摘要:电子政务虚拟化资源池的优化可以有效的提高电子政务的效率,有效地整合个行业的信息资源,解决各种问题。在文中主要就针对交通行业电子政务虚拟化资源池提出了优化建议,以期可以更好的为交通行业提供支持。
关键词:交通行业;电子政务虚拟化资源池;优化
1前言
为做好交通行业电子政务信息系统的运行和支撑,整合各个行业现有信息资源、解决机房空间紧张、电力能耗过大、硬件设备老化、单点故障、资源分布不均等问题,本文通过X86虚拟化架构,利用虚拟化技术搭建信息系统运行所必须的软硬件基础平台,形成信息系统资源池,实现信息化基础资源的集约化部署和管理,实现服务器设备、存储设备、系统软件三者有机结合,从而降低运行成本、节省机房电力消耗以及应用的快速部署上线,为交通行业应用提供基础支撑环境。
2虚拟化资源池构架设计
按照公安部等级保护的安全域要求和信息系统的服务等级对电子政务外网虚拟化资源池进行分区、分域的管理,将其分为二级安全域和三级安全域的虚拟化资源池(如图1所示),在此基础上为每个安全域中再划分核心生产资源池、预生产资源池和测试资源池,以满足不同系统对服务等级的要求,避免出现计算资源抢占、存储资源浪费等问题。核心生产资源池:为正式在线运行的信息系统提供基础资源环境支撑。预生产资源池:一是为信息系统正式上线至验收通过前提供运行环境支撑,二是与生产环境不定期同步,保持和生产环境的设置、数据一致性,可以用于大数据分析、性能测试、升级测试等。测试资源池:为待建信息系统提供测试运行环境支撑。
3计算资源的服务器选型
虚拟化资源池的服务器选型主要考虑以下几个方面的制约因素:方便性方面:考虑服务器CPU数量越多意味着单台服务器承载的虚拟机数量越多,服务器数量越少,管理越方便;低成本方面:从成本考虑1台8路服务器架构大于2台4路服务器价格,1台4路服务器价格大于2台2路服务器价格;利用率方面:从资源利用率考虑虚拟化资源池需要预留冗余资源实现高可用,服务器CPU数量越多浪费的资源越多。以4台8路服务器和8台4路服务器为例,8路服务器实际利用率为(4-1)/4=75%,4路服务器实际利用率(8-1)/8=87.5%。稳定性方面:考虑2路和4路服务器为目前主流服务器,8路服务器应用较少,综合管理、成本等方面考虑,建议使用4路服务器。X86服务器又可以被分为机架式服务器和刀片式服务器两类,刀片式服务器的优点在于其占用空间小,便于统一管理,但由于内部空间限制,导致扩展性较差。优点在于它是面向特殊应用行业和高密度计算机环境设计的,凭借统一的系统背板,可以方便地组成计算机群实现资源共享。机架式服务器适用于服务器拥有量较多的场景,具备扩展性的优点。根据虚拟化资源池的特点选择不同类型的服务器。生产和预生产资源池,选择计算密集型资源池,使用刀片式服务器。测试资源池,对计算资源要求相对不高,服务器使用机架式服务器。
4存储资源的设备选型
存储系统主要包括网络附加存储(NAS)和存储区域网络(SAN)。NAS是采用文件系统管理硬件存储资源,并通过网络协议(例如NFS协议和CIFS协议)为用户提供文件级的存储访问,它可以支持异构客户端的共享访问,但是NAS采用网络协议会降低传输过程中的有效载荷比从而性能不高。而SAN是采用专用的存储网络设备连接存储资源硬件为用户提供块级的存储访问,具有较高的传输性能且稳定性好。随着技术的发展和闪存等硬件成本的降低,分布式存储技术日益成熟并有逐步取代集中式存储的趋势。分布式存储具有成本低、易部署、易横向扩展并且能通过规划存储策略来灵活满足不同业务对存储的要求等优势,可以有效的解决集中式存储成本高、管理复杂等问题。根据虚拟化资源池的特点选择不同类型的存储资源:核心生产资源池,采用FCSAN主备方式的集中存储模式,利用其主备特性满足RPO和RTO需求。预生产资源池,NAS的集中式存储模式,不配置主备模式,通过备份满足RPO和RTO需求。测试资源池,利用服务器本地磁盘创建分布式存储,分布式存储具有成本低、容量大、易扩展等特性。
5虚拟化网络的安全保护方式
