企業(yè)云計算現(xiàn)狀與需求分析

1、企業(yè)云計算現(xiàn)狀與需求分析IT現(xiàn)狀問題分析總結：IT架構優(yōu)化已迫在眉睫2存儲存儲備份：沒有規(guī)劃備份機制，存在數(shù)據(jù)丟失的風險，包括財務核算，檢驗等重要數(shù)據(jù)存儲容量：由于大數(shù)據(jù)等業(yè)務發(fā)展非?？欤?存儲沒有統(tǒng)一復用，現(xiàn)有存儲容量和性能已經(jīng)無法滿足要求運維SLA服務標準：當前沒有發(fā)布云計算服務SLA目標和測評標準，不能滿足遷移到云上的業(yè)務連續(xù)性要求運維工具：當前有網(wǎng)絡/資產(chǎn)/ITIL的運維工具，但缺乏服務器，存儲和應用的運維工具，沒有主動告警和故障快速恢復機制網(wǎng)絡網(wǎng)絡架構：網(wǎng)絡中存在大量的單點故障，一旦鏈路或者設備故障，會嚴重影響到的業(yè)務網(wǎng)絡設計：網(wǎng)絡設計層次不清晰，二層廣播域過大，一旦出現(xiàn)廣播風暴，會

2、導致整網(wǎng)癱瘓計算物理服務器：服務器年限過長，一旦出現(xiàn)硬件故障，會導致對應業(yè)務中斷虛擬化：虛擬化，集群超配嚴重,導致HA無法正常工作，一旦故障會導致大面積的業(yè)務癱瘓安全安全技術：安全防御手段不足（IDS/WAF沒有充分利用），容易被黑客攻擊，存在科研數(shù)據(jù)泄露的風險安全制度：安全制度無法滿足等保三級要求，會影響到后續(xù)業(yè)務向云上遷移的安全合規(guī)要求業(yè)務開發(fā)平臺：當前IT開發(fā)平臺不統(tǒng)一，各系統(tǒng)獨立部署，形成資源孤島，業(yè)務故障無法快速排除系統(tǒng)架構：多套系統(tǒng)架構完全不同，沒有統(tǒng)一的可靠性/可用性/安全性的軟件架構設計，導致系統(tǒng)的可用性低，出現(xiàn)故障難以快速恢復容災問題當前對容災備份暫無考慮，數(shù)據(jù)可靠性和容災能

3、力較差資源利用問題某些階段性應用，在相當長時期內或者永久不再需要，但是該資源不能被及時、方便的釋放或回收，以供新系統(tǒng)使用，造成空閑資源的浪費安全問題當前對安全防護及隔離考慮較少，而系統(tǒng)安全性格外重要，必須嚴格遵守集團對信息安全等級保護的要求；業(yè)務安全隔離也尤為重要自動化及運維問題仍然存在很多手工配置的內容和紙件辦公。隨著后續(xù)IT 資源規(guī)模不斷擴大，服務模式轉型會使得業(yè)務需求更具多樣化，系統(tǒng)升級擴容將更加頻繁，容易產(chǎn)生人為操作錯誤的問題，且不易維護信息中心一卡通員工報銷檔案管理統(tǒng)一支撐管理平臺測試系統(tǒng)系統(tǒng)仿真平臺大數(shù)據(jù)平臺天氣預報平臺3信息化建設起步較早，但當前并行存在多套具有各自架構特點的平臺

4、，孤島式建設導致資源不能重用，阻礙信息和業(yè)務的進一步深度集成和共享。應用系統(tǒng)現(xiàn)狀三地四中心現(xiàn)狀廣州數(shù)據(jù)中心重慶數(shù)據(jù)中心北京數(shù)據(jù)中心北京數(shù)據(jù)中心四個中心沒有規(guī)劃災備體系，數(shù)據(jù)中心沒有明確的職能劃分；數(shù)據(jù)中心之間的鏈路大多是單線，存在單點故障；數(shù)據(jù)中心之間的鏈路帶寬也已經(jīng)不能滿足現(xiàn)有業(yè)務發(fā)展需求；現(xiàn)有北京、廣州、重慶三地四個中心機房，為異地容災提供了基礎；數(shù)據(jù)中心之間專線連接，鏈路質量有保障；大部分應用本地化部署；值得肯定的是需要注意的是4中國的網(wǎng)絡總體現(xiàn)狀信息內網(wǎng)承載全院用戶訪問自建業(yè)務系統(tǒng)和統(tǒng)推業(yè)務系統(tǒng)的內網(wǎng)流量；信息外網(wǎng)承載全院用戶訪問Inerent及對公網(wǎng)用戶提供服務的流量；信息內網(wǎng)和信息

