高校虛擬化資源統一管理平臺研究
——以華東師范大學為例

朱駿寧，彭 偉

（華東師范大學 信息化治理辦公室，上海 200062）

一、引言

傳統虛擬化服務器管理方式是基于后臺的，虛擬機需要管理員將操作系統安裝好才能交付用戶使用。一旦發生用戶誤關機、配置網絡出錯等情況，都需要管理員在后臺完成操作。當虛擬機數量非常多時，管理員的工作強度將非常大。特別是在高校中，院系的虛擬機使用者通常使用電話或郵件的方式與管理員溝通，這進一步加大了管理員的工作難度。

以華東師范大學為例，用戶申請虛擬服務器資源的流程如下：

一是電話、郵件或其它方式聯系信息化辦公室（以下簡稱信息辦），了解虛擬化資源的詳細情況和具體的申請流程。

二是通過學校的OA 系統將需求遞送至信息辦等待審核。

三是信息辦對申請進行審核。審核通過，則將簽報內容轉交給虛擬機平臺管理員具體落實。若審核不通過，則需要繼續與用戶電話或郵件進行溝通，并將簽報退回。

四是虛擬機平臺管理員收到申請后，與需求部門聯系，確認需求，與對方簽訂托管協議書和安全責任書，同時根據具體需求開始虛擬機的部署工作。

五是通過郵件向用戶交付服務器的遠程登錄方式。

高校的虛擬化平臺上往往承載著多種類型的業務系統，因此會使同一虛擬化服務器平臺上存在多名管理員。據粗略統計，華東師范大學虛擬機平臺上，目前有75%的Web server 服務器，15%的服務器承載著各院系及單位的信息管理系統，其余10%承載著如APP、科研工具等各類不同的應用。如果虛擬化資源的管理沒有嚴格的規章制度和統一的業務流程，則會給虛擬化服務器平臺的運維留下很大的管理隱患。

此外，虛擬化建設成本的核算也是非常重要的。若學校對虛擬化建設成本沒有一定的了解和規劃，將很難在虛擬化運營商的選擇、物理服務器的選型和數量、存儲設備的選型和數量、機房預留空間等諸多情況中做出最優的決策。要么盲目地將大量財力和人力投入到虛擬化建設中，而最終使大量IT 資源處于閑置狀態，以極大的成本換取了極低的資源利用率；要么是以較低的成本完成了虛擬化建設，但所提供的資源并無法滿足師生的需求，或是服務質量無法達到預期，這些都是虛擬化建設工作中最不愿見到的結果。以華東師范大學為例，在虛擬機平臺上的部分服務器運行時間已超過3 年，而這些服務器是否仍然實際承載著相關業務，IT 部門沒有相應的判定手段。據估算，虛擬機平臺上現有約20%～30%的服務器已經不再承載相關業務，或業務已經不再被使用，然而由于無法對此進行判斷，這些服務器仍然正常運行在平臺上，繼續消耗著平臺上約30%的相應資源。

本文設計并實現統一的虛擬化資源管理平臺，平臺管理虛擬化服務器、承載虛擬機的物理服務器、存儲、虛擬網絡等資源，并為運維部門提供統一的管理入口，使管理員能夠對資源的使用情況進行有效的監視，也可以更方便地對資源進行合理的調整和規劃，從而使管理員能夠從低效煩瑣的運維工作中抽身出來，并在一定程度上能夠避免IT 資源的浪費，提高現有資源的使用率，幫助學校對虛擬化建設成本進行核算。

二、虛擬化和Unified Portal 相關技術簡介

近年來，許多高校都開始嘗試將虛擬化技術運用到數據中心的建設中。通過虛擬化技術可以在一臺物理服務器上生成若干虛擬化服務器，且這些虛擬化服務器能夠在性能及配置相同、能夠訪問相同存儲設備和網絡的物理服務器之間實現動態遷移，實現了服務器資源的高度共享，同時也實現了虛擬化服務器的高可用性。[1]

