書目

1、項目概述.................................................3

2、項目建設規劃..............................................6

2?1、建設原則...............................................6

2.2、項目建設內容、思路與技術規劃...........................7

2.3、技術架構和路途介紹.....................................9

2.3?1、資源池化............................................9

2.3.2>智能化云管理.......................................10

3、私有云總體建設方案.......................................12

3?1、建設原則..............................................12

3.2、總體設計方案..........................................14

3.2.1、邏輯架構...........................................14

3.2?2、網絡架構（假設）....................................15

3.3、云管理平臺設計........................................17

3.3.K云管理平臺系統架構.................................17

3.3.2、管理平臺功.............???????????20

3.3?3、云管理平臺設計...................................29

3.4、虛擬化設計............................................35

3.4.1、服務器虛擬化.......................................35

3.4.2、桌面虛擬化.........................................36

3.5、平安設計..............................................40

3.6、計算資源池設計........................................43

3.6.1、計算資源池技術路途.................................43

3.6?2、計算資源池設計.....................................45

3.7、存儲資源池設計........................................46

3.7?1、存儲資源池技術路途.................................46

3.7.2、存儲資源池.........................................48

3.8、應用遷移與現有設備利舊................................49

3.8?1、應用遷移...........................................50

3.8.2、設備利舊...........................................51

1、項目概述

云計算是一種IT資源的交付和運用模式，指通過網絡（包括互聯網

Internet和企業內部網Intranet）以按需、易擴展的方式獲得所需的軟件、

應用平臺、與基礎設施等資源。云計算具有資源池化、彈性擴展、自助服

務、按需付費、寬帶接入等關鍵特征。

從部署和應用模式來講，云計算分為公有云、私有云和混合云等。

云計算從服務模式上來講主要包括基礎設施即服務（laaS）、平臺即

服務（PaaS）、軟件即服務（SaaS）等內容。

laaS是Infrastructure-as-a-Service（基礎設施即服務）的建成，

云計算中心可運用laaS的模式將其資源供應應客戶，通過虛擬化技術，

虛擬數據中心可以將相應的物理資源虛擬為多個虛擬的數據中心，從而在

用戶一端看到一個個獨立的，完整的數據中心（虛擬的），這些虛擬數據

中心可以由用戶發起申請和維護，同時，這些虛擬數據中心還具有不同的

資源占用級別，從而保證不同的用戶具有不一樣的資源運用優先級。

PaaS是Platform-as?a-Service（平臺即服務）的簡稱，PaaS能給客

戶帶來更敏捷、更特性化的服務，這包括但不僅限于中間件作為服務、消

息傳遞作為服務、集成作為服務、信息作為服務、連接性作為服務等。此

處的服務主要是為了支持應用程序。這些應用程序可以運行在云中，并且

可以運行在更加傳統的企業數據中心中。為了實現云內所需的可擴展性，

此處供應的不同服務常常被虛擬化。PaaS廠商也吸引軟件開發商在PaaS

平臺上開發、運行并銷售在線軟件。

SaaS是Software-as-a-Service(軟件即服務)的簡稱，一種通過

Internet供應軟件的模式，廠商將應用軟件統一部署在自己的服務器上，

客戶可以依據自己實際需求，通過互聯網向廠商定購所需的應用軟件服

務，按定購的服務多少和時間長短向廠商支付費用，并通過互聯網獲得廠

商供應的服務。

本次項目為的私有云項目，目標為搭建完成一個面對于內部運

用的私有云環境，將各應用系統移植到該私有云上，實現資源的有效利用、

動態安排、敏捷擴展和統一管理。

本方案的寫作目的為明確建設所需資源、實現步驟與最終呈現.本方

案落地實施后，將完成以下幾方面任務：

(1)打破IT資源孤立狀況，提高資源利用率

?各業務系統擁有獨立的硬件設施被統一管理,形成大的資源池;

