职业技术学院数据存储中心建设项目建设方案【45页】.docx
项目编号:某技术学院数据存储中心建设项目建设方案第1章项目概述41.1项目名称41.2 项目建设方案编制依据41.3 项目概况51.3.1 项目背景51.3.2 建设目标61.3.3 项目建设内容考核情况61.3.4项目建设的意义和必要性61.3.5部门业务需求说明71.3.6总体建设与本期建设任务7笫2章业务需求分析92.1 业务功能、业务流程和业务量分析92.2 系统功能和性能需求分析102.2.1 系统功能需求分析102.2.2 性能需求分析12第3章总体建设依据143.1建设原则143.2总体建设任务153.3系统总体结构和逻辑结构163. 3.1系统总体结构163.4技术路线173. 4.1虚拟化技术173.1.1.1 功能概述183.1.1.2 逻辑架构184. 4.2分布式存储技术195. 4.3虚拟化云安全技术216. 4.4数据备份技术22笫4章本期项目建设方案257. 1系统设计254. 1.1软件系统设计254.1.1.1 架构设计254.1.1.2 软件功能设计254.1.2硬件系统设计314.1.2.1 计算费源设计314.1.2.2 存储资源设计314.1.2.3 功能架构设计314.2 网络系统设计354.3 安全系统设计364. 3.1虚拟化自生的安全设计364. 3.2虚拟化云安全设计364.4 软硬件部署设计374.5 备份系统设计394.5.1 数据备份系统394.5.2 数据容灾系统394.5.3 灾备管理体系394.6 资源共享设计404.7 部门信息系统整合情况404.8 部门业务系统对接情况40第5章项目运维管理415. 1人员培训方案415.4 项目实施415.5 项目运维425.5.1 运维内容425.5.2 运维时间(质保时间)425.5.3 运维要求42第6章效益与评价指标分析436. 1效益分析436.2项目评价指标分析43笫7章注意事项44第1章项目概述1.1 项目名称XX职业技术学院数据存储中心建设项目1.2 项目建设方案编制依据 中华人民共和国网络安全法 中华人民共和国数据安全法 中华人民共和国个人信息保护法 “互联网+政务服务”技术体系建设指南 政务信息资源类规范、标准 国家、省级、行业建设规范中华人民共和国国家安全法 教育信息化十年发展规划(2011-2020年) 国家中长期教育改革和发展规划纲要(2010-2020年) 教育信息化“十三五”规划 教育信息化2.0行动计划 XX省教育信息化中长期发展规划(20132020年) 网络安全等级保护基本要求(GB/T22239-2019) 网络安全等级保护设计技术要求(GB/T25070-2019) 网络安全等级保护测评要求(GB/T28448-2019) 网络安全等级保护测评过程指南(GB/T28449-2018) 重要信息系统灾难恢复规划指南(国信办) 信息系统灾难恢复规范(GB/T20988-2007) 信息安全技术云计算服务安全指南(GB/T31167-2014) 信息安全技术.云计算服务安全能力要求(GB/T31168-2014)1.3 项目概况1.3.1 项目背景XX职业技术学院占地面积39.7万平方米,总建筑面积18.65万平方米,校内实验实训室(中心、基地)100余个,教学及实验实训设备总值超过1亿元。设电子信息、电气工程、机械工程、经济贸易、管理工程、应用外语、医学护理7个专业教学系和基础部(思政部)、网教部(电大)2个教学部。高职专业42个、中职专业34个,专业设置与区域重点产业匹配度达100%。教职工440余人,副高职称以上教师130余人,省级技能大师工作室6个,专业课双师素质教师占比82.2心中高职在校生10270人,各类学历继续教育学生5400余人;学院坚持“地方性、技能型、特色化、高水平”定位,充分发挥“四校”资源整合优势,加快推进资源共享、专业共建、质量同升,已构建起以高职高技能人才培养为主,中高职衔接贯通培养,职业培训与学历继续教育并举推进的良好办学格局。