國(guó)家保密局網(wǎng)站>>保密科技

基于OpenStack桌面云實(shí)驗(yàn)環(huán)境的設(shè)計(jì)與實(shí)現(xiàn)

2024年11月07日    來源:國(guó)家保密科技測(cè)評(píng)中心【字體: 打印

【摘 要】 隨著云計(jì)算技術(shù)的不斷完善和推廣使用,桌面云作為云計(jì)算的一種應(yīng)用形態(tài)越來越受到關(guān)注。OpenStack作為云計(jì)算平臺(tái),其良好的開放性贏得了廣闊市場(chǎng)。針對(duì)傳統(tǒng)網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境運(yùn)維成本高、利用率低等一系列問題,本文利用虛擬化技術(shù)設(shè)計(jì)并實(shí)現(xiàn)了基于OpenStack的桌面云實(shí)驗(yàn)環(huán)境,在提高資源利用率的同時(shí),實(shí)現(xiàn)IT資源的按需供給和實(shí)驗(yàn)環(huán)境的靈活構(gòu)建。

【關(guān)鍵詞】 OpenStack   虛擬化   云計(jì)算

1 引言

隨著信息化技術(shù)的飛速發(fā)展,傳統(tǒng)的網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境已難以滿足復(fù)雜規(guī)模、彈性擴(kuò)展、多樣應(yīng)用等使用需求。一方面,傳統(tǒng)網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境因操作系統(tǒng)的頻繁崩潰和升級(jí)等問題加大維護(hù)成本和管理難度。另一方面,計(jì)算機(jī)軟硬件的迅速迭代也使傳統(tǒng)網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境面臨著高成本的硬件更新?lián)Q代和兼容性等問題,在一定程度上造成了資源浪費(fèi)。為解決上述問題,有效實(shí)現(xiàn)實(shí)驗(yàn)環(huán)境的快速搭建部署和集中管理,本文采用虛擬化技術(shù),利用原實(shí)驗(yàn)網(wǎng)絡(luò)硬件和軟件資源,研究搭建基于OpenStack的桌面云實(shí)驗(yàn)環(huán)境。OpenStack作為云計(jì)算的基礎(chǔ)服務(wù)架構(gòu),提供了虛擬機(jī)的分配與虛擬機(jī)資源的管理基礎(chǔ),實(shí)現(xiàn)對(duì)服務(wù)器集群計(jì)算資源的統(tǒng)一管理和靈活調(diào)度,為終端用戶按需分配資源和服務(wù),實(shí)現(xiàn)用戶桌面實(shí)驗(yàn)環(huán)境的快速搭建。所謂桌面云是利用虛擬化技術(shù),將原有分散的終端軟件資源(包括操作系統(tǒng)、應(yīng)用軟件、用戶數(shù)據(jù)等)集中地在云端管理起來,進(jìn)行有效組織、安全存儲(chǔ)、按需分配,利用服務(wù)器資源進(jìn)行集中運(yùn)算,并可以通過瘦客戶機(jī)或其他任何與網(wǎng)絡(luò)相連的普通用戶終端訪問跨平臺(tái)的應(yīng)用程序及全部服務(wù)器資源。

本文設(shè)計(jì)構(gòu)建的桌面云實(shí)驗(yàn)環(huán)境遵循以下3項(xiàng)原則。一是完備原則,桌面云實(shí)驗(yàn)環(huán)境應(yīng)能夠盡可能充分、全面地模擬典型信息系統(tǒng),支持靈活組網(wǎng);二是可擴(kuò)展原則,桌面云實(shí)驗(yàn)環(huán)境應(yīng)具有良好的可延伸、可擴(kuò)展能力,可利用虛擬化技術(shù)實(shí)現(xiàn)實(shí)驗(yàn)樣機(jī)的快速分發(fā)、實(shí)驗(yàn)環(huán)境的快速部署、實(shí)驗(yàn)網(wǎng)絡(luò)的快速重構(gòu)、實(shí)驗(yàn)資源的合理分配等;三是節(jié)約利舊原則,桌面云實(shí)驗(yàn)環(huán)境應(yīng)充分考慮復(fù)用已有傳統(tǒng)網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境的軟硬件資源,提高計(jì)算資源的利用率,減少非必要的資源浪費(fèi)。

2 桌面云實(shí)驗(yàn)環(huán)境的設(shè)計(jì)與實(shí)現(xiàn)

