職教智慧教育云平臺(tái)總體規(guī)劃

1、 職教智慧教育云平臺(tái)總體規(guī)劃目錄 TOC o 1-3 h z u HYPERLINK l _Toc528761393 1概述 PAGEREF _Toc528761393 h 3 HYPERLINK l _Toc528761394 1.1職教信息化發(fā)展現(xiàn)狀 PAGEREF _Toc528761394 h 3 HYPERLINK l _Toc528761395 1.2教育部指導(dǎo)思想和工作方針 PAGEREF _Toc528761395 h 3 HYPERLINK l _Toc528761396 2職教智慧教育建設(shè)目標(biāo) PAGEREF _Toc528761396 h 6 HYPERLINK l _T

2、oc528761397 2.1提升職教信息化基礎(chǔ)能力 PAGEREF _Toc528761397 h 6 HYPERLINK l _Toc528761398 2.2構(gòu)建統(tǒng)一的教育資源平臺(tái) PAGEREF _Toc528761398 h 8 HYPERLINK l _Toc528761399 3教育云平臺(tái)總體規(guī)劃設(shè)計(jì) PAGEREF _Toc528761399 h 9 HYPERLINK l _Toc528761400 3.1設(shè)計(jì)原則 PAGEREF _Toc528761400 h 9 HYPERLINK l _Toc528761401 3.2總體架構(gòu) PAGEREF _Toc528761401

3、 h 10 HYPERLINK l _Toc528761402 3.2.1自主可控的技術(shù)架構(gòu)設(shè)計(jì) PAGEREF _Toc528761402 h 10 HYPERLINK l _Toc528761403 3.2.2通過(guò)COC匯聚實(shí)現(xiàn)云平臺(tái)邏輯建設(shè) PAGEREF _Toc528761403 h 11 HYPERLINK l _Toc528761404 3.2.3層次清晰的平臺(tái)部署架構(gòu)圖 PAGEREF _Toc528761404 h 12 HYPERLINK l _Toc528761405 3.3技術(shù)路線 PAGEREF _Toc528761405 h 13 HYPERLINK l _Toc5

4、28761406 3.3.1服務(wù)器虛擬化技術(shù) PAGEREF _Toc528761406 h 13 HYPERLINK l _Toc528761407 3.3.2資源彈性擴(kuò)展 PAGEREF _Toc528761407 h 16 HYPERLINK l _Toc528761408 3.3.3虛擬化智慧網(wǎng)絡(luò) PAGEREF _Toc528761408 h 16 HYPERLINK l _Toc528761409 3.3.4安全可控技術(shù) PAGEREF _Toc528761409 h 23 HYPERLINK l _Toc528761410 3.3.5創(chuàng)新服務(wù)模式 PAGEREF _Toc5287

5、61410 h 26 HYPERLINK l _Toc528761411 3.3.6充分考慮利舊 PAGEREF _Toc528761411 h 26 HYPERLINK l _Toc528761412 3.3.7海量存儲(chǔ)技術(shù) PAGEREF _Toc528761412 h 26概述職教信息化發(fā)展現(xiàn)狀職業(yè)教育是與經(jīng)濟(jì)發(fā)展、社會(huì)進(jìn)步的聯(lián)系最直接、關(guān)系最緊密的教育類型，特別是在現(xiàn)階段，充分發(fā)揮職業(yè)教育的作用對(duì)于繁榮經(jīng)濟(jì)、促進(jìn)就業(yè)、消除貧困、維護(hù)穩(wěn)定、建設(shè)先進(jìn)文化有著重大意義。縱觀歐美國(guó)家的快速經(jīng)濟(jì)發(fā)展，其背后都離不開(kāi)發(fā)達(dá)的職業(yè)教育的支撐。目前來(lái)看，我國(guó)的普通教育水平，早已接近甚至已經(jīng)超出發(fā)達(dá)國(guó)家，

6、而職業(yè)教育還遠(yuǎn)遠(yuǎn)的落后于發(fā)達(dá)國(guó)家。這種落后除了職業(yè)教育理念、職業(yè)教育領(lǐng)域等方面存在差距外，在職業(yè)教育的信息化建設(shè)方面，差距尤其明顯。近年來(lái)，我國(guó)不少地方、行業(yè)和職業(yè)院校積極開(kāi)展職業(yè)教育信息化建設(shè)，在基礎(chǔ)設(shè)施建設(shè)、信息資源開(kāi)發(fā)、人員技術(shù)培訓(xùn)和管理系統(tǒng)應(yīng)用等方面取得重要進(jìn)展，對(duì)于有效擴(kuò)大、優(yōu)化配置和開(kāi)放共享職業(yè)教育資源，大幅提升職業(yè)教育服務(wù)經(jīng)濟(jì)社會(huì)的能力，發(fā)揮了重要作用。然而不可否認(rèn)的是，由于政策性投入以及其他歷史原因，我國(guó)職業(yè)教育信息化建設(shè)基礎(chǔ)還比較薄弱，發(fā)展水平還不高，尤其是在有些地方，職教信息化依然處于剛剛起步階段，很多教務(wù)工作以及學(xué)生管理甚至還依賴手工記錄管理的方式。對(duì)于那些已經(jīng)有一定基礎(chǔ)

7、的職教信息化平臺(tái)，則是存在著對(duì)信息化建設(shè)缺乏統(tǒng)籌，信息孤島與重復(fù)建設(shè)的現(xiàn)象比較普遍，系統(tǒng)間互聯(lián)互通性較差，資源開(kāi)放性、共享性不強(qiáng)，信息安全存在隱患等等問(wèn)題。目前來(lái)看，推進(jìn)職業(yè)教育信息化的建設(shè)任務(wù)非常緊迫。教育部指導(dǎo)思想和工作方針加快推進(jìn)職業(yè)教育信息化，是我國(guó)教育信息化工作的重要內(nèi)容，是職業(yè)教育基礎(chǔ)能力建設(shè)的重要任務(wù)，是支撐職業(yè)教育改革創(chuàng)新的重要基礎(chǔ)，是提高人才培養(yǎng)質(zhì)量的關(guān)鍵環(huán)節(jié)。在2012年5月份，教育部為貫徹落實(shí)國(guó)家中長(zhǎng)期教育改革和發(fā)展規(guī)劃綱要（2010-2020年）關(guān)于加快教育信息化進(jìn)程的戰(zhàn)略部署，切實(shí)推進(jìn)職業(yè)教育廣泛、深入和有效應(yīng)用信息技術(shù)，不斷提升職業(yè)教育電子政務(wù)能力、數(shù)字校園水平和人

8、才信息素養(yǎng)，全面加強(qiáng)信息技術(shù)支撐職業(yè)教育改革發(fā)展的能力，以先進(jìn)教育技術(shù)改造傳統(tǒng)教育教學(xué)，以信息化促進(jìn)職業(yè)教育現(xiàn)代化，對(duì)職教信息化建設(shè)提出意見(jiàn)并發(fā)布了教育部關(guān)于加快推進(jìn)職業(yè)教育信息化發(fā)展的意見(jiàn)。節(jié)選該意見(jiàn)中對(duì)“十二五”時(shí)期職業(yè)教育信息化發(fā)展的基本思路與工作方針如下：（1）到2015年，職業(yè)院校配備夠用適用的計(jì)算機(jī)及其配套設(shè)備設(shè)施；90%的職業(yè)院校建成運(yùn)行流暢、功能齊全的校園網(wǎng)，信息技術(shù)能夠支撐學(xué)校教育、教學(xué)、管理、科研等各項(xiàng)應(yīng)用；85%的職業(yè)院校按標(biāo)準(zhǔn)建成數(shù)字校園；90%的成人學(xué)校及其他職業(yè)培訓(xùn)機(jī)構(gòu)實(shí)現(xiàn)網(wǎng)絡(luò)寬帶接入；其他學(xué)校都能建成衛(wèi)星數(shù)據(jù)地面接收站；邊遠(yuǎn)山區(qū)和貧困地區(qū)職業(yè)學(xué)校建成數(shù)字化資源播放

9、平臺(tái)。建成國(guó)家職業(yè)教育數(shù)字化信息資源庫(kù)，不斷完善各級(jí)職業(yè)教育網(wǎng)絡(luò)學(xué)習(xí)平臺(tái)；建成國(guó)家職業(yè)能力培養(yǎng)虛擬仿真實(shí)踐教學(xué)公共環(huán)境，為在校學(xué)生、企業(yè)職工及社會(huì)學(xué)習(xí)者提供優(yōu)質(zhì)實(shí)踐教學(xué)資源。建成全國(guó)職業(yè)教育綜合管理信息系統(tǒng)，實(shí)現(xiàn)各級(jí)教育行政部門政務(wù)管理和職業(yè)院校業(yè)務(wù)管理的信息化、標(biāo)準(zhǔn)化和規(guī)范化。形成學(xué)生信息技術(shù)職業(yè)能力認(rèn)證機(jī)制。職業(yè)教育信息化能力達(dá)到發(fā)達(dá)國(guó)家水平。（2）努力提升職業(yè)教育信息化基礎(chǔ)能力。建立和完善中國(guó)職業(yè)教育信息資源網(wǎng)，建立各地教育行政部門、職業(yè)院校、行業(yè)企業(yè)和科研機(jī)構(gòu)相互協(xié)作的網(wǎng)絡(luò)化職業(yè)教育服務(wù)體系和資源共享機(jī)制。地方教育行政部門要以加強(qiáng)省級(jí)職業(yè)教育網(wǎng)站建設(shè)為重點(diǎn)，創(chuàng)新運(yùn)行機(jī)制和管理模式，建設(shè)

