1、职教智慧教育云平台总体规划目录TOCo1-3hzuHYPERLINKl_Toc5287613931概述PAGEREF_Toc528761393h3HYPERLINKl_Toc5287613941.1职教信息化发展现状PAGEREF_Toc528761394h3HYPERLINKl_Toc5287613951.2教育部指导思想和工作方针PAGEREF_Toc528761395h3HYPERLINKl_Toc5287613962职教智慧教育建设目标PAGEREF_Toc528761396h6HYPERLINKl_T
2、oc5287613972.1提升职教信息化基础能力PAGEREF_Toc528761397h6HYPERLINKl_Toc5287613982.2构建统一的教育资源平台PAGEREF_Toc528761398h8HYPERLINKl_Toc5287613993教育云平台总体规划设计PAGEREF_Toc528761399h9HYPERLINKl_Toc5287614003.1设计原则PAGEREF_Toc528761400h9HYPERLINKl_Toc5287614013.2总体架构PAGEREF_Toc528761401
3、h10HYPERLINKl_Toc5287614023.2.1自主可控的技术架构设计PAGEREF_Toc528761402h10HYPERLINKl_Toc5287614033.2.2通过COC汇聚实现云平台逻辑建设PAGEREF_Toc528761403h11HYPERLINKl_Toc5287614043.2.3层次清晰的平台部署架构图PAGEREF_Toc528761404h12HYPERLINKl_Toc5287614053.3技术路线PAGEREF_Toc528761405h13HYPERLINKl_Toc5
4、287614063.3.1服务器虚拟化技术PAGEREF_Toc528761406h13HYPERLINKl_Toc5287614073.3.2资源弹性扩展PAGEREF_Toc528761407h16HYPERLINKl_Toc5287614083.3.3虚拟化智慧网络PAGEREF_Toc528761408h16HYPERLINKl_Toc5287614093.3.4安全可控技术PAGEREF_Toc528761409h23HYPERLINKl_Toc5287614103.3.5创新服务模式PAGEREF_Toc5287
5、61410h26HYPERLINKl_Toc5287614113.3.6充分考虑利旧PAGEREF_Toc528761411h26HYPERLINKl_Toc5287614123.3.7海量存储技术PAGEREF_Toc528761412h26概述职教信息化发展现状职业教育是与经济发展、社会进步的联系最直接、关系最紧密的教育类型,特别是在现阶段,充分发挥职业教育的作用对于繁荣经济、促进就业、消除贫困、维护稳定、建设先进文化有着重大意义。纵观欧美国家的快速经济发展,其背后都离不开发达的职业教育的支撑。目前来看,我国的普通教育水平,早已接近甚至已经超出发达国家,
6、而职业教育还远远的落后于发达国家。这种落后除了职业教育理念、职业教育领域等方面存在差距外,在职业教育的信息化建设方面,差距尤其明显。近年来,我国不少地方、行业和职业院校积极开展职业教育信息化建设,在基础设施建设、信息资源开发、人员技术培训和管理系统应用等方面取得重要进展,对于有效扩大、优化配置和开放共享职业教育资源,大幅提升职业教育服务经济社会的能力,发挥了重要作用。然而不可否认的是,由于政策性投入以及其他历史原因,我国职业教育信息化建设基础还比较薄弱,发展水平还不高,尤其是在有些地方,职教信息化依然处于刚刚起步阶段,很多教务工作以及学生管理甚至还依赖手工记录管理的方式。对于那些已经有一定基础
