教育云平臺設(shè)計方案

1、未來教育 自由互聯(lián)教育云平臺設(shè)計方案三通兩平臺總體設(shè)計框架BASS以應(yīng)用建設(shè)為中心，硬件建設(shè)為保障，分步實施，穩(wěn)步推進，逐步實現(xiàn)三通兩平臺。一期設(shè)計目標和內(nèi)容電教館自有業(yè)務(wù)：教學資源公共服務(wù)平臺，開展以視頻為基礎(chǔ)的直播公開課、名師講堂、一師一優(yōu)課等核心業(yè)務(wù)；教學管理公共服務(wù)平臺人人通空間OA辦公等；應(yīng)用超市：提供基本硬件環(huán)境，引入市場上的教學應(yīng)用軟件，通過試用，挑選符合韶關(guān)普教特色需要的應(yīng)用IaaS云服務(wù)：中小學原則上不再新增服務(wù)器等IT設(shè)備，直接使用云資源池，優(yōu)化韶關(guān)教育系統(tǒng)的硬件支出云桌面：優(yōu)先在電教館辦公和測試環(huán)境使用云桌面替換PC機，積累經(jīng)驗，后續(xù)逐步擴展到每個學校一期方案詳細設(shè)計拓撲

2、圖核心交換機負載均衡出口安全網(wǎng)關(guān)(防火墻、入侵檢測、SSLVPN)行為&流控管理設(shè)備韶關(guān)教育城域網(wǎng)Internet省教育城域網(wǎng) （粵教云）出口路由器云計算管理服務(wù)區(qū)域云安全訪問控制區(qū)DDOS、網(wǎng)頁防串改系統(tǒng)前置服務(wù)器區(qū)域萬兆鏈路千兆鏈路云虛擬機東西方向云安全控制區(qū)域數(shù)據(jù)庫服務(wù)器區(qū)域融合接入層交換機 電教館自有業(yè)務(wù)服務(wù)區(qū)IAAS云服務(wù)區(qū)應(yīng)用超市服務(wù)區(qū)云桌面服務(wù)區(qū)融合接入層交換機IP-SAN存儲區(qū)域FC-SAN存儲區(qū)域優(yōu)秀教育資源數(shù)字化多媒體化 教育資源云VMvIPSVMvFWVMvNSVMvSLBVMvRter集中共享教學公共服務(wù)平臺業(yè)務(wù)區(qū)：需求分析問題一：城域網(wǎng)絡(luò)帶寬瓶頸1、學校多個班級同時收

3、看一堂直播課，城域網(wǎng)帶寬容易成為瓶頸；2、在家，跨運營商訪問，比如家庭寬帶是聯(lián)通，卻通過電信訪問教育局視頻資源；問題二：服務(wù)平臺WEB服務(wù)器瓶頸1、受制于服務(wù)器硬件性能限制，單臺服務(wù)器處理能力有限。2、受限于中間件連接數(shù)限制（例如Windows IIS限制200并發(fā)）經(jīng)驗表明，在千兆城域網(wǎng)帶寬情況下，只能同時承載500（2M碼流）-1000（1M碼流）個教室同時直播。無法滿足韶關(guān)市全市學校實現(xiàn)網(wǎng)絡(luò)教學的需要。優(yōu)化視頻業(yè)務(wù)：分布式云部署市電教館區(qū)縣電教中心：服務(wù)器+虛擬化市直屬學校：云點設(shè)備（服務(wù)器+虛擬化）區(qū)屬學校：云點設(shè)備WEB流媒體WEBWEBWEB后臺：通過云點/云彩虹將流媒體分布式部署

4、；前端：通過DRX擴展WEB服務(wù)器運營商1運營商2動態(tài)資源擴展：負載均衡+DRX鏈路負載均衡第一步：租戶（學校、應(yīng)用廠商）申請“運行環(huán)境”第二步：電教館審批第三步：租戶（學校、應(yīng)用廠商）使用應(yīng)用超市&IaaS云服務(wù)區(qū)：需求分析非簡單的申請?zhí)摂M機，而是一個運行業(yè)務(wù)系統(tǒng)所需要的整體環(huán)境，以及流程化的服務(wù)；最全的服務(wù)目錄名稱：高性能云主機規(guī)格：4vCPU 8G內(nèi)存名稱：大內(nèi)存云主機規(guī)格：4vCPU 16G內(nèi)存云主機/存儲云防火墻云負載均衡云網(wǎng)絡(luò)虛擬數(shù)據(jù)中心￥1099/月￥1599/月016CPU0256G01024G云數(shù)據(jù)庫云應(yīng)用吞吐量：100新建數(shù)：100并發(fā)數(shù)：100安全策略條數(shù)：100吞吐量：

