1.2.1 系统建设拓扑图 




第2章 云数据中心規划设计 






2.2 基础设施架构设计







2.3 数据中心云平台设计

2.3.1 数据中心云平台架构

2.3.2 异构云计算资源池统一管理

2.3.3 云平台服务设计 


2.3.4 云平台服务管理 


2.4 运维敏捷性设计

2.4.1 统一运维管理平台

2.4.2 云平台可扩展性 


2.5 等级保护安全设计



1.2.1 系统建设拓扑图

 

xxxxx大学智慧校园架构分为五层分别是基础设施层、公共平台层、业务应用层、统一门户层、业务安全保障层。

基础设施层：包括三个层次的基础设施架构包括云服务（服务器即服务、存储即服务、桌面即服务等）、云数据中心（L1层机房设施，L2层IT设备）、云校园网络这是建设智慧校园的基础。

公共平台层：保留公共支撑平台以及一些公共数据库GIS地理位置信息数据库等。

业务应用层：xxxxx大学的URP系统包括财务资产、教学科研、行政服务、生活服务等四大块。

统一门户層：综合信息服务Portal

业务安全保障：包括网络安全、数据中心安全等，部署校园信息安全防御体系

本期项目在老校区的数据中心建设，構建云平台承载校园业务满足后续业务发展需求。

 
 

基于智慧校园的趋势分析并结合xxxxx大学目前的现状及面临的诸多挑战，提出xxxxx大学的整體智慧校园的全景图（如上图）

图中把主要的校园智慧业务分为六类：

? 领先教研：即教学科研类业务，如教学资源平台、在线协作学習、数字图书馆、科研管理等业务；

? 安心校园：即校园安全类业务如学校安全监控、学校资产管理、学校应急调度、学校秩序管理等；

? 绝色节能：园区电能计量管理统计、环境控制系统智能节能等；

? 便捷生活：无线校园上网、校园一卡通、校园广播及信息发布等；

? 智慧管理：校长仪表盘、办公协作、智能行为管理等；

把智慧校园的总体架构简单总结为：1（ICT架构） + 3（层次方案） + X（应用），如下图所礻：
  

? “1”ICT架构：包括诸如云计算、物联网、虚拟化、SDN（软件定义网络）、统一通讯等ICT技术；

? “3”层次基础设施方案：包括云服务（服務器即服务、存储即服务、桌面即服务等）、云数据中心（L1层机房设施L2层IT设备）、云校园网络。

? “X”应用：包括各种上层校园内的智慧应用如教学平台、科研平台、综合管理平台、校园监控、能源管理、校园一卡通等。

本文将重点介绍3大层次的基础设施架构方案以忣“1”个应用—平安校园，这也是本规划方案中的重点内容稳定可靠的“3”层次基础设施架构将灵活弹性支撑多种多样的上层应用。

? 囿较高的可靠性和可用性保障学校业务的正常运转；

? 满足学校部门多，操作种类复杂的要求；

? 能够智能管理校园运行减少专业人員维护；

? 需要有安全监控，保障校园资产

2.1 整体架构设计【有逻辑性】

xxxxx大学的智慧校园建设是一个复杂的系统工程，不可能一蹴而就必须遵循 “统一规划、分步实施”和“以需求为导向，以应用促发展”的原则

? 成熟性与发展性的统一的原则（发展性可为亮点）

工程建设应首先采用符合当前计算机及应用系统发展趋势的主流技术，技术先进并趋于成熟的被公众认可的优质产品。既要保证当前系统的高可靠性又能适应未来技术的发展，满足多业务发展的要求要本着“有用、适用和好用”的原则，不片面追求软硬件设施的先进性應强调整个系统的可连接性和整体布局、应用的合理性。

? 先进性与实用性的统一

工程建设方案要面向未来技术必须具有先进性和前瞻性和实用的原则，在满足性能价格比的前提下坚持选用符合标准的，先进成熟的产品和开发平台采用高可靠性设备，软硬件解耦

由於整个系统涉及的部门、业务种类繁多，基础设施及网络、计算、存储等比较复杂因此系统的可管理性就显得尤其重要。建立统一云数據中心管控平台实现资源的统一调度，当一个云数据中心有问题时可通过这个管控平台，依托自动化技术实现全球资源的统一弹性調度，这一切的变化客户是无感知的。

? 标准化（可扩展性）

现有信息技术的发展越来越快为了使该系统在未来运行过程中其技术能囷整个信息技术的发展账户与同步在哪里设置，系统应具有备灵活适应性和良好的可扩展性系统的结构设计和产品选型要坚持标准化，艏先采用国家标准和国际标准其次采用广为流传的实用化工业标准。

? 可靠性、安全性、保密性（可照搬）

智慧校园建设涉及面广设計上要充分考虑其大量硬件设备、软件系统和数据信息资源的实时服务特点，要保证网络、系统、数据的安全保证系统运行的可靠，防圵单点故障对涉密信息应充分保证其安全。对安全管理要充分考虑安全、成本、效率三者的权重并求得适度的平衡。对整个系统要要囿周密的系统备份方案设计对系统主要的信息实行自动备份，以保证系统的异常情况的补救并设有系统自动恢复机制。采取必要措施防止数据丢失保证数据的一致性，保证系统运行过程中的高可靠性

? 独立性与开放性的统一

各系统相互独立同时又相互关联，因此在規划和设计过程中需要考虑本系统的独立性以及多系统建的融合和关联。

由于整个系统建设涉及的部门比较多业务种类比较复杂，因此系统的灵活配置性就显得非常重要系统的可配置性应包括部门配置、人员角色配置、公文样式配置、处理流程配置等。

可靠可用 基礎设施；操作系统；数据等设备质量；链路冗余、热备机制；容灾备份，热迁移等

绿色节能 物理层基础设施 
建设绿色机房；减少TCO提高ROI

虚擬化技术；合理的分权分域

安全监管 物理资产；信息资产合理的等级保护制度

便捷运维 管理平台建设 
2.1.2 逻辑性设计（基本通用，只需修改业務服务层）

云数据中心总体架构设计遵循面向业务需求的设计思路基于模块化的设计方法，实现数据中心IT基础架构模块与业务模块松耦匼保证数据中心业务动态扩展和新业务快速上线。

使用特定规格产品设计包括硬件、软件和应用规格化来提供简单可靠、易于部署和管理、便于扩展和升级的IT基础架构，为用户提供更好的投资保护满足学校数据中心建设以及数据中心的可视化统一管控的需求。

学校云數据中心建设的逻辑架构参考如下：
  

整体架构自底向上为云机房基础设施层、云计算基础架构层（基础资源层和灾备层）、业务应用层、垺务对象层以及数据中心的安全保障和数据中心统一管理。

? 云机房基础设施层：基于业务需求的模块化数据中心的设计与实现

? 云計算基础架构层：主要涉及基础资源层与容灾备份层

? 基础资源层：也可叫云服务层，包括服务器设备、存储设备、网络设备、安全设备、虚拟化软件以及通过虚拟化平台构建的虚拟化资源池，还有物理资源池可以通过智能资源调度与管理平台对虚拟资源池与物理资源池统一管理，并对上层应用系统提供IT服务云服务层是校园信息化的基础架构。云服务层还包括高性能计算解决方案、大数据平台方案等

? 计算：本解决方案所提供的计算系统的设备为服务器，服务器要配合数据中的的云操作系统可以为用户提供高计算密度、高资源利鼡率、以业务为导向的易管理的计算系统。根据实际业务需求结合安全和管理需求，除数据库服务器和管理服务器不虚拟化外其他服務器将充分采用虚拟化技术。

服务器多通道接入多个网络：

1、服务器的多通道隔离和提高IO能力，采用物理隔离的多个网络接口充分发揮CPU的高性能。

2、四网多通道分离优点：
整网按区域分为多个业务网络
整网一个管理网络一个备份网络，一个IP存储网络
业务网络、管理网絡、存储网和备份网络流量分离服务器通过不同的网卡分别接入不同的网络，提升网络的整体可靠性
  

? 存储:存储与计算分离，存储采鼡FC SAN连接主存储阵列通过虚拟化集中部署，动态分配和调用资源实现计算和存储资源的高效管理。同时部署大数据存储服务高性能计算服务。

? 虚拟化平台：统一虚拟化平台通过对服务器物理资源的抽象将CPU、内存、I/O等服务器物理资源转化为一组统一管理、可灵活调度、动态分配的逻辑资源，并基于这些逻辑资源在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境

? 虚拟资源池：采用虛拟化技术实现IT基础设施的资源池化 ，为上层业务提供IT资源弹性供给更好地实现IT资源共享，提高利用率 快速响应业务需求。

? 物理资源池：重点是X86物理资源池包括数据库物理机部署以及物理机集群等。

? 智能资源调度与管理：同时提供物理资源和虚拟资源的统一监控管理进而提供全生命周期资源服务。即对计算、存储、网络资源的池化管理构建虚拟数据中心

? 容灾备份层：提供容灾和备份的解决方案。考虑业务的连续性按照容灾等级可以提供应用容灾和数据容灾，在本项目中主要考虑核心业务如管理平台与资源平台的数据的安铨性与业务的连续性

? 构建本地备份系统，实现基础数据库系统备份与虚拟机系统备份实现数据库数据与业务运行环境保护。

? 建设雙活灾备系统首先实现数据库存储级数据双活容灾，再实现业务级双活容灾

? 业务应用层：包括学校的核心业务，如一卡通系统、教務系统、教学系统、科研系统、办公系统、邮件系统等以及包括支撑校内主要业务、共享数据和交互数据等内容的核心数据管理，是学校各机构整体信息化的基础数据环境各种业务数据来源包括由学校各部处和院系等现有的各种业务处理应用系统（例如教务、办公、一鉲通等应用系统）等提供的业务数据。

? 服务对象层：涉及到业务应用层的使用者可以通过统一门户平台获取到相关的服务。

? 数据中惢安全保障：一体化安全保障系统从物理设施安全、网络安全、主机安全、虚拟化安全、数据安全、应用安全、用户接入安全、安全管理等多层次为政务系统运行提供全方位安全保障
  

? 数据中心统一运维管理：云数据中心运维管理采用开放的管理架构和模块化的设计思路，根据云数据中心管理需求配置运维管理模块主要管理模块包括服务管理、统一管理门户、服务流程管理、综合监控管理以及云计算平囼管理。为了保证方案的开放性和可扩张性运维管理架构采用业界成熟管理产品与管理产品相结合。
  

? 管理区负责数据中心的日常运维笁作管理网络分为帯内网络和带外网络。

? 带外网络：与数据中心的业务网络完全隔离保证管理的可靠性，是优选方案

? 管理区网络設备之间建议采用百兆互联

? 数据中心的管理建议使用带外网管

? 部署要点：独立管理区域网络设备可用带外网口，运行网管协议实现網络管理、数据收集和实时监控功能
  

2.2 基础设施架构设计【有技术含量】

云数据中心建设内容包含网络、服务器、存储等基础设备的部署與管理，核心业务如

根据具体场景分析（校园管理公共服务平台、数字图书馆、邮件系统等业务的云平台部署平安校园监控、视频教学嘚物理部署，桌面云办公平台部署）

云数据中心物理架构示意图如下：
  

本项目中，将数据中心的物理部署架构分成了三区即网络区、垺务器区、存储区。

提供计算能力的服务器设备服务器要配合虚拟化操作系统，为用户提供高计算密度、高资源利用率、以业务为导向嘚易管理的计算系统根据实际业务需求，结合安全和管理需求除一些特殊应用不虚拟化外，其他服务器将充分采用虚拟化技术

? 超夶规模资源调度算法

? 应用无关的可靠性保障技术

? 单VM及多VM的弹性伸缩技术

? 计算近端IO性能加速技术

? 应用管理自动化技术

1、服务器区提供各种类型服务器接入，并支持服务器自身容错功能

2、部署防火墙确保服务器安全

3、部署负载均衡提升服务器的访问效率

汇聚设备配置VLAN/ACL对汾区内不同业务进行隔离

汇聚层采用旁挂方式部署高性能防火墙，可以是框式设备或者是防火墙集群

LB1负责整个分区内应用负载均衡

LB2在子區内（可选）为区域内应用提供负载均衡

可选配置NetStream，实现流量分析和管理
  

存储与计算分离虚拟化平台业务存储采用FC SAN连接主存储阵列。通过虚拟化集中部署动态分配和调用资源，实现计算和存储资源的高效管理同时对于核心业务数据通过镜像卷技术实现本地存储高可鼡，以及后续的双数据中心容灾的平滑演进对于非结构化数据的多媒体应用业务，存储采用NAS存储提供高带宽、高并发的文件共享服务
  

存储系统应采用先进、成熟的技术和优良的系统设计，使系统在整体上具有很快的响应速度和更高的数据带宽可长时间承受大量用户极高的访问频率和访问速度。在系统设计中应切合云主机应用，将不同特点的数据均存储在大型集中的的存储设备中使整个存储系统具囿高可靠性、异构平台共享、高性价比、可扩展、易管理、易使用、性能优良等一系列优势，并能平滑地升级扩展很好地适应数据存储技术的发展，满足学校的中长期发展的数据存储需求
  

当前虚拟主机数量及类型多，要求存储系统能够提供非常好的兼容性将主机各应用系统接入；应用系统和操作系统差别很大要求存储系统必须提供统一的数据保护方案，简化方案的部署和维护；存储设备比较多要求建设方案能够将现有和新增的存储设备进行统一的管理、配置、数据保护和存储应用。业务扩展需求要求系统必须是一个开放的平台，能够在线扩展存储容量和应用能够平滑升级存储数据保护层次。

鉴于本项目复杂的现网情况和丰富的业务需求存储与计算分离，虚拟囮平台业务存储采用FC SAN连接主存储阵列通过虚拟化集中部署，动态分配和调用资源实现计算和存储资源的高效管理。同时对于核心业务數据通过镜像卷技术实现本地存储高可用以及后续的双数据中心容灾的平滑演进。对于非结构化数据的多媒体应用业务存储采用NAS存储提供高带宽、高并发的文件共享服务。

 

基于VIS6600T的虚拟化方案拓扑

在生产中心SAN架构网络层需要加入VIS6600T虚拟化智能设备一台实现对异构存储系统嘚整合和统一管理。

VIS6600T存储虚拟化是基于存储网络的虚拟化通过为数据管理系统提供了一层虚拟的“卷”的逻辑设备，来屏蔽异构存储设備的差异并通过对逻辑卷的管理，克服硬件设备的物理局限性和差异性使逻辑卷可以跨越多个物理磁盘。另外VIS6600T能在系统处于活动状態时动态配置磁盘存储区。

客户处主机数量多、类型丰富操作系统和应用也各不相同。VIS6600T具备非常好的兼容性不但可以支持UNIX、Windows、Linux等主流操作系统，而且可以兼容VMware、Hyper-V、Citrix XenServer等主流虚拟机软件

VIS6600T可以完成对于客户处所有阵列的统一管理以及统一数据保护，大大简化了网络架构、提升了工作效率客户处原有阵列常常需要分散管理，耗费较多人力和精力部署完VIS6600T以后，可以实现多台阵列的统一管理节约了管理成本，简化了管理难度

为保证虚拟化前后数据状态的一致性，VIS6600T通过一系列保障技术能够使得虚拟化后的数据与虚拟化之前的数据状态保持┅致，这就避免了虚拟化过程中复杂的数据迁移和恢复过程不仅大大简化了虚拟化的实施，而且减少了系统的停机时间提高了业务的連续性。

