企業(yè)私有云平臺總體建設方案

企業(yè)私有云平臺總體建設方案構建安全、可信、高可用、高性能的數(shù)字底座目錄企業(yè)私有云建設背景分析01企業(yè)私有云建設核心目標02企業(yè)私有云建設總體方案03企業(yè)私有云平臺建設方案0401企業(yè)私有云建設背景與需求分析DevOps存儲作為服務混合云&多云容器微服務架構IT基礎設施的發(fā)展變化應用部署開發(fā)存儲基礎設施瀑布敏捷集中式分布式傳統(tǒng)數(shù)據(jù)中心私有云/公有云物理服務器虛擬機單體應用分層應用架構業(yè)務人員業(yè)務快速發(fā)展和變化，需要更加多樣的應用，快速上線，滿足業(yè)務需要。必須保持業(yè)務的連續(xù)性，避免損失。IT運維為了滿足業(yè)務需求，需要統(tǒng)一管理多種異構硬件，并需要支撐業(yè)務服務的不同部署需求，成本和運維復雜性同時增加。業(yè)務持續(xù)上線和擴張，需求量大，手工式運維處理效率低。對基礎架構的運行情況缺乏了解和洞見，救火式解決問題，疲于應付。IT管理層需要充分利用IT資源，減少閑置和浪費。IT需要從成本中心轉型運營和服務中心。企業(yè)IT面臨的種種挑戰(zhàn)IT基礎設施建設中如何應對以上趨勢快速構建應用環(huán)境，實現(xiàn)可靠性、生產(chǎn)力和變革為穩(wěn)態(tài)應用提供高可用和高性能，為敏態(tài)應用提供快速迭代和彈性伸縮打造滿足企業(yè)5-10年業(yè)務創(chuàng)新戰(zhàn)略的云架構面向應用+=混合云業(yè)務云擁抱云計算，高速駛入萬物互聯(lián)時代傳統(tǒng)應用云原生應用SaaS服務云物相連云載數(shù)字公有云邊緣計算邊緣計算私有云私有云技術與應用正在高速發(fā)展核心技術運維運營持續(xù)創(chuàng)新基于承載10萬+用戶的云平臺運維運營經(jīng)驗，結合私有化場景，輸出體系化云平臺運營運維產(chǎn)品，幫助企業(yè)客戶輕松掌控本地云平臺快速將業(yè)界創(chuàng)新產(chǎn)品能力共享給私有化客戶，包括容器服務、大數(shù)據(jù)、AI、安全、數(shù)據(jù)方舟等為私有化客戶量身打造的本地化云平臺可快速本地部署相關PaaS產(chǎn)品到本地結合私有企業(yè)用戶特點和業(yè)界多年運維運營經(jīng)驗，打造專業(yè)級數(shù)字化運營運維體系企業(yè)級虛擬化、內核技術，全自研計算、存儲、網(wǎng)絡技術，核心產(chǎn)品和增值產(chǎn)品全自研，真正安全可信賴的云平臺企業(yè)私有云02企業(yè)私有云建設核心目標私有云建設的核心目標

安全數(shù)據(jù)是企業(yè)的核心資產(chǎn)01成本增大降低IT成本

02效率快速響應業(yè)務03創(chuàng)新

支撐企業(yè)業(yè)務的快速成長

04安全是企業(yè)穩(wěn)定的基石當前數(shù)據(jù)中心的云安全事件頻發(fā)網(wǎng)絡安全確保數(shù)據(jù)安全應用層防火墻WAF：提供針對于業(yè)務層的安全防護能力，最大程度的保護業(yè)務安全，補齊7層防護能力，構建完整的邊界防護能力。堡壘機：提供對運維人員的操作和訪問進行管理和監(jiān)控的能力，對高危行為進行通告預警，完善運維審計機制。數(shù)據(jù)庫審計：提供對數(shù)據(jù)庫狀態(tài)和通信內容的監(jiān)控，準確評估數(shù)據(jù)庫所面臨的風險，通過完備的日志記錄提供可靠證據(jù)嗎，完善追查機制。安全中心：提供針對于主機上安全漏洞，黑客入侵行為，暴力破解，木馬等異常行為的檢測，完善計算環(huán)境安全檢測能力。漏洞掃描：提供針對于WEB和主機漏洞完整快速，穩(wěn)定高效的檢測，依靠專業(yè)安全中心的研究積累，完善安全自檢能力。Database企業(yè)私有云邊界防火墻黑客惡意競爭者用戶公有云Web/App

