云环境下虚拟多媒体教室的构建研究(精选7篇)
云环境下虚拟多媒体教室的构建研究 篇1
云环境下虚拟多媒体教室的构建研究
摘要:随着我国计算机技术的不断发展,云计算的应用模式与技术不断发展、不断成熟,云服务已经成为未来互联网发展的重要方式。现阶段,我国高等院校的多媒体教学,不可避免的存在更新换代速度慢、资源浪费严重等缺陷。充分利用云计算技术,积极构建虚拟多媒体教室,充分利用云平台进行存储,能够在降低运行成本的同时,提高教学质量与管理水平。接下来,本文将结合笔者多年相关研究经验,详细论述云环境下虚拟多媒体教室的构建。
关键词:多媒体教室;虚拟;云环境;云计算
现阶段,随着互联网技术的发展以及计算机普及,大部分高等院校认识到多媒体教学的重要性与必要性,将多媒体教学作为教学、研究的重中之重。加快网络化、智能化教学设施的建设,从而有效实现多媒体教室的远程集中化管理与控制,成为各大高校努力的重点。随着现代化教育的发展以及多媒体教室规模的快速增长,教学资源不断增加,如何更好的进行管理、降成本,积极构建虚拟多媒体教室,成为了摆在我们面前迫切需要解决的任务,而云计算构建,为我们提供了强大帮助。
一、云环境下构建虚拟多媒体教室的重要性与必要性分析
1、传统Client/Server模式的应用弊端
现阶段,我国大部分高等院校都建成了网络化、虚拟化的多媒体教室,但大部分采用Client/Server模式。这种模式有着不可避免的两个缺陷:首先,在教学过程中所使用的软件计算能力,都需要客户端计算机进行操作,完成计算任务,每台计算机都需要安装各种杀毒软件、系统软件、教学软件,这种现象导致了严重的软件、数据资源浪费。其次,需要由专门的计算机维护人员,定期对多媒体教室的应用软件与系统软件进行维护、更新、升级与修补漏洞。与此同时,还需要对重要数据资源进行持续保护,造成了严重的人力资源浪费与维护成本。再次,安全性比较差,每个多媒体计算机即客户端都会面临着病毒入侵的可能性,会造成系统瘫痪以及数据丢失,安全性差。
2、云计算的应用优势
Cloud Computing云计算,是一种新型的计算模型,云环境则是基于云计算的网络化运行环境。将计算任务大量分布在计算机资源池上,从而各个应用系统,可以结合自己的实际需求,获得相应的存储空间、计算能力以及多种服务软件。云计算,是一种互联网新计算方式,通过互联网的自治、异构服务,为用户提供计算服务。云计算的资源是虚拟化的而且具有动态性,互联网提供,用户无需了解“云”的具体设计细节,无需具有专业能力,无需进行直接控制,只需要关注自己需要什么样的资源、如何得到相应服务即可。云计算能够充分运用强大的网络功能,将计算程序分为无数小程序,经由庞大系统的计算最终反馈给客户。云计算有两大突出优势,第一,大大节省硬件设施投入量,通过虚拟技术的应用,大幅度提高了网络资源的利用效率。通过PaaS、IaaS、SaaS等服务的`提供,用户不需要建立数据中心,就可以满足灵活多变的教学需求。第二,SaaS与云计算两者相互补充、相互促进,云计算推动了SaaS的兴起与发展,SaaS的运用提高了用户对云计算的依赖性与粘性。目前来说,SaaS服务是云计算最流行、最重要的应用。在构建多媒体教室过程中,积极引入云概念,对于教师来说,可以在云提供的存储单元上存储自己的教学资料,无须每次上课都进行课件拷贝、安装等工作。只需要用户名与密码,就能在任意一所教室,成功登陆网络平台,进入教学环境,使用各种教学资源。对于学生来说,能够把自己的学习资料、学习任务、作业等数据信息在云端进行存储,在任何地方都可以自由使用学习资源。教、学这个双向互动过程,也可以通过云环境进行双向互动,可以方便的进行提交作业、模拟考核等等。简言之,云环境为人们提供了比较安全、可靠的数据存储环境,与此同时,对于用户端要求比较低,能够轻松实现数据、设备的应用与共享。第三,大幅度提高了可用性。云计算系统的可用性非常高,一方面可以通过硬件冗余大幅度提高,一方面通过软件方式提高。硬件冗余是主要通过网线、硬盘等方式保证冗余部件服务。软件方法则是通过监测集群中的多台计算机,在其中一台计算机失效时,启动另一台设备提供教学服务功能。
云环境下虚拟多媒体教室的构建研究 篇2
云计算与虚拟化是国内外信息产业界目前最受关注的两项新技术。云计算主要包含两个层次的含义:一是从被服务的客户端看, 用户无需自建基础系统, 可按需获取网络上的资源, 并按使用量付费。二是从云计算后台看, 云计算实现了资源的集中化与规模化, 并兼容各类异构软硬件基础资源, 实现资源的动态流转。虚拟化实现了IT资源的逻辑抽象和统一表示, 是支撑云计算构想的重要技术基石。
一、教育云网络建设的主要内容
总体网络IP地址规划, 进一步拓展和升级了中心机房设备。通过稳定的、可扩充的云计算数据中心, 对整个学校的教学、科研、实训、招生就业、学生管理等环节进行高效的信息化、智能化和人性化的管理, 为全校师生员工及校外用户提供了快捷、共享、全面的信息服务。预计于2015年基本建成与国家、省对接, 并与省内院校密切融合的教育管理公共服务平台和教育资源公共服务平台。
引入云计算思想, 将资源池化, 搭建一个数据中心;购买先进设备, 搭建“班班通”教室局域网;采用先进云计算技术, 开发教学管理平台和资源应用平台, 将信息化融入到教育教学与教育管理过程中, 不断创新和融合教育信息资源的新局面;利用教学督导和政策引导, 逐步提升多媒体教室的使用率和一线教师信息化的教学参与率, 建立一套标准化的信息标准体系及运维管理评价系统和管理规范。
二、教育云网络构建方案
在整体学校网络建设规划中, 分为核心区、接入区、数据中心服务器区三个部分。
(1) 核心区的主要任务是负责整个学校的数据转发, 需要有极强的可靠性和稳定性, 核心交换机设备选用CLOS架构, 该架构设备所有的控制功能在主控板上, 但转发功能在交换网板上, 可以实现控制和转发的硬件分离。在核心交换机上部署安全插卡, 可实现网络层安全防护、流量管控。
(2) 接入区的主要任务是实现各办公、教学、宿舍区域的有线网络接入, 实现高带宽的局域网需求, 接入交换机采用全千兆设备, 最大限度地提升整体网络等级, 实现业务的正常部署。
(3) 数据中心服务器区的主要任务是承载各个教学软件, 实现各个教学应用的平台。我校新部署了刀箱式服务器, 一个刀箱内可以部署十多个刀片交换机, 空间利用率大幅度提高, 耗电量也极大减少, 且结构紧凑、密度高, 可以减少耗电、改进电源管理, 具有灵活性、模块性和易管理性。服务器是云计算平台的核心, 承担着云计算平台的计算功能。
三、“班班通教室网络”的构建
1.局域网络综合布线
学校以“班班通”教室建设为基础, 根据教学与管理实际需求逐步完善和提升职教园区内信息化基础设施, 规划数字校园网络拓扑图, 实施“三通二平台”工程。采取高端实用原则对网络中的网线重新布线。其中, 主干使用万兆光纤进行数据传输, 桌面达到千兆的数据传输量;核心交换机采用十万兆交换机, 以应付数据的大量吞吐及不断扩大的网络扩展需求;出口处采用高端防火墙, 防止网络常见攻击, 保护学校的重要数据资源。
2.“班班通”教室
“班班通”教室包括理论课教室和计算机实训教室。学校新增40个高标准多媒体理论教室, 物理上划分为监控网络与教学网络。监控网络中的网络高清监控头采用POE供电;教学网络中采用65寸LED交互智能一体机和85寸组合式教学一体机作为终端设备, 分别与数据中心中各自的云服务器相连接。新建的计算机实训教室使用最新的云计算技术, 通过桌面虚拟化解决方案代替PC机。每个教学机房从终端入手, 分为三个部分, 终端区、云课堂主机区和校园网链路 (数据通信及管理区) , 三个区域均采用千兆接入式连接。通过在每间教室部署一台高性能云课堂主机和零维护的云课堂终端, 利用云课堂集中管理平台对所有云主机统一管理。教师使用云课堂多媒体教学管理软件控制学生教学桌面, 学生则采用触控显示器操作云课堂终端设备, 该设备可以在教师控制下自动和云课堂主机相连, 获取虚拟化桌面, 操作方式和习惯与PC完全相同。
3.运维管理
数字化资源管理中心通过配置NAT (网络地址转换) 和ACL (访问控制列表) 等网络技术手段, 管理并规范全校教职工的上网行为;对网络IP地址进行分类统计, 实现教学、监控等多网合一;为学校领导、班主任安装桌面监控软件, 实现校领导和班主任在办公室实现教室教育教学的远程监控管理;通过SERVER-U建立一个大容量的、稳定的文件服务器, 用于保存所有的数字化教学资源, 便于校园内所有教师及学生共享, 输入各部门的用户名和密码即可访问各部门相应文件。
四、网络综合安全建设
1.冗余备份
