私有云建設(shè)方案

1、目錄1、項(xiàng)目概述32、項(xiàng)目建設(shè)規(guī)劃52.1、建設(shè)原則52.2、項(xiàng)目建設(shè)內(nèi)容、思路及技術(shù)規(guī)劃52.3、技術(shù)架構(gòu)和路線介紹72.3.1、資源池化72.3.2、智能化云管理83、私有云總體建設(shè)方案93.1、建設(shè)原則93.2、總體設(shè)計(jì)方案103.2.1、邏輯架構(gòu)103.2.2、網(wǎng)絡(luò)架構(gòu)（假設(shè)）113.3、云管理平臺(tái)設(shè)計(jì)133.3.1、云管理平臺(tái)系統(tǒng)架構(gòu)133.3.2、云管理平臺(tái)功能153.3.3、云管理平臺(tái)設(shè)計(jì)213.4、虛擬化設(shè)計(jì)253.4.1、服務(wù)器虛擬化253.4.2、桌面虛擬化263.5、安全設(shè)計(jì)303.6、計(jì)算資源池設(shè)計(jì)323.6.1、計(jì)算資源池技術(shù)路線323.6.2、計(jì)算資源池設(shè)計(jì)343.

2、7、存儲(chǔ)資源池設(shè)計(jì)343.7.1、存儲(chǔ)資源池技術(shù)路線343.7.2、存儲(chǔ)資源池363.8、應(yīng)用遷移及現(xiàn)有設(shè)備利舊363.8.1、應(yīng)用遷移373.8.2、設(shè)備利舊381、 項(xiàng)目概述 云計(jì)算是一種IT資源的交付和使用模式，指通過網(wǎng)絡(luò)（包括互聯(lián)網(wǎng)Internet和企業(yè)內(nèi)部網(wǎng)Intranet）以按需、易擴(kuò)展的方式獲得所需的軟件、應(yīng)用平臺(tái)、及基礎(chǔ)設(shè)施等資源。云計(jì)算具有資源池化、彈性擴(kuò)展、自助服務(wù)、按需付費(fèi)、寬帶接入等關(guān)鍵特征。從部署和應(yīng)用模式來講，云計(jì)算分為公有云、私有云和混合云等。云計(jì)算從服務(wù)模式上來講主要包括基礎(chǔ)設(shè)施即服務(wù)（IaaS）、平臺(tái)即服務(wù)（PaaS）、軟件即服務(wù)（SaaS）等內(nèi)容。IaaS是

3、Infrastructure-as-a-Service（基礎(chǔ)設(shè)施即服務(wù)）的建成，云計(jì)算中心可使用IaaS的模式將其資源提供給客戶，通過虛擬化技術(shù)，虛擬數(shù)據(jù)中心可以將相應(yīng)的物理資源虛擬為多個(gè)虛擬的數(shù)據(jù)中心，從而在用戶一端看到一個(gè)個(gè)獨(dú)立的，完整的數(shù)據(jù)中心（虛擬的），這些虛擬數(shù)據(jù)中心可以由用戶發(fā)起申請(qǐng)和維護(hù)，同時(shí)，這些虛擬數(shù)據(jù)中心還具有不同的資源占用級(jí)別，從而保證不同的用戶具有不一樣的資源使用優(yōu)先級(jí)。PaaS是Platform-as-a-Service(平臺(tái)即服務(wù))的簡稱，PaaS能給客戶帶來更靈活、更個(gè)性化的服務(wù)，這包括但不僅限于中間件作為服務(wù)、消息傳遞作為服務(wù)、集成作為服務(wù)、信息作為服務(wù)、連接性

4、作為服務(wù)等。此處的服務(wù)主要是為了支持應(yīng)用程序。這些應(yīng)用程序可以運(yùn)行在云中，并且可以運(yùn)行在更加傳統(tǒng)的企業(yè)數(shù)據(jù)中心中。為了實(shí)現(xiàn)云內(nèi)所需的可擴(kuò)展性，此處提供的不同服務(wù)經(jīng)常被虛擬化。PaaS廠商也吸引軟件開發(fā)商在PaaS平臺(tái)上開發(fā)、運(yùn)行并銷售在線軟件。SaaS是Software-as-a-Service（軟件即服務(wù)）的簡稱，一種通過Internet提供軟件的模式，廠商將應(yīng)用軟件統(tǒng)一部署在自己的服務(wù)器上，客戶可以根據(jù)自己實(shí)際需求，通過互聯(lián)網(wǎng)向廠商定購所需的應(yīng)用軟件服務(wù)，按定購的服務(wù)多少和時(shí)間長短向廠商支付費(fèi)用，并通過互聯(lián)網(wǎng)獲得廠商提供的服務(wù)。本次項(xiàng)目為 的私有云項(xiàng)目，目標(biāo)為搭建完成一個(gè)面向于 內(nèi)部使用的

5、私有云環(huán)境，將各應(yīng)用系統(tǒng)移植到該私有云上，實(shí)現(xiàn)資源的有效利用、動(dòng)態(tài)分配、靈活擴(kuò)展和統(tǒng)一管理。本方案的寫作目的為明確建設(shè)所需資源、實(shí)現(xiàn)步驟及最終呈現(xiàn)。本方案落地實(shí)施后，將完成以下幾方面任務(wù)：（1） 打破IT資源孤立情況，提高資源利用率² 各業(yè)務(wù)系統(tǒng)擁有獨(dú)立的硬件設(shè)施被統(tǒng)一管理，形成大的資源池；² 資源被統(tǒng)一調(diào)度，打破同一時(shí)段，某些業(yè)務(wù)系統(tǒng)較空閑造成資源閑置，另外一些系統(tǒng)因業(yè)務(wù)繁忙，設(shè)備超負(fù)荷工作的現(xiàn)狀；² 任何時(shí)候都可以及時(shí)滿足各種變化的業(yè)務(wù)需求，實(shí)現(xiàn)按需服務(wù)。（2）使運(yùn)維管理更加容易² 隨著系統(tǒng)數(shù)量的不斷增長，運(yùn)維管理的難度比傳統(tǒng)模式簡單，成本更低；&#

6、178; 新平臺(tái)使得對(duì)各種資源和系統(tǒng)的監(jiān)控和管理更加有效；² 維護(hù)人員工作負(fù)擔(dān)減小，工作效率有效提高。（3）提升關(guān)鍵業(yè)務(wù)系統(tǒng)硬件處理能力² 業(yè)務(wù)應(yīng)用在遇到性能瓶頸時(shí)能動(dòng)態(tài)調(diào)整；² 核心業(yè)務(wù)系統(tǒng)建設(shè)較早的設(shè)備，在云計(jì)算支撐平臺(tái)上能夠得到充分利用，以滿足迅速增長的業(yè)務(wù)需求2、 項(xiàng)目建設(shè)規(guī)劃2.1、 建設(shè)原則項(xiàng)目建設(shè)遵循如下幾個(gè)原則：（1） 自主可控原則本次的建設(shè)建議采用自主可控技術(shù)搭建私有云。在產(chǎn)品的選擇上盡量選擇國產(chǎn)品牌或者開源可控系統(tǒng)，保障私有云信息安全。（2） 開放原則云計(jì)算的優(yōu)勢(shì)是高性價(jià)比，其核心是遵循開放技術(shù)路線并大量采用通用技術(shù)替代專有技術(shù)如Unix，這一

7、點(diǎn)Google、Amazon等云計(jì)算供應(yīng)商已經(jīng)證明。云計(jì)算建設(shè)應(yīng)遵循開放技術(shù)路線，降低投入成本，避免形成對(duì)于供應(yīng)商的鎖定。（3） 循序漸進(jìn)原則云計(jì)算的建設(shè)不是一蹴而就，應(yīng)循序漸進(jìn)。在本次建設(shè)中，應(yīng)該本著符合使用來控制規(guī)模，如果后續(xù)仍然有業(yè)務(wù)系統(tǒng)需要遷移，可以利用云計(jì)算的課擴(kuò)展性，逐步完成擴(kuò)展。 （4） 統(tǒng)一規(guī)劃和分布實(shí)施原則本項(xiàng)目的建設(shè)需要通過建設(shè)統(tǒng)一的頂層框架，統(tǒng)一規(guī)劃、統(tǒng)一實(shí)施和統(tǒng)一管理，保證項(xiàng)目按照進(jìn)度、按計(jì)劃建設(shè)。（5） 先進(jìn)性原則本項(xiàng)目的建設(shè)，要求技術(shù)具有先進(jìn)性，并保證在未來一段時(shí)間內(nèi)具有先進(jìn)性和擴(kuò)展性。2.2、 項(xiàng)目建設(shè)內(nèi)容、思路及技術(shù)規(guī)劃云計(jì)算項(xiàng)目的建設(shè)是一個(gè)循序漸進(jìn)的過程，需要

