电子政务虚拟化资源池

电子政务虚拟化资源池（精选三篇）

电子政务虚拟化资源池 篇1

关键词：交通行业,电子政务虚拟化资源池,优化

1 前言

为做好交通行业电子政务信息系统的运行和支撑,整合各个行业现有信息资源、解决机房空间紧张、电力能耗过大、硬件设备老化、单点故障、资源分布不均等问题,本文通过X86虚拟化架构,利用虚拟化技术搭建信息系统运行所必须的软硬件基础平台,形成信息系统资源池,实现信息化基础资源的集约化部署和管理,实现服务器设备、存储设备、系统软件三者有机结合,从而降低运行成本、节省机房电力消耗以及应用的快速部署上线,为交通行业应用提供基础支撑环境。

2 虚拟化资源池构架设计

按照公安部等级保护的安全域要求和信息系统的服务等级对电子政务外网虚拟化资源池进行分区、分域的管理,将其分为二级安全域和三级安全域的虚拟化资源池(如图1所示),在此基础上为每个安全域中再划分核心生产资源池、预生产资源池和测试资源池,以满足不同系统对服务等级的要求,避免出现计算资源抢占、存储资源浪费等问题。

核心生产资源池:为正式在线运行的信息系统提供基础资源环境支撑。

预生产资源池:一是为信息系统正式上线至验收通过前提供运行环境支撑,二是与生产环境不定期同步,保持和生产环境的设置、数据一致性,可以用于大数据分析、性能测试、升级测试等。

测试资源池:为待建信息系统提供测试运行环境支撑。

3 计算资源的服务器选型

虚拟化资源池的服务器选型主要考虑以下几个方面的制约因素:

方便性方面:考虑服务器CPU数量越多意味着单台服务器承载的虚拟机数量越多,服务器数量越少,管理越方便;

低成本方面:从成本考虑1台8路服务器架构大于2台4路服务器价格,1台4路服务器价格大于2台2路服务器价格;

利用率方面:从资源利用率考虑虚拟化资源池需要预留冗余资源实现高可用,服务器CPU数量越多浪费的资源越多。以4台8路服务器和8台4路服务器为例,8路服务器实际利用率为(4-1)/4=75%,4路服务器实际利用率(8-1)/8=87.5%。

稳定性方面:考虑2路和4路服务器为目前主流服务器,8路服务器应用较少,综合管理、成本等方面考虑,建议使用4路服务器。

X86服务器又可以被分为机架式服务器和刀片式服务器两类,刀片式服务器的优点在于其占用空间小,便于统一管理,但由于内部空间限制,导致扩展性较差。优点在于它是面向特殊应用行业和高密度计算机环境设计的,凭借统一的系统背板,可以方便地组成计算机群实现资源共享。机架式服务器适用于服务器拥有量较多的场景,具备扩展性的优点。

根据虚拟化资源池的特点选择不同类型的服务器。生产和预生产资源池,选择计算密集型资源池,使用刀片式服务器。测试资源池,对计算资源要求相对不高,服务器使用机架式服务器。

4 存储资源的设备选型

存储系统主要包括网络附加存储(NAS)和存储区域网络(SAN)。

NAS是采用文件系统管理硬件存储资源,并通过网络协议(例如NFS协议和CIFS协议)为用户提供文件级的存储访问,它可以支持异构客户端的共享访问,但是NAS采用网络协议会降低传输过程中的有效载荷比从而性能不高。而SAN是采用专用的存储网络设备连接存储资源硬件为用户提供块级的存储访问,具有较高的传输性能且稳定性好。

随着技术的发展和闪存等硬件成本的降低,分布式存储技术日益成熟并有逐步取代集中式存储的趋势。分布式存储具有成本低、易部署、易横向扩展并且能通过规划存储策略来灵活满足不同业务对存储的要求等优势,可以有效的解决集中式存储成本高、管理复杂等问题。

根据虚拟化资源池的特点选择不同类型的存储资源:核心生产资源池,采用FC SAN主备方式的集中存储模式,利用其主备特性满足RPO和RTO需求。预生产资源池,NAS的集中式存储模式,不配置主备模式,通过备份满足RPO和RTO需求。测试资源池,利用服务器本地磁盘创建分布式存储,分布式存储具有成本低、容量大、易扩展等特性。

