基于云計算的數(shù)字圖書館建設與實現(xiàn)

于芳

（哈爾濱工業(yè)大學（威海）圖書館，山東威海 264209）

信息網(wǎng)絡技術的發(fā)展，給傳統(tǒng)圖書館的建設和文獻資源的管理帶來了巨大變化。信息資源的利用由傳統(tǒng)的物理空間向虛擬空間轉變，由模擬狀態(tài)向數(shù)字狀態(tài)轉變[1-3]。云計算作為數(shù)字圖書館的應用架構模式，實現(xiàn)了數(shù)字信息資源的集約化整合，為數(shù)字資源共建提供了新的解決方式[4-5]。目前，國內(nèi)外眾多企業(yè)都投入到云計算新模式中，以IaaS、PaaS、SaaS為服務模式提供各種數(shù)字化服務[6-8]。如LibLime 公司發(fā)布的訂購托管服務Koha Express，通過全功能的圖書館系統(tǒng)（ILS）實現(xiàn)在LibLime 云計算的開發(fā)，并構建了分布式數(shù)字圖書館云服務平臺[9]。Google 提出的Web2.0 理念和技術，基于Google Analytics 來獲得圖書館目錄和網(wǎng)站數(shù)據(jù)信息，并提供詳細的圖表式報告，實現(xiàn)對圖書資源的綜合化利用，為用戶提供更便捷的服務[10-12]。

從相關研究可以看出，基于云計算的數(shù)字圖書館能極大改善圖書館服務，成為當前性價比高、擴展性好的圖書館建設方案[13-15]。但由于云計算在圖書館的應用還處于初始階段，存在一定的問題，如數(shù)字圖書館信息資源的安全問題，信息資源的完整性和用戶訪問控制權限等問題。在相關研究基礎上，構建云計算的數(shù)字圖書館應用模型拓撲結構、模型體系架構和數(shù)據(jù)庫服務架構，實現(xiàn)云計算數(shù)字圖書館的資源共享和數(shù)據(jù)傳輸。

1 云計算的數(shù)字圖書館模型構建

1.1 模型體系結構

基于云計算的數(shù)字圖書館服務平臺利用分布式、虛擬化功能，將異地操作平臺軟硬件資源進行整合，實現(xiàn)對資源的云服務[16]。圖1 所示為云計算數(shù)字圖書館模型體系架構，主要分為基礎設施服務層、平臺服務層、應用服務層和云客戶端。

圖1 云計算數(shù)字圖書館體系結構

基礎設施服務層作為云服務體系框架的基礎，處于框架體系的最底層，該層通過虛擬技術的管理功能實現(xiàn)系統(tǒng)各類硬件資源的融合。其中包含了兩個部分的主要內(nèi)容：第一部分利用互聯(lián)網(wǎng)、主機硬件等進行集群、虛擬化、抽象畫處理，將功能及設備在虛擬化技術下集群在同一區(qū)域平臺，搭建云計算基礎層，用戶根據(jù)自身的需求下達指令即可從“云服務”中提取需要的硬件資源；第二部分為用戶提供服務管理、負載管理、數(shù)據(jù)存儲等接口服務功能，提升數(shù)字圖書館的動態(tài)靈活性。

平臺服務層作為管理中間層，也是整個云服務框架的第二層，主要負責網(wǎng)絡安全管理、程序管理、信息資源管理和讀者管理等。網(wǎng)絡安全管理是為了保障云計算免受外界的惡意攻擊和騷擾，其中包括病毒防護、控制訪問、身份認證等技術；程序管理負責執(zhí)行用戶提交的任務，其中包括程序調(diào)度、程序回饋、程序部署等功能；信息資源管理負責各云計算資源節(jié)點的均衡使用，并實時監(jiān)測節(jié)點的運行狀態(tài)，一旦某一節(jié)點發(fā)送故障，通過中間層對故障節(jié)點進行屏蔽或者回復處理，并統(tǒng)計資源的使用情況；讀者管理作為數(shù)字圖書館的重要組成部分，主要為用戶提供用戶交互接口、管理和識別用戶身份等。

