基层实践Grass-roots Practice
基层央行自主可控私有云的探索和实践文口中国人民银行泰州市中心支行季锂
K、右着人民银行省级数据中心的建设,各地市中支应用系统不断上收,现有系统主要是办公类、网站类等。业务处理系统数量较少、用户数量不多、业务量不大。如果釆用商业化的虚拟化方案及软件,存在着软件价格高、商业授权复杂、维保服务无法及时获取等问题。同时,随着“棱镜门”等一系列事件的发生,无不再次提醒我们,不掌握核心技术,完全依赖国外封装后的成品基础软件,未来将面对被单一供应商或产品锁定、信息安全等多方面的风险。 为此,人民银行泰州市中心支行积极响应总行"不断提高科技保障能力和服务响应水平,确保业务安全、稳定、高效运行”的工作要求,结合实际开展了构建"自主可控私有云”的研究和探索,提出了有效的解决方案。同时搭建了一套从底层硬件至上层应用,完全自主可控的“私有云”并应用于泰州中支应用系统虚拟化及自建“桌面云”系统的实践,取得了较好的成效。
相关技术介绍
1.KVM虚拟化技术
KVM服务器虚拟化使用QEMU技术模拟处理器,使用KVM、QEMU-KVM技术模拟CPU的运行,使用Lib virt技术为各种虚拟化工具提供编程接口。利用KVM 和QEMU虚拟机Hypervisor各自的优点和特性,结合QEMU-KVM和Libvirt,可以为服务器底层虚拟化提供完整的解决方案。
oVirt是基于KVM虚拟化组建私有云平台的管理工具。oVirt以web界面的方式管理KVM虚拟化环境,主要由Engine和Node两部分组成,Engine是oVirt中的管理节点,提供web界面与用户交互,使Node节点管理可视化。Node是oVirt中的计算节点,底层专注KVM虚拟化,并为虚拟机运行提供计算资源。oVirt是数据中心虚拟化管理平台解决方案,可以快速构建私有云,为主机和客户机提供高可用性、实时迁移、存储管理、系统调度等高级功能,主要应用于桌面云和服务器虚拟化。 3.GlusterFS分布式存储
GlusterFS是Scale-Out存储解决方案Gluster的核心,它是一个开源的分布式文件系统,具有强大的横向扩展Scale-Out能力,通过扩展能够支持数PB存储容量和处理数千客户端。GlusterFS借助TCP/IP或InfiniBand RDMA网络将物理分布的存储资源聚集在一起,使用单一全局命名空间管理数据。GlusterFS基于可堆叠的用户空间设计,可为各种不同的数据负载提供优异的性能。
GlusterFS使用户可摆脱原有的独立、高成本的封闭存储系统,能够利用普通廉价的存储设备来部署可集中管理、横向扩展、虚拟化的存储池。
私有云架构设计
堵漏工具1.总伸架构
为保证业务系统信息安全,遵循开源、自主可控的原则,采用oVirt开源云技术框架搭建自主可控私有云;服务器虚拟化底层采用KVM虚拟化技术建设;业务应用数据存储采用GlusterFS分布式存储技术实现,同时辅以当前主流的网络Vxlan及Open vSwitch SDN技术实现网络虚拟化。
2.网络架构
私有云网络主要分成管理网、业务网、存储网三类子网,并且实现三网隔离,功能如表1所示。
表1私有云
对甲苯磺酸吡啶盐网络划分带宽网络功能
自动点火器円里厂I壬漲用作网桥,以开展oVirt管理,包括oVirt Engine和吕埋网十冷Node之间的通信、IPMI监控等。
业务网干兆用于虚拟机客户端流量
存储网万兆用来传输GluserFS分布式存储节点间的存储和迁移流量
84
Grass-roots Practice営
3.高可靠性架构
私有云平台会一直监控计算节点和存储还有其他硬件是否发生故障。
如果计算节点发生故障,设置了高可用的虚拟机会自动重启,重新在原来的计算节点或者新的计算节点上运行。