5 虚拟化网络的安全保护方式

传统的物理网络与安全体系结构不能满足日益池化的动态虚拟世界,网络虚拟化提供了一个简化的逻辑网络元素和服务的完整套件,包括逻辑交换机、路由器、防火墙、负载均衡器、VPN、Qo S、监控以及安全。这些服务可以在虚拟网络中通过基于API的任何云计算管理平台进行调配,并且可以安排在任何隔离和多租户拓扑中。虚拟网络可以通过任何现有的网络进行无中断部署,并且可以部署在任何虚拟化管理程序上。可以通过编程方式创建、调配、拍摄快照、删除和还原复杂网络,所有这一切均可在软件中完成。

网络虚拟化突破了当前物理网络障碍,使数据中心操作员得以将速度、经济性和选择性提高若干数量级。网络虚拟化以软件的方式提供2-7层的整体网络和安全模式,实现与底层网络硬件的解耦,它可以充分利用公司现有网络基础架构而无需做出改变,从而提高服务交付的速度和敏捷性,并降低成本。

就像服务器虚拟化将虚拟机从底层X86服务器硬件分离出来以改变计算运营模式一样,网络虚拟化将基于软件的虚拟网络从底层网络硬件分离出来,以便支持新的网络运营模式。在这种情况下,部署虚拟机周边的网络和安全组件会便捷的多,同时实现了虚拟机颗粒度的隔离和安全保护,这在传统的物理网络设备架构中无法实现。

传统的网络体系结构对底层专用物理硬件有很大的依赖,灵活性很差。此外,传统的安全防护手段价格昂贵,对虚拟化平台不具感知能力,无法实现虚拟机级别的隔离和保护,使用不够灵活,管理难度大,不能很好地满足新架构的需要。

虚拟化资源池的网络安全建设目标:

◆实现集中采集

根据虚拟化资源池的网络结构和应用特点,应采用“流量集中采集、安全产品自主分流”的方式,避免多头采集带来的性能损耗。

◆实现集中管理和部署

实现对安全产品的统一管理。网络安全管理员能在一个入口上完成不同安全产品的配置、修改和查询,而不必面对多个管理入口,从而有效提高管理效率。

◆实现虚拟安全域可视化

直观展现虚拟安全域的网络流连接情况,使得网络安全管理员可以从不同层次查看虚拟安全域的IP资产情况,资产之间的实际流量连接关系拓扑等。

◆实现虚拟流量的入侵检测

能够对虚拟流量中的病毒、蠕虫、木马、DDo S、扫描、SQL注入、XSS、缓冲区溢出、欺骗劫持等攻击行为以及网络资源滥用行为等威胁进行检测能力,防止利用虚拟机被作为攻击跳板的行为。

◆实现虚拟流量的网络及数据库行为审计

能够对业务环境下的网络操作行为和数据库操作行为进行解析、分析、记录、汇报,帮助管理员事前预防,事中监视、事后报告、事故追踪溯源,保障核心数据库、服务器等的正常运行。

6 虚拟化资源池的云平台高效管理

通过管理软件实现运维人员与虚拟化平台,最终用户与虚拟化平台的人机交互,实现对整个虚拟资源池的动态分配与管理,实现对最终用户的云应用和云交付,提高运维的效率和服务精准度。云平台管理应具备以下功能特性:

●自助云门户:用户可使用云门户进行虚拟机自助申请,选择服务目录提供的各种虚拟机配置。同时通过自助门户管理和维护分配给自己虚拟机,必要时还原虚拟机。

●服务目录:管理员能够根据不同的需求定制服务器目录,包含计算资源、存储资源、操作系统、应用程序等,用户只需选择对应的服务目录即可创建一组虚拟机。

●审批流程:用户申请后需要管理员审批后才可以创建虚拟机。

●自动化部署:虚拟机部署和应用安装配置完全自动化完成,无需管理员参与。

●生命周期管理:实现虚拟机的生命周期管理,虚拟机创建时可设置到期时间,到期后自动回收虚拟机资源。

●多租户:可实现按司局划分多租户,同时实现计算、存储等资源的逻辑隔离。

●计量和计费:通过计算、存储等资源的使用情况计量和计费,同时提供费用报表。

●异构环境支持:应能够支持多种虚拟化软件平台、物理架构及公用云。

7 虚拟资源池的优化效果

(1)可以改变原有烟囱式业务部署方式,解决资源分布不均匀问题,确保IT资源能满足所有业务系统的同时高速发展,同时还能保证部分繁忙的业务系统优先分配到足够的资源,使各业务系统的发展齐头并进。

(2)有效避免各业务系统的单点故障,保证业务系统的高可用,充分利用虚拟化的特点保护一些现有单机系统,即使发生意外宕机也可在短时间内切换到其他主机运行,以提高整体的业务连续性。