包括网络线路的多层次冗余、网络设备自身组件的冗余, 通过冗余能力, 实现网络的全面可靠性保证。
2.网络出口应用安全区域
基本可分为互连网出口区、对外服务区、内网区域。防火墙设置为默认拒绝工作方式, 以保障所有数据包。如果没有明确的规则允许通过, 全部拒绝以保证安全。在防火墙上设置允许VPN协议数据包穿越防火墙, 满足移动用户通过VPN网关访问内网的需求。
3.防火墙与IPS
防火墙是以网络层为核心的防护措施, 它可以对整个网络进行网络区域分割, 提供基于IP地址和TCP/IP服务端口等访问控制。对常见的网络攻击方式, 如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护, 并提供流量限制、用户认证、IP与MAC绑定等安全增强措施。IPS是一种主动式入侵防御系统, 能够及时阻止各种针对系统漏洞的攻击。IPS是综合性深层安全威胁防范系统, 防火墙定位为网络层隔离控制系统。因此, 在网络边界部署FW和IPS, 实现更完善的安全防御。
五、结束语
通过教育云平台的建设, 整合学校原有的软硬件资源, 实现校校互连, 班班共享。满足了教育者的管理需求、学习者的认知需求;改善了文化课、专业实践教学课的教学实训条件;在信息化课程建设、创新教育学习模式方面为广大教育者和学习者提供了丰富的参考经验和范例, 为鞍山市职业院校数字校园建设提供可供借鉴的经验。最终实现职教园区的资源数字化、传输网络化、终端智能化、管理规范化、工作效率化、校务公开化的目标。
摘要:本文结合鞍山市信息工程学校“班班通”工程建设的现状与教育资源建设存在的问题, 提出利用云计算技术构建数字化教育云网络来解决教学资源与业务的应用问题, 并阐述了“班班通教室局域网”的架构, 资源的管理和数据中心的网络安全措施等内容。
云环境下虚拟多媒体教室的构建研究 篇3
关键词:“云”计算数字图书馆虚拟化安全问题对策
中图分类号:G250.7 文献标识码:A 文章编号:1003-6938(2012)06-0029-04
1引言
随着云计算技术的发展与成熟,利用云计算技术建设安全、高效、经济、低碳的数字图书馆,按需为读者提供个性化数字阅读服务成为图书馆发展的趋势与必然。云计算环境下,数字图书馆具有基础设施结构复杂、安全威胁增多、读者云阅读需求多样化、云阅读活动满意度与收益率要求高的特点。因此,利用虚拟化技术对云计算、云存储和网络资源进行统一管理和资源共享,实现云基础设施、操作系统和读者服务软件等IT资源表示、访问、配置的简化管理,并提供标准的接口来进行数据输入和输出,是实现数字图书馆云系统资源最优化管理与分配的保障。
Gartner预测到2015年,企业数据中心40%的安全资源管理内容将是虚拟化的。因此,随着虚拟化技术在数字图书馆建设、运营、维护活动中的普及,利用虚拟化技术在降低云图书馆建设、管理、运营、维护成本,并提高数字图书馆云系统组织、结构逻辑性的同时,保证数字图书馆云应用安全和读者云阅读活动服务质量,是关系云计算环境下数字图书馆虚拟化建设与安全所面临的重要问题[1]。
2云图书馆虚拟化安全问题与需求
虚拟化是云计算的关键支撑技术,为云计算环境下数字图书馆云计算、云存储、网络、用户桌面与阅读应用等资源提供逻辑化的资源管理、分配与优化。在大幅度降低云图书馆建设、管理与使用成本的前提下,提高资源的可管性与可用性。云计算环境下,虚拟化安全问题是关系云图书馆建设与读者云阅读活动服务质量的关键因素,也是云图书馆可用性效能判定的重要指标。
2.1虚拟化环境更加复杂、多变
随着虚拟化技术的应用,数字图书馆在大幅降低云计算、云存储和管理服务器硬件设备采购数量的前提下,利用虚拟化技术将单一服务器划分为若干个虚拟化设备,依据读者云阅读服务活动资源使用量按需分配。
虚拟化技术虽然提升了数字图书馆云数据中心资源的管理与使用效率,但是,单一物理服务器所承载的业务将更加密集、繁重,物理设备在逻辑上的隔离也无法保证不同用户、业务应用系统之间的完全隔离,数字图书馆传统意义上的安全界限将更加模糊和难以划定。此外,虚拟化环境下云基础设施结构与软件系统环境将更加复杂、多变,增加了黑客利用虚拟机操作系统和应用程序漏洞进行攻击的成功概率。同时,虚拟化环境下数字图书馆安全防范的对象与内容进一步扩大,对核心系统的攻击可能会造成云图书馆服务中断、系统崩溃和控制权限丢失。第三,黑客可能会利用虚拟化技术的超级计算能力发起对云数据中心的攻击,并巧妙隐藏个人行踪,使非法攻击难以预测和发现[2]。
2.2云图书馆虚拟化安全应用效率要求增加
云计算环境下,数字图书馆虚拟化应用具有智能管理、自动配置和动态迁移的特点。同时,复杂的云基础设施结构与读者数量具有极大不确定性。因此,造成云图书馆在虚拟化应用安全策略的制定、实施、管理和监测上具有较大难度,应根据虚拟化应用安全需求、用户要求、环境特点和客户端现状而制定相应的安全策略。此外,在不同虚拟机上执行安全防护策略时,应对虚拟化安全监测的范围、时间、内容与标准进行合理规划,并部署具有虚拟化感知能力的安全解决方案,避免虚拟化安全应用占用过多的系统资源而导致数据中心整体性能下降。第三,需加强虚拟化管理员与云计算、云存储、云系统管理员的技术协调。在提高云图书馆虚拟化应用安全性的前提下,避免“防病毒风暴”的产生,确保云数据中心管理、运营活动的高效和有序。
2.3虚拟化网络安全问题更加突出
虚拟化环境下,云数字图书馆网络拓扑结构重新组合,云数据中心网络、云图书馆功能区域内部网络、服务器物理设备内部逻辑网络结构的变化,产生了许多新的安全问题。同时,虚拟化网络内部安全区域划分更加模糊,传统的软、硬件防火墙和网关设备无法通过建立多个安全隔离区及制定、实施不同的安全策略来满足系统设备与虚拟化应用安全需求。此外,虚拟交换机与外部拓扑网络结构易变,导致云系统安全威胁与攻击对象无法准确定位,造成安全问题的扩散。第三,云计算环境中虚拟机迁移频率和虚拟化设备之间的数据交换量,随着图书馆云服务业务量的不断增长而增加。此外,不同虚拟设备之间通信链路的建立与断开具有极大的随机性。因此,利用虚拟化网络建立和虚拟机之间的数据通信过程进行渗透攻击,成为黑客攻击虚拟化网络的重要方式[3]。
2.4虚拟化技术存在安全隐患
随着云计算技术的发展,虚拟化技术在数字图书馆建设、服务活动中的应用范围不断扩展,其功能和可用性也不断增强。但是,虚拟化技术在提高云系统可管性、易用性的同时,也增加了系统复杂度,导致虚拟化安全漏洞和安全防范内容不断增加,比传统数字图书馆IT环境更容易受到攻击。
首先,为了提高虚拟机的安全性,应根据虚拟机应用类别和安全需求级别进行云资源与用户的逻辑隔离。但是,传统利用网关、防火墙等方式进行设备物理隔离的方法,已不能适用于采用逻辑划分方式所建立的虚拟化系统。因此,不正确的虚拟机安全隔离方式可能会造成数据的泄漏或者云系统工作效率的下降。第二,虚拟设备的迁移、逃逸等问题,会造成网络地址、端口等参数的随机变化,增加了管理员监控、管理虚拟化设备的难度,使黑客更易于获得虚拟设备的控制权。第三,云计算环境下数字图书馆读者服务具有突发性和随机性的特点,虚拟机在云资源分配活动中可能会因为不科学的资源管理、分配策略和优先级别划分方式,而导致资源分配、使用效率的降低和无节制滥用资源。
nlc202309032028
2.5虚拟化安全攻击形式多样化
与传统IT环境相比,云计算环境下数字图书馆遇到的安全问题更加复杂、多变,虚拟化技术在提高云系统管理、运营效率的同时,也增加了系统的复杂度和管理难度。
在虚拟化环境下,云图书馆除面临传统的安全威胁和攻击方法外,利用虚拟化管理、应用程序漏洞而发起的,以获得云系统控制权和降低云系统运营效率的攻击,成为云图书馆所面临的主要安全攻击方式。其次,如何快速有效地对处于快照、休眠、激活过程中的虚拟机提供有效安全防护策略,确保虚拟机从休眠状态过渡到激活状态时及时获得保护。第三,云计算环境下,黑客常通过租赁或攻击的方式获得某一虚拟机的控制权,进而借助此虚拟机发起对整个云系统的攻击。如何通过有效部署和虚拟化环境底层系统无缝集成的安全解决方案,有效实现对云系统内部虚拟设备之间数据通信的监控、屏蔽与隔离,是确保虚拟系统整体安全的有效方法[4]。
3云图书馆虚拟化安全管理策略
3.1提高虚拟化系统健壮性
提高虚拟化系统自身健壮性,是确保云图书馆数据中心硬件设施、管理与控制系统、应用与服务系统平台、安全防御系统自身免疫力,免受已知和未知病毒、攻击方式、系统漏洞侵害的首要条件。
