XXX云计算平台建设总体技术与方案

-*单位*云计算平台工程技术方案二O一二年一月. z.-目 录第1章.根本情况61.1.工程名称61.2.业主单位61.3.工程背景61.3.1.*技术开展方向61.3.2.有关*公开的相关要求71.4.建立规模71.5.投资概算101.6.设计依据101.7.设计范围101.8.设计分工11第2章.现状及需求分析122.1.工程意义及建立必要性122.2.现状分析132.3.需求分析142.3.1.长期需求142.3.2.本期需求14第3章.总体设计173.1.建立目标173.1.1.预期总目标173.1.2.阶段性目标183.2.建立内容193.3.系统的总体构造193.3.1.设计原则193.3.2.*外乡化战略213.3.3.建立思路223.3.4.总体拓扑构造243.4.信息的分类编码体系273.5.质量保证体系28第4章.建立方案304.1.网络资源池314.1.1.组网物理拓扑图314.1.2.网络负载均衡设计324.1.3.网络虚拟化设计34地址及DNS规划384.1.5.网络端口资源估算434.2.计算资源池444.2.1.计算资源池架构444.2.2.应用系统分析454.2.3.计算资源池建议配置与选型建议464.2.4.计算资源池部署494.2.5.虚拟化软件选型分析514.3.云计算管理平台534.3.1.云资源管理平台建立方案544.3.2.云运营管理平台建立方案644.4.云计算平安防护方案744.4.1.云计算平台平安威胁744.4.2.云计算平台平安防护目标754.4.3.云计算平台平安架构76层平安76层平安92层平安934.4.7.公共平安954.4.8.平安管理制度1014.4.9.云平安效劳1024.5.机房方案1034.5.1.机房设备集中管理1034.5.2.布线系统1044.5.3.机房系统104配置方案1064.6.标准化工作1124.6.1.标准标准建立的原则1124.6.2.标准标准的总体框架113第5章.设备配置要求116第6章.工程实施与运行维护1216.1.建立流程及进度安排1216.1.1.团队组建1226.1.2.业务连续性方案规划1236.1.3.实施方案详细设计1236.1.4.实施方案详细会审1246.1.5.运维制度的设计1246.1.6.运维制度的会审1266.1.7.采购设备和根底设施改造1266.1.8.平台机房端系统改造调测1276.1.9.设备安装调测1276.1.10.系统联调1286.1.11.人员技术和制度培训1296.1.12.工程验收投产1296.2.工程建立管理及组织机构1306.2.1.领导组织机构1306.2.2.工程建立机构1306.2.3.工程沟通1316.2.4.工程文档管理1326.2.5.运维及管理的组织机构1336.2.6.运维及管理的标准1346.2.7.运维模式1366.2.8.人员配置和培训136第1章. 根本情况1.1. 工程名称*单位*云计算平台工程。1.2. 业主单位*单位。1.3. 工程背景1.3.1. *技术开展方向*，即运用计算机、网络和通信等现代信息技术手段，实现政府组织构造和工作流程的优化重组，超越时间、空间和部门分隔的限制，建成一个精简、高效、廉洁、公平的政府运作模式，以便全方位地向社会提供优质、标准、透明、符合国际水准的管理与效劳。随着网络技术、web2.0、下一代互联网等技术的开展，我国*建立也发生着变化。2021年10月，国务院发布了?国务院关于加快培育和开展战略性新兴产业的决定?，就把新一代信息技术产业作为十二五时期的重点方向，要推动新一代移动通信、下一代互联网核心设备和智能终端的研发及产业化，加快推进三网融合，促进物联网、云计算的研发和示范应用。1.3.2. 有关*公开的相关要求全国*领导小组发布了?关于开展依托*平台加强县级政府*和政务效劳试点工作的意见?，就开展依托*平台加强县级政府*和政务效劳试点工作提出了相关意见。要求在试点县市、区，用一年左右时间，建立和完善统一的*平台，充分利用平台全面、准确发布政府信息公开事项，实时、标准办理主要行政职权和便民效劳事项，并实现电子监察全覆盖，为在全国全面推行奠定根底、积累经历。1.4. 建立规模本期建立规模为后续根据实际效劳器及机房环境进展调整：编号设备数量单位硬件设备1.1刀片式PC效劳器片刀片效劳器机箱个1.2机架式PC效劳器4CPU台1.3机架式PC效劳器2CPU台1.4FC SAN磁盘整列台1.5NAS存储系统台1.6异构存储云存储控制系统台1.7虚拟带库台1.8SAN光纤交换机台1.9核心交换机台1.10会聚交换机台1.11链路负载均衡设备台1.12效劳器负载均衡设备台1.13防火墙台1.14接入交换机台1.15WEB应用防护抗攻击系统台1.16入侵防御系统台1.17防病毒网关台1.18VPN网关台1.19数据库平安审计系统台1.20运维平安审计系统台1.21平安代理应用效劳器台1.22PKI应用效劳器台1.23身份认证系统套1.24网闸台1.25网络KVM台1.26KVM集中器台1.27短信机MAS信息机台2.1云计算平台管理软件套2.2Vmware vSphere4.1企业版1CPU72套，Vmware vCenter标准版1套套2.3Gala*8800 Operating Edition V100R001 for 1CPU，一年技术效劳套2.4Windows Server 2021 R2中文企业版套2.5RedHat Enterprise Linu*-企业版套2.6物理机高可用群集软件套2.7虚拟机高可用群集软件套2.8应用效劳器软件套2.9Oracle数据库管理系统套2.10MSSQL数据库管理系统套2.11MySql数据库管理系统套2.12数据备份软件套2.13目录效劳器软件套2.14防病毒软件套2.15漏洞扫描设备台2.16网页防篡改软件套2.17SOC平安管理系统套2.18云平安效劳套3.1UPS套3.2标准机架台3.3机房精细空调台1.5. 