企業(yè)云計算現(xiàn)狀與需求分析

1、企業(yè)云計算現(xiàn)狀與需求分析IT現(xiàn)狀問題分析總結(jié)：IT架構(gòu)優(yōu)化已迫在眉睫2存儲存儲備份：沒有規(guī)劃備份機制，存在數(shù)據(jù)丟失的風(fēng)險，包括財務(wù)核算，檢驗等重要數(shù)據(jù)存儲容量：由于大數(shù)據(jù)等業(yè)務(wù)發(fā)展非?？?， 存儲沒有統(tǒng)一復(fù)用，現(xiàn)有存儲容量和性能已經(jīng)無法滿足要求運維SLA服務(wù)標(biāo)準(zhǔn)：當(dāng)前沒有發(fā)布云計算服務(wù)SLA目標(biāo)和測評標(biāo)準(zhǔn)，不能滿足遷移到云上的業(yè)務(wù)連續(xù)性要求運維工具：當(dāng)前有網(wǎng)絡(luò)/資產(chǎn)/ITIL的運維工具，但缺乏服務(wù)器，存儲和應(yīng)用的運維工具，沒有主動告警和故障快速恢復(fù)機制網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)：網(wǎng)絡(luò)中存在大量的單點故障，一旦鏈路或者設(shè)備故障，會嚴(yán)重影響到的業(yè)務(wù)網(wǎng)絡(luò)設(shè)計：網(wǎng)絡(luò)設(shè)計層次不清晰，二層廣播域過大，一旦出現(xiàn)廣播風(fēng)暴，會

2、導(dǎo)致整網(wǎng)癱瘓計算物理服務(wù)器：服務(wù)器年限過長，一旦出現(xiàn)硬件故障，會導(dǎo)致對應(yīng)業(yè)務(wù)中斷虛擬化：虛擬化，集群超配嚴(yán)重,導(dǎo)致HA無法正常工作，一旦故障會導(dǎo)致大面積的業(yè)務(wù)癱瘓安全安全技術(shù)：安全防御手段不足（IDS/WAF沒有充分利用），容易被黑客攻擊，存在科研數(shù)據(jù)泄露的風(fēng)險安全制度：安全制度無法滿足等保三級要求，會影響到后續(xù)業(yè)務(wù)向云上遷移的安全合規(guī)要求業(yè)務(wù)開發(fā)平臺：當(dāng)前IT開發(fā)平臺不統(tǒng)一，各系統(tǒng)獨立部署，形成資源孤島，業(yè)務(wù)故障無法快速排除系統(tǒng)架構(gòu)：多套系統(tǒng)架構(gòu)完全不同，沒有統(tǒng)一的可靠性/可用性/安全性的軟件架構(gòu)設(shè)計，導(dǎo)致系統(tǒng)的可用性低，出現(xiàn)故障難以快速恢復(fù)容災(zāi)問題當(dāng)前對容災(zāi)備份暫無考慮，數(shù)據(jù)可靠性和容災(zāi)能

3、力較差資源利用問題某些階段性應(yīng)用，在相當(dāng)長時期內(nèi)或者永久不再需要，但是該資源不能被及時、方便的釋放或回收，以供新系統(tǒng)使用，造成空閑資源的浪費安全問題當(dāng)前對安全防護及隔離考慮較少，而系統(tǒng)安全性格外重要，必須嚴(yán)格遵守集團對信息安全等級保護的要求；業(yè)務(wù)安全隔離也尤為重要自動化及運維問題仍然存在很多手工配置的內(nèi)容和紙件辦公。隨著后續(xù)IT 資源規(guī)模不斷擴大，服務(wù)模式轉(zhuǎn)型會使得業(yè)務(wù)需求更具多樣化，系統(tǒng)升級擴容將更加頻繁，容易產(chǎn)生人為操作錯誤的問題，且不易維護信息中心一卡通員工報銷檔案管理統(tǒng)一支撐管理平臺測試系統(tǒng)系統(tǒng)仿真平臺大數(shù)據(jù)平臺天氣預(yù)報平臺3信息化建設(shè)起步較早，但當(dāng)前并行存在多套具有各自架構(gòu)特點的平臺

