【智慧校園】-銳捷網(wǎng)絡(luò)-某教育局教育云數(shù)據(jù)中心建設(shè)解決方案

XXX教育局教育云數(shù)據(jù)中心建設(shè)解決方案銳捷網(wǎng)絡(luò)股份有限公司

目錄TOC\o"1-4"\h\z\u一、項(xiàng)目概述 51、項(xiàng)目建設(shè)背景 52、項(xiàng)目建設(shè)必要性 63、主要問題與挑戰(zhàn) 73.1普教信息化建設(shè)存在的問題 73.2普教云平臺建設(shè)面臨的挑戰(zhàn) 84、項(xiàng)目總體建設(shè)目標(biāo) 9二、項(xiàng)目需求分析 101、數(shù)據(jù)中心特點(diǎn)分析 102、組網(wǎng)需求分析 113、平安需求分析 134、運(yùn)維管理需求分析 14三、建設(shè)思路及原則 15四、解決方案總體說明 161、方案總體說明 162、方案整體框架 173、方案整體架構(gòu) 184、方案整體設(shè)計(jì) 19五、解決方案具體設(shè)計(jì) 211、云計(jì)算平臺設(shè)計(jì) 211.1整體架構(gòu)設(shè)計(jì) 211.2超融合架構(gòu)方案 221.3解決方案價(jià)值 251.4SQL數(shù)據(jù)庫支撐設(shè)計(jì) 282、云網(wǎng)絡(luò)平臺設(shè)計(jì) 302.1整體架構(gòu)設(shè)計(jì) 302.2網(wǎng)絡(luò)分區(qū)設(shè)計(jì) 312.3核心層設(shè)計(jì) 332.4接入層設(shè)計(jì) 342.5虛機(jī)感知與策略遷移 353、云平安平臺設(shè)計(jì) 373.1數(shù)據(jù)中心平安概述 373.2平安威逼及措施 383.3數(shù)據(jù)中心平安設(shè)計(jì) 413.3.1防火墻平安分區(qū) 443.3.2關(guān)鍵路徑進(jìn)行入侵防守 443.3.3Web應(yīng)用平安防護(hù) 453.3.4網(wǎng)絡(luò)與數(shù)據(jù)庫平安審計(jì) 463.4.5運(yùn)維審計(jì)堡壘機(jī) 473.4平安域規(guī)劃設(shè)計(jì) 473.4.1平安域總體架構(gòu) 483.4.2平安域規(guī)劃設(shè)計(jì) 483.5數(shù)據(jù)中心服務(wù)器平安措施 494、統(tǒng)一運(yùn)維平臺設(shè)計(jì) 504.1統(tǒng)一運(yùn)維建設(shè)概述 504.2統(tǒng)一運(yùn)維建設(shè)目標(biāo) 514.3統(tǒng)一運(yùn)維方案設(shè)計(jì) 524.3.1網(wǎng)絡(luò)管理功能設(shè)計(jì) 524.3.2機(jī)房業(yè)務(wù)系統(tǒng)和應(yīng)用管理功能設(shè)計(jì) 524.3.3故障處理和運(yùn)維流程設(shè)計(jì) 57

一、項(xiàng)目概述隨著物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)等技術(shù)的快速進(jìn)展，不斷刺激著教育行業(yè)對資源開放、互動學(xué)習(xí)、學(xué)習(xí)分析等的迫切需求，“互聯(lián)網(wǎng)+教育”帶來了新的教育信息化進(jìn)展需求，智慧教育成為教育信息化進(jìn)展的新趨勢。隨著教育模式的改革和新技術(shù)的不斷涌現(xiàn)，信息化教學(xué)的應(yīng)用不斷拓展和深化，教學(xué)資源不斷豐富，教育信息化在促進(jìn)教育公平、提高教育質(zhì)量、創(chuàng)新教育模式領(lǐng)域的支撐和帶動作用初步顯現(xiàn)。近年來，云計(jì)算因具備資源按需安排、平安可控、數(shù)據(jù)牢靠、節(jié)省成本、提高資源利用率、統(tǒng)一管理、系統(tǒng)冗余等多種特性，在各行業(yè)的應(yīng)用越來越廣泛，通過越來越廣泛的網(wǎng)絡(luò)掩蓋，云計(jì)算服務(wù)的隨時(shí)隨地交付變?yōu)榭赡?。基于教育云的信息化系統(tǒng)建設(shè)，為提升學(xué)校教育和社會教育服務(wù)水平供應(yīng)有效支撐，建立區(qū)域云數(shù)據(jù)中心將有效實(shí)現(xiàn)資源整合與優(yōu)化利用，促進(jìn)教育資源均衡、教育管理協(xié)同、教育模式創(chuàng)新，云服務(wù)體系使教育信息化建設(shè)提升到一個(gè)全新的層面。1、項(xiàng)目建設(shè)背景教育資源公共服務(wù)平臺建設(shè)是“十三五”期間的教育信息化建設(shè)的核心任務(wù)，是“三通兩平臺”的重點(diǎn)內(nèi)容之一。XXX教育局信息化建設(shè)經(jīng)過一系列的重大工程建設(shè)，目前取得了較大的成就：建成了XX教育科研網(wǎng)，各級各類學(xué)校不同程度地建有校園網(wǎng)并以多種方式接入XX教育科研網(wǎng)和互聯(lián)網(wǎng)，面對全市的教育信息基礎(chǔ)設(shè)施體系基本形成。但由于各區(qū)縣教育局?jǐn)?shù)據(jù)中心建設(shè)尚不完善或暫許多據(jù)中心，各地教育局信息化水平參差不齊，難以真正實(shí)現(xiàn)區(qū)域內(nèi)的資源整合、資源共享及協(xié)同辦公。XXX其他內(nèi)容請自行補(bǔ)充當(dāng)前教育信息化的需求正在從分散的自建方式向集中的區(qū)域化統(tǒng)建共建方式轉(zhuǎn)型、從基礎(chǔ)的業(yè)務(wù)支撐向區(qū)域化的頂層管理提升、從基本的電子化向高度的智慧能力提速。2、項(xiàng)目建設(shè)必要性有明確的指導(dǎo)思想和建設(shè)目標(biāo)《教育信息化十年進(jìn)展規(guī)劃(2011-2020年)》明確提出：“充分整合現(xiàn)有資源，采用云計(jì)算技術(shù)，形成資源配置與服務(wù)的集約化進(jìn)展途徑，構(gòu)建穩(wěn)定牢靠、低成本的國家教育云服務(wù)模式。