文/于廣輝 高山

大連理工大學(xué)重新定義校園云服務(wù)

文/于廣輝 高山

在數(shù)據(jù)中心實(shí)施服務(wù)器虛擬化、部署私有云管理平臺(tái)，已經(jīng)成為各個(gè)高校的共識(shí)。通過(guò)私有云部署，可以有效地集中IT資源，降低IT運(yùn)行成本，讓信息化系統(tǒng)快速實(shí)施成為可能。在云服務(wù)實(shí)施過(guò)程中，高校IT部門會(huì)面臨多種需求，是否所有業(yè)務(wù)都適于在私有云平臺(tái)部署，不同業(yè)務(wù)是否需要不同的部署方式，能否引入公有云服務(wù)，實(shí)施云服務(wù)后的安全責(zé)任如何劃分，都是值得商榷的問(wèn)題。

數(shù)據(jù)中心私有云建設(shè)

大連理工大學(xué)從2007年開(kāi)始實(shí)施服務(wù)器虛擬化，現(xiàn)已部署500余個(gè)虛擬機(jī)，目前數(shù)據(jù)中心除云盤服務(wù)器、部分DNS服務(wù)器、視頻直播服務(wù)器外，包括一卡通、電子郵件、學(xué)校門戶、科研系統(tǒng)、移動(dòng)平臺(tái)、站群系統(tǒng)等校園信息化所有核心業(yè)務(wù)均在虛擬機(jī)內(nèi)運(yùn)行。數(shù)據(jù)中心虛擬化服務(wù)器群拓?fù)淙鐖D1所示。

2007年大連理工大學(xué)建設(shè)了高校第一個(gè)大規(guī)模VMware虛擬化服務(wù)器群，2009年、2013年對(duì)虛擬化服務(wù)器群進(jìn)行擴(kuò)容和升級(jí)，先后部署了數(shù)據(jù)中心交換機(jī)Cisco Nexus 7018、虛擬化交換機(jī)Cisco Nexus 1010、數(shù)據(jù)減重備份設(shè)備EMC Avamar和EMC DataDomain，存儲(chǔ)設(shè)備也由EMC CX3-20擴(kuò)展到EMC CX4-960和EMC VNX 5700，并實(shí)施了FCoE技術(shù)升級(jí)。目前數(shù)據(jù)中心部署了32臺(tái)、118 CPU虛擬化服務(wù)器群，一半物理服務(wù)器采用雙10GbE網(wǎng)卡、雙4Gb FC HBA上聯(lián)，另外一半采用雙10GbE CNA上聯(lián)。

私有云在集中了IT資源的同時(shí)也集中了安全風(fēng)險(xiǎn)，在虛擬化平臺(tái)安全方面，我們從權(quán)限管理、網(wǎng)絡(luò)安全、病毒防范、備份等多方面進(jìn)行了嚴(yán)格控制。私有云平臺(tái)部署了Trend Deep Security，對(duì)病毒進(jìn)行無(wú)代理查殺，同時(shí)啟用防火墻和入侵阻止，及時(shí)下發(fā)zero-day攻擊防范策略。在備份體系上，我們采用EMC Avamar和EMC DataDomain聯(lián)動(dòng)進(jìn)行統(tǒng)一的全局減重備份，可以提供重要信息化系統(tǒng)虛擬機(jī)在半年內(nèi)任意一周的備份。對(duì)于一卡通數(shù)據(jù)庫(kù)服務(wù)器，同時(shí)使用VMware Replication進(jìn)行連續(xù)備份，RPO時(shí)間15分鐘，保持最近5日每日三個(gè)快照。對(duì)私有云平臺(tái)權(quán)限嚴(yán)格控制，通過(guò)嚴(yán)格的管理措施和多級(jí)自動(dòng)化備份機(jī)制，有效地保證了數(shù)據(jù)中心的安全性。

