集團云計算戰(zhàn)略規(guī)劃設(shè)計-詳細方案

1、集團云計算戰(zhàn)略規(guī)劃設(shè)計 詳細方案2總目錄1現(xiàn)狀評估與需求分析云計算規(guī)劃3路線圖規(guī)劃2.1整體架構(gòu)規(guī)劃2.2IaaS規(guī)劃2.3PaaS規(guī)劃2.4SaaS規(guī)劃22目錄1現(xiàn)狀評估與需求分析云計算規(guī)劃3路線圖規(guī)劃3IT現(xiàn)狀問題分析總結(jié)：IT架構(gòu)優(yōu)化已迫在眉睫4存儲存儲備份：沒有規(guī)劃備份機制，存在數(shù)據(jù)丟失的風(fēng)險，包括財務(wù)核算，檢驗等重要數(shù)據(jù)存儲容量：由于大數(shù)據(jù)等業(yè)務(wù)發(fā)展非?？?， 存儲沒有統(tǒng)一復(fù)用，現(xiàn)有存儲容量和性能已經(jīng)無法滿足要求運維SLA服務(wù)標準：當前沒有發(fā)布云計算服務(wù)SLA目標和測評標準，不能滿足遷移到云上的業(yè)務(wù)連續(xù)性要求運維工具：當前有網(wǎng)絡(luò)/資產(chǎn)/ITIL的運維工具，但缺乏服務(wù)器，存儲和應(yīng)用的運維

2、工具，沒有主動告警和故障快速恢復(fù)機制網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)：網(wǎng)絡(luò)中存在大量的單點故障，一旦鏈路或者設(shè)備故障，會嚴重影響到的業(yè)務(wù)網(wǎng)絡(luò)設(shè)計：網(wǎng)絡(luò)設(shè)計層次不清晰，二層廣播域過大，一旦出現(xiàn)廣播風(fēng)暴，會導(dǎo)致整網(wǎng)癱瘓計算物理服務(wù)器：服務(wù)器年限過長，一旦出現(xiàn)硬件故障，會導(dǎo)致對應(yīng)業(yè)務(wù)中斷虛擬化：虛擬化，集群超配嚴重,導(dǎo)致HA無法正常工作，一旦故障會導(dǎo)致大面積的業(yè)務(wù)癱瘓安全安全技術(shù)：安全防御手段不足（IDS/WAF沒有充分利用），容易被黑客攻擊，存在科研數(shù)據(jù)泄露的風(fēng)險安全制度：安全制度無法滿足等保三級要求，會影響到后續(xù)業(yè)務(wù)向云上遷移的安全合規(guī)要求業(yè)務(wù)開發(fā)平臺：當前IT開發(fā)平臺不統(tǒng)一，各系統(tǒng)獨立部署，形成資源孤島，業(yè)務(wù)故障

3、無法快速排除系統(tǒng)架構(gòu)：多套系統(tǒng)架構(gòu)完全不同，沒有統(tǒng)一的可靠性/可用性/安全性的軟件架構(gòu)設(shè)計，導(dǎo)致系統(tǒng)的可用性低，出現(xiàn)故障難以快速恢復(fù)容災(zāi)問題當前對容災(zāi)備份暫無考慮，數(shù)據(jù)可靠性和容災(zāi)能力較差資源利用問題某些階段性應(yīng)用，在相當長時期內(nèi)或者永久不再需要，但是該資源不能被及時、方便的釋放或回收，以供新系統(tǒng)使用，造成空閑資源的浪費安全問題當前對安全防護及隔離考慮較少，而系統(tǒng)安全性格外重要，必須嚴格遵守集團對信息安全等級保護的要求；業(yè)務(wù)安全隔離也尤為重要自動化及運維問題仍然存在很多手工配置的內(nèi)容和紙件辦公。隨著后續(xù)IT 資源規(guī)模不斷擴大，服務(wù)模式轉(zhuǎn)型會使得業(yè)務(wù)需求更具多樣化，系統(tǒng)升級擴容將更加頻繁，容易產(chǎn)

4、生人為操作錯誤的問題，且不易維護信息中心一卡通員工報銷檔案管理統(tǒng)一支撐管理平臺測試系統(tǒng)系統(tǒng)仿真平臺大數(shù)據(jù)平臺天氣預(yù)報平臺5信息化建設(shè)起步較早，但當前并行存在多套具有各自架構(gòu)特點的平臺，孤島式建設(shè)導(dǎo)致資源不能重用，阻礙信息和業(yè)務(wù)的進一步深度集成和共享。應(yīng)用系統(tǒng)現(xiàn)狀三地四中心現(xiàn)狀南京數(shù)據(jù)中心武漢數(shù)據(jù)中心北京數(shù)據(jù)中心北京數(shù)據(jù)中心四個中心沒有規(guī)劃災(zāi)備體系，數(shù)據(jù)中心沒有明確的職能劃分；數(shù)據(jù)中心之間的鏈路大多是單線，存在單點故障；數(shù)據(jù)中心之間的鏈路帶寬也已經(jīng)不能滿足現(xiàn)有業(yè)務(wù)發(fā)展需求；現(xiàn)有北京、南京、武漢三地四個中心機房，為異地容災(zāi)提供了基礎(chǔ)；數(shù)據(jù)中心之間專線連接，鏈路質(zhì)量有保障；大部分應(yīng)用本地化部署；值得

5、肯定的是需要注意的是6中國的網(wǎng)絡(luò)總體現(xiàn)狀信息內(nèi)網(wǎng)承載全院用戶訪問自建業(yè)務(wù)系統(tǒng)和統(tǒng)推業(yè)務(wù)系統(tǒng)的內(nèi)網(wǎng)流量；信息外網(wǎng)承載全院用戶訪問Inerent及對公網(wǎng)用戶提供服務(wù)的流量；信息內(nèi)網(wǎng)和信息外網(wǎng)的網(wǎng)絡(luò)拓撲都采用星型，全網(wǎng)都采用靜態(tài)路由實現(xiàn)互通。7中國的網(wǎng)絡(luò)分為信息內(nèi)網(wǎng)和信息外網(wǎng)，信息內(nèi)網(wǎng)與信息外網(wǎng)之間物理隔離，通過網(wǎng)閘進數(shù)據(jù)擺渡。目前網(wǎng)絡(luò)運行基本正常，但隨著IT環(huán)境的日益復(fù)雜，規(guī)模日益增長，網(wǎng)絡(luò)系統(tǒng)局部存在問題仍有待改善。設(shè)備、鏈路、服務(wù)器接入有較多的單點，缺少冗余，可用性不高；網(wǎng)絡(luò)架構(gòu)層次不清晰，數(shù)據(jù)中心和辦公網(wǎng)未有效隔離，數(shù)據(jù)中心沒有進行功能區(qū)域劃分；二層廣播域跨越雙中心，出現(xiàn)廣播風(fēng)暴會導(dǎo)致整網(wǎng)不

6、可用；數(shù)據(jù)中心沒有進行功能區(qū)域劃分，缺少統(tǒng)一的安全策略；安全防護手段比較單一，缺乏安全縱深；網(wǎng)絡(luò)設(shè)備配置存在安全薄弱環(huán)節(jié)，業(yè)務(wù)流量的監(jiān)控和分析手段不足；大數(shù)據(jù)相關(guān)業(yè)務(wù)的網(wǎng)絡(luò)都為千兆，存在帶寬瓶頸；帶外管理網(wǎng)不完備，運維管理效率不高；網(wǎng)絡(luò)基礎(chǔ)服務(wù)沒有統(tǒng)一的管理（DHCP、DNS、NTP等） 關(guān)鍵節(jié)點的設(shè)備和鏈路（核心、南京院區(qū)、武漢院區(qū)） 采用冗余部署，具備一定的可用性；在網(wǎng)絡(luò)出口部署防火墻對信息內(nèi)網(wǎng)進行整體安全防護，專門的DMZ區(qū)對外提供服務(wù)，并部署WAF進行WEB安全防護；安全性性能可用性信息內(nèi)網(wǎng)現(xiàn)狀可用性安全性可管理值得肯定的是需要注意的是設(shè)備、鏈路、服務(wù)器接入有較多的單點，缺少冗余，可用

7、性不高；網(wǎng)絡(luò)架構(gòu)層次不清晰，數(shù)據(jù)中心和辦公網(wǎng)未有效隔離，數(shù)據(jù)中心沒有進行功能區(qū)域劃分；二層廣播域跨越雙中心，出現(xiàn)廣播風(fēng)暴會導(dǎo)致整網(wǎng)不可用；數(shù)據(jù)中心沒有進行功能區(qū)域劃分，缺少統(tǒng)一的安全策略；安全防護手段比較單一，缺乏安全縱深；網(wǎng)絡(luò)設(shè)備配置存在安全薄弱環(huán)節(jié)，業(yè)務(wù)流量的監(jiān)控和分析手段不足；帶外管理網(wǎng)不完備，運維管理效率不高；網(wǎng)絡(luò)基礎(chǔ)服務(wù)沒有統(tǒng)一的管理（DHCP、DNS、NTP等）。 關(guān)鍵節(jié)點的設(shè)備和鏈路（核心、南京院區(qū)、武漢院區(qū)） 采用冗余部署，有線側(cè)Intenet出口雙鏈路，通過LB進行負 載均衡，具備一定的可用性；有線用戶網(wǎng)絡(luò)出口部署了防火墻和IDS設(shè)備，對信息外網(wǎng)進行整體安全防護，通過專門的D

