鐘宇曦

（數(shù)字廣西集團(tuán) 云上廣西網(wǎng)絡(luò)科技有限公司，廣西 南寧 530000）

0 引 言

在云服務(wù)中，LaaS位于基礎(chǔ)層，能夠?yàn)镻aaS、SaaS提供網(wǎng)絡(luò)、存儲(chǔ)、服務(wù)器等支持。從優(yōu)化資源利用率目標(biāo)入手，應(yīng)當(dāng)重新整合與優(yōu)化計(jì)算、存儲(chǔ)資源，并在實(shí)際需求基礎(chǔ)上，提高各類硬件設(shè)備的利用效率。資源池是各類資源的集合體，內(nèi)部資源應(yīng)當(dāng)通過(guò)動(dòng)態(tài)調(diào)整的方式實(shí)現(xiàn)合理配置。

云計(jì)算起步較晚，針對(duì)LaaS資源池的研究成果還比較少，無(wú)法尋找到成功的規(guī)劃建設(shè)經(jīng)驗(yàn)。文章結(jié)合收集的文獻(xiàn)與實(shí)際經(jīng)驗(yàn)，以LaaS資源池對(duì)研究對(duì)象，詳細(xì)探討了其總體架構(gòu)、規(guī)劃原則、安全防護(hù)以及系統(tǒng)部署等內(nèi)容，希望能夠?yàn)樾袠I(yè)的規(guī)劃建設(shè)提供有利參考。

1 IaaS資源池總體架構(gòu)

從功能級(jí)別和技術(shù)類型入手，可將LaaS資源池劃分為4個(gè)部分[1]。

（1）物理資源。由各種硬件構(gòu)成，屬于底層架構(gòu)，包括網(wǎng)絡(luò)裝置、各類硬盤及服務(wù)器。

（2）虛擬化資源池。即對(duì)物理資源進(jìn)行虛擬化處理后得到的各類虛擬化資源集合體。這里因?yàn)槌橄筇幚砹宋锢碛布?，所以物理硬件演變?yōu)檫壿嬞Y源，具備可調(diào)度和管理特征。

（3）運(yùn)營(yíng)管理平臺(tái)。能夠統(tǒng)一對(duì)用戶、資源、接口等資源、業(yè)務(wù)進(jìn)行管理，屬于自動(dòng)化系統(tǒng)。

（4）安全。除了基本的數(shù)據(jù)安全之外，還包括網(wǎng)絡(luò)、業(yè)務(wù)以及主機(jī)的安全。

2 資源池建設(shè)中的關(guān)鍵技術(shù)

2.1 主機(jī)虛擬化

主機(jī)屬于硬件設(shè)備，由I/O、CPU等構(gòu)成。主機(jī)虛擬化即使用虛擬化軟件來(lái)調(diào)度、管理主機(jī)資源，并把這些資源分配至相互隔離的虛擬機(jī)（VM）的資源處理方式。當(dāng)虛擬化主機(jī)后，利用虛擬機(jī)管理器（VMM），可以在物理主機(jī)和虛擬主機(jī)間交互資源。從容災(zāi)備份、成本以及管理效率等角度考慮，主機(jī)虛擬化存在較大的實(shí)現(xiàn)價(jià)值，不僅對(duì)企業(yè)運(yùn)行效率有促進(jìn)作用，也能盤活I(lǐng)T資源。

在虛擬化主機(jī)時(shí)，需要應(yīng)用到開(kāi)源型或商業(yè)型虛擬化軟件（Hypervisor）。前者投入資金少，如果待虛擬的資源不多，極有可能實(shí)現(xiàn)免費(fèi)虛擬。后者是廠家用于盈利的產(chǎn)品，具有功能強(qiáng)大、運(yùn)行穩(wěn)定的優(yōu)勢(shì)，非常適合大規(guī)模主機(jī)資源的虛擬化操作。在實(shí)際選擇時(shí)，需要根據(jù)技術(shù)、業(yè)務(wù)以及資金等因素加以考量。

2.2 存儲(chǔ)虛擬化

存儲(chǔ)虛擬化是為了節(jié)約系統(tǒng)管理投入，提高資源利用率，而對(duì)零散資源進(jìn)行整合并得到“存儲(chǔ)池”的技術(shù)。快速的數(shù)據(jù)增長(zhǎng)迫切要求與之對(duì)應(yīng)的數(shù)據(jù)管理能力，借助虛擬化即可以縮減人工作業(yè)，還能減少重復(fù)性的資源存儲(chǔ)、歸檔以及備份等操作。

存儲(chǔ)虛擬化主要有以主機(jī)為基礎(chǔ)的虛擬存儲(chǔ)、基于存儲(chǔ)設(shè)備的虛擬化以及基于網(wǎng)絡(luò)的虛擬化3種方法[1]。

