云平台项目技术方案.doc

1、中嘉华诚业务云平台项目技术方案2011年6月中嘉华诚云平台建设技术方案目录1 总体描述 .31.1项目背景概述 .3Applogic 的优势 .1.2 3实施效果 .41.3系统详细建设方案 .722.1总体架构 .7组网建设方案 2.2.82.2.1 组网方案 .8资源配置 .10 2.2.2组网方案特点 .12.2.3 0应用拓扑建设方案.12.312.3.1 应用设计需求 .11应用拓扑设计 2.3.2 .122.4 云计算能力升级扩展方案.192.4.1 网络带宽资源升级.19计算资源池（ CPU 池 内存池 2.4.2存储池）扩展流程 .193 系统软硬件配置清单及说明.213.1

2、软件配置清单及说明.21硬件配置清单及说明3.2 .212中嘉华诚云平台建设技术方案1 总体描述1.1 项目背景概述中嘉华诚决定面向广大全国计算机用户提供免费的操作系统内核级别的安全加固软件，同时提供开放式版本升级下载等服务。由于市场宣传效果的不确定性和市场安全事件的突发性， 其后台提供网络服务的计算资源面临严重挑战：公司不可能一次性采购很多 server，但又担心后期网络服务的计算资源无法满足客户需求造成负面影响。除此以外，随着后期服务器设备添置的数量越来越多，必定加重系统管理员的工作压力和工作强度，如何快速、高效的进行系统搭建、系统运营、系统备份等诸多运维方面的问题亟待解决。在网络实效性服

3、务应用行业中，存在二八现象，通常 20%的时间里，提供 80% 的网络服务，也就意味着随着市场业务的拓展， 有更多的服务器在相当长的时间内处于闲置资源状态。 而且这些服务器是无法关闭的， 负责在突发的业务高峰到来时，网络服务资源必将捉衿见肘。同时作为一个有社会责任感的企业，节能减排、绿色计算的理念在企业管理层得到广泛认同， 可否在低碳的前提下开展此项网络服务业务， 也被提到了项目意向当中来。通过市场调查和多方比较，最终选中了 Appplogic 云平台解决方案。 Applogic 云平台软件，是能够整合、并灵活分配 x86 架构下的计算资源，利用主流的操作系统上的各类应用为客户提供稳定、 高效

4、的网络服务， 同时和谐的与原有的管理系统进行对接的一款优秀的软件产品。1.2Applogic的优势快速部署，实施周期短，成本回收快?内置 90% 常用网络服务功能模板，方便管理升级扩容?弹性资源划分精细，差异化迁移，迁移无硬件兼容制约? 关注业务实施，瞄准应用环节，庞大应用控件模板可用? 3中嘉华诚云平台建设技术方案软件成本低廉 ,所有功能全部开通，不必层层收费硬件只需服务器和交换机，不必采购其它新硬件设备界面友好，每个应用的架构拓扑一目了然，系统设计开发改造直观方便注： Applogic 的 CPU 是以核数来划分，最小粒度为： 0.01 。1.3实施效果(a)、实施时间效率（运维费用降40

5、% 实施时间缩短110 小时 /周或 10 天 /月）一天时间就将普通的单路负载升级到三路负载模式(在项目实施一期的时间段内把二期的系统就已经实现完毕)：一期所要达到规模4中嘉华诚云平台建设技术方案已经部署完成的二期规模、对于原有设备的利旧方案：(b)5中嘉华诚云平台建设技术方案(c)、不同城市之间虚拟数据中心相互协调配合以及虚拟应用的迁移(示意图 )在目前的基础上对未来多点部署云平台的容灾备份方案也规划出了相应的解决方案6中嘉华诚云平台建设技术方案2 系统详细建设方案2.1 总体架构中嘉华诚业务云平台的建设重点为 IaaS云及系统管理平台其整体架构图如下：目前业务云平台实现了如下功能：功能点

6、描述自助服务门户为客户提供自助式服务门户，客户可以自行登录服务门户，使用企业云计算平台提供的服务。门户列出每个客户已经提交的所有服务请求，以及每个请求的状态。计算资源统一管理能够通过单一集中的管理系统，管理平台中所有软硬件资源计算资源池化管理将所有计算资源以资源池的方式进行管理，对SVC存储池进行管理虚拟机镜像管理可以维护虚拟机镜像软件包管理支持维护软件安装包自动化实现自动化的虚拟机的创建于删除，虚拟机镜像和软件包的分发，存储的划分、卷与服务器的映射监控管理对所管理的硬件资源（物理资源以及虚拟资源）的使用情况，运行情况进行监控虚拟机迁移实现虚机的冷迁移和热迁移，方便系统运维7中嘉华诚云平台建设