10、泛在、先進(jìn)、高效和實(shí)用的職業(yè)教育信息化基礎(chǔ)設(shè)施。全面提高職業(yè)院校信息技術(shù)裝備水平。職業(yè)院校要以標(biāo)準(zhǔn)化校園網(wǎng)建設(shè)為基礎(chǔ)，實(shí)現(xiàn)多種方式接入互聯(lián)網(wǎng)，加快信息技術(shù)終端設(shè)施普及，重點(diǎn)建設(shè)仿真實(shí)訓(xùn)基地、網(wǎng)絡(luò)教室、遠(yuǎn)程教育培訓(xùn)中心、多媒體應(yīng)用中心等數(shù)字化場(chǎng)所和設(shè)施。努力建成支持學(xué)生學(xué)習(xí)、學(xué)校辦公和政府決策的職業(yè)教育信息化環(huán)境。（3）加快開(kāi)發(fā)職業(yè)教育數(shù)字化優(yōu)質(zhì)信息資源。開(kāi)發(fā)包括網(wǎng)絡(luò)課程、虛擬仿真實(shí)訓(xùn)平臺(tái)、工作過(guò)程模擬軟件、通用主題素材庫(kù)（包括行業(yè)標(biāo)準(zhǔn)庫(kù)、實(shí)訓(xùn)項(xiàng)目庫(kù)、教學(xué)案例庫(kù)、考核試題庫(kù)、技能競(jìng)賽庫(kù)等）、名師名課音像以及專業(yè)群落網(wǎng)站等多種形式的職業(yè)教育數(shù)字化信息資源。建成教學(xué)資源平臺(tái)、電子閱覽室、數(shù)字圖書館等

11、綜合資源平臺(tái)。加快建立健全職業(yè)教育資源開(kāi)發(fā)機(jī)制、認(rèn)證體系和共享模式。加快建設(shè)國(guó)家職業(yè)教育數(shù)字化信息資源庫(kù)。支持建設(shè)國(guó)家職業(yè)教育數(shù)字化資源開(kāi)發(fā)基地。建立健全職業(yè)院校、行業(yè)企業(yè)、研究機(jī)構(gòu)之間的資源共建共享機(jī)制。依托示范性職業(yè)院校和大型企業(yè)，建設(shè)一批國(guó)家示范性職業(yè)能力培養(yǎng)虛擬仿真實(shí)訓(xùn)中心。（4）加快提高職業(yè)院校數(shù)字校園建設(shè)水平。教育部制定職業(yè)教育數(shù)字校園建設(shè)標(biāo)準(zhǔn)，加快推進(jìn)標(biāo)準(zhǔn)化數(shù)字校園建設(shè)。各地和職業(yè)院校要建設(shè)寬帶、泛在、安全的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，推廣應(yīng)用多媒體教室、數(shù)字化實(shí)驗(yàn)室、遠(yuǎn)程協(xié)作教室等職業(yè)教育信息化環(huán)境，促進(jìn)常規(guī)裝備和信息化裝備協(xié)同融合；普及師生個(gè)人學(xué)習(xí)終端，創(chuàng)新數(shù)字化的專業(yè)學(xué)習(xí)工具、協(xié)作交流工

12、具和知識(shí)建構(gòu)工具，引導(dǎo)廣大師生廣泛運(yùn)用信息化手段，創(chuàng)新人才培養(yǎng)模式，積極推進(jìn)信息技術(shù)進(jìn)校園、進(jìn)課堂、進(jìn)教材，促進(jìn)信息技術(shù)與教育過(guò)程、內(nèi)容、方法和質(zhì)量評(píng)價(jià)的深度融合，提高教育教學(xué)質(zhì)量；推進(jìn)學(xué)校管理信息化應(yīng)用，不斷提高職業(yè)院校學(xué)生學(xué)員、教師隊(duì)伍、辦學(xué)經(jīng)費(fèi)、基本建設(shè)、條件裝備、教務(wù)、校企合作等關(guān)鍵業(yè)務(wù)管理的信息化水平，提高管理工作效率。職教智慧教育建設(shè)目標(biāo)智慧教育是指通過(guò)利用云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等先進(jìn)技術(shù)，將學(xué)校的教學(xué)、科研、管理與校園資源和應(yīng)用系統(tǒng)進(jìn)行整合，以提高教學(xué)教務(wù)應(yīng)用交互的明確性、靈活性和響應(yīng)速度，從而實(shí)現(xiàn)智慧化服務(wù)和管理的教育模式。智慧教育本質(zhì)上還是教育信息化的內(nèi)涵延伸，其發(fā)展需要云計(jì)

13、算等新技術(shù)的支持?！霸朴?jì)算”是一種模式和思想，它通過(guò)多種技術(shù)綜合應(yīng)用于IT系統(tǒng)，促使IT系統(tǒng)更加彈性、動(dòng)態(tài)、高效、自動(dòng)化、使得IT系統(tǒng)的使用者不用關(guān)心IT系統(tǒng)的細(xì)節(jié)，從而可以將更多的精力投入到其自身業(yè)務(wù)流程的優(yōu)化中。目前，職教信息化正在全國(guó)各地如火如荼地開(kāi)展。從實(shí)際情況來(lái)看，各地職校硬件設(shè)備投入?yún)⒉畈积R，部署困難，阻礙了軟件的普及應(yīng)用；信息化軟件應(yīng)用不足，缺乏統(tǒng)一部署，無(wú)法兼顧多級(jí)使用單位和角色，無(wú)法實(shí)現(xiàn)最優(yōu)化管理等。云計(jì)算技術(shù)引入教育領(lǐng)域，極大地解決了這些困惑?；谠朴?jì)算的智慧教育信息化平臺(tái)將為職教信息化的深入發(fā)展提供了強(qiáng)大的技術(shù)支持。提升職教信息化基礎(chǔ)能力以往的職教信息化平臺(tái)基本都是采用煙

14、囪式的部署方式，教務(wù)系統(tǒng)、學(xué)生管理系統(tǒng)、辦公系統(tǒng)等應(yīng)用都部署在單獨(dú)的物理服務(wù)器上。這種傳統(tǒng)的部署方式在長(zhǎng)期的信息化運(yùn)維中帶來(lái)一系列的問(wèn)題。近年來(lái)，學(xué)校對(duì)IT平臺(tái)動(dòng)態(tài)化、彈性化、自動(dòng)化、高效率的需求不斷增長(zhǎng)，隨著云計(jì)算理念的不斷深入，大多數(shù)學(xué)校在其信息中心的建設(shè)過(guò)程中，都期待利用新技術(shù)、新理念，以更科學(xué)的方法構(gòu)建新一代的教育信息化平臺(tái)，以滿足業(yè)務(wù)創(chuàng)新所要求的敏捷性，同時(shí)降低總體擁有成本。由于云計(jì)算平臺(tái)具有動(dòng)態(tài)資源性、虛擬性和高可用性等優(yōu)勢(shì)，采用新技術(shù)構(gòu)建職教信息化平臺(tái)可以提早規(guī)劃信息化平臺(tái)的架構(gòu)，充分考慮未來(lái)的發(fā)展需要，繞開(kāi)傳統(tǒng)信息化方式帶來(lái)的問(wèn)題，避免在信息化發(fā)展中走彎路。（1）增強(qiáng)應(yīng)用系統(tǒng)彈

15、性信息系統(tǒng)的建設(shè)通常都是按峰值情況規(guī)劃的。但是職校的信息系統(tǒng)有其特殊性，例如招生網(wǎng)站在每年特殊時(shí)段點(diǎn)擊量相當(dāng)大，而其他時(shí)段并發(fā)數(shù)就很低，學(xué)校的門戶網(wǎng)站、教務(wù)處的登分查分系統(tǒng)都有類似情況。 為了保證峰值情況下系統(tǒng)的可靠性，只能進(jìn)行冗余建設(shè)，這造成巨大浪費(fèi)。如果不考慮峰值情況，有可能導(dǎo)致關(guān)鍵時(shí)期系統(tǒng)癱瘓等問(wèn)題。云計(jì)算技術(shù)可以充分利用資源池動(dòng)態(tài)變化的特性，可以滿足不同時(shí)間段業(yè)務(wù)的不用需求，保證在訪問(wèn)高峰期，客戶端也可以獲得滿足要求的響應(yīng)。在平時(shí)其他時(shí)段，系統(tǒng)又可以自動(dòng)調(diào)節(jié)資源分配，避免資源浪費(fèi)。（2）平臺(tái)高可用性以往的職教信息化平臺(tái)基本沒(méi)有考慮過(guò)系統(tǒng)的高可用，應(yīng)用服務(wù)器出現(xiàn)故障后只能人工干預(yù)，恢復(fù)時(shí)

16、間長(zhǎng)，對(duì)教學(xué)造成不利影響。云計(jì)算可以通過(guò)本身的集群高可用特性，通過(guò)多節(jié)點(diǎn)冗余的方式，自動(dòng)檢測(cè)失效節(jié)點(diǎn)，并將應(yīng)用遷移到可用的節(jié)點(diǎn)上，以保證系統(tǒng)的正常運(yùn)行。云計(jì)算系統(tǒng)還可以采用分布式存儲(chǔ)的方式來(lái)存放數(shù)據(jù)，同一份數(shù)椐存儲(chǔ)多個(gè)副本。云計(jì)算平臺(tái)的應(yīng)用能夠保證應(yīng)用的高可用性和數(shù)據(jù)的高可靠性。（3）降低管理維護(hù)成本當(dāng)學(xué)校規(guī)模擴(kuò)大后，應(yīng)用增多且管理難度越來(lái)越高，信息化平臺(tái)無(wú)法實(shí)現(xiàn)更高的自動(dòng)化，運(yùn)維成本無(wú)法降低。云平臺(tái)運(yùn)營(yíng)管理系統(tǒng)可提供云計(jì)算平臺(tái)的運(yùn)營(yíng)、運(yùn)維和用戶Portal，可實(shí)現(xiàn)云計(jì)算中心的統(tǒng)一管理，獲得更高的自動(dòng)化水平。（4）實(shí)現(xiàn)教學(xué)資源信息共享傳統(tǒng)部署方式下應(yīng)用之間無(wú)法共享信息和交換數(shù)據(jù)，形成了很多信息

