私有云建设方案.docx
《私有云建设方案.docx》由会员分享,可在线阅读,更多相关《私有云建设方案.docx(39页珍藏版)》请在冰点文库上搜索。
目录
1、 项目概述 3
2、 项目建设规划 5
2.1、 建设原则 5
2.2、 项目建设内容、思路及技术规划 5
2.3、 技术架构和路线介绍 7
2.3.1、 资源池化 7
2.3.2、 智能化云管理 8
3、 私有云总体建设方案 9
3.1、 建设原则 9
3.2、 总体设计方案 10
3.2.1、 逻辑架构 10
3.2.2、 网络架构(假设) 11
3.3、 云管理平台设计 13
3.3.1、 云管理平台系统架构 13
3.3.2、 云管理平台功能 15
3.3.3、 云管理平台设计 21
3.4、 虚拟化设计 25
3.4.1、 服务器虚拟化 25
3.4.2、 桌面虚拟化 26
3.5、 安全设计 30
3.6、 计算资源池设计 32
3.6.1、 计算资源池技术路线 32
3.6.2、 计算资源池设计 34
3.7、 存储资源池设计 34
3.7.1、 存储资源池技术路线 34
3.7.2、 存储资源池 36
3.8、 应用迁移及现有设备利旧 36
3.8.1、 应用迁移 37
3.8.2、 设备利旧 38
1、项目概述
云计算是一种IT资源的交付和使用模式,指通过网络(包括互联网Internet和企业内部网Intranet)以按需、易扩展的方式获得所需的软件、应用平台、及基础设施等资源。
云计算具有资源池化、弹性扩展、自助服务、按需付费、宽带接入等关键特征。
从部署和应用模式来讲,云计算分为公有云、私有云和混合云等。
云计算从服务模式上来讲主要包括基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)等内容。
IaaS是Infrastructure-as-a-Service(基础设施即服务)的建成,云计算中心可使用IaaS的模式将其资源提供给客户,通过虚拟化技术,虚拟数据中心可以将相应的物理资源虚拟为多个虚拟的数据中心,从而在用户一端看到一个个独立的,完整的数据中心(虚拟的),这些虚拟数据中心可以由用户发起申请和维护,同时,这些虚拟数据中心还具有不同的资源占用级别,从而保证不同的用户具有不一样的资源使用优先级。
PaaS是Platform-as-a-Service(平台即服务)的简称,PaaS能给客户带来更灵活、更个性化的服务,这包括但不仅限于中间件作为服务、消息传递作为服务、集成作为服务、信息作为服务、连接性作为服务等。
此处的服务主要是为了支持应用程序。
这些应用程序可以运行在云中,并且可以运行在更加传统的企业数据中心中。
为了实现云内所需的可扩展性,此处提供的不同服务经常被虚拟化。
PaaS厂商也吸引软件开发商在PaaS平台上开发、运行并销售在线软件。
SaaS是Software-as-a-Service(软件即服务)的简称,一种通过Internet提供软件的模式,厂商将应用软件统一部署在自己的服务器上,客户可以根据自己实际需求,通过互联网向厂商定购所需的应用软件服务,按定购的服务多少和时间长短向厂商支付费用,并通过互联网获得厂商提供的服务。
本次项目为的私有云项目,目标为搭建完成一个面向于内部使用的私有云环境,将各应用系统移植到该私有云上,实现资源的有效利用、动态分配、灵活扩展和统一管理。
本方案的写作目的为明确建设所需资源、实现步骤及最终呈现。
本方案落地实施后,将完成以下几方面任务:
(1)打破IT资源孤立情况,提高资源利用率
²各业务系统拥有独立的硬件设施被统一管理,形成大的资源池;
²资源被统一调度,打破同一时段,某些业务系统较空闲造成资源闲置,另外一些系统因业务繁忙,设备超负荷工作的现状;
²任何时候都可以及时满足各种变化的业务需求,实现按需服务。
(2)使运维管理更加容易
