園區(qū)數(shù)據(jù)中心和工業(yè)云平臺建設(shè)規(guī)劃方案

園區(qū)

數(shù)據(jù)中心、IT基礎(chǔ)設(shè)施和云平臺

規(guī)劃方案

目錄

第一章機房工藝方案...........................................................3

第二章IT基礎(chǔ)架構(gòu)方案.......................................................11

2.1總體架構(gòu)..............................................................11

2.2網(wǎng)絡(luò)架構(gòu)..............................................................12

2.3IP地址及DNS規(guī)戈!1.................................................................................................20

2.4計算存儲超融合.......................................................21

2.5災(zāi)備方案..............................................................23

2.6安全防護系統(tǒng)建設(shè)方案.................................................23

第三章云計算平臺方案.......................................................29

3.1云平臺整體架構(gòu).......................................................29

3.2云平臺概述...........................................................30

3.3云平臺的部分業(yè)務(wù)場景和功能..........................................32

3.4工業(yè)云平臺...........................................................37

第一章機房工藝方案

1.1功能布局規(guī)劃方案

數(shù)據(jù)中心預(yù)期滿足中期3-5年，遠期6-15年的要求。各層數(shù)據(jù)機房及其配

套設(shè)備用房均按模塊化配置，可根據(jù)實際運營需要，逐步加載機架及配套設(shè)備，

可最終精確到每列機架。云計算數(shù)據(jù)中心機房位于孵化中心大樓3樓，包括：柴

油發(fā)電機房、空調(diào)冷凍機房、配電室、消防控制室兼值班室等區(qū)域；標準機房平

面包括：數(shù)據(jù)機房區(qū)、空調(diào)區(qū)以及電力電池區(qū)等。

數(shù)據(jù)設(shè)備機柜排列方式采用面對面、背靠背方式，即相鄰二列機柜的正面板

相對或者背面板相對排列。本方案中計劃機柜面對面過道間距定為1200mm，背

靠背過道間距定為每列機柜均按照個機位的電源柜加個機位的

1000mmo11

網(wǎng)絡(luò)柜考慮，實際排列需根據(jù)后期設(shè)備安裝進行調(diào)整。

對機房的幾個影響因素：

數(shù)據(jù)設(shè)備安裝的區(qū)域?qū)C架散熱、配電要求很高。整個機房內(nèi)的配電將實行

模塊化的方式，根據(jù)機房的面積劃分為各個模塊，每一個模塊配電區(qū)域做到對機

柜實施雙路供電，滿足現(xiàn)在規(guī)范中要求的雙系統(tǒng)方式。機架的散熱情況涉及的因

素主要有幾個：機架的布置、制作要求、空調(diào)的送風(fēng)方式等。

L2數(shù)據(jù)中心大樓安全布置方案

1.安全等級管理

根據(jù)各區(qū)域的重要程度設(shè)定相應(yīng)的安全級別，設(shè)置各個級別的出入管理系統(tǒng)。

在大樓入口處設(shè)置大型閘機，在多人來訪時也可以進行信賴性的安全管理和同時

進行順利的出入。

將基地的人員分為三個等級：一般級、較高級和最高級。

一般級：可以進入大樓部分；

次高級：人員要經(jīng)過大樓進入指控中心部分；

最高級：人員通過大樓、指控中心部分才能進入到機房部分。

這是一個逐級遞增的過程。每個環(huán)節(jié)都需要檢測、識別才能進到下一個環(huán)節(jié)。

2.系統(tǒng)技術(shù)運用

(1)統(tǒng)一平臺智能監(jiān)控：安防監(jiān)控、門禁系統(tǒng)、動力環(huán)境集中監(jiān)控、煙霧早期

告警系統(tǒng)；

(2)防尾隨系統(tǒng)：防尾隨門；

(3)紅外提前預(yù)警技術(shù)；

(4)漏水檢測，主要用于空調(diào)區(qū)域、水管正下方部位。

1.3電源系統(tǒng)方案

1.數(shù)據(jù)中心機房功耗統(tǒng)計

數(shù)據(jù)中心機房功耗統(tǒng)計

單機

IDC設(shè)空調(diào)功電池充照明等

機架架功合計

序機房區(qū)備功耗耗電電流負荷

數(shù)量耗(KVA

號

域(KVA(KVA(KVA(KVA

(架)(KW)

))))

)

1505.00277.78138.89100.0060.00

數(shù)據(jù)機

合

房50277.78138.89100.0060.00576.00

計

注功率因素按照0.9計算

2.變配電方案

本期擬采用10KV高壓進線引入，終局共引2路10KV進線，每路800KVA

容量，每2路分別從獨立的變電站引入。用電負荷等級需滿足一級負荷用電要

求。

3.油機方案

本規(guī)劃在一樓安裝1臺備用功率不低于1000KW的高壓油機。

根據(jù)消防規(guī)范要求，本項目日用油箱儲油后備時間約為3小時，為保證長時間供

油，可通過建立油庫或與本地石化公司簽訂供油協(xié)議，必要時候進行統(tǒng)調(diào)

4.不間斷電源方案

本期不間斷電源采用2N系統(tǒng)，每套系統(tǒng)容量為150KVAUPS(蓄電池后備時間

15分鐘),共需4套。

1.4弱電系統(tǒng)方案

(1)綜合布線

數(shù)據(jù)中心綜合布線工程以其靈活性、擴展性實現(xiàn)高效的、冗余布線管理，整

個結(jié)構(gòu)化布線系統(tǒng)應(yīng)全面避免單點故障隱患情況的出現(xiàn)系統(tǒng)。

本項目綜合布線系統(tǒng)分為兩個部分，一是業(yè)務(wù)網(wǎng)綜合布線系統(tǒng)，支持主機房內(nèi)外

網(wǎng)日常生產(chǎn)及管理系統(tǒng)等；二是運維網(wǎng)綜合布線系統(tǒng)，支持數(shù)據(jù)中心大樓內(nèi)的語

音、數(shù)據(jù)交換功能及安防、消防、環(huán)控等系統(tǒng)信息傳輸。

（2）運維網(wǎng)綜合布線建設(shè)方案

本項目辦公運維網(wǎng)綜合布線銅纜配線子系統(tǒng)設(shè)計為E級（Cat.6類），應(yīng)用器件（電

纜、連接硬件）均為E級（Cat.6類）。安防、動環(huán)監(jiān)控、KVM、自控網(wǎng)絡(luò)納入運維

網(wǎng)，數(shù)據(jù)中心墻面、支持區(qū)域集中預(yù)留2個網(wǎng)口，集中匯聚。辦公運維網(wǎng)綜合布

線系統(tǒng)傳輸介質(zhì)及類型選則如下：4對雙絞線銅纜均采用CMP等級，光纜均采

用OFNP等級；語音大對數(shù)采用CMR等級。

1）工作區(qū)子系統(tǒng)

根據(jù)各機房具體情況及辦公家具布置合理設(shè)計，不均勻分布。工作區(qū)子系統(tǒng)原則

如下：

每辦公坐席布點密度不低于2個數(shù)據(jù)點、1個語音點；

在值班操作區(qū)、會議室和監(jiān)控室等，布點密度不低于1個數(shù)據(jù)點+1個語音點/10

平方米；

所有電纜、光纜、配線設(shè)備等均應(yīng)粘貼標簽標識。標識設(shè)計依據(jù)TIA606標準和

《綜合布線系統(tǒng)管理與運行維護技術(shù)白皮書》。

信息插座均要求采用六類信息插座模塊（CAT6），傳輸參數(shù)測試應(yīng)達到250MHz。

電氣性能達到TIA/EIACAT6的要求。

2）水平子系統(tǒng)

