1 概述

    中國科學院資源規(guī)劃項目(Academia Resource Planning,ARP)，是實現(xiàn)中國科學院資源規(guī)劃管理的信息系統(tǒng)工程，目前采用分布式部署方式，每個研究院所單獨部署一套ARP 系統(tǒng)，各節(jié)點間通過VPN 設(shè)備建立虛擬專網(wǎng)進行連接，與公網(wǎng)進行邏輯隔離。這種部署方式一方面造成本地系統(tǒng)高可靠性配置的硬件成本增加，而另一方面各節(jié)點間硬件資源不能有效地共享利用，且分布式運運營維護導致效率低下、監(jiān)控管理復雜、系統(tǒng)升級維護困難，每新增一個節(jié)點需要重新購置服務(wù)器、安全設(shè)備和存儲等相關(guān)硬件資源。隨著應(yīng)用系統(tǒng)規(guī)模的增大，為了降低硬件成本、系統(tǒng)管理以及運維成本，減少系統(tǒng)維護與備份宕機時間，提高系統(tǒng)的安全性和系統(tǒng)運行穩(wěn)定性，實現(xiàn)對分布系統(tǒng)的集中運維管理和快速升級部署等，本文提出了一種基于虛擬化技術(shù)的ARP 私有云服務(wù)解決方案，通過虛擬化技術(shù)對底層硬件平臺進行整合利用。

2 虛擬化與云服務(wù)

    2.1 服務(wù)器虛擬化

    服務(wù)器虛擬化是指在一個硬件平臺上模擬多個獨立的、和真實硬件指令集結(jié)構(gòu)相同的虛擬硬件系統(tǒng)，每個虛擬硬件系統(tǒng)上可以運行不同的操作系統(tǒng)。主要通過虛擬監(jiān)視器(Virtual Machine Monitor, VMM)實現(xiàn)。VMM 是計算機硬件和操作系統(tǒng)之間的軟件層，它運行在特權(quán)模式，負責管理和隔離上層運行的多個虛擬機(VM)，為這些虛擬機提供安全獨立的運行環(huán)境，同時也為每個虛擬機虛擬一套與真實硬件無關(guān)的虛擬硬件環(huán)境。虛擬機運行在非特權(quán)模式下，每個虛擬機上運行著獨立的操作系統(tǒng)。常見的虛擬化軟件有Vmware、Microsoft Virtual Server、Xen、KVM、OpenVZ等。

    2.2 云服務(wù)

    NIST 指出云計算是一種能夠方便、按需從網(wǎng)絡(luò)訪問共享的可配置計算資源(如網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用程序和服務(wù))池的模型，且只需最少的管理或服務(wù)提供方交互即可快速供應(yīng)和發(fā)布該模型。虛擬化技術(shù)為云計算模型中的資源管理提供了一種有效的解決辦法，而云服務(wù)即是基于云計算模式對外提供按需個性化的服務(wù)方式。

    2.3 APCS 私有云

    借助于虛擬化技術(shù)和云服務(wù)模式，建設(shè)ARP 內(nèi)部業(yè)務(wù)管理系統(tǒng)的私有云服務(wù)(ARP Private Cloud Services, APCS)平臺。首先通過虛擬化技術(shù)對目前的分布式硬件資源進行整合，建設(shè)區(qū)域分中心，每個區(qū)域分中心支持本區(qū)域內(nèi)應(yīng)用系統(tǒng)運行環(huán)境，分中心間通過高速專用網(wǎng)絡(luò)建立連接，形成私有云基礎(chǔ)架構(gòu)平臺。通過集中式私有云管理平臺建設(shè)，實現(xiàn)對區(qū)域分中心內(nèi)部資源的分配管理和運維監(jiān)控，并實現(xiàn)跨分中心

    間的資源調(diào)度，真正達到系統(tǒng)資源跨地域的按需分配，而作為業(yè)務(wù)終端用戶不必關(guān)心訪問應(yīng)用的物理位置、資源使用情況等，達到透明化的按需使用服務(wù)。

3 APCS 方案設(shè)計

    3.1 系統(tǒng)現(xiàn)狀

    目前ARP 系統(tǒng)采用分布式方式部署在全院100 多個科研院所中，遍布20 多個城市，每個部署節(jié)點運行的應(yīng)用系統(tǒng)包括2 個數(shù)據(jù)庫服務(wù)和3 個業(yè)務(wù)應(yīng)用服務(wù)，硬件資源配置為HP380G6 服務(wù)器3 臺~4 臺(雙路四核Intel CPU 2.26 GHz，16 GB 內(nèi)存)，經(jīng)監(jiān)測每臺物理主機系統(tǒng)日常資源消耗CPU為10%，內(nèi)存為2 GB。監(jiān)測結(jié)果表明，目前硬件配置資源還有很大利用空間，將硬件資源進行虛擬化整合可以提高系統(tǒng)硬件資源利用率，同時解決了為提高業(yè)務(wù)系統(tǒng)的高可靠性，而在不增加服務(wù)器數(shù)量的情況下，使用虛擬機化技術(shù)進行系統(tǒng)運行環(huán)境的冗余配置。

