虚拟私有数据库(共6篇)
虚拟私有数据库 篇1
摘要:针对虚拟私有数据库的行级安全保护方式做了介绍, 说明了其实现方法, 并分析了它的优势。
关键词:虚拟私有数据库,行级安全,RLS方式
虚拟私有数据库 (Virtual Private Database, VPD) , 是Or acle中引入的能够确保行级安全的一种安全策略, 它通过PL SQL实现的安全函数, 定义了针对表、 视图以及类似对象的行级安全策略。
必要时, 我们的安全需求是需要根据用户的权限对数据进行强制分类, 在这种情况下, 用户被授权可以访问不同敏感等级的记录———SECRET (绝密) 、 CONFIDENTIAL (机密) 以及UNCLASSIFIED (未分类) 。 混合在数据表中的数据有着各自不同的敏感等级。 正在访问数据的用户只能查看到记录的一个子集, 拥有不同权限的不同用户看到的是记录的不同子集。
VPD技术正是基于这种安全需要所引入的, 有趣的是, 这种安全保护方式能够使安全保护能力是透明的, 而且用户无法颠覆安全保护措施。“虚拟私有数据库” 是指使用了行级安全保护 (Row-Level Security, RLS) 能力和应用上下文的数据库。
1 行级安全
VPD的行级安全允许在利用PL/SQL实现的安全策略的基础上, 限制对数据记录的访问, 在这儿所指的安全策略只是简单地表示对数据列的访问控制。 这个过程是通过创建PL SQL函数并返回字符串完成的。 函数将注册各个表、 视图以及使用DBMS_RLS的PL/SQL包保护的类似的对象。 当针对保护的对象发出查询时, Oracle将在原来的SQL语句中添加函数所返回的字符串, 从而过滤数据记录。
Oracle在实现RLS保护时需要使用PL/SQL函数。 PL/SQL函数将接受两个参数, 数据库则会自动透明地调用这个函数。从函数中返回的字符串将被添加在原来的SQL语句中, 这会消去某些行, 从而实现了行级安全。
这个示例中的安全策略是在SCOTT.EMP表的查询结果中去除部门10的记录。具体实现的PL/SQL函数如下:
为了保护SCOTT.EMP表, 只需要利用DBMS_RLS.ADD_POLICY过程把上述的PL/SQL函数与SCOTT.EMP表相关联:SQL>BEGIN
也就是说, 至此已经实现了行级安全保护。为了测试该保护策略, 可以作为用户登录数据库, 并访问SCOTT.EMP表, 发出DML查询, 下面的结果显示了可以获取其他所有部门的记录, 而再也不能获取部门10的记录。
以scott用户身份登录数据库
如果想改变安全策略的具体实现方式, 也很简单。假设更改安全策略, 不给用户SYSTEM返回任何记录:
可见, 由函数实现的安全策略可以随意更改, 而不需要利用DBMS_RLS包重新注册。
上述的示例可以让人们快速了解行级安全, 安全策略可以非常复杂, 而实现安全保护策略的安全函数一般情况下则可以根据用户的权限动态返回不同的字符串。
实现安全测试的函数的功能是返回字符串 (varchar2) , 并作为原来的查询语句中的谓词或“where”子句。为了让安全策略生效, 则必须修改原来的查询语句, 并添加谓词字符, 然后执行查询语句。例如, 一个简单的查询语句select*from EMP可能会被返回谓词ename=USER的RLS策略函数增加部分内容, 然后真正执行的有效的SQL语句是select*from EMP where ename=USER。
通过调用DBMS_RLS.ADD_POLICY过程, PL/SQL函数将在表、视图或者类似的对象中注册。DBMS_RLS并没有被授予每一位用户, 管理员需要拥有直接执行该包的权限。而ADD_POLICY则至少需要得到策略将要应用的对象的名字、策略的名字以及实施安全保护策略的PL/SQL函数的名字。
策略可以应用于SELECT、INSERT、UPDATE、DELETE以及INDEX语句, 而其中的INDEX则会影响CREATE IN-DEX和ALTER INDEX DDL命令。不管用户是直接还是间接访问受保护的表、视图还是类似对象, 都将透明地激活RLS保护策略, 并执行注册的PL/SQL函数, 然后修改原来的SQL语句并执行该语句。
2 RLS的优势
RLS很灵活, 并能在细粒度上实施安全保护。默认情况下, 安全策略可以应用于所有的DML语句。ADD_POLICY过程将接受STATEMENT_TYPES参数, 从而允许管理员指定安全策略将应用于哪种DML操作。这种细粒度的保护允许数据库根据DML的类型分别应用安全保护策略。例如, 数据库可以很方便地支持SELECT安全策略, 即安全策略允许所有利用SELECT获取的记录;而INSERT和UPDATE策略则根据用户的部门号限制INSERT和UPDATE操作。DELETE策略则限制只能针对用户本身的记录执行DELETE操作。
可以对相同的对象使用多个策略:数据库将对多个策略执行逻辑“与 (AND) ”操作。也就是说, 如果某个策略返回了ename=USER, 而另一个策略 (针对相同对象的相同DM操作) 返回了sal>2000, 那么数据库将自动添加这两个策略, 从而产生where ename=USER and sal>2000。
利用VPD所得到的安全保护:利用谓词限制原来的查询语句返回的记录, 而不管查询语句是如何发出的以及是由谁发出的。记录过滤机制提供了确保策略有效的并且是一致的行级安全保护能力, 而不管应用应用程序是如何与数据交互的。整个过程对于发出查询的应用程序是透明的。有关VPD的最有效的因素则是安全保护措施紧贴着其保护的数据———一致的、集中管理的、无法绕道而走的。
数据库在对象级以及对象内部同时支持数据的安全保护, 对于确保安全的一致性和持久性是至关重要的。一个定义良好的数据库模式会在编程语言和应用程序的变化期间保持不变。因此, 针对数据库的良好的安全模式对于确保数据的整体安全是至关重要的。通过使用VPD的特性, 数据库可以实施其安全策略, 从而任何使用数据库中数据的应用程序都可以自动得到安全策略的保护。
3结语
虚拟私有数据库 (VPD) 有助于解决与视图有关的若干问题。通过PL/SQL实现的安全函数, 定义了针对表、视图以及类似对象的RLS策略。当然, 真正用于VPD的PL/SQL函数可以是基于任何相关的信息———IP地址、日期、应用上下文等。
参考文献
[1]薛莹.Oracle Database 10g性能调整与优化[M].清华大学出版社, 2011.
[2]David C.Knox, Oracle安全实战———开发完全的数据库与中间件环境[M].清华大学出版社, 2011.
