云計(jì)算平臺建設(shè)總體技術(shù)方案.doc

.云計(jì)算平臺工程技術(shù)方案天津一普信成科技有限公司 2018年3月.目 錄第1章.基本情況61.1.項(xiàng)目名稱61.2.業(yè)主單位61.3.項(xiàng)目背景61.3.1.XX技術(shù)發(fā)展方向61.3.2.有關(guān)XX公開的相關(guān)要求71.4.建設(shè)規(guī)模71.5.投資概算101.6.設(shè)計(jì)依據(jù)101.7.設(shè)計(jì)范圍101.8.設(shè)計(jì)分工11第2章.現(xiàn)狀及需求分析122.1.項(xiàng)目意義及建設(shè)必要性122.2.現(xiàn)狀分析132.3.需求分析142.3.1.長期需求142.3.2.本期需求14第3章.總體設(shè)計(jì)173.1.建設(shè)目標(biāo)173.1.1.預(yù)期總目標(biāo)173.1.2.階段性目標(biāo)183.2.建設(shè)內(nèi)容183.3.系統(tǒng)的總體結(jié)構(gòu)193.3.1.設(shè)計(jì)原則193.3.2.建設(shè)思路213.3.3.總體拓?fù)浣Y(jié)構(gòu)233.4.信息的分類編碼體系263.5.質(zhì)量保證體系27第4章.建設(shè)方案294.1.網(wǎng)絡(luò)資源池304.1.1.組網(wǎng)物理拓?fù)鋱D304.1.2.網(wǎng)絡(luò)負(fù)載均衡設(shè)計(jì)314.1.3.網(wǎng)絡(luò)虛擬化設(shè)計(jì)334.1.4.IP地址及DNS規(guī)劃374.1.5.網(wǎng)絡(luò)端口資源估算424.2.計(jì)算資源池434.2.1.計(jì)算資源池架構(gòu)434.2.2.應(yīng)用系統(tǒng)分析444.2.3.計(jì)算資源池建議配置與選型建議454.2.4.計(jì)算資源池部署484.2.5.虛擬化軟件選型分析504.3.云計(jì)算管理平臺524.3.1.云資源管理平臺建設(shè)方案534.3.2.云運(yùn)營管理平臺建設(shè)方案634.4.云計(jì)算安全防護(hù)方案734.4.1.云計(jì)算平臺安全威脅734.4.2.云計(jì)算平臺安全防護(hù)目標(biāo)744.4.3.云計(jì)算平臺安全架構(gòu)754.4.4.IaaS層安全754.4.5.PaaS層安全914.4.6.SaaS層安全924.4.7.公共安全944.4.8.安全管理制度1004.4.9.云安全服務(wù)1014.5.機(jī)房方案1024.5.1.機(jī)房設(shè)備集中管理1024.5.2.布線系統(tǒng)1034.5.3.機(jī)房系統(tǒng)1034.5.4.UPS配置方案1054.6.標(biāo)準(zhǔn)化工作1114.6.1.標(biāo)準(zhǔn)規(guī)范建設(shè)的原則1114.6.2.標(biāo)準(zhǔn)規(guī)范的總體框架112第5章.設(shè)備配置要求115第6章.項(xiàng)目實(shí)施與運(yùn)行維護(hù)1206.1.建設(shè)流程及進(jìn)度安排1206.1.1.團(tuán)隊(duì)組建1216.1.2.業(yè)務(wù)連續(xù)性計(jì)劃規(guī)劃1226.1.3.實(shí)施方案詳細(xì)設(shè)計(jì)1226.1.4.實(shí)施方案詳細(xì)會審1236.1.5.運(yùn)維制度的設(shè)計(jì)1236.1.6.運(yùn)維制度的會審1256.1.7.采購設(shè)備和基礎(chǔ)設(shè)施改造1256.1.8.平臺機(jī)房端系統(tǒng)改造調(diào)測1266.1.9.設(shè)備安裝調(diào)測1266.1.10.系統(tǒng)聯(lián)調(diào)1276.1.11.人員技術(shù)和制度培訓(xùn)1286.1.12.項(xiàng)目驗(yàn)收投產(chǎn)1286.2.項(xiàng)目建設(shè)管理及組織機(jī)構(gòu)1296.2.1.領(lǐng)導(dǎo)組織機(jī)構(gòu)1296.2.2.項(xiàng)目建設(shè)機(jī)構(gòu)1296.2.3.項(xiàng)目溝通1306.2.4.項(xiàng)目文檔管理1316.2.5.運(yùn)維及管理的組織機(jī)構(gòu)1326.2.6.運(yùn)維及管理的規(guī)范1336.2.7.運(yùn)維模式1356.2.8.人員配置和培訓(xùn)135第1章. 基本情況1.1. 項(xiàng)目名稱云計(jì)算平臺工程。1.2. 業(yè)主單位XXX公司。1.3. 項(xiàng)目背景1.3.1. 技術(shù)發(fā)展方向即運(yùn)用計(jì)算機(jī)、網(wǎng)絡(luò)和通信等現(xiàn)代信息技術(shù)手段，實(shí)現(xiàn)組織結(jié)構(gòu)和工作流程的優(yōu)化重組，超越時間、空間和部門分隔的限制，建成一個精簡、高效、廉潔、公平的政府運(yùn)作模式，以便全方位地向社會提供優(yōu)質(zhì)、規(guī)范、透明、符合國際水準(zhǔn)的管理與服務(wù)。隨著網(wǎng)絡(luò)技術(shù)、web2.0、下一代互聯(lián)網(wǎng)等技術(shù)的發(fā)展，我國云建設(shè)也發(fā)生著變化。2010年10月，國務(wù)院發(fā)布了國務(wù)院關(guān)于加快培育和發(fā)展戰(zhàn)略性新興產(chǎn)業(yè)的決定，就把新一代信息技術(shù)產(chǎn)業(yè)作為十二五時期的重點(diǎn)方向，要推動新一代移動通信、下一代互聯(lián)網(wǎng)核心設(shè)備和智能終端的研發(fā)及產(chǎn)業(yè)化，加快推進(jìn)三網(wǎng)融合，促進(jìn)物聯(lián)網(wǎng)、云計(jì)算的研發(fā)和示范應(yīng)用。1.3.2. 有關(guān)云公開的相關(guān)要求全國云領(lǐng)導(dǎo)小組發(fā)布了關(guān)于開展依托云平臺加強(qiáng)縣級政府云和政務(wù)服務(wù)試點(diǎn)工作的意見，就開展依托云平臺加強(qiáng)縣級政府云和政務(wù)服務(wù)試點(diǎn)工作提出了相關(guān)意見。要求在試點(diǎn)縣（市、區(qū)），用一年左右時間，建立和完善統(tǒng)一的云平臺，充分利用平臺全面、準(zhǔn)確發(fā)布政府信息公開事項(xiàng)，實(shí)時、規(guī)范辦理主要行政職權(quán)和便民服務(wù)事項(xiàng)，并實(shí)現(xiàn)電子監(jiān)察全覆蓋，為在全國全面推行奠定基礎(chǔ)、積累經(jīng)驗(yàn)。1.4. 