公安系统的曙光Cloudview云计算解决方案.docx
《公安系统的曙光Cloudview云计算解决方案.docx》由会员分享,可在线阅读,更多相关《公安系统的曙光Cloudview云计算解决方案.docx(16页珍藏版)》请在冰豆网上搜索。
公安系统的曙光Cloudview云计算解决方案
1虚拟化技术与公安系统应用
1.1虚拟化技术概述
虚拟化是一个抽象层,它将物理硬件与操作系统分开,从而提供更高的IT资源利用率和灵活性。
虚拟化允许具有不同操作系统的多个虚拟机在同一物理机上独立并行运行。
每个虚拟机都有自己的一套虚拟硬件(例如RAM、CPU、网卡等),可以在这些硬件中加载操作系统和应用程序。
无论实际采用了什么物理硬件组件,操作系统都将它们视为一组一致、标准化的硬件。
虚拟化是一种调配资源的方法,从原理上来讲,它虚拟的是指令集。
虚拟机把这些虚拟指令“映射”到计算机的实际指令集。
目前所能看到的硬分区、软分区、逻辑分区、SolarisContainer、VMware、Xen、微软Hyper-V这些虚拟技术,都是同样的原理,只是虚拟指令集所处的位置不同而已。
关于服务器虚拟化的概念,各个厂商有自己不同的定义,然而其核心思想是一致的,即它是一种方法,能够通过区分资源的优先次序并随时随地能将服务器资源分配给最需要它们的工作负载来简化管理和提高效率,从而减少为单个工作负载峰值而储备的资源。
1.2虚拟化技术解决的主要问题
虚拟化技术颠覆了一台服务器上运行一套操作系统的传统理念,借助于虚拟化层,每台物理服务器上可以运行大量的虚拟机,提高服务器的利用率。
因此,虚拟化技术最基本的功能是实现服务器的整合。
在传统的IT架构中,服务器、系统分散,管理复杂;在虚拟化环境中,通过统一的软件界面管理物理服务器和虚拟机,减轻系统管理员的压力,并轻松监控当前IT系统的总体资源状况和运行状况。
对于虚拟化层(Hypervisor)来说,每个虚拟机本质上是一个文件,因此在虚拟化基础架构中,可以轻松实现P-V(物理机—虚拟机)、快速系统部署、虚拟机模板、虚拟机迁移、高可用性、分布式资源调度以及备份等高级功能。
因此虚拟化主要解决三个问题:
服务器整合,集中管理,灵活IT。
虚拟化具有以下优点:
实现服务器的整合与数量控制,同时实现服务器利用率的最大化
在企业范围内实现标准化
精简IT操作,提高管理效率
减少业务部门与IT部门的协调成本
简化软件开发和测试
安全地实现数据中心的集中化管理
确保服务器构建过程的一致性
提高补丁程序分发安装的成功率
部署虚拟系统套件,实现变更管理的简化
简化物理机到虚拟机的迁移
瞬时部署新系统
为业务部门实行效用计算,保持稳定的服务级别
让所有应用程序都能受益于高端硬件的性能和可靠性
支持零宕机维护
支持零宕机备份
通过简单、迅速的灾难恢复,让业务连续性得到高水准的保护
对数据中心进行集中的保护和审核
从硬件级别上实现故障和安全性的隔离
便于硬件资源的动态分配和调整
降低能耗
简化数据中心管理,降低客户的运营维护成本
1.3虚拟化典型应用场景
提高服务器的利用率
目前,存在大量的只安装一个应用的主机,且其资源的利用率不高,据悉,这个数字在10%-30%之间。
另外,用户在初始投资时,是按照峰值时的预算来购买主机的,因此,导致了主机资源的浪费。
虚拟化技术通过将多种应用整合到少量企业级服务器上,有效减少服务器数量,简化服务器管理,同时明显提高服务器利用率、网络灵活性和可靠性。
轻松实现服务器的高可用性
虚拟化环境中通过创建HA集群可以实现高可用性。
虚拟化的高可用性从物理服务器这个层面实现,与虚拟机没有太多关系,只要物理服务器集群打开HA功能,集群中运行的所有虚拟机都可以实现自动的HA,由于物理服务器不是互相备份的,因此服务器利用率极高,HA的容错级别也最高。
与传统HA相比,HA集群中重新添加物理服务器时,无需安装任何软件,无序购买昂贵的HA专业软件,并且配置过程极为简单。
|动态分配和调整服务器资源
