電信運營商的云計算資源池部署方法概述

1、從電信運營商的IT 資源部署特點出發(fā),提出了運營商評估“云”的部署數量的參考,明確了云計算資源池的部署方式,并提出了評估現(xiàn)有業(yè)務系統(tǒng)是否適合遷移至資源池的思路和方法。關鍵詞云計算;IaaS ;資源池;部署電信運營商的云計算資源池部署方法概述燕杰,樊勇兵,金華敏,唐宏(中國電信股份有限公司廣東研究院廣州510630摘要專題 :云計算技術與應用1引言云計算是近年來IT 和互聯(lián)網領域研究的熱點,國內外的電信運營商也開始進行積極的探索、研究、試驗和應用。按照業(yè)界的一般理解,云計算存在IaaS (infrastructureas a service ,基礎設施即服務、PaaS (platform as

2、a service ,平臺即服務、SaaS (software as a service ,軟件即服務3種服務模式1。IaaS 對內能夠進行IT 資源整合,提高資源利用率,對外能為用戶提供按需付費的彈性基礎設施服務,是電信運營商研究和應用云計算、實現(xiàn)集約運營的關鍵切入點之一。在談云計算的時候,首先要明確“一朵云”是什么樣的。根據業(yè)界對IaaS 的理解,在云計算的語境下,計算、存儲等IT 設施是以資源池的形式出現(xiàn)的,筆者認為,可以將一個資源池作為“一朵云”?！耙欢湓啤敝邪舜罅康姆掌鳌⒋鎯途W絡設備及相應的管理系統(tǒng)。但是,從技術現(xiàn)狀和管理水平兩方面看,資源池的規(guī)模不可能是無限大的,資源池的數

3、量也是需要規(guī)劃的。對于全國性的大型企業(yè),尤其是國內電信運營商而言,如何劃分資源池、如何構建資源池、應用系統(tǒng)如何評估、是否適合遷移至資源池都是要考慮和解決的問題,而目前業(yè)界還沒有公開的、成熟的規(guī)劃部署方案。本文將結合云計算IaaS 技術特點與發(fā)展現(xiàn)狀,提出資源池的規(guī)劃部署方案。2云的劃分方式為方便描述,選取一個典型的國內電信運營商管理架構模型,并以此模型為藍本討論電信運營商部署云計算資源時如何對云的類型和數量進行劃分。本文選取的電信運營商管理架構考慮了國內電信運營商的企業(yè)發(fā)展歷史、經營體制、業(yè)務類型及規(guī)模等因素,其模型具有如下3個特點。(1地域范圍廣電信運營商業(yè)務覆蓋地域廣闊,至少包括20個區(qū)域

4、(一般而言,一個區(qū)域是指一個省級行政單位,橫跨地市眾多,用戶數量龐大。(2總部和分部兩級管理整體運營由總部統(tǒng)籌管理,在各區(qū)域設置地方分部13機構,管理和運營區(qū)域內業(yè)務。(3按照專業(yè)類型進行網絡資源與IT資源的建設和管理可劃分為基礎網絡、業(yè)務網絡和IT系統(tǒng)?；A網絡主要是接入各類用戶、提供網絡承載服務和基礎資源出租服務;業(yè)務網絡主要匯聚了3類平臺,一類是電信運營商直接對外提供服務的業(yè)務類平臺,一類是短信、彩信等電信能力類平臺,另一類是實現(xiàn)業(yè)務受理流程、處理業(yè)務訂購關系、資源監(jiān)測管控等管理功能的管理類平臺;IT系統(tǒng)主要是運營商內部的MBOSS,包括了計費、CRM、OA等內部系統(tǒng)。具體的管理架構模型

5、如圖1所示。對于電信運營商而言,在考慮云計算技術,尤其是IaaS技術的引入和部署時,基礎網絡、業(yè)務網絡和IT系統(tǒng)都可以作為重要切入點。具體來說,可以與基礎網絡中已有的基礎資源出租服務相結合,開展虛擬服務器、存儲空間出租等云計算服務;可以在業(yè)務網絡和IT系統(tǒng)中分別引入計算虛擬化和存儲虛擬化等技術進行基礎設施的資源整合,提高資源利用率和業(yè)務上線速度。從品牌宣傳角度看,“一朵云”的范圍應該涵蓋電信運營商的云計算建設發(fā)展內容,讓外界認同電信運營商云計算的完備性,因此,云的名稱數量越少越好,更能讓外界認同電信運營商云計算的整體性和統(tǒng)一性。從部署建設的角度看,“一朵云”是為某個管理單位(如省公司的某個運營