4、，孤島式建設(shè)導(dǎo)致資源不能重用，阻礙信息和業(yè)務(wù)的進一步深度集成和共享。應(yīng)用系統(tǒng)現(xiàn)狀三地四中心現(xiàn)狀廣州數(shù)據(jù)中心重慶數(shù)據(jù)中心北京數(shù)據(jù)中心北京數(shù)據(jù)中心四個中心沒有規(guī)劃災(zāi)備體系，數(shù)據(jù)中心沒有明確的職能劃分；數(shù)據(jù)中心之間的鏈路大多是單線，存在單點故障；數(shù)據(jù)中心之間的鏈路帶寬也已經(jīng)不能滿足現(xiàn)有業(yè)務(wù)發(fā)展需求；現(xiàn)有北京、廣州、重慶三地四個中心機房，為異地容災(zāi)提供了基礎(chǔ)；數(shù)據(jù)中心之間專線連接，鏈路質(zhì)量有保障；大部分應(yīng)用本地化部署；值得肯定的是需要注意的是4中國的網(wǎng)絡(luò)總體現(xiàn)狀信息內(nèi)網(wǎng)承載全院用戶訪問自建業(yè)務(wù)系統(tǒng)和統(tǒng)推業(yè)務(wù)系統(tǒng)的內(nèi)網(wǎng)流量；信息外網(wǎng)承載全院用戶訪問Inerent及對公網(wǎng)用戶提供服務(wù)的流量；信息內(nèi)網(wǎng)和信息

5、外網(wǎng)的網(wǎng)絡(luò)拓?fù)涠疾捎眯切?，全網(wǎng)都采用靜態(tài)路由實現(xiàn)互通。5網(wǎng)絡(luò)分為信息內(nèi)網(wǎng)和信息外網(wǎng)，信息內(nèi)網(wǎng)與信息外網(wǎng)之間物理隔離，通過網(wǎng)閘進數(shù)據(jù)擺渡。目前網(wǎng)絡(luò)運行基本正常，但隨著IT環(huán)境的日益復(fù)雜，規(guī)模日益增長，網(wǎng)絡(luò)系統(tǒng)局部存在問題仍有待改善。設(shè)備、鏈路、服務(wù)器接入有較多的單點，缺少冗余，可用性不高；網(wǎng)絡(luò)架構(gòu)層次不清晰，數(shù)據(jù)中心和辦公網(wǎng)未有效隔離，數(shù)據(jù)中心沒有進行功能區(qū)域劃分；二層廣播域跨越雙中心，出現(xiàn)廣播風(fēng)暴會導(dǎo)致整網(wǎng)不可用；數(shù)據(jù)中心沒有進行功能區(qū)域劃分，缺少統(tǒng)一的安全策略；安全防護手段比較單一，缺乏安全縱深；網(wǎng)絡(luò)設(shè)備配置存在安全薄弱環(huán)節(jié)，業(yè)務(wù)流量的監(jiān)控和分析手段不足；大數(shù)據(jù)相關(guān)業(yè)務(wù)的網(wǎng)絡(luò)都為千兆，存在帶

6、寬瓶頸；帶外管理網(wǎng)不完備，運維管理效率不高；網(wǎng)絡(luò)基礎(chǔ)服務(wù)沒有統(tǒng)一的管理（DHCP、DNS、NTP等） 關(guān)鍵節(jié)點的設(shè)備和鏈路（核心、南京院區(qū)、武漢院區(qū)） 采用冗余部署，具備一定的可用性；在網(wǎng)絡(luò)出口部署防火墻對信息內(nèi)網(wǎng)進行整體安全防護，專門的DMZ區(qū)對外提供服務(wù)，并部署WAF進行WEB安全防護；安全性性能可用性信息內(nèi)網(wǎng)現(xiàn)狀可用性安全性可管理值得肯定的是需要注意的是設(shè)備、鏈路、服務(wù)器接入有較多的單點，缺少冗余，可用性不高；網(wǎng)絡(luò)架構(gòu)層次不清晰，數(shù)據(jù)中心和辦公網(wǎng)未有效隔離，數(shù)據(jù)中心沒有進行功能區(qū)域劃分；二層廣播域跨越雙中心，出現(xiàn)廣播風(fēng)暴會導(dǎo)致整網(wǎng)不可用；數(shù)據(jù)中心沒有進行功能區(qū)域劃分，缺少統(tǒng)一的安全策略；

