華為虛擬化技術(shù)應(yīng)用

普布卓嘎 豆永麗 仁青尼瑪

（西藏自治區(qū)氣象信息網(wǎng)絡(luò)中心，西藏 拉薩 850000）

0 引言

FusionCompute 是云操作系統(tǒng)軟件[1]，主要負(fù)責(zé)硬件資源的虛擬化，以及對虛擬資源、業(yè)務(wù)資源、用戶資源的集中管理。它采用虛擬計(jì)算、虛擬存儲、虛擬網(wǎng)絡(luò)等技術(shù)，完成計(jì)算資源、存儲資源、網(wǎng)絡(luò)資源的虛擬化。同時(shí)通過統(tǒng)一的接口，對這些虛擬資源進(jìn)行集中調(diào)度和管理，從而降低業(yè)務(wù)的運(yùn)行成本，保證系統(tǒng)的安全性和可靠性，協(xié)助運(yùn)營商和企業(yè)構(gòu)筑安全、綠色、節(jié)能的云數(shù)據(jù)中心能力。西藏自治區(qū)氣象信息網(wǎng)絡(luò)中心不但承擔(dān)了單位內(nèi)部的信息資源管理和分配，而且包含7地（市）、縣氣象局業(yè)務(wù)數(shù)據(jù)匯聚管理，龐大的數(shù)據(jù)處理需要為每個(gè)對應(yīng)的地（市）、縣業(yè)務(wù)分配一臺虛擬機(jī)對接，實(shí)現(xiàn)傳輸業(yè)務(wù)數(shù)據(jù)的實(shí)時(shí)處理，虛擬化技術(shù)為信息中心的業(yè)務(wù)提供了良好的支撐。

1 華為虛擬化架構(gòu)特點(diǎn)與用途

1.1 業(yè)務(wù)靈活性

通過資源自行動態(tài)調(diào)度（包含負(fù)載均衡和動態(tài)節(jié)能）以及業(yè)務(wù)負(fù)載靈活調(diào)整虛擬機(jī)的Qos 技術(shù)（CPUQOS、內(nèi)存QoS）靈活管理虛擬機(jī)實(shí)時(shí)業(yè)務(wù)數(shù)據(jù)處理。

1.1.1 虛擬資源動態(tài)復(fù)用技術(shù)是當(dāng)虛擬機(jī)空閑時(shí)，可自動根據(jù)可設(shè)置的條件將其部分內(nèi)存、CPU 等資源釋放并歸還到虛擬資源池，以供系統(tǒng)分配給其他虛擬機(jī)使用。這樣可靈活對虛擬機(jī)業(yè)務(wù)負(fù)載動態(tài)的調(diào)整資源，以達(dá)到業(yè)務(wù)運(yùn)行所需最佳狀態(tài)。

1.1.2 虛擬機(jī)的CPU QoS 用于保證虛擬機(jī)的計(jì)算資源分配，隔離虛擬機(jī)間由于業(yè)務(wù)不同而導(dǎo)致的計(jì)算能力相互影響，滿足不同業(yè)務(wù)對虛擬機(jī)計(jì)算性能的要求。

1.1.3 內(nèi)存QoS 則提供虛擬機(jī)內(nèi)存智能復(fù)用功能，依賴內(nèi)存預(yù)留比。通過內(nèi)存氣泡等內(nèi)存復(fù)用技術(shù)將物理內(nèi)存虛擬出更多的虛擬內(nèi)存供虛擬機(jī)使用，每個(gè)虛擬機(jī)都能完全使用分配的虛擬內(nèi)存。

1.2 高可用

華為虛擬化高可用，需要從軟硬件兩方面著手。當(dāng)華為虛擬化池中的物理計(jì)算節(jié)點(diǎn)重啟或者宕機(jī)時(shí)，HA 調(diào)度策略將故障虛擬機(jī)在線遷移到同一集群其他計(jì)算節(jié)點(diǎn)上，在不中斷核心業(yè)務(wù)的情況下，使虛擬機(jī)能快速的恢復(fù)。HA 調(diào)度策略、內(nèi)存復(fù)用策略、計(jì)算資源調(diào)度自動化策略都是華為虛擬化軟件高可用的保障手段。西藏自治區(qū)氣象信息網(wǎng)絡(luò)中心計(jì)算資源調(diào)度自動化策略，通過對衡量CPU 及內(nèi)存因素，配合調(diào)度基線、遷移閾值以及閾值周期做統(tǒng)一衡量，得到較為適合的策略。為保障核心業(yè)務(wù)的順利進(jìn)行，策略需要著重于核心業(yè)務(wù)所在計(jì)算節(jié)點(diǎn)資源的管理和調(diào)度配置。