传统的物理网络与安全体系结构不能满足日益池化的动态虚拟世界,网络虚拟化提供了一个简化的逻辑网络元素和服务的完整套件,包括逻辑交换机、路由器、防火墙、负载均衡器、VPN、QoS、监控以及安全。这些服务可以在虚拟网络中通过基于API的任何云计算管理平台进行调配,并且可以安排在任何隔离和多租户拓扑中。虚拟网络可以通过任何现有的网络进行无中断部署,并且可以部署在任何虚拟化管理程序上。可以通过编程方式创建、调配、拍摄快照、删除和还原复杂网络,所有这一切均可在软件中完成。网络虚拟化突破了当前物理网络障碍,使数据中心操作员得以将速度、经济性和选择性提高若干数量级。网络虚拟化以软件的方式提供2-7层的整体网络和安全模式,实现与底层网络硬件的解耦,它可以充分利用公司现有网络基础架构而无需做出改变,从而提高服务交付的速度和敏捷性,并降低成本。就像服务器虚拟化将虚拟机从底层X86服务器硬件分离出来以改变计算运营模式一样,网络虚拟化将基于软件的虚拟网络从底层网络硬件分离出来,以便支持新的网络运营模式。在这种情况下,部署虚拟机周边的网络和安全组件会便捷的多,同时实现了虚拟机颗粒度的隔离和安全保护,这在传统的物理网络设备架构中无法实现。传统的网络体系结构对底层专用物理硬件有很大的依赖,灵活性很差。此外,传统的安全防护手段价格昂贵,对虚拟化平台不具感知能力,无法实现虚拟机级别的隔离和保护,使用不够灵活,管理难度大,不能很好地满足新架构的需要。虚拟化资源池的网络安全建设目标:实现集中采集根据虚拟化资源池的网络结构和应用特点,应采用“流量集中采集、安全产品自主分流”的方式,避免多头采集带来的性能损耗。实现集中管理和部署实现对安全产品的统一管理。网络安全管理员能在一个入口上完成不同安全产品的配置、修改和查询,而不必面对多个管理入口,从而有效提高管理效率。实现虚拟安全域可视化直观展现虚拟安全域的网络流连接情况,使得网络安全管理员可以从不同层次查看虚拟安全域的IP资产情况,资产之间的实际流量连接关系拓扑等。实现虚拟流量的入侵检测能够对虚拟流量中的病毒、蠕虫、木马、DDoS、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为等威胁进行检测能力,防止利用虚拟机被作为攻击跳板的行为。实现虚拟流量的网络及数据库行为审计能够对业务环境下的网络操作行为和数据库操作行为进行解析、分析、记录、汇报,帮助管理员事前预防,事中监视、事后报告、事故追踪溯源,保障核心数据库、服务器等的正常运行。
6虚拟化资源池的云平台高效管理
通过管理软件实现运维人员与虚拟化平台,最终用户与虚拟化平台的人机交互,实现对整个虚拟资源池的动态分配与管理,实现对最终用户的云应用和云交付,提高运维的效率和服务精准度。云平台管理应具备以下功能特性:自助云门户:用户可使用云门户进行虚拟机自助申请,选择服务目录提供的各种虚拟机配置。同时通过自助门户管理和维护分配给自己虚拟机,必要时还原虚拟机。服务目录:管理员能够根据不同的需求定制服务器目录,包含计算资源、存储资源、操作系统、应用程序等,用户只需选择对应的服务目录即可创建一组虚拟机。审批流程:用户申请后需要管理员审批后才可以创建虚拟机。自动化部署:虚拟机部署和应用安装配置完全自动化完成,无需管理员参与。生命周期管理:实现虚拟机的生命周期管理,虚拟机创建时可设置到期时间,到期后自动回收虚拟机资源。多租户:可实现按司局划分多租户,同时实现计算、存储等资源的逻辑隔离。计量和计费:通过计算、存储等资源的使用情况计量和计费,同时提供费用报表。异构环境支持:应能够支持多种虚拟化软件平台、物理架构及公用云。
7虚拟资源池的优化效果
(1)可以改变原有烟囱式业务部署方式,解决资源分布不均匀问题,确保IT资源能满足所有业务系统的同时高速发展,同时还能保证部分繁忙的业务系统优先分配到足够的资源,使各业务系统的发展齐头并进。(2)有效避免各业务系统的单点故障,保证业务系统的高可用,充分利用虚拟化的特点保护一些现有单机系统,即使发生意外宕机也可在短时间内切换到其他主机运行,以提高整体的业务连续性。(3)简化机房空间占用和布局,通过虚拟化使得同一台物理机可以同时运行多个业务系统,使资源得到了更充分的利用,同时减少了机房空间的占用,以及降低了制冷系统的负荷,让IT架构的规划和部署变得更加容易。(4)简化现有硬件、操作系统和业务系统的升级维护工作,避免之前由于硬件设备升级维护而导致业务中断的情况发生,通过在线迁移等功能,确保业务系统的硬件升级和维护无需中断业务,提高维护效率,也提高了业务系统的稳定性。
作者:周馨 王莹