²随着系统数量的不断增长,运维管理的难度比传统模式简单,成本更低;
²新平台使得对各种资源和系统的监控和管理更加有效;
²维护人员工作负担减小,工作效率有效提高。
(3)提升关键业务系统硬件处理能力
²业务应用在遇到性能瓶颈时能动态调整;
²核心业务系统建设较早的设备,在云计算支撑平台上能够得到充分利用,以满足迅速增长的业务需求
2、项目建设规划
2.1、建设原则
项目建设遵循如下几个原则:
(1)自主可控原则
本次的建设建议采用自主可控技术搭建私有云。
在产品的选择上尽量选择国产品牌或者开源可控系统,保障私有云信息安全。
(2)开放原则
云计算的优势是高性价比,其核心是遵循开放技术路线并大量采用通用技术替代专有技术如Unix,这一点Google、Amazon等云计算供应商已经证明。
云计算建设应遵循开放技术路线,降低投入成本,避免形成对于供应商的锁定。
(3)循序渐进原则
云计算的建设不是一蹴而就,应循序渐进。
在本次建设中,应该本着符合使用来控制规模,如果后续仍然有业务系统需要迁移,可以利用云计算的课扩展性,逐步完成扩展。
(4)统一规划和分布实施原则
本项目的建设需要通过建设统一的顶层框架,统一规划、统一实施和统一管理,保证项目按照进度、按计划建设。
(5)先进性原则
本项目的建设,要求技术具有先进性,并保证在未来一段时间内具有先进性和扩展性。
2.2、项目建设内容、思路及技术规划
云计算项目的建设是一个循序渐进的过程,需要按照步骤有组织有计划的推进,逐步实现建设目标。
具体的建设内容包括:
(1)搭建私有云,满足基础设施支撑能力需求
采用云计算的最新技术,包括虚拟化技术、设备资源池化技术、分布式并行存储技术、存储虚拟化技术、自动运维技术、安全技术,用软件整合、调度硬件资源,建设具有良好弹性、扩展性、安全性、高可靠、绿色节能、自主可控的私有云,满足业务系统整合、托管、迁移、运营和运维的需求。
l良好的伸缩性,支撑能力随业务变化便捷扩展
云计算架构具有良好的伸缩性,系统的规划能够满足近期业务和资源库快速增长的需要,同时云计算中心具备了良好的扩展性能,能够随着业务的快速增长而扩展,能够实现不停机的情况下,在线增加系统的存储、计算资源,改变基础设施支撑能力有限的局面,为业务的增长或变化提供快速响应,实现业务敏捷。
l运营的易管理和易操作性,降低运维压力
通过云管理平台,能够对云计算中心的服务器设备、存储设备和网络设备以统一的视图进行管理。
云管理平台支持基于策略管理手段,将固定的操作以系统运维策略的方式进行固化管理,一方面实现运维的规范化,降低人为操作错误的发生,另一方面降低运维的压力,使得更少的运维人员保障业务系统的持续运营。
l高可用性,故障不再影响业务的连续性
云计算环境下,硬件故障将成为不可避免的现象。
因而私有云的设计是基于不可靠硬件保障业务系统的连续性的理念进行设计,也即在硬件发生故障的情况下,也能保障业务系统的连续运转。
n服务器的高可用:
虚拟化技术保证虚拟服务器之间的高可用,即使服务器发生故障,支撑业务系统运行的虚拟机能够快速迁移到运转良好的服务器上,保证业务系统不中断。
n存储的高可用:
采用热备方式,即使在一个存储节点发生故障的情况下,保证业务系统的运行不受影响,同时也能够快速的重建故障节点。
l业务连续性,保证任何时候业务系统的可用性
业务系统迁移到私有云上,能够充分利用云基础架构的动态负载均衡及高可用特性保证业务的连续性。
一方面保证业务系统的压力动态的分不到不同的支撑服务器上,另一方面,保障业务系统部分节点在出现故障的情况下,利用高可用特性保证业务的不中断。
l信息系统弹性,降低突发事件的影响
由于突发事件的不确定性,进而会导致业务系统的访问量有突发性特征,这对基础设施的支撑能力提出了更高的要求,否则突发事件往往导致业务系统的瘫痪。