水平子系統(tǒng)設(shè)計原則如下：

由UTP線纜構(gòu)成的水平子系統(tǒng)，從管理間子系統(tǒng)中的配線架的端口至工作區(qū)的

信息插座的電纜長度最大水平距離為90m（295ft）；

工作區(qū)的patchcord、連接設(shè)備的patchcord、cross-connection線的總長度不

超過10M；

話線和數(shù)據(jù)線可以靈活互換，可以很方便地實現(xiàn)所有的語音點和數(shù)據(jù)點之間的互

換；

在有屏蔽要求的功能采用屏蔽雙絞線或光纜。

3）管理子系統(tǒng)

管理間子系統(tǒng)設(shè)計原則如下：

全部的銅纜信息點均端接于24口六類非屏蔽快接式配線架上，語音和數(shù)據(jù)的連

接管理，通過不同的跳線與數(shù)據(jù)交換機或語音配線間連接；

光纖垂直主干的連接均采用24口/48芯LC光纖配線架；

配線間語音跳線采用RJ45-110一對跳線，連接快接式配線架和110配線架。數(shù)

據(jù)跳線設(shè)計采用六類非屏蔽雙頭RJ45成品跳線。

4）主干子系統(tǒng)

主干子系統(tǒng)原則如下：

數(shù)據(jù)主干采用50/125|Jm室內(nèi)OM4多模光纜，每個樓層電信間（FD）采用2根

24芯主干光纜；

語音主干采用超五類25對/100對大對數(shù)主干電纜,每個語音點按主干1對銅纜

配置，并留有25%以上的擴展余量。

5）設(shè)備間子系統(tǒng)

設(shè)備間子系統(tǒng)設(shè)計原則如下：

配線間設(shè)置19”標準網(wǎng)絡(luò)機柜。用于安裝配線架及網(wǎng)絡(luò)設(shè)備；

每一組服務(wù)器機柜需配備一個網(wǎng)絡(luò)機柜，供本組服務(wù)器機柜的網(wǎng)絡(luò)接入，每組服

務(wù)器機柜數(shù)量建議不超過七個；

語音主配線架采用110型配線架；

光纖主配線架采用24口/48芯LC光纖配線箱，主干光纜均連接其上；

數(shù)據(jù)部分通過主網(wǎng)絡(luò)設(shè)備到光纖主配線架間的光跳線來完成；

語音部分的管理通過交換機側(cè)的配線架到結(jié)構(gòu)化布線系統(tǒng)主配線架之間的普通

跳線來管理。

（3）業(yè)務(wù)網(wǎng)綜合布線建設(shè)方案

業(yè)務(wù)網(wǎng)綜合布線系統(tǒng)按以下幾個部分進行設(shè)計：設(shè)備配線區(qū)、水平配線區(qū)、中間

配線區(qū)、主配線區(qū)、主干布線、水平布線。

本項目的傳輸介質(zhì)及類型選則如下：

所有主干、水平光纜均采用OFNP等級光纜；

所有多模光纜均采用OM4光纜，單模光纜均為OS2單模光纜；

主干及水平銅纜均采用六類銅纜，防火等級為CMP；

在有屏蔽要求的功能采用屏蔽雙絞線或光纜；

銅纜均采用非預(yù)端接系統(tǒng)，光纜均采用高密度MPO光纜預(yù)端接布線解決方案。

1）核心主配線區(qū)（核心-MDA）

本項目中設(shè)立主配線區(qū)（核心-MDA）,配置核心交換機、路由器、安全設(shè)備等，

用于實現(xiàn)整個網(wǎng)絡(luò)核心匯聚以及對外鏈路出口功能。其設(shè)計原則如下：

主配線區(qū)布線柜中部署24/48口銅纜配線架、1U96芯或4U288芯高密度光纖配

線架；

考慮雙鏈路，每個MDA分別通過銅纜、OM4光纜或單模光纜與運營商接入機房

相連。

2）中間配線區(qū)IDA（匯聚-IDA）

本項目在相應(yīng)的樓層中間配線區(qū)（IDA）,負責(zé)匯聚管理本樓層區(qū)域的布線，其設(shè)

計原則如下：

IDA配線區(qū)布線柜中部署24/48口銅纜配線架、1U96芯或4U288芯高密度光纖

配線架；

考慮雙鏈路，每個IDA分別通過0M4光纜與MDA相連。

3）水平配線區(qū)（HDA）

本項目在設(shè)備柜所在列設(shè)置水平配線區(qū)（HDA）,用于匯聚管理該列設(shè)備柜敷設(shè)

的銅纜和光纜，其設(shè)計原則如下：

HDA配線區(qū)布線柜中部署24/48口銅纜配線架、1U96芯或4U288芯高密度光

纖配線架；

考慮雙鏈路，每個HDA分別通過0M4光纜與同一模塊或同一區(qū)域的2個IDA

布線柜相連。

4）設(shè)備配線區(qū)（EDA）

設(shè)備配線區(qū)（EDA）由每個設(shè)備機柜組成，其設(shè)計原則如下：

EDA配線區(qū)布線柜中部署24/48口銅纜配線架、1U96芯高密度光纖配線架；

EDA按設(shè)備形態(tài)、業(yè)務(wù)功能等進行區(qū)域規(guī)劃以提高服務(wù)器機柜利用率和機房的

管理效率，本期按行業(yè)經(jīng)驗及客戶的業(yè)務(wù)需求進行劃分如：PC服務(wù)器區(qū)域、小

型機區(qū)域、存儲區(qū)域、高密度服務(wù)器或刀片區(qū)域、異型機區(qū)域等；

對于每個區(qū)域EDA,其電口（含KVM）數(shù)量，光口（含SAN）數(shù)量需根據(jù)設(shè)備類

型、區(qū)域特征并結(jié)合行業(yè)標準進行規(guī)劃；

EDA柜內(nèi)電口、光口的數(shù)量需根據(jù)近期細化、遠期規(guī)劃的思路進行設(shè)計。

1.5機柜

考慮空調(diào)送風(fēng)及地板施工，機柜建議選用600mm*1200mm*2200mm（寬*深*高）,

機房布局擺放采用背靠背/面對面方式，符合空調(diào)地板下送風(fēng)作為送風(fēng)靜壓箱的

氣流特性。

計劃建設(shè)50個機柜的空間，一期計劃投入10個機柜，每個機柜可容納12臺服

務(wù)器。

每臺服務(wù)器是2路24核心CPU,256G內(nèi)存，2T硬盤。

10個機柜中，計劃分配1個機柜專做大數(shù)據(jù)處理、1個機柜專做人工智能（配置

GPU11個機柜專做存儲、1個機柜專做3D渲染和工業(yè)模擬仿真，剩下6個機

柜以超融合模式提供計算服務(wù)。

6個機柜的算力包括72臺高性能服務(wù),3456核心vCPU,18432G內(nèi)存,144T硬

盤。

如果按照平均每個企業(yè)的所有應(yīng)用消耗7個vCPU、88G內(nèi)存（7臺虛擬機，2x

4G,2x8G,2x16G,1x32G）,10個機柜可以滿足至少支持200家企業(yè)的包括

大數(shù)據(jù)計算、人工智能深度學(xué)習(xí)、3D渲染和包括供應(yīng)鏈、生產(chǎn)制造等各類工業(yè)

