VSIP服務器虛擬化產品——解決方案2017年2月目錄CONTENTS01背景與市場需求介紹02產品總體介紹03產品特點與優勢04典型客戶與應用場景05項目案例分析背景與市場需求介紹01虛擬化背景及傳統數據中心現狀數據中心現狀與問題服務器資源整體利用效率偏低數據中心成本能耗激增傳統熱備機制導致資源浪費且可靠性低資源工作負載自動化管理水平低運維復雜性和成本陡增服務器硬件故障影響大虛擬化產生的背景經濟方面全球經濟一體化對成本和效率的需求催化虛擬化技術加速發展社會環境復雜化不確定因素在以更快、更廣地涌現，實時的、覆蓋全網的、隨需應變的虛擬化的作用顯而易見需求是虛擬化發展的動力IT設施面臨高成本的瓶頸，虛擬化可以極大提高資源利用率和響應速度，有效聚合產業鏈政治層面社會轉型出口型向內需型社會轉型，如何滿足人民大眾日益增長并不斷個性化的需要是一項嚴峻的挑戰產業升級制造型向服務型、創新型的轉變政策支持十三五對物聯網、三網融合、移動互聯網以及云計算戰略的大力支持技術方面技術成熟技術是虛擬化發展的基礎。目前，虛擬戶自身核心技術，如：計算虛擬化、網絡虛擬化、存儲虛擬化、桌面虛擬化、應用虛擬化等，使之的各項技術已基本成熟企業IT成熟以及計算能力過剩按峰值設計，但需求的波動性卻事實上使大量計算資源被閑置虛擬化帶來的改變降低成本管理成本硬件成本軟件成本基礎設施建設成本電力成本硬件整合擺脫負載混亂的硬件、電源、機位、網絡、存儲、IT管理員等改進IT管理架構兼容性動態資源分配，每個應用程序可動態分配所需的資源；設備虛擬化管理，更好的評估系統容量改善可靠性降低維護和補丁造成的宕機時間；在軟件、硬件故障時候快速備份恢復系統；輕松部署HA高可靠性服務器集群。自動化管理更加輕松減少開通、配置、補丁、恢復的維護時間，增強安全性、隔離性；可允許自動管理維護更加人性化虛擬化帶來的改變產品總體介紹02總體架構

VSIP系統提供基于Linux內核的KVM（Kernel-basedVirtualMachine）虛擬機，通過軟硬件模擬具有完整硬件系統功能的、運行在一個完全隔離環境中的完整計算機系統，把一臺X86物理服務器虛擬成若干個獨立的虛擬服務器，支持裸金屬架構和全虛擬化，兼具良好的虛擬化性能、可靠性、兼容性和安全性。VSIP系統總體架構……VSIP主管理服務器多個資源池所屬的大量資源服務器進行統一虛擬化管理資源調度和運行監控。VSIP資源池服務器基于KVM虛擬機技術在服務器硬件和操作系統之間引入虛擬化層，將一臺物理機從邏輯上劃分成多個虛擬機多級存儲系統存儲用于集中存放虛擬機文件、虛擬機模板、軟件鏡像、備份等資源池相關數據文件SAG安全訪問網關安全訪問網關可以為虛擬機提供統一的遠程管理入口，對遠程訪問虛擬機的帳號行為進行記錄和控制。邏輯架構虛擬資源層：虛擬計算資源（虛擬機）、虛擬存儲資源（虛擬磁盤）和虛擬網絡資源（虛擬網卡、虛擬交換機。資源數據層：資源網格模型與數據、虛擬機模板數據、軟件鏡像數據、事件和日志數據、物理機和虛擬機歷史監控數據。資源調度控制層：任務及任務策略在線編輯、分布式任務調度、任務調度規則管理、調度任務監控、任務隊列監控。資源管理層：資源池管理、物理機和虛擬機全生命周期管理、虛擬機模板管理、軟件鏡像管理、存儲管理、網絡管理、系統管理。交互接入層：基于Web瀏覽器的可視化配置管理工具；基于安全訪問網關的虛擬機Web遠程管理；基于REST的物理機和虛擬機的生命周期管理、虛擬機快照管理、虛擬機遷移管理等API接口。核心功能能管理多個不同的資源池（不同用途或服務級別）；能支持對資源池資源（CPU、內存、存儲、物理主機、虛擬機）整體利用狀態進行監視;……能提供對虛擬機的查詢、啟動、停止、暫停/恢復、重啟等基本控制操作；能支持通過系統軟件鏡像啟動創建、虛擬機模板克隆復制等多種方式創建單臺或批量虛擬機；能支持虛擬機的vCPU、內存、磁盤、網卡等資源停機或在線動態追加；能支持虛擬機的備份和快照管理；能支持虛擬機在線遷移和跨存儲遷移；能提供對物理服務器詳細配置（CPU型號、主頻、內存容量、物理磁盤、物理網卡）和實時運行狀態信息（CPU負載、內存占用率、磁盤I/O、網絡I/O、進程數量）；支持SAN存儲自動發現、掛載、卸載等；能支持對宿主服務器的指定磁盤空間進行分布式存儲管理，用于存放模板、備份數據；提供基于Web瀏覽器的管理控制臺，實現跨平臺、可視化集中管理。