IT基础设施与运维论坛IT基础设施及运维经验分享万芳

IT基础设施与运维论坛：IT基础设施及运维经验分享-CSDN.NET

摘要：2013 SDCC大会于8月30日在北京新云南皇冠假日酒店盛大开幕。经历一整天的会议之后，大家仍旧热情不减，在8月31日的IT基础设施与运维分论坛上，来自微软、美团、又拍云以及QingCloud亦不负众望，分享了不少干货。

【CSDN报道】 2013中国软件开发者大会（以下简称SDCC）于8月30-31日在北京新云南皇冠假日酒店举办。作为CSDN和《程序员》杂志倾力打造、千人规模以上的顶级技术盛会，今年2013SDCC以“软件定义未来”为主题，来自于国内外一线的技术精英，就大数据分析与BI、架构实践、研发管理、IT基础设施与运维、产品与设计、开放平台等专题和参会者进行了深入的分享和探讨。此外，32小时编程马拉松、CTO论道论坛等量身定制的特色环节也受到了参会者的强烈关注。在IT基础设施与运维分论坛上微软开发者与平台事业部Windows Azure资深架构师方兴讲述了开源软件在微软Windows Azure上的应用，美团网云平台架构师邱剑亦分享了基于Open vSwitch/OpenFlow的云平台网络安全实践，又拍云运维总监邵海杨谈了“嵌入式系统在又拍云运维中的应用”，还有 QingCloud创始人黄允松现场带来的“云之基石，自由计算：SDN与公私兼顾”主题分享，四人分别从不同的角度阐述了IT基础设施的搭建以及运维中的关键因素。邱剑：基于Open vSwitch/OpenFlow的云平台网络安全实践据邱剑介绍，美团从2012年初开始规划做自己的云平台，基于ApenStock架构自主开发，9月份第一版上线，随着不断地升级，目前其大部分服务都在美团自己的平台上。美团在做云主机过程中遇到了几个问题：一是云主机过程中的安全问题；其次是OpenFlow、Open vSwitch的问题。以下将从这三个方面分别细说。1.安全问题在云主机网络中，大概分两部分，一是外网，二是内网。在数据中心，很多时候需要内网，提供服务则需要外网。在网络安全方面需要先分级，一个是网络的基础安全，保证主机启动以后能够获得地址，顺利获取数据库通讯。为保证安全要防止几点：防止用户随意改IP地址或者攻击，造成别人不能访问；防止DHCP欺骗、防止ARP欺骗。在基本网络安全的基础上，要保证更高层次的安全，一个是外网防火墙，防止外部访问一些敏感的端口。另外是内网网络的隔离，现在云平台内网的隔离技术采用几种不同的方式，一种是共享内网，例如亚马逊AWS；还有一种内网架构，在内网做出一些虚拟网络帮助用户，这样的用户在虚拟网络里，与别的虚拟网络完全分离开。其它还包括防止虚拟机被攻击、防止木马，但需要更高层次的技术。2.OpenFlow很多人把OpenFlow当做SDN的一个实现方式，上层是控制层面，下层是转化层面，但实际上这两个是封闭的，无法实现一些效果和转化规则。OpenFlow则把这个节点打开了，也把控制层和交换层分离开了，OpenFlow控制交换节点，只要交换节点符合OpenFlow协议，就能自己实现控制节点，把相应的规则放到OpenFlow交换节点上，就实现了控制层面以及数据层面的分离。OpenFlow如何工作？OpenFlow做了两件事情：一是为了控制层面和数据层面分离，把数据层面标准化、抽象化。以前的数据层面逻辑非常简单，在OpenFlow里面就把数据层面做抽象，扩大化的同时又保证标准；OpenFlow标准化的数据层面，定义了一个交流协议，允许数据层面把相应的变化汇报给控制层面。OpenFlow的工作场景是什么？OpenFlow的控制器会下发初始化流表到交换机，让交换机有相应的规则，进行报文转发。把这些报文通过OpenFlow操作上传到OpenFlow处理器。一些报文进入交换机以后，根据一些规则就出去了。有些可能要上送到控制器，控制器就会根据收到的报文再下发一些新的流表，比较动态申请的流表，这样可以做更精细的控制。3. Open vSwitchOpen vSwitch是目前一款支持OpenFlow协议的软件交换机，Nicira公司从07年开始开发这个交换机，性能高、稳定可靠。我们可以应用它的特性防止伪造源IP地址。虚拟机启动后，安装静态Flow，只允许从指定端口发出IP和MAC匹配的IP报文，丢弃其它IP报文，便防止了虚拟机伪造源IP。其中的内网隔离主要是广播隔离。下发静态Flow，将虚拟机发出的广播报文送到控制器，由控制器发给相应的虚拟机。但需要在控制器去实现相应的逻辑，这样就可以相对容易的实现内网的隔离。实现方案是采用分布式OpenFlow控制器。一个控制器服务一台宿主机，消除性能瓶颈和单点。大概架构就是宿主机、虚拟机和外界网络，通过Open vSwitch对接，在虚拟机内部实现对OpenFlow的控制器，控制器再通过云平台的应用进行通讯。方兴：开源软件在微软Windows Azure上的应用微软开发者与平台事业部Windows Azure资深架构师方兴表示，软件产业在近几年发生了巨大的变化，特别是随着云计算和移动互联网的兴起，传统软件世界是客户端加服务器的模式，买软件装到服务器上，从此软件公司跟客户便无联系，软件企业卖给客户也就完成了。而在云计算世界里，情况完全不一样，客户买了一个网络，厂商要提供持续的服务，同时客户需要也愿意持续花钱。无论客户还是软件提供者，都非常喜欢这种模式。1. 微软Windows Azure上运用的开源软件微软这些年在发生极大变化，Windows Azure在这个变化过程中起关键作用。与以往最大的区别是，在这里面你不只能使用Windows，或者微软的产品，还可以使用开源产品，甚至是微软上运行的第三方开源产品以及还有私有云产品。以Windows Azure为基础，微软构建了新的未来的基于云和端的蓝图。从去年以来Windows Azure发展很快，微软清除意识到应仅做自己的，还要做开源的。Windows Azure上广泛应用的大量开源软件，不仅运行在Azure上，还与Linux和Azure做了深度集成。据方兴透露，Windows Azure在中国的运营已经落地，微软正在做半公开的测试。其国内的数据中心与全球其它数据中心完全隔离，在网络上没有和其它数据中心进行数字交换。2.微软对开源的支持Windows Azure对开源的支持除了提供虚拟机，还提供了丰富的SDK和工具。包括：1.支持多种语言：例如Python、PHP、Ruby、Java；2. 接口形式多样：包括