虚拟私有数据库 篇2
建立基于私有云的虚拟化桌面系统可以解决以上的种种问题。虚拟化桌面技术的实质就是将终端计算机的操作系统进行虚拟化,由虚拟化的操作系统提供供用户操作的桌面,让计算机的运行环境与硬件分离。这样的系统可以让用户在不同的时间、不同的地点通过任何可接入系统的设备连接桌面系统并进行操作,大大的减轻了对以往教学系统的维护难度与管理困难程度,因此基于云的虚拟化桌面对高校的教学网络建设有着重要意义。
虚拟化桌面需要的技术支持与相关技术简介
1虚拟化技术
虚拟化技术属于分布式操作系统的衍生技术之一,具体细分的话,可以划分为平台虚拟化、应用程序虚拟化以及资源虚拟化三种。
平台虚拟化目的是为了隐藏平台的物理硬件,为用户提供一个虚拟的、统一的硬件环境,主要是通过VMM(Virtual Machine Monitor)来实现(2)。VMM是处于操作系统与硬件之间的软件层,任务是隔离以及管理位于其上的虚拟机,为其提供支持。
应用程序虚拟化是把应用程序与操作系统进行解耦合,其本质为将应用程序与操作系统进行隔离。用户在运行应用程序时,应用程序的计算逻辑并不是放在本地,而是送到平台中进行,而后在将结果传递会终端(3)。
资源虚拟化是借助于云平台中闲散资源,经整合后供用户使用。包括如对CPU、内存等等资源的虚拟,使得用户可以使用更强大的计算机计算能力。
2网络连接协议
云平台必然需要网络的支持,通过网络技术才能使得用户无视时间、地点以及设备的限制访问用户自己的虚拟桌面。高效的网络连接协议很大程度上决定了用户对于虚拟桌面的使用体验,影响整个系统的性能。目前,在虚拟化桌面系统中使用的协议主要有以下两项:
(1)RDP协议。主要是对Windows操作系统的支持,支持文件、声音、打印机等的重定向,支持各种加密算法,但是对外设的支持有限。
(2)ICA协议。支持标准的各种USB设备的重定向、支持如TCP/IP、Net BIOS、IPX/SPX等多种网络协议,可以很好的整合本地资源与云平台资源。
3云计算平台
“云”的概念最初由Google公司提出,而后得到了广泛的接纳。云技术是对虚拟化技术、并行计算等原有多种技术的整合,因此它是对虚拟化技术的发展。对于云计算目前各界的定义多有不同,最为广泛的被采纳的定义是NIST所做的定义。由于云计算的存在,使得人们可以整合网络中的资源,建立一个包括如服务器、存储器、应用软件、网络等等资源的共享池(4),使得用户可以获得更多的计算资源,对于系统的管理者而言,也降低了管理工作强度。
建立高校虚拟化桌面,离不开云计算平台的支持,只有借助云计算强大的整合能力才能更好的体现出虚拟化桌面的优势,改善以往高校教学网络环境需要面对困难。
高校私有云虚拟化桌面的需求
为了更好的进行私有云虚拟化桌面的设计,需要先对需求进行分析,明确当前高校机房使用中存在的问题,以及广大师生对云虚拟化桌面的要求,针对性的进行设计。
1高校机房应用过程中存在的问题
当前我国高校较注重应用计算机辅助教学,所以基本已经具备了一定的相关管理经验与维护经验,但是仍然存在着许多的不足,大致有以下几点需要改进:
(1)机房存在安全漏洞。高校机房由于使用者众,且大多的学生对学校机房的安全问题并不关切,致使机房计算机中经常出现感染病毒、木马,增加维护难度。
(2)机房性能不足。高校机房中计算机更新速度较慢,面对对硬件需求日益增加的各类应用软件,难以满足要求。
(3)应用环境配置难度大。高校机房需要同时满足众多不同专业的软件应用要求,大量的计算机致使应用环境配置与维护难度较大。
(4)难以做到个性化管理。不同专业、不同教师需要的环境并不一致,如果各类环境都配置于一台计算机的话,使用极为不便,且应用环境遭到他人破坏。
2云虚拟化桌面系统的总体需求分析
针对上述提到的问题,结合云虚拟化桌面的特点,可以得到对云虚拟化桌面系统的总体要求,可以归为以下几点:
(1)高度的安全性、可靠性,能够有效抵御各类病毒、木马的侵袭,抵御各种非法操作。
(2)卓越的系统性能,能够顺畅的支持各类应用软件运行,具有良好的使用体验。
(3)高度的灵活性,能够迅速的进行各种系统环境与应用环境的配置,不同的使用者得到的桌面不同,完全隔离不需要的环境。
(4)良好的兼容性,兼容以往的操作系统习惯,不会使用户感到不习惯,兼容各类原有应用软件。
(5)简单的使用与管理界面,不会对师生造成额外的学习负担。
以上的需求内容大致可以划分为两类,一类是对系统性能上的需求,一类是对使用功能上的需求,意味着在进行系统设计的时候,可以从不同的角度对设计方案进行修正,满足对系统的使用需求。
高校私有云虚拟化桌面系统的设计方案探讨
1系统总体结构框架
云计算平台的选择有两种,第一种是使用提供私有云服务的服务商,服务商会提供各种其可支持的服务,但是服务商提供的服务往往是有限的,未必能够所有的需要,且运行成本较高;第二种是高校自己搭建一个简单的云计算平台,虽然技术上的支撑没有专业的服务商提供的有力,但是可定制性更强,更适合高校使用,且有相关的服务商提供一定的搭建云平台的技术支持(5)。具体选择哪一种搭建模式需要高校按照自己的使用情况选择。
基于云平台之上,即可部署虚拟化桌面服务。虚拟化桌面服务系统可以划分为四个模块。按照从底层到上层的顺序分别为对系统的数据存储进行优化的模块、同时提供虚拟化平台的VMware v Sphere模块、提供用户个性化定制的View Manager模块、同用户互动的交互Xen Desktop模块。
利用Xen Desktop与Xen App,可以为不同的虚拟桌面与应用提供支持,借助View Manager,可以为用户生成一个操作系统镜像。高校中机房的使用往往是多个同专业学生共同使用的,所以可以进行批量的镜像复制,如果要对系统进行更改,只需要更改一个单独的镜像即可,从而降低维护成本,同时降低了所需的系统存储空间,机房中提供给学生使用的计算机可以不使用硬盘,而是用网卡启动方式同服务器处获取所需的硬盘镜像。
