呂始勝 李東 公安部第一研究所

引言

安全檢查作為保障社會(huì)穩(wěn)定的一項(xiàng)重要措施，目前已經(jīng)廣泛應(yīng)用在大型活動(dòng)、交通、場(chǎng)館等各個(gè)領(lǐng)域。同時(shí)，隨著技術(shù)的發(fā)展，新型設(shè)備、新興技術(shù)也在安全檢查行業(yè)得到了進(jìn)一步的推廣，如人臉識(shí)別、毫米波人體成像等技術(shù)也會(huì)提高安檢效率，創(chuàng)造更優(yōu)質(zhì)的用戶體驗(yàn)。

但是在行李檢查方面，傳統(tǒng)X射線技術(shù)仍然是目前的主流技術(shù)，特別是通道型X射線機(jī)更是占據(jù)主導(dǎo)地位。與之相對(duì)應(yīng)的管理系統(tǒng)，目前大多是在局域網(wǎng)運(yùn)行甚至單機(jī)模式運(yùn)行，這樣就形成了一個(gè)個(gè)信息孤島，不僅無(wú)法實(shí)現(xiàn)全國(guó)范圍的違禁物品交流共享，也無(wú)法利用大數(shù)據(jù)技術(shù)對(duì)圖像進(jìn)行分析、輔助判讀，主要靠安檢員的主觀判斷，存在一定的安全隱患。

另一方面，云計(jì)算作為目前已經(jīng)成熟的技術(shù)，已經(jīng)廣泛應(yīng)用在各個(gè)方面?；诎踩钥剂?，安檢行業(yè)對(duì)IT環(huán)境和物理資源特別是核心數(shù)據(jù)（人員信息、圖像、設(shè)備信息）具有完全的控制，同時(shí)又有提高資源的利用率、簡(jiǎn)化本地硬件管理成本、具備容災(zāi)功能、建設(shè)大數(shù)據(jù)智能化應(yīng)用等切實(shí)的需求，因此構(gòu)建安檢私有云平臺(tái)是今后安檢行業(yè)發(fā)展的一個(gè)趨勢(shì)。

一、私有云平臺(tái)選型

（一）私有云平臺(tái)構(gòu)建模式

私有云平臺(tái)的構(gòu)建可以采用三種模式：

1. 企業(yè)或研究機(jī)構(gòu)自行開發(fā)

這種方式需要企業(yè)或研究機(jī)構(gòu)有很強(qiáng)的技術(shù)實(shí)力，比較典型的是清華大學(xué)的透明計(jì)算平臺(tái)。

2. 采用商業(yè)解決方案

國(guó)內(nèi)外不少商業(yè)公司提供了較為成熟的私有云整體解決方案，比較典型的是VMWare公司的vSphere、華為云、阿里云、百度云、聯(lián)想云等。其中，有些公司提出了超融合概念，超融合既有包含軟件和硬件的一體機(jī)模式，也有純軟件模式，國(guó)內(nèi)私有云軟件部分都是在開源架構(gòu)上進(jìn)行了二次開發(fā)。

3. 使用開源解決方案

這種方案是利用開源系統(tǒng)構(gòu)造企業(yè)或組織的私有云平臺(tái)，典型的開源系統(tǒng)包括OpenStack、CloundStack、Eucalyptus和OpenNebula等。

三種構(gòu)建模式的比較見表1。

（二）開源私有云平臺(tái)優(yōu)勢(shì)

在自行開發(fā)、商業(yè)解決方案和開源解決方案3種私有云的構(gòu)建模式中，開源方案具有如下多個(gè)優(yōu)勢(shì)：

1. 使用成本低

用戶只需要購(gòu)買硬件設(shè)備和網(wǎng)絡(luò)設(shè)備，無(wú)需為開源軟件的使用付費(fèi)。即使用戶需要開源軟件開發(fā)商提供服務(wù)，其需要付出的費(fèi)用也相對(duì)比較低廉。

2. 開放源代碼

開放源代碼，有利于研究人員對(duì)系統(tǒng)內(nèi)部的實(shí)現(xiàn)機(jī)制進(jìn)行深入研究。開源軟件使用Apache或其他授權(quán)協(xié)議，用戶能夠獲得系統(tǒng)的源代碼，并且可以通過(guò)社區(qū)、討論組等多種形式，與開發(fā)人員和其他用戶深入探討各種技術(shù)問(wèn)題。

3. 平臺(tái)可擴(kuò)展性強(qiáng)

