1.在设备内部，基于交换机的无阻塞技术，各种插卡通过背板总线进行数据交换。任何一块插卡出现故障，可以通过Bypass方式使得流量自动绕过故障插卡，保证业务流正常处理和转发，不会出现单点故障。2.插卡式设备，所有的关键部件都可以冗余部署。单独的盒式设备，一般最多提供双电源的可靠性设计。而插卡式设备，包括电源、引擎、接口板、业务板等都可以冗余部署，大大提高了可靠性。当所有的关键部件都进行冗余部署的时候，实际上就是两台设备在同时工作，并可以进行负载分担。3.所有的插卡都支持热插拔，大

46、大降低出现故障时更换设备的时间。高性能和高扩展性：减少业务瓶颈1.高性能：业务模块都采用业界高性能、分布式硬件架构。这种分布式的硬件架构保证所有的业务能在第一时间并行处理。对于现在大量的应用层安全攻击，由于需要进行深入的报文分析，只有这种多核多线程的硬件架构才能真正做到实时处理，不会产生大的数据延迟。2.高转发：业务模块与交换机及其他插卡之间都是通过交换机Crossbar总线进行数据传输，数据带宽高达10Gbps以上。相对于盒式设备之间通常采用的网线连接方式，数据带宽更高、延时更低，而且可靠性更高，不会出现由于网线故障或连接故障导致的业务中断。3.盒式设备性能一般是固定的，但是插卡式设备的处理

47、能力可以通过板卡的扩展进行数倍的提升。即使是单块的业务板，得益于其先进的多核架构，其性能优势也很明显（FW性能可以达到单模块万兆处理能力）。4.接口多：普通盒式设备一般最多提供几个接口，而插卡式设备的接口板可提供无限制的接口，并且可根据要求进行扩展，所有接口的VLAN都可以共享各种业务板卡。同时，通过虚拟化技术，可以将同一块物理业务板卡在逻辑上划分为相互独立的多个板卡，每个逻辑板卡拥有完全独立的资源和策略。5.接口种类丰富：普通盒式设备，只能提供普通的以太网电口和光口。而基于交换机和路由器的插卡，还可以提供各种POS接口、ATM接口、E1/T1口等接口类型。6.组网简单：采用插卡式设备，只需在

48、交换机中插入所需模块，相对盒式设备来说不会占用空间。且所有插卡都集成在一台交换机中，数据交换通过背板总线实现，组网更加简单，不像盒式设备，各个设备之间都要通过复杂的网线进行连接。管理简单：1.每个插卡可以通过WEB界面进行独立管理，也可以由交换机与其他业务板一样进行统一管理。不同插卡的状态可以基于主控板统一显示，通过主控板实现对插卡的统一管理。2.各个插卡的安全告警和日志信息统一上报给安全管理平台。通过统一安全信息收集和筛选，提取相关的关联信息，然后进行统一配置和管理，真正做到安全联动。成本投入低：得利于良好的扩展性，在对接口、功能、性能等进行升级的时候，在升级标准相同的条件下，再次投入的成本

49、大幅降低，原有的投资也能得到保障。5）云间互联技术云间互联有三种方式：三层互联：也称为云计算中心前端网络互联，所谓“前端网络”是指云计算中心面向企业园区网或企业广域网的出口。不同云计算中心（主中心、灾备中心）的前端网络通过IP技术实现互联，园区或分支的客户端通过前端网络访问各云计算中心。当主云计算中心发生灾难时，前端网络将实现快速收敛，客户端通过访问灾备中心以保障业务连续性。二层互联：也称为云计算中心服务器网络互联（简称DCI）。在不同的云计算中心服务器网络接入层，构建一个跨云计算中心的大二层网络（VLAN），以满足服务器集群或虚拟机动态迁移等场景对二层网络接入的需求。SAN互联：也称为后端存

50、储网络互联，借助传输技术（DWDM、SDH等）可实现主中心和灾备中心间磁盘阵列的数据复制。云间互联技术还是数据备份和应用灾备的重要建设手段。在本方案中，在进行网络设计时，采用了“大二层无环”的网络互连技术，采用二层组网的方式进行方案设计。6）其他网络新技术此外，基于无丢包以太网技术标准族（802.3Qau、802.1Qbb、802.1Qaz、Data Center Bridging Exchange Protocol）实现云计算中心的统一交换架构，也是云中心网络新技术的一个发展方向，可以在一个交换平台上有效支撑业务的前端访问、服务器高速互联、存储访问。由于统一交换架构出现时间不长，还没有获得众

51、多交换设备厂商的支持，成熟的应用案例也很少。因此，在本次云平台建设时，我们暂不建议采用。不过，可实时关注其发展。安全可控技术采用数据安全技术、应用安全技术和虚拟化安全技术等安全可控技术满足计算中心的安全需求。1）数据安全技术数据传输安全技术在使用云计算时，对于传输中的数据最大的威胁是不采用加密算法。通过Internet传输数据，采用的传输协议也要能保证数据的完整性。采用加密数据和使用非安全传输协议的方法可以达到保密的目的，但无法保证数据的完整性。数据存储安全技术加密磁盘上的数据可以用来防止云服务提供商、恶意的邻居“租户”及某些类型应用的滥用。如果使用简单存储服务进行长期的档案存储，用户可以加密

