天津大学数据中心投标技术方案

一、项目需求分析项目概述根据天津大学新校区智慧校园的总体规划和建设要求，新校区IDC建设项目由硬件基础设施和软件支撑系统组成。前者包括两台核心交换机及20台接入交换机组成的大二层的网络资源、252个CPU的计算资源、约700T的存储资源及配套的存储网络；后者保证IDC内部的公共信息发布、公共服务和内部业务三大平台的功能实现，并提供运行、维护和管理功能。主要建设内容：硬件基础设施：包括网络资源、计算资源、存储资源＞网络资源建设包括两台核心、20台接入交换机的基础网络、数据业务层面的IP地址规划、VLAN划分、路由的配置、调试和优化；以及与新老校区、其他网络间的互联和调试。＞计算资源建设包括84片刀片服务器规模的虚拟化计算资源，以及满足数据库和管理系统需求的25台机架服务器资源。＞存储资源建设包括独立的存储网络和三套存储设备，存储网络(含FC-SAN和NAS)、异地双活系统、本地双活系统、数据备份存储的部署。软件支撑系统：包括云平台管理系统、服务器虚拟化管理系统、桌面云系统、数据备份系统、数据库系统的部署，以及相关的定制开发、调试、调优。L2项目整体架构新校区IDC的建设原则为：利用虚拟化技术，实现对计算资源、存储资源、网络资源及安全资源的统一控制、调度、灵活扩展，在保证高可靠性、高可用性的基础上，提高整个系统的利用率。IDC的架构如图1T所示，主要分为硬件和软件两个部分：硬件部分包括计算资源、网络资源和存储资源；软件部分主要是支撑管理系统，两个部分共同构成了公共信息发布、公共服务与内部业务三个逻辑平台基础。天津大学老校M天津大学老校区IDC天津大学新校区教仃网&”:联网天津大学老校M天津大学老校区IDC天津大学新校区教仃网&”:联网校园网络泉血有&多媒体教学网络基础业务(网管、DNS、邮件)小信息发布泉血有&多媒体教学网络基础业务(网管、DNS、邮件)小信息发布&核心数据库小公共服务平台内部业务平台公共信息发布平价支撑管理系统网络资源网络资源图1T新校区IDC整体架构图(1)IDC逻辑划分为三个功能区，每个区域有不同的安全策略，便于管理与维护。＞公共信息发布平台：提供公共网站、应用系统的运行，400台虚拟机规模。＞内部业务平台：用于内部核心业务的运行，包括核心数据库、云平台管理、网络运维、内部0A、认证计费系统、应用系统开发、数据备份等业务。＞公共服务平台：桌面云系统，提供办公和多媒体教学运行环境。(2)网络资源、计算资源、存储资源等关键节点均采用冗余设计，安全系统包含于网络资源。支撑管理系统对IDC内的计算、存储、网络、安全等资源进行虚拟化，并在此基础上实现对整体资源的分级分区、灵活调度及统一管理。。1.3需求分析1.3.1网络资源网络资源包括IDC基础网络和安全防护系统，各业务按照需求使用不同的网络资源和安全防护措施。基础网络基于高并发，高带宽，多业务的要求，基础网络采用虚拟化架构。两台核心交换机与4台万兆、16台千兆交换机构成了“核心-接入”的扁平化网络。图2T基础网络示意图(1)两台IDC核心设备通过双万兆链路与两台校园网核心设备交叉互联⑵新、老校区IDC间两路光纤2层交叉互联。(3)数据网、存储网(FC-SAN.NAS)、管理网三网独立，采用冗余设计。(4)16台千兆接入交换机用于内部系统互联，4台万兆接入交换机用于高性能业务接入，每台交换机与核心节点双万兆链路交叉互联。老校区IDC内容详见《天津大学信息与网络中心改造项目技术要求》。IDC安全(1)两台核心防火墙分别部署在新、老校区IDC,对业务进行纵向防御，同时保证每个业务平台间互访受到控制，防火墙互为备份，防止单点故障。(2)两台IDS用于公共信息发布平台的精细检查，预警攻击威胁，保护核心数据库和应用业务。(3)1台WAF用于网站类业务的专项防御，旁挂方式部署。(4)1台堡垒机用于公共信息发布平台的管理维护，为系统管理员、运维人员、代维人员提供灵活安全接入。路由、IP、Vian规划(1)路由设计路由协议设计主要包括防火墙与核心交换机、IDC与新校区校园网之间的路由设计。>防火墙与核心交换机之间的V4/V6协议均采用静态路由方式，增加路由信息的安全性和稳定性。>IDC与新校区校园网之间，使用静态路由协议作为IGP协议。IP地址规划IP地址规划遵循唯一性、连续性、扩展性、规范性和标准化的原则。IP地址规划总体采用公网和RFC1918私有地址相结合的使用方式。

＞设备互联地址和route-ID地址采用公网地址。＞投标方可根据要求，依据下列IP资源和地址划分表进行细化设计。地址资源：IPV4：-55-55-55-55-55IPV6：2403:ACOO:E000::/48功能区域应用IP地址要求地址容量要求公共信息发布平台对外服务虚拟机地址公网地址512公共服务平台桌面云支撑系统私有地址256桌面云由bras分配私有地址内部业务平台核心业务数据库公网地址128对外服务虚拟机地址测试开发公网地址512运行支撑系统私有地址1024运维管理部门公有地址256日常业务部门公有地址128信息管理部门公有地址128NAS网络私有地址1024设备互联防火墙、核心设备、校园网互联公网地址256

