企業(yè)信息系統(tǒng)云計(jì)算平臺(tái)建設(shè)經(jīng)驗(yàn)探討

王 騫，鄒 聯(lián)

（國(guó)電大渡河流域水電開(kāi)發(fā)有限公司 成都610041）

1 引言

信息作為現(xiàn)代企業(yè)的寶貴資源，占據(jù)著越來(lái)越重要的地位，已經(jīng)成為現(xiàn)代企業(yè)科學(xué)管理的基礎(chǔ)、正確決策的前提、有效調(diào)控的手段。多年來(lái)，各企業(yè)一直按照傳統(tǒng)IT基礎(chǔ)架構(gòu)發(fā)展自己的信息系統(tǒng)，其硬件平臺(tái)已經(jīng)具備一定的規(guī)模和現(xiàn)代化水平，并支撐起企業(yè)各業(yè)務(wù)信息系統(tǒng)，如OA、財(cái)務(wù)、人力資源、網(wǎng)站等多項(xiàng)業(yè)務(wù)。而傳統(tǒng)IT基礎(chǔ)架構(gòu)意味著一個(gè)應(yīng)用即占用一臺(tái)或多臺(tái)服務(wù)器（一對(duì)一或一對(duì)多），隨著應(yīng)用的增長(zhǎng)，機(jī)房?jī)?nèi)的服務(wù)器數(shù)量也將越來(lái)越多。機(jī)房空間壓力、能耗、成本和管理復(fù)雜度急劇增加。

近年來(lái)，隨著云計(jì)算、虛擬化等技術(shù)的發(fā)展，服務(wù)器整合技術(shù)已經(jīng)相當(dāng)成熟。虛擬化技術(shù)主要是將多臺(tái)服務(wù)器整合為一個(gè)計(jì)算資源池（IT云），并將其中的資源靈活“組合”為多臺(tái)“虛擬”的服務(wù)器。原有應(yīng)用可以平滑遷移到虛擬服務(wù)器上運(yùn)行。多個(gè)應(yīng)用可以在一臺(tái)或多臺(tái)實(shí)際服務(wù)器上運(yùn)行（多對(duì)一或多對(duì)多），因此能以低成本實(shí)現(xiàn)強(qiáng)大的計(jì)算能力、靈活的部署方式以及高可靠性。

表1為傳統(tǒng)方式與虛擬化方式對(duì)比。

2 企業(yè)信息系統(tǒng)云計(jì)算實(shí)施基本步驟

企業(yè)信息系統(tǒng)實(shí)施云計(jì)算改造并非從零開(kāi)始建設(shè)，必須充分考慮到原有信息系統(tǒng)如何在云環(huán)境中正常運(yùn)行，同時(shí)要將云遷移過(guò)程對(duì)業(yè)務(wù)連續(xù)性的影響降到最低。因此，企業(yè)信息系統(tǒng)云計(jì)算實(shí)施與直接搭建云計(jì)算環(huán)境不同，應(yīng)遵循自身特點(diǎn)，按照“統(tǒng)一規(guī)劃、分步實(shí)施、系統(tǒng)推進(jìn)”的原則進(jìn)行建設(shè)。

2.1 評(píng)估云計(jì)算實(shí)施的必要性、可能性

云計(jì)算平臺(tái)的優(yōu)勢(shì)非常明顯，但在實(shí)施之前，必須充分評(píng)估本企業(yè)實(shí)施云計(jì)算平臺(tái)的必要性和可行性。

云計(jì)算具有高度兼容性和整合能力，適合將企業(yè)原有計(jì)算平臺(tái)和信息系統(tǒng)進(jìn)行統(tǒng)一整合。但是，云平臺(tái)固有特性決定其暫時(shí)不能勝任以下特殊應(yīng)用。

