虛擬化數(shù)據(jù)中心技術方案建議書

1、 DOCPROPERTY PartNumber DOCPROPERTY DocumentName 虛擬化數(shù)據(jù)中心技術方案建議書目 錄 TOC o 1-3 u t 標題 4,4 目 錄 PAGEREF _Toc523592539 h 21概述 PAGEREF _Toc523592540 h 41.1當前IT基礎設施面臨的問題 PAGEREF _Toc523592541 h 41.2為什么要虛擬化？ PAGEREF _Toc523592542 h 41.3項目需求 PAGEREF _Toc523592543 h 62數(shù)據(jù)中心虛擬化解決方案整體架構 PAGEREF _Toc523592544 h 8

2、2.1整體架構 PAGEREF _Toc523592545 h 82.2華為虛擬化軟件系統(tǒng)介紹 PAGEREF _Toc523592546 h 113建設方案 PAGEREF _Toc523592547 h 133.1系統(tǒng)組網(wǎng)方案設計 PAGEREF _Toc523592548 h 133.1.1網(wǎng)絡總體方案 PAGEREF _Toc523592549 h 133.1.2網(wǎng)絡總體方案(E9000+FusionStorage一體機) PAGEREF _Toc523592550 h 153.1.3網(wǎng)絡配置 PAGEREF _Toc523592551 h 183.2備份方案設計（可選） PAGERE

3、F _Toc523592552 h 183.2.1HyerDP備份方案介紹 PAGEREF _Toc523592553 h 193.2.2備份容量設計 PAGEREF _Toc523592554 h 203.3多層次安全防護設計（可選） PAGEREF _Toc523592555 h 213.3.1安全框架 PAGEREF _Toc523592556 h 213.3.2網(wǎng)絡安全 PAGEREF _Toc523592557 h 233.3.3虛擬化安全 PAGEREF _Toc523592558 h 263.3.4數(shù)據(jù)安全 PAGEREF _Toc523592559 h 273.3.5管理安全

4、PAGEREF _Toc523592560 h 293.4可靠性設計 PAGEREF _Toc523592561 h 303.4.1虛擬化可靠性 PAGEREF _Toc523592562 h 313.4.2管理可靠性 PAGEREF _Toc523592563 h 313.4.3服務器可靠性 PAGEREF _Toc523592564 h 313.4.4存儲可靠性設計 PAGEREF _Toc523592565 h 313.4.5網(wǎng)絡可靠性設計 PAGEREF _Toc523592566 h 323.5云數(shù)據(jù)中心管理（可選） PAGEREF _Toc523592567 h 323.5.1統(tǒng)一

5、資源管理 PAGEREF _Toc523592568 h 333.5.2自動化運維 PAGEREF _Toc523592569 h 343.5.3用戶權限管理 PAGEREF _Toc523592570 h 353.5.4開放API接口 PAGEREF _Toc523592571 h 363.5.5監(jiān)控管理 PAGEREF _Toc523592572 h 363.5.6告警管理 PAGEREF _Toc523592573 h 373.5.7拓撲管理 PAGEREF _Toc523592574 h 383.5.8日志管理 PAGEREF _Toc523592575 h 383.5.9客戶二次開發(fā)

6、 PAGEREF _Toc523592576 h 384配置清單 PAGEREF _Toc523592577 h 38概述當前IT基礎設施面臨的問題IT技術自誕生之日就一直服務著人類社會。今天，幾乎所有的行業(yè)，如金融、醫(yī)療、教育、政府、企業(yè)、科研、軍隊等都依賴于IT基礎設施進行運轉，IT基礎設施成為企業(yè)或組織發(fā)展的強勁助推力，為企業(yè)主體業(yè)務的發(fā)展提供穩(wěn)定的運行環(huán)境和高效的流程支持。然而，由于技術發(fā)展本身的限制以及人們認識的不足，當前絕大多數(shù)IT基礎設施都是基于“煙囪式”框架建設，這種架構的特點基于零散的業(yè)務需求采購、建設IT系統(tǒng)，各個業(yè)務系統(tǒng)的物理設備相互獨立，整個企業(yè)的IT基礎設施就如同煙囪

7、一樣，是一個個獨立系統(tǒng)湊起來的。隨著企業(yè)的發(fā)展，企業(yè)對IT基礎設施的依賴越來越大，企業(yè)IT基礎設施上承載的信息量急劇增加， 企業(yè)在IT設施的維護上投入的人力物力也越來越大，這種“煙囪式”IT基礎設施逐漸暴露出一些自身的突出問題：設備采購時基于業(yè)務峰值估算硬件配置，硬件設備CAPEX較高，而在絕大多數(shù)業(yè)務平穩(wěn)運行時間內，硬件設備利用率普遍不高，如服務器在很多情況下利用率不足20%，大量IT能力被閑置；IT系統(tǒng)建設周期長，軟、硬件設備一般都需經(jīng)過規(guī)劃、立項、招標、選型、采購、建設、測試、業(yè)務上線、轉維等多個環(huán)節(jié)，業(yè)務上線慢，無法靈活快速響應業(yè)務需求變化；業(yè)務連續(xù)性保障差、數(shù)據(jù)可靠性弱，有限的主動宕

8、機時間不足以完成系統(tǒng)維護工作；由于IT系統(tǒng)是“煙囪式”堆疊分期建設，各個系統(tǒng)的軟、硬件可能是不同廠家提供，這就導致企業(yè)在IT系統(tǒng)的維護方面需要投入較大人力、物力資源，整個IT系統(tǒng)的OPEX越來越大，企業(yè)在IT基礎設施的投入增速會超過業(yè)務發(fā)展的增速；不同廠家提供軟、硬件設備構建的IT系統(tǒng)，導致系統(tǒng)架構、功能復雜化，在維護過程中也增加了維護的難度；單一設備的可靠性差，導致系統(tǒng)的穩(wěn)定性和可用性低；系統(tǒng)的容災備份能力有限，冗余資源無法實現(xiàn)共享；對數(shù)據(jù)中心機房空間、供電、散熱等需求較大，增加了用戶的IT成本開支。為什么要虛擬化？基于云平臺虛擬化技術，可以實現(xiàn)IT基礎設施中計算、存儲、網(wǎng)絡資源的虛擬化、資

9、源池化管理、資源共享、靈活分配、資源統(tǒng)一管理等功能，實現(xiàn)業(yè)務服務器的整合和統(tǒng)一調配，集中化以及基于策略的管理，以適應快速發(fā)展的業(yè)務需求，提高設備利用率和維護效率，降低IT總持有成本。對于企業(yè)的數(shù)據(jù)中心IT基礎設施進行虛擬化具有以下幾個明顯好處：突破傳統(tǒng)，聚焦公司核心業(yè)務發(fā)展傳統(tǒng)系統(tǒng)建設周期長、IT投資成本高，運維成本高，通過云平臺建設，利用云平臺統(tǒng)一設備管理，低維護成本，易擴展性，資源即時使用等優(yōu)勢，把企業(yè)投入到傳統(tǒng)IT建設與維護的核心資源釋放出來，聚焦公司主流業(yè)務。降低能耗，提升資源利用率，建設綠色數(shù)據(jù)中心通過數(shù)據(jù)中心虛擬化，使原本給一套業(yè)務系統(tǒng)獨占使用的硬件資源可以共享給多個業(yè)務系統(tǒng)使用，