7、安全防護手段比較單一，缺乏安全縱深；網(wǎng)絡(luò)設(shè)備配置存在安全薄弱環(huán)節(jié)，業(yè)務(wù)流量的監(jiān)控和分析手段不足；帶外管理網(wǎng)不完備，運維管理效率不高；網(wǎng)絡(luò)基礎(chǔ)服務(wù)沒有統(tǒng)一的管理（DHCP、DNS、NTP等）。 關(guān)鍵節(jié)點的設(shè)備和鏈路（核心、南京院區(qū)、武漢院區(qū)） 采用冗余部署，有線側(cè)Intenet出口雙鏈路，通過LB進行負(fù) 載均衡，具備一定的可用性；有線用戶網(wǎng)絡(luò)出口部署了防火墻和IDS設(shè)備，對信息外網(wǎng)進行整體安全防護，通過專門的DMZ區(qū)對外提供服務(wù)，無線用戶側(cè)部署了上網(wǎng)行為管理和防火墻；安全性可用性可用性安全性可管理信息外網(wǎng)現(xiàn)狀值得肯定的是需要注意的是大部分服務(wù)器采用開放的x86架構(gòu)，具有標(biāo)準(zhǔn)化的基礎(chǔ)；逐步將服務(wù)器

8、集中管理，由信息中心統(tǒng)一運維和規(guī)劃，并且逐步采用虛擬化的方式提供IT基礎(chǔ)服務(wù)，避免了豎井式建設(shè)的資源浪費；用于虛擬化的服務(wù)器采用同一品牌和型號，便于管理和虛擬化平臺的調(diào)度；大部分服務(wù)器服務(wù)年限過長，已經(jīng)過保，存在嚴(yán)重的隱患；服務(wù)器CPU平均利用率為20.2%，內(nèi)存平均利用率為40.2%，整體偏低；大部分服務(wù)器只配置了單網(wǎng)卡，存在鏈路單點問題；大部分服務(wù)器部署了一張網(wǎng)絡(luò)平面，隨著業(yè)務(wù)的發(fā)展和架構(gòu)的演進，該網(wǎng)絡(luò)平面將要同時承載業(yè)務(wù)、管理和存儲三種類型的流量，將會相互影響和沖突；沒有根據(jù)服務(wù)器承載的業(yè)務(wù)或者功能進行有效的劃分；820.2% & 60%40.2% & 73%平均利用率&峰值利用率平均利

9、用率&峰值利用率小型機1臺X86服務(wù)器488臺刀片服務(wù)器240臺729臺值得肯定的是需要注意的是8服務(wù)器現(xiàn)狀已有的15套FC SAN存儲IOPS指標(biāo)較高，采用的多控制器架構(gòu)支持高可用性，可良好的滿足已有業(yè)務(wù)的運行。san存儲作為共享存儲和虛擬化平臺結(jié)合，為當(dāng)前喝多單機部署的業(yè)務(wù)提供了高可用性。未建立完整的存儲分層架構(gòu)設(shè)計，全部采用FC存儲，存儲成本很高。無完善的統(tǒng)一存儲網(wǎng)絡(luò)導(dǎo)致san孤島現(xiàn)狀，影響存儲資源池的建設(shè)。業(yè)務(wù)和服務(wù)的RTO和RPO數(shù)值不明確，數(shù)據(jù)也未采用任何容災(zāi)備份架構(gòu)或本地高可用架構(gòu)，數(shù)據(jù)安全性較低。由于無存儲監(jiān)控軟件，當(dāng)前存儲的運維復(fù)雜度較高，依靠人工每天定時三次登陸存儲設(shè)備意義