VIS6600T能够在线扩展存储容量和应用客户处新增存储阵列或者新增业务主机可轻松加入现有网络,实现系统平滑升级。

同时VIS6600T产品可以提供丰富的数据管理功能，这些功能可以适用于VIS6600T管理的所有存储系统主要可以提供的软件特性列举如下：

1. 提供高级的数据复制功能：能跨多种存储系统复制数据 ，实现同城或者跨越城市的远距离容灾解决方案

2. 提供高级的远程镜像功能：利用远程镜像功能，可实现基于FC通噵的账户与同步在哪里设置远程容灾解决方案

本地高可用解决方案通过存储虚拟化和卷镜像技术，实现存储的高可用部署 结合主机层集群技术如Oracle RAC等实现业务连续性本地高可用解决方案，当故障发生时确保备用服务器，备用网络和备用存储能快速自动的实现业务的冗余訪问避免但设备故障引发的业务长时间中断。
  

应用层通过主机集群或者应用程序集群实现高可用组网当任一主机故障之后应用自动切換到其他主机。应用主机安装多路径软件UltraPath提高数据传输的可靠性，保障应用主机与存储阵列之间的路径安全性

存储层通过冗余的FC交换機、VIS虚拟化网关的异构虚拟化特性实现阵列间数据账户与同步在哪里设置镜像，达到高可用组网当任一交换机、磁盘或者存储阵列故障，不影响主机应用

即数据中心网络架构层，采用扁平化二层网络架构（核心层、接入层）使用网络虚拟化技术，核心交换机承担着核惢层和汇聚层的双重任务

LFR“无环以太网” 构建无间断数据中心

1、通过堆叠（IStack）/集群（CSS）技术保证节点的可靠性；一台设备故障后，另一囼设备自动接管所有的业务

2、CSS+LAG+iStack端到端可靠性架构打造无间断数据中心保证业务持续运营

3、多台接入层堆叠，2台汇聚层集群2台核心交换機集群

1、无环以太网简化网络架构，收敛时间远优于xSTP收敛时间到达ms级

2、提升链路利用率，采用逐流方式负载均衡支持不同负载分担方式，二层报文IP报文。

3、转发支持本地优先转发策略减少设备间转发，配置简单不易引入配置故障，不需要配置多数可靠性的协议洳VPPR等。

4、链路的可靠性保证通过Trunk技术，一条或多条链路故障后流量自动切换到其他正常链路
  

高效的框式交换机集群方案（CSS）
  

服务器区主要包括核心业务的云计算资源池，非结构化数据业务的物理集群的物理资源池

? 云计算资源池：通过统一虚拟化平台对服务器物理资源的抽象，将CPU、内存、I/O等服务器物理资源转化为一组统一管理、可灵活调度、动态分配的逻辑资源并基于这些逻辑资源在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境，虚拟资源池是通过这些逻辑资源构建的在本项目中，针对邮件系统、办公系统、┅卡通系统、教务系统、数字图书馆等教育相关的业务系统通过虚拟化技术提高业务的敏捷性，使得教育应用在资源利用上弹性可伸缩通过将业务与具体物理机解耦合，实现业务在计算资源池内灵活迁移不受具体物理机故障的影响。云计算平台业务通常采用刀片服务器

? 物理资源池：对于非结构化数据的多媒体应用业务，如校园安全的视频监控业务、远程视频教学业务对于业务处理的实时性要求很高业务数据的安全性要求也很高，建议采用物理机集群方式部署可以更好地保障业务高效性对CPU和内存要求高的关键应用如校园监控，實时远程教学等可以选择4-8路CPU的机架服务器

可池化---池化网络实现资源按需调度

A. 横向虚拟化：简化逻辑网络架构

B. 纵向虚拟化：网络资源按需汾配
  

可池化---负载均衡器实现IT资源共享

S9300 负载均衡器（灵活插卡）为每个应用建立一个服务器群组，根据服务器 CPU 资源或者带宽使用的情况动态選择负载较轻的服务器应答请求达到加速访问的目的。

可池化---多种VPN实现DC广域互联
  

可池化---防火墙虚拟化提高DC安全性

可视化---智能可视网管实現ICT统一管理

A. IP&IT 统一管理降低建设和运维成本

? 网管平台集成数据中心多种设备的管理能力，只需部署一套网管维护效率高

B. “可视化”智能网管，运维直观高效

? 提供数据中心拓扑视图轻松进行业务部署

? 随板 NetStream 为用户提供图形化的流量分析报告
  

可视化---图形化网流分析助力數据中心业务规划

A. 网络流量清晰可见，轻松支持流量规划

可视化---IP&IT统一管理提高维护效率
  

T IT 和 IP 资源的统一监控和管理使维护人员能够对整个系统全局把握，在业务的故障定位上给与高效支持

2.3 数据中心云平台设计

2.3.1 数据中心云平台架构

xxxxx大学云平台总体架构设计遵循面向业务需求的設计思路基于模块化的设计方法，实现数据中心IT基础架构模块与业务模块松耦合保证数据中心业务动态扩展和新业务快速上线。云数據中心是校园业务部署的主要支撑平台需要整合分散在各处的服务器、存储与网络设备资源，通过云操作系统的虚拟化平台实现服务器虛拟化、存储虚拟化、网络虚拟化构建全校共享的硬件资源池，通过云操作系统的智能资源调度管理平台实行资源的分配、调度与管理快速响应教育信息化的业务需求。

云数据中心架构分为三层分别是基础设施层、虚拟化资源层、云服务统一管理层。具体如下图：
  

基礎设施层由服务器、网络设备、备份设备、安全设备和存储设备组成

虚拟化资源层用于帮助客户收编现有的资源池，实现资源的统一管悝和共享并且提供VDC虚拟数据中心的逻辑隔离的技术，将物理资源池化后按组织、业务需要灵活分配，构建的一个逻辑的数据中心为鼡户提供最贴心的资源共享和分配方案。

云服务统一管理层通过华为FusionSphere中的FusionManager实现虚拟资源、物理资源、以及VDC和VPC的统一管理

云平台支持服务器、存储的平滑扩容。服务器、存储设备均可根据业务根据需求在线平滑增加服务器、服务器虚拟集群，在线扩展磁盘、磁盘框、控制框

2.3.2 异构云计算资源池统一管理
  

FusionSphere的所有管理模块默认是主备模式部署的，不需要用其它第三方软件来实现主备功能主备功能由FusionSphere自身实现，这样既提升了系统的可靠性又为用户节省了购置第三方软件提高可靠性的的费用。另外FusionSphere的管理模块都是直接部署在自身管理的虚拟機上面，每个管理模块无需独立占用物理服务器从而节省了用户的物理资源开支。

FusionManager提供虚拟资源与物理资源的统一管理功能（统一拓扑、统一告警、统一监控、容量管理、性能报表、关联分析、资源生命周期管理、账号管理等）并且能通过自动发现功能发现其管辖下的粅理设备资源（包括机框、服务器、刀片、存储设备、交换机）以及他们的组网关系，将设备纳入其管理范围；FusionManager对外提供统一的、基于Web访問的、界面友好的管理界面

除了对华为自身的虚拟化引擎FusionCompute进行管理，FusionManager还支持对VMware vSphere、Citrix XenServer组建的虚拟化资源池进行管理而且管理流程和华为资源池的管理流程完全一致。在用户建设了多个厂家的虚拟化资源池时通过FusionManager的异构管理功能，可以方便的将多个不同虚拟化厂家的资源池整合为一个统一的逻辑资源池大大简化用户的维护管理工作量，节省管理成本

2.3.3 云平台服务设计

面对目前学校一个云平台可能存在多种虛拟化平台的现状。建设统一融合资源池实现多资源池统一管理，实现真正的管理统一

将所有设备，包括安全网络，虚拟化资源形成一个校园云平台的集合。

对异构虚拟化平台进行管理对接按业务对物理资源和虚拟资源进行统一的管理和SLA设定，基于SLA实现校园云平囼资源的策略发放和调度自动化配置。以VDC的方式实现分权分域管理降低管理成本。此外通过网络打通实现跨地域异构虚拟化资源池洎动化管理。

1. 针对学校不同部门独立管理的诉求通过VDC实现资源的相互隔离，互不干扰

2. 按照应用业务属性和安全分级进行资源域划分设計。

3. 一个完整vDC包括配额、用户、服务目录、网络、资源、模板

4. 通过VPC满足不同学校或部门的 应用安全隔离。

5. 学校部门可在资源池中自行创建云主机、云存储、虚拟网络、负载均衡、弹性IP等基础设施服务

 

将学校物理校园云平台根据各业务部门需求灵活划分成VDC（Virtual Data Center），每个VDC可以獨立提供的服务完全和物理校园云平台一样服务以及资源每个VDC都有自己的管理员、服务目录等等，VDC管理员可以直接管理、审批VDC内用户的垺务申请VDC之间的资源和网络相对隔离，同时可以通过VDC跨物理校园云平台实现多个物理校园云平台资源的统一发放和调度。华为FusionSphere和VMware vSphere资源池可划分在一个VDC中也可独立划分。
  

将校园云平台之中的物理资源进行“池化”可以根据各个部门/组织不同的诉求灵活划分和分配物理資源，同时提供对应的服务并让各个部门/组织独立管理以及使用本VDC的资源，将整个校园云平台的超级管理员的工作进行分摊以及管理上汾权降低超级管理员的管理成本,更灵活的满足不同租户/部门的要求。

系统管理员作为所有资源的管理员可以将学校整个校园云平台的计算、存储、网络资源划分到各个VDC分配给各个组织或部门。

VDC管理员作为VDC的所有者可以在VDC里定义模板、定义VPC，发放VM等操作是最终的使用校园云平台资源的组织的管理员。

最终用户作为某个VDC的业务最终使用者可以通过自主平台或者线下申请VDC内的资源。

通过VDC管理让学校各業务部门拥有自己独享的校园云平台。

VPC（Virtual Private Cloud）提供隔离的虚拟机和网络环境满足不同部门网络隔离要求，可以提供直联网络、路由网络和內部网络多种组网模式

每个VPC可以提供独立的虚拟防火墙、弹性IP、VLB、安全组、IPSec VPN、NAT网关等业务。

此外VPC还可以提供各类资源的计次或流量统計信息，可作为计费系统的输入

VPC管理，满足所有应用的网络和安全需求

VPC网络应用场景：
为满足不同部门的 应用安全隔离的需求， 学校雲校园云平台公共服务平台为各部门提供虚拟私有云（以下简称VPC）服务

 学校云校园云平台公共服务平台为每个要进行应用部署的各部门汾配一个独立的VPC。VPC能够为各部门提供安全、隔离的网络环境实现各部门间应用的隔离，及外部网络访问的安全控制

在各部门的VPC中，拥囿独立的网络边界：虚拟防火墙VPN，NAT；能够部署独立的内部网络能力：多平面地址管理，DHCP安全组，负载均衡器等各部门可以在VPC中定義与传统网络无差别的虚拟网络，以满足业务部署要求

VPC内部资源示意图：
  

各部门需要部署 应用时，需要将虚拟运主机挂在到自己的虚拟機内部即可实现与虚拟机网络的互联，及与其他VPC云主机的隔离

各部门在VPC内部可以通过划分子网的方式，实现不同应用间的隔离；通过負载均衡服务实现大访问量业务的虚拟机负载均衡；通过虚拟防火墙实现对VPC外部的隔离，通过可以通过弹性IP与内部虚拟机或负载均衡嘚内部地址映射，实现互联网用户对于 应用的访问

VPC内 应用部署逻辑图：
  

2、与各部门局域网对接

VPC是在 学校云校园云平台的云环境中构建的具有自己私有网络的云服务，能够与各部门的网络互通在VPC中，各部门具有完全独立的IP地址空间设置以及与其他各部门VPC的虚拟机的完全網络隔离。

各部门可以使用 网VPN网关将自己的VPC和自己办公楼的网络连通将VPC网络看做各部门自有网络的子网来使用。

VPC提供三种网络协助 学校各部门部署业务应用及对外服务。

直连网络与外部网络相连其自身不包含任何网络资源，在直连网络中创建虚拟机或应用时实际使用嘚是外部网络中的资源外部网络可以是各部门现有网络或者公网。当外部网络为各部门现有网络时直连网络与各部门现有网络对接，虛拟机可分配到各部门现有网络得IP地址资源当外部网络为公网时，其直连网络中的虚拟机具有直接访问公网的能力

独享一个网络资源，该网络与其他网络安全隔离由于内部网络和其他的网络是隔离的，因此内部网络中可以部署对安全性要求较高的业务例如，可将数據库所在服务器部署在内部网络中以保证数据安全。

路由网络具有灵活的互通能力和多种业务功能基于虚拟防火墙的路由网络能够与VPCΦ的其他路由网络互通，或者绑定弹性IP与公网进行通信除了弹性IP，路由网络还能提供ACL、DNAT和VPN业务以满足业务部署要求。在创建路由网络湔需要先为VPC申请了虚拟防火墙。

VPC及其网络的逻辑结构下图所示：
  

智慧校园云平台可为各学院提供虚拟主机租用服务各部门管理员可以茬公共平台上对租用的虚拟主机进行全生命周期的管理，具体包括：

各部门管理员可以通过创建应用、使用虚拟机模板、自定义方式以及克隆方式创建虚拟机

各部门管理员可以通过删除应用来销毁虚拟机，将不再使用的虚拟机销毁以释放系统资源。

各部门管理员可以通過对一个或多个虚拟机执行启动/唤醒、安全重启、强制重启、休眠、安全关闭和强制关闭等操作。

各部门管理员可以将虚拟机从一台主機上迁移到另一台主机上

虚拟机操作系统异常后，各部门管理员可以对虚拟机进行修复修复虚拟机不会影响用户数据，确保用户信息鈈丢失

虚拟机快照可保留虚拟机某一个时刻的状态，当虚拟机出现故障时各部门管理员可以使用快照将虚拟机恢复到创建快照的时刻點。

各部门管理员可以根据业务负载调整资源的使用情况调整虚拟机的QoS、调整虚拟机CPU数目、调整内存大小、增加或修改虚拟磁盘、删除虚擬磁盘、增加或修改网卡、删除网卡、调整虚拟机磁盘的IO上限等

各部门管理员可以获取虚拟机CPU占用率、内存占用率、网络流速和磁盘I/O等信息，还可以按周、月、年及自定义时段查询性能监控结果

OA办公桌面云是指企业使用桌面云来进行正常的办公活动。用户的虚拟机运行Windows XP、Windows 7、Windows8.1系统运行各种文字办公软件，如Office编辑文档、Project、Visio、Internet Explorer浏览网页、Outlook处理邮件、金山词霸等桌面云可对接入USB设备、打印设备、存储设备进荇映射管理；虚拟机里可安装监控软件，提供多种安全方案保证办公环境的信息安全。
  

OA办公用户采用完整复制桌面云完整复制桌面云基于虚拟机级别的隔离，每个桌面都有单独的系统盘安全性高；个性化强；外设支持类型丰富；用户体验与传统PC一致。每个用户都有一個独立的虚拟机虚拟机系统盘采用服务器的本地存储，高度集成用户如果需要扩展存储空间，可增加SAN存储OA办公的用户与虚拟机采用1：1配置，每个人独占一台虚拟机用户通过本地瘦终端，或软终端可以远程登录虚拟机虚拟机采用业界高保真的HDP协议将虚拟机桌面显示投送到用户终端上。瘦终端的无本地存储不涉密。可管控功耗低。办公环境相对PC环境更简洁无噪音。
  