應(yīng)用的算力和數(shù)據(jù)存儲。

第二章IT基礎(chǔ)架構(gòu)方案

2.1總體架構(gòu)

數(shù)據(jù)中心內(nèi)部的總體IT基礎(chǔ)架構(gòu)分為三層體系

第一層：構(gòu)建園區(qū)工業(yè)互聯(lián)網(wǎng)平臺的IT基礎(chǔ)，包括物聯(lián)網(wǎng)設(shè)備接入和協(xié)議

解析，可以部署在工廠內(nèi)部，以及在園區(qū)云端的laaS云基礎(chǔ)設(shè)施層，實現(xiàn)計算、

存儲、網(wǎng)絡(luò)的虛擬化和資源池化。

第二層：構(gòu)建可擴展的開放式云操作系統(tǒng)，及園區(qū)工業(yè)云平臺的PaaS層，

實現(xiàn)工業(yè)應(yīng)用的開發(fā)、運行和微服務(wù)框架，并包含機器學(xué)習(xí)和工業(yè)大數(shù)據(jù)。

第三層：通過部署滿足工業(yè)企業(yè)業(yè)務(wù)需求相關(guān)的SaaS化應(yīng)用服務(wù)，如供應(yīng)

鏈管理、設(shè)備管理、采購管理等，形成園區(qū)工業(yè)互聯(lián)網(wǎng)平臺的最終價值，

消費者■供應(yīng)鏈■協(xié)作企業(yè)■開發(fā)者

業(yè)務(wù)運行__________應(yīng)__用__創(chuàng)__新____________

［設(shè)計［生產(chǎn)］|服務(wù)］［設(shè)備狀

管理I供應(yīng)鏈1能耗分［

［態(tài)分析1僦化］

工業(yè)SaaS1APP][APP]APP][APP]分析

應(yīng)用開發(fā)■工業(yè)微服務(wù)組件庫工

（開發(fā)工具.微服務(wù)框架）（工蛻識組件.算法組件.原理模型組件）業(yè)

安

0k數(shù)據(jù)建模和分析（機理建模、機器學(xué)習(xí)、可視化）全

平臺層

防

皿大數(shù)據(jù)系統(tǒng)（MSflg清洗、管理、分析、可視化善）

工業(yè)PaaS護

通用PaaS平臺資源部署和管理

設(shè)備管理1資源管理■運維管理故障恢復(fù)

laaS層_______________云基礎(chǔ)設(shè)施（服務(wù)器.存儲,網(wǎng)絡(luò).虛擬化）_________________

邊緣層設(shè)備接入?yún)f(xié)議解析邊緣數(shù)據(jù)

2.2網(wǎng)絡(luò)架構(gòu)

由總體架構(gòu)圖所示，云數(shù)據(jù)中心網(wǎng)絡(luò)整體結(jié)構(gòu)采用模塊化分區(qū)設(shè)計思想，所

有的功能分區(qū)均同核心交換區(qū)互聯(lián)，各個分區(qū)之間保持獨立，實現(xiàn)整個設(shè)計架構(gòu)

的松耦合特性，提供良好的系統(tǒng)擴展性。根據(jù)不同功能將整個網(wǎng)絡(luò)分為如下幾個

區(qū)域：

(1)核心交換區(qū)：實現(xiàn)云數(shù)據(jù)中心網(wǎng)絡(luò)的數(shù)據(jù)高速轉(zhuǎn)發(fā)，保證整個云平臺

中心網(wǎng)絡(luò)的傳輸性能和效率。核心交換區(qū)同所有分區(qū)相連，因而在核心交換區(qū)需

重點考慮處理性能、網(wǎng)絡(luò)虛擬化應(yīng)用以及各個分區(qū)之間的安全訪問控制。

(2)網(wǎng)絡(luò)資源池區(qū)：網(wǎng)絡(luò)資源池區(qū)為數(shù)據(jù)中心內(nèi)計算資源池和存儲資源池

提供虛擬網(wǎng)絡(luò)資源，既是連接各個資源池的紐帶，也是數(shù)據(jù)流量的承載網(wǎng)絡(luò)。網(wǎng)

絡(luò)資源池區(qū)作為云數(shù)據(jù)中心中的網(wǎng)絡(luò)子模塊，在設(shè)計上采用二層扁平化架構(gòu)組網(wǎng)，

大量采用橫向虛擬化和縱向虛擬化技術(shù)實現(xiàn)VLAN的大二層互通，滿足虛擬機的

部署和遷移。數(shù)據(jù)中心大二層架構(gòu)可以大大簡化網(wǎng)絡(luò)資源池的運維與管理，同時

保證網(wǎng)絡(luò)的擴展性和易管理性。

(3)Internet接入?yún)^(qū)：該區(qū)域通過連接運營商Internet網(wǎng)絡(luò)，為數(shù)據(jù)中心內(nèi)

各類信息系統(tǒng)提供對公眾發(fā)布公共云應(yīng)用的服務(wù)，同時也為一些企業(yè)提供局域網(wǎng)

提供統(tǒng)一的互聯(lián)網(wǎng)出口服務(wù)。

(4)對外服務(wù)測試區(qū)：在對外服務(wù)測試區(qū)將進行各類新增應(yīng)用或托管應(yīng)用

的在線測試，只有測試通過后才將業(yè)務(wù)根據(jù)分類部署到相應(yīng)的網(wǎng)絡(luò)區(qū)域中，該區(qū)

域的網(wǎng)絡(luò)系統(tǒng)連接在Internet接入?yún)^(qū)劃分出來DMZ區(qū)位置。

(5)業(yè)務(wù)網(wǎng)運維管理區(qū)：業(yè)務(wù)網(wǎng)運維管理區(qū)提供對整個云數(shù)據(jù)中心平臺各

類資源的統(tǒng)一管理，其與數(shù)據(jù)網(wǎng)相互獨立，只承載業(yè)務(wù)管理流量，除了對基礎(chǔ)設(shè)

備管理之外還包括應(yīng)用服務(wù)管理、運維管理等系統(tǒng)。

(6)KVM帶外管理區(qū)：該區(qū)域?qū)崿F(xiàn)對網(wǎng)絡(luò)、服務(wù)器、存儲等設(shè)備的串口管

理。

云計算數(shù)據(jù)中心的基礎(chǔ)網(wǎng)絡(luò)要求包括超高速交換、統(tǒng)一交換、虛擬化交換、

透明化交換。

超高速交換：使用10GE技術(shù)，滿足服務(wù)器10從千兆向萬兆快速發(fā)展，以

匹配服務(wù)器10加速技術(shù)、10虛擬化技術(shù)以及服務(wù)器多路多核計算能力。

統(tǒng)一交換網(wǎng)絡(luò)：提供對云計算的支撐，提供單一的數(shù)據(jù)中心網(wǎng)絡(luò)，實現(xiàn)云計

算上層應(yīng)用對數(shù)據(jù)交換、傳送通道與10的簡化統(tǒng)一操作、同質(zhì)的底層網(wǎng)絡(luò)提供

超高容量數(shù)據(jù)吞吐支撐、提供廣泛兼容的云應(yīng)用升級與擴展能力。

虛擬化交換網(wǎng)絡(luò)：虛擬化技術(shù)是云計算的關(guān)鍵技術(shù)之一，將一臺物理服務(wù)器

虛擬化成多臺邏輯虛擬機VM，不僅可以大大提升云計算環(huán)境IT計算資源的利用

效率，節(jié)省能耗，同時虛擬化技術(shù)提供的動態(tài)遷移、資源調(diào)度，使得云計算服務(wù)

