大学云数据中心建设专业方案.docx

《大学云数据中心建设专业方案.docx》由会员分享，可在线阅读，更多相关《大学云数据中心建设专业方案.docx（38页珍藏版）》请在咨信网上搜索。

xxxxx大学云数据中心建设方案 /11 目录 第1章 云数据中心总体方案 3 1.1 设计原则 3 1.2 系统建设拓扑图 4 1.2.1 xxxxx大学智慧校园整体架构 4 1.2.2 xxxxx大学智慧校园全景图 4 第2章 云数据中心详细设计 7 2.1 总体架构设计 7 2.1.1 逻辑架构设计 7 2.1.2 物理架构设计 8 2.2 数据中心云平台设计 10 2.2.1 数据中心云平台架构 10 2.2.2 异构云计算资源池统一管理 11 2.2.3 云平台服务设计 12 2.2.4 云平台服务管理 20 2.2.5 虚拟化安全隔离 22 2.2.6 存储资源池设计 23 2.3 统一运维管理平台 26 2.4 云平台可扩展性 28 2.4.1 主机可扩展性 28 2.4.2 虚拟桌面扩展性 29 2.4.3 存储扩展性 29 第3章 配置清单 29 3.1 配置清单 29 第1章 云数据中心总体方案 1.1 设计标准 xxxxx大学智慧校园建设是一个复杂系统工程，不可能一蹴而就，必需遵照 “统一计划、分步实施”和“以需求为导向，以应用促发展”标准。 除了要遵照高性能、高可靠性和高安全性设计标准外，还应遵照以下设计标准： n 成熟性和发展性统一标准 工程建设应首先采取符合目前计算机及应用系统发展趋势主流技术，技术优异并趋于成熟，被公众认可优质产品。既要确保目前系统高可靠性，又能适应未来技术发展，满足多业务发展要求。要本着“有用、适用和好用”标准，不片面追求软硬件设施优异性，应强调整个系统可连接性和整体布局、应用合理性。 n 优异性和实用性统一 工程建设方案要面向未来，技术必需含有优异性和前瞻性和实用标准，在满足性能价格比前提下，坚持选择符合标准，优异成熟产品和开发平台。 n 独立性和开放性统一 各系统相互独立同时又相互关联，所以在计划和设计过程中需要考虑本系统独立性，和多系统建融合和关联。 n 可配置性 因为整个系统建设包含部门比较多，业务种类比较复杂，所以系统灵活配置性就显得很关键，系统可配置性应包含部门配置、人员角色配置、公文样式配置、处理步骤配置等。 n 标准化 现有信息技术发展越来越快，为了使该系统在未来运行过程中其技术能和整个信息技术发展同时，系统应含有备灵活适应性和良好可扩展性，系统结构设计和产品选型要坚持标准化，首先采取国家标准和国际标准，其次采取广为流传实用化工业标准。 n 可靠性、安全性、保密性 智慧校园建设包含面广，设计上要充足考虑其大量硬件设备、软件系统和数据信息资源实时服务特点，要确保网络、系统、数据安全，确保系统运行可靠，预防单点故障，对涉密信息应充足确保其安全。对安全管理要充足考虑安全、成本、效率三者权重，并求得适度平衡。对整个系统要要有周密系统备份方案设计。对系统关键信息实施自动备份，以确保系统异常情况补救，并设有系统自动恢复机制。采取必需方法预防数据丢失，确保数据一致性，确保系统运行过程中高可靠性。 1.2 系统建设拓扑图 1.2.1 xxxxx大学智慧校园整体架构 xxxxx大学智慧校园架构分为五层，分别是基础设施层、公共平台层、业务应用层、统一门户层、业务安全保障层。 基础设施层：包含三个层次基础设施架构，包含云服务（服务器即服务、存放即服务、桌面即服务等）、云数据中心（L1层机房设施，L2层IT设备）、云校园网络。这是建设智慧校园基础。 公共平台层：保留公共支撑平台和部分公共数据库，GIS地理位置信息数据库等。 业务应用层：xxxxx大学URP系统，包含财务资产、教学科研、行政服务、生活服务等四大块。 统一门户层：综合信息服务Portal。 业务安全保障：包含网络安全、数据中心安全等，布署校园信息安全防御体系。 本期项目在老校区数据中心建设，构建云平台承载校园业务，满足后续业务发展需求。 1.2.2 xxxxx大学智慧校园全景图 基于智慧校园趋势分析，并结合xxxxx大学现在现实状况及面临很多挑战，提出xxxxx大学整体智慧校园全景图（如上图）。 