港鐵AFC云數(shù)據(jù)中心項(xiàng)目技術(shù)方案及實(shí)施、培訓(xùn)方案 201910

港鐵AFC云數(shù)據(jù)中心項(xiàng)目設(shè)計(jì)方案港鐵AFC云數(shù)據(jù)中心建設(shè)技術(shù)方案及實(shí)施、培訓(xùn)方案目錄TOC\o"1-4"\h\z\u1. 港鐵AFC云數(shù)據(jù)中心建設(shè)項(xiàng)目設(shè)計(jì)方案 101.1. 項(xiàng)目概述 101.1.1. 深圳市城市軌道交通網(wǎng)絡(luò)總體架構(gòu) 101.1.2. 深圳市軌道交通清分中心概況 101.1.3. 深圳市軌道交通AFC系統(tǒng)線網(wǎng)中心（CLC）概況 111.1.4. 4號(hào)線已開通線路和系統(tǒng)概況 111.1.5. 本項(xiàng)目工程概況 111.1.6. 本項(xiàng)目AFC系統(tǒng)概況 121.1.7. 三期AFC系統(tǒng)需與以下系統(tǒng)接口： 121.1.8. 需求理解及分析 13. 構(gòu)建云數(shù)據(jù)中心 13. 業(yè)務(wù)云化及運(yùn)維 141.2. 項(xiàng)目建設(shè)目標(biāo) 141.2.1. 建設(shè)云數(shù)據(jù)中心，提供IaaS和PaaS層云服務(wù) 141.2.2. 構(gòu)建云安全防護(hù)體系，滿足安全等級(jí)保護(hù)三級(jí)要求 141.2.3. 部署云運(yùn)維管理平臺(tái)，圖形化展示業(yè)務(wù)運(yùn)行狀況 141.3. 項(xiàng)目設(shè)計(jì)原則 151.4. 方案設(shè)計(jì)總體思路 161.5. 總體方案架構(gòu)設(shè)計(jì) 181.5.1. 港鐵AFC云平臺(tái)架構(gòu)設(shè)計(jì) 181.5.2. 新建云數(shù)據(jù)中心架構(gòu)設(shè)計(jì) 181.6. 詳細(xì)設(shè)計(jì)方案 211.6.1. 云管理平臺(tái)設(shè)計(jì)方案 21. 云管理平臺(tái)架構(gòu)設(shè)計(jì) 21. IaaS層服務(wù)設(shè)計(jì) 27. PaaS層服務(wù)設(shè)計(jì) 361.6.2. 網(wǎng)絡(luò)資源池設(shè)計(jì)方案 37. 網(wǎng)絡(luò)資源池總體架構(gòu)設(shè)計(jì) 371.6.3. 計(jì)算資源池設(shè)計(jì)方案 40. 計(jì)算資源池需求 40. 存儲(chǔ)資源池需求 42. 計(jì)算資源池總體架構(gòu)設(shè)計(jì) 42. 計(jì)算資源池容量規(guī)劃設(shè)計(jì) 42. 數(shù)據(jù)庫(kù)區(qū)計(jì)算資源規(guī)劃設(shè)計(jì) 44. 計(jì)算資源池服務(wù)器虛擬化平臺(tái)設(shè)計(jì)方案 441.6.4. 存儲(chǔ)資源池設(shè)計(jì)方案 55. FCSAN數(shù)據(jù)存儲(chǔ)設(shè)計(jì) 551.6.5. 安全資源池設(shè)計(jì)方案 72. 物理安全 73. 基礎(chǔ)安全 74. 虛擬化安全 74. 多租戶安全 75. 應(yīng)用層數(shù)據(jù)安全 75. 云安全部署方案 76. 云主機(jī)備份 761.6.6. 高級(jí)運(yùn)維管理平臺(tái)設(shè)計(jì)方案 82. 高級(jí)運(yùn)維管理平臺(tái)總體方案設(shè)計(jì) 82. 高級(jí)運(yùn)維管理平臺(tái)詳細(xì)方案設(shè)計(jì) 83. 高級(jí)運(yùn)維管理平臺(tái)部署方式 85. 高級(jí)運(yùn)維管理平臺(tái)效益分析 851.6.7. 業(yè)務(wù)系統(tǒng)云化遷移設(shè)計(jì)方案 86. 新應(yīng)用系統(tǒng)虛擬化建設(shè) 86. 老應(yīng)用系統(tǒng)虛擬化遷移 88. 業(yè)務(wù)整合遷移 901.6.8. 設(shè)備及材料表 982. 項(xiàng)目實(shí)施方案 992.1. 工程實(shí)施計(jì)劃 992.1.1. 項(xiàng)目人員組織 992.1.2. 項(xiàng)目重點(diǎn)、難點(diǎn)說(shuō)明 1002.1.3. 項(xiàng)目組織和技術(shù)支持結(jié)構(gòu) 1002.1.4. 項(xiàng)目工程進(jìn)度列表 1022.1.5. 項(xiàng)目風(fēng)險(xiǎn)控制措施 1042.2. 項(xiàng)目實(shí)施各環(huán)節(jié)實(shí)施方案 1052.2.1. 項(xiàng)目規(guī)劃 1052.2.2. 項(xiàng)目實(shí)施流程 1062.2.3. 現(xiàn)場(chǎng)安裝、調(diào)試階段 1072.2.4. 現(xiàn)場(chǎng)預(yù)驗(yàn)收（SAT1） 1072.2.5. 系統(tǒng)試運(yùn)行階段 1072.2.6. 竣工驗(yàn)收階段（SAT2） 1082.2.7. 系統(tǒng)維護(hù)與技術(shù)支持 1082.3. 項(xiàng)目管理 1092.3.1. 概述 1092.3.2. 項(xiàng)目管理生命周期 1092.3.3. 項(xiàng)目管理階段與實(shí)施進(jìn)度計(jì)劃 1092.3.4. 項(xiàng)目協(xié)調(diào)及溝通管理 112. 溝通計(jì)劃 112. 溝通內(nèi)容 113. 報(bào)告形式 113. 相關(guān)工具 1132.3.5. 項(xiàng)目變更管理 1132.3.6. 項(xiàng)目風(fēng)險(xiǎn)管理 1142.3.7. 項(xiàng)目文檔管理 116. 文檔管理 116. 版本管理 117. 文檔管理原則 117. 項(xiàng)目安全保密管理 1182.4. 培訓(xùn)方案 1202.4.1. H3C培訓(xùn)總體方案介紹 120. 培訓(xùn)理念 120. H3C培訓(xùn)中心介紹 120. 培訓(xùn)師資 120. 培訓(xùn)體系 1202.4.2. 培訓(xùn)組織實(shí)施 121. 培訓(xùn)時(shí)間 121. 培訓(xùn)地點(diǎn) 1212.4.3. 免費(fèi)培訓(xùn)服務(wù)說(shuō)明 1212.4.4. 國(guó)內(nèi)專業(yè)培訓(xùn)機(jī)構(gòu)認(rèn)證培訓(xùn) 1222.4.5. 施工現(xiàn)場(chǎng)培訓(xùn) 1222.4.6. 受訓(xùn)人員要求 1242.5. 產(chǎn)品供貨計(jì)劃 1252.5.1. 主要硬件設(shè)備清單 1252.5.2. 軟件清單 1273. 項(xiàng)目實(shí)施團(tuán)隊(duì)情況介紹 1284. 項(xiàng)目原廠售后服務(wù) 1294.1. 售后服務(wù)方式及具體內(nèi)容 1294.1.1. 7*24小時(shí)熱線遠(yuǎn)程技術(shù)支持服務(wù) 129. 服務(wù)標(biāo)準(zhǔn) 129. 服務(wù)流程 129. 服務(wù)內(nèi)容 130. 響應(yīng)時(shí)間 1304.1.2. 快速現(xiàn)場(chǎng)支持服務(wù) 131. 服務(wù)標(biāo)準(zhǔn) 131. 服務(wù)流程 131. 故障等級(jí)說(shuō)明 131. 服務(wù)內(nèi)容 132. 響應(yīng)時(shí)間 1324.1.3. 在線支持服務(wù) 132. 服務(wù)標(biāo)準(zhǔn) 132. 服務(wù)流程 132. 服務(wù)內(nèi)容 133. 響應(yīng)時(shí)間 1334.1.4. H3C智動(dòng)協(xié)維（駐場(chǎng)）服務(wù) 1334.1.5. 郵件列表服務(wù) 135. 服務(wù)標(biāo)準(zhǔn) 135. 服務(wù)流程 135. 服務(wù)內(nèi)容 135. 響應(yīng)時(shí)間 1354.1.6. 知識(shí)庫(kù)經(jīng)驗(yàn)共享 135. 服務(wù)標(biāo)準(zhǔn) 135. 服務(wù)流程 135. 服務(wù)內(nèi)容 135. 響應(yīng)時(shí)間 1364.1.7. H3C提供最高級(jí)別的支撐 1364.2. 質(zhì)保期內(nèi)的升級(jí)、優(yōu)化服務(wù)說(shuō)明 1374.3. 最終用戶的服務(wù)責(zé)任 1374.3.1. 免責(zé)條款 1374.4. 質(zhì)保期后的技術(shù)服務(wù) 1374.5. 售后服務(wù)承諾 1385. H3C云數(shù)據(jù)中心解決方案精品案例 1445.1.1. 地鐵行業(yè)安全設(shè)備案例 144. 杭州至紹興城際鐵路信號(hào)系統(tǒng)信息安全等級(jí)保護(hù)設(shè)備采購(gòu)項(xiàng)（數(shù)據(jù)庫(kù)審計(jì)、防火墻、漏掃、堡壘機(jī)、入侵防御、安全管理平臺(tái)等） 144. 成都地鐵6號(hào)線一、二期及成都軌道交通11號(hào)線一期信號(hào)系統(tǒng)設(shè)備集成采購(gòu)項(xiàng)目（含防火墻、堡壘機(jī)、數(shù)據(jù)庫(kù)審計(jì)、安全管理平臺(tái)等） 151. 警用CCTV系統(tǒng)-西安地鐵機(jī)場(chǎng)線（防火墻） 1575.1.2. 地鐵行業(yè)網(wǎng)絡(luò)設(shè)備及云計(jì)算案例 159. 深圳地鐵NOCC設(shè)備采購(gòu)及集成項(xiàng)目（虛擬化、服務(wù)器、交換機(jī)等） 1595.1.3. 金融行業(yè)云計(jì)算案例 166. 2017年杭州聯(lián)合銀行云平臺(tái)（云計(jì)算、虛擬化、分布式存儲(chǔ)、SDN、安全設(shè)備） 166. 2017年湖南農(nóng)村信用社聯(lián)合社網(wǎng)站群云平臺(tái)集成項(xiàng)目（云計(jì)算、虛擬化、分布式存儲(chǔ)、SDN、安全設(shè)備） 173. 2017年網(wǎng)聯(lián)云管理平臺(tái)項(xiàng)目（云計(jì)算、虛擬化、分布式存儲(chǔ)） 186. 2017年浙江農(nóng)信私有云項(xiàng)目（云計(jì)算） 191. 2017年天風(fēng)證券云項(xiàng)目（網(wǎng)絡(luò)設(shè)備、服務(wù)器、云計(jì)算、虛擬化、分布式存儲(chǔ)、SDN、安全設(shè)備） 195. 2018年大地保險(xiǎn)基礎(chǔ)架構(gòu)私有云項(xiàng)目（云計(jì)算、服務(wù)器） 1985.1.4. AFC系統(tǒng)案例 203. 北京地鐵7號(hào)線AFC（網(wǎng)絡(luò)設(shè)備） 203. 杭州地鐵2號(hào)線東南段CBTC&PIS&CCTV&AFC（網(wǎng)絡(luò)設(shè)備、安全設(shè)備） 205. 無(wú)錫地鐵2號(hào)線AFC（安全設(shè)備） 206. 天津6號(hào)線AFC（含服務(wù)器、小機(jī)、存儲(chǔ)、光纖交換機(jī)、磁帶庫(kù)、備份軟件） 210. 武漢有軌電車T1-T2號(hào)線AFC（含服務(wù)器、存儲(chǔ)、磁帶庫(kù)、備份軟件、光纖交換機(jī)） 2136. 云平臺(tái)資質(zhì) 2216.1. OpenStack金牌會(huì)員證明 2216.2. CMMI5認(rèn)證 2236.3. 虛擬化軟件軟件著作權(quán)證書 2246.4. ITSS云服務(wù)能力證明 2276.5. 可信云多云管理平臺(tái)解決方案認(rèn)證 2286.6. 通過(guò)國(guó)家標(biāo)準(zhǔn)《信息技術(shù)云計(jì)算參考架構(gòu)》標(biāo)準(zhǔn) 2296.7. 通過(guò)《信息技術(shù)云計(jì)算虛擬機(jī)管理通用要求》專業(yè)性要求標(biāo)準(zhǔn)驗(yàn)證測(cè)試 2316.8. 通過(guò)國(guó)家標(biāo)準(zhǔn)《信息技術(shù)云計(jì)算云資源監(jiān)控指標(biāo)體系》基礎(chǔ)設(shè)施能力類型指標(biāo)的標(biāo)準(zhǔn)驗(yàn)證測(cè)試 2327. 相關(guān)截圖證明 2337.1. 入侵檢測(cè)系統(tǒng) 2337.1.1. 設(shè)備具有對(duì)為高級(jí)持續(xù)威脅檢測(cè)設(shè)備的聯(lián)動(dòng)，并且能提供有效的界面截圖； 2337.1.2. 能夠?qū)彌_區(qū)溢出、網(wǎng)絡(luò)蠕蟲、網(wǎng)絡(luò)數(shù)據(jù)庫(kù)攻擊、木馬軟件、間諜軟件等各種攻擊行為進(jìn)行檢測(cè)，需提供界面截圖； 2347.2. 計(jì)算虛擬化要求 2357.2.1. 虛機(jī)通過(guò)備份實(shí)現(xiàn)應(yīng)急啟動(dòng)，當(dāng)虛機(jī)發(fā)生故障時(shí)，可以直接使用備份系統(tǒng)中的備份數(shù)據(jù)啟動(dòng)虛機(jī)；虛機(jī)應(yīng)可配置HA，達(dá)到秒級(jí)切換，用戶無(wú)感知。 2357.3. 存儲(chǔ)虛擬化要求 2357.3.1. 支持虛擬機(jī)快照，存儲(chǔ)卷回滾。 2357.3.2. 支持不同存儲(chǔ)介質(zhì)劃分資源池，性能容量按需分配，配置靈活。 2367.3.3. 