企业云计算平台一期架构设计

1、第 PAGE 137 页 共 NUMPAGES 137 页云计算咨询项目云计算平台一期架构设计目 录 TOC o 1-3 h z u HYPERLINK l _Toc475777292 一. 导言 PAGEREF _Toc475777292 h 5 HYPERLINK l _Toc475777293 1.1 编写目的 PAGEREF _Toc475777293 h 5 HYPERLINK l _Toc475777294 1.2 文档阅读对象 PAGEREF _Toc475777294 h 5 HYPERLINK l _Toc475777295 1.3 关键术语 PAGEREF _Toc4757

2、77295 h 5 HYPERLINK l _Toc475777296 二. 设计目的 PAGEREF _Toc475777296 h 6 HYPERLINK l _Toc475777297 三. 公司云计算一期项目规划 PAGEREF _Toc475777297 h 7 HYPERLINK l _Toc475777298 四. 云计算平台系统架构设计 PAGEREF _Toc475777298 h 8 HYPERLINK l _Toc475777299 4.1 服务门户层 PAGEREF _Toc475777299 h 9 HYPERLINK l _Toc475777300 4.2 服务管理

3、层 PAGEREF _Toc475777300 h 9 HYPERLINK l _Toc475777301 4.3 资源管理层 PAGEREF _Toc475777301 h 10 HYPERLINK l _Toc475777302 4.4 安全管理模组 PAGEREF _Toc475777302 h 10 HYPERLINK l _Toc475777303 4.5 运维管理模组 PAGEREF _Toc475777303 h 10 HYPERLINK l _Toc475777304 4.6 硬件资源层 PAGEREF _Toc475777304 h 10 HYPERLINK l _Toc47

4、5777305 五. 硬件资源层设计 PAGEREF _Toc475777305 h 11 HYPERLINK l _Toc475777306 5.1 机房基础设施环境要求 PAGEREF _Toc475777306 h 11 HYPERLINK l _Toc475777307 5.1.1 温湿度要求 PAGEREF _Toc475777307 h 11 HYPERLINK l _Toc475777308 5.1.2 空气洁净度要求 PAGEREF _Toc475777308 h 12 HYPERLINK l _Toc475777309 5.1.3 噪声和静电要求 PAGEREF _Toc47

5、5777309 h 12 HYPERLINK l _Toc475777310 5.2 核心基础设施技术要求 PAGEREF _Toc475777310 h 12 HYPERLINK l _Toc475777311 5.2.1 服务器 PAGEREF _Toc475777311 h 12 HYPERLINK l _Toc475777312 5.2.2 存储 PAGEREF _Toc475777312 h 37 HYPERLINK l _Toc475777313 5.2.3 网络 PAGEREF _Toc475777313 h 49 HYPERLINK l _Toc475777314 5.3 虚拟

6、化软件技术要求 PAGEREF _Toc475777314 h 56 HYPERLINK l _Toc475777315 六. 云计算平台系统功能设计 PAGEREF _Toc475777315 h 57 HYPERLINK l _Toc475777316 6.1 资源申请 PAGEREF _Toc475777316 h 58 HYPERLINK l _Toc475777317 6.2 资源使用 PAGEREF _Toc475777317 h 61 HYPERLINK l _Toc475777318 6.3 资源变更 PAGEREF _Toc475777318 h 63 HYPERLINK l

7、 _Toc475777319 6.4 资源回收 PAGEREF _Toc475777319 h 64 HYPERLINK l _Toc475777320 6.5 资源管理 PAGEREF _Toc475777320 h 65 HYPERLINK l _Toc475777321 6.5.1 数据中心 PAGEREF _Toc475777321 h 65 HYPERLINK l _Toc475777322 6.5.2 资源池 PAGEREF _Toc475777322 h 66 HYPERLINK l _Toc475777323 6.5.3 IP池 PAGEREF _Toc475777323 h

8、67 HYPERLINK l _Toc475777324 6.5.4 虚拟化平台 PAGEREF _Toc475777324 h 68 HYPERLINK l _Toc475777325 6.6 平台告警管理 PAGEREF _Toc475777325 h 68 HYPERLINK l _Toc475777326 6.7 虚拟机的备份恢复 PAGEREF _Toc475777326 h 69 HYPERLINK l _Toc475777327 6.8 网络虚拟化管理 PAGEREF _Toc475777327 h 70 HYPERLINK l _Toc475777328 6.9 平台权限管理

9、PAGEREF _Toc475777328 h 72 HYPERLINK l _Toc475777329 6.10 统计报表 PAGEREF _Toc475777329 h 74 HYPERLINK l _Toc475777330 6.10.1 虚机基本信息报表 PAGEREF _Toc475777330 h 74 HYPERLINK l _Toc475777331 6.10.2 物理主机基本信息报表 PAGEREF _Toc475777331 h 74 HYPERLINK l _Toc475777332 6.10.3 IP资源池基本信息报表 PAGEREF _Toc475777332 h 7