面對全國各級各類學(xué)校和教育機(jī)構(gòu)，供應(yīng)公共存儲、計(jì)算、共享帶寬、平安認(rèn)證及各種支撐工具等通用基礎(chǔ)服務(wù)，支撐優(yōu)質(zhì)資源全國共享和教育管理信息化?！苯逃哭k公廳關(guān)于征求對《關(guān)于“十三五”期間全面深化推動教育信息化工作的指導(dǎo)意見》明確提出：“要從用戶需求出發(fā)，樂觀利用云計(jì)算、大數(shù)據(jù)等新技術(shù)，創(chuàng)新管理平臺、資源平臺的建設(shè)、應(yīng)用模式”、“各地要依據(jù)信息化教學(xué)實(shí)際需求，加快推動資源服務(wù)平臺建設(shè)，鼓舞企業(yè)依據(jù)國家規(guī)定與學(xué)校需求建設(shè)資源服務(wù)平臺，最終形成掩蓋全國、多級分布、互聯(lián)互通的數(shù)字教育資源云服務(wù)體系”、“加快探究數(shù)字教育資源服務(wù)供應(yīng)模式，有效提升數(shù)字教育資源服務(wù)水平”。教育部辦公廳關(guān)于印發(fā)《2016年教育信息化工作要點(diǎn)》中也明確提出：“完善教育資源云服務(wù)體系，提升資源服務(wù)能力”、“統(tǒng)籌推動教育資源公共服務(wù)平臺建設(shè)”。力爭實(shí)現(xiàn)四個(gè)新突破，即教育信息化基礎(chǔ)設(shè)施建設(shè)新突破、優(yōu)質(zhì)數(shù)字教育資源共建共享新突破、信息技術(shù)與教育教學(xué)深度融合新突破、教育信息化科學(xué)進(jìn)展機(jī)制新突破。3、主要問題與挑戰(zhàn)3.1普教信息化建設(shè)存在的問題整體資源建設(shè)初具規(guī)模，但往往分布在各個(gè)學(xué)校內(nèi)部，共建共享機(jī)制尚未實(shí)現(xiàn)，資源分布不均衡；針對單個(gè)業(yè)務(wù)系統(tǒng)實(shí)現(xiàn)信息化較強(qiáng)，但多業(yè)務(wù)拉通環(huán)節(jié)尚未實(shí)現(xiàn)，信息孤島問題突出；中小學(xué)的信息化硬件設(shè)施、寬帶網(wǎng)絡(luò)接入有持續(xù)投入，但存在重硬輕軟，重復(fù)建設(shè)的問題。同時(shí)對中小學(xué)老師的管理能力要求太高，又缺乏體制保障，實(shí)際使用效果有所折扣；投資成本高，運(yùn)行效率低：中小學(xué)數(shù)字校園建設(shè)按項(xiàng)目獨(dú)立建設(shè)應(yīng)用，而不是統(tǒng)一規(guī)劃。每個(gè)新上線的應(yīng)用都需要采購新的服務(wù)器，學(xué)校擁有的X86服務(wù)器的數(shù)量每年都在以驚人的數(shù)量增加，與之形成鮮亮對比的是服務(wù)器的利用率卻很低（平均利用率只有在5％－10％），并且每臺服務(wù)器都產(chǎn)生高額成本，包括購置硬件、系統(tǒng)軟件、網(wǎng)絡(luò)連接與存儲等，同時(shí)管理成本也隨之上升。架構(gòu)缺乏機(jī)敏性，響應(yīng)速度慢：傳統(tǒng)IT架構(gòu)缺乏機(jī)敏性，對業(yè)務(wù)需求響應(yīng)速度慢，配置和部署非常簡潔。每個(gè)應(yīng)用系統(tǒng)使用獨(dú)立的硬件環(huán)境，當(dāng)硬件發(fā)生故障時(shí)，無法利用其它服務(wù)器的空閑資源。新業(yè)務(wù)上線和現(xiàn)有業(yè)務(wù)擴(kuò)容的工作量非常大，常常需要涉及到計(jì)算、存儲、網(wǎng)絡(luò)等環(huán)境的重新設(shè)計(jì)和配置。數(shù)據(jù)中心的工作效率低，響應(yīng)速度慢，而成本卻不斷上升。維護(hù)成本和設(shè)備管理的壓力非常大：中小型的教育行業(yè)用戶IT管理人員缺乏，通常沒有專業(yè)的運(yùn)維人員，許多情況下是由老師兼職管理的，非專業(yè)運(yùn)維人員對于處理突發(fā)的系統(tǒng)故障能力欠缺，尤其是對于底層基礎(chǔ)設(shè)施的維護(hù)能力不足。3.2普教云平臺建設(shè)面臨的挑戰(zhàn)資源整合與優(yōu)化利用是教育信息化進(jìn)展亟需解決的首要問題，而云數(shù)據(jù)中心建設(shè)是有效解決這一問題的關(guān)鍵舉措。如何結(jié)合行業(yè)用戶實(shí)際需求，構(gòu)建適合普教應(yīng)用的區(qū)域云數(shù)據(jù)中心是教育信息化建設(shè)的核心焦點(diǎn)。對普教用戶而言，云數(shù)據(jù)中心的高技術(shù)性和簡潔性以及資金壓力、管理壓力都是需要關(guān)注和解決的重點(diǎn)，對于普教云數(shù)據(jù)中心建設(shè)來講，主要存在以下幾個(gè)方面的挑戰(zhàn)：挑戰(zhàn)一：建設(shè)成本與運(yùn)行成本壓力。項(xiàng)目資金有限，對高牢靠、高可用、虛擬化、自動化、高平安等的綜合考慮使得云數(shù)據(jù)中心前期基礎(chǔ)設(shè)施建設(shè)投入高，導(dǎo)致信息化建設(shè)被動重硬輕軟、軟硬件資源建設(shè)不均衡；其次是運(yùn)行成本高，數(shù)據(jù)中心節(jié)點(diǎn)設(shè)備眾多，面臨用電和散熱帶來的高能耗開支，及不斷增加運(yùn)維開支。挑戰(zhàn)二：系統(tǒng)簡潔度高，運(yùn)維管理不易。虛擬化使得IT系統(tǒng)簡潔度成倍增加，帶來了運(yùn)維簡潔性，對管理人員技術(shù)要求高，運(yùn)維管理壓力大。挑戰(zhàn)三：計(jì)算虛擬化增加了平安防護(hù)部署與管理的簡潔度，云平安足于邏輯邊界而非物理邊界，使得對使用者身份、權(quán)限和行為的鑒別、把握與審計(jì)變得更加困難。