5、外網(wǎng)的網(wǎng)絡拓撲都采用星型，全網(wǎng)都采用靜態(tài)路由實現(xiàn)互通。5網(wǎng)絡分為信息內網(wǎng)和信息外網(wǎng)，信息內網(wǎng)與信息外網(wǎng)之間物理隔離，通過網(wǎng)閘進數(shù)據(jù)擺渡。目前網(wǎng)絡運行基本正常，但隨著IT環(huán)境的日益復雜，規(guī)模日益增長，網(wǎng)絡系統(tǒng)局部存在問題仍有待改善。設備、鏈路、服務器接入有較多的單點，缺少冗余，可用性不高；網(wǎng)絡架構層次不清晰，數(shù)據(jù)中心和辦公網(wǎng)未有效隔離，數(shù)據(jù)中心沒有進行功能區(qū)域劃分；二層廣播域跨越雙中心，出現(xiàn)廣播風暴會導致整網(wǎng)不可用；數(shù)據(jù)中心沒有進行功能區(qū)域劃分，缺少統(tǒng)一的安全策略；安全防護手段比較單一，缺乏安全縱深；網(wǎng)絡設備配置存在安全薄弱環(huán)節(jié)，業(yè)務流量的監(jiān)控和分析手段不足；大數(shù)據(jù)相關業(yè)務的網(wǎng)絡都為千兆，存在帶

6、寬瓶頸；帶外管理網(wǎng)不完備，運維管理效率不高；網(wǎng)絡基礎服務沒有統(tǒng)一的管理（DHCP、DNS、NTP等） 關鍵節(jié)點的設備和鏈路（核心、南京院區(qū)、武漢院區(qū)） 采用冗余部署，具備一定的可用性；在網(wǎng)絡出口部署防火墻對信息內網(wǎng)進行整體安全防護，專門的DMZ區(qū)對外提供服務，并部署WAF進行WEB安全防護；安全性性能可用性信息內網(wǎng)現(xiàn)狀可用性安全性可管理值得肯定的是需要注意的是設備、鏈路、服務器接入有較多的單點，缺少冗余，可用性不高；網(wǎng)絡架構層次不清晰，數(shù)據(jù)中心和辦公網(wǎng)未有效隔離，數(shù)據(jù)中心沒有進行功能區(qū)域劃分；二層廣播域跨越雙中心，出現(xiàn)廣播風暴會導致整網(wǎng)不可用；數(shù)據(jù)中心沒有進行功能區(qū)域劃分，缺少統(tǒng)一的安全策略；

7、安全防護手段比較單一，缺乏安全縱深；網(wǎng)絡設備配置存在安全薄弱環(huán)節(jié)，業(yè)務流量的監(jiān)控和分析手段不足；帶外管理網(wǎng)不完備，運維管理效率不高；網(wǎng)絡基礎服務沒有統(tǒng)一的管理（DHCP、DNS、NTP等）。 關鍵節(jié)點的設備和鏈路（核心、南京院區(qū)、武漢院區(qū)） 采用冗余部署，有線側Intenet出口雙鏈路，通過LB進行負 載均衡，具備一定的可用性；有線用戶網(wǎng)絡出口部署了防火墻和IDS設備，對信息外網(wǎng)進行整體安全防護，通過專門的DMZ區(qū)對外提供服務，無線用戶側部署了上網(wǎng)行為管理和防火墻；安全性可用性可用性安全性可管理信息外網(wǎng)現(xiàn)狀值得肯定的是需要注意的是大部分服務器采用開放的x86架構，具有標準化的基礎；逐步將服務器