ServerWAFUDDOS安全組負載均衡安全組數(shù)據(jù)庫審計VPCagentagent安全中心堡壘機漏洞掃描企業(yè)辦公網(wǎng)絡開發(fā)/運維數(shù)據(jù)中心內的數(shù)據(jù)安全·數(shù)據(jù)多副本機柜/機架機柜/機架機柜/機架ABCABCVMVMVMBCACAB全分布式、全冗余高可靠架構無限水平擴展數(shù)據(jù)多副本自動重均衡故障數(shù)據(jù)重建分布式存儲服務數(shù)據(jù)中心內的數(shù)據(jù)安全·實時保護與災備云主機自研塊驅動云盤方舟備份IO流云盤方舟備份存儲集群過去12小時內，恢復到任意1秒過去24小時內，恢復到任意整點過去三天內，恢復到任意一天的零點優(yōu)勢：在線備份，無需暫停業(yè)務精確到秒級恢復，實時數(shù)據(jù)保護系統(tǒng)/手工備份，滿足個性化需求控制臺自助操作，便捷快速數(shù)據(jù)實時數(shù)據(jù)保護災備方案保證業(yè)務連續(xù)性RPO最小15分鐘RTO最快1小時的容災服務保障云化提高數(shù)據(jù)中心資產(chǎn)整合率·提供多租戶的云服務SQL

ServerAppServerEmailFileServerOracle虛擬化服務器集群虛擬化虛擬化服務器集群虛擬化服務器集群云化+多租戶+網(wǎng)絡隔離…租戶隔離硬件隔離集群租戶隔離硬件隔離集群租戶隔離硬件隔離集群計算/存儲/網(wǎng)絡虛擬化層云化/多租戶/網(wǎng)絡隔離轉型輕量模塊化構建私有云·降低基礎架構的初期投資成本管理與計算域共池業(yè)務交換機帶外管理交換機(可選)1號資源池2號資源池資源模塊化擴容兼容通用服務器3節(jié)點擴展擴展由小起步，輕松擴展最少1個節(jié)點–用于測試3個節(jié)點–可擴展至數(shù)千節(jié)點

–用于生產(chǎn)環(huán)境構建虛擬基礎架構

采用集群方式部署互相隔離的工作負域支持異構節(jié)點按需選擇特定CPU服務器，x86/ARM/MIPS/GPU最少1節(jié)點按

需

擴

張數(shù)據(jù)分級存儲降低投資成本·兼顧性能和容量HDDHDDHDDHDDHDD全閃存儲集群關鍵業(yè)務存儲緩存加速集群高性價比業(yè)務存儲HDDHDDHDDHDDHDD機械盤集群通用業(yè)務存儲HDDHDDHDDHDDHDDHDDHDDHDDHDDHDDHDDHDD數(shù)據(jù)庫應用視頻應用大數(shù)據(jù)應用高性能計算次關鍵應用混合網(wǎng)絡模式加速業(yè)務接入·CDN加速業(yè)務接入，提升用戶體驗Database企業(yè)私有云邊界防火墻用戶公有云Web/App

ServerCDNCDNCDN就近接入，解決跨網(wǎng)互通問題快速的資源就緒負載均衡器+彈性伸縮確保計算能力橫向平滑擴容LB負載均衡器彈性伸縮組系統(tǒng)監(jiān)控實例實例新增實例伸縮策略CPU使用率自動伸縮虛擬機啟動模板啟動虛擬機外部流量多數(shù)據(jù)中心管理多數(shù)據(jù)中心統(tǒng)一運維和運營提升企業(yè)IT管理效率地市DC區(qū)縣DC接入中心云高帶寬業(yè)務邊緣云視頻監(jiān)控AR/VR場景2-運營商邊緣計算邊緣云高帶寬、低延時業(yè)務邊緣云邊緣云AR/VR智能場館高帶寬、低延時業(yè)務邊緣云邊緣云AR/VR智能場館場景1-集團大云省公司市級子公司市級子公司縣級子公司縣級子公司縣級子公司鄉(xiāng)鎮(zhèn)子公司容器服務加速企業(yè)數(shù)字化創(chuàng)新數(shù)字化轉型浪潮推動雙態(tài)IT協(xié)同共贏工作節(jié)點PodPodPod企業(yè)私有云平臺容器和VM統(tǒng)一平臺工作節(jié)點PodPodPod虛擬機wWEBAPPDB虛擬化應用微服務應用虛擬機集群容器集群智能大數(shù)據(jù)平臺加速商業(yè)決策·提供完備的大數(shù)據(jù)組件ODSDIMAsyncIOETLDWDAnalyze&AggregateDWA數(shù)據(jù)源數(shù)據(jù)源層數(shù)據(jù)采集層數(shù)倉服務層數(shù)據(jù)計算層DWA聚合數(shù)據(jù)計算層數(shù)據(jù)呈現(xiàn)層App/Site/DeviceDWA報告/實時風控/精準推送HBaseKylinClickhouse激活數(shù)據(jù)的價值·基于數(shù)據(jù)“安全屋”的安全數(shù)據(jù)開放為各方數(shù)據(jù)開放提供安全可控的保證，發(fā)揮數(shù)據(jù)最大價值。保障數(shù)據(jù)可用不可見、無法帶出數(shù)據(jù)。03企業(yè)私有云建設總體方案企業(yè)基于自身情況定制建設方案與交付模式大規(guī)模集群極致性能要求滿足企業(yè)通用業(yè)務需求適配ARM等非x86硬件，加速業(yè)務創(chuàng)新企業(yè)私