挑戰(zhàn)四：業(yè)務(wù)應(yīng)用開展難以監(jiān)測與督導(dǎo)。教育局難以把握業(yè)務(wù)應(yīng)用開展情況，無法把握各學(xué)校對教學(xué)資源的使用狀況與業(yè)務(wù)訪問體驗(yàn)，相比對設(shè)備的運(yùn)維管理，用戶更關(guān)心當(dāng)前建設(shè)應(yīng)用成果呈現(xiàn)。挑戰(zhàn)五：建設(shè)方案技術(shù)封閉或半封閉，后續(xù)擴(kuò)容被限制，異構(gòu)整合成本高。4、項(xiàng)目總體建設(shè)目標(biāo)以實(shí)現(xiàn)“三通兩平臺”落地為目標(biāo)，建設(shè)區(qū)域教育云。通過科學(xué)設(shè)計(jì)和整體規(guī)劃，建設(shè)數(shù)據(jù)集中、系統(tǒng)集成的應(yīng)用環(huán)境，整合各類教育信息資源和信息化基礎(chǔ)設(shè)施，實(shí)現(xiàn)信息整合、業(yè)務(wù)聚合、服務(wù)融合的教育云平臺，為各級各類學(xué)校供應(yīng)IT資源的云服務(wù)，促進(jìn)教育業(yè)務(wù)部門的業(yè)務(wù)協(xié)同，提高教育局的信息化服務(wù)能力、服務(wù)效率與服務(wù)質(zhì)量。通過區(qū)域云平臺建設(shè)，最終來實(shí)現(xiàn)以下五個(gè)目標(biāo)：(1)區(qū)域智慧教育云基礎(chǔ)環(huán)境建設(shè)構(gòu)建系統(tǒng)架構(gòu)科學(xué)合理、開放互聯(lián)的智慧教育云平臺基礎(chǔ)軟硬件支撐平臺和信息化網(wǎng)絡(luò)環(huán)境，建設(shè)豐富多樣的教育應(yīng)用和資源中心，拓展學(xué)習(xí)空間人人通，統(tǒng)一數(shù)據(jù)服務(wù)和業(yè)務(wù)運(yùn)行。(2)智慧管理通過對大數(shù)據(jù)的采集和分析，對各種教育動態(tài)隨時(shí)處理，實(shí)現(xiàn)智能決策、可視化管控、平安預(yù)警等。建成多級管理和行政辦公系統(tǒng)，使教育管理優(yōu)質(zhì)高效，科學(xué)決策。(3)智慧學(xué)習(xí)利用有線、無線網(wǎng)絡(luò)及教學(xué)資源、網(wǎng)絡(luò)課程中心和互動教學(xué)平臺為學(xué)生供應(yīng)泛在學(xué)習(xí)條件，利用智能學(xué)習(xí)系統(tǒng)監(jiān)測學(xué)生的學(xué)習(xí)情況，科學(xué)評價(jià)，依據(jù)學(xué)生情況推送學(xué)習(xí)資源。提高學(xué)生能力的同時(shí)提升學(xué)生的學(xué)習(xí)興趣，減輕課業(yè)負(fù)擔(dān)，促進(jìn)學(xué)生健康、歡樂、幸福的成長。(4)智慧教研建設(shè)智能化的網(wǎng)上教研環(huán)境，通過對老師需求的分析，主動推送教學(xué)資源，支持協(xié)作、共享、創(chuàng)新，老師可隨時(shí)隨地與專家和同行交流，充分發(fā)揮名師和骨干老師的引領(lǐng)示范作用，快速提升老師專業(yè)水平，提高教學(xué)有效性。(5)智慧服務(wù)供應(yīng)全面的教育評價(jià)和質(zhì)量監(jiān)測結(jié)果，并有選擇地向教育行政、學(xué)校、老師、學(xué)生、家長供應(yīng)，用于改進(jìn)教學(xué)和學(xué)習(xí);做好有關(guān)教育信息發(fā)布及推送服務(wù)，使家長準(zhǔn)時(shí)了解學(xué)生在學(xué)校中的情況，使公眾便利獲得所關(guān)注的教育信息。XXX其他內(nèi)容請自行補(bǔ)充二、項(xiàng)目需求分析1、數(shù)據(jù)中心特點(diǎn)分析1）大并發(fā)訪問量特點(diǎn)數(shù)據(jù)中心實(shí)現(xiàn)了業(yè)務(wù)和數(shù)據(jù)的大集中，因此對于用戶而言其全部的業(yè)務(wù)都要通過遠(yuǎn)程訪問數(shù)據(jù)中心的資源，這就使得數(shù)據(jù)中心往往面對眾多的遠(yuǎn)程訪問請求。在訪問高峰期各個(gè)分支節(jié)點(diǎn)及遠(yuǎn)程接入人員的業(yè)務(wù)互動都要通過調(diào)用數(shù)據(jù)中心的資源來完成，高并發(fā)請求一方面使得數(shù)據(jù)中心的出口流量高、另一方面也使得數(shù)據(jù)中心對業(yè)務(wù)的處理能力要求高。2）高開放性特點(diǎn)數(shù)據(jù)中心應(yīng)用包括了對內(nèi)部的業(yè)務(wù)支撐、對協(xié)同單位和關(guān)聯(lián)業(yè)務(wù)的數(shù)據(jù)交互和公共信息服務(wù)，需要接入分支機(jī)構(gòu)、業(yè)務(wù)關(guān)聯(lián)單位網(wǎng)絡(luò)以及開發(fā)的互聯(lián)網(wǎng)，使得數(shù)據(jù)中心具有開放性的特點(diǎn)，而數(shù)據(jù)中心的業(yè)務(wù)決定了其只能接受特定來源的特定訪問，因此數(shù)據(jù)中心的開放性導(dǎo)致其信息平安風(fēng)險(xiǎn)很高，使得數(shù)據(jù)中心對信息平安的高要求成為必定。3）多業(yè)務(wù)并存的特點(diǎn)數(shù)據(jù)中心是基于業(yè)務(wù)大集中模式建設(shè)的，因此數(shù)據(jù)中心先天具有多業(yè)務(wù)并存的特點(diǎn)，由于不同業(yè)務(wù)的重要性不同，因此在資源安排上有級差性，即不同業(yè)務(wù)需要安排不同的資源來保障，這種資源包括服務(wù)器資源、網(wǎng)絡(luò)平安資源、數(shù)據(jù)存儲資源及鏈路帶寬資源。