云计算应用实验中心建设研究

牛晓晨

云计算应用实验中心建设研究

牛晓晨

结合云计算应用实验中心建设的实际，研究了云计算应用实验中心的总体组成架构，安全防范和云计算应用开展等主要建设内容。探究云计算应用中心建设的基本规律，为类似的云计算应用中心建设提供有益的借鉴，使其在架构设计和应用部署方面更合理，从而提升中心的建设质量。

云计算；组成架构；安全防范；应用部署

0 引言

云计算是一种新型的信息资源管理和计算服务模式，是继大型计算机、个人电脑、互联网之后信息产业的一次革命[1]。在云计算架构中，服务和数据存在于共享、动态可扩展的资源池内（通常经过虚拟化处理），任何经验证的设备都可通过互联网访问这些服务和数据。云计算应用实验中心建成后，物理资源将被组织起来统一调配，提供给学校各部门、教师及学生使用。

在国内文献[2-5]中详细阐述了采用云计算技术解决高校教学科研资源优化管理的方法、改革模式以及采用云计算技术解决其科研环境中资源的快速构建、弹性伸缩和按需使用的问题。但对如何实现和构建云计算应用中心并没有给出相应的方案。因此，具体采用什么方案构建高校的云计算应用实验中心，如何使用中心的统一资源又快又好地开展云计算应用服务值得进一步研究。

1 总体架构

云计算应用实验中心是一个强大的物理资源集中地，这些物理资源包括计算资源、存储资源和网络资源。这些资源都具有很强的可扩展性，通过使用相应的虚拟化系统或是分布式计算系统将资源整合，为学校各部门提供所需的资源服务。

1.1 计算资源

计算资源的意思是指特定计算模型之下，解决特定问题所要消耗的资源[6]。简单来说计算资源指的是计算时间（计算解决特定问题需要花费的步骤数）和内存空间（定义解决问题时所要花费的空间）。云计算应用实验中心的计算资源由高性能的服务器集群来提供。

目前中心配置有IBM x3850 X5高性能服务器7台，每台配置英特尔至强X7550处理器2颗（最大可至4颗），主频2.4 GHz、8核心，开启超线程技术后，操作系统可以用于分配使用的 CPU数可达到32颗，每台服务器的内存为64GB（最大可至3T）；另外还有IBM x3690 X5服务器7台，配置英特尔至强 E7处理器 1颗（最大可至 2颗），主频1.73GHz、6核心，开启超线程技术后，虚拟CPU数为12颗，每台服务器的内存为32GB（最大可至1T）。这14台是中心的核心服务器，其强大的CPU和内存资源为云计算应用服务的开展奠定了良好的物质基础。

1.2 存储资源

将用户的数据进行存储目前有以下3种方式：

（1）使用服务器本地硬盘进行保存。这种方式硬件成本低、部署简便，但可用性差，数据存储不统一，无法实现群集等高可用性服务。

（2）使用iSCSI存储技术。iSCSI技术是一种新储存技术，该技术是将现有SCSI接口与以太网络技术结合，使服务器可与使用 IP网络的储存装置互相交换资料[7]。这种方式的优点是数据集中存储、部署方便、扩充性强，但由于是使用IP 网络传送数据，所以传输率一般最大只能到1Gb/s。

（3）使用光纤存储阵列。存储阵列由大量的存储单元组成，实施了模块化体系结构，集成了数据块、文件和对象的硬件组件，并支持本机光纤通道协议。本中心采用了专为虚拟应用程序优化的高性能统一存储平台 EMC VNX5300统一存储系统，配备有2T SAS盘10块，存储容量达20T，今后如有需要最大可配磁盘数可达125块。服务器上配置了光纤通道卡，通过两台EMC光纤交换机与存储相连，数据传输率可达8Gb/s，大大提高了磁盘数据的读写速度。

1.3 网络资源

由于物理服务器之间、虚拟机之间以及中心内部网与外网之间都要进行网络通信，所以配置高性能的交换机或路由器以及网络防火墙都是非常必要的。中心配置了华为S570024口千兆以太网3层交换机，它在内网VLAN的划分和不同VLAN间的路由通讯上都发挥了重要作用。中心还配备了天融信企业级硬件防火墙，它在抵御黑客攻击和监控云平台内部网络流量方面起到网络安全卫士的作用。服务器配置的是千兆以太网卡，所以，云平台内部的网络速度可达到1Gb/s；而交换机与防火墙之间、防火墙与校园网主干线之间均是光纤链路，所以，云计算中心内部与外部之间的网速可达1Gb/s。