随着信息时代的到来,不断增长且集中的业务对XX职业技术学院数据存储中心的要求越来越高,所以数据存储中心需要更为快速的技术提供所需能力。D从IT管理员的角度来看,业务需求驱动着基础架构设施的迅猛增长。但如果只是通过购买新的服务器,来满足业务发展的需求,不仅会增加采购成本和运作成本,还会带来更多供电和冷却的开支;2)硬件部署模式又进一步加剧了基础架构的复杂程度。应用越来越多,也越来越复杂,因此就变得更加难以管理、更新和维护。纵观整个数据中心,技术不断增多,分布也越来越广;业界和法律法规也在不断要求加强IT管理控制3)经不完全统计,威胁数据安全的因素包括自然因素(地震、火灾、雷电、洪水、飓风等)、人为因素(黑客攻击、病毒、蓄意破坏、缺乏经验造成的误操作误删除等)、硬件故障(服务器及存储介质老化、服务器宕机、电源故障等)、软件故障(数据库设计缺陷、应用软件故障、操作系统故障)、其他故障(网络连接问题、网络卡和驱动程序故障等);本次项目旨在为学校建设一套安全、稳定、可靠的业务系统支撑平台,为学校智慧化校园业务系统提供硬件资源,保证系统持续稳定的运行。此外为保证数据的安全性,建设一套可靠性数据安全平台,从而保证未来3-5年的信息化使用需求。1.3.2 建设目标满足学校智慧化校园业务系统等多个业务系统所需的云计算资源需求,并可在未来实现无缝的扩展;本次构建一套超融合业务支撑平台以及数据安全平台,从而实现数据中心简化管理,实现资源的统一分配,降低了运维成本、保证业务的连续性和数据的安全性。1.3.3 项目建设内容考核情况XX省高校教育信息化评价指标体系2.0(试行)(X教科20213号),该评价指标体系的年度考核纳入省委对公办高校党委的考核指标体系。2.3数据中心,(45,45卜2.3.1数提中心基比设簿“(9.9)。1.数据机房竟设符合展家标准GBSOI742017(数搭设计与规范,需达到A类或B类标准;(X3).'2.网络系先可度於化.用络流量可配丈;(2,2),3或置独立防火舟等安全设备;(2,2)4.数据士'存簿系统应支持多林设算一存缰"2,2卜2.3.2云计算+,(12,12上计算能力短够支苏学校信息化业务发展等求,有良好的可扩展性(兼容性),目W20%以上冗余,他立时荚小一1 .匏筹规里,英申式或逐辑上舆中的分布或奴据中,3芳牧童黄,共篁共享;(6,6),2 .具有冗余备份,安全归澎三志渥践等基本能力,(6,6卜2.3.3U谡植先(15,15p1 .具备远程管理、苴控和推送功捻(5,5»2 .虚浜化管理/差而占总广算婆源的80%以上;(5,5卜3资深管理魂就二审批,满是师生朴娜按霜£晴、弹作分配,(5,5卜234示应用能力,(9,9)。1 .其可持公或宾会室也为等可体会的云美百、()咨弟、云嵬提备冷、云便戢等应用案例;(6,6卜2 .具有立朱务部著案例,(3,3),(上传证乳枕料),1.3.4 项目建设的意义和必要性随着学校业务规模的不断扩张,尤其是云计算大潮来临,IT平台的规模和复杂程度出现大幅度的提升,业务对IT基础架构的灵活性、可扩展性以及快速上线的能力提出了更高的要求,传统IT数据中心架构的弊端也逐渐显现,具体表现为:(1)架构复杂,管理困难,策略分散存储、服务器、网络安全设备三层堆栈部署存在明显的复杂性,需要对多层软硬件结构进行组装和调试,才能使其正常工作。(2)集中式存储扩展性差,造成了存储割裂及竖井化随着数据集中化及云计算成为主流建设模式,存储资源集中化,业务大规模部署及运维逐步成为刚需,传统存储在扩展性上受限,无法适应虚拟化数据中心弹性可扩展的未来要求。(3)高昂的成本支出投资成本高:传统的存储与计算分离架构,需要配置独立的网络、存储和计算节点。运维成本高:随着IT规模的不断膨胀,数据中心内的服务器数量、网络复杂程度以及存储容量急剧增长,随之带来的是高昂的硬件成本支出以及运营成本支出(电力、制冷、占地空间、管理人员等)。(4)业务部署速度缓慢新的服务器、存储设备和网络设备的部署周期较长,整个过程包括方案设计、硬件选型、多厂商采购、分批到货、上架安装、系统集成、网络配置、综合调试、业务部署等环节。