互通Vian规划>IDCVian划分主要基于区域、功能、部门的特征。>Vian范围在IDC内部有效，编号为1100-1300,同时保留老校区IDC的Vian2、650、655o>投标方应根据以下需求进行细化设计。功能区域应用VLAN范围公共信息发布平台对外服务虚拟机地址1100-1130公共服务平台桌面云支撑系统1131-1140桌面区1141-1150内部业务平台核心业务数据库1151-1160对外服务虚拟机测试开发1161-1200运行支撑系统1201-1220网管运维部门1221-1240日常业务部门1241-1260信息管理部门1261-1270NAS网络1271-1280设备互联防火墙、核心设备、校园网互联互通1281-1300网络子系统建设要求(1)所有网络和安全节点均为冗余配置，核心、接入设备为横向虚拟化、“多虚一”架构，避免复杂路由及生成树设置。(2)所有网络节点之间交叉互联(包括新老校区IDC之间互联)，所有计算节点通过双链路连接至网络节点。(3)虚拟机之间安全隔离，且安全策略不受虚拟机迁移(包括跨物理机迁移)的影响，保障系统整体的安全性。(4)防火墙具备虚拟化功能，可划分为多个逻辑防火墙，具备相互独立的管理帐户，每个逻辑分区可按照所属区域的实际需求，灵活分配防火墙的CPU和内存资源。(5)两台防火墙分别部署在新、老校区IDC,互为备份。(6)两个校区IDC间和内部网络具备抑制广播风暴、组播风暴的能力，防止数据风暴导致内部瘫痪。(7)利用负载均衡设备，优化内部关键业务的访问效率，对于密集访问应用如：用户认证计费系统、DNS、天大主页、办公网、招生网站、选课系统、正版软件下载等进行访问优化。(8)利用负载均衡、存储以及云平台的功能，实现用户认证计费系统、天大主页、办公网、招生网站、选课系统的应用级容灾。(9)利用WAF对网站类站点进行专项深度防御，有效防御注入、XSS、SSI指令、CSRF、HTTPFlood等攻击，且WAF具备防过载机制，不会因为流量超过处理能力成为网站访问的瓶颈。对防火墙、IDS、WAF等安全设备的日志进行收集、分析，监控、报告，可及时发现IDC中的异常情况，并能对流量和攻击趋势进行评估。核心数据库和公共信息发布平台的远程管理只能通过堡垒机进行，其余功能区域设备、服务器的远程连接需通过VPN功能实现。招标设备概览序号设备名称单位数量备注1IDC核心交换机台22IDC核心防火墙台2348口千兆接入交换机Za16448口万兆接入交换机Za45WAFA16IDS台27堡垒机台18模块个详见技术参数实配数值1.3.2计算资源计算资源承载着公共信息发布、公共服务和内部业务三个平台的计算需求,是所有信息、应用运算的基础，84片刀片服务器通过虚拟化实现计算资源的统一调度，5台高性能机架服务器和20台通用机架式服务器满足特定业务系统的需求。刀片服务器8片4路服务器,32片2路服务器，用于公共信息发布平台，满足400台虚拟机的并发需求。32片2路服务器，用于公共服务平台，满足1000虚拟桌面的并发需求。4片4路服务器，8片2路服务器，用于内部业务平台，满足100台虚拟机的并发需求。通用机架服务器20台2路机架式服务器，用于应用系统开发、运维管理系统等高性能机架服务器5台高性能4路机架式服务器用于核心数据库的运行,2台用于oracleRAC、1台用于dataguard,两台用于SQLServer。计算资源建设要求(1)所有服务器关键部件均为冗余配置，包括且不限于电源、风扇、网卡、HBA卡、磁盘等，需实现业务网卡和存储网卡双活。(2)4路CPU高性能机架服务器SAS磁盘为raidlO模式、2路CPU通用机架服务器磁盘为raidl模式，刀片服务器磁盘为raidl模式。(3)在保证数据、存储、管理三网独立的前提下，服务器需要具备一块单独的网卡(逻辑或物理)用于连接NAS网络。招标设备概览序号设备名称单位数量14路CPU刀片服务器刀1222路CPU刀片服务器刀7232路CPU机架式服务器台2044路CPU机架式服务器51.3.3存储资源总体要求系统采用FC-SAN+NAS的统一存储架构，实现数据的集中存储，并有效降低存储运维成本。存储设备的选配应满足先进性、安全性、可扩展性、可靠性、节能性的要求。老校区IDC内容详见《天津大学信息与网络中心改造项目技术要求》。新校区IDC老校区新校区IDC老校区IDC图2-2存储网络拓扑图存储设备按照用途分为3个部分：云存储资源：内部业务平台、公共信息发布平台和公共服务平台共用1套大容量统一存储系统，裸容量》480TB,为本地双活架构，部署在新校区IDC,其中：公共信息发布平台裸容量2100T内部业务平台裸容量2100T公共服务平台裸容量2280T。核心存储资源：核心数据库专用1套存储系统，裸容量240TB,异地双活架构，采用NAS+FC-SAN统一存储架构，分别部署在新校区和老校区的IDC机房中，实现异地数据业务连续性。备份存储资源：大容量高密度存储系统，裸容量2180TB,,用于数据库、虚拟机、非结构化数据备份的存储。存储网络分为FC-SAN网络和NAS网络，两张网络独立成网

新校区IDC核心存储资源IIII—HI异地双活老校区IDC备份存储资源本地双活新校区IDC核心存储资源IIII—HI异地双活老校区IDC备份存储资源本地双活云存储资源，本地双活III III——■■III—Mliiiiiiiiiiiii图2-3存储功能示意图存储子系统建设要求(1)除备份存储资源外，存储节点均为NAS和FC-SAN连接，FC-SAN连接每节点带宽28Gb,NAS连接采用千兆或者万兆以太网方式。NAS网络封闭在IDC内部，服务器用专用网卡连接NAS网络。FC-SAN节点需采用冗余设计。(4)存储系统必须支持动态扩容、动态空间扩展/缩小、在线微码升级，以适应灵活的在线扩容和升级的需要。(5)云存储资源、核心存储资源具备重复数据删除和数据压缩功能，云存储资源同时具备存储虚拟化功能。(6)核心存储资源＞将Active-Active双存储控制器分别部署到新、老校区IDC中，双控制器部署最远支持距离应不小于40公里；同时要求将存储系统中的SAN和NAS数据自动存放在两个校区中的不同的磁盘扩展柜中，保证两份镜像数据严格的物理隔离，实现数据在两个校区之间RPO=Oo＞新老校区IDC间所有的SAN、NAS数据实时镜像同步，一份数据同时写入到两端存储设备，任何一端存储设备故障，业务依靠存储设备自身功能自动平滑切换至对端存储设备，不影响前端业务连续性。(7)云存储资源：＞本地双活架构，两个控制器部署在不同机柜，实现故障自动切换，不影响前端业务的连续性，达到数据在两个机柜之间RTO=O,存储设备在两个机柜之间切换时前端业务无感知。＞对部分关键数据进行镜像保护，在两个机柜之间保证镜像数据严格物理隔离，镜像数据依靠存储设备自身功能实现数据自动实时同步,数据在两个机柜间达到RPO=O,任一存储发生故障对于关键业务连续性没有任何影响＞对于文件类型的数据采用专业的NAS文件系统，满足非结构化数据存储的需求。＞网站中非结构化数据使用NAS方式存储，每个独立网站的数据均存储在独立的数据卷中(要求大容量统一存储至少支持100个以上卷空间)，并采用数据快照方式实现数据快速保护，每个卷支持200个以上基于时间点的数据快照，可迅速恢复快照数据。＞每个业务平台的存储分区可以独立管理，分区之间保证严格的安全隔离，互不影响。(8)备份存储资源＞为大容量高密度8GbFC-SAN存储设备，整套存储放置于新校区IDC机房内。(9)学校上网认证计费系统位于机房1层，需要连接到机房2层的云存储资源存放数据，1、2层机房之间已具备光纤条件。招标设备概览序号设备名称单位数量备注1云存储资源套1N480T裸容量2核心存储资源套1240T裸容量备份存储资源套12180T裸容量348口FC交换机64台24端口激活2台全端口激活1.3.4软件支撑系统主要包括云平台管理软件、服务器虚拟化软件、桌面云软件、数据备份系统、数据库软件。云平台管理系统要求(1)云平台需满足500台虚拟机的管理能力。(2)云平台管理系统自身具备冗余机制。(3)应提供图形化的管理界面。IDC三个业务平台之间实现资源的统一管理，对计算、存储、网络、安全资源动态调度、适应业务需求。(5)对用户、管理员组织结构进行自定义，赋予其不同的权限，实现分级管理，适应学校的管理要求，帐户分级23(超级管理员、管理员或VDC管理员、用户)。(6)系统可创建若干逻辑的IDC(VDC),每个VDC资源共享，管理独立，可制定VDC内部的网络拓扑和安全策略，不同VDC资源及用户之间安全隔离。服务器虚拟化系统要求(1)虚拟化软件采用裸金属架构。(2)虚拟机之间内存相互隔离，互不干扰。(3)支持完整的虚拟机生命周期管理，提供虚拟机的创建、启动、暂停、恢复、休眠、重启、关闭、关闭电源、修改、删除等功能。(4)具备动态资源调度和扩展功能。桌面云系统要求桌面云系统主要服务于学校的办公与多媒体教学业务：(1)用户数量22000,并发用户数21000。(2)桌面系统管理组件自身具备冗余机制。(3)交付方式：Windows桌面系统交付(桌面的操作系统不在本次集成采购项目内)，支持预先批量建立桌面，用户可个性化定制桌面，安装软件。(4)具备友好的用户界面和门户，根据用户应用特点进行内容定制及修改。(5)具备自有桌面连接协议或同等功能客户端软件，优化视频播放效果,1080P视频流畅度225帧/秒，同时支持本地外设(例如打印机、U盘)的远程调用。(6)云桌面支持多种类型胖、瘦客户端及主流移动终端的接入。(7)具备分级分组用户管理，满足学校不同部门自助分配、管理桌面的要求，帐户分级23(超级管理员、管理员、用户)，超级管理员可管理所有资源和桌面，管理员可管理指定范围内的资源和桌面。(8)支持把分散运行的桌面集中到几台物理机上运行，其它物理机进入休眠状态。图2-4数据备份系统示意图(1)数据库备份：＞满足5节点OracleRAC数据库、1个MySQL数据库、2个MSSQL数据库的备份需求，配置为数据块级别的源端数据重删，LAN备份架构。＞5节点的OracleRAC数据库以RAC模式配置备份软件，具备RAC