(3)简化机房空间占用和布局,通过虚拟化使得同一台物理机可以同时运行多个业务系统,使资源得到了更充分的利用,同时减少了机房空间的占用,以及降低了制冷系统的负荷,让IT架构的规划和部署变得更加容易。

给组织建个虚拟货币池 篇2

咨询公司的审计结果表明：天和的人力资源“硬件”相对合理，人员数量、素质、结构几方面都处于业内领先水平。但与之形成鲜明对比的是，天和的人力资源“软件”却让人担忧，典型的问题是组织的价值观涣散，组织的运转规则模糊。换句话说，天和集团是抓了一手好牌，集中了精兵强将，但却没有形成组织能力的合力。

起初，王栋颇为不服，天和兵强马壮，还不是自己多年苦心经营的成绩？但咨询公司的报告却让他难以应对，根据问卷、访谈等凋研结果，天和集团尽管在纸面上有明确的企业价值观，但却根本未在员工中形成共识，而同样在纸面上事无巨细的员工行为规范，则在大多时候根本不被大家认可。说主张创新吧，大家似乎更愿意循规蹈矩；说主张协作吧，大家好像更喜欢自扫门前雪；说主张“人才快速成长”吧，职线都是“武大郎开店，只选比自己矮的”，把部门里的员工压得死死的。韦立凡认为，天和集团当前在市场上得心应手主要是因为先占优势，随着竞争环境的变化，要守住优势，夯实组织能力才是正途。

王栋想申辩，“人心的事情，我们管不了那么多呀”。可话才说了一半就被韦立凡摆手压了回去——“人的事情不由人力资源部做，那该由谁来做？”韦总的沟通风格异常直接，还直接展示了一份咨询公司提供的报告，报告显示了天和近五年来空降进入的明星人才的工作自评，其中80%的人居然认为自己的工作效率明显下降。

这不是组织能力赢弱，拖累了有能力的个人吗？话说到这里，王栋已经不好再说什么，韦立凡定下调子“要钱给钱，要人给人，调动一切资源打造组织能力，要在半年内见到成效”。王栋知道这是韦立凡在天和的第一把火，烧不烧得旺不仅关系他的声誉，也关系到自己在天和的命运。

员工自激励——华而不实的秀

沉下心来，王栋隐约也意识到了问题，既然病症已经被人家指出，自己就干脆把病灶找到。接过咨询公司提交的审计报告，再加上带领部属进行的一些补充调研，王栋很快把问题聚焦到了“文化”上。

原来，天和高层提倡一种“协作与创新”的文化，但其内部却早就形成了一种相反的传统。员工认为帮助同事完成任务和提出创新并不能为自己带来利益，因为，这些工作并不能被绩效考核系统激励。相反，大家相信“碗洗得越多，打破碗的可能性就越大”。所以，相互推诿工作的现象和怠于进取创新的现象就异常严重。更为严重的是，由于这种各自封闭习惯，员工缺乏交流，开始对天和缺乏归属感，高端人才离职率开始拉高就是证明，用一个员工的话来说就是“天和不是家”。一旦这种氛围形成，天和的文化就走入了沼泽，不管空降多少明星人才，也只能被文化同化，并在厌倦了企业的氛围后选择离开。

王栋想修改天和的激励制度，但提到韦立凡那里就立即被否定了。王栋开始明白，韦总尽管急于出成绩，但也怕改出问题。换句话说，原来“刚性”的制度他不愿动，还是希望用一些“柔性措施”来引导文化变革。想到韦立凡要求半年内就把火烧起来，王栋心想，只有“运动式”地推动了。

什么“运动”能够增强员工的交流并引导员工积极创新呢？王栋想起以前读到的一份研究报告，介绍员工的满意绝大部分来自企业对于自己的认同感，周围人的认可有极大的激励作用。也许，相对调动员工进行交流和创新，用一种形式来显化员工对于彼此的认同才是最重要的，甚至，只要员工之间能够接收到来自彼此的认同，交流自然就会被鼓励，只要有了交流，具有创新能力的人自然会通过创新行为来吸引认同，创新自然也会形成氛围。

巧的是，一家咨询机构不久之后就找到了王栋，向他推销自己的“员工自激励系统”产品。简言之，这个产品是建立一个线上计分系统，员工可以为自己在工作中接受到的协助向他人赠送分数，并且同时为其留言表示感谢，员工累积的分数则可以兑换成一些小纪念品，如U盘、钥匙扣、笔记本等。

