云计算平台方案设计
1.1设计方案
1.1.1平台架构设计
XX高新区云计算平台将服务器等关键设备按照需要实现的功能划分为两个层面,分别对应业务层和计算平台层。
业务层中,功能区域的划分一般都是根据安全和管理需求进行划分,各个部门可能有所不同,云数据中心中一般有公共信息服务区(DMZ区)、运行管理区、等保二级业务区、等保三级业务区、开发测试区等功能区域,实际划分可以根据业务情况进行调整,总的原则是在满足安全的前提下尽量统一管理。
计算平台层中分为计算服务区和存储服务区,其中计算服务区为三层架构。计算服务区部署主要考虑三层架构,即表现层、应用层和数据层,同时考虑物理和虚拟部署。存储服务区主要分为IPSAN、FCSAN、NAS和虚拟化存储。
云计算平台中计算和存储支持的功能分区如下图所示:
图云计算平台整体架构
图 平台分层架构
基础架构即服务:包括硬件基础实施层、虚拟化&资源池化层、资源调度与管理自动化层。
硬件基础实施层:包括主机、存储、网络及其他硬件在内的硬件设备,他们是实现云服务的最基础资源。
虚拟化&资源池化层:通过虚拟化技术进行整合,形成一个对外提供资源的池化管理(包括内存池、服务器池、存储池等),同时通过云管理平台,对外提供运行环境等基础服务。
资源调度层:在对资源(物理资源和虚拟资源)进行有效监控管理的基础上,通过对服务模型的抽取,提供弹性计算、负载均衡、动态迁移、按需供给和自动化部署等功能,是提供云服务的关键所在。
平台即服务:主要在IaaS 基础上提供统一的平台化系统软件支撑服务,包括统一身份认证服务、访问控制服务、工作量引擎服务、通用报表、决策支持等。这一层不同于传统方式的平台服务,这些平台服务也要满足云架构的部署方式,通过虚
拟化、集群和负载均衡等技术提供云状态服务,可以根据需要随时定制功能及相应的扩展。
软件即服务:对外提供终端服务,可以分为基础服务和专业服务。基础服务提供统一门户、公共认证、统一通讯等,专业服务主要指各种业务应用。通过应用部署模式底层的稍微变化,都可以在云计算架构下实现灵活的扩展和管理。
按需服务是SaaS应用的核心理念,可以满足不同用户的个性化需求,如通过负载均衡满足大并发量用户服务访问等。
信息安全管理体系,针对云计算平台建设以高性能高可靠的网络安全一体化防护体系、虚拟化为技术支撑的安全防护体系、集中的安全服务中心应对无边界的安全防护、利用云安全模式加强云端和用户端的关联耦合和采用非技术手段补充等保障云计算平台的安全。
运营管理体系,保障云计算平台的正常运行,提供故障管理、计费管理、性能管理、配置管理和安全管理等。
链路负载均衡器
云服务
图平台网络结构图
网络负载均衡设计
链路负载均衡器将多条互联网线路进行虚拟化处理,保障用户仍最好的线路访问内外部资源。任意一条ISP线路中断,都不会对服务造成仸何影响。通过链路负载均衡器可实现ISP接入线路的无缝扩展。
1) OutBound流量负载均衡
访问互联网的流量到达链路负载均衡器时,将通过链路负载均衡器多种链路状态检测结果选择最佳出口链路,提升用户体验。
2) InBound流量负载均衡
为使用户通过不同互联网链路访问互联网接入区应用系统,链路负载均衡器的智能DNS解析功能将不同用户访问的域名解析成不同的公网IP地址,加速应用访问,提升用户体验。
1.1.2资源规划
(1)云服务规划
50台弹性云服务器(Elastic Cloud Server )承载XX高新区市园区智慧服务业务系统。
50T云硬盘服务(Elastic Volume Service)做为50台云服务器的存储。
400T对象存储服务 (OBS, Object Storage Service)用于视频监控、GIS数据存储等。
Anti-DDoS流量清洗服务(Anti-DDoS Service)防护50台云服务器的流量攻击安全。
(2)资源配置
50台弹性云服务器(Elastic Cloud Server ),每台云服务器4 VCPU,16GB内存,80G系统盘,弹性IP服务,保障因网络不通,业务正常运行,租用年限2年。
50T云硬盘给50台云主机做存储使用,每台云主机分配云硬盘1T,租用年限2年。
400T对象存储用于视频监控、GIS数据存储使用,下行流量50G,保障正常高清视频的接入带宽,租用年限2年。
Anti-DDoS流量清洗服务防护上述所有云服务资源。
1.1.3云服务
(1)计算服务
云主机
弹性云服务器是由CPU、内存、镜像、云硬盘组成的一种可随时获取、弹性可扩展的计算服务器,同时它可以结合VPC、虚拟防火墙、数据多副本保存等能力,打造一个高效、可靠、安全的计算环境,确保服务的持久稳定运行。
弹性云主机基于OpenStack的OpenStack Nova、Cinder和Neutron服务进行编排。通过实现OpenStack 原生API、自动API和组合API(基于多种自动API的组合)为管理员和云服务控制台在云平台上提供弹性计算服务和运行新的云应用。
云服务资源主机具备以下功能:
安全:弹性云服务器利用资源隔离,网络隔离,安全组规格,Anti-DDos流量清洗、Web应用防火墙、Web漏洞扫描提供多维度防护去提供一个安全的环境。
可靠:故障自动迁移,服务可用性达99.95%,保障业务连续;数据多副本,数据持久性达99.99995%,保障数据不丢失。
灵活:支持随时调整主机规格和带宽,高效匹配业务要求、节省成本;支持“云服务器+物理机”的混合组网模式,提供卓越计算性能+灵活组网方式。
易用:产品种类全面,提供通用型,计算密集型,高内存型,高计算,存储密集型,GPU等多种类型的弹性云服务器,可满足不同的使用场景,统一管理控制台,一站式开通部署。
利用弹性云服务器,用户可以轻松获得各种功能。
支持多类型,多规格云服务器的选择和变更。提供多种类型的弹性云服务器,可满足不同的使用场景;每种类型的弹性云服务器包含多种规格,同时支持规格变更。
混合组网,支持物理设备租赁/托管。支持“云服务器+物理机”混合组网模式;提供卓越的计算性能、灵活的组网方式。
海量存储,弹性扩容,支持备份与恢复,让数据更加安全。支持多种性能的云硬盘,提供超高IO,高IO,普通IO三种性能规格供用户选择;支持云硬盘的扩容,当磁盘空间不足时,可以通过扩容原有磁盘空间满足需求;支持云硬盘备份,在磁盘故障或数据错误时可快速恢复,使您的数据更加安全可靠。
弹性伸缩,快速增加或减少云服务器数量。用户可以根据业务需求自行定义伸缩配置和伸缩策略,降低人为反复调整资源以应对业务变化和高峰压力的工作量,帮助用户节约资源和人力成本。
镜像服务
镜像是一个包含了软件及必要配置的云主机模版,至少包含操作系统,还可以包含应用软件(例如数据库软件)和私有软件。用户可以基于镜像申请云主机,也可以将已有云主机制作成为新镜像。镜像服务(Image Management Service)提供简单方便的镜像自助管理功能。用户可以灵活便捷的使用公共镜像或者私有镜像申请弹性云主机。同时,通过已有的云主机,用户还能创建私有镜像。镜像分为公共镜像和私有镜像,公共镜像为系统默认提供的镜像,用户可直接根据情况选用并创建云主机。私有镜像为用户自己创建的镜像,同样可以根据私有镜像创建云主机。
公有云镜像提供了自制镜像内容服务的同时支持平台配置,丰富了镜像,使镜像的更新更容易管理。对于想要快速部署应用的用户,在云服务有丰富灵活的私有镜像。用户可以通过批处理迅速启动包含同样内容的应用程序所需的弹性云主机。公有云镜像服务提供公共镜像服务和私有镜像服务。公共镜像服务方面,有一些包含普通操作系统的公共镜像,比如windows和linux。私有镜像服务方面,用户可以通过使用云主机或云主机备份文件定制私有镜像。私有镜像存储在用户的UDS存储空间内。
通过镜像服务,用户可以更加便捷、安全、灵活、统一地创建和管理镜像,以满足业务需求。
(2)存储服务
云硬盘
云硬盘为云主机提供块存储功能,独立于云主机使用。云硬盘是一种基于分布式架构的,可弹性扩展的虚拟块存储设备。用户可以在线进行操作,使用方式与传统服务器硬盘完全一致。同时,云主机的损坏不会影响云硬盘,云硬盘具有更高的数据可靠性,更高的I/O吞吐能力和更加简单易用等特点,适用于文件系统、数据库或者其他需要块存储设备的系统软件或应用。一台弹性云主机可以挂载多块云硬盘。一块云硬盘同时只能挂载到一台弹性云主机上。
多存储类型,满足不同性能要求的业务场景;提供普通IO(SATA)、高IO(SAS)、
超高IO(SSD) 3种性能的硬盘,满足不同业务场景需求。
弹性可扩展,可随时扩容硬盘容量;单盘最大可扩容至32TB,单台云服务器最多可挂载10块云硬盘,满足数据容量扩容需要。
副本存储,数据可靠性高达99.99995%;分布式存储技术,多副本保存,安全可靠,保障数据不丢失。
备份与恢复,防止误删除、被篡改而导致数据丢失;支持云硬盘备份,可随时备份,以及基于时间点恢复硬盘数据。
实时云监控,随时掌握硬盘健康状态;实时监控云硬盘读写速率及吞吐信息,帮助您及时了解云硬盘运行状况。
对象存储服务
对象存储服务是一个基于对象的海量存储服务,为客户提供海量、安全、高可靠、低成本的数据存储能力,包括:创建、修改、删除桶,上传、下载、删除对象等。OBS适合存放任意类型的文件,适合普通用户、网站、企业和开发者使用。