8、按照步驟有組織有計(jì)劃的推進(jìn)，逐步實(shí)現(xiàn)建設(shè)目標(biāo)。具體的建設(shè)內(nèi)容包括：（1） 搭建私有云，滿足基礎(chǔ)設(shè)施支撐能力需求采用云計(jì)算的最新技術(shù)，包括虛擬化技術(shù)、設(shè)備資源池化技術(shù)、分布式并行存儲(chǔ)技術(shù)、存儲(chǔ)虛擬化技術(shù)、自動(dòng)運(yùn)維技術(shù)、安全技術(shù)，用軟件整合、調(diào)度硬件資源，建設(shè)具有良好彈性、擴(kuò)展性、安全性、高可靠、綠色節(jié)能、自主可控的私有云，滿足業(yè)務(wù)系統(tǒng)整合、托管、遷移、運(yùn)營和運(yùn)維的需求。l 良好的伸縮性，支撐能力隨業(yè)務(wù)變化便捷擴(kuò)展云計(jì)算架構(gòu)具有良好的伸縮性，系統(tǒng)的規(guī)劃能夠滿足 近期業(yè)務(wù)和資源庫快速增長的需要，同時(shí)云計(jì)算中心具備了良好的擴(kuò)展性能，能夠隨著業(yè)務(wù)的快速增長而擴(kuò)展，能夠?qū)崿F(xiàn)不停機(jī)的情況下，在線增加系統(tǒng)的存

9、儲(chǔ)、計(jì)算資源，改變基礎(chǔ)設(shè)施支撐能力有限的局面，為業(yè)務(wù)的增長或變化提供快速響應(yīng)，實(shí)現(xiàn)業(yè)務(wù)敏捷。l 運(yùn)營的易管理和易操作性，降低運(yùn)維壓力通過云管理平臺(tái)，能夠?qū)υ朴?jì)算中心的服務(wù)器設(shè)備、存儲(chǔ)設(shè)備和網(wǎng)絡(luò)設(shè)備以統(tǒng)一的視圖進(jìn)行管理。云管理平臺(tái)支持基于策略管理手段，將固定的操作以系統(tǒng)運(yùn)維策略的方式進(jìn)行固化管理，一方面實(shí)現(xiàn)運(yùn)維的規(guī)范化，降低人為操作錯(cuò)誤的發(fā)生，另一方面降低運(yùn)維的壓力，使得更少的運(yùn)維人員保障業(yè)務(wù)系統(tǒng)的持續(xù)運(yùn)營。l 高可用性，故障不再影響業(yè)務(wù)的連續(xù)性云計(jì)算環(huán)境下，硬件故障將成為不可避免的現(xiàn)象。因而私有云的設(shè)計(jì)是基于不可靠硬件保障業(yè)務(wù)系統(tǒng)的連續(xù)性的理念進(jìn)行設(shè)計(jì)，也即在硬件發(fā)生故障的情況下，也能保障業(yè)務(wù)

10、系統(tǒng)的連續(xù)運(yùn)轉(zhuǎn)。n 服務(wù)器的高可用：虛擬化技術(shù)保證虛擬服務(wù)器之間的高可用，即使服務(wù)器發(fā)生故障，支撐業(yè)務(wù)系統(tǒng)運(yùn)行的虛擬機(jī)能夠快速遷移到運(yùn)轉(zhuǎn)良好的服務(wù)器上，保證業(yè)務(wù)系統(tǒng)不中斷。n 存儲(chǔ)的高可用：采用熱備方式，即使在一個(gè)存儲(chǔ)節(jié)點(diǎn)發(fā)生故障的情況下，保證業(yè)務(wù)系統(tǒng)的運(yùn)行不受影響，同時(shí)也能夠快速的重建故障節(jié)點(diǎn)。 l 業(yè)務(wù)連續(xù)性，保證任何時(shí)候業(yè)務(wù)系統(tǒng)的可用性業(yè)務(wù)系統(tǒng)遷移到私有云上，能夠充分利用云基礎(chǔ)架構(gòu)的動(dòng)態(tài)負(fù)載均衡及高可用特性保證業(yè)務(wù)的連續(xù)性。一方面保證業(yè)務(wù)系統(tǒng)的壓力動(dòng)態(tài)的分不到不同的支撐服務(wù)器上，另一方面，保障業(yè)務(wù)系統(tǒng)部分節(jié)點(diǎn)在出現(xiàn)故障的情況下，利用高可用特性保證業(yè)務(wù)的不中斷。l 信息系統(tǒng)彈性，降低突發(fā)事

11、件的影響由于突發(fā)事件的不確定性，進(jìn)而會(huì)導(dǎo)致業(yè)務(wù)系統(tǒng)的訪問量有突發(fā)性特征，這對(duì)基礎(chǔ)設(shè)施的支撐能力提出了更高的要求，否則突發(fā)事件往往導(dǎo)致業(yè)務(wù)系統(tǒng)的癱瘓。將業(yè)務(wù)系統(tǒng)部署到私有云上，業(yè)務(wù)系統(tǒng)有突發(fā)的高并發(fā)訪問時(shí)，云管理平臺(tái)將會(huì)自動(dòng)將閑置的計(jì)算資源調(diào)配給相關(guān)業(yè)務(wù)系統(tǒng)，從而大幅提升業(yè)務(wù)系統(tǒng)的支撐能力。l 安全性私有云系統(tǒng)不僅可以接管傳統(tǒng)信息系統(tǒng)的一切安全設(shè)備和措施，而且可以通過云管理平臺(tái)進(jìn)行統(tǒng)一的管理。針對(duì)云計(jì)算中的虛擬化資源，云管理平臺(tái)通過虛擬防火墻，VPN,VLAN，負(fù)載均衡等技術(shù)，有效的保障了虛擬化資源的安全性 2.3、 技術(shù)架構(gòu)和路線介紹在私有云建設(shè)中基本可以分為三大部分：資源池化、智能化云管理等

12、。2.3.1、 資源池化資源池化就是將計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源通過虛擬化技術(shù)，將構(gòu)成相應(yīng)資源的眾多物理設(shè)備組合成一個(gè)整體，形成相應(yīng)的計(jì)算資源池、存儲(chǔ)資源池、網(wǎng)絡(luò)資源池，提供給上層應(yīng)用軟件。資源虛擬化是對(duì)上層應(yīng)用屏蔽底層設(shè)備或架構(gòu)的資源封裝手段，是實(shí)現(xiàn)云計(jì)算資源池化的重要技術(shù)基礎(chǔ)。虛擬化技術(shù)由來已久，所謂虛擬化是相對(duì)于物理實(shí)體而言的，即將真實(shí)存在的物理實(shí)體，通過切分或（和）聚合的封裝手段形成新的表現(xiàn)形態(tài)。聚合封裝是將多個(gè)物理實(shí)體通過技術(shù)手段封裝為單一虛擬映像/實(shí)例，可用于完成某個(gè)業(yè)務(wù)。例如SMP、計(jì)算集群（Cluster）、負(fù)載均衡集群（Load Balance）、RAID技術(shù)、虛擬存儲(chǔ)、端

13、口匯聚（port trunk）、交換機(jī)堆疊（stack）等。切分封裝是將單個(gè)物理實(shí)體通過技術(shù)手段封裝為多個(gè)虛擬映像/實(shí)例，可用于執(zhí)行不同業(yè)務(wù)。例如主機(jī)虛擬化、存儲(chǔ)分區(qū)、虛擬局域網(wǎng)（VLAN）等。虛擬化技術(shù)的一個(gè)重要結(jié)果是降低IT架構(gòu)中部件之間的依賴關(guān)系，以計(jì)算虛擬化為例，集群、主機(jī)虛擬化等計(jì)算虛擬化技術(shù)實(shí)現(xiàn)了應(yīng)用軟件與物理基礎(chǔ)設(shè)施解耦。 最終的效果是分離了應(yīng)用軟件與物理基礎(chǔ)設(shè)施，解除或弱化了它們之間的耦合，從而也就削弱了各自的技術(shù)發(fā)展所受到的相互限制，拓展了技術(shù)發(fā)展的空間和靈活性。 2.3.2、 智能化云管理云計(jì)算架構(gòu)具有IaaS、PaaS、SaaS等眾多的服務(wù)模型，提供計(jì)算服務(wù)、存儲(chǔ)服務(wù)、乃

14、至整合各種資源的綜合性服務(wù)，其資源的構(gòu)成更加復(fù)雜、規(guī)模更加龐大。為了提高易用性和可維護(hù)性，各種資源構(gòu)成之間的關(guān)系復(fù)雜。在本項(xiàng)目中，主要構(gòu)建IaaS層。為了保證云計(jì)算中心的服務(wù)質(zhì)量，對(duì)于眾多用戶資源配給的調(diào)整也要求更精準(zhǔn)的、更及時(shí)。這些要求已經(jīng)不是依靠運(yùn)維人員的能力所能滿足的，需要采用更加智能化的自適應(yīng)運(yùn)維管理。云計(jì)算中心運(yùn)維管理要適應(yīng)云服務(wù)對(duì)資源管理所提出的新需求，緊耦合的資源管理云計(jì)算中心采用資源綜合管理，即將系統(tǒng)中的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等資源視為整體系統(tǒng)，實(shí)施統(tǒng)一管理，這有利于優(yōu)化整體性能、精確定位問題、是實(shí)現(xiàn)動(dòng)態(tài)資源調(diào)度的重要因素。 多維度的資源管理云計(jì)算中心的資源具有多種視圖，例如物理資源

