版教育信息化2.0教育云建设方案
来源:加拿大移民 发布时间:2020-10-21 点击:
教育信息化 2.0
教育云建设方案 V3.0
最新版教育信息化
2.0
教育云
建设方案
第 1 页
教育信息化 2.0
教育云建设方案 V3.0
目 录 第
1 章. 现状及需求分析 .............................................................................................................................................. 4 1.1. 项目建设背景 .................................................................................................................................................. 4 1.2. 应用发展规划 .................................................................................................................................................. 4 1.2.1. 专递课堂 4 1.2.2. 名师课堂 5 1.2.3. 网络协作教研 ........................................................................................................................................ 6 1.2.4. 资源类应用 6 1.2.5. 互动教学 6 1.2.6. 教育管理平台 ........................................................................................................................................ 7 1.3. 建设内容 ......................................................................................................................................................... 7 1.3.1. 三通两平台一中心 ................................................................................................................................ 7 第
2 章. 城域网及资源中心方案整体设计 .............................................................................................................. 11 2.1. 设计原则与思路 .......................................................................................................................................... 11 2.2. 整体解决方案 ............................................................................................................................................... 14 第
3 章. 功能分区详细设计 ....................................................................................................................................... 17 3.1. 云数据中心——资源中心设计 ................................................................................................................... 17 3.1.1. 云平台数据中心建设目标 ................................................................................................................. 17 3.1.2. 数据中心云平台设计原则 ................................................................................................................. 19 3.1.3. 数据中心云平台总体设计 ................................................................................................................. 21 3.1.4. 云平台基础承载设计 ......................................................................................................................... 