节点故障自动切换功能；Oracle备份需具备表级恢复功能。＞全中文图形化，无人工输入脚本配置、备份、恢复数据库。＞实现备份作业中断后，可断点续传。(2)虚拟机、文件备份：＞支持通过光纤SAN网络传输数据备份；使用无代理备份机制。＞具备CBT或类似技术，提供高效备份。＞具备虚拟机整机、虚拟机vmdk磁盘文件\vrnx文件、虚拟机内文件\文件夹的细颗粒度恢复功能；＞虚拟机自动发现和自动保护功能。＞在同一软件界面中实现备份、恢复、配置管理，操作过程中文化，无需脚本编辑、粘贴操作。＞实现备份作业中断后，可断点续传。(3)管理维护要求：＞满足多部门使用的需求，划分详细的管理权限，用户具有独立的账号，用户间备份任务和管理任务相互隔离；超级管理员可管理所有备份。＞具有中文报表及报警功能，可以发送所有备份节点状态的信息,包括备份结果、数据增长、存储使用、备份失败等信息。数据库软件Oracle数据库，配置RAC及DataGuard功能。招标软件概览序号设备名称单位数量备注1云管理平台套1套500虚拟机管理授权2服务器虚拟化套96CPU授权3云桌面系统套1000在线用户授权总用户20004数据库软件套1Rac、dataguard

5数据备份平台Orac1e备份个配置为5节点RAC集群模式Mysql备份个备份1个Mysql数据库MSSQL备份个备份2个MSSQL数据库虚拟机备份套备份500虚机不限大小应用文件备份个备份22台服务器文件重复数据删除套1提供所有备份数据的重复数据删除。二、天津大学云平台方案规划较之传统的数据中心，云计算中心的运营管理更为复杂，要求也更高。云计算中心的运营管理解决方案必须能够高效的、自动化的管理云中的资源，并完成服务的快速交付，并且必须有服务质量保证措施，因此，云平台的管理解决方案非常重要，云计算中心运营管理解决方案的好坏影响着天津大学云管理平台是否可按预定目标正常运转、是否可以取得预期的收益。在传统的数据中心管理解决方案中，人们已经总结出了很多的经验，形成了较多的管理系统，而企业级云计算中心更重视动态化、弹性化的特征，因此，企业级云计算中心管理方案必须在如何实现动态变更等方面有更多的关注。良好的管理解决方案带来的数据中心自动化技术可以大大降低数据中心管理的难度，大幅度提升业务敏捷性、提高服务质量，并获得更好的成本效益。云平台管理系统主要进行系统资源的服务化、实现资源快速部署与按需分发、用户资产租赁服务、系统全局安全保障等。借助云平台管理系统，可以构建易于管理、动态高效、灵活扩展、稳定可靠、按需使用的新一代云计算中心。2.1云计算平台整体架构下图为面向天津大学云平台架构总体模块示意图：

服务交付层用户接入区InternetCloudPlatform云管理平台配皙管理 用户管理 安全管理 调度管理资源管理 服务管理 镜像管理服务交付层用户接入区InternetCloudPlatform云管理平台配皙管理 用户管理 安全管理 调度管理资源管理 服务管理 镜像管理 模板管理云集控管理平台云系统逻辑架构示意图图示中，各模块描述如下：＞硬件资源层包括服务器、存储系统和网络等物理资源。＞虚拟化层是通过虚拟化技术实现包括物理计算资源、存储资源、网络资源的池化管理，为云管理平台提供标准化的虚拟化后的逻辑资源。逻辑资源提供更好的可扩展性、可分配性和可调度性。＞云管理平台层(laaS)是虚拟化后的逻辑资源管理、分配、调度、监控、计量的平台。通过CloudPlatform云管理平台统一对虚拟化的服务器、存储及网络进行统一管理，提供了针对逻辑计算资源、逻辑存储资源和逻辑网络资源的监控、管理和调度功能，实现逻辑资源的自动化管理，实现多租户化的按需资源分配，为用户门户和管理层提供了按需分配的引擎。＞DaaS(桌面/应用即服务)部分主耍面向终端用户的桌面/应用程序的交付服务，通过DaaS为用户提供虚拟桌面服务，支持用户通过任意终端设备、随时随地接入实现灵活高效办公、教学，DaaS构建在laaS基础上，通过在laaS上部署用户的桌面/应用程序，通过CitrixHDX高清用户体验协议最终将用户的桌面/应用程序交付到用户的终端设备上。＞服务交付层是云平台的用户门户。对于使用云平台服务的终端用户，他看不到也不需要了解物理或逻辑资源层的构成和虚拟化管理平台层的运作。他只看到虚拟化的资源，使用虚拟化的资源，使用云平台提供的服务。服务交付层按照天津大学的数据中心需求，从逻辑上分为公共服务平台、内部业务平台、公共信息发布平台三个功能区。其中公共服务平台提供桌面云服务，提供办公和多媒体教学运行环境；内部业务平台用于提供内部核心业务的运行，包括云平台管理、网络运维、内部OA、认证计费系统、应用系统开发、数据备份等业务：公共信息发布平台提供公共网站、应用系统的运行；＞云集控管理平台：云集控管理平台负责管理本项目范围内的各类IT资源系统或设备,接收并执行来自虚拟桌面、应用业务的指令，根据指令完成资源部署、资源操作、资源巡查等任务，收集整理资源计量信息，为本项目的管理人员提供系统配置、管理门户等必要的管理功能。＞用户接入区（客户端层）：用户可以通过各种PC、笔记本、瘦客、平板电脑等智能终端，无缝地访问云平台中的虚拟桌面和各种资源。通过云平台的虚拟桌面，会让教学资源和环境的访问更快捷更安全，减少了对终端设备和带宽的依赖性，增加了访问的灵活性，更好的落实天津大学云平台的发展战略。2laaS云管理平台子系统逻辑架构云计算平台具有服务器虚拟化功能、资源管理与分配功能，能够使用户快速地获取虚拟化平台中的资源，所有的用户通过云管理平台可以实现自服务，最终用户根据权限，可以在云计算平台之上创建和使用虚拟机，减轻了管理员的管理难度，提高工作效率。针对天津大学众多业务系统，在构建云计算平台之初，抽象出多种基础组件（如Linux虚拟机、Windows虚拟机、中间件服务器）等，在云计算平台中把基础组件均定义为模板设备，用户登陆云计算平台后，可以按需申请所需的基础组件，快速搭建所需的应用系统，并实现统一监控与管理。由于云计算平台完全实现用户自服务，除了管理员对用户提出的资源申请进行批准之外,用户的一切操作均靠自己完成，无需其他人员干预，极大提高了工作效率。云平台可以调用服务器和存储等设备的各种接口，统一整合服务器和存储资源，构建灵活高效、可扩展的云系统平台；在云计算解决方案中，云管理平台是核心，同时还是企业级云计算中心的运营核心。云管理平台的逻辑拓扑图如下：从逻辑架构拓朴来讲，云计算平台主要分为三大部分，分别由云计算管理中心，云计算服务中心，组织机构用户组成。云计算管理中心：包含云平台管理服务器，数据库等即CitrixCloudPlatform系统云计算服务中心：包含服务器虚拟化系统等，本方案将主要采取CitrixXenServer实现服务器虚拟化，CitrixCloudPlatform支持多种服务器虚拟化产品，如VMwarevSphere.RedHatKVM等，其他厂商服务器虚拟化产品将来也可以很方便的融入到现有的云平台架构中。组织机构用户：即数据中心管理员、各院系信息化管理人员和最终用户，他们通过统一的自助化门户维护自己租户环境下承载的各类业务系统2.3DaaS桌面云平台子系统逻辑架构DaaS桌面云平台利用Citrix桌面虚拟化技术，为用户提供一个集中管理的标准化虚拟桌面环境，满足多媒体教学、教师备课、教学科研、办公等等任务。DaaS桌面云平台子系统逻辑架构图如下:桌面云平台构建在laaS云管理平台基础之上，充分利用laaS平台的安全、稳定、高效的计算优势，数据、应用程序、桌面实现集中管理和运维，用户无论在内网或外网都能够实现灵活的接入访问2.4云计算平台部署示意图统一存储架构统一存储架构如上图所示，在本项目的天津大学数据中心内，应用系统按要求在云计算基础架构平台上进行规划部署，在同一安全域中同类应用的计算存储资源应组成资源池统一提供服务,实现按应用需求对池化资源的逻辑独立使用。从物理架构拓朴来讲，云计算平台主要分为三大部分，分别由云计算管理中心，云计算服务中心，云计算的存储中心组成。三、天津大学云平台各子系统功能详述本节将主要涉及云计算中心项目的主要子系统。服务器云/操作系统云子系统层服务器云是整个云计算平台的最核心部分，所有云计算平台中的功能及子系统都是依赖于服务器云来实现的。它既包括硬件服务器和底层操作系统部分，同时又包括云计算平台中的虚拟机超级监督器功能，是运行虚拟系统/功能服务器系统的底层基础平台。服务器云主要由硬件服务器（工业标准服务器）和VirtualizationHypervisor（服务器虚拟化层）及操作系统组成。通过Citrix云计算平台管理软件，实现所有服务器整合为一个统一的云计算服务器平台，抽象出统一的硬件资源，包括CPU资源池、Memory资源池、Network资源池、Storage资源池，任意云都可以按需在统一资源池中获得硬件资源并运行。这里，服务器虚拟化将以CitrixXenServer为例分析。构建服务器虚拟化以标准三网分离为指导原则，三网，即管理网，业务网，存储网。示例如下:

