一种基于云的系统管理训练平台架构

摘要

本发明提出一种基于云的系统管理训练平台架构，包括应用层、中间件层、调度层和资源层，应用层用于为用户提供交互界面，以实现实验平台与用户之间的信息交互；中间件层包括处理引擎，处理引擎用于对应用层提交的用户的操作请求进行处理，并将处理结果转化为资源调度要求后向调度层发送资源分配请求；调度层通过云管理平台调用虚拟机软件对虚拟实验环境进行创建；资源层包括物理主机、存储服务器和物理网络设备。根据本发明的架构可为教师和学生提供随时随地进行实验的基础条件。同时虚拟化实验平台维护费用低，安全性高，实验室重置操作简单、时间耗费少。

说明书

技术领域

本发明涉及云计算架构的远程网络实验技术领域，特别涉及一种基于云的系统管理训 练平台架构。

背景技术

云计算相关技术可应用于传统的网络实验教学，提升能力和效率。传统的网络实验教 学平台存在以下问题：

（1）计算机和网络设备等硬件购置和更新成本高；

（2）管理和维持费用高；

（3）灵活性低，更新实验库周期长；

（4）隔离性和安全性较差，实验室系统崩溃后重置时间长，难以满足网络安全等教学 实验的要求。

发明内容

本发明旨在至少解决上述技术问题之一。

为此，本发明的目的在于提出一种基于云的系统管理训练平台架构。该架构可以为教 师和学生提供随时随地进行实验的基础条件。同时虚拟化实验平台维护费用低，安全性高， 实验室重置操作简单、时间耗费少，方便学生放手进行高系统权限实验和有潜在危害性的 网络安全实验，而不会对实验系统自身构成影响。

为了实现上述目的，本发明的实施例提出了一种基于云的系统管理训练平台架构，所 述基于云的系统管理训练平台架构包括应用层、中间件层、调度层和资源层，其中，所述 应用层用于为用户提供交互界面，以实现实验平台与用户之间的信息交互；所述中间件层 包括处理引擎，所述处理引擎用于对所述应用层提交的用户的操作请求进行处理，并将处 理结果转化为资源调度要求后向所述调度层发送资源分配请求；所述调度层在接收到所述 中间件层发送的资源分配请求后，通过云管理平台调用虚拟机软件对虚拟实验环境进行创 建，其中，所述调度层由云管理平台、虚拟机软件、虚拟资源库组成；以及所述资源层包 括物理主机、存储服务器和物理网络设备，其中，所述调度层的云管理平台的服务端和节 点服务器均部署在所述物理主机上，所述调度层的资源库部署在所述存储服务器上。

根据本发明实施例的基于云的系统管理训练平台架构是构建一个能够满足计算机网络 学科教学、训练用途的虚拟化云实验平台，利用云计算管理平台、虚拟化技术以及任务处 理中间件，灵活方便地提供仿真的实验环境，快速按需地提供实验资源。能够有效防止计 算机安全实验对实验系统及外部网络的潜在危害，使学生在实验时可以放手操作，促使学 生的学习由被动接受转向主动探索，同时也把教师的角色更好地解放出来，由知识传授者 转向学习引导者，从而使学习的整个过程更加合理高效，也为更好地完成实践性要求高的 计算机网络管理学科的教学任务提供了帮助。

具有以下优点：

1、能够满足计算机网络管理学科的在线实验训练需求。

2、能够指导安全仿真的实验训练环境建设，方便学生进行需要高权限或对所在网络有 潜在危害性的网络安全实验，可以帮助计算机网络安全等学科的学生获取宝贵丰富的动手 经验。

3、设计具有较好的性能，任务处理和资源分配速度快、效率高。

4、设计具有维护费用低，实验环境创建方便、实验环境重置操作简单、时间耗费少的 特点。

5、设计的多访问视图基于权限进行角色划分，学生除了可以参与实验，还可以申请更 高的权限，对实验环境甚至实验本身进行设计，能够激励学生的积极参与和自主探索。

6、设计采用了松耦合度的设计原则，使各模块的功能和开发都相对独立，便于系统升 级和维护，提高了系统的可扩展性。

另外，根据本发明上述实施例的基于云的系统管理训练平台架构还可以具有如下附加 的技术特征：

在一些示例中，所述应用层提供多个视图界面，所述多个视图界面包括学生视图、教 师视图和管理员视图，其中，所述多个视图界面具有不同功能和权限，以便学生、教师和 管理员通过相应的视图界面进行操作。

