智慧校園云平臺建設策略

何曉冬

[關 鍵 詞] 智慧校園；校園信息化；云平臺

[中圖分類號] G717 [文獻標志碼] A [文章編號] 2096-0603（2016）19-0170-03

智慧校園云平臺以豐富的云基礎設施，虛擬計算資源、虛擬存儲資源、虛擬網絡資源、云管理和云安全服務于學校各級部門，提供了一個功能完整的、標準開放的、方便集成的IaaS服務層，提供海量數據的存儲、處理和分析，為學校各部門集中提供基礎的信息處理能力，承接各部門的應用系統遷移和部署，實現相關云數據中心的資源整合、集中部署與統一管理。

本文首先對校園信息化現狀進行分析，然后闡述了對智慧校園云平臺的理解，最后將智慧校園云平臺劃分為基礎資源層、虛擬資源層、管理服務層和安全防護層四層架構，講述如何構建智慧校園云平臺。

一、校園信息化現狀

目前，全國校園傳統信息化在基礎設施和應用系統建設方面都取得了很大的成就，如學校的教務管理、人事管理、辦公管理、財務管理、固定資產管理、教學管理等都實現了信息化的管理。在信息化建設過程中，每一個管理應用都使用獨立的服務器、獨立的安全標準、獨立的管理標準、獨立的數據庫和獨立的展現層，這樣的信息化部署架構可能導致如下的風險和挑戰。

（一）資源利用不合理

校園傳統信息化建設中管理應用都是按照其峰值業務量進行資源的配置，這導致兩種情況，一種情況是如果服務器性能很高，有資源剩余，但不能將多余的資源給其他應用系統使用，造成浪費；另一種情況是當應用高峰時，可能一臺服務器資源不足，也無法從其他地方獲取更多的硬件資源支持，造成應用的癱瘓。

（二）硬件維護成本高

校園的信息化促進了業務的信息化，校園的業務部門會不斷地提出新增應用系統的需求，再加上資源利用的不合理性，服務器、網絡和存儲的設備數量將會迎來迅速的膨脹，占地空間、電力供應、散熱制冷和維護成本都將急劇上升，大幅度增加了硬件的維護成本。

（三）資源信息難共享

校園的信息化應用系統之間是煙囪孤島式架構，各業務部門，如教務處、財務處、人事處等應用系統及數據各自獨立，應用系統間缺乏協同工作能力，每個應用系統都很難站在自己的信息集上進行整個學校的全面信息查詢和決策分析，各個應用系統能夠發揮的效益沒有更好地利用和挖掘。

二、智慧校園云平臺的理解

（一）智慧校園的概念

智慧校園是從數字化校園發展而來，目前，全國很多地區、很多學校都在進行智慧校園的建設和探索。智慧校園基于物聯網技術、計算機技術、網絡技術、通信技術和傳感技術，對學校教學、科研、管理相關的信息資源進行全面整合、互聯與集成，采用深度的數據挖掘與大數據分析，為教學管理提供全面的、有效的、智能化的支撐。智慧校園提供了智慧的環境、智慧的服務、智慧的管理。

1.智慧的環境

以物聯網的理論為基礎，構建教學、科研、管理、校園生活為一體的新型智能化環境。

2.智慧的服務

提供面向師生的個性化的智慧服務，學校師生能快速、準確地獲取與自己相關的內容服務。

3.智慧的管理

采用智慧化的業務管理和大數據分析，為學校各種決策提供最基礎的業務和數據支撐，實現智慧的管理。

（二）智慧校園云平臺的價值

隨著學校信息化的不斷發展，各業務應用系統對信息數據的完整性、運行的可靠性、網絡系統的可用性要求越來越高，為保證業務應用系統高效穩定地運行，傳統煙囪式的架構改造勢在必行。目前，云平臺技術已經延伸到學校的各個層面，其有利于整合和合理利用信息資源，降低硬件維護成本，有利于實現信息共享，促進學校教學、管理和科研水平的發展。因此，云平臺技術將在學校的IT政策和戰略中扮演越來越重要的角色。

