云計(jì)算平臺建設(shè)總體技術(shù)方案

XX單位XX云計(jì)算平臺工程技術(shù)方案二O一二年一月第1章.基本情況…....………...................1.2.業(yè)主單位…..................1.3.項(xiàng)目背景…..………………..............1.3.1.XX技術(shù)發(fā)展方向…..........….…............1.3.2.有關(guān)XX公開的相關(guān)要求...................…....1.4.建設(shè)規(guī)模.....................1.5.投資概算...………….............1.6.設(shè)計(jì)依據(jù)......……..........1.8.設(shè)計(jì)分工…10…2.2.現(xiàn)狀分析.....12..........2.3.1.長期需求…......……13...........第3章.總體設(shè)計(jì)…...........16...........3.1.建設(shè)目標(biāo).......16................16...................17............3.3.系統(tǒng)的總體結(jié)構(gòu)………………18...…......3.3.2.XX本土化戰(zhàn)略…………錯誤未定必我簽............3.3.3.建設(shè)思路…………………20..3.4.信息的分類編碼體系…………25..........3.5.質(zhì)量保證體系…………………26.............4.1.網(wǎng)絡(luò)資源池…………………4.1.1.組網(wǎng)物理拓?fù)鋱D……………29.............4.1.2.網(wǎng)絡(luò)負(fù)載均衡設(shè)計(jì)………30...........4.1.3.網(wǎng)絡(luò)虛擬化設(shè)計(jì)……………32...........4.1.4.IP地址及DNS規(guī)劃………36.........4.1.5.網(wǎng)絡(luò)端口資源估算………A1.........4.2.計(jì)算資源池………………………42...........4.2.1.計(jì)算資源池架構(gòu)…………………42......4.2.2.應(yīng)用系統(tǒng)分析………………43...4.2.3.計(jì)算資源池建議配置與選型建議………44...........4.2.4.計(jì)算資源池部署……………47.............4.3.云計(jì)算管理平臺………………52.........4.3.1.云資源管理平臺建設(shè)方案..................................52.............4.3.2.云運(yùn)營管理平臺建設(shè)方案.........62..................4.4.1.云計(jì)算平臺安全威脅…...71...........4.4.2.云計(jì)算平臺安全防護(hù)目標(biāo).......……73..........4.4.3.云計(jì)算平臺安全架構(gòu)…74..........4.4.4.laaS層安全..................…..74.........4.4.5.PaaS層安全...........90..............91...........4.4.7.公共安全…..........…………...93.......4.4.8.安全管理制度.......….....99...........4.4.9.云安全服務(wù).....……......101.................101............4.5.1.機(jī)房設(shè)備集中管理………..…..101.....4.5.2.布線系統(tǒng)…....1.02.........4.5.3.機(jī)房系統(tǒng)…...............………1.03............4.5.4.UPS配置方案.....................................105...........4.6.標(biāo)準(zhǔn)化工作…................109...........4.6.1.標(biāo)準(zhǔn)規(guī)范建設(shè)的原則..……….....1.10........4.6.2.標(biāo)準(zhǔn)規(guī)范的總體框架….......………......1.1.1............第5章.設(shè)備配置要求……114...第6章.項(xiàng)目實(shí)施與運(yùn)行維護(hù).........................................118....6.1.建設(shè)流程及進(jìn)度安排…………118..............6.1.1.團(tuán)隊(duì)組建…………………119............6.1.2.業(yè)務(wù)連續(xù)性計(jì)劃規(guī)劃……………………120...........6.1.3.實(shí)施方案詳細(xì)設(shè)計(jì)………120...........6.1.4.實(shí)施方案詳細(xì)會審………120...............6.1.5.運(yùn)維制度的設(shè)計(jì)…………121.........6.1.6.運(yùn)維制度的會審…………122...6.1.7.采購設(shè)備和基礎(chǔ)設(shè)施改造………………122............6.1.8.平臺機(jī)房端系統(tǒng)改造調(diào)測………………123.............6.1.9.設(shè)備安裝調(diào)測……………123............6.1.10.系統(tǒng)聯(lián)調(diào)……………123..........6.1.11.人員技術(shù)和制度培訓(xùn)………………124.........6.1.12.項(xiàng)目驗(yàn)收投產(chǎn)………124...6.2.項(xiàng)目建設(shè)管理及組織機(jī)構(gòu)……………………125.............6.2.1.領(lǐng)導(dǎo)組織機(jī)構(gòu)……………125.............6.2.2.項(xiàng)目建設(shè)機(jī)構(gòu)……………125............6.2.3.項(xiàng)目溝通…………………1.26.........6.2.4.項(xiàng)目文檔管理……………127.............6.2.5.運(yùn)維及管理的組織機(jī)構(gòu)…………………128.............6.2.6.運(yùn)維及管理的規(guī)范………129..............6.2.7.運(yùn)維模式…………………1.30.........6.2.8.人員配置和培訓(xùn)……………131.....第1章.項(xiàng)目名稱XX單位XX云計(jì)算平臺工程。業(yè)主單位項(xiàng)目背景基本情況1.3.1.xx技術(shù)發(fā)展方向XX,即運(yùn)用計(jì)算機(jī)、網(wǎng)絡(luò)和通信等現(xiàn)代信息技術(shù)手段，實(shí)現(xiàn)政府組織結(jié)構(gòu)和工作流程的優(yōu)化重組，超越時間、空間和部門分隔的限制，建成一個精簡、高效、廉潔、公平的政府運(yùn)作模式，以便全方位地向社會提供優(yōu)質(zhì)、規(guī)范、透明、符合國際水準(zhǔn)的管理與服務(wù)。隨著網(wǎng)絡(luò)技術(shù)、web2.0、下一代互聯(lián)網(wǎng)等技術(shù)的發(fā)展，我國XX建設(shè)也發(fā)生著變化。2010年10月，國務(wù)院發(fā)布了《國務(wù)院關(guān)于加快培育和發(fā)展戰(zhàn)略性新興產(chǎn)業(yè)的決定》,就把新一代信息技術(shù)產(chǎn)業(yè)作為十二五時期的重點(diǎn)方向，要推動新一代移動通信、下一代互聯(lián)網(wǎng)核心設(shè)備和智能終端的研發(fā)及產(chǎn)業(yè)化，加快推進(jìn)三網(wǎng)融合，促進(jìn)物聯(lián)網(wǎng)、云計(jì)算的研發(fā)和示范應(yīng)用。全國XX領(lǐng)導(dǎo)小組發(fā)布了《關(guān)于開展依托XX平臺加強(qiáng)縣級政府XX和政務(wù)服務(wù)試點(diǎn)工作的意見》,就開展依托XX平臺加強(qiáng)縣級政府XX和政務(wù)服務(wù)試點(diǎn)工作提出了相關(guān)意見。要求在試點(diǎn)縣(市、區(qū)),用一年左右時間，建立和完善統(tǒng)一的XX平臺，充分利用平臺全面、準(zhǔn)確發(fā)布政府信息公開事項(xiàng)，實(shí)時、規(guī)范辦理主要行政職權(quán)和便民服務(wù)事項(xiàng)，并實(shí)現(xiàn)電子監(jiān)察全覆蓋，為在全國全面推行奠定基礎(chǔ)、積累經(jīng)驗(yàn)。本期建設(shè)規(guī)模為(后續(xù)根據(jù)實(shí)際服務(wù)器及機(jī)房環(huán)境進(jìn)行調(diào)整):編號設(shè)備數(shù)量單位硬件設(shè)備刀片式PC服務(wù)器片刀片服務(wù)器機(jī)箱個機(jī)架式PC服務(wù)器(4CPU)臺機(jī)架式PC服務(wù)器(2CPU)臺FCSAN磁盤整列臺NAS存儲系統(tǒng)臺異構(gòu)存儲(云存儲)控制系統(tǒng)臺虛擬帶庫臺SAN光纖交換機(jī)臺核心交換機(jī)臺匯聚交換機(jī)臺鏈路負(fù)載均衡設(shè)備臺服務(wù)器負(fù)載均衡設(shè)備臺防火墻臺接入交換機(jī)臺WEB應(yīng)用防護(hù)抗攻擊系統(tǒng)臺入侵防御系統(tǒng)臺防病毒網(wǎng)關(guān)臺VPN網(wǎng)關(guān)臺數(shù)據(jù)庫安全審計(jì)系統(tǒng)臺運(yùn)維安全審計(jì)系統(tǒng)臺安全代理應(yīng)用服務(wù)器臺PKI應(yīng)用服務(wù)器臺身份認(rèn)證系統(tǒng)套網(wǎng)閘臺臺KVM集中器臺短信機(jī)MAS信息機(jī)臺云計(jì)算平臺管理軟件套企業(yè)版(1CPU)72套，VmwarevCenter標(biāo)準(zhǔn)版1套套GalaX8800OperatingEditionV100R001套WindowsServer2008R2中文企業(yè)版套RedHatEnterpriseLinux-企業(yè)版套物理機(jī)高可用群集軟件套虛擬機(jī)高可用群集軟件套應(yīng)用服務(wù)器軟件套Oracle數(shù)據(jù)庫管理系統(tǒng)套MSSQL數(shù)據(jù)庫管理系統(tǒng)套MySql數(shù)據(jù)庫管理系統(tǒng)套數(shù)據(jù)備份軟件套目錄服務(wù)器軟件套防病毒軟件套漏洞掃描設(shè)備臺網(wǎng)頁防篡改軟件套SOC安全管理系統(tǒng)套云安全服務(wù)套套標(biāo)準(zhǔn)機(jī)架臺機(jī)房精密空調(diào)臺1.5.