王 騫，鄒 聯(lián)

（國電大渡河流域水電開發(fā)有限公司 成都610041）

1 引言

信息作為現(xiàn)代企業(yè)的寶貴資源，占據(jù)著越來越重要的地位，已經(jīng)成為現(xiàn)代企業(yè)科學管理的基礎、正確決策的前提、有效調(diào)控的手段。多年來，各企業(yè)一直按照傳統(tǒng)IT基礎架構(gòu)發(fā)展自己的信息系統(tǒng)，其硬件平臺已經(jīng)具備一定的規(guī)模和現(xiàn)代化水平，并支撐起企業(yè)各業(yè)務信息系統(tǒng)，如OA、財務、人力資源、網(wǎng)站等多項業(yè)務。而傳統(tǒng)IT基礎架構(gòu)意味著一個應用即占用一臺或多臺服務器（一對一或一對多），隨著應用的增長，機房內(nèi)的服務器數(shù)量也將越來越多。機房空間壓力、能耗、成本和管理復雜度急劇增加。

近年來，隨著云計算、虛擬化等技術的發(fā)展，服務器整合技術已經(jīng)相當成熟。虛擬化技術主要是將多臺服務器整合為一個計算資源池（IT云），并將其中的資源靈活“組合”為多臺“虛擬”的服務器。原有應用可以平滑遷移到虛擬服務器上運行。多個應用可以在一臺或多臺實際服務器上運行（多對一或多對多），因此能以低成本實現(xiàn)強大的計算能力、靈活的部署方式以及高可靠性。

表1為傳統(tǒng)方式與虛擬化方式對比。

2 企業(yè)信息系統(tǒng)云計算實施基本步驟

企業(yè)信息系統(tǒng)實施云計算改造并非從零開始建設，必須充分考慮到原有信息系統(tǒng)如何在云環(huán)境中正常運行，同時要將云遷移過程對業(yè)務連續(xù)性的影響降到最低。因此，企業(yè)信息系統(tǒng)云計算實施與直接搭建云計算環(huán)境不同，應遵循自身特點，按照“統(tǒng)一規(guī)劃、分步實施、系統(tǒng)推進”的原則進行建設。

2.1 評估云計算實施的必要性、可能性

云計算平臺的優(yōu)勢非常明顯，但在實施之前，必須充分評估本企業(yè)實施云計算平臺的必要性和可行性。

云計算具有高度兼容性和整合能力，適合將企業(yè)原有計算平臺和信息系統(tǒng)進行統(tǒng)一整合。但是，云平臺固有特性決定其暫時不能勝任以下特殊應用。

·采用非PC架構(gòu)平臺搭建的應用系統(tǒng)。例如運用小型機擔任計算平臺的應用系統(tǒng)，或者主要由蘋果MAC平臺構(gòu)成系統(tǒng)?，F(xiàn)有的企業(yè)虛擬平臺只支持在PC服務器上部署，也只能虛擬出PC服務器硬件。

·復雜圖形處理及3D處理應用。虛擬軟件暫時無法支持高性能圖形卡，無法實現(xiàn)硬件加速功能。

·需要單機多屏顯示或者多機獨立顯示的應用系統(tǒng)。

·外接端口使用較多的應用。例如大量使用RS232串口、USB端口的應用，此類應用因外接端口與物理主機對應，無法實現(xiàn)虛擬機自由遷移，失去了虛擬化的重大優(yōu)勢，如果利用串口服務器、USB服務器等第三方硬件實現(xiàn)資源共用，又可能因單點故障影響可靠性。

·I/O密集型應用。云平臺實施后，每臺物理服務器上同時有若干臺虛擬服務器在運行，其CPU、內(nèi)存等資源均能得到合理劃分。但是，外部存儲I/O一般都是通過SAN光纖存儲實現(xiàn)，多臺虛擬機會對主機的I/O通道進行搶占，在I/O壓力較大的應用中可能難以滿足要求。

·因安全問題要求物理隔離部署的應用。例如在電力二次安全防護中，生產(chǎn)控制大區(qū)的應用系統(tǒng)和管理信息大區(qū)的應用系統(tǒng)無法實現(xiàn)整合。