在一些示例中，所述中间件层包括任务处理引擎、实验管理引擎、实验结果评估引擎 和用户认证引擎，其中，所述任务处理引擎用于对学生提出的各种任务进行处理；所述实 验管理引擎用于通过与实验数据库的数据交互对用户提交的请求进行处理；所述实验结果 评估引擎用于根据学生的请求对学生实验进行评分；所述用户认证引擎用于对实验平台的 使用者进行管理和授权认证。

在一些示例中，所述任务处理引擎包括前端解析引擎和后端服务引擎，其中，所述前 端解析引擎用于接收学生提出的请求，并将请求进行解析，所述后端服务引擎根据资源选 择算法，结合当前的资源利用状态信息，从所述云管理平台的模板库中选择所需的模板， 并向节点服务器发送虚拟机及网络创建命令；所述实验管理引擎对用户提交的请求进行处 理包括实验信息存储和实验库管理；所述实验结果评估引擎包括评估脚本集和评分模块， 其中，所述评估脚本集为教师根据实验内容所设计的用来对实验结果进行自动探查的脚本 集合，所述评分模块对位于学生试验网络内的脚本执行结果进行收集，并将执行结果与存 储于数据库的答案数据进行比对以对实验进行评价和打分；所述用户认证引擎用于建立帐 号信息、验证登录用户和处理账号管理请求。

在一些示例中，所述后端服务引擎采用的资源选择算法为在虚拟机模板每次被调用后， 自动计算其对节点服务器的平均资源占用率，并将历史数据保存在数据库中，其中，在进 行虚拟机资源分配时，对历史数据进行统计和分析，计算出虚拟机模板资源占用率的最大 似然估计值，并将估计值作为虚拟机模板资源占用的期待值，并根据节点服务器对各类资 源敏感度不同，选择决定性能的瓶颈参数项，通过如下公式进行节点选择计算：

$E_{\lambda }=\left(\begin{array}{c}{E}_{\mathrm{cpu}},\mathrm{IfCpu>}\\ E_{\mathrm{mem}},\mathrm{IfMemory>}\\ E_{\mathrm{store}},\mathrm{IfStorage>}\end{array}\right),$

R_left=R_remn-E_λ，

$V_{\mathrm{sel}}=\underset{R_i{=}_{\max }\left(R_{\mathrm{left}}\right)}{V_i},$

其中，公式$E_{\lambda }=\left(\begin{array}{c}{E}_{\mathrm{cpu}},\mathrm{IfCpu>}\\ E_{\mathrm{mem}},\mathrm{IfMemory>}\\ E_{\mathrm{store}},\mathrm{IfStorage>}\end{array}\right)$根据实验平台监控到的资源状态判断瓶颈参数， R_left=R_remn-E_λ用于为每台节点服务器预估其建立虚拟机后的剩余资源，从节 点机中选择剩余资源最为充裕者作为本次虚拟机创建的宿主机。

在一些示例中，所述云管理平台用于资源监控、模板管理、节点服务器管理和虚拟机 管理；所述虚拟化软件用于创建与真实主机相同的访问体验的虚拟主机，并用于提供多种 虚拟网络设置方案，以模拟真实的以太网环境；所述虚拟资源库包括虚拟机模板库、虚拟 网络、存储资源。

本发明的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明 显，或通过本发明的实践了解到。

附图说明

本发明的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显 和容易理解，其中：

图1为本发明实施例的基于云的系统管理训练平台架构的逻辑结构图；

图2为本发明一个实施例的基于云的系统管理训练平台架构的任务处理引擎工作流程 图；以及

图3为本发明一个实施例基于云的系统管理训练平台架构的实验室硬件部署示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同 或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描 述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、 “后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为 基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗 示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对 本发明的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相 对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、 “连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可 以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以 是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在 本发明中的具体含义。

