广东石油基础架构云方案建议书.doc

广东石油基础架构云方案方案建议书 微软（中国）有限公司目 录第一章 云计算技术综述81.1云计算简介81.2为什么需要云计算91.3云计算IaaS市场分析9第二章 项目背景分析112.1云计算项目背景112.2方案概述11第三章 项目需求分析123.1现状123.2基础设施云的意义123.3需求分析153.3.1本方案主要满足以下需求163.3.2云计算模式的管理163.3.3 云平台的安全保障17第四章 整体方案及架构184.1平台总体逻辑架构184.2云计算平台资源池构建194.3云计算平台核心管理模块软件架构234.4云计算平台服务器共享资源池的网络管理264.5云计算平台存储管理逻辑架构274.6云计算平台安全架构284.7云计算平台物理架构30第五章 部署实施325.1 功能架构图325.2 资源池335.3软硬件配置计算规则345.3.1 宿主机配置计算规则345.3.2 数据备份服务器配置计算规则365.4 核心管理模块365.5 物理架构39第六章 平台功能436.1自服务功能436.2服务的选择446.2.1账户信息管理456.2.2自服务操作466.2.3自服务监控496.3资源管理536.3.1帐号及权限管理536.3.2软硬件资产变更管理566.3.3虚拟机管理576.3.4镜像管理606.3.5网络管理616.3.6存储管理626.3.7软件管理646.3.8 License管理676.4资源服务676.4.1数据采集及监控676.4.2事件及警告管理786.4.3软件部署及终端资产管理806.4.4应用迁移846.4.5计算资源配置846.4.6备份与恢复866.5系统管理876.5.1服务器变更和配置管理886.5.2服务器运维监控管理906.5.3服务器备份/恢复管理976.6安全管理996.6.1 用户管理996.6.2访问认证101第七章 平台扩展功能1057.1架构的可扩展性1057.2应用、服务的可扩展性1067.3管理、监控的可扩展性1067.4规模部署的动态可扩展性1067.5存储能力的可扩展性107第八章 平台生命周期管理流程1098.1服务生命周期管理1098.1.1服务目录管理1098.1.2服务请求管理1098.1.3服务状态管理1108.1.4查询检索1118.1.5审批1118.2自动化流程1118.2.1虚拟机提供1138.2.2虚拟机删除1148.2.3登记租户1158.2.4创建服务1168.2.5删除服务1178.2.6租户配额计费管理1188.2.7租户管理员管理1198.2.8服务管理员管理1208.2.9虚拟机管理1218.2.10虚拟机性能监控1228.2.11虚拟机告警管理1238.2.12虚拟机备份计划1248.2.13虚拟机数据还原1258.2.14扩展单元准备126附录成功案例127云计算成功案例127其它客户列表128第一章 云计算技术综述目前，IT技术发展的趋势和热点话题是云计算；云计算的相关技术也是解决IT基础设施相关问题的有效手段，而企业也迫切需要通过实施虚拟化和云计算来提高增值业务扩展的敏捷性，降低业务快速扩展时产生的风险和重复投资，同时降低运营成本。可以说，云计算平台的实施对于企业的影响重要而深远。企业通过基础架构云计算平台项目，将包括服务器、存储、网络等基础设施资源集中起来，在云计算平台上实现自动管理，为内部或者外部客户提供基础设施服务。暨实现IaaS基础架构即服务。1.1云计算简介云计算虽然变得越来越热，但是很难对云计算下一个精确地定义，每个企业和个人都有不同角度的理解，维基百科对云计算的定义的第一句话“云计算就是基于互联网的计算。共享的资源，软件和信息，以按需的方式提供服务，就像水，电等公共设施一样”。云计算代表的是一个概念，一种新的业务模式，通常建立在虚拟化技术的基础上，但不仅仅是虚拟化，还包括几个特点：以服务方式提供、按需使用和计费、动态扩展、多用户租用、用户自服务管理等。根据服务对象和搭建云的目的的不同，云计算也可以分为公有云和私有云。而按照服务的内容，云计算通常划分为三个层次IaaS（基础架构即服务），PaaS（平台即服务）和SaaS（软件即服务）。在这三个层次中，IaaS属于最下层，无论是最终用户、SaaS提供商还是PaaS提供商都可以从基础架构服务中获得应用所需的计算能力，但却无需对支持这一计算能力的基础IT软硬件付出相应的原始投资成本。所以，对于云计算服务市场的投入，最适合从IaaS层面开始，逐渐过渡和发展到PaaS以及SaaS层面。本方案就属於公有云IaaS层面的服务，为以后全方位的云计算运营打好基础。1.2为什么需要云计算一种新的技术或者概念的兴起，往往都是利益的驱动。云计算为传统的IDC和软件服务行业带来了新的运营模式和商业模式。通过极大的提高服务器的使用率，在规模化的基础上产生的更好的成本效应。对于现代企业来说，云计算有如下意义： 降低成本，客户可以统一规划硬件资源，IT基础环境由企业专业维护，进一步降低企业IT人员的管理成本 灵活性大大提高，基础设施资源的部署时间从几天到几个星期缩短至分钟量级，客户从而可以专心于他们自己的业务系统 降低风险，虚机运行在企业集中管理的，标准化的IT基础设施上，减少意外停机，增强最终用户数据的可用性1.3云计算IaaS市场分析世界上第一个IaaS层面，虚机出租的云计算服务是由亚马逊(Amazon.com)在2006年推出的EC2(Elastic Compute Cloud)。