需要进一步促进业务和信息资源的整合,提高信息资源的利用率,降低XX职业技术学院信息化总体运维成本。降低网络、服务器与业务支撑平台等信息系统基础设施的管理复杂度,提高应用信息系统部署的时效性,本次项目采用软件定义数据中心架构(超融合)作为业务支撑平台,软件定义数据中心是通过软件来调动数据中心的资源,使得数据中心的管理摆脱定制管理硬件和解决方案,并提升了升级的灵活和速度。1.3.5 部门业务需求说明本次项目为我校的超融合业务支撑平台及数据安全平台建设,用于部署智慧校园软件项目。1.3.6 总体建设与本期建设任务为进一步促进XX职业技术学院业务和信息资源的整合,提高信息资源的利用率,降低信息化总体运维成本。降低网络、服务器与业务支撑平台等信息系统基础设施的管理复杂度,提高应用信息系统部署的时效性,最终可以实现全软件定义的数据中心。本次数据存储中心建设项目计划构建一套超融合业务支撑平台以及数据安全平台,具体包括10台2路计算存储节点服务器、4台超融合交换机,1套超融合软件,满足学校业务不断增长的计算资源、存储资源的需求;同时新建1套数据安全平台,包括虚拟化云安全防护系统、数据备份系统和数据容灾系统,最大限度保证数据安全性,并构建数据安全保障体系,实现快速应急数据恢复响应。第2章业务需求分析2.1 业务功能、业务流程和业务量分析智慧校园目前涉及的主要业务系统包括如下:序号系统名称数量单位单台CPU物理核单台内存(GB)单台存储(GB)合计CPU物理核合计内存(GB)合计存储(GB)1数据中台-信息标准管理平台2台166410003212820002数据中台2台166420003212840003业务中台应用2台86410001612820004业务中台数据库2台416200083240005流程引擎平台2台8321000166420006移动办事大厅2台8322000166440007用户权限平台应用2台166410003212820008用户权限平台数据库2台166420003212840009自主迎新系统2台83210001664200010学生工作管理系统2台83210001664200012自主离校系统2台83210001664200013就业管理系统2台83210001664200014学生大数据分析服务平台2台8965000161921000015一表通系统2台169650003219210000296144052000智慧校园业务系统计划当前使用的业务量资源为296核CPU,1440G内存,52T存储空间;为了保证未来35年的使用需求,业务量资源资源预留如下:CPU资源需预留不少于30%,即总计不少于385核;内存资源预留不少于200%,即总计不少于4320G;存储资源预留不少于50%,即总计不少于78T;2.2 系统功能和性能需求分析2.2.1 系统功能需求分析超融合基础架构是指在同一套单元设备中不仅仅具备计算、网络、存储和服务器虚拟化等资源和技术,而且还包括备份软件、快照技术、重复数据删除、在线数据压缩等元素,而多套单元设备可以通过网络聚合起来,实现模块化的无缝横向扩展,形成统一的资源池。超融合基础架构是实现“软件定义数据中心”的终极技术途径。超融合基础架构可以为数据中心带来最优的效率、灵活性、规模、成本和数据保护。使用计算存储超融合的一体化平台,替代了传统的服务器虚拟化+集中存储的架构,使得整个架构更清晰简单。(计算÷存储÷网络)虚拟化软件ita三iH网络设备超融合架构在数据中心中承担着计算资源池和分布式存储资源池的作用,极大地简化了数据中心的基础架构,而且通过软件定义的计算资源虚拟化和分布式存储架构实现无单点故障、无单点瓶颈、弹性扩展、性能线性增长等能力。先进性分析:目前大部分数据中心还处于传统的集中式架构,即X86物理服务器+集中式存储+网络设备模式,这种竖井式的架构往往需要针对不同的应用系统部署多套专业设备,使用、维护和管理的成本很高。超融合基础架构相比于传统集中式架构,它是建立在标准的通用硬件平台之上,利用高速以太网络支撑系统间的数据交换,并且业务均部署在虚拟机上,实现计算、存储和网络资源的统一管理。