基于云模式的新一代IDC系统框架研究

基于云模式的新一代 IDC 系统框架研究 石屹嵘 龚德志 （中国电信股份有限公司上海研究院 上海 200122） 摘要： 本文阐述了目前云计算的三种服务模式，并从 IDC 实际业务需求出发，提出了基于云模式的新一代电信 IDC 平台的体系架构、功能模型和部署架构，并进一步提出了云模式 IDC平台演进路径建议 关键词： IDC 云、规模扩展、实例管理 1. 引言 随着虚拟化、多核、自动化、 Web技术等新技术的发展，以及大数据量、大用户量、复杂业务对计算和存储的需求不断增长， 基于云模式的资源和服务提供方式应运而生。 “ 云计算 ” 通过 将大量 的高度虚拟化的资源管理起来，组成一个大的资源池， 通过网络提供给用户 ，是一种基础架构管理方法论 ，其具有 如下特征： 大规模：一个云计算系统由具备一定规模的多个节点组成的 IT 集群系统，系统规模几乎可以无限扩大 ； 平滑扩展：系统具备高度的扩展性和弹性，可以方便、快速地为应用增加和减少资源 ； 资源共享：提供一种或多种形式的资源池，包括物理服务器 、虚拟服务器（虚拟机）、事务和文件处理能力或任务进程（如 Hadoop）、以及存储资源等， 这些资源池可通过抽象化方式实现，并能够同时为多种应用提供服务； 动态分配：实现资源的按需 动态分配，并按使用量计费 。 “云计算”被认为是与下一代互联网同样重要的新技术，已经引起了国内外运营商的普遍重视 ， 如： AT&T、 BT、中国电信、中国移动 均已制定了各自的云计算发展计划。对于运营商，云计算是个发展契机，它一方面能够优化 IT 资源，降低企业内部的运营成本，另一方面也是运营 IT 业务的切入点， 通过构建基于云计算的业务平台，可以降低电信业务的运营成本和新业务的引入成本。 而 运营商在数据中心、网络、用户和渠道上的积累，使其 在构建云模式的新一代 IDC（以下简称 IDC 云） 时具有构建成本低、拓展优势大、存贮能力强等优势。 2. IDC 云 业务模型 IDC 云的 建设需要考虑不同用户群体的需求差异性 ， 以三类典型 IDC 的承载目标客户群为例： SP/CP 托管 : 一般基础架构规模较小 、 服务器平台以 PC 服务器为主、 运行Windows/Linux 操作系统 ； 应用类型以 Internet 应用为主，应用模型需要符合开发规范 ； 对托管费用成本敏感 ； 大型网站、在线游戏、电子商务等 ， 如新浪、网易、腾讯、淘宝、盛大等新兴 Web 1.x/2.0 企业 ： 基础架构规模较大 ， 混合型的基础架构，从中端服务器到 PC 服务器均有， UNIX/Windows/Linux 操作系统 ； 应用类型为 Intenet 应用，应用类型繁多 ；对服务水平、带宽、应用部署速度敏感 ； 传统行业、金融、证券、政府、集团客户 ： 基础架构、应用类型复杂，一般都是自行开发的行业应用 ； 对安全性、资源独占性敏感 。 对于不同的客户群适合运用的云计算层级不同，例如： SP/CP 具备共性的应用群可以应用 Paas 模型 ； 大型网站适合 Iaas 模型 ； 其他应用以私有云或者独占模式建设 。 基于云计算技术改造后的 新一代 IDC 除了传统业 务外，可以给用户从基础设施、平台和应用不同的层次提供新型的服务： 云主机服务 云主机服务 给外部或者内部用户提供 基础资源服务，用户通过网络就可以享用到基础资源，而不需要在本地购买和部署物理资源。基础资源服务包括计 算资源、网络资源和存储资源。计算资源是指物理服务器的计算能力，与 CPU、内存相关；存储资源是指存储能力，与磁带、磁盘、存储系统的空间相关；网络资源包括网关、子网、带宽和 IP 等资源。用户购买到资源资源服务后，就可以通过网络进行远程访问和使用，可以在申请的虚拟主机上安装自己需要的中间件、应用、工具等，或者是在存储服务上上传自己的数据和内容。基础资源的租用服务一方面可以降低用户的一次性投入成本，以更低的价格使用服务 ；另一方面通过服务消费的方式降低在用户内部的管理和维护复杂度，不需要有专门的人员和技能，所有的管理和维护都由数据中心的专业人士完成，用户只需要保证网络连接就可以；同时专业的管理和维护给服务带来更高的可靠性。 