智慧校園云計(jì)算平臺(tái)技術(shù)解決方案

XX

智慧校園云計(jì)算平臺(tái)技術(shù)方案書(shū)

HBC

2023年3月

目錄

1概述.........................................................................錯(cuò)誤!未定義書(shū)簽。

1-1高校信息化面臨的挑戰(zhàn)....................................................錯(cuò)誤!未定義書(shū)簽.

1.2云計(jì)算在高校的應(yīng)用價(jià)值..................................................錯(cuò)誤!未定義書(shū)簽。

2智慧校園建設(shè)背景............................................................錯(cuò)誤!未定義書(shū)簽。

2.1現(xiàn)實(shí)狀況分析...........................................................錯(cuò)誤!未定義書(shū)簽。

2.2需求分析...............................................................錯(cuò)誤!未定義書(shū)簽。

2.3設(shè)計(jì)原則...............................................................錯(cuò)誤!未定義書(shū)簽。

2.4建設(shè)模式分析...........................................................錯(cuò)誤!未定義書(shū)簽。

3智慧校園云計(jì)算平臺(tái)設(shè)計(jì)......................................................錯(cuò)誤!未定義書(shū)簽。

3.1整體架構(gòu)設(shè)計(jì)...........................................................錯(cuò)誤!未定義書(shū)簽。

3.2計(jì)算資源池設(shè)計(jì).........................................................錯(cuò)誤!未定義書(shū)簽。

3.3存儲(chǔ)資源池設(shè)計(jì).........................................................錯(cuò)誤!未定義書(shū)簽。

3.4網(wǎng)絡(luò)資源池設(shè)計(jì).........................................................錯(cuò)誤!未定義書(shū)簽。

設(shè)計(jì)要點(diǎn)...............................................................錯(cuò)誤!未定義書(shū)簽。

組網(wǎng)架構(gòu)...............................................................錯(cuò)誤!未定義書(shū)簽。

關(guān)鍵互換系統(tǒng)...........................................................錯(cuò)誤!未定義書(shū)簽。

服務(wù)器與存儲(chǔ)接入錯(cuò)誤!未定義書(shū)簽。

虛擬機(jī)接入.................................................................錯(cuò)誤!未定義書(shū)簽。

3.5安全資源池設(shè)計(jì).............................................................錯(cuò)誤!未定義書(shū)簽。

設(shè)計(jì)要點(diǎn)....................................................................錯(cuò)誤!未定義書(shū)簽。

網(wǎng)絡(luò)邊界安全防護(hù)...........................................................錯(cuò)誤!未定義書(shū)簽。

虛擬機(jī)深度安全防護(hù)........................................................錯(cuò)誤!未定義書(shū)簽。

安全方略動(dòng)態(tài)遷移...........................................................錯(cuò)誤!未定義書(shū)簽。

3.6虛擬化平臺(tái)設(shè)計(jì).............................................................錯(cuò)誤!未定義書(shū)簽。

計(jì)算虛擬化.................................................................錯(cuò)誤!未定義書(shū)簽。

網(wǎng)絡(luò)虛擬化..................................................................錯(cuò)誤!未定義書(shū)簽。

3.7云管理平臺(tái)設(shè)計(jì)..............................................................錯(cuò)誤!未定義書(shū)簽。

云業(yè)務(wù)管理..................................................................錯(cuò)誤!未定義書(shū)簽。

云網(wǎng)絡(luò)管理.................................................................錯(cuò)誤!未定義書(shū)簽。

3.1推薦配置清單................................................................錯(cuò)誤!未定義書(shū)簽。

3.2處理方案優(yōu)勢(shì)................................................................錯(cuò)誤!未定義書(shū)簽。

高效節(jié)能....................................................................錯(cuò)誤!未定義書(shū)簽。

彈性可靠....................................................................錯(cuò)誤!未定義書(shū)簽。

原則融合....................................................................錯(cuò)誤!未定義書(shū)簽。

1概述

1.1高校信息化面喳的挑戰(zhàn)

在老式的教育信息化建設(shè)過(guò)程中，基本上都按照“按需、逐一、獨(dú)立”的建設(shè)原則，每一種應(yīng)用系統(tǒng)

都使用獨(dú)立的服務(wù)器、獨(dú)立的安全和管理原則、獨(dú)立的數(shù)據(jù)庫(kù)和獨(dú)立的展現(xiàn)層，即煙囪式的孤島架構(gòu)。

資源系統(tǒng)學(xué)生系統(tǒng)教務(wù)系統(tǒng)辦公系統(tǒng)后勤系統(tǒng)決策系統(tǒng)

展現(xiàn)層表現(xiàn)層表現(xiàn)層表現(xiàn)層表現(xiàn)層表現(xiàn)層

資

學(xué)

教

辦

后

決

源

生

務(wù)

公

勤

策

業(yè)

業(yè)

業(yè)

業(yè)

業(yè)

業(yè)

務(wù)

務(wù)

務(wù)

務(wù)

務(wù)

務(wù)

邏

邏

邏

邏

邏

邏

輯

輯

輯

輯

輯

輯

數(shù)據(jù)

數(shù)據(jù)

管

管

理

理

安全

安全

系

統(tǒng)層

系

統(tǒng)層

圖1教育信息化的孤島架構(gòu)

孤島架構(gòu)的缺陷重要有:

(1)高投入、難管理、低效率、高能耗、低可用問(wèn)題

目前教育信息化硬件配置現(xiàn)實(shí)狀況一般是如下兩種狀況:

>一般應(yīng)用系統(tǒng)，一臺(tái)服務(wù)器安裝一種應(yīng)用系統(tǒng);

>關(guān)鍵應(yīng)用系統(tǒng)，如校園一卡通業(yè)務(wù)系統(tǒng)、OA系統(tǒng)、云教學(xué)系統(tǒng)等，基于性能的考慮，一般以服

務(wù)器（小型機(jī)或刀片服務(wù)器）和SAN存儲(chǔ)連接方式為基礎(chǔ)，一種應(yīng)用系統(tǒng)布署在幾臺(tái)服務(wù)器上

（應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器），通過(guò)小型機(jī)或多組刀片來(lái)實(shí)現(xiàn)關(guān)鍵應(yīng)用的布署。

第一種狀況存在硬件資源揮霍與硬件資源局限性的問(wèn)題。假如服務(wù)器性能很高，有資源剩余，但不能

將多出的資源給其他應(yīng)用系統(tǒng)使用，導(dǎo)致?lián)]霍；當(dāng)應(yīng)用高峰時(shí)，也許一臺(tái)服務(wù)器資源局限性，也無(wú)法從其

他地方獲取更多的硬件資源支持，導(dǎo)致應(yīng)用癱瘓；

第二種狀況存在嚴(yán)重資源揮霍問(wèn)題。多臺(tái)服務(wù)器為一種應(yīng)用服務(wù)。應(yīng)用系統(tǒng)動(dòng)輒就有幾十個(gè)（如教務(wù)

管理、人事管理、辦公、財(cái)務(wù)管理、固定資產(chǎn)管理、教學(xué)系統(tǒng)等），應(yīng)用系統(tǒng)的建設(shè)需要大量的服務(wù)器來(lái)

支撐。

系統(tǒng)建成后，在實(shí)際使用中，有些應(yīng)用系統(tǒng)一天也許只有少數(shù)人使用，使用的次數(shù)也很少；此外，這

些應(yīng)用系統(tǒng)的使用模式也非常有規(guī)律，如大部分顧客的使用和訪問(wèn)集中在上班時(shí)間，非正常上班時(shí)間（晚

上、節(jié)假日）運(yùn)用率很低。在這些時(shí)間內(nèi)，只有少數(shù)人偶爾使用OA系統(tǒng)、郵件系統(tǒng)等，大量的業(yè)務(wù)系統(tǒng)

實(shí)際上處在空閑狀態(tài)，CPU和內(nèi)存運(yùn)用率不超過(guò)15%,但支持這些應(yīng)用系統(tǒng)正常運(yùn)行的所有資源（服務(wù)

