《ICM-19-技术白皮书20161119.docx》由会员分享,可在线阅读,更多相关《ICM-19-技术白皮书20161119.docx(49页珍藏版)》请在三一办公上搜索。
1、浪潮(北京)电子信息产业有限公司2016年8月目录1 概述12 InCloudManager设计理念和特点12.1 产品架构12.2 最完整的的异构资源管理32.3 资源使用弹性伸缩32.4 IT能力按需交付42.5 自定义业务流程42.6 最智能的自动化运维52.7 最精细的监控管理52.8 快速服务交付72.9 安全可靠82.10 灵活的服务编排92.11 基于业务感知的弹性节点管理92.12 兼容OPenStaCk103 云海技术特色103.1 多虚拟化平台管理103.2 SDN软件定义的网络123.2.1 简单网络153.2.2 高级网络163.2.3 负载均衡与基于业务感知的弹性节点
2、管理173.3 多维度资源监控与管理193.3.1 分布式监控架构203.3.2 插件化适配层203.3.3 双重过滤的告警通知设计213.3.4 资源类型可扩展223.3.5 智能的业务监控和故障分析223.3.6 自主研发的带内的Agem233.3.7 巡检管理243.4 精细化计费管理253.5 灵活的可自定义的业务审批流程263.6 适合多租户的灵活用户管理体系273.7 细粒度的角色权限访问控制283.8 先进的自动化运维303.8.1 基于无代理的应用软件的自动化技术303.8.2 基于内存OS的服务器固件批量配置技术303.8.3 基于标准CMDB的资产配置架构313.9 应用软
3、件的快速部署323.10 全方位的高可用设计323.11 多维度云操作系统安全体系333.12 公有云和私有云的融合353.13 多数据中心管理374 InCloudManager适用场景384.1 异构资源管理384.2 传统向云数据中心转型394.3 管理、运维更高效414.4 自动化服务交付424.5 多数据中心管理424.6 应用快速部署434.7 资源弹性伸缩444.8 混合云存储444.9 开放的API支持46云海云数据中心管理平台技术白皮书1概述浪潮致力于成为中国领先的云计算解决方案供应商,可提供涵盖IaaS,PaaSSaaS三个层面的整体解决方案。凭借浪潮高端服务器、海量存储、
4、云操作系统、信息安全技术为客户打造领先的云基础架构,基于浪潮企业、行业、政务信息化软件、终端产品和解决方案,全面支撑企业云、行业云以及政务云建设。浪潮云海OS-云数据中心管理平台InCloudManager是云数据中心操作系统,基于OPenStaCk架构,面向私有云和混合云市场,提供开放、安全的企业级云数据中心运维管理能力。InCIoUdManager借由自服务的管理POrta1,提供跨基础架构一致性的功能和体验,帮助企业加速云的应用,实现业务的动态变更,资源的智能管理和服务的自动化交付。2InCloudManager设计理念和特点2.1 产品架构InCIoUCIManager遵循模块化、标准
5、化、广泛兼容、自主设计安全可控、智能高效统一管理的设计原则。InCIOUdManager架构具有服务分布式并负载均衡化、基础模块和可选模块自由组合、架构和接口易于扩展等特点。InCloudManager架构如下图所示:图2-1TnCloudManager总体架构InCloudManager由InCloudSecurity组件、InCloudOpenStack组件以及云服务交付iService、云资源调度和管理iResourcescheduler自动化运维!Operation智能监控iMonitor、业务流程iWorkflow、计量计费iCharge主要功能模块构成。各功能组件采用松耦合、模块化
6、设计,产品组件可自由组合,按需部署,降低IT采购成本,同时采用了可扩展性系统设计,便于增值模块开发,可满足用户个性化需求。InCloudOPenStaCk:浪潮OPenStaCk发行版,为客户提供企业级的OpenStack产品和组件。在基于开放架构的InClOUdManager中,InCIoUdOpenStack是InCloudManager的组件之一,客户可根据需要选择部署。InCloudSecurity:借由虚拟化加固、无代理杀毒、数据安全、认证授权、接入安全、数据恢复和数据保护等功能模块,提供全面、多层次的私有云环境安全保护。云服务交付iService:基于基础架构资源,面向平台用户提供
