基于Open Stack的石化企業私有云建設實踐

莫濤

摘 要 OpenStack項目目標是提供實施簡單、可大規模擴展、豐富、標準統一的云計算管理平臺。本文結合廣州石化公司私有云建設的實際案例，闡述了如何通過華為OpenStack私有云軟件，建設企業私有云系統，提升企業IT基礎設施水平。

關鍵詞 云計算;私有云;OpenStack

引言

近年，隨著科學技術的迅速發展，人類開始進入大數據時代，云計算、大數據、移動互聯網已成為時代三大主題，正在推動著新經濟時代的發展。在科學領域、經濟領域及社會生活的方方面面，呈現出海量數據特征，在海量數據中蘊含著人類各種行為、心理信息，如認真挖掘加以科學分析利用，將對創造思維、創新模式、產品個性化及管理決策等都具有極高的社會價值。如何有效應用大數據、云計算等新信息技術，創造價值和財富，創造未來，是我們面臨的巨大機遇和挑戰。

云計算并不只是虛擬化，實際是由虛擬化引出的所謂“軟件定義的數據中心”。它不僅包括網絡的虛擬化、計算的虛擬化和存儲的虛擬化，還對傳統數據中心的運維、管理，甚至硬件的選型都產生了深遠的影響。

1OpenStack私有云技術

1.1 云計算

（1）云計算的概念

云計算（cloud computing）是分布式計算的一種，指的是通過網絡“云”將巨大的數據計算處理程序分解成無數個小程序，然后，通過多部服務器組成的系統進行處理和分析這些小程序得到結果并返回給用戶。云計算早期，簡單地說，就是簡單的分布式計算，解決任務分發，并進行計算結果的合并。因而，云計算又稱為網格計算。通過這項技術，可以在很短的時間內（幾秒鐘）完成對數以萬計的數據的處理，從而達到強大的網絡服務。

（2）云計算的特點

云計算的可貴之處在于高靈活性、可擴展性和高性比等，與傳統的網絡應用模式相比，其具有如下優勢與特點：

1）虛擬化技術

必須強調的是，虛擬化突破了時間、空間的界限，是云計算最為顯著的特點，虛擬化技術包括應用虛擬和資源虛擬兩種。眾所周知，物理平臺與應用部署的環境在空間上是沒有任何聯系的，正是通過虛擬平臺對相應終端操作完成數據備份、遷移和擴展等。

2）動態可擴展

云計算具有高效的運算能力，在原有服務器基礎上增加云計算功能能夠使計算速度迅速提高，最終實現動態擴展虛擬化的層次達到對應用進行擴展的目的。

3）按需部署

計算機包含了許多應用、程序軟件等，不同的應用對應的數據資源庫不同，所以用戶運行不同的應用需要較強的計算能力對資源進行部署，而云計算平臺能夠根據用戶的需求快速配備計算能力及資源。

4）靈活性高

目前市場上大多數IT資源、軟、硬件都支持虛擬化，比如存儲網絡、操作系統和開發軟、硬件等。虛擬化要素統一放在云系統資源虛擬池當中進行管理，可見云計算的兼容性非常強，不僅可以兼容低配置機器、不同廠商的硬件產品，還能夠外設獲得更高性能計算。

5）可靠性高

倘若服務器故障也不影響計算與應用的正常運行。因為單點服務器出現故障可以通過虛擬化技術將分布在不同物理服務器上面的應用進行恢復或利用動態擴展功能部署新的服務器進行計算。

（3）云計算的類型

按照類型來分，云計算可以分為：公有云、私有云和混合云。

1）公有云

公有云是部署云計算最常見的方式。公有云資源（如服務器和存儲空間）由第三方云服務提供商擁有和運營，這些資源通過 Internet 提供。在公有云中，所有硬件、軟件和其他支持性基礎結構均為云提供商所擁有和管理。在公有云中，你與其他組織或云“租戶”共享相同的硬件、存儲和網絡設備。

2）私有云

私有云由專供一個企業或組織使用的云計算資源構成。私有云可在物理上位于組織的現場數據中心，也可由第三方服務提供商托管。但是，在私有云中，服務和基礎結構始終在私有網絡上進行維護，硬件和軟件專供組織使用。這樣，私有云可使組織更加方便地自定義資源，從而滿足特定的 IT 需求。