·采用非PC架構(gòu)平臺(tái)搭建的應(yīng)用系統(tǒng)。例如運(yùn)用小型機(jī)擔(dān)任計(jì)算平臺(tái)的應(yīng)用系統(tǒng)，或者主要由蘋(píng)果MAC平臺(tái)構(gòu)成系統(tǒng)?，F(xiàn)有的企業(yè)虛擬平臺(tái)只支持在PC服務(wù)器上部署，也只能虛擬出PC服務(wù)器硬件。

·復(fù)雜圖形處理及3D處理應(yīng)用。虛擬軟件暫時(shí)無(wú)法支持高性能圖形卡，無(wú)法實(shí)現(xiàn)硬件加速功能。

·需要單機(jī)多屏顯示或者多機(jī)獨(dú)立顯示的應(yīng)用系統(tǒng)。

·外接端口使用較多的應(yīng)用。例如大量使用RS232串口、USB端口的應(yīng)用，此類應(yīng)用因外接端口與物理主機(jī)對(duì)應(yīng)，無(wú)法實(shí)現(xiàn)虛擬機(jī)自由遷移，失去了虛擬化的重大優(yōu)勢(shì)，如果利用串口服務(wù)器、USB服務(wù)器等第三方硬件實(shí)現(xiàn)資源共用，又可能因單點(diǎn)故障影響可靠性。

·I/O密集型應(yīng)用。云平臺(tái)實(shí)施后，每臺(tái)物理服務(wù)器上同時(shí)有若干臺(tái)虛擬服務(wù)器在運(yùn)行，其CPU、內(nèi)存等資源均能得到合理劃分。但是，外部存儲(chǔ)I/O一般都是通過(guò)SAN光纖存儲(chǔ)實(shí)現(xiàn)，多臺(tái)虛擬機(jī)會(huì)對(duì)主機(jī)的I/O通道進(jìn)行搶占，在I/O壓力較大的應(yīng)用中可能難以滿足要求。

·因安全問(wèn)題要求物理隔離部署的應(yīng)用。例如在電力二次安全防護(hù)中，生產(chǎn)控制大區(qū)的應(yīng)用系統(tǒng)和管理信息大區(qū)的應(yīng)用系統(tǒng)無(wú)法實(shí)現(xiàn)整合。

2.2 信息化基礎(chǔ)資源調(diào)查

企業(yè)信息化基礎(chǔ)資源調(diào)查是建設(shè)企業(yè)云計(jì)算平臺(tái)的重要步驟。主要工作是調(diào)查統(tǒng)計(jì)現(xiàn)有信息化基礎(chǔ)資源情況，包括PC服務(wù)器、數(shù)據(jù)存儲(chǔ)設(shè)備、網(wǎng)絡(luò)情況等，建議以表格形式整理匯總，具體見(jiàn)表2。

本步驟有兩個(gè)目的：一是確定企業(yè)云平臺(tái)建設(shè)規(guī)模，根據(jù)現(xiàn)有服務(wù)器的實(shí)際數(shù)量和配置要求決定遷移至虛擬平臺(tái)后的虛擬機(jī)數(shù)量和資源需求，從而推斷出所需物理服務(wù)器的實(shí)際數(shù)量；二是可篩選出現(xiàn)有服務(wù)器中配置較高者，經(jīng)升級(jí)后作為云平臺(tái)的資源池，盡量節(jié)省成本。根據(jù)經(jīng)驗(yàn)，在典型的企業(yè)應(yīng)用環(huán)境中，一臺(tái)主流的PC服務(wù)器可承載6～8臺(tái)中等負(fù)荷的虛擬服務(wù)器穩(wěn)定運(yùn)行（內(nèi)存需根據(jù)虛擬服務(wù)器要求進(jìn)行擴(kuò)充）。

表1 傳統(tǒng)方式與虛擬化方式對(duì)比

2.3 選擇云平臺(tái)硬件、軟件方案

完整的企業(yè)云平臺(tái)基礎(chǔ)設(shè)施由物理服務(wù)器、存儲(chǔ)系統(tǒng)、網(wǎng)絡(luò)以及平臺(tái)軟件組成。這里采用的是市場(chǎng)占有率較高的VMware軟件。