FCSAN存储系统架构示意图CitrixXenServerResourcePoolXenServerHostlFCSAN存储系统架构示意图CitrixXenServerResourcePoolXenServerHostlXenServerHost(n-l)XenServerHostn存储网以FCSAN为例，虚拟化物理服务器配置双HBA卡，或双口HBA卡，通过multipath多路径技术跟存储网相连并实现链路冗余。管理网以双网卡绑定实现管理网高可用。生产网以双网卡绑定实现生产网高可用。XenServer体系架构XenServer内部的体系架构如下图所示:XenServer体系架构我们分别对图中XenServer体系架构中的不同组件作一一的介绍：ControlDomain（或称为Domain0）是一个Linux虚拟机，对硬件而言，具有比来宾操作系统更高的优先级。ControlDomain管理所有来宾VM的网络和存储I/。，而且由于它使用的是Linux设备驱动程序，所以能广泛支持各种物理设备。Xen虚拟机管理程序（Hypervisor）是运行于硬件上的一个软件薄层。Xen提供一个允许每台无力服务器运行一台或多台“虚拟服务器”的抽象层，有效地将OS及其应用程序与底层硬件分离开来。C.硬件层包含物理服务器组件（包括内存、CPU和磁盘驱动器）Linux虚拟机，其包括半虚拟化内核和驱动程序。通过ControlDomain访问存储和网络资源，通过硬件上的Xen访问CPU和内存。Windows虚拟机，其使用半虚拟化驱动程序通过ControlDomain访问存储和网络资源。Xen经过设计可以充分利用IntelVT和AMD-V处理器虚拟化功能。硬件虚拟化可实现Windows内核的高性能虚拟化，而无需使用传统的仿真技术。■除了XenServer本身，XenServer系统的整体管理构架也是整体解决方案的特色之其整体管理构架如下图所示：资源池5XenCenter国310S资源池5XenCenter国310S嗝-XenCenterXenServerEnterpriseEdition4.0及以后的版本中引入了资源池的概念。您可以借助资源池将多台虚拟化服务器作为单个实体进行管理。只需在一个位置执行认证，而不需要登录到所有的XenServer。所有的服务器共享通用的网络和存储框架，从而方便使用自动VM放置和XenMotion等功能。资源池采用主/从服务器管理模型，并会将所有池配置数据复制到所有从属服务器上。这种配置可确保在主服务器发生故障时不会引起任何致命的故障。XenCenter作为图形化的管理控制台来集中管理XenServer服务器、虚拟机和资源。XenCenter可以连接到多个服务器和资源池，且多个XenCenter可连接到同一个服务器或资源池。3.1.2XenServer主要功能作为思杰端到端虚拟化解决方案的一部分，XenServer服务器虚拟化系统可有效提高数据中心资源可用性和利用率，使您的数据中心能更灵活、更迅速地响应不断变化的业务需求。表是XenServer6.2版本的主要功能及特性列表：企业级性能和可扩展性“裸机”运行 CitrixXenServer直接运行在服务器硬件上，而不是运行在单独的宿主操作系统上，因此能提供最佳的性能和可扩展性。硬件虚拟化协助 利用Intel和AMD处理器的最新硬盘虚拟化技术实现高性能，甚至在运行不具备虚拟化功能的操作系统时也同样能提供这些好处。

XenServer工具捆绑式I/O的增强功能帮助Windows及Linux虚拟机优化硬盘和网络性能。本地64位架构64位Xen系统管理程序的设计原则是支持32位和64位虚拟机，从而支持更多种类的工作负载例如MicrosoftExchange和MicrosoftSQL服务器等64位工作负载所需的大量内存。SMP虚拟机在每个虚拟机内支持多达16个虚拟CPU以部署处理器密集型应用，如消息中间件和数据库服务器，并充分利用了多核处理的高性能。对XenApp的优化由于CitrixXenApp软件的加入，XenServer为XenApp进行了得到了进一步优化，性能大大提升，吸引了从而能承载更多虚拟机系统和更多用户，并实现了更快的响应时间。每个虚拟机128GB系统内存针对内存密集型工作负载提供服务器级虚拟内存容量。轻松部署和安装灵活的产品安装程序可以通过CD安装，或者使用基于PXE的网络引导，还可以使用带有远程CD或者ISO访问能力的服务管理进行安装。轻松的虚拟机部署使用CD或DVD.ISO镜像或者可网络访问的文件都可以安装Windows及Linux虚拟机。虚拟机可转换为复制安装的模板。广泛的硬件支持利用标准的Linux设备驱动程序和优化的虚拟机驱动程序为广泛的设备提供支持，而无需以牺牲性能为代价。广泛的本地存储支持支持广泛的本地存储方案，包括IDE、SATA、SCSI和SAS。集中的安装介质池建立支持NFS或CIFS协议的共享空间，统一放置虚机安装介质，支持远程的介质安装。灵活的共享基础架构CPU颗粒化控制可将虚拟机指定在某几个CPU上运行，指定占用CPU核的份额，指定CPU占用的优先级支持异构CPU的虚拟化资源池在异构CPU的虚拟化资源池中实现在线迁移和HA,支持NUMA技术。服务器和存储资源的统一管理将多个服务器和连接的共享存储作为统一的资源池进行管理，基于资源需求和业务优先级实现了虚拟机的灵活部署。通过XenMotion实现实时迁移可以将虚拟机从-台服务器迁移到另一台服务器来实现零宕机时间的服务器维护，而不会导致业务中断。系统管理员能够移动应用以充分利用可用的计算能力。基于资源池的配置可以在资源池级别自动配置和应用常用的设置，简化了重新配置过程。按需部署虚拟机模板可以将虚拟机转化为模板，在服务器或资源池上对多个类似的系统进行快速配置。采用本地或者NFS文件存储，就可以在几秒钟内克隆出新的虚拟机。输入/输出可以通过输出方式远程使用虚拟机，还可以对虚拟机进行存档，通过输入方式使其作为灾难恢复站点。很多其他虚拟化解决方案供应商也支持XenServer兼容格式，可以直接进行输入操作。