计算资源、存储资源和网络资源是云计算应用实验中心的核心资源，是中心基础架构的重要组成部分，云计算应用实验中心的一个总体架构图，如图1所示：

图1 云计算应用实验中心总体架构图

2 安全防范

云计算应用实验中心管理着各种软硬件资源，存储着用户的大量数据，涉及的院系部门和业务较多，因此对中心的安全性要求极高。下面将从硬件、软件和网络3个层面讲解如何提高中心的安全性和高可用性，以保证云计算应用服务的连续性和有效性。

2.1 硬件冗余安全建设

（1）电源方面。为了避免临时停电造成设备的异常关闭，必须给中心配备UPS。本中心配备了2台山特UPS，向上连接到配电室的UPS上，两级UPS供电使得3小时内的短时停电对中心的影响可忽略不计。

（2）服务器方面。服务器的电源配置了双路电源，与存储相连的光纤通道卡也为两块，网卡配置了多块，这些配件的冗余设置使得当一个硬件损坏时，另一个能继续保证服务器的正常运行。服务器的硬盘也做了RAID 1或者RAID 5，以保证磁盘的高可用性和操作系统的稳定运行。

（3）存储方面。中心的存储阵列不仅像服务器硬盘那样做了RAID 5，同时还有一块热备盘。热备盘的作用相当于是在RAID里面再做一个备份，如果RAID里面坏了一个盘，这个热备盘就会顶替RAID里面的那个坏盘，这样一来就等于RAID没受到损坏，然后将好盘换上去，RAID和热备盘的状态又正常了[8]。这种存储的冗余设置，在保证磁盘读写速度不受影响的情况下，使得数据的安全性最大化，存储空间的浪费最小化。

（4）网络方面。一方面可以使用多个交换设备进行堆叠，以提高网络设备的高可用性和增加网络带宽。堆叠是指将两台或两台以上的交换机组合起来共同工作，形成一个堆叠单元，以便在有限的空间内提供尽可能多的端口或为一台交换机提供冗余，同时意味着系统带宽的增加[9]。另一方面，在网络线路上采用双链路接入，避免因一条链路出现的单点故障而造成整个云计算中心网络中断。

（5）异地备份中心的建立。数据的安全性是整个云计算中心的重中之重，设备坏了可以换新的，数据丢失了，那可不是通过换磁盘能换回来的。在单一的机房环境中，受到电力设施、制冷设施以及极端情况的出现（例如多块磁盘同时发生故障）会造成数据丢失。建设异地备份中心可有效防止因此类情况发生造成的数据丢失。在主数据中心发生故障的情况下，可以使用备份中心的备份数据进行恢复，以保证服务的持续性和数据的安全性。

2.2 软件层面安全建设

（1）建立群集。群集是一组协同工作以提高服务和应用程序可用性的独立服务器[10]。群集中的物理服务器之间通过物理电缆和软件连接，如果其中一台服务器出现故障，其它服务器将通过名为故障转移的进程继续提供服务，应用的迁移将由群集软件自动完成，不需要管理员手工干预，集群的使用将增强服务器的可用性以及可管理性。本中心已将提供虚拟化服务的物理服务器组成了一个故障转移群集，进一步保证了服务的连续性和可用性。

（2）虚拟操作系统的防护。从目前的运行情况来看，黑客对云计算应用中心的攻击都是针对中心所提供的这些虚拟机的，都是通过这些被攻陷的虚拟机渗透到中心的内部网络，所以提供给用户使用的虚拟机操作系统应是配置安全的。以Windows系统虚拟机为例，在交付给用户使用前，需将系统补丁打全、开启了自动更新和系统防火墙、安装了最新病毒库的杀毒软件以及管理员的初始密码设置为强密码。交付给用户后，也要提醒用户不随便运行来历不明的程序，重设管理员密码一定要用强密码。

2.3 网络安全防卫建设

（1）防火墙的建立。防火墙通常设置在内网与外网之间，并通过一系列的安全手段来保护内网的资源。它有两个任务：一是在保护内部资源的前提下，允许本地用户使用外网的资源；二是将外部网络中未授权的用户屏蔽在内网之外或授权外部指定用户使用本地指定的资源[11]。目前，有软件防火墙和硬件防火墙两种，建议使用硬件防火墙。硬件防火墙不管是在稳定性、吞吐量、包转发率和对内网的控制方面都远远的强于软件防火墙。本中心使用的是天融信企业级硬件防火墙，它在阻挡黑客攻击、管理内外网访问和查找异常流量源头等方面都发挥了重要的作用。