投資概算本項(xiàng)目本期工程概算總投資為XXXX萬元(人民幣)。1.6.設(shè)計(jì)依據(jù)《中華人民共和國國民經(jīng)濟(jì)和社會發(fā)展第十二個五年規(guī)劃綱要》;《涉密信息設(shè)備使用現(xiàn)場的電磁泄漏發(fā)射防護(hù)要求》(BMZ1-2000)《涉及國家機(jī)密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求》(BMZ1-2000)《涉及國家機(jī)密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南》(BMZ2-2001)《涉及國家計(jì)算機(jī)信息系統(tǒng)安全保密測試指南》(BMZ3-2001)章.現(xiàn)狀及需求分析2.1.項(xiàng)目意義及建設(shè)必要性單位作為信息化建設(shè)持續(xù)居于全國前列的經(jīng)濟(jì)信息大省，對云計(jì)算的表現(xiàn)模式及其能夠帶來的經(jīng)濟(jì)效益表現(xiàn)出持續(xù)關(guān)注。本項(xiàng)目提出建設(shè)政務(wù)云計(jì)算平臺，對于整合XX資源、提高省直部門計(jì)算資源配置效率，建設(shè)重復(fù)信息化投資，打造綠色XX,推動高新技術(shù)產(chǎn)業(yè)發(fā)展，都具有長遠(yuǎn)的現(xiàn)實(shí)意義。(1)云計(jì)算是信息技術(shù)和產(chǎn)業(yè)發(fā)展的必然趨勢云計(jì)算是網(wǎng)格計(jì)算、分布式計(jì)算、虛擬化等傳統(tǒng)計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物。它旨在通過網(wǎng)絡(luò)把多個成本相對較低的計(jì)算實(shí)體整合成一個具有強(qiáng)大計(jì)算能力的完美系統(tǒng)，并借助SaaS、PaaS、laaS、MSP等先進(jìn)的商業(yè)模式把這強(qiáng)大的計(jì)算能力分布到終端用戶手中。作為一種新興技術(shù)和商業(yè)模式，云計(jì)算將加速信息產(chǎn)業(yè)和信息基礎(chǔ)設(shè)施的服務(wù)化進(jìn)程，催生大量新型互聯(lián)網(wǎng)信息服務(wù)，帶動信息產(chǎn)業(yè)和信息化建設(shè)格局的整體變革。加快云計(jì)算發(fā)展，不僅是我省提升數(shù)字XX綜合競爭力、培育新增長點(diǎn)的重要途徑，也是促進(jìn)產(chǎn)業(yè)機(jī)構(gòu)調(diào)整、率先實(shí)現(xiàn)跨越式發(fā)展的重要舉措。(2)縣級XX是推動XX單位云計(jì)算應(yīng)用的第一步云計(jì)算是當(dāng)今信息技術(shù)、信息化的戰(zhàn)略制高點(diǎn)。當(dāng)前，我省正在貫徹落實(shí)《國務(wù)院辦公廳轉(zhuǎn)發(fā)全國XX領(lǐng)導(dǎo)小組關(guān)于開展依托XX平臺加強(qiáng)縣級政府XX和政務(wù)服務(wù)試點(diǎn)工作意見的通知》,將縣級XX作為推動XX單位云計(jì)算應(yīng)用的第一步，在實(shí)踐中摸索云計(jì)算為XX單位帶來的新機(jī)遇，通過政府應(yīng)用起到的示范和帶動作用，促進(jìn)全省信息化建設(shè)水平的提高，帶動信息產(chǎn)業(yè)的發(fā)展，戰(zhàn)略信息技術(shù)及產(chǎn)業(yè)的戰(zhàn)(3)提高政務(wù)部門計(jì)算資源配置效率，減少重復(fù)建設(shè)，節(jié)能減排XX單位XX建設(shè)以來，全省部署了大量的業(yè)務(wù)應(yīng)用系統(tǒng)，涉及海量的網(wǎng)絡(luò)設(shè)備、服務(wù)器及存儲設(shè)備。這些設(shè)備CPU和內(nèi)存利用率殘差不齊，大多數(shù)較低，部分工作效率在20%以下，同時也有部分部門計(jì)算硬件資源極端匱乏。這樣，不僅閑置了寶貴的計(jì)算資源，浪費(fèi)了電力，不利于節(jié)能減排，又未能很好地解決資源匱乏部門的實(shí)際問題。如果將這些設(shè)備整合建設(shè)為云計(jì)算平臺，服務(wù)器的利用效率將得到極大提升(40%~60%),能夠動態(tài)、彈性、可回收地為各政務(wù)部門提供服務(wù)?？傊朴?jì)算可望提高應(yīng)用程序部署速度、促進(jìn)創(chuàng)新和降低成本，同時還增強(qiáng)了業(yè)務(wù)運(yùn)作的敏捷性。本項(xiàng)目對我省云計(jì)算的發(fā)展和應(yīng)用具有帶動、示范、服務(wù)、探索等多重作用，對帶動我省信息化建設(shè)進(jìn)入新階段，探尋我省新的經(jīng)濟(jì)建設(shè)模式具有重大的現(xiàn)實(shí)意義，有必要盡快實(shí)施。XX單位已經(jīng)建成了較為完善的XX網(wǎng)絡(luò)系統(tǒng)，經(jīng)過04年、06年兩次大的擴(kuò)容改造后，覆蓋全省的XX網(wǎng)絡(luò)全面建成，信息資源目錄體系與交換體系、信息資源公開和共享機(jī)制、信息安全基礎(chǔ)設(shè)施基本建立，重點(diǎn)業(yè)務(wù)應(yīng)用系統(tǒng)實(shí)現(xiàn)互聯(lián)互通，管理體制進(jìn)一步完善，信息技術(shù)在政府工作中得到普遍應(yīng)用。XX單位信息中心作為負(fù)責(zé)XX單位政府政務(wù)數(shù)據(jù)中心建設(shè)和維護(hù)的核心信息化部門，服務(wù)于XX單位政府部門宏觀決策支持、信息資源開發(fā)利用、數(shù)據(jù)交換、XX、信用體系建設(shè)等六大重點(diǎn)業(yè)務(wù)，按照工信部和國家發(fā)改委的要求，近年來一直致力于政務(wù)云計(jì)算的鋪墊和準(zhǔn)備工作，逐步完成了政務(wù)數(shù)據(jù)整合和云就緒準(zhǔn)備的前XX建設(shè)科學(xué)發(fā)展，創(chuàng)新XX建設(shè)模式，推進(jìn)云計(jì)算應(yīng)用及相關(guān)產(chǎn)業(yè)的發(fā)展，根據(jù)省領(lǐng)導(dǎo)指示精神，下一步將重點(diǎn)建設(shè)XX單位政務(wù)云。在完成了各部門分散的IT資源和信息數(shù)據(jù)的整合之后，政府將通過云計(jì)算平臺，實(shí)現(xiàn)面向更多公眾服務(wù)、帶動本地信息化發(fā)展等目標(biāo)。滿足未來10年XX單位信息化建設(shè)基于XX的信息系統(tǒng)對網(wǎng)絡(luò)、服務(wù)器、存儲、軟件等基礎(chǔ)架構(gòu)的需要，面向全省政務(wù)系統(tǒng)提供信息共享平臺及云計(jì)算平臺。根據(jù)XX單位政府和省經(jīng)信委對數(shù)字XX的長遠(yuǎn)規(guī)劃，不僅要搭建XX云計(jì)算平臺，試點(diǎn)并承載相關(guān)業(yè)務(wù)，還需要進(jìn)行XX云計(jì)算平臺的開發(fā)和建設(shè)，運(yùn)行核心業(yè)務(wù)系統(tǒng)。2.3.2.本期需求滿足今后3到5年XX單位信息化建設(shè)基于XX的信息系統(tǒng)對網(wǎng)絡(luò)、服務(wù)器、存儲、軟件等基礎(chǔ)架構(gòu)的需要。鑒于每個應(yīng)用系統(tǒng)對基礎(chǔ)架構(gòu)資源的需求難以確定，本期工程暫時按照最小經(jīng)濟(jì)規(guī)模的云計(jì)算平臺建設(shè)，計(jì)算資源池的服務(wù)器物理數(shù)量規(guī)劃為XXX臺，存儲及網(wǎng)絡(luò)設(shè)備根據(jù)實(shí)際需要進(jìn)行配套。.硬件需求本次需要配置的硬件包括：網(wǎng)絡(luò)設(shè)備：路由器、交換機(jī)、負(fù)載均衡、VPN網(wǎng)關(guān)等；安全設(shè)備：防火墻、入侵防御、防毒墻、運(yùn)維安全審計(jì)系統(tǒng)、數(shù)據(jù)庫安全審計(jì)系統(tǒng)、漏洞掃描系統(tǒng)。除了需要配置一定數(shù)量的服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備和安全防護(hù)設(shè)備外，還需要配備相應(yīng)的系統(tǒng)軟件，如：1、每臺物理服務(wù)器和虛擬服務(wù)器的操作系統(tǒng)：Windows、Linux等服務(wù)器操作系2、虛擬化軟件：實(shí)現(xiàn)服務(wù)器和存儲資源的虛擬化，建立彈性、智能、可回收的資源池；對于新購置的設(shè)備，需要進(jìn)行虛擬化套件的安裝調(diào)試。5、云計(jì)算管理平臺：包括網(wǎng)絡(luò)管理、資源管理、用戶管理、統(tǒng)計(jì)報表、賬單、監(jiān)控、告警等管理功能。虛擬機(jī)的應(yīng)用將導(dǎo)致物理網(wǎng)卡上的流量成幾何倍數(shù)增加，為了應(yīng)對云計(jì)算環(huán)境下的流量變化，安全防護(hù)體系的部署需要朝著高性能的方向調(diào)整。安全設(shè)備必然要10GE設(shè)置100G接口的處理能力。同時，考慮到云計(jì)算環(huán)境的業(yè)務(wù)永續(xù)性，設(shè)備的部署必須要考慮到高可靠性的支持，不僅要考慮到設(shè)備的可靠性，如采用高性能高可靠高成熟的產(chǎn)品，還應(yīng)該考慮到設(shè)計(jì)的可靠性，如雙機(jī)熱備、設(shè)備虛擬化、配置同步、板件冗余和預(yù)留、跨設(shè)備鏈路捆綁、硬件ByPass等配置防火墻、入侵防御、漏洞掃描、網(wǎng)頁防篡改、全接入網(wǎng)關(guān)和身份認(rèn)證系統(tǒng)，并從安全區(qū)域劃分、接入層安全、服務(wù)器區(qū)的安全和安全管理等多方面加強(qiáng)云計(jì)算平臺的防護(hù)。特別是接入層，采用VPN網(wǎng)關(guān)，注冊用戶從云計(jì)算管理中心獲得VPNClient,通過VPNClient就可以連接到自己需要的云。服務(wù)器安全方面，所有物理服務(wù)器全部配置相應(yīng)的安全策略，禁止不用的端口的訪問，同時在虛擬機(jī)模板系統(tǒng)中只打開最小可用端口(如SSH、http、https等),以保證初始系統(tǒng)的安全性。建立應(yīng)用節(jié)點(diǎn)準(zhǔn)入規(guī)范，保證應(yīng)用節(jié)點(diǎn)自身的安全防護(hù)，避免云內(nèi)發(fā)生交叉感染。安全管理方面，則以管理制度為主、技術(shù)管控為輔，雙管齊下。鑒于信息中心機(jī)房UPS、精密空調(diào)承載有限，本項(xiàng)目本期工程應(yīng)做相應(yīng)擴(kuò)容建第3章.總體設(shè)計(jì)3.1.1.預(yù)期總目標(biāo)整合信息化建設(shè)資源，充分利用現(xiàn)有政府網(wǎng)站和政務(wù)(行政)服務(wù)中心基礎(chǔ)設(shè)施，結(jié)合集約化社區(qū)服務(wù)信息網(wǎng)絡(luò)平臺建設(shè)，對現(xiàn)有XX平臺進(jìn)行調(diào)整、升級和改造，滿足XX和政務(wù)服務(wù)應(yīng)用需要。