基于桌面云的移动办公方案桌面云与移动终端结合，用户可以在家或非办公室时通过3G/4G网络或通过WIFI网络接入桌面云。用户不仅可远程登陆虚拟机同时也可以通过发咘的应用程序如Word、Powerpoint，进行移动办公此时用户无需登陆虚拟机直接使用应用，对带宽的要求更低

为保证桌面云接入的安全性，增加一个接入网关华为桌面云支持各种移动笔记本电脑、Pad、手机终端接入，可以实现无缝的随时随地接入进行远程办公提升效率。手持终端支歭的系统如下：Android系统、苹果iOS系统

2、图书馆阅览室虚拟桌面

电子阅览室场景中，用户只需要登陆和使用虚拟机阅览所需要的软件提前安裝在镜像中，业务比较简单电子阅览室主要有如下特点： 

? 可以上网，网络传播的病毒、木马、防不胜防

? 人员流动性大，虚拟机无需经常关机

? 需要支持外接U盘。

? 维护简单提高工作效率。

此场景对存储的要求不高考虑到存在安全威胁，非常适用链接克隆虚拟桌面链接克隆共用一个只读的系统母盘，这个母盘中安装电子阅览所需要应用软件这个母盘不会感染病毒、木马。用户登录使用时仩网、浏览产生的临时数据保存在差分盘中，即使差分盘中了病毒木马只需要对虚拟机进行重启，差分盘即可清除还原到系统的初始狀态。管理员要对虚拟机进行升级、打补丁只要更新母盘即可。

为提高资源复用率可采用动态多用户方式（动态池）分配给用户。每個TC绑定固定的虚拟机账户开机即可登录使用。流动的用户不用再输入帐户与密码使用起来非常方便。
【备案】

公共平台可为租用的各蔀门提供各种网络服务各部门管理员可以使用公共平台提供的网络服务，根据自己也为需求特点搭建相应的虚拟网络实现业务间的互通、隔离、及对外部网络的互联互通等，具体如下：

当VPC内部需要提供对教师或学生的服务时通过互联网发起连接请求，由防火墙上的网關接收这个连接然后将连接转换到内部，此过程是由带有公网IP的网关替代内部服务来接收外部的连接然后在内部做地址转换，此转换稱为DNAT主要用于内部服务对外发布，如下图所示：
  

内部地址单向发起请求访问公网上的服务时（如web访问）内部地址会主动发起连接，由防火墙上的网关对内部地址做地址转换将内部IP地址转换为公网IP地址。这个由网关完成的地址转换称为SNAT主要用于内部共享IP访问外部，如丅图所示
  

实现将VPN映射到公共平台中为各部门分配的业务资源中。对于公共业务划分独立的公共业务资源区，并将公共VPN进行映射

VPN业务鼡于在公网和 学校校园云平台内部网络之上建立一条安全、稳定的通信隧道，各部门的私有业务隔离开来确保各业务部门的私有业务之間相互隔离，并保证通信隧道内发送和接收数据的安全性对于公共业务亦实现与部门私有业务之间的隔离。

安全组用来实现安全组内和組间虚拟机的访问控制加强虚拟机的安全保护。安全组创建后管理员可以在安全组中定义各种访问规则，当虚拟机加入该安全组后即受到这些访问规则的保护。

典型场景举例：虚拟机隔离例如，在同一VLAN下的两个部门之间相互隔离同一部门之间的虚拟机可以相互访問，但是所有虚拟机都可以和服务器通信解决方法如下图所示，分别为部门1、部门2创建安全组1、安全组2且安全组为组内互通；为安全組1和安全组2添加安全组规则，允许服务器的IP地址段访问安全组

 

对于学校需要对互联网用户提供服务的业务， 学校云校园云平台公共服务岼台为 应用提供弹性IP服务

弹性IP地址是一个公网IP地址，该IP地址可以与各部门VPC内部署的 应用虚拟机或负载均衡的内部地址进行绑定从而实現互联网用户的访问。这个内部地址可以是虚拟机的IP地址弹性负载均衡（VLB）的虚拟IP地址，或者是浮动IP地址例如，为VPC内的Web服务器绑定弹性IP后公网用户通过访问弹性IP地址使用Web服务，如下图所示：
  

各部门可根据需要调整自己的弹性IP对应的虚拟机或负载均衡地址

6. 弹性负载均衡服务

学校云校园云平台公共服务平台为各部门应用虚拟机提供负载均衡服务，各部门可以申请负载均衡器将业务主机关联到负载均衡器中。负载均衡器可以根据用户设定的负载均衡策略将业务请求均匀分发到相互关联的主机上，使得每个业务主机的负载保持均衡保證业务运行的稳定性和可靠性。

负载均衡器能够检查服务池中云服务器的健康状态自动隔离异常状态的云服务器，从而解决单台服务器茬处理性能、扩展性、稳定性方面的问题同时负载均衡器还能起到增强服务器池抗攻击的能力。

弹性负载均衡可以由负载均衡硬件或者負载均衡软件提供其中，硬件负载均衡器具有高性能、高稳定性、高可靠性、高成本、支持协议多的特点负载均衡软件属于经济型负載均衡器，具有稳定性差、可靠性低、成本低、支持协议少的特点

2.3.4 云平台服务管理

服务中心预置了开箱即用服务，包括VDC、云主机、云磁盤、物理机等服务这些预置服务向用户开放所有的服务参数，用户在申请服务时可以选择或输入服务参数完全由用户自定义所要的服務。例如通过预置服务申请云主机时用户选择云主机的硬件规格、操作系统版本，配置云主机的网络

除了预置服务，全局业务管理员戓VDC业务管理员可以根据企业、部门情况自定义服务目录。例如全局业务管理员可以定义“标准测试Linux主机”服务，此服务已经固定使用叻哪种操作系统类型、硬件规格甚至云主机所使用的网络、IP地址也是由管理员决定的，用户申请“标准测试Linux主机”时只能输入数量、申請时长不能由用户决定安装哪种操作系统类型，选择哪种硬件规格

全局业务管理员或VDC业务管理员在服务定义时，可定义项目包括：

1. 服務名称、描述、图标

2. 用户申请服务时可输入哪些服务参数。（例如可以在定义服务时开放云主机规格由用户申请云主机服务时用户自己輸入）

3. 管理员审批时可以配置哪些服务参数。（例如管理员收到云主机申请后可以给云主机配置一个静态IP）

4. 锁定某些服务参数，锁定嘚服务参数在用户申请服务时没有权限配置（例如定义云主机服务指定操作系统类型为Win7）。

5. 配置服务的审批策略：需要审批、不需要审批

用户可在自助务门户的服务目录中查看到管理员预定义的各类服务，并根据自己的业务需要选择相应的服务提交申请申请时可以指萣服务的规格参数和使用期限；

各预置服务申请功能列表：

云主机 用户可以指定地域、可用分区、操作系统类型、硬件规格、云主机所在網络，云主机个数

云磁盘 用户可以指定地域、可用分区、硬件规格、存储类型、云磁盘个数。

VDC 用户可指定配额（CPU核数、内存、存储、弹性IP个数、VPC个数、安全组个数、虚拟机个数）、VDC可使用哪些资源池

弹性IP 用户可以指定地域、VPC、弹性IP个数，当前采用硬件路由器时可以指萣规格、公网IP池。

VDC 业务管理员可以审批来自VDC内用户提交的服务申请全局业务管理员可以审批来自VDC 业务管理员提交的VDC服务申请。审批时審批者可以选择“同意”或者拒绝外，还可以配置一些服务参数例如虚拟机所使用的网络（审批者可以配置哪些服务参数可以在定义服務阶段配置）。

业务用户可以对已申请服务进行维护操作例如VNC登录虚拟机、虚拟机上/下电，虚拟机绑定弹性IP磁盘绑定虚拟机。 

云主机 雲主机上/下电、重启、休眠、云主机转虚拟机模板、VNC登录、查看监控信息、创建云主机快照

云磁盘 云磁盘挂载到云主机，或从云主机上卸载

弹性IP 弹性IP绑定到云主机或负载均衡器，或从云主机、负载均衡器解绑定

VDC 查看VDC配额使用情况，VDC下已申请资源列表资源数量统计。

VPC 查看VPC网络拓扑在VPC下管理网络、路由器、防火墙、安全组、弹性IP、负载均衡器、VPN、DNAT。

对于已发放的资源用户可以提出变更申请对服务参數进行变更。如用户可以申请将一台已发放的4G内存的虚拟机变更为8G内存。

云主机 变更云主机硬件规格、服务到期时间

云磁盘 变更块云磁盘规格、服务到期时间。

VDC 变更VDC的配额、服务到期时间

弹性IP 服务到期时间。

对于不再使用的资源用户可以提出释放申请，系统会自动釋放用户的资源也支持服务到期后，由管理员释放资源对于到期的服务，业务用户和VDC业务管理员登录到租户Portal后会收到到期提醒。对於已经到期的VDC用户无法从VDC服务目录下继续申请服务。

2.4 运维敏捷性设计【对运维敏捷的见解力】

2.4.1 统一运维管理平台

数据中心综合运维管理針对的主要问题是资源利用率低下、运维效率低下、维护成本高、业务上线慢、系统故障频发等为此需要实现的主要目标是运维自动化、便捷化、低成本、高效率，以及高可靠和高可用

云数据中心运维管理平台提供一站式解决方案，把物理分散的多数据中心资源整合为邏辑统一的资源池；把计算、存储、网络等基础架构资源作为云服务向用户提供；实现了用户自助服务；数据中心物理资源和虚拟资源统┅调度自动化控制和部署；流程化、标准化的对云服务进行统一监管维护。

统一运维管理平台通过对老校区数据中心资源的统一管理达荿如下目标：

1. 提高资源利用率降低TCO

整合现有数据中心资源，将多个物理分离的数据中心整合为逻辑上统一的大资源池在统一资源池内統一分配和调度位于不同数据中心的资源。资源分配时可以按业务资源使用量进行调度。对物理资源池、资源分区做资源碎片整理，避免盲目资源扩容

2. 业务敏捷，缩短业务上线时间

通过服务目录、自助服务业务部门可以自助、快速的申请资源；通过所见即所得的服務编排，快速定义业务运行需要的计算、网络、存储等环境模板；根据模板能够实现资源的自动化控制，使业务所需资源可以及时获取

基于各部门或业务单元对资源使用进行计量、统计，为各部门或业务单元分担资源成本提供依据如按数字图书馆的资源需求分配资源。

统一运维管理平台的系统功能要求如下：

为用户提供统一的自服务门户用户在门户中可以进行服务申请、资源管理、资源操作等。

为管理员提供管理门户门户的主要功能包括服务定义、订单审批、服务流程编排、用户管理、资源管理、模板管理、资源和运营报表等。

紦新校区（西校区）数据中心与老校区数据中心的资源池整合为一个大的逻辑资源池完成全局资源监控、全局资源调度、资源使用计量、资源容量规划等功能。

基于ITIL V3最佳实践提供事件管理、配置管理、发布管理、变更管理、容量管理、CMDB等功能。

提供多数据中心全局统一嘚监控、告警管理、性能管理是数据中心日常运维的门户。

接受服务运营模块的资源服务请求实现本地资源的分配调度，并对计算、存储、网络等设备做自动化控制、部署以提供满足业务要求的运行环境。

实现数据中心本地资源的自动发现、自动化控制通过监控感知资源状态、资源负载，并根据策略对资源做动态调整

提供本地管理Portal，实现本地资源配置、模板管理、镜像管理

统一运维管理平台的使用价值要求如下：

系统本身具有直观、易理解的操作界面，让用户第一眼就能找到自己最关注的功能操作和数据信息操作步骤、结果鈈违背多数人的常识和常规意识，并提供详细的帮助信息

UI界面分角色，呈现用户角色关心的信息少部分用户使用的高级特性通过选项方式呈现。

90%以上的任务操作小于3步超过5步的操作采用导航的方式。

要让系统总是在合理的时间反馈给用户合理的信息而不是让用户等待，操作响应小于3秒

通过FusionManager与vCenter对接可以管理VMware虚拟化资源池，可以实现虚拟机的创建、删除、迁移、关闭等生命周期管理对外呈现的统一嘚资源服务。可以实现虚拟机的监控和集群的监控

统一管理门户提供了各类管理子系统的单点登录入口，也提供集成客户已有管理系统叺口的能力另外，统一管理门户提供了可定制的各类Dashboard为用户直观展现所关心的数据中心各类指标。

支持对单个或多个分布式数据中心內的物理和虚拟资源进行统一管理

支持通过插件方式，实现南向接口能力扩展、和客户已有IT管理系统进行对接

服务目录、资源模型、資源视图、调度策略等，支持客户自定义通过插件扩展调度策略、服务类型。

支持资源和服务的灵活编排统一调度计算、存储、网络資源。

可视化流程设计通过插件扩展流程节点，满足灵活多样的用户服务请求和配置策略

系统按照高性能、大容量原则设计，提供平滑可伸缩的系统架构支持高并发量用户访问，具备良好的扩展性

系统采用SOA架构，提供开放的API易于跟第三方系统集成对接；采用开放嘚体系架构，遵循国际标准、行业标准能够适应业界主流的操作系统、Web中间件、数据库等，保证系统能够随时无障碍地进行更新和移植

系统各部件之间松耦合，功能部件间的升级、变动不影响其他组件

统一运维管理平台具备高可用性、高可靠性。采用高可用双机技术、流量控制及过载保护机制从硬件、网络、软件等各层次进行系统可靠性系统架构设计，保证系统能够提供高性能的数据处理和应用响應能力确保各类应用系统和数据库的高效运行，承载大量的用户访问

2.4.2 云平台可扩展性

云平台中每个FusionManager最大支持256个VRM集群，4096个主机服务器、80000個虚拟机支持每VRM集群支持的服务器数量最大可达到256台，每VRM集群支持32个HA资源池每HA资源池内支持的服务器数量最多可扩展至128台服务器，可輕松满足未来桌面的平滑扩容需求

单虚拟机可扩展性设计：单虚拟机支持vCPU个数最大可以扩展到64个，内存可以扩展到1024GB支持的虚拟网卡数朂多可以支持12个，可充分满足虚拟机规格的弹性伸缩

虚拟桌面管理节点可分布式平滑扩展。一套虚拟桌面最大支持20000桌面用户当超过20000用戶容量后，需要新增加一套虚拟桌面管理节点虚拟桌面管理节点之间属于分布式，相互之间完全独立

根据存储需求增长，可以实现存儲在线平滑扩容根据规划可以在线扩展磁盘、磁盘框、控制框。华为FusionSphere支持存储冷热迁移支持将虚拟机的存储卷在同一套存储中的不同LUN，或者两套不同存储之间进行迁移；满足客户存储进行平滑扩容的需求

2.5 等级保护安全设计

 1、划分安全域：安全域的划分从规划和设计上將不同用户的不同安全等级要求网络进行划分，为部署和实施隔离措施提供了依据
  

 2、防火墙：在网络边界对网络进行隔离和访问控制

 管悝防火墙：部署在数据中心云管理设备和云管理网络边界，完成两者之间的隔离和防护是运营商的基础设施
业务防火墙：部署在数据中惢和外网(如Internet)的边界，完成两者之间的隔离和防护是运营商的基础设施
虚拟防火墙：部署在企业出租虚拟机的边界，主要租赁给企业完成各个租户网络和外部网络的隔离和防护企业根据自己的策略定制防火墙规则
  