首先,图书馆应根据服务商云租赁平台安全特点、云图书馆安全需求、虚拟化应用类型、安全需求和环境特点,在保证虚拟化系统安全标准和虚拟化应用效率的前提下,与云服务提供商共同制定相应的安全管理策略,实现虚拟化资源收集和分配的细粒度管理,确保虚拟化应用具有较高的可见性、相关性、可用性和扩展性。其次,应保证虚拟机部署活动高效、精细、可控、安全,虚拟机应用过程符合云计算和虚拟化应用安全标准。第三,云计算安全监测和管理平台能够全程、大范围地实施监控管理,能够识别并预测未知风险和威胁,并通过安全报警、主动防御、日志审查和智能预测等方式保障虚拟化应用安全。第四,应通过集中、压缩、过滤虚拟化应用过程和数据量的方式,大幅降低虚拟化应用与管理的成本、难度和复杂度,实现数字图书馆虚拟化资源与应用的集中控制、细粒度管理、资源快捷交付和基于安全策略的访问控制[5]。
3.2基于传统IT架构的虚拟化安全嵌入
云计算环境下,数字图书馆通常以云迁移的方式进行云基础设施和服务环境的构建。因此,基于传统IT架构基础之上的虚拟化安全嵌入,是实现云图书馆建设投资收益最优化的有效途径。
首先,在虚拟化技术选取和虚拟化应用构建初期,应结合虚拟化安全需求和云安全环境特点,将安全机制内嵌入虚拟化环境中,保证云计算环境下虚拟化具有较高的安全标准。其次,在虚拟化资源管理和虚拟机软件运行过程中,依据虚拟化应用实际划分详细的安全隔离区域和不同等级的安全标准,实现虚拟化资源与数据交流的安全控制策略。第三,虚拟化安全管理与应用必须确保具有较少的云系统资源消耗量,实现虚拟化安全收益和云系统资源消耗的最优化交付。第四,在虚拟化安全策略制定和实施过程中,应减少对物理基础设施安全管理方式的依赖性,不断提高物理设备虚拟化管理的可视性和可控性,实现服务器集群、虚拟化资源池、虚拟化网络、虚拟化数据中心的自动化配置。
3.3虚拟化网络安全防护
3.3.1确保虚拟化网络易监控和可管理
随着云计算环境下虚拟化系统结构和虚拟化应用复杂度的不断增加,许多云租户可能会共享位于同一物理设备上的不同虚拟机,云服务提供商也可能会根据数字图书馆不同云应用需求而分配位于不同物理设备上的虚拟机。因此,虚拟化网络结构复杂、虚拟化交换设备流量激增,是云计算环境下虚拟化网络的特点。
首先,应将多个虚拟化网络设备整体绑定为一个逻辑设备统一管理,并根据虚拟化设备的应用特点和安全要求,划分不同的安全区域并制定相应的安全策略。同时,利用虚拟化软件防护、虚拟化防火墙和入侵检测方法,在减少安全资本投入和合理使用资源的前提下,提高虚拟化网络的安全性。其次,应自动化、智能化地实现网络入侵防御和网络安全漏洞修复,能够利用云防毒技术预测、判定和防范未知病毒,并对重要数据在网络传输前实施加密。第三,云图书馆不同用户和虚拟化应用可能会使用同一物理设备上的虚拟机,并且具有不同的安全标准和要求。因此,在虚拟机安全管理上应避免依据物理设备位置和端口进行安全绑定。应依据用户和虚拟化应用的IP地址、Vlan等标识,把安全设备上的虚拟设备与用户资源池对应起来,实现虚拟化网络标识层面的安全防护[6]。
3.3.2实现虚拟化网络数据流量的监测和安全管理
云计算环境下,数字图书馆虚拟化网络数据传输主要可分为两种方式。一是数据流经数据中心不同物理设备或经过交换设备转发而流向用户,二是数据在某一物理设备内部不同虚拟机之间交换。因此,虚拟化网络具有组织结构复杂性和拓扑结构不确定性,虚拟化网络传输具有数据流量大、网络结构逻辑化、网络拓扑结构易变和网络流量可控性差的特点。
流经数据中心不同物理设备或经过交换设备转发而流向读者的数据,是云图书馆交换设备、网关、入侵防御设备的主要安全保障对象,其传输安全、有效性是云图书馆用户服务质量保障的前提。因此,对于此类数据的监控和管理,主要以依靠传统IT环境下的网络监控、防御系统为主。根据数据传输区域和对象实际在交换节点部署安全设备,并结合不同用户数据传输安全和质量要求制定相应的转发、隔离和安全管理策略,在符合数据传输安全要求的前提下保证传输质量。
同一物理设备内部不同虚拟机之间的数据传输是虚拟化网络存在的特有问题。同一物理设备内部不同虚拟机数据交换的复杂性、不可预测性和不可见性,是导致虚拟机之间数据监控、管理难度增大的主要原因。因此,在传统监控、管理设备和安全策略无法对虚拟机数据传输实施管理的情况下,应建立高效的虚拟交换机并设置相应的访问控制和数据交换策略,实现不同虚拟机之间的网络层数据传输监控和流量漏洞攻击行为检测,并利用虚拟网络防火墙实现虚拟化数据传输的管理和数据流分离[7]。
nlc202309032028
3.4加强虚拟化设备管理和应用安全性
云计算环境下,数字图书馆如何根据读者云阅读服务和虚拟化管理安全需求,结合虚拟化应用系统自身结构、运营特点,智能、自动化地对虚拟设备进行管理安全策略和运行可靠性检查,是确保物理设备和虚拟化系统运营安全、高效的前提。
虚拟化设备安全内容主要为物理设备的可虚拟划分性、操作系统可靠性、虚拟化管理程序高效性、虚拟化应用程序可执行性、相关数据的安全保密性等方面内容。首先,应坚持虚拟化系统与应用程序的整体安全性能评估和虚拟化应用系统运行可靠性测试,确保虚拟化应用程序安全、透明、高效、灵活,在提高单一虚拟化程序运营效率时以不降低整体系统性能为代价。其次,应根据虚拟化应用安全需求划分不同的安全等级。对涉及云图书馆管理、运营、安全、服务的虚拟化应用,应创建位于不同物理设备的备份虚拟机,确保当主虚拟机出现故障时快速切换,保证虚拟化应用的连续性。第三,应根据虚拟化应用优先级别和资源使用量,在降低虚拟化应用管理复杂度的前提下,实现虚拟化资源的动态分配和智能化负载迁移,确保虚拟化应用系统安全、高效、均衡、经济。第四,为了提高虚拟化应用安全,应将虚拟服务器的配置文件和虚拟硬盘镜像文件进行备份,当数字图书馆虚拟化应用停止工作时,只需将备份好的文件还原到新的服务器上即可恢复服务。此外,应对安全标准要求高的虚拟机实现加密的数据通信。
3.5提高虚拟化安全管理策略的高效性和可执行性
制定高效、可执行的虚拟化安全管理策略,是保障云图书馆虚拟化安全的前提和必要条件。
首先,应根据虚拟化系统组织结构和功能,将云服务供应商和云图书馆安全职责内容明确,并依据云计算安全标准对虚拟化安全配置和应用进行测试、评估。同时,应对数据进行分类存储和流量分流,加强虚拟化系统的监控、安全分析与数据访问的身份管理。其次,应加强用户虚拟化阅读终端设备的安全管理,通过托管、身份管理、日志审查、安全补丁等较低的安全投入,确保虚拟桌面具有较强的系统可操作性和数据可靠性。第三,应从提高云图书馆虚拟化应用管理安全、高效、经济、可控性目的出发,由云图书馆虚拟化管理员创建用户对虚拟化系统的细粒度访问控制政策,并对访问活动全面监控、记录和上报。第四,结合所制定的虚拟化安全管理策略,部署智能、自动化的系统管理、监管和监视工具,并通过宿主机的最小化安装来降低黑客可攻击的接口数量和攻击成功概率[8]。
3.6建设开放、可靠的安全防御系统
虚拟化应用增加了云图书馆管理和用户服务系统结构复杂性,传统的安全防御体系已不能完全解决云虚拟化应用环境中的安全问题。必须结合数字图书馆虚拟化应用安全实际,建设安全、可靠的云图书馆虚拟化安全防御系统,并制定相应有效的安全防御策略。
首先,应根据虚拟机安全级别和任务量,对一些涉及云图书馆安全性和云阅读活动服务质量的虚拟机,通过分配独立CPU、硬盘等方式,以及采用虚拟化和物理化双层隔离的方式来保障虚拟设备应用安全。同时,可通过在数据库和应用程序层间设置防火墙、隔离区(DMZ)内运行虚拟化、安全监控、漏洞补丁等方式,消除虚拟机溢出隐患。其次,云图书馆在开发、购买虚拟化应用产品时,应加强对API(应用程序编程接口)开放程度的监管,确保开发、购买的云图书馆虚拟化产品具有较高的安全性和可控性。第三,应定期全面、系统地评估云图书馆系统架构和虚拟化应用系统的健壮性,并有针对性地进行系统安全加固和应用程序的更新。第四,必须加强虚拟防火墙的部署和网络入侵检测。应特别加强虚拟防火墙在核心交换机和骨干服务器群之间、物理网络和虚拟网络之间、不同虚拟化网络之间位置的部署,并对可疑或者非法虚拟机流量进行强制隔离[9]。
4结语
云计算环境下,随着云图书馆建设规模的不断壮大和服务功能的扩展,数字图书馆虚拟化安全问题将直接关系到云图书馆的服务质量和未来发展,是一个涉及云图书馆基础设施架构可靠性、云图书馆运营与管理效率、读者云阅读活动满意度、云图书馆安全的重要问题。因此,只有将虚拟化安全问题与云图书馆系统拓扑架构科学性建设相结合,将虚拟化安全管理有效性与读者云服务系统可管、可用性相结合,坚持虚拟化安全建设高效、可管、经济、易用的原则,在不影响云系统运营效率的前提下实现虚拟化安全投入的最优化收益,才能确保云计算环境下数字图书馆虚拟化应用安全、高效,为读者提供满意的云个性化数字阅读服务[10]。
参考文献:
[1]张建勋等.云计算研究进展综述[J].计算机应用研究,2010,(2):429-433.
