【智慧校園】-銳捷網(wǎng)絡-某教育局教育云數(shù)據(jù)中心建設解決方案

XXX教育局教育云數(shù)據(jù)中心建設解決方案銳捷網(wǎng)絡股份有限公司

目錄TOC\o"1-4"\h\z\u一、項目概述 51、項目建設背景 52、項目建設必要性 63、主要問題與挑戰(zhàn) 73.1普教信息化建設存在的問題 73.2普教云平臺建設面臨的挑戰(zhàn) 84、項目總體建設目標 9二、項目需求分析 101、數(shù)據(jù)中心特點分析 102、組網(wǎng)需求分析 113、平安需求分析 134、運維管理需求分析 14三、建設思路及原則 15四、解決方案總體說明 161、方案總體說明 162、方案整體框架 173、方案整體架構(gòu) 184、方案整體設計 19五、解決方案具體設計 211、云計算平臺設計 211.1整體架構(gòu)設計 211.2超融合架構(gòu)方案 221.3解決方案價值 251.4SQL數(shù)據(jù)庫支撐設計 282、云網(wǎng)絡平臺設計 302.1整體架構(gòu)設計 302.2網(wǎng)絡分區(qū)設計 312.3核心層設計 332.4接入層設計 342.5虛機感知與策略遷移 353、云平安平臺設計 373.1數(shù)據(jù)中心平安概述 373.2平安威逼及措施 383.3數(shù)據(jù)中心平安設計 413.3.1防火墻平安分區(qū) 443.3.2關(guān)鍵路徑進行入侵防守 443.3.3Web應用平安防護 453.3.4網(wǎng)絡與數(shù)據(jù)庫平安審計 463.4.5運維審計堡壘機 473.4平安域規(guī)劃設計 473.4.1平安域總體架構(gòu) 483.4.2平安域規(guī)劃設計 483.5數(shù)據(jù)中心服務器平安措施 494、統(tǒng)一運維平臺設計 504.1統(tǒng)一運維建設概述 504.2統(tǒng)一運維建設目標 514.3統(tǒng)一運維方案設計 524.3.1網(wǎng)絡管理功能設計 524.3.2機房業(yè)務系統(tǒng)和應用管理功能設計 524.3.3故障處理和運維流程設計 57

一、項目概述隨著物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等技術(shù)的快速進展，不斷刺激著教育行業(yè)對資源開放、互動學習、學習分析等的迫切需求，“互聯(lián)網(wǎng)+教育”帶來了新的教育信息化進展需求，智慧教育成為教育信息化進展的新趨勢。隨著教育模式的改革和新技術(shù)的不斷涌現(xiàn)，信息化教學的應用不斷拓展和深化，教學資源不斷豐富，教育信息化在促進教育公平、提高教育質(zhì)量、創(chuàng)新教育模式領(lǐng)域的支撐和帶動作用初步顯現(xiàn)。近年來，云計算因具備資源按需安排、平安可控、數(shù)據(jù)牢靠、節(jié)省成本、提高資源利用率、統(tǒng)一管理、系統(tǒng)冗余等多種特性，在各行業(yè)的應用越來越廣泛，通過越來越廣泛的網(wǎng)絡掩蓋，云計算服務的隨時隨地交付變?yōu)榭赡堋；诮逃频男畔⒒到y(tǒng)建設，為提升學校教育和社會教育服務水平供應有效支撐，建立區(qū)域云數(shù)據(jù)中心將有效實現(xiàn)資源整合與優(yōu)化利用，促進教育資源均衡、教育管理協(xié)同、教育模式創(chuàng)新，云服務體系使教育信息化建設提升到一個全新的層面。1、項目建設背景教育資源公共服務平臺建設是“十三五”期間的教育信息化建設的核心任務，是“三通兩平臺”的重點內(nèi)容之一。XXX教育局信息化建設經(jīng)過一系列的重大工程建設，目前取得了較大的成就：建成了XX教育科研網(wǎng)，各級各類學校不同程度地建有校園網(wǎng)并以多種方式接入XX教育科研網(wǎng)和互聯(lián)網(wǎng)，面對全市的教育信息基礎設施體系基本形成。但由于各區(qū)縣教育局數(shù)據(jù)中心建設尚不完善或暫許多據(jù)中心，各地教育局信息化水平參差不齊，難以真正實現(xiàn)區(qū)域內(nèi)的資源整合、資源共享及協(xié)同辦公。XXX其他內(nèi)容請自行補充當前教育信息化的需求正在從分散的自建方式向集中的區(qū)域化統(tǒng)建共建方式轉(zhuǎn)型、從基礎的業(yè)務支撐向區(qū)域化的頂層管理提升、從基本的電子化向高度的智慧能力提速。2、項目建設必要性有明確的指導思想和建設目標《教育信息化十年進展規(guī)劃(2011-2020年)》明確提出：“充分整合現(xiàn)有資源，采用云計算技術(shù)，形成資源配置與服務的集約化進展途徑，構(gòu)建穩(wěn)定牢靠、低成本的國家教育云服務模式。面對全國各級各類學校和教育機構(gòu)，供應公共存儲、計算、共享帶寬、平安認證及各種支撐工具等通用基礎服務，支撐優(yōu)質(zhì)資源全國共享和教育管理信息化?！苯逃哭k公廳關(guān)于征求對《關(guān)于“十三五”期間全面深化推動教育信息化工作的指導意見》明確提出：“要從用戶需求出發(fā)，樂觀利用云計算、大數(shù)據(jù)等新技術(shù)，創(chuàng)新管理平臺、資源平臺的建設、應用模式”、“各地要依據(jù)信息化教學實際需求，加快推動資源服務平臺建設，鼓舞企業(yè)依據(jù)國家規(guī)定與學校需求建設資源服務平臺，最終形成掩蓋全國、多級分布、互聯(lián)互通的數(shù)字教育資源云服務體系”、“加快探究數(shù)字教育資源服務供應模式，有效提升數(shù)字教育資源服務水平”。教育部辦公廳關(guān)于印發(fā)《2016年教育信息化工作要點》中也明確提出：“完善教育資源云服務體系，提升資源服務能力”、“統(tǒng)籌推動教育資源公共服務平臺建設”。力爭實現(xiàn)四個新突破，即教育信息化基礎設施建設新突破、優(yōu)質(zhì)數(shù)字教育資源共建共享新突破、信息技術(shù)與教育教學深度融合新突破、教育信息化科學進展機制新突破。3、主要問題與挑戰(zhàn)3.1普教信息化建設存在的問題整體資源建設初具規(guī)模，但往往分布在各個學校內(nèi)部，共建共享機制尚未實現(xiàn)，資源分布不均衡；針對單個業(yè)務系統(tǒng)實現(xiàn)信息化較強，但多業(yè)務拉通環(huán)節(jié)尚未實現(xiàn)，信息孤島問題突出；中小學的信息化硬件設施、寬帶網(wǎng)絡接入有持續(xù)投入，但存在重硬輕軟，重復建設的問題。同時對中小學老師的管理能力要求太高，又缺乏體制保障，實際使用效果有所折扣；投資成本高，運行效率低：中小學數(shù)字校園建設按項目獨立建設應用，而不是統(tǒng)一規(guī)劃。每個新上線的應用都需要采購新的服務器，學校擁有的X86服務器的數(shù)量每年都在以驚人的數(shù)量增加，與之形成鮮亮對比的是服務器的利用率卻很低（平均利用率只有在5％－10％），并且每臺服務器都產(chǎn)生高額成本，包括購置硬件、系統(tǒng)軟件、網(wǎng)絡連接與存儲等，同時管理成本也隨之上升。架構(gòu)缺乏機敏性，響應速度慢：傳統(tǒng)IT架構(gòu)缺乏機敏性，對業(yè)務需求響應速度慢，配置和部署非常簡潔。每個應用系統(tǒng)使用獨立的硬件環(huán)境，當硬件發(fā)生故障時，無法利用其它服務器的空閑資源。新業(yè)務上線和現(xiàn)有業(yè)務擴容的工作量非常大，常常需要涉及到計算、存儲、網(wǎng)絡等環(huán)境的重新設計和配置。數(shù)據(jù)中心的工作效率低，響應速度慢，而成本卻不斷上升。維護成本和設備管理的壓力非常大：中小型的教育行業(yè)用戶IT管理人員缺乏，通常沒有專業(yè)的運維人員，許多情況下是由老師兼職管理的，非專業(yè)運維人員對于處理突發(fā)的系統(tǒng)故障能力欠缺，尤其是對于底層基礎設施的維護能力不足。3.2普教云平臺建設面臨的挑戰(zhàn)資源整合與優(yōu)化利用是教育信息化進展亟需解決的首要問題，而云數(shù)據(jù)中心建設是有效解決這一問題的關(guān)鍵舉措。如何結(jié)合行業(yè)用戶實際需求，構(gòu)建適合普教應用的區(qū)域云數(shù)據(jù)中心是教育信息化建設的核心焦點。對普教用戶而言，云數(shù)據(jù)中心的高技術(shù)性和簡潔性以及資金壓力、管理壓力都是需要關(guān)注和解決的重點，對于普教云數(shù)據(jù)中心建設來講，主要存在以下幾個方面的挑戰(zhàn)：挑戰(zhàn)一：建設成本與運行成本壓力。項目資金有限，對高牢靠、高可用、虛擬化、自動化、高平安等的綜合考慮使得云數(shù)據(jù)中心前期基礎設施建設投入高，導致信息化建設被動重硬輕軟、軟硬件資源建設不均衡；其次是運行成本高，數(shù)據(jù)中心節(jié)點設備眾多，面臨用電和散熱帶來的高能耗開支，及不斷增加運維開支。挑戰(zhàn)二：系統(tǒng)簡潔度高，運維管理不易。虛擬化使得IT系統(tǒng)簡潔度成倍增加，帶來了運維簡潔性，對管理人員技術(shù)要求高，運維管理壓力大。