政府云計算平臺建設總體技術方案

云應用平臺技術方案二O一五年四月目錄第1章. 根本情況 61.1. 工程名稱 61.2. 業(yè)主單位 61.3. 工程背景 61.3.1. XX技術開展方向 61.3.2. 有關XX公開的相關要求 71.4. 建設規(guī)模 71.5. 投資概算 101.6. 設計依據(jù) 101.7. 設計范圍 101.8. 設計分工 11第2章. 現(xiàn)狀及需求分析 122.1. 工程意義及建設必要性 122.2. 現(xiàn)狀分析 132.3. 需求分析 142.3.1. 長期需求 142.3.2. 本期需求 14第3章. 總體設計 173.1. 建設目標 173.1.1. 預期總目標 173.1.2. 階段性目標 183.2. 建設內(nèi)容 193.3. 系統(tǒng)的總體結構 193.3.1. 設計原那么 193.3.2. XX外鄉(xiāng)化戰(zhàn)略 213.3.3. 建設思路 223.3.4. 總體拓撲結構 243.4. 信息的分類編碼體系 273.5. 質(zhì)量保證體系 28第4章. 建設方案 304.1. 網(wǎng)絡資源池 314.1.1. 組網(wǎng)物理拓撲圖 314.1.2. 網(wǎng)絡負載均衡設計 324.1.3. 網(wǎng)絡虛擬化設計 344.1.4. IP地址及DNS規(guī)劃 384.1.5. 網(wǎng)絡端口資源估算 434.2. 計算資源池 444.2.1. 計算資源池架構 444.2.2. 應用系統(tǒng)分析 454.2.3. 計算資源池建議配置與選型建議 464.2.4. 計算資源池部署 494.2.5. 虛擬化軟件選型分析 514.3. 云計算管理平臺 534.3.1. 云資源管理平臺建設方案 544.3.2. 云運營管理平臺建設方案 644.4. 云計算平安防護方案 744.4.1. 云計算平臺平安威脅 744.4.2. 云計算平臺平安防護目標 754.4.3. 云計算平臺平安架構 764.4.4. IaaS層平安 764.4.5. PaaS層平安 924.4.6. SaaS層平安 934.4.7. 公共平安 954.4.8. 平安管理制度 1014.4.9. 云平安效勞 1024.5. 機房方案 1034.5.1. 機房設備集中管理 1034.5.2. 布線系統(tǒng) 1044.5.3. 機房系統(tǒng) 1044.5.4. UPS配置方案 1064.6. 標準化工作 1124.6.1. 標準標準建設的原那么 1124.6.2. 標準標準的總體框架 113第5章. 設備配置要求 116第6章. 工程實施與運行維護 1216.1. 建設流程及進度安排 1216.1.1. 團隊組建 1226.1.2. 業(yè)務連續(xù)性方案規(guī)劃 1236.1.3. 實施方案詳細設計 1236.1.4. 實施方案詳細會審 1246.1.5. 運維制度的設計 1246.1.6. 運維制度的會審 1266.1.7. 采購設備和根底設施改造 1266.1.8. 平臺機房端系統(tǒng)改造調(diào)測 1276.1.9. 設備安裝調(diào)測 1276.1.10. 系統(tǒng)聯(lián)調(diào) 1286.1.11. 人員技術和制度培訓 1296.1.12. 工程驗收投產(chǎn) 1296.2. 工程建設管理及組織機構 1306.2.1. 領導組織機構 1306.2.2. 工程建設機構 1306.2.3. 工程溝通 1316.2.4. 工程文檔管理 1326.2.5. 運維及管理的組織機構 1336.2.6. 運維及管理的標準 1346.2.7. 運維模式 1366.2.8. 人員配置和培訓 136根本情況工程名稱云應用平臺工程。業(yè)主單位XX單位。工程背景云應用技術開展方向即運用計算機、網(wǎng)絡和通信等現(xiàn)代信息技術手段，實現(xiàn)政府組織結構和工作流程的優(yōu)化重組，超越時間、空間和部門分隔的限制，建成一個精簡、高效、廉潔、公平的政府運作模式，以便全方位地向社會提供優(yōu)質(zhì)、標準、透明、符合國際水準的管理與效勞。隨著網(wǎng)絡技術、web2.0、下一代互聯(lián)網(wǎng)等技術的開展，我國XX建設也發(fā)生著變化。2010年10月，國務院發(fā)布了《國務院關于加快培育和開展戰(zhàn)略性新興產(chǎn)業(yè)的決定》，就把新一代信息技術產(chǎn)業(yè)作為十二五時期的重點方向，要推動新一代移動通信、下一代互聯(lián)網(wǎng)核心設備和智能終端的研發(fā)及產(chǎn)業(yè)化，加快推進三網(wǎng)融合，促進物聯(lián)網(wǎng)、云計算的研發(fā)和示范應用。建設規(guī)模本期建設規(guī)模為〔后續(xù)根據(jù)實際效勞器及機房環(huán)境進行調(diào)整〕：編號設備數(shù)量單位硬件設備1.1刀片式PC效勞器片刀片效勞器機箱個1.2機架式PC效勞器〔4CPU〕臺1.3機架式PC效勞器〔2CPU〕臺1.4FCSAN磁盤整列臺1.5NAS存儲系統(tǒng)臺1.6異構存儲〔云存儲〕控制系統(tǒng)臺1.7虛擬帶庫臺1.8SAN光纖交換機臺1.9核心交換機臺1.10會聚交換機臺1.11鏈路負載均衡設備臺1.12效勞器負載均衡設備臺1.13防火墻臺1.14接入交換機臺1.15WEB應用防護抗攻擊系統(tǒng)臺1.16入侵防御系統(tǒng)臺1.17防病毒網(wǎng)關臺1.18VPN網(wǎng)關臺1.19數(shù)據(jù)庫平安審計系統(tǒng)臺1.20運維平安審計系統(tǒng)臺1.21平安代理應用效勞器臺1.22PKI應用效勞器臺1.23身份認證系統(tǒng)套1.24網(wǎng)閘臺1.25網(wǎng)絡KVM臺1.26KVM集中器臺1.27短信機MAS信息機臺2.1云計算平臺管理軟件套2.2VmwarevSphere5.5企業(yè)版〔1CPU〕72套，VmwarevCenter標準版1套套2.3GalaX8800OperatingEditionV100R001for1CPU，一年技術效勞套2.4WindowsServer2008R2中文企業(yè)版套2.5RedHatEnterpriseLinux-企業(yè)版套2.6物理機高可用群集軟件套2.7虛擬機高可用群集軟件套2.8應用效勞器軟件套2.9Oracle數(shù)據(jù)庫管理系統(tǒng)套2.10MSSQL數(shù)據(jù)庫管理系統(tǒng)套2.11MySql數(shù)據(jù)庫管理系統(tǒng)套2.12數(shù)據(jù)備份軟件套2.13目錄效勞器軟件套2.14防病毒軟件套2.15漏洞掃描設備臺2.16網(wǎng)頁防篡改軟件套2.17SOC平安管理系統(tǒng)套2.18云平安效勞套3.1UPS套3.2標準機架臺3.3機房精密空調(diào)臺投資概算本工程本期工程概算總投資為XXXX萬元〔人民幣〕。設計依據(jù)《中華人民共和國國民經(jīng)濟和社會開展第十二個五年規(guī)劃綱要》；《計算機場地技術條件》〔GB2887-89〕《計算站場地平安要求》〔GB9361-88〕《電子計算機機房設計標準》〔GB50174-93〕《供配電系統(tǒng)設計標準》〔GB50052-92〕《低壓配電裝置及線路設計標準》〔GBJ—83〕《建筑物防雷設計標準》〔GB50057-94〕《電子設備雷擊保護守那么》〔GB7450-87〕《工業(yè)企業(yè)通信接地設計標準》〔GBJ79-95〕《中華人民共和國保密標準》〔BMB3-1999〕《涉密信息設備使用現(xiàn)場的電磁泄漏發(fā)射防護要求》〔BMZ1-2000〕《涉及國家機密的計算機信息系統(tǒng)保密技術要求》〔BMZ1-2000〕《涉及國家機密的計算機信息系統(tǒng)平安保密方案設計指南》〔BMZ2-2001〕《涉及國家計算機信息系統(tǒng)平安保密測試指南》〔BMZ3-2001〕設計范圍本方案涉及范圍包括以下幾個局部：根本情況；現(xiàn)狀與需求分析；總體設計；建設方案；設備配置要求；培訓及維護；工程實施；概算編制。設計分工待定。