5、200新建數(shù)：200并發(fā)數(shù)：200安全策略條數(shù)：200吞吐量：500新建數(shù)：500并發(fā)數(shù)：500安全策略條數(shù)：1000大型適合1000人以下場景中型適合500人以下場景小型適合100人以下場景50萬/月20萬/月5萬/月￥666/月￥1000/月￥2000/月￥5000/月云網(wǎng)盤套餐1套餐2套餐3vSwitchvRouter公網(wǎng)IP連接數(shù)：100連接數(shù)：200連接數(shù)：500￥500/月￥1000/月￥3000/月華三云網(wǎng)盤內(nèi)網(wǎng)Vlan內(nèi)存CPU硬盤為租戶提供業(yè)務(wù)運行所需要的服務(wù)器、網(wǎng)絡(luò)、安全、負載均衡、數(shù)據(jù)庫等資源；虛擬計量，對內(nèi)統(tǒng)計云服務(wù)帶來的價值，對外可運營收費；自動化編排租戶將申請到的虛

6、機、網(wǎng)絡(luò)、安全、數(shù)據(jù)庫、負載均衡設(shè)備，根據(jù)業(yè)務(wù)需要自定義拓撲；拖拽設(shè)備圖標即可自動完成拓撲定義，無需手工配置；SDN+VxLAN構(gòu)建虛擬數(shù)據(jù)中心通過SDN+VxLAN技術(shù)允許租戶之間的IP地址、VLAN等重疊；租戶的虛擬“運行環(huán)境”邏輯隔離，具備互通條件，但滿足必要的安全策略；交換機FW路由器LBIPS服務(wù)器iSCSI存儲存儲主機網(wǎng)絡(luò)多租戶網(wǎng)絡(luò)隔離安全域網(wǎng)絡(luò)安全多實例Hypervisor安全補丁VM訪問控制VM防病毒VM存儲備份存儲備份FC存儲云安全接入VPN虛擬FW多租戶安全隔離安全域NAT負載均衡多租戶安全隔離租戶內(nèi)安全資源限制LBaaSDDoS安全防護DDoSaaSWEB安全掃描主機殺毒

7、云安全掃描殺毒存儲安全防護IaaSFWaaS云安全管理數(shù)據(jù)庫安全權(quán)限控制及審計多賬戶數(shù)據(jù)隔離開發(fā)環(huán)境安全權(quán)限控制及審計多賬戶數(shù)據(jù)隔離應(yīng)用安全：身份鑒別、權(quán)限控制、安全審計、日志審計、補丁管理內(nèi)容安全：數(shù)據(jù)泄露、敏感信息過濾、日志審計應(yīng)用系統(tǒng)代碼安全性分析SaaSPaaS云安全業(yè)務(wù)部署及策略調(diào)整云安全日志分析和行為審計安全規(guī)章制度安全應(yīng)急響應(yīng)機制及處理流程云安全服務(wù)基礎(chǔ)安全加固整體安全設(shè)計一期方案的安全設(shè)計核心交換機負載均衡出口安全網(wǎng)關(guān)(防火墻、入侵檢測、SSLVPN)行為&流控管理設(shè)備韶關(guān)教育城域網(wǎng)Internet省教育城域網(wǎng) （粵教云）出口路由器云安全訪問控制區(qū)DDOS、網(wǎng)頁防串改系統(tǒng)前置服

8、務(wù)器區(qū)域萬兆鏈路千兆鏈路融合接入層交換機融合接入層交換機DMZ區(qū)：對內(nèi)網(wǎng)的安全防護出口區(qū)：防火墻策略、入侵防御策略、行為審計云計算管理服務(wù)區(qū)域云虛擬機東西方向云安全控制區(qū)域數(shù)據(jù)庫服務(wù)器區(qū)域 電教館自有業(yè)務(wù)服務(wù)區(qū)IAAS云服務(wù)區(qū)應(yīng)用超市服務(wù)區(qū)云桌面服務(wù)區(qū)IP-SAN存儲區(qū)域FC-SAN存儲區(qū)域管理員賬號安全云安全的精細化設(shè)計VMComwarevFW/Vips/VLB教育云業(yè)務(wù)紛繁多樣，安全要求高：通過服務(wù)器安裝VFW、VIPS、VLB實現(xiàn)了虛擬機內(nèi)部的安全隔離；確保租戶虛擬機互訪的安全性；WEBAPPService NodesVMVMVMvSwitchLeafLeafVMVMVMvSwitchL