4）不確定的訪問來源由于數(shù)據(jù)中心會有部分業(yè)務(wù)面對業(yè)務(wù)關(guān)聯(lián)單位和公共用戶開放，因而對于訪問來源的接入把握、訪問管理和行為審計(jì)成為數(shù)據(jù)中心建設(shè)必需要重點(diǎn)考慮的方面。另外，在信息化時(shí)代，如何防范和抵御競爭對手針對信息機(jī)密的網(wǎng)絡(luò)入侵、信息盜取、惡意攻擊與破壞，也是信息化建設(shè)所必不能少的考慮。2、組網(wǎng)需求分析1）高性能、大流量數(shù)據(jù)能力數(shù)據(jù)中心應(yīng)用的一個(gè)業(yè)務(wù)特點(diǎn)是大流量的數(shù)據(jù)下載和業(yè)務(wù)查詢，因此要求網(wǎng)絡(luò)平臺必需具備高性能的數(shù)據(jù)處理能力和大流量的數(shù)據(jù)緩沖能力，確保網(wǎng)絡(luò)性能不能成為業(yè)務(wù)的瓶頸。數(shù)據(jù)中心的大流量突發(fā)傳輸業(yè)務(wù)特性，對基礎(chǔ)網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表項(xiàng)、吞吐能力、突發(fā)流量吸取提出了苛刻的要求。同時(shí)虛擬服務(wù)器產(chǎn)生了不可預(yù)期的流量模型，特別?????是如虛擬服務(wù)器遷移、數(shù)據(jù)同步、數(shù)據(jù)備份等帶來的突發(fā)性流量，因此網(wǎng)絡(luò)平臺需要能夠支撐大型突發(fā)流量以及持續(xù)的無損耗無阻塞數(shù)據(jù)轉(zhuǎn)發(fā)2）低延時(shí)、網(wǎng)絡(luò)時(shí)效性強(qiáng)數(shù)據(jù)中心應(yīng)用的另一個(gè)業(yè)務(wù)特點(diǎn)是網(wǎng)絡(luò)時(shí)效性強(qiáng)，特別?????是在集中時(shí)段、多業(yè)務(wù)并行服務(wù)時(shí)要具有服務(wù)響應(yīng)的低延時(shí)，充分保障業(yè)務(wù)系統(tǒng)對用戶訪問的服務(wù)質(zhì)量，因此要求網(wǎng)絡(luò)平臺要保障低延時(shí)，保證用戶訪問的快速刷新與結(jié)果反饋，確保業(yè)務(wù)的實(shí)時(shí)高效。3）高牢靠、高可用因?yàn)闃I(yè)務(wù)和數(shù)據(jù)的大集中部署，數(shù)據(jù)中心網(wǎng)絡(luò)的第三個(gè)業(yè)務(wù)特點(diǎn)是高牢靠、高可用，所以網(wǎng)絡(luò)平臺的穩(wěn)定牢靠是實(shí)現(xiàn)業(yè)務(wù)支撐的基礎(chǔ)，要保障業(yè)務(wù)數(shù)據(jù)在傳輸?shù)倪^程中不能毀滅因網(wǎng)絡(luò)故障毀滅中斷，滿意7×24小時(shí)連續(xù)運(yùn)行的要求。網(wǎng)絡(luò)設(shè)計(jì)應(yīng)能有效地避開單點(diǎn)故障（設(shè)備、線路），在設(shè)備的選擇和關(guān)鍵設(shè)備互連時(shí)，應(yīng)供應(yīng)充分的冗余備份，一方面最大限度地削減故障的可能性，另一方面要保證網(wǎng)絡(luò)能在最短時(shí)間內(nèi)修復(fù)。4）虛擬業(yè)務(wù)遷移需求服務(wù)器高可用集群技術(shù)和虛擬服務(wù)器動態(tài)遷移技術(shù)在數(shù)據(jù)中心容災(zāi)及計(jì)算資源調(diào)配方面得以廣泛應(yīng)用，這兩種技術(shù)不僅要求在數(shù)據(jù)中心內(nèi)實(shí)現(xiàn)大二層網(wǎng)絡(luò)接入，而且要求在數(shù)據(jù)中心間也實(shí)現(xiàn)大范圍二層網(wǎng)絡(luò)擴(kuò)展。同時(shí)網(wǎng)絡(luò)平臺能夠感知虛擬業(yè)務(wù)遷移，網(wǎng)絡(luò)平安管理策略（ACL）等也能夠隨著虛擬業(yè)務(wù)的動態(tài)遷移而遷移，保障業(yè)務(wù)不間斷。5）統(tǒng)一I/O的FCOE融合在傳統(tǒng)數(shù)據(jù)中心中，由于多種技術(shù)之間的孤立性(LAN與SAN)，使得數(shù)據(jù)中心服務(wù)器總是供應(yīng)多個(gè)對外I/O接口，如用于數(shù)據(jù)計(jì)算與交互的LAN接口、數(shù)據(jù)訪問的SAN存儲接口以及某些特別?????環(huán)境如特定HPC(高性能計(jì)算)環(huán)境下的超低時(shí)延接口等。數(shù)據(jù)中心因此不可避開的部署多個(gè)網(wǎng)絡(luò)：前端的用戶通信網(wǎng)絡(luò)（以太網(wǎng)）、后臺存儲網(wǎng)絡(luò)光纖的通道（FC光纖網(wǎng)絡(luò)）、后端做數(shù)據(jù)更新或者做集群計(jì)算的通訊網(wǎng)絡(luò)（高性能計(jì)算Infiniband網(wǎng)絡(luò)）。服務(wù)器的多個(gè)I/O接口導(dǎo)致了數(shù)據(jù)中心環(huán)境下多個(gè)獨(dú)立運(yùn)行的網(wǎng)絡(luò)同時(shí)存在，不僅使得數(shù)據(jù)中心布線簡潔，不同的網(wǎng)絡(luò)、接口形體造成的異構(gòu)還直接增加了額外人員的運(yùn)行維護(hù)、培訓(xùn)管理等昂揚(yáng)成本投入，特別?????是存儲網(wǎng)絡(luò)的低兼容性特點(diǎn)，使得數(shù)據(jù)中心的業(yè)務(wù)擴(kuò)展往往存在約束。因此，面對云計(jì)算服務(wù)平臺的數(shù)據(jù)中心網(wǎng)絡(luò)將進(jìn)展為統(tǒng)一平臺，面對數(shù)據(jù)網(wǎng)絡(luò)、存儲網(wǎng)絡(luò)、服務(wù)器集群網(wǎng)絡(luò)供應(yīng)統(tǒng)一的網(wǎng)絡(luò)平臺支撐。