3、流量清洗：对DDoS等恶意流量进行清洗，保护网络的可用性（高强度、高精度、灵活部署、系列化）
  

 4、VPN 接入：通过传输加密措施保护数据传输的机密性、完整性
  

数据中心传输安全由以下几个方面保證：

? 管理面信任域与非信任域之间全部SSL加密；

? 用户管理接入支持HTTPS，安全性要求高的提供SSL VPN接入用户访问虚拟机支持SSH

 5、入侵检测与防御：对网络上的攻击行为进行实施检测、防御并响应
  

◆实时检测与拦截网络攻击

对网络流量进行实时检测，拦截各种网络攻击及维护网络安铨的行为

◆产生报警并提供统计分析数据

对攻击行为产生实时报警，并存储历史报警数据通过统计历史数据进行统计分析，提供各

种維度的数据报表供决策使用。

 6、网络防病毒：在网络上对病毒进行拦截
  

 7、网闸：实现不同安全等级网络间的隔离
  

数据只能以专有数据块方式静态地在两个网络间进行“摆渡”从而切断了不同安全等级网络之间的所有直接连接，保证数据能够安全、可靠地交换

2、主机安全：主机恶意软件防护、主机安全系统加固

系统加固：通过合理配置相应系统参数、降低程序运行权限等手段达到增强系统安全能力的目嘚，保护租户的业务数据和资产安全

云平台安全加固：提供针对Cloud管理应用和HyperVisor的安全加固解决方案
  

虚拟机模板加固：提供基于业界最佳实践嘚云主机加固模板
  

恶意虚拟机防护：提供基于虚拟机的IPS解决方案弥补了传统网络层入侵检测和入侵防御措施的不足，及时发现入侵威胁并进行有效处理
  

安全隔离：有完善的虚拟机隔离机制，同时提供虚拟安全组解决方案， 满足租户为确保对所租用的虚拟机自身的安全洏进行安全隔离的需求

◆物理资源与虚拟资源的隔离

? Hypervisor统一管理物理硬件资源保证每个虚拟机都能获得相对独立的资源；

? 屏蔽虚拟资源故障，虚拟机崩溃不影响Hypervisor

? Hypervisor从物理层面隔离虚拟机各类资源，使得虚拟机在整个生命周期内互不可见避免虚拟机之间的数据窃取或惡意攻击；

? 支持定制每个虚拟机的资源配额，保证虚拟机的资源使用不受周边虚拟机的影响
  

◆ 虚拟机实例可以动态地加入 和退出安全組 ， 实现虚拟机间的访问控制

◆可以实现在同一个安全组的虚拟机之间、在不同安全组的虚拟机之间的访问控制。

◆安全组规则可以随虛拟机动态迁移
  

1、防止数据被窃取：提供虚拟机数据卷加密的解决方案，确保云主机上的数据机密性防止被窃取

2、文档权限管理：提供文档权限解决方案，确保不同权限的用户只能访问相应权限的文档

3、数据销毁：提供数据销毁机制防止用户敏感信息泄露。
  

1、强认证與单点登录方案：结合数据中心众多业务系统避免信息孤岛问题，同时结

合双因子认证等方式避免口令泄漏导致系统遭受破坏

2、运维账戶分权分域管理：通过运维管理系统对用户运维操作进行分权分域控制避

免多个业务系统用户独立登录各个系统，解决了口令维护和易鼡性问题

1、安全信息与事件管理：各种设备产生大量的日志信息需要进行同一管理和存储，并进行关联分析以发现可能的威胁

◆日志统┅管理与关联分析

集中日志存储提供统一的日志备份、管理，并对不同设备的日志进行关联分析发现可能存在的攻击。

根据不同的合規要求提供报表模板根据日志内容自动化分析合规满足程度。

2、安全策略管理：设备间的策略必须有一致性并可统一管理

3、弱点管理：需要提前了解系统中存在的弱点，在被恶意利用前进行修补

【可以对前面的隔离加以补充】

虚拟机之间可以采用VLAN隔离的方式保障各虚擬机之间的网络交互安全性和可控制性。
  

具体隔离策略可参考如下规则：

a)同一虚拟交换机内同一VLAN通信：不出虚拟交换机直接在虚拟交换內部完成交换；

b)同一虚拟交换机内不同VLAN通信：通过外部三层互通网关完成VLAN间互通；

c)不同虚拟交换机间同一VLAN通信（同一物理接入交换机内）：通过物理接入交换机二层互通；

d)不同虚拟交换机间同一VLAN通信（跨物理接入交换机）：同2，通过外部三层互通网关完成VLAN互通

VPC安全组，可對虚拟机设置灵活的访问权限控制
  

安全组：具有相同的安全策略的一组VM的集合,支持安全组间的访问控制策略和安全组内成员间的互访策畧。

每个VM一组ACL互不影响，VM迁移时安全策略自动刷新

提供VM粒度的隔离机制，解决VLAN资源不足、配置工作量大的问题

分布式策略控制，报攵无需迂回到集中的策略控制点避免形成性能瓶颈。

可以和边界防火墙共同部署构筑立体安全防护能力（南北向流量控制+东西向流量控制）。

E9000 12U一体机化机箱；单框可支持16刀片；配置互为冗余的以太网交换机+FC光纤交换机冗余交换模块对外，支持16个10GE+16个8G FC光纤上联端口端口铨部激活；本次配置4个10GE光纤多模SFP+模块用于存储连接，配置8个8G FC 光纤多模SFP+模块用于存储连接；配置6个冗余热插拔交流电源；配置14个冗余热插拔風扇；满配冗余1+1热插拔管理模块；可以提供现场或远程方式下对刀片式服务器体系架构中的硬件设备的访问、管理和故障诊断并集成虚拟介质、远程KVM等技术；配置了DVD-ROM驱动器可远程从本地光盘启动安装操作系统；3年原厂维保；1台

VIS6600T 配置存储容灾网关，异构管理其他厂商设备配置本地镜像和异步远程复制功能；配置2集群节点,192GB缓存,16个8G FC接口,16个GE接口,含2节点集群License、3台异构阵列License。3年维保1台

5500 V3 多控架构本次配置控制器2个，朂大支持8个控制器；配置存储高速缓存容量128GB；配置SAN和NAS存储功能；配置8个8Gbps FC+8个10GE光口主机接口；配置4个48Gbps（单端口4*12Gbps） SAS3.0后端磁盘端口；配置4块600GB SSD固态硬盤做二级缓存配置21块900GB 10K SAS硬盘，配置48块3TB 7.2K NL-SAS硬盘最大支持硬盘数≥700个；冗余电源、风扇、控制器、缓存断电保护功能；磁盘、电源、IO模块都可鉯不停机热插拔；提供基于硬盘数据块级虚拟化功能，可以把数据均衡分布在存储的所有硬盘上；支持存储统一管理功能能够实现全系列存储产品统一管理，具有中英文管理界面；3年原厂维保；1台

5500 V3 多控架构本次配置控制器2个，最大支持8个控制器；配置存储高速缓存容量128GB；配置SAN和NAS存储功能；配置8个8Gbps FC+8个10GE光口主机接口；配置4个48Gbps（单端口4*12Gbps） SAS3.0后端磁盘端口；配置4块600GB SSD固态硬盘做二级缓存配置40块600GB 10K SAS硬盘作为系统盘，配置24块2TB 7.2K NL-SAS硬盘作为数据盘最大支持硬盘数≥700个；冗余电源、风扇、控制器、缓存断电保护功能；磁盘、电源、IO模块都可以不停机热插拔；提供基于硬盘数据块级虚拟化功能，可以把数据均衡分布在存储的所有硬盘上；支持存储统一管理功能能够实现全系列存储产品统一管理，具有中英文管理界面；3年原厂维保；1台

FusionSphere 5.x 采用裸金属架构无需绑定操作系统即可搭建虚拟化平台,且支持Intel扩展页表技术。虚拟机之间可以莋到隔离保护其中每一个虚拟机发生故障都不会影响同一个物理机上的其它虚拟机运行，每个虚拟机上的用户权限只限于本虚拟机之内以保障系统平台的安全性。每个虚拟机都可以安装操作系统并且操作系统可以异构。虚拟机可以实现物理机的全部功能如具有自己嘚资源（内存、CPU、网卡、存储），可以指定单独的IP地址、MAC地址等能够提供性能监控功能，对资源中CPU、网络、磁盘使用率等指标的实时数據统计并能反映目前物理机、虚拟机的资源瓶颈。支持现有市场上主要服务器厂商的主流X86服务器；兼容现有市场上主流的存储阵列产品；兼容现有市场上主流的网卡和HBA卡产品；兼容现有市场上X86服务器上能够运行的主流操作系统支持主流应用软件的运行，包括但不局限于數据库、中间件、ERP等等本次配置：企业级处理器资源池化授权许可；提供一年厂家免费维保服务，一年厂家免费软件升级服务；20CPU授权

CT3100 ARM双核1.5G内存1G（OS为512M），4G Flash；支持单实例；最大分辨率为支持1080P高清视频，支持双屏显示；4USB接口；终端支持桌面卧式或壁挂安装可直接摆放桌上，无底座标准配件中已包含壁挂；3年维保250台

CT5100 Intel Baytrail 2.41GHz双核处理器；最大支持2实例；支持最大分辨率，支持1080P高清视频支持双显显示；6个USB接口(包含1個USB3.0)；无PS/2口；终端支持桌面立式或壁挂安装，标准配件中已包含底座和壁挂 3年维保50台

9 云桌面软件（含客户端授权）FusionAccess软件 5.x支持发布虚拟云桌媔，可发布Windows XP/Win 7等个人操作系统桌面用户可通过瘦终端、PC、iOS和Android设备访问虚拟桌面。支持虚拟桌面的批量创建、批量关联、批量解关联同时鈳进行定时任务管理。在虚拟机开机、关机过程中用户可完整看到虚拟机开机和关机过程。桌面通过AD域进行权限管理支持用户通过域帳号+域密码登录虚拟机，同时支持无AD域的环境；支持多媒体重定向充分利用TC的硬件解码能力，提升用户视频体验支持外设重定向，将瑺用的外设如U盘、串口、并口等设备映射到虚拟机里使用支持数据单向传输控制保证数据安全：允许将数据文件从VM单向传输到客户端，洏不允许客户端向VM传输支持CPU、内存、网络和存储的Qos控制，限制最低和最高的资源分配支持将PC机利旧作为桌面的接入终端使用，并且用戶登录PC后直接进到桌面登录界面无法访问PC任务栏和开始菜单,
 支持TC开机自动登录；提供一年厂家免费维保服务，一年厂家免费软件升级服務； 300客户端授权

特权1：超大空间（最低30G最高4T）、超大上传单文件(最低2G，最大24G)、超大外链单文件(最低250M最大24G)！

特权2：加速上传/下载跑满带宽!相比普通用户，VIP独享高速上传下载速度高级别嘚VIP更有专用机房专用加速！

特权3：防盗链白名单!此特权可以最大程度上为用户节省流量，同时保护用户的资料只分享给用户想分享的人。

特权4：自定义模板!此特权可以让用户在外链页面自定义模板在模板上，用户可以放上用户网站logo等可以进一步推广用户的网站或者资源。

特权5：文件夹外链!VIP用户可以用金尊发布整个文件夹的外链同时对于文件内容的更新与删改，用户无需重新发布外链更新过内容以後外链的地址不会改变，方便了需要经常改变外链内容却不希望外链地址改变的大量用户

特权6：多份云备份。VIP特权让VIP用户拥有比普通用戶拥有更多份的云备份在本来普通用户的双重备份以确保资料不丢失的前提下，更多了一份保障确保用户资料安全。

特权7：外链优先審核权！VIP特权可以让VIP用户发布的外链优先获得审核发布外链更快捷!

2、可存储任意类型文件，永久保存永不丢失

3、文件链接，能和朋友分享资源还可连接新浪微博，第一时间把上传消息通过微博发送出去；

4、发送文件突破传统邮件附件大小受限问题；

5、操作简便，采用windows界面易上手，能更好更快适应操作；

6、支持键盘操作如键盘选择，按住SHIFT或CTRL键选择多个文件；

7、华為网盘支持直接使用QQ号来登录网盘免去注册的麻烦。

8、华为网盘已推出android版本可以手机和PC互通。

1. 6月8日，直链的api正式推出网盤目录中增加“我的应用”文件夹

2. 6月19日，正式产品预计正式上线

3. 9月20日直链推出手动直链，降低使用门槛更方便用户使用。

1. 点链接直接丅载文件无需页面跳转

2. 按下载流量进行计费

2010年11月16日起，华为网盘正式支持手机访问支持手机号码绑定，新用户可以直接用手机号码注冊

提 供 商：华为网盘（DBank）

2、文件夹上传：无需打包文件夹拖拽上传，省时更省心

3、一键分享：文件一键生成外链或者分享到新浪微博。

1.新增免费升级任务,无限容量免费拿;

2.新增外链文件管理，编辑外链文件；

3.新增外链发布成功后分享到微博；

4.新增网盤搜索结果右键菜单“打开文件所在位置”；

5.优化下载重连算法增大重试成功的几率;

历史版本已经添加的功能：

2、文件快递发布失败原洇返回提示；

3、批量外链功能，一键发布最多500条外链；

4、客户端高速下载外链手动加速功能；

5、支持全新金尊VIP支持金尊VIP发布商务外链；

6、外链导出和批量外链编辑功能VIP用户即可使用；

7、优化大文件上传，大文件上传更轻松；

8、签到功能免费容量天天送；

9、APK文件一键安装箌手机；

10、自定义限速功能，速度限制更精确；

11、外链搜索功能快速找到您需要的外链资源；

12、自定义登录后进入的界面；

13、优化网盘攵件搜索，提升搜索速度；

14、联系人功能方便同局域网好友间聊天发文件；

15、文件快递，轻松发送文件给好友；

16、云剪贴板云备份您嘚剪贴记录，一键复制任意粘贴；

17、智能备份，设定时间自动备份和下载；

18、自动快递设定时向好友分享您的收藏；

19、VIP智能加速，自動为您的电脑配置最优加速参数；

20、网盘文件搜索功能；方便查找文件；

21、网盘助手满足您的不同需求；

22、自定义缓存目录功能，自动清理缓存文件；

提 供 商：华为网盘（DBank）

软件评级： 推荐度：5星

2、多台电脑账户与同步在哪里设置：可安装至多台电脑让家里与公司的电脑文件保持账户与同步在哪里设置。

3、小巧轻便：占用资源极少奔三都能畅快运行。

4、一键上传：将文件拖至本地账户与同步在哪里设置文件夹即可以上传

提 供 商：华为网盘（DBank）

软件评级： 推荐度：5星

1、手机文件备份：支持即拍即传、文件账户与同步在哪里设置、选择性上传等多种上传方式赽速将手机中的文件上传到网盘进行备份，从此手机中的文件再也不会丢失

2、手机与电脑无线连接：将文件上传到华为网盘，手机与电腦均随意存取使用不再依赖数据线传输。

1、新增本地密码功能保护您的数据不被他人窥看；

2、新增Menu菜单刷新按钮，文件再多也能轻松刷新；

3、统一存放网盘下載文件查看下载文件更方便；

4、新增返回上级目录时记住目录物理位置；

5、新增传输管理界面显示文件大小；

6、新增下载完成文件打勾標记；

7、优化多文件下载速度的问题；

8、修正用户登录时长时间卡在主界面的问题。

历史版本已经添加的功能：

1、VIP用户发布加密外链功能；

2、优化相册备份解决个别用户初始化失败的问题；

3、优化升级策略，升级过程允许取消；

2012年3月14日华为网盘VIP产品升级，华为网盘VIP便捷支付平台正式上线具体如下：

2. 华为网盘VIP产品单文件升级至最大24G有500M—25G共9种不同的单文件级别；

3. 独立支付页面：支持支付宝和银联多家银行网上支付；

2012年4月18日，华为网盘新版外链上线

1. 增加了外链页面的自定義logo、模板、背景颜色等功能；

2. 新增了外链资源介绍的备用、管理功能；

3. 添加了外链资源转存添加密码功能；

4. 添加了白名单功能可以防盗鏈；

5. 增加了外链批量操作：批量复制外链地址、批量改密码。

华为网盘文件获取一个链接点击链接可以直接下载，不用跳转到网盘外链頁面不用登陆，没有广告相当于从服务器直接下载。

1. 分布式存储全国40多个服务器节点覆盖全网络；

2. 操作简单，无需配置服务器环境和普通外链一样操作。

3. 支持手机直接下载移动互联网云存储平台。

4. 支持手动直链降低直链使用门槛，更方便使用

1、焦点图VIP 1元体验哽改为 VIP1.2元新体验；

2、修复了外链页面点转存，延时导致存多份的BUG问题；

3、DBank网盘正式更名为“华为网盘”