硬件方面高可用主要包含網(wǎng)絡(luò)和存儲的高可用。網(wǎng)絡(luò)高可用通過業(yè)務(wù)網(wǎng)絡(luò)鏈路冗余、存儲網(wǎng)絡(luò)鏈路冗余以及冗余路由協(xié)議實(shí)現(xiàn)。同時(shí)配置網(wǎng)絡(luò)負(fù)載均衡，達(dá)到業(yè)務(wù)訪問的流暢，增強(qiáng)客戶的使用體感。西藏氣象信息中心采用華為Active-Active 陣列雙活技術(shù)實(shí)現(xiàn)存儲的高可用。在信息中心兩套獨(dú)立的存儲設(shè)備OceanStor5500提供兩個(gè)實(shí)時(shí)一致的數(shù)據(jù)副本，兩個(gè)副本可以被同一業(yè)務(wù)主機(jī)并發(fā)讀寫訪問，且任一副本故障，不影響上層業(yè)務(wù)連續(xù)運(yùn)行。雙活系統(tǒng)運(yùn)行至今實(shí)現(xiàn)7x24 小時(shí)業(yè)務(wù)不間斷運(yùn)行，RPO=0，RTO≈0，且維護(hù)過程中業(yè)務(wù)也不中斷，提供了高可用的業(yè)務(wù)支撐。如圖1所示。

1.3 快速部署

在FusionCompute 虛擬化環(huán)境下，最能體現(xiàn)虛擬化特點(diǎn)的操作便是服務(wù)器的快速部署?？焖俨渴鸩捎媚０宀渴稹⑻摂M機(jī)復(fù)制兩種方式：

1.3.1 模版部署。首先，我們需要建立一臺虛擬機(jī)，在此虛擬機(jī)上安裝操作系統(tǒng)，并完成系統(tǒng)驅(qū)動、補(bǔ)丁、常用軟件等安裝或更新，最后將該虛擬機(jī)轉(zhuǎn)換成模板。后續(xù)快速部署，采用“從模板部署虛擬機(jī)”，可以快速完成虛擬機(jī)部署。西藏氣象信息中心建立了windows 2008 R2、windows 2012 R2、windows 2019、Centos 7、Suse 11 SP4、Ubutun 18.4、Debain 9、Redhat等模板。根據(jù)模板部署的虛擬機(jī)，可以根據(jù)業(yè)務(wù)負(fù)責(zé)，增加CPU 核數(shù)、內(nèi)存容量、磁盤空間等，達(dá)到業(yè)務(wù)連續(xù)、流暢的正常運(yùn)行，達(dá)到用戶期望的使用體驗(yàn)。

1.3.2 虛擬機(jī)復(fù)制。用于增加相同操作系統(tǒng)或相同業(yè)務(wù)虛擬機(jī)時(shí)的快速部署。部署前需要將虛擬機(jī)關(guān)閉，選擇“虛擬機(jī)克隆”，按照系統(tǒng)提示，完成虛擬機(jī)復(fù)制。西藏氣象信息中心原有2 臺redis 服務(wù)器，由于業(yè)務(wù)量增加，需要增加4 臺相同配置的服務(wù)器組成reids集群。在原redis服務(wù)器做虛擬機(jī)復(fù)制，最短時(shí)間內(nèi)完成集群部署，快速的提供redis 緩存數(shù)據(jù)業(yè)務(wù)，緩解了業(yè)務(wù)系統(tǒng)因訪問增加的壓力。

1.4 安全管理

在網(wǎng)絡(luò)的世界里，安全是永恒的話題。不管您所處的網(wǎng)絡(luò)是局域網(wǎng)還是互聯(lián)網(wǎng)，不管您是用什么平臺接入網(wǎng)絡(luò)，不管您是傳輸?shù)臄?shù)據(jù)是流媒體還是社交數(shù)據(jù)等，都存在泄露的風(fēng)險(xiǎn)，安全管理是保障業(yè)務(wù)正常開展的重要手段。在虛擬化中，通過網(wǎng)絡(luò)安全管理、虛擬化安全管理、數(shù)據(jù)安全管理以及接入安全管理成為安全管理不可或缺的組成部分。