提供二次開發SDK和豐富的服務集成API接口，實現與應用、監控、審計的定制集成。能支持虛擬機的高可用調度、負載均衡和經濟運行調度；能支持對資源調度任務執行過程的詳細跟蹤；能支持對資源調度任務執行隊列進行監控；能支持對虛擬交換機進行管理，維護虛擬交換機的端口組；能支持對虛擬機VLAN進行管理，基于VLAN對虛擬機進行安全分組隔離；核心功能物理機管理虛擬機管理其它資源池管理網絡管理存儲管理資源調度管理自動發現身份認證池化運行停機維護安全下線創建基本控制運行監控安全遠程管理配置變更克隆復制快照管理遷移管理備份管理外設管理共享盤管理轉換模板導入/導出產品性能虛擬機性能虛擬機支持最大vCPU數量：128虛擬機支持最大內存容量：512GB虛擬機支持最大虛擬磁盤容量：64TB虛擬機支持最大虛擬磁盤數量：26磁盤性能【50MB磁盤塊讀寫】虛擬機I/O讀寫速度達到同等配置物理機I/O讀寫速度的98%以上【10MB磁盤塊讀寫】虛擬機I/O讀寫速度達到同等配置物理機I/O讀寫速度的95%以上【1MB磁盤塊讀寫】虛擬機I/O讀寫速度達到同等配置物理機I/O讀寫速度的92%以上【128KB磁盤塊讀寫】虛擬機I/O讀寫速度達到同等配置物理機I/O讀寫速度的88%以上【32KB磁盤塊讀寫】虛擬機I/O讀寫速度達到同等配置物理機I/O讀寫速度的85%以上【4KB磁盤塊讀寫】虛擬機I/O讀寫速度達到同等配置物理機I/O讀寫速度的80%以上資源調度性能單臺“預加載”模式虛擬機（20GB磁盤）克隆創建時間：≦2分鐘單臺“瘦供應”模式虛擬機（20GB磁盤）創建時間：≦2秒鐘虛擬機在線遷移時間：≦12秒單個高可用資源池納管服務器最大數量：50臺虛擬機高可用調度恢復時間：≦3分鐘單個主管理服務器可以管理超過150000個計算節點系統組件及部署模式應用網存儲網管理網云計算虛擬化基礎架構系統組件包括VSIP主管理服務器、VSIP資源服務器、VSIP安全訪問網關、共享SAN存儲、管理交換網絡、存儲交換網絡、應用交換網絡部署模式標準模式混雜模式單節點模式…vsip-server/vsipfsvsip-agent/vsipfsvsip-agent/vsipfs…vsip-agent/vsipfsvsip-agent/vsipfsvsip-server/vsipfsvsip-agentvsip-server/vsipfsvsip-agent產品特點與優勢03系統定位及優勢VSIP虛擬化基礎架構系統主要實現對計算、存儲網絡等物理硬件資源軟虛擬化，形成池實現了服務器虛擬化統一管理和動態資源調配，既可以用于幫助戶快速構建體化、高質量的企業級或互聯網數據中心云計算IaaS基礎設施服務體系，又可以用于支撐桌面云、并行計算框架仿真測試等上層應用，形成專門的解決方案。自主知識產權，技術可控可擴展性強支持5,000臺物理服務器節點以上大規模部署單個高可用資源池最大支持50臺以上物理服務器節點提供基于SAN存儲、分布式和本地等多種虛擬機放與運行模支持多租戶服務與計費模型，可支撐云器、桌面主機等運營支持虛擬機跨存儲（SAN存儲到服務器磁盤、SAN存儲到SAN存儲、服務器磁盤到SAN存儲、服務器磁盤到服務器磁盤）在線遷移支持大部分主流服務器、存儲和網絡設備以及操作系統上層應用軟件高性價比，同等規模國外類產品節省80%以上的成本系統優勢產品功能特點基礎設施模塊化通過虛擬化，可對服務器。