1.整合和合理利用信息資源，降低硬件維護成本

智慧校園云平臺將校園的各種資源進行整合開發利用，充分挖掘潛力，提高資源的利用率。智慧校園云平臺將分散的軟硬件資源進行整合，提高其重復利用率，通過服務器虛擬化技術，將各種硬件及軟件資源虛擬化成一個或多個資源池，并通過系統管理平臺對這些虛擬資源進行智能的、自動化的管理和分配，徹底消除教育信息化中的信息孤島，實現信息分散、動態采集，集中安全管理，共享應用。

2.實現信息共享，促進學校教學、管理和科研水平的發展

智慧校園云平臺促進各個應用系統的數據動態及時地互聯互通，基于教學、科研、管理、服務等各個領域，為學校提供涵蓋整個校園相關的信息化、智能化服務。為學生、教師、家長、公眾、管理者提供數據及應用底層的服務。

（三）智慧校園云平臺的原則

智慧校園云平臺建設原則必須保證其前瞻性、可用性、開放性和安全性。

1.前瞻性

云計算是一個新興技術，產業發展還不夠成熟，相關標準也不夠完善，為保證將來硬件和軟件的良好兼容性，與第三方廠商設備保持良好的對接，云平臺的頂層設計必須保證前瞻性，遵循已有的云計算相關標準，以保證良好的兼容性，以適應未來的技術發展。

2.可用性

智慧校園云平臺為校園業務應用提供重要的IT基礎設施，承擔著各個業務應用系統穩定運行的重任。所以，云平臺的建設必須從基礎資源池（計算、存儲、網絡）、虛擬化平臺、云安全等多個層面充分考慮業務的高可用，一旦出現故障，業務應用能夠迅速進行切換與遷移，達到用戶的無感知，業務的連續性。

3.開放性

智慧校園云平臺需要提供開放的API接口，能夠通過API接口、命令行腳本實現對設備的配置與策略下發聯動，未來的擴展可以基于這些接口進行二次定制開放，也可方便地融合第三方應用系統。

4.安全性

云平臺的安全性分為管理和技術兩個層面。在技術方面包括環境、系統、虛擬機、存儲和網絡的安全防護；在管理方面，應對云平臺、云服務、云數據的整個生命周期、安全事件、運行維護和監測、度量和評價進行管理。

三、智慧校園云平臺的建設

智慧校園云平臺將所需的軟硬件設備進行集中管理，利用虛擬化技術實現任意的組合搭配，由此智慧校園業務應用可按需求智能地分配到相應的資源。

（一）云平臺架構

智慧校園云平臺架構分為基礎資源層、虛擬資源層、管理服務層和安全防護層。

智慧校園云平臺可以采用自建模式和租賃模式，自建模式的投資和運營成本較高，但是靈活性、可靠性和安全性較高。租賃模式的投資和運營成本較低，但是依賴第三方機構，在擴展性和靈活性上都受到限制。

（二）基礎資源層

智慧校園云平臺基礎資源層包括硬件設備和軟件設備。硬件設備有服務器、存儲、備份一體機、存儲控制系統、SAN交換機、路由器、交換機、負載均衡、VPN網關、防火墻等，根據應用規模，硬件性能及規模可在不影響應用正常運行的情況下進行彈性擴充。軟件設備有操作系統、虛擬化軟件、中間件、數據庫系統、云計算管理平臺、入侵防御檢測系統、身份認證系統、運維安全審計系統、數據庫安全審計系統、漏洞掃描系統。所有軟硬件設備構建了智慧校園云平臺的計算資源、存儲資源、網絡資源及安全保障。

（三）虛擬資源層

智慧校園云平臺虛擬資源層通過虛擬化技術，將服務器、存儲和網絡資源統一管理和調度，構成一個虛擬資源池對內對外提供服務。虛擬化技術為底層資源的訪問提供了簡單、統一的接口，使用戶不必關心底層系統的復雜性。首先，通過運行在服務器上的虛擬化內核軟件，屏蔽底層異構硬件之間的差異性，消除上層客戶操作系統對硬件設備及底層驅動的依賴，同時增強虛擬化運行環境中的硬件兼容性、高可靠性、高可用性、可擴展性、性能優化等功能。