图中把关键校园智慧业务分为六类： l 领先教研：即教学科研类业务，如教学资源平台、在线协作学习、数字图书馆、科研管理等业务； l 安心校园：即校园安全类业务，如学校安全监控、学校资产管理、学校应急调度、学校秩序管理等； l 绝色节能：园区电能计量管理统计、环境控制系统智能节能等； l 便捷生活：无线校园上网、校园一卡通、校园广播及信息公布等； l 智慧管理：校长仪表盘、办公协作、智能行为管理等； 把智慧校园总体架构简单总结为：1（ICT架构） + 3（层次方案） + X（应用），以下图所表示： l “1”ICT架构：包含诸如云计算、物联网、虚拟化、SDN（软件定义网络）、统一通讯等ICT技术； l “3”层次基础设施方案：包含云服务（服务器即服务、存放即服务、桌面即服务等）、云数据中心（L1层机房设施，L2层IT设备）、云校园网络。 l “X”应用：包含多种上层校园内智慧应用，如教学平台、科研平台、综合管理平台、校园监控、能源管理、校园一卡通等。 本文将关键介绍3大层次基础设施架构方案，和“1”个应用—平安校园，这也是本计划方案中关键内容。稳定可靠“3”层次基础设施架构将灵活弹性支撑多个多样上层应用。 第2章 云数据中心具体设计 2.1 总体架构设计 2.1.1 逻辑架构设计 云数据中心总体架构设计遵照面向业务需求设计思绪，基于模块化设计方法，实现数据中心IT基础架构模块和业务模块松耦合，确保数据中心业务动态扩展和新业务快速上线。 使用特定规格产品设计，包含硬件、软件和应用规格化来提供简单可靠、易于布署和管理、便于扩展和升级IT基础架构，为用户提供愈加好投资保护，满足学校数据中心建设和数据中心可视化统一管控需求。 学校云数据中心建设逻辑架构参考以下： 整体架构自底向上为云机房基础设施层、云计算基础架构层（基础资源层和灾备层）、业务应用层、服务对象层，和数据中心安全保障和数据中心统一管理。 Ø 云机房基础设施层：基于业务需求模块化数据中心设计和实现。 Ø 云计算基础架构层：关键包含基础资源层和容灾备份层 Ø 基础资源层：也可叫云服务层，包含服务器设备、存放设备、网络设备、安全设备、虚拟化软件，和经过虚拟化平台构建虚拟化资源池，还有物理资源池，能够经过智能资源调度和管理平台对虚拟资源池和物理资源池统一管理，并对上层应用系统提供IT服务，云服务层是校园信息化基础架构。云服务层还包含高性能计算处理方案、大数据平台方案等。 l 计算：本处理方案所提供计算系统设备为服务器，服务器要配合数据中云操作系统，能够为用户提供高计算密度、高资源利用率、以业务为导向易管理计算系统。依据实际业务需求，结合安全和管理需求，除数据库服务器和管理服务器不虚拟化外，其它服务器将充足采取虚拟化技术。 l 存放:存放和计算分离，存放采取FC SAN连接主存放阵列。经过虚拟化集中布署，动态分配和调用资源，实现计算和存放资源高效管理。同时布署大数据存放服务，高性能计算服务。 l 虚拟化平台：统一虚拟化平台经过对服务器物理资源抽象，将CPU、内存、I/O等服务器物理资源转化为一组统一管理、可灵活调度、动态分配逻辑资源，并基于这些逻辑资源在单个物理服务器上构建多个同时运行、相互隔离虚拟机实施环境。 l 虚拟资源池：采取虚拟化技术实现IT基础设施资源池化 ，为上层业务提供IT资源弹性供给，愈加好地实现IT资源共享，提升利用率 ，快速响应业务需求。 l 物理资源池：关键是X86物理资源池，包含数据库物理机布署和物理机集群等。 l 智能资源调度和管理：同时提供物理资源和虚拟资源统一监控管理，进而提供全生命周期资源服务。即对计算、存放、网络资源池化管理构建虚拟数据中心。 Ø 容灾备份层：提供容灾和备份处理方案。考虑业务连续性，根据容灾等级能够提供给用容灾和数据容灾，在本项目中关键考虑关键业务如管理平台和资源平台数据安全性和业务连续性。 l 构建当地备份系统，实现基础数据库系统备份和虚拟机系统备份，实现数据库数据和业务运行环境保护。 l 建设双活灾备系统，首先实现数据库存放级数据双活容灾，再实现业务级双活容灾。 Ø 业务应用层：包含学校关键业务，如一卡通系统、教务系统、教学系统、科研系统、办公系统、邮件系统等，和包含支撑校内关键业务、共享数据和交互数据等内容关键数据管理，是学校各机构整体信息化基础数据环境。多种业务数据起源包含由学校各部处和院系等现有多种业务处理应用系统（比如教务、办公、一卡通等应用系统）等提供业务数据。 Ø 服务对象层：包含到业务应用层使用者，能够经过统一门户平台获取到相关服务。 