基于OpenStack桌面云實驗環(huán)境的設(shè)計與實現(xiàn)

2024年11月07日來源：國家保密科技測評中心【字體：大中小】打印

【摘要】 隨著云計算技術(shù)的不斷完善和推廣使用，桌面云作為云計算的一種應(yīng)用形態(tài)越來越受到關(guān)注。OpenStack作為云計算平臺，其良好的開放性贏得了廣闊市場。針對傳統(tǒng)網(wǎng)絡(luò)實驗環(huán)境運維成本高、利用率低等一系列問題，本文利用虛擬化技術(shù)設(shè)計并實現(xiàn)了基于OpenStack的桌面云實驗環(huán)境，在提高資源利用率的同時，實現(xiàn)IT資源的按需供給和實驗環(huán)境的靈活構(gòu)建。

【關(guān)鍵詞】 OpenStack 虛擬化云計算

1 引言

隨著信息化技術(shù)的飛速發(fā)展，傳統(tǒng)的網(wǎng)絡(luò)實驗環(huán)境已難以滿足復(fù)雜規(guī)模、彈性擴展、多樣應(yīng)用等使用需求。一方面，傳統(tǒng)網(wǎng)絡(luò)實驗環(huán)境因操作系統(tǒng)的頻繁崩潰和升級等問題加大維護(hù)成本和管理難度。另一方面，計算機軟硬件的迅速迭代也使傳統(tǒng)網(wǎng)絡(luò)實驗環(huán)境面臨著高成本的硬件更新?lián)Q代和兼容性等問題，在一定程度上造成了資源浪費。為解決上述問題，有效實現(xiàn)實驗環(huán)境的快速搭建部署和集中管理，本文采用虛擬化技術(shù)，利用原實驗網(wǎng)絡(luò)硬件和軟件資源，研究搭建基于OpenStack的桌面云實驗環(huán)境。OpenStack作為云計算的基礎(chǔ)服務(wù)架構(gòu)，提供了虛擬機的分配與虛擬機資源的管理基礎(chǔ)，實現(xiàn)對服務(wù)器集群計算資源的統(tǒng)一管理和靈活調(diào)度，為終端用戶按需分配資源和服務(wù)，實現(xiàn)用戶桌面實驗環(huán)境的快速搭建。所謂桌面云是利用虛擬化技術(shù)，將原有分散的終端軟件資源（包括操作系統(tǒng)、應(yīng)用軟件、用戶數(shù)據(jù)等）集中地在云端管理起來，進(jìn)行有效組織、安全存儲、按需分配，利用服務(wù)器資源進(jìn)行集中運算，并可以通過瘦客戶機或其他任何與網(wǎng)絡(luò)相連的普通用戶終端訪問跨平臺的應(yīng)用程序及全部服務(wù)器資源。

本文設(shè)計構(gòu)建的桌面云實驗環(huán)境遵循以下3項原則。一是完備原則，桌面云實驗環(huán)境應(yīng)能夠盡可能充分、全面地模擬典型信息系統(tǒng)，支持靈活組網(wǎng)；二是可擴展原則，桌面云實驗環(huán)境應(yīng)具有良好的可延伸、可擴展能力，可利用虛擬化技術(shù)實現(xiàn)實驗樣機的快速分發(fā)、實驗環(huán)境的快速部署、實驗網(wǎng)絡(luò)的快速重構(gòu)、實驗資源的合理分配等；三是節(jié)約利舊原則，桌面云實驗環(huán)境應(yīng)充分考慮復(fù)用已有傳統(tǒng)網(wǎng)絡(luò)實驗環(huán)境的軟硬件資源，提高計算資源的利用率，減少非必要的資源浪費。

2 桌面云實驗環(huán)境的設(shè)計與實現(xiàn)

2.1 設(shè)計與規(guī)劃

（1）框架設(shè)計

根據(jù)構(gòu)建原則，設(shè)計桌面云實驗環(huán)境框架如圖1所示。

圖1 桌面云實驗環(huán)境框架

物理資源方面，通過服務(wù)器、計算機、網(wǎng)絡(luò)設(shè)備、存儲系統(tǒng)等組成物理網(wǎng)絡(luò)，并按需進(jìn)行基礎(chǔ)配置。虛擬化資源方面，通過虛擬化、超融合等技術(shù)將現(xiàn)有計算、存儲和網(wǎng)絡(luò)等池化，建立計算資源池、網(wǎng)絡(luò)資源池、存儲資源池和數(shù)據(jù)資源池，并按需分配硬件資源。在網(wǎng)絡(luò)資源池中，利用虛擬化、軟件定義網(wǎng)絡(luò)（SDN）等技術(shù)創(chuàng)建虛擬交換機，并按需為不同的虛擬機建立網(wǎng)絡(luò)連接、劃分安全域。軟件資源方面，按需在虛擬機中安裝不同類型操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件、安全防護(hù)產(chǎn)品等。應(yīng)用資源方面，可根據(jù)功能差異部署不同的軟件環(huán)境，如門戶網(wǎng)站、郵件、辦公自動化（OA）等典型應(yīng)用系統(tǒng)，以及用于攻防演練的靶機系統(tǒng)及滲透測試工具等。