3）混合云

混合云通常被認為是“兩全其美”，它將本地基礎架構或私有云與公有云相結合，組織可利用這兩者的優勢。例如行云管家混合云管理平臺，不僅支持業界主流公有云廠商，例如：阿里云、騰訊云、華為云、百度云等，還能夠將企業內部私有云（如：openstack）接入到云端，輕松完成混合云管理。在混合云中，數據和應用程序可在私有云和公有云之間移動，從而可提供更大靈活性和更多部署選項。

1.2 私有云

私有云計算（Private Clouds）是指企業可以完全控制的云計算方式，例如云存儲的存儲資源的訪問可以完全有企業控制，而不是哪一個云計算服務提供商。私有云的另外一種概念是由云計算提供商提供強的隔離性，將用戶構建的集群以及數據中心作為一個云服務的獨立和隔離的子集，成為一個用戶私有的子云。

和公有云相比，私有云有以下優勢：

（1）能對數據的安全性提供有效控制

私有云是為一個客戶單獨使用而構建的，因而提供對數據、安全性和服務質量的最有效控制。私有云可部署在企業數據中心的防火墻內，也可以將它們部署在一個安全的主機托管場所，這正是私有云在安全方面的優勢。

（2）提供更高的服務質量

因為私有云一般在防火墻之后，而不是在某一個遙遠的數據中心中，所以當公司員工訪問那些基于私有云的應用時，它的SLA應該會非常穩定，不會受到網絡不穩定的影響，比如亞馬孫提供的服務斷網以后，有幾萬名的客戶受到了影響。

（3）充分利用現有硬件資源和軟件資源

每個公司，特別大公司都會有很多本地化的應用，而且本地化應用大多都是其核心應用。雖然公有云的技術很先進，但卻對本地化的應用支持不好，因為很多都是用靜態語言編寫的，而現有的公有云對這些語言支持很一般。但私有云在這方面就不錯，比如微軟推出的Azure，通過Azure，能非常方便地構建基于.Net、Java、PHP、Ruby的私有云。而且一些私用云的工具能夠利用企業現有的硬件資源來構建云，這樣將極大降低企業的成本。

（4）部署方式靈活

部署方式靈活可以從兩個方面來體現，其一是：公司擁有基礎設施，并可以控制在此基礎設施上部署應用程序的方式;其二是：私有云可由公司自己的IT機構來進行構建，也可由云提供商進行構建。

1.3 OpenStack技術概念

OpenStack是一個開源的云計算管理平臺項目，是一系列軟件開源項目的組合。由NASA（美國國家航空航天局）和Rackspace合作研發并發起，以Apache許可證（Apache軟件基金會發布的一個自由軟件許可證）授權的開源代碼項目。

OpenStack為私有云和公有云提供可擴展的彈性的云計算服務。項目目標是提供實施簡單、可大規模擴展、豐富、標準統一的云計算管理平臺。

Openstack是一個云平臺管理的項目，它不是一個軟件，覆蓋了網絡、虛擬化、操作系統、服務器等各個方面。下面列出了10個核心項目（即OpenStack服務）。

（1）計算（Compute）：Nova。一套控制器，用于為單個用戶或使用群組管理虛擬機實例的整個生命周期，根據用戶需求來提供虛擬服務。

（2）對象存儲（Object Storage）：Swift。一套用于在大規模可擴展系統中通過內置冗余及高容錯機制實現對象存儲的系統，允許進行存儲或者檢索文件。可為Glance提供鏡像存儲，為Cinder提供卷備份服務。

（3）鏡像服務（Image Service）：Glance。一套虛擬機鏡像查找及檢索系統，支持多種虛擬機鏡像格式（AKI、AMI、ARI、ISO、QCOW2、Raw、VDI、VHD、VMDK），有創建上傳鏡像、刪除鏡像、編輯鏡像基本信息的功能。

（4）身份服務（Identity Service）：Keystone。為OpenStack其他服務提供身份驗證、服務規則和服務令牌的功能，管理Domains、Projects、Users、Groups、Roles。

（5）網絡&地址管理（Network）：Neutron。提供云計算的網絡虛擬化技術，為OpenStack其他服務提供網絡連接服務。為用戶提供接口，可以定義Network、Subnet、Router，配置DHCP、DNS、負載均衡、L3服務，網絡支持GRE、VLAN。插件架構支持許多主流的網絡廠家和技術，如OpenvSwitch。自Folsom版本集成到項目中。

（6）塊存儲 （Block Storage）：Cinder。為運行實例提供穩定的數據塊存儲服務，它的插件驅動架構有利于塊設備的創建和管理，如創建卷、刪除卷，在實例上掛載和卸載卷。