現(xiàn)狀及需求分析工程意義及建設必要性XX單位作為信息化建設持續(xù)居于全國前列的經(jīng)濟信息大省，對云計算的表現(xiàn)模式及其能夠帶來的經(jīng)濟效益表現(xiàn)出持續(xù)關注。本工程提出建設政務云計算平臺，對于整合XX資源、提高省直部門計算資源配置效率，建設重復信息化投資，打造綠色XX，推動高新技術產(chǎn)業(yè)開展，都具有長遠的現(xiàn)實意義?！?〕云計算是信息技術和產(chǎn)業(yè)開展的必然趨勢云計算是網(wǎng)格計算、分布式計算、虛擬化等傳統(tǒng)計算機技術和網(wǎng)絡技術開展融合的產(chǎn)物。它旨在通過網(wǎng)絡把多個本錢相對較低的計算實體整合成一個具有強大計算能力的完美系統(tǒng)，并借助SaaS、PaaS、IaaS、MSP等先進的商業(yè)模式把這強大的計算能力分布到終端用戶手中。作為一種新興技術和商業(yè)模式，云計算將加速信息產(chǎn)業(yè)和信息根底設施的效勞化進程，催生大量新型互聯(lián)網(wǎng)信息效勞，帶動信息產(chǎn)業(yè)和信息化建設格局的整體變革。加快云計算開展，不僅是我省提升數(shù)字XX綜合競爭力、培育新增長點的重要途徑，也是促進產(chǎn)業(yè)機構調(diào)整、率先實現(xiàn)跨越式開展的重要舉措。〔2〕縣級XX是推動XX單位云計算應用的第一步云計算是當今信息技術、信息化的戰(zhàn)略制高點。當前，我省正在貫徹落實《國務院辦公廳轉發(fā)全國XX領導小組關于開展依托XX平臺加強縣級政府XX和政務效勞試點工作意見的通知》，將縣級XX作為推動XX單位云計算應用的第一步，在實踐中摸索云計算為XX單位帶來的新機遇，通過政府應用起到的示范和帶動作用，促進全省信息化建設水平的提高，帶動信息產(chǎn)業(yè)的開展，戰(zhàn)略信息技術及產(chǎn)業(yè)的戰(zhàn)略高地?！?〕提高政務部門計算資源配置效率，減少重復建設，節(jié)能減排XX單位XX建設以來，全省部署了大量的業(yè)務應用系統(tǒng)，涉及海量的網(wǎng)絡設備、效勞器及存儲設備。這些設備CPU和內(nèi)存利用率殘差不齊，大多數(shù)較低，局部工作效率在20%以下，同時也有局部部門計算硬件資源極端匱乏。這樣，不僅閑置了珍貴的計算資源，浪費了電力，不利于節(jié)能減排，又未能很好地解決資源匱乏部門的實際問題。如果將這些設備整合建設為云計算平臺，效勞器的利用效率將得到極大提升〔40%~60%〕，能夠動態(tài)、彈性、可回收地為各政務部門提供效勞。總之，云計算可望提高應用程序部署速度、促進創(chuàng)新和降低本錢，同時還增強了業(yè)務運作的敏捷性。本工程對我省云計算的開展和應用具有帶動、示范、效勞、探索等多重作用，對帶動我省信息化建設進入新階段，探尋我省新的經(jīng)濟建設模式具有重大的現(xiàn)實意義，有必要盡快實施?，F(xiàn)狀分析XX單位已經(jīng)建成了較為完善的XX網(wǎng)絡系統(tǒng)，經(jīng)過幾次大的擴容改造后，覆蓋全省的XX網(wǎng)絡全面建成，信息資源目錄體系與交換體系、信息資源公開和共享機制、信息平安根底設施根本建立，重點業(yè)務應用系統(tǒng)實現(xiàn)互聯(lián)互通，管理體制進一步完善，信息技術在政府工作中得到普遍應用。XX單位信息中心作為負責XX單位政府政務數(shù)據(jù)中心建設和維護的核心信息化部門，效勞于XX單位政府部門宏觀決策支持、信息資源開發(fā)利用、數(shù)據(jù)交換、XX、信用體系建設等六大重點業(yè)務，按照工信部和國家發(fā)改委的要求，近年來一直致力于政務云計算的鋪墊和準備工作，逐步完成了政務數(shù)據(jù)整合和云就緒準備的前期工作。為推動數(shù)字XX建設科學開展，創(chuàng)新XX建設模式，推進云計算應用及相關產(chǎn)業(yè)的開展，根據(jù)省領導指示精神，下一步將重點建設XX單位政務云。在完成了各部門分散的IT資源和信息數(shù)據(jù)的整合之后，政府將通過云計算平臺，實現(xiàn)面向更多公眾效勞、帶動本地信息化開展等目標。需求分析長期需求滿足未來10年XX單位信息化建設基于XX的信息系統(tǒng)對網(wǎng)絡、效勞器、存儲、軟件等根底架構的需要，面向全省政務系統(tǒng)提供信息共享平臺及云計算平臺。根據(jù)XX單位政府和省經(jīng)信委對數(shù)字XX的長遠規(guī)劃，不僅要搭建XX云計算平臺，試點并承載相關業(yè)務，還需要進行XX云計算平臺的開發(fā)和建設，運行核心業(yè)務系統(tǒng)。本期需求滿足今后3到5年XX單位信息化建設基于XX的信息系統(tǒng)對網(wǎng)絡、效勞器、存儲、軟件等根底架構的需要。鑒于每個應用系統(tǒng)對根底架構資源的需求難以確定，本期工程暫時按照最小經(jīng)濟規(guī)模的云計算平臺建設，計算資源池的效勞器物理數(shù)量規(guī)劃為XXX臺，存儲及網(wǎng)絡設備根據(jù)實際需要進行配套。硬件需求本次需要配置的硬件包括：主機：刀片效勞器、機架式效勞器等；存儲：SAN存儲、NAS存儲、IP存儲、虛擬帶庫、易購存儲控制系統(tǒng)、SAN交換機等；網(wǎng)絡設備：路由器、交換機、負載均衡、VPN網(wǎng)關等；平安設備：防火墻、入侵防御、防毒墻、運維平安審計系統(tǒng)、數(shù)據(jù)庫平安審計系統(tǒng)、漏洞掃描系統(tǒng)。軟件需求除了需要配置一定數(shù)量的效勞器、存儲、網(wǎng)絡設備和平安防護設備外，還需要配備相應的系統(tǒng)軟件，如：每臺物理效勞器和虛擬效勞器的操作系統(tǒng)：Windows、Linux等效勞器操作系統(tǒng)。虛擬化軟件：實現(xiàn)效勞器和存儲資源的虛擬化，建立彈性、智能、可回收的資源池；對于新購置的設備，需要進行虛擬化套件的安裝調(diào)試。中間件：JAVA及.NET架構的應用效勞器等。大型數(shù)據(jù)庫系統(tǒng)：Oracle、SQLServer、MySQL等。云計算管理平臺：包括網(wǎng)絡管理、資源管理、用戶管理、統(tǒng)計報表、賬單、監(jiān)控、告警等管理功能。平安需求虛擬機的應用將導致物理網(wǎng)卡上的流量成幾何倍數(shù)增加，為了應對云計算環(huán)境下的流量變化，平安防護體系的部署需要朝著高性能的方向調(diào)整。平安設備必然要具備對高密度的10GE設置100G接口的處理能力。同時，考慮到云計算環(huán)境的業(yè)務永續(xù)性，設備的部署必須要考慮到高可靠性的支持，不僅要考慮到設備的可靠性，如采用高性能高可靠高成熟的產(chǎn)品，還應該考慮到設計的可靠性，如雙機熱備、設備虛擬化、配置同步、板件冗余和預留、跨設備鏈路捆綁、硬件ByPass等技術的應用。配置防火墻、入侵防御、漏洞掃描、網(wǎng)頁防篡改、全接入網(wǎng)關和身份認證系統(tǒng)，并從平安區(qū)域劃分、接入層平安、效勞器區(qū)的平安和平安管理等多方面加強云計算平臺的防護。特別是接入層，采用VPN網(wǎng)關，注冊用戶從云計算管理中心獲得VPNClient，通過VPNClient就可以連接到自己需要的云。效勞器平安方面，所有物理效勞器全部配置相應的平安策略，禁止不用的端口的訪問，同時在虛擬機模板系統(tǒng)中只翻開最小可用端口〔如SSH、、s等〕，以保證初始系統(tǒng)的平安性。建立應用節(jié)點準入標準，保證應用節(jié)點自身的平安防護，防止云內(nèi)發(fā)生交叉感染。平安管理方面，那么以管理制度為主、技術管控為輔，雙管齊下。機房需求鑒于信息中心機房UPS、精密空調(diào)承載有限，本工程本期工程應做相應擴容建設。