2.2 信息化基礎資源調(diào)查

企業(yè)信息化基礎資源調(diào)查是建設企業(yè)云計算平臺的重要步驟。主要工作是調(diào)查統(tǒng)計現(xiàn)有信息化基礎資源情況，包括PC服務器、數(shù)據(jù)存儲設備、網(wǎng)絡情況等，建議以表格形式整理匯總，具體見表2。

本步驟有兩個目的：一是確定企業(yè)云平臺建設規(guī)模，根據(jù)現(xiàn)有服務器的實際數(shù)量和配置要求決定遷移至虛擬平臺后的虛擬機數(shù)量和資源需求，從而推斷出所需物理服務器的實際數(shù)量；二是可篩選出現(xiàn)有服務器中配置較高者，經(jīng)升級后作為云平臺的資源池，盡量節(jié)省成本。根據(jù)經(jīng)驗，在典型的企業(yè)應用環(huán)境中，一臺主流的PC服務器可承載6～8臺中等負荷的虛擬服務器穩(wěn)定運行（內(nèi)存需根據(jù)虛擬服務器要求進行擴充）。

表1 傳統(tǒng)方式與虛擬化方式對比

2.3 選擇云平臺硬件、軟件方案

完整的企業(yè)云平臺基礎設施由物理服務器、存儲系統(tǒng)、網(wǎng)絡以及平臺軟件組成。這里采用的是市場占有率較高的VMware軟件。

在本步驟中，物理服務器要求如下。

·單個CPU內(nèi)核數(shù)盡量高，因VMware通過物理CPU個數(shù)授權(quán)，因此同等價格下，單個CPU內(nèi)核數(shù)越多，性能和處理器負荷冗余度越好。

·內(nèi)存足夠大，單臺物理服務器要支持多個虛擬服務器同時運行，足夠的內(nèi)存必不可少，以筆者的實施經(jīng)驗，單臺物理服務器內(nèi)存應大于64 GB。

·應配置2塊以上8 GB HBA卡接入冗余多路徑SAN或者采用冗余10 GB iSCSI存儲網(wǎng)絡，以保證數(shù)據(jù)存儲可靠性等性能。

·對磁盤I/O要求不高、網(wǎng)絡結(jié)構(gòu)較為簡單的，可以選用刀片式服務器，以節(jié)省安裝空間和能耗。

·可盡量利用原有配置較高的服務器升級而成。

存儲系統(tǒng)一般采用SAN結(jié)構(gòu)，也可以使用iSCSI。結(jié)構(gòu)簡單、主機數(shù)量少時，也可以用SAS、SCSI電纜等直接組網(wǎng)，只要滿足“存儲設備發(fā)布的LUN能同時被所有主機訪問”即可。存儲設備容量根據(jù)現(xiàn)有服務器的總?cè)萘窟x取，必須支持RAID5或RAID6，并根據(jù)需要增加熱備份盤，介質(zhì)應盡量采用高速FC或SAS硬盤（15 000 r/min），為節(jié)省成本，也可使用其他類型硬盤。

網(wǎng)絡系統(tǒng)與傳統(tǒng)架構(gòu)相同，建議每臺物理服務器有兩塊及以上的網(wǎng)卡連接到企業(yè)內(nèi)部網(wǎng)交換機。

2.4 搭建云計算平臺

本步驟開始為正式實施安裝階段，主要工作由集成商完成，步驟及注意事項如下。

（1）規(guī)劃各硬件設備安裝位置，網(wǎng)絡、光存儲連接方案。

（2）安裝存儲設備，上電后進行基本陣列配置，建立RAID，設定熱備份盤，劃分LUN（邏輯單元號）并予以全局發(fā)布。因虛擬機遷移需要，此處應至少劃分2個LUN。

（3）安裝新增的物理服務器，連接HBA卡和光纖交換機，連接網(wǎng)絡。

（4）在新增的物理服務器上安裝虛擬平臺軟件，如VMware的ESXi及vCenter，云平臺基本成型。

（5）將擬升級加入云平臺資源池的服務器上的現(xiàn)有應用遷移到云平臺中。

（6）對這些服務器進行升級（主要是內(nèi)存及HBA卡），安裝虛擬平臺軟件，加入云平臺資源池。

（7）將其他應用逐一遷移至云平臺。

（8）配置云環(huán)境下的高可用，例如HA或FT。

3 原有信息系統(tǒng)向云平臺遷移經(jīng)驗

系統(tǒng)遷移是將運行在物理服務器上的應用程序及操作系統(tǒng)平滑轉(zhuǎn)移到虛擬機中運行，每臺服務器數(shù)據(jù)量往往都在數(shù)十吉比特以上，較為耗時。為保證遷移過程中應用系統(tǒng)正常運行，需要利用專用工具軟件進行在線遷移，因為操作系統(tǒng)和軟件環(huán)境的影響，在線遷移有時會失敗。

