一種基于OpenStack的安檢私有云平臺搭建方案

呂始勝 李東 公安部第一研究所

引言

安全檢查作為保障社會穩(wěn)定的一項重要措施，目前已經(jīng)廣泛應(yīng)用在大型活動、交通、場館等各個領(lǐng)域。同時，隨著技術(shù)的發(fā)展，新型設(shè)備、新興技術(shù)也在安全檢查行業(yè)得到了進(jìn)一步的推廣，如人臉識別、毫米波人體成像等技術(shù)也會提高安檢效率，創(chuàng)造更優(yōu)質(zhì)的用戶體驗。

但是在行李檢查方面，傳統(tǒng)X射線技術(shù)仍然是目前的主流技術(shù)，特別是通道型X射線機(jī)更是占據(jù)主導(dǎo)地位。與之相對應(yīng)的管理系統(tǒng)，目前大多是在局域網(wǎng)運(yùn)行甚至單機(jī)模式運(yùn)行，這樣就形成了一個個信息孤島，不僅無法實現(xiàn)全國范圍的違禁物品交流共享，也無法利用大數(shù)據(jù)技術(shù)對圖像進(jìn)行分析、輔助判讀，主要靠安檢員的主觀判斷，存在一定的安全隱患。

另一方面，云計算作為目前已經(jīng)成熟的技術(shù)，已經(jīng)廣泛應(yīng)用在各個方面?；诎踩钥剂?，安檢行業(yè)對IT環(huán)境和物理資源特別是核心數(shù)據(jù)（人員信息、圖像、設(shè)備信息）具有完全的控制，同時又有提高資源的利用率、簡化本地硬件管理成本、具備容災(zāi)功能、建設(shè)大數(shù)據(jù)智能化應(yīng)用等切實的需求，因此構(gòu)建安檢私有云平臺是今后安檢行業(yè)發(fā)展的一個趨勢。

一、私有云平臺選型

（一）私有云平臺構(gòu)建模式

私有云平臺的構(gòu)建可以采用三種模式：

1. 企業(yè)或研究機(jī)構(gòu)自行開發(fā)

這種方式需要企業(yè)或研究機(jī)構(gòu)有很強(qiáng)的技術(shù)實力，比較典型的是清華大學(xué)的透明計算平臺。

2. 采用商業(yè)解決方案

國內(nèi)外不少商業(yè)公司提供了較為成熟的私有云整體解決方案，比較典型的是VMWare公司的vSphere、華為云、阿里云、百度云、聯(lián)想云等。其中，有些公司提出了超融合概念，超融合既有包含軟件和硬件的一體機(jī)模式，也有純軟件模式，國內(nèi)私有云軟件部分都是在開源架構(gòu)上進(jìn)行了二次開發(fā)。

3. 使用開源解決方案

這種方案是利用開源系統(tǒng)構(gòu)造企業(yè)或組織的私有云平臺，典型的開源系統(tǒng)包括OpenStack、CloundStack、Eucalyptus和OpenNebula等。

三種構(gòu)建模式的比較見表1。

（二）開源私有云平臺優(yōu)勢

在自行開發(fā)、商業(yè)解決方案和開源解決方案3種私有云的構(gòu)建模式中，開源方案具有如下多個優(yōu)勢：

1. 使用成本低

用戶只需要購買硬件設(shè)備和網(wǎng)絡(luò)設(shè)備，無需為開源軟件的使用付費(fèi)。即使用戶需要開源軟件開發(fā)商提供服務(wù)，其需要付出的費(fèi)用也相對比較低廉。

2. 開放源代碼

開放源代碼，有利于研究人員對系統(tǒng)內(nèi)部的實現(xiàn)機(jī)制進(jìn)行深入研究。開源軟件使用Apache或其他授權(quán)協(xié)議，用戶能夠獲得系統(tǒng)的源代碼，并且可以通過社區(qū)、討論組等多種形式，與開發(fā)人員和其他用戶深入探討各種技術(shù)問題。

3. 平臺可擴(kuò)展性強(qiáng)