[2]钱文静,邓仲华.云计算与信息资源共享管理[J].图书与情报,2009,(4):47-52.
[3]BuyyaR,YeoCS,VenugopalS,etal.CloudcomputingandemergingITplatforms:vision,hype,andrealityfordeliveringcomputingasthe5thutility[J].FutureGenerationComputerSystems,2009,25(6):599-616.
[4]因特尔开源软件技术中心,复旦大学并行处理研究所.系统虚拟化一原理与实现[M].北京:清华大学出版社,2009:33-42.
[5]王长全,艾雰.云计算环境下的数字图书馆信息资源整合与服务模式创新[J].图书馆工作与研究,2011,(1):48-51.
[6]杜海,陈榕.基于完全虚拟化的进程监控方法[J].计算机工程,2009,35(8):88-90.
[7](美)胡普斯等.杨谦,谢志强译.虚拟安全一沙盒、灾备、高可用性、取证分析和蜜罐[M].北京:科学出版社,2010:57-69.
[8]江迎春.VMware和Xen虚拟网络性能比较[J].软件导刊,2009,8(5):133-134.
[9]王红.“云图书馆”平台的架构与实现[J].情报理论与实践,2010,(10):108-109.
[10]刘炜.图书馆需要一朵怎样的“云”?[J].大学图书馆学报,2009,(4):2-6.
作者简介:陈臣(1974-),男,兰州商学院网络中心讲师,研究方向:云计算、数字图书馆建设、数字图书馆网络安全。
云环境下虚拟多媒体教室的构建研究 篇4
关键词:网络虚拟化,僵化,虚拟网络映射,底层网络,拓扑感知,云计算
0 引言
随着互联网技术的快速发展, 现有的网络体系结构是难以维持那些具有网络僵化问题的各种不同的应用程序[1]。因为其具有多个供应者的特征, 因此只是对现有的利益竞争攸关方来达成共识是很难实现的。网络虚拟化允许使用多个虚拟网络 (VNs) 来模拟运行在一个共享的基础设施上来满足各种网络应用程序。这已被公认为克服Internet僵化的有效方式。例如, 它可以使多个研究人员在一个共享的实验设施上评价新的网络协议[1,2,3]。
虚拟网络映射问题 (VNMP) 是网络的虚拟化一个关键的问题, 其能在满足虚拟节点以及链接约束下将多个VNs映射到底层网络 (SN) 上 (如图1所示) [4,5,6]。VNs以及SN分别是有服务提供上 (SPs) 以及基础设施提供商 (In Ps) 来提供的。一种有效的映射方式将会提高底层资源的利用率并且能够避免SN中的拥塞问题。
在多租户的虚拟环境中In Ps和SPs是两个重要的角色。In Ps是用来管理基础设施资源, 而SPs用来创建VNs并且提供端到端的服务[7,8,9]。Guo[10]等提出了一个叫做Second Net的数据中心网络虚拟化架构[11]。在Second Net中, 云计算的多个租户的资源分配的单位被称为虚拟数据中心 (VDC) , 其实由虚拟机 (VMs) 以及虚拟链接组成的。VDC资源分配问题是VNMP的一个应用, 而主要不同是问题的规模而已。因此, 研究如何提高效率的VNMP具有实际的意义;例如, 它是一个有效的分配策略来指导云提供商分配资源, 这对于云计算中用户计算需求以及云提供商的收益需求都是非常重要的。
VNMP的主要研究是研究各种启发式方法。在这些方法中, 映射过程都被划分成两个阶段:节点映射和链接映射。它们分别将虚拟节点映射到底层节点以及将虚拟链接映射的底层路径上。在离线模式上已经有很多的研究。Zhu和Ammar等的目标是在SN中达到负载平衡并且避免一些管理控制的需求。Lu等[12]考虑在骨干星型拓扑下的单个VN, 他们的主要目标是为了最小化代价。对于在线模式也有一些研究。Chowdhury等[13]将VN映射问题看成一个通过SN扩展的混合线性程序 (MIP) , 然后通过放松整数约束来获得一个线性程序[14,15]。Yu等[16]综合考虑了节点约束、链接约束、管理控制以及在线映射问题。
但是VNs的拓扑结构也忽略了映射阶段, 因此可能会导致对基础设施资源的利用率。考虑了图2中的情况, 我们想映射一个具有三个节点 (1, 2, 3) 的VN到一个具有五个节点 (A, B, C, D, E) 的基础设施上。假设node 1和node 2已经分别被映射到基础设施node A和node B上。另外, 假设node 3有两个映射选择———基础设施node C和node D。但是如果考虑了VN的拓扑, 我们知道在node 1和node 3之间有一个虚拟链接, 而node 2和node 3之间没有虚拟链接。则我们将会选择node D而不是node C, 这是因为node D比node C更加靠近node A。则在映射链接 (1, 3) 的时候基础设施路径将会更短并且将使用更少的基础设施资源, 因此node D是一个更好的选择。当考虑VNs的拓扑结构时 (例如节点之间的关系) 可以获得一个更好的映射模式。
本文针对在线的VNMP提出一个新的拓扑感知的算法。在该算法的节点映射阶段将考虑VNs的拓扑结构, 其能够有效减少基础设施路径的平均跳数并且具有一个很高的资源利用率。
1 虚拟网络映射问题 (VNMP)
本节首先描述VNMP的一般模型, 然后提出解决该问题的主要目标。
1.1 形式化定义
定义1虚拟网络 (SN) 用一个无向图GS= (VS, ES, ASV, ASE) 来描述一个SN, 其中下标S是一个SN, VS和ES分别表示基础设施节点及链接集合。ASV和ASE分别表示基础设施顶点和链接的属性。
这与文献[6, 11, 15, 16]的定义是类似的;本文只考虑基础设施节点的CPU以及基础设施链接的带宽。
PS={p1, p2, …, pm}代表SN中底层路径。对于一个底层路径pi∈Ps, 则有一些底层节点vSi1, vSi2, …, vSin∈VS, 要满足pi=es (i1, i2) →es (i2, i3) →…→es (in-1, in) , 其中pi是节点vSi1和vSin的底层路径并且由es (ij, ij+1) (0≤j≤n-1) 链接组成。
定义2虚拟网络 (VN) 本文使用一个无向图GV= (VV, EV, CVV, CVE) , 来定义一个VN, 其中下标V代表VN, VV和EV分别代表虚拟节点和链接, 而CVV和CVE分别代表虚拟节点和链接的约束。
定义3虚拟网络映射问题 (VNMP) VNMP是一个GV到GS的映射过程, 表示为其中需满足另外RV和RE分别是将底层资源分配到虚拟节点和虚拟链接上。
在大部分情况下, VNMP由节点映射阶段和链接映射阶段来组成。 (1) 节点映射阶段是在满足CPU约束的前提下降虚拟节点映射到底层节点上; (2) 链接映射阶段是在满足带宽约束的条件下将虚拟链接映射到底层路径上[12,18]。
本文用来代表节点映射阶段其中和RV代表被分配到虚拟节点的资源。另外相同的VN上的不同虚拟节点不能映射到相同底层节点上是一个硬性的约束。
本文使用来表示链接映射, 其中 (PS*, RE) 和RE都是分配到虚拟链接上的资源。
图3是一个VNMP的例子。 (c) 给出了 (a) 和 (b) 这两个VNs的映射方案。我们可以很容易地确定对于相同的问题具有很多不同的映射解决方案 (例如, 映射虚拟节点b到底层节点A) ;并且我们还能获得其他的不同映射方案。
1.2 解决的目标
与文献[4, 18]类似, 接收一个VN的GV在时间t的收益可以被定义为:
其中CPU (vV) 代表虚拟节点vV需要的CPU, BW (eV) 代表虚拟链接eV需要的带宽。考虑到CPU以及带宽在不同应用程序的重要性, 因此我们定义一个因子α来修改式 (1) , 因此一个VN的接收收益可以定义为:
与文献[18]类似, 一个VN的GV在时间t的接收代价可以定义为式 (3) , 其也是用于定义分配到VN中的所有底层资源:
其中feSeV∈{0, 1}, 并且feSeV=1代表底层链接eS分配到虚拟链接eV上, 否则feSeV=0。分配到虚拟链接的带宽等于虚拟链接需要的带宽和底层路径跳数的乘积。我们通过相关因子α来平衡CPU和带宽的重要性。