GlusterFS主要有三种基本的集模式配置,即分布式集(Distributed cluster)、条带集(Striped cluster)s 复制集(Replica cluster)o对于分布式集,文件通过HASH算法分散到集节点上,访问时使用HASH算法查定位。复制集类似RAID1,所有节点数据完全相同,访问时可选择任意节点。条带集与RAID0相似,文件被分成数据块以Round Robin方式分布到所有节点上,访问时根据位置信息确定节点。这三种基本集还可以采用类似堆积木的方式,构成更加复杂的复合集,例如:条带和复制集组合,可实现RAID10和RAID01。
怎么扣出水指法图本架构中,采用计算节点(Node)自带的本地大容量磁盘,构建大容量存储池。采用复制集模式,配置三副本冗余策略,保证底层数据安全性的同时,还可以保障高性能。当有单一节点故障时,不影响平台稳定性。
生产运行效果
1.环境配置
生产环境操作系统釆用CentOS-7-x86_64-Mini-mal-1804,oVirt版本为4.2.5。服务器由1台控制节点、3台计算节点组成。控制节点使用1台已有虚拟化平台中的虚拟机,计算节点使用3台HP380G7普通服务器,计算节点同时也是GlusterFS存储节点,提高了服务器物理资源利用效率,避免不必要的浪费,进而降低了成本。业务网络使用2台千兆交换机接入,存储网络使用2台万兆交换机接入。
2.自主建设“桌面云”系统
目前平台上除运行了办公自动化系统、内联网网站、虚拟化平台备份系统、青年文明号等系统外,在此基础上,自主建设了“桌面云”系统,运行多个桌面操作系统,用户使用PC、瘦客户端等终端设备,通过Spice、VNC等远程访问协议连接到桌面操作系统。Spice协议主要是用来为用户提供一个图形化的访问虚拟机的方式,支持重定向客户端的USB端口到虚拟机里面,可满足业务系统使用USBKey数
字安全证书的需求。目前实现了国库、发行、支付等业务部门业务系统桌面虚拟化,创建了6个虚拟机管理员、云桌面用户。
3.系统运行效率
建成后的生产环境可以虚拟出120个vCPU,假设每台虚拟机需要2个vCPU,则可以创建60个虚拟机,目前私有云平台创建了11个虚拟机,CPU总使用率约为6%;内存总量144GB,使用率约为37%;存储总量1TB,使用 率约为30%。试运行期间对私有云平台的高可用性、实时迁移、存储管理、系统调度等企业级高级功能进行了测试,证明该平台可以作为企业级服务器虚拟化管理系统。
取得成效
经过半年试运行,私有云平台运行稳定,没有发生异常,与商业化平台比较,主要有以下几点优势。
一是构建从底层硬件至上层应用,完全自主可控的“私有云”。私有云平台服务器采用开放式X86标准架构,软件使用oVirt、KVM、GlusterFS软件定义存储等开源技术,科技人员能够获得系统的源代码,对系统内部的实现机制进行深入研究。同时,依据开放标准和应用程序编程接口(API),科技人员可以编程访问所有管理命令,实现自动化管理和编程配置,提高对私有云平台的自主可控,保障了私有云的信息安全。
塑料切粒机
二是建设成本大幅降低。用户只需购买硬件设备和网络设备,无需为开源软件的使用付费,也无需费用昂贵的版本升级。即使用户需要开源软件开发商提供服务,其需要付出的费用也比专业解决方案更低。
三是平台可扩展性强。由于现有的云计算技术尚在快速发展中,没有形成统一的技术标准和规范,一旦选择了一种商业解决方案,很难转换到其他平台。而开源云平台在设计时一般会保持对主流云计算技术的兼容性,同时提供转换工具,有效地避免了厂商锁定问题,增强了系统的可扩展性。
四是探索一套适合地市中支的私有云建设方案。地市中支现有应用系统主要是办公类、网站类系统为主,没有高并发业务。实践证明该方案提供了服务器虚拟化和桌面虚拟化,不但能满足基层央行正常运行的需求,而且能提高私有云的稳定性和扩展性,降低数据中心的软硬件维护成本,适合地市中支规模建设。冒
85