25 3.1.5. 云平台计算资源池设计 ..................................................................................................................... 31 3.1.6. 存储设计 34 3.1.7. 虚拟化平台设计 ................................................................................................................................. 37 3.1.8. 云平台系统设计 ................................................................................................................................. 40 3.2. 云通道建设——城域网 / 校校通方案 .................................................................................................... 49
3.2.1. 需求分析 ............................................................................................................................. 49 3.2.2. 链路选择 ............................................................................................................................. 49 3.2.3. 方案设计 ............................................................................................................................. 50 3.3. 云接入建设——班班通方案 ....................................................................................................................... 57
第 2 页
教育信息化 2.0
教育云建设方案 V3.0
3.3.1. 需求分析 ............................................................................................................................................. 57 3.3.2. 网络方案设计 ..................................................................................................................................... 57 3.3.3. 身份认证方案设计 ............................................................................................................................. 61 3.4. 云管理规划——整网运维方案 ................................................................................................................... 64 3.4.1. 系统安全管理 ..................................................................................................................................... 64 3.4.2. 资源管理 ............................................................................................................................................. 66 3.4.3. 拓扑管理 ............................................................................................................................................. 68 3.4.4. 故障(告警
/ 事件)管理 ................................................................................................................. 70 3.4.5. 告警深度关联分析与统计 ................................................................................................................. 72 3.4.6. 性能管理 ............................................................................................................................................. 74 3.4.7. 设备管理组件 ..................................................................................................................................... 75
第 3 页
教育信息化 2.0
教育云建设方案 V3.0
第1章. 现状及需求分析
1.1. 项目建设背景 上世纪九十年代以来,通过一系列重大工程和政策措施,我区的教育信息化发展奠定了一定的基础。随着教育模式的改革和新技术的不断涌现,信息化教学的应用不断拓展和深入,教学资源不断丰富,教育信息化在促进教育公平、提高教育质量、创新教育模式领域的支撑和带动作用初步显现。
《教育规划纲要》明确提出了信息化目标,即建成人人可享有优质教育资源的信息化学习环境,基本形成学习型社会的信息化支撑服务体系,基本实现所有地区和各级各类学校宽带网络的全面覆盖,教育管理信息化水平显著提高,信息技术与教育融合发展的水平显著提升。
1.2. 应用发展规划 应用发展是十二五期间信息化建设的关键内容,建设与教学融合的应用体系是应用规划的目标。结合目前国内外的先进经验,我区拟规划以下应用内容。
1.2.1. 专递课堂
同步课堂:
同步课堂基于 XX区资源中心提供的机构空间、学校空间、教师
空间进行。
1 个播出教室和 1-5 个接收教室构成一个虚拟课堂。
教育局在其空间内,利用同步课堂组织管理工具,统一组织播出学校和
第 4 页
教育信息化 2.0
教育云建设方案 V3.0
接收学校,统一安排虚拟课堂课表,并组织教学。播出学校和接收 学校也可自行配对,在其空间内向教育局提出申请。推送资源:
区资源中心根据教师需求情况将支持课堂教学的优质资源包推 送到教师空间,帮助教师备课、上课、进行教学评价。教师在教学活动中生成的资源可以提供到国家数字教育资源公共服务平台上进行共享。
探究性学习:
区资源中心通过推送探究性学习工具和资源,提供智能导航帮助教师开展探究式、讨论式、参与式教学,帮助学生增强运用信息技术分析解决问题的能力,学会学习。帮助教师运用探究学习模式开展日常学科教学。学生也可利用相应工具自行组织探究性学习。
1.2.2. 名师课堂
名师讲堂:
名师讲堂模式主要用于名师讲解学科重点难点,帮助学生更好地达成学习目标。讲授内容以各学科和专业课程章节重难点和期末总结为主。
名师导学:
名师导学模式通过将教师课堂讲授与智能学习系统 (“名师”)
的诊断与导学相结合,实现差异化教学和个性化指导,提高学生学 习能力。
第
5 页
教育信息化 2.0
教育云建设方案 V3.0
1.2.3. 网络协作教研
跨校网络协作教研 跨区域网络协作教研模式是利用国家数字教育资源公共服务平 台提供的虚拟教研社区功能, 组织不同区域教师开展协作教研活动, 实现交流学习、优势互补、共同提高。
名师工作室 名师工作室模式用于有组织地开放以特级教师和学科骨干教师本人命名的教师空间,为广大教师有针对性的选择与自己教育教学相关的专家或专家团队进行持续的教学科研提供服务。
1.2.4. 资源类应用
在区资源中心以自建、学校提供、企业提供等多种方式将传统知识点和学习内容电子化,以趣味、生动的方式呈现,提高学生学习兴趣和理解能力。
1.2.5. 互动教学
在教学过程中融入互动的体验,远程学习(名师讲堂类)时学生与老师远程互动,教学过程中与家长互动等。
第 6 页
教育信息化 2.0
教育云建设方案 V3.0
1.2.6. 教育管理平台
将传统的 OA办公、学籍管理、考勤系统、考核系统、行政办公系统、 E-Mail 等管理类系统统一为教育门户,提供一体化的教育管理工作平台。
1.3. 建设内容 1.3.1. 三通两平台一中心
两个平台,一个中心 所有的应用规划从对象角度来区分可以分为两大平台,一个是教学资源公共服务平台,一个是教育管理公共服务平台。两平台均以应用软件方式呈现,需要一个统一的硬件数据中心来承载,所以建设的首要内容就是“两个平台,一个中心”。
第 7 页
教育信息化 2.0
教育云建设方案 V3.0
资源到校——校校通 两大平台的内容统称为“资源”,资源区内学校共享的财富, 实现共享的手段就是将资源送到学校,也就是通过网络实现学校与教育局资源中心的连接,也即传统校校通的建设部分。
第 8 页
教育信息化 2.0
教育云建设方案 V3.0
资源中心
学 校 1 学 校 3
学 校 2
资源到班级——班班通 让学生在教室就能使用优质的教学资源,实现与远程名师的在线互动,就是资源到班级的建设内容。包括多媒体教室,无线网络覆盖班级实现班班通。
第 9 页
教育信息化 2.0
教育云建设方案 V3.0
资源中心
资源到个人——人人通 学生放学后依然能使用教学资源,老师在家、出差时期也能便捷使用备课系统,家长辅导学生等应用场景的实现,就是建设人人通空间,学生、家长、老师都能随时随地访问的内容。
第 10 页
教育信息化 2.0
教育云建设方案 V3.0
第2章. 城域网及资源中心方案整体设计
2.1. 设计原则与思路 城域网及资源中心的建设原则是能够高效、安全、绿色的支撑应用系统的使用,相比传统城域网建设,体现在几个层面的变化:
1、 数据中心的形成 相比传统服务器部署而言, 资源中心的建设要求有统一的数据中心来承载两大平台的运行 2、 虚拟化的使用 为了整合资源中心的硬件资源, 会大量使用虚拟化技术来建设弹性的资源池; 3、 应用类型对网络带宽的消耗 应用的规划以动画、视频、互动等大流量应用为主,相比传统
第 11 页
教育信息化 2.0
