DB11T 2169-2023 政務(wù)云平臺建設(shè)技術(shù)要求　

DB11北京市市場監(jiān)督管理局發(fā)布 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則有限公司、北京安信天行科技有限公司、中國電子技術(shù)標(biāo)李巍、王憶柔、鄭雅璐、陳青民、方莉莉、安政務(wù)云平臺建設(shè)技術(shù)要求本文件規(guī)定了云服務(wù)商要求、政務(wù)云平臺框3恐為山點次有應(yīng)為山點盡相恐為山點次有應(yīng)為山點盡相業(yè)務(wù)網(wǎng)中務(wù)上派務(wù)南1互聯(lián)網(wǎng)互聯(lián)網(wǎng)體系體系流湖曰苗文二云計立線存儲資源計算資源存儲資源政務(wù)外網(wǎng)運維管理運維首理防火地圖2部署框架5以障性短|上心三非關(guān)系型|p喧常=|變是創(chuàng)三報限性坦說瀝開潭回形計算決行儲文州行醒應(yīng)用安全地三信息，地分力興率面!電了郵平業(yè)務(wù)應(yīng)用層支撐軟件層基礎(chǔ)設(shè)施層消息隊列務(wù)彈性律宿注：圖中實線部分對應(yīng)本文件相關(guān)規(guī)定，虛線部分僅為表明政務(wù)云平臺技術(shù)框架的系統(tǒng)組成。6統(tǒng)計等基礎(chǔ)資源管理功能和用戶管理、組織管理、計量計費、流程管理、消息通知等運營管理能力等。6.4服務(wù)能力框架服務(wù)能力框架如圖4所示，具體應(yīng)包括：務(wù)內(nèi)容素引個務(wù)其他擴展務(wù)操作服務(wù)容器和中服務(wù)圖4政務(wù)云平臺服務(wù)能力框架a)服務(wù)目錄由政務(wù)云服務(wù)商提供，可滿足使用單位信息系統(tǒng)運行需求的所有服務(wù)和服務(wù)產(chǎn)品的結(jié)構(gòu)化信息，具體要求如下：1)政務(wù)云平臺可對外提供laaS、PaaS類的服務(wù)項，分為基礎(chǔ)服務(wù)、擴展服務(wù)兩類；基礎(chǔ)服務(wù)是云服務(wù)商必須具備的能力；擴展服務(wù)是云服務(wù)商可選擇性具備的能力；2)政務(wù)云服務(wù)商與使用單位通過服務(wù)合同約定的服務(wù)等級，包含服務(wù)定義、服務(wù)可用性等指b)服務(wù)要求包括服務(wù)基本要求、服務(wù)考核要求，具體要求如下：1)服務(wù)基本要求，政務(wù)云所提供服務(wù)應(yīng)滿足的基本要求；6.5安全框架政務(wù)云平臺的安全框架如圖5所示，具體應(yīng)涵蓋如下6個方面：a)物理和環(huán)境安全，涵蓋物理環(huán)境的基本要求、位置要求、出入口管理、電力供應(yīng)、電磁防護、防火、防潮防水、防靜電、溫濕度控制等方面內(nèi)容；b)網(wǎng)絡(luò)和通信安全，涵蓋網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗證、邊界防護、訪問控制、資源控制、入侵防范、安全審計等方面內(nèi)容；c)設(shè)備和計算安全，涵蓋身份鑒別、訪問控制、安全審計、入侵防范、可信驗證、資源控制、惡意代碼防范、鏡像快照保護、虛擬機安全容器安全等方面內(nèi)容；d)應(yīng)用和數(shù)據(jù)安全，涵蓋安全審計、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護、數(shù)據(jù)完整性、接口安全等方面內(nèi)容；7租戶安全服務(wù)安全監(jiān)控和管理安全監(jiān)控和管理應(yīng)用和數(shù)據(jù)安全設(shè)備和計算安全惡高代5防范惡高代5防范網(wǎng)絡(luò)和通信安全物理和環(huán)境安全注：圖中實線部分對應(yīng)本文件相關(guān)規(guī)定，虛線部分僅為表明政務(wù)云平臺安全框架的系統(tǒng)組成。