2虚拟化桌面的一些实现方案探讨
借助于Citrix提供的技术支持,可以方便的进行虚拟化桌面系统的搭建,下面分别描述虚拟化桌面的不同功能部分的实现方式。
(1)客户端与服务器之间的交互方式。机房客户端使用的是Xen Desktop程序,为用户提供完整的虚拟桌面环境,提供各种设备的支持,通过协议RDP与View Manager进行通信,接入网络。
(2)应用虚拟化及管理的实现方案。为了提高虚拟化系统对应用的管理能力,可使用Xen Desktop将应用软件从操作系统中抽离而出,在虚拟桌面上提供快捷方式,程序的运行交给View Manager,结果返还给用户,因此系统中运行的软件应用由View Manager实现,同时对不同用户运行的应用进行隔离,使之无缝接入不同用户的虚拟桌面中。
(3)桌面池管理方案。学校机房的使用往往是由某专业的学生同一时间使用,因此需要有模块来进行虚拟桌面池的管理,这个功能的实现同样由View Manager模块来实现,它提供了单个用户、自动、手动等不同的虚拟桌面池管理支持。
(4)系统安全管理方案。由于机房中的计算机使用的为虚拟化的桌面,所以系统安全防护上移到服务器端实现,降低了以往的对整个机房进行安全维护的难度,只需要控制好服务器敏感信息的访问权限,在服务器端安装安全防护软件即可。
(5)用户数据的管理。在基于私有云的虚拟化桌面中,数据不再存储在机房里的计算机中,所有的数据均交与虚拟化系统与云平台进行管理。云平台会做基础的数据存储管理,借助虚拟化平台中的View Composer模块则可以对用户的数据镜像文件进行管理。
结束语
计算机技术的发展已经让高校的教学工作不能离开计算机的辅助,云平台与虚拟化桌面是未来的计算机发展方向,它们能提供比现在更加优秀的安全性、可靠性,同时大幅度降低维护成本,并具有更为优秀的用户体验,能够满足高校机房现在的以及未来的需要,是解决当前高校机房中各种存在的问题的有效办法。
摘要:随着教学理念的更新以及计算机技术的支持,高校教学愈加的依赖校园网络的支持。目前在我国的大部分高校中,对于终端计算机的配置上,都是需要其安装大量相关的教学软件,需要配备不同的教学环境。这种做法无论是从效率上还是从复杂程度上来讲,都不是一个理想的解决方案。借助于基于私有云的虚拟化桌面技术,可以很好的解决这个问题,这也是未来教学的发展趋势。
注释
1刘嘉佳.桌面虚拟化的技术及前景分析[J].人工智能及识别技术.2010(08)
2于耳,盛靖.数字化校园服务器虚拟化整合[J].中国教育网络.2009
3闫龙川,刘志永.桌面虚拟化技术研究与应用[J].电力信息化.2011(07)
4王淑红,刘晓辉.Microsoft虚拟化应用指南宝典[M].中国铁道出版社.2008
虚拟私有数据库 篇3
企业随着自身的发展需要不断更新其内部数据中心的计算和存储设施。尤其是当企业发生并购、拆分等事件后,企业内部结构、运作流程会发生重大的变化。因此为了优化企业IT基础设施的部署、安全管理、降低运营成本,企业亟待实现内部IT基础设施的高度融合[1]。云计算的部署使得企业无需不断追加内部IT资源成本,就可以按需向云计算服务提供商租用更加廉价的虚拟资源和在线服务,从而更加有效和灵活地获得IT服务。
企业需要云计算资源能够无缝地整合到企业现有IT资源池中,而不需要处理大量繁琐的配置、地址管理、安全设置等工作。但是,目前能够提供的云计算服务在整合企业数据资源方面还有很多需要改进的地方。
现有的商用云计算服务器一般都部署在单独的站点上,使用独立的IP地址空间,且不受用户的控制。云资源和企业资源在网络上的隔离带来了应用软件部署和配置的困难,尤其是当部署的服务需要与企业私有网络建立通信的时候。另外,用户使用公网IP地址实现云端应用部件与企业站点的互联,会带来安全问题,而且用户需要自己配置防火墙策略来管理企业网络与云资源的互联安全。最后,现有云服务只关注计算和存储资源,并不提供对云内和云与企业网络间的网络资源的管理控制。由于缺乏网络与云资源的协调机制,用户还需要自己与电信网络提供商交涉,租用带宽保障的专有流量通道[2]。
考虑到虚拟专用网VPN是在公共电信网络基础设施上,通过使用隧道技术、安全技术在用户成员之间提供安全的、可靠的通信[1]以及相对于专用线路成本低等优点,本文研究如何将虚拟专用网(VPN)技术整合到有云计算架构中,从而实现云计算资源与企业IT资源的无缝融合,建立企业虚拟私有云(VPC)。
1云计算环境和相关技术
在云计算发展早期,业界更关注的是外部的公共云服务,希望通过新的应用模式满足业务需求。但是现实中很少有企业会因为新的架构而抛弃现有应用。而且安全和可靠性问题也是在企业中推广公有云的最大阻力。
1.1虚拟私有云VPC
面对这一挑战,云计算要在企业应用中实现真正的落地,需要更为实效的方法:首先,将现有的数据中心转化为内部云。同时,与托管和服务提供商合作,共同实现可兼容的外部云。随后,通过在云之间进行联邦和统一管理,使内部资源和可利用的外部资源连接起来,帮助企业获得云计算的所有好处和灵活性,而这一结果实质上就是“虚拟私有云”[1,3]。
虚拟私有云跨越了内部云和外部云,为业务提供无缝的、可管理的云计算环境,将内部资源和外部可利用资源有效地结合起来,最大限度地提高了成本效益,并且保持了对整体IT基础架构的控制。虚拟私有云还需要跨网络服务提供商运行,从而确保灵活性和选择性。
虚拟私有云在企业统一的IT控制之下带来了云计算的一系列好处。基于虚拟私有云,需要推出新业务服务的应用提供者,能够不受服务、存储和网络等基础架构复杂性的影响,专注于提供商业价值。
1.2虚拟专有网VPN
目前的虚拟专用网络技术(VPN)较好地满足了搭建虚拟私有云计算环境的业务需求。VPN通过连接局域网(LAN)与广域网(WAN)资源,提供跨地域的、高效的网络访问和连接。无论是对内部还是外部的公共基础架构而言,VPN都提供了极好的成本效益。此外,VPN可以无缝地接入网络,管理并控制整个网络的接入和安全。
