趙宏偉 梁新剛（北京樂多港發(fā)展有限公司，北京 100025）

IaaS私有云數(shù)據(jù)中心系統(tǒng)建設(shè)要點

趙宏偉 梁新剛
（北京樂多港發(fā)展有限公司，北京 100025）

當(dāng)前云計算產(chǎn)業(yè)正在如火如荼的發(fā)展，對于安全性和系統(tǒng)響應(yīng)速度有較高要求的用戶來說，將云基礎(chǔ)設(shè)施與軟硬件資源建立在防火墻內(nèi)，以供機構(gòu)或企業(yè)內(nèi)各部門共享數(shù)據(jù)中心資源的私有云建設(shè)模式應(yīng)該是大多數(shù)企業(yè)進(jìn)行數(shù)據(jù)中心建設(shè)的首選方案。本文以北京能源集團樂多港公司私有云數(shù)據(jù)中心建設(shè)為例，對IaaS私有云數(shù)據(jù)中心建設(shè)的要點進(jìn)行了闡述。

私有云 IaaS 虛擬化

1 前言

根據(jù)NIST的權(quán)威定義，云計算有SPI（即SaaS、PaaS和IaaS）三大服務(wù)模式。在云計算的三服務(wù)模式中，上層架構(gòu)的PaaS（平臺即服務(wù)）與SaaS（軟件即服務(wù)）要求更加貼合企業(yè)自身的業(yè)務(wù)系統(tǒng)特征，因此系統(tǒng)設(shè)計更加注重個性化和獨立化部署。而底層的IaaS（基礎(chǔ)設(shè)施即服務(wù)）結(jié)構(gòu)則具有更高的通用性與普適性，可以在大多數(shù)云計算數(shù)據(jù)中心中部署，為企業(yè)提供靈活的業(yè)務(wù)部署環(huán)境。在IaaS服務(wù)模式中，提供給消費者的服務(wù)是對所有設(shè)施的利用，包括處理、存儲、網(wǎng)絡(luò)和其它基本的計算資源，用戶能夠部署和運行任意軟件，包括操作系統(tǒng)和應(yīng)用程序。消費者不管理或控制任何云計算基礎(chǔ)設(shè)施，但能控制操作系統(tǒng)的選擇、儲存空間、部署的應(yīng)用，也有可能獲得有限制的網(wǎng)絡(luò)組件（例如，防火墻，負(fù)載均衡器等）的控制。

北京樂多港公司（簡稱樂多港）是北京能源投資（集團）有限公司控股企業(yè)，目前正在負(fù)責(zé)建設(shè)昌平大型旅游商業(yè)綜合體項目（定名為樂多港假日廣場）。該項目包括了奧特萊斯商業(yè)街區(qū)、溫泉度假酒店和高科技室內(nèi)游樂園三大板塊。

2 樂多港信息化工作建設(shè)要求和規(guī)劃

按照打造北京市首家環(huán)境一流、服務(wù)一流、效益一流、體驗一流的跨界經(jīng)營的智慧城市綜合體的要求，樂多港的信息化建設(shè)工作要滿足以下要求。

（1）滿足三大板塊正常運營，實現(xiàn)業(yè)務(wù)縱向快速發(fā)展的要求。（2）滿足公司總部資源整合優(yōu)化，滿足三個業(yè)態(tài)橫向協(xié)同發(fā)展、優(yōu)勢互補的要求。（3）滿足公司總部一體化管控體系的要求，實現(xiàn)人財物的集中管理，產(chǎn)生集聚效應(yīng)，降低整體運營成本，有效提高外部競爭實力。（4）為消費者提供良好的消費體驗。

為滿足以上要求，需要實現(xiàn)信息資源的統(tǒng)一管理和維護，信息系統(tǒng)的集中部署和綜合利用，實現(xiàn)過程中需要強調(diào)系統(tǒng)間數(shù)據(jù)的集成和共享，不能急于求成，應(yīng)堅持扎實基礎(chǔ)，分步推進(jìn)的策略。經(jīng)過充分的討論和研究，樂多港公司提出了信息化工作“1237”的整體工作策略。即圍繞建設(shè)一個中心（樂多港私有云數(shù)據(jù)中心）、兩個平臺（信息交互平臺和業(yè)務(wù)協(xié)同處理平臺）、三個體系（網(wǎng)絡(luò)支撐體系、運維保障體系和安全防護體系）以及七個業(yè)務(wù)支撐系統(tǒng)（酒店、游樂、商業(yè)、物業(yè)、協(xié)同辦公、客戶資源及商業(yè)智能分析、人財物一體化管理），采取分步走的策略有序推進(jìn)樂多港智慧園區(qū)綜合體的建設(shè)。其中，樂多港私有云數(shù)據(jù)中心為整個園區(qū)提供統(tǒng)一的網(wǎng)絡(luò)、存儲、處理和其他的基本計算資源，是一個較為標(biāo)準(zhǔn)的IaaS模式的私有云數(shù)據(jù)中心。它的建設(shè)是整個信息化建設(shè)的核心和基礎(chǔ)，是樂多港信息化工作的物質(zhì)保障。