7.1.2機房要求），h)云主機出現(xiàn)故障時，應(yīng)支持自動重啟或者遷移，保障業(yè)務(wù)連續(xù)性；a)應(yīng)支持結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)等多種數(shù)據(jù)類型存b)數(shù)據(jù)中心組網(wǎng)架構(gòu)設(shè)計可采用大二層網(wǎng)絡(luò)架構(gòu)，應(yīng)支持云主機無障礙動態(tài)遷移；c)應(yīng)采用集群部署網(wǎng)絡(luò)控制，以保障升h)應(yīng)采用雙活網(wǎng)絡(luò)架構(gòu)，降低單點故障帶來的穩(wěn)定風(fēng)險；a)云內(nèi)骨干線路帶寬不低于40Gb/s；b)應(yīng)提供基于不同CPU架構(gòu)的操作系統(tǒng)，以適應(yīng)不同業(yè)務(wù)應(yīng)用需要；b)關(guān)系型數(shù)據(jù)庫應(yīng)支持集中式數(shù)據(jù)庫與分布式數(shù)據(jù)庫兩種架構(gòu)；c)應(yīng)支持主流的商業(yè)、開源操作系統(tǒng)，包括主流國b)分布式的關(guān)系型數(shù)據(jù)庫要求如下：2)分析型數(shù)據(jù)庫應(yīng)支持對地理信息（GIc)應(yīng)支持虛擬網(wǎng)絡(luò)，指定虛擬網(wǎng)絡(luò)創(chuàng)建b)應(yīng)支持發(fā)布訂閱模型；c)在單個消息生產(chǎn)者情況下，應(yīng)支持順序消息，包括消息的順序發(fā)送f)應(yīng)具備完善的多用戶隔離機制，保障用戶數(shù)i)應(yīng)能為每個消息服務(wù)提供單獨命名空間，保m)應(yīng)支持節(jié)點主機配置雙網(wǎng)卡，實現(xiàn)安全隔離；n)應(yīng)支持配置數(shù)據(jù)同步功能，在不同消息隊b)應(yīng)提供收集面向應(yīng)用的日志服務(wù)，如應(yīng)用定向?qū)懙轿募械娜罩?；d)應(yīng)支持用戶自定義解析規(guī)則和解析規(guī)則組，并預(yù)制多種解析規(guī)則實現(xiàn)日志數(shù)e)應(yīng)具備自動清理閑置容器鏡像能力，并可自定義最容器云服務(wù)提供以容器為核心的動態(tài)伸縮功能，具微服務(wù)引擎是微服務(wù)注冊中心和配置管理的全托管式平臺,提供高可用且免運維的服務(wù)注冊和配置b)應(yīng)提供服務(wù)發(fā)現(xiàn)接口，用以對服務(wù)和資源進行發(fā)現(xiàn)；d)應(yīng)支持微服務(wù)注冊中心、配置中心和API網(wǎng)關(guān)一鍵創(chuàng)微服務(wù)治理用于實現(xiàn)各個微服務(wù)的自動化注冊與發(fā)現(xiàn)，具體b)應(yīng)支持服務(wù)降級策略，包括：屏蔽降級和容錯降級，以保證核心服務(wù)的SLA；況進行監(jiān)測、記錄和趨勢分析，對監(jiān)控記錄進行保存，保存理，支持政務(wù)云操作系統(tǒng)的單點登錄功能，登e)在服務(wù)期內(nèi)，承載政務(wù)云平臺的軟硬件應(yīng)在原b)應(yīng)確保政務(wù)云平臺所有設(shè)備及承載的業(yè)務(wù)和數(shù)據(jù)均位于北京市內(nèi)運行。