15、視圖、虛擬資源視圖、虛擬組織視圖，因此，云管理也應(yīng)該是多維的。 3、 私有云總體建設(shè)方案3.1、 建設(shè)原則 私有云的建設(shè)將遵循以下的建設(shè)原則：1) 標(biāo)準(zhǔn)化和開放性系統(tǒng)的標(biāo)準(zhǔn)化和規(guī)范化是信息系統(tǒng)建設(shè)基本而又關(guān)鍵的一步，要實(shí)現(xiàn)信息通訊與共享，必須規(guī)范信息技術(shù)標(biāo)準(zhǔn)。采用業(yè)務(wù)內(nèi)標(biāo)準(zhǔn)的技術(shù)體系和設(shè)計(jì)方法，使系統(tǒng)最大程度地具備各種層次的平臺(tái)無關(guān)性和兼容性。在使用新技術(shù)的同時(shí)充分考慮技術(shù)的國際標(biāo)準(zhǔn)化，嚴(yán)格按照國際國內(nèi)相關(guān)標(biāo)準(zhǔn)設(shè)計(jì)實(shí)施。2) 先進(jìn)性和超前性在實(shí)用可靠的前提下，盡可能跟蹤國內(nèi)外先進(jìn)的計(jì)算機(jī)軟硬件技術(shù)、信息技術(shù)及網(wǎng)絡(luò)通信技術(shù)，使系統(tǒng)具有較高的性能價(jià)格比，同時(shí)建設(shè)方案以實(shí)際可接受能力為尺度，避免盲目

16、追求新技術(shù)，造成不必要的浪費(fèi)。技術(shù)上立足于長遠(yuǎn)發(fā)展，堅(jiān)持選用開放性系統(tǒng)，使系統(tǒng)和將來的新技術(shù)能平滑過渡。采用先進(jìn)的體系結(jié)構(gòu)和技術(shù)發(fā)展的主流產(chǎn)品，保證整個(gè)系統(tǒng)高效運(yùn)行。3) 實(shí)用性和方便性系統(tǒng)建設(shè)要以滿足需求為首要目標(biāo)，采用穩(wěn)定可靠的成熟技術(shù)，保證系統(tǒng)長期安全運(yùn)行。系統(tǒng)應(yīng)用后，確實(shí)能為各級(jí)業(yè)務(wù)和管理節(jié)點(diǎn)提供一個(gè)智能化的網(wǎng)絡(luò)信息環(huán)境，以提高管理水平和工作的效率。4) 安全性和保密性遵循有關(guān)信息安全標(biāo)準(zhǔn)，具有切實(shí)可行的安全保護(hù)和保密措施，確保數(shù)據(jù)永久安全。系統(tǒng)應(yīng)提供多方式、多層次、多渠道的安全保密措施，防止各種形式與途徑的非法侵入和機(jī)密信息的泄露，保證系統(tǒng)中數(shù)據(jù)的安全。5) 穩(wěn)定性和可靠性系統(tǒng)建成并

17、投入使用后，將成為支撐系統(tǒng)平穩(wěn)運(yùn)轉(zhuǎn)的運(yùn)行平臺(tái)和開發(fā)新業(yè)務(wù)系統(tǒng)的基礎(chǔ)平臺(tái)，系統(tǒng)癱瘓的后果是難以想象的。因此系統(tǒng)必須在成本可以接受的條件下，從系統(tǒng)結(jié)構(gòu)、設(shè)計(jì)方案、設(shè)備選型、廠商的技術(shù)服務(wù)與維護(hù)響應(yīng)能力，備件供應(yīng)能力等方面考慮，使得系統(tǒng)故障發(fā)生的可能性盡可能少，影響盡可能小，對(duì)各種可能出現(xiàn)的緊急情況有應(yīng)急的工作方案和對(duì)策。6) 跨平臺(tái)性和可移植性由于系統(tǒng)建設(shè)的復(fù)雜性要求，在設(shè)計(jì)時(shí)，要充分考慮系統(tǒng)的跨平臺(tái)、跨系統(tǒng)、跨應(yīng)用、跨地區(qū)性和在各種操作系統(tǒng)、不同的中間件平臺(tái)上可移植。7) 可維護(hù)性和可擴(kuò)展性要保證系統(tǒng)能在各種操作系統(tǒng)和不同的中間件平臺(tái)上移植。系統(tǒng)設(shè)計(jì)做到信息內(nèi)容統(tǒng)一，以便日后的系統(tǒng)維護(hù)。在私有云

18、的設(shè)計(jì)過程中，充分考慮在未來若干年內(nèi)的發(fā)展趨勢(shì)，具有一定的前瞻性，并充分考慮了系統(tǒng)升級(jí)、擴(kuò)容、擴(kuò)充和維護(hù)的可行性。 3.2、 總體設(shè)計(jì)方案 3.2.1、 邏輯架構(gòu) 私有云的系統(tǒng)部署邏輯架構(gòu)如下圖所示： 邏輯架構(gòu)圖用于對(duì)外提供各種服務(wù)的多種類型的虛擬主機(jī)節(jié)點(diǎn)的集合構(gòu)成了計(jì)算“資源池”，其不僅實(shí)現(xiàn)了基于服務(wù)器的CPU、內(nèi)存、磁盤、I/O等硬件的虛擬化實(shí)現(xiàn)動(dòng)態(tài)管理的“資源池”，同時(shí)還可以在各類型虛擬主機(jī)所在的物理服務(wù)器之間進(jìn)行動(dòng)態(tài)的遷移和變更資源。為此要求將各種類型的物理服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等設(shè)備統(tǒng)一為一個(gè)邏輯意義上的“計(jì)算資源池”，從而提高資源的利用率，簡化系統(tǒng)管理，實(shí)現(xiàn)服務(wù)器整合，讓IT對(duì)業(yè)務(wù)的變

19、化更具適應(yīng)力。 云管理平臺(tái)為用戶提供簡單、統(tǒng)一的管理平臺(tái)，內(nèi)置豐富的資源管理與交付功能；云平臺(tái)將原本靜態(tài)分配的IT基礎(chǔ)設(shè)施抽象為可管理、易于調(diào)度、按需分配的資源；使用云平臺(tái)可以把資源的能力封裝，對(duì)外提供按需靈活使用各類IT資源的服務(wù)，滿足各種業(yè)務(wù)的運(yùn)營。云管理平臺(tái)主要進(jìn)行系統(tǒng)資源的服務(wù)化、實(shí)現(xiàn)資源快速部署與按需分發(fā) 。借助于云管理平臺(tái)，可以構(gòu)建易于管理、動(dòng)態(tài)高效、靈活擴(kuò)展、穩(wěn)定可靠、按需使用的私有云結(jié)構(gòu)。3.2.2、 網(wǎng)絡(luò)架構(gòu)（假設(shè)） 私有云網(wǎng)絡(luò)架構(gòu)如下圖所示：管理服務(wù)器：用于云管理平臺(tái)管理節(jié)點(diǎn)的安裝，負(fù)責(zé)對(duì) 私有云的資源池進(jìn)行管理、調(diào)度和監(jiān)控。在本期建設(shè)中，可以考慮利舊或者是虛擬機(jī)來作為管理

20、服務(wù)器節(jié)點(diǎn)。虛擬化服務(wù)器：該服務(wù)器為若干臺(tái)服務(wù)器組成的集群，形成計(jì)算資源池。通過虛擬化軟件將物理服務(wù)器安裝需求，虛擬出若干臺(tái)符合應(yīng)用需求的應(yīng)用虛擬機(jī)作為 私有云業(yè)務(wù)的應(yīng)用負(fù)載服務(wù)器。各虛擬化資源通過云管理平臺(tái)統(tǒng)一調(diào)度、按需分配。如果計(jì)算資源池的資源不夠使用，可以直接添加服務(wù)器，或者采用利舊的方式，無縫擴(kuò)展資源池。存儲(chǔ)：該存儲(chǔ)的主要用于虛擬機(jī)的數(shù)據(jù)存儲(chǔ)、業(yè)務(wù)數(shù)據(jù)存儲(chǔ)等。根據(jù)業(yè)務(wù)需要在本次私有云建設(shè)中，采用光纖存儲(chǔ)進(jìn)行通信。本期采用單存儲(chǔ)的方式，做到滿足數(shù)據(jù)和業(yè)務(wù)需求，后期可以考慮雙存儲(chǔ)以HA的方式互備，保障了整個(gè)私有云系統(tǒng)的數(shù)據(jù)安全。存儲(chǔ)同樣屬于計(jì)算資源池的一部分，由云管理平臺(tái)統(tǒng)一納管。光纖交換

21、機(jī)：光纖交換機(jī)為服務(wù)器與存儲(chǔ)間的通信交換機(jī)，選擇8Gb/s的交換模塊，可以有效保障服務(wù)器與存儲(chǔ)間的通信速率。本期采用兩臺(tái)24口8Gb/s光纖交換機(jī)（各激活8個(gè)口），以主備方式提供光纖網(wǎng)絡(luò)通信。接入交換機(jī)：根據(jù)現(xiàn)有 的網(wǎng)絡(luò)環(huán)境和需求，接入交換機(jī)選擇兩個(gè)48口的千兆交換機(jī)進(jìn)行通信。以主備的方式，保障網(wǎng)絡(luò)安全。防火墻：接入交換機(jī)數(shù)據(jù)經(jīng)過防火墻上聯(lián)到核心交換機(jī)，接入 核心網(wǎng)絡(luò)。3.3、 云管理平臺(tái)設(shè)計(jì)3.3.1、 云管理平臺(tái)系統(tǒng)架構(gòu)云平臺(tái)系統(tǒng)的整體架構(gòu)如下圖所示，系統(tǒng)分為物理資源層、虛擬資源層、云平臺(tái)管理系統(tǒng)層和云計(jì)算服務(wù)層。系統(tǒng)架構(gòu)圖上文提到的服務(wù)器資源和存儲(chǔ)資源、網(wǎng)絡(luò)資源等構(gòu)成了物理資源層，通過虛

