高校提供云服务有许多种模式,有的高校利用社会公共云平台为学校提供云服务,有些高校特别是研究型大学,可能会建设学校自己的云平台为校内单位和老师提供云服务。后者的性质属于私有云,但从使用的流程上来看,因其提供校内的公共服务,与公有云是类似的,为了便于叙述,我们将其定义为校内“公共云”,即在学校内部提供公共服务的平台。
现状及需求
校园云公共服务面临众多问题。第一个问题是如何做到快速交付。现有高校云平台的服务流程中,学院、二级部处用户通过纸质线下申请,缺乏自动化交付;同时,带宽、安全、计算、存储和网络资源由信息中心管理员手动分配交付,缺乏快速部署能力。所以,资源调整维护占用管理员大量精力。
校园云公共服务面临的第二个问题是资源如何进行合理分配。很多用户会向云管理人员提出要虚拟机的需求。云管理人员如何确定给不同的用户分配多少资源的虚拟机呢?合理的分配需要对资源量化,折算出成本,这包括一系列数据,例如,数据中心有多少资源?每个学院的IT成本是多少?哪个学院用得最多?每个用户数据中心资源账单?数据中心投入产出比是多少?如果对于数据中心使用资源无法准确量化评价,会带来过期资源无法及时释放的问题,存在资源滥用与浪费情况。校园云公共服务面临的第三个问题,管理模式的问题。传统的私有云采用“资源划分,部门自管”的运营方式,很多部门的管理者不是专业人员,要管理好分配给他们的资源比较困难,因此这种模式不适合高校的模式运行。校园云公共服务面临的第四个问题是安全问题,普通用户共享计算资源池,由于用户网络安全防范意识较弱,虚拟机被攻击后容易对内网其他虚拟机造成危害。例如,黑客攻破某一台虚拟机,通过跳板机对内网其他虚拟机造成威胁,或者用户访问病毒网站、或者操作系统漏洞造成病毒在内网蔓延;再如校园内部网络安全爱好者探测内部网络,造成安全风险。
高校私有云提供公共服务的模式
根据以上的问题,校园公共服务云平台建设,即建一个“校内公共云”,需要达到如下的目标。第一,要提供全方位安全保障。第二,要和现有的IT资源兼容。第三,服务流程自动化,实现快速交付。第四,资源的使用量要量化评价。第五,支持学校的创新、科研活动,使得服务对象扩大,服务种类增加。
以华南理工大学为例,校园公共服务云平台的实现方式主要包括几个方面。第一,华南理工大学在校园云统一服务门户上实现申请,申请的时候,能满足不同IT能力用户使用需求,例如,普通用户傻瓜式使用,高级用户全功能使用,开放用户灵活使用。第二,结合学校关于公共云的管理办法,实现信息中心服务流程电子化。第三,实现学校云服务创新,不仅仅是提供虚拟机服务,而且包括增加服务种类、扩大服务对象。第四,可视化云安全保护,让没有IT基础的用户,都会配置安全策略。第五,量化资源的使用成本,提供计费、报表,让云服务的价值能够体现。成本用货币的形式来体现。当然,用户不一定需要付费,但这种价值的表现方式容易为人理解。
在实现中,需要注意做到不改变二级部门负责人的审批习惯,能实现公共云与现有流程管理平台对接,例如,用户申请虚拟主机后,系统自动通过邮件、短信等方式通知二级部门负责人,负责人可以从邮件中直接查看本学院资源池的剩余配额并直接审批。负责人审批同意后,由云平台管理员审核后(这个步骤根据运行情况可以考虑省略),系统自动完成云资源分配并交付给用户。
云资源使用情况的度量和统计如何实现呢?首先,根据自定义计费策略,例如可以针对CPU、内存、硬盘、云防火墙、云负载均衡等资源的占用情况和使用时长进行计费,时长可以是小时、天、月,可以根据时段输出费用。其次,可以按二级机构(如学院)、全校角度进行统计,可以提前批量充值,对实际费用进行查询,对云资源利用率进行统计等。
对于全方位安全保障的方面,进行资源池的安全隔离。首先,典型用户类型进行划分。例如,个人业务用户与学院业务用户;课题组用户和创业团队用户;一般技术水平用户和高技术水平用户;安全防范意识高用户(难中毒)和意识低用户(易中毒)。其次,典型资源池进行划分。例如,按虚拟化品牌和服务器性能划分;按使用对象划分,分为公共资源池(供多个用户共用)、专属资源池(供某一个特定用户使用)。最后,通过南北向硬件安全网关+虚拟化环境中的云安全技术,将不同类型的资源池与不同的用户群体进行绑定,实现不同类型用户使用指定的资源池,保证在资源池层面不同类型用户的安全隔离。
华南理工大学的云平台建设实践
