XX学院超融合设计方案

XX学院超融合项目技术建议书

XX年XX月

1.项目背景描述 (3)

1.1项目背景 (3)

1.2项目需求 (4)

1.2.1现有业务的需求 (4)

1.2.2弹性计算资源池 (5)

1.2.3弹性存储系统 (5)

1.2.4现网业务系统平台 (5)

1.2.5数据中心安全 (6)

1.2.6统一运维管理系统 (6)

2.技术方案 (7)

2.1整体设计 (7)

2.1.1超融合数据中心部署架构设计 (8)

2.1.2基础资源设计 (10)

2.1.3自动化部署设计 (10)

2.1.4设备部署设计 (11)

2.2统一运维管理平台 (11)

2.3服务器虚拟化 (12)

2.4分布式存储 (12)

2.5数据中心安全解决方案 (13)

2.5.1. 数据中心云主机安全（后期建设） (13)

2.5.2. 数据中心南北向边界防护（后期建设） (14)

2.5.3. 安全日志与数据库审计实现数据层面的安全与合规性（后期建设） (14)

2.5.4. 应用负载均衡（后期建设） (14)

2.6. 虚拟化环境中使用USB加密狗 (15)

2.7. 业务迁移 (15)

2.7.1. 迁移概念 (15)

2.7.2 迁移工具 (15)

2.7.3迁移特性 (16)

2.7.4迁移效率 (16)

3.项目的经济效益和社会效益 (16)

3.1集约化基础架构资源 (16)

3.2IT服务化转型 (17)

3.3IT投资持续优化 (17)

3.4节能减排绿色IT (17)

1.项目背景描述

1.1项目背景

XXXXXXX。为贯彻落实国家关于教育信息化中长期发展规划，结合XXX建设，切实推进XX学院广泛、深入和有效应用信息技术，全面提升学院信息技术支撑教育教学改革发展的能力，以先进教育技术改造传统教育教学，以信息化促进学院教育现代化。

在遵循国家制定的一系列政策、标准和规范的基础上，围绕教育厅数据中心考核要求，制定XX学院云数据中心建设方案。通过建立软、硬件资源池,搭建统一的教育教学云应用、云管理平台、教训实训云，实现统一灵活的资源调配与应用系统集中建设、部署和管理，有效整合分散的软、硬件资源，统一运维管理，实现降低成本、提高利用率、保障数据安全、节能降耗的目标。最终实现以云计算服务为中心的数字化、智慧化校园建设目标。

本次设计方案将从设计、规划、未来拓展等细则描述贵校的超融合的设计步骤，确保项目设计方案确实符合贵校现实情况，工程师也可参考此方案进行实施方案的制作。

1.2项目需求

1.2.1现有业务的需求

近年来XX学院逐渐加大信息化建设方面的投入，教务系统、智慧校园系统逐步完善，日常教学对信息系统的依赖程度逐渐加大，一方面对网络、计算、存储等方面的基础资源需求在快速增长，同时对稳定可靠性的要求也越来越高。更为突出的是对资源管理和运维水平的要求越来越高，简单的资源堆砌已经不能持续。建设集中的大规模数据中心，提供标准的、安全的、可靠的和灵活的IT资源给院系已经是迫在眉睫的需求。

随着信息化技术的发展，XX学院前期采用传统的一台服务器承载一个业务系统的承载形式，信息化校园快速发展后，发现一台服务器承载一个业务系统硬件资源远远不够，无法承载其他业务系统和数据资源，因此采用云计算的方式建设信息化显得尤为重要。

根据前期的现有业务调研，拟对现有系统进行升级扩容，初步预估资源的需求统计如下：

1.2.2弹性计算资源池

采用服务器虚拟化技术，将X86服务器转变成通用的共享硬件基础架构，采用1:N进行虚拟化，并按照业务需求进行动态交付，实现计算资源的弹性调度。按照业务生命周期进行计算资源管理，并满足峰值计算资源的需求。