对象存储服务是一项面向Internet访问的服务,提供了基于HTTP/HTTPS协议的Web服务接口,用户可以随时随地在任意可以连接至Internet的电脑上,通过对象存储服务管理控制台或客户端访问和管理存储在对象存储服务中的数据。此外,对象存储服务兼容Amazon S3大部分原生接口,用户可以通过调用对象存储服务REST API接口、多语言的SDK开发工具包开发上层适配应用软件,或对接Amazon S3存储,从而可以使用户聚焦业务应用,而无需关注底层存储实现技术。
对象存储服务为用户提供了超大存储容量的能力。对象存储服务配套提供了基于浏览器的可视化统一管理控制台(B/S架构)、基于主机的客户端(C/S架构)、多语言的SDK开发工具包(Java、.NET、Python、PHP、Android、C++、Ruby)、以及兼容Amazon S3原生接口的REST API接口,可使用户方便管理自己存储在对象存储服务上的数据,以及开发多种类型的上层业务应用。
对象存储服务主要面向海量存储资源池,企业云盘,静态网站托管,云硬盘备份,视频监控归档,弹性大数据等应用场景提供存储服务。
(3)安全服务
Anti-DDoS流量清洗
Anti-DDoS流量清洗服务(以下简称Anti-DDoS)是对IP地址进行DDoS
(Distributed Denial of Service)攻击防护的一种网络安全服务。
通过对访问IP地址的数据流量进行实时监控,在网络出口对访问流量进行检测,及时发现进行DDoS攻击的异常流量。在不影响正常业务的前提下,根据用户配置的防护策略,清洗掉异常流量。同时为用户生成监控报表,清晰展示网络流量的安全状况。
Anti-DDoS具有以下功能:
提供针对以下攻击的防护:SYN Flood攻击、CC(Challenge Collapsar)攻击、慢速连接类攻击、UDP Flood攻击、ACK Flood攻击、TCP类攻击等。
为单个IP地址提供监控记录,包括当前防护状态、当前防护配置参数、24小时内流量情况、24小时内异常事件。
为用户所有进行防护的IP地址提供拦截报告,支持查询四周内的统计数据,包括清洗次数、清洗流量、弹性云服务器被攻击次数Top10排名和共拦截攻击次数。
Anti-DDoS引导用户针对5G以下的流量自主配置防护参数,通过调用Anti-DDoS管理中心的能力在网络出口对访问流量进行检测和清洗,调用API下发策略到检测中心;按用户生成报表,并呈现给用户。对大于5G的流量,设置为黑洞状态或建议用户自主购买第三方清洗中心服务,从第三方获取报表。
Anti-DDoS对弹性云服务器提供攻击防护,检测中心根据用户配置的安全策略,检测网络访问流量。当发生攻击时,将数据引流到清洗设备进行实时防御,清洗异常流量,转发正常流量。
1.1.4功能设计
(1)平台处理能力分析
1)计算处理能力
CPU
计算输入:每分钟业务交易量(TASK),复杂程度比例(S),CPU利用率(C),业务发展冗余(F),峰值交易时间(T)。
计算过程:tpmC=TASK x S x F / (T x C)
内存
计算输入:
关于内存的配置,根据我们以往的经验,认为内存的消耗主要包括如下几个部
分:
主机系统正常运行所需消耗(主要指操作系统消耗);
数据库运行所需开销;
数据库SGA运行所需正常开销;
联机事务处理消耗;
计算过程:内存=操作系统+数据库管理系统+数据库SGA运行+连接数*3M。
虚拟化
本节主要介绍虚计算虚拟化中的VCPU和物理CPU之间的换算关系。计算虚拟化主要从两方面来考虑,一种是同构虚拟化,一种是异构虚拟化。其中同构指的是华为平台的服务器,异构是其他品牌的服务器。
计算输入:物理CPU的CINT和CFP,现网CPU利用率,Intel Xeon E5620的性能基线值
计算过程:
a)同构服务器,如使用RH2285、T6000、E6000可使用如下公式
VCPU个数=物理CPU CINT?80%+物理CPU CFP?20%?现网业务CPU利用率1VCPU CINT?80%+1VCPU CFP?20%?(1?冗余值)
b)异构服务器,可使用虚拟化折算系数来估算:VCPU个数
=
物理CPU CINT?80%+物理CPU CFP?20%?现网业务CPU利用率
异构服务器CPU CINT
异构服务器总核数
?88.84%?80%+异构服务器CPU CFP
异构服务器总核数
?98.75%?20%?(1?冗余值)2)存储能力分析
业务通常会从三个维度提出存储的需求:
●存储的性能维度
●存储架构维度
●存储容量维度
业务提出存储资源的需求后,需要对设备的IOPS、存储容量、存储带宽进行计
算。
(2)计算存储场景设计
1)物理服务器
物理服务器是传统数据中心使用的计算系统,它能够很好的将系统软件的性能
表现出来。以下介绍物理服务器在相关场景的具体应用场景。
表应用资源需求及业务场景分析
2)虚拟化
对于云计算平台业务的服务器需求,首先需要判断该业务服务器是否能够采用虚拟化方案,不能虚拟化的则需要采用满足实际需求的服务器进行配置,其他的则建议统一采用虚拟化方式,根据采集或预估的计算资源需要采用相应配置的虚拟机来满足该需求。
根据业务应用的特点,对应用的虚拟化建议如下表所示:
3)存储场景设计
存储虚拟化特性能够将不同品牌、型号的存储设备整合为统一的存储池,既能灵活利用旧存储设备,又能增加新存储设备。虚拟化后可以对原有数据进行灵活的管理,包括数据整合、迁移、镜像、远程复制等。
适用于存储虚拟化的场景如下:
●要求异构SAN/IP-SAN存储系统的开放性
●要求存储产品利旧
●要求异构存储系统之间有效的数据迁移
●要求异构存储系统的资源管理
●对服务器和存储整合
●存储池的性能提升
●异构存储环境数据保护与恢复
●异构存储环境灾备能力
(3)业务区安全防护
用户身份鉴别
本方案采用统一运维审计系统和双因子强认证系统来实现用户的身份标识和鉴别。在对每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯一性;在每次用户登录系统时,采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别,并对鉴别数据进行保密性和完整性保护。
对统一运维审计系统做如下的安全策略,能够实现上述安全要求。
1)对各种不同角色的管理员进行身份标识,并保证身份标识的唯一性,账户与
自然人相对应,禁用默认账户;
2)用户登录身份认证要采用双因子强认证系统,其中口令必须具备一定的长度
和复杂性,并定期更换;
3)启用登录失败处理功能,登录失败后结束会话,并限制登录失败的测试,自
动锁定账户,记录日志向管理员告警;
4)远程管理系统时,采取SSH等加密的数据传输方式,禁止鉴别信息和管理系
统明文传输;
5)设定主机、网络设备和数据库等管理对象拒绝非“统一运维审计系统”进行
管理;
访问控制
本方案采用主机核心安全增强系统并对操作系统的安全增强配置,共同实现对系统资源的自主访问控制和和强制访问控制。自主访问控制是指在安全策略控制范围内,使用户对其创建的客体具有相应的访问操作权限,并能将这些权限的部分或全部授予其他用户。自主访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级和(或)记录或字段级。自主访问操作包括对客体的创建、读、写、修改和删除等。强制访问控制是指在对安全管理员进行身份鉴别和权限控制的基础上,应由安全管理员通过特定操作界面对主、客体进行安全标记;应按安全标记和强制访问控制规则,对确定主体访问客体的操作进行控制。强制访问控制主体的粒度为用户级,客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客体具有一致的标记信息,并实施相同的强制访问控制规则。
对主机核心安全增强系统做如下的安全策略,能够实现上述安全要求。
1)对重要的主机,部署主机核心安全增强系统,提升主机操作系统的安全性;
2)开启访问控制功能,根据“最小授权原则”的安全策略要求,分别对主体和
客体进行安全标识,严格限定用户对文件、数据库等访问,主体的控制粒度
限定为用户级,客体的控制粒度为文件、数据库表级,实现强制访问控制;
3)开启权限管理功能,根据“三权分立”的安全策略要求,严格限定主体用户
对客体目标的操作权限,同时参考“最小授权原则”的安全策略,在不同种
类用户之间形成相互制约关系的基础上,赋予用户正常完成工作所需的最小
权限。
系统安全审计
本方案采用主机核心增强系统、网络审计系统和数据审计系统来实现系统安全审计,记录系统的相关安全事件(审计记录包括安全事件的主体、客体、时间、类型和结果等内容,并提供审计记录查询、分类、分析和存储保护),对特定安全事件进行报警,确保审计记录不被破坏或非授权访问,并为安全管理中心提供接口,对不能由系统独立处理的安全事件,提供由安全管理中心调用的接口。
对主机核心安全增强系统、网络审计系统和数据库审计系统做如下的安全策略,能够实现上述安全要求。
(1)对重要的主机,部署主机核心安全增强系统,实现对主机系统的安全审计;
主机审计的内容包括:
1)对重要的服务、进程、硬件操作和重要的文件系统进行监控;
2)对打印机、USB接口等重要外部设备及其接口进行监控;