令資源被統一調度，打破同一時段，某些業務系統較空閑造成資

源閑置，另外一些系統因業務繁忙，設備超負荷工作的現狀；

令任何時候都可以與時滿意各種變更的業務需求，實現按需服務。

(2)使運維管理更加簡潔

令隨著系統數量的不斷增長，運維管理的難度比傳統模式簡潔，

成本更低；

?新平臺使得對各種資源和系統的監控和管理更加有效；

令維護人員工作負擔減小，工作效率有效提高。

(3)提升關鍵業務系統硬件處理實力

令業務應用在遇到性能瓶頸時能動態調整；

?核心業務系統建設較早的設備，在云計算支撐平臺上能夠得到

充分利用，以滿意快速增長的業務需求

2、項目建設規劃

2.1、建設原則

項目建設遵循如下幾個原則：

（1）自主可控原則

本次的建設建議采納自主可控技術搭建私有云。在產品的選擇上盡

量選擇國產品牌或者開源可控系統，保障私有云信息平安。

（2）開放原則

云計算的優勢是高性價比，其核心是遵循開放技術路途并大量采納

通用技術替代專有技術如Unix,這一點Google、Amazon等云計算供應

商已經證明。云計算建設應遵循開放技術路途，降低投入成本，避開形成

對于供應商的鎖定。

（3）按部就班原則

云計算的建設不是一蹴而就，應按部就班。在本次建設中，應當本

著符合運用來限制規模，假如后續仍舊有業務系統須要遷移，可以利用云

計算的課擴展性，逐步完成擴展。

（4）統一規劃和分布實施原則

本項目的建設須要通過建設統一的頂層框架，統一規劃、統一實施

和統一管理，保證項目依據進度、按安排建設。

（5）先進性原則

本項目的建設，要求技術具有先進性，并保證在將來一段時間內具

有先進性和擴展性。

2.2、項目建設內容、思路與技術規劃

云計算項目的建設是一個按部就班的過程，須要依據步驟有組織有安

排的推動，逐步實現建設目標。

具體的建設內容包括：

（1）搭建私有云，滿意基礎設施支撐實力需求

采納云計算的最新技術，包括虛擬化技術、設備資源池化技術、分布

式并行存儲技術、存儲虛擬化技術、自動運維技術、平安技術，用軟件整

合、調度硬件資源，建設具有良好彈性、擴展性、平安性、高牢靠、綠色

節能、自主可控的私有云，滿意業務系統整合、托管、遷移、運營和運維

的需求。

?良好的伸縮性，支撐實力隨業務變更便捷擴展

云計算架構具有良好的伸縮性，系統的規劃能夠滿意近期業務和資

源庫快速增長的須要，同時云計算中心具備了良好的擴展性能，能夠隨著

業務的快速增長而擴展，能夠實現不停機的狀況下，在線增加系統的存儲、

計算資源，變更基礎設施支撐實力有限的局面，為業務的增長或變更供應

快速響應，實現業務靈敏。

?運營的易管理和易操作性，降低運維壓力

通過云管理平臺，能夠對云計算中心的服務器設備、存儲設備和網絡

設備以統一的視圖進行管理。云管理平臺支持基于策略管理手段，將固定

的操作以系統運維策略的方式進行固化管理，一方面實現運維的規范化，

降低人為操作錯誤的發生，另一方面降低運維的壓力，使得更少的運維人

員保障業務系統的持續運營。

?高可用性，故障不再影響業務的連續性

云計算環境下，硬件故障將成為不行避開的現象。因而私有云的設計

是基于不行靠硬件保障業務系統的連續性的理念進行設計，也即在硬件發

生故障的狀況下，也能保障業務系統的連續運轉。

■服務器的高可用：虛擬化技術保證虛擬服務器之間的高可用，

即使服務器發生故障，支撐業務系統運行的虛擬機能夠快速遷

移到運轉良好的服務器上，保證業務系統不中斷。

■存儲的高可用：采納熱備方式，即使在一個存儲節點發生故障

的狀況下，保證業務系統的運行不受影響，同時也能夠快速的

重建故障節點。

?業務連續性，保證任何時候業務系統的可用性

業務系統遷移到私有云上，能夠充分利用云基礎架構的動態負載均衡

與高可用特性保證業務的連續性。一方面保證業務系統的壓力動態的分不

到不同的支撐服務器上，另一方面，保障業務系統部分節點在出現故障的

狀況下，利用高可用特性保證業務的不中斷。

?信息系統彈性，降低突發事務的影響

由于突發事務的不確定性，進而會導致業務系統的訪問量有突發性特

征，這對基礎設施的支撐實力提出了更高的要求，否則突發事務往往導致

業務系統的癱瘓。將業務系統部署到私有云上，業務系統有突發的高并發

訪問時，云管理平臺將會自動將閑置的計算資源調配給相關業務系統，從

而大幅提升業務系統的支撐實力。

?平安性

私有云系統不僅可以接管傳統信息系統的一切平安設備和措施，而且

可以通過云管理平臺進行統一的管理。針對云計算中的虛擬化資源，云管

理平臺通過虛擬防火墻，VPN,VLAN,負載均衡等技術，有效的保障了虛

擬化資源的平安性

2.3、技術架構和路途介紹

在私有云建設中基本可以分為三大部分：資源池化、智能化云管理等。

2.3.1、資源池化

資源池化就是將計算資源、存儲資源、網絡資源通過虛擬化技術，將

構成相應資源的眾多物理設備組合成一個整體，形成相應的計算資源池、

存儲資源池、網絡資源池，供應應上層應用軟件。

資源虛擬化是對上層應用屏蔽底層設備或架構的資源封裝手段，是實

現云計算資源池化的重要技術基礎。

虛擬化技術由來已久，所謂虛擬化是相對于物理實體而言的，即將真

實存在的物理實體，通過切分或（和）聚合的封裝手段形成新的表現形態。

聚合封裝是將多個物理實體通過技術手段封裝為單一虛擬映像/實例,

可用于完成某個業務。例如SMP、計算集群（Cluster）、負載均衡集群

(LoadBalance)>RAID技術、虛擬存儲、端口匯聚(porttrunk)>

交換機堆疊(stack)等。

切分封裝是將單個物理實體通過技術手段封裝為多個虛擬映像/實例,

可用于執行不同業務。例如主機虛擬化、存儲分區、虛擬局域網(VLAN)