（7）UI 界面 （Dashboard）：Horizon。OpenStack中各種服務的Web管理門戶，用于簡化用戶對服務的操作，例如：啟動實例、分配IP地址、配置訪問控制等。

（8）測量 （Metering）：Ceilometer。像一個漏斗一樣，能把OpenStack內部發生的幾乎所有的事件都收集起來，然后為計費和監控以及其他服務提供數據支撐。

（9）部署編排 （Orchestration）：Heat。提供了一種通過模板定義的協同部署方式，實現云基礎設施軟件運行環境（計算、存儲和網絡資源）的自動化部署。

（10）數據庫服務（Database Service）：Trove。為用戶在OpenStack的環境提供可擴展和可靠的關系和非關系數據庫引擎服務[1]。

2華為云Stack

2.1 華為云stack簡介

華為云Stack解決方案中，采用FusionSphere OpenStack作為云平臺，對各個物理數據中心資源進行整合;采用ManageOne作為數據中心管理軟件，對多個數據中心提供統一管理。通過云平臺和數據中心管理軟件協同運作，達到多數據中心融合、提升企業整體IT效率的目的。并基于此，提供計算、存儲、網絡、安全、災備、大數據和PaaS（平臺即服務）等豐富的云服務。

華為云Stack是物理分散、邏輯統一、業務驅動、云管協同、業務感知的數據中心解決方案，可支持企業或機構業務的持續發展，能滿足對業務全生命周期的管理。

2.2 華為云stack功能架構

華為云Stack整體架構從功能上劃分為基礎設施、資源池、云服務、公共組件、管理域和應用域。

（1）基礎設施

基礎設施包括構建數據中心所需的服務器、存儲設備和網絡設備。基礎設施層可根據不同業務的需求，提供多種類型的硬件部署架構。

（2）資源池

資源池是基于物理基礎設施構建的虛擬計算、虛擬存儲和虛擬網絡資源池。FusionSphere OpenStack提供對虛擬計算、虛擬存儲和虛擬網絡的資源池化和管理能力，并提供資源池管理能力：包括：虛擬化池、裸金屬服務器池、塊存儲池、文件存儲池、網絡資源池等。

（3）管理域

管理域由ManageOne提供對多個云數據中心的統一管理調度能力：

1）運營管理：ManageOne運營面提供對云服務的統一運營能力，提升運營操作的敏捷性，提升業務運營效率。

2）運維管理：ManageOne運維面提供對虛擬資源和物理資源的統一運維能力，提升運維操作效率。

（4）云服務

云服務統一管理多個數據中心資源池層提供的資源，各云服務和公共組件詳情如：存儲服務、網絡服務、計算服務等。公共組件為云服務提供公共能力，例如提供統一的操作系統EulerOS[2]。

3廣州石化華為私有云Stack的應用

廣州石化建設園區運營管理統一的數字平臺，平臺向下通過物聯網、ROMA實現所有子系統的接入管理，向上通過服務方式為應用提供數據與業務開放的訪問接口，打造統一、開放、可靈活擴展的園區管理應用底座;進行園區業務數據治理，形成標準的數據主題庫（人、車、物、事件等）;業務上實現園區綜合態勢、綜合安防、人員車輛管理、資產管理、能耗管理、環境空間及設備設施管理等智慧化應用。

其中三景系統、綜合安防系統、華為ROMA平臺、IOT物聯網系統等都部署在華為私有云Stack上。

根據項目實際需求，最終確定華為私有云Stack的部署配置為：region類型為主Region;版本為華為云 Stack 6.5.1;解決方案場景為Type I;計算資源池規模為500VM 50PM（最多可支持500臺虛擬機和50臺物理服務器）;虛擬化類型為KVM;管理節點硬件架構為X86;計算節點硬件架構為X86;業務網絡類型為IPV4;管理節點網口類型為4網口（管理&存儲、業務）;計算節點網口類型為4網口（管理&存儲、業務）;管理存儲類型為FusionStorage融合部署;業務存儲類型為FusionStorage融合部署。

3.1 私有云主機資源池

廣州石化華為私有云主機用途分為計算節點、控制節點和網絡節點，計算節點主要負責運行虛擬機，使用過KVM作為底層的虛擬化技術，同時運行 Neutron 服務的 agent，為虛擬機提供網絡支持。控制節點是用于管理OpenStack，其上運行的服務有 Keystone、Glance、Horizon 以及 Nova 和 Neutron 中管理相關的組件。網絡節點其上運行的服務為 Neutron為 OpenStack 提供 L2 和 L3 網絡。主要負責虛擬機的網絡控制，包括DHCP、虛擬路由、公網訪問虛擬機等。通過軟件定義網絡等方式控制虛擬機的網絡，代替傳統環境中所需要的交換機、路由器等。安裝3臺華為2288H V5服務器作為私有云控制節點，安裝2臺華為2288H V5服務器作為網絡節點，安裝9臺華為2288H V5服務器作為計算節點。

