《区域教育云系统的构建策略》由会员分享,可在线阅读,更多相关《区域教育云系统的构建策略(6页珍藏版)》请在金锄头文库上搜索。
1、区域教育云系统的构建策略天津市红桥区教师进修学校 杜永刚内容提要:随着教育信息化的深入发展,区域一级的教育云将成为全面提升学生学 习、学校教育管理水平的重要手段。本文从整体架构、主要特点、功能设计等三方面阐 述了区域教育云系统的构建策略,提出区域教育云系统要体现资源池化,弹性扩展,安 全可控和智能管理四个方面的特点,对区域教育云系统所包含的云存储、云平台和云安 全三大子系统,做出详细的功能定位与设计。关键词:区域教育 云系统 云存储 云平台 云安全教育信息化十年发展规划(2011-2020年)提出:我国教育信息化总体上处于“初 步应用整合”阶段,正在向“融合创新”阶段迈进;认为未来十年发展的重
2、点任务应该 是:推进信息技术在教学、管理、科研等方面的深入应用,实现信息技术与教育的全面 深度融合,变革教育理念、模式与方法,支撑教育创新发展。教育部对教育信息化十年 规划将重点实现“三通两平台”:实现宽带网络校校通,优质资源班班通,学习空间人人 通,构建教育资源公共服务平台和教育管理公共服务平台。为了适应现代化、信息化教学的需要,作为区域教育信息化主管部门,应该从“三 通两平台”入手,全面打造面向基础教育的区域教育云系统工程,通过信息化手段全面提 升学生学习、学校教育管理水平。一、区域教育云系统整体架构 区域教育云系统应包括云存储、云平台和云安全三大子系统,承载教育资源和教育 管理的业务应用
3、和数据存储,如下图所示。最底层是云存储系统,云存储系统通过堆叠的 交换设备与计算资源池中的物理主机连接,采用云存储管理软件实现对存储资源的统一分配 和管理,提供节点级数据保护和本地容灾,单个节点发生故障或需要进行设备升级时不影响 业务应用。存储资源池初期配置高可靠性云存储服务器,容量在TB以上,单个存储节点 配置为RAID5模式,采取单副本节点级数据保护,可用容量为0TB以上。业労应鼻脛黑器醉察薮心交换柄存權園 空换枫业务网关 撕火脚甲半習滴堆云存储簷朋区域教育云系统整体架构在资源池基础上以学校为基本管理单位虚拟出若干台虚拟机运行教育资源和教育 管理系统,各个虚拟机采用多路绑定千兆以太网相互连
4、接,并通过单独的千兆以太网访 问存储资源池。纳入云平台管理的服务器需要合计10颗物理CPU的软件授权,其中6 颗物理CPU用于前端业务应用,另4颗物理CPU用于提供数据库服务,这两个类型的物 理主机之间采取逻辑隔离措施,外部连接无法直接访问运行数据库服务的虚拟机。云平台运行的所有虚拟机采用面向服务且无状态的云安全管理系统,提供跨越物理 机和虚拟机的无代理安全防护功能。基于虚拟化技术构建的云数据中心需要采用全新的 信息安全防护系统,能够通过病毒防护、访问控制、入侵检测、虚拟补丁等功能实现虚 拟主机和虚拟系统的安全防护,并满足信息系统合规性审计要求。云安全系统按物理PU 颗数进行授权,合计6颗物理
5、CPU,满足前端业务应用安全防护要求。二、区域教育云系统主要特点 区域教育云系统的特点主要体现在资源池化,弹性扩展,安全可控和智能管理四个 方面。资源池化:是将计算资源、存储资源、网络资源通过虚拟化技术,将构成相应资源 的众多物理设备组合成一个整体,形成相应的计算资源池、存储资源池、网络资源池, 提供给上层应用软件使用。弹性扩展:是指实现业务系统资源配备的动态管理和按需调整,结合管理系统的资 源监控,根据业务负载等情况,调整业务资源配给,保障业务系统的资源供给,满足其 运行需要,保障服务质量。安全可控:是指对物理资源、虚拟资源池、虚拟组织提供多类型、多层面的资源实 时保护,整合网络安全、系统与