以下结合附图描述根据本发明实施例的基于云的系统管理训练平台架构。

图1是根据本发明一个实施例的基于云的系统管理训练平台架构的逻辑结构图。如图 1所示，该基于云的系统管理训练平台架构，包括：应用层110、中间件层120、调度层130 和资源层140。

其中，应用层用于为用户提供交互界面，以实现实验平台与用户之间的信息交互。在 具体示例中，应用层可提供多个视图界面，多个视图界面包括但不限于：学生视图（学生 界面）、教师视图（教师界面）和管理员视图（管理员界面），其中，多个视图界面具有不 同功能和权限，以便学生、教师和管理员通过相应的视图界面进行操作。

具体地说，应用层负责实验平台与使用者之间的交互，使用者包括但不限于：学生、 教师和管理员。为满足不同角色使用者的需要，应用层包括三个具有不同功能和权限的访 问视图：学生视图、教师视图和管理员视图。下面对这三种视图进行详细描述。

1）学生视图（即学生实验视图）

学生实验视图是学生使用本平台（如试验管理系统或试验管理系统平台）进行实验的 主要环境。本平台的学生视图主要被规划为四个部分：实验管理、环境管理、评分申请、 实验设计。

实验管理：学生通过浏览器访问实验管理系统，对当前教师布置的实验任务进行查看， 并下载实验资料和文档，然后向平台提出实验申请，根据实验申请的返回结果，访问实验 环境进行实验操作，并在完成实验及评分后向平台提出删除实验环境的申请。

环境管理：为更加灵活的为学生提供服务，试验管理系统或试验管理系统平台（简称 系统或平台）支持学生对其所需的实验环境进行订制。学生可以通过平台提供的拓扑图绘 制功能对实验操作系统和实验网络进行自主设计。设计结果将被递交给负责教师进行审核， 审核通过后将为学生建立其设计的实验网络，并将访问接口提供给学生。

评分申请：为提高效率，系统支持对学生的实验结果自动评估，并可根据评估结果对 学生的实验进行打分。学生在完成实验后，向实验平台提出评分申请，实验平台完成自动 评分操作，学生可通过平台的查看评分功能对实验评分进行查看。

实验设计：为鼓励学生自主探索和参与实验的热情，系统可为部分学生赋予更高的实 验平台访问权限------实验设计权限。学生可根据所学知识自主设计实验场景，制定实验规 则。学生设计的实验通过教师审核后可以加入实验库中供所有学生进行实验。

2）教师视图（教师管理视图）

为方便教师的访问，平台设计了教师管理视图辅助教师完成实验过程设计、实验模板 创建以及对学生进行指导。本平台的教师视图分为实验库管理、场景设计、模板创建、学 生申请处理四个部分：

实验库管理：教师使用浏览器登录系统后可通过该功能接口对实验库进行管理操作。 实验库储存有平台的所有实验，教师可以对库中的实验以及实验所需的模板和相关资源进 行浏览查看、增加、删除和修改等操作。

场景设计：平台支持教师对实验进行在线设计，允许教师通过场景设计接口对所要进 行的实验进行环境配置、过程设计、规则制定、资料上传、实验参考结果以及评分脚本编 写等操作。其中环境配置模块支持对实验所需模板的配置以及虚拟网络设置；过程设计模 块可对实验的流程进行宏观设计，为学生提供实验指导；规则制定模块可对所需进行的实 验提出规定和要求，以规范学生的实验操作；资料上传模块负责将实验所需的文档及其他 材料上传到平台服务器供学生下载；实验评分模块允许教师根据每个特定实验编写相应的 检验脚本以便学生对其实验结果进行评估。

模板创建：平台允许教师通过调用云管理平台（ConVirt）的管理界面对实验所需的操 作系统模板进行管理操作。这些操作包括模板设计、模板创建、模板保存、模板删除等。 同时平台也支持教师对实验的虚拟网络进行管理操作，包括虚拟网络的设计、创建、删除 等。