推出服务的初衷只是利用公司在非峰值访问期间剩余的计算资源，包装成虚机租给使用者，这个不属于公司主营业务的尝试，却取得了成功，2009年仅EC2的营收已经超过了2亿美元。看到这一市场的成功，从2008年起，全球也有很多中小的托管商进入到这个领域，在过去一年里，业务也都有了快速的发展。根据Gartner在2009年的一项调查预测，2009年全球云计算市场规模为460亿美元，到2013年将成长到1500亿美元的规模，其中IaaS市场2009年为15.6亿美元，到2013年将达到83.7亿美元，占整体云计算市场超过5%，年综合增长率为53.8%，也大大超过整体云计算26.5%的增长率。全球部分运营商也已经积极进入到IaaS云计算这个市场，Verizon已经推出了计算即服务(Computing as a Service), 英国电信也已经推出了虚拟数据中心(Virtual Data Centre)。在中国，云计算市场刚刚起步。进入2010年，云计算的脚步也越来越快，互联网巨头如百度，腾讯，阿里巴巴也正在加快自身数据第二章 项目背景分析2.1云计算项目背景 “云计算”是信息产业发展新一轮的引擎，也是国家七大战略性新兴产业之一，广东石油在IT发展的过程中已经充分认识到了云计算的重要意义，希望能够在发展过程中引入云计算技术，通过云战略协助企业实现未来的发展目标。2.2方案概述本方案主要完成以下建设内容： 进行基础设施云平台的管理平台建设，使其具备对现有的虚拟机资源池及后续不断扩容的资源池进行统一的基础资源的管理能力；完成基础设施云平台的体系架构部分安全管理要求的建设； 完成资源池与管理控制中心的网络环境搭建，以及与相关接口的沟通，构建较为完整的基础设施云平台； 本方案实施完成后，广东石油将具备提供有弹性的、能快速部署的、高可用性的IDC服务能力。第三章 项目需求分析3.1现状广东石油在企业内部使用的服务器资源已经实现虚拟化，部分网络和存储资源已经实现共享，也已经初步建立基础架构统一共享的管理机制，但是目前还没有建立统一的基础架构管理平台，缺乏基于自动化 自服务以及标准化的集中管理。对资源的使用和管理缺乏完善的流程定义，当前现状多采用人工方式，通过简单的工作表进行统计和分配而没有相应的平台支持。使大量人力资源耗费在繁重的重复性工作上，没有自服务和自动部署的能力。对业务部门的需求往往无法做到及时响应和准确有效。同时由于资源池没有集中调度管理机制，缺乏面向新业务的有效整合；基础资源的平均利用率低，建设成本和运营成本较高。 3.2基础设施云的意义顾名思义，基础设施云是架构在之上的“云”服务的基础，它实现对云计算中心中所有资源（包括服务器、系统、网络、业务应用、数据、用户权限等均认为是平台应被管理的资源）的统一管理和调配，为云平台提供一个统一、完整的管理界面，所有的资源监控、管理、调配、跟踪等工作均在统一的管理界面中实现。同时，平台对资源进行优化，实现各种资源按需分配，例如当某服务器自身的硬件资源配置无法满足其上的业务应用需求的时候，平台可以自动的将该应用平滑迁移到配置更高的服务器上去。系统资源的集中通过虚拟化技术实现。微软建议的基础架构云平台将重点关注以下方面的要点：l 虚拟化虚拟化是当今数据中心建设过程中非常强调的基础，即将采用相关的虚拟化技术将物理设备与计算资源进行有效分离，最大化利用基础架构资源并提高业务应用的高可用性，应用将采取集中部署的方式建设，物理服务器集中存储，需要利用虚拟化技术提高服务器的利用效率。为提升管理效率，必须有一套能管理各个厂商虚拟化产品的体制，微软能够管理诸如VMWare Citrix以及Hyper-V等主流厂商的虚拟化产品。l 自动化微软在基础架构云平台中非常强调云平台的自动化能力，因为云平台的应用需要根据客户的应用需求，灵活高效的部署基础资源，并提供必要的日常监控，这一切均需要云平台具有高度的自动化能力。云平台中的管理与运营将会有很多流程需要利用自动化工具来提高运营工作的效率。l 自服务通常情况下，云平台搭建完成后，相比以往传统的服务模式，需要云平台的服务部门与用户有多次的沟通交流，同时需要利用自服务的门户来提高服务效率，因此迫切需要在设计之初就充分考虑自服务的需求。l 标准化由于云平台的建设将服务于众多用户，需要进行标准化的云服务包装，同时制定相应的服务流程与服务标准，提高云服务的质量。基础架构云架构设计微软基础架构云解决方案的核心是动态云基础架构。动态云基础架构是微软提供的基于动态数据中心技术的云计算优化和管理方案。企业或机构可以基于该方案快速构建面向内部使用的客户云平台，服务提供商也可以基于该方案在短时间内搭建云计算服务平台对外提供服务。微软动态云能够让用户自己动态管理数据中心的基础设施（包括服务器、网络和存储等）以云服务的方式开发出来，完成包括开通、配置和安装等数据中心管理工作。其核心价值在于，它可以帮助用户提高IT基础设施资源的整体利用效率，提升基础设施的应用和管理水平，实现计算资源的动态优化。微软动态云基础架构能够帮助企业创建虚拟环境来运行应用，用户可以按照需要弹性分配适当的应用配置，并进行动态扩展。包含了配置、数据保护、部署、监控等四大基础设施功能模块，用户应用时可从自助服务Web门户或管理Web门户接入。针对项目，微软建议基础架构云平台主要分为基础资源池、资源管控平台、服务管控平台以及服务门户。其中：l 基础资源池 ：主要有基础计算，存储与网络设备构成，并且通过管理来自于不同厂商的虚拟化技术实现运算资源的池化，构成共享的基础架构资源平台。