1.2.3弹性存储系统

为节省投资和后续扩展无瓶颈，把服务器本地硬盘存储进行资源池化进行部署——分布式存储，分布式存储进行多副本部署，避免重复采用专业设备进行灾备，分布式存储具有如下优点：

（1）设备整合，多台服务器可以通过存储网络同时访问超融合存储系统，不必为每台服务器单独购买存储设备，降低存储设备异构化程度，减轻维护工作量，降低维护费用；

（2）数据集中，不同应用和服务器的数据实现了集中，空间调整和数据复制等工作可以在超融合平台上完成，大大提高了存储资源利用率；

（3）高扩展性，存储网络架构使得服务器可以方便的接入现有环境，较好的适应应用变化的需求；

（4）总体拥有成本低，存储设备的整合和数据集中管理，大大降低了重复投资率和长期管理维护成本；

1.2.4现网业务系统平台

XX学院现有的业务系统平台大部分是基于Windows操作系统承载。部分教学实训模拟平台和应用系统使用USB接口加密狗设计，此类业务系统迁移到虚拟化环境中，要确保USB加密狗可以在虚拟化环境中正常使用。

1.2.5数据中心安全

对外发布网站等系统安全防护：近几年高校网站被篡改、挂马的安全事件层出不穷，互联网各种蠕虫、病毒木马泛滥，各类基于应用的攻击手段层出不穷，针对重点高校的网站和服务器的攻击越来越多。传统防火墙工作在网络层，通过对IP地址、端口的识别，实现访问控制、安全防范和威胁防御。无法对应用层风险进行防护。

内部教务教学管理系统安全：高校网络结构复杂，包含各类重要的数据，如高考录取信息、教学管理信息、学籍学分信息等，目前黑客窃取重要信息、篡改学籍学分非法牟利的事件屡屡发生，高校数据中心重要系统的安全状况令人担忧。各类系统漏洞、应用层安全风险一旦被黑客利用，会对学校甚至社会造成重大影响。

高性能需求：学校网络从千兆向万兆升级，早期的防火墙/IPS等设备无法满足需求。

安全可视化：传统防火墙无法抵御来自应用层的威胁，无法提供给用户有效的安全策略制定依据，导致了用户对内网服务器和终端的安全状态没有直观的体现和把握，缺乏安全信息的可视化。

1.2.6统一运维管理系统

建设目标：实现资源池内所有资源的自动化管理、监控、优化配置、调度、分配和回收。包括虚拟服务器和存储资源的在线迁移、虚拟服务器动态分配、存储容量动态分配和在线扩容；IT人员通过自助门户，实现IT资源的自服务。实现统一运维管理平台，实时监控私有云平台运行状况，依据预定义阀实现自动化故障处理，并可依据历史数据分析云平台健康状况、容量使用情况和资源回收。实现私有云平台集中日志管理和收集，用于快速定位和分析根本原因，并完成基础日志保存。

2.技术方案

2.1整体设计

整个平台以服务的思想进行构建分为三个层面：

IT基础架构作为整个云平台的基石，通过虚拟化技术和分布式存储技术将物理IT资源计算、本地存储资源和网络进行整合和池化。让硬件层配置尽量简化，减少业务增减变更对硬件层配置的影响，通过软件定义和策略驱动来满足业务系统增减和变更对IT资源和环境的需求。构建高可用、灵活扩展、快速响应的IT基础架构。

教学、教务业务动态资源调度平台，通过虚拟化技术对资源的抽象能力，将计算、存储及网络资源配合服务器负载均衡设备在不同业务间动态调度，满足业务峰值负载对资源的需求，实现资源使用的效率优化。