的負載可以得到高效管理、擴展，云計算的服務(wù)更具有彈性和靈活性。

透明化交換網(wǎng)絡(luò)：對于虛擬化云計算服務(wù)，需要在數(shù)據(jù)中心內(nèi)部以及數(shù)據(jù)中

心之間構(gòu)建大范圍的二層互聯(lián)網(wǎng)絡(luò)，以支持虛擬機計算資源的遷移和調(diào)度。二層

網(wǎng)絡(luò)的益處是對虛擬機透明化，但為保證網(wǎng)絡(luò)的高性能、可靠性，需要解決網(wǎng)絡(luò)

環(huán)路問題。

數(shù)據(jù)中心內(nèi)部，可通過采用智能彈性架構(gòu)來構(gòu)建大型的二層透明交換網(wǎng)絡(luò)，

具有網(wǎng)絡(luò)結(jié)構(gòu)簡單，保持高性能與高可靠、避免環(huán)路的好處。

各個核心網(wǎng)絡(luò)設(shè)備可虛擬化成一臺邏輯設(shè)備，以聚合鏈路互聯(lián)，消除了網(wǎng)絡(luò)

環(huán)路，保證網(wǎng)絡(luò)的可靠性和鏈路的充分利用。

g以由器.

馬

邊緣”換機邊緣欠換機邊緣父換機邊緣父換機

-電…匾--'卷

邊緣堂換機邊緣”換機邊緣北換機邊緣公換機

---------------------喝_*―嘉黨-"

慳伊各拉材卜圖

＞網(wǎng)絡(luò)結(jié)構(gòu)

網(wǎng)絡(luò)結(jié)構(gòu)中，采用萬兆以太網(wǎng)作為全網(wǎng)的核心交換技術(shù)，核心交換機以萬兆

或千兆接入邊緣交換機。邊緣交換機主流采用千兆網(wǎng)絡(luò)連接服務(wù)器，對于普通應(yīng)

用服務(wù)器，采用百兆網(wǎng)絡(luò)接入邊緣交換機。

互聯(lián)網(wǎng)上行鏈路，以多條萬兆鏈路匯聚方式，連接中國電信、中國聯(lián)通核心

交換機。鏈路間通過端口聚合實現(xiàn)鏈路負載均衡及冗余。

＞網(wǎng)絡(luò)擴展性

本次核心交換機的擴展性分三類：

其一，選購的核心交換機要求具有8個以上插槽，可隨著服務(wù)器規(guī)模的發(fā)

展，添加48口的千兆光纖板卡或8口的萬兆光纖板卡。通過擴充功能模塊的方

式擴展。

其二為垂直擴展，第一期中，先購置2臺核心交換機組建整體網(wǎng)絡(luò)。所有內(nèi)

外網(wǎng)邊緣交換機均統(tǒng)一接入這組核心交換機中。內(nèi)外網(wǎng)的安全邏輯隔離使用

VLAN方式實現(xiàn)。第二期購置2臺核心交換機組建內(nèi)網(wǎng)。通過內(nèi)外網(wǎng)邊緣交換機

光纖跳線，實現(xiàn)內(nèi)外網(wǎng)分離。

其三為橫向擴展，未來的網(wǎng)絡(luò)擴展性，通過核心交換機的橫向擴展來實現(xiàn)。

＞核心交換機

核心交換機技術(shù)特點：

?先進的體系結(jié)構(gòu)

要求采用全分布式體系結(jié)構(gòu)設(shè)計,具備全線速的業(yè)務(wù)處理性能以及交換容量

的可持續(xù)擴展能力。

?大容量、高密度線速交換

Switchingcapacity要求lTbps以上,Throughput要求600Mbps以上。支持

各種高密度業(yè)務(wù)板，整機支持500個以上的千兆端口，40個以上萬兆端口，滿

足核心層設(shè)備大容量、高端口密度的要求。

?強大的業(yè)務(wù)支撐能力

支持全面的MPLSVPN業(yè)務(wù)；支持完善的組播協(xié)議，包括IGMP、IGMP

Snooping,PIM-SM.PIM-DM.MSDP和MBGP等；支持NAT、Firewall等業(yè)務(wù)；

支持POS、ATM、RPR等WAN接口。

?支持新一代萬兆接口

支持新一代萬兆接口，在保持線速轉(zhuǎn)發(fā)的基礎(chǔ)上能夠支持ACL、QoS、MPLS

VPN、組播等業(yè)務(wù)，實現(xiàn)性能與功能的統(tǒng)一。除了提供標準的LAN接口外，還支

持WAN接口，提高組網(wǎng)的靈活性。

?分布式MPLSVPN處理

要求核心交換機更加智能化并具備強大的業(yè)務(wù)處理能力，實現(xiàn)分布式線速

MPLSVPN業(yè)務(wù)處理。

?完善的QoS機制

要求支持完善的Diff-Serv/QoS功能。支持流量監(jiān)管；支持流量整形，可基

于端口或隊列靈活設(shè)置；支持報文DSCP優(yōu)先級、IP優(yōu)先級、TOS優(yōu)先級、COS

優(yōu)先級以及Exp優(yōu)先級的重置功能；支持報文重定向功能，可根據(jù)網(wǎng)絡(luò)流量狀況

靈活配置報文的轉(zhuǎn)發(fā)路徑；支持SP、WRR、SP+WRR等多種模式的隊列調(diào)度機

制；支持Tail-Drop、WRED等擁塞避免機制；支持端口鏡像、流鏡像、流量統(tǒng)計

等功能。

?電信級可靠性設(shè)計

要求所有關(guān)鍵部件采用冗余設(shè)計，包括主控板、交換網(wǎng)、電源和風(fēng)扇等；所

有單板支持熱插拔功能，最大限度的減少對系統(tǒng)正常運行業(yè)務(wù)的影響；支持跨板

鏈路聚合、MSTP、VRRP和等價路由等協(xié)議，保障網(wǎng)絡(luò)的動態(tài)鏈路備份，滿足電

信級網(wǎng)絡(luò)可靠性要求，系統(tǒng)可靠性達到99.99%以上。

?完善的安全機制

支持OSPF、RIPv2及BGPV4報文的明文及MD5密文認證；支持安全的

SNMPV3的網(wǎng)管協(xié)議；支持配置安全，對登錄用戶進行認證，為不同級別的用戶

分配不同的配置權(quán)限；支持IP地址、VLANID、MAC地址和端口等多種組合綁

定方式，防范各種地址盜用；支持廣播報文抑制，有效控制ARP等非法廣播流

量對設(shè)備造成沖擊；支持URPF（單播反向路徑檢查），防止IP地址欺騙；支持

受限的IP地址的Telnet的登錄和口令機制；支持報文安全過濾，防止非法侵入

和惡意報文攻擊；支持端口鏡像，將有安全隱患的報文鏡像到分析端口，利用儀

器設(shè)備進行抓包分析并及時阻斷；支持IEEE802.1X.AAA/Radius、TACACS+,

對用戶身份進行合法性認證；支持內(nèi)置Firewall,有效保障網(wǎng)絡(luò)安全，為用戶構(gòu)