HTML5门户、REST接口、命令行接口、语言Native接口；3. 开放多种接口：包括管理、云存储、SQL查询等。Windows Azure还可以一键发布服务并提供了相应的工具和插件，同时提供了本机的模拟环境。用的人肯定关注怎么做监控，怎么管理应用，实际上在网站后台有一个负载均衡器，后面绑定多个虚拟机进行流量分摊，后台则监测虚拟机的状态，当性能指标被打破以后，它会控制以使性能得到保证。3. 微软云与其它公有云的差异国内今年的云计算，或者公有云发展很快，有百度云、腾讯云、微软云。Windows Azure做云到底独特的优势是什么？方兴表示微软承诺服务不中断；第二，数据不丢失，所有的数据都在云存储里面，它是分布式架构，每份数据存三份，同时做异地复制，比如北京的数据会同时异地复制到上海，数据基本上不可能丢；第三，高性价比；第四，现在Azure是业界惟一的在国内外同时提供服务的云服务提供商，在国内北京、上海有点，全球有8个点；第五，平滑过度与集成。很多客户接触云计算的时候，私有云和公有云很难做到兼顾，微软能做到两者兼顾。在Azure上部署的虚拟机，可以自动移动到本地。邵海杨：嵌入式系统在又拍云运维中的应用——裁剪Linux为什么要裁剪Linux？首先，要了解通用和专用的区别。我们在公司里有特定的业务模式，需要的操作系统其实是专用的（这里要理解为什么世界上会有公司这个概念，卖的就是特定的业务和服务），我们可以把它做得很美、很小、很快速，很安全（这就是我们做小系统的意图）。路由和防火墙都是内嵌的功能，不需要涉及到用户太多的功能，所以可以全部整合到内核中，包括一些硬件防火墙。一个Linux防火墙，如果配制好的话，不低于一台两万左右的防火墙。第二，裁剪后可以很好地将速度、效率、安全进行组合，我们把Linux变得很小的时候，速度快，效率也很高。第三，安全，我们在裁减的过程当中，操作在内网进行，工作在外面的小系统实际上没有编译环境和工具，根本就无法编译入侵可执行文件，它是非常安全的。第四，通过裁剪细节了解linux的组成，可以烧录到任何小型的DOM/U盘，应用于工控领域及其它嵌入式设备如手机。最后有了小系统，你可以在不同介质中升级切换，实现运行中的快速更换引擎。如何裁剪？1. 前期工作首先需要一个实验用的USB口的DOM盘（或者sata接口的DOM），直接插在主板里面的，在淘宝上不到100块钱。我们裁减的Linux差不多只有100兆左右，所以你随便找1GB的，4GB的，基本上都可以满足你的要求。其次明确Linux的构成。第一是Kernel，可以把它理解成汽车上联系各个组件的CAN BUS总线系统，比如新硬件放上以后，Kernel就能够识别它驱动它，让操作系统能够与底层的硬件打交道，没有这个根本就无法驱动服务器。第二是LSB-如FHS，POSIX/SYSV标准，你要遵循这个标准，才能把这个Linux看成Linux，而不是说你变成另外一个系统（可以通过google LSB标准理解，linux世界为什么需要它，不然整个linux就是乌合之众）。还有一个叫Boot Loader，利用它把引导记录写入MBR，才能实现kernel引导后，切换到真正的操作系统里，才能工作起来。它非常重要，如果没有Boot Loader，我们就无法实现在运行中切换引擎。Kernel是和硬件紧密结合打交道的东西，我们只要理解哪些是硬件，无外乎就是CPU、内存、硬盘三大件，还有其它的如显卡，网卡，usb, scsi等各种各样的硬件都需要kernel的驱动，还有系统级别的调用，包括如文件系统，进程管理，内存管理,也包括一些内核级应用程序的引进，如lvs,iptables等内核级应用。我们现在使用的3.8.13。