金融行業(yè)云計算技術(shù)應(yīng)用規(guī)范-技術(shù)架構(gòu)

1、 JR中華人民共和國金融行業(yè)標準金融行業(yè)云計算技術(shù)應(yīng)用規(guī)范技術(shù)架構(gòu)Financial application specification of cloud computing technologyTechnical architecture目 錄 TOC h z t前言、引言標題,1,參考文獻、索引標題,1,章標題,1,參考文獻,1,附錄標識,1 * MERGEFORMAT HYPERLINK l _Toc509418766 前言 PAGEREF _Toc509418766 h II HYPERLINK l _Toc509418767 引言 PAGEREF _Toc509418767 h II

2、I HYPERLINK l _Toc509418768 1范圍 PAGEREF _Toc509418768 h 1 HYPERLINK l _Toc509418769 2規(guī)范性引用文件 PAGEREF _Toc509418769 h 1 HYPERLINK l _Toc509418770 3術(shù)語和定義 PAGEREF _Toc509418770 h 1 HYPERLINK l _Toc509418771 4符號和縮略語 PAGEREF _Toc509418771 h 4 HYPERLINK l _Toc509418772 5概述 PAGEREF _Toc509418772 h 4 HYPERL

3、INK l _Toc509418773 6架構(gòu)特性 PAGEREF _Toc509418773 h 5 HYPERLINK l _Toc509418774 7架構(gòu)體系 PAGEREF _Toc509418774 h 6引言隨著互聯(lián)網(wǎng)、移動終端、虛擬化等信息技術(shù)的發(fā)展演進，云計算技術(shù)在金融領(lǐng)域應(yīng)用逐漸深入，促進了金融產(chǎn)品、業(yè)務(wù)流程、經(jīng)營模式的創(chuàng)新和變革。為落實國務(wù)院關(guān)于促進云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見（國發(fā)20155號）等，規(guī)范云計算技術(shù)在金融領(lǐng)域應(yīng)用，強化云計算對金融服務(wù)的技術(shù)支撐，提升云計算技術(shù)對業(yè)務(wù)連續(xù)性和信息安全的保障能力，特編制本標準。云計算技術(shù)金融應(yīng)用規(guī)范 技術(shù)架構(gòu)范圍本標

4、準規(guī)定了金融領(lǐng)域云計算平臺的技術(shù)架構(gòu)要求，涵蓋云計算的服務(wù)類別和部署模式、參與方、架構(gòu)特性和架構(gòu)體系等。本標準適用于金融領(lǐng)域的云服務(wù)提供者、云服務(wù)使用者、云服務(wù)合作者、云服務(wù)審計者等。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 32399-2015 信息技術(shù) 云計算 參考架構(gòu) GB/T 32400-2015 信息技術(shù) 云計算 概覽與詞匯GB 50174-2017 數(shù)據(jù)中心設(shè)計規(guī)范JR/T 0071-2012 金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引JR/T

5、0131-2015 金融業(yè)信息系統(tǒng)機房動力系統(tǒng)規(guī)范術(shù)語和定義下列術(shù)語和定義適用于本文件。 參與方 party一個或一組自然人或法人，無論該法人是否注冊。GB/T 32400-2015 云計算 cloud computing一種通過網(wǎng)絡(luò)將可伸縮、彈性的共享物理和虛擬資源池以按需自服務(wù)的方式供應(yīng)和管理的模式。注：資源包括服務(wù)器、操作系統(tǒng)、網(wǎng)絡(luò)、軟件、應(yīng)用和存儲設(shè)備等。GB/T 32400-2015 云服務(wù) cloud service通過云計算已定義的接口提供的一種或多種能力。GB/T 32400-2015 云服務(wù)提供者 cloud service provider提供云服務(wù)的參與方。GB/T 32

6、400-2015 云服務(wù)使用者 cloud service user使用云服務(wù)的參與方。 云服務(wù)合作者 cloud service partner支撐或協(xié)助云服務(wù)提供者活動，云服務(wù)使用者活動，或者兩者共同活動的參與方。 云服務(wù)審計者 cloud service auditor負責審計云服務(wù)的供應(yīng)和使用的云服務(wù)參與方。 云計算平臺 cloud computing platform云服務(wù)提供者和云服務(wù)合作者提供的云計算基礎(chǔ)設(shè)施及其上服務(wù)軟件的集合。 私有云 private cloud云服務(wù)僅被一個云服務(wù)使用者使用，且資源被該云服務(wù)使用者控制的一種云部署模式。 行業(yè)云 community cloud

7、 團體云 organization cloud云服務(wù)由一組特定的云服務(wù)使用者使用和共享，且資源被云服務(wù)提供者或使用者控制的一種云部署模式。這組云服務(wù)提供者和使用者在監(jiān)管政策、安全要求等方面相同或高度相似。 公有云 public cloud云服務(wù)可被任意云服務(wù)使用者使用，且資源被云服務(wù)提供者控制的一種云部署模式。 混合云 hybrid cloud包含兩種及以上部署模式的云部署模式。 基礎(chǔ)設(shè)施即服務(wù) infrastructure as a service為云服務(wù)使用者提供云能力類型中的基礎(chǔ)設(shè)施能力類型的一種云服務(wù)類別。 平臺即服務(wù) platform as a service為云服務(wù)使用者提供云能力