7、多种云资源服务。终端用户科可请多种云服务,基于多租户的管理方式,以云主机、云桌面、云物理机、云存储等服务形式,按需交付云资源。云资源调度与管理iResourceSChedUIer:面向应用提供云基础设施服务和相应的管理服务,通过应用感知、虚拟负载均衡、综合云资源管理与调度确保资源弹性利用,动态交付。自动化运维iOperation:主要提供对数据中心物理资源的管理服务,包括批量的OS、软件部署、配置等高级管理服务,以及提供软件仓库、资产管理功能,实现云数据中心高水平运维自动化。智能监控iMonitor:主要包括对虚拟资源和物理资源的监控,实时监测设备和资源状态,收集运行数据、提供分析告警功能,以
8、及报表服务。业务流程iWorkflow:可根据客户自己的业务实际情况,规划资源审批和使用流程,灵活地定义审批节点和权限满足业务需要。计量计费iCharge:可对组织和个人云资源使用的计量,设置计费规则,实现对组织和最终租户的资源使用精确计费。2.2 最完整的的异构资源管理异构资源涵盖云数据中心的物理资源和虚拟化资源,既支持对通用X86设备和KI、IBM小型机管理;同时又支持多虚拟化平台包括VSPhere、浪潮自研的虚拟化平台、PowerVMXenServerOPenStaCk等。支持标准虚拟交换机和分布式虚拟交换机、提供虚拟网络互联、虚拟网络服务、虚拟防火墙服务。2.3 资源使用弹性伸缩InC
9、loudManager将虚拟计算资源分布按一定的方式自动分布于物理资源上,完成云计算环境下的计算资源整合,实现资源池的动态伸缩。在资源池的基础上,InCloudManager可将服务器物理资源转换成池化的可动态分配的计算单元,从各种业务的具体需求出发,在资源池中划分出适合具体业务需要的服务计算单元,不再受限于物理上的界限,并且可在存储和网络资源间更均匀地平衡I/O负载,从而提高资源的利用率,简化系统管理,让系统对业务需求的变化更具适应力。资源弹性伸缩根据使用目的不同,可分为资源调度、可用性保障。动态资源调度。InClOUdManager拥有完善的调度策略与学习机制,自动发现与应用虚拟资源和物理
10、资源间的关联关系;根据物理资源的负载、性能度、业务关联度等指标,在业务不中断的前提下增加或减少物理资源,并自动调整虚拟资源在物理资源上的分布,实现负载均衡。业务连续性保障。InCloudManager自动发现设备异常、人为误操作、周围环境变化等信息,基于资源冗余思想和虚拟机迁移技术进行必要的HA、容错处理,使系统具有极高的可靠性。2.4 IT能力按需交付InCloudManagCr将用户的IT基础设施(如:服务器、共享存储)进行统一管控、形成资源池,由云数据中心管理平台的调度系统统一协调。管理者可根据实际需要,为云资源用户分配使用配额,云资源用户只需要通过web界面提交请求,ICM会依据设定的
11、规则为用户提供合适的虚拟资源。ICM可以智能交付的IT能力包括: 计算能力(虚拟机):云数据中心管理平台可在几分钟内完成用户定制的虚拟机实例的创建;同时可以提供一组虚拟机实例,比如论坛、博客模板。可对外提供云主机、云物理机、云桌面等服务 存储能力:计算能力的存储不再受本地硬盘的限制,云平台可以根据需求在数十秒的时间内交付一个拥有数百G容量的块存储设备。交付容量上取决于整个数据中心的共享容量。同时提供二级存储,用于存储用户的ISO、模板镜像,提高静态模板的读取速度。同时可对外提供云盘服务 网络能力:提供丰富的网络拓扑结构、简单模式、路由模式、内部网络模式,满足用户搭建局域网的需求。路由模式提供D