7、的职教信息化平台,则是存在着对信息化建设缺乏统筹,信息孤岛与重复建设的现象比较普遍,系统间互联互通性较差,资源开放性、共享性不强,信息安全存在隐患等等问题。目前来看,推进职业教育信息化的建设任务非常紧迫。教育部指导思想和工作方针加快推进职业教育信息化,是我国教育信息化工作的重要内容,是职业教育基础能力建设的重要任务,是支撑职业教育改革创新的重要基础,是提高人才培养质量的关键环节。在2012年5月份,教育部为贯彻落实国家中长期教育改革和发展规划纲要(2010-2020年)关于加快教育信息化进程的战略部署,切实推进职业教育广泛、深入和有效应用信息技术,不断提升职业教育电子政务能力、数字校园水平和人
8、才信息素养,全面加强信息技术支撑职业教育改革发展的能力,以先进教育技术改造传统教育教学,以信息化促进职业教育现代化,对职教信息化建设提出意见并发布了教育部关于加快推进职业教育信息化发展的意见。节选该意见中对“十二五”时期职业教育信息化发展的基本思路与工作方针如下:(1)到2015年,职业院校配备够用适用的计算机及其配套设备设施;90%的职业院校建成运行流畅、功能齐全的校园网,信息技术能够支撑学校教育、教学、管理、科研等各项应用;85%的职业院校按标准建成数字校园;90%的成人学校及其他职业培训机构实现网络宽带接入;其他学校都能建成卫星数据地面接收站;边远山区和贫困地区职业学校建成数字化资源播放
9、平台。建成国家职业教育数字化信息资源库,不断完善各级职业教育网络学习平台;建成国家职业能力培养虚拟仿真实践教学公共环境,为在校学生、企业职工及社会学习者提供优质实践教学资源。建成全国职业教育综合管理信息系统,实现各级教育行政部门政务管理和职业院校业务管理的信息化、标准化和规范化。形成学生信息技术职业能力认证机制。职业教育信息化能力达到发达国家水平。(2)努力提升职业教育信息化基础能力。建立和完善中国职业教育信息资源网,建立各地教育行政部门、职业院校、行业企业和科研机构相互协作的网络化职业教育服务体系和资源共享机制。地方教育行政部门要以加强省级职业教育网站建设为重点,创新运行机制和管理模式,建设
10、泛在、先进、高效和实用的职业教育信息化基础设施。全面提高职业院校信息技术装备水平。职业院校要以标准化校园网建设为基础,实现多种方式接入互联网,加快信息技术终端设施普及,重点建设仿真实训基地、网络教室、远程教育培训中心、多媒体应用中心等数字化场所和设施。努力建成支持学生学习、学校办公和政府决策的职业教育信息化环境。(3)加快开发职业教育数字化优质信息资源。开发包括网络课程、虚拟仿真实训平台、工作过程模拟软件、通用主题素材库(包括行业标准库、实训项目库、教学案例库、考核试题库、技能竞赛库等)、名师名课音像以及专业群落网站等多种形式的职业教育数字化信息资源。建成教学资源平台、电子阅览室、数字图书馆等
11、综合资源平台。加快建立健全职业教育资源开发机制、认证体系和共享模式。加快建设国家职业教育数字化信息资源库。支持建设国家职业教育数字化资源开发基地。建立健全职业院校、行业企业、研究机构之间的资源共建共享机制。依托示范性职业院校和大型企业,建设一批国家示范性职业能力培养虚拟仿真实训中心。(4)加快提高职业院校数字校园建设水平。教育部制定职业教育数字校园建设标准,加快推进标准化数字校园建设。各地和职业院校要建设宽带、泛在、安全的网络基础设施,推广应用多媒体教室、数字化实验室、远程协作教室等职业教育信息化环境,促进常规装备和信息化装备协同融合;普及师生个人学习终端,创新数字化的专业学习工具、协作交流工
12、具和知识建构工具,引导广大师生广泛运用信息化手段,创新人才培养模式,积极推进信息技术进校园、进课堂、进教材,促进信息技术与教育过程、内容、方法和质量评价的深度融合,提高教育教学质量;推进学校管理信息化应用,不断提高职业院校学生学员、教师队伍、办学经费、基本建设、条件装备、教务、校企合作等关键业务管理的信息化水平,提高管理工作效率。职教智慧教育建设目标智慧教育是指通过利用云计算、大数据、物联网等先进技术,将学校的教学、科研、管理与校园资源和应用系统进行整合,以提高教学教务应用交互的明确性、灵活性和响应速度,从而实现智慧化服务和管理的教育模式。智慧教育本质上还是教育信息化的内涵延伸,其发展需要云计