7、技术方案2.2组网建设方案2.2.1组网方案Applogic 云平台物理拓扑：与其他厂商不同之处在于不必单独购买防火墙、负载均衡、网络存储设备、 VPN 设备。实际生产环境如下：设备名称 SQL srv 1设备型号 4内网 ip 地址4外网 ip 地址 20软件安装机 Aldo 3Dell 8192.168.0.5 8172.1.1.5 40小计Zjhc -Srv1 1 BBS srv 1HP22192.168.0.114 4172.1.1.1120 20小计Zjhc -Srv2 1 GKR srvHP 1192.168.0.132172.1.1.1320Zjhc -Srv3 1小计HP 11

8、92.168.0.122172.1.1.1220Zjhc -Srv3 5总计HP 11192.168.0.1414172.1.1.1480服务器 NASHPController IP云主页172.1.1.108中嘉华诚云平台建设技术方案拓扑图如下：外置存储设备接入Applogic 的物理拓扑图：9中嘉华诚云平台建设技术方案2.2.2资源配置在该平台上，将部署3 个应用，具体资源需求情况如下：a) 计数器 web 应用；b) BBS web应用；c) GKR总控机应用；计数器 web 应用机器服务器数量CPU 数量内存数量G数据盘容量G20 4 4 WEB srv 2 2.2.3组网方案特点具备

9、如下特点：1） 高可用性系统默认两个存储镜像备份（RAID1* ），最多扩充到 8 个镜像备份。对于一个应用里的 SAN 或 DB 控件，自带 Replicator 控件，主从、从从级别同步。双机备份在 Applogic 有两种实现方式：在同一个虚拟应用里参照物理设备的同样的应用。或是建立两个一模一样的应用， 用 Applogic 的 SLA 模块充当判决者，让服务的响应从一台切换到另一台。也可以实现多个云平台 （每个云内含多个虚拟应用群） 间的异地冗余备份容灾中心。10中嘉华诚云平台建设技术方案2） 安全性点对点的加密通信传输，云用户，云管理员和云维护者权限各异。3） 实施简单容易扩展网络拓

10、扑结构简单，云平台的架构图形界面直观，易于操作和排查故障。2.3 应用拓扑建设方案2.3.1 应用设计需求云平台的SAAS层将采用WIN2008 ，并在其上提供中嘉华诚的业务应用平台，包括网站?服务，下载服务及GKR安全控制公司安全软件的补丁（每23 个月升级一次）和策略包（升级周期2 周为单位）的升级?下载服务用数据库MSSQL2005，记录软件终端用户的软件升级和使用信息和非本地动态网页后?台数据信息Server 进行公司与客户之间的互动交流?希望在平台的运行初期达到百万级别左右的并发访问级别，并且可以灵活分配? 计算资源的平均分配，并要保证后台系统的HA（高可靠性）可能使用到mail 服

11、务器，可以方便的部署和应用? 11?未来中嘉华诚云平台建设技术方案2.3.2应用拓扑设计计数器 web 应用具体拓扑设计如下：设备描述：设备名称数量平台应用描述IN 网关3Linux前端 ip 地址绑定， 用户通过该ip 地址访问到 web 服务器 IIS ，内置防火墙Halb负载均衡器1LinuxWeb 负载均衡， 将 80 端口负载根据规则分配到 web 服务器 IISIIS 服务器2Win2008Web 服务器SQLSERVER 数据库1Win2008Web 后台数据库， SQL server 2008存储 NAS1LinuxNas 存储文件服务器Net网关1Linux网关，提供网络访问

12、服务Mon监控模块1Linux监控模块，提供性能分析、监控服务端口转发 PS81Linux端口转发 nat12中嘉华诚云平台建设技术方案设备清单：设备名称设备类型设备用途UserIN网关网站对外ip ，用户看到的是单独的外网ip，开放80 端口CtlIN网关访问负载均衡器管理页面AdminIN网关管理 ip ，通过该 ip 接，开放 3389 端口访问web服务器和sqlserver数据库远程连HalbHalb将前端的80 端口网页访问负载到两台web服务器上PS8PS8将外网 ip 端口转发到多台虚机上，将三台虚拟机的 3389 远程控制端口ip3389 -3391端口转发给Win08x86

13、iis3Web 服务器架设 web 网站Win08x86iisWeb 服务器架设 web 网站NasNas存储共享文件Win08x86sqlSqlserver存储网站的数据库NetNet网络通信网关关键器件配置：User-In 用户网关参数名称参数值描述参数值Start Order启动顺序10ip_addrIp 地址绑定172.1.1.58netmask子网掩码255.255.255.0gateway网关172.1.1.1allowed_hostsip 地址段允许访问的0.0.0.0/0denied_hostsip 地址段拒绝访问的dns1服务器地址 Dns202.106.0.20iface1