虚拟化技术可以动态的分配服务器的资源,从而充分利用主机资源,保证业务的响应能力。
|降低能耗、建设绿色数据中心
虚拟化技术的引入,可以大大降低对服务器的需求,从而减低数据中心的能耗以及冷却的成本,响应国家“节能减排”的号召。
|简化数据中心管理,降低客户的运营维护成本
物理主机数量的减少、成熟的虚拟化基础架构管理软件的引入,可以大大降低用户的运维成本,提高管理效率。
通过统一的管理界面,轻松管理IT架构中所有的物理机、虚拟机、存储、网络等等,减轻系统管理的压力。
|应用必须部署在老版本的操作系统上
有很多用户的应用运行在老版本的操作系统上,而这些操作系统可能已经不被最新的服务器硬件所支持,这种情况下,通过虚拟化的方式虚拟适应老版本操作系统的VM,从而继续部署老版本的操作系统,保护用户现有投资。
通过P-V转换技术,可以轻松把在线的老系统转换为虚拟机并在虚拟化环境中运行,这个过程是无缝的,终端用户感受不到任何的中断。
同时系统转换为虚拟机后,省去了安装系统、软件以及系统配置的复杂过程。
✓提高业务的持续性
虚拟化技术具有封装、独立于硬件等特性,借助这些特点,很容易保证业务的持续性,虚拟化的热迁移功能运行用户动态的迁移VM而保障业务几乎无中断,这种技术保证了用户业务的持续性。
✓实现容灾
引入虚拟化技术之后,客户还可以通过虚拟化技术特有的封装特性、成熟的管理软件,方便的实现灾难恢复。
并且实现容灾的手段比较多、较方便。
1.4采用虚拟化技术搭建公安应用系统
目前,新疆公安系统具有治安、刑侦、交通、特警、出入境、禁毒、经侦、监管、法制、科信、纪检、督察、政工、警令、装财、警务保障、边防、消防、森林、铁路、机场、海关等上百项应用系统,各个系统的建设相对独立,对资源的需求也比较分散,因此非常适合采用虚拟化技术构建应用系统。
虚拟化集群的设计如下所示:
通过虚拟化集群,整合所有的应用系统,提供统一的平台进行管理。
采用虚拟化集群技术可以带来以下几方面的优势:
1、提高服务器利用率
相对于传统的建设模式,通过虚拟化技术提高服务器资源的利用率。
2、提高系统的可用性
借助虚拟机热迁移技术和HA技术,最大程度保障系统的高可用性。
3、增强系统的灵活性
采用虚拟化后,大大缩短部署系统的时间,系统从部署到上线的时间从先前的数天缩短为几小时之内;同时虚拟机资源可以按需调整,因此最大程度地实现了系统的灵活性。
4、便于实现备份容灾
由于虚拟机都以一个文件的形式存在,因此便于实现备份与容灾。
2云计算平台
2.1云计算平台总体架构
较之传统的数据中心,云计算中心的运营管理更为复杂,要求也更高。
云计算中心的运营管理解决方案必须能够高效的、自动化的管理云中的资源,并完成服务的快速交付,并且必须有服务质量保证措施,因此,云平台的管理解决方案非常重要,云计算中心运营管理解决方案的好坏影响着云平台是否可按预定目标正常运转、是否可以取得预期的收益。
在传统的数据中心管理解决方案中,人们已经总结出了很多的经验,形成了较多的管理系统,而企业级云计算中心更重视动态化、弹性化的特征,因此,企业级云计算中心管理方案必须在如何实现动态变更等方面有更多的关注。
良好的管理解决方案带来的数据中心自动化技术可以大大降低数据中心管理的难度,大幅度提升业务敏捷性、提高服务质量,并获得更好的成本效益。
曙光云平台运营管理系统CloudView主要进行系统资源的服务化、实现资源快速部署与按需分发、用户资产租赁服务、系统全局安全保障等。
借助CloudView,可以构建易于管理、动态高效、灵活扩展、稳定可靠、按需使用的新一代云计算中心。
CloudView可以调用服务器和存储等设备的各种接口,统一整合服务器和存储资源,构建灵活高效、可扩展的云系统平台;该产品由曙光自主研发,完全具有自主知识产权。
在云计算解决方案中,CloudView是管理核心,同时还是企业级云计算中心的运营核心。
CloudView整体逻辑架构如下所示:
2.2公安业务系统云计算平台实现