b)應(yīng)支持屏蔽虛擬資源故障，如：某個云主機崩潰后不影響云主機監(jiān)視器及其他云主機；b)應(yīng)保證不同云租戶的應(yīng)用系統(tǒng)及開發(fā)平臺之間的隔離；及政務(wù)云平臺的建設(shè)管理、運維管理和應(yīng)急管理等安全管理要求應(yīng)符合國家標(biāo)準(zhǔn)GB/T22239b)應(yīng)支持同構(gòu)資源池的多節(jié)點管理；南向接口主要是基礎(chǔ)設(shè)施層的接入，對云資源和服務(wù)進行統(tǒng)一納管，包含a)硬件接入應(yīng)提供物理設(shè)備的接口，包括服務(wù)器設(shè)備、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備2)應(yīng)提供政務(wù)云使用單位相關(guān)的增、刪蓋基礎(chǔ)設(shè)施、支撐軟件和業(yè)務(wù)應(yīng)用各個層面，實現(xiàn)一個開放的政務(wù)云平臺的服務(wù)應(yīng)由政務(wù)云服務(wù)商以目錄形式統(tǒng)一對外公布，一般宜每年更新a)計算服務(wù)，應(yīng)提供云主機、物理主機租用、圖形圖像計算等b)存儲服務(wù)，應(yīng)提供普通性能存儲、高性能存儲服務(wù)；d)備份服務(wù)，應(yīng)提供本地備份、本地/異地視頻云存儲、視頻7.2.4.3.1擴展服務(wù)包含操作系a)操作系統(tǒng)服務(wù)，宜提供商用操作系統(tǒng)、開源操作系統(tǒng)等容器鏡像等）、微服務(wù)（微服務(wù)引擎、分布式應(yīng)用、云服務(wù)b)云上應(yīng)用調(diào)優(yōu)，提供應(yīng)用架構(gòu)診斷、分庫分表設(shè)計、微服務(wù)治理、云原生改造等服務(wù)；c)全鏈路壓測，提供壓測方案設(shè)計、實施支持、優(yōu)化服擴展開發(fā)的能力，一般包括云平臺擴展、系統(tǒng)對接根據(jù)政務(wù)云管理單位、政務(wù)云使用單位的要求，對云管理平臺進行相應(yīng)擴展開發(fā)，要求a)應(yīng)支持對計算資源、網(wǎng)絡(luò)資源、存儲資源、安全資源自動化調(diào)度及管b)應(yīng)對云資源使用情況進行計量管理；h)應(yīng)支持大屏擴展模塊，包括多維度指標(biāo)的按需展示和用戶自定義編排；i)應(yīng)支持運維管理模塊，包括運維門戶、監(jiān)控、報表等j)應(yīng)支持運營模塊，包括申請審批流程、組織管理、多3)明確接口信息，應(yīng)根據(jù)業(yè)務(wù)場景，明確需要接口調(diào)5)接入聯(lián)調(diào)，按規(guī)范性文檔，接入第三服務(wù)，并對接入的6)接入完成，根據(jù)請求信息完成配置政務(wù)云平臺驗收包括初驗、試運營和終驗三個階段，要求a)初驗是政務(wù)云平臺初步完成建設(shè)并具備基礎(chǔ)服務(wù)能力后開展的階段性驗收，初驗通過后可與b)試運營是按照政務(wù)云管理單位的要求開展云平臺試運行階段，政務(wù)云管理單位可檢驗相關(guān)運務(wù)云管理單位要求的國家相關(guān)安全合規(guī)性檢查當(dāng)政務(wù)云服務(wù)商完成政務(wù)云平臺的初步建設(shè)并具備基礎(chǔ)服務(wù)能力后可以向政務(wù)云管理單位申請進c)審查與政務(wù)云監(jiān)管平臺的對接計劃、政務(wù)云平臺擴展功能8.3.2.1當(dāng)政務(wù)云服務(wù)商建設(shè)的政務(