1.4.1 網(wǎng)絡(luò)安全管理。在FusionComput 中，對網(wǎng)絡(luò)平面隔離是常用的方法，一般分為業(yè)務(wù)平面、存儲平面和管理平面，各個(gè)平面通過物理隔絕、邏輯隔絕方法，依據(jù)業(yè)務(wù)和管理需求自行設(shè)計(jì)。VLAN網(wǎng)段限制是業(yè)務(wù)平面中常用的訪問，不同的業(yè)務(wù)虛擬機(jī)服務(wù)器處于不同的VLAN，確保各部門間的安全隔離。為防止arp攻擊，將服務(wù)器的IP 與MAC 綁定記錄在核心交換機(jī)上ARP 表中，是一個(gè)不錯(cuò)的安全措施。而采用IPTABLE 防火墻的過濾機(jī)制，也能減少和限制外部對服務(wù)器的攻擊。

1.4.2 虛擬化安全管理。Hypervisor 實(shí)現(xiàn)同一臺物理機(jī)上承載不同虛擬機(jī)之間的資源隔離，避免虛擬機(jī)之間的數(shù)據(jù)泄露和惡意攻擊，保證虛擬資源不受周邊虛擬機(jī)影響。終端用戶在使用虛擬機(jī)時(shí)，只能訪問屬于自己的虛擬機(jī)資源。Hypervisor 調(diào)度VCPU，協(xié)調(diào)操作系統(tǒng)內(nèi)核、操作系統(tǒng)服務(wù)以及應(yīng)用程序間的關(guān)系，讓不同虛擬機(jī)各自有條不紊的運(yùn)行業(yè)務(wù)。除此以外，內(nèi)存隔離技術(shù)、磁盤I/0 隔離技術(shù)等都是虛擬化安全管理的具體應(yīng)用。

1.4.3 數(shù)據(jù)安全管理。對本地存儲敏感數(shù)據(jù)使用加密算法（如AES_128_CBC）加密保存，對傳輸敏感數(shù)據(jù)使用TLS 傳輸通道，保證數(shù)據(jù)的機(jī)密性和完整性。另外數(shù)據(jù)訪問控制也是常用的數(shù)據(jù)安全管方式。西藏氣象信息中心對每個(gè)卷定義不同的訪問策略，只有賦予權(quán)限的用戶才能訪問改卷，且每個(gè)卷之間是相互隔離，從而實(shí)現(xiàn)用戶數(shù)據(jù)隔離和訪問控制安全。

2 FusionCompute基本構(gòu)架

華為16臺服務(wù)器安裝華為虛擬化操作系統(tǒng)，并將16臺服務(wù)器資源整合成一個(gè)資源池。如圖2所示。

上架兩套OceanStor5500 v3 存儲，并調(diào)試存儲，將兩套存儲做成雙活，保障其中一個(gè)存儲故障時(shí)不影響業(yè)務(wù)。

上架兩臺OceanStor SNS2124存儲交換機(jī)，并配置2臺存儲交換機(jī)。

安裝3臺S5700交換機(jī)，其中2臺為業(yè)務(wù)交換機(jī)，1臺為管理交換機(jī)，并將交換機(jī)接入到業(yè)務(wù)網(wǎng)絡(luò)。

16臺服務(wù)器業(yè)務(wù)網(wǎng)線連接和光纖連接，網(wǎng)線分別連接至業(yè)務(wù)交換機(jī)和管理交換機(jī)，光纖連接至存儲交換機(jī)和存儲。

根據(jù)信息中心要求完成20套業(yè)務(wù)系統(tǒng)數(shù)據(jù)遷移，目前已全部系統(tǒng)遷移。

3 FusionCompute應(yīng)用效果

3.1 節(jié)省物理服務(wù)器的硬件投資

物理服務(wù)器采用虛擬化技術(shù)轉(zhuǎn)化為托管虛擬服務(wù)器，并在托管虛擬服務(wù)器中運(yùn)行不同的應(yīng)用系統(tǒng)，以滿足氣象信息化的需求，減少硬件投入成本。利用虛擬化技術(shù)，可以輕松將10 臺服務(wù)器的工作量減少到幾臺或單臺服務(wù)器，達(dá)到虛擬化比例10：1 的運(yùn)行效果，從而降低業(yè)務(wù)的硬件需求。另外，為減少重復(fù)投資，節(jié)約信息化成本，將退役的6 臺IBM 服務(wù)器加入到華為虛擬化FusionCompute 集群中，并采用先前項(xiàng)目遺留備用設(shè)備華為交換機(jī)S5720（支持千兆以太網(wǎng)，背板帶寬最高可達(dá)2.56Tbps，包轉(zhuǎn)發(fā)率最高108Mbps）。

