博云BeyondSphere云计算平台技术白皮书

1、 博云BeyondSphere云计算平台技术白皮书目 录 TOC o 1-3 h z u HYPERLINK l _Toc500083004 1摘要 PAGEREF _Toc500083004 h 3 HYPERLINK l _Toc500083005 2BeyondSphere产品整体介绍 PAGEREF _Toc500083005 h 5 HYPERLINK l _Toc500083006 2.1概述 PAGEREF _Toc500083006 h 5 HYPERLINK l _Toc500083007 2.2系统整体架构 PAGEREF _Toc500083007 h 5 HYPERLI

2、NK l _Toc500083008 3BeyondSphere产品关键能力 PAGEREF _Toc500083008 h 6 HYPERLINK l _Toc500083009 3.1稳定 PAGEREF _Toc500083009 h 6 HYPERLINK l _Toc500083010 3.2可靠 PAGEREF _Toc500083010 h 6 HYPERLINK l _Toc500083011 3.3安全 PAGEREF _Toc500083011 h 7 HYPERLINK l _Toc500083012 3.4开放 PAGEREF _Toc500083012 h 8 HYP

3、ERLINK l _Toc500083013 3.5可定制 PAGEREF _Toc500083013 h 8 HYPERLINK l _Toc500083014 3.6高性能 PAGEREF _Toc500083014 h 10 HYPERLINK l _Toc500083015 4BeyondSphere产品功能介绍 PAGEREF _Toc500083015 h 10 HYPERLINK l _Toc500083016 4.1BeyondSphere总体架构模型 PAGEREF _Toc500083016 h 10 HYPERLINK l _Toc500083017 4.1.1云管理平台

4、功能模块 PAGEREF _Toc500083017 h 10 HYPERLINK l _Toc500083018 4.1.2BeyondSphere三层架构模型和五个关键要素： PAGEREF _Toc500083018 h 11 HYPERLINK l _Toc500083019 4.1.3BeyondSphere虚拟化平台功能 PAGEREF _Toc500083019 h 11 HYPERLINK l _Toc500083020 4.2集群和主机虚拟化 PAGEREF _Toc500083020 h 12 HYPERLINK l _Toc500083021 4.2.1主机虚拟化功能 P

5、AGEREF _Toc500083021 h 12 HYPERLINK l _Toc500083022 4.3存储虚拟化 PAGEREF _Toc500083022 h 13 HYPERLINK l _Toc500083023 4.3.1BeyondSphere存储虚拟化特点描述 PAGEREF _Toc500083023 h 14 HYPERLINK l _Toc500083024 4.3.2低成本高可靠的Ceph存储方案介绍 PAGEREF _Toc500083024 h 15 HYPERLINK l _Toc500083025 4.4网络虚拟化 PAGEREF _Toc500083025

6、 h 17 HYPERLINK l _Toc500083026 4.5管理与监控工具 PAGEREF _Toc500083026 h 19 HYPERLINK l _Toc500083027 4.5.1集群管理功能 PAGEREF _Toc500083027 h 19 HYPERLINK l _Toc500083028 4.5.2监控和分析统计功能 PAGEREF _Toc500083028 h 20 HYPERLINK l _Toc500083029 4.5.3权限管理功能 PAGEREF _Toc500083029 h 21 HYPERLINK l _Toc500083030 4.6平台功

7、能列表 PAGEREF _Toc500083030 h 22 HYPERLINK l _Toc500083031 5BeyondSphere产品典型配置 PAGEREF _Toc500083031 h 23 HYPERLINK l _Toc500083032 5.1BeyondSphere云平台物理设备规划（举例） PAGEREF _Toc500083032 h 23 HYPERLINK l _Toc500083033 5.1.1标准BeyondSphere云平台机柜服务器视图 PAGEREF _Toc500083033 h 23 HYPERLINK l _Toc500083034 5.1.2

8、服务器、网络设备角色规划 PAGEREF _Toc500083034 h 24 HYPERLINK l _Toc500083035 5.1.3服务器硬件推荐标准配置 PAGEREF _Toc500083035 h 24 HYPERLINK l _Toc500083036 5.1.4网络设备推荐标准配置 PAGEREF _Toc500083036 h 25 HYPERLINK l _Toc500083037 5.2BeyondSphere云平台物理网络规划（举例） PAGEREF _Toc500083037 h 26 HYPERLINK l _Toc500083038 5.2.1物理网络规划建议

9、 PAGEREF _Toc500083038 h 26 HYPERLINK l _Toc500083039 5.3BeyondSphere云平台服务器软件部署规划（举例） PAGEREF _Toc500083039 h 26 HYPERLINK l _Toc500083040 5.3.1管理平台安装部署 PAGEREF _Toc500083040 h 26 HYPERLINK l _Toc500083041 5.3.2平台计算节点服务器安装部署 PAGEREF _Toc500083041 h 27 HYPERLINK l _Toc500083042 5.3.3平台存储节点服务器安装部署 PAG