8、類型中的平臺能力類型的一種云服務(wù)類別。 軟件即服務(wù) software as a service為云服務(wù)使用者提供云能力類型中的應(yīng)用能力類型的一種云服務(wù)類別。 租戶 tenant對一組物理和虛擬資源進行共享訪問的一個或多個云服務(wù)使用者。 多租戶 multi-tenancy通過對物理或虛擬資源的分配實現(xiàn)多個租戶以及他們的計算和數(shù)據(jù)彼此隔離和不可訪問。GB/T 32400-2015 物理機 physical machine物理機是指相對于虛擬機的物理服務(wù)器，可為虛擬機提供硬件環(huán)境。 物理機服務(wù) bare metal service物理機服務(wù)是直接向云服務(wù)使用者提供物理機的服務(wù)。 虛擬機 virtua

9、l machine虛擬機是指通過各種虛擬化技術(shù)，為用戶提供的與原有物理服務(wù)器相同的操作系統(tǒng)和應(yīng)用程序運行環(huán)境的統(tǒng)稱。虛擬機通常使用物理服務(wù)器的部分資源，在用戶看來它與物理服務(wù)器的使用完全相同。 虛擬機管理器 hypervisor管理物理機操作系統(tǒng)并控制客戶操作系統(tǒng)與物理硬件之間指令流動的虛擬化組件。 容器 container容器是指通過操作系統(tǒng)虛擬化的技術(shù)，提供輕量且隔離的一組進程和資源的運行環(huán)境。 資源池 resource pool一組物理資源或虛擬資源的集合，可以從池中獲取資源，也可將資源回收到池中。資源包括物理機、虛擬機、物理存儲資源、虛擬存儲資源、物理網(wǎng)絡(luò)資源和虛擬網(wǎng)絡(luò)資源等。 私有用

10、戶網(wǎng)絡(luò) virtual private cloud私有用戶網(wǎng)絡(luò)是云服務(wù)使用者基于云計算平臺定義的邏輯隔離網(wǎng)絡(luò)空間，用戶可以對私有用戶網(wǎng)絡(luò)自主定義網(wǎng)絡(luò)子網(wǎng)、網(wǎng)絡(luò)配置和網(wǎng)絡(luò)訪問策略，并可通過VPN、專線等方式與云服務(wù)使用者的傳統(tǒng)信息系統(tǒng)和數(shù)據(jù)中心互聯(lián)。 敏感數(shù)據(jù) sensitive data敏感數(shù)據(jù)是指一旦泄露可能會對用戶或金融機構(gòu)造成損失的數(shù)據(jù)，包括但不限于：a) 用戶敏感數(shù)據(jù)，如用戶口令、密鑰等；b) 系統(tǒng)敏感數(shù)據(jù)，如系統(tǒng)的密鑰、關(guān)鍵的系統(tǒng)管理數(shù)據(jù)；c) 其他需要保密的敏感業(yè)務(wù)數(shù)據(jù)；d) 關(guān)鍵性的操作指令；e) 系統(tǒng)主要配置文件；f) 其他需要保密的數(shù)據(jù)。JR/T 0071-2012符號和縮略

11、語下列符號和縮略語適用于本文件。ACLAccess Control List訪問控制列表CPUCentral Processing Unit中央處理單元HTTPHypertext Transfer Protocol超文本傳輸協(xié)議I/OInput/Output輸入/輸出IaaSInfrastructure as a Service基礎(chǔ)設(shè)施即服務(wù)PaaSPlatform as a Service平臺即服務(wù)QoSQuality of Service服務(wù)質(zhì)量SaaSSoftware as a Service軟件即服務(wù)SQLStructured Query Language結(jié)構(gòu)化查詢語言TCPTrans

12、mission Control Protocol傳輸控制協(xié)議VPCVirtual Private Cloud私有用戶網(wǎng)絡(luò)VPNVirtual Private Network虛擬專用網(wǎng)絡(luò)WANWide Area Network廣域網(wǎng)概述服務(wù)類別云服務(wù)類別主要包括基礎(chǔ)設(shè)施即服務(wù)（IaaS）、平臺即服務(wù)（PaaS）和軟件即服務(wù)（SaaS）。IaaS服務(wù)提供計算、存儲、網(wǎng)絡(luò)等基礎(chǔ)資源服務(wù)。云服務(wù)使用者可通過管理平臺、應(yīng)用編程接口等使用、監(jiān)控、管理云計算平臺中的資源。PaaS服務(wù)提供運行在云計算基礎(chǔ)設(shè)施上的軟件開發(fā)和運行平臺服務(wù)。云服務(wù)使用者可基于云計算平臺提供的PaaS服務(wù)進行系統(tǒng)開發(fā)、測試、集成、部