P2V工具可以将Windows操作系统从物理系统迁移到XenServer虚拟机上。（思杰技术合作伙伴提供用于其它操作系统P2V迁移的工具，欲了解详情请参见网站上的信息。）虚拟机迁移工具帮助物理服务器工作负载（操作系统、应用和配置）向XenServer虚拟基础架构的转换，实现了从物理机向虚拟机的轻松过渡，支持VHD,OVF,VMFS等格式。克隆支持快速克隆和全拷贝克隆两种方式复制虚拟机。动态的虚拟化资源调整虚机资源调整支持Linux系统的CPU、虚拟网卡及虚拟磁盘资源增加，支持Windows系统的虚拟网卡及虚拟磁盘的资源增加，支持CPU、DISK及网络的QOS。动态内存控制通过设定虚拟机内存动态使用的上下限，结合虚拟机静态设置值，动态的管理和调配内存。动态负载均衡基于预定义的规则控制虚拟机的启动，根据整个资源池的资源使用情况，自动的在线迁移和调整虚拟机的运行位置，生成资源使用报告和报警。动态电源管理根据系统运行的情况在系统闲置时间自动休眠，在需要时自动唤醒，以达到节能减排的目的本地保护及业务连续性自动的高可用性资源池可以配置自动的高可用性保护功能。这样，故障主机上的虚拟机可根据优先级和资源可用性在另一台物理服务器上自动重启运行。容错支持多VCPU大内存（2G以上）虚拟机容错配置，实现零宕机服务切换，（与MarathoneverRun集成）灾难恢复通过StorageLinkSiteRecovery支持自动的BCP工作流和远程SAN存储复制的集成式灾难恢复功能。可将整个资源池快速迁移到另一个物理站点，并保障业务的持续运行，其间只会出现短暂中断。冗余网络冗余网络链路（经由NIC连接）通过支持active/active模式的NIC聚合、允许充分利用所有可用带宽，并同时维护冗余链路，可确保业务的连续运行和网络可靠性。磁盘快照及内存快照Xenserver支持基于磁盘的快照和回滚，同时也支持基于内存的快照及回滚技术来保证交易的完整性。在原快照的基础上，Xenserver还支持多分支的连续快照以最大限度的保证业务连续。自动保护和恢复基于规则执行有计划的快照和归档，以防止虚拟机故障和人为错误，不需要第三方备份软件的支持，可支持自动的虚拟机备份到文件服务器或NAS。可备份虚拟化平台的配置，出现配置错误时可恢复强大的存储管理功能共享的iSCSI和NFSNAS存储与IP网连接的存储可以作为共享池来配置，硬盘资源可以从该共享池分配给虚拟机，使存储基础架构的利用率最高。专用的光纤通道和iSCSI网络存储中央SAN存储资源可以分布在多个服务器上。优化的File-Backed虚拟硬盘储存在专用文件系统或NFSNAS存储上的虚拟机使用经实践检验的MicrosoftVHD格式，实现了精简配置和快速克隆的透明接入。

集成式多路径支持可在XenCenter中配置的光纤通道和iSCSI多路径I/O支持能力，确保可为光纤通道或iSCSI提供冗余存储链路，防止服务中断。本地存储服务适配器XenServer管理接口界面（包括NetAppDataOntap和DellEqualLogic适配器）自动访问各种经优化的存储服务，包括快速克隆、瘦配置、屏幕快照和副本删除等。高级存储管理XenServerStorageLink通过SMI直接管理存储，并通过带外的快照、克隆、Thinprovisioning等存储技术快速实现数据拷贝，提高了存储利用性能，简化了存储的管理。StorageLink通过即用即分配的方式保证空间的有效利用。大存储LUN支持支持2T以上的单个存储LUN作为虚拟机存储空间SANBoot支持SAN启动，并支持多路径下的SAN启动。内置的HBA支持支持内置的BrocadeHBA卡驱动和FCOE,支持多HBA卡。高效安全的虚拟网络虚拟网卡（NIC）每个虚拟机可以配置一个或多个虚拟网卡，虚拟网卡各有其自身的IP和MAC地址。虚拟机看起来就如同网络上的独立物理系统。虚拟交换机虚拟网卡可以与实现网络隔离的虚拟交换机连接。每个虚拟交换机都能通过物理网卡连接到物理网络上，或者也可将其配置为全虚拟网络，为专用虚拟机到虚拟机的流量提供与内存相媲美的速度。分布式交换机通过分布式交换机，用户可统一创建和管理一个多租户、隔离的和灵活的网络，并为虚机提供一个安全和基于状态迁移的环境，对虚拟化网络端口具有无限的支持，根据虚拟机和物理资源的使用可任意增加虚拟端口的数量VLAN支持虚拟机可以与单独的VLAN绑定，从而将虚拟机之间的流量与其它物理服务器的流量相隔离，降低网络负载，提高安全性和简化重新配置过程。虚拟网络安全控制可实现在无VLAN设置的条件下，控制在同一物理主机上和不同物理主机运行的虚拟机之间的各种协议的访问，支持虚拟化环境下的RSPAN,支持IDS/IPS的连接，虚拟交换机管理端的失效不影响分布式交换机的运行。虚拟网络监控和流量管理支持netflow在虚拟化环境下的流量分析，查看并监控虚拟网络资源的使用情况，并以仪表盘，数据报表和实施数据及图线的方式监控虚拟网卡、物理网卡、虚拟交换机的流量、协议及应用的流量使用，支持对网络资源的QOS控制XenCenter管理无单点故障的简单易用的虚拟化管理使用统一的XenCenter工具进行管理，且虚拟化管理端的失效不影响虚拟化平台的运行，包括如虚拟机的迁移、动态负载均衡、对ISCSI存储的配置，分布式交换机运行等。全VM生命周期管理系统管理员可以在任何地点安全地创建、启动、终止、重新启动、暂停、恢复、迁移和卸载虚拟机，以及重启和关闭物理服务器。性能监控和趋势分析通过资源池全新的持久性能统计数据，可对虚拟机性能和服务器总体性能进行实时的监控和图形化趋势分析，包括CPU、内存、磁盘1/。和网络I/O。资源管理XenCenter提供轻松的服务质量控制，允许配置CPU、内存、硬盘和网络I/O的使用优先级和限制条件。灵活的控制台支持系统管理员可以通过内置的图形界面或本地WindowsRDP协议连接到

Windows虚拟机，并直接从XenCenter接入Linux虚拟机的图形与文本控制台O配置和故隙提醒实验室管理及自服务针对配置的潜在性不利更改以及主机故障，XenServer提供了电子邮件和XenCenter提醒功能。通过预定义的工作流，使应用的负责人通过自服务的形式开发、维护和交付虚拟化资源，以降低成本和提高效率。管理一体化和创建脚本的接口XenAPIXen管理的开放式XML-RPC接口让合作伙伴和用户能够将虚拟机管理整合到他们自己的系统中，XenCenter使用的也是这套XML-RPC接口。XenAPI语言绑定C、Python和C#语言库为开发人员提供灵活性。远程命令行界面“xe”命令行界面运行在可控的XenServer或者各种Windows或Linux系统之上，并为基于属性的管理会话以及脚本整合提供功能强大的工具。安全管理基于角色的访问控制及审计基于角色的访问权限设置和分配，可与AD集成统一用户的管理。基于角色的行为审计生成用户行为审计报告，审核用户行为的合法性。软件许可管理集中的软件许可管理建立集中的软件许可服务器统一软件许可的而管理。3.2存储云子系统存储云位于云计算中心的最底层，属于云计算中心的子系统，主要提供整个云计算平台的数据存储及处理，由通用的SAN存储设备构成。由于云存储系统对数据访问的速度要求较高，一般情况下，在存储云层的架设过程中会需要数据中心专用的高速交换机，以保证数据高速访问的需求。存储云存储云子系统示意图存储云存储云子系统示意图存储云支持FCP、OCFS/NFS,iSCSI等方式连接到服务器云计算子系统，提供灵活的可扩展的存储空间，由于采用开放标准协议方式连接，具有无线可扩展性，支持按需在线增加存储设备，按需在线增加到存储云子系统，方便于未来云计算平台的容量扩展。在云计算平台中，可以把整个存储云子系统当作一个存储子系统加入到一个云计算资源池中心。在未来云计算扩展中，如果按区域或功能划分多个独立的云计算资源池中心，存储云也可以灵活地划分成多个子存储云，分别分配给不同的云计算资源池中心。保证的不同的数据中心数据的安全性与隔离性。存储子系统A一_[f、存储云存储云子系统示意图存储云中数据主要分为三个区:第一区一映像文件存放区主要用来保存云计算平台中的分配的虚拟机的映像数据文件，这些映像是在云计算平台的数据中心内是透明且可见的，以确保云计算平台中每个运行的云都具Failover（失败切换）功能和按需在线迁移功能：第二区一功能服务器模板仓库主要用来集中保存功能服务器模板，用户可以通过云计算管理平台直接从模板库中方便选取功能模板，并在云计算平台中部署，部署后的云的映像文件放入第一区中;第三区一计算数据区主要用来进行实际应用数据存放，为实际云计算提供扩展存储功能，如做为操作系统的扩展存储文件系统，或数据库数据存放系统，或应用计算用数据区，构建应用HA共享数据区等等；耀赞噱翳存储云数据分区规划图整个存储云是为云计算平台提供数据可靠性服务的，所以其合理性划分及可靠性至关重要，所以在存储云的划分上可以采用多种措施实现其可靠性要求。首先是磁盘的划分，可以采用性能最好的RAID5+1的方式进行划分，保证其中任意一块磁盘的损坏都不会影响整个平台的运行及数据丢失，同时RAID5又保证数据在读写的时候以并行方式进行存取，从而保证最高性能。其次是链路备分，最可靠的方法是采用双链路方式进行连接，配备两个光纤存储交换机，通过服务器的两块HBA卡分别连接不同的交换机，同时通过CitrixEnterpriseLinuxServer系统设置MultiPath多路径方式，每个链路的失效，也不会中断通讯,从而保证了存储及数据的可靠性。