王栋眼前一亮，这种小游戏不是最能推动社交且最无风险的形式吗？于是，双方一拍即合，“员工自激励系统”很快就在天和上线了。对于文化转型翘首以盼的王栋和将信将疑的韦立凡很快就等到了失望，原来，这个小游戏压根就没有引起员工的兴趣，而在人力资源部强行命令员工每月必须送出多少分数后，员工更将其看作是自己工作的负担。两个月下来，“员工自激励系统”不仅没有让组织氛围转变，反而惹得天怒人怨，只能被叫停了。

虚拟货币池——企业凯恩斯主义的成功

初战受挫的王栋开始四处求医，但大多专家都质疑其要求快速文化转型和不能修改原有激励制度的要求，而其引入的“员工自激励系统”更被认为是走了歪路。

几番问诊后，王栋找到我咨询这一难题。听完他的陈述，我并没有简单否定其“员工自激励系统”，相反，我肯定用员工相互激励的模式能够有效消除激励的死角，也确实具有显化人际环境对于员工认同的作用。但是，我也同时指出天和的模式存在两点问题：“其一，没有对员工的行为进行引导，以为搭建在线平台后，员工之间自然会导向良性的互动和创新，事实上，员工的行为依然具有惯性，而没有协作和创新。自然不会有线上平台的互动。其二，没有为组织期待的员工行为进行支付，忽略了员工的物质诉求，使员工缺乏行动的动机。”

我接着说：“在天和这个经济系统中，如果员工都不愿意按照企业的导向进行‘特定行为’，就好比生产供给减少，这只能说明其他员工作为买方并不期待这些‘特定行为’，也就是企业对于这些‘特定行为’的总需求不足。此时，我们就需要为企业内部引入‘凯恩斯主义’，积极地制造需求，主动地干预这个经济系统，而这其中的关键就是对于‘虚拟货币池’的控制。”王栋很快认同了这一理念，邀请我为天和搭建“虚拟货币池”，推行企业的“凯恩斯主义”。于是，我带领团队进行了如下辅导。

nlc202309040536

第一步，发行货币。我们盘点了计划花费的激励成本，利用原有的“员工自激励系统”在企业内发行了虚拟货币，这些虚拟货币被分为三个部分：一部分由人力资源部作为“中央政府”直接管理；一部分由各二级部门作为“地方政府”直接管理；另一部分则平均分发到每个员工手中。

第二步，增加支出。我们设计了两个层面的主题活动来引导“消费”。导向员工的“特定行为”。

在企业层面，我们根据文化的导向，设计了人才超市（鼓励人才推送）、家园计划（强调员工之间和组织对于员工的关爱）、创新论坛（强调创新活动）等若干个主题活动，主动制造了对于“特定行为”的需求。员工参与这些活动可以获得三重支付：一是参加活动本身可以获得来自企业的基础支付；二是由于活动有的具有一定的竞技性，胜者可以获得企业设置的虚拟货币悬赏；三是员工在参与活动发生人际联系时，可以为接收到来自他人的帮助和对于他人的赞赏支付虚拟货币。

在部门层面，我们鼓励部门可以通过悬赏的方式，为自己的职能活动跨部门调用人才，有效打破部门墙。例如，人力资源部想要召开一次创新论坛，就可以在全公司范围内悬赏征集主持人，员工一旦被选中，在完成任务之后自然就获得悬赏。不光如此，为了鼓励员工之间的跨部门协作，其获得虚拟货币奖励的30%将自动归入本部门账户。这样的规则使得员工在传统意义上的“不安分行为”获得了来自本部门的支持，也增强了其本身的团队荣誉感。

由于设置了员工手中的虚拟货币不能直接消费的规则，另外，活动以外的支付也是不允许的，而活动的发起方只能是公司或二级部门，虚拟货币实际上成为了参与特定主题活动的“游戏点数”，被用于导向员工的“特定行为”。所以，二级部门职能主动发起活动，员工只能主动参与活动，主动寻找支付对象，主动与他人发生联系，否则，一定的周期内虚拟货币就会清零。

第三步，实化激励。为了让员工获得的虚拟货币与物质回报相联系。我和团队为天和全面盘点了激励资源。为了避免对于原有薪酬激励体系形成的破坏（避免员工因参与主题活动获得比工作表现更多的激励。而模糊了激励导向），我们把激励资源限定在了福利模块，形成了一个内容丰富的“福利池”，带薪休假、旅游券、餐券、学历深造、短期培训、购物卡等物质奖励都被纳入并标上价格。员工可凭借虚拟货币每月进行一次消费，由于这些奖励都是实实在在的物质利益，原来只能换点纪念品的虚拟货币具有了强大的购买力。

