華南理工大學高校私有云如何玩轉(zhuǎn)校內(nèi)公共服務(wù)

華南理工大學高校私有云如何玩轉(zhuǎn)校內(nèi)公共服務(wù)

陸以勤 華南理工大學

高校提供云服務(wù)有許多種模式，有的高校利用社會公共云平臺為學校提供云服務(wù)，有些高校特別是研究型大學，可能會建設(shè)學校自己的云平臺為校內(nèi)單位和老師提供云服務(wù)。后者的性質(zhì)屬于私有云，但從使用的流程上來看，因其提供校內(nèi)的公共服務(wù)，與公有云是類似的，為了便于敘述，我們將其定義為校內(nèi)“公共云”，即在學校內(nèi)部提供公共服務(wù)的平臺。

現(xiàn)狀及需求

校園云公共服務(wù)面臨眾多問題。第一個問題是如何做到快速交付。現(xiàn)有高校云平臺的服務(wù)流程中，學院、二級部處用戶通過紙質(zhì)線下申請，缺乏自動化交付；同時，帶寬、安全、計算、存儲和網(wǎng)絡(luò)資源由信息中心管理員手動分配交付，缺乏快速部署能力。所以，資源調(diào)整維護占用管理員大量精力。

校園云公共服務(wù)面臨的第二個問題是資源如何進行合理分配。很多用戶會向云管理人員提出要虛擬機的需求。云管理人員如何確定給不同的用戶分配多少資源的虛擬機呢？合理的分配需要對資源量化，折算出成本，這包括一系列數(shù)據(jù)，例如，數(shù)據(jù)中心有多少資源？ 每個學院的IT成本是多少？ 哪個學院用得最多？ 每個用戶數(shù)據(jù)中心資源賬單？ 數(shù)據(jù)中心投入產(chǎn)出比是多少？如果對于數(shù)據(jù)中心使用資源無法準確量化評價，會帶來過期資源無法及時釋放的問題，存在資源濫用與浪費情況。

校園云公共服務(wù)面臨的第三個問題，管理模式的問題。傳統(tǒng)的私有云采用“資源劃分，部門自管”的運營方式，很多部門的管理者不是專業(yè)人員，要管理好分配給他們的資源比較困難，因此這種模式不適合高校的模式運行。校園云公共服務(wù)面臨的第四個問題是安全問題，普通用戶共享計算資源池，由于用戶網(wǎng)絡(luò)安全防范意識較弱，虛擬機被攻擊后容易對內(nèi)網(wǎng)其他虛擬機造成危害。例如，黑客攻破某一臺虛擬機，通過跳板機對內(nèi)網(wǎng)其他虛擬機造成威脅，或者用戶訪問病毒網(wǎng)站、或者操作系統(tǒng)漏洞造成病毒在內(nèi)網(wǎng)蔓延；再如校園內(nèi)部網(wǎng)絡(luò)安全愛好者探測內(nèi)部網(wǎng)絡(luò)，造成安全風險。

高校私有云提供公共服務(wù)的模式

根據(jù)以上的問題，校園公共服務(wù)云平臺建設(shè)，即建一個“校內(nèi)公共云”，需要達到如下的目標。第一，要提供全方位安全保障。第二，要和現(xiàn)有的IT資源兼容。第三，服務(wù)流程自動化，實現(xiàn)快速交付。第四，資源的使用量要量化評價。第五，支持學校的創(chuàng)新、科研活動，使得服務(wù)對象擴大，服務(wù)種類增加。

以華南理工大學為例，校園公共服務(wù)云平臺的實現(xiàn)方式主要包括幾個方面。第一，華南理工大學在校園云統(tǒng)一服務(wù)門戶上實現(xiàn)申請，申請的時候，能滿足不同IT能力用戶使用需求，例如，普通用戶傻瓜式使用，高級用戶全功能使用，開放用戶靈活使用。第二，結(jié)合學校關(guān)于公共云的管理辦法，實現(xiàn)信息中心服務(wù)流程電子化。第三，實現(xiàn)學校云服務(wù)創(chuàng)新，不僅僅是提供虛擬機服務(wù)，而且包括增加服務(wù)種類、擴大服務(wù)對象。第四，可視化云安全保護，讓沒有IT基礎(chǔ)的用戶，都會配置安全策略。第五，量化資源的使用成本，提供計費、報表，讓云服務(wù)的價值能夠體現(xiàn)。成本用貨幣的形式來體現(xiàn)。當然，用戶不一定需要付費，但這種價值的表現(xiàn)方式容易為人理解。