教育云建设方案 V3.0
网络带宽要求提升 10~20 倍; 4、 用户规模的剧增 资源的使用者增加了学生,相比传统只有老师使用的环境,用户规模增加了 10~20 倍; 5、 流量模型的变化 用户的访问模型以学校访问资源中心的流量为主, 基本上为纵向流量; 6、 允许断网时间的变化 教学系统上网意味着对网络可靠性的要求提高, 允许断网时间应该控制在分钟级别;
所以在城域网和资源中心的设计上需要遵循以下原则:
高性能 ——骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(视频、动画)的高质量传输,才能使网络不成为业务开展的瓶颈。
高可靠性 ——网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,设备充分考虑冗余、容错能力;合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。网络设备在出现故障时应便于诊断和排除,充分体现计算机网络的高可靠性。
安全性 ——制订统一的网络安全策略,整体考虑网络平台的安全性,保证师生能够安全、绿色的使用资源。
独立性 ——学校与教育局之间采用公网连接会导致一些应用系统的不可用(比如名师讲堂、双向教学等),而且公网连接也使得
第 12 页
教育信息化 2.0
教育云建设方案 V3.0
网络不安全、不可控等隐患,所以教育局与学校之间应该采用裸光 纤或者 VPN方式连接; 技术先进性和实用性 ——在保证满足校园业务、应用系统业务的同时,要体现出网络系统的先进性。在网络设计中要把先进的技术
与现有的成熟技术和标准结合起来,充分考虑网络应用的现状和未
来发展趋势。
标准开放性 ——支持国际上通用的网络协议、路由协议等开放的 协议标准,有利于保证与其它网络 ( 如中国教育网、公共数据网、学校之间等其它网络 ) 之间的平滑连接互通,以及将来网络的扩展。
灵活性及可扩展性 ——根据未来业务的增长和变化,网络可以平滑地扩充和升级,最大程度的减少对网络架构和现有设备的调整。
可管理性 ——对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流 量统计分析,及可提供故障自动报警。
强 QOS、强组播特性 ——城域网因为对视频、音频等多媒体业务 的需求较大,所以整个网络具有较完善的 QOS特性对教育网而言就显得尤为重要。能不能对关键业务进行带宽优先保证尤其是那些对 时延敏感的业务进行保证是教育网必须考虑的一个重点,为实现区 别服务,整网端到端的 QOS特性机制是优质网络业务的保证。另外组播特性对于有效的保证多媒体流传输性能和节省带宽也有非常重
要的意义,基于组播的控制特性也会进一步保证组播流的控制、管
理和安全,从而为实现教育城域网的多业务支持提供保障。
第 13 页
教育信息化 2.0
教育云建设方案 V3.0
兼容性和经济性 ——兼容性,能够最大限度地保证学校现有各种 计算机软、硬件资源的可用性和连续性,为不同的现存网络提供互联和升级的手段(如现有的双向教学系统),保证各种在用计算机系统(包括工作站、服务器和微机等设备)的互连入网,充分利用现有网络资源,发挥主干网的优势。经济性,就是在充分利用现有资源的情况下,最大限度地降低网络系统的总体投资,有计划、有步骤地实施,在保证网络整体性能的前提下,充分利用现有设备或做必要的升级。
2.2. 整体解决方案
XX区教育城域网的整体网络拓扑如下图所示:
第 14 页
教育信息化 2.0
教育云建设方案 V3.0
整个网络分为接入层(学校)、核心层、管理中心、电教馆办 公网、城域网资源中心以及网络出口等 6 个模块。接入层 在接入层,每个学校的出口采用一台统一威胁管理设备 U200 作为出口网关,通过运营商分配的专用线路连接到区教育局的网络核心。
核心层 在核心层采用两台 XXXS10508 核心交换机,通过 IRF2 技术虚拟成一台,以保证网络核心的可靠性,同时成倍提升网络性能。核
第 15 页
教育信息化 2.0
教育云建设方案 V3.0
心交换机上除了提供连接各功能区所必须的以太网接口外,还部署 防火墙、 IPS、流量分析等多种业务插卡,为整个教育城域网提供安全保障。
管理中心 管理中心作为整个教育城域网的总指挥部, 部署网络管理系统、安全管理系统、虚拟化管理平台等管理系统,以便于管理人员对整 个城域网进行统一规划和管理。
电教馆办公网 电教馆办公网作为城域网的一个单位接入城域网核心。
同样考虑到安全性和可管理性,建议在办公网出口处部署一台 U200。
资源服务区 在资源服务区, 通过虚拟化技术建立计算资源池和存储资源池, 为教育资源平台动态分配硬件资源,从而提高硬件资源的可靠性和 可扩展性。资源服务区通过若干台(依据具体服务器数量而定)数据中心级接入交换机与城域网核心相连,构成教育资源平台和各个教育单位数据互通的通道。
出口区 整个教育城域网将拥有两个网络出口,
一个连接到教育城域网中心,一个连接到互联网,作为整个教育城域网公网出口。
第 16 页
教育信息化 2.0
教育云建设方案 V3.0
第3章. 功能分区详细设计
3.1. 云数据中心——资源中心设计
3.1.1. 云平台数据中心建设目标
XX区城域网数据中心是数据大集中而形成的集成
IT 应用环境, 它是各种 IT 业务和应用服务的提供中心, 是数据运算 / 交换 / 存储的中心,实现对用户的数据、应用程序、物理构架的全面或部分进行 整合和集中管理。数据中心的建设中,存储系统的建设和完善贯穿 始终,这和当前应用系统建设的重点是相一致的。不论是各种数字 资源, 还是需要备份保存的业务数据, 其中心内容都是对于信息 (数据)的管理和使用。
本方案将云数据中心“ IT 基础设施”的“按需使用”以及”自动化管理和调度”作为云计算的实践,形成可落地实施的、可持续 发展的云计算平台,即 IaaS 云计算平台,为 XX区旗下中小学提供服 务集中以及按需使用服务,简化各个学校的 IT 管理,实现 XX区教育资源的统一整合与管理。