有

云建設模式標準版高性能版信息創(chuàng)新版企業(yè)基于自身情況定制建設方案與交付模式軟件模式超融合一體機模式全托管混合云模式專區(qū)混合云模式交付說明廠商提供云軟件廠商提供云軟件網(wǎng)絡設備,服務器私有云部署在廠商托管機柜私有云部署在廠商租賃專區(qū)，服務器/機柜/網(wǎng)絡設備獨享硬件提供方企業(yè)廠商廠商/企業(yè)廠商機房運維企業(yè)企業(yè)廠商廠商打通公有云客戶購買專線客戶購買專線免費免費硬件運維企業(yè)企業(yè)企業(yè)&廠商企業(yè)&廠商購買方式一次性購買一次性購買一次性購買+機柜按月按月付費規(guī)模3臺起3臺起3臺起20臺起前期投入高高中低企業(yè)利用私有云構建一站式上云方案,助力快捷上云多云管理平臺企業(yè)私有云公有云自建IDCVPN網(wǎng)關專線服務多云互通服務統(tǒng)一安全混合云網(wǎng)絡托管云租賃專區(qū)私有云行業(yè)專家混合云專家團隊容器云專家團隊云安全專家團隊大數(shù)據(jù)專家團隊AI智能專家團隊數(shù)據(jù)庫專家團隊網(wǎng)絡專家團隊專屬方案咨詢遷移部署服務售后運維服務培訓服務邊緣云數(shù)字政府智慧城市政務教育遠程教育超算平臺醫(yī)療區(qū)域醫(yī)療協(xié)作云在線問診制造業(yè)仿真平臺智能工廠托管服務04企業(yè)私有云平臺建設方案企業(yè)私有云平臺總體架構日志審計數(shù)據(jù)保護災難恢復云桌面云數(shù)據(jù)庫大數(shù)據(jù)DevOps超融合資源池分布式存儲資源池CPU計算資源池AI計算資源池裸金屬資源池IaaS基礎資源抽象層軟件定義計算SDC軟件定義網(wǎng)絡SDN軟件定義存儲SDS多租戶資源管理VPC網(wǎng)絡隔離資源流程審批安全組虛擬機密鑰應用防火墻DDOS防護SSL卸載業(yè)務自動伸縮運營運維日志分析巡檢服務資源報表監(jiān)控大屏計量計費審批工單監(jiān)控告警中心資源管理部署系統(tǒng)升級擴容Redis網(wǎng)關服務統(tǒng)一存儲服務CI/CD流水線開發(fā)測試準生產(chǎn)生產(chǎn)容器服務數(shù)據(jù)共享/安全屋IaaS交鑰匙PaaS增值業(yè)務人工智能/AI多云管理鏡像倉庫私有云平臺總體功能架構超融合資源池分布式存儲資源池CPU計算資源池AI計算資源池裸金屬資源池基礎資源抽象層軟件定義計算軟件定義網(wǎng)絡SDN軟件定義存儲運營運維日志分析巡檢服務資源報表監(jiān)控大屏計量計費多權限賬號監(jiān)控告警中心資源管理部署系統(tǒng)升級擴容自動化運維應用的持續(xù)集成與交付CI/CD流水線開發(fā)測試準生產(chǎn)生產(chǎn)大數(shù)據(jù)分析數(shù)據(jù)可視化多云管理業(yè)務連續(xù)性智能放置熱遷移宕機保護數(shù)據(jù)智能分發(fā)彈性伸縮備份恢復SDN網(wǎng)絡北向離散分發(fā)NAT網(wǎng)關負載均衡VPN網(wǎng)關Overlay網(wǎng)絡業(yè)務安全Anti-DDOSWAF數(shù)據(jù)庫審計SSL傳輸加密堡壘機主機入侵檢測微分段防火墻多租戶管理VPC隔離租戶權限控制流程審批租戶配額控制日志審計項目組管理PaaS服務數(shù)據(jù)庫服務對象存儲服務容器服務文件存儲服務混合云存儲服務CMDB多數(shù)據(jù)中心云盤服務彈性網(wǎng)卡/IP基礎架構|多數(shù)據(jù)中心管理多數(shù)據(jù)中心管理統(tǒng)一納管多個數(shù)據(jù)中心，實現(xiàn)對企業(yè)多套云資產(chǎn)環(huán)境的統(tǒng)一管理、運營和運維配合DNS和LB服務，構建業(yè)務高可用部署架構?；诙鄶?shù)據(jù)中心，實現(xiàn)業(yè)務級別的云資源冗余架構，滿足對RTO要求高的核心業(yè)務災備需求構建數(shù)據(jù)中心級別災備構建中心-邊緣同構的業(yè)務底座平臺高可用數(shù)據(jù)中心災備業(yè)務高可用中心-邊緣業(yè)務平臺數(shù)據(jù)中心地圖分布式數(shù)據(jù)庫apiserver（無狀態(tài)，三節(jié)點）調度器（有狀態(tài)，多節(jié)點）管理節(jié)點重新調度Agent監(jiān)控心跳監(jiān)測計算節(jié)點基礎架構|平臺整體高可用架構平臺高可用架構整體高可用架構邏輯上分管理和計算節(jié)點，通信網(wǎng)絡采用雙網(wǎng)卡綁定，保證物理鏈路上高可用，底層存儲采用RAID1保障高可用。管理節(jié)點高可用apiserver無狀態(tài)部分采用三節(jié)點高可用架構調度器有狀態(tài)部分，采用多節(jié)點部署，利用選舉機制確保高可用；底層采用分布式數(shù)據(jù)庫計算節(jié)點高可用主動周期性監(jiān)測物理節(jié)點進行心跳檢查，發(fā)現(xiàn)物理機宕機則觸發(fā)虛擬機自動遷移服務。10GE外網(wǎng)核心外網(wǎng)核心LACP40GE外網(wǎng)接入外網(wǎng)接入40GE內網(wǎng)核心內網(wǎng)核心LACP40GE內網(wǎng)接入內網(wǎng)接入10GE物理網(wǎng)絡接入計算存儲超融合節(jié)點獨立存儲節(jié)點VMware&物理機節(jié)點40GE10GEGE基礎架構|全冗余網(wǎng)絡架構機柜1機柜2機柜3DistributedStorageServiceABCABCBlockClientObjectClientFileClientComputeDISKDISKDISKDISKDISKDISKComputeBlockStorageObjectStorageFileStorage多副本數(shù)據(jù)保護