應用服務層作為第三層，同時也是整個云計算服務體系結構的核心層，主要為用戶提供滿足使用要求的各類應用服務。數(shù)字圖書館根據(jù)用戶需求，采用軟件服務（Saas）應用，通過購買或租借的形式向用戶提供圖書館的核心服務項目，包括數(shù)字資產(chǎn)管理、個性化服務咨詢、資源搜索、原文傳遞服務、科技評估服務、信息服務統(tǒng)計等。

云客戶端作為云服務框架的最上層，是鏈接底層和云服務器的載體工具，它擺脫了計算機的限制，可以利用任何能訪問云服務網(wǎng)絡的終端設備實現(xiàn)各類終端對云服務器的訪問。

1.2 網(wǎng)絡拓撲結構設計

云計算模式下，網(wǎng)絡成為信息服務的傳送媒介。根據(jù)數(shù)字圖書館的功能需求，系統(tǒng)數(shù)據(jù)庫以區(qū)為單位，在各分區(qū)間獨立運行，并采用接口卡連接。文中將整個數(shù)據(jù)庫系統(tǒng)劃分為3 個分區(qū)，各分區(qū)間分別配置2 個網(wǎng)絡接口卡。利用云計算服務器虛擬化技術將原本終結在交換機的網(wǎng)絡端口數(shù)據(jù)轉移至虛擬交換機端口終結。采用虛擬化網(wǎng)絡平臺實現(xiàn)同一物理服務器具有相同功能的虛擬機間的數(shù)據(jù)傳輸，而具有相同功能，處于不同物理服務器的虛擬機執(zhí)行數(shù)據(jù)傳輸和交換機間的轉發(fā)。對于不同功能的虛擬機，路由工作只能在核心交換機上進行。當根據(jù)服務器功能對網(wǎng)絡拓撲結構劃分時，直接在核心交換機上隔離不同功能的服務器群，圖2 為設計的云計算數(shù)字圖書館網(wǎng)絡拓撲結構圖。

1.3 云服務實現(xiàn)流程

云計算數(shù)字圖書館平臺功能需遵守嚴格的使用流程，如圖3 所示為云服務平臺實現(xiàn)流程。將整個云服務平臺分為應用服務器、服務器群、前端、管理節(jié)點。應用服務器主要執(zhí)行相關程序；服務器群將系統(tǒng)服務進行整合，形成一個服務器群，并向用戶提供各類服務模式；前端主要負責系統(tǒng)負載均衡，并將接收到的響應轉發(fā)給對應服務器，形成靜態(tài)文件；應用管理節(jié)點主要提供復雜應用的啟動和停止、應用費用的計算。

圖2 云計算數(shù)字圖書館網(wǎng)絡拓撲圖

圖3 云服務平臺實現(xiàn)流程

針對數(shù)字圖書館滿足數(shù)據(jù)信息資源的服務器虛擬化和集中存儲需求，該系統(tǒng)所有數(shù)據(jù)基于SAN 存儲架構系統(tǒng)采用集中式的存儲和保護方式。對數(shù)據(jù)庫系統(tǒng)，由于信息存儲量較龐大，要求性能較高、可靠性和應用性較強，因此虛擬化服務器系統(tǒng)采用適用于X86 服務器的VMware 虛擬化系統(tǒng)來提供共享存儲服務，通過內(nèi)配置磁盤陣列分區(qū)實現(xiàn)不同文件的數(shù)據(jù)存儲。

2 數(shù)據(jù)庫整體架構設計

2.1 數(shù)據(jù)庫服務架構

基于云計算的數(shù)字圖書館數(shù)據(jù)庫采用集中部署方式，即數(shù)據(jù)庫系統(tǒng)和業(yè)務系統(tǒng)為一對一關系，各物理設備通過一臺數(shù)據(jù)庫服務器連接，采取分區(qū)的數(shù)據(jù)庫虛擬化技術解決物理位置的集中問題[17-18]。

