荊州職業(yè)技術(shù)學院虛擬化云平臺建設(shè)實例

摘要：隨著云技術(shù)的不斷發(fā)展和普及，越來越多的企業(yè)開始建設(shè)自己的云平臺。荊州職業(yè)技術(shù)學院通過采用先進的虛擬化云技術(shù)，達到利用教育信息化手段提升自身內(nèi)涵建設(shè)的目的，以超融合虛擬化平臺為基礎(chǔ)搭建了“智慧校園”軟件系統(tǒng)運行平臺。通過建設(shè)與運行，荊州職業(yè)技術(shù)學院積累了一定的經(jīng)驗，希望通過此文的分享能帶給讀者新的思考。

關(guān)鍵詞：校園網(wǎng)；虛擬化；云平臺；建設(shè)

中圖分類號：TP311 文獻標識碼：A

文章編號：1009-3044（2019）09-0031-02

1 虛擬技術(shù)及硬件平臺的選擇

虛擬技術(shù)是一項整合硬件資源、統(tǒng)一調(diào)配資源、節(jié)省能源的有效技術(shù)。它可以分為完全虛擬、準虛擬、系統(tǒng)虛擬、桌面虛擬等。其主要目的是實現(xiàn)對IT基礎(chǔ)設(shè)施的簡化和資源管理的訪問。

在沒用采用虛擬化之前，我校各部門服務(wù)器沒有實現(xiàn)統(tǒng)一管理，資源分散、系統(tǒng)單一、利用率不高，而且各部門技術(shù)人員水平參差不齊，無法有效保障服務(wù)器運行的安全。學?？偝隹谥挥幸慌_四層硬件防火墻，不具備WAF防護和抗網(wǎng)絡(luò)攻擊能力，校內(nèi)學生拿校內(nèi)服務(wù)器作攻擊測試的事件偶有發(fā)生，校園網(wǎng)使用周期過長，線路老化亟待更換等現(xiàn)象層出不窮。為了從根本上解決這些問題，學校在新的“智慧校園”建設(shè)規(guī)劃上，決定購置虛擬化平臺。

1.1虛擬化產(chǎn)品的選擇

通過第三方代理招標，我校采用了深信服的超融合HCI產(chǎn)品。該產(chǎn)品是基于開源KVM架構(gòu)，自行研制的虛擬化軟件。其軟件整合了計算虛擬化（aSV）、網(wǎng)絡(luò)虛擬化（aNET）、存儲虛擬化（aSAN）、下一代防火墻（vNGAF）、應(yīng)用交付（vAD）、上網(wǎng)行為管理（vAC）、移動辦公（vSSL VPN）、廣域網(wǎng)優(yōu)化（vWOC）、數(shù)據(jù)庫安全審計系統(tǒng)（vDAS）、持續(xù)數(shù)據(jù)保護（CDP）、異構(gòu)虛擬化管理（aHM）、監(jiān)控中心（aMC）等豐富的功能。

我校根據(jù)實際需要，只選用了計算虛擬化（aSV）、網(wǎng)絡(luò)虛擬化（aNET）、存儲虛擬化（aSAN）、下一代防火墻（vNGAF）、應(yīng)用交付（vAD）、異構(gòu)虛擬化管理（aHM）、監(jiān)控中心（aMC）等功能。

1.2服務(wù)器群硬件配置

HCI超融合自身最大優(yōu)勢就是一臺服務(wù)器即可構(gòu)成虛擬化平臺，無需再外接存儲等服務(wù)器，可根據(jù)實際需要擴展（需授權(quán)數(shù)支持），是基于LINUX的純軟件系統(tǒng)。服務(wù)器硬件可新購，也可利舊或改造，其系統(tǒng)只能應(yīng)用在INTEL平臺，最大只支持雙路，單CPU不低于8-12T；內(nèi)存最小16GB，其中系統(tǒng)占用4GB左右；網(wǎng)卡最少4個GE，分為業(yè)務(wù)、集群、存儲、管理4張網(wǎng)；存儲只支持JBOD或RAID0，不可熱添加硬盤；緩沖盤采用高速SSD或PCI-E，SSD：HDD為1：5或1：3，最小可由1塊系統(tǒng)盤、1塊SSD緩沖盤、1塊HDD數(shù)據(jù)盤構(gòu)成。

