《教育行业360私有云解决方案v1.0》由会员分享,可在线阅读,更多相关《教育行业360私有云解决方案v1.0(27页珍藏版)》请在金锄头文库上搜索。
1、青浦区教委教育私有云解决方案目录1.建设背景42.方案设计42.1360云平台介绍42.2方案设计理念52.2.1系统高可用 存储低成本52.2.2弹性伸缩 轻松应对高并发62.2.3云数据服务 安全稳定62.2.4大数据分析 体现数据价值72.2.5与360相同级别的全方位安全防护72.3平台设计72.3.1KVM虚拟机系统72.3.2Ceph 分布式存储82.3.3云主机管理平台92.3.4云桌面102.3.5安全防御体系103.方案实现103.1技术规范113.2系统特性113.3安全特性133.3.1云端防护133.3.2安全CDN133.3.3云攻击监测133.3.4云漏洞扫描133
2、.3.5云服务监控143.3.6非法网站访问权限控制143.3.7用户权限管控143.3.8安全评估143.3.9渗透测试153.3.10安全加固163.3.11安全检查服务163.3.12应急响应173.3.13基于大数据的威胁分析183.3.14平台安全风险管理基线243.3.15安全模型研究253.4计算资源池253.4.1服务器选择253.4.2服务器资源池273.5存储资源池283.5.1存储资源设计283.5.2存储资源池293.6管理与监控303.6.1人性化管理接口303.6.2实时监控314.方案建设314.1第一建设阶段324.2第二建设阶段334.3第三建设阶段345.优
3、势总结345.1资源灵活调度345.2平台安全可靠345.3操作简单,使用便捷355.4系统兼容性好366.软硬件系统配置清单366.1.1.软件服务配置表366.1.2.硬件设备配置表371. 建设背景随着移动互联网的发展和对碎片时间的利用,通过新技术新方法实现互联网+教育的新思想已经逐步深入人心,教育教学也由传统的集中式,课堂化的教学模式和方法向全新的方向转变,交互式,轻量化,游戏化、PK竞争等多种促进手段和方法不断出现,甚至更多的利用课余时间,通过自发的行为和组织来提升学生对知识的获取与掌握。为了支持这种基于互联网+ 模式下的教育业务创新,采用传统的技术手段和技术方法已经无法支持在互联网
4、环境下的业务发展,为适应互联网用户的爆发访问,实现业务系统弹性扩展,快速扩容,业务内容的敏捷开发,快速上线,高频迭代,快速更新等一系列互联网业务模式,如果采用传统的技术在未来业务发展之后会很难适应互联网环境下的业务需求,因此只有在一开始采用互联网技术设计和构建业务平台,才能能够匹配在未来互联网+ 教育的环境下迅速发展的教育事业。青浦区教委不仅承担着青浦区基础教育资源中心相关职责和任务,还担负着青浦区学生数据中心相关职责和任务,承担基础教育信息化服务体系的建设工作以及教与学的信息化应用推进与研究等多项工作工作。为了实现教育与互联网相结合,利用互联网技术与方法,有效的提高工作效率,青浦区教委需要利
5、用互联网对现有教育平台和方式进行改造,建设青浦区教育云平台,实现互联网+教育的新模式的创新。2. 方案设计2.1 360云平台介绍360云平台系统是由360公司在采用主流的开源平台之上自行组织开发,具有核心技术的一套云计算平台,针对KVM虚拟机、Ceph分布式存储和Openstack 调度系统都实现了自有分支优化,并在之上自主开发了管理平台,监控体系,自动化运维体系,安全防护体系等一系列应用。实现了代码可见,可审计,并且实现了技术私有化,杜绝泄密等风险。360云平台现在已经成为360公司整体业务的支撑体系,总共有17000余台虚拟机在5000余台物理机资源池中,支撑了360杀毒,安全卫士,手机