投资概算本工程本期工程概算总投资为*万元人民币。1.6. 设计依据?中华人民*国国民经济和社会开展第十二个五年规划纲要?；?计算机场地技术条件?GB2887-89?计算站场地平安要求?GB9361-88?电子计算机机房设计标准?GB50174-93?供配电系统设计标准?GB50052-92?低压配电装置及线路设计标准?GBJ83?建筑物防雷设计标准?GB50057-94?电子设备雷击保护守则?GB7450-87?工业企业通信接地设计标准?GBJ79-95?中华人民*国*标准?BMB3-1999?涉密信息设备使用现场的电磁泄漏发射防护要求?BMZ1-2000?涉及国家*的计算机信息系统*技术要求?BMZ1-2000?涉及国家*的计算机信息系统平安*方案设计指南?BMZ2-2001?涉及国家计算机信息系统平安*测试指南?BMZ3-20011.7. 设计范围本方案涉及范围包括以下几个局部：（1） 根本情况；（2） 现状与需求分析；（3） 总体设计；（4） 建立方案；（5） 设备配置要求；（6） 培训及维护；（7） 工程实施；（8） 概算编制。1.8. 设计分工待定。第2章. 现状及需求分析2.1. 工程意义及建立必要性*单位作为信息化建立持续居于全国前列的经济信息大省，对云计算的表现模式及其能够带来的经济效益表现出持续关注。本工程提出建立政务云计算平台，对于整合*资源、提高省直部门计算资源配置效率，建立重复信息化投资，打造绿色*，推动高新技术产业开展，都具有长远的现实意义。1云计算是信息技术和产业开展的必然趋势云计算是网格计算、分布式计算、虚拟化等传统计算机技术和网络技术开展融合的产物。它旨在通过网络把多个本钱相对较低的计算实体整合成一个具有强大计算能力的完美系统，并借助SaaS、PaaS、IaaS、MSP等先进的商业模式把这强大的计算能力分布到终端用户手中。作为一种新兴技术和商业模式，云计算将加速信息产业和信息根底设施的效劳化进程，催生大量新型互联网信息效劳，带动信息产业和信息化建立格局的整体变革。加快云计算开展，不仅是我省提升数字*综合竞争力、培育新增长点的重要途径，也是促进产业机构调整、率先实现跨越式开展的重要举措。2县级*是推动*单位云计算应用的第一步云计算是当今信息技术、信息化的战略制高点。当前，我省正在贯彻落实?国务院办公厅转发全国*领导小组关于开展依托*平台加强县级政府*和政务效劳试点工作意见的通知?，将县级*作为推动*单位云计算应用的第一步，在实践中摸索云计算为*单位带来的新机遇，通过政府应用起到的示范和带动作用，促进全省信息化建立水平的提高，带动信息产业的开展，战略信息技术及产业的战略高地。3提高政务部门计算资源配置效率，减少重复建立，节能减排*单位*建立以来，全省部署了大量的业务应用系统，涉及海量的网络设备、效劳器及存储设备。这些设备CPU和内存利用率残差不齐，大多数较低，局部工作效率在20%以下，同时也有局部部门计算硬件资源极端匮乏。这样，不仅闲置了珍贵的计算资源，浪费了电力，不利于节能减排，又未能很好地解决资源匮乏部门的实际问题。如果将这些设备整合建立为云计算平台，效劳器的利用效率将得到极大提升40%60%，能够动态、弹性、可回收地为各政务部门提供效劳。总之，云计算可望提高应用程序部署速度、促进创新和降低本钱，同时还增强了业务运作的敏捷性。本工程对我省云计算的开展和应用具有带动、示范、效劳、探索等多重作用，对带动我省信息化建立进入新阶段，探寻我省新的经济建立模式具有重大的现实意义，有必要尽快实施。2.2. 现状分析*单位已经建成了较为完善的*网络系统，经过04年、06年两次大的扩容改造后，覆盖全省的*网络全面建成，信息资源目录体系与交换体系、信息资源公开和共享机制、信息平安根底设施根本建立，重点业务应用系统实现互联互通，管理体制进一步完善，信息技术在政府工作中得到普遍应用。*单位信息中心作为负责*单位政府政务数据中心建立和维护的核心信息化部门，效劳于*单位政府部门宏观决策支持、信息资源开发利用、数据交换、*、信用体系建立等六大重点业务，按照工信部和国家发改委的要求，近年来一直致力于政务云计算的铺垫和准备工作，逐步完成了政务数据整合和云就绪准备的前期工作。为推动数字*建立科学开展，创新*建立模式，推进云计算应用及相关产业的开展，根据省领导指示精神，下一步将重点建立*单位政务云。在完成了各部门分散的IT资源和信息数据的整合之后，政府将通过云计算平台，实现面向更多公众效劳、带动本地信息化开展等目标。2.3. 需求分析2.3.1. 长期需求满足未来10年*单位信息化建立基于*的信息系统对网络、效劳器、存储、软件等根底架构的需要，面向全省政务系统提供信息共享平台及云计算平台。根据*单位政府和省经信委对数字*的长远规划，不仅要搭建*云计算平台，试点并承载相关业务，还需要进展*云计算平台的开发和建立，运行核心业务系统。