建設(shè)規(guī)模本期建設(shè)規(guī)模為（后續(xù)根據(jù)實(shí)際服務(wù)器及機(jī)房環(huán)境進(jìn)行調(diào)整）：編號設(shè)備數(shù)量單位硬件設(shè)備1.1刀片式PC服務(wù)器片刀片服務(wù)器機(jī)箱個1.2機(jī)架式PC服務(wù)器（4CPU）臺1.3機(jī)架式PC服務(wù)器（2CPU）臺1.4FC SAN磁盤整列臺1.5NAS存儲系統(tǒng)臺1.6異構(gòu)存儲（云存儲）控制系統(tǒng)臺1.7虛擬帶庫臺1.8SAN光纖交換機(jī)臺1.9核心交換機(jī)臺1.10匯聚交換機(jī)臺1.11鏈路負(fù)載均衡設(shè)備臺1.12服務(wù)器負(fù)載均衡設(shè)備臺1.13防火墻臺1.14接入交換機(jī)臺1.15WEB應(yīng)用防護(hù)抗攻擊系統(tǒng)臺1.16入侵防御系統(tǒng)臺1.17防病毒網(wǎng)關(guān)臺1.18VPN網(wǎng)關(guān)臺1.19數(shù)據(jù)庫安全審計(jì)系統(tǒng)臺1.20運(yùn)維安全審計(jì)系統(tǒng)臺1.21安全代理應(yīng)用服務(wù)器臺1.22PKI應(yīng)用服務(wù)器臺1.23身份認(rèn)證系統(tǒng)套1.24網(wǎng)閘臺1.25網(wǎng)絡(luò)KVM臺1.26KVM集中器臺1.27短信機(jī)MAS信息機(jī)臺2.1云計(jì)算平臺管理軟件套2.2Vmware vSphere4.1企業(yè)版（1CPU）72套，Vmware vCenter標(biāo)準(zhǔn)版1套套2.3GalaX8800 Operating Edition V100R001 for 1CPU，一年技術(shù)服務(wù)套2.4Windows Server 2008 R2中文企業(yè)版套2.5RedHat Enterprise Linux-企業(yè)版套2.6物理機(jī)高可用群集軟件套2.7虛擬機(jī)高可用群集軟件套2.8應(yīng)用服務(wù)器軟件套2.9Oracle數(shù)據(jù)庫管理系統(tǒng)套2.10MSSQL數(shù)據(jù)庫管理系統(tǒng)套2.11MySql數(shù)據(jù)庫管理系統(tǒng)套2.12數(shù)據(jù)備份軟件套2.13目錄服務(wù)器軟件套2.14防病毒軟件套2.15漏洞掃描設(shè)備臺2.16網(wǎng)頁防篡改軟件套2.17SOC安全管理系統(tǒng)套2.18云安全服務(wù)套3.1UPS套3.2標(biāo)準(zhǔn)機(jī)架臺3.3機(jī)房精密空調(diào)臺1.5. 投資概算本項(xiàng)目本期工程概算總投資為XXXX萬元（人民幣）。1.6. 設(shè)計(jì)依據(jù)中華人民共和國國民經(jīng)濟(jì)和社會發(fā)展第十二個五年規(guī)劃綱要；計(jì)算機(jī)場地技術(shù)條件（GB2887-89）計(jì)算站場地安全要求（GB9361-88）電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范（GB50174-93）供配電系統(tǒng)設(shè)計(jì)規(guī)范（GB50052-92）低壓配電裝置及線路設(shè)計(jì)規(guī)范（GBJ83）建筑物防雷設(shè)計(jì)規(guī)范（GB50057-94）電子設(shè)備雷擊保護(hù)守則（GB7450-87）工業(yè)企業(yè)通信接地設(shè)計(jì)規(guī)范（GBJ79-95）中華人民共和國保密標(biāo)準(zhǔn)（BMB3-1999）涉密信息設(shè)備使用現(xiàn)場的電磁泄漏發(fā)射防護(hù)要求（BMZ1-2000）涉及國家機(jī)密的計(jì)算機(jī)信息系統(tǒng)保密技術(shù)要求（BMZ1-2000）涉及國家機(jī)密的計(jì)算機(jī)信息系統(tǒng)安全保密方案設(shè)計(jì)指南（BMZ2-2001）涉及國家計(jì)算機(jī)信息系統(tǒng)安全保密測試指南（BMZ3-2001）1.7. 設(shè)計(jì)范圍本方案涉及范圍包括以下幾個部分：（1） 基本情況；（2） 現(xiàn)狀與需求分析；（3） 總體設(shè)計(jì)；（4） 建設(shè)方案；（5） 設(shè)備配置要求；（6） 培訓(xùn)及維護(hù)；（7） 項(xiàng)目實(shí)施；（8） 概算編制。1.8. 設(shè)計(jì)分工待定。第2章. 現(xiàn)狀及需求分析2.1. 項(xiàng)目意義及建設(shè)必要性XX單位作為信息化建設(shè)持續(xù)居于全國前列的經(jīng)濟(jì)信息大省，對云計(jì)算的表現(xiàn)模式及其能夠帶來的經(jīng)濟(jì)效益表現(xiàn)出持續(xù)關(guān)注。本項(xiàng)目提出建設(shè)政務(wù)云計(jì)算平臺，對于整合云資源、提高省直部門計(jì)算資源配置效率，建設(shè)重復(fù)信息化投資，打造綠色云，推動高新技術(shù)產(chǎn)業(yè)發(fā)展，都具有長遠(yuǎn)的現(xiàn)實(shí)意義。（1）云計(jì)算是信息技術(shù)和產(chǎn)業(yè)發(fā)展的必然趨勢云計(jì)算是網(wǎng)格計(jì)算、分布式計(jì)算、虛擬化等傳統(tǒng)計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物。它旨在通過網(wǎng)絡(luò)把多個成本相對較低的計(jì)算實(shí)體整合成一個具有強(qiáng)大計(jì)算能力的完美系統(tǒng)，并借助SaaS、PaaS、IaaS、MSP等先進(jìn)的商業(yè)模式把這強(qiáng)大的計(jì)算能力分布到終端用戶手中。作為一種新興技術(shù)和商業(yè)模式，云計(jì)算將加速信息產(chǎn)業(yè)和信息基礎(chǔ)設(shè)施的服務(wù)化進(jìn)程，催生大量新型互聯(lián)網(wǎng)信息服務(wù)，帶動信息產(chǎn)業(yè)和信息化建設(shè)格局的整體變革。加快云計(jì)算發(fā)展，不僅是我省提升數(shù)字XX綜合競爭力、培育新增長點(diǎn)的重要途徑，也是促進(jìn)產(chǎn)業(yè)機(jī)構(gòu)調(diào)整、率先實(shí)現(xiàn)跨越式發(fā)展的重要舉措。（2）縣級XX是推動XX單位云計(jì)算應(yīng)用的第一步云計(jì)算是當(dāng)今信息技術(shù)、信息化的戰(zhàn)略制高點(diǎn)。當(dāng)前，我省正在貫徹落實(shí)國務(wù)院辦公廳轉(zhuǎn)發(fā)全國XX領(lǐng)導(dǎo)小組關(guān)于開展依托XX平臺加強(qiáng)縣級政府XX和政務(wù)服務(wù)試點(diǎn)工作意見的通知，將縣級XX作為推動XX單位云計(jì)算應(yīng)用的第一步，在實(shí)踐中摸索云計(jì)算為XX單位帶來的新機(jī)遇，通過政府應(yīng)用起到的示范和帶動作用，促進(jìn)全省信息化建設(shè)水平的提高，帶動信息產(chǎn)業(yè)的發(fā)展，戰(zhàn)略信息技術(shù)及產(chǎn)業(yè)的戰(zhàn)略高地。（3）提高政務(wù)部門計(jì)算資源配置效率，減少重復(fù)建設(shè)，節(jié)能減排XX單位XX建設(shè)以來，全省部署了大量的業(yè)務(wù)應(yīng)用系統(tǒng)，涉及海量的網(wǎng)絡(luò)設(shè)備、服務(wù)器及存儲設(shè)備。這些設(shè)備CPU和內(nèi)存利用率殘差不齊，大多數(shù)較低，部分工作效率在20%以下，同時也有部分部門計(jì)算硬件資源極端匱乏。這樣，不僅閑置了寶貴的計(jì)算資源，浪費(fèi)了電力，不利于節(jié)能減排，又未能很好地解決資源匱乏部門的實(shí)際問題。如果將這些設(shè)備整合建設(shè)為云計(jì)算平臺，服務(wù)器的利用效率將得到極大提升（40%60%），能夠動態(tài)、彈性、可回收地為各政務(wù)部門提供服務(wù)。總之，云計(jì)算可望提高應(yīng)用程序部署速度、促進(jìn)創(chuàng)新和降低成本，同時還增強(qiáng)了業(yè)務(wù)運(yùn)作的敏捷性。本項(xiàng)目對我省云計(jì)算的發(fā)展和應(yīng)用具有帶動、示范、服務(wù)、探索等多重作用，對帶動我省信息化建設(shè)進(jìn)入新階段，探尋我省新的經(jīng)濟(jì)建設(shè)模式具有重大的現(xiàn)實(shí)意義，有必要盡快實(shí)施。2.2. 現(xiàn)狀分析XX單位已經(jīng)建成了較為完善的XX網(wǎng)絡(luò)系統(tǒng)，經(jīng)過04年、06年兩次大的擴(kuò)容改造后，覆蓋全省的XX網(wǎng)絡(luò)全面建成，信息資源目錄體系與交換體系、信息資源公開和共享機(jī)制、信息安全基礎(chǔ)設(shè)施基本建立，重點(diǎn)業(yè)務(wù)應(yīng)用系統(tǒng)實(shí)現(xiàn)互聯(lián)互通，管理體制進(jìn)一步完善，信息技術(shù)在政府工作中得到普遍應(yīng)用。