同时,超融合架构还具有强大的横向扩展能力,可以为数据中心提供最优的性能、灵活性、规模、成本和数据保护,极大简化IT系统的设计。超融合架构和传统架构的主要区别和先进性如下:比较*传统架构超融合架构备注一架构模式集中式3分布式一O支持业务一传统业务BZS业务,互联网业务,支持95%业务场景*33存储架构一FC+集中式一万兆+分布式,O存储件能P受限控制器一根据节点数量线性护展,节点数量少性能会差,数据保护一RAID策略3副本策略,3服务器利用率,单台物理机平均10%-50%单台物理机可达95%*3N可靠性一存在单点故障,依赖硬件一分布式,自恢复能力强至少3节点一可扩展件一架构限制,纵向扩展一横向线性扩展一灵活性一安装更杂,通常需要数天安装部署一节点览时按需扩展,可实现数小时内上线可靠性分析:可靠性对于业务系统而言最重要的。业务系统的连续运行和数据安全不丢失主要依赖数据中心基础架构的可靠性水平。超融合基础架构集成的虚拟化技术打破了软硬件的紧耦合关系,软件系统不再依靠某单一硬件环境运行,硬件系统的故障也不直接影响软件系统运行,业务系统的连续性有了极大的提高。超融合基础架构集成了分布式业务支撑平台,采用多副本的数据安全保护机制,同时支持数据备份。不但可以避免因硬件故障导致的数据丢失风险,还可以防止因病毒或人为误操作造成的核心业务数据丢失。扩展性分析:传统的数据中心架构中,如果对业务支撑平台进行升级时,需要购买物理硬盘或者扩展柜,更新微码、停机、加盘和连接扩展柜等等一系列操作。如果对计算资源进行升级时,需要购买物理服务器,提前规划好操作系统、分区、存储空间占用、上架安装和安装应用软件等一系列操作。这些增加的设备只能满足一定数量级的数据需求,并不能提高系统性能,当维护人员配置不当时,会造成系统性能明显下降。新增设备安装部署工作量大,操作繁琐,为减少数据风险,一般需要把整个系统全部停机后操作,在某此情况下会影响生产系统的业务连续性及工作效率。超融合无须停机便可无缝地添加其它超融合节点,从而线性地提高系统性能和数据存储,动态群集的方法使得计算和存储能够每次扩展一个节点,因此无须过度部署基础设施,使系统扩展不存在任何不确定性。超融合架构优势:整个数据中心采用标准的服务器设备+网络设备即可。不再需要专门的SAN集中存储,而且超融合软件与硬件紧密结合。可以让数据中心的架构由三层转变为二层,降低复杂度,降低采购和运维成本。超融合架构可以实现完全的资源整合、统一管理、调配和统一存储功能。在扩展性上可以做好按需线性的横向扩展,采用的是分布式的自治系统。由于计算与存储资源的深度融合,在对系统进行扩容时,只需要扩展超融合服务器的节点即可,不需要提前对设备进行选型、设计、系统集成和长时间的系统调试,通常一个三节点的扩容,一小时之内就可以完成,深度软硬件集成的超融合系统甚至可以做到开箱即用。软件定义的基础架构,可以满足未来对业务系统的扩展需求。通过软件定义,能够让数据中心在一个简单的基础架构下升级成为一个智能化、自动化、高效化的数据中心。使用超融合架构优势总结:超融合架构简单,可大大降低基础架构复杂性,同时降低运维和管理的成本。整合数据中心资源,充分利用设备资源,实现统一管理。超融合架构集成的虚拟化双机、热迁移功能,能够有效减少设备故障时间,确保核心业务的连续性,避免传统IT,单点故障导致的业务不可用。便于业务的快速部署,缩短业务系统上线周期,高度灵活性与可扩展性、提高运维和管理效率。超融合架构采用分布式的存储架构,采用多副本策略,可以最大化的保证业务系统数据的安全。同时分布式存储支持HDD和SSD等多种不同类型的存储资源,在满足虚拟机的双机、虚拟机热迁移技术可靠性要求的同时,还可以提高其性能。2.2.2 性能需求分析1)计算资源:考虑学校未来3-5年的发展,超融合业务支撑平台计划计算资源CPU物理核数不少于400核、内存使用不少于5T;2)存储资源:考虑学校未来3-5年的发展,超融合业务支撑平台计划存储资源可用量不少于80T,本次考虑采用分布式存储方式,采用三副本机制以满足存储需求;3)超融合平台安全资源:虽然传统安全设备可以物理网络层和操作系统提供安全防护,但是虚拟环境中新的安全威胁,例如:虚拟主机之间通讯的访问控制问题,病毒通过虚拟交换机传播问题等,传统的安全设备无法提供相关的防护,需要提供创新的安全技术为虚拟环境提供全面的保护。