12、NS、NAT、DHCP、端口映射、VLAN、虚拟防火墙等网络服务。 监控能力:可为云租户提供基础设施、操作系统、中间件、数据库、软件等云监控服务。2.5 自定义业务流程基于InCloudManager的处理逻辑和对云资源调配中各种业务逻辑的抽象概括,我们实现了业务审批模块的工作流元模型,实现了审批流程节点、节点类型和角色类型及其之间相互联系的自定义逻辑处理。基于该元模型,用户可以自定义和配置审批流程涉及的参与角色、审批环节和处理逻辑,实现了业务流程的自定义化处理,帮助用户将原有业务流程快速迁移到云上;支持根据业务情况,灵活添加剂修改审批节点,满足合规性需要;同时,实现订单历史全程可追溯,各审批
13、环节实时提醒。2.6 最智能的自动化运维InCloudManager的运维管理功能提供服务器自动化功能及常用的运维管理功能。主要特点如下: 规避带内带外的限制,实现服务器固件的批量升级配置(BlOS升级及RIAD配置); 基于PXE,实现服务器系统软件批量部署功能,支持Linux、ESXi、XenServerInCloudSphere等; 基于无代理的软件自动化功能,无需部署agent,实现LirIUX系统软件批量部署、文件分发、远程命令等功能,并且可以进行部署任务的编排组织,实现软件部署的自动化; 提供数据中心资产和软件统一管理功能 提供ICM4.0统一故障管理与报表输出功能。自动化运维图2
14、-2自动运维功能架构2.7 最精细的监控管理云数据中心网络中分布的资源具有种类多、性能差异大、平台异构和自治等特点,浪潮InCIOUdManager提供对大规模基础资源有效、统一的全局监控管理: 支持对不同厂商、不同架构、不同形态(虚拟或物理)的基础硬件资源进行资产管理、状态监控和性能监控;涵盖计算(物理计算资源和虚拟计算资源)、存储(本地存储、共享存储、分布式存储)、网络(网络设备、IP资源)三大类资源;提供丰富的监控项类型,包括可以查看当前计算机CPU、内存、硬盘等的利用率,可以查看网络流量、磁盘I/O、进程数。 支持对异构的基础软件资源进行资产管理、状态监控和性能监控;支持对Linux/
15、Unix以及Windows操作系统的监控,查看当前的进程与服务信息;支持对TomcatIISnApache等应用服务器,以及SQLSerVer、MySq1、Oracle等数据库服务器的监控。 支持在系统硬件、负载出现异常时触发报警,提醒用户及时维护问题设备;对基础软硬件资源的CPU、内存、硬盘等的负载和网络流量进行长期的统计分析,为高层次的资源调度提供决策依据。通过对监控数据的分析,对云数据中心资源管理系统的其他高级功能(如负载均衡、故障恢复等)进行数据支持,有效保证应用的连续性及快速响应。图2-3全局监控示意图2.8 快速服务交付软件仓库可实现数据库、Web应用、中间件等服务的快速交付;业务
16、上线时间由原来的几周、几天,缩短为几分钟,大大提高数据中心的服务水平。在传统数据中心环境下,系统上线时要进行准备硬件、调试网络、安装操作系统、配置中间件、配置数据库、部署应用软件包等一系列复杂操作,费时耗力,并且人工操作可能带来的上线失败风险。IrlClOUdManager能够对业务系统提出的建设需求做到快速响应、快速部署,大量减轻运维负担,部署更新工作时间由原来数天或数星期缩短为只需几分钟即可完成。在IrICIoUdManager环境下,通过将已有的虚拟机保存为模板,可以快速在一台或多台物理服务器上部署与该虚拟机相同的虚拟机,部署过后的虚拟机拥有与模板虚拟机相同的硬件配置和相同的应用软件部署
17、。该过程可以在多台物理服务器上同时进行,降低部署时间。该过程的示意图如下图所示,用户只需要根据运行环境需求(如操作系统、中间件、数据库、应用)选择相应的系统ISO镜像、虚拟机模板或VAPP模板,InCloudManager会自动、快速完成安装、部署和配物理服务器1物理服务器2图2-4虚拟机快速部署示意图在系统出现服务器宕机、负载变化等情况下,无需11人员参与,只需要再次选择相应的系统ISO镜像、vAPP模板或虚拟机模板即可快速实现业务连续性和负载均衡。2.9 安全可靠InCloudManager为浪潮全自主研发,加强了Web安全、虚拟化安全、数据安全、访问控制、安全审计和多租户资源安全隔离等方