10、排查。虛擬化集群虛擬化集群單機業(yè)務(wù)(約80%)集群業(yè)務(wù)(極少)FC存儲FC存儲FC存儲存儲設(shè)備15套，機房8套、機房7套用于虛擬化的存儲6套，均為FC存儲值得肯定的是需要注意的是9存儲現(xiàn)狀Web服務(wù)器文件服務(wù)器郵件服務(wù)器認(rèn)證服務(wù)器OA服務(wù)器ERP服務(wù)器CRM服務(wù)器DNS服務(wù)器DB服務(wù)器將多臺虛擬機部署到同一個服務(wù)器上虛擬化管理程序提高服務(wù)器資源利用率降低硬件投資成本節(jié)省機房使用空間節(jié)能降耗業(yè)務(wù)快速統(tǒng)一部署提高運維效率10%10%10%10%20%10%35%10%Hypervisor（VMM：Virtual Machine Monitor）虛擬機操作系統(tǒng)業(yè)務(wù)系統(tǒng)硬件（CPU、內(nèi)存、硬盤、網(wǎng)卡、

11、USB、串口、）虛擬機操作系統(tǒng)業(yè)務(wù)系統(tǒng)虛擬機操作系統(tǒng)業(yè)務(wù)系統(tǒng)目前采用華為虛擬化平臺構(gòu)建計算資源池，在提高了資源利用率，節(jié)能減排、業(yè)務(wù)快速部署上取得了明顯的效果；正逐步將業(yè)務(wù)系統(tǒng)遷移至虛擬化平臺上，完成了部分業(yè)務(wù)的云化工作；集群規(guī)模不統(tǒng)一，有3臺一個集群，6臺一個集群，且未進行規(guī)劃，未來擴展不方便；劃分的存儲LUN也不統(tǒng)一，3T10幾T不等，LUN的命名也不規(guī)范；資源嚴(yán)重超配，已經(jīng)超過集群規(guī)模的150%，集群已無法正常啟動HA機制；對于是否適合虛擬化未進行嚴(yán)格的評估，大數(shù)據(jù)部署在虛擬化平臺上，資源爭用嚴(yán)重；虛擬化管理平臺單機部署，存在單點故障；值得肯定的是需要注意的是虛擬化現(xiàn)狀10目前沿用傳統(tǒng)安

12、全組織架構(gòu)。由領(lǐng)導(dǎo)層擔(dān)任信息安全決策層，由信息中心擔(dān)任知悉層，各部門和其他院所配有安全專職。組織架構(gòu)清晰，職責(zé)分工明確；有比較完善的ISO 27001三級文檔；部署有部門安全產(chǎn)品，對云平臺起一定的安全防護作用。信息中心負(fù)責(zé)的信息安全執(zhí)行，在人員配備上存在不足；缺失云安全相關(guān)的安全制度；網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全的防護能力不足，在現(xiàn)網(wǎng)中缺失安全技術(shù)點，存在安全產(chǎn)品配置不合理的情況。值得肯定的是需要注意的是整體上信息安全處于“1-初始級”和“可重復(fù)級”之間。11安全現(xiàn)狀運維現(xiàn)狀值得肯定的是需要注意的是運維缺乏統(tǒng)一規(guī)劃，建設(shè)完成后轉(zhuǎn)維困難；目前運維工作主以被動響應(yīng)為主，缺乏主動防范；監(jiān)控

13、系統(tǒng)僅覆蓋了網(wǎng)絡(luò)，云平臺、應(yīng)用的監(jiān)控尚在測試中；SLA尚未發(fā)布，無法對各院所提供明確的SLA承諾，缺乏提供云服務(wù)的基本條件；缺乏專業(yè)的運維工具來支撐，運維工作的進度及效果很難得到管控，工單系統(tǒng)目前處于測試階段，尚不能支撐，目前通過紙件、郵件、電話方式來處理日常運維工作的流轉(zhuǎn)；運維人員配備和知識結(jié)構(gòu)有待改進；運維流程不夠全面，需要結(jié)合云運維來補充和完善。院領(lǐng)導(dǎo)已對運維管理的規(guī)劃性和流程體系的建設(shè)非常重視，并希望通過此項目在運維體系建設(shè)方面有所成果。目前已具備有服務(wù)請求、問題、變更等流程，并正在使用中，相關(guān)流程的配套文檔也在逐步完善12建設(shè)先進，滿足未來35年信息化發(fā)現(xiàn)需求的基礎(chǔ)架構(gòu)；各單位臨時性