与文献[4, 18]类似, 长期收益的平均值可以定义为:
与文献[4]类似定义为长期收益代价比例, 可以形式化为:
是调整映射算法性能的一个重要因素, 因为它代表基础设施资源的有效利用率。
本文同样考虑了访问控制机制, 当底层资源没有被有效地分配到一个新到达的VN上, 我们将拒绝对该VN的访问。因此, 我们定义VN接收比例, 与文献[4]类似, 其可以被形式化为:
其中VNs代表VN请求被SN接受的数量, 而VN是到达的VN请求数量。
2 拓扑感知的虚拟网络映射算法
Yu等[16]提出了一个简单的映射算法 (基准算法) , 该算法使用贪婪算法映射虚拟节点以及k最短路径算法来映射虚拟链接。基准算法在映射虚拟节点时并没有考虑VN的拓扑结构, 这将很容易导致虚拟节点的虚拟链接会很长 (很多跳) 。因此, 通过式 (3) 可以知道在基准算法上基础设施资源利用率很低。
根据基准算法的缺点, 本文提出了一个新的拓扑感知的映射算法, 其在节点映射阶段考虑了VNs的拓扑结构。
2.1 节点映射阶段
基准算法中, 首先对底层节点根据可用的资源H (vS) 进行降序排序。然后将虚拟节点映射到可用资源最大的底层节点上。但是其在节点映射阶段并没有考虑VN的拓扑结构。底层节点的可用资源与文献[16]的定义一样:
其中CPU (vS) 代表底层节点VS可用的CPU资源。L (VS) 代表节点VS的所有链接的集合。BW (lS) 中底层链接lS空闲的带宽资源。
在本文的算法中, 通过节点的度将虚拟节点进行降序排序。假设m=VV, 不失一般性虚拟节点的排列顺序可以定义为:
vV1, vV2, …, vVm
并且DG1≥DG2≥…≥DGm, 其中DGi是虚拟节点的节点度vVi。
在本文的算法中, 我们根据最大节点选择综合因素 (NSIF) 来将虚拟节点映射到底层节点上, 其中NSIF定义为:
其中MV (vVj) 代表将虚拟节点vVj映射到底层节点上, 而hops (MV (vVj) , vS) 代表在SN中底层节点MV (vVj) 和VS之间最小跳数的底层路径。代表在集合vV1, vV2, …, vVi-1中虚拟节点vVi之间的虚拟链接所包含的虚拟节点数量。当虚拟节点vVi和vVj有一个虚拟链接, 则链接 (vVi, vVj) 的值是1否则是0。
NSIF在节点映射阶段考虑了VN的拓扑结构。该过程如下, 我们根据排列好的序列将第i个节点vVi进行映射, 我们知道这些节点vV1, vV2, …, vVi-1已经被映射到SN上。为了减少底层路径的平均跳数, 我们必须将具有虚拟链接的两个虚拟节点进行映射, 但是不要有太长的映射路径。当我们映射vVi时, 我们必须考虑这些节点vV1, vV2, …, vVi-1与vVi是否有虚拟链接。如果节点vVi和vVj (0≤j≤i-1) 之间具有虚拟链接, 则我们就选择靠近的MV (vVj) 的底层设施MV (vVi) 。
考虑虚拟节点vV1, vV2, …, vVi-1, 如果在节点vVi和vVj之间具有一个虚拟链接, 我们必须选择一个靠近所有节点MV (vVj) (0≤j≤i-1) 的节点VS。因此, 底层节点必须最小化下面等式的值:
同时还要考虑底层节点剩余的CPU, 从而获取节点选择元素NSIF。节点映射算法如算法1所示。
算法1节点映射阶段
2.2 链接映射阶段
在链接映射阶段将会与文献[4]和文献[16]类似。我们采用k最短路径算法[7]来将虚拟节点映射到一个底层路径上。
算法2链接映射阶段
3 实验结果及分析
3.1 实验环境设计
本文使用一个模拟实验来评价本算法的性能。本文的模拟实验是在2008年虚拟网络嵌套模拟器上进行的VN映射模拟器的修改版本。
我们的实验与文献[16]的类似, 该SN拓扑结构将有100个节点并且由570个链接, 是一个中等规模的ISP (Internet Service Providers) 。我们使用GT-ITM[17]工具来产生SN。每个节点以及链接的CPU和带宽的最大值为50和100。
对于每个VN, 虚拟节点的数目是符合2和20之间的均匀分布所决定的。VN的平均连通度固定为50%, 其说明有n个节点的VN, 平均会拥有个链接。虚拟节点以及链接上需要的CPU和带宽是符合在0和50之间的均匀分布。到达的VN请求模型是一个泊松处理, 每分钟将会有两个请求。一个VN请求的生命周期在10分钟之内符合一个指数级的分布。对于每个模拟程序将运行60分钟。
我们考虑两种情况, 这两种情况下相关因子α分别定义为1和2。
3.2 结果分析
我们的实验结果将能有效地量化这两个算法。很多性能评价指标都被用来评价算法的性能, 包括长期的平均收益、接手比例、底层路径的平均跳数比例以及算法的运行时间。我们同样从两个方面来评价我们的结果———普通的VNs和SN以及SN中有可改变的节点。
(1) 一般的VNs和SN
对于一般的VNs和SN, 就说明SN和VNs的属性和假设的是一样的, 并且不会发生改变。
图4的 (a) 和 (b) 是当α=1和α=2两种情况下两个算法的比例变化。从结果上可以知道拓扑感知算法的比例明显比基准算法大。
从图5上可以知道拓扑感知算法的平均跳数明显比基准算法小。拓扑感知算法的平均跳数都是围绕着1.1, 而基准算法则是在围绕着2.0。根据式 (3) 可以知道, 对于相同的VNs后者的平均代价将会比前者来得高, 其结果在图4中已经得到验证。
从图6可以知道, 两个算法的时间复杂度基本上是线性的同时是多项式时间的算法。拓扑感知的算法的时间复杂度比基准算法大, 但是其仍然是多项式时间复杂度。这是因为前者算法在计算NSIF值时花了太多时间在底层节点的距离, 而后者在计算H (vS) 值时是很简单的。
图7是两个算法的接收比例的比较。可以知道拓扑感知算法明显比基准算法大。更高的比例将会有更高的资源利用率, 从而能够在一定的基础设施资源上接受更多的VNs。
图8的 (a) 和 (b) 分别是α=1和α=2下两个算法的平均收益。可以知道拓扑感知算法比基准算法具有更高的平均收益。前者的接受比例更高, 在相同的时间窗口下可以接受更多的VNs, 因此会有更高的收益。
(2) 具有可改变结构的SN
因为VNs的属性和假设的是一样的, 我们将使用接受VNs (大部分VNs模拟运行在SN上) 的最大数量作为我们改变SN的节点。
图9是接受VNs的最大数量, 并将底层节点数目从50变化到100。我们可以知道该结果是近似线性的, 而拓扑感知算法比基准算法稍微好些。
4 结语
云环境下虚拟多媒体教室的构建研究 篇5
针对上述问题,运营商和学者提出了多种部署算法。大多数算法选择将VM部署在性能最优的物理机(Physical Machine,PM)上,由于不同用户对负载指标要求的差异[3],采用不同的优化目标,比如减短用户响应时间、降低部署资源开销等。文献[4]提出的i VDA算法根据底层物理资源容量和动态负载的映射关系来选择宿主机,减少VM部署过程中模板镜像复制时间,对多VM快速部署效用不明显。文献[5]采用改进的遗传算法使PM物理资源利用达到最大化,但未考虑用户请求部署的VM之间的约束关系,不利于VM集群的部署。文献[6]提出扩展降序最佳适应算法,利用初始长度概念,将宿主机和VM资源量化,在减少宿主机的数量上优势明显,但会引起宿主PM资源使用不均衡。文献[7]提出PM-LB算法根据承载业务对资源依赖程度不同设定资源权重向量,计算待部署VM与PM性能向量的相对距离,选择最近的PM作为宿主机。算法具有较强的业务灵活性,但没有考虑VM之间的业务关联性,不利于NFV的构建。
本文提出一种基于云资源评级的VM部署算法RRPA,根据构建VNF的VM的亲和关系、PM拓扑关系选择出最适合部署VNF的若干台PM。算法旨在提升VM集群部署成功率以及DC资源均衡度。
1 云平台部署模型