    3.2 技術(shù)平臺架構(gòu)

    ARP 私有云服務(wù)APCS 主要由ARP 私有云服務(wù)基礎(chǔ)架構(gòu)平臺(ARP Cloud Services Infrastructure Platform, ACSIP)和ARP 私有云服務(wù)管理平臺(ARP Cloud Services ManagementPlatform, ACSMP)兩部分構(gòu)成，如圖1 所示。

圖1 私有云服務(wù)APCS 管理架構(gòu)

    ACSIP 由若干個區(qū)域節(jié)點(Area Node, AN)組成，主要實現(xiàn)對系統(tǒng)硬件資源的虛擬化整合，提高系統(tǒng)資源利用率，并對ARP 系統(tǒng)業(yè)務(wù)應(yīng)用進行組件化模板分類，支持應(yīng)用的快速部署功能，為業(yè)務(wù)用戶提供應(yīng)用服務(wù)。ACSMP 即是對ARP云服務(wù)環(huán)境進行管理配置，為資源申請者提供虛擬資源的分配和管理，為系統(tǒng)維護人員提供系統(tǒng)的日常運行維護和監(jiān)控，為決策人員定期生成系統(tǒng)運行健康報告和資源需求報告，并進行私有云安全管理等。

    3.3 區(qū)域中心節(jié)點

    為更好整合系統(tǒng)硬件資源，提高資源利用率，將目前分布式系統(tǒng)進行區(qū)域集中，建立APCS 區(qū)域節(jié)點AN，每個AN搭建基于FC-SAN 的存儲網(wǎng)絡(luò)結(jié)構(gòu)。對于前端主機服務(wù)器進行硬件資源虛擬化設(shè)置，虛擬多個主機系統(tǒng)，所有虛擬機文件存放在共享存儲上，每個分布式業(yè)務(wù)系統(tǒng)分配虛擬服務(wù)器資源(虛擬網(wǎng)絡(luò)、虛擬CPU、虛擬內(nèi)存、虛擬存儲)。各虛擬主機可以在物理服務(wù)器之間進行高可靠性、動態(tài)遷移、容錯等功能設(shè)置實現(xiàn)業(yè)務(wù)系統(tǒng)連續(xù)性。各AN 間高速互聯(lián)形成內(nèi)部私有云基礎(chǔ)資源池平臺。

4 APCS 技術(shù)實現(xiàn)

    4.1 ACSIP

    ARP 私有云服務(wù)基礎(chǔ)架構(gòu)平臺ACSIP 主要包括硬件資源基礎(chǔ)架構(gòu)層IaaS(Infrastructure as a Service)、ARP 系統(tǒng)平臺服務(wù)層APaaS(ARP Platform as a Service)和ARP 系統(tǒng)應(yīng)用服務(wù)層ASaaS(ARP Software as a Service)，如圖2 所示。

圖2 APCS 實現(xiàn)技術(shù)架構(gòu)

    IaaS 層主要實現(xiàn)對網(wǎng)絡(luò)、存儲和服務(wù)器等物理資源的虛擬化，形成虛擬資源池。用戶資源的獲取可以從虛擬資源池中進行分配，并能夠?qū)Ψ峙涞馁Y源在使用過程中根據(jù)需求進行動態(tài)調(diào)整，為上層應(yīng)用服務(wù)提供資源保障。

    APaaS 層即根據(jù)ARP 業(yè)務(wù)系統(tǒng)需求，對所需Linux 操作系統(tǒng)、Oracle 數(shù)據(jù)庫系統(tǒng)、JBoss 應(yīng)用服務(wù)系統(tǒng)和消息中間件等平臺層進行組件化模板配置，便于業(yè)務(wù)快速擴展部署。ASaaS 層即將目前ARP 系統(tǒng)中業(yè)務(wù)管理系統(tǒng)、公共事務(wù)系統(tǒng)和信息管理與服務(wù)平臺等業(yè)務(wù)應(yīng)用進行封裝部署，直接提供給終端業(yè)務(wù)用戶，終端用戶只需申請符合自己權(quán)限的用戶賬號，即可直接登錄系統(tǒng)進行業(yè)務(wù)系統(tǒng)使用。