Ø 数据中心安全保障：一体化安全保障系统从物理设施安全、网络安全、主机安全、虚拟化安全、数据安全、应用安全、用户接入安全、安全管理等多层次为政务系统运行提供全方位安全保障。 Ø 数据中心统一运维管理：云数据中心运维管理采取开放管理架构和模块化设计思绪，依据云数据中心管理需求配置运维管理模块。关键管理模块包含服务管理、统一管理门户、服务步骤管理、综合监控管理和云计算平台管理。为了确保方案开放性和可扩张性，运维管理架构采取业界成熟管理产品和管理产品相结合。 2.1.2 物理架构设计 云数据中心建设内容包含网络、服务器、存放等基础设备布署和管理，关键业务如校园管理公共服务平台、数字图书馆、邮件系统等业务云平台布署，平安校园监控、视频教学物理布署，桌面云办公平台布署。 云数据中心物理架构示意图以下： 本项目中，将数据中心物理布署架构分成了三区，即网络区、服务器区、存放区： 网络区：即数据中心网络架构层，采取扁平化二层网络架构（关键层、接入层），使用网络虚拟化技术，关键交换机负担着关键层和汇聚层双重担务。 计算区：提供计算能力服务器设备，服务器要配合虚拟化操作系统，为用户提供高计算密度、高资源利用率、以业务为导向易管理计算系统。依据实际业务需求，结合安全和管理需求，除部分特殊应用不虚拟化外，其它服务器将充足采取虚拟化技术。 服务器区关键包含关键业务云计算资源池，非结构化数据业务物理集群物理资源池。 Ø 云计算资源池：经过统一虚拟化平台对服务器物理资源抽象，将CPU、内存、I/O等服务器物理资源转化为一组统一管理、可灵活调度、动态分配逻辑资源，并基于这些逻辑资源在单个物理服务器上构建多个同时运行、相互隔离虚拟机实施环境，虚拟资源池是经过这些逻辑资源构建。在本项目中，针对邮件系统、办公系统、一卡通系统、教务系统、数字图书馆等教育相关业务系统。经过虚拟化技术提升业务灵敏性，使得教育应用在资源利用上弹性可伸缩。经过将业务和具体物理机解耦合，实现业务在计算资源池内灵活迁移，不受具体物理机故障影响。云计算平台业务通常采取刀片服务器。 Ø 物理资源池：对于非结构化数据多媒体应用业务，如校园安全视频监控业务、远程视频教学业务对于业务处理实时性要求很高，业务数据安全性要求也很高，提议采取物理机集群方法布署能够愈加好地保障业务高效性。对CPU和内存要求高关键应用如校园监控，实时远程教学等能够选择4-8路CPU机架服务器。 存放区：存放和计算分离，虚拟化平台业务存放采取FC SAN连接主存放阵列。经过虚拟化集中布署，动态分配和调用资源，实现计算和存放资源高效管理。同时对于关键业务数据经过镜像卷技术实现当地存放高可用，和后续双数据中心容灾平滑演进。对于非结构化数据多媒体应用业务，存放采取NAS存放提供高带宽、高并发文件共享服务。 2.2 数据中心云平台设计 2.2.1 数据中心云平台架构 xxxxx大学云平台总体架构设计遵照面向业务需求设计思绪，基于模块化设计方法，实现数据中心IT基础架构模块和业务模块松耦合，确保数据中心业务动态扩展和新业务快速上线。云数据中心是校园业务布署关键支撑平台，需要整合分散在各处服务器、存放和网络设备资源，经过云操作系统虚拟化平台实现服务器虚拟化、存放虚拟化、网络虚拟化，构建全校共享硬件资源池，经过云操作系统智能资源调度管理平台实施资源分配、调度和管理，快速响应教育信息化业务需求。 云数据中心架构分为三层，分别是基础设施层、虚拟化资源层、云服务统一管理层。具体以下图： 基础设施层由服务器、网络设备、备份设备、安全设备和存放设备组成。 虚拟化资源层用于帮助用户收编现有资源池，实现资源统一管理和共享。而且提供VDC虚拟数据中心逻辑隔离技术，将物理资源池化后，按组织、业务需要灵活分配，构建一个逻辑数据中心，为用户提供最贴心资源共享和分配方案。 云服务统一管理层经过华为FusionSphere中FusionManager实现虚拟资源、物理资源、和VDC和VPC统一管理。 云平台支持服务器、存放平滑扩容。服务器、存放设备均可依据业务依据需求，在线平滑增加服务器、服务器虚拟集群，在线扩展磁盘、磁盘框、控制框。 2.2.2 异构云计算资源池统一管理 华为虚拟化软件系统FusionSphere关键由虚拟化基础引擎FusionCompute、云管理FusionManager两大部件组成。 