赞
踩
数字化转型发展分为3大阶段,On-Premise、Cloud-Based、Cloud-Native。其实目前有80%的客户还是聚焦在中间的领域,也就是Cloud-Based,主要的特点是客户要把自己的业务平移上云,通过虚拟化、容器、裸金属服务把业务原封不动的放在云平台上,使得资源发放、运维效率得到明显的提升,这个场景里,从厂商的角度来看是非常确定性的需求场景,客户一般关注的是极致稳定、可靠的云平台,自动化管理能力、南北向是不是足够开放等。未来第三个阶段,全面云化以后,特别是客户走到云原生,随着业务和数据的改造和重构,不光是对客户、对ISV(独立软件供应商)、对厂商都带来各种各样不确定性的挑战。从Cloud-Based到Cloud-Native,两种模式将长期并存,预计将有10年以上的并存周期。
从数字化转型发展阶段可以看到,无论是Cloud-Based还是Cloud-Native,都和Cloud紧密相关,那政企客户在进行数字化转型的时候到底需要什么样的云?回答这个问题,我们需要从目前政企客户的问题和挑战出发:
在传统的政企IT系统中,通常都会出现条块分割,资源分离建设的情况,每个业务部门都建立了自己的一朵私有云。
各个业务部门的数据量也是非常大,会形成数据风暴,导致业务部门无法实时分析和处理数据,直接影响管理决策非常被动。
现有系统很复杂,数据、接口繁多,客户化创新难度很大。
对于进入Cloud-Based业务平滑入云的阶段,摆在客户面前的是如何管理存量资源?如何实现资源共享和按需调度?业务如何平滑迁移上云?上云后,离开了传统的大型机、小型机、集群服务器等如何确保业务在云内的可靠运行?这些问题都是政企智能升级要考虑的首要问题。
总结,政企数字化转型需要一朵“用户统一视角”、“跨域协同”、“加速应用创新”的云。
这里值得一提的是,华为公有云(HC)和华为云Stack(HCS),“师出同门”,两个面向于不同客户的云,**在设计之初就遵循了架构上的“五同”:同架构、同API、同主干版本、同云服务体验、同生态。**正是因为这“五同”架构上的约束,使得华为能够快速的把公有云上丰富的云服务能力和创新以及它的生态资源,同步到客户本地机房(以及安装在机房的华为云Stack),支撑政企客户智能升级。华为云Stack支持政企客户智能升级策略,可以从如下四个阶段逐步推进和深入:
基础设施云化,打造坚实底座,将业务平移上云;
数据使能,构建逻辑数据湖;
应用使能,重构业务和创新,进入云原生;
最后,通过最佳实践,帮助客户快速建云,安心用云,打通云与政企架构的深入匹配与融合。
相关术语:
IEF:Intelligent EdgeFabric,华为云智能边缘平台,基于云原生技术构建的边云协同操作系统,可运行在多种边缘设备上,将丰富的AI、IoT及数据分析等智能应用,以轻量化的方式从云端部署到边缘,满足用户对智能应用边云协同的业务诉求。
随着数据中心业务的发展,传统数据中心面临着很多新的挑战。为了应对传统数据中心面临的挑战并顺应技术发展趋势,华为推出了新一代华为云Stack解决方案。
在华为云Stack解决方案中,采用FusionSphere OpenStack作为云平台,对各个物理数据中心资源进行整合;采用ManageOne作为数据中心管理软件,对多个数据中心提供统一管理。通过云平台和数据中心管理软件协同运作,达到多数据中心融合、提升企业整体IT效率的目的。并基于此,提供计算、存储、网络、安全、灾备、大数据、数据库和PaaS(平台即服务)等丰富的云服务。
华为云Stack是物理分散、逻辑统一、业务驱动、云管协同、业务感知的数据中心解决方案,可支持企业或机构业务的持续发展,满足对业务全生命周期的管理。
物理分散是指企业的多个数据中心分布在不同的区域。不同区域的物理数据中心在部署云平台后,可以实现IT资源的整合,统一对外提供服务。
逻辑统一是指通过数据中心管理软件对分布在不同区域的多个数据中心进行统一管理。逻辑统一有两方面的含义:
提供统一的运维管理平台,对分布在不同区域的资源进行统一管理、调度。
提供统一的运营管理平台,对外提供统一的界面,对云服务进行统一运营管理。将云服务和运营解耦,缓解多部件紧耦合配套,加快发布节奏。
IAM:Identity & Access Management,身份管理与访问控制,主要包括账号信息管理、角色权限管理、访问控制管理和日志管理等功能。
华为云Stack产品组件:
Cloud Provisioning Service(CPS),负责IaaS的云平台层的部署和升级,是IaaS层中真正面向硬件设备,并将其池化软件化的部件。
Service OM,资源池(计算/存储/网络)以及基础云服务(ECS/EVS/VPC)的管理工具。
服务中心,ManageOne运营面。
运维中心,ManageOne运维面。
运营指挥中心,ManageOne运营指挥中心。
FusionCare,面向运维人员的统一巡检及FusionSphere离线日志收集工具。
CloudNetDebug,面向运维人员,实现界面自动化抓包和拨测的运维工具。
eSight,提供服务器、存储设备和网络设备的统一管理。
华为云Stack公共组件:
LVS(Linux Virtual Server),即Linux服务器集群系统,为混合云公共服务提供一级负载均衡。
Nginx为云服务Console页面提供反向代理,实现业务和数据在各个Console节点的负载均衡,达到流量分发的目的。云服务的请求会通过LVS下发,转发到Nginx,Nginx把相应云服务的请求转发到云服务Console。
HAProxy对云服务提供从Console节点到Service节点的负载均衡。云服务请求由Console下发到HAProxy,HAProxy根据相应的请求转发到对应云服务的Service节点。
DNS为云服务、ManageOne和租户提供域名解析服务。
NTP(Network Time Protocol)为混合云云服务、ManageOne和租户提供时间同步。
DMK(Deploy Management Kit)提供统一的部署与安装配置平台,实现所有服务的安装部署与补丁升级功能。
API Gateway,即API网关,提供API的管理以及API的内外网隔离。用户访问各云服务的API时,不是通过直接调用各云服务的API接口,而是各云服务的API先在API网关上进行注册,通过API网关将云服务API暴露给用户访问。这样可以屏蔽一些非法请求,并防止内部的管理API暴露。
组合API,为弹性云服务器、云硬盘和云硬盘备份等服务提供后台服务,可以理解为Console的服务端。
TaskCenter即任务中心,用于查看ECS等服务实例的创建情况。
SDR(Service Detail Record),即计量话单,提供各云服务计量计费的文件输出功能。
CCS(Cloud Configuration Service),即云配置服务,是基于混合云提供接入第三方云资源的云服务,该服务具有提供跨云统一管理和跨云部署的能力。
GaussDB为各云服务提供公共数据库。
FusionSphere OpenStack方案中提供两个用户可以登录的产品Portal,CPS(Cloud Provisioning Service)和Service OM。
UVP:Unified Virtualization Platform,华为统一虚拟化平台,华为基于云计算的数据中心解决方案的关键技术平台,UVP=EulerOS+KVM。
LVM:Logical Volume Manager,逻辑卷管理器,提供了更高层次的硬盘存储,使系统管理员能够更方便地为应用和用户分配存储空间。在LVM管理下的存储卷能够按需要随时改变大小和移除,允许管理员按用户组对存储卷进行管理,允许管理员用更直观的名称来标识存储卷。
相关术语:
PXE:一种远程计算机引导技术,是RPL(Remote Initial Program Load,远程启动服务)的升级技术,可以使计算机通过网络启动。分为client和server两端,PXE client在网卡的ROM中,当计算机引导时,BIOS把PXE client调入内存执行,PXE client从DHCP server获取一个IP地址,通过TFTP将放置在远端的操作系统下载到本地运行。
QoS:Quality of Service,通信系统或信道的常用性能指标之一。不同的系统及业务中其定义不尽相同,可能包括抖动、时延、丢包率、误码率、信噪比等。用来衡量一个传输系统的传输质量和服务有效性,评估服务商满足客户需求的能力。
NUMA:Non-Uniform Memory Access,非一致性内存访问,一种CPU与内存的硬件架构,NUMA模式下,处理器被划分成多个“节点”(node), 每个节点被分配有的本地存储器空间。所有节点中的处理器都可以访问全部的系统物理存储器,但是访问本节点内的存储器所需要的时间,比访问某些远程节点内的存储器所花的时间要少得多。
FusionSphere OpenStack集群控制节点为3个,三节点部署模式为负载均衡,但运行在其上的CPS Server部署模式为一主两备。
对于华为云Stack方案中,控制节点和管理节点的概念要区分开来:
如果客户侧只部署FusionSphere OpenStack方案,此时统一叫控制节点(标配3台)。
如果客户侧部署了整套华为云Stack方案,此时控制节点为基础管理节点(标配3台),还有云服务管理节点(根据安装的云服务数量进行规划)。
FusionSphere CPS架构说明如下:
Starter:与Host OS一起打包,负责Host OS的配置加载和CPS Client其他模块的加载和启动;
cps-monitor(本地监控服务):负责向本地部署服务提供监控功能,服务心跳丢失后cps-monitor将重新启动该服务。
DS(Distribute Service,分布式一致性数据服务):负责提供CPS系统的配置功能、名字服务和分布式锁功能(采用zookeeper)。
SWH(Software House,软件仓库):负责软件包管理。
CPS Server:负责Host管理和服务部署管理。
CPS Client:负责Host信息收集上报(能力信息及部署服务信息)、本地服务部署,并向本地部署服务提供分布式一致性数据服务的代理功能。
HCSD:Huawei Cloud Stack Deploy,华为云Stack产品自动化安装工具;在项目开局阶段,工程师可使用该工具一键式安装华为云Stack方案中的操作系统、平台组件、公共组件、云服务等。
Service OM是FusionSphere OpenStack方案中的资源管理的工具,管理员可通过登录Service OM对整个OpenStack资源池进行管理。
FusionSphere OpenStack方案中并没有Horizon组件,而是通过Service OM提供Dashboard。
Service OM的功能如下:
资源监控:监控主机、虚拟机、磁盘的状态,同时记录资源池中各个资源(计算资源、存储资源、网络资源、镜像资源)的数量。
资源管理:对基础资源(计算、存储、网络、镜像、裸金属)进行管理(创建、删除、修改等),如果局点中存在高阶服务,可以对高阶服务资源进行管理,高阶服务相关内容本课程不涉及。
资源审计:在使用FusionSphere OpenStack云平台时,因为系统意外故障(例如主机重启、进程重启)或执行备份恢复时,出现资源残留、资源不可用等问题,导致业务无法正常进行,系统上报告警。为提高维护效率,FusionSphere收集上报的高频告警所涉及的审计项,通过Service OM界面查看、处理审计项,从而保证业务正常运行,可审计的资源包含虚拟机、镜像、卷、快照、虚拟网络、裸金属服务器。
系统管理:包含任务与日志、用户与证书、系统管理、对接功能。
FusionSphere OpenStack OM和Service OM是同一个产品在不同场景下的名称,在华为云Stack方案中,该产品为Service OM,在电信云NFV架构中,该产品为FusionSphere OpenStack OM;但在CPS界面上去查看Service OM都是统一标识为FusionSphere OpenStack OM。
登录方案可以参考《华为云Stack 8.X 帐户一览表》。
CMP:Cloud Management Platform,云管平台,在华为云Stack方案中,只有ManageOne才能称之为CMP。
ManageOne是比FusionSphere OpenStack更大的云平台,这里需要强调的是FusionSphere OpenStack由于其只能对计算、存储、网络资源池进行管理,而无法管理容器、数据库等资源池,所以FusionSphere OpenStack满足不了称为CMP的条件,但这个能力,ManageOne是可以实现的。
该图只需要关注ManageOne的服务中心即可,ManageOne的服务中心主要用来管理云服务资源(ECS,EVS等)、租户运营(计量计价、项目管理等)以及运营管理(流程审批、配额管理等),并通过统一的服务门户(Portal)面向于业务人员以及服务管理员。
具体运营相关的详细内容会在本课程《华为云Stack运营》章节详细介绍。
