IaaS云計算技術方案參考

IaaS技術方案參考

為了滿足業(yè)務發(fā)展的需要，有效地解決資源利用率以及業(yè)務快速上線需求、集中管控、降低運維成本、快速部署、節(jié)能環(huán)保等問題。搭建云計算平臺，通過虛擬化、自動化等互聯(lián)網(wǎng)相關技術來解決現(xiàn)有數(shù)據(jù)中心的各種挑戰(zhàn)，隨著虛擬化及云計算的日益成熟，將應用服務器等部署在基于私有云的平臺上，以達成如下建設目標。使數(shù)據(jù)中心IT資源池化，統(tǒng)一以服務的方式提供給用戶。根據(jù)業(yè)務負載，云平臺自動彈性的分配計算，存儲，網(wǎng)絡資源給用戶，快速幫助搭建業(yè)務應用。IT資源可以快速部署，從月/天提升到分鐘/秒級別，提高創(chuàng)新效率。自動化運維管理企業(yè)數(shù)據(jù)中心IT資源，提高企業(yè)IT管理人員的運維效率。1總體方案設計1.1技術路線選擇隨著云計算技術的不斷成熟及用戶對云計算技術的不斷實踐，目前大多數(shù)使用云計算技術的單位都已經(jīng)從最初的虛擬化系統(tǒng)轉向真正的云計算系統(tǒng)，實現(xiàn)了業(yè)務發(fā)放的自動化和服務化，所以云管理平臺的重要性逐步體現(xiàn)，并得到快速發(fā)展。目前云管理平臺技術發(fā)展有下面幾個大的趨勢：從軟、硬件設備兼容性以及系統(tǒng)快速成熟的角度考慮，各廠家開始放棄早期封閉研發(fā)的私有云管理平臺，開始從私有平臺轉向采用開放架構的云管理平臺，如IBM、HP等公司都開始推開放架構云管理方案。云計算系統(tǒng)的構建是需要多廠家軟、硬件共同參與、逐步搭建的系統(tǒng)，私有云管理平臺很容易在設備兼容性上遇到限制，主要是各廠家如果沒有統(tǒng)一的標準，產(chǎn)品很難互相兼容，最終會限制用戶云系統(tǒng)的功能，如果采用主流IT廠家支持的開放架構，各廠家設備在統(tǒng)一的架構下比較容易實現(xiàn)相互間的兼容。本次項目需要選擇具有技術前瞻性、架構穩(wěn)定的云管理平臺產(chǎn)品和解決方案，基于現(xiàn)有的軟件、硬件和應用環(huán)境來統(tǒng)一集成，構建出統(tǒng)一平臺基礎環(huán)境，既能完全滿足行業(yè)當前的業(yè)務訴求，又能在可預見的未來內(nèi)持續(xù)可靠的支撐行業(yè)業(yè)務發(fā)展?；谝陨峡紤]，在本項目中，選擇了目前技術發(fā)展方向主流的云管理方案OpenStack進行商用化增強形成完整的云管理解決方案，實現(xiàn)基礎設施資源池的云運維管理功能和運營管理功能。1.2技術架構規(guī)劃本次總體設計架構基于開放云技術OpenStack、KVM虛擬化以及分布式存儲技術，對各個功能組件經(jīng)過深度優(yōu)化開發(fā)，為業(yè)務系統(tǒng)提供基礎承載平臺。本項目通過購置云計算服務所需硬件、軟件設備，對底層服務器硬件及存儲硬件進行統(tǒng)一規(guī)劃部署，并進行資源整合，通過在硬件之上構建虛擬化平面，提供統(tǒng)一的計算資源池，網(wǎng)絡資源池，存儲資源池。其中計算支持KVM、VMware、裸機管理；網(wǎng)絡通過Linuxbridge、OpenvSwitch實現(xiàn)，底層網(wǎng)絡可以是VLAN、VXLAN、GRE；存儲可通過CEPH、商業(yè)存儲實現(xiàn)。IAAS層通過OpenStackNova、Cinder、Neutron、ironic、Keystone組件實現(xiàn)虛擬機／物理機管理、存儲管理、網(wǎng)絡管理、鏡像管理，日志管理、用戶管理，并實現(xiàn)云主機HA，QoS、彈性伸縮、負載均衡等功能，滿足用戶各類資源需求。