XX單位信息中心作為負(fù)責(zé)XX單位政府政務(wù)數(shù)據(jù)中心建設(shè)和維護(hù)的核心信息化部門，服務(wù)于XX單位政府部門宏觀決策支持、信息資源開發(fā)利用、數(shù)據(jù)交換、XX、信用體系建設(shè)等六大重點(diǎn)業(yè)務(wù)，按照工信部和國家發(fā)改委的要求，近年來一直致力于政務(wù)云計(jì)算的鋪墊和準(zhǔn)備工作，逐步完成了政務(wù)數(shù)據(jù)整合和云就緒準(zhǔn)備的前期工作。為推動數(shù)字XX建設(shè)科學(xué)發(fā)展，創(chuàng)新XX建設(shè)模式，推進(jìn)云計(jì)算應(yīng)用及相關(guān)產(chǎn)業(yè)的發(fā)展，根據(jù)省領(lǐng)導(dǎo)指示精神，下一步將重點(diǎn)建設(shè)XX單位政務(wù)云。在完成了各部門分散的IT資源和信息數(shù)據(jù)的整合之后，政府將通過云計(jì)算平臺，實(shí)現(xiàn)面向更多公眾服務(wù)、帶動本地信息化發(fā)展等目標(biāo)。2.3. 需求分析2.3.1. 長期需求滿足未來10年XX單位信息化建設(shè)基于XX的信息系統(tǒng)對網(wǎng)絡(luò)、服務(wù)器、存儲、軟件等基礎(chǔ)架構(gòu)的需要，面向全省政務(wù)系統(tǒng)提供信息共享平臺及云計(jì)算平臺。根據(jù)XX單位政府和省經(jīng)信委對數(shù)字XX的長遠(yuǎn)規(guī)劃，不僅要搭建XX云計(jì)算平臺，試點(diǎn)并承載相關(guān)業(yè)務(wù)，還需要進(jìn)行XX云計(jì)算平臺的開發(fā)和建設(shè)，運(yùn)行核心業(yè)務(wù)系統(tǒng)。2.3.2. 本期需求滿足今后3到5年XX單位信息化建設(shè)基于XX的信息系統(tǒng)對網(wǎng)絡(luò)、服務(wù)器、存儲、軟件等基礎(chǔ)架構(gòu)的需要。鑒于每個應(yīng)用系統(tǒng)對基礎(chǔ)架構(gòu)資源的需求難以確定，本期工程暫時按照最小經(jīng)濟(jì)規(guī)模的云計(jì)算平臺建設(shè)，計(jì)算資源池的服務(wù)器物理數(shù)量規(guī)劃為XXX臺，存儲及網(wǎng)絡(luò)設(shè)備根據(jù)實(shí)際需要進(jìn)行配套。. 硬件需求本次需要配置的硬件包括：主機(jī)：刀片服務(wù)器、機(jī)架式服務(wù)器等；存儲：SAN存儲、NAS存儲、IP存儲、虛擬帶庫、易購存儲控制系統(tǒng)、SAN交換機(jī)等；網(wǎng)絡(luò)設(shè)備：路由器、交換機(jī)、負(fù)載均衡、VPN網(wǎng)關(guān)等；安全設(shè)備：防火墻、入侵防御、防毒墻、運(yùn)維安全審計(jì)系統(tǒng)、數(shù)據(jù)庫安全審計(jì)系統(tǒng)、漏洞掃描系統(tǒng)。. 軟件需求除了需要配置一定數(shù)量的服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備和安全防護(hù)設(shè)備外，還需要配備相應(yīng)的系統(tǒng)軟件，如：1、 每臺物理服務(wù)器和虛擬服務(wù)器的操作系統(tǒng)：Windows、Linux等服務(wù)器操作系統(tǒng)。2、 虛擬化軟件：實(shí)現(xiàn)服務(wù)器和存儲資源的虛擬化，建立彈性、智能、可回收的資源池；對于新購置的設(shè)備，需要進(jìn)行虛擬化套件的安裝調(diào)試。3、 中間件：JAVA及.NET架構(gòu)的應(yīng)用服務(wù)器等。4、 大型數(shù)據(jù)庫系統(tǒng)：Oracle、SQL Server、MySQL等。5、 云計(jì)算管理平臺：包括網(wǎng)絡(luò)管理、資源管理、用戶管理、統(tǒng)計(jì)報(bào)表、賬單、監(jiān)控、告警等管理功能。. 安全需求虛擬機(jī)的應(yīng)用將導(dǎo)致物理網(wǎng)卡上的流量成幾何倍數(shù)增加，為了應(yīng)對云計(jì)算環(huán)境下的流量變化，安全防護(hù)體系的部署需要朝著高性能的方向調(diào)整。安全設(shè)備必然要具備對高密度的10GE設(shè)置100G接口的處理能力。同時，考慮到云計(jì)算環(huán)境的業(yè)務(wù)永續(xù)性，設(shè)備的部署必須要考慮到高可靠性的支持，不僅要考慮到設(shè)備的可靠性，如采用高性能高可靠高成熟的產(chǎn)品，還應(yīng)該考慮到設(shè)計(jì)的可靠性，如雙機(jī)熱備、設(shè)備虛擬化、配置同步、板件冗余和預(yù)留、跨設(shè)備鏈路捆綁、硬件ByPass等技術(shù)的應(yīng)用。配置防火墻、入侵防御、漏洞掃描、網(wǎng)頁防篡改、全接入網(wǎng)關(guān)和身份認(rèn)證系統(tǒng)，并從安全區(qū)域劃分、接入層安全、服務(wù)器區(qū)的安全和安全管理等多方面加強(qiáng)云計(jì)算平臺的防護(hù)。特別是接入層，采用VPN網(wǎng)關(guān)，注冊用戶從云計(jì)算管理中心獲得VPN Client，通過 VPN Client就可以連接到自己需要的云。服務(wù)器安全方面，所有物理服務(wù)器全部配置相應(yīng)的安全策略，禁止不用的端口的訪問，同時在虛擬機(jī)模板系統(tǒng)中只打開最小可用端口（如SSH、http、https等），以保證初始系統(tǒng)的安全性。建立應(yīng)用節(jié)點(diǎn)準(zhǔn)入規(guī)范，保證應(yīng)用節(jié)點(diǎn)自身的安全防護(hù)，避免云內(nèi)發(fā)生交叉感染。安全管理方面，則以管理制度為主、技術(shù)管控為輔，雙管齊下。. 機(jī)房需求鑒于信息中心機(jī)房UPS、精密空調(diào)承載有限，本項(xiàng)目本期工程應(yīng)做相應(yīng)擴(kuò)容建設(shè)。第3章. 總體設(shè)計(jì)3.1. 建設(shè)目標(biāo)3.1.1. 預(yù)期總目標(biāo)整合信息化建設(shè)資源，充分利用現(xiàn)有政府網(wǎng)站和政務(wù)（行政）服務(wù)中心基礎(chǔ)設(shè)施，結(jié)合集約化社區(qū)服務(wù)信息網(wǎng)絡(luò)平臺建設(shè)，對現(xiàn)有XX平臺進(jìn)行調(diào)整、升級和改造，滿足XX和政務(wù)服務(wù)應(yīng)用需要。具體包括：（1） 采用云計(jì)算技術(shù)，結(jié)合創(chuàng)新建設(shè)模式，搭建標(biāo)準(zhǔn)統(tǒng)一、功能完善、系統(tǒng)穩(wěn)定、安全可靠、縱橫互通、集中統(tǒng)一的XX云計(jì)算平臺，為各部門信息資源共享、數(shù)據(jù)交換和系統(tǒng)辦公提供良好的支撐。（2） 通過建設(shè)XX云計(jì)算平臺，方便未來將新增XX應(yīng)用快速部署到云計(jì)算平臺上，大大縮短新IT系統(tǒng)的上線時間，預(yù)期將節(jié)省設(shè)備30%，節(jié)約能耗50%。（3） 解決“信息孤島”，實(shí)現(xiàn)信息共享，提高信息安全水平，提升政府監(jiān)控能力和響應(yīng)速度，提高工作效率和公共服務(wù)水平，提供面向社會的專業(yè)性服務(wù)和為社會公眾提供政務(wù)信息服務(wù)。（4） 通過降低成本、提升效率、節(jié)能減排，滿足XX要貫徹落實(shí)科學(xué)發(fā)展觀，轉(zhuǎn)變發(fā)展模式的需要。（5） 滿足在云計(jì)算平臺上搭建XX應(yīng)用系統(tǒng)的需要，包括以三層架構(gòu)為主的應(yīng)用系統(tǒng)，以及大訪問量的應(yīng)用系統(tǒng)、大數(shù)據(jù)處理量的應(yīng)用系統(tǒng)以及大計(jì)算量的應(yīng)用系統(tǒng)。