具體包括：(1)采用云計(jì)算技術(shù)，結(jié)合創(chuàng)新建設(shè)模式，搭建標(biāo)準(zhǔn)統(tǒng)一、功能完善、系統(tǒng)穩(wěn)定、安全可靠、縱橫互通、集中統(tǒng)一的XX云計(jì)算平臺，為各部門信息資源共享、數(shù)據(jù)交換和系統(tǒng)辦公提供良好的支撐。(2)通過建設(shè)XX云計(jì)算平臺，方便未來將新增XX應(yīng)用快速部署到云計(jì)算平臺上，大大縮短新IT系統(tǒng)的上線時間，預(yù)期將節(jié)省設(shè)備30%,節(jié)約能耗50%。(3)解決“信息孤島”,實(shí)現(xiàn)信息共享，提高信息安全水平，提升政府監(jiān)控能力和響應(yīng)速度，提高工作效率和公共服務(wù)水平，提供面向社會的專業(yè)性服務(wù)和為社會公眾提供政務(wù)信息服務(wù)。(4)通過降低成本、提升效率、節(jié)能減排，滿足XX要貫徹落實(shí)科學(xué)發(fā)展觀，轉(zhuǎn)變發(fā)展模式的需要。(5)滿足在云計(jì)算平臺上搭建XX應(yīng)用系統(tǒng)的需要，包括以三層架構(gòu)為主的應(yīng)用系統(tǒng)，以及大訪問量的應(yīng)用系統(tǒng)、大數(shù)據(jù)處理量的應(yīng)用系統(tǒng)以及大計(jì)算量的應(yīng)用系統(tǒng)。云計(jì)算試點(diǎn)業(yè)務(wù)運(yùn)行穩(wěn)定之后，普及和推廣云計(jì)算模式，將XX系統(tǒng)、政府網(wǎng)站應(yīng)用系統(tǒng)、政務(wù)服務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)、電子監(jiān)察應(yīng)用系統(tǒng)等納入政務(wù)云計(jì)算平臺，通過建立政務(wù)服務(wù)事項(xiàng)信息庫、辦理過程信息庫、辦理結(jié)果信息庫、監(jiān)察規(guī)則信息庫、監(jiān)察業(yè)務(wù)信息庫等五個信息庫，實(shí)現(xiàn)政務(wù)服務(wù)和電子監(jiān)察信息資源管理。XX單位政務(wù)云計(jì)算建設(shè)的總體目標(biāo)是，實(shí)現(xiàn)省級政務(wù)系統(tǒng)數(shù)據(jù)共享，利用云計(jì)算彈性、智能、可回收的技術(shù)優(yōu)勢，低投資、低能耗、高效率地部署居民健康檔案系統(tǒng)、統(tǒng)計(jì)直報系統(tǒng)、生豬屠宰監(jiān)管與溯源系統(tǒng)等與政務(wù)職能工作相關(guān)的應(yīng)用系XX網(wǎng)絡(luò)、政府網(wǎng)站、業(yè)務(wù)管理系統(tǒng)、應(yīng)用及數(shù)據(jù)服務(wù)中心和信息安全保障體系等納入統(tǒng)一的政務(wù)云計(jì)算平臺。3.1.2.階段性目標(biāo)為滿足XX和政務(wù)服務(wù)試點(diǎn)工作的業(yè)務(wù)需求，基于網(wǎng)絡(luò)技術(shù)、云計(jì)算等新興IT技術(shù)手段，建設(shè)統(tǒng)一的XX承載平臺，根據(jù)XX和政務(wù)服務(wù)目錄，將更多的行政職權(quán)納入電子化平臺的業(yè)務(wù)系統(tǒng)辦理，建設(shè)覆蓋行政職權(quán)和便民服務(wù)事項(xiàng)辦理流程的各個環(huán)節(jié)的電子監(jiān)察體系。在初步階段基礎(chǔ)設(shè)施先行，建設(shè)XX單位XX統(tǒng)一基礎(chǔ)承載平臺，基于云計(jì)算的模式，融入虛擬化等技術(shù)，具備統(tǒng)一、共享的特性，可以承載XX、金宏工程等試點(diǎn)同時為下一階段進(jìn)一步開展云計(jì)算的PAAS、SAAS等業(yè)務(wù)平臺應(yīng)用，進(jìn)行經(jīng)驗(yàn)積累和技術(shù)探索。3.2.建設(shè)內(nèi)容本項(xiàng)目在充分整合XX數(shù)據(jù)中心資源的基礎(chǔ)上，配置必要軟硬件設(shè)備，為省直部門的信息系統(tǒng)提供統(tǒng)一的基礎(chǔ)設(shè)施服務(wù)，在laaS層構(gòu)建較為完整的XX云計(jì)算平臺。建設(shè)內(nèi)容包括以下幾部分：硬件設(shè)備：刀片服務(wù)器、機(jī)架式服務(wù)器、SAN存儲、NAS存儲、IP存儲、虛擬帶庫、易購存儲控制系統(tǒng)、SAN交換機(jī)、路由器、交換機(jī)、負(fù)載均衡、VPN網(wǎng)軟件設(shè)備：物理服務(wù)器和虛擬服務(wù)器的操作系統(tǒng)、虛擬化軟件、中間件、大型數(shù)據(jù)庫系統(tǒng)、云計(jì)算管理平臺。安全系統(tǒng)：防火墻、入侵防御、防毒墻、網(wǎng)頁防篡改、身份認(rèn)證系統(tǒng)、運(yùn)維安全審計(jì)系統(tǒng)、數(shù)據(jù)庫安全審計(jì)系統(tǒng)、漏洞掃描系統(tǒng)。同時采購專業(yè)機(jī)構(gòu)提供的云安全服務(wù)等。3.3.系統(tǒng)的總體結(jié)構(gòu)3.3.1.設(shè)計(jì)原則當(dāng)前階段云計(jì)算整個產(chǎn)業(yè)化還不夠成熟，相關(guān)標(biāo)準(zhǔn)還不完善。網(wǎng)絡(luò)是云計(jì)算的核心承載平臺，為保證多廠商的良好兼容性，避免廠商技術(shù)鎖定，網(wǎng)絡(luò)方案的設(shè)計(jì)應(yīng)需要采用標(biāo)準(zhǔn)技術(shù)與協(xié)議，能夠與第三方廠商保持良好的對接。此外，為保證方案的前瞻性，設(shè)備的選型應(yīng)充分考慮對云計(jì)算相關(guān)標(biāo)準(zhǔn)(如EVB/802.1Qbg,TRILL等)的擴(kuò)展支持能力，保證良好的先進(jìn)性，以適應(yīng)未來的技術(shù)發(fā)展。為保證數(shù)據(jù)業(yè)務(wù)網(wǎng)的核心業(yè)務(wù)的不中斷運(yùn)行，在網(wǎng)絡(luò)整體設(shè)計(jì)和設(shè)備配置上均是按照雙備份要求設(shè)計(jì)的。在網(wǎng)絡(luò)連接上消除單點(diǎn)故障，提供關(guān)鍵設(shè)備的故障切換。關(guān)鍵設(shè)備之間的物理鏈路采用雙路冗余連接，按照負(fù)載均衡方式或active方式工作。關(guān)鍵主機(jī)可采用雙路網(wǎng)卡來增加可靠性。全冗余的方式使系統(tǒng)達(dá)到99.999%的電信級可靠性。要求網(wǎng)絡(luò)具有設(shè)備/鏈中故障毫秒的保護(hù)倒換能力。具有良好擴(kuò)展性，網(wǎng)絡(luò)建設(shè)完畢并網(wǎng)后應(yīng)可以進(jìn)行大規(guī)模改造，服務(wù)器集群、軟件功能模塊應(yīng)可以不斷擴(kuò)展。良好的易用性。簡化系統(tǒng)結(jié)構(gòu)，降低維護(hù)量。對突發(fā)數(shù)據(jù)的吸附，緩解端口擁塞壓力，能保證業(yè)務(wù)的流暢性等。3、增強(qiáng)二層網(wǎng)絡(luò)云計(jì)算環(huán)境下，虛擬機(jī)遷移與集群是兩種典型的應(yīng)用模型，這兩種模型均需要二層網(wǎng)絡(luò)的支持。隨著云計(jì)算資源池的不斷擴(kuò)大，二層網(wǎng)絡(luò)的范圍正在逐步擴(kuò)大，甚至擴(kuò)展到多個數(shù)據(jù)中心內(nèi)，大規(guī)模部暑二層網(wǎng)絡(luò)則帶來一個必然的問題就是二層環(huán)路問題。采用傳統(tǒng)STP+VRRP技術(shù)部署二層網(wǎng)絡(luò)時會帶來部署復(fù)雜、鏈路利用率低、網(wǎng)絡(luò)收斂時間慢等諸多問題，因此網(wǎng)絡(luò)方案的設(shè)計(jì)需要重點(diǎn)考慮增強(qiáng)二層網(wǎng)絡(luò)技術(shù)(如IRF/VSS、TRILL、VPLS等)的應(yīng)用，以解決傳統(tǒng)技術(shù)帶來的問題。虛擬資源池化是網(wǎng)絡(luò)發(fā)展的重要趨勢，將可以大大提高資源利用率，降低運(yùn)營成本。應(yīng)有效開展服務(wù)器、存儲器的虛擬資源池化技術(shù)建設(shè)，網(wǎng)絡(luò)設(shè)備的虛擬化也應(yīng)進(jìn)行設(shè)計(jì)實(shí)現(xiàn)。服務(wù)器、存儲器、網(wǎng)絡(luò)及安全設(shè)備應(yīng)具備虛擬化功能。由于云計(jì)算網(wǎng)絡(luò)中的流量模型發(fā)生了變化，,而隨著整個云計(jì)算業(yè)務(wù)的開展，業(yè)務(wù)都分布在各個服務(wù)器上，流量模型從縱向流量轉(zhuǎn)換成復(fù)雜的多維度混合的方式，整個系統(tǒng)具有較高的吞吐能力和處理能力，系統(tǒng)各層均不存在阻塞，具備對突發(fā)流量的承受能力。6、開放接口為保證服務(wù)器、存儲、網(wǎng)絡(luò)等資源能夠被云計(jì)算運(yùn)營平臺良好的調(diào)度與管理，要求系統(tǒng)提供開放的API接口，云計(jì)算運(yùn)營管理平臺能夠通過API接口、命令行腳本實(shí)現(xiàn)對設(shè)備的配置與策略下發(fā)。節(jié)能減排是目前網(wǎng)絡(luò)建設(shè)的重要系統(tǒng)工程之一，從網(wǎng)絡(luò)機(jī)房的整體能耗來看，照明等輔助系統(tǒng)約占25%。所以作為IT設(shè)備的節(jié)能，不僅要考慮本身能耗比較低，而且要考慮其熱量對空調(diào)散熱系統(tǒng)的影響。應(yīng)采用低能耗的綠色網(wǎng)絡(luò)設(shè)備，采用多種方式降低系統(tǒng)功云計(jì)算是一種新型的計(jì)算資源利用模式。它將計(jì)算任務(wù)分布在大量計(jì)算機(jī)構(gòu)成的資源池上，使各種應(yīng)用系統(tǒng)能夠根據(jù)需要獲取計(jì)算力、存儲空間和信息服務(wù)。按照服務(wù)實(shí)現(xiàn)的程度，目前云計(jì)算主要有l(wèi)aaS、PaaS、SaaS三種業(yè)務(wù)模式：堪礎(chǔ)架構(gòu)服務(wù)(laaS)Iaas層是以服務(wù)的模式提供虛擬硬件資源，主要是將基礎(chǔ)設(shè)施資源(計(jì)算、存儲、網(wǎng)絡(luò)帶寬等)進(jìn)行虛擬化和池化管理，便于實(shí)現(xiàn)資源的動態(tài)分配、再分配和回收。目前資源池主要分為計(jì)算資源池、存儲資源池和網(wǎng)絡(luò)資源池，同時也包括軟件和數(shù)據(jù)等內(nèi)容資源池。在服務(wù)提供方面主要以計(jì)算資源、存儲資源提供為主，如為業(yè)務(wù)信息系統(tǒng)分配虛擬服務(wù)器、有儲空間，提供應(yīng)用服務(wù)器、數(shù)據(jù)庫管理系統(tǒng)等應(yīng)用系統(tǒng)運(yùn)行環(huán)境。