10、EREF _Toc500083042 h 27 HYPERLINK l _Toc500083043 6BeyondSphere应用案例 PAGEREF _Toc500083043 h 27 HYPERLINK l _Toc500083044 6.1某国资云平台项目 PAGEREF _Toc500083044 h 27摘要随着移动互联网和全球化的发展，人与人之间的联系更加频繁，拥有的设备和应用程序也越来越多，所有这些都导致了企业数据中心的流量和工作负载越来越大。有分析师预计，都2020年，将有多达500亿个智能机器和传感器连接到互联网，让全球互联网流量增长近300%，正是由于这种快速的数据增长，

11、对传统的基础设施解决方案提出了更高的低成本、快速部署、灵活应用的要求，导致云计算不再仅仅是一种发展选择，而成为一种必然的选择。在云计算之前，企业部署一套服务，需要经历组网规划，容量规划，设备选型，下单，付款，发货，运输，安装，部署，调试的整个完整过程。这个周期在大型项目中需要以周甚至月来计算。在引入云计算后，这整个周期缩短到以分钟来计算。一位曾经在公司内部部署过云计算应用平台的CIO介绍说，与部署非云计算平台相比，硬件、软件的安装和系统测试等工作能节约10%-15%的项目时间，应用系统的培训时间能节约10%-15%的培训时间，而且后期系统的维护工作不需要有专人管理，能节约5%-10%的系统管理

12、时间。对于云计算，从应用场景上讲，主要分为公有云和私有云。从技术上讲，无论是公有云还是私有云，都是通过虚拟化技术，提高IT资产的利用效率，提升服务的灵活性，实现自动化服务从而降低维护成本，提升IT基础设施的可靠性等。目前越来越多的人开始关注公有云，但在实际运作中，许多企业中的业务和IT决策者并不愿意将关键工作负载迁移到公有云，这很大程度上是因为企业认为公有云在安全性、合规性和服务水平上得不到保证。不同点公有云，私有云可以：完全由企业自身掌控。让企业在享有云计算带来的好处的情况下，完全掌控自己的IT基础设施和资源；更强的安全保障。对企业而言，特别是大型企业而言，和业务有关的 HYPERLINK

13、/view/38752.htm t _blank 数据是其的生命线，是不能受到任何形式的威胁。私有云方案充分考虑企业的安全需求，可根据企业的需求制定安全保障标准，充分保障企业数据的安全。更好的服务保障。因为私有云一般搭建在企业可控并可完全满足企业需求的数据中心中，所以当企业使用私有云的服务时，它的SLA会非常稳定，实现比公有云更好的服务保障。定制化。由于私有云的“私有”性，通过客户化定制，可使客户的个性化需求，比如安全性需求、合规性需求、可靠性需求、资源控制需求、统计需求等得到最大程度的满足；不影响现有IT管理的 HYPERLINK /view/158951.htm t _blank 流程。对

14、大型企业而言， HYPERLINK /view/158951.htm t _blank 流程是其管理的核心，如果没有完善的 HYPERLINK /view/158951.htm t _blank 流程，企业将会成为一盘散沙。使用私有云，可在对IT部门 HYPERLINK /view/158951.htm t _blank 流程冲击不大实现企业IT体系的云化。博云将私有云的核心总结为私有化、虚拟化、自动化、定制化。博云认为，私有云的部署不能简单的照搬公有云功能，关键是要需要从自身业务目标出发，实现完全满足企业需求的、企业个性化的私有云。BeyondSphere是博云自主研发的一款成熟的Iaas层

15、的私有云解决方案，除满足上述自动化、虚拟化、定制化的要求外，依托中科院软件所的高端研发资源和基因，也是一款可靠、稳定、安全的私有云产品。本文档向您讲述博云BeyondSphere解决方案中所用到的相关技术，通过阅读本文档，您能够了解到： BeyondSphere解决方案是如何做到稳定、开放、安全、可靠的；私有云的虚拟化、自动化、定制化这些关键衡量标准是如何在BeyondSphere解决方案中体现的；BeyondSphere解决方案所包含的部件，所涉及的主要技术领域，使用的主要技术； 针对BeyondSphere提供的各种技术选择，您怎样使用它们来满足您的业务诉求。BeyondSphere产品整