等。

虛擬化技術的一個重要結果是降低IT架構中部件之間的依靠關系，以

計算虛擬化為例，集群、主機虛擬化等計算虛擬化技術實現了應用軟件與

物理基礎設施解耦。最終的效果是分別了應用軟件與物理基礎設施，解

除或弱化了它們之間的耦合，從而也就減弱了各自的技術發展所受到的相

互限制，拓展了技術發展的空間和敏捷性。

2.3.2.智能化云管理

云計算架構具有laaS、PaaS、SaaS等眾多的服務模型，供應計算服

務、存儲服務、乃至整合各種資源的綜合性服務，其資源的構成更加困難、

規模更加浩大。為了提高易用性和可維護性，各種資源構成之間的關系困

難。在本項目中，主要構建TaaS層。為了保證云計算中心的服務質量，

對于眾多用戶資源配給的調整也要求更精準的、更與時°這些要求已經不

是依靠運維人員的實力所能滿意的，須要采納更加智能化的自適應運維管

理。

云計算中心運維管理要適應云服務對資源管理所提出的新需求，

?緊耦合的資源管理

云計算中心采納資源綜合管理，即將系統中的計算、存儲、網絡等資

源視為整體系統，實施統一管理，這有利于優化整體性能、精確定位問題、

是實現動態資源調度的重要因素。

?多維度的資源管理

云計算中心的資源具有多種視圖，例如物理資源視圖、虛擬資源視圖、

虛擬組織視圖，因此，云管理也應當是多維的。

3、私有云總體建設方案

3.1、建設原則

1）標準化和開放性

系統的標準化和規范化是信息系統建設基本而又關鍵的一步，要實現

信息通訊與共享，必需規范信息技術標準。采納業務內標準的技術體系和

設計方法，使系統最大程度地具備各種層次的平臺無關性和兼容性。在運

用新技術的同時充分考慮技術的國際標準化，嚴格依據國際國內相關標準

設計實施。

2）先進性和超前性

在好用牢靠的前提下，盡可能跟蹤國內外先進的計算機軟硬件技術、

信息技術與網絡通信技術，使系統具有較高的性能價格比，同時建設方案

以實際可接受實力為尺度，避開盲目追求新技術，造成不必要的奢侈。技

術上立足于長遠發展，堅持選用開放性系統，使系統和將來的新技術能平

滑過渡。采納先進的體系結構和技術發展的主流產品，保證整個系統高效

運行。

3）好用性和便利性

系統建設要以滿意需求為首要目標，采納穩定牢靠的成熟技術，保證

系統長期平安運行。系統應用后，的確能為各級業務和管理節點供應一個

智能化的網絡信息環境，以提高管理水平和工作的效率。

4）平安性和保密性

遵循有關信息平安標準，具有切實可行的平安愛護和保密措施，確保

數據永久平安。系統應供應多方式、多層次、多渠道的平安保密措施，防

止各種形式與途徑的非法侵入和機密信息的泄露，保證系統中數據的平

安。

5）穩定性和牢靠性

系統建成并投入運用后，將成為支撐系統平穩運轉的運行平臺和開發

新業務系統的基礎平臺，系統癱瘓的后果是不可思議的。因此系統必需在

成本可以接受的條件下，從系統結構、設計方案、設備選型、廠商的技術

服務與維護響應實力，備件供應實力等方面考慮，使得系統故障發生的可

能性盡可能少，影響盡可能小，對各種可能出現的緊急狀況有應急的工作

方案和對策。

6）跨平臺性和可移植性

由于系統建設的困難性要求，在設計時，要充分考慮系統的跨平臺、

跨系統、跨應用、跨地區性和在各種操作系統、不同的中間件平臺上可移

植。

7）可維護性和可擴展性

要保證系統能在各種操作系統和不同的中間件平臺上移植。系統設計

做到信息內容統一，以便日后的系統維護。在私有云的設計過程中，充分

考慮在將來若干年內的發展趨勢，具有肯定的前瞻性，并充分考慮了系統

升級、擴容、擴充和維護的可行性。

3.2、總體設計方案

3.2.1、邏輯架構

私有云的系統部署邏輯架構如下圖所示:

邏輯架構圖

用于對外供應各種服務的多種類型的虛擬主機節點的集合構成了計

算“資源池”，其不僅實現了基于服務器的CPU、內存、磁盤、I/O等硬

件的虛擬化實現動態管理的“資源池”，同時還可以在各類型虛擬主機所

在的物理服務器之間進行動態的遷移和變更資源。為此要求將各種類型的

物理服務器、存儲、網絡等設備統一為一個邏輯意義上的“計算資源池”,

從而提高資源的利用率，簡化系統管理，實現服務器整合，讓IT對業務

的變更更具適應力。

云管理平臺為用戶供應簡潔、統一的管理平臺，內置豐富的資源管理

與交付功能；云平臺將原本靜態安排的IT基礎設施抽象為可管理、易于

調度、按需安排的資源；運用云平臺可以把資源的實力封裝，對外供應按

需敏捷運用各類IT資源的服務，滿意各種業務的運營。

云管理平臺主要進行系統資源的服務化、實現資源快速部署與按需分

發。借助于云管理平臺，可以構建易于管理、動態高效、敏捷擴展、穩

定牢靠、按需運用的私有云結構。

3.2.2、網絡架構（假設）

私有云網絡架構如下圖所示：

核心交換機

管理服務器

管理服務器：用于云管理平臺管理節點的安裝，負責對私有云的

資源池進行管理、調度和監控。在本期建設中，可以考慮利舊或者是虛擬

機來作為管理服務器節點。

虛擬化服務器：該服務器為若干臺服務器組成的集群，形成計算資源

池。通過虛擬化軟件將物理服務器安裝需求，虛擬出若干臺符合應用需求

的應用虛擬機作為私有云業務的應用負載服務器。各虛擬化資源通過

云管理平臺統一調度、按需安排。假如計算資源池的資源不夠運用，可以

干脆添加服務器，或者采納利舊的方式，無縫擴展資源池。

存儲：該存儲的主要用于虛擬機的數據存儲、業務數據存儲等。依據

業務須要在本次私有云建設中，采納光纖存儲進行通信。本期采納單存儲

的方式，做到滿意數據和業務需求，后期可以考慮雙存儲以HA的方式互

備，保障了整個私有云系統的數據平安。存儲同樣屬于計算資源池的一部

分，由云管理平臺統一納管。

光纖交換機：光纖交換機為服務器與存儲間的通信交換機，選擇

8Gb/s的交換模塊，可以有效保障服務器與存儲間的通信速率。本期采納

兩臺24口8Gb/s光纖交換機（各激活8個口），以主備方式供應光纖網

絡通信。

接入交換機：依據現有的網絡環境和需求，接入交換機選擇兩個

48口的千兆交換機進行通信。以主備的方式，保障網絡平安。

防火墻：接入交換機數據經過防火墻上聯到核心交換機，接入核

心網絡。

3.3、云管理平臺設計

3.3.1、云管理平臺系統架構

云平臺系統的整體架構如下圖所示，系統分為物理資源層、虛擬資源

層、云平臺管理系統層和云計算服務層。

云平臺

管理系統層

系統架構圖

上文提到的服務器資源和存儲資源、網絡資源等構成了物理資源層，

通過虛擬化軟件形成統一的虛擬化資源，并通過云平臺管理系統，將物理

設備和系統資源整合為統一的計算資源池、存儲資源池和網絡資源池，在

此基礎上依據用戶的需求，自動劃分資源，在資源管理平臺和業務服務管

理平臺的支持下，為用戶供應豐富的云服務。

云平臺從運維、運營與用戶三個層面對私有云進行資源管理和運營管

理。

云平臺管理架構圖

云計算管理平臺是一個用來創建云基礎架構（laaS）的平臺。云計算

管理平臺允許企業在公司內部設立一個服務于企業自身的私有云。當前

VMWare,Citrix和Microsoft供應的虛擬化平臺主要幫助企業的IT人員

可以像以前管理物理機一樣管理他們的虛擬機。而云計算管理平臺是幫助

非IT人員能夠通過自服務的方式運用虛擬機服務。

云計算管理平臺包含管理服務器以與業界標準的虛擬化軟件（如

XenServer,Vsphere,KVM等）的擴展。管理服務器可以部署在一臺服

務器或一組服務器集群上。管理服務器對全部節點上的資源進行統一管理

并供應web接口給管理員和用戶，使他們可以對權限內的資源進行訪問和

操作。

云管理平臺統將要實現的目標包括：

1.對本項目建設物理資源、網絡資源和虛擬資源，進行統一的管理；

2.由于不同的應用資源，處于不同的內網或外網條件下，建設的云管

理平臺可以跨網絡管理；

3.納管已有的物理資源和網絡資源，本次實施以試驗的方式，先納管

部分資源，依據運用狀況，漸漸將全部物理資源和網絡資源納管進

來；

4.實現對全部信息資源，包括物理計算資源，虛擬技計算資源，物理

網絡資源、虛擬網絡資源的自動化管理；

5.云管理平臺供應可視，可控，可管的運維系統。

3.3.2.云管理平臺功能

3.3.2.1、云平臺服務

云計算管理平臺為用戶創建虛擬機實例供應了多種選擇：

?計算服務，由管理員定義，供應CPU速度和個數，內存大小和根

卷大小等選擇

?存儲服務，由管理員定義，供應了數據卷大小的選擇

?網絡服務，由云計算管理平臺定義，描述了用戶通過虛擬路由器或

者外部網絡設備可以運用的功能。

?模板和鏡像，模板是一個操作系統的鏡像，用戶可以從這個鏡像創

建新的虛擬機。全部通用的Linux和Windows系統都可以成為

模板。管理員也可以向系統中導入新的模板。

除以上選項之外，還有一種只對云計算管理平臺管理員可見的服務類

型，用于配置虛擬機路由器。

3.3.2.2、帳戶、用戶和域

云計算管理平臺的用戶通過安排的帳戶登陸和運用資源。在云環境

里，各帳戶之間的環境是相互隔離的。一個域由一組帳戶構成，一個域中

的帳戶一般有邏輯上的關聯性，域可以有多個管理員帳戶對域以與域包含

的子域進行管理。

一個賬戶可以對應多個用戶，用戶更像是賬戶的別名，同一賬戶的用

戶之間沒有相互隔離，他們具有相同的權限，可見的資源也相同。在大多

數狀況下，一個賬戶對應一個用戶即可滿意需求。

3?3.2?3、管理服務器

云計算管理平臺管理服務器運行于WEB容器（如Tomcat）并運用

關系型數據庫（如MySQL）存放數據，所運用數據庫也可以安裝在一臺

獨立的物理機上，也就是數據庫服務器，并可以依據須要配置備份服務器。

?供應管理員和用戶訪問的web界面

?供應云計算管理平臺對外的API接口

?管理每個資源節點上的虛擬機資源安排

?管理每個帳戶的公網和內網IP地址安排

?管理虛擬硬盤鏡像的存儲空間安排

?管理快照（snapshot）、模板、ISO鏡像，并可以依據須要將它

們跨數據中心備份。

?整個云環境配置的中心

、資源服務器

資源服務器是用來供應虛擬機資源的服務器。可以通過云管理平臺自

帶的虛擬化軟件進行虛擬化，也可以通過如VMWARE、CitrixXEN等相

關軟件或功能進行虛擬化。

?供應虛擬機須要的全部CPU,內存，存儲和網絡資源

?相互通過高速網絡互聯互通，并具備Internet連接

?可以位于不同地理位置的不同數據中心

?可以具有不同的規格(如不同的CPU速度，不同的內存大小

等等)

?是高性能通用x86兼容服務器，自身相對牢靠，但規模較大時

允許出現個別服務器故障

、網絡功能和網絡虛擬化

云計算管理平臺管理內網(private)、直連網絡direct和公網(public)