VPN是在公共电信网络基础设施上,通过使用隧道技术、安全技术在用户成员之间提供安全的、可靠的通信[1]。VPN使得多个用户共用同一个物理网络,但在逻辑上又是完全安全隔离的。VPN可以扩大局域网的覆盖范围,而不需要拥有或者租赁专用线路,其成本通常比专线低得多。企业可以使用VPN让远程用户和移动用户接入网络,把分散在不同地区的分支机构连入统一网络,并且能够远程使用依靠内部服务器的应用系统。
在分组网络中存在多种实现VPN的技术,例如第二层隧道协议L2TP(Layer Tow Tunneling Protocol)[4]、第三层安全协议IPsec(Internet Protocol Security)[5]以及多协议标记交换MPLS(Multi-Protocol Label Switching)[6]。VPN协会将这些不同VPN实现技术分为安全VPN(Secure VPN)、可信VPN(Trusted VPN)和混合VPN(Hybrid VPN)三大类别[7]。
1.3相关工作
文献[9]针对当前电信网络架构对于网格应用的不足提出了一种全新的服务体系架构,该服务体系架构在由大企业、公司、或合作商业组织组成的大规模网格环境中,通过集调度、重构、虚拟化于一体的解决方案(SRV),对将多种计算、网络服务等可管理的网格资源进行集成,实现自动化操作。
近年来,Amazon推出了虚拟私有云服务[10],该服务通过简单的服务接口使得用户可以在Amazon Web Services (AWS)云中使用专有的隔离的计算资源(如 Amazon EC2 实例),而且用户可以通过业界标准的IPsec协议在VPC资源和数据中心之间建立安全VPN连接。但是,Amazon的VPC由于采用第三层基于IPsec的VPN,虽然解决了安全性问题,但是对于较为复杂的企业数据中心聚合、迁移等应用,在网络拓扑灵活重构、数据传输QoS保证方面仍然存在明显的不足。
文献[11]研究并提出了CloudNet体系架构,通过VPN将云端资源与企业IT资源进行透明连接建立安全隔离的资源池,从而实现虚拟私有云服务。为实现此目标,CloudNdet通过2层VPLS技术建立和管理VPN端点,实现云计算站点资源与企业站点资源之间的互联,而VPC内通过VLAN实现不同用户虚拟资源间的隔离。CloudNet要求电信网络运营商的VPN控制器与云计算运营商的云资源管理器之间建立接口,用于实现VPLS虚拟转发表VRF与VLAN ID的映射关系。但是在实际应用中,处于商业秘密和竞争原因,电信运营商与云计算服务提供商之间建立互信关系还存在很大的挑战。
2企业虚拟私有云的体系架构
大型企业对数据的安全性有较高的要求,他们更倾向于选择私有云方案。但为了进一步节省IT投资,企业也希望将部分非核心资源放到公有云上,将系统的内部能力与外部服务资源灵活地结合在一起,因此混合云能够为企业提供更加灵活的云计算解决方案。正如前面分析所述,采用混合云方案仍然存在私有云与公有云间,公有云与企业内部资源间的互操作问题。因此我们认为采用虚拟私有云方案是一种更具优势的基础架构,它既能提供私有云的安全性,又能向用户屏蔽复杂的异构云间的互操作。
2.1体系架构
根据安全隔离、透明、位置无关性、方便的策略控制、可扩展性、低成本等需求,本文提出了一种用于构建企业数据中心的虚拟私有云体系架构,如图1所示。由图中可看出,在整个架构中,企业私有云是由已有的IT基础设施共同组成的,云中的计算和存储资源由计算资源管理器CRM(Computing Resource Manager)负责进行管理和控制,内部网络资源则由网络资源管理器NRM(Network Resource Manageer)来完成管理和控制。其中,CRM和NRM之间的接口可实现计算资源和网络资源的协同处理和调度。
下面我们通过如图2所示的例子来进一步说明该体系结构的设计思想。图中的例子描述了两个企业建立的虚拟私有云。云提供商为每个企业用户分配了各自的虚拟计算资源(如虚拟机VM)并通过VLAN技术实现互联和安全隔离。云端资源管理器向企业数据中心的资源管理器开放接口,使得企业可以控制和管理云端属于自已的虚拟计算资源和虚拟网络资源。企业通过向电信网络提供商租用的VPN实现内部IT资源与云端虚拟计算资源池的安全连接。电信网络提供商则向用户开放接口,允许用户管理和控制属于自已的虚拟专用网络资源。从用户数据的角度看,每个企业如同拥有独立的与外界隔离的计算和存储资源池;从控制的角度看,企业数据中心的CRM直接控制企业内的物理计算和存储资源,通过云提供商开放的接口实现虚拟计算和存储资源的请求、创建、管理等功能。企业数据中心的NRM直接管理企业内的物理网络资源,通过电信网络提供商开放的接口实现VPN的请求、创建、管理等功能。
2.2VPN实现
(1) 实现目标
利用VPN来实现企业虚拟私有云架构必须达到以下几个目标:
无缝网络连接 本文采用基于MPLS的VPN连接各个站点资源,并为该VPN所有端点分配共享的地址空间。采用MPLS VPN的另一个好处是可以实现虚拟专有LAN服务VPLS(Virtual Private LAN Service),可以将多个LAN桥接为一个LAN,即通过VPLS技术实现将云端资源无缝的融合到企业已有的IT基础设施中,并且如同在一个私有的LAN中一样。
安全通信 许多大企业早已使用VPN,云计算站点可容易地以一个新的安全端点加入到现有VPN网络中。在虚拟私有云体系中,VPN是通过在电信运营商网络中建立虚拟的专有通道实现的,从而实现安全的通信路由。由于所有站点都通过公共网络中的虚拟私有通道互联,这样就不需要在云和企业资源间配置复杂的防火墙规则。
动态VPN重构 企业数据中心随着业务发展可能会不断进行计算和存储资源的添加、移除和迁移,最终需要不断对VPN网络拓扑进行调整。目前由于对网络拓扑的调整都是通过人工完成配置,因此在VPN中新增加一个资源可能需要几天的时间。为了实现VPN拓扑变化的自动配置,本VPN实现体系中采用一个集中式的VPN控制器自动实现站点间的联通和接入控制,最终使得VPN重构过程可在几秒时间内完成。