云计算平台具有服务器虚拟化功能、资源管理与分配功能,能够使用户快速地获取虚拟化平台中的资源,所有的用户通过CloudView可以实现自服务,最终用户根据权限,可以在云计算平台之上创建和使用虚拟机,减轻了管理员的管理难度,提高工作效率。
针对公安系统的众多业务系统,在构建云计算平台之初,抽象出多种基础组件(如Linux虚拟机、Windows虚拟机、中间件服务器)等,在云计算平台中把基础组件均定义为模板设备,用户登陆云计算平台后,可以按需申请所需的基础组件,快速搭建所需的应用系统,并实现统一监控与管理。
由于云计算平台完全实现用户自服务,除了管理员对用户提出的资源申请进行批准之外,用户的一切操作均靠自己完成,无需其他人员干预,极大提高了工作效率。
在本项目中配备64台四路(每CPU含12核心)曙光A840r-G服务器。
鉴于当前IT系统有部分不适合虚拟化(如对IO需求很高或对外设要求比较独特),暂时不考虑迁移至云计算平台,待技术成熟时再作考虑。
但是,曙光CloudView云计算平台能够监控管理者16台物理服务,但不作为虚拟化资源池使用。
因此,采用48台A840r-G四路服务搭建CloudView云计算平台。
采用100TBDS800-F20存储空间,存储虚拟机文件,虚拟备份至DCstor空间中。
CloudView云计算平台部署架构如下所示:
2.3CloudView云计算平台详细功能
2.3.1服务器虚拟化
充分利用企业版Linux自带的Xen实现服务器虚拟化。
服务器虚拟化具有分区、隔离、封装的特点,虚拟机独立于硬件,能够实现在一台物理服务器之上部署多台虚拟机,提高服务器利用率。
服务器虚拟化实现细粒度的计算能力切分,便于在资源管理层面形成资源池,在云计算平台层对资源进行分配。
2.3.2资源管理与分配
CloudView对系统已注册的各种软硬件资源实现不同层次和粒度的资源抽象,将云计算中心的所有资源(包括服务器、网络、存储等)进行统一的管理,为实现资源的负载管理和动态调度、快速部署及按需分配、资源隔离与安全可靠等方面打下了坚实的基础,同时为管理员快速、精确的掌控系统运行情况提供基础信息。
资源抽象可以使得系统软件环境与其底层硬件基础架构分离,以便将多个服务器、存储基础架构和网络聚合成共享资源池。
然后,根据需要安全可靠地向应用程序动态提供这些资源。
借助这种具有开创意义的方法,客户可以使用价格低廉的行业标准硬件以构造块的形式构建自我优化的云计算中心,并实现高水平的利用率、可用性、自动化和灵活性。
基于虚拟化管理层抽象接口的管理,可实现对Xen虚拟化技术的快速接入。
后期只需开发新的虚拟化管理插件,即可实现对于其他异构虚拟化平台的管理。
2.3.3用户自助服务门户
虚拟数据中心与物理数据中心功能相同,只不过虚拟数据中心利用服务器虚拟化技术实现虚拟资源池,并进行统一管理。
虚拟数据中心可以包括多个应用系统、每个应用系统可以配备多台虚拟机。
数据中心用户及权限、虚拟机模板、操作系统镜像统一管理。
最终用户可以通过Web界面自服务门户访问虚拟机。
曙光CloudView云服务平台把不同的硬件资源整合组成虚拟数据中心。
虚拟数据中心操作包括以下几部分:
虚拟数据中心创建
用户提交注册信息,管理员核对后方可创建自服务门户。
自服务门户初始化后不包括任何资源。
虚拟数据中心权限及资源分配
用户登陆服务门户后,提出资源申请,管理员批准后,用户可以使用资源。
虚拟数据中心资源使用
用户具有自身所有资源的使用权限,可以调整虚拟机的资源大小、远程Web界面操作虚拟机(包括开机、关机、打开虚拟机界面等)。
虚拟数据中心资源回收
用户资源到期后,系统自动冻结资源。
2.3.4组织与项目管理
组织是CloudView中使用云计算资源的一个用户群体的总和,在CloudView云平台之中一个组织类似于一个企业或者政府的一个部门,每个组织可以分配一定量的资源(如100GHzCPU、200GB内存、3TB磁盘),组织管理员类似于数据中心管理员,可以把资源分配给内部的各个项目,每个项目的用户是云平台的最终用户,由组织管理员进行创建和管理,最终用户在云平台的自服务Portal之上创建虚拟机。