根據(jù)數(shù)字圖書館的需求分析和設計方案，系統(tǒng)采用核心為IBM Power 570 的數(shù)據(jù)庫服務架構。通過虛擬服務器為虛擬分區(qū)提供I/O 服務，實現(xiàn)多個VIO 虛擬客戶分區(qū)的資源共享，有效降低了運行成本。IBM Power 570 中采用共享以太網(wǎng)和虛擬SCSI支持共享網(wǎng)絡和磁盤I/O。微分區(qū)允許虛擬分區(qū)在占用最小CPU 資源下執(zhí)行需求操作，由于物理服務器采用的是共享數(shù)據(jù)庫，因此虛擬服務器不受限于物理服務器限制，能夠基于不同服務器執(zhí)行。在微分區(qū)基礎上，通過一種未封頂?shù)墓蚕硖幚砥鬟壿嫹謪^(qū)來提升CPU 授權容量，且授權容量能夠釋放到創(chuàng)建的CPU 配置文件中。這樣在突發(fā)的CPU 密集時期，系統(tǒng)可調(diào)用空閑的CPU 資源，以一種動態(tài)方式簡化工作負載管理。

動態(tài)分區(qū)與遷移（LPAR）將正在運行的邏輯分區(qū)LPAR 由一個物理服務器轉移到另一個服務器，允許專用處理器分區(qū)利用空閑CPU 資源，通過多個處理器池實現(xiàn)荷載均衡，提高數(shù)據(jù)吞吐量。同時動態(tài)分區(qū)遷移可直接在Linux 分區(qū)運行，不需重新編譯操作，實現(xiàn)了對LX86 的Linux 應用服務器的整合。

工作負載分區(qū)與遷移（WPAR）將邏輯分區(qū)拆分為未配合內(nèi)核的工作負載，利用WPAR 作為LPAR的組成部分，降低了AIX 映像對象的維護數(shù)量。WPAR 中多個分區(qū)共享一個物理內(nèi)存池，各分區(qū)間可根據(jù)承擔的負載情況來調(diào)配內(nèi)存資源，負載分區(qū)也提供了手動功能，管理員也可手動為分區(qū)分配轉移內(nèi)存資源。

如圖4 所示，本系統(tǒng)在IBM Power VM 虛擬化技術的基礎上，選用兩臺Power 570 服務器，服務器間通過Power HA 和Oracle RAC 技術構成熱備份集群環(huán)節(jié)。根據(jù)邏輯分區(qū)將服務器劃分為3 個分區(qū)，各分區(qū)均具有獨立的CPU、存儲介質(zhì)和內(nèi)存，同時在每個分區(qū)間設置相應獨立的Oracle 數(shù)據(jù)庫，建立3 臺獨立的邏輯計算機服務器。

圖4 云服務數(shù)據(jù)庫服務架構

2.2 數(shù)據(jù)庫訪問

基于云服務數(shù)據(jù)庫服務框架設計的數(shù)字圖書館數(shù)據(jù)庫平臺在保留原有系統(tǒng)基礎結構下構建云計算數(shù)字圖書館服務平臺，通過XML 和XHTML 語言規(guī)范以及準確的Oracle 數(shù)據(jù)庫訪問語言就能實現(xiàn)對該數(shù)據(jù)庫的訪問。用戶利用數(shù)據(jù)庫和互聯(lián)網(wǎng)網(wǎng)絡頁面間的相互交叉關系來實現(xiàn)對數(shù)據(jù)庫服務的查詢和訪問功能。

3 云服務安全性設計

3.1 用戶權限安全性

基于云計算的數(shù)字圖書館的安全風險主要包括用戶認證風險，數(shù)據(jù)隔離、數(shù)據(jù)泄露、數(shù)據(jù)存儲的風險，以及云計算平臺的系統(tǒng)安全漏洞、用戶隱私保護、應用程序安全風險等。

系統(tǒng)登錄是云服務安全設計的第一個屏障。用戶必須通過正確的用戶名和安全秘鑰才能通過用戶認證流程。為確保用戶的安全訪問，系統(tǒng)提供了接入層認證和應用層認證兩種安全訪問方式。接入層認證首先根據(jù)用戶名、密碼和附加碼判斷注冊用戶使用權限；應用層認證驗證接入用戶是否合法，用戶是否具備該內(nèi)容的訪問權限等。此外，根據(jù)認證機制的不同，又分為單獨應用層認證和應用服務器認證。單獨應用層認證中，當用戶接入系統(tǒng)后，針對用戶認證分為兩次，即用戶接入時的認證和接入通過后的驗證。第一次認證以非透明的方式驗證用戶認證信息，由平臺中心認證服務器響應認證請求，確認用戶訪問是否合法，并將用戶ID 返回應用服務器，響應服務器授權請求，給定特定權限的訪問服務范圍，第二次認證采取透明的方式，不需要用戶的任何認證信息，認證服務器響應服務器授權請求，并將開始信息和使用記錄傳遞至中心數(shù)據(jù)庫，系統(tǒng)自動對用戶信息認證，通過這種認證方式一次性完成了接入層和應用層認證。