将业务系统部署到私有云上,业务系统有突发的高并发访问时,云管理平台将会自动将闲置的计算资源调配给相关业务系统,从而大幅提升业务系统的支撑能力。
l安全性
私有云系统不仅可以接管传统信息系统的一切安全设备和措施,而且可以通过云管理平台进行统一的管理。
针对云计算中的虚拟化资源,云管理平台通过虚拟防火墙,VPN,VLAN,负载均衡等技术,有效的保障了虚拟化资源的安全性
2.3、技术架构和路线介绍
在私有云建设中基本可以分为三大部分:
资源池化、智能化云管理等。
2.3.1、资源池化
资源池化就是将计算资源、存储资源、网络资源通过虚拟化技术,将构成相应资源的众多物理设备组合成一个整体,形成相应的计算资源池、存储资源池、网络资源池,提供给上层应用软件。
资源虚拟化是对上层应用屏蔽底层设备或架构的资源封装手段,是实现云计算资源池化的重要技术基础。
虚拟化技术由来已久,所谓虚拟化是相对于物理实体而言的,即将真实存在的物理实体,通过切分或(和)聚合的封装手段形成新的表现形态。
聚合封装是将多个物理实体通过技术手段封装为单一虚拟映像/实例,可用于完成某个业务。
例如SMP、计算集群(Cluster)、负载均衡集群(LoadBalance)、RAID技术、虚拟存储、端口汇聚(porttrunk)、交换机堆叠(stack)等。
切分封装是将单个物理实体通过技术手段封装为多个虚拟映像/实例,可用于执行不同业务。
例如主机虚拟化、存储分区、虚拟局域网(VLAN)等。
虚拟化技术的一个重要结果是降低IT架构中部件之间的依赖关系,以计算虚拟化为例,集群、主机虚拟化等计算虚拟化技术实现了应用软件与物理基础设施解耦。
最终的效果是分离了应用软件与物理基础设施,解除或弱化了它们之间的耦合,从而也就削弱了各自的技术发展所受到的相互限制,拓展了技术发展的空间和灵活性。
2.3.2、智能化云管理
云计算架构具有IaaS、PaaS、SaaS等众多的服务模型,提供计算服务、存储服务、乃至整合各种资源的综合性服务,其资源的构成更加复杂、规模更加庞大。
为了提高易用性和可维护性,各种资源构成之间的关系复杂。
在本项目中,主要构建IaaS层。
为了保证云计算中心的服务质量,对于众多用户资源配给的调整也要求更精准的、更及时。
这些要求已经不是依靠运维人员的能力所能满足的,需要采用更加智能化的自适应运维管理。
云计算中心运维管理要适应云服务对资源管理所提出的新需求,
●紧耦合的资源管理
云计算中心采用资源综合管理,即将系统中的计算、存储、网络等资源视为整体系统,实施统一管理,这有利于优化整体性能、精确定位问题、是实现动态资源调度的重要因素。
●多维度的资源管理
云计算中心的资源具有多种视图,例如物理资源视图、虚拟资源视图、虚拟组织视图,因此,云管理也应该是多维的。
3、私有云总体建设方案
3.1、建设原则
私有云的建设将遵循以下的建设原则:
1)标准化和开放性
系统的标准化和规范化是信息系统建设基本而又关键的一步,要实现信息通讯与共享,必须规范信息技术标准。
采用业务内标准的技术体系和设计方法,使系统最大程度地具备各种层次的平台无关性和兼容性。
在使用新技术的同时充分考虑技术的国际标准化,严格按照国际国内相关标准设计实施。
2)先进性和超前性
在实用可靠的前提下,尽可能跟踪国内外先进的计算机软硬件技术、信息技术及网络通信技术,使系统具有较高的性能价格比,同时建设方案以实际可接受能力为尺度,避免盲目追求新技术,造成不必要的浪费。
技术上立足于长远发展,坚持选用开放性系统,使系统和将来的新技术能平滑过渡。
采用先进的体系结构和技术发展的主流产品,保证整个系统高效运行。
3)实用性和方便性
系统建设要以满足需求为首要目标,采用稳定可靠的成熟技术,保证系统长期安全运行。
系统应用后,确实能为各级业务和管理节点提供一个智能化的网络信息环境,以提高管理水平和工作的效率。
4)安全性和保密性