部署ManageOne平台,需要在FusionSphere OpenStack资源池中创建15台管理虚拟机(该过程由HCSD工具自动安装创建,无法人工介入),其中10台必选,5台可选,具体可参考正文表格。
ManageOne-Deploy01~02,主备部署,部署节点,提供业务节点管理、升级、备份等基础能力。
ManageOne-Service01~02,主备部署,运维节点,部署运维相关服务,提供ManageOne基本业务(告警、容量等)功能。
ManageOne-Service03~04,主备部署,运营节点,部署运营面基础服务,提供组织管理、配额管理和计量管理等功能。
ManageOne-DB01~02,主备部署,数据库节点,部署数据库服务,提供数据库基础功能。
ManageOne-Tenant01~02,主主部署,ManageOne租户节点,提供运营面相关服务。
ManageOne-LogCenter01~03,主主部署,日志中心节点,部署日志相关服务,提供日志中心功能。根据部署规模、Region数量的不同,日志中心节点的数量是动态的,可能有0个或多个。
ManageOne-vAPP01~02,主备部署,应用管理节点,支持基于应用发放相应资源。
服务中心安装在ManageOne-Service03和ManageOne-Service04管理虚拟机里。
ManageOne集中运维平台采用业界主流的微服务的分布式软件架构,面向海量运维场景而设计,作为数据中心运维统一入口,聚焦客户价值,一次登录,一个Portal,提供监、管、控一站式自动化运维平台。
基于采用分层解耦的架构原则,整个产品分为:
采控层:基于Agent和驱动对接技术,实现海量数据插件化的全栈接入能力。
平台层:由CMDB,数据分析平台和自动化运维三大平台构建运维基础能力底座,沉淀运维数据,并提供开放的运维能力。
运维场景层:聚焦客户价值和业务场景,匹配客户运维组织,提供场景化体验,构建监、管、控一站式运维。
开放接口:提供标准化的数据接入能力,同时通过北向API将运维数据开放给第三方。
具体运维逻辑架构的详细内容会在本课程《华为云Stack运维》章节详细介绍。
部署ManageOne平台,需要在FusionSphere OpenStack资源池中创建15台管理虚拟机(该过程由HCSD工具自动安装创建,无法人工介入),其中10台必选,5台可选,具体可参考正文表格。
ManageOne-Deploy01~02,主备部署,部署节点,提供业务节点管理、升级、备份等基础能力。
ManageOne-Service01~02,主备部署,运维节点,部署运维相关服务,提供ManageOne基本业务(告警、容量等)功能。
ManageOne-Service03~04,主备部署,运营节点,部署运营面基础服务,提供组织管理、配额管理和计量管理等功能。
ManageOne-DB01~02,主备部署,数据库节点,部署数据库服务,提供数据库基础功能。
ManageOne-Tenant01~02,主主部署,ManageOne租户节点,提供运营面相关服务。
ManageOne-LogCenter01~03,主主部署,日志中心节点,部署日志相关服务,提供日志中心功能。根据部署规模、Region数量的不同,日志中心节点的数量是动态的,可能有0个或多个。
ManageOne-vAPP01~02,主备部署,应用管理节点,支持基于应用发放相应资源。
运维中心相关组件安装在ManageOne-Service01和ManageOne-Service02管理虚拟机里。
数据源:OCC的数据可以来源于服务中心SC、运维中心OC、业务系统或第三方云平台、业务监控系统,采集的数据传送给数据平台层。
数据平台:数据平台主要的作用是收集来自于不同数据源的数据,并保存在HDFS或者OBS桶里,这里使用了大数据服务MRS,即MapReduce服务,MRS做为底层数据平台,在使用运营指挥中心界面功能时不感知。
数据加工:在MRS服务里保存数据在被使用之前需要进行数据加工,还会利用一些AI算法对数据进行处理。
数据消费:被加工好的数据传递给数据消费层,为了方便数据的使用,该层使用可视化组件(DLV)进行更好的数据消费,或数据通过大屏/报表显示出来。
Portal:目前版本OCC的Portal有值班室、分析室和制作室,指挥室正在规划阶段,详细这几个室的说明会在后面讲解。
中央集权IT:ManageOne相关的服务中心、运维中心、运营指挥中心、部署升级中心HCSU都部署在集团总部,集团总部统一进行各分支机构的运营运维动作;分支机构各Region里不部署任何ManageOne组件,全部北向接入到集团总部ManageOne的服务中心和运维中心进行管控;集团总部可通过部署升级中心对各Region里组件进行升级。
分散型IT:运营指挥中心、部署升级中心HCSU部署在集团总部,服务中心和运维中心部署在各分支机构,分支机构自己进行各自的运营运维动作,集团总部统一进行运营指挥;集团总部可通过部署升级中心对各Region里组件进行升级。
联邦制IT:服务中心、运营指挥中心、部署升级中心HCSU部署在集团总部,运维中心部署在分支机构,分支机构自己进行各自的运维动作,集团总部统一进行运营管理;集团总部可通过部署升级中心对各Region里组件进行升级。
OCC部署规格16台管理虚拟机起步,详细信息如下:
ManageOne-MRSDN01~03,集群模式,MRS数据节点,3节点起步横向扩容。
ManageOne-MRSCN01~03,集群模式,MRS控制节点,3节点起步横向扩容。
ManageOne-OCCDB01~02,主备模式,OCC数据库节点,和OC、SC数据库不共用。
ManageOne-OCCAPP01~03,集群模式,OCC应用节点,3节点起步支持横向扩容。
OCCAR01~02,主备模式,OCC Portal节点,对质量运营人员&CXO提供Web服务。
SMP01~03,负载均衡模式,CloudScope平台(高阶服务运维平台,本课程不涉及)部署面,负责OCC相关组件微服务的治理。
OSS:Operations Support System,运营支撑系统。
GPON:Gigabit Passive Optical Network,吉比特无源光网络。
网络管理 :提供有线无线融合管理、网络流量管理、网络质量监控、MPLS VPN管理以及安全策略管理等功能,实现主动运维和快速故障定界,帮助有效简化有线无线网络运维。
服务器管理:提供服务器以及部件状态的实时监控,以及配置可视化批量部署和固件批量升级的功能,帮助企业用户有效简化了服务器的运维管理。
虚拟化资源管理 :提供VMware ESX/ESXi Server、VMware vCenter Server、Huawei FusionCompute、FusionAccess等计算虚拟设施的集中监控管理功能,包括虚拟化服务器、虚拟机等管理对象。
存储管理:分析并解决存储网络中的各种故障和瓶颈,预测容量使用趋势,有效指导用户扩容/减容,最终帮助企业提升管理效率,合理利用物理和虚拟环境中的存储资源。
视频监控管理 :提供对视频监控业务资源的发现、业务拓扑、性能和数据分析的管理,能有效提升视频监控设备管理的质量和效率。
PON网络管理:提供对GPON网络运行状况的全面监控,了解GPON网络整体布局,方便维护人员对GPON网络出现的故障进行快速的定位和解决。
eLTE无线接入管理:提供对CPE、基站和核心网设备的远程监测和维护,帮助用户实现eLTE 网络快速部署、设备监控、故障快速定位以及CPE终端远程维护和调整,从而降低企业运维成本、提高运维效率,保障eLTE网络稳定运行。
8.1.x版本配套的FusionCare工具新增了“自动化验收”功能:支持高阶云服务自动化调测验收,并输出Word验收测试报告,由于本课程不涉及高阶服务,所以将不对此功能进行细化讲解,这里强调一点,基础云服务的调测是通过华为云Stack Deploy工具完成的,以免混淆。
FusionSphere OpenStack中通过info-collect模块进行巡检及日志采集;info-collect模块采用C/S方式部署,在控制节点部署server接受外部巡检及日志采集请求反馈结果,并在每个节点上部署client完成巡检项检查及日志收集并通过FTPS协议将日志上传。
在FusionSphere OpenStack节点上,只有在控制节点配置API平面IP做反向代理供外部接受外部请求,各个节点上都配置OM平面IP用于运维过程中的日志上传及运维过程中登录等,在健康巡检及日志采集场景三个平面的作用如下:
Extenal API : 用于接受FusionCare健康检查及巡检API请求,反馈健康检查及日志采集结果。
Internal_Base : 用于info-collect模块server与client间内部通信,info-collect-server下发请求给info-collect-client执行巡检及日志收集任务。
External_OM : 用于FTPS协议上传日志到FusionCare。
FusionCare通过ManageOne运维中心SSO跳转登录,用华为云Stack Deploy自动化工具安装完毕FusionCare后,会自动配置SSO,无需人工干预。
目前版本的CloudNetDebug支持对计算节点和网络节点上vRouter/ENAT、BR(Board Router)、ELB(Elastic Load Balance)、硬件交换机/防火墙进行抓包和拨测,具体参考后面的CloudNetDebug工具特性规格清单,架构图只以vRouter/ENAT、BR、ELB、硬件交换机/防火墙为例。
拨测/抓包Server与前台Portal进行交互,响应用户在界面的操作,同时通过REST API下发任务给hkeEyeController,hkeEyeController通过RPC消息下发对应的拨测和抓包任务到对应计算节点和网络节点的Agent上,当任务执行完毕,hkeEyeAnalyzer会从Agent获取对应结果,并上报hkeEyeController,同时会在Redis里保存对应结果文件。hkeEyeController会上报结果给拨测/抓包Server,Server保存在GaussDB数据库中,并呈现在Portal界面。
使用CloudNetDebug查询虚拟机信息时,拨测/转包Server会调用FusionSphere OpenStack的Neutron组件获取信息。
CloudNetDebug对交换机/防火墙进行拨测和抓包需要物理交换设备上开启ERSPAN(封装远程端口镜像)特性,开启完毕后,hkeEyeAnalyzer将变成交换机/防火墙的远端镜像设备,交换机/防火墙将把镜像报文通过一个GRE隧道封装成IP报文,路由到hkeEyeAnalyzer的目的端口。
CVS是ELB中负责4层负载均衡的组件,在原生的LVS基础上做了特性增强。
ply网桥:OVS(Open Virtual Switch)的内部网桥之一,主要功能是实现过滤非本机MAC的单播报文。
Br-int网桥:OVS(Open Virtual Switch)的内部网桥之一,主要功能是报文帧转发。
Br-dpdk网桥:如果节点上启用了DPDK(Data Plane Development Kit)技术,才会存在该网桥,主要的功能就是高速包处理,提升报文处理效率。
CloudNetDebug通过ManageOne运维中心SSO跳转登录,用华为云Stack Deploy自动化工具安装完毕CloudNetDebug后,会自动配置SSO,无需人工干预。
HCS中IaaS服务和高阶服务的负载均衡方案不一样,这里仅仅涉及基础IaaS服务的负载均衡方案。
用户访问云服务Console需要LVS和Nginx做负载均衡,云服务Console访问云服务Service需要HAProxy做负载均衡。
云服务访问的流程:
用户-FW-LVS-Nginx-前端console-APIGW-HAProxy-云服务Service
云服务Service-HAProxy-Console-Ngnix-用户
上图所示为DR模式的转发过程。
DR模式下需要LVS和RS(RealServer, RS)集群绑定同一个浮动IP(RS将浮动IP绑定在本地回环链路),请求由LVS接受,由真实提供服务的服务器(RealServer, RS)直接返回给用户,返回的时候不经过LVS。LVS收到一个请求时只需将MAC地址修改为配置文件中某一台RS的MAC,该包就会被转发到相应的RS处理,注意此时的源IP和目标IP都没变。RS收到LVS转发来的包时,链路层发现MAC是自己的,到上面的网络层,发现IP也是自己的VIP,于是这个包被合法地接受,RS感知不到前面有LVS的存在。而当RS返回响应时,只要直接向源IP(即用户的IP)返回即可,不再经过LVS。
当前版本使用的是DR模式,服务请求到达LVS节点后,LVS节点将目的MAC替换成后端Nginx节点的MAC地址,Nginx接收到请求,匹配本地MAC,如果是本地MAC,则根据规则进行请求转发。
Nginx是七层负载均衡服务,在华为云Stack方案中主要作为云服务Console的负载均衡,Nginx接收到请求后,根据域名地址查找后端服务的IP地址,并根据配置的转发规则,分发到后端服务,当前版本使用IP Hash的转发模式。