云計(jì)算試點(diǎn)業(yè)務(wù)運(yùn)行穩(wěn)定之后，普及和推廣云計(jì)算模式，將XX系統(tǒng)、政府網(wǎng)站應(yīng)用系統(tǒng)、政務(wù)服務(wù)業(yè)務(wù)應(yīng)用系統(tǒng)、電子監(jiān)察應(yīng)用系統(tǒng)等納入政務(wù)云計(jì)算平臺，通過建立政務(wù)服務(wù)事項(xiàng)信息庫、辦理過程信息庫、辦理結(jié)果信息庫、監(jiān)察規(guī)則信息庫、監(jiān)察業(yè)務(wù)信息庫等五個信息庫，實(shí)現(xiàn)政務(wù)服務(wù)和電子監(jiān)察信息資源管理。XX單位政務(wù)云計(jì)算建設(shè)的總體目標(biāo)是，實(shí)現(xiàn)省級政務(wù)系統(tǒng)數(shù)據(jù)共享，利用云計(jì)算彈性、智能、可回收的技術(shù)優(yōu)勢，低投資、低能耗、高效率地部署居民健康檔案系統(tǒng)、統(tǒng)計(jì)直報(bào)系統(tǒng)、生豬屠宰監(jiān)管與溯源系統(tǒng)等與政務(wù)職能工作相關(guān)的應(yīng)用系統(tǒng)。XX網(wǎng)絡(luò)、政府網(wǎng)站、業(yè)務(wù)管理系統(tǒng)、應(yīng)用及數(shù)據(jù)服務(wù)中心和信息安全保障體系等納入統(tǒng)一的政務(wù)云計(jì)算平臺。3.1.2. 階段性目標(biāo)為滿足XX和政務(wù)服務(wù)試點(diǎn)工作的業(yè)務(wù)需求，基于網(wǎng)絡(luò)技術(shù)、云計(jì)算等新興IT技術(shù)手段，建設(shè)統(tǒng)一的XX承載平臺，根據(jù)XX和政務(wù)服務(wù)目錄，將更多的行政職權(quán)納入電子化平臺的業(yè)務(wù)系統(tǒng)辦理，建設(shè)覆蓋行政職權(quán)和便民服務(wù)事項(xiàng)辦理流程的各個環(huán)節(jié)的電子監(jiān)察體系。在初步階段基礎(chǔ)設(shè)施先行，建設(shè)XX單位XX統(tǒng)一基礎(chǔ)承載平臺，基于云計(jì)算的模式，融入虛擬化等技術(shù)，具備統(tǒng)一、共享的特性，可以承載XX、金宏工程等試點(diǎn)業(yè)務(wù)應(yīng)用。同時為下一階段進(jìn)一步開展云計(jì)算的PAAS、SAAS等業(yè)務(wù)平臺應(yīng)用，進(jìn)行經(jīng)驗(yàn)積累和技術(shù)探索。3.2. 建設(shè)內(nèi)容本項(xiàng)目在充分整合XX數(shù)據(jù)中心資源的基礎(chǔ)上，配置必要軟硬件設(shè)備，為省直部門的信息系統(tǒng)提供統(tǒng)一的基礎(chǔ)設(shè)施服務(wù)，在IaaS層構(gòu)建較為完整的XX云計(jì)算平臺。建設(shè)內(nèi)容包括以下幾部分：硬件設(shè)備：刀片服務(wù)器、機(jī)架式服務(wù)器、SAN存儲、NAS存儲、IP存儲、虛擬帶庫、易購存儲控制系統(tǒng)、SAN交換機(jī)、路由器、交換機(jī)、負(fù)載均衡、VPN網(wǎng)關(guān)。軟件設(shè)備：物理服務(wù)器和虛擬服務(wù)器的操作系統(tǒng)、虛擬化軟件、中間件、大型數(shù)據(jù)庫系統(tǒng)、云計(jì)算管理平臺。安全系統(tǒng)：防火墻、入侵防御、防毒墻、網(wǎng)頁防篡改、身份認(rèn)證系統(tǒng)、運(yùn)維安全審計(jì)系統(tǒng)、數(shù)據(jù)庫安全審計(jì)系統(tǒng)、漏洞掃描系統(tǒng)。同時采購專業(yè)機(jī)構(gòu)提供的云安全服務(wù)等。機(jī)房配套設(shè)備：UPS、精密空調(diào)、標(biāo)準(zhǔn)機(jī)架。3.3. 系統(tǒng)的總體結(jié)構(gòu)3.3.1. 設(shè)計(jì)原則1、 標(biāo)準(zhǔn)化當(dāng)前階段云計(jì)算整個產(chǎn)業(yè)化還不夠成熟，相關(guān)標(biāo)準(zhǔn)還不完善。網(wǎng)絡(luò)是云計(jì)算的核心承載平臺，為保證多廠商的良好兼容性，避免廠商技術(shù)鎖定，網(wǎng)絡(luò)方案的設(shè)計(jì)應(yīng)需要采用標(biāo)準(zhǔn)技術(shù)與協(xié)議，能夠與第三方廠商保持良好的對接。此外，為保證方案的前瞻性，設(shè)備的選型應(yīng)充分考慮對云計(jì)算相關(guān)標(biāo)準(zhǔn)（如EVB/802.1Qbg,TRILL等）的擴(kuò)展支持能力，保證良好的先進(jìn)性，以適應(yīng)未來的技術(shù)發(fā)展。2、 高可用為保證數(shù)據(jù)業(yè)務(wù)網(wǎng)的核心業(yè)務(wù)的不中斷運(yùn)行，在網(wǎng)絡(luò)整體設(shè)計(jì)和設(shè)備配置上均是按照雙備份要求設(shè)計(jì)的。在網(wǎng)絡(luò)連接上消除單點(diǎn)故障，提供關(guān)鍵設(shè)備的故障切換。關(guān)鍵設(shè)備之間的物理鏈路采用雙路冗余連接，按照負(fù)載均衡方式或active-active方式工作。關(guān)鍵主機(jī)可采用雙路網(wǎng)卡來增加可靠性。全冗余的方式使系統(tǒng)達(dá)到99.999%的電信級可靠性。要求網(wǎng)絡(luò)具有設(shè)備/鏈中故障毫秒的保護(hù)倒換能力。具有良好擴(kuò)展性，網(wǎng)絡(luò)建設(shè)完畢并網(wǎng)后應(yīng)可以進(jìn)行大規(guī)模改造，服務(wù)器集群、軟件功能模塊應(yīng)可以不斷擴(kuò)展。良好的易用性。簡化系統(tǒng)結(jié)構(gòu)，降低維護(hù)量。對突發(fā)數(shù)據(jù)的吸附，緩解端口擁塞壓力，能保證業(yè)務(wù)的流暢性等。3、 增強(qiáng)二層網(wǎng)絡(luò)云計(jì)算環(huán)境下，虛擬機(jī)遷移與集群是兩種典型的應(yīng)用模型，這兩種模型均需要二層網(wǎng)絡(luò)的支持。隨著云計(jì)算資源池的不斷擴(kuò)大，二層網(wǎng)絡(luò)的范圍正在逐步擴(kuò)大，甚至擴(kuò)展到多個數(shù)據(jù)中心內(nèi)，大規(guī)模部暑二層網(wǎng)絡(luò)則帶來一個必然的問題就是二層環(huán)路問題。采用傳統(tǒng)STP+VRRP技術(shù)部署二層網(wǎng)絡(luò)時會帶來部署復(fù)雜、鏈路利用率低、網(wǎng)絡(luò)收斂時間慢等諸多問題，因此網(wǎng)絡(luò)方案的設(shè)計(jì)需要重點(diǎn)考慮增強(qiáng)二層網(wǎng)絡(luò)技術(shù)（如IRF/VSS、TRILL、VPLS等）的應(yīng)用，以解決傳統(tǒng)技術(shù)帶來的問題。4、 虛擬化虛擬資源池化是網(wǎng)絡(luò)發(fā)展的重要趨勢，將可以大大提高資源利用率，降低運(yùn)營成本。應(yīng)有效開展服務(wù)器、存儲器的虛擬資源池化技術(shù)建設(shè)，網(wǎng)絡(luò)設(shè)備的虛擬化也應(yīng)進(jìn)行設(shè)計(jì)實(shí)現(xiàn)。服務(wù)器、存儲器、網(wǎng)絡(luò)及安全設(shè)備應(yīng)具備虛擬化功能。5、 高性能由于云計(jì)算網(wǎng)絡(luò)中的流量模型發(fā)生了變化，而隨著整個云計(jì)算業(yè)務(wù)的開展，業(yè)務(wù)都分布在各個服務(wù)器上，流量模型從縱向流量轉(zhuǎn)換成復(fù)雜的多維度混合的方式，整個系統(tǒng)具有較高的吞吐能力和處理能力，系統(tǒng)各層均不存在阻塞，具備對突發(fā)流量的承受能力。