14、開發(fā)測試環(huán)境的需求較為頻繁，軟硬件采購的周期又較長，迫切需要一個平臺能夠快捷地提供IT基礎(chǔ)環(huán)境。云計算技術(shù)能夠通過虛擬化和智能資源調(diào)度有效提高資源利用率，同時降低能耗，同時可以靈活地進行擴展需要建立統(tǒng)一的運維模式，分擔(dān)各研究所面臨的信息運維工作壓力，能夠?qū)⒏嗳肆Y源投入到科研工作中。為全院各單位提供統(tǒng)一的軟件開發(fā)、測試、仿真調(diào)試、培訓(xùn)環(huán)境；未來可以統(tǒng)一開展專業(yè)運維，實現(xiàn)計算資源的快速分配；同時有助于統(tǒng)籌全院的IT基礎(chǔ)設(shè)施建設(shè)與管理。過技術(shù)手段消除業(yè)務(wù)運行單點隱患，統(tǒng)一數(shù)據(jù)管理，統(tǒng)一安全策略。建立容災(zāi)體系架構(gòu)先進和便捷節(jié)約投資和彈性擴展提升業(yè)務(wù)可靠性和數(shù)據(jù)安全性統(tǒng)一運維提供專業(yè)化服務(wù)需求分析總

15、結(jié)：云計算是IT技術(shù)改造的首選13多中心建設(shè)需求滿足數(shù)據(jù)中心容災(zāi)建設(shè)分布式云數(shù)據(jù)中心14滿足同城雙活異地容災(zāi)的云計算數(shù)據(jù)中心的規(guī)劃設(shè)計，不同中心的資源池統(tǒng)一管理，構(gòu)建私有云高可用性安全性可管理性靈活性可擴展性性能建設(shè)三地四中心，業(yè)務(wù)上實現(xiàn)北京同城雙活，單個數(shù)據(jù)中心可以支持關(guān)鍵業(yè)務(wù)，保證業(yè)務(wù)連續(xù)性；各院所訪問數(shù)據(jù)中心不存在單點故障，能靈活切換；網(wǎng)絡(luò)架構(gòu)松耦合，故障域能有效隔離，無單點故障；網(wǎng)絡(luò)基礎(chǔ)服務(wù)（DNS、NTP等）統(tǒng)一規(guī)劃，保證可用性；根據(jù)業(yè)務(wù)系統(tǒng)的重要性、關(guān)聯(lián)性進行分區(qū)分域，滿足等級保護的相關(guān)要求；開發(fā)測試（包括各院所的實驗室網(wǎng)絡(luò)環(huán)境）與生產(chǎn)業(yè)務(wù)隔離；有流量監(jiān)控手段，能對網(wǎng)絡(luò)流量可視、可

16、控、可管，提高安全事件的判斷和響應(yīng)時間；云平臺能實現(xiàn)所有數(shù)據(jù)中心的網(wǎng)絡(luò)納管，實現(xiàn)自動化，簡化管理，降低部署和維護成本；有日志管理系統(tǒng)，滿足行業(yè)監(jiān)管要求及日常運維的需求；有安全策略管理平臺，能對全網(wǎng)的安全策略進行統(tǒng)一的管理；健全管理網(wǎng)，提升運維管理效率；網(wǎng)絡(luò)基礎(chǔ)架構(gòu)具備彈性的，資源靈活分配的，可擴展的特性，以滿足未來業(yè)務(wù)擴張和靈活部署的需求，能哆實現(xiàn)網(wǎng)絡(luò)部署自動化，且需考慮后續(xù)業(yè)務(wù)在不同數(shù)據(jù)中心之間遷移的需求；能對訪問多個數(shù)據(jù)中心的院區(qū)用戶流量進行靈活的控制和調(diào)度；不同類型的流量盡時分離，避免帶寬爭用；網(wǎng)絡(luò)帶寬和收斂比需要滿足大數(shù)據(jù)、仿真平臺和Server San等對帶寬、時延的要求，但也要考慮