由于現(xiàn)有的云計算技術(shù)尚在快速發(fā)展中,沒有形成統(tǒng)一的技術(shù)標(biāo)準(zhǔn)和規(guī)范，一旦選擇了一種商業(yè)解決方案，就很難轉(zhuǎn)換到其他平臺。而開源云平臺在設(shè)計時一般會保持對主流云計算技術(shù)的兼容性，同時提供轉(zhuǎn)換工具，有效地避免了廠商鎖定問題，增強(qiáng)了系統(tǒng)的可擴(kuò)展性。

（三）主流開源云計算

目前主要的開源云計算系統(tǒng)有OpenStack、CloudStack、 Eucalyptus和 OpenNebula等 ， 其 中OpenStack目前已經(jīng)獲得英特爾、惠普、戴爾、Ubuntu、思科等多個重要公司和開源組織的支持，同時還可以構(gòu)建公有云和私有云，是目前最熱門的開源云計算系統(tǒng)，也已經(jīng)稱為開源云計算的事實標(biāo)準(zhǔn)。

基于成本、技術(shù)可實現(xiàn)性、技術(shù)發(fā)展遠(yuǎn)景等方面綜合考慮，同時結(jié)合安檢行業(yè)的具體需求及規(guī)劃，研究方案選擇使用OpenStack構(gòu)建私有云平臺。

二、OpenStack的重要概念

（一）OpenStack基本組件

1. KeyStone

主要作用是為各個組件提供用戶的認(rèn)證、鑒權(quán)等服務(wù)，是核心組件之一。

2. Nova（OpenStack Compute）

主要作用是控制虛擬機(jī)的配置及整個生命周期，是核心組件之一。

3. Glance

主要作用是存儲虛擬機(jī)的鏡像和快照等，是核心組件之一。

4. Neutron

主要作用是提供網(wǎng)絡(luò)和地址管理，是SDN(軟件定義網(wǎng)絡(luò))在OpenStack里的一個實現(xiàn)，是核心組件之一。

5. Cinder

主要作用是提供塊存儲服務(wù)。

6. Swift

主要作用是提供對象存儲服務(wù)。

7. Horizon

主要作用是提供一個圖形化OpenStack管理界面。

8. Heat

主要作用是做各個服務(wù)的編排。

（二）OpenStack節(jié)點類型

OpenStack主要有四種節(jié)點：

1. 控制器節(jié)點

是OpenStack的管理節(jié)點， OpenStack大部分服務(wù)都是運(yùn)行在控制器節(jié)點上，如keystone認(rèn)證服務(wù)、Glance管理服務(wù)等；

2. 計算節(jié)點

指實際運(yùn)行虛擬機(jī)的節(jié)點，虛擬機(jī)實際上最后是在計算節(jié)點上運(yùn)行的；

3. 存儲節(jié)點

可以是提供對象存儲或塊存儲的節(jié)點，也可以是一個其它服務(wù)的存儲后端；

4. 網(wǎng)絡(luò)節(jié)點

主要是實現(xiàn)網(wǎng)關(guān)和路由的功能。

（三）OpenStack網(wǎng)絡(luò)類型

1. 外部網(wǎng)絡(luò)-公開

公共網(wǎng)絡(luò)，外部或Internet可以訪問的網(wǎng)絡(luò)

2. 內(nèi)部網(wǎng)絡(luò)

（1）私有網(wǎng)絡(luò)-私有

僅內(nèi)部訪問的網(wǎng)絡(luò)。

（2）管理網(wǎng)絡(luò)-管理

用于OpenStack 各組件以及數(shù)據(jù)庫、消息隊列之間的內(nèi)部通信。

（3）存儲網(wǎng)絡(luò)-存儲

用于虛擬機(jī)及其位于外部存儲系統(tǒng)上的應(yīng)用程序數(shù)據(jù)集之間的通信。

（4）服務(wù)網(wǎng)絡(luò)-服務(wù)

用于租戶VLAN/subnets中實例的固定IP地址。

三、OpenStack部署方式

（一）OpenStack部署工具

常見的OpenStack部署工具包括：DevStack、Rdo、Puppet、 Ansible、 SaltStack、 TripleO、 Kolla、 OSP、Fuel等，另外可以是使用腳本手動部署。