智能運維：實現(xiàn)自動批量裝機、應用部署、任務自動化、資產(chǎn)管理等運維服務，使管理員獲取高于手工運維幾十倍的速度，大大提高了運維效率。1.3資源池設計計算資源池云平臺的計算服務設計參考開源OpenStack的Nova實現(xiàn)，為最終用戶提供計算資源服務，Nova在計算節(jié)點側，通過libvirt的方式，對本地的虛擬機進行管控，底層使用基于硬件的全虛擬化技術KVM。考慮到部分業(yè)務無法部署在虛擬機中，比如高性能數(shù)據(jù)庫，可以使用物理資源獨享的裸機來承載。為了實現(xiàn)裸機部署功能，利用Nova底層的驅(qū)動ironic來啟動裸機節(jié)點，基于ironic驅(qū)動，用戶可以像原來的虛擬機一樣，對一臺裸機實例進行整個生命周期的管理。存儲資源池云平臺的塊存儲服務設計參考開源Openstack的Cinder實現(xiàn)，為最終用戶提供塊存儲資源。云平臺的各個服務區(qū)域有不同的存儲要求，公共服務區(qū)域需要分布式存儲的支持，內(nèi)網(wǎng)和外網(wǎng)區(qū)域需要FC集中存儲的支持，通過靈活的插件方式，提供不同驅(qū)動的支持。Cinder在存儲節(jié)點側，對于分布式存儲，通過librbd開源驅(qū)動，和Ceph分布式存儲集群通信，進行塊設備的管理；對于集中式存儲，通過商業(yè)存儲的插件提供的商業(yè)驅(qū)動與集中式存儲通信，進行塊設備的管理。針對特別重要的數(shù)據(jù)，用戶可以選擇在云平臺上使用這種共享存儲。FC-SAN采用高可用連接，保證每個LUN有4個ActivePath。網(wǎng)絡資源池與傳統(tǒng)解決方案不同，云平臺的SDN（軟件定義網(wǎng)絡）網(wǎng)絡使用戶的虛機的網(wǎng)絡不再是一個扁平化、無法自定義的固定的網(wǎng)絡結構，而是一個可以提供豐富的網(wǎng)絡功能并能夠靈活配置的網(wǎng)絡。基于Neutron、OVS、VXLAN、NameSpace等技術，SDN網(wǎng)絡將所有物理世界的網(wǎng)絡設備都被設計成了可操作的網(wǎng)絡對象。只需要在管理面板點擊配置，就可以根據(jù)業(yè)務需要靈活快速地構建復雜的網(wǎng)絡環(huán)境，使網(wǎng)絡管理更加智能，僅僅使用傳統(tǒng)交換機等網(wǎng)絡設備，而無需網(wǎng)絡設備支持SDN，支撐了更靈活便捷的網(wǎng)絡擴展。云平臺允許不同項目(租戶)創(chuàng)建屬于自己的網(wǎng)絡，并通過項目(租戶)的邊界路由器連接到外網(wǎng)。不同項目(租戶)之間的網(wǎng)絡是允許重疊，即不同項目(租戶)都可以創(chuàng)建了10.10.1.0/24這個網(wǎng)段，都有一個10.10.1.1的網(wǎng)關。為了實現(xiàn)這樣的邏輯，就需要在底層實現(xiàn)對不同項目(租戶)網(wǎng)絡之間的隔離。云平臺網(wǎng)絡功能由OpenStack的Neutron提供，采用ML2Plugin。二層采用OvsAgent，由它提供二層的虛擬互聯(lián)，來實現(xiàn)統(tǒng)一扁平的網(wǎng)路結構。不同物理節(jié)點之間上的虛擬機通過Ovs的GRE虛擬隧道進行互聯(lián)，網(wǎng)絡之間的隔離是通過在物理節(jié)點的內(nèi)部網(wǎng)橋br-int上，使用本地vlan的方式來實現(xiàn)隔離。首先，不同項目(租戶)創(chuàng)建不同的privatenetwork，為了在虛二層上對網(wǎng)絡進行隔離，創(chuàng)建privatenetwork時，需要指定segmentid在不同項目(租戶)的privatenetwork上創(chuàng)建的虛擬機，連接到br-int上的時候都是帶vlantag，即localvlantag，所以不同tenant的虛擬機，即便連接到同一個br-int上，因為tag不同，也是不能相互通信的。