13、署、運行、維護等工作。SaaS服務(wù)提供運行在云計算基礎(chǔ)設(shè)施上的應(yīng)用軟件服務(wù)，如電子郵箱服務(wù)等。部署模式金融領(lǐng)域云計算部署模式主要包括私有云、行業(yè)云以及由其組成的混合云等。金融機構(gòu)應(yīng)秉持安全優(yōu)先、對用戶負責的原則，根據(jù)信息系統(tǒng)所承載業(yè)務(wù)的重要性和數(shù)據(jù)的敏感性、發(fā)生安全事件時的危害程度等，充分評估可能存在的風險隱患，謹慎選用與業(yè)務(wù)系統(tǒng)相適應(yīng)的部署模式。金融機構(gòu)應(yīng)承擔的安全責任不因使用云計算服務(wù)而免除或減輕。對于支持關(guān)鍵業(yè)務(wù)功能、發(fā)生安全事件時對金融機構(gòu)及其用戶產(chǎn)生重大影響的重要業(yè)務(wù)系統(tǒng)，金融機構(gòu)在自身技術(shù)能力允許的條件下，應(yīng)優(yōu)先采用私有云部署模式。對于確有必要采用行業(yè)云相關(guān)部署模式的，金融機構(gòu)應(yīng)嚴

14、格遵循監(jiān)管部門關(guān)于信息技術(shù)外包風險管理、信息與資金安全、業(yè)務(wù)連續(xù)性保障等方面的要求，嚴格規(guī)范與云服務(wù)提供者的技術(shù)合作，對云服務(wù)提供者開展全面深入的盡職調(diào)查、風險評估、日常風險監(jiān)測，避免因使用云計算技術(shù)不當引發(fā)業(yè)務(wù)中斷或信息泄露等安全問題。云服務(wù)參與方云服務(wù)的參與方包括：云服務(wù)使用者；云服務(wù)提供者；云服務(wù)合作者；云服務(wù)審計者。如圖1所示，云服務(wù)提供者為云服務(wù)使用者提供包括IaaS、PaaS、SaaS等類別的云服務(wù)，并負責云計算平臺的建設(shè)、運營和管理；云服務(wù)使用者基于云服務(wù)提供者提供的云服務(wù)構(gòu)建、運行、維護自身的應(yīng)用系統(tǒng)，或直接使用可作為應(yīng)用系統(tǒng)的云服務(wù)；云服務(wù)合作者為云服務(wù)提供者、云服務(wù)使用者提

15、供支撐或協(xié)助；云服務(wù)審計者對云服務(wù)提供者、云服務(wù)使用者、云服務(wù)合作者進行獨立審計。云服務(wù)參與方視圖金融領(lǐng)域云計算架構(gòu)特性高彈性云計算平臺應(yīng)具備資源彈性伸縮能力。在業(yè)務(wù)高峰期，云計算平臺資源能夠快速擴容支持大流量、高并發(fā)的金融交易場景；在業(yè)務(wù)低谷期，云計算平臺資源能夠合理收縮，避免資源過度配置。開放性云計算平臺應(yīng)采用開放的架構(gòu)體系，不與某個特定的云服務(wù)提供者綁定。在云服務(wù)使用者中止或變更服務(wù)時，云計算平臺應(yīng)支持應(yīng)用和數(shù)據(jù)在不同云計算平臺間、用戶信息系統(tǒng)與云計算平臺之間進行快速便捷的遷移?；ネㄐ栽朴嬎闫脚_應(yīng)支持通用、規(guī)范的通信接口，同一云計算平臺內(nèi)或不同云計算平臺間的云服務(wù)應(yīng)能夠按需進行安全便捷的

16、信息交互。高可用性云計算平臺應(yīng)具備軟件、主機、存儲、網(wǎng)絡(luò)節(jié)點、數(shù)據(jù)中心等層面的高可用保障能力，能夠從嚴重故障或錯誤中快速恢復，保障應(yīng)用系統(tǒng)的連續(xù)正常運行，滿足金融領(lǐng)域業(yè)務(wù)連續(xù)性要求。數(shù)據(jù)安全性云計算平臺應(yīng)在架構(gòu)層面保障端到端的數(shù)據(jù)安全，對用戶數(shù)據(jù)進行全生命周期的嚴格保護，保證數(shù)據(jù)在產(chǎn)生、使用、傳輸和存儲等過程中的完整性和一致性，避免數(shù)據(jù)的錯誤、丟失和泄露。架構(gòu)體系概述云計算平臺架構(gòu)體系可以分為基礎(chǔ)硬件設(shè)施與設(shè)備、資源抽象與控制、云服務(wù)、運維運營管理等部分，如圖2所示。基礎(chǔ)硬件設(shè)施與設(shè)備主要包括機房及其附屬設(shè)施、計算設(shè)備、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備和其他設(shè)備；資源抽象與控制主要包括計算資源池、存儲資源池

17、、網(wǎng)絡(luò)資源池、資源管理和調(diào)度平臺等；云服務(wù)主要包含IaaS、PaaS、SaaS等類型的服務(wù)；運維運營管理主要包括日常管理、資源監(jiān)控、運維管理、自助服務(wù)和服務(wù)管理等。云計算平臺架構(gòu)體系基礎(chǔ)硬件設(shè)施與設(shè)備概述基礎(chǔ)硬件設(shè)施與設(shè)備是指機房等基礎(chǔ)設(shè)施以及計算、存儲、網(wǎng)絡(luò)等設(shè)備，是云計算環(huán)境的物理基礎(chǔ)。云計算平臺應(yīng)使用安全可控、體系架構(gòu)開放的硬件進行構(gòu)建，保障安全性、可用性和可靠性。機房建設(shè)機房在選址、建筑結(jié)構(gòu)、供電、制冷、消防、布線、物理訪問控制、防盜防破壞等方面應(yīng)符合GB 50174-2017、JR/T 0131-2015、JR/T 0071-2012有關(guān)要求。網(wǎng)絡(luò)設(shè)備云計算平臺網(wǎng)絡(luò)主要包括數(shù)據(jù)中心內(nèi)