以主機(jī)為基礎(chǔ)進(jìn)行虛擬存儲(chǔ)。該方法對(duì)代理軟件有很大的依賴性，且會(huì)因?yàn)檫\(yùn)行控制軟件而增加主機(jī)負(fù)擔(dān)，導(dǎo)致其會(huì)對(duì)系統(tǒng)安全造成威脅。例如，代理軟件有可能對(duì)保護(hù)數(shù)據(jù)進(jìn)行越權(quán)訪問(wèn)。當(dāng)前，該方法已經(jīng)有相對(duì)應(yīng)的軟件產(chǎn)品上市，在實(shí)現(xiàn)方法和成本方面具有獨(dú)特優(yōu)勢(shì)。

基于存儲(chǔ)設(shè)備的虛擬化。該方法可能引起單點(diǎn)故障，且設(shè)備兼容性差。例如，因?yàn)閷?duì)功能模塊過(guò)于依賴，容易出現(xiàn)排斥JBODS的情況。特別是在缺乏虛擬軟件的情況下，該方法下的虛擬化程度也比較低。

基于網(wǎng)絡(luò)的虛擬化。它可以通過(guò)路由器與互聯(lián)設(shè)備的虛擬化加以實(shí)現(xiàn)，無(wú)需過(guò)于復(fù)雜的配置，但虛擬化程度與前端控制服務(wù)器堆疊數(shù)量存在直接聯(lián)系。業(yè)界通常會(huì)在異構(gòu)存儲(chǔ)環(huán)境較為簡(jiǎn)單的情況下使用這種方式。

3 資源池規(guī)劃原則和設(shè)計(jì)要點(diǎn)

（1）提升資源利用率。加快引入云化技術(shù)，完善資源分配機(jī)制，重新設(shè)計(jì)軟、硬資源配置方式。

（2）利用安全策略維護(hù)LaaS的安全，通過(guò)高帶寬為數(shù)據(jù)遷移、虛擬機(jī)加載提供支持。

（3）關(guān)注資源池的兼容性。在業(yè)界尚未統(tǒng)一構(gòu)建LaaS標(biāo)準(zhǔn)，規(guī)劃建設(shè)時(shí)必然要考慮各CPU、存儲(chǔ)、虛擬機(jī)以及硬件間的兼容性。為降低規(guī)劃風(fēng)險(xiǎn)，可以設(shè)置為單一系統(tǒng)。

（4）明確規(guī)劃目標(biāo)，有計(jì)劃、有步驟地進(jìn)行規(guī)劃。一般而言，先確定資源池的容量，再完成節(jié)點(diǎn)設(shè)置及其他部署工作。

4 資源池容量規(guī)劃

有效梳理待規(guī)劃的業(yè)務(wù)系統(tǒng)，可以明確資源池容量，為后期節(jié)點(diǎn)設(shè)置與總體部署提供參考。

業(yè)務(wù)部門在處理計(jì)算資源時(shí)，需求的衡量標(biāo)準(zhǔn)有兩個(gè)——tpmC或者參考物理服務(wù)器配置，如硬盤、CPU參數(shù)。為此，應(yīng)當(dāng)先定義標(biāo)準(zhǔn)化虛擬機(jī)模塊，后由用戶將計(jì)算資源需求轉(zhuǎn)換成標(biāo)準(zhǔn)化模塊配置的數(shù)量。此外，根據(jù)資源的不同，關(guān)注內(nèi)容也會(huì)存在差異。例如，在計(jì)算網(wǎng)絡(luò)資源時(shí)，需要注意NAT、防火墻、IP地址以及帶寬等需求；在處理存儲(chǔ)資源時(shí)，需分析存儲(chǔ)接口與容量。若應(yīng)用場(chǎng)景較為特殊，也會(huì)需要小型機(jī)和X86服務(wù)器。

如果若干虛擬機(jī)同時(shí)使用1個(gè)CPU，則會(huì)出現(xiàn)超配現(xiàn)象。通常，在1臺(tái)服務(wù)器上，CPU核總數(shù)等于虛擬CPU總數(shù)。利用超配能夠有效優(yōu)化資源使用率。在確定超配比時(shí)，應(yīng)當(dāng)考慮服務(wù)器的業(yè)務(wù)類型。若無(wú)特殊要求，超配比的取值為2～6。

受應(yīng)用程序的影響下，不僅無(wú)法主動(dòng)釋放內(nèi)存，也會(huì)影響內(nèi)存的共享。鑒于此，可以適當(dāng)提高服務(wù)器內(nèi)容配比，可參考“CPU核數(shù)/內(nèi)存=1:4”的原則加以配比。若某些業(yè)務(wù)存在更高的內(nèi)容要求，則需要增加內(nèi)存的比例，如將配比調(diào)整為1:8或1:16等。

