日期:2023-01-24 阅读量:0次 所属栏目:信息安全
【 摘 要 】 国家电网公司通过SG186、SG-ERP等信息化建设,部署了大量重要管理信息系统,省公司和直属单位也结合自身业务开发并上线了数量众多的业务系统。北京亦庄、上海、西安集中式数据中心,以及各单位自身数据中心已经出现无法满足信息系统快速开发、部署和安全运行的情况,各单位独立运行维护本单位的信息系统软硬件资源也耗费巨大的人力成本。文章参考亚马逊、微软、IBM等公司云数据中心建设理念,结合国家电网公司骨干网络和直属单位承载网建设的实际情况,在现有数据中心的基础上,探讨建立未来国家电网公司的云数据中心的规划和技术路线。
【 关键词 】 信息系统;云数据中心;规划
1 引言
1.1 概念
云数据中心是一种实现了云计算基础架构解决方案的新一代数据中心,它融合了数据中心和云计算技术的优点,实现了IT资源(主机、网络、存储和应用)的高度虚拟化和各类服务管理程序的自动化,同时具备绿色节能的优点,云数据中心能效值(Power Usage Effectiveness,PUE)一般不超过1.5。
云数据中心提供三种服务模式:基础设施即服务(Infrastructure as a Service, IaaS)、平台即服务(Platform as a Service, PaaS)和软件即服务(Software as a Service, SaaS)。三种模式下提供的服务内容分别为计算机基础设施、软件研发平台和应用软件。
按照部署模式不同可以将云数据中心分为公有云、私有云和混合云三种类型。
在公有云模式中,云计算资源由云服务提供商拥有和运营,云服务提供商将自己的基础设施以服务的形式提供给外部用户,外部用户通过互联网访问所需服务。
在私有云模式中,云计算资源由单个公司拥有和运营。私有云可部署在企业数据中心的防火墙内,也可部署在一个安全的主机托管场所。在该模式下,公司对数据、安全性和服务质量拥有最有效的控制。
混合云结合了公有云和私有云的交付模式。在该模式下,资源拥有者在满足自身业务应用需求的基础上,将空闲资源以服务的方式提供给企业外部用户使用。
同传统数据中心相比,云数据中心具有几个优点:基础设备更加规模化和标准化,便于管理和扩展;采用各种虚拟化技术来降低建设和运营成本,提高资源利用率;自动化程度更高;机房建设和能源管理符合绿色节能的要求。
1.2 云数据中心现状
为适应公司业务高速发展和用户数据量的快速增长,包括亚马逊、微软、Google、IBM在内的跨国IT企业以及国内的三大电信运营商纷纷将业务应用由传统数据中心迁移到云数据中心。
本文以亚马逊AWS(Amazon Web Service)、微软Azure、IBM SCE+(Smart Cloud Enterprise+)为例介绍当前云数据中心的发展现状。
1.2.1 AWS
作为电商,亚马逊既要提供能够满足高峰时期业务应用需求的计算资源,又要想办法在非高峰时期提高过剩资源的利用率。这促使亚马逊成为第一个试图将计算资源以商品的形式向第三方提供服务的公司。
亚马逊在2006年推出了云服务AWS。AWS以Web服务的形式向用户提供包括计算与联网(Amazon EC2、Amazon Elastic MapReduce、)、存储(Amazon S3、Amazon Elastic Block Store)、应用程序服务(Simple Queue Service)、数据库(Amazon Simple DB、DynamoDB)、部署管理(AWS管理控制台、Amazon CloudFormation)以及客户支持(AWS Premium Support)等在内的近20种云服务。其中,EC2是IaaS的典型代表。
1.2.2 Windows Azure