在本步驟中，物理服務(wù)器要求如下。

·單個(gè)CPU內(nèi)核數(shù)盡量高，因VMware通過(guò)物理CPU個(gè)數(shù)授權(quán)，因此同等價(jià)格下，單個(gè)CPU內(nèi)核數(shù)越多，性能和處理器負(fù)荷冗余度越好。

·內(nèi)存足夠大，單臺(tái)物理服務(wù)器要支持多個(gè)虛擬服務(wù)器同時(shí)運(yùn)行，足夠的內(nèi)存必不可少，以筆者的實(shí)施經(jīng)驗(yàn)，單臺(tái)物理服務(wù)器內(nèi)存應(yīng)大于64 GB。

·應(yīng)配置2塊以上8 GB HBA卡接入冗余多路徑SAN或者采用冗余10 GB iSCSI存儲(chǔ)網(wǎng)絡(luò)，以保證數(shù)據(jù)存儲(chǔ)可靠性等性能。

·對(duì)磁盤(pán)I/O要求不高、網(wǎng)絡(luò)結(jié)構(gòu)較為簡(jiǎn)單的，可以選用刀片式服務(wù)器，以節(jié)省安裝空間和能耗。

·可盡量利用原有配置較高的服務(wù)器升級(jí)而成。

存儲(chǔ)系統(tǒng)一般采用SAN結(jié)構(gòu)，也可以使用iSCSI。結(jié)構(gòu)簡(jiǎn)單、主機(jī)數(shù)量少時(shí)，也可以用SAS、SCSI電纜等直接組網(wǎng)，只要滿足“存儲(chǔ)設(shè)備發(fā)布的LUN能同時(shí)被所有主機(jī)訪問(wèn)”即可。存儲(chǔ)設(shè)備容量根據(jù)現(xiàn)有服務(wù)器的總?cè)萘窟x取，必須支持RAID5或RAID6，并根據(jù)需要增加熱備份盤(pán)，介質(zhì)應(yīng)盡量采用高速FC或SAS硬盤(pán)（15 000 r/min），為節(jié)省成本，也可使用其他類型硬盤(pán)。

網(wǎng)絡(luò)系統(tǒng)與傳統(tǒng)架構(gòu)相同，建議每臺(tái)物理服務(wù)器有兩塊及以上的網(wǎng)卡連接到企業(yè)內(nèi)部網(wǎng)交換機(jī)。

2.4 搭建云計(jì)算平臺(tái)

本步驟開(kāi)始為正式實(shí)施安裝階段，主要工作由集成商完成，步驟及注意事項(xiàng)如下。

（1）規(guī)劃各硬件設(shè)備安裝位置，網(wǎng)絡(luò)、光存儲(chǔ)連接方案。

（2）安裝存儲(chǔ)設(shè)備，上電后進(jìn)行基本陣列配置，建立RAID，設(shè)定熱備份盤(pán)，劃分LUN（邏輯單元號(hào)）并予以全局發(fā)布。因虛擬機(jī)遷移需要，此處應(yīng)至少劃分2個(gè)LUN。

（3）安裝新增的物理服務(wù)器，連接HBA卡和光纖交換機(jī)，連接網(wǎng)絡(luò)。

（4）在新增的物理服務(wù)器上安裝虛擬平臺(tái)軟件，如VMware的ESXi及vCenter，云平臺(tái)基本成型。

（5）將擬升級(jí)加入云平臺(tái)資源池的服務(wù)器上的現(xiàn)有應(yīng)用遷移到云平臺(tái)中。

（6）對(duì)這些服務(wù)器進(jìn)行升級(jí)（主要是內(nèi)存及HBA卡），安裝虛擬平臺(tái)軟件，加入云平臺(tái)資源池。

（7）將其他應(yīng)用逐一遷移至云平臺(tái)。

（8）配置云環(huán)境下的高可用，例如HA或FT。

3 原有信息系統(tǒng)向云平臺(tái)遷移經(jīng)驗(yàn)