總體設計建設目標預期總目標整合信息化建設資源，充分利用現(xiàn)有政府網(wǎng)站和政務〔行政〕效勞中心根底設施，結合集約化社區(qū)效勞信息網(wǎng)絡平臺建設，對現(xiàn)有XX平臺進行調(diào)整、升級和改造，滿足XX和政務效勞應用需要。具體包括：采用云計算技術，結合創(chuàng)新建設模式，搭建標準統(tǒng)一、功能完善、系統(tǒng)穩(wěn)定、平安可靠、縱橫互通、集中統(tǒng)一的XX云計算平臺，為各部門信息資源共享、數(shù)據(jù)交換和系統(tǒng)辦公提供良好的支撐。通過建設XX云計算平臺，方便未來將新增XX應用快速部署到云計算平臺上，大大縮短新IT系統(tǒng)的上線時間，預期將節(jié)省設備30%，節(jié)約能耗50%。解決“信息孤島”，實現(xiàn)信息共享，提高信息平安水平，提升政府監(jiān)控能力和響應速度，提高工作效率和公共效勞水平，提供面向社會的專業(yè)性效勞和為社會公眾提供政務信息效勞。通過降低本錢、提升效率、節(jié)能減排，滿足XX要貫徹落實科學開展觀，轉變開展模式的需要。滿足在云計算平臺上搭建XX應用系統(tǒng)的需要，包括以三層架構為主的應用系統(tǒng)，以及大訪問量的應用系統(tǒng)、大數(shù)據(jù)處理量的應用系統(tǒng)以及大計算量的應用系統(tǒng)。云計算試點業(yè)務運行穩(wěn)定之后，普及和推廣云計算模式，將XX系統(tǒng)、政府網(wǎng)站應用系統(tǒng)、政務效勞業(yè)務應用系統(tǒng)、電子監(jiān)察應用系統(tǒng)等納入政務云計算平臺，通過建立政務效勞事項信息庫、辦理過程信息庫、辦理結果信息庫、監(jiān)察規(guī)那么信息庫、監(jiān)察業(yè)務信息庫等五個信息庫，實現(xiàn)政務效勞和電子監(jiān)察信息資源管理。XX單位政務云計算建設的總體目標是，實現(xiàn)省級政務系統(tǒng)數(shù)據(jù)共享，利用云計算彈性、智能、可回收的技術優(yōu)勢，低投資、低能耗、高效率地部署居民健康檔案系統(tǒng)、統(tǒng)計直報系統(tǒng)、生豬屠宰監(jiān)管與溯源系統(tǒng)等與政務職能工作相關的應用系統(tǒng)。XX網(wǎng)絡、政府網(wǎng)站、業(yè)務管理系統(tǒng)、應用及數(shù)據(jù)效勞中心和信息平安保障體系等納入統(tǒng)一的政務云計算平臺。階段性目標為滿足XX和政務效勞試點工作的業(yè)務需求，基于網(wǎng)絡技術、云計算等新興IT技術手段，建設統(tǒng)一的XX承載平臺，根據(jù)XX和政務效勞目錄，將更多的行政職權納入電子化平臺的業(yè)務系統(tǒng)辦理，建設覆蓋行政職權和便民效勞事項辦理流程的各個環(huán)節(jié)的電子監(jiān)察體系。在初步階段根底設施先行，建設XX單位XX統(tǒng)一根底承載平臺，基于云計算的模式，融入虛擬化等技術，具備統(tǒng)一、共享的特性，可以承載XX、金宏工程等試點業(yè)務應用。 同時為下一階段進一步開展云計算的PAAS、SAAS等業(yè)務平臺應用，進行經(jīng)驗積累和技術探索。建設內(nèi)容本工程在充分整合XX數(shù)據(jù)中心資源的根底上，配置必要軟硬件設備，為省直部門的信息系統(tǒng)提供統(tǒng)一的根底設施效勞，在IaaS層構建較為完整的XX云計算平臺。建設內(nèi)容包括以下幾局部：硬件設備：刀片效勞器、機架式效勞器、SAN存儲、NAS存儲、IP存儲、虛擬帶庫、易購存儲控制系統(tǒng)、SAN交換機、路由器、交換機、負載均衡、VPN網(wǎng)關。軟件設備：物理效勞器和虛擬效勞器的操作系統(tǒng)、虛擬化軟件、中間件、大型數(shù)據(jù)庫系統(tǒng)、云計算管理平臺。平安系統(tǒng)：防火墻、入侵防御、防毒墻、網(wǎng)頁防篡改、身份認證系統(tǒng)、運維平安審計系統(tǒng)、數(shù)據(jù)庫平安審計系統(tǒng)、漏洞掃描系統(tǒng)。同時采購專業(yè)機構提供的云平安效勞等。機房配套設備：UPS、精密空調(diào)、標準機架。系統(tǒng)的總體結構設計原那么標準化當前階段云計算整個產(chǎn)業(yè)化還不夠成熟，相關標準還不完善。網(wǎng)絡是云計算的核心承載平臺，為保證多廠商的良好兼容性，防止廠商技術鎖定，網(wǎng)絡方案的設計應需要采用標準技術與協(xié)議，能夠與第三方廠商保持良好的對接。此外，為保證方案的前瞻性，設備的選型應充分考慮對云計算相關標準〔如EVB/802.1Qbg,TRILL等〕的擴展支持能力，保證良好的先進性，以適應未來的技術開展。高可用為保證數(shù)據(jù)業(yè)務網(wǎng)的核心業(yè)務的不中斷運行，在網(wǎng)絡整體設計和設備配置上均是按照雙備份要求設計的。在網(wǎng)絡連接上消除單點故障，提供關鍵設備的故障切換。關鍵設備之間的物理鏈路采用雙路冗余連接，按照負載均衡方式或active-active方式工作。關鍵主機可采用雙路網(wǎng)卡來增加可靠性。全冗余的方式使系統(tǒng)到達99.999%的電信級可靠性。要求網(wǎng)絡具有設備/鏈中故障毫秒的保護倒換能力。具有良好擴展性，網(wǎng)絡建設完畢并網(wǎng)后應可以進行大規(guī)模改造，效勞器集群、軟件功能模塊應可以不斷擴展。良好的易用性。簡化系統(tǒng)結構，降低維護量。對突發(fā)數(shù)據(jù)的吸附，緩解端口擁塞壓力，能保證業(yè)務的流暢性等。增強二層網(wǎng)絡云計算環(huán)境下，虛擬機遷移與集群是兩種典型的應用模型，這兩種模型均需要二層網(wǎng)絡的支持。隨著云計算資源池的不斷擴大，二層網(wǎng)絡的范圍正在逐步擴大，甚至擴展到多個數(shù)據(jù)中心內(nèi)，大規(guī)模部暑二層網(wǎng)絡那么帶來一個必然的問題就是二層環(huán)路問題。采用傳統(tǒng)STP+VRRP技術部署二層網(wǎng)絡時會帶來部署復雜、鏈路利用率低、網(wǎng)絡收斂時間慢等諸多問題，因此網(wǎng)絡方案的設計需要重點考慮增強二層網(wǎng)絡技術〔如IRF/VSS、TRILL、VPLS等〕的應用，以解決傳統(tǒng)技術帶來的問題。虛擬化虛擬資源池化是網(wǎng)絡開展的重要趨勢，將可以大大提高資源利用率，降低運營本錢。應有效開展效勞器、存儲器的虛擬資源池化技術建設，網(wǎng)絡設備的虛擬化也應進行設計實現(xiàn)。效勞器、存儲器、網(wǎng)絡及平安設備應具備虛擬化功能。高性能由于云計算網(wǎng)絡中的流量模型發(fā)生了變化，，而隨著整個云計算業(yè)務的開展，業(yè)務都分布在各個效勞器上，流量模型從縱向流量轉換成復雜的多維度混合的方式，整個系統(tǒng)具有較高的吞吐能力和處理能力，系統(tǒng)各層均不存在阻塞，具備對突發(fā)流量的承受能力。開放接口為保證效勞器、存儲、網(wǎng)絡等資源能夠被云計算運營平臺良好的調(diào)度與管理，要求系統(tǒng)提供開放的API接口，云計算運營管理平臺能夠通過API接口、命令行腳本實現(xiàn)對設備的配置與策略下發(fā)。綠色節(jié)能節(jié)能減排是目前網(wǎng)絡建設的重要系統(tǒng)工程之一，從網(wǎng)絡機房的整體能耗來看，IT設備約占到30%，空調(diào)等制冷系統(tǒng)約占45%，UPS、照明等輔助系統(tǒng)約占25%。所以作為IT設備的節(jié)能，不僅要考慮本身能耗比擬低，而且要考慮其熱量對空調(diào)散熱系統(tǒng)的影響。應采用低能耗的綠色網(wǎng)絡設備，采用多種方式降低系統(tǒng)功耗。建設思路云計算是一種新型的計算資源利用模式。它將計算任務分布在大量計算機構成的資源池上，使各種應用系統(tǒng)能夠根據(jù)需要獲取計算力、存儲空間和信息效勞。