政务行业信息化基础架构顶层设计方案
目录
1.1系统基础架构 (3)
1.1.1.总体架构 (3)
1.1.2.环境支撑系统设计 (4)
1.1.3.网络系统设计 (7)
1.1.4.基础软硬件系统设计 (10)
1.1.5.信息安全系统设计 (16)
1.1.6.系统部署架构 (18)
1.1.7.逐步实现私有云环境建设 (21)
1.1 系统基础架构 1.1.1. 总体架构
系统基础架构层由环境支撑系统、网络系统和基础软硬件系统组成,通过一系列安全措施和技术手段,满足业务应用系统部署和运行需要,为各类业务应用系统提供高效、稳定、安全的基础运行环境。
1、 系统基础架构层在整个体系架构中的相对位置
2、 系统基础架构层所包括的主要内容
网络环境:我委信息系统所面对的各类连接网络边界,主要包括委内部办公网络、党政机关网(政务内网、政务外网、
国土资源部/省网络、住房建设部/省网络)、ISP接入网(电信、联通、移动等运营商网络)、无线网络等
软件环境:信息系统基础软件环境,包括各类操作系统、数据库软件、中间件、GIS软件、虚拟化软件、自动化部署监控软件等
硬件环境:微机服务器、小型机服务器、存储设备、备份设备、网络硬件设施等
机房环境:场地、空调、UPS、环境监控、综合布线等
下文将针对基础设施层各内容进行详细描述。
1.1.
2.环境支撑系统设计
现有的交易大厦和规划大厦机房在设计使用方面存在不足,尤其是交易大厦机房。主要表现在,机房制冷、UPS电源和功能区域划分
方面存在瓶颈,在空气质量保障方面也有较大隐患,不利于后期维护。作为基础运行物理环境,需要新建新的绿色数据中心,,数据中心机房规划与建设要做到整体规划合理、理念先进,配置全面,针对不同功能区域和不同应用进行合理的设计,在充分考虑机房系统功能完善、适用的基础上,实现绿色节能减排。数据中心的设计必须满足当前各项需求应用,又面向未来快速增长的发展需求,因此必须是高可扩、高灵活和高开放的,相关设计应满足相关建设标准和设计规范。
1、按照不同功能用途,划分特定区域
2、采用模块化智能配电模式,便于在线扩充和智能化管理。UPS
电源系统采用冗余技术设计,采用双总线模块化供电方式,为全部服务器机柜提供双UPS电源供电。其余如机房空调与气流配送系统、新风系统、机柜及KVM系统、防雷与接地系统、气体消防系统等均应按照建设齐备。
3、综合布线系统采用更为合理、更优化,弹性强、稳定性和扩展性好的布线技术,且应考虑新一代网络技术的使用需要。综合布线系统采用六类UTP和光纤混合的方式,且应考虑未来FCOE和万兆网络系统的大面积使用需求。同时,将机房区分为若干机柜组,每排机柜设一组集中配线柜,是该排机柜的列头柜,列头柜与该排机柜采用跳线的方式连接;对于水平线缆子系统,为防止强电对数据信号的干扰和方便布线,全部数据线都采用上走线的方式,选择的机柜均带有上走线屏蔽线槽,线槽应良好接地;每个服务器预留二个网口,设置二条线路,一主一备。
4、建立专用监控管理中心,采用大屏幕显示系统,部署统一联网监控管理系统,运用高科技手段,对机房内各类设备和信息进行全数字化集中监控管理,以及对分布在不同区域的多个机房的少人或无人值守问题,满足现代化机房管理的需要。系统主要监控对象包括:为机房内所有设备系统供电的变配电柜、发电机、UPS、UPS蓄电池等动力设备,以及保证设备良好运行的环境系统,如:温度、湿度探测系统、空调系统、照明控制系统、监控管理人员出入和考勤的门禁系统,以及消防报警系统和其他传输控制设备。
1.1.3.网络系统设计
我委网络系统设计应满足安全性、高可用性、扩展性和灵活性、可管理性等需求,同时应具备一定的前瞻性。从应用区域划分,本节将从“数据中心网络”、“外联共享交换区域”、网络监控管理等方面予以描述。