22、擬化軟件形成統(tǒng)一的虛擬化資源，并通過云平臺(tái)管理系統(tǒng)，將物理設(shè)備和系統(tǒng)資源整合為統(tǒng)一的計(jì)算資源池、存儲(chǔ)資源池和網(wǎng)絡(luò)資源池，在此基礎(chǔ)上根據(jù)用戶的需求，自動(dòng)劃分資源，在資源管理平臺(tái)和業(yè)務(wù)服務(wù)管理平臺(tái)的支持下，為用戶提供豐富的云服務(wù)。云平臺(tái)從運(yùn)維、運(yùn)營與用戶三個(gè)層面對(duì)私有云進(jìn)行資源管理和運(yùn)營管理。云平臺(tái)管理架構(gòu)圖云計(jì)算管理平臺(tái)是一個(gè)用來創(chuàng)建云基礎(chǔ)架構(gòu) (IaaS) 的平臺(tái)。 云計(jì)算管理平臺(tái)允許企業(yè)在公司內(nèi)部設(shè)立一個(gè)服務(wù)于企業(yè)自身的私有云。當(dāng)前VMWare, Citrix和Microsoft提供的虛擬化平臺(tái)主要幫助企業(yè)的IT人員可以像以前管理物理機(jī)一樣管理他們的虛擬機(jī)。而云計(jì)算管理平臺(tái)是幫助非IT人員能

23、夠通過自服務(wù)的方式使用虛擬機(jī)服務(wù)。云計(jì)算管理平臺(tái)包含管理服務(wù)器以及業(yè)界標(biāo)準(zhǔn)的虛擬化軟件（如XenServer, Vsphere, KVM等）的擴(kuò)展。管理服務(wù)器可以部署在一臺(tái)服務(wù)器或一組服務(wù)器集群上。管理服務(wù)器對(duì)所有節(jié)點(diǎn)上的資源進(jìn)行統(tǒng)一管理并提供web接口給管理員和用戶，使他們可以對(duì)權(quán)限內(nèi)的資源進(jìn)行訪問和操作。云管理平臺(tái)統(tǒng)將要實(shí)現(xiàn)的目標(biāo)包括：1. 對(duì)本項(xiàng)目建設(shè)物理資源、網(wǎng)絡(luò)資源和虛擬資源，進(jìn)行統(tǒng)一的管理；2. 由于不同的應(yīng)用資源，處于不同的內(nèi)網(wǎng)或外網(wǎng)條件下，建設(shè)的云管理平臺(tái)可以跨網(wǎng)絡(luò)管理；3. 納管已有的物理資源和網(wǎng)絡(luò)資源，本次實(shí)施以實(shí)驗(yàn)的方式，先納管部分資源，根據(jù)使用情況，逐漸將所有物理資源和

24、網(wǎng)絡(luò)資源納管進(jìn)來；4. 實(shí)現(xiàn)對(duì)所有信息資源，包括物理計(jì)算資源，虛擬技計(jì)算資源，物理網(wǎng)絡(luò)資源、虛擬網(wǎng)絡(luò)資源的自動(dòng)化管理；5. 云管理平臺(tái)提供可視，可控，可管的運(yùn)維系統(tǒng)。 3.3.2、 云管理平臺(tái)功能、 云平臺(tái)服務(wù)云計(jì)算管理平臺(tái)為用戶創(chuàng)建虛擬機(jī)實(shí)例提供了多種選擇：l 計(jì)算服務(wù)，由管理員定義，提供CPU速度和個(gè)數(shù)，內(nèi)存大小和根卷大小等選擇l 存儲(chǔ)服務(wù)，由管理員定義，提供了數(shù)據(jù)卷大小的選擇l 網(wǎng)絡(luò)服務(wù)，由云計(jì)算管理平臺(tái)定義，描述了用戶通過虛擬路由器或者外部網(wǎng)絡(luò)設(shè)備可以使用的功能。l 模板和鏡像，模板是一個(gè)操作系統(tǒng)的鏡像，用戶可以從這個(gè)鏡像創(chuàng)建新的虛擬機(jī)。所有通用的Linux和Window

25、s系統(tǒng)都可以成為模板。管理員也可以向系統(tǒng)中導(dǎo)入新的模板。除以上選項(xiàng)之外，還有一種只對(duì)云計(jì)算管理平臺(tái)管理員可見的服務(wù)類型，用于配置虛擬機(jī)路由器。、 帳戶、用戶和域云計(jì)算管理平臺(tái)的用戶通過分配的帳戶登陸和使用資源。在云環(huán)境里，各帳戶之間的環(huán)境是相互隔離的。一個(gè)域由一組帳戶構(gòu)成，一個(gè)域中的帳戶一般有邏輯上的關(guān)聯(lián)性，域可以有多個(gè)管理員帳戶對(duì)域以及域包含的子域進(jìn)行管理。一個(gè)賬戶可以對(duì)應(yīng)多個(gè)用戶，用戶更像是賬戶的別名，同一賬戶的用戶之間沒有相互隔離，他們具有相同的權(quán)限，可見的資源也相同。在大多數(shù)情況下，一個(gè)賬戶對(duì)應(yīng)一個(gè)用戶即可滿足需求。、 管理服務(wù)器云計(jì)算管理平臺(tái)管理服務(wù)器運(yùn)行

26、于WEB容器（如Tomcat）并使用關(guān)系型數(shù)據(jù)庫（如MySQL）存放數(shù)據(jù)，所使用數(shù)據(jù)庫也可以安裝在一臺(tái)獨(dú)立的物理機(jī)上，也就是數(shù)據(jù)庫服務(wù)器，并可以根據(jù)需要配置備份服務(wù)器。· 提供管理員和用戶訪問的web界面· 提供云計(jì)算管理平臺(tái)對(duì)外的API接口· 管理每個(gè)資源節(jié)點(diǎn)上的虛擬機(jī)資源分配· 管理每個(gè)帳戶的公網(wǎng)和內(nèi)網(wǎng)IP地址分配· 管理虛擬硬盤鏡像的存儲(chǔ)空間分配· 管理快照(snapshot)、模板、ISO鏡像，并可以根據(jù)需要將它們跨數(shù)據(jù)中心備份。· 整個(gè)云環(huán)境配置的中心、 資源服務(wù)器資源服務(wù)器是用來提供虛擬機(jī)資源的服務(wù)

27、器。可以通過云管理平臺(tái)自帶的虛擬化軟件進(jìn)行虛擬化，也可以通過如VMWARE、Citrix XEN等相關(guān)軟件或功能進(jìn)行虛擬化。· 提供虛擬機(jī)需要的所有CPU，內(nèi)存，存儲(chǔ)和網(wǎng)絡(luò)資源· 互相通過高速網(wǎng)絡(luò)互聯(lián)互通，并具備Internet連接· 可以位于不同地理位置的不同數(shù)據(jù)中心· 可以具有不同的規(guī)格（如不同的CPU速度，不同的內(nèi)存大小等等）· 是高性能通用x86兼容服務(wù)器，自身相對(duì)可靠，但規(guī)模較大時(shí)允許出現(xiàn)個(gè)別服務(wù)器故障、 網(wǎng)絡(luò)功能和網(wǎng)絡(luò)虛擬化云計(jì)算管理平臺(tái)管理內(nèi)網(wǎng)(private)、直連網(wǎng)絡(luò)direct和公網(wǎng)(public) 的IP分配

28、。管理員首先將可供分配的內(nèi)網(wǎng), 直連網(wǎng)絡(luò)和公網(wǎng)IP輸入系統(tǒng)。主要有兩種網(wǎng)絡(luò)模型可供創(chuàng)建：直連網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)。云計(jì)算管理平臺(tái) 的資源域(Zone)也分為兩類：基本網(wǎng)絡(luò)資源域僅能創(chuàng)建直連無標(biāo)記(untagged)網(wǎng)絡(luò)。高級(jí)網(wǎng)絡(luò)資源域除此之外還可以創(chuàng)建虛擬網(wǎng)絡(luò)以及直連帶標(biāo)記(tagged)網(wǎng)絡(luò)。直連網(wǎng)絡(luò)在直連網(wǎng)絡(luò)中，虛擬機(jī)被直接在本地子網(wǎng)中分配IP地址。這些虛擬機(jī)可以直接訪問Internet，也沒有任何NAT轉(zhuǎn)換。它們的網(wǎng)絡(luò)封包不經(jīng)過任何虛擬路由器。因此，直連網(wǎng)絡(luò)無法獲得云計(jì)算管理平臺(tái)中的軟負(fù)載平衡、防火墻和端口轉(zhuǎn)發(fā)等功能。直連網(wǎng)絡(luò)的用戶根據(jù)配置的不同，可以和別的直連網(wǎng)絡(luò)用戶相通或隔離。在直連帶標(biāo)記