云平台将地理位置分散的、异构的PM资源集中起来[8],根据功能不同可分为不同种类的云。本文采用的VM部署模型是计算云平台上一种常见的金字塔结构,如图1所示。计算云由若干数据中心(Data Center,DC)和电信云编排器(Carrier Cloud Orchestrator,CCO)组成。CCO作为调度中心,主要用于数据处理和存储,一般由多个DC共享。DC是一个逻辑概念,是由PM组成的计算机系统和PM之间的通信系统。每个DC包含一个或多个虚拟机管理器(VM Manager,VMM)。
CCO存有调度范围内所有DC的拓扑关系,包括DC外联路由器个数、链路带宽等参数,并保存DC内所有PM的4种主要资源:CPU、内存、磁盘空间及网卡带宽。除此之外,CCO中也保存有VM规格参数表。VM规格参数由VM所需资源种类和大小组成。按照资源规格占用比例不同将VM分类,如存储VM磁盘容量大,用于转发信令的VM所需CPU个数相对较多等。
VMM是PM上的应用程序,当收到CCO下发的策略指令后,VM的创建、删除、迁移以及资源的分配或释放都由VMM来决策。CCO是系统的大脑,VMM是系统的中心枢纽,PM节点整个系统的基础,不仅为VM创建提供软件技术支持和底层硬件资源支持,也是VM启动和运行的载体[9,10,11]。
2 基于资源评级的虚拟机部署算法
在分布式系统[12]中,选择放置VM的宿主PM,不仅要考虑宿主PM资源是否充足,还有对部署位置、资源依赖程度等的要求。RRPA算法根据各VM的亲和关系将其分成若干簇,并根据各种资源对VM上承载业务的依赖性计算出PM和DC的资源评级值,评级值越高可用资源越多,资源使用越均衡。
2.1 基于亲和关系的VM聚簇
设用户请求构建一个VNF,用一组VM表示,记为(vm1,vm2,…,vmi)。VM之间的约束关系是一种业务属性,随着VNF的功能不同而变化。用(x1,x2,…,xi)表示VM组中某个VM与其他VM之间的亲和关系,其中xi∈{-1,0,1}。xi=-1表示VMi与该VM属性相斥,不能部署在同一PM上;xi=1表示VMi与该VM属性相合,属性相合的VM之间具有较高的通信流量,部署在同一PM上可以提高VM的工作效率;xi=0表示VMi与VM亲和关系不确定。例如对于一个VM组{vm1,vm2,vm3,vm4,vm5},其中vm1与vm2互斥,vm3与vm5属性相合,vm4与vm5属性相合,考虑资源均衡以及VM属性,可以将VM组分为三簇:{vm1};{vm2};{vm3,vm4,vm5}。
2.2 DC评级
DC评级采用DC绝对剩余资源可用度与相对剩余资源可用度共同描述,定义如下
(1)绝对剩余资源是DC内所用PM当前可用的剩余。每个PM的资源量化可用资源一维向量表示R=(CPU,RAM,DISK);WT=(we,wr,wd)T表示构建VNF所需的CPU、内存及磁盘占用的资源权重。网卡带宽是另一重要资源,影响链路时延、用户响应时间和VM之间的流量。用DC内PM资源的平均评级值来表示当前DC资源剩余度,量化定义DC内绝对剩余资源如下
其中,是DC内资源的平均值向量和平均网卡带宽,nDC是DC内PM的数目。LKDC={LKk|k=1,2,…,nLKDC}是DC与相邻DC的外部链路集合,links={links|k=1,2,…,k}是每台PM的网卡集合。当k∈LKDC时Bak表示数据中心对第k个外联链路的带宽;当k∈links时,Bak则表示PM第k个网卡的带宽。
(2)相对剩余资源可用度量化定义为
其中,
相对剩余资源可用度取决于待部署的VNF对资源的需求,UsagePM为将VM组按照约束关系聚簇后,所需最少的PM数占DC内PM数的比例;Utilizationj为DC内PM总资源减去VNF所需资源后的剩余可用资源;Ravg是资源平均值,nres是算法中评估的资源种类;ndev是所有资源可用度绝对偏差。DCR的大小反应了DC的资源剩余和NFV对DC资源均衡利用的影响。DC内剩余资源越多,资源利用越平均,DCR越大。
2.3 PM资源均衡度评级
VM聚簇部署时,选择宿主PM时除了考虑资源是否充足之外的另一个重要因素是资源使用是否均衡,定义PM资源均衡度评级量化公式(PM Resource Leveling Rating,PRLR)如下
式中,R是PM可以剩余资源;待部署VM所需资源;R'向量中的每一个元素都不小于0;R与是DC内平均资源向量和平均网卡带宽,由式(4)和式(5)得,PRLR越小,部署VM的宿主PM资源均衡度越高。
2.4 宿主PM的选择
CCO将用户请求的VM组按照聚簇规则重组为若干VM簇,并计算出调度范围内的所有DC的DCR和每个DC内PM的PRLR。部署VM簇时,选择DCR高的DC和DC内PRLR值低的PM进行部署,更PM的剩余资源Utilization。若选择的DC内所有PM资源都不足以提供该VM簇部署所需资源,将VM簇拆分成单个VM,并尽可能的将同一用户请求的VM部署在同一是相邻的PM上,以减少通信链路跳数、缩短用户响应时间、降低功率消耗。
3 仿真分析
采用离散事件机理的云仿真平台,该平台提供图形化的界面配置,利用网络建模的方式来提高客户仿真构建、运行与分析效率。
3.1 算法性能指标
定义VM部署拒绝率和DC资源均衡度两个指标衡量算法性能。
(1)VM部署拒绝率
其中,vmsuccess为部署成功的VM个数,vmrequest为待部署VM个数。Rrej越小,VM部署成功率越高。
(2)资源不均衡度。由于频繁申请或释放资源,会造成资源碎片,导致虽然总的空闲资源满足要求,但无法申请到用户所需大小的资源。定义DC内平均资源利用率和资源利用标准差为
式中,n为DC内PM数目;Utilizationi为第i台PM的资源利用率。σ为资源不均衡度,其取值越大,资源利用越不均衡。
3.2 不同算法性能对比
一个计算云由调度中心CCO和26台PM构成,PM之间通过路由器连接,VMM运行在其中一台PM上。PM资源规格及数目如表1所示,用户请求的虚拟机种类及数目比例如表2所示,VM之间两两亲和。在仿真场景上分别添加50,100,150,200和250个VM,输出各场景下VM部署的拒绝率以及DC资源均衡度。
与GREED、POLLING以及ALU Score算法进行对比研究。GREED和POLLING是典型的装箱问题启发式算法,区别在于前者是First-Fit式,按照PM信息在调度中心保存的顺序开始部署,这样最大程度利用了排位靠前的PM的资源。POLLING算法依序询问每一个PM可用剩余资源,VM部署结束后询问下一个PM。ALU Score算法利用PM各类资源利用率K次方和计算出PM的资源可用度,根据资源可用度大小从高到低依次选择。RRPA算法不考虑资源依赖对资源均衡度及部署拒绝率的影响,资源权重向量取值WT=(1/3,1/3,1/3)T,实验结果如图2和图3所示。
由图2可见,当部署VM数目较少、PM资源充足时,RRPA算法优势不明显,但随着部署VM数目增多,PM可用资源逐渐减少,DC内资源不均衡度显著低于其它3种算法。GREED算法的DC资源不均衡度最为严重,这是因为其First-Fit特性使得排位靠前的PM资源使用达到最大阈值。当部署VM的数目增加到一定数目时,资源不均衡度的变化会逐渐趋于平缓。POLLING算法按照PM排位依序选择部署的宿主机,当部署VM数目较少时,有良好的资源均衡度。但受VM之间拓扑约束与亲和约束的影响,均衡度随VM部署个数增多而逐渐降低。ALU Score算法完全根据PM剩余资源多少部署VM,当VM增多时,资源浪费明显,资源不均衡度急速上升。
图3显示RRPA算法的部署拒绝率远低于其它算法。由于RRPA算法的聚簇部署特性,将属性相近的VM聚簇部署,减少了因属性相斥而引起的部署失败。同时,聚簇部署还可以减少部署空间搜索,提高网络宽带利用率。
3.3 资源权重对算法性能的影响
验证VM资源依赖对DC内资源均衡度及VM部署拒绝率的影响,表2中VM请求各类型VM占有比例及资源需求,结合经验值取资源权重向量WT=(0.42,0.38,0.2)T,实验结果图4和图5所示。
由图4可见,在部署资源充足的情况下,加权RRPA算法与不加权RRPA算法相比,DC内资源不均衡度低至少1%。随着部署资源的减少,不加权算法的资源不均衡度波动较大,而加权算法相对稳定。
图5显示资源权重对VM部署成功率的影响。总体来说,加权后部署的资源均衡度更高,从而降低了VM部署拒绝率。
