某市級政務(wù)云項目建設(shè)技術(shù)方案

某市級智慧政務(wù)云項目建設(shè)某市級智慧政務(wù)云項目建設(shè)技術(shù)方案 Ⅱ1項目概述 1 11.2現(xiàn)狀分析 1.2.1信息化建設(shè)基本情況 21.2.3現(xiàn)階段主要挑戰(zhàn) 21.3建設(shè)意義和必要性 3 7 92建設(shè)要求 2.1基礎(chǔ)設(shè)施要求 2.2線路要求 2.3云管理平臺要求 2.3.1云管理平臺硬件要求 2.3.2云管理平臺軟件要求 Ⅲ2.4云平臺基礎(chǔ)資源池要求 2.4.1計算資源池要求 2.4.2存儲資源池要求 2.4.3網(wǎng)絡(luò)資源池要求 2.4.4安全資源池要求 2.5云平臺安全要求 2.6監(jiān)管平臺要求 2.7容災(zāi)備份要求 2.8增量服務(wù)要求 2.9其它要求 2.9.1托管設(shè)備要求 2.9.2業(yè)務(wù)遷移要求 2.9.3對接要求 2.9.4冗余及擴展要求 3需求分析 3.1基礎(chǔ)設(shè)施需求 3.1.1機房整體需求 3.1.2基礎(chǔ)裝修需求 3.1.4接地系統(tǒng)需求 3.1.5空調(diào)系統(tǒng)需求 3.1.6消防系統(tǒng)需求 3.2線路需求 3.3云管理平臺功能需求 3.4云平臺基礎(chǔ)資源池需求 3.4.1總體需求 3.4.2關(guān)鍵技術(shù)需求 3.5云平臺安全需求 3.5.1總體需求 3.5.2關(guān)鍵技術(shù)需求 3.5.3政務(wù)云安全管理體系 3.6監(jiān)管平臺需求 3.6.1運行環(huán)境 V3.6.2應(yīng)用軟件 3.6.3定制開發(fā) 3.6.4接口開發(fā) 3.6.5監(jiān)管中心 3.7容災(zāi)備份需求 3.7.1機房選址與環(huán)境需求 473.8增量服務(wù)需求 3.9其它需求 3.9.1設(shè)備托管需求 49 3.9.3對接接口需求 3.9.4冗余擴展需求 504總體方案設(shè)計 4.1設(shè)計原則 4.2架構(gòu)設(shè)計 4.2.1總體架構(gòu) 4.2.2云平臺架構(gòu) 4.2.3安全架構(gòu) 4.3技術(shù)路線 4.3.1云平臺技術(shù)選型 5云平臺技術(shù)方案 5.1laaS計算資源池方案 1.存儲資源池評估 5.1.1彈性云服務(wù)器 5.1.2裸金屬服務(wù)器 725.1.3計算資源池細化方案 5.2laaS存儲資源池方案 5.2.1分布式存儲資源池方案 5.2.3存儲資源池細化方案 5.3IaaS資源服務(wù) 5.3.1計算服務(wù) 5.3.2存儲服務(wù) 5.3.3數(shù)據(jù)庫服務(wù) 83 5.4網(wǎng)絡(luò)資源池方案 5.4.1總體網(wǎng)絡(luò)拓撲 5.4.2核心網(wǎng)絡(luò)建設(shè) 5.4.3接入網(wǎng)絡(luò)建設(shè) 5.4.4專網(wǎng)接入?yún)^(qū)網(wǎng)絡(luò)建設(shè) 5.4.5網(wǎng)絡(luò)分區(qū)建設(shè) 5.4.6網(wǎng)絡(luò)出口建設(shè) 5.4.7政務(wù)云大二層網(wǎng)絡(luò) 5.5安全服務(wù)體系方案 5.5.1政務(wù)云平臺安全 5.5.2安全資源池方案 5.5.3云平臺安全服務(wù)體系建設(shè) 5.5.4政務(wù)云平臺安全域劃分方案 5.5.5政務(wù)云平臺安全建設(shè)方案 5.6容災(zāi)備份設(shè)計 5.6.1建設(shè)思路 5.6.2災(zāi)備服務(wù)需求分析 5.6.3災(zāi)備設(shè)計 5.6.4容災(zāi)備份設(shè)計方案 5.7RDS數(shù)據(jù)庫服務(wù)設(shè)計方案 5.7.1RDSforMySQL服務(wù)能力 5.7.2RDSforSQLServer服務(wù)能力 5.7.3Oracle服務(wù)服務(wù)能力 5.8云平臺管理功能設(shè)計方案 5.8.1云平臺管理建設(shè)目標(biāo) 5.8.2云管理系統(tǒng)設(shè)計 6監(jiān)管平臺技術(shù)方案 6.1技術(shù)方案 6.1.1云監(jiān)管平臺架構(gòu) 6.1.2云監(jiān)管平臺拓撲圖 6.1.3云監(jiān)管平臺功能設(shè)計 6.2與省上云監(jiān)管平臺對接 6.3其他服務(wù)能力 6.3.1業(yè)務(wù)系統(tǒng)遷移方案審查 6.3.2協(xié)助定制業(yè)務(wù)系統(tǒng)遷移流程及制度規(guī)范 6.3.3政務(wù)云使用運行流程管理 6.3.4政務(wù)云使用管理制度制定 6.4監(jiān)管中心建設(shè) 6.5云監(jiān)管平臺軟硬件配置 7業(yè)務(wù)部署與應(yīng)用上云方案 2277.1新應(yīng)用系統(tǒng)建設(shè)與部署 7.2老應(yīng)用系統(tǒng)云化建設(shè)咨詢 7.3現(xiàn)有業(yè)務(wù)整合遷移 7.3.1應(yīng)用遷移 7.3.2虛擬化遷移 7.3.3數(shù)據(jù)遷移 X7.4遷移實施方案 7.4.1容量規(guī)劃 2477.4.2遷移批次 7.4.3遷移演練 2487.4.4實施方案 7.4.5遷移驗收 7.4.6遷移資料歸檔 7.4.7系統(tǒng)的持續(xù)優(yōu)化 2518運維體系方案 2528.1運維體系架構(gòu) 2528.2運維體系建設(shè) 8.3運維服務(wù)內(nèi)容 8.3.1平臺日常維護 2538.3.2故障處理維護場景 8.3.4監(jiān)控與告警管理 8.3.5報表管理 8.3.6應(yīng)急處理流程 8.3.7服務(wù)報告管理 8.3.9應(yīng)用管理 8.3.10服務(wù)管理 2829培訓(xùn)方案 9.1培訓(xùn)目的 9.2培訓(xùn)對象 9.3培訓(xùn)內(nèi)容 10.1項目團隊組織 10.2.1需求分析及設(shè)計階段 28610.2.2集成測試及UAT測試階段 10.2.3上線階段 10.2.4運行及驗收測試階段 10.2.5項目工期預(yù)估 11主要軟硬件配置及參數(shù)清單 11.2云平臺軟硬件配置要求 11.3云監(jiān)管平臺軟硬件配置要求 12附：建設(shè)模式分析 12.1.2政務(wù)云平臺場地建設(shè)模式 303 12.1.4PPP模式 11.2.1信息化建設(shè)基本情況其中建有32個獨立機房，8個托管機房。區(qū)縣部門使用機房共56個，務(wù)器520臺、CPU1002顆、物理核數(shù)52名稱類別數(shù)量(臺)數(shù)量(顆)核數(shù)(核)總內(nèi)存專用存儲設(shè)備容量備注市直部門市級黨委預(yù)估河?xùn)|新區(qū)388經(jīng)開區(qū)2412安居區(qū)36船山區(qū)射洪縣蓬溪縣大英縣3的IT系統(tǒng)，建設(shè)模式之間的矛盾，主要體現(xiàn)在以下幾點：一是傳統(tǒng)政務(wù)模式中，政府各部門的電子政務(wù)系統(tǒng)各自經(jīng)營，分散建設(shè)、管理、運行導(dǎo)致重復(fù)建設(shè)、信息孤島、投入高收益低等問題。二是在管理上難以與組織內(nèi)部工作流程有機結(jié)合，無法形成動態(tài)的三是缺乏統(tǒng)一的規(guī)范導(dǎo)致功能缺失、信息更新緩慢，交互性差等問建設(shè)政務(wù)云有利于促進信息化項目的集約建設(shè)和運維，降低信息化投資成本；有利于促進信息資源共享和開發(fā)利用，提高城市管理和服務(wù)水平；有利于強化電子政務(wù)安全保障體系，提升政務(wù)安全保障水平；有建設(shè)政務(wù)云是提升信息化條件下治國理政能力的必然要求，是實現(xiàn)XX市政務(wù)信息化集約可持續(xù)發(fā)展必由之路，是XX市融入、應(yīng)用“大數(shù)政府信息化是將政府管理與服務(wù)建立在現(xiàn)代信息技術(shù)、辦公自動化技術(shù)和網(wǎng)絡(luò)技術(shù)基礎(chǔ)之上的一種全新的政府治理模式。在國民經(jīng)濟和社會信息化過程中，政府信息化處在關(guān)鍵和核心的位置。這是由政府在推4動國家信息化中的主導(dǎo)地位和特殊角色，以及政府管理對信息的廣泛依隨著信息技術(shù)的不斷發(fā)展，國家對電子政務(wù)和政府信息化建設(shè)高度首先，各類政府機構(gòu)T應(yīng)用基礎(chǔ)設(shè)施建設(shè)相對完備，網(wǎng)絡(luò)建設(shè)在“政府上網(wǎng)工程”的推動下獲得了較大的進展，建成一張覆蓋全市范圍的“電子政務(wù)外網(wǎng)”專線骨干網(wǎng)絡(luò)，為全市政務(wù)信息數(shù)據(jù)集中、資源共享打下了堅實基礎(chǔ)；同時大部分政府職能部門都已接入了覆蓋全系統(tǒng)的專網(wǎng)。其次，各委局條塊狀的辦公自動化、管理信息化的水平不斷提高，適應(yīng)政府機關(guān)辦公業(yè)務(wù)和輔助領(lǐng)導(dǎo)科學(xué)決策需求的首先，重復(fù)建設(shè)重復(fù)投資。從目前情況上看，各職能部門根據(jù)業(yè)務(wù)發(fā)展需求，對信息數(shù)據(jù)資源獨立規(guī)劃和建設(shè)或條塊建設(shè)，很容易形成相對孤立的系統(tǒng)，在一定程度上存在著基礎(chǔ)設(shè)施和基礎(chǔ)數(shù)據(jù)重復(fù)建設(shè)和重其次，數(shù)據(jù)資源使用相對獨立。目前，各部門信息系統(tǒng)基本上以單體應(yīng)用為主，相互間以分立系統(tǒng)形態(tài)共存，因此各部門間信息資源在一5務(wù)從粗放式、離散化的建設(shè)模式向集約化、整體化的可持續(xù)發(fā)展模式轉(zhuǎn)變，使政府管理服務(wù)從各自為政、相互封閉的運作方式向跨部門跨區(qū)域1、云計算能夠降低電子政務(wù)建設(shè)及運維成本在電子政務(wù)云環(huán)境下，可以將信息技術(shù)資源交給專業(yè)的第三方云服務(wù)商管理，由云服務(wù)商提供需要的信息技術(shù)基礎(chǔ)架構(gòu)、軟硬件資源和信息服務(wù)等，政府根據(jù)按需付費的原則定制需要的信息服務(wù)。這為政府帶務(wù)器和存儲設(shè)備等，從而節(jié)省建設(shè)費用；二是信息軟硬件資源交給專業(yè)電子政務(wù)云具有較高的靈活性，政府實施新的電子政務(wù)工程時，不必購買額外的軟硬件，而是利用已有云基礎(chǔ)設(shè)施，快速部署系統(tǒng)，提高電子政務(wù)應(yīng)用部署速度。開發(fā)者在一個平臺上構(gòu)建和部署應(yīng)用程序，大3、云計算降低信息共享和業(yè)務(wù)協(xié)同難度長期以來，我國電子政務(wù)普遍存在各自為政、資源分散等問題。