集團云計算咨詢項目詳細設計方案

1、PAGE 集團云計算咨詢項目詳細設計方案目錄 TOC o 1-3 h z u HYPERLINK l _Toc47295570 1前言 PAGEREF _Toc47295570 h 3 HYPERLINK l _Toc47295571 1.1背景 PAGEREF _Toc47295571 h 3 HYPERLINK l _Toc47295572 1.2文檔目的 PAGEREF _Toc47295572 h 3 HYPERLINK l _Toc47295573 1.3適用范圍 PAGEREF _Toc47295573 h 3 HYPERLINK l _Toc47295574 1.4參考文檔 PA

2、GEREF _Toc47295574 h 3 HYPERLINK l _Toc47295575 2現(xiàn)狀及需求分析 PAGEREF _Toc47295575 h 4 HYPERLINK l _Toc47295576 2.1現(xiàn)狀分析 PAGEREF _Toc47295576 h 4 HYPERLINK l _Toc47295577 2.2需求分析 PAGEREF _Toc47295577 h 12 HYPERLINK l _Toc47295578 3設計綜述 PAGEREF _Toc47295578 h 18 HYPERLINK l _Toc47295579 3.1設計原則 PAGEREF _To

3、c47295579 h 18 HYPERLINK l _Toc47295580 3.2設計思路 PAGEREF _Toc47295580 h 20 HYPERLINK l _Toc47295581 3.2.1物理資源模塊化、標準化 PAGEREF _Toc47295581 h 22 HYPERLINK l _Toc47295582 3.2.2資源池化 PAGEREF _Toc47295582 h 22 HYPERLINK l _Toc47295583 3.2.3統(tǒng)一的資源管控平臺 PAGEREF _Toc47295583 h 23 HYPERLINK l _Toc47295584 3.2.4業(yè)

4、務連續(xù)性保證 PAGEREF _Toc47295584 h 24 HYPERLINK l _Toc47295585 3.2.5云安全服務 PAGEREF _Toc47295585 h 24 HYPERLINK l _Toc47295586 3.2.6運維場景化 PAGEREF _Toc47295586 h 25 HYPERLINK l _Toc47295587 3.3建設目標 PAGEREF _Toc47295587 h 25 HYPERLINK l _Toc47295588 3.3.1建設目標 PAGEREF _Toc47295588 h 25 HYPERLINK l _Toc4729558

5、9 3.3.2總體建設思路 PAGEREF _Toc47295589 h 26 HYPERLINK l _Toc47295590 4集團云計算規(guī)劃 PAGEREF _Toc47295590 h 28 HYPERLINK l _Toc47295591 4.1整體架構(gòu)規(guī)劃 PAGEREF _Toc47295591 h 28 HYPERLINK l _Toc47295592 4.2IaaS規(guī)劃 PAGEREF _Toc47295592 h 28 HYPERLINK l _Toc47295593 4.2.1基礎(chǔ)網(wǎng)絡 PAGEREF _Toc47295593 h 29 HYPERLINK l _Toc4

6、7295594 4.2.2云網(wǎng)絡 PAGEREF _Toc47295594 h 90 HYPERLINK l _Toc47295595 4.2.3計算 PAGEREF _Toc47295595 h 100 HYPERLINK l _Toc47295596 4.2.4存儲 PAGEREF _Toc47295596 h 112 HYPERLINK l _Toc47295597 4.2.5云平臺 PAGEREF _Toc47295597 h 127 HYPERLINK l _Toc47295598 4.2.6安全 PAGEREF _Toc47295598 h 142 HYPERLINK l _Toc

7、47295599 4.2.7運維 PAGEREF _Toc47295599 h 170 HYPERLINK l _Toc47295600 4.2.8容災 PAGEREF _Toc47295600 h 193 HYPERLINK l _Toc47295601 4.3PaaS規(guī)劃 PAGEREF _Toc47295601 h 201 HYPERLINK l _Toc47295602 4.3.1PaaS建設目的 PAGEREF _Toc47295602 h 201 HYPERLINK l _Toc47295603 4.3.2PaaS選型 PAGEREF _Toc47295603 h 202 HYPE

8、RLINK l _Toc47295604 4.3.3PaaS路線規(guī)劃 PAGEREF _Toc47295604 h 203 HYPERLINK l _Toc47295605 4.4SaaS規(guī)劃 PAGEREF _Toc47295605 h 207 HYPERLINK l _Toc47295606 4.4.1SaaS建設目的 PAGEREF _Toc47295606 h 207 HYPERLINK l _Toc47295607 4.4.2SaaS路線規(guī)劃 PAGEREF _Toc47295607 h 207 HYPERLINK l _Toc47295608 5路線圖規(guī)劃 PAGEREF _Toc

9、47295608 h 212 HYPERLINK l _Toc47295609 5.1整體路線圖 PAGEREF _Toc47295609 h 212 HYPERLINK l _Toc47295610 5.2第一階段（2017年）：統(tǒng)一IT資源化 PAGEREF _Toc47295610 h 213 HYPERLINK l _Toc47295611 5.3第二階段（2018年）：科研環(huán)境平臺化 PAGEREF _Toc47295611 h 214 HYPERLINK l _Toc47295612 5.4第三階段（2019年）：業(yè)務應用服務化 PAGEREF _Toc47295612 h 215

10、 HYPERLINK l _Toc47295613 5.5集團云計算建設預期效果與意義 PAGEREF _Toc47295613 h 216前言背景集團信息中心中心引入日趨成熟的云計算技術(shù)，建設面向全院及國網(wǎng)相關(guān)單位提供云計算服務的電力科研云，支撐全院各個單位的資源供給、數(shù)據(jù)共享、技術(shù)創(chuàng)新等需求。規(guī)劃完成IaaS、PaaS、SaaS的統(tǒng)一設計與建設路線設計,實現(xiàn)云計算中心資源的統(tǒng)一管理及云計算服務統(tǒng)一提供；完成云計算中心的模塊化設計，逐漸完善云運營、云管理、云運維及云安全等模塊的標準化、流程化、可視化的建設；是本次咨詢規(guī)劃的主要考慮。文檔目的本文檔為集團云計算咨詢項目的咨詢設計方案，將作為集團

11、信息中心云計算建設的指導性文件和依據(jù)。適用范圍本文檔資料主要面向負責集團信息中心云計算建設的負責人、項目經(jīng)理、設計人員、維護人員、工程師等，以便通過參考本文檔資料指導集團云計算數(shù)據(jù)中心的具體建設。參考文檔集團云計算咨詢項目訪談紀要信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求（GB/T 22239-2008）信息系統(tǒng)災難恢復規(guī)范（GB/T20988-2007）OpenStack Administrator Guide（ HYPERLINK / /）OpenStack High Availability Guide（ HYPERLINK / /）OpenStack Operations Guide（

12、HYPERLINK / /）OpenStack Architecture Design Guide（ HYPERLINK / /）現(xiàn)狀及需求分析現(xiàn)狀分析集團承載著行業(yè)多學科、綜合性的科研工作，其信息化建設起步較早，但當前并行存在多套具有各自架構(gòu)特點的平臺，孤島式建設導致資源不能重用，阻礙信息和業(yè)務的進一步深度集成和共享。集團當前IT開發(fā)平臺不統(tǒng)一，各系統(tǒng)獨立部署，形成資源孤島，業(yè)務故障無法快速排除；架構(gòu)上多套系統(tǒng)架構(gòu)完全不同，沒有統(tǒng)一的可靠性/可用性/安全性的軟件架構(gòu)設計，導致系統(tǒng)的可用性低，出現(xiàn)故障難以快速恢復。在機房建設方面，集團現(xiàn)有北京、南京、武漢三地四個數(shù)據(jù)中心機房，實現(xiàn)了應用的本地化

