2024年1月8日发(作者：承星儿)

建设与应用云服务北师大：私有云重新定义IT资源交付模式文/鲁学亮 陈金焘云计算作为现在的一种新型的计算模式，它利用互联网技术把大量可扩展的与IT相关的能力作为一种服务来提供给多个用户[1]。目前高校的私有云平台大部分提供IAAS服务，但随着技术的成熟，服务将更加丰富，资源将会集成管理，付费按需分配的模式[2-3]。私有云服务具有动态分配存储、计算资源强大等优势，能够有效提高软硬件资源的利用率，成为高校信息化平台建设的必然趋势[4-5]。高校IT资源的分配管理经历了三个阶段：第一阶段是传统校园数据中心，主要特点是面向不同业务，各自独立建设软硬件系统，彼此独立，然后各单位托管自己的服务器到学校数据中心机房；第二阶段是服务器虚拟化，主要特点是通过服务器虚拟化解决了空间和资源利用率的问题，但资源申请、安全保障等工作复杂，人工管理和登记工作量巨大；第三阶段是校园私有云中心，主要特点是实现计算、网络、存储的完全虚拟化，通过上层云管理平台对资源进行统一管理，实现资源的按需申请和全生命周期管理。业务现状北京师范大学现有虚拟化平台（如图1所示）提供400余台虚拟机，由7台八路服务器，5台双路服务器和4台存储阵列以及2台虚拟化网关组成，平台能确保任何一台主机、存储出现问题的情况下不影响业务运行。目前平台主要面向学校院系、二级部处等部门，承载校园一卡通、78中国教育网络 2021.2-3分配管理1.资源无法设置有效期，部分虚拟机提供给测试业务使用，在测试完成后，虚拟机不再使用，没有及时关机或者停止虚拟机运行，导致资源浪费，形成大量“僵尸机”，平台没有很好的虚拟机管理机制，不能及时提醒使用者进行关机删除，长时间 图1 北师大虚拟化平台拓扑堆积的“僵尸机”无法识别。2.现有平台管理运维复杂，出现故障时不能及时发现，必须逐财务、教学和科研信息化等业务系统，支项排查相关设施，导致故障恢复时间大大持着学校453个网站和信息系统的运行。增加，业务运行受到极大影响。学校主页、信息门户、OA系统、学生管3.虚拟化计算资源和存储资源分散管理系统、组工、统一身份认证、校务数据理，无法进行联动，在计算资源或者是存管理系统、一卡通系统等都运行在该平台储资源进行调整时，业务也需要随之调整上。平台于2014开始建设，后续陆续增变动，导致管理和业务复杂度大大提升。加计算和存储资源。但随着业务规模的提4.校内各单位申请的资源数量需要管升，现有虚拟化平台在可提供资源类型和理员手动统计和记录，用户无法对使用资资源分配管理方面都存在不足。源情况进行统计和展示。资源类型针对以上不足和存在的问题，学校计1.现有平台无法满足部分数据库的业划建设统一的校级私有云平台，以实现计务以及PaaS开放平台业务的资源需求。算、存储、安全等资源的统一管理和调配，2.现有平台无法实现各个应用系统间最终达到按需分配、IT资源动态调整、资的动态差异化安全，业务系统安全级别达源可计量的建设目标，在规模上满足全校不到安全等保的要求。各部门的资源需求，为全校师生提供更便3.关键业务和非关键业务没有分区建利、更先进的服务，从而促进校园教学、设，并且关键业务没有做到高可用性，业科研和管理的信息化水平全面提升。务系统或者硬件平台出现故障后可能会导致业务不可用，恢复业务需要较长时间。4.现有平台不能提供诸如Java、PHP私有云平台现状等PaaS服务平台，满足不了部分院系科目前，市面上云厂商主要有Vmware、研和教学的需求。新华三、华为等公司，分别有以下特点。