13、算等新技术的支持。“云计算”是一种模式和思想,它通过多种技术综合应用于IT系统,促使IT系统更加弹性、动态、高效、自动化、使得IT系统的使用者不用关心IT系统的细节,从而可以将更多的精力投入到其自身业务流程的优化中。目前,职教信息化正在全国各地如火如荼地开展。从实际情况来看,各地职校硬件设备投入参差不齐,部署困难,阻碍了软件的普及应用;信息化软件应用不足,缺乏统一部署,无法兼顾多级使用单位和角色,无法实现最优化管理等。云计算技术引入教育领域,极大地解决了这些困惑。基于云计算的智慧教育信息化平台将为职教信息化的深入发展提供了强大的技术支持。提升职教信息化基础能力以往的职教信息化平台基本都是采用烟
14、囱式的部署方式,教务系统、学生管理系统、办公系统等应用都部署在单独的物理服务器上。这种传统的部署方式在长期的信息化运维中带来一系列的问题。近年来,学校对IT平台动态化、弹性化、自动化、高效率的需求不断增长,随着云计算理念的不断深入,大多数学校在其信息中心的建设过程中,都期待利用新技术、新理念,以更科学的方法构建新一代的教育信息化平台,以满足业务创新所要求的敏捷性,同时降低总体拥有成本。由于云计算平台具有动态资源性、虚拟性和高可用性等优势,采用新技术构建职教信息化平台可以提早规划信息化平台的架构,充分考虑未来的发展需要,绕开传统信息化方式带来的问题,避免在信息化发展中走弯路。(1)增强应用系统弹
16、间长,对教学造成不利影响。云计算可以通过本身的集群高可用特性,通过多节点冗余的方式,自动检测失效节点,并将应用迁移到可用的节点上,以保证系统的正常运行。云计算系统还可以采用分布式存储的方式来存放数据,同一份数椐存储多个副本。云计算平台的应用能够保证应用的高可用性和数据的高可靠性。(3)降低管理维护成本当学校规模扩大后,应用增多且管理难度越来越高,信息化平台无法实现更高的自动化,运维成本无法降低。云平台运营管理系统可提供云计算平台的运营、运维和用户Portal,可实现云计算中心的统一管理,获得更高的自动化水平。(4)实现教学资源信息共享传统部署方式下应用之间无法共享信息和交换数据,形成了很多信息
18、深入,能源消耗已经成为IT支出的一项重要组成部分。服务器增加的同时,配套用电量将呈指数级上升。数量巨大的计箅机设备将会造成大量的能源消耗,这已成为学校信息化建设中不容忽视的问题。云计算对基础设施进行了统一的配置和和管理,按需进行动态分配,充分利用空闲的计算资源,提高系统的总体计算能力和效率,使服务器的数量减少(每减少一台服务器,意味着每年减少11.4吨的二氧化碳排放),降低信息技术设备的电源能耗,在节能、环保、降低成本的同时,达到构建低碳型教育的新型学校的目标。构建统一的教育资源平台将信息化建立在云计算和服务的基础之上,现有分散的各种应用系统、数据资源转变成为一个与底层具体的网络运行环境、服务
19、器系统、存储系统无关的强大的统一的通用信息平台。这个平台首先整合了底层各种硬件资源,使之拥有强大的计算功能、海量的存储资源,现有的信息化系统建设中存在的软硬件资源重复投入、虚拟化教学设备运行能力支持等问题将迎刃而解。再通过整合上层的业务系统,整个信息化平台还可以为教学资源管理平台、教务管理平台等应用提供统一门户、统一身份认证、统一数据交换以及多种应用集成等功能,并为第三方应用提供标准的数据接口。基于云计算的平台还具有较高的可靠性和安全性,可以将所有的教学资源、专业信息和应用程序等置于平台之上运行。教育云平台总体规划设计设计原则教育云平台的建设要遵循先进性、可扩展性、可靠性、稳定性、兼容性等原则
21、足现阶段的业务要求,而且要能满足将来业务的进一步增长和新技术发展的要求,要在原有设备继续发挥作用的基础上,保证用户能方便地增加或调整设备,改善系统功能和性能,支持将来系统不断更新和便于升级。系统结构应能支持主要的协议、标准和规范,应能运行当今流行的软件环境下开发的各种应用系统并可以在线软件升级、调配;同时应留有充分的扩展余地,并保证系统的完整性不受影响,保证系统可以平滑升级、扩容。(四)高安全可靠性、高可用性、高可维护性云平台要求724小时的持续服务能力,因此要考虑选用稳定可靠的产品和技术,使其具有优秀的RAS特性和必要的冗余容错能力,为用户提供高可用服务。要求系统在硬件配置、操作系统、虚拟化