10、5 HYPERLINK l _Toc475777333 6.10.4 资源池基本信息报表 PAGEREF _Toc475777333 h 75 HYPERLINK l _Toc475777334 6.10.5 服务请求处理情况报表 PAGEREF _Toc475777334 h 75 HYPERLINK l _Toc475777335 6.10.6 虚机开通情况报表 PAGEREF _Toc475777335 h 75 HYPERLINK l _Toc475777336 七. 云计算平台网络架构设计 PAGEREF _Toc475777336 h 76 HYPERLINK l _Toc4757

11、77337 7.1 网络平台架构 PAGEREF _Toc475777337 h 76 HYPERLINK l _Toc475777338 7.2 网络拓扑设计 PAGEREF _Toc475777338 h 77 HYPERLINK l _Toc475777339 7.2.1 子网段设计 PAGEREF _Toc475777339 h 77 HYPERLINK l _Toc475777340 7.2.2 IP路由设计 PAGEREF _Toc475777340 h 81 HYPERLINK l _Toc475777341 7.3 网络配置规范 PAGEREF _Toc475777341 h

12、82 HYPERLINK l _Toc475777342 7.3.1 网络配置基本规范 PAGEREF _Toc475777342 h 82 HYPERLINK l _Toc475777343 7.3.2 针对虚拟化配置规范 PAGEREF _Toc475777343 h 82 HYPERLINK l _Toc475777344 7.3.3 VLAN设置规范 PAGEREF _Toc475777344 h 84 HYPERLINK l _Toc475777345 7.4 网络安全设计 PAGEREF _Toc475777345 h 86 HYPERLINK l _Toc475777346 八.

13、 云计算平台存储架构设计 PAGEREF _Toc475777346 h 86 HYPERLINK l _Toc475777347 8.1 磁盘存储系统的架构 PAGEREF _Toc475777347 h 86 HYPERLINK l _Toc475777348 8.2 单一类型存储的接入架构 PAGEREF _Toc475777348 h 91 HYPERLINK l _Toc475777349 8.3 存储虚拟化平台架构 PAGEREF _Toc475777349 h 94 HYPERLINK l _Toc475777350 九. 云计算平台安全设计 PAGEREF _Toc475777

14、350 h 96 HYPERLINK l _Toc475777351 9.1 虚拟化及基础设施安全 PAGEREF _Toc475777351 h 98 HYPERLINK l _Toc475777352 9.1.1 虚拟化安全管理 PAGEREF _Toc475777352 h 98 HYPERLINK l _Toc475777353 9.1.2 安全域划分 PAGEREF _Toc475777353 h 100 HYPERLINK l _Toc475777354 9.1.3 虚拟化基础管理平台安全 PAGEREF _Toc475777354 h 101 HYPERLINK l _Toc47

15、5777355 9.1.4 网络资源安全 PAGEREF _Toc475777355 h 103 HYPERLINK l _Toc475777356 9.1.5 虚拟机系统安全 PAGEREF _Toc475777356 h 105 HYPERLINK l _Toc475777357 9.1.6 备份安全 PAGEREF _Toc475777357 h 109 HYPERLINK l _Toc475777358 9.2 数据安全 PAGEREF _Toc475777358 h 113 HYPERLINK l _Toc475777359 9.2.1 数据分类界定 PAGEREF _Toc4757

16、77359 h 114 HYPERLINK l _Toc475777360 9.2.2 敏感数据界定 PAGEREF _Toc475777360 h 114 HYPERLINK l _Toc475777361 9.2.3 数据传输规范 PAGEREF _Toc475777361 h 116 HYPERLINK l _Toc475777362 9.2.4 数据迁移规范 PAGEREF _Toc475777362 h 118 HYPERLINK l _Toc475777363 9.3 统一账号与权限管理 PAGEREF _Toc475777363 h 119 HYPERLINK l _Toc475

17、777364 9.3.1 统一账号与权限管理技术架构 PAGEREF _Toc475777364 h 119 HYPERLINK l _Toc475777365 9.3.2 身份管理与账号安全总体策略 PAGEREF _Toc475777365 h 121 HYPERLINK l _Toc475777366 9.3.3 运维管理账号管理规范 PAGEREF _Toc475777366 h 122 HYPERLINK l _Toc475777367 9.3.4 账号审计 PAGEREF _Toc475777367 h 124 HYPERLINK l _Toc475777368 9.3.5 用户账

18、号管理 PAGEREF _Toc475777368 h 125 HYPERLINK l _Toc475777369 9.3.6 账号审计 PAGEREF _Toc475777369 h 126 HYPERLINK l _Toc475777370 9.4 统一日志审计 PAGEREF _Toc475777370 h 127 HYPERLINK l _Toc475777371 9.4.1 统一日志审计技术架构 PAGEREF _Toc475777371 h 127 HYPERLINK l _Toc475777372 9.4.2 日志管理规范 PAGEREF _Toc475777372 h 129

19、HYPERLINK l _Toc475777373 9.4.3 日志审计要求 PAGEREF _Toc475777373 h 131 HYPERLINK l _Toc475777374 9.5 虚拟桌面安全 PAGEREF _Toc475777374 h 131 HYPERLINK l _Toc475777375 9.5.1 PKI兼容性 PAGEREF _Toc475777375 h 133 HYPERLINK l _Toc475777376 9.5.2 终端用户安全认证 PAGEREF _Toc475777376 h 133 HYPERLINK l _Toc475777377 9.5.3