17、孤島。云服務(wù)環(huán)境下通過(guò)對(duì)中間層的整合，打通應(yīng)用之間通信的渠道，提供統(tǒng)一數(shù)據(jù)交換、多種應(yīng)用集成等功能，實(shí)現(xiàn)一個(gè)互聯(lián)互通的教學(xué)資源平臺(tái)。（5）縮短部署周期傳統(tǒng)模式下業(yè)務(wù)的部署需要涵蓋物理機(jī)硬件部署、操作系統(tǒng)安裝、平臺(tái)軟件以及應(yīng)用系統(tǒng)搭建多個(gè)層面，部署環(huán)節(jié)多且周期較長(zhǎng)。而用戶在基礎(chǔ)設(shè)施云平臺(tái)之上通過(guò)點(diǎn)擊幾次鼠標(biāo)就能在很短的時(shí)間內(nèi)生成可以用來(lái)部署應(yīng)用系統(tǒng)的操作系統(tǒng)環(huán)境，大大減少了部署的成本和時(shí)間。如果在基礎(chǔ)設(shè)施云平臺(tái)上進(jìn)一步構(gòu)建Paas云平臺(tái)可提供專業(yè)的易于部署的應(yīng)用部署環(huán)境。所有的應(yīng)用部署環(huán)境從云平臺(tái)建設(shè)起就已就緒，免去了大部分的整合工作，部署的成本和時(shí)間得以消除。（6）綠色節(jié)能隨著信息化進(jìn)程的不斷

18、深入，能源消耗已經(jīng)成為IT支出的一項(xiàng)重要組成部分。服務(wù)器增加的同時(shí)，配套用電量將呈指數(shù)級(jí)上升。數(shù)量巨大的計(jì)箅機(jī)設(shè)備將會(huì)造成大量的能源消耗，這已成為學(xué)校信息化建設(shè)中不容忽視的問(wèn)題。云計(jì)算對(duì)基礎(chǔ)設(shè)施進(jìn)行了統(tǒng)一的配置和和管理，按需進(jìn)行動(dòng)態(tài)分配，充分利用空閑的計(jì)算資源，提高系統(tǒng)的總體計(jì)算能力和效率，使服務(wù)器的數(shù)量減少（每減少一臺(tái)服務(wù)器，意味著每年減少11.4噸的二氧化碳排放)，降低信息技術(shù)設(shè)備的電源能耗，在節(jié)能、環(huán)保、降低成本的同時(shí)，達(dá)到構(gòu)建低碳型教育的新型學(xué)校的目標(biāo)。構(gòu)建統(tǒng)一的教育資源平臺(tái)將信息化建立在云計(jì)算和服務(wù)的基礎(chǔ)之上，現(xiàn)有分散的各種應(yīng)用系統(tǒng)、數(shù)據(jù)資源轉(zhuǎn)變成為一個(gè)與底層具體的網(wǎng)絡(luò)運(yùn)行環(huán)境、服務(wù)

19、器系統(tǒng)、存儲(chǔ)系統(tǒng)無(wú)關(guān)的強(qiáng)大的統(tǒng)一的通用信息平臺(tái)。這個(gè)平臺(tái)首先整合了底層各種硬件資源，使之擁有強(qiáng)大的計(jì)算功能、海量的存儲(chǔ)資源，現(xiàn)有的信息化系統(tǒng)建設(shè)中存在的軟硬件資源重復(fù)投入、虛擬化教學(xué)設(shè)備運(yùn)行能力支持等問(wèn)題將迎刃而解。再通過(guò)整合上層的業(yè)務(wù)系統(tǒng)，整個(gè)信息化平臺(tái)還可以為教學(xué)資源管理平臺(tái)、教務(wù)管理平臺(tái)等應(yīng)用提供統(tǒng)一門戶、統(tǒng)一身份認(rèn)證、統(tǒng)一數(shù)據(jù)交換以及多種應(yīng)用集成等功能，并為第三方應(yīng)用提供標(biāo)準(zhǔn)的數(shù)據(jù)接口?；谠朴?jì)算的平臺(tái)還具有較高的可靠性和安全性，可以將所有的教學(xué)資源、專業(yè)信息和應(yīng)用程序等置于平臺(tái)之上運(yùn)行。教育云平臺(tái)總體規(guī)劃設(shè)計(jì)設(shè)計(jì)原則教育云平臺(tái)的建設(shè)要遵循先進(jìn)性、可擴(kuò)展性、可靠性、穩(wěn)定性、兼容性等原則

20、，以支持今后不斷更新和升級(jí)的需要。（一）先進(jìn)性和成熟性充分采用符合國(guó)際標(biāo)準(zhǔn)的、先進(jìn)并且成熟的計(jì)算機(jī)系統(tǒng)、以及軟件系統(tǒng)等先進(jìn)技術(shù)和產(chǎn)品。先進(jìn)是指技術(shù)領(lǐng)先期長(zhǎng)，保證在未來(lái)5-10年內(nèi)的時(shí)間內(nèi)技術(shù)的先進(jìn)性；成熟是指產(chǎn)品線豐富完整、經(jīng)過(guò)實(shí)踐檢驗(yàn)、價(jià)格合理。這里所講的先進(jìn)性是為了能夠運(yùn)用當(dāng)今國(guó)內(nèi)、國(guó)際上最先進(jìn)成熟的計(jì)算機(jī)軟硬件技術(shù)，使新建立的系統(tǒng)和采用的技術(shù)達(dá)到當(dāng)代國(guó)際較先進(jìn)水平，同時(shí)要兼顧實(shí)用性和整體匹配。（二）兼容性云平臺(tái)采用多元化的開(kāi)放架構(gòu)，兼容多種類型的X86平臺(tái)服務(wù)器，不受限于具體廠商和產(chǎn)品。多種產(chǎn)品架構(gòu)甚至不同處理器平臺(tái)的服務(wù)器產(chǎn)品都能在一個(gè)云平臺(tái)中使用。（三）可擴(kuò)展性云平臺(tái)的建設(shè)不但要能滿

21、足現(xiàn)階段的業(yè)務(wù)要求，而且要能滿足將來(lái)業(yè)務(wù)的進(jìn)一步增長(zhǎng)和新技術(shù)發(fā)展的要求，要在原有設(shè)備繼續(xù)發(fā)揮作用的基礎(chǔ)上，保證用戶能方便地增加或調(diào)整設(shè)備，改善系統(tǒng)功能和性能，支持將來(lái)系統(tǒng)不斷更新和便于升級(jí)。系統(tǒng)結(jié)構(gòu)應(yīng)能支持主要的協(xié)議、標(biāo)準(zhǔn)和規(guī)范，應(yīng)能運(yùn)行當(dāng)今流行的軟件環(huán)境下開(kāi)發(fā)的各種應(yīng)用系統(tǒng)并可以在線軟件升級(jí)、調(diào)配；同時(shí)應(yīng)留有充分的擴(kuò)展余地，并保證系統(tǒng)的完整性不受影響，保證系統(tǒng)可以平滑升級(jí)、擴(kuò)容。（四）高安全可靠性、高可用性、高可維護(hù)性云平臺(tái)要求724小時(shí)的持續(xù)服務(wù)能力，因此要考慮選用穩(wěn)定可靠的產(chǎn)品和技術(shù)，使其具有優(yōu)秀的RAS特性和必要的冗余容錯(cuò)能力，為用戶提供高可用服務(wù)。要求系統(tǒng)在硬件配置、操作系統(tǒng)、虛擬化

22、平臺(tái)以及系統(tǒng)管理等環(huán)節(jié)采取嚴(yán)格的安全可靠性措施，以保證系統(tǒng)的正常運(yùn)轉(zhuǎn)。（五）可管理性云平臺(tái)具有完善的管理措施和功能，便于設(shè)備的安裝、配置和維護(hù)，以及對(duì)各種軟硬件資源的分配、調(diào)度和管理，提高資源和資產(chǎn)利用率，減輕系統(tǒng)管理人員的工作負(fù)擔(dān)。總體架構(gòu)自主可控的技術(shù)架構(gòu)設(shè)計(jì)XXX數(shù)字化校園云平臺(tái)的總體技術(shù)架構(gòu)設(shè)計(jì)如上圖，整個(gè)架構(gòu)包括基礎(chǔ)設(shè)施層、云基礎(chǔ)架構(gòu)層、業(yè)務(wù)應(yīng)用平臺(tái)和云服務(wù)層等。其中：基礎(chǔ)設(shè)施層：云平臺(tái)的物理環(huán)境主要包括服務(wù)器、網(wǎng)絡(luò)設(shè)備以及存儲(chǔ)等設(shè)備，以便在此基礎(chǔ)上采用虛擬化、分布式存儲(chǔ)等云計(jì)算技術(shù)，實(shí)現(xiàn)服務(wù)器、網(wǎng)絡(luò)、存儲(chǔ)的虛擬化，構(gòu)建計(jì)算資源池、存儲(chǔ)資源池和網(wǎng)絡(luò)資源池，實(shí)現(xiàn)基礎(chǔ)設(shè)施即服務(wù)。云基礎(chǔ)架