虛擬化資源層包括虛擬計算資源、虛擬存儲資源和虛擬網絡資源。

1.虛擬計算資源

云平臺各個系統對計算資源的需求主要通過服務器來完成。服務器虛擬化將一臺物理服務器劃分成多臺虛擬服務器，彼此之間的數據是隔離的，對計算資源的使用也是可控的。物理服務器和虛擬服務器在應用和操作上幾乎沒有區別，用戶可以在虛擬服務器上靈活地安裝任何軟件。

目前主要的虛擬化工具有ESXi、Hyper-V、XEN和KVM。前兩者是私有技術云平臺，而后兩者是開源的虛擬化云平臺，經二次開發可以滿足大部分實際的業務需求。

2.虛擬存儲資源

存儲通過集群應用、網格技術和分布式文件系統集合起來協同工作。存儲虛擬化將存儲系統的內部功能從應用、主機或者網絡資源中抽象、隱藏或者隔離，其目的是進行與應用和網絡無關的存儲或數據管理。存儲虛擬化通過數據塊存儲地址的虛擬化，實現對存儲內容的快速尋址，通過合理的組織將其構建為能被統一訪問的物理資源池，將其虛擬化為邏輯資源，并為上層應用使用。

目前，主要的數據共享存儲系統是IP SAN或FC SAN。前者的成本較低，適合要求較低的場景，需要的數據規模也比較小。后者成本較高，適合要求較高的場景，主要針對大規模的數據。

3.虛擬網絡資源

網絡是云平臺的基礎，云平臺可搭建智慧校園內外網。針對內外網之間的物理隔離，網絡可采用雙鏈路聚合的方式，即可提高安全性，又可擴充帶寬。網絡虛擬化包括對外部網絡環境的虛擬化和對云平臺內部（服務器到接入設備、服務器到存儲設備、接入設備到核心設備）的網絡虛擬化兩種。網絡虛擬化技術是面向云計算的網絡虛擬化技術的核心，通過與傳統網絡虛擬化技術的配合，實現虛擬防火墻、虛擬IDS、虛擬負載均衡器、虛擬SSL VPN網絡。

（四）管理服務層

智慧校園云平臺管理服務層通過虛擬化管理軟件形成云計算資源管理平臺，實現計算、網絡和存儲等硬件資源的軟件虛擬化管理。通過虛擬化技術和基于策略的自動化管理技術，實現對物理資源、虛擬資源的統一管理和分配，主要包括設備管理、資源管理、服務管理、接口管理和系統管理功能。

1.設備管理

設備管理指接入和管理物理設備，包括設備發現、設備監控、設備配置、設備部署、設備告警、數據上報等。云平臺定期（如按照秒、分鐘、小時等）向服務器或應用程序發送探測信號（如HTTP請求、TCP請求、PING請求等），針對包括網線斷開、網卡損壞造成的網絡通信故障；斷電、cpu故障、內存故障或其他配件原因造成的服務器故障；存儲離線、磁盤損壞或磁盤空間不足造成的存儲故障；操作系統死機、軟件進程中斷等造成的程序故障，云平臺給予告警提示和數據上報。

2.資源管理

資源管理包括動態分配資源、動態管理耗能、管理調度策略、資源池高可用性和備份恢復等功能。可實現對資源（計算、存儲和網絡資源）的申請、更改和取消。同時可對資源使用情況進行管理，包括資源的使用情況和剩余情況等。

計算資源管理：通過管理工具對不同計算資源的開放接口進行連接和統一配置，實現對所有計算資源的集中部署與控制。

存儲資源管理：采用IP SAN（以太網光纖通道）和FC SAN（基于光纖通道的存儲局域網絡）相結合的模式進行存儲資源的部署。

網絡資源管理：通過三層交換機與外部進行節點流量轉發和集群間流量轉發，通過大容量防火墻和負載均衡設備供內部業務系統共享使用資源。

3.服務管理

服務管理指基礎資源池服務能力，如動態伸縮、負載均衡等。智慧校園云平臺使用各種虛擬化系統管理插件、系統管理插件和物理機部署插件，將物理機與虛擬機整合成一個共享的計算架構，進行資源的預約和按需分配。在真實與虛擬間進行比較，對數據進行深度的挖掘和分析，自動發現可能發生的隱患問題，使智慧校園云平臺能夠根據當前的負載和資源的使用情況，有序地進行資源的合理分配。