(1)搭建高可用数据中心基础网络
数据中心基础网络部分,主要采用“扁平部署模式”和“多级部署模式”进行分层设计。通过分层部署可以使网络具有很好的扩展性(无需干扰其它区域就能根据需要增加容量),可以提升网络的可用性(隔离故障域降低故障对网络的影响),可以简化网络的管理(拓扑结构结构更清晰)。考虑到我委内外网的不
同特性,外网数据中心网络采用多级部署模型,每一级都部署单独的接入交换机,级与级之间再部署防火墙以实现访问控制隔离;内网数据中心网络采用扁平部署模型而言,服务器的分级结构是逻辑上的,需要依靠接入交换机的VLAN、汇聚层的防火墙多实例技术实现不同服务器级之间的隔离与访问控制。
同时,网络设计上应考虑全冗余万兆核心交换、IPV6、虚拟化、FCOE等。
如上图所示,数据中心内部网络区域主要划分为WEB服务器区、基础服务器区、应用服务器区、数据库服务器区、存储备份区等,其中,内网通过交换机VLAN进行划分,外网通过防火墙对不同网络区域进行隔离。数据中心网络核心网络采用FCOE 万兆网络交换机,实现服务器、存储和交换机间万兆网络交换互联,同时实现光纤存储网络和IP网络的整合利用。各种网络设备的配
置需同时考虑IPv4向IPv6的过渡需求。
(2)搭建统一互联的网络使用环境
我委网络主要划分内、外两套网络环境,考虑到各类不同的网络接入需求,从光纤布线和安全管理控制等层面考虑,需要尽快搭建一个通用的网络接入平台,并根据接入对象的相似性进行划分和统一安全控制。
内网网络主要划分为内部机构接入区、内网党政接入区。其中,内部机构接入区主要考虑我委下级各单位以及分布在全市不同办公场所的单位联网接入,改区域联网单位是我委最主要的用户群体,网络资源配置和稳定性保障上应重点考虑;内网党政接入区主要考虑市、省、部等各级政府机关基于内网专网的接入需求。此外,为确保内部机构互联区域接入稳定,通过VPN方式使用政务内网网络光纤资源,通过政务网络接入党政网络接入区,作为备用线路使用。
外网网络主要包括外网党政接入区和ISP接入区。其中,外网党政接入区主要考虑市、省、部等各级政府机关基于内网专网或互联网的接入需求;ISP接入区主要考虑各类网络运营商、网络专线、短信专线等接入需求。
其网路连接拓扑示意如下:
运营商链路负载
均衡
(4)网络监控和管理解决(网络运行维护,监控管理等,通过一系列先进的技术,实现自动化管理)
1.1.4.基础软硬件系统设计
考虑到今后数据中心整合趋势要求,本节思路拟按照计划将现有两个数据中心整合到一个数据中心,并将其中一个数据中心作为容灾站点运行,因此新的网络架构我们考虑将网络部分纳入支撑应用交付平台的云计算架构考虑,以便实现建立信息化的业务执行体系,整合与提升现有业务系统,创新业务管理的技术手段,扩大信息化实际覆盖面,建设既统一又有机联系、图文一体、人性化设计的规划国土政务管理信息平台。考虑到我委内外网物理隔离,内外网框架基本类似,因此后续描述主要以内网网络规划为主,外网类似。
我委基础软硬件系统设计大致可按照如下思路完成:统一数据存储,搭建虚拟化服务器和存储基础平台;划分数据中心资源池,构建私有云环境;统一数据保护,建立容灾备份环境;依靠自动化管控工具,完成统一监控管理和自动化交付系统建设。
1、利用虚拟化手段,推进服务器虚拟化和存储系统虚拟化
通过虚拟化手段,进一步整合基础服务器资源,提升资源利用率和系统可扩展性。对于微机服务器,通过虚拟化软件,如Vmware等,搭建高可用的虚拟化环境。对小型机服务器,利用硬件分区和软分区相结合的方式实现硬件资源集中化。
主要技术要点:
(1)服务器按照功能定位不同,划分为基础管理服务器区、
业务应用微机服务器区、业务应用小型机服务器区、数据库小型机服务器区。各不同服务器区域通过一系列虚拟化手段实现资源利用最大化。
