电信运营商属地化行业云资源池优化设计与建设方案探讨

李悦天（中通服咨询设计研究院有限公司，江苏南京 210019）

0 前言

行业云资源池是运营商运用云计算技术，统筹利用已有的IT 基础设施、应用支撑等资源和条件为政企集群行业客户提供云基础功能应用、运行保障和信息安全等定制化服务。在目前的云计算应用阶段，客户虽然接受了云服务的模式，但高端行业客户往往要求自己的业务系统及数据能够建设在离自己较近的位置，尤其是政企类的客户，不愿将本地区的业务资源部署在管辖范围以外的其他地方。因而属地化行业云业务（政务云、医疗云、教育云等）的发展需求便更加突显，推进地（市）级云节点资源池落地，使云服务能够更加贴近客户、降低网络延迟是电信运营商资源池建设考虑的重点。另外资源的本地化带来了支撑的本地化，在建设安装、运营维护等方面为用户提供更加方便快捷的响应。

1 云资源池网络优化设计

1.1 行业云业务需求

云计算是在海量数据存储和大规模并行计算需求快速增长的背景下出现的基于互联网的新型IT 服务架构，是将集群计算能力通过互联网向公众提供服务的新业务形式，其发展将颠覆传统IT 商业模式，产业链结构将发生重大变化。“互联网+”作为信息行业发展的新形态和新业态已成为国家未来发展制高点的战略选择，新基建时代“互联网+大数据”模式下的云资源池建设将成为各行各业都能调用的基础设施。电信运营商在原有以专线、机架出租和主机托管为主的传统业务模式的基础上，应加快向新一代信息基础设施ICT集成云服务模式转变。

1.2 运营商属地化云业务构建

尽管以阿里云为代表的公众云行业格局已经形成，但运营商数据中心分布广泛，网络、运维等基础能力较强，基于传统业务及IDC等形成的渠道资源丰富，易满足属地化与电信级安全需求，有助于快速进入云业务行业市场。目前电信运营商定制化云业务主要有2种业务模式，一种是纯私有云模式，由电信运营商为客户在其机房建设专属私有云资源池，客户向电信运营商支付月租费用。该模式业务收入较高，但商机转化周期较长且转化率偏低。另一种是依托公有云资源池，增加专线接入、网络安全、数据库等服务提供的定制化服务，这种模式年收入较低，行业竞争性较小，商机转化率较高。

目前已有的私有云案例技术方案、设备选型各不相同，很难进行统一的管理维护，客观上增加了运维成本。此外，部分地（市）电信运营商在定制客户云项目时因本地无云资源池，异地专线接入成本高且无法满足建设需求等因素导致业务丢失；面对新的行业云业务服务需求，电信运营商却又无本地化的数据资源网络用于支撑，因而落地属地化行业云资源池工程显得非常必要。如图1所示，按照功能区域划分，运营商属地云资源池在构建时可分为计算资源区、存储资源区、网络资源区、备份资源区、安全出口防护区和用户互联网区。

图1 属地化云资源池网络架构示意图

2 属地化行业云资源池建设方案

在充分考虑了本地行业云平台现状后，本文立足电信运营商实际网络优化设计需求，从资源池建设规划与业务拓展角度对云平台建设指标参数进行重点分析，如硬件资源使用情况（CPU/内存的峰值利用率及平均利用率、FC/NAs 存储置备率及存储使用率、分布式存储可用容量等）、虚拟机建设情况（云主机及客户数量、虚拟CPU 分配数、ESI 物理机数、SAN/TDS 存储总容量物理机及存储使用情况等）。分析了行业云计算、存储和网络资源池建设需求，并对云资源池日常运维管理、数据备份等网络与安全平台方面的系统构建进行了阐述。

以A 地（市）运营商行业云虚拟机的情况为例，对属地化云资源池建设给出方案分析。该地（市）运营商现有27 个云主机客户，121 个云主机，14 台ESI物理机，SAN存储总容量32.9 T且已分配占用93.1%，72.76 T的TDS 存储总容量也已分配占用42.8%。该云平台硬件资源中共计21 个ESI，448 个CPU 核，1 148 个虚拟CPU，且虚拟机的超配比按照1∶2.56 进行，3 581 G 的物理内存，内存分配数达2 564 G，分配比为1.39∶1。从硬件资源使用情况来看，该运营商云平台CPU 峰值利用率、内存峰值利用率分别达到了55%、89%，其对应的平均利用率也达到了17.71%和73.79%，分布式存储容量分配利用率达到96.87%。根据上述云平台使用的重要数据参数对CPU、内存利用率、存储容量及其置备情况分析，可更加直观地得到计算资源池利用情况与存储资源池使用情况，对云资源池优化扩容建设给出指导。