20、NTP网络时间服务 PAGEREF _Toc475777377 h 133 HYPERLINK l _Toc475777378 9.5.4 服务器监控 PAGEREF _Toc475777378 h 133 HYPERLINK l _Toc475777379 9.5.5 防火墙规则 PAGEREF _Toc475777379 h 134 HYPERLINK l _Toc475777380 9.5.6 杀毒软件 PAGEREF _Toc475777380 h 134 HYPERLINK l _Toc475777381 9.5.7 文档防护系统 PAGEREF _Toc475777381 h 13

21、4 HYPERLINK l _Toc475777382 9.5.8 互联网准入 PAGEREF _Toc475777382 h 134 HYPERLINK l _Toc475777383 9.5.9 操作系统补丁更新 PAGEREF _Toc475777383 h 134导言编写目的本方案文档记录了公司云计算平台一期架构设计，方便读者迅速了解云平台一期建设过程中，平台的主体架构相关内容；为平台的正式建设提供参考依据。本文档的目的在于描述XX公司为公司的所做的平台规划和架构设计成果物。本文档“云计算平台一期架构设计”是项目的第二阶段的交付文档。文档阅读对象本文档的阅读对象为公司云计算建设系统内的

22、相关主管领导与相关部门。包括：省公司信息部信息中心信通公司各地区供电局信息部门云管理平台设计人员，管理员以及运维人员等关键术语本文档中用到的专门术语如下面表所示：专门术语名称解释Virtualization虚拟化的全称数据中心一种拥有完善的设备（包括高速互联网接入带宽、高性能局域网络、安全可靠的机房环境等）、专业化的管理、完善的应用级服务的服务平台。虚拟化管理平台一套管理软件的组合产品，能帮助用户更好地管理虚拟环境，并为虚拟环境下的企业服务器映射到物理系统提供了一种更好的途径。虚拟机虚拟机（VM）是支持多操作系统并行运行在单个物理服务器上的一种系统，能够提供更加有效的底层硬件使用。资源池用于对

23、计算机资源进行分区的配置机制。资源池表示各组可分区资源之间的关联。设计目的公司云平台一期从企业基础设施云平台切入，通过云计算方式充分利用主机计算能力、网络和存储空间，提供以基础设施服务(IaaS)层次上的云计算服务，以实现以下目标：集中按需提供基础IT资源根据各类业务系统的需要，以提供基础设施服务的方式，为业务系统的部署集中提供基础IT资源。随着业务系统负载变化，动态改变资源分配的规模，以快速适应业务系统的扩容需求，实现“弹性”资源分配能力。实现对各类IT资源的统一管理、调度和维护通过引入自动化管理等技术手段，实现对各类IT资源的集中统一管理、调度和维护，提升IT运营维护质量，缩短各类业务平台

24、的系统上线时间。提高IT系统整体分布密度，提高资源使用效率，降低能耗通过引入虚拟化等技术手段，细化物理资源分配单元，提高系统分布密度，提高系统使用效率，降低对物理设备的需求，进一步降低IT设备投入，降低能耗。在基础设施层面提高系统可靠性在基础设施层面提高系统可靠性，为各类业务系统提供高可用、连续服务的基础设施平台。公司云计算一期项目规划依照南方电网对集团云计算战略的统一部署和规划，结合公司IT现状情况，遵循云计算建设按阶段分步实施的原则，公司在2013年至2014上半年的云计算平台建设一期过程中，将分别完成IaaS基础架构资源池 建设(含X86服务器、UNIX高性能小型机服务器、高性能存储池、

25、非结构化存储池)， 桌面云资源池建设(瘦终端、虚拟桌面架构)，PaaS 服务的可行性测试，以及云计算管理平台的设计和建设，增强运维管理和安全管理的能力。总体的平台建设架构如下图所示：各个层次平台需要满足的目标如下：IaaS基础架构资源池建设建设基于服务器虚拟化的资源池，为公司业务系统的运行提供虚拟化平台环境。计算资源池需要包括UNIX高性能小型机服务器和x86服务器资源池。存储资源池包括了高性能存储、非结构化存储从硬件层次上包括了服务器、存储、网络设备等基础设施的建设。硬件基础环境为基础设施资源池提供资源保障。基础资源的建设规划需要充分考虑到目前信息中心已具备的6台x86刀片机资源池及VMWa

26、re vSphere 5.0虚拟化环境，以及上层业务对资源的需求，并适当余留资源缓冲余量VDI 桌面云资源池建设桌面虚拟化资源池的建设，在于构建灵活的虚拟桌面环境，以满足本期公司业务典型业务场景的需求，包括：营业厅、呼叫中心、移动办公等几大终端业务场景。 同时桌面云资源池的建设需要考虑到对瘦终端设备的采购和管理需求。PaaS 服务的规划PaaS 服务能力资源池在于构建统一的平台服务能力层，为公司业务系统的开发和运行提供统一的环境。作为云计算发展的更高层次要求，本阶段需要论证PaaS服务能力资源池建设的可行性，建议针对几个典型的业务平台，进行相应的调研和论证。同时通过PaaS服务平台规划项目为第