2.1.1超融合数据中心部署架构设计

超融合数据中心部署架构图如下图所示：

两台数据中心交换机CE6880为超融合前端提供业务接入与转发能力，两台数据中心交换机CE6880为超融合后端提供互联互通能力。本次有4个管理&计算&存储节点其中包含一个DBN节点。前后端组网均为10GE组网。在核心交换机上旁挂审计系统与负载均衡（根据现有系统，本次不部署负载均衡设备，后期信息化建设系统增多，再考虑部署该套设备），同时数据中心之前部署两台防火墙（建议后期建设），保障系统的安全、稳定运行。

DBN节点部署同时部署在虚拟化资源池中，整个资源池同时为数据库节点提供弹性扩展，稳定可靠的硬件级服务。在DBN节点上创建数据库虚拟机且多个虚拟机之间部署ORACLE RAC，提供软件级高可靠服务。

前后端的两台交换机均需要做堆叠操作，保障网络层的高速转发、冗余链路。两台防火墙做双机热备，使用防火墙作为数据中心流量的控制网关。对数据中心内的数据库应用与其他应用的数据做审计操作。

详细方案说明：

1）利用服务器虚拟化来抽象化和池化底层基础架构资源

a.采用虚拟化技术将服务器资源进行了1:N的虚拟化，即在一台物理服务器上虚拟出多个虚拟服务器（虚拟机），每个虚拟机都拥有完全独立的操作系统、系统进程以及CPU、内存空间等资源。每个虚拟机都可以被用来承载某一个业务，从而在保证业务可用性的同时大大提升了物理服务器的利用率，进而减少了物理服务器的数量，在节省投资的同时，降低了服务器的维护难度和维护成本。

b.所有的服务器资源都虚拟化成资源池的方式，任何一个虚拟机或物理机出现故障时，虚拟化管理系统会自动的将相关虚拟机迁移到资源池内的其他健康主机上运行，从而保障业务不间断运行。无需独占专门的备用服务器资源，也无需专业集群软件的投入，减少了灾备方案的投资和应用复杂度。

c.当有新业务需要上线时不再需要购买新的IT设备，只需在现有的资源池内划分出一部分资源，生成一个新的虚拟机即可。同时管理员还可以预先定义虚拟机模板，使虚拟机生成的同时就自带操作系统和所需的应用软件。节省部署时间，提高了IT业务的上线效率。

d.在超融合资源池中划分内网、外网和数据库三个虚拟资源池，通过交换机上划份VLAN的方式，进行逻辑隔离。

e.在数据中心部署两台万兆防火墙，和一套虚拟化安全防护系统，保障数据中心系统安全。（建议后期进行建设）

f.在数据中心交换机旁挂部署数据库审计系统和日志审计系统。（建议后期进行建设）

2）超融合存储提供高可用解决方案

超融合存储实现了计算、存储和网络资源的融合，不再是单独的计算、网络、存储设备，而是预置集成的一体化设备，无需额外配置存储、网络等资源。同时

在计算、存储融合方面，通过在计算刀片中部署分布式存储引擎，减少了数据的访问时延，提升整体访问效率。在计算、网络融合方面，通过网络自动部署，用户无需关心网络具体配置，系统可自动配置网络资源，并实现与计算、存储资源的联动。

超融合系统内置布式存储系统，采用独特的并行架构、创新的缓存算法、自适应的数据分布算法，既消除了热点也提高了性能，并且能够以超快的重建时间实现自动化自修复，提供卓越的可用性和可靠性。

