大型云计算平台的搭建以及解决方案(超详细)
本节主要教大家如何搭建一个大型的云计算平台,读完之后你会对云计算有一个更加清晰的认识。
需求分析
能接入 500 台以上的云终端,可以满足大型公司内各类员工的办公需求。公司员工用各自的账号能在公司内部的任何云终端上登录自己的远程桌面,实现公司内部移动办公;同时,要求出差在外的员工也能安全访问远程桌面,公司安全管理部门能监控到外发的电子文档资料。对于一家大型公司来说,云终端用户的基本分类如表 1 所示。
| 序号 | 用户类型 | 特征 | 常用操作 |
|---|---|---|---|
| 1 | 访客 | 非公司员工在公司内的公共场合,如会场、餐厅、休息室、大堂、接待室等使用计算机 | 查询、上网、娱乐等 |
| 2 | 合作伙伴 | 授权访问、外部接人 | 与特定的接口人交换信息等 |
| 3 | 普通文员 | 采用一般的轻量级的软件处理日常文字工作、生产调度等,涉及的信息重要级别低 | 文字处理、收发邮件、上网、音视频娱乐、ERP 等 |
| 4 | 重要文员 | 涉及的信息安全级别高,如财务会计、人事档案、项目管理、工资福利等,要求用户间的隔离效果好、可用性高、数据安全性高等。 | 业务软件操作、文件处理、收发邮件、上网、音视频娱乐、ERP 等。 |
| 5 | 研发人员 | 信息安全是关键,项目团队与外围必须绝对隔离,消耗较多的计算资源 | 研发工具、文件处理、收发邮件、上网、音视频娱乐等。 |
| 6 | 领导 | 使用轻量级的软件,但是信息安全级别最高,应用可用性要求最高 |
文字处理、审批、 收发邮件、上网、音视频娱乐、ERP 等。 |
| 7 | 业务人员 | 市场部、采购部、安全部门的员工,他们的共性屎要求信息绝对安全,可用性高。 |
业务软件操作、文字处理、 收发邮件、上网、音视频娱乐、ERP 等。 |
| 8 | IT运维人员 | 他们除运维外,还要对新技术、新方案做测试和评估 | 运维软操作、测试评估、文字处理、收发邮件、上网、音视频娱乐等。 |
系统设计
1. 技术背景
根据用户在云端共享层次(参见《IT系统组成》教程)的不同,有如下几种实现技术。
1)共享信息和技术(Ⅰ 型)
这是最轻量级的,所有的人都用同一个账户登录,进入同一个用户环境,可运行同一个程序集中的程序,每个人的数据集对其他人可见。用户一退出,其计算痕迹全部被删除。本方法特别适用于公共场所,如图书馆的多媒体阅览室、教育培训机构的计算机室、智能会议室、查询终端等。
2)独占信息、共享技术(Ⅱ 型)
这是较轻量级的,即每个用户独占数据集和少量应用软件,共享硬件、系统软件(如操作系统)和大部分应用软件。这就是多用户系统,Linux 操作系统是一个典型的多用户系统,Windows 的远程桌面服务也是多用户系统。
多用户系统又存在以下两种实现方法:
- RemoteApp 方式,即在本地创建快捷方式,指到云端的程序(程序安装在云端并在云端运行)。
- 远程桌面方式,用户直接登录到云端并进入自己的用户环境。
这两种方法都要求事先在云端创建账号,并配置用户环境。在第一种方法中,当用户双击快捷方式时,会自动登录云端(账号和密码事先配置好),然后在云端计算。第二种方法是人工登录到云端桌面。
RemoteApp 方式可以实现“单一入口、分工计算”的目的,即若干台云端服务器可以分工计算,比如有的服务器运行办公软件,有的服务器运行多媒体软件,有的服务器运行游戏软件,有的服务器专门用于科学计算,等等,然后把这些程序都整合到用户的桌面上来。
为了实现这种“单一入口、分工计算”的目的,必须采用单点登录(用户集中认证)和家目录漫游。用户的桌面可以在本地,也可以在云端(专门用一台服务器存放桌面),桌面上的快捷方式可以由用户自己创建(但规定了可选择的程序集),也可以由系统管理员推送过来。当用户数达到几百、上千甚至上万时,采用 RemoteApp 方式较合适。
3)独占信息和应用软件,共享硬件和操作系统(Ⅲ 型)
这是基于操作系统层面的虚拟机,也称为“容器”(常说的 VPS,即虚拟私有服务器)。每个 VPS 都拥有自己的 IP、根文件系统、用户认证系统,以及应用软件集,但是同一台物理机器上的 VPS 共享底层的操作系统内核,用户使用 VPS 就像使用一台单独的物理机器(但是涉及操作系统内核修改的操作是禁止的,比如我们经常会在 Linux 下重构内核,这在 VPS 中是不允许的)。