存儲設備、網絡等基本組成按標準進行模塊化配置設計可針對業務需求進行定制資源和環境虛擬化可將物理資源集中并形成共享虛擬資源池通過虛擬化方案降低服務器數量，優化資源利用率易擴展虛擬化平臺在物理結構層面便于擴展物理服務器的增加并不影響已有服務器以及上層虛擬資源的運行根據已確定的業務應用需求和服務級別實現動態地配置、調整共享資源更好地實現資源的快速擴展和按序調撥良好的容錯性部分物理節點故障并不影響虛擬化平臺的運行故障節點能夠自動遷移并繼續提供服務虛擬化平臺提供針對虛擬化資源的冗余支持產品功能特點自動化管理平臺支持針對虛擬資源的定制調度及管理平臺支持從服務器、存儲到應用的端到端的系統設施統一管理支持大規模部署支持5000臺物理服務器節點以上單個高可用資源池最大支持50臺以上物理服務器節點可定制化的調度引擎調度引擎可編程調度過程可視化調度過程可控可根據實際需求動態調整調度內容產品安全特點虛擬系統安全管理框架虛擬化技術安全虛擬機管理器安全設計虛擬機安全隔離設計虛擬機殘余數據保護設計虛擬機安全通信管理設計虛擬機安全遷移管理設計虛擬機防逃逸監控設計虛擬機遠程顯示控制安全設計安全域邊界防護設計運行安全系統運行監控設計系統備份與恢復設計系統完整性與安全性保護設計系統告警管理設計硬件維護安全設計基于虛擬化的信息安全保護三權分立管理安全設計身份鑒別安全設計訪問控制設計密級標識設計安全審計與監控設計數據保護設計信息完整性校驗設計終端安全設計網絡設備邊界防護設計產品安全特點Linux系統底層加固系統功能裁剪、SELinux內核加固詳細的日志記錄運行日志、管理員操作日志、本地遠程管理日志、日志輸出接口細粒度權限管理三員權限分立互斥、最小授權操作密級標識與流向控制宿主機、虛擬機、網絡、存儲的標密與流向控制數據的隔離與加密保護虛擬機、鏡像、快照、備份、遷移過程的加密保護產品安全特點內存殘余數據清除在關閉虛擬機時將對相應虛擬機內存資源進行回收，系統將對釋放的內存做寫“0”處理，從而保障在新啟動的虛擬機中無法檢測到有用信息。磁盤殘余數據清除刪除虛擬機或虛擬磁盤時，系統將對該虛擬機涉及到的每塊磁盤先后進行按位隨機數據寫入與按位全“0”數據寫入操作，完成虛擬機磁盤的“清零”操作，實現對虛擬機磁盤剩余數據的保護。在完成磁盤剩余信息保護性“清零”銷毀后，系統才刪除虛擬機磁盤，并完成虛擬機對象數據刪除。網絡隔離系統支持虛擬交換機，虛擬機的虛擬網卡以端口（Port）的形式接入虛擬交換機，各虛擬端口之間相互獨立。同一宿主機上不同虛擬機間網絡隔離，虛擬機不能收到目的地址不是自己的非廣播報文，包括ICMP、TCP、UDP等協議的非廣播報文。虛擬機安全遷移在線遷移技術是指把虛擬機在運行狀態下從一臺物理機遷移到另一臺物理服務器上，虛擬機在遷移過程中保持正常運行，遷移后仍然平滑運行。在線遷移基于共享存儲，目的是加速遷移的過程，但在某些無共享存儲或異構共享存儲的情況下，支持跨存儲在線遷移技術虛擬機防逃逸攻擊系統通過強制訪問控制（MAC）和多類別安全（MCS）來進行嚴密的虛擬機防逃逸及虛擬機逃逸監控可擴展性可接入基于流程控制的IT運行管理平臺可接入基于日志關聯分析的安全管理平臺可接入基于終端接入控制的網絡安全準入控制系統支持基于用戶身份管理的PKI/CA體系典型客戶與應用場景04典型客戶與應用場景編寫思路：產品應用場景典型客戶列表（對標桿客戶可重點介紹）篇幅控制在4-6頁應用場景數據中心虛擬化基礎架構應用傳統數據中心一般采用物理基礎架構。服務器資源平均利效率較低，新建應用一般無法分配利其它物理服務器富余可資源，常需要購置新的；隨著服務器資源規模（數量、型號）的快速增加，運維管理壓力大護人員數量也越來多，對維護人員的經驗和技術要求高運管理成本越高；服務器硬件故障對應用的影響較大，恢復過程可能涉及操作系統重新安裝、應用備份恢復等過程，嚴重時可能中斷數小服務。采用VSIP系統，通過對現有X86服務器配置（內存至少16GB，推薦32GB以上）進行利舊擴容，或者選用高性能服務器（4CPU或8CPU），創建支持高可用調），創建支持高可用調度策略的資源池，將物理機逐步集中納管到。