2.1.2基础资源设计

根据前文业务需求，学院当前数据中心云平台业务需求资源规划分别为：计算：234个VCPU

内存：1152GB

存储资源：51TB

用于标准的虚拟化计算节点，考虑到服务器的可扩展性和可维护性，物理形态计算节点采用机架服务器。

2）存储

分布式存储此次可用容量为53T，因为超融合分布式存储必须要3副本，因此在计算资源池上配置160T的容量授权。

3）网络资源

此次超融合数据中心建设，采用分布式存储为减少带宽瓶颈，计算资源之间互联采用采用万兆网络为骨干，实现服务器之间的数据交换。管理网和业务网络也采用万兆链路。

2.1.3自动化部署设计

采用预集成方式自动化部署系统，极大降低现场操作的复杂性，提升部署效率和质量：

●通过预安装、预集成、预验证，降低用户安装、部署的复杂度，减少用户安装部署时间。

●支持设备上电自动发现，以及向导式的系统初始化配置，实现快速完成系统计算、存储和网络资源初始化，大幅缩短业务上线时间

●提供自动化安装部署工具，实现现场虚拟化平台快速切换和版本升级。

2.1.4设备部署设计

超融合一体机部署在校园网数据中心，提供计算和存储资源供前端业务虚拟机使用，具体部署细节描述如下：

●超融合节点：共使用4台节点组建校园网计算&存储资源池。

●数据库节点物理机节点：本次数据库采用节点式部，组建数据库系统，承载校园网核心数据库的运行。

●万兆互联网络：整个超融合系统使用万兆光网络互联，为了保证业务数据和存储数据交互的可靠性和高性能，每个节点均使用四个万兆光口进行部署。

2.1.5项目超融合系统实际配置

此次FusionCube HCI（6000）实配4节点，具体配置如下：

CPU：共计8颗（英特尔至强金牌5115(2.4GHz/10-core/13.75MB/85W)处理器(窄连体散热器)）备注：CPU可进行虚拟化

内存：共计1152G（32G每内存*9个内存/节点*4节点）备注：内存无法进行虚拟化

存储容量：主存储160T（40T/每节点*4节点）备注：分布式存储需部署三副本，每副本约为53T

2.2统一运维管理平台

支持服务器、交换机等硬件设备的统一管理，也提供计算、存储和网络等资源的统一管理，大幅提高运维效率和服务质量。

●通过一个统一的管理界面提供机箱、服务器、交换机等硬件设备的日常维护，实时掌控系统中计算、存储和网络资源的运行状态，方便维护人员使用。

●自动监控IT资源和系统运行状态，对系统故障和潜在风险实时报警，告警可以通过邮件的方式通知维护人员。

●支持快速自动完成新资源的扩容，自动发现待扩容设备，通过向导式的扩容配置，快速完成资源扩容。

2.3服务器虚拟化

通过服务器虚拟化技术将每一台物理服务器虚拟成多台虚拟机，从而减少服务器数量，节省空间，降低用电量等，降低维护难度，并且可以将资源动态扩展从而满足未来新业务发展需要。

通过虚拟化软件分配给各个虚拟服务器的操作系统所使用，从而实现了服务器的CPU、内存、网卡、磁盘资源的再分配。为保证业务的可靠性，服务器虚拟化软件支持虚机HA、虚机热迁移、CPU负载均衡、动态资源扩展与负载等技术保证业务的连续性。同时为防止管理员误操作删除虚机或者系统数据丢失，虚拟化软件支持虚机快照功能，可以基于某一时间点对业务虚机进行数据恢复，减少管理员运维难度。

2.4分布式存储

分布式存储作为一种与计算融合的存储软件，在通用服务器上部署该软件，可以将所有服务器的本机磁盘组织成一个虚拟存储资源池，在某些使用场景下完全替换外置SAN。分布式存储软件使计算和存储高度融合，达到高性能、高可靠、高性价比。

全分布式存储软件将所有元数据按规则分布在各节点，避免了元数据瓶颈，支持线性扩展。采用数据分块切片技术，以及基于DHT Hash的数据路由算法，可以将卷的数据均匀分散到较大的资源池故障域范围内，使得每个卷可以获得更大的IOPS和MBPS性能，也使得每个硬件资源的负载相对均衡。

为保证数据的安全性，避免存储灾难发生，分布式存储支持多种数据冗余保护机制，本次采用3副本数据保护；将不同的副本放在不同的服务器上，保证在服务器故障的情况下，数据仍然不丢失、仍然可访问。同时采用对有效数据分片进行数据的冗余保护，在硬盘、服务器故障的时候，能够对有效数据进行并行重建，1TB硬盘的重建时间小于30分钟，大大增强系统的可靠性。