挑戰(zhàn)三：計算虛擬化增加了平安防護部署與管理的簡潔度，云平安足于邏輯邊界而非物理邊界，使得對使用者身份、權(quán)限和行為的鑒別、把握與審計變得更加困難。挑戰(zhàn)四：業(yè)務應用開展難以監(jiān)測與督導。教育局難以把握業(yè)務應用開展情況，無法把握各學校對教學資源的使用狀況與業(yè)務訪問體驗，相比對設備的運維管理，用戶更關(guān)心當前建設應用成果呈現(xiàn)。挑戰(zhàn)五：建設方案技術(shù)封閉或半封閉，后續(xù)擴容被限制，異構(gòu)整合成本高。4、項目總體建設目標以實現(xiàn)“三通兩平臺”落地為目標，建設區(qū)域教育云。通過科學設計和整體規(guī)劃，建設數(shù)據(jù)集中、系統(tǒng)集成的應用環(huán)境，整合各類教育信息資源和信息化基礎設施，實現(xiàn)信息整合、業(yè)務聚合、服務融合的教育云平臺，為各級各類學校供應IT資源的云服務，促進教育業(yè)務部門的業(yè)務協(xié)同，提高教育局的信息化服務能力、服務效率與服務質(zhì)量。通過區(qū)域云平臺建設，最終來實現(xiàn)以下五個目標：(1)區(qū)域智慧教育云基礎環(huán)境建設構(gòu)建系統(tǒng)架構(gòu)科學合理、開放互聯(lián)的智慧教育云平臺基礎軟硬件支撐平臺和信息化網(wǎng)絡環(huán)境，建設豐富多樣的教育應用和資源中心，拓展學習空間人人通，統(tǒng)一數(shù)據(jù)服務和業(yè)務運行。(2)智慧管理通過對大數(shù)據(jù)的采集和分析，對各種教育動態(tài)隨時處理，實現(xiàn)智能決策、可視化管控、平安預警等。建成多級管理和行政辦公系統(tǒng)，使教育管理優(yōu)質(zhì)高效，科學決策。(3)智慧學習利用有線、無線網(wǎng)絡及教學資源、網(wǎng)絡課程中心和互動教學平臺為學生供應泛在學習條件，利用智能學習系統(tǒng)監(jiān)測學生的學習情況，科學評價，依據(jù)學生情況推送學習資源。提高學生能力的同時提升學生的學習興趣，減輕課業(yè)負擔，促進學生健康、歡樂、幸福的成長。(4)智慧教研建設智能化的網(wǎng)上教研環(huán)境，通過對老師需求的分析，主動推送教學資源，支持協(xié)作、共享、創(chuàng)新，老師可隨時隨地與專家和同行交流，充分發(fā)揮名師和骨干老師的引領(lǐng)示范作用，快速提升老師專業(yè)水平，提高教學有效性。(5)智慧服務供應全面的教育評價和質(zhì)量監(jiān)測結(jié)果，并有選擇地向教育行政、學校、老師、學生、家長供應，用于改進教學和學習;做好有關(guān)教育信息發(fā)布及推送服務，使家長準時了解學生在學校中的情況，使公眾便利獲得所關(guān)注的教育信息。XXX其他內(nèi)容請自行補充二、項目需求分析1、數(shù)據(jù)中心特點分析1）大并發(fā)訪問量特點數(shù)據(jù)中心實現(xiàn)了業(yè)務和數(shù)據(jù)的大集中，因此對于用戶而言其全部的業(yè)務都要通過遠程訪問數(shù)據(jù)中心的資源，這就使得數(shù)據(jù)中心往往面對眾多的遠程訪問請求。在訪問高峰期各個分支節(jié)點及遠程接入人員的業(yè)務互動都要通過調(diào)用數(shù)據(jù)中心的資源來完成，高并發(fā)請求一方面使得數(shù)據(jù)中心的出口流量高、另一方面也使得數(shù)據(jù)中心對業(yè)務的處理能力要求高。2）高開放性特點數(shù)據(jù)中心應用包括了對內(nèi)部的業(yè)務支撐、對協(xié)同單位和關(guān)聯(lián)業(yè)務的數(shù)據(jù)交互和公共信息服務，需要接入分支機構(gòu)、業(yè)務關(guān)聯(lián)單位網(wǎng)絡以及開發(fā)的互聯(lián)網(wǎng)，使得數(shù)據(jù)中心具有開放性的特點，而數(shù)據(jù)中心的業(yè)務決定了其只能接受特定來源的特定訪問，因此數(shù)據(jù)中心的開放性導致其信息平安風險很高，使得數(shù)據(jù)中心對信息平安的高要求成為必定。3）多業(yè)務并存的特點數(shù)據(jù)中心是基于業(yè)務大集中模式建設的，因此數(shù)據(jù)中心先天具有多業(yè)務并存的特點，由于不同業(yè)務的重要性不同，因此在資源安排上有級差性，即不同業(yè)務需要安排不同的資源來保障，這種資源包括服務器資源、網(wǎng)絡平安資源、數(shù)據(jù)存儲資源及鏈路帶寬資源。4）不確定的訪問來源由于數(shù)據(jù)中心會有部分業(yè)務面對業(yè)務關(guān)聯(lián)單位和公共用戶開放，因而對于訪問來源的接入把握、訪問管理和行為審計成為數(shù)據(jù)中心建設必需要重點考慮的方面。另外，在信息化時代，如何防范和抵御競爭對手針對信息機密的網(wǎng)絡入侵、信息盜取、惡意攻擊與破壞，也是信息化建設所必不能少的考慮。2、組網(wǎng)需求分析1）高性能、大流量數(shù)據(jù)能力數(shù)據(jù)中心應用的一個業(yè)務特點是大流量的數(shù)據(jù)下載和業(yè)務查詢，因此要求網(wǎng)絡平臺必需具備高性能的數(shù)據(jù)處理能力和大流量的數(shù)據(jù)緩沖能力，確保網(wǎng)絡性能不能成為業(yè)務的瓶頸。數(shù)據(jù)中心的大流量突發(fā)傳輸業(yè)務特性，對基礎網(wǎng)絡的轉(zhuǎn)發(fā)表項、吞吐能力、突發(fā)流量吸取提出了苛刻的要求。同時虛擬服務器產(chǎn)生了不可預期的流量模型，特別?????是如虛擬服務器遷移、數(shù)據(jù)同步、數(shù)據(jù)備份等帶來的突發(fā)性流量，因此網(wǎng)絡平臺需要能夠支撐大型突發(fā)流量以及持續(xù)的無損耗無阻塞數(shù)據(jù)轉(zhuǎn)發(fā)2）低延時、網(wǎng)絡時效性強數(shù)據(jù)中心應用的另一個業(yè)務特點是網(wǎng)絡時效性強，特別?????是在集中時段、多業(yè)務并行服務時要具有服務響應的低延時，充分保障業(yè)務系統(tǒng)對用戶訪問的服務質(zhì)量，因此要求網(wǎng)絡平臺要保障低延時，保證用戶訪問的快速刷新與結(jié)果反饋，確保業(yè)務的實時高效。3）高牢靠、高可用因為業(yè)務和數(shù)據(jù)的大集中部署，數(shù)據(jù)中心網(wǎng)絡的第三個業(yè)務特點是高牢靠、高可用，所以網(wǎng)絡平臺的穩(wěn)定牢靠是實現(xiàn)業(yè)務支撐的基礎，要保障業(yè)務數(shù)據(jù)在傳輸?shù)倪^程中不能毀滅因網(wǎng)絡故障毀滅中斷，滿意7×24小時連續(xù)運行的要求。網(wǎng)絡設計應能有效地避開單點故障（設備、線路），在設備的選擇和關(guān)鍵設備互連時，應供應充分的冗余備份，一方面最大限度地削減故障的可能性，另一方面要保證網(wǎng)絡能在最短時間內(nèi)修復。4）虛擬業(yè)務遷移需求服務器高可用集群技術(shù)和虛擬服務器動態(tài)遷移技術(shù)在數(shù)據(jù)中心容災及計算資源調(diào)配方面得以廣泛應用，這兩種技術(shù)不僅要求在數(shù)據(jù)中心內(nèi)實現(xiàn)大二層網(wǎng)絡接入，而且要求在數(shù)據(jù)中心間也實現(xiàn)大范圍二層網(wǎng)絡擴展。同時網(wǎng)絡平臺能夠感知虛擬業(yè)務遷移，網(wǎng)絡平安管理策略（ACL）等也能夠隨著虛擬業(yè)務的動態(tài)遷移而遷移，保障業(yè)務不間斷。5）統(tǒng)一I/O的FCOE融合在傳統(tǒng)數(shù)據(jù)中心中，由于多種技術(shù)之間的孤立性(LAN與SAN)，使得數(shù)據(jù)中心服務器總是供應多個對外I/O接口，如用于數(shù)據(jù)計算與交互的LAN接口、數(shù)據(jù)訪問的SAN存儲接口以及某些特別?????環(huán)境如特定HPC(高性能計算)環(huán)境下的超低時延接口等。數(shù)據(jù)中心因此不可避開的部署多個網(wǎng)絡：前端的用戶通信網(wǎng)絡（以太網(wǎng)）、后臺存儲網(wǎng)絡光纖的通道（FC光纖網(wǎng)絡）、后端做數(shù)據(jù)更新或者做集群計算的通訊網(wǎng)絡（高性能計算Infiniband網(wǎng)絡）。服務器的多個I/O接口導致了數(shù)據(jù)中心環(huán)境下多個獨立運行的網(wǎng)絡同時存在，不僅使得數(shù)據(jù)中心布線簡潔，不同的網(wǎng)絡、接口形體造成的異構(gòu)還直接增加了額外人員的運行維護、培訓管理等昂揚成本投入，特別?????是存儲網(wǎng)絡的低兼容性特點，使得數(shù)據(jù)中心的業(yè)務擴展往往存在約束。因此，面對云計算服務平臺的數(shù)據(jù)中心網(wǎng)絡將進展為統(tǒng)一平臺，面對數(shù)據(jù)網(wǎng)絡、存儲網(wǎng)絡、服務器集群網(wǎng)絡供應統(tǒng)一的網(wǎng)絡平臺支撐。6）良好的擴展能力易擴展，機敏的適應性和高擴展能力，滿意后期技術(shù)平滑升級和業(yè)務機敏擴容的要求。