(2) 自动配置
通过基于VPLS的VPN技术将分散的站点资源互联在一个虚拟LAN中,可以实现企业计算和存储资源间透明的、安全的、网络资源服务质量可保障的2层数据连接,并且还可以避免用户进行网络互联和安全方面繁琐的配置工作。尤其是当企业虚拟私有云中需要增加新的资源站点或者需要进行虚拟资源在不同站点间进行动态迁移时,按照传统的VPN配置方式需要用户自行调整防火墙设置,更新路由表,重新配置应用程序的网络连接模块以适应新的网络拓扑等等,这一切将大大增加网络管理的复杂度,降低企业虚拟私有云部署的灵活度。
VPN的自动配置是指当有新的VPLS站点需要加入到当前VPN资源池中时,系统能够自动实现企业用户路由器的配置以适应网络拓扑的改变。为此,本文设计了一个集中式的VPN控制器来自动调整VPN拓扑的动态变化。其基本思想是,VPN控制器相当于一个路由反射器[12],通过VPN控制器与虚拟私有云中的所有资源站点建立BGP会话。VPN控制器维护VPLS端点间的连接配置关系。由于所有的VPN路由控制信息都是通过VPN控制器分发,因此可以通过集中式的方式控制VPLS端点间如何建立隧道连接,同时确保每个用户的VPN资源与其他用户网络资源间的安全隔离。
当需要在企业虚拟私有云资源池中增加一个新的虚拟资源站点,首先选定与该资源站点相连的一个可用的运营商边缘路由器PE Router(Provider Edge Router)。该PE路由器中维护有与当前VPN关联的虚拟路由转发表VRF(Virtual Routing and Forwarding)。VRF表通过与一个特殊的路由标识RT(Route Target)关联,用于表明该VRF所属的VPN。每个云端虚拟资源站点向VPN控制器公告自己的路由标识RT,VPN控制器将收到的RT动态的关联到对应的企业虚拟私有云所属的VPN。VPN的任何拓扑变化都可以在集中式的VPN控制器中实现快速的配置,然后通过BGP协议将重构的VPN路由信息传递给相应的VPN PE路由器,从而不需要在每个资源站点单独人工配置RT和VRF。
如图3所示,为了实现企业1的虚拟私有数据中心,需要将企业站点1的资源和来自两个云服务站点的虚拟资源进行VPLS互联。VPN控制器将三个站点对应的路由标识A、B、C绑定到VPN1,然后将路由标识分别通过BGP消息分发到对应的PE路由器构建所需的VRF,从而实现VPN各站点的连接配置。如果需要增加或移除某个站点,只需更改VPN控制器中企业VPN对应的RT集合并通过BGP更新PE路由器的VRF即可,从而实现VPN的拓扑重构。可见,VPN控制器的引入简化了VPN连接管理,通过集中式管理模式可实现对所有VPN站点的连接和接入控制进行自动的设置和管理。
在云资源站点,每个用户通过专用的VLAN ID实现LAN中不同企业数据流量的隔离。每个用户的VRF通过与VLAN ID关联最终构建互通的虚拟私有云资源池。由于VLAN ID标识空间的限制,每个站点通过VLAN 标识最多可建立4096个VLAN。如果云资源站点遇到VLAN资源可扩展性问题,可通过文献[13]提到的分层处理方法或者IEEE的MAC-in-MAC技术实现能力扩展。
本文讨论的VPN控制器逻辑功能实际上由电信网络提供商提供。由于建立的VPLS网络同时跨接企业站点和云虚拟资源站点,云计算服务提供商的资源管理平台需要与电信网络运营商的VPN控制器建立进行交互,使得云计算资源站点为用户分配的虚拟资源能够正确地连接到所属VPN端点。也就是说,云计算资源站点需要将用户的VLAN ID告知网络提供商的VPN控制器,然后VPN控制器在PE路由器上建立用户VLAN ID与VPN VRF的关联。
最直接的方式是在云计算资源平台和VPN控制器之间直接开发互通接口[11],这需要建立在双方互信基础之上。但是在实际部署中,由于电信网络提供商和云计算服务提供商之间存在商业利益竞争,彼此间建立互信机制,并向对方开放一定的配置信息是存在一定的困难的。由于电信网络提供商和云计算服务提供商为企业用户构建虚拟资源池,可以和用户之间建立天然的信任关系。因此在整个VPC体系架构中,云计算资源平台和VPN控制器之间并不需要直接进行互通,而是分别向企业资源管理平台开放接口。如图4所示,云计算资源平台和VPN控制器分别和企业虚拟私有云的网络资源管理器有接口连接。通过这两个接口,企业网络资源管理器可以分别获得VRF和VLAN ID信息,然后将其关联信息告知VPN控制器,实现二者在PE路由器的绑定关系。
3上海烟糖集团构建VPC的初步部署
上海烟糖集团是一个以糖业、酒业、品牌代理为核心主业的大型商业企业集团,业务范围涵盖食品生产、品牌代理、批发分销、仓储物流等多个领域。秉承在食品加工和批发分销方面多年来积累的运营经验,上海烟糖集团希望通过更加快捷和可靠的IT基础平台,实现高效的企业管理和运作。目前,上海烟糖集团旗下各子公司的业务管理系统分布于全国各个地区,每天要处理大约2万条事务,数据量多达10GB。总的数据处理量在未来5年有望继续呈指数增长。
从2005年至今,上海烟糖集团已经在上海市建立了两个数据中心,它们之间通过向上海电信租用的100Mbps MPLS VPN业务互联。为了验证本文提出的企业虚拟私有云架构,我们通过上海交通大学信息中心的大力协助,在闵行校区校园网部署了私有云服务,然后将上海烟糖集团的两个数据中心通过MPLS VPLS连接到校园云服务站点。
基于该VPC架构,对企业内部的IT资源进行了跨数据中心的部署,并采用现有基于LAN的虚拟机迁移技术实现虚拟机在两个数据中心中的迁移[14]。
