产教融合视域下的综合云平台设计与实现

余久方, 杨 帆

(1. 南京工业职业技术学院 计算机与软件学院, 南京 210023; 2. 华为技术有限公司, 南京 210012)

0 引 言

目前云计算技术在不断成熟与发展,以集中管理、简化运维为目标的IaaS层应用代表即虚拟化技术也被广泛应用。高校中的虚拟化应用主要是在学生机房部署云桌面[1-2],减轻实验管理人员负担、降低实验软件环境被破坏的风险。现在高校中提倡产教融合[3]和校企合作,以笔者所在学校为例,与浙江华为公司合作成立南京培训分部,建立云与大数据人才培养基地,旨在共同进行专业建设、人才培养以及教师专业技能提升。依托该基地建设的云计算实训平台要承载多重业务:1)正常的教学实验; 2)企业客户的培训; 3)教室的云桌面。以上业务给云计算平台带来多种需求:首先是云平台系统多样性,既要有学生实验的云平台,也要有企业特定的云平台,还需要支持教室云桌面的商用云平台;其次是实训平台环境的安全性要求高,考虑生产环境和实验环境公用网络资源以及不同的用户共用服务器资源,需要进行安全性设计。基于以上现状,本文提出一个综合解决方案,来解决新形势下高校云平台系统面临的问题。

1 关键技术分析

1.1 嵌套虚拟化

市场上主流的虚拟化技术有VMware vSphere, RedHat KVM,Citrix XenServer,微软Hyper-V[4-5],华为的Fusion Compute,基于虚拟化技术基础上的桌面云软件主要有VMware View,Citrix的XenDesktop,微软的Virtual Desktop Infrastructure,华为的Fusion Access。使用这些虚拟化技术和桌面云软件可以按需搭建IaaS层应用,这是目前一层虚拟化技术的主要使用场景,在公有云和私有云中都有成熟应用。嵌套虚拟化是指以虚拟机为宿主机,在其上再次进行虚拟化的方案,在公有云中嵌套虚拟化的应用较少,原因之一是各个厂家对标准的hypervisor都做了一些修改,有些还是私有hypervisor,如果支持嵌套虚拟化需要大量的适配测试工作量;原因之二是嵌套虚拟化带来了CPU性能、网络性能、硬盘读写性能的下降[6]。在私有云中有一些嵌套虚拟化应用在安全监控场景上,使用一层虚拟化监控用户对硬件资源的操作,在二层的虚拟化中部署用户的云平台[7],在用户虚拟机层面监控用户的行为。通过以上2次的监控对比,分析用户可能的攻击行为。在一些商用的虚拟化平台比如VMware ESXi上,已经可以对运行于其上的虚拟机提供虚拟化支持。

教学实训环境对云平台中服务器的性能要求不是很高,但是由于学生人数多,想正常开展教学工作就需要大量的服务器,这将产生巨大的实验设备采购费用。以华为RH2288V3服务器为例,双CPU加2个硬盘的服务器价格在35 000元左右,如果要支持2个班级90个学生的实训,每2人一组实验也需要共计150多万元的设备,代价非常高昂。使用嵌套虚拟化能够大大减少设备费用,物理服务器上安装虚拟化操作系统进行一层虚拟化,虚拟出多个虚拟机作为虚拟服务器,在虚拟服务器上安装虚拟化平台系统进行二层虚拟化,供学生进行云计算实验。

1.2 存储技术

大数据时代随着人们对数据存储、访问、备份的需求日益增加,对存储的容量、性能、扩展性要求也越来越高。从存储存放的位置来分,可以分为内置存储和外挂存储。内置存储把磁盘直接放在服务器内部,由于空间的限制这种方式下存储容量通常都比较小并且难扩展,对于存储容量需求大的场景一般都需要配置外挂存储。外挂存储从最早的直连存储DAS(direct attached stroage)发展到后来的网络存储NAS(network attached storage)和SAN(storage area network),在灵活性和扩展性上逐步提高,给数据中心存储方案带来了更多选择。

DAS直接将外置存储设备通过电缆连接到服务器上,存储设备和服务器之间采用SCSI协议或者FC协议,这种方式相比内置存储大大提升了存储容量,但是其缺点是多个服务器无法共享存储并且服务器容易成为整个系统的瓶颈。网络存储NAS和SAN的出现解决了DAS面临的问题。