第 17 页
教育信息化 2.0
教育云建设方案 V3.0
作为教育云计算实践,云计算数据中心的建设建议达到以下目 标:
通过标准化、 虚拟化的资源池部署, 提高整体 IT 基础设施资源利用率; 实现 IT 基础设施资源的自助化服务, 按需申请, 按需供给, 实现面向最终用户的云服务模式; 实现 IT 基础设施资源的自动化部署及流程化管理, 并可利用云计算管理平台对资源进行可视、全面的监、管、控,简化日常 运维的管理流程、降低维护成本;
第 18 页
教育信息化 2.0
教育云建设方案 V3.0
在实现可落地的云实践的基础上, 保留未来向更高层次的云计 算实践发展的可能,如 SaaS和PaaS相关应用等;
3.1.2. 数据中心云平台设计原则
1. 兼容与互通 当前阶段云计算整个产业化还不够成熟,相关标准还不完善。为保证多厂商的良好兼容性,避免厂商技术锁定,方案的设计充分保 证与第三方厂商设备保持良好的对接。
此外,为保证方案的前瞻性, 设备的选型应充分考虑对已有的云计算相关标准(如 EVB/802.1Qbg 等)的扩展支持能力, 保证良好的先进性, 以适应未来的技术发展。
2. 业务高可用 云计算平台作为承载未来教育城域网以及各个校园应用的重要
IT 基础设施,伴随着数据与业务的集中,云计算平台的建设及运维给信息部门带来了巨大的压力,因此平台的建设从基础资源池(计
算、存储、网络)、虚拟化平台、云平台等多个层面充分考虑业务
的高可用, 基础单元出现故障后业务应用能够迅速进行切换与迁移, 用户无感知,保证业务的连续性。
3. 统一管理与自动化
第 19 页
教育信息化 2.0
教育云建设方案 V3.0
云计算的最终目标是要实现系统的按需运营,多种服务的开通, 而这依赖于对计算、存储、网络资源的调度和分配,同时提供用户 管理、组织管理、工作流管理、自助 Protal 界面等。从用户资源的申请、审批到分配部署的智能化。管理系统不仅要实现对传统的物 理资源和新的虚拟资源进行管理, 还要从全局而非割裂地管理资源, 因此统一管理与自动化将成为必然趋势。
4. 开放接口 传统的管理系统与上层系统对接,注重故障的上报和信息的查询。而云计算的管理系统更关注如何实现自动化的部署,在接口方面更
关注资源调度和分配, 这就需要管理系统在业务调度方面实现开放。为保证服务器、存储、网络等资源能够被云计算运营平台良好的调
度与管理,要求系统提供开放的 API 接口,云计算运营管理平台能够通过 API
接口、命令行脚本实现对设备的配置与策略下发联动。同时云平台也提供开放的 API 接口,未来可以基于这些接口进行二次定制开放,将云管理平台与教育城域网应用相融合,实现面向云
计算的教育应用管理平台。
第 20 页
教育信息化 2.0
教育云建设方案 V3.0
3.1.3. 数据中心云平台总体设计
3.1.3.1. 硬件结构
根据本期工程的需求和建设目标云计算平台总体逻辑拓扑结构如上图所示。整个平台由网络资源池、计算资源池、存储资源池、管理中心四部分组成。
网络资源池
:采用业界主流的“核心
+接入”扁平化组网,核心交换机采用 2台XXX S10508设备,部署 IRF2虚拟化技术,并在机框内部署网流分析(
NetStream )和防火墙(
FW)插卡, 第 21 页
教育信息化 2.0
教育云建设方案 V3.0
实现业务的流量监控和安全隔离防护, 外联至现网出口路由器, 实现外网互通;接入交换机采用 2台XXX S5820V2设备,部署IRF2虚拟化技术,并启用 VEPA功能,实现虚拟化网络感知。
计算资源池 :采用 20台XXX FlexServer R390 机架服务器,通过XXX Cloud Virtualization Kernel
虚拟化平台进行整合构建资源池,在虚拟机上部署业务系统和虚拟桌面应用。
存储资源池 :采用 2台HP LeftHand P4500 iSCSI 存储阵列,存放虚拟机镜像文件、配置文件以及业务系统数据。
管理中心 :采用 2台XXXFlexServer R390机架服务器, 部署 XXX iMC DCM数据中心管理套件、 XXXloud软件套件,实现对云计算
资源池的统一管理及调度。
第 22 页
教育信息化 2.0
教育云建设方案 V3.0
3.1.3.2. 软件结构
此次项目云计算软件平台的总体结构如上图所示,包括虚拟化层、自动化服务层、管理层、业务编排层、 API层:
1) 虚拟化层:
利用 Cloud Virtualization Kernel
提供的底层虚拟化能力和上层
Cloud Virtualization Center 提供的管理能力, 屏蔽底层物理硬件基础设施的异构性和复杂度,对外以虚拟资源 池的形式呈现。
2) 自动化服务层:
强调业务运行的高可用性和可扩展性,并对业务提供自动的容灾备份与资源调度能力。
3) 管理层:
对虚拟化资源及云运营要素进行管理,如虚拟机生命周
第 23 页
教育信息化 2.0
教育云建设方案 V3.0
期的管理、虚拟机镜像文件和配置文件的管理、多租户的安全隔 离、网络策略配置的管理等。
4) 业务编排层:
对云计算资源进行可运营性管理,包括对虚拟资源
池的编排、 最终用户的自助服务门户、 业务的申请、 审批与开通、用户帐务的管理与报表输出等。
5) API层:
为第三方云运营管理平台提供 RESTful 的API接口。
上述各层的功能实现分别对应 XXXloud 软件套件中的
Cloud Intelligence Center 、Cloud Virtualization Manager 和 Cloud Virtualization Kernel
三个组件完成:
Cloud Virtualization Kernel :虚拟化内核与管理代理
运行在基础设施层和上层操作系统之间的“元”操作系统,用 于协调上层操作系统对底层硬件资源的访问,减轻软件对硬件设备以及驱动的依赖性,同时对虚拟化运行环境中的硬件兼容性、高可靠性、高可用性、可扩展性、性能优化等问题进行加固处理。