23、構(gòu)層：在云基礎(chǔ)設(shè)施的基礎(chǔ)上，為了實(shí)現(xiàn)動(dòng)態(tài)資源池的構(gòu)建，通過(guò)虛擬化技術(shù)對(duì)基礎(chǔ)設(shè)施（網(wǎng)絡(luò)、服務(wù)器和存儲(chǔ)設(shè)備等）進(jìn)行資源池化、彈性管理，通過(guò)自主可控的云計(jì)算操作系統(tǒng)，實(shí)現(xiàn)云平臺(tái)的服務(wù)管理及業(yè)務(wù)管理的統(tǒng)一管理，提高運(yùn)維及運(yùn)營(yíng)的效率。業(yè)務(wù)應(yīng)用平臺(tái)： 通過(guò)建立統(tǒng)一的信息標(biāo)準(zhǔn)，構(gòu)建統(tǒng)一的信息門戶、統(tǒng)一的身份認(rèn)證系統(tǒng)和安全可靠的公共數(shù)據(jù)交換系統(tǒng)，在此基礎(chǔ)上建設(shè)先進(jìn)實(shí)用的應(yīng)用支撐系統(tǒng)（包括教務(wù)管理、學(xué)生綜合管理、人力資源管理、資產(chǎn)設(shè)備管理、財(cái)務(wù)管理、后勤服務(wù)管理、一卡通管理、實(shí)踐教學(xué)信息平臺(tái)等），實(shí)現(xiàn)各個(gè)應(yīng)用系統(tǒng)之間的數(shù)據(jù)交換與數(shù)據(jù)共享，最終實(shí)現(xiàn)高校各項(xiàng)管理工作的信息化。云服務(wù)層：是云計(jì)算中心與最終用于交互的接

24、口和平臺(tái)，通過(guò)該平臺(tái)能夠?qū)崿F(xiàn)云計(jì)算中心統(tǒng)一對(duì)外提供服務(wù)。運(yùn)維和業(yè)務(wù)支撐服務(wù)：包括云平臺(tái)的計(jì)費(fèi)審計(jì)、資源監(jiān)控、生命周期管理、容量規(guī)劃、報(bào)表分析等多項(xiàng)內(nèi)容。通過(guò)COC匯聚實(shí)現(xiàn)云平臺(tái)邏輯建設(shè)圖 綜合運(yùn)營(yíng)平臺(tái)邏輯架構(gòu)圖整個(gè)云平臺(tái)設(shè)計(jì)采用業(yè)務(wù)區(qū)域的理念。業(yè)務(wù)區(qū)域（即以服務(wù)器集群為核心的物理資源區(qū)域，不同的業(yè)務(wù)區(qū)域設(shè)備配置可以不同）是系統(tǒng)的基本硬件組成單元，整個(gè)系統(tǒng)共包括若干個(gè)業(yè)務(wù)區(qū)域。系統(tǒng)規(guī)模的擴(kuò)大可以通過(guò)增加業(yè)務(wù)區(qū)域方式，使得整個(gè)系統(tǒng)具有很好的可擴(kuò)展性。業(yè)務(wù)區(qū)域的業(yè)務(wù)網(wǎng)絡(luò)交換機(jī)通過(guò)萬(wàn)兆方式上聯(lián)到核心交換區(qū)，通過(guò)核心交換區(qū)與其他業(yè)務(wù)區(qū)域和域外系統(tǒng)互聯(lián)。在每個(gè)業(yè)務(wù)區(qū)域內(nèi)，通過(guò)云資源管理平臺(tái)的COC節(jié)點(diǎn)實(shí)現(xiàn)

25、在X86業(yè)務(wù)節(jié)點(diǎn)上部署Hypervisor，并形成一個(gè)或多個(gè)獨(dú)立的邏輯資源池，提供給應(yīng)用使用；通過(guò)CVM在邏輯資源池內(nèi)可實(shí)現(xiàn)資源的共享和動(dòng)態(tài)分配。每個(gè)業(yè)務(wù)區(qū)域包括：CVM（Cloud Virtual Manager）節(jié)點(diǎn)、業(yè)務(wù)節(jié)點(diǎn)、業(yè)務(wù)網(wǎng)絡(luò)、管理網(wǎng)絡(luò)、心跳網(wǎng)絡(luò)、本地鏡像存儲(chǔ)；業(yè)務(wù)區(qū)域根據(jù)各自的業(yè)務(wù)需要訪問(wèn)FC存儲(chǔ)或并行存儲(chǔ)等業(yè)務(wù)數(shù)據(jù)存儲(chǔ)區(qū)域。云計(jì)算平臺(tái)配置多臺(tái)自助門戶節(jié)點(diǎn)（CSP），為最終用戶的系統(tǒng)管理員提供自助門戶服務(wù)。采用以上設(shè)計(jì)理念，使得整個(gè)系統(tǒng)具有超高的可擴(kuò)展性，可使整個(gè)系統(tǒng)擴(kuò)展到上千臺(tái)服務(wù)器規(guī)模。同時(shí)，云計(jì)算中心云計(jì)算資源管理平臺(tái)底層虛擬化能夠?qū)崿F(xiàn)對(duì)目前主流的XEN、KVM及VMWa

26、re等異構(gòu)虛擬化技術(shù)的統(tǒng)一管理，技術(shù)上能夠?qū)崿F(xiàn)很好的兼容性。層次清晰的平臺(tái)部署架構(gòu)圖圖 部署架構(gòu)圖依據(jù)XXX學(xué)校教育云平臺(tái)的總體需求，勾畫整個(gè)項(xiàng)目的部署架構(gòu)，指導(dǎo)XXX學(xué)校教育云平臺(tái)的整體建設(shè)。XXX學(xué)校教育云平臺(tái)部署主要包括幾個(gè)層面：計(jì)算資源池的構(gòu)建、業(yè)務(wù)數(shù)據(jù)的分區(qū)規(guī)劃、共享存儲(chǔ)的設(shè)計(jì)等。從整個(gè)部署架構(gòu)來(lái)看：計(jì)算資源池的構(gòu)建主要采用高端四路服務(wù)器作為服務(wù)器基礎(chǔ)支撐，通過(guò)虛擬化技術(shù)實(shí)現(xiàn)底層物理資源的虛擬化，云資源管理平臺(tái)通過(guò)云資源管理平臺(tái)進(jìn)行虛擬機(jī)的創(chuàng)建、動(dòng)態(tài)分配、遷移及管理，形成統(tǒng)一的計(jì)算資源池?？紤]到招生系統(tǒng)等關(guān)鍵教育數(shù)據(jù)的安全性、可靠性及重要性，在本方案中規(guī)劃業(yè)務(wù)數(shù)據(jù)處理的分區(qū)主要采用物

27、理機(jī)支撐。這樣能夠保證整個(gè)數(shù)據(jù)庫(kù)的穩(wěn)定、高I/O吞吐和訪問(wèn)，主要通過(guò)高端八路服務(wù)器通過(guò)集群技術(shù)進(jìn)行部署，支撐關(guān)鍵業(yè)務(wù)數(shù)據(jù)的存儲(chǔ)和管理。共享存儲(chǔ)設(shè)計(jì)的存儲(chǔ)數(shù)據(jù)主要包括重要業(yè)務(wù)數(shù)據(jù)和虛擬機(jī)鏡像數(shù)據(jù)，其中：教育信息化中的重要業(yè)務(wù)數(shù)據(jù)主要通過(guò)Oracle/DB2/SQL Server/MySQL等數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)管理，結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)利用高端私有云存儲(chǔ)設(shè)備來(lái)支撐，在未來(lái)需要對(duì)存儲(chǔ)容量進(jìn)行擴(kuò)展時(shí)可方便的橫向縱向擴(kuò)展；虛擬機(jī)鏡像數(shù)據(jù)主要存放在共享存儲(chǔ)部分，通過(guò)共享存儲(chǔ)設(shè)備來(lái)支撐虛擬機(jī)鏡像數(shù)據(jù)的存放，本次共享存儲(chǔ)利用并行存儲(chǔ)系統(tǒng)來(lái)支撐。云平臺(tái)中采用軟硬一體化的備份系統(tǒng)，可將數(shù)據(jù)庫(kù)的結(jié)構(gòu)化數(shù)據(jù)以及應(yīng)用產(chǎn)生的非結(jié)構(gòu)

28、化數(shù)據(jù)進(jìn)行備份，可方便的創(chuàng)建備份任務(wù)，設(shè)置備份任務(wù)定時(shí)自動(dòng)的運(yùn)行，充分保障云平臺(tái)中數(shù)據(jù)的安全。技術(shù)路線XXX學(xué)校教育云平臺(tái)屬于私有云范疇，為了更好的為學(xué)校的信息化提高可靠、穩(wěn)定、高效的基礎(chǔ)資源，本項(xiàng)目采取資源池化、動(dòng)態(tài)資源調(diào)度、海量存儲(chǔ)技術(shù)、智能化云管理等技術(shù)路線進(jìn)行構(gòu)建。服務(wù)器虛擬化技術(shù)1）虛擬化技術(shù)概述服務(wù)器虛擬化技術(shù)是實(shí)現(xiàn)計(jì)算資源池化的重要手段。虛擬化是一個(gè)抽象層，它將物理硬件與操作系統(tǒng)分開(kāi)，從而提供更高的IT資源利用率和靈活性。虛擬化允許具有不同操作系統(tǒng)的多個(gè)虛擬機(jī)在同一物理機(jī)上獨(dú)立并行運(yùn)行。每個(gè)虛擬機(jī)都有自己的一套虛擬硬件（例如 RAM、CPU、網(wǎng)卡等），可以在這些硬件中加載操作系統(tǒng)

