IT基礎(chǔ)架構(gòu)建設(shè)項目解決方案

1、IT基礎(chǔ)設(shè)施建設(shè)解決方案目錄1總體架構(gòu)設(shè)計31.1概述31.2網(wǎng)絡(luò)架構(gòu)設(shè)計41.3外部網(wǎng)絡(luò)架構(gòu)設(shè)計61.4無線網(wǎng)絡(luò)架構(gòu)設(shè)計71.5信息點統(tǒng)計表72網(wǎng)絡(luò)和安全方案設(shè)計92.1網(wǎng)絡(luò)虛擬化設(shè)計92.2安全虛擬化設(shè)計102.3虛擬交換機設(shè)計122.4數(shù)據(jù)庫審計設(shè)備132.5防火墻設(shè)備142.6入侵防護設(shè)備152.7堡壘機器162.8互聯(lián)網(wǎng)出口173業(yè)務(wù)系統(tǒng)虛擬化方案設(shè)計183.1刀片式服務(wù)器設(shè)計183.2計算虛擬化設(shè)計203.3數(shù)據(jù)中心管理設(shè)計314綜合管理體系設(shè)計334.1網(wǎng)絡(luò)管理設(shè)計334.2業(yè)務(wù)監(jiān)控設(shè)計404.3終端管理的設(shè)計415無線系統(tǒng)設(shè)計455.1無線標準選擇455.2無線醫(yī)療業(yè)務(wù)455.

2、3 48病房區(qū)無線覆蓋設(shè)計5.4門診區(qū)域無線覆蓋設(shè)計485.5網(wǎng)絡(luò)認證模式495.6外部網(wǎng)絡(luò)認證模式496產(chǎn)品列表49總體架構(gòu)設(shè)計總結(jié)如上圖，是本項目整體結(jié)構(gòu)示意圖。分為外網(wǎng)和外網(wǎng)兩部分。這兩個網(wǎng)絡(luò)由H3C SecPath F1070集成安全網(wǎng)關(guān)隔離和保護，只有授權(quán)的企業(yè)才允許訪問它們。主要用于支撐醫(yī)院科室的業(yè)務(wù)系統(tǒng)，包括網(wǎng)絡(luò)設(shè)備、存儲系統(tǒng)和服務(wù)器設(shè)備。外網(wǎng)主要用于醫(yī)院接入互聯(lián)網(wǎng)連接省市醫(yī)保專線。網(wǎng)絡(luò)設(shè)計的原則是千兆到桌面，10gb主干。外網(wǎng)設(shè)計原則是千兆到桌面，千兆骨干。外部通過千兆以太網(wǎng)鏈接到綜合安全網(wǎng)關(guān)。設(shè)計方案將根據(jù)“XXX信息系統(tǒng)建設(shè)要求”和“省級數(shù)字化醫(yī)院評估標準”進行設(shè)計。原則上

3、符合上述兩個文件的指導精神。網(wǎng)絡(luò)架構(gòu)設(shè)計網(wǎng)絡(luò)核心交換機為兩臺H3C S7506E核心交換機，每臺交換機配有冗余主控、冗余電源模塊、3個16口萬兆以太網(wǎng)光接口模塊、1個24口萬兆以太網(wǎng)電接口+4口萬兆以太網(wǎng)光接口模塊，并配有相應(yīng)的光模塊和連接電纜。萬兆鏈路用于連接樓宇接入交換機、刀片服務(wù)器系統(tǒng)和存儲系統(tǒng)。IRF2虛擬化互聯(lián)通過萬兆鏈路實現(xiàn)，支持跨設(shè)備的鏈路聚合技術(shù)。通過千兆以太網(wǎng)電氣接口連接H3C F1070集成安全網(wǎng)關(guān)。大樓的接入交換機為H3C S5130-EI系列交換機。根據(jù)弱電分布圖統(tǒng)計(見本章末統(tǒng)計表)，本工程共有34口弱電井，每口弱電井對應(yīng)的信息點不同?？偣彩褂?5個H3C S5130

4、-52S-EI開關(guān)和26個H3C S5130-28S-EI開關(guān)。每個弱電井配備一個上行交換機，兩個萬兆以太網(wǎng)光接口分別連接到兩個核心交換機。通過跨設(shè)備鏈路聚合技術(shù)，實現(xiàn)了上行帶寬20G，故障轉(zhuǎn)移時間200ms的最優(yōu)冗余配置。H3s5130-52s-ei交換機提供48個千兆以太網(wǎng)電接口和4個千兆以太網(wǎng)光接口。H3s5130-28s-ei交換機提供24個千兆以太網(wǎng)電接口和4個千兆以太網(wǎng)光接口。配置相應(yīng)數(shù)量的光模塊。每個弱電井中的其余交換機通過10gb電纜連接到上行鏈路交換機。服務(wù)器采用一臺H3C UIS 8000刀片服務(wù)器，配備四臺B390服務(wù)器和兩臺B590服務(wù)器。一臺B390服務(wù)器配備了兩個E

5、5-2620v3 CPU(主頻為2.4GHz，六核)、64GB高性能內(nèi)存、兩個300 GB 10K硬盤和兩個10GE Flex Fabric網(wǎng)卡。Fabric網(wǎng)卡支持1:4鏈路虛擬化技術(shù)，可以將物理網(wǎng)卡隨意劃分為指定帶寬。一臺B590服務(wù)器配備了兩個E5-4620 v3 CPU(8核主頻2.2GHz)、32GB高性能內(nèi)存、兩個300 GB 10K硬盤和兩個10GE Flex Fabric網(wǎng)卡。Fabric網(wǎng)卡支持1:4鏈路虛擬化技術(shù)，可以將物理網(wǎng)卡隨意劃分為指定帶寬。B390服務(wù)器配合H3C CAS虛擬化系統(tǒng)承載醫(yī)療應(yīng)用業(yè)務(wù)，B590服務(wù)器配合H3C CAS虛擬化系統(tǒng)承載應(yīng)用數(shù)據(jù)庫業(yè)務(wù)。H3U

6、IS8000刀片服務(wù)器機箱配備2個OA管理模塊、10個航空冗余風扇模塊、6個航空冗余電源模塊、1+1冗余管理模塊、2個FlexFabric 10 24口刀片系統(tǒng)VC模塊。VC模塊配置有8個10千兆上行端口和16個10千兆下行端口。上行端口直接連接到核心交換機，下行端口通過無源背板連接到刀片服務(wù)器。兩個VC模塊通過端口互聯(lián)，實現(xiàn)冗余保證。VC模塊支持1:4鏈路虛擬化技術(shù)，可以將物理網(wǎng)卡任意劃分為指定帶寬，實現(xiàn)靈活的業(yè)務(wù)鏈路部署。存儲系統(tǒng)是H3C FlexStorage P5730 IP存儲系統(tǒng)。配備25塊900GB 10000 rpm SAS硬盤，4個千兆以太網(wǎng)電接口，2個萬兆以太網(wǎng)光接口?？捎?/p>

7、空間為22.5TB，存儲系統(tǒng)用于實現(xiàn)與虛擬化業(yè)務(wù)系統(tǒng)共享存儲的核心業(yè)務(wù)數(shù)據(jù)的存儲。存儲系統(tǒng)通過萬兆以太網(wǎng)鏈路直接連接到核心交換機，實現(xiàn)與業(yè)務(wù)系統(tǒng)的數(shù)據(jù)交互。服務(wù)在H3C CAS虛擬化管理系統(tǒng)上進行。H3C CAS虛擬化管理系統(tǒng)整合了計算、網(wǎng)絡(luò)和存儲資源的虛擬化，形成彈性數(shù)據(jù)中心資源池，實現(xiàn)資源的自動調(diào)度，更好地服務(wù)上層應(yīng)用。虛擬化后，虛擬機完全隔離，擁有獨立的CPU、內(nèi)存、磁盤I/O和網(wǎng)絡(luò)I/O，即當任何一臺虛擬機出現(xiàn)故障時，同一臺物理機上的其他虛擬機都不會受其影響。每個虛擬機都有獨立的用戶管理權(quán)限，可以安裝獨立的操作系統(tǒng)，不同虛擬機之間的操作系統(tǒng)可以是異構(gòu)的。基于B/S架構(gòu)的管理控制臺不僅可

8、以讓您輕松組織和快速部署整個IT環(huán)境，還可以全面監(jiān)控包括CPU、內(nèi)存、磁盤I/O、網(wǎng)絡(luò)I/O等重要資源在內(nèi)的關(guān)鍵組件的性能，為管理員實施合理的資源規(guī)劃提供詳細的數(shù)據(jù)。H3C CAS虛擬化管理系統(tǒng)為虛擬機中運行的應(yīng)用程序提供了易于使用、經(jīng)濟高效且高可用性的功能。硬件故障導致的服務(wù)器或虛擬機宕機將不再造成災(zāi)難性后果。H3C CAS提供的智能資源調(diào)度功能將自動為這些服務(wù)器或虛擬機重新選擇最佳運行位置。認證管理方案采用H3C EIA終端智能接入組件為網(wǎng)絡(luò)用戶提供接入認證。限制用戶隨意入網(wǎng)，滿足同等保護的要求。本項目認證系統(tǒng)采用門戶認證方式，門戶網(wǎng)關(guān)部署在核心交換機中。為每個用戶提供賬號和密碼，綁定IP

9、地址和MAC地址，實現(xiàn)統(tǒng)一接入認證。Portal認證方式也非常適合無線醫(yī)療終端接入網(wǎng)絡(luò)，為醫(yī)院未來實現(xiàn)無線醫(yī)療全覆蓋打下良好基礎(chǔ)。為了保證網(wǎng)絡(luò)的信息安全，滿足數(shù)字化醫(yī)院對信息安全建設(shè)的要求，網(wǎng)絡(luò)配備了堡壘機和數(shù)據(jù)庫審計系統(tǒng)。通過千兆以太網(wǎng)電氣接口直接連接到核心交換機。堡機用于日常運維審計管理平臺，記錄運維行為，統(tǒng)一管理賬目。數(shù)據(jù)庫審計系統(tǒng)用于數(shù)據(jù)庫操作的安全保護和記錄審計。以上兩個系統(tǒng)配合使用，可以實現(xiàn)醫(yī)院的日常業(yè)務(wù)管理，同時可以進行“反統(tǒng)”工作。外部網(wǎng)絡(luò)架構(gòu)設(shè)計外部網(wǎng)絡(luò)核心交換機是一臺H3C S7506E-S核心交換機。配置單個冗余電源模塊、冗余主控模塊、1個48口千兆以太網(wǎng)電接口模塊、1個

10、48口千兆以太網(wǎng)光接口模塊，并配置相應(yīng)的光模塊。通過千兆以太網(wǎng)光接口連接外網(wǎng)樓宇接入交換機，通過千兆以太網(wǎng)電接口連接綜合安全網(wǎng)關(guān)、醫(yī)保前置機、出口安全網(wǎng)關(guān)、防火墻等設(shè)備。外網(wǎng)接入交換機為h3c5110系列千兆交換機。外網(wǎng)的信息點比較分散，所以所有的接入交換機都是通過千兆以太網(wǎng)光接口上行到核心交換機。根據(jù)信息點統(tǒng)計分析，H3C S5110-28P接入交換機有12臺，H3C S5110-52P接入交換機有18臺。配置相應(yīng)的光學模塊。H3C S5110-28P接入交換機配有24個千兆以太網(wǎng)電接口和4個千兆以太網(wǎng)光接口，H3C S5110-52P接入交換機配有48個千兆以太網(wǎng)電接口和4個千兆以太網(wǎng)光接

11、口。應(yīng)在外部互聯(lián)網(wǎng)出口部署H3C ACG-1000M出口安全網(wǎng)關(guān)。一個單元配有16個千兆以太網(wǎng)電氣接口、4個多路復(fù)用千兆以太網(wǎng)光學接口和冗余電源模塊。提供3年功能庫升級服務(wù)。提供管理軟件。出口網(wǎng)關(guān)提供全院NAT功能，支持鏈路負載均衡，可以精細識別和控制網(wǎng)絡(luò)中的網(wǎng)絡(luò)社區(qū)、P2P/IM帶寬濫用、網(wǎng)絡(luò)游戲、股票交易、網(wǎng)絡(luò)多媒體、非法訪問等行為。利用智能流量控制、智能攔截、智能路由等技術(shù)，結(jié)合創(chuàng)新的社交網(wǎng)絡(luò)行為管理功能、清晰易管理的日志等功能，可以提供業(yè)界最全面完善的在線行為管理解決方案。從而保證關(guān)鍵網(wǎng)絡(luò)應(yīng)用和業(yè)務(wù)的帶寬，對網(wǎng)絡(luò)流量和用戶上網(wǎng)行為進行深入分析和全面審計，為用戶全面了解網(wǎng)絡(luò)應(yīng)用模式和流量

12、趨勢、優(yōu)化自身帶寬資源、開展各項業(yè)務(wù)提供有力支持。符合公安部82號令，實現(xiàn)網(wǎng)絡(luò)流量精細化管理。部署H3C F1050集成安全網(wǎng)關(guān)，連接省市醫(yī)保線。提供16千兆以太網(wǎng)電接口，8千兆以太網(wǎng)光接口，支持2個擴展槽。支持多種VPN服務(wù)，如L2TP VPN、GRE VPN、IPSec VPN和SSL VPN。采用最新先進的64位多核高性能處理器和高速內(nèi)存。支持H3C SCF虛擬化技術(shù)，可以將多個設(shè)備虛擬化為一個邏輯設(shè)備，可以呈現(xiàn)為一個網(wǎng)絡(luò)節(jié)點，統(tǒng)一管理資源，完成業(yè)務(wù)備份，提升系統(tǒng)整體性能。支持的吞吐量為5GB。部署H3C F1070集成安全網(wǎng)關(guān)作為外部網(wǎng)絡(luò)隔離屏障。配備殺毒功能，提供3年特征庫升級。提供

13、16個千兆以太網(wǎng)電接口、8個千兆以太網(wǎng)光接口和2個千兆以太網(wǎng)光接口。支持兩個擴展槽。支持多維度綜合安全防護，可從用戶、應(yīng)用、時間、五元組等多維度對流量進行IPS、AV、DLP等綜合安全訪問控制，有效保障網(wǎng)絡(luò)安全。吞吐量8GB。無線網(wǎng)絡(luò)架構(gòu)設(shè)計本無線網(wǎng)絡(luò)的設(shè)計將采用同一套AP，分別連接網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。部署網(wǎng)絡(luò)PoE交換機以提供無線AP電源。無線AP要求有兩個獨立的千兆以太網(wǎng)電接口，可以分別連接網(wǎng)絡(luò)和外網(wǎng)。這兩個端口被分配給不同的VLAN，以實現(xiàn)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的隔離。同一個AP提供不同的SSID，認證系統(tǒng)保證網(wǎng)絡(luò)用戶不能訪問外網(wǎng)的SSID，外網(wǎng)用戶也不能訪問本網(wǎng)的SSID。無線醫(yī)療的業(yè)務(wù)主要用于住

14、院病房，包括無線查房、無線輸液、無線醫(yī)囑等。相對來說，公網(wǎng)的應(yīng)用較少。對于門診科室和擁擠的大廳，主要應(yīng)用是公網(wǎng)應(yīng)用。醫(yī)院不應(yīng)該讓陪護人員隨意訪問公網(wǎng)，這不符合數(shù)字化醫(yī)院的要求。他們只能接入醫(yī)院指定的微信平臺或公網(wǎng)業(yè)務(wù)平臺。無線網(wǎng)絡(luò)的詳細設(shè)計將在后面介紹。信息點統(tǒng)計表信息點統(tǒng)計表建筑物西南弱電井東南弱電井西北弱電井東北弱電井24端口交換機48端口交換機1F9276四十四30六2F四十二個86六30一個四3F64四十四2440一個四4F五十二個701826一個五5F162226F22027F2622一個一個8F2622一個一個9F2622一個一個10F2622一個一個11F2622一個一個12F2

15、622一個一個13F1622一個一個屋頂2一個相當于2502762823221526外網(wǎng)信息點統(tǒng)計表建筑物西南弱電井東南弱電井西北弱電井東北弱電井24端口交換機48端口交換機1F四四三三2F三三四三3F三四24F一個2四三5F六51一個26F324627F四十四4728F四十四4729F四十四47210F四十四47211F四十四47212F四十四47213F16242相當于七八3234181218網(wǎng)絡(luò)安全方案設(shè)計網(wǎng)絡(luò)虛擬化設(shè)計面對校園網(wǎng)橫向業(yè)務(wù)融合的需求，S7500E支持IRF2(第二代智能彈性架構(gòu))技術(shù)，將眾多高端設(shè)備虛擬化為一個邏輯設(shè)備，是業(yè)界首款支持4幀虛擬化的核心交換機產(chǎn)品。它在可靠性

16、、分布性和可管理性方面具有很強的優(yōu)勢。IRF(Intelligent Resilient Framework)是H3C自主研發(fā)的虛擬化技術(shù)，用于集成網(wǎng)絡(luò)中同一層的設(shè)備。其核心思想是將多臺設(shè)備連接在一起，經(jīng)過必要的配置后虛擬成一臺設(shè)備。利用這種虛擬化技術(shù)，可以集合多臺設(shè)備的硬件資源和軟件處理能力，實現(xiàn)多臺設(shè)備的協(xié)同工作、統(tǒng)一管理和不間斷維護。IRF主要有以下優(yōu)勢:簡化管理。IRF組建后，用戶可以通過任何成員設(shè)備的任何端口登錄IRF系統(tǒng)，統(tǒng)一管理IRF的所有成員設(shè)備。可靠性高。IRF的高可靠性體現(xiàn)在很多方面，比如:IRF由多個成員設(shè)備組成，主設(shè)備負責IRF的運行、管理和維護，從設(shè)備作為備份可以處理

17、業(yè)務(wù)。一旦主設(shè)備出現(xiàn)故障，系統(tǒng)會快速自動選舉新的主設(shè)備，保證業(yè)務(wù)不中斷，從而實現(xiàn)設(shè)備的1:N備份；此外，成員設(shè)備之間的IRF鏈路支持聚合功能，IRF與上下設(shè)備之間的物理鏈路也支持聚合功能。多個鏈路可以相互備份或分擔負載，從而進一步提高IRF的可靠性。網(wǎng)絡(luò)拓展能力強。通過添加成員設(shè)備，很容易擴展IRF的端口號和帶寬。因為每個成員設(shè)備都有CPU，可以獨立處理協(xié)議消息和轉(zhuǎn)發(fā)消息，所以IRF可以輕松擴展其處理能力。使用IRF后，匯聚層中的多個設(shè)備成為一個邏輯設(shè)備，接入設(shè)備直接連接到該虛擬設(shè)備。這種簡化的網(wǎng)絡(luò)不再需要使用MSTP和VRRP協(xié)議，從而簡化了網(wǎng)絡(luò)配置。同時依賴于跨設(shè)備的鏈路聚合，當成員失效時

18、，不再依賴于MSTP、VRRP等協(xié)議的匯聚，提高了可靠性。IRF還可以擴展系統(tǒng)的處理能力和帶寬。當原有設(shè)備的處理能力不能滿足需求時，可以通過增加更多設(shè)備形成IRF來提高整體處理能力。安全虛擬化設(shè)計安全集群架構(gòu)(SCF)是H3C(以下簡稱H3C)自主研發(fā)的安全設(shè)備軟件虛擬化技術(shù)。其核心思想是將多個安全設(shè)備連接成一個設(shè)備。它可以集成多個安全設(shè)備的軟件處理能力，實現(xiàn)多個安全設(shè)備的協(xié)同工作、統(tǒng)一管理和不間斷維護。SCF主要有以下優(yōu)點:1.簡化管理。SCF組建后，用戶可以通過任意成員設(shè)備的任意端口登錄SCF系統(tǒng)，統(tǒng)一管理SCF的所有成員設(shè)備。2.可靠性高。SCF的高可靠性體現(xiàn)在很多方面，比如:SCF由多

19、個成員設(shè)備組成，主設(shè)備負責SCF的運行、管理和維護，從設(shè)備作為備份可以處理業(yè)務(wù)。一旦主設(shè)備出現(xiàn)故障，系統(tǒng)會快速自動選舉新的主設(shè)備，保證業(yè)務(wù)不中斷，從而實現(xiàn)設(shè)備的1:N備份；此外，成員設(shè)備之間的SCF鏈路支持聚合功能，SCF與上下設(shè)備之間的物理鏈路也支持聚合功能，多條鏈路可以互為備份或分擔負載，進一步提高了SCF的可靠性。3.網(wǎng)絡(luò)擴展能力強。通過添加成員設(shè)備，可以輕松擴展SCF的端口數(shù)量和帶寬。因為每個成員設(shè)備都有CPU，可以獨立處理協(xié)議消息和轉(zhuǎn)發(fā)消息，所以SCF可以很容易地擴展其處理能力。SCF的部署模式完全突破了機框的限制，在簡化管理和部署的基礎(chǔ)上，實現(xiàn)了安全服務(wù)和安全性能的彈性擴展，可以通

20、過一組SCF系統(tǒng)實現(xiàn)業(yè)務(wù)流量的自動負載分擔和冗余備份。SCF組中的每個設(shè)備都稱為成員設(shè)備。根據(jù)不同的功能，成員分為兩種角色:1.主設(shè)備(簡稱主設(shè)備):負責管理整個SCF系統(tǒng)。2.從設(shè)備(簡稱從設(shè)備):作為主設(shè)備的備份設(shè)備。當主設(shè)備出現(xiàn)故障時，系統(tǒng)會自動從從設(shè)備中選擇一個新的主設(shè)備來替換原來的主設(shè)備。索普科技華三通信科技(以下簡稱H3C)自主研發(fā)了安全設(shè)備軟件虛擬化技術(shù)。其核心思想是將一個安全設(shè)備連接成多個設(shè)備。您可以為多個安全出口分配獨立的處理能力和配置。實施獨有的安全策略。F5000采用創(chuàng)新的基于容器的虛擬化技術(shù)，實現(xiàn)真正的虛擬防火墻，即安全一平臺(SOP)。每個secure ONE平臺都完

21、全繼承了F5000設(shè)備的所有功能。sop真正基于流程相互隔離，而不是傳統(tǒng)的通過路由隔離。每個SOP系統(tǒng)都有自己獨立的運行空間，包括管理平面、控制平面、數(shù)據(jù)平面和完整的安全業(yè)務(wù)功能。每個SOP都可以獨立啟動、暫停和關(guān)閉，單個SOP的故障不會對其他SOP和整個物理系統(tǒng)產(chǎn)生任何影響。SOP可以通過統(tǒng)一的OS內(nèi)核對系統(tǒng)的靜態(tài)和動態(tài)資源進行精細劃分。其中，靜態(tài)資源包括內(nèi)存、硬盤、接口、TCAM等。，相關(guān)的邏輯資源包括并發(fā)會話、VPN隧道、安全策略、安全域、動態(tài)路由、VLAN等。動態(tài)資源包括CPU，相關(guān)邏輯資源包括吞吐量、新建率、抗攻擊能力、VPN處理能力等。sop的數(shù)目可以根據(jù)系統(tǒng)需求的變化而動態(tài)調(diào)整。

22、基于SOP的全分布式處理能力，在單個SOP能力不變的前提下，可以通過增加業(yè)務(wù)板來擴展系統(tǒng)中SOP數(shù)量的上限。SOP能力可以根據(jù)用戶要求動態(tài)調(diào)整。當業(yè)務(wù)需求發(fā)生變化時，無需重啟SOP即可在線平滑調(diào)整CPU、內(nèi)存等資源，保證用戶業(yè)務(wù)完全不受影響。SOP能力可以基于SCF能力。至少，F(xiàn)5000設(shè)備可以選擇先用SCF技術(shù)完成N:1虛擬化，再用SOP技術(shù)完成1:N虛擬化。虛擬交換機設(shè)計在本項目中，醫(yī)院將采用虛擬化技術(shù)完成所有業(yè)務(wù)系統(tǒng)的虛擬化部署。虛擬交換機是虛擬化技術(shù)中非常重要的一個環(huán)節(jié)。H3C的虛擬化交換機可以兼容VMware平臺，實現(xiàn)現(xiàn)有資源的統(tǒng)一管理。H3s1010v是H3C公司推出的面向企業(yè)和行

23、業(yè)數(shù)據(jù)中心虛擬化環(huán)境的智能軟件交換機產(chǎn)品，適用于VMware ESXi企業(yè)增強環(huán)境。通過與VMware緊密合作，H3C S1010V可以與VMware虛擬基礎(chǔ)架構(gòu)(包括VMware vCenter和VMware ESXi)完全集成，并取代VMware的基本虛擬交換機，為虛擬機提供增強的分布式虛擬交換功能。H3S1010V在設(shè)計上遵循OpenFlow標準架構(gòu)，實現(xiàn)了控制平面與轉(zhuǎn)發(fā)平面分離的可編程網(wǎng)絡(luò)技術(shù)。整個產(chǎn)品包括VCE，VFE和插件。并且運行在ESXi服務(wù)器上，ESXi服務(wù)器是VMware ESXi核心的一部分，可以完全替代VMware虛擬交換機的功能。從定位上看，相當于OpenFlow標準

24、中的OpenFlow交換機，起到數(shù)據(jù)轉(zhuǎn)發(fā)平面的作用，實現(xiàn)虛擬網(wǎng)絡(luò)端口的流量控制和轉(zhuǎn)發(fā)。收到數(shù)據(jù)包后，VFE首先在本地OpenFlow流表中查找轉(zhuǎn)發(fā)目的端口。如果不匹配，則將數(shù)據(jù)包轉(zhuǎn)發(fā)給VCE模塊，由控制層決定轉(zhuǎn)發(fā)策略和轉(zhuǎn)發(fā)端口。部署在多個ESXi上的VFE形成了跨物理主機的分布式軟件虛擬交換機。當虛擬機遷移時，虛擬網(wǎng)卡上的網(wǎng)絡(luò)策略可以在每臺服務(wù)器上同步。VCE(虛擬控制器引擎)以標準OVF(開放式虛擬化格式)虛擬機格式交付，并通過VMware vCenter提供的OVF模板部署功能安裝在單獨的虛擬機上。從定位上看，相當于OpenFlow標準中的控制器，通過Web GUI界面實現(xiàn)VFE的集中管理

25、和配置。插件(插件)運行在VMware vCenter Server上的一個插件，是H3C S1010V專門為VMware開發(fā)的第三方管理接口，主要提供端口策略組的配置接口。數(shù)據(jù)庫審計設(shè)備審計設(shè)備將通過千兆以太網(wǎng)電氣接口連接到核心交換機。數(shù)據(jù)庫中審計設(shè)備的部署位置和功能實現(xiàn)沒有關(guān)聯(lián)。可以到達數(shù)據(jù)庫的IP地址就足夠了。H3secpath d2020數(shù)據(jù)庫審計設(shè)備吞吐量2GB，峰值事務(wù)處理能力20000條/秒，日志存儲能力4億條。數(shù)據(jù)庫是任何企業(yè)和公共安全中最具戰(zhàn)略性的資產(chǎn)。它通常包含重要的業(yè)務(wù)合作伙伴和客戶信息，需要加以保護以防止競爭對手和其他非法人員獲取這些信息?；ヂ?lián)網(wǎng)的快速發(fā)展提高了企業(yè)數(shù)據(jù)

26、庫信息的價值和可訪問性，同時也使數(shù)據(jù)庫信息資產(chǎn)面臨嚴峻的挑戰(zhàn)，這些挑戰(zhàn)可以概括為以下三個方面:管理層面:主要表現(xiàn)為人員的職責和流程有待完善，部分員工的日常操作有待規(guī)范，第三方維護人員的操作監(jiān)控失效等。，這使得在發(fā)生安全事故時無法追蹤和定位真正的操作員。技術(shù)層面:現(xiàn)有數(shù)據(jù)庫部門運行情況不明，任何外部安全工具(如防火墻、IDS、IPS等。)無法阻止該部門用戶的惡意操作、資源濫用和企業(yè)信息泄露。審計級:現(xiàn)有的依賴于數(shù)據(jù)庫日志文件的審計方式存在很多弊端，如:數(shù)據(jù)庫審計功能的開啟會影響數(shù)據(jù)庫本身的性能，數(shù)據(jù)庫日志文件本身存在被篡改的風險，難以體現(xiàn)審計信息的真實性。隨著數(shù)據(jù)庫信息價值和可訪問性的提高，數(shù)據(jù)

27、庫面臨的來自內(nèi)部和外部的安全風險大大增加，如非法和未經(jīng)授權(quán)的操作以及惡意入侵，導致信息竊取和泄露，但事后無法有效追蹤和審計。為了解決數(shù)據(jù)庫信息安全領(lǐng)域深層次的安全問題和審計需求，基于多年的數(shù)據(jù)庫安全理論和實踐經(jīng)驗，華三公司成功推出了業(yè)內(nèi)首個面向政企核心數(shù)據(jù)庫的安全產(chǎn)品華三數(shù)據(jù)庫審計系統(tǒng)，該系統(tǒng)專注于細粒度審計、精準行為回溯和全方位風險控制，為您的核心數(shù)據(jù)庫提供全方位、細粒度的保護功能，并能幫助用戶帶來以下全面記錄數(shù)據(jù)庫訪問行為，識別未授權(quán)操作等違規(guī)行為，完成追溯。跟蹤敏感數(shù)據(jù)訪問行為的軌跡，建立訪問行為模型，及時發(fā)現(xiàn)敏感數(shù)據(jù)泄露。檢測數(shù)據(jù)庫配置弱點，發(fā)現(xiàn)SQL注入和其他漏洞，并提供解決方案。為

28、數(shù)據(jù)庫安全管理和性能優(yōu)化提供決策依據(jù)。提供符合法律法規(guī)的報告，滿足等級保護、企業(yè)控制等審計要求。防火墻在本項目中，NGFW下一代防火墻被選為出口安全(H3C SecPath F1050-8GB吞吐量)，以將設(shè)備與外部網(wǎng)絡(luò)隔離(H3C SecPath F1070-12GB吞吐量)。防火墻的部署位置包括與醫(yī)?；ヂ?lián)的出口防火墻和用于外部網(wǎng)絡(luò)隔離的綜合安全防火墻。其中，用于隔離的防火墻配備了IPS-入侵防御和AV- antivirus功能授權(quán)，以3年特征庫升級。集成防火墻通過萬兆以太網(wǎng)光纖接口連接到網(wǎng)絡(luò)核心交換機和外部網(wǎng)絡(luò)核心交換機。H3SecPath F10X0系列防火墻是華三通信科技(以下簡稱H3

29、C公司)隨著Web2.0時代的到來，結(jié)合當前安全與網(wǎng)絡(luò)深度融合的技術(shù)趨勢，針對中小企業(yè)、校園網(wǎng)互聯(lián)網(wǎng)出口、廣域網(wǎng)分支市場推出的下一代高性能防火墻產(chǎn)品。H3SecPath F10X0系列防火墻支持多維度集成安全防護，可以進行IPS、AV、DLP等的集成安全訪問控制。對于用戶、應(yīng)用、時間、五元組等多維度的流量。，可以有效保證網(wǎng)絡(luò)安全；支持多種VPN服務(wù)，如L2TP VPN、GRE VPN、IPSec VPN和SSL VPN等。，并與智能終端連接，實現(xiàn)移動辦公；提供豐富的路由能力，支持RIP/OSPF/BGP/路由策略和基于應(yīng)用和URL的策略路由；在支持IPv4/IPV6雙協(xié)議棧的同時，可以實現(xiàn)對I

30、PV6的狀態(tài)保護和攻擊防范。H3SecPath F10X0系列防火墻采用互為冗余備份的雙電源(1+1備份)，支持兩臺計算機集群部署的SCF技術(shù)，完全滿足高性能網(wǎng)絡(luò)的可靠性要求。同時，F(xiàn)10X0產(chǎn)品可以在1U高設(shè)備上提供至少24個千兆接口和2個千兆固定接口。入侵防御設(shè)備入侵防御設(shè)備以插卡的形式直接部署在核心交換機上。通過背板互連。用于數(shù)據(jù)中心安全保護。不需要額外的連接配置。當IPS板出現(xiàn)故障時，流量可以通過自動旁路得到保護。這次部署了兩張IPS卡，單張IPS卡的吞吐量為10GB。Sec IPS是業(yè)內(nèi)唯一集漏洞庫、專業(yè)病毒庫、應(yīng)用協(xié)議庫于一體的IPS模塊。借助h3cfirst(嚴格狀態(tài)測試全檢查)

31、專有引擎技術(shù)，能夠?qū)崟r準確識別和防范各類網(wǎng)絡(luò)攻擊和濫用行為。Sec IPS通過了國際權(quán)威機構(gòu)CVE(Common Vulnerabilities & Exposures)的兼容性認證，在系統(tǒng)漏洞研究和攻擊防御方面達到了頂尖水平。集成卡巴斯基反病毒引擎和病毒庫。采用第二代啟發(fā)式代碼分析、iChecker實時監(jiān)控和獨特腳本病毒攔截等前沿反病毒技術(shù)，可實時查殺各類文件、網(wǎng)絡(luò)、混合病毒；并采用新一代虛擬脫殼和行為判斷技術(shù)，精準查殺各類變種病毒和未知病毒。H3C專業(yè)安全團隊密切跟蹤全球知名安全機構(gòu)和廠商發(fā)布的安全漏洞公告，通過精準分析，快速生成保護操作系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)庫漏洞的特征庫；H3C通過了微軟

32、的MAPP(Microsoft Active Protection Program)認證，可以提前獲得微軟的漏洞信息。同時，通過部署在世界各地的蜜罐系統(tǒng)，實時掌握最新的攻擊技術(shù)和趨勢，定期(每周)和緊急(發(fā)現(xiàn)重大安全漏洞時)發(fā)布，并自動或手動分發(fā)到SecBlade IPS模塊，使用戶的SecBlade IPS模塊快速具備防御零時差攻擊的能力。堡壘機器通過fortress machine千兆以太網(wǎng)電氣接口直接連接到核心交換機。要塞機的部署位置與實際功能無關(guān)。隨著信息系統(tǒng)規(guī)模的不斷擴大，企事業(yè)單位需要管理的設(shè)備越來越多，數(shù)據(jù)的敏感度越來越高，管理人員也越來越復(fù)雜，帶來了一系列的困難和安全隱患。如部

33、門管理人員越權(quán)操作設(shè)備，造成數(shù)據(jù)泄露，設(shè)備密碼因修改工作量過大而長時間不修改。H3secPath A2020和A2100是面向運營商和行業(yè)市場的高性能、高度可管理的運維審計系統(tǒng)，硬件上采用X86處理架構(gòu)。A2020是1U獨立盒設(shè)備，提供6個千兆以太網(wǎng)端口，單電源設(shè)計，支持交流電源。A2100是一款2U獨立機箱設(shè)備，提供4個千兆以太網(wǎng)端口+2個千兆以太網(wǎng)端口，并提供擴展槽，用于端口和業(yè)務(wù)擴展的雙電源設(shè)計，支持交流供電。在功能方面，SecPath A2020和A2100為用戶提供了全面的運維管理體系和運維能力，支持資產(chǎn)管理、用戶管理、雙因素認證、命令阻塞、訪問控制、自動加密、審計等功能。，可以有效

34、保證運維過程的安全。協(xié)議方面，SecPath A2020和A2100全面支持SSH/TELNET/RDP(遠程桌面)/FTP/SFTP/VNC，可支持VMware/XEN等虛擬機管理，oracle、/S等數(shù)據(jù)庫管理，小型機管理等。通過應(yīng)用程序中心remoteapp技術(shù)擴展?；ヂ?lián)網(wǎng)出口互聯(lián)網(wǎng)的主要功能是為全院提供公共網(wǎng)絡(luò)接入。包括患者就醫(yī)產(chǎn)生的公網(wǎng)流量和醫(yī)院科室外部互聯(lián)網(wǎng)流量。為滿足公安部82號令和數(shù)字化醫(yī)院的要求，增加互聯(lián)網(wǎng)出口網(wǎng)關(guān)。ACG1000-M吞吐量800MB，支持與H3C環(huán)評認證系統(tǒng)合作，實現(xiàn)基于用戶名或微信賬號的審核。H3SecPath ACG 1000是H3C公司的新一代應(yīng)用控制

35、網(wǎng)關(guān)。ACG1000引入全方位互聯(lián)網(wǎng)行為管理元素，是為客戶業(yè)務(wù)量身定制的全業(yè)務(wù)網(wǎng)關(guān)產(chǎn)品。H3secpath ACG 1000可以精細識別和控制網(wǎng)絡(luò)中的網(wǎng)絡(luò)社區(qū)、P2P/IM帶寬濫用、網(wǎng)絡(luò)游戲、股票交易、網(wǎng)絡(luò)多媒體、非法訪問等行為。利用智能流量控制、智能攔截、智能路由等技術(shù)，結(jié)合創(chuàng)新的社交網(wǎng)絡(luò)行為管理功能、清晰易管理的日志等功能，可以提供業(yè)界最全面完善的在線行為管理解決方案。從而保證關(guān)鍵網(wǎng)絡(luò)應(yīng)用和業(yè)務(wù)的帶寬，對網(wǎng)絡(luò)流量和用戶上網(wǎng)行為進行深入分析和全面審計，為用戶全面了解網(wǎng)絡(luò)應(yīng)用模式和流量趨勢、優(yōu)化自身帶寬資源、開展各項業(yè)務(wù)提供有力支持。系統(tǒng)虛擬化方案設(shè)計刀片服務(wù)器設(shè)計H3Flex服務(wù)器UIS80

36、00刀片機箱采用一系列全新技術(shù)，提供簡化的管理、強大的處理能力、超強的網(wǎng)絡(luò)帶寬、更高效的供電和散熱。一個UIS8000刀片式服務(wù)器機箱可以支持16臺半高刀片式服務(wù)器或8臺全高刀片式服務(wù)器。H3Flex服務(wù)器UIS8000機箱可以提供模塊化服務(wù)器、互連模塊和存儲組件、電源模塊、冷卻模塊和網(wǎng)絡(luò)模塊。機箱高10U，可容納16臺半高刀片式服務(wù)器或8臺全高刀片式服務(wù)器，以便與可選的冗余網(wǎng)絡(luò)和存儲模塊互連。它有一個共享的中間背板，可以同時將刀片服務(wù)器連接到網(wǎng)絡(luò)和共享存儲設(shè)備。服務(wù)器由OA管理模塊和遠程管理模塊管理，可以實現(xiàn)綜合控制。節(jié)能技術(shù):結(jié)合動態(tài)功率封頂?shù)木_測量和控制，在不損失性能的情況下，節(jié)約能源

37、，回收閑置電能?；ヂ?lián)架構(gòu):連接一次即可動態(tài)添加、替換或恢復(fù)刀片服務(wù)器，不會影響網(wǎng)絡(luò)和存儲或生成其他操作。中間背板:無單點故障，可使用戶業(yè)務(wù)正常運行。板載管理:提供實用的管理工具，簡化日常管理，提示問題，方便用戶問題定位和恢復(fù)。高性能和高度靈活的網(wǎng)絡(luò)連接:UIS8000刀片機箱背板帶寬高達7TB，可支持多種不同的網(wǎng)絡(luò)類型。冗余設(shè)計:UIS8000刀片機箱采用模塊化設(shè)計，所有組件支持熱插拔。UIS8000刀片機箱背板是一種完全沒有移動部件的背板，服務(wù)器和網(wǎng)絡(luò)互聯(lián)模塊之間采用冗余鏈路，避免了單點故障的可能。UIS8000刀片機箱采用由多個主動冷卻風扇組成的冗余熱插拔冷卻系統(tǒng)。簡化的初始安裝和管理:創(chuàng)

38、新的板載LCD管理面板可以在短時間內(nèi)快速完成服務(wù)器的安裝和配置。無論是本地管理還是遠程管理，向?qū)降墓芾斫缑娑伎梢源蟠蠛喕粘９ぷ?，加快故障判斷和修?fù)的速度。更高效:與傳統(tǒng)機架式服務(wù)器相比，功耗更低，占用空間更少，連接線纜更少。模塊化組件:刀片式服務(wù)器、存儲和其他模塊化組件可以在不中斷電源的情況下輕松添加或移除。靈活管理:刀片模塊和網(wǎng)絡(luò)連接模塊的管理不限于一個刀片機箱，系統(tǒng)可以允許跨刀片機箱的資源整合和共享。共享電源和冷卻系統(tǒng):刀片系統(tǒng)可以提供最佳的能耗比和最佳的冷卻效率。簡單的管理模式:無需復(fù)雜的規(guī)劃即可完成數(shù)據(jù)中心的系統(tǒng)冗余、供電、冷卻和管理的設(shè)計，模塊化的服務(wù)器、存儲和網(wǎng)絡(luò)設(shè)備均可通過一

39、個控制臺進行管理。投資保護:刀箱內(nèi)可安裝多種不同規(guī)格的服務(wù)器和網(wǎng)絡(luò)設(shè)備。下表列出了基本性能參數(shù):設(shè)備支架支持多達16臺半高刀片式服務(wù)器。支持多達8臺全高刀片式服務(wù)器。支持混合配置互連支架可支持8個網(wǎng)絡(luò)互聯(lián)模塊。電源集成機箱，最多可配置6個單相電源。迷集中式冗余風扇，最多可配置10個活動智能冷卻風扇。經(jīng)營冗余OA管理模塊-局域網(wǎng)和串行訪問支持本地KVM連接措施4.7厘米(寬)81.3厘米(深)44.2厘米(高)毛重204Kg輸入電壓交換；通訊額定電壓范圍:200伏 240伏交流電，50/60赫茲直流額定電壓范圍:-36V -72V DC工作環(huán)境溫度10攝氏度35攝氏度工作環(huán)境濕度10%90%下表

40、列出了網(wǎng)絡(luò)模塊:Flex-10 26端口VC模塊港口形狀向下端口:16*10GE上行鏈路:10*10GE堆疊端口:4*10GE網(wǎng)絡(luò)特征支持端口虛擬化為4個虛擬端口；支持無狀態(tài)計算；FlexFabric 24端口VC模塊港口形狀向下端口:16*10GE上行端口:8*10GE(其中4個可以切換到8Gb FC端口)堆疊端口:2*10GE網(wǎng)絡(luò)特征支持端口虛擬化為4個虛擬端口；支持無狀態(tài)計算；支持FCOE；B6300XLG以太網(wǎng)模塊港口形狀向下端口:16*10GE上行鏈路:8*10GE+4*40GE堆疊端口:4*10GE網(wǎng)絡(luò)特征支持FCOE、IRF2、IPv4/IPv6、VEPA、SPB、TRILL；B

41、6300G/XG以太網(wǎng)模塊港口形狀向下端口:16*GE上行鏈路:4*GE+4*10GE堆疊端口:1*10GE網(wǎng)絡(luò)特征IRF/vrrp/rrpp/supported；24端口FC VC模塊港口形狀向下端口:16*8Gb上行端口:8*8Gb網(wǎng)絡(luò)特征支持無狀態(tài)計算；支持NPIV模式和N _ port計算虛擬化設(shè)計服務(wù)器是云計算平臺的核心，承擔著云計算平臺的“計算”功能。對于云計算平臺上的服務(wù)器，通常將相同或相似類型的服務(wù)器組合在一起作為資源分配的母體，即所謂的服務(wù)器資源池。在這個服務(wù)器資源池上，通過安裝虛擬化軟件，其計算資源可以以云主機的方式被不同的應(yīng)用和用戶使用。在x86服務(wù)器上，主要以H3Clo

42、ud云主機的形式存在。在隨后的方案描述中，云主機都有描述，如下:H3C虛擬化軟件的組成。CVK:云虛擬化內(nèi)核，虛擬化核心平臺運行在基礎(chǔ)設(shè)施層和上層操作系統(tǒng)之間的“元”操作系統(tǒng)用于協(xié)調(diào)上層操作系統(tǒng)對下層硬件資源的訪問，減少軟件對硬件設(shè)備和驅(qū)動程序的依賴，加強虛擬化操作環(huán)境中的硬件兼容性、高可靠性、高可用性、可擴展性、性能優(yōu)化等問題。CVM:虛擬化管理系統(tǒng)云虛擬化經(jīng)理主要實現(xiàn)數(shù)據(jù)中心內(nèi)計算、網(wǎng)絡(luò)、存儲等硬件資源的軟件虛擬化，形成虛擬資源池，為上層應(yīng)用提供自動化服務(wù)。其業(yè)務(wù)范圍包括:虛擬計算、虛擬網(wǎng)絡(luò)、虛擬存儲、高可靠性(HA)、動態(tài)資源調(diào)度(DRS)、云主機容災(zāi)備份、云主機模板管理、集群文件系統(tǒng)、

43、虛擬交換機策略等。H3C的CAS虛擬化平臺用于虛擬化多臺服務(wù)器，然后將它們連接到共享存儲，構(gòu)建一個計算資源池，可以通過網(wǎng)絡(luò)按需為用戶提供計算資源服務(wù)。同一資源池中的云主機可以在資源池中的物理服務(wù)器上動態(tài)漂移，從而實現(xiàn)資源的動態(tài)分配。CAS產(chǎn)品的邏輯架構(gòu)圖如下:計算資源池的構(gòu)建可以通過以下四個步驟來完成:計算資源池的分類設(shè)計、主機池設(shè)計、集群設(shè)計、云主機設(shè)計。1)計算資源池的分類設(shè)計在設(shè)置服務(wù)器資源池之前，我們應(yīng)該首先確定資源池的數(shù)量和類型，并對服務(wù)器進行分類。分類標準通常根據(jù)服務(wù)器的CPU類型、型號、配置、物理位置和用途來確定。對于云計算平臺，屬于同一個資源池的服務(wù)器通常被視為一組可以相互替代

44、的資源。所以一般配置處理器相同、型號系列相近、物理位置相近的服務(wù)器，比如型號相近、物理距離不遠的機架式服務(wù)器。在規(guī)劃資源庫的時候，也要考慮它的規(guī)模和功能。如果單個資源池的規(guī)模更大，可以為云計算平臺提供更大的靈活性和容錯性:可以在其上部署更多的應(yīng)用程序，單個物理服務(wù)器的宕機對整個資源池的影響更小。同時，過大的規(guī)模也會給出口網(wǎng)絡(luò)的吞吐量帶來更大的壓力，不同應(yīng)用之間的干擾也會更大。初始資源池規(guī)劃應(yīng)涵蓋云計算平臺可管理的所有服務(wù)器資源，包括新購買的用于構(gòu)建云計算平臺的服務(wù)器、用戶部門當前閑置的服務(wù)器以及運行業(yè)務(wù)應(yīng)用的現(xiàn)有服務(wù)器。在云計算平臺的初期，那些目前服務(wù)于業(yè)務(wù)系統(tǒng)的服務(wù)器不會直接歸云計算平臺管轄

45、。但是，隨著云計算平臺的推出和業(yè)務(wù)系統(tǒng)的逐步遷移，這些服務(wù)器將逐漸被并入云計算平臺的資源池。我們根據(jù)用戶的需求，將云計算資源池按照用途分為云主機&云存儲區(qū)域資源池、管理和服務(wù)區(qū)域資源池，以便云計算平臺在項目的實施過程中和平臺上線后的運維過程中使用。云計算平臺搭建完成后，服務(wù)器資源池可以如下圖所示:H3C CVM虛擬化管理平臺系統(tǒng)以樹形結(jié)構(gòu)組織管理云計算資源池的物理服務(wù)器資源，云資源中被管理對象之間的關(guān)系如下圖所示:2)主機池設(shè)計在完整的云計算軟件架構(gòu)中，主機池是一系列主機和集群的集合，主機可以包含在集群中，也可以獨立存在。所有未加入群集的主機都在主機池中進行管理。3)集群設(shè)計集群的目的是使用戶

46、能夠像管理單個實體一樣輕松地管理多個主機和云主機，從而降低管理的復(fù)雜性。同時，通過定期監(jiān)控集群主機和云主機的狀態(tài)，如果一臺服務(wù)器主機出現(xiàn)故障，在該主機上運行的所有云主機都可以在集群中的其他主機上重啟，從而保證數(shù)據(jù)中心業(yè)務(wù)的連續(xù)性。4)云主機設(shè)計每一臺云主機都是一個完整的系統(tǒng)，有CPU，內(nèi)存，網(wǎng)絡(luò)設(shè)備，存儲設(shè)備，BIOS。因此，云主機和物理服務(wù)器中的操作系統(tǒng)和應(yīng)用程序沒有區(qū)別。與物理服務(wù)器相比，云主機具有以下優(yōu)勢:在標準x86物理服務(wù)器上運行。可以訪問物理服務(wù)器的所有資源(如CPU、內(nèi)存、磁盤、網(wǎng)絡(luò)設(shè)備和外設(shè))，任何應(yīng)用都可以在云主機上運行。默認情況下，云主機之間是完全隔離的，從而實現(xiàn)安全的數(shù)據(jù)

47、處理、網(wǎng)絡(luò)連接和數(shù)據(jù)存儲。它可以與其他云主機共存于同一臺物理服務(wù)器上，從而充分利用硬件資源。云主機鏡像文件和應(yīng)用可以封裝在文件中，云主機可以通過簡單的文件復(fù)制進行部署、備份和恢復(fù)。它具有移動性和智能性，可以在不同的物理服務(wù)器之間輕松遷移整個云主機系統(tǒng)(包括虛擬硬件、操作系統(tǒng)和配置的應(yīng)用程序)，即使云主機正在運行。它可以將分布式資源管理與高可用性結(jié)合起來，從而為應(yīng)用程序提供比靜態(tài)物理基礎(chǔ)設(shè)施更高的服務(wù)優(yōu)先級。它可以作為即插即用的虛擬工具(包括一整套虛擬硬件、操作系統(tǒng)和配置的應(yīng)用程序)來構(gòu)建和分發(fā)，以實現(xiàn)快速部署。在計算資源池中，一般物理服務(wù)器與云主機的整合比例平均不超過1:8，單臺物理服務(wù)器上所

48、有云主機的vCPU之和不超過物理機總核數(shù)的1.5倍，單臺物理服務(wù)器上所有云主機之和不超過物理存儲的120%。構(gòu)建計算資源池后，軟件本身需要保證整個計算資源池和應(yīng)用的可用性和可靠性。H3C CAS虛擬化軟件通過以下技術(shù)滿足可用性和可靠性的要求:5)云主機模板設(shè)計云主機模板包括云主機的vCPU、存儲等參數(shù)，主機根據(jù)主要應(yīng)用系統(tǒng)的負載提供不同的規(guī)格。當使用云計算向用戶交付服務(wù)時，用戶通過云門戶申請的IT服務(wù)資源是業(yè)務(wù)應(yīng)用模板，因此需要提前設(shè)計相應(yīng)的IT服務(wù)模板并發(fā)布到云門戶。當用戶申請該服務(wù)時，云平臺根據(jù)模板進行資源排列，快速生成云主機相關(guān)資源供用戶使用。6)高可用性設(shè)計高可用性包括兩個方面:1.云

49、主機之間的隔離:每個云主機都可以隔離保護，一個云主機的故障不會影響同一物理機上的其他云主機；2.物理機故障不會影響應(yīng)用:運行在故障物理機上的云主機可以自動遷移接管，即云主機可以在同一個集群的多臺服務(wù)器之間遷移，從而實現(xiàn)多臺物理服務(wù)器之間的相互熱備，實現(xiàn)當其中一臺物理服務(wù)器出現(xiàn)故障時，其上的云主機可以自動切換到其他服務(wù)器，應(yīng)用可以保證物理機宕機時零宕機。H3C CAS虛擬化平臺的HA功能將監(jiān)控該集群中的所有主機以及物理主機運行的虛擬主機。當物理主機出現(xiàn)故障并停機時，HA功能組件將立即做出響應(yīng)，并重啟運行在集群中另一臺主機上的云主機。當出現(xiàn)問題時，HA功能會自動重啟云主機，恢復(fù)中斷的業(yè)務(wù)。7)動態(tài)

50、資源調(diào)度動態(tài)資源調(diào)度功能可以持續(xù)監(jiān)控計算資源池中各物理主機的利用率，根據(jù)用戶的實際需求，智能地將所需的計算資源分配給計算資源池中各物理主機之間的虛擬機。通過自動和動態(tài)地分配和平衡計算資源，動態(tài)資源調(diào)整功能可以:整合服務(wù)器，降低IT成本和增強靈活性；減少停機時間，保持業(yè)務(wù)連續(xù)性和穩(wěn)定性；減少需要運行的服務(wù)器數(shù)量，提高能源利用率。動態(tài)資源調(diào)度功能組件能夠自動持續(xù)地平衡計算資源池中的容量，并能夠動態(tài)地將云主機遷移到具有更多可用計算資源的主機上，以滿足虛擬機對計算資源的需求。即使大量虛擬機運行SQLServer，只要開啟動態(tài)資源調(diào)整功能，也不需要逐個監(jiān)控CPU和內(nèi)存瓶頸。全自動的資源分配和負載均衡功能

51、還可以顯著提高數(shù)據(jù)中心計算資源的利用效率，降低數(shù)據(jù)中心的成本和運營費用。如上圖所示，動態(tài)資源調(diào)整功能通過心跳機制定時監(jiān)控集群主機的CPU利用率，并根據(jù)用戶自定義的規(guī)則判斷是否需要為該主機在集群中尋找可用資源更多的主機，從而將該主機上的云主機遷移到另一臺資源更合適的服務(wù)器上。8)動態(tài)資源擴展特性計算虛擬化簡化了部署業(yè)務(wù)服務(wù)器的流程和具體工作，大大縮短了新業(yè)務(wù)服務(wù)器的部署周期，并使通過快速添加或刪除業(yè)務(wù)服務(wù)器來應(yīng)對業(yè)務(wù)訪問的突然變化成為可能。因此，已經(jīng)部署云業(yè)務(wù)環(huán)境的用戶開始考慮采用動態(tài)部署模式來應(yīng)對業(yè)務(wù)訪問的突發(fā)需求。但是，采用動態(tài)資源部署的前提是，IT管理人員能夠?qū)I(yè)務(wù)訪問的突然變化保持敏感，

52、并能夠快速采取措施進行處理。然而，在目前的IT基礎(chǔ)設(shè)施中，業(yè)務(wù)負載監(jiān)控平臺、虛擬服務(wù)器管理平臺和業(yè)務(wù)分發(fā)系統(tǒng)往往是分離的，沒有集成在一起形成統(tǒng)一的方案。當IT管理人員感知到業(yè)務(wù)訪問的變化時，他們只能手動增加或減少虛擬服務(wù)器，并在業(yè)務(wù)分發(fā)系統(tǒng)中進行配置。這無疑是不靈活和低效的。為了滿足這些需求，H3C CAS虛擬化平臺可以實現(xiàn)面向應(yīng)用的云動態(tài)資源擴展解決方案DRX，如下圖所示。H3C虛擬化管理系統(tǒng)可以檢測到業(yè)務(wù)所在的云主機性能不足，快速復(fù)制云主機，配合負載均衡設(shè)備對外提供服務(wù)。當訪問高峰結(jié)束時，虛擬化管理系統(tǒng)可以動態(tài)收縮和刪除多余的云主機，以便計算資源可以按需移動。虛擬管理平臺的設(shè)計H3C CA

53、S CVM虛擬化管理系統(tǒng)是H3cas虛擬化平臺的核心組成部分之一，主要實現(xiàn)對數(shù)據(jù)中心的計算、網(wǎng)絡(luò)、存儲等資源池的管理和控制，并為上層應(yīng)用提供自動化服務(wù)。CVM平臺可以集中管理數(shù)千臺物理服務(wù)器和數(shù)萬臺云主機，所有相關(guān)任務(wù)都可以通過統(tǒng)一的管理平臺集中管理。管理員只需要鍵盤鼠標就可以實現(xiàn)云主機的部署、配置和遠程訪問。軟件界面如下所示。虛擬化管理系統(tǒng)可以實現(xiàn)以下功能:基于集群的集中管理、共享存儲管理能力、虛擬交換機管理和資源使用監(jiān)控?；诩旱募泄芾恚籋3C CAS CVM虛擬化管理系統(tǒng)將服務(wù)器主機和云主機組織成集群。單個集群支持超過5，000臺物理機和超過1pb的分布式共享文件系統(tǒng)存儲。此外，單個

54、集群支持的并行任務(wù)調(diào)度數(shù)量不低于10萬。它提供了清晰的分層視圖，直觀地展示了數(shù)據(jù)中心、主機池、集群、主機和云主機之間的關(guān)系，大大簡化了資源管理的工作量。基于集群的集中管理的優(yōu)勢是:借助集中管理功能，管理員可以通過統(tǒng)一的界面組織、部署、監(jiān)控和配置整個IT環(huán)境，從而降低管理成本。由多個獨立的服務(wù)器主機聚合而成的具有共享資源池的集群，不僅降低了管理的復(fù)雜性，而且具有高可用性。通過監(jiān)控集群中的所有主機，一旦一臺主機出現(xiàn)故障，H3C CAS CVM虛擬化管理系統(tǒng)將立即做出響應(yīng)，并在集群中的另一臺主機上重啟受影響的云主機。此外，它支持集群的在線擴展，從而為用戶提供了一個經(jīng)濟有效的高可用性解決方案。共享存儲

55、管理H3C中科院CVM虛擬化管理系統(tǒng)中的虛擬機文件系統(tǒng)是一個優(yōu)化的高性能集群文件系統(tǒng)，允許多個計算節(jié)點同時訪問同一個虛擬機存儲。由于虛擬體系結(jié)構(gòu)系統(tǒng)中的虛擬機實際上封裝在一個歸檔文件和幾個相關(guān)的環(huán)境配置文件中，因此通過將這些文件放在SAN存儲陣列上的文件系統(tǒng)中，不同服務(wù)器上的虛擬機可以訪問這些文件，從而消除了單點故障。虛擬交換機管理虛擬交換機是由軟件實現(xiàn)的IP報文轉(zhuǎn)發(fā)和控制模塊。在物理環(huán)境中，物理服務(wù)器通過物理交換機連接到網(wǎng)絡(luò)，而在云平臺中，云主機通過虛擬交換機連接到網(wǎng)絡(luò)。為了讓維護人員直觀易懂，H3C的虛擬化管理系統(tǒng)中會有一個直觀易懂的虛擬交換機管理界面，如下圖所示。H3C CAS虛擬交換機

56、旨在將整個虛擬交換機呈現(xiàn)為物理交換機的面板，連接到虛擬交換機的云主機的虛擬網(wǎng)卡由綠色閃爍的端口表示。每個閃爍的綠色端口代表一個活動的虛擬端口，可以顯示端口名稱、連接端口的云主機名稱、云主機的vNIC對應(yīng)的MAC地址等。性能監(jiān)控，包括以下監(jiān)控參數(shù):物理服務(wù)器性能狀態(tài)的監(jiān)控:提供物理服務(wù)器的CPU、內(nèi)存等計算資源的圖形化報告和其上運行的云主機利用率TOP5報告，為管理員實施合理的資源規(guī)劃提供詳細的數(shù)據(jù)。云主機性能狀態(tài)監(jiān)控:對云主機的CPU、內(nèi)存、磁盤I/O、網(wǎng)絡(luò)I/O等關(guān)鍵資源提供全面的性能監(jiān)控。虛擬交換機狀態(tài)監(jiān)控:為虛擬交換機上的每個虛擬端口提供流量統(tǒng)計和模擬面板的圖形顯示。虛擬網(wǎng)卡性能狀態(tài)監(jiān)控

57、:提供進出云主機的虛擬端口流量的圖形實時顯示。數(shù)據(jù)中心管理設(shè)計H3UIS統(tǒng)一基礎(chǔ)設(shè)施系統(tǒng)是H3C推出的面向IaaS(基礎(chǔ)設(shè)施即服務(wù))層的整體云計算解決方案。通過深度整合傳統(tǒng)的計算、網(wǎng)絡(luò)、存儲、管理軟件等組件，它可以有效地為用戶提供快速的業(yè)務(wù)在線、集成管理、簡單的運維以及更低的TCO。H3is統(tǒng)一基礎(chǔ)架構(gòu)系統(tǒng)包括UIS統(tǒng)一管理矩陣、UIS8000刀庫、UIS B系列刀片服務(wù)器、UIS R系列機架式服務(wù)器、UIS Cell云業(yè)務(wù)單元和UIS Pack云業(yè)務(wù)系統(tǒng)。其中，H3UIS統(tǒng)一管理矩陣是將數(shù)據(jù)中心網(wǎng)絡(luò)、刀片服務(wù)器、機架式服務(wù)器、服務(wù)器虛擬化，實現(xiàn)與存儲等基礎(chǔ)組件統(tǒng)一管理和部署的設(shè)備。它摒棄了傳

58、統(tǒng)的碎片化管理，使基礎(chǔ)設(shè)施部署和IT運維變得簡單。H3UIS統(tǒng)一管理矩陣集成了服務(wù)器、交換機、KVM控制器，創(chuàng)新性地集成了統(tǒng)一管理、路由切換、KVM切換等功能。UIS統(tǒng)一管理矩陣分為機架式和刀片式兩種形式，用戶可以根據(jù)數(shù)據(jù)中心的規(guī)模進行靈活選擇。對于一些數(shù)據(jù)中心規(guī)模較小的中小型用戶來說，H3UIS8000刀盒由于高度集成了服務(wù)器、網(wǎng)絡(luò)、存儲、服務(wù)器虛擬化等組件，可以滿足用戶的業(yè)務(wù)需求。對于單機架UIS8000，在UIS8000刀箱中嵌入UIS統(tǒng)一管理矩陣，登錄UIS統(tǒng)一管理矩陣，可以實現(xiàn)單個刀箱的服務(wù)器、網(wǎng)絡(luò)、存儲、虛擬化軟件、刀箱等組件的統(tǒng)一管理。因此，單框架UIS8000可以提供IaaS層

59、所需的所有組件和統(tǒng)一管理?！岸嗪弦弧钡奶攸c充分詮釋了UIS8000“一體式框架”對于大規(guī)模數(shù)據(jù)中心，往往存在刀片設(shè)備和機架設(shè)備的混合組網(wǎng)，機架UIS統(tǒng)一管理矩陣可以實現(xiàn)對服務(wù)器、網(wǎng)絡(luò)、存儲、虛擬化軟件等下游組件的統(tǒng)一管理。作為H3C UIS統(tǒng)一基礎(chǔ)設(shè)施體系的重要組成部分，UIS統(tǒng)一管理矩陣也充分體現(xiàn)了深度融合的特點。UIS統(tǒng)一管理它集成了矩陣服務(wù)器、交換機、KVM控制器等設(shè)備，創(chuàng)新性地集成了統(tǒng)一管理、路由切換、KVM切換等功能。不僅大大降低了設(shè)備購置成本，也降低了維護難度。集成管理系統(tǒng)設(shè)計網(wǎng)絡(luò)管理設(shè)計隨著網(wǎng)絡(luò)建設(shè)的不斷發(fā)展，除了單純追求高帶寬、高速度，安全的網(wǎng)絡(luò)、高效的網(wǎng)絡(luò)、可操作的網(wǎng)絡(luò)成為越

60、來越多用戶關(guān)注的焦點，網(wǎng)絡(luò)的精細化管理越來越受歡迎。一套好的管理軟件無疑對網(wǎng)絡(luò)的精細化管理起著至關(guān)重要的作用?；诙嗄甑姆e累和對用戶網(wǎng)絡(luò)的深入了解，H3C智能管理中心(iMC)平臺(以下簡稱iMC平臺)為用戶提供了實用易用的網(wǎng)絡(luò)管理功能。在集中管理網(wǎng)絡(luò)資源的基礎(chǔ)上，實現(xiàn)了拓撲、故障、性能、配置、安全等管理功能。，不僅提供功能，還通過流程指導告訴用戶如何使用功能滿足業(yè)務(wù)需求，為用戶提供網(wǎng)絡(luò)精細化。對于設(shè)備數(shù)量多、分布區(qū)域廣、網(wǎng)絡(luò)相對集中的網(wǎng)絡(luò)，iMC平臺提供分級管理功能，有利于全網(wǎng)明確的去中心化管理和負載分擔。IMC平臺不僅涵蓋了網(wǎng)絡(luò)管理功能，也是其他業(yè)務(wù)管理組件的承載平臺，實現(xiàn)了管理的深度融合