52、他们自己的数据后发送密文到云数据存储商那里存储。数据残留处理技术数据残留是数据在被以某种形式擦除后所残留的物理表现，存储介质被擦除后可能留有一些物理特性使数据能够被重建。在云计算环境中，数据残留更有可能会无意泄露敏感信息，因此向云用户保证其鉴别信息所在的存储空间被释放或再分配给其他云用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中，保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他云用户前得到完全清除。2）应用安全技术终端用户安全技术对于使用云服务的用户，应该保证自己计算机的安全。在用户的终端上部署安全软件，包括反恶意软件、防病毒、个人防火墙以及IPS类型的

53、软件。因此云用户应该采取必要措施保护浏览器免受攻击，在云环境中实现端到端的安全。云用户应使用自动更新功能，定期完成浏览器打补丁和更新工作。SaaS应用安全技术云计算中心为SaaS提供高强度密码的身份验证和访问控制功能，并提供基于Web的管理用户界面，最终用户可以分派读取和写入权限给其他用户。在SaaS应用中可以通过惟一的客户标识符在应用中的逻辑执行层实现客户数据逻辑上的隔离。PaaS应用安全技术PaaS云提供给用户的能力是在云基础设施之上部署用户创建或采购的应用，这些应用使用云计算中心支持的编程语言或工具开发，用户并不管理或控制底层的云基础设施，包括网络、服务器、操作系统或存储等，但是可以控制

54、部署的应用以及应用主机的某个环境配置。PaaS应用安全包含两个层次：PaaS平台自身的安全；客户部署在PaaS平台上应用的安全。云计算中心维护PaaS平台运行引擎的安全，在多租户模式下提供“沙盒”架构，平台运行引擎的“沙盒”特性可以集中维护客户部署在PaaS平台上应用的保密性和完整性；负责监控新的程序缺陷和漏洞，以避免这些缺陷和漏洞被用来攻击PaaS平台和打破“沙盒”架构。云用户部署的应用安全需要云计算中心PaaS应用配合，开发人员需要熟悉平台的API、部署和管理执行的安全控制软件模块。开发人员必须熟悉平台特定的安全特性，这些特性被封装成安全对象和Web服务。开发人员通过调用这些安全对象和We

55、b服务实现在应用内配置认证和授权管理。IaaS应用安全技术客户的应用程序和运行引擎，无论运行在何种平台上，都由客户部署和管理。3）虚拟化安全技术基于虚拟化技术的云计算引入的风险主要有两个方面：一个是虚拟化软件的安全；另一个使用虚拟化技术的虚拟服务器的安全。虚拟化软件安全技术该软件层直接部署于裸机之上，提供能够创建、运行和销毁虚拟服务器的能力。实现虚拟化的方法不止一种，实际上，有几种方法都可以通过不同层次的抽象来实现相同的结果，如操作系统级虚拟化、全虚拟化或半虚拟化。由于虚拟化软件层是保证客户的虚拟机在多租户环境下相互隔离的重要层次，可以使客户在一台计算机上安全地同时运行多个操作系统，所以必须严

56、格限制任何未经授权的用户访问虚拟化软件层。云平台需要建立必要的安全控制措施，限制对于Hypervisor和其他形式的虚拟化层次的物理和逻辑访问控制。虚拟服务器安全技术虚拟服务器位于虚拟化软件之上，对于物理服务器的安全原理与实践也可以被运用到虚拟服务器上，并兼顾虚拟服务器的特点。安装虚拟服务器时，为每台虚拟服务器分配一个独立的硬盘分区，以便将各虚拟服务器之间从逻辑上隔离开来。虚拟服务器系统还安装基于主机的防火墙、杀毒软件、IPS（IDS）以及日志记录和恢复软件，以便将它们相互隔离，并与其他安全防范措施一起构成多层次防范体系。对于每台虚拟服务器通过VLAN和不同的IP网段的方式进行逻辑隔离。对需要

57、相互通信的虚拟服务器之间的网络连接通过VPN的方式来进行，以保护它们之间网络传输的安全。实施相应的备份策略，包括它们的配置文件、虚拟机文件及其中的重要数据都要进行备份，备份按一个具体的备份计划来进行，包括完整、增量或差量备份方式。在防火墙中，对每台虚拟服务器做相应的安全设置，进一步对它们进行保护和隔离。将服务器的安全策略加入到系统的安全策略当中，并按物理服务器安全策略的方式来对等。对于虚拟服务器系统，像对一台物理服务器一样地对它进行系统安全加固，包括系统补丁、应用程序补丁、所允许运行的服务、开放的端口等。同时严格控制物理主机上运行虚拟服务的数量，禁止在物理主机上运行其他网络服务。如果虚拟服务器需要与主机进行连接或共享文件，使用 VPN方式进行，以防止由于某台虚拟服务器被攻破后影响物理主机。文件共享也应当使用加密的网络文件系统方式进行。对虚拟服务器的运行状态进行严密的监控，实时监控各虚拟机当中的系统日志和防火墙日志，以此来发现存在的安全隐患。以上所涉及到的安全技术是目前云计算平台安全研究的主要问题，涵盖了从IAAS到SAAS层的安全问题，是云平台安全保障系统建设的关键。创新服务模式从长期发展看，云平台的建设将涵盖云计算服务的四种典型模式：IaaS、DaaS、PaaS和SaaS。IaaS基于自主研发的云计算服务管理软件面向用户提供IaaS服务。相比传统应用模式，