6、目的(如解決重要的生產需求和管理問題而服務的,在“一朵云”里,需要層次化、模塊化地進行規(guī)劃,云的資源可以分散在多個地域,但必須實現(xiàn)統(tǒng)一管理,對“統(tǒng)一管理”的定義不同會導致云的大小不同。通過上述論述,部署云計算資源池時,主要根據以下兩個因素進行劃分。(1管理架構在上述模型中,業(yè)務覆蓋地域范圍廣是無法改變的客觀因素,總部和分部的兩級管理也是大型企業(yè)最有效的管理架構之一,而且還沒有變動的驅動力。因此總部和各分部可能會獨立部署資源池,各資源池是平級關系并具有松耦合性,可通過本資源池的管理平臺進行獨立管理;從全網資源統(tǒng)管的角度,可以在總部層面設立全網的管理監(jiān)控平臺,統(tǒng)一呈現(xiàn)、監(jiān)控、調度資源。(2解決的問

7、題域在總部或各分部內,可以從對外提供彈性資源出租服務、對內進行業(yè)務平臺資源整合、對內進行IT系統(tǒng)資源整合3個方面進行劃分,可以劃分為4種方式。第1種方式是分別解決3個專業(yè)類型的問題域,為資源出租服務、業(yè)務平臺、IT系統(tǒng)分別部署1個資源池;第2種方式是按照資源池所承載的業(yè)務是對內服務還是對外服務進行劃分,為資源出租服務、業(yè)務平臺等直接對外提供業(yè)務的應用服務部署1個資源池,為不直接對外的IT系統(tǒng)部署1個資源池;第3種方式是按照業(yè)務所需的基礎設施資源是運營商內部自用還是對外出租進行劃分,為資源出租服務部署1個資源池,為各類業(yè)務平臺、IT系統(tǒng)部署1個資源池;第4種方式是完全打破專業(yè)領域,為資源出租服務

8、、業(yè)務平臺、IT系統(tǒng)統(tǒng)一部署1個資源池。4種方式的對比見表1。對于計算、存儲資源需求量大的分部機構可以根據自身的運營管理情況,按照方式1、方式2或方式3進行部署建設,但需要保證管理平臺遵循相同規(guī)范,資源池統(tǒng)一規(guī)劃,以便于后續(xù)資源池的整合與統(tǒng)一管理。對于計算、存儲資源需求量小的分部機構直接按照方式4進行部署建設,統(tǒng)一管理本省所需的計算存儲資源。對于總部機構,建議根據各分部機構的劃分方式,盡可能選擇與大多數分部機構的劃分方式相適應的部署方式。與電信運營商在企業(yè)發(fā)展過程中的管理集中/分散、網絡整合/拆分過程一樣,云的發(fā)展可能也是螺旋式上升圖1國內電信運營商管理架構模型14的過程,資源池可能將面臨不可

9、預料的融合與拆分,其大小與數量也將隨之變化,但最終趨勢還是走向融合。3資源池的構建3.1資源池的技術架構按照上述思路和原則劃分資源池后,各個資源池在體系架構上應該是趨同的,技術架構如圖2所示。資源池技術架構主要包含物理資源、虛擬資源、軟件資產和云管理平臺。·物理資源主要包括服務器、存儲設備和網絡設備,其為IaaS服務提供了最底層的物理資源能力。·虛擬化資源池是指通過服務器虛擬化、存儲虛擬化、網絡虛擬化等技術,將物理設備資源進行池化,抽象成可管理、可調度的邏輯資源。·軟件資產目前主要包括操作系統(tǒng)的存放介質和License,是實現(xiàn)虛擬機模板定制和管理的重要要素。

10、83;云管理平臺定位于實現(xiàn)對云計算資源的可管、可控和可運營,通過實現(xiàn)對物理設備(服務器、存儲和網絡、邏輯資源(計算資源、存儲資源和網絡資源的統(tǒng)一管理、監(jiān)控和部署調度,實現(xiàn)異構虛擬化技術封裝的虛擬資源的管理、多個地域資源的統(tǒng)一管理以及業(yè)務流程管理、用戶服務管理等功能。3.2以“集群”為最小單位的資源池部署方式本文建議電信運營商在建設云計算資源池時,按照“管理域”、“集群”兩級進行規(guī)劃、部署和管理,如圖3所示。所謂“集群”,是云計算最初建設的最小單元,一個集群的設備必須在同一機房甚至同一LAN內,其軟硬件設備應盡可能避免異構。提出集群的概念,是考慮到虛擬機熱遷移范圍、單節(jié)點物理機納管數量、共享存儲