盡管信息難以共享的根源在于電子政務(wù)機制問題，但云計算能從技術(shù)上降低信息共享和業(yè)務(wù)協(xié)同的難度。通過電子政務(wù)云平臺，多個政府部門可以共用相應(yīng)的基礎(chǔ)架構(gòu)，實現(xiàn)各政務(wù)系統(tǒng)之間的軟硬件共享，提高電子政務(wù)信息共享的效率，擴大信息共享范圍；軟硬件資源和信息資源的共6享將有利于促進各部門內(nèi)部與部門之間的業(yè)務(wù)系統(tǒng)的整合，為政府部門政務(wù)云實現(xiàn)政府軟硬件資源所有權(quán)與使用權(quán)的分離，政府將在不擁有軟硬件資源的情況下享受信息服務(wù)。因此，政府部門能夠集中人力物力進行本部門的業(yè)務(wù)運轉(zhuǎn)，從而減輕政府行政負擔(dān)，使政府能有更多的精力專注于面向公眾的公共服務(wù)，提高政府效率。同時，在部署了以云計算為技術(shù)支撐的電子政務(wù)云以后，后臺信息的煙囪式部署方式的壁壘將被打破，從而實現(xiàn)電子數(shù)據(jù)的統(tǒng)一共享，這對前臺服務(wù)界面的統(tǒng)一打通有著重要意義，將使得電子政務(wù)統(tǒng)一化不再停留在前臺展示層面，而切切實實的實現(xiàn)電子政務(wù)服務(wù)的高效與統(tǒng)一，不再只是從紙質(zhì)服務(wù)到電子服務(wù)的變化，而是真正意義的一個窗口辦所有事情，大大提高了服務(wù)政務(wù)云平臺的容錯機制結(jié)合有效的控制、配置與管理，使之具有更電子政務(wù)云計算平臺作為區(qū)域高性能、高標(biāo)準的信息基礎(chǔ)設(shè)施，對于提升城市綜合競爭力，推動產(chǎn)業(yè)轉(zhuǎn)型升級，優(yōu)化創(chuàng)業(yè)創(chuàng)新環(huán)境都具有重大意義。通過建設(shè)政務(wù)云，為政府、企業(yè)、居民、游客提供優(yōu)質(zhì)的信78為避免投資浪費，私有云計算平臺體系的規(guī)劃建設(shè)不僅要求能夠滿足目前業(yè)務(wù)使用的需求，還必須具備一定的先進性和發(fā)展?jié)摿?，使系統(tǒng)具有容量的擴充與升級換代的可能，以便該項目在盡可能的時間內(nèi)與業(yè)(4)開放適用由于私有云計算平臺為各業(yè)務(wù)應(yīng)用系統(tǒng)提供支撐，必須充分考慮系統(tǒng)的開放性，提供開放標(biāo)準接口，供開發(fā)者、用戶使用。在系統(tǒng)設(shè)計中，無論是網(wǎng)絡(luò)系統(tǒng)、主機系統(tǒng)還是存儲系統(tǒng)，都應(yīng)具系統(tǒng)從主機到存儲都應(yīng)有功能強大、操作簡便、界面友好的管理工具，使管理人員能及時發(fā)現(xiàn)和排除系統(tǒng)的各種問題，保障系統(tǒng)的正常運(7)集約共享實現(xiàn)統(tǒng)一建設(shè)、統(tǒng)一管理、統(tǒng)一服務(wù)，為政府及其部門提供協(xié)同、共享各部門按照數(shù)據(jù)向上集中、服務(wù)向下延伸的建設(shè)思路，充分利用電9(8)開放便捷采用層次清晰、結(jié)構(gòu)完整、開放共享的技術(shù)支持框架，采用(9)整合資源、避免浪費數(shù)據(jù)中心”的思路構(gòu)建云計算數(shù)據(jù)中心，通過建設(shè)XX政務(wù)云平臺，打和數(shù)據(jù)資源共享。采用先進的T系統(tǒng)架構(gòu)，建成國內(nèi)一流的云計算、大數(shù)據(jù)應(yīng)用中心，提高城市綜合競爭力，提升政府現(xiàn)代化治理和民生服務(wù)非涉密業(yè)務(wù)專網(wǎng)等業(yè)務(wù)集成、渠道整合及數(shù)據(jù)共享，逐步形成由現(xiàn)代治支持XX市云計算產(chǎn)業(yè)的孵化和成長，以政務(wù)云為中心帶動整個XX信息化生態(tài)環(huán)境?；诖髷?shù)據(jù)，云計算，移動互聯(lián)網(wǎng)等技術(shù)打造的XX政務(wù)云平臺，不僅能滿足政府對政務(wù)云的需求，也為促進XX市云計算通過建設(shè)政務(wù)云平臺，實現(xiàn)數(shù)據(jù)匯聚，運用大數(shù)據(jù)分析技術(shù)，積極開展公共數(shù)據(jù)挖掘工作，探索數(shù)據(jù)信息的規(guī)律性、前瞻性、導(dǎo)向性，為政府決策提供支持，并能更好地循“數(shù)”治理、依“數(shù)”服務(wù)。建立政大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù)，深化平臺建設(shè)，構(gòu)建橫跨部門、縱跨層級的無縫隙的信息資源共享，帶動前后臺資源整合，打造市級各部門非涉密電子政務(wù)系統(tǒng)運行使用的電子政務(wù)云平臺，形成更加高效、透明的政務(wù)生態(tài)，切實提升政府治理能力和公共服務(wù)績效。促進XX產(chǎn)業(yè)優(yōu)化升級及經(jīng)濟轉(zhuǎn)型、信息化管理水平提升及群眾便利等方面，助力XX傳統(tǒng)產(chǎn)業(yè)市級政務(wù)云平臺是政務(wù)云建設(shè)的樣板，其1+N+N+1的架構(gòu)體系市政務(wù)云建設(shè)的有效借鑒。同時對比周邊市州政務(wù)云建設(shè)模式，均是在由物理資源層、資源抽象與控制層和云服務(wù)層三部分構(gòu)成，提供完整的務(wù)，并通過電子政務(wù)外網(wǎng)將這些服務(wù)安全輸送給政務(wù)部門，滿足政務(wù)部每機柜提供雙路不間斷供電，機房空間和供電在滿足本期建設(shè)規(guī)?；A(chǔ)滿足日常運維值班，設(shè)備安裝調(diào)試，后期業(yè)務(wù)系統(tǒng)遷移等工作需要。機房應(yīng)具備獨立的管理和監(jiān)控能力?？商峁?*24熱線人工值守以及響應(yīng)等級和國家《電子信息系統(tǒng)機房設(shè)計規(guī)范》GB2.3.1云管理平臺硬件要求2.3.2云管理平臺軟件要求指標(biāo)項1擴展需求云管理平臺除了能夠滿足目前設(shè)備資源使用以及業(yè)務(wù)支撐需求，還需要良好兼容不同廠商的硬件設(shè)備(服務(wù)器、存儲等),以及未來在線擴展的需求。2接口需求為了滿足云監(jiān)管平臺的建設(shè)，必須承諾在中標(biāo)后提供口規(guī)范的制定、開發(fā)，配合適配和聯(lián)調(diào)等工3應(yīng)用自動化部署提供的云管理平臺軟件應(yīng)為穩(wěn)定可靠的最新商用版本，同時要保證版本升級方便。另外云管理平臺軟件需要提供應(yīng)用自動化部署功能，方便用戶通過自助界面進行使用。4需提供本地化支持為保證云管理平臺軟件產(chǎn)品的實施質(zhì)量和提供更好5產(chǎn)品成熟度需求云管理平臺軟件需自主可控，采用Openstack技術(shù)架6服務(wù)器動態(tài)擴云管理平臺軟件無需單獨授權(quán)，當(dāng)整個電子政務(wù)云平指標(biāo)項展需求臺的資源不足時，新的物理服務(wù)器資源可以自動被識別到，并加入到平臺的資源池中，而整個過程不應(yīng)停止原有服務(wù)，且不對原有服務(wù)造成影響。7使用量可計量計費需求儲、IP、負載均衡、虛擬網(wǎng)絡(luò)等資源的使用做到精細化管理并提供統(tǒng)計分析功能。且需要提供相應(yīng)的接口，方便云管控平臺使用。8軟、硬件資源池化需求可以將現(xiàn)有的物理軟、硬件資源進行資源池化。云管理平臺軟件需根據(jù)用戶需求，動態(tài)提供虛擬化的資源，這些資源包括虛擬機、存儲、IP、負載均衡、虛擬網(wǎng)絡(luò)等。9虛擬機熱遷移移到其它硬件設(shè)備上運行，而虛擬機中的服務(wù)不應(yīng)停止；而當(dāng)原硬件設(shè)備維護升級結(jié)束后也可以將虛擬機從其他虛擬機高可用云管理平臺軟件應(yīng)能夠提供虛擬機冗余機制，當(dāng)應(yīng)用配置了高可用之后，應(yīng)用虛擬機或虛擬機所在的物理機出現(xiàn)宕機情況時，云管理平臺軟件應(yīng)支持自動切換至另外的其他虛擬機或物理機上，保證應(yīng)用可用性，同時不應(yīng)對虛指標(biāo)項故障自動遷移與虛擬化還是依賴于硬件設(shè)備的可靠性不同，云計算從設(shè)計開始就認為硬件設(shè)備故障是常態(tài)，平臺所有的服務(wù)管理平臺可以自動把運行在其中的應(yīng)用自動在另外一個可用節(jié)點上(無需人工指定在那個節(jié)點上，所有平臺中可用的服務(wù)器都可以作為備份節(jié)點)啟動，如果目標(biāo)節(jié)點上也突然出現(xiàn)問題，應(yīng)該可以自動尋找下一可用節(jié)點，直到服務(wù)被啟動。理論上是只要不是所有的節(jié)點都損壞了，系按照策略調(diào)整運行資源用系統(tǒng)的運行位置。使服務(wù)器、存儲等設(shè)備在故障修復(fù)、資源自助管理界面云管理平臺可以為用戶提供自助使用和自助管理資源的統(tǒng)一界面。指標(biāo)項負載均衡服務(wù)彈性負載均衡器是在Hypervisor上以虛機的方式實現(xiàn)的負載均衡功能，支持第4到7層的負載均衡，支持web服務(wù)、中間件、數(shù)據(jù)庫以及其它互聯(lián)網(wǎng)服務(wù)，可以實時測量服務(wù)器利用率和連接負載，在此基礎(chǔ)上高效地分配統(tǒng)一應(yīng)用業(yè)務(wù)負載，提供全面的可視性并有效地管理應(yīng)用性能、安全性和服務(wù)交付虛擬私有云云計算數(shù)據(jù)中心支持虛擬私有云功能2.4云平臺基礎(chǔ)資源池要求云平臺應(yīng)至少劃分為電子政務(wù)外網(wǎng)區(qū)和互聯(lián)網(wǎng)區(qū)，兩個區(qū)域之間應(yīng)采用安全數(shù)據(jù)交換系統(tǒng)進行隔離防護；電子政務(wù)外網(wǎng)區(qū)和互聯(lián)網(wǎng)區(qū)內(nèi)部計算資源池劃分為高性能計算區(qū)、通用性能計算區(qū)，每個區(qū)分別使用不√高性能計算區(qū)，用4路14核或以上配置；√通用性能計算區(qū)，用2路14核或以上配置；服務(wù)器按照2個區(qū)劃分的原則，將不同用途的服務(wù)器進行劃分并進行上架、測試，安裝操作系統(tǒng)和虛擬化軟件，連接到虛擬化存儲池，創(chuàng)2.4.2存儲資源池要求可動態(tài)在線從一臺物理服務(wù)器遷移到另一臺物理服務(wù)器上的特性等。存儲要求采用大于或等于8個8GB,提供大于或等于64GB的存儲分布式存儲主要采用X86服務(wù)器組成，使用至少2個萬兆接口用于源調(diào)配和隔離，支持與互聯(lián)網(wǎng)、電子政務(wù)外網(wǎng)及行業(yè)部門專網(wǎng)的連接。