在云主机服务层面上，除了提供基本的资源租用服务之外， IDC 云 还可以更一步提供增值服务，例如灾备服务。传统模式下一个企业需要花费大量的成本自己搭建灾备环境和系统，而灾备系统的使用几率又很低，因此企业往往在风险和成本之间犹豫。 IDC 云 可以给企业提供专业的灾备服务，首先 IDC 云 和企业系统处于异地，符合灾备的基 本要求，而是在 IDC 云内部可以通过大量的资源共享来降低灾备环境的成本，使得企业愿意购买灾备服务。 云主机服务的主要客户定位包括对成本比较敏感的用户，包括中小企业，软件园区及软件开发商等；物理资源的需求有周期波动，或者有不可预测性，包括 创新型企业、网络游戏公司、网站等；或者是有临时性资源要求的短期性客户。 云平台服务 云主机服务给用户提供基本的资源，用户可以根据自己的需求进行灵活部署和配置。在云主机服务基础之上 IDC 云 可以进一步提供云平台服务，对于常见的操作系统、中间件及工具等事先完成部署和配置，用户可以直 接享用这些平台服务，而不需要自己进行安装和维护。云平台服务的提供有两种方式，一种方式是提供内置有中间件或者工具的镜像文件，用户可以直接申请带有所需的操作系统、中间件和工具的虚拟机，来享用平台层的服务；另外一种方式是提供统一的平台级服务，用户申请的是平台服务而不是虚拟机，云平台服务根据不同应用领域提供不同的平台服务，常见的平台服务包括： Web 应用平台服务：提供统一的 web 应用平台，用户可以直接把 web 应用部署在该平台上，给他的用户提供功能。 数据库平台服务：提供统一的数据库服务，云平台通过多租户等关键技术保 证不同用户数据的隔离性和安全性，同时提供不同的服务质量级别，用户可以根据自己的需求和预算选择不同的服务质量级别。 分析计算平台：基于云技术的分析计算平台针对企业数据的海量化，以及数据的种类繁多且大量数据是无结构或者半结构化，等特点提供高容错、高可扩展的平台进行数据存储和分析计算，充分利用分布式技术提高分析计算的效率。 还有其他如存储平台、应用领域平台（如 S）等，提供不同的服务。 除了用户的生产环境可以使用云平台服务之外，云平台服务还可以给非生产环境，例如开发环境、测试环境、灾备环境 等提供服务。 云平台服务除了上述功能之外，很重要的一个非功能特性是提供弹性支持。 客户 使用云平台提供 的弹性管理服务，创建应用集群，通过云平台的集群和弹性管理，在应用访问量高的时候，自动增加更多虚拟机到应用集群中，通过更多的资源来保证服务质量；在应用访问量低的时候，云平台自动减少应用集群里面的虚拟机，在保证服务质量的同时降低系统额成本 。 云应用服务 在云平台基础之上进一步可以提供云应用服务，即通过 IDC 云平台给用户提供应用级别的服务， 在云平台上提供应用服务包括两方面： 一方面是基于典型的云主机租用服务，在云平 台的虚拟机上不仅提供平台层和中间件层的预配置，同时和应用服务提供商合作，预安装和配置应用内容，例如办公自动化系统，通用领域应用如报关、会计系统，特定行业的进销存管理系统等。在这种模式下，用户可以从 IDC 云 的运营商中购买到一整套服务，从底层资源到上层应用。通过 IDC 云 运营商 的规模化、共享和捆绑降低整体成本，用户可以更低的价格使用服务。 另一方面是基于云平台上的软件即服务 (SaaS)模式。 SaaS 模式指用户无需购买软件的版权和安装包，而是通过网络在线的方式订阅使用。 SaaS 是一种通过 Internet 提供软件 和应 用 的模式 ： 厂商将应用软件统一部署在服务器上，客户可以根据自己实际需求，通过互联网向厂商定购所需的应用软件服务，按定购的服务多少和时间长短向厂商支付费用，并通过互联网获得厂商提供的服务。用户不用再购买软件，且无需对软件进行维护，服务提供商会全权管理和维护软件，软件厂商在向客户提供互联网应用的同时，也提供软件的离线操作和本地数据存储，让用户随时随地都可以使用其定购的软件和服务。在这种模式下，客户通过 Internet 就可以使用自己的应用系统，通过互联网便可以享受到相应的硬件、软件和维护服务，享有软件使用权和不断升 级，这是网络应用最具效益的营运模式。 