8、MZ區(qū)對外提供服務(wù)，無線用戶側(cè)部署了上網(wǎng)行為管理和防火墻；安全性可用性可用性安全性可管理信息外網(wǎng)現(xiàn)狀值得肯定的是需要注意的是大部分服務(wù)器采用開放的x86架構(gòu)，具有標準化的基礎(chǔ)；逐步將服務(wù)器集中管理，由信息中心統(tǒng)一運維和規(guī)劃，并且逐步采用虛擬化的方式提供IT基礎(chǔ)服務(wù)，避免了豎井式建設(shè)的資源浪費；用于虛擬化的服務(wù)器采用同一品牌和型號，便于管理和虛擬化平臺的調(diào)度；大部分服務(wù)器服務(wù)年限過長，已經(jīng)過保，存在嚴重的隱患；服務(wù)器CPU平均利用率為20.2%，內(nèi)存平均利用率為40.2%，整體偏低；大部分服務(wù)器只配置了單網(wǎng)卡，存在鏈路單點問題；大部分服務(wù)器部署了一張網(wǎng)絡(luò)平面，隨著業(yè)務(wù)的發(fā)展和架構(gòu)的演進，該網(wǎng)絡(luò)平

9、面將要同時承載業(yè)務(wù)、管理和存儲三種類型的流量，將會相互影響和沖突；沒有根據(jù)服務(wù)器承載的業(yè)務(wù)或者功能進行有效的劃分；1020.2% & 60%40.2% & 73%平均利用率&峰值利用率平均利用率&峰值利用率小型機1臺X86服務(wù)器488臺刀片服務(wù)器240臺729臺值得肯定的是需要注意的是10服務(wù)器現(xiàn)狀已有的15套FC SAN存儲IOPS指標較高，采用的多控制器架構(gòu)支持高可用性，可良好的滿足已有業(yè)務(wù)的運行。san存儲作為共享存儲和虛擬化平臺結(jié)合，為當前喝多單機部署的業(yè)務(wù)提供了高可用性。未建立完整的存儲分層架構(gòu)設(shè)計，全部采用FC存儲，存儲成本很高。無完善的統(tǒng)一存儲網(wǎng)絡(luò)導(dǎo)致san孤島現(xiàn)狀，影響存儲資源

10、池的建設(shè)。業(yè)務(wù)和服務(wù)的RTO和RPO數(shù)值不明確，數(shù)據(jù)也未采用任何容災(zāi)備份架構(gòu)或本地高可用架構(gòu)，數(shù)據(jù)安全性較低。由于無存儲監(jiān)控軟件，當前存儲的運維復(fù)雜度較高，依靠人工每天定時三次登陸存儲設(shè)備意義排查。虛擬化集群虛擬化集群單機業(yè)務(wù)(約80%)集群業(yè)務(wù)(極少)FC存儲FC存儲FC存儲存儲設(shè)備15套，機房8套、機房7套用于虛擬化的存儲6套，均為FC存儲值得肯定的是需要注意的是11存儲現(xiàn)狀Web服務(wù)器文件服務(wù)器郵件服務(wù)器認證服務(wù)器OA服務(wù)器ERP服務(wù)器CRM服務(wù)器DNS服務(wù)器DB服務(wù)器將多臺虛擬機部署到同一個服務(wù)器上虛擬化管理程序提高服務(wù)器資源利用率降低硬件投資成本節(jié)省機房使用空間節(jié)能降耗業(yè)務(wù)快速統(tǒng)一部

11、署提高運維效率10%10%10%10%20%10%35%10%Hypervisor（VMM：Virtual Machine Monitor）虛擬機操作系統(tǒng)業(yè)務(wù)系統(tǒng)硬件（CPU、內(nèi)存、硬盤、網(wǎng)卡、USB、串口、）虛擬機操作系統(tǒng)業(yè)務(wù)系統(tǒng)虛擬機操作系統(tǒng)業(yè)務(wù)系統(tǒng)目前采用華為虛擬化平臺構(gòu)建計算資源池，在提高了資源利用率，節(jié)能減排、業(yè)務(wù)快速部署上取得了明顯的效果；正逐步將業(yè)務(wù)系統(tǒng)遷移至虛擬化平臺上，完成了部分業(yè)務(wù)的云化工作；集群規(guī)模不統(tǒng)一，有3臺一個集群，6臺一個集群，且未進行規(guī)劃，未來擴展不方便；劃分的存儲LUN也不統(tǒng)一，3T10幾T不等，LUN的命名也不規(guī)范；資源嚴重超配，已經(jīng)超過集群規(guī)模的150%，

12、集群已無法正常啟動HA機制；對于是否適合虛擬化未進行嚴格的評估，大數(shù)據(jù)部署在虛擬化平臺上，資源爭用嚴重；虛擬化管理平臺單機部署，存在單點故障；值得肯定的是需要注意的是虛擬化現(xiàn)狀12目前沿用傳統(tǒng)安全組織架構(gòu)。由領(lǐng)導(dǎo)層擔(dān)任信息安全決策層，由信息中心擔(dān)任知悉層，各部門和其他院所配有安全專職。組織架構(gòu)清晰，職責(zé)分工明確；有比較完善的ISO 27001三級文檔；部署有部門安全產(chǎn)品，對云平臺起一定的安全防護作用。信息中心負責(zé)的信息安全執(zhí)行，在人員配備上存在不足；缺失云安全相關(guān)的安全制度；網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全的防護能力不足，在現(xiàn)網(wǎng)中缺失安全技術(shù)點，存在安全產(chǎn)品配置不合理的情況。值得肯定的是

13、需要注意的是整體上信息安全處于“1-初始級”和“可重復(fù)級”之間。13安全現(xiàn)狀運維現(xiàn)狀值得肯定的是需要注意的是運維缺乏統(tǒng)一規(guī)劃，建設(shè)完成后轉(zhuǎn)維困難；目前運維工作主以被動響應(yīng)為主，缺乏主動防范；監(jiān)控系統(tǒng)僅覆蓋了網(wǎng)絡(luò)，云平臺、應(yīng)用的監(jiān)控尚在測試中；SLA尚未發(fā)布，無法對各院所提供明確的SLA承諾，缺乏提供云服務(wù)的基本條件；缺乏專業(yè)的運維工具來支撐，運維工作的進度及效果很難得到管控，神碼工單系統(tǒng)目前處于測試階段，尚不能支撐，目前通過紙件、郵件、電話方式來處理日常運維工作的流轉(zhuǎn)；運維人員配備和知識結(jié)構(gòu)有待改進；運維流程不夠全面，需要結(jié)合云運維來補充和完善。院領(lǐng)導(dǎo)已對運維管理的規(guī)劃性和流程體系的建設(shè)非常重

14、視，并希望通過此項目在運維體系建設(shè)方面有所成果。目前已具備有服務(wù)請求、問題、變更等流程，并正在使用中，相關(guān)流程的配套文檔也在逐步完善14建設(shè)先進，滿足未來35年信息化發(fā)現(xiàn)需求的基礎(chǔ)架構(gòu)；各單位臨時性開發(fā)測試環(huán)境的需求較為頻繁，軟硬件采購的周期又較長，迫切需要一個平臺能夠快捷地提供IT基礎(chǔ)環(huán)境。云計算技術(shù)能夠通過虛擬化和智能資源調(diào)度有效提高資源利用率，同時降低能耗，同時可以靈活地進行擴展需要建立全院統(tǒng)一的運維模式，分擔(dān)各研究所面臨的信息運維工作壓力，能夠?qū)⒏嗳肆Y源投入到科研工作中。為全院各單位提供統(tǒng)一的軟件開發(fā)、測試、仿真調(diào)試、培訓(xùn)環(huán)境；未來可以統(tǒng)一開展專業(yè)運維，實現(xiàn)計算資源的快速分配；同時

15、有助于統(tǒng)籌全院的IT基礎(chǔ)設(shè)施建設(shè)與管理。過技術(shù)手段消除業(yè)務(wù)運行單點隱患，統(tǒng)一數(shù)據(jù)管理，統(tǒng)一安全策略。建立容災(zāi)體系架構(gòu)先進和便捷節(jié)約投資和彈性擴展提升業(yè)務(wù)可靠性和數(shù)據(jù)安全性統(tǒng)一運維提供專業(yè)化服務(wù)需求分析總結(jié)：云計算是IT技術(shù)改造的首選15多中心建設(shè)需求滿足數(shù)據(jù)中心容災(zāi)建設(shè)分布式云數(shù)據(jù)中心16滿足同城雙活異地容災(zāi)的云計算數(shù)據(jù)中心的規(guī)劃設(shè)計，不同中心的資源池統(tǒng)一管理，構(gòu)建科研云高可用性安全性可管理性靈活性可擴展性性能建設(shè)三地四中心，業(yè)務(wù)上實現(xiàn)北京同城雙活，單個數(shù)據(jù)中心可以支持關(guān)鍵業(yè)務(wù)，保證業(yè)務(wù)連續(xù)性；各院所訪問數(shù)據(jù)中心不存在單點故障，能靈活切換；網(wǎng)絡(luò)架構(gòu)松耦合，故障域能有效隔離，無單點故障；網(wǎng)絡(luò)基礎(chǔ)