支持虛擬機(jī)磁盤加密。 2367.3.4. 分布式塊存儲(chǔ)系統(tǒng)支持分布式FC、分布式以太網(wǎng)協(xié)議、ISCSI塊存儲(chǔ)協(xié)議，支持NFS、CIFS文件存儲(chǔ)協(xié)議。 2377.3.5. 分布式塊存儲(chǔ)系統(tǒng)支持硬盤生命周期管理功能，硬盤的亞健康檢測(cè)，硬件告警，生命周期查詢功能 2377.4. 網(wǎng)絡(luò)虛擬化要求 2387.4.1. 支持SR-IOV（單根輸入/輸出虛擬化）直通時(shí)虛擬機(jī)網(wǎng)絡(luò)帶寬預(yù)留，保證虛擬機(jī)具有保證的帶寬；已經(jīng)部署成功的虛擬機(jī)可充分利用分配給其的帶寬資源，但是不能超出；同一物理機(jī)運(yùn)行上的虛擬機(jī)，帶寬不會(huì)搶占。 2387.4.2. 支持SR-IOVMACVTAP，將VF通過(guò)MACVTAP直通方式提供給虛擬機(jī)使用。能在VF上設(shè)置VLANID；當(dāng)發(fā)起虛機(jī)熱遷移時(shí)，系統(tǒng)會(huì)自動(dòng)選擇滿足資源的計(jì)算節(jié)點(diǎn)，并在選擇出的目的計(jì)算節(jié)點(diǎn)上為虛擬機(jī)分配對(duì)應(yīng)的VF資源，虛擬機(jī)所在源節(jié)點(diǎn)在遷移完成后，會(huì)釋放虛擬機(jī)所占用的VF資源。 2387.4.3. 支持虛機(jī)網(wǎng)卡流量鏡像功能，將虛機(jī)的業(yè)務(wù)流量引到用作流量鏡像的物理網(wǎng)卡上，以實(shí)現(xiàn)流量監(jiān)控。可以在云管理門戶上配置用哪些物理網(wǎng)卡作為流量鏡像的網(wǎng)卡，并且可配置虛機(jī)是否啟用流量鏡像功能。 2397.4.4. 支持分布式虛擬交換機(jī)；支持VLAN技術(shù)實(shí)現(xiàn)租戶隔離。 2397.4.5. 虛擬交換機(jī)支持端口鏡像功能，支持跨計(jì)算節(jié)點(diǎn)的端口鏡像。 2407.4.6. 支持端口限速、端口組共享限速、網(wǎng)絡(luò)優(yōu)先級(jí)功能。 2407.5. 云資源管理技術(shù)要求 2417.5.1. 支持虛擬機(jī)分組功能，可以對(duì)虛擬機(jī)按照各種業(yè)務(wù)場(chǎng)景進(jìn)行分組。可以創(chuàng)建或刪除分組，可以將虛擬機(jī)移入/移出分組，支持分組的嵌套（嵌套層級(jí)無(wú)限制）。 2417.5.2. 支持虛機(jī)聚合與背離，指定同一個(gè)聚合組的虛擬機(jī)，在部署時(shí)，會(huì)盡量落在同一臺(tái)物理主機(jī)上；指定同一個(gè)背離組的虛擬機(jī)，在部署時(shí)，會(huì)盡量落在不同物理主機(jī)上。 2417.5.3. 支持物理資源和虛擬資源的統(tǒng)一管理；可管理多種異構(gòu)的虛擬化平臺(tái)，包括VMwarevCenter，POWERVM，KVM，XEN等 2427.5.4. 能夠管理、調(diào)度GPU資源。 2427.5.5. 提供給最終用戶意見反饋的途徑，使最終使用人的意見及時(shí)收集并處理，形成云服務(wù)的閉環(huán)，保障云服務(wù)的不斷提升 2437.6. 云應(yīng)用管理技術(shù)要求 2437.6.1. 應(yīng)用級(jí)監(jiān)控，業(yè)務(wù)智監(jiān)控模型包括健康度、繁忙度和可用度，可用度監(jiān)控支持URL訪問(wèn)和應(yīng)用進(jìn)程檢測(cè)。 2437.6.2. 支持動(dòng)態(tài)基線技術(shù)，系統(tǒng)每日凌晨會(huì)采集7天內(nèi)的每時(shí)段健康度、繁忙和可用度指指標(biāo)計(jì)算求平均生成每時(shí)段健康度、繁忙度和可用度的告警閥值，利用這種動(dòng)態(tài)的告警閥值機(jī)制可有效保障業(yè)務(wù)穩(wěn)定高效的運(yùn)行，減少系統(tǒng)噪聲。 2447.6.3. 支持應(yīng)用級(jí)的彈性伸縮，如DB連接數(shù)、TCP連接數(shù)、http連接數(shù)等，粒度最小到分鐘級(jí)。 2447.6.4. 支持應(yīng)用容災(zāi)雙活切換流程圖形化編排，基于GSLB、DB、APP、第三腳本等抽象為編排對(duì)象，簡(jiǎn)單拖拽圖標(biāo)即可快速和簡(jiǎn)單的完成容災(zāi)倒換的編排定義。 2457.6.5. 支持應(yīng)用容災(zāi)雙活一鍵切換（包含數(shù)據(jù)庫(kù)），通過(guò)拓?fù)鋱D可查看到每個(gè)節(jié)點(diǎn)的倒換狀態(tài)，并可快速獲取到可能發(fā)生的報(bào)錯(cuò)信息。 2467.6.6. 支持容災(zāi)雙活切換流程引入第三方腳本功能，通過(guò)對(duì)第三方腳本的集中管理與控制，可實(shí)現(xiàn)在整體容災(zāi)倒換流程中執(zhí)行第三方腳本，實(shí)現(xiàn)容災(zāi)倒換。 2467.6.7. 具備提供Oracle云化數(shù)據(jù)庫(kù)統(tǒng)一管理，通過(guò)云應(yīng)用管理系統(tǒng)可實(shí)現(xiàn)云數(shù)據(jù)庫(kù)的全生命周期管理以及數(shù)據(jù)庫(kù)監(jiān)控功能。 2477.6.8. 提供容器云應(yīng)用管理功能，通過(guò)云應(yīng)用管理系統(tǒng)可實(shí)現(xiàn)容器云的管理以及監(jiān)控功能。容器管理需支持彈性伸縮、垂直擴(kuò)容、灰度升級(jí)、服務(wù)發(fā)現(xiàn)、服務(wù)編排、錯(cuò)誤恢復(fù)及性能監(jiān)測(cè)等功能 2478. 交換機(jī)入網(wǎng)許可證及檢驗(yàn)報(bào)告 2478.1. 云平臺(tái)核心交換機(jī)S7506E 2478.1.1. 入網(wǎng)證（首次入網(wǎng)時(shí)間2009年） 2478.1.2. 檢驗(yàn)報(bào)告 2508.2. 云平臺(tái)接入交換機(jī)6800-4C 2548.2.1. 入網(wǎng)證（首次入網(wǎng)時(shí)間2014年） 2548.2.2. 檢驗(yàn)報(bào)告 2568.3. 云平臺(tái)管理帶外接入交換機(jī)5560X-54C 2598.3.1. 入網(wǎng)證（首次入網(wǎng)時(shí)間2016年） 2598.3.2. 檢驗(yàn)報(bào)告 2628.4. IP存儲(chǔ)交換機(jī)6800-2C 2668.4.1. 入網(wǎng)證（首次入網(wǎng)時(shí)間2014年） 2668.4.2. 檢驗(yàn)報(bào)告 269港鐵AFC云數(shù)據(jù)中心建設(shè)項(xiàng)目設(shè)計(jì)方案項(xiàng)目概述深圳市城市軌道交通網(wǎng)絡(luò)總體架構(gòu)根據(jù)功能一般可分為5個(gè)層面，第一層為深圳市軌道交通清分系統(tǒng)，與深圳市公共交通“深圳通”系統(tǒng)互聯(lián)；第二層為軌道交通AFC多線路中心CLC系統(tǒng)和4號(hào)線中央計(jì)算機(jī)系統(tǒng)、第三層為運(yùn)行在線路各車站的AFC車站計(jì)算機(jī)系統(tǒng)、第四層為車站的AFC終端設(shè)備，第五層為IC卡車票。深圳市城市軌道交通AFC系統(tǒng)網(wǎng)絡(luò)架構(gòu)圖深圳市軌道交通清分中心概況深圳市城市軌道交通清分中心（ACC）負(fù)責(zé)統(tǒng)一制定、發(fā)行和管理軌道交通專用票，組織制訂軌道交通票務(wù)政策，與深圳通系統(tǒng)及各軌道交通自動(dòng)售檢票系統(tǒng)（以下簡(jiǎn)稱“AFC”）進(jìn)行數(shù)據(jù)交換，按照確定的清分規(guī)則對(duì)票款收入進(jìn)行收益清分。深圳市城市軌道交通已建設(shè)深圳市軌道交通網(wǎng)絡(luò)運(yùn)營(yíng)控制中心（以下簡(jiǎn)稱NOCC），根據(jù)NOCC的功能定位，清分中心擴(kuò)容后（全線網(wǎng)所有線路容量）遷移到深圳市軌道交通NOCC，ACC擴(kuò)容搬遷工程已于2016年完成并開通運(yùn)營(yíng)。深圳市軌道交通AFC系統(tǒng)線網(wǎng)中心（CLC）概況CLC為深圳市城市軌道交通三期工程同期建設(shè)，已于2016年中建成。CLC屬于NOCC設(shè)計(jì)內(nèi)容，不在本工程AFC系統(tǒng)籌建范圍內(nèi)。4號(hào)線AFC系統(tǒng)自建LCC，不接入CLC系統(tǒng)進(jìn)行統(tǒng)一管理。CLC系統(tǒng)是AFC系統(tǒng)多個(gè)線路中心系統(tǒng)的集合，CLC系統(tǒng)滿足深圳軌道交通2020年開通線路接入及運(yùn)營(yíng)要求，并已適當(dāng)考慮預(yù)留，CLC系統(tǒng)是按滿足12條線、500個(gè)車站的接入能力進(jìn)行建設(shè)。CLC系統(tǒng)主要由6個(gè)子系統(tǒng)構(gòu)成：1） 主中心系統(tǒng)；2） 調(diào)試中心系統(tǒng)；3） 維修中心系統(tǒng)；4） 票務(wù)中心系統(tǒng)；5） 災(zāi)備中心系統(tǒng)；6） 檢測(cè)中心系統(tǒng)。CLC系統(tǒng)可以控制諸如車站計(jì)算機(jī)系統(tǒng)和自動(dòng)售檢票終端之類的低層系統(tǒng)，可以將指定設(shè)備的故障數(shù)據(jù)實(shí)時(shí)傳送到維護(hù)計(jì)算機(jī)以幫助系統(tǒng)操作員迅速修復(fù)故障設(shè)備。4號(hào)線已開通線路和系統(tǒng)概況深圳市城市軌道交通4號(hào)線（龍華線）既有工程，線路全長(zhǎng)20.5km，共設(shè)15座車站，1座龍華車輛段，已于2011年6月建成通車。4號(hào)線一期工程于2004年12月開通運(yùn)營(yíng)，共設(shè)5座車站，AFC系統(tǒng)接入1號(hào)線線路中心進(jìn)行統(tǒng)一運(yùn)營(yíng)管理。2011年6月,4號(hào)線二期工程建成，建設(shè)獨(dú)立的線路中心系統(tǒng)（LCC），各車站SC及終端設(shè)備接入4號(hào)線二期的LCC，同時(shí)在線路中心新設(shè)接入服務(wù)器，4號(hào)線一期工程5座車站通過(guò)接入服務(wù)器進(jìn)行接口轉(zhuǎn)換后，接入4號(hào)線二期的LCC，實(shí)現(xiàn)4號(hào)線一期和二期全線車站的統(tǒng)一運(yùn)營(yíng)管理。本項(xiàng)目工程概況深圳市城市軌道交通4號(hào)線三期工程為既有4號(hào)線的延伸線，由4號(hào)線二期工程終點(diǎn)清湖站北端引出，自南至北依次沿和平路、觀瀾大道、高爾夫大道敷設(shè)，終點(diǎn)設(shè)于牛湖站。4號(hào)線三期工程線路正線全長(zhǎng)10.785km，其中高架段1.753km，地下段8.840km，過(guò)渡段0.191km。全線設(shè)8座車站，高架站1座（清華站），其它7站為地下站；與其它軌道交通換乘站2座，分別在長(zhǎng)湖站（與規(guī)劃軌道交通18號(hào)線換乘），在松元廈站[與規(guī)劃軌道交通10號(hào)線支線（中軸線）換乘]；另外在觀瀾站與龍華有軌電車示范線換乘；新建觀瀾停車場(chǎng)1座，停車場(chǎng)出入線于牛湖站站前雙線接軌停車場(chǎng)。新建長(zhǎng)坑主變電所1座。本項(xiàng)目AFC系統(tǒng)概況本工程AFC系統(tǒng)在8個(gè)車站新設(shè)AFC車站計(jì)算機(jī)系統(tǒng)；在觀瀾停車場(chǎng)設(shè)培訓(xùn)中心系統(tǒng)；在龍華車輛段電子工廠維修車間增設(shè)檢修平臺(tái)；本工程AFC系統(tǒng)不再單獨(dú)設(shè)置線路中心系統(tǒng)，在4號(hào)線既有LCC的基礎(chǔ)上進(jìn)行軟硬件升級(jí)更新，使4號(hào)線全線路各車站接受一個(gè)LCC系統(tǒng)的控制，實(shí)現(xiàn)本工程全線AFC系統(tǒng)的運(yùn)營(yíng)、管理需求。本工程AFC系統(tǒng)采用非接觸式IC卡制式，計(jì)程計(jì)時(shí)票制。系統(tǒng)建成后，將實(shí)現(xiàn)軌道交通清分中心（ACC）、4號(hào)線線路中心（LCC）、各車站AFC系統(tǒng)三級(jí)管理結(jié)構(gòu)，通過(guò)不同的管理手段將實(shí)現(xiàn)對(duì)票、錢、人、物的全方位管理，以確保系統(tǒng)可靠、安全的運(yùn)行。三期AFC系統(tǒng)需與以下系統(tǒng)接口：深圳通系統(tǒng)清分中心ACC深圳市軌道交通云平臺(tái)系統(tǒng)4號(hào)線既有AFC系統(tǒng)第三方支付主控系統(tǒng)（MCS/UPS電源）主體一標(biāo)主體二標(biāo)共性運(yùn)營(yíng)設(shè)施NOCC