29、網(wǎng)絡(luò)中，管理員對(duì)資源域內(nèi)部的每位用戶分配特定的VLAN標(biāo)識(shí)和IP段。用戶的虛擬機(jī)可以從虛擬路由器（相當(dāng)于DHCP服務(wù)器）獲得IP地址。直連帶標(biāo)記網(wǎng)絡(luò)可以讓用戶的虛擬機(jī)方便的與外界網(wǎng)絡(luò)互聯(lián)互通，包括管理服務(wù)器。直連無標(biāo)記網(wǎng)絡(luò)則采用了類似于亞馬遜的安全組概念對(duì)每位用戶進(jìn)行隔離，而不采用VLAN。所有用戶不論賬號(hào)如何都在同一個(gè)廣播域內(nèi)。直連無標(biāo)記網(wǎng)絡(luò)最常使用在私有云中。所有的Hypervisor類型都可以支持直連無標(biāo)記網(wǎng)絡(luò)，但只有XenServer和KVM的節(jié)點(diǎn)可以設(shè)置安全組。虛擬網(wǎng)絡(luò)在虛擬網(wǎng)絡(luò)中，用戶的虛擬機(jī)部署于私有的虛擬網(wǎng)絡(luò)中。每個(gè)用戶的虛擬網(wǎng)絡(luò)均通過VLAN與其他用戶的虛擬網(wǎng)絡(luò)隔離。每個(gè)用戶

30、的所有客戶機(jī)也在自己的VLAN中被分配相應(yīng)的網(wǎng)絡(luò)接口。可以用兩種方式建立虛擬網(wǎng)絡(luò)：基于虛擬路由器和基于外部路由器。l 云計(jì)算管理平臺(tái)在安裝時(shí)就提供了一個(gè)虛擬路由器。這個(gè)虛擬路由器可以提供DNS, DHCP, gateway, NAT, 負(fù)載平衡和VPN服務(wù)。l 基于外部路由器的虛擬網(wǎng)絡(luò)使用第三方廠家的路由器設(shè)備提供gateway和NAT服務(wù)，而DNS和DHCP依舊由虛擬路由器完成。虛擬網(wǎng)絡(luò)的部署必須使用虛擬路由器或外部路由器。在虛擬網(wǎng)絡(luò)中，同一個(gè)用戶的不同虛擬機(jī)因?yàn)樘幱谕粋€(gè)VLAN，他們之間的網(wǎng)絡(luò)通信不通過虛擬路由器。VLAN起到用戶之間隔離的作用：不同帳戶的用戶使用不同的VLAN。在虛擬網(wǎng)

31、絡(luò)中，每一個(gè)用戶會(huì)被分配一個(gè)外網(wǎng)IP地址。用戶可以申請(qǐng)更多的外網(wǎng)IP地址。外網(wǎng)IP地址是指用戶實(shí)際訪問虛擬機(jī)的IP地址。通過虛擬路由器建立虛擬網(wǎng)絡(luò)每個(gè)帳戶都被分配一個(gè)虛擬路由器。所有此帳戶擁有的外網(wǎng)IP地址也都分配給這個(gè)虛擬路由器。這個(gè)虛擬路由器是虛擬機(jī)和外網(wǎng)通信的管道，并且為虛擬機(jī)提供DNS和DHCP服務(wù)，以及NAT轉(zhuǎn)換。虛擬路由器的存在使得云計(jì)算管理平臺(tái)可以為用戶提供很多網(wǎng)絡(luò)功能，例如：將發(fā)送至某個(gè)外網(wǎng)IP的包轉(zhuǎn)發(fā)至一個(gè)指定的虛擬機(jī)，或是在多個(gè)虛擬機(jī)之間做流量的負(fù)載平衡，使得通過有限的公網(wǎng)IP可以提供更可靠的服務(wù)。通過外部路由器建立虛擬網(wǎng)絡(luò)每個(gè)帳戶仍然被分配一個(gè)虛擬路由器。但所有此帳戶擁有

32、的外網(wǎng)IP被分配給外部路由設(shè)備。外部路由器成為虛擬機(jī)和外網(wǎng)通信的橋梁，并提供NAT轉(zhuǎn)換。虛擬路由器僅提供DNS和DHCP功能。負(fù)載平衡可以由外部路由器或者虛擬路由器完成。一個(gè)帳戶可能既擁有在虛擬網(wǎng)絡(luò)的虛擬機(jī)也擁有在直連帶標(biāo)記網(wǎng)絡(luò)的虛擬機(jī)。在這種情況下，這個(gè)帳戶將擁有兩臺(tái)虛擬路由器，一臺(tái)虛擬路由器負(fù)責(zé)資源域 VLAN的管理，一臺(tái)虛擬路由器負(fù)責(zé)直連帶標(biāo)記VLAN的管理。在同一個(gè)資源域里基本網(wǎng)絡(luò)不能與虛擬網(wǎng)絡(luò)或直連帶標(biāo)記網(wǎng)絡(luò)共存。一個(gè)云環(huán)境可能包含一個(gè)基本網(wǎng)絡(luò)資源域，一個(gè)虛擬網(wǎng)絡(luò)與直連帶標(biāo)記網(wǎng)絡(luò)共存的資源域。、 存儲(chǔ)功能和虛擬化虛擬機(jī)模板是用戶第一次啟動(dòng)虛擬機(jī)時(shí)所使用的基本操作系統(tǒng)鏡像

33、。例如，有用戶需要64位CentOS 5.3的操作系統(tǒng)鏡像，就可以把它作為一個(gè)虛擬機(jī)模板。每個(gè)虛擬機(jī)模板都有相應(yīng)的訪問權(quán)限。訪問權(quán)限包括：· 公開權(quán)限。這個(gè)模板可以供所有用戶訪問。· 私有權(quán)限。這個(gè)模板只能供創(chuàng)建它的用戶，以及該用戶指定的使用者訪問。管理員和用戶都可以將模板加入至系統(tǒng)。用戶在訪問模板的時(shí)候可以看見模板的所有者。云計(jì)算管理平臺(tái)將提供給虛擬機(jī)使用的一塊存儲(chǔ)空間稱為一個(gè)卷。卷既可以是系統(tǒng)盤也可以是數(shù)據(jù)盤。系統(tǒng)盤在文件系統(tǒng)中的路徑為”/”或”C:”，也通常作為引導(dǎo)盤使用。數(shù)據(jù)盤提供額外的存儲(chǔ)空間（路徑為”/opt”或”D:”）。每個(gè)虛擬機(jī)都有一個(gè)系統(tǒng)盤和一個(gè)數(shù)據(jù)盤。

34、用戶可以將多個(gè)數(shù)據(jù)盤掛接在一個(gè)虛擬機(jī)上。這些數(shù)據(jù)盤可以從管理員提供的存儲(chǔ)服務(wù)中獲得。同時(shí)，用戶還可以從卷中創(chuàng)建模板，這也是私有模板的標(biāo)準(zhǔn)創(chuàng)建方式。ISO鏡像的存儲(chǔ)和使用方式與模板類似。ISO鏡像除了訪問權(quán)限外，還可分為兩種類型：可以引導(dǎo)系統(tǒng)的(bootable)和不能引導(dǎo)系統(tǒng)的?？梢砸龑?dǎo)的ISO鏡像一般包含操作系統(tǒng)鏡像（如Ubuntu 10.4 安裝CD）。MasterStack云計(jì)算管理平臺(tái)允許用戶從ISO鏡像啟動(dòng)虛擬機(jī)。用戶還可以將ISO鏡像掛接到虛擬機(jī)上。例如，需要在Windows虛擬機(jī)上安裝PV驅(qū)動(dòng)程序時(shí)就可以掛接對(duì)應(yīng)Hypervisor廠商的ISO鏡像。云計(jì)算管理平臺(tái)支持卷的快照，包

35、括系統(tǒng)盤和數(shù)據(jù)盤。管理員可以為每個(gè)用戶可以創(chuàng)建的快照數(shù)量設(shè)限。用戶既可以通過快照來還原卷以恢復(fù)丟失的數(shù)據(jù)，也可以從快照來創(chuàng)建模板，以確保當(dāng)卷無法還原時(shí)可以直接啟動(dòng)新的虛擬機(jī)以保證業(yè)務(wù)的連續(xù)性。可以將快照設(shè)置為定期任務(wù)?？煺找话銜?huì)在主存儲(chǔ)設(shè)備上生成并備份至二級(jí)存儲(chǔ)，直到被刪除或被新的快照覆蓋。云計(jì)算管理平臺(tái)可以配置主存儲(chǔ)和二級(jí)存儲(chǔ)。主存儲(chǔ)支持iSCSI, FC或NFS接口。主存儲(chǔ)上存放虛擬機(jī)的磁盤鏡像，一般和服務(wù)器物理位置接近。二級(jí)存儲(chǔ)上存放模板，ISO鏡像以及快照數(shù)據(jù)，通常一個(gè)二級(jí)存儲(chǔ)可以對(duì)應(yīng)幾百臺(tái)服務(wù)器。、 虛擬機(jī)分配策略云計(jì)算管理平臺(tái)在創(chuàng)建虛擬機(jī)時(shí)會(huì)根據(jù)內(nèi)置策略選擇可用的物理

36、機(jī)。被選擇的物理機(jī)總是和虛擬機(jī)的鏡像物理位置接近。分配策略包括“縱向優(yōu)先”和“橫向優(yōu)先”?？v向優(yōu)先是指先分配滿一臺(tái)物理機(jī)的負(fù)載，再分配第二臺(tái)物理機(jī)。這樣的好處是節(jié)能，未分配的物理機(jī)可以處于休眠模式。橫向優(yōu)先是指每臺(tái)物理機(jī)平均分配負(fù)載。這樣的好處是確保每臺(tái)虛擬機(jī)的性能最優(yōu)。云計(jì)算管理平臺(tái)支持CPU 超配(over commit)，也就是允許管理員分配比實(shí)際CPU個(gè)數(shù)/能力更多的虛擬機(jī)給最終用戶。、 虛擬機(jī)管理云計(jì)算管理平臺(tái)為管理員和用戶提供了豐富的虛擬機(jī)管理功能。虛擬機(jī)的基本操作包括啟動(dòng)，停止，重啟，刪除等等。虛擬機(jī)包含名稱和組別。虛擬機(jī)的名稱和組別對(duì)于云計(jì)算管理平臺(tái)是不透明的，用