服务彳双链路多路径存储连接示意图服务彳在云计算平台中，存储云的加入是由云平台维护系统管理员进行的，完成对云计算平台中的数据中心划分后，通过Citrix公司云计算管理平台就可以加入存储云子系统到云计算平台中，选择标准的连接协议后，Citrix云计算平台会自动地发现存储，系统管理员选择自己需要的存储区域(已完成基本分区及文件系统的划分与格式化)，加入到数据中心就变成云计算平台可用的存储云系统。3.3云计算laaS管理平台子系统(CloudPlatform)CitrixCloudPlatform云计算管理平台提供所有的管理功能，包括从裸机到虚拟机上的应用的端到端的整体管理功能。如下图所示:作为Citrix全局整体云计算管理运营计划的一部分，CitrixCloudPlatform提供了一种高度集成，经济有效的云计算生命周期管理解决方案。通过单一的Web界面提供广泛的管理功能，包括资源池管理，网络管理，服务产品管理，资源监控，账户管理，账单管理，计费管理，大大降低云计算环境管理的复杂性及成本。CloudPlatform特性列表特性描述丰富的管理用户界面CloudPlatform提供了包含丰富特性、即装即用的用户界面，基于CloudPlatformAPI实现对云基础设施的管理。它完全基于AJAX,兼容主流浏览器，并可以非常容易的和现有门户相结合。自定义品牌的用户自助界面即装即用的用户界面使用标准的HTML构建，同时使用带有jQuery的CSS作为标桩的Javascript库。可以非常容易的定制，添加公司的徽标，使其满足您公司的整体风格及外观。安全的AJAX终端访问VNCAJAX客户端允许用户使用任何一种浏览器访问其虚拟机桌面，无需安装任何额外插件如JRE、ActiveX或Flash。强大的API易于构建、集成并使用基于CloudPlatform的API的应用，丰富的文档及可扩展性。CloudPlatformAPI还支持来自亚马逊及VMWare通用的云管理API。CloudPlatform支持通过API访问、通过公钥/私钥访问或者通过浏览器的cookies访问。安全单点登录通过安全单点登录，使用我们的管理用户界面整合您现有应用，给用户带来更好的体验。多角色支持用户界面包含三种权责明显的账户角色，内置通过API访问：管理员：可管理整个云的物理和虚拟资源域管理员：仅可管理域内该账户拥有的虚拟资源用户：仅可管理分配给他们的虚拟资源按需虚拟数据中心托管提供给用户不限制数量的虚拟计算资源-按需按要求并按实际用量付动态负教管理通过预定义的负载均衡、数据安全的策略和条件，在已有的物理环境上完全自动分发计算资源、网络资源及存储资源。广泛的网络虚拟化能力支持纯软件的网络管理功能及VLAN。直接连接的IP使你更加容易集成虚拟网络架构，更好的满足您的需求。支持多协议标签交换(MPLS)CloudPlatform允许你将整个VLAN分配给特定账户，以实现在网络节点间支持MPLSo安全云部署确保整个云环境所有内存、CPU、网络和存储资源的可用性，同时实现不同账户的用户之间相互隔离.虚拟化无关CloudPlatform可以和业界主流的虚拟化软件灵活集成，包括VMWare、CitrixXenServer.KVM、OracleVM等。简单的模板创建流程CloudPlatform用户界面允许用户创建预定义的模板实现虚拟机快速部署。可以通过ISO或者云环境现有的虚拟机两种方式进行模板创建。

丰富的模板和IS。管理功能用户和管理员都可以上传操作系统模板或者IS。。管理特性包括：是否允许该模板/IS。全局可用还是每个账户可用，这些模板是否需要跨Zone可用等。CloudPlatform会根据这些定义自动将模板/ISO分发到关联的服务器I:域及成员管理域支持允许将云资源分离，并将这些域的管理指派给其它管理员。快照管理为帮助减少数据丢失及实现灾难恢复，用户可以对磁盘进行特定的快照，或者按照一定的间隔进行数据的快照。用户还可以设置从现有快照创建新的快照的数量。广泛的服务管理管理员可以在整个云环境定义、测量、部署和管理服务内别（包括计算资源、网络资源）和磁盘大小。虚拟机同步及高可用特有的虚拟机同步技术持续监控机维护所有虚拟机的状况。从单个虚拟机的状态通知到自动确保虚拟机的持续运行。资源超量供应及限制用户可以通过配置云环境允许物理资源超量供应，以实现虚拟机分配的优化，进而在现有的虚拟化、存储及网络环境上实现资源平衡。CloudPlatform还提供了虚拟机容量限制的管理，如特定账户可创建的虚拟机数量、公网IP的数量等。用量监测通过用量监测，可以提供实时的可见性，产生历史用量报表，并可通过CloudPlatform用量引擎收集的数据产生账单。警报和通知通过内置的系统监控进程，用户可以每分钟接收警报如达到物理资源的某一预设警报、检测到机器（虚拟机、物理机）失效的警报，这些都可以通过CloudPlatform的API或者SMTP来实现。虚拟路由器、防火墙及负载均衡器CloudPlatform支持和软件/硬件防火墙/负载均衡器的集成，为用户的云环境提供附加的安全性及扩展性，包括F5和NetScaler.多存储方案CloudPlatform支持多种存储类型，包括FC、iSCSI.NFS,任何一种存储都可以有多个mount点。用户可以使用通用硬件，自主选择其存储类型如Dell的EqualLogic或NetApp实现企业级的解决方案。存储分层及堆叠作为CloudPlatform能力的一部分，通过多种存储整合，用户可以指定特定的存储用于虚拟机的部署.比如用户可以指定对磁盘不敏感的应用使用普通存储，而对于磁盘敏感的应用如数据库，则可以分配高速存储。块设备卷CloudPlatform支持在NAS或者本地磁盘（包括FC、iSCSI）上创建块设备卷，并可直接连接到虚拟机或者从虚拟机断开。广泛的虚拟机操作系统支持依赖不同的虚拟化，CloudPlatform支持广泛的操作系统，包括Windows®,Linux®及不同版本的BSD®.,事件/审计日志所有通过CloudPlatform的用户界面或者API的用户交互都将以事件的形式保留。每个事件包括事件类型、严重级别、描述、资源所有者、行为的发起人、事件出现的时间等.用户数据支持CloudPlatform支持当用户部署虚拟机时允许其提交任何类型的二进制用户数据。用户可以灵活的使用经过认证的并属于他的操作系统模板来创建每个虚拟机。GuestOS偏好CloudPlatform允许管理员标记物理主机优先安装何种操作系统，以获得口前硬件和操作系统的许可模式的好处。比如Windows操作系统尽可能安装在所有标记为Windows优先的主机上.使用在线迁移实现主机维CloudPlatform将标记为维护模式的主机上的虚拟机在线迁移至别的主