由于現(xiàn)有的云計(jì)算技術(shù)尚在快速發(fā)展中,沒(méi)有形成統(tǒng)一的技術(shù)標(biāo)準(zhǔn)和規(guī)范，一旦選擇了一種商業(yè)解決方案，就很難轉(zhuǎn)換到其他平臺(tái)。而開源云平臺(tái)在設(shè)計(jì)時(shí)一般會(huì)保持對(duì)主流云計(jì)算技術(shù)的兼容性，同時(shí)提供轉(zhuǎn)換工具，有效地避免了廠商鎖定問(wèn)題，增強(qiáng)了系統(tǒng)的可擴(kuò)展性。

（三）主流開源云計(jì)算

目前主要的開源云計(jì)算系統(tǒng)有OpenStack、CloudStack、 Eucalyptus和 OpenNebula等 ， 其 中OpenStack目前已經(jīng)獲得英特爾、惠普、戴爾、Ubuntu、思科等多個(gè)重要公司和開源組織的支持，同時(shí)還可以構(gòu)建公有云和私有云，是目前最熱門的開源云計(jì)算系統(tǒng)，也已經(jīng)稱為開源云計(jì)算的事實(shí)標(biāo)準(zhǔn)。

基于成本、技術(shù)可實(shí)現(xiàn)性、技術(shù)發(fā)展遠(yuǎn)景等方面綜合考慮，同時(shí)結(jié)合安檢行業(yè)的具體需求及規(guī)劃，研究方案選擇使用OpenStack構(gòu)建私有云平臺(tái)。

二、OpenStack的重要概念

（一）OpenStack基本組件

1. KeyStone

主要作用是為各個(gè)組件提供用戶的認(rèn)證、鑒權(quán)等服務(wù)，是核心組件之一。

2. Nova（OpenStack Compute）

主要作用是控制虛擬機(jī)的配置及整個(gè)生命周期，是核心組件之一。

3. Glance

主要作用是存儲(chǔ)虛擬機(jī)的鏡像和快照等，是核心組件之一。

4. Neutron

主要作用是提供網(wǎng)絡(luò)和地址管理，是SDN(軟件定義網(wǎng)絡(luò))在OpenStack里的一個(gè)實(shí)現(xiàn)，是核心組件之一。

5. Cinder

主要作用是提供塊存儲(chǔ)服務(wù)。

6. Swift

主要作用是提供對(duì)象存儲(chǔ)服務(wù)。

7. Horizon

主要作用是提供一個(gè)圖形化OpenStack管理界面。

8. Heat

主要作用是做各個(gè)服務(wù)的編排。

（二）OpenStack節(jié)點(diǎn)類型

OpenStack主要有四種節(jié)點(diǎn)：

1. 控制器節(jié)點(diǎn)

是OpenStack的管理節(jié)點(diǎn)， OpenStack大部分服務(wù)都是運(yùn)行在控制器節(jié)點(diǎn)上，如keystone認(rèn)證服務(wù)、Glance管理服務(wù)等；

2. 計(jì)算節(jié)點(diǎn)

指實(shí)際運(yùn)行虛擬機(jī)的節(jié)點(diǎn)，虛擬機(jī)實(shí)際上最后是在計(jì)算節(jié)點(diǎn)上運(yùn)行的；

3. 存儲(chǔ)節(jié)點(diǎn)

可以是提供對(duì)象存儲(chǔ)或塊存儲(chǔ)的節(jié)點(diǎn)，也可以是一個(gè)其它服務(wù)的存儲(chǔ)后端；

4. 網(wǎng)絡(luò)節(jié)點(diǎn)

主要是實(shí)現(xiàn)網(wǎng)關(guān)和路由的功能。

（三）OpenStack網(wǎng)絡(luò)類型

1. 外部網(wǎng)絡(luò)-公開

公共網(wǎng)絡(luò)，外部或Internet可以訪問(wèn)的網(wǎng)絡(luò)

2. 內(nèi)部網(wǎng)絡(luò)

（1）私有網(wǎng)絡(luò)-私有

僅內(nèi)部訪問(wèn)的網(wǎng)絡(luò)。

（2）管理網(wǎng)絡(luò)-管理

用于OpenStack 各組件以及數(shù)據(jù)庫(kù)、消息隊(duì)列之間的內(nèi)部通信。

（3）存儲(chǔ)網(wǎng)絡(luò)-存儲(chǔ)

用于虛擬機(jī)及其位于外部存儲(chǔ)系統(tǒng)上的應(yīng)用程序數(shù)據(jù)集之間的通信。

（4）服務(wù)網(wǎng)絡(luò)-服務(wù)

用于租戶VLAN/subnets中實(shí)例的固定IP地址。

三、OpenStack部署方式

（一）OpenStack部署工具

常見的OpenStack部署工具包括：DevStack、Rdo、Puppet、 Ansible、 SaltStack、 TripleO、 Kolla、 OSP、Fuel等，另外可以是使用腳本手動(dòng)部署。