6、卫士,安全游览器,手机助手,360云盘,360搜索,360导航等一系列业务;仅用3个人员即可管理公司的内部业务平台,同时全公司不到20多人运维管理了80,000余台物理服务器用于互联网资源服务。通过云计算技术,极大的实现了节省了公司投资,极大降低了系统整体投资和持有成本(TCO)。360云计算平台经过360公司3年大业务量应用的验证使用,已经被证明是一套有效可靠的业务体系,360将其扩展至互联网公用服务平台,为互联网客户提供安全有效的云计算平台,同时我们也能有效的将公有云平台技术私有化建设,满足客户对私有云服务的使用需求。在3年运行过程中,360 不但实现了云计算的业务快速上线,自动化的管理系
7、统可以为用户提供优质的服务,从用户完成配置之后10分钟内即可自动完成虚拟机的创建并提供给用户使用;虚机资源也能够根据业务需要提供资源扩张,实现弹性计算。多节点高可用性冗余机制,减少了故障宕机时间,提高了业务的整体服务水平;同时我们可以实现资源整合,极大整合服务器数量,提升服务器利用率,降低能耗,节能减排。在这之上,360还为云计算提供专业的安全防护,使得云计算更加安全。在整合360相关业务的过程中,构建了各种不同的相关业务应用和平台方案积累了大量的行业应用知识,为行业应用服务了坚实的基础。2.2 方案设计理念2.2.1 系统高可用 存储低成本通过强大的360云负载均衡器,可实现故障自动切换,提
8、高业务可用性,并提高资源利用率。 利用云平台本身存储服务,用户无需购置专用的硬件系统,也无需组建运维团队,大大节约了用户存储成本。在云平台结构中,每个业务的虚拟机均可以采用负载均衡的模式,使得业务由原来的单节点方案变为多节点方案,提升了业务系统的可用性,同时由于采用负载均衡技术,实现了业务上线与更新的无缝链接,并且在未来业务增长与收缩时实现弹性伸缩,提升整体的资源使用率。当系统计算资源不足时,通过增加计算节点,能够方便的增加计算资源,通过负载均衡能够方便的实现将扩展的新业务服务器加入集群节点中,实现业务的在线扩展和动态伸缩。云平台中,存储系统采用PC服务器磁盘系统,可以简便的通过扩展存储节点实
9、现容量的扩展,每个数据均会存留有3个相同的副本,确保不会因为系统设备故障的原因丢失数据,当存储容量不足或者设备故障时,能够简便快捷的通过增加存储节点即可实现对存储容量的扩展或故障设备的更替,整体业务不需要停顿,用户无感知。同时,由于采用了PC服务器作为存储系统,相应业务功能均通过软件实现,因此可以极大的降低系统存储成本。2.2.2 弹性伸缩 轻松应对高并发云主机在30秒左右创建完成,10分钟内可启动或释放百台云主机,支持在线不停机升级带宽,可以根据您在线课堂的性质,实际的在线学员数,动态灵活的使用不同配置的云服务器,既降低了平均使用成本,也可轻松解决高并发的需求。快速创建与扩展业务也是360云
10、平台的一个主要特点,通过快速的创建云主机,通过负载均衡,可以实现业务的快速扩展,以应对互联网的高并发请求;在完成对应的服务后,可以快速释放资源,可以将更多的资源用于其他业务中。2.2.3 云数据服务 安全稳定采用高性能硬件配置,使用固态硬盘(SSD),同时对数据库性能参数和系统内核参数做了特定的优化,保证资源最大化利用,并可以在线升级扩容,从而获取更高的数据库空间和性能。自动备份机制保存多天的备份数据以备随时恢复,同时严格的访问权限控制,备份数据加密存储等多种方式最大限度的保护您的数据安全。2.3 平台设计云计算平台采用开源的Openstack管理平台 +KVM虚拟主机 +Ceph分布式文件系