系統(tǒng)遷移是將運(yùn)行在物理服務(wù)器上的應(yīng)用程序及操作系統(tǒng)平滑轉(zhuǎn)移到虛擬機(jī)中運(yùn)行，每臺(tái)服務(wù)器數(shù)據(jù)量往往都在數(shù)十吉比特以上，較為耗時(shí)。為保證遷移過(guò)程中應(yīng)用系統(tǒng)正常運(yùn)行，需要利用專用工具軟件進(jìn)行在線遷移，因?yàn)椴僮飨到y(tǒng)和軟件環(huán)境的影響，在線遷移有時(shí)會(huì)失敗。

3.1 遷移工具的使用

各虛擬技術(shù)提供商均會(huì)免費(fèi)提供適合自身平臺(tái)使用的在線遷移工具，如VMware的Convert Standalone。軟件具體使用方法不再贅述，僅提出如下使用過(guò)程中的要點(diǎn)。

·Convert可以安裝在被轉(zhuǎn)換的Windows服務(wù)器上，也可以安裝在網(wǎng)絡(luò)中其他Windows服務(wù)器上，前者轉(zhuǎn)換速度稍快，后者可同時(shí)轉(zhuǎn)換多臺(tái)服務(wù)器，可根據(jù)實(shí)際需要進(jìn)行選擇。

·遷移時(shí)盡量選取服務(wù)器訪問(wèn)量較小的時(shí)間段進(jìn)行，避免二次同步中出現(xiàn)錯(cuò)誤。

·遷移操作前應(yīng)保證被遷移服務(wù)器和vCenter服務(wù)器網(wǎng)絡(luò)連接可靠，并關(guān)閉被遷移服務(wù)器上的網(wǎng)絡(luò)防火墻和病毒防火墻。

·被遷移服務(wù)器上的server、workstation服務(wù)應(yīng)保持開(kāi)啟，系統(tǒng)策略中應(yīng)允許具有管理員權(quán)限的賬號(hào)在網(wǎng)絡(luò)登錄。

·遷移選項(xiàng)中，轉(zhuǎn)換后的系統(tǒng)服務(wù)應(yīng)將物理機(jī)硬件相關(guān)服務(wù)全部禁用，例如HP Smart Array、HP System Management Homepage、HP Remote Monitor等。

·如果想在Windows主機(jī)轉(zhuǎn)換后對(duì)系統(tǒng)進(jìn)行自動(dòng)配置，如刷新SID等操作，需提前按遷移工具的提示，自行在網(wǎng)絡(luò)上下載對(duì)應(yīng)版本的sysprep包，復(fù)制到指定的目錄方可進(jìn)行操作。

·如果轉(zhuǎn)換過(guò)程中報(bào)錯(cuò)失敗，可根據(jù)錯(cuò)誤提示對(duì)被遷移的系統(tǒng)進(jìn)行調(diào)整后重新轉(zhuǎn)換。如果始終無(wú)法轉(zhuǎn)換，則只能將被遷移主機(jī)停機(jī)，用另一工具VMware ConvertCD光盤(pán)啟動(dòng)系統(tǒng)，進(jìn)行離線冷克隆。冷克隆兼容性最好，但速度較慢，且被遷移主機(jī)在遷移期間無(wú)法提供服務(wù)。

·轉(zhuǎn)換后應(yīng)檢查虛擬機(jī)的數(shù)據(jù)完整性，為網(wǎng)卡配置IP地址，檢測(cè)相關(guān)服務(wù)是否正常。

3.2 虛擬機(jī)管理命名

為便于管理，各類云平臺(tái)支撐軟件都會(huì)給用戶提供方便、直觀的管理控制臺(tái)，為適應(yīng)云環(huán)境下的主機(jī)管理，建議在給虛擬機(jī)命名時(shí)包含主機(jī)名、系統(tǒng)名及IP地址等基本信息，盡量使用英文、數(shù)字及英文標(biāo)點(diǎn)，不要使用中文。