的IP安排。管理員首先將可供安排的內網，直連網絡和公網IP輸入系統。

主要有兩種網絡模型可供創建：直連網絡和虛擬網絡。

云計算管理平臺的資源域(Zone)也分為兩類：基本網絡資源域僅能

創建直連無標記(untagged)網絡。高級網絡資源域除此之外還可以創建虛

擬網絡以與直連帶標記(tagged)網絡。

直連網絡

在直連網絡中，虛擬機被干脆在本地子網中安排IP地址。這些虛擬

機可以干脆訪問Internet,也沒有任何NAT轉換。它們的網絡封包不經

過任何虛擬路由器。因此，直連網絡無法獲得云計算管理平臺中的軟負載

平衡、防火墻和端口轉發等功能。

直連網絡的用戶依據配置的不同，可以和別的直連網絡用戶相通或隔

離。在直連帶標記網絡中，管理員對資源域內部的每位用戶安排特定的

VLAN標識和IP段。用戶的虛擬機可以從虛擬路由器（相當于DHCP服

務器）獲得IP地址。直連帶標記網絡可以讓用戶的虛擬機便利的與外界

網絡互聯互通，包括管理服務器。

直連無標記網絡則采納了類似于亞馬遜的平安組概念對每位用戶進

行隔離，而不采納VLAN。全部用戶不論賬號如何都在同一個廣播域內。

直連無標記網絡最常運用在私有云中。全部的Hypervisor類型都可以支

持直連無標記網絡，但只有XenServer和KVM的節點可以設置平安組。

虛擬網絡

在虛擬網絡中，用戶的虛擬機部署于私有的虛擬網絡中。每個用戶的

虛擬網絡均通過VLAN與其他用戶的虛擬網絡隔離。每個用戶的全部客戶

機也在自己的VLAN中被安排相應的網絡接口。

可以用兩種方式建立虛擬網絡：基于虛擬路由器和基于外部路由器。

?云計算管理平臺在安裝時就供應了一個虛擬路由器。這個虛擬路由器

可以供應DNS,DHCP,gateway,NAT,負載平衡和VPN服務。

?基于外部路由器的虛擬網絡運用第三方廠家的路由器設備供應

gateway和NAT服務，而DNS和DHCP照舊由虛擬路由器完成。

虛擬網絡的部署必需運用虛擬路由器或外部路由器。在虛擬網絡中，

同一個用戶的不同虛擬機因為處于同一個VLAN,他們之間的網絡通信不

通過虛擬路由器。VLAN起到用戶之間隔離的作用：不同帳戶的用戶運用

不同的VLAN。

在虛擬網絡中，每一個用戶會被安排一個外網IP地址。用戶可以申

請更多的外網IP地址。外網IP地址是指用戶實際訪問虛擬機的IP地址。

通過虛擬路由器建立虛擬網絡

每個帳戶都被安排一個虛擬路由器。全部此帳戶擁有的外網IP地址

也都安排給這個虛擬路由器。這個虛擬路由器是虛擬機和外網通信的管

道，并且為虛擬機供應DNS和DHCP服務，以與NAT轉換。

虛擬路由器的存在使得云計算管理平臺可以為用戶供應很多網絡功

能，例如：將發送至某個外網IP的包轉發至一個指定的虛擬機，或是在

多個虛擬機之間做流量的負載平衡，使得通過有限的公網IP可以供應更

牢靠的服務。

通過外部路由器建立虛擬網絡

每個帳戶仍舊被安排一個虛擬路由器。但全部此帳戶擁有的外網IP

被安排給外部路由設備。外部路由器成為虛擬機和外網通信的橋梁，并供

應NAT轉換。虛擬路由器僅供應DNS和DHCP功能c負載平衡可以由

外部路由器或者虛擬路由器完成。

一個帳戶可能既擁有在虛擬網絡的虛擬機也擁有在直連帶標記網絡

的虛擬機。在這種狀況下，這個帳戶將擁有兩臺虛擬路由器，一臺虛擬路

由器負責資源域VLAN的管理，一臺虛擬路由器負責直連帶標記VLAN

的管理。

在同一個資源域里基本網絡不能與虛擬網絡或直連帶標記網絡共存。

一個云環境可能包含一個基本網絡資源域，一個虛擬網絡與直連帶標記網

絡共存的資源域。

3.3.2.6、存儲功能和虛擬化

虛擬機模板是用戶第一次啟動虛擬機時所運用的基本操作系統鏡像。

例如，有用戶須要64位CentOS5.3的操作系統鏡像，就可以把它作為

一個虛擬機模板。每個虛擬機模板都有相應的訪問權限。訪問權限包括：

?公開權限。這個模板可以供全部用戶訪問。

?私有權限。這個模板只能供創建它的用戶，以與該用戶指定的

運用者訪問。

管理員和用戶都可以將模板加入至系統。用戶在訪問模板的時候可以

望見模板的全部者。云計算管理平臺將供應應虛擬機運用的一塊存儲空間

稱為一個卷。卷既可以是系統盤也可以是數據盤。系統盤在文件系統中的

路徑為“/"或“C:“，也通常作為引導盤運用。數據盤供應額外的存儲

空間（路徑為"/opt“或"D:"）。每個虛擬機都有一個系統盤和一個數

據盤。用戶可以將多個數據盤掛接在一個虛擬機上。這些數據盤可以從管

理員供應的存儲服務中獲得。同時，用戶還可以從卷中創建模板，這也是

私有模板的標準創建方式。

ISO鏡像的存儲和運用方式與模板類似。ISO鏡像除了訪問權限外，

還可分為兩種類型：可以引導系統的（bootable）和不能引導系統的。可以

引導的ISO鏡像一般包含操作系統鏡像（如Ubuntu10.4安裝CD）。

Masterstack云計算管理平臺允許用戶從ISO鏡像啟動虛擬機。用戶還

可以將ISO鏡像掛接到虛擬機上。例如，須要在Windows虛擬機上安裝

PV驅動程序時就可以掛接對應Hypervisor廠商的ISO鏡像。

云計算管理平臺支持卷的快照，包括系統盤和數據盤。管理員可以為

每個用戶可以創建的快照數量設限。用戶既可以通過快照來還原卷以復原

丟失的數據，也可以從快照來創建模板，以確保當卷無法還原時可以干脆

啟動新的虛擬機以保證業務的連續性。可以將快照設置為定期任務。快照

一般會在主存儲設備上生成并備份至二級存儲，直到被刪除或被新的快照

覆蓋。

云計算管理平臺可以配置主存儲和二級存儲。主存儲支持iSCSI,FC

或NFS接口。主存儲上存放虛擬機的磁盤鏡像，一般和服務器物理位置

接近。二級存儲上存放模板，ISO鏡像以與快照數據，通常一個二級存儲

可以對應幾百臺服務器。

3.3.2,1,虛擬機安排策略

云計算管理平臺在創建虛擬機時會依據內置策略選擇可用的物理機。

被選擇的物理機總是和虛擬機的鏡像物理位置接近。安排策略包括“縱向

優先”和“橫向優先”。縱向優先是指先安排滿一臺物理機的負載，再安

排其次臺物理機。這樣的好處是節能，未安排的物理機可以處于休眠模式。

橫向優先是指每臺物理機平均安排負載。這樣的好處是確保每臺虛擬機的

性能最優。

云計算管理平臺支持CPU超配(overcommit),也就是允許管理員

安排比實際CPU個數/實力更多的虛擬機給最終用戶。

3.3.2.8、虛擬機管理

云計算管理平臺為管理員和用戶供應了豐富的虛擬機管理功能。虛擬

機的基本操作包括啟動，停止，重啟，刪除等等。虛擬機包含名稱和組別。

虛擬機的名稱和組別對于云計算管理平臺是不透亮的，用戶通過它們來組

織和管理虛擬機。

虛擬機可以配置HA。對于配置了HA的虛擬機，系統會監控它們的

狀態，并在發覺出問題的時候試著在另一個物理機上重新啟動該虛擬機。

云計算管理平臺無法區分一臺虛擬機是正常關機還是異樣關機。假如

用戶關掉了一臺配置HA的虛擬機，云計算管理平臺會重啟它。因此，當

用戶真的須要關掉配置HA的虛擬機的話，須要先通過云計算管理平臺界

面或者API以禁用HA功能。

3.3.2.9、其他管理功能

系統還供應了警告和事務等管理功能。警告是發送給管理員的提示，

通常用郵件發送，通知管理員系統出現錯誤。警告信息是可配置的。

事務功能跟蹤管理員和用戶在云計算管理平臺的全部操作。例如，每

次虛擬機啟動都對應一個事務。事務存放在管理服務器的數據庫。

云計算管理平臺允許管理員將某臺物理機設為維護模式。位于維護模

式的物理機首先從資源池中移出，不再接收新的虛擬機安排懇求。然后，

這臺物理機上的虛擬機會被無縫遷移至其他不在維護模式的物理機。由于

這里采納的是在線遷移技術，客戶的業務和應用不會受到影響。

管理員和用戶還可以監控物理機和虛擬機的性能。通過云計算管理平

臺的監控界面，用戶可以了解機器各種資源的運用狀況以確定是否要換用

更高級的虛擬機或是更大的存儲空間。

3.3.2.10、API和擴展性

云計算管理平臺的管理員界面和用戶界面是基于同一套標準的HTTP

懇求協議開發的。這一套協議確保界面和后端的松耦合，不論是改寫用戶

界面還是開發吩咐行工具都很便利。

云計算管理平臺的可擴展安排策略架構允許接入新的安排策略來安

排存儲和物理機。

3.3.2.11.彈性和可用性

云計算管理平臺的設計確保對多個數據中心，上千臺服務器規模的支

持。我們把一個機架(Pod)作為大規模部署下的一個單位。一般一個Pod

對應一個物理機架。系統規模的擴展也就是增加新的機架以與在管理服務

器中對新加的資源進行管理的流程。

云計算管理平臺也包含了一系列保證可用性的特性。首先，管理服務

器可以是一組配置了負載平衡的服務器機群。其次，數據庫可以配置自動

備份以確保在出錯時可以人工復原。對于資源服務器，云計算管理平臺支

持網卡綁定，多網絡存儲以與iSCSI多路徑。

3.3.3、云管理平臺設計

、資源管理系統設計

資源整合和虛擬化將原本靜態安排的IT資源池化，打破資源孤島、

形成邏輯的資源池，使上層的應用不再以豎井(Silo)和專用(Dedicated)