NAS适用于文件存储,存储设备在把数据发送到服务器之前已经把文件组合完成, 减轻了服务器的负担[8]。NAS存储只能以文件方式访问,不能直接访问物理数据块,在访问性能要求高的场景无法满足应用。SAN分为FCSAN和IPSAN,是结构化存储的首选,2种存储方式都具有较高的性能和较好的扩展性,FCSAN中服务器和存储设备之间通过FC交换机连接,之间运行FC协议,这种方式传输效率高但是成本高,并且FC协议实现复杂,各个厂家的产品之间不能很好地互通[9];IPSAN中服务器和存储设置之间通过以太网交换机连接,利用已有的TCP/IP协议传输数据,技术更加成熟。 FC交换机目前支持的端口速率有1、2、4、8、16 Gb/s,而以太网交换机支持的端口速率除了1、10 Gb/s外,已经支持25、50、100 Gb/s甚至更高[10]。 由此可以看出IPSAN 具有更好的适应性和扩展性。

1.3 数据中心网络安全

随着数据中心规模化的增长,其面临的网络安全威胁也日益突出,Cisco 2017数据中心安全研究报告指出,88%的数据中心管理者2016年收到的安全攻击有所增多[11],数据中心需要有适用其业务的灵活的安全保障方案。

对用户进行逻辑隔离是一种有效的网络安全措施,隔离由终端标记和网络设备处理2部分完成。vlan是一种基础、高效的隔离广播域技术,网络设备按照用户接入端口配置进行vlan标记,并根据vlan+mac进行按源学习、按目的查表转发,实现用户之间的互通和隔离[12]。数据中心租户数量的增长使得传统的4094个 vlan不足以满足需求,vxlan通过overlay技术在报文中增加VNI字段,让租户数量可以扩展到16M[13],网络设备通过VNI+mac进行按源学习、按目的查表转发,在跨过3层网络时进行overlay隧道信息的封装。Cisco的VN-Tag技术和HP的VEPA技术也是一种标记和隔离转发技术[14]。网络安全技术灵活多样,需要根据具体的网络规模和技术复杂度进行按需选择。

2 综合云平台构建

2.1 方案选择

南京工业职业技术学院的云计算平台需要承担的业务量如下:

1) 云计算课程的实训,支持2个班级共90个学生并发实验。实验中希望学生接触和掌握业内多种主流商用云平台。

2) 多门课程的信息化教学,需要提供6个教室共270个机位。需要成熟的虚拟化和桌面云方案,保障日常教学。

3) 华为企业客户培训,能支持3个客户班共45人同时进行实验。实验需要使用华为的Fusion Compute虚拟化方案和Fusion Access桌面云。

为了满足学生需要掌握多种厂家虚拟化方案的需求,在云计算课程实训服务器的一层虚拟化上提供二层嵌套虚拟化支持,以一层虚拟机为服务器安装虚拟化软件,解决实验中物理服务器不足问题。华为企业客户培训由于是专项技术培训,只能在服务器上安装华为的虚拟化平台和云桌面软件。

虚拟化技术作为云计算IaaS层的核心以及云桌面方案的基础,其稳定性和可靠性至关重要,VMware在服务器虚拟化中相比其他厂家占优势,在2016年的Gartner服务器虚拟化魔力象限中处于领先地位,因此信息化教室和云计算课程实训的一层虚拟化技术采用VMware vSphere。Citrix XenDesktop的市场占有率较高,能够兼容其他厂家如VMware、Microsoft的虚拟化技术,经过综合比较教室的云桌面系统选用Citrix的。

考虑到实际的业务量以及用户数量(在4 094以下),在一层虚拟化中对不同的用户采用vlan进行隔离,防止由于用户个人行为对网络造成破坏。另外考虑到存储系统的扩展性,采用IP SAN网络存储,网络中的服务器可通过IP网络添加存储资源。