器等硬件設(shè)備）需要不間斷工作，大量的服務(wù)器硬件增長(zhǎng)了維護(hù)難度和能耗成本。

（2）低可靠性問(wèn)題

當(dāng)任意一臺(tái)服務(wù)器出現(xiàn)硬件故障或者軟件故障時(shí)，則與本服務(wù)器有關(guān)的應(yīng)用系統(tǒng)都不能使用，導(dǎo)致應(yīng)

用系統(tǒng)癱瘓。

1.2云計(jì)算在高校的應(yīng)用價(jià)值

云計(jì)算是一種基于網(wǎng)絡(luò)的計(jì)算服務(wù)供應(yīng)方式，它以跨越異構(gòu)、動(dòng)態(tài)流轉(zhuǎn)的資源池為基礎(chǔ)提供應(yīng)客戶可

自治的服務(wù)，實(shí)現(xiàn)資源的按需分派、按量計(jì)費(fèi)。云計(jì)算導(dǎo)致資源規(guī)?；?、集中化，增進(jìn)IT產(chǎn)業(yè)時(shí)深入分工,

讓IT系統(tǒng)的建設(shè)和運(yùn)維統(tǒng)一集中到云計(jì)算運(yùn)行商處，一般顧客都愈加關(guān)注于自己的業(yè)務(wù)，從而提高了信息

化建設(shè)的效率和彈性，增進(jìn)社會(huì)前國(guó)家生產(chǎn)生活的集約化水平。

云計(jì)算重要包括兩個(gè)層次的含義：

>一是從被服務(wù)的客戶端看：在云計(jì)算環(huán)境下，顧客無(wú)需自建基礎(chǔ)系統(tǒng)，可以愈加專注于自己的業(yè)

務(wù)。顧客可按需獲取網(wǎng)絡(luò)上的資源，并按使用量付費(fèi)。如同打開(kāi)電燈用電，打開(kāi)水龍頭用水同樣,

而無(wú)需考慮是電從哪里來(lái)，水是哪家水廠的。

>二是從云計(jì)算后臺(tái)看：云計(jì)算實(shí)現(xiàn)資源的集中化、規(guī)?；??？梢詫?shí)現(xiàn)對(duì)各類異構(gòu)軟硬件基礎(chǔ)資源

時(shí)兼容，如電網(wǎng)支持水電廠、火電廠、風(fēng)電廠、核電廠等異構(gòu)電廠并網(wǎng)；還可以實(shí)現(xiàn)資源的動(dòng)態(tài)

流轉(zhuǎn)，如西電東送，西氣東輸、南水北調(diào)等。支持異構(gòu)資源和實(shí)現(xiàn)資源的動(dòng)態(tài)流轉(zhuǎn)，可以更好的

運(yùn)用資源，減少基礎(chǔ)資源供應(yīng)商的成本。

云計(jì)算是可以提供動(dòng)態(tài)資源池、虛擬化和高可用性的下一代計(jì)算模式，可認(rèn)為顧客提供“按需計(jì)算”

服務(wù)。根據(jù)目前教育信息化的現(xiàn)實(shí)狀況及發(fā)展趨勢(shì)，云計(jì)算在教育行業(yè)將有極其重要的應(yīng)用價(jià)值：

(D教育資源的優(yōu)化整合

對(duì)目前教育信息化的多種資源進(jìn)行整合開(kāi)發(fā)運(yùn)用，充足挖掘潛力，提高資源的運(yùn)用率。首先將分散在

不一樣地區(qū)的教學(xué)園區(qū)的軟硬件資源進(jìn)行整合，提高其反復(fù)運(yùn)月率，杜絕閑置和揮霍現(xiàn)象，到達(dá)數(shù)據(jù)的原

則統(tǒng)一、管理統(tǒng)一、維護(hù)統(tǒng)一，逐漸將校園網(wǎng)內(nèi)各個(gè)分校、各個(gè)應(yīng)用系統(tǒng)的數(shù)據(jù)動(dòng)態(tài)及時(shí)地互聯(lián)互通，徹

底消除教育信息化中的信息孤島，實(shí)現(xiàn)信息分散、動(dòng)態(tài)采集，笑中安全管理，共享應(yīng)用。通過(guò)服務(wù)器虛擬

化技術(shù)，將多種硬件及軟件資源虛擬化成一種或多種資源池，并通過(guò)系統(tǒng)管理平臺(tái)對(duì)這些虛擬資源進(jìn)行智

能的、自動(dòng)化的管理和分派。

(2)教育資源的I服務(wù)提供

通過(guò)多層次的自助服務(wù)門戶為最終顧客(即資源的使用者)提供數(shù)據(jù)及應(yīng)用服務(wù)，資源使用者可以通

過(guò)自助服務(wù)門戶瀏覽和申請(qǐng)使用教育資源，并可以按自己的需要對(duì)資源進(jìn)行下載、重新整合和展現(xiàn)。同步,

教育應(yīng)用開(kāi)發(fā)商或資源提供者也可以通過(guò)自助服務(wù)門戶上載教育應(yīng)用或資源到教育私有云服務(wù)平臺(tái)上，而

教育云服務(wù)的運(yùn)行者或管理者，可以通過(guò)該自助服務(wù)門戶對(duì)顧客、資源、計(jì)費(fèi)進(jìn)行統(tǒng)一管理。

總

助

■HTTP/HTTPSHTTP/HTTPS

自助服務(wù)門戶多租戶安全管理服務(wù)目錄管理策略配爸管理組織資源管理

辱住廿園服芳鬲可嘉性服務(wù)容災(zāi)苗份服務(wù)彈在員就均衡服務(wù)虛期網(wǎng)絡(luò)服務(wù)

?Rte-

計(jì)算資源網(wǎng)掐斐源存儲(chǔ)姿源

圖2教育云平臺(tái)框架圖

>首先，通過(guò)運(yùn)行在服務(wù)器上的虛擬化內(nèi)核軟件，屏蔽底層異構(gòu)硬件之間的差異性，消除上層客戶

操作系統(tǒng)對(duì)硬件設(shè)備及底層驅(qū)動(dòng)的依賴，同步增強(qiáng)虛擬化運(yùn)行環(huán)境中的硬件兼容性、高可靠性、

高可用性、可擴(kuò)展性、性能優(yōu)化等功能。

另一方面，通過(guò)虛擬化管理軟件形成云計(jì)算資源管理平臺(tái)，實(shí)現(xiàn)對(duì)數(shù)據(jù)中心內(nèi)的計(jì)算、網(wǎng)絡(luò)和存

儲(chǔ)等硬件資源的軟件虛擬化管理，對(duì)上層應(yīng)用提供自動(dòng)化服務(wù)。其業(yè)務(wù)范圍包括：虛擬計(jì)算、虛

擬網(wǎng)絡(luò)、虛擬存儲(chǔ)、高可用性(HighAvailability,HA)、動(dòng)態(tài)資源調(diào)度(DynamicResource

Scheduling,DRS)、虛擬機(jī)容災(zāi)與備份、虛擬機(jī)模板管理、集群文獻(xiàn)系統(tǒng)、虛擬互奧機(jī)方略等。

最終，通過(guò)云業(yè)務(wù)管理口心，將基礎(chǔ)架構(gòu)資源(包括計(jì)算、存儲(chǔ)和網(wǎng)絡(luò))及其有關(guān)方略整合成虛

擬數(shù)據(jù)中心資源池，并容許顧客按需消費(fèi)這些資源，M而構(gòu)建安全的多租戶混合云。其業(yè)務(wù)范圍

包括：組織(虛擬數(shù)據(jù)中心)、多租戶數(shù)據(jù)和業(yè)務(wù)安全、云業(yè)務(wù)工作流、自助式服務(wù)門戶、兼容

OpenStack的RESTAFI接口等。

2智慧校園建設(shè)背景

2.1現(xiàn)實(shí)狀況分析

xx學(xué)院是江蘇省首家高等信息職業(yè)技術(shù)學(xué)院，從屬于江蘇省信息產(chǎn)業(yè)廳，是一所國(guó)有公辦性質(zhì)的全

日制一般高等學(xué)校，座落于XX大學(xué)城內(nèi)，占地1048畝。學(xué)院具有四十?dāng)?shù)年的辦學(xué)歷史。素有“江蘇省