業(yè)務支撐網(wǎng)絡平臺以資源服務和業(yè)務進展為導向，采用主流的模塊化分層分區(qū)設計，具備機敏組網(wǎng)和IPv6演進能力。7）全面平安、等保合規(guī)建立與國家要求相統(tǒng)一的信息平安保障體系，依據(jù)端到端訪問平安對平安體系進行設計規(guī)劃，具備“數(shù)據(jù)平安”、“運行平安”、“應用平安”等多維度技術(shù)要求，嚴格遵照國家信息平安等級保護要求與相關(guān)政策指導規(guī)范，保證信息網(wǎng)絡的合規(guī)性。3、平安需求分析系統(tǒng)平安需求可以從管理層、物理層、網(wǎng)絡層、系統(tǒng)層、應用層等方面加以分析。在平安管理方面，要考慮政策、法規(guī)、制度、管理權(quán)限、級別劃分、平安域劃分、責任認定、平安培訓等，制定切實有效的管理制度和運行維護機制，建設支撐平安管理的技術(shù)支撐體系；在物理平安方面，要依據(jù)實際情況建立相應的平安防護機制；在網(wǎng)絡平安方面，要解決信息外網(wǎng)與互聯(lián)網(wǎng)的邏輯隔離；對各個平安域，要防范黑客入侵、身份冒充、非法訪問；要解決信息在平安域間傳輸時的完整性、可用性、保密性問題；要解決移動接入用戶身份鑒別和平安傳輸?shù)葐栴}；在系統(tǒng)平安方面，要解決操作系統(tǒng)平安、數(shù)據(jù)庫平安、病毒及惡意代碼防范等問題；從應用平安平安需求進行分析，要實現(xiàn)全網(wǎng)統(tǒng)一的身份鑒別和授權(quán)訪問機制；解決重要終端用戶敏感信息和數(shù)據(jù)的完整性、可用性、保密性問題，數(shù)據(jù)的訪問把握等問題。4、運維管理需求分析影響IT平安運維的因素有許多，總結(jié)起來主要有以下幾方面：簡潔的系統(tǒng)架構(gòu)結(jié)構(gòu)簡潔、系統(tǒng)繁多，大量的相互依靠關(guān)系，多點分布。多個管理團隊，學問分散，過度分別到個人，關(guān)鍵時會影響問題解決效率。頻繁的軟硬件變更業(yè)務變化快、系統(tǒng)頻繁升級變更，時間緊迫，手工操作，易產(chǎn)生業(yè)務不穩(wěn)定。分割的應用視圖各自獨立的監(jiān)控方式，對IT系統(tǒng)豎井式管理，故障難以準確定位。應用軟件注重業(yè)務實現(xiàn)，忽略對日常運維管理的支持。高強度的運維工作長期處于高壓力環(huán)境下工作，工作內(nèi)容瑣碎繁多、重復性強，簡潔形成疲沓工作狀態(tài)，導致人為操作差錯毀滅。學問積累少，相像問題屢屢發(fā)生，運維人員疲于奔命。對于數(shù)據(jù)中心機房眾多的異構(gòu)軟硬件的IT資源管理環(huán)境，為了全方位的監(jiān)控管理和精細化管理，有力保障數(shù)據(jù)中心各個業(yè)務域穩(wěn)定運行，需要建立一個IT資產(chǎn)管理、綜合運行態(tài)勢分析與評估平臺。通過IT運維管理系統(tǒng)，實現(xiàn)多個廠家的網(wǎng)絡設備、服務器、中間件、數(shù)據(jù)庫、存儲設備的統(tǒng)一管理，將目前各個業(yè)務系統(tǒng)中的各種硬件、軟件、業(yè)務應用納入到監(jiān)控平臺中來，實現(xiàn)IT系統(tǒng)、業(yè)務過程和關(guān)鍵業(yè)務指標的監(jiān)控，準時發(fā)覺業(yè)務特別和問題，實現(xiàn)主動的IT運維服務。三、建設思路及原則（1）有用性和先進性原則既要充分考慮有用性，始終面對業(yè)務應用，又要考慮先進性，保持適度前瞻。在進行架構(gòu)規(guī)劃時，不盲目追求設備的超前采購，在充分考慮應用性能的基礎上，保護原有投資。同時要采用成熟先進的理念、技術(shù)和方法，適應進展潮流。（2）牢靠性和穩(wěn)定性原則要確保系統(tǒng)運行的牢靠性和穩(wěn)定性，要從系統(tǒng)架構(gòu)、技術(shù)措施、設備性能、系統(tǒng)管理、廠商技術(shù)支持及修理能力等多方面進行設計規(guī)劃，確保系統(tǒng)運行的牢靠穩(wěn)定。（3）可擴展性和易維護性原則應充分考慮可擴展性和易維護性，適應系統(tǒng)變化要求，能夠依據(jù)將來業(yè)務的增長和變化平滑的擴充和升級，最大程度的削減對網(wǎng)絡架構(gòu)和現(xiàn)有設備的調(diào)整，盡量降低電力、人力等各方面資源維護費用。（4）高度的網(wǎng)絡平安性基于國家信息平安等級保護相關(guān)政策的理解，供應完備的平安防護策略，能防止對網(wǎng)絡資源的非法訪問，保護網(wǎng)絡使用者的合法利益。（5）良好的管理能力在網(wǎng)絡設計中，須建立有效的網(wǎng)絡管理解決方案。能夠?qū)崿F(xiàn)監(jiān)控、監(jiān)測整個網(wǎng)絡的運行情況，合理安排網(wǎng)絡資源、動態(tài)配置網(wǎng)絡負載、可以飛速確定網(wǎng)絡故障等。通過先進的管理策略、管理工具提高網(wǎng)絡的運行性能、牢靠性，簡化網(wǎng)絡的維護工作。XXX其他內(nèi)容請自行補充四、解決方案總體說明1、方案總體說明銳捷教育云數(shù)據(jù)中心解決方案充分考慮了普教數(shù)據(jù)中心建設面臨的實際問題，具備柔性支撐架構(gòu)和快部署、低投入、簡運維、高平安、平臺開放等系列特性，幫忙教育局快速構(gòu)建區(qū)域云平臺或改造原有數(shù)據(jù)中心，做到隨需應變和持續(xù)演化。方案規(guī)劃在保證滿意基本業(yè)務應用的同時，又要體現(xiàn)出組網(wǎng)先進性，所供應的技術(shù)在近年內(nèi)要具有確定的領(lǐng)先性，與將來的新技術(shù)具有兼容性，在網(wǎng)絡設計中要把先進的技術(shù)與現(xiàn)有的成熟技術(shù)和標準結(jié)合起來，充分考慮到網(wǎng)絡應用的現(xiàn)狀和將來進展趨勢。方案規(guī)劃考慮網(wǎng)絡及設備的擴容能力，能夠在充分保護用戶投資的基礎上，可以實現(xiàn)設備及網(wǎng)絡性能的無縫平滑升級、實現(xiàn)多種業(yè)務的無縫平滑擴展，并在性能升級和業(yè)務擴展過程中保障應用系統(tǒng)的連續(xù)性。2、方案整體框架教育云平臺整體架構(gòu)如圖所示，分別是為基礎設施平臺、基礎服務平臺和教育應用平臺，銳捷數(shù)據(jù)中心解決方案定位于基礎設施平臺，為用戶供應極簡融合架構(gòu)的基礎平臺建設方案。教育云平臺方案框架IaaS基礎設施服務層包括硬件基礎設施子層、虛擬化&資源池化子層、資源調(diào)度與管理自動化子層。? 硬件基礎設施子層：包括主機、存儲、網(wǎng)絡及其他硬件在內(nèi)的硬件設備，它們是實現(xiàn)系統(tǒng)平臺虛擬化的最基礎資源；? 虛擬化&資源池化層：通過虛擬化技術(shù)進行整合，形成一個對外供應對資源的池化管理（包括網(wǎng)絡池、服務器池、存儲池等），同時通過虛擬化管理平臺，對外供應運行環(huán)境等基礎服務。? 資源調(diào)度與管理自動化子層：在對資源（物理資源和虛擬資源）進行有效監(jiān)控、管理的基礎上，并且通過對服務模型的抽取，供應彈性計算、負載均衡、動態(tài)遷移、按需供應、自動化部署等功能，它是實現(xiàn)系統(tǒng)平臺虛擬化架構(gòu)的關(guān)鍵所在。3、方案整體架構(gòu)銳捷教育云數(shù)據(jù)中心解決方案由云計算、云網(wǎng)絡、云平安、統(tǒng)一運維幾個部分組成，為教育資源服務平臺和教育管理服務平臺供應健壯、彈性、平安的運行環(huán)境，并在此基礎上構(gòu)建教育共有云或VPC虛擬私有云，教育局可為各學校供應基礎云資源（云主機、云存儲等）服務，有效支撐“互聯(lián)網(wǎng)+教育”戰(zhàn)略的落地。教育云數(shù)據(jù)中心方案整體架構(gòu)云網(wǎng)絡平面為用戶構(gòu)建彈性、健壯的網(wǎng)絡資源池，云計算平面為用戶構(gòu)建按需調(diào)配、彈性伸縮的計算及存儲資源池，在云服務平面教育局可針對各學校供應云主機、云存儲等云資源服務，幫忙學校快速上線業(yè)務應用。云平安平面為用戶供應從網(wǎng)絡、計算到服務的端到端平安防護，統(tǒng)一運維平面實現(xiàn)對網(wǎng)絡、服務器、數(shù)據(jù)庫、中間件和業(yè)務系統(tǒng)的全方位資源管理，實現(xiàn)從業(yè)務角度統(tǒng)一管理下層IT資源。4、方案整體設計方案整體設計如下圖所示，依據(jù)分區(qū)分等級的原則進行業(yè)務分區(qū)和平安域劃分，整體劃分為服務器區(qū)、核心交換區(qū)、平安服務區(qū)和運維管理區(qū)，依據(jù)業(yè)務類別和平安級別不同，再將服務器區(qū)進一步劃分為數(shù)據(jù)庫服務區(qū)、應用服務區(qū)和前置服務區(qū)，實現(xiàn)全面的結(jié)構(gòu)平安。教育云數(shù)據(jù)中心方案整體設計在計算存儲層面，為用戶供應服務器、存儲、虛擬化的一站式解決方案，幫忙教育局快速部署云數(shù)據(jù)中心，快速響應業(yè)務需求。