16、体介绍概述BeyondSphere解决方案主要包含如下几个自主研发的产品模块：虚拟化模块（设施层）：主要负责将硬件资源虚拟化，通过整合现有的工作负载并利用剩余的服务器以部署新的应用程序和解决方案，提高设备利用率。云管理平台（平台层）：云平台的综合管理，实现云平台集群的配置管理、资源控制、安全性配置、高可靠性配置、监控、统计等功能。定制化模块：通过定制化，实现不同行业客户的不同的个性化的需求，如个性化的管理功能、与已有平台的整合、安全性、可靠性等需求，均在定制化层进行实现。系统整体架构BeyondSphere产品方案如下图所示。BeyondSphere产品关键能力BeyondSphere作为博云

17、联合中科院软件所共同自主研发具有完全自主产权的私有云产品，除了具有一般云产品的特点之外，还具有稳定、可靠、安全、开放、可定制、高性能的特点。这些构成了BeyondSphere产品的关键能力。稳定目前，BeyondSphere产品已经在多个局点稳定运行，部分局点已经稳定运行3年以上。具备大规模稳定运行的能力。可靠BeyondSphere提供众多可靠性能力，最大限度保障您的私有云的稳定使用。虚拟机资源池高可用多台服务器构建的虚拟机资源池包含Master节点和自动选举的Backup节点，其中Master节点作为访问的唯一逻辑入口，具有检测和管理各个物理机状态的能力，以统一的视角方便用户进行全局虚拟机

18、维护。Master模式在简化资源管理的同时，也引入了单点失效的问题，Master节点的宕机会导致整个资源池的不可用。网驰云平台有效的解决了这一问题，通过在Master节点宕机时将备份节点选举为新的Master节点，并将Master节点的虚拟机重新启动在其他的服务器中，能够保证虚拟机资源池的可用性，以及服务的稳定性，如下图所示：网络路径全冗余和分平面通信BeyondSphere支持网络的核心层、汇聚层、接入层和虚拟网络层的全冗余设计，并在不同的业务平台上进行VLAN隔离，最大限度的降低网络风险。虚拟机HA基于记录和回放的失效恢复技术，减少因单点失效导致的虚拟机停止服务的时间。当服务器宕机或者重启

19、系统可以将具有HA属性的虚拟机故障迁移到其他计算服务器，保证虚拟机能够快速恢复。虚拟机热迁移为了保证虚拟机和存储的可用性，规避业务中断的风险，系统提供了虚拟机热迁移的功能。虚拟机负载均衡系统根据各个物理计算服务器节点现有的负载状况进行动态的调配，使得集群中各个物理计算服务器的负载处于一个动态的均衡状态。主机故障恢复当整机或者操作系统故障，通过重启或者对应的告警处理无法恢复时，BeyondSphere支持对该节点进行更换，并支持一键式恢复其上原有的业务和配置。安全BeyondSphere主要从如下5个方面来保障整个云平台的安全：数据存储安全从隔离用户数据、控制数据访问、保护剩余信息、加密虚拟机磁

20、盘、备份数据等方面保证用户数据的安全和完整性。网络传输安全物理机网络和虚拟机网络隔离,管理虚拟机的物理网卡转化成虚拟交换机，物理机不驻留虚拟机网络包,同时BeyondSphere还通过网络平面隔离、引入防火墙、传输加密等手段，保证业务运行和维护安全。虚拟机隔离实现同一物理机上不同虚拟机之间的资源隔离，避免虚拟机之间的数据窃取或恶意攻击，保证虚拟机的资源使用不受周边虚拟机的影响。终端用户使用虚拟机时，仅能访问属于自己的虚拟机的资源（如硬件、软件和数据），不能访问其他虚拟机的资源，保证虚拟机隔离安全。授权管理安全基于操作粒度的角色访问控制方法，最细化粒度管理每个用户的权限，使面向多个客户的平台可按

21、照最小授权的原则进行管理，最大程度的降低由于人为原因导致系统安全问题的风险。运维管理安全从帐号密码、用户权限、日志、传输安全等方面增强日常运维管理方面的安全措施。除上述安全方案外，还通过修复Web应用漏洞、对操作系统和数据库进行加固、安装安全补丁和防病毒软件等手段保证各物理主机的安全。虚拟防火墙和端口扫描可视化配置(Linux)虚拟机开启和关闭的防火墙规则。系统可主动监测应用的端口使用情况，主动关闭不常用的端口。开放支持主流的虚拟化平台对接：BeyondSphere支持VMware vSphere、Xen server、KVM作为底层虚拟化平台。支持主流硬件设备：BeyondSphere可支持

22、业内所有供应商的X86服务器、SAN存储、交换机等设备。可定制BeyondSphere针对各个行业不同的需求，提供适应本行业应用的共性运行支撑环境，简化应用生命周期管理的复杂度，将应用从用户维护转变为平台维护，从而提升行业应用的部署和上线的速度，简化应用部署和运维的复杂度，满足不同行业个性化、定制化的需求。例如：增强的运维功能自动伸缩服务：应用系统的业务量会随着业务活动的开展发生较大程度的变动，这时，可通过系统将某虚拟机设为伸缩原型，新建虚拟机进行恢复，并可自动执行虚拟机的配置、负载均衡设备的调整等。同时也可支持自动收缩。虚拟机自启动项管理功能：可通过定制开发，对虚拟机内部的特定程序的自启动进