依照電子政務(wù)外網(wǎng)的安全域劃分，本次云平臺主要劃分為電子政務(wù)外網(wǎng)區(qū)和互聯(lián)網(wǎng)區(qū)。其中電子政務(wù)外網(wǎng)區(qū)主要是政務(wù)部門系統(tǒng)內(nèi)和系統(tǒng)間的互訪，互聯(lián)網(wǎng)用戶不能直接訪問這個區(qū)域的數(shù)據(jù)和信息系統(tǒng)；互聯(lián)網(wǎng)區(qū)安全域內(nèi)從網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)應(yīng)用業(yè)務(wù)的獨立性、各業(yè)務(wù)的互訪關(guān)系及業(yè)務(wù)的安全隔離需求綜合考慮，將管理數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、存儲數(shù)據(jù)進行的市級部門訪問或管理業(yè)務(wù)系統(tǒng)可通過VPN等多種方式實現(xiàn)?；ヂ?lián)網(wǎng)區(qū)與電子政務(wù)外網(wǎng)區(qū)之間通過安全數(shù)據(jù)交換系統(tǒng)進行數(shù)據(jù)交換?；ヂ?lián)網(wǎng)區(qū)與電子政務(wù)外網(wǎng)區(qū)出口邊界應(yīng)通過訪問控制設(shè)備建立邊界。平臺內(nèi)網(wǎng)絡(luò)至少劃分為業(yè)務(wù)網(wǎng)、存儲網(wǎng)、管理網(wǎng)等，業(yè)務(wù)網(wǎng)絡(luò)至少具備10G網(wǎng)絡(luò)通訊能力，存儲網(wǎng)絡(luò)至少具備10G通訊能力，管理網(wǎng)絡(luò)至少具備1G網(wǎng)絡(luò)通訊能力。平臺核心交換機至少配置4臺數(shù)據(jù)中心級高性能模塊化交換機，具備網(wǎng)絡(luò)虛擬化集群部署能力。若部署接入交換機也需具備虛擬化部署2.4.4安全資源池要求的需求)。2.5云平臺安全要求公用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)區(qū)之間須部署滿足國家電子政務(wù)外網(wǎng)要求的安平臺應(yīng)配置必要的運維審計設(shè)備，保證對所有運維操作進行溯源。XX市電子政務(wù)云建設(shè)1個云監(jiān)管平臺。實現(xiàn)對云平臺統(tǒng)一監(jiān)管，監(jiān)管平臺應(yīng)具備資源、業(yè)務(wù)、運營和運維監(jiān)管等功能。云監(jiān)管平臺提供商需與云平臺提供商一起，在政府的統(tǒng)一管理下，提出云監(jiān)管平臺與云平臺之間的監(jiān)管接口規(guī)范并遵循。除了具備資源、業(yè)務(wù)、運營和運維監(jiān)管規(guī)劃與申請，云服務(wù)的使用與監(jiān)控。最終保證系統(tǒng)上云正常維護等。狀況，云服務(wù)商資源審核，云服務(wù)等財政預(yù)算審核，安全監(jiān)管等。以上監(jiān)管流程，要求遵循ITIL標(biāo)準和規(guī)范體系，通過規(guī)范和服務(wù)，將服務(wù)商的服務(wù)接入，解除云服務(wù)商與用戶的強耦合關(guān)系。平臺以中立方的角色，對各服務(wù)商的服務(wù)質(zhì)量進行監(jiān)控與監(jiān)管，建立服務(wù)優(yōu)勝劣汰的質(zhì)量服務(wù)體系。最終形成良性的競爭與合作生態(tài)圈，為各政務(wù)系統(tǒng)的政務(wù)云平臺容災(zāi)的設(shè)計目的是為了保障其所承載業(yè)務(wù)連續(xù)性，而業(yè)務(wù)的連續(xù)性涉及到三個方面的要素，即：HA(高可用),DP(數(shù)據(jù)保護),DR(災(zāi)難恢復(fù))。應(yīng)提供容災(zāi)備份相關(guān)技術(shù)手段。2.9其它要求提供標(biāo)準服務(wù)器機柜用于物理設(shè)備托管服務(wù)，用戶托管設(shè)備需納入云管理平臺進行統(tǒng)一監(jiān)控和管理，托管設(shè)備的運維管理須納入基礎(chǔ)安全分散建設(shè)的政務(wù)信息系統(tǒng)，需要遷移到電子政務(wù)云平臺上。但這些系統(tǒng)采用了不同的平臺和技術(shù)實現(xiàn)，為遷移到電子業(yè)務(wù)遷移設(shè)計服務(wù)進行系統(tǒng)遷移方案詳細設(shè)計并進行完善的評估，確定2.9.3對接要求能夠與XX市現(xiàn)有電子政務(wù)外網(wǎng)，互聯(lián)網(wǎng)，專網(wǎng)(部門業(yè)務(wù)專網(wǎng))2.9.4冗余及擴展要求3.1.1機房整體需求運維辦公場所等。按照模塊化機房相關(guān)標(biāo)準建設(shè)，容納機柜不少于30擴展能力，未來3-5年根據(jù)實際業(yè)務(wù)需要可擴展至60個以上，整體面m2,云平臺運維管理區(qū)域需配備≥12塊、≥46英寸的的DLP拼接屏作6.向采購人提供7*24熱線人工值守以及響應(yīng)電話，7*24全天候技房抗震烈度達8度或以上。時間不小于3個月。在充分考慮計算機系統(tǒng)、通訊、空調(diào)、UPS等設(shè)備的安全性、可靠性、先進性的前提下，達到高雅、大方、簡樸的風(fēng)格；機房室內(nèi)裝潢基防水、防盜、環(huán)保、消防、不易變形及防鼠防蟲等因素，裝飾材料防火等級大于等于B1級。對于建筑裝修部分，既要與現(xiàn)代化的計算機通訊設(shè)備相匹配，又能通過精良、獨特的設(shè)計構(gòu)思，真正體現(xiàn)“現(xiàn)代、高雅、美觀、適用”的計，配電室、主機房、監(jiān)控室等所有機房區(qū)域敷設(shè)硫酸鈣復(fù)合無框防靜電地板；走廊敷設(shè)與大樓標(biāo)準層相同的地磚，以保持與大樓裝修的統(tǒng)一機房區(qū)域內(nèi)鋪設(shè)優(yōu)質(zhì)硫酸鈣復(fù)合防靜電地板，地板規(guī)格600×600,地板敷設(shè)高度不低于400mm,根據(jù)機柜數(shù)量配置相應(yīng)的地板通風(fēng)口。地板腿、支架等所有防靜電地板附件全部采用防靜電地板原廠配件。各項門窗工程部分，機房區(qū)域、辦公輔助區(qū)域和其他區(qū)域的相關(guān)房間設(shè)置鋼木門、玻璃門等。根據(jù)消防安全設(shè)計要求，門開啟方向為向外，門色彩樣式考慮和墻面的整體協(xié)調(diào)配合，尤其應(yīng)具備防火、防盜要求。門框及門面鋼板厚度在1.5mm以上，配套五金件齊防火閉門器等),為保證質(zhì)量選擇優(yōu)質(zhì)國產(chǎn)名牌產(chǎn)品。主機房、監(jiān)控室、機房的用電負荷等級和供電要求滿足《供配電系統(tǒng)設(shè)計規(guī)范》級，預(yù)留備用容量。需要在1路市電供電的基礎(chǔ)市電停電后，發(fā)電機應(yīng)啟動并供電。柴油發(fā)電機按N+1模式配置。空調(diào)系統(tǒng)及其他用電負荷與IT負荷分類別、分級供電。機房內(nèi)所有電氣設(shè)備外殼、金屬管道、金屬吊頂、抗靜電地板、金屬隔斷框架均牢固連接大樓綜合接地。接地電阻要求≤1Ω,可以采用用綜合接地的方式。零地電壓小于1V。機房內(nèi)所有計算機系統(tǒng)設(shè)備的金屬機殼應(yīng)使用數(shù)根絕緣導(dǎo)線就近接計算機設(shè)備的金屬外殼、UPS及電池箱金屬外殼、金屬地板支架、隔斷及金屬框架、設(shè)施管路、電纜橋架等應(yīng)以最短的線路連到最近的等3.1.5空調(diào)系統(tǒng)需求中央機房計算機設(shè)備運行區(qū)域配備了機房專用精密空調(diào)系統(tǒng)，氣流組織采用下送風(fēng)、上回風(fēng)的方式，確保設(shè)備運行區(qū)域的溫度、濕度和潔凈度指標(biāo)優(yōu)于設(shè)備運行及國家B級機房標(biāo)準的要求。每個獨立分區(qū)配置機房專用精密空調(diào)系統(tǒng)，N+1冗余運行，可以提空調(diào)系統(tǒng)采用UPS供電保障，可實現(xiàn)全年不停頓運轉(zhuǎn)，確保可以為機房內(nèi)的設(shè)備提供全年7×24小時制冷保障。經(jīng)過高效過濾的新鮮潔凈氣體從設(shè)備運行區(qū)域的兩側(cè)輸入，在提供空氣置換的同時，在機房內(nèi)部按預(yù)定次序形成微正壓梯度和空氣排放通道，可有效防止未過濾氣體的入侵，保證機房潔凈度和空氣清新。有序流動，配合溫度檢測系統(tǒng)和氣流調(diào)節(jié)措施3.1.6消防系統(tǒng)需求數(shù)據(jù)中心機房通過與控制中心式火災(zāi)自動報警系統(tǒng)的聯(lián)合作業(yè)，及通過與閉路電視監(jiān)控系統(tǒng)、樓宇智能管理系統(tǒng)聯(lián)網(wǎng)的火災(zāi)自動報警系統(tǒng)，結(jié)合應(yīng)急廣播系統(tǒng)、消防電話、無線通信等通信聯(lián)絡(luò)方式，確保數(shù)據(jù)中心機房采用分層部署的環(huán)保潔凈氣體(七氟丙烷)滅火系統(tǒng)，采用獨立的空間陳放消防設(shè)備，通過管道輸入到設(shè)備室；可以及時撲滅火災(zāi)，保障設(shè)備安全。與新風(fēng)系統(tǒng)整合的高效強制排煙系統(tǒng)，可以保證并配備手提式滅火器，在保證滅火效果的同采用先進的煙感溫感報警器，設(shè)計部署數(shù)個180L鋼瓶環(huán)保型氣體滅3.1.7安防系統(tǒng)需求安防系統(tǒng)包含但不僅限于視頻監(jiān)控、門禁系統(tǒng)等，數(shù)據(jù)中心整個安全防范體系采用分級別、分區(qū)域的整體縱深防范體系，由外到內(nèi)劃分層5個安全等級。對于為客戶提供服務(wù)的專屬使用區(qū)域，將在安全管理規(guī)劃第4級的基礎(chǔ)上，根據(jù)具體要求定制安全管理措施及訪問控制策略，XX市政務(wù)云平臺要滿足與電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)的互聯(lián)互通，作為出口鏈路必須做冗余處理。切保證主干鏈路通信正常。XX市政務(wù)云平臺網(wǎng)絡(luò)接入建議通過裸光纖與XX電子政務(wù)外網(wǎng)統(tǒng)一出口及互聯(lián)網(wǎng)統(tǒng)一出口統(tǒng)一匯聚層互聯(lián)。出口匯聚示意圖如下：XX市政務(wù)云平臺電子政務(wù)外網(wǎng)資源池通過2條裸光纖與市電子政務(wù)統(tǒng)一出口網(wǎng)絡(luò)設(shè)備互聯(lián)實現(xiàn)云平臺與電子政務(wù)外網(wǎng)用戶的互聯(lián)互通，2XX市政務(wù)云平臺互聯(lián)網(wǎng)資源池提供多各接口(滿足10GE)與互聯(lián)網(wǎng)接入設(shè)備進行互聯(lián)實現(xiàn)云平臺與互聯(lián)網(wǎng)用戶的互聯(lián)互通，向互聯(lián)網(wǎng)用戶提供政務(wù)業(yè)務(wù)服務(wù)?