3)对浏览器访问外部网站和非法外联拨号进行监控;
4)对用户账户变更记性审计。
(2)对重要的网络通信区域部署网络审计系统,实现对网络通信的安全审计;
网络审计的内容包括:
1)重要的网络通信协议:Telnet、SSH、FTP、HTTP等进行审计;
2)非法的、异常的网络IP地址参与的网络通信进行审计。
(3)对重要的数据库,部署数据审计系统,实现对数据的安全审计;
数据库审计的内容包括:
1)对数据库关键表、字段的读、写、插入和删除等操作和执行结果;
2)对数据库的重要设置操作和执行结果;
3)对数据库的异常读、写、插入和删除等操作和执行结果。
用户数据完整性与保密性保护
本方案采用数据库加密系统和文档安全管理系统,通过密码等技术支持数据的完整性校验机制和保密性保护机制,检验存储和处理的用户数据的完整性、保密性,以发现其完整性是否被破坏,且在其受到破坏时能对重要数据进行恢复。
对数据库加密系统和文档安全管理系统做如下的安全策略,能够实现上述安全要求。
1)部署数据库加密系统,并设置对用户数据库中重要的表、记录、字段进行自
动的加密和解密操作;
2)部署文档安全管理系统,并设置对用户敏感的文档进行保护,通过加密和解
密等手段,保证其完整性和保密性。
客体安全重用
本方案采用主机核心安全增强系统保护用户客体资源重用的安全性。主机核心安全增强系统通过剩余信息完全删除等技术手段,使客体资源重新分配前,对其原使用者的信息进行清除,以确保信息不被泄露。
对重要的主机部署主机核心安全增强系统,利用其剩余信息完全删除等功能实现客体安全重用的安全要求。
程序可信执行保护
本方案采用主机核心安全增强系统,构建从操作系统到上层应用的信任链,实现系统运行过程中可执行程序的完整性检验,防范恶意代码等攻击,并在检测到其完整性受到破坏时采取措施恢复。
对重要的主机部署主机核心安全增强系统,并配置其对应用程序完整性校验,可满足程序可信执行的安全要求。
对Windows操作系统和Linux操作系统部署主机恶意代码防范系统客户端软件,在防病毒管理中心的统一监控管理下,防护来自病毒、木马等恶意软件的威胁。
(4)平台管理
集中监控管理
集中监控管理从架构层次上包括:数据采集层、数据分析处理层和数据展现层三层,三个层次相互依赖、紧密结合,实现集中的监控管理功能。
下面分别进行阐述。
1)数据采集功能
数据采集层,主要是完成各类数据的采集工作,建立相关的数据采集接口,并能够根据需要定制在特定的时间(或周期性)进行数据的采集,并为数据处理层提供相关的数据。目前采集可以支持的手段有:RPC、SNMP、SYSLOG、专用Agent、脚本方式、以及一些标准的协议如WMI、SSH、Perfmon、JMX等来实现无代理的数据采集。这一层主要是由通过设置在各个点的各类采集设备组成。
通过在各类系统上安装CA Agent或者采用特定Agent或技术来对系统运行的软件环境进行监控与管理,包括对系统、数据库、中间件、应用、存储等;通过与华为U2000网络管理系统、华为ISM存储管理系统的集成对网络和存储进行监控,最终将相关信息提供给数据处理层,并在同一用户界面上进行展现。
采集的数据包括配置数据、告警数据、性能数据等。对于不同的管理对象的采集方式如下:
云平台的监控:通过Huawei Galax来实现;(云平台上的虚拟机及其上部署的软件由CA相应模块来监控);
操作系统、数据库监控:通过CA Spectrum来实现;
中间件监控:通过CA Wily来实现;
网络设备监控:通过Huawei U2000来实现;U2000作为可选项,可以直接使用CA监控网络;
存储设备监控:通过Huawei ISM来实现。
2)数据分析和处理功能
数据处理层的主要任务是将采集的数据进行汇总和处理,并根据需要进行展现。
各个监控管理产品根据预定义的事件处理策略对接受到的事件进行处理实现初始的数据分析处理功能,包括告警触发条件设置、告警事件丰富、告警相关性分析、相同事件压缩、事件过滤、性能数据汇聚等。
Huawei OSS集中事件处理平台汇聚各类数据,并根据预定义的事件处理策略进行后续的各种处理动作,如以各种方式通知相关的处理人员、在IT服务管理平台中产生事件工单,实现在Huawei OSS集中事件管理平台与CA Service Desk Manager (IT服务管理平台)的事件工单之间状态的双向同步。
Huawei OSS完成数据统一梳理后,由公共报表系统进行报表的定制、生成。
3)数据呈现功能
展现层主要是由华为数据中心管理门户和报表系统等组成。云数据中心 Portal 对相关数据进行呈现,根据用户的不同权限呈现给预定义的视图,通过地理区域视图或业务视图、报表、图形、声光等界面方式进行显示和汇报,界面展现支持B/S 结构,各级维护和管理人员可以根据用户的角色和权限来定制个性化的用户界面。
报表管理根据汇总的数据来产生相应的报表,如告警分类报表、告警分时报表、
告警来源报表、性能数据的日报、周报、月报、性能数据的对比分析报表、性能数据的趋势分析报表等。可以定制自己的报告,可以通过Web发布报告,或通过mail 方式自动将日/周/月报发送至特定用户。管理员可以在内部网上使用Internet浏览器来查看和打印各种报告。可以运用这些有价值的历史数据来分析业务系统的运作情况,帮助指定服务目标,提高服务水准。
IT服务管理
IT服务管理平台在逻辑上包括:服务流程平台、Web访问层、对象处理层和数据存储层。
IT服务管理技术架构包括如下层次:
服务流程平台层:用来实现具体的服务管理流程和功能,在本方案中需要实现的流程和功能包括:服务台、服务请求管理、事件管理、问题管理、配置管理、变更管理;
Web访问层:用来提供用户访问功能,具体提供的特性包括:表单和页面组管理、数据分析、服务接口、安全管理;
对象处理层:用来对各个服务流程的后台逻辑分析和处理,具体提供的特性包括:流程引擎、数据分区、访问控制、集成接口、配置管理、开发定制;
数据存储层:用来存储IT服务管理的各种数据,具体提供的特性包括:虚拟数据服务、CMDB。
通过采用这种分层的架构模式,大大降低了各层次间的耦合程度,提供了系统的可用性和可扩展性,为企业实现一种高可用、高稳定性的平台提供了保障。
IT服务管理平台通过接口可以实现和集中监控管理平台的集成,达到事件的及时转发和同步。
IT服务管理平台通过接口可以实现和邮件系统、短信系统的集成,将需要转送的信息及时通知相关人员。
统一运维管理门户
统一运维管理门户可以实现整个云数据中心所有运营管理内容的统一展现和控制,包括服务器、数据库、中间件、存储、网络和机房监控的实时数据展现、历史报表展现,以及针对云系统的服务设计、发布、管理功能,并提供统一登录,集中用户管理功能。具体功能如下:
提供统一的监控管理平台数据统计分析报表,提供对各种数据进行统一分析和基于Web界面的数据展现;
提供告警统计分析报表,以及主机、网络、数据库、中间件、存储、机房的各种性能指标报表,针对维护层、管理层和决策层用户提供不同的定制化报表,从而提供决策依据;
能够对主要的条目进行组合过滤查询,在用户设置如时间、日期等查询条件时,应能提供对输入内容的合法性检查功能;提供多种复合条件组合的明细数据查询功能,能够按照某字段排序、分页显示、对主要指标的TopN的灵活设置;
具备监控数据的保留和再加工机制或数据结构开放,以便今后有新的报表需求时系统能够提供必要的基础数据;
基于策略的历史数据汇聚、加工和再存储功能,以便减少历史数据库的负载,并为长期报表提供汇总数据;
提供横向比对和纵向比对的功能,横向比对即若干台机器的同一个或几个性能指标在同一时间段内的性能曲线比对,纵向比对即同一台机器的某几个性能指标的当前情况与昨日、上周、上月、往年同期的比对分析;
报表系统提供用户分权功能,要求能够根据用户的不同职位、角色提供不同时间粒度、不同内容和不同类别报表;
所有报表数据能够通过Web方式进行发布浏览,能将结果以文本列表、图形方式〈直方图、曲线图、饼图等〉输出,能够转化成Excel、XML、PDF等格式并提供报表打印功能;
要求报表工具采用SOA构架,采用纯B/S方式,进行报表设计,分析,查询,发布等工作不安装客户端软件,不安装浏览器插件,不安装Applet;
实施中提供不少于10种报表模板。
云管理
云管理平台管理总体架构由如下部分组成:
云门户系统(Cloud Portal):云门户包括用户自助服务子系统和后台管理子系统两个部分,自助服务子系统支持用户对已有的虚拟资产进行管理,包括虚拟资产的使用、释放等。例如对于虚拟机,用户可以进行启动、停止及重启等操作,也可以释放这台虚拟机;后台管理子系统,融合了业务支持和运营的功能,用于业务发
放,提供帐户管理、业务管理、资源管理功能。
运维管理系统(OMS Portal):通过此子系统可以实现EDC云资源的配置管理、性能管理和安全管理等管理维护操作。
Huawei Galax云软件平台,主要包括虚拟化平台系统UVP(Unified Virtualization Platform)、ARS自动资源调度和IMGS镜像管理。
报表系统:定期生成并且保存原始统计报表单据。
(5)业务运营管理
业务的管理方面可以从管理和运营两方面来划分:
业务管理:主要业务方面的规划与设计,包括服务目录管理,产品管理、服务定价策略,服务级别管理等功能的规划与设计。