学生申请处理：教师通过该功能接口对学生提交的不同申请进行处理：对学生的实验 申请进行批复并创建学生实验所需的实验环境；对学生订制的实验环境进行审核，如符合 规定则创建实验环境；对学生自主设计的实验进行批复并与学生沟通，待实验完善后，通 过实验库管理模块将学生自主设计的实验并入实验库供所有学生使用。

3）管理员视图

平台提供了监控功能对整个系统的运行状态以及资源利用情况进行监控。在系统发生 运行故障或错误时，管理员能够通过各种监控界面及时查找到问题所在，从而迅速地对系 统进行修复，以保证系统持续高效的运行。管理员监控界面按照功能可分为三个部分：资 源监控管理、实验监控管理、用户访问控制。

资源监控管理：本系统通过ConVirt平台来实现资源的监控管理。ConVirt的资源监控 管理模块根据对象主要分为节点服务器监管和虚拟机资源监管两部分，支持对服务器和虚 拟机当前以及历史运行状态进行查看。管理员通过可视化界面所显示的CPU、内存、存储 器以及网络状态等信息可迅速直观地对所运行实例的健康状况作出分析判断，并据此对出 现的各种情况进行处理。

实验监控管理：为便于管理员对实验平台进行管理和分析，提高实验平台资源的安全 性和可靠性，保证系统在升级或扩展等操作时可安全的对资源进行备份和恢复，平台支持 管理员对当前的实验库、模板库以及评分脚本库进行监控和管理。

用户访问控制：出于安全性考虑，平台需要对不同用户的访问权限做严格的限制，不 同权限的用户被允许访问和管理的资源是不同的。用户访问控制模块支持管理员对当前登 录系统的用户的状态信息进行查看，也支持管理员对用户数据库进行包括增加、删除、修 改授权等管理操作。

中间件层包括处理引擎，处理引擎用于对应用层提交的用户的操作请求进行处理，并 将处理结果转化为资源调度要求后向调度层发送资源分配请求。在本发明的具体示例中， 中间件层包括任务处理引擎、实验管理引擎、实验结果评估引擎和用户认证引擎，其中， 任务处理引擎用于对学生提出的各种任务进行处理；实验管理引擎用于通过与实验数据库 的数据交互对用户提交的请求进行处理；实验结果评估引擎用于根据学生的请求对学生实 验进行评分；用户认证引擎用于对实验平台的使用者进行管理和授权认证。

进一步地，任务处理引擎包括前端解析引擎和后端服务引擎，其中，前端解析引擎用 于接收学生提出的请求，并将请求进行解析，后端服务引擎根据资源选择算法，结合当前 的资源利用状态信息，从云管理平台的模板库中选择所需的模板，并向节点服务器发送虚 拟机及网络创建命令；实验管理引擎对用户提交的请求进行处理包括实验信息存储和实验 库管理；实验结果评估引擎包括评估脚本集和评分模块，其中，评估脚本集为教师根据实 验内容所设计的用来对实验结果进行自动探查的脚本集合，评分模块对位于学生试验网络 内的脚本执行结果进行收集，并将执行结果与存储于数据库的答案数据进行比对以对实验 进行评价和打分；用户认证引擎用于建立帐号信息、验证登录用户和处理账号管理请求。

在该示例中，后端服务引擎采用的资源选择算法为在虚拟机模板每次被调用后，自动 计算其对节点服务器的平均资源占用率，并将历史数据保存在数据库中，其中，在进行虚 拟机资源分配时，对历史数据进行统计和分析，计算出虚拟机模板资源占用率的最大似然 估计值，并将估计值作为虚拟机模板资源占用的期待值，并根据节点服务器对各类资源敏 感度不同，选择决定性能的瓶颈参数项，通过如下公式进行节点选择计算：

$E_{\lambda }=\left(\begin{array}{c}{E}_{\mathrm{cpu}},\mathrm{IfCpu>}\\ E_{\mathrm{mem}},\mathrm{IfMemory>}\\ E_{\mathrm{store}},\mathrm{IfStorage>}\end{array}\right),$