16、服務(wù)（DNS、NTP等）統(tǒng)一規(guī)劃，保證可用性；根據(jù)業(yè)務(wù)系統(tǒng)的重要性、關(guān)聯(lián)性進行分區(qū)分域，滿足等級保護的相關(guān)要求；開發(fā)測試（包括各院所的實驗室網(wǎng)絡(luò)環(huán)境）與生產(chǎn)業(yè)務(wù)隔離；有流量監(jiān)控手段，能對網(wǎng)絡(luò)流量可視、可控、可管，提高安全事件的判斷和響應(yīng)時間；云平臺能實現(xiàn)所有數(shù)據(jù)中心的網(wǎng)絡(luò)納管，實現(xiàn)自動化，簡化管理，降低部署和維護成本；有日志管理系統(tǒng)，滿足行業(yè)監(jiān)管要求及日常運維的需求；有安全策略管理平臺，能對全網(wǎng)的安全策略進行統(tǒng)一的管理；健全管理網(wǎng)，提升運維管理效率；網(wǎng)絡(luò)基礎(chǔ)架構(gòu)具備彈性的，資源靈活分配的，可擴展的特性，以滿足未來業(yè)務(wù)擴張和靈活部署的需求，能哆實現(xiàn)網(wǎng)絡(luò)部署自動化，且需考慮后續(xù)業(yè)務(wù)在不同數(shù)據(jù)中心之

17、間遷移的需求；能對訪問多個數(shù)據(jù)中心的院區(qū)用戶流量進行靈活的控制和調(diào)度；不同類型的流量盡時分離，避免帶寬爭用；網(wǎng)絡(luò)帶寬和收斂比需要滿足大數(shù)據(jù)、仿真平臺和Server San等對帶寬、時延的要求，但也要考慮到現(xiàn)網(wǎng)的實際情況，充分利舊，保護投資成本；同城雙中心的業(yè)務(wù)互訪流量較大，需要考慮高帶寬，并方便帶寬擴容；網(wǎng)絡(luò)基礎(chǔ)架構(gòu)要能適應(yīng)的業(yè)務(wù)發(fā)展，能夠方便實現(xiàn)橫向擴展和縱向擴展；部分業(yè)務(wù)系統(tǒng)可能會跨數(shù)據(jù)中心進行部署，要求提供不受物理位置限制的接入網(wǎng)絡(luò)；網(wǎng)絡(luò)建設(shè)需求17提高IT基礎(chǔ)設(shè)施的整體運維效率和質(zhì)量，實現(xiàn)自動化和可視化運維基礎(chǔ)設(shè)施資源池化，實現(xiàn)資源的彈性調(diào)度，提高資源利用率縮短業(yè)務(wù)系統(tǒng)上線周期，適應(yīng)業(yè)

18、務(wù)快速發(fā)展需求18IT基礎(chǔ)設(shè)施建設(shè)需求構(gòu)建云操作系統(tǒng)，云業(yè)務(wù)統(tǒng)一入口&一切即服務(wù)審核與通知自助服務(wù)門戶自動化部署與服務(wù)交付配置部署電子流申請監(jiān)控操作虛擬機生命周期管理操作與性能監(jiān)控管理應(yīng)用系統(tǒng)電子流引擎電子流引擎資源配置虛擬機配置與模板管理數(shù)據(jù)保護與業(yè)務(wù)連續(xù)性管理組織管理員終端用戶物理&虛擬存儲物理&虛擬網(wǎng)絡(luò)物理&虛擬計算虛擬化管理19云運營建設(shè)需求數(shù)據(jù)備份彈性計算可靠計算各應(yīng)用系統(tǒng)除對基礎(chǔ)資源快速申請以外，主要訴求如下：數(shù)據(jù)備份：希望通過統(tǒng)一的備份方案對重要數(shù)據(jù)進行備份和恢復(fù)，加強數(shù)據(jù)安全管理；可靠計算：通過云平臺的高可靠機制，消除應(yīng)用系統(tǒng)的單點故障，為計算資源賦予高可靠性機制，需考慮虛擬機

19、HA、應(yīng)用HA、FT等容錯和數(shù)據(jù)保護機制；彈性計算：一些科研系統(tǒng)計算資源存在峰谷現(xiàn)象，平時資源閑置，忙時又沒有足夠的資源，嚴重制約科研進展，計算資源池應(yīng)具有彈性伸縮/擴展和自動均衡計算容量的功能 如DRS（Dynamic Resource Scheduler，動態(tài)資源調(diào)度）或DRX（ Dynamic Resource extensions，動態(tài)資源擴展）等計算特性；20應(yīng)用系統(tǒng)對云計算的需求異構(gòu)品牌和類型存儲設(shè)備存儲池存儲卷存儲卷存儲卷存儲卷操作系統(tǒng)DB操作系統(tǒng)應(yīng)用程序操作系統(tǒng)DBFC SANFC SANServer SANServer SANIP NetworkFC Network存儲資源池

20、需考慮以下需求：分布式存儲建設(shè)：分布式存儲經(jīng)濟、高可用、近線性擴展，構(gòu)建分布式存儲資源池，降低存儲整體使用成本；統(tǒng)一FC存儲網(wǎng)：將現(xiàn)有各獨立的FC存儲打通，構(gòu)建FC存儲網(wǎng)絡(luò)，提升FC存儲的共享和擴展性；充分共享：形成存儲資源池，不僅僅用于云計算，而是滿足全院各業(yè)務(wù)系統(tǒng)對存儲的需求；操作系統(tǒng)業(yè)務(wù)系統(tǒng)操作系統(tǒng)業(yè)務(wù)系統(tǒng)操作系統(tǒng)業(yè)務(wù)系統(tǒng)21存儲建設(shè)需求公安部在傳統(tǒng)的安全要求上加入了對云平臺的安全要求國家電網(wǎng)對云平臺安全特別關(guān)注點：1、安全加固2、數(shù)據(jù)保密3、備份恢復(fù)4、身份鑒別5、訪問控制6、監(jiān)控審計22云安全建設(shè)需求運維支撐逐漸向運維一體化、操作規(guī)范化、進而往運維自動化發(fā)展、最終向運維智能化的目標演

21、進運維關(guān)注焦點如下：運維方式轉(zhuǎn)變：由當前的被動服務(wù)方式逐步轉(zhuǎn)化位未來主動防范的運維方式；運維工具建設(shè)：建立統(tǒng)一的監(jiān)控平臺，實現(xiàn)數(shù)據(jù)中心所有資源統(tǒng)一監(jiān)控，運維與云服務(wù)統(tǒng)一，運營信息和運維信息統(tǒng)一大屏顯示；構(gòu)建監(jiān)控告警和告警分級，運維團隊能夠及時掌握告警信息；完成運維流程工具建設(shè)，實現(xiàn)核心流程電子化和自動化運維流程梳理：梳理現(xiàn)有流程及相關(guān)文檔，與流程工具整合，實現(xiàn)核心流程電子化和自動化運維團隊建設(shè)：提供運維人員崗位及技能建議，提供運維流程中的角色及職責(zé)建議。多活和云計算環(huán)境故障管理發(fā)布變更監(jiān)控管理日常作業(yè)服務(wù)請求服務(wù)請求統(tǒng)一運行監(jiān)控服務(wù)管理中心統(tǒng)一資源管理云數(shù)據(jù)中心機房-I機房-II機房-III機

22、房-IV23運維建設(shè)需求開發(fā)人員(Dev)開發(fā)語言和開發(fā)環(huán)境高彈性、多租戶框架持續(xù)集成/交付角色管理/目錄服務(wù)運維人員(Ops)私有云環(huán)境自動擴展高可靠后端服務(wù)的匯聚和提供自動化運維安全審計PaaS服務(wù)應(yīng)用快速云化云端應(yīng)用發(fā)布應(yīng)用使用管控自動化運維大數(shù)據(jù)測試統(tǒng)一監(jiān)控和測量存PaaS需求：DevOps一體化流程,建設(shè)開發(fā)-測試-發(fā)布一體化的平臺；基于微服務(wù)的科研云環(huán)境；Cloud Native的業(yè)務(wù)云化；標準的開發(fā)測試環(huán)境，統(tǒng)一開發(fā)架構(gòu)，減少軟件平臺的類型和版本，降低運維難度；24PaaS建設(shè)需求2目錄1現(xiàn)狀評估與需求分析云計算規(guī)劃3路線圖規(guī)劃2.1整體架構(gòu)規(guī)劃2.2IaaS規(guī)劃2.3PaaS規(guī)

23、劃2.4SaaS規(guī)劃25無高可用安全性低靈活性差孤立分散不標準容災(zāi)備份不足標準化硬件基礎(chǔ)設(shè)施建設(shè)建設(shè)統(tǒng)一的云管理平臺運維體系、流程和工具建設(shè)當前存在的挑戰(zhàn)開發(fā)平臺共享快速獲取資源高可用彈性擴展統(tǒng)一運維未來建設(shè)的需求建設(shè)云計算高可用架構(gòu)統(tǒng)一資源池構(gòu)建統(tǒng)一的PaaS平臺建設(shè)基于等保的安全體系解決建議解決思路IT資源統(tǒng)一云化科研環(huán)境平臺化業(yè)務(wù)應(yīng)用服務(wù)化運維管理自動化26當前IT問題解決之道建設(shè)目標構(gòu)建國際一流的科研云IT資源統(tǒng)一云化科研環(huán)境平臺化業(yè)務(wù)應(yīng)用服務(wù)化運維管理自動化微觀宏觀業(yè)界趨勢云計算已經(jīng)是未來IT的基礎(chǔ)架構(gòu)，包括“中國大數(shù)據(jù)戰(zhàn)略”，“物聯(lián)網(wǎng)行動綱領(lǐng)”，“中國制造2025戰(zhàn)略”，“中國電信