从网络安全等级保护的角度看,整个超融合平台必须遵循等级保护2.0二级标准,需要对业务虚拟机从虚拟化底层进行防病毒、深度防御,从而保证虚拟机的安全;4)数据安全需求分析随着信息时代的到来,数据成为学校正常运作的核心。对于学校来讲,数据更是影响其发展的关键,信息化的时代徐晓对应用和数据信息的依赖日益强烈,使得突发性灾难如火灾、洪水、地震或者恐怖事件对整个应用和数据会造成重大影响。经不完全统计,威胁数据安全的因素有以下几个方面:(1)自然因素:地震、火灾、雷电、洪水、飓风、工业事故等;(2)人为因素:黑客攻击、病毒、蓄意破坏、缺乏经验造成的误操作、压力和恐慌造成的误删除等;(3)硬件故障:服务器及存储介质老化、服务器宕机、电源故障等;(4)软件故障:数据库设计缺陷、应用软件故障、操作系统故障;(5)其它故障:网络连接问题、网络卡和驱动程序故障等。当发生上述故障时,倘若没有采取合理的、有效的备份及容灾手段,其损失难以估量。因此,如何保证在灾难发生时,保证数据不丢失,保证系统服务尽快恢复运行成为重中之重。近几年勒索病毒爆发猖獗,造成大量数据丢失,对相关单位造成不可估量的损失,而我校相关的网络安全防护手段比较薄弱,因此必须加强数据安全保障措施。第3章总体建设依据3.1 建设原则本次项目在规划和设计时,在满足我校基本需求的基础上重点考虑系统的可靠性、安全性、适用性、开放性、高可用性、高性能、可扩展性、可管理性,且考虑保护原有投资,节约成本。项目遵循以下几个原则:可靠性:XX职业技术学院信息系统可靠运转是学校运营、管理工作的基础。在设计时必须充分考虑设备本身的稳定性和抗故障能力。对于重点设备必须采用双备份,消除单点故障对系统的影响。安全性:XX职业技术学院业务信息系统,保存有大量重要教学、管理数据。因此,信息安全机制必须完善。既保证各层面我校能获得有效的信息和服务,又保障后台业务系统的安全运行。系统应保证在自然灾害和人为灾害发生时业务正常运转。应考虑到系统数据量大,很难恢复或恢复时间长,应用接近7X24不间断可用性要求,建立高效、可靠灾难恢复系统,并支持远程异地备份和分散备份。适用性:适用性包括两个方面。一方面,硬件的配置必须适当考虑适应未来业务应用发展的需要,有利于系统未来的升级和扩展;另一方面,也要避免资源浪费,将资金集中在真正影响性能的主要方面。高可用性:保护业务持续性的重要手段就是提高业务支撑平台的高可用性。要求关键设备具备冗余容错能力,发生故障时可以进行快速恢复,能够在线维护和扩充,同时具有防突发灾难的能力,高可用性系统必须能够解决各种导致系统失效的意外情况,保护业务应用在7X24小时的时间内不间歇运行。要求关键设备可用性应达到99.999%,其它业务核心系统应达到99.98%以上的可用性。高性能:系统性能反映到系统中主要是数据存取完成的快慢和数据传输的速度,因此系统性能对整个系统的性能起着决定性作用。系统的体系结构和性能优势不但要满足我校当前的数据存储需要,而且可以适应系统在未来随着我校业务量的拓展所带来的对性能要求的增长。可扩展性:随着信息系统应用的扩充及各系统数据不断的存储,存储容量可能需要后期扩容,存储设备必须具有良好的可扩展性,并做到扩容的平滑性。可管理性:要求系统具备良好的管理界面和管理方式,能够灵活管理调配存储资源,使整个系统能够高效灵活地运行。3.2 总体建设任务智慧校园指的是以物联网为基础的智慧化的校园工作、学习和生活一体化环境,这个一体化环境以各种应用服务系统为载体,将教学、科研、管理和校园生活进行充分融合;智慧校园是指以促进信息技术与教育教学融合、提高学与教的效果为目的,以物联网、云计算、大数据分析等新技术为核心技术,提供一种环境全面感知、智慧型、数据化、网络化、协作型一体化的教学、科研、管理和生活服务,并能对教育教学、教育管理进行洞察和预测的智慧学习环境。智慧校园=I个数据中心+智慧校园基础设施+八类智慧校园应用系统+智慧性资源。