高校虚拟化资源统一管理平台研究

朱骏宁 彭伟

摘   要：随着信息化建设和互联网技术的不断进步，高校应用系统的数量正快速增长。为了降低数据中心建设成本，实现IT资源的高可用性，许多高校已经基本完成了“虚拟化数据中心”的建设。而传统的基于后台的虚拟化服务器管理方式，随着服务器数量的激增，管理员的工作强度也会相应增加。另外，一个虚拟化平台往往设有多个管理员，他们各自管理相对独立的部分，如物理服务器、物理存储、虚拟化服务器等，这使任何一个很小的沟通失误，都有可能带来严重的后果。虚拟化资源统一管理平台的建设，使学校运维人员能够从低效烦琐的工作中抽身出来，同时极大地简化虚拟化资源的申请和交付流程。文章对该系统平台的设计进行了介绍，并详细阐述了具体的实现过程，对高校的虚拟化建设工作具有一定的参考价值。

关键词：高校信息化建设;虚拟化技术;统一管理平台

中图分类号：G647 文献标志码：A 文章编号：1673-8454（2019）19-0045-04

一、引言

传统虚拟化服务器管理方式是基于后台的，虚拟机需要管理员将操作系统安装好才能交付用户使用。一旦发生用户误关机、配置网络出错等情况，都需要管理员在后台完成操作。当虚拟机数量非常多时，管理员的工作强度将非常大。特别是在高校中，院系的虚拟机使用者通常使用电话或邮件的方式与管理员沟通，这进一步加大了管理员的工作难度。

以华东师范大学为例，用户申请虚拟服务器资源的流程如下：

一是电话、邮件或其它方式联系信息化办公室（以下简称信息办），了解虚拟化资源的详细情况和具体的申请流程。

二是通过学校的OA系统将需求递送至信息办等待审核。

三是信息办对申请进行审核。审核通过，则将签报内容转交给虚拟机平台管理员具体落实。若审核不通过，则需要继续与用户电话或邮件进行沟通，并将签报退回。

四是虚拟机平台管理员收到申请后，与需求部门联系，确认需求，与对方签订托管协议书和安全责任书，同时根据具体需求开始虚拟机的部署工作。

五是通过邮件向用户交付服务器的远程登录方式。

高校的虚拟化平台上往往承载着多种类型的业务系统，因此会使同一虚拟化服务器平台上存在多名管理员。据粗略统计，华东师范大学虚拟机平台上，目前有75%的Web server服务器，15%的服务器承载着各院系及单位的信息管理系统，其余10%承载着如APP、科研工具等各类不同的应用。如果虚拟化资源的管理没有严格的规章制度和统一的业务流程，则会给虚拟化服务器平台的运维留下很大的管理隐患。

此外，虚拟化建设成本的核算也是非常重要的。若学校对虚拟化建设成本没有一定的了解和规划，将很难在虚拟化运营商的选择、物理服务器的选型和数量、存储设备的选型和数量、机房预留空间等诸多情况中做出最优的决策。要么盲目地将大量财力和人力投入到虚拟化建设中，而最终使大量IT资源处于闲置状态，以极大的成本换取了极低的资源利用率;要么是以较低的成本完成了虚拟化建设，但所提供的资源并无法满足师生的需求，或是服务质量无法达到预期，这些都是虚拟化建设工作中最不愿见到的结果。以华东师范大学为例，在虚拟机平台上的部分服务器运行时间已超过3年，而这些服务器是否仍然实际承载着相关业务，IT部门没有相应的判定手段。据估算，虚拟机平台上现有约20%～30%的服务器已经不再承载相关业务，或业务已经不再被使用，然而由于无法对此进行判断，这些服务器仍然正常运行在平台上，继续消耗着平台上约30%的相应资源。

本文设计并实现统一的虚拟化资源管理平台，平台管理虚拟化服务器、承载虚拟机的物理服务器、存储、虚拟网络等资源，并为运维部门提供统一的管理入口，使管理员能够对资源的使用情况进行有效的监视，也可以更方便地对资源进行合理的調整和规划，从而使管理员能够从低效烦琐的运维工作中抽身出来，并在一定程度上能够避免IT资源的浪费，提高现有资源的使用率，帮助学校对虚拟化建设成本进行核算。