4 结束语
云环境下虚拟多媒体教室的构建研究 篇6
随着计算机信息处理技术的发展,采用云计算进行数据分析和数据访问调度成为构建数字化信息管理系统的重要工具。在云计算环境下,构建高职院校的信息管理云系统结构体系,实现对高职院校运行过程中的学生管理信息、科研管理信息、教学资源信息、图书管理信息等各方面信息的融合处理和调度访问,可实现资源的共享和优化调度,提高教学管理水平,同时让全体师生分享最新的教学资源成果。因此,研究云计算环境下高职院校信息管理系统中虚拟化云数据的优化融合处理,对提高数据的访问和调度性能具有重要意义[1]。
随着各种专业数据库的发展,以及大数据信息时代的来临,SOA技术广泛应用于高校数据信息系统集成、计算机模式识别、信息加工提取和人工智能等领域。面向服务架构的SOA技术可以根据需求通过网络对松散耦合的粗粒度应用组件进行分布式部署、组合和使用[2,3]。本文提出一种面向服务构架中心聚类的高职院校信息管理系统中的虚拟化云数据融合算法。首先构建了云计算环境下的高职院校信息管理系统的虚拟化云数据分布结构模型,进行数据信息流的特征提取和数据聚类处理,并以此为基础,采用面向服务构架中心聚类方法,以实现对虚拟化云数据的中心融合处理,提高数据的访问和调度性能。仿真实验进行了性能验证,展示了本文算法在提高高职院校信息管理系统数据处理能力方面的优越性能,得出有效性结论。
1 数据分布结构及特征提取
1.1 高职院校信息管理系统的虚拟化云数据分布存储结构
为了实现对云计算环境下高职院校信息管理系统的虚拟化云数据的融合处理和聚类分析,提高数据的访问和调度能力,需要首先分析云计算环境下高职院校信息管理系统的虚拟化云数据分布存储结构。云计算环境下高职院校信息管理系统模型构建中采用面向服务架构[4,5],并采用802.11eSOA层数字化信息服务平台进行数据通信和调度。在高职院校信息管理系统的虚拟化云数据通信过程中,虚拟化云数据的用户请求特征函数为:
两个数据块标签分别为mi和mj,设置门限值α,SIR≤α。用户属于CoMP协作用户,如果链路(i,j)∈E ,则(j,i)∈ E ,得到优化数据分布的目标函数如下:
其中,Qset为高职院校信息管理系统的虚拟化云数据查询模版集;qi为第i个高职院校信息管理系统的虚拟化云数据序列编码;pim为第i个高职院校信息管理系统的虚拟化云数据查询模版的所需参数。由此构建了云计算环境下高职院校信息管理系统的虚拟化云数据分布存储结构,为进行数据融合提供可靠的数据基础。
1.2 数据时间序列分析与特征提取
在上述构建的云计算环境下高职院校信息管理系统的虚拟化云数据分布存储结构模型基础上,进行云数据时间序列分析和特征提取,对云计算环境下高职院校信息管理系统中的虚拟化云数据堆栈中的每个表项设计一个带宽频间存储节点,表示为一个五元组<hash(url),times,t0+C,cached,ListIP>。根据当前MAC层的用户数目,用户请求等数据信息流的特征函数为:
数据融合系统作为高职院校进行信息管理的数据终端,采用云计算方法,进行数据包转发和资源调度,通过一个非线性变换(即核函数)(x)将训练数据xi映射到高维特征空间中,云数据序列进行网络编码后的小波特征为:
其中,Sk表示高职院校信息管理的教学资源利用指数,为高职院校信息管理系统的数据访问效率平均值。构建资源调度调整PSO-SVR模型,得到整个网络的云计算环境下高职院校信息管理系统中的虚拟化云数据尺度。初始化一群随机调度特征向量,采用特征空间的资源深度位置搜索模型,设数据融合中心在d维空间具有最优值,其位置用Xi= (xi1,xi2,…,xid)T进行迭代优化,由此实现特征提取和数据调度。
2 虚拟化云数据中心融合算法改进设计
在上述构建的数据存储结构模型和特征提取基础上,进行数据融合处理,以提高高职院校信息管理系统对数据的调度和访问能力。传统方法采用模糊C均值算法进行数据融合处理,随着数据特征间模糊性的增强,导致对虚拟化云数据的融合和识别能力下降。为了克服传统方法的弊端,本文提出一种基于面向服务构架中心聚类的高职院校信息管理系统中的虚拟化云数据融合算法。算法改进设计描述如下:基于比例公平的联合信息管理分配算法,采用零波束赋形的预编码方式,得到R类用户接入与其距离最近的一个Relay,以获得更好的服务。通过上述设计,得到了网络模型结构。本文采用能量检测方法,进行虚拟化云数据的中心融合处理,通过对云计算环境下高职院校信息管理系统中的虚拟化云数据优化聚类分析,提高数据挖掘效能。初始化聚类中心满足G1 G2Y1Y2,令A{a1,a2,…,an}为云计算环境下高职院校信息管理系统中的虚拟化云数据特征矢量的模糊聚类中心,虚拟化云数据分布存储环境数据x满足:x~ N(Ex,En′2),其中,信息熵En′~ N(En,He2)。在高职院校信息管理系统中的虚拟化云数据融合过程中,采用面向服务构架中心聚类方法。在面向服务构架的线性回归散布型数据一致性集成网络结构模式下,数据包传输密集,由于内部和外部用户都可以访问新的和现有应用系统,因此需要在数据传输的隐通道中实现高安全级进程向低安全级进程的转换。在该过程中,接收方直接或间接地从客体中读取消息,实现数据包发送和信息编码,客户端通过信息解码实现信息接收。
根据上述算法改进原理,进行算法设计。根据云计算环境下高职院校信息管理系统虚拟化云数据的最小连通集特性,对系统的虚拟化云数据进行聚类处理,得到面向服务构架节点间的关联中心距离为:
其中,d为分布式系统下的变量耦合加权距离,xi为第xi个节点坐标,yi为第yi个节点坐标。面向服务构架系统在预测结果满足条件的基础上,构建数据库耦合预测的最优控制模型,进行信息管理系统虚拟化云数据的数字化信息服务集成平台的中心融合处理,进而实现数据的一致性分析,以提高数据融合性能,得到数据一致性分析目标函数为:
式中:为数据中心的聚类特征矢量,采用面向服务架构的数据聚类分析,可以根据需求通过云调度网络对松散耦合的粗粒度应用组件进行分布式部署、组合和使用,进而得到分布式数据库级联系统i。高职院校的教学资源云信息通过数字化处理,实现优化调度。对云计算环境下高职院校信息管理系统中的虚拟化云数据进行一致性分析和线性回归散布特征提取,实现云信息系统的集成,得到数据一致性集成分析结果为:
由上式可见,基于面向服务构架的数据聚类处理和服务层构建,可以直接被网络管理层调用,从而有效控制系统中与软件代理交互的人为依赖性,提高了数据的访问和调度能力。
3 仿真实验与结果分析
为了测试本文算法在实现云计算环境下高职院校信息管理系统虚拟化云数据的融合与调度性能,进行仿真实验。实验的硬件环境为:CPU为Intel Core i3-215,主频2.45GHz,采用Matlab进行算法设计和数学仿真。实验中,首先构建高校数字化校园信息集成系统,在此基础上实现对高职院校的信息管理系统构建。在参数设定中,设置Nf=25,Tf=120ns,Tc=3ns。在虚拟化云数据采样过程中,采样数据包发送形式为一组非线性云数据时间序列,假设虚拟化云数据采样频率为0.23Hz,数据样本数为1 024,得到测试数据的时域波形如图1所示。
以上述云计算环境下高职院校信息管理系统中的虚拟化云数据序列为测试样本集,采用本文算法构建数据中心融合集成系统,在系统中进行数据调度和访问,得到数据中心融合的适应度值仿真结果如图2所示。由图2可见,采用本文算法进行云计算环境下高职院校信息管理系统中的虚拟化云数据融合处理,具有较好的适应度和收敛性,提高了数据访问和调度能力。
4 结语
本文提出一种基于面向服务构架中心聚类的高职院校信息管理系统中的虚拟化云数据融合算法。首先构建了云计算环境下的高职院校信息管理系统的虚拟化云数据分布结构模型,进行数据信息流的特征提取和数据聚类处理。以此为基础,采用面向服务构架中心聚类方法实现对虚拟化云数据的中心融合处理,以提高数据的访问和调度性能。实验结果表明,采用本文方法进行数据融合的适应性较好,可提高数据访问和调度能力。
参考文献
[1]刘静.基于RSA公钥加密算法的电子邮件加密程序之JAVA实现[J].科技通报,2012,28(2):110-111.