按照效勞實現(xiàn)的程度，目前云計算主要有IaaS、PaaS、SaaS三種業(yè)務模式：1)根底架構效勞(IaaS)Iaas層是以效勞的模式提供虛擬硬件資源，主要是將根底設施資源〔計算、存儲、網(wǎng)絡帶寬等〕進行虛擬化和池化管理，便于實現(xiàn)資源的動態(tài)分配、再分配和回收。目前資源池主要分為計算資源池、存儲資源池和網(wǎng)絡資源池，同時也包括軟件和數(shù)據(jù)等內(nèi)容資源池。在效勞提供方面主要以計算資源、存儲資源提供為主，如為業(yè)務信息系統(tǒng)分配虛擬效勞器、有儲空間，提供給用效勞器、數(shù)據(jù)庫管理系統(tǒng)等應用系統(tǒng)運行環(huán)境。2)應用平臺效勞(PaaS)PaaS層主要提供給用開發(fā)、測試和運行的平臺，用戶可以基于該平臺，進行應用的快速開發(fā)、測試和部署運行，它依托于云計算根底架構，把根底架構資源變成平臺環(huán)境提供給用戶和應用。為業(yè)務信息系統(tǒng)提供軟件開發(fā)和測試環(huán)境，同時可以將各業(yè)務信息系統(tǒng)功能納入一個集中的SOA平臺上，有效地復用和編排組織內(nèi)部的應用效勞構件，以便按需組織這些效勞構件。典型的如門戶網(wǎng)站平臺效勞，可為用戶提供快速定制開發(fā)門戶網(wǎng)站提供給用軟件平臺，用戶只需在此平臺進行少量的定制開發(fā)即可快速部署應用。3)應用軟件效勞(SaaS)SaaS軟件即效勞，典型的運用模式就是用戶通過標準的WEB瀏覽器來使用Internet上的軟件，因此可以不必購置軟件，只需要按需租用軟件，直接應用。典型的如電子郵件系統(tǒng)的在線軟件效勞，用戶只需作簡單的域名設置，即可部署本單位的電子郵件效勞。鑒于云計算平臺應用需求的提出是一個漸進的過程，云平臺建設是一項復雜的系統(tǒng)工程，建議XX云計算平臺遵循長期規(guī)劃、分步實施的原那么，本期工程首先實現(xiàn)IaaS，后續(xù)工程根據(jù)應用的實際需求逐步支持PaaS和SaaS的實現(xiàn)?？傮w拓撲結構圖1：XX云計算平臺總體拓撲結構圖根據(jù)本期工程的需求和建設目標，XX云計算平臺總體邏輯拓撲結構如上圖所示。通過鏈路負載均衡器實現(xiàn)多互聯(lián)網(wǎng)出口〔具體鏈路供給商待定〕鏈路負載均衡及高可用。任何ISP專線故障，不影響業(yè)務系統(tǒng)正常訪問；通過智能DNS系統(tǒng)實現(xiàn)接入用戶的就近訪問，即電信用戶訪問互聯(lián)網(wǎng)接入?yún)^(qū)走電信鏈路，聯(lián)通用戶訪問互聯(lián)網(wǎng)接入?yún)^(qū)走聯(lián)通鏈路。圖2：XX云計算平臺云效勞分層架構圖XX單位XX云計算平臺云效勞分層架構圖如上圖所示。整個架構分為三層和兩體系：根底設施效勞層(IaaS)、平臺效勞層(PaaS)、應用軟件效勞層(SaaS)、信息平安體系和運營管理體系，其中信息平安體系和運營管理體系有信息平安管理平臺和運營管理平臺構成。IAAS及管理、平安體系建設是本次的建設內(nèi)容，PAAS、SAAS在后續(xù)規(guī)劃建設。1、根底設施效勞層包括硬件根底設施子層、虛擬化&資源池化子層、資源調(diào)度與管理自動化子層。硬件根底設施子層：包括主機、存儲、網(wǎng)絡及其他硬件在內(nèi)的硬件設備，它們是實現(xiàn)云計算的最根底資源；虛擬化&資源池化層：通過虛擬化技術進行整合，形成一個對外提供對資源的池化管理〔包括網(wǎng)絡池、效勞器池、存儲池等〕，同時通過云管理平臺，對外提供運行環(huán)境等根底效勞。資源調(diào)度與管理自動化子層：在對資源〔物理資源和虛擬資源〕進行有效監(jiān)控、管理的根底上，并且通過對效勞模型的抽取，提供彈性計算、負載均衡、動態(tài)遷移、按需供給、自動化部署等功能，它是實現(xiàn)云計算的關鍵所在。2、平臺效勞層主要在IaaS之上提供統(tǒng)一的平臺化系統(tǒng)軟件支撐效勞，包括統(tǒng)一身份認證效勞、訪問控制效勞、工作流引擎效勞、通用報表、決策支持等。這一層不同于以往傳統(tǒng)方式的平臺效勞，這些平臺效勞也要滿足云架構的部署方式，通過虛擬化、集群、負載均衡等技術提供云狀態(tài)效勞，可以根據(jù)需要隨時定制功能及相應的擴展。3、應用軟件效勞層，是整個XX對外提供的終端效勞，可以劃分為根底效勞和專業(yè)效勞。根底效勞提供統(tǒng)一門戶登錄、統(tǒng)一通訊等功能，專業(yè)效勞主要指XXXX的各種業(yè)務應用如流動人口管理、GIS系統(tǒng)、行政審批、網(wǎng)上執(zhí)法等等。它們通過應用部署模式相底層的稍微變化，都可以在云計算架構下實現(xiàn)靈活的擴展和管理。按需效勞是XXXXSaaS應用的核心理念，多租約SaaS應用可以滿足不同政府用戶的個性化需求，通過多個租約向用戶提供有差異的效勞，通過負載均衡滿足大并發(fā)量用戶效勞訪問等。4、云計算平臺信息平安管理體系，針對云計算平臺建設以高性能高可靠的網(wǎng)絡平安一體化防護體系、虛擬化為技術支撐的平安防護體系、集中的平安效勞中心應對無邊界的平安防護、利用云平安模式加強云端和客戶端的關聯(lián)耦合和采用非技術手段補充等保障云計算平臺的平安。5、運營管理體系：保障云計算平臺的正常運行，提供故障管理、計費管理、性能管理、配置管理、平安管理等等。信息的分類編碼體系信息分類編碼體系將遵循《政務信息資源目錄體系》(GB/T21063-2007)及相關業(yè)務、技術、數(shù)據(jù)標準和標準進行標準化建設。(1)．信息分類編碼設計遵循的主要原那么分類和編碼的根本原那么遵循GB/T7027-2002規(guī)定，采用混合分類法；分類類目編碼使用的羅馬字符和阿拉伯數(shù)字遵循GB18030-2000的規(guī)定。①唯一性原那么：編碼要唯一識別，不能有二意性，不能重復；②標準化原那么：盡量采用國際標準、國家標準、部級標準及“數(shù)字XX”的標準標準；③簡單化原那么：代碼要簡單明了，易讀、易懂、易使用；④快捷性原那么：有快速識別、快速輸入和計算機快速處理的性能；⑤系統(tǒng)性原那么：要全面、系統(tǒng)地考慮編碼設計的體系結構；⑥擴充原那么：可根據(jù)實際情況對主題分類進行類目擴充，擴充的類目應分別符合類目的設置規(guī)那么，分類代碼的配置應符合代碼結構中的規(guī)定，并注意助記性。⑦映射原那么：使用中假設采用了主題分類以外的其他分類，應建立這些分類的類目表與主題分類的雙向映射關系。⑧分類擴展原那么：在建立信息資源目錄體系時，目錄體系中的信息資源分類應采用主題分類，也可根據(jù)具體應用情況選擇其他分類方法與主題分類共同進行分類，如部門分類、效勞分類、資源形態(tài)分類等；假設采用擴展分類代碼，那么其分類代碼的配置應符合代碼結構中的規(guī)定。(2)．信息分類編碼框架體系根據(jù)實際情況，XX單位XX云計算平臺建設工程的信息分類編碼體系按信息技術自身屬性進行劃分，其體系框架有以下幾個分體系：①信息分類：包括適用于各種應用系統(tǒng)的開發(fā)、數(shù)據(jù)庫系統(tǒng)的建設和數(shù)據(jù)交換的標準；②代碼結構：采用統(tǒng)一的代碼結構，代碼編制規(guī)那么：分類類別用l位大寫羅馬字符表示“Z"代表主題分類；一級類用l位大寫羅馬字符表示；二級類用l位大寫羅馬字符及2位阿拉伯數(shù)字表示。③術語和技術詞江：主要包括與信息化有關的術語標準，XX云計算平臺建設過程中遇到的主要名詞、術語和技術詞匯。④工程管理和建設標準：根據(jù)國家的有關規(guī)定，標準工程系統(tǒng)的管理和運行機制；制定XX云計算平臺建設工程實施及管理的有關規(guī)程。⑤系統(tǒng)的管理和運行機制：標準工程系統(tǒng)的管理和運行機制；⑥計算機通信網(wǎng)絡：包括計算機通信和網(wǎng)絡根底設施建設、技術標準、管理標準等；⑦信息平安：適用與信息平安有關的信息技術應用系統(tǒng)建設。質(zhì)量保證體系(1)．系統(tǒng)質(zhì)量保證體系將遵循“數(shù)字XX”的系統(tǒng)設計標準