23、行控制和管理。网络访问权限控制：可实现对虚拟网络的访问规则进行统一管理，对跨租户的虚拟机连通策略黑白名单控制等。备份恢复功能定制通过定制，可实现更定制化的需求备份策略，如：对操作系统内文件及文件夹的备份及恢复。对数据库以及表的备份及恢复。对虚拟机的备份及恢复。异地容灾备份及恢复。增强的安全性通过定制，实现更强的安全性，如：实现对虚拟机的可上传内容，但不可从虚拟机下载内容。与现有平台的服务集成通多定制，可实现与已有系统，如监控平台、大数据平台、运营平台的对接，实现更丰富的功能。计费功能定制系统可根据用户使用的CPU、内存、硬盘的数据等对进行精确计费，支持成本核算和分摊。系统也可通过定制实现更精细

24、化的计费和财务管理功能，帮助客户实现精细运营。高性能经过第三方测试，BeyondSphere主要性能指标主要性能指标好于阿里云，可替换通用物理服务器，系统关键性能指标如下：服务列表关键性能主机批量创建/删除、个性化虚拟机资源配置，秒级启动快速生成虚拟机基于完全拷贝和写时复制的虚拟机快速生成技术具有虚拟机（及完整）状态秒级复制的能力虚拟网络支持私有网络、虚拟防火墙等网络功能虚拟化，在线配置，秒级生效硬盘存储硬盘读写速度80MB/s，好于通用物理服务器的硬盘性能，能严格限速集群管理效率不以虚拟机声明的资源（例如CPU、IO）进行放置，而以运行时实际消耗进行放置，可最多节约50%的硬件供给文档协同支

25、持文档的发布与协同，具有秒级上传的能力监测预警提供实时/小时/天/周/月/年的数据展示，和可定制化的基于阈值的预警BeyondSphere产品功能介绍BeyondSphere总体架构模型云管理平台功能模块BeyondSphere三层架构模型和五个关键要素：整体来说，BeyondSphere提供从底层的主机、存储、网络到上层应用的整体虚拟化解决方案，我们将在下面的章节进行详细介绍。BeyondSphere虚拟化平台功能BeyondSphere虚拟化平台主要定位企业关键应用领域，采用业界领先的Xen技术，在开源基础上持续增强和优化，提供完整的虚拟机生命周期管理功能，充分发挥Xen的性能和安全方面的

26、技术优势，并利用Intel和AMD的硬件辅助虚拟化技术，提供关键应用对于高性能、高可靠、安全性和高可适应性上的各种虚拟化功能要求。首先，在基础架构服务层，提供持续的性能优化和增强功能，在计算虚拟化上的内存复用技术、GPU虚拟化技术等满足用户对于性能和体验方面的要求，在存储虚拟化上的精简部署技术、存储直通技术等可有效降低硬件采购成本，在网络虚拟化上的网络隔离、VXLAN、安全加固等技术，可满足应用对于高I/O性能和安全的要求。其次，在管理系统层，提供可用性、可维护性和安全性方面的功能支持，包括提供虚拟机热迁移、虚拟机热备份、以及基于记录和回放的宕机恢复技术，降低系统计划内/外宕机影响，提高业务的

27、连续性；提供虚拟机安全加固、VLAN特性，提高企业应用的安全性保障；集群和主机虚拟化主机虚拟化功能主机虚拟化就是使软件和硬件相互分离，把软件从主要安装硬件中分离出来。通过虚拟化软件向上层操作系统抽象出一个虚拟的硬件接口，向上层操作系统提供一个虚拟的服务器硬件环境，使得上层操作系统可以直接运行在虚拟环境上，可允许多个操作系统同时运行在单个物理服务器上。虚拟机的本质：与物理服务器相比，虚拟机不是由真实的电子元件组成，而是由一组虚拟组件（文件）组成，这些虚拟组件与物理服务器的硬件配置无关，关键与物理服务器相比，虚拟机有以下优势：抽象解耦：1.可在任何X86架构的服务器上运行；2.上层应用操作系统不需