（2）Vlan的使用。Vlan即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成的一个个网段，从而实现虚拟工作组的一种新兴交换技术[12]。不同Vlan成员之间不可直接通信，需要通过路由支持才能通信，而同一Vlan中的成员可直接通信，且同一个Vlan内部的广播和单播流量都不会转发到其他Vlan中，这样既可以控制流量节省带宽，又提高网络的安全性。目前中心内部网络划分成3个Vlan，所有物理主机和虚拟化关键业务虚拟机都在Vlan1，对外提供的虚拟机全部在Vlan2，桌面虚拟化在Vlan3。通过防火墙可有效地控制这3个Vlan间以及Vlan与外部网络的通信访问。

3 云计算应用开展

云计算应用从技术上可以分为“大分小”和“小聚大”两种。大分小：主要是采用虚拟化技术，将一台机器虚拟为多台机器按需提供给多个用户同时使用，从而提高机器的使用效率。小聚大：主要是采用分布式技术，利用多台机器协作完成在一台机器很难完成的计算或存储任务。目前中心已开展了这两方面的应用，并在进一步的深入中。

3.1 虚拟化服务

虚拟化技术是自上世纪九十年代以来蓬勃兴起的技术，提出的初衷是为了解决“一种应用系统独占一台服务器”模式所带来的服务器数量剧增，导致数据中心越来越复杂，管理难度不断增加等问题[13]。虚拟化在计算机方面通常是指计算元件在虚拟的基础上而不是真实的基础上运行。虚拟化技术可以扩大硬件的容量，简化软件的重新配置过程。虚拟化技术可以单CPU模拟多CPU并行，允许一个平台同时运行多个操作系统，并且应用程序都可以在相互独立的空间内运行而互不影响，从而显著提高计算机的工作效率。目前主流的虚拟化产品是VMware、Hyper-v和Citrix，本中心使用的是微软的Hyper-v。

（1）服务器虚拟化

服务器虚拟化是指将一台物理服务器虚拟成若干台高性能的虚拟服务器或是个人主机。虚拟服务器与物理服务器的功能完全一样，而且其 CPU、内存、磁盘等硬件资源可以根据运行情况动态地增减，使得物理服务器的硬件利用率最大化。由于群集技术的使用，虚拟机可以实现在线迁移，保证了虚拟机的高可用性。

中心提供的虚拟机操作系统从Windows server 2000到Windows Server 2012 R2、从XP到Win8.1、从Centos、RedHat到 Ubuntu，涵盖了几乎所有目前主流的操作系统；数据库也提供有MSSqL、MysqL、Sybase和Oracle等主流数据库，应用软件也可以根据老师需要按需提供。目前，中心已部署虚拟服务器或个人主机93台，为教师科研、上课教学、学生开放实验和科技活动等各个方面的需求提供24小时不间断服务。

（2）VDI技术应用

目前，中心使用 VDI技术，即虚拟桌面基础架构，为不同需要的软件类实验课程提供具备相应上机环境的虚拟桌面池。VDI技术也被称作桌面虚拟化技术，它是虚拟化技术在应用层面的一个分支，采用客户端/服务器 （C/S） 模式将个人计算机桌面环境与物理机器分开。用户从客户端设备（瘦客户机或是普通PC）使用RDP连接协议与远程虚拟桌面进行连接，使用上用户访问的这些远程桌面就像是访问本地桌面一样。

由于计算资源和存储资源都使用的是服务器端资源，所以，对客户端的计算机配置要求不高，因此，一些配置老旧的机房完全可以通过使用 VDI技术来做目前流行的软件类实验。目前，中心采用VDI技术使得一批03年购买的Dell卧式机能够让学生在其上使用最新的 Windows 8操作系统和Office 2013软件进行实验学习。VDI技术的使用极大地提高了学校老旧计算机的使用率。

3.2 分布式计算服务

作为计算机科学研究分布式系统的一个分支，分布式计算因其较高的实用价值和良好的应用前景，越来越受到人们的重视。分布式计算是利用高速互联网把分散的计算资源组合成共享资源集合，以形成高性能计算、管理、服务的资源能力，然后，提供给用户[14]。具体地说，一个需要进行大量计算的问题被分解开来，形成许多任务，分别由一台或多台计算机完成计算，最后上传运算结果。在云计算环境下，一台高性能的中心服务器将一个大型计算任务分割成若干个任务单元，利用网络分派给另外的多台服务器分别去完成，任务完成后再返回到中心服务器。