需求理解及分析構(gòu)建云數(shù)據(jù)中心參考深圳市城市軌道交通系統(tǒng)二、三期項(xiàng)目的建設(shè)標(biāo)準(zhǔn)，結(jié)合《云技術(shù)在城市軌道交通的研究應(yīng)用》科研，為充分利用當(dāng)前綜合信息處理平臺(tái)技術(shù)的科技成果，深圳城市軌道交通4號(hào)線三期工程AFC系統(tǒng)考慮應(yīng)用云計(jì)算技術(shù)，建設(shè)基于云計(jì)算技術(shù)的AFC業(yè)務(wù)平臺(tái)，下文簡(jiǎn)稱該平臺(tái)為云平臺(tái)。根據(jù)港鐵AFCIT基礎(chǔ)設(shè)施面臨的問(wèn)題，并結(jié)合國(guó)家數(shù)字化發(fā)展戰(zhàn)略及港鐵AFC數(shù)據(jù)中心現(xiàn)狀綜合分析，港鐵AFC建設(shè)云數(shù)據(jù)中心迫在眉睫，且符合國(guó)家戰(zhàn)略方針；需要構(gòu)建云數(shù)據(jù)中心，實(shí)現(xiàn)數(shù)據(jù)可管可控，IT資源根據(jù)業(yè)務(wù)隨需提供；新業(yè)務(wù)開發(fā)敏捷交付；并通過(guò)云安全加固及云中心建設(shè)，實(shí)現(xiàn)數(shù)據(jù)的安全、可管、可控，滿足云等保三級(jí)要求。AFC系統(tǒng)云化后，將港鐵LCC、互聯(lián)網(wǎng)售檢票平臺(tái)、車站計(jì)算機(jī)系統(tǒng)合并為第二層。業(yè)務(wù)云化及運(yùn)維構(gòu)建云中心后，需充分考慮現(xiàn)有業(yè)務(wù)上云需求，并盡量不影響現(xiàn)有生產(chǎn)業(yè)務(wù)，對(duì)于業(yè)務(wù)遷移需要有詳細(xì)的規(guī)劃和驗(yàn)證方案；同時(shí)充分考慮業(yè)務(wù)遷移后的云運(yùn)維方案，讓復(fù)雜的云中心IT運(yùn)維變得直觀簡(jiǎn)單。項(xiàng)目建設(shè)目標(biāo)建設(shè)云數(shù)據(jù)中心，提供IaaS和PaaS層云服務(wù)搭建云基礎(chǔ)設(shè)施資源池，包括計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、安全、容器等資源池，通過(guò)云管理平臺(tái)進(jìn)行管理，提供云主機(jī)、裸金屬、云存儲(chǔ)、云網(wǎng)絡(luò)、云安全組、彈性IP、云防火墻、云負(fù)載均衡、云IPS、VDC編排等IaaS層云服務(wù)，以及PaaS層云服務(wù)，包括Oracle、MySQL、SQLServer等PaaS層云服務(wù)。構(gòu)建云安全防護(hù)體系，滿足安全等級(jí)保護(hù)三級(jí)要求以等級(jí)保護(hù)為指導(dǎo)，從網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等多個(gè)層面出發(fā)，構(gòu)建云安全防護(hù)體系，實(shí)現(xiàn)事前防御、事中控制、事后審計(jì)多維度立體化安全防御體系，滿足安全等級(jí)保護(hù)三級(jí)要求。并構(gòu)建安全態(tài)勢(shì)感知平臺(tái)，能夠通過(guò)圖形化分析和展示網(wǎng)絡(luò)安全狀況。部署云運(yùn)維管理平臺(tái)，圖形化展示業(yè)務(wù)運(yùn)行狀況對(duì)港鐵AFC云數(shù)據(jù)中心所有IT資源實(shí)現(xiàn)全局納管，統(tǒng)一監(jiān)控，集中維護(hù)，有效排障；能夠?qū)崿F(xiàn)對(duì)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、安全、操作系統(tǒng)、應(yīng)用、數(shù)據(jù)庫(kù)、中間件等的統(tǒng)一監(jiān)控，并可通過(guò)數(shù)據(jù)建模，以業(yè)務(wù)為視角，通過(guò)業(yè)務(wù)健康度、繁忙度和可用度等指標(biāo)，直觀展示業(yè)務(wù)的運(yùn)行狀況，一旦健康度下降，可通過(guò)圖形化界面快速定位和分析故障原因。項(xiàng)目設(shè)計(jì)原則統(tǒng)一規(guī)范由于云計(jì)算是一個(gè)復(fù)雜的體系，本項(xiàng)目設(shè)計(jì)遵循在統(tǒng)一的框架體系下，參考國(guó)際國(guó)內(nèi)各方面的標(biāo)準(zhǔn)與規(guī)范，嚴(yán)格遵從各項(xiàng)技術(shù)規(guī)定，做好系統(tǒng)的標(biāo)準(zhǔn)化設(shè)計(jì)與施工。成熟穩(wěn)定由于云計(jì)算的發(fā)展變化很快，而本項(xiàng)目建設(shè)時(shí)間緊，涉及面廣，應(yīng)用性強(qiáng)，因此本項(xiàng)目設(shè)計(jì)，選成熟穩(wěn)定的技術(shù)和產(chǎn)品，充分考慮冗余、容錯(cuò)能力；合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制定可靠的網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)備份策略，保障故障自愈能力，最大限度支持港鐵AFC系統(tǒng)正常運(yùn)行，確保建成的港鐵AFC云服務(wù)的連續(xù)性，同時(shí)節(jié)約項(xiàng)目施工時(shí)間。高可用性關(guān)鍵設(shè)備和鏈路采取冗余設(shè)計(jì)，保障在設(shè)備或鏈路出現(xiàn)故障的情況下，服務(wù)不間斷；同時(shí)，綜合利用大二層遷移、數(shù)據(jù)遠(yuǎn)程復(fù)制等技術(shù)實(shí)現(xiàn)港鐵AFC云數(shù)據(jù)中心與同城容災(zāi)中心、以及未來(lái)異地容災(zāi)中心間的業(yè)務(wù)及數(shù)據(jù)備份，保障在數(shù)據(jù)中心在不同程度故障的情況下業(yè)務(wù)能夠快速切換，不影響用戶業(yè)務(wù)。業(yè)務(wù)需求快速響應(yīng)通過(guò)部署具備云業(yè)務(wù)自動(dòng)化管理的云平臺(tái)，自動(dòng)提醒相關(guān)人員對(duì)業(yè)務(wù)部門提交的需求電子流進(jìn)行需求審核，并為業(yè)務(wù)部門創(chuàng)建、分配相應(yīng)虛擬機(jī)資源，無(wú)需傳統(tǒng)數(shù)據(jù)中心硬件設(shè)備選型、采購(gòu)、上線、配置等復(fù)雜流程，實(shí)現(xiàn)業(yè)務(wù)上線時(shí)間最短可達(dá)半小時(shí)，大大提升數(shù)據(jù)中心對(duì)業(yè)務(wù)部門的響應(yīng)速度。運(yùn)維高效通過(guò)建設(shè)集設(shè)備管理、業(yè)務(wù)管理、狀態(tài)監(jiān)控、事件分析于一體的云運(yùn)維管理平臺(tái)，降低運(yùn)維復(fù)雜度和系統(tǒng)故障率，提升故障定位及恢復(fù)效率。擴(kuò)展靈活選用具備冗余業(yè)務(wù)插槽、支持功能和性能靈活擴(kuò)展的設(shè)備，實(shí)現(xiàn)在不影響現(xiàn)有業(yè)務(wù)的前提下進(jìn)行網(wǎng)絡(luò)擴(kuò)容，滿足不斷增長(zhǎng)的業(yè)務(wù)對(duì)數(shù)據(jù)中心功能和性能擴(kuò)展的需求。全方位安全防御港鐵AFC云數(shù)據(jù)中心方案設(shè)計(jì)是以公安部《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》和《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》為指導(dǎo)，從網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)等多層面綜合考慮，建設(shè)全方位安全防御體系。方案設(shè)計(jì)總體思路基于IaaS+PaaS云管理平臺(tái)建設(shè)的自動(dòng)化云數(shù)據(jù)中心設(shè)計(jì)本項(xiàng)目設(shè)計(jì)通過(guò)計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)及安全虛擬化系統(tǒng)建設(shè)的云數(shù)據(jù)中心，采用云管理平臺(tái)進(jìn)行資源的統(tǒng)一管理，并提供自助式的云服務(wù)，能有效實(shí)現(xiàn)港鐵AFC信息系統(tǒng)的技術(shù)標(biāo)準(zhǔn)化和管理規(guī)范化，為港鐵AFC信息系統(tǒng)提供更好的支撐。云管理平臺(tái)設(shè)計(jì)在虛擬化技術(shù)的支撐下，對(duì)包括計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)資源、應(yīng)用資源等在內(nèi)的基礎(chǔ)架構(gòu)及應(yīng)用軟件進(jìn)行管理，實(shí)現(xiàn)按需的、自動(dòng)化的、可計(jì)量的對(duì)基礎(chǔ)架構(gòu)資源進(jìn)行分配，并可交付開發(fā)語(yǔ)言環(huán)境及應(yīng)用軟件等PaaS資源，對(duì)應(yīng)用關(guān)聯(lián)關(guān)系進(jìn)行編排等；同時(shí)，實(shí)現(xiàn)對(duì)IaaS層及PaaS層資源使用情況和健康情況進(jìn)行監(jiān)控和管理?；谲浖x+網(wǎng)絡(luò)虛擬化動(dòng)態(tài)靈活的云網(wǎng)融合設(shè)計(jì)云數(shù)據(jù)中心引入服務(wù)器虛擬化技術(shù)后，對(duì)網(wǎng)絡(luò)要求大二層設(shè)計(jì)，傳統(tǒng)的VLAN技術(shù)存在跨三層網(wǎng)絡(luò)的限制（特別是在跨數(shù)據(jù)中心），無(wú)法做到二層透?jìng)?，而基于新一代VxLAN技術(shù)可實(shí)現(xiàn)三層網(wǎng)絡(luò)透?jìng)鳎谖锢砭W(wǎng)絡(luò)上疊加一個(gè)軟件定義的邏輯網(wǎng)絡(luò)，物理網(wǎng)絡(luò)不變，通過(guò)定義其上的邏輯網(wǎng)絡(luò)，實(shí)現(xiàn)跨三層網(wǎng)絡(luò)的二層透?jìng)?，從而大二層網(wǎng)絡(luò)的擴(kuò)展問(wèn)題。軟件定義+網(wǎng)絡(luò)虛擬化利用標(biāo)準(zhǔn)的VxLAN+EVPN協(xié)議，通過(guò)軟件定義控制器與VxLAN交換機(jī)來(lái)捕獲云環(huán)境中新上線虛擬機(jī)所發(fā)出的報(bào)文，再根據(jù)捕獲到的報(bào)文特征來(lái)感知虛擬機(jī)啟動(dòng)或遷移事件與虛擬機(jī)接入位置。基于這一技術(shù)，可以將獲取到的虛擬機(jī)位置信息通知軟件定義網(wǎng)絡(luò)控制器，軟件定義網(wǎng)絡(luò)控制器進(jìn)而在網(wǎng)絡(luò)設(shè)備上自動(dòng)下發(fā)虛擬機(jī)相關(guān)的網(wǎng)絡(luò)策略，實(shí)現(xiàn)網(wǎng)絡(luò)自動(dòng)配置，讓虛擬機(jī)上的業(yè)務(wù)能夠被正確地訪問(wèn)，這一過(guò)程全部是自動(dòng)化處理的，從而保證了網(wǎng)絡(luò)配置的正確性與快速下發(fā)，實(shí)現(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)感知虛擬機(jī)遷移，實(shí)現(xiàn)網(wǎng)絡(luò)策略的動(dòng)態(tài)跟隨，真正實(shí)現(xiàn)云、網(wǎng)融合。基于軟件定義的信息安全與基礎(chǔ)資源動(dòng)態(tài)調(diào)度設(shè)計(jì)虛擬化和云的引入，形成計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)及安全資源池，資源池化后網(wǎng)絡(luò)邊界模糊，需要引入新的技術(shù)解決虛擬化環(huán)境的隔離能力，并且能夠?qū)崿F(xiàn)資源池的基礎(chǔ)資源能夠在不同租戶間的動(dòng)態(tài)調(diào)度能力?；谲浖x技術(shù)，通過(guò)將計(jì)算資源、存儲(chǔ)資源、網(wǎng)絡(luò)及安全資源分配給不同租戶，構(gòu)成虛擬云平臺(tái)，虛擬云平臺(tái)之間可以實(shí)現(xiàn)有效的、安全的隔離，使之符合安全等保(等保三級(jí))的要求；并且通過(guò)云管理平臺(tái)能夠?qū)崿F(xiàn)基礎(chǔ)資源在不同的虛擬數(shù)據(jù)中心間靈活調(diào)度，真正實(shí)現(xiàn)云計(jì)算數(shù)據(jù)中心資源的動(dòng)態(tài)、按需的分配/調(diào)度和提供資源，為港鐵AFC業(yè)務(wù)系統(tǒng)彈性自動(dòng)化擴(kuò)展提供支撐。