22、平台以及系统管理等环节采取严格的安全可靠性措施,以保证系统的正常运转。(五)可管理性云平台具有完善的管理措施和功能,便于设备的安装、配置和维护,以及对各种软硬件资源的分配、调度和管理,提高资源和资产利用率,减轻系统管理人员的工作负担。总体架构自主可控的技术架构设计XXX数字化校园云平台的总体技术架构设计如上图,整个架构包括基础设施层、云基础架构层、业务应用平台和云服务层等。其中:基础设施层:云平台的物理环境主要包括服务器、网络设备以及存储等设备,以便在此基础上采用虚拟化、分布式存储等云计算技术,实现服务器、网络、存储的虚拟化,构建计算资源池、存储资源池和网络资源池,实现基础设施即服务。云基础架
23、构层:在云基础设施的基础上,为了实现动态资源池的构建,通过虚拟化技术对基础设施(网络、服务器和存储设备等)进行资源池化、弹性管理,通过自主可控的云计算操作系统,实现云平台的服务管理及业务管理的统一管理,提高运维及运营的效率。业务应用平台:通过建立统一的信息标准,构建统一的信息门户、统一的身份认证系统和安全可靠的公共数据交换系统,在此基础上建设先进实用的应用支撑系统(包括教务管理、学生综合管理、人力资源管理、资产设备管理、财务管理、后勤服务管理、一卡通管理、实践教学信息平台等),实现各个应用系统之间的数据交换与数据共享,最终实现高校各项管理工作的信息化。云服务层:是云计算中心与最终用于交互的接
24、口和平台,通过该平台能够实现云计算中心统一对外提供服务。运维和业务支撑服务:包括云平台的计费审计、资源监控、生命周期管理、容量规划、报表分析等多项内容。通过COC汇聚实现云平台逻辑建设图综合运营平台逻辑架构图整个云平台设计采用业务区域的理念。业务区域(即以服务器集群为核心的物理资源区域,不同的业务区域设备配置可以不同)是系统的基本硬件组成单元,整个系统共包括若干个业务区域。系统规模的扩大可以通过增加业务区域方式,使得整个系统具有很好的可扩展性。业务区域的业务网络交换机通过万兆方式上联到核心交换区,通过核心交换区与其他业务区域和域外系统互联。在每个业务区域内,通过云资源管理平台的COC节点实现
25、在X86业务节点上部署Hypervisor,并形成一个或多个独立的逻辑资源池,提供给应用使用;通过CVM在逻辑资源池内可实现资源的共享和动态分配。每个业务区域包括:CVM(CloudVirtualManager)节点、业务节点、业务网络、管理网络、心跳网络、本地镜像存储;业务区域根据各自的业务需要访问FC存储或并行存储等业务数据存储区域。云计算平台配置多台自助门户节点(CSP),为最终用户的系统管理员提供自助门户服务。采用以上设计理念,使得整个系统具有超高的可扩展性,可使整个系统扩展到上千台服务器规模。同时,云计算中心云计算资源管理平台底层虚拟化能够实现对目前主流的XEN、KVM及VMWa
26、re等异构虚拟化技术的统一管理,技术上能够实现很好的兼容性。层次清晰的平台部署架构图图部署架构图依据XXX学校教育云平台的总体需求,勾画整个项目的部署架构,指导XXX学校教育云平台的整体建设。XXX学校教育云平台部署主要包括几个层面:计算资源池的构建、业务数据的分区规划、共享存储的设计等。从整个部署架构来看:计算资源池的构建主要采用高端四路服务器作为服务器基础支撑,通过虚拟化技术实现底层物理资源的虚拟化,云资源管理平台通过云资源管理平台进行虚拟机的创建、动态分配、迁移及管理,形成统一的计算资源池。考虑到招生系统等关键教育数据的安全性、可靠性及重要性,在本方案中规划业务数据处理的分区主要采用物