业务运营:负责业务的日常运转,包括业务日常流程和业务的受理。涵盖客户关系管理、合同管理、订单管理、资源管理、计量管理、计费管理等功能,包括知识库的维护与管理。
客户自助服务是云数据中心运营管理的核心模块,客户通过自助服务自主管理所租用资源,包括查看合同信息(包括服务目录、计费信息、服务周期、服务级别等)、查看定购的服务状态、使用服务、管理业务。
业务运营技术架构
通过业务运营子系统的的设计来实现数据中心运营需要的客户管理、服务目录、产品管理、订单管理、计量管理、计费管理、支付管理、资源管理、服务请求等业务功能。
业务管理技术架构包括如下层次:
客户自助管理系统:用来为客户提供对订购资源的管理,包括用户管理、信息查询(合同、订单、费用等)、资源部署、资源状态监控
Web访问层:用来提供用户访问功能,具体提供的特性包括:表单和页面组管理、数据分析、服务接口、安全管理;
业务管理与运营层:用来实现具体的业务管理和运营流程和功能,在本方案中需要实现的流程和功能包括:客户关系管理、服务目录、产品管理、服务级别管理、计量管理、计费管理、合同管理、订单管理、价格管理及资源管理、服务请求管理等;
对象处理层:用来对各个业务管理和运营流程的后台逻辑分析和处理,具体提供的特性包括:流程引擎、数据管理、访问控制、集成接口、配置管理、开发定制;
数据存储层:用来存储业务及IT运营管理相关的各种数据,具体提供的特性包括:虚拟数据服务,把分散的数据进行收集集中并结构化,把异质的数据转化成统一的格式,并给应用程序提供统一的接口;Central Database(CDB),数据的集中存储、管理。
业务管理平台通过接口可以实现和IT运营管理平台的集成,达到信息的共享和IT对业务运营管理的支撑。
业务管理平台通过接口可以实现和邮件系统、短信系统等外部系统的集成,将需要转送的信息及时通知业务相关人员。
1.2实施方案
云计算平台的实施与运维是一项涉及面广、制度性强、管理要求高的系统工程。如果从管理和技术两个视角分析平台的运行保障,我们认为管理的权重是第一位,而技术权重是第二位。为了有效保障云计算平台的科学实施和高效运行,必须要在园区政府的统一领导下,各有关部门协同配合,积极落实好组织、制度、技术和资金等支撑条件。
1.2.1建设流程及进度安排
在建立和明确项目组织价构和人员安排后,如何组织和实施项目建设方案是项目能否成功的关键。
在项目实施过程中,对时间计划、安排进度、人力资源调配、设备采购和安装。测试、演练等多项工作需要进行仔细、合理的计划和严格管理,才可以保证项目符合监管机构要求,达到省信息中心工程建设目标。
XX高新区智慧园区云计算平台是一个复杂、长期的工程。在前期调研和可行性论证工作完成后应当进行具体设计和实施。主要工作包括:
团队组建
业务连续性计划规划
实施方案的详细设计
实施方案的设计会审
运维制度的设计
运维制度的会审
系统接入
系统联调
人员技术和制度培训
项目验收
以上各个阶段基本上顺序进行,但部分工作会同步进行,以配合时间和人力资源的合理安排。
在项目实施过程中,将采用标准的项目管理规范和工具进行项目管理通过项目管理组进行工作协调和监控,采用启动会议、周期性项目进展协调工作例会、多个自工作分工负责等方式对时间计划、工作安排进行良好的协调和管控。
下表是工程建设各阶段计划和时间进度的初步安排,其中,时间和人员安排将根据需求和实际情况作相应调整。
1.2.1.1团队组建
1.2.1.2业务连续性计划规划
中石化 云计算平台工程技术方案 二O一六年四月
目录第1章.基本情况6 1.1.项目名称6 1.2.业主单位6 1.3.项目背景6 1.3.1.XX技术发展方向6 1.3. 2.有关XX公开的相关要求7 1.4.建设规模7 1.5.投资概算10 1.6.设计依据10 1.7.设计范围10 1.8.设计分工11 第2章.现状及需求分析11 2.1.项目意义及建设必要性11 2.2.现状分析13 2.3.需求分析13 2.3.1.长期需求13 2.3.2.本期需求14 第3章.总体设计16 3.1.建设目标16 3.1.1.预期总目标16 3.1.2.阶段性目标17
3.2.建设内容18 3.3.系统的总体结构18 3.3.1.设计原则18 3.3.2.XX本土化战略错误!未定义书签。 3.3.3.建设思路20 3.3. 4.总体拓扑结构22 3.4.信息的分类编码体系25 3.5.质量保证体系26 第4章.建设方案27 4.1.网络资源池28 4.1.1.组网物理拓扑图28 4.1.2.网络负载均衡设计30 4.1.3.网络虚拟化设计32 4.1.4.IP地址及DNS规划36 4.1. 5.网络端口资源估算41 4.2.计算资源池41 4.2.1.计算资源池架构41 4.2.2.应用系统分析42 4.2.3.计算资源池建议配置与选型建议44 4.2.4.计算资源池部署47 4.2. 5.虚拟化软件选型分析48 4.3.云计算管理平台51
4.3.1.云资源管理平台建设方案52 4.3.2.云运营管理平台建设方案61 4.4.云计算安全防护方案71 4.4.1.云计算平台安全威胁71 4.4.2.云计算平台安全防护目标73 4.4.3.云计算平台安全架构74 4.4.4.IaaS层安全74 4.4. 5.PaaS层安全89 4.4.6.SaaS层安全90 4.4.7.公共安全92 4.4.8.安全管理制度98 4.4.9.云安全服务100 4.5.机房方案100 4.5.1.机房设备集中管理100 4.5.2.布线系统101 4.5.3.机房系统102 4.5.4.UPS配置方案104 4.6.标准化工作109 4.6.1.标准规范建设的原则109 4.6.2.标准规范的总体框架110 第5章.设备配置要求112 第6章.项目实施与运行维护117
科力锐灾备云服务项目方案书 深圳市科力锐科技有限公司 2019年2月
目录 一、项目服务背景................. 错误!未定义书签。 二、项目服务特点 (4) 三、科力锐灾备云平台和服务简介 (6) 四、科力锐灾备云平台和服务特点 (12)
近年来,国家大力推动“互联网+”战略,即通过“互联网+各个传统行业”的形式,利用先进的信息通信技术与传统行业进行深度融合,改造传统的生产、办公、经营方式,提高各个企事业单位的效率,创造新的发展生态。政府信息化全力推进,政府部门间、对企业、公民的政务全部以电子化开展,即用电子化、无纸化办公的形式取代传统的依靠纸质文档和人工流转办公的方式,大幅提升工作效率。企、事业单位也将生产、办公系统化,为繁荣社会经济、扩大城乡就业、增加财政收入、推动自主创新和促进科学发展发挥了重要作用。但部分企、事业单位依然存在着资金短缺、人才匮乏、管理滞后、信息化能力弱、产品和市场信息不畅、市场竞争力不足、互动渠道窄等问题,限制了产业竞争力的提升。 在国家推动“互联网+”战略的大背景下,企事业单位信息化系统急需数字化转型,数据资产化趋势明显,同时业务系统已经成为各个组织单位的“生命线”,越来越多组织已认识到灾备的重要性。 然而,由于主机故障、系统故障、软件逻辑错误、人为操作失误和病毒攻击(例如勒索病毒)等众多风险高发引发灾难,极大的威胁了企事业单位的IT应用系统的安全和服务的连续性,需要能够提供灾备服务作为防范各类风险的最后一道屏障,帮助发生系统灾难的企事业单位快速的恢复IT应用系统保障生产经营工作得以正常开展,意义十分重大。 因此,一方面需要考虑如何保障组织的核心数据资产不丢失,另一方面需要考虑如何保障组织的核心业务系统不停或者少停。 从灾备的角度而言,各企、事业单位将会面临以下几点挑战: 1、如何获取专业的灾备技术服务,降低数据丢失风险,满足数据保护需求。 2、如何能在降低灾备建设成本的基础上,让各单位都能够低成本使用成熟、可靠的 灾备技术方案,保障核心数据资产不丢失。 3、如何在缺乏专业的灾备运维管理人员,管理人员技术水平参差不齐的现状下,确 保在核心业务系统出现问题而中断时能够快速进行恢复。 4、如何在IT架构混合化、多元化的大环境和趋势下,确保灾备技术方案能面向未来 的适应各单位数据中心的快速扩展。
云计算平台系统建设项目 设计方案
1.1设计方案 1.1.1平台架构设计 **高新区云计算平台将服务器等关键设备按照需要实现的功能划分为两个层面,分别对应业务层和计算平台层。 业务层中,功能区域的划分一般都是根据安全和管理需求进行划分,各个部门可能有所不同,云数据中心中一般有公共信息服务区(DMZ区)、运行管理区、等保二级业务区、等保三级业务区、开发测试区等功能区域,实际划分可以根据业务情况进行调整,总的原则是在满足安全的前提下尽量统一管理。 计算平台层中分为计算服务区和存储服务区,其中计算服务区为三层架构。计算服务区部署主要考虑三层架构,即表现层、应用层和数据层,同时考虑物理和虚拟部署。存储服务区主要分为IPSAN、FCSAN、NAS 和虚拟化存储。 云计算平台中计算和存储支持的功能分区如下图所示:
图云计算平台整体架构 图平台分层架构