信息產(chǎn)業(yè)人才培養(yǎng)重要基地”的美譽(yù)。學(xué)院自1999年升格為大學(xué)?？?，是XX第一所具有國(guó)家統(tǒng)招資格

的大專院校，2023年學(xué)院整體入住大學(xué)城校區(qū)，成為大學(xué)城第一所入住的高校，由于辦學(xué)歷史長(zhǎng)于同類

院校，師資力量?jī)?yōu)越，因此XX信息學(xué)院一直被認(rèn)為是XX實(shí)力最強(qiáng)，就業(yè)最佳時(shí)時(shí)公辦高職院校，2023

年被評(píng)為國(guó)家示范高職院校，就是所謂的高職211,全國(guó)共100所，XX僅此一所。

XX學(xué)院校園網(wǎng)建設(shè)較早，采用老式的IT建設(shè)模式?；A(chǔ)網(wǎng)絡(luò)由接入、匯聚、關(guān)鍵構(gòu)成的三層物理架構(gòu)，

鏈路帶寬為百兆接入，千兆骨干,其中，關(guān)鍵互換機(jī)為一臺(tái)CiscoC6509,在圖書(shū)館、教學(xué)樓、實(shí)訓(xùn)樓和

學(xué)生公寓均布署了CiscoC4506作接入互換機(jī)的區(qū)域匯聚；校園網(wǎng)出口擁有兩條，分別為200MB中國(guó)電信

和1000MB教育科研網(wǎng)，通過(guò)千兆防火墻進(jìn)行安全隔離；全校大部分場(chǎng)所布署了無(wú)線信號(hào)，實(shí)現(xiàn)了校園無(wú)

線網(wǎng)絡(luò)基本覆蓋；服務(wù)器區(qū)目前擁有多種服務(wù)器19臺(tái)，重要服役服務(wù)器13臺(tái)，其中12刀IBMBCH刀片服務(wù)

器，6刀物理機(jī)運(yùn)行數(shù)字化校園網(wǎng)服務(wù)數(shù)據(jù)庫(kù)，此外6刀布署虛擬化(Vmware),共配置50臺(tái)虛擬機(jī)，在

運(yùn)行的虛擬機(jī)有30臺(tái)，高端應(yīng)用8CPU/每虛擬機(jī)，8G內(nèi)存/每虛擬機(jī)；數(shù)據(jù)存儲(chǔ)共74T,其中來(lái)用了48T的

HF存儲(chǔ)和24T的IBM存儲(chǔ)，均為FCSAN。

計(jì)費(fèi)赧務(wù)；SHER發(fā)務(wù)；KD\S,服務(wù)器FTT噂務(wù);Rtfl地務(wù)器、7■版務(wù)！》DHCP聾務(wù)器YPWK務(wù)器課fl啜務(wù)；B較務(wù)管理貢統(tǒng)

■t>?itll

'網(wǎng)絡(luò)中心

V華為計(jì)我網(wǎng)大

千兆防火**5200F

“)D服務(wù)僚打政辦公樓

Lz

SA、存儲(chǔ)

Xw

1sco65<

國(guó)出管理服務(wù)器圖IJtft學(xué)生公寓

12幅公崗接

Cisco450fiCisco4506

/救學(xué)祗\峰

電子問(wèn)見(jiàn)究軟外學(xué)院

圖15管理系統(tǒng)教學(xué)HW

IW教學(xué)樓M

實(shí)訓(xùn)樓教學(xué)樓

Cisc<>45O7R

r兆電纜Ciscol507R\校學(xué)MH?

千兆光纜系部機(jī)坊教學(xué)樓1鵬

圖3XX學(xué)院校園網(wǎng)拓?fù)浼軜?gòu)

2.2需求分析

xx學(xué)院信息化在基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)建設(shè)方面獲得了很大的成績(jī)，不過(guò)在其建設(shè)當(dāng)中，口資源布署方

式仍然是按照應(yīng)用進(jìn)行物理的劃分，這種布署方式也許存在如下風(fēng)險(xiǎn)和挑戰(zhàn)：

?資源運(yùn)用率低

由于應(yīng)用與資源綁定，每個(gè)應(yīng)用都需要按照其峰值業(yè)務(wù)量進(jìn)行資源的配置，這導(dǎo)致在大部分時(shí)間許多

資源都處在閑置狀態(tài)，不僅導(dǎo)致服務(wù)器的資源運(yùn)用率較低，并且對(duì)資源的共享、數(shù)據(jù)的共享導(dǎo)致了天然的

障礙。

運(yùn)維成本高

伴隨學(xué)校新應(yīng)用系統(tǒng)的增長(zhǎng)，服務(wù)器、網(wǎng)絡(luò)和存儲(chǔ)的設(shè)備數(shù)量也會(huì)出現(xiàn)迅速的膨脹，在老式的數(shù)據(jù)中

心建設(shè)模式下，會(huì)導(dǎo)致占地空間、電力供應(yīng)、散熱制冷和維護(hù)成本的急劇上升，為學(xué)校長(zhǎng)遠(yuǎn)的IT投入和運(yùn)

維帶來(lái)挑戰(zhàn)。

?業(yè)務(wù)布署緩慢

在老式的模式下，學(xué)校的各個(gè)部門假如要布署新的業(yè)務(wù)，那么在提交變更祈求與進(jìn)行運(yùn)行變更之間存

在較大延遲，每一次的業(yè)務(wù)布署都要經(jīng)歷硬件選型、采購(gòu)、上架安裝、操作系統(tǒng)和應(yīng)用程序安裝以及網(wǎng)絡(luò)

配置等操作，使得業(yè)務(wù)的布署極為緩慢。

?管理方略分散

目前的IT資源運(yùn)維管理缺乏記錄的集中化IT構(gòu)建方略，無(wú)法對(duì)信息化校園網(wǎng)數(shù)據(jù)中心的基礎(chǔ)設(shè)施進(jìn)行

監(jiān)控、管理、匯報(bào)和遠(yuǎn)程訪問(wèn)，IT管理方略分散。

XX學(xué)院的校園網(wǎng)數(shù)據(jù)中心作為學(xué)校教學(xué)和平常管理等關(guān)鍵業(yè)務(wù)正常運(yùn)行的平臺(tái)和深入發(fā)展的基石，

其伴隨學(xué)校的不停發(fā)展，其對(duì)承載的關(guān)鍵業(yè)務(wù)、關(guān)鍵應(yīng)用，對(duì)干信息數(shù)據(jù)的完整性、業(yè)務(wù)運(yùn)行的可靠性、

網(wǎng)絡(luò)系統(tǒng)的可用性的規(guī)定越來(lái)越高，因此，規(guī)定其必須擁有更強(qiáng)的IT服務(wù)能力，保持高效穩(wěn)定的運(yùn)行，數(shù)

據(jù)中心的升級(jí)建設(shè)勢(shì)在必行。

目前IT信息技術(shù)已經(jīng)延伸到學(xué)校的各個(gè)層面，從學(xué)校角度看，云計(jì)算有助于整合信息資源，實(shí)現(xiàn)信息

共享，增進(jìn)學(xué)校教學(xué)和科研水平內(nèi)發(fā)展。從顧客角度看，運(yùn)用云計(jì)算可以獨(dú)立實(shí)現(xiàn)或享有某一項(xiàng)詳細(xì)的業(yè)

務(wù)和服務(wù)。因此云計(jì)算將在高校的IT政策和戰(zhàn)略中正飾演越來(lái)越重要的角色。本次方案設(shè)計(jì)，擬通過(guò)升級(jí)

和改造XX學(xué)院數(shù)據(jù)中心基礎(chǔ)設(shè)施，優(yōu)化業(yè)務(wù)管理流程，建設(shè)一張“隨需而動(dòng)”的智慧校園數(shù)據(jù)中心，未

來(lái)的關(guān)鍵業(yè)務(wù)涵蓋如下范圍:

?以“統(tǒng)規(guī)、統(tǒng)建、統(tǒng)維”思想為指導(dǎo)，以豐富的云基礎(chǔ)設(shè)施，云存儲(chǔ)，云安全和各類云服務(wù)共同