27、理机支撑。这样能够保证整个数据库的稳定、高I/O吞吐和访问,主要通过高端八路服务器通过集群技术进行部署,支撑关键业务数据的存储和管理。共享存储设计的存储数据主要包括重要业务数据和虚拟机镜像数据,其中:教育信息化中的重要业务数据主要通过Oracle/DB2/SQLServer/MySQL等数据库进行数据管理,结构化数据存储利用高端私有云存储设备来支撑,在未来需要对存储容量进行扩展时可方便的横向纵向扩展;虚拟机镜像数据主要存放在共享存储部分,通过共享存储设备来支撑虚拟机镜像数据的存放,本次共享存储利用并行存储系统来支撑。云平台中采用软硬一体化的备份系统,可将数据库的结构化数据以及应用产生的非结构
28、化数据进行备份,可方便的创建备份任务,设置备份任务定时自动的运行,充分保障云平台中数据的安全。技术路线XXX学校教育云平台属于私有云范畴,为了更好的为学校的信息化提高可靠、稳定、高效的基础资源,本项目采取资源池化、动态资源调度、海量存储技术、智能化云管理等技术路线进行构建。服务器虚拟化技术1)虚拟化技术概述服务器虚拟化技术是实现计算资源池化的重要手段。虚拟化是一个抽象层,它将物理硬件与操作系统分开,从而提供更高的IT资源利用率和灵活性。虚拟化允许具有不同操作系统的多个虚拟机在同一物理机上独立并行运行。每个虚拟机都有自己的一套虚拟硬件(例如RAM、CPU、网卡等),可以在这些硬件中加载操作系统
30、件辅助虚拟化技术,比如IntelVT,AMD-V等;兼容主流的操作系统,比如,WindowsNT、WinXP、Win2000、Win2003、ReahatLinux、Suselinux、Solarisx86、Novell等。而且,可以同时运行不同种类的操作系统;兼容现有的存储设备,比如SAN、NAS;支持高可用、自动负载平衡特征的虚拟化集群;兼容主流的网络设备,支持VLAN、Trunk等功能可实现国产备份软件的结合,以实现虚拟机数据的备份,支持Snapshot技术,可实现从虚拟化软件底层实现虚拟机备份;具有P2V的转换工具,支持主流操作系统;具有严格的虚拟机隔离性,某个虚拟机故障,不
31、影响其他的虚拟机;对虚拟机资源进行细粒度动态调整分配,包括CPU,Memory,网卡及虚拟磁盘等。基于共享存储实现对虚拟机的动态迁移。基于存储与快速部署实现对虚拟机镜像的备份、模板管理、导入导出等。基于虚拟机动态资源分配,虚拟机动态迁移及动态资源调度算法实现动态资源调度策略。虚拟化架构中最重要的部分就是如何将物理硬件与上层操作系统剥离,当前,一般通过两类技术达到这一点:物理层虚拟化和逻辑层虚拟化。其中前者以硬件分区技术为代表,目前只应用在UNIX服务器和大型机中,后者则包括以VMwareESX和Xen为代表的X86平台上的虚拟化,是目前的市场主流。2)X86平台服务器虚拟化技术的选择近年来,
32、x86架构上的虚拟化技术逐渐成熟,涌现出不少技术和产品。其中的代表有:VMwareESX、Xen、微软Hyper-V。VMware是第一个(1998年)将虚拟化技术引入x86平台的厂商,目前在x86平台的虚拟化市场上处于领先地位。ESX采用属裸金属架构技术。Xen是剑桥大学于2005年发布的一个开源的Hypervisor,已被吸收到Redhat、SuSE、OracleVM中。Xen已经于2007年被Citrix收购,但目前仍然作为一个开源项目由Citrix维护。Xen采用的是裸金属架构技术微软于2008年发布了自己的HypervisorHyper-V,与前两种不同的是HyperV采用的
33、是寄居方式,因此只适用于Windows操作系统上。下表对以上三种虚拟化技术进行了比较:代表产品V4.0XenHyper-V厂商VMwareXenMSCitrix(思杰)架构裸金属(batemetal)裸金属(batemetal)寄居HostOS无无Windows2008x64(Standard/Enterprise/Datacenter)Editions开源否是否隔离性好好好管理工具VC,有成熟的虚拟化基础架构管理软件,支持全面的资源库模型,交互式拓扑图功能XenCenterAdministratorConsole,不支持全面的资源库模型,支持交互式拓扑图功能,但需要