    4.2 ACSMP

    ARP 私有云服務(wù)管理平臺ACSMP 實現(xiàn)對ARP 云服務(wù)環(huán)境的管理，主要包括用戶管理、資源管理、運維管理、監(jiān)控管理和安全管理等。用戶管理實現(xiàn)用戶的創(chuàng)建、修改和注銷，以及用戶的角色授權(quán)管理等。資源管理實現(xiàn)對系統(tǒng)資源申請、分配、調(diào)整、回收管理。運維管理實現(xiàn)模板配置、動態(tài)遷移、負載均衡、高可靠性管理。監(jiān)控管理實現(xiàn)網(wǎng)絡(luò)監(jiān)控、虛擬機監(jiān)控、主機監(jiān)控管理。安全管理實現(xiàn)網(wǎng)絡(luò)安全管理、數(shù)據(jù)安全管理、服務(wù)器安全管理。

    云管理平臺是非侵入式高度模塊化、采用公開的標準協(xié)議的管理平臺，系統(tǒng)采用組件化設(shè)置，由云控制器、集群控制器、節(jié)點控制器、存儲控制器等核心組件組成。各個控制器分別完成不同的功能，相對獨立，從而保證系統(tǒng)的可擴展性。平臺實現(xiàn)為資源申請者進行物理資源的分配和管理，對于申請者不必關(guān)心具體物理存放位置，為系統(tǒng)維護人員提供系統(tǒng)的日常運行維護和監(jiān)控，為決策人員定期生成系統(tǒng)運行健康報告和資源需求報告。

5 APCS 關(guān)鍵技術(shù)實現(xiàn)

    5.1 資源動態(tài)分配算法

    對于各物理主機上虛擬資源池中資源分配可以使用改進的線性銀行家分配算法、循環(huán)銀行家分配算法或最大可用資源銀行家分配算法。

    銀行家算法[4]是一種最有代表性的避免死鎖的資源分配算法。當進程首次申請資源時，要測試該進程對資源的最大需求量，如果系統(tǒng)現(xiàn)存的資源可以滿足它的最大需求量則按當前的申請量分配資源，否則就推遲分配。當進程在執(zhí)行中繼續(xù)申請資源時，先測試該進程已占用的資源數(shù)與本次申請的資源數(shù)之和是否超過了該進程對資源的最大需求量。若超過則拒絕分配資源，若沒有超過則再測試系統(tǒng)現(xiàn)存的資源能否滿足該進程尚需的最大資源量，若能滿足則按當前的申請量分配資源，否則也要推遲分配。線性銀行家分配算法是指當有虛擬機資源申請時，優(yōu)先在一個主機內(nèi)進行資源分配，當?shù)谝慌_主機的資源分配完畢后再進行下一臺主機資源分配。此種分配算法的主要優(yōu)點為最大化利用啟動主機資源，沒有分配到資源使用的主機可以在待機狀態(tài)下，節(jié)省了能源消耗，主要缺點為主機間沒有實現(xiàn)負載均衡。

    循環(huán)銀行家分配算法是當有虛擬機申請資源時，按照主機順次進行資源分配，即第1 個虛擬機分配主機1 資源，第2 個虛擬機分配主機2 資源等。此種分配算法優(yōu)點為實現(xiàn)了各主機間的負載均衡，缺點為各主機資源利用率未必飽滿。

    最大可用資源銀行家分配算法為當有虛擬機資源申請時，按照可利用資源最多的主機優(yōu)先進行分配，此種分配方法最大可能性地保障了每次分配的成功，減少了資源在同一主機上競爭的可能性。

    3 種分配算法如圖3 所示。圖3(a)為線性銀行家分配算法；圖3(b)為循環(huán)銀行家分配算法；圖3(c)為最大可用資源銀行家分配算法。

圖3 APCS 資源分配算法

    5.2 業(yè)務(wù)連續(xù)性保障

    ARP 系統(tǒng)為內(nèi)部業(yè)務(wù)管理信息處理系統(tǒng)，隨著業(yè)務(wù)功能擴展和終端業(yè)務(wù)用戶數(shù)量的不斷增多，對系統(tǒng)的業(yè)務(wù)連續(xù)性提出了越來越高的要求。APCS 私有云平臺保障了系統(tǒng)的高可用、高可靠和系統(tǒng)的災難恢復。

    通過虛擬化技術(shù)中的在線遷移功能，可以將在一臺物理主機上運行的虛擬機實時遷移至另一臺物理主機上運行。實現(xiàn)的技術(shù)原理為將虛擬機的文件系統(tǒng)放置在2 臺物理機都能訪問的共享存儲上，遷移時只是將物理機上的計算資源進行保護，瞬間遷移至另一臺物理機上，2 臺物理機的CPU 指令集需要一致。此技術(shù)保障了一臺物理機出現(xiàn)故障，或主機負載過大影響虛擬機正常運行時，將虛擬機遷移至另一臺負載較小的主機上運行，從而實現(xiàn)了業(yè)務(wù)系統(tǒng)高可用性。高可靠性是指應(yīng)用系統(tǒng)的物理主機出現(xiàn)故障時，其應(yīng)用可以遷移至另一臺物理主機上運行，不影響終端用戶的業(yè)務(wù)操作。以上技術(shù)保障了由于系統(tǒng)故障導致計劃外停機時，業(yè)務(wù)系統(tǒng)的連續(xù)性應(yīng)用。同時在進行主機硬件設(shè)備的日常檢修等計劃內(nèi)停機時，也可將檢修主機上應(yīng)用手動先遷移至其他有空閑資源的主機運行，待檢修完畢后再遷回，從而減少對業(yè)務(wù)系統(tǒng)使用的影響。