27、二阶段PaaS服务能力资源池建设提供规划和设计指导。云管理平台建设建设云管理平台在于从IT统一服务门户的角度，对公司各种云计算资源池的资源生命周期进行全方位管理，屏蔽对底层资源池和虚拟化平台的依赖性，实现资源统一分配和灵活调度，从而实现云平台智能化管理运维的目标。云计算下的运维平台建设探索云计算带来的资源管理模式变化对传统的IT运维带来的变革，并针对公司现有IT服务平台的运维管理模式，得出基于云化运维的更新升级方案。云计算平台系统架构设计方案总体架构分为“服务门户”、 “服务管理”、“资源管理”、“物理资源层”和“安全管理”，“运维管理”六个逻辑层次，如下图所示：方案总体架构图资源管理层、服务

28、管理层和服务门户层共同组成了云计算的功能核心，实现自底向上的云服务供应与监控；安全管理模组和运维管理模组在三个层次均提供运维和安全支持，实现高可用、安全访问、租户隔离和权限分配等功能；物理资源层为云计算提供物理资源和虚拟化等基础设施支撑。服务门户层平台应提供Web方式的服务门户层，它提供了最终用户的使用界面，用户通过登录到服务门户，使用平台的相关功能。服务门户层按照用户的身份权限，分为自服务门户和管理门户，自服务门户包括了系统用户进行资源申请，使用，变更和撤销等功能的界面呈现和交互；管理员门户包括服务请求管理、服务实例（虚机）管理、资源管理、用户管理等功能的界面呈现和交互。服务管理层服务管理层

29、提供面向最终用户（包括业务用户和管理人员）的服务管理功能，它负责定义服务的结构、流程、等级等信息，生成业务服务，发布到服务目录，监控服务运行状况等，形成完整的服务生命周期管理。运维用户可以通过服务管理层监控所有服务实例的整体状况。服务管理层将以业务服务的形式对外发布所有的服务操作接口。资源管理层资源管理层提供管理物理和虚拟资源的资源调度、控制和管理功能，它负责构建资源池，生成简单资源供应的技术服务（原子服务），定义资源运维的操作流程。资源池由同质的一组资源组成，用户可以通过资源管理层软件从资源池中申请资源，指定该资源实例的配置，并管理其运行。管理员可以监控每个资源池的资源使用率，健康状况和性能

30、状况。资源管理层将以技术服务的形式对外发布所有的资源操作接口。安全管理模组安全管理模组负责各个层次的安全控制，将考虑物理层、资源平台层、可信架构、网络安全层、存储安全层、安全运维管理层、信息和数据层、应用层以及信息安全管理层面的安全风险和安全问题。信息安全管理，从云平台安全管理组织结构、职责、安全目标、方针、策略、考核、风险管理、安全审核等方面重新构建安全管理体系。运维管理模组运维管理模组提供对平台日常基础运维的支持，主要与现有公司IT服务管理平台进行整合，并作为服务管理平台云化运维的一部分，提供了基于云平台的资源监视、系统告警、性能监控、以及运维角色和运维流程的支持能力。硬件资源层指构成云计

31、算平台的硬件设备和虚拟化软件。硬件设备包括X86主机，如刀片服务器，机架式服务器等；存储设备，如磁盘阵列设备，SAN交换机，NAS设备等等；网络设备，如交换机、路由器和防火墙等。为了组成资源池，一般将同质的设备集中安装，相互连接，并通过设备自带的管理软件来监管和配置。虚拟化软件包括Vmware、Hyper-V、XenServer等, 实现对虚拟机和物理机资源的管理和控制，构建了对虚拟机的规划、部署、管理、整合和优化的虚拟基础结构。硬件资源层设计机房基础设施环境要求云计算承载平台的建设在机房基础设施方面和传统的机房建设区别不大，需要注意的一是因为虚拟化架构能最大化地发挥物理设备的效能，物理设备很

32、多时候都是工作在近乎满负荷状态下，发热量会比较大，所以要注意物理设备的散热，保证机房和机柜的温度；二是由于每台物理设备都会承载多数个虚拟机设备，一台物理设备瘫痪往往会导致多个虚拟机暂时或是长久停止服务，所以对于每台物理设备的电源应该保证两路或多路不会同时断电。电子计算机机房设计规范（GB50174-93）中，明确规定了机房的环境要求，摘录如下：温湿度要求级别项目 A级B级夏季冬季全年湿 度2322021828相对湿度45654070温度变化率5/h并不得结露10/h并不得结露空气洁净度要求主机房内的空气含尘浓度，在静态条件下测试，每升空气中大于或等于 0.5um的尘粒数，应少于18000粒。噪

33、声和静电要求 主机房内的噪声，在计算机系统停机条件下，在主操作员位置测量应小于68dB(A)。主机房地面及工作台面的静电泄漏电阻，应符合现行国家标准计算机机房用活动地板技术条件的规定。主机房内绝缘体的静电电位不应大于1kV。在建设机房时，应该按照以上指标设计空调系统方案、通风方案、气流组织、建筑等。核心基础设施技术要求服务器服务器选择基本原则根据项目实际需求，在系统设计原则及选型配置时应以满足当前的应用需求为基础，并具有良好的扩充能力，从实际应用和目前服务器技术发展趋势来看，云计算承载平台中的服务器的选购应参考以下基本原则：高性能：由于服务器作为云计算承载平台核心设备，要对系统内的所有用户服务