2應(yīng)用平臺服務(wù)(PaaS)PaaS層主要提供應(yīng)用開發(fā)、測試和運(yùn)行的平臺，用戶可以基于該平臺，進(jìn)行應(yīng)用的快速開發(fā)、測試和部署運(yùn)行，它依托于云計(jì)算基礎(chǔ)架構(gòu)，把基礎(chǔ)架構(gòu)資源變成平臺環(huán)境提供給用戶和應(yīng)用。為業(yè)務(wù)信息系統(tǒng)提供軟件開發(fā)和測試環(huán)境，同時可以將各業(yè)務(wù)信息系統(tǒng)功能納入一個集中的SOA平臺上，有效地復(fù)用和編排組織內(nèi)部的應(yīng)用服務(wù)構(gòu)件，以便按需組織這些服務(wù)構(gòu)件。典型的如門戶網(wǎng)站平臺服務(wù)，可為用戶提供快速定制開發(fā)門戶網(wǎng)站提供應(yīng)用軟件平臺，用戶只需在此平臺進(jìn)行少量的定制開發(fā)即可快速部署應(yīng)用。SaaS軟件即服務(wù)，典型的運(yùn)用模式就是用戶通過標(biāo)準(zhǔn)的WEB瀏覽器來使用Internet上的軟件，因此可以不必購買軟件，只需要按需租用軟件，直接應(yīng)用。典型的如電子郵件系統(tǒng)的在線軟件服務(wù)，用戶只需作簡單的域名設(shè)置，即可部署本單位的電子郵件服務(wù)。鑒于云計(jì)算平臺應(yīng)用需求的提出是一個漸進(jìn)的過程，云平臺建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程，建議XX云計(jì)算平臺遵循長期規(guī)劃、分步實(shí)施的原則，本期工程首先實(shí)現(xiàn)laaS,后續(xù)工程根據(jù)應(yīng)用的實(shí)際需求逐步支持PaaS和SaaS的實(shí)現(xiàn)。T基礎(chǔ)架構(gòu)和應(yīng)用提供者云計(jì)算服務(wù)管理平臺映像管理部署映像庫虛擬化技術(shù)T基礎(chǔ)架構(gòu)和應(yīng)用提供者云計(jì)算服務(wù)管理平臺映像管理部署映像庫虛擬化技術(shù)重烈資報&某合服務(wù)請求操作終端用戶請求&操作員服務(wù)創(chuàng)建和實(shí)現(xiàn)&創(chuàng)建可用性/備份T談復(fù)性能監(jiān)拉部署服務(wù)目錄用戶請求界面用戶操作界面期春理圖1:XX云計(jì)算平臺總體拓?fù)浣Y(jié)構(gòu)圖根據(jù)本期工程的需求和建設(shè)目標(biāo)，XX云計(jì)算平臺總體邏輯拓?fù)浣Y(jié)構(gòu)如上圖所示。通過鏈路負(fù)載均衡器實(shí)現(xiàn)多互聯(lián)網(wǎng)出口(具體鏈路供應(yīng)商待定)鏈路負(fù)載均衡及高可用。任何ISP專線故障，不影響業(yè)務(wù)系統(tǒng)正常訪問；通過智能DNS系統(tǒng)實(shí)現(xiàn)接入用戶的就近訪問，即電信用戶訪問互聯(lián)網(wǎng)接入?yún)^(qū)走電信鏈路，聯(lián)通用戶訪問互聯(lián)網(wǎng)接入?yún)^(qū)走聯(lián)通鏈路。委虛擬化&資源池化硬件基礎(chǔ)設(shè)施股務(wù)題存銷兩絡(luò)其他信息安全體系運(yùn)營管理體系基礎(chǔ)服務(wù)專業(yè)服務(wù)XX單位XX云計(jì)算平臺云服務(wù)分層架構(gòu)圖如上圖所示。整個架構(gòu)分為三層和兩體系：基礎(chǔ)設(shè)施服務(wù)層(laaS)、平臺服務(wù)層(PaaS)、應(yīng)用軟件服務(wù)層(SaaS)、信息安全體系和運(yùn)營管理體系，其中信息安全體系和運(yùn)營管理體系有信息安全管理平臺和運(yùn)營管理平臺構(gòu)成。IAAS及管理、安全體系建設(shè)是本次的建設(shè)內(nèi)容，PAAS、SAAS在后續(xù)規(guī)劃建設(shè)。1基礎(chǔ)設(shè)施服務(wù)層包括硬件基礎(chǔ)設(shè)施子層、虛擬化&資源池化子層、資源調(diào)度與管理自動化子層。硬件基礎(chǔ)設(shè)施子層：包括主機(jī)、存儲、網(wǎng)絡(luò)及其他硬件在內(nèi)的硬件設(shè)備，它們是實(shí)現(xiàn)云計(jì)算的最基礎(chǔ)資源；虛擬化&資源池化層：通過虛擬化技術(shù)進(jìn)行整合，形成一個對外提供對資源的池化管理(包括網(wǎng)絡(luò)池、服務(wù)器池、存儲池等),同時通過云管理平臺，對外提供運(yùn)行環(huán)境等基礎(chǔ)服務(wù)。資源調(diào)度與管理自動化子層：在對資源(物理資源和虛擬資源)進(jìn)行有效監(jiān)控、管理的基礎(chǔ)上，并且通過對服務(wù)模型的抽取，提供彈性計(jì)算、負(fù)載均衡、動態(tài)遷移、按需供給、自動化部署等功能，它是實(shí)現(xiàn)云計(jì)算的關(guān)鍵所在。2平臺服務(wù)層主要在laaS之上提供統(tǒng)一的平臺化系統(tǒng)軟件支撐服務(wù)，包括統(tǒng)一身份認(rèn)證服務(wù)、訪問控制服務(wù)、工作流引擎服務(wù)、通用報表、決策支持等。這一層不同于以往傳統(tǒng)方式的平臺服務(wù)，這些平臺服務(wù)也要滿足云架構(gòu)的部署方式，通過虛擬化、集群、負(fù)載均衡等技術(shù)提供云狀態(tài)服務(wù)，可以根據(jù)需要隨時定制功能及相3、應(yīng)用軟件服務(wù)層，是整個XX對外提供的終端服務(wù)，可以劃分為基礎(chǔ)服務(wù)和專業(yè)服務(wù)?；A(chǔ)服務(wù)提供統(tǒng)一門戶登錄、統(tǒng)一通訊等功能，專業(yè)服務(wù)主要指XXXX的各種業(yè)務(wù)應(yīng)用如流動人口管理、GIS系統(tǒng)、行政審批、網(wǎng)上執(zhí)法等等。它們通過應(yīng)用部署模式相底層的稍微變化，都可以在云計(jì)算架構(gòu)下實(shí)現(xiàn)靈活的擴(kuò)展和管理。按需服務(wù)是XXXXSaaS應(yīng)用的核心理念，多租約SaaS應(yīng)用可以滿足不同政府用戶的個性化需求，通過多個租約向用戶提供有差別的服務(wù)，通過負(fù)載均衡滿足大并發(fā)量用戶服務(wù)訪問等。4云計(jì)算平臺信息安全管理體系，針對云計(jì)算平臺建設(shè)以高性能高可靠的網(wǎng)絡(luò)安全一體化防護(hù)體系、虛擬化為技術(shù)支撐的安全防護(hù)體系、集中的安全服務(wù)中心應(yīng)對無邊界的安全防護(hù)、利用云安全模式加強(qiáng)云端和客戶端的關(guān)聯(lián)耦合和采用非技術(shù)手段補(bǔ)充等保障云計(jì)算平臺的安全。5運(yùn)營管理體系：保障云計(jì)算平臺的正常運(yùn)行，提供故障管理、計(jì)費(fèi)管理、性能管理、配置管理、安全管理等等。3.4.信息的分類編碼體系信息分類編碼體系將遵循《政務(wù)信息資源目錄體系》(GB/T21063-2007)及相關(guān)業(yè)務(wù)、技術(shù)、數(shù)據(jù)標(biāo)準(zhǔn)和規(guī)范進(jìn)行標(biāo)準(zhǔn)化建設(shè)。(1)信息分類編碼設(shè)計(jì)遵循的主要原則分類和編碼的基本原則遵循GB/T7027-2002規(guī)定，采用混合分類法；分類類目編碼使用的羅馬字符和阿拉伯?dāng)?shù)字遵循GB18030-2000的規(guī)定。①唯一性原則：編碼要唯一識別，不能有二意性，不能重復(fù)；②標(biāo)準(zhǔn)化原則：盡量采用國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、部級標(biāo)準(zhǔn)及“數(shù)字XX”的標(biāo)準(zhǔn)③簡單化原則：代碼要簡單明了，易讀、易懂、易使用；④快捷性原則：有快速識別、快速輸入和計(jì)算機(jī)快速處理的性能；⑤系統(tǒng)性原則：要全面、系統(tǒng)地考慮編碼設(shè)計(jì)的體系結(jié)構(gòu)；⑥擴(kuò)充原則：可根據(jù)實(shí)際情況對主題分類進(jìn)行類目擴(kuò)充，擴(kuò)充的類目應(yīng)分別符合類目的設(shè)置規(guī)則，分類代碼的配置應(yīng)符合代碼結(jié)構(gòu)中的規(guī)定，并注意助記性。⑦映射原則：使用中若采用了主題分類以外的其他分類，應(yīng)建立這些分類的類目表與主題分類的雙向映射關(guān)系。⑧分類擴(kuò)展原則：在建立信息資源目錄體系時，目錄體系中的信息資源分類應(yīng)采用主題分類，也可根據(jù)具體應(yīng)用情況選擇其他分類方法與主題分類共同進(jìn)行分類，如部門分類、服務(wù)分類、資源形態(tài)分類等；若采用擴(kuò)展分類代碼，則其分類代碼的配置應(yīng)符合代碼結(jié)構(gòu)中的規(guī)定。(2)信息分類編碼框架體系根據(jù)實(shí)際情況，XX單位XX云計(jì)算平臺建設(shè)項(xiàng)目的信息分類編碼體系按信息技術(shù)①信息分類：包括適用于各種應(yīng)用系統(tǒng)的開發(fā)、數(shù)據(jù)庫系統(tǒng)的建設(shè)和數(shù)據(jù)交換的②代碼結(jié)構(gòu)：采用統(tǒng)一的代碼結(jié)構(gòu)，代碼編制規(guī)則：分類類別用1位大寫羅馬字1位大寫羅馬字符表示；二級類用1位大寫羅馬字符及2位阿拉伯?dāng)?shù)字表示。③術(shù)語和技術(shù)詞江：主要包括與信息化有關(guān)的術(shù)語標(biāo)準(zhǔn)，XX云計(jì)算平臺建設(shè)過程中遇到的主要名詞、術(shù)語和技術(shù)詞匯。④項(xiàng)目管理和建設(shè)標(biāo)準(zhǔn)：根據(jù)國家的有關(guān)規(guī)定，規(guī)范項(xiàng)目系統(tǒng)的管理和運(yùn)行機(jī)制；制定XX云計(jì)算平臺建設(shè)項(xiàng)目實(shí)施及管理的有關(guān)規(guī)程。⑤系統(tǒng)的管理和運(yùn)行機(jī)制：規(guī)范項(xiàng)目系統(tǒng)的管理和運(yùn)行機(jī)制；⑥計(jì)算機(jī)通信網(wǎng)絡(luò)：包括計(jì)算機(jī)通信和網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)、技術(shù)規(guī)范、管理規(guī)范⑦信息安全：適用與信息安全有關(guān)的信息技術(shù)應(yīng)用系統(tǒng)建設(shè)。(1)系統(tǒng)質(zhì)量保證體系將遵循“數(shù)字XX”的系統(tǒng)設(shè)計(jì)標(biāo)準(zhǔn)

建立質(zhì)量控制流程；

制定系統(tǒng)測試的標(biāo)準(zhǔn)和方法；

在每個階段規(guī)范項(xiàng)目工作和改進(jìn)項(xiàng)目質(zhì)量。(2)本項(xiàng)目將制定系統(tǒng)設(shè)計(jì)規(guī)范包括程序名、文件名和變量的規(guī)范化以及數(shù)據(jù)字