高性能磁盤IO高可靠存儲架構無限水平擴展高安全數(shù)據(jù)保護多類型存儲接口UnifiedDistributedStorageServiceBCACABClientPrimaryReplicaChunkChunkChunkReplica基礎架構|分布式存儲最少配置一塊SSD盤，SSD和HDD容量配比推薦1:10每塊SSD緩存分區(qū)可對應一塊HDD磁盤，組合為緩存磁盤組磁盤組可以有效應對單塊SSD故障影響整個節(jié)點的數(shù)據(jù)均衡存儲ClientI/O請求均會先到SSD緩存盤進行讀寫分發(fā)，冷熱數(shù)據(jù)自動流轉數(shù)據(jù)寫入會直接寫入SSD，并根據(jù)算法動態(tài)回刷冷數(shù)據(jù)至HDD數(shù)據(jù)會直接從SSD進行讀取，若未命中緩存，則會從HDD進行讀取，并將熱數(shù)據(jù)動態(tài)推送至SSD，緩存命中率越高性能越高。ClientSSDHDDReadsWrite-BackWritesDiskGroupHDDSSDHDDDiskGroupHDDSSDHDD基礎架構|存儲分層在物理網(wǎng)絡上構建虛擬分布式網(wǎng)絡，通過先進的隧道封裝技術，屏蔽底層硬件的復雜性，虛擬機可實現(xiàn)集群內跨設備遷移純軟件定義網(wǎng)絡租戶二層網(wǎng)絡隔離南北向物理網(wǎng)絡透傳分布式高可用SDN控制器架構純軟件實現(xiàn)，不綁定特殊硬件VM3ComputeNode2VM4vNICvNICVxLanTunnelNICSwitchVTEP0SwitchVlanOpenvSwitchFlowtableVM3ComputeNode2VM4vNICvNICNICVTEP0OpenvSwitchFlowtableNIC1基礎架構丨分布式網(wǎng)絡彈性計算-虛擬機安全穩(wěn)定、快速部署、靈活配置、彈性擴展、管理便捷的計算單元由基礎組件規(guī)格(CPU/內存)、鏡像(操作系統(tǒng))組成，并與VPC網(wǎng)絡、安全組、云硬盤結合提供計算環(huán)境同負載均衡、彈性IP、NAT網(wǎng)關、數(shù)據(jù)庫緩存及對象存儲服務結合共同構建IT架構云硬盤應用程序鏡像實例規(guī)格VPC安全組虛擬機自定義機型WEB服務應用服務數(shù)據(jù)庫服務大數(shù)據(jù)服務測試開發(fā)游戲服務自定義實例規(guī)格基礎鏡像丨自制鏡像VNC登錄彈性網(wǎng)卡SSH密鑰開關機丨配置變更丨重裝系統(tǒng)丨重置密碼丨斷電計算產(chǎn)品|虛擬機計算產(chǎn)品|