6、 開放接口為保證服務(wù)器、存儲、網(wǎng)絡(luò)等資源能夠被云計(jì)算運(yùn)營平臺良好的調(diào)度與管理，要求系統(tǒng)提供開放的API接口，云計(jì)算運(yùn)營管理平臺能夠通過API接口、命令行腳本實(shí)現(xiàn)對設(shè)備的配置與策略下發(fā)。7、 綠色節(jié)能節(jié)能減排是目前網(wǎng)絡(luò)建設(shè)的重要系統(tǒng)工程之一，從網(wǎng)絡(luò)機(jī)房的整體能耗來看，IT設(shè)備約占到30%，空調(diào)等制冷系統(tǒng)約占45%，UPS、照明等輔助系統(tǒng)約占25%。所以作為IT設(shè)備的節(jié)能，不僅要考慮本身能耗比較低，而且要考慮其熱量對空調(diào)散熱系統(tǒng)的影響。應(yīng)采用低能耗的綠色網(wǎng)絡(luò)設(shè)備，采用多種方式降低系統(tǒng)功耗。3.3.2. 建設(shè)思路 云計(jì)算是一種新型的計(jì)算資源利用模式。它將計(jì)算任務(wù)分布在大量計(jì)算機(jī)構(gòu)成的資源池上，使各種應(yīng)用系統(tǒng)能夠根據(jù)需要獲取計(jì)算力、存儲空間和信息服務(wù)。按照服務(wù)實(shí)現(xiàn)的程度，目前云計(jì)算主要有IaaS、PaaS、SaaS三種業(yè)務(wù)模式： 1)基礎(chǔ)架構(gòu)服務(wù)(IaaS) Iaas層是以服務(wù)的模式提供虛擬硬件資源，主要是將基礎(chǔ)設(shè)施資源（計(jì)算、存儲、網(wǎng)絡(luò)帶寬等）進(jìn)行虛擬化和池化管理，便于實(shí)現(xiàn)資源的動態(tài)分配、再分配和回收。目前資源池主要分為計(jì)算資源池、存儲資源池和網(wǎng)絡(luò)資源池，同時也包括軟件和數(shù)據(jù)等內(nèi)容資源池。在服務(wù)提供方面主要以計(jì)算資源、存儲資源提供為主，如為業(yè)務(wù)信息系統(tǒng)分配虛擬服務(wù)器、有儲空間，提供應(yīng)用服務(wù)器、數(shù)據(jù)庫管理系統(tǒng)等應(yīng)用系統(tǒng)運(yùn)行環(huán)境。 2)應(yīng)用平臺服務(wù)(PaaS) PaaS層主要提供應(yīng)用開發(fā)、測試和運(yùn)行的平臺，用戶可以基于該平臺，進(jìn)行應(yīng)用的快速開發(fā)、測試和部署運(yùn)行，它依托于云計(jì)算基礎(chǔ)架構(gòu)，把基礎(chǔ)架構(gòu)資源變成平臺環(huán)境提供給用戶和應(yīng)用。為業(yè)務(wù)信息系統(tǒng)提供軟件開發(fā)和測試環(huán)境，同時可以將各業(yè)務(wù)信息系統(tǒng)功能納入一個集中的SOA平臺上，有效地復(fù)用和編排組織內(nèi)部的應(yīng)用服務(wù)構(gòu)件，以便按需組織這些服務(wù)構(gòu)件。典型的如門戶網(wǎng)站平臺服務(wù)，可為用戶提供快速定制開發(fā)門戶網(wǎng)站提供應(yīng)用軟件平臺，用戶只需在此平臺進(jìn)行少量的定制開發(fā)即可快速部署應(yīng)用。 3)應(yīng)用軟件服務(wù)(SaaS) SaaS軟件即服務(wù)，典型的運(yùn)用模式就是用戶通過標(biāo)準(zhǔn)的WEB瀏覽器來使用Internet上的軟件，因此可以不必購買軟件，只需要按需租用軟件，直接應(yīng)用。典型的如電子郵件系統(tǒng)的在線軟件服務(wù)，用戶只需作簡單的域名設(shè)置，即可部署本單位的電子郵件服務(wù)。 鑒于云計(jì)算平臺應(yīng)用需求的提出是一個漸進(jìn)的過程，云平臺建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程，建議XX云計(jì)算平臺遵循長期規(guī)劃、分步實(shí)施的原則，本期工程首先實(shí)現(xiàn)IaaS，后續(xù)工程根據(jù)應(yīng)用的實(shí)際需求逐步支持PaaS和SaaS的實(shí)現(xiàn)。3.3.3. 總體拓?fù)浣Y(jié)構(gòu)圖1：XX云計(jì)算平臺總體拓?fù)浣Y(jié)構(gòu)圖 根據(jù)本期工程的需求和建設(shè)目標(biāo)，XX云計(jì)算平臺總體邏輯拓?fù)浣Y(jié)構(gòu)如上圖所示。通過鏈路負(fù)載均衡器實(shí)現(xiàn)多互聯(lián)網(wǎng)出口（具體鏈路供應(yīng)商待定）鏈路負(fù)載均衡及高可用。任何ISP專線故障，不影響業(yè)務(wù)系統(tǒng)正常訪問；通過智能DNS系統(tǒng)實(shí)現(xiàn)接入用戶的就近訪問，即電信用戶訪問互聯(lián)網(wǎng)接入?yún)^(qū)走電信鏈路，聯(lián)通用戶訪問互聯(lián)網(wǎng)接入?yún)^(qū)走聯(lián)通鏈路。 圖2：XX云計(jì)算平臺云服務(wù)分層架構(gòu)圖 XX單位XX云計(jì)算平臺云服務(wù)分層架構(gòu)圖如上圖所示。整個架構(gòu)分為三層和兩體系：基礎(chǔ)設(shè)施服務(wù)層(IaaS)、平臺服務(wù)層(PaaS)、應(yīng)用軟件服務(wù)層(SaaS)、信息安全體系和運(yùn)營管理體系，其中信息安全體系和運(yùn)營管理體系有信息安全管理平臺和運(yùn)營管理平臺構(gòu)成。IAAS及管理、安全體系建設(shè)是本次的建設(shè)內(nèi)容，PAAS、SAAS在后續(xù)規(guī)劃建設(shè)。 1、基礎(chǔ)設(shè)施服務(wù)層包括硬件基礎(chǔ)設(shè)施子層、虛擬化&資源池化子層、資源調(diào)度與管理自動化子層。硬件基礎(chǔ)設(shè)施子層：包括主機(jī)、存儲、網(wǎng)絡(luò)及其他硬件在內(nèi)的硬件設(shè)備，它們是實(shí)現(xiàn)云計(jì)算的最基礎(chǔ)資源； 虛擬化&資源池化層：通過虛擬化技術(shù)進(jìn)行整合，形成一個對外提供對資源的池化管理（包括網(wǎng)絡(luò)池、服務(wù)器池、存儲池等），同時通過云管理平臺，對外提供運(yùn)行環(huán)境等基礎(chǔ)服務(wù)。 資源調(diào)度與管理自動化子層：在對資源（物理資源和虛擬資源）進(jìn)行有效監(jiān)控、管理的基礎(chǔ)上，并且通過對服務(wù)模型的抽取，提供彈性計(jì)算、負(fù)載均衡、動態(tài)遷移、按需供給、自動化部署等功能，它是實(shí)現(xiàn)云計(jì)算的關(guān)鍵所在。 2、平臺服務(wù)層主要在IaaS之上提供統(tǒng)一的平臺化系統(tǒng)軟件支撐服務(wù)，包括統(tǒng)一身份認(rèn)證服務(wù)、訪問控制服務(wù)、工作流引擎服務(wù)、通用報(bào)表、決策支持等。這一層不同于以往傳統(tǒng)方式的平臺服務(wù)，這些平臺服務(wù)也要滿足云架構(gòu)的部署方式，通過虛擬化、集群、負(fù)載均衡等技術(shù)提供云狀態(tài)服務(wù)，可以根據(jù)需要隨時定制功能及相應(yīng)的擴(kuò)展。3、應(yīng)用軟件服務(wù)層，是整個XX對外提供的終端服務(wù)，可以劃分為基礎(chǔ)服務(wù)和專業(yè)服務(wù)?；A(chǔ)服務(wù)提供統(tǒng)一門戶登錄、統(tǒng)一通訊等功能，專業(yè)服務(wù)主要指XXXX的各種業(yè)務(wù)應(yīng)用如流動人口管理、GIS系統(tǒng)、行政審批、網(wǎng)上執(zhí)法等等。它們通過應(yīng)用部署模式相底層的稍微變化，都可以在云計(jì)算架構(gòu)下實(shí)現(xiàn)靈活的擴(kuò)展和管理。按需服務(wù)是XXXXSaaS應(yīng)用的核心理念，多租約SaaS應(yīng)用可以滿足不同政府用戶的個性化需求，通過多個租約向用戶提供有差別的服務(wù)，通過負(fù)載均衡滿足大并發(fā)量用戶服務(wù)訪問等。 