17、到現(xiàn)網(wǎng)的實際情況，充分利舊，保護投資成本；同城雙中心的業(yè)務(wù)互訪流量較大，需要考慮高帶寬，并方便帶寬擴容；網(wǎng)絡(luò)基礎(chǔ)架構(gòu)要能適應(yīng)的業(yè)務(wù)發(fā)展，能夠方便實現(xiàn)橫向擴展和縱向擴展；部分業(yè)務(wù)系統(tǒng)可能會跨數(shù)據(jù)中心進行部署，要求提供不受物理位置限制的接入網(wǎng)絡(luò)；網(wǎng)絡(luò)建設(shè)需求15提高IT基礎(chǔ)設(shè)施的整體運維效率和質(zhì)量，實現(xiàn)自動化和可視化運維基礎(chǔ)設(shè)施資源池化，實現(xiàn)資源的彈性調(diào)度，提高資源利用率縮短業(yè)務(wù)系統(tǒng)上線周期，適應(yīng)業(yè)務(wù)快速發(fā)展需求16IT基礎(chǔ)設(shè)施建設(shè)需求構(gòu)建云操作系統(tǒng)，云業(yè)務(wù)統(tǒng)一入口&一切即服務(wù)審核與通知自助服務(wù)門戶自動化部署與服務(wù)交付配置部署電子流申請監(jiān)控操作虛擬機生命周期管理操作與性能監(jiān)控管理應(yīng)用系統(tǒng)電子流引擎

18、電子流引擎資源配置虛擬機配置與模板管理數(shù)據(jù)保護與業(yè)務(wù)連續(xù)性管理組織管理員終端用戶物理&虛擬存儲物理&虛擬網(wǎng)絡(luò)物理&虛擬計算虛擬化管理17云運營建設(shè)需求數(shù)據(jù)備份彈性計算可靠計算各應(yīng)用系統(tǒng)除對基礎(chǔ)資源快速申請以外，主要訴求如下：數(shù)據(jù)備份：希望通過統(tǒng)一的備份方案對重要數(shù)據(jù)進行備份和恢復(fù)，加強數(shù)據(jù)安全管理；可靠計算：通過云平臺的高可靠機制，消除應(yīng)用系統(tǒng)的單點故障，為計算資源賦予高可靠性機制，需考慮虛擬機HA、應(yīng)用HA、FT等容錯和數(shù)據(jù)保護機制；彈性計算：一些科研系統(tǒng)計算資源存在峰谷現(xiàn)象，平時資源閑置，忙時又沒有足夠的資源，嚴(yán)重制約科研進展，計算資源池應(yīng)具有彈性伸縮/擴展和自動均衡計算容量的功能 如DR

19、S（Dynamic Resource Scheduler，動態(tài)資源調(diào)度）或DRX（ Dynamic Resource extensions，動態(tài)資源擴展）等計算特性；18應(yīng)用系統(tǒng)對云計算的需求異構(gòu)品牌和類型存儲設(shè)備存儲池存儲卷存儲卷存儲卷存儲卷操作系統(tǒng)DB操作系統(tǒng)應(yīng)用程序操作系統(tǒng)DBFC SANFC SANServer SANServer SANIP NetworkFC Network存儲資源池需考慮以下需求：分布式存儲建設(shè)：分布式存儲經(jīng)濟、高可用、近線性擴展，構(gòu)建分布式存儲資源池，降低存儲整體使用成本；統(tǒng)一FC存儲網(wǎng)：將現(xiàn)有各獨立的FC存儲打通，構(gòu)建FC存儲網(wǎng)絡(luò)，提升FC存儲的共享和擴展性；充分共享：形成存儲資源池，不僅僅用于云計算，而是滿足全院各業(yè)務(wù)系統(tǒng)對存儲的需求；操作系統(tǒng)業(yè)務(wù)系統(tǒng)操作系統(tǒng)業(yè)務(wù)系統(tǒng)操作系統(tǒng)業(yè)務(wù)系統(tǒng)19存儲建設(shè)需求公安部在傳統(tǒng)的安全要求上加入了對云平臺的安全要求對云平臺安全特別關(guān)注點