教育云数据中心建设的思考

韩润平

数据中心是一整套复杂的设施，它不仅仅包括计算机、系统和其他与之配套的设备(如通信和存储系统)，还包含冗余的数据通信连接、环境控制设备、监控设备以及各种安全装置。传统的应用程序运行模式是“一个应用对应一台服务器”模式，各个应用有专用服务器资源，它们之间的资源无法共享，且利用率低下。

云计算通过虚拟化技术实现服务器、存储、网络等IT设备的共享。标准化的硬件设施透过不同维度、不同层级的虚拟化技术在IaaS框架的管理控制之下实现运维管理、业务连续、安全管理以及备份容灾支持等架构服务，从而形成云基础架构层，为上层应用提供可靠的支撑。在此基础架构之上，将已初具规模的教育基础信息数据库整合演进为教育部门统一数据平台，进一步开发和完善教育管理系统、E-learning、教育互动社区等应用服务，形成教育云应用服务层。IT基础架构、应用等在云服务管理控制之下，以云的形式向学生、教师及社会提供服务。

结构建设

虚拟化平台是虚拟化数据中心的核心运行平台，是进行虚拟化数据中心建设的基础和核心组件。虚拟化服务器技术采用稳定可靠、性能消耗极低的虚拟化操作系统，充分保障虚拟化操作系统层的稳定可靠和高效运行；同时确保各个虚拟机之间独立运行，互不影响；虚拟化技术应当能够支持更多的操作系统要求，确保现在已有应用需求的X86平台上能够稳定运行。

容灾设计

服务器通过在每台物理服务器上都安装配置虚拟架构软件，可使每个单台物理服务器配置多个虚拟机。因此，可将目前可进行虚拟化的服务器均纳入虚拟架构中，形成众多虚拟机，通过高级资源管理、高可用性和安全功能提高了服务级别。

网络利用网络虚拟化技术，将多台网络设备虚拟化整合。虚拟化整合后的网络系统，对外表现为单台物理设备，在保持基本网络互联条件下，可将一对网络系统之间的多条线缆进行链路捆绑聚合动作，从而将不同网络层之间的网状互联简化成单条逻辑链路。采用虚拟化技术的网络具有可靠性、分布性、易管理性等特点。

存储为满足可靠性的要求，虚拟化存储集群采用真正的“Active-Active”的高可靠架构，提供可被数据中心主机并发访问的共享双活卷，连接到其任何虚拟化引擎上的主机都可以访问同一个虚拟卷，并像访问单套存储一样对虚拟卷进行读写。两套存储可同时对同一个业务系统提供读写服务，并自动实现业务在站点间的负载均衡，为用户提供更加灵活的数据访问方式。存储双活方案提供了全自动的故障处理机制，提高了系统的可维护性。

安全防护

边界防护我们应在数据中心前端尽可能采取一些其他的安全措施，如防火墙、上网行为管理、IPS系统部署等，对出入数据中心的数据进行访问控制和深层的安全分析、检测，从而在安全威胁到达数据中心之前进行有效的拦截和警告。

1.访问控制、应用隔离

数据中心因其重要地位，必须与其他网络区域进行隔离，对于进出数据中心的数据流进行严格的访问控制。防火墙是最成熟、最经济、最有效的安全措施之一。对于数据中心来说，可在与其他网络区域连接边界部署防火墙，进行访问控制，拦截网络攻击行为。

2.入侵防御

数据中心的安全不可能完全依靠防火墙来实现，还需要有入侵检测和防御(IPS)的功能，IPS可根据已有的、最新的攻击行为代码对进出网络的所有访问行为进行实时监控、记录，从而防止针对数据中心的攻击行为。

3.堡垒机

堡垒机技术主要帮助内网信息系统管理者，实现单点登录、账号管理、身份认证、资源授权、访问控制、操作审计六大方面智能化支撑和高安全性防护，这六方面的功能也是国际通行的堡垒机“标配”功能。

内部防护服务器内部防护是通过对服务器进行全方位体检，检测各种可能出现的服务器安全漏洞，并提供相应的修复功能，有效地提高服务器安全性与稳定性。主要包括杀毒、系统漏洞修复、系统账号优化、目录权限优化、数据库优化、系统服务优化、注册表优化等方面。如发现问题，可根据提示立即修复系统，以提高服务器性能。功能涵盖了服务器系统优化（包括服务器漏洞补丁修复等）、服务器程序守护、远程桌面监控、文件目录守护、系统账号监控、DDOS防火墙、ARP防火墙、Web防火墙、安全策略设置以及邮件实时告警等多方面模块，为用户的服务器在运营过程中提供完善的保护，使其免受恶意的攻击和破坏。

运行监察

系统运维管理数据中心是一个复杂的信息处理系统，包括系统、网络、存储、协议、需求、开发、测试、安全、空调、供电、监控等多个环节。一套有效的运维管理系统可以节省很多的人力和物力，而且维护起来更加方便直观。

环境监察数据中心机房要求有良好的机房环境作为基础条件，才可能高效地发挥数据中心的运行效率。在实际应用中，数据中心的环境监控系统的软件平台需要具有完备的Web化的远程管理功能。数据中心的管理员可以在网络连接的任意位置，通过浏览器浏览所有数据中心环境设备的实时信息，当发生设备故障、停电、水灾、火灾、失窃等紧急事件时，维护人员可在第一时间获悉情况，并迅速处理。

展 望

传统数据中心架构复杂且缺乏灵活性，业务与基础设施紧耦合，应用系统受制于软硬件之间的依赖关系，同时传统数据中心运维管理复杂，资源利用率低，维护成本高。软件定义数据中心（Softwares Defined Data Center，SDDC）概念的提出，是云计算、软件定义、DevOps、基础设施快速灵活部署等一系列技术与需求在数据中心的具体实现。通过SDDC实现了以用户为中心、以服务为导向，基于高效、绿色、软件定义的IT与网络基础架构，自动化按需提供各类云服务。