的形式運用資源，而是多個應用共享資源池，既可以提高資源利用率，又

可以通過快速部署、動態安排等應對應用對資源的突發需求。

在私有云建設中，當資源池就緒之后，通過云管理平臺資源管理

模塊實現異構資源池的統一管理，動態安排和調度資源以滿意多應用需

求。已有設備和新購入設備均可以納入云管理平臺的管理中。

設備管理：統一的設備資產管理，清楚、便利的維護和管理各類設備

相關信息，如設備名稱、編號、型號，所處的具體物理位置信息等，實現

設備與資源的統一納管和集中監控展示。

網絡拓撲：覆蓋虛擬機層級的網絡拓撲圖、VLAN圖，以與直觀的機

架圖，從各個層面展示私有云的設備連接狀況，精確了解虛擬機與物理機

的依存關系。

系統監控：圖形化和列表的方式展示虛擬機、Hypervisor主機、物

理機、存儲、網絡設備的啟停狀態、資源利用率等具體監控信息；并可通

過儀表板的集中呈現，全面直觀的了解整個資源系統的概要信息。

告警管理：告警規則配置與管理，告警事務統一展示，可與時了解資

源池中的各種異樣事務和告警信息。

報表系統：豐富的報表統計功能，可統計分析各種資源的歷史運用狀

況、利用率狀況、可用性等信息，為資源的進一步優化利用供應決策信息。

3.3.3.2、運營管理系統設計

云管理平臺除了變更傳統信息系統的管理方式外，更體現了云計算中

“服務”的概念。在私有云建設中，通過云管理平臺的運營管理系統,

可以將資源服務化，更好的供應便利快捷的信息資源服務。在資源池之上,

將資源封裝為可度量的服務，并使最終用戶以最便捷敏捷的形式按需運用

這些服務。供應了服務管理、訂單管理、用戶管理、計費管理等功能，以

幫助信息管理人員完成日常運營工作，面對最終用戶供應自助服務流程。

實現“按需自助服務”這一云計算最終目的。

主要設計功能：

資源封裝，預置豐富的云服務

針對的實際應用或業務需求，協作信息管理人員，將資源池中的

各種資源封裝為適合不同應用運用的不同服務模板，并通過服務書目的形

式在門戶系統上呈現，供用戶閱讀和選擇所需服務。

運營管理員也可以依據信息業務發展狀況和用戶反饋的看法，創建新

服務模板并發布，以滿意不同用戶的需求。通過門戶系統，管理員可以輕

松的管理服務模板的創建、修改、發布、刪除等整個生命周期過程。

訂單管理

云管理平臺供應“購物車”功能，用戶通過自服務門戶，可以像網上

購物一樣選擇服務產品放入購物車并提交以生成訂單，訂單可管理、查看

審批軌跡與刪除。運營管理員則對全部用戶提交的訂單進行管理。運用者

和運營管理者無需溝通溝通即可申請信息資源的運用。大大化簡了信

息資源的申請審批流程，便利了一線職工的運用，削減了信息管理人員的

工作量。

審批流程

為了防止在審批流程中出現問題，審批可以是單層或層級審批，每一

級審批可設置為自動或人工完成。對審批層級和自動/人工審批的配置均

可以通過運營管理的管理員門戶完成。可以依據訂單的重要程度，設計不

同的審批模式，有效的保障了信息資源運用的平安性和合理性。

按需自助服務，完整的用戶自服務流程

云平臺的自服務流程為用戶供應了完整的按需自助式服務體驗，整個

自服務流程包括服務申請、訂單審批與管理、服務交付、服務實例運用與

回收等步驟與功能。假如訂單通過審批，系統會自動依據訂單為用戶安排

資源，生成相應的服務實例交付給用戶，用戶可通過各種方式登錄和運用

自己的資源，也可對服務實例進行更改、申請作廢等操作。未通過審批的

訂單不會獲得任何資源安排。

服務限制臺，供應服務實例的全生命周期管理

服務實例全生命周期管理，是指用戶的服務實例從創建到回收的整個

過程的管理。包括對服務實例的自動部署，用戶對服務實例的運用、更改、

申請作廢，系統對服務實例對應資源的釋放和回收等。云平臺自服務門戶

供應一個服務限制臺，用戶可對自己的服務實例進行查詢、操作和管理，

比如對虛擬機進行開機、重啟、關機等操作，或者將一個塊存儲掛載給虛

擬機。另外，云平臺支持用戶通過閱讀器干脆訪問虛擬機，為用戶供應了

極大的便利。當用戶不再須要所申請的資源時，可以對服務實例申請作廢,

云平臺會回收并釋放該用戶申請的資源，服務訂購關系終止。

界面友好，基于角色的門戶系統

云平臺對管理員和最終用戶都供應了友好的門戶系統，通過權限限

制，云平臺對不同角色的用戶呈現不同功能的門戶界面。

日志審計

云平臺的日志系統可記錄管理員和用戶在云平臺內的全部操作，如登

錄系統、資源操作等。可在界面顯示全部日志與日志詳情，也可以對日志

進行查詢，基于日志可實現對用戶操作的審計。

3.3.3.3.云管理平臺平安設計

在云管理平臺的設計中，特殊突出平安性設計。

多層面的平安隔離

1、Zone和在Zone之間可能實現了某種形式的物理隔離和冗余

2、不同帳戶的用戶運用不同的VLAN,VLAN起到用戶之間隔離的

作用；基于用戶的虛擬機隔離：即管理員可以通過云平臺將不同用戶之間

的虛擬機配置為無法建立2層鏈接，實現基于用戶的虛擬機隔離。

3、供應多種網絡類型，一些是真實的，一些是虛擬的，虛擬網絡通

過VLAN隔離，物理網絡通過不同的硬件和設備隔離等，比如通過公網IP、

私網IP通過不同的網卡隔離流量.也通過不同的組網，如3個平面來隔離

業務、管理、存儲

4、直連網絡可以通過給用戶安排VLAN來隔離，直連無標記網絡則

采納了類似于亞馬遜的平安組概念對每位用戶進行隔離，而不采納VLANo

全部的平安域都通過防火墻接入到網絡中，各個平安域通過虛擬防火

墻進行邏輯隔離，平安域之間不能干脆訪問，在虛擬防火墻上通過訪問限

制策略，對用戶進行文件和數據操作權限的限制，防范用戶的越權訪問。

全面的虛擬機平安機制

1、同一物理服務器上的虛擬機隔離，同一物理機服務器上資源隔離,

包括CPU、內存、內部網絡隔離、磁盤I/O有效的隔離，不會因為某一

個虛擬機被攻擊而導致其他同一物理服務器上的虛擬機被影響。