18、面的安全控制功能;通过安全部计算机信息系统安全产品质量监督检验中心检测、符合信息安全技术云操作系统安全检验要求,取得计算机信息系统安全专用产品销售许可证,是国家认可的安全云操作系统,可帮助用户构建安全可控的云数据中心;集成第三方安全模块,支持底层无代理防护,实现从操作系统到应用层面的三层防.御,最大程度保障数据中心的安全性;InCloudManager还集成了浪潮的SSA、SSC等安全产品,可以实现对数据中心资源的统一安全管控。2.10 灵活的服务编排InCloudManager以负载均衡器(基于HAPrOXy或浪潮SSA设备)为基础,将相同业务组合起来定义为弹性节点池。基于后台定时监控程序,
19、当检测到业务的负载(平均CPU、平均内存、平均磁盘读写、平均连接数)持续大于设定阈值时,自动扩充应用节点(包括节点创建、开启、唤醒),实现业务的负载均衡,防止业务卡顿或宕机。当检测到负载持续小于设定阈值时,自动减少应用节点(包括节点删除、关闭、休眠),节省系统资源。图2-6基于业务感知的弹性节点管理2.11 基于业务感知的弹性节点管理业务图2-6基于业务感知的弹性节点管理InCloudManager以负载均衡器为基础,将相同业务组合起来定义为弹性节点池。基于后台定时监控程序,当检测到业务的负载(平均CPU、平均内存、平均连接数)持续大于设定阈值时,自动将关闭的虚拟机开机,实现业务的负载均衡,防
20、止业务卡顿或宕机。当检测到负载持续小于设定阈值时,自动关闭空闲虚拟机,节省系统资源。2.12 兼容OPenStaCkOpenStack作为非常成功的一个开源云计算管理平台项目,可用于构建公有云和私有云,具有大规模扩展、接口丰富、操作标准统一的特点。云海秉承开放兼容的理念,为客户提供最易用和最适用的云管理平台,实现对OPenStaCk的集成。对OpenStack核心组件KeyStoneNoVa、CinderGlanceNeutron进行集成,对OPenStaCk的虚拟机、模板、镜像、网络进行统一管理,同时对OPenStaCk中资源增加流程审批功能,具有审批要求的业务场景。3云海技术特色3.1 多
21、虚拟化平台管理InCloudManager支持多种虚拟化平台,并具有扩展性。用户可以根据自己的需求,自定义选择适应自己的虚拟化平台。通过ICM可以对不同的虚拟化平台进行统一的管理。图37多虚拟化统一管理技术同步B驾InCloudManager通过增加灵活的适配层,达到对不同虚拟化平台进行统一管理的功能。适配层主要包括ServerResource和Hypervisor两个适配模块。ServerResource主要负责不同虚拟化资源类的适配,屏蔽掉虚拟化类型的区别,以统一的方式对虚拟化资源(计算、存储、网络)进行操作;HyPerViSOr主要负责HyPerViSor层的适配工作,将不同HyPerV
22、iSor以统一的方式获取、下达;由于适配层采用了抽象模式,故具有灵活的高扩展性,方便后期虚拟化类型的添加。如下图所示:图3-2多虚拟化适配方式同时,InCIoUdManager重新定义了虚拟化资源的逻辑组织结构。提高在虚拟基础架构每个级别上的集中控制和可见性,通过主动管理,利用标准化和自动化来最有效地利用虚拟化技术的灵活性,充分发挥云计算潜能。通过虚拟控制中心-集群-虚拟数据中心-虚拟应用服务-虚拟资源的逻辑结构,重新整合不同类型的虚拟化资源,更适合中国数据中心用户的使用习惯,管理更加方便高效。3.2 SDN软件定义的网络浪潮InCIoUdManager支持多种网络模型,包括简单网络和高级网络
23、模型。目前可支持VMWareSDN方案NSX,提供划分VXIan子网、配置逻辑交换机、为虚拟机配置SDN网络等功能。InCloudManager在可扩展开放路由平台(XORP)基础上,研发设计了虚拟路由功能,支持硬件路由器具有的所有功能。该虚拟路由可供公开审查及检查代码中潜在的错误及漏洞,从而具有更安全的产品特性。 软件定义网络。独立于异构网络环境之上,构建软件定义的网络服务,增强安全、隔离、访问控制等网络功能。 简化网络逻辑。整合现有网络资源,简化网络流程。 可视化配置。全面引入图形化的可视引导界面,将复杂的网络配置化繁为简。控制层Rest API ServerddControllerttg