HAProxy 的优点能够补充 Nginx 的一些缺点,比如支持 Session 的保持,Cookie 的引导;同时支持通过获取指定的URL来检测后端服务器的状态。HAProxy 跟 LVS 类似,本身就只是一款负载均衡软件;单纯从效率上来讲 HAProxy 会比 Nginx 有更出色的负载均衡速度,在并发处理上也是优于 Nginx 的。
HAProxy主备模式部署,主备通过心跳线keepalived维持主备关系,通过VRRP协议进行数据同步,对外提供浮动IP(永远浮动在主用角色的服务器上)供客户端访问,例如客户端访问test.com,域名解析到HAProxy的浮动IP,经过HAProxy的负载均衡策略选择后端服务器进行响应;当主用HAProxy down机后,浮动地址会切换到另外一台服务器上。
在华为云Stack方案中,请求由Console下发,经过APIGW,相关服务的浮动IP会转发到HAProxy,HAProxy会根据对应的请求转发到对应服务器的后端服务IP上。
LVS为多台Nginx服务器提供负载均衡服务, OSI四层转发,因为是Global区的第一层LB所以称为一级LB;
Nginx为Global区Console服务器提供负载均衡服务,OSI七层转发,因为是Global区的第二层LB所以称为二级LB;
HAProxy为Region区服务器提供负载均衡服务,OSI四层转发。
DMK的执行各种配置和安装任务的执行/部署引擎使用了开源自动化运维工具Ansible;DMK本身具备了各种部署管理工具,比如配置管理、节点管理等;DMK对外提供各种编排手段,比如组件自动化脚本、应用配置等等,这里也是使用了Ansible的Playbook(ansible的任务配置文件,YAML格式,可将多个任务定义在剧本中,由ansible自动执行)的功能。
在DMK的界面里,可以进行任务创建的部署向导。
第一步,服务配置,选择需要配置的服务、版本和操作,也可以直接修改配置文件(可选)。
第二步,节点和用户配置,选择服务所属的节点(组)和要执行该操作的账户名,也可以直接修改节点配置文件(可选)。
第三步,执行,执行过程中可以看到任务详情。
DMK可以查看相关云平台组件的配置信息以及变更的记录,同时也可以对华为云Stack内部的SSH账号进行管理(修改、增加、删除)等。
API Server:支持横向扩展,提供Restful 请求处理响应。
Engine&Executor:调度引擎和工作线程。
DB : 高斯DB 主备部署。
LB:负载均衡。
绿色部分里的Apicom就是指组合API,这里可以看到前端ECS-UI调用后端OpenStack的nova组件,要经过Apicom;蓝色部分就是之前章节里讲到的API网关对应的组件,这里不再赘述。
Wsgi:Web Server Gateway Interface,为Python语言定义的Web服务器和Web应用程序或框架之间的一种简单而通用的接口。
OpsMonitor:华为云Stack方案运维中心使用到的组件,基于Zabbix开发的分布式运维监控系统,通过Web界面提供对主机操作系统、进程、平台和基本服务的监控能力。
ELK:华为云Stack方案运维中心使用到的组件,Elasticsearch、Logstash、Kibana,日志管理平台。
Silvan:云服务Console层里consoleFramework的组件。
IAM:Identity & Access Management,ManageOne身份管理与访问控制服务。
OMM:Operation and Maintenance Management,ManageOne的内部管理服务。
ICAgent:Info Collect Agent,信息采集代理,安装在云平台虚拟机上。
TaskCenter Server:集群部署,支持横向扩展,提供Restful请求处理响应。
DB:高斯DB,使用主备模式部署。
LB:HAProxy做负载均衡。
在华为云Stack解决方案中,Servcie OM是FusionSphere OpenStack的操作管理界面,是资源池(计算、存储、网络)以及基础云服务的管理工具。
FusionSphere OpenStack OM是FusionSphere OpenStack 的操作管理界面,主要对FusionSphere的软件和使用的硬件进行全面的监控和管理,实现自动化资源发放和自动化基础设施运维管理,并向内部运维管理人员提供管理界面。FusionSphere Openstack OM通常会以主备的方式安装在由云操作系统FusionSphere OpenStack进行管理的虚拟机中。
从华为云Stack 6.3版本后,FusionSphere OpenStack管理界面在混合/私有云场景下使用Service OM,在NFV场景下继续使用OpenStack OM。Service OM是资源池(计算/存储/网络)以及基础云服务的管理工具。管理员使用Service OM对资源池及基础云服务进行管控和配置。
用户在MangeOne运营界面创建并使用云服务时,需要基于Service OM中云服务的配置去调用OpenStack组件,OpenStack组件再去调配底层的资源,最终完成相应任务。
CPS:
具备Openstack层的基本运维能力;
云服务运维能力需要通过Agent机制建设。
Service OM:
提供IaaS层基础运维能力;
提供全量的资源/业务的运维能力(配置、操作、监控、故障处理、信息采集);
提供IaaS层公共运维能力的统一入口。
ManageOne:
提供高级运维能力;
面向数据中心的监控人员,提供跨产品的集中监控、问题定界和故障处理能力;
提供综合分析能力,支撑云系统管理人员的规划和设计工作;
是HCS 公共运维能力的统一入口。
Service OM的功能如下:
资源监控:监控主机、虚拟机、磁盘的状态,同时记录资源池中各个资源(计算资源、存储资源、网络资源、镜像资源)的数量。
资源管理:对基础资源(计算、存储、网络、镜像、裸金属)进行管理(创建、删除、修改等),如果局点中存在高阶服务,可以对高阶服务资源进行管理,高阶服务相关内容本课程不涉及。
资源审计:在使用FusionSphere OpenStack云平台时,因为系统意外故障(例如主机重启、进程重启)或执行备份恢复,出现资源残留、资源不可用等问题,导致业务无法正常进行,系统会上报告警。为提高维护效率,FusionSphere OpenStack收集上报的高频告警所涉及的审计项,可通过Service OM界面查看、处理审计项,从而保证业务正常运行,可审计的资源包含虚拟机、镜像、卷、快照、虚拟网络、裸金属服务器等。
系统管理:包含任务与日志、用户与证书、系统管理、对接等功能。
云服务资源管理逻辑结构分成三层,从下往上分别为资源池层,云服务层,云服务配置层,其中云服务配置层分为计算、存储、网络以及安全四大部分。在华为云Stack 8.x解决方案中,通常使用KVM作为计算资源池。在Service OM界面,管理员可以通过对虚拟机、存储服务、网络服务和安全服务的配置管理,为租户提供可靠的计算、存储、网络和安全资源。
云服务器密码机(Cloud-hosted Hardware Security Module,简称CloudHSM或CHSM),即在云计算环境下,采用虚拟化技术,以网络形式,为多个租户的应用系统提供密码服务的密码设备。
虚拟密码机 (Virtual Security Module,简称VSM),即在云服务器密码机上,采用虚拟化技术创建出来的提供类同实体密码机服务的密码服务实例。
裸金属服务器管理:裸金属服务器适用于对计算实例性能要求较高的使用场景,如部署数据库应用、发放专有硬件物理服务器等。裸金属服务器在部署实例前,是未安装操作系统的物理服务器,可以为创建计算实例提供物理资源。配置中心可对裸金属服务器进行日常地管理与维护,以确保裸金属服务器实例业务正常运行。
其余计算、网络、存储服务配置会在后续页面做详细介绍。
作为租户,可以使用虚拟机类的云服务资源ECS,物理主机类的云服务资源BMS,增值类的云服务资源AS、IMS等等,这些资源都需要在Service OM界面进行相应的参数配置。本章节主要以创建ECS服务所需的配置为例。
DC(Data Center)是物理数据中心,是物理位置上的概念。
AZ(Availability Zone)可用区,是一个物理资源(计算、存储、网络)的分区。Region是最高等级的隔离,因为region是地理位置的隔离。AZ是比地理区域低一级的隔离。一个地理区域可包含多个可用区域。AZ相互之间物理隔离,一个AZ的故障不会影响其他AZ的使用。理论上允许AZ跨DC,但是此时DC间必须高速网络互联。
VDC(Virtual Data Center)虚拟数据中心,是由一定的计算资源、网络资源和存储资源组成的虚拟资源池,为用户提供应用部署的资源。VDC之间资源相互隔离。
VPC(Virtual Private Cloud)虚拟私有云,可以实现网络隔离,VPC中具有完全独立的IP地址空间设置,与其它不在该VPC中的虚拟机网络完全隔离。
主机组是FusionSphere OpenStack部署中的一个逻辑组,它包括了一组物理主机以及相关的元数据。主机组通常是由一组相同硬件配置的计算服务器组成,由管理员在系统中进行逻辑划分。在Service OM中,主机组是虚拟化类型相同的一类主机的组合。建议划分主机组时,将资源类型相同的主机划分为一个主机组,方便后续创建对应的规格并简化维护难度。
主机是FusionSphere OpenStack实例中提供计算能力的节点,通常由一个或多个物理服务器组成,主机上运行着虚拟化软件,用于提供虚拟机等业务。通过配置中心可对主机进行日常的管理与维护,以确保部署在主机上的虚拟机业务正常运行。
主机组管理:创建主机组,并确定其所属的可用分区和所包含的主机后,才能够使用主机组中的主机资源创建虚拟机。同时为该主机组设置标签,可使用该标签为虚拟机规格设置标签。使用该虚拟机规格创建虚拟机时,系统会选择完全满足标签要求的主机组中的主机创建虚拟机。
Service OM中的计算实例资源包括虚拟机资源以及裸金属资源。本章节主要以虚拟机资源为例,讲解计算资源管理。同一可用分区可以包含多个主机组(HA),主机组中可以包含多个主机(Host),同一个主机可以创建多个虚拟机。租户可作为VDC管理员或者VDC业务员登入到ManageOne运营面,在VPC中创建计算实例,比如虚拟机ECS。这些虚拟机实际是基于主机创建的。管理员可以根据虚拟化类型创建主机组,将符合条件的主机加入到主机组中。
在发放云服务ECS前,管理员需要在Servcie OM上配置规格和镜像,虚拟机之间的调度策略可以用虚拟机组管理。
请大家带着问题学习后续的胶片。
这里插入图片描述](https://img-blog.csdnimg.cn/direct/3b8392dbd7e64628bde4e98686e000ea.png)
虚拟机组策略包括反亲和性、亲和性、弱反亲和性和弱亲和性四种。
反亲和性:同一个虚拟机组中的虚拟机不能共存在同一台主机上。指定反亲和性虚拟机组创建虚拟机时,如果虚拟机组里已经有虚拟机,则不能指定组内其他虚拟机所在的主机创建新虚拟机,否则会导致虚拟机创建失败。虚拟机创建成功后,可以通过迁移打破反亲和性策略。
亲和性:同一个虚拟机组中的虚拟机必须共存在同一台主机上。指定亲和性虚拟机组创建虚拟机时,如果虚拟机组里已经有虚拟机,无需指定主机,系统会自动选择满足亲和性策略的主机创建虚拟机。虚拟机创建成功后,可以通过迁移打破亲和性策略。
弱反亲和性:虚拟机调度时,会根据弱反亲和性以及内存计算主机的权重。资源充足情况下,同一个弱反亲和性组中的虚拟机不会调度到相同的主机上,当资源不足或者nova配置项“调度虚拟机时支持随机选取的主机数”配置大于1的时候,可能会打破反亲和性规则。
弱亲和性:虚拟机调度时,会根据弱亲和性以及内存计算主机的权重。资源充足情况下,同一个弱亲和性组中的虚拟机会调度到同一台机上,当资源不足或者nova配置项“调度虚拟机时支持随机选取的主机数”配置大于1的时候,可能会打破亲和性规则。
公共镜像:公共镜像是云平台系统提供的标准镜像,包含常见的标准操作系统和预装的公共应用,能够提供简单方便的镜像自助管理功能,对所有用户可见。用户可以便捷的使用公共镜像创建弹性云服务器或裸金属服务器。
管理镜像:管理员创建的镜像,仅用于管理运维人员使用该镜像创建虚拟机,租户在运营面不可见。
私有镜像:私有镜像是用户基于云服务器或外部镜像文件创建的个人镜像,仅用户自己可见,包含操作系统、预装的公共应用、用户的私有应用以及用户的业务数据。
将制作完成的镜像文件上传到镜像文件的存储目录,并进行注册。镜像在注册后可用来创建计算实例。系统管理员或运维管理人员可通过Service OM界面注册镜像。
Service OM界面上,可进行镜像的下载、修改和上传等操作(此处的镜像为公共镜像或者管理镜像)。
用户可以将本地PC中的镜像文件所在的文件夹设置为共享文件夹,将本地镜像共享给其他用户,并记录镜像文件的共享路径、共享的用户名、共享的用户密码。
租户在创建ECS前管理员需要配置好ECS的规格与镜像。