34、，所以在选型时首先需要考虑的是服务器性能是否能够满足用户的应用，是否能够承担足够的虚拟机运行。 可用性：在云计算承载平台中，一台服务器承载多台虚拟服务器为外提供服务，在多数情况下，需要考虑到服务器的可用性，需要服务器能够长时间稳定。 可扩展性：选择服务器时，用户还应考虑系统的可扩展能力，即系统应该留有足够的扩展空间，以便于随业务应用增加对系统进行扩充和升级。可管理性：作为一个关键指标，可管理性直接影响到企业用户使用工业标准服务器的方便程度。售后服务：售后服务可以说是当今所有IT产品都重视的内容。其实，在选购服务器时，对售后服务内容的看重应该仅次于设备的可用性要求，因为较好的售后服务是对用户投资

35、的可靠保证。总体拥有成本：据统计，服务器产品的最初购买成本仅占长期拥有成本的17%。其余的83%由支持、维修、停机时间等同运行服务器相关的成本组成。所以服务器的高可靠性、易于安装、易于维护、易于修理和远程管理意味着更少的支持、维护和停机成本。服务器CPU选择在x86平台的服务器上，目前主流的CPU生产厂商只有Intel和AMD，所以选择CPU也只可能选择这两种。在最重要的处理器性能方面，由于处理器的架构一段时间内就会发生变化，所以不能简单的以某次测试结果为基准。在比较拥有相似的速度、功能和核心数量的处理器时，Intel和AMD的性能都近似。在各种不同测试工具及测试项中，得出结果也都不一。Int

36、el和AMD处理器在VMware ESX/Microsoft Hyper-V/Xen/KVM这些虚拟化技术主机里都工作得很好。由于Intel和AMD不断发布新的处理器系列，在选择时可参考以下准则。是否能加入已有集群在云计算承载平台建设特别是扩容时，选择服务器CPU时应该考虑到已有环境。一般来说目前服务器已经使用了某个品牌则在采购时应该尽量坚持使用已有品牌。这样做的原因是如果主机运行在不同的处理器上时，则在目前已有的虚拟化技术上不能从一台主机移动运行着的虚拟机到另一台，也就是所谓的动态迁移。例如，使用Intel处理器的虚拟机启动在一台主机上，如果在其运行时移动到使用AMD处理器的主机上，一般会崩

37、溃。如果决定使用不同品牌的处理器，处于兼容性考虑，最好将使用相同品牌处理器的主机隔离在分开的集群里。即使同一品牌的CPU，也需要注意是否能适用在同一个集群当中，在同一个集群中，最好使用同一代的CPU，单路、2路CPU及多路CPU的服务器应分开建立集群。是否支持基本的虚拟化技术Intel和AMD都在最新的处理器里集成了基本的虚拟化技术，分别是Intel Virtualization Technology（Intel VT-x）和AMD Virtualization（AMD-V），以加速虚拟服务器里的指令执行。x86指令集中，操作系统使用保护环（Ring）提供保护级别，以便于代码的执行。这些环（R

38、ing）以等级排列，从最高特权的（Ring 0）到最低特权的（Ring 3）。在未虚拟化的服务器上，Ring 0级别的操作系统能够直接调用服务器中的各种硬件资源。在虚拟化系统上，Hypervisor和虚拟机监控器（VMM）需要运行在Ring 0，因此虚拟机子操作系统必须在Ring 1里。由于多数操作系统必须运行Ring 0，VMM工具通过捕获特许指令和模拟Ring 0到子虚拟机，让子操作系统以为它运行在Ring 0。但这些操作会比较大地降低虚拟机的性能，因此Intel与AMD开发了Intel VT-x和AMD-V技术来解决此问题。这两种技术都整合在CPU里，使得VMM能运行在新的叫做Ring

39、-1的环里，这允许子操作系统依旧运行在Ring 0里。这种在CPU的扩展提升了性能。为了让虚拟主机能获取最好的性能，一定要选择使用这些虚拟化优化的CPU。在目前的服务器中，基本所有CPU都具有基本的虚拟化技术，但需要明确，在服务器的主板BIOS设置中同样需要有此项选择。是否具有最新的处理器的虚拟化扩展技术除了基本的虚拟化支持之外，在选择CPU时，应确保CPU具有最新的处理器虚拟化扩展技术，最新的处理器虚拟化扩展技术如下。不同代CPU之间迁移技术：对于云计算承载平台来说，一个必要的特性就是能够在无需停机的情况下，将运行中的应用或者说虚机在物理服务器之间进行迁移，即动态迁移。在迁移的物理服务器之间