8、集中管理，由信息中心統(tǒng)一運維和規(guī)劃，并且逐步采用虛擬化的方式提供IT基礎服務，避免了豎井式建設的資源浪費；用于虛擬化的服務器采用同一品牌和型號，便于管理和虛擬化平臺的調度；大部分服務器服務年限過長，已經(jīng)過保，存在嚴重的隱患；服務器CPU平均利用率為20.2%，內存平均利用率為40.2%，整體偏低；大部分服務器只配置了單網(wǎng)卡，存在鏈路單點問題；大部分服務器部署了一張網(wǎng)絡平面，隨著業(yè)務的發(fā)展和架構的演進，該網(wǎng)絡平面將要同時承載業(yè)務、管理和存儲三種類型的流量，將會相互影響和沖突；沒有根據(jù)服務器承載的業(yè)務或者功能進行有效的劃分；820.2% & 60%40.2% & 73%平均利用率&峰值利用率平均利

9、用率&峰值利用率小型機1臺X86服務器488臺刀片服務器240臺729臺值得肯定的是需要注意的是8服務器現(xiàn)狀已有的15套FC SAN存儲IOPS指標較高，采用的多控制器架構支持高可用性，可良好的滿足已有業(yè)務的運行。san存儲作為共享存儲和虛擬化平臺結合，為當前喝多單機部署的業(yè)務提供了高可用性。未建立完整的存儲分層架構設計，全部采用FC存儲，存儲成本很高。無完善的統(tǒng)一存儲網(wǎng)絡導致san孤島現(xiàn)狀，影響存儲資源池的建設。業(yè)務和服務的RTO和RPO數(shù)值不明確，數(shù)據(jù)也未采用任何容災備份架構或本地高可用架構，數(shù)據(jù)安全性較低。由于無存儲監(jiān)控軟件，當前存儲的運維復雜度較高，依靠人工每天定時三次登陸存儲設備意義

10、排查。虛擬化集群虛擬化集群單機業(yè)務(約80%)集群業(yè)務(極少)FC存儲FC存儲FC存儲存儲設備15套，機房8套、機房7套用于虛擬化的存儲6套，均為FC存儲值得肯定的是需要注意的是9存儲現(xiàn)狀Web服務器文件服務器郵件服務器認證服務器OA服務器ERP服務器CRM服務器DNS服務器DB服務器將多臺虛擬機部署到同一個服務器上虛擬化管理程序提高服務器資源利用率降低硬件投資成本節(jié)省機房使用空間節(jié)能降耗業(yè)務快速統(tǒng)一部署提高運維效率10%10%10%10%20%10%35%10%Hypervisor（VMM：Virtual Machine Monitor）虛擬機操作系統(tǒng)業(yè)務系統(tǒng)硬件（CPU、內存、硬盤、網(wǎng)卡、

11、USB、串口、）虛擬機操作系統(tǒng)業(yè)務系統(tǒng)虛擬機操作系統(tǒng)業(yè)務系統(tǒng)目前采用華為虛擬化平臺構建計算資源池，在提高了資源利用率，節(jié)能減排、業(yè)務快速部署上取得了明顯的效果；正逐步將業(yè)務系統(tǒng)遷移至虛擬化平臺上，完成了部分業(yè)務的云化工作；集群規(guī)模不統(tǒng)一，有3臺一個集群，6臺一個集群，且未進行規(guī)劃，未來擴展不方便；劃分的存儲LUN也不統(tǒng)一，3T10幾T不等，LUN的命名也不規(guī)范；資源嚴重超配，已經(jīng)超過集群規(guī)模的150%，集群已無法正常啟動HA機制；對于是否適合虛擬化未進行嚴格的評估，大數(shù)據(jù)部署在虛擬化平臺上，資源爭用嚴重；虛擬化管理平臺單機部署，存在單點故障；值得肯定的是需要注意的是虛擬化現(xiàn)狀10目前沿用傳統(tǒng)安