；ヂ?lián)網(wǎng)接入鏈路必須提供硬件防火墻設(shè)備保證平臺互聯(lián)網(wǎng)出口安全，支持多家運營商鏈路接入。實現(xiàn)平臺互聯(lián)網(wǎng)區(qū)域多路業(yè)務(wù)單位專網(wǎng)(部門業(yè)務(wù)專網(wǎng))業(yè)務(wù)統(tǒng)一接入XX市政務(wù)云平臺專網(wǎng)區(qū)，實現(xiàn)業(yè)務(wù)專網(wǎng)與政務(wù)云平臺的互聯(lián)互通，向?qū)＞W(wǎng)用戶提供政務(wù)業(yè)務(wù)服務(wù)。專網(wǎng)鏈路由業(yè)務(wù)單位自行負責(zé)，平臺提供統(tǒng)業(yè)務(wù)接入接口。(1)云基礎(chǔ)設(shè)施管理服務(wù)對云平臺運行所需的基礎(chǔ)設(shè)施進行管理，通過持續(xù)收集和管理數(shù)據(jù)中心的資產(chǎn)、資源以及各種設(shè)備的運行狀態(tài)，通過分析對可能出現(xiàn)的問題進行預(yù)警。其中數(shù)據(jù)中心相關(guān)基礎(chǔ)設(shè)施管理系統(tǒng)由云管理單位提供。(2)云資源運行情況監(jiān)控服務(wù)云監(jiān)管平臺對云服務(wù)商的云資源(計算資源、存儲資源、網(wǎng)絡(luò)資源等)統(tǒng)一監(jiān)控，包括資源使用情況、資源統(tǒng)計和資源考核等，如：虛擬機資源/存儲資源/物理機資源(查看已申請的虛擬信息：虛擬機名稱、描述、資源配置、操作系統(tǒng)、公網(wǎng)/私網(wǎng)IP地址、申請時間、虛擬機運行(3)資源自助管理界面云平臺向終端用戶提供圖形化的統(tǒng)一管理界面，用戶使用統(tǒng)一登錄(4)使用量可計量計費需求云管理平臺軟件需對用戶使用的資源如虛擬機、存儲、IP、負載均衡、虛擬網(wǎng)絡(luò)等資源的使用做到精細化管理并提供統(tǒng)計分析功能。且需(5)虛擬機熱遷移當(dāng)虛擬機所在的硬件設(shè)備維護升級時能夠?qū)崟r遷移到其它硬件設(shè)備上運行，而虛擬機中的服務(wù)不應(yīng)停止；當(dāng)原硬件設(shè)備維護升級結(jié)束后可(6)動態(tài)調(diào)整利用云計算本身靈活擴展的優(yōu)勢，可以根據(jù)業(yè)務(wù)的負載情況靈活地根據(jù)電子政務(wù)云的現(xiàn)狀，云平臺資源方面要求能夠?qū)崿F(xiàn)按政府實際3.5云平臺安全需求云安全技術(shù)體系建設(shè)云安全技術(shù)方案涵蓋云基礎(chǔ)設(shè)施安全、云平臺安全、云應(yīng)用安全及用戶端安全，從邊界接入到主機安全防護，全方案的打造安全的云計算云安全管理方案包括信息安全法律法規(guī)、行業(yè)規(guī)范、流程管理、人員管理、威脅管理及合規(guī)性管理等，以等保安全標(biāo)準為指導(dǎo)，針對信息云安全運維體系從運維管理角度建成政務(wù)云計算的安全體系，實現(xiàn)統(tǒng)一的數(shù)據(jù)保護、服務(wù)的訪問控制、數(shù)據(jù)安全審計策略以及安全應(yīng)急燈●網(wǎng)絡(luò)環(huán)境安全：安全保護設(shè)備和安全軟件的選型，按相關(guān)●底層結(jié)構(gòu)安全：必須保障虛擬化平臺架構(gòu)層面的安全。虛3.5.2關(guān)鍵技術(shù)需求安全監(jiān)控管理云安全管理與監(jiān)控對操作系統(tǒng)、虛擬化軟件、數(shù)據(jù)庫系統(tǒng)、應(yīng)用服務(wù)器、中間件及業(yè)務(wù)系統(tǒng)進行全面的監(jiān)控，管理并分析所產(chǎn)生的安全事主機應(yīng)用監(jiān)管系統(tǒng)定位對網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用服務(wù)等一系列資源的不間斷監(jiān)控，為用戶提供面向應(yīng)用的監(jiān)測視圖、智能準確的統(tǒng)一主機應(yīng)用監(jiān)管系統(tǒng)通過對應(yīng)用安全狀態(tài)的可視化、應(yīng)用安全健康度可量化、應(yīng)用安全監(jiān)測的預(yù)警化和應(yīng)用業(yè)務(wù)決策的數(shù)據(jù)化，能為用戶一云安全管理以安全策略為驅(qū)動，以安全機制為核心，最終作用于安全部件，根據(jù)作用范圍分屬于不同的安全域。安全部件在運行中產(chǎn)生的安全事件被提交到云安全管理控制臺，觸發(fā)響應(yīng)。整個管理流程是一個安全郵件安全郵件安全郵件安全郵件安全郵件安全郵件安全郵件安全郵件安全郵件安全郵件全安安全郵件安全郵件安全郵件安全郵件1.安全策略管理：對各種安全策略(云服務(wù)管理策略、數(shù)據(jù)安全策略、安全事件策略、身份管理策略、安全審計策略)進行維護和管理，云安全管理與監(jiān)控的其它功能組件根據(jù)所制定的安全策略，執(zhí)行各自的2.服務(wù)安全管理：監(jiān)控云計算環(huán)境所提供的各類服務(wù)如IAAS、PAAS和SAAS,獲取各類服務(wù)的使用情況，監(jiān)聽云服務(wù)用戶對服務(wù)的請求和使3.數(shù)據(jù)安全管理：包括數(shù)據(jù)存儲加密、數(shù)據(jù)傳輸加密、數(shù)據(jù)共享安4.安全事件管理：監(jiān)控云基礎(chǔ)設(shè)施硬件包括計算、存儲、網(wǎng)絡(luò)資源上報安全事件；支持多種告警方式，接收來自網(wǎng)絡(luò)、主機、虛擬環(huán)境等5.身份安全管理：負責(zé)用戶的安全接入認證、用戶安全登錄以及單6.安全審計：包括網(wǎng)絡(luò)審計、應(yīng)用審計、操作系統(tǒng)審計、虛擬環(huán)境審計，記錄用戶對云服務(wù)的訪問使用行為信息，監(jiān)督和記錄系統(tǒng)運行的8.云攻擊檢測：檢測來自內(nèi)部、外部的對云計算環(huán)境及服務(wù)的非法請求和攻擊，對檢測到攻擊產(chǎn)生安全事件并記錄攻擊信息，同時觸發(fā)應(yīng)事件管理與響應(yīng)協(xié)助用戶實現(xiàn)安全策略管理、安全組織管理、安全運作管理，能實現(xiàn)管理層面和技術(shù)層面的職能，有效地將政務(wù)的策略管理、安全組織管理、安全運作管理和安全技術(shù)框架結(jié)合在一起，保持一致性。其工作原壓壓事件收集安全信息事件關(guān)聯(lián).集中安全監(jiān)控中心事件收集器定制知識庫→加的風(fēng)險管理中心：全面收集信息資產(chǎn)的漏洞和相關(guān)事件，通過關(guān)聯(lián)分析去除各種誤報，發(fā)現(xiàn)有用信息，給出級別度量。系統(tǒng)能夠自動完成以往專家完成的風(fēng)險計算工作，并自動觸發(fā)任務(wù)單和響應(yīng)來降低風(fēng)險，達風(fēng)險管理以定期風(fēng)險評估為基礎(chǔ)，發(fā)現(xiàn)政務(wù)所面臨的安全風(fēng)險，并開發(fā)適合信息安全風(fēng)險評估服務(wù)(簡稱：ISRE)建立在工作流程標(biāo)準化、技術(shù)水平專業(yè)化、經(jīng)驗累積知識化之上，從業(yè)務(wù)采用定性和定量相結(jié)合的方法，幫助用戶識別信息化風(fēng)險、分析信息化風(fēng)險、處置信息化風(fēng)險，從而建立以風(fēng)險管理為中心的安全保障體系。物型安全風(fēng)險評估圖(4)與相關(guān)法規(guī)和標(biāo)準(如等級保護、ISO27000系列標(biāo)準)的符補丁管理補丁管理過程要遵循變更管理框架，并直接從漏洞管理程序得到反取最新補?。谎a丁安全測試后，通過補丁分發(fā)管理中心服務(wù)器對網(wǎng)絡(luò)用戶進行分發(fā)，并提醒各用戶，由用戶自行選擇安裝。合規(guī)性與安全審計提供的政務(wù)云和政務(wù)大數(shù)據(jù)平臺信息安全等級保護遵循國家等級保護相關(guān)政策和標(biāo)準，完成三級等級測評和備案工作；針對平臺運行的業(yè)務(wù)系統(tǒng)，采用等級化、系統(tǒng)化和標(biāo)準化相結(jié)合的方法，提供從系統(tǒng)定級、安全規(guī)劃、安全設(shè)計與實施到安全運維等信息安全等級保護全過程的服務(wù)，幫助用戶建立科學(xué)合理的信息安全保障體系，并符合國家相關(guān)政策和標(biāo)準的要求。等級麥更局部調(diào)整1.信息安全等級保護管理要求CPCS以“適度防御、合理規(guī)劃設(shè)計”為基本思想，以用戶安全需求為導(dǎo)向，以信息安全等級保護相法規(guī)和標(biāo)準為指導(dǎo)，幫助用戶建立健全信息安全保障體系，從而保證信息系統(tǒng)定級合理準確、安全體系建設(shè)科系統(tǒng)定級安全規(guī)劃安全運維信息安全等級保護咨詢服務(wù)設(shè)計與實施(1)系統(tǒng)定級咨詢服務(wù)服務(wù)內(nèi)容：采用訪談、研討會和文檔分析等手段，收集有關(guān)信息系依照國家有關(guān)管理規(guī)范、標(biāo)準和信息系統(tǒng)的總體情況，進行信息系統(tǒng)劃(2)等級保護評估服務(wù)服務(wù)內(nèi)容：采用基線分析和風(fēng)險評估相關(guān)結(jié)合的方式，幫助用戶明確信息系統(tǒng)安全保護需求，形成安全需求分析報告；根據(jù)信息系統(tǒng)實際情況和信息安全等級保護基本要求，制定信息安全總體策略、系統(tǒng)安全(3)等級保護建設(shè)方案咨詢服務(wù)制定詳細的系統(tǒng)安全技術(shù)措施方案、安全管理措施方案和安全建設(shè)計劃(4)等級保護測評支持服務(wù)服務(wù)內(nèi)容：在等級保護運行和維護階段，協(xié)助用戶準備等級測評相2、用戶收益>幫助用戶開展信息安全等級保護相關(guān)工作，并符合國家相>根據(jù)用戶自身發(fā)展要求，幫助其進行中長期信息安全建設(shè)>幫助用戶建立動態(tài)安全防御體系，持續(xù)改進信息安全保障監(jiān)管部門的職責(zé)主要是從全局的角度來對于電子政務(wù)云的云服務(wù)的使用電子政務(wù)云平臺，搭建政務(wù)系統(tǒng)的各委辦局，特點是云服務(wù)的直接消費方，通過平臺來申請、配置、使用并監(jiān)控云服務(wù)。(3)平臺運營商平臺運營商作為平臺的運營，維護各委辦局，監(jiān)管部門的賬戶、組織架構(gòu)體系；監(jiān)管服務(wù)商的技術(shù)接入及安全配置。