我校購置單臺服務(wù)器配置為INTEL XEON V2660處理器*2，INTEL SSD480G系統(tǒng)盤，INTEL PCI-E 800G緩沖盤，HGST 4T HDD數(shù)據(jù)盤*8，INTEL 10GE網(wǎng)卡*4（存儲、業(yè)務(wù)做端口聚合），INTEL GE網(wǎng)卡*2，內(nèi)存128GB。規(guī)劃單臺服務(wù)器可虛擬15臺服務(wù)器（4核+8GB內(nèi)存+1T存儲）。實際只能虛擬5～10臺（部分虛擬服務(wù)器占用32GB內(nèi)存）。

1.3網(wǎng)絡(luò)架構(gòu)需求

HCI超融合需要用到4張獨立的網(wǎng)絡(luò)，集群、管理、存儲可以通過同臺交換機劃分VLAN實現(xiàn)，不需要使用外網(wǎng)，但管理機必須接入到管理VLAN中。業(yè)務(wù)需要使用校園網(wǎng)。

我校購置了2臺48口全萬兆交換機和1臺24口全千兆交換機用于超融合平臺的網(wǎng)絡(luò)接入。其中24口千兆交換機劃分2個VLAN，分別接入集群網(wǎng)、管理網(wǎng)，1臺48口全萬兆交換機做端口聚合，接入業(yè)務(wù)網(wǎng)，1臺48口全萬兆交換機未做端口聚合，接入存儲網(wǎng)。

超融合平臺購置時有帶寬限制，vNGAF授權(quán)只有1.6Gbps帶寬，vAD只有5Gbps帶寬，所以理論上單卡10GE完全夠用。

2 虛擬化平臺的基本功能

當HCI超整合平臺投入使用后，我校將原信息化系統(tǒng)進行了遷移。如心理測評系統(tǒng)、OA系統(tǒng)、教務(wù)系統(tǒng)、數(shù)據(jù)采集系統(tǒng)、圖書管理系統(tǒng)、DNS服務(wù)器、HTTP服務(wù)器等，后又新建了虛擬仿真、智慧教室、虛擬卡、電梯控制、站群、統(tǒng)一身份認證、門戶平臺等服務(wù)器。

從總體上來看，目前各系統(tǒng)運行穩(wěn)定，資源保障可控，暫無安全事件發(fā)生。

2.1虛擬機支持與建立

HCI將服務(wù)器的管理分為了二塊。一塊是實體機管理功能，即服務(wù)器硬件實體管理?？刹榭磫闻_服務(wù)器使用情況、添加新部署主機、服務(wù)器集群等，可以很直觀地看到服務(wù)器當前資源使用情況。一塊是虛擬機的管理功能，包括新建虛擬服務(wù)器、分組、刪除、強制關(guān)機、查看當前占用主機資源、IO流速狀態(tài)等功能，編輯硬件配置或改名需關(guān)機處理。

新建虛擬機支持市場主流操作系統(tǒng)，我校主要以WINDOWS家族為主。新建虛擬機后，可轉(zhuǎn)換為模板，進行批量克隆，也可直接克隆。轉(zhuǎn)成模板后不可再操作，無法升級、開機，一旦克隆出新的虛擬機，模板也無法刪除，個人感覺十分不便。

服務(wù)器和虛擬機都有HA和動態(tài)資源調(diào)度功能。當資源低于設(shè)置的閾值，將自動激活調(diào)度功能，動態(tài)添加CPU或內(nèi)存。虛擬機只支持LINUX系列和WINDOWS 2008DC系列的CPU和內(nèi)存熱添加，其他版本僅支持內(nèi)存熱添加。

2.2存儲和備份恢復

當HCI安裝完成后，平臺會自動生成一個虛擬存儲，把所有HDD數(shù)據(jù)盤資源整合成一個大的卷，新集群的服務(wù)器會自動加入這個卷里。存儲卷分為二個空間，一個是數(shù)據(jù)存儲空間，一個是備份池空間。數(shù)據(jù)存儲主要用于HA和存儲，備份池主要用于虛擬機自動備份。當虛擬機發(fā)生硬件資源故障時，HA自動把虛擬機恢復到其他主機上運行。備份策略我校設(shè)置為按周存儲，每天進行增量備份，存儲7天后刪除。以前低版本上有個虛擬機開機自動恢復初始選項很好用，后來版本更新后取消了，個人認為可以保留。