2.3.2. 本期需求满足今后3到5年*单位信息化建立基于*的信息系统对网络、效劳器、存储、软件等根底架构的需要。鉴于每个应用系统对根底架构资源的需求难以确定，本期工程暂时按照最小经济规模的云计算平台建立，计算资源池的效劳器物理数量规划为*台，存储及网络设备根据实际需要进展配套。2.3.2.1. 硬件需求本次需要配置的硬件包括：主机：刀片效劳器、机架式效劳器等；存储：SAN存储、NAS存储、IP存储、虚拟带库、易购存储控制系统、SAN交换机等；网络设备：路由器、交换机、负载均衡、VPN网关等；平安设备：防火墙、入侵防御、防毒墙、运维平安审计系统、数据库平安审计系统、漏洞扫描系统。2.3.2.2. 软件需求除了需要配置一定数量的效劳器、存储、网络设备和平安防护设备外，还需要配备相应的系统软件，如：1、 每台物理效劳器和虚拟效劳器的操作系统：Windows、Linu*等效劳器操作系统。2、 虚拟化软件：实现效劳器和存储资源的虚拟化，建立弹性、智能、可回收的资源池；对于新购置的设备，需要进展虚拟化套件的安装调试。3、 中间件：JAVA及.NET架构的应用效劳器等。4、 大型数据库系统：Oracle、SQL Server、MySQL等。5、 云计算管理平台：包括网络管理、资源管理、用户管理、统计报表、账单、监控、告警等管理功能。2.3.2.3. 平安需求虚拟机的应用将导致物理网卡上的流量成几何倍数增加，为了应对云计算环境下的流量变化，平安防护体系的部署需要朝着高性能的方向调整。平安设备必然要具备对高密度的10GE设置100G接口的处理能力。同时，考虑到云计算环境的业务永续性，设备的部署必须要考虑到高可靠性的支持，不仅要考虑到设备的可靠性，如采用高性能高可靠高成熟的产品，还应该考虑到设计的可靠性，如双机热备、设备虚拟化、配置同步、板件冗余和预留、跨设备链路捆绑、硬件ByPass等技术的应用。配置防火墙、入侵防御、漏洞扫描、网页防篡改、全接入网关和身份认证系统，并从平安区域划分、接入层平安、效劳器区的平安和平安管理等多方面加强云计算平台的防护。特别是接入层，采用VPN网关，注册用户从云计算管理中心获得VPN Client，通过 VPN Client就可以连接到自己需要的云。效劳器平安方面，所有物理效劳器全部配置相应的平安策略，制止不用的端口的访问，同时在虚拟机模板系统中只翻开最小可用端口如SSH、 、 s等，以保证初始系统的平安性。建立应用节点准入标准，保证应用节点自身的平安防护，防止云内发生穿插感染。平安管理方面，则以管理制度为主、技术管控为辅，双管齐下。2.3.2.4. 机房需求鉴于信息中心机房UPS、精细空调承载有限，本工程本期工程应做相应扩容建立。第3章. 总体设计3.1. 建立目标3.1.1. 预期总目标整合信息化建立资源，充分利用现有政府和政务行政效劳中心根底设施，结合集约化社区效劳信息网络平台建立，对现有*平台进展调整、升级和改造，满足*和政务效劳应用需要。具体包括：（1） 采用云计算技术，结合创新建立模式，搭建标准统一、功能完善、系统稳定、平安可靠、纵横互通、集中统一的*云计算平台，为各部门信息资源共享、数据交换和系统办公提供良好的支撑。（2） 通过建立*云计算平台，方便未来将新增*应用快速部署到云计算平台上，大大缩短新IT系统的上线时间，预期将节省设备30%，节约能耗50%。（3） 解决“信息孤岛，实现信息共享，提高信息平安水平，提升政府监控能力和响应速度，提高工作效率和公共效劳水平，提供面向社会的专业性效劳和为社会公众提供政务信息效劳。（4） 通过降低本钱、提升效率、节能减排，满足*要贯彻落实科学开展观，转变开展模式的需要。（5） 满足在云计算平台上搭建*应用系统的需要，包括以三层架构为主的应用系统，以及大访问量的应用系统、大数据处理量的应用系统以及大计算量的应用系统。云计算试点业务运行稳定之后，普及和推广云计算模式，将*系统、政府应用系统、政务效劳业务应用系统、电子监察应用系统等纳入政务云计算平台，通过建立政务效劳事项信息库、办理过程信息库、办理结果信息库、监察规则信息库、监察业务信息库等五个信息库，实现政务效劳和电子监察信息资源管理。*单位政务云计算建立的总体目标是，实现省级政务系统数据共享，利用云计算弹性、智能、可回收的技术优势，低投资、低能耗、高效率地部署居民安康档案系统、统计直报系统、生猪屠宰监管与溯源系统等与政务职能工作相关的应用系统。*网络、政府、业务管理系统、应用及数据效劳中心和信息平安保障体系等纳入统一的政务云计算平台。3.1.2. 阶段性目标为满足*和政务效劳试点工作的业务需求，基于网络技术、云计算等新兴IT技术手段，建立统一的*承载平台，根据*和政务效劳目录，将更多的行政职权纳入电子化平台的业务系统办理，建立覆盖行政职权和便民效劳事项办理流程的各个环节的电子监察体系。在初步阶段根底设施先行，建立*单位*统一根底承载平台，基于云计算的模式，融入虚拟化等技术，具备统一、共享的特性，可以承载*、金宏工程等试点业务应用。同时为下一阶段进一步开展云计算的PAAS、SAAS等业务平台应用，进展经历积累和技术探索。3.2. 建立内容本工程在充分整合*数据中心资源的根底上，配置必要软硬件设备，为省直部门的信息系统提供统一的根底设施效劳，在IaaS层构建较为完整的*云计算平台。