事实上，为了丰富这一福利体系，我们以两大线索为依据进行了大量的调研。一是企业文化，确保福利的发放都能彰显天和的价值诉求；二是员工的需求，确保福利对于员工有足够吸引力。在此基础上，我们进行了许多颇有心思的设计。例如，我们发现天和有许多外地员工，家人常常有过来探亲的需求，于是，我们就设计了“家人团聚套餐”，包括了机票、酒店食宿、带薪休假、景点游玩等内容。又如，我们在情人节前夕推出了“情侣浪漫套餐”，包括了酒店食宿、电影票、音乐剧等内容。这种巧妙的设计能够促进员工用虚拟货币进行消费，更多的消费则带来员工对于企业更强的归属感和满意度。

上述设计落地后3个月，王栋意外地发现天和的氛围开始改变：原来，类似的主题活动被员工视为负担，能躲则躲，而现在，员工却开始主动参与；原来，部门之间的协作被推来挡去，甚至被视为—大禁区。而现在，员工却可以名正言顺地走出部门。在大家积极的互动中，企业的创新也频频发生，一句话，原本老成持重的天和好像变得年轻了！看着王栋玩出的“花活”，韦立凡从将信将疑到拍案叫绝，毫不吝啬地表扬了人力资源部……

有主题的两朵云

传统意义上，福利是一种普惠制的给予，并没有太强的激励功能。但事实上，现代人力资源管理早就赋予了福利体系新的定义。对于绩效考核系统覆盖之外的其他行为的激励，也许通过福利体系是最安全、有效的方式。

天和集团的模式是一种典型的云式薪酬，即由两类“云计算法则”连接“两朵云”组成的系统。一朵云是无边界合作的“人力资源云”，另一朵云则是内容丰富的“薪酬云（福利云/福利池）”；一类云计算法是员工的特定行为被组织肯定，变成虚拟货币；另一类云计算法则是员工持有的虚拟货币可以在薪酬云上自由选择支付形式。

但天和集团的模式又不同于典型的云式薪酬，其特色体现在对于两朵云的主题设计上。对于“人力资源云”的运作，天和奖励参加公司和部门发起的主题活动的行为本身，以及在主题活动中的协作与创新行为，而第一条云计算法则也相应对这些特定行为支付虚拟货币。对于“福利云”的设计，天和以符合企业文化和满足员工实际需求为原则，而第二条云计算法则也相应只能选择一定范围内的福利种类。事实上，这种模式是一个不断强化员工特定行为的循环系统，用来实现“文化转型”是再合适不过了！

进一步看，企业对于传统云式薪酬的干预是较少的，制定简单的规则后就放任员工在企业内的市场上优胜劣汰。而对于“虚拟货币池”这一新型的云式薪酬，企业则需要不断地将价值观注入规则，主题活动设计得是否巧妙，福利池设计得是否合理，对于这类云式薪酬能否成功具有至关重要的作用。

此外需要注意的是，每年发行多少虚拟货币，推出多大的福利池也是需要精确计算的，因为，虚拟货币和福利池代表了企业对于员工“特定行为”的购买，如果货币发行过多，造成组织内超过限度的通货膨胀，虚拟货币就会失去购买力，换句话说，员工对于激励就会失去感觉。从这个意义上说，虚拟货币池的玩法并不是一个传统意义上的模糊管理模式，而是一个精密的量化管理模式。

资源池虚拟化技术的应用研究 篇3

“十一五”以来,随着SG186的开展,国家电网公司信息化建设快速发展,但信息化建设是个不断优化提升的过程。为深入推进“两个转变”, 国家电网公司在SG186建设成果的基础上,进一步开展了SG-ERP工程,提出了建设坚强智能电网和“三集五大”体系的重大举措。构建SG-ERP总体架构,需要集约化的基础设施服务,也需要信息通信平台服务能力显著提升。信息系统硬件资源池建设项目的开展就是SG-ERP集约化基础设施服务要求的落地实现,旨在更好地增强对信息基础设备的统一管理、按需分配和动态调度。

随着公司信息系统的持续增长,公司各种硬件资源和配套设施也快速持续增加。截至2012年初, 公司信息设备总量达到62 000多台,大部分省市的机房占用率高达90% 以上。但是这些设备的资源利用率并不高。同时,在设备维护管理和成本能耗方面还存在以下亟需解决的难点:

1)大部分设备的资源(包括CPU、内存、服务器等)实际使用率很低,剩余的可用资源通常未被充分利用,而只是空置在那里;