2、內部虛擬機訪問隔離，供應虛擬防火墻，如平安組功能，確保不

同租戶的虛擬機之間的網絡隔離（包括同一個物理主機內的不同虛擬機）。

針對每個平安組可以定義ACL規則，如對外開放某個具體的服務或端口,

允許外部某個IP地址訪問虛擬機的某個端口，也可以在平安組之間相互

授權訪問。

3、惡意VM預防，云平臺要能防止同一個物理主機內VM能嗅探到

其它VM的數據包。例如ARP防護，云平臺防止惡意虛擬機的IP欺瞞和

ARP地址欺瞞，限制虛擬機只能發送本機地址的報文。

4、虛擬機操作日志審計，通過云平臺記錄對虛擬機進行VM操作，

便于合規審計。

訪問限制

1、對業務和應用中保存的帳號進行集中管理，包括帳號創建、變更

和刪除等。同時依據預定策略，修改帳號的口令。接入認證平安、傳輸平

安；

2、將人員和其在各個業務系統中擔當角色關聯，實現對維護人員和

用戶等的集中授權。

3、記錄帳號登錄、登出等相關的日志信息，并帳號登錄、登出的信

息和用戶的真實身份相關聯。

4、依據預先制定的審計策略對日志進行分析，發覺高危操作，產生

審計事務告警。輸出符合薩班斯審計須要等要求的審計報告。

融合已有傳統平安措施

1、防火墻：最主流也是最重要的平安產品，是邊界平安解決方案的

核心。它可以對整個網絡進行區域分割，供應基于IP地址和TCP/IP服

務端口等的訪問限制；對常見的網絡攻擊，如拒絕服務攻擊、端口掃描、

IP欺瞞、IP盜用等進行有效防護；并供應NAT地址轉換、流量限制、用

戶認證、IP與MAC綁定等平安增加措施。

2、VPN網關：虛擬專用網(VirtualPrivateNetwork,VPN)技術

以其敏捷、平安、經濟、易擴展的特點，可以提高溝通效率和資源利用效

率，建立成員單位與云平臺之間的具有保密性的網絡連接。能滿意遠程管

理接入需求。設備支持VPN隧道數量和最大并發用戶數量滿意當前維護

需求。

3、平安支援區域，建議建立平安支援區域，該區域完成全部平安設

備的網管工作，同進可以放置防病毒系統、補丁管理系統等。

3.4、虛擬化設計

3.4.1、服務器虛擬化

服務器虛擬化產品的成熟度將對業務應用運行產生較大影響，因此本

期方案舉薦業內知名的CitrixXenServer產品作為服務器虛擬化的落地

支撐。

XenServer是在云計算環境中經過驗證的企業級虛擬化平臺，可供應

創建和管理虛擬基礎架構所需的全部功能。它深得很多要求苛刻的企業信

任，被用于運行最關鍵的應用，而且被最大規模的云計算環境和xSP所

采納。XenServer：

通過整合服務器，降低電源、冷卻和數據中心空間需求來降低成本允

許在幾分鐘內完成新服務器置備和IT服務交付，進而提高IT敏捷性確保

可始終達到應用要求和性能水平標準削減故障影響，防止災難，進而最大

限度地削減停機，免費版XenServer配備有64位系統管理程序和集中

管理、實時遷移與轉換工具，可創建一個虛擬平臺來最大限度地提高虛擬

機密度和性能。Premium版XenServer擴展了這一平臺，可幫助任何

規模的企業實現管理流程的集成和自動化，是一種先進的虛擬數據中心解

決方案。

通俗的理解：

XenServer是思杰公司(Citrix)推出的一款服務器虛擬化系統，強調

一下是服務器“虛擬化系統”而不是“軟件”，與傳統虛擬機類軟件不同

的是它無需底層原生操作系統的支持，也就是說XenServer本身就具備

了操作系統的功能，是能干脆安裝在服務器上引導啟動并運行的。基于

XenServer系統，可以將一臺性能強勁的服務劃分成多臺服務器，讓這些

服務器同時運行供應各種應用服務，節約硬件投資也便利管理。

3.4.2.桌面虛擬化

云終端虛擬桌面是端到端一體化虛擬桌面解決方案，桌面云平臺將傳

統桌面PC虛擬化后托管在數據中心，每位人員通過一臺云終端訪問桌面

與應用。

3.4.2.1、桌面云平臺簡介

桌面云平臺是中國首發的一體化企業級虛擬化平臺，它融合了企業級

的服務器和桌面虛擬化的功能和優勢，通過統一的管理平臺全面管理位于

數據中心的物理和虛擬資源，用戶僅須要運用價格低廉的云終端或傳統

PC就可以連接到數據中心中的Windows或Linux桌面，甚至是服務器

桌面，并獲得類本地PC的運用體驗。桌面云平臺為企業部署桌面云供

應了所需的全部功能，它致力于幫助企業利用有限成本，最大化IT資源

的效率和利用率，最大限度幫助企業構建最具敏捷性的基礎架構平臺，幫

助管理員有效管理困難的企業桌面環境。

借助于桌面云平臺可以實現：

?統一管理：統一的web管理平臺實現對服務器和桌面虛擬化的統

一管理；

?高可用性：簡潔配置即可實現虛擬莫面失效切換，提升桌面SLA

等級；

?在線遷移：讓虛擬桌面在不同物理服務器之間遷移，桌面應用不中

斷；

?系統調度：策略式的系統調度策略使系統資源依據負載自動進行負

載均衡；

?節能管理：自定義策略降低電源和制冷開銷，響應國家綠色節能號

召；

?鏡像管理：創建、管理和供應虛擬桌面鏡像，可實現大批量供應桌

面；

?高級檢索功能：大規模桌面部署環境中的快速定位、簡化管理；

?云端傳輸協議：優化的網絡性能，供應類本地PC的運用體驗。

3.4.2.L1、桌面云平臺架構

桌面云平臺是一個一體化的企業級虛擬化平臺，主要由桌面云虛擬

化主機、桌面云管理平臺、桌面云連接協議套件三人核心組件組成，用戶

通過云端傳輸協議去連接虛擬服務器和桌面，并為用戶供應一流的管理和

WebBrowserWebBrowser

CLIShellRESTAPI

AdministratorPortalUserPortal

DirectoryService

PostgreSQL

CTVP

orRDP

HypervisorHypervisor

運用體驗。其系統架構與組件如下圖所示:

?桌面云虛擬化主機：簡稱CTVN,以內核虛擬機技術KVM為

基礎，是精簡、平安、高效的虛擬基礎架構平臺。

?桌面云管理平臺：簡稱CTVM,是一個綜合性的統一web管理

限制臺，通過它可以查看和管理物理和虛擬化環境內的全部組件和

資源，如物理的主機、存儲和網絡以與虛擬的模版、鏡像、虛擬機,

同時能簡潔通過此單一限制臺對虛擬化資源進行綜合管理，如虛擬

桌面的全生命周期管理和限制、高級檢索、資源調度、電源管理、

負載均衡以與高可用和線遷移等功能。

?桌面云協議套件：簡稱CTVP,它是一項高性能的遠程網絡通

訊協議，為用戶通過云端傳輸協議訪問虛擬桌面獲得一樣性的桌面

訪問體驗。

3.4.2.L2、桌面云平臺具有在線遷移、HA、數據備份等高級特性，可

保證整合后平臺的穩定牢靠運行。決數據平安問題

?桌面和數據總是駐留在數據中心，終端只顯示影像，沒有任何實際

業務數據傳輸到桌面

?終端與數據中心之間的通訊和影像傳輸已加密且可控

?各虛擬桌面之間相互隔離，互不影響

?遠程映射USB設備進行管控和審計

?應用安裝限制，上網行為限制，實現集中平安管控

?集中的病毒木馬防護，從數量較少的網關處限制互聯網平安

?統一的平安互聯網出口

3.4.2.2、基礎架構提升數據的平安性

?底層平安性：虛擬OS托管在高平安性的Linux之上

?系統高可用性：通過集群動態均衡技術和自動遷移技術，在不影響

用戶運用和數據牢靠的狀況下，允許1/3的服務器宕機

?高牢靠服務器，冗余電源與高效的散熱設計；多網卡配置供應數據

傳輸冗余

?可用性達99.999%的存儲系統，限制器冗余，高級容災備份，存

儲加密技術

3.4.2.3、集成的桌面平安管理特性

?平安準入限制：未知終端準入限制，終端用戶認證管理，終端平安

準入限制

?行為平安管控：閑聊行為，上網行為，網絡應用運用；OS操作行

為,文件操作，p2P下載

?桌面平安管理：資產管理，外設管理，終端加固；異樣監控，違規

外聯

?數據平安管理：文檔信息加密，移動介質管理；數據平安銷毀，敏

感信息檢查；數據備份與復原

?平安審計管理：即時通訊審計，上網行為審計；郵件審計，OS與

文件操作審計；文件輸出審計

3.5、平安設計

本項目將以天云趨勢的平安產品作為平安支撐，天云趨勢服務器虛擬

平安解決方案針可對CitirxXenServer虛擬平臺供應無代理的平安防護

措施，在每臺物理機中應用一臺虛擬機安裝趨勢Elastershield的

virtualAppliance插件，就為每臺虛擬主機的多層次平安防護，包括：

防病毒功能、訪問限制功能、虛擬補丁、攻擊防衛、完整性監控等。部署

Elastershield后模塊后，無需在虛擬主機操作系統中Agent程序就可以

實現基礎的多種防護功能。

?訪問限制

傳統技術的防火墻技術常常以硬件形式存在，用于通過訪問限制和平

安區域間的劃分，計算資源虛擬化后導致邊界模糊，很多的信息交換在虛

擬系統內部就實現了，而傳統防火墻在物理網絡層供應訪問限制，如何在

虛擬系統內部實現訪問限制和病毒傳播抑制是虛擬系統面臨的最基本平

安問題。

天云趨勢Elastershield防火墻供應全面基于狀態檢測細粒度的訪

問限制功能，可以實現針對虛擬交換機基于網口的訪問限制和虛擬系統之

間的區域邏輯隔離。Elastershield的防火墻同時支持各種泛洪攻擊的識

別和攔截。

?入侵檢測/防護

同時在主機和網絡層面進行入侵監測和預防，是當今信息平安基礎設

施建設的主要內容。然而，隨著虛擬化技術的出現，很多平安專家意識到,

傳統的入侵監測工具可能沒法融入或運行在虛擬化的網絡或系統中，像它

們在傳統企業網絡系統中所做的那樣。

天云趨勢Elastershield可以對系統交換機或端口組進行管理，這時

虛擬的IDS傳感器能夠感知在同一虛擬段上的網絡流量。Elastershield

除了供應傳統IDS/IPS系統功能外，還供應虛擬環境中基于政策的

(policy-based)監控和分析工具，使Elastershield更精確的流量監控、

分析和訪問限制，還能分析網絡行為，為虛擬網絡供應更高的平安性。

天云趨勢Elastershield利用虛擬機在虛擬系統中占用更少的資源，

避開過度消耗宿主機的硬件實力。

?虛擬補丁防護

隨著新的漏洞不斷出現，很多公司在為系統打補丁上疲于應付，等待

安裝重要平安補丁的維護時段可能是一段艱難的時期。另外，操作系統與

應用廠商針對一些版本不供應漏洞的補丁，或者發布補丁的時間嚴峻滯

后，還有最重要的是，假如IT人員的配備不足，時間又不充裕，那么系

統在審查、測試和安裝官方補丁更新期間很簡潔陷入風險。

天云趨勢Elastershield通過虛擬補丁技術完全可以解決由于補丁導

致的問題，通過在虛擬系統的接口對虛擬機系統進行評估，并可以自動對

每個虛擬主機供應全面的漏洞修補功能，在操作系統在沒有安裝補丁程序

之前，供應針對漏洞攻擊的攔截。天云趨勢Elastershield的虛擬補丁功

能既不須要停機安裝，也不須要進行廣泛的應用程序測試。此集成包可以

為IT人員節約大量時間。在平安管理平安域中建立平安管理中心，是有

效幫助管理人員實施好平安措施的重要保障，是實現業務穩定運行、長治

久安的基礎。通過平安管理中心的建設，真正實現平安技術層面和管理層

面的結合，全面提升用戶網絡的信息平安保障實力。

3.6、計算資源池設計

3.6.1.計算資源池技術路途

計算資源池承載私有云中的全部業務系統的計算需求，在進行計算資

源池設計時，須要留意的兩點：

1.依據先進可用的原則，既要保證整個計算平臺的運行穩定，又不能

過多的追求高性能，要做到合理選型，合理安排。

2.盡量的利舊，現有可用資源可以依據后續須要設計到整個計算平臺

中，防止奢侈。

在服務器選型方面要符合以下幾方面的要求：牢靠性、可用性、可擴

展性、易用性、可管理性。

牢靠性

衡量服務器牢靠性的主要指標是平均失效間隔，發生故障時間越少，

服務器的牢靠性越高。對于牢靠性要求很高的業務來說，即使是短暫的系

統故障也會造成難以挽回的損失，所以在服務器的選擇上，牢靠性為一項

重要的衡量指標。

可用性

可用性是通過系統的牢靠性和可管理性等一些指標來度量的。通常用

平均無故障時間來度量系統的牢靠性，用平均修理時間來度量系統