5 資源池節(jié)點(diǎn)設(shè)置及節(jié)點(diǎn)間互聯(lián)

如果各項(xiàng)條件滿足要求，且因?yàn)橘Y源池存在規(guī)模效應(yīng)和集約效應(yīng)，不妨選取集中部署方案。機(jī)房應(yīng)當(dāng)配齊各類基礎(chǔ)設(shè)施，位于交通要道。同時(shí)，考慮到后續(xù)業(yè)務(wù)需要，機(jī)房空間要夠?qū)拸V，且要有多余的機(jī)架。如果機(jī)房條件較為簡(jiǎn)陋或者機(jī)架在200個(gè)以上，則可以采取節(jié)點(diǎn)布置方案。在相同節(jié)點(diǎn)上，可以部署存在較高關(guān)聯(lián)性的業(yè)務(wù)系統(tǒng)。

為了實(shí)時(shí)遷移虛擬機(jī)，完成服務(wù)器集群計(jì)算任務(wù)，應(yīng)當(dāng)在布置節(jié)點(diǎn)時(shí)構(gòu)建廣域2層網(wǎng)絡(luò)互聯(lián)架構(gòu)。在云計(jì)算行業(yè)，一般使用OTV、L2TP、光纖直聯(lián)、VPLS與VPN二層互聯(lián)等方式構(gòu)建節(jié)點(diǎn)間的二層互聯(lián)體系。如果部署的節(jié)點(diǎn)不在同城范圍，那么也會(huì)影響遷移的實(shí)時(shí)性，即增加遷移延時(shí)。廣域二層網(wǎng)絡(luò)本身也存在缺陷，如IP地址全域規(guī)劃難、廣播風(fēng)暴以及VRRP擴(kuò)散等。鑒于節(jié)點(diǎn)部署過(guò)程中存在的尚無(wú)徹底解決的問(wèn)題，業(yè)界探索了其他方法，即三層IP/VPN互聯(lián)。

6 資源池部署方案

6.1 資源池分區(qū)

資源池中包括網(wǎng)絡(luò)、存儲(chǔ)以及計(jì)算資源，還設(shè)計(jì)了保障系統(tǒng)，即管理維護(hù)和安全防護(hù)系統(tǒng)。在核心業(yè)務(wù)區(qū)、非核心業(yè)務(wù)區(qū)和開(kāi)發(fā)測(cè)試區(qū)，分別放置了不同保障級(jí)別的資源。因?yàn)樵诰S護(hù)等級(jí)、硬件與軟件選擇上進(jìn)行了不同設(shè)計(jì)，所以能夠?yàn)楦鲄^(qū)域數(shù)據(jù)提供不同的保障。

6.2 計(jì)算資源部署

X86服務(wù)器是部署計(jì)算資源時(shí)可以支持虛擬化技術(shù)的重要主體。通過(guò)虛擬化軟件的多樣化選擇，用戶可以按需構(gòu)建虛擬機(jī)集群。若應(yīng)用場(chǎng)景較為特殊，也會(huì)需要小型機(jī)和X86服務(wù)器。

除了管理平臺(tái)有權(quán)對(duì)全部的計(jì)算資源進(jìn)行調(diào)配、管理外，也可使用對(duì)應(yīng)的管理工具單獨(dú)調(diào)配計(jì)算資源，進(jìn)而提高資源管理的靈活性和獨(dú)立性。

6.3 存儲(chǔ)資源部署

“共享存儲(chǔ)、分布式對(duì)象存儲(chǔ)相結(jié)合”是部署存儲(chǔ)資源時(shí)的基本指導(dǎo)思想。對(duì)市場(chǎng)上的存儲(chǔ)技術(shù)進(jìn)行綜合考量后，應(yīng)視條件采取不同的部署方案。對(duì)于中高端存儲(chǔ)需求，F(xiàn)CSAN可提供有效的部署支持，性能優(yōu)秀。但是，因?yàn)橐ㄔO(shè)光纖存儲(chǔ)網(wǎng)絡(luò)，所以費(fèi)用相對(duì)更高。如果存儲(chǔ)需求為中低端存儲(chǔ)，則可以選擇IPSAN、FCoE模式。該模式下，沒(méi)有建設(shè)光纖存儲(chǔ)網(wǎng)絡(luò)的要求，直接通過(guò)網(wǎng)絡(luò)交換機(jī)便可以對(duì)存儲(chǔ)資源進(jìn)行虛擬化，可節(jié)約資金。若存儲(chǔ)數(shù)據(jù)較多且讀寫頻率較低，則可以使用分布式對(duì)象存儲(chǔ)模式。本模式雖然響應(yīng)速度慢，但在容量、成本方面具有獨(dú)有的優(yōu)勢(shì)。此外，需采用離線備份方式，如使用SATA陣列和傳動(dòng)磁帶庫(kù)。