6）良好的擴(kuò)展能力易擴(kuò)展，機(jī)敏的適應(yīng)性和高擴(kuò)展能力，滿意后期技術(shù)平滑升級和業(yè)務(wù)機(jī)敏擴(kuò)容的要求。業(yè)務(wù)支撐網(wǎng)絡(luò)平臺以資源服務(wù)和業(yè)務(wù)進(jìn)展為導(dǎo)向，采用主流的模塊化分層分區(qū)設(shè)計(jì)，具備機(jī)敏組網(wǎng)和IPv6演進(jìn)能力。7）全面平安、等保合規(guī)建立與國家要求相統(tǒng)一的信息平安保障體系，依據(jù)端到端訪問平安對平安體系進(jìn)行設(shè)計(jì)規(guī)劃，具備“數(shù)據(jù)平安”、“運(yùn)行平安”、“應(yīng)用平安”等多維度技術(shù)要求，嚴(yán)格遵照國家信息平安等級保護(hù)要求與相關(guān)政策指導(dǎo)規(guī)范，保證信息網(wǎng)絡(luò)的合規(guī)性。3、平安需求分析系統(tǒng)平安需求可以從管理層、物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等方面加以分析。在平安管理方面，要考慮政策、法規(guī)、制度、管理權(quán)限、級別劃分、平安域劃分、責(zé)任認(rèn)定、平安培訓(xùn)等，制定切實(shí)有效的管理制度和運(yùn)行維護(hù)機(jī)制，建設(shè)支撐平安管理的技術(shù)支撐體系；在物理平安方面，要依據(jù)實(shí)際情況建立相應(yīng)的平安防護(hù)機(jī)制；在網(wǎng)絡(luò)平安方面，要解決信息外網(wǎng)與互聯(lián)網(wǎng)的邏輯隔離；對各個(gè)平安域，要防范黑客入侵、身份冒充、非法訪問；要解決信息在平安域間傳輸時(shí)的完整性、可用性、保密性問題；要解決移動接入用戶身份鑒別和平安傳輸?shù)葐栴}；在系統(tǒng)平安方面，要解決操作系統(tǒng)平安、數(shù)據(jù)庫平安、病毒及惡意代碼防范等問題；從應(yīng)用平安平安需求進(jìn)行分析，要實(shí)現(xiàn)全網(wǎng)統(tǒng)一的身份鑒別和授權(quán)訪問機(jī)制；解決重要終端用戶敏感信息和數(shù)據(jù)的完整性、可用性、保密性問題，數(shù)據(jù)的訪問把握等問題。4、運(yùn)維管理需求分析影響IT平安運(yùn)維的因素有許多，總結(jié)起來主要有以下幾方面：簡潔的系統(tǒng)架構(gòu)結(jié)構(gòu)簡潔、系統(tǒng)繁多，大量的相互依靠關(guān)系，多點(diǎn)分布。多個(gè)管理團(tuán)隊(duì)，學(xué)問分散，過度分別到個(gè)人，關(guān)鍵時(shí)會影響問題解決效率。頻繁的軟硬件變更業(yè)務(wù)變化快、系統(tǒng)頻繁升級變更，時(shí)間緊迫，手工操作，易產(chǎn)生業(yè)務(wù)不穩(wěn)定。分割的應(yīng)用視圖各自獨(dú)立的監(jiān)控方式，對IT系統(tǒng)豎井式管理，故障難以準(zhǔn)確定位。應(yīng)用軟件注重業(yè)務(wù)實(shí)現(xiàn)，忽略對日常運(yùn)維管理的支持。高強(qiáng)度的運(yùn)維工作長期處于高壓力環(huán)境下工作，工作內(nèi)容瑣碎繁多、重復(fù)性強(qiáng)，簡潔形成疲沓工作狀態(tài)，導(dǎo)致人為操作差錯(cuò)毀滅。學(xué)問積累少，相像問題屢屢發(fā)生，運(yùn)維人員疲于奔命。對于數(shù)據(jù)中心機(jī)房眾多的異構(gòu)軟硬件的IT資源管理環(huán)境，為了全方位的監(jiān)控管理和精細(xì)化管理，有力保障數(shù)據(jù)中心各個(gè)業(yè)務(wù)域穩(wěn)定運(yùn)行，需要建立一個(gè)IT資產(chǎn)管理、綜合運(yùn)行態(tài)勢分析與評估平臺。通過IT運(yùn)維管理系統(tǒng)，實(shí)現(xiàn)多個(gè)廠家的網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫、存儲設(shè)備的統(tǒng)一管理，將目前各個(gè)業(yè)務(wù)系統(tǒng)中的各種硬件、軟件、業(yè)務(wù)應(yīng)用納入到監(jiān)控平臺中來，實(shí)現(xiàn)IT系統(tǒng)、業(yè)務(wù)過程和關(guān)鍵業(yè)務(wù)指標(biāo)的監(jiān)控，準(zhǔn)時(shí)發(fā)覺業(yè)務(wù)特別和問題，實(shí)現(xiàn)主動的IT運(yùn)維服務(wù)。三、建設(shè)思路及原則（1）有用性和先進(jìn)性原則既要充分考慮有用性，始終面對業(yè)務(wù)應(yīng)用，又要考慮先進(jìn)性，保持適度前瞻。在進(jìn)行架構(gòu)規(guī)劃時(shí)，不盲目追求設(shè)備的超前采購，在充分考慮應(yīng)用性能的基礎(chǔ)上，保護(hù)原有投資。同時(shí)要采用成熟先進(jìn)的理念、技術(shù)和方法，適應(yīng)進(jìn)展潮流。（2）牢靠性和穩(wěn)定性原則要確保系統(tǒng)運(yùn)行的牢靠性和穩(wěn)定性，要從系統(tǒng)架構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及修理能力等多方面進(jìn)行設(shè)計(jì)規(guī)劃，確保系統(tǒng)運(yùn)行的牢靠穩(wěn)定。（3）可擴(kuò)展性和易維護(hù)性原則應(yīng)充分考慮可擴(kuò)展性和易維護(hù)性，適應(yīng)系統(tǒng)變化要求，能夠依據(jù)將來業(yè)務(wù)的增長和變化平滑的擴(kuò)充和升級，最大程度的削減對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整，盡量降低電力、人力等各方面資源維護(hù)費(fèi)用。