在租户使用镜像创建计算实例之前,必须先完成镜像的注册。注册镜像是将制作完成的镜像文件上传到镜像文件的存储目录,并进行注册。镜像在注册后可用来创建计算实例。系统管理员或运维管理人员可通过Service OM界面注册镜像。管理员可以在注册镜像后的镜像列表找到需要的公共镜像,完成镜像同步后可以下载制作好的镜像。若管理员需要在原有镜像的基础上安装软件再制作新镜像,可以用原有注册好的镜像创建虚拟机,安装需要的软件,然后用虚拟机制作镜像。
主机组:主机组是虚拟化类型相同的一类主机的逻辑分组。如:通用型主机组、GPU加速型主机组。
规格:在ManageOne上申请云服务器时,需要选择云服务器的类型、vCPU和内存等,即云服务器的规格。
假如把ECS看成是一个商品,规格就类似于设计师设计产品的尺寸大小,镜像类似于标准的生产模具,主机组是不同的生产线,主机组中的主机就是生产商品的机器。
管理员需要基于后端存储创建磁盘类型。租户可以选择磁盘类型创建EVS。
在ECS中,根据磁盘所使用的后端存储的性能差异,推荐的典型磁盘类型和应用场景如下:
普通性能:适用于大容量、读写速率要求不高、事务性处理较少的应用场景,例如开发测试应用程序等。
中等性能:适用于对性能要求不高,但是要求具有丰富的企业级特性的场景,适用于普通数据库、应用VM、中间件VM。
高性能:适用于高性能,高读写速率要求,满足高带宽吞吐能力的应用场景,例如数据仓库。
超高性能:适用于对I/O性能密度要求极高,数据密集型的场景,例如NoSQL/关系型数据库。
一套存储阵列可以属于不同的可用分区,例如阵列2,存储池4属于可用分区1,存储池5,存储池6属于可用分区2。
一个后端存储仅属于一个可用分区。
一个存储池仅属于一个后端存储。
一个磁盘类型仅属于一个可用分区。
一个后端存储可以包含一个或多个存储池,但是不能跨阵列;例如后端存储2。
一个磁盘类型可以包含来自于同一个AZ的多个不同后端存储;可以来自同一个阵列,也可以来自不同阵列,但是不能跨可用分区。
一个后端存储可以创建多个磁盘类型,例如后端存储1,不同的磁盘类型可以配置不同的Thin、Smarttier、重删等增值属性。
变更磁盘类型的实现原理如图所示。图中实例挂载了两个磁盘,一个用作日志盘,一个用作数据盘,这两个磁盘原本对应的磁盘类型是SLA_SAS。数据盘对业务性能要求提高,需要更高性能的磁盘来承载业务。因此用户通过执行将源磁盘类型SLA_SAS变更到新磁盘类型SLA_SSD的操作,将业务数据无感知迁移至使用新磁盘类型创建的磁盘上。后台由后端存储设备进行业务数据的迁移,迁移完成后系统自动将新磁盘挂载至实例,业务不中断。同时,源磁盘也会被删除,以便释放存储资源供其他业务使用。
高级迁移基于华为SAN存储设备的数据拷贝能力执行迁移,仅适用于存储类型为华为SAN的环境,适用于高效批量迁移场景,支持迁移已挂载及未挂载磁盘,支持迁移共享盘。迁移前请确保磁盘所在的源后端存储与目标后端存储间已配置单独的存储链路。
通用迁移基于计算主机的数据拷贝能力实现迁移,适用于华为SAN存储、华为分布式块存储以及第三方SAN存储的通用场景。由于拷贝需要占用计算主机资源,仅适用于个别云服务器磁盘调整的场景,不适用存储设备更换场景。不支持迁移共享盘,仅支持云服务器关机状态下迁移SCSI磁盘。
管理员可以做的操作:
查看所有正在使用的端口,如虚拟机网卡、DHCP服务等使用的端口。也可以检测端口状态,为虚拟机网络故障处理收集数据。
创建虚拟网络或查看、修改、删除和管理已创建的虚拟网络。
查看物理网络,同步物理网络的云配置。
创建专线接入点,管理预创建好的用于承载租户侧专线服务的物理专线资源。
添加交换机,查看交换机信息,修改交换机NETCONF协议,配置交换机厂商驱动,查看或修改BGP基础信息,配置BGP对等体等操作。
创建与管理设备组。
创建二层桥接接入点,管理预创建好的用于承载租户侧二层桥接资源。
外部网络是数据中心外部的网络,如Internet或企业已部署的私有网络。用户在部署数据中心网络时,需要与外部网络互通。外部网络创建后,才可以建立外部连接,VDC之间才能相互通信。
在华为云Stack方案里,有如下几种外部网络类型:
dummy_external_network : HCS安装过程中默认创建,无需用户创建,供VPC使用,在MO上创建租户后,需要把此网络绑定给租户以保障VPC的正常创建。
external_relay_network : 内大网平面,HCS安装时根据用户规划网段自动生成,当ECS绑定外部Internet地址时,会自动分配一个内大网地址给ECS使用,用于内部组件NAT转换和消息流转使用,无需用户进行管理。
eip_external_network:用于配置弹性IP的外部网络,用于创建弹性IP,实现云服务器与外网的连通,需用户根据实际生产环境需要进行配置。
vpn_external_network:用于配置VPN的外部网络,用于在远端用户和VPC之间建立一条安全加密的通信隧道,需用户根据实际生产环境需要进行配置。
华为云Stack 8.1.x版本的云服务大致可以分为计算服务、网络服务、存储服务、安全服务、灾备服务、容器服务、应用服务、数据库服务、EI企业智能服务、管理服务和物联网服务。用户可以根据实际情况安装部署上述云服务。
图中所示为华为云Stack8.1.1版本支持的云服务列表,不同版本存在差异,青色的云服务是第三方提供,橙色的云服务是仅早期销售,本次HCIP-Cloud Computing课程聚焦在基础IaaS(计算、存储、网络)服务。
这里值得一提的是华为云服务的策略,新开发的云服务会提前在公有云面向于C端上线,在公有云上线一段时间后,如果对于基数比较大的企业客户(B端)有该云服务需求,会下移到混合云华为云Stack中,所以公有云上的服务更新速度快于混合云。
计算相关服务按照计算实例和功能可分为物理服务器类、虚拟机类、增值类、容器类等等。其他计算服务还囊括了异构的计算服务。
云容器引擎(Cloud Container Engine,简称CCE)提供高度可扩展的、高性能的企业级Kubernetes集群,支持运行Docker容器。借助云容器引擎,用户可以在云上轻松部署、管理和扩展容器化应用程序。
容器镜像服务(SoftWare Repository for Container,简称SWR)是一种支持镜像全生命周期管理的服务,提供简单易用、安全可靠的镜像管理功能,帮助用户快速部署容器化服务。容器镜像服务可配合云容器引擎CCE使用,也可单独作为容器镜像仓库使用。
在后续章节中会详细介绍ECS、BMS、IMS、AS等服务。
存储相关服务可以按照功能大致分为存储资源服务和数据灾备服务两大类。存储资源可分为云硬盘EVS,弹性文件服务SFS和对象存储服务OBS。
数据灾备服务介绍如下:
云硬盘备份服务(VBS,Volume Backup Service)可为云硬盘创建备份,利用备份数据恢复云硬盘,最大限度保障用户数据的安全性和正确性,确保业务安全。
云服务器备份(CSBS,Cloud Server Backup Service)可为弹性云服务器和裸金属服务器创建备份(备份内容包括弹性云服务器和裸金属服务器的配置规格,系统盘和数据盘的数据),利用备份数据恢复弹性云服务器和裸金属服务器业务数据。
CSHA(Cloud Server High Availability),即云服务器高可用服务,为弹性云服务器(提供同城数据中心间的高可用保护。当生产中心发生灾难时,被保护的弹性云服务器能够自动或手动切换到灾备中心。
云服务器容灾服务(CSDR,Cloud Server Disaster Recovery)为弹性云服务器和裸金属服务器提供异地容灾保护。当生产中心发生灾难时,可在异地灾备中心恢复受保护的ECS/BMS。
VHA(Volume High Availability),即云硬盘高可用服务,为弹性云服务器和裸金属服务器中的云硬盘提供本地存储双活保护。
如图所示,按照网络连接,可以把网络服务分为云上网络,云上云下互联和云间网络。后续章节会重点详细介绍图片中的网络服务。
ECS可以结合其他云服务,如:虚拟私有云VPC、云服务器备份CSBS等,为用户打造一个高效、可靠、安全的计算环境,确保业务持久稳定运行。
ECS主要提供以下功能:
创建ECS时,支持配置云服务器的规格、镜像、网络、磁盘、鉴权方式、创建数量等信息。
支持管理弹性云服务器的生命周期,包括开机、关机、重启、删除;支持克隆云服务器、为云服务器创建整机快照,管理软件狗、HA开关状态等;支持修改弹性云服务器的vCPU和内存。
支持对云服务器的磁盘执行扩容、绑定、解绑等操作,支持共享云硬盘。
支持切换、重装弹性云服务器的操作系统;支持基于已有的弹性云服务器创建私有镜像。
支持绑定、解绑弹性IP。
Console:ECS_UI是以弹性云服务器为中心,对相关资源进行管理的Console控制台。
组合API(ECS):组合API为弹性云服务器后台服务,可以理解为ECS_UI的服务端,支持调用FusionSphere OpenStack组件。ECS在前台发出的请求,经ECS_UI转发至组合API,组合API处理完后将结果返回ECS_UI。
资源池:Glance提供镜像管理服务;Nova在FusionSphere OpenStack环境中管理计算实例的生命周期,包括批量创建,按需调度和停止实例运行;Cinder为运行的实例提供持久块存储,其可插拔驱动使创建和管理块存储设备更加便利;Neutron提供用于定义网络连通性和寻址的API。
认证统一:提供登录时的统一身份认证。
公共组件:由组合API上报ECS相关的配额、订单、产品信息、计量计费信息至ManageOne运营模块。
统一运维:由组合API上报ECS相关的日志、监控、告警信息至ManageOne运维模块。
简单的应用或访问量较小的网站,如博客、企业官网等,对服务器的计算、存储性能要求不高,一台通用型弹性云服务器即可满足需求。
多媒体、视频制作、图像处理等,要求云服务器具有良好的图像处理能力。您可以根据应用特点选择CPU、GPU计算能力卓越的弹性云服务器,如GPU图形加速型云服务器或GPU计算加速型云服务器,满足您的业务需求。
数据库及其他要求快速数据交换和处理的应用:对于高性能关系型数据库,NoSQL数据库等对服务器的I/O能力要求较高的应用,您可以选取超高I/O型云服务器。
有明显的业务峰值的应用,如视频网站、学校的选课系统、游戏公司等,访问量可能会在短时间内大幅提升。在提高资源利用率的前提下,要满足此类应用的正常运作,可以结合弹性伸缩服务使用。通过设置伸缩策略,可以实现随业务量的变化自动增加和减少弹性云服务器的数量。通常通用性服务器结合弹性伸缩服务即可满足需求。
AI推理、机器学习和深度学习:AI加速型云服务器以华为昇腾310芯片为加速核心,适用于高实时、高并发的海量计算场景,如AI推理、机器学习、视频编解码等。
BMS服务分为云服务层和FusionSphere OpenStack基础设施层。
云服务层分为云服务Console和云服务Service。
云服务Console主要包含BMS UI,是BMS的用户界面,作为用户请求的入口,使用IAM为BMS提供身份识别和访问管理,托管在ECS UI中。
云服务Service包含BMS service和BMS plugin(SDR),BMS service是BMS的逻辑处理层,托管在组合API中,使用eSight进行系统监控和告警。BMS plugin(SDR)是SDR话单系统扩展插件,用于计量。
基础设施层包括FusionSphere OpenStack管理服务和裸金属服务器资源池。在OpenStack系统中,裸金属服务的核心组件是ironic,ironic主要提供对裸金属服务器的管理服务,通过ironic与nova、neutron等组件的配合,组网方式可以采用纯软件的方式实现网络虚拟化也可以采用专业的网络硬件设备,通过集中的控制器来控制,提供网络服务,根据不同的组网方式配置不同的场景,可以对用户提供与弹性云服务器相同体验的使用方式。
私有镜像根据用户业务的不同,可分为如下三类:
系统盘镜像:是用系统盘制作的镜像,包含操作系统、预装的公共应用及用户的私有应用。系统盘镜像可以用于创建系统盘,也可以用于创建云服务器。通过已创建的系统盘镜像创建云服务器,可以节省重复配置云服务器的时间。
数据盘镜像:是只包含用户业务数据的镜像。数据盘镜像只能用于创建数据盘,不能用于创建云服务器。通过已创建的数据盘镜像创建云硬盘,可以实现业务数据的灵活迁移,同时实现业务数据在多个弹性云服务器间共享。
整机镜像:是同时包含操作系统、预装的公共应用及用户的私有应用和用户业务数据的镜像。整机镜像只能用于创建云服务器,不能用于创建系统盘和数据盘。通过已创建的整机镜像创建云服务器,可以快速实现整机迁移。
用户可以使用镜像服务的共享功能,将自己的私有镜像共享给其他用户使用。对于多项目用户,共享镜像功能可以方便用户在同一个区域内的多个项目间使用镜像。当用户作为共享镜像的提供者时,可以共享指定镜像、取消共享镜像、添加或删除镜像的共享租户。当用户作为共享镜像的接受者时,可以选择接受或者拒绝其他用户提供的共享镜像,也可以移除已经接受的共享镜像。
基础设施:提供基本的网络、服务器和存储设备。