總體方案架構(gòu)設(shè)計(jì)港鐵AFC云平臺(tái)架構(gòu)設(shè)計(jì)港鐵AFC云數(shù)據(jù)中心云平臺(tái)總計(jì)架構(gòu)H3C設(shè)計(jì)，包含計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、安全等底層基礎(chǔ)設(shè)施資源池，通過(guò)資源池化軟件（H3CCAS計(jì)算虛擬化、H3CONEStor存儲(chǔ)虛擬化、H3CVCFC網(wǎng)絡(luò)虛擬化、H3C安全虛擬化等），將IT基礎(chǔ)設(shè)施邏輯成資源池，并通過(guò)上層云管理平臺(tái)進(jìn)行管理，為港鐵AFC業(yè)務(wù)提供IaaS+PaaS層云服務(wù)，并提供云安全、云運(yùn)營(yíng)和云運(yùn)維服務(wù)。如下圖所示：新建云數(shù)據(jù)中心架構(gòu)設(shè)計(jì)深圳地鐵4號(hào)線AFC系統(tǒng)云化改造工程建設(shè)基于云計(jì)算技術(shù)的融合統(tǒng)一業(yè)務(wù)平臺(tái)，承載自動(dòng)售檢票AFC系統(tǒng)的中心計(jì)算機(jī)系統(tǒng)、車站計(jì)算機(jī)系統(tǒng)、互聯(lián)網(wǎng)二維碼乘車系統(tǒng)、銀聯(lián)卡乘車等子系統(tǒng)。1) 建設(shè)自動(dòng)售檢票AFC系統(tǒng)云平臺(tái)，相關(guān)數(shù)據(jù)在控制中心集中收集、處理、存儲(chǔ)；部署統(tǒng)一的運(yùn)維管理系統(tǒng)；部署統(tǒng)一的云安全資源池。2) 云平臺(tái)提供虛擬機(jī)和容器資源供業(yè)務(wù)系統(tǒng)使用。3) 部署云平臺(tái)安全管理系統(tǒng)，云平臺(tái)系統(tǒng)應(yīng)滿足三級(jí)等保要求。4) 在控制中心統(tǒng)一設(shè)置云計(jì)算平臺(tái)展示系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)分析展示、云平臺(tái)管理展示、IT系統(tǒng)監(jiān)控展示等功能。5) 所有網(wǎng)絡(luò)，安全，服務(wù)器等基礎(chǔ)設(shè)施需要被云平臺(tái)統(tǒng)一納管和調(diào)用。本項(xiàng)目融合云平臺(tái)總體邏輯架構(gòu)如下圖所示，主要由車站的數(shù)據(jù)采集、接入，骨干傳輸網(wǎng)絡(luò)，控制中心的基礎(chǔ)設(shè)施、云服務(wù)、應(yīng)用服務(wù)、展示等各層組成。圖2.1-1云平臺(tái)邏輯架構(gòu)圖1）數(shù)據(jù)采集層由車站各類售檢票設(shè)備組成，如iTVM/TVM、iAGM/AGM、BOM、AVM等，完成各類數(shù)據(jù)采集上報(bào)。2）接入設(shè)備層由車站接入交換機(jī)組成環(huán)網(wǎng)，接入各數(shù)據(jù)采集層設(shè)備及工作站。3）承載層由中心交換機(jī)與車站交換機(jī)組成的RRPP骨干環(huán)網(wǎng)，環(huán)網(wǎng)帶寬20G。此外還有第三方支付的出口專線，滿足互聯(lián)網(wǎng)購(gòu)票的需求。4）基礎(chǔ)設(shè)施層服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、安全等物理基礎(chǔ)設(shè)施，構(gòu)成融合資源池的基礎(chǔ)架構(gòu)。5）資源池層資源池層提供基礎(chǔ)的計(jì)算、存儲(chǔ)、安全和網(wǎng)絡(luò)虛擬化的能力。通過(guò)虛擬化軟件，對(duì)計(jì)算、存儲(chǔ)、安全、網(wǎng)絡(luò)等物理資源進(jìn)行虛擬化，提供統(tǒng)一的計(jì)算、存儲(chǔ)、安全、網(wǎng)絡(luò)資源池。云資源池層同時(shí)提供本地的基礎(chǔ)運(yùn)維能力，包括對(duì)本地基礎(chǔ)設(shè)施的告警、性能、拓?fù)浜捅O(jiān)控等。6）云服務(wù)層云服務(wù)層部署云平臺(tái)管理軟件，匹配業(yè)務(wù)場(chǎng)景，通過(guò)服務(wù)目錄實(shí)現(xiàn)資源的二級(jí)運(yùn)營(yíng)服務(wù)，如通過(guò)VDC服務(wù)進(jìn)行資源的靈活分配；VDC內(nèi)部通過(guò)云主機(jī)服務(wù)、云存儲(chǔ)服務(wù)、彈性IP服務(wù)、物理機(jī)服務(wù)等提供自助資源發(fā)放，實(shí)現(xiàn)IaaS。對(duì)于上層AFC系統(tǒng)軟件的微服務(wù)架構(gòu)，云服務(wù)層還必須提供PaaS容器功能。為方便管理，IaaS和PaaS必須在同一平臺(tái)下提供。9）展示層提供HMI、Portal展示服務(wù)。云平臺(tái)主要承載4號(hào)線及后續(xù)可能擴(kuò)容的其他線路AFC業(yè)務(wù)應(yīng)用系統(tǒng)。深圳城市軌道交通4號(hào)線AFC系統(tǒng)采用云計(jì)算模式進(jìn)行建設(shè)，主要采用服務(wù)器虛擬化、網(wǎng)絡(luò)虛擬化、云安全和云計(jì)算管理技術(shù)構(gòu)建易于管理、動(dòng)態(tài)高效、靈活擴(kuò)展、穩(wěn)定可靠、按需使用的云計(jì)算模式的數(shù)據(jù)中心。服務(wù)器/網(wǎng)絡(luò)/存儲(chǔ)/安全虛擬化主要為各業(yè)務(wù)系統(tǒng)提供計(jì)算/網(wǎng)絡(luò)/存儲(chǔ)/安全資源服務(wù)。港鐵AFC系統(tǒng)原互聯(lián)網(wǎng)絡(luò)架構(gòu)說(shuō)明：本次云平臺(tái)硬件架構(gòu)設(shè)計(jì)如下：整網(wǎng)提供業(yè)務(wù)區(qū)、安全資源和管理區(qū)，在安全資源區(qū)設(shè)置專門的安全資源池，承擔(dān)云內(nèi)部的安全防護(hù)區(qū)域。如上圖，從業(yè)務(wù)場(chǎng)景化及模塊化的角度，設(shè)計(jì)包含：關(guān)鍵業(yè)務(wù)區(qū)（AFC小型機(jī)數(shù)據(jù)庫(kù)）、業(yè)務(wù)區(qū)（二維碼乘車、金融IC卡、深圳通二維碼等）、云管理區(qū)（云平臺(tái)、云運(yùn)維平臺(tái)、SDN控制平臺(tái)、堡壘機(jī)等運(yùn)維安全平臺(tái)）、測(cè)試培訓(xùn)中心（業(yè)務(wù)測(cè)試及業(yè)務(wù)培訓(xùn)等），技術(shù)架構(gòu)上，包含網(wǎng)絡(luò)資源池架構(gòu)、計(jì)算資源池架構(gòu)、存儲(chǔ)資源池架構(gòu)（含對(duì)象存儲(chǔ)及NAS存儲(chǔ)）、安全資源池架構(gòu)、以及云管理架構(gòu)。考慮對(duì)云數(shù)據(jù)中心的可視化、強(qiáng)管控，配備一套云運(yùn)維管理平臺(tái)，實(shí)現(xiàn)對(duì)云數(shù)據(jù)中心的IT基礎(chǔ)設(shè)施的統(tǒng)一管理。為保證數(shù)據(jù)可靠性，設(shè)計(jì)包含容災(zāi)解決方案，配備一套備份系統(tǒng)，實(shí)現(xiàn)對(duì)操作系統(tǒng)、業(yè)務(wù)數(shù)據(jù)和虛擬機(jī)鏡像文件的備份。詳細(xì)設(shè)計(jì)方案云管理平臺(tái)設(shè)計(jì)方案云管理平臺(tái)架構(gòu)設(shè)計(jì)港鐵AFC云管理平臺(tái)設(shè)計(jì)，采用H3CloudOS云管理平臺(tái)，基于Openstack體系架構(gòu)，是一套可根據(jù)港鐵AFC實(shí)際業(yè)務(wù)需求而進(jìn)行深度定制的云管理平臺(tái)，在繼承原有OpenStack架構(gòu)靈活、擴(kuò)展性強(qiáng)、開放性和兼容度高的基礎(chǔ)上，強(qiáng)化系統(tǒng)穩(wěn)定性和可靠性?；谧鈶舻綉?yīng)用的端到端的云服務(wù)配置和管理，將用戶申請(qǐng)的服務(wù)組裝成服務(wù)鏈，統(tǒng)一管理和配置。通過(guò)對(duì)租戶的分級(jí)管理，實(shí)現(xiàn)了私有云多級(jí)資源分配的要求，通過(guò)定制個(gè)性化的展示界面以及與港鐵AFC現(xiàn)有業(yè)務(wù)流程對(duì)接。云管理平臺(tái)整體框架如下：云管理平臺(tái)是云業(yè)務(wù)的管理中心，可以融合資源池化、生命周期管理、業(yè)務(wù)中間件管理、租戶管理、身份認(rèn)證、安全管理、計(jì)費(fèi)與賬務(wù)、服務(wù)運(yùn)營(yíng)、業(yè)務(wù)流程自動(dòng)化等內(nèi)容，是調(diào)度、管理云資源必不可少的手段。自服務(wù)門戶云門戶portal為港鐵AFC云數(shù)據(jù)中心資源用戶申請(qǐng)、管理員審核、資源狀態(tài)監(jiān)控、費(fèi)用清單等提供統(tǒng)一的入口，界面如下圖所示：模塊：首頁(yè)：顯示代辦流程、我的流程、費(fèi)用情況、資源監(jiān)控、通知公告等資源申請(qǐng)流程：資源申請(qǐng)、資源變更、我的流程、代辦流程、已辦流程監(jiān)控管理：以項(xiàng)目為單位，監(jiān)控所有資源的運(yùn)行狀態(tài)；費(fèi)用清單：按月、季度、年統(tǒng)計(jì)資源計(jì)費(fèi)情況；系統(tǒng)管理：為系統(tǒng)管理員管理用戶信息。云服務(wù)目錄港鐵AFC云平臺(tái)H3C設(shè)計(jì)具有強(qiáng)大的資源抽象和提供能力，能夠?qū)?shù)據(jù)中心中IT資源以云服務(wù)的方式向用戶提供，可以將傳統(tǒng)數(shù)據(jù)中心中計(jì)算、網(wǎng)絡(luò)、存儲(chǔ)、安全、應(yīng)用等資源作為云資源向用戶發(fā)布，以云服務(wù)目錄的形式呈現(xiàn)，服務(wù)目錄中包括：云主機(jī)、裸金屬、云存儲(chǔ)、云網(wǎng)絡(luò)、云安全組、彈性IP、云防火墻、云負(fù)載均衡、云IPS、VDC編排等IaaS層云服務(wù)，以及PaaS層云服務(wù)，包括Oracle、MySQL、SQLServer等PaaS層云服務(wù)。云租戶管理 H3CloudOS云管理平臺(tái)搭建完成以后，需經(jīng)過(guò)一些初始化配置。由云管理員完成創(chuàng)建組織/租戶，分配資源限額、定義審批流程和權(quán)限等操作以后，租戶就能通過(guò)Portal門戶申請(qǐng)?jiān)瀑Y源，在審批完成以后由云管理平臺(tái)自動(dòng)完成資源開通，交付給租戶使用。租戶可通過(guò)Portal對(duì)所申請(qǐng)資源進(jìn)行自主的管控。組織架構(gòu)定義是云管理平臺(tái)的基礎(chǔ)，幾乎所有的云管理平臺(tái)需求都涉及用戶和組織關(guān)系，這里牽涉到適應(yīng)集團(tuán)租戶不同的定制需求。云管理平臺(tái)支持定制多級(jí)組織嵌套，每級(jí)組織都會(huì)劃分自己的資源（CPU、內(nèi)存、存儲(chǔ)、網(wǎng)絡(luò)等）和用戶。提供了多種用戶的角色，功能視角也不同。運(yùn)維管理人員專注于對(duì)池化資源的部署分發(fā)、服務(wù)編排、應(yīng)用監(jiān)控，定制流程和計(jì)費(fèi)模板。IT主管作為私有云的管理員，關(guān)注云容量的規(guī)劃、服務(wù)的質(zhì)量評(píng)價(jià)、計(jì)費(fèi)營(yíng)賬報(bào)表以及績(jī)效考核等。對(duì)于終端用戶，更關(guān)心vDC服務(wù)的申請(qǐng)、流程審批、工單問(wèn)答以及實(shí)時(shí)賬單等。用戶通過(guò)網(wǎng)絡(luò)進(jìn)行二層隔離，每個(gè)網(wǎng)絡(luò)都設(shè)定了VxLAN標(biāo)識(shí)和IP地址池規(guī)劃。用戶可以使用多個(gè)網(wǎng)絡(luò)以支持不同場(chǎng)景的業(yè)務(wù)和隔離需求。例如在SAP中，我們定義生產(chǎn)流程為4個(gè)階段：開發(fā)、測(cè)試、預(yù)生產(chǎn)和正式運(yùn)行。用戶可以將處在不同階段的應(yīng)用部署在不同的隔離網(wǎng)絡(luò)中，通過(guò)應(yīng)用遷移實(shí)現(xiàn)階段和環(huán)境的推進(jìn)。云計(jì)費(fèi)管理云管理平臺(tái)針對(duì)服務(wù)類型和服務(wù)時(shí)間提供靈活的計(jì)費(fèi)方式。兩種策略可以不同。計(jì)費(fèi)策略自定義，基于云服務(wù)(主機(jī)、存儲(chǔ)、網(wǎng)絡(luò)、安全、容器、數(shù)據(jù)庫(kù)、應(yīng)用等)對(duì)資產(chǎn)進(jìn)行數(shù)據(jù)采集、計(jì)量、預(yù)處理，提供賬單、結(jié)算報(bào)表。計(jì)費(fèi)策略可以定制結(jié)算周期，最小計(jì)費(fèi)單位等。整個(gè)云數(shù)據(jù)中心有一個(gè)基本使用費(fèi)用（類似月租費(fèi)），然后加上各個(gè)資源申請(qǐng)使用的單個(gè)計(jì)費(fèi)。各個(gè)計(jì)費(fèi)資源，例如CPU，也有初始基本費(fèi)用和后續(xù)遞增費(fèi)用。云訂單管理港鐵AFC內(nèi)部用戶以項(xiàng)目為單位在H3CloudOS云管理平臺(tái)上可以申請(qǐng)?jiān)瀑Y源，用戶填寫完申請(qǐng)單，生成業(yè)務(wù)訂單，提交到資源審核管理員，啟動(dòng)資源申請(qǐng)流程，一直到資源申請(qǐng)流程結(jié)束，管理員可以啟動(dòng)開通資源，創(chuàng)建實(shí)際的資源。服務(wù)流程管理云服務(wù)使用流程除了傳統(tǒng)的購(gòu)買單個(gè)主機(jī)vHost、單個(gè)應(yīng)用vApp功能外，H3CloudOS云管理平臺(tái)重點(diǎn)體現(xiàn)的是定制vDC服務(wù)。通過(guò)服務(wù)編排打通端網(wǎng)云，生成以應(yīng)用為中心的虛擬數(shù)據(jù)中心服務(wù)模板，根據(jù)業(yè)務(wù)需要，每個(gè)業(yè)務(wù)都可邏輯出一整套虛擬數(shù)據(jù)中心環(huán)境，實(shí)現(xiàn)業(yè)務(wù)與業(yè)務(wù)之間的強(qiáng)隔離，并對(duì)服務(wù)的生命周期進(jìn)行管理，滿足等保要求。云服務(wù)的申請(qǐng)與審批審批是港鐵AFC最常見的流程，同時(shí)也是個(gè)性化最強(qiáng)的業(yè)務(wù)，需要讓H3CloudOS云管理平臺(tái)服務(wù)申請(qǐng)的審批能適應(yīng)港鐵AFC不同部門的需要。本方案設(shè)計(jì)服務(wù)流程管理工具將審批定義為包含多個(gè)有序任務(wù)的流，可以定制不同的流程模板，模板支持多級(jí)審批，可以定制個(gè)性化的審批頁(yè)面，最大程度滿足不同部門的定制化需求。