云計算數(shù)字圖書館數(shù)據(jù)庫是存儲用戶資料的唯一設備，采用重定向的方式進行用戶身份的驗證，即將所有應用服務器請求統(tǒng)一由中心認證服務器進行。在重定向認證中，當用戶對系統(tǒng)服務器發(fā)出請求時，服務器對用戶身份信息驗證，同時確認用戶訪問的合法性，并給定特定的權限范圍，圖5 所示為重定向認證方式。用戶訪問服務器時，由中心認證服務器發(fā)出認證請求，數(shù)字圖書館系統(tǒng)中心響應認證請求，并提示用戶輸入認證信息，查驗用戶信息是否滿足數(shù)據(jù)庫數(shù)據(jù)。當輸入信息與保存信息相同時，為用戶分配用戶ID。中心服務器向用戶發(fā)起授權請求，由認證服務器響應授權請求，并認證業(yè)務權限，認證服務器發(fā)送信息至中心數(shù)據(jù)庫并記錄用戶使用記錄。當服務結束時，應用服務器向中心認證服務器發(fā)送服務結束請求，認證服務器確定服務結束。

圖5 重定向方式

3.2 模型組網(wǎng)安全性實現(xiàn)

系統(tǒng)采用簡易模型網(wǎng)絡拓撲結構來實現(xiàn)系統(tǒng)功能和安全需求，圖6 所示為云計算網(wǎng)絡拓撲結構。首先，在系統(tǒng)中添加防監(jiān)聽盜竊設備，當系統(tǒng)啟動具備監(jiān)聽防盜等功能的設備時，設備接收到數(shù)據(jù)，將攜帶的MAC 地址與網(wǎng)絡所有端口MAC 地址循環(huán)比對，查找到對應的MAC 地址接收端口后，將數(shù)據(jù)幀發(fā)送到對應端口。同時，系統(tǒng)中加入防入侵功能設備，網(wǎng)絡中采用VLAN 技術，利用交換機或路由器端口控制將網(wǎng)絡IP 進行分段，將內(nèi)部系統(tǒng)與外部互聯(lián)網(wǎng)網(wǎng)絡斷開，當用戶訪問系統(tǒng)時，首先對用戶身份進行驗證，只有通過系統(tǒng)認證才可以訪問數(shù)據(jù)庫服務器數(shù)據(jù)信息。最后，系統(tǒng)中引入存取控制表技術用于路由器和交換機、VLAN 和VLAN 間的數(shù)據(jù)交換，有效限制了用戶在網(wǎng)絡中的訪問范圍。此外，系統(tǒng)中還添加了硬件防火墻設施，避免了外部用戶的非法訪問。

圖6 云計算網(wǎng)絡拓撲結構

4 結束語

以基于云計算的數(shù)據(jù)圖書館服務平臺為對象，逐步分析了數(shù)字圖書館云服務的體系結構、服務模式和系統(tǒng)功能。基于云服務的數(shù)字圖書館服務平臺采用基礎設施服務層、平臺服務層、應用服務層和云客戶端四層體系架構，實現(xiàn)各類軟硬件資源的整合。基于SAN 存儲架構系統(tǒng)，采用X86 服務器的VMware 虛擬化系統(tǒng)提供共享存儲服務。服務架構利用IBM Power VM 虛擬化技術實現(xiàn)物理適配器供多個VIO 虛擬客戶分區(qū)共享，提高了網(wǎng)絡利用效率。為保證系統(tǒng)安全性，采用重定向認證的兩層認證技術進行用戶登錄身份和用戶訪問權限的認證，確保用戶正常進入系統(tǒng)路徑，避免非授權用戶侵入系統(tǒng)網(wǎng)絡。