Vmware使用闭源技术架构，对硬件设备以及云平台管理系统兼容性要求较高，采用闭源架构，与主流OpenStack在产品兼容性上存在疑问，初期建设成本较大，并且对运维工程师要求较高。华为云平台为自主研发的FusionSphere平台，可以对接主流的OpenStack，其计算资源虚拟化主要是基于Xen架构实现。新华三云管理平台基于开源OpenStack进行开发，可以基于主流OpenStack平台进行管理改造升级，底层计算资源虚拟化基于KVM架构，基于Linux内核实现，兼容主流的OpenStack，对主流的PaaS应用平台也能够提供较好的对接。私有云平台建设方案建设目标北京师范大学计划建设具有教育行业特色的场景化私有云平台，提供完善的IaaS/PaaS线上服务目录。向全校师生提供IAASPAASSAAS服务，包括虚拟机、数据库即服务、物理机即服务、应用服务和开发平台服务等多种类型的IT服务，助力科研、教学与管理。能够向前整合原有异构IT资源池统一纳管，如Vmware、现有服务器，充分利用旧的原有网络资源。构建高质量、按需横向扩展的计算和存储资源池。建设易于管理的管理运营平台，具备计费、回收、审批、监控等管理功能，建立便捷、高效的管理运维体系。具备扩展新网络、服务链等先进架构的能力，未来可发展成为云网安一体化数据中心，实现网络和安全资源按需分配，具有差异化动态安全的特性。具备结合大数据形成云计算和大数据一体化智慧校园的能力，通过对云中业务的海量数据进行挖掘和处理，支持校领导决策，提升教学、科研和管理的效率。校园私有云整体逻辑架构私有云IT基础设施采用OpenStack标准化技术路线建设，灵活扩展相应模块。整体分为五大部分，如图2所示。云服务建设与应用图2 私有云整体逻辑架构环境与硬件层的要求，提供云安全防护模块。云安全防护IT环境与硬件层一般包括运行私有云为平台提供全方位的安全防护，支持第三方平台所需的数据中心机房运行环境，如计安全厂商产品的接入，实现主机隔离、补丁算资源池、存储资源池、网络资源池、安下发、漏洞检测、漏洞防御等安全服务。全资源池等等。IT环境与硬件层整体构成5.运营管理模块了私有云平台的资源池部分。该模块实现与学校现有统一认证平台2.资源池控制层的对接，与校内门户信息实现单点登录，资源池控制层通过虚拟化技术，负责用户可自主申请资源，管理员可制定资源对底层硬件资源进行抽象、对底层硬件故管理的策略、计费方式、生命周期等。具障进行屏蔽，统一调度计算、存储、网络、备灵活的自主定制与开发。安全等资源。物理实现方案及设计3.云管理层根据学校现状和业务需求，本次建云管理层提供IaaS、PaaS和SaaS三设设计三个方面的设计，包括：云资源层云服务。池设计、云平台设计和云安全设计（如IaaS服务：提供IT环境的基础设施的图3所示）。软硬件环境，如：虚拟主机、存储、数据库、安全设施等，用户可以利用所有计算基础设施，能够部署和运行任意软件，包括操作系统和应用程序。IaaS层服务向PaaS层提供开放API接口调用。PaaS服务：支持统一的云应用框架、远程过程调用、数据库代理、消息处理、对象请求代理、事物处理、工作流、地理信息等通用功能中间件。SaaS服务：支持即开即用的软件服务，使得用户无须采购、图3 物理架构安装、维护独立软件，如网盘、办公软件、IT资源池设计通讯云、网站群等。包括组建云平台的各种硬件设施，分4.云安全服务模块为计算资源池、网络资源池、存储资源池按照信息系统安全等级保护三级对环境和安全资源池。2021.2-3中国教育网络

79