教育局一次設備采購即可完成對云平臺基礎架構(gòu)的整體搭建，相比傳統(tǒng)的分散采購部署方式，建設成本降低50%以上、能耗降低75%以上。有效解決了傳統(tǒng)的云數(shù)據(jù)中心建設所面臨的“投資成本高、運行效率低、架構(gòu)缺乏機敏性、業(yè)務響應速度慢”等問題，兼顧建設成本和應用效率，建設綠色數(shù)據(jù)中心。在網(wǎng)絡層面，通過雙機虛擬化部署，實現(xiàn)高牢靠和高可用，保障關(guān)鍵業(yè)務不中斷傳輸。設備層面：核心設備主控引擎1+1冗余、交換網(wǎng)板N+1冗余、N+M冗余電源、不間斷重啟、熱補丁等技術(shù)，確保電信級牢靠性；組網(wǎng)層面：網(wǎng)絡設備雙機冗錯部署，網(wǎng)絡鏈路雙歸屬聚合互連；系統(tǒng)層面：多合一虛擬化，在簡化組網(wǎng)和管理的同時，進一步增加系統(tǒng)的高牢靠性與高可用性。在平安層面，通過部署防火墻、入侵防守、web應用防護、流量管理、數(shù)據(jù)庫審計、運維審計等設備，實現(xiàn)從網(wǎng)絡到應用的全方位平安防護，為用戶建立事前平安預警、事中深度防護、事后精確審計的全流程平安保障機制，充分滿意等保建設要求。在運維層面，基于業(yè)務視角專業(yè)化綜合運維，業(yè)務平面、數(shù)據(jù)中心平面、網(wǎng)絡平面集中高效管理，對網(wǎng)絡、服務器、數(shù)據(jù)庫、中間件、業(yè)務系統(tǒng)及機房動力環(huán)境等統(tǒng)一監(jiān)控和可視化資源管理，為用戶建立規(guī)范的運維管理流程，充分保障運維效率和質(zhì)量。解決方案及產(chǎn)品為全開放架構(gòu)，通用性強、模塊化彈性擴展，兼容多廠商架構(gòu)，業(yè)務擴容不受限。五、解決方案具體設計1、云計算平臺設計1.1整體架構(gòu)設計傳統(tǒng)的服務器+虛擬化軟件+SAN存儲的數(shù)據(jù)中心云計算平臺方案在擴展性、效率、運維、能耗、平安五大方向上正面臨新的挑戰(zhàn)。傳統(tǒng)數(shù)據(jù)中心多采用服務器、存儲設備堆集及外部網(wǎng)絡連接的架構(gòu)模式，雖然虛擬化技術(shù)的使用讓計算、存儲具有了確定的“流淌性”，但卻無法完全虛擬化I/O，造成不同系統(tǒng)間的IT資源仍未實現(xiàn)高效的共享、機敏的流淌。這就導致數(shù)據(jù)中心的系統(tǒng)擴展性受限、效率不高、能耗鋪張、運維費用高居不下、平安管理簡潔等問題，難以適應云計算大數(shù)據(jù)時代對IT基礎設施的要求。隨著這些新興技術(shù)和應用模式推動數(shù)據(jù)中心向集中化、規(guī)?；M展，用戶期望能夠整體掌控、管理自己的數(shù)據(jù)中心，期望數(shù)據(jù)中心能夠“快、簡、穩(wěn)”，實現(xiàn)業(yè)務上線快、遷移快、切換快，讓數(shù)據(jù)中心的基礎架構(gòu)、運維、使用都變得簡潔、簡潔，同時使應用和基礎架構(gòu)解耦，保證各中心業(yè)務穩(wěn)定運行。新時代下，走向融合架構(gòu)的云數(shù)據(jù)中心將成為大勢所趨。在融合架構(gòu)技術(shù)框架下，核心轉(zhuǎn)變來自CPU、內(nèi)存、I/O等硬件資源的解耦與重構(gòu)，這讓數(shù)據(jù)中心計算、存儲、網(wǎng)絡、平安資源的全虛擬化、全自動化成為現(xiàn)實，并通過軟件定義實現(xiàn)業(yè)務感知的按需資源組合與配置，實現(xiàn)系統(tǒng)的彈性伸縮和超大規(guī)模持續(xù)擴展，真正實現(xiàn)數(shù)據(jù)中心像一臺計算機一樣運行和管理。融合架構(gòu)云數(shù)據(jù)中心總體特征是，自動感知業(yè)務需求，進行資源供應，數(shù)據(jù)中心像一臺服務器。在硬件層面，實現(xiàn)計算、I/O、存儲的完全池化；在軟件層面，實現(xiàn)資源的全面管理和調(diào)配，使得用戶能夠以業(yè)務驅(qū)動應用，進行資源統(tǒng)一的調(diào)度。通過硬件重構(gòu)與軟件定義，在系統(tǒng)效率、擴展性、功耗和管理上帶來全面提升，將促進數(shù)據(jù)中心從資源驅(qū)動向業(yè)務驅(qū)動轉(zhuǎn)變，真實呈現(xiàn)數(shù)據(jù)中心即計算機的愿景。融合架構(gòu)是將徹底打破現(xiàn)有數(shù)據(jù)中心的建設思維與應用模式。同時，精簡的架構(gòu)使數(shù)據(jù)中心配置高度簡化，極大地降低了運維管理成本，讓IT部門專注于業(yè)務的動態(tài)變化和模式創(chuàng)新。1.2超融合架構(gòu)方案通過一箱即云、軟硬件融合統(tǒng)一交付的整體解決方案，為用戶供應最優(yōu)的效率、機敏性、規(guī)模、成本和數(shù)據(jù)保護，兼顧建設成本和應用效率，省錢省力省心。教育局所承載的業(yè)務系統(tǒng)均采用私有云部署方式，各業(yè)務系統(tǒng)全部運行在私有云上。硬件融合，簡化數(shù)據(jù)中心系統(tǒng)架構(gòu)，部署、管理、維護更簡潔軟件融合，計算、管理融合，云管理與簡運維整體交付開放架構(gòu)，模塊化彈性擴展，業(yè)務擴容不受限云管理平臺實現(xiàn)IT資源的服務交付，用戶需要部署業(yè)務應用時可以直接通過自助服務門戶申請相應資源，通過業(yè)務流審批快速交付與部署。同時云管理平臺可以實現(xiàn)多租戶的資源配額與管理，教育局可為下屬的學校(租戶)劃分虛擬的計算、存儲與網(wǎng)絡資源供其使用，實現(xiàn)資源的集約式管理，同時保障各學校的平安隔離。自助式服務管理為用戶供應了一個平安的、多租戶的、可自助服務的IaaS，通過JCOS云計算管理平臺供應的虛擬化資源池功能，通過完全自動化的自助服務訪問為用戶供應云主機、云存儲等云資源。這種自助式的服務真正實現(xiàn)了云計算的機敏性、可控性和高效性，并極大程度地提高了業(yè)務的響應能力。招生系統(tǒng)、查分系統(tǒng)、老師評優(yōu)等應用：大量用戶特定時間段集中訪問，突發(fā)的高并發(fā)訪問常常造成業(yè)務系統(tǒng)癱瘓，導致業(yè)務中斷。ERS（彈性資源擴展）可感知應用負載并動態(tài)調(diào)配虛擬機數(shù)量。以下圖為例，當學生查分訪問高峰時，JCOS監(jiān)控到當前兩臺業(yè)務虛機已經(jīng)無法滿意訪問需求，自動創(chuàng)建新的業(yè)務虛機以滿意高并發(fā)訪問，實現(xiàn)動態(tài)的彈性資源擴展，訪問高峰過后自動刪除新建的業(yè)務虛機、釋放資源。隨著業(yè)務深化開展，在線課堂、網(wǎng)絡教研、協(xié)同備課等業(yè)務應用對服務器資源需求不斷增長，逐步會毀滅物理服務器負載過高的情況。如下圖所示，DRS（分布式資源調(diào)度）可以實時監(jiān)控當前物理服務器負載，當群集中某個物理服務器負載過高時，其上的某個業(yè)務虛機（被預先定義策略）自動遷移到輕載服務器上，遷移過程對用戶和業(yè)務完全透亮?????，實現(xiàn)資源的分布式調(diào)度。1.3解決方案價值1）集成度高，資源集約化使用和管理銳捷UDS2000超融合一體機高度集成計算、存儲和SDN網(wǎng)絡功能，并且有針對性的進行深度優(yōu)化，削減客戶系統(tǒng)集成和調(diào)優(yōu)工作。超融合架構(gòu)在硬件平臺上預置安裝軟件，只需要數(shù)分鐘快速配置即可上線使用。一臺UDS相當于多臺服務器+一套分布式存儲系統(tǒng)+一套虛擬化平臺+一套綜合運維管理平臺。方案供應統(tǒng)一管理界面和集中設備監(jiān)控，同時供應簡潔無中斷的升級過程。由于計算、存儲和SDN網(wǎng)絡功能高度集成在統(tǒng)一的硬件服務器上，可以充分使用服務器的計算和I/O性能，提高服務器的利用率，充分挖掘服務器的潛能。全部應用系統(tǒng)共享物理基礎設施，以資源池的形式對應用系統(tǒng)供應服務，單個物理硬件發(fā)生故障時不會影響任何應用系統(tǒng)。客戶不再需要單獨采購存儲設備，從而提高了機房空間利用率。2）架構(gòu)機敏，快速響應銳捷UDS2000超融合一體機采用虛擬化技術(shù)，將物理資源池化供應應不同應用，只需幾分鐘就可以創(chuàng)建虛擬服務器，快速響應應用系統(tǒng)的變更。系統(tǒng)可以統(tǒng)籌安排全部應用的運行狀態(tài)，依據(jù)負載情況隨時調(diào)整硬件資源，并調(diào)度應用，使應用隨時處于健康的服務狀態(tài)。相同的硬件可以提高系統(tǒng)互操作性和穩(wěn)定性，并且供應簡潔牢靠的擴容方式。新加設備自動發(fā)覺，由管理平臺統(tǒng)一管理，可以在不影響業(yè)務的情況下水平彈性擴容，提升了系統(tǒng)的整體機敏性，簡化分別運維應用系統(tǒng)的工作量。3）部署運維簡易，遠程幫忙便利銳捷UDS2000超融合一體機加電即使可用，省去了服務器上架、配置、調(diào)試等工作。