    災難恢復是指生產(chǎn)環(huán)境遭到災難破壞時，能夠進行數(shù)據(jù)恢復的能力，衡量指標主要有恢復點目標和恢復時間目標。APCS 私有云平臺下由于每個虛擬機系統(tǒng)全部以文件形式存在于共享存儲上，因此可以對虛擬機文件進行本地存儲的快照備份，然后利用存儲間數(shù)據(jù)同步機制將備份傳至異地災備中心，在保證數(shù)據(jù)備份安全的同時，降低系統(tǒng)恢復的RPO和RTO，從而減少系統(tǒng)恢復時間和業(yè)務(wù)數(shù)據(jù)丟失量，保障業(yè)務(wù)系統(tǒng)連續(xù)使用。

    5.3 安全管理

    APCS 平臺將原來分布式業(yè)務(wù)系統(tǒng)進行區(qū)域集中后，面臨的核心安全問題為遷移后系統(tǒng)的網(wǎng)絡(luò)安全、虛擬機安全、數(shù)據(jù)安全和訪問控制安全等。

    網(wǎng)絡(luò)層安全通過虛擬交換機的VLAN 設(shè)置和虛擬機系統(tǒng)不同的IP 網(wǎng)段分配方式進行邏輯隔離，虛擬機間的訪問控制通過軟件防火墻進行設(shè)置。各區(qū)域中心節(jié)點AN 間通過SSLVPN 方式進行網(wǎng)絡(luò)連接，保護數(shù)據(jù)在網(wǎng)絡(luò)傳輸層的安全性。虛擬化技術(shù)平臺對虛擬機的內(nèi)存管理、運行保護和I/O管理提供統(tǒng)一封裝性的運行安全管理，保障各虛擬資源間的申請、分配和使用安全以及對虛擬機內(nèi)處理數(shù)據(jù)的讀取、運算和存儲安全。

    數(shù)據(jù)安全主要包括虛擬機系統(tǒng)文件安全和虛擬機內(nèi)應(yīng)用系統(tǒng)數(shù)據(jù)安全。由于虛擬機將所有CPU、內(nèi)存、存儲等虛擬資源以及虛擬機上運行的業(yè)務(wù)系統(tǒng)都統(tǒng)一封裝成固定文件格式以文件的形式存儲在共享存儲上，對這些文件的訪問需要做到嚴格的訪問控制管理和安全備份管理。對于虛擬機內(nèi)應(yīng)用系統(tǒng)數(shù)據(jù)安全管理方式和在系統(tǒng)在物理機上運行時相同，采用應(yīng)用系統(tǒng)訪問控制管理和數(shù)據(jù)庫級安全備份管理。

    APCS 訪問控制管理主要分為ACSMP 平臺管理員、虛擬機內(nèi)應(yīng)用系統(tǒng)運維管理員和應(yīng)用系統(tǒng)業(yè)務(wù)用戶的訪問控制管理，其控制管理辦法主要包括用戶登錄安全認證、訪問權(quán)限控制管理、最小特權(quán)管理以及相應(yīng)的安全審計機制等。

6 結(jié)束語

    本文提出了一種對于分布式管理信息系統(tǒng)進行資源整合和為最終用戶提供應(yīng)用訪問按需分配的APCS 私有云服務(wù)解決方案。通過ACSIP 建設(shè)，整合了目前分布式系統(tǒng)的硬件資源平臺，提高了硬件資源的使用效率，保護了硬件投資，降低了系統(tǒng)能耗。通過ACSMP 建設(shè)，實現(xiàn)了系統(tǒng)資源的統(tǒng)一調(diào)配管理，同時實現(xiàn)了系統(tǒng)的集中監(jiān)控和運維管理，提高了系統(tǒng)運維效率，減少了各節(jié)點系統(tǒng)運維壓力，提升系統(tǒng)運行維護管理水平。同時對私有云平臺的資源池動態(tài)分配和分配算法、系統(tǒng)業(yè)務(wù)連續(xù)性保障、私有云安全管理等關(guān)鍵技術(shù)進行了分析和闡述。 

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：基于虛擬化技術(shù)的私有云APCS平臺設(shè)計

本文網(wǎng)址：http://www.oesoe.com/html/support/1112154944.html