西藏自治區(qū)氣象信息網(wǎng)絡(luò)中心FusionCompute 虛擬化主機(jī)CNA 共計(jì)16 臺，承載虛擬化服務(wù)器207 臺，按照普通2U 服務(wù)器（華為2288H V3 服務(wù)器主機(jī)，費(fèi)用15999 元）計(jì)算，共計(jì)節(jié)約硬件成本約300 萬元；服務(wù)器利舊共節(jié)省約56萬元。

3.2 統(tǒng)一管理降低能耗

在西藏自治區(qū)氣象信息網(wǎng)絡(luò)中心IT基礎(chǔ)架構(gòu)中，前期投入以購入硬件為主，但后期管理中，電力能耗是最主要的支出之一。節(jié)能降耗成為IT 基礎(chǔ)架構(gòu)不可逾越的話題。虛擬化技術(shù)可以整合服務(wù)器主機(jī)，減少信息中心服務(wù)器主機(jī)數(shù)量和機(jī)柜上架空間，降低電力消耗和制冷需求，減少碳排放量，加速推動綠色環(huán)保的信息中心建設(shè)進(jìn)程。同上，我們以207 臺服務(wù)器計(jì)算：1 度電即為1 千瓦/時(shí)，每度電0.8 元，運(yùn)轉(zhuǎn)24 小時(shí)/天，以華為2288H V3 服務(wù)器主機(jī)功率186W 電源計(jì) 算，186/1000×0.8×24×365×（207-16）=248966.208 元，約25 萬元。其中186W 是按照華為2288H V3的平均功率進(jìn)行計(jì)算，在實(shí)際使用中功率變化可能有較小差異。圖3所示。

3.3 提升資源利用率

現(xiàn)代服務(wù)器應(yīng)用的一個(gè)特點(diǎn)就是專機(jī)專用。根據(jù)摩爾定律，可知硬件設(shè)備發(fā)展迅猛，以至于很多物理主機(jī)并沒有完全發(fā)揮硬件性能，導(dǎo)致部分的硬件性能留存和堆積。虛擬化技術(shù)可以充分發(fā)揮物理主機(jī)的性能，在集群中整合有效資源，按照DRS 預(yù)設(shè)合理調(diào)配和管理資源，并為物理主機(jī)預(yù)留資源，防止資源不足而影響托管虛擬服務(wù)器。當(dāng)有新物理主機(jī)加入集群，DRS 將資源平均分配到物理主機(jī)，使虛擬服務(wù)器均衡地運(yùn)行在集群中物理主機(jī)中，避免出現(xiàn)部分物理主機(jī)資源高耗，而另一部分物理主機(jī)資源閑置的現(xiàn)象。

3.4 快速部署虛擬應(yīng)用

西藏氣象一體化平臺系統(tǒng)是在FusionCompute 虛擬化中快速部署的典型代表。本次共計(jì)部署虛擬服務(wù)器28 臺，其中21 臺Linux 服務(wù)器，7 臺Windows 服務(wù)器。傳統(tǒng)物理主機(jī)須經(jīng)過搬運(yùn)、上架、通電測試、安裝操作系統(tǒng)和設(shè)置等一系列步驟，且需要2 個(gè)工程師1天工作量才能有效完成，而虛擬化快速部署，可在30分鐘內(nèi)完成虛擬服務(wù)器的安裝和設(shè)置。

綜上，虛擬化快速部署功能，不管是從部署效率還是人工成本上，都有很大的優(yōu)勢，而且也能提供相同質(zhì)量的應(yīng)用服務(wù)。

4 結(jié)論

西藏自治區(qū)氣象信息網(wǎng)絡(luò)中心采用華為Fusion-Compute虛擬化管理軟件，將資源虛擬化，為用戶提供高性能、可運(yùn)營、可管理的虛擬化設(shè)備。不但支持基于x86 硬件平臺的多種服務(wù)器和兼容多種存儲設(shè)備，而且支持128 臺物理機(jī)、3000 臺虛擬的虛擬化大規(guī)模集群。自動化的智能調(diào)度、靈活的權(quán)限設(shè)置及簡便的運(yùn)維管理，配合安全設(shè)置，提供了強(qiáng)大的虛擬化功能和資源池管理、豐富的云基礎(chǔ)服務(wù)組件和工具、開放的API 接口等，全面支撐了傳統(tǒng)和新型的氣象信息服務(wù)，極大地提升了IT 資產(chǎn)價(jià)值，提高了IT 運(yùn)營維護(hù)效率，降低運(yùn)維成本，保障氣象業(yè)務(wù)連續(xù)、有效地運(yùn)行。