智慧企業(yè)云平臺規(guī)劃建設方案

1、智慧企業(yè)云平臺規(guī)劃建設方案V20190701-001目錄方案整體規(guī)劃2整體拓撲2設計依據(jù)3方案描述5網(wǎng)絡部分規(guī)劃8網(wǎng)絡拓撲8設計依據(jù)9方案描述12物理交換網(wǎng)12云平臺虛機網(wǎng)絡12計算及存儲規(guī)劃18平臺拓撲18設計依據(jù)18方案描述20彈性與自動化的基礎設施20按需服務，平臺交付20敏捷的 IT 服務水平21簡化管理，智能統(tǒng)一運維21硬件故障無害化，保障業(yè)務連續(xù)21計算虛擬化需求22分布式存儲23網(wǎng)絡虛擬化（ SDN）24網(wǎng)絡安全規(guī)劃254.1方案目標.254.2設計依據(jù).264.3等保要求.274.4方案拓撲.314.5功能描述.31運維管理規(guī)劃34設計依據(jù)34方案描述35智慧企業(yè)云平臺規(guī)劃建設

2、方案V20190701-0011方案整體規(guī)劃1.1整體拓撲方案劃分為五個功能區(qū)：線路接入?yún)^(qū)：包含互聯(lián)網(wǎng)線路，市局、各委辦局、采集點等專線接入網(wǎng)絡縱深防御區(qū)：包含各種網(wǎng)絡安全、審計設備，符合等保3 級規(guī)范要求核心交換區(qū)：包含萬兆核心交換集群及匯聚交換設備網(wǎng)管、客服區(qū)：包含網(wǎng)管平臺及客戶終端計算、存儲區(qū)：包含云計算機平臺和分布式存儲系統(tǒng)。智慧企業(yè)云平臺規(guī)劃建設方案V20190701-001設計依據(jù)傳統(tǒng)計算中心觀念是根據(jù)功能需求的變化實現(xiàn)對應的硬件功能盒子堆砌而構建的， 這非常類似于傳統(tǒng)軟件開發(fā)的組件堆砌， 被已經(jīng)證明為是一種較低效率的資源調用方式，而如果能夠將整個網(wǎng)絡的構建看成是由封裝完好、相互耦

3、合松散、但能夠被標準化和統(tǒng)一調度的“服務”組成，那么業(yè)務層面的變更、物理資源 的復用都將是輕而易舉的事情。因此提出支撐業(yè)務運行的底層基礎設施也應當向“面向服務”的設計思想轉變，構造“面向服務 的數(shù)據(jù)中心”（ Service Oriented Data Center SODC）。具體而言 SODC應,形成這樣的資源調用方式：底層資源對于上層應用就像由服務構成的“資源池”，需要什么服務就自動的會由網(wǎng)絡調用相關物理資源來實現(xiàn)，管理員和業(yè)務用戶不需要或幾乎可以看不見物理設備的相互架構關系以及具體存在方式。SODC的框架原型如下所示：智慧企業(yè)云平臺規(guī)劃建設方案V20190701-001在圖中，隔在基礎架

4、構和用戶之間的“交互服務層”實現(xiàn)了 向上提供服務、 向下屏蔽復雜的物理結構的作用，使得網(wǎng)絡使用者看到的網(wǎng)絡不是由復雜的基礎物理功能實體構成的，而是一個個智能服務安全服務、移動服務、計算彈性服務、分布式存儲服務等，至于這些服務是由哪些實際存在的物理資源所提供，管理員和上層業(yè)務都無需關心，交互服務層解決了一切資源的調度和高效復用問題。SODC構成的數(shù)據(jù)中心IT 架構必將是整個數(shù)據(jù)中心未來發(fā)展的趨勢，雖然實現(xiàn)真正理想的SODC融合的架構將是一個長期的歷程，但在向該融合框架邁進的每一步實際上都將會形成對網(wǎng)絡 靈活性、網(wǎng)絡維護、資源利用效率、 投資效益等方面的巨大改善。因此本次數(shù)據(jù)中心的建設規(guī)劃，要求盡

5、可能的遵循如上所述的新一代面向服務的數(shù)據(jù)中心設計框架。智慧企業(yè)云平臺規(guī)劃建設方案V20190701-001在基于 SODC的設計框架下，規(guī)劃的新一代數(shù)據(jù)中心應實現(xiàn)如下設計原則：簡化管理：使上層業(yè)務的變更作用于物理設施的復雜度降低，能夠最低限度的減少了物理資源的直接調度，使維護管理的難度和成本大大降低。高效復用：使得物理資源可以按需調度，橫向無限擴展，物理資源得以最大限度的重用，減少建設成本，提高使用效率。即能夠實現(xiàn)總 硬件資源占用量降低了， 而每個業(yè)務得到的服務反而更有充分的資源保證了。策略一致：降低具體設備個體的策略復雜性，最大程度的在設備層面以上建立統(tǒng)一、 抽象的服務， 每一個被充分抽象的