34、SCOM支持的GuestOS支持各种未经修改的操作系统,包括Windows、Linux、Solaris和NovellNetWare支持21种客户操作系统受限,Hyper-VR2将仅支持11种客户操作系统GuestOS是否需要修改不需要不需要不需要虚拟机实时迁移支持(VMotion)支持(XenMotion)QuickMigration(notrealLivemigration)动态资源调度支持(DRS)不支持NLBisallMSOffer在线备份VCB无LiveBackupswithVSS性能高性能GuestOS为Linux时,性能好;Wi
35、ndows时,性能稍差性能稍低同样的硬件更多的VM同样的硬件较少的VM虚拟机中支持的最大CPU和内存数255GB内存128GB内存64GB内存8CPU8CPU4CPU硬件需求需要支持的SATA或者SCSI控制器支持Intel-VTorAMD-Vx64based处理器支持IntelVTorAMD-V从上表可以看出,Xen采用裸金属架构,各项指标好于HyperV,比ESX略低。Cloudview云操作系统底层采用SUSELinux系统中的Xen虚拟化技术,能够很好的对x86架构服务器进行虚拟化支持。资源弹性扩展数字化校园云平台要实现所提供服务的质量,动态的资源调度是必不可少的
36、。现有数据中心的IT基础架构采用固态配置,灵活性很差,当业务发展超出预期时,无法及时根据业务需求调整资源供给,难以满足业务快速增长的需求。而且系统资源扩展需要一定的周期,在此过程中,业务系统将处于高危运行状态,造成服务质量下降。而为了应用峰值而扩展的资源在正常情况下,将处于低负荷状态,造成资源浪费。数字化校园云平台要避免这样的情况出现,就必须要实现动态的资源调度,实现业务系统资源配备的按需调整,结合管理系统的资源监控,根据业务负载等情况,调整业务资源配给,保障业务系统的资源供给,满足其运行需要,也就保障了业务的服务质量。虚拟化智慧网络1)交换机虚拟化技术云计算中心网络资源共享之后,多种应用将承
37、载在同一张网络上。在融合的物理网络中如何更好的对业务进行逻辑划分,网络管理员如何根据不断变化的应用要求合理分配物理资源;在设备繁多的网络环境中如何降低运维工作量和成本;现阶段最重要工具就是交换机虚拟化技术。交换机虚拟化技术可以将多个物理实体创建一个逻辑实体,实体可以是计算、存储、网络或应用资源。具体的方式是,将多个网络节点进行整合(称为横向整合),虚拟化成一台逻辑设备,提升云计算中心网络可用性、节点性能的同时将极大简化网络架构。随着云计算中心服务器部署采用虚拟化技术构建后,传统上的网络架构由于多层结构、安全区域、安全等级、策略部署、路由控制、VLAN划分、二层环路、冗余设计等诸多因素,不但会导
38、致网络结构比较复杂,使得云计算中心基础网络的运维管理难度较高,还无法适应虚拟机多变的网络要求。交换机虚拟化技术应运而生。使用交换机虚拟化技术,可以将多台设备连接,“横向整合”起来组成一个“联合设备”,并将这些设备看作单一设备进行管理和使用。多个盒式设备整合类似于一台机架式设备,多台框式设备的整合相当于增加了槽位,虚拟化整合后的设备组成了一个逻辑单元,在网络中表现为一个网元节点,管理简单化、配置简单化、可跨设备链路聚合,极大简化网络架构,同时进一步增强冗余可靠性。交换机虚拟化技术为云计算中心建设提供了一个新标准,定义了新一代网络架构,使得各种云计算中心的基础网络都能够使用这种灵活的架构,能够帮云
39、计算中心在构建永续和高度可用的状态化网络的同时,优化网络资源的使用。在虚拟化架构上,将传统网络中离散的安全控制点整合进来,进一步强化并简化了基础网络安全,交换机虚拟化技术将在云计算中心端到端总体设计中发挥重要作用。图云计算中心简捷化架构横向整合的交换机虚拟化上图的虚拟化云计算中心网络架构与传统的网络设计相比,具备运营管理简化、整体无环设计以及进一步提高系统可靠性等多种显著优势,建议在组网时予以采用。2)虚拟机交换技术随着云计算兴起、各种虚拟化技术陆续被采用,云计算中心网络逐渐从物理服务器互联转向了虚拟服务器互联。虚拟化给云计算中心网络带来了新的挑战:如何实现虚拟服务器的边缘虚拟桥接?实现虚拟