9、eafVMVMVMvSwitchLeafLeafVMVMVMvSwitchSpineSpineVxLAN Network服務(wù)鏈業(yè)務(wù)節(jié)點東西向流量FW LB云安全設(shè)計：東西向流量CoreCore城域網(wǎng)LSWLSW城域網(wǎng)教育網(wǎng)Internet云安全訪問控制區(qū)FW/IPS租戶租戶租戶租戶租戶云主機&云存儲需求：多業(yè)務(wù)主機縱向隔離保證南北向數(shù)據(jù)安全隔離；實現(xiàn)：安全按需求分配資源；CPU、內(nèi)存、會話數(shù)嚴格物理隔離，互不影響，租戶業(yè)務(wù)突發(fā)，不會影響其他租戶安全性能；云安全設(shè)計：南北向流量方案的可靠性設(shè)計核心交換機負載均衡出口安全網(wǎng)關(guān)(防火墻、入侵檢測、SSLVPN)行為&流控管理設(shè)備韶關(guān)教育城域網(wǎng)Inte

10、rnet省教育城域網(wǎng) （粵教云）出口路由器IP-SAN存儲區(qū)域FC-SAN存儲區(qū)域云計算管理服務(wù)區(qū)域云安全訪問控制區(qū)DDOS、網(wǎng)頁防串改系統(tǒng)前置服務(wù)器區(qū)域萬兆鏈路千兆鏈路云虛擬機東西方向云安全控制區(qū)域數(shù)據(jù)庫服務(wù)器區(qū)域業(yè)務(wù)網(wǎng)融合接入層交換機 電教館自有業(yè)務(wù)服務(wù)區(qū)IAAS云服務(wù)區(qū)應(yīng)用超市服務(wù)區(qū)云桌面服務(wù)區(qū)融合接入層交換機計算：虛機HA、備份、無狀態(tài)計算存儲：FC存儲：單臺Fast Raid、兩臺之間同步復(fù)制IP存儲：單臺Raid5，多臺之間網(wǎng)絡(luò)Raid、網(wǎng)絡(luò)、安全：雙機熱備、IRF2虛擬化鏈路：冗余備份、鏈路捆綁統(tǒng)一的運維平臺：基于業(yè)務(wù)的監(jiān)控視角通過圖形化的業(yè)務(wù)拓撲可直觀反映業(yè)務(wù)包含的IT資源及其

11、之間的關(guān)系，可一目了然的定位故障點直觀反映資源、業(yè)務(wù)、用戶間的關(guān)系基于業(yè)務(wù)邏輯的故障定位IT資源容量規(guī)劃及預(yù)警容量規(guī)劃云辦公區(qū)云端：教育局數(shù)據(jù)中心劉老師的辦公桌面家辦公室教室劉老師在家瀏覽教學資源劉老師在辦公室修改課件、利用私人桌面辦理社保劉老師去12班教室上課 裝機方便 節(jié)省成本；管理簡單、統(tǒng)一劉老師的私人桌面云桌面是基于云的典型應(yīng)用。在電教館辦公區(qū)和測試區(qū)，開展云桌面的試點，共100個點。總結(jié)：方案優(yōu)勢統(tǒng)一交付云網(wǎng)融合整體安全最佳實踐三通兩平臺成功案例南京教育云方案特色：多級云架構(gòu)，市-區(qū)-學校；云點、云彩虹最佳落地，解決視頻會議、公開課等臨時業(yè)務(wù)；市電教館面向電教館內(nèi)部、直屬中小學，同時

12、作為江寧區(qū)電教中心資源的備份與擴展。江寧區(qū)電教中心利用云彩虹技術(shù)在資源層面實現(xiàn)互通，實現(xiàn)教學資源的共建共享。同時支撐全區(qū)的教育城域網(wǎng)和云數(shù)據(jù)中心，實現(xiàn)硬件資源的集中減少投資，也減輕學校管理員的工作量。中、小學通過云點技術(shù)實現(xiàn)與資源平臺的互通，既可實現(xiàn)資源上傳，也可根據(jù)學校需要將云端的資源提前下載到本地，滿足教學效果需要。蘇州教育云教育城域網(wǎng)第一中學覓渡中學核心交換機數(shù)據(jù)中心匯聚+LB二十中學電信移動聯(lián)通CAS、CICVMware云數(shù)據(jù)中心方案：服務(wù)器虛擬化，構(gòu)建資源池，為學校提供IaaS服務(wù)；簡易管理方案：實現(xiàn)基礎(chǔ)設(shè)施的統(tǒng)一可視化管理，基于業(yè)務(wù)視圖自動告警城域網(wǎng)方案：統(tǒng)一互聯(lián)出口，IPS、ACG提供出口安全；S105構(gòu)建高性能高可靠萬兆城域