VMware 助力华东理工大学，构建安全可靠的校级托管云平台

华东理工大学于1952 年由交通大学(上海)、震旦大学(上海)、大同大学(上海)、东吴大学(苏州)、江南大学(无锡)等校化工系合并组建而成，是新中国第一所以化工特色闻名的高等学府，是国家首批 “211工程”、“985平台” 重点建设高校。在 2016 年发布的三大世界大学排名中，华东理工大学均进入世界前 500 强，2017年入选国家 “ 双一流 ” 世界一流学科建设高校。

主要挑战：

院系服务器托管模式

导致数据中心安全隐患增大

随着教育信息化的不断发展，华东理工大学的下属院系和部门为了推进管理、教学和科研的现代化，建立了一些院系/部门的应用系统，包括部门网站、支持个性化教学和科研的应用平台等等。而承载这些应用的 IT 基础设施，包括服务器、存储等，小部分院系采取自建机房的方式，大部分院系采取学校信息办数据中心托管的方式。对于托管的硬件设备，学校信息办只负责电力保障、网络接入等服务，系统运维工作主要还是由院系自己负责。

这样的方式责任划分清晰，在建设初期得到了很快的推行。但是，随着应用的不断增加，很多隐患逐渐显现，比如可用性较低，资源浪费等，更重要的是这种模式存在多方面的安全隐患:

首先，各院系的网站或应用系统大多由外包人员或者学生开发和部署，很多安全规范不能得到有效落实，包括操作系统和应用软件的补丁缺失、操作系统弱密码、防病毒软件不安装或者病毒库长期不更新等等。这些都产生了大量的安全漏洞。

其次，各应用系统之间缺乏有效隔离。院系自建的机房很多都没有购置防火墙设备;而信息办的数据中心，虽然边缘设置了防火墙，但内部并没有更多的隔离措施。当某个应用被黑客攻破，就极可能导致对方以这台服务器为跳板攻击其他应用系统;某一台服务器的病毒感染也很容易导致普遍的感染，危害整个数据中心。

此外，托管模式中缺乏应用生命周期管理。这导致了“僵尸”服务器的存在，这些服务器虽然长期运行，但其实已经没有人在使用。这样的“僵尸”服务器，犹如一个定时炸弹，导致了不可知的安全隐患。

基于传统的托管方式的修修补补，无法从根源上彻底解决问题，为了确保学校信息安全，华东理工大学打算利用新技术来解决这一问题。

主要挑战

学校院系和部门的信息化建设长期采用信息办硬件设备托管的模式，但是，由于院系和部门的运维能力不足，导致了诸多安全隐患。

解决方案

私有云+SDN解决方案

解决方案：

VMware 云平台

帮助校方提升安全水平

华东理工大学信息化办公室经过多次考察和调研，了解到唯有通过 “运维标准化” 和 “细粒度隔离”，才能从根源上解决问题。这些要落到实处，必须依靠云计算技术。于是，构建学校托管云成为了刻不容缓的任务。

为此，校方开始对市面上的各种私有云解决方案进行反复比对，最终选择了 VMware 的 vCloud 私有云 + NSX 软件定义的网络解决方案。

对此，信息化办公室副主任房一泉老师说:“ 我们之前已经采用了 vSphere 服务器虚拟化技术，对 VMware 的产品和服务比较认可。vCloud 和 NSX 与虚拟化平台无缝集成，在同行业中已有很多成功案例，相比其他厂商的产品更为成熟可靠，而且与我们的需求很契合。这也是我们选择与 VMware 再次合作的重要原因。”

那么 VMware 的解决方案到底是怎样帮助华东理工大学走出困境的呢?简单来说，主要是通过以下三个步骤:

一、采用 vSphere 虚拟机的托管方式替代原有的物理机托管，通过虚拟机实现了操作系统和应用平台的标准化;使用 vRealize 云管理平台实现虚拟机部署流程的标准化和自动化。

二、使用 NSX 实现虚拟化环境的分布式防火墙，加强应用之间的细粒度隔离。默认的情况下，同一个应用内部的多个 VM 之间可以互访，不同应用的VM 之间实现网络隔离;如果存在业务需求，通过白名单机制实现应用间访问控制，以及 VM 对学校公共 IT 资源的访问控制。

三、使用 vRealize 实现虚拟机生命周期的管理，有效的跟踪每台虚拟机的使用状态，并且提供用户的自助申请和变更服务。

基于这一解决方案，华东理工大学建立起了安全稳定的托管云平台，实现院系/部门托管 IT 基础设施的统一运维管理，并于 2016 年正式投入使用。

VMware产品和服务

vSphere

vRealize Automation

vRealize OperationsNSX

硬件设备

IBM Flex System x240 M5

Intel Xeon CPU

E5-2630 v3

上线时间

2016年9月

客户收益

1、建立并落实运维标准化，安全性得以明显提升

借助经过安全加固的标准 VM 模板，和 vRealize 的自动化部署流程，托管云平台可以落实学校 IT 基础设施的运维安全要求。vRealize 的资源全生命周期管理，也彻底杜绝了 “僵尸” 服务器。通过运维的标准化和集中化，安全性得到大大提升。

2、利用网络微分段技术，让风险范围更加可控

利用 VMware NSX 网络微分段技术，华东理工大学可以很方便的加强数据中心内部的安全，有效的实现应用之间的隔离。这样，即使某个应用发生安全问题，也不会影响到其他应用。

3、统一云平台服务，托管应用可靠性大大增强

vCloud 云管理平台能对所有虚拟机的运行进行全程跟踪，清楚把控每台虚拟机的资源使用、性能及安全状态等，便于运维人员及时管理和调配资源，大大增强了各院系网站的可用性，也提升了整体资源池的使用效率。

4、实现了自动化和自服务，让使用者更加方便管理者更加轻松

托管云集中了信息化基础设施的同时，信息办的责任也更大了。项目立项初期，学校负责运维的老师担心工作量增加，并且导致用户的需求响应变慢。但是，随着项目的推进，通过使用者自助申请和变更、系统自动化部署和自动化运维等手段，信息办的老师发现，相对于之前的物理机托管，实际的工作量并没有增加，甚至更加便捷。

对于院系的使用者来说，申请流程更加简单，交付速度大大提高，院系用户的满意度明显提高。

展望未来

华东理工大学托管云平台上线之后，无论是 IT 管理人员还是院系和部门的使用者，对其都给予了正面的反馈，正是如此，学校正计划扩大其使用范围，为更多的用户和更多的场景提供 IT 基础设施服务。

客户评价

VMware 的 vCloud 云管理平台和NSX 网络微分段解决方案非常贴切高校的 IT 基础设施托管需求，并且产品成熟稳定，帮助我们大大提升了安全性和可靠性。

--- 华东理工大学信息化办公室