R_left=R_remn-E_λ，

$V_{\mathrm{sel}}=\underset{R_i{=}_{\max }\left(R_{\mathrm{left}}\right)}{V_i},$

其中，公式$E_{\lambda }=\left(\begin{array}{c}{E}_{\mathrm{cpu}},\mathrm{IfCpu>}\\ E_{\mathrm{mem}},\mathrm{IfMemory>}\\ E_{\mathrm{store}},\mathrm{IfStorage>}\end{array}\right)$根据实验平台监控到的资源状态判断瓶颈参数， R_left=R_remn-E_λ用于为每台节点服务器预估其建立虚拟机后的剩余资源，从节 点机中选择剩余资源最为充裕者作为本次虚拟机创建的宿主机。

即：后端服务引擎（BackEngine）采用的资源选择算法ResPicker，该算法在虚拟机模 板每次被调用后，自动计算其对服务器节点的平均资源占用率（P_cpu，P_mem，P_store），并将 历史数据保存在数据库中。系统在进行虚拟机资源分配时，对历史数据进行统计和分析， 计算出该模板资源占用率的最大似然估计（Maximum likelihood estimation）值，将这些估 计值作为该虚拟机模板资源占用的期待值（E_cpu，E_mem，E_store），然后根据节点服务器对各类资 源敏感度不同，选择决定系统性能的瓶颈参数项（E_λ），调用如下公式进行节点选择计算：

$E_{\lambda }=\left(\begin{array}{c}{E}_{\mathrm{cpu}},\mathrm{IfCpu>}\\ E_{\mathrm{mem}},\mathrm{IfMemory>}\\ E_{\mathrm{store}},\mathrm{IfStorage>}\end{array}\right)$公式（1）

R_left=R_remn-E_λ         公式（2）

$V_{\mathrm{sel}}=\underset{R_i{=}_{\max }\left(R_{\mathrm{left}}\right)}{V_i}$公式（3）

其中，公式（1）根据实验平台监控到的资源状态判断瓶颈参数；公式（2）可为每台 服务器节点机预估其建立虚拟机后的剩余资源；公式（3）从节点机中选择剩余资源最为充 裕者作为本次虚拟机创建的宿主机。

具体地说，中间件层是保证系统功能实现的核心部分，负责对其上的应用层提出的所 有请求进行处理，并将处理结果转化为资源调度要求提交给其下的调度层执行。应用层请 求的处理主要由位于本层的处理引擎组完成。中间件层主要由以下四个功能引擎模块组成。

1）任务处理引擎（TPE）

任务处理引擎主要负责对学生提出的各种任务进行处理，从逻辑上分前端解析引擎和 后端服务引擎两部分：

前端解析引擎：前端解析引擎负责接收学生提出的请求，并将请求按内容解析为实验 申请、环境申请、设计申请三种不同的类别，然后将这些请求分类别交由教师审核，通过 审核后经数据库查询将请求解析为可辨识的操作系统和网络结构等详细的请求。

后端服务引擎：后端服务引擎接收前端引擎或上层数据包中的模板集详细信息以及网 络类型信息，根据本发明提出的资源选择算法（ResPicker），结合系统当前的资源利用状态 信息，从云管理平台（ConVirt）的模板库中选择所需的模板，并向当前系统中最适合的服 务节点主机发送虚拟机及网络创建命令。其中，任务处理引擎工作流程图如图2所示。

2）实验管理引擎（EME）

实验管理引擎主要通过与实验数据库的数据交互完成用户提交的请求。根据请求的内 容可将其分成两类进行处理。

实验信息存储：该处理模块将请求中的实验过程、实验规则、实验资料、环境配置、 实验评估脚本、实验参考结果等信息通过数据库操作存入实验数据表中，再将模板配置信 息存入模板表中；最后把实验与模板的对应关系以及实验所属的设计者等信息存入实验索 引表。

实验库管理：该处理模块对应用层提交的实验管理请求进行解析，根据解析出的内容 对数据库各表进行插入、删除、更新等操作，从而实现用户对实验库的管理。

3）实验结果评估引擎（REE）

实验结果评估引擎可以根据学生请求自动完成对学生实验的评分。评估引擎由评估脚 本集和评分模块组成：

评估脚本集：评估脚本集是教师根据实验内容所设计的用来对实验结果进行自动探查 的脚本集合。脚本集存储于实验库的实验数据表内，根据学生的评估请求，向学生实验网 络发放并执行。