（2）物理網(wǎng)絡(luò)設(shè)計

桌面云實驗環(huán)境需部署控制節(jié)點、計算節(jié)點、網(wǎng)絡(luò)節(jié)點和存儲節(jié)點4類節(jié)點。控制節(jié)點主要運行Nova、Keystone、Neutron、Cinder、Dashboard、各種網(wǎng)絡(luò)代理，以及數(shù)據(jù)庫、消息隊列和網(wǎng)絡(luò)時間協(xié)議（NTP）等支持性服務(wù)，提供訪問控制，負(fù)責(zé)各節(jié)點之間的數(shù)據(jù)傳輸和虛擬機實例的網(wǎng)絡(luò)連接。計算節(jié)點主要部署Nova計算服務(wù)的KVM以運行虛擬機實例，并且通過網(wǎng)絡(luò)代理，將虛擬機實例連接到虛擬網(wǎng)絡(luò)，并對實例提供防火墻服務(wù)。網(wǎng)絡(luò)節(jié)點提供網(wǎng)絡(luò)資源，負(fù)責(zé)平臺內(nèi)部的虛擬機網(wǎng)絡(luò)，以及對外網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間的通信。存儲節(jié)點提供塊存儲和對象存儲資源，負(fù)責(zé)對虛擬機自身以外存儲的管理，為虛擬機實例提供磁盤存儲。控制節(jié)點可與計算節(jié)點部署在同一物理服務(wù)器中，也可以部署在單獨的物理服務(wù)器中。控制節(jié)點和計算節(jié)點分開部署時，節(jié)點間的數(shù)據(jù)可以采用專用的網(wǎng)絡(luò)進(jìn)行傳輸，也可以使用管理網(wǎng)絡(luò)進(jìn)行傳輸。

根據(jù)桌面云實驗環(huán)境部署需求及架構(gòu)設(shè)計，結(jié)合利舊傳統(tǒng)網(wǎng)絡(luò)實驗環(huán)境，桌面云實驗環(huán)境物理拓?fù)浣Y(jié)構(gòu)如圖2所示。

圖2 物理網(wǎng)絡(luò)拓?fù)?/p>

物理網(wǎng)絡(luò)環(huán)境主要包括核心交換域、虛擬化服務(wù)域、安全管理域、用戶終端域和安全存儲域。安全管理域負(fù)責(zé)OpenStack各個組件間的通信；虛擬化服務(wù)域負(fù)責(zé)各個虛擬機之間的通信；安全存儲域負(fù)責(zé)OpenStack各組件與存儲的通信。在各安全域間部署防火墻用于保障網(wǎng)絡(luò)實驗環(huán)境的安全性。典型的實體設(shè)備資產(chǎn)信息如表1所示。

表1 物理設(shè)備資產(chǎn)

（3）邏輯網(wǎng)絡(luò)設(shè)計

根據(jù)桌面云實驗環(huán)境的部署和應(yīng)用，進(jìn)一步設(shè)計典型邏輯網(wǎng)絡(luò)拓?fù)洌鐖D3所示。典型邏輯設(shè)備資產(chǎn)信息如表2所示。

圖3 邏輯網(wǎng)絡(luò)拓?fù)?/p>

表2 邏輯設(shè)備資產(chǎn)

2.2 部署與實施

基于OpenStack桌面云實驗環(huán)境部署重點涉及控制節(jié)點和計算節(jié)點的部署與配置，控制節(jié)點實現(xiàn)云平臺的管理，計算節(jié)點構(gòu)建虛擬化資源池，滿足用戶對虛擬化實驗環(huán)境的需求，實施部署步驟如下。

（1）服務(wù)器基礎(chǔ)環(huán)境的準(zhǔn)備：完成服務(wù)器操作系統(tǒng)安裝和基礎(chǔ)配置。

（2）網(wǎng)絡(luò)配置及控制節(jié)點部署：通過腳本安裝所需軟件包并啟動服務(wù)，修改控制節(jié)點配置文件，完成控制節(jié)點和計算節(jié)點IP地址配置，在瀏覽器中輸入控制節(jié)點IP地址，驗證控制節(jié)點是否配置成功。

（3）計算節(jié)點部署：配置hosts文件，增加IP controller和IP computer完成基礎(chǔ)配置，設(shè)置控制節(jié)點與計算節(jié)點時鐘同步。

（4）組件服務(wù)安裝及配置：安裝所需服務(wù)和組件（如Nova-api、Nova-compute、Nova-network等），修改相關(guān)配置并啟動對應(yīng)服務(wù)，與控制節(jié)點進(jìn)行通信。

（5）計算節(jié)點網(wǎng)橋配置：創(chuàng)建網(wǎng)橋，將IP地址轉(zhuǎn)移到網(wǎng)橋，添加到開機啟動。

（6）虛擬機實例創(chuàng)建：登錄虛擬化平臺，創(chuàng)建虛擬機實例。

完成節(jié)點的部署和配置后，可以通過用戶終端或瘦客戶機瀏覽器打開用戶虛擬桌面，進(jìn)行用戶身份驗證后，可以根據(jù)需求配置使用所需的實驗環(huán)境資源。

3 結(jié)語

本文利用虛擬化技術(shù)，結(jié)合已有網(wǎng)絡(luò)實驗環(huán)境資源，提出了基于OpenStack的桌面云實驗環(huán)境部署方案。基于OpenStack的桌面云實驗環(huán)境的構(gòu)建實現(xiàn)了用戶快速靈活模擬搭建不同網(wǎng)絡(luò)規(guī)模、應(yīng)用多樣化實驗場景的需求，很好地支持了滲透性測試等實操實驗和研究，為用戶提供方便快捷應(yīng)用模式的同時降低了硬件資源和維護(hù)成本。

（原載于《保密科學(xué)技術(shù)》雜志2023年2月刊）