【正文】 SDN 能力)，可以提供安全組、VPC、 VPN 等能力。 云平臺項目視圖隨著學校 IT 規(guī)模在不斷擴大，IT 管理角色也隨之細分，不同角色對于學校 IT 架構的關注點也有很大區(qū)別。另一方面，學校的創(chuàng)新想法需要得到快速實現(xiàn)與驗證，通過公有云滿足敏捷創(chuàng)新的 同時卻引入 IT 管理盲區(qū)，學校 IT 管理架構無法對外部 IT 資源進行統(tǒng)籌管理。216。同時，云平臺提供 多維度分析報表，將歷史的系統(tǒng)資源的利用情況，運行情況等單項或者匯總性信 息提供給管理者和使用者。 資源管理：資源管理，平臺提供由上至下包括集群、資源池、虛擬機、 物理機等多維度的資源管理功能。 資源監(jiān)控：監(jiān)控管理是對資源池的主機、存儲、網絡資源進行監(jiān)控，對 監(jiān)控對象實時狀態(tài)予以展示，還包括生成監(jiān)控數(shù)據(jù)報表、生成告警信息 等。216。 統(tǒng)計報表：統(tǒng)計分析，統(tǒng)計報表模塊涵蓋了對報表的類型、字段的定義， 生成各類業(yè)務、運維報表，實現(xiàn)運維情況分析診斷的專業(yè)化、智能化， 支持用戶對報表進行導出操作。 系統(tǒng)管理：系統(tǒng)管理，提供組織架構管理、用戶管理、系統(tǒng)角色管理、 平臺功能管理 部署規(guī)劃xxx 學院初始云平臺總體邏輯拓撲結構如下圖所示。216。圖 6 動態(tài)遷移示意圖(二) 資源自動調度在計算資源池建設過程中，進行了詳細的規(guī)劃和設計，但隨著各開發(fā)部門的 加入，越來越多服務器設備需要加入到計算資源池，這會導致計算資源池設備新 舊程序不一，同時開發(fā)部門對資源需求的程序也不盡相同，這對資源池的調度能 力提出了考驗；計算資源池的設計需要遵循易擴容、易部署原則；同時管理平臺 可以通過豐富的策略，可以根據(jù)實際的需求對資源進行合理的調度，提高設備利 用率、降低能耗。 節(jié)約模式：自動使用所有服務器中資源已被使用但未被用光的創(chuàng)建計算資源。 最小能耗服務器優(yōu)先：自動使用所有服務器中功耗最小的創(chuàng)建計算資源。 利新服務器優(yōu)先：自動使用所有服務器新加入的創(chuàng)建資源?？焖俳桓洞罅刻摂M機。云平臺用戶來說，獲得的不再是空白的操作系統(tǒng)，而是可以 直接部署所需應用、交付可直接運行環(huán)境。一個應用可以有多個 部署環(huán)境（如測試環(huán)境和生產環(huán)境）。216。216。圖 16 彈性容器(八) 存儲網關存儲網關服務通過部署虛擬的存儲網關設備，提供行業(yè)標準的存儲協(xié)議，可 提供傳統(tǒng) IT 設施與云存儲的無縫連接。 兼容 AWS Storage Gateway API；216。每個 VTL 均附帶一組磁帶驅動器（ 10 個），這些驅動器可作為 iSCSI 設備提供給備份應 用程序。圖 18 云監(jiān)控服務216。216。216。(十) 關系數(shù)據(jù)庫關系數(shù)據(jù)庫服務（RDS）是品高云針對傳統(tǒng)數(shù)據(jù)庫系統(tǒng)（目前支持 MySQL 和 SQLServer）的運維自動化工具，其通過封裝數(shù)據(jù)庫系統(tǒng)自帶的 API 完成對數(shù)據(jù) 庫系統(tǒng)的安裝、配置、備份、安全與高可用等工作，是 DBA 工作的最佳實踐的執(zhí) 行工具。 創(chuàng)建 MySQL 關系數(shù)據(jù)庫：用戶可根據(jù)需要選擇數(shù)據(jù)庫引擎、實例規(guī)模、是否多實例 部署、是否自動小版本升級，填寫數(shù)據(jù)庫名稱、數(shù)據(jù)庫端口、選擇數(shù)據(jù)庫參數(shù)組、 選擇數(shù)據(jù)庫安全組，設置數(shù)據(jù)庫備份保留天數(shù)、備份時間、維護時間。 重啟數(shù)據(jù)庫實例：當數(shù)據(jù)庫服務異?