评分模块：评分模块对位于学生试验网络内的脚本执行结果进行收集，并将执行结果 与存储于数据库的答案数据进行比对，根据教师设定的判断规则，评分模块自动给出本次 实验的评价和分数。

4）用户认证引擎（UIE）

用户认证引擎主要负责对实验平台系统的使用者进行管理和授权认证。按照功能可分 以下三部分：

建立帐号信息：系统管理员可根据用户申请为用户建立帐号，同时为方便用户的使用， 避免为整个班级学生建立帐号的繁琐操作，该引擎提供帐号批量生成的功能，根据本发明 提出的帐号建立原则，引擎可根据用户的学号和姓名等信息自动批量为用户建立包括用户 名密码在内的帐号信息。

验证登录用户：引擎可根据用户数据库存储的用户信息对登录系统的用户进行验证， 为取得合法授权的用户提供其权限内可访问的用户界面和实验网络接口，并拒绝未经授权 者对实验平台的访问。

处理账号管理请求：引擎通过数据库访问接口与帐号数据库进行交互，以处理用户的 账号管理请求。支持管理员根据管理需要对用户数据库进行浏览、添加、删除、修改等操 作，也支持普通用户对自己的账号进行修改等操作。

调度层在接收到中间件层发送的资源分配请求后，通过云管理平台调用虚拟机软件对 虚拟实验环境进行创建，其中，调度层由云管理平台、虚拟机软件、虚拟资源库组成。在 本发明的具体示例中，云管理平台用于资源监控、模板管理、节点服务器管理和虚拟机管 理；虚拟化软件用于创建与真实主机相同的访问体验的虚拟主机，并用于提供多种虚拟网 络设置方案，以模拟真实的以太网环境；虚拟资源库包括虚拟机模板库、虚拟网络、存储 资源。

具体地说，调度层接收中间件层提交的资源分配请求，通过云管理平台调用各种虚拟 机软件对虚拟实验环境进行实际创建。调度层由云管理平台、虚拟机软件、虚拟资源库三 部分组成。

1）云管理平台

该部分主要由ConVirt云管理平台实现大部分功能。该平台按照功能可分为四个主要 功能模块：资源监控、模板管理、节点服务器管理、虚拟机管理。

资源监控模块：资源监控模块虽然逻辑上位于调度层，但与其上的中间件层没有信息 交互，资源监控模块直接负责接收应用层的管理员资源监控命令，并调用各类系统接口API 以及虚拟机接口API函数对操作系统和虚拟机的状态进行监控。

模版管理模块：该模块接收中间件层提交的模板订制请求，根据所请求的主机名称、 CPU、内存、存储空间、网络设置、操作系统镜像等详细信息，通过虚拟机接口API对实 验所需的模板进行订制、存储等操作，同时也负责在接收到模板修改或注销命令时对模板 进行修改和注销等操作。

节点管理模块：该模块负责对系统平台内的节点服务器进行管理。模块主要功能是连 接验证管理和节点主机管理。连接验证管理包括对访问节点服务器所需的SSH的密钥进行 生成和分配以及用户名密码设置等。节点主机管理是SSH远程登录节点主机后，通过访问 终端以命令行操作的方式对节点机进行各种管理。

虚拟机管理模块：虚拟机管理模块负责处理中间件层的虚拟机管理请求，根据请求的 内容，通过API函数对虚拟机生命周期进行管理。主要操作包括虚拟机的创建、启动、暂 停、关闭、在线迁移等。

2）虚拟化软件

虚拟化软件可以创建与真实主机有完全一样的访问体验的虚拟主机，并可以提供多种 虚拟网络设置方案，以模拟真实的以太网环境。虚拟化软件是平台配置虚拟实验环境的功 能核心。用户的所有请求和操作，包括模板的创建、存储，虚拟机的创建、启动、暂停、 关闭，虚拟机网络环境设置，虚拟机资源利用状态的监控等最终都由虚拟化软件及其命令 来实现。