2)随着服务器资源规模的快速增加,运维部门的设备管理工作越来越繁琐和复杂,服务器自身硬件故障对系统和应用的影响较大,其自动化管理和冗余水平有待进一步提升;

3)随着服务器资源规模的日益增长,机房不断扩建,配套基础设备的建设成本和运行能耗不断提高;

4)缺乏对公司信息资源总体利用情况进行精细化管理和集中监控的技术手段,不能充分了解哪些资源是真正短缺的,哪些资源的使用率不高,因此不能做出及时、准确的资源新增需求决策,信息资源的管控能力和管控力度亟待全面增强。

为解决上述问题,公司信息通信部先后统一组织开展了软硬件资源整合及目标架构设计、服务器虚拟化整合、云计算技术研究与应用等相关工作:

1)完成了目标架构和管控架构的设计,制定了基础设施命名规范和业务系统典型部署方式;完成了各种应用的全面整合管理和总部集中部署;完成了安全生产各业务数据库和目录优化整合方案设计和验证工作;完成了存储局域网络(Storage Area Network,SAN)存储的全面整合设计及执行;

2)总部和省(市)公司采用x86服务器主机虚拟化等资源复用技术,提高了CPU、内存等资源的实际使用效率,减少了物理服务器及其配套设施的总数;

3)成立了专门的云计算技术研究工作组,制定了国家电网公司云计算研究总体框架,提出了云计算研究和建设的总体目标、总体技术路线和研究课题体系,并组织开展了大量的云计算相关技术研究及相关试点建设工作。

为进一步提升公司信息资源的集约化建设管理水平,国家电网公司创新引入了云计算、虚拟化等先进信息技术,积极应用公司自主知识产权的云计算相关科研成果,开展了硬件资源池项目规划设计与后续建设工作。本文结合电网公司硬件资源的现状, 总结现有虚拟化技术的优缺点,分析组建资源池相关的网络基础架构、步骤和思路,以提升公司软硬件资源虚拟化入池的水平。

1资源池虚拟化简介

1.1资源池系统虚拟化

虚拟化技术的应用广泛,如网络的虚拟化应用、 内存的虚拟化技术、传统桌面虚拟化、各种应用的虚拟化以及虚拟内存等。使用虚拟化技术把CPU、内存、应用等软硬件计算机资源抽象化,从而降低其管理复杂度。

目前,国网浙江省电力公司在资源池建设方面主要是使用旧有的x86型服务器。对于省市公司现有的x86服务器,x86服务器配置应满足资源池准入规范要求。如果x86服务器内存、网卡及主机总线适配器卡(Host Bus Adapter,HBA)未满足要求, 通过扩展相关部件达到准入规范要求的服务器可以纳入虚拟池。应用系统迁移入池后,腾退的x86服务器在满足资源池准入规范要求的情况下,纳入x86虚拟池。将新购x86服务器新业务应用系统统一部署到资源池中,为新业务应用系统配置的x86服务器在满足资源池准入规范要求的情况下可纳入x86虚拟池。由于目前国网浙江省电力公司在资源池建设方面主要是使用旧有的x86型服务器,本文将着重关注系统层级的虚拟化。

虚拟化主 要是通过 管理器管 理虚拟机,达到资源利用的最大化。资源管理器(Virtual Machine Monitor,VMM)是管理虚 拟机的工 具。 虚拟机 (Virtual Machine,VM)是各种操作系统虚拟化的结果。

目前,VMM主要有以下2种:一种是Hypervisor VMM,直接运行在真实的硬件上,服务器类型的应用大多使用这种方式,被称为“Type 1”,这种方式在I/O上有很多改进,其运行速度能和物理机相媲美; 另一种是Hosted(托管)VMM,运行在操作系统上, 通常用于桌面应用,被称为“Type 2”。Hosted VMM的性能比Hypervisor VMM差,要通过宿主操作系统来调用硬件,但其使用和安装都很便捷且拥有包括支持三维特效加速在内的各种功能。

1.2系统虚拟化技术分类

按照虚拟机实现技术的不同可以将系统虚拟化分为5类:操作系统级虚拟化(Operating System Level Virtualization)、硬件仿真(Emulation)、硬件辅助虚拟化(Hardware Assisted Virtualization)、全虚拟化(Full Virtulization)、半虚拟化(Parairtulization)。

