云主机与传统物理机的比较及组网实例

摘要：云主机是云计算在基础设施应用上的重要组成部分，位于云计算产业链金字塔底层，产品源自云计算平台。该平台整合了互联网应用三大核心要素：计算、存储、网络，面向用户提供公用化的互联网基础设施服务，与传统的物理机相比，它能够有效地解决传统物理机与VPS服务过程中管理难度大、业务扩展性弱的缺陷。本文主要研究的是云主机与传统物理机的区别，并通过审批中心组网案例进行深入的剖析，结合项目本身的需求以及技术可行性、可操作性的论证，对整个云基础实施进行逻辑功能的模块化划分。

关键词：云平台 云存储 云安全 云资源池

服务器是云计算平台的核心，其承担着云计算平台的“计算”功能。对于云计算平台上的服务器，通常都是将相同或者相似类型的服务器组合在一起，作为资源分配的母体，即所谓的服务器资源池。在这个服务器资源池上，再通过安装虚拟化软件，使得其计算资源能以一种虚拟服务器的方式被不同的应用使用。这里所提到的虚拟服务器，是一种逻辑概念。对不同处理器架构的服务器以及不同的虚拟化平台软件，其实现的具体方式不同。在x86系列的芯片上，其主要是以常规意义上的VMware虚拟机或者其他厂商虚拟机的形式存在。云主机所采用的X86服务均为目前业界主流，高性能的PC服务器，所使用的虚拟化软件为业界商用最稳定、最可靠的VMware虚拟化软件，有效保障了软硬件设备的兼容性。

在提供云平台服务过程中，针对不同的服务类型（例如计算资源租用、存储容量租用服务、网络带宽租用服务等），均有准确的计量的方法来自服务动控制和优化资源配置。即资源的使用可被监测和控制，是一种即付即用的服务模式。政府部门可根据实际使用的资源服务情况，按需租用付费，同时可进行弹性扩展，减少了一次性投入大量的人力、财力和建设时间去扩容硬件设备，以及不需要承担硬件设备维护、折损等后续运维服务的支出。对于云服务而言，各种底层资源（计算、储存、网络、资源逻辑等）的异构性（如果存在某种异构性）被屏蔽，边界被打破，所有的资源可以被统一管理和调度，成为所谓的“资源池”，从而提供按需服务；对用户而言，这些资源是透明的，无限大的，无须了解内部结构，只关心需求是否得到满足即可。审批中心私有云平台部署在温州滨海的云计算中心，将通过光纤直接联入瓯江口新区核心网络。瓯江口新区是温州中心城市主拓展区和温州海洋经济示范区。在审批中心需部署业务系统，从系统建设、资金投入、设备维护等方面考虑，云计算是非常合适的解决方案。

在充分研究本项目需求及考虑到技术的可行性，项目的可实施性及积累的云计算建设经验基础上，对整个云基础实施进行逻辑功能的模块化划分。

1 以数据交换为核心，构建云网络

包含核心的数据交换、数据的汇聚、存储交换机等。围绕云网络通过设置，构建云安全区，DMZ数据交换区、主机资源、存储资源、管理平台等。

2 云安全区，在该逻辑区域首要是解决所构建系统的安全性

通过防火墙进行不同网络之间的隔离；使用IPS/IDS对病毒扫描，及入侵进行检测；同样可以选择对网络DDOS攻击进行防御和分流的设备，保障系统能够正常访问。对于用户的认证及访问可以通过用户认证服务器和VPN设备实现安全的接入和访问。

3 DMZ区

DMZ是英文“Demilitarized Zone”的缩写，中文名称为“隔离区”。它是为了解决安装防火墙后外部网络不能直接访问内部网络服务器，从而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于内部网络和外部网络之间的小网络区域内。在DMZ区域中通常包括堡垒主机、内部防火墙，以及所有需要同外部交换数据的公共服务应用。通过这样一个DMZ区域，更加有效地保护了内部网络。审批中心对外发布平台应用服务器可部署相关应用至DMZ区，做到内外网数据有效隔离，保障内网数据库的安全性与可靠性。

4 主机资源区

包含审批中心云平台所需的计算资源、存储资源及网络资源。该区域所使用的物理服务器均采用业界主流的X86PC服务器，结合主流商用虚拟化软件Vmware，实现高性能、高可靠的虚拟主机。虚拟主机所采用的均为高性能的块存储，有效保障了用户数据的存取速度。虚拟机所共享的网络均为千兆网络，上联核心设备均采用万兆网络，以扁平的大二层，保障了整个云网络的高带宽及可靠性。

5 云存储区

使用中国电信VPN专线与云备份打通，可为审批中心云平台提供包括虚拟机备份、数据库备份、文件备份等多项备份服务。审批中心可根据实际应用安全需求，使用云备份产品，自助选择备份策略，系统将定期自动为重要数据提供多节点的异地备份服务。

6 以数据交换为核心，构建云网络

包含核心的数据交换、数据的汇聚、存储交换机等。围绕云网络通过设置，构建云安全区，DMZ数据交换区、主机资源、存储资源、管理平台等。

7 云安全区

在该逻辑区域首要是解决所构建系统的安全性。通过防火墙进行不同网络之间的隔离；使用IPS/IDS对病毒扫描，及入侵进行检测；同样可以选择对网络DDOS攻击进行防御和分流的设备，保障系统能够正常访问。对于用户的认证及访问可以通过用户认证服务器和VPN设备实现安全的接入和访问。

8 DMZ区

DMZ是英文“Demilitarized Zone”的缩写，中文名称为“隔离区”。它是为了解决安装防火墙后外部网络不能直接访问内部网络服务器，从而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于内部网络和外部网络之间的小网络区域内。在DMZ区域中通常包括堡垒主机、内部防火墙，以及所有需要同外部交换数据的公共服务应用。通过这样一个DMZ区域，更加有效地保护了内部网络。审批中心对外发布平台应用服务器可部署相关应用至DMZ区，做到内外网数据有效隔离，保障内网数据库的安全性与可靠性。