同一個機器上的localvlantag，是局部有效的，即僅在本機有效。一個計算節(jié)點上的br-int上的vlantag1和另一臺計算節(jié)點上的br-int的vlantag1很可能是不一樣。而創(chuàng)建privatenetwork的時候指定的全局唯一segmentid，它是在虛擬網(wǎng)卡br-tun上使用，openvswitch會在br-tun上，根據(jù)setmentid，將數(shù)據(jù)包的localvlanid轉換成與segmentid等值的tunid，通過建立好的GRE隧道發(fā)送出去?？傊?，br-int內(nèi)部的網(wǎng)絡流量隔離是通過設置數(shù)據(jù)包的localvlanid來實現(xiàn)，br-int之間的網(wǎng)絡流量隔離是通過設置數(shù)據(jù)包全局唯一的segmentid來實現(xiàn)。虛擬機所有能直接看到的東西，僅在br-int上，它看不到打通br-int之間所要使用的segmentid。數(shù)據(jù)包流程如下：2云平臺功能規(guī)劃2.1管理員運營管理資源展示圖形化顯示全部的資源統(tǒng)計信息，包括了資源概況信息、計算資源統(tǒng)計信息、網(wǎng)絡資源統(tǒng)計信息。涵蓋了物理主機個數(shù)信息統(tǒng)計、可分配內(nèi)核信息統(tǒng)計、可分配內(nèi)存統(tǒng)計信息、項目個數(shù)統(tǒng)計信息、用戶數(shù)目統(tǒng)計等信息。涵蓋了云主機統(tǒng)計信息、虛擬內(nèi)核統(tǒng)計信息、虛擬使用內(nèi)存信息、快照信息、云硬盤數(shù)量統(tǒng)計信息、云硬盤快照信息、硬盤容量信息、鏡像個數(shù)統(tǒng)計信息、系統(tǒng)比例信息與安全組策略文件等信息。涵蓋了虛擬網(wǎng)絡信息統(tǒng)計、外網(wǎng)IP信息統(tǒng)計及虛擬路由器等網(wǎng)絡資源的統(tǒng)計信息。包括了對于用戶名稱、郵箱、密碼、用戶的角色信息、描述、每個用戶對于資源使用的配額比例以及對于用戶角色的權限修改添加的操作信息以及對于每頁可顯示虛擬條目數(shù)量的頁數(shù)信息等信息。資源管理可以對全部的計算資源和網(wǎng)絡資源進行維護和管理，查詢每個硬件節(jié)點的資源使用情況進行信息匯總與統(tǒng)計并且顯示整個可用域內(nèi)可以進行使用的物理主機數(shù)量，對于不同用戶角色進行不同可用域的劃分，對于每個域的使用進行了詳細的統(tǒng)計與顯示。資源配額設置通過資源配額設置可以設定用戶組，并且針對此用戶組中的不同用戶角色對其可以使用的虛擬內(nèi)核個數(shù)、云主機數(shù)量、云硬盤大小、云硬盤數(shù)量、云硬盤快照個數(shù)、卷大小、可用內(nèi)存大小、安全組規(guī)則個數(shù)、外網(wǎng)IP可使用個數(shù)、虛擬網(wǎng)絡個數(shù)、可使用的虛擬路由器個數(shù)、可使用的子網(wǎng)個數(shù)等資源信息進行額度選擇，從而控制每個用戶角色對于平臺資源使用的限制性權限。2.2鏡像管理可以對全部鏡像資源進行創(chuàng)建、查看、更新鏡像等操作，并且針對于自有鏡像進行上傳服務同時對于每個用戶角色的鏡像名稱、容量、狀態(tài)、格式等信息進行統(tǒng)計與顯示、并可根據(jù)相應鏡像創(chuàng)建云主機等動作信息匯總、方便云主機對于鏡像方面的需求。支持對已存在的云主機進行快照轉鏡像功能，減少鏡像與云主機部署時間，提升部署效率。