l 资源管控平台：资源管理层主要针对基础资源池提供必要的资源管理，主要包括虚拟化资源池的管理，端到端的监控管理，数据存储备份管理，配置管理以及运营操作自动化管理功能。l 服务管控平台：主要固化面向IT用户的服务管理流程，包括服务目录管理，服务请求管理，事件管理，问题管理，变更管理等常用的ITIL流程。 l 服务门户：面向IT用户，云平台的管理员提供相应的管理门户，并提供共用的知识管理，同时面向领导提供必要的报表支持。微软动态云基础架构本身就是一个可以独立运行的IaaS解决方案，是企业用户与云服务运营商的一个理想的用于构建数据中心的平台。除此以外，微软动态云基础架构还可以与微软或第三方的云应用结合，构建服务于用户的PaaS或SaaS垂直云，如：开发测试云、办公协同云、营销服务云等。基础设施云搭建后，即实现了IaaS（设施即服务），可以为不同业务部门提供虚拟计算资源，存储空间，应用托管等基础架构云服务，并向SaaS（软件即服务）和PaaS（平台及服务）层面的服务提供虚机管理、数据保护、软件升级及平台监控报警等基础服务。3.3需求分析基础设施即服务是指企业或个人可以使用云计算技术来远程访问计算资源，这包括计算、存储以及应用虚拟化技术所提供的相关功能。无论是内部用户、还是外部用都可以从基础设施服务中获得应用所需的计算能力，但却无需对支持这一计算能力的基础IT软硬件付出相应的原始投资成本。根据广东石油云计算战略要求，基础设施云的建设将从动态云计算平台切入，利用现有主机，通过云计算方式充分利用主机计算能力、存储空间，在第一阶段提供以基础设施服务(IaaS)层次上的云计算服务，然后逐步扩展到平台即服务和软件即服务的类型。3.3.1本方案主要满足以下需求现对计算中心中所有资源（包括服务器、系统、网络、业务应用、数据、用户权限等均认为是平台应被管理的资源）的统一管理和调配，平台应提供一个统一、完整的管理界面，所有的资源监控、管理、调配、跟踪等工作均在统一的管理界面中实现。此外，平台应能够完成资源的优化，实现各种资源按需分配。基础设施云计算平台为用户不仅提供基础的计算能力与储存能力服务，还可以包括平台服务，应用服务等多种虚拟化服务，并可以降低用户设备投资费用和维护成本、减少管理复杂度、提高可用性将达到99.9%以上的可用性。在满足传统的用户对计算能力、存储资源的需求的基础上，提供基于云端的开发平台。融合主流的开发平台以及对不同终端（包括移动终端）的开发环境，建设一个面向云的、基于租用方式的动态的集开发、设计、大规模并行运算、并行测试的环境，吸引并扶持外部客户中的互联网应用开发者，以建设一个旨在丰富云端应用的生态系统。实现节能减排效果，基于统一且优化的IT基础设施，可以提高能源效率，以降低成本，消除空间、电能和冷却资源的限制，实现绿色增长的战略目标。3.3.2云计算模式的管理平台管理人员将通过统一的系统管理软件包实现物理机、虚拟机群和应用的监控。由统一界面显示各项参数，可提供预警编程接口。当客户需求发生变化时，平台管理人员通过系统管理软件包，只需要进行一些软件界面上的选择，即可实现对新服务器需求的改变，如对CPU个数的改变和硬盘空间的增加，而控制管理软件包将实时进行基础架构云资源的调度来满足用户需求，无需重新购置机器，无需人工重启机器。甚至可以实现用户的完全自助服务。当服务器发生问题时，通过系统管理软件包自动部署新虚拟机群资源，由平台进行资源调度，实时提供新的虚拟服务器并将数据转移备份。这一设计将带来全新的灾备建设方案，从问题中恢复的速度快，操作简单，无需人工干预，降低风险。3.3.3 云平台的安全保障在云计算环境下，多租户、资源共享、数据存储非本地化、承载业务类型的多元化以及用户规模的指数增长将导致安全问题越来越突出，云计算安全变得非常重要。 通用安全需求：租户的接入控制、认证、鉴权等 随着虚拟机、分布式业务数据存取及其多租户业务等引入而产生了一些特殊需求：数据隔离、业务级隔离、隐私策略、及按需分配的业务安全策略。第四章 整体方案及架构4.1 平台总体逻辑架构动态云计算平台提供全面的针对云计算解决方案。其中动态云计算平台包括自服务功能，服务生命周期管理，资源管理，资源服务，安全管理以及对外接口等功能。l 自服务功能是指提供服务的自由选择，用户可以根据实际业务的需求选择不同的服务套餐，比如计算资源可以根据操作系统、处理器能力和内存大小等来选择。l 服务生命周期管理是指对当前基础架构云所支持申请IDC资源组合（套餐）目录列表。服务目录管理提供管理员维护服务目录的操作。l 资源管理是指对基础架构云的资源管理，主要管理着平台的核心资源，包括帐号、权限、镜像文件、虚拟机、网络配置、存储配置、软硬件以及license等。l 资源服务是指对资源池资源的操作封装，将底层资源包装成服务，其中包括数据采集、监控告警、软件部署、应用迁移、备份与恢复等子模块。l 安全管理是指对相关安全进行统一管理，其中包括：用户管理，访问认证，安全审计，漏洞管理，补丁管理，安全配置管理，安全事件管理，资源池安全控制等。动态云计算平台的设计追求标准化、开放性、完备性、健壮性、灵活性、可监控/可跟踪性、安全性、运营性和可维护性等要求，同时遵循松耦合、模块化、可重用、可配置的原则，以B/S架构设计并保持可扩展性，为客户提供可度量的标准服务。并将采用Java、.NET等开发平台进行开发，基于以上要求，提供以下动态云计算平台的架构设计。4.2 云计算平台资源池构建计算资源池计算资源负责提供多并发、稳定可靠的高性能计算能力，在云计算平台租赁服务中被具体定义为CPU和内存资源，从业务角度考虑，云计算平台旨在提供众多普通应用的通用型计算，要求提供经济，合理计算解决方案，以有效降低云计算平台的运营成本和终端用户的使用成本。