40、机的边缘桥接,目前有软件和硬件方法两种,分别简称为VEB(VirtualEthernetBridge)和VEPA(VirtualEthernetPortAggregator)。VEB是一种软交换,在物理服务器中采用一个软件虚拟交换机,实现虚拟机的数据交换。思科和VMware是软交换方法的积极倡导者。不过这种软交换并没有从根本上解决网络和主机管理界面模糊的问题,不但增加了服务器的额外开销、交换性能低,还仅仅只支持VMware虚拟化平台,兼容性较差。VEPA标准,该标准也被称为802.1qbg标准。其目标是要将虚拟机之间的交换从服务器内部移出到接入硬件交换机上,实现虚拟机之间的“硬交换”
41、。采用这种方法,只需要将接入交换机中的软件进行修改,就能快速实现。VEPA是标准化和开放化的技术,具有性能高、可靠性高的特点。VEPA是由HP协同H3C向IEEE提出的新一代虚拟接入标准,并迅速得到了Juniper、IBM、Qlogic、Brocade等网络设备厂商的支持。虚拟机交换技术是云计算基础设施平台建设的重要,直接影响到云平台的实现和应用性能。在此,我们建议在平台系统建设中将VEPA技术作为平台组网交换机的必要特性。2)分布式入端口缓存机制分布式入端口缓存机制主要解决云计算中心的突发流量问题。在云计算中心部署服务器虚拟化的直接效果是导致云计算中心具有更高的应用密度,在相同物理空间内逻辑
42、服务器(虚拟机)数量比物理服务器大大增加,由此,服务器的总体业务处理量上升,使得服务器对外吞吐流量增大。并且云计算中心服务器虚拟化应用后,也导致云计算中心流量模型的不定项出现,因而在云计算中心的应用环境中,突发流量成为主要的流量特征,这就要求针对这种特点在系统设计时,所选用的网络设备能够有专门的处理技术。传统交换机处理突发流量的技术实现多以出端口缓存为主,这种机制使得所有数据流的突发在出端口处被缓存,缓存的大小即是网络核心节点最大可能接受突发值,但是这种模式容易造成出端口缓存的迅速溢出,从而导致网络流量丢包,无法正常转发。因此在本次系统建设中,要求网络设备尤其是核心交换机设备针对突发流量提供先
43、进的处理模式,如分布式入端口缓存机制,将网络突发流量在入端口即开始进行缓存处理,缓存容量与入端口数形成正比的线性关系,从而提高整个设备乃至整个网络系统的突发流量处理能力。3)安全虚拟化与网络安全一体化在云计算中心的网络平台设计中,安全是整个系统设计中需要重点考虑的内容,基于云计算中心架构整合优化的要求,目前在云计算中心交换机上整个安全防护模块成为主流的应用技术,在这样的技术架构下,可以简化云计算中心安全设备的部署数量,如下图:针对多个安全防护区域原本需要部署多个独立的安全设备,而采用安全模块的方式可以实现由一台安全模块对所连接的多个安全区域的统一安全防护。这里的安全部署模式要求实现两类虚拟化技
44、术:多虚一:指网络节点设备上,能够安装多种类型的安全设备,这样可以实现不同层次的安全防护(如防火墙+IPS的组合可以实现网络层27层的安全防护),达到综合安全保护的策略融合。一虚多:指融合在网络节点设备上的安全设备,能够虚拟化出来多个安全实例,针对不同的安全防护区域提供对应安全实例,并且在不同的安全实例上针对区域的安全防护要求部署不同的安全访问和控制策略,这样采用真正发挥安全模块融合在网络设备上所带来的应用意义。随着云计算中心安全性要求的不断提高,安全产品在云计算中心基础网络架构中扮演着越来越重要的角色。安全方案的部署在传统的云计算中心建设中通常采用独立式的设备,这种方式存在单点故障、网络结构