API层:IMS在前台发出的请求,经ECS UI(IMS)转发至组合API(IMS),组合API(IMS)处理完后将结果返回ECS UI(IMS)。
后端存储:可分为Swift后端存储和OBS后端存储,作为存储镜像文件的后端,便于后台调度和存储。
除调用IMS虚拟机创建镜像接口为同步接口外,其他接口调用均为异步调用方式。IMS目前设定的超时时间为8个小时,即超过8个小时即认为任务超时失败。
伸缩组是具有相同应用场景的实例的集合,是启停伸缩策略和进行伸缩活动的基本单位。实例是对运行在伸缩组中弹性云服务器的统称。
伸缩策略是规定触发伸缩活动的条件及伸缩活动执行的动作的一种策略,当满足条件时,会触发一次伸缩活动。
目前系统中支持以下几种伸缩策略:
告警策略:基于监控系统告警数据(例如CPU利用率),自动增加、减少或设置指定数量的弹性云服务器。
周期策略:按照配置周期(天、周、月),定期增加、减少或设置指定数量的弹性云服务器。
定时策略:基于配置的某个时间点,自动增加、减少或设置指定数量的弹性云服务器。
伸缩配置是伸缩组内实例(弹性云服务器)的模板,定义了伸缩组内待添加的实例的规格数据。包括弹性云服务器类型、vCPU、内存、镜像、磁盘、登录弹性云服务器方式等。
伸缩组中增加或减少实例的过程称为伸缩活动。
块存储一般体现形式是卷或者硬盘(比如windows里面看到的c盘),数据是按字节来访问的,对于块存储而言,对里面存的数据内容和格式是完全一无所知的。数据就像玉米粒一样堆放在块存储里,块存储只关心玉米粒进来和出去,不关心玉米粒之间的关系和用途。
文件存储一般体现形式是目录和文件(比如C:\Users\Downloads\text.doc),数据以文件的方式存储和访问,按照目录结构进行组织。文件存储可以对数据进行一定的高级管理,比如在文件层面进行访问权限控制等。数据像玉米粒一样组成玉米棒子,再对应到不同的玉米杆上,要找到某个玉米粒,先找到玉米杆,再找到玉米棒子,然后根据玉米粒在玉米棒子上的位置找到它。
对象存储一般体现形式是一个UUID,数据和元数据打包在一起作为一个整体对象存在一个超大池子里。对于对象访问,只需要报出它的UUID,就能立即找到它,但访问的时候对象是作为一个整体访问的。数据的玉米粒被做成了玉米罐头,每个玉米罐头都有一个唯一出厂号。
HCS中的块存储服务为EVS,为上层应用提供块存储资源。HCS中的SFS为文件存储服务,可存放文件,主要用于视频云、媒资云,可以作为内容资源池被使用。HCS 8.1.1版本中的对象存储服务为OBS 3.0,可以作为镜像资源池使用,主要用于备份归档。
支持弹性挂载/卸载:EVS磁盘就像原始未经格式化的外部数据块存储设备,可挂载到单个实例。
支持多种磁盘类型:一个磁盘类型对应一组磁盘所使用的后端存储。用户可以根据接入的不同后端存储类型划分云硬盘的磁盘类型,以便满足业务不同性能要求。
支持弹性可扩展单磁盘容量最大支持64 TB,您可以自由配置存储容量,按需扩容。
支持快照功能:用户可以通过拍摄磁盘的时间点快照来备份您的数据,防止因篡改和误删导致的数据丢失,保证在业务故障时能够快速回退。同时您可以从快照创建新的磁盘,并将其挂载到其他实例,以便为多种业务提供数据资源。
支持备份功能:用户可以基于云硬盘创建备份,也可用备份恢复云硬盘。
支持共享盘支持多个实例并发读写访问同一个共享盘,以满足集群、HA能力的关键企业需要多个实例同时访问一个磁盘的应用场景。
EVS控制台:EVS控制台对租户提供云硬盘服务入口,租户可通过控制台执行申请云硬盘等操作。
组合API(EVS):EVS服务API在原生Cinder接口基础上封装或组合逻辑完成EVS服务部分功能,其接口可被EVS控制台或租户调用。
FusionSphere OpenStack Cinder:提供持久块存储,对块存储资源进行管理。在EVS服务里主要用于创建磁盘类型;在存储设备上创建磁盘,并将磁盘挂载给云服务器或裸金属服务器。
基础设施:物理存储设备,提供基于物理资源构建的块存储。可作为EVS服务后端存储的存储设备包括了华为SAN存储(OceanStor V3/V5/6.1,OceanStor Dorado V3/6.x),华为分布式块存储,异构存储(如HP 3PAR 8000系列)。
ManageOne统一运营:ManageOne统一运营为EVS服务提供配额管理,订单管理,服务管理,资源计量计费等功能。
ManageOne统一运维:ManageOne统一运维为EVS服务提供磁盘类型管理,性能监控,日志、告警等功能。
用户使用SFS时须知:
使用弹性文件服务前,必须要创建一个文件系统。
创建文件系统后,需要将文件系统挂载至云服务器才能使用。
可以对文件系统进行管理,包括容量调整、查看、卸载、还原、删除文件系统等。
ManageOne统一运营的组件包括:
IAM:为SFS提供身份识别和访问管理;
订单管理:提供管理用户提交的订单的功能;
服务管理:按照注册的云服务定义不同服务,提供统一服务管理;
SDR:提供资源计量计费功能。
ManageOne统一运维的组件包括:
性能管理:提供对基础设施性能指标监控以及对监控数据进行分析的能力;
日志管理:提供租户操作日志和运行日志的统一汇聚和查询功能;
告警管理:提供告警数据接收、存储、集中监控查询及操作等功能,帮助运维人员根据告警信息快速排除故障;
eSight:提供存储设备的性能监控和告警信息。
云服务的组件包括:
SFS控制台:提供SFS管理控制台;
OceanStor DJ(Manila):作为SFS服务端,接收SFS管理控制台的请求。
基础设施的组件是文件存储设备,为SFS提供文件系统存储空间。支持OceanStor 9000、OceanStor Dorado 6.x和OceanStor 6.1系列存储设备。
对象存储服务(Object Storage Service,OBS)是基于对象的海量存储服务,为客户提供海量、安全、高可靠、低成本的数据存储能力,包括创建、修改、删除桶,上传、下载、删除对象等。对象存储兼具块存储高速直接访问磁盘的特点及文件存储的分布式共享特点,是一种可存储文档、图片、影音视频等非结构化数据的云存储服务。
OBS系统和单个桶都没有总数据容量和对象/文件数量的限制,为用户提供了超大存储容量的能力,适合存放任意类型的文件,适合普通用户、网站、企业和开发者使用。OBS提供了基于HTTP/HTTPS协议的接口,用户可以通过OBS管理控制台或客户端访问和管理存储在OBS中的数据。此外,OBS支持OBS API接口,可使用户方便管理自己存储在OBS上的数据,以及开发多种类型的上层业务应用。
桶是OBS中存储对象的容器。对象存储提供了基于桶和对象的扁平化存储方式,桶中的所有对象都处于同一逻辑层级,去除了文件系统中的多层级树形目录结构。
在OBS中,桶名必须是全局唯一的且不能修改,即用户创建的桶不能与自己已创建的其他桶名称相同,也不能与其他用户创建的桶名称相同。每个桶在创建时都会生成默认的桶ACL(Access Control List),桶ACL列表的每项包含了对被授权用户授予什么样的权限,如读权限(READ)、写权限(WRITE)、完全控制权限(FULL_CONTROL)等。用户只有对桶有相应的权限,才可以对桶进行操作。
对象是OBS中数据存储的基本单位,一个对象实际是一个文件的数据与其相关属性信息(元数据)的集合体。用户上传至OBS的数据都以对象的形式保存在OBS的桶中。
对象包括了Key、Metadata、Data三部分:
Key:键值,即对象的名称,为经过UTF-8编码的长度大于0且不超过1024的字符序列。一个桶里的每个对象必须拥有唯一的对象键值。
Metadata:元数据,即对象的描述信息,包括系统元数据和用户元数据,这些元数据以键值对(Key-Value)的形式被上传到OBS中。系统元数据由OBS自动产生,在处理对象数据时使用,包括Date、Content-length、Last-modify、Content-MD5等。用户元数据由用户在上传对象时指定,是用户自定义的对象描述信息。
Data:数据,即对象的数据内容。
OBS支持通过AK/SK认证方式进行认证鉴权,即使用Access Key ID(AK)/Secret Access Key(SK)加密的方法来验证某个请求发送者身份。
终端节点(Endpoint):OBS为每个区域提供一个终端节点,终端节点可以理解为OBS在不同区域的区域域名,用于处理各自区域的访问请求。
上图网络服务全景图按照网络互通可作如下分类:
----重要-----
云上通用网络:VPC、SG、网络ACL、ELB;
云内互通:VPCEP、VPC-Peering;
云内跨Region:云连接、VPN;
云与公网互通:EIP、NAT网关;
云与本地数据中心:VPN、云专线。
云解析服务(Cloud Domain Name Service)
提供高可用,高扩展的权威DNS服务和DNS管理服务,把人们常用的域名或应用资源转换成用于计算机连接的IP地址,从而将最终用户路由到相应的应用资源上。
云上几乎所有网络服务都和VPC有关联,VPC在网络服务中处于核心位置。
子网是虚拟私有云中的一个网段,一个虚拟私有云可以创建多个子网,用来分类管理有不同业务需求的云服务器,包括为云服务器提供IP地址管理、DNS服务等。
默认情况下,同一个虚拟私有云的所有子网内的云服务器均可以进行通信,不同虚拟私有云的云服务器不能进行通信。
通过合理设置路由策略,用户可以灵活管理虚拟私有云、公网和混合云等资源的网络流量转发。
在后续章节中会详细描述VPC对等连接。
用户在ManageOne运营面执行VPC相关操作,发送的指令会向下对接FusionSphere OpenStack,通过Neutron组件调用底层网络资源。
可以使用虚拟私有云部署与公网隔离的网络环境。用户可以将多层Web应用划分到不同的安全域中,按需在各个安全域中设置访问控制策略。例如创建两个VPC,将Web服务器和数据库服务器划分到不同的VPC中,通过安全组和网络ACL设置入站/出站规则,指定一个VPC中的Web服务器可以实现外网访问,而另一个VPC中的数据库服务器无法通过云外网络访问,此方法可保护数据库服务器的安全,满足高安全场景的需求。
可以使用虚拟私有云部署基本的Web应用。
通过绑定弹性IP/NAT网关与云外网络通信;通过安全组和网络ACL控制数据流量,保证Web应用的安全;在流量突增时,可以在VPC中使用弹性负载均衡。
可以利用VPN/云专线,将虚拟私有云连接到本地数据中心。
用户可以将应用程序部署在云上,可以方便地根据业务量扩展应用程序的资源,而在用户的本地数据中心部署数据库服务器,在传统数据中心与虚拟私有云之间建立通信隧道,既降低了企业IT运维成本,又不用担心企业核心数据的扩散,轻松实现混合云部署。
安全组是对进出虚拟机端口的网络报文进行限制的安全过滤规则。关联虚拟机端口与安全组后,该安全组的规则会对进出该虚拟机端口的网络报文进行过滤,只有规则允许的报文才能通过。
网络ACL/安全组,底层都是基于linux的iptables的能力,其实本质上也是集成在OVS上的安全模块的能力,通过对iptables的能力进行不同的编排实现了安全组/网络ACL的能力。
因为底层都采用同一个模块,所以安全策略容量是共享的。复用OVS的资源占用,吞吐性能也复用OVS转发能力。
弹性负载均衡器会将客户端的请求转发给后端服务器处理。例如,用户可以添加ECS实例作为负载均衡器的后端服务器,监听器使用用户配置的协议和端口检查来自客户端的连接请求,并根据已定义的分配策略将请求转发到后端服务器组里的后端云服务器。
后端服务器组:把具有相同特性的后端服务器放在一个组,弹性负载均衡实例进行流量分发时,流量分配策略以后端服务器组为单位生效。
本章节将按照同一VPC内的网络互通,通Region不同VPC的网络互通以及不同Region不同VPC的网络互通来介绍华为云Stack上的网络服务。
同一VPC内的网络互通可以通过VPC默认的路由规则实现;用户也可以自行配置路由规则,创建并配置安全组和网络ACL,通过这样的方式控制同一VPC内的计算实例的通信。
通Region不同VPC的互通可以通过对等连接,VPC终端节点,云连接等服务实现。
不同Region不同VPC互通可以通过云连接,虚拟专用网络等服务实现。
默认情况下,同一个VPC的所有子网内的弹性云服务器均可以进行通信,不同VPC的弹性云服务器不能进行通信。当用户创建虚拟私有云时,系统会自动创建一张默认路由表,其路由规则保证了虚拟私有云内的所有子网互通。用户也可以添加自定义路由规则,将指定目标网段的流量路由至指定目的地。
Web网站搭建分析:
因为业务的连通性高于隔离性,所有服务器全部放到1个VPC内。
业务子网分为web/APP/DB三个区域,分别放置Web业务经典三层架构的对应服务器。
运维和接入区子网用于部署堡垒机或管理鉴权设备,方便客户远程接入部署业务和运维。
方便后续通过子网ACL的访问权限控制能力实现各个功能区域间的隔离和放通。
对等连接支持在相同区域内的两个VPC间创建。VPC可以位于不同租户内。
两个VPC间不能同时建立多个对等连接。
针对两个VPC中的网段建立的对等连接,需确保两端建立对等连接的网段没有重叠网段。
创建对等连接后,需要在两端VPC内添加对等连接路由信息,才能使两个VPC互通。