2.1 计算资源池建设

物理资源池由基于标准x86 服务器架构组成全冗余式集群，软件定义的虚拟化分布式资源池包含了计算虚拟化能力，在云平台的实际运行过程中，CPU、内存、存储租户的并发使用量都难以达到实际的置备量，故可对其进行适当的超分以实现资源的充分利用。然而通常情况下CPU 的复用率较高，建议最高置备率不超过600%；而内存和存储在超分时要谨慎，因为一旦给租户分配的资源没有实际资源响应，可能造成如宕机等灾难性后果，故其超分率不建议超过200%，同时监控实时的使用率，达到70%利用率后就不应增开新虚拟机，同时考虑后续扩容事宜。

在A 地（市）运营商云资源池建设中，单台标准云主机将按照4VCPU/8G 内存进行设置；虚拟机CPU 与物理服务器CPU 比例关系也按照5VCPU 对应1 个物理核进行了设置，物理机与虚拟机的比为1∶50，虚拟机内存与物理服务器内存按照1∶1 比例进行设置，虚拟机需求规模为300 台，物理核（Core）数量达到240个，内存近2 400 G，标准虚拟机内存可为8 G。

2.2 存储资源池建设

为了满足用户的多样性需求，部署一组分布式存储集群用于为用户提供对象或文件存储，集群由若干台分布式存储服务器（传统通用2U 机架式服务器）构成，每台服务器配置一定数量的SAS 硬盘用于安装Linux 操作系统，配置SSD 硬盘用于数据读写加速，配置SATA 硬盘用于存储数据，每台数据硬盘容量完全可用。如图2 所示，由于分布式存储底层由服务器搭建，单台服务器稳定性低于传统存储，所以分布式存储为了保障系统数据安全性，数据保护方面采用不同于块存储的RAID 整体冗余保护机制，即将整体的存储资源分为3 份，2 份用户存储数据，1 份用于存储校验值。

图2 分布式存储架构示意图

A 地（市）运营商云资源池建设方案中共配置12台分布式存储服务器，每台服务器配置2 块600 GB 10K 转速的SAS 硬盘用于安装Linux 操作系统，配置2块960 GB SSD 硬盘用于数据读写加速，配置10 块8 TB 7.2K 转速SATA 硬盘用于存储数据。数据硬盘不做RAID 容量就完全可用，单台服务器裸容量为80 TB，12 台服务器总容量为960 TB，由于分布式存储底层由服务器搭建，所以分布式存储为了保障系统数据安全性，都采用副本存储方式，即在分布式存储体系内1 份数据会保留1 份主数据和2 个副本数据。除去硬盘自身开销10%，实际可用容量为288 TB（12/3×80 TB×0.9）。

此外，该A 地（市）运营商云资源池还部署了一组分布式存储集群用于为用户提供对象或文件存储。集群由3 台存储服务器构成，服务器配置同上述分布式存储服务器，而在数据保护方面采用不同于块存储的方式，即纠删码，这是一种类似于RAID 的整体冗余保护机制。采用2∶1 的数据保护，即将整体的存储资源分为3 份，2 份用于存储数据，1 份用于存储校验值。除去硬盘自身开销10%，实际可用容量为144 TB（3×80 TB×0.9/3×2）。

2.3 网络资源池建设

网络资源池主要包括路由器、防火墙、核心交换机、接入交换机、管理交换机等设备，以满足云业务的组网需求。网络资源池建设前期需要充分考虑可扩展性，便于未来资源池平台的构建和云服务业务的开展。地（市）级电信运营商一般利用现有的核心交换机作为整个云平台的数据中枢，但是由于核心交换机的万兆端口数量有限，且核心交换机成本较高、无法进行无限制扩容等问题，建议采用接入交换机水平扩展的方式而不是采用扩容核心交换机板卡的方式扩容云平台。以A 地（市）运营商资源池网络建设为例，如图3所示，利用原有核心交换机，作为整个云平台的数据中枢，采用接入交换机水平扩展的方式扩容云平台。

图3 电信运营商行业云资源池建设网络拓扑图

表1 列举了A 地（市）运营商云平台扩建购置的几种网络设备，由于运营商原有的接入交换机大多为千兆交换机，且其端口容量与可用数量不足，已不能满足当前业务发展需要，因而引入2 台万兆业务接入交换机用于改善计算虚拟化节点及管理网接入业务能力；存储业务交换机在进行iSCSI 网络组建过程中采用分离建设以便于隔离故障域，提升系统冗余性，避免灾难性故障发生；存储重构交换机用于分布式存储重构网络的组建，建议选用48 端口交换机，以保留较高的可扩展性；带内管理交换机的引入是为后期其他需要带内管理的系统接入而配置的网络组件；带外管理交换机多为服务器接入端口，用于承载云资源池等带外网络设备扩容的需要。

表1 云平台扩建网络设备清单

2.4 云管理平台规划

云桌面的需求资源可以通过行业云扩容提供，在行业云上部署云管理平台软件，提供云平台自服务和运营运维管理能力。云管理平台一方面通过Web 界面为客户提供灵活的服务目录和流程管理，满足多种云业务场景；另一方面通过增强的自动智能组件，简化云数据中心运维管理，同时可以支持纳管用户本地数据中心的私有云及各类物理设备，实现资源的统一管理。