用戶可以將模板與對(duì)應(yīng)的審批流程綁定，不同的審批可以綁定不同的定制流程，審批通過(guò)后，即可創(chuàng)建相關(guān)云服務(wù)及資源。系統(tǒng)管理系統(tǒng)管理是對(duì)系統(tǒng)的一些全局信息進(jìn)行統(tǒng)一的管理和使用，包括日志管理、統(tǒng)計(jì)報(bào)表、角色管理、權(quán)限管理、系統(tǒng)公告和運(yùn)維管理。日志管理能夠?qū)Ω黝愊到y(tǒng)日志進(jìn)行記錄和管理，包括各種非流程控制的配置數(shù)據(jù)的變動(dòng)歷史，包括各種參數(shù)的配置、各種基礎(chǔ)數(shù)據(jù)的修改等。并支持用戶操作日志和管理平臺(tái)運(yùn)行日志數(shù)據(jù)的采集和分析，為運(yùn)維管理和審計(jì)工作提供依據(jù)。統(tǒng)計(jì)報(bào)表以H3CloudOS云管理平臺(tái)中的各種信息為基礎(chǔ)，根據(jù)云管理平臺(tái)使用者的需求，實(shí)時(shí)或周期性的生成各類報(bào)表，以可視化圖表的形式進(jìn)行展示，并可提供模板定制、數(shù)據(jù)導(dǎo)出等功能。角色管理云管理平臺(tái)能夠?qū)崿F(xiàn)角色的創(chuàng)建、查詢和刪除，角色權(quán)限定義、查詢和分配等功能，以便于實(shí)現(xiàn)對(duì)不同角色的權(quán)限分配。權(quán)限管理為保證系統(tǒng)的安全，對(duì)不用的用戶進(jìn)行分角色、分級(jí)別的設(shè)置，并為其賦予不同的使用權(quán)限。權(quán)限管理對(duì)角色信息進(jìn)行管理，包括角色的定義，角色信息的維護(hù)及對(duì)角色進(jìn)行系統(tǒng)相關(guān)菜單及按鈕訪問(wèn)權(quán)限設(shè)置，同時(shí)對(duì)數(shù)據(jù)可訪問(wèn)范圍進(jìn)行劃分，并對(duì)劃分后的信息進(jìn)行維護(hù)。如全局管理員擁有系統(tǒng)最大的管理權(quán)限，可以對(duì)系統(tǒng)進(jìn)行配置，賬戶管理，權(quán)限管理。租戶管理員擁有對(duì)該租戶對(duì)應(yīng)資源的最大管理權(quán)限，可以在所屬資源內(nèi)進(jìn)行帳號(hào)和權(quán)限的管理。系統(tǒng)公告系統(tǒng)公告用于在本系統(tǒng)中錄入公告信息，并發(fā)送給各租戶部門或單位管理人員及維護(hù)人員。系統(tǒng)配置系統(tǒng)的運(yùn)行需要與實(shí)際的環(huán)境要求相一致，實(shí)際環(huán)境的配置應(yīng)該可以通過(guò)界面進(jìn)行簡(jiǎn)單的配置來(lái)完成。系統(tǒng)的基本配置應(yīng)包括：時(shí)區(qū)配置，多語(yǔ)言支持的配置，NTP服務(wù)器配置，系統(tǒng)日志等級(jí)配置，會(huì)話超時(shí)間隔設(shè)置，監(jiān)控時(shí)間間隔。IaaS層服務(wù)設(shè)計(jì)云主機(jī)服務(wù)云主機(jī)服務(wù)是港鐵AFC云在基礎(chǔ)設(shè)施應(yīng)用上的重要組成部分。港鐵AFC云中云主機(jī)服務(wù)方案設(shè)計(jì)是讓港鐵AFC完全控制自己的計(jì)算資源，當(dāng)計(jì)算資源需求發(fā)生改變時(shí)，可以按照港鐵AFC云提供的資源套餐隨時(shí)進(jìn)行計(jì)算資源的提升。云主機(jī)服務(wù)整合了對(duì)于港鐵AFC云主機(jī)服務(wù)的常用管理功能，通過(guò)云主機(jī)服務(wù)可以看到云主機(jī)服務(wù)的配置信息，而且可以對(duì)云主機(jī)服務(wù)執(zhí)行重啟、關(guān)機(jī)、啟動(dòng)、銷毀、遠(yuǎn)程連接等操作。而且還可以隨時(shí)查看最近八小時(shí)、最近一天、最近兩周、最近一月和最近半年的云主機(jī)服務(wù)的監(jiān)控信息，監(jiān)控信息包括：CPU利用率、內(nèi)存利用率、磁盤IO和網(wǎng)絡(luò)流量。云主機(jī)的規(guī)格可按如下設(shè)置（后續(xù)根據(jù)實(shí)際詳細(xì)調(diào)研需求再進(jìn)行自定義）：云主機(jī)及操作系統(tǒng)一核2GBlinux系統(tǒng)盤不低于20G，Windows系統(tǒng)盤不低于40G4GB兩核4GB8GB四核8GB12GB16GB八核16GB24GB32GB云主機(jī)概述云主機(jī)是以虛擬機(jī)的形式運(yùn)行的鏡像副本。基于一個(gè)鏡像，您可以創(chuàng)建任意數(shù)量的主機(jī)。在創(chuàng)建主機(jī)時(shí)，需要指明CPU和內(nèi)存的配置。CPU、內(nèi)存的數(shù)量可以選擇，也允許在主機(jī)創(chuàng)建之后隨時(shí)再行調(diào)整。云主機(jī)的功能包括：云主機(jī)列表、創(chuàng)建云主機(jī)、云主機(jī)的操作列表、云主機(jī)的監(jiān)控信息和費(fèi)用報(bào)告。云主機(jī)的列表：租戶登錄云管理平臺(tái)后，可以查看所有自己管理的主機(jī)列表，查看云主機(jī)信息包括：所屬用戶、名稱、狀態(tài)、內(nèi)網(wǎng)IP、鏡像模板、規(guī)格類型、網(wǎng)絡(luò)、運(yùn)行時(shí)間和遠(yuǎn)程登錄主機(jī)。云主機(jī)通過(guò)集群技術(shù)保障高可用，當(dāng)云主機(jī)所在的物理服務(wù)器故障時(shí)，可快速切換到其他狀態(tài)正常的服務(wù)器上，切換時(shí)間小于5分鐘。通過(guò)動(dòng)態(tài)資源調(diào)度技術(shù)自動(dòng)進(jìn)行負(fù)載均衡，云主機(jī)可在線自動(dòng)遷移到其他物理服務(wù)器上，期間應(yīng)用不會(huì)產(chǎn)生任何影響。自定義鏡像鏡像是一個(gè)包含了軟件及必要配置的機(jī)器模版。作為基礎(chǔ)軟件，操作系統(tǒng)是必須的，還可以根據(jù)自己的需求將任何應(yīng)用軟件（比如，數(shù)據(jù)庫(kù)、中間件等）放入鏡像中。鏡像分為兩類。其一是系統(tǒng)提供的，稱之為“系統(tǒng)鏡像”，包括了各種Linux、Windows等操作系統(tǒng)，各系統(tǒng)鏡像的初始本地終端用戶名和密碼均可在各鏡像的詳情描述中找到。其二是用戶通過(guò)捕獲一個(gè)主機(jī)來(lái)自行創(chuàng)建的，稱之為“自有鏡像”。系統(tǒng)鏡像全局可見可用，自有鏡像只有用戶本人可見可用。幫助用戶一次性開通多臺(tái)已完全拷貝相同操作系統(tǒng)及環(huán)境數(shù)據(jù)等的云服務(wù)器，以便滿足彈性擴(kuò)容的業(yè)務(wù)需求。裸金屬服務(wù)對(duì)于某些對(duì)系統(tǒng)資源消耗過(guò)大或不支持虛擬化部署的業(yè)務(wù)，需要將應(yīng)用部署到裸金屬服務(wù)器（即：物理服務(wù)器）上，H3CloudOS云管理平臺(tái)可統(tǒng)一管理物理服務(wù)器資源，用戶通過(guò)云管理平臺(tái)進(jìn)行資源申請(qǐng)，云平臺(tái)與網(wǎng)絡(luò)管理軟件的聯(lián)動(dòng)，由網(wǎng)絡(luò)管理軟件與服務(wù)器專有管理接口（如iLO接口）對(duì)接，實(shí)現(xiàn)物理服務(wù)器基礎(chǔ)環(huán)境的部署，包括操作系統(tǒng)安裝和物理服務(wù)器的監(jiān)控。云存儲(chǔ)服務(wù)云存儲(chǔ)概述本方案設(shè)計(jì)云存儲(chǔ)提供塊和對(duì)象存儲(chǔ)服務(wù)。云存儲(chǔ)將網(wǎng)絡(luò)中各類x86服務(wù)器的硬盤通過(guò)應(yīng)用軟件集合起來(lái)協(xié)同工作，對(duì)外提供數(shù)據(jù)存儲(chǔ)和業(yè)務(wù)訪問(wèn)功能的一個(gè)系統(tǒng)。云存儲(chǔ)的核心是將數(shù)據(jù)通路（數(shù)據(jù)讀或?qū)懀┖涂刂仆罚ㄔ獢?shù)據(jù)）分離，并且基于對(duì)象存儲(chǔ)設(shè)備構(gòu)建存儲(chǔ)系統(tǒng)，每個(gè)對(duì)象存儲(chǔ)設(shè)備具有一定的智能，能夠自動(dòng)管理其上的數(shù)據(jù)分布。兼顧對(duì)象存儲(chǔ)同兼具SAN高速直接訪問(wèn)磁盤特點(diǎn)及NAS的分布式共享特點(diǎn)。云存儲(chǔ)底層分布式存儲(chǔ)本方案設(shè)計(jì)采用H3CONEStor分布式存儲(chǔ)，其底層分為對(duì)象、對(duì)象存儲(chǔ)設(shè)備、元數(shù)據(jù)服務(wù)器、對(duì)象存儲(chǔ)系統(tǒng)的客戶端（或者瀏覽器）這幾部分。云存儲(chǔ)服務(wù)是在云中的、可無(wú)縫擴(kuò)容的、高可靠而廉價(jià)的存儲(chǔ)服務(wù)。它能讓港鐵AFC不用關(guān)心底層的存儲(chǔ)技術(shù)，也不用關(guān)心存儲(chǔ)資源擴(kuò)容問(wèn)題，直接通過(guò)調(diào)用海量的存儲(chǔ)資源，為應(yīng)用提供塊和對(duì)象存儲(chǔ)接口，用于存儲(chǔ)數(shù)據(jù)。云存儲(chǔ)還提供了快照服務(wù)。快照用于在塊設(shè)備級(jí)別上進(jìn)行基于時(shí)間點(diǎn)的硬盤備份與恢復(fù)，可以同時(shí)對(duì)多張硬盤做快照（包括系統(tǒng)盤和數(shù)據(jù)盤）。一張硬盤可以有多個(gè)快照，可以隨時(shí)從任意一個(gè)備份點(diǎn)恢復(fù)數(shù)據(jù)。云存儲(chǔ)特性對(duì)象存儲(chǔ)具有很多先進(jìn)的特性：建立在分布式架構(gòu)之上，可用性大于等于99.9%，數(shù)據(jù)持久性大于等于99.99999999%根據(jù)系統(tǒng)實(shí)際情況，方案可靈活支撐系統(tǒng)擴(kuò)容。擴(kuò)容包括3方面：流數(shù)據(jù)擴(kuò)容、元數(shù)據(jù)擴(kuò)容、業(yè)務(wù)系統(tǒng)擴(kuò)容；無(wú)文件數(shù)量限制支持部署MySql數(shù)據(jù)庫(kù)，單庫(kù)容量達(dá)1TB支持部署Hbase，單表存儲(chǔ)空間達(dá)100TB支持文檔、視頻、音頻、圖片等類型的對(duì)象存儲(chǔ)。文件大小可達(dá)5TB通過(guò)分布式存儲(chǔ)技術(shù)實(shí)現(xiàn)三份副本，單臺(tái)服務(wù)器故障不會(huì)導(dǎo)致數(shù)據(jù)丟失。云網(wǎng)絡(luò)服務(wù)本方案設(shè)計(jì)云網(wǎng)絡(luò)提供了兩種組網(wǎng)方式：基礎(chǔ)網(wǎng)絡(luò)、私有網(wǎng)絡(luò)（基于VLAN或者VxLAN）。前者是一個(gè)由系統(tǒng)維護(hù)的全局網(wǎng)絡(luò)；后者是組織管理員各自自行組建的網(wǎng)絡(luò)，即采用SDN+VxLAN技術(shù)構(gòu)建Overlay網(wǎng)絡(luò)為每個(gè)業(yè)務(wù)系統(tǒng)提供一張獨(dú)立的邏輯隔離的網(wǎng)絡(luò)?；A(chǔ)網(wǎng)絡(luò)的好處是簡(jiǎn)單、無(wú)需用戶做任何配置與管理，即可直接使用，但正因?yàn)樗侨志W(wǎng)絡(luò)，所以其安全保障是依靠防火墻來(lái)實(shí)現(xiàn)的。與之相對(duì)應(yīng)，私有網(wǎng)絡(luò)需要組織管理員創(chuàng)建并管理。但私有網(wǎng)絡(luò)之間是100%隔離的，以滿足業(yè)務(wù)系統(tǒng)對(duì)安全要求。私有網(wǎng)絡(luò)間使用路由器互聯(lián)，并可以控制外網(wǎng)地址對(duì)外映射。組織管理員可以配置私有的防火墻來(lái)保證私有網(wǎng)絡(luò)的安全。云網(wǎng)絡(luò)能夠快速搭建業(yè)務(wù)系統(tǒng)的云環(huán)境，并使用豐富的工具進(jìn)行自動(dòng)化管理。云防火墻服務(wù)在考慮港鐵AFC云數(shù)據(jù)中心整體安全防護(hù)的同時(shí)，也要關(guān)注針對(duì)不同業(yè)務(wù)個(gè)性化的安全防護(hù)需求，業(yè)務(wù)的個(gè)性化安全部署可以作為云安全服務(wù)提供給每個(gè)業(yè)務(wù)系統(tǒng)，在滿足需求的前提下，也要達(dá)到可運(yùn)維、可管理的目的。本方案設(shè)計(jì)H3CloudOS云管理平臺(tái)提供兩種模式的vFW服務(wù)可供選擇。通過(guò)高性能防火墻實(shí)現(xiàn)IaaS模型下vFW從運(yùn)維、成本、擴(kuò)展性的角度考慮，典型的部署模式為通過(guò)一臺(tái)實(shí)體或裸機(jī)的物理墻進(jìn)行1：N的虛擬化，將不同的虛擬墻提供給不同的業(yè)務(wù)，對(duì)于單個(gè)業(yè)務(wù)來(lái)講，就好像擁有了一臺(tái)獨(dú)立的具備一定處理能力的實(shí)體物理防火墻，有獨(dú)立的管理賬號(hào)，可以在獨(dú)立的管理界面，創(chuàng)建個(gè)性化的業(yè)務(wù)防護(hù)策略。同時(shí)作為一種可運(yùn)營(yíng)的資源，類似虛擬機(jī)一樣，能夠給虛墻進(jìn)行資源分配，邏輯的資源包括接口、VLAN，物理的資源包括CPU、內(nèi)存、存儲(chǔ)介質(zhì)等。