为提高实验平台的虚拟化性能，系统主要使用两种虚拟化软件：Xen、KVM。Xen通 过修改操作系统内核来避免指令翻译的开销，提高了系统的运行效率，而KVM本身是Linux 操作系统内核的一部分，因此KVM体积更小，效率更高。

3）虚拟资源库

虚拟资源库泛指系统内一切可管理的虚拟资源，主要包括虚拟机模板库、虚拟网络、 存储资源等。

模板库（Template Library）：模板库主要由两部分组成，一是普通模板库，二是Xen 半虚拟化模板库。普通模板库利用全虚拟化技术（Xen、KVM）保存适合实验需要的各种 家族和版本操作系统（Linux、Windows等）的模板；Xen半虚拟化模板库仅包括利用Xen 半虚拟化技术创建的各版本Linux家族操作系统的模板，该部分模板因为采用了半虚拟化 技术，因此资源占用更少，系统运行效率更高，使在有限节点服务器内创建更多虚拟主机 成为可能。

虚拟网络（Virtual Network）：虚拟网络默认使用Xen和KVM支持的两种虚拟网络： 隔离网络和NAT。隔离网络内主机只能访问虚拟桥接网卡所在的局域网段，实验数据流无 法逃出实验网络，可以为安全性要求高的一些实验提供隔离的网络环境；NAT网络允许虚 拟机通过虚拟转发网卡连接到其宿主机的真实的物理网卡，从而实现对外部网络的访问， 适合需与外部互联网进行连接，且安全性要求不高的实验使用。

存储库（Storage Library）：存储库通过NFS提供可供服务节点访问的网络存储空间。 存储库可部署于任意连接到平台的服务节点上，但因为存储库通常涉及大量数据的存取访 问，通常选择存取速度与网络带宽性能高的服务节点。

资源层包括物理主机、存储服务器和物理网络设备，其中，调度层的云管理平台的服 务端和节点服务器均部署在所述物理主机上，调度层的资源库部署在存储服务器上。

具体地说，资源层构成了平台的硬件基础，包括物理主机、存储服务器、网络带宽和 物理网络设备等资源。云管理平台的服务端和服务节点端都安装在物理主机上；云管理器 管理的存储库则安装在存取性能与网络带宽均较好的存储服务器上。

本发明实施例的基于云的系统管理训练平台架构的具体部署如下：

如图3所示，基于云的系统管理训练平台架构部署的硬件上至少由一个云管理节点机 （云管理节点服务器）、一个或多个云服务节点机（云服务节点机）以及相关网络设备组成， 并可根据实验室服务的用户数量进行扩展。基于云的系统管理训练平台架构的部署实施方 式如下：

1、云平台管理节点部署

在管理节点机（云管理节点服务器）上安装并运行云平台管理软件，实现的主要功能 有：

为用户提供按角色的访问界面。

为用户提供实验设计、环境搭建以及模板创建的工具和平台。

接受用户实验请求，为用户分配实验环境。

进行用户管理和认证。

管理云平台服务节点机。

2、云平台服务节点部署

在服务节点机（云服务节点机）上安装并运行云平台服务节点工具和虚拟化软件，云 平台服务节点实现的主要功能有：

接受云平台管理节点的管理命令。

根据命令参数生成实验虚拟机。

管理虚拟机的生命周期（启动、暂停、关闭、在线迁移、快照等）。

监控虚拟机资源占用状态，并将状态信息传回管理节点。

3、云平台资源存储节点部署

存储节点机（资源库）通常选择在存取快速且具备高网络带宽的服务器上进行部署。 资源存储节点本质上也属于服务节点，实现的主要功能是对实验库里的所有模板进行存储， 并在需要时通过网络提供给其他服务节点使用。

4、实施步骤

1）管理员创建并配置云实验平台.