29、和應(yīng)用程序。無(wú)論實(shí)際采用了什么物理硬件組件，操作系統(tǒng)都將它們視為一組一致、標(biāo)準(zhǔn)化的硬件。服務(wù)器虛擬化技術(shù)不僅能夠降低資本消耗、減少運(yùn)營(yíng)費(fèi)用，使服務(wù)器能夠適應(yīng)快速、頻繁的重新配置，有效地減少在開(kāi)發(fā)、測(cè)試、準(zhǔn)備和部署周期中所消耗的時(shí)間，并能快速動(dòng)態(tài)部署、遷移，在合理的資源分配策略下，真正實(shí)現(xiàn)資源按需分配。針對(duì)服務(wù)器，在服務(wù)器單機(jī)操作系統(tǒng)虛擬化技術(shù)支持下，采用節(jié)點(diǎn)級(jí)虛擬化技術(shù)，支持虛擬機(jī)應(yīng)用加速，支持虛擬機(jī)動(dòng)態(tài)遷移、資源動(dòng)態(tài)調(diào)整等適于云計(jì)算環(huán)境的虛擬化特性。UNIX服務(wù)器一般采用硬件分區(qū)技術(shù)，不同架構(gòu)的UNIX服務(wù)器采用不同的分區(qū)技術(shù)；X86平臺(tái)（Intel、AMD架構(gòu)）的服務(wù)器可利用服務(wù)器提供的硬

30、件輔助虛擬化技術(shù)，比如Intel VT，AMD-V等；兼容主流的操作系統(tǒng)，比如，Windows NT、WinXP、Win2000、Win2003、Reahat Linux、Suse linux、Solaris x86、Novell等。而且，可以同時(shí)運(yùn)行不同種類的操作系統(tǒng)；兼容現(xiàn)有的存儲(chǔ)設(shè)備，比如SAN、NAS；支持高可用、自動(dòng)負(fù)載平衡特征的虛擬化集群；兼容主流的網(wǎng)絡(luò)設(shè)備，支持VLAN、Trunk等功能可實(shí)現(xiàn)國(guó)產(chǎn)備份軟件的結(jié)合，以實(shí)現(xiàn)虛擬機(jī)數(shù)據(jù)的備份，支持Snapshot技術(shù)，可實(shí)現(xiàn)從虛擬化軟件底層實(shí)現(xiàn)虛擬機(jī)備份；具有P2V的轉(zhuǎn)換工具，支持主流操作系統(tǒng)；具有嚴(yán)格的虛擬機(jī)隔離性，某個(gè)虛擬機(jī)故障，不

31、影響其他的虛擬機(jī)；對(duì)虛擬機(jī)資源進(jìn)行細(xì)粒度動(dòng)態(tài)調(diào)整分配，包括CPU，Memory，網(wǎng)卡及虛擬磁盤等?；诠蚕泶鎯?chǔ)實(shí)現(xiàn)對(duì)虛擬機(jī)的動(dòng)態(tài)遷移?；诖鎯?chǔ)與快速部署實(shí)現(xiàn)對(duì)虛擬機(jī)鏡像的備份、模板管理、導(dǎo)入導(dǎo)出等?；谔摂M機(jī)動(dòng)態(tài)資源分配，虛擬機(jī)動(dòng)態(tài)遷移及動(dòng)態(tài)資源調(diào)度算法實(shí)現(xiàn)動(dòng)態(tài)資源調(diào)度策略。虛擬化架構(gòu)中最重要的部分就是如何將物理硬件與上層操作系統(tǒng)剝離，當(dāng)前，一般通過(guò)兩類技術(shù)達(dá)到這一點(diǎn)：物理層虛擬化和邏輯層虛擬化。其中前者以硬件分區(qū)技術(shù)為代表，目前只應(yīng)用在UNIX服務(wù)器和大型機(jī)中，后者則包括以VMware ESX和Xen為代表的X86平臺(tái)上的虛擬化，是目前的市場(chǎng)主流。2）X86平臺(tái)服務(wù)器虛擬化技術(shù)的選擇近年來(lái)，

32、x86架構(gòu)上的虛擬化技術(shù)逐漸成熟，涌現(xiàn)出不少技術(shù)和產(chǎn)品。其中的代表有：VMware ESX、Xen、微軟Hyper-V。 VMware是第一個(gè)（1998年）將虛擬化技術(shù)引入x86平臺(tái)的廠商，目前在x86平臺(tái)的虛擬化市場(chǎng)上處于領(lǐng)先地位。ESX采用屬裸金屬架構(gòu)技術(shù)。 Xen是劍橋大學(xué)于2005年發(fā)布的一個(gè)開(kāi)源的Hypervisor，已被吸收到Redhat、SuSE、Oracle VM中。Xen已經(jīng)于2007年被Citrix收購(gòu)，但目前仍然作為一個(gè)開(kāi)源項(xiàng)目由Citrix維護(hù)。Xen采用的是裸金屬架構(gòu)技術(shù)微軟于2008年發(fā)布了自己的HypervisorHyper-V，與前兩種不同的是HyperV采用的

33、是寄居方式，因此只適用于Windows操作系統(tǒng)上。下表對(duì)以上三種虛擬化技術(shù)進(jìn)行了比較：代表產(chǎn)品V4.0XenHyper-V廠商VMwareXenMSCitrix（思杰）架構(gòu)裸金屬(bate metal)裸金屬(bate metal)寄居Host OS無(wú)無(wú)Windows 2008 x64 (Standard/Enterprise /Datacenter) Editions開(kāi)源否是否隔離性好好好管理工具VC, 有成熟的虛擬化基礎(chǔ)架構(gòu)管理軟件，支持全面的資源庫(kù)模型，交互式拓?fù)鋱D功能XenCenter Administrator Console, 不支持全面的資源庫(kù)模型，支持交互式拓?fù)鋱D功能，但需要

34、SCOM支持的Guest OS支持各種未經(jīng)修改的操作系統(tǒng)，包括 Windows、Linux、Solaris 和 Novell NetWare支持 21 種客戶操作系統(tǒng)受限，Hyper-V R2 將僅支持 11 種客戶操作系統(tǒng)Guest OS是否需要修改不需要不需要不需要虛擬機(jī)實(shí)時(shí)遷移支持(VMotion)支持(XenMotion)Quick Migration (not real Live migration)動(dòng)態(tài)資源調(diào)度支持(DRS)不支持NLB is all MS Offer在線備份VCB無(wú)Live Backups with VSS性能高性能Guest OS為L(zhǎng)inux時(shí), 性能好; Wi

35、ndows時(shí), 性能稍差性能稍低同樣的硬件更多的VM同樣的硬件較少的VM虛擬機(jī)中支持的最大CPU和內(nèi)存數(shù)255GB內(nèi)存128GB內(nèi)存64GB內(nèi)存8 CPU8 CPU4 CPU硬件需求需要支持的SATA或者SCSI控制器支持Intel-VT or AMD-Vx64based 處理器支持Intel VT or AMD-V從上表可以看出，Xen采用裸金屬架構(gòu)，各項(xiàng)指標(biāo)好于HyperV,比ESX略低。Cloudview云操作系統(tǒng)底層采用SUSE Linux系統(tǒng)中的Xen虛擬化技術(shù)，能夠很好的對(duì)x86架構(gòu)服務(wù)器進(jìn)行虛擬化支持。資源彈性擴(kuò)展數(shù)字化校園云平臺(tái)要實(shí)現(xiàn)所提供服務(wù)的質(zhì)量，動(dòng)態(tài)的資源調(diào)度是必不可少的

36、?，F(xiàn)有數(shù)據(jù)中心的IT基礎(chǔ)架構(gòu)采用固態(tài)配置，靈活性很差，當(dāng)業(yè)務(wù)發(fā)展超出預(yù)期時(shí)，無(wú)法及時(shí)根據(jù)業(yè)務(wù)需求調(diào)整資源供給，難以滿足業(yè)務(wù)快速增長(zhǎng)的需求。而且系統(tǒng)資源擴(kuò)展需要一定的周期，在此過(guò)程中，業(yè)務(wù)系統(tǒng)將處于高危運(yùn)行狀態(tài)，造成服務(wù)質(zhì)量下降。而為了應(yīng)用峰值而擴(kuò)展的資源在正常情況下，將處于低負(fù)荷狀態(tài)，造成資源浪費(fèi)。數(shù)字化校園云平臺(tái)要避免這樣的情況出現(xiàn)，就必須要實(shí)現(xiàn)動(dòng)態(tài)的資源調(diào)度，實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)資源配備的按需調(diào)整，結(jié)合管理系統(tǒng)的資源監(jiān)控，根據(jù)業(yè)務(wù)負(fù)載等情況，調(diào)整業(yè)務(wù)資源配給，保障業(yè)務(wù)系統(tǒng)的資源供給，滿足其運(yùn)行需要，也就保障了業(yè)務(wù)的服務(wù)質(zhì)量。虛擬化智慧網(wǎng)絡(luò)1）交換機(jī)虛擬化技術(shù)云計(jì)算中心網(wǎng)絡(luò)資源共享之后，多種應(yīng)用將承

37、載在同一張網(wǎng)絡(luò)上。在融合的物理網(wǎng)絡(luò)中如何更好的對(duì)業(yè)務(wù)進(jìn)行邏輯劃分，網(wǎng)絡(luò)管理員如何根據(jù)不斷變化的應(yīng)用要求合理分配物理資源；在設(shè)備繁多的網(wǎng)絡(luò)環(huán)境中如何降低運(yùn)維工作量和成本；現(xiàn)階段最重要工具就是交換機(jī)虛擬化技術(shù)。交換機(jī)虛擬化技術(shù)可以將多個(gè)物理實(shí)體創(chuàng)建一個(gè)邏輯實(shí)體，實(shí)體可以是計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)或應(yīng)用資源。具體的方式是，將多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行整合(稱為橫向整合)，虛擬化成一臺(tái)邏輯設(shè)備，提升云計(jì)算中心網(wǎng)絡(luò)可用性、節(jié)點(diǎn)性能的同時(shí)將極大簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)。隨著云計(jì)算中心服務(wù)器部署采用虛擬化技術(shù)構(gòu)建后，傳統(tǒng)上的網(wǎng)絡(luò)架構(gòu)由于多層結(jié)構(gòu)、安全區(qū)域、安全等級(jí)、策略部署、路由控制、VLAN劃分、二層環(huán)路、冗余設(shè)計(jì)等諸多因素，不但會(huì)導(dǎo)