华南理工大学于2011年开始建设云平台,2011年6月在《中国教育网络》发表过文章《如何打造美丽的教育云》。根据规划,第一阶段是单一的云,第二阶段是运行云、公共云和科研云结合的“三朵云”,第三阶段是“混合云+容器云”。
目前是第二个阶段,即主要有“三朵云”。运行云是网络中心的私有云,为学校核心的应用提供运行环境;公共云是“小公共云”,即校内人员叫它公共云,在校外又属于私有云,学校通过这个平台面向全校机关部处、科研团队提供计算和存储资源的服务;科研云是采用开源软件与自主研发核心技术相结合的形式,为科研活动和学生创新提供一个开放的空间。关于这“三朵云”的详细情况可以参考发表在2016年11月《中国教育网络》的文章“华南理工大学:三‘云’合一让服务更灵活”,这篇文章在《中国教育网络》杂志主办的“2016高校信息化创新奖”活动中被评为2016年度“高校云计算创新推荐方案”。华南理工大学如何构建校内服务“公共云”平台并提供公共服务呢?首先,通过互联网式服务门户,实现公有云运营体验和校内资源一站式发布。第二,云服务平台位于五山校区的数据中心,机房重新装修,已建设1250kV×2两路高可靠独立供电系统,和600kVA的备供电路(在建),已建成首期建设的规模为:计算节点含392个物理核心,2TB内存;存储系统含256GB缓存,600TB存储能力;软件系统采取基于Openstack和KVM的云计算解决方案;预计提供虚拟机数量在400个以上。
根据规划,云平台主要为提供基础云服务和高级云服务。高级云服务包括云桌面服务、云网盘服务、大数据服务、虚拟数据中心服务、开发环境服务、应用商店、域名服务。高级云服务目前还没有开通,现在主要是基础的云服务。基础云服务包括虚拟机服务、块存储服务、裸金属服务、防火墙服务、负载均衡服务、防病毒服务等。目前实现了基础云服务。
为了便于用户快速配备资源,华南理工大学给用户做了几个标准的资源套餐,根据资源的使用量来区别每个套餐,价格参考公有云定价。另外,资源分配受到双重限制,一方面,部门资源配额,即按部门为单位进行资源配额设定,按需进行配额分配,防止资源滥用和不均。另一方面,用户余额。用户能申请虚拟机的条件需满足两个条件:1.所在部门有剩余配额;2.用户本身余额足够支付虚拟机费用。
申请的过程采用学校统一认证镜像用户身份验证,用户进行在线自助申请。此外,还开发了一个在线充值功能,用户通过支付宝、微信充值后,其配额就增加了。不过,因为涉及到收费问题,目前还没有开放这服务。
用户通过自助服务门户申请云主机(虚拟机)资源,经过用户部门负责人审批和云平台管理人员审核后,系统根据获批准的用户配置自动生成虚拟机自动生成,这个过程很快,只要一分钟。
申请的过程非常人性化(见图1),用户根据自己需求选择虚拟机的各种参数。为防止出现僵尸虚拟机,避免用户对于资源滥用,每个虚拟机都设置了租期,租期最长是三年。在用户资源到期后,通过邮件通知的方式,告知虚拟机期限状态,提醒用户处理,防止遗忘。审批的流程可以通过图形化、拖拽的方式重新定义。
从运营功能来看,主要包括服务发布、虚拟机过户、审计功能、信息通知、二次密码认证、服务定价、用户充值计费、资源使用统计报表等功能。其中,服务发布,是通过公有云式的运营,直观地发布校内云资源服务,服务交付更易用、更直观、更快速。虚拟机过户,是将一个虚拟机从用户A过户给用户B。例如,在部门调动情况下,人员调动后,将某个人名下管理虚拟机或者其它资源,过户到原部门其他管理人员。关于定价维度,可根据不同的校区、不同的资源池、不同的主机规格等资源类型设定计费规则,按小时、天、月时间维度计费。
在安全方面,公共云通过无代理方式,实现虚拟机杀毒即服务,保护虚拟机应用层安全。所谓的无代理是,虚拟机中无需安装杀毒软件;病毒库统一更新,无需担心病毒库过旧、导致的查杀不及时问题。同时,查杀资源调度,节省宿主机计算资源。
公共服务云平台为每个组织、每个业务分配一个独立的虚拟防火墙,用户可以配置他的防火墙,配置他的策略。虚拟防火墙作为租户虚拟数据中心的安全屏障,实现租户之间的安全隔离,另外,租户管理员具有云防火墙的安全策略配置权限,从而实现以组织、业务为颗粒度的安全防护,实现不同组织、业务间的访问控制。
(本文根据华南理工大学信息化办公室主任陆以勤在“2017年高等教育信息化创新论坛”上的演讲整理)
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。