圖1 數(shù)據(jù)中心虛擬化服務(wù)器群拓?fù)?/p>

校園云服務(wù)實(shí)踐

在數(shù)據(jù)中心私有云實(shí)施過(guò)程當(dāng)中，大連理工大學(xué)將廣義的基礎(chǔ)設(shè)施（包括網(wǎng)絡(luò)、存儲(chǔ)、服務(wù)器、虛擬化平臺(tái)、備份、機(jī)房環(huán)境、管道資源等）整合統(tǒng)一到一個(gè)部門管理，集中打包對(duì)內(nèi)外部服務(wù)。在2013年的校園一卡通實(shí)踐中證明，這種模式有效地提高了資源的利用率，提高了管理效率。學(xué)校一卡通服務(wù)器全部使用私有云平臺(tái)已有資源，保證軟件實(shí)施進(jìn)度，同時(shí)利用現(xiàn)有校園網(wǎng)建立專用子網(wǎng)和獨(dú)立轉(zhuǎn)發(fā)表，在關(guān)鍵區(qū)域采用跨機(jī)箱鏈路聚合技術(shù)，依托于現(xiàn)有校園網(wǎng)資源在2個(gè)月內(nèi)順利完成一卡通建設(shè)。

通過(guò)私有云建設(shè)，大連理工大學(xué)已經(jīng)可以完成基礎(chǔ)設(shè)施云服務(wù)提供。但私有云只解決了IT資源的集中問(wèn)題，對(duì)于校內(nèi)不同用戶需求需要有不同級(jí)別的服務(wù)。因此，在基礎(chǔ)設(shè)施云服務(wù)方面，學(xué)校規(guī)劃了云空間、云主機(jī)兩種不同類型的服務(wù)。云空間提供固定模板、限制用戶權(quán)限，用于簡(jiǎn)單應(yīng)用，未來(lái)會(huì)轉(zhuǎn)換到以Docker方式提供服務(wù)。云主機(jī)給用戶完全控制權(quán)限，用于無(wú)法用云空間解決的復(fù)雜應(yīng)用。云空間和云主機(jī)的區(qū)別見(jiàn)表1。

為便于用戶使用云主機(jī)服務(wù)，實(shí)現(xiàn)VMware平臺(tái)和最終用戶隔離，學(xué)校部署了云管理平臺(tái)。通過(guò)該平臺(tái)可以實(shí)現(xiàn)用戶自助申請(qǐng)，選擇CPU核數(shù)、內(nèi)存、存儲(chǔ)以及操作系統(tǒng)后，自動(dòng)生成虛擬機(jī)。平臺(tái)有獨(dú)立的認(rèn)證體系，獨(dú)立于VMware平臺(tái)，用戶可以從云管理平臺(tái)對(duì)自己的虛擬服務(wù)器進(jìn)行操作。

云管理平臺(tái)未來(lái)能夠?qū)Mware或其他虛擬化平臺(tái)作為資源池統(tǒng)一管理，進(jìn)一步降低校園私有云建設(shè)運(yùn)行成本。

在提供云空間、云服務(wù)的基礎(chǔ)上，為解決日益嚴(yán)峻的網(wǎng)站安全問(wèn)題以及信息系統(tǒng)重復(fù)建設(shè)問(wèn)題，學(xué)校提供了網(wǎng)站群、會(huì)議網(wǎng)、問(wèn)卷調(diào)查系統(tǒng)、Web視頻會(huì)議、大工云盤等應(yīng)用云服務(wù)系統(tǒng)，用軟件即服務(wù)的模式整合通用應(yīng)用需求。

學(xué)校所有二級(jí)單位的部門主頁(yè)已經(jīng)全部遷移到網(wǎng)站群，統(tǒng)一生成靜態(tài)頁(yè)面發(fā)布，有效地降低了安全風(fēng)險(xiǎn)和網(wǎng)站開(kāi)發(fā)成本。會(huì)議網(wǎng)為校內(nèi)各單位組織、主辦的國(guó)際國(guó)內(nèi)學(xué)術(shù)會(huì)議等提供服務(wù)，實(shí)現(xiàn)了會(huì)議網(wǎng)站建設(shè)、會(huì)議信息發(fā)布、參會(huì)人員注冊(cè)管理、網(wǎng)上論文投稿及審稿、住宿信息發(fā)布、參會(huì)代表繳費(fèi)等會(huì)務(wù)管理功能。問(wèn)卷調(diào)查系統(tǒng)用于問(wèn)卷調(diào)查、數(shù)據(jù)收集、信息收集、心理評(píng)測(cè)、報(bào)表填寫(xiě)、測(cè)試等用途的通用網(wǎng)上調(diào)查問(wèn)卷平臺(tái)，具有在線調(diào)查問(wèn)卷的創(chuàng)建、設(shè)計(jì)、預(yù)覽、執(zhí)行、結(jié)束、分析、歸檔整理等功能。Web視頻會(huì)議可以讓用戶快速創(chuàng)建小規(guī)模在線視頻會(huì)議，可以同時(shí)支持手機(jī)、平板電腦、PC、MAC等多平臺(tái)，在學(xué)校招聘、評(píng)審、遠(yuǎn)程指導(dǎo)學(xué)生等發(fā)揮了重要作用。大工云盤為師生提供安全、快速的在線存儲(chǔ)，系統(tǒng)可以擴(kuò)展到PB級(jí)。