建设与应用云服务计算资源池：本次云平台的计算资源服务。具体而言，本次计划使用基于开源池的构建计划新增15台服务器，其中5KVM虚拟化模块的虚拟户平台。计算虚台服务器作为管理服务器，部署云管理平台拟化平台要考虑：资源利用率、成熟性、系统，实现对计算、网络、存储、安全资源可靠性、扩展性等。的统一管理和调配，其余10台服务器用作计2.云服务运营平台算资源，用于提供业务系统所需的计算资源。解决资源有效期控制、云资源使用情况存储资源池：本次云平台的计算存储分析展示、可视化运维等现有平台上存在的资源池的构建计划采用分布式存储架构，问题。云服务运营平台用于把虚拟化资源转服务器配置更高的内存（256G）和更大的换为面向用户的具体服务，即用户提交应用容量（每台20T用于存储），使用分布式和设置应用规则，由云服务运营平台来进行存储软件将数据存储在服务器上，不再单资源的统筹调度和日常管理，并确保应用的独购买存储设备，方便横向扩展。正常运行。要求该平台具备大规模资源管理网络资源池:本次云平台建设要求具能力和自动化运维管理能力。备可扩展至SDN新型网络架构的能力，服务层：要求通过统一的云服务门户，结合支持VXLAN的网络设备后，能够提为学校师生提供自动化的云资源服务，服供资源化的Overlay网络，通过SDN和务种类分为虚拟机、云网盘、虚拟防火墙、NFV技术，可向资源按需分配、动态化差虚拟负载均衡、云杀毒等服务，全校师生异安全扩展。通过统一云服务门户能够申请、使用和管安全资源池:本次建设要求云平台自理所申请的云资源。身带有安全性的设计，并具备纳管安全设管理层：要求分发给师生使用的虚拟备的能力，以满足后续的安全扩展要求。机能够展示和排行虚拟机的有效期，实现云平台设计对虚拟机的监控，并能够对过期的虚拟机主要包括虚拟化平台和云服务运营平台。有效回收。要求支持计费/不计费模式，在1.虚拟化平台计费模式中，管理员可以为所有云资源设虚拟化平台用于对IT硬件层资源进置费用单价。对于用户可以采用充值、缴行虚拟化，虚拟化后的资源能够在管理控费的模式，即给用户分配一定余额，用户制下按需分配，从而实现IaaS、PaaS等每使用一定的云资源，就扣除相应的费用。图4 资源监控80中国教育网络 2021.2-3学校业务流程设计用户申请私有云平台与学校统一身份认证系统、网上一站式办事大厅对接，所有学校教师均可登录网上一站式办事大厅并按自己的需求进行资源的申请。资源包括内存、CPU、硬盘、带宽、有效期等信息，申请单提交后，由信息网络中心云平台管理员根据用户需求进行审批，审批通过后，管理员通过模板为用户生成所需资源，用户获得所需资源。资源管理用户申请资源成功后，在有效期可以使用，用户登录平台可以查看资源的使用情况、有效期、计费情况等，有效期或者费用用尽，用户将无法访问资源，需要信息网络中心云平台管理员调整配置。资源统计云平台管理员可查看整个平台的资源使用情况，包括物理服务器的内存、CPU、硬盘等信息，如图4所示，可以按单位统计校内各单位资源使用情况等。管理员根据资源使用情况及时增加物理资源。校内二级单位可设置二级单位管理员，对本单位申请的所有资源进行统计查看。私有云平台在传统虚拟化的基础上搭建云管理系统，实现计算、存储、网络、安全的全面虚拟化。高校私有云平台将重新定义IT资源交付管理模式，实现用户对资源的按需申请、线上审批、精确计量、快速交付，大大提高了信息化管理人员的工作效率。（责编：郑艺龙）（作者单位为北京师范大学信息化建设办公室)　参考文献[1] 马麟等.高校信息化云平台服务的新发展_从私有云到公有云[J].中国教育信息化，91-93.[2] 张元龙.高校私有云平台的运维管理初探[J].学术论坛，2017:252-254.[3] 李明玉.高校私有云架构的探索和研究[J].福建电脑，2017(4):112-113.[4] 孙纳新.基于私有云的高校信息平台建设方案探索[J].电子测试,2015(15):65-67[5] 朱海涛.高校信息化建设过程中私有云的应用[J].电脑知识与技术,2015(11):240-241