構(gòu)建XX學(xué)院laaS云平臺(tái)，服務(wù)于學(xué)校各級(jí)部門和科研機(jī)構(gòu)。

?數(shù)據(jù)處理：具有海量數(shù)據(jù)的處理和分析。

?為學(xué)校各部門集中提供基礎(chǔ)的信息處理能力，承接各部門的應(yīng)用系統(tǒng)遷移和布署，實(shí)既有關(guān)云數(shù)

據(jù)中心的資源整合、集中布署與統(tǒng)一管理。

項(xiàng)目建設(shè)應(yīng)從XX學(xué)院數(shù)據(jù)中心信息化發(fā)展方向以及發(fā)展現(xiàn)實(shí)狀況出發(fā)，加強(qiáng)綜合協(xié)調(diào)和統(tǒng)籌規(guī)劃，

借助現(xiàn)代、前沿的信息化技術(shù)，形成集成能力強(qiáng)、運(yùn)作效率高和具有可持續(xù)發(fā)展能力的云數(shù)據(jù)中心多業(yè)務(wù)

應(yīng)用平臺(tái)，真正為學(xué)校提供找得著、用得好、有保證的信息化服務(wù)。

本方案將云數(shù)據(jù)中心“IT基礎(chǔ)設(shè)施”的“按需使用”以及“自動(dòng)化管理和調(diào)度”作為云計(jì)算的實(shí)踐，

形成可落地實(shí)行的、可持續(xù)發(fā)展的云計(jì)算平臺(tái)，即1。。$云計(jì)算平臺(tái)。

XX學(xué)院laaS云平臺(tái)的建設(shè)目的提議如下：

?統(tǒng)一管理

通過(guò)最新的云計(jì)算關(guān)鍵技術(shù)之一虛擬化技術(shù)，整合既有所有應(yīng)用，整合內(nèi)容包括WEB、MAIL、FTP、

域控管理、OA系統(tǒng)、后臺(tái)數(shù)據(jù)庫(kù)等應(yīng)用，將整個(gè)業(yè)務(wù)系統(tǒng)作統(tǒng)一的規(guī)劃和布署，統(tǒng)一數(shù)據(jù)備份，從而形

成自上向下的有效IT管理架構(gòu)。

?強(qiáng)調(diào)整體方案的可擴(kuò)展性、高可用性、易用性和易管理性

采用最新的高性能高可靠服務(wù)器，保證整個(gè)硬件系統(tǒng)的可靠性和可用性，為顧客的應(yīng)用提供可靠的硬

件保障；建設(shè)云計(jì)算平臺(tái)，發(fā)揮云計(jì)算平臺(tái)的優(yōu)越性，為顧客提供HA功能，保證顧客業(yè)務(wù)系統(tǒng)的持續(xù)性

和高可用性，讓顧客的業(yè)務(wù)實(shí)現(xiàn)零宕機(jī)風(fēng)險(xiǎn)；提供專業(yè)的管理軟件，保證硬件系統(tǒng)和軟件系統(tǒng)時(shí)可管理性,

為顧客節(jié)省管理投資成本。

2.3設(shè)計(jì)原則

?兼容與互通

目前階段，整個(gè)云計(jì)算產(chǎn)業(yè)還不夠成熟，有關(guān)原則還不完善。為保證多廠商的良好兼容性，防止廠商

技術(shù)鎖定，方案的設(shè)計(jì)充足保證與第三方廠商設(shè)備保持良好的對(duì)接。此外，為保證方案的前瞻性，設(shè)備的

選型應(yīng)充足考慮對(duì)已經(jīng)有時(shí)云計(jì)算有關(guān)原則（如EVB/802.1Qbg等）的擴(kuò)展支持能力，保證良好的先進(jìn)

性，以適應(yīng)未來(lái)的技術(shù)發(fā)展。

?業(yè)務(wù)高可用

云計(jì)算平臺(tái)作為承載未來(lái)政務(wù)應(yīng)用的重要IT基礎(chǔ)設(shè)施，承擔(dān)著穩(wěn)定運(yùn)行和業(yè)務(wù)創(chuàng)新的重任。伴伴隨數(shù)

據(jù)與業(yè)務(wù)的集中，云計(jì)算平臺(tái)的建設(shè)及運(yùn)維給信息部門帶來(lái)了巨大的壓力，因此平臺(tái)的建設(shè)從基礎(chǔ)資源池

（計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)）、虛擬化平臺(tái)、云平臺(tái)等多種層面充足考慮業(yè)務(wù)的高可用，基礎(chǔ)單元出現(xiàn)故障后業(yè)

務(wù)應(yīng)用可以迅速進(jìn)行切換與遷移，顧客無(wú)感知，保證業(yè)務(wù)的持續(xù)性。

?統(tǒng)一管理與自動(dòng)化

云計(jì)算的最終目的是要實(shí)現(xiàn)系統(tǒng)時(shí)按需運(yùn)行，多種服務(wù)的開(kāi)通，而這依賴于對(duì)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源

的調(diào)度和分派，同步提供顧客管理、組織管理、工作流管理、自助P。什。I界面等。從顧客資源的申請(qǐng)、審

批到分派布署的智能化。管理系統(tǒng)不僅要實(shí)現(xiàn)對(duì)老式的物理資源和新的虛擬資源進(jìn)行管理，還要從全局而

非割裂地管理資源，因此統(tǒng)一管理與自動(dòng)化將成為必然趨勢(shì)。

?開(kāi)放接口

老式的管理系統(tǒng)與上層系統(tǒng)對(duì)接，重視故障的上報(bào)和信息的查詢。而云計(jì)算的管理系統(tǒng)更關(guān)注怎樣實(shí)

現(xiàn)自動(dòng)化的布署，在接口方面更關(guān)注資源調(diào)度和分派，這就需要管理系統(tǒng)在業(yè)務(wù)調(diào)度方面實(shí)現(xiàn)開(kāi)放。為保

證報(bào)務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等資源可以被云計(jì)算運(yùn)行平臺(tái)良好的調(diào)度與管理，規(guī)定系統(tǒng)提供開(kāi)放的API接口，

云計(jì)算運(yùn)行管理平臺(tái)可以通過(guò)API接口、命令行腳本實(shí)現(xiàn)對(duì)設(shè)備的配置與方略下發(fā)聯(lián)動(dòng)。同步云平臺(tái)也提

供開(kāi)放的API接口，未來(lái)可以基礎(chǔ)這些接口進(jìn)行二次定制開(kāi)放，將云管理平臺(tái)與教育網(wǎng)應(yīng)用相融合，實(shí)現(xiàn)

面向云計(jì)算的I教育應(yīng)用管理平臺(tái)。

2.4建設(shè)模式分析

在信息化發(fā)展加速的今天，小企業(yè)開(kāi)始建立自己的信息系統(tǒng)，通過(guò)租賃云計(jì)算數(shù)據(jù)中心可以投資，并

以少許的專業(yè)IT人員實(shí)現(xiàn)信息化，但對(duì)于具有成熟應(yīng)用是大中型企業(yè)機(jī)構(gòu)，租賃數(shù)據(jù)中心究竟需要依賴于

第三方機(jī)構(gòu)，業(yè)務(wù)布署靈活性較差，安全性無(wú)法得到有效保證。因此，提議基于自身業(yè)務(wù)和發(fā)展目的，整

體規(guī)劃、分步實(shí)行、統(tǒng)籌協(xié)調(diào)，進(jìn)行云計(jì)算平臺(tái)的自建，以充足保證應(yīng)用系統(tǒng)支撐平臺(tái)的可靠性和安全性。

自建云計(jì)算數(shù)據(jù)中心：顧客可以根據(jù)自身業(yè)務(wù)需要，定制化的建設(shè)適合自身業(yè)務(wù)承載平臺(tái)，從基礎(chǔ)承

載網(wǎng)、計(jì)算資源、存儲(chǔ)資源和業(yè)務(wù)系統(tǒng)等多方面得到精確控制，保證平臺(tái)的高可靠性和高性能；也可基于

自身業(yè)務(wù)出發(fā)，開(kāi)發(fā)出支撐新業(yè)務(wù)的應(yīng)用系統(tǒng)，通過(guò)資源的自動(dòng)調(diào)度，滿足多種業(yè)務(wù)上線測(cè)試的需求。