系統(tǒng)自愈能力強，毀滅非計劃停機后，重新加電系統(tǒng)即可恢復，無需人工干預，能良好的適應非標準機房環(huán)境。預制教育行業(yè)主流應用模板，點選即用，屏蔽了安裝操作系統(tǒng)、數(shù)據(jù)庫和應用等工作。供應遠程維護接口，軟硬件供應商和系統(tǒng)集成商可以遠程訪問系統(tǒng)進行故障排查和優(yōu)化，無需現(xiàn)場服務，提高了服務響應時間，節(jié)省了服務成本。通過使用統(tǒng)一運維監(jiān)控平臺，應用系統(tǒng)發(fā)生故障時，支持遠程一鍵恢復。4）彈性擴容，模塊化無縫橫向擴展UDS超融合架構(gòu)本身帶來了機敏性、擴展性與簡易部署，只需要簡潔添置UDS節(jié)點來擴容就能滿意業(yè)務增長的需求，部署維護簡便?；诜植际郊軜?gòu)，計算性能和存儲容量都可以彈性水平擴展，可以像搭積木一樣將UDS進行堆疊實現(xiàn)無縫橫向擴展，形成統(tǒng)一的資源池，并進行統(tǒng)一管理和資源調(diào)配。高度自動化，擴展無需暫停業(yè)務，整個擴容過程不會影響任何服務。5）分布式存儲，更高性能、更低成本傳統(tǒng)的SAN架構(gòu)的集中共享存儲的解決方案需要用戶分別購買磁盤陣列、SAN交換機及HBA卡組網(wǎng)，建設成本高、業(yè)務部署緩慢、可擴展性差，還存在鎖定用戶問題、擴展與性能的問題、折舊費用問題、數(shù)據(jù)中心機柜的空間問題等等。在性能方面：全部數(shù)據(jù)讀寫都通過集中把握器管理，存儲性能在把握器層面存在瓶頸，同時存儲陣列中大量磁盤資源處于閑置狀態(tài)，不能有效利用。在管理方面：需要對服務器、存儲陣列、SAN存儲網(wǎng)絡單獨維護，用戶管理難度大。銳捷分布式存儲方案基于通用的X86服務器為用戶構(gòu)建高可用的虛擬化存儲資源池，幫忙用戶有效的提升了對服務器閑置磁盤的資源利用率。分布式存儲方案將用戶數(shù)據(jù)分散進行存儲，多點并發(fā)，速度快、性能高，比傳統(tǒng)共享存儲性能高出50%以上，并可為用戶供應更高的數(shù)據(jù)牢靠性保障。同時，分布式存儲方案業(yè)務擴展機敏、擴容成本低，同步實現(xiàn)計算與存儲資源擴展。6）開放的標準銳捷UDS2000超融合一體機供應開放標準的OpenstackAPI，易于和內(nèi)部其他IT系統(tǒng)實現(xiàn)對接。同時，供應豐富的命令行工具，充分滿意對自動化運維的訂制需求。1.4SQL數(shù)據(jù)庫支撐設計注：此部分內(nèi)容請按需修改。1）SQLSERVER數(shù)據(jù)庫本項目涉及業(yè)務軟件均使用SQLSERVER數(shù)據(jù)庫。磁盤I/O是影響SQLSERVER數(shù)據(jù)庫性能的最重要因素之一。其競爭來源主要有：Windows操作系統(tǒng)，主要是內(nèi)存分頁文件、Windows日志文件。數(shù)據(jù)庫的數(shù)據(jù)文件（mdf和ndf）數(shù)據(jù)庫的事務日志文件（ldf）SQLServer實例的tempdb數(shù)據(jù)庫為了消退競爭對性能的影響，本方案采用分布式存儲架構(gòu)。2）磁盤規(guī)劃建議Tempdb：tempdb數(shù)據(jù)庫性能要求非常高，但對數(shù)據(jù)平安性要求低。建議將tempdb數(shù)據(jù)庫放置在快速磁盤系統(tǒng)中。假如有許多直接連接的磁盤，使用RAID0。數(shù)據(jù)文件（mdf和ndf文件）：這類文件即要求性能，又要求平安性。使用RAID5。事務日志文件（ldf文件）：事務日志文件的特性是連續(xù)的挨次寫入，因此對性能要求不高，僅要求平安性。使用RAID5。3）磁盤空間規(guī)劃盡管對于當前的驅(qū)動器的大小而言，SQLServer的磁盤空間需求是微不足道的，但是照舊需要考慮磁盤空間的規(guī)劃。系統(tǒng)數(shù)據(jù)庫

一般來說，系統(tǒng)數(shù)據(jù)庫都不會很大，只有tempdb例外。假如T-SQL代碼的質(zhì)量不佳，tempdb增長到幾百GB也是有可能的。用戶數(shù)據(jù)庫應當估算用戶數(shù)據(jù)庫的容量增長，并規(guī)劃足夠的磁盤空間。當磁盤已滿導致數(shù)據(jù)庫不能獲得更多的磁盤空間，會報錯“數(shù)據(jù)庫已滿”或“數(shù)據(jù)庫日志已滿”，數(shù)據(jù)庫將拒絕寫入。4）磁盤類型規(guī)劃SQLSERVERtempdb等數(shù)據(jù)庫IOPS要求較高，本方案采用SSD盤應對數(shù)據(jù)庫的高IOPS需求。每臺服務器部署2塊960GSSD。5）資源池設計每個應用使用兩到三臺虛擬機（SQLServer數(shù)據(jù)庫、中間件、Web服務器）。為了應對突發(fā)高訪問量，對重要應用使用高可用保護，或者多應用實例的負載均衡，所以需要預留額外的資源。一般來講，系統(tǒng)會依據(jù)50%的超配比例。在此方案中，選用UDS2000-E(S)超融合云一體機產(chǎn)品。內(nèi)置JCOS軟件。采用分布式存儲技術(shù)，客戶不需要另行購買專用存儲設備，大大節(jié)省用戶投資。云網(wǎng)絡平臺設計2.1整體架構(gòu)設計云計算數(shù)據(jù)中心基礎網(wǎng)絡是云業(yè)務數(shù)據(jù)的傳輸通道，將數(shù)據(jù)的計算和數(shù)據(jù)存儲有機的結(jié)合在一起。網(wǎng)絡推舉采用扁平化架構(gòu)設計，分核心層與接入層兩個層面。核心層主要由大容量三層交換機組成，主要負責與外部網(wǎng)絡的流量交換以及節(jié)點內(nèi)各集群之間的流量轉(zhuǎn)發(fā)；接入層主要由接入交換機構(gòu)成，負責服務器的接入?；A網(wǎng)絡從核心層到接入層均實現(xiàn)交換機的虛擬化部署，不僅網(wǎng)絡容量可以平滑擴展，并簡化網(wǎng)絡拓撲結(jié)構(gòu)、大大提高整網(wǎng)的牢靠性。核心交換機需要具備高處理能力，實現(xiàn)在大容量數(shù)據(jù)的線速無阻塞轉(zhuǎn)發(fā)，具有對突發(fā)數(shù)據(jù)的緩沖能力、緩解端口擁塞壓力，同時應對多種業(yè)務流量的需求和將來的業(yè)務擴展。基于系統(tǒng)牢靠性的考慮，網(wǎng)絡采用雙核心交換和雙鏈路上行設計，實現(xiàn)設備級和鏈路級的高牢靠性，保證業(yè)務的不間斷性。核心交換機進行虛擬化雙機部署，在網(wǎng)絡連接上消退單點故障，物理鏈路采用雙路冗余連接，依據(jù)負載均衡方式或active-active方式工作，在提高網(wǎng)絡性能、系統(tǒng)牢靠性的同時，簡化網(wǎng)絡結(jié)構(gòu)、降低維護難度。扁平化大二層組網(wǎng)為保證虛機遷移時業(yè)務不中斷，云數(shù)據(jù)中心應采用大二層組網(wǎng)，同時還需要解決由STP帶來的帶寬鋪張和虛機遷移引發(fā)網(wǎng)絡震蕩問題。在這方面，通過多合一虛擬化技術(shù)，可以將多個核心設備虛擬成為一個邏輯設備，實現(xiàn)二、三層把握平面的統(tǒng)一，進而在保證高牢靠的前提下，實現(xiàn)接入交換機上行鏈路的跨設備鏈路聚合，從而消退環(huán)路，提高二層組網(wǎng)的性能、消退由生成樹重計算造成的網(wǎng)絡震蕩。虛擬機感知與平安策略自動遷移支持虛擬機感知及平安策略自動遷移，實現(xiàn)虛擬主機網(wǎng)內(nèi)自由遷移時對應平安把握策略的同步遷移，有效實現(xiàn)大規(guī)模服務器虛擬化應用環(huán)境中虛擬機流量的平安把握策略統(tǒng)一部署。統(tǒng)一交換，融合存儲與以太網(wǎng)同時可為服務器供應FCoE接入和以太網(wǎng)接入服務，從而幫忙用戶輕松整合異構(gòu)的存儲網(wǎng)和數(shù)據(jù)網(wǎng)，削減網(wǎng)絡中的設備數(shù)量，最大程度上簡化網(wǎng)絡部署成本和布線成本，保護用戶既有投資。2.2網(wǎng)絡分區(qū)設計數(shù)據(jù)中心架構(gòu)設計的重要設計方法為分區(qū)分域模塊化設計。它是依據(jù)業(yè)務相關(guān)性、平安性和擴展性等諸多方面的考慮，將數(shù)據(jù)中心橫向劃分為不同的功能區(qū)域，部署相應的服務器、軟件和網(wǎng)絡平安系統(tǒng)，不同的分區(qū)部署不同的業(yè)務系統(tǒng)、平安策略和訪問策略，一個分區(qū)就對應著一個系統(tǒng)。1)分區(qū)分域設計的重要性可以在數(shù)據(jù)中心中清楚區(qū)分不同的功能區(qū)域，可以便利的依據(jù)不同區(qū)域的功能需求進行差異化設計和建設區(qū)域邊界，實質(zhì)上也是不同平安級別的業(yè)務的平安邊界?；趨^(qū)域邊界可以明晰的設計和部署相應的平安策略，保證數(shù)據(jù)中心的平安運行2)數(shù)據(jù)中心網(wǎng)絡分區(qū)原則平安性原則：依據(jù)平安等級不同，劃分為不同分區(qū)。例如，為互聯(lián)網(wǎng)用戶、合作伙伴服務的服務器單獨分區(qū)，信息敏感的服務器單獨分區(qū)。