4.接口管理

接口管理基于API對外開放標準的計算接口、存儲接口和網絡接口，以便數據、業務或應用的集成，設備自動化部署、調度和分配。

5.系統管理

系統管理包括用戶管理、日志管理、告警和性能監控等，應對智慧校園云平臺的整個生命周期、安全事件、運行維護和監測、度量和評價進行管理。

（五）安全防護層

智慧校園云平臺安全防護層要保證環境、系統、虛擬機、存儲和網絡的安全。

1.環境安全

環境安全是整個智慧校園云平臺安全的基石。智慧校園云平臺的環境安全主要指服務器等硬件設備免遭地震、水災、火災等事故以及人為破壞，需要采用防盜竊、防破壞、防雷、防火、防靜電、防塵、防電磁干擾、防線路非法接入等相關安全措施。需要建立人員的日常行為準則，將責任細化并落實到個人；需要建立日常巡檢制度，隨時發現安全隱患，做好記錄并采取各種防范措施；需要建立應急措施，一旦發現安全事件，立即啟動應急響應。

2.系統安全

智慧校園云平臺的系統安全主要指操作系統和數據庫系統的安全，主要包括操作系統本身所存在的不安全因素，如身份認證、訪問控制、漏洞病毒問題等，需要采用關閉無關服務、身份鑒別、訪問控制、安全審計（服務器、數據庫）、入侵防御、惡意代碼控制、漏洞管理、補丁管理、病毒防護、運維安全管理等安全措施。

3.虛擬機安全

智慧校園云平臺虛擬機雖然不易受病毒和其他問題的影響，但也并非堅不可摧，需要像保護物理機那樣保護虛擬機，以防惡意操作或無意破壞。云平臺虛擬機安全需采取基準級別安全控制、資源分配、數據流控制等安全措施。

4.存儲安全

智慧校園云平臺既存有大量的內部和外部數據，另外還包括用戶的各類隱私信息，雖然采用諸如數據標記等技術可以防犯非法訪問混合數據，但通過應用程序的漏洞仍可以實現非法訪問，為了從根本上解決這一問題，必須通過存儲區域劃分的方式來實現數據隔離，對系統、虛擬機、物理機和軟件進行備份，以較好地解決數據存儲安全問題。

5.網絡安全

智慧校園云平臺的網絡安全主要包括網絡架構安全（子網、防火墻和操作系統鎖定等物理組件的安全）、網絡訪問控制（對網絡上傳輸的敏感數據進行加密保護，并對傳輸信道的兩端進行身份認證）、網絡入侵防御、網絡安全審計、網絡設備防護、邊界完整性檢查，需要采用防火墻、安全隔離網閘、入侵防御系統、網絡安全審計、防病毒、網關、強身份認證等安全措施。防火墻能夠實現故障轉移技術，滿足智慧校園云平臺的要求。針對防火墻允許的一些攻擊行為，防火墻是無能為力的，必須配備入侵防御，對入侵事件進行實時跟蹤、報警、阻斷和記錄。

總之，云平臺技術已經延伸到學校的各個層面，它將所需的軟硬件設備進行集中管理，利用虛擬化技術實現任意的組合搭配，把每個物理服務器虛擬化成若干個虛擬機、操作系統和數據庫等系統軟件運行，從而解除應用系統與硬件服務器綁定，以達到對硬件資源動態分配、按需使用、統一管理、動態遷移、負載均衡等目的。云計算是一個新興技術，產業發展還不夠成熟，相關標準也不夠完善，在建設過程中一定要充分考慮其前瞻性、可用性、安全性和開放性。

建設智慧校園必須從基礎做起，建立底層的IaaS。只有把基礎打好，才能更好地為將來智慧校園的應用建設和數據整合，以及對管理者、學生、教師、家長和社會公眾提供更好的服務。

參考文獻：

[1]蘆蓓榮，任友群.中國教育信息化的云中漫步[J].遠程教育雜志，2012（1）：62-67.

[2]孫進康.教育資源信息化建設的實踐思考[J].南京師大學報，2002（25）：158-162.