2.3虛擬網(wǎng)絡(luò)和安全保障

前文說過，HCI是一個純系統(tǒng)，因此平臺內(nèi)所有的設(shè)備都是虛擬的，比如虛擬交換機、虛擬防火墻、虛擬服務(wù)器，用戶可以在虛擬網(wǎng)絡(luò)里自行編輯拓撲。

HCI的防護功能除了vNGAF外，還具有分布式防火墻功能。它可以提供虛機間防護功能，防止某臺虛機被攻破后，躍遷到其他虛機。vAD功能我校只用了單臂模式。

3 虛擬化平臺在實際應(yīng)用當中的效果

3.1通過統(tǒng)一管理實現(xiàn)資源調(diào)度

虛擬化最大的好處就是可以實現(xiàn)資源統(tǒng)一管理，因此虛機所占資源是可以根據(jù)實際需要調(diào)整的。案例一：我校HTTP服務(wù)器初配資源為CPU4核+內(nèi)存8GB+C盤100GB+D盤100GB+WINDOWS SERVER 2016DC，使用時，CPU使用率為2%，內(nèi)存使用率為18%，磁盤使用率為17%，IO讀寫不超過300KB/S，基本滿足了需要，但遠程操控時，感覺系統(tǒng)流暢度不夠，將CPU調(diào)整為8核，問題解決。案例二：我校圖書借閱系統(tǒng)服務(wù)器初始配置與HTTP服務(wù)器相同，因為用到SQL數(shù)據(jù)庫，因此備份數(shù)據(jù)較多，D盤空間迅速被BAK文件占滿，圖書館提出擴容需求后，新增一個500GB磁盤空間。因圖書借閱系統(tǒng)服務(wù)是從模板克隆的，所以磁盤空間不能在原空間上直接擴容。案例三：集群資源調(diào)度出現(xiàn)紅色警報，某臺實體機內(nèi)存占用率一直超過閾值，其他實體機正常，日志里沒有集群資源調(diào)度記錄。打開調(diào)度配置后，發(fā)現(xiàn)原因是新開虛機過多，單臺內(nèi)存分配達到32GB，且沒有加入調(diào)度虛擬機里，所以都集中在一臺實體機上，造成此原因。將新開虛機加入調(diào)度，集群自行調(diào)度負載后，問題解決。

3.2通過策略配置保障用網(wǎng)安全

HCI自帶東西、南北兩個方向的防護功能。內(nèi)外網(wǎng)防護有vNGAF，虛機間防護有分布式防火墻。vNGAF與普通硬件防火墻相似，只是防護系統(tǒng)運行在虛擬硬件上。也可以對虛擬硬件的網(wǎng)口數(shù)量、CPU核數(shù)、內(nèi)存容量、磁盤容量、運行位置等參數(shù)進行調(diào)整，通過點擊詳細狀態(tài)，可對當前設(shè)備狀態(tài)、會話數(shù)量、連接狀態(tài)、網(wǎng)絡(luò)狀態(tài)等參數(shù)進行實時查看。