28、修改即可运行；封装迁移：1.可封装于文件之中，通过简单的文件复制实现快速部署、备份及还原；2.可便捷地将整个系统（包括虚拟硬件、操作系统和配置好的应用程序）在不同的物理服务器之间进行迁移，甚至可以在虚拟机正在运行的情况下进行迁移；弹性扩展：1.可对单个物理服务器上的虚拟资源（VCPU、VNIC等）进行按需动态扩展（不停机，需操作系统支持）；2.可作为即插即用的虚拟工具进行构建和分发，按集群弹性资源分配机制实现动态扩展；分区隔离：1.可与其他虚拟机同时运行；2.实现数据处理、网络连接和数据存储的安全隔离；存储虚拟化BeyondSphere提供基于主机的存储虚拟化功能，用户不需要再关注存储设备的类

29、型和能力。存储虚拟化可以将存储设备进行抽象，以逻辑资源的方式呈现，统一封装为文件级操作接口，并在虚拟化层提供了丰富的存储业务功能。BeyondSphere存储虚拟化系统主要由文件系统、磁盘驱动和磁盘工具组成。SAN设备和本地磁盘等块设备连接到服务器上后，经过设备驱动层和通用块层后，对主机呈现一个磁盘设备。文件系统建立在主机能够访问的存储设备上，创建文件系统的过程就是主机对存储设备执行格式化，在存储设备上写入文件系统的元数据和inode信息，建立文件到裸设备块的映射，并负责裸设备块的管理，包括空间分配和释放。对于虚拟化来说，文件系统屏蔽了块层的操作，提供了文件级的抽象操作。虚拟机磁盘就是放在文件

30、系统中的文件。BeyondSphere存储虚拟化特点描述BeyondSphere 存储虚拟化技术定位于构建针对电信业务环境的高竞争力的虚拟化平台，通过对开源xen进行安全加固、功能扩展、性能优化和可靠性保障，具备如下特点： 存储设备兼容性 对于不同的存储设备，包括IPSAN、FCSAN、NAS、本地磁盘。可以做到以文件系统进行屏蔽，统一提供文件级别的业务操作。 丰富的功能 提供了包括精简置备磁盘、增量快照、存储冷热迁移、链接克隆虚拟机、虚拟机磁盘扩容等众多功能。 业务能力同质化 业务是在虚拟化层进行，基于各种存储设备可以提供相同的能力，对存储设备无特殊要求。低成本高可靠的Ceph存储方案介绍C

31、eph是一种为优秀的性能、可靠性和可扩展性而设计的，统一的、分布式的存储系统，支持对象存储，文件系统，块存储。Ceph系统的层次结构如下：Ceph的底层是RADOS，它的意思是“A reliable, autonomous, distributed object storage”。RADOS由两个组件组成：OSD： Object Storage Device，提供存储资源。Monitor：维护整个Ceph集群的全局状态。Ceph的优势均来源于其先进的核心设计思想，概括可八个字“无需查表，算算就好”。基于这种设计思想，Ceph充分发挥存储设备自身的计算能力，同时消除了对系统单一中心节点的依赖，从

32、而实现了真正的无中心结构。基于这一设计思想和结构，Ceph一方面实现了高度的可靠性和可扩展性，另一方面保证了客户端访问的相对低延迟和高聚合带宽。Ceph的核心设计思路基本上可以概括为以下两点：充分发挥存储设备自身的计算能力。采用具有计算能力的设备(最简单的例子就是普通的服务器)作为存储系统的存储节点。去除所有的中心点。一旦系统中出现中心点，则一方面引入单点故障点，另一方面也必然面临当系统规模扩大时的规模和性能瓶颈。基于这个要求，Ceph彻底放弃了基于查表的数据寻址方式，而改用基于计算的方式。简言之，任何一个Ceph存储系统的客户端程序，仅仅使用不定期更新的少量本地元数据，加以简单计算，就可以根

33、据一个数据的ID决定其存储位置。Ceph分布式存储特点高可靠性多副本没有单点故障自动隔离失效节点数据自动恢复高可扩展性高度并行，没有单个中心控制组件。自管理。扩展、升级、替换自动完成。数据分布式存储高性能高并发度，objects随机分布在所有OSD上。负载均衡，基于权重的自动负载均衡。Client和Server直接通信，不需要元数据服务器。4.3.3存储直通技术存储直通技术（又称裸设备映射，RDM）为虚拟机提供了一种机制来直接访问物理存储子系统（仅限光纤通道或iSCSI）上的LUN，因此虚拟机中的业务能够直接访问存储设备或直接对存储设备下发控制命令。通过使用裸设备映射，可以让虚拟机识别SCSI

34、磁盘，实现在虚拟机内部下发SCSI命令，交给主机然后透传给存储设备进行处理，最后将应答返回。裸设备映射能够很好地支撑Oracle RAC在虚拟机上的正常运行，降低大量使用物理服务器的成本。裸设备映射，作为一个整体特性，将LUN映射到虚拟机中，支持Oracle RAC业务的正常运行。真正实现裸设备映射特性完整功能，PVSCSI是其最重要的关键技术。PVSCSI原理图如下：存储直通技术应用于集群中一个或多个CNA节点上运行了Oracle RAC业务的虚拟机。用户划分好独立的LUN，然后配置好带SCSI磁盘的配置文件，在虚拟机启动或者挂载磁盘的过程中，给虚拟机配置SCSI磁盘，让虚拟机能够使用SCS