37、戶通過它們來組織和管理虛擬機(jī)。虛擬機(jī)可以配置HA。對(duì)于配置了HA的虛擬機(jī)，系統(tǒng)會(huì)監(jiān)控它們的狀態(tài)，并在發(fā)現(xiàn)出問題的時(shí)候試著在另一個(gè)物理機(jī)上重新啟動(dòng)該虛擬機(jī)。云計(jì)算管理平臺(tái)無法區(qū)分一臺(tái)虛擬機(jī)是正常關(guān)機(jī)還是異常關(guān)機(jī)。如果用戶關(guān)掉了一臺(tái)配置HA的虛擬機(jī)，云計(jì)算管理平臺(tái)會(huì)重啟它。因此，當(dāng)用戶真的需要關(guān)掉配置HA的虛擬機(jī)的話，需要先通過云計(jì)算管理平臺(tái)界面或者API以禁用HA功能。、 其他管理功能系統(tǒng)還提供了警告和事件等管理功能。警告是發(fā)送給管理員的提示，通常用郵件發(fā)送，通知管理員系統(tǒng)出現(xiàn)錯(cuò)誤。警告信息是可配置的。事件功能跟蹤管理員和用戶在云計(jì)算管理平臺(tái)的所有操作。例如，每次虛擬機(jī)啟動(dòng)都對(duì)應(yīng)一

38、個(gè)事件。事件存放在管理服務(wù)器的數(shù)據(jù)庫。云計(jì)算管理平臺(tái)允許管理員將某臺(tái)物理機(jī)設(shè)為維護(hù)模式。位于維護(hù)模式的物理機(jī)首先從資源池中移出，不再接收新的虛擬機(jī)分配請(qǐng)求。然后，這臺(tái)物理機(jī)上的虛擬機(jī)會(huì)被無縫遷移至其他不在維護(hù)模式的物理機(jī)。由于這里采用的是在線遷移技術(shù)，客戶的業(yè)務(wù)和應(yīng)用不會(huì)受到影響。管理員和用戶還可以監(jiān)控物理機(jī)和虛擬機(jī)的性能。通過云計(jì)算管理平臺(tái)的監(jiān)控界面，用戶可以了解機(jī)器各種資源的使用情況以決定是否要換用更高級(jí)的虛擬機(jī)或是更大的存儲(chǔ)空間。0、 API和擴(kuò)展性云計(jì)算管理平臺(tái)的管理員界面和用戶界面是基于同一套標(biāo)準(zhǔn)的HTTP請(qǐng)求協(xié)議開發(fā)的。這一套協(xié)議確保界面和后端的松耦合，不論是改寫用戶

39、界面還是開發(fā)命令行工具都很方便。云計(jì)算管理平臺(tái)的可擴(kuò)展分配策略架構(gòu)允許接入新的分配策略來分配存儲(chǔ)和物理機(jī)。1、 彈性和可用性云計(jì)算管理平臺(tái)的設(shè)計(jì)確保對(duì)多個(gè)數(shù)據(jù)中心，上千臺(tái)服務(wù)器規(guī)模的支持。我們把一個(gè)機(jī)架(Pod)作為大規(guī)模部署下的一個(gè)單位。一般一個(gè)Pod對(duì)應(yīng)一個(gè)物理機(jī)架。系統(tǒng)規(guī)模的擴(kuò)展也就是增加新的機(jī)架以及在管理服務(wù)器中對(duì)新加的資源進(jìn)行管理的流程。云計(jì)算管理平臺(tái)也包含了一系列保證可用性的特性。首先，管理服務(wù)器可以是一組配置了負(fù)載平衡的服務(wù)器機(jī)群。其次，數(shù)據(jù)庫可以配置自動(dòng)備份以確保在出錯(cuò)時(shí)可以人工恢復(fù)。對(duì)于資源服務(wù)器，云計(jì)算管理平臺(tái)支持網(wǎng)卡綁定，多網(wǎng)絡(luò)存儲(chǔ)以及iSCSI多路徑。3.

40、3.3、 云管理平臺(tái)設(shè)計(jì)、 資源管理系統(tǒng)設(shè)計(jì)資源整合和虛擬化將原本靜態(tài)分配的IT資源池化，打破資源孤島、形成邏輯的資源池，使上層的應(yīng)用不再以豎井（Silo）和專用（Dedicated）的形式使用資源，而是多個(gè)應(yīng)用共享資源池，既可以提高資源利用率，又可以通過快速部署、動(dòng)態(tài)分配等應(yīng)對(duì)應(yīng)用對(duì)資源的突發(fā)需求。在 私有云建設(shè)中，當(dāng)資源池就緒之后，通過云管理平臺(tái)資源管理模塊實(shí)現(xiàn)異構(gòu)資源池的統(tǒng)一管理，動(dòng)態(tài)分配和調(diào)度資源以滿足多應(yīng)用需求。已有設(shè)備和新購入設(shè)備均可以納入云管理平臺(tái)的管理中。設(shè)備管理：統(tǒng)一的設(shè)備資產(chǎn)管理，清晰、方便的維護(hù)和管理各類設(shè)備相關(guān)信息，如設(shè)備名稱、編號(hào)、型號(hào)，所處的具體物理位

41、置信息等，實(shí)現(xiàn)設(shè)備與資源的統(tǒng)一納管和集中監(jiān)控展示。網(wǎng)絡(luò)拓?fù)洌焊采w虛擬機(jī)層級(jí)的網(wǎng)絡(luò)拓?fù)鋱D、VLAN圖，以及直觀的機(jī)架圖，從各個(gè)層面展示私有云的設(shè)備連接情況，準(zhǔn)確了解虛擬機(jī)與物理機(jī)的依存關(guān)系。系統(tǒng)監(jiān)控：圖形化和列表的方式展示虛擬機(jī)、Hypervisor主機(jī)、物理機(jī)、存儲(chǔ)、網(wǎng)絡(luò)設(shè)備的啟停狀態(tài)、資源利用率等詳細(xì)監(jiān)控信息；并可通過儀表板的集中展現(xiàn)，全面直觀的了解整個(gè)資源系統(tǒng)的概要信息。告警管理：告警規(guī)則配置與管理，告警事件統(tǒng)一展示，可及時(shí)了解資源池中的各種異常事件和告警信息。報(bào)表系統(tǒng)：豐富的報(bào)表統(tǒng)計(jì)功能，可統(tǒng)計(jì)分析各種資源的歷史使用情況、利用率情況、可用性等信息，為資源的進(jìn)一步優(yōu)化利用提供決策信息。3.

42、3.3.2、 運(yùn)營管理系統(tǒng)設(shè)計(jì)云管理平臺(tái)除了改變傳統(tǒng)信息系統(tǒng)的管理方式外，更體現(xiàn)了云計(jì)算中“服務(wù)”的概念。在 私有云建設(shè)中，通過云管理平臺(tái)的運(yùn)營管理系統(tǒng)，可以將資源服務(wù)化，更好的提供方便快捷的信息資源服務(wù)。在資源池之上，將資源封裝為可度量的服務(wù)，并使最終用戶以最便捷靈活的形式按需使用這些服務(wù)。提供了服務(wù)管理、訂單管理、用戶管理、計(jì)費(fèi)管理等功能，以幫助信息管理人員完成日常運(yùn)營工作，面向最終用戶提供自助服務(wù)流程。實(shí)現(xiàn)“按需自助服務(wù)”這一云計(jì)算最終目的。主要設(shè)計(jì)功能：資源封裝，預(yù)置豐富的云服務(wù)針對(duì) 的實(shí)際應(yīng)用或業(yè)務(wù)需求，配合信息管理人員，將資源池中的各種資源封裝為適合不同應(yīng)用使用的不同服務(wù)模板，并通

43、過服務(wù)目錄的形式在門戶系統(tǒng)上展現(xiàn)，供用戶瀏覽和選擇所需服務(wù)。運(yùn)營管理員也可以根據(jù)信息業(yè)務(wù)發(fā)展情況和用戶反饋的意見，創(chuàng)建新服務(wù)模板并發(fā)布，以滿足不同用戶的需求。通過門戶系統(tǒng)，管理員可以輕松的管理服務(wù)模板的創(chuàng)建、修改、發(fā)布、刪除等整個(gè)生命周期過程。訂單管理云管理平臺(tái)提供“購物車”功能，用戶通過自服務(wù)門戶，可以像網(wǎng)上購物一樣選擇服務(wù)產(chǎn)品放入購物車并提交以生成訂單，訂單可管理、查看審批軌跡及刪除。運(yùn)營管理員則對(duì)所有用戶提交的訂單進(jìn)行管理。使用者和運(yùn)營管理者無需溝通交流即可申請(qǐng)信息資源的使用。大大化簡了 信息資源的申請(qǐng)審批流程，方便了一線職工的使用，減少了信息管理人員的工作量。審批流程為了防止在審批流程