在實現(xiàn)中，需要注意做到不改變二級部門負責人的審批習慣，能實現(xiàn)公共云與現(xiàn)有流程管理平臺對接，例如，用戶申請?zhí)摂M主機后，系統(tǒng)自動通過郵件、短信等方式通知二級部門負責人，負責人可以從郵件中直接查看本學院資源池的剩余配額并直接審批。負責人審批同意后，由云平臺管理員審核后（這個步驟根據(jù)運行情況可以考慮省略），系統(tǒng)自動完成云資源分配并交付給用戶。

云資源使用情況的度量和統(tǒng)計如何實現(xiàn)呢？首先，根據(jù)自定義計費策略，例如可以針對CPU、內(nèi)存、硬盤、云防火墻、云負載均衡等資源的占用情況和使用時長進行計費，時長可以是小時、天、月，可以根據(jù)時段輸出費用。其次，可以按二級機構(gòu)（如學院）、全校角度進行統(tǒng)計，可以提前批量充值，對實際費用進行查詢，對云資源利用率進行統(tǒng)計等。

對于全方位安全保障的方面，進行資源池的安全隔離。首先，典型用戶類型進行劃分。例如，個人業(yè)務(wù)用戶與學院業(yè)務(wù)用戶；課題組用戶和創(chuàng)業(yè)團隊用戶； 一般技術(shù)水平用戶和高技術(shù)水平用戶；安全防范意識高用戶（難中毒）和意識低用戶（易中毒）。其次，典型資源池進行劃分。例如，按虛擬化品牌和服務(wù)器性能劃分；按使用對象劃分，分為公共資源池（供多個用戶共用）、專屬資源池（供某一個特定用戶使用）。最后，通過南北向硬件安全網(wǎng)關(guān)+虛擬化環(huán)境中的云安全技術(shù)，將不同類型的資源池與不同的用戶群體進行綁定，實現(xiàn)不同類型用戶使用指定的資源池，保證在資源池層面不同類型用戶的安全隔離。

華南理工大學的云平臺建設(shè)實踐

華南理工大學于2011年開始建設(shè)云平臺，2011年6月在《中國教育網(wǎng)絡(luò)》發(fā)表過文章《如何打造美麗的教育云》。根據(jù)規(guī)劃，第一階段是單一的云，第二階段是運行云、公共云和科研云結(jié)合的“三朵云”，第三階段是“混合云+容器云”。

目前是第二個階段，即主要有“三朵云”。運行云是網(wǎng)絡(luò)中心的私有云，為學校核心的應(yīng)用提供運行環(huán)境；公共云是“小公共云”，即校內(nèi)人員叫它公共云，在校外又屬于私有云，學校通過這個平臺面向全校機關(guān)部處、科研團隊提供計算和存儲資源的服務(wù)；科研云是采用開源軟件與自主研發(fā)核心技術(shù)相結(jié)合的形式，為科研活動和學生創(chuàng)新提供一個開放的空間。關(guān)于這“三朵云”的詳細情況可以參考發(fā)表在2016年11月《中國教育網(wǎng)絡(luò)》的文章“華南理工大學：三‘云’合一讓服務(wù)更靈活”，這篇文章在《中國教育網(wǎng)絡(luò)》雜志主辦的“2016高校信息化創(chuàng)新獎”活動中被評為2016年度“高校云計算創(chuàng)新推薦方案”。

華南理工大學如何構(gòu)建校內(nèi)服務(wù)“公共云”平臺并提供公共服務(wù)呢？首先，通過互聯(lián)網(wǎng)式服務(wù)門戶，實現(xiàn)公有云運營體驗和校內(nèi)資源一站式發(fā)布。第二，云服務(wù)平臺位于五山校區(qū)的數(shù)據(jù)中心，機房重新裝修，已建設(shè)1250kV×2兩路高可靠獨立供電系統(tǒng)，和600kVA的備供電路（在建），已建成首期建設(shè)的規(guī)模為：計算節(jié)點含392個物理核心，2TB內(nèi)存；存儲系統(tǒng)含256GB緩存，600TB存儲能力；軟件系統(tǒng)采取基于Openstack和KVM的云計算解決方案；預(yù)計提供虛擬機數(shù)量在400個以上。