保證各個服務(wù)與用戶服務(wù)提供商是特指IaaS服務(wù)商和PaaS服務(wù)商，對于IaaS服務(wù)商，提供主機、網(wǎng)絡(luò)等過平臺注冊接入，通過運營監(jiān)管平臺來配置所提供的服務(wù)，并且通過平臺的監(jiān)控、統(tǒng)計、計費等服務(wù)來保證自身服務(wù)可控。云監(jiān)管平臺將建設(shè)在XX市政府指定地點，其所需的硬件和第三方軟件(包括但不限于服務(wù)器、存儲、網(wǎng)絡(luò)、安全、操作系統(tǒng)、數(shù)據(jù)庫、中間件等)由提供商按需規(guī)劃、配置，網(wǎng)絡(luò)需根據(jù)整體設(shè)計滿足與云平臺互通，同時需考慮系統(tǒng)安全的相關(guān)設(shè)備配置。根據(jù)對云監(jiān)管平臺的需求梳理，云監(jiān)管平臺需要具備統(tǒng)一門戶、服務(wù)考核、接口管理、資源監(jiān)管、運營管理、運維管理、用戶管理、系統(tǒng)管理及安全管理等功能模塊組成。3.6.5監(jiān)管中心XX市政務(wù)云平臺需要為運行在其上的各類政府部門業(yè)務(wù)系統(tǒng)提供等主流數(shù)據(jù)庫)、虛擬機等進行備份?？筛鶕?jù)各類不同的業(yè)務(wù)應(yīng)用系統(tǒng)提供不同等級的RPO支持，范圍從0至24小時。數(shù)據(jù)備份分為本地備份和異地備份，本地備份利用生產(chǎn)中心內(nèi)的專用備份設(shè)備提供本地備份空間，用于數(shù)據(jù)的快速恢復(fù)；異地備份利用容災(zāi)中心內(nèi)的專用備份設(shè)備提供異地備份空間，用于重點業(yè)務(wù)在異地的業(yè)本地備份的數(shù)據(jù)包含所有業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫的結(jié)構(gòu)化數(shù)據(jù)和部分非結(jié)構(gòu)化數(shù)據(jù)。由于采用多副本的分布式存儲架構(gòu)，已經(jīng)能夠在一定程度上保障數(shù)據(jù)的可靠性，只需要將一些重點業(yè)務(wù)系統(tǒng)數(shù)據(jù)再次進行備份。(1)容災(zāi)備份中心應(yīng)盡可能遠離同一機構(gòu)主數(shù)據(jù)中心所在地。(2)災(zāi)備機房所在地區(qū)地質(zhì)穩(wěn)定，無地震、洪澇等災(zāi)害。(3)災(zāi)備機房周圍無強電磁波源，無易燃易爆品、無軍事目標(biāo)。(4)災(zāi)備機房需要滿足GB50174-2008《電子信息系統(tǒng)機房設(shè)計規(guī)范》B級及以上標(biāo)準和國家對于政務(wù)系統(tǒng)的要求進行建設(shè)。(1)災(zāi)備系統(tǒng)的安全區(qū)域劃分應(yīng)該按照主生產(chǎn)機房的劃分方式來統(tǒng)(2)災(zāi)備機房的網(wǎng)絡(luò)是動態(tài)可擴展的彈性網(wǎng)絡(luò)，以滿足業(yè)務(wù)系統(tǒng)未(3)異地數(shù)據(jù)容災(zāi)需要滿足GB/T20988-2007《信息安全技術(shù)信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》要求，RPO(恢復(fù)點目標(biāo)):0至24小時；不同的3.8增量服務(wù)需求單元類型備注說明1以1臺物理服務(wù)器為單位以云服務(wù)商平臺所提供的通用計算節(jié)點物理機為參考，服務(wù)商應(yīng)充2高性能計算單元以1臺物理服務(wù)器為單位以云服務(wù)商平臺所提供的高性能3為單位，每1TB裸存儲容量以云服務(wù)商平臺所提供的FC-SAN4以1臺物理服務(wù)器為單位以云服務(wù)商平臺所提供的分布式5以滿足單臺云主機(虛擬機)國產(chǎn)linux企業(yè)版以滿足單臺云主機(虛擬機)以滿足一個應(yīng)用系統(tǒng)使用為1個單元配合XX市各級部門應(yīng)用系統(tǒng)遷移前的需求分析工作，對各部門應(yīng)用系3.9.4冗余擴展需求(一)統(tǒng)一規(guī)范(二)成熟穩(wěn)定(三)實用先進為避免投資浪費，政務(wù)云平臺體系的設(shè)計不僅要求能夠滿足目前業(yè)務(wù)使用的需求，還必須具備一定的先進性和發(fā)展?jié)摿Γ瓜到y(tǒng)具有容量的擴充與升級換代的可能，以便該項目在盡可能的時間內(nèi)與業(yè)務(wù)發(fā)展和(四)開放適用由于云計算平臺為各業(yè)務(wù)應(yīng)用系統(tǒng)提供支撐，必須充分考慮系統(tǒng)的(五)安全可靠本項目涉及用戶范圍廣，數(shù)量大，實時性強，設(shè)計時應(yīng)按照國家第三級安全等級保護規(guī)范，加強系統(tǒng)安全防護能力，確保方案實施完成后4.2.1總體架構(gòu)建設(shè)具備電子政務(wù)業(yè)務(wù)集中承載以及政務(wù)業(yè)務(wù)大數(shù)據(jù)分析處理能力的電子政務(wù)云，實現(xiàn)市政府各部門基礎(chǔ)設(shè)施共建共用、信息系統(tǒng)整體部為政府管理和公共服務(wù)提供有力支持，提高為民服務(wù)水平，提升政府現(xiàn)構(gòu)建市級各單位非涉密業(yè)務(wù)共享共用的ICT基礎(chǔ)設(shè)施平臺，各委辦提升信息化投入成效。未來政務(wù)云同時要承載交通、工業(yè)、食品安全應(yīng)急管理、環(huán)保、旅游、交易等多個行業(yè)業(yè)務(wù)云，為智慧政務(wù)、數(shù)字園企業(yè)信用、智慧工商等業(yè)務(wù)應(yīng)用系統(tǒng)提供數(shù)據(jù)及平臺支撐服務(wù)，并向平臺遷移市級部門已建并在互聯(lián)網(wǎng)、政務(wù)外網(wǎng)、非涉密業(yè)務(wù)專網(wǎng)上運行的業(yè)務(wù)應(yīng)用，逐步將業(yè)務(wù)專網(wǎng)向電子政務(wù)外網(wǎng)融合，形成覆蓋全市的數(shù)據(jù)遂寧政務(wù)云平臺政務(wù)云平臺用戶資源申請NN1數(shù)據(jù)中心安全資意第一個“1”:1個統(tǒng)一運營監(jiān)管平臺；第二個“1”:1個云平臺；“N”:N個政府部門業(yè)務(wù)系統(tǒng)云平臺(N>=1),根據(jù)政府部門實際情況，制定技術(shù)標(biāo)準，對現(xiàn)有部門條件較好的數(shù)據(jù)中心和設(shè)備進行再利用，納入政務(wù)云統(tǒng)一管理或在云上建立縱向業(yè)務(wù)專有云平臺?！?”:為保障局委辦數(shù)據(jù)和業(yè)務(wù)的安全和連續(xù)性，規(guī)劃一個容災(zāi)備份中心，保障數(shù)據(jù)和業(yè)務(wù)的安全。4.2.2云平臺架構(gòu)與防護云服務(wù)星設(shè)備展遂寧市政務(wù)云平臺全金計，主要分為數(shù)據(jù)庫區(qū)、業(yè)務(wù)應(yīng)用區(qū)、存儲區(qū)、系統(tǒng)管理區(qū)、網(wǎng)絡(luò)出口→設(shè)備層設(shè)備層包括運行政務(wù)云所需要的計算(服務(wù)器)、網(wǎng)絡(luò)、存儲等各→云服務(wù)層資源池IaaS服務(wù)：包括云主機、云存儲(云數(shù)據(jù)盤、對象存儲)、云防火墻、云負載均衡和云網(wǎng)絡(luò)(租戶子網(wǎng)/IP/域名等)。IaaS的管理平臺不但能管理自己的虛擬化資源，還能由監(jiān)管平臺通過接口的方式進的創(chuàng)新業(yè)務(wù)來滿足市民對政府信息公開及提升辦事效率的業(yè)務(wù)，但業(yè)務(wù)的推廣好壞除業(yè)務(wù)本身外，很大程度上取決于底層技術(shù)平臺的能力，比PaaS層服務(wù)擴展能力，以支持政務(wù)信息化應(yīng)用向互聯(lián)網(wǎng)化演進的需求。云架構(gòu)安全及防護樹開埋時盤過嘴時樹開埋時盤過嘴時物理安全、組織安全等部分。滿足國家安全等級保護3級的部署要求?！\營服務(wù)→運營管理運營管理為整個云服務(wù)平臺提供維護和管理的業(yè)務(wù)支撐，提供諸如根據(jù)XX市實際需求，結(jié)合云計算技術(shù)最新發(fā)展成果，XX市政務(wù)云政府辦公門戶(面向政府辦公人員)全政務(wù)數(shù)據(jù)公開全豆全整合遷移規(guī)劃設(shè)計實施全政府決策門戶系統(tǒng)安全保障體系費量事或通意量事或通意4.2.3安全架構(gòu)等級保護政務(wù)云安全體系，從安全技術(shù)、安全管理以及安全服務(wù)三25070-2010),等級保護三級安全技術(shù)從安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心方面進行構(gòu)建。等級保護安全體系如下圖金定聯(lián)及備t惠環(huán)境根據(jù)政務(wù)云平臺安全域的劃分，等級保護的幾個安全域安全防護手段可以對應(yīng)到政務(wù)云平臺的網(wǎng)絡(luò)分區(qū)中。由于本期項目本著適度安全的設(shè)計目標(biāo)，安全防護手段僅僅考慮政務(wù)云平臺自身的安全防護，因此不政務(wù)云的建設(shè)在解決政府部門間信息共享，實現(xiàn)業(yè)務(wù)部門之間的數(shù)云承載者、云審計者和云代理者五方面的參與者，每一個參與者是一個實體(人，或組織),在云計算中參與一個交易或過程和/或執(zhí)行任務(wù)。云的基礎(chǔ)設(shè)施，用戶自己承擔(dān)的安全責(zé)任越多，而云提供商承擔(dān)的安全責(zé)云計算下的安全問題包括：云服務(wù)的濫用和惡意使用、不安全的接口和API、惡意的內(nèi)部人員、共享技術(shù)問題、數(shù)據(jù)丟失或泄漏、不安全或不完整的數(shù)據(jù)刪除、賬號或服務(wù)劫持、用性和可靠性問題、治理與合規(guī)風(fēng)險、可移植性風(fēng)險、云提供商和客戶現(xiàn)有的安全系統(tǒng)整合風(fēng)險等。對于電子政務(wù)系統(tǒng)來說，有其特殊的安全需求，主要包括：域間安全的數(shù)據(jù)交換、安全域的控制、標(biāo)準可信時間源的獲取、信息傳遞過程數(shù)據(jù)安全應(yīng)用安全主機安全網(wǎng)絡(luò)安全物理安全云安全管理平臺及服務(wù)體系高級威脅滿足合規(guī)管理控制中心圖政務(wù)云安全設(shè)計思路第一步，先按照行政級別和行政區(qū)域進行第一層系統(tǒng)的劃分，將整第二步：對每種電子政務(wù)云再按照系統(tǒng)功能和系統(tǒng)服務(wù)的對象進行第二次系統(tǒng)的劃分，將第二層系統(tǒng)分解為具有不同功能、不同服務(wù)對象4.3.1云平臺技術(shù)選型虛擬化模塊。