对等连接具有不可传递性,即VPC A与VPC B,VPC B与VPC C已分别建立对等连接,那VPC A和 VPC C不能直接对等连接。
VPC终端节点提供“终端节点服务”和“终端节点”两种资源。
终端节点服务:是指云服务或用户私有服务,可以通过配置在VPC终端节点中提供服务。用户可以在VPC中创建自己的应用程序,并将其配置为VPC终端节点支持的服务,即终端节点服务。
终端节点:在VPC和终端节点服务之间提供连接通道。用户可以在VPC中创建自己的应用程序并将其配置为终端节点服务,同一区域下的其他VPC可以通过创建在自己VPC内的终端节点,与终端节点服务之间获得连接,进行通信。
同Region不同VPC互通还可以用云连接实现。
每个云连接实例在每个区域支持默认支持加载6个网络实例。
每个云连接实例支持加载的区域数默认为6个。
一个VPC仅可以加载到一个云连接实例中。
每个网络实例最多加载50个CIDR。
在同一个云连接实例里,所有网络实例的CIDR不能重叠,子网网段不能冲突,否则可能会引起互通问题。
在云连接实例中加载VPC网络实例,通过自定义网段类型的VPC CIDR时,不能引入回环地址、组播地址或广播地址。
不同Region的VPC实现互通还可以用VPN实现,后续会详细说明。
弹性IP(Elastic IP),提供了用户从外网访问云数据中心内虚拟机的能力,弹性IP业务需结合虚拟机或负载均衡业务使用,用户可以自主将申请的公网IP绑定到ECS,BMS,ELB或者VIP上,从而实现将云数据中心的业务开放到外网上面。
虚拟IP主要用在云服务器的主备切换,达到高可用性HA(High Availability)的目的。
多个主备部署的云服务器可以在绑定虚拟IP地址时选择同一个虚拟IP地址。用户可以为该虚拟IP地址绑定一个弹性IP地址,从外网可以访问后端绑定了同一个虚拟IP地址的多个主备部署的云服务器,增强容灾性能。
NAT网关:NAT网关能够为虚拟私有云内的云服务器提供网络地址转换,使多个云服务器可以共享使用弹性IP访问云外网络或使云服务器对外网提供服务。NAT网关提供多种规格,用户可根据业务规模灵活选择。对于拥有多台云服务器的企业,单纯使用弹性IP管理成本过高,为了节省IP资源,可以使用NAT网关的SNAT功能。通过绑定弹性IP,将私有IP转换为云外网络的IP,实现VPC内多个云服务器共享使用弹性IP访问云外网络,节省IP资源。
当VPC内的云服务器需要面向外网提供服务时,可以使用NAT网关的DNAT功能。通过绑定弹性IP,将VPC内云服务器的私有IP、协议、端口映射成外网IP、协议、端口,使得云服务器上部署的服务可被外网访问。
SNAT将虚拟私有云内子网的IP地址映射成为弹性IP地址,为内部云服务器提供访问云外网络的通道。申请SNAT后,子网内的所有云服务器可以共享一个弹性IP地址访问云外网络。DNAT与SNAT相反,将弹性IP地址映射成虚拟私有云内子网的IP地址。
虚拟专用网络(VPN)实际上是与华为云Stack中的虚拟私有云(VPC)之间建立一条符合行业标准的安全加密的通信隧道。
默认情况下,在VPC中的弹性云服务器或裸金属服务器无法与用户自己的数据中心或私有网络进行通信。如果用户需要将VPC中的弹性云服务器和用户本地数据中心或私有网络连通,可以启用VPN功能。当远端用户需要访问VPC的业务资源时,用户可以通过VPN连通VPC。
VPN网关:VPN网关是VPC中建立的出口网关设备,通过VPN网关可建立VPC和用户数据中心或其它区域VPC之间的安全可靠的加密通信。
远端网关:远端网关是用户的数据中心或其他区域VPC中VPN的公网IP地址,用于与指定VPC内的ECS或BMS互通。
VPN连接:VPN连接是一种基于Internet的IPsec加密技术,通过特殊的隧道加密技术,使加密的安全服务在不同的网络之间建立保密而安全的通讯隧道。
VPN连接建立VPN网关和外部数据中心远端网关之间的连接,帮助用户快速构建VPN网关和用户本地数据中心远端网关之间的安全、可靠的加密通道。
可通过建立多条专用通道,一次性打通多地域的VPC计算资源,轻松实现本地网络、数据中心、主机托管区连接至云上VPC。充分利用云计算优势的同时,继续使用现有设施。
物理专线:用户本地数据中心与接入点之间购买运营商物理网络的专线连接。此种类型的物理专线允许用户创建多个虚拟接口接入用户的多个VPC。
虚拟网关:实现专线连接访问VPC的逻辑接入网关,虚拟网关会关联用户访问的VPC,其中多个VPC可共用一个虚拟网关。多条物理专线访问同一个VPC,通过同一个虚拟网关实现专线接入。
虚拟接口:用户本地数据中心通过专线访问VPC的入口,用户创建虚拟接口关联物理专线和虚拟网关,连通用户网关和虚拟网关,实现云下数据中心和云上VPC的互访。
L2BR服务:云外网络可以通过二层桥接与云内VPC私网地址二三层互通。
二层互通的VPC子网与云外网络的网段要相同,在此VPC下的其他子网能与云外网络三层互通。
云内、云外的IP资源需要划分或者指定创建,保证地址不冲突。
云内VPC的一个网络只能创建一个L2BR
云解析服务目前仅支持内网域名解析,通过内网DNS把内网域名(例如www.example.com)转换成私网IP地址(例如192.168.1.1),实现云服务器在VPC内直接通过内网域名互相访问。同时还支持不经公网,直接通过内网DNS访问云内服务。
域名作为网络上的唯一身份标识,与身份证一样具有唯一性,是网络访问点的逻辑地址。
计算机只有通过域名或者IP地址才能够进行互联网访问,域名的重要性不言而喻。
域名解析,是域名到IP地址的映射,是支撑域名能够访问到目标网站的不可或缺的能力。
DNS解析流程(请参考学员指导手册):
Client向Local DNS server查询www.abc.com(此处以www.abc.com为例)。
Local DNS server缓存中如果未找到域名,则向根域名服务器发起查询请求。
根域名服务器向Local DNS server返回负责管理.com的顶级域名服务器地址。
Local DNS server向顶级域名服务器发起查询请求。
顶级域名服务器返回负责管理.abc.com的二级域名服务器地址(如果.abc.com为在我们平台上进行注册或者托管的域名,则返回的地址为我们平台的DNS Server地址ns1.hw.com, ns2.hw.com)。
Local DNS server向ns1.hw.com或者ns2.hw.com发起查询请求。
ns1.hw.com或者ns2.hw.com找到www.abc.com 对应的value x.x.x.x,返回给Local DNS Server。
Local DNS Server将查询结果x.x.x.x返回给Client。
服务中心(ManageOne Service Center,一般简写为SC,也称运营面)是ManageOne面向租户和运营管理的入口,提供云服务的运营集成能力,支持多种云服务集成到ManageOne。通过Console Home集成各云服务Console,为用户提供统一的云服务使用界面入口。通过服务编排将各个云服务能力编排成适合用户申请的云服务,并在服务目录中进行统一展示。
除此之外,华为云Stack的运维管理主要由ManageOne运维面提供,用户可以对虚拟资源和物理资源进行统一运维。运维面会在后续章节中展开介绍。
从企业的建云、用云、管云三个方面来看云运营的挑战与华为云Stack的应对:
建云:资源池规划/服务定义,企业面临三个挑战:
挑战1:云服务多样化,无统一管理入口,使用复杂,可通过服务中心的多云管理解决,包括一朵云接入和云联邦接入两大能力;
挑战2:云管平台组织模型无法匹配政企组织结构,可通过服务中心的多级VDC管理解决;
挑战3:企业IT能力无法服务化、在线化,可通过服务中心的服务构建器解决,把企业IT能力、HCS云服务组合编排,做到服务在线化、租户自助化;
用云:资源消费,企业面临三个挑战:
挑战1:各企业的业务审批流程都有些差异,需要云管提供灵活可定义的流程引擎,可通过ManageOne的可视化、在线编排定义的编排引擎解决;
(下页续本页备注)
服务中心(ManageOne Service Center,一般简写为SC,也称运营面)是ManageOne面向租户和运营管理的入口,提供云服务的运营集成能力,支持多种云服务集成到ManageOne。通过Console Home集成各云服务Console,为用户提供统一的云服务使用界面入口。通过服务编排将各个云服务能力编排成适合用户申请的云服务,并在服务目录中进行统一展示。
除此之外,华为云Stack的运维管理主要由ManageOne运维面提供,用户可以对虚拟资源和物理资源进行统一运维。运维面会在后续章节中展开介绍。
从企业的建云、用云、管云三个方面来看云运营的挑战与华为云Stack的应对:
建云:资源池规划/服务定义,企业面临三个挑战:
挑战1:云服务多样化,无统一管理入口,使用复杂,可通过服务中心的多云管理解决,包括一朵云接入和云联邦接入两大能力;
挑战2:云管平台组织模型无法匹配政企组织结构,可通过服务中心的多级VDC管理解决;
挑战3:企业IT能力无法服务化、在线化,可通过服务中心的服务构建器解决,把企业IT能力、HCS云服务组合编排,做到服务在线化、租户自助化;
用云:资源消费,企业面临三个挑战:
挑战1:各企业的业务审批流程都有些差异,需要云管提供灵活可定义的流程引擎,可通过ManageOne的可视化、在线编排定义的编排引擎解决;
续上页)挑战2:需要支持多种云服务,包括基础服务、容器、大数据、第三方云等,可通过ManageOne的十统一规范,把各种云服务统一接入到云管;
华为云Stack十统一接入规范目前支持平台有:HCS、FusionCompute、Vmware、AWS、Azure、阿里(ISV提供接入插件,基线默认不提供)、腾讯(ISV提供接入插件,基线默认不提供);不在这个范围内的,可以由ISV通过十统一规范接入ManageOne。
挑战3:云平台的资源申请审批和企业的项目管理脱节,无法按项目立项的预算做合规检查,可通过ManageOne的企业项目解决;
管云:运营管理,企业面临四个挑战:
挑战1:缺少全局统一的资源管理视图,需要按region、云服务类型打开云服务Console进行操作,效率低下,ManageOne提供了统一资源中心解决这个问题;
挑战2:缺少应用为维度的资源管理入口,资源管理效率低下,ManageOne提供了应用管理来解决这个问题;
挑战3:资源池高效运营,需要提供精细化报表,ManageOne提供了可自定义字段的计量报表以及配额统计分析来解决这个问题;
挑战4:资源需要精细化权限控制,按操作分配权限,ManageOne提供了细粒度鉴权来解决这个问题。
ManageOne提供云服务的统一接入、云服务管理、组织管理等能力,运营业务能力由云服务提供,从而实现云服务的统一运营管理。
云服务接入:ManageOne提供统一的云服务接入功能,运营管理员可以统一管理所有租户的订单、产品、配额等功能;
公共逻辑处理:运营管理员可以创建全局可见的流程或者服务。
运营业务:ManageOne为租户提供多种运营业务功能,更好地匹配客户组织,提供定制化服务。
运营门户:运营管理员、VDC管理员以及其他租户用户可以通过一个统一的Portal接入对应的界面。
Region内网络时延较低,Region间网络时延要求可以放宽。
各物理概念间的关系:
1个Region可以包含多个AZ;
1个AZ不可跨多个Region;
每个AZ包含1个或者多个主机组。
一个VDC下可以创建多个资源集。
ManageOne 8.0.3及以后的版本不再有Project,其功能由资源集概念继承。
预置用户组权限不能修改。
运营管理员和代维管理员无需关联用户组,创建好即具有相应权限,具体权限如下:
运营管理员,具有运营管理类的所有权限,但是不负责申请服务。
代维管理员,代理一级VDC管理员对本级VDC及下级VDC的管理权限,以及对所有资源具有管理权限。
运营管理员可以管理所有用户组,VDC管理员或代维管理员只能管理本级和下级VDC的用户组。
用户组的授权域有两种,分别是VDC授权和资源集授权。
VDC授权:
如果是系统预置用户组(如VDC管理员),其对VDC的权限已经被设定好且不可修改;
如果是自定义用户组,则创建时可以自定义该用户组对本VDC的权限。
资源集授权:除了对本VDC的权限,客户还可以将用户组和其他VDC下的资源集进行关联并设定权限。
使用用户组进行权限管理并授权,可由如下步骤实现:
1、创建资源集,并关联预置用户组。
a)预置用户组的权限可以满足所需,请执行4。
b)预置用户组的权限不满足所需,请执行2。
2、创建自定义用户组、预置VDC业务员或预置VDC只读管理员用户组。如果新建自定义用户组,需为自定义用户组配置权限。
3、将资源集加入用户组。
4、将用户批量关联到用户组中,在用户组中的用户共享该用户组关联资源集的操作权限。如果用户需申请资源,还需将资源集加入到未结项的企业项目。
一级VDC用于统管所有二级VDC。在一级VDC下,除了系统预置用户组,还根据需求创建了六个自定义用户组,其对本VDC的权限如图所示。
根据应用域不同,客户又划分了四个二级VDC,分别是生产、准生产、办公和外部。