2.1 設(shè)計(jì)與規(guī)劃

(1)框架設(shè)計(jì)

根據(jù)構(gòu)建原則,設(shè)計(jì)桌面云實(shí)驗(yàn)環(huán)境框架如圖1所示。

圖1 桌面云實(shí)驗(yàn)環(huán)境框架

物理資源方面,通過服務(wù)器、計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)系統(tǒng)等組成物理網(wǎng)絡(luò),并按需進(jìn)行基礎(chǔ)配置。虛擬化資源方面,通過虛擬化、超融合等技術(shù)將現(xiàn)有計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)等池化,建立計(jì)算資源池、網(wǎng)絡(luò)資源池、存儲(chǔ)資源池和數(shù)據(jù)資源池,并按需分配硬件資源。在網(wǎng)絡(luò)資源池中,利用虛擬化、軟件定義網(wǎng)絡(luò)(SDN)等技術(shù)創(chuàng)建虛擬交換機(jī),并按需為不同的虛擬機(jī)建立網(wǎng)絡(luò)連接、劃分安全域。軟件資源方面,按需在虛擬機(jī)中安裝不同類型操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用軟件、安全防護(hù)產(chǎn)品等。應(yīng)用資源方面,可根據(jù)功能差異部署不同的軟件環(huán)境,如門戶網(wǎng)站、郵件、辦公自動(dòng)化(OA)等典型應(yīng)用系統(tǒng),以及用于攻防演練的靶機(jī)系統(tǒng)及滲透測(cè)試工具等。

(2)物理網(wǎng)絡(luò)設(shè)計(jì)

桌面云實(shí)驗(yàn)環(huán)境需部署控制節(jié)點(diǎn)、計(jì)算節(jié)點(diǎn)、網(wǎng)絡(luò)節(jié)點(diǎn)和存儲(chǔ)節(jié)點(diǎn)4類節(jié)點(diǎn)。控制節(jié)點(diǎn)主要運(yùn)行Nova、Keystone、Neutron、Cinder、Dashboard、各種網(wǎng)絡(luò)代理,以及數(shù)據(jù)庫(kù)、消息隊(duì)列和網(wǎng)絡(luò)時(shí)間協(xié)議(NTP)等支持性服務(wù),提供訪問控制,負(fù)責(zé)各節(jié)點(diǎn)之間的數(shù)據(jù)傳輸和虛擬機(jī)實(shí)例的網(wǎng)絡(luò)連接。計(jì)算節(jié)點(diǎn)主要部署Nova計(jì)算服務(wù)的KVM以運(yùn)行虛擬機(jī)實(shí)例,并且通過網(wǎng)絡(luò)代理,將虛擬機(jī)實(shí)例連接到虛擬網(wǎng)絡(luò),并對(duì)實(shí)例提供防火墻服務(wù)。網(wǎng)絡(luò)節(jié)點(diǎn)提供網(wǎng)絡(luò)資源,負(fù)責(zé)平臺(tái)內(nèi)部的虛擬機(jī)網(wǎng)絡(luò),以及對(duì)外網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的通信。存儲(chǔ)節(jié)點(diǎn)提供塊存儲(chǔ)和對(duì)象存儲(chǔ)資源,負(fù)責(zé)對(duì)虛擬機(jī)自身以外存儲(chǔ)的管理,為虛擬機(jī)實(shí)例提供磁盤存儲(chǔ)??刂乒?jié)點(diǎn)可與計(jì)算節(jié)點(diǎn)部署在同一物理服務(wù)器中,也可以部署在單獨(dú)的物理服務(wù)器中??刂乒?jié)點(diǎn)和計(jì)算節(jié)點(diǎn)分開部署時(shí),節(jié)點(diǎn)間的數(shù)據(jù)可以采用專用的網(wǎng)絡(luò)進(jìn)行傳輸,也可以使用管理網(wǎng)絡(luò)進(jìn)行傳輸。

根據(jù)桌面云實(shí)驗(yàn)環(huán)境部署需求及架構(gòu)設(shè)計(jì),結(jié)合利舊傳統(tǒng)網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境,桌面云實(shí)驗(yàn)環(huán)境物理拓?fù)浣Y(jié)構(gòu)如圖2所示。