38、致網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，使得云計(jì)算中心基礎(chǔ)網(wǎng)絡(luò)的運(yùn)維管理難度較高，還無(wú)法適應(yīng)虛擬機(jī)多變的網(wǎng)絡(luò)要求。交換機(jī)虛擬化技術(shù)應(yīng)運(yùn)而生。使用交換機(jī)虛擬化技術(shù)，可以將多臺(tái)設(shè)備連接，“橫向整合”起來(lái)組成一個(gè)“聯(lián)合設(shè)備”，并將這些設(shè)備看作單一設(shè)備進(jìn)行管理和使用。多個(gè)盒式設(shè)備整合類似于一臺(tái)機(jī)架式設(shè)備，多臺(tái)框式設(shè)備的整合相當(dāng)于增加了槽位，虛擬化整合后的設(shè)備組成了一個(gè)邏輯單元，在網(wǎng)絡(luò)中表現(xiàn)為一個(gè)網(wǎng)元節(jié)點(diǎn)，管理簡(jiǎn)單化、配置簡(jiǎn)單化、可跨設(shè)備鏈路聚合，極大簡(jiǎn)化網(wǎng)絡(luò)架構(gòu)，同時(shí)進(jìn)一步增強(qiáng)冗余可靠性。交換機(jī)虛擬化技術(shù)為云計(jì)算中心建設(shè)提供了一個(gè)新標(biāo)準(zhǔn)，定義了新一代網(wǎng)絡(luò)架構(gòu)，使得各種云計(jì)算中心的基礎(chǔ)網(wǎng)絡(luò)都能夠使用這種靈活的架構(gòu)，能夠幫云

39、計(jì)算中心在構(gòu)建永續(xù)和高度可用的狀態(tài)化網(wǎng)絡(luò)的同時(shí)，優(yōu)化網(wǎng)絡(luò)資源的使用。在虛擬化架構(gòu)上，將傳統(tǒng)網(wǎng)絡(luò)中離散的安全控制點(diǎn)整合進(jìn)來(lái)，進(jìn)一步強(qiáng)化并簡(jiǎn)化了基礎(chǔ)網(wǎng)絡(luò)安全，交換機(jī)虛擬化技術(shù)將在云計(jì)算中心端到端總體設(shè)計(jì)中發(fā)揮重要作用。圖 云計(jì)算中心簡(jiǎn)捷化架構(gòu)橫向整合的交換機(jī)虛擬化上圖的虛擬化云計(jì)算中心網(wǎng)絡(luò)架構(gòu)與傳統(tǒng)的網(wǎng)絡(luò)設(shè)計(jì)相比，具備運(yùn)營(yíng)管理簡(jiǎn)化、整體無(wú)環(huán)設(shè)計(jì)以及進(jìn)一步提高系統(tǒng)可靠性等多種顯著優(yōu)勢(shì)，建議在組網(wǎng)時(shí)予以采用。2）虛擬機(jī)交換技術(shù)隨著云計(jì)算興起、各種虛擬化技術(shù)陸續(xù)被采用，云計(jì)算中心網(wǎng)絡(luò)逐漸從物理服務(wù)器互聯(lián)轉(zhuǎn)向了虛擬服務(wù)器互聯(lián)。虛擬化給云計(jì)算中心網(wǎng)絡(luò)帶來(lái)了新的挑戰(zhàn)：如何實(shí)現(xiàn)虛擬服務(wù)器的邊緣虛擬橋接？實(shí)現(xiàn)虛擬

40、機(jī)的邊緣橋接，目前有軟件和硬件方法兩種，分別簡(jiǎn)稱為VEB（Virtual Ethernet Bridge）和VEPA（Virtual Ethernet Port Aggregator）。VEB是一種軟交換，在物理服務(wù)器中采用一個(gè)軟件虛擬交換機(jī),實(shí)現(xiàn)虛擬機(jī)的數(shù)據(jù)交換。思科和VMware是軟交換方法的積極倡導(dǎo)者。不過(guò)這種軟交換并沒(méi)有從根本上解決網(wǎng)絡(luò)和主機(jī)管理界面模糊的問(wèn)題，不但增加了服務(wù)器的額外開(kāi)銷、交換性能低，還僅僅只支持VMware虛擬化平臺(tái)，兼容性較差。VEPA標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)也被稱為802.1qbg標(biāo)準(zhǔn)。其目標(biāo)是要將虛擬機(jī)之間的交換從服務(wù)器內(nèi)部移出到接入硬件交換機(jī)上，實(shí)現(xiàn)虛擬機(jī)之間的“硬交換”

41、。采用這種方法，只需要將接入交換機(jī)中的軟件進(jìn)行修改，就能快速實(shí)現(xiàn)。VEPA是標(biāo)準(zhǔn)化和開(kāi)放化的技術(shù)，具有性能高、可靠性高的特點(diǎn)。VEPA是由HP協(xié)同H3C向IEEE提出的新一代虛擬接入標(biāo)準(zhǔn)，并迅速得到了Juniper、IBM、Qlogic、Brocade等網(wǎng)絡(luò)設(shè)備廠商的支持。虛擬機(jī)交換技術(shù)是云計(jì)算基礎(chǔ)設(shè)施平臺(tái)建設(shè)的重要，直接影響到云平臺(tái)的實(shí)現(xiàn)和應(yīng)用性能。在此，我們建議在平臺(tái)系統(tǒng)建設(shè)中將VEPA技術(shù)作為平臺(tái)組網(wǎng)交換機(jī)的必要特性。2）分布式入端口緩存機(jī)制分布式入端口緩存機(jī)制主要解決云計(jì)算中心的突發(fā)流量問(wèn)題。在云計(jì)算中心部署服務(wù)器虛擬化的直接效果是導(dǎo)致云計(jì)算中心具有更高的應(yīng)用密度，在相同物理空間內(nèi)邏輯

42、服務(wù)器(虛擬機(jī))數(shù)量比物理服務(wù)器大大增加，由此，服務(wù)器的總體業(yè)務(wù)處理量上升，使得服務(wù)器對(duì)外吞吐流量增大。并且云計(jì)算中心服務(wù)器虛擬化應(yīng)用后，也導(dǎo)致云計(jì)算中心流量模型的不定項(xiàng)出現(xiàn)，因而在云計(jì)算中心的應(yīng)用環(huán)境中，突發(fā)流量成為主要的流量特征，這就要求針對(duì)這種特點(diǎn)在系統(tǒng)設(shè)計(jì)時(shí)，所選用的網(wǎng)絡(luò)設(shè)備能夠有專門的處理技術(shù)。傳統(tǒng)交換機(jī)處理突發(fā)流量的技術(shù)實(shí)現(xiàn)多以出端口緩存為主，這種機(jī)制使得所有數(shù)據(jù)流的突發(fā)在出端口處被緩存，緩存的大小即是網(wǎng)絡(luò)核心節(jié)點(diǎn)最大可能接受突發(fā)值，但是這種模式容易造成出端口緩存的迅速溢出，從而導(dǎo)致網(wǎng)絡(luò)流量丟包，無(wú)法正常轉(zhuǎn)發(fā)。因此在本次系統(tǒng)建設(shè)中，要求網(wǎng)絡(luò)設(shè)備尤其是核心交換機(jī)設(shè)備針對(duì)突發(fā)流量提供先

43、進(jìn)的處理模式，如分布式入端口緩存機(jī)制，將網(wǎng)絡(luò)突發(fā)流量在入端口即開(kāi)始進(jìn)行緩存處理，緩存容量與入端口數(shù)形成正比的線性關(guān)系，從而提高整個(gè)設(shè)備乃至整個(gè)網(wǎng)絡(luò)系統(tǒng)的突發(fā)流量處理能力。3）安全虛擬化與網(wǎng)絡(luò)安全一體化在云計(jì)算中心的網(wǎng)絡(luò)平臺(tái)設(shè)計(jì)中，安全是整個(gè)系統(tǒng)設(shè)計(jì)中需要重點(diǎn)考慮的內(nèi)容，基于云計(jì)算中心架構(gòu)整合優(yōu)化的要求，目前在云計(jì)算中心交換機(jī)上整個(gè)安全防護(hù)模塊成為主流的應(yīng)用技術(shù)，在這樣的技術(shù)架構(gòu)下，可以簡(jiǎn)化云計(jì)算中心安全設(shè)備的部署數(shù)量，如下圖：針對(duì)多個(gè)安全防護(hù)區(qū)域原本需要部署多個(gè)獨(dú)立的安全設(shè)備，而采用安全模塊的方式可以實(shí)現(xiàn)由一臺(tái)安全模塊對(duì)所連接的多個(gè)安全區(qū)域的統(tǒng)一安全防護(hù)。這里的安全部署模式要求實(shí)現(xiàn)兩類虛擬化技

44、術(shù)：多虛一：指網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備上，能夠安裝多種類型的安全設(shè)備，這樣可以實(shí)現(xiàn)不同層次的安全防護(hù)（如防火墻+IPS的組合可以實(shí)現(xiàn)網(wǎng)絡(luò)層27層的安全防護(hù)），達(dá)到綜合安全保護(hù)的策略融合。一虛多：指融合在網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備上的安全設(shè)備，能夠虛擬化出來(lái)多個(gè)安全實(shí)例，針對(duì)不同的安全防護(hù)區(qū)域提供對(duì)應(yīng)安全實(shí)例，并且在不同的安全實(shí)例上針對(duì)區(qū)域的安全防護(hù)要求部署不同的安全訪問(wèn)和控制策略，這樣采用真正發(fā)揮安全模塊融合在網(wǎng)絡(luò)設(shè)備上所帶來(lái)的應(yīng)用意義。隨著云計(jì)算中心安全性要求的不斷提高，安全產(chǎn)品在云計(jì)算中心基礎(chǔ)網(wǎng)絡(luò)架構(gòu)中扮演著越來(lái)越重要的角色。安全方案的部署在傳統(tǒng)的云計(jì)算中心建設(shè)中通常采用獨(dú)立式的設(shè)備，這種方式存在單點(diǎn)故障、網(wǎng)絡(luò)結(jié)構(gòu)