40、，默认情况下需要相同系列的CPU才能进行正常迁移。举例来说，正常情况下，使用Intel 5500系列CPU的服务器与使用Intel 5600系列CPU的服务器之间是不能进行迁移的。当CPU具有比较灵活的虚拟化迁移技术技术后，可以实现基于当前处理器的服务器与未来服务器之间的无缝迁移，即使新的CPU可能包括增强的指令集也不例外。借助此项技术，管理程序能够在迁移池内的所有服务器中建立一套一致的指令，实现工作负载的无缝迁移。这便生成了可在多代CPU中无缝运行的更加灵活、统一的服务器资源池。内存管理单元虚拟化功能：x86架构的非虚拟化操作系统中，系统在由内存页表（Page Tables）来维护着逻辑地址

41、到实际物理内存地址的映射关系，从而起到保护内存位址，使得多个程序在内存中存取时不会互相干扰作用。当程序访问逻辑地址时，硬件则遍寻内存页表确定对应的物理地址。在每个处理器中都存在一个TLB（Translation Look-aside Buffer，页表缓存），主要用来存储逻辑地址到物理地址的转换表，负责将虚拟内存地址翻译成实际的物理内存地址。这样在CPU寻址时，不会直接在内存的物理地址里查找对应地址，而是优先在TLB中进行寻址，以此来加快内存寻址操作。物理机的内存寻址在虚拟化操作系统中，虚机也像物理机系统一样需要维护一份内存页表，另外，VMM还需要维护一层实际的内存地址（称为MPN,Machi

42、ne Page Numbers）到虚机的物理地址（也就是虚机认为自己的物理地址，称为PPN,Physical Page Numbers）的映射。在维护PPNMPN映射时，VMM能够维护虚机操作系统的内存逻辑地址（称为LPN,Logical Page Numbers）到MPN的映射，并将其映射放在TLB中，以加快内存访问的速度。也就是说，在虚拟机这一层面上，在进行虚拟化运算时，由于实际物理内存是被多个虚拟机共享，虚拟机访问的是虚机的物理地址而不是直接访问服务器的物理地址，之后还要进行物理地址和虚拟地址的转换，在此转换过程中，虚拟机每次退出时都要对内存页进行修改，如果性能不佳，必定会影响虚拟系统的

43、性能。当CPU具有内存管理单元虚拟化功能时，可加速从虚拟机地址到服务器物理地址的转换过程，节省传统软件虚拟处理方式的系统开销。AMD/Intel都提出了各自的内存页虚拟化机制，AMD称为RVI，NPT（Nested Page Tables），而Intel则称为EPT（Extended Page Tables）。增强的IO虚拟化技术：一般情况下，虚拟机监视器（VMM）需要直接参与每项 I/O 交易活动，这不仅仅会减缓数据传输速度，还会由于频繁的 VMM 活动而加大服务器处理器的负载。这种情况随着每台服务器上整合更多的虚拟机操作系统，数据进出系统的传输量（I/O 流量）增加而更趋复杂。现代的CPU

44、能够在芯片组和外设设备的协同下，实现增强的IO虚拟化技术，通过减少 VMM 参与管理 I/O 流量的需求，加速数据传输，消除了大部分的性能开销。其基本原理是通过使 VMM将特定 的I/O 设备安全地分配给特定的客户操作系统来实现。每个设备在系统内存中会有一个专用区域，只有此设备和其分配的客户操作系统才能对该专用区域进行访问。完成初始分配后，数据立即直接在客户操作系统和为其分配的设备之间进行传输。这样，I/O 流动将更加迅速，同时减少的 VMM 活动导致服务器处理器负载的进一步缩减。如果要选择Intel的CPU，应该要求CPU支持 VT-c技术。Intel VT-c技术可针对虚拟化进一步优化网络

45、，需要CPU和网卡同时支持此项技术。Intel VT-c技术包括以下两种技术：-虚拟机设备队列（VMDq）技术，可最大限度提高 I/O 吞吐率：在传统服务器虚拟化环境中，VMM 需要对每一个单独的数据包进行分类，并将其转送到发出请求的虚拟机中，这样在VMM层会消耗大量的CPU周期。而 VMDq技术使得此操作可由服务器中网卡上集成的专用硬件来执行，VMM 只需负责将已经预分类好的数据包组发送到发出请求的客户操作系统，这将较大地减缓 I/O 延迟，使处理器获得更多的可用处理周期来处理其他业务应用。-虚拟机直接互连（VMDc）技术，可大幅提升虚拟化性能：通过支持PCI-SIG 单根 I/O 虚拟化（

46、SR-IOV）标准，虚拟机直接互连(VMDc）可以使得虚拟机直接访问网络 I/O 硬件设备，从而显著提高IO性能。例如，通过单个万兆网卡，可为 10 个虚拟的客户操作系统各分配一个专用的1 Gb/秒专用链路。这些直接通信链路绕过 VMM 交换机，使虚拟的客户操作系统与网卡直接通信，可进一步提升 I/O 性能并减少服务器处理器的负载。对于以上技术来说，AMD与Intel都有相对应的技术，小结如下表：功能IntelAMD虚拟化基本功能VT-xAMD-VIO虚拟化增强功能VT-d/VT-cAMD-Vi内存管理器虚拟化功能EPTRVI电源管理功能SPMAMD-P增强的迁移功能FlexMigration