遵循有关信息安全标准,具有切实可行的安全保护和保密措施,确保数据永久安全。
系统应提供多方式、多层次、多渠道的安全保密措施,防止各种形式与途径的非法侵入和机密信息的泄露,保证系统中数据的安全。
5)稳定性和可靠性
系统建成并投入使用后,将成为支撑系统平稳运转的运行平台和开发新业务系统的基础平台,系统瘫痪的后果是难以想象的。
因此系统必须在成本可以接受的条件下,从系统结构、设计方案、设备选型、厂商的技术服务与维护响应能力,备件供应能力等方面考虑,使得系统故障发生的可能性尽可能少,影响尽可能小,对各种可能出现的紧急情况有应急的工作方案和对策。
6)跨平台性和可移植性
由于系统建设的复杂性要求,在设计时,要充分考虑系统的跨平台、跨系统、跨应用、跨地区性和在各种操作系统、不同的中间件平台上可移植。
7)可维护性和可扩展性
要保证系统能在各种操作系统和不同的中间件平台上移植。
系统设计做到信息内容统一,以便日后的系统维护。
在私有云的设计过程中,充分考虑在未来若干年内的发展趋势,具有一定的前瞻性,并充分考虑了系统升级、扩容、扩充和维护的可行性。
3.2、总体设计方案
3.2.1、逻辑架构
私有云的系统部署逻辑架构如下图所示:
逻辑架构图
用于对外提供各种服务的多种类型的虚拟主机节点的集合构成了计算“资源池”,其不仅实现了基于服务器的CPU、内存、磁盘、I/O等硬件的虚拟化实现动态管理的“资源池”,同时还可以在各类型虚拟主机所在的物理服务器之间进行动态的迁移和变更资源。
为此要求将各种类型的物理服务器、存储、网络等设备统一为一个逻辑意义上的“计算资源池”,从而提高资源的利用率,简化系统管理,实现服务器整合,让IT对业务的变化更具适应力。
云管理平台为用户提供简单、统一的管理平台,内置丰富的资源管理与交付功能;云平台将原本静态分配的IT基础设施抽象为可管理、易于调度、按需分配的资源;使用云平台可以把资源的能力封装,对外提供按需灵活使用各类IT资源的服务,满足各种业务的运营。
云管理平台主要进行系统资源的服务化、实现资源快速部署与按需分发。
借助于云管理平台,可以构建易于管理、动态高效、灵活扩展、稳定可靠、按需使用的私有云结构。
3.2.2、网络架构(假设)
私有云网络架构如下图所示:
管理服务器:
用于云管理平台管理节点的安装,负责对私有云的资源池进行管理、调度和监控。
在本期建设中,可以考虑利旧或者是虚拟机来作为管理服务器节点。
虚拟化服务器:
该服务器为若干台服务器组成的集群,形成计算资源池。
通过虚拟化软件将物理服务器安装需求,虚拟出若干台符合应用需求的应用虚拟机作为私有云业务的应用负载服务器。
各虚拟化资源通过云管理平台统一调度、按需分配。
如果计算资源池的资源不够使用,可以直接添加服务器,或者采用利旧的方式,无缝扩展资源池。
存储:
该存储的主要用于虚拟机的数据存储、业务数据存储等。
根据业务需要在本次私有云建设中,采用光纤存储进行通信。
本期采用单存储的方式,做到满足数据和业务需求,后期可以考虑双存储以HA的方式互备,保障了整个私有云系统的数据安全。
存储同样属于计算资源池的一部分,由云管理平台统一纳管。
光纤交换机:
光纤交换机为服务器与存储间的通信交换机,选择8Gb/s的交换模块,可以有效保障服务器与存储间的通信速率。
本期采用两台24口8Gb/s光纤交换机(各激活8个口),以主备方式提供光纤网络通信。
接入交换机:
根据现有的网络环境和需求,接入交换机选择两个48口的千兆交换机进行通信。
以主备的方式,保障网络安全。
防火墙:
接入交换机数据经过防火墙上联到核心交换机,接入核心网络。
3.3、云管理平台设计
3.3.1、云管理平台系统架构
云平台系统的整体架构如下图所示,系统分为物理资源层、虚拟资源层、云平台管理系统层和云计算服务层。
系统架构图