(2)微机服务器虚拟化主要用于基础管理服务器区和业务应用服务器区,前者主要用于AD、DHCP、DNS、WSUS补丁管理、准入控制、防病毒、运维管理等一系列基础服务功能;后者主要承担各类基于X86平台的业务应用。
(3)小型机虚拟化主要用于UNIX应用类服务器和数据库服务器。采用“硬件分区+软件分区”的方式进行虚拟化,对于数据库服务器则仅采用“硬件分区”方式。
同时,服务器虚拟化和大数据量的产生,对存储系统也提出了更高的要求,在容量、性能、功能上都需要完善。存储系统中规划设计上应考虑整合现有资源,同时具备较强的扩展性。
虚拟存储设备区
EMC CX3-80D ELL-EMC CX960华赛N8000Netapp EMC CX700
异构存储设备区
存储终端设备
支持多品牌、多型号存
储设备、方便扩展主要技术要点:
(1)、链路层,通过万兆FCOE交换机实现IP网络和存储网络的整合统一。
(2)、统一虚拟存储平台,通过部署统一虚拟化云存储平台,整合现有存储资源。同时,该存储平台还能支持异构平台存储自动复制功能,确保核心数据同时存储于两台底层存储设备中,进一步确保关键数据安全。
(3)、底层存储设备,最终数据存储设备,由原有存储设备和新采购的磁盘阵列组成,
2、统一数据保护,建立容灾备份环境
数据永远是数据中心最核心的资产,尤其是采用虚拟化后,所有的核心数据都将依靠数据存储设备进行统一存储。为确保数据中心数据的使用安全和存储安全,应同时考虑其备份和数据容灾问题。我委数据中心可按照地域性进行合理搭配使用,满足数据保护。
(1)、在主数据中心(如交易大厦)和规划大厦机房之间部署CDP连续数据保护系统,实现两地机房存储系统数据互相传输连续保护功能。在不影响主要数据运行的前提下,实现持续捕捉或跟踪目标数据所发生的任何改变,并且能够恢复到此前任意时间点的方法。CDP系统能够提供块级、文件级和应用级的备份,并且为数量无限的可变恢复点提供精细的可恢复对象。部署完成后,交易大厦和规划大厦互作为CDP数据传输目标端,可以实现核心数据跨数据中心存储功能。
(2)、数据中心本地继续采用传统数据备份系统,并通过带重复数据消除功能的虚拟带库进行快速存储,然后通过虚拟带库离线克隆至物理带库中存储,实现分级存储备份,同时也确保备份介质的多版本克隆。
(3)、利用虚拟带库自身的远程复制功能,实现远距离异地数据容灾。在远程机房部署一套相同型号带重复数据消除功能的虚拟带库,并依靠虚拟带库自身的复制功能,依托IP网络,将
本地备份的数据远程复制至另一数据中心机房,距离可以从几公里到上千公里均可。
上述功能实现示意图如下:
设备区
IP SAN网络
核心交换区
FCOE协议交换机CDP设备
物理磁带库
核心数据灾备区
4、依靠自动化管控工具,完成统一监控管理和自动化交付系统建设
最终总拓扑图示如下:
EMC CX4-960
EMC CX3-40EMC CX3-80EMC CX700
利旧存储
IBM P 系列主机虚拟化主机
应用客户端
存储区域网
存储虚拟化平台
物理磁带库
虚拟磁带库
存储资源池\存储即服务
备份、容灾设备
精简数据复制
备份、容灾设备
1.1.5. 信息安全系统设计
随着信息技术的发展,信息化程度越来越高,信息安全的内涵也在不断丰富,面临的新挑战和新问题不断出现。云计算出现并成为信息技术领域热点,提供便利服务的同时也对安全问题提出了严峻挑战。虽然安全问题日益复杂,但信息安全系统设计仍然需要安全管理和安全技术的相辅相成。 1、建立与实施信息安全管理体系