GPU虛擬機GPU虛擬機虛擬機支持PCI透傳GPU顯卡統(tǒng)一管理和調度GPU資源無廠商依賴，可兼容大部分GPU設備性能無損運維簡單深度學習人工智能高性能計算GPU節(jié)點1GPU節(jié)點2普通節(jié)點調度器GPUGPUGPU設備GPU設備計算產(chǎn)品|裸金屬服務裸金屬服務器對物理主機進行統(tǒng)一的資源管理與調度為租戶提供專屬的物理服務器服務滿足核心應用場景對高性能及穩(wěn)定性的需求性能無損安全隔離自動化交付自動化運維高安全嚴監(jiān)管場景高性能計算場景核心數(shù)據(jù)庫場景專屬硬件場景IPMI技術PXE網(wǎng)絡啟動TFTPDHCP服務123IPMI網(wǎng)絡PXE服務器DHCPTFTPHTTP私有云平臺BMC接口物理機（PXE客戶端）BMC接口物理機（PXE客戶端）…DHCP監(jiān)聽網(wǎng)卡部署網(wǎng)絡物理網(wǎng)絡鏡像GRPCdnsmasqDNS虛擬機鏡像虛擬機實例運行環(huán)境的模板，包含操作系統(tǒng)、預裝應用程序及相關配置虛擬機通過指定鏡像模板作為啟動實例的系統(tǒng)盤鏡像分為基礎鏡像和自制鏡像兩大類所有鏡像及系統(tǒng)盤均存儲于底層統(tǒng)一分布式存儲鏡像存儲鏡像支持RAW、QCOW2格式，均存儲于分布式存儲系統(tǒng)一個地域的鏡像只能創(chuàng)建本地域的虛擬機，不支持跨Region鏡像創(chuàng)建虛擬機標準鏡像由官方提供，包括多發(fā)行版Centos、Ubuntu、Windows及銀河麒麟國產(chǎn)操作系統(tǒng)自制鏡像通過虛擬機自行導出的自有鏡像，可用于創(chuàng)建虛擬機，僅用戶本人有權限查看和管理CentosUbuntuWindowsCentos6.5Centos7.4Ubuntu14.04Ubuntu16.04Windows2008r2Windows2012r2計算產(chǎn)品丨虛擬機-鏡像GuestOSVM1ComputeNode1負載正常ComputeNode2故障節(jié)點ComputeNode3負載正常分布式存儲資源池VM2VM4VM5VM4VM4VM4VM3VM3VM3VM3同一業(yè)務打散部署VM6VM6在線遷移手動操作智能調度系統(tǒng)虛擬機資源調度管理的核心，用于決策虛擬機運行位置，管理虛擬機狀態(tài)及遷移計劃，保證虛擬機可用性和可靠性系統(tǒng)實時監(jiān)測所有節(jié)點負載信息，作為調度和管理的數(shù)據(jù)依據(jù)反親和部署策略，確保同一業(yè)務虛擬機打散部署至所有節(jié)點物理節(jié)點故障時，系統(tǒng)自動遷移虛擬資源到健康服務器節(jié)點計劃內遷移零宕機宕機快速自動遷移在線遷移宕機遷移(分鐘內)物理節(jié)點故障無害反親和部署提高平臺及業(yè)務的可用性和可靠性計算產(chǎn)品丨虛擬機-高可用計算產(chǎn)品丨虛擬機-網(wǎng)絡增強計算產(chǎn)品丨虛擬機-RDMA+SPDK云盤SATA存儲集群硬件集群SSDSSD存儲集群商業(yè)存儲磁盤陣列分布式存儲資源池普通云盤高性能云盤存儲產(chǎn)品虛擬機容器虛擬資源彈性云硬盤基于分布式存儲為虛擬機提供持久化塊存儲空間支持隨意掛載/卸載至多個虛擬機便捷使用云硬盤容量在線擴容，數(shù)據(jù)多副本保護機制高安全、高可靠、高性能、可擴展兼容對接多種底層存儲存儲節(jié)點橫向平滑擴展普通云盤高性能云盤云硬盤掛/卸載云硬盤快照云硬盤擴容云硬盤QoS存儲產(chǎn)品丨云硬盤快照3快照2快照1存儲產(chǎn)品丨云硬盤·快照45