（4）高度的網(wǎng)絡(luò)平安性基于國家信息平安等級保護(hù)相關(guān)政策的理解，供應(yīng)完備的平安防護(hù)策略，能防止對網(wǎng)絡(luò)資源的非法訪問，保護(hù)網(wǎng)絡(luò)使用者的合法利益。（5）良好的管理能力在網(wǎng)絡(luò)設(shè)計(jì)中，須建立有效的網(wǎng)絡(luò)管理解決方案。能夠?qū)崿F(xiàn)監(jiān)控、監(jiān)測整個(gè)網(wǎng)絡(luò)的運(yùn)行情況，合理安排網(wǎng)絡(luò)資源、動態(tài)配置網(wǎng)絡(luò)負(fù)載、可以飛速確定網(wǎng)絡(luò)故障等。通過先進(jìn)的管理策略、管理工具提高網(wǎng)絡(luò)的運(yùn)行性能、牢靠性，簡化網(wǎng)絡(luò)的維護(hù)工作。XXX其他內(nèi)容請自行補(bǔ)充四、解決方案總體說明1、方案總體說明銳捷教育云數(shù)據(jù)中心解決方案充分考慮了普教數(shù)據(jù)中心建設(shè)面臨的實(shí)際問題，具備柔性支撐架構(gòu)和快部署、低投入、簡運(yùn)維、高平安、平臺開放等系列特性，幫忙教育局快速構(gòu)建區(qū)域云平臺或改造原有數(shù)據(jù)中心，做到隨需應(yīng)變和持續(xù)演化。方案規(guī)劃在保證滿意基本業(yè)務(wù)應(yīng)用的同時(shí)，又要體現(xiàn)出組網(wǎng)先進(jìn)性，所供應(yīng)的技術(shù)在近年內(nèi)要具有確定的領(lǐng)先性，與將來的新技術(shù)具有兼容性，在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮到網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和將來進(jìn)展趨勢。方案規(guī)劃考慮網(wǎng)絡(luò)及設(shè)備的擴(kuò)容能力，能夠在充分保護(hù)用戶投資的基礎(chǔ)上，可以實(shí)現(xiàn)設(shè)備及網(wǎng)絡(luò)性能的無縫平滑升級、實(shí)現(xiàn)多種業(yè)務(wù)的無縫平滑擴(kuò)展，并在性能升級和業(yè)務(wù)擴(kuò)展過程中保障應(yīng)用系統(tǒng)的連續(xù)性。2、方案整體框架教育云平臺整體架構(gòu)如圖所示，分別是為基礎(chǔ)設(shè)施平臺、基礎(chǔ)服務(wù)平臺和教育應(yīng)用平臺，銳捷數(shù)據(jù)中心解決方案定位于基礎(chǔ)設(shè)施平臺，為用戶供應(yīng)極簡融合架構(gòu)的基礎(chǔ)平臺建設(shè)方案。教育云平臺方案框架IaaS基礎(chǔ)設(shè)施服務(wù)層包括硬件基礎(chǔ)設(shè)施子層、虛擬化&資源池化子層、資源調(diào)度與管理自動化子層。? 硬件基礎(chǔ)設(shè)施子層：包括主機(jī)、存儲、網(wǎng)絡(luò)及其他硬件在內(nèi)的硬件設(shè)備，它們是實(shí)現(xiàn)系統(tǒng)平臺虛擬化的最基礎(chǔ)資源；? 虛擬化&資源池化層：通過虛擬化技術(shù)進(jìn)行整合，形成一個(gè)對外供應(yīng)對資源的池化管理（包括網(wǎng)絡(luò)池、服務(wù)器池、存儲池等），同時(shí)通過虛擬化管理平臺，對外供應(yīng)運(yùn)行環(huán)境等基礎(chǔ)服務(wù)。? 資源調(diào)度與管理自動化子層：在對資源（物理資源和虛擬資源）進(jìn)行有效監(jiān)控、管理的基礎(chǔ)上，并且通過對服務(wù)模型的抽取，供應(yīng)彈性計(jì)算、負(fù)載均衡、動態(tài)遷移、按需供應(yīng)、自動化部署等功能，它是實(shí)現(xiàn)系統(tǒng)平臺虛擬化架構(gòu)的關(guān)鍵所在。3、方案整體架構(gòu)銳捷教育云數(shù)據(jù)中心解決方案由云計(jì)算、云網(wǎng)絡(luò)、云平安、統(tǒng)一運(yùn)維幾個(gè)部分組成，為教育資源服務(wù)平臺和教育管理服務(wù)平臺供應(yīng)健壯、彈性、平安的運(yùn)行環(huán)境，并在此基礎(chǔ)上構(gòu)建教育共有云或VPC虛擬私有云，教育局可為各學(xué)校供應(yīng)基礎(chǔ)云資源（云主機(jī)、云存儲等）服務(wù)，有效支撐“互聯(lián)網(wǎng)+教育”戰(zhàn)略的落地。教育云數(shù)據(jù)中心方案整體架構(gòu)云網(wǎng)絡(luò)平面為用戶構(gòu)建彈性、健壯的網(wǎng)絡(luò)資源池，云計(jì)算平面為用戶構(gòu)建按需調(diào)配、彈性伸縮的計(jì)算及存儲資源池，在云服務(wù)平面教育局可針對各學(xué)校供應(yīng)云主機(jī)、云存儲等云資源服務(wù)，幫忙學(xué)校快速上線業(yè)務(wù)應(yīng)用。云平安平面為用戶供應(yīng)從網(wǎng)絡(luò)、計(jì)算到服務(wù)的端到端平安防護(hù)，統(tǒng)一運(yùn)維平面實(shí)現(xiàn)對網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫、中間件和業(yè)務(wù)系統(tǒng)的全方位資源管理，實(shí)現(xiàn)從業(yè)務(wù)角度統(tǒng)一管理下層IT資源。4、方案整體設(shè)計(jì)方案整體設(shè)計(jì)如下圖所示，依據(jù)分區(qū)分等級的原則進(jìn)行業(yè)務(wù)分區(qū)和平安域劃分，整體劃分為服務(wù)器區(qū)、核心交換區(qū)、平安服務(wù)區(qū)和運(yùn)維管理區(qū)，依據(jù)業(yè)務(wù)類別和平安級別不同，再將服務(wù)器區(qū)進(jìn)一步劃分為數(shù)據(jù)庫服務(wù)區(qū)、應(yīng)用服務(wù)區(qū)和前置服務(wù)區(qū)，實(shí)現(xiàn)全面的結(jié)構(gòu)平安。