建立體安全網(wǎng)絡(luò)。

核心交換機設(shè)備選用高密度萬兆或千兆光口核心交換機組網(wǎng)。其中2臺核心

組建內(nèi)外網(wǎng)，第二期新增2臺核心獨立組建內(nèi)網(wǎng)。

核心交換機采用可靠性最高的雙機熱備份模式，關(guān)鍵設(shè)備全部雙機熱備份。

每臺核心交換機采用雙業(yè)務(wù)引擎板、雙電源、雙風(fēng)扇互為容錯冗余。保證單一設(shè)

備故障時，數(shù)據(jù)中心業(yè)務(wù)不受任務(wù)影響，徹底解決單點故障問題。

萬兆光纖接口板采用8口全線速萬兆卡，配多模短距萬兆模塊。

千兆光纖接口板采用48口全線速萬兆卡，配多模短距千兆模塊。

＞邊緣交換機

采用48端口千兆電口、4端口萬兆或千兆光口或48端口百兆電口，4端口

萬兆或千兆光口交換機為邊緣交換機。

Switchingcapacity要求96Gbps以上,Throughput要求72Mbps以上。

每臺邊緣交換機采用雙鏈路冗余備份設(shè)計，雙光纖分別上聯(lián)2臺核心交換

機，保證在某一條鏈路故障時，不影響整個數(shù)據(jù)中心的數(shù)據(jù)交換業(yè)務(wù)。

交換區(qū)域的可靠性通過STP實現(xiàn)，被STP阻斷的邏輯鏈路在線路或設(shè)備出

現(xiàn)故障的情況下可以自動釋放，形成新的拓撲結(jié)構(gòu)，保證網(wǎng)絡(luò)數(shù)據(jù)的正常傳輸。

＞廣域網(wǎng)負載均衡

廣域網(wǎng)負載均衡技術(shù)，在各運營商鏈路間、或各數(shù)據(jù)中心間與客戶端之間建

立智能的動態(tài)流量導(dǎo)向平臺，使用戶的請求能夠?qū)虻阶约涸L問質(zhì)量最好、最合

適的運營商鏈路或數(shù)據(jù)中心，當(dāng)在某一個數(shù)據(jù)中心出現(xiàn)故障時，能夠及時被發(fā)現(xiàn),

并將用戶請求導(dǎo)向到其它正常工作的數(shù)據(jù)中心站點,同時還要保證各數(shù)據(jù)中心站

點內(nèi)部的高性能訪問。

廣域網(wǎng)負載均衡設(shè)備應(yīng)支持各類廣域負載均衡算法，包括成靜態(tài)負載均衡算

法和動態(tài)負載均衡算法。

采用2臺硬件廣域網(wǎng)負載均衡設(shè)備，對中國電信及中國聯(lián)通2個運營商鏈

路實現(xiàn)負載均衡，通過內(nèi)部IP地址庫，將中國電信用戶導(dǎo)入電信鏈路，將中國

聯(lián)通用戶導(dǎo)入聯(lián)通鏈路。

同時輔助采用動態(tài)負載均衡算法，將來自第三方運營商及各球各國家地區(qū)的

用戶，通過路徑最短計算算法，相應(yīng)將這些用戶導(dǎo)入離這些用戶路徑最短、耗時

最少的鏈路內(nèi)。

2臺硬件廣域網(wǎng)負載均衡設(shè)備間互為容錯冗余。

同時采用BIND開源DNS服務(wù)作為備用服務(wù)，防止硬件廣域網(wǎng)負載均衡設(shè)

備失效后能快速恢復(fù)服務(wù)。

BINDDNS服務(wù)采用IP地址庫的判斷方式做為鏈路選擇算法。

＞局域網(wǎng)負載均衡

主要采用硬件負載均衡設(shè)備對局域網(wǎng)內(nèi)服務(wù)器進行負載均衡，實現(xiàn)服務(wù)器集

群。

硬件負載均衡設(shè)備支持多種均衡算法，支持SNAT及N-PATH兩種組網(wǎng)方

式。

硬件負載均衡設(shè)備應(yīng)具有高可靠性、雙機冗余、高并發(fā)性能、應(yīng)用加速、支

持七層內(nèi)容控制、可視化的管理視圖等技術(shù)質(zhì)點。

采用2臺支持萬兆流量，千萬并發(fā)連接數(shù)的硬件負載均衡設(shè)備作為應(yīng)用服務(wù)

器前端負載均衡。

同時采用開源LinuxLVS負載均衡技術(shù)作為硬件局域網(wǎng)負載均衡設(shè)備的備用

方式，并以此做為內(nèi)網(wǎng)服務(wù)器負載均衡。

2種負載均衡拓撲圖如下：

電信【DC聯(lián)追IDC

服務(wù)器集群服務(wù)器集群服務(wù)器集群服務(wù)器集群

2.3IP地址及DNS規(guī)劃

(1)IP地址規(guī)劃原則：

IP地址規(guī)劃原則如下：

1)IP地址的分配需要有足夠的靈活性，能夠滿足各種用戶接入需要；

2)地址分配是由業(yè)務(wù)驅(qū)動，按照資源池模塊業(yè)務(wù)量的大小分配地址段；

3)IP地址的分配采用VLSM(變長掩碼)技術(shù)，保證IP地址的利用效率。

4)IP地址規(guī)劃要兼顧網(wǎng)絡(luò)資源池規(guī)模擴展的需求，預(yù)留足夠的IP地址應(yīng)對

擴展，滿足大二層網(wǎng)絡(luò)和三層路由協(xié)議的需求，實現(xiàn)IP地址的平滑連接，保證

云數(shù)據(jù)中心的網(wǎng)絡(luò)擴展和有序管理。

(2)IP地址規(guī)劃總體規(guī)劃

云數(shù)據(jù)中心將分配1個B類“10”IP地址段和64個C類“192.168”IP地

址段，用于網(wǎng)絡(luò)資源池、云平臺管理和虛擬機管理

2.4計算存儲超融合

運算單元與儲存單元的融合

傳統(tǒng)IT架構(gòu)使用分離的運算與儲存單元，如以服務(wù)器搭配外接SAN儲存設(shè)

備等，超融合架構(gòu)則將運算與儲存單元合而為一，每個服務(wù)器節(jié)點單元同時兼有

提供運算資源與儲存空間的角色，也就是一種"Infrastructureinabox”的概念,

每一臺超融合架構(gòu)的服務(wù)器節(jié)點，都是自身擁有完整基礎(chǔ)設(shè)施的單元。

超融合架構(gòu)采取將多個節(jié)點組成叢集的方式，既能透過增加叢集節(jié)點的方式

提供擴充能力，也能透過叢集節(jié)點間的失效切換功能，來提供高可用性能力，并

藉由叢集節(jié)點間的寫入I/O鏡像復(fù)制功能，來提供數(shù)據(jù)保護能力。

所以藉由組成叢集，讓超融合架構(gòu)擺脫了SAN架構(gòu)的局限，借助構(gòu)成叢集

核心的分布式文件系統(tǒng)，直接使用服務(wù)器主機本身就能滿足運算與儲存需求。

超融合(HCI:Hyper-ConvergedInfrastructure):