基础架构即服务:包括硬件基础实施层、虚拟化&资源池化层、资源调度与管理自动化层。 硬件基础实施层:包括主机、存储、网络及其他硬件在内的硬件设备,他们是实现云服务的最基础资源。 虚拟化&资源池化层:通过虚拟化技术进行整合,形成一个对外提供资源的池化管理(包括内存池、服务器池、存储池等),同时通过云管理平台,对外提供运行环境等基础服务。 资源调度层:在对资源(物理资源和虚拟资源)进行有效监控管理的基础上,通过对服务模型的抽取,提供弹性计算、负载均衡、动态迁移、按需供给和自动化部署等功能,是提供云服务的关键所在。 平台即服务:主要在IaaS基础上提供统一的平台化系统软件支撑服务,包括统一身份认证服务、访问控制服务、工作量引擎服务、通用报表、决策支持等。这一层不同于传统方式的平台服务,这些平台服务也要满足云架构的部署方式,通过虚拟化、集群和负载均衡等技术提供云状态服务,可以根据需要随时定制功能及相应的扩展。 软件即服务:对外提供终端服务,可以分为基础服务和专业服务。基础服务提供统一门户、公共认证、统一通讯等,专业服务主要指各种业务应用。通过应用部署模式底层的稍微变化,都可以在云计算架构下实现灵活的扩展和管理。 按需服务是SaaS应用的核心理念,可以满足不同用户的个性化需求,如通过负载均衡满足大并发量用户服务访问等。 信息安全管理体系,针对云计算平台建设以高性能高可靠的网络安
视图实战云平台系统 建设方案
目录 一、项目概述 (4) 1.1 项目背景 (4) 1.2 总体目标 (6) 1.3 建设原则 (6) 1.4 设计依据 (10) 二、技术方案 (14) 2.1 系统总体设计 (14) 2.1.1 系统概述 (14) 2.1.2 总体设计 (23) 2.2 视图实战云数据中心 (33) 2.2.1 虚拟化云平台设计 (34) 2.2.2 高性能计算集群设计 (35) 2.2.3 云网虚拟融合设计 (42) 2.2.4 云管理平台设计 (49) 2.2.5 云安全设计 (57) 2.2.6 系统实现功能 (61) 2.3 视图云大数据平台 (65) 2.3.1 构架设计 (65) 2.3.2 大数据平台组成 (67) 2.3.3 海量数据检索服务 (72) 2.3.4 海量车辆特征分析 (73) 2.3.5 海量人脸特征分析 (75) 2.3.6 海量视频云摘要 (79) 2.4 视图云大数据应用 (86) 2.4.1 总体设计 (86) 2.4.2 视频联网平台建设 (89) 2.4.3 图侦实战应用系统 (107) 2.4.4 视频图像信息库系统 (123)
2.4.5 车辆大数据应用系统 (142) 2.4.6 人脸大数据应用系统 (154) 2.4.7 其它大数据功能应用 (155) 2.4.8 数据可视化展示方案 (161) 2.4.9 构建开放的应用中心 (170) 2.5 视图云存储系统 (171) 2.5.1 存储设计 (172) 2.5.2 容量设计 (173) 2.5.3 系统特性 (174) 2.5.4 系统接口 (182) 2.5.5 系统优势 (184) 2.6 视侦实战装备系统 (187) 2.6.1 建设内容 (187) 2.6.2 视频采集装备 (187) 2.7 视图业务运维系统 (195) 2.7.1 基础云平台运维方案设计 (195) 2.7.2 视频业务运维方案设计 (202) 2.8 系统资源共享 (215) 2.8.1 建设内容 (215) 2.8.2 建设目标 (215) 2.8.3 方案设计 (216) 2.8.4 云平台对外服务接口 (230) 2.9 系统安全建设 (235) 2.9.1 概述 (235) 2.9.2 物理安全 (237) 2.9.3 网络安全 (240) 2.9.4 跨网安全方案设计 (9) 2.9.5 应用安全 (13) 2.9.6 安全接入 (24) 2.9.7 安全实施与运维 (35)
云平台建设方案 1、配置满足当前(2014)年度,硬件投入需求 2、一定的扩展能力,10台4路,10台2路可迁移系统 3、应用包括(DB、中间件;开发、测试、验收和上线环境)移动平台 1、规则引擎数据库、 中间件 健康险平台2、统计分析中间件 能力提升年,提高信息系统支持能力;影像系统3、OA中间件、数据库 1、计算投资管理系统 2、存储稽核审计系统 3、网络GPS查勘调度系统 资金管理系统 方案对比:费控系统 硬件对比人力资源系统 软件对比:vmware、Huawei FusionCompute 河南农户电子 档案 非车险承保理赔系统改造 第一类系统(即短时间中断会造成重大社会影 响或影响保险机构关键业务功能,并造成重大 经济损失的信息系统)包括核心系统及相关子 系统。具体有:核心业务(含影像资料)、规 则引擎、农险电子档案、保协车险共享平台、 广域网络专线和96999客服专线。 第二类系统(即短时间中断会造成较大社会影 响或影响保险机构部分关键业务功能,并造成 较大经济损失的信息系统)包括核心业务系统 支撑平台。具体有:统计分析、精友车型数据、 保单自助查询、短信平台。 第三类系统(即间接支持关键业务功能或保险 机构对系统中断具有一定容忍度的信息系统) 包括OA办公自动化、邮件、网站、GIS系统、 移动查勘等。 云平台建设方案 (讨论稿) 信息化经历了T-S模式(终端-主机)、C-S模式(PC时代客户机-服务器)、B-S模式(互联网时代浏览器-服务器);新时代以服务的方式被发布和访问的“云计算”模式;为响应国家节能减排的号召,
减少公司信息化硬件重复投资,增强数据中心的运维和安全管理,构建高可用的新一代数据中心,我们将云平台建设纳入议事日程。 201X年公司面临再一次的职场搬迁,有了2012年职场搬迁网络实现无缝切换的经验,我部将以新职场中心机房建设为契机,构建云计算架构的数据中心,在保障业务平滑迁移的基础上,以实现IT 资源的大整合、数据中心的大集中。 根据私有云建设的规律,我们将云平台建设分三个阶段: 第一阶段:落地云设备,实现计算资源虚拟化、存储资源虚拟化和网络资源虚拟化,建设周期2~3个月; 第二阶段:落地云平台,对现有业务环境进行梳理,在云平台上部署轻量级数据库、中间件环境,实现部分业务系统的迁移,建设周期1~2个月; 第三阶段:建设云平台的灾备系统,具体建设时间根据新职场搬迁计划等实际情况待定。 本次建设方案为第一二阶段。 第一阶段:落地云设备 实现计算资源虚拟化、存储资源虚拟化和网络资源虚拟化 第二阶段:落地云平台 对现有业务环境进行梳理,在云平台上部署轻量级数据库、中间件环境,实现部分业务系统的迁移
云计算平台详细方案设计
第1章数据中心云平台设计 1.1云平台总体架构设计 基于当前IT基础架构的现状,未来云平台架构必将朝着开放、融合的方向演进,因此,云平台建议采用开放架构的产品。目前,越来越多的云服务提供商开始引入Openstack,并投入大量的人力研发自己的openstack版本,如VMware、华三等,各厂商基于Openstack架构的云平台其逻辑架构都基本相同,具体参考如下: 图2-1:云平台逻辑架构图 从上面的云平台的逻辑架构图中可以看出,云平台大概分为三层,即物理资源池、虚拟抽象层、云服务层。 1、物理资源层 物理层包括运行云所需的云数据中心机房运行环境,以及计算、存储、网络、安全等设备。 2、虚拟抽象层
资源抽象与控制层通过虚拟化技术,负责对底层硬件资源进行抽象,对底层硬件故障进行屏蔽,统一调度计算、存储、网络、安全资源池。 3、云服务层 云服务层是通过云平台Portal提供IAAS服务的逻辑层,用户可以按需申请相关的资源,包括:云主机、云存储、云网络、云防火墙与云负载均衡等。 基于未来云平台的发展趋势及华北油田数据中心云平台的需求,华北油田的云平台应具备异构管理能力,能够对多种虚拟化平台进行统一的管理、统一监控、统一运维,同时,云平台能够基于业务的安全需要进行安全防护,满足监控部门提出的安全等级要求。下面是本次云平台架构的初步设计,如下图所示: 图2-2:云平台总体架构图 1.2资源池总体设计 从云平台的总体架构可以看出,资源池是云平台的基础。因此,在构建云平台的过程中,资源的池化迈向云的是第一步。
目前,计算资源的池化主要包括两种,一种是X86架构的虚拟化,主要的虚拟化平台包括VMware、KVM、Hyper-V等;另一种是小型机架构的虚拟化,主要的虚拟化平台为PowerVM,这里主要关注基于X86架构的虚拟化。 存储资源的池化也包括两种,一种是当前流行的基于X86服务本地磁盘实现的分布式存储技术,如VMware VSAN、华为FusionStorage、华三vStor等;另一种是基于SAN 存储实现的资源池化,实现的方式是利用存储虚拟化技术,如EMC VPLEX、华为VIS(虚拟化存储网关型)和HDS VSG1000(存储型)等。这两种方式分别适用于不同的场景,对于普通的数据存储可以尝试使用分布式存储架构,如虚拟机文件、OLAP类数据库等,而对于关键的OLTP类数据库则建议采用基于SAN存储的架构。 网络资源池化也包括两种,一种是基于硬件一虚多技术实现的网络资源池,如华为和华三的新型的负载均衡、交换机、防火墙等设备;另一种是基于NFV技术实现的网络资源池。这两种方式分别适用于不同的场景,对于南北向流量的网络服务建议采用基于硬件方式实现的网络资源池化,而对于东西向流量的网络服务建议采用基于NFV技术实现的网络资源池化。 图2-2-1:华北油田资源池总体设计示例
企业云公共服务平台建设方案(此文档为word格式,下载后您可任意修改编辑!)