6、服務都按找上層調用的目標進行統(tǒng)一。方案描述SODC架構是一種資源調度的全新方式，資源被調用方式是面向服務而非像以前一樣面向復雜的物理底層設施進行設計的， 而其中交互服務層是基于服務調用的關鍵環(huán)節(jié)。網(wǎng)絡整合SODC要求將數(shù)據(jù)中心所需的各種資源實現(xiàn)基于網(wǎng)絡的整合，這是后續(xù)上層業(yè)務能看到底層網(wǎng)絡提供各類SODC服務的基礎。數(shù)據(jù)中心網(wǎng)絡所必須提供的資源包括：智能業(yè)務網(wǎng)絡所必須的智能功能，比如高可靠性、多臺交換設備虛機化、安全訪問控制、設備智能管理等等；統(tǒng)一整合數(shù)據(jù)中心的三大資源網(wǎng)絡：高性能計算網(wǎng)絡； 存儲交換網(wǎng)絡； 數(shù)據(jù)應用網(wǎng)絡。這三類資源的整合將是檢驗新一代數(shù)據(jù)中心網(wǎng)絡SODC能力的重要標準。因此本

7、方案中的“核心交換區(qū)“是由兩臺高端核心交換設備， 虛機為一臺交換設備， 統(tǒng)一對外提供數(shù)據(jù)交換、 存儲交換接入能力。計算、存儲整合SODC要求將數(shù)據(jù)中心所需的各種計算、存儲實現(xiàn)統(tǒng)一整合 和交付，上層業(yè)務不需考慮底層計算資源和存儲資源的物理結構。只需根據(jù)業(yè)務系統(tǒng)劃撥使用，底層計算和存儲動態(tài)實現(xiàn)資源按需使用，動態(tài)擴展，數(shù)據(jù)安全等。本方案中的“計算、存儲區(qū)“是由統(tǒng)一整合計算和存儲的云平臺來實現(xiàn)， 云平臺由多臺高端定制化的硬件服務器配合云系統(tǒng)來實現(xiàn)：集中管理：云平臺提供了集中管理能力，從而對計算、存儲資源的統(tǒng)一化及動態(tài)化分配和管理。高度可擴展能力：提供了真正意義上的水平擴展能力，沒有中心節(jié)點，集群的規(guī)模

8、可以以數(shù)千臺服務器為單位?？梢园葱柙黾佑嬎阗Y源和存儲資源，單個云平臺可以管理到超過6萬臺虛機，從而滿足各種規(guī)模中心發(fā)展的需要。最可靠的平臺：云平臺從底層就提供了數(shù)據(jù)的多副本，當服務器出現(xiàn)硬件故障時，云平臺可以將該服務器上的負載自動遷移到其他可用的服務器上，保障應用負載在硬件失敗時自動恢復。平臺內部的物理網(wǎng)絡都是雙冗余配置，以確保物理網(wǎng)絡連接的高可用。云計算平臺還使用SDN等網(wǎng)絡虛擬化技術，構建高可用的虛擬用戶網(wǎng)絡。云平臺通過使用分布式文件系統(tǒng)，構建統(tǒng)一的存儲池，提供包括實時異地多副本和硬盤快照等功能，保證用戶數(shù)據(jù)的安全可靠。在應用服務方面，云平臺提供虛擬的負載均衡器。負載均衡器把用戶請求轉發(fā)到

9、多臺應用服務器上，一旦某臺應用服務器失敗，負載均衡器可以把失敗的應用服務器隔離，但對用戶請求仍然可以由其他的應用服務器提供。達到高可用性、負載平衡的運行環(huán)境。動態(tài)資源調整：云平臺的計算、存儲、網(wǎng)絡等資源的物理位置及底層的基礎架構對于用戶來說是透明和不相關的。通過虛擬化技術可以實現(xiàn)硬件資源的整合池化，云平臺所分配的計算、存儲和網(wǎng)絡資源都可以根據(jù)需要動態(tài)地調整，從而達到整個云計算平臺資源的平衡，最合理地利用硬件計算資源， 提高 IT資源的整體使用率。易用性：云平臺提供了一個統(tǒng)一的、易用的訪問門戶以及手智慧企業(yè)云平臺規(guī)劃建設方案V20190701-001機客戶端，用戶在云平臺上申請自己所需的服務（功

10、能）與所需的硬件資源。直觀的訪問界面和操作提示減少用戶培訓時間，減少了二次學習時間。安全的平臺 :云平臺從多角度提供了數(shù)據(jù)安全，不僅是私有網(wǎng)絡的二層隔離，角色授權、操作日志、訪問日志等機制全方位保護云平臺的安全性。更和業(yè)界領先的云安全廠商合作，整合更專業(yè)的安全組件。2網(wǎng)絡部分規(guī)劃2.1網(wǎng)絡拓撲核心交換集群： 采用兩臺高端交換設備進行虛機化集群，由兩臺交換機虛機為一臺高性能、高可用性、 高負載能力交換機對象，提供萬兆網(wǎng)絡和存儲接入服務。匯聚交換機和云平臺節(jié)點服 務器均使用10G光纖鏈接核心交換集群。設計依據(jù)數(shù)據(jù)中心的設計需要綜合考慮客戶需求和技術成熟度（包括網(wǎng)絡技術，節(jié)能技術和行業(yè)標準等）因素。