高可用布局原則：業(yè)務關(guān)聯(lián)度高的服務器部署在同一個區(qū)域；業(yè)務關(guān)聯(lián)度低的服務器拆分成多個區(qū)域；可用性要求高的業(yè)務拆分成兩個對等區(qū)域。容量適度原則：依據(jù)運維管理閱歷，把握單個區(qū)域內(nèi)的服務數(shù)量，例如，500臺以內(nèi)。將來服務器數(shù)據(jù)增加、區(qū)域間流量增長后可考慮進一步拆分。獨立運維管理原則：業(yè)務流量、平安把握、組網(wǎng)協(xié)議方面有特別?????要求的服務器單獨分區(qū)。網(wǎng)絡分區(qū)設計為了能夠?qū)崿F(xiàn)業(yè)務服務器的平安隔離、容量擴展和分類管理等需求，通常將業(yè)務區(qū)按應用層次、按應用類型兩種模式細分。兩種模式各有優(yōu)缺，通常結(jié)合使用。模式A：按應用層次分區(qū)模式B：按應用類型分區(qū)部署說明客戶端到服務器的訪問要經(jīng)過三個區(qū)域同一層服務器之間的互訪不需要跨區(qū)域客戶端到服務器的訪問只要經(jīng)過一個區(qū)域同一層服務器之間的互訪需要跨區(qū)域優(yōu)點每個區(qū)域只服務于應用邏輯中的一個層面（Web/App/DB)應用層次之間物理分別風險分散，一個區(qū)域內(nèi)部故障或變更停機不會影響其他區(qū)域承載的業(yè)務擴展性較強，當應用種類增加或者單個區(qū)域容量增加時，可以通過橫向拆分擴容可管理性強：便于故障定位和應急低時延：同一應用各層服務器之間的流量在同一個區(qū)內(nèi)缺點風險集中，一個區(qū)域內(nèi)部故障或變更，會影響全部應用擴展性較弱，服務器數(shù)量較多時，單個區(qū)域易達到容量上限業(yè)務可管理性弱，不易進行故障定位和應急應用層次之間無物理分別網(wǎng)絡整體劃分為服務器區(qū)、核心交換區(qū)、平安服務區(qū)和運維管理區(qū)，依據(jù)業(yè)務類別和平安級別不同，再將服務器區(qū)進一步劃分為數(shù)據(jù)庫服務區(qū)、應用服務區(qū)和前置服務區(qū)，實現(xiàn)全面的結(jié)構(gòu)平安。2.3核心層設計高效：采用云計算數(shù)據(jù)中心交換機，支持40G和100G的接口，可為整個數(shù)據(jù)中心構(gòu)建高性能的數(shù)據(jù)轉(zhuǎn)發(fā)平臺，充分滿意教育行業(yè)將來海量數(shù)據(jù)傳輸?shù)男枨?；通過網(wǎng)絡結(jié)構(gòu)的設計和產(chǎn)品功能上的支持，可以為用戶構(gòu)建1:1收斂比的整體網(wǎng)絡結(jié)構(gòu)，整個網(wǎng)絡沒有瓶頸，這在分布式計算環(huán)境（如進行多數(shù)據(jù)源的數(shù)據(jù)分析）可以很好地保障網(wǎng)絡質(zhì)量。牢靠：通過VSU（VirtualSwitchUnit，虛擬交換單元）實現(xiàn)網(wǎng)絡資源虛擬化，提升整個數(shù)據(jù)中心的牢靠性，使得網(wǎng)絡故障自動恢復時間從秒級提升到毫秒級，網(wǎng)絡的牢靠性提升幾十倍，達到99.999%。多業(yè)務融合：在數(shù)據(jù)中心交換機上，支持FCoE功能，實現(xiàn)存儲和網(wǎng)絡的融合，使得云計算要求的資源池構(gòu)建和資源調(diào)度更加機敏。2.4接入層設計在高性能方面，供應強大的緩存能力，支持先進的緩存調(diào)度機制可以保證設備緩存能力有效利用的最大化；供應高密度的10G及40G接口，全部端口均可實現(xiàn)線速轉(zhuǎn)發(fā)，滿意數(shù)據(jù)中心萬兆服務器無阻塞上聯(lián)的需求。在高牢靠方面，支持將多臺物理設備虛擬化為一臺邏輯設備，統(tǒng)一運行管理，削減網(wǎng)絡節(jié)點，增加網(wǎng)絡牢靠性?？蓪崿F(xiàn)50~200ms鏈路故障快速切換，保障關(guān)鍵業(yè)務不中斷傳輸。支持跨設備鏈路聚合，便利接入服務器/交換機實現(xiàn)雙活鏈路上聯(lián)。

在適應性方面，支持虛擬機感知及平安策略自動遷移，實現(xiàn)虛擬主機全網(wǎng)范圍內(nèi)自由遷移時對應平安把握策略的同步遷移，消退服務器虛擬化環(huán)境中網(wǎng)絡平安漏洞，削減網(wǎng)絡維護工作量。在網(wǎng)絡接入方面，可為服務器供應FC和FCoE接入和以太網(wǎng)接入服務，同時為傳統(tǒng)IPSAN用戶供應無損以太網(wǎng)傳輸，增加IPSAN的牢靠性，從而幫忙用戶輕松整合異構(gòu)的LAN和SAN兩張網(wǎng)絡，削減網(wǎng)絡中的設備數(shù)量，既能真正實現(xiàn)數(shù)據(jù)中心網(wǎng)絡架構(gòu)的融合，又能充分保護用戶既有投資。2.5虛機感知與策略遷移解決方案支持虛擬機感知及平安策略自動遷移，有效實現(xiàn)大規(guī)模服務器虛擬化應用環(huán)境中虛擬機流量的平安把握策略統(tǒng)一部署，并通過數(shù)據(jù)中心網(wǎng)絡管理平臺協(xié)作數(shù)據(jù)中心交換機、虛擬機管理把握平臺，實現(xiàn)虛擬主機全網(wǎng)范圍內(nèi)自由遷移時對應平安把握策略的同步遷移，消退服務器虛擬化環(huán)境中網(wǎng)絡平安漏洞，削減網(wǎng)絡維護工作量。虛機感知過程：1）虛擬機上線，發(fā)送攜帶自己vlan的報文。2）接入交換機檢測到虛擬機發(fā)出的ARP/RARP消息，感知到虛擬機，將虛擬機的接入端口加入vlan（虛擬機），并向上轉(zhuǎn)發(fā)ARP/RARP消息。3）核心交換機學習到虛擬機ARP/RARP報文后，向下定位虛擬機接入的具體端口，下發(fā)ACL配置策略到接入交換機的虛擬機接入端口。4）虛擬機接入端口應用ACL配置策略虛機遷移過程：1）虛擬機遷移后，接入交換機通過ARP報文學習到虛擬機的MAC和Vlan信息，在接入端口動態(tài)添加虛擬機vlan。2）接入交換機轉(zhuǎn)發(fā)RARP報文告知網(wǎng)關(guān)（核心交換機），核心交換機推斷到虛擬機發(fā)生遷移，重新定位和下發(fā)ACL策略到接入交換機。3）接入交換機在虛擬機接入端口應用ACL策略。注：假如在同一臺接入交換機內(nèi)遷移，則此接入交換機直接將策略應用到新的接入端口；假如虛擬機跨交換機遷移、則核心交換機將網(wǎng)絡策略自動下發(fā)到新的接入交換機接入端口，實現(xiàn)策略自動跟隨。3、云平安平臺設計3.1數(shù)據(jù)中心平安概述數(shù)據(jù)中心是由許多個分區(qū)組成的，例如外聯(lián)區(qū)、管理分區(qū)、服務器分區(qū)、存儲區(qū)、開發(fā)測試區(qū)等等。數(shù)據(jù)中心的平安措施包括許多方面：設置嚴格的管理制度，實行人員通行證、人員登記、人員操作備案等等。把握人員訪問權(quán)限的平安，實現(xiàn)最小授權(quán)，業(yè)務嚴格劃分。對業(yè)務人員進行平安培訓，建立嚴格的平安制度等，削減或避開平安事故的發(fā)生。設置簡潔的密碼，防止賬號密碼被盜用等。而在本章中，主要描述的是數(shù)據(jù)中心網(wǎng)絡平安方面的內(nèi)容。網(wǎng)絡平安問題主要分為四類：網(wǎng)絡攻擊：例如DDoS攻擊、掃描類攻擊、窺探類攻擊、畸形包攻擊等。漏洞入侵：黑客利用操作系統(tǒng)、數(shù)據(jù)庫、Webserver等存在的漏洞進行入侵。病毒威逼：各種類型的病毒，威逼數(shù)據(jù)中心服務器的平安。內(nèi)部人員威逼：例如內(nèi)網(wǎng)用戶越權(quán)訪問、非法竊取數(shù)據(jù)等等。3.2平安威逼及措施數(shù)據(jù)中心由于進行數(shù)據(jù)的集中式管理，數(shù)據(jù)量大而且非常重要，往往更簡潔成為攻擊目標，而采用單一的平安防范技術(shù)很難行之有效，所以需要對數(shù)據(jù)中心進行全方位的防護，針對不同的分區(qū)建設有針對性的防護。數(shù)據(jù)中心的平安威逼來自于網(wǎng)絡的各個層面，從物理層始終到應用層。需要針對各層的平安威逼的特點做出一系列的應對措施，如內(nèi)容深度防守、二到七層的全方位防范、訪問把握、協(xié)議棧的平安防范以及二到四層的攻擊防范等。數(shù)據(jù)中心內(nèi)各個分區(qū)存在的平安威逼不盡相同，如下圖所示。依據(jù)數(shù)據(jù)中心各個分區(qū)的平安威逼、平安設計原則、應對措施推舉。在數(shù)據(jù)中心，由于業(yè)務的特點不同，分區(qū)的平安狀況和上圖可能有些區(qū)別，可以依據(jù)平安威逼的類別適當添加和削減平安設備。