教育云數(shù)據(jù)中心方案整體設(shè)計(jì)在計(jì)算存儲層面，為用戶供應(yīng)服務(wù)器、存儲、虛擬化的一站式解決方案，幫忙教育局快速部署云數(shù)據(jù)中心，快速響應(yīng)業(yè)務(wù)需求。教育局一次設(shè)備采購即可完成對云平臺基礎(chǔ)架構(gòu)的整體搭建，相比傳統(tǒng)的分散采購部署方式，建設(shè)成本降低50%以上、能耗降低75%以上。有效解決了傳統(tǒng)的云數(shù)據(jù)中心建設(shè)所面臨的“投資成本高、運(yùn)行效率低、架構(gòu)缺乏機(jī)敏性、業(yè)務(wù)響應(yīng)速度慢”等問題，兼顧建設(shè)成本和應(yīng)用效率，建設(shè)綠色數(shù)據(jù)中心。在網(wǎng)絡(luò)層面，通過雙機(jī)虛擬化部署，實(shí)現(xiàn)高牢靠和高可用，保障關(guān)鍵業(yè)務(wù)不中斷傳輸。設(shè)備層面：核心設(shè)備主控引擎1+1冗余、交換網(wǎng)板N+1冗余、N+M冗余電源、不間斷重啟、熱補(bǔ)丁等技術(shù)，確保電信級牢靠性；組網(wǎng)層面：網(wǎng)絡(luò)設(shè)備雙機(jī)冗錯(cuò)部署，網(wǎng)絡(luò)鏈路雙歸屬聚合互連；系統(tǒng)層面：多合一虛擬化，在簡化組網(wǎng)和管理的同時(shí)，進(jìn)一步增加系統(tǒng)的高牢靠性與高可用性。在平安層面，通過部署防火墻、入侵防守、web應(yīng)用防護(hù)、流量管理、數(shù)據(jù)庫審計(jì)、運(yùn)維審計(jì)等設(shè)備，實(shí)現(xiàn)從網(wǎng)絡(luò)到應(yīng)用的全方位平安防護(hù)，為用戶建立事前平安預(yù)警、事中深度防護(hù)、事后精確審計(jì)的全流程平安保障機(jī)制，充分滿意等保建設(shè)要求。在運(yùn)維層面，基于業(yè)務(wù)視角專業(yè)化綜合運(yùn)維，業(yè)務(wù)平面、數(shù)據(jù)中心平面、網(wǎng)絡(luò)平面集中高效管理，對網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫、中間件、業(yè)務(wù)系統(tǒng)及機(jī)房動力環(huán)境等統(tǒng)一監(jiān)控和可視化資源管理，為用戶建立規(guī)范的運(yùn)維管理流程，充分保障運(yùn)維效率和質(zhì)量。解決方案及產(chǎn)品為全開放架構(gòu)，通用性強(qiáng)、模塊化彈性擴(kuò)展，兼容多廠商架構(gòu)，業(yè)務(wù)擴(kuò)容不受限。五、解決方案具體設(shè)計(jì)1、云計(jì)算平臺設(shè)計(jì)1.1整體架構(gòu)設(shè)計(jì)傳統(tǒng)的服務(wù)器+虛擬化軟件+SAN存儲的數(shù)據(jù)中心云計(jì)算平臺方案在擴(kuò)展性、效率、運(yùn)維、能耗、平安五大方向上正面臨新的挑戰(zhàn)。傳統(tǒng)數(shù)據(jù)中心多采用服務(wù)器、存儲設(shè)備堆集及外部網(wǎng)絡(luò)連接的架構(gòu)模式，雖然虛擬化技術(shù)的使用讓計(jì)算、存儲具有了確定的“流淌性”，但卻無法完全虛擬化I/O，造成不同系統(tǒng)間的IT資源仍未實(shí)現(xiàn)高效的共享、機(jī)敏的流淌。這就導(dǎo)致數(shù)據(jù)中心的系統(tǒng)擴(kuò)展性受限、效率不高、能耗鋪張、運(yùn)維費(fèi)用高居不下、平安管理簡潔等問題，難以適應(yīng)云計(jì)算大數(shù)據(jù)時(shí)代對IT基礎(chǔ)設(shè)施的要求。隨著這些新興技術(shù)和應(yīng)用模式推動數(shù)據(jù)中心向集中化、規(guī)?；M(jìn)展，用戶期望能夠整體掌控、管理自己的數(shù)據(jù)中心，期望數(shù)據(jù)中心能夠“快、簡、穩(wěn)”，實(shí)現(xiàn)業(yè)務(wù)上線快、遷移快、切換快，讓數(shù)據(jù)中心的基礎(chǔ)架構(gòu)、運(yùn)維、使用都變得簡潔、簡潔，同時(shí)使應(yīng)用和基礎(chǔ)架構(gòu)解耦，保證各中心業(yè)務(wù)穩(wěn)定運(yùn)行。新時(shí)代下，走向融合架構(gòu)的云數(shù)據(jù)中心將成為大勢所趨。在融合架構(gòu)技術(shù)框架下，核心轉(zhuǎn)變來自CPU、內(nèi)存、I/O等硬件資源的解耦與重構(gòu)，這讓數(shù)據(jù)中心計(jì)算、存儲、網(wǎng)絡(luò)、平安資源的全虛擬化、全自動化成為現(xiàn)實(shí)，并通過軟件定義實(shí)現(xiàn)業(yè)務(wù)感知的按需資源組合與配置，實(shí)現(xiàn)系統(tǒng)的彈性伸縮和超大規(guī)模持續(xù)擴(kuò)展，真正實(shí)現(xiàn)數(shù)據(jù)中心像一臺計(jì)算機(jī)一樣運(yùn)行和管理。融合架構(gòu)云數(shù)據(jù)中心總體特征是，自動感知業(yè)務(wù)需求，進(jìn)行資源供應(yīng)，數(shù)據(jù)中心像一臺服務(wù)器。在硬件層面，實(shí)現(xiàn)計(jì)算、I/O、存儲的完全池化；在軟件層面，實(shí)現(xiàn)資源的全面管理和調(diào)配，使得用戶能夠以業(yè)務(wù)驅(qū)動應(yīng)用，進(jìn)行資源統(tǒng)一的調(diào)度。通過硬件重構(gòu)與軟件定義，在系統(tǒng)效率、擴(kuò)展性、功耗和管理上帶來全面提升，將促進(jìn)數(shù)據(jù)中心從資源驅(qū)動向業(yè)務(wù)驅(qū)動轉(zhuǎn)變，真實(shí)呈現(xiàn)數(shù)據(jù)中心即計(jì)算機(jī)的愿景。融合架構(gòu)是將徹底打破現(xiàn)有數(shù)據(jù)中心的建設(shè)思維與應(yīng)用模式。