根据计算资源池面向的用户，可以规划为低密度计算资源池以及高密度资源池，从底层的机架式服务器或是刀片服务器选型，到云计算平台HyperVisor的不同密度，定制不同的资源池，以满足相应业务应用的计算能力要求。下表显示了通常情况下的一些典型应用的配置规格。典型应用虚拟机配置规格示例系统类型型号CPU 内存 系统盘网卡标准系列 （通用管理、企业建站、搜索平台、游戏、小型数据库）微型12G30GB18小型14G 30GB18中型28G40GB18大型412G50GB18大数据量访问系列 （视频、3D游戏平台）中型212G40GB18大型424G50GB18大访问量系列 （综合网站、电子商务）中型88G40GB18大型1212G50GB18存储资源池存储系统对保证数据访问至关重要，存储系统的性能和可靠性是云计算平台健壮性的基础。在云计算平台中，存储子系统需要具有高度的虚拟化、自动化和自我修复的能力。通过光纤磁盘阵列、虚拟存储网关、NAS存储设备及虚拟带库，组成云计算平台统一管理的集中存储子系统，并实现存储云的虚拟化，存储云可以灵活地划分成多个子存储云，分别分配给不同的云计算资源池。保证不同的数据的安全性与隔离性。网络资源池 为满足不同云计算检测检验平台数据中心的网络分区的安全隔离要求，云计算平台的网络服务区将集中部署防火墙、IPS、负载均衡器等设备，这些设备都旁挂于核心交换机。在云计算平台的虚拟网络中，计算资源在跨多个主机移动时，始终处于同一个独立的虚拟网络中，为多租户场景下租户虚拟机移动时监视和保持其安全性提供了一个框架，通过网络服务虚拟化，能够集中管理VLAN、子网、IP地址以及负载均衡设备等资源，统一建设一套性能强大、可扩展性良好的网络服务设施，为不同计算资源池提供安全、应用加速等服务。私有及公有资源池分离 云计算平台涉及到多租户、资源共享、数据存储非本地化、承载业务类型的多元化以及用户规模的指数增长所带来的安全问题，扮演IDC角色的云计算平台可能同时承载公有云应用及私有云的应用，对数据隔离、业务隔离和隐私策略都将有着特殊的需求。 通过对云计算平台中相应资源的池化，整个云计算平台的资源首先将划分为内部资源池以及公共资源池，公有云服务和私有云服务将分别使用不同网络池和存储池，以实现严格的数据和业务隔离，公有云服务和私有云服务同时构建在同一套统一的管理平台上，未来随着业务需求和业务模式的变更，通过统一的管理平台，进行存储迁移和网络迁移，内部应用也可以平滑的过渡到公有云上。在公有云的多租户之间，云计算通过多租户安全隔离(Multitenant security and isolation)，QOS，除能够帮助实现数据和业务隔离之外，还能够保护租户可用的云平台资源，保障租户的网络和存储I/O，以及基于云平台的整体应用的SLA。4.3 云计算平台核心管理模块软件架构动态数据中心核心管理用户自服务模块与平台管理模块，是将数据中心管理的主要功能： 系统监控 虚拟化管理 数据备份 配置管理 身份管理以Web Service方式包装成模块，调用成熟的产品组件System Center与FIM的主要功能，实现高度可扩展的系统管理。n 系统监控模块单个（或集群的）服务器的主要服务跟踪事件和日志服务器上生成的状态监测跟踪性能计数器以测量和优化系统的使用生成基于预定义的规则的事件或计数器的通知服务器部署和配置模块自动设置服务器 （虚拟和物理)，管理虚拟服务器的配置设置配置的网络交换机和创建的虚拟服务器的负载平衡虚拟服务器和在最可用的物理服务器环境中的自动分配创建和管理所创建的虚拟服务器实例使用的模板创建和管理系统镜像，管理物理服务器实例n 数据保护模块o 备份和还原的整个服务器o 备份和还原的计算机正在运行 的数据库o 能够回滚在服务器中所做的更改o 备份和还原所有服务器的单个文件和文件夹n 服务配置管理模块跟踪资产硬件和软件许可证 以及在环境中的配置 管理的软件更新 （通过自定义的更新计划) 定义和使用所需的服务器等计算资源的配置 生成报告已安装的软件，更新挂起的操作，等等 安装并维护应用程序等另外，通过System Center Opalis与HP Open View, IBM Tivoli, BMC Patrol, NetIQ等多厂家系统管理软件在IT管理流程层面进行整合，形成统一的运营监控体系。充分发挥原有运营监控软件功能充分发挥原有投资。4.4 云计算平台服务器共享资源池的网络管理服务器共享资源池的网络管理，分两个部分：管理虚拟机虚拟交换机的控制单元虚拟机网络管理通过虚拟化平台实现。将物理服务器上的一个网络端口连接管理网络（或管理VLAN）；另一个端口配置成Truck模式，直接连接生产网络接口，使其支持所有VLAN Tag数据包流入。由虚拟化平台为每台虚拟机的网卡标示生产网络VLAN。管理物理交换机的控制单元管理物理交换机可以通过预定义的交换机配置脚本，调用交换机管理接口实现物理交换机进行配置，以及VLAN调整。动态云平台的网络管理功能，经过Web Service包装过的网络管理接口，调用两套管理控制单元，在物理交换机与虚拟交换机共同调整VLAN Tag。实现系统的网络集中管控。4.5 云计算平台存储管理逻辑架构为了保证动态云计算平台，能够提供通用的存储管理接口。屏蔽各个厂商的不同存储管理工具，为动态云平台用户提供统一的存储沟通渠道。动态云平台通过类接口与存储设备控制器通信：脚本接口，可以同过任何预编写得脚本文件，CLI命令调用各厂商存储平台。