6、应用安全、数据安全等众多安全防护手段,提供多层次 全方位的安全防护和完备的安全管理与监控功能。智能管理:主要体现在针对资源的构成更加复杂、规模更加庞大的基础设施,采用资 源综合管理方式,将系统中的计算、存储、网络等资源视为整体系统,实施统一管理有,利 于优化整体性能、精确定位存在问题。三、区域教育云系统功能设计1、云存储子系统 云存储子系统以存储虚拟化技术为基础,是云数据中心的核心部分,由高可靠性存 储服务器、存储网络交换设备和云存储管理系统组成,云存储管理系统采用可用容量授权 方式。云存储子系统配置一套高可靠性云存储服务器,共有4个存储节点,合计容量为 48TB。每个节点配置6块2TB SA
7、TA硬盘,采取RAID5模式,按照N+1计算的每节点可 用容量为10TB。按单副本方式实现节点级数据保护,云存储系统总的可用容量为。每个 存储节点配置用于存储网络的双口万兆模块一个,采用两台堆叠交换机实现高速数据访 问。数据存储集群通过统一的分布式文件系统,将各类存储设备集合起来协同工作,共 同提供数据存储和业务访问功能,能够同时满足结构化数据和非结构化数据存储要求, 可以通过配置方式实现对结构化存储节点和非结构化数据存储节点的资源调度,采用标 准化的接口协议,支持运行在任何标准 IP 网络上的应用程序和客户端连接,具备大规 模高并发请求响应能力,具备节点级数据保护和容灾能力,具有横向扩展能力
8、,通过内建 的集中式备份功能实现数据快照、增量备份和故障恢复。云存储子系统具备跨数据中心存储 整合管理能力,为主云数据中心和各分云数据中心之间的业务应用,资源共享和信息交换提 供技术实现的可能性,提供云数据中心异地容灾能力。云存储系统可满足如下五个方面的功能特性:(1)满足高性能需求:在虚拟化环境下满足硬盘持续高带宽、高吞吐量存储需求, 为虚拟机运行提供良好的性能保证。(2)满足高可靠性需求:防止因设备、部件等故障而导致停机或数据丢失。数据 安全已经成为了业务连续性的基本保障,传统的RAID技术只能从硬盘级别提供数据保 护,随着磁盘数量的增多,硬盘故障的几率增加,RAID技术数据恢复时间长、保
9、护范围 有限等缺陷使其越来越不能满足实际应用的需求,需要更高可靠性的设计。(3)满足可扩展性需求:支持未来灵活在线扩展,无论是硬件还是软件的扩充, 均需要满足不断变化的业务需求。对于存储设备和空间支持在线扩容,能够满足未来海 量数据的爆炸式增长。(4)满足可管理性需求:便于存储系统相关资源管理及媒体资源一体化管理,使IT管理员更加简洁有效地监控、管理和分配资源。(5)满足异地容灾要求:云存储系统提供跨广域网的远程异地备份和恢复功能, 能够实现对本地存储数据的异地容灾保护,消除安全策略的地域限制,从而构建全面的、 完整的数据安全策略。2、云平台子系统 区域教育云系统的管理需要采用全新的管理模型和
10、灵活的功能架构,并且充分考虑 基础设施、业务运行、运维服务等各种管理要素,面向用户应用需求,通过按需装配资 源组件,建立一个开放式、标准化、易扩展、资源可联动的统一智能云平台,实现精细化 管理,为各种业务系统提供支撑。云平台子系统主要进行系统资源的服务化、实现资源快速部署与按需分发等功能。云平台系统软件授权采用CPU方式,每个计算节点配置2颗AMD Opteron系列CPU,合 计10颗物理CPU。其中6颗物理CPU用于前端业务应用,另4颗物理CPU用于提供数据 库服务,这两个类型的物理主机之间采取逻辑隔离措施,外部连接无法直接访问运行数据 库服务的虚拟机。计算节点通过服务器虚拟化技术实现统一
11、的池化管理。每个计算节点配置 用于业务网络千兆模块一个,用于存储网络的千兆模块一个,云平台子系统业务网络采用现 有千兆交换机实现互联,通过综合业务网关设备实现边界安全管理与防护。借助于云平台,可以构建易于管理、动态高效、灵活扩展、稳定可靠、按需使用的 新一代云数据中心。云平台应具备硬件无关性特点,支持主流的标准硬件。采用开放云 平台基础,不会通过技术锁定用户,提高用户可选择性。具备广泛的软件兼容性,不必 采用第三方管理工具软件进行配合。提供开放的API,可以为用户或由用户根据实际需 要进行定制开发。可充分发挥网络扩展性,具体包括以下三个方面的功能特性:(1)个性化资源定制能力:管理员可有效管理