45、復(fù)雜、性能存在瓶頸等問(wèn)題，因此，在建立云計(jì)算中心時(shí)建議匯聚接入層具備安全等多業(yè)務(wù)模塊的擴(kuò)展能力：高可靠性：降低單點(diǎn)故障1.在設(shè)備內(nèi)部，基于交換機(jī)的無(wú)阻塞技術(shù)，各種插卡通過(guò)背板總線進(jìn)行數(shù)據(jù)交換。任何一塊插卡出現(xiàn)故障，可以通過(guò)Bypass方式使得流量自動(dòng)繞過(guò)故障插卡，保證業(yè)務(wù)流正常處理和轉(zhuǎn)發(fā)，不會(huì)出現(xiàn)單點(diǎn)故障。2.插卡式設(shè)備，所有的關(guān)鍵部件都可以冗余部署。單獨(dú)的盒式設(shè)備，一般最多提供雙電源的可靠性設(shè)計(jì)。而插卡式設(shè)備，包括電源、引擎、接口板、業(yè)務(wù)板等都可以冗余部署，大大提高了可靠性。當(dāng)所有的關(guān)鍵部件都進(jìn)行冗余部署的時(shí)候，實(shí)際上就是兩臺(tái)設(shè)備在同時(shí)工作，并可以進(jìn)行負(fù)載分擔(dān)。3.所有的插卡都支持熱插拔，大

46、大降低出現(xiàn)故障時(shí)更換設(shè)備的時(shí)間。高性能和高擴(kuò)展性：減少業(yè)務(wù)瓶頸1.高性能：業(yè)務(wù)模塊都采用業(yè)界高性能、分布式硬件架構(gòu)。這種分布式的硬件架構(gòu)保證所有的業(yè)務(wù)能在第一時(shí)間并行處理。對(duì)于現(xiàn)在大量的應(yīng)用層安全攻擊，由于需要進(jìn)行深入的報(bào)文分析，只有這種多核多線程的硬件架構(gòu)才能真正做到實(shí)時(shí)處理，不會(huì)產(chǎn)生大的數(shù)據(jù)延遲。2.高轉(zhuǎn)發(fā)：業(yè)務(wù)模塊與交換機(jī)及其他插卡之間都是通過(guò)交換機(jī)Crossbar總線進(jìn)行數(shù)據(jù)傳輸，數(shù)據(jù)帶寬高達(dá)10Gbps以上。相對(duì)于盒式設(shè)備之間通常采用的網(wǎng)線連接方式，數(shù)據(jù)帶寬更高、延時(shí)更低，而且可靠性更高，不會(huì)出現(xiàn)由于網(wǎng)線故障或連接故障導(dǎo)致的業(yè)務(wù)中斷。3.盒式設(shè)備性能一般是固定的，但是插卡式設(shè)備的處理

47、能力可以通過(guò)板卡的擴(kuò)展進(jìn)行數(shù)倍的提升。即使是單塊的業(yè)務(wù)板，得益于其先進(jìn)的多核架構(gòu)，其性能優(yōu)勢(shì)也很明顯（FW性能可以達(dá)到單模塊萬(wàn)兆處理能力）。4.接口多：普通盒式設(shè)備一般最多提供幾個(gè)接口，而插卡式設(shè)備的接口板可提供無(wú)限制的接口，并且可根據(jù)要求進(jìn)行擴(kuò)展，所有接口的VLAN都可以共享各種業(yè)務(wù)板卡。同時(shí)，通過(guò)虛擬化技術(shù)，可以將同一塊物理業(yè)務(wù)板卡在邏輯上劃分為相互獨(dú)立的多個(gè)板卡，每個(gè)邏輯板卡擁有完全獨(dú)立的資源和策略。5.接口種類豐富：普通盒式設(shè)備，只能提供普通的以太網(wǎng)電口和光口。而基于交換機(jī)和路由器的插卡，還可以提供各種POS接口、ATM接口、E1/T1口等接口類型。6.組網(wǎng)簡(jiǎn)單：采用插卡式設(shè)備，只需在

48、交換機(jī)中插入所需模塊，相對(duì)盒式設(shè)備來(lái)說(shuō)不會(huì)占用空間。且所有插卡都集成在一臺(tái)交換機(jī)中，數(shù)據(jù)交換通過(guò)背板總線實(shí)現(xiàn)，組網(wǎng)更加簡(jiǎn)單，不像盒式設(shè)備，各個(gè)設(shè)備之間都要通過(guò)復(fù)雜的網(wǎng)線進(jìn)行連接。管理簡(jiǎn)單：1.每個(gè)插卡可以通過(guò)WEB界面進(jìn)行獨(dú)立管理，也可以由交換機(jī)與其他業(yè)務(wù)板一樣進(jìn)行統(tǒng)一管理。不同插卡的狀態(tài)可以基于主控板統(tǒng)一顯示，通過(guò)主控板實(shí)現(xiàn)對(duì)插卡的統(tǒng)一管理。2.各個(gè)插卡的安全告警和日志信息統(tǒng)一上報(bào)給安全管理平臺(tái)。通過(guò)統(tǒng)一安全信息收集和篩選，提取相關(guān)的關(guān)聯(lián)信息，然后進(jìn)行統(tǒng)一配置和管理，真正做到安全聯(lián)動(dòng)。成本投入低：得利于良好的擴(kuò)展性，在對(duì)接口、功能、性能等進(jìn)行升級(jí)的時(shí)候，在升級(jí)標(biāo)準(zhǔn)相同的條件下，再次投入的成本

49、大幅降低，原有的投資也能得到保障。5）云間互聯(lián)技術(shù)云間互聯(lián)有三種方式：三層互聯(lián)：也稱為云計(jì)算中心前端網(wǎng)絡(luò)互聯(lián)，所謂“前端網(wǎng)絡(luò)”是指云計(jì)算中心面向企業(yè)園區(qū)網(wǎng)或企業(yè)廣域網(wǎng)的出口。不同云計(jì)算中心（主中心、災(zāi)備中心）的前端網(wǎng)絡(luò)通過(guò)IP技術(shù)實(shí)現(xiàn)互聯(lián)，園區(qū)或分支的客戶端通過(guò)前端網(wǎng)絡(luò)訪問(wèn)各云計(jì)算中心。當(dāng)主云計(jì)算中心發(fā)生災(zāi)難時(shí)，前端網(wǎng)絡(luò)將實(shí)現(xiàn)快速收斂，客戶端通過(guò)訪問(wèn)災(zāi)備中心以保障業(yè)務(wù)連續(xù)性。二層互聯(lián)：也稱為云計(jì)算中心服務(wù)器網(wǎng)絡(luò)互聯(lián)（簡(jiǎn)稱DCI）。在不同的云計(jì)算中心服務(wù)器網(wǎng)絡(luò)接入層，構(gòu)建一個(gè)跨云計(jì)算中心的大二層網(wǎng)絡(luò)（VLAN），以滿足服務(wù)器集群或虛擬機(jī)動(dòng)態(tài)遷移等場(chǎng)景對(duì)二層網(wǎng)絡(luò)接入的需求。SAN互聯(lián)：也稱為后端存

50、儲(chǔ)網(wǎng)絡(luò)互聯(lián)，借助傳輸技術(shù)（DWDM、SDH等）可實(shí)現(xiàn)主中心和災(zāi)備中心間磁盤陣列的數(shù)據(jù)復(fù)制。云間互聯(lián)技術(shù)還是數(shù)據(jù)備份和應(yīng)用災(zāi)備的重要建設(shè)手段。在本方案中，在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)時(shí)，采用了“大二層無(wú)環(huán)”的網(wǎng)絡(luò)互連技術(shù)，采用二層組網(wǎng)的方式進(jìn)行方案設(shè)計(jì)。6）其他網(wǎng)絡(luò)新技術(shù)此外，基于無(wú)丟包以太網(wǎng)技術(shù)標(biāo)準(zhǔn)族（802.3Qau、802.1Qbb、802.1Qaz、Data Center Bridging Exchange Protocol）實(shí)現(xiàn)云計(jì)算中心的統(tǒng)一交換架構(gòu)，也是云中心網(wǎng)絡(luò)新技術(shù)的一個(gè)發(fā)展方向，可以在一個(gè)交換平臺(tái)上有效支撐業(yè)務(wù)的前端訪問(wèn)、服務(wù)器高速互聯(lián)、存儲(chǔ)訪問(wèn)。由于統(tǒng)一交換架構(gòu)出現(xiàn)時(shí)間不長(zhǎng)，還沒(méi)有獲得眾

51、多交換設(shè)備廠商的支持，成熟的應(yīng)用案例也很少。因此，在本次云平臺(tái)建設(shè)時(shí)，我們暫不建議采用。不過(guò)，可實(shí)時(shí)關(guān)注其發(fā)展。安全可控技術(shù)采用數(shù)據(jù)安全技術(shù)、應(yīng)用安全技術(shù)和虛擬化安全技術(shù)等安全可控技術(shù)滿足計(jì)算中心的安全需求。1）數(shù)據(jù)安全技術(shù)數(shù)據(jù)傳輸安全技術(shù)在使用云計(jì)算時(shí)，對(duì)于傳輸中的數(shù)據(jù)最大的威脅是不采用加密算法。通過(guò)Internet傳輸數(shù)據(jù)，采用的傳輸協(xié)議也要能保證數(shù)據(jù)的完整性。采用加密數(shù)據(jù)和使用非安全傳輸協(xié)議的方法可以達(dá)到保密的目的，但無(wú)法保證數(shù)據(jù)的完整性。數(shù)據(jù)存儲(chǔ)安全技術(shù)加密磁盤上的數(shù)據(jù)可以用來(lái)防止云服務(wù)提供商、惡意的鄰居“租戶”及某些類型應(yīng)用的濫用。如果使用簡(jiǎn)單存儲(chǔ)服務(wù)進(jìn)行長(zhǎng)期的檔案存儲(chǔ)，用戶可以加密