10、明顯提高了資源利用率，控制和減少硬件設備的數(shù)量，從而降低了能耗，減少了供電、散熱等開支；云平臺易擴展、設備易替換，可根據(jù)業(yè)務系統(tǒng)的負荷自動進行服務器上電重載分離、服務器下電輕載合并，提升IT資源利用率，能夠有效地實現(xiàn)節(jié)能減排，從而降低硬件成本，有效降低總體擁有成本（TCO）、提高投資回報率（ROI）。精簡IT資源，降低運維成本利用云平臺統(tǒng)一的虛擬資源、物理資源管理，統(tǒng)一的運維管理平臺；云平臺對應用系統(tǒng)按需分配資源，資源動態(tài)調度，根據(jù)應用系統(tǒng)的負荷自動進行服務器上電重載分離、服務器下電輕載合并；云平臺具有自動發(fā)現(xiàn)故障并及時恢復故障的功能，從而具備了一定的自維護能力；還可以根據(jù)應用系統(tǒng)的負荷進行資

11、源的彈性擴縮，有效地降低維護成本，從降成本中貢獻凈利潤。利用云平臺的高可靠性，確保核心業(yè)務的連續(xù)性通過云平臺FT、HA、熱遷移等功能，能夠有效減少設備故障時間，確保核心業(yè)務的連續(xù)性，避免傳統(tǒng)IT系統(tǒng)中單點故障導致的業(yè)務長時間不可用。資源池化管理，按需使用，靈活應對業(yè)務和IT變化的需要，縮短部署周期虛擬化的一個特點是將硬件資源虛擬成多個統(tǒng)一的資源池統(tǒng)一管理，包括計算資源池、存儲資源池、網(wǎng)絡資源池，用戶需要部署業(yè)務時，云平臺會馬上在資源池中申請資源，創(chuàng)建出滿足業(yè)務需要的虛擬機，用戶不需要使用該業(yè)務系統(tǒng)時，可以通過刪除虛擬機將資源重新釋放到資源池，供下次申請再用；另外，虛擬機具有資源按需使用，動態(tài)調

12、整的優(yōu)勢，當業(yè)務系統(tǒng)的發(fā)展和虛擬機的規(guī)格不符時，可以通過調整虛擬機計算、存儲、網(wǎng)絡的規(guī)格來調整虛擬機的能力，快速適配業(yè)務需求；云平臺資源池一次規(guī)劃，按需部署業(yè)務，降低IT系統(tǒng)規(guī)劃難度，規(guī)避投資風險，柔性十足；云平臺具備便利的擴減容機制，可隨時調整資源規(guī)模以匹配業(yè)務或IT的資源需求變化。高性能的虛擬化平臺通過云平臺的NUMA技術，可以大大提高虛擬機的內存訪問效率，進而提高虛擬機上業(yè)務的運行效率；物理網(wǎng)卡直通技術、物理網(wǎng)卡共享技術及智能網(wǎng)卡的使用，可以將虛擬網(wǎng)卡的IO吞吐量提高3倍，滿足高網(wǎng)絡IO吞吐量場景的需求。項目需求隨著XX業(yè)務的不斷發(fā)展，不斷需要上線新的業(yè)務系統(tǒng)，現(xiàn)有的IT支撐系統(tǒng)逐漸不能

13、滿足業(yè)務快速發(fā)展的需要，暴露出硬件資源利用率低、業(yè)務上線慢、IT系統(tǒng)維護投入巨大的問題，所以迫切需要建設基于云計算技術的數(shù)據(jù)中心，重新構建IT基礎設施，以滿足未來業(yè)務增長對IT支撐的需求。綜合來看，新建設的云數(shù)據(jù)中心具有以下幾方面的需求：梳理并分析現(xiàn)有服務器、存儲、網(wǎng)絡等硬件設備，從技術可行性和性價比角度篩選出可虛擬化使用的設備，同時補充新購一批硬件設備，構建虛擬化資源池，提高硬件設備整體的利用率；/說明：此條需求需根據(jù)項目實際情況調整描述，有些項目沒有設備利舊或新購；此說明請刪除。實現(xiàn)物理資源、虛擬資源的池化管理，按需、動態(tài)使用；實現(xiàn)IT資源即時申請，快速提供；當前已有的業(yè)務系統(tǒng)盡可能平滑遷

14、移到云平臺上，遷移后業(yè)務邏輯關系和業(yè)務能力保持不變，不需要對業(yè)務系統(tǒng)進行軟件改造；后續(xù)新規(guī)劃的業(yè)務將盡可能直接部署在云數(shù)據(jù)中心，并且滿足業(yè)務快速部署的要求；云平臺自身應該具備良好的可靠性，所有軟、硬件應該冗余部署；同時，云平臺必須對業(yè)務系統(tǒng)虛擬機提供良好的可靠性保障，支持虛擬機HA功能，盡可能減少故障情況下業(yè)務系統(tǒng)的中斷時間，并快速自動恢復業(yè)務系統(tǒng)；云平臺必須具備多重安全保障措施，從硬件層、虛擬化層、網(wǎng)絡層、傳輸層等各個層面為業(yè)務系統(tǒng)提供安全保障；云平臺必須具備統(tǒng)一的維護管理系統(tǒng)，實現(xiàn)對物理資源、虛擬資源的統(tǒng)一管理，簡化管理流程，提升管理效率，降低維護管理開支；云數(shù)據(jù)中心必須具備關鍵業(yè)務數(shù)據(jù)備

15、份功能，保障關鍵業(yè)務系統(tǒng)出現(xiàn)故障后業(yè)務數(shù)據(jù)不丟失，并且可以快速恢復業(yè)務；/說明：此條需求需根據(jù)項目實際情況調整描述，F(xiàn)usionSphere高級版、鉑金版（對應運營商的運營版）自帶虛擬機的備份功能HyperDP，如果客戶的備份軟件或備份設備需要繼續(xù)使用，也可以修改為具體的備份方式，如采用某某設備備份等；如果客戶沒有要求備份功能，請刪除此項需求；此說明請刪除。云數(shù)據(jù)中心需要具備容災功能；/說明：一般來說虛擬化項目建設容災功能的比較少，如果沒有容災功能，請刪除此項需求；如果有容災，請補充和客戶確定的具體的容災方案，如“兩地三中心”方案，或“生產中心 + 容災中心”方案；此說明請刪除。云平臺必須能平

16、滑擴縮（擴容、減容）、平滑升級，保證擴容、減容、升級這些操作不影響已在云平臺上運行的業(yè)務系統(tǒng)；云平臺要具備足夠大的容量，至少滿足本單位未來35年業(yè)務增長對云平臺資源擴展的需求；數(shù)據(jù)中心虛擬化解決方案整體架構整體架構（刪除該段）根據(jù)XX項目需求和客戶的關注點，在此基礎上修改。該章節(jié)是示例，僅供參考。根據(jù)項目需求，描述為項目總體技術方案和架構。描述一下基于虛擬化技術的數(shù)據(jù)中心方案。數(shù)據(jù)中心中的集群如何劃分，劃分原則可根據(jù)應用類型或部門（研發(fā)、生產，財經(jīng)，行政）。數(shù)據(jù)中心虛擬化，是基于傳統(tǒng)的硬件基礎設施，采用虛擬化的軟件技術和統(tǒng)一的數(shù)據(jù)中心管理平臺，構建和傳統(tǒng)數(shù)據(jù)中心不一樣的云數(shù)據(jù)中心。數(shù)據(jù)中心虛擬