/天然耦合：

/計算、網(wǎng)絡(luò)和存儲組件耦合，標準服務(wù)器硬件

/兩種或兩種以上的元素融合

/NoSAN:不再需要專門的SAN存儲

/軟硬結(jié)合：軟件與硬件緊密結(jié)合

/實現(xiàn)資源整合、統(tǒng)一管理與調(diào)配，可以很容易的橫向擴展

/提供存儲功能(快照、重刪和壓縮、復(fù)制等)

/虛擬化

/與Hypervisor虛擬化層緊密結(jié)合

/計算虛擬化、存儲虛擬化、網(wǎng)絡(luò)虛擬化

硬件環(huán)境

云平臺的硬件環(huán)境要求包括不同節(jié)點的服務(wù)器要求、網(wǎng)絡(luò)交換機要求和網(wǎng)絡(luò)

環(huán)境要求。下面是對硬件的最低要求清單。

服務(wù)器要求

?計算資源池服務(wù)器要求

項目要求

CPU2路Intel或AMD的64位8核CPU。CPU支持硬件虛擬化技術(shù)，

如Intel的VT-x或AMD的AMD-V,并已在BIOS中開啟CPU虛擬化

功能。同一集群內(nèi)計算節(jié)點CPU型號必須一致。

提示：主機CPU的虛擬化功能必須開啟，否則無法在主機上創(chuàng)建虛

擬機。

內(nèi)存28GB如果主機用于部署管理節(jié)點虛擬機，需至少滿足管理節(jié)點

虛擬機內(nèi)存規(guī)格+3GB。推薦內(nèi)存配置》128GB

網(wǎng)卡網(wǎng)卡數(shù)目23

lOGbENIC*2業(yè)務(wù)網(wǎng)絡(luò)和存儲網(wǎng)絡(luò)

lGbENIC管理網(wǎng)絡(luò)

磁盤2200G

?管理服務(wù)器要求

項目要求

CPUIntel或AMD的64位CPU。

內(nèi)存264GB。推薦內(nèi)存配置）48GB

網(wǎng)卡網(wǎng)卡數(shù)目導(dǎo)3

lOGbENIC*2業(yè)務(wù)網(wǎng)絡(luò)和存儲網(wǎng)絡(luò)

IGbENIC管理網(wǎng)絡(luò)

磁盤2200G

?網(wǎng)絡(luò)交換機要求

項目要求

交換容量21.28Tbps

轉(zhuǎn)發(fā)性能，720Mpps

|端口要求|實配萬兆電接口數(shù)量/48,支持40GE接口,40GE接口數(shù)Z2

?網(wǎng)絡(luò)環(huán)境要求

通信平面互通性要求

管理平面滿足管理節(jié)點與各計算節(jié)點的管理平面互通

業(yè)務(wù)平面與各計算節(jié)點業(yè)務(wù)平面的互通

存儲平面主機與存儲設(shè)備平面的互通

本次規(guī)劃服務(wù)器統(tǒng)一配置為1U的2路8核CPU、256G內(nèi)存、4個2TSATA

硬盤、4個1TSSD硬盤。

一個機柜放12臺1U機架式服務(wù)器。

一期投入5個機柜的服務(wù)器，總共60臺服務(wù)器及其網(wǎng)絡(luò)設(shè)備，構(gòu)成工業(yè)云

平臺的IT基礎(chǔ)設(shè)施。

2.5災(zāi)備方案

為了保障在數(shù)據(jù)中心不可用時，比如出現(xiàn)DDOS攻擊、數(shù)據(jù)中心物理損壞等

情況下，整個平臺能夠通過域名等方式切換到災(zāi)備中心中以保證平臺和數(shù)據(jù)的可

用性，需要有災(zāi)備中心。災(zāi)備中心有很多級別，我們在園區(qū)的數(shù)據(jù)中心發(fā)展初期

沒有必要建設(shè)一個物理雙活的災(zāi)備中心，這樣成本太高，因此先選擇在亞馬遜云

端建立一個虛擬災(zāi)備中心，將平臺中生產(chǎn)環(huán)境的應(yīng)用系統(tǒng)、模板、數(shù)據(jù)同步復(fù)制

到亞馬遜云的虛擬災(zāi)備中心，亞馬遜云的虛擬機數(shù)量可以隨時增加或減少。

2.6安全防護系統(tǒng)建設(shè)方案

(-)物理與環(huán)境安全

物理安全主要涉及環(huán)境安全(防火、防水、防雷擊等X設(shè)備和介質(zhì)的防盜

防破壞等方面。具體包括：機房選址、物理訪問控制、防盜竊和防破壞、防雷、

防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護等。

云計算中心機房、UPS電源、監(jiān)控等場地設(shè)施和周圍環(huán)境及消防安全，嚴格

按照國家相關(guān)標準，并滿足政務(wù)外網(wǎng)24小時不間斷運行的要求進行設(shè)計建設(shè)。

(二)主機安全

主機包括物理服務(wù)器、虛擬機，以及安全設(shè)備在內(nèi)的所有計算機設(shè)備，主要

指它們在操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)層面的安全。主機安全包括身份鑒別、訪問控制、

安全審計、入侵防范、主機惡意代碼防范、漏洞管理、備份與恢復(fù)等安全建設(shè)內(nèi)

容。

(1)身份鑒別

身份鑒別可分為主機身份鑒別和應(yīng)用身份鑒別兩個方面。

主機身份鑒別包括主機操作系統(tǒng)的賬戶管理和主機集中控管。主機操作系統(tǒng)

的賬戶管理必須滿足賬戶及密碼管理策略的要求，如賬戶權(quán)限、口令強度、登錄

失敗處理等。主機集中控管可通過域控制器(適用于windows操作系統(tǒng))或堡壘

機系統(tǒng)實現(xiàn).

(2)訪問控制

通過配置服務(wù)器安全加固系統(tǒng)實現(xiàn)訪問控制，包括服務(wù)器的授權(quán)，實現(xiàn)對數(shù)

據(jù)庫服務(wù)器、應(yīng)用服務(wù)器等關(guān)鍵服務(wù)器操作系的內(nèi)核級安全加固防護，實現(xiàn)文件、

注冊表、進程、服務(wù)等的強制訪問控制。

服務(wù)器安全加固系統(tǒng)的功能包括區(qū)分用戶與進程的文件強制訪問控制、區(qū)分

進程的注冊表強制訪問控制、區(qū)分進程的進程強制訪問控制、服務(wù)訪問控制、文

件完整性檢測、服務(wù)完整性檢測等。

(3)安全審計

包括主機及數(shù)據(jù)庫審計。

一是通過旁路監(jiān)聽的方式部署安全審計系統(tǒng)，只要在交換機上設(shè)置端口鏡像

或采用TAP分流，不需要對現(xiàn)有的網(wǎng)絡(luò)體系結(jié)構(gòu)(包括：路由器、防火墻、應(yīng)用

層負載均衡設(shè)備、應(yīng)用服務(wù)器等)進行調(diào)整。實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)流進行采集、分析