序號IT平安威逼類型IT平安技術(shù)保護措施威逼分類威逼名稱威逼來源威逼動機威逼對象威逼影響平安識別與監(jiān)控平安防護平安審計與恢復1系統(tǒng)惡意代碼病毒外部有意系統(tǒng)機密性、完整性、可用性防毒墻身份認證、惡意代碼保護、防病毒網(wǎng)關(guān)平安審計木馬外部有意系統(tǒng)機密性、完整性、可用性蠕蟲外部、內(nèi)部有意、無意網(wǎng)絡、系統(tǒng)機密性、完整性、可用性后門外部、內(nèi)部有意系統(tǒng)、應用機密性、完整性、可用性間諜軟件外部有意系統(tǒng)、應用機密性、完整性、可用性2網(wǎng)絡平安攻擊拒絕服務攻擊外部攻擊有意網(wǎng)絡、系統(tǒng)、應用可用性入侵檢測系統(tǒng)拒絕服務攻擊保護、入侵防守平安審計僵尸網(wǎng)絡外部攻擊有意網(wǎng)絡、系統(tǒng)、應用可用性入侵檢測系統(tǒng)拒絕服務攻擊保護、入侵防守平安審計網(wǎng)絡欺騙攻擊外部攻擊有意網(wǎng)絡、系統(tǒng)機密性、完整性、可用性入侵檢測系統(tǒng)網(wǎng)絡訪問把握、入侵防守平安審計嗅探掃描外部攻擊有意網(wǎng)絡、系統(tǒng)機密性、可用性平安漏洞掃描、入侵檢測網(wǎng)絡訪問把握、入侵防守平安審計非法數(shù)據(jù)傳播外部、內(nèi)部有意網(wǎng)絡機密性網(wǎng)絡流量管理平安審計3應用攻擊SQL注入攻擊外部、內(nèi)部有意應用機密性、完整性、可用性入侵檢測系統(tǒng)、平安漏洞掃描WEB應用保護墻、入侵防守系統(tǒng)平安審計跨站攻擊外部、內(nèi)部有意應用機密性、完整性、可用性入侵檢測系統(tǒng)、平安漏洞掃描WEB應用保護墻、入侵防守系統(tǒng)平安審計緩沖區(qū)溢出攻擊外部、內(nèi)部有意應用機密性、完整性、可用性入侵檢測系統(tǒng)、平安漏洞掃描WEB應用保護墻、入侵防守系統(tǒng)平安審計文檔上傳攻擊外部、內(nèi)部有意應用機密性、完整性、可用性入侵檢測系統(tǒng)、平安漏洞掃描WEB應用保護墻、入侵防守系統(tǒng)平安審計網(wǎng)站網(wǎng)頁掛馬外部、內(nèi)部有意應用機密性、完整性、可用性入侵檢測系統(tǒng)、平安漏洞掃描WEB應用保護墻、入侵防守系統(tǒng)、網(wǎng)頁防篡改平安審計4綜合權(quán)限平安非授權(quán)訪問外部、內(nèi)部有意網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)機密性、完整性、可用性防火墻身份認證、入侵防守系統(tǒng)、終端平安防護平安審計權(quán)力濫用內(nèi)部有意網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)機密性、完整性、可用性防火墻終端平安防護平安審計3.3數(shù)據(jù)中心平安設計1）設計原則數(shù)據(jù)中心的平安的設計原則包含六個方面，如下表所示：原則描述牢靠穩(wěn)定平安設備避開單點故障，切實保障網(wǎng)絡中的平安以及網(wǎng)絡的正常運行。可擴展化采用模塊化體系結(jié)構(gòu)，便于功能的添加和削減。分區(qū)管理不同區(qū)域采用不同平安策略，平安措施有針對性，有利于效率的提升。最小授權(quán)依據(jù)“缺省拒絕”方式制定防護策略。在身份鑒別的基礎上，只授權(quán)開放必要的訪問權(quán)限，并保證數(shù)據(jù)平安的完整性、機密性、可用性。平安管理關(guān)聯(lián)事件分析，評估平安狀態(tài)，便于準時調(diào)整平安策略。運維審計降低資源風險，完善責任認定。2）功能和分區(qū)平安設計數(shù)據(jù)中心的平安設計時，至少需考慮三個方面的功能，如表所示。功能描述防護針對外部攻擊，需要進行平安域的劃分，把整個區(qū)域劃分為多個不同安全等級的子區(qū)域；進行訪問把握，對攻擊進行防護，并在一些業(yè)務上允許用戶建立平安隧道。免疫針對內(nèi)部威逼，主要是能識別終端風險，對終端進行認證授權(quán)，對文檔進行平安的管理和把握等?？晒芾碇饕高\維行為管理，對運維終端進行認證和授權(quán)，對運維的行為進行升級，對平安事件進行分析。3）分區(qū)平安建議及應對針數(shù)據(jù)中心各個分區(qū)的平安威逼，制定不同的部署建議以及推舉的產(chǎn)品，如下表所示：平安區(qū)域存在問題及風險信任策略部署建議部署價值內(nèi)網(wǎng)接入?yún)^(qū)非法業(yè)務訪問信任部署防火墻解決內(nèi)網(wǎng)用戶非法訪問問題WAN接入?yún)^(qū)非法業(yè)務訪問信任部署防火墻解決分支用戶非法訪問問題Internet接入?yún)^(qū)互聯(lián)網(wǎng)DDoS流量攻擊非法業(yè)務訪問、NATVPN平安接入不信任部署Anti-DDoS部署防火墻部署SSLVPN設備解決DDoS攻擊、業(yè)務非法訪問、遠程用戶平安接入問題合作伙伴接入?yún)^(qū)VPN平安接入非法業(yè)務訪問部分信任雙層部署防火墻解決業(yè)務非法訪問問題業(yè)務可采用VPN接入業(yè)務服務區(qū)非法業(yè)務訪問黑客入侵行為信任部署防火墻部署IPS設備解決業(yè)務非法訪問、黑客入侵攻擊問題網(wǎng)管維護區(qū)非法業(yè)務訪問缺乏平安事件管理缺乏平安設備管理缺乏平安運維審計部署防火墻部署SoC系統(tǒng)部署平安設備管理系統(tǒng)部署堡壘主機解決業(yè)務非法訪問，平安事件關(guān)聯(lián)、平安設備管理與運維審計問題3.3.1防火墻平安分區(qū)在平安設計時，首先要將網(wǎng)絡劃分為不同的功能區(qū)域，用于部署不同的應用，使得整個網(wǎng)絡的架構(gòu)具備可伸縮性、機敏性、和高可用性。服務器將會依據(jù)服務器上的應用的用戶訪問特性和應用的核心功能分成不同組部署在不同的區(qū)域中，但是由于整個數(shù)據(jù)中心的許多服務是統(tǒng)一供應的，例如數(shù)據(jù)備份和系統(tǒng)管理，所以為保持架構(gòu)的統(tǒng)一性，避開資源不必要的重復鋪張，一些功能相像的服務將統(tǒng)一部署在特定的功能區(qū)域內(nèi)，例如與管理相關(guān)的服務器將被部署在管理區(qū)。實際部署中，建議通過防火墻實現(xiàn)平安區(qū)域的邊界隔離與訪問把握，防火墻定義為高級的平安訪問把握設備，通過位于不同網(wǎng)絡或網(wǎng)絡平安域之間信息的唯一連接處，依據(jù)組織的業(yè)務特點、行業(yè)背景、管理制度所制定的平安策略，運用包過濾、代理網(wǎng)關(guān)、NAT轉(zhuǎn)換、IP/MAC地址綁定等技術(shù)，實現(xiàn)對出入網(wǎng)絡的信息流進行全面的安區(qū)把握（允許通過、拒絕通過、過程監(jiān)測）,供應外部攻擊防范、內(nèi)網(wǎng)平安、狀態(tài)檢測等功能有效的保證網(wǎng)絡的平安。并可通過虛擬防火墻，劃分多個邏輯的防火墻實例來實現(xiàn)對用戶多個業(yè)務獨立平安策略部署的需求。3.3.2關(guān)鍵路徑進行入侵防守隨著網(wǎng)絡技術(shù)的飛速進展，應用層威逼的日益流行，以木馬、間諜軟件、網(wǎng)頁篡改、DDoS攻擊為代表的應用層攻擊層出不窮，傳統(tǒng)的防火墻防守只能基于網(wǎng)絡層針對IP報文頭進行檢查和規(guī)章匹配，無法識別隱藏在正常報文中或跨越幾個報文的應用層攻擊；而傳統(tǒng)的IDS等旁路應用層平安設備由于不能實時阻斷平安威逼的傳播，缺乏有用性。因此完善的解決方案是部署入侵防守系統(tǒng)，通過將入侵防守IPS部署于業(yè)務關(guān)鍵路徑供應對網(wǎng)絡L4～L7流量的深度分析與檢測能力，有效檢測并實時阻斷隱藏網(wǎng)絡流量中的病毒、攻擊與濫用行為，從而達到對網(wǎng)絡上應用的保護、網(wǎng)絡基礎設施的保護和網(wǎng)絡性能的保護。在網(wǎng)絡中部署入侵防守系統(tǒng)可實現(xiàn)如下功能：網(wǎng)絡信息包嗅探與網(wǎng)絡訪問監(jiān)控：依據(jù)實際業(yè)務需要定制相關(guān)規(guī)章，可定義權(quán)限的特定資源，時間段，權(quán)限，非法訪問行為或除特定資源合法訪問行為之外的全部訪問行為進行監(jiān)控。應用層攻擊特征檢測：供應詳盡、細粒度的應用協(xié)議分析技術(shù)，針對數(shù)據(jù)業(yè)務訪問的應用層進行攻擊檢測，可自動檢測網(wǎng)絡實時數(shù)據(jù)流中符合特征的攻擊行為，系統(tǒng)維護一個強大的攻擊特征庫，用戶可以定期更新，確保能夠檢測到最新的攻擊事件。特別檢測與防護：包括通過對在特定時間間隔內(nèi)超流量、超連接的數(shù)據(jù)包進行檢測等方式，實現(xiàn)對DOS/DDOS攻擊、掃描等攻擊事件的檢測也防護。3.3.3Web應用平安防護隨著信息不斷深化應用，基于web的業(yè)務系統(tǒng)越來越多，然而Web服務器存在的脆弱性將導致web應用及業(yè)務系統(tǒng)受到嚴峻的平安風險。因此需要建立Web應用防護能力，通過對進出Web服務器的HTTP/HTTPS流量相關(guān)內(nèi)容的實時分析檢測、過濾，來精確判定并阻擋各種Web應用入侵行為，阻斷對Web服務器的惡意訪問與非法操作，適應Web2.0時代的主動實時監(jiān)測過濾風險技術(shù)，而不是被動的遭受攻擊后的恢復通過將惡意代碼、非授權(quán)篡改、應用攻擊等眾多因素結(jié)合在一起進行綜合防范，從而做到對Web服務器的多重保護，確保Web應用平安的最大化，防止網(wǎng)頁內(nèi)容被篡改，防止網(wǎng)站數(shù)據(jù)庫內(nèi)容泄露，防止口令被突破，防止系統(tǒng)管理員權(quán)限被竊取，防止網(wǎng)站被掛馬和植入病毒、惡意代碼、間諜軟件等，防止用戶輸入信息的泄露，防止賬號失竊，防SQL注入，防XSS攻擊等。