虛墻之間要求數(shù)據(jù)隔離，并且在共享硬件能力的基礎(chǔ)上實(shí)現(xiàn)所分配能力的保障，也即不同虛墻之間不會(huì)出現(xiàn)相互侵占的問(wèn)題，從而能夠?qū)崿F(xiàn)不同的租戶的差異化SLA保證。在本項(xiàng)目中，在核心區(qū)域設(shè)計(jì)部署了兩臺(tái)高端出口防護(hù)系統(tǒng)設(shè)備H3CF5030，一方面通過(guò)這兩臺(tái)設(shè)備實(shí)現(xiàn)云平臺(tái)的整體安全防護(hù)；另一方面也通過(guò)在實(shí)體防火墻上進(jìn)行Context劃分，為每個(gè)申請(qǐng)安全服務(wù)的租戶提供獨(dú)立的vFW服務(wù)，租戶可在申請(qǐng)防火墻服務(wù)時(shí)，自主定義FW所需資源和性能指標(biāo)。租戶對(duì)防火墻申請(qǐng)成功后，會(huì)獨(dú)享這個(gè)vFW的資源，并且具備自己獨(dú)立配置、管理所租用vFW的權(quán)利。通過(guò)分布式軟件防火墻網(wǎng)關(guān)實(shí)現(xiàn)IaaS下的vFW隨著云計(jì)算虛擬化技術(shù)的發(fā)展，越來(lái)越多的云計(jì)算服務(wù)商開始采取純虛擬化的網(wǎng)絡(luò)安全解決方案來(lái)滿足云租戶的安全需求。云計(jì)算服務(wù)商往往有非常豐富的服務(wù)器計(jì)算資源，而軟件虛擬化安全網(wǎng)關(guān)的出現(xiàn)也為租戶自行運(yùn)維管理云中的安全服務(wù)提供了技術(shù)支撐，典型的部署模型就是VPC模型。云服務(wù)提供商給租戶提供虛擬機(jī)出租，云租戶可以通過(guò)在云中部署虛擬化安全網(wǎng)關(guān)如VFW，實(shí)現(xiàn)和二級(jí)企業(yè)的VPN互聯(lián)，使得遠(yuǎn)程用戶可以直接訪問(wèn)云中的服務(wù)器資源。通過(guò)這種方式企業(yè)可以把租用的計(jì)算資源作為港鐵AFC云數(shù)據(jù)中心的有效補(bǔ)充實(shí)現(xiàn)混合云，實(shí)現(xiàn)業(yè)務(wù)需求和成本的有效平衡。云負(fù)載均衡服務(wù)隨著WEB應(yīng)用的快速發(fā)展和業(yè)務(wù)量的不斷提高，基于HTTP/HTTPS的數(shù)據(jù)訪問(wèn)流量正在迅速增長(zhǎng)，對(duì)各行業(yè)數(shù)據(jù)中心、單位以及門戶網(wǎng)站等的訪問(wèn)甚至達(dá)到了10Gb/s的級(jí)別；同時(shí)，服務(wù)器網(wǎng)站借助HTTP、FTP、SMTP等應(yīng)用程序，為訪問(wèn)者提供了越來(lái)越豐富的內(nèi)容和信息，服務(wù)器逐漸被數(shù)據(jù)淹沒；另外，大部分網(wǎng)站（尤其電子商務(wù)等網(wǎng)站）都需要提供不間斷24小時(shí)服務(wù)，任何服務(wù)中斷或通信中的關(guān)鍵數(shù)據(jù)丟失都會(huì)造成直接的商業(yè)損失。所有這些都對(duì)應(yīng)用服務(wù)提出了高性能和高可靠性的需求。但是，相對(duì)于網(wǎng)絡(luò)技術(shù)的發(fā)展，服務(wù)器處理速度和內(nèi)存訪問(wèn)速度的增長(zhǎng)卻遠(yuǎn)遠(yuǎn)低于網(wǎng)絡(luò)帶寬和應(yīng)用服務(wù)的增長(zhǎng)，網(wǎng)絡(luò)帶寬增長(zhǎng)的同時(shí)帶來(lái)的用戶數(shù)量的增長(zhǎng)，也使得服務(wù)器資源消耗嚴(yán)重，因而服務(wù)器成為了網(wǎng)絡(luò)瓶頸。傳統(tǒng)的單機(jī)模式，也往往成為網(wǎng)絡(luò)故障點(diǎn)。在這種情況下負(fù)載均衡技術(shù)應(yīng)運(yùn)而生，負(fù)載均衡可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器帶寬的有效擴(kuò)展，充分利用多臺(tái)服務(wù)器的業(yè)務(wù)處理能力，通過(guò)合理的調(diào)度算法和健康檢查雙方，可以有效感知服務(wù)器的負(fù)載并將業(yè)務(wù)流量調(diào)度到最恰當(dāng)?shù)姆?wù)器上，從而提高網(wǎng)絡(luò)的靈活性和可用性。在本項(xiàng)目中，H3C設(shè)計(jì)部署了支持IaaS架構(gòu)的云負(fù)載均衡設(shè)備（通過(guò)H3CloudOS云管理平臺(tái)納管F5的負(fù)載均衡實(shí)現(xiàn)），能夠?yàn)槊總€(gè)業(yè)務(wù)提供獨(dú)立的vLB（虛擬負(fù)載均衡）功能，實(shí)現(xiàn)業(yè)務(wù)的安全隔離，vLB資源獨(dú)享也能夠保證業(yè)務(wù)負(fù)載均衡服務(wù)的性能。在為業(yè)務(wù)申請(qǐng)?jiān)曝?fù)載均衡服務(wù)時(shí)，可以根據(jù)業(yè)務(wù)系統(tǒng)的需要，合理定義負(fù)載均衡策略：吞吐量：100M~2G的吞吐量可自由定義，滿足業(yè)務(wù)系統(tǒng)和計(jì)費(fèi)需求；設(shè)置前端虛服務(wù)地址和后端實(shí)服務(wù)器地址，實(shí)服務(wù)動(dòng)態(tài)添加和刪除；針對(duì)選定的虛服務(wù)，可以選擇不同的業(yè)務(wù)類型：包括協(xié)議類型和端口，例如http協(xié)議，端口80；包括HTTP、IP、TCP和UDP等類型；選擇不同的均衡方式：主要有：輪轉(zhuǎn)算法，最小連接算法，源地址hash算法，目的地址hash算法；設(shè)置會(huì)話保持方式：會(huì)話保持方式包括源地址方法、源地址端口方法、目的地址方法、目的地址端口方法、源地址目的地址方法等；設(shè)置健康檢查算法：支持設(shè)定以下健康檢查算法，ICMP-echo、UDP-echo、TCP、FTP、SNMP、DNS、HTTP、ARP、IMAP、POP3、Radius、RTSP、SIP、SMTP、SSL等。vDC虛擬數(shù)據(jù)中心服務(wù)H3C方案設(shè)計(jì)可以為港鐵AFC各業(yè)務(wù)系統(tǒng)提供vDC（虛擬數(shù)據(jù)中心）服務(wù)，通過(guò)H3CloudOS云管理平臺(tái)實(shí)現(xiàn)基礎(chǔ)設(shè)施資源按需為業(yè)務(wù)系統(tǒng)提供。包括為業(yè)務(wù)提供云主機(jī)、云存儲(chǔ)、云網(wǎng)絡(luò)、云安全等虛擬基礎(chǔ)設(shè)施資源，基于這些虛擬資源，可以在云中可以按需為每個(gè)業(yè)務(wù)構(gòu)建虛擬數(shù)據(jù)中心，同時(shí)各業(yè)務(wù)的虛擬數(shù)據(jù)中心彼此安全隔離。虛擬數(shù)據(jù)中心（vDC）的最大好處就是可以讓租戶靈活部署自己的業(yè)務(wù)應(yīng)用，就像部署在自己的專屬數(shù)據(jù)中心內(nèi)部，擁有計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)虛擬實(shí)例完整的使用權(quán)和管理權(quán)。對(duì)于計(jì)算、存儲(chǔ)資源的虛擬化，目前的技術(shù)成熟度很高，使用也非常普遍。然而對(duì)于網(wǎng)絡(luò)安全資源的虛擬化技術(shù)實(shí)現(xiàn)，是構(gòu)建虛擬數(shù)據(jù)中心的重點(diǎn)和難點(diǎn)，通過(guò)硬件設(shè)備的1：N虛擬化技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)安全資源虛擬化。如下圖所示：圖硬件設(shè)備1：N虛擬化由于布線、歸屬等原因，目前的物理設(shè)備并不適合作為單個(gè)業(yè)務(wù)獨(dú)享的設(shè)備在云計(jì)算環(huán)境中部署。為了解決目前存在的問(wèn)題，需要一個(gè)既具備物理網(wǎng)絡(luò)設(shè)備的功能又適合于在多業(yè)務(wù)環(huán)境中部署的設(shè)備，NFV（NetworkFunctionVirtualisation,網(wǎng)絡(luò)功能虛擬化）應(yīng)用而生。本項(xiàng)目設(shè)計(jì)提供一系列NFV方案，應(yīng)用于vDC場(chǎng)景，運(yùn)行在標(biāo)準(zhǔn)X86服務(wù)器或虛擬機(jī)上，提供和物理設(shè)備相同的功能和體驗(yàn)，包括路由、防火墻、VPN、QoS、及配置管理等，同時(shí)充分利用虛擬平臺(tái)的特點(diǎn)，簡(jiǎn)化設(shè)備的部署安裝。云資源編排服務(wù)H3CloudOS云管理平臺(tái)可以以租戶的形式為港鐵AFC各部門或下屬單位（租戶）提供云主機(jī)、云存儲(chǔ)、云網(wǎng)絡(luò)安全等虛擬基礎(chǔ)設(shè)施資源，基于這些虛擬資源，租戶可以在港鐵AFC云中構(gòu)建自己的虛擬私有數(shù)據(jù)中心vPC，同時(shí)各租戶的虛擬私有數(shù)據(jù)中心彼此安全隔離。通過(guò)云服務(wù)編排構(gòu)建為港鐵AFC各部門或下屬單位構(gòu)建虛擬數(shù)據(jù)中心（VDC），虛擬數(shù)據(jù)中心可以讓租戶靈活部署自己的業(yè)務(wù)應(yīng)用，就像部署在自己的專屬數(shù)據(jù)中心內(nèi)部，擁有計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)虛擬實(shí)例完整的使用權(quán)和管理權(quán)。虛擬私有數(shù)據(jù)中心讓租戶靈活部署自己的業(yè)務(wù)應(yīng)用，就像部署在自己的專屬數(shù)據(jù)中心內(nèi)部，擁有計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)虛擬實(shí)例完整的使用權(quán)和管理權(quán)。在自己的虛擬私有數(shù)據(jù)中心中，租戶可以定制（IaaS層）主機(jī)、存儲(chǔ)服務(wù)，通過(guò)關(guān)聯(lián)vLB來(lái)實(shí)現(xiàn)負(fù)載均衡；申請(qǐng)（PaaS層）不同型號(hào)的數(shù)據(jù)庫(kù)服務(wù)，與主機(jī)對(duì)接；同時(shí)選擇云管理平臺(tái)提供的應(yīng)用藍(lán)本定制需要的軟件/應(yīng)用服務(wù)（PaaS服務(wù)）。在網(wǎng)絡(luò)安全方面，用戶可以自主的規(guī)劃私網(wǎng)網(wǎng)段，有效解決不同租戶之間的IP地址重復(fù)問(wèn)題，設(shè)定vFW的域間策略實(shí)現(xiàn)防火墻安全隔離，甚至可以為應(yīng)用申請(qǐng)公網(wǎng)IP，支持互聯(lián)網(wǎng)外對(duì)服務(wù)的使用。用戶無(wú)須關(guān)心如何打通網(wǎng)絡(luò)（云管理平臺(tái)會(huì)自動(dòng)部署），只需關(guān)注服務(wù)本身，通過(guò)云管理平臺(tái)統(tǒng)一界面實(shí)現(xiàn)服務(wù)的操作和訪問(wèn)，仿佛機(jī)器就擺在眼前；甚至還能從云管理平臺(tái)獲取服務(wù)的監(jiān)控統(tǒng)計(jì)數(shù)據(jù)，時(shí)刻關(guān)注服務(wù)的質(zhì)量。虛擬私有數(shù)據(jù)中心功能由SDN、VxLan等技術(shù)實(shí)現(xiàn)。云數(shù)據(jù)中心的核心交換機(jī)、接入交換機(jī)以及主機(jī)虛擬化軟件的OVS均提供SDN、VxLan功能，組成虛擬網(wǎng)絡(luò)資源池。不同租戶可通過(guò)云管理平臺(tái)軟件調(diào)度這些網(wǎng)絡(luò)資源池，組成自己的虛擬網(wǎng)絡(luò)vNet，實(shí)現(xiàn)不同租戶間的網(wǎng)絡(luò)隔離。安全資源池的ServiceChain功能還可以為不同用戶提供2～7層的安全隔離。PaaS層服務(wù)設(shè)計(jì)云數(shù)據(jù)庫(kù)服務(wù)港鐵AFC云管理平臺(tái)設(shè)計(jì)，基于按需即供的設(shè)計(jì)思路，向云應(yīng)用提供關(guān)系型數(shù)據(jù)庫(kù)服務(wù)；可提供基于物理服務(wù)器的高性能云數(shù)據(jù)庫(kù)服務(wù)，自動(dòng)化云數(shù)據(jù)庫(kù)部署方案，提供HA高可用保障。功能上支持?jǐn)?shù)據(jù)庫(kù)的創(chuàng)建和訪問(wèn)，數(shù)據(jù)庫(kù)的管理、備份和恢復(fù)，支持用戶使用客戶端軟件進(jìn)行數(shù)據(jù)庫(kù)管理。支持Oracle、SQLServer、MySQL三種數(shù)據(jù)庫(kù)，租戶通過(guò)Portal自助申請(qǐng)數(shù)據(jù)庫(kù)服務(wù)，后續(xù)工作包括安裝Oracle、SQLServer、MySQL程序、創(chuàng)建數(shù)據(jù)實(shí)例、分配、郵件通知等全部自動(dòng)化完成。中間件/應(yīng)用服務(wù)方案設(shè)計(jì)云管理平臺(tái)可提供中間件即服務(wù)，包括Tomcat、Weblogic、JBoss等中間件服務(wù)。