Cloud Virtualization Manager :虚拟化管理软件包 主要实现对数据中心内的计算、网络和存储等硬件资源的软件虚拟化,形成虚拟资源池,对上层应用提供自动化服务。其业务范 围包括:虚拟计算、虚拟网络、虚拟存储、高可靠性( HA)、动态资源调度( DRS)、虚拟机容灾与备份、虚拟机模板管理、集群文件系 统、虚拟交换机策略等。
Cloud Intelligence Center :云业务运营软件包
第 24 页
教育信息化 2.0
教育云建设方案 V3.0
由一系列云基础业务模块组成,通过将基础架构资源(包括计 算、存储和网络)及其相关策略整合成虚拟数据中心资源池,并允许用户按需消费这些资源,从而构建安全的多租户混合云。其业务 范围包括:组织(虚拟数据中心)
、多租户数据和业务安全、云业务 工作流、自助式服务门户、兼容 OpenStack 的 REST API 接口等。
3.1.4. 云平台基础承载设计
3.1.4.1. 核心层设计
数据中心核心交换机需要资源池内部高速交换以及骨干互 联工作, 建议采用 XXX数据中心级核心交换机 S10500,主要基于如下考虑:
高性能:
核心汇聚层需要与其它外部网络互联,外连接口众多,并且这些外部网络所提供的接入带宽和接入设备都是业界高端设备,所以为了使网络在核心交换区不存在性能瓶颈,采用具备高密万兆的核心交换设备 . 整网可靠性:
因为城域网数据中心网络业务系统具有高可靠性设计,业务层面最大限度的保障业务转发不中断、不丢包。因此建议在核心交换部分采用主控和交换网板分离的核心交换机,提高网络可靠性,使整网可靠性方面不存在短板。
第 25 页
教育信息化 2.0
教育云建设方案 V3.0
绿色环保:
为了降低机房空调能耗,要求核心交换机采用 竖插槽,前下部进风、上后部抽风、强迫风散热形式。要求通过 RoHS、CE等国际环保认证。
核心层部署 IRF2.0 协议将两台 S10508 虚拟化成逻辑的 1 台交换机实现了跨
S10508
链路聚合,通过虚拟化后的逻辑设备与下行接入层交换机
5830V2 进行互联, 最终实现了核心 S10508 与 接入 5830 之间逻辑点对点连接后消除环路的同时避免部署 STP 和 VRRP协议。
3.1.4.2. 接入层设计
接入层交换机采用全万兆云平台接入交换机
XXX5830V2。未来每台服务器将会部署多台虚拟资源对外响应业务,
考虑到每个业务能够保证访问的带宽要求, 建议每台计算资源服务器与接入
交换万兆互联,同时每台接入层交换机采用 2 个
10GE 接口与核心交换机相连,保证数据中心互访的高效。
第 26 页
教育信息化 2.0
教育云建设方案 V3.0
3.1.4.3. 网络安全设计
为了应对云计算环境下的流量模型变化,安全防护体系的部署需 要朝着高性能的方向调整。在本次项目的建设过程中,多条高速链
路汇聚成的大流量已经比较普遍,在这种情况下,安全设备必然要
具备对高密度的
10GE甚至 100G接口的处理能力;无论是独立的机架式安全设备, 还是配合数据中心高端交换机的各种安全业务引擎, 都可以根据用户的云规模和建设思路进行合理配置;同时,考虑到
云计算环境的业务永续性,设备的部署必须要考虑到高可靠性的支
持,诸如双机热备、配置同步、电源风扇的冗余、链路捆绑聚合、
硬件 BYPASS等特性,真正实现大流量汇聚情况下的基础安全防护。
目前,虚拟化已经成为云计算提供 “按需服务” 的关键技术手段, 包括基础网络架构、存储资源、计算资源以及应用资源都已经在支 持虚拟化方面向前迈进了一大步,只有基于这种虚拟化技术,才可能根据不同用户的需求,提供个性化的存储计算及应用资源的合理分配,并利用虚拟化实例间的逻辑隔离实现不同用户之间的数据安 全。安全无论是作为基础的网络架构, 还是基于安全即服务的理念, 都需要支持虚拟化,这样才能实现端到端的虚拟化计算。典型的示 意图如图所示:
第 27 页
教育信息化 2.0
教育云建设方案 V3.0
本次项目防火墙插卡设备虽然部署在交换机框中,但仍然可以看 作是一个独立的设备。
它通过交换机内部的 10GE接口与网络设备相连,它可以部署为 2
层透明设备和三层路由设备。防火墙与交换机之间的三层部署方式与传统盒式设备类似。
如上图 FW三层部署所示,防火墙可以与宿主交换机直接建立三
层连接,也可以与上游或下游设备建立三层连接,不同连接方式取
决于用户的访问策略。
可以通过静态路由和缺省路由实现三层互通, 也可以通过 OSPF这样的路由协议提供动态的路由机制。
如果防火墙 部署在服务器区域,可以将防火墙设计为服务器网关设备,这样所有访问服务器的三层流量都将经过防火墙设备,这种部署方式可以提供区域内部服务器之间访问的安全性。
第 28 页
教育信息化 2.0
教育云建设方案 V3.0
防火墙是网络系统的核心基础防护措施,它可以对整个网络进行 网络区域分割, 提供基于 IP 地 址和 TCP/IP
服务端口等的访问控制; 对常见的网络攻击方式, 如拒绝服务攻击 ( ping of death, land, syn flooding, ping flooding,
tear drop )、端口扫描( port scanning )、IP 欺骗 (ip spoofing) 、IP
盗用等进行有效防护;并提供
NAT地址转换、流量限制、用户认证、
IP
与 MAC绑定等安全增强措施。
对于云计算数据中心虚拟机服务网关的选择上,建议根据不同租 户的安全需求进行区分对待, 不建议将所有网关配置在 FW上, 以分散 FW的压力,满足租户内的安全域隔离,具体设计如下:
对于需要 FW的业务的租户,网关部署在 vFW 上 ; 对于不需要 FW的普通租户,网关部署在核心交换机上。
安全控制策略:
第 29 页
教育信息化 2.0
教育云建设方案 V3.0