24、l网络服务国IIHS闰端口映射I鼠巨 田峥态路由IDHCP就件定义的网咯5pen vSwftchJ5SInspur (Virtual标准/分柘式交换机VMware ESXI詈箍大12层更辑VSWitChVXlaryVIan隔离虚拟如豆图3-3 L2之上的软件定义网络如下图所示,虚拟网络由底向上划分为虚拟化层、网络业务层、网络服务层三层。其中: 虚拟化层主要进行虚拟化底层适配,处理vlan/vxlan,端口组/逻辑交换机、集群、宿主机之间的关系; 网络业务层主要处理虚拟网络、IP池、端口组、组织之间的关系。依托虚拟化层和网络业务层,实现网络架构跨集群、跨虚拟化;网络服务层主要处理基于OPenSt
25、ack、NSX、vyatta之上的高级网络服务,其中不同的方案鉴于方案的能力本身,可提供的服务不尽相同。Vyatta可提供路由、防火墙、DHCP、NAT等服务;OPenStaCk提供安全组、路由、NATDHCP等服务;NSX目前版本仅实现安全组功能,后续高级功能待开发。网络服务层 openstack OVyATTA9 IP池Ck端口组VMWare 端口组OpenStc集群OpenStackMg?VMWare集群vmwareNSX网络业务层虚拟化层图3-4网络架构示意图1.2网络管理;虚拟化适配器VCUnlerXenSenerICSOpenStack图3-5虚拟网络功能管理示意图网络管理的逻辑,
26、可以大体分为以上八大部分。其中: 数据采集模块进行定时的网络信息采集与同步; 公共模块完成消息处理、数据库管理、异常处理等基础功能; 1.2网络管理通过虚拟化适配器,实现对各虚拟化环境的APl调用,统一适配虚拟化环境的L2虚拟交换机; 端口组管理统一整合虚拟交换机上的端口组,实现端口组与vlan/vxlan的配置; IP池实现系统内所有虚拟机的IP子网规划; 虚拟网络基于端口组、IP池,为组织、租户提供网络服务; 虚拟路由器在虚拟网络之上,构建L3路由网络,提供DHCP、NAT、防火墙、路由等高级网络服务。321简单网络简单网络类似于AWS的扁平网络模式,适合大规模扩展,所有VM部署,图下图所
27、示。 类似于AWS的扁平网络模式,适合大规模扩展; 不同账户的虚拟机部署在同一子网中; 虚拟路由提供DHCP服务。192.168.1.101VM192.168.1.102192.168.1.103192.168.1.100图3-6简单网络322高级网络路由网络是通过虚拟路由器,提供诸如网关、NAT、端口转发、静态路由、防火墙等更为高级的网络功能,从而实现更为复杂的网络应用。如下图所示。通过Vian、Vxlan或虚拟防火墙进行账户间的隔离;虚拟路由可提供更多的网络服务(NAT、端口转发等);同一虚拟机可支持连入多个网络,可更加灵活部署。GatewayNAT(SourceStatic)PortFo
28、rward图3-7高级网络323负载均衡与基于业务感知的弹性节点管理负载均衡建立在现有网络结构之上,它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。InCIOUdManager通过管理一个或多个虚拟负载均衡设备(基于HAProxy或浪潮SSA设备),实现业务级别的负载均衡功能。图3-8业务感知流程图每个负载均衡规则下可以添加多个虚拟机,并对外暴露一个虚拟IP。外界用户通过访问虚拟IP,动态访问负载均衡规则中的虚拟机的IP(IPlIPn)o基于定时监控程序,当检测到业务的负载(平均CPU、平均内存、平均磁盘读写、平均连接数)持
29、续大于设定阈值时,自动扩充应用节点(包括节点创建、开启、唤醒),实现业务的负载均衡,防止业务卡顿或宕机。当检测到负载持续低于设定阈值时,自动减少应用节点(包括节点删除、关闭、休眠),节省系统资源。3.3 多维度资源监控与管理IrICloUdManager通过提供全面、统一、多维度的管理监控子系统,管理监控数据中心中各类海量异构资源,包括服务器、存储、网络设备等硬件资源,各种操作系统、数据库、虚拟资源等软件资源;并且能够发现故障产生告警,有效提高响应速度,节省运维成本。监控管理子系统可监控大规模数据中心,支持分布式部署,支持异构平台,提供丰富的监控项类型,包括:CPU使用率、CPU负载、内存使用