操作系统级虚拟化是在物理硬件上搭建操作系统,再对此操作系统进行简单的资源分配,隔离出虚拟机。其主要被用于虚拟专用服务器(Virtual Private Server,VPS)。 运用这种 技术的主 要有Parallels Virtuozzo Containers、Unix-like系统上的Chroot和Solaris上的Zone等。 这种技术 是在现有操作系统上直接修改,所以这种技术以其低廉的成本和可观的性能得到了应用和推广。但这种技术基于自身的设计原理,在物理资源的隔离上不能充分发挥作用,且对客户操作系统(Guest OS)的版本和型号都有严格的限制,所以在未来发展上并不明朗,除非其在设计上有很大的突破,并在与新技术的结合方面应用更广,否则只能用于特定的场景,如VPS。操作系统级虚拟化架构如图1所示。

硬件仿真类所用技术采用Hosted模式。Hosted模式是在现有物理硬件上虚拟出一个个物理硬件,整个过程由模拟硬件的程序(Hardware VM)实现。 之后,在这些虚拟出来的硬件上安装部署虚拟机即可。这样虚拟机内部的Guest OS就隔离开了。常用的Bochs、QEMU(虚拟操作 系统模拟 器)就是这个原理。通过采用硬件仿真虚拟化技术,Guest OS无需特别修改,十分适合操作系统开发人员的使用,方便硬件和操作系统的协作开发。硬件开发工程师 可以使用 目标硬件——虚拟制造(Virtual Manufacturing,VM)在仿真环境中对自己的实际代码进行验证,这大大缩短了开发工程师的等候时间。 但这种技术也有不足,其运算速度非常慢,某种情况下运行耗时可能是直接在物理机上运行耗时的数10倍。硬件仿真架构如图2所示。

全虚拟化技术的原理是在物理硬件设备和客户操作系统之间截获并处理那些对虚拟化敏感的特权指令,如操作CPU、内存寻址、硬盘调用等,这样使客户操作系统无需其他修改就能稳定运行,运算速度和响应时间则根据实现方式不同而不同。但全虚拟化技术的用户体验区别不大,基本能满足用户的需求。这种实现方式是现在业界最常见也最成熟的方式。 常用的产 品有IBM CP/CMS、Virtual Box、 KVM、VMware Workstation和VMware v Sphere。 这种实现方式使用简单,对Guest OS不需更改,运行速度和功能上都优于操作系统级虚拟化和硬件仿真类。需要指出的是,基于全虚拟化技术Hosted模式的产品在I/O处理方面不是特别优异。在以后的发展中,全虚拟化应该是主流发展方向,可以将全虚拟化和其他辅助虚拟化技术相结合,以提高硬件性能。全虚拟化架构如图3所示。

和完全虚 拟化类似,半虚拟化 技术也是 利用Hypervisor对硬件进行分配和监管。不同的地方在于,半虚拟化技术中的Guest OS需要修改,以集成虚拟化相关代码,因此用户实现上比较复杂。但是半虚拟化不需再新编译特权级别的指令,所以性能方面很出色。Xen、Hyper-V就是基于这个原理开发的,其发展方向和目前的情况比较接近,在云计算平台上应用得较多。半虚拟化架构如图4所示。

硬件辅助虚拟化主要是Intel等硬件生产厂商将一些虚拟化技术中用到的软件技术硬件化。硬件辅助虚拟化一般不会单独使用,而是用于全虚拟化和半虚拟化产品的性能优化,如VMware、KVM、Xen和Virtual Box等产品。各个虚拟化产品通过引入硬件厂商的硬件辅助虚拟化技术,使虚拟化技术的速度几乎和物理机的速度一样。用户可以忽略虚拟化消耗的资源。但各个硬件厂商的技术往往不能兼容, 这就需要虚拟化产品在硬件兼容性方面表现得更好,以便实现无缝转换。这种实现方式也是未来的趋势所在。

2网络基础架构

2.1设计标准

为确保管理流量和业务流量的互补影响,保证高可用性和充足的带宽,设计资源池的网络时,将其分为管理网络和业务网络。通过使用虚拟网络技术,用虚拟局 域网(Virtual Local Area Network, VLAN)来划分管理网和业务网,使其实现逻辑上的隔离。

为了实现虚拟机自动化应用部署等管理功能, 需要在原有虚拟化平台(如v Center)的监控管理基础上,增加对虚拟机操作系统的管理。同时,在安全等级保护管理要求中,业务操作区域与管理操作区域应划分逻辑隔离区,因此在虚拟机内应设置使用2块虚拟网卡分别访问管理网与业务网。在管理网中,需要对一些特殊端口做最小访问连接限制。若混合在业务网中,实施最小访问连接限制会导致业务应用无法运行,开放连接又会降低管理网的安全性,影响业务网络的安全性,因此要求管理网与业务网的虚拟网卡分离管理。