按图5所示,我们将两台测试主机ESX Host156和ESX Host157分别部署在两个数据中心,测试客户端TestClient部署在校园云服务站点。虚拟机主机服务器是一对DELL 的PowerEdge R710服务器,两服务器通过千兆交换机相连。VMware vCenter安装在一台普通DELL服务器,并连接到一台交换机。本次测试虚拟化平台为VMware公司的vSphere 4.0。其中vCenter服务器安装VMware CenterServer 4.0,两个主机安装的Hypervisor操作系统是VMware ESX 4.0。
为了比较真实地模拟实际业务应用,本次测试采用Dell的DVD Store Version 2测试套件。DVD Store Version 2是Dell公司开发的一个开源的数据库性能测试工具,用来模拟用户登录访问电子商务网站,测试数据库的性能。DS2的Client虚拟机是通过DS2测试驱动来对SQL Server进行访问的,测试驱动的线程个数(n)越多,Client虚拟机对SQL Server的命令频率越高,表现为每分钟执行的命令数越多,也意味着SQL数据库内存被改写的速度越高。
测试结果如表1所示。
随着测试驱动线程数的提高,OPM(Orders per Minute)也随之提高。从表中还可以看出,随着数据库测试驱动线程数的提高,相应的pre-copy迭代次数也会有所增加,总的迁移时间也有所上升。比如当驱动线程数为1时,pre-copy迭代次数为2,迁移总时间为50s,而当驱动线程数增长到18时,pre-copy迭代次数为4.3,迁移总时间上升为57.3s。
图6是数据库虚拟机在迁移时的服务性能曲线图,其中参数n即测试驱动线程个数。100s时,虚拟机开始被迁移,大约50s后,虚拟机迁移终止。从图中可以发现,性能曲线共有两个比较大的波谷,结合主机vmkernel日志记录分析可知,第一个波谷发生于虚拟机开始第一次内存迭代迁移,第二个波谷发生于虚拟机被挂起后开始最后一次内存迭代迁移时。
4结语
本文在回顾了虚拟私有云技术以及虚拟专用网技术的基础上,基于MPLS VPN技术提出了一个虚拟私有云架构,该架构将企业和云虚拟资源通过VPLS互联在同一个虚拟局域网内,实现了将云端资源无缝的融合到企业已有的IT基础设施中。最后,基于上海烟糖集团对数据中心融合的需求,将分布在上海的两个数据中心与上海交通大学校园网搭建的云计算站点通过VPN进行了互联,对本文提出的企业虚拟私有云架构进行了部署和验证。
虚拟私有数据库 篇4
随着教育信息化技术的应用及普及, 高职数字化校园建设得到逐步推广, 由此校园内PC数量激增, 校园网异构网络终端呈现多样化, 各种应用服务系统资源也陆续上线, 但产生了一些新的问题: (1) 高职校园中PC数量众多, 维护效能不高。 (2) 校园网建设的各个私有云相互独立隔离, 不成体系。 (3) 高职院校的专业多、课程实践性强。
● 传统PC与桌面虚拟化技术方案对比分析
桌面虚拟化技术的出现, 对传统PC是一个革命性的冲击。两者的对比分析如表1所示。
● 基于桌面虚拟化的高职校园网私有云总体设计
笔者从高职院校的实际场景需求出发, 以桌面虚拟化为技术基础, 建设了云数据中心, 解决了不同区域云应用孤立隔离以及异构信息终端兼容接入问题, 构建了高职校园网私有云。其总体设计框架如下页图所示, 网络基础环境千兆到桌面, 校园网采用“扁平化”架构, 数据中心采用虚拟化技术, 资源平台实现校园内开放共享。该系统实现了校园各个区域的私有云融合, 支持瘦客户端, 能根据不同的用户灵活定制桌面环境, 具有在校园内移动漫游等功能。
● 高职校园网私有云关键技术研究
1.校园网网络可靠性研究
部署桌面虚拟化以后, 网络可靠性将成为系统稳定性的一个重要指标。因此, 校园私有云网络采用大二层结构部署, 即通常所说的“扁平化”架构。网络层分为核心层和接入层, 取消了传统的汇聚层结构。这样做一方面能节约成本, 无需再投入汇聚层设备;另一方面能集中管理, 实现核心层上的网管平台对所有接入交换机的直接管控。当然, 这也对核心交换机的性能和管理功能提出了更高的要求。
接入层部署全千兆口接入交换机, 信息终端最大可达上下行全速1GB/s的速率。接入层和核心层采用链路冗余, 两条千兆接入光纤进行链路捆绑, 最大可以实现上下行全速2GB/s的带宽。核心交换机与数据中心采用万兆主干互联, 最大速率可达全速10GB/s, 以保证业务流量的高速转发。所有网络交换机均冗余配置, 利用网络虚拟化技术, 实现逻辑上的统一管理。
2.校园网私有云数据中心设计方案
建设一个可供桌面虚拟化系统以及资源平台运行的数据中心是构建校园网私有云的一项关键工作。数据中心作为虚拟化基础架构运行的载体, 能发挥重要的作用。本文采用PC服务器集群作为底层架构, 以万兆交换机为网络基础, 以FC SAN光纤存储作为数据、资源的承载平台。方案计划构建10台PC服务器、1台万兆交换机, FC SAN总共20TB。总共最大运行500个虚拟机, 预留5TB作为资源平台数据存储。数据中心资源分配规划如表2所示。
● 结语
实践证明, 基于桌面虚拟化技术的高职校园网私有云能有效解决传统PC无法突破的瓶颈问题, 极大地提高信息化运维效率, 从而实现校园区域内用户桌面环境可定制、信息终端移动漫游接入等功能, 为师生教学提供高效快捷的现代化创新服务平台。
参考文献
[1]林飞跃, 林先津.云桌面在教学管理中的应用[J].实验室研究与探索, 2013 (10) :336-338.
[2]董林.基于云计算的电子点单系统的研究与实现[D].武汉:武汉工程大学, 2013.
[3]刘猛.基于云计算的中职教育教学平台研究[D].广州:广东技术师范学院, 2013.
[4]孙勇.云环境下植物物候观测系统的设计与实现[D].昆明:云南大学, 2013.
[5]周铁成.多媒体教室云桌面教学系统设计与应用[J].浙江水利水电学院学报, 2014 (04) :66-69.
[6]马越, 黄刚.基于Docker的应用软件虚拟化研究[J].软件, 2015 (03) :10-14.