SaaS 模式和前面应用租用服务的核心区别在于应用租用模式中各个用户的应用都是各自独立隔离的，每个用户一个部署，彼此不共享应用平台，而在 SaaS 模式下，多个用户可以共享一个应用实例，由 SaaS 平台来保证多个用户之间的数据和配置互相隔离，彼此不会干扰。这样在物理资源虚拟化的基础上有提供了应用的虚拟化，可以进一步降低单位成本，同时通过虚拟化提高应用的可扩展性。 云移动服务平台 移动服务平台是一种特殊的应用服务， 运营商 为了充分利用在固话和移动网络上的核心能力，把 这些 核心能力封装 成服务的形式，通过云平台提供给终端用户和开发者，拓宽电信核心能力的使用，为 运营商 带来更多的收入。 运营商 的核心能力包括基本网元服务 和新的增值业务 ，例如短信、彩信、定位 、 全球眼等。移动服务平台提供统一的入口进行服务检索和使用，跟踪记录用户对服务的兴趣和使用程度，在为计费提供基础数据的同时，也 为运营商对核心能力的后续改进提供了客观的依据。移动服务平台构建在云平台之上，根据平台访问量和负载的变化分配相应的物理资源。 3. IDC 云 体系架构 IDC 云 将 是一个长期不间断运行的、高可靠性、高处理能力、可扩展性强的多业务支撑平台 。因此，该平台在设计和实施等方面应从先进性、稳定性、安全性、开放性和可扩展性等几方面进行综合考虑，应遵循如下原则： 技术的先进性和成熟性：整个平台的设计应立足于采用先进的、成熟可靠的、代表未来发展方向的主流技术，既减小了系统建设过程中 的技术风险，又增加了系统的生命周期，使得投资得到最大的效益回报； 一致性和完整性：平台中的各个模块和各个层次应遵循关于信息描述、组织、系统管理和检索与服务等方面的标准需要，遵循内容编码、数据通信、计算机系统安全等方 面的标准，保证所建立的信息和服务的可使用性、互操作性和可持续性； 高度的可靠性和稳定性：系统应具有很强的容错、容灾能力，完善的系统纠错恢复安全机制和自动诊断告警能力； 可伸缩性和可扩展性：涉及的主机平台、网络平台、数据库平台等应具有良好的可扩充性（升级能力）。数据模型的设计要充分考虑平台系统将来可能的扩展和业务的变动，以适应业务的迅速发展。架构设计时应采用伸缩性很强的体系结构，以能够适应业务的不断发展和用户规模的扩大。能够通过逐渐叠加、集成或扩展不同的系统模块或数据内容，适应从简单系统到复杂 机制的不断发展； 开放性 ： 开放性是指系统能够方便地进行功能扩充和修改，以及能够方便地同其它系统（甚至基于不同软硬件体系结构）进行连接、数据交换、增加子系统。 为此，平台设计要求 采用标准协议和规范 或采用 中间件技术 ； 高安全性： 安全性是指系统能够抵御外来攻击使得系统免遭破坏， 平台的机密 信息不被非授权用户访问。整个网络设计、网络设备选择、网络平台及软件设计都要将安全放在重要位置，确保网络安全和信息安全。不仅要求能抵御外来 (Internet)的数据非法访问和攻击，在内部也要提供完善的认证和授权机制来保证系统的安全性。 IDC 云平台 架构 由管理控 制中心、资源池和安全管理三大部分组成。管理控制中心是整个云平台的控制中心， 对平台用户 提供自服务等功能， 并提供 资源池 的 分配、管理和控制，同时还 应于 产品业务管理、 运营支撑平台 等外部系统对接，完成业务运营所需的 流程 控制 和计费等 功能 ； 资源池由基础 资源和 虚拟化 资源 组成 。基础资源包含服务器、存储和网络设备等传统 IDC 硬件设备， 虚拟化资源是 通过虚拟化软件将 基础 资源虚拟化，并 整合为虚拟化资源池 ； 安全管理贯穿 IDC 云平台从底层硬件到管理中心的 各个环节， 通过建立安全的身份认证、访问授权、安全审计等机制，确保业务应用和平台自身的 安全。 IDC 云平台的功能聚焦在 IDC 虚拟资源的合理分配、高效利用和自动管理上，主要定位于为其他 产品和业务提供有弹性的、能快速部署的、高可用性的 IDC 服务。因此， IDC 云平台的管理中心独立于各个产品业务，不涉及具体业务的用户和业务管理，只负责分配和管理这些业务请求的 IDC 资源和服务等级保障，以及管理这些资源使用周期。