FusionSphere全部管理模块默认是主备模式布署，不需要用其它第三方软件来实现主备功效，主备功效由FusionSphere本身实现，这么既提升了系统可靠性，又为用户节省了购置第三方软件提升可靠性费用。另外，FusionSphere管理模块全部是直接布署在本身管理虚拟机上面，每个管理模块无需独立占用物理服务器，从而节省了用户物理资源开支。 FusionManager提供虚拟资源和物理资源统一管理功效（统一拓扑、统一告警、统一监控、容量管理、性能报表、关联分析、资源生命周期管理、账号管理等），而且能经过自动发觉功效发觉其管辖下物理设备资源（包含机框、服务器、刀片、存放设备、交换机）和她们组网关系，将设备纳入其管理范围；FusionManager对外提供统一、基于Web访问、界面友好管理界面。 除了对华为本身虚拟化引擎FusionCompute进行管理，FusionManager还支持对VMware vSphere、Citrix XenServer组建虚拟化资源池进行管理，而且管理步骤和华为资源池管理步骤完全一致。在用户建设了多个厂家虚拟化资源池时，经过FusionManager异构管理功效，能够方便将多个不一样虚拟化厂家资源池整合为一个统一逻辑资源池，大大简化用户维护管理工作量，节省管理成本。 2.2.3 云平台服务设计 面对现在学校一个云平台可能存在多个虚拟化平台现实状况。建设统一融合资源池，实现多资源池统一管理，实现真正管理统一。 将全部设备，包含安全，网络，虚拟化资源，形成一个校园云平台集合。 对异构虚拟化平台进行管理对接。按业务对物理资源和虚拟资源进行统一管理和SLA设定，基于SLA实现校园云平台资源策略发放和调度，自动化配置。以VDC方法实现分权分域管理，降低管理成本。另外，经过网络打通实现跨地域异构虚拟化资源池自动化管理。 1. 针对学校不一样部门独立管理诉求，经过VDC实现资源相互隔离，互不干扰。 2. 根据 应用业务属性和安全分级进行资源域划分设计。 3. 一个完整vDC包含配额、用户、服务目录、网络、资源、模板。 4. 经过VPC满足不一样学校或部门 应用安全隔离。 5. 学校部门可在资源池中自行创建云主机、云存放、虚拟网络、负载均衡、弹性IP等基础设施服务。 2.2.3.1 虚拟校园云平台（VDC）服务 将学校物理校园云平台依据各业务部门需求灵活划分成VDC（Virtual Data Center），每个VDC能够独立提供服务完全和物理校园云平台一样服务和资源，每个VDC全部有自己管理员、服务目录等等，VDC管理员能够直接管理、审批VDC内用户服务申请。VDC之间资源和网络相对隔离，同时能够经过VDC跨物理校园云平台，实现多个物理校园云平台资源统一发放和调度。华为FusionSphere和VMware vSphere资源池可划分在一个VDC中，也可独立划分。 将校园云平台之中物理资源进行“池化”，能够依据各个部门/组织不一样诉求灵活划分和分配物理资源，同时提供对应服务，并让各个部门/组织独立管理和使用本VDC资源，将整个校园云平台超级管理员工作进行分摊和管理上分权，降低超级管理员管理成本,更灵活满足不一样租户/部门要求。 系统管理员作为全部资源管理员能够将学校整个校园云平台计算、存放、网络资源划分到各个VDC，分配给各个组织或部门。 VDC管理员作为VDC全部者，能够在VDC里定义模板、定义VPC，发放VM等操作，是最终使用校园云平台资源组织管理员。 最终用户作为某个VDC业务最终使用者，能够经过自主平台或线下申请VDC内资源。 经过VDC管理，让学校各业务部门拥有自己独享校园云平台。 2.2.3.2 虚拟私有云（VPC）服务 VPC（Virtual Private Cloud）提供隔离虚拟机和网络环境，满足不一样部门网络隔离要求，能够提供直联网络、路由网络和内部网络多个组网模式。 每个VPC能够提供独立虚拟防火墙、弹性IP、VLB、安全组、IPSec VPN、NAT网关等业务。 另外，VPC还能够提供各类资源计次或流量统计信息，可作为计费系统输入。 VPC管理，满足全部应用网络和安全需求。 VPC网络应用场景： 为满足不一样部门 应用安全隔离需求， 学校云校园云平台公共服务平台为各部门提供虚拟私有云（以下简称VPC）服务。 学校云校园云平台公共服务平台为每个要进行应用布署各部门分配一个独立VPC。