3.3 遷移錯(cuò)誤排查

以本單位實(shí)施過(guò)程為例，遷移過(guò)程中可能出現(xiàn)的一些常見(jiàn)錯(cuò)誤及解決方案如下。

（1）在對(duì)Windows主機(jī)進(jìn)行遷移時(shí)提示VSS快照創(chuàng)建失敗

VSS（volume shadow copy，卷影復(fù)制）是Windows提供的系統(tǒng)服務(wù)，用于創(chuàng)建基礎(chǔ)存儲(chǔ)設(shè)備的高保真時(shí)間點(diǎn)映像，如果該服務(wù)運(yùn)行異常，遷移程序?qū)o(wú)法正常運(yùn)行。

解決方法：檢查系統(tǒng)服務(wù)中VSS運(yùn)行是否正常，可重啟服務(wù)后再次嘗試。另外，如果源主機(jī)掛載有USB或ESATA存儲(chǔ)設(shè)備，建議在遷移時(shí)將其排除。

（2）轉(zhuǎn)換后的虛擬機(jī)無(wú)法設(shè)置原IP地址，提示該IP地址已經(jīng)分配給其他適配器

遷移前后，操作系統(tǒng)識(shí)別到網(wǎng)卡發(fā)生變化，但原IP地址仍關(guān)聯(lián)到已經(jīng)不存在的網(wǎng)卡上，導(dǎo)致無(wú)法分配給新網(wǎng)卡使用。

解決辦法：運(yùn)行“注冊(cè)表編輯器（regedit.exe）”，搜索原IP地址，將值改為空，再重新在網(wǎng)絡(luò)屬性中為新網(wǎng)卡配置IP地址。

（3）不明原因的反復(fù)遷移失敗

部分服務(wù)器可能因特殊的軟件兼容性問(wèn)題導(dǎo)致不可預(yù)料的遷移過(guò)程反復(fù)失敗。對(duì)此，建議將遷移程序安裝在被轉(zhuǎn)換的服務(wù)器進(jìn)行嘗試。如果仍不能成功轉(zhuǎn)換，則采用光盤(pán)啟動(dòng)進(jìn)行冷克隆。

3.4 遷移完成后的優(yōu)化

系統(tǒng)遷移完成后，應(yīng)及時(shí)對(duì)應(yīng)用系統(tǒng)進(jìn)行全面測(cè)試和檢查，包括云平臺(tái)的運(yùn)行情況、主要資源占用；各虛擬機(jī)的資源分配是否充足；檢查虛擬網(wǎng)絡(luò)是否通暢；驗(yàn)證虛擬機(jī)遷移能否正常動(dòng)作；對(duì)關(guān)鍵服務(wù)器進(jìn)行性能分析，如果有硬件瓶頸應(yīng)采用升級(jí)或資源調(diào)配的方式予以解決，確保正式投運(yùn)后平臺(tái)長(zhǎng)期穩(wěn)定運(yùn)行。

4 云環(huán)境中的系統(tǒng)安全

企業(yè)信息系統(tǒng)遷移到云平臺(tái)后，傳統(tǒng)IT架構(gòu)下的信息安全策略及方法大部分仍然適用。同時(shí)，鑒于云平臺(tái)自身的特點(diǎn)，也具有一些新的安全風(fēng)險(xiǎn)和相應(yīng)的防范技術(shù)。

4.1 合理分配管理權(quán)限

云平臺(tái)將原有分立的各服務(wù)器集成到統(tǒng)一的資源平臺(tái)中，操作員可以遠(yuǎn)程在集成的管理環(huán)境中進(jìn)行硬件層面的操作，而默認(rèn)平臺(tái)管理員對(duì)所有資源和虛擬服務(wù)器擁有完整的操作權(quán)，在多管理員的環(huán)境下，可能帶來(lái)越權(quán)使用的風(fēng)險(xiǎn)。因此必須根據(jù)企業(yè)的實(shí)際情況，對(duì)不同級(jí)別的操作人員分配相應(yīng)的管理權(quán)限，并按照AAA（認(rèn)證、授權(quán)、審計(jì)）規(guī)則嚴(yán)格進(jìn)行訪問(wèn)控制。