根據(jù)規(guī)劃，云平臺主要為提供基礎(chǔ)云服務(wù)和高級云服務(wù)。高級云服務(wù)包括云桌面服務(wù)、云網(wǎng)盤服務(wù)、大數(shù)據(jù)服務(wù)、虛擬數(shù)據(jù)中心服務(wù)、開發(fā)環(huán)境服務(wù)、應(yīng)用商店、域名服務(wù)。高級云服務(wù)目前還沒有開通，現(xiàn)在主要是基礎(chǔ)的云服務(wù)。基礎(chǔ)云服務(wù)包括虛擬機服務(wù)、塊存儲服務(wù)、裸金屬服務(wù)、防火墻服務(wù)、負載均衡服務(wù)、防病毒服務(wù)等。目前實現(xiàn)了基礎(chǔ)云服務(wù)。

為了便于用戶快速配備資源，華南理工大學給用戶做了幾個標準的資源套餐，根據(jù)資源的使用量來區(qū)別每個套餐，價格參考公有云定價。另外，資源分配受到雙重限制，一方面，部門資源配額，即按部門為單位進行資源配額設(shè)定，按需進行配額分配，防止資源濫用和不均。另一方面，用戶余額。用戶能申請?zhí)摂M機的條件需滿足兩個條件：1.所在部門有剩余配額；2.用戶本身余額足夠支付虛擬機費用。

申請的過程采用學校統(tǒng)一認證鏡像用戶身份驗證，用戶進行在線自助申請。此外，還開發(fā)了一個在線充值功能，用戶通過支付寶、微信充值后，其配額就增加了。不過，因為涉及到收費問題，目前還沒有開放這服務(wù)。

用戶通過自助服務(wù)門戶申請云主機（虛擬機）資源，經(jīng)過用戶部門負責人審批和云平臺管理人員審核后，系統(tǒng)根據(jù)獲批準的用戶配置自動生成虛擬機自動生成，這個過程很快，只要一分鐘。

申請的過程非常人性化(見圖1），用戶根據(jù)自己需求選擇虛擬機的各種參數(shù)。為防止出現(xiàn)僵尸虛擬機，避免用戶對于資源濫用，每個虛擬機都設(shè)置了租期，租期最長是三年。在用戶資源到期后，通過郵件通知的方式，告知虛擬機期限狀態(tài)，提醒用戶處理，防止遺忘。審批的流程可以通過圖形化、拖拽的方式重新定義。

從運營功能來看，主要包括服務(wù)發(fā)布、虛擬機過戶、審計功能、信息通知、二次密碼認證、服務(wù)定價、用戶充值計費、資源使用統(tǒng)計報表等功能。其中，服務(wù)發(fā)布，是通過公有云式的運營，直觀地發(fā)布校內(nèi)云資源服務(wù)，服務(wù)交付更易用、更直觀、更快速。虛擬機過戶，是將一個虛擬機從用戶A過戶給用戶B。例如，在部門調(diào)動情況下，人員調(diào)動后，將某個人名下管理虛擬機或者其它資源，過戶到原部門其他管理人員。關(guān)于定價維度，可根據(jù)不同的校區(qū)、不同的資源池、不同的主機規(guī)格等資源類型設(shè)定計費規(guī)則，按小時、天、月時間維度計費。

在安全方面，公共云通過無代理方式，實現(xiàn)虛擬機殺毒即服務(wù)，保護虛擬機應(yīng)用層安全。所謂的無代理是，虛擬機中無需安裝殺毒軟件；病毒庫統(tǒng)一更新，無需擔心病毒庫過舊、導(dǎo)致的查殺不及時問題。同時，查殺資源調(diào)度，節(jié)省宿主機計算資源。

公共服務(wù)云平臺為每個組織、每個業(yè)務(wù)分配一個獨立的虛擬防火墻，用戶可以配置他的防火墻，配置他的策略。虛擬防火墻作為租戶虛擬數(shù)據(jù)中心的安全屏障，實現(xiàn)租戶之間的安全隔離，另外，租戶管理員具有云防火墻的安全策略配置權(quán)限，從而實現(xiàn)以組織、業(yè)務(wù)為顆粒度的安全防護，實現(xiàn)不同組織、業(yè)務(wù)間的訪問控制。

圖1 用戶通過自助服務(wù)門戶申請云主機（虛擬機）資源

（責編：陶春）

（本文根據(jù)華南理工大學信息化辦公室主任陸以勤在“2017年高等教育信息化創(chuàng)新論壇”上的演講整理）