防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有 明确的规则允许通过,全部拒绝以保证安全;
建议在两台防火墙上设定严格的访问控制规则,配置只有规则允 许的 IP 地址或者用户能够访问数据业务网中的指定的资源, 严格限制网络用户对数据业务网服务器的资源,以避免网络用户可能会对 数据业务网的攻击、非授权访问以及病毒的传播,保护数据业务网的核心数据信息资产; 配置防火墙防
DOS/DDOS 功能, 对
Land、Smurf 、Fraggle
、Ping
of Death 、Tear Drop 、SYN Flood 、ICMP Flood 、UDP Flood 等拒绝服务攻击进行防范,可以实现对各种拒绝服务攻击的有效防范,保证 网络带宽;
配置防火墙全面攻击防范能力,包括
ARP欺骗攻击的防范,提供ARP主动反向查询、 TCP报文标志位不合法攻击防范、超大 ICMP报文攻击防范、 地址 / 端口扫描的防范、 ICMP重定向或不可达报文控制功能、Tracert 报文控制功能、 带路由记录选项 IP 报文控制功能等, 全面防范各种网络层的攻击行为; 根据需要,配置
IP/MAC 绑定功能,对能够识别 MAC地址的主机进行链路层控制, 实现只有 IP/MAC 匹配的用户才能访问数据业务网中的服务器;
第 30 页
教育信息化 2.0
教育云建设方案 V3.0
其他可选策略:
可以启动防火墙身份认证功能, 通过内置数据库或者标准 Radius 属性认证,实现对用户身份认证后进行资源访问的授权,进行更细粒度的用户识别和控制; 根据需要,在两台防火墙上设置流量控制规则,实现对服务器访问流量的有效管理,有效的避免网络带宽的浪费和滥用,保护关键服务器的网络带宽; 根据应用和管理的需要,设置有效工作时间段规则,实现基于时
间的访问控制, 可以组合时间特性, 实现更加灵活的访问控制能力; 在防火墙上进行设置告警策略,利用灵活多样的告警响应手段 ( E-mail 、日志、 SNMP陷阱等),实现攻击行为的告警,有效监控网络应用; 启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析; 3.1.5. 云平台计算资源池设计
服务器是云计算平台的核心,其承担着云计算平台的“计算”功能。对于云计算平台上的服务器,通常都是将相同或者相似类型的
第 31 页
教育信息化 2.0
教育云建设方案 V3.0
服务器组合在一起, 作为资源分配的母体, 即所谓的服务器资源池。
在这个服务器资源池上,再通过安装虚拟化软件,使得其计算资源能以一种虚拟服务器的方式被不同的应用使用。这里所提到的虚拟服务器,是一种逻辑概念。对不同处理器架构的服务器以及不同的 虚拟化平台软件,其实现的具体方式不同。在 x86 系列的芯片上, 其主要是以常规意义上的
VMware虚拟机或者
XXXloud 虚拟机的形式存在。
在搭建服务器资源池之前,首先应该确定资源池的数量和种类,
并对服务器进行归类。
归类的标准通常是根据服务器的处理器类型、型号、配置、物理位置来决定。对云计算平台而言,属于同一个资
源池的服务器,通常就会将其视为一组可互相替代的资源。所以,
一般都是将相同处理器、相近型号系列并且配置与物理位置接近的
服务器——比如相近型号、物理距离不远的机架式服务器或者刀片
服务器。在做资源池规划的时候,也需要考虑其规模和功用。如果
单个资源池的规模越大,可以给云计算平台提供更大的灵活性和容
错性:更多的应用可以部署在上面,并且单个物理服务器的宕机对
整个资源池的影响会更小些。但是同时,太大的规模也会给出口网
络吞吐带来更大的压力,各个不同应用之间的干扰也会更大。如果
有条件的话,通常推荐先审视一下自身的业务应用。可以考虑将应
用分级,将某些级别高的应用尽可能地放在某些独立而规模较小的 第 32 页
教育信息化 2.0
教育云建设方案 V3.0
资源池内,辅以较高级别的存储设备,并配备高级别的运维值守。
而那些级别比较低的应用,则可以被放在那些规模较大的公用资源池(群)中。
初期的资源池规划应该涵盖所有可能被纳管到云计算平台的所有服务器资源,包括那些为搭建云计算平台新购置的服务器、校园内部那些目前闲置着的服务器以及那些现有的并正在运行着业务应用的服务器。在云计算平台搭建的初期,那些目前正在为业务系统服务的服务器并不会直接被纳入云计算平台的管辖。但是随着云计算平台的上线和业务系统的逐渐迁移,这些服务器也将逐渐地被并入云计算平台的资源池中。
对于 x86 系列的服务器,除了用于生产系统的资源池以外,还需要专门搭建一个测试用资源池,以便云计算平台项目实施过程以及平台上线以后运维过程中使用。
在云计算平台搭建完毕以后,服务器资源池可以如下图所示:
第 33 页
教育信息化 2.0
教育云建设方案 V3.0
在云计算平台上线以后,原有非云计算平台上的应用会逐步向 云计算平台迁移,空出的服务器资源池也会逐渐并入云计算平台的资源池中。其状态可以用下图所示:
3.1.6. 存储设计
对云计算平台存储的规划的出发点应该是应用本身。首先应该考察每个业务应用的优先级,以及其对存储性能、可靠性与灵活性的要求。对那些需要高性能与高可靠性的云计算应用,原则上应该为其或者其所在的资源池配备性能、可靠性较好的高端的存储。而对于那些对灵活性要求较高的业务应用,则应该考虑为其或其所在的资源池配备灵活性比较好的存储虚拟化方案。
如果应用足够重要,在设计存储架构的时候还应该考虑存储级别的备份,以对各个节点可能出现的故障做冗余。比如,可以采用双存储交换机互为热备的形式,来防止存储用光纤交换机所出现的故障可能。同样,该资源池后面所拖的存储,也可以采用双存储热备
第 34 页
教育信息化 2.0
教育云建设方案 V3.0
的形式。为该资源池的主存储购置一个型号相同的备用存储服务器 并通过磁盘对磁盘的备份方式,对两个存储服务器上的数据进行同步。这样,资源池、交换机和存储服务器的关系可以如下图所示:
对于共享存储资源池,根据具体资源池上所运行的业务类型的特性,也可以考虑为其配备各种类型的存储。对于运行关键应用的生 产系统,推荐配备 SAN架构的存储解决方案。而对非关键应用的生 产系统,可以根据预算,灵活地配备 SAN、iSCSI 或者 NAS的存储解决方案。
本地存储设计
服务器本地存储用于安装虚拟化平台(如
Cloud Virtualization Manager 和 Cloud Virtualization Kernel )和保存资源池的元数据。
第 35 页
教育信息化 2.0
教育云建设方案 V3.0
本地存储建议配置两块 SAS硬盘,设置为 RAID-1 ,通过镜像( Mirror )
方式防止本地磁盘出现单点故障,以提高
XXXloud 本身的可用性。
远端共享存储设计
远端共享存储用于保存所有虚拟机的镜像文件以支持动态迁移、 HA和动态负载均衡等高级功能。共享存储
LUN容量规划公式如下:
LUN 容量
= (
Z × (
X + Y )
× 1.2 )
Z = 每 LUN上驻留的虚拟机个数X = 虚拟磁盘文件容量 Y = 内存大小
假设每个 LUN上驻留 10 个虚拟机,虚拟磁盘文件容量需求平均 为 40GB,内存容量在 4~8GB之间, 考虑到未来业务的扩展性, 内存交换文件按 8GB空间估算,整体冗余 20%,那么:
LUN 容量
= (
10 × (
8 + 40 )
× 1.2 )
≈ 600GB ISO 库
为了虚拟机安装配置的方便,建议配置 ISO 镜像库,可以将保存 在 Windows共享中的 ISO 格式安装源文件通过 Windows CIFS 方式挂接在 XXXloud HyperCenter 上,这样,创建新虚拟机时不需要使用
物理光驱和光盘,简化使用和提高安装速度。
第 36 页
教育信息化 2.0
教育云建设方案 V3.0
3.1.7. 虚拟化平台设计
传统的虚拟机生命周期是指虚拟机从创建到删除所经历的各个 阶段,最常见的划分为“创建、运行、终结”三个阶段。在 IaaS 架构中,虚拟机作为最为重要的 IT 基础设施, 它的生命周期贯穿于整 个云业务服务的流程之中,并直接关系着云计算平台的资源利用状 况。因此,为了更好的将虚拟机的生命周期管理和云业务及资源平
台管理结合在一起,在 XXXloud 云计算解决方案中,将虚拟机的生命周期外延为“规划、创建、运行、调整、终结”五个阶段。在云
解决方案中,虚拟机生命周期的管理除了关注虚拟机正常的生命阶
段以外,还需要关注虚拟机两个外延属性——业务和资源。
第 37 页
教育信息化 2.0
教育云建设方案 V3.0
3.1.7.1. 规划
虚拟机的规划是 IT 架构的关键设计范畴。在这个阶段需要将业务需求转化为 IT 需求, 并落实到业务和资源两个方面的规划设计中来。着重考虑两个方面的内容:
业务梳理和评估
通过对业务的梳理, 评估各学校以及数据中心平台各业务部门对虚拟机类型和规模的需求 定义各部门组织以及给组织划分其所属的虚拟资源,包括计算资源,网络资源,存储资源以及虚拟机模板等。实际操作流程如下图所示:
3.1.7.2. 创建
虚拟机的创建是虚拟机实体诞生并提供给用户业务的开始。XXXloud 云方案提供了多种方式来创建虚拟机:从模板生成,自定义参数,克隆等。
虚拟机创建时需要考虑硬件资源(
CPU数量(核数)
&CPU调度优先级
,IO 资源:
存储资源
&IO 优先级
。内存大小
,网络资源
等)
和系统和应用 ( 操作系统等)
)两方面的内容。
这些因素在 XXX 云
第 38 页
教育信息化 2.0
教育云建设方案 V3.0
管理平台中虚拟机创建流程中都会有涉及,具体操作界面如下图所 示:
3.1.7.3. 运行
虚拟机的运行可以实现完整的传统物理机运行状态。而且依托虚
拟化技术实现更加灵活的虚拟机使用模式:启动、休眠、关闭、暂
停、恢复、重启。用户可以依托 XXX云管理平台简单的实现上述虚拟机的状态的切换,具体如下图所示:
3.1.7.4. 调整
虚拟机的调整是云业务管理员根据虚拟机所承载的业务的变化需求对现有虚拟机所占资源的主动行为。这种调整可以是由于业务扩展带来的虚拟机硬件资源扩张,也可能是业务收缩后对多余资源的释放。虚拟机的调整是云计算业务资源弹性最直观的体现,也是 云计算技术给教育业务开展带来敏捷性的根本所在。
XXX云计算平台可以在线的调整虚拟机所占用的系统资源,实际操作如下图所示:
第 39 页
教育信息化 2.0
教育云建设方案 V3.0
3.1.7.5. 终结
如下图所示,虚拟机在云计算管理平台上被删除,即意味着虚拟机生命周期的终结。在虚拟机生命周期终结时要关注虚拟机所占用 系统资源的回收。
XXX云管理平台在虚拟删除后,会自动回收 CPU 和内存等资源,为了保证虚拟机数据安全其所占用的存储资源不会自动回收。
3.1.8. 云平台系统设计
3.1.8.1. 云业务工作流程
在“ IT 即服务”的云计算平台系统中,
IT
服务的自助式提供和业务自动化部署是云计算业务的关键特点。而上述特点均依赖于云 业务部署流程的合理管理和业务自动化部署的结合。通过云业务工作流程的管理,可以将云计算平台中各功能模块有机的结合起来。从而实现云计算平台业务快速和自动化开展实施。
云业务工作流作为一个公共基础系统贯穿了云平台业务过程,最 终实现 IT 服务的对业务部门的自助式交付。
XXX 云计算解决方案基于 Web页面提供了完整的端到端云业务工作流程管理。其业务工作 流程如下图所示 :
第 40 页
教育信息化 2.0
教育云建设方案 V3.0
用户访问自助门户完成身份认证和权鉴
服务目录根据用户身份 (所属部门)
组织对应的服务目录, 并推送到用户自助门户 用户在自己对应的服务目录中选择申请所需的云服务, 从而启动工作流 管理员审批用户的服务自助申请。
审批通过后, 启动业务开启流程,将服务申请下发到编排系统 编排系统根据用户所选的服务获取对应的资源属性,
自动调用云资...
推荐访问:教育信息化 方案 建设