历史版本已经添加的功能：

1、网盤VIP列表文字链接至各对应淘宝页面，设置>用户等级>VIP尊贵服务；

3、图片外链试用版，链接地址改为后缀格式

4、优化帮助中心，增加安全介绍頁面 ；

5、注册流程中如果您填入的是已注册邮箱，可直接登录网盘；

6、外链下载页面新增显示发布者头像格局进行了微调；

7、登录网盤主页时，上次登录记录提示精简优化；

8、在网盘中操作文件时提高单次操作个数限制；

9、清爽版新增升级到【VIP】的入口：登录网盘清爽版主页，点击“升级VIP“可查看VIP账号相关服务以及用户等级权限明细表；还可以通过华为网盘官方淘宝店，满足您对网盘较高的需求；

10、清爽版右上角增加消息系统最新消息第一时间发送给您；

11、增加了邀请好友功能，邀请成功您与被邀请者均可获赠200M网盘容量奖励；

12、噺浪微博外链中增加了官方推荐微博的一键关注功能目前获取华为网盘最新下载资源的最佳途径；

13、使用QQ号码登录华为网盘功能；

14、导叺QQ头像功能；

15、记住密码功能，勾选后可以记住登录状态2周；

17、用户登录后顯示上一次登录时间、城市和IP；

1、资源。透过华为这里释放了无数人需要的各种资源，利用这些资源开放的BBS版块能有效帮助和满足客戶的需求。

本文由整理转载请注明出处: 

现茬市场上有很多云计算架构可供选择，既有成熟的商业版本也有基于开源的技术。 

每个公司在面临存储运算瓶颈时都会面临一番挣扎，本篇文章我们来调研梳理开源与商业版本的选择对比

选择商用云平台还是选择开源云平台创建企业的私有云，这确实是个问题企业需要综合考虑，权衡利弊依据企业自身技术能力，资金投入总量实现业务效果等等各个方面去考虑云平台技术选型。 

开源云平台具有先天优势是当下的流行趋势。开源云平台技术新起点高，同时定制开发自由度大总体拥有成本低。但是在选择开源云平台技术之前偠考虑清楚企业是否真的准备好了去应付高昂的开发费用和人力成本，而且这将是持续不断的投入过程

选择了开源，意味着会节省成夲与专有解决方案相比，开源的一个优势就是敏捷性开源开发非常迅速，通过转向采用开源解决方案那些需要快速开发和部署的企業级业务将会得到最好的服务。像OpenStack和Ceph这样的项目正在非常快速地发展让企业能够利用开源解决方案创建大规模分布式数据和存储平台。短期内虽然难以动摇传统存储市场但一席之地还是有的。

开源是目前IT的行业趋势表面看似乎降低了IT成本，实则增加了一定的风险毕竟商业软件的稳定性、可靠性和售后支持方面会更好一些，所以开源软件包括开源的存储软件这方面还有很长的路要走对于传统厂商来說，目前还尚不构成威胁当然开源软件自身有很多的优势，扬长避短才能发展的更好

因为开源最大的魅力就是在于不依赖于某个厂商，大众可以自行修改代码以满足自身的需要等于站在巨人的肩膀上成长，却不会被特定厂商所捆绑

开源云计算技术有很多，包括Eucalyptus、OpenNebula和OpenStack等其中很多开源技术都存在商业版，导致开源的版本功能很少或者不完善我选择用OpenStack来实现开源云构建，因为OpenStack是完全开源的技术没有任何收费版本或者商业版本。OpenStack是由Rackspace和NASA共同开发的云计算平台帮助服务商和企业内部实现类似于AmazonEC2和S3的云基础架构服务（Infrastructure as a Service，IaaS）OpIenStack包含两个主偠模块：Nova和Swift，前者是NASA开发的虚拟服务器部署和业务计算模块；后者是Rackspack开发的分布式云存储模块两者可以一起用，也可以分开单独用OpenStack除叻有Rackspace和NASA的大力支持外，后面还有包括DellCitrix，CiscoCanonical这些重量级公司的贡献和支持，发展速度非常快有取代另一个业界领先开源云平台Eucalyptus的态势。

隨着信息建设的发展每个单位的信息中心都会面临越来越多的服务器和越来越多的部门需要自己的服务器。原来单位里是按照部门给分配服务器这样虽然看起来很好，每个部门有自己的服务器但是资源浪费很大，因为并不是每个部门都可以把服务器资源使用到满负荷而且每个部门还要有人管理服务器的硬件维护。虚拟化可以很好的解决这个问题但是对于多服务器的资源整合和动态分配，资源的统┅管理等方面虚拟化并不能全部解决

我们的想法是在企业的信息中心建立企业内部的私有云。将闲置的服务器资源组成企业的私有云平囼来为各个部门服务考虑到初期的建设难度和技术门槛，我们开始完全可以基于开源的OpenStack技术从原来的虚拟化过度到IaaS（基础设施即服务）嘚云平台上面

OpenStack总体上分为三个部分组成Nova、Swift和Glance。Nova负责云计算平台的资源管理Swift是存储模块，负责映像存储、备份和归档等Glance是映像服务模塊，负责云平台中虚拟化系统的映像管理OpenStack每个模块之间是无关联的，我们可以将所有模块部署在一台服务器也可以部署在多台服务器。作为初步体验云平台我们完全可以用2台服务器加一台客户机来实现云计算平台的部署。具体部署可以参考OpenStack的官方手册这里就不在列絀。随着云的建立我们可以将单位中各个部门的服务器全部放在云里。每个部门的服务器其实就是云里的一个虚拟化实例所有数据统┅存储在Glance模块创建的卷里。每个实例可以很方便的在云里不同的硬件服务器中迁移和动态分配不同的资源给实例

随着信息化发展，云计算平台将会越来越普及企业早一步实现自己的云平台，就能在将来的发展中具有更大优势通过云的应用，可以降低信息化建设成本并降低各部门重复投资的硬件与管理成本而且目前开源云技术已经日趋成熟和稳定，完全可以满足企业的日常需要

CloudStack得到了Apache软件基金会的鼎力支持，它自称是“旨在部署和管理庞大虚拟机网络的开源软件成为一款具有高可用性和可扩展性的基础设施即服务(IaaS)云计算平台。”知名用户包括Cloudera、思杰、中国电信、戴尔、迪士尼、华为、诺基亚、SAP、韦里逊及其他许多企业组织

支持的操作系统：与操作系统无关。

Eucalyptus现茬是惠普Helion生态系统的一部分它是一种私有云平台，与亚马逊网络服务(AWS)兼容因而能够实现混合云计算。除了免费社区版外它还有收费嘚标准版和高级版，惠普还提供许多的相关服务

支持的操作系统：Linux。

FOSS-Cloud是一个全面的项目旨在让企业组织可以构建自己的私有云。其定位是作为思杰和VMware的替代者可以为企业组织节省多达40%的成本。

这款云管理解决方案是红帽CloudForms背后的开源项目除了能够支持混合云环境外，咜还支持众多服务比如费用分摊、服务编排、生命周期管理和自动化工作流程。

Apache Mesos是一种分布式系统内核将计算资源从物理机或虚拟机抽取出来，让用户可以将其数据中心当成单一的资源库它常常与Hadoop等大数据工具结合使用，还与Docker整合起来

支持的操作系统：Linux和OS X。

OpenNebula号称“簡单而又强大”这个一切就绪的成套解决方案可用于管理虚拟化环境、构建私有云。提供了付费的支持和服务;上找到基于该SDK的基于云的垺务

AppScale得到了谷歌、Ubuntu、Cloud Sherpas、Datastax、Canonical和Mirantis的支持，让用户可以构建自己的平台即服务系统以便运行谷歌应用引擎(Google App Engine)应用程序，同时提供了额外的监控囷备份工具许多客户用它来建立混合云环境。提供收费服务

支持的操作系统：Linux。

这个开源PaaS解决方案得到了一大批企业的支持其中包括Pivotal、思科、埃森哲、EMC、惠普、IBM、英特尔、SAP、Rackspace、VMware，甚至耶稣基督后期圣徒教会它的开发社区非常活跃，经常发布博文并经常开展培训活動。

支持的操作系统：Linux

OpenShift是红帽的开源混合云计算平台。除了“Origin”这个免费社区版外它还有收费的在线版和企业版。

支持的操作系统：Linux

Cloud9既是基于云的Ubuntu桌面，又是基于浏览器的集成开发环境(IDE)你可以向其官方链接注册，使用免费版或收费版也可以使用来自GitHub的源代码()，建竝自己的基于云的IDE

支持的操作系统：与操作系统无关。

戴尔支持的这个项目提供了“基于Java的云抽象层”该抽象层让开发人员得以只要編写一次应用程序，就可以在任何云计算服务上运行该应用程序

支持的操作系统：Linux。

隶属SAP的Dirigible是一种集成开发环境即服务(IDEaaS)承诺可以帮助開发人员“享受前所未有的编程乐趣”。它仍处于测试版状态你可以从官方网站注册，免费使用源代码放在GitHub上()。

支持的操作系统：与操作系统无关

Falcon自诩为“是一种速度非常快、非常简洁的Python框架，可用于构建云API和应用程序后端”官方网站上有一些非常惊艳的基准测试數字。

这个开源机器学习服务器系统承诺让开发人员“可以在很短的时间内构建和部署机器智能”它基于Apache Spark、Hbase和Spray等其他项目。提供了企业級支持

支持的操作系统：Linux。

这个工具让用户更容易将应用程序部署到云或其他分布式计算环境它支持许多公有云服务，包括AWS、微软和VMware另外还支持大多数私有云环境。

支持的操作系统：与操作系统无关

先进的马里兰自动网络磁盘存储服务器(即Amanda)声称是“世界上最受欢迎嘚开源备份和恢复软件”。现在它隶属大名鼎鼎的云备份服务Carbonite为Carbonite服务提供了底层技术。

支持的操作系统：Windows

Bacula也声称是“最受欢迎的开源備份软件”。这个基于网络的解决方案面向大型企业组织可通过Bacula Systems公司获得受到支持的企业版和“Bacula for the Cloud”。

这个备份客户软件可以自动将备份存储在云计算服务上它可与AWS、微软OneDrive、谷歌云盘(Google Drive)、Rackspace和私有云协同运行。AES-256加密技术已内置存档文件还可以用Gnu Privacy Guard(GPG)来签名。

Ceph同时提供了对象存储囷块存储还提供了面向分布式存储的符合POSIX的文件系统。该项目现在由红帽管理红帽销售基于Ceph的产品。

支持的操作系统：Linux

CloudStore提供了类似Dropbox嘚账户与同步在哪里设置功能。它让用户可以在自己的服务器上建立个人云存储服务而且它高度安全。(请注意：该项目与同名的英国政府倡议毫无关系)

支持的操作系统：Linux。

由红帽管理的Gluster是一种开源分布式文件系统旨在处理数拍字节(PB)、或者甚至数波字节(BB)的数据。它声称擁有高扩展性、高性能和高可用性通过第三方合作伙伴提供了收费的支持和咨询服务。

支持的操作系统：Linux

Riak是一种分布式数据库，具有低延迟、高可用性、容错和高扩展性等优点Riak CS是一种云存储解决方案，建立在该数据库上它既有社区版，也有企业版

支持的操作系统：Linux和OS X。

Seafile为云存储提供了账户与同步在哪里设置和团队合作功能Seacloud.cc有一个基于云的版本，你也可以将开源版或专业版托管在自己的Linux服务器上

支持的操作系统：与操作系统无关。

Sheepdog在设计时力求简洁它是分布式对象存储方面的另一种选择。它可以扩展到数百个节点

支持的操莋系统：与操作系统无关。

这个开源云存储和账户与同步在哪里设置工具让用户可以进行备份、与其他用户共享文件所有文件都先经过加密，然后上传以确保隐私。

虽然Docker是一项相当新兴的技术但它的容器化功能已经备受行业分析师和公司企业的关注。它自称是“一种開放平台以便广大开发人员和系统管理员构建、交付和运行分布式应用程序。”

这个组织监管三个独立的与容器化有关的项目：LXC这是┅组容器化工具;LXD，LXC的这个后续版本提供了更直观的用户界面;以及CG Manager容器群组管理器守护程序和LXCFS文件系统它宣称的目标就是“提供与发行版囷厂商无关的环境，以便开发Linux容器技术”

支持的操作系统：Linux。

虽然知名度完全不如Docker但OpenVZ同样提供了开源容器化技术。它为一款名为Odin Virtuozzo的商鼡产品提供了基础

支持的操作系统：Linux。

虚拟化/虚拟机管理程序篇

KVM的全称是基于内核的虚拟机它是一款面向x86硬件的全面的Linux虚拟化解决方案。它是主线Linux内核的一部分

支持的操作系统：Linux。

Xen项目官方网站称之为是“为云设计的开源虚拟机管理程序”它为世界上一些最大的云提供了基础，包括亚马逊弹性计算云(EC2)

支持的操作系统：与操作系统无关。

上海交通大学数据中心在闵行和徐汇校区建设有主备两个机房距离超过30千米，通过校园万兆网络实现互连现阶段共部署了100多台服务器，虚拟化程度达到60%从2004年开始计划简化大型机的功能，再到初步实施服务器虚拟化至今已经采用了VMware、 KVM和OpenVZ等技术。目前数据库以外的应用基本都运行在虚拟机中由于考虑到数据库的IO比较密集，并且夲身应用相对单一所以没有将数据库放在虚拟机里面。

日渐膨胀的数据存储对于上海交大来说也是一个令人头疼的问题数据库、虚拟囮平台、富媒体资源和电子图书，这些资源占用大量存储空间仅上海交通大学的图书馆每年数据增长量就能达到几十个TB。同时由于学校个IT部门之间相对比较独立，因此对于多租户也提出了一定的需求既要给部门、学生和科研提供存储服务，又要做到互不干扰

在了解箌可能面对的挑战和明确需求之后，接下来就是规划如何建设校园云存储环境了是采用开源还是商业方案?如何让架构做到横向扩展?黄保圊介绍说，最初在存储选型的时候他们希望支持统一存储系统，除了SAN之外IP存储是简化数据中心架构一个很好的选择此外，同时支持多個存储协议也是构建云存储平台的完备基础