建立質(zhì)量控制流程；

建立系統(tǒng)編制標準；

制定系統(tǒng)測試的標準和方法；

在每個階段標準工程工作和改良工程質(zhì)量。(2)．本工程將制定系統(tǒng)設計標準包括程序名、文件名和變量的標準化以及數(shù)據(jù)字典等，并要求在實施過程中提供以下技術文檔：

工程規(guī)劃與系統(tǒng)實施方案；

系統(tǒng)體系架構及描述；

系統(tǒng)軟件功能設計說明書；

系統(tǒng)需求規(guī)格說明書；

系統(tǒng)概要設計、詳細設計說明書；

數(shù)據(jù)庫設計說明書；

系統(tǒng)代碼設計說明書；

系統(tǒng)測試方案及測試分析報告；

系統(tǒng)軟硬件配置說明；

系統(tǒng)安裝維護手冊、用戶使用手冊；

系統(tǒng)軟硬件培訓資料；

系統(tǒng)故障及應急處理預案說明書

建設方案基于本期XX單位XX云計算平臺的建設思路一一搭建基于IaaS層面的云計算平臺，如何采用云計算技術建立動態(tài)的IT資源平臺，并使之具備快速IT效勞交付能力，進而通過動態(tài)的IT架構來應對有關省直單位XX業(yè)務開展的需要；將應用和業(yè)務從底層的IT資源中別離出來，提高系統(tǒng)的可移植性，并能夠充分利用更加優(yōu)化的系統(tǒng)和網(wǎng)絡資源以提高效率、降低整體本錢是本期建設方案需要重點解決的問題。為此，我們建議以XX應用系統(tǒng)為頂層架構來搭建XX單位XX云計算資源池，它是由計算資源池、存儲資源池、網(wǎng)絡資源池、XX應用程序以及運營管理平臺共同組成，運營管理平臺負責對資源池和應用進行管理調(diào)度及告警監(jiān)控。其組成框架如以下圖所示。圖3：資源池組成框架圖以下針對XX云計算資源池的各組成局部分別進行具體闡述。網(wǎng)絡資源池組網(wǎng)物理拓撲圖XXXX云計算平臺組網(wǎng)物理拓撲如以下圖所示：圖4：XX云計算平臺組網(wǎng)物理拓撲圖本工程新增3根移動專線接入，單根200Mpbs帶寬。一根為XX互聯(lián)網(wǎng)接入?yún)^(qū)對外提供效勞用，一根用于VPN專線，一根用于XX辦公人員訪問互聯(lián)網(wǎng)使用。整個云計算平臺在組網(wǎng)設計上滿足雙網(wǎng)雙平面結構，從網(wǎng)絡接口、網(wǎng)絡鏈路到關鍵網(wǎng)絡設備均配置冗余部件。在網(wǎng)絡接口上每臺物理效勞器至少配置3張網(wǎng)卡，分別用于業(yè)務效勞、虛擬化平臺宿主機管理、IP存儲系統(tǒng)互聯(lián)。業(yè)務效勞網(wǎng)絡根據(jù)業(yè)務屬性不同，通過MPLSVPN劃分為公用網(wǎng)絡區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、專用網(wǎng)絡區(qū)。虛擬化計算資源可以在不同的網(wǎng)絡區(qū)域中自由遷移。在會聚層旁掛防火墻、隔離網(wǎng)閘、運維審計、數(shù)據(jù)庫審計系統(tǒng)等平安設備。其中防火墻用于實現(xiàn)同一網(wǎng)絡區(qū)域中不同業(yè)務系統(tǒng)的之間的平安隔離；隔離網(wǎng)閘用于在MPLSVPN隔離的不同網(wǎng)絡區(qū)域之間進行平安數(shù)據(jù)交換，同時用于XX和XX之間的數(shù)據(jù)平安交換。網(wǎng)絡負載均衡設計網(wǎng)絡負載均衡分鏈路負載均衡和本地負載均衡，總體邏輯示意圖如以下圖所示：圖5：網(wǎng)絡負載均衡示意圖鏈路負載均衡設計如上圖所示，將移動互聯(lián)網(wǎng)專線和電信互聯(lián)網(wǎng)專線接入鏈路負載均衡器，鏈路負載均衡器通過對所有Internet鏈路進行流量路由和控制帶寬效勞水平實現(xiàn)多互聯(lián)網(wǎng)接入的高可用性。鏈路負載均衡器將多條互聯(lián)網(wǎng)線路進行虛擬化處理，保障用戶從最好的線路訪問內(nèi)外部資源。任意一條ISP線路中斷，都不會對效勞造成任何影響。通過鏈路負載均衡器可實現(xiàn)ISP接入線路的無縫擴展。1)OutBound流量負載均衡XX辦公人員訪問互聯(lián)網(wǎng)的流量到達鏈路負載均衡器時，將通過鏈路負載均衡器多種鏈路狀態(tài)檢測結果選擇最正確出口鏈路，提升用戶體驗。2)InBound流量負載均衡為使移動用戶和電信用戶通過不同互聯(lián)網(wǎng)鏈路訪問互聯(lián)網(wǎng)接入?yún)^(qū)應用系統(tǒng)，鏈路負載均衡器的智能DNS解析功能將不同用戶訪問的域名解析成不同的公網(wǎng)IP地址，加速應用訪問，提升用戶體驗。本地負載均衡設計本工程新增本地負載均衡器兩臺，旁掛于會聚交換機。實現(xiàn)對效勞器的負載均衡。本地負載均衡器可以保障內(nèi)部資源的容錯性，內(nèi)部任何一個應用節(jié)點出現(xiàn)問題都不會對用戶造成任何的影響，本地負載均衡器能夠自動的屏蔽有問題的應用節(jié)點，讓其停止對外效勞，同時把該故障節(jié)點上的用戶遷移到其他正常的節(jié)點上去。會聚層本地負載均衡器可以虛擬成為多個設備，滿足XX不同分區(qū)的平安隔離要求。XX業(yè)務系統(tǒng)以B/S架構為主，目前的WEB應用都包含了大量的圖片，javascript，CSS文件等，這些文件的重復傳輸不但給效勞器造成了壓力，同時也使得用戶的體驗受到了影響。本地負載均衡器通過壓縮的方式來節(jié)省帶寬以及提高訪問速度。通過靜態(tài)文件和動態(tài)文件的cache．文件壓縮，瀏覽器端文件cache控制等優(yōu)化技術，來提供對WEB應用進行加速，提高用戶訪問速度。使用本地負載均衡器開放的API接口可以實現(xiàn)和云計算管理平臺的集成。網(wǎng)絡虛擬化設計云計算對傳統(tǒng)網(wǎng)絡的挑戰(zhàn)傳統(tǒng)的網(wǎng)絡規(guī)劃設計依據(jù)高可靠思路，形成了冗余復雜的網(wǎng)狀網(wǎng)結構，結構化網(wǎng)狀網(wǎng)的物理拓撲在保持高可靠、故障容錯、提升性能上有著極好的優(yōu)勢，是通用設計規(guī)那么。云計算的大規(guī)模運營，給傳統(tǒng)網(wǎng)絡架構和傳統(tǒng)應用部署都帶來了挑戰(zhàn)，新一代網(wǎng)絡支撐這種巨型的計算效勞，不管是技術革新還是架構變化，都需要效勞于云計算的核心要求，動態(tài)、彈性、靈活，并實現(xiàn)網(wǎng)絡部署的簡捷化。具體來說傳統(tǒng)網(wǎng)絡面臨的挑戰(zhàn)主要有以下幾點：一一傳統(tǒng)網(wǎng)絡的復雜性在實際的運維中，管理人員承當了極其繁冗的工作量；一一云計算平臺下多虛擬機部署在同一臺物理效勞器上運，效勞器的利用率從20%提高到80%，效勞器端口流量大幅提升，對網(wǎng)絡性能提出更高要求；一一云計算平臺中，虛擬機在物理效勞器之間進行遷移，為了防止虛擬機遷移后路由的震蕩和修改網(wǎng)絡規(guī)劃，遷移通常只在在二層域進行，因此云計算平臺需要具備一個性能更高、二層域更大的網(wǎng)絡環(huán)境為遷移提供保障。通過分析云計算對傳統(tǒng)網(wǎng)絡根底架構帶來的挑戰(zhàn)，我們可以從兩個方面來應對。一是通過構建高性能、高可靠的網(wǎng)絡，從而滿足云計算給網(wǎng)絡帶來的壓力；二是通過構建虛擬化網(wǎng)絡來滿足云計算中由于虛擬機部署、遷移、以及平安策略實施對網(wǎng)絡提出的靈活性、平安性的要求。總的來說，為滿足云計算的業(yè)務要求，統(tǒng)一的根底網(wǎng)絡要素必然包括：高性能交換、虛擬化應用、透明化交換。高性能二層網(wǎng)絡為提供一個性能更高、二層域更大的網(wǎng)絡環(huán)境，本工程新增核心交換機和會聚交換機通過交換機虛擬化技術〔華三IRF2、思科VSS〕分別虛擬成一臺邏輯設備，減少了設備節(jié)點，簡化了配置。通過跨設備鏈路聚合技術取代傳統(tǒng)部署方式中的STP+VRRP協(xié)議，使網(wǎng)絡拓撲變得簡潔，具備更強的擴展性；同時，其毫秒級的故障收斂時間，為虛擬機遷移提供了更加寬松的實現(xiàn)環(huán)境。圖6：交換機橫向虛擬化經(jīng)過二層透明化改造后，云計算平臺的會聚接入層是一個透明二層網(wǎng)絡。不同業(yè)務〔虛擬效勞器〕接入不同的二層VLAN，但同一個業(yè)務〔虛擬效勞器〕可以在不同網(wǎng)絡分區(qū)里靈活部署與遷移，滿足了云計算的要求；同時，會聚層以上進行的是VPN標簽交換與路由轉發(fā)，又保證了不同業(yè)務〔虛擬效勞器〕的平安隔離。網(wǎng)絡效勞虛擬化為滿足不同XX分區(qū)的平安隔離要求，本工程在云計算平臺的會聚層部署有會聚交換機、防火墻、IPS、負載均衡器等設備。傳統(tǒng)網(wǎng)絡下，將為不同分區(qū)單獨配置一套平安設備，設備利用率低，運維管理復雜。在云計算平臺下，通過網(wǎng)絡效勞虛擬化，統(tǒng)一建設一套性能強大、可擴展性良好的網(wǎng)絡效勞設備，滿足為不同分區(qū)提供平安、應用加速等效勞。圖7：1：N網(wǎng)絡虛擬化技術會聚層交換機也通過虛擬化技術多實例，每個模擬出的交換機都擁有它自身的軟件進程、專用硬件資源〔接口〕和獨立的管理環(huán)境，可以實現(xiàn)獨立的平安管理界限劃分和故障隔離域。有助于將分立網(wǎng)絡整合為一個通用根底設施，保存物理上獨立的網(wǎng)絡的管理界限劃分和故障隔離特性，并提供單一根底設施所擁有的多種運營本錢優(yōu)勢。如以下圖所示：圖8：交換機縱向虛擬化虛擬交換機技術1)VMwareVMware分布式虛擬交換機功能滿足網(wǎng)絡分區(qū)條件下，虛擬主機在線遷移等功能時，保證業(yè)務網(wǎng)絡的持續(xù)性。虛擬交換機是構成虛擬平臺網(wǎng)絡的關鍵角色，VMware虛擬化通過VMwarevNetworkDistributedSwitch，使虛擬機跨多個主機移動時始終處于同一個VLAN內(nèi)，它為虛擬機在物理效勞器之間移動時監(jiān)視和保持其平安性提供了一個框架。VMwarevNetworkDistributedSwitch示意圖如下所示：圖9：VMwarevNetworkDistributedSwitch示意圖在多網(wǎng)絡分區(qū)環(huán)境時，VMware通過虛擬交換機的VLANTRUNK，當一個端口啟用了TRUNK功能后，就具備端口聚合的成效，會自動檢測流向此端口的所有流量，并把不同VLAN的流量導向物理交換機上相應的VLAN中。在一臺ESX主機上由多個千兆網(wǎng)卡綁定在一起(組合成vSwitch)提供VM對外通訊的流量，并與物理交換機上的多個啟用了TRUNK功能的端口相連接。此時VMs分別在VLANl、VLAN2、VLAN3上，同時在物理交換機上也有同樣ID的VLAN。那么，在VLAN1中的虛擬機，就可以和與物理交換機上VLAN1中的端口相連的機器相互通訊。同時實現(xiàn)虛擬化效勞器在多網(wǎng)絡分區(qū)間的動態(tài)遷移。2〕XEN通過將OPENvSwitch〔開放虛擬交換標準〕作為其默認組件，自xenserver5.6FPI就實現(xiàn)對虛擬交換機的支持，而且自verxenserver5.6SP2開始也實現(xiàn)了分布式的虛擬交換機功能。Xen-Motion是CitrixXenserver的動態(tài)遷移技術，當然，該系列4款虛擬化產(chǎn)品中，目前只有最高等級的白金版和企業(yè)版才具備這項功能，至于標準版及完全免費的Express精簡版那么無此項能力。不但是C