上文提到的服务器资源和存储资源、网络资源等构成了物理资源层,通过虚拟化软件形成统一的虚拟化资源,并通过云平台管理系统,将物理设备和系统资源整合为统一的计算资源池、存储资源池和网络资源池,在此基础上根据用户的需求,自动划分资源,在资源管理平台和业务服务管理平台的支持下,为用户提供丰富的云服务。
云平台从运维、运营与用户三个层面对私有云进行资源管理和运营管理。
云平台管理架构图
云计算管理平台是一个用来创建云基础架构(IaaS)的平台。
云计算管理平台允许企业在公司内部设立一个服务于企业自身的私有云。
当前VMWare,Citrix和Microsoft提供的虚拟化平台主要帮助企业的IT人员可以像以前管理物理机一样管理他们的虚拟机。
而云计算管理平台是帮助非IT人员能够通过自服务的方式使用虚拟机服务。
云计算管理平台包含管理服务器以及业界标准的虚拟化软件(如XenServer,Vsphere,KVM等)的扩展。
管理服务器可以部署在一台服务器或一组服务器集群上。
管理服务器对所有节点上的资源进行统一管理并提供web接口给管理员和用户,使他们可以对权限内的资源进行访问和操作。
云管理平台统将要实现的目标包括:
1.对本项目建设物理资源、网络资源和虚拟资源,进行统一的管理;
2.由于不同的应用资源,处于不同的内网或外网条件下,建设的云管理平台可以跨网络管理;
3.纳管已有的物理资源和网络资源,本次实施以实验的方式,先纳管部分资源,根据使用情况,逐渐将所有物理资源和网络资源纳管进来;
4.实现对所有信息资源,包括物理计算资源,虚拟技计算资源,物理网络资源、虚拟网络资源的自动化管理;
5.云管理平台提供可视,可控,可管的运维系统。
3.3.2、云管理平台功能
3.3.2.1、云平台服务
云计算管理平台为用户创建虚拟机实例提供了多种选择:
l计算服务,由管理员定义,提供CPU速度和个数,内存大小和根卷大小等选择
l存储服务,由管理员定义,提供了数据卷大小的选择
l网络服务,由云计算管理平台定义,描述了用户通过虚拟路由器或者外部网络设备可以使用的功能。
l模板和镜像,模板是一个操作系统的镜像,用户可以从这个镜像创建新的虚拟机。
所有通用的Linux和Windows系统都可以成为模板。
管理员也可以向系统中导入新的模板。
除以上选项之外,还有一种只对云计算管理平台管理员可见的服务类型,用于配置虚拟机路由器。
3.3.2.2、帐户、用户和域
云计算管理平台的用户通过分配的帐户登陆和使用资源。
在云环境里,各帐户之间的环境是相互隔离的。
一个域由一组帐户构成,一个域中的帐户一般有逻辑上的关联性,域可以有多个管理员帐户对域以及域包含的子域进行管理。
一个账户可以对应多个用户,用户更像是账户的别名,同一账户的用户之间没有相互隔离,他们具有相同的权限,可见的资源也相同。
在大多数情况下,一个账户对应一个用户即可满足需求。
3.3.2.3、管理服务器
云计算管理平台管理服务器运行于WEB容器(如Tomcat)并使用关系型数据库(如MySQL)存放数据,所使用数据库也可以安装在一台独立的物理机上,也就是数据库服务器,并可以根据需要配置备份服务器。
·提供管理员和用户访问的web界面
·提供云计算管理平台对外的API接口
·管理每个资源节点上的虚拟机资源分配
·管理每个帐户的公网和内网IP地址分配
·管理虚拟硬盘镜像的存储空间分配
·管理快照(snapshot)、模板、ISO镜像,并可以根据需要将它们跨数据中心备份。
·整个云环境配置的中心
3.3.2.4、资源服务器
资源服务器是用来提供虚拟机资源的服务器。
可以通过云管理平台自带的虚拟化软件进行虚拟化,也可以通过如VMWARE、CitrixXEN等相关软件或功能进行虚拟化。
·提供虚拟机需要的所有CPU,内存,存储和网络资源
·互相通过高速网络互联互通,并具备Internet连接
·可以位于不同地理位置的不同数据中心
·可以具有不同的规格(如不同的CPU速度,不同的内存大小等等)