6.4 網(wǎng)絡(luò)資源部署

經(jīng)多方考量，筆者認(rèn)為扁平化架構(gòu)可以滿足網(wǎng)絡(luò)資源部署的要求。核心層設(shè)計(jì)有3層交換機(jī)，容量較大，可以轉(zhuǎn)發(fā)節(jié)點(diǎn)集群流量，也能同外部網(wǎng)絡(luò)交換流量。核心層可接入負(fù)載均衡設(shè)備、大容量防火墻，并由其他業(yè)務(wù)系統(tǒng)共享。此外，由交換機(jī)組建接入層，功能是接入服務(wù)器。

7 安全防護(hù)

在互聯(lián)網(wǎng)平臺(tái)，需要從多個(gè)方面考量資源池的安全設(shè)計(jì)。例如，需要綜合保障接口、網(wǎng)絡(luò)、主機(jī)、物理與數(shù)據(jù)的安全，并通過(guò)業(yè)務(wù)連續(xù)性、身份識(shí)別、密鑰與安全事件管理等措施提高安全級(jí)別。當(dāng)前，在云計(jì)算領(lǐng)域使用的安全防護(hù)手段多是直接引入傳統(tǒng)防護(hù)措施。但是，在主機(jī)與存儲(chǔ)虛擬化后，必須更新防護(hù)協(xié)議。

針對(duì)虛擬化安全防護(hù)，通過(guò)總結(jié)業(yè)界結(jié)論，發(fā)現(xiàn)需要解決兩方面問(wèn)題[2]。一方面，提高虛擬技術(shù)的安全級(jí)別，防止因技術(shù)本身存在漏洞而造成安全問(wèn)題。另一方面，解決由虛擬化引起的各類安全問(wèn)題。為了加強(qiáng)虛擬化安全防護(hù)，研究者探索出眾多有效方法，如VM監(jiān)控與訪問(wèn)控制、VM隔離與安全遷移、檢查虛擬鏡像文件的完整性以及加密存儲(chǔ)虛擬鏡像文件等。

特別是商業(yè)型軟件，因?yàn)樘摂M層本身存在設(shè)計(jì)漏洞，所以為了提高用戶體驗(yàn)，廠商應(yīng)當(dāng)加強(qiáng)補(bǔ)丁更新，并及時(shí)完善Hypervisor策略，做好安全日志的審核工作。另外，Sandbox可限制非可信程序，包括Cerb、Janus、BlueBox等實(shí)現(xiàn)方案，是一種深度防御技術(shù)。

8 業(yè)務(wù)遷移

在完成資源池部署工作后，應(yīng)當(dāng)有計(jì)劃地進(jìn)行業(yè)務(wù)遷移。一般而言，業(yè)務(wù)遷移的必經(jīng)過(guò)程為“前期評(píng)估→制定方案→調(diào)度資源→部署業(yè)務(wù)割接→審計(jì)→評(píng)估成效”[3]。有的業(yè)務(wù)系統(tǒng)存在較大的集成商支持，考慮到兼容性問(wèn)題，認(rèn)為可以在虛擬機(jī)上部署后再遷移。有的系統(tǒng)支撐力度小，不妨采用自動(dòng)遷移法，如使用P2V工具。需注意，因系統(tǒng)差異，遷移工具的轉(zhuǎn)換效果也存在不同。

9 結(jié) 論

云計(jì)算體現(xiàn)了網(wǎng)格計(jì)算的特征，具有快速處理大量數(shù)據(jù)的能力。隨著研究的深入，云計(jì)算已經(jīng)具備了網(wǎng)絡(luò)存儲(chǔ)、負(fù)載均衡以及熱備份冗余等能力。云計(jì)算的出現(xiàn)催生了第三次互聯(lián)網(wǎng)革命，但因?yàn)檎幱谄鸩诫A段，業(yè)界尚未構(gòu)建統(tǒng)一的標(biāo)準(zhǔn)，在特殊領(lǐng)域也沒(méi)有成功的經(jīng)驗(yàn)可以借鑒。所以，在推廣實(shí)施云計(jì)算時(shí)，需記錄好工作中存在的不足，通過(guò)經(jīng)驗(yàn)積累不斷提高IaaS的規(guī)劃質(zhì)量。文章簡(jiǎn)要分析IaaS資源池架構(gòu)，詳細(xì)探討了主機(jī)與存儲(chǔ)虛擬化。在部署問(wèn)題上，筆者從資源池的分區(qū)入手，介紹了網(wǎng)絡(luò)、存儲(chǔ)、計(jì)算資源的部署方式，并針對(duì)業(yè)務(wù)遷移的重要性，給出了遷移流程及遷移方式。