11、訪問效率都受限于現(xiàn)有虛擬化技術,需要定義和劃分建設部署一個基本單元,以保證該單元的性能最優(yōu)化和效率最大化。所謂“管理域”,是從業(yè)務類型的維度進行劃分,通過云計算管理平臺的分權分域,將承載相同業(yè)務類型的集群納入統(tǒng)一管理域。提出管理域的概念,是考慮到同類型的業(yè)務可能由同一個前端業(yè)務團隊和同一個后端維護團隊進行管理,按照業(yè)務類型或管理團隊進行邏輯劃分能更好地與現(xiàn)有體制銜接,實現(xiàn)平滑過渡。該部署方式的主要優(yōu)點有如下3個。·軟硬件同構,更容易體現(xiàn)云計算的技術特點,實現(xiàn)業(yè)務熱遷移。集群內的軟硬件都盡可能保證同構,避免異構帶來的兼容性和互通性問題,能夠最大程度地保證集群內的虛擬機實現(xiàn)自動、在線的熱

12、遷移。表1總部或各分部的資源池劃分方式劃分方式技術實現(xiàn)運營管理投資成本方式1:分別解決3個專業(yè)類型的問題域計算資源池規(guī)模較小,管理平臺分建,容易適配不同專業(yè)領域管理需求,實現(xiàn)相對簡單與現(xiàn)有業(yè)務運營和維護管理體系相適應需要建設3套管理平臺,資源共享程度相對較低,投資成本大方式2:按照資源池所承載的業(yè)務是對內服務還是對外服務進行劃分計算資源池規(guī)模較大,管理平臺需要同時滿足2個專業(yè)領域的需求,實現(xiàn)相對復雜維護管理機制需要一定的適應調整需建設2套管理平臺,資源共享程度相對高,投資成本相對較小方式3:按照業(yè)務所需的基礎設施資源是運營商內部自用還是對外出租進行劃分方式4:統(tǒng)一部署一個資源池計算資源池規(guī)模大

13、,管理平臺需要同時滿足不同專業(yè)領域的需求,實現(xiàn)最為復雜維護管理機制需要較大的適應調整只需建設1套管理平臺,資源共享程度高,投資成本最小圖2資源池技術架構15·實現(xiàn)差異化承載。不同的集群可以使用不同的虛擬化解決方案,可以同時承載處于不同生命周期階段的業(yè)務,實現(xiàn)不同成本、不同功能的業(yè)務差異化承載。例如,對于成長期的業(yè)務應用,可以采用高成本、功能豐富的虛擬化軟件;對于衰退期業(yè)務,可以采用低成本的虛擬化軟件。·方便規(guī)劃和建設。明確了集群作為規(guī)劃和建設的最小單元,能夠實現(xiàn)最小單元化和單元建制化,方便云計算環(huán)境的規(guī)劃和后續(xù)擴展;能夠為規(guī)劃、建設和運維人員提供明確的物理對象,方便其定位和

14、管理。從技術角度看,集群由計算子系統(tǒng)、存儲子系統(tǒng)和網絡子系統(tǒng)構成,具體架構如圖4所示。(1計算子系統(tǒng)配置816臺x86服務器;建議每臺服務器的硬件配置(包括CPU、內存、網絡接口在類型和數量上均一致;支持硬件輔助虛擬化技術,如Intel的VT技術和AMD的AMD-V技術;網絡接口配置為48個;使用相同廠商和版本的虛擬化軟件。(2存儲子系統(tǒng)在規(guī)模部署的前提下,建議使用SAN技術。如果使用FC SAN,則需要部署SAN交換機;如果使用IP SAN,建議使用專用的存儲交換機形成獨立的存儲網絡,避免和其他網絡數據流量搶占帶寬。(3網絡子系統(tǒng)接入交換機需要支持VLAN、QinQ、QoS等功能;建議通過物

15、理端口+VLAN的方式,將物理服務器的上聯(lián)通道劃分為業(yè)務數據通道、虛擬機遷移數據通道、虛擬機管理通道。4已有業(yè)務系統(tǒng)遷移至云計算資源池的可行性評估云計算資源池建設部署完成后,需要考慮將已有的業(yè)務從物理服務器環(huán)境遷移至云計算資源池中,由于已有業(yè)務的業(yè)務定位與發(fā)展情況、應用架構、物理資源占用情況都不盡相同,需要進行一個細致的可行性分析評估和判斷已有業(yè)務是否適合遷移至云計算資源池中。如何對被遷移系統(tǒng)進行有效的系統(tǒng)評估,為遷移和整合提供有效的支撐數據,是遷移前的重要工作,也是遷移和整合過程中的一個難點。可行性評估可以從驅動力與配備條件是否具備、技術上是否能夠遷移、技術上是否適合遷移3方面進行。4.1驅