44、中出現(xiàn)問題，審批可以是單層或?qū)蛹?jí)審批，每一級(jí)審批可設(shè)置為自動(dòng)或人工完成。對(duì)審批層級(jí)和自動(dòng)/人工審批的配置均可以通過運(yùn)營管理的管理員門戶完成。可以根據(jù)訂單的重要程度，設(shè)計(jì)不同的審批模式，有效的保障了信息資源使用的安全性和合理性。按需自助服務(wù)，完整的用戶自服務(wù)流程云平臺(tái)的自服務(wù)流程為用戶提供了完整的按需自助式服務(wù)體驗(yàn)，整個(gè)自服務(wù)流程包括服務(wù)申請(qǐng)、訂單審批與管理、服務(wù)交付、服務(wù)實(shí)例使用與回收等步驟與功能。如果訂單通過審批，系統(tǒng)會(huì)自動(dòng)根據(jù)訂單為用戶分配資源，生成相應(yīng)的服務(wù)實(shí)例交付給用戶，用戶可通過各種方式登錄和使用自己的資源，也可對(duì)服務(wù)實(shí)例進(jìn)行更改、申請(qǐng)作廢等操作。未通過審批的訂單不會(huì)獲得任何資源分配

45、。服務(wù)控制臺(tái)，提供服務(wù)實(shí)例的全生命周期管理服務(wù)實(shí)例全生命周期管理，是指用戶的服務(wù)實(shí)例從創(chuàng)建到回收的整個(gè)過程的管理。包括對(duì)服務(wù)實(shí)例的自動(dòng)部署，用戶對(duì)服務(wù)實(shí)例的使用、更改、申請(qǐng)作廢，系統(tǒng)對(duì)服務(wù)實(shí)例對(duì)應(yīng)資源的釋放和回收等。云平臺(tái)自服務(wù)門戶提供一個(gè)服務(wù)控制臺(tái)，用戶可對(duì)自己的服務(wù)實(shí)例進(jìn)行查詢、操作和管理，比如對(duì)虛擬機(jī)進(jìn)行開機(jī)、重啟、關(guān)機(jī)等操作，或者將一個(gè)塊存儲(chǔ)掛載給虛擬機(jī)。另外，云平臺(tái)支持用戶通過瀏覽器直接訪問虛擬機(jī)，為用戶提供了極大的便利。當(dāng)用戶不再需要所申請(qǐng)的資源時(shí)，可以對(duì)服務(wù)實(shí)例申請(qǐng)作廢，云平臺(tái)會(huì)回收并釋放該用戶申請(qǐng)的資源，服務(wù)訂購關(guān)系終止。界面友好，基于角色的門戶系統(tǒng)云平臺(tái)對(duì)管理員和最終用戶都提

46、供了友好的門戶系統(tǒng)，通過權(quán)限控制，云平臺(tái)對(duì)不同角色的用戶呈現(xiàn)不同功能的門戶界面。日志審計(jì)云平臺(tái)的日志系統(tǒng)可記錄管理員和用戶在云平臺(tái)內(nèi)的所有操作，如登錄系統(tǒng)、資源操作等?？稍诮缑骘@示所有日志及日志詳情，也可以對(duì)日志進(jìn)行查詢，基于日志可實(shí)現(xiàn)對(duì)用戶操作的審計(jì)。 、 云管理平臺(tái)安全設(shè)計(jì)在云管理平臺(tái)的設(shè)計(jì)中，特別突出安全性設(shè)計(jì)。多層面的安全隔離1、Zone和在Zone之間可能實(shí)現(xiàn)了某種形式的物理隔離和冗余2、不同帳戶的用戶使用不同的VLAN，VLAN起到用戶之間隔離的作用；基于用戶的虛擬機(jī)隔離：即管理員可以通過云平臺(tái)將不同用戶之間的虛擬機(jī)配置為無法建立2層鏈接，實(shí)現(xiàn)基于用戶的虛擬機(jī)隔離。3

47、、提供多種網(wǎng)絡(luò)類型，一些是真實(shí)的，一些是虛擬的，虛擬網(wǎng)絡(luò)通過VLAN隔離，物理網(wǎng)絡(luò)通過不同的硬件和設(shè)備隔離等，比如通過公網(wǎng)IP、私網(wǎng)IP通過不同的網(wǎng)卡隔離流量.也通過不同的組網(wǎng)，如3個(gè)平面來隔離業(yè)務(wù)、管理、存儲(chǔ)4、直連網(wǎng)絡(luò)可以通過給用戶分配VLAN來隔離，直連無標(biāo)記網(wǎng)絡(luò)則采用了類似于亞馬遜的安全組概念對(duì)每位用戶進(jìn)行隔離，而不采用VLAN。所有的安全域都通過防火墻接入到網(wǎng)絡(luò)中，各個(gè)安全域通過虛擬防火墻進(jìn)行邏輯隔離，安全域之間不能直接訪問，在虛擬防火墻上通過訪問控制策略，對(duì)用戶進(jìn)行文件和數(shù)據(jù)操作權(quán)限的限制，防范用戶的越權(quán)訪問。全面的虛擬機(jī)安全機(jī)制1、同一物理服務(wù)器上的虛擬機(jī)隔離，同一物理機(jī)服務(wù)器上

48、資源隔離，包括CPU、內(nèi)存、內(nèi)部網(wǎng)絡(luò)隔離、磁盤I/O有效的隔離，不會(huì)因?yàn)槟骋粋€(gè)虛擬機(jī)被攻擊而導(dǎo)致其他同一物理服務(wù)器上的虛擬機(jī)被影響。2、內(nèi)部虛擬機(jī)訪問隔離，提供虛擬防火墻，如安全組功能，確保不同租戶的虛擬機(jī)之間的網(wǎng)絡(luò)隔離（包括同一個(gè)物理主機(jī)內(nèi)的不同虛擬機(jī)）。針對(duì)每個(gè)安全組可以定義ACL規(guī)則，如對(duì)外開放某個(gè)具體的服務(wù)或端口，允許外部某個(gè)IP地址訪問虛擬機(jī)的某個(gè)端口，也可以在安全組之間相互授權(quán)訪問。3、惡意VM預(yù)防，云平臺(tái)要能防止同一個(gè)物理主機(jī)內(nèi)VM能嗅探到其它VM的數(shù)據(jù)包。例如ARP防護(hù)，云平臺(tái)防止惡意虛擬機(jī)的IP欺騙和ARP地址欺騙，限制虛擬機(jī)只能發(fā)送本機(jī)地址的報(bào)文。4、虛擬機(jī)操作日志審計(jì)，通

49、過云平臺(tái)記錄對(duì)虛擬機(jī)進(jìn)行VM操作，便于合規(guī)審計(jì)。訪問控制1、對(duì)業(yè)務(wù)和應(yīng)用中保存的帳號(hào)進(jìn)行集中管理，包括帳號(hào)創(chuàng)建、變更和刪除等。同時(shí)根據(jù)預(yù)定策略，修改帳號(hào)的口令。接入認(rèn)證安全、傳輸安全；2、將人員和其在各個(gè)業(yè)務(wù)系統(tǒng)中承擔(dān)角色關(guān)聯(lián)，實(shí)現(xiàn)對(duì)維護(hù)人員和用戶等的集中授權(quán)。3、記錄帳號(hào)登錄、登出等相關(guān)的日志信息，并帳號(hào)登錄、登出的信息和用戶的真實(shí)身份相關(guān)聯(lián)。4、根據(jù)預(yù)先制定的審計(jì)策略對(duì)日志進(jìn)行分析，發(fā)現(xiàn)高危操作，產(chǎn)生審計(jì)事件告警。輸出符合薩班斯審計(jì)需要等要求的審計(jì)報(bào)告。融合已有傳統(tǒng)安全措施1、防火墻：最主流也是最重要的安全產(chǎn)品，是邊界安全解決方案的核心。它可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行區(qū)域分割，提供基于IP地址和TC

50、P/IP服務(wù)端口等的訪問控制；對(duì)常見的網(wǎng)絡(luò)攻擊，如拒絕服務(wù)攻擊、端口掃描、IP欺騙、IP盜用等進(jìn)行有效防護(hù)；并提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MAC綁定等安全增強(qiáng)措施。2、VPN網(wǎng)關(guān)：虛擬專用網(wǎng)（Virtual Private Network，VPN）技術(shù)以其靈活、安全、經(jīng)濟(jì)、易擴(kuò)展的特點(diǎn)，可以提高溝通效率和資源利用效率，建立成員單位與云平臺(tái)之間的具有保密性的網(wǎng)絡(luò)連接。能滿足遠(yuǎn)程管理接入需求。設(shè)備支持VPN隧道數(shù)量和最大并發(fā)用戶數(shù)量滿足當(dāng)前維護(hù)需求。3、安全支援區(qū)域，建議建立安全支援區(qū)域，該區(qū)域完成所有安全設(shè)備的網(wǎng)管工作，同進(jìn)可以放置防病毒系統(tǒng)、補(bǔ)丁管理系統(tǒng)等。3.4、 虛擬化設(shè)