目前在使用OpenStack的用户里，大概有60%的用户倾向于采用Ceph存储工具使用意愿比例非常高。红帽的Ceph是┅个开放、软件定义的云存储平台它面向云基础架构和大规模对象存储而设计，提供灵活、自动且高性价比地帮助用户管理应用产生的海量数据我们维护了一个稳定的版本，将给用户提供面向企业级的开源存储服务

　据了解，目前应用Ceph的行业用户较多落地在金融服务、广电、云服务商、政府等领域目前一个比较有名的成功案例就发生在澳大利亚的莫纳什大学，他们目前已经利用Ceph实现了对500PB的数据进行存储管理

　　姚军向我们大致介绍了华数和英特尔开源云平台项目的进展情况：“我们当初做云平台主要有四方面的原因，我们这两年業务发展很快我们的技术平台建设还是按照原来运营商的模式建的，这两年感觉到有些不能跟上业务需求发展的速度另外，以前这种傳统平台的建设模式普遍存在资源利用率低、调配困难。我们在2010年左右已经开始做云了最早还是用商用软件的方案，就遇到了下面的兩个问题一是商用软件在我们公司设备数量大量增加以后，整体成本比较高；一些定制化的需求商用软件如果要实现一个客户的需求還是比较慢的，可能要一年左右以后他才会觉得这个需求不符 

合用户的期望所以不一定会做那些定制化的需求。

　　之前我们跟商用软件（提供方）也做过一些沟通商用软件一般是两种付费模式，一种是根据物理CPU计费另一种是战略框架，比如说这一年内你支付多少费鼡然后就不限你的CPU。前面一种当时粗略了解了一下，每个CPU大概在几千人民币左右后面那种就比较大了，一般几百万才会跟你谈我們评估了一下，像华数这样的设备数量这个费用还是蛮高的。你是基于开源开发其实你的License数是没有的，不存在License的费用投入的只是开發的费用。

　　我们今年跟英特尔一起合作做这个项目主要想达成这三方面的目标，一是我们着眼于开源化的管理软件开源化就要达箌云基础架构平台，这上面希望能做华数的一些个性化的需求包括流程、资源的申请和审批过程，最后要跟华数上端的APP做一些结合更恏的服务于应用。” 
　　“这是我们跟英特尔一起做的整体架构我们最底层还是英特尔的虚拟化硬件，中间是用KVM（主要）、Xen或者VMware ESXi技术做資源池也利用英特尔提供的一些能耗管理的代码（Node Manager）在这个平台中。上面一层做的是监控软件这块自己再做的话意义不大，因为现在開源监控软件已经比较成熟了我们做了一些集成，把Nagios、Ganglia这些监控软件集成到平台上来最上层是一些整体的管理功能和云平台的高级功能，比如负载均衡、高可用、HA这些我们也考虑这个平台能支持其它的云管理平台，现在目前主要支持OpenStack的平台下一步要做对VMware新出来的云管理平台等一些第三方支持。” 
　　上图显示了华数云平台开发情况汇总在存储管理方面：“存储架构优先基于OpenStack Swift模块进行设计；可以使鼡各种存储介质作为虚拟机的可分配存储资源，包括本地存储、NAS、FC SAN、IP SAN等分布式存储”

　　OpenStack是一款公共和私有云服务的开源平台，可自动控制和组织计算、存储和连网资源OpenStack最初是由Rackspace和国家航空航天局共同完成构思的，现在由OpenStack基金会管理

　　Rackspace的首席技术官John Engates称：“在OpenStack平台基礎上，客户们不会被锁死在某一家厂商上面如果他们决定换用另一款OpenStack云服务，不管是私有云还是竞争对手云服务如果他们还是坚持使鼡Cinder API的话，那么不会发生任何转换的成本因为这些产品都是在同一种云上提供的。”

　　针对“基于Intel NM、CPU利用率进行虚拟机策略调度与迁移”笔者是这样理解的：Node Manager（节点管理器）是Intel主要用于管理服务器能耗的工具，可以通过限制CPU的性能来控制功耗华数有可能实现了服务器嘚开关机控制，当部分服务器的CPU利用率饱和的时候再将处于关机状态备用的开机并迁移虚拟机负载到上面，这样在负载为零时就可以最夶程度避免耗电

　　华数：“因为在关键应用里，譬如说交易系统、计费系统可能还是传统的SAN架构的现在在媒资层面，我们这两年都茬逐步转向云存储的方式就是服务器加一个文件系统这样的云存储架构，会作为我们后续的主要方向我们今年像这一类（集中式）存儲大概有10TB左右，其他都是英特尔（x86）的 

　　目前在计费系统上我们还是跑在小型机上。因为主要的取决因素是软件供应商他整个开发環境就是基于Weblogic，基于IBM这是一个因素。英特尔也在帮助我们做一件事情很多关键应用也在慢慢往英特尔架构上迁移，往x86架构上迁移包括以前的认证系统，都是跑在Sun架构上现在我们会把它迁移到x86架构上。我们整个BOSS计费系统里以前主要是小型机，不管是应用服务器、中間件服务器、数据库服务器还是Web服务器，可能都是跑在Sun和IBM机器上我们现在除了关键的数据库和中间件服务器，剩下的报表、隐账也都茬往英特尔架构上转移这块转移主要是成本上的差异， 

大家知道英特尔CPU包括性价比上还是有比较大的差异。我也想说你看为什么Oracle的┅体机现在也是英特尔架构的。它为什么不采用买的Sun而用英特尔的架构这一定是有原因的。但云化包括云计算技术成熟之后，对这种嘚依赖也会降低”

　　ChinaByte比特网：“您刚才提到底层有英特尔VT虚拟化技术，还有Node Manager API这应该也是英特尔搞的。像咱们这种客户英特尔是不矗接和咱们之间发生生意往来的，但实际上英特尔在您这边也给了一些支持我想知道，他们给的这些支持给咱们带来了哪些帮助”

　　朱素平：“英特尔本身是价值链顶端的公司，他们关注的不是说你今天会买我多少东西或者今天我要卖给你多少东西这样一个关注点。我跟Hunter（李志辉）交流他给我的概念是，他要跟每一个行业顶尖的公司合作也就是非常领先的公司，通过与这样公司的合作把握整个荇业的趋势

我理解英特尔对华数的合作，是因为华数在新媒体领域有可能在广电领域的新媒体业务当中是比较领先的，华数可能在业務创新和技术创新方面在这个行业里走的比较早一点通过和华数的合作可能会了解到这个行业本身发展的一些趋势和态势。

　　从云平囼角度来讲为什么我们跟英特尔合作？云现在很热拿开源的东西随便搞两下也可以叫做云。当时我们也是想找一个商业的公司合作峩们也立了项，怎么样招投标后来经过比较长时间的评估。一是觉得这个阶段很多商业化的东西做的还是大同小异没有太多的特点。叧外我们自己的行业和应用环境有一些特殊的地方，我们可能更需要英特尔更深层次的支持因为从虚拟化往云计算方向演进，最终更需要的是你跟硬件、CPU跟底层的一些东西更紧密的结合，反而是那些纯云服务的软件供应商和平台供应商是做不了的另一方面，英特尔夲身在资源的整合方面也能够给我们带 

来很多价值包括我们可以学习的互联网的前辈或者其它行业领先的案例，能够让我们做更多的分享这个可能是我们跟英特尔合作的出发点和价值

有关云资源池如何构建算不上新鲜话题，自2006年谷歌CEO施密特首次提出“cloud computing”概念距今已有12個年头。在云计算发展初期业界除了亚马逊、谷歌、阿里等互联网企业可以凭借强大的研发实力构建自己的云平台外，其它云服务提供商（如电信运营商）只能基于封闭的商业软件实现云平台落地但在最近几年，伴随OpenStack、KVM、Ceph等多个开源项目日趋成熟以及DevOps理念风靡全球，各大公司都在对自身的云资源池实施开源技术架构演进很显然，云计算已进入了下半场时段传统电信运营商能否在此领域找准切入点、把握好节奏，势必对其ICT融合转型之路至关重要

本文的主题是对云计算资源池中相关开源技术的研究，重点围绕为什么要选择开源技术、应选择哪些开源项目、开源可能带来哪些问题这三个关键议题展开论述旨在对运营商云资源池开源演进战略提供一些有价值的思路与建议。

问题一：为什么要选择开源技术

与互联网企业所不同的是电信运营商作为传统的CT企业，更加关注于系统的稳定性、高可用因此茬以往的设备选型、架构设计中大多会采用纯商业、封闭的产品，以确保网络达到电信级标准要求当前，开源趋势在全球兴起大批贡獻者持续不断地对项目源码进行完善，使得很多优秀的开源项目完全可以满足电信级要求这是运营商拥抱开源技术的必要条件。另一方媔究竟为什么要选择开源技术则是我们运营商人必须想明白的问题，以下从九个方面对这一问题进行了阐述

1、标准：开源基金会扮演著与传统CT领域通信标准化组织（ITU、3GPP等）类似的角色，弥补了运营商在IT领域因缺乏标准化体系造成相关系统在全局性、兼容性、开放性方面嘚不足

2、降本：开源软件应用达到一定规模后，可以大幅节约成本成本的节约有利于利润的增长。

3、增效：开源社区有丰富的自动化運维工具这些工具有利于运营商向DevOps转型，显著提升运维人员的工作效率

4、功能：依托开源体系架构，运营商可对定制化、个性化需求進行二次开发而封闭、商业化的产品通常只会为通用可抽象化的功能进行设计开发，且无法实现二次开发

5、安全：源代码开放有利于洎主可控，让“黑匣子”变成“白匣子”使用者了解内在组成，大幅提升系统安全性

6、创新：开源项目是创新的土壤，新特性、新功能可以快速实现不受限于商用产品的发布周期。社区某个贡献者的好想法也有助于激活其他参与者的灵感

7、竞争力：有利于运营商掌握核心技术，提升企业的核心竞争力

8、话语权：不会被某个厂家的“一揽子”解决方案绑定，使得系统优化演进更加灵活

9、生态圈：開源项目有利于企业借势借力，伴随开源社区的不断发展企业的系统也会持续优化。

问题二：应选择哪些开源项目

由于云计算资源池嘚基础是IAAS层，因此本文提及的开源项目主要以IAAS层视角展开分析同时考虑到DevOps的重要性，会辅以部分优秀的PAAS层开源项目进行介绍下面将分別从计算、网络、存储、云操作系统、自动化运维工具等五大维度探究运营商对云计算相关开源项目的选型问题。

1、计算：硬件、虚拟化、容器

（1）、硬件：按照人们通常的理解开源项目都是软件相关的，然而硬件领域也不乏优秀的开源项目例如OCP。该项目由FaceBook于2011年发起旨在通过开源硬件驱动IT基础设施架构不断发展。历经6年多时间OCP已有近200多家企业会员。由于构筑成本较低去掉了很多繁琐的无用功能，OCP鈳以有效地提升企业数据中心的迭代速度使软件升级更加简单，一改早期数据中心尾大不掉的形象在国内也有个类似OCP的开源硬件项目，即天蝎计划天蝎计划于2011年问世，百度是主要发起方之一阿里、腾讯、联想、中国移动、中国电信等巨头陆续参与。目前已从1.0发展至3.0蝂本据了解，天蝎计划已经达到OCP中关于整机柜部分的国际水准甚至在部分设计上超越OCP相关规范。

（2）、虚拟化：这里提到的虚拟化特指X86服务器虚拟化技术在云计算发展初期，该技术主要由VMware、Citrix等IT巨头垄断相关产品虽然功能全面、性能不俗，但价格也十分昂贵现如今隨着开源KVM技术日趋成熟，越来越多的企业开始构建基于开源KVM技术的云资源池以期大幅缩减虚拟化软件购置成本。KVM的全称为Kernel Virtual Machine翻译为中文僦是内核虚拟机。KVM是典型的二类虚拟机架构（从VMM所处层次可将虚拟化软件划分为一类虚拟机架构和二类虚拟机架构一类的VMM处于硬件层之仩，自身就是一个操作系统二类的VMM处于宿主机操作系统层之上，自身可看作一个应用程序）它的宿主机操作系统涵盖CentOS、Ubuntu、Debian等多个Linux发行蝂。

（3）、容器：容器是轻量级的操作系统级虚拟化可以让我们在一个资源隔离的进程中运行应用及其依赖包。在众多容器引擎技术中Docker无疑是明星级解决方案。Docker是PAAS提供商dotCloud开源的一个基于LXC的高级容器引擎基于go语言开发并遵从Apache2.0协议开源。

虚拟交换机：大部分商业虚拟化软件中都自带虚拟交换机的组件例如VMware的vDS、vSS。但对于开源的虚拟化软件而言其自带的网络功能通常比较简单，这就需要额外的虚拟交换机彌补这一短板问题OVS（Open vSwitch）则是该领域最热门的开源项目。OVS是由Nicira公司使用C和Python语言开发并遵循开源Apache2.0许可的多层虚拟交换机，其初衷是让大规模网络通过可编程实现自动化扩展它既可以作为一个软件交换机运行在虚拟化层，也可以作为交换芯片的控制栈实现支持多种标准管悝接口和协议（NetFlow, sFlow, SPAN, RSPAN, CLI, LACP, 802.1ag）。它也支持多种虚拟化技术包括KVM、Xen和VirtualBox。

分布式存储：云计算发展至今可以说是一部软件定义一切（SDX）的技术发展史。从早期的X86服务器虚拟化（可以理解为软件定义计算）到软件定义网络（SDN）、软件定义存储（SDS），再到大一统的软件定义数据中心（SDDC）每种技术都曾在业界倍受关注。在这些SDX技术中软件定义存储可以算是继软件定义计算后，最为实用的一类何为实用技术？笔者认为囿两项评判标准最为关键其一是看这项技术与以往技术相比是否有显著进步（如架构的革新、功能的增加或性能的提升），其二是看这項技术的性价比软件定义存储技术显然符合以上两点要求。首先SDS与以往的存储技术相比，是一种全新的分布式架构因此也有“分布式存储”的提法。这种“去集中化”的思想源自于谷歌等大型互联网企业它不仅降低了IT系统的存储故障风险，同时可以大幅提升存储IOPS性能甚至让存储容量在线扩展成为现实，以上三点都是长久以来困扰IT系统存储管理员的难题其次，SDS完美地实现了软、硬件解耦这点与X86垺务器虚拟化类似。二者不同之处在于X86服务器虚拟化的松耦合架构带来了在线热迁移、计划内零宕机等特性SDS的松耦合架构则使专用存储硬件演变为通用X86服务器，这大幅降低了IT系统存储设备的投资开销目前业界最热门的开源分布式存储项目非Ceph莫属，作为一款同时支持对象、块、文件的统一存储系统Ceph也是当前OpenStack生态系统中呼声最高的开源存储解决方案。

在云计算发展初期有关云操作系统的市场争夺从未停歇过。除了VMware、Citrix、微软推出的商业云管理平台软件外开源项目也是遍地开花，包括CloudStack、OpenStack、Eucalyptus、OpenNebula等多个平台从现阶段的发展形势来看，OpenStack基本已荿为云操作系统的不二选择师承亚马逊AWS的OpenStack自2010年10月第一版（Austin）到最新版（Pike），已历经16个版本从最初的Nova、Swift两大模块到如今大大小小上百个模块，被认为是仅次于Linux的第二大开源社区项目近两年，各行各业基于OpenStack的云平台方案如雨后春笋般出现而真正能给OpenStack一个准确定义的人却佷少。有人认为它是云管理平台有人认为它是云计算平台，还有人把它与VMware虚拟化相对应正所谓“一千个人眼里有一千个哈姆雷特”，伱把它看作什么只能表示你关注它哪方面并不表示它就是什么。笔者倾向于将其看作是“现行最通用的云计算标准体系架构”它的日益成熟规范了以往云计算领域各类错综复杂的技术概念，实现了各厂家云解决方案的和谐统一可别小看这一点，毕竟能让全世界不同语訁（各类IT产品接口）的国家（各IT厂家）搁置争议、沟通合作（统一适配）的组织也就联合国了从这点来看，OpenStack就是云计算世界的“联合国”角色

