中国联通IaaS计算设备技术规范
(2)虚拟机:编号、名称、操作系统、IP地址等; (3)存储及网络设备:编号、名称、类型等。
支持通过图标或树形分支图等形式可视化直观展示软硬件资源的拓扑关系视图。 当系统组网架构发生变化后,支持拓扑关系的动态发现和更新。
7.3.7 状态监控管理
支持对物理服务器和各个虚拟机的运行状态进行实时的监控,记录详细的数据,进行图形化展示。 运行状态监控涉及的性能指标包括: (1)CPU利用率 (2)内存利用率 (3)磁盘I/O读写速率 (4)网络I/O通信速率
(5)存储使用量:虚拟机占用物理磁盘空间,虚拟机实际使用大小
虚拟化管理模块支持对监控的各种资源的利用率等指标进行统计分析,并生成多分析维度的报表和报告。
7.3.8 历史记录管理
虚拟化的管理模块提供用户对虚拟化系统的各类操作、系统中自动产生的事件和告警信息等的详细log记录,并支持对历史记录的方便的查询。包括虚拟机动作,物理机状态与动作,存储及网络动作等。
为确保对系统操作的有据可查,历史记录可配置保存时间,在此期间不允许删除或修改。
7.4 安全性要求
虚拟机访问控制
虚拟机访问控制是指Hypervisor软件应当对虚拟机的系统和数据安全有完整的端到端的解决方案。既包括物理安全和软件层面的安全,又包括数据层面和网络层面的安全。具体含义有:
(1)虚拟网卡设定VLAN。
(2)虚拟机间禁止进行内存间的直接数据交换。
(3)在未经授权的情况下,虚拟机内禁止查看、读取宿主服务器上其它虚拟机的虚拟化数据。如虚拟磁盘文件、虚拟机配置文件等。
27
中国联通IaaS计算设备技术规范
(4)同一物理服务器上的虚拟机隔离。同一物理机服务器上资源隔离,包括CPU、内存、内部网络隔离、磁盘I/O必须进行有效的隔离,不会因为某一个虚拟机被攻击而导致其他同一物理服务器上的虚拟机被影响。(是否是资源绑定)
(5)数据中心内部虚拟机访问隔离。要能提供虚拟防火墙,如安全组功能,确保不同租户的虚拟机之间的网络隔离(包括同一个物理主机内的不同虚拟机)。针对每个安全组可以定义ACL规则,如对外开放某个具体的服务或端口,允许外部某个IP地址访问虚拟机的某个端口,也可安全组之间相互授权访问。
(6)恶意VM预防。要能防止同一个物理主机内VM能嗅探到其它VM的数据包。要有能力防止恶意虚拟机的IP欺骗和ARP地址欺骗,限制虚拟机只能发送本机地址的报文。(如何测试)
(7)网络组网支持管理、业务、存储网络三网进行分离;控制不同网络用户使用虚拟机权限. (8)平台能记录用户对虚拟机操作日志,便于审计。
7.4.1 防病毒能力
支持虚拟机通过代理客户端软件,实现集中杀毒,而无须每个虚拟机都安装杀毒软件。 虚拟化软件应当提供区别与传统物理机查杀病毒的防病毒方式。具体应当满足以下需求: (1)Hypervisor软件应当提供应用编程接口(API)使得可以与市场主流的第三方的防病毒软件协同工作。
(2)应当避免使用传统的在每一台虚拟机中安装杀毒代理的方式来查杀病毒,并且应当避免由此产生的病毒查杀风暴。
(3)应当有完整的病毒查杀日志以满足法律合规性要求。
7.4.2 敏感数据保护(可选)
对虚拟机上的敏感数据,虚拟化软件应当提供满足法律合规性要求的保护机制。具体要求如下: (1)用户可以通过统一的管理界面定义敏感数据的类型和范围。管理界面还应当提供基于行业和法规的数据模板