3.1 遷移工具的使用

各虛擬技術提供商均會免費提供適合自身平臺使用的在線遷移工具，如VMware的Convert Standalone。軟件具體使用方法不再贅述，僅提出如下使用過程中的要點。

·Convert可以安裝在被轉(zhuǎn)換的Windows服務器上，也可以安裝在網(wǎng)絡中其他Windows服務器上，前者轉(zhuǎn)換速度稍快，后者可同時轉(zhuǎn)換多臺服務器，可根據(jù)實際需要進行選擇。

·遷移時盡量選取服務器訪問量較小的時間段進行，避免二次同步中出現(xiàn)錯誤。

·遷移操作前應保證被遷移服務器和vCenter服務器網(wǎng)絡連接可靠，并關閉被遷移服務器上的網(wǎng)絡防火墻和病毒防火墻。

·被遷移服務器上的server、workstation服務應保持開啟，系統(tǒng)策略中應允許具有管理員權(quán)限的賬號在網(wǎng)絡登錄。

·遷移選項中，轉(zhuǎn)換后的系統(tǒng)服務應將物理機硬件相關服務全部禁用，例如HP Smart Array、HP System Management Homepage、HP Remote Monitor等。

·如果想在Windows主機轉(zhuǎn)換后對系統(tǒng)進行自動配置，如刷新SID等操作，需提前按遷移工具的提示，自行在網(wǎng)絡上下載對應版本的sysprep包，復制到指定的目錄方可進行操作。

·如果轉(zhuǎn)換過程中報錯失敗，可根據(jù)錯誤提示對被遷移的系統(tǒng)進行調(diào)整后重新轉(zhuǎn)換。如果始終無法轉(zhuǎn)換，則只能將被遷移主機停機，用另一工具VMware ConvertCD光盤啟動系統(tǒng)，進行離線冷克隆。冷克隆兼容性最好，但速度較慢，且被遷移主機在遷移期間無法提供服務。

·轉(zhuǎn)換后應檢查虛擬機的數(shù)據(jù)完整性，為網(wǎng)卡配置IP地址，檢測相關服務是否正常。

3.2 虛擬機管理命名

為便于管理，各類云平臺支撐軟件都會給用戶提供方便、直觀的管理控制臺，為適應云環(huán)境下的主機管理，建議在給虛擬機命名時包含主機名、系統(tǒng)名及IP地址等基本信息，盡量使用英文、數(shù)字及英文標點，不要使用中文。

3.3 遷移錯誤排查

以本單位實施過程為例，遷移過程中可能出現(xiàn)的一些常見錯誤及解決方案如下。

（1）在對Windows主機進行遷移時提示VSS快照創(chuàng)建失敗

VSS（volume shadow copy，卷影復制）是Windows提供的系統(tǒng)服務，用于創(chuàng)建基礎存儲設備的高保真時間點映像，如果該服務運行異常，遷移程序?qū)o法正常運行。

解決方法：檢查系統(tǒng)服務中VSS運行是否正常，可重啟服務后再次嘗試。另外，如果源主機掛載有USB或ESATA存儲設備，建議在遷移時將其排除。

（2）轉(zhuǎn)換后的虛擬機無法設置原IP地址，提示該IP地址已經(jīng)分配給其他適配器

遷移前后，操作系統(tǒng)識別到網(wǎng)卡發(fā)生變化，但原IP地址仍關聯(lián)到已經(jīng)不存在的網(wǎng)卡上，導致無法分配給新網(wǎng)卡使用。