建立内容包括以下几局部：硬件设备：刀片效劳器、机架式效劳器、SAN存储、NAS存储、IP存储、虚拟带库、易购存储控制系统、SAN交换机、路由器、交换机、负载均衡、VPN网关。软件设备：物理效劳器和虚拟效劳器的操作系统、虚拟化软件、中间件、大型数据库系统、云计算管理平台。平安系统：防火墙、入侵防御、防毒墙、网页防篡改、身份认证系统、运维平安审计系统、数据库平安审计系统、漏洞扫描系统。同时采购专业机构提供的云平安效劳等。机房配套设备：UPS、精细空调、标准机架。3.3. 系统的总体构造3.3.1. 设计原则1、 标准化当前阶段云计算整个产业化还不够成熟，相关标准还不完善。网络是云计算的核心承载平台，为保证多厂商的良好兼容性，防止厂商技术锁定，网络方案的设计应需要采用标准技术与协议，能够与第三方厂商保持良好的对接。此外，为保证方案的前瞻性，设备的选型应充分考虑对云计算相关标准如EVB/802.1Qbg,TRILL等的扩展支持能力，保证良好的先进性，以适应未来的技术开展。2、 高可用为保证数据业务网的核心业务的不中断运行，在网络整体设计和设备配置上均是按照双备份要求设计的。在网络连接上消除单点故障，提供关键设备的故障切换。关键设备之间的物理链路采用双路冗余连接，按照负载均衡方式或active-active方式工作。关键主机可采用双路网卡来增加可靠性。全冗余的方式使系统到达99.999%的电信级可靠性。要求网络具有设备/链中故障毫秒的保护倒换能力。具有良好扩展性，网络建立完毕并网后应可以进展大规模改造，效劳器集群、软件功能模块应可以不断扩展。良好的易用性。简化系统构造，降低维护量。对突发数据的吸附，缓解端口拥塞压力，能保证业务的流畅性等。3、 增强二层网络云计算环境下，虚拟机迁移与集群是两种典型的应用模型，这两种模型均需要二层网络的支持。随着云计算资源池的不断扩大，二层网络的范围正在逐步扩大，甚至扩展到多个数据中心内，大规模部暑二层网络则带来一个必然的问题就是二层环路问题。采用传统STP+VRRP技术部署二层网络时会带来部署复杂、链路利用率低、网络收敛时间慢等诸多问题，因此网络方案的设计需要重点考虑增强二层网络技术如IRF/VSS、TRILL、VPLS等的应用，以解决传统技术带来的问题。4、 虚拟化虚拟资源池化是网络开展的重要趋势，将可以大大提高资源利用率，降低运营本钱。应有效开展效劳器、存储器的虚拟资源池化技术建立，网络设备的虚拟化也应进展设计实现。效劳器、存储器、网络及平安设备应具备虚拟化功能。5、 高性能由于云计算网络中的流量模型发生了变化，而随着整个云计算业务的开展，业务都分布在各个效劳器上，流量模型从纵向流量转换成复杂的多维度混合的方式，整个系统具有较高的吞吐能力和处理能力，系统各层均不存在阻塞，具备对突发流量的承受能力。6、 开放接口为保证效劳器、存储、网络等资源能够被云计算运营平台良好的调度与管理，要求系统提供开放的API接口，云计算运营管理平台能够通过API接口、命令行脚本实现对设备的配置与策略下发。7、 绿色节能节能减排是目前网络建立的重要系统工程之一，从网络机房的整体能耗来看，IT设备约占到30%，空调等制冷系统约占45%，UPS、照明等辅助系统约占25%。所以作为IT设备的节能，不仅要考虑本身能耗比拟低，而且要考虑其热量对空调散热系统的影响。应采用低能耗的绿色网络设备，采用多种方式降低系统功耗。3.3.2. 建立思路 云计算是一种新型的计算资源利用模式。它将计算任务分布在大量计算机构成的资源池上，使各种应用系统能够根据需要获取计算力、存储空间和信息效劳。按照效劳实现的程度，目前云计算主要有IaaS、PaaS、SaaS三种业务模式： 1)根底架构效劳(IaaS) Iaas层是以效劳的模式提供虚拟硬件资源，主要是将根底设施资源计算、存储、网络带宽等进展虚拟化和池化管理，便于实现资源的动态分配、再分配和回收。目前资源池主要分为计算资源池、存储资源池和网络资源池，同时也包括软件和数据等内容资源池。在效劳提供方面主要以计算资源、存储资源提供为主，如为业务信息系统分配虚拟效劳器、有储空间，提供给用效劳器、数据库管理系统等应用系统运行环境。 2)应用平台效劳(PaaS) PaaS层主要提供给用开发、测试和运行的平台，用户可以基于该平台，进展应用的快速开发、测试和部署运行，它依托于云计算根底架构，把根底架构资源变成平台环境提供给用户和应用。为业务信息系统提供软件开发和测试环境，同时可以将各业务信息系统功能纳入一个集中的SOA平台上，有效地复用和编排组织内部的应用效劳构件，以便按需组织这些效劳构件。典型的如门户平台效劳，可为用户提供快速定制开发门户提供给用软件平台，用户只需在此平台进展少量的定制开发即可快速部署应用。 3)应用软件效劳(SaaS) SaaS软件即效劳，典型的运用模式就是用户通过标准的WEB浏览器来使用Internet上的软件，因此可以不必购置软件，只需要按需租用软件，直接应用。典型的如电子系统的在线软件效劳，用户只需作简单的域名设置，即可部署本单位的电子效劳。 鉴于云计算平台应用需求的提出是一个渐进的过程，云平台建立是一项复杂的系统工程，建议*云计算平台遵循长期规划、分步实施的原则，本期工程首先实现IaaS，后续工程根据应用的实际需求逐步支持PaaS和SaaS的实现。3.3.3. 总体拓扑构造图1：*云计算平台总体拓扑构造图 根据本期工程的需求和建立目标，*云计算平台总体逻辑拓扑构造如上图所示。