1.项目概况 1.1.平台网络愿景 平台网络以省级服务平台为中枢,统筹全省优势服务资源,合理布局综合服务窗口和重点产业服务窗口,建成信息畅通、功能完善、服务协同、资源共享、供需对接快捷的省级中小企业信息化服务体系,为全省中小企业提供找得着、用得起、有保证的服务。 平台网络利用三年左右的时间,依托云计算服务中心,通过构建起稳固可持续发展的应用支撑(PaaS)平台,持续吸引中小企业优质服务资源对接进省平台体系,持续为全省中小企业提供政务、商务、中介以及企业信息化SaaS服务等优质服务。同时,平台网络预留与国家中小企业公共服务平台的接口,实现与国家平台的信息资源高度共享。 1.2.项目建设思路 1、统筹规划,分步建设 立足全省中小企业发展规划,统筹规划服务平台网络,做好顶层设计,结合产业发展规划的实施,分步建设窗口平台,按照成熟一批、联通一批的原则,逐步扩大窗口平台的联通范围,最终形成覆盖全省的公共服务平台网络。 2、资源共享、协同服务 公共服务平台网络由省平台和若干个窗口平台共同构成,建设目标是形成互联互通的服务平台网络,实现全省范围内的资源共享、功
能互补、服务协同,扩大资源的服务范围和服务能力。 3、因地制宜,突出重点 窗口平台要按照产业发展规划统一规划、合理布局,同时也要根据当地产业的优势和服务需求的差异化,因地制宜,突出地方特色和优势,建设规范统一、特色鲜明的窗口平台。 4、基于云计算,创新服务模式 以云计算为平台网络建设、资源整合和动态扩展的支撑环境,使众多中小企业按需从服务平台网络中获取服务,实现服务模式的创新。 5、政府引导、市场化运作 加强政府规划和政策引导,对窗口平台建设给予扶持,引导服务资源与中小企业实现服务对接。同时,要充分发挥市场机制在资源配臵中的基础性作用,实现公益性服务与市场化服务相互促进、融合发展。 1.3.具体建设目标 按照某某省中小企业发展和服务体系建设规划,深入贯彻落实科学发展观,坚持政府扶持中介、中介服务企业的理念,以市场化、专业化和社会化服务为方向,以服务中小企业为宗旨,发挥政策引导与市场机制的双重作用,围绕某某省中小企业重点服务需求及特点,统筹全省服务资源,完善服务机制,创新服务手段,增强服务功能,扩大服务范围,提升服务水平,利用三年的时间,建成以省服务平台为枢纽,36个窗口服务平台为节点的资源共享、服务协同、功能完善、覆盖全省的可持续发展的中小企业公共服务平台网络。 项目总体目标如下:
国家质检中心郑州综合检测基地云计算平台建设项目(招标编号:豫财招标采购-2015-112) 云计算平台设计方案 二〇一五年二月
目录 第一章项目概述与背景 .................................. 错误!未定义书签。第二章现状与需求分析 .................................. 错误!未定义书签。 2.1各业务系统现状.................................. 错误!未定义书签。 2.2.本期项目主要需求.............................. 错误!未定义书签。 ............................................................. 错误!未定义书签。 ............................................................. 错误!未定义书签。 ............................................................. 错误!未定义书签。 ............................................................. 错误!未定义书签。 ............................................................. 错误!未定义书签。第三章设计原则与目标 .................................. 错误!未定义书签。 3.1设计原则.............................................. 错误!未定义书签。 3.2建设目标.............................................. 错误!未定义书签。第四章质监云计算平台设计 .......................... 错误!未定义书签。 4.1总体设计思想...................................... 错误!未定义书签。 4.2总体架构设计...................................... 错误!未定义书签。 4.3计算虚拟化.......................................... 错误!未定义书签。 4.4网络虚拟化.......................................... 错误!未定义书签。 4.5存储虚拟化.......................................... 错误!未定义书签。 ............................................................. 错误!未定义书签。 ............................................................. 错误!未定义书签。 4.6云资源自动调度设计.......................... 错误!未定义书签。
云平台建设方案简介 2015年11月
目录
云平台总体设计 总体设计方案 设计原则 ?先进性 云中心的建设采用业界主流的云计算理念,广泛采用虚拟化、分布式存储、分布式计算等先进技术与应用模式,并与银行具体业务相结合,确保先进技术与模式应用的有效与适用。 ?可扩展性 云中心的计算、存储、网络等基础资源需要根据业务应用工作负荷的需求进行伸缩。在系统进行容量扩展时,只需增加相应数量的硬件设备,并在其上部署、配置相应的资源调度管理软件和业务应用软件,即可实现系统扩展。 ?成熟性 云中心建设,要考虑采用成熟各种技术手段,实现各种功能,保证云计算中心的良好运行,满足业务需要。 ?开放性与兼容性 云平台采用开放性架构体系,能够兼容业界通用的设备及主流的操作系统、虚拟化软件、应用程序,从而使得云平台大大降低开发、运营、维护等成本。 ?可靠性 云平台需提供可靠的计算、存储、网络等资源。系统需要在硬件、网络、软件等方面考虑适当冗余,避免单点故障,保证云平台的可靠运行。 ?安全性 云平台根据业务需求与多个网络分别连接,必须防范网络入侵攻击、病毒感染;同时,云平台资源共享给不同的系统使用,必须保证它们之间不会发生数据泄漏。因此,云平台应该在各个层面进行完善的安全防护,确保信息的安全和私密性。 ?多业务性 云平台在最初的规划设计中,充分考虑了需要支撑多用户、多业务的特征,保证基础资源在不同的应用和用户间根据需求自动动态调度的同时,使得不同的业务能够彼此隔离,保证多种业务的同时良好运行。 ?自主可控 云平台建设在产品选型中,优先选择自主可控的软硬件产品,一方面保证整个云计算中心的安全,另一方面也能够促进本地信息化产业链的发展。 支撑平台技术架构设计 图支撑平台技术架构 支撑平台总体技术架构设计如上,整个架构从下往上包括云计算基础设施层、云计算平台资源层、云计算业务数据层、云计算管理层和云计算服务层。其中: ?云计算基础设施层:主要包括云计算中心的物理机房环境; ?云计算平台资源层:在云计算中心安全的物理环境基础上,采用虚拟化、分布 式存储等云计算技术,实现服务器、网络、存储的虚拟化,构建计算资源池、 存储资源池和网络资源池,实现基础设施即服务。
虚拟化项目解决方案 一、项目背景 随着“阳光司法”的不断建设,目前用户已经拥有十几台服务器,由此产生整体能耗高、服务器管理不统一且计算机资源使用效率不高、业务系统会因单台 服务器硬件的故障而中断服务等问题,鉴于以上种种的弊端,实现虚拟化和存储资源整合迫在眉睫。因此,用户拟利用当今先进技术对服务器资源进行整合和集约化开发利用,构建一套虚拟化运行和管理平台,从而实现单一控制点管理的虚拟基础架构,并能监控虚拟机及其主机的性能,减少人工对服务器干预,智能实现自动化的负载均衡以及自动进行IT资源动态分配。 需求分析 目前用户拥有的服务器数量、配置:
ML570 MP 2.83GHz 务器 8 HP ML570 1*XE0N MP 2.83GHz 4 300G Win XP 法庭 9 IBM X3850 2*E7420 8 135.9G+292.97GB+279.40G Win dows2008 OA 135.9G 一楼 10 HP DL380 1*X5650 2 137G LINX操作系 统 法庭 11 IBM X 3850 2*E7420 8 300G Win dows2008 法庭 12 戴尔服 务器: 4*E5620 24 500G LINX操作系 统 法庭 以上服务器均做RAID 1 存在的问题: 主要问题问题描述 1成本高 硬件成本较咼。 运营和维护成本高,包括数据中心空间、机柜、网线,耗电量,冷 气空调和人力成本等。 2可用性可用性低,因为每个服务器都是单机,如果都配置为双机模式成本 更咼。 系统维护和升级或者扩容时候需要停机进行,造成应用中断。 3缺乏可管理性数量太多难以管理,新服务器和应用的部署时间长,大大降低服务 器重建和应用加载时间。 硬件维护需要数天/周的变更管理准备和数小时的维护窗口。 4兼容性差系统和应用迁移到新的硬件需要和旧系统兼容的系统。 1、系统设计思路 在数据中心进行虚拟化整合时,往往涉及到利旧和重新建设两种建设思路。 结合本项目的实际情况,采用利旧的建设思路存在的问题是: 1、目前服务器共有13颗物理CPU购买非常多的VMwarelicenee,费用较 高; 系统设计
下一代云计算平台 建设方案
目录 第一章背景介绍 (4) 1.1 云计算介绍 (4) 1.2云计算与我国教育领域 (5) 第二章预期建设目标 (8) 2.1建设目标 (8) 2.2建设内容 (8) 第三章平台整体架构及特色 (10) 3.1 云平台背景简介 (10) 3.2 云平台架构及特色 (11) 3.3 云平台特色功能 (14) 第四章平台的管理与维护 (19) 4.1功能概述 (19) 4.2访问接口 (20) 4.3集群管理软件客户端 (20) 4.4集群管理软件WEB客户端 (20) 4.5远程桌面及命令行界面 (20) 4.6主要功能介绍 (20) 第五章应用的支撑 (31) 5.2分布式缓存 (42) 5.3迁移的支持 (45) 第六章集群管理软件虚拟化实现 (47) 6.1计算虚拟化 (47) 6.2存储虚拟化 (53) 6.3网络虚拟化 (64) 第九章平台发展与案例 (73) 9.1平台发展历程 (73)
9.2政府支持 (74)
第一章背景介绍 云计算是计算机科学和互联网技术进一步融合发展的产物,也是引领未来信息产业创新的关键战略性技术和手段。云计算在教育领域应用前景广阔,未来将在促进教育公平、降低教育成本、变革教学活动方式、提高管理效率和助推终身教育等五个方面对教育产生深远影响。 1.1 云计算介绍 云计算本质是将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和各种软件服务。微软把云计算定义在云+端、软件+服务上;谷歌(Googe)认为,云计算就是以公开的标准和服务为基础,以互联网为中心,提供安全、快速、便捷的数据存储和网络计算服务;IBM则认为云计算是一个虚拟化的计算机资源池,一种新的IT资源提供模式。虽然他们对云计算的定义不同,但认识较一致的地方是:云计算即“按需服务”,将数据存储和计算能力作为可以通过互联网来获取的“服务”向客户提供。因此,云计算具有以下两点优势: 1.1.1 降低信息化成本 在信息化不断向广度、深度发展的今天,日常工作处理的数据急剧增长,这些数据中还有相当一部分保存在本地。大多数情况下,网络只是让人们能更方便地获得信息,数据处理主要还是依靠本地硬件设备及运行在本地的应用程序来进行。面对海量数据的存储与计算,人们对计算机系统升级的要求不断提高。对计算机系统的要求越高,给个人或单位带来的经济压力就越大。云计算的出现,为投入较低成本,换取高计算能力提供了技术支持。云计算只要求用户端设备能运行简单的操作系统和浏览器软件即可,也就是说,云计算对用户端设备要求很低。应用云计算技术,可以避免本地建设和维护价格不菲的计算机系统,只需支付低廉的服务费用,即可完成原来需要高配置的本地计算才能完成的计算任务。 1.1.2 使用方便快捷 个人计算机是日常工作中的重要信息处理工具,人们需经常不断地进行系统软件的
1.云计算参考架构 在私有云当中,主要包含以下几个组件:物理基础架构、虚拟化层、服务自动化层、服务门户、安全体系、云API和可集成的其它功能。(如图私有云参考架构) 图3.4 私有云参考架构 a) 物理基础架构 物理架构的定义是组成私有云的各种计算资源,包括存储、计算服务器、网络,无论是云还是传统的数据中心,都必须基于一定的物理架构才能运行。 在私有云参考架构中的物理基础架构其表现形式应当是以资源池模式出现,也就是说,所有的物理基础架构应当是统一被管,且任一设备可以看成是无状态,或者说并不与其它的资源,或者是上层应用存在紧耦合关系,可以被私有云根据最终用户的需求,和预先定制好的策略,对其进行改变。 b) 虚拟化层 虚拟化是实现私有云的前提条件,通过虚拟化的方式,可以让计算资源运行超过以前更
多的负载,提升资源利用率。虚拟化让应用和物理设备之间采用松耦合部署,物理资源状态的变更不影响到虚拟化的逻辑计算资源。且可以根据物力基础资源变化而动态调整,提升整体的灵活性。 c) 服务自动化层 服务自动化层实现了对计算资源操作的自动化处理。它可以集中的监控目前整体计算资源的状态,比如性能、可用性、故障、事件汇总等等,并通过预先定义的自动化工作流进行相关的处理。 服务自动化层是计算资源与云计算服务门户相关联的重要部件,服务自动化层拥有自动化配置和部署功能,可以进行服务模板的制定,并将服务内容和选择方式在云计算服务门户上注册,用户可以通过服务门户上的服务目录来选择相应的计算资源请求,由服务自动化层实现服务交付。 d) 云API 云应用开发接口提供了一组方法,让云服务门户和不同的服务自动化层进行联系,通过云API,可以在一个私有云当中接入多个不同地方的计算资源池,包括不同架构的计算资源,并通过各自的服务自动化体系去进行服务交互。 e) 云服务门户 云服务门户是用户使用私有云计算资源的接口,云服务门户上提供了所有可用服务的目录,并提供了完善的服务申请流程,用户可以执行申请、变更、退回等计算资源使用服务。 云服务门户收到最终用户的请求时,将根据预先定义好的策略对该请求进行立刻供应、预留或者排队。 不同的用户通过同一个云服务门户当中,将会看到只属于自己的应用、计算资源和服务目录,这是云计算当中的多租户技术,用户使用的资源在后台集中,但是在前端是完全的逻
云平台建设原则 1、标准化 当前云服务在整个信息产业中还不够成熟,相关的标准还没有完善。为保障方案前瞻性,在设备选型上力求充分考虑对云服务相关标准的扩展支持能力,保证良好的先进性,以适应未来的信息产业化发展。 2、高可用 为保证数据业务网的核心业务的不中断运行,在网络整体设计和设备配置上都是按照双备份要求设计的。在网络连接上消除单点故障,提供关键设备的故障切换。关键设备之间的物理链路采用双路冗余连接,按照负载均衡方式或active-active方式工作。关键主机可采用双路网卡来增加可靠性。全冗余的方式使系统达到电信级可靠性。要求网络具有设备/链中故障毫秒的保护倒换能力。 具有良好扩展性,网络建设完毕并网后应可以进行大规模改造、服务器集群、软件功能模块应可以不断扩展。 良好的易用性。简化系统结构,降低维护量。对突发数据吸附,缓解端口拥塞压力,能保证业务的流畅性等。 3、增强二级网络 云平台下,虚拟机迁移与集群式两种典型的应用模型,这两种模型均需要二层网络支持。随着云计算资源池的不断扩大,二层网络的范围正在逐步扩大,甚至扩展到多个数据中心内,大规模部署二层网络则带来一个必然的问题就是二层环路问题。采用传统的STP+VRRP技术部署二层网络时会带来部署复杂、链路利用率低、网络收敛时间慢等诸多问题,因此网络方案的设计需要重点考虑增强二级网络技术(如IRF/VSS、TRILL等)的应用,以解决传统技术带来的问题。 4、虚拟化 虚拟资源池化是网络发展的重要趋势,将可以大大提高资源利用率,降低运营成本。 应有效开展服务器、存储的虚拟资源池技术建设,网络设备的虚拟化也应进行设计实现。 服务器、存储器、网络及安全设备应具备虚拟化功能。 5、高性能 由于云服务网络中的流量模型发生了变化,随着整个云平台相关业务的开展,业务
云计算平台方案设计 1.1设计方案 1.1.1平台架构设计 XX高新区云计算平台将服务器等关键设备按照需要实现的功能划分为两个层面,分别对应业务层和计算平台层。 业务层中,功能区域的划分一般都是根据安全和管理需求进行划分,各个部门可能有所不同,云数据中心中一般有公共信息服务区(DMZ区)、运行管理区、等保二级业务区、等保三级业务区、开发测试区等功能区域,实际划分可以根据业务情况进行调整,总的原则是在满足安全的前提下尽量统一管理。 计算平台层中分为计算服务区和存储服务区,其中计算服务区为三层架构。计算服务区部署主要考虑三层架构,即表现层、应用层和数据层,同时考虑物理和虚拟部署。存储服务区主要分为IPSAN、FCSAN、NAS和虚拟化存储。 云计算平台中计算和存储支持的功能分区如下图所示: 图云计算平台整体架构