护机，并阻止更多服务分发到该主机上，实现虚拟机不断线的情况下的升级或硬件维护。灵活的适配框架CloudPlatform从底层支持不同虚拟化、存储、网络及认证方案的整合。基于这种灵活性，CloudPlatform包含了适配框架，允许用户简单快捷的自定义其云环境，以充分满足其业务需求。GuestOS随机密码用户可以使用“随机密码”特性改善其操作系统模板，在创建虚拟机是将自动产生随机密码，最终用户可以安全登录并改变其密码。“随机密码”特性支持Windows和Linux平台。第二存储整合OpenStackSwift第二存储（存放模板和快照）可以使用OpenStackSwift,这是在NFS之外的又一选择。项目通过预定义的组或者“项口”，用户可相互协作、共享资源。当用户创建一个项目时，该项目下的所有用量自动成为拥有该项目的账户的属性。集群LVM支持从3。开始，CloudPlatform可以利用集群化的LVM存储配置。NetScaler支持CloudPlatform支持MPX、VPX和SDX设备。用户可以设置4层负载均衡规则。支持的协议包括：HTTP、TCP及UDP；机制：负载最少及轮询；会话连续性；基于源IP,基于缓存。网络即服务管理员可以针对不同的网络行为设定不同网络产品，比如基本类型网络产品加上CloudPlatform虚拟路由器提供网络服务；使用物理设备如NetScaler和JuniperSRX提供高性能网络。用户可以在部署虚拟机的时候选择不同的网络产品，还可以将虚拟机从一种网络移植到另外一种网络.LDAP集成CloudPlatform通过内置的认证适配器支持LDAP认证方式。通知及容量阀值管理员可可以设置通知阀值，当资源池资源使用超过该阀值时，管理员可以接到警报。容量阀值可以阻止CloudPlatform在即将超容的资源池上分配更多资源。Citrix云管理平台CloudPlatform体系架构CitrixCloudPlatform云统一管理平台包含以下组件：CloudPlatformManagementServer：当前最新版本V3.06,运行于Redhat6或Centos6平台上，可以是物理主机安装Redhat或CentOS,也可以是运行于虚拟机的Redhat或CentOS。多台ManagementServer实现管理的高可用，多台ManagementServer间为并行工作机制，通过前端负载均衡设备进行工作负载的均衡。负载均衡推荐使用CitrixNetScalerMPX（硬件负载均衡器）或VPX（虚拟化负载均衡）CloudPlatformDatabaseServer：MySQL,运行于运行于Redhat6或Centos6平台上，可以是物理主机安装Redhat或CentOS,也可以是运行于虚拟机的Redhat或CentOS。两台DB实现DB的高可用，两台DB间为Replica机制。

> 负载均衡设备：推荐使用两台工作于HA机制的CitrixNetScaler来对多台管理服务器（ManagementServer进行工作负载及高可用保证。拓扑示例图如下：本方案推荐使用多节点部署，以保证云管理平台自身的高可用。管理服务器部署通过云管理平台，实现laaS层统一管理:

资源池管理云计算的第一步是将硬件统一为资源池进行统一的管理及调度，为了帮助系统管理员快速部署服务器，Citrix云计算平台通过向导方式将用于云计算的主机添加到资源池，不同的虚拟化可以视为一个资资源池，目前CloudPlalform支持主流的服务器虚拟化，包括XenServer,ESX,KVM,以及OracleVM,如下图所示：洋组值息 计算与存值物理制络 资源 K9EVMPrimoryStorage洋组值息 计算与存值物理制络 资源 K9EVMPrimoryStorage简单理解为：区域(Zone)：代表一个数据中心，可以添加多个Zone提供点(Pods)：代表区域(Zone)下的一个或多个大型机架，可以添加多个Pod群集(Clusters)：代表多个虚拟化资源池。一个资源池为一种类型的Hypervisor,现在版本支持CitrixXenServer,VmwareESXi,KVM,OracleVM等。主机(Hosts)：集群里的虚拟化物理服务器主存储(PrimaryStorages)：供集群虚拟化物理服务器使用的共享存储或物理主机本地存储。支持本地直连存储，NFS,iSCSI,FC存储等。

辅助存储(SecondaryStorages)：供整个Zone共同使用的共享存储。主要用于存放模板，ISO,快照等。现在版本只支持NFS存储。网络服务与管理作为整体云平台的管理系统，应用网络也是其重要组成部分之一。在传统数据中心中,应用服务器的网络安全、集群负载处理等需要专门的设备来提供，而在虚拟环境如果没有有效措施，则在虚拟化服务器内部的多台虚拟机之间的网络则成了完全透明无保障的环境,为了解决此问题需耍在虚拟化服务器系统内部进行适当的隔离、策略定制。白|+济加来宾网络|名称类嵬VLANIDCIDR范围HansGuestNet01isolated/24Account(ROOT,hansqin)Test-Netisolated1237/24Account(ROOT,odmln)klminetisolated/24Account(ROOT,kimlhikok)DemoNetisolated1280/24Account(ROOT,damian)CorpNetworkisolated/24Account(ROOT,danc)DefaultGuestNetworkisolated1209/24Account(ROOT,admin)IsolatedNetwcxkOIisolated1285/24Account(ROOT,satoshls)NewNetworkisolated/24Account(ACME.ACME-Admin)IsolatedNetworkIsolated1299/24Account(ROOT,stuort)SharedNetworkShared1901/24Domain(ROOT)FirstvirutolnetworkIsolated/24Account(ROOT,kevin)基于以上分析，本方案的云管理平台为了解决以上问题，提供了可针对掌握不同资源的不同用户的差异化网络管理方案。每一个掌握有资源的用户，均可建立自己的独立网络环境，并由云管理工具提供诸如防火墙、地址映射、负载均衡等网络管理功能，这样每个单位、部门就可以针对自己的环境进行针对性配置，以保障应用系统的访问安全、高效，满足现代IT架构复杂的网络需求。CitrixCloudPlatform支持Basicmode(基础模式)及AdvanceMode(高级模式)两种网络部署方案。一个Zone只能选择采用其中一种模式。

基础模式：管理简单方便，通过SecurityGroup（安全组）策略安全隔离虚机高级模式：通过VLan划分隔离虚拟机p洋tap洋ta储息 ki33II8.26U8.26HM118.2^SHH多级别用户管理在云计算环境中，使用少量的虚拟化服务器取代了大量的物理机，如何有效对资源进行分配和管理将成为考验每位IT系统管理人员能力的基础指标。而在超大规模环境下，IT管理人员往往只进行设备管理，应用系统对于CPU、内存、磁盘等资源的需求往往只是遵照前端业务人员提供的信息，而随着业务数量、类型的增加，管理工作会变的异常复杂、耗时。cloudstackCloud为了解决此问题，本方案提供的云管理系统提出了用户分级管理模式，特权管理员可以管理所有的资源可以直接建立虚拟机直接分配给相关应用。同时管理人员还可以将一定量的CPU、内存、磁盘空间、vLan数量的可量化资源分配给某一个team的管理人员，而该team的管理人员又可以将自己所掌握的资源分配到更低一级用户。这样资源逐层分配，最终到了最熟悉应用环境部署的人员手中，既减轻了特权管理员的工作量，同时也实现了对资源的最佳配置、最佳利用。最终达到：云平台由运维中心管理，各应用模块及接入单位自己管理维护自己的小云（虚拟机系统）。快速部署传统数据中心中经过多年的实践，为了实现应用系统的快速部署多采用镜像分发模式,针对每个应用提供一整套镜像，每个应用部署时需要经过批量的分发网络配置一镜像分发一系统空间微调一网络分配等一系列流程，虽然相比逐台安装、配置缩短了部署时间，但在大规模环境下的部署和变更仍然是一个很大的工作量。