3.2 私有云網絡

云計算的網絡一般分為兩層，一層是傳統物理網絡，一層是通過軟件定義的虛擬網絡。云內所有的IT系統共享物理網絡，通過虛擬網絡來為每個IT系統創建出獨立、隔離、私密的虛擬網絡環境，這個獨立的網絡環境就是VPC。用戶可以自由配置VPC內的IP地址段、子網、安全組等子服務，也可以申請彈性帶寬和彈性IP搭建業務系統。

在業務云化后，將一個業務平臺劃分到一個VPC內，這樣在該業務平臺的私有網絡里就有了IT系統專用的交換機、防火墻、路由器、安全組、DHCP、負載均衡等網絡設備。對于絕大多數的IT系統來說，建議在VPC內只設置一個二層網絡（一個子網），通過安全組將不同用途的服務器組隔離，安全組安全策略建議采用白名單的方式進行放通，以加強業務網絡內的安全。

廣州石化私有云全新構建SDN（軟件定義網絡）網絡由，2臺BMC（服務器管理口）接入交換機、2臺管理&存儲接入交換機、2臺綜合&業務接入交換機、2臺邊界業務防火墻、2臺核心交換機組成。

3.3 私有云存儲

廣州石化私有云使用FusionStorage智能分布式存儲，提供塊存儲（Cinder）或對象存儲（Swift）服務。通過融合部署存儲資源，使用9個計算節點服務的本地NVMe PCIE硬盤，為虛擬化和私有云環境提供按需獲取、彈性擴展的海量存儲資源池，基于通用服務器大幅提升存儲資源的部署、擴展和運維效率。

4基于OpenStack的私有云應用效果

4.1 私有云快速響應業務需求

首先，廣州石化私有云建設達到高效運營，讓業務運行更加流暢，應用更加彈性，在用戶的數量和業務的需求發生變化時能夠快速響應需求。華為云數據中心解決方案提供以業務為中心的VDC（虛擬數據中心）服務，匹配現有組織結構，通過不同的VDC邏輯隔離，保證二級部門高效的自主性。

4.2 可視化自動化統一管理平臺

長期以來數據中心的運維管理需要投入大量的人力，但維護工作卻又往往不能特別到位。華為云stack數據中心提供可視化自動化的統一管理平臺，極大地提高了運維效率和質量。此外，受益于集中建設、資源利用率提高和簡化運維，經過初步測算，公司的整體IT成本節省了30%。隨著后期工作的進一步開展，這一指標有望繼續提升。

4.3 端到端的安全保障

企業最大的擔憂莫過于云安全。華為云stack數據中提供從用戶側、網絡側、數據側及云平臺側端到端的安全保障，從而充分保證了整體架構、企業數據和業務本身的安全性。

4.4 融合開放的架構

華為FusionSphere云操作系統，基于OpenStack開放架構開發，整個系統專門為云設計和優化，提供強大的虛擬化功能和資源池管理、豐富的云基礎服務組件和工具、開放的API接口等，廣泛支持異構hypervisor和硬件設備接入，這符合廣州石化一直關注的融合開放的要求，實現了保護原有投資和兼容未來發展的考量。

5結束語

毫無疑問，云計算是目前最不可阻擋的發展潮流，正在不斷地改變傳統IDC（Internet Data Center “互聯網數據中心”）的結構，逐步取代以昂貴硬件為中心的數據中心，將重新定義計算、存儲以及網絡。

廣州石化華為Stack私有云的成功建成，將會與中國石化總部的“石化智云”相結合，作為“石化智云”的在廣州石化端的邊緣計算節點，大力推進廣州石化智能工廠建設，日后云計算與5G、物聯網、人工智能等技術的聯合應用，將會進一步提升企業集約化管控、協同優化和本質安全、綠色低碳水平。

參考文獻

[1] 孫杰，山金孝，張亮，等.企業私有云建設指南[M].北京：機械工業出版社，2019：1-10.

[2] 黃凱，毛偉杰，顧駿杰.OpenStack實戰南[M].北京：機械工業出版社，2014：73.