17、化之后，對外提供的能力比傳統(tǒng)數(shù)據(jù)中心更多，管理更加聚焦，而數(shù)據(jù)中心運行的用戶應用不會發(fā)生業(yè)務邏輯變化，應用系統(tǒng)會平滑遷移到云平臺。經(jīng)過前期分析，XX項目中涉及遷移到云平臺的應用包括M個WEB系統(tǒng)， N個Mail系統(tǒng)，X個ERP系統(tǒng)，Y個數(shù)據(jù)庫。根據(jù)訪問安全原則，WEB與Mail系統(tǒng)占一個邏輯集群，內部ERP系統(tǒng)、數(shù)據(jù)庫系統(tǒng)占一個邏輯集群。/說明：此次需要根據(jù)實際情況更改。對于XX項目中眾多應用系統(tǒng)，由華為提供整體的數(shù)據(jù)中心虛擬化解決方案，將上述部分應用服務部署到虛擬化的高性能物理服務器上，達到高可靠、自動化運維的目標。眾多物理服務器虛擬化成計算資源池（集群），保障云平臺上的業(yè)務在出現(xiàn)計劃外和計

18、劃內停機的情況下能夠持續(xù)運行。在整個項目建設過程中，華為還可以提供相關的專業(yè)咨詢和遷移應用遷移服務。華為數(shù)據(jù)中心虛擬化解決方案整體的整體邏輯架構如下圖：華為數(shù)據(jù)中心虛擬化解決方案從邏輯上分為產品解決方案和專業(yè)服務解決方案，其中產品解決方案又分為硬件部分和軟件部分，硬件部分是指華為可以提供從數(shù)據(jù)中心基礎層的機房建設、供電、散熱方案到數(shù)據(jù)中心使用的服務器（刀片式&機架式）、存儲、網(wǎng)絡設備、安全設備等全套硬件產品，當然，華為也可以基于客戶提供的機房現(xiàn)有可用硬件設施建設虛擬化數(shù)據(jù)中心，同時兼容客戶指定的業(yè)界主流的硬件產品。軟件部分以業(yè)界領先的華為虛擬化軟件系統(tǒng)FusionSphere為主體來構建云平臺

19、及管理系統(tǒng)，主要包括如下幾個邏輯模塊：虛擬基礎架構層：基于服務器、存儲、網(wǎng)絡、安全等硬件設備，分別構建出虛擬計算資源池、虛擬存儲資源池、虛擬網(wǎng)絡資源池、虛擬安全資源池，實現(xiàn)對各類資源的池化管理，由虛擬化軟件按用戶所需給虛擬機分配資源，釋放后的虛擬資源會被重新納入資源池管理；同時，虛擬化軟件基于資源池的統(tǒng)一管理，還實現(xiàn)了虛擬資源基于用戶策略的調度管理，提高資源利用率，節(jié)能減排。該層還對外提供了開放API接口，將虛擬基礎架構層提供的對資源的各種操作、能力開放出來，用戶可以引入第三方廠家進行二次開發(fā)對接，構建能對外開放運營的公有云系統(tǒng)，或者面向內部用戶提供云服務的私有云系統(tǒng)。該API接口還兼容業(yè)界主

20、流的AWS API（Amazon Web Service）。數(shù)據(jù)中心管理：數(shù)據(jù)中心管理是云數(shù)據(jù)中心必不可少的功能，主要提供如下功能：（1）、資源統(tǒng)一管理：實現(xiàn)對云數(shù)據(jù)中心中虛擬資源、物理資源的統(tǒng)一管理，包括資源的生命周期管理、資源分配等。（2）、云監(jiān)控、告警：提供物理服務器、虛擬機、存儲、交換機、物理集群等各個維度各種性能指標的監(jiān)控功能；提供各種軟、硬件設備的不同級別的告警界面呈現(xiàn)、郵件轉發(fā)、告警短信提示功能；各類物理資源、虛擬資源的拓撲呈現(xiàn)。（3）、開放API / SDK：對外提供開放API接口，并提供SDK開發(fā)包，方便用戶或第三方進行二次開發(fā)，對系統(tǒng)進行進一步集成。（4）、VPC、VDC功

21、能：為滿足企業(yè)內部總部和多個分支機構之間、或者多個業(yè)務部門之間對數(shù)據(jù)中心資源自主使用、自主管理的需求，VPC功能可以從網(wǎng)絡上對不同分支機構或不同部門的物理資源、虛擬資源進行隔離，保證不同分支機構或不同部門的資源在各自子網(wǎng)內訪問；VDC是從組織的角度設置的邏輯概念，可以是一個部門或一個分支機構，每個VDC可以被管理員劃分一定的物理資源或虛擬資源，VDC管理員可以管理該VDC下的資源，從資源管理、使用的角度進行了隔離。（5）、應用彈性伸縮：系統(tǒng)按照管理員設置的應用的資源使用的變更策略，根據(jù)應用的負載輕重自動調整應用所需要的虛擬機數(shù)量，達到資源按需使用，彈性伸縮。（6）、異構資源池管理：華為云管理平

22、臺FusionManager不僅能管理華為自己的FusionCompute構建的虛擬化資源池，而且可以管理VMware vSphere和Citrix XenServer構建的虛擬化資源池，并且實現(xiàn)管理流程和操作的完全統(tǒng)一。（7）、基礎設施管理：主要包括物理服務器、交換機、存儲設備的接入、監(jiān)控、告警，物理服務器的上、下電控制。（8）、虛擬負載均衡：用戶可以在FusionManager上申請負載均衡器，將業(yè)務虛擬機關聯(lián)到負載均衡器。負載均衡器根據(jù)用戶設定的負載均衡策略，將業(yè)務請求均勻分發(fā)到與之關聯(lián)的虛擬主機上，使得每個業(yè)務虛擬機的負載基本均衡，保證業(yè)務運行的穩(wěn)定性和可靠性。（9）、報表管理：支持將

23、監(jiān)控數(shù)據(jù)導出為報表，便于用戶進行進一步分析和管理。（10）、系統(tǒng)管理：包括用戶管理、系統(tǒng)配置、定時器設置、設置密碼規(guī)則等功能。（11）、桌面管理：FusionManager中集成了華為桌面云系統(tǒng)的管理入口，可以支持桌面云、云主機的統(tǒng)一管理。應用層：應用層不屬于FusionSphere范疇，是指運行在FusionSphere提供的虛擬機上的用戶應用系統(tǒng)，使用FusionSphere統(tǒng)一分配的計算、存儲、網(wǎng)絡資源，由FusionSphere提供必要的安全保障。本項目采用華為FusionSphere構建云平臺，在資源的使用和管理上可以為用戶帶來如下的好處：FusionSphere提供高可用性（HA）