不论是一级VDC还是二级VDC,每个VDC对应一个资源集。
客户要求统一使用一级VDC下的用户组去管理二级VDC,且用户组对每个二级VDC的资源集权限均相同。以其他管理员用户组为例,该用户组对二级VDC下的所有资源集权限相同,均为只读权限。
最终资源组织设计图所示,图中省略了用户组与其他二级VDC资源集的授权关联。
用户可以通过两种方式设置配额,从而控制预算:
VDC:运营管理员和VDC管理员均可对VDC的配额进行管理。
企业项目:企业项目配额控制各部门可以使用的资源数量,确保各部门对资源的使用不超出预算范围。
支持按VDC、企业项目设置配额。
支持限制、不限两种配额管理。
支持配额变更审批控制。
CPU、内存、存储关键指标支持基于资源池总量控制。
支持配额审计、使用情况概览。
ManageOne提供独立的审批流程定义功能。运营管理员和VDC管理员都可以定义审批流程。运营管理员发布的审批流程,全局可见。VDC管理员发布的审批流程,本级和下级VDC可见。
服务中心最大支持5级流程审批。每级审批人可设置多人。给各审批环节设置审批人时,只能选择有审批权限的用户。运营管理员和VDC管理员默认带审批权限,VDC业务员可以通过角色变更的方式,授予审批权限,参与审批处理。
ManageOne在定义的审批流程中,支持关联第三方工单系统。当该审批流程启动后,系统会给第三方系统发送审批请求。
企业上云后,云资源池区域多,服务种类多,缺少统一视图中查找并操作资源的问题,需要按区域、资源集打开每个云服务的控制台去查找、操作,效率低下,并且缺少全局统一的资源统计;
ManageOne支持统一资源视图:用户可以按区域、服务类型、资源集、VDC去查找并管理资源; 只读管理员可查看全局资源(但不能操作),VDC管理员可以查看本VDC内的资源,VDC用户可查看自己申请的资源。
Region资源信息更新至ManageOne的方式分为两种:
实时更新:资源中心和订单流程相结合,订单成功后通知资源中心实时更新数据;
定时更新:资源中心每天定时和各云服务校验资源,确保ManageOne和云服务数据的一致性。
将未发布的服务发布给VDC管理员可见。线下服务由运营管理员创建成功后即为“发布”状态,且全局可见。
运营管理员选择可见范围时,参数说明如下:
全部可见:全部VDC管理员可见。
部分可见:可以勾选可见的租户,勾选后,租户中的所有VDC管理员可见。
VDC管理员或代维管理员选择可见范围时,参数说明如下:
全部可见:所属VDC和所有下级VDC管理员可见。
部分可见:可以勾选可见的VDC,勾选后,所选VDC的所有VDC管理员可见。
如果用户需使用外部系统的审批流程,可通过配置定制服务完成与外部系统的对接,以便直接使用外部系统的审批流程。
在上线服务时,也要选择审批范围。与发布服务的审批设置是一致的。
运营管理员的界面中,还可以设置可见范围。但是VDC管理员和代维管理员只能设置审批设置。
在服务构建器原有的编排模式下,二次开发人员需要开发资源编排插件,开发工作量较高,同时一些公共操作也需要重复开发(如Https链接、数据库操作)。
为了解决这个问题,服务构建器在8.1.0版本引入了“API编排”能力,在这种编排模式下,被编排的云资源只需要提供原子API即可,二次开发人员可基于可视化编排界面对原子API进行编排,无需在开发资源编排插件,同时公共操作也由编排引擎统一提供,降低云服务资源编排难度。
通过服务构建器的API编排能力将现有IT能力组合编排在线构建新服务,解决政企现有IT能力服务化,上架云服务市场和目录问题,让政企原有IT能力“云化”重生,实现政企IT共享,丰富IT能力服务化生态。
除了服务申请,ManageOne也提供回收站和购物车功能。
回收站:
VDC管理员、代维管理员和VDC业务员可以查看并删除已放进回收站中的资源,也可以还原回收站中的资源,但是处于“已删除”状态的资源无法还原。
用户可以通过购物车:
将不同类型的服务添加到购物车,通过购物车一次申请;
对于已经添加到购物车的服务,用户前期没有申请,后续可以直接在购物车中提交申请,无需再次从服务列表中选择需要的服务申请;
对加入购物车的服务,用户可以进行修改时长、删除服务和提交申请等操作。
企业通过计量计价可以统计各部门的资源使用情况、费用使用。IT部门可以按月、季度、年统计计量报表,并核算各部门的资源使用量是否超过预算。
服务定价:运营管理员设置每种规格的费率,按服务规格定价。
账户管理:一个VDC对应一个账户,运营管理员给账户充值。如果服务进行了定价,并且开启了扣费开关,那么系统会对已使用的资源进行扣费,当账户余额不足时无法申请资源。
计量报表:支持以报表方式查看各VDC的计量结果。提供不同维度的统计报表,当前支持云资源明细、云服务统计、租户统计、账户报表、华为云账单、自定义报表。用户可根据实际需要,选择不同的报表查看云服务资源的计量数据。
计量视图:支持以视图方式查看各VDC的计量结果。统计单个租户下所有云服务资源的计量使用量。
计量计费的价值:
提供按服务定价能力。
支持租户的资源使用计量和计费,便于与租户进行业务和费用结算。
为租户提供VDC各项计量数据,帮助完成运营分析。
运营管理员也可以在自己的界面上看到不同VDC的计量情况,本页只展示VDC管理员的视角。
支持按月统计、按云服务类型统计、按服务实例统计、自定义条件统计等多种计量统计报表;
支持自定义统计条件,包括:统计时间段、统计的租户/VDC;时间段支持相对时间段和绝对时间段;
支持自定义统计字段,包括:区域、可用分区、资源类型、标签、项目、资源名称、资源ID、计量指标、计量单位、计量值、单价、费用;
支持自定义条件保存为报表,无需每次输入统计条件;
支持报表导出;
支持邮件订阅。
各级VDC管理员均可以管理本级以及下级VDC:
创建下级VDC,并设置VDC配额;
创建、管理VDC管理员、VDC用户;
创建、管理Project,将用户和project关联。
ManageOne运维侧负责所有运维数据的获取,同时也提供租户粒度的资源监控能力。
VDC自运维供VDC管理员使用,提供本级VDC及下级VDC的资源、告警、性能阈值的设置和监控能力。
整体运维数据及基础功能由OC侧提供,运营侧的VDC自运维只提供VDC粒度的自运维数据的组织展现及操作入口。
VDC管理员可以作为订单申请者,也可以是订单审批者。他可以看到本级和下级VDC的所有订单。
VDC业务员也可以同时作为订单申请者和订单审批者,前提是审批流程中添加了该业务员。
应用管理具有以下几个特点:
易构建
通过极简的界面操作包括应用创建、添加资源、创建模块和部署等,快速构建符合用户实际业务场景的多种应用系统。
易部署
支持图形化的部署流程,在线安装、升级、维护软件和应用系统。
易管理
支持全局拓扑视图和应用全方位监控,智能化的管理应用、资源、模块、部署、用户和告警,一键启停资源和管理进程。
添加应用用户:
仅支持添加应用归属资源集已授权用户组中的用户,具体约束限制如下所示。应用归属资源集已授权默认VDC业务员用户组中的用户。
应用归属资源集已授权自定义用户组(不包含VDC Admin和VDC Readonly权限)中的用户。
查看应用信息:
运营管理员可以查看所有应用,VDC管理员可以查看本VDC及下级VDC应用,VDC业务员只可查看所属自己的应用。
通过应用的详情页面,查看应用详细信息,包括概览、资源、拓扑、模块、用户、告警、部署信息。部署信息仅支持VDC用户进行查看。
在拓扑中查看应用资源繁忙度前,请确保已导入智能监控组件许可,并已更新资源池。运营管理员在“系统 > 系统集成 > 私有云接入”界面更新资源池。
###应用视角资源监控
对应用资源,ManageOne分虚拟化层、服务器层、网络层3个维度全面评估与应用相关资源的运行状况。
当运维人员收到用户报障、告警通知或日常巡检发现应用故障时,使用应用资源监控故障定界能力,能够快速找到故障是虚拟化层、服务器层和网络层中的哪一层导致的,明确责任人,尽快进行故障恢复。
当需要以应用为粒度进行资源利用率考核时,使用应用资源监控繁忙度评估能力,能够快速明确哪些应用的资源利用率过低,并且可以分别评估虚拟化层、服务器层和网络层的资源利用率高低,方便快捷的获取考核结果。
实时监控应用的资源利用率,及时发现和避免资源不足导致的业务卡顿或运行故障。并且能够快速明确虚拟化层、服务器层和网络层哪一层的资源利用率过高,哪些资源的哪些性能指标资源利用率过高,为客户的扩容决策提供数据支撑。
华为云Stack多云统一管理,分两大类接入类型:
一朵云接入:即十统一接入,支持HCS、FusionCompute、Vmware、AWS、Azure、阿里(ISV提供接入插件,基线默认不提供)、腾讯(ISV提供接入插件,基线默认不提供);不在这个范围内的,可以由ISV通过十统一规范接入ManageOne。
云联邦接入:支持华为云、HCS、HCSO(华为边缘region、专属云场景),ManageOne以租户的身份,通过联邦认证,申请这些资源池的云服务资源,注意:
对接HCSO不支持统一配额、统一计量、统一服务流程、统一资源中心;
HCSO部署到客户机房场景,ManageOne通过十统一的方式管理HCSO。
传统的混合云,通过API对接的方式实现,私有云侧按照需要使用的公有云服务,对接公有云服务的API,并且实现公有云服务的申请逻辑,等同于在私有云侧把公有云服务的Console和申请流程重新做了一遍,每种服务都需要实现一遍,工作量大,而且对于容器、大数据、EI这些变化比较快的云服务,一旦公有云发生变化,私有云又得重新适配。
为了解决传统的API对接的缺点,ManageOne提供了云联邦混合云能力。通过把HCS的IAM和华为云IAM结成联邦关系,ManageOne VDC用户可按指定授权申请并使用华为云服务,做到一次对接,即可以使用华为云丰富的云服务,无需逐个云服务对接。
IDP:身份提供商(Identity Provider,简称IdP )是为用户提供身份认证的系统。如:IAM是公有云的身份提供商。在IAM联邦身份认证中身份提供商指企业自身的身份认证系统。
SP:服务提供商(Service Provider,简称SP)是指为用户提供服务的系统。在IAM联邦身份认证中,指公有云系统。
混合云市场是一个在线商店,用于向用户展示第三方服务提供商提供的云上或线下应用,为用户提供更丰富的云商品,支撑用户业务快速、简易、有保障的上云。
混合云市场集成了华为云市场和华为云Stack市场的商品,融合了云上云下生态,实现了华为云和华为云Stack的优势互补。
华为云市场:华为云与ISV供应商合作,提供从应用、运行环境、带宽以及云主机资源的一站式应用商品,用户可以在云市场快速购买到合适的应用商品(包括运行的全套环境),然后立即开始使用应用软件和服务来发布商品和运行自己的业务。
华为云Stack市场:华为云Stack与ISV供应商合作,提供咨询类商品的申请入口。针对一些不能在华为云市场或ManageOne线上自动编排发放的商品,华为云Stack市场提供了线上浏览和咨询功能。
传统多云合一方案工作量大,客户希望有一种轻量级的方式来实现这个需求,云联邦HCS可解决这个问题。
胶片中提供大数据的HCS作为资源提供方(对应“对端HCS”),需要使用大数据的HCS作为资源使用方(对应“本端HCS”),流程如下:
对端HCS和本端HCS先在线下协商,约定好本端HCS可以使用的资源数量;
在对端HCS创建一个租户,配额设置为第一步约定的资源数量,该租户由本端HCS申请资源使用;
本端HCS在本端ManageOne的“两级云资源池接入”中对接“对端HCS”,对接账号为第2步创建的租户;
本端HCS按需为本地VDC关联对端HCS的资源池,然后该VDC的用户就可以通过联邦认证的方式申请对端HCS的资源。
目前华为云Stack不主推两级云服务。
本端华为云Stack资源池资源不足时,两级云服务可以从另一个华为云Stack借用资源;
借用之前需要先在对端ManageOne创建一个一级VDC和管理员账号,本端使用该账号对接对端华为云Stack申请资源;
两级云支持如下服务: ECS/EVS/VPC/EIP/SG/IMS,注意IMS仅支持查询,如果需要私有镜像,需要用一级VDC管理员账号登录对端华为云Stack的IMS服务Console制作镜像;
两级云和ManageOne共部署,无需额外部署资源。
以FusionCompute为例,ManageOne支持统一管理FusionCompute管理的虚拟化资源池,同步FusionCompute管理的虚拟化资源池的弹性云服务器、云硬盘等云服务资源。为FusionCompute管理的虚拟化资源池提供一个统一的ManageOne管理入口,由ManageOne统一管理多种类型的资源池。
通过虚拟化资源池纳管功能,华为云Stack可以对VMware存量资源池进行统一管理,满足不同业务需求,最终实现HCS资源池和异构VMware资源池统一管理。
前提条件:
光华冠群基于十统一规范开发阿里云服务层,通过API对接阿里云API,提供ECS、EVS、VPC、EIP+共享带宽服务;
光华冠群基于十统一规范开发腾讯云服务层,通过API对接腾讯云API,提供CVM (即云主机)、CBS (即云硬盘)、VPC、EIP服务;