第三方存储管理接口，比如Citrix StorageLink, Brocade Storage Fabric等平台为动态数据中心未来的扩充做准备。4.6 云计算平台安全架构 云计算平台面向多租户，提供资源池共享及多元化的业务类型支撑，系统需要较高的安全性保障。在本项目中整体的安全性分为五个层次：网络层的安全性、系统层的安全性、用户层的安全性、应用层的安全性和数据层的安全性。各个不同的方面由不同的技术保障。网络层的安全性体现在网络通讯、防火墙、侦测非法侵入等方面；系统层的安全性体现在防病毒、风险控制、安全性审计等方面；用户层的安全性体现在用户和用户组的管理、单次登录、身份验证等方面；应用层的安全性体现在权限控制和授权等方面；数据层的安全性体现在加密技术上。云计算平台管理系统构建于Windows安全管理借助于Active Directory（活动目录）实现 平台之上，系统的。活动目录与支撑它的安全基础架构集成在一起，提供了用户、计算机和设备的安全管理集中点，这更简化了云计算平台的管理操作。【云平台安全体系】云计算节点安全 云计算节点是计算资源池的组成单元，通常是带有HyperVisor功能的完整分区或是独立分区，作为云计算节点，所开启的功能应该均是专注于云计算平台服务的，必须限制约束为不提供云计算范畴之外的任何功能，以屏蔽额外风险，针对于完整分区的HyperVisor，还需要建立完备的补丁更新、防病毒体系以及主机入侵防护。同时，云计算节点不应该直接用于云数据的存储。网络入侵防护 网络入侵防护，作为全面、主动、深度的入侵防御解决方案，在云计算平台中用于保护本地网络上的数据或者穿越网络的数据，网络入侵防护是云计算网络中防火墙、ACL策略的补充，在不影响网络性能的前提下，负责实时检测并消除来自正常网络途径、端口或是协议中基于内容的各种威胁。数据和访问隔离 云计算平台中，计算资源池、网络资源池及存储资源池均可以独立的封装供特定的租户或是应用使用，通过网络层、数据层的加密，数据仅在网络加密通道的两端，或者是特定系统、应用的内部是透明可见的。 云计算平台的租户，可以将应用借助云平台发布访问，而不会将数据暴露在外，不同租户之间的数据和网络都是完全隔离，互不干扰的。云计算管理平台针对数据也仅有资源池级别的管理，无法获取具体的真实数据内容。云平台身份体系 借助于Active Directory（活动目录）的安全管理体系，云计算平台定义三套独立的身份体系：云计算平台管理身份体系，内部租户身份体系，外部租户身份体系； 云计算平台管理身份：能够管理云计算平台的整体资源，进行平台的维护和资源定义，能够将云资源与租户进行关联。 内部租户身份：根据预定义的自助服务权限，内部租户能够根据相应的资源策略，快速自助交付所需要的基础架构或是应用； 外部租户身份：通过业务流程审核及签核之后，申请到外部租户身份之后，能够通过自助服务的方式，自行分配、利用租户所拥有的计算、网络、存储资源。审计云计算平台所有的事件都将记录归档，通过有效地分析来自云计算平台的事件数据，并通过归类、合并、关联、优化、直观呈现等方式，从而在确保云计算平台获得安全的基础上，能够使得云平台保持安全，并提供分析和审计的途径。4.7 云计算平台物理架构该方案基础设施云平台物理架构如图：按照要求动态云平台的建设，充分发挥系统管理架构资源共享要求。按照合规性要求提供变更管理的支持，提供虚拟化平台以整合共享服务器资源，提供数据中心业务连续性管理。以及服务健康和服务标准统计分析。让用户的物理机资源池与虚拟机资源池共享硬件平台。通过自动化管理脚本，让两类资源可快速互相转换。通过跨平台的网络控制中心实现，物理网络与虚拟网络的统一管理。通过跨平台的存储控制中心实现，多厂家存储统一管理。通过系统管理平台对多厂商运维管理平台、虚拟化平台进行统一管理通过调用第三方厂商的虚拟化平台实现对小型机虚拟化的管理支持直接提供接口管理并调用VMware虚拟化管理软件vCenter.通过目录服务与身份管理同步平台，实现对其他异构身份系统的权限管理和用户自服务门户站点。第五章 部署实施5.1 功能架构图此次基础架构云解决方案的核心是动态云基础架构。动态云基础架构是微软提供的基于动态数据中心技术的云计算优化和管理方案。企业或机构可以基于该方案快速构建面向内部使用的客户云平台，服务提供商也可以基于该方案在短时间内搭建云计算服务平台对外提供服务。微软动态云能够让用户自己动态管理数据中心的基础设施（包括服务器、网络和存储等）以云服务的方式开发出来，完成包括开通、配置和安装等数据中心管理工作。其核心价值在于，它可以帮助用户提高IT基础设施资源的整体利用效率，提升基础设施的应用和管理水平，实现计算资源的动态优化。微软动态云基础架构能够帮助企业创建虚拟环境来运行应用，用户可以按照需要弹性分配适当的应用配置，并进行动态扩展。包含了配置、数据保护、部署、监控等四大基础设施功能模块，用户应用时可从自助服务Web门户或管理Web门户接入。针对项目，微软建议基础架构云平台主要分为基础资源池、资源管理平台、服务管理平台以及服务门户，其中：l 基础资源池 ：主要有基础计算，存储与网络设备构成，并且通过Hyper-V等虚拟化技术实现运算资源的池化，构成共享的基础架构资源平台。l 资源管理平台：资源管理层主要针对基础资源池提供必要的资源管理，主要包括虚拟化资源池的管理，端到端的监控管理，数据存储备份管理，配置管理以及运营操作自动化管理功能。l 服务管理平台：主要固化面向IT用户的服务管理流程，包括服务请求管理，事件管理，问题管理，变更管理等常用的ITIL流程。 