租賃云計(jì)算數(shù)據(jù)中心：可以減少初期投資與運(yùn)行成本，減少風(fēng)險(xiǎn)。顧客不必進(jìn)行硬件的基礎(chǔ)投資和購(gòu)

置昂貴的軟件版權(quán)，只需根據(jù)需求租賃對(duì)應(yīng)的硬件、軟件，并杈據(jù)使用狀況來(lái)付費(fèi)。

兩種模式對(duì)例如下:

自建租賃

總體投資同等同等

初期投資較多較少

建設(shè)模式自主設(shè)計(jì)、自主建設(shè)租賃既有的基礎(chǔ)設(shè)施

基礎(chǔ)設(shè)施管理自主管理依賴于第三方

可靠性可靠較為可靠

安全性安全較為安全

申請(qǐng)擴(kuò)展，受限于第三方響應(yīng)

擴(kuò)展性根據(jù)自身業(yè)務(wù)發(fā)展，靈活擴(kuò)展

能力

不靈活，受限于第三方基礎(chǔ)設(shè)

靈活性靈活，根據(jù)自身業(yè)務(wù)靈活調(diào)整業(yè)務(wù)布署

施模型

維護(hù)工作量較大，既要維護(hù)基礎(chǔ)平臺(tái)：又要維護(hù)只需維護(hù)業(yè)務(wù)系統(tǒng)，基礎(chǔ)設(shè)施

維護(hù)

業(yè)務(wù)系統(tǒng)維護(hù)由第三方完畢

從以上對(duì)比來(lái)看，提議自建智慧校園的云計(jì)算平臺(tái)。

3智慧校園云計(jì)算平臺(tái)設(shè)計(jì)

3.1整體架構(gòu)設(shè)計(jì)

根據(jù)本期工程的需求和建設(shè)目的，保持xx學(xué)院校園網(wǎng)整體拓?fù)浠静蛔?，在整合既有資源的基礎(chǔ)上,

新建云計(jì)算平臺(tái)，拉通后臺(tái)資源，實(shí)現(xiàn)統(tǒng)一管理，構(gòu)建立體的安全防護(hù)體系，為智慧校園應(yīng)用提供堅(jiān)實(shí)的

基礎(chǔ)IOQS平臺(tái)。

下圖為整合之后的智慧校園IT整體架構(gòu)：

石同網(wǎng)核心2<7600

校向

圖4整體處理方案拓?fù)鋱D

XX學(xué)院的laaS云平臺(tái)總體邏輯拓?fù)錁?gòu)造如下圖所示。整個(gè)平臺(tái)由計(jì)算資源池、網(wǎng)絡(luò)資源池、存儲(chǔ)資

源池、安全資源池、虛擬化平臺(tái)知云管理平臺(tái)六個(gè)部分構(gòu)成，物理組網(wǎng)拓?fù)淙缦?

圖5laaS云平臺(tái)組網(wǎng)拓?fù)鋱D

3.2計(jì)算資源池設(shè)計(jì)

服務(wù)器是云計(jì)算平臺(tái)的關(guān)鍵，其承擔(dān)著云計(jì)算平臺(tái)的“計(jì)算”功能。對(duì)于云計(jì)算平臺(tái)上的服務(wù)器，一

般都是將相似或者相似類型的服務(wù)器組合在一起，作為資源分派的母體，即所謂的計(jì)算資源池。在這個(gè)計(jì)

算資源池上，再安裝虛擬化軟件，使得其計(jì)算資源能以虛擬機(jī)的方式被不一樣時(shí)應(yīng)用使用。

本次云平臺(tái)新增的計(jì)算資源池提議采用HP/H3C最新技術(shù)內(nèi)BladeSystem刀片式服務(wù)器，每臺(tái)10U

高的C8000刀片機(jī)箱中可以集中布署8片高性能的兩路刀片服務(wù)器B260或布署16片高密雙路刀片，用

于集中布署虛擬化資源。C8000還帶有一種共享的5TB/S高速NonStop中央背板，可將刀片服務(wù)器輕松

連接到網(wǎng)絡(luò)和共享存儲(chǔ)。電源由一種集中的電源背板提供，以保證所有刀片服務(wù)器都能獲得它們所需的電

能，在實(shí)現(xiàn)冗余的同步提供最高的配置靈活性。

刀片系統(tǒng)C8000機(jī)箱可提供模塊化服務(wù)器、互連和存儲(chǔ)組件目前和未來(lái)幾年所需的電力、散熱能力及

I/O基礎(chǔ)設(shè)施。該機(jī)柜10U高，可容納16臺(tái)服務(wù)器和/或存儲(chǔ)刀片，以及可選的冗余網(wǎng)絡(luò)和存諸互連模塊。

它包括一種共享的每秒5TB高速NonStop中間板，可將刀片服務(wù)器一次性連接到網(wǎng)絡(luò)和共享存儲(chǔ)設(shè)備。

電源通過(guò)一種集中電源的背板提供，保證所有刀片服務(wù)器都能使用所有的電源，從而獲得最大的靈活性和

冗余?？伸`活選擇單相、三相交流電和一48伏直流電輸入。

C8000機(jī)箱H3C

前端視圖刀片存情

全新的“刀片”與情解決方案慎

式

出蚊管理器集或電溟

InsightDisplay筒化配置.提高效率

田國(guó)即可的窗革安裝W同的靈活性、容量租月余專也

C8000機(jī)箱-完全冗余HBC

后端視圖

有愚散熱風(fēng)扇

冗會(huì)風(fēng)扇設(shè)計(jì)

互連弓?

4個(gè)冗余互連結(jié)構(gòu)

答人刀片服務(wù)罵的冗余連接

板截譽(yù)建器和中司背板

冗會(huì)主動(dòng)/板動(dòng)設(shè)計(jì)

中閏背板完全冗余(無(wú)主動(dòng)式俎件)

兩人0A都可發(fā)生故障，司機(jī)箱持統(tǒng)運(yùn)行!

與源管理

AC元余(3+3電源)

一人完莖的心i僅等要3個(gè)PS

可選擇羊年/三W

刀片Server采用FlexServerB260全新高密度服務(wù)器，可在單倍寬度和全高外形提供兩路性能和功

能，F(xiàn)lexServerB260刀片服務(wù)器支持客戶整合服務(wù)器及重新規(guī)劃寶貴的機(jī)柜空間，深入緩和了數(shù)據(jù)中心

的服務(wù)器數(shù)量激增并減少了總體擁有成本(TCO)。FlexServerB260服務(wù)器系列是虛擬化、數(shù)據(jù)庫(kù)、業(yè)務(wù)處

理、決策支持、高性能計(jì)算(HPC)和一般兩路數(shù)據(jù)密集型應(yīng)用的理想選擇，在這些情形中，數(shù)據(jù)中心的空

間效率和性價(jià)比都非常重要。支持高密度和經(jīng)濟(jì)高效的英特爾?至強(qiáng)?5500或5600系列處理器，

FlexServerB260服務(wù)器具杰出的性能、可升級(jí)和可擴(kuò)展性，成為數(shù)據(jù)中心計(jì)算的原則。可在一種半高刀

片內(nèi),插入2個(gè)處理器、2個(gè)熱插拔硬盤、384GB內(nèi)存以及1個(gè)雙端口FlexFobric適配器，同步支持IT經(jīng)

理通過(guò)單一平臺(tái)，處理多種業(yè)務(wù)應(yīng)用。

?高達(dá)2個(gè)雙核、4核或6核英特爾?至強(qiáng)?5500或5600系列處理器

?12個(gè)DIMM插槽，支持帶有高級(jí)ECC功能的384GBDDR-3內(nèi)存

?用于硬件RAIDO和1的惠普智能陣列P410i控制器，可以運(yùn)用可選的高速緩存模塊提高設(shè)備性

能

?多達(dá)兩(2)塊小型(SFF)SAS、SATA或SSD熱插拔硬盤

?內(nèi)置USB和SD卡插槽支持簡(jiǎn)樸、靈活的管理程序布署

?嵌入式雙端口lOGbFlexFobric適配器，可滿足網(wǎng)絡(luò)密集型應(yīng)用程序的高帶寬規(guī)定

?通過(guò)同一靈活連接，融合局域網(wǎng)和存儲(chǔ)區(qū)域網(wǎng)的流量，簡(jiǎn)化管理，減少基礎(chǔ)設(shè)施成本

?多達(dá)八⑻個(gè)到網(wǎng)絡(luò)和存儲(chǔ)設(shè)備的連接，無(wú)需附加夾層卡

?分派和調(diào)整網(wǎng)絡(luò)和存儲(chǔ)帶寬，以滿足應(yīng)用程序需求

3.3存儲(chǔ)資源池設(shè)計(jì)