18、部網(wǎng)絡(luò)和跨數(shù)據(jù)中心網(wǎng)絡(luò)，具體要求如下：數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)應(yīng)采用高可靠、低時延、可擴展的網(wǎng)絡(luò)架構(gòu)；應(yīng)支持按照計算、存儲設(shè)備的通信需求，提供低時延處理和高并發(fā)接入；應(yīng)支持按照管理粒度提供網(wǎng)絡(luò)區(qū)域間的物理或邏輯隔離的功能。計算和存儲設(shè)備計算設(shè)備指提供計算能力的物理服務(wù)器，具體要求如下：應(yīng)支持納入計算資源池進行管理。存儲設(shè)備包括集中式存儲設(shè)備和分布式存儲設(shè)備。集中式存儲設(shè)備的具體要求如下：集中式存儲應(yīng)采用高密度物理磁盤和高可用控制器；集中式存儲架構(gòu)應(yīng)具備較高的I/O處理能力，支持存儲擴展。分布式存儲設(shè)備的具體要求如下：應(yīng)支持將數(shù)據(jù)分散的存儲在不同的存儲服務(wù)器中，支持存儲服務(wù)器分布式擴展。資源抽象與控制概

19、述資源抽象與控制是實現(xiàn)基礎(chǔ)硬件設(shè)施與設(shè)備服務(wù)化的基礎(chǔ)，包括計算資源池、存儲資源池、網(wǎng)絡(luò)資源池，以及資源管理和調(diào)度平臺，并為云服務(wù)和運維運營管理平臺提供支撐。計算資源池計算資源主要包括物理機和虛擬機兩大類，所有計算資源應(yīng)按照資源池進行管理，計算虛擬化技術(shù)和計算資源管理是構(gòu)建計算資源池的重要基礎(chǔ)。計算虛擬化技術(shù)能夠利用虛擬化軟件從計算資源池中虛擬出一臺或多臺虛擬機。虛擬化軟件的功能要求如下：應(yīng)支持單物理服務(wù)器上多虛擬機管理與配置；應(yīng)支持不同虛擬機之間資源邏輯隔離；應(yīng)支持虛擬機對CPU和內(nèi)存等資源的使用進行QoS配置；應(yīng)支持設(shè)置CPU和內(nèi)存使用的上限和下限；應(yīng)支持動態(tài)調(diào)整虛擬機CPU、內(nèi)存的配置，滿

20、足業(yè)務(wù)運行需求；計算資源管理將各類計算資源統(tǒng)一管理并提供服務(wù)。計算資源管理的功能要求如下：應(yīng)支持計算資源池化，提供可動態(tài)調(diào)整的CPU、內(nèi)存、I/O設(shè)備等資源；應(yīng)支持物理機和虛擬機的生命周期管理；應(yīng)支持鏡像的生命周期管理；應(yīng)支持虛擬機的克隆、快照和備份管理；應(yīng)支持按網(wǎng)絡(luò)結(jié)構(gòu)、資源池規(guī)劃、管理粒度、資源種類等靈活劃分資源池；應(yīng)支持計算資源靈活調(diào)配的功能；應(yīng)支持根據(jù)資源使用情況自動伸縮資源；應(yīng)支持運行狀態(tài)下的虛擬機動態(tài)遷移，并維持業(yè)務(wù)正常運行。應(yīng)支持屏蔽相同架構(gòu)類型下不同硬件的實現(xiàn)差異；應(yīng)支持虛擬機的故障恢復功能。存儲資源池概述存儲資源池由存儲資源管理和存儲系統(tǒng)兩部分組成，如圖3所示。存儲資源池存儲

21、資源管理存儲資源管理負責存儲系統(tǒng)資源的管理，其功能要求如下：應(yīng)支持按存儲資源類型實現(xiàn)資源池的分類管理和調(diào)度；應(yīng)支持提供多種I/O性能的存儲資源； 應(yīng)支持存儲資源靈活調(diào)配的功能；應(yīng)支持通過精簡配置等功能提升存儲資源利用率；宜支持多種存儲系統(tǒng)的統(tǒng)一管理。存儲系統(tǒng)存儲系統(tǒng)的通用功能要求如下：應(yīng)支持高可擴展性，支持數(shù)據(jù)的存儲和讀寫；應(yīng)支持故障自動偵測、故障隔離和數(shù)據(jù)遷移，避免單點故障風險；應(yīng)具備可靠的數(shù)據(jù)存儲保護能力；應(yīng)支持存儲系統(tǒng)在線擴容和自動數(shù)據(jù)平衡。存儲系統(tǒng)包含存儲數(shù)據(jù)層、存儲抽象層和存儲接口層。存儲數(shù)據(jù)層是云計算存儲系統(tǒng)的最底層，是數(shù)據(jù)存儲的載體，可基于集中式存儲或分布式存儲構(gòu)建。其功能要求如