八类智慧校园应用系统分别是:学生成长类智慧应用系统、教师专业发展类智慧应用系统、科学研究类智慧应用系统、教育管理类智慧应用系统、安全监控类智慧应用系统、后勤服务类智慧应用系统、社会服务类智慧应用系统、综合评价类智慧应用系统。本次项目满足学校智慧化校园、业务系统等多个业务系统当前所需的云计算资源需求,并可在未来实现无缝的扩展;本次构建一套超融合业务支撑平台以及数据安全平台,从而实现数据中心简化管理,实现资源的统一分配,降低了运维成本、保证业务的连续性和数据的安全性。3.3 系统总体结构和逻辑结构3.3.1系统总体结构现有数据中心云平台:主要包含教务云、图书云;基于虚拟化技术构建的FC-SAN架构,本次不在本项目讨论范围内;新建超融合业务支撑平台:主要满足智慧校园系统、学工系统等业务使用需求;采用虚拟化技术、存储虚拟化技术构建超融合业务支撑平台;超融合平台的安全性:主要配套新建超融合业务支撑平台使用,通过虚拟化云安全软件对新建超融合业务支撑平台的虚拟机从虚拟化底层进行防病毒和深度防护作业;数据安全平台:主要配套新建超融合业务支撑平台使用;通过数据备份技术对新建超融合业务支撑平台的虚拟机、各类数据库进行统一定时备份;同时将备份数据的副本传输到容灾中心,并构建学校灾备管理体系。逻辑结构超融合逻辑架构就是在计算节点上运行服务器虚拟化软件和存储虚拟化软件,将所有的计算节点通过网络聚合成一个统一的虚拟计算和虚拟存储资源池,以资源池的形式提供数据中心所需的IT基础设施。广义上来说,除了计算和存储虚拟化之外,超融合基础架构还可以整合网络虚拟化、安全虚拟化以及上层业务应用服务。超龄鞠韩馥平台魏安管理计置翘菅理Hypefvisor+SefvefSANHyPe(Vor+SetvefSANHypervisor+ServerSANHypervtsor+SeiverSANSSDx86£福1.lUl三I超融合逻辑架构的软硬件如上图所示。每个标准X86架构的计算节点上都部署了虚拟化软件与分布式存储软件,计算节点上的本地磁盘通过存储网络聚合成一个分布式存储资源池,以虚拟抽象层的形式向上层虚拟机提供存储基础架构服务,超融合基础架构统一管理平台则提供物理资源与虚拟资源的集中配置与监控管理服务,实现IT基础架构的快速部署和精简运维。3.4技术路线3. 4.1虚拟化技术虚拟化技术可以说是超融合架构的灵魂,虚拟化技术指用一个软件层(Hypervisor)介于应用和硬件及OS之间。虚拟化技术可以使得一套服务器系统跑多个虚拟机并运行多个应用,而应用之间可以实现有效的数据和存储隔离保证安全。虚拟化技术的主要优点:提高服务器利用率,降低硬件闲置浪费;应用软件简化硬件管理难度;实现应用隔离,提高安全性并进一步降低管理难度。3.4.1.1 功能概述服务管理资源管理;管理平价服务目录管理服务实例管理门户资源部明调411模板11应用资源监测|11管理11管理报表管理安全管理计费网关时外接UBSS资源封装OSS资产管理3.4.1.2 逻辑架构基于云计算理念而生的X86服务器虚拟化平台,从虚拟化逻辑功能架构来看,可以大致分为基础架构服务层、应用程序服务层和虚拟应用程序层。从管理运维的角度来看,可以分为基础架构管理层、虚拟资源管理层和自动化服务管理层。首先从虚拟化逻辑功能架构来看:基础架构服务层:基础架构服务层是整个虚拟架构的重要支撑,主要是将物理的资源,包括计算资源、存储资源和网络资源进行虚拟化,提供一些虚拟化的基本单元,为整个架构的虚拟化做好铺垫。应用程序服务层:应用程序服务器层是确保运行在虚拟化平台上的应用的可用性、安全性和可扩展性进行服务的,是整个虚拟化架构中最为重要的一环。因此,这个层次的服务也相当丰富,也需要相当成熟的经验才能保证整个虚拟化的成功。应用程序的可用性主要包括:平台管理模块要能提供在线迁移功能,可以方便的时间虚拟机不停机的从一台PC服务器迁移到另外一台。平台管理要能提供高可用解决方案,如HA容错功能,确保虚拟机的可用性。下面图示了容错功能机理;虚拟化平台的HA实现示意,决方案功能-当服务器故障时.