2024年1月8日发(作者：承星儿)

建设与应用云服务北师大：私有云重新定义IT资源交付模式文/鲁学亮 陈金焘云计算作为现在的一种新型的计算模式，它利用互联网技术把大量可扩展的与IT相关的能力作为一种服务来提供给多个用户[1]。目前高校的私有云平台大部分提供IAAS服务，但随着技术的成熟，服务将更加丰富，资源将会集成管理，付费按需分配的模式[2-3]。私有云服务具有动态分配存储、计算资源强大等优势，能够有效提高软硬件资源的利用率，成为高校信息化平台建设的必然趋势[4-5]。高校IT资源的分配管理经历了三个阶段：第一阶段是传统校园数据中心，主要特点是面向不同业务，各自独立建设软硬件系统，彼此独立，然后各单位托管自己的服务器到学校数据中心机房；第二阶段是服务器虚拟化，主要特点是通过服务器虚拟化解决了空间和资源利用率的问题，但资源申请、安全保障等工作复杂，人工管理和登记工作量巨大；第三阶段是校园私有云中心，主要特点是实现计算、网络、存储的完全虚拟化，通过上层云管理平台对资源进行统一管理，实现资源的按需申请和全生命周期管理。业务现状北京师范大学现有虚拟化平台（如图1所示）提供400余台虚拟机，由7台八路服务器，5台双路服务器和4台存储阵列以及2台虚拟化网关组成，平台能确保任何一台主机、存储出现问题的情况下不影响业务运行。目前平台主要面向学校院系、二级部处等部门，承载校园一卡通、78中国教育网络 2021.2-3分配管理1.资源无法设置有效期，部分虚拟机提供给测试业务使用，在测试完成后，虚拟机不再使用，没有及时关机或者停止虚拟机运行，导致资源浪费，形成大量“僵尸机”，平台没有很好的虚拟机管理机制，不能及时提醒使用者进行关机删除，长时间 图1 北师大虚拟化平台拓扑堆积的“僵尸机”无法识别。2.现有平台管理运维复杂，出现故障时不能及时发现，必须逐财务、教学和科研信息化等业务系统，支项排查相关设施，导致故障恢复时间大大持着学校453个网站和信息系统的运行。增加，业务运行受到极大影响。学校主页、信息门户、OA系统、学生管3.虚拟化计算资源和存储资源分散管理系统、组工、统一身份认证、校务数据理，无法进行联动，在计算资源或者是存管理系统、一卡通系统等都运行在该平台储资源进行调整时，业务也需要随之调整上。平台于2014开始建设，后续陆续增变动，导致管理和业务复杂度大大提升。加计算和存储资源。但随着业务规模的提4.校内各单位申请的资源数量需要管升，现有虚拟化平台在可提供资源类型和理员手动统计和记录，用户无法对使用资资源分配管理方面都存在不足。源情况进行统计和展示。资源类型针对以上不足和存在的问题，学校计1.现有平台无法满足部分数据库的业划建设统一的校级私有云平台，以实现计务以及PaaS开放平台业务的资源需求。算、存储、安全等资源的统一管理和调配，2.现有平台无法实现各个应用系统间最终达到按需分配、IT资源动态调整、资的动态差异化安全，业务系统安全级别达源可计量的建设目标，在规模上满足全校不到安全等保的要求。各部门的资源需求，为全校师生提供更便3.关键业务和非关键业务没有分区建利、更先进的服务，从而促进校园教学、设，并且关键业务没有做到高可用性，业科研和管理的信息化水平全面提升。务系统或者硬件平台出现故障后可能会导致业务不可用，恢复业务需要较长时间。4.现有平台不能提供诸如Java、PHP私有云平台现状等PaaS服务平台，满足不了部分院系科目前，市面上云厂商主要有Vmware、研和教学的需求。新华三、华为等公司，分别有以下特点。