微软在2010年2月推出Windows Azure,并于2014年3月26日正式在华商用。根据微软官方定义,Azure是一个为开发者提供定制的计算服务和基于微软数据中心Web应用程序的云计算操作系统平台。
Azure平台目前提供三种服务:Windows Azure、SQL Azure和AppFabric。Windows Azure同时提供IaaS、PaaS和SaaS三种服务模式,可轻松实现异地多点备份,同时提供Windows和Linux虚拟机,支持开发者通过PHP、、Python等大量开源工具生成应用程序,可根据用户需求动态调配资源,以及根据用户位置将用户程序部署到最靠近用户的数据中心。Windows Azure具有针对数据中心架构的自我管理功能,通过Fabric Controller实现对虚拟机、作业环境、软件部署等的管理。
1.2.3 SCE+与Softlayer
2013年12月18日,IBM与世纪互联宣布SCE+[3]正式进入中国。IBM SmartCloud Enterprise+(SCE+)是完全可管理、安全功能丰富、可随时投入生产使用的云环境。在SCE+中,用户可选择自行管理工作负载或者交由IBM管理,其服务水平可保证操作系统实例的可用性达到98.5%到99.9%。
SCE+并非是一种通用的解决方案,用户可通过使用各种标准选项,从操作系统、虚拟机容量、软件等多个层面灵活选择符合自身业务发展需求的容量和性能。SCE+支持X86和Power、Systerm z等多种操作系统,包含了Windows、Linux、AIX、z/OS、VMware或PowerVM管理程序。
2013年6月5日,IBM收购Softlayer,后者是全球最大的IDC公司。通过将自身SmartCloud用户迁移到Softlayer,IBM为用户提供虚拟主机和专用物理主机两种定制模式,旨在为用户在IaaS层面提供安全的公有云、私有云和混合云。
2 云数据中心建设关键技术
本节将从虚拟化、存储管理、资源管理、安全和云技术管理平台四个方面介绍云数据中心的关键技术。
2.1 虚拟化技术
虚拟化又称分区技术,是搭建云数据中心的关键技术之一,它通过在硬件和软件之间添加虚拟中间层对上层应用或用户隐藏计算资源的底层属性,将单个资源划分为多个虚拟资源。虚拟化包括服务器虚拟化、存储虚拟化、网络虚拟化、桌面虚拟化和应用拟化等。
数据中心可以从虚拟化中获得几个好处。
(1)高可用性和安全性。所有应用都运行在虚拟机上,不同的虚拟机之间完全隔离。一台虚拟机崩溃并不会影响其他虚拟机的运行,并且可以通过虚拟机迁移技术来提高应用的可靠性。
(2)提高资源的利用率。虚拟化技术能够确保资源按需分配,通过整合多余硬件减少软硬件投资成本,从而提高服务器的利用率。
(3)平台互操作和动态可扩展。虚拟化技术打破了硬件设备之间的异构性和物理边界,确保用户在不需要改变物理资源配置的情况下可方便地调整资源
配置。物理资源的虚拟化也意味着软件可以独立于物理平台运行,确保接口和协议的兼容性。
按照虚拟化所处的层次的可以将虚拟化技术划分为完全虚拟化技术和操作系统层虚拟化技术。完全虚拟化技术借助hypervisor,在虚拟服务器和底层硬件之间建立一个抽象层。在完全虚拟化环境下,hypervisor充当了主机操作系统,这类虚拟化产品的代表有VMware vSphere和Microsoft Hyper-V。操作系统层虚拟化技术是由主机操作系统负责在多个虚拟服务器之间分配硬件资源,其典型代表是VMware workstation。
除上述产品外,虚拟化技术的代表产品还有Citrix XenServer、开源的Xen以及RedHat KVM。
2.2 存储技术
云计算环境下的存储又称为云存储,是指综合分布式文件系统、集群应用和网格技术等,通过应用软件让网络中存在的大量的、不同类型的存储设备协同工作,共同对外提供数据存储和业务访问功能的一个系统[4]。