通过链路负载均衡器实现多互联网出口具体链路供给商待定链路负载均衡及高可用。任何ISP专线故障，不影响业务系统正常访问；通过智能DNS系统实现接入用户的就近访问，即电信用户访问互联网接入区走电信链路，联通用户访问互联网接入区走联通链路。 图2：*云计算平台云效劳分层架构图*单位*云计算平台云效劳分层架构图如上图所示。整个架构分为三层和两体系：根底设施效劳层(IaaS)、平台效劳层(PaaS)、应用软件效劳层(SaaS)、信息平安体系和运营管理体系，其*息平安体系和运营管理体系有信息平安管理平台和运营管理平台构成。IAAS及管理、平安体系建立是本次的建立内容，PAAS、SAAS在后续规划建立。 1、根底设施效劳层包括硬件根底设施子层、虚拟化&资源池化子层、资源调度与管理自动化子层。硬件根底设施子层：包括主机、存储、网络及其他硬件在内的硬件设备，它们是实现云计算的最根底资源； 虚拟化&资源池化层：通过虚拟化技术进展整合，形成一个对外提供对资源的池化管理包括网络池、效劳器池、存储池等，同时通过云管理平台，对外提供运行环境等根底效劳。 资源调度与管理自动化子层：在对资源物理资源和虚拟资源进展有效监控、管理的根底上，并且通过对效劳模型的抽取，提供弹性计算、负载均衡、动态迁移、按需供给、自动化部署等功能，它是实现云计算的关键所在。 2、平台效劳层主要在IaaS之上提供统一的平台化系统软件支撑效劳，包括统一身份认证效劳、访问控制效劳、工作流引擎效劳、通用报表、决策支持等。这一层不同于以往传统方式的平台效劳，这些平台效劳也要满足云架构的部署方式，通过虚拟化、集群、负载均衡等技术提供云状态效劳，可以根据需要随时定制功能及相应的扩展。3、应用软件效劳层，是整个*对外提供的终端效劳，可以划分为根底效劳和专业效劳。根底效劳提供统一门户登录、统一通讯等功能，专业效劳主要指*的各种业务应用如流动人口管理、GIS系统、行政审批、网上执法等等。它们通过应用部署模式相底层的稍微变化，都可以在云计算架构下实现灵活的扩展和管理。按需效劳是*SaaS应用的核心理念，多租约SaaS应用可以满足不同政府用户的个性化需求，通过多个租约向用户提供有差异的效劳，通过负载均衡满足大并发量用户效劳访问等。 4、云计算平台信息平安管理体系，针对云计算平台建立以高性能高可靠的网络平安一体化防护体系、虚拟化为技术支撑的平安防护体系、集中的平安效劳中心应对无边界的平安防护、利用云平安模式加强云端和客户端的关联耦合和采用非技术手段补充等保障云计算平台的平安。 5、运营管理体系：保障云计算平台的正常运行，提供故障管理、计费管理、性能管理、配置管理、平安管理等等。3.4. 信息的分类编码体系 信息分类编码体系将遵循?政务信息资源目录体系?( GB/T21063-2007)及相关业务、技术、数据标准和标准进展标准化建立。 (1)信息分类编码设计遵循的主要原则 分类和编码的根本原则遵循GB/T7027-2002规定，采用混合分类法；分类类目编码使用的罗马字符和阿拉伯数字遵循GB18030-2000的规定。 唯一性原则：编码要唯一识别，不能有二意性，不能重复； 标准化原则：尽量采用国际标准、国家标准、部级标准及“数字*的标准标准； 简单化原则：代码要简单明了，易读、易懂、易使用；快捷性原则：有快速识别、快速输入和计算机快速处理的性能； 系统性原则：要全面、系统地考虑编码设计的体系构造； 扩大原则：可根据实际情况对主题分类进展类目扩大，扩大的类目应分别符合类目的设置规则，分类代码的配置应符合代码构造中的规定，并注意助记性。 映射原则：使用中假设采用了主题分类以外的其他分类，应建立这些分类的类目表与主题分类的双向映射关系。 分类扩展原则：在建立信息资源目录体系时，目录体系中的信息资源分类应采用主题分类，也可根据具体应用情况选择其他分类方法与主题分类共同进展分类，如部门分类、效劳分类、资源形态分类等；假设采用扩展分类代码，则其分类代码的配置应符合代码构造中的规定。 (2)信息分类编码框架体系 根据实际情况，*单位*云计算平台建立工程的信息分类编码体系按信息技术自身属性进展划分，其体系框架有以下几个分体系： 信息分类：包括适用于各种应用系统的开发、数据库系统的建立和数据交换的标准； 代码构造：采用统一的代码构造，代码编制规则：分类类别用l位大写罗马字符表示“Z代表主题分类；一级类用l位大写罗马字符表示；二级类用l位大写罗马字符及2位阿拉伯数字表示。 术语和技术词江：主要包括与信息化有关的术语标准，*云计算平台建立过程中遇到的主要名词、术语和技术词汇。 工程管理和建立标准：根据国家的有关规定，标准工程系统的管理和运行机制；制定*云计算平台建立工程实施及管理的有关规程。 系统的管理和运行机制：标准工程系统的管理和运行机制； 计算机通信网络：包括计算机通信和网络根底设施建立、技术标准、管理标准等； 信息平安：适用与信息平安有关的信息技术应用系统建立。3.5. 质量保证体系 (1)系统质量保证体系将遵循“数字*的系统设计标准 建立质量控制流程； 建立系统编制标准； 制定系统测试的标准和方法； 在每个阶段标准工程工作和改良工程质量。 (2)本工程将制定系统设计标准包括程序名、文件名和变量的标准化以及数据字典等，并要求在实施过程中提供以下技术文档： 工程规划与系统实施方案； 系统体系架构及描述； 系统软件功能设计说明书； 系统需求规格说明书； 系统概要设计、详细设计说明书； 数据库设计说明书；系统代码设计说明书；系统测试方案及测试分析报告；系统软硬件配置说明；系统安装维护手册、用户使用手册；系统软硬件培训资料；系统故障及应急处理预案说明书第4章. 