同時結(jié)合漏洞掃描功能、平安審計設備，實現(xiàn)對web服務器系統(tǒng)的“事前預警、事中防守、事后審計”。3.3.4網(wǎng)絡與數(shù)據(jù)庫平安審計雖然網(wǎng)絡中已經(jīng)采用了\t"/68/_blank"防火墻、\t"/68/_blank"入侵防守等平安措施，但對主機核心業(yè)務數(shù)據(jù)平安進行有效把握的關(guān)鍵是事前制定和實施平安把握策略、事中進行嚴格管理和把握、事后加強審計。因此如何準確定位事件源頭，有效監(jiān)控業(yè)務系統(tǒng)訪問行為和敏感信息傳播，把握網(wǎng)絡系統(tǒng)的平安狀態(tài)，準時發(fā)覺違反平安策略的事件并實時告警、記錄，同時進行平安事件定位分析，事后追查取證，滿意合規(guī)性審計要求，是企業(yè)迫切需要解決的問題。平安審計從兩個層面來考慮和部署，一是網(wǎng)絡行為平安審計、二是數(shù)據(jù)庫訪問平安審計，分別從網(wǎng)絡層和主機層實現(xiàn)訪問平安審計及事件溯源。部署行為平安審計設備，對網(wǎng)絡流量進行監(jiān)聽，對網(wǎng)絡活動進行解析、記錄、分析，以幫忙平安管理人員了解、發(fā)覺、追查網(wǎng)絡平安事故，依據(jù)國家有關(guān)法規(guī)規(guī)定保存審計日志，以便進行事后的審計和分析。部署數(shù)據(jù)庫平安審計設備，監(jiān)視并記錄對數(shù)據(jù)庫服務器的各類操作行為，通過對網(wǎng)絡數(shù)據(jù)的分析，實時地、智能地解析對數(shù)據(jù)庫服務器的各種操作，并記入審計數(shù)據(jù)庫中以便日后進行查詢、分析、過濾，實現(xiàn)對目標數(shù)據(jù)庫系統(tǒng)的用戶操作的監(jiān)控和審計。在不影響數(shù)據(jù)庫系統(tǒng)自身性能的前提下，實現(xiàn)對數(shù)據(jù)庫的在線監(jiān)控和保護，準時地發(fā)覺網(wǎng)絡上針對數(shù)據(jù)庫的違規(guī)操作行為并進行記錄、報警和實時阻斷，有效地彌補現(xiàn)有應用業(yè)務系統(tǒng)在數(shù)據(jù)庫平安使用上的不足，為數(shù)據(jù)庫系統(tǒng)的平安運行供應了有力保障。

3.4.5運維審計堡壘機針對運維平安部署堡壘機實現(xiàn)對運維訪問統(tǒng)一權(quán)限把握，提高系統(tǒng)運維管理水平，跟蹤服務器上用戶的操作行為，防止黑客的入侵和破壞，供應把握和審計依據(jù)，降低運維成本，銳捷堡壘機具備強大的平安防護能力，能夠攔截非法訪問和惡意攻擊，對不合法命令進行阻斷、過濾掉全部對目標設備的非法訪問行為。并且能夠具體記錄用戶操作的每一條指令，能夠?qū)⑷康妮敵鲂畔⑷坑涗浵聛?，具備審計回訪功能，能夠模擬用戶的在線操作過程，豐富和完善了網(wǎng)絡的內(nèi)控審計功能。3.4平安域規(guī)劃設計平安域是指信息系統(tǒng)中有相同的平安保護需求、相互信任，并具有相同的平安訪問把握和邊界把握策略的子網(wǎng)或網(wǎng)絡，且相同的網(wǎng)絡平安域共享一樣的平安策略。進行平安域劃分可以幫忙理順網(wǎng)絡和應用系統(tǒng)的架構(gòu)，使得信息系統(tǒng)的邏輯結(jié)構(gòu)更加清楚，從而更便于進行運行維護和各類平安防護的設計?；谄桨灿虻谋Ｗo實際上是一種工程方法，它極大的簡化了系統(tǒng)的防護簡潔度，由于屬于同一平安域的信息資產(chǎn)具備相同的IT要素，因此可以針對平安域而不是信息資產(chǎn)來進行防護，這樣會比基于資產(chǎn)的等級保護更易實施。3.4.1平安域總體架構(gòu)在劃分平安域的時候主要依據(jù)信息系統(tǒng)的行為來進行，由于具備不同行為的信息系統(tǒng)遭受的平安威逼不同，因此實際劃分的時候可以對每個信息系統(tǒng)進行分析，通過行為需求和平安需求共同分析出該子系統(tǒng)應當屬于哪個平安域。平安域總體架構(gòu)如下圖：平安域總體架構(gòu)圖3.4.2平安域規(guī)劃設計平安域的劃分從兩個方面來考慮：一是網(wǎng)絡互連層面的平安域劃分，二是業(yè)務主機（物理服務器及虛擬機）的平安域劃分。平安支撐域和平安互聯(lián)域之間的全部互訪接口整合為一個邊界，外連接入、內(nèi)部網(wǎng)絡接入、網(wǎng)管運維中心、數(shù)據(jù)中心等之間的互訪必需經(jīng)過平安互聯(lián)域，不允許直接連接。各業(yè)務區(qū)域和和平安互聯(lián)域之間的全部互訪接口整合為一個邊界，平凡業(yè)務子域、重要業(yè)務子域、核心業(yè)務子域之間的互訪必需經(jīng)過平安互聯(lián)域，不允許直接連接。邊界接入域和平安互聯(lián)域之間的全部互訪接口整合為一個邊界，廣域網(wǎng)互聯(lián)子域、外部網(wǎng)互聯(lián)子域、因特網(wǎng)互聯(lián)子域和其他平安域或子域之間的互訪必需經(jīng)過平安互聯(lián)域，不允許直接連接。廣域網(wǎng)互聯(lián)子域、外部網(wǎng)互聯(lián)子域、因特網(wǎng)互聯(lián)子域之間的互訪必需經(jīng)過平安互聯(lián)域，不允許直接連接。3.5數(shù)據(jù)中心服務器平安措施1）數(shù)據(jù)中心服務器區(qū)訪問風險對服務器區(qū)的非法訪問；服務器區(qū)內(nèi)不同級服務器間的非法訪問；針對服務器的應用層攻擊。2）數(shù)據(jù)中心服務器區(qū)的平安措施：A.防范對服務器的訪問風險能夠有效隔離數(shù)據(jù)中心其他分區(qū)到服務器區(qū)，常見的攻擊行為，病毒傳播進行有效阻斷，防止對服務器區(qū)網(wǎng)絡造成影響；對服務器區(qū)內(nèi)各級服務器做到有效隔離，防范單臺主機被攻陷后導致整個服務器分區(qū)的平安風險；隔離并查殺來自外分區(qū)的病毒。B.業(yè)務訪問過程中的平安威逼數(shù)據(jù)中心服務器區(qū)與其他各區(qū)之間的邏輯隔離與訪問把握；數(shù)據(jù)中心服務器區(qū)邊界部署；數(shù)據(jù)中心服務器區(qū)接入層與匯聚層之間部署；C.數(shù)據(jù)中心服務器區(qū)與其他分區(qū)及其分區(qū)內(nèi)各級服務器間的隔離在數(shù)據(jù)中心服務器區(qū)與其他分區(qū)進行邊界隔離，并通過嚴格的訪問把握，限制其他分區(qū)對服務器區(qū)的訪問，杜絕非法的訪問；在數(shù)據(jù)中心服務器區(qū)內(nèi)各級服務器間進行邊界隔離，并通過嚴格的訪問把握，限制各級服務器之間的訪問，杜絕非法的訪問限制數(shù)據(jù)中心內(nèi)服務器對外的訪問。4、統(tǒng)一運維平臺設計4.1統(tǒng)一運維建設概述隨著IT與業(yè)務融合進程的逐步深化，IT運維管理擔負起的角色越來越重要，而作為業(yè)務重要支撐元素的IT運維管理正面臨著越來越多的挑戰(zhàn)。始終以來，IT運維管理工作的焦點都只是在技術(shù)層面，單純地追求IT組件的穩(wěn)定運行和性能質(zhì)量，以“999”等類似的指標來評價運維的好壞，這將許多人帶入了“重技術(shù)質(zhì)量，輕業(yè)務指標”的誤區(qū)。但是具體是“系統(tǒng)哪部分毀滅了問題？業(yè)務系統(tǒng)為什么會越用越慢呢？”面對這些疑問，在基于設備管理的模式中，IT運維工程師只能逐個檢測網(wǎng)絡、應用、中間件和數(shù)據(jù)存儲環(huán)節(jié)，缺少一種從業(yè)務層面實施IT管理、IT服務的工具。在IT運維管理中，運維人員不僅僅維護管理某幾種IT資源、某幾款I(lǐng)T資源，常常面對的是具備不同功能特點、不同廠家、不同型號的IT資源，甚至還要管理包括機房環(huán)境、機柜等非IT資源。那么，是否有一套有效的工具和方法能夠?qū)⑦@些種類繁多、關(guān)系簡潔的資源進行綜合的管理，就成了當前IT管理所關(guān)注的熱點。4.2統(tǒng)一運維建設目標從業(yè)務視角全面把握IT系統(tǒng)健康水平供應多種業(yè)務分析模型，構(gòu)建IT資源到業(yè)務的關(guān)聯(lián)關(guān)系，通過健康指數(shù)K線圖、業(yè)務雷達視圖、業(yè)務卡片、業(yè)務服務一覽、業(yè)務關(guān)聯(lián)分析等多種形式實時把握IT資源特別對業(yè)務造成的影響，從業(yè)務視角全面把握IT運行的健康水平。統(tǒng)一IT資源管理