30、率、网络流量、磁盘空间使用率、进程状态、进程数等。支持对LirmX/Unix服务器以及WindoWS服务器的监控。通过对监控数据的分析,对云资源管理平台的其他高级功能进行数据支持,进行负载均衡,有效保证应用的连续性及快速响应。其总体架构如下图所示:图3-9监控管理总体架构监控管理子系统充分考虑系统扩展性、性能、稳定等因素,具有明显的技术特色:以监控平台为核心,精细化、细粒度监测项监控数据采集,分布式监控架构、插件化适配层、主动轮询检测、资源类型可扩展、智能的业务监控和故障分析、全面的硬件监控。3.3.1 分布式监控架构监控管理子系统根据其管理的服务器节点规模,智能的增加数据处理与采集层的组件个
31、数,并使每个组件只服务于特定数量的服务器采集处理,该特定数量是根据单线程在不影响系统性能,能够采集处理的最大服务器数。这种分布式的监控架构,在保证监控性能的基础上,最大化地提高了可扩展性。如下图所示:监控核心主动则层采主 fflm3襁云:西曰函旋:SNMP/1HWMIrCPKMPMTFTP*M被动鼓搪接收n主控单分布式1分布式“图3-10分布式监控架构3.3.2 插件化适配层监控管理子系统对监控的数据采集采用统一的接口,实现了不同协议,如IPMI,SNMP协议,并且允许自定义插件对统一的接口进行扩展,如果有其他用于获取监控数据的更优化协议,或者需要继承第三方接口,都可以在该多模式兼容适配器下做
32、到无缝集成,而不必对现有的架构做出大的调整。该平台还对应用级别的监控进行了模拟实现,即模拟访问,针对Web应用采用模拟http请求提交方式获取相关监控数据,针对数据库应用采用模拟客户端提交sql请求的方式获取相关监控数据。以监控插件为核心的大规模、细粒度、高精度的监控系统。大规模监控数据处理和分布式监控,可管理数千台服务器,数万个监控器,延时不到1分钟。采用监控插件方式,可扩展更多的监控项,目前支持硬件、软件九大类,260多个监控项,提供对数据中心全面的监控。如下图所示:图3-11可扩展的适配框架3.3.3 双重过滤的告警通知设计在监控管理子系统中,使用双重过滤的告警通知模型。超细粒度的告警信
33、息收集,以资源的监测项(最小监测单位)为基础进行告警信息收集。有效实用的资源告警方式,发送的告警为以资源为单位过滤后的告警,解决了告警泛滥、告警不准确的问题。图3-12双重过滤的告警通知模型3.3.4 资源类型可扩展通过配置文件,实现监控资源类型灵活扩展。无需修改架构和代码,可实现多种类型资源的监控管理。监控数据采集预设的 资源类型数据采 集方式*本信息初始化监控插件初始化监测项扩展的资源类型SNMP/IPMVWMI/TCP/.HTTP/SSH/模拟访问对应的 资源配置扩展类型丰富的监测项图3-13可扩展的资源类型3.3.5 智能的业务监控和故障分析根据业务所包含资源的关联关系生成直观的业务拓
34、扑,可更加直观的进行业务监控。以业务中的资源集合为单位进行智能的业务监控和健康状况分析,实时进行业务根本故障原因告警。mysqllweblAtesysltomcatl图3-14业务监控拓扑通过对监控数据进行智能的分析、预测,结合成熟的故障分析策略,实现对故障的准确分析。StiB的故用13#分析夕护产科夕夕谷3会W图3-15故障分析3.3.6 自主研发的带内的AgentAgent是监控管理功能的一种扩展形式,解决管理监控功能通过SNMP协议和IPMI协议无法监控的部分硬件部件和软件应用的问题。丰富了可监控资源的类型和监控项的种类,而且使告警方式的多样化,提升了监控管理功能的性能,增强了监控管理子
35、系统的稳定性。图3-16Agent设计3.3.7 巡检管理巡检是在机房正常使用的过程中对机房软硬件设施进行的定期或随机流动性的检验。目的是能及时发现机房使用过程中产生的问题。云海OS巡检管理模块能够在资源智能监控的基础上实现云数据中心资源的定期自动化巡检。系统允许用户自定义巡检报告,并根据用户指定的时间周期定期执行资源巡检任务,将巡检结果自动生成巡检报告并自动发送给相应的运维人员。大大提高巡检效率的同时为用户节省了大量的时间、人力成本。APl层资源监控层基础米源层好同尉0Rn瀛F境服务器主机数据库服分器Web脱势器网络设备其他软件图3-17巡检管理技术架构3.4 精细化计费管理计费管理实现的体