4、云計(jì)算平臺信息安全管理體系，針對云計(jì)算平臺建設(shè)以高性能高可靠的網(wǎng)絡(luò)安全一體化防護(hù)體系、虛擬化為技術(shù)支撐的安全防護(hù)體系、集中的安全服務(wù)中心應(yīng)對無邊界的安全防護(hù)、利用云安全模式加強(qiáng)云端和客戶端的關(guān)聯(lián)耦合和采用非技術(shù)手段補(bǔ)充等保障云計(jì)算平臺的安全。 5、運(yùn)營管理體系：保障云計(jì)算平臺的正常運(yùn)行，提供故障管理、計(jì)費(fèi)管理、性能管理、配置管理、安全管理等等。3.4. 信息的分類編碼體系 信息分類編碼體系將遵循政務(wù)信息資源目錄體系( GB/T21063-2007)及相關(guān)業(yè)務(wù)、技術(shù)、數(shù)據(jù)標(biāo)準(zhǔn)和規(guī)范進(jìn)行標(biāo)準(zhǔn)化建設(shè)。 (1)信息分類編碼設(shè)計(jì)遵循的主要原則 分類和編碼的基本原則遵循GB/T7027-2002規(guī)定，采用混合分類法；分類類目編碼使用的羅馬字符和阿拉伯?dāng)?shù)字遵循GB18030-2000的規(guī)定。 唯一性原則：編碼要唯一識別，不能有二意性，不能重復(fù)； 標(biāo)準(zhǔn)化原則：盡量采用國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、部級標(biāo)準(zhǔn)及“數(shù)字XX”的標(biāo)準(zhǔn)規(guī)范； 簡單化原則：代碼要簡單明了，易讀、易懂、易使用；快捷性原則：有快速識別、快速輸入和計(jì)算機(jī)快速處理的性能； 系統(tǒng)性原則：要全面、系統(tǒng)地考慮編碼設(shè)計(jì)的體系結(jié)構(gòu)； 擴(kuò)充原則：可根據(jù)實(shí)際情況對主題分類進(jìn)行類目擴(kuò)充，擴(kuò)充的類目應(yīng)分別符合類目的設(shè)置規(guī)則，分類代碼的配置應(yīng)符合代碼結(jié)構(gòu)中的規(guī)定，并注意助記性。 映射原則：使用中若采用了主題分類以外的其他分類，應(yīng)建立這些分類的類目表與主題分類的雙向映射關(guān)系。 分類擴(kuò)展原則：在建立信息資源目錄體系時，目錄體系中的信息資源分類應(yīng)采用主題分類，也可根據(jù)具體應(yīng)用情況選擇其他分類方法與主題分類共同進(jìn)行分類，如部門分類、服務(wù)分類、資源形態(tài)分類等；若采用擴(kuò)展分類代碼，則其分類代碼的配置應(yīng)符合代碼結(jié)構(gòu)中的規(guī)定。 (2)信息分類編碼框架體系 根據(jù)實(shí)際情況，XX單位XX云計(jì)算平臺建設(shè)項(xiàng)目的信息分類編碼體系按信息技術(shù)自身屬性進(jìn)行劃分，其體系框架有以下幾個分體系： 信息分類：包括適用于各種應(yīng)用系統(tǒng)的開發(fā)、數(shù)據(jù)庫系統(tǒng)的建設(shè)和數(shù)據(jù)交換的標(biāo)準(zhǔn)； 代碼結(jié)構(gòu)：采用統(tǒng)一的代碼結(jié)構(gòu)，代碼編制規(guī)則：分類類別用l位大寫羅馬字符表示“Z代表主題分類；一級類用l位大寫羅馬字符表示；二級類用l位大寫羅馬字符及2位阿拉伯?dāng)?shù)字表示。 術(shù)語和技術(shù)詞江：主要包括與信息化有關(guān)的術(shù)語標(biāo)準(zhǔn)，XX云計(jì)算平臺建設(shè)過程中遇到的主要名詞、術(shù)語和技術(shù)詞匯。 項(xiàng)目管理和建設(shè)標(biāo)準(zhǔn)：根據(jù)國家的有關(guān)規(guī)定，規(guī)范項(xiàng)目系統(tǒng)的管理和運(yùn)行機(jī)制；制定XX云計(jì)算平臺建設(shè)項(xiàng)目實(shí)施及管理的有關(guān)規(guī)程。 系統(tǒng)的管理和運(yùn)行機(jī)制：規(guī)范項(xiàng)目系統(tǒng)的管理和運(yùn)行機(jī)制； 計(jì)算機(jī)通信網(wǎng)絡(luò)：包括計(jì)算機(jī)通信和網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)、技術(shù)規(guī)范、管理規(guī)范等； 信息安全：適用與信息安全有關(guān)的信息技術(shù)應(yīng)用系統(tǒng)建設(shè)。3.5. 質(zhì)量保證體系 (1)系統(tǒng)質(zhì)量保證體系將遵循“數(shù)字XX”的系統(tǒng)設(shè)計(jì)標(biāo)準(zhǔn) 建立質(zhì)量控制流程； 建立系統(tǒng)編制標(biāo)準(zhǔn)； 制定系統(tǒng)測試的標(biāo)準(zhǔn)和方法； 在每個階段規(guī)范項(xiàng)目工作和改進(jìn)項(xiàng)目質(zhì)量。 (2)本項(xiàng)目將制定系統(tǒng)設(shè)計(jì)規(guī)范包括程序名、文件名和變量的規(guī)范化以及數(shù)據(jù)字典等，并要求在實(shí)施過程中提供以下技術(shù)文檔： 項(xiàng)目規(guī)劃與系統(tǒng)實(shí)施方案； 系統(tǒng)體系架構(gòu)及描述； 系統(tǒng)軟件功能設(shè)計(jì)說明書； 系統(tǒng)需求規(guī)格說明書； 系統(tǒng)概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)說明書； 數(shù)據(jù)庫設(shè)計(jì)說明書；系統(tǒng)代碼設(shè)計(jì)說明書；系統(tǒng)測試方案及測試分析報(bào)告；系統(tǒng)軟硬件配置說明；系統(tǒng)安裝維護(hù)手冊、用戶使用手冊；系統(tǒng)軟硬件培訓(xùn)資料；系統(tǒng)故障及應(yīng)急處理預(yù)案說明書第4章. 建設(shè)方案 基于本期XX單位XX云計(jì)算平臺的建設(shè)思路一一搭建基于IaaS層面的云計(jì)算平臺，如何采用云計(jì)算技術(shù)建立動態(tài)的IT資源平臺，并使之具備快速IT服務(wù)交付能力，進(jìn)而通過動態(tài)的IT架構(gòu)來應(yīng)對有關(guān)省直單位XX業(yè)務(wù)發(fā)展的需要；將應(yīng)用和業(yè)務(wù)從底層的IT資源中分離出來，提高系統(tǒng)的可移植性，并能夠充分利用更加優(yōu)化的系統(tǒng)和網(wǎng)絡(luò)資源以提高效率、降低整體成本是本期建設(shè)方案需要重點(diǎn)解決的問題。 為此，我們建議以XX應(yīng)用系統(tǒng)為頂層架構(gòu)來搭建XX單位XX云計(jì)算資源池，它是由計(jì)算資源池、存儲資源池、網(wǎng)絡(luò)資源池、XX應(yīng)用程序以及運(yùn)營管理平臺共同組成，運(yùn)營管理平臺負(fù)責(zé)對資源池和應(yīng)用進(jìn)行管理調(diào)度及告警監(jiān)控。其組成框架如下圖所示。圖3：資源池組成框架圖以下針對XX云計(jì)算資源池的各組成部分分別進(jìn)行具體闡述。4.1. 網(wǎng)絡(luò)資源池4.1.1. 組網(wǎng)物理拓?fù)鋱D XXXX云計(jì)算平臺組網(wǎng)物理拓?fù)淙缦聢D所示：圖4：XX云計(jì)算平臺組網(wǎng)物理拓?fù)鋱D本工程新增3根移動專線接入，單根200Mpbs帶寬。一根為XX互聯(lián)網(wǎng)接入?yún)^(qū)對外提供服務(wù)用，一根用于VPN專線，一根用于XX辦公人員訪問互聯(lián)網(wǎng)使用。 整個云計(jì)算平臺在組網(wǎng)設(shè)計(jì)上滿足雙網(wǎng)雙平面結(jié)構(gòu)，從網(wǎng)絡(luò)接口、網(wǎng)絡(luò)鏈路到關(guān)鍵網(wǎng)絡(luò)設(shè)備均配置冗余部件。