其中，F(xiàn)uel是針對OpenStack生產(chǎn)環(huán)境目標(biāo)（非開源）設(shè)計的一個端到端“一鍵部署”的工具，大量采用了Python、Ruby和JavaScript等語言。其功能涵蓋自動的PXE方式的操作系統(tǒng)安裝、DHCP服務(wù)、Orchestration服務(wù)和配置管理相關(guān)服務(wù)等，此外還有OpenStack關(guān)鍵業(yè)務(wù)健康檢查和log實時查看等非常好用的服務(wù)，其在OpenStack個人和企業(yè)部署市場上占有較大的份額，不少國內(nèi)OpenStack公司（如聯(lián)想云）的安裝包就是基于Fuel去修改的。

（二）Fuel的優(yōu)點

（1）節(jié)點的自動發(fā)現(xiàn)和預(yù)校驗；

（2）配置簡單、快速；

（3）支持多種操作系統(tǒng)和發(fā)行版，支持HA部署；

4. 對外提供API對環(huán)境進(jìn)行管理和配置，例如動態(tài)添加計算/存儲節(jié)點；

（5）自帶健康檢查工具；

（6）支持Neutron，子網(wǎng)能配置具體使用哪個物理網(wǎng)卡等。

（三）Fuel的架構(gòu)

Fuel的架構(gòu)圖如圖1所示。

（四）Fuel的網(wǎng)絡(luò)拓?fù)鋱D

Fuel的網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。

四、安檢私有云平臺規(guī)劃及部署

在實驗驗證環(huán)境中，可以選擇使用低配置服務(wù)器甚至是虛擬機(jī)等進(jìn)行功能性驗證；但是在安檢生產(chǎn)環(huán)境中，需要對計算、存儲、網(wǎng)絡(luò)物理資源等進(jìn)行高可用設(shè)計，實現(xiàn)控制器節(jié)點、計算節(jié)點、存儲節(jié)點、網(wǎng)絡(luò)節(jié)點的高可用，從而滿足可靠性、可用性、伸縮性、安全性、可管理性、高性能等要求。

安檢私有云平臺的搭建重點在于利用現(xiàn)有的技術(shù)，根據(jù)安檢的特定需要進(jìn)行規(guī)劃、部署，并最終實現(xiàn)安檢相關(guān)業(yè)務(wù)的遷移上云，從而在不改變現(xiàn)有業(yè)務(wù)邏輯的前提下，最大程度利用云計算的優(yōu)點解決當(dāng)前安檢業(yè)務(wù)中的實際問題。

（一）規(guī)劃步驟

1. 選擇網(wǎng)絡(luò)拓?fù)?/p>

采用標(biāo)準(zhǔn)Fuel高可用網(wǎng)絡(luò)拓?fù)洌?/p>

2. 準(zhǔn)備網(wǎng)絡(luò)和IP分配管理方案

根據(jù)節(jié)點類型確定網(wǎng)絡(luò)物理接口數(shù)量，并采用VLAN模式進(jìn)行網(wǎng)絡(luò)隔離，為公網(wǎng)、浮動地址、管理網(wǎng)、存儲網(wǎng)和虛擬機(jī)內(nèi)部網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)地址和VLAN ID；

3. 選擇存儲

根據(jù)安檢業(yè)務(wù)的需要，選擇Ceph作為后端存儲，并確定為3副本模式從而保證存儲的高可用；

4. 確定節(jié)點總數(shù)、各節(jié)點角色以及高可用規(guī)劃

確保各節(jié)點不少于3個，以確?？刂破鞴?jié)點、網(wǎng)絡(luò)節(jié)點、計算節(jié)點和存儲節(jié)點的高可用，并通過對虛擬機(jī)的規(guī)劃實現(xiàn)安檢業(yè)務(wù)系統(tǒng)的高可用；