l 服务门户：面向IT用户，云平台的管理员提供相应的管理门户，并提供共用的知识管理，同时面向领导提供必要的报表支持。微软动态云基础架构本身就是一个可以独立运行的IaaS解决方案，是企业用户与云服务运营商的一个理想的用于构建数据中心的平台。除此以外，微软动态云基础架构还可以与微软或第三方的云应用结合，构建服务于行业的PaaS或SaaS垂直云，如：软件孵化云、办公协同云、医疗云等。5.2 资源池微软为企业提供的虚拟化解决方案的系统环境逻辑组成。下面分别对图中的不同模块功能进行描述：l 低性能需求虚机服务器群组在设计本模块时基于如下假设：企业中存在2种级别的应用系统环境。有些应用系统部署规模小，使用压力很低，允许短时间停止对外提供服务，进行离线维护处理。而另一些应用系统，组成系统的服务器环境较为复杂，平时使用压力较高，必须要确保全天侯的在线服务，无法忍受离线维护造成的应用服务的中断。依据上述假设，我们为企业设计了两种配置的服务器群组，用于适应上述的2种不同级别的应用系统环境。而本模块中提供的虚拟机服务器环境是用来满足那种规模小，压力很低的应用系统环境。例如：DNS, DHCP, Print服务器。本模块中的虚拟机宿主服务器上可以提供更多数量的虚拟机运行实例。换句话说，就是为更多的应用系统环境提供服务。由于每个虚拟机实例对宿主服务器造成的压力不大，因此虚拟机实例对应的虚拟机硬盘文件将会直接保存在服务器本地自带硬盘中，以节省硬件成本。从另一个角度上描述：本模块中的每个宿主服务器彼此独立，相互不存在依存关系。如果虚拟机出现宕机情况，允许维护人员进行手工恢复工作。l 高性能需求虚机服务器集群本模块同样是依据于对企业应用系统环境规模的划分假设。本模块中的宿主服务器将会构建出一个更加可靠的、高效的物理资源环境，用以承载对物理资源要求更多，更加重大的应用系统环境。本模块中的宿主服务器间将会构建成一个高可用群集环境，为部署在其上每个虚拟机实例提供良好的高可用基础环境。换句话说，即使因为某种原因宿主服务器出现宕机现象时，运行在其上的虚拟机实例也会自动、迅速的漂移到高可用群集的其它正常运行的宿主服务器上。为了给每个虚拟机运行实例提供更多的物理资源，本模块中的宿主服务器上运行的虚拟机实例数量相对较少。同时为了提供更高的存盘性能，所有的虚拟机硬盘文件将对统一保存在更加高效的SAN网络存储之上。5.3 软硬件配置计算规则5.3.1 宿主机配置计算规则l 物理服务器整合总资源需求使用如下计算公式汇总所有需要整合的服务器总资源量。l 宿主机服务器可提供资源每台宿主服务器能够提供给虚拟机使用的物理资源计算公式：l 宿主服务器能提供虚拟机数量宿主机可支撑的虚拟机数量 = 宿主机服务器可提供资源 / 虚拟机分配资源分别用CPU、内存、磁盘IO、网卡IO算得4个宿主机可支持的虚拟机数量数值，其中数值最小的就是宿主服务器最终能够支持的虚拟机数量。5.3.2 数据备份服务器配置计算规则整个方案中所需数据备份服务器总量是和整个方案的系统规模和需要达到的备份服务目标（如：多长时间备份一次，备份多少次为一个周期等）有着紧密的关系。换句话说，要支撑更大规模的虚拟机数量和多长时间必须完成备份任务等，就需要更多的备份服务器来并行处理，从而提高备份效率。5.4 核心管理模块动态数据中心平台的设计追求标准化、开放性、完备性、健壮性、灵活性、可监控性、可跟踪性、安全性、运营性和可维护性等要求，同时遵循松耦合、模块化、可重用、可配置的原则。以B/S架构设计并保持可扩展性，为客户提供可度量的标准服务，并采用Java、.NET等开发平台进行开发。动态数据中心核心管理以Web Service方式包装成模块，调用成熟的产品组件System Center的主要功能，实现高度可扩展的系统管理。l 系统监控模块 （SCOM） 单个（或集群的）服务器的主要服务 跟踪事件和日志服务器上生成的状态监测 跟踪性能计数器以测量和优化系统的使用 生成基于预定义的规则的事件或计数器的通知l 虚拟机管理模块 （SCVMM） 自动设置服务器 （虚拟和物理），管理虚拟服务器的配置设置 配置的网络交换机和创建的虚拟服务器的负载平衡 虚拟服务器和在最可用的物理服务器环境中的自动分配 创建和管理所创建的虚拟服务器实例使用的模板 创建和管理系统镜像，管理物理服务器实例l 数据保护模块 （SCDPM） 备份和还原的整个服务器 备份和还原的计算机正在运行的数据库 能够回滚在服务器中所做的更改 备份和还原所有服务器的单个文件和文件夹l 服务配置管理模块（SCCM） 跟踪资产硬件和软件许可证 以及在环境中的配置 管理的软件更新 （通过自定义的更新计划） 定义和使用所需的服务器等计算资源的配置 生成报告已安装的软件，更新挂起的操作，等等 安装并维护应用程序等l 自动化工作流扩展模块（Opalis） 整合多厂家系统管理模块，如HP Open View, IBM Tivoli, BMC Patrol, NetIQ 在IT管理流程层面，形成统一的运营监控体系 充分发挥原有运营监控软件功能充分发挥原有投资l 服务管理模块（SCSM） 改进使用者的产能及满意度，并同时通过自助门户与 System Center Configuration Manager 进行深入整合而降低支援成本 快速还原服务、减少停机时间，并同时改善数据中心IT服务的稳定性 优化组织资源，根据商务目标进行整合，应对变化万千的商务需求 协调系统间的工作，使进行的活动均能保持一致、有完善的记录且符合规范5.5 物理架构动态云平台的建设，充分考虑了用户的需求，按照系统管理自动化，计算资源动态共享的要求进行设计。