51、計(jì)3.4.1、 服務(wù)器虛擬化服務(wù)器虛擬化產(chǎn)品的成熟度將對(duì)業(yè)務(wù)應(yīng)用運(yùn)行產(chǎn)生較大影響，因此本期方案推薦業(yè)內(nèi)知名的Citrix Xen Server產(chǎn)品作為服務(wù)器虛擬化的落地支撐。XenServer 是在云計(jì)算環(huán)境中經(jīng)過驗(yàn)證的企業(yè)級(jí)虛擬化平臺(tái)，可提供創(chuàng)建和管理虛擬基礎(chǔ)架構(gòu)所需的所有功能。它深得很多要求苛刻的企業(yè)信賴，被用于運(yùn)行最關(guān)鍵的應(yīng)用，而且被最大規(guī)模的云計(jì)算環(huán)境和 xSP 所采用。XenServer：通過整合服務(wù)器，降低電源、冷卻和數(shù)據(jù)中心空間需求來降低成本允許在幾分鐘內(nèi)完成新服務(wù)器置備和IT服務(wù)交付，進(jìn)而提高IT靈活性確保可始終達(dá)到應(yīng)用要求和性能水平標(biāo)準(zhǔn)減少故障影響，防止災(zāi)難，進(jìn)而最大限度地減

52、少停機(jī)，免費(fèi)版 XenServer 配備有64位系統(tǒng)管理程序和集中管理、實(shí)時(shí)遷移及轉(zhuǎn)換工具，可創(chuàng)建一個(gè)虛擬平臺(tái)來最大限度地提高虛擬機(jī)密度和性能。Premium 版 XenServer 擴(kuò)展了這一平臺(tái)，可幫助任何規(guī)模的企業(yè)實(shí)現(xiàn)管理流程的集成和自動(dòng)化，是一種先進(jìn)的虛擬數(shù)據(jù)中心解決方案。通俗的理解：XenServer 是思杰公司(Citrix) 推出的一款服務(wù)器虛擬化系統(tǒng)，強(qiáng)調(diào)一下是服務(wù)器“虛擬化系統(tǒng)”而不是“軟件”，與傳統(tǒng)虛擬機(jī)類軟件不同的是它無需底層原生操作系統(tǒng)的支持，也就是說 XenServer 本身就具備了操作系統(tǒng)的功能，是能直接安裝在服務(wù)器上引導(dǎo)啟動(dòng)并運(yùn)行的?；赬enServer系統(tǒng)，可

53、以將一臺(tái)性能強(qiáng)勁的服務(wù)劃分成多臺(tái)服務(wù)器，讓這些服務(wù)器同時(shí)運(yùn)行提供各種應(yīng)用服務(wù)，節(jié)省硬件投資也方便管理。3.4.2、 桌面虛擬化云終端虛擬桌面是端到端一體化虛擬桌面解決方案，桌面云平臺(tái)將傳統(tǒng)桌面PC虛擬化后托管在數(shù)據(jù)中心，每位人員通過一臺(tái)云終端訪問桌面及應(yīng)用。、 桌面云平臺(tái)簡介桌面云平臺(tái)是中國首發(fā)的一體化企業(yè)級(jí)虛擬化平臺(tái)，它融合了企業(yè)級(jí)的服務(wù)器和桌面虛擬化的功能和優(yōu)勢(shì)，通過統(tǒng)一的管理平臺(tái)全面管理位于數(shù)據(jù)中心的物理和虛擬資源，用戶僅需要使用價(jià)格低廉的云終端或傳統(tǒng)PC就可以連接到數(shù)據(jù)中心中的Windows或Linux桌面，甚至是服務(wù)器桌面，并獲得類本地PC的使用體驗(yàn)。 桌面云平臺(tái)為企業(yè)

54、部署桌面云提供了所需的全部功能，它致力于幫助企業(yè)利用有限成本，最大化IT資源的效率和利用率，最大限度幫助企業(yè)構(gòu)建最具靈活性的基礎(chǔ)架構(gòu)平臺(tái)，幫助管理員有效管理復(fù)雜的企業(yè)桌面環(huán)境。借助于 桌面云平臺(tái)可以實(shí)現(xiàn)：u 統(tǒng)一管理：統(tǒng)一的web管理平臺(tái)實(shí)現(xiàn)對(duì)服務(wù)器和桌面虛擬化的統(tǒng)一管理；u 高可用性：簡單配置即可實(shí)現(xiàn)虛擬桌面失效切換，提升桌面SLA等級(jí)；u 在線遷移：讓虛擬桌面在不同物理服務(wù)器之間遷移，桌面應(yīng)用不中斷；u 系統(tǒng)調(diào)度：策略式的系統(tǒng)調(diào)度策略使系統(tǒng)資源根據(jù)負(fù)載自動(dòng)進(jìn)行負(fù)載均衡；u 節(jié)能管理：自定義策略降低電源和制冷開銷，響應(yīng)國家綠色節(jié)能號(hào)召；u 鏡像管理：創(chuàng)建、管理和供應(yīng)虛擬桌面鏡像，可實(shí)現(xiàn)大批量

55、供應(yīng)桌面；u 高級(jí)檢索功能：大規(guī)模桌面部署環(huán)境中的快速定位、簡化管理；u 云端傳輸協(xié)議：優(yōu)化的網(wǎng)絡(luò)性能，提供類本地PC的使用體驗(yàn)。.1、 桌面云平臺(tái)架構(gòu) 桌面云平臺(tái)是一個(gè)一體化的企業(yè)級(jí)虛擬化平臺(tái)，主要由桌面云虛擬化主機(jī)、桌面云管理平臺(tái)、桌面云連接協(xié)議套件三大核心組件組成，用戶通過云端傳輸協(xié)議去連接虛擬服務(wù)器和桌面，并為用戶提供一流的管理和使用體驗(yàn)。其系統(tǒng)架構(gòu)及組件如下圖所示：u 桌面云虛擬化主機(jī)：簡稱CTVN，以內(nèi)核虛擬機(jī)技術(shù)KVM為基礎(chǔ)，是精簡、安全、高效的虛擬基礎(chǔ)架構(gòu)平臺(tái)。u 桌面云管理平臺(tái)：簡稱CTVM，是一個(gè)綜合性的統(tǒng)一web管理控制臺(tái)，通過它可以查看和管理物理和虛擬化環(huán)

56、境內(nèi)的所有組件和資源，如物理的主機(jī)、存儲(chǔ)和網(wǎng)絡(luò)以及虛擬的模版、鏡像、虛擬機(jī)，同時(shí)能簡單通過此單一控制臺(tái)對(duì)虛擬化資源進(jìn)行綜合管理，如虛擬桌面的全生命周期管理和控制、高級(jí)檢索、資源調(diào)度、電源管理、負(fù)載均衡以及高可用和線遷移等功能。u 桌面云協(xié)議套件：簡稱CTVP，它是一項(xiàng)高性能的遠(yuǎn)程網(wǎng)絡(luò)通訊協(xié)議，為用戶通過云端傳輸協(xié)議訪問虛擬桌面獲得一致性的桌面訪問體驗(yàn)。.2、 桌面云平臺(tái)具有在線遷移、HA、數(shù)據(jù)備份等高級(jí)特性，可保證整合后平臺(tái)的穩(wěn)定可靠運(yùn)行。決數(shù)據(jù)安全問題l 桌面和數(shù)據(jù)總是駐留在數(shù)據(jù)中心，終端只顯示影像，沒有任何實(shí)際業(yè)務(wù)數(shù)據(jù)傳輸?shù)阶烂鎙 終端與數(shù)據(jù)中心之間的通訊和影像傳輸已加密且可

57、控l 各虛擬桌面之間相互隔離，互不影響l 遠(yuǎn)程映射USB設(shè)備進(jìn)行管控和審計(jì)l 應(yīng)用安裝控制，上網(wǎng)行為控制，實(shí)現(xiàn)集中安全管控l 集中的病毒木馬防護(hù)，從數(shù)量較少的網(wǎng)關(guān)處控制互聯(lián)網(wǎng)安全l 統(tǒng)一的安全互聯(lián)網(wǎng)出口、 基礎(chǔ)架構(gòu)提升數(shù)據(jù)的安全性l 底層安全性：虛擬OS托管在高安全性的Linux之上l 系統(tǒng)高可用性：通過集群動(dòng)態(tài)均衡技術(shù)和自動(dòng)遷移技術(shù)，在不影響用戶使用和數(shù)據(jù)可靠的情況下，允許1/3的服務(wù)器宕機(jī)l 高可靠服務(wù)器，冗余電源及高效的散熱設(shè)計(jì)；多網(wǎng)卡配置提供數(shù)據(jù)傳輸冗余l(xiāng) 可用性達(dá)99.999%的存儲(chǔ)系統(tǒng)，控制器冗余，高級(jí)容災(zāi)備份，存儲(chǔ)加密技術(shù)、 集成的桌面安全管理特性l 安全準(zhǔn)入控制：未知終端準(zhǔn)入控制，終端用戶認(rèn)證管理，終端安全準(zhǔn)入控制l 行為安全管控：聊天行為，上網(wǎng)行為，網(wǎng)絡(luò)應(yīng)用使用；OS操作行為，文件操作，P2P下載l 桌面安全管理：資產(chǎn)管理，外設(shè)管理，終端加固；異常監(jiān)控，違規(guī)外聯(lián)l 數(shù)據(jù)安全管理：文檔信息加密，移動(dòng)介質(zhì)管理；數(shù)據(jù)安全銷毀，敏感信息檢查；數(shù)據(jù)備份與恢復(fù)l 安全審計(jì)管理：即時(shí)通訊審計(jì)，上網(wǎng)行為審計(jì)；郵件審計(jì)，OS及文件操作審計(jì)；文件輸出審計(jì)3.5、 安全設(shè)計(jì)本項(xiàng)目將以天云趨勢(shì)的安全產(chǎn)品作為安全支撐，天云趨勢(shì)服務(wù)器虛擬安全解決方案