为了解决此问题，云管理平台从多个角度入手，提供了整体系统快速部署的解决方案。首先采用系统模板技术，为每个应用制作了统一的操作系统，一旦应用需要部署直接选择相应模板即可。其次在系统部署过程中提供了友好的导航界面，只需点几下鼠标，不同的CPU、内存、数据磁盘、应用网络便迅速的匹配到所要建立的虚拟机之上。另外，在系统内部网络无法连通情况下，云管理平台提供了终端显示功能，有了终端显示功能就如为虚拟机接入了显示器和键盘，可以在排出网络环境的条件下进行系统调试、设置。虚拟机操作“启动Q停止B重启终端访问虚拟机操作“启动Q停止B重启终端访问虚拟机状态•CPU利用率•网络读•网络写更改服务产品混合部署，统一管理鉴于一些关键的应用如大型数据库，单台虚拟机甚至物理服务器都无法满足其对计算资源的需求，同时考虑到系统的性能等的要求，本案采用将这些应用部署在物理机组成的集群上；这些物理机也是整个云计算不可分割的一部分，可以使用云管理平台的物理机管理功能实现对其的统一管理及监控。如下图所示：资源监控面对大规模系统，如何有效管理需要多种途径提供依据，其中最重要的依据便是来自于系统整体资源的监控。CitrixCloudPlatform提供全面的系统容量监控和统计，便于管理员维护和理解云资源使用情况和趋势。

洋ta信息,源界统VM计■与春警瑁羯堵1Allocoted:15.75G8/9X27G8L・全系统容CPUARocated:20.50GHZ/176.03ABocated:201.48G8/3.00TB11%10%已分配的主存口ABocoted:67337G8/6.00TBABocoted:0/0洋ta信息,源界统VM计■与春警瑁羯堵1Allocoted:15.75G8/9X27G8L・全系统容CPUARocated:20.50GHZ/176.03ABocated:201.48G8/3.00TB11%10%已分配的主存口ABocoted:67337G8/6.00TBABocoted:0/0iIABocated:15/400%本地存储40%ManagementIPAddressesVLANAllocated:8/20Alocated:7/100云管理平台的资源监控包括了CPU、内存、网络、存储、IP等方方面面的监控，一旦管理代理被部署到云计算服务器上，便自动收集服务器的可用性及性能信息，并和预设的临界值进行比较，及时通知管理员潜在的问题，使得管理员可以掌握峰值，并灵活的根据需要调整临界值，在120多个收集的参数中，包含某些关键的性能参数：CPU利用率，内存使用率，磁盘I/O,关键进程等，使管理员可以自定义监控服务器上的应用程序，同时还可以监控应用程序的日志，特殊程序的计算资源（CPU,内存等），应用程序文件及目录大小，增长率等。更为详细的监控和统计，可以通过二次开发完善定制化的功能。虚拟化技术无关性云计算环境中服务器虚拟化是必备条件之一，目前技术领先、产品成熟的虚拟化包括VMwarevSphere、CitirxXenServer>OracleOVM、KVM等，由于各自虚拟化采用的架构不一，且为了保障自己市场的排它性，各虚拟化产品间的交互性、兼容性多多少少都存在一定问题，一旦一个采用某种虚拟化技术的平台定形后续很难再去更改，即使将来该技术会有这样那样的问题。虚拟化技术支持XenServerVMwareIOracleVMIKVMBaremetal为了解决此问题，被方案的云管理平台采用了虚拟化无关性理念进行开发，可以同时接入采用多种虚拟化技术的系统，并进行统一管理调度，为用户构建系统平台提供了更多的选择，且为将来的产品升级、技术更新预留了更多的可控空间。业务可持续性保障业务持续性保障是数据中心建设需要提供的有效保障之一，特别是在利用云计算技术构建基础平台后，每台虚拟化服务器都承载着数台虚拟机且会涉及到多个应用，一旦系统发生负载能力不足、硬件损坏等故障，将直接对大量的应用造成影响，因此如何保障业务的可持续性将成为云计算平台选型的基础考量指标质之一。本方案采用的云管理系统从多个方面对业务可持续性进行了考虑和涉及，现已应用在多个大型企事业单位和大型的数据中心运营商：应对虚拟化服务器资源的不足如果虚拟化服务器资源不足是由于某台应用虚拟机的负载升高而引起，则云管理子系统提供了负载阀值监控功能，一旦某台虚拟化服务器的负载达到了阀值，则会启动在线迁移服务，将影响负载到虚拟机迁移到一台合适的虚拟化服务中。如果资源不足发生在整体虚拟化集群，云管理子系统由于支持虚拟化服务器的在线扩容，因此很容易通过新增服务器的模式提高整体系统的负载支撑能力。应对虚拟化服务器硬件故障一旦虚拟化服务器硬件发生故障，云管理子系统将对其承教的虚拟机进行关机操作，同时配合后端的共享存储系统在其余健康状况良好的虚拟化服务器中即刻启动相应的虚拟机镜像，将虚拟机的服务中断时间缩到最小，以保障应用业务的可连续性。3.4桌面云(DaaS)管理平台子系统3.4.1思杰应用/桌面云总体技术介绍为了实现应用、桌面、数据的统一的管理，思杰虚拟化及交付基础架构提供了用户到应用和桌面的端到端解决方案，可将任何应用、桌面、数据交付给任何用户，并提供最佳的性能、最高的安全性、最低的成本及最强的灵活性。思杰交付中心(CitrixDeliveryCenter),将数据中心转变成交付中心，其组成架构如下图所示：XenDesktopXenAppXenServerNetScalerCitrixDeliveryCenterNetScaler(AccessGate'CloudBridgeReceiver关键组件解释XenDesktopXenAppXenServerNetScalerCitrixDeliveryCenterNetScaler(AccessGate'CloudBridgeReceiver关键组件解释如下:CitrixXenApp-虚拟应用：支持客户端和服务器端应用虚拟化的端到端Windows应用交付系统；CitrixXenDesktop-虚拟桌面：以更低成本更安全、更可靠地直接通过数据中心交付Windows桌面；CitrixXenServer-虚拟服务器：交付动态数据中心最简捷、最有效的方式；CitrixNetScaler-Web优化和负载均衡：交付具有最高可用性和最佳性能的Web应用;CitrixCloudBridge-广域网加速：作为一种分支机构优化解决方案，可加速对全球各地用户的应用和桌面交付，同时大幅降低带宽成本和简化分支机构基础架构。CitrixAccessGateway(NetScaler功能模块)-安全接入网关：作为一种安全的桌面和应用访问解决方案，为IT人员提供了细粒度的应用层策略和行为控制能力，可保障应用和数据访问的安全，同时让用户可单点访问所需的应用和桌面。CitrixReceiver-接收器：允许IT组织将桌面或应用程序思杰交付中心是以安全为出发点设计的，是提供安全接入的基础，而非事后的弥补。桌面、应用程序、数据都集中运行在思杰服务器上，数据不落地，员工可以使用原有的操作习惯和使用方式来使用这些应用。基于策略的控制让IT部门能轻松地限制什么人能接入哪些信息以及什么时候接入等细粒度的安全管控。所有的信息都是虚拟化的并且是以加密的方式进行传输的，使用户能安全利用非信任网络。最终，思杰能高效管理经由多种接入网关传输的验证过程，从而有效防护任何资源的前门。总而言之，这种安全手段为那些希望扩展接入的机构提供了恰当的保护等级，而没有泄密安全。采用思杰接入基础架构的产品和服务，管理员可以设置端到端的接入策略，指定每种特定接入情境下可接入哪些内容。接入策略可以考虑用户、群组、设备类型、网络位置和端点安全性。通过创建接入策略，管理员能更轻松地控制对敏感数据的接入。这些策略还需考虑三种不同的接入因素：谁正在接入应用；他们使用的是哪种类型的客户端设备，如台式机、笔记本电脑、智能手机、平板电脑或自助查询终端；以及他们所处的位置，比如在他们通常的工作地点，在其它办公室，或在路途中。这都意味着一种更复杂的接入控制判定，包括选择性信任，要求有比简单的Yes/N。更多的控制内容，因为这些因素控制着用户如何接入应用，而不仅仅是用户是否接入应用。用户可能被全部授权、部分授权或不被授权接入应用。举例来说，如果用户在路途中，可能获准以只读权限接入文档，而