項(xiàng)目規(guī)劃與系統(tǒng)實(shí)施方案；

系統(tǒng)體系架構(gòu)及描述；

系統(tǒng)軟件功能設(shè)計(jì)說明書；

系統(tǒng)概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)說明書；

系統(tǒng)測試方案及測試分析報告；

系統(tǒng)安裝維護(hù)手冊、用戶使用手冊；

系統(tǒng)故障及應(yīng)急處理預(yù)案說明書4章.建設(shè)方案基于本期XX單位XX云計(jì)算平臺的建設(shè)思路一一搭建基于laaS層面的云計(jì)算平臺，如何采用云計(jì)算技術(shù)建立動態(tài)的IT資源平臺，并使之具備快速IT服務(wù)交付能力，進(jìn)而通過動態(tài)的IT架構(gòu)來應(yīng)對有關(guān)省直單位XX業(yè)務(wù)發(fā)展的需要；將應(yīng)用和業(yè)務(wù)從底層的IT資源中分離出來，提高系統(tǒng)的可移植性，并能夠充分利用更加優(yōu)化的系統(tǒng)和網(wǎng)絡(luò)資源以提高效率、降低整體成本是本期建設(shè)方案需要重點(diǎn)解決的問題。為此，我們建議以XX應(yīng)用系統(tǒng)為頂層架構(gòu)來搭建XX單位XX云計(jì)算資源池，它是由計(jì)算資源池、存儲資源池、網(wǎng)絡(luò)資源池、XX應(yīng)用程序以及運(yùn)營管理平臺共同組成，運(yùn)營管理平臺負(fù)責(zé)對資源池和應(yīng)用進(jìn)行管理調(diào)度及告警監(jiān)控。其組成框架如下圖所示。理平臺圖3:資源池組成框架圖以下針對XX云計(jì)算資源池的各組成部分分別進(jìn)行具體闡述。4.1.1.組網(wǎng)物理拓?fù)鋱D云計(jì)算平臺組網(wǎng)物理拓?fù)淙缦聢D所示：政務(wù)外網(wǎng)圖4:XX云計(jì)算平臺組網(wǎng)物理拓?fù)鋱D本工程新增3根移動專線接入，單根200Mpbs帶寬。一根為XX互聯(lián)網(wǎng)接入?yún)^(qū)對外提供服務(wù)用，一根用于VPN專線，一根用于XX辦公人員訪問互聯(lián)網(wǎng)使用。整個云計(jì)算平臺在組網(wǎng)設(shè)計(jì)上滿足雙網(wǎng)雙平面結(jié)構(gòu)，從網(wǎng)絡(luò)接口、網(wǎng)絡(luò)鏈路到關(guān)鍵網(wǎng)絡(luò)設(shè)備均配置冗余部件。在網(wǎng)絡(luò)接口上每臺物理服務(wù)器至少配置3張網(wǎng)卡，分別用于業(yè)務(wù)服務(wù)、虛擬化平臺宿主機(jī)管理、IP存儲系統(tǒng)互聯(lián)。業(yè)務(wù)服務(wù)網(wǎng)絡(luò)根據(jù)業(yè)務(wù)屬性不同，通過MPLSVPN劃分為公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、專用網(wǎng)絡(luò)區(qū)。虛在匯聚層旁掛防火墻、隔離網(wǎng)閘、運(yùn)維審計(jì)、數(shù)據(jù)庫審計(jì)系統(tǒng)等安全設(shè)備。其中防火墻用于實(shí)現(xiàn)同一網(wǎng)絡(luò)區(qū)域中不同業(yè)務(wù)系統(tǒng)的之間的安全隔離；隔離網(wǎng)閘用于在MPLSVPN隔離的不同網(wǎng)絡(luò)區(qū)域之間進(jìn)行安全數(shù)據(jù)交換，同時用于XX和XX之間的數(shù)據(jù)安全交換。網(wǎng)絡(luò)負(fù)載均衡分鏈路負(fù)載均衡和本地負(fù)載均衡，總體邏輯示意圖如下圖所示：圖5:網(wǎng)絡(luò)負(fù)載均衡示意圖.鏈路負(fù)載均衡設(shè)計(jì)如上圖所示，將移動互聯(lián)網(wǎng)專線和電信互聯(lián)網(wǎng)專線接入鏈路負(fù)載均衡器，鏈路負(fù)Internet鏈路進(jìn)行流量路由和控制帶寬服務(wù)水平實(shí)現(xiàn)多互聯(lián)網(wǎng)接入的高可用性。鏈路負(fù)載均衡器將多條互聯(lián)網(wǎng)線路進(jìn)行虛擬化處理，保障用戶從最好的線路訪問內(nèi)外部資源。任意一條ISP線路中斷，都不會對服務(wù)造成任何影響。通過鏈路負(fù)載均衡器可實(shí)現(xiàn)ISP接入線路的無縫擴(kuò)展。1)OutBound流量負(fù)載均衡XX辦公人員訪問互聯(lián)網(wǎng)的流量到達(dá)鏈路負(fù)載均衡器時，將通過鏈路負(fù)載均衡器多種鏈路狀態(tài)檢測結(jié)果選擇最佳出口鏈路，提升用戶體驗(yàn)。為使移動用戶和電信用戶通過不同互聯(lián)網(wǎng)鏈路訪問互聯(lián)網(wǎng)接入?yún)^(qū)應(yīng)用系統(tǒng)，鏈路負(fù)載均衡器的智能DNS解析功能將不同用戶訪問的域名解析成不同的公網(wǎng)IP地址，加速應(yīng)用訪問，提升用戶體驗(yàn)。本工程新增本地負(fù)載均衡器兩臺，旁掛于匯聚交換機(jī)。實(shí)現(xiàn)對服務(wù)器的負(fù)載均衡。本地負(fù)載均衡器可以保障內(nèi)部資源的容錯性，內(nèi)部任何一個應(yīng)用節(jié)點(diǎn)出現(xiàn)問題都不會對用戶造成任何的影響，本地負(fù)載均衡器能夠自動的屏蔽有問題的應(yīng)用節(jié)點(diǎn)，讓其停止對外服務(wù)，同時把該故障節(jié)點(diǎn)上的用戶遷移到其他正常的節(jié)點(diǎn)上去。匯聚層本地負(fù)載均衡器可以虛擬成為多個設(shè)備，滿足XX不同分區(qū)的安全隔離要XX業(yè)務(wù)系統(tǒng)以B/S架構(gòu)為主，目前的WEB應(yīng)用都包含了大量的圖片，javascript,CSS文件等，這些文件的重復(fù)傳輸不但給服務(wù)器造成了壓力，同時也使得用戶的體驗(yàn)受到了影響。本地負(fù)載均衡器通過HTTP壓縮的方式來節(jié)省帶寬以及提高訪問速度。通過靜態(tài)文件和動態(tài)文件的cache.文件壓縮，瀏覽器端文件cache控制等優(yōu)化技術(shù)，來提供對WEB應(yīng)用進(jìn)行加速，提高用戶訪問速度。使用本地負(fù)載均衡器開放的API接口可以實(shí)現(xiàn)和云計(jì)算管理平臺的集成。4.1.3.網(wǎng)絡(luò)虛擬化設(shè)計(jì).云計(jì)算對傳統(tǒng)網(wǎng)絡(luò)的挑戰(zhàn)傳統(tǒng)的網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)依據(jù)高可靠思路，形成了冗余復(fù)雜的網(wǎng)狀網(wǎng)結(jié)構(gòu)，結(jié)構(gòu)化網(wǎng)狀網(wǎng)的物理拓?fù)湓诒３指呖煽?、故障容錯、提升性能上有著極好的優(yōu)勢，是通用設(shè)計(jì)規(guī)則。云計(jì)算的大規(guī)模運(yùn)營，給傳統(tǒng)網(wǎng)絡(luò)架構(gòu)和傳統(tǒng)應(yīng)用部署都帶來了挑戰(zhàn)，新一代網(wǎng)絡(luò)支撐這種巨型的計(jì)算服務(wù)，不論是技術(shù)革新還是架構(gòu)變化，都需要服務(wù)于云計(jì)算的核心要求，動態(tài)、彈性、靈活，并實(shí)現(xiàn)網(wǎng)絡(luò)部署的簡捷化。具體來說傳統(tǒng)網(wǎng)絡(luò)面臨的挑戰(zhàn)主要有以下幾點(diǎn)：一一傳統(tǒng)網(wǎng)絡(luò)的復(fù)雜性在實(shí)際的運(yùn)維中，管理人員承擔(dān)了極其繁冗的工作量；一一云計(jì)算平臺下多虛擬機(jī)部署在同一臺物理服務(wù)器上運(yùn)，服務(wù)器的利用率從20%提高到80%,服務(wù)器端口流量大幅提升，對網(wǎng)絡(luò)性能提出更高要求；一一云計(jì)算平臺中，虛擬機(jī)在物理服務(wù)器之間進(jìn)行遷移，為了避免虛擬機(jī)遷移后路由的震蕩和修改網(wǎng)絡(luò)規(guī)劃，遷移通常只在在二層域進(jìn)行，因此云計(jì)算平臺需要具備一個性能更高、二層域更大的網(wǎng)絡(luò)環(huán)境為遷移提供保障。通過分析云計(jì)算對傳統(tǒng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)帶來的挑戰(zhàn)，我們可以從兩個方面來應(yīng)對。一是通過構(gòu)建高性能、高可靠的網(wǎng)絡(luò)，從而滿足云計(jì)算給網(wǎng)絡(luò)帶來的壓力；二是通過構(gòu)建虛擬化網(wǎng)絡(luò)來滿足云計(jì)算中由于虛擬機(jī)部署、遷移、以及安全策略實(shí)施對網(wǎng)絡(luò)提出的靈活性、安全性的要求?？偟膩碚f，為滿足云計(jì)算的業(yè)務(wù)要求，統(tǒng)一的基礎(chǔ)網(wǎng)絡(luò)要素必然包括：高性能交換、虛擬化應(yīng)用、透明化交換。.高性能二層網(wǎng)絡(luò)為提供一個性能更高、二層域更大的網(wǎng)絡(luò)環(huán)境，本工程新增核心交換機(jī)和匯聚交換機(jī)通過交換機(jī)虛擬化技術(shù)(華三IRF2、思科VSS)分別虛擬成一臺邏輯設(shè)備，減少了設(shè)備節(jié)點(diǎn)，簡化了配置。通過跨設(shè)備鏈路聚合技術(shù)取代傳統(tǒng)部署方式中的STP+VRRP協(xié)議，使網(wǎng)絡(luò)拓?fù)渥兊煤啙崳邆涓鼜?qiáng)的擴(kuò)展性；同時，其毫秒級的故障收斂時間，為虛擬機(jī)遷移提供了更加寬松的實(shí)現(xiàn)環(huán)境。虛擬化接入交換機(jī)接入交換機(jī)圖6:交換機(jī)橫向虛擬化經(jīng)過二層透明化改造后，云計(jì)算平臺的匯聚接入層是一個透明二層網(wǎng)絡(luò)。不同業(yè)務(wù)(虛擬服務(wù)器)接入不同的二層VLAN,但同一個業(yè)務(wù)(虛擬服務(wù)器)可以在不同網(wǎng)絡(luò)分區(qū)里靈活部署與遷移，滿足了云計(jì)算的要求；同時，匯聚層以上進(jìn)行的是VPN標(biāo)簽交換與路由轉(zhuǎn)發(fā)，又保證了不同業(yè)務(wù)(虛擬服務(wù)器)的安全隔離。.網(wǎng)絡(luò)服務(wù)虛擬化為滿足不同XX分區(qū)的安全隔離要求，本項(xiàng)目在云計(jì)算平臺的匯聚層部署有匯聚交換機(jī)、防火墻、IPS、負(fù)載均衡器等設(shè)備。傳統(tǒng)網(wǎng)絡(luò)下，將為不同分區(qū)單獨(dú)配置一套安全設(shè)備，設(shè)備利用率低，運(yùn)維管理復(fù)雜。在云計(jì)算平臺下，通過網(wǎng)絡(luò)服務(wù)虛擬化，統(tǒng)一建設(shè)一套性能強(qiáng)大、可擴(kuò)展性良好的網(wǎng)絡(luò)服務(wù)設(shè)備，滿足為不同分區(qū)提供安全、應(yīng)用加速等服務(wù)。