自Linux2.6.20版本起就作為一模塊被包含在linux內(nèi)支持熱插拔(CPU/塊設(shè)備、網(wǎng)絡(luò)設(shè)備等);支持實時遷移；支持對稱多處理(SMP);支持PCI設(shè)備直接分配和單根I/O虛擬化；支持內(nèi)核同KVM的優(yōu)勢在于它是Linux完全原生的全虛擬化解決方案，就是在Linux內(nèi)核中添加的一個虛擬機模塊，直接使用Linux內(nèi)核中已經(jīng)完善的進程調(diào)度、內(nèi)存管理與硬件設(shè)備交互等部分，使Linux成為一個可以度很快，在任何場景下都可以直接和硬件進行交互，而不需要修改客戶對系統(tǒng)級的定制化開發(fā)和改造。同時XX市政務(wù)云作為一個政務(wù)項目，具有高性能、穩(wěn)定，且無需修改客戶機系統(tǒng)。同時KVM本身作為業(yè)界主綜合考慮XX全市非涉密系統(tǒng)業(yè)務(wù)需求，應(yīng)該使用KVM作為底層虛擬化上萬臺云服務(wù)器的使用及運營，支撐了超過萬臺虛擬機。目前針對虛擬機生命周期的管理，實現(xiàn)了虛擬機鏡像管理，今后會在穩(wěn)定性、高性能以及服務(wù)器兼容性等方面做進一步的優(yōu)化。讓政務(wù)云平臺虛擬機服務(wù)可云資源管理技術(shù)路線——openstackOpenStack是一個開源的云計算管理平臺，由幾個主要的組件組合起來完成具體工作。OpenStack支持幾乎所有類型的云環(huán)境，目標(biāo)是提加獨立功能的組件非常簡單。有時候，不需要通讀整個OpenStack的代碼，只需要了解其接口規(guī)范及API使用，就可以輕松地添加一個新的模(2)組件配置較為靈活。OpenStack的組件安裝非常靈活?？梢匀慷佳b在一臺物理機上，也可以分散至多個物理機中，甚至可以把所有API。其他所有組件也是采種這種統(tǒng)一的規(guī)范。因此，基于OpenStack做二次開發(fā)，較為簡單。而其他開源軟件則由于耦合性太強，導(dǎo)致添加OpenStack作為一個開源系統(tǒng)，不受任何一家單獨的公司控制。本身OpenStack是年輕的，但是他卻具有巨大的市場動力，與此同時，很多大公司都在支持OpenStack發(fā)展。有了如此多公司的資源投入，OpenStack技術(shù)路線，支持幾乎所有類型云資源的管理，目標(biāo)是提供實施簡單、可大規(guī)模擴展、豐富、標(biāo)準統(tǒng)一的云計算管理平臺。OpenStack通過各種互補的服務(wù)提供了基礎(chǔ)設(shè)施即服務(wù)(IaaS)的解決方案，每個服務(wù)提供API以進行政務(wù)云服務(wù)平臺與監(jiān)管平臺的集成。XX市云平臺業(yè)務(wù)系統(tǒng)的門類眾多，情況復(fù)雜，云管理平臺需要能快速適應(yīng)不同的業(yè)務(wù)架構(gòu)和流程，這需要保證云管理平臺的各個模塊和組件能夠靈活調(diào)配，呈現(xiàn)出松耦合的特性，面對各類復(fù)雜場景井進行快速的迭代開發(fā)。同時要具備豐富的功能，背后擁有龐大的開發(fā)社區(qū)，以滿足未來XX市云平臺信息化在發(fā)展中產(chǎn)生的新需求。綜合考慮XX市云平臺的業(yè)務(wù)特點以及對功能的需求，在云管理平臺的建設(shè)上，應(yīng)該使用開源松耦合的OpenStack來進行部署。政務(wù)云管理平臺將如何實現(xiàn)將現(xiàn)有業(yè)務(wù)和關(guān)聯(lián)流程移植和更好的運營在私有云之上。幫助實現(xiàn)政府現(xiàn)有各類資源的分配，平臺的交互能力讓用戶更快熟悉私有云的應(yīng)用模式，構(gòu)建高可用的云應(yīng)用，優(yōu)化和適應(yīng)政務(wù)云之上的業(yè)務(wù)運營模式。同時基于OpenStack框架的重要性以及為保證平臺的穩(wěn)定性，廠商必須是OpenStack社區(qū)金牌會員或白金會員，具備云平臺技術(shù)優(yōu)化路線隨著政務(wù)云項目不斷深入，新業(yè)務(wù)及搬遷業(yè)務(wù)應(yīng)用的數(shù)量會以更大更加高效合理的使用計算資源會是一個非常重要的任務(wù)。在設(shè)備和帶寬基數(shù)很大的情況下，優(yōu)化資源使用效率和降低成本會變成政務(wù)云運營的核心目標(biāo)之一。政務(wù)云數(shù)據(jù)中心資源會變得越來越緊張。政務(wù)云平臺本身對政府業(yè)務(wù)的發(fā)展預(yù)測能力會較差，制定出長遠的、不變的數(shù)據(jù)中心資源規(guī)劃幾乎是不可能的。搬遷業(yè)務(wù)的需求將會非常的多，自動化或自助化的異地隨著業(yè)務(wù)系統(tǒng)增多，支撐服務(wù)的異地部署能力也會受到考驗。目前的遷移方式可能會受到未來某些目前無法預(yù)料的政府業(yè)務(wù)應(yīng)用需求的挑戰(zhàn)。要合理的解決這類問題，建立異地部署和遷移能力，會是面臨的一云客戶需求的更深層的能力出來。在功能上，也會提供更加多樣化的服2.在虛擬機服務(wù)中，更加安全的運營虛擬應(yīng)政務(wù)業(yè)務(wù)系統(tǒng)方面傾斜，同時自動化和自助化的數(shù)據(jù)遷移與異地部署能力會進一步的增強，比如提供co-processor的能力，讓業(yè)務(wù)邏輯可圖像處理等功能。實現(xiàn)全網(wǎng)的QoS控制，不但可以監(jiān)控所有流量，還能針對流量和客戶需求的優(yōu)先級，提供不同水平的SLA。最后，多個業(yè)務(wù)的數(shù)據(jù)分析能力，大規(guī)模計算能力，以及允許第三方提供個性化的數(shù)據(jù)4.3.2網(wǎng)絡(luò)技術(shù)選型考慮整個平臺業(yè)務(wù)需求整網(wǎng)采用SDN+VXLAN架構(gòu)部署，實現(xiàn)網(wǎng)絡(luò)層獨立的SDN控制器設(shè)備構(gòu)成控制層，底層網(wǎng)絡(luò)設(shè)備構(gòu)成了轉(zhuǎn)發(fā)云數(shù)據(jù)中心在業(yè)務(wù)平面通常采用vxlan的組網(wǎng)模式。在云數(shù)據(jù)中心大二層網(wǎng)絡(luò)考慮整個平臺業(yè)務(wù)部署需求整網(wǎng)采用使用大二層技術(shù)保證整個數(shù)據(jù)云數(shù)據(jù)中心下，隨著計算和存儲資源的資源池化，相應(yīng)的網(wǎng)絡(luò)也需要實現(xiàn)資源池化，使用大二層技術(shù)保證整個數(shù)據(jù)中心實現(xiàn)云化。使得管理員能夠根據(jù)不同業(yè)務(wù)的實際需求按需分配想要的網(wǎng)絡(luò)資源且不影響用大二層網(wǎng)絡(luò)基本上都是針對數(shù)據(jù)中心場景的，因為它實際上就是為了解決數(shù)據(jù)中心的服務(wù)器虛擬化之后的虛擬機動態(tài)遷移這一特定需求而出現(xiàn)的。對于普通的園區(qū)網(wǎng)之類網(wǎng)絡(luò)而言，大二層網(wǎng)絡(luò)并沒有特殊的價網(wǎng)絡(luò)統(tǒng)一管理，對接云平臺相應(yīng)的運維壓力也會成倍增加，為了保證云數(shù)據(jù)中心能夠滿足業(yè)務(wù)頻繁更新的需求。需要能夠統(tǒng)一的對網(wǎng)絡(luò)進行管理。為了使云數(shù)據(jù)中心能夠需要保證網(wǎng)絡(luò)這塊能通過SDN控制器同云平臺進行對接管理。從而簡化網(wǎng)絡(luò)健康狀態(tài)感知隨著網(wǎng)絡(luò)設(shè)備的增多，運維人員很難一個個去收集現(xiàn)網(wǎng)中所有網(wǎng)絡(luò)設(shè)備的使用情況，也就很難能夠判斷哪些網(wǎng)絡(luò)設(shè)備是在超負荷運行，哪些網(wǎng)絡(luò)設(shè)備存在風(fēng)險，哪些網(wǎng)絡(luò)設(shè)備需要進行升級換代。因此需要保證SDN控制器能夠感知整網(wǎng)網(wǎng)絡(luò)設(shè)備的將健康狀態(tài)，并能對網(wǎng)絡(luò)的健康情鏈路帶寬選擇核心接入互聯(lián)的網(wǎng)絡(luò)骨干區(qū)域，單鏈路需具備10G帶寬能力，未來根據(jù)業(yè)務(wù)擴展需求可以平滑升級到50G單鏈路帶寬能力，滿足業(yè)務(wù)系統(tǒng)用對安全等保要求的特點對服務(wù)器進行分區(qū)配置，滿足政務(wù)應(yīng)用對計算業(yè)務(wù)資源池、運行管理資源池等功能區(qū)域集群。不同集群內(nèi)部資源可以其中業(yè)務(wù)資源池承載政務(wù)云大部分的業(yè)務(wù)系統(tǒng)，包括門戶網(wǎng)站、各委辦局管理系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等，以及數(shù)據(jù)交換平臺前置機、管理控制對于虛擬主機不能滿足的應(yīng)用，則采用物理服務(wù)器滿足。以下是針對不物理主機和虛擬機的不同節(jié)點配置全面覆蓋政務(wù)客戶的不同業(yè)務(wù)需對內(nèi)存容量、I0、擴展性的要求都不高，且有節(jié)約空間和能源的應(yīng)用，采用虛擬主機來滿足；對于高性能計算，大容量存儲，大容量內(nèi)存和高IO的需求，虛擬化不能滿足應(yīng)用需求，則采用4路X86服務(wù)器高性能物理主機滿足。本次政務(wù)云平臺的計算資源區(qū)建設(shè)，劃分為互聯(lián)網(wǎng)業(yè)務(wù)資源區(qū)和政務(wù)外網(wǎng)業(yè)務(wù)資源區(qū)，兩個區(qū)域之間采用了安全數(shù)據(jù)交換系統(tǒng)進行隔離防護；二個區(qū)內(nèi)部計算資源池劃分為高性能計算區(qū)、通用性能計算區(qū)，每個區(qū)分別使用不同的服務(wù)器進行承載。本次平臺計算資源池建設(shè)規(guī)模以現(xiàn)狀調(diào)研數(shù)據(jù)為基礎(chǔ)，信息系統(tǒng)平均硬件資源利用系數(shù)一般在0.65-0.70之間，本次資源利用率取平均系數(shù)0.68計算，并預(yù)留20%冗余空間；要求提供物理核≥1081核，內(nèi)存容量≥11596G的計算能力。同時考慮省內(nèi)各市州政務(wù)云規(guī)模、經(jīng)濟總量等實際因素，我市政務(wù)云計算資源池相關(guān)資源量具體測算過程如下：內(nèi)存容量評估規(guī)模=14210*0.68*1.2=11596G(取整)分布式存云資源池區(qū).其要辦局VDo。