16、動力與配備條件首先,需要從近期及長遠的角度明確遷移的驅動因素是否存在及合理,如遷移后能夠節(jié)約建設成本、提高業(yè)務部署效率和靈活性、對企業(yè)更高層面的戰(zhàn)略目標執(zhí)行有幫助。這些因素是決定遷移必要性的首要因素,只有在具有明確驅動力的情況下,才考慮后續(xù)的遷移工作。其次,需要確認資源池建設完成后是否能正常運行,考慮是否具有相關的運維人員和維護保障手段。這些因素是考量是否進行遷移工作的客觀條件。4.2遷移的技術可能性首先,需要明確應用系統(tǒng)是否能運行在x86服務器上。如果應用系統(tǒng)不能運行在x86服務器上,則不能采用圖3“管理域”和“集群”兩級的資源池部署方式16虛擬化技術,因此無法遷移至云計算資源池中。其次,需

17、要確認應用系統(tǒng)是否需要配置特殊硬件,如窄帶卡、中繼卡、3D卡、顯卡、加密卡、磁帶機、infiniband 等。如果具有特殊硬件配置,則不能采用虛擬化技術。再次,需要確認應用系統(tǒng)首選什么操作系統(tǒng),版本編號是什么,還有哪些候選的操作系統(tǒng)。檢查首選操作系統(tǒng)版本是否在主流的虛擬化軟件的兼容列表內,如果不在兼容列表內,則檢查后續(xù)操作系統(tǒng)版本是否在主流的虛擬化軟件的兼容列表內,如果仍然不在兼容列表內,則不能采用虛擬化技術。4.3遷移的適宜程度可以從3個方面評估業(yè)務遷移的適宜程度:業(yè)務的保障要求、已有硬件配置和資源利用情況、應用系統(tǒng)架構與業(yè)務邏輯。評估業(yè)務應用的業(yè)務規(guī)模和活躍用戶情況,評價業(yè)務目前處于生命周

18、期的哪一個階段,如發(fā)展期、成熟期、衰退期,根據對業(yè)務的評估結果判斷使用什么類型的虛擬化軟件。如果業(yè)務保障要求高,建議使用商用成熟度、可靠性高等高級功能完善的虛擬化軟件,但購買成本相對較高;如果業(yè)務保障要求不高,可采用低成本、只具有基本可靠性功能的虛擬化軟件。具體的判斷方法見表2。另外,部分虛擬化軟件目前還不支持雙機熱備份,如果業(yè)務應用需要部署服務器的雙機熱備份,則需要選用能夠支持此功能的虛擬化軟件。圖4集群具體架構表2根據業(yè)務保障要求判斷虛擬化部署方案業(yè)務規(guī)模并發(fā)用戶生命周期階段虛擬化部署初步建議業(yè)務規(guī)模大并發(fā)用戶多發(fā)展期、成熟期使用成熟度高、可靠性高的虛擬化軟件衰退期并發(fā)用戶少發(fā)展期、成熟期

19、衰退期使用低成本虛擬化軟件業(yè)務規(guī)模小并發(fā)用戶多發(fā)展期、成熟期使用成熟度高、可靠性高的虛擬化軟件衰退期使用低成本虛擬化軟件并發(fā)用戶少發(fā)展期、成熟期使用成熟度高、可靠性高的虛擬化軟件衰退期使用低成本虛擬化軟件17電信科學 2011 年第 10 期 專題：云計算技術與應用 電信級云計算平臺安全策略研究 汪來富，沈 軍，金華敏 （中國電信股份有限公司廣東研究院 廣州 510630 ） 摘 要 安全性和隱私保護是廣大用戶評估云計算服務最重要的考量因素， 是云計算健康可持續(xù)發(fā)展的 基 礎 。 本 文 結 合 電 信 級 云 計 算 平 臺 及 其 服 務 提 供 特 點 ， 提 出 從 基 礎 設 施 安

20、 全 、底 層 架 構 安 全 、用 戶 信 息 安 全 、運 營 管 理 安 全 等 多 個 層 面 構 建 縱 深 的 云 計 算 應 用 安 全 防 御 體 系 ， 并 給 出 具 體 的 安 全 策 略部署及實施建議。 關鍵詞 云 計 算 ；云 安 全 ；網 絡 安 全 1 引言 云計算技術及應用的迅速發(fā)展 ，將成為推動 ICT 產業(yè) 也將產生深遠的影響。 對于電信運營商來說 ，引入云計算 技術構建電信級的云計算應用平臺 ，可以實現(xiàn)物理資源的 高效整合，實現(xiàn)業(yè)務的快速測試、部署和上線 ；并可基于海 量的信息處理能力將 IT 能力作為一項基礎設施 服 務 按 需 廣東研究院數據通信研究部部長， 主要從事下一代互聯(lián)網和云 計算方面的研究工作。 下一輪突破發(fā)展的重要驅動力 ，對于我國信息化應用水平 限公司廣東研究院數據通信研究部副部長， 主要從事網絡安全 和云計算方 面 的 研 究 工 作 ；唐 宏 ，學 士 ，中 國 電 信 股 份 有 限 公 司 Summ