24、CTnet2025戰(zhàn)略”都是將云計算作為基礎(chǔ)技術(shù)支撐國家電網(wǎng)國家電網(wǎng)發(fā)布了信息通信新技術(shù)推動智能電網(wǎng)和“一強三優(yōu)”現(xiàn)代公司創(chuàng)新發(fā)展行動計劃，推進大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)和移動互聯(lián)等新技術(shù)在智能電網(wǎng)和“一強三優(yōu)”現(xiàn)代公司建設(shè)中的創(chuàng)新應(yīng)用。作為國家電網(wǎng)最重要的核心科研機構(gòu)，擔(dān)負著促進科學(xué)進步、為行業(yè)提供技術(shù)支撐的重任27云計算建設(shè)目標統(tǒng)一的云計算架構(gòu)統(tǒng)一資源池化統(tǒng)一資源管理統(tǒng)一資源交付科研信息化平臺PaaS科研云平臺科研DevOps一體化環(huán)境業(yè)務(wù)應(yīng)用微服務(wù)化行業(yè)科研云科研云統(tǒng)一門戶科研云應(yīng)用商店科研云增值服務(wù)基于統(tǒng)一的云計算架構(gòu)，構(gòu)建科研信息化平臺，建立面向行業(yè)的科研云，對外提供云增值服務(wù)，支撐成為

25、“國際一流的科研和技術(shù)服務(wù)機構(gòu)”運維管理自動化IT資源統(tǒng)一云化：全院IT資源整合，提供云化的IT資源統(tǒng)一管理和自助服務(wù)科研環(huán)境平臺化：構(gòu)建科研信息化平臺，建立統(tǒng)一PaaS科研開發(fā)環(huán)境，支撐科研創(chuàng)新提升業(yè)務(wù)應(yīng)用服務(wù)化：建向科研云，對外提供大數(shù)據(jù)分析，數(shù)據(jù)仿真等云增值服務(wù)，支撐成為“國際一流的科研和技術(shù)服務(wù)機構(gòu)”，加快推進成果轉(zhuǎn)化28云計算總體建設(shè)思路硬件基礎(chǔ)設(shè)施服務(wù)器（機架/刀片/超融合）網(wǎng)絡(luò)設(shè)備(硬件/VSWITCH/NFV)存儲（FC/IP/ServerSAN）科研云PaaS服務(wù)SaaS服務(wù)云開發(fā)服務(wù)云應(yīng)用商店大數(shù)據(jù)服務(wù)IaaS服務(wù)資源自助服務(wù)資源靈活編排計算資源管理存儲資源管理網(wǎng)絡(luò)資源管理

26、資源智能調(diào)度資源編排層發(fā)電調(diào)度信通計算虛擬化存儲虛擬化網(wǎng)絡(luò)虛擬化科研應(yīng)用領(lǐng)域輸電變電配電用電仿真服務(wù)資源管理層虛擬化層云測試服務(wù)云安全管理組織架構(gòu)安全制度安全技術(shù)CMDB服務(wù)臺服務(wù)請求管理變更管理事件管理問題管理統(tǒng)一運營、運維管理容量監(jiān)控系統(tǒng)監(jiān)控報表監(jiān)控資源模板資源調(diào)度資源計量資源部署故障監(jiān)控服務(wù)目錄計費管理知識庫配置管理服務(wù)SLA管理統(tǒng)一云服務(wù)門戶開發(fā)平臺測試平臺仿真平臺大數(shù)據(jù)平臺軟件管理服務(wù)D5000服務(wù)SGUAP服務(wù)中間件服務(wù)數(shù)據(jù)庫服務(wù)29云計算總體架構(gòu)圖OpenStack自助服務(wù)&運營&運維資源編排/資源調(diào)度/資源自助服務(wù)計算/存儲/網(wǎng)絡(luò)虛擬化資源統(tǒng)一管理服務(wù)運營管理應(yīng)用交付管理服務(wù)流

27、程管理運營支撐管理計費營帳管理云安全管理統(tǒng)一云服務(wù)門戶計算商業(yè)組件網(wǎng)絡(luò)存儲安全基于Openstack的體系架構(gòu)Openstack是業(yè)界發(fā)展最快的開源技術(shù)，社區(qū)活躍度最高眾多重量級公司支持，功能不斷豐富增強,Openstack的生態(tài)圈是業(yè)界最完善的Openstack是一個標準開放的體系架構(gòu)，每個組件之間是松耦合的，通過標準接對接，易于定制開發(fā)和靈活組合基于Openstack構(gòu)建一個基于的開源的商用體系架構(gòu)，既能夠享受到長期跟蹤開源版本平滑演進帶來的功能增強，也能夠保證定制化和客戶化的優(yōu)化繼續(xù)沿用，確保在現(xiàn)網(wǎng)環(huán)境的穩(wěn)定商用云計算架構(gòu)OpenstackCloudStackEucalyptusOpen

28、stack已成為業(yè)界云計算領(lǐng)域的事實標準30IaaS設(shè)計思路：基于Openstack的云計算機構(gòu)混合型PaaS架構(gòu)針對開發(fā)平臺不統(tǒng)一，開發(fā)語言和開發(fā)架構(gòu)眾多的問題，從業(yè)界來看沒有一種普遍適用的方案，建議采用混合型PaaS架構(gòu)混合型PaaS架構(gòu)的核心思路是基于統(tǒng)一的PaaS框架，提供適合不同業(yè)務(wù)需求的PaaS開發(fā)環(huán)境針對無法改造的業(yè)務(wù)，提供VM模板和應(yīng)用模板兩種PaaS服務(wù)，讓傳統(tǒng)業(yè)務(wù)可以平滑遷移到云上針對傳統(tǒng)數(shù)據(jù)庫和大數(shù)據(jù)兩種數(shù)據(jù)類型的功能，提供數(shù)據(jù)即服務(wù)的PaaS服務(wù)針對傳統(tǒng)應(yīng)用架構(gòu)但可以優(yōu)化改造的系統(tǒng)，可以采用CloudFoundry的PaaS服務(wù)針對新開發(fā)的應(yīng)用，采用基于Docker容器

29、的微服務(wù)PaaS服務(wù)，作為后續(xù)演進的統(tǒng)一的PaaS架構(gòu)PaaS服務(wù)混合PaaS架構(gòu)D5000SG-UAP測試/開發(fā)平臺仿真平臺大數(shù)據(jù)平臺HadoopVM模板版本控制SVNGitSparkStormMPPQCTPCCLoadrunner基礎(chǔ)環(huán)境D5000基礎(chǔ)平臺達夢金倉國產(chǎn)OS中間件服務(wù)TomcatWeblogicJbossApache數(shù)據(jù)庫服務(wù)OracleMy SQLPostgresqlMongDB并行計算MatlabBPMISC應(yīng)用模板數(shù)據(jù)即服務(wù)CloudFoundryDocker31PaaS設(shè)計思路：構(gòu)建混合型PaaS架構(gòu)SaaS服務(wù)輸變電智能化源網(wǎng)荷協(xié)調(diào)優(yōu)化智能配用電智能調(diào)度控制企業(yè)經(jīng)營

30、管理信息通信支撐發(fā)電應(yīng)用領(lǐng)域輸電配電用電調(diào)度變電信息中心云基礎(chǔ)架構(gòu)各院所應(yīng)用場景開發(fā)服務(wù)云應(yīng)用商店大數(shù)據(jù)服務(wù)仿真服務(wù)測試服務(wù)服務(wù)目錄SLA管理計費管理科研云科研院所省市公司各發(fā)電集團設(shè)備制造商終端用戶科研云研發(fā)云的SaaS服務(wù)采用信息中心和各院所合作的方式建設(shè)，信息中心提供科研云基礎(chǔ)架構(gòu)和云服務(wù)門戶，各院所提供科研云增值應(yīng)用，通過統(tǒng)一門戶為行業(yè)的外部用戶提供包括IaaS,PaaS和SaaS的整體科研云服務(wù)SaaS的應(yīng)用領(lǐng)域可以包括發(fā)電，輸電，配電，變電，用電，調(diào)度，信通等各個應(yīng)用領(lǐng)域，提升行業(yè)科研創(chuàng)新能力，加快科研轉(zhuǎn)化效率，加大作為科研和技術(shù)服務(wù)機構(gòu)的影響力統(tǒng)一云服務(wù)門戶信息中心信通32Saa