快照定時自動快照與手工快照結合，滿足多種場景需要無需暫停業(yè)務或停止磁盤讀寫，不影響線上業(yè)務按策略自動刪除快照，節(jié)省空間容災備份數(shù)據(jù)快速恢復開發(fā)測試云硬盤ABCDA1BCD1A1BCD2StorageNodeDiskDiskDiskDiskDiskDisk私有云存儲集群StorageNodeStorageNodeBlockStorageVMOSDiskVMDataDiskVMImage外部存儲外部存儲對接通過iSCSI協(xié)議進行對接和納管打平內部、外部存儲集群管理統(tǒng)一管理和使用，擁有一致用戶體驗云盤快照彈性云盤發(fā)揮存儲自身性能云盤QoS配置存儲產(chǎn)品丨商業(yè)存儲納管VPC網(wǎng)絡CIDR：/16地域：上海子網(wǎng)1/24HostLBNATGWDB子網(wǎng)2/24HostLBNATGWDB子網(wǎng)3/24HostLBNATGWDBGateway虛擬網(wǎng)絡環(huán)境完全二層隔離靈活子網(wǎng)劃分10/172/192隸屬租戶的虛擬網(wǎng)絡租戶完全掌控網(wǎng)絡環(huán)境自主管理所有云服務資源提供和傳統(tǒng)網(wǎng)絡完全一致的功能VPCCIDR網(wǎng)段子網(wǎng)Subnet公共網(wǎng)關Gateway內網(wǎng)IP/DHCP/DNS網(wǎng)絡產(chǎn)品|

VPC應用服務虛擬機Internet應用服務虛擬機宕機實例遷移漂移正常實例外網(wǎng)彈性IP1外網(wǎng)彈性IP1外網(wǎng)彈性IP地址互聯(lián)網(wǎng)外網(wǎng)服務自定義外網(wǎng)IP段彈性綁定和解綁獨立申請和擁有在線調整帶寬上限PhysicalnetworkVlan100虛擬機VPC2物理網(wǎng)絡IP2Vlan100虛擬網(wǎng)絡區(qū)域虛擬機VPC1物理網(wǎng)絡IP1Vlan100物理網(wǎng)絡區(qū)域物理機Oracle物理機HPC物理機APP物理網(wǎng)絡Vlan100虛擬物理網(wǎng)絡IPVPC與物理網(wǎng)絡通信自定義物理網(wǎng)絡接入彈性綁定和解綁獨立申請和擁有與EIP使用體驗相同網(wǎng)絡產(chǎn)品丨彈性IP&混合云接入虛擬機主主內網(wǎng)網(wǎng)卡外網(wǎng)網(wǎng)卡輔輔彈性網(wǎng)卡1彈性網(wǎng)卡2私有網(wǎng)絡【A】/24

私有網(wǎng)絡私有網(wǎng)絡【B】/24私有網(wǎng)絡安全組出入規(guī)則A規(guī)則B規(guī)則C安全組出入規(guī)則E規(guī)則F規(guī)則G彈性網(wǎng)卡一種可隨時附加到虛擬機的彈性網(wǎng)絡接口支持綁定和解綁，可在多個虛擬機間靈活遷移為虛擬機提供高可用集群搭建能力，同時可實現(xiàn)精細化網(wǎng)絡管理及廉價故障轉移方案虛擬機可綁定多塊彈性網(wǎng)卡每塊彈性網(wǎng)卡擁有專屬安全組具有獨立的生命周期彈性網(wǎng)卡QoS控制網(wǎng)絡產(chǎn)品丨彈性網(wǎng)卡InternetPublicNetworkPrivateNetworkNAT網(wǎng)關負載均衡虛擬機虛擬機虛擬機負載均衡虛擬防火墻安全組丨純軟件定義虛擬防火墻內網(wǎng)安全組，保障東西流量安全外網(wǎng)安全組，為南北流量保駕護航出入雙方向流量訪問控制及限制IPv4/IPv6雙棧流量管控云平臺虛擬資源必要網(wǎng)絡安全保障安全組規(guī)則有狀態(tài)TCP/UDP/ICMP/GRE/STCP網(wǎng)絡產(chǎn)品|安全組軟件定義NAT網(wǎng)關虛擬網(wǎng)關丨子網(wǎng)級別公共外網(wǎng)網(wǎng)關多臺虛擬機共享一個公網(wǎng)IP地址訪問外網(wǎng)端口轉發(fā)能力，安全組網(wǎng)絡防護SNATDNAT虛擬機1虛擬機2VPC虛擬機1虛擬機2子網(wǎng)1子網(wǎng)2NAT網(wǎng)關公網(wǎng)IPInternet網(wǎng)絡產(chǎn)品|

NAT網(wǎng)關

IPSec

VPNVPC到本地數(shù)據(jù)中心的連接云平臺VPC到VPC之間的連接VPC到其他私有云/公有云的連接支持IKEv1和IKEv2協(xié)議采用雙機熱備架構，故障時秒級切換VPN網(wǎng)關1VPC1/24VPC1/8VPN網(wǎng)關2IPsec-VPNVPC1/24VPN網(wǎng)關1數(shù)據(jù)中心網(wǎng)段/16VPN設備配置快捷簡單網(wǎng)絡產(chǎn)品|