以云主机产品为例，产品的主体业务流程由云主机业务管理系统管理，在用户申请开通、变更云主机服务的时候，由 云主机业务管理系统 向 IDC 云平台请求相应的资源，平台的管理控制中心在虚拟化资源池中进行相关分 配，返回响应结果，同时提供相应服务等级的增值服务（迁移、备份等）。同样，云存储业务、 PaaS 等业务在需要 IDC 资源的时候，也是由其业务管理平台向 IDC 云平台提出资源和服务等级申请。 IDC 云平台的体系架构图如下图 1 所示： 资 源 池虚 拟 机 管 理帐 号 管 理自 服 务 模 块管 理 控 制 中 心镜 像 管 理软 件 管 理 硬 件 管 理数 据 采 集服 务 器 设 备 存 储 设 备 网 络 设 备基 础 计 算 资 源服 务 器 虚 拟 化 存 储 虚 拟 化 网 络 虚 拟 化计 算 资 源 虚 拟 化 与 整 合服 务 请 求 管 理查 询 检 索服 务 生 命 周 期 管 理服 务 状 态 管 理审 批产 品 业 务 管 理云 主 机 业 务支 撑 模 块云 存 储 业 务支 撑 模 块P a a S支 撑 模 块M B O S SC R M综 合网 管计 费帐 号 管 理接 口计 费 接 口工 单 接 口外 部 接 口使 用 状 况报 表 接 口资 源 服 务操 作系 统和 应用 软件软 件L i c e n s e资 源 管 理计 算 资 源 配 置权 限 管 理软 件 部 署监 控 告 警应 用 迁 移 备 份 与 恢 复L i c e n s e 管 理服 务 目 录 管 理网 管 报 表接 口身 份 认 证安 全 管 理访 问 控 制安 全 审 计平 台 用 户外 部内 部集 群 配 置 图 1:IDC 云平台的体系架构图 其中，管理控制中心的主要模块功能描述如下： 自服务模块：作为 IDC 云平台的服务入口，平台用户可以通过该入口进入平台管理控制中心。区别于各产品业务的服务门户，该自服务模块仅向用户提供所属资源的监视和控制 ，不直接提供资源的申请和变更服务。如在云主机业务中，由 IDC 运营支撑系统向用户提供云主机业务门户，用户在此门户下使用云主机业务提供的功能、服务，可能包括云主机开通、变更、关闭以及资源查看、使用统计等。仅在用户需要控制、监视所属主机的时候，业务门户将用户重定向到云管理平台的自服务模块中。 服务生命周期管理：从资源服务请求接收开始，到资源服务结束，管理和控制着资源服务的各生命周期状态。主要包括服务请求管理、服务状态管理、查询检索、审批等功能子模块。 资源管理：负责管理平台管理控制中心的核心资源，这些资源包括帐号 、权限、服务目录、镜像文件、虚拟机、软硬件以及 License 等。 资源服务模块提供对资源池资源的操作封装，将底层资源包装成服务，其中包括计算资源配置、集群配置、数据采集、监控告警、软件部署、应用迁移、备份与恢复等子模块。 系统接口：包括帐号管理接口，计费接口，工单接口，网管报表接口，使用状况报表接口等，为 IDC 云平台与其他 IT 系统对接提供数据输入和输出。 4. IDC 云 功能模型 基于 IDC 云 平台 体系架构，我们可以将 IDC 云的功能模型分层五个层次：物理资源层、虚拟化资源层、基础服务层、接口层和管理层，每个层次又由不 同功能模块组成（见图 2），下面我们将对功能模型中的关键模块逐一进行说明。 物理资源层 计算资源 存储资源 网络资源虚拟化资源层 虚拟计算资源 虚拟存储资源 虚拟网络资源基础服务层 镜像管理 实例管理 规模扩展接口层 用户界面 API 接口管理层资源池管理用户管理计费管理安全管理系统监控镜像管理 实例管理 负载规模扩展 图 2:IDC 云平台的 功能模型 虚拟资源 管理模块 是对物理资源的虚拟化，物理资源主要包括三大类，计算资源，存储资源和网络资源。资源虚拟化通过对物理资源的抽象和虚拟化，虚拟化后提供三大类虚拟化资源，包括虚拟化计算资源，虚拟化存储资源和虚拟化网络资源。虚拟化计算是指在一个服务器上虚拟出多个虚拟服务器，每个虚拟服务器上可以运行不同的服务，这样可以充分利用服务器的强大硬件能力，提供利用率。虚拟化存储是指为物理的存储设备提供一个抽象的逻辑视图， 用户可以通过逻辑视图来访问物理上分布在不同存储上的众多文件，方便用户访问，提高文件访问的效率。