云存储模型共包含四个层次:存储层、基础管理层、应用接口层和访问层。存储层是云存储的设备层,可以是IP存储设备、DAS存储设备或者光纤通道存储设备,这些设备分布于不同地区并通过网络连接在一起;基础管理层是云存储的核心层,用于实现多个存储设备之间的协同工作并为用户数据提供加密、容灾备份等安全保障,应用集群、分布式文件系统、网格计算等都工作在基础管理层;应用接口层根据开发者的需求,可以开发出不同的应用接口并提供相应服务,如远程数据备份、视频点播平台等;访问层面向最终用户提供数据访问服务,任何授权用户可以利用联网终端在任何地方按照标准应用接口来登陆云存储平台,享受云存储服务。
在云数据中心中,结构化和半结构化的数据可采用NoSQL数据库,常用的NoSQL软件有Membase、MongoDB、Hypertable、Apache Cassandra等。而非结构化的文件,则可以采用HDFS分布式文件系统进行存储。
2.3 资源管理技术
云数据中心的资源管理是指将包括服务器资源、网络资源、存储资源在内的各类计算资源集中统一管理,通过资源池化、模板配置和动态调度等功能为用户提供整合的、高可用的、动态弹性及可快速部署的IT基础设施。
资源管理涉及虚拟机放置优化算法、虚拟资源动态伸缩模型、多IDC之间的全局云计算资源调度、全局资源配置及能力规划模型等四个方面的技术[6],用于解决资源配置管理、云资源池化、资源申请管理、资源运行管理、资源运行监控、系统管理和安全管理等方面的需求。
(1)虚拟机放置算法。虚拟机放置算法通过研究虚拟机在不同物理机上放置时对数据中心的能耗、利用率和性能的影响,获取虚拟机迁移策略和放置模型。在实际应用时,可根据不同策略实现虚拟机在物理机间的动态快速迁移,实现优化的放置方案。
(2)虚拟资源动态伸缩模型。虚拟资源动态伸缩模型是指根据用户的实际使用需求,动态分配和回收资源。为缩短应用负载变化时资源管理器的响应时间,要求资源管理器能够根据系统过去及当前的负载使用情况,来预测未来一段时间的资源需求,以便更准确、更加及时的掉正虚拟资源大小。
(3)全局云计算资源调度。全局云计算资源调度主要研究混合云环境下的资源调度以及某个具体应用在多个IDC间的全局调度。混合云环境下的资源调度主要研究企业应用在私有云和公有云之间的分布策略,通过综合考虑响应时间、最后期限违反率、租用资源费率等多个性能指标,来降低企业的运营成本。多IDC间的全局调度综合考虑虚拟机分布、IDC间的交互成本、IDC资源成本等因素,将服务放置在不同的IDC中,达到提升终端用户体验和提高云环境资源利用率的目的。
(4)全局资源配置与能力规划模型。全局资源配置与能力规划主要为资源提供商提供资源配置及建议。该模型在综合考虑应用对资源的需求、用户地域分布、终端用户访问模式、访问质量和IDC资源成本等因素的基础上,优先考虑资源的经济利用,结合经济模型,确定资源容量大小,最终为资源提供商提供容量投资决策,得到全局优化的资源配置和能力规划方案。
2.4 安全技术
云数据中心同时涉及到云内安全、云网络安全、隐私保护盒安全管理四方面的安全问题。
云内安全用于处理来自数据中心内部的威胁。云数据中心需防止人为失误、停电、自然灾害等意外事件,确保基础设施的稳定和正常运行;为防止未授权的访问,避免用户数据被窃取,云数据中心的访问管理和客户身份识别至关重要;针对虚拟机的分布式拒绝服务(DDoS),云数据中心可以将攻击流量在进入目标虚拟机之前过滤掉。
云网络安全则要求互联网服务提供商应保证在物理层数据传输的安全性。常见的解决云网络安全解决方案有:虚拟专用网(Virtue Private Network, VPN)和软件定义网络(Soft Defined Network, SDN)等。
(1)VPN。VPN属于远程访问技术,它通过在公用网络上建立专用网络,并对VPN服务器和客户机之间的所有通讯数据都进行加密处理,实现数据传输过程中的安全和隐私保护。