设计后的综合实验平台结构如图1。

2.2 业务和性能分析

2.2.1 业务分析

从计算资源角度,教室服务器提供6个教室共270个虚拟机和云桌面,底层的虚拟化采用了VMware vSphere,所有教室虚拟机使用同一个模板。方便管理员进行软件安装、卸载等日常维护工作,云桌面软件采用了Citrix的XenDesktop;培训服务器提供客户培训的45个+云计算实训的90个共135个云桌面,采用了华为的Fusion Compute虚拟化方案和Fusion Access云桌面方案,其中用于实训的云桌面提供给学生登陆操作实训服务器和正常的信息化学习;实训服务器提供实训室的90个实验用虚拟机(按需,可以更多),采用了VMware vSphere作为第1层虚拟化方案,在其上可以部署第2层虚拟化,即第1层虚拟化后的虚拟机可以作为1台服务器,供学生在其上安装华为或者其他厂家的虚拟化平台进行第2层虚拟化,这样节省物理服务器资源的同时也让学生能够进行多厂家云平台的学习。

图1 综合云平台架构Fig.1 Architecture of the integrated cloud platform

从网络资源角度,管理员为每个虚拟机划分1个vlan和1个网段,每个网段的网关运行在核心交换机,即虚拟机之间只有通过核心交换机才能相互访问,对于不允许相互访问的教室和实训室、培训室,在核心交换机上配置端口隔离。出口路由器上使用ACL来控制用户访问外网的权限,使用nat进行内外部地址转换。

从存储资源角度,每套服务器有内置的本地存储,也部署了华为5300V3的IPSAN网络存储,目前提供的存储总容量超过200T,后续可以按需扩容。

综合云平台的虚拟化方案和隔离方案如图2所示。

图2 综合云平台的虚拟化和隔离Fig.2 Virtualization and Isolation of the Integrated Cloud Platform

2.2.2 性能分析

本方案中用到的计算、网络、存储资源设备如表1所示。每台云桌面虚拟机提供4核CPU、4G内存、150G硬盘空间;每台用于支持嵌套虚拟化的虚拟服务器按需分配资源,目前的平台能力可以支持90台4核CPU 12G内存的虚拟服务器。平台提供的资源相对充足,架构也方便后续扩展。从目前运行结果看,云桌面用户和嵌套虚拟化用户体验均良好,另外本方案设计的安全性较好,没有出现过由于实验环境问题导致正常教学的云桌面环境出现问题。本平台目前提供的对外资源如表2所示。

表1 综合云平台设备使用Table1 Equipments of the integrated cloud platform

表2 目前平台对外提供的资源Table 2 Current resources provided by the platform

图3 教室的云桌面虚拟机Fig.3 Cloud desktop virtual machines for classrooms

在教室服务器上划分了超过270个虚拟机(多几个为测试使用)用于支持教室的桌面云,如图3所示。在培训服务器上划分超过135个虚拟机用于支持培训教室和实训教室的云桌面,如图4所示。对于嵌套虚拟化环境,虚拟机按需创建,管理员根据需求在实验前创建好用户信息,为每个用户分配好vlan和IP地址段并创建好一层虚拟机。比如用户可以申请2个一层虚拟机作为虚拟服务器,其中一个虚拟机作为服务器安装为Fusion Compute的CNA结点,另一个虚拟机安装为VRM结点,安装完成后登陆VRM可以进行CNA结点的管理,并可以基于该CNA结点创建虚拟机,如图5所示。

图4 培训教室和实训教室的云桌面虚拟机

图5 基于虚拟服务器创建虚拟机Fig.5 Create virtual machines based on virtual servers

本平台的实训环境使用嵌套虚拟化方案后,使用6台RH2288V3服务器,加上1台5300V3存储设备,即可提供90台虚拟服务器,供2个班级每2人一组进行实验(虚拟服务器安装虚拟化平台把管理结点和计算结点分开能提供更好的用户体验),设备价格在30万元内,相比原来的非嵌套虚拟化方案的150多万元设备,实训成本不到原来的20%,可见本平台方案可以大大减少实训设备成本。

3 结 语

云计算的IaaS层技术目前已经有较为广泛的应用,但是如何在复杂场景下提供业务并保证安全性,需要管理员提前进行规划。本文提出了一种在产教融合背景下高校云平台的架构,综合考虑了环境的可管理性、扩展性和安全性,运行结果表明该架构取得了预期的效果。但是还有一些问题留待后续继续研究,比如嵌套虚拟化在云平台上的性能下降幅度[15],云平台的具体扩展能力等。