22、下：應(yīng)支持硬盤、存儲服務(wù)器、磁盤陣列等存儲資源；應(yīng)支持存儲容量按需擴容；應(yīng)支持屏蔽相同架構(gòu)類型下不同硬件的實現(xiàn)差異。存儲抽象層為用戶提供存儲資源的抽象，包括但不限于塊存儲、文件存儲和對象存儲等。存儲接口層提供塊存儲接口、文件存儲接口和對象存儲接口等存儲系統(tǒng)與外部的接口，應(yīng)支持高速可靠的數(shù)據(jù)傳輸。網(wǎng)絡(luò)資源池網(wǎng)絡(luò)資源池是將網(wǎng)絡(luò)設(shè)備進行邏輯抽象和集中管理形成的資源池，由基礎(chǔ)物理網(wǎng)絡(luò)、虛擬網(wǎng)絡(luò)和網(wǎng)絡(luò)資源管理等部分組成，其中基礎(chǔ)物理網(wǎng)絡(luò)到虛擬網(wǎng)絡(luò)的抽象通過網(wǎng)絡(luò)虛擬化技術(shù)實現(xiàn)。網(wǎng)絡(luò)資源池的層次劃分如圖4所示。網(wǎng)絡(luò)資源池基礎(chǔ)物理網(wǎng)絡(luò)基礎(chǔ)物理網(wǎng)絡(luò)是云計算平臺網(wǎng)絡(luò)資源池的底層基礎(chǔ)，包括物理交換機、物理路由器、V

23、PN網(wǎng)絡(luò)、負載均衡系統(tǒng)、廣域網(wǎng)等?；A(chǔ)物理網(wǎng)絡(luò)的架構(gòu)要求如下：應(yīng)支持多條物理鏈路之間互為備份；應(yīng)支持多條物理鏈路之間對流量進行負載分擔；應(yīng)支持跨設(shè)備配置鏈路備份，可將不同設(shè)備上的物理以太網(wǎng)端口配置成一個聚合端口；采用控制與轉(zhuǎn)發(fā)分離架構(gòu)時應(yīng)同時支持網(wǎng)絡(luò)轉(zhuǎn)發(fā)平面和控制平面的高可用性。VPN網(wǎng)絡(luò)在廣域網(wǎng)中建立安全可靠、穩(wěn)定的隧道連接，以保障信息傳輸安全，用于實現(xiàn)云計算平臺內(nèi)部網(wǎng)絡(luò)的拓展，保障租戶接入云計算平臺內(nèi)部網(wǎng)絡(luò)的連接安全。VPN網(wǎng)絡(luò)的功能要求如下：應(yīng)支持可靠的身份認證，支持傳輸數(shù)據(jù)加密技術(shù)，能夠有效隱藏云計算平臺內(nèi)部網(wǎng)絡(luò)拓撲結(jié)構(gòu)；宜支持通過數(shù)據(jù)壓縮等技術(shù)實現(xiàn)網(wǎng)絡(luò)加速。負載均衡（可通過硬件或軟件

24、實現(xiàn)）包括服務(wù)器負載均衡和全局負載均衡。服務(wù)器負載均衡由負載均衡服務(wù)器將業(yè)務(wù)流量按一定策略分配到多臺部署相同業(yè)務(wù)的服務(wù)器上。服務(wù)器負載均衡的功能要求如下：應(yīng)采用冗余架構(gòu)，避免單點故障；應(yīng)提供傳輸層（如TCP協(xié)議）或應(yīng)用層（如HTTP協(xié)議）的負載均衡服務(wù)；應(yīng)支持彈性擴展，可與虛擬機配合提供系統(tǒng)的彈性擴展。全局負載均衡通過在多數(shù)據(jù)中心部署相同業(yè)務(wù)應(yīng)用的方式提供服務(wù)。全局負載均衡的功能要求如下：應(yīng)支持負載均衡設(shè)備間配置同步；應(yīng)支持根據(jù)策略將業(yè)務(wù)流量分配到多數(shù)據(jù)中心；宜支持多種全局負載均衡調(diào)度算法，包括隨機訪問和優(yōu)先級訪問；宜支持多種應(yīng)用健康檢測方式，通過健康檢測檢查業(yè)務(wù)服務(wù)器和服務(wù)端口的可用性，優(yōu)先

25、選用服務(wù)器和服務(wù)端口滿足健康檢測要求的站點。廣域網(wǎng)（WAN）是連接運營商網(wǎng)絡(luò)的云計算平臺出口。金融業(yè)云計算平臺通常采用多數(shù)據(jù)中心且數(shù)據(jù)中心多出口的架構(gòu)。廣域網(wǎng)（WAN）的功能要求如下：應(yīng)支持數(shù)據(jù)中心出口流量優(yōu)化，自動均衡各個出口流量利用率；應(yīng)支持將不同的業(yè)務(wù)部署到不同的廣域網(wǎng)絡(luò)；宜支持基于時延、帶寬等鏈路特點選擇特定路徑；宜支持流量管控，可區(qū)分廣域網(wǎng)絡(luò)中的非正常業(yè)務(wù)流量。虛擬網(wǎng)絡(luò)云計算平臺使用網(wǎng)絡(luò)虛擬化的技術(shù)將物理網(wǎng)絡(luò)抽象成若干可以分配給云服務(wù)使用者使用的虛擬用戶網(wǎng)絡(luò)（VPC）。虛擬網(wǎng)絡(luò)是指這些VPC的合集。云服務(wù)使用者可根據(jù)業(yè)務(wù)需求定義自己的VPC，包括定義網(wǎng)絡(luò)拓撲、創(chuàng)建路由、創(chuàng)建虛擬交換機