和識別，并對應(yīng)用層協(xié)議進行完整還原，根據(jù)制定的安全審計策略進行審計響應(yīng)，

對業(yè)務(wù)系統(tǒng)核心系統(tǒng)和核心應(yīng)用系統(tǒng)實現(xiàn)命令級別、訪問邏輯級別的認證和審計。

二是通過堡壘主機系統(tǒng)對操作系統(tǒng)、數(shù)據(jù)庫的運維操作行為進行審計。通過

將堡壘主機旁路接入?yún)R聚交換機，將主機及其他網(wǎng)絡(luò)設(shè)備的帳號密碼等信息錄入

堡壘主機系統(tǒng)之后，所有運維操作通過堡壘主機執(zhí)行，即可對系統(tǒng)維護進行授權(quán)

與審計。

三是開啟主機日志審計功能，由安全管理平臺進行采集和統(tǒng)一審計。

(4)入侵防范

包括主機及網(wǎng)絡(luò)兩個層面的入侵防范。

主機入侵防范通過執(zhí)行操作系統(tǒng)最小化安裝，最小化提供服務(wù)，定期進行漏

洞掃描及補丁升級等手段實現(xiàn)。

網(wǎng)絡(luò)入侵防范通過部署入侵檢測系統(tǒng)、WEB應(yīng)用防護系統(tǒng)等方法實現(xiàn)。

部署網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS),IDS采用全面深入的協(xié)議分析技術(shù)，結(jié)合模

式匹配、協(xié)議識別、協(xié)議異常檢測、關(guān)聯(lián)分析等多種技術(shù)，準確識別各種攻擊，

能夠檢測各種的網(wǎng)絡(luò)應(yīng)用層協(xié)議；支持檢測蠕蟲、網(wǎng)絡(luò)病毒，支持檢測間諜軟件，

支持檢測常見攻擊行為，包括溢出攻擊、暴力破解、SQL注入、DOS、掃描等攻

擊行為等；提供豐富的入侵阻斷和響應(yīng)方式，包括丟棄數(shù)據(jù)包、丟棄會話、控制

臺告警、Email、日志數(shù)據(jù)庫記錄、snmptrap,防火墻聯(lián)動。IDS用于監(jiān)控可能存

在的入侵和攻擊行為，實時監(jiān)控并采集發(fā)生的安全事件和安全趨勢，并上報至安

全管理中心進行區(qū)域風(fēng)險分析。

在服務(wù)接入?yún)^(qū)部署WEB應(yīng)用防護系統(tǒng)，在各個環(huán)節(jié)最大降低網(wǎng)站面臨的安

全風(fēng)險?？煞乐筍QL注入、跨站腳本（XSS）跨站偽造（CSRF\cookie篡改以

及應(yīng)用層拒絕服務(wù)攻擊等，降低網(wǎng)頁篡改及網(wǎng)頁掛馬等安全事件發(fā)生的概率；同

時可針對WEB服務(wù)器側(cè)響應(yīng)的出錯信息、惡意內(nèi)容及不合格內(nèi)容進行在線清洗,

確保網(wǎng)站的公信度。

（5）漏洞管理

漏洞管理主要目的是幫助保護主機（包括虛擬機X網(wǎng)絡(luò)設(shè)備，以及應(yīng)用程

序不受已知漏洞的攻擊。

本項目通過行業(yè)主流漏洞管理軟件實現(xiàn)漏洞掃描與安全處理。

1）漏洞的掃描：

2）漏洞的解決：

（6）備份與恢復(fù)

本項目將建設(shè)本地備份系統(tǒng)進行數(shù)據(jù)的備份和恢復(fù)。同時，對核心路由器、

交換機、數(shù)據(jù)庫服務(wù)器等關(guān)鍵硬件設(shè)備和鏈路采用冗余構(gòu)架進行建設(shè)。

（三）網(wǎng)絡(luò)安全

在網(wǎng)絡(luò)安全方面，主要做到以下幾個方面的安全防護，包括網(wǎng)絡(luò)架構(gòu)安全、

網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計、邊界完整性檢查、網(wǎng)絡(luò)入侵防御、網(wǎng)絡(luò)設(shè)備防護。

可采取的主要安全措施和技術(shù)包括防火墻、IPS、網(wǎng)絡(luò)安全審計系統(tǒng)、強身份認證

等。

(1)網(wǎng)絡(luò)結(jié)構(gòu)安全

網(wǎng)絡(luò)結(jié)構(gòu)安全是網(wǎng)絡(luò)安全的前提和基礎(chǔ)。關(guān)鍵網(wǎng)絡(luò)設(shè)備及重要網(wǎng)段要考慮設(shè)

備及鏈路的冗余備份；根據(jù)業(yè)務(wù)的重要性和所涉及的信息的重要程度等因素，劃

分不同的虛擬網(wǎng)絡(luò)、網(wǎng)段或VLAN；保存有重要業(yè)務(wù)系統(tǒng)及數(shù)據(jù)的重要網(wǎng)段不能

直接與外部系統(tǒng)連接；合理規(guī)劃路由，業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑。

等等。

(2)安全隔離及訪問控制

主要通過網(wǎng)絡(luò)虛擬化、三層MPLSVPN、二層VLAN實現(xiàn)。

1)安全域劃分

公用網(wǎng)絡(luò)區(qū)

專用網(wǎng)絡(luò)區(qū)

2)安全域之間訪問控制

各安全域之間采用相應(yīng)的安全防護手段進行有效的隔離，并對各安全域的進

行有效的整理和歸并，減少接口數(shù)量，提高安全域的規(guī)范性，做到"重點防護、

重兵把守"，保證系統(tǒng)及網(wǎng)絡(luò)的安全。

3)二層VLAN隔離

安全域內(nèi)部通過VLAN隔離不同的細分安全域，不同業(yè)務(wù)系統(tǒng)根據(jù)需要劃分

獨立的VLAN。

本方案使用虛擬化平臺，通過在虛擬交換機上對不同虛擬機劃分VLAN,在

動態(tài)遷移過程中，VLANID會隨虛擬機一同遷移，從基礎(chǔ)網(wǎng)絡(luò)上保證虛擬機遷移

過程的透明化。

(3)網(wǎng)絡(luò)入侵防御

采用防火墻、抗DDoS攻擊系統(tǒng)（流量清洗系統(tǒng)）和入侵防御系統(tǒng)技術(shù)抵抗

網(wǎng)絡(luò)攻擊。

第三章云計算平臺方案

3.1云平臺整體架構(gòu)

云管理平臺是云各項業(yè)務(wù)的管理中心，可以融合資源池化、生命周期管理、

業(yè)務(wù)中間件管理、租戶管理、身份認證、安全管理、計費與賬務(wù)、服務(wù)運營、服

務(wù)水平管理、業(yè)務(wù)流程自動化等內(nèi)容，是調(diào)度、管理云資源必不可少的手段，也

是ITIL理念架構(gòu)在云上的IT運維管理新形式。云管理平臺整體架構(gòu)示意圖如下

圖所示：

MP

H臺?第戶VM申謂存信申於敷班申鼻負CE均品申濡6文■申育

統(tǒng)

一

省

理

&

運

維

云管理平臺整體架構(gòu)示意圖

這里的核心基礎(chǔ)架構(gòu)是云計算，底層采用超融合技術(shù)，將計算、存儲、網(wǎng)絡(luò)