CloudView通过组织/项目两级结构对用户进行管理,不同的用户属于不同的组织,同一组织下可以申请多个项目。
组织、项目及用户关系图如下图所示:
一个企业用户属于一个组织。
一个组织只有一个组织管理员,负责组织下多个项目的管理。
组织管理员申请项目,需输入项目名称、项目描述、项目起止时间。
运营管理员可管理项目状态,分为激活/冻结状态。
新申请的项目处于激活状态,组织管理员可申请资产、使用资产,管理项目成员。
被运营管理员冻结的项目处于冻结状态,该项目的资产不可使用。
终端用户通过项目的形式申请、使用系统资源,所有组织管理员申请到的资产以及项目成员都以项目的形式组织并进行管理。
终端用户申请并经过运营管理员审批,分配给终端用户使用的系统资源。
资产是组织管理员及项目成员管理及使用的对象。
资产租赁是云计算中心的运营模式,是用户随需、高效、低价获取服务的方式。
CloudView设计实现完善的用户资产租赁服务,通过对用户生命周期及用户资产生命周期的有效管理,满足用户对各种系统资源的使用需求。
CloudView可以使用户对资产按使用付费,包括资产种类、数量、使用时间等,还可以为用户提供对已租赁资产的监控管理能力,使用户真正“拥有”自己的资产。
系统为用户提供用户服务目录,经过合法注册的用户根据自己的需要,提出对不同类型资产的租赁请求。
用户可以选择多种资产,包括物理机、虚拟机、网络、存储等,每一种资产都会有多种默认配置及服务等级供用户选择。
用户也可以申请自定义配置的资产以满足其特殊需求。
系统接收到用户请求后,会在运营人员的辅助操作下,或由系统根据运营人员设置的自动影响策略,从系统中选择合适的系统资源分配给用户,完成对用户资产请求的响应。
在用户资产使用过程中,系统为用户提供资产监控管理功能,也为运营人员提供用户生命周期及用户资产生命周期的管理功能,包括对用户合法性、有效性,对用户资产申请、使用、变更、结账流程的有效管理。
2.3.5项目管理
云计算中心的资源按照项目进行细分,每个用户都有一套独立的自服务门户,在自服务门户中,用户可以按照传统的思路定义一个或多个项目,在每个项目中又可以包含一个或多个虚拟机,部署应用系统。
项目管理主要为云计算平台中虚拟出一套与现实情况相同的架构,对构成一套业务系统的虚拟机角色和功能进行归类,方便用户使用和管理。
2.3.6资源生命周期管理
传统的数据中心对资源的使用都需要管理员统一操作,而云计算的鲜明特点之一就是自服务,即云计算平台对外提供的服务应具备流程自动化的特点,因此CloudView作为IAAS云计算平台,对外交付基础架构,对资源从申请到回收,规划出一套完整的业务流程。
如图所示,系统添加资源到资源分配,用户按需提出资源申请,而管理员负责总体资源的调度,从而实现云计算平台的自动化运营与服务流程管理,从而更好地管理系统资源,并对资源的分配更加合理。
2.3.7运维监控管理
运维管理的基础是对资源的监控。
CloudView实现对系统中各种资源有效的监控,包括服务器、存储、网络等。
监控信息由模块化的采集插件从各资源中收集并保存,再经过监控模块的处理,形成各种有用的系统监控信息,并以实时图示、报表、告警等多种方式呈现给相关的用户,以供系统运维人员及决策者参考,同时作为多种系统策略的参数,包括资源部署策略、资源分发策略、资源调度策略、系统能耗管理策略、用户资产管理等。
2.3.8用户管理
CloudView设计实现一套完善的用户管理流程,通过组织—项目—用户不同层次的管理,满足云计算中心对企业用户及个人用户有效管理的需求。
CloudView对用户进行分类,并分别赋予不同的系统角色,通过用户角色与系统权限的关联,使不同的用户拥有不同的系统权限,进而保证满足各种用户的需求的同时,使用户之间不会相互干扰,也不会对系统进行越权访问,以保证系统及用户的安全。