35、I磁盘。SCSI磁盘可以配置成虚拟机的系统盘或数据盘。 虚拟机内部安装了PV Driver，并且处于运行状态，在虚拟机的SCSI磁盘上部署Oracle RAC应用，就可以正常使用这些业务。网络虚拟化计算虚拟化驱动网络虚拟化的发展。传统数据中心，一台服务器运行一个操作系统，通过物理网线与交换机相连，由交换机实现不同的主机的交换、流量控制、安全控制等功能。在计算虚拟化后，一台服务器虚拟化成多台的虚拟的主机，每个虚拟主机有自己的CPU、内存和网卡。同一服务器上的不同主机之间既需要维持原有的通信，同时由于共享物理设备，引出了新的安全隔离、以及对流控的更高的需求。VxLAN技术VxLAN的英文全称是Vi

36、rtual eXtensible Local Area Network，是一种将二层报文用三层协议进行封装的技术，可以对二层网络在三层范围进行扩展。它应用于数据中心内部，使虚拟机可以在互相连通的三层网络范围内迁移，而不需要改变IP地址和MAC地址，保证业务的连续性。VxLAN采用24bit的网络标识，使用户可以创建16M相互隔离的虚拟网络，突破了目前广泛采用的VLAN所能表示的4K个隔离网络的限制，这个特性可应用于大规模的多租户环境。网络安全策略网络隔离 BeyondSphere支持虚拟局域网(VLAN)和VxLAN两种隔离方式，便于对虚拟机进行安全隔离。虚拟局域网与标准 IEEE 802.1

37、Q 虚拟局域网实现方式兼容。 虚拟局域网标记（VLAN TAGGING），在上行链路或进入客户虚拟机的所有路径中使用 IEEE 802.1Q 虚拟局域网标记，以增强流量隔离和网络安全性。限制第2层广播域的范围防止用户虚拟机IP和MAC地址仿冒，防止用户虚拟机DHCP Server仿冒。防止IP地址和MAC仿冒（IP和MAC绑定）：防止虚拟机用户通过修改虚拟网卡的IP、MAC地址发起IP、MAC仿冒攻击，增强用户虚拟机的网络安全。具体技术能力包括通过DHCP snooping生成IP-MAC的绑定关系，然后通过IP源侧防护(IP Source Guard)与动态ARP检测（DAI）对非绑定关系的

38、报文进行过滤。 防止DHCP Server仿冒 (DHCP Server 隔离)：禁止用户虚拟机启动DHCP Server服务，防止用户无意识或恶意启动DHCP Server服务，影响正常的虚拟机IP地址分配过程。广播报文抑制：在服务器整合、桌面云等企业应用场景，如果发生网络攻击或病毒发作等引起的广播报文攻击，可能造成网络通信异常，此时可以开启虚拟交换机的广播报文抑制功能。 虚拟交换机提供虚拟机虚端口发送方向ARP广播报文和IP广播报文的抑制开关，以及抑制阈值设置功能。可以通过开启虚拟机网卡所在端口组的广播包抑制开关设置阈值，减少过量广播报文对二层网络带宽的消耗。 管理员可以通过系统Porta

39、l，基于虚拟交换机端口组对象，配置广播报文抑制开关、ARP广播报文抑制阈值、IP广播报文抑制阈值。管理与监控工具集群管理功能集群管理软件提供包括资源池搭建，虚拟机管理，应用的部署，性能监控与自调整，高可用，备份与恢复等等丰富的功能。这些功能通过集群管理软件 Client和集群管理软件 Web Client来向用户提供。主要功能描述如下：资源池搭建：用主机搭建资源池，为资源池挂载存储设备；虚拟机管理：主要包括虚拟机的生命周期管理，创建，开启，关闭，挂起，唤醒，迁移，删除等；应用的部署：将应用部署在虚拟机上；资源监控与自调整：包括主机，虚拟机的性能监控，当性能发生异常时，能够及时给出提醒，并尽最大

40、所能自动调整底层资源分配来适应上层需求；高可用：当资源池中某台或某几台主机失效时，能尽力调整不影响虚拟机上应用的正常使用和管理平台的正常使用；备份与恢复：提供多种备份方式，主要包括本地备份及异地备份，如下：本地备份：用快照的方式快速记录虚拟机当前的状态，当发生异常时可以恢复到上一个正常状态；跨数据中心备份：主要用于跨多个数据中心的情况，可以将虚拟机整体备份到另一个数据中心，当本地数据中心发生异常时可以远程恢复。监控和分析统计功能系统集群管理软件会收集基于一系列衡量指标的数据，并对这些数据进行处理并展示给用户。下面这张图会给出集群管理软件监控的各项指标，之后会给出监控功能的各项具体细节内容。衡量