軟件即服務(wù)是我們對(duì)校園云服務(wù)模式新的探索，通過(guò)了解師生的共性需求，以云服務(wù)的形式為師生提供高速、便捷的在線服務(wù)。

關(guān)于校園云服務(wù)的思考

大連理工的校園網(wǎng)和數(shù)據(jù)中心演進(jìn)歷程也是網(wǎng)絡(luò)與信息化中心定位轉(zhuǎn)變的過(guò)程，從開(kāi)始的網(wǎng)絡(luò)接入到現(xiàn)在的IT資源供應(yīng)，從被動(dòng)的資源建設(shè)到以業(yè)務(wù)驅(qū)動(dòng)的建設(shè)，從只能看到投入的成本中心到價(jià)值中心轉(zhuǎn)變。信息系統(tǒng)立項(xiàng)已經(jīng)完全和硬件分離，私有云平臺(tái)會(huì)根據(jù)信息系統(tǒng)建設(shè)情況進(jìn)行周期性擴(kuò)充。

表1 云空間和云主機(jī)的區(qū)別

云服務(wù)的實(shí)施使計(jì)算和數(shù)據(jù)集中在一起，從而使得大數(shù)據(jù)分析成為可能，也同時(shí)帶來(lái)了數(shù)據(jù)和應(yīng)用的安全與隱私新挑戰(zhàn)。數(shù)據(jù)向誰(shuí)開(kāi)放，開(kāi)放到什么程度需要有制度和技術(shù)的雙重保障。為加強(qiáng)學(xué)校信息系統(tǒng)數(shù)據(jù)的統(tǒng)一管理和質(zhì)量管控，建立有效的數(shù)據(jù)共享、管理與保障體系，有效發(fā)揮信息系統(tǒng)作為公共服務(wù)體系在教學(xué)、科研和管理中的重要作用，有序推進(jìn)學(xué)校信息化工作的開(kāi)展，學(xué)校制定了《大連理工大學(xué)信息系統(tǒng)數(shù)據(jù)管理辦法》。管理辦法對(duì)數(shù)據(jù)的產(chǎn)生、運(yùn)維、存儲(chǔ)、備份、歸檔、安全、使用做了詳細(xì)的規(guī)定。

在云服務(wù)的實(shí)施過(guò)程中，對(duì)已有應(yīng)用主要考慮平滑過(guò)渡，能夠在私有云平臺(tái)運(yùn)行，系統(tǒng)后臺(tái)數(shù)據(jù)能夠和納入數(shù)據(jù)交換平臺(tái)，新增應(yīng)用希望是真正為云計(jì)算設(shè)計(jì)，能夠做到真正無(wú)縫的按需擴(kuò)展。

公有云和私有云的關(guān)系也是我們考慮的一個(gè)主要問(wèn)題，在目前關(guān)于云服務(wù)安全相關(guān)的法律、法規(guī)尚不健全的情況下，和學(xué)校運(yùn)行、管理相關(guān)的核心服務(wù)還不宜使用公有云服務(wù)，不涉及學(xué)校核心數(shù)據(jù)的外圍服務(wù)可以適當(dāng)考慮采用公有云服務(wù)。

通過(guò)實(shí)施云服務(wù)，可以靈活面對(duì)多種需求，根據(jù)業(yè)務(wù)的屬性選擇合適的服務(wù)模式，在未來(lái)會(huì)適當(dāng)引入公有云服務(wù)。同時(shí)對(duì)實(shí)施云服務(wù)后的責(zé)任界限做了明確劃分，制定了信息系統(tǒng)數(shù)據(jù)使用管理辦法，初步形成了完整的云戰(zhàn)略。

（作者單位為大連理工大學(xué)網(wǎng)絡(luò)與信息化中心）