ITRIX旗下的虛擬化產(chǎn)品，其他基于Xen技術開發(fā)出來的虛擬化產(chǎn)品，例如VirtualIron，也具備相似的動態(tài)遷移功能LiveMigrate，除了免費提供的個人版之外，需要付款購置的企業(yè)版及企業(yè)加強版具有內(nèi)置該項功能。IP地址及DNS規(guī)劃XXXX云計算平臺新增兩個獨立網(wǎng)段，一個用于云平臺及虛擬機宿主機之間通信，一個用于云計算平臺內(nèi)IP存儲系統(tǒng)網(wǎng)互聯(lián)；業(yè)務系統(tǒng)的IP地址和NDS規(guī)劃，沿用當前XX統(tǒng)一規(guī)劃。具體參考實施意見《XXXXIP地址規(guī)劃及管理標準》和《XX政府外網(wǎng)DNS及設備命名標準》。IP地址規(guī)劃原那么XX單位XXIP地址規(guī)劃遵從國信辦和國家外網(wǎng)工程辦有關規(guī)定和指導意見。XXIP直至規(guī)劃原那么包括：IP地址規(guī)劃主要涉及到網(wǎng)絡資源利用的方便有限的管理網(wǎng)絡的問題，公有地址相對緊張的情況下，合理有效的利用IP地址成為IP地址規(guī)劃的主要問題，合理的IP地址規(guī)劃是有利于網(wǎng)絡管理的；IP地址的合理分配是保證網(wǎng)絡順利運行和網(wǎng)絡資源有效利用的關鍵。對于外網(wǎng)廣域骨干網(wǎng)IP地址的分配應該采用國家XX工程辦分配的合法地址空間，充分考慮到地址空間的合理利用，保證實現(xiàn)最正確的網(wǎng)絡內(nèi)地址分配及業(yè)務流量的均勻分布；IP地址的規(guī)劃和劃分應該考慮到網(wǎng)絡的后續(xù)規(guī)模和業(yè)務上的開展，能夠滿足未來開展的需要；既要滿足本期工程對IP地址的需求，同時要充分考慮未來的業(yè)務開展，預留相應的地址段；IP地址的分配需要有足夠靈活性，能滿足各種用戶接入需要；地址分配是有業(yè)務驅(qū)動，按照業(yè)務量的大小分配各地的地址段；IP地址的分配必須采用VLSM(變長掩碼)技術，保證IP地址的利用效率；采用CIDR技術，這樣可以減小路由器路由表的大小，加快路由的收斂速度，也可以減小網(wǎng)絡播送的路由信息的大?。怀浞趾侠砝靡焉暾埖牡刂房臻g，提高地址的利用效率；IP地址的規(guī)劃應該是XX廣域骨干整體規(guī)劃的一局部，即IP地址規(guī)劃要和網(wǎng)絡層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結合起來考慮。IP地址的規(guī)劃應盡可能和網(wǎng)絡層次相對應，應該是自頂向下的一種規(guī)劃。IP地址規(guī)劃總體規(guī)劃根據(jù)國家外網(wǎng)工程辦的規(guī)定，XXXX云平臺的公用網(wǎng)絡區(qū)使用國家申請的IP地址范圍為：XXX—XXX。互聯(lián)網(wǎng)區(qū)供互聯(lián)網(wǎng)訪問的設備的IP目前有省電信、省移動提供外網(wǎng)地址，數(shù)量考慮上留有余地?；ヂ?lián)網(wǎng)區(qū)XX移動提供有3根互聯(lián)網(wǎng)專線，每條專線提供一個C類外網(wǎng)IP地址段，共3個C類地址段供本平臺使用。XX單位XX橫向需要互聯(lián)各個政府部門，縱向需要打通省，設區(qū)市、縣、鄉(xiāng)鎮(zhèn)〔街道〕四級部門單位，在外網(wǎng)地址規(guī)劃中，使用綜合地址規(guī)劃方案，采用公有地址和私有地址雙軌并行的方法，在公有地址不夠時，允許采用私有地址作為部門單位的XX業(yè)務地址。XX承載三種不同的網(wǎng)絡業(yè)務，為了最大程度地減少不同網(wǎng)絡業(yè)務區(qū)IP地址空間的重疊，XXXXIP地址總體規(guī)劃如下：網(wǎng)絡業(yè)務區(qū)地址空間〔建議的〕用戶地址空間公用網(wǎng)絡區(qū)互聯(lián)網(wǎng)接入?yún)^(qū)專用網(wǎng)絡區(qū)云計算平臺管理云計算平臺存儲IP網(wǎng)絡業(yè)務地址從相應的業(yè)務網(wǎng)絡區(qū)地址空間中劃分。DNS域名體系結構XX單位XX升級和社區(qū)市網(wǎng)絡分別采用獨立的三級域名。域名由根域和假設干個子域名用“.”連接而成，cegn作為根域名，采用作為省網(wǎng)三級域名，采用作為各設區(qū)市三級域名。各級政府組成部門咋XX設置效勞器后，應將效勞器的IP地址和對應的域名在省電子網(wǎng)XX管中心注冊。域名以4--5段為主，原那么上不超過5段。如：“主機名.單位名.fj.cegn”；由省數(shù)據(jù)中心建立域名〔fj.cegn)管理中心，所有單位的域名及DNS均向XX網(wǎng)管中心域名冊；可在9個設區(qū)市市分別建立子域〔fjxx.cegn)；各單位假設需注冊，需在XX外網(wǎng)管理中心備案之后向國家外網(wǎng)管理中心注冊。集成智能DNS系統(tǒng)本工程新增2臺鏈路負載均衡器，實現(xiàn)智能DNS解析功能。XX互聯(lián)網(wǎng)接入?yún)^(qū)應用系統(tǒng)的DNS域名系統(tǒng)需與鏈路負載均衡器的智能DNS系統(tǒng)進行集成。通過對系統(tǒng)原有DNS授權域效勞器配置進行修改，將動態(tài)記錄委派到鏈路負載均衡器上進行解析，再返回給發(fā)起DNS請求的用戶。根據(jù)解析結果引導用戶請求到不同的運營商鏈路，實現(xiàn)就近訪問。網(wǎng)絡平安域劃分與隔離根據(jù)國家XX所承載的業(yè)務和系統(tǒng)效勞類型的不同，在邏輯上，將國家XX劃分為公用網(wǎng)絡區(qū)〔Global〕、專用網(wǎng)絡區(qū)〔VPN〕和互聯(lián)網(wǎng)接入?yún)^(qū)〔Internet〕三個功能域，分別提供國家XX互聯(lián)互通業(yè)務、專用VPN業(yè)務和互聯(lián)網(wǎng)業(yè)務。圖10：XXMPLSVPN分區(qū)示意圖公用網(wǎng)絡區(qū)：采用國家XX公用地址〔即從NNNIC注冊的地址〕的網(wǎng)絡區(qū)域，是國家XX的主干道，實現(xiàn)各部門、各地區(qū)互聯(lián)互通，為跨地區(qū)、跨部門的業(yè)務應用提供支撐平臺?；ヂ?lián)網(wǎng)接入?yún)^(qū)：是各級政務部門通過邏輯隔離手段平安接入互聯(lián)網(wǎng)的網(wǎng)絡區(qū)域，滿足各級政務部門公共效勞業(yè)務應用的需要。專用網(wǎng)絡區(qū)：是依托國家XX根底設施，為有特定需求的部門或業(yè)務設置的VPN網(wǎng)絡區(qū)域，實現(xiàn)不同部門或不同業(yè)務之間的相互隔離，VPN網(wǎng)絡區(qū)域主要為少數(shù)部門的特定業(yè)務數(shù)據(jù)傳輸提供平安通道。通過MPLSVPN技術運用，三個業(yè)務區(qū)之間邏輯隔離，不能互訪。升級XX數(shù)據(jù)中心分為四個區(qū)，這四個區(qū)分屬于三個業(yè)務隔離區(qū)，對應關系如下表：某些業(yè)務系統(tǒng)需要跨公用網(wǎng)絡區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)部署，也有些需要跨專用網(wǎng)絡區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)部署，為了保證平安，需要進行邏輯隔離，在公用網(wǎng)絡區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)間部署一個網(wǎng)閘，同時在專用網(wǎng)絡區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)也部署一個網(wǎng)閘。除以上從業(yè)務系統(tǒng)層劃分為公用網(wǎng)絡區(qū)、專用網(wǎng)絡區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)外，還需為云計算平臺管理和IP存儲子系統(tǒng)劃分2個獨立網(wǎng)絡區(qū)域，實現(xiàn)業(yè)務網(wǎng)絡、管理網(wǎng)絡、IP存儲網(wǎng)絡的平安邏輯隔離。網(wǎng)絡端口資源估算關于會聚層交換機端口配置，接入效勞器建議用千兆以太網(wǎng)電口，網(wǎng)絡設備間互聯(lián)用萬兆以太網(wǎng)口。本期新增機架效勞器XX臺，單臺效勞器配置XX千兆以太網(wǎng)電口，共需XXX口千兆以太網(wǎng)電口，刀片效勞器XX臺，占用X個刀片效勞器機框，每機框?qū)ν釾X口千兆以太網(wǎng)電口，共XX口，合計連接效勞器需要XXX口千兆以太網(wǎng)電口；會聚交換機與防火墻、負載均衡器等會聚網(wǎng)絡設備需等需要萬兆口互聯(lián)，考慮一定端口冗余，本期建議配置X臺會聚交換機，單臺配置10/100/1000M電口不少于XX個；千兆光口不少于XX個、萬兆以太網(wǎng)光口不少于XX個并配置相應數(shù)量多模光纖模塊。計算資源池計算資源池架構效勞器虛擬化技術很好地解決了傳統(tǒng)效勞器系統(tǒng)建設的問題，通過提高物理效勞器利用率大幅度消減物理效勞器購置需求、數(shù)量和運營本錢；通過利用效勞器虛擬化中CPU、內(nèi)存、I0資源的動態(tài)調(diào)整能力實現(xiàn)對業(yè)務應用資源需求的動態(tài)響應，提升業(yè)務應用的效勞質(zhì)量；通過在線虛擬機遷移實現(xiàn)更高的可用性和可靠性以及各種基于資源優(yōu)化或節(jié)能減排策略的跨物理效勞器的調(diào)度等等。因此，效勞器虛擬化技術是新一代數(shù)據(jù)中心最理想的解決方案。效勞器虛擬化架構設計是效勞器虛擬化技術運用的核心，直接決定了整個效勞器資源體系對應用系統(tǒng)的承載能力、運行效率以及可靠性。XX云計算資源池由機架式效勞器、刀片效勞器構成；刀片效勞器通過效勞器虛擬化部署一般業(yè)務系統(tǒng)和web應用系統(tǒng)。機架式效勞器用于部署管理平臺和高負載數(shù)據(jù)庫效勞器等。效勞器虛擬化架構圖如下所示：圖11：XXMPLSVPN分區(qū)示意圖應用系統(tǒng)分析經(jīng)前期需求調(diào)研分析，根據(jù)業(yè)務特點將XX平臺所承載的應用系統(tǒng)分為大訪問量應用系統(tǒng)、大計算量應用系統(tǒng)、大數(shù)據(jù)量應用系統(tǒng)三類。大訪問量應用系統(tǒng)大訪問量應用系統(tǒng)如政府門戶網(wǎng)站、氣象查詢等web類應用系統(tǒng)，這類應用的特點是業(yè)務邏輯簡單，不同業(yè)務請求互不關聯(lián)，但請求的并發(fā)量根據(jù)業(yè)務特點不同可能很大，如水利信息網(wǎng)在災害天氣下訪問量將劇增。大訪問量應用系統(tǒng)要求對大量互不關聯(lián)的并發(fā)請求進行快速響應。這種情況下，需要應用效勞器有足夠數(shù)量的線程響應請求，而單個線程計算量不大，因而對單個CPU處理性能要求不高，可通過提供足夠CPU用效勞器數(shù)量來滿足需求。XX云計算平臺通過虛擬化技術為大訪問量應用系統(tǒng)部署是大小配置的虛擬機作為應用效勞器，多應用效勞器工作在負載均衡模式，提升用戶使用體驗。大訪問量應用系統(tǒng)對數(shù)據(jù)庫要求不高，配置一般虛擬機即可滿足要求。