通過虛擬化融合到單個X86服務(wù)器上，通過增加服務(wù)器節(jié)點線性擴容資源池，利

用的是OpenStack和Ceph等開源技術(shù)。

在PaaS應(yīng)用支撐層，實現(xiàn)了4個封裝和服務(wù)開放，以及云端CPS。

1）對計算能力的封裝，包括云主機、容器、云盤等

2）對應(yīng)用服務(wù)的封裝和服務(wù)，包括Java的Spring微K務(wù)、中間件、數(shù)據(jù)

庫、緩存、消息隊列等

3）對算法和模型的封裝與服務(wù)，包括各種人工智能和大數(shù)據(jù)分析服務(wù)的算

法與模型

4）對工業(yè)業(yè)務(wù)能力的封裝和服務(wù)，包括工業(yè)機器設(shè)備的屬性庫、指標庫、

匹配、查詢、識別能力，以及工廠建模、仿真、數(shù)字可視化能力

云端CPS,即在云端對物理設(shè)備建立在互聯(lián)網(wǎng)云端的虛擬映像和建模，并提

供API調(diào)用對虛擬設(shè)備模型進行管理。

3.2云平臺概述

云平臺是一個致力于為工業(yè)應(yīng)用支撐的云計算管理平臺，未來是集成工業(yè)網(wǎng)

關(guān)、工業(yè)大數(shù)據(jù)分析、人工智能、工業(yè)應(yīng)用開發(fā)一體化的工業(yè)云操作系統(tǒng)，能夠

為制造業(yè)企業(yè)解決實際業(yè)務(wù)場景的能力，包含了對底層虛擬化資源環(huán)境的管理,

也包含了對上層業(yè)務(wù)應(yīng)用軟件運行環(huán)境的管理和服務(wù)。

云平臺產(chǎn)品概念。

應(yīng)用系統(tǒng)

應(yīng)用是指用戶需要運行的業(yè)務(wù)系統(tǒng)，包含開發(fā)到生產(chǎn)上線的多套環(huán)境，如開

發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境等。

服務(wù)

服務(wù)是指應(yīng)用需要部署的運行環(huán)境，一般1個應(yīng)用由1個或多個服務(wù)組成,

常用的服務(wù)包含oracle-jdk、Nginx、Tomcat、Redis、mongodb、MysqLzookeeper.

chrony、ntp等

云主機實例

云主機實例是支持服務(wù)運行的基礎(chǔ)資源云主機的規(guī)格包含了CPU和內(nèi)存，

您在創(chuàng)建云主機實例時可以隨意選擇CPU和內(nèi)存，也允許在云主機創(chuàng)建后進行

升級調(diào)整。

數(shù)據(jù)盤

數(shù)據(jù)盤是掛載在云主機實例上面，為云主機實例擴展存儲單元，目前數(shù)據(jù)盤

只能跟隨云主機存在，不能隨意進行掛載其他云主機。

公網(wǎng)IP

公網(wǎng)IP是在互聯(lián)網(wǎng)上合法的靜態(tài)IP地址。在系統(tǒng)中，公網(wǎng)IP地址需要與

云主機實例進行綁定關(guān)聯(lián)，可以將申請到的公網(wǎng)IP地址分配到1臺云主機實

例上，不能進行解綁。

快照

快照，是某一個時間點上某一個磁盤的數(shù)據(jù)備份。快照能夠解決當(dāng)磁盤上的

數(shù)據(jù)出現(xiàn)問題時，您希望能夠恢復(fù)到您所期望的數(shù)據(jù)狀態(tài)。

3.3云平臺的部分業(yè)務(wù)場景和功能

角色管理

包括云平臺管理員、運營管理員、租戶管理員、應(yīng)用管理員；

(1)云平臺管理員，負責(zé)云平臺資源池配置、運維訂單、資

源部署。

(2)運營管理員，負責(zé)企業(yè)賬號維護、資源定價、用戶反饋

意見處理。

(3)租戶管理員，是企業(yè)管理員，負責(zé)創(chuàng)建應(yīng)用系統(tǒng)和應(yīng)用

管理員，查看企業(yè)的資金配額和資源使用情況。

(4)應(yīng)用管理員，負責(zé)為應(yīng)用系統(tǒng)申請云主機資源，維護云

主機的生命周期管理。

項目管理

在企業(yè)內(nèi)部可以管理不同的應(yīng)用項目。

環(huán)境管理

指一個企業(yè)應(yīng)用可以有開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境等

資源池管理

屬于云平臺管理范疇,包含VMWare,OpenStack等不同的資源池

定價管理

包括對云主機、云盤等不同型號不同套餐的定義

服務(wù)目錄

創(chuàng)建應(yīng)用時，需要選購資源的規(guī)格、操作系統(tǒng)、中間件信息，提交資源申請。

租戶管理

一個租戶包含部門、應(yīng)用、資源，租戶成員可以租戶申請配額、資源，并擁

有對資源的操作權(quán)限。租戶內(nèi)的應(yīng)用系統(tǒng)有監(jiān)控和告警功能，可以將應(yīng)用發(fā)布到

SAAS市場。

平臺管理

支持對Openstack和VMware資源平臺進行管理，同步集群信息、租戶信

息、綁定存量資源等。

資源管理

(1)對云主機生命周期操作管理，包含創(chuàng)建、刪除、修改、更改配置、開

關(guān)機重啟、進入控制臺等。

(2)存儲，同步資源平臺的存儲信息。

(3)內(nèi)網(wǎng)管理，創(chuàng)建、刪除、修改、同步網(wǎng)絡(luò)。

方案管理

包含計算方案、操作系統(tǒng)、鏡像方案、租戶配額策略；支持Openstack和

VMware

應(yīng)用監(jiān)控、告警

(1)監(jiān)控：包含CPU、內(nèi)存、磁盤、網(wǎng)絡(luò)、進程；

(2)設(shè)立告警閥值，告警閥值包含CPU使用率、內(nèi)存使用率、文件系統(tǒng)使

用率；

曰志管理

支持對物理服務(wù)器、虛擬服務(wù)器操作日志管理和分析。

配額管理

1、配額介紹

配額是云平臺使用虛擬貨幣，用于使用經(jīng)濟的手段控制用戶對資源使用量,

一般配額等于貨幣。云平臺提供的資源和服務(wù)，都會按照實際的價值進行定價，

用戶所申請的資源或服務(wù)，都需要通過支付配額的方式完成。

配額管理分為配額分配、回收、扣款、退款這四種方式：

配額分配：平臺給企業(yè)賬號充值資金；

配額回收：平臺給企業(yè)賬號扣除資金；

平臺營收:企業(yè)在購買平臺資源或服務(wù)時，需要向平臺支付資源的費用；

平臺退款：企業(yè)提前退訂資源或服務(wù)，平臺需要退還租期的差價；

2、企業(yè)賬戶

配額的存管、流轉(zhuǎn)需要平臺的虛擬賬戶進行流轉(zhuǎn)，因此每個企業(yè)在開通時,

需要給每個企業(yè)一個單獨的企業(yè)賬戶，用于管理配額；平臺負責(zé)給企業(yè)賬戶進

行配額分配、回收；同時記錄平臺的營收和退款；

企業(yè)賬戶

企業(yè)賬戶的基本信息包含賬戶的可用配額、已