通用計算區(qū)云資源區(qū)該區(qū)域為虛擬化資源池，包括高性能計算區(qū)、通用計算區(qū)、FC-SAN高性能計算區(qū)：該資源區(qū)的CPU處理能力高、內(nèi)存容量需求大，要求高規(guī)格虛擬機及高規(guī)格性能預(yù)留的業(yè)務(wù)，如：中間件服務(wù)器，應(yīng)用服通用計算區(qū)：該區(qū)域存放通用業(yè)務(wù)，虛擬機資源可根據(jù)業(yè)務(wù)量動態(tài)調(diào)整，不需要資源預(yù)留，如普通業(yè)務(wù)系統(tǒng)，數(shù)據(jù)備份、文件共享等；該FC-SAN存儲：設(shè)計為高端集中式存儲池，用來承載對IOPS要求較分布式存儲：設(shè)計為分布式存儲，用來承載如：虛擬機系統(tǒng)、虛擬特點是對存儲的容量要求高；在政務(wù)云建設(shè)初期，為節(jié)約存儲資源，可從分布式存儲區(qū)劃分專門區(qū)域進行關(guān)鍵業(yè)務(wù)數(shù)據(jù)備物理托管區(qū)服務(wù)器業(yè)務(wù)，或OracleRAC環(huán)境等不適合云供至少2個標(biāo)準服務(wù)器機柜存放物理托管設(shè)備。備份資源區(qū)政務(wù)云本期建設(shè)通過使用備份工具進行業(yè)務(wù)數(shù)據(jù)備份，數(shù)據(jù)存放在分布政務(wù)云通過使用大二層的網(wǎng)絡(luò)技術(shù)及SDN等技術(shù)將整個資源池劃分不同的虛擬數(shù)據(jù)中心(VDC),供各個委辦局使用，不僅能隔離不同委提供一種可隨時自助獲取、可彈性伸縮的云服務(wù)器，幫助租戶打造可靠、安全、靈活、高效的應(yīng)用環(huán)境，確保服務(wù)持久穩(wěn)定運行，提升運支持指定云服務(wù)器類型和規(guī)格創(chuàng)建云主機，支持根據(jù)預(yù)制的多種類型的云服務(wù)器類型供選擇，針對不同的應(yīng)用場景，可以選擇不同規(guī)格的支持使用公共鏡像發(fā)放VM,公共鏡像由系統(tǒng)管理員制作并注冊到系彈性云服務(wù)器對應(yīng)提供通用性能計算池，用2路14核或以上配置。本次平臺規(guī)劃部署24臺通用性能計算服務(wù)器。5.1.2裸金屬服務(wù)器為用戶提供專屬的物理服務(wù)器，提供卓越的計算性能，滿足核用對高性能及穩(wěn)定性的需求，結(jié)合了傳統(tǒng)托管服務(wù)器的穩(wěn)定性與云中資支持將物理服務(wù)器定義成服務(wù)目錄供用戶申請使用，用戶可以根據(jù)裸金屬服務(wù)器對應(yīng)提供高性能計算池，用4路14核或以上配置。次平臺規(guī)劃部署8臺高性能服務(wù)器。5.1.3計算資源池細化方案計算資源池化政務(wù)云服務(wù)是基于虛擬化技術(shù)，將單個服務(wù)器硬件虛擬成多個虛擬機VM,其目的也是在于提高服務(wù)器資源的利用率。但是，由于單個服務(wù)器的CPU、內(nèi)存、硬盤資源顆粒度較小，因此在虛擬化應(yīng)用中，經(jīng)常出更多的情況是硬盤容量存在大量空閑。而服務(wù)器資源池化可以更好的解決上述問題?，F(xiàn)在的虛擬化云服務(wù)是一虛多的能力，而未來的服務(wù)器資該計算資源池規(guī)劃4臺裸金屬服務(wù)器以及FC-SAN存儲組成，放入電子政務(wù)外網(wǎng)區(qū)為政務(wù)外網(wǎng)及非涉密政務(wù)內(nèi)網(wǎng)的高性能業(yè)務(wù)提供服務(wù)。高性能計算資源池服務(wù)器為4路14核或以上配置。該計算資源池規(guī)劃12臺彈性云服務(wù)器以及分布式云存儲服務(wù)器提供服務(wù)。通用計算資源池服務(wù)器為2路14核或以上配置。該計算資源池規(guī)劃4臺裸金屬服務(wù)器以及分FC-SAN存儲組成，為4路14核或以上配置。該計算資源池規(guī)劃12臺彈性云服務(wù)器以及分布式云存儲服務(wù)器服務(wù)器為2路14核或以上配置。政務(wù)云管理平臺對4個計算資源池統(tǒng)一進行控制與資源調(diào)度、運更新任務(wù)狀態(tài)更新任務(wù)狀態(tài)接口層CMEM投遞消息到下一個隊列資源可以獨立分配，計算資源池關(guān)鍵算法在于對cpu和內(nèi)存的管理。1.同一個應(yīng)用的不同虛擬機盡量分布于不同的物理服而導(dǎo)致的性能問題，同一臺虛擬機只會在一個node分配虛擬■虛擬機無需停機，用戶業(yè)務(wù)不中斷■資源整理提高物理機資源利用率■有效解決硬件批次，內(nèi)核潛在問題帶來的故障計算資源池關(guān)鍵技術(shù)做到1分鐘內(nèi)交付主機。點，防止數(shù)據(jù)誤刪除電子政務(wù)對存儲資源池有多樣化的需求，主要包括各委辦局業(yè)務(wù)系其中各委辦局核心業(yè)務(wù)存儲、災(zāi)備生產(chǎn)存儲、數(shù)據(jù)共享交換平臺基信息中心公文/圖片存儲、數(shù)據(jù)共享交換平臺公文/圖片存儲、大數(shù)件資源利用系數(shù)一般在0.65-0.70之間，本次資源利用率取平均系數(shù)單位高性能存儲托管的需求，存儲資源池建設(shè)規(guī)?？s減一半，并按5.2.1分布式存儲資源池方案建立大規(guī)模塊存儲資源池，提供標(biāo)準的塊存儲數(shù)據(jù)訪問接口(SCSI和iSCSI等)。支持各種虛擬化平臺和各種業(yè)務(wù)應(yīng)用(如SQL、Web、行業(yè)應(yīng)用等等);可以和各種云平臺集成，按需分配存儲資源。另一類是在企業(yè)關(guān)鍵IT基礎(chǔ)設(shè)施中，通過Infiniband進行服務(wù)器得到極大的提高。又保留了分布式存儲的高擴展性基因，從而支持政務(wù)云關(guān)鍵數(shù)據(jù)庫、關(guān)鍵應(yīng)用的使用，解決這些關(guān)鍵應(yīng)用的大數(shù)據(jù)量需求。分布式存儲節(jié)點規(guī)劃使用16臺。對于政務(wù)云數(shù)據(jù)庫關(guān)鍵業(yè)務(wù)，基于性能以及可靠性考慮，推薦使用FC-SAN存儲的光纖通道網(wǎng)絡(luò)是基于流控制的封閉網(wǎng)絡(luò)，儲的以太網(wǎng)是基于CSMA/CD機制來傳輸，因此FC-SAN存儲網(wǎng)絡(luò)的傳輸現(xiàn)的，因此性能高于IPSAN,例如服務(wù)器端通過帶有ASIC芯片的專用HBA來進行數(shù)據(jù)信息處理。FC-SAN存儲節(jié)點規(guī)劃使用2套。5.2.3存儲資源池細化方案分布式存儲規(guī)劃>分布式塊存儲塊存儲主要為虛擬機或者物理機提供裸設(shè)備支撐，可用來存放虛擬機系統(tǒng)，亦可做數(shù)據(jù)盤或者通過iscisi協(xié)議擴充物理機存儲空間>對象存儲的功能對象存儲主要通過restful的借口暴露出來，供外部調(diào)用，為網(wǎng)盤16臺分布存儲服務(wù)器，其中電子政務(wù)外網(wǎng)區(qū)放置10臺、互聯(lián)網(wǎng)區(qū)放置6臺分布式存儲服務(wù)器，由六臺控制節(jié)點服務(wù)器進行控制。分布式存儲提供三副本和兩副本兩會總存儲方式，以滿足對數(shù)據(jù)可高擴展性：使用普通x86服務(wù)器，支持10-1000臺服務(wù)器，支分布式存儲技術(shù)client,底層硬件設(shè)備使用x86server得到廉價大容量存儲池。存儲的位置，份數(shù)等，這些信息被記錄到metadata.mfs中。當(dāng)該文件會定期從master上將metadata、changelog、sessionChunkserver云存儲數(shù)據(jù)存儲保存，文件以chunk大小存儲。每chunk最大為64M,小于64M的該chunk的大小即為該文件大小，超過64M的文件將被均分，每一份(chunk)的大小以不超過64M為原則。文為1時，表示只有一份copy,這份copy會被隨機存到一臺chunkserver上，當(dāng)goal的數(shù)大于1時，每一份copy會被分別保存到每一個數(shù)，一般設(shè)為大于1份，這樣如果有一臺chukserver壞掉后，至少還終保持原有的copy數(shù)，而如果goal設(shè)為chunkserver壞掉，之后又重新加入回來，copy數(shù)將始終是0,不會恢復(fù)到之前的1個copy。Chunkserver上的剩余存儲空間要大于1GB,新的數(shù)據(jù)才會被允許寫入，否則會出現(xiàn)NospaceleftClient客戶端通過內(nèi)核加載的FUSE模塊，通過連接master,將塊是外加的模塊，當(dāng)系統(tǒng)重啟后，需要執(zhí)行modprobefuse,將其加載磁盤陣列以16個8GB光纖接入高性能計算資源池，提供大于96G存儲緩存吞吐量，并配置14塊1.92TSSD和76塊1.8T10KSAS(2.5)。使用兩臺光纖交換機組成標(biāo)準FC集中架構(gòu)。電子政務(wù)外網(wǎng)高性能區(qū)和互聯(lián)網(wǎng)高計，管理員只需要維護少量的存儲資源池，所有的RAID配置在創(chuàng)建存儲池時自動配置完成，同時，系統(tǒng)會自動根據(jù)制定的策略來智能管理和5.3.1計算服務(wù)虛擬機物理機運營環(huán)境5.3.2存儲服務(wù)標(biāo)準版塊存儲標(biāo)準版塊存儲(云存儲)基于MFS系統(tǒng)構(gòu)建，能夠提供方便快捷、高性能塊存儲5.3.3數(shù)據(jù)庫服務(wù)5.3.4網(wǎng)絡(luò)服務(wù)5.3.5高級服務(wù)負載均衡5.4.1總體網(wǎng)絡(luò)拓撲電子政務(wù)外網(wǎng)區(qū)核心層負責(zé)匯聚接入層流量，包括業(yè)務(wù)數(shù)據(jù)流量、存儲數(shù)據(jù)流量及管理數(shù)據(jù)流量。同時提供對業(yè)務(wù)的控制和優(yōu)化，如安全控制、負載分擔(dān)核心層采用4臺核心交換機構(gòu)建，電子政務(wù)外網(wǎng)區(qū)與互聯(lián)網(wǎng)區(qū)各放便于滿足后續(xù)業(yè)務(wù)擴展需求。核心交換機支持一虛多技術(shù)，可以提升設(shè)電子政務(wù)外網(wǎng)區(qū)及互聯(lián)網(wǎng)區(qū)核心交換機通過10GE鏈路接入到數(shù)據(jù)交換區(qū)，通過數(shù)據(jù)交換平臺進行兩個區(qū)域之間的業(yè)務(wù)數(shù)據(jù)轉(zhuǎn)發(fā)，通過數(shù)接入層負責(zé)接入各種服務(wù)器、主機、存儲等設(shè)備，并根據(jù)業(yè)務(wù)需求提供多種安全及QoS策略。接入層交換機支持高密度10GE端口接入，構(gòu)建二層無環(huán)網(wǎng)絡(luò)架構(gòu)，滿足虛擬機二層遷移需求，支持服務(wù)器的雙活電子政務(wù)外網(wǎng)區(qū)接入層：2臺業(yè)務(wù)接入交換機、2臺業(yè)務(wù)管理接入交換機，1臺硬件管理接入交換機，2臺存儲接入交換機；互聯(lián)網(wǎng)區(qū)接入層：2臺業(yè)務(wù)接入交換機、2臺業(yè)務(wù)管理交換機，1臺硬件管理接入交換機，2臺存儲接入交換機；政務(wù)專線接入層：政務(wù)外網(wǎng)專線接入2臺交換機；數(shù)據(jù)中心管理區(qū)：2臺管理接入交換機；5.4.4專網(wǎng)接入?yún)^(qū)網(wǎng)絡(luò)建設(shè)各外聯(lián)單位分別通過專網(wǎng)接入不同的云資源池區(qū)域。