H3CCAS云計(jì)算管理平臺(tái)中的存儲(chǔ)用于保留虛擬機(jī)的操作系統(tǒng)、應(yīng)用程序文獻(xiàn)、配置文獻(xiàn)以及與活動(dòng)

有關(guān)的其他數(shù)據(jù)，是虛擬機(jī)正常工作時(shí)基本前提條件。

根據(jù)存儲(chǔ)的種類不一樣，可以分為當(dāng)?shù)卮鎯?chǔ)和共享存儲(chǔ)兩和。

>在布署了H3CCAS云計(jì)算管理平臺(tái)，并將主機(jī)作為被管理資源對(duì)象添加到H3CCAS云計(jì)算管

理平臺(tái)之后，該主機(jī)默認(rèn)使用當(dāng)?shù)卮疟P介質(zhì)作為存儲(chǔ)，其他主機(jī)不能使用。

>在數(shù)據(jù)中心中，諸多顧客選擇使用共享存儲(chǔ)來(lái)承載虛擬機(jī)及其數(shù)據(jù)，目前，H3CCAS云計(jì)算管理

平臺(tái)支持IPSAN和FCSAN等類型的存儲(chǔ)。

采用共享存儲(chǔ)的好處是：

>共享存儲(chǔ)往往比當(dāng)?shù)卮鎯?chǔ)提供更好的I/C?性能(尤其在多虛擬機(jī)環(huán)境下)o

>H3CCAS云計(jì)算管理平臺(tái)中時(shí)在線遷移和高可用性功能需要共享存儲(chǔ)作為先決條件，例如HA和

動(dòng)態(tài)資源調(diào)整等。

H3CCAS管理平臺(tái)中的虛擬機(jī)文獻(xiàn)系統(tǒng)是一種優(yōu)化后的高性能集群文獻(xiàn)系統(tǒng)，容許多種云計(jì)算節(jié)點(diǎn)同

步訪問(wèn)同一虛擬機(jī)存儲(chǔ)。由于虛擬架構(gòu)系統(tǒng)中的虛擬機(jī)實(shí)際上是被封裝成了一種檔案文獻(xiàn)和若干有關(guān)環(huán)境

配置文獻(xiàn)，通過(guò)將這些文獻(xiàn)放在SAN存儲(chǔ)陣列上的文獻(xiàn)系統(tǒng)中，可以讓不一樣服務(wù)器上的虛擬機(jī)都可以

訪句到該文獻(xiàn)，從而消除了單點(diǎn)故障。

為了實(shí)現(xiàn)數(shù)據(jù)的集中存儲(chǔ)、集中備份以及充足運(yùn)用H3cCAS虛擬架構(gòu)中虛擬機(jī)可動(dòng)態(tài)在線從一臺(tái)物

理服務(wù)器遷移到另一臺(tái)物理服務(wù)器上的特性等，在存儲(chǔ)區(qū)配置I套HPP4500G2SAN,同步配置冗余的

存情接入互換機(jī)，構(gòu)成原則的IP3AN集中存儲(chǔ)架構(gòu)。

采用1臺(tái)HPP4500G2SAN存儲(chǔ)陣列，統(tǒng)一寄存虛擬機(jī)鏡像文獻(xiàn)和業(yè)務(wù)系統(tǒng)數(shù)據(jù)，這樣做不會(huì)在運(yùn)

行虛擬機(jī)的云計(jì)算計(jì)算節(jié)點(diǎn)主機(jī)上引起任何額外的負(fù)載。

圖6存儲(chǔ)資源池設(shè)計(jì)

3.4網(wǎng)絡(luò)資源池設(shè)計(jì)

3.4.1設(shè)計(jì)要點(diǎn)

云計(jì)算數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)是云業(yè)務(wù)數(shù)據(jù)的傳播通道，將數(shù)據(jù)的計(jì)算和數(shù)據(jù)存儲(chǔ)有機(jī)的結(jié)合在一起。為

保證云業(yè)務(wù)的高可用、易擴(kuò)展、易管理，云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)關(guān)重視點(diǎn)如下：

?高可用性

網(wǎng)絡(luò)的高可用是業(yè)務(wù)高可用的基本保證，在網(wǎng)絡(luò)整體設(shè)計(jì)和設(shè)備配置上均是按照雙備份規(guī)定設(shè)計(jì)的。

在網(wǎng)絡(luò)連接上消除單點(diǎn)故障，提供關(guān)鍵設(shè)備的故障切換。關(guān)鍵網(wǎng)絡(luò)設(shè)備之間的物理鏈路采用雙路冗余連接,

按照負(fù)載均衡方式或Qctive-octive方式工作。關(guān)鍵主機(jī)可采月雙路網(wǎng)卡來(lái)增長(zhǎng)可靠性。全冗余的方式使

系統(tǒng)到達(dá)99.999%的電信級(jí)可靠性。

基礎(chǔ)網(wǎng)絡(luò)從關(guān)鍵層到接入層均布署H3c的IRF2技術(shù)，可以實(shí)現(xiàn)數(shù)據(jù)中心級(jí)互換機(jī)的虛擬化，不僅網(wǎng)

絡(luò)容量可以平滑擴(kuò)展，更可以簡(jiǎn)化網(wǎng)絡(luò)拓?fù)錁?gòu)造，大大提高整網(wǎng)的可靠性，使得整網(wǎng)的保護(hù)倒換時(shí)間從本

來(lái)的5-10秒縮短到50ms以內(nèi)，到達(dá)電信級(jí)的可靠性規(guī)定。

作為未來(lái)網(wǎng)絡(luò)的關(guān)鍵，規(guī)定關(guān)鍵互換區(qū)設(shè)備具有高可靠性，優(yōu)先選用采用互換引擎與路由引擎物理分

離設(shè)計(jì)的設(shè)備,從而在硬件的體系構(gòu)造上到達(dá)數(shù)據(jù)中心級(jí)的高可靠性。本次項(xiàng)目關(guān)鍵設(shè)備采用H3CS12500

數(shù)據(jù)中心級(jí)關(guān)鍵互換機(jī)、接入設(shè)備采用H3cS5820V2數(shù)據(jù)中心級(jí)接入互換機(jī)，設(shè)備組件層面充足保證高

可靠。如下圖所示:

電源橫塊

最多配省6塊

業(yè)務(wù)單扳-

最多配置8塊

機(jī)箱進(jìn)風(fēng)口

?控制平面與轉(zhuǎn)發(fā)平面物理分離，主控板與交換網(wǎng)板物理分離

?大二層網(wǎng)絡(luò)布署

云計(jì)算數(shù)據(jù)中心內(nèi)服務(wù)器虛擬化已是一種趨勢(shì)，而虛擬機(jī)的遷移則是一種必然，目前業(yè)內(nèi)的幾種虛擬

化軟件要做到熱遷移時(shí)都是均需要二層網(wǎng)絡(luò)的支撐，伴隨未來(lái)計(jì)算資源池的不停擴(kuò)展，二層網(wǎng)絡(luò)的范圍也

將司步擴(kuò)大，甚至需要跨數(shù)據(jù)中心布署大二層網(wǎng)絡(luò)。大規(guī)模部暑二層網(wǎng)絡(luò)則帶來(lái)一種必然的問(wèn)題就是二層

環(huán)路問(wèn)題，而老式處理二層網(wǎng)絡(luò)環(huán)路問(wèn)題的STP協(xié)議無(wú)法滿足云計(jì)算數(shù)據(jù)中心所規(guī)定的快收斂，同步會(huì)帶