自动旗新启动虚拟机优势-经济仃效的玷用于所仃应用的晶可用-不需嬖独占的常用硬件-没仃蛆肝软件的成本和复杂性在不同的主机上同步运行相同的虚拟机出现硬件故障时.所有虚拟机均可实现零宕机、零数据损失故障切换零宕机、零数据损失无需复杂的集群或专用硬件所有应用程序和操作系统通用的单一机制NIC/HBA卡的Teaming也是服务器虚拟化的最基本需求,就是通过多网卡和多HBA卡,保证网络和存储访问的冗余性,一旦任何网卡或者HBA卡故障,都不会引起虚拟机的服务中断;3.4.2分布式存储技术分布式存储是全新的软件定义的存储层,可以扩展虚拟化管理程序以将计算和直连存储池化。通过建立服务器直连硬盘和固态硬盘(HDD和SSD)集群,分布式存储技术可创建专门针对虚拟机设计和优化的分布式共享数据存储。分布式存储技术内置在虚拟化内核中并采用分布式体系结构:利用SSD提供高性能读/写缓存,利用HDD确保经济高效的数据持久性。该技术基于高度可用的体系结构并且无单点故障。它可以应对磁盘、服务器和网络级别的故障并且不丢失数据,因为它内置了冗余机制,可以为磁盘和主机上的数据透明地存储多个副本。分布式存储技术实现了基于策略的存储管理方法。可以通过将简单策略与各个虚拟机或虚拟磁盘关联起来指定存储属性,如容量、性能和可用性。存储可以根据指定的策略立即完成资源调配和自动配置。无论位于集群中的什么物理位置,虚拟机都会维持自己的独特策略。工作负载条件变化时,分布式存储技术会动态地自行调整并实现负载平衡,以遵守每个虚拟机的策略。计算层日志层器ISB8Ssl分布式存储技术方案基础架构:一个分布式存储技术群集最初由3到32个X86服务器节点组成,每个节点必须至少有一个全新的SSD和一个全新的SAS磁盘驱动器。这些计算节点并不会专用于分布式存储技术:它们也会为各种正常的虚拟化工作负载提供支持。分布式存储技术会在创建群集时“开启”;这样,新的存储资源就会像计算资源一样透明地添加到池中。运行分布式存储技术的每个服务器节点最多支持5个磁盘组。每个磁盘组有个HDD磁盘,但必须有一个的SSD0这些磁盘可以是内部磁盘,也可以是通过JBOD进行认证的外部磁盘。之所以有磁盘组的概念是因为,允许主机内多个SSD参与读写缓存的工作,并把故障域缩小到一定范围内。SSD充当分布式读写缓存,并不用于永久保存数据。每个磁盘组只支持一个SDD:70%的SSD容量用于缓存读取,其余30%用于写入。可以在取消向磁盘暂存之前,在两个或两个以上节点之间镜像缓存写入来对该缓存写入进行保护。也可以使用多节点镜像来防止发生磁盘故障和节点故障。分布式存储技术可在所有节点之间提供一个集中的数据存储,供虚拟机使用。可以在同一个分布式存储技术数据存储实施多种策略(冗余、性能),无需预先创建常用的存储池。分布式存储技术可对所需的策略进行监控,并且只要有足够的资源,也可以根据需要进行自我调整:条带化数据对象、使用更多SSD缓存等。3.4.3虚拟化云安全技术针对虚拟环境提供全新的信息安全防护方案虚拟化云安全技术,通过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功能实现虚拟主机和虚拟系统的全面防护,并满足信息系统合规性审计要求。病毒防护防护:传统的病毒针防护解决方案都是通过安装Agent代理程序到虚拟主机的操作系统中,在整合服务器虚拟化后,要实现针对病毒的实时防护,同样需要在虚拟主机的操作系统中安装防病毒Agent程序,但是服务器虚拟化的目的是整合资源,最大化的发挥服务器资源的利用率,而传统的防病毒技术需要在每个虚拟主机中安装程序,例如:一台服务器虚拟6台主机,传统方法将Agent需要安装6套,并且在制定扫描任务就需要消耗虚拟主机的计算资源,这种方式并没有达到节约计算资源的效果,反而增加了计算资源的消耗,并且在病毒库更新是带来更多的网络资源消耗。针对虚拟化环境提供创新的方法解决防病毒程序带来的资源消耗问题,通过使用虚拟化层相关的APl接口实现全面的病毒防护。