建立方案 基于本期*单位*云计算平台的建立思路一一搭建基于IaaS层面的云计算平台，如何采用云计算技术建立动态的IT资源平台，并使之具备快速IT效劳交付能力，进而通过动态的IT架构来应对有关省直单位*业务开展的需要；将应用和业务从底层的IT资源中别离出来，提高系统的可移植性，并能够充分利用更加优化的系统和网络资源以提高效率、降低整体本钱是本期建立方案需要重点解决的问题。 为此，我们建议以*应用系统为顶层架构来搭建*单位*云计算资源池，它是由计算资源池、存储资源池、网络资源池、*应用程序以及运营管理平台共同组成，运营管理平台负责对资源池和应用进展管理调度及告警监控。其组成框架如以下图所示。图3：资源池组成框架图以下针对*云计算资源池的各组成局部分别进展具体阐述。4.1. 网络资源池4.1.1. 组网物理拓扑图*云计算平台组网物理拓扑如以下图所示：图4：*云计算平台组网物理拓扑图本工程新增3根移动专线接入，单根200Mpbs带宽。一根为*互联网接入区对外提供效劳用，一根用于VPN专线，一根用于*办公人员访问互联网使用。 整个云计算平台在组网设计上满足双网双平面构造，从网络接口、网络链路到关键网络设备均配置冗余部件。在网络接口上每台物理效劳器至少配置3*网卡，分别用于业务效劳、虚拟化平台宿主机管理、IP存储系统互联。业务效劳网络根据业务属性不同，通过MPLS VPN划分为公用网络区、互联网接入区、专用网络区。虚拟化计算资源可以在不同的网络区域中自由迁移。 在会聚层旁挂防火墙、隔离网闸、运维审计、数据库审计系统等平安设备。其中防火墙用于实现同一网络区域中不同业务系统的之间的平安隔离；隔离网闸用于在MPLS VPN隔离的不同网络区域之间进展平安数据交换，同时用于*和*之间的数据平安交换。4.1.2. 网络负载均衡设计 网络负载均衡分链路负载均衡和本地负载均衡，总体逻辑示意图如以下图所示：图5：网络负载均衡示意图4.1.2.1. 链路负载均衡设计 如上图所示，将移动互联网专线和电信互联网专线接入链路负载均衡器，链路负载均衡器通过对所有Internet链路进展流量路由和控制带宽效劳水平实现多互联网接入的高可用性。链路负载均衡器将多条互联网线路进展虚拟化处理，保障用户从最好的线路访问内外部资源。任意一条ISP线路中断，都不会对效劳造成任何影响。通过链路负载均衡器可实现ISP接入线路的无缝扩展。 1) OutBound流量负载均衡*办公人员访问互联网的流量到达链路负载均衡器时，将通过链路负载均衡器多种链路状态检测结果选择最正确出口链路，提升用户体验。 2) InBound流量负载均衡 为使移动用户和电信用户通过不同互联网链路访问互联网接入区应用系统，链路负载均衡器的智能DNS解析功能将不同用户访问的域名解析成不同的公网IP地址，加速应用访问，提升用户体验。4.1.2.2. 本地负载均衡设计 本工程新增本地负载均衡器两台，旁挂于会聚交换机。实现对效劳器的负载均衡。本地负载均衡器可以保障内部资源的容错性，内部任何一个应用节点出现问题都不会对用户造成任何的影响，本地负载均衡器能够自动的屏蔽有问题的应用节点，让其停顿对外效劳，同时把该故障节点上的用户迁移到其他正常的节点上去。 会聚层本地负载均衡器可以虚拟成为多个设备，满足*不同分区的平安隔离要求。*业务系统以B/S架构为主，目前的WEB应用都包含了大量的图片，javascript，CSS文件等，这些文件的重复传输不但给效劳器造成了压力，同时也使得用户的体验受到了影响。本地负载均衡器通过 压缩的方式来节省带宽以及提高访问速度。通过静态文件和动态文件的cache文件压缩，浏览器端文件cache控制等优化技术，来提供对WEB应用进展加速，提高用户访问速度。使用本地负载均衡器开放的API接口可以实现和云计算管理平台的集成。4.1.3. 网络虚拟化设计4.1.3.1. 云计算对传统网络的挑战 传统的网络规划设计依据高可靠思路，形成了冗余复杂的网状网构造，构造化网状网的物理拓扑在保持高可靠、故障容错、提升性能上有着极好的优势，是通用设计规则。云计算的大规模运营，给传统网络架构和传统应用部署都带来了挑战，新一代网络支撑这种巨型的计算效劳，不管是技术革新还是架构变化，都需要效劳于云计算的核心要求，动态、弹性、灵活，并实现网络部署的简捷化。具体来说传统网络面临的挑战主要有以下几点： 一一传统网络的复杂性在实际的运维中，管理人员承当了极其繁冗的工作量； 一一云计算平台下多虚拟机部署在同一台物理效劳器上运，效劳器的利用率从20%提高到80%，效劳器端口流量大幅提升，对网络性能提出更高要求；一一云计算平台中，虚拟机在物理效劳器之间进展迁移，为了防止虚拟机迁移后路由的震荡和修改网络规划，迁移通常只在在二层域进展，因此云计算平台需要具备一个性能更高、二层域更大的网络环境为迁移提供保障。通过分析云计算对传统网络根底架构带来的挑战，我们可以从两个方面来应对。一是通过构建高性能、高可靠的网络，从而满足云计算给网络带来的压力；二是通过构建虚拟化网络来满足云计算中由于虚拟机部署、迁移、以及平安策略实施对网络提出的灵活性、平安性的要求。 总的来说，为满足云计算的业务要求，统一的根底网络要素必然包括：高性能交换、虚拟化应用、透明化交换。4.1.3.2. 