11、统+云桌面+安全防御体系的解决方案,并结合实际中使用的情况进行了大量的优化工作,在此基础上,自主开发了管理平台,监控体系,自动化运维体系,实现了灵活的弹性扩容,快速上线等功能。2.3.1 KVM虚拟机系统KVM是开源软件,全称是kernel-based virtual machine(基于内核的虚拟机)。是x86架构且硬件支持虚拟化技术(如 intel VT 或 AMD-V)的Linux全虚拟化解决方案。它包含一个为处理器提供底层虚拟化可加载的核心模块。KVM使用Linux自身的调度器进行管理,其核心源码很少,易于配置和维护,KVM目前已成为主流虚拟化技术之一。360云开发团队在使用KVM构建
12、云数据中心的虚拟化时,根据自身的需要对KVM进行了大量的优化,包括安全优化和性能优化。开源虚拟化技术相比商业版本,成本低。配置灵活,自主性强。但是对技术能力要求高。360有强大的云主机开发和运维团队实现了对KVM技术的应用与研究,实现了复杂业务与应用简单的高度统一。云计算调度系统支持虚拟机热迁移,即在不停机的情况下进行迁移,虚拟主机热迁移涉,从而实现负载动态调整,保证业务高效、稳定运行、资源利用率高。即已经存储到硬盘里面的数据,如OS,配置文件等。因为这些数据都是保存在后台的分布式共享存储里面的,所以实际上可以直接被新的虚拟机主机直接读取。对于内存数据的迁移:为了保证业务不断线,在迁移过程中,
13、会使用内存同步技术进行多次的内存状态同步,将切换状态间隔降低在12s内。KVM具有良好的兼容性,虚拟机可以支持各种版本的 CentOS 操作系统,也能够支持各版本的Windows系统,同时,所安装的虚拟平台也能很好的支持Weblogic、Tomcat、Oracle 等应用系统。2.3.2 Ceph 分布式存储CEPH系统是一种高可靠的分布式文件系统,他能够支持轻松扩展到PB级的容量,同时也支持多种类型的高性能负载,但是,这些目标之间会互相竞争(例如,可扩展性会降低或者抑制性能或者影响可靠性)。Ceph的设计包括保护单一点故障的容错功能,它假设大规模(PB 级存储)存储故障是常见现象而不是例外情
14、况。因此,360公司在设计和建设分布式存储集群时,每个存储集群通过万兆接入层接入,通过更高的交换带宽进行汇聚。每个存储单元会在三个存储节点上进行保存。在存储节点均采用的是SSD+sata,SSD负责对数据进行高性能的读取,sata对数据进行大容量的存储。同时设置实施了存储接点自动心跳,自行判断存活状态,如果发现其中一个接点心跳断了,则会停止相关IO操作。并将其从CEPH集群中移除。管理员将新的存储接点加入后,会自动的从另外的两个节点对数据进行恢复。这样,当单一存储出现故障时,因为数据进行3份副本保存,不影响数据的完整性;当新的节点加入时,自动进行数据的恢复同步,保证高可用性。在整个过程中,用户
15、都不会有所感知。2.3.3 云主机管理平台在Openstack 的基础上,360自主开发了管理平台,监控体系,自动化运维体系,虚拟机所有管理操作均封装成API的形式,无后台资源依赖和耦合,可以方便的和其他管理系统集成。360云主机虚拟化管理层对外提供可集成的API接口,用户通过简单的开发即可通过API支持多个虚拟化平台,如:KVM、Xen等。实现了对其他基础虚拟机系统的统一调度与管理。管理平台l 集中认证和授权管理;l 用户需求与工单的集中管理;l 镜像模版管理l 多集群管理;l API接口管理;用户平台l 支持创建自定义配置的虚拟机l 支持虚拟机的删除、销毁l 支持快速复制虚拟机l 支持虚拟服务器快照l 支持虚拟机动态迁移l 支持虚拟机故障热迁移l 支持动态修改虚拟机配置l 支持虚拟机带宽QoS及动态调整l 云磁盘管理;l 网络管理;l 资源监控;2.3.4 安全防御体系360安全防御体系主要包括漏洞扫