2.5数据中心安全解决方案

2.5.1. 数据中心云主机安全（后期建设）

在超融合系统中部署虚拟化安全平台，保护云主机安全。

a.部署多引擎病毒查杀：依托于云端超过100亿条病毒样本，进行家族类

可视化分析，可对未知变种病毒实现精准的查杀与隔离，本地查杀引擎

可增强不连接外网情况下病毒查杀的效果，优化本地虚拟化环境支持。

各查杀引擎在运行时可以进行数据交互，对虚拟机及服务器进行扫描结

果缓存共享，在整个数据中心进行增量扫描从而提高扫描效率。

b.虚拟补丁：虚拟化安全管理系统可以通过虚拟补丁的方式对存在漏洞的

企业服务器操作系统及应用进行修复，由于虚拟漏洞修复模块无需对操

作系统及应用进行代码修改，只是对于来自外部的攻击行为进行识别和

过滤，无需重启虚拟机或服务器，企业既无需担心兼容性问题也无需重

启系统中断业务，因此虚拟补丁可以在保障企业业务系统连续运行的情

况下对攻击行为进行有效防护。

c.虚拟防火墙：虚拟化安全管理系统在虚拟机内部植入了轻量化的防火墙

守护程序，该模块可以通过管理中心进行统一访问控制策略管理，根据

系统中的策略模板，对每台虚拟机下发个性化访问控制策略，允许用户

针对不同分组的用户制定不同的防火墙防护策略，不同策略允许添加不

同的防护设置。

d.宿主机防护：针对KVM虚拟化平台的虚拟机逃逸攻击的防护，根据需要

开启或关闭该功能并配置开启规则，通过虚拟化安全管理系统控制中心

进行统一管理和更新，为虚拟化环境提供自上而下，由内而外的整体安

全防护。

2.5.2. 数据中心南北向边界防护（后期建设）

在数据中心出口双机部署数据中心防火墙，实现整个数据中心的安全防护，构建整个数据中心的第一道安全屏障，通过设置细粒度的访问控制，对数据中心内部与外部交互的数据进行深度的过滤，对整个数据中心与校园网进行逻辑隔离与访问控制，同时启用抗DDOS攻击、应用识别与深度可视化，同时将WEB服务器通过NAT发布出去。由于数据中心防火墙的高性能、高吞吐、高并发与高新建，保障整个数据中心可靠、稳定与安全的运行。

2.5.

3. 安全日志与数据库审计实现数据层面的安全与合规性（后期建设）

通过旁路部署审计系统，满足监管要求及当出现安全事件时进行溯源，满足公安部82令相关监管要求及网络安全法审计要求。通过部署数据库安全审计系统来加强数据库的安全访问管理，全方位提升系统安全应用级别，以实现对数据库非法行为的事前预防、实时告警、事后追查等功能，并满足等级保护的测评要求。

2.5.4. 应用负载均衡（后期建设）

针对未来学校教务选课系统上线，且该系统具有高并发特点，云平台结合服务器负载均衡设备提供应用负载均衡服务。

服务器性能优化：负载均衡支持TCP连接复用、内存缓存、HTTP压缩、SSL 加速等众多优化技术通过减少服务器的硬件资源消耗，缩短服务器响应时间，在节省了硬件投资成本的同时，提升了用户的访问体验。针对选课、查分高峰期，业务系统负载过重的情况下，在实现基本服务器负载均衡的基础上，能够极大地提升服务器的性能，保障系统的稳定可靠性。

单边加速提升访问速度：应用交付设备具备的单边加速技术在不需要在用户电脑上安装任何软件和控件，对用户访问透明，而且能够可以在不升级带宽的前提下，减少应用程序的响应时间，而且在保证数据的完整性和安全性的前提下，提升用户的访问速度。