高性能二层网络 为提供一个性能更高、二层域更大的网络环境，本工程新增核心交换机和会聚交换机通过交换机虚拟化技术华三IRF2、思科VSS分别虚拟成一台逻辑设备，减少了设备节点，简化了配置。通过跨设备链路聚合技术取代传统部署方式中的STP+VRRP协议，使网络拓扑变得简洁，具备更强的扩展性；同时，其毫秒级的故障收敛时间，为虚拟机迁移提供了更加宽松的实现环境。图6：交换机横向虚拟化经过二层透明化改造后，云计算平台的会聚接入层是一个透明二层网络。不同业务虚拟效劳器接入不同的二层VLAN，但同一个业务虚拟效劳器可以在不同网络分区里灵活部署与迁移，满足了云计算的要求；同时，会聚层以上进展的是VPN标签交换与路由转发，又保证了不同业务虚拟效劳器的平安隔离。4.1.3.3. 网络效劳虚拟化 为满足不同*分区的平安隔离要求，本工程在云计算平台的会聚层部署有会聚交换机、防火墙、IPS、负载均衡器等设备。传统网络下，将为不同分区单独配置一套平安设备，设备利用率低，运维管理复杂。在云计算平台下，通过网络效劳虚拟化，统一建立一套性能强大、可扩展性良好的网络效劳设备，满足为不同分区提供平安、应用加速等效劳。图7：1：N网络虚拟化技术 会聚层交换机也通过虚拟化技术多实例，每个模拟出的交换机都拥有它自身的软件进程、专用硬件资源接口和独立的管理环境，可以实现独立的平安管理界限划分和故障隔离域。有助于将分立网络整合为一个通用根底设施，保存物理上独立的网络的管理界限划分和故障隔离特性，并提供单一根底设施所拥有的多种运营本钱优势。如以下图所示：图8：交换机纵向虚拟化4.1.3.4. 虚拟交换机技术1) VMware VMware分布式虚拟交换机功能满足网络分区条件下，虚拟主机在线迁移等功能时，保证业务网络的持续性。 虚拟交换机是构成虚拟平台网络的关键角色，VMware虚拟化通过VMware vNetwork Distributed Switch，使虚拟机跨多个主机移动时始终处于同一个VLAN内，它为虚拟机在物理效劳器之间移动时监视和保持其平安性提供了一个框架。VMware vNetwork Distributed Switch示意图如下所示：图9：VMware vNetwork Distributed Switch示意图 在多网络分区环境时，VMware通过虚拟交换机的VLAN TRUNK，当一个端口启用了TRUNK功能后，就具备端口聚合的成效，会自动检测流向此端口的所有流量，并把不同VLAN的流量导向物理交换机上相应的VLAN中。在一台ES*主机上由多个千兆网卡绑定在一起(组合成vSwitch)提供VM对外通讯的流量，并与物理交换机上的多个启用了TRUNK功能的端口相连接。此时VMs分别在VLAN l、VLAN2、VLAN3上，同时在物理交换机上也有同样ID的VLAN。则，在VLAN1中的虚拟机，就可以和与物理交换机上VLAN1中的端口相连的机器相互通讯。同时实现虚拟化效劳器在多网络分区间的动态迁移。2*EN通过将OPEN vSwitch开放虚拟交换标准作为其默认组件，自*enserver5.6 FPI就实现对虚拟交换机的支持，而且自ver*enserver5.6 SP2开场也实现了分布式的虚拟交换机功能。*en-Motion是 Citri* *enserver 的动态迁移技术，当然，该系列4款虚拟化产品中，目前只有最高等级的白金版和企业版才具备这项功能，至于标准版及完全免费的E*press精简版则无此项能力。不但是CITRI*旗下的虚拟化产品，其他基于*en技术开发出来的虚拟化产品，例如Virtual Iron，也具备相似的动态迁移功能 LiveMigrate，除了免费提供的个人版之外，需要付款购置的企业版及企业加强版具有内置该项功能。4.1.4. IP地址及DNS规划*云计算平台新增两个独立网段，一个用于云平台及虚拟机宿主机之间通信，一个用于云计算平台内IP存储系统网互联；业务系统的IP地址和NDS规划，沿用当前*统一规划。具体参考实施意见?*IP地址规划及管理标准?和?*政府外网DNS及设备命名标准?。4.1.4.1. IP地址规划原则*单位*IP地址规划遵从国信办和国家外网工程办有关规定和指导意见。*IP直至规划原则包括：IP地址规划主要涉及到网络资源利用的方便有限的管理网络的问题，公有地址相对紧*的情况下，合理有效的利用IP地址成为IP地址规划的主要问题，合理的IP地址规划是有利于网络管理的；IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于外网广域骨干网IP地址的分配应该采用国家*工程办分配的合法地址空间，充分考虑到地址空间的合理利用，保证实现最正确的网络内地址分配及业务流量的均匀分布；IP地址的规划和划分应该考虑到网络的后续规模和业务上的开展，能够满足未来开展的需要；既要满足本期工程对IP地址的需求，同时要充分考虑未来的业务开展，预留相应的地址段；IP地址的分配需要有足够灵活性，能满足各种用户接入需要；地址分配是有业务驱动，按照业务量的大小分配各地的地址段；IP地址的分配必须采用VLSM(变长掩码)技术，保证IP地址的利用效率；采用CIDR技术，这样可以减小路由器路由表的大小，加快路由的收敛速度，也可以减小网络播送的路由信息的大小；充分合理利用已申请的地址空间，提高地址的利用效率；IP地址的规划应该是*广域骨干整体规划的一局部，即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应，应该是自顶向下的一种规划。