利用虛擬化存儲技術，學校可以通過iSCSI、SCSI 等不同的存儲設備接口協議將校內所有的存儲資源整合在一起，然后再根據業務的實際需求，動態地將存儲資源分配給不同的業務。[2]而當服務器或業務發生故障時，由于所有服務器都可以訪問到統一的存儲資源，業務也能夠以最快的速度從其它服務器上進行恢復，不但保障了數據的安全，同時也提高了業務的連續性及可靠性。

利用VLAN、VPN、MPLS VPN 等網絡虛擬化技術，則可以滿足學校對網絡的訪問控制、路徑隔離、集中管理等要求。將校園網劃分為多個網絡，為校園網中的應用及用戶之間的安全隔離，提供可行的方案。[3]而在高校的網絡基礎架構中，就存在著這樣的問題。同一個物理網絡環境包含著辦公網絡、服務器網絡、核心業務網絡等等，這些網絡之間不但需要盡可能地提供安全策略的集中管理，同時也要保障網絡架構的安全性及可擴展性。[4]

Unified Portal 是本次研究系統中的核心功能組件。在本次設計中，系統會將定制的服務藍圖和預留資源管理藍圖交由Unified Portal 處理，并由Unified Portal 根據藍圖要求和用戶的具體操作請求觸發相應的系統功能或系統的其它外部組件，如身份認證系統。Unified Portal的具體功能架構如圖1 所示。

圖1 VMware Unified Portal 功能架構圖

三、高校虛擬化資源統一管理平臺的設計

1.管理流程設計

第一，需要實現申請和審批的標準化、自動化流程。用戶在虛擬化資源統一管理平臺上，根據實際需求提交相應申請的同時，完成所有協議和責任書的簽訂。管理員完成審批后，直接進入虛擬機的部署和交付流程。

第二，實現定制化部署模版。按照以往的經驗，結合高校教育科研的實際需求情況，制定出滿足用戶需求的多種標準化的部署模版。用戶無需再與IT 部門面對面溝通需求，而是直接在平臺上選擇適合自己需求的模版即可。

第三，實現自動化的部署流程。用戶提交的申請在經過審批后，平臺自動根據申請中的需求，從模版中部署虛擬機。

第四，用戶可以自行完成對虛擬機的基本操作。用戶可以在平臺上完成虛擬機電源開關、掛載光盤鏡像、添加磁盤等基本虛擬機操作，而無需管理員登錄vCenter 進行手動操作。

第五，實現資源的回收機制。對用戶申請的資源設置有效期，到期未提交延期申請的，對資源進行回收。建立服務器使用率的監視制度，對符合判定標準明顯無業務運行的虛擬機，由管理員聯系用戶，并酌情對資源進行回收。

第六，實現靈活統一的資源管理方式。如本節開頭所述，現行管理模式是傳統的分級管理方式，即物理服務器主機、虛擬機平臺、虛擬服務器通過不同的方式，由不同的人員進行管理。要打破這樣的分級管理方式，需要同時實現管理入口的統一、管理能力和權限的集中，以及管理操作的便捷，需要將虛擬服務器、物理服務器、存儲、網絡等資源的基本管理功能集中在統一的平臺上。理論上管理員可以使用同一個賬號，在一個或少數幾個界面中完成對上述所有資源基本的運維管理操作，從而打破管理入口的分級限制。如圖2 所示。

2.基礎架構設計

根據實際的生產情況，本架構中物理服務器分別由Cisco UCS 刀片式服務器、IBM刀片式服務器和DELL 機架式服務器構成。虛擬化由VMware vShpere 實現，服務器分別使用了不同品牌的外置存儲，如EMC、DELL 等。平臺擁有單點登錄組件的同時擁有一個AD 或LDAP 服務器，用戶信息保存在AD 或LDAP 服務器上。平臺擁有SMTP 和Email 服務器，以實現郵件通知功能。

圖2 管理流程設計圖

本架構核心部件為vCloud Automation Center，其本身由多個組件構成，組件之間通過穩定、可靠的網絡基礎架構進行通信，如圖3 所示。該部件的核心功能是使用戶能夠根據定義的策略請求，調配和管理基礎架構服務、應用服務和自定義服務，以進行按需交付。