(2)SDN。SDN的核心技术OpenFlow通过分离控制层和数据层,使得网络结构更加灵活,实现了网络流量的里灵活控制,限制恶意访问数据层。
3 国家电网公司数据中心情况
3.1 数据中心
国家电网公司目前在北京亦庄、上海、西安建有三个集中式数据中心。根据原有规划,北京亦庄数据中心作为华北地区信息系统的同城灾备中心,同时作为华东、西北以及其他地区的异地灾备中心,上海和西安集中式数据中心情况类似。三个集中式数据中心按照传统数据中心架构构建了网络环境、主机环境、存储环境等,部署了灾备信息系统。根据近期规划,三个数据中心定位由原有灾备中心变更为集中式数据中心,为节约数据中心运营成本,华北地区的省市公司以及直属单位的数据中心逐步向北京亦庄数据中心迁移,上海和西安集中式数据中心也开始接纳属地附近的系统内单位部署信息系统。数据中心仅提供综合布线、专线接入、电源、机柜、消防等基础环境,各单位部署信息系统均由本单位采购相关软硬件资源,独立建设,同时由于场地限制,运维工作的安排比较困难。
在三处集中式数据中心以外,大部分省公司完成了本省的信息系统归集,在省公司建有集中式数据中心,直属单位基本是按照总部
集中式数据中心建设,在直属单位总部建有集中式数据中心。
3.2 骨干网络
国家电网公司近几年在持续进行骨干网络的升级和扩容,根据最新的OTN工程和直属单位承载网建设资料显示,国家电网公司依托三个集中式数据中心和北京西单、白广路等几个核心网络节点,完成了健壮冗余的骨干网络建设,部分省市还进行了第二汇聚点的建设,完成了重要数据中心之间、地市与省公司之间、省公司与国家电网公司总部之间、直属单位与国家电网公司总部之间的千兆乃至万兆网络互联。
4 云数据中心建设规划
根据云数据中心建设和实施的实践,结合国家电网公司目前的数据中心和骨干网络实际情况,国家电网公司近期可以以IaaS(基础设施即服务)为建设目标,以一个集中式数据中心为基础建立国家电网公司内部的私有云;中期在原有设备运行期限到期时,可以以PaaS(平台即服务)为建设目标,将私有云推广至几个重要集中式数据中心;远期,在中期建设的基础上,融合系统内所有数据中心软硬件资源,以SaaS(软件即服务)为目标,建立即服务国家电网公司内部,又可以给外部单位提供IT服务的混合云。
4.1 IaaS私有云建设
IaaS是基础设施即服务的英文缩写,是云数据中心的初级状态。国家电网公司在三地集中式数据中心部署的供省市公司、直属单位使用的信息系统的网络环境、服务器环境、存储环境是形式上的IaaS,但在底层技术和资源调配管理上还没有达到IaaS的标准。国家电网公司可以在现有数据中心的基础上,选择一个数据中心的某几个机房模块,开展IaaS计算资源池和存储资源池的试验性建设
4.1.1 计算资源池建设
计算资源池的建设主要依托于服务器虚拟化技术,目前主流的虚拟化平台厂商有VMware、微软、Citrix、华为等,国家电网公司可以根据信息系统安全战略考虑,调研并选择某一家厂商产品作为计算资源池搭建的主要平台,调整信息化设备批次采购的产品目录,使得虚拟化平台和采购的服务器设备可以有效搭配并稳定运行。目前,云数据中心计算资源池均采用X86架构的PC服务器搭建,建议国家电网公司顺应云数据中心分布式系统架构潮流,逐渐淘汰小型机等大型设备,转而通过增加X86架构的PC服务器这种横向扩展的方式,后期提升云数据中心的整体计算资源。计算资源池搭建完毕后,可以灵活的为需要部署信息系统的国家电网公司有关部门、省市公司、直属单位提供虚拟化的计算资源;在虚拟运算资源出现运行故障或者信息系统需要检修时,计算资源可以利用虚拟化在线迁移功能实现无缝的转移,保障信息系统不间断运行。
4.1.2 存储资源池建设