14、_protocol允许协议Tcpiface1_port允许端口8013中嘉华诚云平台建设技术方案CTL -In 负载均衡控制网关参数名称参数值描述参数值Start Order启动顺序10ip_addr地址绑定 Ipnetmask子网掩码gateway网关allowed_hostsip 地址段允许访问的denied_hosts拒绝访问的ip 地址段dns1服务器地址 Dnsiface1_protocol允许协议Tcpiface1_port允许端口后台控制网关admin-In参数名称参数值描述参数值Start Order启动顺序10ip_addr地址绑定 Ipnetmask子网掩码gateway网

15、关allowed_hosts地址段 ip 允许访问的denied_hosts拒绝访问的地址段ipdns1服务器地址 Dnsiface1_protocol允许协议Tcpiface1_port允许端口net-net互联网网关参数名称Start Orderip_addr参数值描述启动顺序Ip 地址绑定参数值1014中嘉华诚云平台建设技术方案netmask子网掩码gateway网关allowed_hostsip 地址段允许访问的denied_hosts地址段拒绝访问的ipdns1Dns 服务器地址iface1_protocol允许协议Tcpiface1_port允许端口Halb 负载均衡器件参数名称参

16、数值描述参数值Start Order启动顺序20mode地址，通过算法分配根据ip 服Source务器上到固定的webmax_connections最大连接数0-不限制timeout超时数不限制 0-healthcheck_interval 高可靠性健康检查器件，当web 服务负每秒 1-载均衡会自动器down 掉， 服务器分配请求给其他webUsername管理页面用户名AdminPassword管理页面密码Passwordui_port管理页面端口80Win08x86iis3 -web 服务器参数名称参数值描述参数值Start orderFailover Group Member启动顺序H

17、A80web恢复组，保证此组内的虚拟机会分配到不同的物理机Ip_addrIp 地址172.1.1.8215中嘉华诚云平台建设技术方案netmask子网掩码255.255.255.0gateway网关172.1.1.1Dns1Dns 服务器202.106.0.20CPU计算能力2Memory内存2GBindWidth带宽100MWin08x86iis -web 服务器参数名称Start orderFailover Group Member参数值描述启动顺序HA参数值80web恢复组，保证此组内的虚拟机会分配到不同的物理机Ip_addr地址 Ip172.1.1.81netmask子网掩码255.2

18、55.255.0gateway网关172.1.1.1Dns1服务器 Dns202.106.0.20CPU计算能力2Memory内存2GBindWidth带宽100M服务器 Win08x86sql -sql server参数名称参数值描述Start order启动顺序Ip_addrIp 地址Netmask子网掩码Gateway网关Dns1服务器DnsCPU计算能力16中嘉华诚云平台建设技术方案Memory内存BindWidth带宽端口映射器件PS8 参数名称参数值描述Start order启动顺序out1_protocol第一组映射协议out1_in_port第一组外网端口out1_out_po

19、rt第一组内网端口Out2_protocol第二组映射协议Out2_in_port第二组外网端口Out2_out_port第二组内网端口Out3_protocol第三组映射协议Out3_in_port第三组外网端口Out3_out_port第三组内网端口参数值50172.1.1.83255.255.255.0172.1.1.1202.106.0.2044G100M参数值10Tcp33893389Tcp33903339Tcp33913389方案描述： 服务器webweb应用， 两台服务器， 服务器内部署中嘉华诚a) 该应用提供两台web数据库； 通过共享的方式接入存储有用户数据和网站数据的共享文

20、件，静态页面，下载内容等放置在nasb) 两台 web netsqlserver 文件服务器中； 服务器的网关共享上网； web 服务器和sqlserver服务器通过c) 两台halb网关提交用户请求到负载均衡器，用户通过userhalbd)两台web 服务器的前端是负载均衡器，发到两机的情况， 负载均衡器会在负载均衡器会根据设置的具体规则对该用户请求进行分配，分downweb 服务器有web 台服务器中的任意一台；如果服务器，用户感觉不到机并且自动将用户请求分配给其他 webdown1 秒内检查到服务器）的 sqlserverweb 服务器、一台器件通过端口映射将三台服务器（两台down掉； web 服务器 e) PS8 端口；计算机管理3391 、3390 、3389ip远程访问端口分别映射到某一外网地址的的不同端口对三台服务器进行控制；员通过访问该ip 17中嘉华诚云平台建设技术方案f)该应用下的所有器件的资源数据都通过mon 进行监控，器件内部的CPU、硬盘、内存、带宽等使用情况都可以通过该器件进行查看、统计；g) Web 服务器和 sqlserver 服务器都通过 17