大計算量應用系統(tǒng)大計算量應用系統(tǒng)如數(shù)字城管、GIS地理信息系統(tǒng)等復雜信息處理系統(tǒng)，這樣應用的特點是計算量較大、運算復雜、內(nèi)存需求大，對效勞器計算性能要求高。建議配置單一高性能虛擬效勞器。大計算量應用系統(tǒng)對數(shù)據(jù)庫要求不高，配置一般虛擬機即可滿足要求。大數(shù)據(jù)量應用系統(tǒng)大計算量應用系統(tǒng)流動人口管理、社保管理系統(tǒng)等。根據(jù)數(shù)據(jù)庫儲存模式不同，可分為文件型和數(shù)據(jù)庫的系統(tǒng)。數(shù)據(jù)庫型大量數(shù)據(jù)量應用系統(tǒng)要求較高性能數(shù)據(jù)庫效勞器。建議配置強大的數(shù)據(jù)庫效勞器，提供足夠的CPU、Memory及IO性能來處理大量的數(shù)據(jù)，根據(jù)應用系統(tǒng)重要級別，數(shù)據(jù)庫效勞器可以選用虛擬物理器或物理效勞器，應用效勞器業(yè)務邏輯簡單，對配置要求不高，配置虛擬機即可滿足要求。文件型大數(shù)據(jù)兩應用系統(tǒng)根底數(shù)據(jù)量大，通過傳統(tǒng)的集中儲存方式，存儲并發(fā)讀寫IO能力無法滿足計算資源要求，建議通過并行計算模型實現(xiàn)。根據(jù)業(yè)務計算特點，效勞器可靈活選擇虛擬機或物理效勞器。計算資源池建議配置與選型建議計算資源池建議配置經(jīng)咨詢H3C、IBM、HP、微軟、紅帽、VMware等行業(yè)主流云計算常商，云計算平臺的建設，從防止浪費和規(guī)模效應的角度考慮，最正確實踐經(jīng)驗是從50臺物理效勞器的規(guī)模開始建設，然后根據(jù)實際業(yè)務開展情況按需擴容、滾動建設。本期工程以XX單位XX的實際情況為根底參照行業(yè)主流云計算廠商的建議進行設計考慮?？紤]不同業(yè)務系統(tǒng)的負載差異，本期工程同時配置刀片效勞器和機架式效勞器。參考各廠商建議，用作WEB效勞器時，一臺物理效勞器最多可以虛擬12臺虛擬機；用作應用效勞器時，一臺物料效勞器最多可以虛擬7臺虛擬機.。本工程，刀片效勞器按照每臺虛擬10臺虛擬機，刀片效勞器虛擬化后的虛擬機建議部署一般web/應用效勞器；高性能效勞器按照每臺虛擬8臺虛擬機，高性能效勞器虛擬化后的虛擬機建議部署重載應用/數(shù)據(jù)庫效勞器。統(tǒng)籌考慮不同應用系統(tǒng)對硬件資源的需求差異，建議配置刀片效勞器XX套，2路機架式效勞器X臺，4路機架式效勞器XX臺。其中X臺2路機架式效勞器用于云計算管理平臺，X臺4路機架式效勞器作為測試效勞器〔方案用來支持各類移動辦公等移動應用，統(tǒng)一納入XX單位信息中心監(jiān)控管理〕。計算資源池刀片效勞器和4路機架式效勞器組成，其中XX臺刀片效勞器可以虛擬化為XXX臺虛擬機，XX臺高性能機架式效勞器可以虛擬化XXX臺虛擬機，平臺共計XXX臺虛擬機。一般應用系統(tǒng)需要web效勞器、應用效勞器各2臺，采用應用負載均衡做集群，數(shù)據(jù)庫效勞器2臺做互備，共需6臺虛擬機。對于大型數(shù)量應用，大型數(shù)據(jù)庫可直接部署在高性能物理效勞器，通過多實例共享面向不同業(yè)務系統(tǒng)提供數(shù)據(jù)庫管理平臺效勞，那么需4臺虛擬機和共享使用兩臺物理效勞器。按此測算，本期建設規(guī)模在滿足50個部門50套應用系統(tǒng)需求之外還能有一定的冗余，冗余的資源可以用于安裝數(shù)據(jù)備份軟件、目錄效勞器、平安軟件等平臺相關軟件外，同時作為備用資源。今后還可以視實際需求增加計算資源，同步配套建設網(wǎng)絡資源、存儲資源及信息平安設備等，按照需擴容、滾動建設的方式滿足省直部門的需求。本期新增計算資源配置如以下圖表所示：此外，每臺物理效勞器要求配置不少于3個千兆以太網(wǎng)電口，分別用于虛擬化平臺管理口、應用系統(tǒng)對外提供效勞、連接NAS存儲設備。未來實際應用中，還將根據(jù)各廳局的復雜性，比方高吞吐量、高計算、高訪問量類業(yè)務系統(tǒng)對計算資源的需要進行調(diào)整。效勞器選型建議宿主機效勞器架構是虛擬化架構的關鍵組件，也是效勞器整合比例和本錢分析的重要變量。宿主機效勞器處理大量整合效勞器的工作負載的能力會提高整合比例并有助于提供滿足需要的本錢收益，以下提供二種宿主機效勞器的參考架構。宿主效勞器的系統(tǒng)架構是指對效勞器硬件自身的一般分類，例如包括機架式效勞器、刀片式效勞器。在選在系統(tǒng)架構時，首先要考慮的原那么是每個宿主機將運行包含多種負載的多個客戶機。處理器、內(nèi)存、存儲和網(wǎng)絡能力以及高速的I/O和低延遲都很關鍵，重要的是要保證這些分類中的每一個宿主機效勞器能夠提供所需要滿足的處理能力。A〕標準機架式效勞器最常見的系統(tǒng)架構是標準機架式效勞器。典型的是2U或4U的型號，這些效勞器一般包含2到4個CPU插座，2到8個PCI—E或PCI—X插槽，4到6個硬盤托架。由于其在2和4個插座效勞器商品中的低本錢，以及通過增加網(wǎng)卡和HBA插槽提供與生俱來的可擴展性，機架式效勞器是虛擬宿主機效勞器的最正確選擇。B〕刀片式效勞器隨著對能力和效勞器密度不斷增加的需求，刀片式效勞器在普及程度和能力上都獲得了顯著的提高。在選擇刀片效勞器時，需要考慮刀片式架構中的每個刀片所包含CPU數(shù)及最大內(nèi)存。對于每個宿主機效勞器用于支持一定數(shù)量的客戶機所需的網(wǎng)絡和存儲I/O必須加以仔細考慮，以保證刀片上運行的每個宿主機效勞器和刀片底盤自身能夠提供支持。計算資源池部署應用效勞器部署應用效勞器可部署在虛擬機系統(tǒng)〔VM〕和物理PC效勞器。當應用效勞器負載接近單臺物理效勞器性能時，可直接部署于物理效勞器，一般應用效勞器部署在虛擬機上。根據(jù)應用系統(tǒng)的可用性要求等級不同，在虛擬機上實現(xiàn)高可用的方式有以下三種，虛擬機熱遷移，虛擬機HA，物理機HA。虛擬機熱遷移用于滿足方案內(nèi)停機維護操作。當效勞器需要停機執(zhí)行維護操作時，可通過虛擬機熱遷移功能，將某一物理效勞器上的虛擬機動態(tài)遷移至另一物理效勞器。動態(tài)遷移過程，業(yè)務不中斷，不影響用戶的正常訪問。虛擬機HA用于滿足一般應用效勞器方案外宕機。當發(fā)生效勞器故障時，通過虛擬機HA，虛擬機可在其他的物理效勞器上自動重啟，實現(xiàn)故障轉移。此過程會引起短暫業(yè)務中斷，業(yè)務中斷時間由虛擬機操作系統(tǒng)在另一物理效勞器上啟動的時間及應用系統(tǒng)啟動的時間決定。通過虛擬機HA比傳統(tǒng)群集較少一半的效勞器數(shù)量，在保證了一定高可用的同時提高資源利用率。對于直接部署在物理效勞器的應用系統(tǒng)，可通過高可用群集軟件提供可用性保證。在windows系統(tǒng)可配置MSCS群集，在redhatLinux操作系統(tǒng)可配置VCS群集。通過部署高可用群集，在確保在物理效勞器故障或應用故障時，進行快速的故障轉移，減小并消除業(yè)務中斷帶來的負面影響。為了能夠提供具有更高可擴展性和可靠性的應用平臺，并能夠在效勞器集群中只能地分配負載，從而確保客戶最大限度地發(fā)揮其應用效勞器投資價值，結合硬件負載均衡設備，為部署在應用效勞器上的效勞和應用提供最正確的可擴展性和性能。關鍵數(shù)據(jù)庫部署數(shù)據(jù)庫效勞區(qū)作為業(yè)務系統(tǒng)的數(shù)據(jù)處理平臺，對效勞區(qū)的I/O處理能力、內(nèi)存、CPU等有較高要求的，建議采用高性能機架式效勞器部署，不同的業(yè)務系統(tǒng)數(shù)據(jù)庫可通過多實例進行共享同一物理效勞區(qū)群集。對效勞器性能要求一般的數(shù)據(jù)庫管理系統(tǒng)可部署在虛擬機上。數(shù)據(jù)庫效勞器做業(yè)務系統(tǒng)的核心節(jié)點，為了保障其的高可用性，建議至少使用2臺物理效勞器或2臺虛擬機做HA。部署虛擬機上數(shù)據(jù)庫管理系統(tǒng)可通過ApplicationHA保證其高可用；部署于物理效勞器的數(shù)據(jù)庫管理系統(tǒng)可通過VCS、MSCS或數(shù)據(jù)庫管理系統(tǒng)自帶群集軟件〔RAC〕實現(xiàn)其高可用。虛擬化軟件選型分析目前主流虛擬化平臺〔Hypervisor〕主要有以下四種，分別是VMwarevSphere、MicroSoftHyper-V、KVM和Xen。其中KVM和Xen為開源產(chǎn)品。目前局部廠商根據(jù)開源Xen開發(fā)出自己的虛擬平臺，如Critix公司的XenServer。從虛擬化軟件的成熟度來看，VMware經(jīng)多年的市場經(jīng)驗，產(chǎn)品成熟穩(wěn)定、功能也最為強大。開源KVM、開源XEN來源于開源社區(qū)，功能單一；基于開源Xen的CitrixXenServer，其功能、穩(wěn)定性、可靠性優(yōu)于開源Xen。XX虛擬化平臺的建設充分考慮產(chǎn)品的成熟性、穩(wěn)定性和開放性。通過以上比擬分析，VMware產(chǎn)品成熟、功能完善，為目前虛擬化市場的主流產(chǎn)品，但其采購本錢較高；根本開源Xen的局部國產(chǎn)產(chǎn)品功能不及VMware，但具有更好的性價比，作為國產(chǎn)虛擬化平臺，其平安性也更有保證。充分考慮技術成熟度和開放性，本工程建議配置VmwareXX套、國產(chǎn)開源虛擬化軟件XXX套，建成一個穩(wěn)定、開放、支持異構的根底虛擬化平臺。當前關鍵應用建議部署在成熟穩(wěn)定的VMware虛擬化平臺上，非關鍵應用及測試環(huán)境可部署于國產(chǎn)開源虛擬化平臺上。隨著國產(chǎn)虛擬化平臺的逐步成熟，在后續(xù)擴容中將逐步減少VMware在XX云計算平臺的比重。虛擬化管理平臺本期計算資源池采用X86效勞器，虛擬化平臺管理軟件需實現(xiàn)高可用性、動態(tài)遷移，對整個應用架構實現(xiàn)統(tǒng)一的平安控制和權限管理。目前X86虛擬化平臺管理軟件主要有兩大類：一類為虛擬化平臺原廠提供的。如VMware虛擬化管理平臺VMwarevCenter、CitrixXenServer虛擬化管理平臺XenCenter、Hyper-V虛擬化管理平臺Azure，RedhatKTM管理平臺redhatRHEVM的。各廠商的虛擬化管理平臺均可較好地管理自家虛擬化平臺，管理平臺開放必要的API接口。但是各個廠商均只能管理自己的Hypervisor，不能管理其它廠商的Hypervisor。另一類是由第三方廠商提供的。如移動大云等，這等虛擬化平臺管理軟件的優(yōu)點是可以實現(xiàn)多家虛擬化平臺的統(tǒng)一管理，但在專用性方面不如各原廠提供的管理軟件。容災方案說明根據(jù)設計原那么分布實現(xiàn)云平臺系統(tǒng)的容災方案：1、第一步實現(xiàn)云平臺存儲級容災系統(tǒng)，通過新購虛擬存儲網(wǎng)關，整合現(xiàn)有異構SAN存儲資源池，存儲結構化數(shù)據(jù)，實現(xiàn)存儲虛擬化功能，并可滿足數(shù)據(jù)遷移、容災等功能，實現(xiàn)容災。該步驟實現(xiàn)又可分為兩步走，即先建立同城同步容災，再建立城際兩地三中心的容災。在容災中心新購置一套虛擬存儲網(wǎng)關，容災中心的存儲設備可以與生產(chǎn)中心同構或異構，通過光纖交換機構成一個基于存儲區(qū)域網(wǎng)(SAN)的根底架構平臺。不僅提供容災系統(tǒng)使用，也是容災中心的統(tǒng)一SAN平臺。