11、?客戶需求數(shù)據(jù)中心的客戶需求包括客戶的業(yè)務戰(zhàn)略需求，應用部署需求，網(wǎng)絡管理需求和成本需求等多方面。業(yè)務戰(zhàn)略需求： 包含客戶業(yè)務發(fā)展戰(zhàn)略對數(shù)據(jù)中心網(wǎng)絡的需求， 如未來幾年內隨著業(yè)務發(fā)展，對網(wǎng)絡的容量、性能及功能產(chǎn)生的新需求。應用部署需求： 包含應用軟件系統(tǒng)、 服務器和存儲設備對網(wǎng)絡性能和功能的需求。網(wǎng)絡管理需求： 數(shù)據(jù)中心網(wǎng)絡除了支持自身的管理外，還是服務器、 存儲盤陣和其他應用系統(tǒng)的管理運行平臺。 各系統(tǒng)的日常管理、 控制指令都需要通過網(wǎng)絡提供的管理平臺發(fā)布和執(zhí)行。成本需求：數(shù)據(jù)中心網(wǎng)絡規(guī)劃應充分考慮機房環(huán)境， 投資回報和維護成本問題。在綜合布線， 供電和制冷規(guī)劃時參照綠色節(jié)能的理念，降低數(shù)據(jù)

12、中心整體能耗，提高能源效率。?技術趨勢近兩年隨著數(shù)據(jù)中心的大規(guī)模建設，數(shù)據(jù)中心網(wǎng)絡技術快速發(fā)展。下圖為目前數(shù)據(jù)中心設計技術發(fā)展趨勢。網(wǎng)絡性能有限網(wǎng)絡能力高性能高性能，高密度收斂比較高 - 適中適中較低 - 無阻塞環(huán)路范圍xSTP 技術破壞無環(huán)無環(huán)數(shù)據(jù)中心規(guī)模中小中大超大業(yè)務策略固定，無遷移少量遷移虛擬交換和遷移整合階段虛擬化階段云計算階段挑戰(zhàn)設計趨勢性能與容量快速增長網(wǎng)絡高性能IT資源虛擬化網(wǎng)絡虛擬化IT 資源調度方式IT 資源部署手動維護統(tǒng)一維護自動化物理劃分邏輯劃分多租戶、按需網(wǎng)絡資源整合與共享網(wǎng)絡融合存儲、計算、數(shù)據(jù)網(wǎng)絡融合分層獨立，無融合分區(qū)劃分，局部融合融合網(wǎng)絡網(wǎng)絡資源共享業(yè)務獨立，

13、無共享一虛多，多虛一共享全面共享運維管理復雜統(tǒng)一運維業(yè)務管理能耗管理IT&IP 業(yè)務分別管理弱IT&IP 業(yè)務統(tǒng)一管理統(tǒng)一運維，智能化較強強數(shù)據(jù)中心網(wǎng)絡所處的整合、虛擬化和云計算三個階段相互區(qū)別，但并非簡單換代關系。整合階段：本階段偏重資源整合， 網(wǎng)絡性能要求低， 業(yè)務分區(qū)物理獨立，業(yè)務較固定。虛擬化階段： 該階段的網(wǎng)絡設計承前啟后，能夠提供較好的業(yè)務靈活性， 使傳統(tǒng)數(shù)據(jù)中心結構得以延續(xù)。云計算階段： 該階段數(shù)據(jù)中心的網(wǎng)絡設計要求資源能夠靈活調度， 性能高， 物理和邏輯分區(qū)界限模糊化且資源靈活按需使用。數(shù)據(jù)中心網(wǎng)絡規(guī)劃設計應該以現(xiàn)有網(wǎng)絡架構為基礎采用階段化策略，逐步建立穩(wěn)健、可持續(xù)運行的網(wǎng)絡架

14、構。數(shù)據(jù)中心網(wǎng)絡設計人員還需要考慮以下幾個要素：數(shù)據(jù)中心機房的物理布局： 包括基礎設施配備限制，智慧企業(yè)云平臺規(guī)劃建設方案V20190701-001物理空間使用，機房部署和布線空間等制約條件。 數(shù)據(jù)中心現(xiàn)有網(wǎng)絡的現(xiàn)狀： 通?，F(xiàn)有的網(wǎng)絡是根據(jù)實際情況發(fā)展出來的， 必須對網(wǎng)絡現(xiàn)狀進行具體分析，才能設計規(guī)劃出適合的數(shù)據(jù)中心網(wǎng)絡。如某些專有系統(tǒng)對網(wǎng)絡有特殊要求，數(shù)據(jù)中心網(wǎng)絡必須滿足，有些系統(tǒng)運行管理流程的要求，數(shù)據(jù)中心網(wǎng)絡也必須滿足。數(shù)據(jù)中心的行業(yè)標準： 設計數(shù)據(jù)中心網(wǎng)絡時必須支持相關的行業(yè)標準，如TIA942 布線標準、 IEEE 的各種接口標準， 網(wǎng)絡距離限制都需要盡量滿足，以適應未來數(shù)據(jù)中心的運

15、行管理和業(yè)務擴展。?設計原則數(shù)據(jù)中心網(wǎng)絡設計遵循以下設計原則： 發(fā)展階段目前的建設階段為“云平臺”建設。模塊化考慮到業(yè)務的調整及發(fā)展，網(wǎng)絡結構和系統(tǒng)結構設計模塊化、易于擴展。高可靠網(wǎng)絡設計中采用冗余網(wǎng)絡設計，實現(xiàn)關鍵設備、鏈路冗余；關鍵設備選用高可靠性產(chǎn)品，可實現(xiàn)單板、模塊熱拔插、控制模塊設計冗余、電源冗余；減少網(wǎng)絡層級，簡化網(wǎng)絡結構，從網(wǎng)絡架構上提高可靠性。安全隔離數(shù)據(jù)中心網(wǎng)絡應具備有效的安全控制。按業(yè)務、按權限進行分區(qū)邏輯隔離，對特別重要的業(yè)務采取物理隔離。以服務器為中心的業(yè)務、IP 存儲備份、 管理網(wǎng)絡等多個網(wǎng)絡進行邏輯隔離，管理網(wǎng)絡采取物理隔離。可管理性和可維護性網(wǎng)絡應當具有良好的可管

16、理性。為了便于維護，應盡可能選取集成度高、模塊可通用的產(chǎn)品。方案描述物理交換網(wǎng)核心交換集群： 采用兩臺高端交換設備進行虛機化集群，由兩臺交換機虛機為一臺高性能、高可用性、 高負載能力交換機對象，提供萬兆網(wǎng)絡和存儲接入服務。匯聚交換機和云平臺節(jié)點服 務器均使用10G光纖鏈接核心交換集群。云平臺虛機網(wǎng)絡網(wǎng)絡虛擬化以軟件方式完整再現(xiàn)了物理網(wǎng)絡。虛擬網(wǎng)絡不 僅可以提供與物理網(wǎng)絡相同的功能特性和性能保證，而且還具有虛擬化的運維優(yōu)勢和硬件獨立性，包括快速調配、無中斷部署、自動維護等。網(wǎng)絡虛擬化將邏輯網(wǎng)絡連接設備和服務（邏輯端口、交換機、路由器、防火墻、負載平衡器和VPN等）提供給已連接的工作負載。 應用在

17、虛擬網(wǎng)絡上的運行與在物理網(wǎng)絡上完全相同。使用 SDN技術， 實現(xiàn)網(wǎng)絡控制平面和轉發(fā)平面的分離，由此提供更友善、更強大的網(wǎng)絡配置和控制能力。云平臺通過網(wǎng)絡軟件定義(SDN)技術實現(xiàn)虛擬網(wǎng)絡的編程控制和網(wǎng)絡功能虛擬化(NFV) 。云平臺提供了兩種組網(wǎng)方式：基礎網(wǎng)絡和私有網(wǎng)絡。前者是一個由QCMS維護的全局網(wǎng)絡，后者是基于 VXLAN協(xié)議由用戶自行管理和定義的網(wǎng)絡。私有網(wǎng)絡虛擬私有網(wǎng)絡 (VPC)是云平臺環(huán)境內可以為用戶預配置出的一個專屬的大型網(wǎng)絡。在VPC網(wǎng)絡內，您可以自定義IP地址范圍、創(chuàng)建子網(wǎng)， 并在子網(wǎng)內創(chuàng)建主機/ 數(shù)據(jù)庫 / 大數(shù)據(jù)等各種云資源。私有網(wǎng)絡之間是100%隔離的，以滿足對安全的

18、100%追求。私有網(wǎng)絡類似物理世界中使用虛擬交換機（L2 Switch）將多臺服務器連接在一起，組成的局域網(wǎng)。虛擬路由器用于多個受管私有網(wǎng)絡之間互聯(lián)，并提供多項附加功能：DHCP、端口轉發(fā)、 VPN、隧道服務和訪問控制，涵蓋了常用的網(wǎng)絡配置與管理工作。 當用戶使用多臺主機工作時，通常會讓不同功能的主機分布在不 同的子網(wǎng)里，例如：Web服務器和DB 服務器因為訪問要求的不同而被分配在不同的子網(wǎng)里。提供的私有網(wǎng)絡功能幫助用戶輕松 完成組網(wǎng)工作，針對上述案例，只需將Web服務的主機和DB服務的主機放置在不同的私有網(wǎng)絡里即可。智慧企業(yè)云平臺規(guī)劃建設方案V20190701-001私有網(wǎng)絡的節(jié)點通訊從傳統(tǒng)

19、樹形結構變成網(wǎng)狀結構，所有節(jié)點之間進行點對點直接通訊，提高了節(jié)點間通訊的性能。私有網(wǎng)絡之間的通訊不在依賴單個虛擬路由器，而是通過分布式網(wǎng)關實現(xiàn)。提高了私有網(wǎng)絡之間通訊的效率，也提高了單個路由器可以接駁的私有網(wǎng)絡數(shù)目。一個私有網(wǎng)絡可以連接254 個子網(wǎng)（ Vxnet ），且最多可以容納60,000臺虛擬主機。通過分布式路由器和虛擬直連技術，云 平臺的 VPC網(wǎng)絡可以在大規(guī)模部署的情況下，保障網(wǎng)絡集群的高性能和高可用。 VPC網(wǎng)絡也可以實現(xiàn)和公網(wǎng)Internet的高效互通，任意一臺VPC網(wǎng)絡管理的主機都可以直接綁定EIP；同時， 負載均衡器也可以直接連接VPC網(wǎng)絡內的主機。在 VPC網(wǎng)絡里，管理路

20、由器只負責 VPN/隧道/DNS/ 端口轉發(fā)等管理功能， 以及這些管理流量的轉發(fā)和路由， 不再處理子網(wǎng)之間的轉發(fā)流量。 VPC網(wǎng)絡內的主機可以綁定自己的 EIP；設置專屬的防火墻， 這些 IP 、防火墻與管理路由器之間沒有隸屬關系。自管網(wǎng)絡如果云提供的路由器功能無法滿足您對網(wǎng)絡管理的需求，您可以創(chuàng)建自管私有網(wǎng)絡，以自行配置和管理該網(wǎng)絡。一個云主機可以加入多個自管網(wǎng)絡，每個自管網(wǎng)絡對應云主機的一塊虛擬網(wǎng)卡：從操作系統(tǒng)角度可以看到系統(tǒng)有4 個網(wǎng)卡， eth0對應到受管網(wǎng)絡， eth13對應到 3 個自管網(wǎng)絡smn1,smn3和 smn2。手工可以修改自管網(wǎng)絡的網(wǎng)絡配置。如 eth1被修改為 0。此

21、時如有其它云主機也加入到smn1自管網(wǎng)絡且設置ip 到同一個網(wǎng)絡，則兩個云主機可以相互ping通。網(wǎng)絡功能虛擬化通過軟件定義網(wǎng)絡實現(xiàn)了網(wǎng)絡功能虛擬化，提供了虛擬負載均衡、虛擬防火墻功能。虛擬負載均衡器可以將來自多個EIP地址的訪問流量分發(fā)到多臺主機上，并支持自動檢測并隔離不可用的主機，從而提 高業(yè)務的服務能力和可用性。同時，你還可以隨時通過添加或刪減主機來調整你的服務能力，而且這些操作不會影響業(yè)務的正常訪問。負載均衡器支持HTTP/HTTPS/TCP三種監(jiān)聽模式， 并支持透明代理，可以讓后端主機不做任何更改，直接獲取客戶端真實 IP 。 另外，負載均衡器還支持靈活配置多種轉發(fā)策略，實現(xiàn)高級的自

22、定義轉發(fā)控制功能。同時， 提供的虛擬防火墻來保護網(wǎng)絡的訪問。云的虛擬防火墻采用的是分布式防火墻技術，就是利用每個計算節(jié)點物理主機的 IPTABLES，把所有計算節(jié)點組成了一個分布式的防火墻。為每個用戶提供了一個缺省防火墻，我們也可以自建更多的防火墻。不同的云服務器可以被設置不同的防火墻策略。物理組網(wǎng)由于不僅需要支持虛擬機之間高速的通信，還要支撐完成 多份實時副本的工作，為保證整個平臺的性能，我們規(guī)劃云平臺的支撐網(wǎng)絡應該規(guī)劃為萬兆（10Gb/s ）網(wǎng)絡，。在云計算管理平臺對于網(wǎng)絡設備的使用都只當為二層（鏈路層）設備來使用，物理網(wǎng)絡設備只是解決連通性問題，無需使用任何三層（網(wǎng)絡層）的協(xié)議。這樣的好

23、處是在確保性能最優(yōu)的前提下，無需復雜的配置，無論是工程實施，還是后期維護，工作量都大大減少了； 同時系統(tǒng)的構建不用依賴任何廠家的網(wǎng)絡產(chǎn)品，再也沒有廠商鎖定的困擾。3計算及存儲規(guī)劃3.1平臺拓撲整個云平臺由：控制節(jié)點、對象存儲網(wǎng)關節(jié)點、計算、分布式存儲節(jié)點、對象存儲節(jié)點構成。設計依據(jù)從技術架構來看，云計算出現(xiàn)之前的數(shù)據(jù)中心大多采用“豎井式”的應用開發(fā)部署方式，無論是機房基礎設施，還是網(wǎng)絡資源、存儲資源、計算資源等都采用專業(yè)化維度的部署管理，對于 應用軟件投產(chǎn)、 數(shù)據(jù)分布及備份采用按應用系統(tǒng)“一事一議”的方式部署。這種各個系統(tǒng)部件、應用緊耦合的維護、變更模式流 程較為復雜。 數(shù)據(jù)中心普遍通過在Se

24、rviceDesk中采用專門的變更、問題流程管理功能協(xié)調各專業(yè)部門的工作流。隨著業(yè)務的發(fā)展，數(shù)據(jù)中心在一定程度上出現(xiàn)了IT資源局部富余但整體緊張的現(xiàn)象。智慧企業(yè)云平臺規(guī)劃建設方案V20190701-001數(shù)據(jù)中心為了更好的管理既有業(yè)務系統(tǒng)， 同時提升 IT 系統(tǒng)的運行效率，規(guī)劃采用云數(shù)據(jù)中心方式對業(yè)務系統(tǒng)提供統(tǒng)一的 IT 能力服務平臺。另一方面， 考慮到數(shù)據(jù)中心未來長期的云計算平臺建設策略， 建議規(guī)劃整體的云計算建設路線圖，并對當前的基礎架構云進行詳細設計。云數(shù)據(jù)中心平臺的建設，應該考慮到的設計原則為： 可管理性原則系統(tǒng)架構中應提供集成、統(tǒng)一的軟硬件管理功能，滿足各種日常的管理需求，適應新一代

25、數(shù)據(jù)中心管理快捷、方便的特點開放性原則架構必須能夠滿足自身的穩(wěn)定性，同時具有集成的異構兼容性，在滿足新的業(yè)務需求同時不需要對架構進行重新設計或對現(xiàn)有架構重大修改?？蓴U展性原則可擴展性是指未來應用系統(tǒng)的業(yè)務量增加時，資源能夠自動擴展以適應更多用戶、更多的業(yè)務處理及存儲能力。安全性原則系統(tǒng)架構必須是能夠提供認證、訪問控制能力的環(huán)境，以確保業(yè)務關鍵信息的完整性、保密性。適度性原則結合自身需求，資源以滿足目前要求為基準，并適度前瞻。持續(xù)性原則IT架構設計應該具有持續(xù)性，滿足目前要求并可持續(xù)擴展，持續(xù)優(yōu)化。方案描述云計算平臺的建設是分階段、分步來實施的，并且伴隨業(yè)務訪問量和對存儲空間、存儲性能的要求，

26、還可對本項目云平臺進行水平擴展，本項目規(guī)劃由：控制節(jié)點、對象存儲網(wǎng)關節(jié)點、計 算分布式存儲節(jié)點、 對象存儲節(jié)點構成。 本次數(shù)據(jù)中心的基礎架構云的建設可達成以下預期目標：彈性與自動化的基礎設施通過建設軟件定義的數(shù)據(jù)中心，實現(xiàn)能以按需方式， 通過網(wǎng)絡，方便的訪問數(shù)據(jù)中心的可配置計算資源共享池( 比如：網(wǎng)絡， 服務器，存儲，應用程序和服務)。同時以最少的管理開銷，完成自動化迅速配置提供或釋放資源，應對不確定以及海量的訪問壓力時提供足夠的計算資源。按需服務，平臺交付統(tǒng)一便捷的服務提供能力與集成能力，為資源使用者提供標準化的服務目錄與資源申請、管理平臺， 使其可以方便的連接到云計算平臺，申請所需服務與資

27、源，并便捷的進行管理。降低對 于人工配置和流程的依賴，在滿足總體管理需求的前提下提升服務水平。敏捷的 IT服務水平不僅滿足服務器資源池化的需求，同時對存儲、網(wǎng)絡、數(shù)據(jù)庫、緩存等關鍵組件都實現(xiàn)軟件定義和標準的服務提供能力，將物理資源轉化為邏輯資源，利用模版化、API、秒級交付、批量構建等手段，加速IT資源的供給速度，提高服務水平。簡化管理，智能統(tǒng)一運維通過云計算管理平臺， 實現(xiàn)對資源的統(tǒng)一化及動態(tài)化分配和管理。將多組服務器、網(wǎng)絡和存儲通過軟件定義技術，將其作為一個超大規(guī)模的集群進行統(tǒng)一管理，可以對其進行資源的動態(tài)分配和調整及回收，提高管理效率，并通過安全設置可以保證 虛擬資源的安全性和獨立性。硬

28、件故障無害化，保障業(yè)務連續(xù)通過其高可用設計， 可以實現(xiàn)最可靠的運算平臺。將任何一臺服務器的失敗，云計算管理平臺都可以自動發(fā)現(xiàn)，并把失敗的服務器從可用服務器列表中剔除，從而保證任意時間用戶請求的計算資源都是建立的可用的服務器之上。同時，將該服務器上的負載自動遷移到其他可用的服務器上，保障應用負載在硬件失敗時自動恢復。同時方案提供各種應用、 數(shù)據(jù)的備份機制（高連續(xù)性服務） ， 可實現(xiàn)應用層面的多節(jié)點負載、快照、HA，數(shù)據(jù)節(jié)點的 3 副本的備份機制， 提供多種安全保障功能，解決業(yè)務的意外中斷和數(shù)據(jù) 丟失困擾。同時實現(xiàn)網(wǎng)絡的冗余配置，以確保物理網(wǎng)絡連接的高可用。 使用 SDN等網(wǎng)絡虛擬化技術， 構建高

29、可用的虛擬用戶網(wǎng)絡。使用分布式文件系統(tǒng)， 構建統(tǒng)一的存儲池， 提供包括實時異地多副本和硬盤快照等功能，保證用戶數(shù)據(jù)的安全可靠。在應用服務方面， 提供虛擬的負載均衡器，把用戶請求轉發(fā)到多臺不同物理宿主的應用服務器上，一旦某臺應用服務器失敗，負載均衡器可以把失敗的應用服務器隔離，但對用戶來講，其請求仍然可以由其他的應用服務器提供。達到高可用性、 負載平衡的運行環(huán)境，保障業(yè)務連續(xù)。計算虛擬化需求計算虛擬化是指通過虛擬化技術將一臺物理計算機虛擬為多臺邏輯計算機。 在一臺物理計算機上同時運行多個邏輯計算機， 每個邏輯計算機可運行不同的操作系統(tǒng)， 并且應用程序都可以在相互獨立的空間內運行而互不影響， 從而

30、顯著提高計算機的工作效率。虛擬化使用軟件的方法重新定義劃分IT資源，可以實現(xiàn)IT資源的動態(tài)分配、靈活調度、跨域共享，提高IT資源利用率， 使IT資源能夠真正成為社會基礎設施，服務于各行各業(yè)中靈活 多變的應用需求。計算虛擬化的功能及技術需求如下：?采用目前主流的KVM全虛擬化技術， 應支持不重啟主機動態(tài)升級 KVM版本；?支持計算資源虛擬化，形成分布式計算資源池。虛擬化效率不小于 99.95%；?支持計算設備“一虛多”。同一臺物理主機上同時支持多種操作系統(tǒng)， 或是相同操作系統(tǒng)的不同版本。分區(qū)與分區(qū)之間相互獨立，互不影響；?支持資源的動態(tài)調配與彈性可伸縮。資源池具備各級資源的按需獲取功能， 提高資

31、源消費者的可用性、容錯與擴展能力。資源響應的速度應達到秒級。?支持虛擬機的在線和離線遷移；?支持虛擬機系統(tǒng)自動批量部署，一次同時部署的規(guī)模能達到 200 臺虛擬機。分布式存儲分布式存儲系統(tǒng)，是將數(shù)據(jù)分散存儲在多臺獨立的設備上。 傳統(tǒng)的網(wǎng)絡存儲系統(tǒng)采用集中的存儲服務器存放所有數(shù)據(jù)，存儲服務器成為系統(tǒng)性能的瓶頸，也是可靠性和安全性的焦點，不能滿足大規(guī)模存儲應用的需要。分布式網(wǎng)絡存儲系統(tǒng)采用可擴展的 系統(tǒng)結構， 利用多臺存儲服務器分擔存儲負荷，它不但提高了系統(tǒng)的可靠性、可用性和存取效率，還易于擴展。分布式存儲系統(tǒng)不僅為虛擬主機提供塊存儲也為對象存儲提供存儲能力。同時分布式存儲系統(tǒng)提供數(shù)據(jù)的多（3）個

32、實時副本，保證用戶數(shù)據(jù)的安全。分布式存儲系統(tǒng)的功能及技術需求如下：支持增量擴容和自動數(shù)據(jù)平衡能力，允許用戶定制數(shù)據(jù)分布策略；架構避免固定的集中控制點，且各節(jié)點能自動進行故障監(jiān)測、切換以及數(shù)據(jù)遷移；具備高可擴展性，可支持上億個文件和PB以上量級的文件存儲；支持不重啟系統(tǒng)，增加物理服務器后自 動擴容；在不依賴 SAN&NA等S可用性和高可靠性；特殊硬件設備的條件下，提供高提供至少 3 份數(shù)據(jù)實時副本，且保證至少有一份跨機架的數(shù)據(jù)副本；服務可用性要高于99.95%；數(shù)據(jù)可靠性要高于99.99999%;基于SAS硬盤的虛擬存儲IO 性能不小于120MB/s, 基于SSD硬盤的虛擬存儲IO 性能不小于3

33、00MB/s。應采用 Shared-nothing架構設計，支持1 萬以上用戶并發(fā)讀寫，支持1000 臺以上物理服務器集群。網(wǎng)絡虛擬化（ SDN）網(wǎng)絡虛擬化完整再現(xiàn)了物理網(wǎng)絡。虛擬網(wǎng)絡不僅可以提供與物理網(wǎng)絡相同的功能特性和性能保證，而且還具有虛擬化的運維優(yōu)勢和硬件獨立性， 包括快速調配、無中斷部署、 自動維護等。網(wǎng)絡虛擬化將邏輯網(wǎng)絡連接設備和服務（邏輯端口、交換機、路由器、防火墻、負載平衡器和VPN等）提供給已連接的工作負載。 應用在虛擬網(wǎng)絡上的運行與在物理網(wǎng)絡上完全相同。使用SDN技術，實現(xiàn)網(wǎng)絡控制平面和轉發(fā)平面的分離，由此提供更友善、更強大的網(wǎng)絡配置和控制能力。網(wǎng)絡虛擬化和SDN的功能及技

34、術需求如下：采用軟件 +硬件方式， 通過軟硬件集成實現(xiàn)SDN，靈活調度與管理虛擬網(wǎng)絡， 并實現(xiàn)已應用為中心的基礎架構；通過SDN技術實現(xiàn)網(wǎng)絡虛擬化，構建網(wǎng)絡資源池； 支持虛擬私有網(wǎng)絡，私有網(wǎng)絡間要100%二層網(wǎng)絡隔離，支持不同用戶自由使用網(wǎng)絡資源；支持虛擬路由器，虛擬交換機，虛擬防火墻，虛擬負載均衡器，可以按需配置網(wǎng)絡邏輯拓撲；通過SDN實現(xiàn)DHCP，端口轉發(fā)，隧道服務，VPN接入服務和過濾控制服務；支持通過 SDN功能實現(xiàn)機房間通過網(wǎng)絡安全隧道（ IP-Sec ）聯(lián)通。網(wǎng)絡安全規(guī)劃方案目標充分解讀網(wǎng)絡安全等級保護相關政策和標準，全面提升網(wǎng)絡安全防護能力，應對新威脅、新應用下的安全威脅，利用云

35、端安 全服務、 云防護的創(chuàng)新技術理念與技術落地，實現(xiàn)對網(wǎng)絡安全的智能統(tǒng)一管理， 并達到國家網(wǎng)絡安全等級保護的相關標準與要求。設計依據(jù)中辦200327號文件國家信息化領導小組關于加強信息安全保障工作的意見四部委于 2004 年 9 月 15 日發(fā)布公通字 200466號信息安全等級保護工作的實施意見四部委 2007 年 06 月 17 日發(fā)布（2007）公通字 43 號 信息安全等級保護管理辦法GB/T 22239.1信息安全技術信息安全等級保護基本要求第 1 部分：安全通用要求GB/T 22239.2信息安全技術信息安全等級保護基本要求第 2 部分：云計算安全擴展要求GB/T 31167-20

36、14信息安全技術云計算服務安全指南GB/T 31168-2014求信息安全技術云計算服務安全能力要智慧企業(yè)云平臺規(guī)劃建設方案V20190701-001等保要求對標新等保的第三級安全通用要求。 “物理和環(huán)境要求”不在本方案的撰寫范疇。網(wǎng)絡和通信安全網(wǎng)絡架構鏈路負載防火墻數(shù)據(jù)庫審計運維審計堡壘機WEB防火墻漏洞掃描抗 DDOS攻擊通信傳輸防火墻邊界防護防火墻運維審計堡壘機訪問控制防火墻入侵防范IPS數(shù)據(jù)庫審計WEB防火墻抗 DDOS攻擊惡意代碼防范防火墻防病毒網(wǎng)關安全審計防火墻數(shù)據(jù)庫審計運維審計堡壘機日志審計WEB防火墻漏洞掃描抗 DDOS攻擊集中管控防 火 墻 漏洞掃描抗 DDOS攻擊設備和計算

37、安全身份鑒別防火墻虛擬化安全數(shù)據(jù)庫審計運維審計堡壘機WEB防火墻抗 DDOS攻擊訪問控制防火墻虛擬化安全數(shù)據(jù)庫審計運維審計堡壘機WEB防火墻漏洞掃描 虛擬化安全數(shù)據(jù)庫審計運維審計 日志審計WEB防火墻漏洞掃描抗 DDOS攻擊入侵防范虛擬化安全WEB防火墻抗 DDOS攻擊惡意代碼防范虛擬化安全虛擬化安全數(shù)據(jù)庫審計運維審計堡壘機WEB防火墻抗 DDOS攻擊應用和數(shù)據(jù)安全身份鑒別數(shù)據(jù)庫審計運維審計堡壘機數(shù)據(jù)庫審計運維審計堡壘機WEB防火墻數(shù)據(jù)庫審計運維審計堡壘機日志審計軟件容錯數(shù)據(jù)庫審計運維審計堡壘機WEB防火墻資源控制數(shù)據(jù)庫審計運維審計堡壘機數(shù)據(jù)備份恢復數(shù)據(jù)庫審計運維審計堡壘機WEB防火墻個人信息保護數(shù)據(jù)庫審計運維審計堡壘機安全運維管理漏洞和風險管漏洞掃描理方案拓撲功能描述產(chǎn)品名產(chǎn)品描述產(chǎn) 品形數(shù)單場景及配稱鏈路負集多線路智能選路和態(tài)硬件量2位件選型網(wǎng)絡和通載虛擬化多鏈路相互備份，保障網(wǎng)絡連通提供針對虛擬化平臺軟件1信安全應用和數(shù)安全的一站式的包含防病據(jù) 安 全 +毒、 IPS、WEBSHEL、L設備和計主機防火墻的防護。算安全抗 DDOS抗拒絕服務攻擊系統(tǒng)2網(wǎng)絡和通支持多維度的數(shù)據(jù)分信安全析功能，提供基于攻擊主機、攻擊類型、流量分析、性能