13、部署，同時個數(shù)據(jù)中心之間通過專線連接，鏈路質(zhì)量有保障，為異地容災提供了基礎(chǔ)。但是四個中心沒有規(guī)劃災備體系，數(shù)據(jù)中心沒有明確的職能劃分，數(shù)據(jù)中心之間的鏈路大多是單線，存在單點故障，且鏈路帶寬已經(jīng)不能滿足現(xiàn)有集團業(yè)務發(fā)現(xiàn)的需求。(1)網(wǎng)絡現(xiàn)狀集團的網(wǎng)絡分為信息內(nèi)網(wǎng)和信息外網(wǎng)，信息內(nèi)網(wǎng)與信息外網(wǎng)之間物理隔離，通過網(wǎng)閘進數(shù)據(jù)擺渡。信息內(nèi)網(wǎng)承載全院用戶訪問自建業(yè)務系統(tǒng)和集團統(tǒng)推業(yè)務系統(tǒng)的內(nèi)網(wǎng)流量；信息外網(wǎng)承載全院用戶訪問Inernet及對公網(wǎng)用戶提供服務的流量；信息內(nèi)網(wǎng)和信息外網(wǎng)的網(wǎng)絡拓撲都采用星型，全網(wǎng)都采用靜態(tài)路由實現(xiàn)互通目前網(wǎng)絡運行基本正常，關(guān)鍵節(jié)點的設備和鏈路（清河核心、南京院區(qū)、武漢院區(qū)）采用

14、冗余部署，具備一定的可用性；在網(wǎng)絡出口部署防火墻對集團信息內(nèi)網(wǎng)進行整體安全防護，專門的DMZ區(qū)對外提供服務，并部署WAF進行WEB安全防護但隨著IT環(huán)境的日益復雜，規(guī)模日益增長，網(wǎng)絡系統(tǒng)局部存在問題仍有待改善：設備、鏈路、服務器接入有較多的單點，缺少冗余，可用性不高；網(wǎng)絡架構(gòu)層次不清晰，數(shù)據(jù)中心和辦公網(wǎng)未有效隔離，數(shù)據(jù)中心沒有進行功能區(qū)域劃分；二層廣播域跨越雙中心，出現(xiàn)廣播風暴會導致整網(wǎng)不可用；數(shù)據(jù)中心沒有進行功能區(qū)域劃分，缺少統(tǒng)一的安全策略；安全防護手段比較單一，缺乏安全縱深；網(wǎng)絡設備配置存在安全薄弱環(huán)節(jié)，業(yè)務流量的監(jiān)控和分析手段不足；大數(shù)據(jù)相關(guān)業(yè)務的網(wǎng)絡都為千兆，存在帶寬瓶頸；帶外管理網(wǎng)不

15、完備，運維管理效率不高；網(wǎng)絡基礎(chǔ)服務沒有統(tǒng)一的管理（DHCP、DNS、NTP等）（2）服務器現(xiàn)狀集團目前已有729臺服務器，其中小型機1臺，X86服務器488臺，刀片服務器240臺，大部分服務器采用的是開發(fā)的X86架構(gòu)，具有標準化的基礎(chǔ)。目前全院正在逐步將服務器集中管理，由信息中心統(tǒng)一運維和規(guī)劃，并且已經(jīng)采用虛擬化的方式提供IT基礎(chǔ)服務，避免了豎井式建設的資源浪費。但是集團大部分服務器服務年限過長，已經(jīng)過保，存在嚴重的隱患；同時服務器的CPU和內(nèi)存利用率普遍過低；大部分的服務器只配置了單網(wǎng)卡，存在鏈路單點問題，大部分服務器部署了一張網(wǎng)絡平面，隨著業(yè)務的發(fā)展和架構(gòu)的演進，該網(wǎng)絡平面將要同時承載業(yè)

16、務、管理和存儲三種類型的流量，將會相互影響和沖突；沒有根據(jù)服務器承載的業(yè)務或者功能進行有效的劃分。目前集團采用華為虛擬化平臺構(gòu)建計算資源池，在提高了資源利用率，節(jié)能減排、業(yè)務快速部署上取得了明顯的效果；正逐步將業(yè)務系統(tǒng)遷移至虛擬化平臺上，完成了部分業(yè)務的云化工作。但是集群規(guī)模不統(tǒng)一，有3臺一個集群，6臺一個集群，且未進行規(guī)劃，未來擴展不方便；劃分的存儲LUN也不統(tǒng)一，3T10幾T不等，LUN的命名也不規(guī)范；資源嚴重超配，已經(jīng)超過集群規(guī)模的150%，集群已無法正常啟動HA機制；對于是否適合虛擬化未進行嚴格的評估，大數(shù)據(jù)部署在虛擬化平臺上，資源爭用嚴重；虛擬化管理平臺單機部署，存在單點故障。（3）

17、存儲現(xiàn)狀在存儲方面，已有的15套FC SAN存儲IOPS指標較高，采用的多控制器架構(gòu)支持高可用性，可良好的滿足已有業(yè)務的運行；SAN存儲作為共享存儲和虛擬化平臺結(jié)合，為當前喝多單機部署的業(yè)務提供了高可用性。但是未建立完整的存儲分層架構(gòu)設計，全部采用FC存儲，存儲成本很高；無完善的統(tǒng)一存儲網(wǎng)絡導致SAN孤島現(xiàn)狀，影響存儲資源池的建設；業(yè)務和服務的RTO和RPO數(shù)值不明確，數(shù)據(jù)也未采用任何容災備份架構(gòu)或本地高可用架構(gòu)，數(shù)據(jù)安全性較低；由于無存儲監(jiān)控軟件，當前存儲的運維復雜度較高，依靠人工每天定時三次登陸存儲設備意義排查。（4）安全現(xiàn)狀安全方面集團目前沿用傳統(tǒng)安全組織架構(gòu)。由集團領(lǐng)導層擔任信息安全決

18、策層，由集團信息中心擔任知悉層，各部門和其他院所配有安全專職。組織架構(gòu)清晰，職責分工明確；有比較完善的ISO 27001三級文檔；部署有部分安全產(chǎn)品，對云平臺起一定的安全防護作用。但是信息中心負責集團的信息安全執(zhí)行，在人員配備上存在不足；缺失云安全相關(guān)的安全制度；網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全的防護能力不足，在現(xiàn)網(wǎng)中缺失安全技術(shù)點，存在安全產(chǎn)品配置不合理的情況。（5）運維現(xiàn)狀在運維方面院領(lǐng)導已對運維管理的規(guī)劃性和流程體系的建設非常重視，并希望通過此項目在運維體系建設方面有所成果；目前已具備有服務請求、問題、變更等流程，并正在使用中，相關(guān)流程的配套文檔也在逐步完善。但是運維缺乏統(tǒng)一規(guī)劃，

19、建設完成后轉(zhuǎn)維困難；目前運維工作主以被動響應為主，缺乏主動防范；監(jiān)控系統(tǒng)僅覆蓋了網(wǎng)絡，云平臺、應用的監(jiān)控尚在測試中；SLA尚未發(fā)布，無法對各院所提供明確的SLA承諾，缺乏提供云服務的基本條件；缺乏專業(yè)的運維工具來支撐，運維工作的進度及效果很難得到管控，神碼工單系統(tǒng)目前處于測試階段，尚不能支撐，目前通過紙件、郵件、電話方式來處理日常運維工作的流轉(zhuǎn)；運維人員配備和知識結(jié)構(gòu)有待改進；運維流程不夠全面，需要結(jié)合云運維來補充和完善。需求分析多中心建設需求集團未來需要構(gòu)建三地四中心的災備體系，滿足集團同城雙活異地容災的云計算數(shù)據(jù)中心的規(guī)劃設計，不同中心的資源池統(tǒng)一管理，構(gòu)建集團科研云。網(wǎng)絡建設需求IT基礎(chǔ)

20、設施建設需求集團在IT基礎(chǔ)設施上需要提高IT基礎(chǔ)設施體運維效率和質(zhì)量，實現(xiàn)自動化和可視化運維；基礎(chǔ)設施資源池化，實現(xiàn)資源的彈性調(diào)度，提高資源利用率；縮短業(yè)務系統(tǒng)上線周期，適應業(yè)務快速發(fā)展需求。云運營建設需求需要構(gòu)建集團云統(tǒng)一服務門戶，集團云業(yè)務統(tǒng)一入口&一切即服務。應用系統(tǒng)對云計算的需求數(shù)據(jù)備份：希望通過統(tǒng)一的備份方案對重要數(shù)據(jù)進行備份和恢復，加強數(shù)據(jù)安全管理；可靠計算：通過云平臺的高可靠機制，消除應用系統(tǒng)的單點故障，為計算資源賦予高可靠性機制，需考慮虛擬機HA、應用HA、FT等容錯和數(shù)據(jù)保護機制；彈性計算：一些科研系統(tǒng)計算資源存在峰谷現(xiàn)象，平時資源閑置，忙時又沒有足夠的資源，嚴重制約科研進展

21、，計算資源池應具有彈性伸縮/擴展和自動均衡計算容量的功能 如DRS（Dynamic Resource Scheduler，動態(tài)資源調(diào)度）或DRX（ Dynamic Resource extensions，動態(tài)資源擴展）等計算特性；存儲建設需求分布式存儲建設：分布式存儲經(jīng)濟、高可用、近線性擴展，構(gòu)建分布式存儲資源池，降低存儲整體使用成本；統(tǒng)一FC存儲網(wǎng)：將現(xiàn)有各獨立的FC存儲打通，構(gòu)建FC存儲網(wǎng)絡，提升FC存儲的共享和擴展性；充分共享：形成存儲資源池，不僅僅用于云計算，而是滿足全院各業(yè)務系統(tǒng)對存儲的需求；云安全建設需求構(gòu)建符合等保三級要求和集團要求的安全體系。運維建設需求運維方式轉(zhuǎn)變：由當前的被

22、動服務方式逐步轉(zhuǎn)化位未來主動防范的運維方式；運維工具建設：建立統(tǒng)一的監(jiān)控平臺，實現(xiàn)數(shù)據(jù)中心所有資源統(tǒng)一監(jiān)控，運維與云服務統(tǒng)一，運營信息和運維信息統(tǒng)一大屏顯示；構(gòu)建監(jiān)控告警和告警分級，運維團隊能夠及時掌握告警信息；完成運維流程工具建設，實現(xiàn)核心流程電子化和自動化運維流程梳理：梳理現(xiàn)有流程及相關(guān)文檔，與流程工具整合，實現(xiàn)核心流程電子化和自動化運維團隊建設：提供運維人員崗位及技能建議，提供運維流程中的角色及職責建議。PaaS建設需求DevOps一體化流程,建設開發(fā)-測試-發(fā)布一體化的平臺；基于微服務的科研云環(huán)境；Cloud Native的業(yè)務云化；標準的開發(fā)測試環(huán)境，統(tǒng)一開發(fā)架構(gòu)，減少軟件平臺的類型

23、和版本，降低運維難度；設計綜述設計原則結(jié)合集團當前的實際現(xiàn)狀及未來三年業(yè)務發(fā)展需求，此次云計算規(guī)劃的考慮原則如下：關(guān)注IT能力的快速提升IT能力包括業(yè)務服務能力和運維能力上。業(yè)務服務能力上，從技術(shù)層面來說，包括物理硬件資源、云計算資源抽象層、統(tǒng)一的應用平臺以及應用軟件。運維能力則包括了人員、流程、工具等各個方面。IT能力組成示意對于云計算技術(shù)的選擇以及運維工具的選擇上，在技術(shù)對比之外，更應關(guān)注于選擇本身是否能給集團帶來業(yè)務服務能力以及運維能力的快速提升上，并以此作為評判的基本原則。采用開放的架構(gòu)開放本身有兩個含義：源代碼開放和標準開放。源代碼開放，允許集團可以擁有完全的掌控，可以修改或則增加新

24、的功能滿足集團自身的需要；標準開放意味著集團可以通過各種符合標準的產(chǎn)品構(gòu)成自己的云計算方案開放架構(gòu)的兩方面含義對于集團而言，標準開放比源代碼開放更重要。源代碼開放雖然能夠讓集團擁有完全的掌控，但由于人力的持續(xù)投入，以及業(yè)務重心的考慮，所謂的“完全的掌控”并不一定能夠獲得；而標準開放可以避免受單個實體控制（使單個實體受益），這是集團更應關(guān)注的。關(guān)注資源的彈性資源的彈性來自于集團的業(yè)務需求，也是重要的設計原則。資源的彈性體現(xiàn)在各個層面。硬件層面更多的表現(xiàn)為資源可以線性擴展，可以快速部署；IAAS平臺層面則需要能夠支撐管控規(guī)模的線性擴展；云資源層面則真正實現(xiàn)資源的彈性，可以隨著業(yè)務量的增多而彈性增加

25、，也可以隨著業(yè)務量的萎縮而彈性收縮；應用層面的彈性則更多的體現(xiàn)在靈活的部署上。其他通用原則除去上述集團應該特別關(guān)注的原則外，整個規(guī)劃設計還需要考慮下述通用原則：其他通用原則匯總高可用性：結(jié)構(gòu)的高可用性，資源的冗余部署，邏輯關(guān)系的松耦合設計，不會因為任何一個模塊發(fā)生故障而影響業(yè)務的開展。具體來說，包括物理網(wǎng)絡、云計算資源、云計算平臺、業(yè)務應用自身等各個層面的高可用。安全性：安全區(qū)域合理規(guī)劃，安全策略精細化部署，安全策略進行統(tǒng)一的管理，能夠滿足未來業(yè)務發(fā)展對安全的需求。靈活性：滿足業(yè)務與應用系統(tǒng)靈活多變的資源分配及部署需求。可管理性：結(jié)構(gòu)簡單、健壯，易于管理和維護，滿足監(jiān)管要求及日常運維的需求，并

26、提供及時發(fā)現(xiàn)和排除故障的能力。性能：采用的技術(shù)應帶來性能的提升，至少本身不會帶來性能的大幅下降。設計思路集團云計算的服務對象包括業(yè)務及科研體系、運維體系、管理層，未來則可能面向集團，甚至其他企業(yè)提供服務。每個服務對象對云計算的關(guān)注和訴求均存在不同。具體分析各個對象的需求，可以發(fā)現(xiàn)：自有業(yè)務體系：能夠方便、快速的獲得所需IT資源，不愿介入IT本身的管理維護，業(yè)務系統(tǒng)不中斷；其他業(yè)務體系：對云內(nèi)隔離的疑慮，對云內(nèi)安全的需求，對可靠性保證的擔憂；管理層：關(guān)注投資收益比，能方便的獲得投資決策數(shù)據(jù)，包括業(yè)務的經(jīng)營數(shù)據(jù)，IT的運營數(shù)據(jù)；運維體系：平臺可靠，易于管理，業(yè)務快速自愈能力，彈性擴展能力，運維工作

27、量低，完善的安全防護；建設者：建設者和運維體系可以是一個實體，但基于對象考慮它有其獨特的需求。初始能夠快速建設，后續(xù)能夠快速的擴容，建設周期短，人員投入少，建設質(zhì)量有保證；針對各個對象需求分析總結(jié)，云計算的規(guī)劃思路主要在于標準化模塊化、資源池化、資源服務化、云容量的可視化、運維部署自動化、資源高可用、云安全服務、運維場景化這些方面，具體分析見下面的表格。針對服務對象的云計算規(guī)劃思路分析服務對象分析云計算相關(guān)規(guī)劃思路自有業(yè)務體系關(guān)注資源提供的數(shù)量及類型、及時性，自服務能力等，可用性資源池化、資源服務化、業(yè)務連續(xù)性其他業(yè)務體系可用性、安全隔離云安全服務、業(yè)務連續(xù)性管理層資源利用率、業(yè)務數(shù)據(jù)云容量的

28、可視化建設者可擴展性標準化、模塊化運維體系可維護性、業(yè)務連續(xù)性、可管理性、可視化、自動化、安全業(yè)務連續(xù)性、云安全服務、運維部署自動化，運維場景化對前面的規(guī)劃思路進行歸納分類，云計算的規(guī)劃主要需要考慮下面的六點：物理資源的模塊化、標準化；資源池化；統(tǒng)一管理平臺（統(tǒng)一平臺的資源服務化、云容量的可視化、運維部署自動化）；業(yè)務連續(xù)性；云安全服務；運維場景化；后面針對每一點分別進行具體分析。物理資源模塊化、標準化物理資源的模塊化、標準化是云計算建設的基礎(chǔ)。云計算的最重要的特點之一就是資源的彈性，彈性的主要表現(xiàn)則是資源的快速擴展和收縮。其中資源的快速擴展不僅僅是邏輯資源層面的，也是物理資源層面的。物理資源

29、的模塊化、標準化，利于機房的預先規(guī)劃，利于資源的批量采購，也利于云計算資源運維的自動化。集團未來業(yè)務規(guī)模的擴大，必然需要IT基礎(chǔ)設施規(guī)模的擴展來支撐。在后續(xù)的設計中，通過物理POD設計、網(wǎng)絡劃分、分區(qū)設計、資源池單位、存儲統(tǒng)一規(guī)劃等實現(xiàn)基礎(chǔ)網(wǎng)絡、計算單元、存儲單元的標準化規(guī)范、模塊化的設計，實現(xiàn)云計算建設的快速擴展物理資源模塊化、標準化建設思路資源池化資源池是云計算的邏輯構(gòu)成。具體而言，資源池化主要包含三個方面：首先是邏輯資源標準化，為上層應用提供統(tǒng)一的資源交付，對底層硬件則通過軟硬件解耦，屏蔽硬件差異；其次通用化，不針對特定的應用，在云的支撐下可以構(gòu)造出千變?nèi)f化的應用，同一個云可以同時支撐不

30、同的應用運行。無論這種應用是基于Windows，還是Linux，無論這種應用是計算密集型，還是網(wǎng)絡密集型；無論這種應用是針對外部訪問的，還是對內(nèi)提供服務的，均可以通過這一通用的平臺支撐。最后是資源靈活調(diào)配，不受物理部署的限制，實現(xiàn)計算、存儲以及網(wǎng)絡資源的任意位置流動。池化的一個重要特點就是資源的流動性。只有流動才能使資源調(diào)度整體上處于平衡。經(jīng)過多年的發(fā)展，云計算的資源池化已不僅僅限于計算的資源池化，還包括網(wǎng)絡、存儲甚至安全的資源池化。針對集團的此次資源池規(guī)劃，將分為計算、存儲、網(wǎng)絡三大部分進行分析設計。統(tǒng)一的資源管控平臺資源服務化、云容量的可視化、運維部署自動化，這些均需要統(tǒng)一的云資源管控平臺

31、來實現(xiàn)。將各種資源進行邏輯構(gòu)建和標準化后，大量資源的運維管理成為一個急需解決的問題。統(tǒng)一的云平臺是解決的這一問題的最好辦法。同時通過云平臺的集成，將資源的申請使用變成平臺上的自助式服務，云的容量變成平臺上的可視圖形，手動的運維變成平臺上的自動處理流程，最終實現(xiàn)云的服務。針對集團的云資源管控平臺，將從平臺的選擇、平臺的架構(gòu)、服務的構(gòu)成幾個方面來進行分析。業(yè)務連續(xù)性保證無論采用何種建設方式，業(yè)務連續(xù)性保證都是無法回避的問題。通常的業(yè)務連續(xù)性保證可以分為數(shù)據(jù)中心內(nèi)和數(shù)據(jù)中心間兩個層面。數(shù)據(jù)中心內(nèi)的業(yè)務連續(xù)性則聚焦于高可用性。對于云計算數(shù)據(jù)中心內(nèi)而言，繼續(xù)細分則可以分為物理基礎(chǔ)設施的高可用、云計算自身

32、的高可用、云為業(yè)務提供的高可用、以及業(yè)務自身的高可用。其中云計算自身的高可用和云為業(yè)務提供的高可用，是云計算應具有的可用性保證。數(shù)據(jù)中心間的業(yè)務連續(xù)性則聚焦于災備。災備級別可分為數(shù)據(jù)級容災及應用級容災，通常的手段則是通過多中心建設來實現(xiàn)。針對集團的此次云數(shù)據(jù)中心規(guī)劃，后面講詳細分析云數(shù)據(jù)中心內(nèi)的業(yè)務連續(xù)性保證，并簡單介紹多中心的災備體系。云安全服務安全本身自成體系，包括物理、網(wǎng)絡、主機、數(shù)據(jù)、應用等各個層面。在云計算的建設中，安全所有的這些部分均存在，只是在云環(huán)境下，部分的安全防護方式以及安全手段出現(xiàn)了新的變化。云環(huán)境下由于IT資源變成邏輯的、與物理位置無關(guān)的資源，原有的基于物理邊界的安全防護

33、措施變得不再適用。新的基于云環(huán)境下的資源隔離手段、資源的防護措施，是本次規(guī)劃重點需考慮的地方。同時云的服務化的理念也滲透到安全的領(lǐng)域，基于云內(nèi)的安全服務成為未來安全的一個方向?；诩瘓F當前的業(yè)務現(xiàn)狀以及未來的業(yè)務需求，傳統(tǒng)安全結(jié)合云的安全規(guī)劃，是本次項目的安全設計的主要規(guī)劃方式。運維場景化通過資源集中管理，云計算為各種自助服務、自動化運維管理提供了基礎(chǔ)。但具體的自動化運維需要明確的場景定義。針對特定的業(yè)務場景以及故障場景，通過自動化的技術(shù)手段，滿足業(yè)務的資源需求，以及實現(xiàn)業(yè)務的自愈，是運維場景化的主要方向。云環(huán)境下的自動化運維，通常包括下面三種常見的場景，此次的規(guī)劃中也將具體分析這三種具體場景

34、：業(yè)務故障的場景。當云環(huán)境下的物理服務器故障、VM故障、或者OS異常等發(fā)生時，通過云平臺的自動檢測切換，保障業(yè)務的正常運行，減少業(yè)務中斷時間；業(yè)務對資源質(zhì)量需求的場景。許多業(yè)務運行對CPU占用、內(nèi)存分配有較高的要求，而實際運行中這些情況瞬息萬變。通過云平臺對相關(guān)資源的自動檢測，主動將高資源質(zhì)量要求的應用遷移到資源充裕的位置；業(yè)務對資源數(shù)量需求的場景。當業(yè)務運行資源不夠?qū)е路漳芰Σ蛔?，且業(yè)務自身支持通過資源數(shù)量的增加來提供服務能力時，云平臺通過檢測資源的瓶頸并自動增加相關(guān)資源來保證業(yè)務的服務能力提供。這種場景很好的體現(xiàn)了云計算資源的彈性。建設目標建設目標結(jié)合集團IT架構(gòu)現(xiàn)狀和未來業(yè)務發(fā)展的需求

35、，我們給出的解決建議有采用標準化硬件基礎(chǔ)設施建設；建設云計算高可用架構(gòu)的統(tǒng)一資源池；建設統(tǒng)一的云管理平臺；構(gòu)建統(tǒng)一的PaaS平臺；構(gòu)建運維體系、流程和工具；建設基于等保的安全體系，最終達到IT資源統(tǒng)一云化、科研環(huán)境平臺化、業(yè)務應用服務化、運維管理自動化的云計算建設目標。目前云計算已經(jīng)是未來IT的基礎(chǔ)架構(gòu)，包括“中國大數(shù)據(jù)戰(zhàn)略”，“物聯(lián)網(wǎng)行動綱領(lǐng)”，“中國制造2025戰(zhàn)略”，“中國電信CTnet2025戰(zhàn)略”都是將云計算作為基礎(chǔ)技術(shù)支撐；國家電網(wǎng)發(fā)布了信息通信新技術(shù)推動智能電網(wǎng)和“一強三優(yōu)”現(xiàn)代公司創(chuàng)新發(fā)展行動計劃，推進大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)和移動互聯(lián)等新技術(shù)在智能電網(wǎng)和“一強三優(yōu)”現(xiàn)代公司建設

36、中的創(chuàng)新應用；集團作為國家電網(wǎng)最重要的核心科研機構(gòu)，集團擔負著促進科學進步、為行業(yè)提供技術(shù)支撐的重任。 結(jié)合宏觀和微觀的需求，本次集團云計算項目建設的終極目標是構(gòu)建國際一流的科研云。總體建設思路集團本次云計算項目基于統(tǒng)一的云計算架構(gòu)，構(gòu)建集團科研信息化平臺，建立面向行業(yè)的科研云，對外提供云增值服務，支撐集團成為“國際一流的科研和技術(shù)服務機構(gòu)”，總體建設思路如下：IT資源統(tǒng)一云化：對全院IT資源整合，提供云化的IT資源統(tǒng)一管理和自助服務，達到統(tǒng)一的資源池、統(tǒng)一的資源池管理和統(tǒng)一的資源交付；科研環(huán)境平臺化:通過構(gòu)建PaaS科研平臺，科研DevOps一體化環(huán)境，最終實現(xiàn)業(yè)務應用微服務化，實現(xiàn)集團科研

37、信息化平臺，建立統(tǒng)一的PaaS科研開發(fā)環(huán)境，支持集團創(chuàng)新提升。業(yè)務應用服務化：通過建設科研云統(tǒng)一門戶和應用商店，提供云增值服務，對內(nèi)對外外提供大數(shù)據(jù)分析、數(shù)據(jù)仿真等云增值服務，支撐集團成為“國際一流的科研和技術(shù)服務機構(gòu)”，加快推進成果轉(zhuǎn)化。集團云計算規(guī)劃整體架構(gòu)規(guī)劃日前，集團發(fā)布信息通信新技術(shù)推動智能電網(wǎng)和“一強三優(yōu)”現(xiàn)代公司創(chuàng)新發(fā)展行動計劃（以下簡稱行動計劃），推進大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)和移動互聯(lián)等新技術(shù)在智能電網(wǎng)和“一強三優(yōu)”現(xiàn)代公司建設中的創(chuàng)新應用。集團未來三年云計算整體藍圖，需要構(gòu)建多中心的“科研云”，全面提升集團未來的業(yè)務創(chuàng)新能力，保障業(yè)務快速安全交付。對于其中同城云數(shù)據(jù)中心內(nèi)的建設

38、，則可以劃分為物理資源層、虛擬化平臺層、云服務層，以及貫穿各個層面的運維管理層整個科研云涵蓋IaaS、PaaS、SaaS服務，提供完整的云計算服務；同時科院云是符合等保三級和集團合規(guī)要求的安全可靠的云；同時建設統(tǒng)一的運營、運維管理體系貫穿整個科研云各個層面；構(gòu)建集團統(tǒng)一的云服務門戶，通過云服務門戶統(tǒng)一對內(nèi)對外提供云服務，支持科研各應用領(lǐng)域： IaaS規(guī)劃針對集團此次云計算的建設，從基礎(chǔ)網(wǎng)絡、云網(wǎng)絡、計算、存儲、云平臺、安全、運維和容災八個領(lǐng)域?qū)υ朴嬎氵M行規(guī)劃設計，基于開源的高可用的商用云計算架構(gòu)，各組件松耦合、模塊化、標準化，實現(xiàn)云計算的靈活性，最終實現(xiàn)統(tǒng)一的資源池化、統(tǒng)一資源管理和統(tǒng)一資源交

39、付的目標。基礎(chǔ)網(wǎng)絡網(wǎng)絡總體設計設計原則集團網(wǎng)絡總體設計需重點關(guān)注網(wǎng)絡架構(gòu)的規(guī)范、安全體系的完善、網(wǎng)絡管理的統(tǒng)一、業(yè)務部署的靈活、技術(shù)的成熟可靠等各方面的需求。為了能夠滿足集團業(yè)務系統(tǒng)對網(wǎng)絡基礎(chǔ)設施的要求及設計目標，在集團的網(wǎng)絡總體設計中采用以下設計原則：高可用性：網(wǎng)絡結(jié)構(gòu)的高可用性，物理資源的冗余部署，邏輯關(guān)系的松耦合設計，不會因為任何一個網(wǎng)絡模塊發(fā)生故障而影響全局網(wǎng)絡的暢通。安全性：網(wǎng)絡安全區(qū)域合理規(guī)劃，安全策略精細化部署，符合信息系統(tǒng)安全等級保護基本要求，全網(wǎng)的安全策略進行統(tǒng)一的管理，能夠滿足未來業(yè)務發(fā)展對安全的需求?？蓴U展性：采用業(yè)務功能模塊化和網(wǎng)絡拓撲層次化的設計方法，使得網(wǎng)絡架構(gòu)在功

40、能、容量、覆蓋能力等各方面具有易擴展能力，使其能夠動態(tài)響應業(yè)務發(fā)展變化，快速滿足業(yè)務和應用不斷變化對網(wǎng)絡基礎(chǔ)架構(gòu)的要求，配合業(yè)務的快速發(fā)展或變革。性能：網(wǎng)絡的帶寬、時延、抖動等性能指標滿足業(yè)務系統(tǒng)的要求。靈活性：采用新技術(shù)和新特性時，網(wǎng)絡架構(gòu)不需要調(diào)整或調(diào)整較小，滿足業(yè)務與應用系統(tǒng)靈活多變的部署需求?？晒芾硇裕壕W(wǎng)絡簡單、健壯，易于管理和維護，滿足行業(yè)監(jiān)管要求及日常運維的需求，并提供及時發(fā)現(xiàn)和排除網(wǎng)絡故障的能力。設計思路集團網(wǎng)絡總體設計參考目前國內(nèi)外一流企業(yè)和科研單位網(wǎng)絡建設中流行的設計理念和規(guī)范，保持技術(shù)上具有總體先進性和開放性；同時又考慮成熟性、穩(wěn)定性與先進性相結(jié)合，保證網(wǎng)絡穩(wěn)定有效的前提下

41、具有一定的前瞻性。具體的網(wǎng)絡整體設計思路如下：網(wǎng)絡松耦合：信息內(nèi)網(wǎng)、信息外網(wǎng)和科研網(wǎng)松耦合；數(shù)據(jù)中心網(wǎng)絡、廣域網(wǎng)及各院區(qū)松耦合；數(shù)據(jù)中心內(nèi)部各功能分區(qū)松耦合。核心網(wǎng)架構(gòu)：信息內(nèi)網(wǎng)、外網(wǎng)和科研網(wǎng)均基于核心網(wǎng)架構(gòu)，數(shù)據(jù)中心和各院區(qū)作為葉子節(jié)點，扁平化接入，實現(xiàn)較好的擴展性，并有效隔離故障域。前后端網(wǎng)絡分離：集團數(shù)據(jù)中心的前端業(yè)務網(wǎng)絡與后端管理網(wǎng)物理隔離，流量互不影響，保證高可用性。模塊化分區(qū)：模塊化的數(shù)據(jù)中心是一種用標準、可重復構(gòu)建單元來構(gòu)建數(shù)據(jù)中心的基礎(chǔ)設施方法，CELL和POD是數(shù)據(jù)中心模塊化設計的關(guān)注重點，也是模塊化數(shù)據(jù)中心構(gòu)建的最基本單元。信息內(nèi)網(wǎng)數(shù)據(jù)中心網(wǎng)絡功能分區(qū)包括：核心交換區(qū)、二級

42、系統(tǒng)區(qū)、三級系統(tǒng)區(qū)、VDI區(qū)、高性能計算區(qū)、開發(fā)測試區(qū)、管理業(yè)務區(qū)、廣域網(wǎng)區(qū)。信息外網(wǎng)數(shù)據(jù)中心網(wǎng)絡功能分區(qū)包括：核心交換區(qū)、二級系統(tǒng)區(qū)、互聯(lián)網(wǎng)出口區(qū)、廣域網(wǎng)區(qū)和管理業(yè)務區(qū)。網(wǎng)絡分層：集團數(shù)據(jù)中心網(wǎng)絡分核心層、匯聚層、接入層三層網(wǎng)絡架構(gòu)設計，不同的網(wǎng)絡層次承擔不同的功能。核心層主要負責流量的高速轉(zhuǎn)發(fā)，匯聚層主要負責流量的匯聚及網(wǎng)絡安全、路由策略的部署，接入層為各種IT系統(tǒng)和終端用戶提供接入設施。標準化部署：網(wǎng)絡架構(gòu)設計采用標準化設計思路，從物理上和邏輯上，對網(wǎng)絡各節(jié)點以及節(jié)點之間的連接，進行標準化設計，簡化部署，降低運維管理復雜度。主要包括網(wǎng)絡組件標準化設計、連接方式標準化設計、協(xié)議部署標準化設

43、計。網(wǎng)絡總體設計集團網(wǎng)絡分為信息內(nèi)網(wǎng)、信息外網(wǎng)和科研網(wǎng)，信息內(nèi)網(wǎng)承載全院用戶訪問自建業(yè)務系統(tǒng)和集團統(tǒng)推業(yè)務系統(tǒng)的內(nèi)網(wǎng)流量；信息外網(wǎng)承載全院用戶訪問Inerent及對公網(wǎng)用戶提供服務的流量；科研網(wǎng)承載各院所實驗室的科研流量。三張網(wǎng)絡物理上相互獨立，互訪需要經(jīng)過隔離裝置進行數(shù)據(jù)擺渡。物理部署機房物理部署清河數(shù)據(jù)中心（科研樓三樓）機房綜合布線遵循TIA-942 Tier IV標準的星形連接架構(gòu)。清河數(shù)據(jù)中心（科研樓三樓）網(wǎng)絡機房機柜布放如上圖所示：網(wǎng)絡機房最左側(cè)四列機柜放置信息內(nèi)網(wǎng)的網(wǎng)絡設備和MDA區(qū)的線纜，最右側(cè)兩列機柜放置信息外網(wǎng)的網(wǎng)絡設備和MDA區(qū)的線纜，最右側(cè)的第三列機柜放置科研網(wǎng)的網(wǎng)絡設備

44、和MDA區(qū)的線纜，其余機柜作為服務器機柜。清河數(shù)據(jù)中心（科研樓三樓）服務器機房機柜布放如上圖所示：每列機柜部署一個配線柜和一個強電柜，配線柜布放網(wǎng)絡機房的MDA區(qū)到本列機柜的光纖，經(jīng)ODF配線架/MPO模塊盒采用尾纖跳線到各機柜架頂?shù)腛DF配線架/MPO模塊盒上。POD設計云計算數(shù)據(jù)中心通常會采用結(jié)構(gòu)化、模塊化、標準化的設計方法，實現(xiàn)IT基礎(chǔ)設施（計算、網(wǎng)絡、存儲）的靈活擴展，減少對在網(wǎng)運行業(yè)務的影響，簡化部署，便于實現(xiàn)自動化運維。服務提供點(POD，Point Of Delivery)是“服務模塊”的具體實現(xiàn)形式，采用這種方式實現(xiàn)數(shù)據(jù)中心的物理資源的組件化、模塊化設計，有利于提高擴展性，隔離

45、故障域，通過組件的重用來提高IT基礎(chǔ)設施的部署效率。具體而言，POD是一組包括處理器、存儲、網(wǎng)絡和應用的物理組件，可以最大限度地提高數(shù)據(jù)中心空間的模塊化、可伸縮性和易治理性。POD的規(guī)模一般根據(jù)業(yè)務服務器規(guī)模而定，可以包括一組或多組機柜組合而成，顆粒度與數(shù)據(jù)中心規(guī)模相關(guān)。POD通?？梢苑譃榉掌鱌OD（如X86服務器、刀片服務器等）、存儲POD等類型。2U高度X86服務器POD根據(jù)服務器機房（低密）每機柜電源功率和TOR交換機端口利用率，2U高度的X86服務器POD由三組機柜構(gòu)成，后續(xù)按POD進行業(yè)務擴展。物理部署每三組機柜作為一個POD，按POD進行業(yè)務擴展；每組機柜部署12臺2U服務器，每

46、個POD最多部署36臺2U服務器；每個POD至少部署5臺交換機，2臺業(yè)務網(wǎng)交換機，2臺管理網(wǎng)交換機，1臺帶外管理交換機，若POD內(nèi)使用分布式存儲，則需要增加2臺存儲網(wǎng)交換機。交換機端口利用率（均按單臺設備計算）4U高度X86服務器POD根據(jù)服務器機房（低密）每機柜電源功率、TOR交換機端口利用率，和每列機柜的部放情況，4U高度的X86服務器POD由五組機柜構(gòu)成，后續(xù)按POD進行業(yè)務擴展。物理部署每五組機柜作為一個POD，按POD進行業(yè)務擴展；每組機柜部署6臺4U服務器，每個POD最多部署30臺4U服務器；每個POD至少部署5臺交換機，2臺業(yè)務網(wǎng)交換機，2臺管理網(wǎng)交換機，1臺帶外管理交換機，若P

47、OD內(nèi)使用分布式存儲，則需要增加2臺存儲網(wǎng)交換機。交換機端口利用率（均按單臺設備計算）刀片POD根據(jù)服務器機房（高密）每機柜電源功率和TOR交換機端口利用率，POD由二組機柜組成，后續(xù)按POD進行業(yè)務擴展。物理部署每二組機柜作為一個POD，按POD進行業(yè)務擴展；每組機柜部署2臺刀片（假設每臺刀片12U，每臺刀片的業(yè)務網(wǎng)口16個）每個POD最多部署4臺刀片；每個POD至少部署4臺交換機，2臺業(yè)務網(wǎng)交換機，2臺管理網(wǎng)交換機。信息內(nèi)網(wǎng)網(wǎng)絡規(guī)劃網(wǎng)絡總體架構(gòu)設計集團信息內(nèi)網(wǎng)清河、昌平、南京和武漢數(shù)據(jù)中心及各院區(qū)通過廣域網(wǎng)承載平臺進行互聯(lián)，實現(xiàn)高可用性、高性能和靈活擴展。后續(xù)隨著集團綜合數(shù)據(jù)通信網(wǎng)建設的逐

48、步完善，集團清河、昌平、南京和武漢數(shù)據(jù)中心及各院區(qū)就近接入集團綜合數(shù)據(jù)網(wǎng)，充分利用綜合數(shù)據(jù)網(wǎng)的高帶寬、高可用、廣覆蓋，滿足后續(xù)容災的相關(guān)需求。數(shù)據(jù)中心分區(qū)規(guī)劃數(shù)據(jù)中心分區(qū)原則云計算數(shù)據(jù)中心的網(wǎng)絡通常包括前端網(wǎng)絡和后端網(wǎng)絡,前端網(wǎng)絡包括業(yè)務網(wǎng)和存儲網(wǎng)，承載業(yè)務運行相關(guān)流量；后端網(wǎng)絡包括數(shù)據(jù)備份網(wǎng)、虛機遷移網(wǎng)、帶外管理網(wǎng)及管理網(wǎng)，承載運維管理相關(guān)流量。不同的網(wǎng)絡類型承載不同的業(yè)務，具有不同的流量特點和網(wǎng)絡帶寬需求?？紤]投資成本、運維難度、不同業(yè)務的流量特點和帶寬需求，對集團云計算數(shù)據(jù)中心的的網(wǎng)絡進行適當整合，分為業(yè)務網(wǎng)、存儲網(wǎng)和云管理網(wǎng)，云管理網(wǎng)上承載數(shù)據(jù)備份流量、虛擬機遷移流量和管理類流量，不同

49、類型的流量使用ACL進行安全隔離，通過QoS進行帶寬保障。業(yè)務網(wǎng)、存儲網(wǎng)和云管理網(wǎng)相互獨立，通過業(yè)務網(wǎng)的管理業(yè)務區(qū)實現(xiàn)對整個信息內(nèi)網(wǎng)的統(tǒng)一運維和管理。依據(jù)業(yè)界數(shù)據(jù)中心建設的最佳實踐，數(shù)據(jù)中心的邏輯分區(qū)通常會根據(jù)業(yè)務應用類型、業(yè)務應用之間耦合度、業(yè)務應用安全級別、業(yè)務應用的運維管理等因素進行劃分。邏輯分區(qū)的劃分原則通常有如下：按業(yè)務類型及應用之間的耦合性進行邏輯分區(qū)原則業(yè)務耦合度大的應用在本邏輯區(qū)域內(nèi)（區(qū)域匯聚內(nèi)）實現(xiàn)轉(zhuǎn)發(fā)。業(yè)務耦合度小的應用在不同邏輯區(qū)域內(nèi)（跨區(qū)域匯聚）實現(xiàn)轉(zhuǎn)發(fā)。按業(yè)務應用安全級別進行邏輯分區(qū)原則安全等級一致的服務器部署在同一個邏輯區(qū)域內(nèi)。生產(chǎn)類業(yè)務、開發(fā)測試類業(yè)務應處在不同的

50、安全域內(nèi)。按業(yè)務應用的運維管理進行邏輯分區(qū)原則業(yè)務流量、安全控制、組網(wǎng)協(xié)議方面有特殊要求的業(yè)務在同一個邏輯區(qū)域內(nèi)。當某一個邏輯區(qū)域內(nèi)的服務器數(shù)量超過一定數(shù)量后（根據(jù)接口數(shù)量不同，通常300-500臺），可以進行拆分。數(shù)據(jù)中心網(wǎng)絡分區(qū)設計參考集團的業(yè)務系統(tǒng)類型和信息系統(tǒng)安全等級保護基本要求及集團公司安全要求，結(jié)合業(yè)務流量自身特點，實現(xiàn)資源的高效利用，保證各分區(qū)之間盡量松耦合，高內(nèi)聚，簡化運維管理，對信息內(nèi)網(wǎng)的數(shù)據(jù)中心進行相應的網(wǎng)絡功能分區(qū)。根據(jù)各網(wǎng)絡分區(qū)承載的業(yè)務類型，結(jié)合前期調(diào)研與需求分析階段匯總的業(yè)務需求，確定各分區(qū)的TOP設計原則和設計建議。核心交換區(qū)功能：連接數(shù)據(jù)中心的各個網(wǎng)絡分區(qū)，高速

51、轉(zhuǎn)發(fā)跨分區(qū)的的數(shù)據(jù)流量。設計原則：核心交換區(qū)按照高可用性、高性能、可擴展性原則進行設計。設計建議：采用CLOS架構(gòu)，設備之間松耦合，具備高可用性、高性能和良好的可擴展性，有效隔離故障域。VDI區(qū)功能：承載虛擬桌面應用，終端用戶通過瘦客戶端或者其他設備來訪問客戶桌面。設計原則：VDI區(qū)按照高可用性、高性能、安全性原則進行設計。設計建議：采用獨立的物理資源，區(qū)域內(nèi)各節(jié)點和鏈路冗余備份；區(qū)域內(nèi)設備的業(yè)務處理能力滿足客戶使用高峰期和終端用戶數(shù)增長需要；部署安全設備進行安全防護。二級系統(tǒng)區(qū)功能：承載等保二級業(yè)務系統(tǒng)。設計原則：二級系統(tǒng)區(qū)按照高可用性、安全性、性能、可擴展性原則進行設計。設計建議：采用獨立

52、的物理資源，區(qū)域內(nèi)各節(jié)點和鏈路冗余備份；部署安全設備進行安全防護；區(qū)域內(nèi)設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期和業(yè)務發(fā)展需要具備較好的擴展性。三級系統(tǒng)區(qū)功能：承載等保三級業(yè)務系統(tǒng)。設計原則：三級系統(tǒng)區(qū)按照高可用性、安全性、性能原則進行設計。設計建議：采用獨立的物理資源，區(qū)域內(nèi)各節(jié)點和鏈路冗余備份；部署安全設備進行縱深安全防護；區(qū)域內(nèi)設備的業(yè)務處理能力滿足客戶使用高峰期和終端用戶數(shù)增長需要。高性能計算區(qū)功能：海量結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)的存儲和處理。設計原則：高性能計算區(qū)按照高可用性、安全性、性能、可擴展性原則進行設計。設計建議：采用獨立的物理資源，區(qū)域內(nèi)各節(jié)點和鏈路冗余備份；部署安全設

53、備進行縱深安全防護；高帶寬，高吞吐能力；具備較好的擴展性。開發(fā)測試區(qū)功能：為業(yè)務系統(tǒng)和應用提供開發(fā)測試環(huán)境；新業(yè)務系統(tǒng)的預上線測試。設計原則：開發(fā)測試區(qū)按照安全性和靈活性原則進行設計。設計建議：采用獨立的物理資源；采用獨立的路由進程；部署安全設備，嚴格控制與數(shù)據(jù)中心其他區(qū)域之間的互訪；驗證新特性和新功能不會影響整體架構(gòu)。管理業(yè)務區(qū)功能：承載與IT管理業(yè)務相關(guān)的各類系統(tǒng)，包括云平臺、網(wǎng)管平臺、安管中心等。設計原則：管理業(yè)務區(qū)按照可管理性、安全性、高可用性原則進行設計。設計建議：部署計算、存儲、網(wǎng)絡、安全、云平臺等多種管理服務器，一體化運維管理；采用獨立的物理資源；區(qū)域內(nèi)各節(jié)點和鏈路冗余備份；部署

54、安全設備，控制與管理網(wǎng)之間的互訪。廣域網(wǎng)區(qū)功能：進出數(shù)據(jù)中心流量的高速轉(zhuǎn)發(fā)和路由控制。設計原則：管理業(yè)務區(qū)按照高可用性、性能原則進行設計。設計建議：采用獨立的物理資源，區(qū)域內(nèi)各節(jié)點和鏈路冗余備份；高帶寬，高吞吐能力。核心交換區(qū)網(wǎng)絡設計數(shù)據(jù)中心核心交換區(qū)連接其他各網(wǎng)絡功能分區(qū)，負責各區(qū)域間的高速流量轉(zhuǎn)發(fā)，構(gòu)建更高可用性和性能及靈活擴展的網(wǎng)絡核心。架構(gòu)數(shù)據(jù)中心核心交換區(qū)負責各區(qū)域間的高速流量轉(zhuǎn)發(fā)，訪問控制、路由過濾等網(wǎng)絡功能從核心交換區(qū)剝離，分散至各個功能分區(qū)匯聚層，簡化核心交換區(qū)，構(gòu)建更高性能和靈活擴展的網(wǎng)絡核心；核心交換區(qū)由兩臺獨立的高端交換機組成，各網(wǎng)絡區(qū)域的匯聚設備，每臺都與兩臺核心交換機

55、互連；核心交換機與各區(qū)域匯聚交換機之間，均是采用三層路由互通，通過ECMP進行負載分擔。高可用性核心交換區(qū)采用高可靠架構(gòu)(雙機、冗余引擎和冗余電源配置)，以避免網(wǎng)絡層面的單點故障；兩臺核心交換機相互獨立，故障隔離。性能核心交換機采用CLOS多級交換架構(gòu)，支持分布式流量調(diào)度；到各分區(qū)匯聚之間（高性能計算區(qū)除外）采用萬兆互聯(lián)，滿足不斷增長的服務器接入帶寬需求，未來能夠平滑升級至100G；單臺交換機可以支撐全數(shù)據(jù)中心的業(yè)務流量。可擴展性核心層采用CLOS架構(gòu)部署，核心層設備之間不互聯(lián)，擴容相對獨立，未來可以靈活的進行橫向擴展。VDI區(qū)網(wǎng)絡設計VDI區(qū)承載虛擬桌面應用，終端用戶通過瘦客戶端或者其他設備

56、來訪問客戶桌面。架構(gòu)采用傳統(tǒng)的匯聚+接入的兩層架構(gòu)。匯聚由兩臺高端交換機組成，支持網(wǎng)絡虛擬化技術(shù)，作為本區(qū)域的業(yè)務網(wǎng)關(guān)；匯聚交換機與數(shù)據(jù)中心核心交換區(qū)設備之間全連接，通過三層路由實現(xiàn)互通；服務器POD內(nèi)部署TOR交換機，支持網(wǎng)絡虛擬化技術(shù)，以提高帶寬利用率，簡化管理。高可用性匯聚設備、POD內(nèi)部署的業(yè)務網(wǎng)TOR接入和防火墻都采用雙設備，服務器通過雙網(wǎng)卡同時接入TOR，實現(xiàn)設備及接入的高可用性；TOR接入與區(qū)域匯聚支持網(wǎng)絡虛擬化，兩者通過跨設備的聚合鏈路互連，防火墻與區(qū)域匯聚之間也采用跨設備的鏈路聚合，實現(xiàn)節(jié)點之間連接的高可用性；每臺匯聚設備通過兩條鏈路分別連接到兩臺核心交換，并支持ECMP路由

57、，實現(xiàn)區(qū)域出口連接的高可用性；防火墻旁掛部署， 通過PBR(策略路由)引流方式，防火墻全部失效后業(yè)務不受影響，實現(xiàn)業(yè)務的高可用性。安全性匯聚設備旁掛防火墻，通過PBR(策略路由)引流方式對整個區(qū)域?qū)崿F(xiàn)安全防護；區(qū)域內(nèi)部的安全控制，通過在交換機上下發(fā)訪問控制規(guī)則（ACL）實現(xiàn)。性能TOR接入到VDI匯聚，及VDI區(qū)匯聚之間均采用萬兆連接， VDI區(qū)匯聚之間互連帶寬大于等于任何單臺匯聚設備上行帶寬；匯聚與防火墻之間采用千兆鏈路，防火墻要求具備高新建連接數(shù)和并發(fā)連接數(shù)的性能，滿足業(yè)務系統(tǒng)跨區(qū)訪問的需求。二級系統(tǒng)區(qū)網(wǎng)絡設計二級系統(tǒng)區(qū)承載根據(jù)信息系統(tǒng)安全等級保護定級定級指南和集團相關(guān)安全要求確定的二級應

58、用系統(tǒng)。架構(gòu)采用Spine+Leaf的兩層架構(gòu)。匯聚由兩臺高端交換機組成，支持網(wǎng)絡虛擬化技術(shù)，作為Spine節(jié)點，TOR接入作為Leaf節(jié)點；匯聚交換機與數(shù)據(jù)中心核心交換區(qū)設備之間全連接，通過三層路由實現(xiàn)互通；服務器POD內(nèi)部署TOR接入交換機，支持網(wǎng)絡虛擬化技術(shù)，以提高帶寬利用率，簡化管理。高可用性匯聚設備、POD內(nèi)部署的業(yè)務網(wǎng)TOR接入和防火墻都采用雙設備，服務器通過雙網(wǎng)卡同時接入TOR，實現(xiàn)設備及接入的高可用性；TOR接入與區(qū)域匯聚支持網(wǎng)絡虛擬化，兩者通過跨設備的聚合鏈路互連，防火墻與區(qū)域匯聚之間也采用跨設備的鏈路聚合，實現(xiàn)節(jié)點之間連接的高可用性。每臺匯聚設備通過兩條鏈路分別連接到兩臺核

59、心交換，并支持ECMP路由，實現(xiàn)區(qū)域出口連接的高可用性；防火墻旁掛部署， 通過PBR(策略路由)引流方式，防火墻全部失效后業(yè)務不受影響，實現(xiàn)業(yè)務的高可用性；旁掛服務器負載均衡，采用SNAT方式實現(xiàn)應用的高可用性。安全性匯聚設備旁掛防火墻，通過PBR(策略路由)引流方式對整個區(qū)域?qū)崿F(xiàn)安全防護；區(qū)域內(nèi)部的安全控制，通過在交換機上下發(fā)訪問控制規(guī)則（ACL）實現(xiàn)。可擴展性匯聚設備支持高密度萬兆，通過橫向擴展的方式，接入更多的服務器POD；防火墻和服務器負載均衡旁掛部署，便于擴展。性能TOR接入到二級系統(tǒng)區(qū)匯聚，及二級系統(tǒng)區(qū)匯聚之間均采用萬兆連接， 二級系統(tǒng)區(qū)匯聚之間互連帶寬大于等于任何單臺匯聚設備上行

60、帶寬；匯聚與防火墻，匯聚與負載均衡設備之間采用千兆鏈路，防火墻要求具備高新建連接數(shù)和并發(fā)連接數(shù)的性能，滿足業(yè)務系統(tǒng)跨區(qū)訪問的需求。三級系統(tǒng)區(qū)網(wǎng)絡設計三級系統(tǒng)區(qū)承載根據(jù)信息系統(tǒng)安全等級保護定級定級指南和集團相關(guān)安全要求確定的三級應用系統(tǒng)。架構(gòu)采用Spine+Leaf的兩層架構(gòu)。匯聚由兩臺高端交換機組成，支持網(wǎng)絡虛擬化技術(shù)，作為Spine節(jié)點，TOR接入作為Leaf節(jié)點；匯聚交換機與數(shù)據(jù)中心核心交換區(qū)設備之間全連接，通過三層路由實現(xiàn)互通；服務器POD內(nèi)部署TOR接入交換機，支持網(wǎng)絡虛擬化技術(shù)，以提高帶寬利用率，簡化管理。高可用性匯聚設備、POD內(nèi)部署的業(yè)務網(wǎng)TOR接入和防火墻都采用雙設備，服務器通