來(lái)協(xié)議布署及運(yùn)維管理的復(fù)雜度增長(zhǎng)。

本次方案中通過(guò)布署H3CIRF2虛擬化技術(shù)實(shí)現(xiàn)兩臺(tái)或多臺(tái)同一層物理互換機(jī)虛擬成一臺(tái)邏輯設(shè)備，

通過(guò)跨設(shè)備鏈路捆綁實(shí)現(xiàn)關(guān)鍵和接入的點(diǎn)對(duì)點(diǎn)互聯(lián)，消除二層網(wǎng)絡(luò)的環(huán)路，這樣就直接防止了在網(wǎng)絡(luò)中部

暑STP,同步對(duì)于關(guān)鍵的兩臺(tái)設(shè)售虛擬化為一臺(tái)邏輯設(shè)備之后，網(wǎng)關(guān)也將變成一種，無(wú)需布署老式的VRRP

協(xié)議。在管理層面，通IRF2多虛一之后，管理的設(shè)備數(shù)量減少二分之一以上，對(duì)于本項(xiàng)目，管理點(diǎn)只有

關(guān)鍵和接入兩臺(tái)設(shè)備，網(wǎng)絡(luò)管理大幅度簡(jiǎn)化。如下圖所示:

傳統(tǒng)組網(wǎng)部署IRF2后

?網(wǎng)絡(luò)安全融合

云計(jì)算將所有資源進(jìn)行虛擬化，從物理上存在多種顧客訪問(wèn)同一種物理資源的問(wèn)題，那么怎樣保證顧

客訪問(wèn)以及后臺(tái)物理資源的安全隔離就成為了一種必須考慮的問(wèn)題。另首先由于網(wǎng)絡(luò)變成了一種大的二層

網(wǎng)絡(luò)；此前的各個(gè)業(yè)務(wù)系統(tǒng)分而治之，各個(gè)業(yè)務(wù)系統(tǒng)都是在硬件方面進(jìn)行了隔離，在每個(gè)系統(tǒng)之間做安全

的防護(hù)可以保證安全的訪問(wèn)。因比在云計(jì)算環(huán)境下，所有的業(yè)務(wù)和顧客的資源在物理上是融合的，這樣就

需要通過(guò)在網(wǎng)關(guān)層布署防火墻的設(shè)備，同步啟動(dòng)虛擬防火墻的功能，為每個(gè)業(yè)務(wù)進(jìn)行安全的隔離和方略的

布署。

在老式的數(shù)據(jù)中心網(wǎng)絡(luò)安全布署時(shí)，往往是網(wǎng)絡(luò)與安全各自為戰(zhàn)，在網(wǎng)絡(luò)邊界或關(guān)鍵節(jié)點(diǎn)串接安全設(shè)

備;如FW、IPS、LB等）。伴隨數(shù)據(jù)中心布署的安全設(shè)備的種類和數(shù)量也越來(lái)越多，這將導(dǎo)致數(shù)據(jù)中心機(jī)房

布線、空間、能耗、運(yùn)維管理等成本越來(lái)越高。本次方案中采用了H3CSecBlade安全插卡可直接插在

H3c互換機(jī)的業(yè)務(wù)槽位，通過(guò)互換機(jī)背板互連實(shí)現(xiàn)流量轉(zhuǎn)發(fā)，共用互換機(jī)電源、風(fēng)扇等基礎(chǔ)部件。融合布

署除了簡(jiǎn)化機(jī)房布線、節(jié)省機(jī)架空間、簡(jiǎn)化管理之外，還具有如下長(zhǎng)處：

>互連帶寬高。SecBlode系列安全插卡采用背板總線與互換機(jī)進(jìn)行互連，背板總線帶寬一般可超

過(guò)40Gbps,相比老式內(nèi)獨(dú)立安全設(shè)備采用一般千兆以太網(wǎng)接口進(jìn)行互連，在互連帶寬上有了很

大的提高，并且無(wú)需增長(zhǎng)布線、光纖和光模塊成本。

>業(yè)務(wù)接口靈活。SecBlade系列安全插卡上不對(duì)外提供業(yè)務(wù)接口（僅提供配置管理接口），當(dāng)互換

機(jī)上插有SecBlode安全插卡時(shí)，互換機(jī)上原有的所有業(yè)務(wù)接口均可配置為安全業(yè)務(wù)接口。此時(shí)

再也無(wú)需緊張安全業(yè)務(wù)接口不夠而帶來(lái)網(wǎng)絡(luò)安全布署的局限性。

>性能平滑擴(kuò)展。當(dāng)一臺(tái)互換機(jī)上的一塊SecBlode安全插卡的性能不夠時(shí)，可以再插入一塊或多

塊becBlode插卡實(shí)現(xiàn)性能的平滑疊加。并且所有SecBlode插卡均支持熱插拔，在進(jìn)行擴(kuò)展時(shí)

無(wú)需停機(jī)中斷既有的業(yè)務(wù)。

3.4.2組網(wǎng)架構(gòu)

本次項(xiàng)目基礎(chǔ)網(wǎng)絡(luò)采用“扁平化”設(shè)計(jì)，關(guān)鍵層直接下聯(lián)接入層，省去了中間匯聚層。伴隨網(wǎng)絡(luò)互換

技術(shù)的不停發(fā)展，互換機(jī)的端口受入密度也越來(lái)越高，“扁平化”組網(wǎng)的擴(kuò)展性和密度已經(jīng)可以很好的滿

足XX學(xué)院IQQS云平臺(tái)服務(wù)器接入的規(guī)定。同步在服務(wù)器虛擬化技術(shù)應(yīng)用越來(lái)越廣泛的趨勢(shì)下，扁平化二

層架構(gòu)更輕易實(shí)現(xiàn)VLAN的大二層互通，滿足虛擬機(jī)的布署和遷移。相比老式三層架構(gòu)，扁平化二層架構(gòu)

可以大大簡(jiǎn)化網(wǎng)絡(luò)時(shí)運(yùn)維與管理。

基礎(chǔ)網(wǎng)絡(luò)平臺(tái)組織構(gòu)造如下圖所示:

管理計(jì)JI/存儲(chǔ)

/心資源池資源池

>網(wǎng)絡(luò)的I二、三層邊界在關(guān)鍵層，安全布署在關(guān)鍵層；

>關(guān)鍵與接入層之間采用二層進(jìn)行互聯(lián)，實(shí)現(xiàn)大二層組網(wǎng)，在接入層構(gòu)建計(jì)算和存儲(chǔ)資源池，滿足

資源池內(nèi)虛擬機(jī)可在任意位置的物理服務(wù)器上遷移與集群。

>采用2臺(tái)S12508構(gòu)建關(guān)鍵層，分別通過(guò)10GE鏈路與接入層、管理網(wǎng)互換機(jī)、校園網(wǎng)關(guān)鍵互連,

未來(lái)此關(guān)鍵層將逐漸演變成整網(wǎng)大關(guān)鍵，兩臺(tái)關(guān)鍵互換機(jī)布署IRF虛擬化。

>服務(wù)器區(qū)和存儲(chǔ)區(qū)接入層分別采用2臺(tái)2臺(tái)$5820V2,每臺(tái)接入互換機(jī)與關(guān)鍵互換機(jī)采用10GE

鏈路交叉互連，每個(gè)區(qū)的兩臺(tái)接入互換機(jī)布署IRF虛擬化，與關(guān)鍵互換機(jī)實(shí)現(xiàn)跨設(shè)等鏈路捆綁，

消除二層環(huán)路，并實(shí)現(xiàn)鏈路負(fù)載分擔(dān)。

>利舊服務(wù)器區(qū)接入層利舊老接入互換機(jī)，通過(guò)萬(wàn)兆鏈路與云平臺(tái)關(guān)鍵互聯(lián)。

分層分區(qū)設(shè)計(jì)思緒：根據(jù)業(yè)務(wù)進(jìn)行分區(qū)，提成計(jì)算區(qū)、存儲(chǔ)區(qū)和管理區(qū)。計(jì)算、存儲(chǔ)區(qū)域內(nèi)二層互通,

區(qū)域間VLAN隔離；根據(jù)每層工作特點(diǎn)分為關(guān)鍵層和接入層，網(wǎng)關(guān)布署在關(guān)鍵層。

3.4.3關(guān)鍵互換系統(tǒng)