长期以来,人们对保障信息安全所采取的手段偏重于依靠安全技术,但不能否认实行安全管理也是实现信息安全目标的最经济、最有效的途径。建立与实施信息安全管理体系需要经过三个阶段,一是需求分析和组建机构,二是立章建制并形成文件,三是组织实施和改进。同时加强信息安全宣传教育和培训,让信息安全深入人心。
2、加强和完善安全域防护
在信息系统建设过程中,结合深圳市安全防护工作方案的技术要求,明确和细化全委网络和信息系统安全域的划分,明确安全域边界防护和接入区建设的技术要求和标准,以及安全域内的防护基本要求,建立安全域之间访问控制策略以实现不同安全域的安全级别防护。
3、建立和完善综合安全审计
根据深圳市统一的网络安全审计系统要求,在目前单一上网行为审计的基础上,建设和完善网络设施、信息系统和用户行为的综合安全审计系统,实现网络攻击防御、接入控制、边界防护、主机保护、系统配置、存储介质管理、业务应用操作等多方面的安全审计功能。
4、建立综合涉密信息保障体系
按照深圳市国家保密局对于分级保护工作的要求,从数据信息格式、数据存储位置、传输途径、设备的安全管理、用户身份认证以及综合安全审计等多个方面进行考虑,形成一个全面综合的信息安全保密体系,并继续做好风险评估和等级保护工作。
5、建立非涉密系统的等级保护体系
按照深圳市等级保护工作组对于非涉密信息系统的等级保护技术要求,做好我委信息系统的安全等级保护定级、备案、安全建设、测评和整改工作,完成信息系统按照安全等级实施相应保障措施的体系建设。
6、CA认证、水印和电子签章
构建全委统一的CA数字认证系统,从单一的网络层认证向网络与应用结合的认证方式发展。
7、终端安全管理
采用深圳市统一的内网安全管理系统,充分发挥联软终端安全助手的功能,执行统一的安全策略的同时,有效的做好终端的安全管理控制。
8、灾备
在做好委内定期备份的同时,借助深圳市统一的灾备中心,实现重要应用的无缝切换和所有数据的异地灾难备份和恢复。
1.1.6.系统部署架构
我委信息系统部署主要采用B/S架构进行部署,用户工作界面是通过WWW浏览器来实现,极少部分事务逻辑在前端(Browser)实现,主要事务逻辑在服务器端(Server)实现,形成三层3-tier结构,减轻了系统维护与升级的成本和工作量,降低了系统总体成本。这种部署结构能有效地保护数据平台和管理访问权限,确保后端服务器和数据库的安全。
该模式的部署和访问层级关系如下图:用户通过网络访问信息系统,根据网络负载情况,及不同运营商线路来源,通过链路负载均衡器予以分发至不同的WEB访问层,由WEB负载均衡器负责分发,向APP应用区发起服务请求,经过多次中转,最
终由中间件服务器访问数据库获取结果后,反向反馈。该部署架构,既可以很好的解决内部服务器和数据库安全,同时也通过一系列负载均衡和集群部署手段,极大的提高了系统可用性。
(2)按照我委信息系统开发上线不同阶段和功能定位不同,可分为开发环境、集成测试环境、培训演示环境、决策支持/统计分析环境、正式运行环境等。其中,开发环境用于日常各类应用系统开发、功能改进等;集成测试环境用于提供模拟正式运行环境的全方位测试,是系统上线前必须经历的阶段,只有经过集成
测试确认无误的系统才可以在正式运行环境部署;培训演示环境用于提供各类培训操作、用户体验、和各项演示等;决策支持/统计分析环境用于提供领导决策、数据统计查询分析使用,是对各项正式数据资源的抽取分析。正式运行环境,即我委日常业务运行所依赖的各类信息系统环境,是数据中心最主要的核心系统。
各环境区域数据存在相互交换和共享的关系:原始数据以“正式运行数据库”为基础,通过CDP自动复制后,可提供给集成测试环境使用;测试环境数据经过去除敏感数据处理后,一方面可部分提供给开发环境使用,另一方面可提供给培训演示环境使用。决策支持/查询统计环境的数据则通过数据抽取工具,根据既定规则从正式运行环境中获得。