；驑I(yè)務需要將數(shù)據(jù)庫進行重啟時，選擇重啟數(shù) 據(jù)庫實例。 刪除數(shù)據(jù)庫實例：當數(shù)據(jù)庫不再使用時，選擇刪除數(shù)據(jù)庫實例。 關系數(shù)據(jù)庫的維護升級：關于數(shù)據(jù)庫的維護升級，當用戶在創(chuàng)建時或修改時設置數(shù)據(jù)庫小版本升級時，關系數(shù)據(jù)庫服務會自動在維護時間內進行維護升級。 數(shù)據(jù)庫實例的參數(shù)調優(yōu)：數(shù)據(jù)庫實例創(chuàng)建完畢后，品高基礎架構云關系數(shù)據(jù)庫服務 提供了數(shù)據(jù)庫參數(shù)配置的自助界面進行數(shù)據(jù)庫實例的配置及系統(tǒng)參數(shù)設置。這種技術架構特征，是能夠支持海量數(shù)據(jù)高效的存儲和計算的主要原因。云計算技術，能夠管理計算、存儲、網絡等多種資源，計算管理平臺 實現(xiàn)對這些資源的快速調度工作。品高軟件的大數(shù)據(jù)解決方案，會從整個體系的自底向上全面的提供支撐能力。然后，由這些服務器執(zhí)行的計算結果將減少為單個輸出集。而使用平臺 MapReduce 功能可在現(xiàn)有資源池中，創(chuàng)建 Hadoop 集群并執(zhí)行大數(shù)據(jù)處理任務。3. 除了執(zhí)行自定義 MapReduce 腳本外，還支持動態(tài)配置執(zhí)行 Pig、Hive 腳 本。7. MapReduce 提 供 了 幾 種 用 戶 可 以 啟 動 用 來 運 行 自 定 義 Hadoop mapreduce 代碼的集群類型，如：自定義 JAR：運行用 Java 編寫的 自定義 mapreduce 程序。因為 MapReduce 功能已 經自動配置了多個開源應用程序在 Hadoop 上層運行，所以可以用類似 SQL 的語法或名為 Pig Latin 的專用語言操作數(shù)據(jù)。(2) SparkSpark 是 Apache 頂級的開源項目，是一款獨立的、高速的、開源的分布式 內存計算引擎，Spark 擁有 Hadoop MapReduce 所具有的優(yōu)點；但不同于 MapReduce 的是 Job 中間輸出結果可以保存在內存中，從而不再需要讀寫 HDFS， 因此 Spark 能更好地適用于數(shù)據(jù)挖掘與機器學習等需要迭代的 MapReduce 的算法?？蛻?機一般負責 HPC 計算素材的編寫、計算任務提交、計算結果存放等。(十二) 機器學習在機器學習服務中，通過 S3 進行數(shù)據(jù)文件存儲，通過 AMI 鏡像來創(chuàng)建機 器學習集群，AMI 鏡像中封裝了集群自動配置腳本和機器學習算法，提供二元、 多元和回歸訓練模型，可以應用到購買力趨勢預測、欺詐行為檢測、疾病判斷、 房價預測、電影類型判別，產品推薦等場景。 容器管理：管理和配置機器學習集群所需的部署模板，配置機器學習服 務的實例資源；216。 數(shù)據(jù)預測：機器學習服務讀取 S3 上的數(shù)據(jù)和訓練好的模型，根據(jù)指定 的容器和集群大小配置，搭建集群并進行數(shù)據(jù)預測，最后將預測結果保 存到 S3。 支持 Spark_ML 機器學習軟件 存儲資源池設計云計算管理平臺中的存儲用于保存虛擬機的操作系統(tǒng)、應用程序文件、配置 文件以及與活動相關的其它數(shù)據(jù)，是虛擬機正常工作的基本前提條件。在創(chuàng)建虛擬機、虛擬存儲卷的時候，用戶可以選擇虛擬機、存儲卷所使用的 存儲資源類型（分布式存儲資源）。使用 SSD 硬件加速，提供分布式存儲高 IOPS 的性能要求。在 X86 虛擬池 建設過程中，將存儲進行虛擬化管理，使用軟件定義存儲，屏蔽底層的存儲特性， 將不同類型的存儲設備（FCSAN、IPSAN、分布式存儲），進行池化后使用，最 終通過統(tǒng)一調度方式進行使用。