·是高性能通用x86兼容服务器,自身相对可靠,但规模较大时允许出现个别服务器故障
3.3.2.5、网络功能和网络虚拟化
云计算管理平台管理内网(private)、直连网络direct和公网(public)的IP分配。
管理员首先将可供分配的内网,直连网络和公网IP输入系统。
主要有两种网络模型可供创建:
直连网络和虚拟网络。
云计算管理平台的资源域(Zone)也分为两类:
基本网络资源域仅能创建直连无标记(untagged)网络。
高级网络资源域除此之外还可以创建虚拟网络以及直连带标记(tagged)网络。
直连网络
在直连网络中,虚拟机被直接在本地子网中分配IP地址。
这些虚拟机可以直接访问Internet,也没有任何NAT转换。
它们的网络封包不经过任何虚拟路由器。
因此,直连网络无法获得云计算管理平台中的软负载平衡、防火墙和端口转发等功能。
直连网络的用户根据配置的不同,可以和别的直连网络用户相通或隔离。
在直连带标记网络中,管理员对资源域内部的每位用户分配特定的VLAN标识和IP段。
用户的虚拟机可以从虚拟路由器(相当于DHCP服务器)获得IP地址。
直连带标记网络可以让用户的虚拟机方便的与外界网络互联互通,包括管理服务器。
直连无标记网络则采用了类似于亚马逊的安全组概念对每位用户进行隔离,而不采用VLAN。
所有用户不论账号如何都在同一个广播域内。
直连无标记网络最常使用在私有云中。
所有的Hypervisor类型都可以支持直连无标记网络,但只有XenServer和KVM的节点可以设置安全组。
虚拟网络
在虚拟网络中,用户的虚拟机部署于私有的虚拟网络中。
每个用户的虚拟网络均通过VLAN与其他用户的虚拟网络隔离。
每个用户的所有客户机也在自己的VLAN中被分配相应的网络接口。
可以用两种方式建立虚拟网络:
基于虚拟路由器和基于外部路由器。
l云计算管理平台在安装时就提供了一个虚拟路由器。
这个虚拟路由器可以提供DNS,DHCP,gateway,NAT,负载平衡和VPN服务。
l基于外部路由器的虚拟网络使用第三方厂家的路由器设备提供gateway和NAT服务,而DNS和DHCP依旧由虚拟路由器完成。
虚拟网络的部署必须使用虚拟路由器或外部路由器。
在虚拟网络中,同一个用户的不同虚拟机因为处于同一个VLAN,他们之间的网络通信不通过虚拟路由器。
VLAN起到用户之间隔离的作用:
不同帐户的用户使用不同的VLAN。
在虚拟网络中,每一个用户会被分配一个外网IP地址。
用户可以申请更多的外网IP地址。
外网IP地址是指用户实际访问虚拟机的IP地址。
通过虚拟路由器建立虚拟网络
每个帐户都被分配一个虚拟路由器。
所有此帐户拥有的外网IP地址也都分配给这个虚拟路由器。
这个虚拟路由器是虚拟机和外网通信的管道,并且为虚拟机提供DNS和DHCP服务,以及NAT转换。
虚拟路由器的存在使得云计算管理平台可以为用户提供很多网络功能,例如:
将发送至某个外网IP的包转发至一个指定的虚拟机,或是在多个虚拟机之间做流量的负载平衡,使得通过有限的公网IP可以提供更可靠的服务。
通过外部路由器建立虚拟网络
每个帐户仍然被分配一个虚拟路由器。
但所有此帐户拥有的外网IP被分配给外部路由设备。
外部路由器成为虚拟机和外网通信的桥梁,并提供NAT转换。
虚拟路由器仅提供DNS和DHCP功能。
负载平衡可以由外部路由器或者虚拟路由器完成。
一个帐户可能既拥有在虚拟网络的虚拟机也拥有在直连带标记网络的虚拟机。
在这种情况下,这个帐户将拥有两台虚拟路由器,一台虚拟路由器负责资源域VLAN的管理,一台虚拟路由器负责直连带标记VLAN的管理。
在同一个资源域里基本网络不能与虚拟网络或直连带标记网络共存。
一个云环境可能包含一个基本网络资源域,一个虚拟网络与直连带标记网络共存的资源域。
3.3.2.6、存储功能和虚拟化
虚拟机模板是用户第一次启动
升级会员 