VPC能够为各部门提供安全、隔离网络环境，实现各部门间应用隔离，及外部网络访问安全控制。 在各部门VPC中，拥有独立网络边界：虚拟防火墙，VPN，NAT；能够布署独立内部网络能力：多平面，地址管理，DHCP，安全组，负载均衡器等。各部门能够在VPC中定义和传统网络无差异虚拟网络，以满足业务布署要求。 VPC内部资源示意图： 1、 应用布署使用 各部门需要布署 应用时，需要将虚拟运主机挂在到自己虚拟机内部，即可实现和虚拟机网络互联，及和其它VPC云主机隔离。 各部门在VPC内部能够经过划分子网方法，实现不一样应用间隔离；经过负载均衡服务，实现大访问量业务虚拟机负载均衡；经过虚拟防火墙实现对VPC外部隔离，经过。能够经过弹性IP和内部虚拟机或负载均衡内部地址映射，实现互联网用户对于 应用访问。 VPC内 应用布署逻辑图： 2、和各部门局域网对接 VPC是在 学校云校园云平台云环境中构建含有自己私有网络云服务，能够和各部门网络互通。在VPC中，各部门含有完全独立IP地址空间设置，和和其它各部门VPC虚拟机完全网络隔离。 各部门能够使用 网VPN网关将自己VPC和自己办公楼网络连通，将VPC网络看做各部门自有网络子网来使用。 VPC提供三种网络，帮助 学校各部门布署业务应用及对外服务。 Ø 直连网络 直连网络和外部网络相连，其本身不包含任何网络资源，在直连网络中创建虚拟机或应用时实际使用是外部网络中资源。外部网络能够是各部门现有网络或公网。当外部网络为各部门现有网络时，直连网络和各部门现有网络对接，虚拟机可分配到各部门现有网络得IP地址资源。当外部网络为公网时，其直连网络中虚拟机含有直接访问公网能力。 Ø 内部网络 独享一个网络资源，该网络和其它网络安全隔离。因为内部网络和其它网络是隔离，所以内部网络中能够布署对安全性要求较高业务，比如，可将数据库所在服务器布署在内部网络中，以确保数据安全。 Ø 路由网络 路由网络含有灵活互通能力和多个业务功效，基于虚拟防火墙路由网络能够和VPC中其它路由网络互通，或绑定弹性IP和公网进行通信。除了弹性IP，路由网络还能提供ACL、DNAT和VPN业务，以满足业务布署要求。在创建路由网络前，需要先为VPC申请了虚拟防火墙。 VPC及其网络逻辑结构下图所表示： 2.2.3.3 虚拟主机服务 智慧校园云平台可为各学院提供虚拟主机租用服务，各部门管理员能够在公共平台上对租用虚拟主机进行全生命周期管理，具体包含： 1. 创建虚拟机 各部门管理员能够经过创建应用、使用虚拟机模板、自定义方法和克隆方法创建虚拟机。 2. 销毁虚拟机 各部门管理员能够经过删除应用来销毁虚拟机，将不再使用虚拟机销毁，以释放系统资源。 3. 虚拟机操作管理 各部门管理员能够经过对一个或多个虚拟机，实施开启/唤醒、安全重启、强制重启、休眠、安全关闭和强制关闭等操作。 4. 迁移虚拟机 各部门管理员能够将虚拟机从一台主机上迁移到另一台主机上。 5. 修复虚拟机 虚拟机操作系统异常后，各部门管理员能够对虚拟机进行修复。修复虚拟机不会影响用户数据，确保用户信息不丢失。 6. 创建虚拟机快照 虚拟机快照可保留虚拟机某一个时刻状态，当虚拟机出现故障时，各部门管理员能够使用快照将虚拟机恢复到创建快照时刻点。 7. 虚拟机资源调整 各部门管理员能够依据业务负载调整资源使用情况调整虚拟机QoS、调整虚拟机CPU数目、调整内存大小、增加或修改虚拟磁盘、删除虚拟磁盘、增加或修改网卡、删除网卡、调整虚拟机磁盘IO上限等。 8. 虚拟机性能监控 各部门管理员能够获取虚拟机CPU占用率、内存占用率、网络流速和磁盘I/O等信息，还能够按周、月、年及自定义时段查询性能监控结果。 2.2.3.4 虚拟桌面服务 1、OA办公虚拟桌面 OA办公桌面云是指企业使用桌面云来进行正常办公活动。用户虚拟机运行Windows XP、Windows 7、Windows8.1系统，运行多种文字办公软件，如Office编辑文档、Project、Visio、Internet Explorer浏览网页、Outlook处理邮件、金山词霸等。桌面云可对接入USB设备、打印设备、存放设备进行映射管理；虚拟机里可安装监控软件，提供多个安全方案，确保办公环境信息安全。 OA办公用户采取完整复制桌面云。