二、虚拟化和Unified Portal相关技术简介

近年来，许多高校都开始尝试将虚拟化技术运用到数据中心的建设中。通过虚拟化技术可以在一台物理服务器上生成若干虚拟化服务器，且这些虚拟化服务器能够在性能及配置相同、能够访问相同存储设备和网络的物理服务器之间实现动态迁移，实现了服务器资源的高度共享，同时也实现了虚拟化服务器的高可用性。[1]

利用虚拟化存储技术，学校可以通过iSCSI、SCSI等不同的存储设备接口协议将校内所有的存储资源整合在一起，然后再根据业务的实际需求，动态地将存储资源分配给不同的业务。[2]而当服务器或业务发生故障时，由于所有服务器都可以访问到统一的存储资源，业务也能够以最快的速度从其它服务器上进行恢复，不但保障了数据的安全，同时也提高了业务的连续性及可靠性。

利用VLAN、VPN、MPLS VPN等网络虚拟化技术，则可以满足学校对网络的访问控制、路径隔离、集中管理等要求。将校园网划分为多个网络，为校园网中的应用及用户之间的安全隔离，提供可行的方案。[3]而在高校的网络基础架构中，就存在着这样的问题。同一个物理网络环境包含着办公网络、服务器网络、核心业务网络等等，这些网络之间不但需要尽可能地提供安全策略的集中管理，同时也要保障网络架构的安全性及可扩展性。[4]

Unified Portal是本次研究系统中的核心功能组件。在本次设计中，系统会将定制的服务蓝图和预留资源管理蓝图交由Unified Portal处理，并由Unified Portal根据蓝图要求和用户的具体操作请求触发相应的系统功能或系统的其它外部组件，如身份认证系统。Unified Portal的具体功能架构如图1所示。

三、高校虚拟化资源统一管理平台的设计

1.管理流程设计

第一，需要实现申请和审批的标准化、自动化流程。用戶在虚拟化资源统一管理平台上，根据实际需求提交相应申请的同时，完成所有协议和责任书的签订。管理员完成审批后，直接进入虚拟机的部署和交付流程。

第二，实现定制化部署模版。按照以往的经验，结合高校教育科研的实际需求情况，制定出满足用户需求的多种标准化的部署模版。用户无需再与IT部门面对面沟通需求，而是直接在平台上选择适合自己需求的模版即可。

第三，实现自动化的部署流程。用户提交的申请在经过审批后，平台自动根据申请中的需求，从模版中部署虚拟机。

第四，用户可以自行完成对虚拟机的基本操作。用户可以在平台上完成虚拟机电源开关、挂载光盘镜像、添加磁盘等基本虚拟机操作，而无需管理员登录vCenter进行手动操作。

第五，实现资源的回收机制。对用户申请的资源设置有效期，到期未提交延期申请的，对资源进行回收。建立服务器使用率的监视制度，对符合判定标准明显无业务运行的虚拟机，由管理员联系用户，并酌情对资源进行回收。

第六，实现灵活统一的资源管理方式。如本节开头所述，现行管理模式是传统的分级管理方式，即物理服务器主机、虚拟机平台、虚拟服务器通过不同的方式，由不同的人员进行管理。要打破这样的分级管理方式，需要同时实现管理入口的统一、管理能力和权限的集中，以及管理操作的便捷，需要将虚拟服务器、物理服务器、存储、网络等资源的基本管理功能集中在统一的平台上。理论上管理员可以使用同一个账号，在一个或少数几个界面中完成对上述所有资源基本的运维管理操作，从而打破管理入口的分级限制。如图2所示。

2.基础架构设计

根据实际的生产情况，本架构中物理服务器分别由Cisco UCS刀片式服务器、IBM刀片式服务器和DELL机架式服务器构成。虚拟化由VMware vShpere实现，服务器分别使用了不同品牌的外置存储，如EMC、DELL等。平台拥有单点登录组件的同时拥有一个AD或LDAP服务器，用户信息保存在AD或LDAP服务器上。平台拥有SMTP和Email服务器，以实现邮件通知功能。

本架构核心部件为vCloud Automation Center，其本身由多个组件构成，组件之间通过稳定、可靠的网络基础架构进行通信，如图3所示。该部件的核心功能是使用户能够根据定义的策略请求，调配和管理基础架构服务、应用服务和自定义服务，以进行按需交付。