24、的彈性虛擬機，支持熱遷移功能，能夠有效減少設備故障時間，確保核心業(yè)務的連續(xù)性，避免傳統(tǒng)IT，單點故障導致的業(yè)務不可用保障業(yè)務系統(tǒng)的連續(xù)性與虛擬機的安全隔離。易實現(xiàn)物理設備、虛擬設備、應用系統(tǒng)的集中監(jiān)控、管理維護自動化與動態(tài)化。便于業(yè)務的快速發(fā)放, 縮短業(yè)務上線周期，高度靈活性與可擴充性、提高管理維護效率。利用云計算技術可自動化并簡化資源調配，實現(xiàn)分布式動態(tài)資源優(yōu)化，智能地根據(jù)應用負載進行資源的彈性伸縮，從而大大提升系統(tǒng)的運作效率，使 IT 資源與業(yè)務優(yōu)先事務能夠更好地協(xié)調。在數(shù)據(jù)存儲方面，通過共享的SAN存儲架構，可以最大化的發(fā)揮虛擬架構的優(yōu)勢。提供虛擬機的HA、虛擬機熱遷移、存儲熱遷移技術提

25、高系統(tǒng)的可靠性；提供虛擬機快照備份技術(HyperDP)等，而且為以后的數(shù)據(jù)備份容災提供擴展性和打下基礎。在產品解決方案之外，華為數(shù)據(jù)中心虛擬化解決方案還包括專業(yè)服務解決方案，主要是在項目建設的各個階段為用戶提供的各種專項服務，包括項目啟動前的咨詢、分析和規(guī)劃服務、現(xiàn)網(wǎng)業(yè)務的性能數(shù)據(jù)采集和容量分析評估服務、應用遷移云平臺的建議、應用遷移方案設計、遷移實施、應用遷移的連續(xù)性保障、遷移效果評估、應用部署后的系統(tǒng)運維優(yōu)化、云數(shù)據(jù)中心代維服務等。華為虛擬化軟件系統(tǒng)介紹本項目采用華為虛擬化軟件系統(tǒng)FusionSphere建設云平臺及其管理系統(tǒng)，實現(xiàn)對計算、存儲、網(wǎng)絡、安全設備進行虛擬化、池化管理和使用。

26、FusionSphere的架構如下圖所示：華為虛擬化軟件FusionSphere架構 華為虛擬化軟件系統(tǒng)FusionSphere主要由虛擬化基礎引擎FusionCompute、云管理FusionManager兩大部件組成。FusionSphere的所有管理模塊默認是主備模式部署的，不需要用其它第三方軟件來實現(xiàn)主備功能，主備功能由FusionSphere自身實現(xiàn)，這樣既提升了系統(tǒng)的可靠性，又為用戶節(jié)省了購置第三方軟件提高可靠性的的費用。另外，F(xiàn)usionSphere的管理模塊都是直接部署在自身管理的虛擬機上面，每個管理模塊無需獨立占用物理服務器，從而節(jié)省了用戶的物理資源開支。FusionMana

27、ger提供虛擬資源與物理資源的統(tǒng)一管理功能（統(tǒng)一拓撲、統(tǒng)一告警、統(tǒng)一監(jiān)控、容量管理、性能報表、關聯(lián)分析、資源生命周期管理、賬號管理等），并且能通過自動發(fā)現(xiàn)功能發(fā)現(xiàn)其管轄下的物理設備資源（包括機框、服務器、刀片、存儲設備、交換機）以及他們的組網(wǎng)關系，將設備納入其管理范圍；FusionManager對外提供統(tǒng)一的、基于Web訪問的、界面友好的管理界面。除了對華為自身的虛擬化引擎FusionCompute進行管理，F(xiàn)usionManager還支持對VMware vSphere、Citrix XenServer組建的虛擬化資源池進行管理，而且管理流程和華為資源池的管理流程完全一致。在用戶建設了多個廠家

28、的虛擬化資源池時，通過FusionManager的異構管理功能，可以方便的將多個不同虛擬化廠家的資源池整合為一個統(tǒng)一的邏輯資源池，大大簡化用戶的維護管理工作量，節(jié)省管理成本。FusionManager還包括統(tǒng)一硬件管理UHM（Unified Hardware Management）組件，UHM提供對硬件自動發(fā)現(xiàn)，硬件自動配置、統(tǒng)一監(jiān)控（帶內和帶外）、硬件統(tǒng)一告警、硬件拓撲、非華為硬件的支持。FusionManager可以管理多個物理集群，物理集群是在硬件資源層面完全獨占的，代表了一個獨立于其它物理集群的計算、存儲、網(wǎng)絡的資源池，物理集群歸屬于FusionCompute中的一對主備VRM模塊管理

29、。FusionCompute提供基礎的虛擬化功能，提供服務器、存儲、網(wǎng)絡、安全設備的虛擬化功能，并向上對FusionManager提供內部接口。每套FusionCompute主要由一對主備管理節(jié)點VRM組成。一對VRM管理一個物理集群。一個物理集群中可以把多臺服務器劃分成一個邏輯集群（又叫HA資源池），一個HA資源池有統(tǒng)一的資源調度策略，為了使用熱遷移相關的調度策略要求資源池中的物理主機CPU必須同制。一個物理集群中可以包含多個邏輯集群。從單套FusionCompute來看，從VRM到邏輯集群，再從邏輯集群到物理主機，從物理主機到其上運行的多個虛擬機，整個系統(tǒng)從上到下相當于一個層層支撐的金字塔

30、架構。當單個FusionCompute支撐的物理主機或虛擬機的容量達到上限后，還可以通過部署多套FusionCompute相互級聯(lián)來平滑擴展系統(tǒng)容量，級聯(lián)后，多套FusionCompute會推選出主控的VRM模塊和FusionManager通信，通過主控VRM統(tǒng)一在FusionManager接受管理。華為虛擬化平臺支持服務器、存儲資源的平滑擴容。服務器、存儲設備均可根據(jù)業(yè)務根據(jù)需求，在線平滑增加服務器、服務器邏輯集群，在線擴展磁盤、磁盤框、控制框。建設方案系統(tǒng)組網(wǎng)方案設計網(wǎng)絡總體方案本小節(jié)主要說明在采用傳統(tǒng)架構（服務器 + SAN）搭建系統(tǒng)時的組網(wǎng)方案，如項目建設模式是一體機方式，請刪除本節(jié)；

31、此說明請刪除。在本項目中，云平臺的組網(wǎng)方案計劃采用扁平化的二層網(wǎng)絡架構（核心層、接入?yún)R聚層），核心交換機承擔著核心層和匯聚層的雙重任務。扁平化二層架構降低了網(wǎng)絡復雜度，減少了設備使用，簡化了網(wǎng)絡拓撲，提高了轉發(fā)效率。二層網(wǎng)絡架構中，采用虛擬集群和堆疊技術，解決鏈路環(huán)路問題，提高了網(wǎng)絡可靠性。核心交換機設置VLAN的IP地址，接入交換機劃分VLAN，做二層轉發(fā)。下圖是云平臺網(wǎng)絡的總體方案示意圖：網(wǎng)絡總體方案示意圖（單數(shù)據(jù)中心）整體網(wǎng)絡劃分為接入?yún)R聚層、核心層，分別為：接入?yún)R聚層服務器和存儲設備需上行接入到接入?yún)R聚層交換機。如服務器配置的是10GE網(wǎng)卡，每服務器出2個10GE網(wǎng)口，兩網(wǎng)口綁定負載分