完整复制桌面云基于虚拟机等级隔离，每个桌面全部有单独系统盘，安全性高；个性化强；外设支持类型丰富；用户体验和传统PC一致。每个用户全部有一个独立虚拟机，虚拟机系统盘采取服务器当地存放，高度集成。用户假如需要扩展存放空间，可增加SAN存放。OA办公用户和虚拟机采取1：1配置，每个人独占一台虚拟机。用户经过当地瘦终端，或软终端能够远程登录虚拟机。虚拟机采取业界高保真HDP协议将虚拟机桌面显示投送到用户终端上。瘦终端无当地存放，不涉密。可管控，功耗低。办公环境相对PC环境更简练，无噪音。 基于桌面云移动办公方案，桌面云和移动终端结合，用户能够在家或非办公室时经过3G/4G网络，或经过WIFI网络接入桌面云。用户不仅可远程登陆虚拟机，同时也能够经过公布应用程序如Word、Powerpoint，进行移动办公，此时用户无需登陆虚拟机直接使用应用，对带宽要求更低。 为确保桌面云接入安全性，增加一个接入网关。华为桌面云支持多种移动笔记本电脑、Pad、手机终端接入，能够实现无缝随时随地接入进行远程办公，提升效率。手持终端支持系统以下：Android系统、苹果iOS系统。 2、图书馆阅览室虚拟桌面 电子阅览室场景中，用户只需要登陆和使用虚拟机，阅览所需要软件提前安装在镜像中，业务比较简单。电子阅览室关键有以下特点： • 能够上网，网络传输病毒、木马、防不胜防。 • 人员流动性大，虚拟机无需常常关机。 • 需要支持外接U盘。 • 维护简单，提升工作效率。 此场景对存放要求不高，考虑到存在安全威胁，很适用链接克隆虚拟桌面。链接克隆共用一个只读系统母盘，这个母盘中安装电子阅览所需要应用软件。这个母盘不会感染病毒、木马。用户登录使用时，上网、浏览产生临时数据保留在差分盘中，即使差分盘中了病毒木马。只需要对虚拟机进行重启，差分盘即可清除，还原到系统初始状态。管理员要对虚拟机进行升级、打补丁，只要更新母盘即可。 为提升资源复用率，可采取动态多用户方法（动态池）分配给用户。每个TC绑定固定虚拟机账户，开机即可登录使用。流动用户不用再输入帐户和密码，使用起来很方便。 2.2.3.5 虚拟网络服务 公共平台可为租用各部门提供多种网络服务，各部门管理员能够使用公共平台提供网络服务，依据自己也为需求特点搭建对应虚拟网络，实现业务间互通、隔离、及对外部网络互联互通等，具体以下： 1. DNAT服务 当VPC内部需要提供对老师或学生服务时，经过互联网提议连接请求，由防火墙上网关接收这个连接，然后将连接转换到内部，此过程是由带有公网IP网关替换内部服务来接收外部连接，然后在内部做地址转换，此转换称为DNAT，关键用于内部服务对外公布，以下图所表示： 2. SNAT服务 内部地址单向提议请求访问公网上服务时（如web访问），内部地址会主动提议连接，由防火墙上网关对内部地址做地址转换，将内部IP地址转换为公网IP地址。这个由网关完成地址转换称为SNAT，关键用于内部共享IP访问外部，以下图所表示。 3. VPN服务 实现将VPN映射到公共平台中为各部门分配业务资源中。对于公共业务，划分独立公共业务资源区，并将公共VPN进行映射。 VPN业务用于在公网和 学校校园云平台内部网络之上建立一条安全、稳定通信隧道，各部门私有业务隔离开来，确保各业务部门私有业务之间相互隔离，并确保通信隧道内发送和接收数据安全性。对于公共业务亦实现和部门私有业务之间隔离。 4. 安全组服务 安全组用来实现安全组内和组间虚拟机访问控制，加强虚拟机安全保护。安全组创建后，管理员能够在安全组中定义多种访问规则，当虚拟机加入该安全组后，即受到这些访问规则保护。 经典场景举例：虚拟机隔离。比如，在同一VLAN下两个部门之间相互隔离，同一部门之间虚拟机能够相互访问，不过全部虚拟机全部能够和服务器通信。处理方法以下图所表示，分别为部门1、部门2创建安全组1、安全组2，且安全组为组内互通；为安全组1和安全组2添加安全组规则，许可服务器IP地址段访问安全组。 虚拟机隔离以下图： 5. 弹性IP服务 对于学校需要对互联网用户提供服务业务， 学校云校园云平台公共服务平台为 应用提供弹性IP服务。 弹性IP地址是一个公网IP地址，该IP地址能够和各部门VPC内布署 应用虚拟机或负载均衡内部地址进行绑定，从而实现互联网用户访问。这个内部地址能够是虚拟机IP地址，弹性负载均衡（VLB）虚拟IP地址，或是浮动IP地址。