圖2 物理網(wǎng)絡(luò)拓?fù)?/p>

物理網(wǎng)絡(luò)環(huán)境主要包括核心交換域、虛擬化服務(wù)域、安全管理域、用戶終端域和安全存儲(chǔ)域。安全管理域負(fù)責(zé)OpenStack各個(gè)組件間的通信;虛擬化服務(wù)域負(fù)責(zé)各個(gè)虛擬機(jī)之間的通信;安全存儲(chǔ)域負(fù)責(zé)OpenStack各組件與存儲(chǔ)的通信。在各安全域間部署防火墻用于保障網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境的安全性。典型的實(shí)體設(shè)備資產(chǎn)信息如表1所示。

表1 物理設(shè)備資產(chǎn)

(3)邏輯網(wǎng)絡(luò)設(shè)計(jì)

根據(jù)桌面云實(shí)驗(yàn)環(huán)境的部署和應(yīng)用,進(jìn)一步設(shè)計(jì)典型邏輯網(wǎng)絡(luò)拓?fù)?,如圖3所示。典型邏輯設(shè)備資產(chǎn)信息如表2所示。

     圖3 邏輯網(wǎng)絡(luò)拓?fù)?/p>

表2 邏輯設(shè)備資產(chǎn)

2.2 部署與實(shí)施

基于OpenStack桌面云實(shí)驗(yàn)環(huán)境部署重點(diǎn)涉及控制節(jié)點(diǎn)和計(jì)算節(jié)點(diǎn)的部署與配置,控制節(jié)點(diǎn)實(shí)現(xiàn)云平臺(tái)的管理,計(jì)算節(jié)點(diǎn)構(gòu)建虛擬化資源池,滿足用戶對(duì)虛擬化實(shí)驗(yàn)環(huán)境的需求,實(shí)施部署步驟如下。

(1)服務(wù)器基礎(chǔ)環(huán)境的準(zhǔn)備:完成服務(wù)器操作系統(tǒng)安裝和基礎(chǔ)配置。

(2)網(wǎng)絡(luò)配置及控制節(jié)點(diǎn)部署:通過腳本安裝所需軟件包并啟動(dòng)服務(wù),修改控制節(jié)點(diǎn)配置文件,完成控制節(jié)點(diǎn)和計(jì)算節(jié)點(diǎn)IP地址配置,在瀏覽器中輸入控制節(jié)點(diǎn)IP地址,驗(yàn)證控制節(jié)點(diǎn)是否配置成功。

(3)計(jì)算節(jié)點(diǎn)部署:配置hosts文件,增加IP controller和IP computer完成基礎(chǔ)配置,設(shè)置控制節(jié)點(diǎn)與計(jì)算節(jié)點(diǎn)時(shí)鐘同步。

(4)組件服務(wù)安裝及配置:安裝所需服務(wù)和組件(如Nova-api、Nova-compute、Nova-network等),修改相關(guān)配置并啟動(dòng)對(duì)應(yīng)服務(wù),與控制節(jié)點(diǎn)進(jìn)行通信。

(5)計(jì)算節(jié)點(diǎn)網(wǎng)橋配置:創(chuàng)建網(wǎng)橋,將IP地址轉(zhuǎn)移到網(wǎng)橋,添加到開機(jī)啟動(dòng)。

(6)虛擬機(jī)實(shí)例創(chuàng)建:登錄虛擬化平臺(tái),創(chuàng)建虛擬機(jī)實(shí)例。

完成節(jié)點(diǎn)的部署和配置后,可以通過用戶終端或瘦客戶機(jī)瀏覽器打開用戶虛擬桌面,進(jìn)行用戶身份驗(yàn)證后,可以根據(jù)需求配置使用所需的實(shí)驗(yàn)環(huán)境資源。

3 結(jié)語

本文利用虛擬化技術(shù),結(jié)合已有網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境資源,提出了基于OpenStack的桌面云實(shí)驗(yàn)環(huán)境部署方案?;贠penStack的桌面云實(shí)驗(yàn)環(huán)境的構(gòu)建實(shí)現(xiàn)了用戶快速靈活模擬搭建不同網(wǎng)絡(luò)規(guī)模、應(yīng)用多樣化實(shí)驗(yàn)場(chǎng)景的需求,很好地支持了滲透性測(cè)試等實(shí)操實(shí)驗(yàn)和研究,為用戶提供方便快捷應(yīng)用模式的同時(shí)降低了硬件資源和維護(hù)成本。

 (原載于《保密科學(xué)技術(shù)》雜志2023年2月刊)