图 平台分层架构 基础架构即服务:包括硬件基础实施层、虚拟化&资源池化层、资源调度与管理自动化层。 硬件基础实施层:包括主机、存储、网络及其他硬件在的硬件设备,他们是实现云服务的最基础资源。 虚拟化&资源池化层:通过虚拟化技术进行整合,形成一个对外提供资源的池化管理(包括存池、服务器池、存储池等),同时通过云管理平台,对外提供运行环境等基础服务。 资源调度层:在对资源(物理资源和虚拟资源)进行有效监控管理的基础上,通过对服务模型的抽取,提供弹性计算、负载均衡、动态迁移、按需供给和自动化部署等功能,是提供云服务的关键所在。 平台即服务:主要在IaaS 基础上提供统一的平台化系统软件支撑服务,包括统一身份认证服务、访问控制服务、工作量引擎服务、通用报表、决策支持等。这一层不同于传统方式的平台服务,这些平台服务也要满足云架构的部署方式,通过虚
云平台 云平台建设原则 1、标准化 当前云服务在整个信息产业中还不够成熟,相关的标准还没有完善。为保障方案的前瞻性,在设备选型上力求充分考虑对云服务相关标准的扩展支持能力,保证良好的先进性,以适应未来的信息产业化发展。 2、高可用 为保证数据业务网的核心业务的不中断运行,在网络整体设计和设备配置上都是按照双备份要求设计的。在网络连接上消除单点故障,提供关键设备的故障切换。关键设备之间的物理链路采用双路冗余连接,按照负载均衡方式或active-active方式工作。关键主机可采用双路网卡来增加可靠性。全冗余的方式使系统达到电信级可靠性。要求网络具有设备/链中故障毫秒的保护倒换能力。 具有良好扩展性,网络建设完毕并网后应可以进行大规模改造、服务器集群、软件功能模块应可以不断扩展。 良好的易用性。简化系统结构,降低维护量。对突发数据的吸附,缓解端口拥塞压力,能保证业务的流畅性等。 3、增强二级网络 云平台下,虚拟机迁移与集群式两种典型的应用模型,这两种模型均需要二层网络支持。随着云计算资源池的不断扩大,二层网络的范围正在逐步扩大,甚至扩展到多个数据中心内,大规模部署二层网络则带来一个必然的问题就是二层环路问题。采用传统的STP+VRRP技术部署二层网络时会带来部署复杂、链路利用率低、网络收敛时间慢等诸多问题,因此网络方案的设计需要重点考虑增强二级网络技术(如IRF/VSS、TRILL等)的应用,以解决传统技术带来的问题。 4、虚拟化 虚拟资源池化是网络发展的重要趋势,将可以大大提高资源利用率,降低运营成本。 应有效开展服务器、存储的虚拟资源池技术建设,网络设备的虚拟化也应进行设计实现。 服务器、存储器、网络及安全设备应具备虚拟化功能。
基于黄河三角洲云计算的数字城管建设方 案 云计算是为基于自由、平等和分享的网络要求提供可靠、安全、容错、可持续和可扩展的应用服务设施。作为一种最能提现互联网精神的计算模型,云计算在计算成本、计算模式和计算能力上的优势将从多个方面改变我们的工作和生活。云计算在数字城管中的应用,对于数字城管建设模式及其他系统的相关技术发展产生深远的影响,为数字城管建设中长久以来无法解决的投资高、建设周期长、质量难以保证及维护和安全问题提供了切实可行的解决方案,为加快数字城管普及奠定基础。 一、引言 "数字化城市管理"就是指以信息化手段和移动通信技术手段来处理、分析和管理整个城市的所有部件和事件信息,促进城市人流、物流、资金流、信息流、交通流的通畅与协调。换句话说,就是把像井盖、路灯、邮筒、果皮箱、停车场、电话亭等城市元素都纳入城市信息化管理的范畴,给每样公物配上一个"身份证",如果街道上的井盖坏了,家门口的路灯不亮了,不用打投诉电话,在移动gps定位系统的跟踪搜索下,有关部门就会在第一时间发现并把问题解决掉。 数字化城市管理新模式,就是采用万米单元网格管理法和城市部件、事件管理法相结合的方式,应用、整合多项数字城市技术,研发了信息采集器"城管通",创新信息实时采集传输的手段,创建城市管理监督中心和指挥中心两个轴心的管理体制,再造城市管理流程,从而实现精确、敏捷、高效、全时段、全方位覆盖的城市管理模式。 数字城管在建设及应用中一直存在建设费用高、建设周期长、系 统维护费用高、出现问题得不到及时解决、售后服务差、系统安全性低等弊端,而云计算技术的出现,将为数字城管系统解决上述问题提供了一种崭新的、较为理想的办法。 二、云计算技术 1、云计算的概念 在 ibm云计算白皮书中,可以看到的定义:"云计算 "一词同时用来描述一个系统平台或者一种类型的应用程序。一个云计算的平台可按需进行动态的供给provi?sion)、配置(configuration)、重新配置(reconfigure)以及取消服务(deprovision)等。在云计算平台中的服务器可以是物理的服务器或者虚拟的服务器。高级的计算云通常包含一些其他计算资源,如存储区域网络(san)、网络设备、防火墙以及其他安全设备等。 2、云计算的特点 2.1、规模经济 如果购买一台pc终端,需要购买显示器、硬盘、cpu、内存等一整套设备,并确保其整体性能满足工作和学习的需要。而利用云计算技术,可能只需要一台显示器,并接入互联网,就可以实现一切在终端pc上所能做的事情,而且不必担心自己购置的设备被淘汰,因为云计算所采用的硬件设备是供应商负责维护和更新,用户不必花费大量的资金即可获得大量的优质服务。 2.2、强大的计算和存储能力 云计算将计算和数据分布在大量的分布式计算机上,云中的计算机提供强大的计算能力,能够完成传统单台计算机根本无法完成的计算任务。同时,云中的计算机具有庞大的数据存储空间。 2.3、高安全性 在云计算模式中,数据集中存储,因而更容易实现安全监测。依托云计算模式中的一个或若干个数据中心,管理者对数据进行统一管理、分配资源、均衡负载、部署软件、控制安全,并进行可靠的安全实时监测,从而最大限度地保证用户的数据安全。
云计算平台 解决方案建议书 北京时代凌宇科技股份有限公司 2015年
目录 第1章项目概述和需求分析 (6) 1.1项目概述 (6) 1.2现有IT环境遭遇的挑战 (7) 1.2.1 IT规模增长导致传统IT模式建设和运维成本的增加 (7) 1.2.2庞大的系统使得管理难度增大p (9) 1.2.3业务不间断和灾难恢复越来越难 (9) 1.2.4传统的静态系统平台无法满足业务的快速变化需求 (10) 1.3建设云平台的意义 (10) 1.4需求分析 (11) 1.5建设目标 (12) 第2章云平台建设原则和总体方案 (13) 2.1建设原则和成果 (13) 2.1.1建设原则 (13) 2.1.2建成效果 (15) 2.2项目建设思路 (17) 2.3云平台系统整体方案 (18) 2.2.1系统总体架构图 (18) 2.2.2虚拟化层 (20) 2.2.3运营管理平台 (22)
2.2.4云数据中心系统整体拓扑设计 (23) 第3章系统方案详细介绍 (26) 3.1管理简便的层次化系统结构 (26) 3.1.1系统的层次化结构 (26) 3.1.2部署时层次化结构注意点 (29) 3.2强大的计算资源管理 (30) 3.2.1动态扩展的物理资源管理 (31) 3.2.2灵活实用的虚拟机管理功能 (33) 3.2.3智能的动态载荷管理 (36) 3.2.4个性化定制的计算服务类型 (37) 3.2.5高效便捷的模板、镜像和快照管理 (39) 3.3兼容全面的存储资源管理 (47) 3.3.1一级存储 (49) 3.3.2二级存储 (51) 3.3.3弹性块存储 (51) 3.4一体化的网络安全功能 (54) 3.4.1强大的VLAN功能 (55) 3.4.2高效的路由功能 (57) 3.4.3实用的NAT功能 (60) 3.4.4安全的防火墙功能 (61)
大数据平台建设方案 (项目需求与技术方案) 一、项目背景 “十三五”期间,随着我国现代信息技术的蓬勃发展,信息化建设模式发生根本性转变,一场以云计算、大数据、物联网、移动应用等技术为核心的“新IT”浪潮风起云涌,信息化应用进入一个“新常态”。***(某政府部门)为积极应对“互联网+”和大数据时代的机遇和挑战,适应全省经济社会发展与改革要求,大数据平台应运而生。 大数据平台整合省社会经济发展资源,打造集数据采集、数据处理、监测管理、预测预警、应急指挥、可视化平台于一体的大数据平台,以信息化提升数据化管理与服务能力,及时准确掌握社会经济发展情况,做到“用数据说话、用数据管理、用数据决策、用数据创新”,牢牢把握社会经济发展主动权和话语权。 二、建设目标 大数据平台是顺应目前信息化技术水平发展、服务政府职能改革的架构平台。它的主要目标是强化经济运行监测分析,实现企业信用社会化监督,建立规范化共建共享投资项目管理体系,推进政务数据共享和业务协同,为决策提供及时、准确、可靠的信息依据,提高政务工作的前瞻性和针对性,加大宏观调控力度,促进经济持续健康发
展。 1、制定统一信息资源管理规范,拓宽数据获取渠道,整合业务信息系统数据、企业单位数据和互联网抓取数据,构建汇聚式一体化数据库,为平台打下坚实稳固的数据基础。 2、梳理各相关系统数据资源的关联性,编制数据资源目录,建立信息资源交换管理标准体系,在业务可行性的基础上,实现数据信息共享,推进信息公开,建立跨部门跨领域经济形势分析制度。 3、在大数据分析监测基础上,为政府把握经济发展趋势、预见经济发展潜在问题、辅助经济决策提供基础支撑。 三、建设原则 大数据平台以信息资源整合为重点,以大数据应用为核心,坚持“统筹规划、分步实施,整合资源、协同共享,突出重点、注重实效,深化应用、创新驱动”的原则,全面提升信息化建设水平,促进全省经济持续健康发展。