32、擔確保鏈路冗余可靠性。建議服務器側采用業(yè)務網(wǎng)絡、管理網(wǎng)絡、存儲網(wǎng)絡三個VLAN邏輯隔離方式進行組網(wǎng)；如服務器配置的是GE網(wǎng)卡，建議將3個網(wǎng)絡平面物理隔離，每個網(wǎng)絡平面單獨出2個GE網(wǎng)口綁定后上行到接入?yún)R聚交換機，如果物理網(wǎng)口較少情況下，也可以將管理網(wǎng)絡和業(yè)務網(wǎng)絡合用2個物理網(wǎng)口，用VLAN隔離開。/說明：此處根據(jù)項目實際服務器的網(wǎng)卡配置進行修改和刪除，保留實際組網(wǎng)方式的描述即可。此說明需刪除。在接入交換機劃分VLAN，將管理、業(yè)務、存儲三個平面邏輯隔離。為簡化組網(wǎng)提高組網(wǎng)可靠性，建議接入交換機采用堆疊方式：/說明：如采用FC SAN組網(wǎng)，請刪除本小段，保留下面小段。此說明需刪除。本項目中采用F

33、C SAN，需要通過FC光纖交換機和服務器連接，服務器上通過HBA卡出2個FC接口，上行到FC光纖交換機，和FC SAN組成獨立的光纖存儲通道，F(xiàn)C SAN的性能一般來說比IP SAN性能好很多，能夠滿足業(yè)務的IO和帶寬需求。/說明：如采用IP SAN組網(wǎng)，請刪除本小段，保留上面小段。此說明需刪除。系統(tǒng)組網(wǎng)中網(wǎng)絡各平面說明如下：存儲網(wǎng)絡：用于承載服務器和磁盤陣列之間的專用數(shù)據(jù)訪問，是虛擬機訪問存儲資源的網(wǎng)絡路徑。存儲網(wǎng)絡通過多路徑確保鏈路冗余，服務器與存儲設備通過存儲網(wǎng)絡二層直接互通。存儲設備為虛擬機提供存儲資源，但不直接與虛擬機通信，而通過虛擬化平臺轉化。一般來說，存儲網(wǎng)絡不需要上行到核心交

34、換機。業(yè)務網(wǎng)絡：為用戶提供業(yè)務訪問通道，為虛擬機虛擬網(wǎng)卡的通信平面，對外提供業(yè)務應用。業(yè)務網(wǎng)絡可按應用系統(tǒng)的要求再細分VLAN進行訪問隔離。管理網(wǎng)絡：負責整個云計算系統(tǒng)的管理、監(jiān)控、業(yè)務部署、系統(tǒng)加載等流量的通信。BMC平面主要負責服務器硬件的管理，屬于帶外的設備管理平面。BMC平面可以和管理平面隔離，也可以不進行隔離。所有服務器、存儲通過接入交換機連接后，需要與客戶的核心交換機對接。接入交換機通過堆疊保障可靠性?？紤]后續(xù)擴展性，建議采用2*1GE/2*10GE(請實際項目選擇)分別交叉上行到2臺核心交換機。核心層接入交換機上行接入核心層交換機。核心交換機也建議采用集群的方式部署。核心交換機采

35、用OSPF或者靜態(tài)路由的方式同上層設備進行對接：當采用OSPF對接時，OSPF發(fā)布地址包括核心交換機互聯(lián)地址，直連路由地址以及l(fā)oopback地址。當采用靜態(tài)路由方式時,建議核心交換機同上級設備采用VRRP地址為網(wǎng)關地址。網(wǎng)絡總體方案(E9000+FusionStorage一體機)本小節(jié)主要說明在采用E9000一體機搭建系統(tǒng)時的組網(wǎng)方案，如項目建設模式是傳統(tǒng)架構（服務器 + SAN）方式，請刪除本節(jié)；此說明請刪除。FusionCube是華為開發(fā)的一款高性能、融合了計算、存儲、網(wǎng)絡能力的一體機產品，其計算能力由華為高性能刀片服務器E9000提供，并在刀片上集成了華為虛擬化軟件平臺FusionSp

36、here，將刀片服務器能力進行虛擬化，對用戶提供虛擬機服務。虛擬機的存儲由E9000刀片自帶的本地硬盤經(jīng)過華為分布式存儲軟件FusionStorage的管理來提供，經(jīng)FusionStorage將刀片服務器的本地硬盤整合、分割、條帶化管理后，可以實現(xiàn)和SAN設備類似的功能，統(tǒng)一向FusionSphere虛擬化平臺提供存儲資源池管理接口，F(xiàn)usionStorage支持多備份，將一份數(shù)據(jù)保存到不同服務器的硬盤上，可以保證存儲數(shù)據(jù)的高可靠性。同時，通過每個刀片服務器上SSD磁盤作為緩存，可以大大提高數(shù)據(jù)訪問的性能。E9000的刀片機框上集成了內部交換功能和對外交換功能，相當于集成了接入?yún)R聚層交換機，從

37、背板可以直接通過光口連接到核心交換機上。本項目中計劃采用E9000刀片服務器一體機形式建設云平臺，下面是采用一體機建設云平臺的組網(wǎng)圖：FusionCube一體機部署在客戶的數(shù)據(jù)中心機房中；采用4*10GE上行到客戶核心交換機。網(wǎng)絡通信平面劃分為業(yè)務網(wǎng)、管理網(wǎng)。兩個網(wǎng)絡之間通過VLAN是隔離的，保證最終用戶不能破壞基礎平臺。FusionCube一體機采用E9000刀片。一體機融合計算、存儲、網(wǎng)絡資源，提供虛擬化資源。每個E9000機框交換背板采用CX310。每塊CX310可出24x10GE光口。兩塊板通過堆疊，對內實現(xiàn)交換功能，對外可上行到匯聚設備。FusionCube一體機支持快速多框擴容，使

38、用2個2*10GE的鏈路做trunk實現(xiàn)級聯(lián)。由基本框與擴展框級聯(lián)組成，最大可級聯(lián)6框。每個擴展框上行4x10GE到基本框。一體機采用E9000刀片上的本地存儲。本地存儲通過SAS口直接連接到E9000刀片上。本地存儲通過FusionStorage分布式存儲軟件系統(tǒng)虛擬化成一個大資源池給用戶使用。一體機內部網(wǎng)絡按照二層網(wǎng)絡架構設計，和客戶網(wǎng)絡連接可以選擇采用二層模式，二層模式是，子網(wǎng)的網(wǎng)關配置客戶網(wǎng)絡，僅將一體機交換機作為接入交換機。主要應用于要求管理與業(yè)務隔離，用戶可配置不同子網(wǎng)安全隔離。網(wǎng)絡配置IP每云平臺管理節(jié)點、BMC、服務器底層虛擬化 需要一個管理IP。對于做HA可靠性的兩個節(jié)點需要