[2]张志明,周晋,陈震.基于网络编码的对等网流媒体传输模型和算法[J].软件学报,2012(3):648-661.
[3]司菁菁,庄伯金,蔡安妮.严格线性散播网络编码[J].软件学报,2012(3):688-699.
[4]洪刚,汤宝平,裴勇.基于最低能耗路径的分簇路由算法[J].计算机仿真,2012(10):177-180.
云环境下虚拟多媒体教室的构建研究 篇7
十八届四中全会吹响了法治中国的号角, 尤其强调了加强网络空间法治建设、完善网络信息服务法律法规、完善网络安全保护法律法规、依法规范和治理网络行为的重要性。法治化将作为未来中国信息安全产业和“互联网+”产业发展的重要方向。
具体到企业层面, 随着越来越多的企业用户将传统的业务系统迁移至虚拟化环境或是云服务商提供的云平台, 数据的泄露及篡改风险变得越发严峻, 针对数据安全的防护以及事后审计追溯也变得越来越困难。究其原因, 主要是传统的数据库审计解决方案是通过旁路分析目标被审计数据库镜像的流量, 而虚拟化环境或者云平台由于内部的虚拟交换机 (v Switch) 流量很难镜像或者无法镜像, 因此传统的数据库审计解决方案不足以应对虚拟化和云平台的数据库审计需求。
2典型场景分析
首先我们对虚拟化及云平台环境中, 传统的数据库审计解决方案在典型的几种场景下的优缺点进行解析。
2.1场景一
应用和数据库的虚拟主机不在同一台物理机器上。
如图1所示, 应用和数据库虚拟主机不在同一台物理机器上, 对传统数据库审计来说, 可以采用传统方式直接镜像数据库服务器所在的物理宿主主机 (物理机器四) 网卡的流量, 完成对目标数据库的审计, 缺点是需要将虚拟机流量全部镜像过去, 同时可能会导致一些无需审计的主机数据的泄露, 这是这种解决方案最大的一个风险。
2.2场景二
应用和数据库的虚拟主机在同一台物理机器上。
针对应用和数据库在同一台物理机器上, 应用和数据库的交互过程通过内部的v Switch进行了流量转发, 流量并不通过所在的物理机器的宿主主机网卡, 因此采用传统的镜像流量根本无法镜像。
针对这种情况, 传统数据库解决方案有三种方法解决。
(1) 虚拟机虚拟网卡绑定物理网卡
要求宿主主机有多个物理网卡, 每个物理网卡和上层交换机直连, 虚拟机层面在安装时可以指定将虚拟网卡绑定在对应的宿主主机的物理网卡上, 然后使用传统的镜像方式镜像物理网卡的流量完成审计。
这种方法缺点非常明显, 要求物理服务器要有多个网卡, 实际上大部分PC服务器只有不超过1~4个网卡端口, 大部分物理机器上虚拟了几十个虚拟机。因此, 在实际部署上并没有那么多网卡可供绑定, 存在诸多限制, 实际上并无法实施。
(2) 在VDS上配置流量镜像
VMware ESX在最新版本中推出的功能, 将某虚拟机网卡流量通过GRE封包, 直接通过TCP协议发送到某个IP地址上 (数据库审计设备) , 数据库审计设备接收GRE数据包完成审计。
这种解决方案的缺点如下:VMware版本及VDS (分布式虚拟交Terrestrial Digital Televisio换机) , 据官方技术资料只有VMware5.5以上版本才支持, 目前客户现场主流的4.x、5.0、5.1等版本都不支持, 其他非VMware虚拟化环境更不支持, 因此针对大部分客户现场环境实际并不支持部署;通过GRE封装做流量镜像对宿主主机的物理网卡性能影响非常严重, 所有镜像流量都要通过宿主主机的物理网卡进出, 极大地影响了物理网卡的性能;VDS属于虚拟交换机, 其对数据包的处理完全依赖于CPU, 并不像传统交换机靠硬件进行流量转发, 因此对宿主主机的CPU资源占用也非常严重, 极大地降低了宿主主机的性能。
(3) 开启流量广播
这种方式目前是最主流的方式, 将n数据库审计以虚拟机的方式部署在对应的宿主主机, 当做宿主主机的一个虚拟机看待, 然后开启VMware的流量广播功能, 每个虚拟机都将收到v Switch上每个端口通信的IP流量。因此DB审计设备只需要采集其虚拟网卡上的流量就可以采集到目标数据库服务器的流量, 只需要在采集阶段过滤掉其他流量即可完成审计, 如图2所示。
这种解决方案的缺点也非常明显:开启流量广播虽然大部分v Switch都支持, 但是这种方式就好比早期的Hub一样, TCP通信能力将明显降低, 严重影响整体网络传输的时延及可靠;DB审计可以采集到所有虚拟机的流量, 其他虚拟机一样也会采集到所有的流量, 这些流量里肯定包含很多未加密的敏感数据, 如用户名、密码等, 假设这些虚拟机中有一台机器被入侵或者非法利用, 这样会带来极大的安全问题。
2.3场景三
应用和数据库的虚拟主机随机的分配在一个虚拟化集群的某个主机上。
这种场景其实是场景一和场景二的结合, 目前大部分客户为了避免单一硬件的故障, 基本上都采用虚拟化集群的方式实现企业的虚拟化, 当碰到单一硬件的故障, 虚拟机会在整个硬件虚拟化资源池中自动迁移, 具体迁移到哪台物理主机上并不确定, 因此传统的镜像方式并不能确定虚拟主机此刻在哪个交换机上, 如图3所示。
因此在这种场景下同样无法做镜像, 只能把虚拟化集群所有主机的流量全部镜像出来。这种缺点也非常明显:当出现业务和DB在迁移到同一个物理机器上时, 其实并没有流量, 实质上审计不到任何数据, 这个时候是存在严重的漏审计;虚拟化集群涉及的机器比较多, 流量非常大, 网络可能也比较复杂, 传统的镜像方式很难在实际中进行配置, 因此很难实施。
2.4场景四
应用和数据库分别托管部署在完全独立的第三方云计算平台。
场景四是场景三的一种延伸与扩大, 场景四主要指目前主流的第三方云平台提供商, 如阿里云、亚马逊、腾讯云、华为云、百度云等, 底层的硬件、存储、网络等都对用户不透明, 上层的虚拟机具体在哪个物理硬件服务器上, 连接哪个物理交换机, 用户一概不知道, 如图4所示。
因此要用传统方式配置镜像, 基本上没有可能, 云平台提供商并不会提供底层资源的控制权给云主机租户, 因此对这种场景的数据库要进行审计, 传统数据库审计解决方案将彻底无能为力。
3解决方案
综上所述, 在虚拟化和云环境平台中, 只有场景一, 传统的数据库审计解决方案勉强可以解决。针对场景二, 传统数据库审计解决方案基本上是不支持, 部分情况即使支持也是有非常明显的缺点及种种环境的限制, 针对场景三、场景四传统的解决方案直接是无法支持。
针对虚拟化环境和云平台中的数据库审计难题, 安恒信息推出了全新架构的虚拟化云环境Agent代理审计解决方案。通过在虚拟主机上部署Agent, 以不变应万变, 全面支持以上描述的四种典型场景。这种解决方案由Agent对数据库的请求行为直接进行处理, 处理完成之后由Agent直接将数据发给采集器统一检测、告警、存储及挖掘分析, 彻底解决了各种虚拟化、云环境数据库无法审计的难题。具体部署拓扑图如图5所示。
本解决方案有以下优点。
(1) 全面支持所有虚拟化环境和云环境的数据库安全审计, 不区分业务部署架构、底层虚拟化软件架构和底层的网络架构, 不依赖传统的交换机流量镜像。
(2) 支持部署在虚拟化环境中所有的Linux 2.6以上内核版本及Windows2003/2008/2012等版本。
(3) 支持主流的Oracle、SQLServer、DB2、Sybase、Mysql、Lnformix等数据库, 同时支持达梦、人大金仓、Oscar、Gbase等国产数据库, 还支持cache、teradata、postgresql等数据库的审计。
(4) 部署简单, 支持一键安装。
(5) 对虚拟主机的性能影响可以忽略不计, 经实际阿里云环境虚拟主机测试, DB服务器流量在120M以内, Agent对目标服务器的性能影响在3~8%之内。
4小结