36、系结构分为业务逻辑层、业务支撑层与数据支撑层,各个分层间接口松耦合,在计费系统实现上简单灵活易维护;在计费业务上针对组织等级、资源等级、优惠信息、单价等信息进行建模,能够精确合理的计费各类IT资源,如CPU,内存,存储等,形成了精细化的计费管理系统。计费管理采用即付即用的计费策略模型,即使用多少计算多少的方式对租户使用的云资源进行计费,根据筛选的计费信息,资源单价、折扣率等计算租户使用的云资源账单,及时出账,以方便租户账单查询。同时,账单产生后要求在一个可容忍的时间内进行销账,对于余额低的租户,及时提醒用户进行充值。业务逻辑销账业务支撑短信告警 邮件告警欠费处理费息选 计信精单价设置优设置源级
37、5 资等工数据支撑图3-4计费体系结构信息统计3.5 灵活的可自定义的业务审批流程基于云数据中心管理平台的处理逻辑和对云资源调配中各种业务逻辑的抽象概括,我们实现了业务审批模块的工作流元模型,实现了审批流程节点、节点类型和角色类型及其之间相互联系的自定义逻辑处理。基于该元模型,用户可以自定义和配置审批流程涉及的参与角色、审批环节和处理逻辑,实现了业务流程的自定义化处理,高效的集成在整个云数据中心管理平台中。该元模型实现了一个完善强大的引擎内核,可完美的执行定义的工作流配置,鉴于其灵活性,其能把现有的组织,角色等信息进行集成,扩展系统现有的工作流规则配置,根据现实业务的变化简单灵活的扩展业务逻辑
38、实现,自动化驱动流程处理的资源对象的状态变化。图3-5业务审批模块的工作流元模型 业务审批模块使得InCloudManager中的资源能够更加合理的被分配,保证资源分配的有效性与及时性。 当用户申请某类资源的时候,会按事先配置的流程进行流转,会及时通过邮件的方式通知上级审批人进行审批。流程可自定义创建,修改,非常灵活,在流程上的审批节点可以是一层审批,也可以是层层审批,一直到最终资源的分配,并通过邮件通知申请人。 业务审批流程的电子化提高了工作效率,并且随时可查已申请的历史记录,使管理员对整个InClOUdManager的运维管理更加方便。3.6 适合多租户的灵活用户管理体系用户管理体系使各个
39、用户职责权限清晰分明,系统功能划分简洁高效,系统管理员把有限的权限下放给组织管理员,使其可更好的维护管理基础设施,避免因繁琐的用户资源申请导致的ICM服务效率低下。系统管理员侧重基础设施层面的物理资源管理与整合。组织管理员侧重虚拟VDC,虚拟网络,虚拟存储层面上的虚拟资源管理与整合,向系统管理员申请虚拟资源映射的物理资源,并负责根据用户申请分配虚拟资源。普通用户侧重于通过自助服务门户按需索取资源的功能。图3-20灵活用户管理体系海数申管平台 云云据心理白3.7 细粒度的角色权限访问控制InCloudManager的角色控制是在RBAC的基础上的,首先由默认角色和自定义角色为主线,进行权限级别的
40、控制。自定义角色是以组织管理员角色为基础权限集合,通过权限分配“树”的勾选,实现所有可选权限的有效控制和细粒度的分配。同时,也实现了权限和角色多对多的控制和操作不同角色,不同权限分配,多对多前台页面通过对表JSON数据快速引导计算,把权限序列加载到页面树状结构中。根据不通的角色类型,可以引导出不通的权限集合树。通过对权限的勾选,可以实现对不同角色进行权限定义、修改、删除和查询及重定义。图3-6RBAC示意图InCIOUdManager的默认角色分为系统管理员、组织用户、组织管理员。系统管理员负责数据中心的所有资源的管理监控和分配。组织用户是具体的资源的实际应用者。组织管理员是对组织内所有资源的