26、、創(chuàng)建子網(wǎng)、定義ACL等。虛擬網(wǎng)絡(luò)的功能要求如下：應(yīng)支持為不同的租戶構(gòu)建獨立的虛擬網(wǎng)絡(luò)，并保證租戶間網(wǎng)絡(luò)的隔離；應(yīng)支持同一租戶VPC之間的互通；應(yīng)支持虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)之間的三層交換。網(wǎng)絡(luò)虛擬化利用網(wǎng)絡(luò)虛擬化可在一個物理網(wǎng)絡(luò)上模擬出多個虛擬網(wǎng)絡(luò)。網(wǎng)絡(luò)虛擬化包括網(wǎng)卡的虛擬化，物理網(wǎng)絡(luò)設(shè)備的虛擬化，租戶網(wǎng)絡(luò)的虛擬化，以及網(wǎng)絡(luò)功能虛擬化。網(wǎng)絡(luò)虛擬化的功能要求如下：應(yīng)支持將物理網(wǎng)絡(luò)設(shè)備虛擬化為邏輯網(wǎng)絡(luò)設(shè)備使用；應(yīng)支持掛載和卸載虛擬機網(wǎng)卡；應(yīng)支持端口鏡像，滿足遠程運維和故障分析需求；應(yīng)支持分布式虛擬交換機功能；應(yīng)支持虛擬機和物理網(wǎng)卡直通功能，提升虛擬機網(wǎng)絡(luò)性能；應(yīng)支持通過隧道封裝技術(shù)為租戶構(gòu)建獨立隔離的

27、虛擬網(wǎng)絡(luò)；宜支持網(wǎng)絡(luò)功能虛擬化，在物理機上提供網(wǎng)絡(luò)功能。網(wǎng)絡(luò)資源管理網(wǎng)絡(luò)資源管理將物理和虛擬網(wǎng)絡(luò)資源形成資源池進行統(tǒng)一管理調(diào)度。網(wǎng)絡(luò)資源管理的功能要求如下：應(yīng)采取冗余架構(gòu)等措施，避免網(wǎng)絡(luò)資源管理節(jié)點的單點故障；宜支持對不同廠商網(wǎng)絡(luò)設(shè)備的管理和配置自動下發(fā)，包括子網(wǎng)、網(wǎng)關(guān)、路由等參數(shù)的配置。資源管理和調(diào)度平臺資源管理和調(diào)度平臺能夠接收云計算平臺的服務(wù)資源請求，實現(xiàn)對資源的調(diào)度分配。資源管理和調(diào)度平臺的功能要求如下：應(yīng)支持對計算、存儲、網(wǎng)絡(luò)資源的統(tǒng)一管理；應(yīng)對不同租戶的計算、存儲、網(wǎng)絡(luò)資源在性能和訪問上進行隔離；應(yīng)支持資源協(xié)同管理，能夠按需整合計算、存儲、網(wǎng)絡(luò)資源；應(yīng)支持資源負載自動感知，可根據(jù)負

28、載情況靈活調(diào)配資源；應(yīng)支持自動檢測故障和系統(tǒng)熱點，保證業(yè)務(wù)穩(wěn)定可靠運行；應(yīng)支持多數(shù)據(jù)中心資源的統(tǒng)一管理；應(yīng)支持資源管理和調(diào)度平臺的高可用；宜支持多種虛擬技術(shù)的統(tǒng)一管理；宜支持虛擬化資源和物理資源的轉(zhuǎn)換。云服務(wù)概述云服務(wù)層按照應(yīng)用場景需要將IT資源、平臺、應(yīng)用等一種或多種功能封裝成不同的云服務(wù)提供給云服務(wù)使用者，可分為基礎(chǔ)設(shè)施即服務(wù)（IaaS）、平臺即服務(wù)（PaaS）和軟件即服務(wù)（SaaS）等服務(wù)類別。IaaS服務(wù)包括但不限于虛擬機服務(wù)、物理機服務(wù)、存儲服務(wù)、負載均衡服務(wù)、虛擬用戶網(wǎng)絡(luò)服務(wù)等，PaaS服務(wù)包括但不限于數(shù)據(jù)庫服務(wù)、容器服務(wù)、中間件服務(wù)等。SaaS服務(wù)包括行業(yè)類SaaS服務(wù)和通用類S

29、aaS服務(wù)等。云服務(wù)的層次劃分如圖5所示。云計算平臺在提供相應(yīng)服務(wù)時應(yīng)滿足本規(guī)范的要求，但并不要求云計算平臺提供以上全部服務(wù)。云服務(wù)的層次劃分IaaS服務(wù)虛擬機服務(wù)虛擬機服務(wù)是指云服務(wù)提供者向云服務(wù)使用者提供面向操作系統(tǒng)的計算服務(wù)。虛擬機服務(wù)的功能要求如下：應(yīng)具備虛擬機全生命周期管理功能，支持對虛擬機進行創(chuàng)建、刪除、回收、暫停、恢復、關(guān)閉、重啟等操作；應(yīng)支持不同類型的操作系統(tǒng)和存儲設(shè)備；應(yīng)支持創(chuàng)建自定義CPU、內(nèi)存、網(wǎng)絡(luò)、磁盤等屬性的虛擬機；應(yīng)支持對運行或停止狀態(tài)的虛擬機生成快照，并提供快照回滾功能；應(yīng)支持計算能力的垂直伸縮，如CPU和內(nèi)存的升級與降級、磁盤和網(wǎng)卡的增加與減少等；應(yīng)支持計算能力