根据国家电网公司数据中心现状,建议结合计算资源池虚拟化技术,集中采购X86架构的PC服务器,构建存储集群。国家电网公司原来部署的主流存储厂商HP、EMC的大型存储磁盘阵列将无法适应分布式系统的部署。存储资源池的搭建要与计算资源池的搭建配套,以利于计算资源的无缝漂移等功能实现。
4.2 PaaS私有云建设
PaaS是平台即服务的英文缩写,是建立在平台层面的云数据中心形态。经过初期IaaS建设,云数据中心的基础设施已经具备,可以在基础设施上再进一步,开展软件平台的统一建设。同时,这个时期,可以将云数据中心的范围由某数据中心的几个机房模块扩展为几个重要的数据中心,云数据中心的资源调配和管理平台建设成为这个阶段的主要工作之一。
4.2.1云软件平台建设
国家电网公司目前处于信息系统安全考虑,正在进行软件开发统一平台SG-UAP平台的推广工作,所有的软件开发推荐在此平台上开展。云软件平台建设与此类似,在云数据中心集中部署中间件、软件开发平台,为需要开发和部署软件的国家电网公司有关部门、省市公司、直属单位提供相关的平台和开发定制服务。目前主流的云软件平台有微软的Azure、谷歌的AppEngine等。
4.2.2云管理平台建设
云数据中心相较于传统的数据中心的一个明显的优势就是资源管理的灵活性,云数据中心的资源管理依托于底层的虚拟化技术、由云管理平台实现。在这个时期,国家电网公司将云数据中心推广至几个重要的实体数据中心,对资源的灵活调配非常重要。云数据中心可以达到计算、存储等基础设施资源,SG-UAP等软件开发平台资源、以及ERP等软件资源的灵活分配和按需及时的回收,资源在不同应用之间也可以根据使用的情况进行智能的自动调整。建立统一的云管理平台是云数据中心安全稳定运行的关键。
4.3 SaaS混合云建设
SaaS是软件即服务的英文缩写,是建立在软件层面的云数据中心形态。目前国家电网公司统一部署的ERP系统、SAP系统、协同办公系统等,均是SaaS的一种体现。在经历了IaaS、PaaS私有云的建设后,国家电网公司在云数据中心建设、运行、服务方面积累的大量经验,底层的基础设施基本符合建立全国性云数据中心的条件。这个时期,国家电网公司可以开始融合各省市公司、直属单位的数据中心计算和存储资源,建立全国范围的可以提供IaaS、PaaS、SaaS的混合云,既可以给国家电网公司内部提供各种云服务,也可以给外部新兴科技公司、互联网公司等提供相应的安全稳定的云服务。
5 结束语
综上所述,国家电网公司可以借鉴目前主流云服务提供商的云数据中心建设经验,依托于现有数据中心和骨干网络实际情况,利用先进的虚拟化、云平台等主流技术,分步骤的开展云数据中心建设。云数据中心的建成和运行可以解决资源灵活部署和调配的问题,解决数据中心物理占地的问题,解决能源浪费的问题,解决运维人员场地问题,解决信息系统信息安全问题,同时,各级信息化工作部门也可以根据云数据中心的建设,不断调整自身的职责,从信息化繁重的日常工作中解脱出来,成为信息资源的服务商。
参考文献
[1] http://cn/.
[2] http://zh-cn/.
[3] http://services/cn/zh/it-services/smartcloud_ .
[4] 朱长江,郭念.面向海量技术的云存储技术研究[J].科技世界,2012.
[5] http://products/cm/.
[6] 王晶等.云计算环境下的自适应资源管理技术综述.计算机工程与设计,2012.
作者简介:
周一波
(1980-),男,湖南新化人,加拿大温莎大学,研究生学位,经理,工程师;主要研究方向和关注领域:信息安全和数据中心。
朱朝勇(1985-),男,湖北宜城人,中国科学技术大学,研究生学位,高级主管;主要研究方向和关注领域:云计算和大数据。
霍燚(1983-),男,天津宝坻人,辽宁工业大学,学士学位,工程师;主要研究方向和关注领域:信息系统集成(虚拟化)。