2.3云主機服務可對云主機進行創(chuàng)建與管理，功能如下：創(chuàng)建云主機：指定主機模版、配置、網(wǎng)絡、主機名、密碼后創(chuàng)建虛擬機等信息。云主機詳情：顯示云主機ID、名稱、狀態(tài)、網(wǎng)絡、配置等基本信息。云主機性能監(jiān)控：監(jiān)控處理器和內(nèi)存的資源使用率等信息。云主機網(wǎng)卡進行實時熱添加。云主機遠程訪問：提供RemoteConsole，用戶從界面直接登陸主機進行操作。云主機安全訪問：SSH提供給用戶快捷安全的登陸方式。增加／減少主機磁盤：通過掛載和刪除云硬盤的操作調(diào)整云主機的硬盤。遠程控制主機狀態(tài)：遠程關閉、重啟、掛起、開啟等操作。修改主機信息：可以刪除云主機，修改云主機名稱等信息。2.4塊存儲服務分布式存儲技術將離散的存儲資源進行抽象管理，按需為用戶或云主機提供持久塊存儲服務；云存儲具有獨立的生命周期，基于網(wǎng)絡進行分布式訪問，為用戶提供大并發(fā)數(shù)據(jù)訪問、海量數(shù)據(jù)存儲、高可靠和可擴展的彈性存儲空間。針對不同的I/O性能要求，云平臺可以通過設置QOS提供不同檔次的存儲資源給用戶選擇。2.5快照服務云計算平臺支持云主機的全量快照，用戶及其管理員可以在平臺中對相關云主機進行快照。云平臺Snapshot，其工作原理是對云主機的鏡像文件（系統(tǒng)盤）進行全量備份，生成一個類型為快照的image，然后將其保存到分布式存儲Glancepool存儲池中。2.6彈性服務由于業(yè)務在不同時段會出現(xiàn)不同業(yè)務壓力的形式，云平臺為了保證業(yè)務能夠在業(yè)務高峰期對于相應服務與業(yè)務功能可以正常運行，減少運維人員的工作難度，推出彈性伸縮的功能，在業(yè)務高峰期間，針對不同云主機的壓力參數(shù)，通過智能的監(jiān)控平臺，對高消耗的云主機進行自動彈性擴容，當業(yè)務壓力減小時，自動進行相應資源回收，使得運維相比傳統(tǒng)的方式更為簡潔，平臺使用方面更為便捷與安全。彈性策略可為用戶提供資源和服務，用戶可以根據(jù)系統(tǒng)參數(shù)設置，隨時增加和縮減IT基礎設施資源規(guī)模，實時滿足業(yè)務發(fā)展的需要，節(jié)約成本。用戶可以根據(jù)CPU平均負載進行閾值設置，當集群平均負載達到閾值時會根據(jù)規(guī)則進行資源彈性分配。彈性分配分為彈性擴展和彈性收縮。當集群CPU平均負載大于用戶設置的擴展閾值時，系統(tǒng)進行資源的彈性擴展；當集群CPU平均負載小于用戶設置的收縮閾值時，會根據(jù)規(guī)則進行資源彈性收縮。2.7監(jiān)控功能運維監(jiān)控支持對系統(tǒng)整體的運行保障，包括對物理服務器、云主機、存儲、網(wǎng)絡資源等使用情況的統(tǒng)一監(jiān)控。云平臺提供監(jiān)控管理功能，為運維人員提供監(jiān)控管理的界面；對運維人員來說，運維監(jiān)控應包含整個平臺內(nèi)資源的運行情況與性能，以及異常事件的監(jiān)控與告警；對用戶來說，應提供對整個系統(tǒng)所申請資源的監(jiān)控和管理；對用戶來說，應提供對服務實例的查詢和操作界面，可以監(jiān)控自己的實例的運行情況和性能指標。物理主機實時監(jiān)控以曲線圖的形式展現(xiàn)云主機的CPU、內(nèi)存、硬盤、網(wǎng)卡資源實時使用情況等信息，并且針對不同監(jiān)控周期顯示不同監(jiān)控內(nèi)容，方便管理員對現(xiàn)有物理主機資源進行使用與維護CPU：可選擇展現(xiàn)物理主機CPU使用率或CPU負載的實時監(jiān)控信息曲線圖內(nèi)存：展現(xiàn)物理主機當前內(nèi)存使用率統(tǒng)計監(jiān)控信息曲線圖硬盤：可展現(xiàn)當前物理主機所有硬盤使用率,硬盤讀寫速度或硬盤iops監(jiān)控信息曲線圖網(wǎng)絡流量：展現(xiàn)當前物理主機所有網(wǎng)卡上行流量和下行流量監(jiān)控信息曲線圖。