比如，为VPC内Web服务器绑定弹性IP后，公网用户经过访问弹性IP地址使用Web服务，以下图所表示： 各部门可依据需要调整自己弹性IP对应虚拟机或负载均衡地址。 6. 弹性负载均衡服务 学校云校园云平台公共服务平台为各部门应用虚拟机提供负载均衡服务，各部门能够申请负载均衡器，将业务主机关联到负载均衡器中。负载均衡器能够依据用户设定负载均衡策略，将业务请求均匀分发到相互关联主机上，使得每个业务主机负载保持均衡，确保业务运行稳定性和可靠性。 负载均衡器能够检验服务池中云服务器健康状态，自动隔离异常状态云服务器，从而处理单台服务器在处理性能、扩展性、稳定性方面问题，同时负载均衡器还能起到增强服务器池抗攻击能力。 弹性负载均衡能够由负载均衡硬件或负载均衡软件提供。其中，硬件负载均衡器含有高性能、高稳定性、高可靠性、高成本、支持协议多特点。负载均衡软件属于经济型负载均衡器，含有稳定性差、可靠性低、成本低、支持协议少特点。 2.2.4 云平台服务管理 2.2.4.1 服务定义 服务中心预置了开箱即用服务，包含VDC、云主机、云磁盘、物理机等服务，这些预置服务向用户开放全部服务参数，用户在申请服务时能够选择或输入服务参数，完全由用户自定义所要服务。比如经过预置服务申请云主机时，用户选择云主机硬件规格、操作系统版本，配置云主机网络。 除了预置服务，全局业务管理员或VDC业务管理员能够依据企业、部门情况，自定义服务目录。比如，全局业务管理员能够定义“标准测试Linux主机”服务，此服务已经固定使用了哪种操作系统类型、硬件规格，甚至云主机所使用网络、IP地址也是由管理员决定，用户申请“标准测试Linux主机”时只能输入数量、申请时长，不能由用户决定安装哪种操作系统类型，选择哪种硬件规格。 全局业务管理员或VDC业务管理员在服务定义时，可定义项目包含： 1. 服务名称、描述、图标。 2. 用户申请服务时可输入哪些服务参数。（比如能够在定义服务时开放云主机规格由用户申请云主机服务时用户自己输入）。 3. 管理员审批时能够配置哪些服务参数。（比如管理员收到云主机申请后，能够给云主机配置一个静态IP） 4. 锁定一些服务参数，锁定服务参数在用户申请服务时没有权限配置。（比如定义云主机服务指定操作系统类型为Win7）。 5. 配置服务审批策略：需要审批、不需要审批。 2.2.4.2 服务申请 用户可在自助务门户服务目录中查看到管理员预定义各类服务，并依据自己业务需要选择对应服务提交申请。申请时能够指定服务规格参数和使用期限； 各预置服务申请功效列表： 预置服务功效列表： 服务 申请功效 云主机 用户能够指定地域、可用分区、操作系统类型、硬件规格、云主机所在网络，云主机个数。 云磁盘 用户能够指定地域、可用分区、硬件规格、存放类型、云磁盘个数。 VDC 用户可指定配额（CPU核数、内存、存放、弹性IP个数、VPC个数、安全组个数、虚拟机个数）、VDC可使用哪些资源池。 弹性IP 用户能够指定地域、VPC、弹性IP个数，目前采取硬件路由器时，能够指定规格、公网IP池。 2.2.4.3 服务审批 VDC 业务管理员能够审批来自VDC内用户提交服务申请，全局业务管理员能够审批来自VDC 业务管理员提交VDC服务申请。审批时，审批者能够选择“同意”或拒绝外，还能够配置部分服务参数，比如虚拟机所使用网络（审批者能够配置哪些服务参数能够在定义服务阶段配置）。 2.2.4.4 服务维护 业务用户能够对已申请服务进行维护操作，比如VNC登录虚拟机、虚拟机上/下电，虚拟机绑定弹性IP，磁盘绑定虚拟机。 各服务维护功效列表： 服务维护功效列表： 服务 维护功效 云主机 云主机上/下电、重启、休眠、云主机转虚拟机模板、VNC登录、查看监控信息、创建云主机快照。 云磁盘 云磁盘挂载到云主机，或从云主机上卸载。 弹性IP 弹性IP绑定到云主机或负载均衡器，或从云主机、负载均衡器解绑定。 VDC 查看VDC配额使用情况，VDC下已申请资源列表，资源数量统计。 VPC 查看VPC网络拓扑，在VPC下管理网络、路由器、防火墙、安全组、弹性IP、负载均衡器、VPN、DNAT。 2.2.4.5 服务变更 对于已发放资源，用户能够提出变更申请对服务参数进行变更。如，用户能够申请将一台已发放4G内存虚拟机变更为8G内存。 服务变更功效列表： 服务 变更功效 云主机 变更云主机硬件规格、服务到期时间。 