47、Extended Migration是否支持多核选择服务器CPU数量时，两个基本原则是：1、尽量选用2路以上服务器；2、尽量选用多核CPU。也就是说，关键选择是物理CPU（socket，插座）数量及CPU应该拥有的核的数量。正常情况下，虚拟化平台应该选用支持2路以上的CPU，也就是在一台物理服务器中至少支持2个CPU，越多路的服务器处理性能越高。当CPU为同一代时，使用4路服务器每台虚拟机的性价比比2路服务器性价比要高，也就是说相对来说4路服务器能比2路服务承载更多的虚拟机，但出于构建更灵活的集群目的，特别是有些2路服务器目前能够支持大内存的情况下，可以多采用2路服务器放在集群当中。在使用支持

48、多路CPU的同时，尽量选择多核CPU，多核CPU结合可以使得在虚拟化平台下可以同时为多个客户机系统提供并行的虚拟CPU服务。举例说，拥有两个四核心CPU的服务器就有八个处理器可用，它可以同时为7台单CPU的客户机提供并行CPU服务（VMM也需要单独的CPU）。取决于CPU的品牌和模式，这些核心有时候共享一个缓存，或每个核心有自己独立的Level 2缓存。多数虚拟化软件厂商通过计算一台服务器中CPU的插座（socket）也就是CPU的个数来计算销售许可，而不是通过每个插座拥有的核心数量，因此多核处理器最适合虚拟化。对于新服务器，多核CPU现在是标准要求。不过在考虑多核选择时，具体选择多少核也需要

49、根据应用来决定。以双核和四核CPU为例，首先CPU核数量的增加并不一定伴随着CPU时钟频率的增加。一个3.2GHz的CPU比1.6GHz的CPU快了一倍，但是四核的CPU不比一核的快四倍。一个双核的CPU几乎比单核CPU快50%而不是100%，四核的CPU可能只比双核的快25%。此外，双核的CPU一般比四核的时钟频率高。四核CPU产生过度的热量，导致频率没有单核和双核CPU高。此外，在某些情况下，双核CPU比四核更适合（例如，如果不打算在主机上运行六到八台虚拟机）。双核CPU更快的频率增加了虚拟机的运行速度。最后，如果计划给虚拟机分配单独指定的虚拟处理器，双核处理器是更佳的选择，因为拥有单个虚

50、拟CPU的虚拟机比拥有多个虚拟CPU的更容易让Hypervisor调度。一般来说，在虚拟主机使用四核或更多CPU出于两个因素。第一个是多数虚拟化软件通过服务器里的插座数量来判断授权数量，而不是所拥有的核数量。第二个因素是在主机服务器里拥有更多核心的话，当尝试调度由虚拟机发送的CPU请求时，给Hypervisor CPU调度带来更高的灵活性。拥有更多可用的核心使CPU调度工作更轻松，并且提升了主机上的虚拟机性能。Intel的CPU还支持Hyper Threading也就是超线程功能，超线程技术是在一颗CPU同时执行多个程序而共同分享一颗CPU内的资源。采用超线程技术能同时执行两个线程，但它并不象

51、两个真正的CPU那样，每个CPU都具有独立的资源。当两个线程都同时需要某一个资源时，其中一个要暂时停止，并让出资源，直到这些资源闲置后才能继续。因此超线程的性能并不等于两颗CPU的性能。虚拟化不一定非要采用支持超线程的CPU，因为使用超线程固然能够使得系统看起来能够使用更多的CPU，对性能有一定的提高（0-20%），但也有不好的地方，两个线程之间会对L2、L3缓存这样的资源进行争夺，有时候反而会导致性能下降。AMD和Intel在多核方面的功能支持小结如下表：功能IntelAMD双核5500系列无4核5500/5600/6500/7500系列4000系列6核5600/6500/7500系列400

52、0系列8核7500系列6000系列12核无6000系列支持超线程5500/5600/6500/7500系列无NUMA技术支持在Intel传统的对称多处理 (Symmetric MultiProcessing, SMP) 系统上，许多处理器必须竞争在同一系统前段总线上的带宽，使得高速CPU无法获得大量的内存带宽，无法发挥其处理能力。NUMA（Non Uniform Memory Access Achitecture）技术在x86架构中，是指使用高性能连接将多个小型节点连接起来。每个节点都包含处理器和内存，很像一个微型的SMP系统，但高级内存控制器允许某个节点使用所有其他节点上的内存。现在主流的虚

53、拟化软件对NUMA技术有着特别的优化，所以选购CPU时尽量选购支持NUMA技术的CPU。AMD的全线CPU支持NUMA技术，Intel的CPU在Nehelam系列CPU中也已经改变架构，实现了对NUMA的架构支持，在选择CPU时，需要标明CPU应该支持NUMA架构。服务器内存选择在云计算承载底层平台中，相对于CPU这样的计算资源而言，内存往往更容易先达到瓶颈，很多情况下当主机上还有大量的其他可用资源（CPU、磁盘、网络等）时，内存已经被耗尽，这就会限制在一台主机上放置的虚拟机数量。虽然现在大多数虚拟化软件有类似内存过量使用的功能，但是不建议在系统平台运行时将所有的物理主机内存消耗完，这样会比较