45、复杂、性能存在瓶颈等问题,因此,在建立云计算中心时建议汇聚接入层具备安全等多业务模块的扩展能力:高可靠性:降低单点故障1.在设备内部,基于交换机的无阻塞技术,各种插卡通过背板总线进行数据交换。任何一块插卡出现故障,可以通过Bypass方式使得流量自动绕过故障插卡,保证业务流正常处理和转发,不会出现单点故障。2.插卡式设备,所有的关键部件都可以冗余部署。单独的盒式设备,一般最多提供双电源的可靠性设计。而插卡式设备,包括电源、引擎、接口板、业务板等都可以冗余部署,大大提高了可靠性。当所有的关键部件都进行冗余部署的时候,实际上就是两台设备在同时工作,并可以进行负载分担。3.所有的插卡都支持热插拔,大
47、能力可以通过板卡的扩展进行数倍的提升。即使是单块的业务板,得益于其先进的多核架构,其性能优势也很明显(FW性能可以达到单模块万兆处理能力)。4.接口多:普通盒式设备一般最多提供几个接口,而插卡式设备的接口板可提供无限制的接口,并且可根据要求进行扩展,所有接口的VLAN都可以共享各种业务板卡。同时,通过虚拟化技术,可以将同一块物理业务板卡在逻辑上划分为相互独立的多个板卡,每个逻辑板卡拥有完全独立的资源和策略。5.接口种类丰富:普通盒式设备,只能提供普通的以太网电口和光口。而基于交换机和路由器的插卡,还可以提供各种POS接口、ATM接口、E1/T1口等接口类型。6.组网简单:采用插卡式设备,只需在
49、大幅降低,原有的投资也能得到保障。5)云间互联技术云间互联有三种方式:三层互联:也称为云计算中心前端网络互联,所谓“前端网络”是指云计算中心面向企业园区网或企业广域网的出口。不同云计算中心(主中心、灾备中心)的前端网络通过IP技术实现互联,园区或分支的客户端通过前端网络访问各云计算中心。当主云计算中心发生灾难时,前端网络将实现快速收敛,客户端通过访问灾备中心以保障业务连续性。二层互联:也称为云计算中心服务器网络互联(简称DCI)。在不同的云计算中心服务器网络接入层,构建一个跨云计算中心的大二层网络(VLAN),以满足服务器集群或虚拟机动态迁移等场景对二层网络接入的需求。SAN互联:也称为后端存
52、他们自己的数据后发送密文到云数据存储商那里存储。数据残留处理技术数据残留是数据在被以某种形式擦除后所残留的物理表现,存储介质被擦除后可能留有一些物理特性使数据能够被重建。在云计算环境中,数据残留更有可能会无意泄露敏感信息,因此向云用户保证其鉴别信息所在的存储空间被释放或再分配给其他云用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中,保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他云用户前得到完全清除。2)应用安全技术终端用户安全技术对于使用云服务的用户,应该保证自己计算机的安全。在用户的终端上部署安全软件,包括反恶意软件、防病毒、个人防火墙以及IPS类型的
53、软件。因此云用户应该采取必要措施保护浏览器免受攻击,在云环境中实现端到端的安全。云用户应使用自动更新功能,定期完成浏览器打补丁和更新工作。SaaS应用安全技术云计算中心为SaaS提供高强度密码的身份验证和访问控制功能,并提供基于Web的管理用户界面,最终用户可以分派读取和写入权限给其他用户。在SaaS应用中可以通过惟一的客户标识符在应用中的逻辑执行层实现客户数据逻辑上的隔离。PaaS应用安全技术PaaS云提供给用户的能力是在云基础设施之上部署用户创建或采购的应用,这些应用使用云计算中心支持的编程语言或工具开发,用户并不管理或控制底层的云基础设施,包括网络、服务器、操作系统或存储等,但是可以控制
54、部署的应用以及应用主机的某个环境配置。PaaS应用安全包含两个层次:PaaS平台自身的安全;客户部署在PaaS平台上应用的安全。云计算中心维护PaaS平台运行引擎的安全,在多租户模式下提供“沙盒”架构,平台运行引擎的“沙盒”特性可以集中维护客户部署在PaaS平台上应用的保密性和完整性;负责监控新的程序缺陷和漏洞,以避免这些缺陷和漏洞被用来攻击PaaS平台和打破“沙盒”架构。云用户部署的应用安全需要云计算中心PaaS应用配合,开发人员需要熟悉平台的API、部署和管理执行的安全控制软件模块。开发人员必须熟悉平台特定的安全特性,这些特性被封装成安全对象和Web服务。开发人员通过调用这些安全对象和We