30、的水平伸縮，如創(chuàng)建、刪除虛擬機實例等；應(yīng)支持自定義網(wǎng)絡(luò)配置；應(yīng)支持故障場景下的虛擬機恢復；應(yīng)支持虛擬機的熱遷移和高可用。物理機服務(wù)物理機服務(wù)為用戶提供專用的物理機，滿足其業(yè)務(wù)安全性、穩(wěn)定性及部分業(yè)務(wù)無法在虛擬機部署的需求。物理機服務(wù)的功能要求如下：應(yīng)支持不同物理機規(guī)格和配置；應(yīng)支持多種操作系統(tǒng)；應(yīng)支持物理機的自動發(fā)放；應(yīng)支持物理機自動完成網(wǎng)絡(luò)配置和操作系統(tǒng)安裝；應(yīng)支持同一個租戶的虛擬機和物理機相互連通。存儲服務(wù)存儲服務(wù)是指為云服務(wù)使用者提供數(shù)據(jù)存儲的服務(wù)，存儲服務(wù)可分為塊存儲、文件存儲、對象存儲和歸檔存儲等。塊存儲是指將虛擬化的物理磁盤空間直接映射給服務(wù)器使用的存儲服務(wù)。塊存儲可用于構(gòu)建獨立可

31、擴展硬盤、文件系統(tǒng)、數(shù)據(jù)庫存儲等。塊存儲服務(wù)的功能要求如下：應(yīng)支持基于多租戶的身份認證和數(shù)據(jù)隔離等存儲管理功能；應(yīng)支持良好的I/O性能、數(shù)據(jù)傳輸和數(shù)據(jù)讀寫訪問功能；應(yīng)通過冗余副本、冗余訪問路徑等方式實現(xiàn)故障容錯；應(yīng)能夠?qū)崿F(xiàn)數(shù)據(jù)的快速備份和恢復；應(yīng)支持存儲容量擴展。文件存儲是指以文件傳輸協(xié)議為主要接入方式的文件級數(shù)據(jù)存儲服務(wù)。文件存儲服務(wù)的功能要求如下：應(yīng)支持基于多租戶的身份認證和數(shù)據(jù)隔離等存儲管理功能；應(yīng)通過冗余副本、集群等方式保障高可靠性；應(yīng)支持多個設(shè)備同時掛載同一文件系統(tǒng)以實現(xiàn)文件共享功能；應(yīng)支持低延時、高并發(fā)的數(shù)據(jù)訪問；應(yīng)支持存儲容量的在線擴容。對象存儲服務(wù)以數(shù)據(jù)標記為主要文件組織方式，

32、提供完全扁平化的存儲服務(wù)。對象存儲服務(wù)的功能要求如下：應(yīng)支持基于多租戶的身份認證和數(shù)據(jù)隔離等存儲管理功能；應(yīng)通過冗余副本、集群等方式保障高可靠性；應(yīng)支持低延時、高并發(fā)的數(shù)據(jù)訪問；應(yīng)支持存儲空間的在線擴展；應(yīng)支持對象存儲用戶配額的設(shè)置和檢查，保證使用容量達到配額后不能繼續(xù)占用更多存儲空間。歸檔存儲主要用于存儲訪問頻率極低的數(shù)據(jù)，并提供數(shù)據(jù)歸檔和備份管理。歸檔存儲的功能要求如下：應(yīng)支持基于多租戶的身份認證和數(shù)據(jù)隔離等存儲管理功能；應(yīng)通過冗余副本、集群等方式保障高可靠性；宜支持為云服務(wù)使用者的歷史數(shù)據(jù)提供區(qū)別于實時交易性能的存儲介質(zhì)，并支持高壓縮比的文件存儲功能。VPC服務(wù)VPC服務(wù)為云服務(wù)使用者在

33、云計算平臺上構(gòu)建出一個邏輯隔離、私有的虛擬網(wǎng)絡(luò)環(huán)境，使云服務(wù)使用者可以自行管理、控制該環(huán)境內(nèi)的IP地址、網(wǎng)段、路由和虛擬網(wǎng)絡(luò)設(shè)備等。VPC服務(wù)的功能要求如下：應(yīng)支持多租戶之間的網(wǎng)絡(luò)邏輯隔離；應(yīng)支持自定義私網(wǎng)網(wǎng)段，分配私網(wǎng)地址；應(yīng)支持互聯(lián)網(wǎng)接入，支持IP地址轉(zhuǎn)換和帶寬配置；應(yīng)支持私網(wǎng)內(nèi)的子網(wǎng)劃分、路由連通等功能；應(yīng)支持靈活的訪問控制規(guī)則。負載均衡服務(wù)負載均衡服務(wù)的功能應(yīng)滿足章節(jié)的有關(guān)要求。網(wǎng)絡(luò)連接服務(wù)網(wǎng)絡(luò)連接服務(wù)提供跨網(wǎng)絡(luò)的互聯(lián)互通服務(wù)，按使用方式可包括專線服務(wù)和基于VPN的連接服務(wù)等。網(wǎng)絡(luò)連接服務(wù)的功能要求如下：應(yīng)提供安全可靠的網(wǎng)絡(luò)連通；應(yīng)支持按云服務(wù)使用者要求定義網(wǎng)絡(luò)路由規(guī)則。內(nèi)容分發(fā)網(wǎng)絡(luò)服