5. 規(guī)劃監(jiān)控工具

采用Ceiloment對資源和用量進(jìn)行監(jiān)控；

6. 安裝Sahara、運(yùn)行 Hadoop

實現(xiàn)安檢特定業(yè)務(wù)的大數(shù)據(jù)處理需求；

7. 規(guī)劃裸機(jī)

安裝部署裸機(jī)服務(wù)，滿足連接特定外設(shè)的需要；

8. 計算需要的服務(wù)器和網(wǎng)絡(luò)情況

在匯總OpenStack高可用環(huán)境及安檢業(yè)務(wù)系統(tǒng)所需的計算、存儲、網(wǎng)絡(luò)資源后，根據(jù)相應(yīng)的計算公式計算所需的服務(wù)器和網(wǎng)絡(luò)數(shù)量，從而保證業(yè)務(wù)的穩(wěn)定可靠。

（二）安裝部署步驟

1. 配置相關(guān)網(wǎng)絡(luò)

根據(jù)網(wǎng)絡(luò)規(guī)劃，設(shè)置物理網(wǎng)卡，并劃分相關(guān)子網(wǎng)。

2. 安裝Fuel Master

使用安裝包，進(jìn)行Fuel Master節(jié)點的安裝。安裝完成后會彈出配置界面，可以根據(jù)Fuel Master節(jié)點的網(wǎng)絡(luò)情況設(shè)置網(wǎng)絡(luò)以及PXE等，配置完后即可通過瀏覽器打開管理界面。

3. 安裝OpenStack

Fuel主節(jié)點安裝完畢后開始部署OpenStack。各子節(jié)點網(wǎng)絡(luò)部署好并重啟后，便會自動進(jìn)入PXE模式被Fuel主節(jié)點發(fā)現(xiàn)。在管理界面中根據(jù)實際情況將各子節(jié)點劃分成控制器節(jié)點、存儲節(jié)點、計算節(jié)點，然后為每一個節(jié)點修改網(wǎng)卡對應(yīng)的網(wǎng)絡(luò)，如圖3所示。

待各子節(jié)點設(shè)置完成，即可進(jìn)行OpenStack環(huán)境的部署，系統(tǒng)將會在各子節(jié)點上安裝操作系統(tǒng)及OpenStack相應(yīng)的組件，從而完成云平臺的構(gòu)建，為上層應(yīng)用提供資源和服務(wù)。

（三）安檢業(yè)務(wù)遷移上云

在安檢私有云平臺搭建完成后，可以在該平臺上根據(jù)業(yè)務(wù)需要安裝虛擬機(jī)或直接管理裸機(jī)，并將相關(guān)安檢業(yè)務(wù)系統(tǒng)遷移到這些虛擬機(jī)或裸機(jī)上，從而實現(xiàn)安檢業(yè)務(wù)上云。

安檢業(yè)務(wù)上云后，不僅能夠保證原有業(yè)務(wù)系統(tǒng)正常運(yùn)行，而且具有良好的可靠性和可擴(kuò)展性，為今后安檢向智能化發(fā)展提供技術(shù)保障。

五、安檢私有云平臺實際應(yīng)用

根據(jù)業(yè)務(wù)需要，規(guī)劃并部署了一套用于安檢系統(tǒng)驗證和測試的安檢私有云平臺，將現(xiàn)有的某些業(yè)務(wù)遷移到該平臺，并在此基礎(chǔ)上結(jié)合公有云實現(xiàn)了基于混合云模式的安檢典型案例、典型違禁品數(shù)據(jù)共享等業(yè)務(wù)的拓展。通過該平臺，不僅能夠完成現(xiàn)有系統(tǒng)的測試，而且對現(xiàn)有系統(tǒng)的升級改造提供了新的解決方案，在試用過程中獲得了良好的評價。

六、結(jié)語

根據(jù)安檢行業(yè)現(xiàn)狀以及今后的發(fā)展趨勢，結(jié)合私有云平臺的規(guī)劃和部署選型，使用Fuel部署工具搭建安檢私有云一方面能夠滿足安檢的實際需要以及擴(kuò)展能力，另外一方面可以實現(xiàn)技術(shù)的快速落地，從而為提高安檢效率、提高資源利用率提供可靠的技術(shù)保障。