39、多一個浮動IP。每個虛擬機至少需要一個業(yè)務IP。路由核心交換機為每一個子網(wǎng)啟用一個VLAN IF接口，并將VLAN IF地址作為網(wǎng)關地址。機柜內的虛擬機之間通過柜內接入交換機進行二層互通。機柜間虛擬機通過核心交換機（如S9312）實現(xiàn)三層互通，將網(wǎng)關地址為VLAN IF地址。VLAN總體規(guī)劃/（刪除此行）根據(jù)實際XX項目進行VLAN規(guī)劃，需要與客戶確認，是否是統(tǒng)一規(guī)劃的，若是統(tǒng)一規(guī)劃的，請與客戶確認VLAN段，特別是業(yè)務平面管理及BMC平面VLAN：250存儲平面VLAN：51100業(yè)務平面VLAN：現(xiàn)場商定基本虛擬網(wǎng)卡：101500用戶多網(wǎng)卡自定義VLAN：5011500其他預留：15014

40、096備份方案設計（可選）本章主要說明FusionSphere高級版或鉑金版（對應運營商的運營版）自帶的HyperDP備份方案，如果客戶同意用此備份功能，請保留本章；如果客戶自己提供備份功能，或者暫不考慮備份功能，請刪除本章；此說明請刪除。HyerDP備份方案介紹虛擬機快照備份HyperDP(Data Protection)系統(tǒng)是華為基于虛擬化平臺自研虛擬機快照備份系統(tǒng)，HyperDP支持分布式架構，為用戶提供更易擴展的備份系統(tǒng)，包括如下兩種備份服務器角色： 備份管理服務器(Backup Management Server)： 備份管理服務器是備份系統(tǒng)的控制中心，負責策略分發(fā)至處理服務器、告警

41、上報、備份處理服務器注冊、備份系統(tǒng)狀態(tài)監(jiān)控等事物。備份管理服務器同時具備備份處理服務器的功能。一個備份系統(tǒng)中，有且僅有一套備份管理服務器。備份處理服務器(Bakcup processing Server)：備份處理服務器是備份系統(tǒng)中負責具體事務處理的角色類型。備份處理服務器，負責接收、記錄來自備份管理服務器上分發(fā)的具體備份和恢復策略和策略調度，負責備份集的產生和備份集的管理，負責備份和恢復任務的執(zhí)行。在一個備份系統(tǒng)中，用戶可根據(jù)需備份的虛擬機數(shù)量擴展備份處理服務器，最多可以配置9臺備份處理服務器。備份管理服務器和備份處理服務器都是虛擬機形式部署，減少了系統(tǒng)資源占用量。HyperDP備份系統(tǒng)可以

42、對虛擬機卷（包括系統(tǒng)卷和/或數(shù)據(jù)卷）數(shù)據(jù)進行備份，不需要終端用戶參與，也不需要在虛擬機里安裝代理；當生產系統(tǒng)由于意外丟失虛擬機卷數(shù)據(jù)時，系統(tǒng)管理員可以通過備份系統(tǒng)恢復虛擬機卷數(shù)據(jù)，以保證虛擬機能繼續(xù)正常工作。管理員接入HyperDP的備份管理系統(tǒng)進行備份管理，支持對系統(tǒng)卷與數(shù)據(jù)卷備份。其功能包括：備份管理系統(tǒng)可以進行虛擬機卷備份策略靈活設置，選擇需要備份的虛機，備份起始時間、配置全量備份和增量備份的周期以及備份數(shù)據(jù)保留時間。虛擬機備份執(zhí)行：備份處理服務器根據(jù)備份策略自動調度或管理員手工觸發(fā)備份策略執(zhí)行時，備份處理服務器調用虛擬化平臺FusionCompute接口生成虛機的快照，然后復制快照數(shù)據(jù)

43、到備份虛擬機本地盤（包括服務器本地磁盤、FCSAN、IPSAN、FusionStorage映射成的虛機本地盤）或NAS上保存。虛擬機備份信息查詢：可以查詢指定虛擬機在NAS或備份處理服務器本地磁盤上的歷史備份任務及備份集信息。虛擬機備份集文件刪除：可以根據(jù)備份保留策略對備份集文件進行自動刪除；也可以通過備份系統(tǒng)立即過期指定備份集，刪除該備份集對應的文件。根據(jù)備份文件恢復虛機：可以從NAS或備份處理服務器本地磁盤讀取備份集文件恢復虛擬機。管理員可以選擇恢復到原有虛機、或者自動創(chuàng)建的新虛機、或者其它指定的虛機。備份容量設計/說明：下面藍色部分根據(jù)實際情況進行修改。本說明請刪除。HyperDP備份軟

44、件支持包括物理服務器本地硬盤、IPSAN、FCSAN、NAS或FusionStorage類型的存儲作為備份介質。在本項目中建議采用華為N8500 NAS作為首選備份介質，單存儲單元容量更大，更易管理，安全性、穩(wěn)定性更好。在用戶備份數(shù)據(jù)量較小，且對成本敏感的局點，可用S2600T、N2000等設備作為備份介質。備份存儲容量為備份數(shù)據(jù)保留周期內所有虛擬機的備份數(shù)據(jù)量，同時需考慮為每臺備份處理服務器預留50GB空間供服務器災備使用，并預留20%空間供合并備份集使用。單臺虛擬機磁盤空間為A GB，數(shù)據(jù)日增長B GB，共N臺虛擬機需要備份，全備周期為P，增備周期為Q，數(shù)據(jù)保留周期為R，配置M臺備份處理服

45、務器，則備份存儲容量為 (A*（R/P+1）+B*R/Q)*N + M*50)/0.8 。采用首次全備、后續(xù)均為增備的備份類型時，R/P計為0。例如，單臺虛擬機磁盤空間為40 GB，數(shù)據(jù)日增長0.1 GB，共35臺虛擬機需要備份，全備周期為每月，增備周期為每天，數(shù)據(jù)保留周期為一個月，配置2臺備份處理服務器，那么備份存儲容量=（全備數(shù)據(jù)量大小*(數(shù)據(jù)保留周期/全備周期+1)+增備數(shù)據(jù)大小*數(shù)據(jù)保留周期/增備周期）*需備份虛機數(shù)量+備份處理服務器數(shù)量*50G）/0.8=(（40*（30/30+1）+0.1*30/1）*35+2*50)/0.8=3756.25G由于HyperDP備份時產生的CBT文

46、件、快照數(shù)據(jù)需要臨時占用主存儲的部分空間。這些空間（CBT、快照）與需備份的虛擬機都在同一個LUN里面，為了這部分空間可以共用，建議存儲規(guī)劃時，盡量將需要備份的虛擬機規(guī)劃在相同的LUN里面。并且需備份虛擬機的主存儲至少預留部分空間（建議10%）。如果主存儲由于沒有多余空間導致備份失敗，可以將部分虛機的存儲遷走騰出空間。備份系統(tǒng)容量規(guī)劃表業(yè)務主機名備份對象初始備份數(shù)據(jù)量(GB)預估增量數(shù)據(jù)量(GB)全備周期(天)增備周期(天)數(shù)據(jù)保留周期備份介質數(shù)據(jù)量（GB）LIGDB系統(tǒng)卷20G0.5每周每天1周47數(shù)據(jù)卷60G1每月每天1個月180多層次安全防護設計（可選）如果客戶需要非常簡化的技術建議書，