31、S設(shè)計思路：研發(fā)云2目錄1現(xiàn)狀評估與需求分析云計算規(guī)劃3路線圖規(guī)劃2.1整體架構(gòu)規(guī)劃2.3IaaS規(guī)劃2.4PaaS規(guī)劃2.5SaaS規(guī)劃33設(shè)計目標：統(tǒng)一資源池化、統(tǒng)一資源管理、統(tǒng)一資源交付基礎(chǔ)網(wǎng)絡(luò)構(gòu)建高可用、可擴展、靈活性、安全性的標準化基礎(chǔ)網(wǎng)絡(luò)架構(gòu)云平臺基于Openstack統(tǒng)一云管理平臺，實現(xiàn)對IT資源的統(tǒng)一管理，自助服務(wù)，靈活編排云網(wǎng)絡(luò)基于SDN的面向云計算的虛擬網(wǎng)絡(luò)架構(gòu)，實現(xiàn)DC內(nèi)和DC間的網(wǎng)絡(luò)資源統(tǒng)一池化和業(yè)務(wù)自動發(fā)放計算兼容虛擬化、羅金屬、容器的統(tǒng)一資源池，根據(jù)業(yè)務(wù)需求的親和性，資源靈活調(diào)度存儲構(gòu)建完善存儲網(wǎng)絡(luò)，實現(xiàn)存儲的分層設(shè)計，實現(xiàn)存儲的統(tǒng)一池化安全基于等保三級標準和要求，

32、實現(xiàn)可主動防御，高合規(guī)的云計算安全體系運維完善監(jiān)控和流程工具建設(shè)，提升云服務(wù)SLA，實現(xiàn)自動化統(tǒng)一運維容災(zāi)建立同城雙活異地容災(zāi)的云計算災(zāi)備體系，提升業(yè)務(wù)連續(xù)性和可用性34IaaS架構(gòu)的規(guī)劃設(shè)計思路2目錄云計算規(guī)劃2.1整體架構(gòu)規(guī)劃2.2IaaS規(guī)劃基礎(chǔ)網(wǎng)絡(luò)規(guī)劃2.2.1云網(wǎng)絡(luò)規(guī)劃2.2.2計算規(guī)劃2.2.3存儲規(guī)劃2.2.4云平臺規(guī)劃2.2.5云安全規(guī)劃2.2.6云運維規(guī)劃2.2.7容災(zāi)規(guī)劃2.2.8352.2.1目錄基礎(chǔ)網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)整體架構(gòu)信息內(nèi)網(wǎng)網(wǎng)絡(luò)規(guī)劃信息外網(wǎng)網(wǎng)絡(luò)規(guī)劃科研網(wǎng)網(wǎng)絡(luò)規(guī)劃POD設(shè)計36高可用性安全性可管理性靈活性可擴展性性能網(wǎng)絡(luò)結(jié)構(gòu)的高可用性，物理資源的冗余部署，邏輯關(guān)系的松耦

33、合設(shè)計，不會因為任何一個網(wǎng)絡(luò)模塊發(fā)生故障而影響全局網(wǎng)絡(luò)的暢通。網(wǎng)絡(luò)安全區(qū)域合理規(guī)劃，安全策略精細化部署，符合信息系統(tǒng)安全等級保護基本要求，全網(wǎng)的安全策略進行統(tǒng)一的管理，能夠滿足未來業(yè)務(wù)發(fā)展對安全的需求。網(wǎng)絡(luò)的帶寬、時延、抖動等性能指標滿足業(yè)務(wù)系統(tǒng)的要求；采用業(yè)務(wù)功能模塊化和網(wǎng)絡(luò)拓撲層次化的設(shè)計方法，使得網(wǎng)絡(luò)架構(gòu)在功能、容量、覆蓋能力等各方面具有易擴展能力，使其能夠動態(tài)響應(yīng)業(yè)務(wù)發(fā)展變化，快速滿足業(yè)務(wù)和應(yīng)用不斷變化對網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的要求，配合業(yè)務(wù)的快速發(fā)展或變革。采用新技術(shù)和新特性時，網(wǎng)絡(luò)架構(gòu)不需要調(diào)整或調(diào)整較小，滿足業(yè)務(wù)與應(yīng)用系統(tǒng)靈活多變的部署需求。網(wǎng)絡(luò)簡單、健壯，易于管理和維護，滿足行業(yè)監(jiān)管要求

34、及日常運維的需求，并提供及時發(fā)現(xiàn)和排除網(wǎng)絡(luò)故障的能力。網(wǎng)絡(luò)規(guī)劃設(shè)計原則核心網(wǎng)架構(gòu)前端網(wǎng)絡(luò)后端網(wǎng)絡(luò)前后端網(wǎng)絡(luò)分離接入?yún)R聚核心網(wǎng)絡(luò)松耦合DCDCDCWNWNWNWNBRBRBR標準化部署連接方式標準化協(xié)議部署標準化物理部署標準化模塊化分區(qū)網(wǎng)絡(luò)分層設(shè)計網(wǎng)絡(luò)設(shè)計思路39企業(yè)分為信息內(nèi)網(wǎng)、信息外網(wǎng)和科研網(wǎng)，信息內(nèi)網(wǎng)承載全院用戶訪問自建業(yè)務(wù)系統(tǒng)和統(tǒng)推業(yè)務(wù)系統(tǒng)的內(nèi)網(wǎng)流量；信息外網(wǎng)承載全院用戶訪問Inerent及對公網(wǎng)用戶提供服務(wù)的流量；科研網(wǎng)承載各院所實驗室的科研流量。三張網(wǎng)絡(luò)物理上相互獨立，互訪需要經(jīng)過隔離裝置進行數(shù)據(jù)擺渡。網(wǎng)絡(luò)總體規(guī)劃2.2.1目錄基礎(chǔ)網(wǎng)絡(luò)規(guī)劃網(wǎng)絡(luò)整體架構(gòu)信息內(nèi)網(wǎng)網(wǎng)絡(luò)規(guī)劃信息外網(wǎng)網(wǎng)絡(luò)規(guī)劃

35、科研網(wǎng)網(wǎng)絡(luò)規(guī)劃POD設(shè)計4041數(shù)據(jù)中心及各院區(qū)通過廣域網(wǎng)承載平臺進行互聯(lián)，實現(xiàn)高可用性、高性能和靈活擴展。信息內(nèi)網(wǎng)近期目標架構(gòu)42、南京和武漢數(shù)據(jù)中心及各院區(qū)就近接入綜合數(shù)據(jù)網(wǎng)，充分利用綜合數(shù)據(jù)網(wǎng)的高帶寬、高可用、廣覆蓋，滿足后續(xù)容災(zāi)的相關(guān)需求。信息內(nèi)網(wǎng)遠期目標架構(gòu)云管理網(wǎng)前端網(wǎng)絡(luò)后端網(wǎng)絡(luò)帶外管理網(wǎng)數(shù)據(jù)備份網(wǎng)虛機遷移網(wǎng)業(yè)務(wù)網(wǎng)存儲網(wǎng)43考慮投資成本、運維難度、不同業(yè)務(wù)的流量特點和帶寬需求，云計算數(shù)據(jù)中心的的網(wǎng)絡(luò)進行適當整合，分為業(yè)務(wù)網(wǎng)、存儲網(wǎng)和云管理網(wǎng)，云管理網(wǎng)上承載數(shù)據(jù)備份流量、虛擬機遷移流量和管理類流量，不同類型的流量使用ACL進行安全隔離，通過QoS進行帶寬保障。云計算數(shù)據(jù)中心的網(wǎng)絡(luò)類型

36、規(guī)劃44云計算數(shù)據(jù)中心的網(wǎng)絡(luò)網(wǎng)絡(luò)分區(qū)設(shè)計思路45信息內(nèi)網(wǎng)網(wǎng)絡(luò)分區(qū)設(shè)計設(shè)計要點: 架構(gòu)數(shù)據(jù)中心核心交換區(qū)負責(zé)各區(qū)域間的高速流量轉(zhuǎn)發(fā)，訪問控制、路由過濾等網(wǎng)絡(luò)功能從核心交換區(qū)剝離，分散至各個功能分區(qū)匯聚層，簡化核心交換區(qū)，構(gòu)建更高性能和靈活擴展的網(wǎng)絡(luò)核心；核心交換區(qū)由兩臺獨立的高端交換機組成，各網(wǎng)絡(luò)區(qū)域的匯聚設(shè)備，每臺都與兩臺核心交換機互連；核心交換機與各區(qū)域匯聚交換機之間，均是采用三層路由互通，通過ECMP進行負載分擔(dān)。高可用性核心交換區(qū)采用高可靠架構(gòu)(雙機、冗余引擎和冗余電源配置)，以避免網(wǎng)絡(luò)層面的單點故障；兩臺核心交換機相互獨立，故障隔離。46數(shù)據(jù)中心核心交換區(qū)設(shè)計數(shù)據(jù)中心核心交換區(qū)連接其他

37、各網(wǎng)絡(luò)功能分區(qū)，負責(zé)各區(qū)域間的高速流量轉(zhuǎn)發(fā)，構(gòu)建更高可用性和性能及靈活擴展的網(wǎng)絡(luò)核心。性能核心交換機采用CLOS多級交換架構(gòu)，支持分布式流量調(diào)度；到各分區(qū)匯聚之間（大數(shù)據(jù)區(qū)除外）采用萬兆互聯(lián)，滿足不斷增長的服務(wù)器接入帶寬需求，未來能夠平滑升級至100G ；單臺交換機可以支撐全數(shù)據(jù)中心的業(yè)務(wù)流量?？蓴U展性核心層采用CLOS架構(gòu)部署，核心層設(shè)備之間不互聯(lián)，擴容相對獨立，未來可以靈活的進行橫向擴展。47數(shù)據(jù)中心核心交換區(qū)擴展性設(shè)計采用Spine+Leaf的兩層架構(gòu)。匯聚由兩臺高端交換機組成，支持網(wǎng)絡(luò)虛擬化技術(shù)，作為Spine節(jié)點，TOR接入作為Leaf節(jié)點；匯聚交換機與數(shù)據(jù)中心核心交換區(qū)設(shè)備之間全連