41、指标组描述CPU主机的物理cpu利用率。虚拟机的虚拟cpu利用率。磁盘虚拟机的磁盘总大小和已使用空间大小。磁盘读写虚拟机的磁盘读取速率和写入速率。内存主机、虚拟机的已使用的内存空间的大小。网络读写每个主机或者虚拟机的网络接受速率和发送速率。应用名虚拟机上部署的应用组件，如Java EE服务器，mysql数据库，memory cache等等。计数器和衡量指标组集群管理软件使用数据计数器查询统计信息。数据计数器是与给定的清单对象或设备相关的信息单位。每个计数器为一个衡量指标组中的不同统计信息收集数据。例如，磁盘衡量指标组包括不同的数据计数器，用以收集磁盘读取速度、磁盘写入速度和磁盘使用情况的数据。

42、会在指定的收集时间间隔后累计各计数器的统计信息，并在性能图表中显示这些信息。数据可用性性能图表中只显示已打开电源的主机和虚拟机的实时数据。对于所有支持的主机和虚拟机显示历史数据，但在某些情形下数据可能不可用。性能图表类型集群管理软件使用线状图来显示性能衡量指标。每个性能计数器的数据绘制在图表中单独的一条线上。例如，一台主机的网络图表可以包含两条线：一条线显示接收的数据包数量，另一条显示传输的数据包数量。而主机的cpu使用情况图的线的数量则取决于主机的物理cpu数量。展示集群管理软件收集各项指标并反映在图表中，通常一张图表反映一项指标。在Client中可以看到完整的监控信息。审计和计费系统可根据

43、用户使用的CPU、内存、硬盘的数据等对进行精确计费，同时也支持成本核算和分摊，帮助客户实现精细运营。系统可对历史使用信息进行审计，包括已经删除的虚拟机。权限管理功能BeyondSphere产品基于平台界面功能对用户的权限进行最细力度严格划分。对于权限管理，系统更有两个概念：角色管理员可基于权限库，自主设计不同的角色，一个角色即定义了一组权限。目的是为了对许多拥有相似权限的用户进行分类管理，例如系统管理员、管理员、用户、访客等角色。用户应用系统的具体操作者，用户的权限来源于其所属的角色。用户权限的分配基于角色进行。系统支持用户分地域设置，不同地区分支机构的用户 可以被授权只能管理本地资源.对角色

44、权限的分配如下图所示：平台功能列表功能大项一级功能二级功能描述功能软件安装虚拟化软件及虚拟化管理软件的安装虚拟机管理软件和虚拟化软件可正常安装并使用虚拟机生命周期管理虚拟机操作系统安装方式能在虚拟机上正常安装操作系统虚拟机应用软件安装方式能在虚拟机上正常安装应用软件虚拟机运行控制对虚拟机的开机、关机、暂停、恢复虚拟机删除支持虚拟机删除虚拟机克隆支持虚拟机克隆功能，可基于某台虚拟机克隆一台完全一样的虚拟机虚拟机模板支持虚拟机模板功能，可基于模板创建虚拟机操作系统支持支持Linux、Windows等多种规格的虚拟机模板虚拟机快照支持虚拟机磁盘快照功能，可实现基于快照的恢复虚拟化管理CPU资源超分支

45、持将CPU进行超分CPU资源上限支持设置虚拟机CPU资源的上限内存资源上限支持设置虚拟机内存资源的上限虚拟机网卡在线调整可对虚拟机的网卡进行在线调整虚拟机磁盘在线调整可对虚拟机的磁盘进行在线调整虚拟机迁移可对虚拟机在不同的物理机之间进行迁移资源调度策略支持对CPU、内存、存储等资源的自动调度存储管理存储配置管理支持存储配置功能存储I/O限速支持对存储I/O进行限速网络管理1000M/10G网络适配支持1000M/10G网络适配分布式虚拟交换机支持分布式虚拟交换机功能VLAN划分支持VLAN划分功能虚拟机上行带宽限速支持对虚拟机上行带宽限速虚拟机下行带宽限速支持对虚拟机下行带宽限速VXLAN/N