如何编装内核，我们在编内核的时候要注意一个地方，内核不是越小越小，我在Linux里面有两件事要小心做（这两个事情很容易让你束手无策），一个是编译Linux，一个是防火墙，所以建议在编译Kernel的时候，尽量做减法，不要为了精简而拆得很小（前提是保证可用性），慢慢做减法。首先拿一份让你机器运行起来的文件，接着要能够明确哪些东西可以去掉，然后你再编，比如说我们的机器都是英特尔的芯片、主板、网卡，在编译内核的时候就很明显，我可以把非英特尔的芯片、网卡、或者其他的东西都去掉，它的Kernel会变得很小。（文件系统模块是文件尺寸最大的，如果特定系统不需要其它特殊的文件系统，一般保留ext4/xfs差不式够用了，这是又拍云存储的配置，仅供参考）FHS其实就是一个目录树结构，在Linux发展之初做层级设备的时候，那时候硬盘都比较小，所以说可能会挂载多个硬盘，早期的大牛们把这个分类出来，是为了方便在各个硬盘中存放。但是现在当然硬盘都很大，也不需要有这样的东西。但是我们发现这里有一个好处，很容易做应用程序的备份、打包。因为所有的层级都在这一组。接下来是POSIX和SYSV，这是重点。里面会见到有一些库文件，还有头文件，这是C语言里特有的。当一个应用程序要跑起来，二进制文件是必不可少的。但是这个二进制文件有些是动态链结，有的是静态编译。头文件只存在于被别人依赖的时候，可以不需要。所以我们可以把Linux裁得很小，就是因为可以不要这些东西。还有配置软件，比如像login,passwd,sshd这些程序，是需要有配置文件来控制它，定制它。比如说WC，less，echo此类命令，它就是一个单词一个执行就可以了。有这些部分，再加上配制文件，变成一个程序。2. 裁减Linux的实战思路第一步，我们要先创建目录，我这里用了USB设备，比如我把这个设备分区，我给这个分区打一个标志，打了标志以后，我们就不再纠结于这个U盘插上以后，会变成Sdb还是Sdc。我们会拷贝相关有用的命令（又拍云存储基本用到了120个左右的命令，原系统约为600个），通过LDD去寻找链接线索，然后再通过LS把它们的关联找到并且拷出来。当然也能通过bash脚本自动分析，就按照查找路径，分析链接，然后把它按照这个路径拷贝过去。最后我们要做的就是拷贝内核，前期大家要做实验的时候，只要把原先的Kernel拷过去就可以了，后续的慢慢再做Kernel裁减。你会发现越做越有趣。黄允松：SDN在QingCloud中的运用据QingCloud创始人黄允松介绍，SDN的发展，最主要的驱动者就是云计算、大数据、移动。之所以需要SDN，是因为传统网络部署很困难，配置复杂，成本昂贵且难于水平扩张。在SDN里能做什么？比如QingCloud的高级架构中，Controller用于分散运行于任意物理或虚拟设备；Gateway用于流控的公共池；Agent用于虚拟交换机。在SDN会指定一个二层网络的编号，直接分成一个类似ID的东西进行惟一的标识号，所有的流量都会带有这个特征，所以彼此之间是被隔开的。能在用户没有感知的情况下，自动改变数据流动的方向和路径。未来SDN的市场非常大，来自SDNCentral的数据显示，如果按美元计算，2013年为15亿；2014年34亿；2015年78亿；2016年148亿；2017年244亿，而到2018年，则达到356亿，这是个惊人的数字。总结正如讲师们所言，这个时代的IT部门的角色在被弱化，工作从传统IT基础设施的运维转到新型的运维，推动这个变化最大的因素就是云计算的出现，它的出现大大减少了企业的运维成本，也减轻了运维人员的工作量，节省了更多工作时间，但面对如此多的云服务，大家也需要根据企业的需要，选择适合自己的云平台。更多精彩内容，请关注@CSDN研发频道，“2013中国软件开发者大会图文直播”专题。

本文为CSDN原创文章，未经允许不得转载，如需转载请联系market#csdn.net(#换成@)

旗袍美女照片

情感故事

旗袍美女图片