47、請整個刪除本章。此說明請刪除。安全框架為保障云平臺安全，F(xiàn)usionSphere采用了完整的安全架構，避免出現(xiàn)安全真空，強化了網(wǎng)絡隔離和虛擬化隔離。此安全架構層面主要采用了分層和縱深防御的思想。分層防御（Layered Defense）：分層防御旨在采用多種方法，在網(wǎng)絡中多個區(qū)域執(zhí)行安全性策略，從而確保網(wǎng)絡中沒有單點安全故障發(fā)生?？v深防御（Defense in Depth）：縱深防御思想使用多重防御策略來管理風險，以便在一層防御不夠時，另一層防御將會阻止系統(tǒng)遭受完全的破壞。云數(shù)據(jù)中心安全框架從分層、縱深防御思想出發(fā)，根據(jù)網(wǎng)絡層次分為物理、主機/虛擬化、網(wǎng)絡、業(yè)務和數(shù)據(jù)、管理維護等幾個層面，同時

48、整體上考慮滿足合規(guī)性等需求，用來指導數(shù)據(jù)中心安全解決方案的部署。云安全框架 物理安全云計算數(shù)據(jù)中心的物理接入需進行嚴格的控制，只有授權的人員才能夠進入。機房內安裝監(jiān)控設備，方便事后審計?；A安全整個云計算環(huán)境中使用了大量OS、DB、Web等通用軟件，很容易遭受病毒入侵、漏洞攻擊、木馬、拒絕服務等安全威脅。云數(shù)據(jù)中心基礎的安全能力可主要通過系統(tǒng)加固、防病毒和安全補丁這三方面措施來提供。虛擬化安全云計算在帶來資源共用的好處的同時，也帶來新的安全風險。首先是虛擬化層能真正地把虛擬機和物理主機、不同部門、不同公司的虛擬機和虛擬機之間安全地隔離開來，這一點正是保障虛擬機安全性的根本。另外，預防云內部虛擬

49、機之間的惡意攻擊，傳統(tǒng)在網(wǎng)絡出口提供防火墻、IDS設備已經(jīng)不能完全滿足要求，需部署一些基于主機的虛擬防火墻/IDS/IPS。網(wǎng)絡安全為了抵御數(shù)據(jù)中心網(wǎng)絡可能遭受的各種類型的DOS攻擊和用戶數(shù)據(jù)遭竊聽和篡改等安全威脅，可從“網(wǎng)絡隔離、攻擊防護、傳輸安全”等多個角度考慮。通過子網(wǎng)劃分、網(wǎng)絡隔離手段實現(xiàn)計算、存儲、管理、接入等域的隔離，管理面單獨物理組網(wǎng)，保證網(wǎng)絡安全性，避免網(wǎng)絡風暴等問題擴散。網(wǎng)絡安全云數(shù)據(jù)中心通過網(wǎng)絡提供對外服務，面臨來自互聯(lián)網(wǎng)絡的各種安全威脅，如各種類型的DDOS攻擊和用戶數(shù)據(jù)遭竊聽和篡改等，如何抵御這些威脅，是云數(shù)據(jù)中心安全可靠運營的前提保障。本項目從“網(wǎng)絡隔離、攻擊防護、傳

50、輸安全”等多個安全角度考慮，積極為企業(yè)打造安全的數(shù)據(jù)中心網(wǎng)絡。安全域劃分與網(wǎng)絡隔離通過網(wǎng)絡劃分、隔離手段實現(xiàn)計算、存儲、管理、接入等域的隔離，管理面單獨物理組網(wǎng)，保證網(wǎng)絡安全性，避免網(wǎng)絡風暴等問題擴散。1）云數(shù)據(jù)中心的多用戶之間可通過VPC（虛擬私有云）、軟件虛擬防火墻（安全組）進行隔離，確保各部門、各用戶間網(wǎng)絡互不干擾。云網(wǎng)絡隔離VPC方式通過VPC設置，在云數(shù)據(jù)中心內部給每個部門劃分獨立的VLAN，對應獨立的虛擬防火墻，云數(shù)據(jù)中心保證不同企業(yè)或不同部門部署在云數(shù)據(jù)中心的數(shù)據(jù)和應用與本企業(yè)或本部門的內網(wǎng)通過VPN或專網(wǎng)無縫安全對接，并保證企業(yè)出差員工能安全訪問云計算中心本企業(yè)或本部門的數(shù)據(jù)和

51、應用。云網(wǎng)絡隔離安全組方式提供網(wǎng)絡安全組（虛擬防火墻），確保不同虛擬機之間的安全，包括同一個物理主機內的不同虛擬機的安全訪問。用戶通過Portal頁面，可以申請安全組，并針對每個安全組可以定義安全訪問規(guī)則，如對外開放某個具體的網(wǎng)絡服務或端口，允許外部某個IP地址訪問虛擬機的某個端口，也可安全組之間相互授權訪問。一個安全組可以定義多條安全規(guī)則。2）云數(shù)據(jù)中心內部通信平面用不同的VLAN劃分為業(yè)務平面、存儲平面和管理平面多個網(wǎng)絡平面，平面之間相互隔離（如有業(yè)務上的互通也可采用防火墻進行隔離）。云安全域劃分本安全解決方案，提供一體化的安全解決方案，通過專網(wǎng)或IPsec VPN把企業(yè)內網(wǎng)和云計算中心的

52、企業(yè)數(shù)據(jù)和應用無縫對接，云數(shù)據(jù)中心的企業(yè)數(shù)據(jù)和應用可以由企業(yè)統(tǒng)一規(guī)劃內網(wǎng)的IP地址。因此，從企業(yè)內網(wǎng)用戶來看，訪問云數(shù)據(jù)中心企業(yè)的數(shù)據(jù)和應用就如同訪問企業(yè)內網(wǎng)一樣。而企業(yè)出差員工可以通過靈活的SSL VPN連接安全得接入云計算中心，實現(xiàn)移動辦公。3）建立DMZ(Demilitarized zone)區(qū)（可選）在數(shù)據(jù)中心與外網(wǎng)訪問之間設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)，這個緩沖區(qū)位于數(shù)據(jù)中心內部網(wǎng)絡和外部網(wǎng)絡之間的小網(wǎng)絡區(qū)域內，在這個小網(wǎng)絡區(qū)域內放置一些必須對互聯(lián)網(wǎng)公開的服務器設施，如數(shù)據(jù)中心Web服務器、FTP服務器和論壇等。另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內部網(wǎng)絡。

53、邊界防護功能強大的防火墻組成入侵防御方案，防范掃描類攻擊，阻止畸形包攻擊，資源耗盡型攻擊，特殊報文控制。通過高性能的防火墻開啟NAT功能實現(xiàn)對內部的網(wǎng)絡隱藏，對不同的業(yè)務劃分安全域進行隔離保護，通過嚴格的ACL策略和連接狀態(tài)檢測進行通信合法性保護，并通過IPS抵御越來越猖獗的應用層入侵攻擊。防火墻針對云平臺執(zhí)行嚴格的ACL策略，一臺物理防火墻虛擬成多臺邏輯上獨立的虛擬防火墻，提供獨立的安全策略，保護特定用戶的業(yè)務。防火墻內置的IPS模塊可以根據(jù)目標IP地址配置相應策略，使得特定的IP地址段流量通過IPS的深度防御。可以針對大客戶實現(xiàn)差異化Anti-DDOS防護，系統(tǒng)基于客戶實現(xiàn)策略配置及管理；