12、全組織架構。由領導層擔任信息安全決策層，由信息中心擔任知悉層，各部門和其他院所配有安全專職。組織架構清晰，職責分工明確；有比較完善的ISO 27001三級文檔；部署有部門安全產(chǎn)品，對云平臺起一定的安全防護作用。信息中心負責的信息安全執(zhí)行，在人員配備上存在不足；缺失云安全相關的安全制度；網(wǎng)絡安全、主機安全、應用安全和數(shù)據(jù)安全的防護能力不足，在現(xiàn)網(wǎng)中缺失安全技術點，存在安全產(chǎn)品配置不合理的情況。值得肯定的是需要注意的是整體上信息安全處于“1-初始級”和“可重復級”之間。11安全現(xiàn)狀運維現(xiàn)狀值得肯定的是需要注意的是運維缺乏統(tǒng)一規(guī)劃，建設完成后轉維困難；目前運維工作主以被動響應為主，缺乏主動防范；監(jiān)控

13、系統(tǒng)僅覆蓋了網(wǎng)絡，云平臺、應用的監(jiān)控尚在測試中；SLA尚未發(fā)布，無法對各院所提供明確的SLA承諾，缺乏提供云服務的基本條件；缺乏專業(yè)的運維工具來支撐，運維工作的進度及效果很難得到管控，工單系統(tǒng)目前處于測試階段，尚不能支撐，目前通過紙件、郵件、電話方式來處理日常運維工作的流轉；運維人員配備和知識結構有待改進；運維流程不夠全面，需要結合云運維來補充和完善。院領導已對運維管理的規(guī)劃性和流程體系的建設非常重視，并希望通過此項目在運維體系建設方面有所成果。目前已具備有服務請求、問題、變更等流程，并正在使用中，相關流程的配套文檔也在逐步完善12建設先進，滿足未來35年信息化發(fā)現(xiàn)需求的基礎架構；各單位臨時性

14、開發(fā)測試環(huán)境的需求較為頻繁，軟硬件采購的周期又較長，迫切需要一個平臺能夠快捷地提供IT基礎環(huán)境。云計算技術能夠通過虛擬化和智能資源調度有效提高資源利用率，同時降低能耗，同時可以靈活地進行擴展需要建立統(tǒng)一的運維模式，分擔各研究所面臨的信息運維工作壓力，能夠將更多人力資源投入到科研工作中。為全院各單位提供統(tǒng)一的軟件開發(fā)、測試、仿真調試、培訓環(huán)境；未來可以統(tǒng)一開展專業(yè)運維，實現(xiàn)計算資源的快速分配；同時有助于統(tǒng)籌全院的IT基礎設施建設與管理。過技術手段消除業(yè)務運行單點隱患，統(tǒng)一數(shù)據(jù)管理，統(tǒng)一安全策略。建立容災體系架構先進和便捷節(jié)約投資和彈性擴展提升業(yè)務可靠性和數(shù)據(jù)安全性統(tǒng)一運維提供專業(yè)化服務需求分析總

15、結：云計算是IT技術改造的首選13多中心建設需求滿足數(shù)據(jù)中心容災建設分布式云數(shù)據(jù)中心14滿足同城雙活異地容災的云計算數(shù)據(jù)中心的規(guī)劃設計，不同中心的資源池統(tǒng)一管理，構建私有云高可用性安全性可管理性靈活性可擴展性性能建設三地四中心，業(yè)務上實現(xiàn)北京同城雙活，單個數(shù)據(jù)中心可以支持關鍵業(yè)務，保證業(yè)務連續(xù)性；各院所訪問數(shù)據(jù)中心不存在單點故障，能靈活切換；網(wǎng)絡架構松耦合，故障域能有效隔離，無單點故障；網(wǎng)絡基礎服務（DNS、NTP等）統(tǒng)一規(guī)劃，保證可用性；根據(jù)業(yè)務系統(tǒng)的重要性、關聯(lián)性進行分區(qū)分域，滿足等級保護的相關要求；開發(fā)測試（包括各院所的實驗室網(wǎng)絡環(huán)境）與生產(chǎn)業(yè)務隔離；有流量監(jiān)控手段，能對網(wǎng)絡流量可視、可