在容災中心存儲上按照生產(chǎn)中心實際存儲部署情況，依照存儲性能相同的原那么進行存儲設備的邏輯劃分，每臺存儲設備分別連接到2臺光纖交換機上，這久保證了存儲設備在整個鏈路上冗余、不存在單點故障。在同城容災方案中通過虛擬存儲網(wǎng)關同步復制技術，由虛擬存儲網(wǎng)關將生產(chǎn)中心的數(shù)據(jù)實時復制到容災中心，確保生產(chǎn)中心的各種數(shù)據(jù)能同步復制到容災中心的存儲上。在兩地三中心或兩站地城際容災方案中通過虛擬存儲網(wǎng)關異步復制技術，準時將生產(chǎn)中心數(shù)據(jù)復制到容災中心，災難發(fā)生時僅涉及數(shù)十秒的數(shù)據(jù)喪失?？赏瑫r在容災中心配置兩臺效勞器，進行數(shù)據(jù)驗證工作。利用虛擬存儲網(wǎng)關快照功能對容災中心的復制數(shù)據(jù)〔只讀〕產(chǎn)生快照卷，掛載到驗證效勞器上進行訪問驗證。2、第二步實現(xiàn)云平臺應用級容災。在容災中心配置相應的效勞器池鏈接容災存儲。當災難發(fā)生或進行災難恢復演練時，停止容災復制關系后，容災中心效勞器池的虛擬機可以訪問容災數(shù)據(jù)并接管生產(chǎn)。制定接管方案，包括人員支持，網(wǎng)絡支持，恢復方案，演練方案等，建立完善的全人工干預接管機制。3、第三步結合云平臺管理和業(yè)界自動化遠程容災軟件實現(xiàn)高度自動化的容災體系，爭取實現(xiàn)數(shù)小時內(nèi)的容災接管能力。云計算管理平臺云計算管理平臺包括云資源管理平臺、云連營管理平臺、網(wǎng)絡管理平臺。云資源管理平臺包括IT根底架構中的物理資源和虛擬資源的管理，其中虛擬計算資源的管理集成廠商的云平臺；云運營管理平臺含業(yè)務管理模塊和運營管理模塊。云計算管理平臺總體架構如下：圖12：云管理平臺架構圖云資源管理平臺建設方案整個復雜的云計算架構中，必須通過一個強大的管理平臺來實現(xiàn)對硬件資源的整合和虛擬化，對功能效勞器的模板制作與部署，對云計算資源進行啟動、停止、刪除、回收等，對整個云計算平臺運行性能進行實時監(jiān)控和日志報告等功能，同時還實現(xiàn)用戶交換接口，用戶可以方便地登錄到云計算平臺，申請各種硬件資源和中間件資源，啟動、停止自己功能效勞器功能。這樣打破了業(yè)務應用對資源的=獨占的方式，實現(xiàn)硬件資源和軟件資源的統(tǒng)一管理、統(tǒng)一分配、統(tǒng)一部署、統(tǒng)一監(jiān)控和統(tǒng)一備份?？紤]到XX中的3個區(qū)〔專用網(wǎng)絡區(qū)、公共網(wǎng)絡區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)〕之間是通過MPLSVPN相關隔離，為了實現(xiàn)云計算平臺對3個區(qū)的統(tǒng)一管理，我們建議將宿主機的管理口〔統(tǒng)一設置宿主機上某一個單獨物理網(wǎng)卡用于云計算管理平臺對虛擬機的管理通訊〕進行統(tǒng)一VLAN規(guī)劃，通過此方式可以實現(xiàn)不同分區(qū)的虛擬機在同一個資源組中遷移和統(tǒng)一管理。云資源管理平臺主要由以下兩個模塊組成：云資源管理系統(tǒng)云計算效勞Portal。圖13：云資源管理功能模塊圖云資源管理系統(tǒng)云資源管理系統(tǒng)其通過虛擬化技術和基于策略的自動化管理技術，構成虛擬化資源池，實現(xiàn)對物理資源、虛擬資源的統(tǒng)一管理和分配。云資源管理系統(tǒng)架構需要實現(xiàn)功能：1、設備管理提供對物理設備的接入和管理功能，包括設備發(fā)現(xiàn)展示、配置部署、告警上報等。2、虛擬適配層提供對不同虛擬層〔VMM〕的適配、集成能力，如VMware、Xen、KVM、Hyper-V等，對上層屏蔽不同虛擬層差異，提供統(tǒng)一的虛擬化管理接口。3、云適配層提供對不同云資源的適應能力，實現(xiàn)公有云和私有云資源的統(tǒng)一管理能力。4、虛擬化資源池管理實現(xiàn)計算、存儲和網(wǎng)絡的虛擬化和資源統(tǒng)一管理。5、資源池調(diào)度提供資源動態(tài)分配，動態(tài)耗能管理、調(diào)度策略管理、資源池高可用性和備份恢復等功能。6、資源池效勞對外提供根底資源池效勞能力，如動態(tài)伸縮、負載均衡等。7、對外接口對外提供標準的接口和能力，供上層業(yè)務或解決方案集成。8、管理系統(tǒng)運資源池的統(tǒng)一管理維護功能，如用戶管理、日志管理、告警和性能監(jiān)控。其功能特性：1、資源池統(tǒng)一管理和高效利用物理機、虛擬機統(tǒng)一管理和調(diào)度采用虛擬方案技術、分布式計算和存儲等技術，實現(xiàn)資源的池化管理。云計算平臺管理系統(tǒng)不僅能管理虛擬機，也能管理物理機，各種資源通過統(tǒng)一的對外接口進行管理和調(diào)度。圖14：資源池管理示意圖1圖15：資源池管理示意圖2動態(tài)節(jié)能云計算平臺管理系統(tǒng)通過對業(yè)務忙閑交錯和峰谷交錯的特點分析，通過將閑的、處于低谷的業(yè)務進行遷移，從而清理出一些機器將其關閉，到達節(jié)能的效果。圖16：資源池管理示意圖32、自動化部署能力物理設備自動發(fā)現(xiàn)，即插即用物理設備從接入資源池到納入資源池統(tǒng)一管理的過程自動化實現(xiàn)，將需要人工干預的工作降至最低。圖17：自動化部署示意圖1系統(tǒng)軟件和業(yè)務軟件自動安裝部署能力支持系統(tǒng)軟件和業(yè)務的自動安裝部署，包括部署設計、執(zhí)行，軟件源管理，鏡像創(chuàng)立，鏡像生命周期管理等。流程化的部署方案，支持部署模塊和快速部署能力。在業(yè)務部署過程中，支持業(yè)務各網(wǎng)元親和關系定義，防止將具有1+1、N+1等關系的網(wǎng)元部署在相同的物理設備上，進一步實現(xiàn)業(yè)務的高可靠部署。圖18：自動化部署示意圖2開放的接口和二次開發(fā)能力云計算平臺管理系統(tǒng)的自動部署功能提供開放的二次開發(fā)接口，業(yè)務系統(tǒng)可以基于該接口制作符合業(yè)務要求的軟件源和安裝腳本，實現(xiàn)業(yè)務自動部署。3、資源池高可用性虛擬機故障遷移當監(jiān)控到某臺虛擬機宕機時，自動將其遷移其它到其它物理機上重新拉起。物理機故障遷移當整臺物理機宕機時，自動將其上所有虛擬機遷移到其它借用的物理主機上重新拉起。圖19：資源池高可用性示意圖靈活的備份恢復云計算平臺管理系統(tǒng)提供虛擬機備份策略的靈活定制功能，包括：備份范圍：全備份〔VM完整備份〕、增量備份〔僅備份上次備份以來發(fā)生變化的數(shù)據(jù)〕備份周期：每天、每周、每月備份保存時間可配置4、基于業(yè)務的只能管控能力和接口自動化的資源調(diào)度，實現(xiàn)資源的自組織、自管理，減少人工干預。通過采集業(yè)務運行數(shù)據(jù)，基于一定的分析模型和算法，建立業(yè)務運行特性模型，從多個維度對業(yè)務運行情況進行分析和監(jiān)控。采集的數(shù)據(jù)同時作為后續(xù)業(yè)務調(diào)度根底，實現(xiàn)資源只能調(diào)度。資源池對業(yè)務開放標準的接口和能力，業(yè)務可以基于資源能力定制業(yè)務管理和調(diào)度策略。5、高性能、高平安通過存儲大內(nèi)存Cache技術、高性能分布式存儲算法、QoS保證等滿足業(yè)務系統(tǒng)的高性能要求。通過網(wǎng)絡隔離、系統(tǒng)加固、漏洞檢測、數(shù)據(jù)加密、用戶認證鑒權等滿足業(yè)務系統(tǒng)的高平安性要求。云資源效勞門戶云資源效勞門戶Portal是一套向內(nèi)部虛擬化系統(tǒng)的自動化管理系統(tǒng)，覆蓋虛擬機部署、審批、運行、回收整個流程。提供了易于使用的Web界面可實現(xiàn)依照策略自動化部署虛擬機〔VM〕，簡化虛擬機請求和審批流程，跟蹤和控制虛擬機，其運營流程如以下圖所示。圖20：運營流程圖其管理角色和功能應具備包括如下方面：門戶角色及功能簡介用戶角色圖21：CCP用戶流程登錄Web頁面，請求虛擬機〔可批量〕并確定請求狀態(tài)。查詢所屬的虛擬機，并進行根本控制〔包括開機、關機、遠程控制、監(jiān)控性能等〕。提交虛擬機效勞器的擴容〔如CPU、內(nèi)存、磁盤〕申請并確定請求狀態(tài)。管理員角色圖22：管理員視圖查看用戶請求〔包括新增虛擬機/變更虛擬機性能〕的詳細信息，并決定是接受還是拒絕請求。管理賬號〔可以便捷的增加用戶和管理員的賬號信息〕。查看任一虛擬機運行狀態(tài)查詢?nèi)罩竞途S護其他配置。云資源使用流程簡介虛擬資源申請流程圖23：資源變更流程圖下面以某一省直單位，如水利廳申請臺風預測預報系統(tǒng)上線，結合云計算業(yè)務運營流程如下：最終用戶在云計算平臺上申請?zhí)摂M資源，虛擬資源包括：虛擬機配置及虛擬機數(shù)量；數(shù)據(jù)庫類型及數(shù)據(jù)庫存儲空間大小、網(wǎng)絡互聯(lián)要求。申請?zhí)峤缓筮M入云計算運營平臺審批流程，由管理中心對最終用戶提出資源申請進行審核。確認云計算平臺滿足所提需求后通過審批，由云計算平臺執(zhí)行自動部署生成用戶所需業(yè)務系統(tǒng)根底架構，業(yè)務系統(tǒng)根底架構包括虛擬機及操作系統(tǒng)環(huán)境、網(wǎng)絡互聯(lián)環(huán)境、數(shù)據(jù)庫環(huán)境。自動部署完成后，系統(tǒng)自動通過郵件或短信等其他方式通知最終用戶。最終用戶通過用戶自助門戶登錄虛擬機進行業(yè)務系統(tǒng)部署、測試，直至業(yè)務系統(tǒng)〔***系統(tǒng)〕上線的所有工作。云運營管理平臺建設方案運營管理是云計算效勞提供的關鍵環(huán)節(jié)，任何一項業(yè)務的成功開展都離不開運營管理系統(tǒng)的支撐。云計算運營管理平臺的設計應遵循了如下的原那么，即：立足現(xiàn)有應用和業(yè)務開展需求，兼顧未來的應用擴展，采用分層次、冗余、分布式的軟、硬件體系結構以保證系統(tǒng)平安、可靠、現(xiàn)金、易擴充性。運營管理平臺采用分布式、模塊化結構，具有良好的可擴展性和集成性，應包含如下模塊：業(yè)務管理模塊、運營管理模塊、業(yè)務運營門戶。其系統(tǒng)架構設計如下：圖24：云管理平臺系統(tǒng)架構圖業(yè)務管理模塊系統(tǒng)采用以效勞為根底，以產(chǎn)品類別為核心的業(yè)務管理模式：一個業(yè)務包括多個效勞、產(chǎn)品或者套餐；一個產(chǎn)品由多個效勞組成；效勞有各自的效勞類別；套餐由產(chǎn)品組成；提供給用戶=｛產(chǎn)品，效勞，套餐｝。支持添加、修改、刪除效勞：包括效勞的名稱，描述；支持添加、修改、刪除效勞級別：包括效勞級別的名稱，描述狀態(tài)等信息；支持添加、修改、刪除產(chǎn)品：選擇相關的效勞組合成為先的產(chǎn)品及其它的查詢等管理功能；具體框架設計邏輯圖如以下圖所示：圖25：框架設計邏輯圖針對運業(yè)務實際情況，可以參考定義如下運營產(chǎn)品：1〕虛擬主機出租各業(yè)務系統(tǒng)使用者依照系統(tǒng)對設備的需求，進行訂購所需配置的虛擬機，并能通過互聯(lián)網(wǎng)訪問&使用訂購的虛擬機，依照實際資源使用情況付費，使用者不需要對虛擬機進行日常維護，從而大幅度減低采購本錢和維護本錢和運營時本錢。鑒于