進入vNGAF的WEB控制臺可以看到更加詳細的防護策略與狀態(tài)。其中用到最多的功能是：漏洞掃描、WAF防護、應(yīng)用控制、全局放行與封堵。案例一：某內(nèi)網(wǎng)IP每次連接DNS服務(wù)器時，UDP會話數(shù)都超過萬位，進行手動封鎖后，該IP會話數(shù)被限制，過幾天該IP的UDP會話數(shù)又暴增，通過設(shè)置防火墻中連接數(shù)控制，會話被自動限制。案例二：WAF中設(shè)置了CC攻擊防護閾值，某內(nèi)網(wǎng)IP訪問內(nèi)網(wǎng)服務(wù)器頻率高于該閾值被WAF規(guī)則匹配到，自動加入封鎖IP名單內(nèi)。案例三：防火墻檢測到內(nèi)網(wǎng)服務(wù)器IP流量異常，查看詳情，提示80/8080端口異常，可能感染了木馬，正對外發(fā)送大量異常的數(shù)據(jù)包，可疑外發(fā)流速為24Mbps，而正常外發(fā)流速為38Kbps。經(jīng)分析，為服務(wù)器安裝了TeamViewer軟件，廠家工程師遠程連接維護造成。案例四：通過觀察內(nèi)置數(shù)據(jù)中心，發(fā)現(xiàn)某臺內(nèi)網(wǎng)服務(wù)器每天零點后，都會定點向廣州2個IP發(fā)送數(shù)據(jù)包，初感認為中了木馬，后進入該虛機查看，發(fā)現(xiàn)服務(wù)器上安裝有騰訊電腦管家軟件，刪除該軟件后，問題解決。案例五：通過觀察內(nèi)置數(shù)據(jù)中心，發(fā)現(xiàn)外網(wǎng)訪問、攻擊、掃描、爬蟲數(shù)據(jù)特別多，有些被成功匹配拒絕，有些被允許通過，安全風險過大，通過調(diào)整相應(yīng)WEB應(yīng)用防護識別庫的規(guī)則號后，攻擊、爬蟲等原先被允許的訪問被拒絕。

分布式防火墻配置較簡單，主要針對虛機的防護。可通過配置簡單訪問規(guī)則實現(xiàn)勒索病毒的防護，也可針對某臺具體虛機進行配置訪問端口。配置與普通防火墻相同，這里就不再贅述。

3.3通過流量管控保障虛機應(yīng)用

HCI授權(quán)的帶寬只有1.6GB，相對于校園網(wǎng)來說帶寬是非常有限的，后期如需提速，還需另外授權(quán)。如何用有限的帶寬為眾多應(yīng)用提供流量保障，那就必須啟用流量管理，依據(jù)每臺虛機的帶寬使用情況設(shè)置更加精細化的帶寬分配策略。

經(jīng)采樣，非視頻虛機最大猝發(fā)流速達到了接收1.3Mbps（HCI只能看到最近24小時數(shù)據(jù)），因此單向5Mbps的基本帶寬，10Mbps的最大帶寬基本適用于常規(guī)應(yīng)用的虛機。智慧教室錄播主機最大猝發(fā)流速達到了接收6.11Mbps（最近24小時數(shù)據(jù)），因此單向10Mbps的基本帶寬，20Mbps的最大使用帶寬基本足夠。

具有云播功能的服務(wù)器建議使用實體機。一是虛機出口總帶寬不夠，二是視頻文件通過虛機進行網(wǎng)絡(luò)拷貝速度太慢，三是HCI更新需要重啟服務(wù)器，存在數(shù)據(jù)安全風險。

4 使用后的幾點感受

從2017年7月開始建設(shè)到現(xiàn)在，HCI在系統(tǒng)升級中也出現(xiàn)過幾次無法解決的問題，比如恢復備份問題、存儲問題、操作系統(tǒng)支持問題等，也通過廠商論壇進行過求助，后來廠商還專門成立了技術(shù)小組，通過研發(fā)新補丁的方式解決。

總體感覺，一是人機界面上還有待改善，特別是vNGAF和vAD，相比阿里云、騰訊云、天翼云等還有很大差距；二是底層LINUX系統(tǒng)無法在平臺上監(jiān)管，接入網(wǎng)絡(luò)后存在安全風險；三是操作應(yīng)更簡單、直觀，配置層級過多，尋找不方便；四是需要增加傳送門功能，不僅僅是提示，而是可直達到配置頁面。

大家常說，要給國產(chǎn)軟件多些包容，但筆者覺得，在市場競爭如此激烈的當下，包容越多淘汰越快。希望國產(chǎn)軟件在全方位都能做到國際一流。

參考文獻：

[1] 李剛.荊州職業(yè)技術(shù)學院校園網(wǎng)優(yōu)化與實現(xiàn)[J].電腦知識與技術(shù)，2016（7）：24-25.

[2] 李剛.淺談云時代下數(shù)字化校園網(wǎng)絡(luò)架構(gòu)的調(diào)整與優(yōu)化[J].電腦知識與技術(shù)，2015（5）：12-13.

【通聯(lián)編輯：朱寶貴】