Vmware使用闭源技术架构，对硬件设备以及云平台管理系统兼容性要求较高，采用闭源架构，与主流OpenStack在产品兼容性上存在疑问，初期建设成本较大，并且对运维工程师要求较高。华为云平台为自主研发的FusionSphere平台，可以对接主流的OpenStack，其计算资源虚拟化主要是基于Xen架构实现。新华三云管理平台基于开源OpenStack进行开发，可以基于主流OpenStack平台进行管理改造升级，底层计算资源虚拟化基于KVM架构，基于Linux内核实现，兼容主流的OpenStack，对主流的PaaS应用平台也能够提供较好的对接。私有云平台建设方案建设目标北京师范大学计划建设具有教育行业特色的场景化私有云平台，提供完善的IaaS/PaaS线上服务目录。向全校师生提供IAASPAASSAAS服务，包括虚拟机、数据库即服务、物理机即服务、应用服务和开发平台服务等多种类型的IT服务，助力科研、教学与管理。能够向前整合原有异构IT资源池统一纳管，如Vmware、现有服务器，充分利用旧的原有网络资源。构建高质量、按需横向扩展的计算和存储资源池。建设易于管理的管理运营平台，具备计费、回收、审批、监控等管理功能，建立便捷、高效的管理运维体系。具备扩展新网络、服务链等先进架构的能力，未来可发展成为云网安一体化数据中心，实现网络和安全资源按需分配，具有差异化动态安全的特性。具备结合大数据形成云计算和大数据一体化智慧校园的能力，通过对云中业务的海量数据进行挖掘和处理，支持校领导决策，提升教学、科研和管理的效率。校园私有云整体逻辑架构私有云IT基础设施采用OpenStack标准化技术路线建设，灵活扩展相应模块。整体分为五大部分，如图2所示。云服务建设与应用图2 私有云整体逻辑架构环境与硬件层的要求，提供云安全防护模块。云安全防护IT环境与硬件层一般包括运行私有云为平台提供全方位的安全防护，支持第三方平台所需的数据中心机房运行环境，如计安全厂商产品的接入，实现主机隔离、补丁算资源池、存储资源池、网络资源池、安下发、漏洞检测、漏洞防御等安全服务。全资源池等等。IT环境与硬件层整体构成5.运营管理模块了私有云平台的资源池部分。该模块实现与学校现有统一认证平台2.资源池控制层的对接，与校内门户信息实现单点登录，资源池控制层通过虚拟化技术，负责用户可自主申请资源，管理员可制定资源对底层硬件资源进行抽象、对底层硬件故管理的策略、计费方式、生命周期等。具障进行屏蔽，统一调度计算、存储、网络、备灵活的自主定制与开发。安全等资源。物理实现方案及设计3.云管理层根据学校现状和业务需求，本次建云管理层提供IaaS、PaaS和SaaS三设设计三个方面的设计，包括：云资源层云服务。池设计、云平台设计和云安全设计（如IaaS服务：提供IT环境的基础设施的图3所示）。软硬件环境，如：虚拟主机、存储、数据库、安全设施等，用户可以利用所有计算基础设施，能够部署和运行任意软件，包括操作系统和应用程序。IaaS层服务向PaaS层提供开放API接口调用。PaaS服务：支持统一的云应用框架、远程过程调用、数据库代理、消息处理、对象请求代理、事物处理、工作流、地理信息等通用功能中间件。SaaS服务：支持即开即用的软件服务，使得用户无须采购、图3 物理架构安装、维护独立软件，如网盘、办公软件、IT资源池设计通讯云、网站群等。包括组建云平台的各种硬件设施，分4.云安全服务模块为计算资源池、网络资源池、存储资源池按照信息系统安全等级保护三级对环境和安全资源池。2021.2-3中国教育网络

79