在網(wǎng)絡(luò)接口上每臺物理服務(wù)器至少配置3張網(wǎng)卡，分別用于業(yè)務(wù)服務(wù)、虛擬化平臺宿主機(jī)管理、IP存儲系統(tǒng)互聯(lián)。業(yè)務(wù)服務(wù)網(wǎng)絡(luò)根據(jù)業(yè)務(wù)屬性不同，通過MPLS VPN劃分為公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、專用網(wǎng)絡(luò)區(qū)。虛擬化計(jì)算資源可以在不同的網(wǎng)絡(luò)區(qū)域中自由遷移。 在匯聚層旁掛防火墻、隔離網(wǎng)閘、運(yùn)維審計(jì)、數(shù)據(jù)庫審計(jì)系統(tǒng)等安全設(shè)備。其中防火墻用于實(shí)現(xiàn)同一網(wǎng)絡(luò)區(qū)域中不同業(yè)務(wù)系統(tǒng)的之間的安全隔離；隔離網(wǎng)閘用于在MPLS VPN隔離的不同網(wǎng)絡(luò)區(qū)域之間進(jìn)行安全數(shù)據(jù)交換，同時用于XX和XX之間的數(shù)據(jù)安全交換。4.1.2. 網(wǎng)絡(luò)負(fù)載均衡設(shè)計(jì) 網(wǎng)絡(luò)負(fù)載均衡分鏈路負(fù)載均衡和本地負(fù)載均衡，總體邏輯示意圖如下圖所示：圖5：網(wǎng)絡(luò)負(fù)載均衡示意圖. 鏈路負(fù)載均衡設(shè)計(jì) 如上圖所示，將移動互聯(lián)網(wǎng)專線和電信互聯(lián)網(wǎng)專線接入鏈路負(fù)載均衡器，鏈路負(fù)載均衡器通過對所有Internet鏈路進(jìn)行流量路由和控制帶寬服務(wù)水平實(shí)現(xiàn)多互聯(lián)網(wǎng)接入的高可用性。鏈路負(fù)載均衡器將多條互聯(lián)網(wǎng)線路進(jìn)行虛擬化處理，保障用戶從最好的線路訪問內(nèi)外部資源。任意一條ISP線路中斷，都不會對服務(wù)造成任何影響。通過鏈路負(fù)載均衡器可實(shí)現(xiàn)ISP接入線路的無縫擴(kuò)展。 1) OutBound流量負(fù)載均衡 XX辦公人員訪問互聯(lián)網(wǎng)的流量到達(dá)鏈路負(fù)載均衡器時，將通過鏈路負(fù)載均衡器多種鏈路狀態(tài)檢測結(jié)果選擇最佳出口鏈路，提升用戶體驗(yàn)。 2) InBound流量負(fù)載均衡 為使移動用戶和電信用戶通過不同互聯(lián)網(wǎng)鏈路訪問互聯(lián)網(wǎng)接入?yún)^(qū)應(yīng)用系統(tǒng)，鏈路負(fù)載均衡器的智能DNS解析功能將不同用戶訪問的域名解析成不同的公網(wǎng)IP地址，加速應(yīng)用訪問，提升用戶體驗(yàn)。. 本地負(fù)載均衡設(shè)計(jì) 本工程新增本地負(fù)載均衡器兩臺，旁掛于匯聚交換機(jī)。實(shí)現(xiàn)對服務(wù)器的負(fù)載均衡。本地負(fù)載均衡器可以保障內(nèi)部資源的容錯性，內(nèi)部任何一個應(yīng)用節(jié)點(diǎn)出現(xiàn)問題都不會對用戶造成任何的影響，本地負(fù)載均衡器能夠自動的屏蔽有問題的應(yīng)用節(jié)點(diǎn)，讓其停止對外服務(wù)，同時把該故障節(jié)點(diǎn)上的用戶遷移到其他正常的節(jié)點(diǎn)上去。 匯聚層本地負(fù)載均衡器可以虛擬成為多個設(shè)備，滿足XX不同分區(qū)的安全隔離要求。 XX業(yè)務(wù)系統(tǒng)以B/S架構(gòu)為主，目前的WEB應(yīng)用都包含了大量的圖片，javascript，CSS文件等，這些文件的重復(fù)傳輸不但給服務(wù)器造成了壓力，同時也使得用戶的體驗(yàn)受到了影響。本地負(fù)載均衡器通過HTTP壓縮的方式來節(jié)省帶寬以及提高訪問速度。通過靜態(tài)文件和動態(tài)文件的cache文件壓縮，瀏覽器端文件cache控制等優(yōu)化技術(shù)，來提供對WEB應(yīng)用進(jìn)行加速，提高用戶訪問速度。使用本地負(fù)載均衡器開放的API接口可以實(shí)現(xiàn)和云計(jì)算管理平臺的集成。4.1.3. 網(wǎng)絡(luò)虛擬化設(shè)計(jì). 云計(jì)算對傳統(tǒng)網(wǎng)絡(luò)的挑戰(zhàn) 傳統(tǒng)的網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)依據(jù)高可靠思路，形成了冗余復(fù)雜的網(wǎng)狀網(wǎng)結(jié)構(gòu)，結(jié)構(gòu)化網(wǎng)狀網(wǎng)的物理拓?fù)湓诒３指呖煽?、故障容錯、提升性能上有著極好的優(yōu)勢，是通用設(shè)計(jì)規(guī)則。云計(jì)算的大規(guī)模運(yùn)營，給傳統(tǒng)網(wǎng)絡(luò)架構(gòu)和傳統(tǒng)應(yīng)用部署都帶來了挑戰(zhàn)，新一代網(wǎng)絡(luò)支撐這種巨型的計(jì)算服務(wù)，不論是技術(shù)革新還是架構(gòu)變化，都需要服務(wù)于云計(jì)算的核心要求，動態(tài)、彈性、靈活，并實(shí)現(xiàn)網(wǎng)絡(luò)部署的簡捷化。具體來說傳統(tǒng)網(wǎng)絡(luò)面臨的挑戰(zhàn)主要有以下幾點(diǎn)： 一一傳統(tǒng)網(wǎng)絡(luò)的復(fù)雜性在實(shí)際的運(yùn)維中，管理人員承擔(dān)了極其繁冗的工作量； 一一云計(jì)算平臺下多虛擬機(jī)部署在同一臺物理服務(wù)器上運(yùn)，服務(wù)器的利用率從20%提高到80%，服務(wù)器端口流量大幅提升，對網(wǎng)絡(luò)性能提出更高要求；一一云計(jì)算平臺中，虛擬機(jī)在物理服務(wù)器之間進(jìn)行遷移，為了避免虛擬機(jī)遷移后路由的震蕩和修改網(wǎng)絡(luò)規(guī)劃，遷移通常只在在二層域進(jìn)行，因此云計(jì)算平臺需要具備一個性能更高、二層域更大的網(wǎng)絡(luò)環(huán)境為遷移提供保障。通過分析云計(jì)算對傳統(tǒng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)帶來的挑戰(zhàn)，我們可以從兩個方面來應(yīng)對。一是通過構(gòu)建高性能、高可靠的網(wǎng)絡(luò)，從而滿足云計(jì)算給網(wǎng)絡(luò)帶來的壓力；二是通過構(gòu)建虛擬化網(wǎng)絡(luò)來滿足云計(jì)算中由于虛擬機(jī)部署、遷移、以及安全策略實(shí)施對網(wǎng)絡(luò)提出的靈活性、安全性的要求。 總的來說，為滿足云計(jì)算的業(yè)務(wù)要求，統(tǒng)一的基礎(chǔ)網(wǎng)絡(luò)要素必然包括：高性能交換、虛擬化應(yīng)用、透明化交換。. 高性能二層網(wǎng)絡(luò) 為提供一個性能更高、二層域更大的網(wǎng)絡(luò)環(huán)境，本工程新增核心交換機(jī)和匯聚交換機(jī)通過交換機(jī)虛擬化技術(shù)（華三IRF2、思科VSS）分別虛擬成一臺邏輯設(shè)備，減少了設(shè)備節(jié)點(diǎn)，簡化了配置。通過跨設(shè)備鏈路聚合技術(shù)取代傳統(tǒng)部署方式中的STP+VRRP協(xié)議，使網(wǎng)絡(luò)拓?fù)渥兊煤啙?，具備更?qiáng)的擴(kuò)展性；同時，其毫秒級的故障收斂時間，為虛擬機(jī)遷移提供了更加寬松的實(shí)現(xiàn)環(huán)境。圖6：交換機(jī)橫向虛擬化經(jīng)過二層透明化改造后，云計(jì)算平臺的匯聚接入層是一個透明二層網(wǎng)絡(luò)。不同業(yè)務(wù)（虛擬服務(wù)器）接入不同的二層VLAN，但同一個業(yè)務(wù)（虛擬服務(wù)器）可以在不同網(wǎng)絡(luò)分區(qū)里靈活部署與遷移，滿足了云計(jì)算的要求；同時，匯聚層以上進(jìn)行的是VPN標(biāo)簽交換與路由轉(zhuǎn)發(fā)，又保證了不同業(yè)務(wù)（虛擬服務(wù)器）的安全隔離。. 