3 樂多港私有云數(shù)據(jù)中心架構(gòu)

3.1 整體架構(gòu)

從整體架構(gòu)上來看，樂多港私有云數(shù)據(jù)中心主要由7個部分組成：

（1）計算虛擬化資源；（2）共享存儲資源；（3）融合網(wǎng)絡(luò)資源；（4）安全防護資源；（5）應(yīng)用優(yōu)化資源；（6）統(tǒng)一管理平臺；（7）使用交付平臺。

如圖1所示，計算虛擬化資源與共享存儲資源提供了云計算中最為基礎(chǔ)的計算與存儲系統(tǒng)，安全防護資源與應(yīng)用優(yōu)化資源提供了安全優(yōu)化的附加增值服務(wù)，統(tǒng)一管理平臺和使用交付平臺為外部的用戶與管理員提供了云計算資源管理使用的入口，融合網(wǎng)絡(luò)資源通過連接整合將上述6個部分緊密結(jié)合在一起，使云計算資源能夠作為一個真正的整體對外提供IaaS服務(wù)。

3.2 網(wǎng)絡(luò)整體拓?fù)浣Y(jié)構(gòu)

如圖2所示，樂多港私有云數(shù)據(jù)中心采用模塊化分區(qū)的架構(gòu)設(shè)計方法，清晰定義和區(qū)分不同的功能區(qū)域，其中包括核心交換區(qū)、外聯(lián)區(qū)、數(shù)據(jù)中心區(qū)、園區(qū)網(wǎng)、管理控制區(qū)。將基礎(chǔ)網(wǎng)絡(luò)平臺劃分為不同的功能區(qū)域，部署不同的應(yīng)用，使網(wǎng)絡(luò)架構(gòu)具有可擴展性、靈活性、高可用性和高安全性。

在整個網(wǎng)絡(luò)架構(gòu)設(shè)計中，以核心骨干區(qū)為中心，其它區(qū)域模塊化處理。這樣設(shè)計是由應(yīng)用的特點決定的，因為幾乎所有的應(yīng)用都需要與其他區(qū)域的應(yīng)用進(jìn)行通訊，所以需要在網(wǎng)絡(luò)中設(shè)計一個核心交換區(qū)，這個區(qū)域作為其它區(qū)域的交換中心。為了保證更好的網(wǎng)絡(luò)性能，核心交換區(qū)提供高速轉(zhuǎn)發(fā)功能。這種架構(gòu)設(shè)計具有很好的伸縮性，根據(jù)將來業(yè)務(wù)發(fā)展的需要，可以非常容易的增加新的區(qū)域，而不需要對整個架構(gòu)進(jìn)行大的修改。同時也可以在不影響其他應(yīng)用或者整個區(qū)域的情況下進(jìn)行網(wǎng)絡(luò)功能的強化。

3.3 存儲設(shè)計

圖1 樂多港私有云數(shù)據(jù)中心整體系統(tǒng)架構(gòu)

圖2 樂多港私有云數(shù)據(jù)中心網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

圖3 樂多港私有云數(shù)據(jù)中心存儲設(shè)計

圖3所示，樂多港私有云數(shù)據(jù)中心存儲系統(tǒng)采用了H3C公司的零存儲系統(tǒng)。該系統(tǒng)采用分布式設(shè)計，具有磁盤、節(jié)點、機架、數(shù)據(jù)中心等多個級別的容錯性。即使多個節(jié)點故障也不會影響整個存儲系統(tǒng)對外提供服務(wù)。用戶可以根據(jù)需要為不同性質(zhì)的數(shù)據(jù)設(shè)置不同的副本數(shù)量，對關(guān)鍵數(shù)據(jù)提供最高的保護。用戶可以采用該系統(tǒng)提供的快照功能隨時對數(shù)據(jù)卷實行快照保護；如果需要，還可以利用遠(yuǎn)程復(fù)制功能將重要的數(shù)據(jù)復(fù)制到遠(yuǎn)程存儲系統(tǒng)上進(jìn)行保護。在這個系統(tǒng)中，每臺服務(wù)器同時也是一個存儲節(jié)點。除了安裝系統(tǒng)軟件的系統(tǒng)盤分區(qū)外，每個節(jié)點上的其他所有磁盤空間（包括系統(tǒng)盤上的非系統(tǒng)分區(qū)）都可以用作存儲空間。