4.1.4.2. IP地址规划总体规划 根据国家外网工程办的规定，*云平台的公用网络区使用国家申请的IP地址范围为：*。 互联网区供互联网访问的设备的IP目前有省电信、省移动提供外 网地址，数量考虑上留有余地。互联网区*移动提供有3根互联网专线，每条专线提供一个C类外网IP地址段，共3个C类地址段供本平台使用。*单位*横向需要互联各个政府部门，纵向需要打通省，设区市、县、乡镇街道四级部门单位，在外网地址规划中，使用综合地址规划方案，采用公有地址和私有地址双轨并行的方法，在公有地址不够时，允许采用私有地址作为部门单位的*业务地址。*承载三种不同的网络业务，为了最大程度地减少不同网络业务区IP地址空间的重叠，*IP地址总体规划如下：网络业务区地址空间建议的用户地址空间公用网络区互联网接入区专用网络区云计算平台管理云计算平台存储IP网络 业务地址从相应的业务网络区地址空间中划分。 4.1.4.3. DNS域名体系构造*单位*升级和社区市网络分别采用独立的三级域名。 域名由根域和假设干个子域名用“.连接而成，cegn.作为根域名，采用fj.cegn.作为省网三级域名，采用fj*.cegn.作为各设区市三级域名。各级政府组成部门咋*设置效劳器后，应将效劳器的IP地址和对应的域名在省电子网*管中心注册。 域名以4-5段为主，原则上不超过5段。如：“主机名.单位名.fj.cegn.；由省数据中心建立域名fj.cegn.)管理中心，所有单位的域名及DNS均向*网管中心fj.cegn.域名册；可在9个设区市市分别建立子域fj*.cegn.)；各单位假设需注册aaa.cegn.，需在*外网管理中心备案之后向国家外网管理中心注册。4.1.4.4. 集成智能DNS系统本工程新增2台链路负载均衡器，实现智能DNS解析功能。*互联网接入区应用系统的DNS域名系统需与链路负载均衡器的智能DNS系统进展集成。通过对系统原有DNS授权域效劳器配置进展修改，将动态记录委派到链路负载均衡器上进展解析，再返回给发起DNS请求的用户。根据解析结果引导用户请求到不同的运营商链路，实现就近访问。4.1.4.5. 网络平安域划分与隔离 根据国家*所承载的业务和系统效劳类型的不同，在逻辑上，将国家*划分为公用网络区Global、 专用网络区VPN和互联网接入区Internet三个功能域， 分别提供国家*互联互通业务、专用VPN业务和互联网业务。图10：*MPLS VPN分区示意图 公用网络区：采用国家*公用地址即从NNNIC注册的地址的网络区域，是国家*的主干道，实现各部门、各地区互联互通，为跨地区、跨部门的业务应用提供支撑平台。 互联网接入区：是各级政务部门通过逻辑隔离手段平安接入互联网的网络区域，满足各级政务部门公共效劳业务应用的需要。专用网络区：是依托国家*根底设施，为有特定需求的部门或业务设置的VPN网络区域，实现不同部门或不同业务之间的相互隔离，VPN网络区域主要为少数部门的特定业务数据传输提供平安通道。通过MPLS VPN技术运用，三个业务区之间逻辑隔离，不能互访。升级*数据中心分为四个区，这四个区分属于三个业务隔离区，对应关系如下表：*些业务系统需要跨公用网络区和互联网接入区部署，也有些需要跨专用网络区和互联网接入区部署，为了保证平安，需要进展逻辑隔离，在公用网络区和互联网接入区间部署一个网闸，同时在专用网络区和互联网接入区也部署一个网闸。 除以上从业务系统层划分为公用网络区、专用网络区、互联网接入区外，还需为云计算平台管理和IP存储子系统划分2个独立网络区域，实现业务网络、管理网络、IP存储网络的平安逻辑隔离。4.1.5. 网络端口资源估算 关于会聚层交换机端口配置，接入效劳器建议用千兆以太网电口，网络设备间互联用万兆以太网口。 本期新增机架效劳器*台，单台效劳器配置*千兆以太网电口，共需*口千兆以太网电口，刀片效劳器*台，占用*个刀片效劳器机框，每机框对外*口千兆以太网电口，共*口，合计连接效劳器需要*口千兆以太网电口； 会聚交换机与防火墙、负载均衡器等会聚网络设备需等需要万兆口互联，考虑一定端口冗余，本期建议配置*台会聚交换机， 单台配置10/100/1000M电口不少于*个； 千兆光口不少于*个、万兆以太网光口不少于*个并配置相应数量多模光纤模块。4.2. 计算资源池4.2.1. 计算资源池架构效劳器虚拟化技术很好地解决了传统效劳器系统建立的问题，通过提高物理效劳器利用率大幅度消减物理效劳器购置需求、数量和运营本钱；通过利用效劳器虚拟化中CPU、内存、I0资源的动态调整能力实现对业务应用资源需求的动态响应，提升业务应用的效劳质量；通过在线虚拟机迁移实现更高的可用性和可靠性以及各种基于资源优化或节能减排策略的跨物理效劳器的调度等等。因此，效劳器虚拟化技术是新一代数据中心最理想的解决方案。效劳器虚拟化架构设计是效劳器虚拟化技术运用的核心，直接决定了整个效劳器资源体系对应用系统的承载能力、运行效率以及可靠性。*云计算资源池由机架式效劳器、刀片效劳器构成；刀片效劳器通过效劳器虚拟化部署一般业务系统和web应用系统。 机架式效劳器用于部署管理平台和高负载数据库效劳器等。效劳器虚拟化架构图如下所示：图 11：*MPLS VPN分区示意图4.2.2. 应用系统分析经前期需求调研分析，根据业务特点将*平