3.身份认证功能的逻辑架构设计

平台的身份认证功能不仅需要通过用户的学工号和密码来判断用户是否能够成功登录平台，还需要获取用户更详细的身份信息以支持平台的其它功能，如邮箱、所属部门、激活状态、账号失效期等。而在华东师范大学生产环境里原有的权威LDAP服务器中，用户的字段信息并不完整，部分字段数据缺失。但学校公共数据库系统中，拥有较为完整的用户字段和准确的用户基本信息。因此本文将身份认证功能作为一个独立的部分进行研究和设计。

在本次研究的生产环境中，身份认证系统为一台Sun One Directory Server（LDAP）服务器，其为学校所有的业务系统提供认证功能。公共数据库系统中保存了全校师生的诸多个人信息，如姓名、邮箱、离校日期等，且能够提供相应的Web service接口来提取对应的用户信息。另外，虚拟化统一资源管理平台的设计中拥有独立的Acitive Directory域服务器。

在身份认证功能的逻辑架构设计中，需将LDAP中的用户密码实时导入平台的AD服务中，并通过Web service接口将用户的其它字段信息也同步到AD中。具体方法如下：

建立一台中间的LDAP服务器，在本次研究中实际部署的是一台Novell eDirectory Server。

建立一台调用Web service接口的服务器，定时将Web service接口中取到的用户信息，通过Novell eDirectory Server的特定接口导入服务器，同时将Web service中取到的信息和Novell LDAP中的信息进行比对，完成新增用户在服务器中的创建。

将Sun One Directory Server（LDAP）中的用户信息导出为LDIF文件，并导入Novell eDirectory Server，完成第一次全量用户的密码同步工作。

修改公共数据库密码的页面，这也是Sun LDAP中唯一的修改密码的入口，在每次用户修改密码的同时，将密码通过Novell LDAP的接口导入服务器。

身份认证功能逻辑结构设计如图4所示。

4.基础架构即服务设计

虚拟化资源统一管理平台的核心部件Vcloud Auomation Center通过其内置的IaaS服务组件管理平台的各类基础架构资源。在这部分整体设计中，相关的组件包含“基础架构资源”、“计算资源”、“资源组”、“资源预留”、“业务组”、“资源预留策略”、“服务配置”和“服务蓝图”，如图5所示。在本次设计的架构中，由用户提出的租用请求，IT部门制定的审批策略、管理规则、资源回收制度共同制定出平台最终需要交付的服务蓝图。核心业务组件根据服务蓝图来管理基础架构中所有的虚拟化资源。身份认证及角色控制交由核心组件外部的身份认证系统来实现。管理员和租户通过平台门户登录后，通过不同的操作，触发核心业务组件完成所有的服务工作，如调用虚拟机平台的内部接口完成服务器的开关机操作等。

四、结束语

本文关注了高校传统虚拟服务器平台使用和管理上的不足，并进行了客观分析。从分析的结论出发，设计了基于VMware Unified Portal的高校虚拟化资源统一管理平台。

该平台的设计，主要目的有两点：

一是通过标准化的部署模版和自动化的审批流程，最大程度地节约在虚拟化资源申请、审批和交付环节的时间人力成本;

二是通过对资源的统一监控、管理和循环分配，能够最大化地使珍贵的高校虚拟化资源得到利用，减少资源的闲置率，提高资源的灵活性和利用率。

着眼未来，虚拟化资源统一管理平台的建设还将在整合公有云和私有云资源的方向上继续探索，同时也会在网络及数据安全的方面给予更多的关注和考虑。

参考文献：

[1]王宇，刘小锋，王兴伟.虚拟化技术在高校信息化建设中的应用[J].计算机科学与探索，2010（4）.

[2]李韶驰.虚拟化技术在党校信息化建设中的应用与实践[J].电脑知识与技术，2012（17）.

[3]成萨萨，姚琴，田丽丽，钱阳明，李劲松.基于云计算技术的医院信息系统集成[J].中国数字医学，2013（9）.

[4]曹雪春.容灾备份系统中虚拟化技术的应用[J].有线电视技术，2011（12）.

（编辑：王天鹏）