wù)云平臺通過政務(wù)云管理單位要求的國家相a)審查政務(wù)云平臺是否完成政務(wù)云管理單位要求的國家相關(guān)安全合規(guī)性政務(wù)云服務(wù)商應(yīng)遵循政務(wù)云管理單位統(tǒng)一的運維監(jiān)管要求和安全監(jiān)管要求，做好政務(wù)云平臺日常政務(wù)云服務(wù)商應(yīng)通過自動化和手工機制向政務(wù)云管理單位提供云平臺運行數(shù)據(jù)和監(jiān)管數(shù)據(jù)，政務(wù)云管理單位對匯集數(shù)據(jù)進行統(tǒng)一管理。匯集數(shù)據(jù)應(yīng)結(jié)合政務(wù)云管理單位的管理目標(biāo)和內(nèi)容進行詳細定.圖6監(jiān)管數(shù)據(jù)匯集框架9.2.3資產(chǎn)數(shù)據(jù)應(yīng)包括但不限于物理環(huán)境資產(chǎn)數(shù)據(jù)、物理設(shè)備資產(chǎn)數(shù)據(jù)、云主機資產(chǎn)、IP資產(chǎn)、用戶資產(chǎn)(入云系統(tǒng))等，實現(xiàn)對各類資產(chǎn)狀態(tài)和數(shù)量的實時監(jiān)控數(shù)據(jù)。9.2.4機房環(huán)控數(shù)據(jù)9.2.6日志數(shù)據(jù)9.2.7云平臺數(shù)據(jù)9.2.8應(yīng)用數(shù)據(jù)應(yīng)包括但不限于業(yè)務(wù)系統(tǒng)數(shù)據(jù)、云主機規(guī)格9.2.9監(jiān)控數(shù)據(jù)≥2個≥2個 用戶可以將申請到的磁盤空間同時分配給一臺或者多臺用戶可以將申請到的磁盤空間同時分配給一臺或者多臺 務(wù) 間 通過手工配置或自動配置的方式實現(xiàn)IPSecVPN隧道的建據(jù)中心的VPN連接，支持對IKE策略、IPSec策略配置及對實現(xiàn)IPsec抗重放檢測功能、反向路由注入功能，支持提供域名SSL證書服務(wù)，可支持服務(wù)器、負載均衡等設(shè)備 中標(biāo)軟件、中興新支點、統(tǒng)信UOS、CentOS、EulerOS、 Kingbase（人大金倉數(shù)據(jù)庫）、K 通過云管理平臺實現(xiàn)針對每租戶按需自動分配負載均衡 政務(wù)云平臺運維服務(wù)能力說明（運維保障方案政務(wù)云服務(wù)商應(yīng)提供政務(wù)云平臺物理網(wǎng)絡(luò)中核心交換機和接入交換機的物理網(wǎng)絡(luò)接口流量，用于監(jiān)測、審計政務(wù)云政務(wù)云服務(wù)商應(yīng)提供政務(wù)云平臺的虛擬交換和路由設(shè)備接交換和路由設(shè)備接口，應(yīng)支持可以根據(jù)指定策略將指定流量牽引到政務(wù)云管理單位指定的監(jiān)測設(shè)備，用于監(jiān)測、審政務(wù)云服務(wù)商應(yīng)開啟政務(wù)云平臺物理網(wǎng)絡(luò)中服務(wù)器、網(wǎng)絡(luò)政務(wù)云服務(wù)商應(yīng)開啟政務(wù)云平臺網(wǎng)絡(luò)、安全設(shè)備的SNMP協(xié)議管理接口，使得政務(wù)云管理單位能夠獲取政務(wù)云所有網(wǎng) 政務(wù)云服務(wù)商應(yīng)提供虛擬云主機接口用于對虛擬資源性能口政務(wù)云服務(wù)商應(yīng)根據(jù)政務(wù)云管理單位的監(jiān)管要求，按需提云平臺的入云系統(tǒng)和云主機資源使設(shè)備編號、所在機房、所在位置、電流數(shù)據(jù)