實現化模板式部署，可方便地實現在線遷移與零宕機維護提高服務器資源利用效率（40-50%的物理機利用效率）。IDC云服務運營平臺應用業務帶來了巨大的沖擊，各類ISP運營商和云計算軟硬件廠商都紛借鑒亞馬遜的服務模式推出IDC云服務業，低成本、可靠控的虛擬化基礎架構平臺軟件是IDC云服務業成功運營的關鍵，但是國外虛擬化基礎架構解決方案軟件價格高，或者與硬捆綁可定制性差技術支持有限對于運行敏感應用程序也不符合相關的安全要求。采用VSIP系統，基于X86服務器構建支持多種SLA服務級別的云主機資源池，通過VSIP系統提供的REST服務接口與云提供商自建的門戶、運營管理系統、計費等集成，形與亞馬遜AWS平臺系統相當的IDC云服務運營平臺。應用場景服務中心桌面云平臺應用傳統的服務中心，如呼叫、故障保修技術支持等需要部署大量同質化的PC臺式機，部署與管理工作量大PC臺式機信息保密性低、資源利用率低、建設與維護成本高，且PC臺式機處理能力較強，本地磁盤存儲容量大少數服務人員可能在其上安裝運行與工作無關的軟件，易受到病毒或木馬攻擊，對數據、網絡的安全造成影響。采用VSIP系統，通過整合面向云計算的高密度機架式服務器或刀片構建服務中心的虛擬機池（也稱為“桌面云”），用戶通過低功耗設備訪問建服務中心的虛擬機池（也稱為“桌面云”），用戶通過低功耗設備訪問建服務中心的虛擬機池（也稱為“桌面云”），用戶通過低功耗設備訪問面高校桌面云教學平臺應用上機實驗與課堂教學相輔成，是十分重要的動手踐環節但境不同于課堂教學，一般是生人機師巡視答疑并檢查的實驗過程。但是，當前高校計算機實驗室一般都為多門課程服務的存在資源有限、上機需求多樣化、實驗教學管理難度大等問題。采用VSIP系統，構建實驗虛擬機資源池，通過應用云桌面技術改進傳統高校課程上機實驗的教學和管理模式，進一步提高過標準化、精細水平現實驗教學環境連貫性和專一；加強課程機的監督管理可控能力，保證教學效果；提高課程實驗機自動化管理能力，有效減少課程實驗機運行維護工作量；節省實驗機房的硬件建設成本，大幅降低室計算總體電能消耗較。典型客戶國家信息技術安全研究中心海軍某部武警某部綿陽某基地中國電信集團云計算分公司中航工業集團總部中國電力科學研究院國網四川省電力公司

成都市公共資源交易中心武侯區政務服務中心……中國電信集團云計算分公司應用國網四川省電力公司應用項目案例分析05成功項目案例分析中航工業總部服務器虛擬化遷移項目項目背景中航工業需要進行大規模系統工程級的在線聯合設計與制造，從而縮短飛機的制造周期降低設計和制造的成本。虛擬化的技術出現，為航空數字化協同設計提供了平臺級的技術保障，使得業務系統快速部署，快速橫向擴展服務器虛擬化技術在中航工業200多家成員單位實施比例達到了30%以上，主要以VMware、Citrix等廠商為主。中國航空工業集團公司總部（簡稱“集團總部”）從2010年開始嘗試服務器虛擬化的建設與實施，至今虛擬化服務器數量超過了200臺，其比例占集團總部服務器總數量近70%根據國務院2006年發布的《國家中長期科學和技術發展規劃綱要（2006-2020）》中，對于核心電子器件、高端通用芯片以及基礎軟件產品，國產化的相關要求，中航工業信息技術中心按照集團總部的部署要求，聯合國內相關科研校與虛擬化軟件、硬件和安全產品廠商，開展本次關于國產服務器虛擬化替代現有VMware等服務器虛擬化產品和、國產操作系統驗證性部署和國產虛擬化定制研發和與相關試點工作項目建設目標該項目按照國家保密相關標準規范要求，按照集團總部現有信息化的統一基礎架構管理模式規范進行部署。通過自主可控虛擬化軟件平臺的應用，替換現有VMware虛擬化系統，實現服務器虛擬化軟件產品的國產、自主、可信、可控，同時充分利用現有舊服務器和終端，通過虛擬化平臺進行資源整合，提升現有IT基礎架構的資源利用效率和運行保障能力，探索在虛擬化試點建設應用過程中相關的問題，為國家保密業務主管部門相關標準規范的修訂與持續發