云磁盘 变更块云磁盘规格、服务到期时间。 VDC 变更VDC配额、服务到期时间。 弹性IP 服务到期时间。 2.2.4.6 服务释放 对于不再使用资源，用户能够提出释放申请，系统会自动释放用户资源。也支持服务到期后，由管理员释放资源。对于到期服务，业务用户和VDC业务管理员登录到租户Portal后，会收到到期提醒。对于已经到期VDC，用户无法从VDC服务目录下继续申请服务。 2.2.5 虚拟化安全隔离 2.2.5.1 虚拟机VLAN隔离 虚拟机之间能够采取VLAN隔离方法，保障各虚拟机之间网络交互安全性和可控制性。 具体隔离策略可参考以下规则： a)同一虚拟交换机内同一VLAN通信：不出虚拟交换机，直接在虚拟交换内部完成交换； b)同一虚拟交换机内不一样VLAN通信：经过外部三层互通网关完成VLAN间互通； c)不一样虚拟交换机间同一VLAN通信（同一物理接入交换机内）：经过物理接入交换机二层互通； d)不一样虚拟交换机间同一VLAN通信（跨物理接入交换机）：同2，经过外部三层互通网关完成VLAN互通。 2.2.5.2 虚拟机安全组隔离 VPC安全组，可对虚拟机设置灵活访问权限控制。 安全组：含有相同安全策略一组VM集合,支持安全组间访问控制策略和安全组内组员间互访策略。 每个VM一组ACL，互不影响，VM迁移时安全策略自动刷新。 提供VM粒度隔离机制，处理VLAN资源不足、配置工作量大问题。 分布式策略控制，报文无需迂回到集中策略控制点，避免形成性能瓶颈。 能够和边界防火墙共同布署，构筑立体安全防护能力（南北向流量控制+东西向流量控制）。 2.2.6 存放资源池设计 2.2.6.1 存放资源池设计 存放系统应采取优异、成熟技术和优良系统设计，使系统在整体上含有很快响应速度和更高数据带宽，可长时间承受大量用户极高访问频率和访问速度。在系统设计中，应切合云主机应用，将不一样特点数据均存放在大型集中存放设备中，使整个存放系统含有高可靠性、异构平台共享、高性价比、可扩展、易管理、易使用、性能优良等一系列优势，并能平滑地升级扩展，很好地适应数据存放技术发展，满足学校中长久发展数据存放需求。 目前虚拟主机数量及类型多，要求存放系统能够提供很好兼容性将主机各应用系统接入；应用系统和操作系统差异很大，要求存放系统必需提供统一数据保护方案，简化方案布署和维护；存放设备比较多，要求建设方案能够将现有和新增存放设备进行统一管理、配置、数据保护和存放应用。业务扩展需求，要求系统必需是一个开放平台，能够在线扩展存放容量和应用，能够平滑升级存放数据保护层次。 鉴于本项目复杂现网情况和丰富业务需求，存放和计算分离，虚拟化平台业务存放采取FC SAN连接主存放阵列。经过虚拟化集中布署，动态分配和调用资源，实现计算和存放资源高效管理。同时对于关键业务数据经过镜像卷技术实现当地存放高可用，和后续双数据中心容灾平滑演进。对于非结构化数据多媒体应用业务，存放采取NAS存放提供高带宽、高并发文件共享服务。 2.2.6.2 异构存放整合 基于VIS6600T虚拟化方案拓扑 在生产中心SAN架构网络层需要加入VIS6600T虚拟化智能设备一台，实现对异构存放系统整合和统一管理。 VIS6600T存放虚拟化是基于存放网络虚拟化，经过为数据管理系统提供了一层虚拟“卷”逻辑设备，来屏蔽异构存放设备差异，并经过对逻辑卷管理，克服硬件设备物理不足和差异性，使逻辑卷能够跨越多个物理磁盘。另外，VIS6600T能在系统处于活动状态时动态配置磁盘存放区。 用户处主机数量多、类型丰富，操作系统和应用也各不相同。VIS6600T含有很好兼容性，不仅能够支持UNIX、Windows、Linux等主流操作系统，而且能够兼容VMware、Hyper-V、Citrix XenServer等主流虚拟机软件。 VIS6600T能够完成对于用户处全部阵列统一管理和统一数据保护，大大简化了网络架构、提升了工作效率。用户处原有阵列常常需要分散管理，花费较多人力和精力。布署完VIS6600T以后，能够实现多台阵列统一管理，节省了管理成本，简化了管理难度。 为确保虚拟化前后数据状态一致性，VIS6600T经过一系列保障技术，能够使得虚拟化后数据和虚拟化之前数据状态保持一致，这就避免了虚拟化过程中复杂数据迁移和恢复过程，不仅大大简化了虚拟化实施，而且降低了系统停机时间，提升了业务连