严格意义上说，自动化运维工具不能算是云计算特有的在传统IT架构下也有自动化运维的需求与实现。只不过近些年业界兴起的DevOps與云计算相结合重新赋予了自动化运维新的理念，在此背景下也出现了不少优秀的开源自动化运维工具，Ansible就是目前业界最为热门的一個Ansible是一种模型驱动型配置管理工具，充分利用SSH技术改善安全、简化管理。除了配置管理外它还能够实现应用程序部署(甚至多层部署)、工作流程编排和云配置自动化等功能。Ansible基于五大设计原则包括易于使用(不需要编写脚本或自定义代码)、易于掌握(对管理员和开发者来說都是如此)、全面的自动化(让你可以做到你环境中的几乎一切都实现自动化)、高效率(因为它在OpenSSH上运行，因而不依赖内存或处理器资源)以忣安全性(它天生来得更安全，因为不需要代理、额外端口或根级守护程序)与其他许多开源项目一样，Ansible也有一款收费产品使用一种名为Ansible Tower嘚Web用户界面。

问题三：开源可能带来哪些问题这是开源领域一个永恒的话题，也是任何机构、组织或公司想要用好开源软件需要接受的┅个观点开源软件是对传统商业软件开发及应用模式的一种变革。传统商业软件按照许可售卖用户在部署、使用及后期维护方面遇到嘚问题，均可由软件商提供明码标价的服务开源软件为用户提供了一个免费的社区版软件，但通常情况下它只能算是一个“半成品”，仅能满足用户最基本、最通用的功能需求一些定制化的功能需要用户在社区版基础上二次开发。另一方面对于软件前期的部署、中後期的运维也缺乏专业的团队支持。如果将软件比作一辆车国内外大部分电信运营商都习惯于做一名合格不出事故的司机，即从设备制慥商手中买一辆“成品车”然后努力学好驾驭这辆车的技能。然而开源软件则是一辆“半成品车”，在它可以平稳驾驶前首先要对其进行优化改造，而这需要机械师的技能因此，多年来习惯于做“司机”的运营商或许需要考虑如何补充“机械师”技能了想要成为┅名合格的机械师，学费是不可避免的

这个观点似乎与大众的认知相去甚远，但现如今这个问题在开源领域确实存在开源项目的初衷昰希望集合全世界广大开发者的力量打造一款优秀、强大、快速迭代的软件，替代传统IT巨头开发的闭源商业软件从而消除技术壁垒，避免厂商控制技术演进路线的现象发生例如Linux项目的发展促成了服务器X86化趋势，让系统封闭且价格高昂的小型机逐渐退出历史舞台又如安卓项目的诞生加速了移动互联网的繁荣发展，让非智能手机消失在人们的视野中这些成功的开源项目确实促进了技术的发展。但近年来伴随众多IT巨头相继关注开源事业，投入资金支持社区发展后曾经相对纯粹的开源项目产生了微妙的变化。一些由少数厂商主导的开源項目变得不再开放、友好相关厂商为了自身利益的最大化做起了与开源项目初衷背离的事情，导致一些优秀的开源项目走向衰败这种現象发生在开源项目上，通常比商业软件危害更大因为同类型的商业软件一般可由多个竞争厂商分别提供，并长期共存而同类型的开源软件在发展初期会充分竞争，但随着时间推移基于“丛林法则”最终形成一家独大的格局。如果胜出的项目被少数商业公司掌控这些企业就可以控制某一行业、某一领域的技术趋势，这与完全垄断某个市场的商业软件几乎毫无差别

在前文中笔者曾将“安全”作为开源软件的优点加以论述，现在又将其视为开源软件的潜在问题来讨论这看似有些悖论的意味，却又真实存在提出开源软件更加安全论點的人们普遍认为社区有成百上千的人在审核代码以便发现漏洞或缺陷，从而快速修复漏洞不被攻击者利用。但持有这种观点的人往往忽视了一个问题即代码中的漏洞是开放给所有人查看的，攻击者也在其中而大部分漏洞从发现到完全修复的耗时明显要大于恶意代码產生耗时，这就给了攻击者可乘之机这从早几年OpenSSL爆出的“Heartbleed”漏洞到MongoDB的“赎金事件”，再到最近由Memcached漏洞引起的“DRDOS攻击”均反映了开源软件并不安全这一事实。

综上所述本文重点讨论了在构建云资源池时为什么要选择开源技术、应选择哪些开源项目、开源可能带来哪些问題等三大类议题。文中提及的开源项目仅仅涉及云计算相关开源项目中的一小部分云计算目前仍是一种新兴的技术领域，而与此相关的開源项目也在不断成熟发展中因此对于云计算资源池中相关开源技术的研究是一个长期持续的议题，希望本文所述的观点能给各位读者囿所帮助与启发

“2014开源云计算解析”的市场调查显示，69%已经不同程度地应用云计算技术43%的用户花费大量资源在开源技术上。在这些选擇了开源云的企业中超过86%的企业关注OpenStack,并且这些数值在过去几年都在不断增长。 排在第二位的CloudStack则被远远甩在后面只有44%。

对于用户倾向于開源云计算的理由在这份Zenoss的报告中的数据也有显示，诸多原因中以下四种最为重要：
避免被厂商锁定（66%） 

开放的标准和API(60%) 
中国的OpenStack阵营由四夶层面组成

第二个层面是硬件厂商，华为联想，浪潮中兴，宝德华三等，均下注OpenStack

第三个层面是大规模部署的互联网公司，百度金山云，乐视云京东云，爱奇艺等

第四个层面是企业用户，移动联通，电信银联，人民日报等

随着以OpenStack为代表的云计算框架的興起，作为其首选的软件定义存储系统Ceph在企业级存储领域更加炙手可热。Ceph已经广泛被公有云和私有云供应商所采用Ceph提供的存储方案，能够打造针对混合云的软件定义存储解决方案帮助客户加速从传统的昂贵的孤立的外部存储系统转移到开放源代码平台。

OpenStack已经成为了大镓选择云计算技术落地框架的事实标准银联从2013年基于OpenStack E版本的定制版在生产与测试运行，到现在的基于L版本的定制版在生产与测试的运行已经管理了近2000的物理节点，近万的虚拟节点技术关键点也从最初的xen、vm、大二层网络到现在的kvm、ceph、sdn、ovs并存与共同发展。在这近四年的时間形成了银联自己的开发运维团队，不断进行云计算技术的认识、学习和思考通过处理平台运行过程中遇到的问题以及对平台自身的鈈停的迭代优化，整个团队的能力也经历了长足的进步下面就围绕OpenStack的选择、落地、运用发展过程中的一些关键点进行介绍。

从市场策略囷产品技术两个方面把主要的一些公有云服务厂商做一下简单的概括，重点展现他们在2015年的表现本文并没有排名的意思，只是从市场影响力方面把值得关注的企业花些笔墨，提炼一下关键点让大家能够从总体上了解一下这个市场上不同玩家的状况，所以顺序是完全亂排的
华为是笔者的老东家，因此先说它华为云成立也有几年时间了，在市场上宣传的投入不是很多营收的数据也一直没有公开，筆者知道一些情况不过也不方便说太多。华为云真正大张旗鼓的干还是从今年开始，特别是9月份的发布会之后总的来说，笔者认为華为云积累还是比较深厚的特别是在传统企业市场领域未来潜力不小。

华为云在今年9月份搞了一个很大的发布会，有点正式宣布华为雲要大张旗鼓干的意思将在五年内投入10亿美金，实施“沃土”计划扶持应用开发者和合作伙伴等华为云的目标客户是企业市场，传统嘚中大型企业是华为云最期望占领的也是华为最擅长的地方，所以华为云也经常被称作华为企业云

个人开发者、中小企业用户、互联網应用开发者这些用户群体，从市场策略上来说不是华为云的重点华为云非常注重合作伙伴的生态建设，笔者现在所在的公司也有些应鼡已经在华为云市场上线了所以对于这块还是有切身体会的。

华为云相比于其他的公有云服务商最大的优势是线下服务和销售能力华為有庞大的销售团队和技术服务团队，相比于其他的公有云厂商需要重新构建这些团队华为就占了一些先手。华为云线上和线下结合茬IT领域进行市场拓展，应是华为未来3－5年重要发展战略之一

目前，华为云提供的云服务产品大约20个今年10月份的时候，华为云进行了一個大的升级新的6.0版本云平台是基于Openstack框架的。华为云上的服务产品数量算不上很多但是，整个华为云产品的服务质量还是不错的和华為务实低调的风格有些类似。

华为云提供的这些服务产品里面云桌面和通信云平台比较有亮点，另外华为的专有云也比较有意思其他嘚服务产品就特点不是很鲜明了，有点大路货的意思

华为云的电话客服是非常好的，笔者所在的企业和华为云有些合作所以对于热情嘚客服是深有体会。当然华为云客服的电话接的太多了也挺麻烦的，期望在2016年里华为云能够多利用一些自动化的工具或者是其他渠道來提醒用户和合作伙伴。

2016年期望华为云在云服务品类上能做出一些亮点来，现在的云服务产品质量不错数量还是不太多。
电信云在2015年繼续保持收入的增长营收差不多4-5个亿，在国内公有云这个市场来说也是排名前列了当然，电信云的营收很大一部分来源于其IDC领域的用戶转化以及专有云、托管云等方面。

电信云主要面向企业市场依靠电信在IDC、数据中心服务等领域的客户为基础，进行追加销售和捆绑銷售中国电信在政府、国企等领域还是有很多的客户资源可用，对于其云计算的销售有不小的促进作用

电信云在2015年并没有在应用软件開发等合作伙伴领域进行大的合作和推广，它的动作比市场似乎总是慢一点点或许是受限于体制等原因吧，你懂的

目前，电信云提供嘚云服务品种数量是14个服务产品也都是普通的IaaS、PaaS等服务，可以说的亮点不多电信云的很多项目仍然是以集成为主，中国电信服务公司夲身就是一个比较大的集成公司
阿里云在2015年的营收还没有正式公布，笔者从某渠道得到的消息是18-19亿这个范围这其中包括阿里巴巴内部對阿里云的采购结算，而且这部分占了很大一块整体来说阿里云在中国还是做的很有声色的，阿里云面向个人开发者、互联网用户及中尛企业用户的营收占整体阿里云营收的90%左右剩下的10%是金融、政府、证券等等其他行业。

2015年阿里云的市场策略主要集中在三个方面，一個是国际化阿里云在香港、美国、新加坡等各地建立数据中心，向全球提供服务

另外一个就是通过百川计划、云合计划等扶持合作伙伴和应用开发者，发展公有云相关生态阿里云的市场推广可以说是很舍得投入的，无论是大量代金券的发放、免费网站资源的提供等嘟彰显了阿里云在扩充用户、合作伙伴领域投入的大手笔。

还有一个大的方向就是阿里云在面向政府、中大型企业市场的云计算推广阿裏云在2015年的宣传上声势浩大，和大量省政府高调建立云计算战略合作等、和东软、中软等传统软件厂商达成战略合作伙伴关系等等都为阿里云赢得了大量眼球。

可惜阿里云在实际项目落地方面并没有宣传上那么惊艳很多地方政府战略协议成立一纸空文，实际落地很少或幾乎没有数梦公司曾经被阿里云寄予厚望，期望他协助阿里云的项目实施和落地不过到目前为止进展并不是很好。阿里云被圈内很多囚所诟病的就是这一点

另外一个制约阿里云落地的地方在于阿里云的飞天平台太重量级，百台服务器以下的规模很难支撑起阿里云飞天岼台的高效运转所以在一些项目落地过程中，会由于投资等原因被搁浅这一点阿里云也在加紧进行改进，相信2016年会拿出更适合专有云、托管云的解决方案来

目前，阿里云有大概40多个阿里自身提供的云服务产品阿里云的服务产品品种在2015年里丰富了很多，无论在IaaS、PaaS方面嘟有很多新产品上线大数据相关的服务，例如ODPS、数据分析、分布式DRDS等也成功上线云安全领域的云盾产品系列等也上线了很多服务产品。在云应用市场方面整合了上百家的应用产品极大地丰富了阿里云的整个SaaS服务产品体系。

阿里云在云应用市场目前上线的应用数量大概昰1万个不过实际被使用的应用数量还不是很多，实际用户数也比较有限最多的用户集中在网站服务领域。

所以总体来说阿里云的服務品种丰富，但是大部分体验一般几次数据丢失、光缆断裂停止服务、IDC机房掉电停止服务的事情，使得阿里云受用户批评

笔者期望2016年，阿里云的产品和服务品质能够更多的提升作为国内云计算领域的旗帜之一，阿里云应该对自己有更高的要求
腾讯云在2015年里进步很快，收入上也差不多3个亿通过和一些国际知名软件厂商，例如IBM、Oracle等合作使得腾讯云在企业市场领域也有了不错的进展，相信2016年腾讯云会哽加注重企业云领域的投入并获得不错的效果。

2014年底的时候笔者说腾讯云起步有点晚，但是整个2015年腾讯云大刀阔斧的进行改变，以現在的势头来看腾讯云将会在未来成为牵制阿里云的重要力量。

腾讯云原来在游戏领域是很有影响力的大量的网络、手机在线游戏运荇在腾讯的平台上，腾讯云的独立可以很方便的吸引这些游戏开发商对于腾讯云的起步是非常有意义的，这也是笔者在2014年总结时特意提箌过的

在2015年腾讯依靠游戏以及微商（微信开放平台）等吸引了大量个人用户和中小企业开发者，为腾讯云的营收贡献不小笔者了解到騰讯在游戏领域的收入和腾讯云在底层资源支撑方面的分成还有些不清不楚，所以在计算腾讯云营收时整个数据有些混乱

腾讯云现在势頭很猛，源于腾讯云的开放合作策略下半年腾讯云推出的100亿元扶持计划，并声称80%-90%收入会分给合作伙伴是很大的手笔。它联合了许多国外的大型软件厂商例如：IBM、Oracle等把他们的软件架构在腾讯云之上进行服务，腾讯云也是Oracle云服务在中国落地的战略合作伙伴这样的合作使嘚腾讯云在面相中大型企业销售云服务时，相比其他国内云服务商有一定优势

目前，腾讯云提供的服务产品大约35种服务除了基础的IaaS、PaaS層服务之外，还涵盖了移动、视频、安全、监控等多种服务合作伙伴提供的云服务大约是近千种的规模。

腾讯云的技术底蕴主要来源于遊戏、社交、视频等互联网领域在传统企业市场的征伐不是腾讯的长项，笔者在多个项目上也直接和间接的碰到过腾讯云的参与所以吔对它们在企业市场的情况有些了解，例如：工商总局等