在云计算环境下，分布式计算一大优势就是当某台服务器运行出现故障时，可以通过冗余和重构的办法，使整个计算系统能够维持正常运行。这样，即使有一台或若干台服务器出现故障，其它服务器仍可以继续工作。由于分布式计算系统是模块化结构，系统控制采用的是分布式结构，因此，各个部件、组件间是松耦合关系，系统维护灵活性较高。资金投入方面，分布式系统的硬件投资并不见得比多台单机系统要多，但其所获得的处理能力却是单机系统的几倍，甚至是几十倍；软件方面，开源免费的Hadoop分布式系统基础架构平台已经相当成熟，普及率很高，所以性价比方面分布式系统优势明显。

目前，中心将1台高性能IBM x3850服务器和7台IBM x3690 以及1台联想万全服务器组成一个服务器集群，使用Hadoop分布式系统基础架构为有需要进行分布式计算方面研究与开发的老师提供服务。目前，学院的“自然语言处理研究”和“基于投影向量机的动态协作过滤研究”等多项科研课题正在使用该项服务。

4 总结

随着云计算技术的普及，越来越多的院校开始构建云计算应用实验中心。本文结合自身实际建设情况，给出了云计算应用实验中心总体架构方案，就提高中心的安全性和高可用性，以及云计算应用开展等问题进行了探讨。云计算应用实验中心的建立不仅节约了资源提高了设备利用率，同时也促进了学校教学科研的发展。

[1]敬国东.数字校园云计算资源中心建设研究[J].实验技术与管理,2013,30(9):212-216.

[2]鲁慧民,刘刚.基于云计算理念的虚拟实验教学系统设计探讨[J].实验技术与管理，2012,29(4):334-337.

[3]黄晨晖,林泳琴.基于云计算的虚拟化计算机实验室的研究与实现[J].实验室研究与探索,2010,29(11):178-181.

[4]李英壮,廖培腾,孙梦,等.基于云计算的数据中心虚拟机管理平台的设计[J].实验技术与管理,2011,28(5):1-3.

[5]柴亚辉,涂春萍,刘觉夫,等.基于云计算的计算机与软件实验资源管理[J].实验室研究与探索,2010,29(10):254-257.

[6]维基百科.计算资源[EB/OL].[2014/09/15].http://zh.wiki pedia.org/wiki/计算資源.

[7]百度百科.iSCSI[EB/OL].[2014/09/15]. http://baike.baid u.com/view/120148.htm.

[8]百度百科.热备盘[EB/OL].[2014/09/15]. http://baike.bai du.com/view/2288169.htm.

[9]张宇,周冶.基于堆叠技术实现核心交换机冗余设计及分析[J].网络安全技术与应用,2014(8):23-24.

[10]王淑江.Windows Server 2012 Hyper-v虚拟化管理实践[M].北京:人民邮电出版,2013.

[11]杨路明,肖潇.网络安全与防火墙技术[J].电脑信息与技术,2004(3):49-51.

[12]冯栋柱,杨登.基于 VLAN技术在高校校园网建设中的应用[J].微计算机信息,2010,26(2):133-134.

[13]韩彤.Hyper_V 虚拟化技术的研究与应用[J].信息技术与信息化,2011(4):74-75.

[14]龚强.云计算关键技术之分布式计算认知研究[J].信息技术,2014(8):1-3.

Research on Construction of Cloud Computing Applications Laboratory Center

Niu Xiaochen
(School of Computer Science and Technology, Xi’an University of Posts and Telecommunications, Xi’an 710121, China)

Combining with the reality of the construction of cloud computing applications laboratory center, this paper researches the main construction contents of cloud computing applications laboratory center such as overall structure, security and development of cloud computing applications. It explores the fundamental principles of the construction of cloud computing applications laboratory center.Then it provides some useful reference to similar projects and makes them more reasonable in structure design and application deployment so as to improve construction quality of the center.

Cloud Computing; Overall Architecture; Security; Application Deployment

TP393

A

2014.07.20）

1007-757X(2015)05-0012-03

陕西高等教育教学改革研究项目（13BY68）；西安邮电大学青年教师科研基金资助项目（ZL2014-23）

牛晓晨（1979-），男，陕西，西安邮电大学计算机学院，工程师，硕士，研究方向：云计算应用，西安，710121