虚拟化网络是指整合后的网络硬件和软件，提供虚拟化网络，一个虚拟化网络可 以包括多个本地网络，或者一个本地网络可以被定义成多个虚拟化网络； 镜像管理 模块 支持用户浏览查看平台上的镜像文件，包括创建镜像 、 更新镜像 、 查看镜像 、 修改镜像 等； 实例管理 模块 支持用户对自己的实例对象进行管理， 并对实例全生命周期进行管理； 规模扩展 模块 支持应用根据负载高低自动分配资源，高负载时增加资源，低负载时释放多余资源 ， 根据应用集群的监控数据，自 动调整应用集 群，增加或者减少节点，在保证用户服务质量的同时优化对资源的需求； 安全管理 模块 贯穿整个 IDC 云平台，从物理机房，主机，存储，网络，到应用和服务层， IDC 云平台的安全性需要从不同层次分别入手； 用户管理 模块 对平台上的用户提供管理功能，包括用户自服务和用户管理； 计费管理 模块 是云模式的 IDC 业务中不可缺少的一个模块，该模块负责对云模式IDC 中服务的定价，记录用户 对服务的使用度量数据，以及根据度量数据和计价策略生成用户的账单； 系统监控模块 对 IDC 云进行实时监控，获取资源的运行和使用详细情况，为系统的正常运行和计费提供基础。 5. IDC 云 组网和部署结构 IDC 云组网部署包括两部分，一部分是虚拟化资源池的组网部署，另一部分是云平台管理控制中心的组网部署。 IDC 云的组网划分为三大区域：隔离区（ DMZ）、网管网络和生产网络。三个区域由两层防火墙进行划分。隔离区是外部互联网与 IDC 内部网络的缓冲区，可以放置一些必须公开的服务器设施，如云平台的自服务 WEB 服务器。网管网络属于内部管理网络，放置各种管理控制服务器设备，由两层防火墙提供与外网的隔离，远程管理的需求由 VPN 提供安全接入。生产网络连接着虚拟化资源池中的设备 ，在云主机等服务交付后，用户可有条件地进入生产网络，登录相应的云主机设备。根据用户申请的云主机属性和服务等级不同，云主机的访问方式也有不同。对于可以访问 Internet 的云主机，用户可以通过 Internet 直接登录和访问云主机；对于不能访问 Internet 的云主机，用户必须通过 IDC 云平台自服务模块中提供的主机控制功能来操作云主机。 虚拟化资源池包含服务器集群、存储阵列等设备。服务器通过虚拟的和物理的交换机划分为可以访问 Internet 的公网服务器组和不能访问 Internet 的内网服务器组。服务器通过接入网 络设备接入到 IDC 核心网络，由 IDC 生产网络提供统一出口，构成服务器资源池。存储设备由 SAN 网络构建成的存储网与服务器资源池互连，提供服务器对存储资源的存储访问。 云平台管理控制中心根据服务模块负载需求以分布式方式部署在网管网络中，如按功能部署为资源服务服务器、资源管理服务器以及采集监控服务器等。 整体组网部署结构图如下图 3 所示： i n t e r n e t防 火 墙 / V P N自 服 务 W E B服 务 器防 火 墙终 端 用 户C l i e n t远 程 云 管 理 者本 地 云 管 理 者采 集 监 控服 务 器资 源 管 理服 务 器网 管 网 络生 产 网 络公 网 服 务 器资 源 池S A N共 享 存 储 池D M Z资 源 服 务服 务 器平 台 管 理 控 制 中 心虚拟化资源池负 载 均 衡I P S / D D O S 防 御内 网 服 务 器资 源 池 图 3： 网部署结构图 6. 演进路径 第一步：基础设施服务平台建设 整合：服务器整合、存储整合、整合效率评估，降低基础架构复杂度 ； 虚拟化：主机虚拟化、存储虚拟化和网络虚拟化，消除资源物理边界，提升资源利用率，统一资源池分配 ； 服务调度：面向服务的云平台、动态伸缩、动态服务管理、多重租用、安全性、自服务、弹性基础架构，大幅度加快服务部署周期 ； 强调“管理”能力的基础架构； 运维体制、安全保障体制的建设； 融合服务模板的云主机业务的开展：基于系统级软件的云主机，例如开发测试工具等；备份服务、病毒、补丁等增值云主机服务 。 第二步：电信服务能力开放和融合，建设云中开发平台，完善 PaaS平台 开放电信的核