41、持有者。可以向系统管理员申请资源,也可以把当前的资源下放给组织用户。RestApi接口与权限“多对一”角色与权限多对多对应之后,RestApi的接口通过配置文件也与权限形成多对一的对应,并把对应关系以关系对应的形式放置在权限认证组件内存中。由此,对于不同的用户发送的请求,我们通过其角色所拥有的权限,同时对照权限所对应的Api集合,实现对权限的细粒度的精确的控制。对于非法的请求,以及危机网络安全的黑客攻击,具有防范效果。InCIoudManager通过接口对应监控机制,做到安全同时有效的细粒度的角色权限访问控制。图3-7角色分配3.8 先进的自动化运维3.8.1 基于无代理的应用软件的自动化技术
42、管理节点与部署节点之间基于SSH无代理通信方式,高效、安全、可靠。采用业界领先的节点认证技术,可灵活配置认证用户。自主设计了大规模任务管理技术,支持任务的编排、管理,可并发部署上千台集结点,支持源+软件包的部署方式,灵活稳定。批量管理节点管理远程命令软件部署2JBk L Admin. https管理Ul任务管理j 任务管理任务执行Restfu APIPlaybooks管理中心CaHBaCk组件MySql图3-23应用软件自动化技术架构图部署节点砺节点部署节点382基于内存OS的服务器固件批量配置技术基于内存OS(一种启动后不依赖硬盘的操作系统)的服务器固件批量配置技术,主要依赖PXE远程批量加
43、载文件的功能。通过定制能设计实现服务器固件配置的内存0S,通过PXE远程引导加载的功能,在服务器内存中加载一个微型系统,此系统在加载完成后自动从SerVer端获取固件配置的相关文件、工具及配置的脚本,实现固件的配置功能。ICM图3-24基于内存OS的固件配置技术框架3.8.3 基于标准CMDB的资产配置架构基于标准CMDB的资产配置管理,全方位、精细的资产监控管理,支持多达100多种资产管理,资产类型可自由扩展,灵活方便。监控管理门户资产管理APl发现删除导出维护日志计 统告警统计告警通知资产监控插件基于CMDB的资产配置监控核心各种硬件资产、软件资产及其他资产图3-25基于标准CMDB的资产
44、配置架构设计3.9 应用软件的快速部署InCloudManager抽取大量模板中都会有的操作系统,把操作系统与应用软件进行松耦合操作,在操作系统层面实现代理程序,实现软件应用的灵活组合。企业级应用软件的安装也进行了改进,用户或者管理员在申请虚拟机时,可连带需要的应用软件一同勾选,后续的应用软件安装对用户来说是透明的通过操作系统平台与应用软件的解绑设计,使得同一操作系统类型的模板,只保留一个通用模板即可,维护上减少了工作量,并且释放了大量的存储空间。在通用模板里安装代理程序,使得该通用模板创建的虚拟机可以任意组合要安装的应用软件,相比传统的模板要更加的灵活。3-8应用软件自动部署流程示意图3.1
45、0 全方位的高可用设计InCloudManager采用全方位的高可用设计。系统从上往下考虑多每层的高可用,包括WEB应用,云服务端的高可用,数据库高可用以及存储的高可用。整个系统实现了无状态设计,保证了系统数据的完整性以及系统的稳定性。N11 ”.1 -育,-Tj7vq白二;主负载均衡(HaProxy)(主)负载均衡(HaPrOy)(备)Ol负载均衡(HaPrOXy)(主)主节点备节点-TJA-,缪笆.Gr:朝e 服务同步(COrOSyOroSY数据库集群MyS/主节点I分布式存储I I分布式存储I I网络高可用I I网络高可用I备节点回:上官后I负载均衡(H叩roxy)(备)审机服T, J
46、务.图3-21高可用设计3.11 多维度云操作系统安全体系InCloudManager的安全体系,主要包括八大模块:接入安全、访问控制、数据安全、物理资源安全、虚拟资源安全、通信安全、审计和系统安全,模块间相互控制和配合,从而形成一个完整高效的云操作系统安全模型,如下图所示。云平台安全程架接入层安全支毋性安全物理凌源层安全存储图3-22多维度安全体系云服务是一种基于Web的服务模式,同时相关管理工作也通过Web方式来管理。因此,web安全包括Web应用系统本身的安全和Web内容安全。一是利用Web应用漏洞(如SQL注入、跨站脚本漏洞、目录遍历漏洞、敏感信息泄露等漏洞)获取用户信息、损害应用程序,以及得到Web服务器的控制权限等;二是内容安全,即利用漏洞篡改网页内容,植入恶意代码,传播不正