从整台物理机来看,由于内存中只有一个操作系统在运行,所以与全虚拟机相比,物理机能输出更大的有效计算能力,也能承载更多的“容器”,容器数量几乎多出一倍。另外,与上面两种方法相比,VPS 能达到更好的数据隔离效果。本技术方案特别适合个性化用户和要求数据隔离良好的应用,绝大多数 VPS 提供商都会采用。
4)虚拟机(Ⅳ 型)
虚拟机共享硬件和 Hypervisor 层(有的是操作系统,有的是虚拟层),独占操作系统、应用软件和信息。
与 Ⅲ 型相比,虚拟机具备更佳的隔离效果,用户透明度更高,远程用户几乎不能分辨自己使用的到底是虚拟机还是物理机,在物理机上能进行的操作在虚拟机里都能进行。但是由于一台物理机同时运行多个操作系统,所以资源浪费更大。对于一些要做深度开发的技术工程师(如程序开发员),建议给他们创建虚拟机,允许他们配置虚拟机硬件、安装操作系统、安装开发工具等。
5)物理机(Ⅴ 型)
这是最重量级的,即独占网络层以上的全部信息和技术,直接给用户分配物理机。用户通过远程管理卡连接到物理机,从而可以开关机、配置 BIOS 参数、安装操作系统、配置网络参数、安装应用软件等。物理机的隔离效果最佳,用户个人体验最佳,但是成本也最高。对于一个单位组织的IT工程师,建议给他们分配物理机。
2. 系统拓扑
根据公司用户分类和 IT 系统层次的不同,可制成表 2。
| 序号 | 用户类型 | 终端数 | 桌面类型 | 备注 | 服务器 |
|---|---|---|---|---|---|
| 1 | 访客 | 100 | 先 Ⅳ 型后Ⅰ型 | 单独使用两台服务器,并与其他服务器在网络上隔离 | 2 台 |
| 2 | 合作伙伴 | 100 | 先 Ⅳ 型后SaaS型 | 单独使用服务器,每个应该使用一台虚拟机来承载 | 2 台 |
| 3 | 普通文员 | 350 | 先 Ⅳ 型后 Ⅱ 型 | 与本表序号 7 中的业务人员公用相同的物理机:10台 | |
| 4 | 重要文员 | 80 | 直接 Ⅳ 型 | 虚拟机隔离 | |
| 5 | 研发人员 | 250 | 先 Ⅴ 型后 Ⅱ 型或先 Ⅳ 型后 Ⅱ 型 | 研发部与其他部门先物理机隔离,然后各个项目间虚拟机隔离,人与人之间可采用容器隔离 | 9 台 |
| 6 | 领导 | 20 | 先 Ⅴ 型后 Ⅳ 型后 Ⅱ 型 | 先与其他部门做物理机隔离,然后领导间做虚拟机隔离 | 2 台 |
| 7 | 业务人员 | 400 | 先 Ⅳ 型后 Ⅱ 型 | ||
| 8 | IT运维人员 | 50 | V 型和 Ⅳ 型 | 部门 Ⅴ 型,部门 Ⅳ 型 | 5 台+若干台低配裸机 |
对表 2 解析如下:
1)公司领导的数据和应用特别重要,所以每个领导分配一台虚拟机,领导的虚拟机运行在专门的两台服务器上,两台物理服务器做成集群。
2)研发人员的重要程度等同于公司领导,他们具备大致相同的操作行为,所以也采用专门的物理服务器。但是同一个项目成员之间保密度不高,他们之间往往需要共享很多文档资料和源代码,并使用相同的开发工具,所以建议他们使用多用户远程桌面(先 Ⅳ 型后 Ⅱ 型)。
不同项目组之间应施行严格的隔离措施,即不同的项目组采用不同的虚拟机。如果一个项目足够大,超出了一台虚拟机的处理能力,那么可创建多台虚拟机,这些虚拟机之间通过 VLAN 互联。采用虚拟机而不是物理机的好处是,虚拟机迁移方便、可用性高。
3)业务人员面向的是公司的对外业务,涉及客户和提供商,他们积累的数据同样非常重要,对应用的可用性要求较高。所以,建议尽量使用专门的服务器,重要的职员使用单独的虚拟机,同一部门的职员使用虚拟机上的多用户桌面。如果某个部门内的职工人数很多,则可以分配多台虚拟机。
4)普通文员和重要文员使用专门的服务器,每个重要文员分配单独的虚拟机,普通文员采用虚拟机上的多用户桌面。当然,对于那些只维护应用的员工来说,也可以分配一台虚拟机。
5)IT 运维人员使用的软件比较杂,操作行为多变,需要经常模拟各种应用场景,所以直接给他们分配物理服务器是一个好主意。根据具体情况,可能一些运维人员还需分配多台服务器。
基于上述分析,最终我们设计的云计算方案框图如图 1 所示。
我们采用 OpenStack 云计算管理工具和 Mariants 公司的 Fuel 自动部署工具。在图 1 中,每个组承载一定数目的虚拟机,这些虚拟机可能被分割成不同的 VLAN,同一台虚拟机允许在它归属的组内“漂移”,但不能跨越组边界。所以我们采用的网络拓扑为基于 VLAN 的 Neutron,它支持网卡绑定、虚拟交换机(OVS)和 Murano,允许对租户进行隔离。
发表评论