負(fù)載均衡防火墻匯聚層交換機(jī)也通過虛擬化技術(shù)多實(shí)例，每個模擬出的交換機(jī)都擁有它自身的軟件進(jìn)程、專用硬件資源(接口)和獨(dú)立的管理環(huán)境，可以實(shí)現(xiàn)獨(dú)立的安全管理界限劃分和故障隔離域。有助于將分立網(wǎng)絡(luò)整合為一個通用基礎(chǔ)設(shè)施，保留物理上獨(dú)立的網(wǎng)絡(luò)的管理界限劃分和故障隔離特性，并提供單一基礎(chǔ)設(shè)施所擁有的多種運(yùn)營成本優(yōu)勢。如下圖所示：質(zhì)質(zhì)交換機(jī)D虛擬虛擬交換機(jī)C圖8:交換機(jī)縱向虛擬化VMware分布式虛擬交換機(jī)功能滿足網(wǎng)絡(luò)分區(qū)條件下，虛擬主機(jī)在線遷移等功能虛擬交換機(jī)是構(gòu)成虛擬平臺網(wǎng)絡(luò)的關(guān)鍵角色，VMware虛擬化通過VMware使虛擬機(jī)跨多個主機(jī)移動時始終處于同一個VLAN內(nèi)，它為虛擬機(jī)在物理服務(wù)器之間移動時監(jiān)視和保持其安全性提供了一個框NETSTATE在多網(wǎng)絡(luò)分區(qū)環(huán)境時，VMware通過虛擬交換機(jī)的VLANTRUNK,當(dāng)一個端口啟用了TRUNK功能后，就具備端口聚合的功效，會自動檢測流向此端口的所有流量，并把不同VLAN的流量導(dǎo)向物理交換機(jī)上相應(yīng)的VLAN中。在一臺ESX主機(jī)上由多個千兆網(wǎng)卡綁定在一起(組合成vSwitch)提供VM對外通訊的流量，并與物理交換機(jī)上的多個啟用了TRUNK功能的端口相連接。此時VMs分別在VLAN1、VLAN2、VLAN3上，同時在物理交換機(jī)上也有同樣ID的VLAN。那么,在VLAN1中的虛擬機(jī)，就可以和與物理交換機(jī)上VLAN1中的端口相連的機(jī)器相互通訊。同時實(shí)現(xiàn)虛擬化服務(wù)器在多網(wǎng)絡(luò)分區(qū)間的動態(tài)遷移。xenserver5.6FPI就實(shí)現(xiàn)對虛擬交換機(jī)的支持，而且自verxenserver5.6SP2開始也實(shí)現(xiàn)了分布式的虛擬交換機(jī)功能。Xen-Motion是CitrixXenserver的動態(tài)遷移技術(shù)，當(dāng)然，該系列4款虛擬化產(chǎn)品中，目前只有最高等級的白金版和企業(yè)版才具備這項(xiàng)功能，至于標(biāo)準(zhǔn)版及完全免費(fèi)的Express精簡版則無此項(xiàng)能力。不但是CITRIX旗下的虛擬化產(chǎn)品，其他基于Xen技術(shù)開發(fā)出來的虛擬化產(chǎn)品，例如VirtualIron,也具備相似的動態(tài)遷移功能LiveMigrate,除了免費(fèi)提供的個人版之外，需要付款購買的企業(yè)版及企業(yè)加強(qiáng)版具有內(nèi)置該項(xiàng)功能。4.1.4.?p地址及DNS規(guī)劃XXXX云計(jì)算平臺新增兩個獨(dú)立網(wǎng)段，一個用于云平臺及虛擬機(jī)宿主機(jī)之間通信，一個用于云計(jì)算平臺內(nèi)IP存儲系統(tǒng)網(wǎng)互聯(lián)；業(yè)務(wù)系統(tǒng)的IP地址和NDS規(guī)劃，沿用當(dāng)前XX統(tǒng)一規(guī)劃。具體參考實(shí)施意見《XXXXIP地址規(guī)劃及管理規(guī)范》和《XX政府外網(wǎng)DNS及設(shè)備命名規(guī)范》。.IP地址規(guī)劃原則XX單位XXIP地址規(guī)劃遵從國信辦和國家外網(wǎng)工程辦有關(guān)規(guī)定和指導(dǎo)意IP地址規(guī)劃主要涉及到網(wǎng)絡(luò)資源利用的方便有限的管理網(wǎng)絡(luò)的問題，公有地址相對緊張的情況下，合理有效的利用IP地址成為IP地址規(guī)劃的主要問題，合理的IP地址規(guī)劃是有利于網(wǎng)絡(luò)管理的；IP地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。對于外網(wǎng)廣域骨干網(wǎng)IP地址的分配應(yīng)該采用國家XX工程辦分配的合法地址空間，充分考慮到地址空間的合理利用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布；IP地址的規(guī)劃和劃分應(yīng)該考慮到網(wǎng)絡(luò)的后續(xù)規(guī)模和業(yè)務(wù)上的發(fā)展，能夠滿足未來發(fā)展的需要；既要滿足本期工程對IP地址的需求，同時要充分考慮未來的業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段；IP地址的分配需要有足夠靈活性，能滿足各種用戶接入需要；地址分配是有業(yè)務(wù)驅(qū)動，按照業(yè)務(wù)量的大小分配各地的地址段；IP地址的分配必須采用VLSM(變長掩碼)技術(shù)，保證IP地址的利用效率；采用CIDR技術(shù)，這樣可以減小路由器路由表的大小，加快路由的收斂速度，也可以減小網(wǎng)絡(luò)廣播的路由信息的大小；充分合理利用已申請的地址空間，提高地址的利用效率；IP地址的規(guī)劃應(yīng)該是XX廣域骨干整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。IP地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層次相對應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃。.IP地址規(guī)劃總體規(guī)劃根據(jù)國家外網(wǎng)工程辦的規(guī)定，XXXX云平臺的公用網(wǎng)絡(luò)區(qū)使用國家申請的IP互聯(lián)網(wǎng)區(qū)供互聯(lián)網(wǎng)訪問的設(shè)備的IP目前有省電信、省移動提供外網(wǎng)地址，數(shù)量考慮上留有余地。互聯(lián)網(wǎng)區(qū)XX移動提供有3根互聯(lián)網(wǎng)專線，每條專線提供一個C類外網(wǎng)IP地址段，共3個C類地址段供本平臺使用。XX單位XX橫向需要互聯(lián)各個政府部門，縱向需要打通省，設(shè)區(qū)市、縣、鄉(xiāng)鎮(zhèn)(街道)四級部門單位，在外網(wǎng)地址規(guī)劃中，使用綜合地址規(guī)劃方案，采用公有地址和私有地址雙軌并行的辦法，在公有地址不夠時，允許采用私有地址作為部門單位的XX業(yè)務(wù)地址。XX承載三種不同的網(wǎng)絡(luò)業(yè)務(wù)，為了最大程度地減少不同網(wǎng)絡(luò)業(yè)務(wù)區(qū)IP地址網(wǎng)絡(luò)業(yè)務(wù)區(qū)地址空間(建議的)用戶地址空間公用網(wǎng)絡(luò)區(qū)互聯(lián)網(wǎng)接入?yún)^(qū)專用網(wǎng)絡(luò)區(qū)云計(jì)算平臺管理云計(jì)算平臺存儲IP網(wǎng)絡(luò)業(yè)務(wù)地址從相應(yīng)的業(yè)務(wù)網(wǎng)絡(luò)區(qū)地址空間中劃分。.DNS域名體系結(jié)構(gòu)XX單位XX升級和社區(qū)市網(wǎng)絡(luò)分別采用獨(dú)立的三級域名。域名由根域和若干個子域名用“.”連接而成，作為根域名，采用級政府組成部門咋XX設(shè)置服務(wù)器后，應(yīng)將服務(wù)器的IP地址和對應(yīng)的域名在省電子網(wǎng)XX管中心注冊。域名及DNS均向XX網(wǎng)管中心域名冊；可在9個設(shè)區(qū)市市分別建立子域();各單位若需注冊,需在XX外網(wǎng)管理中心備案之后向國家外網(wǎng)管理中心注冊。.集成智能DNS系統(tǒng)本工程新增2臺鏈路負(fù)載均衡器，實(shí)現(xiàn)智能DNS解析功能。XX互聯(lián)網(wǎng)接入?yún)^(qū)應(yīng)用系統(tǒng)的DNS域名系統(tǒng)需與鏈路負(fù)載均衡器的智能DNS系統(tǒng)進(jìn)行集成。通過對系統(tǒng)原有DNS授權(quán)域服務(wù)器配置進(jìn)行修改，將動態(tài)記錄委派到鏈路負(fù)載均衡器上進(jìn)行解析，再返回給發(fā)起DNS請求的用戶。根據(jù)解析結(jié)果引導(dǎo)用戶請求到不同的運(yùn)營商鏈路，實(shí)現(xiàn)就近訪問。.網(wǎng)絡(luò)安全域劃分與隔離根據(jù)國家XX所承載的業(yè)務(wù)和系統(tǒng)服務(wù)類型的不同，在邏輯上，將國家XX劃分為公用網(wǎng)絡(luò)區(qū)(Global)、專用網(wǎng)絡(luò)區(qū)(VPN)和互聯(lián)網(wǎng)接入?yún)^(qū)(Internet)三個功能域，分別提供國家XX互聯(lián)互通業(yè)務(wù)、專用VPN業(yè)務(wù)和用戶G-C業(yè)務(wù)跨部門全換支交互通平臺認(rèn)證服務(wù)公共網(wǎng)絡(luò)服務(wù)交換互聯(lián)網(wǎng)服務(wù)政務(wù)外網(wǎng)安全接入平臺專用網(wǎng)絡(luò)區(qū)公用網(wǎng)絡(luò)區(qū)互聯(lián)網(wǎng)接入?yún)^(qū)G-B業(yè)務(wù)企業(yè)圖10:XXMPLSVPN分區(qū)示意圖公用網(wǎng)絡(luò)區(qū)：采用國家XX公用地址(即從NNNIC注冊的地址)的網(wǎng)絡(luò)區(qū)域，是國家XX的主干道，實(shí)現(xiàn)各部門、各地區(qū)互聯(lián)互通，為跨地區(qū)、跨部門的業(yè)務(wù)應(yīng)用提供支撐平臺。互聯(lián)網(wǎng)接入?yún)^(qū)：是各級政務(wù)部門通過邏輯隔離手段安全接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)區(qū)域，滿足各級政務(wù)部門公共服務(wù)業(yè)務(wù)應(yīng)用的需要。專用網(wǎng)絡(luò)區(qū)：是依托國家XX基礎(chǔ)設(shè)施，為有特定需求的部門或業(yè)務(wù)設(shè)置的VPN網(wǎng)絡(luò)區(qū)域，實(shí)現(xiàn)不同部門或不同業(yè)務(wù)之間的相互隔離，VPN網(wǎng)絡(luò)區(qū)域主要為少數(shù)部門的特定業(yè)務(wù)數(shù)據(jù)傳輸提供安全通道。通過MPLSVPN技術(shù)運(yùn)用，三個業(yè)務(wù)區(qū)之間邏輯隔離，不能互訪。