其中，F(xiàn)uel是針對(duì)OpenStack生產(chǎn)環(huán)境目標(biāo)（非開源）設(shè)計(jì)的一個(gè)端到端“一鍵部署”的工具，大量采用了Python、Ruby和JavaScript等語(yǔ)言。其功能涵蓋自動(dòng)的PXE方式的操作系統(tǒng)安裝、DHCP服務(wù)、Orchestration服務(wù)和配置管理相關(guān)服務(wù)等，此外還有OpenStack關(guān)鍵業(yè)務(wù)健康檢查和log實(shí)時(shí)查看等非常好用的服務(wù)，其在OpenStack個(gè)人和企業(yè)部署市場(chǎng)上占有較大的份額，不少國(guó)內(nèi)OpenStack公司（如聯(lián)想云）的安裝包就是基于Fuel去修改的。

（二）Fuel的優(yōu)點(diǎn)

（1）節(jié)點(diǎn)的自動(dòng)發(fā)現(xiàn)和預(yù)校驗(yàn)；

（2）配置簡(jiǎn)單、快速；

（3）支持多種操作系統(tǒng)和發(fā)行版，支持HA部署；

4. 對(duì)外提供API對(duì)環(huán)境進(jìn)行管理和配置，例如動(dòng)態(tài)添加計(jì)算/存儲(chǔ)節(jié)點(diǎn)；

（5）自帶健康檢查工具；

（6）支持Neutron，子網(wǎng)能配置具體使用哪個(gè)物理網(wǎng)卡等。

（三）Fuel的架構(gòu)

Fuel的架構(gòu)圖如圖1所示。

（四）Fuel的網(wǎng)絡(luò)拓?fù)鋱D

Fuel的網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。

四、安檢私有云平臺(tái)規(guī)劃及部署

在實(shí)驗(yàn)驗(yàn)證環(huán)境中，可以選擇使用低配置服務(wù)器甚至是虛擬機(jī)等進(jìn)行功能性驗(yàn)證；但是在安檢生產(chǎn)環(huán)境中，需要對(duì)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)物理資源等進(jìn)行高可用設(shè)計(jì)，實(shí)現(xiàn)控制器節(jié)點(diǎn)、計(jì)算節(jié)點(diǎn)、存儲(chǔ)節(jié)點(diǎn)、網(wǎng)絡(luò)節(jié)點(diǎn)的高可用，從而滿足可靠性、可用性、伸縮性、安全性、可管理性、高性能等要求。

安檢私有云平臺(tái)的搭建重點(diǎn)在于利用現(xiàn)有的技術(shù)，根據(jù)安檢的特定需要進(jìn)行規(guī)劃、部署，并最終實(shí)現(xiàn)安檢相關(guān)業(yè)務(wù)的遷移上云，從而在不改變現(xiàn)有業(yè)務(wù)邏輯的前提下，最大程度利用云計(jì)算的優(yōu)點(diǎn)解決當(dāng)前安檢業(yè)務(wù)中的實(shí)際問(wèn)題。

（一）規(guī)劃步驟

1. 選擇網(wǎng)絡(luò)拓?fù)?/p>

采用標(biāo)準(zhǔn)Fuel高可用網(wǎng)絡(luò)拓?fù)洌?/p>

2. 準(zhǔn)備網(wǎng)絡(luò)和IP分配管理方案

根據(jù)節(jié)點(diǎn)類型確定網(wǎng)絡(luò)物理接口數(shù)量，并采用VLAN模式進(jìn)行網(wǎng)絡(luò)隔離，為公網(wǎng)、浮動(dòng)地址、管理網(wǎng)、存儲(chǔ)網(wǎng)和虛擬機(jī)內(nèi)部網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)地址和VLAN ID；

3. 選擇存儲(chǔ)

根據(jù)安檢業(yè)務(wù)的需要，選擇Ceph作為后端存儲(chǔ)，并確定為3副本模式從而保證存儲(chǔ)的高可用；

4. 確定節(jié)點(diǎn)總數(shù)、各節(jié)點(diǎn)角色以及高可用規(guī)劃

確保各節(jié)點(diǎn)不少于3個(gè)，以確保控制器節(jié)點(diǎn)、網(wǎng)絡(luò)節(jié)點(diǎn)、計(jì)算節(jié)點(diǎn)和存儲(chǔ)節(jié)點(diǎn)的高可用，并通過(guò)對(duì)虛擬機(jī)的規(guī)劃實(shí)現(xiàn)安檢業(yè)務(wù)系統(tǒng)的高可用；