34、務(wù)內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù)是指在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上增加能夠快速響應(yīng)服務(wù)的加速節(jié)點，以有效降低用戶訪問延遲。內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù)的功能要求如下：應(yīng)支持穩(wěn)定、可靠的網(wǎng)絡(luò)服務(wù)和終端帶寬接入；應(yīng)支持通過分布多地的內(nèi)容分發(fā)網(wǎng)絡(luò)節(jié)點提供網(wǎng)絡(luò)優(yōu)化和網(wǎng)絡(luò)加速；應(yīng)提供用戶自服務(wù)功能，包括創(chuàng)建、刪除、修改加速內(nèi)容等；應(yīng)提供基本的數(shù)據(jù)分析和監(jiān)控功能，包括消耗統(tǒng)計、訪問統(tǒng)計、源站數(shù)據(jù)統(tǒng)計等。域名服務(wù)域名服務(wù)為云服務(wù)使用者提供域名的生命周期管理，包括域名注冊、域名解析、域名轉(zhuǎn)入、域名備案等服務(wù)。域名服務(wù)的功能要求如下：應(yīng)支持自服務(wù)的域名注冊、批量注冊、域名轉(zhuǎn)入等功能；應(yīng)支持多種域名記錄類型，如A、CNAME、MX等；應(yīng)支持域名解析到云

35、資源，如解析到云計算平臺服務(wù)器的互聯(lián)網(wǎng)IP和端口等；應(yīng)支持域名解析快速生效和同步的功能；PaaS服務(wù)數(shù)據(jù)庫服務(wù)數(shù)據(jù)庫服務(wù)主要包括關(guān)系型數(shù)據(jù)庫服務(wù)和非關(guān)系型數(shù)據(jù)庫服務(wù)，其中關(guān)系型數(shù)據(jù)庫服務(wù)包含集中式關(guān)系型數(shù)據(jù)庫服務(wù)和分布式關(guān)系型數(shù)據(jù)庫服務(wù)。集中式關(guān)系型數(shù)據(jù)庫服務(wù)的功能要求如下：應(yīng)基于集群技術(shù)及負載均衡等提供高可用性；應(yīng)具備縱向和橫向的擴展功能；應(yīng)支持讀寫分離功能；應(yīng)支持數(shù)據(jù)庫集群的節(jié)點在線擴容和升級；應(yīng)支持數(shù)據(jù)同步功能，能夠采用實時、離線方式進行數(shù)據(jù)遷移；宜支持基于多租戶的數(shù)據(jù)存儲和數(shù)據(jù)隔離。分布式關(guān)系型數(shù)據(jù)庫服務(wù)提供多節(jié)點的關(guān)系型數(shù)據(jù)庫處理，其功能要求如下：應(yīng)提供跨數(shù)據(jù)庫節(jié)點的數(shù)據(jù)操作，并保證

36、數(shù)據(jù)的一致性；應(yīng)支持數(shù)據(jù)庫的橫向擴容和分庫分表；應(yīng)支持數(shù)據(jù)庫算法跨數(shù)據(jù)庫節(jié)點進行數(shù)據(jù)處理，保證數(shù)據(jù)處理的準確性；應(yīng)支持多節(jié)點數(shù)據(jù)庫的統(tǒng)一監(jiān)控運維。非關(guān)系型數(shù)據(jù)庫服務(wù)功能要求如下：應(yīng)支持緩存與數(shù)據(jù)持久化層之間可靠數(shù)據(jù)同步；應(yīng)支持數(shù)據(jù)的全生命周期管理，可實現(xiàn)緩存的多副本存儲；應(yīng)支持橫向擴容功能。分布式數(shù)據(jù)處理服務(wù)分布式數(shù)據(jù)處理服務(wù)通過大規(guī)模、可擴展的分布式架構(gòu)，對海量數(shù)據(jù)提供高效的存儲、計算和分析。分布式數(shù)據(jù)處理服務(wù)的功能要求如下：應(yīng)支持海量數(shù)據(jù)存儲與計算；應(yīng)提供多維任意組合查詢的數(shù)據(jù)訪問接口；應(yīng)支持并行計算框架，如Map/Reduce、MPI等；應(yīng)提供按需使用、彈性伸縮的服務(wù)模式，可進行在線升級和擴容；應(yīng)支持跨集群的作業(yè)調(diào)度和數(shù)據(jù)流動，提供客戶端開發(fā)工具；應(yīng)提供數(shù)據(jù)同步工具，實現(xiàn)和其他數(shù)據(jù)持久化層軟件的雙向數(shù)據(jù)同步；宜支持多租戶管理體系，實現(xiàn)應(yīng)用、數(shù)據(jù)等方面的多租戶隔離。容器服務(wù)容器服務(wù)為云服務(wù)使用者提供輕量級的應(yīng)用封裝、