虚拟私有数据库 篇5
关键词:私有云存储,海洋实时观测数据,同步
0 引 言
随着数据流模型的实例化研究平台——“‘数字海洋’辅助决策系统”的建设和完善,海区中心站服务器观测数据的属性值分别存储到不同业务需求的专题数据库中,如何对海量观测数据动态分配存储空间以保证其存储系统的负载均衡性和可靠性成为了工作的瓶颈。比如海洋观测台站以频率为每分钟发送一条大小为1kB的观测数据到海洋中心站,假设某海区中心站同时接收10个海洋中心站发送的实时观测数据,其中每个海洋中心站由10个观测台站组成。而且当服务器集群在分配存储空间的同时,一些服务器仍需面对负载比较重的请求比如进行计算密集的查询、数据库访问等;而大部分服务器仅仅负载比较轻的请求比如只需要读一个HTML页面或者进行很简单的计算,该服务器集群的负载不均衡将会导致个别服务器死机甚至造成整个数字海洋系统的工作效率降低。如图1所示,实际研发中海量数据匹配造成的服务器死锁崩溃。
1 海洋观测数据同步存储策略
1.1 私有云存储逻辑结构模型
根据研究国内外私有云存储系统和针对我国“数字海洋”辅助决策系统在业务使用中的实际需要,本文确定了基于私有云存储的架构,并在私有云存储系统的架构中采用了不同的虚拟化技术,如图2所示。
第一层:由上图可见私有云的架构的最底层就是一个数据中心,数据中心是构建企业私有云的基础,它包括服务器、存储和网络设施等。
存储层是私有云存储系统最基础的部分,通过底层的统一存储管理平台,私有云存储系统能快速部署在不同类型、分布在不同地域的存储设备之上,并实现存储设备的逻辑虚拟化管理、多链路冗余管理。典型的存储设备为廉价PC机,它们通过高速网络进行互联。存储设备还可以采用磁盘阵列、存储区域网络(SAN)、网络附属存储(NAS)。
该层提供虚拟化服务。数据中心之上就是虚拟化软件,通过对物理基础设施虚拟化,可以获得一个相对灵活的环境。
第二层:提供操作系统服务。当今很多虚拟化的厂商都提供云计算操作系统。
基础管理层是私有云存储系统最核心的部分,也是最难以实现的部分。基础管理层通过集群、分布式文件系统和逻辑卷管理等技术,实现了多个存储设备之间的协同工作,使多个存储设备可以对外提供同一种服务,并提供更强更好的数据访问性能[1]。采用虚拟路径保存数据,提高了系统的安全性,并在一定程度上消除了数据冗余。
第三层:运行环境接口和数据库层的数据接口。该层是面向服务的系统访问层。在该层首先调查面向用户群的具体应用需求,提供不同的访问与管理接口,用户可以通过不同方式连接云存储系统。该层是私有云存储中最为灵活的部分。
第四层:提供自助服务管理软件服务。有效利用元数据信息、数据共享、搜索等功能实现了数据的多路径访问。
以上四层包括硬件和软件,共同构成了一个私有云环境,为企业提供专用的计算环境,企业可以将自身的应用程序运行在自由云上,这样企业便能完全拥有数据和程序的控制权。任何一个授权用户都可以访问云存储系统,享受云存储服务。私有云存储系统根据用户授权的不同,提供不同的服务等级和内容。
1.2 私有云存储系统详细设计
该子系统由4个主要部分构成:① 数据流映射接口;② 数据流存储设备;③ 元数据分析模块;④ 代理层。而弹性私有云存储中的实现是依托一些真正在运行中的虚拟机服务器分配给用户的虚拟机,该用户具有全部的访问权限,包括对此虚拟机的管理员权限。
由于用户在部署网络程序的时候,大多数情况会通过多个实例的协同工作来实现一个运行效果。弹性私有云存储系统通过内部的IP地址实现了内部结构中实例间的传输与交互网络,使用户的运行的应用程序在不同的实例之间可以相互调用和处理通信资源,大大地提高了工作效率[2]。为了将海洋实时观测数据利用云存储实现负载均衡分配存储空间,以及实时解析数据流中个属性值存储至各个海洋专题数据库中的目的,本文设计了一个完善的私有云存储子系统的工作流程,如图3所示。
各个部分的工作机制以及通信机制如下阐述:
(1) 数据映射接口
该接口是围绕如何解决海洋实时观测数据流进行数据映射,并再映射存储到对应的专题数据库。该接口的设计思想是利用编程技术设计一套软件接口,提取实时数据入口中的数据,映射生成标准XML文件格式,最后查找到的需要的属性值同样以XML格式给出,通过XML文件来屏蔽数据源的异构问题,目的是解决不同海洋数据采集硬件之间无法传输到私有云端并且经过私有云存储优化后无法将各属性值同步到专题数据库中的缺陷。
(2) 存储设备
存储设备层是云存储最基础的部分,存储设备是在组成私有云的所有工作的计算机。其中私有云存储内部的存储设备通过海洋数据传输专线网络连接在一起。当台站采集新的实时数据后,台站的浮标、传感器等硬件设备将利用数据映射接口将数据通过数据传输专线传送至私有云端,私有云端首先接收实时数据存储在缓存中,然后根据当前各个私有云存储系统内的虚拟服务器的实时存储状态和当前的计算负载状态等评定指标综合计算并分配存储空间,以实现弹性存储的目的,并在存储层中对实时数据进行存储。
该存储设备层的另一个设计目的是实现存储设备的逻辑虚拟化管理、硬件设备的状态监控等功能。这与现有的私有云管理层相比,增加了更多的监控内容以保证私有云内工作计算机的负荷稳定性,实现了动态负载均衡分配存储机制。管理层通过集群、分布式文件系统等技术,实现云存储中多个存储设备之间的协同工作,使多个的存储设备可以对外提供同一种服务,并提供更大更强更好的数据访问性能。
该系统对各虚拟服务器的实时监控功能如图4所示。
(3) 元数据分析模块
在利用私有云端对实时数据进行存储后,系统将使用元数据分析技术对实时数据的属性进行分析归类,系统将自顶向下地将实时数据顶层属性开始进行分析,最终通过统一的XML格式传递给代理层。
(4) 代理层
代理层是联系上层元数据目录与目标专题数据库的中介,通过中间代理层来统一管理所有的数据库,这样后台的各数据库对前端的应用程序透明。通过代理层,系统智能地对各数据库的业务需求进行分析并获取目标专题数据库的需求业务属性,并反馈给存储设备,存储设备将会根据具体各个数据库的业务需求来提取每一条实时数据的不同属性值,如果没有找到对应属性值,系统则默认回溯到元数据分析模块继续查找。最终通过数据映射接口同步至各个数据库,真正实现了实时数据的同步。
2 私有云存储部署策略及实验
通过对“数字海洋”辅助决策系统的研究,本文首次提出了对海洋数据进行动态的私有云存储,并针对该功能设计了以下实验,实验结论验证了并实现了针对海洋站传输的观测数据进行的动态弹性私有云存储机制。
2.1 私有云部署策略
部署私有云存储的单台计算机参数如表1所示。
通过私有云存储子系统部署的每一台计算机都可配置若干个虚拟机,以实现海量海洋实时观测数据集中存储的需求。部署架构如图5所示。
在这种私有云部署中,创建了一个云状结构的存储系统,这个存储系统由多个虚拟存储服务组成,通过一个虚拟化的端口联合起来协同工作,并通过一定的应用软件或应用接口,对用户提供存储服务和访问服务。用户可以从不同的客户端接入到私有云,在用户看来只有一个对外整合的服务器。