VPN網(wǎng)關內網(wǎng)/外網(wǎng)LoadBalancerServiceServerPort：80ServerPort：5000Server1Server2Server3Server4BackendServerPool負載均衡服務純軟件實現(xiàn)，內外網(wǎng)服務高可用/可擴展入口多種調度策略，將訪問流量分發(fā)至后端多臺服務器主機健康檢查，自動替換不健康后端節(jié)點入口類型內網(wǎng)外網(wǎng)健康檢查會話保持內容轉發(fā)監(jiān)控告警高可用架構四層轉發(fā)TCPUDP七層轉發(fā)HTTPHTTPSSSLOffloadingSSL證書網(wǎng)絡產(chǎn)品|負載均衡PaaS服務|容器技術方案基于Kubernetes的容器服務Kubernetes作為行業(yè)內普遍認可的容器編排引擎，提供對容器的編排、部署、管理、規(guī)劃能力。私有云容器服務將Kubernetes產(chǎn)品化，植入公有云易用性與實用性結合的基因，成為助力企業(yè)容器化發(fā)展的用力支柱，幫助企業(yè)數(shù)字化轉型的可靠伙伴。簡潔易用，迅速提升價值私有云容器服務在提供了強大的Kubernetes功能之外，還結合企業(yè)使用習慣，進行了界面以及操作流程優(yōu)化，提供一整套便于運維人員以及業(yè)務部署人員使用的容器服務，真正做到創(chuàng)建即用，通俗易懂，省略復雜的操作，迅速展現(xiàn)產(chǎn)品價值。功能豐富，滿足容器化需求私有云容器服務不僅僅滿足容器編排的需要，同時提供租戶隔離、多集群管理、彈性伸縮、組件管理、監(jiān)控告警等功能，滿足容器化全生命周期多維度的管理能力，符合企業(yè)IT從業(yè)人員不同角度的容器化需求。容器服務Worker節(jié)點NetworkingKubeletContainerRuntimeMaster節(jié)點APIServerControllerManagerSchedulerEtcdKubernetes架構Worker節(jié)點NetworkingKubeletContainerRuntimeWorker節(jié)點NetworkingKubeletContainerRuntimePaaS服務|容器服務功能視圖服務器/超融合一體機基礎架構企業(yè)私有云平臺私有云平臺傳統(tǒng)應用JVMWeblogicC/C++大數(shù)據(jù)應用SparkHadoopStorm互聯(lián)網(wǎng)應用ApachetomcatNginx業(yè)務應用容器服務自動構建持續(xù)集成持續(xù)集成持續(xù)交付鏡像倉庫容器監(jiān)控基礎管理權限管理租戶管理彈性擴容應用部署應用調度健康檢查負載均衡服務發(fā)現(xiàn)應用編排網(wǎng)絡資源管理主機資源管理資源調度存儲資源管理PaaS服務|容器集群容器服務提供穩(wěn)定可靠、通過CNCF一致性認證的，基于Kubernetes的容器應用管理服務。提供容器化應用的全生命周期管理與企業(yè)私有云的分布式存儲、負載均衡服務深度集成強隔離(HardMulti-tenancy)特性，容器服務支持多租戶隔離，不同租戶之間的Kuberneters集群網(wǎng)絡、權限、計算、存儲完全隔離?；贙ubernetes打造易用性與實用性結合豐富的容器化插件組件助力敏態(tài)業(yè)務順利容器化apimastermasterkeepaliveNode1Node4Node2Node3鏡像倉庫masterkeepaliveUICLI容器服務架構圖PaaS服務|鏡像倉庫oauthoauthregistryregistryimageimageubuntu:18.01ns/app:v1imageubuntu:latestimagens/app:v2repositoryrepository(ubuntu)(ns/app)LBbuildpushpullUK8SimageHub鏡像倉庫容器鏡像服務服務容器鏡像服務是一項面向容器鏡像的安全托管及分發(fā)平臺，提供容器鏡像的全生命周期管理，簡單易用、安全可靠，與容器服務無縫集成，幫助降低打造云原生應用的交付復雜度。