46、VGRE封装支持支持VXLAN/NVGRE封装运维监控管理界面和用户界面分离支持管理界面和用户界面分离事件日志支持界面事件日志查看功能用户分权分域支持精细化用户管理功能统计报表提供统计报表功能告警提供告警功能监控提供监控功能可靠性网络链路高可靠网络链路高可靠支持网络链路高可靠虚拟化管理软件高可靠虚拟化管理软件高可靠支持虚拟化管理软件高可靠虚拟机HA虚拟机HA可为虚拟机提供高可用功能。如果服务器出现故障，收到影响的虚拟机会在其他拥有多于容量的可用服务器上重新启动本地存储的高可靠本地存储的高可靠支持本地存储高可靠功能性能虚拟机读写性能虚拟机读写性能硬盘读写速度60MB以上安全性安全性设计安全性设计

47、自带安全加固、端口扫描等安全机制兼容性兼容VMWare兼容VMWare兼容Vmware VSphereBeyondSphere产品典型配置BeyondSphere云平台物理设备规划（举例）标准BeyondSphere云平台机柜服务器视图（以一组为例说明，且按照BeyondSphere来规划，实际硬件部署可以依据不同的做适当调整） 注：机柜B中剩余空间可以为后期扩容时网络设备所利用服务器、网络设备角色规划 一组为5个机柜（42U），其中机柜A，B为网络设备机柜，机柜C,D,E为BeyondSphere云集群机柜。 机柜使用42U标准机柜，双路电源接入，每台服务器包括网络设备均采用双电源冗余方式。

48、 机柜A：从下往上依次为万兆防火墙（两台），万兆存储核心交换机（两台），千兆管理核心交换机（两台），万兆业务核心交换机（两台）。千兆IPMI核心交换机，1UBeyondSphere云管理服务器两台（主备，包括管理数据库）。 机柜B：从下往上依次为万兆存储交换机48口（两台），千兆管理接入交换机48口（两台），千兆业务接入交换机48口（两台），千兆IPMI接入交换机（一台）。 机柜C，D，E：机柜放入最多14台2U服务器（3U*14=42U），服务器间间距为1U用来保证服务器散热，服务器放入角色比例为BeyondSphere云计算节点比BeyondSphere云存储节点4:3（建议），例如放入1

49、4台情况下，8台为计算节点6台为存储节点。服务器硬件推荐标准配置角色CPU内存网络硬盘Raid其他备注博云计算机节点服务器24核128G4个千兆2个万兆1个IPMI系统盘300G*2支持0,1,5双电源博云存储节点服务器12核32G2个千兆2个万兆1个IPMI系统盘300G*2支持0,1,5双电源企业级SSD512G*1，企业级存储SATA盘4T若干（建议为4-6块）可以使用传统硬件存储设备来替代BeyondSphere云管理平台服务器4核16G2个千兆1个IPMI系统盘300G*2支持0,1,5双电源网络设备推荐标准配置角色参数数量核心防火墙万兆2存储核心交换机万兆2存储接入交换机万兆48口

50、2业务核心交换机万兆2业务接入交换机千兆48口，万兆上联2管理核心交换机千兆2管理接入交换机千兆48口2IPMI核心交换机千兆1IPMI接入交换机千兆48口1注：网络设备数量按照一组服务器来规划BeyondSphere云平台物理网络规划（举例）物理网络规划建议整个网络划分为：业务网，管理网，IPMI网，存储网，四大网络物理隔离。1、业务网 虚拟机业务数据交互承载网络，对外提供业务服务。管理网 用于带外管理及管理平台业务交互承载网络。IPMI网 远程物理机器管理交互（电源管理）承载网络,利用IPMI可进行远程控制台操作及监视服务器的物理健康特征，如温度、电压、风扇工作状态、电源状态等。存储网共享

51、存储数据交互承载网络，提供服务器至存储设备之间的访问。5、业务网、管理网及IPMI网分别连接至防火墙，满足用户或者管理员的远程访问需求。BeyondSphere云平台服务器软件部署规划（举例）管理平台安装部署基础环境安装，两台1U管理服务器系统硬盘通过raid卡均做成raid1方式，均安装centos6.5_64bit操作系统，分区建议boot 200M，SWAP 4G，剩余空间均分配给根目录。配置符合管理IP段范围内的IP，双网卡做聚合。按照BeyondSphere云管理平台安装手册安装BeyondSphere云管理平台软件。对于mysql数据库，建议两台服务器搭建为主从模式。并且定时备份数据库到异地。测试安装是否成功，按照BeyondSphere云管理平台文档或者BeyondSphere云测试大纲进行测试。平台计算节点服务器安装部署基础环境安装，服务器系统盘通过raid卡做成raid1方式。按照BeyondSphere云安装手册进行计算节点角色的安装，因为已经做成ISO模式，所以无需提前安装操作系统。各个网卡按照网卡角色划分分别做聚合，配置符合IP规范的IP地址。平台存储节点服务器安装部署基础环境安装，服务器系统盘通过raid