隨著教育信息化的不斷發(fā)展，華東理工大學的下屬院系和部門為了推進管理、教學和科研的現(xiàn)代化，建立了一些院系/部門的應(yīng)用系統(tǒng)，包括部門網(wǎng)站、支持個性化教學和科研的應(yīng)用平臺等等。而承載這些應(yīng)用的 IT 基礎(chǔ)設(shè)施，包括服務(wù)器、存儲等，小部分院系采取自建機房的方式，大部分院系采取學校信息辦數(shù)據(jù)中心托管的方式。對于托管的硬件設(shè)備，學校信息辦只負責電力保障、網(wǎng)絡(luò)接入等服務(wù)，系統(tǒng)運維工作主要還是由院系自己負責。

　　這樣的方式責任劃分清晰，在建設(shè)初期得到了很快的推行。但是，隨著應(yīng)用的不斷增加，很多隱患逐漸顯現(xiàn)，比如可用性較低，資源浪費等，更重要的是這種模式存在多方面的安全隱患：

　　首先，各院系的網(wǎng)站或應(yīng)用系統(tǒng)大多由外包人員或者學生開發(fā)和部署，很多安全規(guī)范不能得到有效落實，包括操作系統(tǒng)和應(yīng)用軟件的補丁缺失、操作系統(tǒng)弱密碼、防病毒軟件不安裝或者病毒庫長期不更新等等。這些都產(chǎn)生了大量的安全漏洞。

　　其次，各應(yīng)用系統(tǒng)之間缺乏有效隔離。院系自建的機房很多都沒有購置防火墻設(shè)備；而信息辦的數(shù)據(jù)中心，雖然邊緣設(shè)置了防火墻，但內(nèi)部并沒有更多的隔離措施。當某個應(yīng)用被黑客攻破，就極可能導(dǎo)致對方以這臺服務(wù)器為跳板攻擊其他應(yīng)用系統(tǒng)；某一臺服務(wù)器的病毒感染也很容易導(dǎo)致普遍的感染，危害整個數(shù)據(jù)中心。

　　此外，托管模式中缺乏應(yīng)用生命周期管理。這導(dǎo)致了“僵尸”服務(wù)器的存在，這些服務(wù)器雖然長期運行，但其實已經(jīng)沒有人在使用。這樣的“僵尸”服務(wù)器，猶如一個定時炸彈，導(dǎo)致了不可知的安全隱患。

　　基于傳統(tǒng)的托管方式的修修補補，無法從根源上徹底解決問題，為了確保學校信息安全，華東理工大學打算利用新技術(shù)來解決這一問題。

　　學校院系和部門的信息化建設(shè)長期采用信息辦硬件設(shè)備托管的模式，但是，由于院系和部門的運維能力不足，導(dǎo)致了諸多安全隱患。

　　華東理工大學信息化辦公室經(jīng)過多次考察和調(diào)研，了解到唯有通過 “運維標準化” 和 “細粒度隔離”，才能從根源上解決問題。這些要落到實處，必須依靠云計算技術(shù)。于是，構(gòu)建學校托管云成為了刻不容緩的任務(wù)。

　　為此，校方開始對市面上的各種私有云解決方案進行反復(fù)比對，最終選擇了 VMware 的 vCloud 私有云 + NSX 軟件定義的網(wǎng)絡(luò)解決方案。

　　對此，信息化辦公室副主任房一泉老師說：“ 我們之前已經(jīng)采用了 vSphere 服務(wù)器虛擬化技術(shù)，對 VMware 的產(chǎn)品和服務(wù)比較認可。vCloud 和 NSX 與虛擬化平臺無縫集成，在同行業(yè)中已有很多成功案例，相比其他廠商的產(chǎn)品更為成熟可靠，而且與我們的需求很契合。這也是我們選擇與 VMware 再次合作的重要原因。”

　　那么 VMware 的解決方案到底是怎樣幫助華東理工大學走出困境的呢？簡單來說，主要是通過以下三個步驟：

　　一、采用 vSphere 虛擬機的托管方式替代原有的物理機托管，通過虛擬機實現(xiàn)了操作系統(tǒng)和應(yīng)用平臺的標準化；使用 vRealize 云管理平臺實現(xiàn)虛擬機部署流程的標準化和自動化。

　　二、使用 NSX 實現(xiàn)虛擬化環(huán)境的分布式防火墻，加強應(yīng)用之間的細粒度隔離。默認的情況下，同一個應(yīng)用內(nèi)部的多個 VM 之間可以互訪，不同應(yīng)用的VM 之間實現(xiàn)網(wǎng)絡(luò)隔離；如果存在業(yè)務(wù)需求，通過白名單機制實現(xiàn)應(yīng)用間訪問控制，以及 VM 對學校公共 IT 資源的訪問控制。

　　三、使用 vRealize 實現(xiàn)虛擬機生命周期的管理，有效的跟蹤每臺虛擬機的使用狀態(tài)，并且提供用戶的自助申請和變更服務(wù)。

　　基于這一解決方案，華東理工大學建立起了安全穩(wěn)定的托管云平臺，實現(xiàn)院系/部門托管 IT 基礎(chǔ)設(shè)施的統(tǒng)一運維管理，并于 2016 年正式投入使用。

　　2016年9月

　　借助經(jīng)過安全加固的標準 VM 模板，和 vRealize 的自動化部署流程，托管云平臺可以落實學校 IT 基礎(chǔ)設(shè)施的運維安全要求。vRealize 的資源全生命周期管理，也徹底杜絕了 “僵尸” 服務(wù)器。通過運維的標準化和集中化，安全性得到大大提升。

　　利用 VMware NSX 網(wǎng)絡(luò)微分段技術(shù)，華東理工大學可以很方便的加強數(shù)據(jù)中心內(nèi)部的安全，有效的實現(xiàn)應(yīng)用之間的隔離。這樣，即使某個應(yīng)用發(fā)生安全問題，也不會影響到其他應(yīng)用。

　　vCloud 云管理平臺能對所有虛擬機的運行進行全程跟蹤，清楚把控每臺虛擬機的資源使用、性能及安全狀態(tài)等，便于運維人員及時管理和調(diào)配資源，大大增強了各院系網(wǎng)站的可用性，也提升了整體資源池的使用效率。

　　托管云集中了信息化基礎(chǔ)設(shè)施的同時，信息辦的責任也更大了。項目立項初期，學校負責運維的老師擔心工作量增加，并且導(dǎo)致用戶的需求響應(yīng)變慢。但是，隨著項目的推進，通過使用者自助申請和變更、系統(tǒng)自動化部署和自動化運維等手段，信息辦的老師發(fā)現(xiàn)，相對于之前的物理機托管，實際的工作量并沒有增加，甚至更加便捷。

　　對于院系的使用者來說，申請流程更加簡單，交付速度大大提高，院系用戶的滿意度明顯提高。

　　華東理工大學托管云平臺上線之后，無論是 IT 管理人員還是院系和部門的使用者，對其都給予了正面的反饋，正是如此，學校正計劃擴大其使用范圍，為更多的用戶和更多的場景提供 IT 基礎(chǔ)設(shè)施服務(wù)。

　　VMware 的 vCloud 云管理平臺和NSX 網(wǎng)絡(luò)微分段解決方案非常貼切高校的 IT 基礎(chǔ)設(shè)施托管需求，并且產(chǎn)品成熟穩(wěn)定，幫助我們大大提升了安全性和可靠性。