由于为虚拟化环境所以将针对这个系统进行描述,具体如下:针对虚拟系统,实现底层无代理病毒防护;针对虚拟系统中通过虚拟化网络接口接口实现针对虚拟系统和虚拟主机之间的全面防护,无需在虚拟主机的操作系统中安装Agem程序,即虚拟主机系统无代理方式实现实时的病毒防护,这样无需消耗分配给虚拟主机的计算资源和更多的网络资源消耗,最大化利用计算资源的同时提供全面病毒的实时防护。访问控制:传统技术的防火墙技术常常以硬件形式存在,用于通过访问控制和安全区域间的划分,计算资源虚拟化后导致边界模糊,很多的信息交换在虚拟系统内部就实现了,而传统防火墙在物理网络层提供访问控制,如何在虚拟系统内部实现访问控制和病毒传播抑制是虚拟系统面临的最基本安全问题。虚拟化云安全技术防火墙提供全面基于状态检测细粒度的访问控制功能,可以实现针对虚拟交换机基于网口的访问控制和虚拟系统之间的区域逻辑隔离。虚拟化云安全技术的防火墙同时支持各种泛洪攻击的识别和拦截。入侵检测/防护:同时在主机和网络层面进行入侵监测和预防,是当今信息安全基础设施建设的主要内容。虚拟化云安全技术在的虚拟化网络接口可以对虚拟交换机允许交换机或端口组运行在“混杂模式”,这时虚拟的IDS传感器能够感知在同一虚拟段上的网络流量。虚拟化云安全技术除了提供传统IDS/IPS系统功能外,还提供虚拟环境中基于政策的(POliCy-based)监控和分析工具,使虚拟化云安全技术更精确的流量监控、分析和访问控制,还能分析网络行为,为虚拟网络提供更高的安全性。虚拟化云安全技术同时虚拟系统中占用更少的资源,避免过度消耗宿主机的硬件能力。虚拟补丁防护:虚拟化云安全技术通过虚拟补丁技术完全可以解决由于补丁导致的问题,通过在虚拟系统的接口对虚拟主机系统进行评估,并可以自动对每个虚拟主机提供全面的漏洞修补功能,在操作系统在没有安装补丁程序之前,提供针对漏洞攻击的拦截。虚拟化云安全技术的虚拟补丁功能既不需要停机安装,也不需要进行广泛的应用程序测试。虽然此集成包可以为IT人员节省大量时间。完整性审计:虚拟化云安全技术产品针对系统支持依据基线的文件、目录、注册表等关键文件监控和审计功能,当这些关键位置为恶意篡改或感染病毒时,可以提供为管理员提供告警和记录功能,从而提供系统的安全性。日志审计和报表功能:虚拟化云安全技术提供全面的系统日志和详尽的报告功能,除了记录自身的各功能日志外,还可以将虚拟主机操作系统日志结合虚拟化云安全技术自身日志进行统一的统计和分析,日志系统还可以生成符合国际相关安全规范的报表。虚拟化云安全技术通过对日志进行分析可以让管理员跟踪IT基础设施的活动,评估服务器数据泄密事件是否发生、如何发生、何时发生、在何处发生的有效方法。3.4.4数据备份技术为防止系统出现操作失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。随着技术的不断发展,数据的海量增加,开始采用网络备份。网络备份一般通过专业的数据存储管理软件结合相应的硬件和存储设备来实现。本地数据集中备份方案的设计原则:(1)备份性能:可以采用磁盘备份方式,提高备份和恢复的性能和效率,减少备份,恢复窗口。可以采用专用的备份网络,避免业务系统网络和备份网络的互相干扰。支持断点续传功能,提高备份的成功率和性能。减少网络带宽,提高网络带宽的利用率。(2)恢复性能:采用磁盘作为备份缓存设备,提高恢复性能和效率,减少恢复时间。支持并行数据流和1.AN-free恢复方式,提高数据库系统恢复性能。(3)高可靠性:支持备份介质的冗余配置,防止介质失效造成的备份数据丢失。提供完善的索引保存恢复机制,确保备份系统的故障不会影响备份数据的安全。支持备份服务器、介质服务器和备份客户端的集群配置和自动切换功能,确保备份的成功率。能够提供介质服务器的负载均衡功能,确保备份数据链路的可靠性。(4)易管理与易维护:直观有效的GUl集中管理界面,提供中文化的管理界面,方便备份系统的管理和维护。提供完善简单的策略配置管理,方便我校制定备份计划。能够提供丰富的报表,监控和分析备份系统和相关的存储资源。支持远程维护和管理。在这个系统中,采用集中统一的备份策略管理,通过备份软件,对整个所有系统中的数据备份工作进行集中的管理、监控。备份策略制定的依据定制备份策略,涉及到以下内容:在什么时间(备