4.2 云環(huán)境數(shù)據(jù)安全

云平臺(tái)中的所有數(shù)據(jù)全部存儲(chǔ)在集中存儲(chǔ)設(shè)備（磁盤(pán)陣列）中，一旦存儲(chǔ)出現(xiàn)故障，可能導(dǎo)致系統(tǒng)大規(guī)模停運(yùn)和嚴(yán)重的數(shù)據(jù)損失。在企業(yè)環(huán)境中必須絕對(duì)避免這種情況。

硬件層面：集中存儲(chǔ)設(shè)備必須擁有高可靠性，必須采用合理的RAID級(jí)別（RAID 5或RAID 6），指定足夠數(shù)量的熱備份盤(pán)，有條件者建議采用雙機(jī)鏡像克隆。在日常巡檢中，應(yīng)特別注意存儲(chǔ)設(shè)備的運(yùn)行情況，及時(shí)處理出現(xiàn)的問(wèn)題。

數(shù)據(jù)層面：合理制定備份策略，對(duì)重要數(shù)據(jù)定期進(jìn)行備份。主要方法有虛擬機(jī)克隆、平臺(tái)級(jí)備份工具Veeam Backup Server、傳統(tǒng)的主機(jī)級(jí)備份工具等；病毒防范可沿用原有防毒體系，也可采用云平臺(tái)認(rèn)證的嵌入式防毒體系，可根據(jù)企業(yè)自身實(shí)際情況選擇。

企業(yè)云計(jì)算從本質(zhì)上隔離了應(yīng)用。對(duì)于運(yùn)維的單一個(gè)體來(lái)說(shuō)安全性必然會(huì)提高，防止安全問(wèn)題的引入以及隱患擴(kuò)散。同時(shí)對(duì)于整個(gè)平臺(tái)來(lái)說(shuō)，整體管理控制、局部獨(dú)立管理模式也提高了平臺(tái)的安全性，通過(guò)補(bǔ)丁管理，以push方式可以短時(shí)間內(nèi)彌補(bǔ)所轄虛擬機(jī)的安全漏洞，同時(shí)也使得平臺(tái)本身安全性提高。針對(duì)具體應(yīng)用系統(tǒng)的安全，可以利用同步鏡像、負(fù)載均衡技術(shù)提供進(jìn)一步的保護(hù)。

5 結(jié)束語(yǔ)

該信息系統(tǒng)云平臺(tái)使用效果較好，既大幅度降低了數(shù)據(jù)中心運(yùn)維成本和總體擁有成本，又保障了數(shù)據(jù)安全和系統(tǒng)、應(yīng)用的穩(wěn)定。經(jīng)過(guò)一年多的正常運(yùn)行，云計(jì)算平臺(tái)與以往傳統(tǒng)方式相比，資源利用、節(jié)能降耗成效顯著。據(jù)初步測(cè)算，云計(jì)算平臺(tái)實(shí)施后，現(xiàn)有規(guī)模下可減少服務(wù)器25臺(tái)，節(jié)約投資成本125萬(wàn)～200萬(wàn)元；節(jié)約機(jī)房空間、制冷量約60%；每年節(jié)約電能2.6×106kW·h；后續(xù)管理運(yùn)維成本顯著降低。隨著信息化建設(shè)的推進(jìn)，企業(yè)云平臺(tái)也將進(jìn)一步完善，最終建成一套數(shù)據(jù)高可靠、業(yè)務(wù)高可用、設(shè)備高效用的基礎(chǔ)平臺(tái)，更好地為企業(yè)信息化應(yīng)用提供保障。