38、接，通過三層路由實現(xiàn)互通；服務(wù)器POD內(nèi)部署TOR接入交換機，支持網(wǎng)絡(luò)虛擬化技術(shù)，以提高帶寬利用率，簡化管理。三級系統(tǒng)區(qū)設(shè)計采用Spine+Leaf的兩層架構(gòu)。匯聚由兩臺高端交換機組成，支持網(wǎng)絡(luò)虛擬化技術(shù)，作為Spine節(jié)點，TOR接入作為Leaf節(jié)點；匯聚交換機與數(shù)據(jù)中心核心交換區(qū)設(shè)備之間全連接，通過三層路由實現(xiàn)互通；服務(wù)器POD內(nèi)部署TOR接入交換機，支持網(wǎng)絡(luò)虛擬化技術(shù)，以提高帶寬利用率，簡化管理。二級系統(tǒng)區(qū)設(shè)計設(shè)計要點: 架構(gòu)采用SPINE+LEAF的兩層架構(gòu)。匯聚由兩臺高端交換機組成，支持網(wǎng)絡(luò)虛擬化技術(shù)，作為SPINE節(jié)點，TOR接入作為LEAF節(jié)點；匯聚交換機與數(shù)據(jù)中心核心交換區(qū)設(shè)備

39、之間全連接，通過三層路由實現(xiàn)互通；服務(wù)器POD內(nèi)部署TOR交換機，支持網(wǎng)絡(luò)虛擬化技術(shù)，以提高帶寬利用率，簡化管理。安全性開發(fā)測試區(qū)運行獨立的路由進程，與核心交換區(qū)之間通過靜態(tài)路由互通；開發(fā)測試區(qū)旁掛物理防火墻，通過1:N虛擬化成多臺邏輯防火墻為不同的院所提供南北向的安全防護。靈活性采用SPINE+LEAF架構(gòu)，運行獨立的路由進程實現(xiàn)底層Underlay網(wǎng)絡(luò)互通，可以在上面疊加Oveylay網(wǎng)絡(luò)+NFV設(shè)備實現(xiàn)靈活組網(wǎng)和驗證測試。開發(fā)測試區(qū)區(qū)設(shè)計采用傳統(tǒng)的匯聚+接入的兩層架構(gòu)。匯聚由兩臺高端交換機組成，支持網(wǎng)絡(luò)虛擬化技術(shù)，作為本區(qū)域的業(yè)務(wù)網(wǎng)關(guān)；匯聚交換機與數(shù)據(jù)中心核心交換區(qū)設(shè)備之間全連接，通過三

40、層路由實現(xiàn)互通；服務(wù)器POD內(nèi)部署TOR交換機，支持網(wǎng)絡(luò)虛擬化技術(shù)，以提高帶寬利用率，簡化管理。千兆服務(wù)器POD的TOR接入采用萬兆上行，萬兆服務(wù)器POD的TOR接入采用40G上行，TOR接入到大數(shù)據(jù)區(qū)匯聚之間的收斂比小于4：1，大數(shù)據(jù)區(qū)匯聚到核心交換區(qū)的收斂比小于16：1大數(shù)據(jù)區(qū)設(shè)計采用傳統(tǒng)的匯聚+接入的兩層架構(gòu)。匯聚由兩臺高端交換機組成，支持網(wǎng)絡(luò)虛擬化技術(shù)，作為本區(qū)域的業(yè)務(wù)網(wǎng)關(guān)；匯聚交換機與數(shù)據(jù)中心核心交換區(qū)設(shè)備之間全連接，通過三層路由實現(xiàn)互通；服務(wù)器POD內(nèi)部署TOR交換機，支持網(wǎng)絡(luò)虛擬化技術(shù)，以提高帶寬利用率，簡化管理。VDI區(qū)設(shè)計設(shè)計要點: 功能廣域網(wǎng)區(qū)負責(zé)進出數(shù)據(jù)中心流量的高速轉(zhuǎn)發(fā)

41、和路由控制，主要考慮高可用性和性能。架構(gòu)廣域網(wǎng)區(qū)采用兩臺高端交換機，對進出數(shù)據(jù)中心的流量高速轉(zhuǎn)發(fā)和實現(xiàn)路由控制。高可用性廣域網(wǎng)核心交換采用高可靠架構(gòu)(雙機、冗余引擎和冗余電源配置)，以避免網(wǎng)絡(luò)層面的單點故障；每臺廣域網(wǎng)核心交換通過兩條鏈路分別連接到兩臺數(shù)據(jù)中心核心交換，通過一條鏈路連接廣域網(wǎng)承載平臺，廣域網(wǎng)核心交換之間跨板鏈路聚合，實現(xiàn)進出數(shù)據(jù)中心鏈路的高可用。性能廣域網(wǎng)核心到數(shù)據(jù)中心核心交換區(qū)及廣域網(wǎng)承載平臺、廣域網(wǎng)核心交換之間均采用萬兆互聯(lián)，未來能夠平滑升級至40/100G ；單臺交換機可以支撐所有進出數(shù)據(jù)中心的業(yè)務(wù)流量。53廣域網(wǎng)設(shè)計設(shè)計要點: 功能廣域網(wǎng)承載平臺負責(zé)接入、南京和武漢數(shù)據(jù)

42、中心及各個院區(qū)，并通過廣域網(wǎng)承載平臺與綜合數(shù)據(jù)網(wǎng)進行互聯(lián)。架構(gòu)在數(shù)據(jù)中心機房和數(shù)據(jù)中心機房各部署兩臺高端路由器，通過和的裸光纖，口字型互聯(lián)形成中國的廣域網(wǎng)承載平臺；廣域網(wǎng)承載平臺承載數(shù)據(jù)中心間的三層流量及各院所訪問數(shù)據(jù)中心的流量。通過廣域網(wǎng)承載平臺接入綜合數(shù)據(jù)網(wǎng)的信息CE設(shè)備。安全性在綜合數(shù)據(jù)網(wǎng)與廣域網(wǎng)承載平臺間部署防火墻和IPS設(shè)備，對整個中國的信息內(nèi)網(wǎng)進行四至七層的安全防護；對需提供給總部及其它單位訪問的WEB類應(yīng)用部署在DMZ區(qū)，增加一組WAF設(shè)備采用反向代理方式對WEB應(yīng)用進行防護。性能廣域網(wǎng)承載平臺的設(shè)備之間及廣域網(wǎng)承載平臺與綜合數(shù)據(jù)網(wǎng)之間均采用萬兆互聯(lián)，WAF設(shè)備采用千兆接入。54

43、廣域網(wǎng)承載平臺設(shè)計設(shè)計要點: 架構(gòu)采用傳統(tǒng)的匯聚+接入的兩層架構(gòu)。匯聚由兩臺高端交換機組成，支持網(wǎng)絡(luò)虛擬化技術(shù)，作為本區(qū)域的業(yè)務(wù)網(wǎng)關(guān)；匯聚交換機與數(shù)據(jù)中心核心交換區(qū)設(shè)備之間全連接，通過三層路由實現(xiàn)互通；服務(wù)器POD內(nèi)部署TOR交換機，支持網(wǎng)絡(luò)虛擬化技術(shù)，以提高帶寬利用率，簡化管理。高可用性匯聚設(shè)備、POD內(nèi)部署的業(yè)務(wù)網(wǎng)TOR接入和防火墻都采用雙設(shè)備，服務(wù)器通過雙網(wǎng)卡同時接入TOR，實現(xiàn)設(shè)備及接入的高可用性；TOR接入與區(qū)域匯聚支持網(wǎng)絡(luò)虛擬化，兩者通過跨設(shè)備的聚合鏈路互連，防火墻與區(qū)域匯聚之間也采用跨設(shè)備的鏈路聚合，實現(xiàn)節(jié)點之間連接的高可用性。安全性通過防火墻對進出管理業(yè)務(wù)區(qū)的流量進行安全防護，

44、管理業(yè)務(wù)區(qū)與云管理網(wǎng)核心和存儲網(wǎng)核心之間通過靜態(tài)路由互通，實現(xiàn)路由層面的控制。55管理業(yè)務(wù)區(qū)設(shè)計管理業(yè)務(wù)區(qū)是保障IT基礎(chǔ)架構(gòu)正常運行的操作和管理區(qū)域，云平臺、安管中心（SOC）、網(wǎng)管服務(wù)器、日志主機、維護終端等都部署在此區(qū)域。云管理網(wǎng)網(wǎng)上承載數(shù)據(jù)備份流量、虛擬機遷移流量、虛擬機高可用流量（如容錯）和管理類流量，不同類型的流量使用ACL進行安全隔離。采用核心+接入的兩層架構(gòu)。核心由兩臺高端交換機組成，支持網(wǎng)絡(luò)虛擬化技術(shù)，作為業(yè)務(wù)網(wǎng)關(guān)；云管理網(wǎng)TOR與云管理網(wǎng)核心之間、云管理網(wǎng)核心與管理業(yè)務(wù)區(qū)匯聚之間的，及兩臺云管理網(wǎng)核心之間的互連帶寬均為萬兆；和同城雙中心的云管理核心間采用裸光纖互聯(lián)，帶寬為萬兆