客户本地使用HCS,同时使用了阿里云(腾讯云类似),希望ManageOne统一管理,降低管理成本。
纳管流程:
在ManageOne侧部署光华的阿里云服务组件,使用客户的阿里云账号对接阿里云,把阿里云region同步到ManageOne侧;
运营管理员创建租户时,为租户关联阿里云region,并设置配额;
该租户的用户登陆ManageOne,在服务目录中可以选择阿里云的region,并申请使用阿里云服务。
客户痛点
当前客户的27个部门和众多事业单位,提供100+政务应用,但是数据中心的灾备体系并不完善,一旦发生灾难,业务和数据面临极大威胁。客户要求在出现灾难时,保证100多个业务系统中,30个核心应用和核心数据库系统,数据零丢失。
故障发生后,需要人工定位、检测和处理故障,业务中断时间长。需要在不增加人力投入的前提下,在数据库业务和虚拟机业务发生故障时,能够自动检测和切换,实现业务快速切换。
现网有多家厂商( IBM、VMWare、EMC ),系统故障后定界难,响应慢。
解决方案
华为提供HUAWEI CLOUD Stack两地三中心灾备解决方案,提供多级保护,保障业务连续性。由ManageOne统一云管理平台,异构纳管Vmware,对多数据中心、多厂商统一管理和运维。该项目258节点规模,客户将100+业务系统迁移上云,同时逐步上线智慧城市应用。
(续)方案亮点
华为两地三中心灾备方案,灾备服务化,租户按需自助对30+核心应用申请灾备保护。使用业界先进的存储复制技术,无需区分应用类型,可快速对应用和数据库进行保护。同城双活复制,异地存储异步复制,多重保护让核心系统实现数据“零”丢失。
用BCManager提供可视化容灾管理能力,容灾视图呈现,一键式故障自动切换, 业务无缝切换。
用ManageOne统一管理平台,实现多数据中心、多厂商资源可视化统一管理,运维效率提升65%。
方案总结
升级后的数据中心有力地保障了27个部门和众多事业单位,提供100+智慧政务应用稳定运营。客户自研APP一站式提供所有的政务服务。服务7*24小时不中断,随时提供。电子健康系统减少看病等待时间;在线招聘系统减少纸张使用,提升求职招聘效率等等。
华为云Stack的运维由ManageOne OperationCenter实现对资源的管理,从下至上可分为采控层、平台层和运维场景层,通过统一的运维Portal实现对资源的统一管理。
华为云Stack运维平台可实现对物理资源、虚拟资源、云服务、应用资源的监控、拓扑、告警、日志、容量、性能等的统一维护。完成云资源和非云资源的统一管理,识别系统弱点,快速定位故障,快速恢复主要业务。提供大屏、报表和自动化能力,帮助运维人员实现运维可视化和运维自动化。
华为云Stack的运维由ManageOne OperationCenter实现对资源的管理,从下至上可分为采控层、平台层和运维场景层。
基于采用分层解耦的架构原则,整个产品分为:
采控层:基于Agent和驱动对接技术,实现海量数据插件化的全栈接入能力。
平台层:由CMDB,数据分析平台和自动化运维三大平台构建运维基础能力底座,沉淀运维数据,并提供开放的运维能力。
运维场景层:聚焦客户价值和业务场景,匹配客户运维组织,提供场景化体验,构建监、管、控一站式运维。
开放接口:提供标准化的数据接入能力,同时通过北向API将运维数据开放给第三方。
全栈数据接入基于Agent和驱动对接技术,实现全局数据接入,提供统一的低成本的数据接入能力,覆盖从基础设施到租户应用的全栈对象。
其核心能力包含:对于通用操作系统,采用Agent技术,实现海量网元可靠安全灵活的接入,满足运维上行和下行能力;对于三方、嵌入式系统,提供驱动的对接方式,确保了非侵入的方式管理被管系统。
采控层的核心能力如下:
硬件监控指标:通过对接eSight/ZOHO获取硬件相关的告警、指标等信息。
虚拟化通道:通过OpenStack的Ceilometer获取宿主机以及虚拟机相关的指标信息。
Agent通道:通过部署在主机OS上的代理采集相关的信息。
开放API:ManageOne提供API接口,云服务主动上报监控信息。
AOM通道:对于容器类监控信息,通过对接AOM进行监控数据同步。
接口说明:
硬件监控指标:通过eSight提供的SFTP协议通道获取性能数据文件。
虚拟机带外性能指标(不需要安装OS操作代理):OpenStack的Ceilometer通过虚拟化(VRM)采集相关指标,然后再上报给ManageOne。
虚拟机带内(OS)性能指标和调用链日志:通过部署在宿主机和管理VM上的agent采集上报相关的性能指标和调用链日志(注:不实时采集运行日志,只采集调用链日志)。
云服务租户实例指标:云服务通过RESTful接口上报租户实例性能指标给ManageOne(租户实例:指发放给租户的实例对象,比如EIP、RDS、ECS等)。
云服务租户审计日志:云服务通过RESTful接口上报租户审计日志给ManageOne。
CCE容器指标:AOM通过agent采集,然后AOM再上报给ManageOne。
在当前数据中心运维中,对于资产管控普遍存在如下问题:各部门各自管理,数据分散、依靠人工维护,缺乏有效的审核机制等问题。CMDB在一定程度上可以解决这些问题。
CMDB(Configuration Management Database),简单的理解就是配置管理数据库。通俗且扩展解释:CMDB可以自动发现并且存储整个IT系统中的各种信息,比如整个IT系统中服务器的台数、存储设备的台数、设备的品牌、资产编码、维护人员、所属部门、服务器上运行什么操作系统、操作系统的版本、操作系统上有什么应用、应用的版本等等。除此之外,CMDB还有一个重要的功能,即存储不同资源之间的依赖关系,构建完整的IT系统画像。
在华为云Stack中,CMDB作为运维的基石和数据总线,构建全局统一的资源模型,将原来离散的信息统一,分散的工具高效整合,构建全流程运维自动化体系。
华为云Stack中,CMDB的核心能力包含:提供资源对象全生命周期管理能力:从数据的生产到调和、校验,到最终提供给各个运维工具进行数据消费;所有运维功能(包括监控、变更、故障处理、数据分析等)都以CMDB为核心构建。
开放的接口:提供丰富的接口,支持各种接口组合查询资源信息,并通过接口管理资源实例,保证使用的灵活性。
多视角资源展示:通过所有资源、资源池视图、数据中心视图和VDC视图四个方面的视角展示资源列表及资源信息。
物理设备全生命周期管理:实现直接从ManageOne接入设备,简化设备纳管流程,和eSight联动,实现设备从录入、监控、维护、下架全流程管理,逐步构建物理设备的生命周期管理能力。
准确可信的数据信息:资源管理通过多来源数据采集,将多种多样的数据信息统一标准化,让信息以最简洁的方式被维护,提高信息配置的精确度;并采集可信来源和预设规则的数据,避免因数据来源多存在数据冲突,提高数据的准确性。
自动化数据采集:与各工具配合,实现自动化对象发现和数据采集,降低人工工作量,提高数据采集效率,管控因人工误操作带来的运维风险,保证数据的及时有效。
资源管理通过手工录入、部署系统、第三方等获取生产数据。
资源管理通过对接系统获取系统资源、租户资源等资源的数据。
资源管理为运维业务提供消费数据。
资源管理向资源监控提供监控对象的数据信息,帮助运维人员及时了解资源的运行状况。
资源管理向健康巡检提供巡检对象的数据信息。
资源管理向告警监控提供故障根因树,帮助管理员快速定位和处理故障。
资源管理向容量分析提供容量使用情况、阈值等数据信息,方便运维人员进行容量预测和分析。
资源管理向拓扑视图提供资源及其相关资源的关联关系,用拓扑的形式展示出来,方便运维人员快速直观定位问题。
资源管理为安装部署提供数据支撑。
资源管理向自动化批量执行运维操作提供数据信息,实现操作任务一键执行,提升运维效率和满意度。
资源管理通过北向API向第三方提供数据信息。
CMDB模型分为基础资源层和应用资源层:应用资源层包括云系统应用和租户应用;基础资源层包括环境、设备、网络等基础设施。通过CMDB模型将应用和基础设施资源进行关联和整合,构建完整的数据中心画像,从而有助于客户理清应用与基础设施的关系,帮助后续的分析及故障处理等工作。比如,当某租户应用出现故障时,可以查看其关联的资源,即哪些资源可以引起该应用的故障,从而进行故障排查。
丰富便捷:内置丰富的运维操作库,用于直接满足日常运维的需求。如果内置的操作和编排不满足需求,支持新建适合业务场景的新操作和编排。
灵活、智能:将复杂的操作或编排设置为作业任务,设定触发条件和时间,满足灵活的应用场景。例如定期的巡检任务,只需选择设备并设置执行时间,将自动执行,无需人工干预。
批量、高效:批量执行脚本任务,支持对大量设备批量执行操作/编排。
图形化编排:将单个运维操作或子编排采用图形化拖拽的方法,通过编排引擎编排成适合各种运维场景的运维流程,适应多样频繁变化的运维诉求,让操作标准化、可复用,轻松满足各种运维场景的诉求。
安全、可控:提供完善的安全控制机制,做到事前可定义安全策略,事中有安全提醒,事后可审计,避免人为的操作安全风险。
AutoOps可分为三层:管理对象层,自动化作业平台和自动化作业场景。
在管理对象层,自动作业通过资源管理(CMDB)获取管理对象列表,通过Agent通道实现脚本远程执行能力。
在自动化作业平台层,提供针对“原子”操作的编排能力以及任务执行的能力,能将原子操作通过编排引擎编排为标准化的运维动作并按照不同的策略执行。
自动化作业场景层,提供各类满足用户需求的自动化作业场景,如自动化巡检、批量密码修改、例行维护等。
企业都有安全管控的诉求,为了保证安全性,一般都会要求定期修改系统中的密码。云数据中心的操作系统密码众多,且分布在不同的虚拟机上面,手工一个个修改工作量巨大且容易出错,运维人员无法从繁琐而枯燥的工作中解脱出来。通过运维自动化平台,可以实现批量修改密码的功能,一键式完成密码修改,极大的提升修改密码的效率,减轻运维人员的工作负担。
![](https://img-blog.csdnimg.cn/direct/8aa75aaad618420db9838478a55d5015.png)
统一密码修改:提供密码管理的统一入口,通过一键式修改操作,降低管理面密码修改时间。
其核心能力包含:
通过CMDB自动纳管OS账号。
支持密码的主动修改、修改过期时间、校验、修正等。
支持密码即将过期或已过期时,进行快捷的批量修改。
各云服务将帐户注册到密码管理进行统一管理。
密码管理可对帐户密码进行校验、修正和修改的操作。
密码修正在密码管理中即可完成。
密码校验与管理,需下发任务至帐户所在的云服务或帐户所在的虚拟机对应的Agent完成。
下发密码维护任务。
若帐户为操作系统帐户,则操作命令将会被下发至帐户所在的虚拟机对应的Agent执行。 有关FusionSphere操作系统帐户的操作命令,将会被下发至FusionSphere执行。
若帐户为非操作系统帐户,则操作命令将会下发至各云服务执行。
客户需要例行每天或每周对系统做巡检,并且会根据情况调整巡检流程。手工执行容易出错,人工触发容易忘记,海量设备操作繁琐。通过运维自动化平台,可以灵活编排巡检流程,设置定时任务。
场景1:当运维人员通过告警通知或日常巡检发现应用故障时,使用应用资源协助故障定界,快速定位出故障属于虚拟化层、服务器层还是网络层,明确责任人,尽快恢复故障。
场景2:当需要以应用为粒度进行资源利用率考核时,使用应用资源繁忙度评估能力,快速明确哪些应用的资源利用率过低,并且支持分别评估虚拟化层、服务器层和网络层的资源利用率高低,方便快捷地获取考核结果。
场景3:实时查看应用的资源利用率,及时发现和避免资源不足导致的业务卡顿或运行故障,并且能够快速明确虚拟化层、服务器层和网络层哪一层的资源利用率过高,哪些资源的哪些性能指标资源利用率过高,为客户的扩容决策提供数据支撑。
应用分析能够从业务的视角来监控相关资源的健康情况,并能够支持量化评估、KPI异常检测、辅助定界定位,缩短MTTR,提高业务连续性。以帮助客户从以资源为中心的监控转变为以应用为核心的监控,持续保障客户业务稳定运行。
其关键核心能力包含:
对应用资源,分虚拟化层、服务器层、网络层3个维度全面评估与应用相关资源的运行状况。
提供应用视角的资源监控能力,提供应用维度的故障统计和定界能力,提供应用维度的资源利用率评估能力。
使用场景:
当收到用户报障、告警通知或日常巡检发现应用故障时,使用应用资源监控故障定界能力,能够快速定位定界,尽快进行故障恢复。
当以应用为粒度进行资源利用率考核时,使用应用资源监控繁忙度评估能力,快速明确哪些应用的资源利用率过低,并分别评估虚拟化层、服务器层和网络层的资源利用率高低,方便快捷的获取考核结果。
实时监控应用的资源利用率,及时发现和避免资源不足导致的业务卡顿或运行故障。快速明确虚拟化层、服务器层和网络层哪一层的资源利用率过高,为客户的扩容决策提供数据支撑。
问题的答案有很多,可从ECS的发放流程进行排查,或使用对比法发放其他镜像、规格等虚拟机进行实验。
可能的故障类型:
云硬盘的类型选择错误。
关联主机组的CPU模型有误。
镜像的启动模式选择有误。
镜像的磁盘格式有误等。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。