2）教师在管理平台上进行实验设计、模版创建等操作。

3）学生通过平台提出实验请求、环境或实验设计申请。

4）任务处理中间件处理用户的各种请求：

a)接受实验请求，根据实验数据创建实验环境，并将访问接口提供给用户。

b）接受环境设计申请，根据请求人的权限不同，直接创建实验环境或请求许可后创建 实验环境。

c）接受实验设计申请，根据请求人的权限不同，直接调用实验设计界面对实验进行设 计或请求许可后进行实验设计。

d)接受实验管理请求，根据请求内容对实验信息进行存储或对实验库进行管理。

e)接受结果评估请求，下载评估脚本后自动对实验进行结果评估。

f)接受用户管理请求，根据请求内容进行用户权限管理和用户认证。

根据本发明实施例的基于云的系统管理训练平台架构，是构建一个能够满足计算机网 络学科教学、训练用途的虚拟化云实验平台，利用云计算管理平台、虚拟化技术以及任务 处理中间件，灵活方便地提供仿真的实验环境，快速按需地提供实验资源。

本发明实施例的基于云的系统管理训练平台架构能够有效防止计算机安全实验对实验 系统及外部网络的潜在危害，使学生在实验时可以放手操作，促使学生的学习由被动接受 转向主动探索，同时也把教师的角色更好地解放出来，由知识传授者转向学习引导者，从 而使学习的整个过程更加合理高效，也为更好地完成实践性要求高的计算机网络管理学科 的教学任务提供了帮助。

本发明的特性是：

1、透明性

透明性是指从用户角度看来，虚拟化实验平台与传统的网络实验室应该具备一样的访 问体验。无论是教师还是学生都应当能够透明地访问平台的各种资源。

2、安全性

安全性是指虚拟化实验平台能给用户提供安全的实验环境。一方面使用户在实验中免 于被其他用户的操作和行为所干扰；另一方面保证用户的各种操作和行为仅在其各自的实 验环境中有效，不能危害整个实验网络平台的安全。

3、可扩展性

可扩展性是指虚拟化实验平台的硬件、软件、资源管理系统、任务库系统等是相对独 立的，各部分之间是松散耦合的状态，由系统中间件和平台数据库对各部分进行连接。系 统的各种资源和软硬件（如CPU、内存、共享存储、管理平台等）均支持动态增加。

4、易用性

易用性根据用户角色分为三方面：一是虚拟化实验平台部署简单，管理者对平台的建 设、管理、维护、升级等操作耗费低、简单易行；二是虚拟化实验平台实验环境的设计和 搭建操作简单，系统模板的生成和虚拟网络的设置方便可行。三是虚拟化实验平台使用方 便，无需对学生进行特别的培训和指导，可以在平台框架下实现对资源的按需访问。

5、灵活性

灵活性有两个含义：一是指实验平台的访问不受时间和空间的限制：使用者在任何地 方任何时间都可以对实验平台进行访问、对实验进行设计和实现。同时使用者所使用的虚 拟实验环境其生命周期动态可调，可保证一些时间连续性要求高的实验的进行；二是指实 验平台提供的多种操作系统和不同的虚拟网络可以搭建真实丰富的实验环境，能够满足教 学、训练、测试等不同的实验需求。

6、低成本

为提高虚拟化实验系统的可用性，降低系统的构建和部署成本，本发明提出的系统平 台所使用的云平台管理软件、各种服务器操作系统以及虚拟机软件全是开源或免费的。

本发明具有如下效果：

1、本发明的实施例能够满足计算机网络管理学科的在线实验训练需求。

2、本发明的实施例能够指导安全仿真的实验训练环境建设，方便学生进行需要高权限 或对所在网络有潜在危害性的网络安全实验，可以帮助计算机网络安全等学科的学生获取 宝贵丰富的动手经验。

3、本发明的实施例设计具有较好的性能，任务处理和资源分配速度快、效率高。

4、本发明的实施例设计具有维护费用低，实验环境创建方便、实验环境重置操作简单、 时间耗费少的特点。

5、本发明的实施例设计的多访问视图基于权限进行角色划分，学生除了可以参与实验， 还可以申请更高的权限，对实验环境甚至实验本身进行设计，能够激励学生的积极参与和 自主探索。

6、本发明的的实施例设计采用了松耦合度的设计原则，使各模块的功能和开发都相对 独立，便于系统升级和维护，提高了系统的可扩展性。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、 或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包 含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定 指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的 一个或多个实施例或示例中以合适的方式结合。

尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离 本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发 明的范围由权利要求及其等同限定。