45、。云管理網(wǎng)TOR交換機支持網(wǎng)絡(luò)虛擬化技術(shù)，以提高帶寬利用率，簡化管理。56云管理網(wǎng)設(shè)計存儲網(wǎng)承載iSCSI、分布式存儲流量，需要保證網(wǎng)絡(luò)的高可用性、高帶寬和低延遲，根據(jù)業(yè)界最佳實踐，分布式存儲中的網(wǎng)絡(luò)帶寬應(yīng)滿足：存儲節(jié)點硬盤數(shù)量*硬盤持續(xù)帶寬MB/S8核vCPU*2GB320GBvCPU*4GB虛擬機模板規(guī)劃根據(jù)實際應(yīng)用需要，定制不同規(guī)格虛擬機模板，匹配不同的用戶需求,內(nèi)存應(yīng)該是CPU核數(shù)的14倍；虛擬機的模板需要做系統(tǒng)加固、打上必要的補丁、安裝VMM Tools、開啟監(jiān)控協(xié)議、安裝備份和防病毒的客戶端，并經(jīng)常性維護更新Windows系統(tǒng)補丁VMM ToolsSNMP備份Agent系統(tǒng)加固監(jiān)控

46、Agent防病毒AgentLinux系統(tǒng)補丁VMM ToolsSNMP備份Agent系統(tǒng)加固監(jiān)控Agent防病毒AgentOS系統(tǒng)補丁VMM ToolsSNMP備份Agent系統(tǒng)加固監(jiān)控Agent防病毒Agent101各應(yīng)用系統(tǒng)對計算能力的需求不同，為了能夠快速的為業(yè)務(wù)部門交付計算資源，我們需要設(shè)計一系列不同規(guī)格的虛擬機模板，以滿足不同應(yīng)用、不同時期的需求，同時對虛機模板進行統(tǒng)一的加固和配置，簡化運維虛機模板規(guī)劃技術(shù)選型宿主機規(guī)劃功能集群規(guī)劃虛機模板物理服務(wù)器數(shù)據(jù)中心核心vswitchVMVMVMvswitchVMVMVM業(yè)務(wù)匯聚 三級系統(tǒng)區(qū)核心交換區(qū)業(yè)務(wù)系統(tǒng)區(qū)vswitchVMVMVMvsw

47、itchVMVMVM業(yè)務(wù)匯聚 二級系統(tǒng)區(qū)102二、三級等保系統(tǒng)區(qū)的物理服務(wù)器規(guī)劃業(yè)務(wù)系統(tǒng)區(qū)vswitchVMVMVMvswitchVMVMVM業(yè)務(wù)匯聚 開發(fā)測試區(qū) VxLAN廣域網(wǎng)序號服務(wù)器類型規(guī)格參數(shù)用途1高性能服務(wù)器（4U）1、4顆14核E7-4850 v3 2.20GHz；16條32G DDR4內(nèi)存，共512G內(nèi)存；2、2塊300G 15K RPM SAS硬盤；3、2G緩存的陣列卡，支持RAID 0、1、10、5、50、6、60，帶超級電容掉電保護；3、6個萬兆網(wǎng)卡，2個HBA卡；4、冗余電源和風(fēng)扇，3年服務(wù)。不適合虛擬化的應(yīng)用系統(tǒng)，性能要求比較高的數(shù)據(jù)庫等，如Oracle RAC技術(shù)選

48、型宿主機規(guī)劃功能集群規(guī)劃虛機模板物理服務(wù)器裸金屬資源池規(guī)劃目標：自動化批量部署高性能物理服務(wù)器，運維管理便捷服務(wù)器與云內(nèi)其它虛擬機、容器等資源互連互通，融合管理可以通過云平臺定制開發(fā)實現(xiàn)物理服務(wù)器的管理，如通過OpenStack ironic組件來實現(xiàn)，但要注意服務(wù)器的兼容性103裸金屬資源池與云平臺集成技術(shù)選型宿主機規(guī)劃功能集群規(guī)劃虛機模板物理服務(wù)器2.2.3目錄計算規(guī)劃計算資源池總體規(guī)劃計算虛擬化資源池規(guī)劃高性能計算資源池規(guī)劃計算資源池部署規(guī)劃104105高性能計算資源池規(guī)劃序號服務(wù)器類型規(guī)格參數(shù)適用場景1高性能服務(wù)器（4U）1、4顆14核E7-4850 v3 2.20GHz；16條32G

49、 DDR4內(nèi)存，共512G內(nèi)存；2、2塊300G 15K RPM SAS硬盤；3、2G緩存的陣列卡，支持RAID 0、1、10、5、50、6、60，帶超級電容掉電保護；4、6個萬兆網(wǎng)卡，2個HBA卡；5、冗余電源和風(fēng)扇，3年服務(wù)。高性能計算、大數(shù)據(jù)管理2圖形處理服務(wù)器（4U）1、4顆14核E7-4850 v3 2.20GHz；16條32G DDR4內(nèi)存，共512G內(nèi)存；2、2塊300G 15K RPM SAS硬盤；3、2G緩存的陣列卡，支持RAID 0、1、10、5、50、6、60，帶超級電容掉電保護；4、6個萬兆網(wǎng)卡，2個HBA卡；5、GPU處理器6、冗余電源和風(fēng)扇，3年服務(wù)。GIS等需要G

50、PU計算的應(yīng)用3中性能服務(wù)器（2U）1、2顆8核E5-2640V3 2.6GHz， 6條32G DDR4內(nèi)存，共192G內(nèi)存；2、2塊300G 15K RPM SAS硬盤；3、2G緩存的陣列卡，支持RAID 0、1、10、5、50、6、60，帶超級電容掉電保護。4、6個萬兆網(wǎng)卡，2個HBA卡（可選）；5、冗余電源和風(fēng)扇，3年服務(wù)。大數(shù)據(jù)數(shù)據(jù)節(jié)點等性能要求一般的應(yīng)用106大數(shù)據(jù)服務(wù)器配置推薦硬件配置要求不推薦使用虛擬內(nèi)存建議使用更多塊硬盤，2塊1T硬盤性能優(yōu)于1塊2T硬盤。建議單數(shù)據(jù)節(jié)點容量最大不超過24TB，否則節(jié)點失效后造成大量數(shù)據(jù)復(fù)本的復(fù)制。不建議使用SSD，Hadoop的磁盤IO多為順序

51、讀寫，不能完全發(fā)揮適用于隨機讀寫的SSD的性能優(yōu)勢，同樣的采購?fù)度肟梢酝ㄟ^多個HDD提高并發(fā)量提高性能。管理節(jié)點配置要求數(shù)據(jù)節(jié)點配置處理器4顆14核E7-4850 v3 2.20GHz2顆8核E5-2640V3 2.6GHz內(nèi)存512GB或更多 128GB 或更多硬盤SAS 10k rpm，1TB *4SAS 10k rpm，1TB及以上，數(shù)量建議滿配網(wǎng)卡2塊萬兆網(wǎng)卡做聚合2塊萬兆網(wǎng)卡做聚合107大數(shù)據(jù)硬盤RAID配置推薦硬盤RAID注意：共享存儲系統(tǒng)不適用于集群數(shù)據(jù)存儲，單點存儲是大數(shù)據(jù)集群的運算性能瓶頸。集群類型操作系統(tǒng)配置數(shù)據(jù)存儲配置Hadoop2塊硬盤做RAID1剩余部分每塊做一個RA

52、ID0MPP2塊硬盤做RAID1剩余部分做成一個RAID5108大數(shù)據(jù)組網(wǎng)推薦IRF業(yè)務(wù)網(wǎng)交換機管理網(wǎng)交換機服務(wù)器服務(wù)器Hadoop集群MPP集群推薦集群規(guī)劃 Hadoop集群建議20臺及以上物理服務(wù)器，Hadoop集群管理節(jié)點和數(shù)據(jù)節(jié)點使用不同的物理服務(wù)器但是建議根據(jù)未來業(yè)務(wù)發(fā)展情況進行提前規(guī)劃，避免后期擴容需要平衡數(shù)據(jù)；MPP集群建議選擇3個節(jié)點為1個safegroup，推薦配置6臺及以上服務(wù)器IRF109大數(shù)據(jù)各節(jié)點安裝核心組件推薦服務(wù)組件管理節(jié)點數(shù)據(jù)節(jié)點主機一主機二主機三主機四主機五主機六主機N管理平臺管理門戶ZooKeeperZooKeeper ServerZooKeeper Cli