外聯(lián)單位和X術(shù)云計算服務(wù)安全能力要求》6.2邊界防護等相關(guān)標(biāo)準要求的功能。政務(wù)云專網(wǎng)接入系統(tǒng)，設(shè)備主要包括2臺外聯(lián)接入交換機和2臺防火墻。各外聯(lián)單位根據(jù)需要分別通過專網(wǎng)接入不同的云資源池區(qū)域。外專網(wǎng)接入?yún)^(qū)邊界部署兩臺防火墻設(shè)備，外聯(lián)單位各業(yè)務(wù)專網(wǎng)分別接部署訪問控制策略，只允許外聯(lián)單位按照業(yè)務(wù)需求與政務(wù)云電子政具備攻擊檢測和審計功能，對網(wǎng)絡(luò)訪問進行檢測、審計；對發(fā)生的外聯(lián)單位可能存在網(wǎng)段重復(fù)的情況，需要能夠有效的區(qū)別(通過能夠配置、修改、控制外聯(lián)單位到市政務(wù)云的訪問策略，做到只放根據(jù)以上需求和現(xiàn)有的設(shè)備，本著可靠，安全，可擴展的原則，采在數(shù)據(jù)包離開自己的外聯(lián)路由器時，到達政務(wù)云匯聚接入并進行VLAN5.4.5網(wǎng)絡(luò)分區(qū)建設(shè)(1)業(yè)務(wù)網(wǎng)業(yè)務(wù)網(wǎng)主要由業(yè)務(wù)接入交換機及核心交換機組成，由安全設(shè)備提供安全控制及流量優(yōu)化。所有業(yè)務(wù)數(shù)據(jù)經(jīng)過直連業(yè)務(wù)接入交換機轉(zhuǎn)發(fā)到核再由核心交換機通過業(yè)務(wù)需求進行統(tǒng)一轉(zhuǎn)發(fā)到電子政務(wù)外網(wǎng)區(qū)、互聯(lián)網(wǎng)(2)存儲網(wǎng)直連接入，由光纖交換機負責(zé)FC-SAN磁陣與高性能服務(wù)器的連接。(3)管理網(wǎng)管理網(wǎng)主要由管理接入交換機負責(zé)對本區(qū)域內(nèi)所有管理數(shù)據(jù)進行接入交換機，事項對區(qū)域內(nèi)的網(wǎng)絡(luò)、計算、存儲等資源及硬件設(shè)備進行統(tǒng)同時設(shè)置硬件管理接入交換機，通過獨立于數(shù)據(jù)網(wǎng)絡(luò)之外通道對網(wǎng)絡(luò)設(shè)備(路由器、交換機、防火墻等),服務(wù)器設(shè)備及存儲設(shè)5.4.6網(wǎng)絡(luò)出口建設(shè)本次電子政務(wù)外網(wǎng)區(qū)核心交換機通過10GE上行鏈路接入到電子政互聯(lián)網(wǎng)區(qū)出口帶寬為1.2Gbps。5.4.7政務(wù)云大二層網(wǎng)絡(luò)>彈性能力a)橫向彈性—用戶從10臺虛擬機擴容到100臺虛擬機b)縱向彈性—虛擬機配置從1核1G升級到4核8G,如果當(dāng)前母機換機管控下子網(wǎng)網(wǎng)段內(nèi)),要做不變ip的虛擬機遷移，只能在相同交政務(wù)云的大二層網(wǎng)絡(luò)拓撲示意圖如下所示：Nru政務(wù)云大二層網(wǎng)絡(luò)分作核心交換區(qū)和接入交換區(qū)兩層，保證虛擬機資源和物理機資源能在統(tǒng)一VLAN里。具體拓撲結(jié)構(gòu)圖如下所示：臺業(yè)務(wù)及存儲接入交換機(10G接入)和1臺管理接入交換機(1G)機互為冗余，保證核心網(wǎng)絡(luò)交換的可用性。接入交換機和核心交換機均支持VxLAN技術(shù)，在該網(wǎng)絡(luò)環(huán)境中政務(wù)云虛擬機可以不依賴于物理硬件，靈活的在物理機之間遷移。政務(wù)云網(wǎng)絡(luò)中傳輸，到了接入交換機后把UDP頭解封裝，然后把原始報文發(fā)送給OuterUDPHea藍色的是原始報文。綠色的是VXLAN頭。橙色的是封裝時新加的二層三層頭。OuterUDPHeader中的DPORT是新申請的VXLANPort,以用來識別VXLAN報文；VXLANHeader中只有一個24位的VXLANNetwork5.4.8政務(wù)云虛擬數(shù)據(jù)中心VDC為實現(xiàn)各個委辦局的業(yè)務(wù)及網(wǎng)絡(luò)邏輯隔離，以及順利將各委辦局的原有系統(tǒng)順利遷移至政務(wù)云，滿足政府客戶原有系統(tǒng)的遠程接入、移動辦公的接入已有混合數(shù)據(jù)中心的建設(shè)，政務(wù)云服務(wù)平臺引入虛擬數(shù)據(jù)中心VDC的概念。政務(wù)云虛擬數(shù)據(jù)中心的核心技術(shù)為基于SDN的虛擬專用網(wǎng)絡(luò)(VPC),通過對各局委辦系統(tǒng)劃分VDC,局委辦內(nèi)部門劃分VPC,保證系統(tǒng)之間的隔離。不論部門集群是物理隔離還是邏輯隔離，網(wǎng)絡(luò)上都是通過VPC進VPC1VP21VPCn分布式存儲FC-SAN存儲計算>虛擬網(wǎng)絡(luò)隔離虛擬網(wǎng)絡(luò)隔離用于幫助局委辦在云中虛擬出一個私有的應(yīng)用運行環(huán)境，局委辦申請VPC以后，可以自助配置VPC中的子網(wǎng)，可以在VPC內(nèi)環(huán)境，局委辦可以規(guī)劃自己的網(wǎng)絡(luò)地址，不同的VPC之間的地址可以重>獨立資源管理局委辦根據(jù)自己的業(yè)務(wù)需要申請VPC業(yè)務(wù)，子網(wǎng)如果指定了IP段，系統(tǒng)會自動為虛擬機在IP段內(nèi)通過DHCP的方式分配IP地址。管理員在定義服務(wù)目錄時，可以定義VPC中最大子網(wǎng)數(shù)，局委辦自助配置VPCXX市其它委辦局的辦公人員、移動辦公人員及原有數(shù)據(jù)中心均可通過VPN的方式(專線或互聯(lián)網(wǎng))接入政務(wù)云服務(wù)平臺各自的虛擬數(shù)據(jù)中Usrr圖政務(wù)云服務(wù)平臺與已有數(shù)據(jù)中心混合架構(gòu)VPC內(nèi)業(yè)務(wù)相關(guān)配置完成后，政府客戶通過在前臺提供接口輸入usergw的設(shè)備型號及廠商信息等獲取usergw端的配置文件，政府客戶政務(wù)云平臺總體安全體系架構(gòu)網(wǎng)絡(luò)安全安全域隱離安空量盤設(shè)施安全資源池提供的安全運行防護包括網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、安全管理多個方面，政務(wù)云平臺的安全建設(shè)需要使安全防護能力能夠根據(jù)云安全防護需求靈活調(diào)度，全面滿足政府部門應(yīng)用系統(tǒng)安全運行對云平臺提供平臺級的安全服務(wù)，以滿足等保三級的預(yù)警、防護、層面類別方案物理和環(huán)境安全復(fù)用云平臺等保測評結(jié)論網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)架構(gòu)通信傳輸邊界防護VPC、防火墻、安全組、NAT網(wǎng)關(guān)訪問控制防火墻、安全組入侵防范Web應(yīng)用防火墻、網(wǎng)頁防篡改、主機防護惡意代碼防范主機防護、應(yīng)用防火墻安全審計日志審計集中管控堡壘機設(shè)備和計算身份鑒別堡壘機安全訪問控制堡壘機安全審計堡壘機數(shù)據(jù)庫審計入侵防范主機防護惡意代碼防范主機防護資源控制監(jiān)控應(yīng)用與數(shù)據(jù)安全身份鑒別應(yīng)用系統(tǒng)、堡壘機訪問控制安全審計軟件容錯資源控制數(shù)據(jù)完整性應(yīng)用防火墻、網(wǎng)頁防篡改數(shù)據(jù)保密性應(yīng)用系統(tǒng)開發(fā)商解決數(shù)據(jù)備份恢復(fù)本地備份以及異地容災(zāi)剩余信息保護主要功能需要應(yīng)用系統(tǒng)開發(fā)商5.5.3云平臺安全服務(wù)體系建設(shè)個維度構(gòu)建。根據(jù)《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》(GB/T教地分教地分析評估方重設(shè)計a人的妻金參想要的眼壁花期計R環(huán)最定級及備案評安全技術(shù)的設(shè)計目標(biāo)，安全防護手段僅僅考慮政務(wù)云平臺自身的安全防護，因此數(shù)據(jù)歸屬關(guān)系不變，安全管理標(biāo)準不變”原則，由業(yè)務(wù)所屬部門承擔(dān)信息系統(tǒng)和數(shù)據(jù)資源的安全管理責(zé)任，負責(zé)牽頭遷移工作，云服務(wù)商承擔(dān)信息系統(tǒng)部署時，各部門應(yīng)用系統(tǒng)應(yīng)在XX政務(wù)云測試平臺上開展壓力測試和內(nèi)部測試等上線試運行準備工作，云服務(wù)商與信息系統(tǒng)所屬部門共同認可試運行結(jié)果后，才能實施系統(tǒng)割接。系統(tǒng)割接后，各部門通過云監(jiān)管平臺對所屬信息系統(tǒng)實施在線調(diào)度、管理和監(jiān)控，要密切跟蹤了解系統(tǒng)在政務(wù)云上的運行情況，原系統(tǒng)至少保留3個月以上，作為應(yīng)急回退措施，上云后6個月內(nèi)完成安全等保測評。5.5.4政務(wù)云平臺安全域劃分方案本方案依據(jù)政務(wù)云平臺及整體應(yīng)用業(yè)務(wù)需求進行網(wǎng)絡(luò)安全域的劃分設(shè)計，同時對每一個劃分的區(qū)域分別進行風(fēng)險分析、依據(jù)安全工程理論■總體安全域的劃分要基于應(yīng)用的范圍，以業(yè)務(wù)系統(tǒng)為安全域的組■安全域是整體安全體系建設(shè)中的一環(huán)，安全域的劃分應(yīng)實現(xiàn)整體本次政務(wù)云平臺根據(jù)安全域的設(shè)計原則劃分為：核心域、接入域2電子政務(wù)外網(wǎng)區(qū)域電子政務(wù)外網(wǎng)區(qū)域與互聯(lián)網(wǎng)區(qū)域的安全邊界必須保障數(shù)據(jù)物理隔互聯(lián)網(wǎng)區(qū)域(互聯(lián)網(wǎng))5.5.5政務(wù)云平臺安全建設(shè)方案通過在政務(wù)云平臺出口部署防火墻、流量監(jiān)控、漏洞掃描、防入侵等安全防護設(shè)備，建立起一套完整的網(wǎng)絡(luò)安全防護體系，對網(wǎng)絡(luò)邊界處提供訪問控制、病毒過濾、防攻擊、防入侵、防篡改、內(nèi)外網(wǎng)數(shù)據(jù)安全抗DDoS等，根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制粒度為端口級，同時防火墻具備對進出網(wǎng)絡(luò)的信息