(二) 數(shù)據(jù)切片、數(shù)據(jù)冗余分布式存儲將數(shù)據(jù)分散存儲在多臺獨立的服務設備上，分布式網絡存儲系統(tǒng) 采用可擴展的系統(tǒng)結構，利用多臺存儲服務器分擔存儲負荷，利用位置服務器定 位存儲信息，提高了系統(tǒng)的可靠性、可用性和存取效率，還易于擴展；此外使用分布式存儲可以針對某些明文文件（郵件附件、大文件）進行切片處理，然后將切片后的數(shù)據(jù)存放在不同的節(jié)點，這樣提高了存儲速度，而且保證了數(shù)據(jù)的安全。為了取得更好的虛擬機運行性能，BingoFS 允許采用計算、存儲雙融合的架 構。另一方面本地優(yōu)先策略執(zhí)行后會 采用同步方式將數(shù)據(jù)塊的克隆放入其他存儲節(jié)點，為加快提高效率一般建議采用 10gE 網卡或多千兆網卡匯聚的方式提升網絡速度。為保證云業(yè)務的高可用、易擴展、易管理，云計算數(shù)據(jù)中 心網絡架構設計關注重點如下網絡的高可用是業(yè)務高可用的基本保證，在網絡整體設計和設備配置上均是 按照雙備份要求設計的。全冗余的方 式使系統(tǒng)達到 %的電信級可靠性。 萬兆網絡區(qū)域 采用兩臺萬兆交換機，負責服務器存儲網絡接入，服務器配置雙網卡萬兆接口，并負責存儲區(qū)域分布式存儲數(shù)據(jù)流通，萬兆交換機為內部局域網部署模式。另一個 場景是，不是所有實例都需要公有 IP，例如：一個 B/S 架構的系統(tǒng)，其 web 服 務器需要公有 IP，而數(shù)據(jù)庫服務器不需要， web 服務器只需要通過私有 IP 就 可以訪問到數(shù)據(jù)庫，也可以減少數(shù)據(jù)庫服務器的網絡攻擊的風險。(三) 網絡安全組服務安全組是一項針對 EC2 實例的安全服務功能，它相當于虛擬防火墻，可以 保護 EC2 實例的網絡安全，不同用戶 EC2 實例默認不允許相互訪問，除非通過 設置規(guī)則開通。同時品高基礎架構云路由器提供 VPN 服務，外部用戶 可通過 VPN 加密撥號方式到某個子網，即可使用私有云網絡中的私有 IP 訪問實 例。圖 30 軟件定義負載均衡(六) SDN 負載均衡SDN 負載均衡服務，提供基于品高云 SDN 的 LVS 負載均衡，可以解決代理 模式負載均衡器性能低的問題，同時品高云提供的 SDN 負載均衡采用透明代理 模式，可實現(xiàn)虛擬機面配置，解決了 LVS 負載均衡方案中配置繁瑣的問題，降 低部署配置成本。目前的傳統(tǒng)安全保護手段已經十分成熟，利用這些技術對宿主機實現(xiàn)全面的安全保護，避免攻擊者通 過宿主機對虛擬機產生危害，對于增強虛擬機的安全性而言，具有十分重要的作 用。 宿主機安全加固 品高基礎架構云可以為調度架構中的云控制器、集群控制器、節(jié)點控制器三種不同角色的宿主機提供有針對性的安全配置。216。216。圖 32 網絡平面隔離業(yè)務網絡平面 為用戶提供業(yè)務通道，為虛擬機虛擬網卡的通信平面，對外提供業(yè)務應用。 虛擬機資源隔離 云計算平臺中非常重要的技術特點就是虛擬化的引入，同物理主機內的虛擬機共享底層資源池，品高基礎架構云的虛擬化管理器Hypervisor可以有效隔離不同虛擬機對于CPU、內存、磁盤IO的占用，避免惡意虛擬機通過共享底層資源竊 取數(shù)據(jù)，以及通過資源惡意占用的方式帶來的新型拒絕服務攻擊。同時，品高基礎架構云建議并支持用戶根據(jù)自 身需求創(chuàng)建符合內部安全基線的標準化實例鏡像。管理員可通過圖形界面 或命令行的方式查看，并根據(jù)具體需求設定告警的觸發(fā)閾值。 虛擬機網絡隔離圖 34 虛擬機 vlan 網絡隔離示意圖品高基礎架構云平臺中處于不同物理服務器上的虛擬機通過 VLAN 技術可以 劃分在同一個局域網內，同一個服務器上的同一個 VLAN 內的虛擬機之間通過虛 擬交換機進行通信，而不同服務器上的同一 VLAN 內的虛擬機之間通過集群虛擬 交換機進行通信，確保不同局域網的虛擬機之間的網絡是隔離的，不能進行數(shù)據(jù) 交換。