53、ent HDFSNameNodeZKFailoverController DataNode JournalNodeYarn ResourceManager App Timeline Server NodeManager MapReduce2HistoryServer MR2SparkSparkSQL不安裝安裝選裝110大數(shù)據(jù)集群管理軟件的一點建議企業(yè)在構(gòu)建大數(shù)據(jù)平臺時一般都是循序漸進式的建設(shè)，隨著數(shù)據(jù)量的高速增長和數(shù)據(jù)分析業(yè)務(wù)的逐漸復(fù)雜，大數(shù)據(jù)平臺面臨經(jīng)常擴容和參數(shù)調(diào)整的問題，為了減低運維難度，建議采用商業(yè)化的大數(shù)據(jù)集群管理軟件，其優(yōu)點如下：一鍵部署，動態(tài)擴容；動態(tài)參數(shù)調(diào)整；集群管理主機管理服

54、務(wù)管理用戶管理告警監(jiān)控，多維度監(jiān)控豐富的BI展示2.2.3目錄計算規(guī)劃計算資源池總體規(guī)劃計算虛擬化資源池規(guī)劃高性能計算資源池規(guī)劃計算資源池部署規(guī)劃111內(nèi)網(wǎng)計算資源池部署架構(gòu)VDI區(qū)業(yè)務(wù)匯聚存儲及備份區(qū)數(shù)據(jù)中心核心vswitchVMVMVMvswitchVMVMVM業(yè)務(wù)匯聚 三級系統(tǒng)區(qū)核心交換區(qū)業(yè)務(wù)系統(tǒng)區(qū)vswitchVMVMVMvswitchVMVMVM業(yè)務(wù)匯聚 二級系統(tǒng)區(qū)大數(shù)據(jù)區(qū)業(yè)務(wù)匯聚存儲網(wǎng)管理網(wǎng) VxLAN內(nèi)網(wǎng)規(guī)劃部署說明：內(nèi)網(wǎng)構(gòu)建三級系統(tǒng)資源池，二級系統(tǒng)資源池，后期逐漸按集群擴容；在管理區(qū)雙擊熱備部署虛擬化管理平臺，提高虛擬化管理平臺的可靠性；內(nèi)網(wǎng)構(gòu)建VDI資源池，供辦公區(qū)及就近區(qū)域

55、的辦公人員使用VDI；在內(nèi)網(wǎng)大數(shù)據(jù)區(qū)在物理服務(wù)器上部署大數(shù)據(jù)平臺及高性能計算資源池；廣域網(wǎng)管理匯聚管理業(yè)務(wù)區(qū)云平臺VMMCompute*3VMVMVMSDN Controller*2112物理服務(wù)區(qū)存儲及備份區(qū)數(shù)據(jù)中心核心vswitchVMVMVMvswitchVMVMVM業(yè)務(wù)匯聚 三級系統(tǒng)區(qū)（備份）核心交換區(qū)業(yè)務(wù)系統(tǒng)區(qū)vswitchVMVMVMvswitchVMVMVM業(yè)務(wù)匯聚 二級系統(tǒng)區(qū)（備份）VDI區(qū)業(yè)務(wù)匯聚內(nèi)網(wǎng)規(guī)劃部署說明：內(nèi)網(wǎng)構(gòu)建三級系統(tǒng)備份資源池，二級系統(tǒng)備份資源池，用于內(nèi)網(wǎng)業(yè)務(wù)的災(zāi)備接管；內(nèi)網(wǎng)構(gòu)建測試資源池，用于全院測試業(yè)務(wù)的開展；在管理區(qū)雙擊熱備部署虛擬化管理平臺，提高虛擬化管

56、理平臺的可靠性；內(nèi)網(wǎng)構(gòu)建VDI資源池，供辦公區(qū)及就近區(qū)域的辦公人員使用VDI；廣域網(wǎng)vswitchVMVMVMvswitchVMVMVM業(yè)務(wù)匯聚 開發(fā)測試區(qū) VxLAN管理業(yè)務(wù)區(qū)VMMCompute*4VMVMVM存儲網(wǎng)管理網(wǎng)管理匯聚SDN Controller*2113內(nèi)網(wǎng)計算資源池部署架構(gòu)存儲及備份區(qū)數(shù)據(jù)中心核心核心交換區(qū)業(yè)務(wù)系統(tǒng)區(qū)vswitchVMVMVMvswitchVMVMVM業(yè)務(wù)匯聚 二級系統(tǒng)區(qū)存儲網(wǎng)管理網(wǎng) VxLAN外網(wǎng)規(guī)劃部署說明：外網(wǎng)構(gòu)建二級系統(tǒng)資源池，后期逐漸按集群擴容；在管理區(qū)雙擊熱備部署虛擬化管理平臺，提高虛擬化管理平臺的可靠性；互聯(lián)網(wǎng)管理匯聚管理業(yè)務(wù)區(qū)云平臺VMMCo

57、mpute*2VMVMVMSDN Controller*2114外網(wǎng)計算資源池部署架構(gòu)存儲及備份區(qū)數(shù)據(jù)中心核心核心交換區(qū)業(yè)務(wù)系統(tǒng)區(qū)vswitchVMVMVMvswitchVMVMVM業(yè)務(wù)匯聚 二級系統(tǒng)區(qū)（備份）存儲網(wǎng)管理網(wǎng)外網(wǎng)規(guī)劃部署說明：外網(wǎng)構(gòu)建二級系統(tǒng)備份資源池，用于外網(wǎng)業(yè)務(wù)的災(zāi)備接管；外網(wǎng)構(gòu)建測試資源池，用于全院測試業(yè)務(wù)的開展；在管理區(qū)雙擊熱備部署虛擬化管理平臺，提高虛擬化管理平臺的可靠性；互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)區(qū)vswitchVMVMVMvswitchVMVMVM業(yè)務(wù)匯聚 開發(fā)測試區(qū) VxLAN管理業(yè)務(wù)區(qū)VMMCompute*3VMVMVM管理匯聚SDN Controller*2115外網(wǎng)計算

58、資源池部署架構(gòu)第一階段第二階段第三階段內(nèi)網(wǎng)三級資源池內(nèi)網(wǎng)二級資源池內(nèi)網(wǎng)大數(shù)據(jù)資源池內(nèi)網(wǎng)測試資源池內(nèi)網(wǎng)VDI資源池外網(wǎng)二級資源池內(nèi)網(wǎng)三級備資源池內(nèi)網(wǎng)二級備資源池外網(wǎng)二級備資源池資源池擴容跨中心部署資源池，實現(xiàn)虛擬化的雙活1、根據(jù)業(yè)務(wù)等保要求構(gòu)建不同的資源池；2、大數(shù)據(jù)遷移至物理服務(wù)器上形成資源池；第一階段完成1、構(gòu)建備份資源池，實現(xiàn)同城SRM切換；第二階段完成1、跨中心部署資源池，實現(xiàn)虛擬化雙活；第三階段完成116計算線路規(guī)劃2目錄云計算規(guī)劃2.1整體架構(gòu)規(guī)劃2.2IaaS規(guī)劃基礎(chǔ)架構(gòu)規(guī)劃2.2.1云網(wǎng)絡(luò)規(guī)劃2.2.2計算規(guī)劃2.2.3存儲規(guī)劃2.2.4云平臺規(guī)劃2.2.5云安全規(guī)劃2.2.6云

59、運維規(guī)劃2.2.7容災(zāi)規(guī)劃2.2.81172.2.4目錄存儲規(guī)劃存儲資源池總體規(guī)劃FC存儲優(yōu)化設(shè)計分布式存儲規(guī)劃存儲分層設(shè)計118存儲資源池路線規(guī)劃根據(jù)業(yè)務(wù)需求完成存儲分層設(shè)計1.依據(jù)現(xiàn)有的華為（新）&宏杉（新）&EMC(舊)SAN存儲,虛擬帶庫設(shè)備和計劃新購的分布式存儲來設(shè)計生產(chǎn)存儲層，容災(zāi)存儲層，一級歸檔和二級歸檔存儲層。2.按照可用性，IOPS,延遲要求等因素，將業(yè)務(wù)和服務(wù)匹配到不同的存儲層構(gòu)建分布式存儲，滿足未來存儲高速擴容的需求1.分布式存儲使用標準X86服務(wù)器及硬盤，可標準化存儲架構(gòu)，簡化運維復(fù)雜性。它的可擴展性強且價格較低時未來存儲的首選。2.CEPH是OpenStack開源社區(qū)

60、推薦的后端存儲架構(gòu)，和OpenStack平臺的兼容性最好。它可以提供快存儲，對象存儲等統(tǒng)一存儲服務(wù)，是未來云儲存的優(yōu)選架構(gòu)。構(gòu)建兩地三中心的數(shù)據(jù)存儲容災(zāi)架構(gòu)1.構(gòu)建存儲本地高可用架構(gòu)，通過存儲級同步數(shù)據(jù)復(fù)制技術(shù)實施備份生產(chǎn)數(shù)據(jù)，以滿足本地存儲宕機時的業(yè)務(wù)切換需求。2.結(jié)合兩地三中心的三點架構(gòu)和本地高可用架構(gòu)形成san存儲四點架構(gòu)。構(gòu)建完善的獨立存儲網(wǎng)絡(luò)，消除san孤島1.增加FC交換機，與現(xiàn)有FC交換機進行級聯(lián)，連接華為，EMC，宏杉存儲 建立完整的存儲網(wǎng)絡(luò)平面，消除San孤島和單點故障。2.新增IP SAN網(wǎng)絡(luò)，滿足未來對Server SAN的建設(shè)。119存儲資源池建設(shè)目標120存儲分類共享