關(guān)鍵層由兩臺(tái)H3csi2508溝建，負(fù)責(zé)整個(gè)云計(jì)算平臺(tái)上應(yīng)用業(yè)務(wù)數(shù)據(jù)的高速互換。關(guān)鋌互換機(jī)間及

與報(bào)務(wù)器接入互換機(jī)、管理區(qū)接入互換機(jī)、校園網(wǎng)關(guān)鍵互換機(jī)間均采用萬(wàn)兆接口捆綁互聯(lián)。關(guān)鍵互換機(jī)上

布署2-7層的安全插卡，實(shí)現(xiàn)云計(jì)算業(yè)務(wù)的安全防護(hù)與流量分析。

H3CS12500是中國(guó)國(guó)內(nèi)第一款100G平臺(tái)互換機(jī)，支持未來(lái)40GE和100GE以太網(wǎng)原則，采用先

進(jìn)的CLOS多級(jí)多平面互換架構(gòu)，獨(dú)立的互換網(wǎng)板卡，控制引擎和互換網(wǎng)板硬件互相獨(dú)立，最大程度的提

高設(shè)備可靠性，同步為后續(xù)產(chǎn)品帶寬的持續(xù)升級(jí)提供保證；整機(jī)可以提供576個(gè)萬(wàn)兆端口，提供高密度萬(wàn)

兆接入能力；面對(duì)下一代數(shù)據(jù)中心突發(fā)流量，創(chuàng)新時(shí)采用了“分布式人口緩存”技術(shù)，可以實(shí)現(xiàn)數(shù)據(jù)200ms

緩存，滿足數(shù)據(jù)中心、高性能計(jì)算等網(wǎng)絡(luò)突發(fā)流量的規(guī)定；為了滿足數(shù)據(jù)中心級(jí)網(wǎng)絡(luò)高可靠、高可用、虛

擬化的規(guī)定，S12500采用創(chuàng)新IRF2（第二代智能彈性架構(gòu)）設(shè)計(jì)，將多臺(tái)高端設(shè)備虛擬化為一臺(tái)邏輯設(shè)

備，同步支持獨(dú)立的控制引擎、檢測(cè)引擎、維護(hù)引擎，為系統(tǒng)提供強(qiáng)大的控制能力和50ms的高可靠保障。

兩臺(tái)S12508布署IRF2虛擬化技術(shù)，簡(jiǎn)化路由協(xié)議運(yùn)行狀態(tài)與運(yùn)維管理，同步大大縮短設(shè)備及鏈路出

現(xiàn)故障迅速切換，防止網(wǎng)絡(luò)震蕩。IRF2互聯(lián)鏈路采用2*10GE捆綁，保證高可靠及橫向互訪高帶寬。

3.4.4服務(wù)器與存儲(chǔ)接入

采用兩臺(tái)H3cs5820V2萬(wàn)兆互換機(jī)，負(fù)責(zé)服務(wù)器網(wǎng)絡(luò)接入，服務(wù)器配置雙網(wǎng)卡4個(gè)千兆接口，其中

兩個(gè)千兆接口捆綁做業(yè)務(wù)流接口；并負(fù)責(zé)存儲(chǔ)設(shè)備的網(wǎng)絡(luò)接入，iSCSI存儲(chǔ)設(shè)備的網(wǎng)絡(luò)接入采用萬(wàn)兆鏈路,

接入互換機(jī)上對(duì)應(yīng)的端口工作在萬(wàn)兆模式。

S5820V2系列互換機(jī)定位于下一代數(shù)據(jù)中心及云計(jì)算網(wǎng)絡(luò)中的高密萬(wàn)兆接入，采用業(yè)界先進(jìn)的硬件設(shè)

計(jì)，最強(qiáng)的端口報(bào)文緩存能力，并支持豐富的數(shù)據(jù)中心特性，同步模塊化的雙電源、雙風(fēng)扇(前后/后前

風(fēng)道)設(shè)計(jì)大幅提高設(shè)備的可靠性；針對(duì)于數(shù)據(jù)中心大流量數(shù)據(jù)無(wú)阻塞傳播的規(guī)定，S5820V2互換機(jī)采

用了專用的報(bào)文緩存芯片以提供理大的緩存能力，整機(jī)支持3GB數(shù)據(jù)報(bào)文緩存，配合先進(jìn)的緩存調(diào)度機(jī)

制可以保證設(shè)備緩存能力有效運(yùn)用的最大化；S5820V2系列互換機(jī)支捋EVB(EdgeVirlualBridging),通

過(guò)VEPA(VirtualEthernetPortAggregot。。技術(shù)將虛擬機(jī)產(chǎn)生的網(wǎng)絡(luò)流量上傳至與服務(wù)器相連的物理

互換機(jī)進(jìn)行處理，不僅實(shí)現(xiàn)了虛擬機(jī)間流量轉(zhuǎn)發(fā)，同步還處理了虛擬機(jī)流量監(jiān)管、訪問(wèn)控制方略布署等問(wèn)

題;S5820V2系列互換機(jī)支持FCOE和TRILL(TransparentInterconnectionofLotsofLinks),容許LAN

和FCSAN的業(yè)務(wù)流量在同一種以太網(wǎng)中傳送，加緊了數(shù)據(jù)中心的整合步伐，并為構(gòu)建大二層數(shù)據(jù)中心網(wǎng)

絡(luò)提供了良好的技術(shù)路線。豐富的數(shù)據(jù)中心特性、增強(qiáng)的QOS能力同DCB(DataCenterBridging)

相結(jié)合，使得S5820V2系列互換機(jī)成為構(gòu)建未來(lái)數(shù)據(jù)中心網(wǎng)絡(luò)的理想選擇。

兩臺(tái)S5820V2之間分別布署IRF2虛擬化技術(shù)，通過(guò)跨設(shè)備鏈路捆綁消除二層環(huán)路、簡(jiǎn)化管理，同步

大大縮短設(shè)備及鏈路出現(xiàn)故障迅速切換，防止網(wǎng)絡(luò)震蕩。IRF2互聯(lián)鏈路采用2-0GE捆綁，保證高可靠及

橫向互訪高帶寬。

3.4.5虛擬機(jī)接入

在虛擬化服務(wù)器中，虛擬以入網(wǎng)互換機(jī)是一種比較特殊的設(shè)備，具有重要的作用。虛擬機(jī)是通過(guò)虛擬

互換機(jī)向外界提供服務(wù)的。在虛擬化的服務(wù)器中，每個(gè)虛擬機(jī)都變成了一臺(tái)獨(dú)立的邏輯服務(wù)器，它們之間

的通信通過(guò)網(wǎng)絡(luò)進(jìn)行。每個(gè)虛擬機(jī)被分派了一種虛擬網(wǎng)卡(不一樣的虛擬機(jī)網(wǎng)卡有不一樣MAC地址)。

為實(shí)現(xiàn)虛擬機(jī)之間以及虛擬機(jī)與外部網(wǎng)絡(luò)的通信，必須存在一種“虛擬以太網(wǎng)互換機(jī)”以實(shí)現(xiàn)報(bào)文轉(zhuǎn)發(fā)功

能，IEEE原則化組織將“虛擬以太網(wǎng)互換機(jī)”的正式英文名稱命名為“VirtualEthernetBridge",簡(jiǎn)稱

VEBo

在服務(wù)器上采用純軟件方式實(shí)現(xiàn)的VEB就是一般所說(shuō)的,Switch"。vSwitch是目前較為成熟的技術(shù)

方案。在一種虛擬化的服務(wù)器上，VMM為每個(gè)虛擬機(jī)創(chuàng)立一種虛擬網(wǎng)卡，每個(gè)虛擬網(wǎng)卡映射到vSwitch

的一種邏輯端口上，服務(wù)器的物理網(wǎng)卡對(duì)應(yīng)到vSwitch與外部物理互換機(jī)相連的上行邏輯端口上。

vSwitch的引入，給云計(jì)算數(shù)據(jù)中心的運(yùn)行帶來(lái)了如下兩大問(wèn)題：

(1)網(wǎng)絡(luò)界面的模糊

主機(jī)內(nèi)分布著大量的網(wǎng)絡(luò)功能部件vSwitch,這些vSwi