52、他們自己的數(shù)據(jù)后發(fā)送密文到云數(shù)據(jù)存儲(chǔ)商那里存儲(chǔ)。數(shù)據(jù)殘留處理技術(shù)數(shù)據(jù)殘留是數(shù)據(jù)在被以某種形式擦除后所殘留的物理表現(xiàn)，存儲(chǔ)介質(zhì)被擦除后可能留有一些物理特性使數(shù)據(jù)能夠被重建。在云計(jì)算環(huán)境中，數(shù)據(jù)殘留更有可能會(huì)無(wú)意泄露敏感信息，因此向云用戶保證其鑒別信息所在的存儲(chǔ)空間被釋放或再分配給其他云用戶前得到完全清除，無(wú)論這些信息是存放在硬盤上還是在內(nèi)存中，保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資源所在的存儲(chǔ)空間被釋放或重新分配給其他云用戶前得到完全清除。2）應(yīng)用安全技術(shù)終端用戶安全技術(shù)對(duì)于使用云服務(wù)的用戶，應(yīng)該保證自己計(jì)算機(jī)的安全。在用戶的終端上部署安全軟件，包括反惡意軟件、防病毒、個(gè)人防火墻以及IPS類型的

53、軟件。因此云用戶應(yīng)該采取必要措施保護(hù)瀏覽器免受攻擊，在云環(huán)境中實(shí)現(xiàn)端到端的安全。云用戶應(yīng)使用自動(dòng)更新功能，定期完成瀏覽器打補(bǔ)丁和更新工作。SaaS應(yīng)用安全技術(shù)云計(jì)算中心為SaaS提供高強(qiáng)度密碼的身份驗(yàn)證和訪問(wèn)控制功能，并提供基于Web的管理用戶界面，最終用戶可以分派讀取和寫入權(quán)限給其他用戶。在SaaS應(yīng)用中可以通過(guò)惟一的客戶標(biāo)識(shí)符在應(yīng)用中的邏輯執(zhí)行層實(shí)現(xiàn)客戶數(shù)據(jù)邏輯上的隔離。PaaS應(yīng)用安全技術(shù)PaaS云提供給用戶的能力是在云基礎(chǔ)設(shè)施之上部署用戶創(chuàng)建或采購(gòu)的應(yīng)用，這些應(yīng)用使用云計(jì)算中心支持的編程語(yǔ)言或工具開(kāi)發(fā)，用戶并不管理或控制底層的云基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)、服務(wù)器、操作系統(tǒng)或存儲(chǔ)等，但是可以控制

54、部署的應(yīng)用以及應(yīng)用主機(jī)的某個(gè)環(huán)境配置。PaaS應(yīng)用安全包含兩個(gè)層次：PaaS平臺(tái)自身的安全；客戶部署在PaaS平臺(tái)上應(yīng)用的安全。云計(jì)算中心維護(hù)PaaS平臺(tái)運(yùn)行引擎的安全，在多租戶模式下提供“沙盒”架構(gòu)，平臺(tái)運(yùn)行引擎的“沙盒”特性可以集中維護(hù)客戶部署在PaaS平臺(tái)上應(yīng)用的保密性和完整性；負(fù)責(zé)監(jiān)控新的程序缺陷和漏洞，以避免這些缺陷和漏洞被用來(lái)攻擊PaaS平臺(tái)和打破“沙盒”架構(gòu)。云用戶部署的應(yīng)用安全需要云計(jì)算中心PaaS應(yīng)用配合，開(kāi)發(fā)人員需要熟悉平臺(tái)的API、部署和管理執(zhí)行的安全控制軟件模塊。開(kāi)發(fā)人員必須熟悉平臺(tái)特定的安全特性，這些特性被封裝成安全對(duì)象和Web服務(wù)。開(kāi)發(fā)人員通過(guò)調(diào)用這些安全對(duì)象和We

55、b服務(wù)實(shí)現(xiàn)在應(yīng)用內(nèi)配置認(rèn)證和授權(quán)管理。IaaS應(yīng)用安全技術(shù)客戶的應(yīng)用程序和運(yùn)行引擎，無(wú)論運(yùn)行在何種平臺(tái)上，都由客戶部署和管理。3）虛擬化安全技術(shù)基于虛擬化技術(shù)的云計(jì)算引入的風(fēng)險(xiǎn)主要有兩個(gè)方面：一個(gè)是虛擬化軟件的安全；另一個(gè)使用虛擬化技術(shù)的虛擬服務(wù)器的安全。虛擬化軟件安全技術(shù)該軟件層直接部署于裸機(jī)之上，提供能夠創(chuàng)建、運(yùn)行和銷毀虛擬服務(wù)器的能力。實(shí)現(xiàn)虛擬化的方法不止一種，實(shí)際上，有幾種方法都可以通過(guò)不同層次的抽象來(lái)實(shí)現(xiàn)相同的結(jié)果，如操作系統(tǒng)級(jí)虛擬化、全虛擬化或半虛擬化。由于虛擬化軟件層是保證客戶的虛擬機(jī)在多租戶環(huán)境下相互隔離的重要層次，可以使客戶在一臺(tái)計(jì)算機(jī)上安全地同時(shí)運(yùn)行多個(gè)操作系統(tǒng)，所以必須嚴(yán)

56、格限制任何未經(jīng)授權(quán)的用戶訪問(wèn)虛擬化軟件層。云平臺(tái)需要建立必要的安全控制措施，限制對(duì)于Hypervisor和其他形式的虛擬化層次的物理和邏輯訪問(wèn)控制。虛擬服務(wù)器安全技術(shù)虛擬服務(wù)器位于虛擬化軟件之上，對(duì)于物理服務(wù)器的安全原理與實(shí)踐也可以被運(yùn)用到虛擬服務(wù)器上，并兼顧虛擬服務(wù)器的特點(diǎn)。安裝虛擬服務(wù)器時(shí)，為每臺(tái)虛擬服務(wù)器分配一個(gè)獨(dú)立的硬盤分區(qū)，以便將各虛擬服務(wù)器之間從邏輯上隔離開(kāi)來(lái)。虛擬服務(wù)器系統(tǒng)還安裝基于主機(jī)的防火墻、殺毒軟件、IPS（IDS）以及日志記錄和恢復(fù)軟件，以便將它們相互隔離，并與其他安全防范措施一起構(gòu)成多層次防范體系。對(duì)于每臺(tái)虛擬服務(wù)器通過(guò)VLAN和不同的IP網(wǎng)段的方式進(jìn)行邏輯隔離。對(duì)需要

57、相互通信的虛擬服務(wù)器之間的網(wǎng)絡(luò)連接通過(guò)VPN的方式來(lái)進(jìn)行，以保護(hù)它們之間網(wǎng)絡(luò)傳輸?shù)陌踩?shí)施相應(yīng)的備份策略，包括它們的配置文件、虛擬機(jī)文件及其中的重要數(shù)據(jù)都要進(jìn)行備份，備份按一個(gè)具體的備份計(jì)劃來(lái)進(jìn)行，包括完整、增量或差量備份方式。在防火墻中，對(duì)每臺(tái)虛擬服務(wù)器做相應(yīng)的安全設(shè)置，進(jìn)一步對(duì)它們進(jìn)行保護(hù)和隔離。將服務(wù)器的安全策略加入到系統(tǒng)的安全策略當(dāng)中，并按物理服務(wù)器安全策略的方式來(lái)對(duì)等。對(duì)于虛擬服務(wù)器系統(tǒng)，像對(duì)一臺(tái)物理服務(wù)器一樣地對(duì)它進(jìn)行系統(tǒng)安全加固，包括系統(tǒng)補(bǔ)丁、應(yīng)用程序補(bǔ)丁、所允許運(yùn)行的服務(wù)、開(kāi)放的端口等。同時(shí)嚴(yán)格控制物理主機(jī)上運(yùn)行虛擬服務(wù)的數(shù)量，禁止在物理主機(jī)上運(yùn)行其他網(wǎng)絡(luò)服務(wù)。如果虛擬服務(wù)器需要與主機(jī)進(jìn)行連接或共享文件，使用 VPN方式進(jìn)行，以防止由于某臺(tái)虛擬服務(wù)器被攻破后影響物理主機(jī)。文件共享也應(yīng)當(dāng)使用加密的網(wǎng)絡(luò)文件系統(tǒng)方式進(jìn)行。對(duì)虛擬服務(wù)器的運(yùn)行狀態(tài)進(jìn)行嚴(yán)密的監(jiān)控，實(shí)時(shí)監(jiān)控各虛擬機(jī)當(dāng)中的系統(tǒng)日志和防火墻日志，以此來(lái)發(fā)現(xiàn)存在的安全隱患。以上所涉及到的安全技術(shù)是目前云計(jì)算平臺(tái)安全研究的主要問(wèn)題，涵蓋了從IAAS到SAAS層的安全問(wèn)題，是云平臺(tái)安全保障系統(tǒng)建設(shè)的關(guān)鍵。創(chuàng)新服務(wù)模式從長(zhǎng)期發(fā)展看，云平臺(tái)的建設(shè)將涵蓋云計(jì)算服務(wù)的四種典型模式：IaaS、DaaS、PaaS和SaaS。IaaS基于自主研發(fā)的云計(jì)算服務(wù)管理軟件面向用戶提供IaaS服務(wù)。相比傳統(tǒng)應(yīng)用模式，