網(wǎng)絡(luò)服務(wù)虛擬化 為滿足不同XX分區(qū)的安全隔離要求，本項(xiàng)目在云計(jì)算平臺的匯聚層部署有匯聚交換機(jī)、防火墻、IPS、負(fù)載均衡器等設(shè)備。傳統(tǒng)網(wǎng)絡(luò)下，將為不同分區(qū)單獨(dú)配置一套安全設(shè)備，設(shè)備利用率低，運(yùn)維管理復(fù)雜。在云計(jì)算平臺下，通過網(wǎng)絡(luò)服務(wù)虛擬化，統(tǒng)一建設(shè)一套性能強(qiáng)大、可擴(kuò)展性良好的網(wǎng)絡(luò)服務(wù)設(shè)備，滿足為不同分區(qū)提供安全、應(yīng)用加速等服務(wù)。圖7：1：N網(wǎng)絡(luò)虛擬化技術(shù) 匯聚層交換機(jī)也通過虛擬化技術(shù)多實(shí)例，每個模擬出的交換機(jī)都擁有它自身的軟件進(jìn)程、專用硬件資源（接口）和獨(dú)立的管理環(huán)境，可以實(shí)現(xiàn)獨(dú)立的安全管理界限劃分和故障隔離域。有助于將分立網(wǎng)絡(luò)整合為一個通用基礎(chǔ)設(shè)施，保留物理上獨(dú)立的網(wǎng)絡(luò)的管理界限劃分和故障隔離特性，并提供單一基礎(chǔ)設(shè)施所擁有的多種運(yùn)營成本優(yōu)勢。如下圖所示：圖8：交換機(jī)縱向虛擬化. 虛擬交換機(jī)技術(shù)1) VMware VMware分布式虛擬交換機(jī)功能滿足網(wǎng)絡(luò)分區(qū)條件下，虛擬主機(jī)在線遷移等功能時，保證業(yè)務(wù)網(wǎng)絡(luò)的持續(xù)性。 虛擬交換機(jī)是構(gòu)成虛擬平臺網(wǎng)絡(luò)的關(guān)鍵角色，VMware虛擬化通過VMware vNetwork Distributed Switch，使虛擬機(jī)跨多個主機(jī)移動時始終處于同一個VLAN內(nèi)，它為虛擬機(jī)在物理服務(wù)器之間移動時監(jiān)視和保持其安全性提供了一個框架。VMware vNetwork Distributed Switch示意圖如下所示： 圖9：VMware vNetwork Distributed Switch示意圖 在多網(wǎng)絡(luò)分區(qū)環(huán)境時，VMware通過虛擬交換機(jī)的VLAN TRUNK，當(dāng)一個端口啟用了TRUNK功能后，就具備端口聚合的功效，會自動檢測流向此端口的所有流量，并把不同VLAN的流量導(dǎo)向物理交換機(jī)上相應(yīng)的VLAN中。在一臺ESX主機(jī)上由多個千兆網(wǎng)卡綁定在一起(組合成vSwitch)提供VM對外通訊的流量，并與物理交換機(jī)上的多個啟用了TRUNK功能的端口相連接。此時VMs分別在VLAN l、VLAN2、VLAN3上，同時在物理交換機(jī)上也有同樣ID的VLAN。那么，在VLAN1中的虛擬機(jī)，就可以和與物理交換機(jī)上VLAN1中的端口相連的機(jī)器相互通訊。同時實(shí)現(xiàn)虛擬化服務(wù)器在多網(wǎng)絡(luò)分區(qū)間的動態(tài)遷移。2）XEN通過將OPEN vSwitch（開放虛擬交換標(biāo)準(zhǔn)）作為其默認(rèn)組件，自xenserver5.6 FPI就實(shí)現(xiàn)對虛擬交換機(jī)的支持，而且自verxenserver5.6 SP2開始也實(shí)現(xiàn)了分布式的虛擬交換機(jī)功能。Xen-Motion是 Citrix Xenserver 的動態(tài)遷移技術(shù)，當(dāng)然，該系列4款虛擬化產(chǎn)品中，目前只有最高等級的白金版和企業(yè)版才具備這項(xiàng)功能，至于標(biāo)準(zhǔn)版及完全免費(fèi)的Express精簡版則無此項(xiàng)能力。不但是CITRIX旗下的虛擬化產(chǎn)品，其他基于Xen技術(shù)開發(fā)出來的虛擬化產(chǎn)品，例如Virtual Iron，也具備相似的動態(tài)遷移功能 LiveMigrate，除了免費(fèi)提供的個人版之外，需要付款購買的企業(yè)版及企業(yè)加強(qiáng)版具有內(nèi)置該項(xiàng)功能。4.1.4. IP地址及DNS規(guī)劃XXXX云計(jì)算平臺新增兩個獨(dú)立網(wǎng)段，一個用于云平臺及虛擬機(jī)宿主機(jī)之間通信，一個用于云計(jì)算平臺內(nèi)IP存儲系統(tǒng)網(wǎng)互聯(lián)；業(yè)務(wù)系統(tǒng)的IP地址和NDS規(guī)劃，沿用當(dāng)前XX統(tǒng)一規(guī)劃。具體參考實(shí)施意見XXXXIP地址規(guī)劃及管理規(guī)范和XX政府外網(wǎng)DNS及設(shè)備命名規(guī)范。. IP地址規(guī)劃原則XX單位XXIP地址規(guī)劃遵從國信辦和國家外網(wǎng)工程辦有關(guān)規(guī)定和指導(dǎo)意見。XXIP直至規(guī)劃原則包括：IP地址規(guī)劃主要涉及到網(wǎng)絡(luò)資源利用的方便有限的管理網(wǎng)絡(luò)的問題，公有地址相對緊張的情況下，合理有效的利用IP地址成為IP地址規(guī)劃的主要問題，合理的IP地址規(guī)劃是有利于網(wǎng)絡(luò)管理的；IP地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。對于外網(wǎng)廣域骨干網(wǎng)IP地址的分配應(yīng)該采用國家XX工程辦分配的合法地址空間，充分考慮到地址空間的合理利用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布；IP地址的規(guī)劃和劃分應(yīng)該考慮到網(wǎng)絡(luò)的后續(xù)規(guī)模和業(yè)務(wù)上的發(fā)展，能夠滿足未來發(fā)展的需要；既要滿足本期工程對IP地址的需求，同時要充分考慮未來的業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段；IP地址的分配需要有足夠靈活性，能滿足各種用戶接入需要；地址分配是有業(yè)務(wù)驅(qū)動，按照業(yè)務(wù)量的大小分配各地的地址段；IP地址的分配必須采用VLSM(變長掩碼)技術(shù)，保證IP地址的利用效率；采用CIDR技術(shù)，這樣可以減小路由器路由表的大小，加快路由的收斂速度，也可以減小網(wǎng)絡(luò)廣播的路由信息的大??；充分合理利用已申請的地址空間，提高地址的利用效率；IP地址的規(guī)劃應(yīng)該是XX廣域骨干整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。IP地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層次相對應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃。. IP地址規(guī)劃總體規(guī)劃 根據(jù)國家外網(wǎng)工程辦的規(guī)定，XXXX云平臺的公用網(wǎng)絡(luò)區(qū)使用國家申請的IP地址范圍為：XXXXXX。 互聯(lián)網(wǎng)區(qū)供互聯(lián)網(wǎng)訪問的設(shè)備的IP目前有省電信、省移動提供外 網(wǎng)地址，數(shù)量考慮上留有余地?；ヂ?lián)網(wǎng)區(qū)XX移動提供有3根互聯(lián)網(wǎng)專線，每條專線提供一個C類外網(wǎng)IP地址段，共3個C類地址段供本平臺使用。 XX單位XX橫向需要互聯(lián)各個政府部門，縱向需要打通省，設(shè)區(qū)市、縣、鄉(xiāng)鎮(zhèn)（街道）四級部門單位，在外網(wǎng)地址規(guī)劃中，使用