2.2 私有云存储机制
客户端发起一个写入的请求,控制节点会告知客户端与哪个存储节点建立连接,进行数据读写。写入的文件是以chunks的方式存储,每个块由被创建时系统分配一个唯一的chunk-handle标识。为了实现私有云存储的数据安全性,每一个块将会被复制到多个存储节点上[3,4]。
以一个控制节点(CN),五个存储节点(SN),并假设一个客户端接收到一条大小为640MB的海洋实时数据为例:
单一文件存储方式:copy =1 (无副本)
SN1 10 x 64MB chunks (每个chunk 分布在存储节点内不同的卷上)
同步副本策略:copy = 2
SN1 10 x 64MB chunks
SN2 10 x 64MB chunks
异步副本策略:copy = 2
SN1 10 x 64MB chunks
SN2 2 x 64MB chunks
SN3 2 x 64MB chunks
SN4 3 x 64MB chunks
SN5 3 x 64MB chunks
2.3 结果分析
本文提出的私有云存储实现的虚拟化设计不会将单个文件拆分成几份同时写入不同存储节点,系统设计宗旨在于减少控制节点的参与,优化多客户端对多存储节点的应用。对小于64MB的文件以原文件尺寸存储成chunk,而当文件大小大于64MB时,客户端会控制以大文件方式分配存储空间。考虑到海洋观测数据一般大小不会超过64MB,该存储方式对海洋实时观测数据存储有更强的优化功能。系统同时支持同步副本和异步副本功能,当系统设置为异步副本,数据会在后台通过内网迁移数据,以优化前端性能。在系统对文件拆分、重组,客户端或者存储节点增多的情况下,控制节点压力很大,性能的线性增长会有所下降。如:单个存储节点提供100MB/s,20个存储节点则系统可提供20×100MB/s,以避免当海洋实时观测数据传输集中时造成计算机性能下降、线性增长的损耗比例增大等情况。
3 结 语
当前数字海洋系统中实时数据的存储机制无法实现动态均衡存储,该缺陷制约了数字海洋辅助决策系统的功能发挥。私有云存储可以在节约人力和财力的情况下动态地将海洋实时观测数据分析并存储至相应的专题数据库,本文以数字海洋中数据流模型为研究基础,针对海洋实时观测数据的特点、存储结构及匹配机制进行深入研究,分析了对数字海洋辅助决策系统进行优化存储策略的几个热点问题,在此基础上,针对当前的关于弹性均衡存储理论进行了深入分析与研究,根据数字海洋体系存储、分析的具体情况总体设计并实现了海洋数据同步存储系统框架。新架构由于优化了实时数据存储策略,因而在可靠性、吞吐量、响应时间、资源利用率以及可扩展性方面都优于先前系统。
实验结果表明该系统已基本实现对海洋观测数据流存储的优化以及缩短了生成辅助决策系统的时间,因为国内外针对辅助决策系统没有规范化或标准化的流程和算法,所以本文的贡献意义不仅仅在于优化了海洋观测数据的数据流处理模型,同时该算法及其思想可以为今后的学者提供理论和实际的借鉴价值。
参考文献
[1]华翔,康凤举,田学伟,等.可视化仿真的私有云框架研究[J].系统仿真学报,2011,23(8):1652-1656.
[2]曾赛峰,朱立谷,李强,等.企业级私有云中的虚拟化实现[J].计算机工程与应用,2010,46(36):70-73.
[3]陈康,郑纬民.云计算:系统实例与研究现状[J].软件学报,2009,20(5):1337-1348.
虚拟私有数据库 篇6
1、个人存储空间不足。供电企业个人PC设备, 使用年限一般为5-7年, 部分机型较老较旧, 配置较低。主要的存储设备为硬盘, 空间在多年的存储使用下已出现严重不足, 普遍无法适应新增数据存储的需求。
2、数据交互共享难。当前, 个人用户之间, 部门之间, 需要及时共享的数据容量越来越大, 通过传统的使用U盘、移动硬盘、FTP来中转拷贝数据的方式, 已越来越不适应当前的需要, 存在着病毒感染、丢失等安全隐患。
针对以上两种情况, 本文通过架设私有云存储服务器的方式来解决数据存储和共享方面的问题, 为供电企业数据存储提供新的思路和解决方案。
一、项目实现功能
从应用场景上, 我们的方案包括如下主要内容:1、文件存储 (为每个用户提供10G以上的存储空间) ;2、数据同步 (通过云存储提供的数据同步功能, 实现员工数据的多终端同步) ;3、桌面数据备份 (通过云存储提供的数据备份功能, 实现电脑中的数据的自动备份, 支持文件级差异化备份机制) ;4、文档内容发布 (通过云存储提供的数据自动分发功能, 可将企业内部公告、通讯录等文档或电子表格快速地分发给指定的员工或部门, 或通过外链地址 (U RL) 嵌入到邮件等) ;5、文档快速汇总 (通过云存储提供的数据自动汇总功能, 可以实现快速将员工本地文件自动汇总到云存储的指定位置中) ;6、群组或部门工作区 (可按需要建立群组或部门工作区, 用于团队协作, 协同办公, 并支持文件多版本及文件锁机制, 提升多人协同办公的效率) 。
二、项目实施方案
2.1系统架构设计图
如图1。
2.2主要功能模块
1、负载均衡模块 (LVS) :
负载均衡模块建立在所有应用结构之上, 它提供了一种有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。
2、应用服务模块 (APP Server) :
提供了一套完整的企业数据应用、管理、监控的应用系统。私有云存储作为企业数据应用系统, 为企业员工提供个人数据存储、分享服务, 保护数据安全;也可以按照企业组织架构组建企业级、部门级、项目级的协同工作服务, 提高数据处理效率。此外, 灵活的空间管理、集中的账户配置、实时的日志审计方便系统管理者实现全方位的管理和监控。其中包括功能模块如下。
应用服务 (Web Service) :为整套系统前端应用和web端访问提供支持。
传输服务 (TP Service) :为用户提供数据传输的支持。
3、文件存储模块 (Storage Server) :
是一套分布式文件存储系统, 为应用服务模块提供底层数据存储及管理服务。可以作为标准的存储系统为企业应用系统提供标准的数据存储。
4、数据库模块 (DB Server)
其中包括功能模块如下。
主数据库:为应用服务模块提供结构化数据服务。
从数据库:为主数据库提供备份服务。
2.3部署方式
在内网服务器上安装私有云存储软件, 并配置存储服务器与之互联。保持私有云存储系统的网络连通, 在IE中输入默认的管理地址进行管理访问。
对私有云存储的部门及员工进行初始化, 并为其分配私有存储空间, 以及划分上传、只读和下载等权限归属等。对服务端配置完毕后, 在每一台个人PC设备上需要安装客户端软件, 通过建立的用户名和密码登陆后, 即可在客户端上进行文件存储操作, 并可以通过外链的形式共享给他人。
三、结论