云平臺(tái)還可以可視化托拽各類基礎(chǔ)服務(wù)制作完整應(yīng)用藍(lán)本模板，包括選擇應(yīng)用所需要的網(wǎng)絡(luò)安全環(huán)境、虛擬機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)以及中間件等，打包為一個(gè)針對(duì)某特定項(xiàng)目開發(fā)的vAPP，能夠正常部署、啟動(dòng)，并且可以發(fā)布到服務(wù)目錄供其他部門或者云平臺(tái)下的組織使用，具體流程包含如下：初始化軟件上傳，把需要自動(dòng)化部署的操作系統(tǒng)、中間件、應(yīng)用的基礎(chǔ)軟件上傳云平臺(tái)后續(xù)選擇。應(yīng)用模板創(chuàng)建，按照用戶可按照所需應(yīng)用要求通過(guò)圖形化拖拽方式選擇所需資源以及所部署的軟件等；應(yīng)用模板發(fā)布，待模板創(chuàng)建完畢可選擇模板發(fā)布共其他部門或用戶使用；創(chuàng)建應(yīng)用實(shí)例，用戶可按照需求自行選擇相關(guān)模板部署為應(yīng)用，部署成功后可通過(guò)云平臺(tái)直接查看狀態(tài)。支持?jǐn)U展Docker容器服務(wù)容器可以很好的將底層的Iaas封裝成一個(gè)大的資源池，只要把應(yīng)用部署到這個(gè)資源池中，不再需要關(guān)心資源的申請(qǐng)、管理，以及與業(yè)務(wù)開發(fā)無(wú)關(guān)的事情。并且，容器應(yīng)用的運(yùn)行性能高，基本等價(jià)于直接在宿主機(jī)上運(yùn)行，相比于傳統(tǒng)虛擬機(jī)，容器的啟動(dòng)速度極快，擁有極高的資源使用效率。網(wǎng)絡(luò)資源池設(shè)計(jì)方案網(wǎng)絡(luò)資源池總體架構(gòu)設(shè)計(jì)在云環(huán)境下，最大的好處在于計(jì)算資源能夠隨需移動(dòng)，計(jì)算資源通過(guò)計(jì)算虛擬化可以實(shí)現(xiàn)在單臺(tái)的物理機(jī)下虛擬化成多個(gè)虛機(jī)，為了保障業(yè)務(wù)快速部署，業(yè)務(wù)的高可靠性，各虛機(jī)需要在各業(yè)務(wù)網(wǎng)絡(luò)內(nèi)部進(jìn)行遷移，以及未來(lái)港鐵AFC兩地三中心方案，可能存在雙活中心之間進(jìn)行跨集群虛機(jī)遷移，其IP地址和IP網(wǎng)關(guān)本身不會(huì)變化，同時(shí)虛機(jī)集群也需要各虛機(jī)保持在一個(gè)網(wǎng)段之內(nèi)，所以從整個(gè)基礎(chǔ)網(wǎng)絡(luò)來(lái)看，數(shù)據(jù)中心需要提供一個(gè)大二層網(wǎng)絡(luò)；并且結(jié)合港鐵AFC新建數(shù)據(jù)中心的實(shí)際情況，為保證業(yè)務(wù)可靠性，在云數(shù)據(jù)中心設(shè)計(jì)部署大二層網(wǎng)絡(luò)。而業(yè)界主流技術(shù)即采用Overlay網(wǎng)絡(luò)方案實(shí)現(xiàn)。針對(duì)港鐵AFC云數(shù)據(jù)中心業(yè)務(wù)網(wǎng)絡(luò)，H3C設(shè)計(jì)采用基于SDN+VxLAN技術(shù)實(shí)現(xiàn)的Overlay網(wǎng)絡(luò)方案構(gòu)建云網(wǎng)絡(luò)資源池；其他網(wǎng)絡(luò)，如管理網(wǎng)和存儲(chǔ)網(wǎng)因?qū)W(wǎng)絡(luò)要求相對(duì)較低，無(wú)需經(jīng)常變更，因此設(shè)計(jì)采用傳統(tǒng)網(wǎng)絡(luò)云業(yè)務(wù)網(wǎng)絡(luò)設(shè)計(jì)港鐵AFC云數(shù)據(jù)中心多業(yè)務(wù)系統(tǒng)并存，云業(yè)務(wù)網(wǎng)絡(luò)不僅負(fù)責(zé)業(yè)務(wù)系統(tǒng)數(shù)據(jù)的傳輸、訪問(wèn)，同時(shí)還兼顧安全隔離和互訪控制。并且，在云環(huán)境下，網(wǎng)絡(luò)是根據(jù)業(yè)務(wù)隨需提供，即網(wǎng)絡(luò)作為一種服務(wù)提供給各業(yè)務(wù)系統(tǒng)，因此建設(shè)網(wǎng)絡(luò)資源池是提供云服務(wù)的前提條件?；谠茖?duì)網(wǎng)絡(luò)的要求，實(shí)現(xiàn)自動(dòng)化按需交付，網(wǎng)絡(luò)策略的自動(dòng)化部署，本項(xiàng)目設(shè)計(jì)云業(yè)務(wù)網(wǎng)絡(luò)采用Overlay網(wǎng)絡(luò)，通過(guò)SDN+VxLAN技術(shù)實(shí)現(xiàn)，總體架構(gòu)采用Spine+Leaf架構(gòu)。網(wǎng)絡(luò)核心交換機(jī)即SDN網(wǎng)絡(luò)的Spine節(jié)點(diǎn)，設(shè)計(jì)采用兩臺(tái)高端云數(shù)據(jù)中心模塊化核心交換機(jī)，單槽位可支持高密40G和10G等多種接口板卡；本方案設(shè)計(jì)核心交換機(jī)Spine到Leaf業(yè)務(wù)接入交換機(jī)均通過(guò)10G雙鏈路多模光纖互連。業(yè)務(wù)接入交換機(jī)均采用云數(shù)據(jù)中心模塊化接入交換機(jī)，具備擴(kuò)展接口卡槽位，保證滿足本次項(xiàng)目需求的同時(shí)為后續(xù)提供平滑擴(kuò)容能力。本次設(shè)計(jì)每個(gè)業(yè)務(wù)區(qū)的云業(yè)務(wù)接入交換機(jī)均采用兩臺(tái)，通過(guò)40G鏈路進(jìn)行IRF2虛擬化堆疊，將兩臺(tái)設(shè)備邏輯成一臺(tái)，為業(yè)務(wù)服務(wù)器提供跨設(shè)備的鏈路聚合，實(shí)現(xiàn)云業(yè)務(wù)服務(wù)器上連鏈路的高可靠性?？紤]租戶間隔離及租戶與傳統(tǒng)網(wǎng)絡(luò)互通隔離的安全性，H3C設(shè)計(jì)在云業(yè)務(wù)網(wǎng)絡(luò)中部署出口防護(hù)系統(tǒng)（高性能防火墻、高性能入侵檢測(cè)等），可通過(guò)SDN控制器進(jìn)行管理，按需為租戶提供虛擬防火墻、虛擬IPS等服務(wù)。核心與出口防護(hù)系統(tǒng)互連，可通過(guò)IRF虛擬化技術(shù)將兩臺(tái)防火墻（或入侵檢測(cè)）邏輯成一臺(tái)，實(shí)現(xiàn)跨設(shè)備的鏈路聚合，解決在有限的端口情況下，實(shí)現(xiàn)鏈路的相互備份，保證輸出傳輸鏈路的可靠性。SDN網(wǎng)絡(luò)的VxLAN網(wǎng)關(guān)（即關(guān)鍵業(yè)務(wù)區(qū)萬(wàn)兆業(yè)務(wù)ToR、業(yè)務(wù)區(qū)萬(wàn)兆業(yè)務(wù)ToR、開發(fā)測(cè)試區(qū)萬(wàn)兆業(yè)務(wù)ToR）均通過(guò)萬(wàn)兆鏈路連接業(yè)務(wù)服務(wù)器。網(wǎng)絡(luò)核心及接入均采用雙機(jī)部署，并通過(guò)IRF2設(shè)備虛擬化技術(shù)邏輯成一臺(tái)，保證網(wǎng)絡(luò)核心及接入的高可靠性。SDN網(wǎng)絡(luò)配備有SDN控制器，設(shè)計(jì)采用3臺(tái)虛擬機(jī)集群部署，提高可靠性；H3CloudOS云管理平臺(tái)通過(guò)Neutron組件對(duì)接SDN控制器，為云平臺(tái)提供多租戶隔離環(huán)境，并可為租戶提供云網(wǎng)絡(luò)、彈性IP、云防火墻、云負(fù)載均衡、增強(qiáng)型防火墻（即IPS）、安全組、VPN等服務(wù)。管理網(wǎng)絡(luò)設(shè)計(jì)管理網(wǎng)絡(luò)設(shè)計(jì)采用獨(dú)立的管理接入交換機(jī)，核心交換機(jī)則復(fù)用云計(jì)算核心交換機(jī)，為保證管理數(shù)據(jù)平面與業(yè)務(wù)數(shù)據(jù)平面分離，設(shè)計(jì)采用防火墻進(jìn)行隔離。管理網(wǎng)通過(guò)千兆網(wǎng)絡(luò)承載包含服務(wù)器虛擬化、存儲(chǔ)虛擬化和網(wǎng)絡(luò)虛擬化的管理網(wǎng)數(shù)據(jù)（帶內(nèi)管理），以及網(wǎng)絡(luò)、安全和服務(wù)器等設(shè)備的專用帶外管理口的接入（帶外管理）。同時(shí)云管理區(qū)也部署在管理網(wǎng)中，部署包含云管理平臺(tái)、SDN控制器、虛擬化管理平臺(tái)、高級(jí)運(yùn)維管理、運(yùn)維審計(jì)系統(tǒng)等設(shè)備。管理接入交換機(jī)采用新一代千兆以太網(wǎng)接入交換機(jī)，具備48口千兆電口，4個(gè)萬(wàn)兆光口，并配備雙電源冗余，保證設(shè)備的接入能力和可靠性。設(shè)計(jì)管理備份接入ToR為各業(yè)務(wù)區(qū)管理網(wǎng)、帶外管理網(wǎng)和備份系統(tǒng)提供網(wǎng)絡(luò)接入，采用兩兩堆疊的形式部署，每臺(tái)管理接入ToR交換機(jī)通過(guò)雙鏈路上連至云計(jì)算管理防火墻。出口區(qū)區(qū)網(wǎng)絡(luò)設(shè)計(jì)本方案設(shè)計(jì)出口區(qū)是負(fù)責(zé)港鐵AFC云數(shù)據(jù)中心內(nèi)業(yè)務(wù)系統(tǒng)與外部數(shù)據(jù)交付連接平臺(tái)，包含互聯(lián)網(wǎng)絡(luò)設(shè)備及L2~L7層安全防護(hù)設(shè)備及審計(jì)設(shè)備。港鐵AFC網(wǎng)絡(luò)出口設(shè)計(jì)包含出口交換機(jī)、出口泛安全（包含出口安全隔離FW、IPS入侵防御系統(tǒng)）和出口鏈路負(fù)載均衡設(shè)備。出口泛安全：設(shè)計(jì)考慮港鐵AFC云數(shù)據(jù)中心出口的傳統(tǒng)安全防護(hù)，配備IPS入侵防御系統(tǒng)、防火墻等設(shè)備。IPS入侵防御系統(tǒng)實(shí)現(xiàn)對(duì)數(shù)據(jù)中心L4~L7層的外部訪問(wèn)流量安全防御；安全隔離FW：配備兩臺(tái)出口安全隔離FW，用于出口互聯(lián)的安全隔離。計(jì)算資源池設(shè)計(jì)方案計(jì)算資源池需求功能模塊初始化內(nèi)存最大實(shí)例數(shù)所需內(nèi)存(GB)部署模式功能說(shuō)明網(wǎng)絡(luò)支付平臺(tái)乘客管理子系統(tǒng)2510容器用于乘客賬戶管理支付管理子系統(tǒng)2510容器支付渠道管理、清結(jié)算管理、風(fēng)控管理、密鑰管理等功能業(yè)務(wù)管理子系統(tǒng)4312容器包括二維碼管理、售取票業(yè)務(wù)、檢票業(yè)務(wù)等功能移動(dòng)端業(yè)務(wù)軟件后臺(tái)4728容器用于乘客注冊(cè)、登錄、購(gòu)票、賬戶管理、支付管理等移動(dòng)端運(yùn)維軟件后臺(tái)236容器地鐵內(nèi)部人員使用，包括設(shè)備告警、對(duì)賬報(bào)表等功能騰訊平臺(tái)接口服務(wù)4520容器與騰訊云平臺(tái)對(duì)接線網(wǎng)云平臺(tái)接口服務(wù)4728容器與深圳市線網(wǎng)中心云平臺(tái)對(duì)接稅務(wù)局接口服務(wù)236容器與稅務(wù)局接口以提供稅務(wù)服務(wù)銀聯(lián)接口服務(wù)236容器與銀聯(lián)平臺(tái)對(duì)接基礎(chǔ)業(yè)務(wù)交易解析服務(wù)81080容器解析交易數(shù)據(jù),處理速度：實(shí)例/1000條數(shù)據(jù)/秒票務(wù)系統(tǒng)8324容器AFC票務(wù)管理設(shè)備狀態(tài)監(jiān)控服務(wù)8972容器負(fù)責(zé)設(shè)備狀態(tài)監(jiān)控和緊急控制清算服務(wù)815120容器負(fù)責(zé)數(shù)據(jù)統(tǒng)計(jì)匯總，處理速度：實(shí)例/1000條數(shù)據(jù)/秒時(shí)鐘同步服務(wù)414容器/虛擬機(jī)負(fù)責(zé)全線設(shè)備時(shí)鐘同步權(quán)限服務(wù)4728容器權(quán)限認(rèn)證服務(wù)運(yùn)營(yíng)系統(tǒng)5315容器AFC系統(tǒng)自身運(yùn)營(yíng)管理參數(shù)管理模塊414容器設(shè)備參數(shù)生成、定向推送設(shè)備軟件管理818容器/虛擬機(jī)用于設(shè)備軟件發(fā)布、自動(dòng)更新數(shù)據(jù)審計(jì)服務(wù)4624容器用于數(shù)據(jù)審計(jì)、監(jiān)控日志采集服務(wù)8756容器設(shè)備、平臺(tái)日志采集設(shè)備交互接口51575容器平臺(tái)與設(shè)備交互接口主控系統(tǒng)接口818容器/虛擬機(jī)與綜合監(jiān)控對(duì)接公有云業(yè)務(wù)接口4520容器與港鐵公有云業(yè)務(wù)對(duì)接既有線接口服務(wù)2510容器與四號(hào)線一期二期兼容對(duì)接ACC接口服務(wù)2510容器與ACC對(duì)接交易、對(duì)賬等數(shù)據(jù)對(duì)賬服務(wù)236容器與線網(wǎng)中心、ACC對(duì)賬報(bào)表系統(tǒng)4312容器業(yè)務(wù)報(bào)表生成、分析服務(wù)組件微服務(wù)基礎(chǔ)組件15115基礎(chǔ)業(yè)務(wù)合計(jì)101591中間件Redis963288業(yè)務(wù)數(shù)據(jù)緩存Kafka監(jiān)控、日志等流式數(shù)據(jù)處理存儲(chǔ)資源池需求用途硬盤（GB）說(shuō)明微服務(wù)鏡像節(jié)點(diǎn)500存儲(chǔ)服務(wù)構(gòu)建鏡像參數(shù)文件存儲(chǔ)500存儲(chǔ)設(shè)備參數(shù)Kafka2000設(shè)備狀態(tài)、交易數(shù)據(jù)交易、對(duì)賬文件2000存儲(chǔ)一年數(shù)據(jù)日志存儲(chǔ)4000存儲(chǔ)一年數(shù)據(jù)圖片存儲(chǔ)10439人臉圖片:330萬(wàn)客流，10%比例用量，采樣數(shù)據(jù)1M,保存30天的數(shù)據(jù)合計(jì)19439計(jì)算資源池總體架構(gòu)設(shè)計(jì)港鐵AFC云數(shù)據(jù)中心計(jì)算資源池設(shè)計(jì)包含：業(yè)務(wù)區(qū)、關(guān)鍵業(yè)務(wù)區(qū)、等計(jì)算資源。