解決辦法：運行“注冊表編輯器（regedit.exe）”，搜索原IP地址，將值改為空，再重新在網(wǎng)絡屬性中為新網(wǎng)卡配置IP地址。

（3）不明原因的反復遷移失敗

部分服務器可能因特殊的軟件兼容性問題導致不可預料的遷移過程反復失敗。對此，建議將遷移程序安裝在被轉(zhuǎn)換的服務器進行嘗試。如果仍不能成功轉(zhuǎn)換，則采用光盤啟動進行冷克隆。

3.4 遷移完成后的優(yōu)化

系統(tǒng)遷移完成后，應及時對應用系統(tǒng)進行全面測試和檢查，包括云平臺的運行情況、主要資源占用；各虛擬機的資源分配是否充足；檢查虛擬網(wǎng)絡是否通暢；驗證虛擬機遷移能否正常動作；對關鍵服務器進行性能分析，如果有硬件瓶頸應采用升級或資源調(diào)配的方式予以解決，確保正式投運后平臺長期穩(wěn)定運行。

4 云環(huán)境中的系統(tǒng)安全

企業(yè)信息系統(tǒng)遷移到云平臺后，傳統(tǒng)IT架構(gòu)下的信息安全策略及方法大部分仍然適用。同時，鑒于云平臺自身的特點，也具有一些新的安全風險和相應的防范技術。

4.1 合理分配管理權(quán)限

云平臺將原有分立的各服務器集成到統(tǒng)一的資源平臺中，操作員可以遠程在集成的管理環(huán)境中進行硬件層面的操作，而默認平臺管理員對所有資源和虛擬服務器擁有完整的操作權(quán)，在多管理員的環(huán)境下，可能帶來越權(quán)使用的風險。因此必須根據(jù)企業(yè)的實際情況，對不同級別的操作人員分配相應的管理權(quán)限，并按照AAA（認證、授權(quán)、審計）規(guī)則嚴格進行訪問控制。

4.2 云環(huán)境數(shù)據(jù)安全

云平臺中的所有數(shù)據(jù)全部存儲在集中存儲設備（磁盤陣列）中，一旦存儲出現(xiàn)故障，可能導致系統(tǒng)大規(guī)模停運和嚴重的數(shù)據(jù)損失。在企業(yè)環(huán)境中必須絕對避免這種情況。

硬件層面：集中存儲設備必須擁有高可靠性，必須采用合理的RAID級別（RAID 5或RAID 6），指定足夠數(shù)量的熱備份盤，有條件者建議采用雙機鏡像克隆。在日常巡檢中，應特別注意存儲設備的運行情況，及時處理出現(xiàn)的問題。

數(shù)據(jù)層面：合理制定備份策略，對重要數(shù)據(jù)定期進行備份。主要方法有虛擬機克隆、平臺級備份工具Veeam Backup Server、傳統(tǒng)的主機級備份工具等；病毒防范可沿用原有防毒體系，也可采用云平臺認證的嵌入式防毒體系，可根據(jù)企業(yè)自身實際情況選擇。

企業(yè)云計算從本質(zhì)上隔離了應用。對于運維的單一個體來說安全性必然會提高，防止安全問題的引入以及隱患擴散。同時對于整個平臺來說，整體管理控制、局部獨立管理模式也提高了平臺的安全性，通過補丁管理，以push方式可以短時間內(nèi)彌補所轄虛擬機的安全漏洞，同時也使得平臺本身安全性提高。針對具體應用系統(tǒng)的安全，可以利用同步鏡像、負載均衡技術提供進一步的保護。

5 結(jié)束語

該信息系統(tǒng)云平臺使用效果較好，既大幅度降低了數(shù)據(jù)中心運維成本和總體擁有成本，又保障了數(shù)據(jù)安全和系統(tǒng)、應用的穩(wěn)定。經(jīng)過一年多的正常運行，云計算平臺與以往傳統(tǒng)方式相比，資源利用、節(jié)能降耗成效顯著。據(jù)初步測算，云計算平臺實施后，現(xiàn)有規(guī)模下可減少服務器25臺，節(jié)約投資成本125萬～200萬元；節(jié)約機房空間、制冷量約60%；每年節(jié)約電能2.6×106kW·h；后續(xù)管理運維成本顯著降低。隨著信息化建設的推進，企業(yè)云平臺也將進一步完善，最終建成一套數(shù)據(jù)高可靠、業(yè)務高可用、設備高效用的基礎平臺，更好地為企業(yè)信息化應用提供保障。