在云平台设计中，主要考虑了如下要点：l 物理机资源池与虚拟机资源池共享硬件平台。通过自动化管理脚本，让两类资源可快速互相转换。l 通过跨平台的网络控制中心实现，物理网络与虚拟网络的统一管理。l 通过跨平台的存储控制中心实现，多厂家存储统一管理。l 通过系统管理平台对多厂商运维管理平台、虚拟化平台进行统一管理l 通过目录服务与身份管理同步平台，实现对其他异构身份系统的权限管理和用户自服务门户站点。基础设施云项目物理架构示意如图：云平台以共享基础框架的方法，提供“资源池”化的网络、计算机和存储功能。“资源池”包括管理服务器资源池，生产服务器资源池，存储资源池，管理网络，生产网络，和存储网络。云平台包括管理服务器，生产服务器，存储，管理网络，生产网络，和存储网络。 管理服务器：本方案建议使用9台服务器用作管理服务器。所有服务器均配备两块HBA卡，接入存储网络，并配备4块以太网卡，接入管理网络，其中SCDPM备份服务器还需接入生产网络以备份生产环境的虚机。u 其中四台服务器进行虚拟化，搭建资源池，承载以虚机运行的管理服务器。包括：l AD（或增加虚拟机构建集群）；l FIM服务器；l SCO服务器；l DDTK服务器（或增加虚拟机构建集群）；l SCCM服务器（或增加虚拟机构建集群）；l SCOM服务器（或增加虚拟机构建集群）；l SCVMM服务器（或增加虚拟机构建集群）；l Service Manager服务器。u 所有管理虚机均接入管理网络，DDTK集群还需接入生产网络，供用户访问使用。u 另外五台物理服务器，分别为一台预控，两台SCDPM备份服务器和两台SQL Server集群。 生产服务器：按照资源使用的安全需求和资源使用边界，划分多个宿主机群集，承载生产环境虚机；存储，存储网络，管理网络、生产网络均使用已有设备。在系统设计规划过程中，我们也充分考虑了未来扩容的需求。扩容的考虑主要取决于管理软件管理数量的限制和对机器负载的要求，下面列出相应产品的管理负载情况和数量限制： System Center VMM，单台实例（物理或者虚拟机）可以管理400台物理服务器和8000台虚机，系统负载较小 System Center Configuration Manager，主节点服务器可以管理上限为10万个客户端，最多可以有500个辅节点服务器，辅节点服务器管理客户端上限为2万5000个，系统负载小，如果需要支持客户端软件更新，需要分时段规划IO的负载。 System Center Operations Manager，每个管理服务器可以管理3000个代理节点（每个代理对应一个物理机或者虚机节点），根据系统监控数据的详细程度和频率，CPU和IO负载中到高。微软根据大量用户的统计经验，有如下建议数据：u 15-250台Windows /Linux/Unix，1台8GB内存服务器即可管理u 250-500台Windows /Linux/Unix，2台4GB内存服务器即可管理u 500-1000台Windows /Linux/Unix，4台4GB内存服务器即可管理u 1000-6000台Windows /Linux/Unix，5台4-16GB内存服务器即可管理 System Center Data Protection Manager，单台服务器可以管理300个保护组，每个保护组可以包括1台或者多台物理机/虚拟机。取决于备份的数据，该服务器的负载主要为IO。第六章 平台功能6.1自服务功能动态云计算平台是一个能综合现有的服务器资源、存储能力以及网络能力的，具有自主操作、自助服务、动态资源管理和分配、计算资源的优化以及保护和实时的监控等功能的动态数据中心。云计算平台的一个重要特征是为用户提供自服务的功能。基于微软动态云方案构建的云计算平台包含了完善的自服务系统，为平台的客户7*24小时提供全自动客户支持资源，并可在线提交服务请求，与客服直接沟通。通过这个自服务系统，用户可以通过自服务系统，远程管理和维护已购买的产品和服务。自服务平台还实现了统一的用户资源管理，用户的资源无论分布在哪个云计算节点上，均可在统一的WEB页面上进行管理与维护。微软动态云方案提供应用，虚拟资源和物理资源的统一管理，这样用户可以选择采用应用托管共享服务，虚拟资源服务和专用物理资源的服务，其服务示意界面如下图所示：动态云方案的自助服务是通过门户来展现的。由于方案采用了标准的Web Services接口，因此自服务门户可以采用不同的语言和技术平台来实现。在方案中缺省分别采用了ASP.NET和Silverlight两种实现方式，但是用户也可以根据实际情况选择其他技术比如PHP等来实现。所有这些技术一般都是跨浏览器的，可以在IE和Firefox等主流浏览器版本上运行。6.2服务的选择自服务云平台首先提供服务的自由选择，用户可以根据实际业务的需求选择不同的服务套餐，比如计算资源可以根据操作系统、处理器能力和内存大小等来选择。如果服务套餐中缺省没有包含用户需要的服务，用户也可以自己通过自服务门户来定制自己的计算资源，其界面示意图如下所示：用户可以根据实际需求，按照所需计算能力、存储空间大小和系统平台类型等灵活定制业务需求，提交符合该标准的订购订单。6.2.1账户信息管理用户登录自服务门户后可以看到自己已经申请成功的资源。用户的账户信息中包含： 账户描述，即用户自身的一些信息和账户创建的相关信息。 服务器资源信息，这里是用户所拥有的服务器信息一览，并可以直观的看到服务器所处的健康状况。 