资源池网络域设计要求考虑网络的连通性、隔离性、性能和可用性等要求见表1所列。

2.2网络结构

结合现有网络结构以及资源池总体架构,从硬件资源利用最大化、管理运维、虚拟化系统部署这3个方面考虑,在资源池的网络设计过程中,把网络按照业务网和管理网分离,并做好高可用性,留有足够的带宽,使2个网络相互隔离。这样业务网络负载的应用带宽不会因为管理流量占用带宽,管理网页可独立运行。网络结构如图5所示。

管理网是专门用于云资源管理系统(资源管理层)和主机虚拟化及控制调度系统(资源控制层的) 中,对资源池中的虚拟机和物理机进行通信监控且实现虚拟机迁移的专用网络。

业务网是给虚拟机和物理机中运行的各个应用系统提供可靠的专用网络。

2.3规划内容

为实现业务网、管理网的相互隔离,本文采用VLAN技术将其划分开来,资源池网络设计用途见表2所列。为解决网络连接的单点故障问题,每个网络使用2块网卡连接到2个各不相同的交换机上, 以提高系统可靠性。

3应用入虚拟池资源的合理分配

3.1入池原则

应用入池需要遵循以下设计原则:

1)如果计算节点采用虚拟机,虚拟机大小不能超过8Core/32G,对单个虚拟机配置要求超出此标准的,采用集群模式以降低对单个节点的配置要求;如果不能采用集群模式,则只能进物理机池;

2)业务数据(包括结构化和非结构化数据)都应放在共享的外置存储上,服务器的本地硬盘只存放平台软件的安装程序、业务代码和临时文件;

3)高性能图形计算、有特殊的加密硬件设备、 高磁盘I/O性能的应用系统及Oracle数据库不迁入x86虚拟化环境。

3.2设计思路

由于每个业务应用都具有自己的特点,针对业务应用的入池设计很难有通用的规则,因此本方案仅对典型业务应用的入池方案进行设计,其他业务应用在做入池设计时可选取架构、负载特点类似的典型应用的入池方案进行复用。

针对某个特定业务应用设计入池方案时,应按照图6所示的步骤开展。

业务应用入池设计思路如下:

1)对业务应用的业务功能、部署模式、系统架构、系统负载、服务器配置进行分析;

2)识别该业务应用涉及到的平台软件;

3)设计资源池蓝图,针对业务应用的整体部署模式、业务级别、安全级别等特点,选择业务应用在资源池中的放置区域;

4)进行平台软件入池规则设计时,针对业务应用所涉及的平台软件及其负载需求,一一识别每个平台软件放置的区域;

5)进行准入规范的特例说明,对该应用整体入池规则做修正;

6)采用《国家电网公司软硬件资源池总体设计》 中的应用容量估算方法,设计每个计算节点(x86虚拟机、x86物理机或小型机)的具体配置情况;

7)结合业务应用的虚拟机规格和业务数据量及其增长趋势需求,设计其存储部署模式(核心存储还是二级存储)及空间容量;

8)根据业务应用各平台软件之间的通信需求及安全防护需求,对该业务应用的VLAN策略、IP、端口、负载均衡策略、防火墙策略等部署规则进行细化设计,提出具体要求,以便工程实施时实现;

9)根据业务应用的负载特点及服务水平要求选择可靠性高、负载均衡的策略;

10)根据业务应用的重要程度不同使用相应的备份策略。

3.3应用容量的估算

应用迁移至资源池中时,其计算节点的容量估算有以下方式:

1)对于新建的应用直接部署至资源池的情况, 由应用开发厂商提供容量计算依据;

2)对于已经运行的应用迁移至资源池的情况, 使用以下原则:对于直接纳管x86服务器及小型机, 入池后CPU、内存、硬盘等配置不发生变化;对于原来在x86物理环境,入池后迁移至x86虚拟化环境的部分,则

式(1)中虚拟机CPU数取整后的结果为奇数时加1,即使虚拟机CPU数为偶数。

4结语

本文提出采用资源池虚拟化应用技术将存储资源、网络资源、服务器资源进行整合,构建了一个组织完善、可动态分配和管理各项资源的资源池,实现了对所有资源的集中化、统一化、智能化调度和管理。该技术提高了数据中心硬件资源的利用率和服务器的资源管理水平,也解决了由于计算资源分散造成的机柜空间资源不足的问题,同时降低了能耗。