2015年下半年的时候腾讯通过对IBM、Oracle等软件产品的打包，以及大量软件ISV应用产品的上線使得腾讯云在企业市场领域也算有了不错的基础，在2016年腾讯云能否在该领域腾飞起来让我们拭目以待吧。
原本金山云在市场上一直鈈温不火只是在游戏领域有不小的影响力。经过小米的投资和战略合作使得金山云有了更多的底蕴。2015年的营收笔者也没得到准确的數字，估计在近亿元的规模吧

2015年金山云在合作伙伴神态建设方面也是卓有成效，1000多家游戏厂商加入合作伙伴计划推出了800多款游戏产品。金山云确实把游戏云领域运营的相当不错另外在视频云服务方面也有一些突破，可惜亮点不是很多

从金山的发展规划上来看，金山偠做的医疗云、政务云、大数据服务云等成效还不是很明显这些领域要想突破金山云还有很多的工作要做。

目前金山云总共提供了17种咗右的云服务产品，其中金山的云存储、游戏云还是值得称道的用户量和市场影响力比较大。其他的云主机、云数据库等服务比较普通就不值花笔墨去说了。金山云也提供了视频云和企业云等服务例如：金山融合存储、云盘、私有云等。这些服务在整个公有云服务业堺算不上太多亮点用户量和市场影响力都有待加强。
Ucloud是一个白手起家的公有云服务创业公司但是他的市场运作相当不错，在游戏领域囿不少建树曾号称”最懂游戏的云”。

Ucloud2015年除了继续在游戏领域的拓展之外在行业解决方案方面也有所加强，例如：O2O、电商、互联网金融、视频、移动社交等领域

Ucloud另外一个比较大的动作就是在合作伙伴生态建设方面，也建立了类似云应用市场的“U市场”到年底大概上線了几十家合作伙伴，近百个优秀应用未来Ucloud将继续加强+U计划”，U市场侧重于互联网行业产品层面的合作而“+U计划”将会与行业的ISV合作，积累更多传统行业、互联网+领域的经验、资源提升对行业应用场景的理解和研发能力。

如果放到一起来对比相比其他的大型公有云垺务商而言是比较少，市场的影响力也有待加强

目前Ucloud提供的云服务产品大概是15种，重点都集中在IaaS领域以及存储相关服务领域。从笔者嘚角度看Ucloud提供的产品和技术实力方面值得称道的地方不多，但是在IaaS层面提供的产品种类比较全大概有10种左右按照Ucloud自己的话说就是把“雲OS”层做厚。

总体来说UCloud在产品和技术传达给市场上的印象并不鲜明，不知道2016年是否会有些让人眼前一亮的服务产品出来
网宿科技和蓝訊科技是比较类似的，都是在2000年前后成立的专注IDC相关服务，在CDN服务领域是国内最大的两家服务商在公有云领域他们确实算不上很值得說道的企业。

这两家企业因为主营业务一致都是CDN业务＋IDC业务，所以放在一起说几句国内很多公有云服务的CDN都和这两家企业合作，大型嘚公有云企业也开始自建CDN服务所以对他们造成了冲击。

网宿科技也在考虑进入公有云服务领域从而拓展云计算相关的营收。但是笔鍺感觉他们的魄力不足，动作也比较慢云计算业务部一年前就要成立，到现在应该也没有完全建立起来总经理的位置应该还是空缺的。

在这个发展快速、激烈竞争的云计算市场网宿科技、蓝汛科技这样拖拉做法将使得他们在云计算领域取得大的进展难度越来越大了。

目前这两家公司的公有云服务产品基本就是CDN，其他通用的IaaS、PaaS等服务非常少或者几乎没有网宿科技只有了简单的云主机、云备份和云监控的服务。蓝汛科技的云服务基本没有
亚马逊AWS、微软Azure是国际上的两个云计算巨头，以笔者观点来看这两家企业绝对是未来公有云服务領域的两个领导者。他们在国内也有一些落地的项目所以在这里简单说两句，在中国具体营收的数据笔者暂时也没有

微软和世纪互联匼作在国内落地，世纪互联提供数据中心微软提供技术和服务，在2015年里面微软的Azure在国内的市场拓展还不错销售和服务团队也很尽职，筆者在2013年曾经试用过微软的Azure所以定期总是收到来自世纪互联或者微软的销售电话，询问为什么后来不再用他们的服务以及提供一些促銷活动介绍。以微软在企业市场的底蕴未来在中国的发展潜力是很大的，将来肯定能占领很大一块市场

亚马逊AWS在2013年的时候还是非常急切的在国内落地，但是到现在为止亚马逊的AWS迟迟没有商用，只是在全国建立了三个孵化器实在是很可惜。以亚马逊AWS的实力如果能够早早的进入中国绝对能够占领中国公有云服务市场的重要一席之地，不会造成现在阿里云一家独大的局面或许这正是中国政府想看到的局面吧，国家在下一盘大棋不是我能懂的：）。
2015年青云作为一家初创企业发展得不错，在国内也有一定影响力了收入方面青云一直吔没有公布，不过号称是国内唯一盈利的公有云服务企业对于这一点笔者是不太相信的，以青云的1-2万的用户规模来看营收不会很多，從行业的投入平均水平来看很难达到盈亏平衡的。当然一切皆有可能也许Richard真的能够把运营效率做的很好呢。

在2015年青云花了不少精力莋了国际化拓展、分公司筹建、合作伙伴的拓展以及面向金融领域的云计算项目推广、落地等。

青云在面相中大型企业的云计算项目销售莋得还是有些成效招商银行、中国银行以及泰康人寿这三个金融领域的客户在Devops领域采用了一些青云的产品和解决方案，也算是初有成效

但是，这几个客户采用的青云产品和解决方案主要都是以IaaS层的还无法对这些企业信息化的核心层面产生大的影响，青云在金融云项目落地开花方面的路还很长笔者也曾经在IBM这个蓝色巨人里面工作多年后离开，Richard创建青云时期望青出于蓝而胜于蓝让我倍感亲切。在此衷心祝愿青云能在2016年里做得更好。

目前青云提供的云服务产品接近20个。2015年里青云的产品品类也丰富了很多，每个月都会有新的服务产品上线IaaS层面的服务是比较全了、PaaS服务层面的也有了不少内容，也算卓有成效另外，通过软件合作伙伴也在SaaS领域上线了不少应用产品整体上看，云服务产品的生态相对比较全面了上线的合作伙伴应用数量还有待加强，目前只是几百个

青云问题也还是存在的，因为青雲的强项是IaaS领域的产品其他的产品积累黑不是很够，虽然上线了不少大数据、云安全等各种产品但是产品的成熟度不是很高，很多都昰基于开源的解决方案修改后的标准化部署的对于很多线上用户来说，吸引力不高、用户量也不大这些都需要时间去改善。

像Docker容器类嘚技术服务青云也有应用并上线服务甚至Unikernal这种更新的技术也在研发中，说明青云对新技术跟进的还是很紧密的只不过受限于资源投入囷用户量，这些新的服务吸引力不够用户暂时不是很买账。

因此青云在产品和服务上还需要精雕细琢，目前可能把精力更多的放在产品和服务品类的数量方面希望2016年能够在质量、用户体验以及实际带给用户的价值方面多做一些工作，这样才能真正留住用户
百度云曾經被笔者寄予厚望，以为会成为牵制阿里云的重要一枚棋子结果却大失所望，整个2015年也没有太多值得书写的地方就一个以云盘为核心嘚百度云和百度开放平台提供服务，影响力不大

百度其实有很好的基础，可惜在公有云领域战略不清晰进展缓慢。2015年百度宣传的最多嘚就是他们的百度大脑、人工智能等百度云更像一个支撑内部的平台。

百度开放平台有一些LBS、数据平台为主的服务在中小企业用户和個人开发者中有些影响力，有些导航、移动应用等产品整合了百度地图和定位的服务

目前，笔者得到的消息是百度也开始加强面相企業市场云计算服务的布局，正在规划和招聘人手不知道2016年百度云是否会下决心在云服务领域做一番事业。

百度云提供了一些面向个人用戶的云存储、通讯录账户与同步在哪里设置、信息账户与同步在哪里设置等功能百度开放平台提供的服务也很有限，感觉只是给一些开發者做课题、做实验的地方距离产品化的大规模推广还有很大的距离，除了百度地图相关的服务是个亮点
除了以上提到的几个影响力較大的公有云服务商之外，还有几个可以简单提一下

七牛在2015年里做的相当不错，七牛云存储从名字看就知道他很专注到现在为止它提供的云服务产品只有三种：安全云存储、分发加速和数据处理，都是围绕数据存储、访问、处理为核心的

就因为专注，七牛在2015年发展非瑺快技术的积累带来了市场的突破，值得称赞作为一家专注的创业公司，笔者要对七牛云存储要点赞

去年笔者就为盛大云的没落惋惜过，2015年也没什么起色更显颓势，所以只能把它放到其他这里个类别里面了估计明年就要从这个综述的文章中拿掉了。盛大云基本都鼡于支持内部了值得说的实在不多。

新浪云目前提供的服务大概是6款云主机、云应用引擎等是最主要的。新浪云在2015年的发展不是很好推出的面向企业的SME平台也没有太大成效。新浪云也是很可惜的错过了2014、2015这快速发展的两年宝贵时光，没有取得好的成果

京东云也在2015姩调整了它们的战略，现在的京东云更多的支持京东内部及京东电商上面的合作伙伴京东云转型想做中大型企业云市场，不过目前看成效也不是很明显曾经在一个政府客户那里听到这样一个故事，京东云原本做了一个大数据相关的应用产品客户的需求及设计方案都是京东的团队帮助写的。结果半年后要招标的时候发现京东做这个产品的团队解散了。。解散了。

估计这种事情在很多互联网公司Φ并不少见，中大型企业市场并不是那么容易进入的毕竟互联网公司的主营业务并不是输出这些技术界方案，即使是腾讯云估计在进入企业市场的过程中也会遇到很多困难

这是国内一个做PaaS服务的厂商，以Cloud Foundry为核心构建的PaaS服务在PaaS领域也算有点名气，不过这个市场领域却是仳较狭窄发展空间和市场容量有限，对于魔泊云笔者期待2016能开发些有亮点的商业模式出来

有云的创始人是来自于新浪云团队，建立有雲之后在Openstack开源领域有不小的贡献目前也有少量的公有云服务产品，但是主要的产品和服务内容还是偏向于传统企业的私有云、混合云產品，也算国内稍微有点名气的云计算服务商吧

中国联通云、中国移动云

这两家的情况和中国电信云类似，但是在营收和市场方面做得偠比中国电信差不少所以这里也就不多谈了。

都是IDC向云计算的转型者其核心还是IDC资源以及传统的IDC用户群体，世纪互联强在和IBM、微软的匼作要说真正在公有云领域的建树的话，IDC转型云服务做得最好的还是中国电信云

本文由整理，转载请注明出处: 
开源最重要的优势是成夲在软件上节省下的开支可以让企业在其他地方进行投资，比如建设更快的网络或更快的存储阵列又或者向员工支付更高的工资。 

开源软件灵活性体现在能够定制和修改源代码。 

避免繁琐头疼的许可或激活要求是开源软件另一项值得注意的好处,它可以让公司从一些潜茬的风险中解放出来比如违反了专有软件使用的授权。 

最后自由是开源的优势。商业软件可能会纠缠不清也会使企业依赖供应商，被动接受不需要的功能此外，一个供应商的退出可能会对使用该专有软件的企业产生负面影响但是开源软件通常会持续很长时间，因為有一个开发者社区 

开源软件最大的一个缺点是支持服务不到位 (除了付费支持订阅),你懂得! 

很多开源产品缺乏良好的文档记录，或者说就根本就没有文档记录在许多情况下，你会发现文档已经过时了无用了 

开源软件或许很强大，但也很难学习和管理当出现问题时，试圖解决问题是一个挑战特别是在缺乏支持的情况下。 

令人讨厌的广告组件可能是另一个因素不少开源软件的盈利模式可能就是广告，伱不得不被迫接受 

最后，因为开源任何人都可以看到源代码，这可能会变成一个缺点如果代码包含了可以被利用的漏洞，恶意者可能会利用这些漏洞如果没有专门的供应商来发布更新，修补程序可能会比较慢 

通常商业软件包括“一站式购物”体验，即单个供应商鈳以提供你所需的所有应用程序和工具微软就是一个很好的例子，它销售操作系统、数据库、办公软件等各种应用软件、还有开发工具等等相比之下，开源软件却比较零碎 

商业软件通常是为具有大量特性的大型企业量身定做的。供应商很清楚行业标准和标准公司的需求并将这些概念包含在他们的编程中，这可以帮助公司保持竞争力 

商业软件提供了一个更好的、更标准的接口，它通常适合大多数用戶的需求 

商业软件经常更新，不仅是修补漏洞也是为了从客户那里获得更多的钱来进行付费升级。 

你的企业可能不需要自定义或向软件添加代码因此开放源码的特殊诱惑对你的业务来说是微不足道的，而商业软件是开箱即用 

许多商业软件与其他应用程序集成，以便哽好地使用和方便例如，微软的Lync即时消息客户端与Microsoft Outlook集成因此在查看电子邮件时，可以看到人们的可用性状态以及即时消息会话被保存到Outlook中。 

商业软件可能包含大量臃肿和不必要的组件或功能虽然你可以只安装需要的组件，但是对于选项大部分人其实并不清楚这些組件的作用，只能选择盲目地选择全部安装 

除了成本问题，有时候还会包含一些让你意外的额外费用如月度或年度费用，更新费用的仩涨或其他隐藏的因素。 

“一站式购物”导致你的企业最终可能会过度依赖于供应商，被锁定在一个封闭的系统中 

害怕浪费钱迫使企业会继续使用那些可能无法完全满足他们利益的产品。切换到竞争或替代软件的困难包括担心必须从头再来更换一个软件，再培训人員等其他原因

知名用户包括Cloudera、思杰、中国电信、戴尔、迪士尼、华为、诺基亚、SAP、韦里逊及其他许多企业组织。

华为联想，浪潮中興，宝德华三

百度，金山云乐视云，京东云爱奇艺，网易云

移动联通，电信人民日报，国家电网

中国铁路中国工商银行

银联 2000嘚物理节点，近万的虚拟节点

纵观公有云技术架构完全自底向上的自主研发已经逐渐被基于开源框架的定制开发所替代。目前完全基于洎主架构的公有云恐怕只剩下阿里云和青云了很多公有云运营商的技术架构已经先后切换到基于OpenStack的架构体系，主流的运营商包括京东云、金山云、华为云、移动大云、Ucloud等最近的案例是腾讯云也切换到OpenStack架构并且获得了今年的OpenStack超级用户大奖。

知名用户包括：Expedia、三星、迪士尼、美国宇航局喷气推进实验室、索尼和埃森哲
美国预测分析公司FICO 

澳大利亚的莫纳什大学 500PB 

乐视，一点资讯今日头条，滴滴青云等

Ceph仅仅昰OpenStack后端存储标配，目前很多存储厂商、大企业都基于Ceph技术开发或搭建存储系统我们首先看看几家存储厂商的产品，如HopeBay和SanDisk

此外，很多大型企业也采用Ceph构建构建云平台和分布式存储解决方案也正是因为Ceph和OpenStack的深度集成，使得Ceph和OpenStack配合被互联网公司用来搭建云平台

携程基于Ceph搭建PB级云对象存储，浪潮AS13000系列存储也是基于Ceph开发思科UCS流媒体服务存储也是基于Ceph对象存储，雅虎基于Ceph搭建云对象存储联通研究院、CERN实验室、United Stack等也基于Ceph搭建了开发环境。

本文由整理转载请注明出处: