復(fù)雜項目的基礎(chǔ)架構(gòu)設(shè)計

1、復(fù)雜項目的基礎(chǔ)架構(gòu)設(shè)計議程21云數(shù)據(jù)中心概要設(shè)計2心得體會云基礎(chǔ)設(shè)施概要設(shè)計應(yīng)用入池概要設(shè)計云服務(wù)概要設(shè)計運維服務(wù)概要設(shè)計傳統(tǒng)數(shù)據(jù)中心架構(gòu)面臨挑戰(zhàn)1、互聯(lián)網(wǎng)+引領(lǐng)的業(yè)務(wù)模式及開發(fā)模式對基礎(chǔ)架構(gòu)提出新的要求 2、新技術(shù)對傳統(tǒng)架構(gòu)帶來的變革 （SDx、虛擬化、大二層）3、云計算落地對于服務(wù)的按需供應(yīng)4、公有云、私有云的融合（混合云）挑戰(zhàn)傳統(tǒng)架構(gòu)云數(shù)據(jù)中心規(guī)劃設(shè)計框架4方法論企業(yè)云計算實施完成后便捷了用戶的使用，但規(guī)劃設(shè)計和實施過程相比傳統(tǒng)基礎(chǔ)架構(gòu)項目卻復(fù)雜很多。聯(lián)想服務(wù)群組架構(gòu)師團隊經(jīng)過近四年的云數(shù)據(jù)中心實踐，總結(jié)提煉了一套行之有效的規(guī)劃設(shè)計和實施方法論：計算存儲池設(shè)計云基礎(chǔ)架構(gòu)概要設(shè)計PaaS

2、資源池云管平臺設(shè)計網(wǎng)絡(luò)設(shè)計機房設(shè)計配套設(shè)計云安全設(shè)計云運營設(shè)計應(yīng)用架構(gòu)分析應(yīng)用特征分析應(yīng)用入池設(shè)計應(yīng)用入池概要設(shè)計SaaS服務(wù)云服務(wù)概要設(shè)計PaaS服務(wù)IaaS服務(wù)安全服務(wù)運維服務(wù)2. 云集成管理集成項目管理池集成建設(shè)安全加固兼容性測試機房建設(shè)云服務(wù)上線云運營遷移云數(shù)據(jù)中心整體規(guī)劃1.1云數(shù)據(jù)中心頂層設(shè)計云數(shù)據(jù)中心頂層設(shè)計關(guān)鍵要素分析IaaS 資源池入池規(guī)劃測試規(guī)范設(shè)計投資回報分析1.2 云數(shù)據(jù)中心概要設(shè)計發(fā)展路線規(guī)劃云基礎(chǔ)設(shè)施概要設(shè)計5基礎(chǔ)設(shè)施概要設(shè)計是承接頂層設(shè)計之后，把用戶訴求細(xì)分成各類專業(yè)需求，以及在需求和技術(shù)實現(xiàn)之間建立的橋梁。一個優(yōu)秀的概要設(shè)計，是讓用戶菜單式選擇的過程，同時也是具

3、體指導(dǎo)詳細(xì)設(shè)計和實施的框架。“非功能性需求”在基礎(chǔ)設(shè)施設(shè)計當(dāng)中一樣重要，包含容量規(guī)劃、性能、可擴容性、可維護性和高可用性等內(nèi)容?，F(xiàn)代設(shè)計框架中考慮到容災(zāi)和安全已經(jīng)非常復(fù)雜，所以單獨作為主題。計算存儲資源設(shè)計6資源池：資源池是整個基礎(chǔ)架構(gòu)的新型應(yīng)用方式，而不僅僅是現(xiàn)有環(huán)境下的X86虛擬化。本次項目把X86虛擬池、X86物理機池、小型機池、兩級存儲池、備份設(shè)施、網(wǎng)絡(luò)設(shè)施和云資源管理系統(tǒng)等各類要素整合在一起形成整體資源池。資源區(qū)（子管理區(qū)）：實現(xiàn)對于資源池的監(jiān)管控以及所有資源池元素的資源調(diào)度。應(yīng)用區(qū)：從應(yīng)用視角邏輯劃分網(wǎng)絡(luò)、計算和存儲資源，是針對應(yīng)用用戶的邏輯化的資源視角。計算池：按照技術(shù)類型、應(yīng)用

4、需求原則分成三個資源池，分別為小型機資源池、X86物理資源池、X86虛擬資源池存儲池：按照應(yīng)用需求、數(shù)據(jù)類型原則分成三個資源池，分別為高端SAN存儲資源池、中端SAN 存儲資源池、分布式存儲資源池“資源池”的概念經(jīng)過兩年的發(fā)展和演進，正在企業(yè)私有云環(huán)境中逐步取代“IaaS”的概念，成為云計算第一個能夠真正完整落地的基礎(chǔ)架構(gòu)新型應(yīng)用方式。目前“資源池”已經(jīng)成為概念有共識、涵蓋范圍較為清晰的基礎(chǔ)架構(gòu)方案。資源池概述概念定義資源池劃分“軟件定義”數(shù)據(jù)中心計算資源7傳統(tǒng)企業(yè)與互聯(lián)網(wǎng)企業(yè)最大差異體現(xiàn)在兩個方面，其一是規(guī)模效應(yīng)遠(yuǎn)遠(yuǎn)不如互聯(lián)網(wǎng)動輒10萬臺的服務(wù)器數(shù)量，其二是技術(shù)力量的投入遠(yuǎn)少于互聯(lián)網(wǎng)企業(yè)，且

5、有限資源更多需要向業(yè)務(wù)系統(tǒng)和數(shù)據(jù)服務(wù)等領(lǐng)域傾斜。所以傳統(tǒng)企業(yè)在“計算資源”“存儲資源”和“網(wǎng)絡(luò)虛擬化資源”領(lǐng)域更多的需要依靠廠商力量，但技術(shù)路線選擇上又要避免被廠商所綁定概述HypervisorVM計算池1計算池2計算池HypervisorHypervisorHypervisorVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVM機架式服務(wù)器聚合超融合基礎(chǔ)架構(gòu)HypervisorVMVMVMVMVMVMVMVMVMVMVM計算資源設(shè)計8將虛擬化軟件平臺的核心功能映射到X86虛擬池硬件交付單元設(shè)計上，描述在X86虛擬池中虛擬化軟件平臺如何進行有效管理和資源

6、調(diào)度，包括實現(xiàn)如何實現(xiàn)虛擬化高可用、如何進行虛擬化存儲和網(wǎng)絡(luò)的配置等。虛擬化軟件平臺設(shè)計通過設(shè)計“交付單元”標(biāo)準(zhǔn)化硬件基礎(chǔ)架構(gòu)針對集中式數(shù)據(jù)中心，設(shè)計兩種不同規(guī)格的交付單元，高性能交付單元和高密度交付單元，滿足不同應(yīng)用入池需求。硬件設(shè)計交付單元設(shè)計高可用設(shè)計通過硬件冗余和虛擬化軟件平臺動態(tài)遷移技術(shù)實現(xiàn)交付單元內(nèi)部的高可用。交付單元數(shù)據(jù)中心X86虛擬池的設(shè)計內(nèi)容包括：交付單元的硬件、虛擬化軟件平臺、高可用設(shè)計，云平臺調(diào)度功能設(shè)計等內(nèi)容。設(shè)計內(nèi)容交付單元的概念，價值在于：交付單元包含配套的服務(wù)器、存儲、接入交換機等各種資源，同時在交付單元內(nèi)實現(xiàn)了高可用性設(shè)計；交付單元用來作為未來資源交付的最小模塊

7、，有利于擴容管理和成本管理；保證同一個交付單元的服務(wù)器之間數(shù)據(jù)交換主要限制本地接入交換機內(nèi)，盡量減少對匯聚層和核心層網(wǎng)絡(luò)帶寬的占用，適應(yīng)大規(guī)模的池化環(huán)境；最小交付單元的設(shè)計方案保證機房在大規(guī)模環(huán)境下標(biāo)準(zhǔn)化、模塊化的交付方式。計算資源虛擬化設(shè)計原則9高性能交付單元定義高性能交付單元是為了解決X86服務(wù)器虛擬化環(huán)境下，容易滿足處理器和內(nèi)存需求但忽略存儲性能情況下造成的問題，提出的以I/O性能為導(dǎo)向的交付單元。配比原則為了保證性能的要求，虛擬化比設(shè)為1：4，超配比設(shè)為1：1 以4路x86服務(wù)器為例：處理器是4*16核 ，可以虛擬出64顆vCPU，平均每個vm可以配到16顆vCPU，可以滿足關(guān)鍵應(yīng)用的

8、需求。高密度交付單元定義高密度交付單元是為了向I/O性能要求并不高的應(yīng)用組件提供成本較為低廉的計算資源的交付單元組合，是資源池解決I/O性能和成本矛盾的重要手段。配比原則虛擬化比可設(shè)為1：6或更高，超配比可設(shè)為1：1.2或更高 以2路x86服務(wù)器為例：處理器是2*10核 ，可以虛擬出20顆vCPU，平均每個vm可以配到3.3顆vCPU，為了滿足至少一個vm4顆vCPU的需求，則需要24顆vCPU，超配比為1：1.2。機架式服務(wù)器：4路x86服務(wù)器 每臺服務(wù)器配置為4顆16核CPU/256GB內(nèi)存/3300GB本地磁盤/ 4個千兆口（電）/4個萬兆口（光）/2個雙口8Gb HBA卡網(wǎng)絡(luò)設(shè)備存儲交

9、換機存儲設(shè)備交付單元配置10交付單元配置示例機柜示意圖計算池設(shè)計內(nèi)容和步驟11計算單元與存儲匹配計算單元安裝配置計算單元擴容設(shè)計云資源平臺部署云數(shù)據(jù)中心運維計算單元內(nèi)部設(shè)計計算單元類型選擇咨詢規(guī)劃方案設(shè)計實施交付運行維護計算單元與應(yīng)用匹配計算單元容量云資源池配置計算資源池的設(shè)計，包含計算資源類型選擇、計算資源單元內(nèi)部設(shè)計、計算資源與應(yīng)用和資源池匹配設(shè)計等內(nèi)容。服務(wù)計算單元資源調(diào)度設(shè)計存儲資源設(shè)計12主機層網(wǎng)絡(luò)層存儲層SAN存儲虛擬化引擎EMCIBMHDS主機層網(wǎng)絡(luò)層存儲層SANEMC（高端）HP（高端）IBM（中端）200G金牌200G金牌200G銅牌50G250G映射LUN可用容量可用容量將

10、存儲資源虛擬成一個“存儲池”，把許多零散的存儲資源整合起來，從而提高整體利用率，同時降低系統(tǒng)管理成本。概述存儲池傳統(tǒng)SAN存儲架構(gòu)存儲虛擬化架構(gòu)200G200G200G200G200G200G金牌存儲 -用于交易型、DB等關(guān)鍵系統(tǒng)銀牌存儲 -用于文件系統(tǒng)等次關(guān)鍵系統(tǒng)銅牌存儲 -用于非結(jié)構(gòu)化數(shù)據(jù)等HDS（低端）200G銀牌300G分布式存儲13CIFS、NFS、私有文件協(xié)議、塊協(xié)議、ISCSI、HTTP、FTP等協(xié)議AIXWindowsLinuxMACSolaris聯(lián)想（GPFS）VMWare（vSAN）NutanixEMC（ScaleIO）存儲節(jié)點集群分布式處理層APPAPPAPPAPP分布式

11、網(wǎng)絡(luò)存儲系統(tǒng)采用可擴展的系統(tǒng)結(jié)構(gòu)，利用多臺存儲服務(wù)器分擔(dān)存儲負(fù)荷，利用位置服務(wù)器定位存儲信息；概述文件管理能力：存儲節(jié)點采用對象存儲機制，元數(shù)據(jù)分散到多個存儲節(jié)點上，分散元數(shù)據(jù)處理壓力數(shù)據(jù)訪問能力：非對稱架構(gòu)，性能隨節(jié)點增加而增加適用大數(shù)據(jù)量（大于100T）key/value或者半結(jié)構(gòu)化數(shù)據(jù)高吞吐高擴展不適用Sql查詢復(fù)雜查詢，如聯(lián)表查詢復(fù)雜事務(wù)分布式存儲架構(gòu)使用場景架構(gòu)特點主流廠商及產(chǎn)品存儲池的設(shè)計14NAS存儲資源池高端SAN存儲資源池生產(chǎn)環(huán)境存儲區(qū)分布式存儲資源池基礎(chǔ)服務(wù)區(qū)生產(chǎn)區(qū)接入?yún)^(qū)生產(chǎn)環(huán)境資計算區(qū)數(shù)據(jù)中心A計算資源區(qū)數(shù)據(jù)中心B存儲資源區(qū)NAS存儲網(wǎng)SAN存儲網(wǎng)分布式存儲網(wǎng)開發(fā)測試環(huán)境

12、計算區(qū)開發(fā)測試環(huán)境存儲區(qū)運維管理區(qū)X86虛擬機池12單元X86物理機池60臺X86虛擬機池1單元X86物理機池10臺X86虛擬機池1單元X86物理機池10臺X86虛擬機池1單元小型機池44臺準(zhǔn)生產(chǎn)區(qū)開發(fā)測試區(qū)X86虛擬機3單元X86物理機池20臺小型機池4臺X86虛擬機4單元X86物理機池20臺小型機池4臺分布式NAS高端SAN在存儲領(lǐng)域，聯(lián)想基于多年與各大存儲廠商合作的積累，為客戶提供多樣化的存儲架構(gòu)設(shè)計、實施和維護服務(wù)服務(wù)存儲池設(shè)計內(nèi)容和步驟15性能要求分析存儲交付配置應(yīng)用匹配設(shè)計應(yīng)用匹配調(diào)整擴容、遷移服務(wù)設(shè)備選型應(yīng)用平臺匹配分析咨詢規(guī)劃方案設(shè)計實施交付運行維護容量及擴展要求存儲管理分析存

13、儲架構(gòu)設(shè)計擴展方式設(shè)計SDS方案設(shè)計網(wǎng)絡(luò)架構(gòu)設(shè)計16 時下數(shù)據(jù)中心的趨勢有兩個：網(wǎng)絡(luò)虛擬化和軟件定義網(wǎng)絡(luò)（SDN）。網(wǎng)絡(luò)虛擬化和軟件定義網(wǎng)絡(luò)都需要對數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)做出新的要求，推動硬件和軟件的發(fā)展。 基于 CISCO 大二層網(wǎng)絡(luò)環(huán)境下，通過擴展IS-IS路由協(xié)議實現(xiàn)二層路由，虛機遷移時，服務(wù)配置隨即更新，保證了虛機遷移前后IP與MAC地址保持一致。通過大二層本身協(xié)議TTL值可以有效避免環(huán)路。通過跨設(shè)備鏈路捆綁支持，實現(xiàn)鏈路負(fù)載功能。由于云計算 IaaS 設(shè)計理念是把基礎(chǔ)架構(gòu)資源集中形成“池”，通過動態(tài)調(diào)度和裝配給應(yīng)用系統(tǒng)提供支持，因此云計算引入對網(wǎng)絡(luò)環(huán)境提出了新的需求和挑戰(zhàn)挑戰(zhàn)物理服務(wù)器軟

14、件定義網(wǎng)絡(luò)（SDN）17將網(wǎng)絡(luò)設(shè)備上的控制權(quán)分離出來，由集中的控制器管理，無須依賴底層網(wǎng)絡(luò)設(shè)備（路由器、交換機、防火墻），屏蔽了來自底層網(wǎng)絡(luò)設(shè)備的差異。而控制權(quán)是完全開放的，用戶可以自定義任何想實現(xiàn)的網(wǎng)絡(luò)路由和傳輸規(guī)則策略，從而更加靈活和智能。概述ControllerSwitchSwitchSwitchSwitchAPPOpenFlowHypervisorNFV基礎(chǔ)架構(gòu)V-SwitchV-RouterV-FWvADXV-IDPVMs通過基于行業(yè)標(biāo)準(zhǔn)的x86服務(wù)器、存儲和交換設(shè)備，來取代通信網(wǎng)的那些私有專用的網(wǎng)元設(shè)備通過集中式的控制器(Controller)以標(biāo)準(zhǔn)化的接口對各種網(wǎng)絡(luò)設(shè)備進行管理和

15、配置架構(gòu)角度： 控制平面與數(shù)據(jù)平面分離，邏輯集中管理(集中到控制器上)；業(yè)務(wù)角度： 通過控制器，使低層網(wǎng)絡(luò)被抽象出來，網(wǎng)絡(luò)資源被抽象成服務(wù)，實現(xiàn)了應(yīng)用程序與網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)解耦和。應(yīng)用看到的是網(wǎng)絡(luò)服務(wù)。運營角度： 網(wǎng)絡(luò)可以通過編程的方式來訪問，從而實現(xiàn)應(yīng)用程序?qū)W(wǎng)絡(luò)的直接影響，一些新型的接口，可以實現(xiàn)傳統(tǒng)網(wǎng)絡(luò)管理不能做到的網(wǎng)絡(luò)優(yōu)化。SDN特點OpenFlowNFV網(wǎng)絡(luò)架構(gòu)的設(shè)計18用戶有兩個或以上的數(shù)據(jù)中心L2互聯(lián)需求； 或者用戶在數(shù)據(jù)中心內(nèi)有跨L3的L2連接需求；適用于：主機集群、VMotion、主機遷移；應(yīng)用場景基于IP層面實現(xiàn)跨數(shù)據(jù)中心的L2互聯(lián)不依賴MPLS & STP、對廣播流量有

16、優(yōu)化措施、對多地點的網(wǎng)關(guān)一致性有配套的解決方案。對VMotion有優(yōu)化支持。技術(shù)優(yōu)勢APPOSAPPOSAPPOSAPPOSAPPOSAPPOS虛擬化服務(wù)器SAN新機場主數(shù)據(jù)中心APPOSAPPOSAPPOSAPPOSAPPOSAPPOS虛擬化服務(wù)器APPOSAPPOSAPPOSAPPOSAPPOSAPPOS虛擬化服務(wù)器虛擬化服務(wù)器集群APPOSAPPOSAPPOSAPPOSAPPOSAPPOS虛擬化服務(wù)器SAN航站樓數(shù)據(jù)中心APPOSAPPOSAPPOSAPPOSAPPOSAPPOS虛擬化服務(wù)器APPOSAPPOSAPPOSAPPOSAPPOSAPPOS虛擬化服務(wù)器虛擬化服務(wù)器集群DWDMG

17、E/10GGE/10GEVI航站樓數(shù)據(jù)中心，與主數(shù)據(jù)中心間采用密集波分系統(tǒng)DWDM鏈路高速連接DWDM通過OADM基于10G/GE連接到互聯(lián)交換設(shè)備大二層網(wǎng)絡(luò)二層多路徑二層的擴展多中心選路LSIP多中心互聯(lián)DWDMEVIVM流量感知VMotionHADRS服務(wù)可用DNSLB不論是傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)還是云數(shù)據(jù)中心內(nèi)的SDN和大二層架構(gòu)，聯(lián)想根據(jù)客戶需求和數(shù)據(jù)中心特性對網(wǎng)絡(luò)曾進行構(gòu)建和優(yōu)化服務(wù)網(wǎng)絡(luò)設(shè)計設(shè)計內(nèi)容和步驟19企業(yè)防護體系規(guī)劃組網(wǎng)搭建及配置VPN設(shè)計網(wǎng)絡(luò)及系統(tǒng)調(diào)試設(shè)備選型企業(yè)網(wǎng)絡(luò)建設(shè)規(guī)劃咨詢規(guī)劃方案設(shè)計實施交付運行維護骨干網(wǎng)絡(luò)規(guī)劃應(yīng)用網(wǎng)管理網(wǎng)規(guī)劃IP池設(shè)計路由設(shè)計SDN設(shè)計網(wǎng)絡(luò)資源服務(wù)設(shè)計安全

18、防護設(shè)計網(wǎng)絡(luò)運維管理故障診斷配置變更雙活/容災(zāi)設(shè)計雙活數(shù)據(jù)中心在基礎(chǔ)架構(gòu)體系和運維體系，IT資源狀態(tài)及分配上都區(qū)別于傳統(tǒng)單數(shù)據(jù)中心模式，因此需要考慮在雙活狀態(tài)下的IT建設(shè)及管理的新原則挑戰(zhàn) Site BSite AIT資源狀態(tài)（Active）IT資源分配主應(yīng)用系統(tǒng)AIT資源狀態(tài)（Active）IT資源分配主應(yīng)用系統(tǒng)B備應(yīng)用系統(tǒng)A 運維工程師運維體系基礎(chǔ)架構(gòu)體系設(shè)計：雙活數(shù)據(jù)中心的運營需要包括完整的運維體系和基礎(chǔ)架構(gòu)體系資源狀態(tài)：為避免資源浪費，兩個數(shù)據(jù)中心內(nèi)的業(yè)務(wù)能做成雙活的都做成雙活，若不能做成雙活的，也根據(jù)實際情況進行資源的分配；資源分配：需要根據(jù)應(yīng)用合理在兩個數(shù)據(jù)中心之間分配資源，如果部

19、分系統(tǒng)采取主備模式，則需要考慮既滿足備用系統(tǒng)的容量，又減少閑置資源的浪費雙活業(yè)務(wù)系統(tǒng)備應(yīng)用系統(tǒng)B雙活業(yè)務(wù)系統(tǒng)主備業(yè)務(wù)系統(tǒng)主備業(yè)務(wù)系統(tǒng)雙活建設(shè)關(guān)鍵點21數(shù)據(jù)中心IT系統(tǒng)從設(shè)備、系統(tǒng)、數(shù)據(jù)里、網(wǎng)絡(luò)、應(yīng)用等各個層面的整合是實現(xiàn)數(shù)據(jù)中心雙活的難點，在多種可能的技術(shù)選擇方案中尋求平衡和控制是項目成功的關(guān)鍵；關(guān)鍵 網(wǎng)絡(luò)雙活 雙活的基礎(chǔ)雙活的目標(biāo)解決如何在多活數(shù)據(jù)中心之間調(diào)配資源，提高資源利用率，實現(xiàn)高可用的問題 存儲雙活 雙活的必要條件 數(shù)據(jù)庫雙活基于網(wǎng)絡(luò)和存儲的雙活從上到下各個層面（網(wǎng)絡(luò)、存儲、數(shù)據(jù)庫、應(yīng)用）都要實現(xiàn)雙活，才能真正意義上實現(xiàn)整個數(shù)據(jù)中心的雙活。企業(yè)中的IT基礎(chǔ)架構(gòu)設(shè)施多種多樣，整合難度大

20、！ 硬件設(shè)備、網(wǎng)絡(luò)、存儲、應(yīng)用軟件、中間件到數(shù)據(jù)庫都是各種各樣的 不同層面的各廠家都有自己的雙活技術(shù)；描述目標(biāo)聯(lián)想提供端到端的整體容災(zāi)咨詢、設(shè)計、建設(shè)、維護和演練服務(wù)，幫助客戶一站式解決全部容災(zāi)相關(guān)問題，保障業(yè)務(wù)的持續(xù)性和數(shù)據(jù)的安全服務(wù)2015 LENOVO RESTRICTED. All rights reserved.容災(zāi)/雙活設(shè)計內(nèi)容和步驟 災(zāi)備系統(tǒng)運維管理系統(tǒng)回切容災(zāi)策略開發(fā)容災(zāi)需求分析存儲系統(tǒng)實施部署系統(tǒng)切換系統(tǒng)調(diào)研項目規(guī)劃存儲系統(tǒng)規(guī)劃設(shè)計存儲網(wǎng)絡(luò)實施部署數(shù)據(jù)遷移數(shù)據(jù)復(fù)制實施部署腳本開發(fā)系統(tǒng)優(yōu)化監(jiān)控管理實施部署技術(shù)培訓(xùn)災(zāi)備演練遠(yuǎn)程復(fù)制規(guī)劃設(shè)計存儲網(wǎng)絡(luò)規(guī)劃設(shè)計災(zāi)備管理規(guī)劃設(shè)計數(shù)據(jù)遷移方

21、案設(shè)計項目籌劃策略開發(fā)方案設(shè)計系統(tǒng)實施運行維護容災(zāi)切換信息安全體系設(shè)計23行為審批身份認(rèn)證日志審計權(quán)限控制虛擬化虛擬隔離虛擬化環(huán)境配置管理虛擬化攻擊防范虛擬化安全審計主機加固數(shù)據(jù)防泄漏防病毒數(shù)據(jù)加密身份識別虛擬化安全主機安全信息系統(tǒng)安全的總需求是物理安全、網(wǎng)絡(luò)安全、信息內(nèi)容安全、應(yīng)用系統(tǒng)安全的總和，完整的信息系統(tǒng)安全體系框架由技術(shù)體系、組織機構(gòu)體系和管理體系共同構(gòu)建，也就是我們所說的“三分靠技術(shù)，七分靠管理”概述終端安全終端自身安全（防病毒、防火墻、補丁）、隱私保護、身份驗證通信安全通信加密、SSL應(yīng)用安全WAF、數(shù)據(jù)庫審計、業(yè)務(wù)安全、應(yīng)用安全掃描系統(tǒng)安全補丁管理、安全評估、安全加固接口安全開

22、發(fā)安全、安全審計虛擬化安全虛機隔離、配置管理、虛擬機攻擊方案、安全審計主機安全防火墻、入侵防護、防病毒、安全設(shè)計等網(wǎng)絡(luò)安全防火墻、入侵防護、放DDOS、安全設(shè)計等物理安全機房選址、防火、防雷、防盜、監(jiān)控、防靜電、防電磁泄露、訪問控制客戶端云端數(shù)據(jù)安全系統(tǒng)內(nèi)通信安全加密和密鑰管理身份識別和訪問管理安全事件管理業(yè)務(wù)連續(xù)性計劃網(wǎng)絡(luò)安全設(shè)計24防火墻作為邊界防御設(shè)備，決定了哪些內(nèi)部服務(wù)可以被外界訪問；外界的哪些人可以訪問內(nèi) 部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。防火墻（FireWall）全自動的精確檢測、實時阻斷惡意連接；在線部署，也可旁路部署入侵防御系統(tǒng)（IPS）DDoS防御設(shè)備通過靜態(tài)

23、漏洞攻擊特征檢查、動態(tài)規(guī)則過濾、異常流量限速和 “基于用戶行為的單向防御”技術(shù)流量清洗（Guard）NAT不僅能解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機。網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）支持SSL / IPsec VPN，通過加密技術(shù)、完整性校驗技術(shù)保障。完整性和保密性保護虛擬私有網(wǎng)絡(luò)（VPN）部署堡壘機設(shè)備，是為了加固數(shù)據(jù)中心運維環(huán)境的安全系數(shù)，最小化的規(guī)避運維過程中面臨的風(fēng)險問題，保障良好的交付水平，同時也能有效的提高數(shù)據(jù)中心運維工作的安全管理能力及時間成本。堡壘機網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而

24、遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全概念在云安全領(lǐng)域，聯(lián)想結(jié)合云數(shù)據(jù)中心的應(yīng)用和管理體系為用戶定制云安全的整套防護和管理體系，并幫助客戶持續(xù)監(jiān)控安全漏洞服務(wù)云安全設(shè)計內(nèi)容和步驟25安全設(shè)備部署終端軟件部署咨詢規(guī)劃方案設(shè)計實施交付運行維護安全管理監(jiān)控安全系統(tǒng)維護資源池安全需求分析網(wǎng)絡(luò)安全需求分析主動防護分析安全管理規(guī)劃共享資源安全規(guī)劃網(wǎng)絡(luò)安全設(shè)計機房安全設(shè)計資源池安全設(shè)計集裝箱模塊數(shù)據(jù)中心微模塊數(shù)據(jù)中心數(shù)據(jù)中心區(qū)域模塊化數(shù)據(jù)中心基礎(chǔ)設(shè)施設(shè)計26建筑模塊化數(shù)據(jù)中心數(shù)據(jù)中心建設(shè)的趨勢逐漸向著模塊化方向進行演進概述2014 LENOVO INTERNAL. All

25、rights reserved.模塊化數(shù)據(jù)中心建設(shè)27降低對建筑的依賴快速響應(yīng)業(yè)務(wù)需求匹配業(yè)務(wù)快速擴展靈活部署：可小可大，可分可合智慧顆粒：易運營、易維護、易管理建筑級標(biāo)準(zhǔn)化建筑內(nèi)標(biāo)準(zhǔn)化機房內(nèi)標(biāo)準(zhǔn)化模塊級標(biāo)準(zhǔn)化列級標(biāo)準(zhǔn)化機柜級標(biāo)準(zhǔn)化 模塊化數(shù)據(jù)中心的優(yōu)勢按最小功能單位和部署方式進行數(shù)據(jù)中心設(shè)計建設(shè)理念基于生命周期的數(shù)據(jù)中心基礎(chǔ)設(shè)施管理聯(lián)想依托多年的自建數(shù)據(jù)中心經(jīng)驗和領(lǐng)先的建設(shè)理念為客戶提供完整的數(shù)據(jù)中心基礎(chǔ)設(shè)施建設(shè)服務(wù)服務(wù)基礎(chǔ)設(shè)施建設(shè)及專業(yè)服務(wù)29基礎(chǔ)設(shè)施整體運維等級要求選址要求系統(tǒng)調(diào)研項目規(guī)劃消防設(shè)計機房評估服務(wù)基建設(shè)計電力設(shè)計節(jié)能設(shè)計安全設(shè)計項目籌劃需求分析方案設(shè)計建設(shè)實施運行維護容量要求

26、布局要求布線設(shè)計29議程301云數(shù)據(jù)中心概要設(shè)計2心得體會云基礎(chǔ)設(shè)施概要設(shè)計應(yīng)用入池概要設(shè)計云服務(wù)概要設(shè)計運維服務(wù)概要設(shè)計31應(yīng)用入池方法論27銀行傳統(tǒng)架構(gòu)選擇小型機系統(tǒng)，當(dāng)面臨2千萬筆的日交易量極限的情況下，如果維持架構(gòu)不變，只能選擇封閉的主機系統(tǒng)。支付寶基于阿里云架構(gòu)開和采用X86分布式環(huán)境，已經(jīng)達到與主機相當(dāng)?shù)慕灰字文芰Γń?億筆/日）。業(yè)務(wù)應(yīng)用交易量百萬級，或千萬級交易量且應(yīng)用架構(gòu)具備橫向擴展能力，以上兩種情況最符合軟件定義的云計算模式。交易量即將接近小型機極限的傳統(tǒng)架構(gòu)金融用戶，在做應(yīng)用橫向擴展改造和R2IA的技術(shù)儲備。應(yīng)用云化方法論服務(wù)器類型應(yīng)用架構(gòu)宏觀分析應(yīng)用特征微觀分析應(yīng)用入

27、池整體梳理業(yè)務(wù)交易量操作系統(tǒng)類型應(yīng)用是否支持橫向擴展高CPU 低IO高CPU 高IO低CPU 高IO低CPU 低IOX86物理機池X86虛擬機池小型機池傳統(tǒng)架構(gòu)31將應(yīng)用拆解為不同部分，分類入池整體進X86虛擬池整體進小型機池低CPU、低IO的應(yīng)用計算需求負(fù)載低，CPU占用率低IO需求低，對IO的占用率低高CPU、低IO的應(yīng)用計算需求負(fù)載高，CPU占用率高IO需求相對較低，對IO的占用率低高CPU，高IO的應(yīng)用計算需求負(fù)載高，CPU占用率高IO需求高，對IO的占用率高低CPU、高IO的應(yīng)用計算需求負(fù)載低，CPU占用率低IO需求高，對IO的占用率高例：門戶類應(yīng)用例：應(yīng)用集成、風(fēng)險管控等例：報表分

28、析等例：財務(wù)管控、知識庫等應(yīng)用架構(gòu)微觀分析方法32根據(jù)應(yīng)用對CPU和內(nèi)存的負(fù)載特點，可以將應(yīng)用分成不同的類型。輕量級、可分布式的應(yīng)用可整體部署在X86虛擬化池中，重量級、緊耦合的應(yīng)用需考慮整體部署在小型機池中。對于大部分應(yīng)用來說，可以將應(yīng)用進行層次拆解，從不同層次來分析入池需求。應(yīng)用入池需求分析應(yīng)用分析結(jié)論33體彩應(yīng)用云化分析結(jié)論綁定專用設(shè)備的應(yīng)用特征：非標(biāo)準(zhǔn)化硬件類型和系統(tǒng)結(jié)論：保持現(xiàn)狀、不作云化運行在小型機上的應(yīng)用特征：應(yīng)用對資源性能要求不高,有部分定制化操作系統(tǒng)。結(jié)論：僅OLTP使用，規(guī)模小(6%)，暫時入小型機資源池；建議R2IA，為后續(xù)入大規(guī)模虛擬化資源池準(zhǔn)備。 其它應(yīng)用特征：標(biāo)準(zhǔn)X

29、86架構(gòu)和Linux或Windows系統(tǒng)，性能要求不高結(jié)論：以當(dāng)前X86服務(wù)器性能（主流4路14核），具備云化承載應(yīng)用條件。 知識庫財務(wù)管控門戶應(yīng)用集成風(fēng)險管控OLTP傳統(tǒng)架構(gòu)物理服務(wù)器資源需求：某些應(yīng)用需要綁定硬件服務(wù)器近期對物理服務(wù)器的需求企業(yè)私有云待分析應(yīng)用資源類型：專用設(shè)備小型機X86物理機X86虛擬機報表分析財務(wù)管控議程341云數(shù)據(jù)中心概要設(shè)計2心得體會云基礎(chǔ)設(shè)施概要設(shè)計應(yīng)用入池概要設(shè)計云服務(wù)概要設(shè)計運維服務(wù)概要設(shè)計云服務(wù)概要設(shè)計35服務(wù)產(chǎn)品（Service Product Portfolio）硬件資源服務(wù)（IaaS服務(wù)）軟件資源服務(wù)（PaaS）運維服務(wù)（Operation Serv

30、ice）計算資源服務(wù)存儲資源服務(wù)網(wǎng)絡(luò)資源服務(wù)機房資源服務(wù)平臺軟件服務(wù)應(yīng)用環(huán)境服務(wù) 操作自動化服務(wù)安全服務(wù)資源變更服務(wù)監(jiān)控服務(wù)容量服務(wù)容災(zāi)服務(wù)1云服務(wù)項目云服務(wù)項目具備三個核心要素，基本服務(wù)、配套服務(wù)和參數(shù)化。321服務(wù)產(chǎn)品與服務(wù)目錄服務(wù)產(chǎn)品是一個企業(yè)信息化部門基于內(nèi)部用戶需求，結(jié)合信息化部門交付能力而提煉出來的、標(biāo)準(zhǔn)化的服務(wù)內(nèi)容，并以產(chǎn)品的形式進行管理；服務(wù)目錄是服務(wù)產(chǎn)品對用戶端的呈現(xiàn)方式。云服務(wù)種類在企業(yè)私有云領(lǐng)域，主要有三類服務(wù) IaaS、PaaS 和運維服務(wù)，SaaS是一個業(yè)務(wù)模式，所以我們不放在企業(yè)數(shù)據(jù)中心領(lǐng)域來闡述。云服務(wù)的核心特征對于云服務(wù)，在線提供、用戶自助和標(biāo)準(zhǔn)化是三個關(guān)鍵特征

31、；而云數(shù)據(jù)中心的關(guān)鍵特征在于“軟件定義”的能力，“軟件定義”不僅對云平臺提出要求，更是對各類基礎(chǔ)架構(gòu)提出了“軟件定義”的要求。3235云服務(wù)目錄規(guī)劃36硬件資源服務(wù)軟件資源服務(wù)運維服務(wù)云管理平臺存儲資源服務(wù)網(wǎng)絡(luò)資源服務(wù)機房資源服務(wù)操作自動化服務(wù)計算資源服務(wù)應(yīng)用環(huán)境服務(wù)平臺軟件服務(wù)數(shù)據(jù)庫服務(wù)中間件服務(wù)應(yīng)用環(huán)境應(yīng)用環(huán)境安全服務(wù)監(jiān)控服務(wù)資源變更服務(wù)容量服務(wù)容災(zāi)服務(wù)云服務(wù)，分為三大類和14個小項。分別是包括計算、存儲、網(wǎng)絡(luò)和機房資源的硬件資源服務(wù)；包括數(shù)據(jù)庫、中間件、應(yīng)用環(huán)境在內(nèi)的平臺軟件服務(wù)；包括操作自動化、安全、資源變更、監(jiān)控、容量和容災(zāi)的日常運維需求服務(wù)。36存儲資源服務(wù)網(wǎng)絡(luò)資源服務(wù)機房資源服務(wù)

32、操作自動化服務(wù)計算資源服務(wù)應(yīng)用環(huán)境服務(wù)平臺軟件服務(wù)數(shù)據(jù)庫服務(wù)中間件服務(wù)應(yīng)用環(huán)境應(yīng)用環(huán)境安全服務(wù)監(jiān)控服務(wù)資源變更服務(wù)容量服務(wù)容災(zāi)服務(wù)計算資源服務(wù)存儲資源服務(wù)硬件資源服務(wù)舉例 硬件資源服務(wù)，即IaaS，主要提供包括虛擬機、物理機、小型機等在內(nèi)的計算資源服務(wù)；塊存儲、文件存儲、對象存儲等在內(nèi)的存儲資源服務(wù)；VLAN、IP地址、NAT等在內(nèi)的網(wǎng)絡(luò)資源服務(wù)；和配套的機房資源服務(wù)。云服務(wù)目錄規(guī)劃：IaaS服務(wù)37存儲資源服務(wù)網(wǎng)絡(luò)資源服務(wù)機房資源服務(wù)操作自動化服務(wù)計算資源服務(wù)應(yīng)用環(huán)境服務(wù)平臺軟件服務(wù)數(shù)據(jù)庫服務(wù)中間件服務(wù)應(yīng)用環(huán)境應(yīng)用環(huán)境安全服務(wù)監(jiān)控服務(wù)資源變更服務(wù)容量服務(wù)容災(zāi)服務(wù)數(shù)據(jù)庫服務(wù)中間件服務(wù)軟件資源服

33、務(wù)舉例 I 軟件資源服務(wù)，即PaaS，在企業(yè)環(huán)境中主要包括兩類：包括提供數(shù)據(jù)庫、中間件等在內(nèi)的企業(yè)軟件服務(wù)能力；和特別針對復(fù)雜企業(yè)應(yīng)用套件的應(yīng)用環(huán)境服務(wù)能力。前者可以被看做是IaaS上附加標(biāo)準(zhǔn)軟件交付，有時被稱為IaaS+；后者針對企業(yè)應(yīng)用套件。云服務(wù)目錄規(guī)劃：PaaS服務(wù)38存儲資源服務(wù)網(wǎng)絡(luò)資源服務(wù)機房資源服務(wù)操作自動化服務(wù)計算資源服務(wù)應(yīng)用環(huán)境服務(wù)平臺軟件服務(wù)數(shù)據(jù)庫服務(wù)中間件服務(wù)應(yīng)用環(huán)境應(yīng)用環(huán)境安全服務(wù)監(jiān)控服務(wù)資源變更服務(wù)容量服務(wù)容災(zāi)服務(wù)應(yīng)用環(huán)境服務(wù)軟件資源服務(wù)舉例 II 軟件資源服務(wù)，即PaaS，在企業(yè)環(huán)境中主要包括兩類：包括提供數(shù)據(jù)庫、中間件等在內(nèi)的企業(yè)軟件服務(wù)能力；和特別針對復(fù)雜企業(yè)應(yīng)

34、用套件的應(yīng)用環(huán)境服務(wù)能力。前者可以被看做是IaaS上附加標(biāo)準(zhǔn)軟件交付，有時被稱為IaaS+；后者針對企業(yè)應(yīng)用套件。云服務(wù)目錄規(guī)劃：PaaS服務(wù)39存儲資源服務(wù)網(wǎng)絡(luò)資源服務(wù)機房資源服務(wù)操作自動化服務(wù)計算資源服務(wù)應(yīng)用環(huán)境服務(wù)平臺軟件服務(wù)數(shù)據(jù)庫服務(wù)中間件服務(wù)應(yīng)用環(huán)境應(yīng)用環(huán)境安全服務(wù)監(jiān)控服務(wù)資源變更服務(wù)容量服務(wù)容災(zāi)服務(wù)運維服務(wù)舉例 運維服務(wù)，是保證企業(yè)IT正常運行和有效管理必要的能力需求。通過運維服務(wù)，一方面用戶可以獲得靈活友好的資源管控能力；另一方面分出標(biāo)準(zhǔn)、可控的運維操作避免所有管控執(zhí)行每次都需經(jīng)由繁瑣的流程。主要包括監(jiān)控、安全、容災(zāi)等方面的服務(wù)能力。云服務(wù)目錄規(guī)劃：運維服務(wù)40議程411云數(shù)據(jù)中

35、心概要設(shè)計2心得體會云基礎(chǔ)設(shè)施概要設(shè)計應(yīng)用入池概要設(shè)計云服務(wù)概要設(shè)計運維服務(wù)概要設(shè)計運維管理體系概述42配置管理庫CMDB組織保障體系運維制度體系系統(tǒng)運行管理規(guī)定規(guī)范性流程文件配套指南文件表單及模板總部IT管理核心團隊組織業(yè)務(wù)IT運維目標(biāo)融合運維支撐平臺標(biāo)準(zhǔn)規(guī)范體系（IT服務(wù)、日常運維、分析評估）運維服務(wù)門戶指標(biāo)度量體系（實施指南、指標(biāo)落地）各分支團隊技術(shù)及管理團隊運行監(jiān)控系統(tǒng)集中操作系統(tǒng)運維流程系統(tǒng)統(tǒng)計分析系統(tǒng)綜合展現(xiàn)系統(tǒng)IT運維模式運維管理體系分析43評估綜述內(nèi)容域：是基于行業(yè)內(nèi)最佳實踐 ITIL v3 、規(guī)范 ISO20K 和金融行業(yè)內(nèi)過去十年的良好實踐，ITSS DCMG 組織了近十家金融單位結(jié)合行業(yè)內(nèi)管理顧問共同開發(fā)了符合國際標(biāo)準(zhǔn)、且適合國內(nèi)實踐需求的管理科目模型，包含了六個領(lǐng)域37個科目。下面我們會從管理科目視角提供進一步的詳細(xì)分析。能力域：是 ITSS DCMG 組織基于 ITSS 核心框架，結(jié)合金融行業(yè)實踐，提出了四個方面的能力要求，并形成對每個管理科目的具體評估指標(biāo)（26個評估指標(biāo)）。這些評估指標(biāo)指導(dǎo)我們對一個運維組織制度化、流程化運作能力做出量化和科學(xué)的評價。我們的分析除了圍繞管理科目之外，還會從所有管理科目的四個能力域視角做出進一步分析，供興業(yè)銀行數(shù)據(jù)中心管理團隊對流程化管理能力的現(xiàn)狀和薄弱點有一個深入的了解。DCMG 數(shù)據(jù)中