升級XX數(shù)據(jù)中心分為四個區(qū)，這四個區(qū)分屬于三個業(yè)務(wù)隔離區(qū)，對應(yīng)關(guān)系如下表：表4:政務(wù)外網(wǎng)業(yè)務(wù)區(qū)和數(shù)據(jù)中心功能區(qū)對應(yīng)關(guān)系表網(wǎng)絡(luò)業(yè)務(wù)區(qū)數(shù)據(jù)中心功能區(qū)公用網(wǎng)絡(luò)區(qū)(Global)數(shù)據(jù)交換共享區(qū)/綜合管理控制區(qū)專用網(wǎng)絡(luò)區(qū)(VPN)部門服務(wù)器托管區(qū)互聯(lián)網(wǎng)接入?yún)^(qū)(Internet)公共服務(wù)平臺區(qū)某些業(yè)務(wù)系統(tǒng)需要跨公用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)部署，也有些需要跨專用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)部署，為了保證安全，需要進(jìn)行邏輯隔離，在公用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)間部署一個網(wǎng)閘，同時在專用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)也部署一個網(wǎng)閘。除以上從業(yè)務(wù)系統(tǒng)層劃分為公用網(wǎng)絡(luò)區(qū)、專用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)外，還需為云計(jì)算平臺管理和IP存儲子系統(tǒng)劃分2個獨(dú)立網(wǎng)絡(luò)區(qū)域，實(shí)現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)、管理網(wǎng)絡(luò)、IP存儲網(wǎng)絡(luò)的安全邏輯隔離。4.1.5.網(wǎng)絡(luò)端口資源估算關(guān)于匯聚層交換機(jī)端口配置，接入服務(wù)器建議用千兆以太網(wǎng)電口，網(wǎng)絡(luò)設(shè)備間互聯(lián)用萬兆以太網(wǎng)口。本期新增機(jī)架服務(wù)器XX臺，單臺服務(wù)器配置XX千兆以太網(wǎng)電口，共需XXX口千兆以太網(wǎng)電口，刀片服務(wù)器XX臺，占用X個刀片服務(wù)器機(jī)框，每機(jī)框?qū)ν釾X口千兆以太網(wǎng)電口，共XX口，合計(jì)連接服務(wù)器需要XXX口千兆以太網(wǎng)電口；匯聚交換機(jī)與防火墻、負(fù)載均衡器等匯聚網(wǎng)絡(luò)設(shè)備需等需要萬兆口互聯(lián)，考慮一定端口冗余，本期建議配置X臺匯聚交換機(jī)，單臺配置10/100/1000M電口不少于XX個；千兆光口不少于XX個、萬兆以太網(wǎng)光口不少于XX個并配置相應(yīng)數(shù)量多模光纖模塊。4.2.1.計(jì)算資源池架構(gòu)理服務(wù)器利用率大幅度消減物理服務(wù)器購置需求、數(shù)量和運(yùn)營成本；通過利用服務(wù)器虛擬化中CPU、內(nèi)存、I0資源的動態(tài)調(diào)整能力實(shí)現(xiàn)對業(yè)務(wù)應(yīng)用資源需求的動態(tài)響應(yīng)，提升業(yè)務(wù)應(yīng)用的服務(wù)質(zhì)量；通過在線虛擬機(jī)遷移實(shí)現(xiàn)更高的可用性和可靠性以及各種基于資源優(yōu)化或節(jié)能減排策略的跨物理服務(wù)器的調(diào)度等等。因此，服務(wù)器虛擬化技術(shù)是新一代數(shù)據(jù)中心最理想的解決方案。服務(wù)器虛擬化架構(gòu)設(shè)計(jì)是服務(wù)器虛擬化技術(shù)運(yùn)用的核心，直接決定了整個服務(wù)器資源體系對應(yīng)用系統(tǒng)的承載能力、運(yùn)行效率以及可靠性。XX云計(jì)算資源池由機(jī)架式服務(wù)器、刀片服務(wù)器構(gòu)成；刀片服務(wù)器通過服務(wù)器虛擬化部署一般業(yè)務(wù)系統(tǒng)和web應(yīng)用系統(tǒng)。機(jī)架式服務(wù)器用于部署管理平臺和高負(fù)載數(shù)據(jù)庫服務(wù)器等。服務(wù)器虛擬化架構(gòu)圖如下所示：0刀片服務(wù)器機(jī)架服務(wù)器機(jī)架式服務(wù)器刀片服務(wù)器中國移動XX平臺所承載的應(yīng)用系統(tǒng)分為大訪問量應(yīng)用系統(tǒng)、大計(jì)算量應(yīng)用系統(tǒng)、大數(shù)據(jù)量應(yīng)用系統(tǒng)三類。.大訪問量應(yīng)用系統(tǒng)大訪問量應(yīng)用系統(tǒng)如政府門戶網(wǎng)站、氣象查詢等web類應(yīng)用系統(tǒng)，這類應(yīng)用的特點(diǎn)是業(yè)務(wù)邏輯簡單，不同業(yè)務(wù)請求互不關(guān)聯(lián)，但請求的并發(fā)量根據(jù)業(yè)務(wù)特點(diǎn)不同可能很大，如水利信息網(wǎng)在災(zāi)害天氣下訪問量將劇增。大訪問量應(yīng)用系統(tǒng)要求對大量互不關(guān)聯(lián)的并發(fā)請求進(jìn)行快速響應(yīng)。這種情況下，需要應(yīng)用服務(wù)器有足夠數(shù)量的線程響應(yīng)請求，而單個線程計(jì)算量不大，因而對單個CPU處理性能要求不高，可通過提供足夠CPU用服務(wù)器數(shù)量來滿足需求。XX云計(jì)算平臺通過虛擬化技術(shù)為大訪問量應(yīng)用系統(tǒng)部署是大小配置的虛擬機(jī)作為應(yīng)用服務(wù)器，多應(yīng)用服務(wù)器工作在負(fù)載均衡模式，提升用戶使用體驗(yàn)。大訪問量應(yīng)用系統(tǒng)對數(shù)據(jù)庫要求不高，配置一般虛擬機(jī)即可滿足要求。.大計(jì)算量應(yīng)用系統(tǒng)大計(jì)算量應(yīng)用系統(tǒng)如數(shù)字城管、GIS地理信息系統(tǒng)等復(fù)雜信息處理系統(tǒng)，這樣應(yīng)用的特點(diǎn)是計(jì)算量較大、運(yùn)算復(fù)雜、內(nèi)存需求大，對服務(wù)器計(jì)算性能要求高。建議配置單一高性能虛擬服務(wù)器。大計(jì)算量應(yīng)用系統(tǒng)對數(shù)據(jù)庫要求不高，配置一般虛擬機(jī)即可滿足要求。大計(jì)算量應(yīng)用系統(tǒng)流動人口管理、社保管理系統(tǒng)等。根據(jù)數(shù)據(jù)庫儲存模式不同，可分為文件型和數(shù)據(jù)庫的系統(tǒng)。數(shù)據(jù)庫型大量數(shù)據(jù)量應(yīng)用系統(tǒng)要求較高性能數(shù)據(jù)庫服務(wù)器。建議配置強(qiáng)大的數(shù)據(jù)庫服務(wù)器，提供足夠的CPU、Memory及IO性能來處理大量的數(shù)據(jù)，根據(jù)應(yīng)用系統(tǒng)重要級別，數(shù)據(jù)庫服務(wù)器可以選用虛擬物理器或物理服務(wù)器，應(yīng)用服務(wù)器業(yè)務(wù)邏輯簡單，對配置要求不高，配置虛擬機(jī)即可滿足要求。文件型大數(shù)據(jù)兩應(yīng)用系統(tǒng)基礎(chǔ)數(shù)據(jù)量大，通過傳統(tǒng)的集中儲存方式，存儲并發(fā)讀寫IO能力無法滿足計(jì)算資源要求，建議通過并行計(jì)算模型實(shí)現(xiàn)。根據(jù)業(yè)務(wù)計(jì)算特點(diǎn)，服務(wù)器可靈活選擇虛擬機(jī)或物理服務(wù)器。4.2.3.計(jì)算資源池建議配置與選型建議.計(jì)算資源池建議配置經(jīng)咨詢H3C、IBM、HP、微軟、紅帽、VMware等行業(yè)主流云計(jì)算常商，云計(jì)算平臺的建設(shè)，從避免浪費(fèi)和規(guī)模效應(yīng)的角度考慮，最佳實(shí)踐經(jīng)驗(yàn)是從50臺物理服務(wù)器的規(guī)模開始建設(shè)，然后根據(jù)實(shí)際業(yè)務(wù)發(fā)展情況按需擴(kuò)容、滾動建設(shè)。本期工程以XX單位XX的實(shí)際情況為基礎(chǔ)參照行業(yè)主流云計(jì)算廠商的建議進(jìn)行設(shè)計(jì)考慮?？紤]不同業(yè)務(wù)系統(tǒng)的負(fù)載差異，本期工程同時配置刀片服務(wù)器和機(jī)架式服務(wù)參考各廠商建議，用作WEB服務(wù)器時，一臺物理服務(wù)器最多可以虛擬12臺虛擬機(jī)；用作應(yīng)用服務(wù)器時，一臺物料服務(wù)器最多可以虛擬7臺虛擬機(jī).。本工程，刀片10臺虛擬機(jī)，刀片服務(wù)器虛擬化后的虛擬機(jī)建議部署一般web/應(yīng)用服務(wù)器；高性能服務(wù)器按照每臺虛擬8臺虛擬機(jī)，高性能服務(wù)器虛擬化后的虛擬機(jī)建議部署重載應(yīng)用/數(shù)據(jù)庫服務(wù)器。統(tǒng)籌考慮不同應(yīng)用系統(tǒng)對硬件資源的需求差異，建議配置刀片服務(wù)器XX套，2路機(jī)架式服務(wù)器X臺，4路機(jī)架式服務(wù)器XX臺。其中X臺2路機(jī)架式服務(wù)器用于云計(jì)算管理平臺，X臺4路機(jī)架式服務(wù)器作為測試服務(wù)器(計(jì)劃用來支持各類移動辦公等移動應(yīng)用，統(tǒng)一納入XX單位信息中心監(jiān)控管理)。計(jì)算資源池刀片服務(wù)器和4路機(jī)架式服務(wù)器組成，其中XX臺刀片服務(wù)器可以虛擬化為XXX臺虛擬機(jī)，XX臺高性能機(jī)架式服務(wù)器可以虛擬化XXX臺虛擬機(jī)，平臺共計(jì)XXX臺虛擬機(jī)。一般應(yīng)用系統(tǒng)需要web服務(wù)器、應(yīng)用服務(wù)器各2臺，采用應(yīng)用負(fù)載均衡做集群，數(shù)據(jù)庫服務(wù)器2臺做互備，共需6臺虛擬機(jī)。對于大型數(shù)量應(yīng)用，大型數(shù)據(jù)庫可直接部署在高性能物理服務(wù)器，通過多實(shí)例共享面向不同業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)庫管理平臺服務(wù)，則需4臺虛擬機(jī)和共享使用兩臺物理服務(wù)器。按此測算，本期建設(shè)規(guī)模在滿足50個部門50套應(yīng)用系統(tǒng)需求之外還能有一定的冗余，冗余的資源可以用于安裝數(shù)據(jù)備份軟件、目錄服務(wù)器、安全軟件等平臺相關(guān)軟件外，同時作為備用資源。今后還可以視實(shí)際需求增加計(jì)算資源，同步配套建設(shè)網(wǎng)絡(luò)資源、存儲資源及信息安全設(shè)備等，按照需擴(kuò)容、滾動建設(shè)的方式滿足省直部門的需求。本期新增計(jì)算資源配置如下圖表所示：表5:計(jì)算資源配置表編號項(xiàng)目顆2單臺單物理CPU核數(shù)核6單臺內(nèi)存單臺硬盤刀片服務(wù)器數(shù)量臺二、機(jī)架式服務(wù)器(2CPU)顆2單臺單物理CPU核數(shù)核6單臺內(nèi)存單臺硬盤機(jī)架式服務(wù)器數(shù)量臺4三、4U機(jī)架式服務(wù)器(4CPU)顆4單臺單物理CPU核數(shù)核6單臺內(nèi)存單臺硬盤4U機(jī)架式服務(wù)器數(shù)量臺此外，每臺物理服務(wù)器要求配置不少于3個千兆以太網(wǎng)電口，分別用于虛擬化平臺管理口、應(yīng)用系統(tǒng)對外提供服務(wù)、連接NAS存儲設(shè)備。