4 樂多港私有云數(shù)據(jù)中心建設(shè)注意要點

4.1 安全

作為一個為所有應(yīng)用系統(tǒng)提供基礎(chǔ)服務(wù)資源的私有云數(shù)據(jù)中心，安全、高效的業(yè)務(wù)交付是其成功的基礎(chǔ)和必備的要求。每一刻建設(shè)的環(huán)節(jié)，包括物理環(huán)境的搭建過程、云計算業(yè)務(wù)系統(tǒng)的構(gòu)建、服務(wù)器存儲資源池的部署，以及系統(tǒng)的運營操作等，都是安全風(fēng)險的潛在制造者和影響系統(tǒng)安全交付的因素。在樂多港私有云建設(shè)規(guī)劃設(shè)計中，以分布式安全設(shè)計為思路，分接入防護、網(wǎng)絡(luò)防護、虛擬化防護和應(yīng)用防護四個方面來考慮安全防護系統(tǒng)設(shè)計（如圖4所示）。采用了準(zhǔn)入控制、硬件防火墻、流量重定向、身份識別、入侵防護、負(fù)載均衡、雙路冗余等技術(shù)的同時，制定了網(wǎng)絡(luò)設(shè)備準(zhǔn)入管理制度、用戶計算機使用行為準(zhǔn)則、突發(fā)事件應(yīng)急處置等管理制度，從技術(shù)和管理兩個方面來建立樂多港安全防范體系。

4.2 統(tǒng)一管理和監(jiān)控

在傳統(tǒng)數(shù)據(jù)中心中，統(tǒng)一管理大多指的是將計算、存儲和網(wǎng)絡(luò)等資源管理平臺，集中放置到管理區(qū)域統(tǒng)一進(jìn)行業(yè)務(wù)處理，但實質(zhì)上，各個管理平臺仍然是各自為政的。當(dāng)管理員完成一個業(yè)務(wù)部署時，需要面對多套平臺系統(tǒng)進(jìn)行任務(wù)下發(fā)，往往需要很高的業(yè)務(wù)技術(shù)能力要求，多方配合才能完成。在IaaS私有云數(shù)據(jù)中心內(nèi)，真正的統(tǒng)一管理是指可以由一位管理員通過一套管理平臺系統(tǒng)，方便的完成整個業(yè)務(wù)系統(tǒng)的部署。同時，隨著網(wǎng)絡(luò)規(guī)模的擴大和節(jié)點的增多，沒有集中監(jiān)控系統(tǒng)，管理員將無法實現(xiàn)對網(wǎng)絡(luò)運行狀況的及時監(jiān)控，無法對網(wǎng)絡(luò)中出現(xiàn)的異常現(xiàn)象進(jìn)行處理。所以在私有云數(shù)據(jù)中心建設(shè)過程中，信息資源的統(tǒng)一管理和統(tǒng)一監(jiān)控是非常重要的環(huán)節(jié)。樂多港私有云數(shù)據(jù)中心采用了H3C公司自行開發(fā)的云管理軟件和網(wǎng)絡(luò)管理軟件，實現(xiàn)了業(yè)務(wù)部署的集中分發(fā)和整個園區(qū)網(wǎng)絡(luò)的集中監(jiān)控。

圖4 樂多港私有云數(shù)據(jù)中心安全防護設(shè)計

4.3 選擇性應(yīng)用虛擬化技術(shù)

虛擬化技術(shù)作為云計算的核心技術(shù)，在文件服務(wù)器和應(yīng)用服務(wù)器的部署中已經(jīng)得到了廣泛的應(yīng)用。近年來，很多專家認(rèn)為，雖然數(shù)據(jù)庫屬于I/O密集型應(yīng)用，但隨著物理機性能的提高和網(wǎng)絡(luò)處理能力的加強，數(shù)據(jù)庫虛擬化后會獲得更強大更高效的功能。在一些行業(yè)領(lǐng)域如重慶地稅系統(tǒng)就采用高端X86服務(wù)器虛擬化技術(shù)來代替小型機做數(shù)據(jù)庫服務(wù)器，取得了不錯的效果。