54、針對不同客戶設定不同防護策略，防護類型、防護IP可配，HTTP服務端口可自定義，檢測閾值可自定義。SSL VPN網(wǎng)關可以虛擬多個虛擬網(wǎng)關，實現(xiàn)不同企業(yè)用戶之間的隔離和地址重疊應用。進行網(wǎng)絡流量分析，實時統(tǒng)計出當前網(wǎng)絡中的各種報文流量；提供實時的入侵檢測，通過與防火墻聯(lián)動等方式進行報警及動態(tài)防護；識別DDoS攻擊減少惡意流量的沖擊。入侵檢測和防護方案（可選）IPS防攻擊原理Internet WAN 云計算中心匯聚交換機核心交換機防火墻采用IPS設備實現(xiàn)入侵檢測和入侵防御的一體化，采用先進的IPS引擎，hacker攻擊檢測率高，并能及時防御，同時可及時進行IPS庫的在線更新，有效防御新的攻擊威脅。

55、傳輸安全數(shù)據(jù)在傳輸過程中可能遇到被中斷、復制、篡改、偽造、竊聽和監(jiān)視等威脅，需要保證信息在網(wǎng)絡傳輸過程的完整性，機密性和有效性。云數(shù)據(jù)中心傳輸安全由以下幾個方面保證：管理面信任域與非信任域之間全部SSL加密用戶管理接入支持Https，安全性要求高的提供SSL VPN接入。用戶訪問虛擬機支持SSH。虛擬化安全虛擬機隔離設計虛擬機隔離指同一物理機上不同虛擬機之間的資源隔離，是虛擬化能夠實際應用的基本特征之一。隔離包括CPU、內存、內部網(wǎng)絡隔離和磁盤I/O等的隔離。操作維護賬號管理、認證和授權華為云管理平臺FusionManager支持操作管理員賬戶周期管理。提供一個缺省的超級管理員賬戶（admin

56、），使用該賬戶可創(chuàng)建其他賬戶并授予相應的權限。支持角色管理功能和基于角色的授權功能，目前云管理系統(tǒng)支持三種角色定義：超級管理員、操作維護管理員、游客，分別對應不同的權限控制。云平臺操作系統(tǒng)的裁剪和加固華為FusionSphere云平臺各虛擬化服務器的操作系統(tǒng)均進行針對性的了模塊裁剪、安全加固和安全設置，只安裝業(yè)務需要的組件，其它無關組件一律不安裝，盡可能減少HostOS的安全漏洞。安全配置各虛擬化服務器的操作系統(tǒng)（HostOS）參考CIS（Center for Internet Security） Linux操作系統(tǒng)安全benchmark進行了安全配置：如關閉不安全的服務，設置賬號密碼復雜度策

57、略、合理設置文件和目錄的權限等等。安全補丁管理華為公司具有嚴格的安全補丁管理流程，定期在華為support網(wǎng)站上發(fā)布經(jīng)過測試的操作系統(tǒng)補丁包，由維護管理人員定期下載和安裝操作系統(tǒng)補丁。惡意虛擬機防護防止惡意虛擬機的地址欺騙：Hypervisor的vSwitch中將虛擬機的IP地址和MAC地址綁定，限制虛擬機只能發(fā)送本機地址的報文，防止虛擬機IP地址欺騙和ARP地址欺騙。虛擬機的惡意嗅探：Hypervisor中的vSwitch為交換型以太網(wǎng)（非Hub的共享型廣播型），不同虛擬機的數(shù)據(jù)包被轉發(fā)到指定的虛擬端口，即使在同一臺物理宿主機上的虛擬機上也接收不到其他虛擬機的數(shù)據(jù)包，防止虛擬機的惡意嗅探。數(shù)

58、據(jù)安全數(shù)據(jù)安全是保障數(shù)據(jù)中心安全的重點。為了保障用戶的數(shù)據(jù)安全，云數(shù)據(jù)中心從數(shù)據(jù)隔離、訪問控制等多個方面采取措施。用戶卷訪問控制系統(tǒng)對每個卷定義不同的訪問策略，沒有訪問該卷權限的用戶不能訪問該卷，只有卷的真正使用者（或者有該卷的訪問權限）才可以訪問該卷，每個卷之間是互相隔離的。存儲節(jié)點接入認證存儲節(jié)點是采用標準的iSCSI進行訪問，并且支持CHAP（Challenge Handshake Authentication Protocol）認證功能，CHAP 認證功能可以提高應用服務器訪問存儲系統(tǒng)的安全性。存儲系統(tǒng)啟用CHAP 認證以后，應用服務器側也必須啟用CHAP 認證，同時在存儲系統(tǒng)中把應用

59、服務器的信息加入到存儲系統(tǒng)的合法CHAP用戶，只有經(jīng)過CHAP認證通過以后才能連接到存儲系統(tǒng)并存取數(shù)據(jù)。剩余數(shù)據(jù)徹底擦除當用戶把卷卸載釋放后，系統(tǒng)在把該卷進行重新分配之前，可以選擇對該卷進行徹底的數(shù)據(jù)格式化，以保證該卷上的用戶數(shù)據(jù)的安全性。存儲的用戶文件/對象刪除后，對應的存儲區(qū)進行完整的數(shù)據(jù)擦除，并標識為只寫（只能被新的數(shù)據(jù)覆寫），保證不被非法恢復。數(shù)據(jù)多重備份云數(shù)據(jù)中心的數(shù)據(jù)存儲采用多重備份機制，每一份數(shù)據(jù)都可以有一個或者多個備份，當數(shù)據(jù)因存儲載體（如硬盤）出現(xiàn)故障的時候，不會引起數(shù)據(jù)的丟失，也不會影響系統(tǒng)的正常使用。系統(tǒng)同時對存儲數(shù)據(jù)按位或字節(jié)的方式進行數(shù)據(jù)校驗，并把校驗的信息均勻的分散

60、到的陣列的各個磁盤上。陣列的磁盤上既有數(shù)據(jù)，也有數(shù)據(jù)校驗信息，數(shù)據(jù)塊和對應的校驗信息會存儲于不同的磁盤上，當一個數(shù)據(jù)盤損壞時，系統(tǒng)可以根據(jù)同一帶區(qū)的其他數(shù)據(jù)塊和對應的校驗信息來重構損壞的數(shù)據(jù)。SAN設備數(shù)據(jù)保險箱技術SAN存儲設備遭遇意外全部掉電時，可以采用數(shù)據(jù)保險箱技術保證數(shù)據(jù)的安全和完整性。數(shù)據(jù)保險箱技術介紹：從系統(tǒng)中的某幾塊硬盤上劃分出一定區(qū)域，用來專門存放因突然掉電而尚未及時寫入硬盤的Cache數(shù)據(jù)和一些系統(tǒng)配置信息。當系統(tǒng)外部供電全部中斷時，則可以通過內置電池或外置UPS供電，使得Cache中的數(shù)據(jù)能夠寫入數(shù)據(jù)保險箱中。當外部電力恢復時，控制器再將數(shù)據(jù)從數(shù)據(jù)保險箱中讀回到Cache中