(2)虚拟化软件可以在不影响虚拟机性能的情况下,对虚拟机数据流量进行扫描,并鉴定其中的敏感数据。并对违规事件按照预先定义的规则进行响应。
(3)应当有完整的日志记录以满足法律合规性要求。
28
中国联通IaaS计算设备技术规范
8 接口功能描述
计算设备向资源管理平台提供虚拟机管理、虚拟机运行控制、快照管理、模板管理、资源监控、物理机管理和网络管理,便于将相关计算设备整合到云计算管理平台。
接口 分类 接口名称 接口具体要求 基于模板创建虚拟机实例,并指定虚拟机规格(CPU、内存、硬盘空间)、名称、描述、IP地址、VLANid、初始密码等 属性 创建虚拟机 删除虚拟机 虚拟机管理 获取虚拟机信息 必选 删除指定的虚拟机并释放CPU、内存和磁盘镜像等资源 必选 获取所有或指定的虚拟机编号、名称、IP地址、模板、所在物理机、描述等信息,以及CPU、内存、硬盘空间、必选 网络带宽等资源配置 更改指定虚拟机CPU数量、内存数量等资源配置(在虚拟机关闭状态下进行) 获取指定虚拟机的运行状态,例如运行中、暂停中或关闭中 通过Hypervisor控制虚拟机启动运行 必选 必选 必选 必选 必选 必选 必选 必选 必选 必选 必选 必选 必选 必选 必选 必选 更改虚拟机规格 获取虚拟机运行状态 启动虚拟机 关闭(Shut Down)通过操作系统命令关闭虚拟机 虚拟机 虚拟机运行控制 虚拟机下电(Power 通过Hypervisor对虚拟机进行强行关闭(类似于物理机off) 拔掉电源) 重启虚拟机 暂停(挂起)虚拟机 恢复虚拟机 创建快照 快照管理 删除快照 快照恢复 查询虚拟机快照信息 从虚拟机创建模板 删除虚拟机模板文件 模板管理 注册虚拟机模板 注销虚拟机模板 获取虚拟机模板信息 模板批量创建虚拟机 资源监控 监控虚拟机资源利用率 通过操作系统命令控制虚拟机重新启动 暂时停止(挂起)虚拟机运行 从挂起状态恢复虚拟机运行 创建指定虚拟机的磁盘快照 删除指定的虚拟机磁盘快照 基于指定的虚拟机磁盘快照恢复虚拟机 获取快照列表及快照相关信息 基于已有的虚拟机实例(关机状态下)创建模板 删除指定的虚拟机模板文件 将指定模板纳入到虚拟化管理 从虚拟化管理中移除指定模板 获取模板列表,以及模板名称、描述、操作系统等信息 必选 基于指定模板,批量同时创建多个虚拟机 获取指定虚拟机的资源利用信息,包括CPU、内存利用率和I/O性能,以及虚拟机本地硬盘利用率等 必选 必选 29
中国联通IaaS计算设备技术规范
接口 分类 接口名称 监控物理机资源利用率 注册物理机 注销物理机 启动物理机 关闭物理机 接口具体要求 获取指定物理机的资源利用信息,包括CPU、内存利用率和I/O性能,以及本地硬盘利用率等 将指定的安装有Hypervisor的物理机加入VMS统一管理 从VMS管理中移除指定的物理机 控制指定物理机启动运行 关闭指定物理机(及其上运行的所有虚拟机) 获取指定物理机编号、名称、Hypervisor类型、IP地址等基本信息,以及CPU、内存、磁盘、网络等硬件配置信息 获取指定物理机上运行的虚拟机数量、编号、名称、运行状态等信息 获取物理机运行中或关闭等当前状态信息 配置指定虚拟机的IP地址参数 配置指定虚拟机的防火墙参数,包括IP和端口等 属性 必选 必选 必选 必选 必选 必选 物理机管理 获取物理机信息 获取物理机上的虚拟机信息 获取物理机状态 必选 必选 必选 必选 网络管理 IP地址配置 配置防火墙规则 计算设备接口描述参见“xxx接口技术规范”。
30