對于樂多港項目來說，業(yè)務(wù)應(yīng)用系統(tǒng)具有并發(fā)量小、數(shù)據(jù)量小、安全性高、相關(guān)系統(tǒng)間數(shù)據(jù)關(guān)聯(lián)度不高等特殊情況。比如游樂場票務(wù)系統(tǒng)、酒店酒館系統(tǒng)、商場收銀系統(tǒng)作為樂多港信息化工作的核心系統(tǒng)，三者之間數(shù)據(jù)關(guān)聯(lián)度極低，實時并發(fā)用戶數(shù)估計為個位數(shù)，年數(shù)據(jù)增長量在10G以下，但是安全性要求極高，不能出現(xiàn)服務(wù)中斷現(xiàn)象。而企業(yè)集中管理所需的應(yīng)用系統(tǒng)如信息交互平臺、客戶資源管理系統(tǒng)、商業(yè)智能分析系統(tǒng)則有著實時性要求低、數(shù)據(jù)量大、與其他業(yè)務(wù)應(yīng)用系統(tǒng)數(shù)據(jù)關(guān)聯(lián)度高、安全性要求較低等特點。所以，在樂多港私有云數(shù)據(jù)中心建設(shè)過程中，對于數(shù)據(jù)庫服務(wù)器是否采用虛擬

············

化技術(shù)，我們采取了根據(jù)實際情況區(qū)別對待的做法。

游樂場票務(wù)系統(tǒng)、酒店酒館系統(tǒng)、商場收銀系統(tǒng)的數(shù)據(jù)庫服務(wù)器采用了物理機+ORACLE數(shù)據(jù)庫的部署模式來確保其穩(wěn)定性。而信息交互平臺、客戶資源管理系統(tǒng)、商業(yè)智能分析系統(tǒng)的數(shù)據(jù)庫則采用虛擬機+MySQL的部署模式來降低成本。

5 結(jié)語

隨著云計算產(chǎn)業(yè)的發(fā)展，數(shù)據(jù)中心也已經(jīng)不再是硬件設(shè)備的簡單堆積。應(yīng)用軟件的進(jìn)步和業(yè)務(wù)規(guī)模的提升，都對云計算數(shù)據(jù)中心系統(tǒng)設(shè)計提出了更高的要求。為了滿足大中型企業(yè)的發(fā)展需要，IaaS私有云數(shù)據(jù)中心會逐步替代原有形態(tài)的企業(yè)數(shù)據(jù)中心，為企業(yè)提供更加強有力的支持。

IaaS私有云數(shù)據(jù)中心系統(tǒng)涉及到的7個組件中，計算、存儲和網(wǎng)絡(luò)資源都是必要的組成部分，提供最基礎(chǔ)的設(shè)備資源使用，與傳統(tǒng)數(shù)據(jù)中心系統(tǒng)比較，主要針對虛擬化技術(shù)做出了部分專門設(shè)計；安全防護與應(yīng)用優(yōu)化根據(jù)業(yè)務(wù)系統(tǒng)的需求規(guī)劃，可以較為靈活的進(jìn)行設(shè)計，從而實現(xiàn)不同級別的安全與優(yōu)化能力；統(tǒng)一管理平臺和使用交付平臺則是針對IaaS私有云進(jìn)行的專業(yè)設(shè)計，有別于傳統(tǒng)的數(shù)據(jù)中心設(shè)備級別的管理監(jiān)控功能，與云計算IaaS服務(wù)層面緊密結(jié)合，達(dá)到業(yè)務(wù)應(yīng)用級別的深度管控與訪問交付。

樂多港的私有云數(shù)據(jù)中心建設(shè)的目的是更好的服務(wù)于項目四個一流的建設(shè)要求，可以滿足樂多港管理模式的要求，同時隨著管理模式的改變也可以迅速的進(jìn)行適應(yīng)調(diào)整。

［1］趙以爽，肖偉.IaaS 云計算數(shù)據(jù)中心設(shè)計探討［J］.郵電設(shè)計技術(shù)，2012（07）.

［2］王金波.虛擬化與云計算［M］.北京:電子工業(yè)出版社，2009.

［3］黃大川.云計算數(shù)據(jù)中心網(wǎng)絡(luò)關(guān)鍵技術(shù)［J］.郵電設(shè)計技術(shù)，2011 （10）.

趙宏偉（1976—），男，山西五臺人，武漢大學(xué)工程碩士，高級經(jīng)濟師，研究方向：信息系統(tǒng)管理；梁新剛（1975—），男，山西介休人，華北電力大學(xué)工程碩士，高級工程師，信息系統(tǒng)項目管理師，研究方向：信息系統(tǒng)建設(shè)、運維。