物理主機歷史監(jiān)控以曲線圖的形式展現(xiàn)物理主機的CPU、內(nèi)存、硬盤、網(wǎng)卡資源歷史使用情況等信息。CPU：可選擇展現(xiàn)物理主機CPU使用率或CPU負載的歷史監(jiān)控信息曲線圖內(nèi)存：展現(xiàn)物理主機內(nèi)存使用率歷史統(tǒng)計監(jiān)控信息曲線圖硬盤：可選擇展現(xiàn)物理主機所有硬盤使用率,硬盤讀寫速度或硬盤iops監(jiān)控信息曲線圖網(wǎng)絡流量：展現(xiàn)物理主機所有網(wǎng)卡上行流量和下行流量監(jiān)控信息曲線圖云主機實時監(jiān)控以曲線圖的形式展現(xiàn)云主機的CPU、內(nèi)存、硬盤、網(wǎng)卡資源實時使用情況等信息。針對于不同時期不同選項，使用不同的處理方式展現(xiàn)平臺所有虛擬主機的監(jiān)控信息并進行匯總。CPU：可選擇展現(xiàn)云主機CPU使用率的當前監(jiān)控信息曲線圖內(nèi)存：展現(xiàn)云主機內(nèi)存使用率當前統(tǒng)計監(jiān)控信息曲線圖硬盤：可選擇展現(xiàn)云主機所有硬盤使用率,硬盤讀寫速度或硬盤iops監(jiān)控信息曲線圖網(wǎng)絡流量：展現(xiàn)云主機所有網(wǎng)卡上行流量和下行流量監(jiān)控信息曲線圖。云主機歷史監(jiān)控以曲線圖的形式展現(xiàn)云主機的CPU、內(nèi)存、硬盤、網(wǎng)卡資源歷史使用情況等信息。CPU：可選擇展現(xiàn)云主機CPU使用率的歷史監(jiān)控信息曲線圖內(nèi)存：展現(xiàn)物理主機內(nèi)存使用率云主機統(tǒng)計監(jiān)控信息曲線圖硬盤：可選擇展現(xiàn)云主機所有硬盤使用率,硬盤讀寫速度或硬盤iops監(jiān)控信息曲線圖網(wǎng)絡流量：展現(xiàn)云主機所有網(wǎng)卡上行流量和下行流量歷史監(jiān)控信息曲線圖2.8遷移服務云平臺支持在線進行熱遷移及其冷遷移操作，手動或者自動進行云主機遷移操作，基于模板VM自動遷移，自動感知各個節(jié)點狀態(tài)，通過資源計算調(diào)度，可以自動遷移到資源空余的節(jié)點，實現(xiàn)整個云平臺的資源平衡。2.9網(wǎng)絡服務云平臺的網(wǎng)絡采用SDN的方式，將網(wǎng)絡控制和硬件數(shù)據(jù)轉發(fā)部分解耦，滿足快速創(chuàng)建網(wǎng)絡，敏捷，可編程及精細化安全管理的需求，具體功能如下：私有網(wǎng)絡(Subnet)-VLAN：擴大2層網(wǎng)絡范圍，多業(yè)務完全隔離。網(wǎng)絡地址轉換(NAT)：SNAT與DNAT的方式，節(jié)省公網(wǎng)IP地址，確保內(nèi)部服務安全彈性IP池：根據(jù)不同需要，申請不同IP屬性地址，資源靈活申請與釋放虛擬路由：根據(jù)不同業(yè)務需要，劃分不同網(wǎng)段，靈活實現(xiàn)內(nèi)部與外部網(wǎng)絡通信。2.10

訪問與安全服務通過設定安全組相關策略，實現(xiàn)云主機的安全隔離，創(chuàng)建安全策略，包含了端口、地址類型、IP協(xié)議類型、端口范圍及遠程連接方式等參數(shù)進行設定，規(guī)定云主機的安全策略方式，保證云主機的安全性。3監(jiān)控告警IAAS層監(jiān)控告警方案包含以下內(nèi)容：物理硬件運行狀態(tài)Openstack組件服務