智能分析报表为学校提供决策依据：能为学校提供关于链路使用情况、服务器使用情况、用户使用偏好等全面的智能报表分析，帮助学校快速全面的了解整个应用发布系统各个元素的运行状况。为学校提供网络优化和改造的依据以及为运营计划提供商业决策的依据。

2.6. 虚拟化环境中使用USB加密狗

安徽工业职业技术学院现网中有个别业务需使用USB加密狗，如心理管理系统。在虚拟化环境中传统部署方案是利用计算资源服务器的某一个USB端口通过USB重定向技术把加密狗给某个虚机使用，这样部署有一个问题就是服务器故障，虚机迁移成功，而加密狗无法迁移和使用。出现这种情况可以通过登录管理平台对加密狗进行解绑操作，在重新绑定到另外一台物理机上，保障业务稳定运行。

2.7. 业务迁移

迁移服务提供的是操作系统级别的迁移，即使用迁移工具将物理机或其他类型虚拟机上的操作系统及用户数据整体搬迁至虚拟机的解决方案。

2.7.1. 迁移概念

业务迁移服务是指将客户物理服务器上或其他虚拟化平台上的业务系统通过专业的迁移软件迁移至虚拟化平台上。如，将X86架构的业务系统迁移至虚拟化平台。

2.7.2 迁移工具

支持业界主流操作系统，可以提供端到端的业务迁移服务，场景涵盖P2V

（Physical to Virtual）、V2V （Virtual to Virtual）和平台内部虚拟机业务迁移。

2.7.3迁移特性

?支持在线、离线迁移，支持块级、文件级迁移。

?自动化程度高，减少迁移步骤。

?兼容性强，能通过升级来支持最新的OS和虚拟化平台。

?迁移可进行性检测，增加多项源端环境校验，提前识别出源端主机是否满足迁移条件。

?迁移过程稳定性增强，能够检测迁移过程中进程状态、网络状态，能自动修复格式化分区概率性失败。目的端多项启动相关的注册表项，避免

windows启动蓝屏。

?可维护性，常见错误信息转义，错误提示更加准确易读，提供一键收集日志功能。

2.7.4迁移效率

迁移效率主要考虑到以下因素：物理机往虚机迁移的速度与服务器的I/O、存储的I/O、网络带宽、系统平台等都有关联，千兆带宽，传统存储性能良好的情况下，迁移效率迁移在20S/G。

3.项目的经济效益和社会效益

3.1集约化基础架构资源

以虚拟化技术为核心构建架构简单模块化IT基础架构，实现数据中心基础设施资源池化使用，根据业务需求动态调配资源，实现资源的集约化，并方便运维管理和扩展。私有云平台基于业务需求的软件策略定义，快速调配业务系统需要的IT基础资源（计算资源、存储资源、网络和安全配置策略）。

通过自动化运维管理对数据中心有个全面的管理，对故障的响应、风险的应

对、持续优化改进使数据中心以最优状态提供IT服务。

通过自动化资源交付，较少手动无价值的重复操作，提高工作效率，将更多的精力释放出来关注IT和教育的结合创新。同时自动化的标准工作流可以很好的保证IT资源交付的质量和时间。

3.2IT服务化转型

以服务为核心的IT架构可以让IT始终服务于学校的发展战略，围绕着这个架构我们进行IT治理，进行组织架构的梳理、权利和责任的划分，优化内部沟通效率，提升执行力，对整个组织的发展和个人的发展形成一个很好的结合点，打造出优秀的管理团队。

3.3IT投资持续优化

私有云架构对原有建设项目有一个很好的整合性，可以说每个新项目都是对原有架构的优化，对原有IT投资的更好利用，使我们这个IT投资回报最大化。

3.4节能减排绿色IT

通过私有云数据中心建设，节约了大量资源的投入，降低数据中心电力、空调制冷等能源消耗，减少数据中心碳排放，实现绿色IT。