未來實(shí)際應(yīng)用中，還將根據(jù)各廳局的復(fù)雜性，比如高吞吐量、高計(jì)算、高訪問量類業(yè)務(wù)系統(tǒng)對計(jì)算資源的需要進(jìn)行調(diào)整。宿主機(jī)服務(wù)器架構(gòu)是虛擬化架構(gòu)的關(guān)鍵組件，也是服務(wù)器整合比例和成本分析的重要變量。宿主機(jī)服務(wù)器處理大量整合服務(wù)器的工作負(fù)載的能力會提高整合比例并有助于提供滿足需要的成本收益，以下提供二種宿主機(jī)服務(wù)器的參考宿主服務(wù)器的系統(tǒng)架構(gòu)是指對服務(wù)器硬件自身的一般分類，例如包括機(jī)架式服務(wù)器、刀片式服務(wù)器。在選在系統(tǒng)架構(gòu)時，首先要考慮的原則是每個宿主機(jī)將運(yùn)行包含多種負(fù)載的多個客戶機(jī)。處理器、內(nèi)存、存儲和網(wǎng)絡(luò)能力以及高速的I/O和低延遲都很關(guān)鍵，重要的是要保證這些分類中的每一個宿主機(jī)服務(wù)器能夠提供所需要滿足的處理能力。A)標(biāo)準(zhǔn)機(jī)架式服務(wù)器最常見的系統(tǒng)架構(gòu)是標(biāo)準(zhǔn)機(jī)架式服務(wù)器。典型的是2U或4U的型號，這些服務(wù)器一般包含2到4個CPU插座，2到8個PCI—E或PCI—X插槽，4到6個硬盤托架。由于其在2和4個插座服務(wù)器商品中的低成本，以及通過增加網(wǎng)卡和HBA插槽提供與生俱來的可擴(kuò)展性，機(jī)架式服務(wù)器是虛擬宿主機(jī)服務(wù)器的最佳選擇。B)刀片式服務(wù)器隨著對能力和服務(wù)器密度不斷增加的需求，刀片式服務(wù)器在普及程度和能力上都獲得了顯著的提高。在選擇刀片服務(wù)器時，需要考慮刀片式架構(gòu)中的每個刀片所包含CPU數(shù)及最大內(nèi)存。對于每個宿主機(jī)服務(wù)器用于支持一定數(shù)量的客戶機(jī)所需的網(wǎng)絡(luò)和存儲I/O必須加以仔細(xì)考慮，以保證刀片上運(yùn)行的每個宿主機(jī)服務(wù)器和刀片底盤自身能夠提供支持。.應(yīng)用服務(wù)器部署應(yīng)用服務(wù)器可部署在虛擬機(jī)系統(tǒng)(VM)和物理PC服務(wù)器。當(dāng)應(yīng)用服務(wù)器負(fù)載接近單臺物理服務(wù)器性能時，可直接部署于物理服務(wù)器，一般應(yīng)用服務(wù)器部署在虛擬機(jī)上。根據(jù)應(yīng)用系統(tǒng)的可用性要求等級不同，在虛擬機(jī)上實(shí)現(xiàn)高可用的方式有以下三種，虛擬機(jī)熱遷移，虛擬機(jī)HA,物理機(jī)HA。虛擬機(jī)熱遷移用于滿足計(jì)劃內(nèi)停機(jī)維護(hù)操作。當(dāng)服務(wù)器需要停機(jī)執(zhí)行維護(hù)操作時，可通過虛擬機(jī)熱遷移功能，將某一物理服務(wù)器上的虛擬機(jī)動態(tài)遷移至另一物理服務(wù)器。動態(tài)遷移過程，業(yè)務(wù)不中斷，不影響用戶的正常訪問。虛擬機(jī)HA用于滿足一般應(yīng)用服務(wù)器計(jì)劃外宕機(jī)。當(dāng)發(fā)生服務(wù)器故障時，通過虛擬機(jī)HA,虛擬機(jī)可在其他的物理服務(wù)器上自動重啟，實(shí)現(xiàn)故障轉(zhuǎn)移。此過程會引起短暫業(yè)務(wù)中斷，業(yè)務(wù)中斷時間由虛擬機(jī)操作系統(tǒng)在另一物理服務(wù)器上啟動的時間及應(yīng)用系統(tǒng)啟動的時間決定。通過虛擬機(jī)HA比傳統(tǒng)群集較少一半的服務(wù)器數(shù)量，在保證了一定高可用的同時提高資源利用率。對于直接部署在物理服務(wù)器的應(yīng)用系統(tǒng)，可通過高可用群集軟件提供可用性保證。在windows系統(tǒng)可配置MSCS群集，在redhatLinux操作系統(tǒng)可配置VCS群集。通過部署高可用群集，在確保在物理服務(wù)器故障或應(yīng)用故障時，進(jìn)行快速的故障轉(zhuǎn)移，減小并消除業(yè)務(wù)中斷帶來的負(fù)面影響。為了能夠提供具有更高可擴(kuò)展性和可靠性的應(yīng)用平臺，并能夠在服務(wù)器集群中只能地分配負(fù)載，從而確?？蛻糇畲笙薅鹊匕l(fā)揮其應(yīng)用服務(wù)器投資價值，結(jié)合硬件負(fù)載均衡設(shè)備，為部署在應(yīng)用服務(wù)器上的服務(wù)和應(yīng)用提供最佳的可擴(kuò)展性和性能。.關(guān)鍵數(shù)據(jù)庫部署數(shù)據(jù)庫服務(wù)區(qū)作為業(yè)務(wù)系統(tǒng)的數(shù)據(jù)處理平臺，對服務(wù)區(qū)的I/O處理能力、內(nèi)存、CPU等有較高要求的，建議采用高性能機(jī)架式服務(wù)器部署，不同的業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫可通過多實(shí)例進(jìn)行共享同一物理服務(wù)區(qū)群集。對服務(wù)器性能要求一般的數(shù)據(jù)庫管理系統(tǒng)可部署在虛擬機(jī)上。數(shù)據(jù)庫服務(wù)器做業(yè)務(wù)系統(tǒng)的核心節(jié)點(diǎn)，為了保障其的高可用性，建議至少使用2臺物理服務(wù)器或2臺虛擬機(jī)做HA。部署虛擬機(jī)上數(shù)據(jù)庫管理系統(tǒng)可通過ApplicationHA保證其高可用；部署于物理服務(wù)器的數(shù)據(jù)庫管理系統(tǒng)可通過VCS、MSCS或數(shù)據(jù)庫管理系統(tǒng)自帶群集軟件(RAC)實(shí)現(xiàn)其高可用。目前主流虛擬化平臺(Hypervisor)主要有以下四種，分別是VMware品。目前部分廠商根據(jù)開源Xen開發(fā)出自己的虛擬平臺，如Critix公司的從虛擬化軟件的成熟度來看，VMware經(jīng)多年的市場經(jīng)驗(yàn)，產(chǎn)品成熟穩(wěn)定、功能也最為強(qiáng)大。開源KVM、開源XEN來源于開源社區(qū)，功能單一；基于開源Xen的CitrixXenServer,其功能、穩(wěn)定性、可靠性優(yōu)于開源Xen。XX虛擬化平臺的建設(shè)充分考慮產(chǎn)品的成熟性、穩(wěn)定性和開放性。通過以上比較分析，VMware產(chǎn)品成熟、功能完善，為目前虛擬化市場的主流產(chǎn)品，但其采購成本較高；基本開源Xen的部分國產(chǎn)產(chǎn)品功能不及VMware,但具有更好的性價比，作為國產(chǎn)虛擬化平臺，其安全性也更有保證。充分考慮技術(shù)成熟度和開放性，本項(xiàng)目建議配置VmwareXX套、國產(chǎn)開源虛擬化軟件XXX套，建成一個穩(wěn)定、開放、支持異構(gòu)的基礎(chǔ)虛擬化平臺。當(dāng)前關(guān)鍵應(yīng)用建議部署在成熟穩(wěn)定的VMware虛擬化平臺上，非關(guān)鍵應(yīng)用及測試環(huán)境可部署于國產(chǎn)開源虛擬化平臺上。隨著國產(chǎn)虛擬化平臺的逐步成熟，在后續(xù)擴(kuò)容中將逐步減少VMware在XX云計(jì)算平臺的比重。.虛擬化管理平臺本期計(jì)算資源池采用X86服務(wù)器，虛擬化平臺管理軟件需實(shí)現(xiàn)高可用性、動態(tài)遷移，對整個應(yīng)用架構(gòu)實(shí)現(xiàn)統(tǒng)一的安全控制和權(quán)限管理。目前X86虛擬化平臺管理軟件主要有兩大類：一類為虛擬化平臺原廠提供的。如VMware虛擬化管理平臺VMware理平臺Azure,RedhatKTM管理平臺redhatRHEVM的。各廠商的虛擬化管理平臺均可較好地管理自家虛擬化平臺，管理平臺開放必要的API接口。但另一類是由第三方廠商提供的。如移動大云等，這等虛擬化平臺管理軟件的優(yōu)點(diǎn)是可以實(shí)現(xiàn)多家虛擬化平臺的統(tǒng)一管理，但在專用性方面不如各原廠提供的管理軟件。.容災(zāi)方案說明根據(jù)設(shè)計(jì)原則分布實(shí)現(xiàn)云平臺系統(tǒng)的容災(zāi)方案：1、第一步實(shí)現(xiàn)云平臺存儲級容災(zāi)系統(tǒng)，通過新購虛擬存儲網(wǎng)關(guān)，整合現(xiàn)有異構(gòu)SAN存儲資源池，存儲結(jié)構(gòu)化數(shù)據(jù)，實(shí)現(xiàn)存儲虛擬化功能，并可滿足數(shù)據(jù)遷移、容災(zāi)等功能，實(shí)現(xiàn)容災(zāi)。該步驟實(shí)現(xiàn)又可分為兩步走，即先建立同城同步容災(zāi)，再建立城際兩地三中心的容災(zāi)。在容災(zāi)中心新購買一套虛擬存儲網(wǎng)關(guān)，容災(zāi)中心的存儲設(shè)備可以與生產(chǎn)中心同構(gòu)或異構(gòu)，通過光纖交換機(jī)構(gòu)成一個基于存儲區(qū)域網(wǎng)(SAN)的基礎(chǔ)架構(gòu)平臺。不僅提供容災(zāi)系統(tǒng)使用，也是容災(zāi)中心的統(tǒng)一SAN平臺。在容災(zāi)中心存儲上按照生產(chǎn)中心實(shí)際存儲部署情況，依照存儲性能相同的原則進(jìn)行存儲設(shè)備的邏輯劃分，每臺存儲設(shè)備分別連接到2臺光纖交換機(jī)上，這久保證了存儲設(shè)備在整個鏈路上冗余、不存在單點(diǎn)故障。在同城容災(zāi)方案中通過虛擬存儲網(wǎng)關(guān)同步復(fù)制技術(shù)，由虛擬存儲網(wǎng)關(guān)將生產(chǎn)中心的數(shù)據(jù)實(shí)時復(fù)制到容災(zāi)中心，確保生產(chǎn)中心的各種數(shù)據(jù)能同步復(fù)制到容災(zāi)中心的存儲上。在兩地三中心或兩站地城際容災(zāi)方案中通過虛擬存儲網(wǎng)關(guān)異步復(fù)制技術(shù)，準(zhǔn)時將生產(chǎn)中心數(shù)據(jù)復(fù)制到容災(zāi)中心，災(zāi)難發(fā)生時僅涉及數(shù)十秒的數(shù)據(jù)丟失?？赏瑫r在容災(zāi)中心配置兩臺服務(wù)器，進(jìn)行數(shù)據(jù)驗(yàn)證工作。利用虛擬存儲網(wǎng)關(guān)快照功能對容災(zāi)中心的復(fù)制數(shù)據(jù)(只讀)產(chǎn)生快照卷，掛載到驗(yàn)證服務(wù)器上進(jìn)行訪問驗(yàn)證。2、第二步實(shí)現(xiàn)云平臺應(yīng)用級容災(zāi)。在容災(zāi)中心配置相應(yīng)的服務(wù)器池鏈接容災(zāi)存儲。當(dāng)災(zāi)難發(fā)生或進(jìn)行災(zāi)難恢復(fù)演練時，停止容災(zāi)復(fù)制關(guān)系后，容災(zāi)中心服務(wù)器池的虛擬機(jī)可以訪問容災(zāi)數(shù)據(jù)并接管生產(chǎn)。制定接管計(jì)劃，包括人員支持，網(wǎng)絡(luò)支持，恢復(fù)計(jì)劃，演練計(jì)劃等，建立完善的全人工