12、各个资源域的资源,按用户所需去 定制化用户所需的服务,如可以提供各种可供用户定制化的虚拟机计算服务、存储服务、网 络服务以满足不同用户不同应用业务的需求。(2)异构化平台管理能力:能够支持异构虚拟机,可同时管理 VMWare vSphere、 Citrix XenServer、Redhat KVM等多种虚拟机环境下的虚拟机并提供统一的管理界面。 云平台应允许这三种不同的虚拟软件系统可以同时在一个资源池中存在,而且这种异构 模式对用户是透明的。用户在使用他们的虚拟机时并不需要关心是在哪一种虚拟系统上创 建的。(3)动态化资源扩展能力:可在不影响当前系统及应用的前提下进行顺利扩展或 者平滑升级,满
13、足长期发展的要求。整个系统平台的动态化扩展能力具体表现在计算资 源的动态扩展。这对于用户提供更多的选择性和灵活性,同时这种集中式部署也实现了 系统的动态化扩展存储容量。整个共享资源池可根据用户的需求在线增加或减少物理服 务器节点,满足用户对于资源的动态调配,实现根据需要灵活地供给和恢复IT资源, 并根据使用量进行计量。3、云安全系统功能 针对云平台子系统面临的防护威胁和安全要求,需要部署统一的云安全系统及虚拟 机安全引擎,通过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁等功能实现虚拟 主机和虚拟系统的全面防护,满足信息系统合规性审计要求,构建多层次的虚拟化平台 基础架构综合防护体系。另外,
14、采用虚拟机安全引擎,在虚拟系统中占用更少的资源还,能 有效避免过度消耗宿主服务器的硬件能力。云安全系统授权采用CPU方式,满足前端业 务应用安全防护要求,合计6颗物理CPU,能够为物理主机和虚拟机提供统一的安全防护。云安全系统能够降低服务器和虚拟机的安全威胁。传统安全产品虽然可以在物理网 络层很好地保护服务器系统,但它们终究无法应对虚拟系统面临新的安全威胁,所以需要 采用创新的安全技术才能完善信息安全防护体系的基础架构,同时具备对最新安全威胁的 抵抗力,降低安全威胁出现到可以真正进行防范的时间差,提高服务器的安全性和抗攻击 能力,从而提供业务系统应用的可用性,云安全系统具备如下三方面功能特性:
15、(1)访问控制:传统技术的防火墙技术常常以硬件形式存在,用于通过访问控制 和安全区域间的划分,计算资源虚拟化后导致边界模糊,很多的信息交换在虚拟系统内 部就实现了,而传统防火墙在物理网络层提供访问控制,如何在虚拟系统内部实现访问 控制和病毒传播抑制是虚拟系统面临的最基本安全问题。虚拟机安全引擎可以提供基于 状态检测的细粒度访问控制功能,可以实现针对虚拟交换机基于网口的访问控制和虚拟 系统之间的区域逻辑隔离,同时支持各种泛洪攻击的识别和拦截。(2)入侵检测/防护:虚拟机安全引擎能够同时在主机和网络层面进行入侵监测和 预防。随着虚拟化技术的出现,传统的入侵监测工具可能没法融入或运行在虚拟化的网络
16、或系统中。云安全管理系统可以对系统交换机或端口组进行管理,这时虚拟的IDS传感 器能够感知在同一虚拟段上的网络流量。除了提供传统IDS/IPS系统功能外,还提供虚 拟环境中基于政策的(policy-based)监控和分析工具,使云安全管理系统能够更精确 的进行流量监控、分析和访问控制,还能分析网络行为,为虚拟网络提供更高的安全性。(3)虚拟补丁防护:随着新的漏洞不断出现,传统数据中心管理员在为系统打补 丁上疲于应付,等待安装重要安全补丁的维护时段可能是一段艰难的时期。另外,操作 系统及应用厂商针对一些版本不提供漏洞的补丁,或者发布补丁的时间严重滞后,还有 最重要的是,如果 IT 人员的配备不足,时间又不充裕,那么系统在审查、测试和安装 官方补丁更新期间很容易陷入风险。云安全管理系统通过虚拟补丁技术完全可以解决由 于补丁导致的问题,通过在虚拟系统的接口对虚拟机系统进行评估,并可以自动对每个 虚拟主机提供