圖 35 為虛擬機實例配置安全組示意圖安全組默認不開通任何規(guī)則，虛擬機實例自動網絡隔離。通過安全組功能，保證在虛擬機的遷移過程中，相應 的控制策略也可以跟隨虛擬機一同遷移，從而完成安全策略的動態(tài)遷移，防止虛 擬機遷移到不安全的網絡環(huán)境中。 訪問策略控制 品高基礎架構云分布式存儲系統(tǒng)BingoFS可以設定對每個卷不同的訪問策略，沒有訪問該卷權限的用戶不能訪問該卷，只有卷的真正使用者（或者有該卷訪問 權限的用戶）才可以訪問該卷，每個卷之間是互相隔離的。用戶可以通過自助界 面配置數(shù)據(jù)庫實例的訪問規(guī)則，如某個網段、某個IP地址的服務器才能訪問數(shù)據(jù) 庫。 數(shù)據(jù)加密存儲 品高基礎架構云提供的對象存儲服務S3構建在BingoFS分布式存儲之上，支持數(shù)據(jù)加密存儲，數(shù)據(jù)在服務端加密保存，即使管理員也無法看到數(shù)據(jù)。品高云存儲系統(tǒng)可以在節(jié)點數(shù)發(fā)生 變化時，根據(jù)當前節(jié)點分布情況自動重構冗余，提供整個系統(tǒng)的可用性和穩(wěn)定性。因此，沒有辦法恢復原來的數(shù)據(jù)。 安全API在云平臺的生態(tài)系統(tǒng)整合中，API的安全也不能忽視，品高根據(jù)多年專業(yè)軟 件研發(fā)經驗和業(yè)界安全開發(fā)標準，在API的需求和封裝過程中添加安全參數(shù)，監(jiān) 控應用程序的性能及功能，確保生態(tài)系統(tǒng)的健康穩(wěn)定。216。 身份認證身份認證在云安全體系中占有十分重要的地位，它使其他安全服務的基礎。采用細致的認證策略和完善的訪問控制，如嚴格限制非法 認證的次數(shù)，對于連續(xù)一定次數(shù)登錄失敗的用戶，對其賬號及訪問地址進行鎖定。 統(tǒng)一授權管理 在云平臺中，用戶角色眾多，因此有必要針對賬號分級管理和用戶權限做精細化控制。216。 安全事件應急預案庫 品高基礎架構云集成的運維管理平臺可針對客戶行業(yè)特點預設云安全事件緊急預案庫，預案庫是基于品高在云計算行業(yè)實踐多年所凝結而成的寶貴經驗， 預案庫中保存各種情況下使用的應急方案，根據(jù)緊急事件的特點對預案進行分類 管理，形成信息安全應急管理流程。 安全事件響應品高基礎架構云集成的運維管理平臺，支持以事件管理流程為主線，在面對 網絡攻擊事件、信息破壞事件、設備設施故障等事件時，提供安全事件響應處理。 信息安全等級保護 品高基礎架構云已經通過公安部信息安全產品檢測中心測試，符合信息安全等級保護的要求，可用于具有等保要求的用戶場景中。ISO27001是一項被廣泛采用的全球安全標準，采用以風險管理為核心的方法來管理機構和客戶信息，并通過定期 評估風險和控制措施的有效性來保證體系的持續(xù)運行。 供應鏈安全管理 云計算平臺的最終形態(tài)會以生態(tài)圈的形式存在，品高同供應鏈中所有供應商均簽署保密協(xié)議，并通過定期反饋、評審、修訂保密協(xié)議中數(shù)據(jù)安全的相關控制 要求，防止違規(guī)泄露及篡改數(shù)據(jù)。 硬件環(huán)境高可用 云平臺的高可用首先依賴高可用的硬件環(huán)境，對于承載品高基礎架構云的物理環(huán)境通常在規(guī)劃時會考慮做到以下幾點: 容災的網絡環(huán)境(交換機匯聚堆疊配置) 多網卡綁定(網卡負載均衡、鏈路高可用保障) 高可用的存儲環(huán)境(SAN 存儲配置raid、使用分布式存儲) 服務器RAID 配置(計算節(jié)點本地硬盤raid5 級別以上)216。 自動化云服務系統(tǒng)主主雙活： 包括運維管控平臺、自助服務平臺、API 服務、實例元數(shù)據(jù)服務 控制器服務使用主備配置： 包括云/集群控制器，高級服務控制器。 數(shù)據(jù)庫高可用通過數(shù)據(jù)庫復制技術同時創(chuàng)建2臺承載數(shù)據(jù)庫系統(tǒng)的EC2 實例，并同步之后 的數(shù)據(jù)