16、控、可管，提高安全事件的判斷和響應時間；云平臺能實現(xiàn)所有數(shù)據(jù)中心的網(wǎng)絡納管，實現(xiàn)自動化，簡化管理，降低部署和維護成本；有日志管理系統(tǒng)，滿足行業(yè)監(jiān)管要求及日常運維的需求；有安全策略管理平臺，能對全網(wǎng)的安全策略進行統(tǒng)一的管理；健全管理網(wǎng)，提升運維管理效率；網(wǎng)絡基礎架構具備彈性的，資源靈活分配的，可擴展的特性，以滿足未來業(yè)務擴張和靈活部署的需求，能哆實現(xiàn)網(wǎng)絡部署自動化，且需考慮后續(xù)業(yè)務在不同數(shù)據(jù)中心之間遷移的需求；能對訪問多個數(shù)據(jù)中心的院區(qū)用戶流量進行靈活的控制和調度；不同類型的流量盡時分離，避免帶寬爭用；網(wǎng)絡帶寬和收斂比需要滿足大數(shù)據(jù)、仿真平臺和Server San等對帶寬、時延的要求，但也要考慮

17、到現(xiàn)網(wǎng)的實際情況，充分利舊，保護投資成本；同城雙中心的業(yè)務互訪流量較大，需要考慮高帶寬，并方便帶寬擴容；網(wǎng)絡基礎架構要能適應的業(yè)務發(fā)展，能夠方便實現(xiàn)橫向擴展和縱向擴展；部分業(yè)務系統(tǒng)可能會跨數(shù)據(jù)中心進行部署，要求提供不受物理位置限制的接入網(wǎng)絡；網(wǎng)絡建設需求15提高IT基礎設施的整體運維效率和質量，實現(xiàn)自動化和可視化運維基礎設施資源池化，實現(xiàn)資源的彈性調度，提高資源利用率縮短業(yè)務系統(tǒng)上線周期，適應業(yè)務快速發(fā)展需求16IT基礎設施建設需求構建云操作系統(tǒng)，云業(yè)務統(tǒng)一入口&一切即服務審核與通知自助服務門戶自動化部署與服務交付配置部署電子流申請監(jiān)控操作虛擬機生命周期管理操作與性能監(jiān)控管理應用系統(tǒng)電子流引擎

18、電子流引擎資源配置虛擬機配置與模板管理數(shù)據(jù)保護與業(yè)務連續(xù)性管理組織管理員終端用戶物理&虛擬存儲物理&虛擬網(wǎng)絡物理&虛擬計算虛擬化管理17云運營建設需求數(shù)據(jù)備份彈性計算可靠計算各應用系統(tǒng)除對基礎資源快速申請以外，主要訴求如下：數(shù)據(jù)備份：希望通過統(tǒng)一的備份方案對重要數(shù)據(jù)進行備份和恢復，加強數(shù)據(jù)安全管理；可靠計算：通過云平臺的高可靠機制，消除應用系統(tǒng)的單點故障，為計算資源賦予高可靠性機制，需考慮虛擬機HA、應用HA、FT等容錯和數(shù)據(jù)保護機制；彈性計算：一些科研系統(tǒng)計算資源存在峰谷現(xiàn)象，平時資源閑置，忙時又沒有足夠的資源，嚴重制約科研進展，計算資源池應具有彈性伸縮/擴展和自動均衡計算容量的功能 如DR

19、S（Dynamic Resource Scheduler，動態(tài)資源調度）或DRX（ Dynamic Resource extensions，動態(tài)資源擴展）等計算特性；18應用系統(tǒng)對云計算的需求異構品牌和類型存儲設備存儲池存儲卷存儲卷存儲卷存儲卷操作系統(tǒng)DB操作系統(tǒng)應用程序操作系統(tǒng)DBFC SANFC SANServer SANServer SANIP NetworkFC Network存儲資源池需考慮以下需求：分布式存儲建設：分布式存儲經(jīng)濟、高可用、近線性擴展，構建分布式存儲資源池，降低存儲整體使用成本；統(tǒng)一FC存儲網(wǎng)：將現(xiàn)有各獨立的FC存儲打通，構建FC存儲網(wǎng)絡，提升FC存儲的共享和擴展性；充分共享：形成存儲資源池，不僅僅用于云計算，而是滿足全院各業(yè)務系統(tǒng)對存儲的需求；操作系統(tǒng)業(yè)務系統(tǒng)操作系統(tǒng)業(yè)務系統(tǒng)操作系統(tǒng)業(yè)務系統(tǒng)19存儲建設需求公安部在傳統(tǒng)的安全要求上加入了對云平臺的安全要求對云平臺安全特別關注點