2.4.1 管理控制台分权分域

管理控制系统可将权限按照运营商管理员、租户管理员和普通用户等3 类进行分配，实现资源池分层分级运维管理。

a）开放常规操作自助权限，提高运维效率、降低工作压力、分担操作风险。

b）资源逻辑分域，不同租户、项目之间可操作对象隔离。

c）资源申请可线上审批，保障云资源开通/注销的合理、合规和安全。

2.4.2 自服务门户

各行业云用户可通过Web 界面管理自己的云环境，主要功能如下。

a）进行虚拟机资源的自助式申请，租户管理员进行资源申请审核。

b）快速处理虚拟机的重启等日常操作。

c）各项目内虚拟机的使用情况，包括CPU、内存等监控查看。

d）系统报表生成，如周报、月报等。

2.4.3 运营维护管理

通过云管理平台的租户功能，实现对各单位云资源的统一的纳管与展现，可通过Web 界面直观地看到各用户资源的使用情况及租赁云服务产生的相应计费情况，试用虚拟机和待收费用提示等。通过云管理平台的监控管理功能对云环境下设备的使用状态、链路性能状况、运行情况等进行实时监控，为行业云日常业务稳定、可靠、有序运营提供有效保障。

2.5 备份资源池建设规划

对于采用VMware vSphere架构的虚拟化行业云平台，备份资源池在实际运行过程中除了需要常规安全防护，还需配备数据层面的防护功能，以保证数据资源的高可用度。

2.5.1 防范逻辑故障

信息系统更大的隐患在于逻辑故障，逻辑故障发生机率大、危害具有潜伏性和突变性、表现形式多种多样。在云化的数据中心内，利用虚拟机备份保留的备份时间点数据，可以更好地解决由于逻辑故障（误操作、病毒、系统崩溃等）导致的数据丢失或业务故障问题。

2.5.2 备份方式及管理的改变

不同于传统备份方式，虚拟机备份通过无代理的方式，在操作系统内安装客户端实现文件、数据库、操作系统、卷CDP 等备份与恢复功能，只需要在管理平台输入用户名和密码，就可以获取目标备份虚拟机并完成备份操作，且对上层生产业务系统没有任何性能影响。

2.5.3 备份数据的可用性

虚拟机备份能够针对虚拟化环境进行数据备份，并通过数据备份中心虚拟机快速实现原机或异机数据完整性恢复，保障数据安全；且秒级恢复后的备份数据完全实现立即使用及长久保存，使用户不用担心由于虚拟机出现故障而导致生产环境数据故障及无法立即使用的情况。运营商在完成备份一体机建设工程后具备充足的云资源池备份空间，在满足行业需求的同时还可以给有云备份需求的个人用户提供服务。

2.6 行业云资源池安全体系

当前网络信息安全已上升到国家层面，在推进网络安全与信息化建设的工作中，各级运营商和客户越来越重视其在生产生活中的重要意义。信息安全等级保护标准的出台为通信设备制造厂商、IT 软件公司、运营商、集团客户、系统集成等行业用户在云资源池网络安全配置系统方面提出了规范性指导要求，如从网络架构、边界防护、访问控制、入侵防范、集中管控等方面进行网络安全等级保护自查，资源池各分区之间也需要通过边界安全进行物理与虚拟防火墙隔离，云平台Web应用系统防护升级等。

作为共享大数据平台的系统网络架构，计算存储等资源的集中对云资源池安全运营管理与维护提出了更高的安全要求。为了保障云平台安全，云网安全建设将从安全域划分与隔离、动态安全防御、数据传输安全等方面开展。根据云平台的层次结构，云网安全体系分别从主机/虚拟化安全、网络安全、业务和数据安全、运营管理安全等层次出发，并辅以网络安全基础设施，建立分层纵深的安全防御架构。

此外，为保障用户的数据安全，需要对包括信息创建、存储、应用、共享、存档与销毁在内的信息生命周期加强安全管控，具体技术手段包括身份认证及访问控制、数据隔离、数据加密、剩余信息保护、灾备等，防范外部对云平台的流量攻击，确保安全隐患不会在整个网络中蔓延，以保障资源池基础设施的安全运行。

3 结束语

在大数据赋能的共享经济时代背景下，行业云作为云计算价值应用的最佳实践，通过虚拟化技术将所有的计算资源（包括服务器、存储、带宽等）集中统一管理，实现资源的快速部署和自动配置。本文从属地化行业云资源池设计与建设方案出发，对地（市）级电信运营商行业云资源池建设需求进行分析并提供了建设方案。笔者基于云与数字化转型趋势及用户业务发展需要，建议电信运营商依托自身技术与市场业务资源，抓住行业云发展的大好趋势，拓展属地化云资源池建设，聚合业务需求打造行业云生态系统，通过云模式IDC 为集群客户提供优质增值服务，为未来智慧城市行业云中枢系统构建提供数据支撑与技术保障。