CloudView提供超级运营管理员、运营管理员、超级运维管理员、运维管理员、组织管理员、项目成员共六种不同的角色,并分别提供不同的访问Portal及权限。
CloudView实现对用户的多状态管理功能,以满足系统对大规模用户生命周期管理的需求。
组织管理员生命周期如下图所示。
CloudView为用户管理定义了注册、注销、退出、登录、冻结共5种状态属性,为管理员定义了注册、注销、退出、登录、冻结、激活共6种管理操作功能。
其中项目成员没有冻结状态。
注册状态:
新注册、未被管理员激活的系统用户处于注册状态。
退出状态:
被管理员激活的系统用户默认处于退出状态;系统用户在登录状态下选择退出后处于退出状态。
登录状态:
被管理员激活的系统用户选择登录后处于登录状态。
冻结状态:
被管理员暂时性冻结的系统用户处于冻结状态。
注销状态:
被管理员注销的系统用户处于注销状态。
运维管理员、运营管理员有权限管理属于自己的管理对象。
组织管理员有权限管理员属于自己的项目、项目资产、项目成员。
项目成员有权限使用分配给自己的项目资产。
只有超级运维管理员有权限管理其他的运维管理员生命周期;只有超级运营管理员有权限管理其他的运营管理员生命周期;运营管理员有权限管理(由系统)分配给自己的组织管理员。
CloudView对用户身份的管理基于曙光Nikey实现,同时提供CloudView用户身份认证、操作系统用户身份认证、LDAP用户身份认证等多种认证方式。
这些方式可灵活设置,自由组合,以满足管理员对用户管理的多种需求。
管理员可以对合法注册的系统用户进行多种管理设置,如用户角色修改、用户密码修改、用户认证方式修改、用户有效性设置等操作。
CloudView提供对所有系统用户的统计信息,包括用户数量、用户状态、用户行为等统计信息。
2.3.9安全管理
CloudView基于模块化的系统架构,可以针对不同用户的需求,灵活组合各种功能模块以提供不同的功能。
可选的或基于定制的用户Portal,为不同的用户提供了丰富的系统访问体验。
模块化的系统架构也方便对系统进行升级。
当系统添加新功能时,只需将新的功能模块添加到系统中,而无需对系统已有功能进行改动。
当系统改进某项功能时,也只需将相应的功能模块进行升级即可。
这些过程对用户是透明的,因此不会影响用户对系统的正常访问,或只会造成系统相关服务秒级的短暂中断。
CloudView模块化架构遵循OSGi规范。
OSGi模块化规范
CloudView基于分区共享存储,可提供系统级的存储灾备方案。
远程或本地灾难备份/恢复解决方案支持在云计算中心与灾备中心之间通过IP网络对关键业务数据进行策略性增量复制,实现数据的异地备份,并在发生意外灾难时对数据进行快速恢复,确保用户的业务持续性。
结合快照和远程复制技术,实现连续的数据复制和快速的数据恢复,确保最优的RTO和RPO。
基于增量备份技术有效的减少对广域网带宽的占用,同时结合快照技术,实现数据的连续保护,避免各种软错误导致的系统故障。
分布式数据库技术保障系统关键数据不丢失,提高系统响应用户请求的速度,支持多用户并发,并发用户数不少于10000个。
CloudView采用曙光自主研发的Nikey个人密钥、天机加密卡、基于龙芯的防火墙系统等产品与技术,构成曙光CloudView云安全方案,可以实现从网络层到数据层的真正安全。
基于Nikey个人密钥实现用户身份认证管理,使用户身份与Nikey设备关联,提供多种不同安全级别的管理,为系统提供了更高的用户身份有效性保障,同时对系统中的各种资源与用户进行加密绑定,满足用户对资源访问不同安全级别的需求。
基于天机加密卡实现用户数据与系统数据的加密功能,设置不同级别、多种类型的安全策略,最大程度的保证数据安全性。
基于龙芯的防火墙系统,从系统入口处抵御系统外的各种风险,为系统整体性安全保驾护航。
升级会员 