圖3 平臺邏輯結構設計圖

3.身份認證功能的邏輯架構設計

平臺的身份認證功能不僅需要通過用戶的學工號和密碼來判斷用戶是否能夠成功登錄平臺，還需要獲取用戶更詳細的身份信息以支持平臺的其它功能，如郵箱、所屬部門、激活狀態、賬號失效期等。而在華東師范大學生產環境里原有的權威LDAP 服務器中，用戶的字段信息并不完整，部分字段數據缺失。但學校公共數據庫系統中，擁有較為完整的用戶字段和準確的用戶基本信息。因此本文將身份認證功能作為一個獨立的部分進行研究和設計。

在本次研究的生產環境中，身份認證系統為一臺Sun One Directory Server（LDAP）服務器，其為學校所有的業務系統提供認證功能。公共數據庫系統中保存了全校師生的諸多個人信息，如姓名、郵箱、離校日期等，且能夠提供相應的Web service 接口來提取對應的用戶信息。另外，虛擬化統一資源管理平臺的設計中擁有獨立的Acitive Directory 域服務器。

在身份認證功能的邏輯架構設計中，需將LDAP 中的用戶密碼實時導入平臺的AD 服務中，并通過Web service接口將用戶的其它字段信息也同步到AD 中。具體方法如下：

建立一臺中間的LDAP 服務器，在本次研究中實際部署的是一臺Novell eDirectory Server。

建立一臺調用Web service 接口的服務器，定時將Web service 接口中取到的用戶信息，通過Novell eDirectory Server 的特定接口導入服務器，同時將Web service 中取到的信息和Novell LDAP 中的信息進行比對，完成新增用戶在服務器中的創建。

將Sun One Directory Server（LDAP）中的用戶信息導出為LDIF 文件，并導入Novell eDirectory Server，完成第一次全量用戶的密碼同步工作。

修改公共數據庫密碼的頁面，這也是Sun LDAP 中唯一的修改密碼的入口，在每次用戶修改密碼的同時，將密碼通過Novell LDAP 的接口導入服務器。

身份認證功能邏輯結構設計如圖4 所示。

圖4 身份認證功能邏輯結構設計圖

4.基礎架構即服務設計

虛擬化資源統一管理平臺的核心部件Vcloud Auomation Center 通過其內置的IaaS 服務組件管理平臺的各類基礎架構資源。在這部分整體設計中，相關的組件包含“基礎架構資源”、“計算資源”、“資源組”、“資源預留”、“業務組”、“資源預留策略”、“服務配置”和“服務藍圖”，如圖5 所示。在本次設計的架構中，由用戶提出的租用請求，IT 部門制定的審批策略、管理規則、資源回收制度共同制定出平臺最終需要交付的服務藍圖。核心業務組件根據服務藍圖來管理基礎架構中所有的虛擬化資源。身份認證及角色控制交由核心組件外部的身份認證系統來實現。管理員和租戶通過平臺門戶登錄后，通過不同的操作，觸發核心業務組件完成所有的服務工作，如調用虛擬機平臺的內部接口完成服務器的開關機操作等。

圖5 平臺概要設計圖

四、結束語

本文關注了高校傳統虛擬服務器平臺使用和管理上的不足，并進行了客觀分析。從分析的結論出發，設計了基于VMware Unified Portal 的高校虛擬化資源統一管理平臺。

該平臺的設計，主要目的有兩點：

一是通過標準化的部署模版和自動化的審批流程，最大程度地節約在虛擬化資源申請、審批和交付環節的時間人力成本；

二是通過對資源的統一監控、管理和循環分配，能夠最大化地使珍貴的高校虛擬化資源得到利用，減少資源的閑置率，提高資源的靈活性和利用率。

著眼未來，虛擬化資源統一管理平臺的建設還將在整合公有云和私有云資源的方向上繼續探索，同時也會在網絡及數據安全的方面給予更多的關注和考慮。