所有計(jì)算服務(wù)器上連網(wǎng)絡(luò)均通過(guò)萬(wàn)兆雙鏈路上連至各自區(qū)域的業(yè)務(wù)接入交換機(jī)。管理網(wǎng)絡(luò)均通過(guò)千兆雙鏈路上連至管理網(wǎng)接入ToR交換機(jī)。同時(shí)考慮數(shù)據(jù)備份及帶外管理需要，每臺(tái)業(yè)務(wù)服務(wù)器分別配備了1條千兆備份鏈路和1條千兆帶外管理鏈路。業(yè)務(wù)區(qū)計(jì)算資源池服務(wù)器上均部署有H3CCAS計(jì)算虛擬化軟件，其中3臺(tái)服務(wù)器采用容器化部署方案，通過(guò)H3CloudOS云管理平臺(tái)對(duì)接管理，為業(yè)務(wù)系統(tǒng)提供計(jì)算資源服務(wù)。計(jì)算資源池容量規(guī)劃設(shè)計(jì)從港鐵AFC云數(shù)據(jù)中心建設(shè)實(shí)際需求出發(fā)，并考慮經(jīng)濟(jì)性，計(jì)算資源池H3C設(shè)計(jì)采用超融合+虛擬化方案結(jié)合的方式實(shí)現(xiàn)。對(duì)于虛擬化及超融合架構(gòu)的各自優(yōu)勢(shì)如下表：對(duì)比項(xiàng)虛擬化超融合高可用高可用：前端多個(gè)節(jié)點(diǎn)（服務(wù)器）通過(guò)FC存儲(chǔ)網(wǎng)絡(luò)連接共享存儲(chǔ)，當(dāng)出現(xiàn)單臺(tái)物理主機(jī)故障時(shí)，虛擬機(jī)自動(dòng)遷移至其他正常主機(jī)以保證業(yè)務(wù)正常使用高可用：軟件定義存儲(chǔ)，通過(guò)分布式存儲(chǔ)軟件對(duì)服務(wù)器磁盤資源池化，當(dāng)出現(xiàn)單臺(tái)物理主機(jī)故障時(shí)，虛擬機(jī)自動(dòng)遷移至其他正常主機(jī)以保證業(yè)務(wù)正常使用穩(wěn)定性服務(wù)器主機(jī)提供計(jì)算資源，F(xiàn)C存儲(chǔ)處理數(shù)據(jù)讀寫請(qǐng)求，成熟的架構(gòu)平臺(tái)可保證所有業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行超融合屬于新型架構(gòu)，穩(wěn)定性和可靠性雖已得到市場(chǎng)認(rèn)可，但是對(duì)于高性能數(shù)據(jù)庫(kù)等應(yīng)用場(chǎng)景受限，對(duì)業(yè)務(wù)應(yīng)用場(chǎng)景需要慎重選擇可擴(kuò)展性后期計(jì)算資源不足需要擴(kuò)容時(shí)，僅需增加服務(wù)器節(jié)點(diǎn)即可；存儲(chǔ)資源不足擴(kuò)容需要增加硬盤，可能需要停機(jī)，同時(shí)可擴(kuò)展硬盤數(shù)量受限于FC存儲(chǔ)主機(jī)架構(gòu)簡(jiǎn)單，后期資源不足需要擴(kuò)容時(shí)僅需增加服務(wù)器節(jié)點(diǎn)即可，計(jì)算資源和存儲(chǔ)資源均可在線線性添加可運(yùn)維性統(tǒng)一的云平臺(tái)管理，資源分發(fā)、業(yè)務(wù)平臺(tái)狀態(tài)展示、告警通知等功能簡(jiǎn)化運(yùn)維、提高IT運(yùn)維效率統(tǒng)一的云平臺(tái)管理，資源分發(fā)、業(yè)務(wù)平臺(tái)狀態(tài)展示、告警通知等功能簡(jiǎn)化運(yùn)維、提高IT運(yùn)維效率

數(shù)據(jù)庫(kù)區(qū)計(jì)算資源規(guī)劃設(shè)計(jì)數(shù)據(jù)庫(kù)區(qū)設(shè)計(jì)云數(shù)據(jù)中心中心部署2臺(tái)小型機(jī)，后端均通過(guò)16GbFCSAN網(wǎng)絡(luò)掛載FCSAN存儲(chǔ)，滿足數(shù)據(jù)庫(kù)密集型I/O業(yè)務(wù)對(duì)存儲(chǔ)IOPS的需求。數(shù)據(jù)庫(kù)采用2臺(tái)小機(jī)做OracleRAC集群部署，保證在業(yè)務(wù)不中斷；考慮數(shù)據(jù)庫(kù)在云數(shù)據(jù)中心與災(zāi)備中心之間的表級(jí)備份；同時(shí)考慮部分小型數(shù)據(jù)庫(kù)需求，可通過(guò)在業(yè)務(wù)區(qū)虛擬云主機(jī)上以虛擬機(jī)形式部署，通過(guò)云管理平臺(tái)進(jìn)行管理，可為非關(guān)鍵數(shù)據(jù)庫(kù)業(yè)務(wù)提供虛擬機(jī)形式的DBaaS服務(wù)，數(shù)據(jù)庫(kù)類型可支持MySQL、SQLServer以及MongoDB等數(shù)據(jù)庫(kù)。計(jì)算資源池服務(wù)器虛擬化平臺(tái)設(shè)計(jì)方案H3C方案設(shè)計(jì)虛擬化云主機(jī)，采用H3CCAS基于KVM的服務(wù)器虛擬化軟件將服務(wù)器邏輯成計(jì)算資源池，并通過(guò)云管理平臺(tái)的Nova組件進(jìn)行對(duì)接，實(shí)現(xiàn)為業(yè)務(wù)系統(tǒng)提供按需的虛擬化云主機(jī)服務(wù)。虛擬機(jī)生命周期管理方案設(shè)計(jì)H3CCAS服務(wù)器虛擬化平臺(tái)支持虛擬機(jī)的創(chuàng)建、修改、啟動(dòng)、暫停、恢復(fù)、休眠、重啟、關(guān)閉、下電、克隆、遷移、快照等常用功能，同時(shí)支持通過(guò)管理界面的控制臺(tái)遠(yuǎn)程連接到虛擬機(jī)，所有的操作全部基于圖形化配置界面。主機(jī)高可用HAH3CCAS服務(wù)器虛擬化平臺(tái)對(duì)云數(shù)據(jù)中心IT基礎(chǔ)設(shè)施進(jìn)行基于集群的集中化管理，由多臺(tái)獨(dú)立服務(wù)器主機(jī)聚合形成的集群不僅降低了管理的復(fù)雜度，而且具有內(nèi)在的高可用性，從而為用戶提供一個(gè)經(jīng)濟(jì)有效的高可用性解決方案。H3CCAS服務(wù)器虛擬化平臺(tái)HA對(duì)資源池中的虛擬機(jī)進(jìn)行持續(xù)的監(jiān)控，統(tǒng)一在各個(gè)虛擬機(jī)之間維持“心跳”，當(dāng)發(fā)現(xiàn)虛擬機(jī)失去“心跳”的時(shí)候，就會(huì)嘗試在其它的服務(wù)器上重新啟動(dòng)失效的虛擬機(jī)。HA會(huì)保證任何時(shí)候當(dāng)物理服務(wù)器發(fā)生宕機(jī)，資源池中都有足夠的硬件資源，使失效的服務(wù)器中的虛擬機(jī)在其它的服務(wù)器上順利啟動(dòng)。服務(wù)器虛擬化平臺(tái)采用優(yōu)化后的高性能集群文件系統(tǒng)，通過(guò)支持SAN/iSCSI/NFS等存儲(chǔ)協(xié)議，可以允許不同的服務(wù)器訪問(wèn)同一虛擬機(jī)磁盤文件，這一特性使得服務(wù)器虛擬化平臺(tái)HA的實(shí)現(xiàn)變得非常簡(jiǎn)單和方便。使用HA特性進(jìn)行主機(jī)故障切換通過(guò)H3CCAS服務(wù)器虛擬化平臺(tái)主機(jī)高可用HA特性，可保證港鐵AFC云業(yè)務(wù)持續(xù)穩(wěn)定運(yùn)行。應(yīng)用高可用HA應(yīng)用高可用HA是指運(yùn)行于虛擬機(jī)操作系統(tǒng)內(nèi)的業(yè)務(wù)系統(tǒng)的高可靠性，當(dāng)業(yè)務(wù)系統(tǒng)由于自身原因?qū)е聼o(wú)法對(duì)外正常提供服務(wù)時(shí)，可以借助應(yīng)用HA功能，以最短的時(shí)間自動(dòng)恢復(fù)業(yè)務(wù)。服務(wù)器虛擬化平臺(tái)應(yīng)用HA功能支持ApacheTomcat、JDK、ApacheHTTPServer、MySQL、SQLServer、SharePoint等應(yīng)用。港鐵AFC業(yè)務(wù)系統(tǒng)都是以進(jìn)程服務(wù)的方式駐留在操作系統(tǒng)內(nèi)，H3CCAS服務(wù)器虛擬化平臺(tái)利用CAStools工具來(lái)監(jiān)控業(yè)務(wù)服務(wù)進(jìn)程的狀態(tài)，該工具安裝在虛擬機(jī)操作系統(tǒng)上，通過(guò)虛擬串口通道保持與服務(wù)器虛擬化平臺(tái)的實(shí)時(shí)通信，判定業(yè)務(wù)的存活狀態(tài)。如果在連續(xù)3個(gè)時(shí)間周期（1個(gè)周期為30秒）內(nèi)探測(cè)到被監(jiān)測(cè)的服務(wù)狀態(tài)為非運(yùn)行或非活躍狀態(tài)，則自動(dòng)重啟該服務(wù)，如果連續(xù)4個(gè)時(shí)間周期檢測(cè)到應(yīng)用服務(wù)故障，且重啟服務(wù)失敗，則根據(jù)系統(tǒng)管理員配置的應(yīng)用HA策略，重新啟動(dòng)虛擬機(jī)或僅上報(bào)應(yīng)用故障不可恢復(fù)的告警消息。H3CCAS的應(yīng)用HA特性給港鐵AFC云業(yè)務(wù)帶來(lái)如下明顯的價(jià)值：實(shí)時(shí)顯示業(yè)務(wù)應(yīng)用程序的可用性狀態(tài)；當(dāng)應(yīng)用程序不可用時(shí)，執(zhí)行用戶自定義的修復(fù)策略，包括重啟服務(wù)和重啟虛擬機(jī)，最小化業(yè)務(wù)宕機(jī)時(shí)間；當(dāng)應(yīng)用程序不可用時(shí)，觸發(fā)告警通知。一鍵管理與運(yùn)維H3CCAS服務(wù)器虛擬化平臺(tái)設(shè)計(jì)支持虛擬化運(yùn)維“一鍵系列”，包含一鍵健康巡檢、一鍵資源分析、一鍵存儲(chǔ)清理、一鍵虛機(jī)還原等一鍵功能，輕松完成平臺(tái)日常管理中的復(fù)雜操作。如支持一鍵對(duì)虛擬化平臺(tái)的運(yùn)行情況進(jìn)行巡檢，并自動(dòng)輸出巡檢報(bào)告和優(yōu)化建議，同時(shí)可一鍵對(duì)共享存儲(chǔ)中無(wú)效的存儲(chǔ)卷進(jìn)行集中清除，釋放存儲(chǔ)空間，提高存儲(chǔ)使用效率。虛擬機(jī)資源限額默認(rèn)情況下，H3CCAS服務(wù)器虛擬化平臺(tái)給每臺(tái)物理服務(wù)器主機(jī)上的虛擬機(jī)分配數(shù)量相同的CPU、內(nèi)存以及磁盤I/O資源。但是，并不是所有虛擬機(jī)工作負(fù)載天生相同，例如，SQL服務(wù)器和Web服務(wù)器的訪問(wèn)需求就不盡相同，因此，手動(dòng)調(diào)整分配給每個(gè)虛擬機(jī)的資源就顯得非常重要。服務(wù)器虛擬化平臺(tái)通過(guò)資源限額方式來(lái)為虛擬機(jī)指定資源調(diào)度的優(yōu)先級(jí)。有三種預(yù)設(shè)的限額分配方式：高、中、低，調(diào)度優(yōu)先級(jí)權(quán)重分別為4:2:1，反映到份額上的數(shù)值如下表所示：高中低優(yōu)先級(jí)權(quán)重421CPU調(diào)度優(yōu)先級(jí)數(shù)值20481024512CPU調(diào)度優(yōu)先級(jí)百分比57.1%28.6%14.3%磁盤I/O調(diào)度優(yōu)先級(jí)數(shù)值800500300磁盤I/O調(diào)度優(yōu)先級(jí)百分比50.0%31.2%18.8%比如，一臺(tái)物理服務(wù)器主機(jī)上分配了5個(gè)虛擬機(jī)，CPU調(diào)度優(yōu)先級(jí)分別為高、中、中、低、低，那么，高優(yōu)先級(jí)的虛擬機(jī)至少可以獲得4/(4+2+2+1+1)=40%的CPU資源，中優(yōu)先級(jí)的虛擬機(jī)至少可以獲得20%的CPU資源，而低優(yōu)先級(jí)的虛擬機(jī)至少可以獲得10%的CPU資源。需要強(qiáng)調(diào)的是，虛擬機(jī)資源限額機(jī)制的真正目的是為了確保每個(gè)虛擬機(jī)對(duì)資源的調(diào)度下限，如果物理服務(wù)器上沒有發(fā)生虛擬機(jī)的資源搶占行為，那么，即使是低優(yōu)先級(jí)的虛擬機(jī)也有可能獨(dú)享該物理服務(wù)器上絕大部分的資源。如下圖舉例：當(dāng)所有的虛擬機(jī)都處于滿負(fù)載運(yùn)行的情況下，CPU資源嚴(yán)格按照4:2:1的權(quán)重比例進(jìn)行調(diào)度，以確保所有的虛擬機(jī)都能搶占到一定數(shù)量的資源，保證業(yè)務(wù)的可用性。一旦某個(gè)虛擬機(jī)的負(fù)載回落到權(quán)重比例之下，那么，其它的虛擬機(jī)可以搶占本屬于該虛擬機(jī)的資源，以最大限度地利用物理資源的利用率，保證應(yīng)用程序的運(yùn)行效率。資源熱添加熱添加使管理員可以在虛擬機(jī)需要時(shí)為其增加RAM和CPU資源，同時(shí)不會(huì)中斷虛擬機(jī)的使用。這樣可減少停機(jī)時(shí)間并確保虛擬機(jī)中的應(yīng)用始終擁有所需的資源。即使制定了最好的規(guī)劃，應(yīng)用所需的資源