54、大地影响虚拟机性能。选择一台服务器的内存时，考虑两点，一是一台服务器能容纳的内存数量，或者说内存密度，二是内存类型。为了让一台服务器能够支持更多的虚机，多数情况下，应该要求一台服务器能支持更高的内存密度，也就是一台服务器具有更多的DIMM插槽，能支持更多的内存总容量。对于多数的4路服务器来说，服务器的空间比较大，一般能够放置比较多的DIMM插槽，对于2路服务器来说，应该要求至少有12根DIMM插槽。对于一台服务器安装内存大小，最小应该使用1:4的比值，但建议参考1:8的参数，即1个CPU的核配8G内存，举例来说，如果两路的6核服务器，建议配置的内存总数为2x6x8=96G内存。当然，还需要根据

55、具体应用和硬件配置确定，如果CPU运行频率较高，且应用对内存需求有时候较高（如有些测试部门测试如Sql Server等数据库应用时），可考虑1:12甚至更高的比率。内存类型主要由服务器所支持来决定，因此需要检查服务器规格或者使用服务器的在线购买指南确定能使用何种内存。另外还需要确认服务器上有多少个内存槽和内存是否需要成对安装。选择内存类型应注意单根内存容量大小、内存工作频率、是否支持纠错、是否为registered内存以及内存的Rank数目这些参数。如果价格在可接受范围内，最好使用目前能用到的单根最大容量的DIMM内存，否则可以根据服务器所需的总内存数量来定夺单根DIMM大小。容量较大的内存D

56、IMM（例如4GB或8GB）价格比容量小的更高，但是它们可以使用较少的内存槽以预留更多空间，方便将来扩展。一旦选择了DIMM容量大小，在后续扩容时请继续使用此容量。尽管在服务器中可以混用不同容量大小的DIMM模块（例如512MB、1GB、2GB、4GB等），但混插内存有可能会导致性能的降低。应选择工作频率高的内存。除了大小，基于内存模块的工作速度快慢，也有许多不同的内存类型。与CPU类似，内存也以工作频率来表示工作速度快慢，其频率主要以MHz为单位，内存主频越高，在一定程度上表示内存能达到的运算速度越快。内存主频代表着该内存最高能在何种频率下正常工作。目前最主流的内存频率为DDR2-1066和

57、DDR3-1333，作为DDR2替代者，DDR3内存的最高频率已经达到了3000MHz。不过要注意的是，更快的工作频率不代表能有更大的带宽。正常情况下，服务器能够支持的总内存带宽总有最高值，内存条数较少时，内存能工作在高频率下；当内存条数较多时，内存工作频率会下降。多数服务器能使用几个不同的内存类型，因此如果你能负担的话选择最快的内存。选择内存时，应该购买具有纠错功能的内存，目前内存纠错技术包括ECC、Chipkill等。为了保障服务器稳定运行，应尽量选择Registered的内存。一般内存条信号都是从DIMM槽直接通到SDRAM，也就是所谓Unbuffered。而Registered内存在内

58、存条上另加了Register芯片，让所有信号通过Register后再到SDRAM。加入Register芯片后，能够改善信号的质量，更好地同步信号。Registered内存可以较好地消除由于主板上信号质量不良而造成的内存不稳定。另外Registered内存更能支持较大的容量。另外还需要确认内存的Rank数目，目前服务器大多数使用的是双Rank的内存条，但如果条件许可，可尽量采用单Rank的内存。Rank是指在内存模组上的一个64位或72位内存区块（block），单Rank内存条将所有芯片合并到单个内存区块，而双Rank内存条将芯片分到两个内存区块中，增加了内存密度，通常情况下双Rank内存条会比

59、单Rank内存条便宜。在某些情况下，服务器的芯片组有可能只能支持特定数量的Rank，如果内存插槽里内存的Rank的总数量超过芯片组能支持的最大负载，则服务器有可能不能正常运行。单Rank内存使得服务器可使用到最大内存容量并达到最高性能级别，但成本相对较高。双Rank的内存更便宜，但限制了整个系统内存容量和未来的扩容选择。在多数服务器上，单Rank和双Rank内存可以混合使用（不过不建议这样做）。服务器网络设备选择服务器网络接口卡（物理网卡）设备是虚拟化部署的重要部件，选择网卡时考虑两个方面，一是网卡数量，二是网卡的技术特性。在网卡数量的选择上：取决于几个因素，包括运行的虚拟机数量、虚机的工作负

60、载、需要达到的冗余度、虚拟局域网（VLAN）配置以及是否使用基于网络的存储（NAS、iSCSI）。在选择服务器时，为了保证网络性能，建议平均每台主机至少需要四到六个物理网卡。虚拟机数量：正常情况下，主机上的虚拟机数量越多，服务器应该配置更多的网卡，因为每个虚拟机的虚拟网卡都会占据一定的网络资源与硬件网卡通信，所以硬件网卡越多，虚机间的资源竞争会更缓和。没有一定的比率确定多少个虚拟机需要配备一个物理网卡。网络工作负载：虚拟机的正常工作时的负载是决定物理网卡的最大影响因素。如果虚拟机工作负荷小，需要的物理网卡就少，负荷重，则所需物理网卡就多。但正常情况下，在目前的网卡硬件环境中，网络资源一般够用，