建设与应用云服务计算资源池：本次云平台的计算资源服务。具体而言，本次计划使用基于开源池的构建计划新增15台服务器，其中5KVM虚拟化模块的虚拟户平台。计算虚台服务器作为管理服务器，部署云管理平台拟化平台要考虑：资源利用率、成熟性、系统，实现对计算、网络、存储、安全资源可靠性、扩展性等。的统一管理和调配，其余10台服务器用作计2.云服务运营平台算资源，用于提供业务系统所需的计算资源。解决资源有效期控制、云资源使用情况存储资源池：本次云平台的计算存储分析展示、可视化运维等现有平台上存在的资源池的构建计划采用分布式存储架构，问题。云服务运营平台用于把虚拟化资源转服务器配置更高的内存（256G）和更大的换为面向用户的具体服务，即用户提交应用容量（每台20T用于存储），使用分布式和设置应用规则，由云服务运营平台来进行存储软件将数据存储在服务器上，不再单资源的统筹调度和日常管理，并确保应用的独购买存储设备，方便横向扩展。正常运行。要求该平台具备大规模资源管理网络资源池:本次云平台建设要求具能力和自动化运维管理能力。备可扩展至SDN新型网络架构的能力，服务层：要求通过统一的云服务门户，结合支持VXLAN的网络设备后，能够提为学校师生提供自动化的云资源服务，服供资源化的Overlay网络，通过SDN和务种类分为虚拟机、云网盘、虚拟防火墙、NFV技术，可向资源按需分配、动态化差虚拟负载均衡、云杀毒等服务，全校师生异安全扩展。通过统一云服务门户能够申请、使用和管安全资源池:本次建设要求云平台自理所申请的云资源。身带有安全性的设计，并具备纳管安全设管理层：要求分发给师生使用的虚拟备的能力，以满足后续的安全扩展要求。机能够展示和排行虚拟机的有效期，实现云平台设计对虚拟机的监控，并能够对过期的虚拟机主要包括虚拟化平台和云服务运营平台。有效回收。要求支持计费/不计费模式，在1.虚拟化平台计费模式中，管理员可以为所有云资源设虚拟化平台用于对IT硬件层资源进置费用单价。对于用户可以采用充值、缴行虚拟化，虚拟化后的资源能够在管理控费的模式，即给用户分配一定余额，用户制下按需分配，从而实现IaaS、PaaS等每使用一定的云资源，就扣除相应的费用。图4 资源监控80中国教育网络 2021.2-3学校业务流程设计用户申请私有云平台与学校统一身份认证系统、网上一站式办事大厅对接，所有学校教师均可登录网上一站式办事大厅并按自己的需求进行资源的申请。资源包括内存、CPU、硬盘、带宽、有效期等信息，申请单提交后，由信息网络中心云平台管理员根据用户需求进行审批，审批通过后，管理员通过模板为用户生成所需资源，用户获得所需资源。资源管理用户申请资源成功后，在有效期可以使用，用户登录平台可以查看资源的使用情况、有效期、计费情况等，有效期或者费用用尽，用户将无法访问资源，需要信息网络中心云平台管理员调整配置。资源统计云平台管理员可查看整个平台的资源使用情况，包括物理服务器的内存、CPU、硬盘等信息，如图4所示，可以按单位统计校内各单位资源使用情况等。管理员根据资源使用情况及时增加物理资源。校内二级单位可设置二级单位管理员，对本单位申请的所有资源进行统计查看。私有云平台在传统虚拟化的基础上搭建云管理系统，实现计算、存储、网络、安全的全面虚拟化。高校私有云平台将重新定义IT资源交付管理模式，实现用户对资源的按需申请、线上审批、精确计量、快速交付，大大提高了信息化管理人员的工作效率。（责编：郑艺龙）（作者单位为北京师范大学信息化建设办公室)　参考文献[1] 马麟等.高校信息化云平台服务的新发展_从私有云到公有云[J].中国教育信息化，91-93.[2] 张元龙.高校私有云平台的运维管理初探[J].学术论坛，2017:252-254.[3] 李明玉.高校私有云架构的探索和研究[J].福建电脑，2017(4):112-113.[4] 孙纳新.基于私有云的高校信息平台建设方案探索[J].电子测试,2015(15):65-67[5] 朱海涛.高校信息化建设过程中私有云的应用[J].电脑知识与技术,2015(11):240-241