应用程序信息，这里是用户在自己服务器上安装的应用程序的信息，这里也可以直观的看到应用程序的健康状况。 资源统计信息，即用户拥有资源的一个综合汇总信息。 系统报警信息，这里是系统告警信息的一个汇总。 用户账户信息管理的界面示意图如下所示：6.2.2自服务操作自服务操作是用户使用云平台服务的核心内容。微软动态云平台的自服务操作主要是通过浏览器来操作的。在这里，用户可以非常方便的通过页面上的控制按钮来操作自己的计算资源，比如服务器的启动、停止、暂停、重置和快照等操作。另外，用户可以一目了然的看到所选资源的使用情况，比如CPU、内存和磁盘的使用情况，资源的租用时间情况。用户也可以点击“续订”操作来延长资源的租用时间，并启动订购流程等。自服务操作的界面示意图如下所示：除了可以通过页面上的按钮来操控计算资源外，用户还可以通过点击“连接到服务器”链接，启动远程连接到选定的服务器上来直接通过桌面和命令行控制台来使用对应服务器资源。远程连接的界面示意图如下所示：在动态云计算平台上，用户可以自主的安装操作系统与应用程序，并可根据个人习惯选择自服务平台以及各种远程管理工具对主机进行管理和控制。另外，用户还可以通过自服务平台来对计算平台进行统一的配置管理，比如像应用程序的分发，系统补丁的安装等服务。软件升级服务的界面示意图如下：可以根据需要配置自动升级和手动升级等不同方式。6.2.3自服务监控对于任何环境而言，监控资源和应用程序性能都是非常重要的环节。在云计算的环境中，监控任务更为困难，也更为关键。监控可以收集历史数据，以帮助规划未来数据中心的资源需求并优化虚拟化资源的部署。捕获实时数据，以便能快速应对意外的资源需求。衡量性能服务级别协议（SLA）的符合性。主动生成警告和详细数据，以便能快速检测和解决应用程序问题。报告应用程序的资源使用情况数据，这对于相应地分配成本非常必要。微软动态云方案中包含了完善的端到端的监控功能，用户可以通过自服务门户来监控自己所使用的各种资源。监视虚拟化环境的运行状态能够显示虚拟机的当前运行状态和相关基本信息：虚拟机当前缩略图、运行虚拟机的CPU当前负载和趋势。并能够以统计图表和数据的方式显示：宿主机的运行情况统计、虚拟机的运行情况统计、作业执行情况统计、库资源的使用情况统计等。服务器监控的示意图如下所示：虚拟化基础架构环境的整体监视能够统一对虚拟化基础架构环境中的物理机、虚拟机宿主、虚拟机、虚拟机中的应用以及其它的设备进行统一监视；能提供面向应用的监视，针对特定的应用和系统将相关的数据进行组织汇总；能利用底层健康数据的汇总和处理，反映应用系统或者组件的综合健康状态；能够通过运行状况资源管理器快速定位问题，实现快速的故障排除。定制监视视图能对已有监视视图的显示内容进行调整和变更以显示所需的信息。能根据需要创建和自定义以下的监视视图：警报视图、事件视图、状态视图、性能视图等多种监视视图。计算资源的监控和视图定制示意图如下图所示：定制分布式应用程序动态监视虚拟化环境能根据应用系统的逻辑关系将相应的组件添加到监视中。能够自动提供基于分布式应用的状态、警报和图示视图，直观的了解应用相关组件的运行状态。应用程序监控微软动态云方案的一个很大特点是提供端到端的监控。平台可以提供对部署在平台的应用程序进行监控，其示意图如下所示：系统运行维护报表能对整个被监控环境的各类当前和历史信息动态汇总为报表，进行呈现。这些报表多达数十种，并能支持多种输出格式。能对虚拟化环境中的宿主机利用率、宿主机利用增长率提供报表。能对虚拟机的运行情况和使用率进行统计性能报表，并按照成本中心进行分类汇总。能自动收集当前环境中物理服务器的性能数据，并通过报表列举出到这些可以进行虚拟化的候选服务器以及相关的性能状态统计。自动化账单催缴由后台系统定时发出用户账单到用户申请时预留邮箱。当账单过期未缴时，后台提供完整的欠费清单到前台进行催缴工作。6.3资源管理 基础架构云的资源管理主要管理着平台的核心资源，包括帐号、权限、镜像文件、虚拟机、网络配置、存储配置、软硬件以及license等。6.3.1帐号及权限管理 活动目录是 Windows Server网络体系结构中一个基础且不可分割的部分。它提供了一套为分布式网络环境设计的目录服务，使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。基于Windows Server 2008构建的活动目录融合了全新的技术特点，具有以下的功能： DNS 集成 活动目录使用域名系统（ Domain Name System ，简称 DNS ）。这使得运行在 TCP/IP 网络上的计算机可以识别和连接另一台计算机。 DNS 域和 Windows Server 2003 R2的域自然而有机的结合在一起，使得整个目录结构成树型分布，具有了 DNS 的层次感觉，也使得 Windows Serever 2003 R2 系统能够支撑庞大的目录结构，是的目录对象涵盖了整个网络元素：用户，计算机，打印机，共享文件夹，应用程序，管理策略等。 目录定位服务 通过 DNS 服务中的 Service Resource Record （ SRV RR ）记录公布提供目录服务的服务器地址， SRV RR 中的附加信息指出了服务器的优先权及重要度，使得客户可以选择他们所需要的最好的服务器。 DNS 记录也可以集成到目录中，随着目录复制而达到 DNS 复制的目的。 全局唯一的用户名在域内一个用户对象只能有一个用户主名，而这个用户名是可以用usernamedomainname 表示的，就好比一个用户的 ma