5. 規(guī)劃監(jiān)控工具

采用Ceiloment對(duì)資源和用量進(jìn)行監(jiān)控；

6. 安裝Sahara、運(yùn)行 Hadoop

實(shí)現(xiàn)安檢特定業(yè)務(wù)的大數(shù)據(jù)處理需求；

7. 規(guī)劃裸機(jī)

安裝部署裸機(jī)服務(wù)，滿足連接特定外設(shè)的需要；

8. 計(jì)算需要的服務(wù)器和網(wǎng)絡(luò)情況

在匯總OpenStack高可用環(huán)境及安檢業(yè)務(wù)系統(tǒng)所需的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源后，根據(jù)相應(yīng)的計(jì)算公式計(jì)算所需的服務(wù)器和網(wǎng)絡(luò)數(shù)量，從而保證業(yè)務(wù)的穩(wěn)定可靠。

（二）安裝部署步驟

1. 配置相關(guān)網(wǎng)絡(luò)

根據(jù)網(wǎng)絡(luò)規(guī)劃，設(shè)置物理網(wǎng)卡，并劃分相關(guān)子網(wǎng)。

2. 安裝Fuel Master

使用安裝包，進(jìn)行Fuel Master節(jié)點(diǎn)的安裝。安裝完成后會(huì)彈出配置界面，可以根據(jù)Fuel Master節(jié)點(diǎn)的網(wǎng)絡(luò)情況設(shè)置網(wǎng)絡(luò)以及PXE等，配置完后即可通過(guò)瀏覽器打開管理界面。

3. 安裝OpenStack

Fuel主節(jié)點(diǎn)安裝完畢后開始部署OpenStack。各子節(jié)點(diǎn)網(wǎng)絡(luò)部署好并重啟后，便會(huì)自動(dòng)進(jìn)入PXE模式被Fuel主節(jié)點(diǎn)發(fā)現(xiàn)。在管理界面中根據(jù)實(shí)際情況將各子節(jié)點(diǎn)劃分成控制器節(jié)點(diǎn)、存儲(chǔ)節(jié)點(diǎn)、計(jì)算節(jié)點(diǎn)，然后為每一個(gè)節(jié)點(diǎn)修改網(wǎng)卡對(duì)應(yīng)的網(wǎng)絡(luò)，如圖3所示。

待各子節(jié)點(diǎn)設(shè)置完成，即可進(jìn)行OpenStack環(huán)境的部署，系統(tǒng)將會(huì)在各子節(jié)點(diǎn)上安裝操作系統(tǒng)及OpenStack相應(yīng)的組件，從而完成云平臺(tái)的構(gòu)建，為上層應(yīng)用提供資源和服務(wù)。

（三）安檢業(yè)務(wù)遷移上云

在安檢私有云平臺(tái)搭建完成后，可以在該平臺(tái)上根據(jù)業(yè)務(wù)需要安裝虛擬機(jī)或直接管理裸機(jī)，并將相關(guān)安檢業(yè)務(wù)系統(tǒng)遷移到這些虛擬機(jī)或裸機(jī)上，從而實(shí)現(xiàn)安檢業(yè)務(wù)上云。

安檢業(yè)務(wù)上云后，不僅能夠保證原有業(yè)務(wù)系統(tǒng)正常運(yùn)行，而且具有良好的可靠性和可擴(kuò)展性，為今后安檢向智能化發(fā)展提供技術(shù)保障。

五、安檢私有云平臺(tái)實(shí)際應(yīng)用

根據(jù)業(yè)務(wù)需要，規(guī)劃并部署了一套用于安檢系統(tǒng)驗(yàn)證和測(cè)試的安檢私有云平臺(tái)，將現(xiàn)有的某些業(yè)務(wù)遷移到該平臺(tái)，并在此基礎(chǔ)上結(jié)合公有云實(shí)現(xiàn)了基于混合云模式的安檢典型案例、典型違禁品數(shù)據(jù)共享等業(yè)務(wù)的拓展。通過(guò)該平臺(tái)，不僅能夠完成現(xiàn)有系統(tǒng)的測(cè)試，而且對(duì)現(xiàn)有系統(tǒng)的升級(jí)改造提供了新的解決方案，在試用過(guò)程中獲得了良好的評(píng)價(jià)。

六、結(jié)語(yǔ)

根據(jù)安檢行業(yè)現(xiàn)狀以及今后的發(fā)展趨勢(shì)，結(jié)合私有云平臺(tái)的規(guī)劃和部署選型，使用Fuel部署工具搭建安檢私有云一方面能夠滿足安檢的實(shí)際需要以及擴(kuò)展能力，另外一方面可以實(shí)現(xiàn)技術(shù)的快速落地，從而為提高安檢效率、提高資源利用率提供可靠的技術(shù)保障。