運維運營豐富的運營功能，幫助IT運營精細化轉型組織架構管理多租戶模式配額管控賬號權限管控服務目錄管理資源統(tǒng)一管理報表統(tǒng)計資源審批流程計量計費云硬盤虛擬機云資源管理計算集群存儲集群物理資源管理服務目錄配額管理角色管理主/子賬號管理項目組管理租戶管理成本優(yōu)化統(tǒng)一納管異構資源精確計量計費支持資源報表導出數(shù)據(jù)可視化降本節(jié)流精細化運營…外網(wǎng)網(wǎng)段優(yōu)化建議用量分析大屏展示數(shù)據(jù)中心資源報表地域概覽租戶概覽運維運營|全套運營體系運維運營|智能監(jiān)控體系統(tǒng)一監(jiān)控告警計算集群存儲集群容器虛擬機彈性IP云硬盤豐富的監(jiān)控指標采集多樣的可視化展現(xiàn)負載均衡NAT網(wǎng)關VPN自動識別主動采集持續(xù)上報多維度粒度監(jiān)控圖表智能告警告警記錄可根據(jù)業(yè)務負載的增加按需進行擴展可分別或同時增加計算力、存儲空間和性能在線擴容，不影響線上業(yè)務存儲自動進行數(shù)據(jù)均衡性能隨容量擴展正向增長，充分利用每節(jié)點讀寫性能計算節(jié)點存儲節(jié)點運維運營|在線擴容安全產(chǎn)品安全運營中心WAF數(shù)據(jù)庫審計堡壘機日志審計主機入侵防御漏洞掃描安全產(chǎn)品企業(yè)私有云重視云平臺自身安全以及用戶業(yè)務和數(shù)據(jù)的安全，提供符合等級保護要求的租戶安全組件，為用戶業(yè)務和數(shù)據(jù)的安全保駕護航。應用層防火墻WAF：提供針對于業(yè)務層的安全防護能力，最大程度的保護業(yè)務安全，補齊7層防護能力，構建完整的邊界防護能力。堡壘機：提供對運維人員的操作和訪問進行管理和監(jiān)控的能力，對高危行為進行通告預警，完善運維審計機制。數(shù)據(jù)庫審計：提供對數(shù)據(jù)庫狀態(tài)和通信內容的監(jiān)控，準確評估數(shù)據(jù)庫所面臨的風險，通過完備的日志記錄提供可靠證據(jù)嗎，完善追查機制。主機入侵防御：提供針對于主機上安全漏洞，黑客入侵行為，暴力破解，木馬等異常行為的檢測，完善計算環(huán)境安全檢測能力。漏洞掃描：提供針對于WEB和主機漏洞完整快速，穩(wěn)定高效的檢測，依靠專業(yè)安全中心的研究積累，完善安全自檢能力。日志審計：提供對租戶內安全日志、操作日志等進行統(tǒng)一的收集、存儲（不少于180天）、分析的能力。WAF-需求分析根據(jù)國家信息安全漏洞共享平臺（CNVD）2020年上半年數(shù)據(jù)，收錄通用型安全漏洞11,073個，同比大幅增長89.0%。其中，高危漏洞收錄數(shù)量為4,280個（占38.7%），同比大幅增長108.3%，“零日”漏洞收錄數(shù)量為4,582個（占41.4%），同比大幅增長80.7%。按影響對象分類統(tǒng)計，排名前三的是應用程序漏洞（占48.5%）、Web應用漏洞（占26.5%）、操作系統(tǒng)漏洞（占10.0%）。重保時期Web業(yè)務壓力增大兩會等重要會議期間網(wǎng)絡安全重大節(jié)慶、活動期間網(wǎng)絡安全保障合規(guī)重保監(jiān)管法律、法規(guī)層面的要求細化《網(wǎng)絡安全法》正式實施《等保2.0標準》正式發(fā)布針對Web業(yè)務監(jiān)管加強監(jiān)管單位現(xiàn)場檢查按照特定周期復查年度/季度攻防演習最新技術研討WAF-功能設計企業(yè)私有云平臺應用防火墻（WAF）功能介紹OWASP常見攻擊防御：支持對OWASP常見的攻擊威脅，例如SQL注入、XSS攻擊、CSRF攻擊、命令注入、非法HTTP協(xié)議、路徑穿越等攻擊CC攻擊防御：WAF具有強大的CC防御引擎通過多種算法有效識別各種CC攻擊，并進行攔截阻斷，保障Web系統(tǒng)的正常運行機器行為檢測：WAF內置機器學習引擎，擁有安全防御的機器學習能力，能有效識別惡意爬蟲、敏感訪問、Web掃描、行為異常、CC攻擊等惡意攻擊行為，有效防止針對Web網(wǎng)站發(fā)起的新型或未知0day攻擊。精準訪問控制：支持用戶根據(jù)來源IP、請求路徑、User-Agent、Referer等字段進行條件組合，打造強大的精準訪問控制策略。從而可以支持盜鏈防護、網(wǎng)站后臺保護等自定義需求的Web網(wǎng)站防護場景。黑白名單：支持IP黑白名單機制，且針對黑名單用戶可以設置對象、動作（攔截或驗證碼）及有效時間。網(wǎng)頁防篡改：支持對開啟網(wǎng)頁防篡改，添加需要保護的域名對其進行特別的防篡改監(jiān)控和保護。堡壘機-需求分析國內相關法規(guī)對企業(yè)信息管理提出了內控與審計的明確要求

《中華人民共和國網(wǎng)絡安全法》

《信息安全等級保護管理辦法》企業(yè)信息安全，受到國家政策、法律法規(guī)