同時(shí)，精簡的架構(gòu)使數(shù)據(jù)中心配置高度簡化，極大地降低了運(yùn)維管理成本，讓IT部門專注于業(yè)務(wù)的動態(tài)變化和模式創(chuàng)新。1.2超融合架構(gòu)方案通過一箱即云、軟硬件融合統(tǒng)一交付的整體解決方案，為用戶供應(yīng)最優(yōu)的效率、機(jī)敏性、規(guī)模、成本和數(shù)據(jù)保護(hù)，兼顧建設(shè)成本和應(yīng)用效率，省錢省力省心。教育局所承載的業(yè)務(wù)系統(tǒng)均采用私有云部署方式，各業(yè)務(wù)系統(tǒng)全部運(yùn)行在私有云上。硬件融合，簡化數(shù)據(jù)中心系統(tǒng)架構(gòu)，部署、管理、維護(hù)更簡潔軟件融合，計(jì)算、管理融合，云管理與簡運(yùn)維整體交付開放架構(gòu)，模塊化彈性擴(kuò)展，業(yè)務(wù)擴(kuò)容不受限云管理平臺實(shí)現(xiàn)IT資源的服務(wù)交付，用戶需要部署業(yè)務(wù)應(yīng)用時(shí)可以直接通過自助服務(wù)門戶申請相應(yīng)資源，通過業(yè)務(wù)流審批快速交付與部署。同時(shí)云管理平臺可以實(shí)現(xiàn)多租戶的資源配額與管理，教育局可為下屬的學(xué)校(租戶)劃分虛擬的計(jì)算、存儲與網(wǎng)絡(luò)資源供其使用，實(shí)現(xiàn)資源的集約式管理，同時(shí)保障各學(xué)校的平安隔離。自助式服務(wù)管理為用戶供應(yīng)了一個(gè)平安的、多租戶的、可自助服務(wù)的IaaS，通過JCOS云計(jì)算管理平臺供應(yīng)的虛擬化資源池功能，通過完全自動化的自助服務(wù)訪問為用戶供應(yīng)云主機(jī)、云存儲等云資源。這種自助式的服務(wù)真正實(shí)現(xiàn)了云計(jì)算的機(jī)敏性、可控性和高效性，并極大程度地提高了業(yè)務(wù)的響應(yīng)能力。招生系統(tǒng)、查分系統(tǒng)、老師評優(yōu)等應(yīng)用：大量用戶特定時(shí)間段集中訪問，突發(fā)的高并發(fā)訪問常常造成業(yè)務(wù)系統(tǒng)癱瘓，導(dǎo)致業(yè)務(wù)中斷。ERS（彈性資源擴(kuò)展）可感知應(yīng)用負(fù)載并動態(tài)調(diào)配虛擬機(jī)數(shù)量。以下圖為例，當(dāng)學(xué)生查分訪問高峰時(shí)，JCOS監(jiān)控到當(dāng)前兩臺業(yè)務(wù)虛機(jī)已經(jīng)無法滿意訪問需求，自動創(chuàng)建新的業(yè)務(wù)虛機(jī)以滿意高并發(fā)訪問，實(shí)現(xiàn)動態(tài)的彈性資源擴(kuò)展，訪問高峰過后自動刪除新建的業(yè)務(wù)虛機(jī)、釋放資源。隨著業(yè)務(wù)深化開展，在線課堂、網(wǎng)絡(luò)教研、協(xié)同備課等業(yè)務(wù)應(yīng)用對服務(wù)器資源需求不斷增長，逐步會毀滅物理服務(wù)器負(fù)載過高的情況。如下圖所示，DRS（分布式資源調(diào)度）可以實(shí)時(shí)監(jiān)控當(dāng)前物理服務(wù)器負(fù)載，當(dāng)群集中某個(gè)物理服務(wù)器負(fù)載過高時(shí)，其上的某個(gè)業(yè)務(wù)虛機(jī)（被預(yù)先定義策略）自動遷移到輕載服務(wù)器上，遷移過程對用戶和業(yè)務(wù)完全透亮?????，實(shí)現(xiàn)資源的分布式調(diào)度。1.3解決方案價(jià)值1）集成度高，資源集約化使用和管理銳捷UDS2000超融合一體機(jī)高度集成計(jì)算、存儲和SDN網(wǎng)絡(luò)功能，并且有針對性的進(jìn)行深度優(yōu)化，削減客戶系統(tǒng)集成和調(diào)優(yōu)工作。超融合架構(gòu)在硬件平臺上預(yù)置安裝軟件，只需要數(shù)分鐘快速配置即可上線使用。一臺UDS相當(dāng)于多臺服務(wù)器+一套分布式存儲系統(tǒng)+一套虛擬化平臺+一套綜合運(yùn)維管理平臺。方案供應(yīng)統(tǒng)一管理界面和集中設(shè)備監(jiān)控，同時(shí)供應(yīng)簡潔無中斷的升級過程。由于計(jì)算、存儲和SDN網(wǎng)絡(luò)功能高度集成在統(tǒng)一的硬件服務(wù)器上，可以充分使用服務(wù)器的計(jì)算和I/O性能，提高服務(wù)器的利用率，充分挖掘服務(wù)器的潛能。全部應(yīng)用系統(tǒng)共享物理基礎(chǔ)設(shè)施，以資源池的形式對應(yīng)用系統(tǒng)供應(yīng)服務(wù)，單個(gè)物理硬件發(fā)生故障時(shí)不會影響任何應(yīng)用系統(tǒng)?？蛻舨辉傩枰獑为?dú)采購存儲設(shè)備，從而提高了機(jī)房空間利用率。2）架構(gòu)機(jī)敏，快速響應(yīng)銳捷UDS2000超融合一體機(jī)采用虛擬化技術(shù)，將物理資源池化供應(yīng)應(yīng)不同應(yīng)用，只需幾分鐘就可以創(chuàng)建虛擬服務(wù)器，快速響應(yīng)應(yīng)用系統(tǒng)的變更。系統(tǒng)可以統(tǒng)籌安排全部應(yīng)用的運(yùn)行狀態(tài)，依據(jù)負(fù)載情況隨時(shí)調(diào)整硬件資源，并調(diào)度應(yīng)用，使應(yīng)用隨時(shí)處于健康的服務(wù)狀態(tài)。相同的硬件可以提高系統(tǒng)互操作性和穩(wěn)定性，并且供應(yīng)簡潔牢靠的擴(kuò)容方式。新加設(shè)備自動發(fā)覺，由管理平臺統(tǒng)一管理，可以在不影響業(yè)務(wù)的情況下水平彈性擴(kuò)容，提升了系統(tǒng)的整體機(jī)敏性，簡化分別運(yùn)維應(yīng)用系統(tǒng)的工作量。3）部署運(yùn)維簡易，遠(yuǎn)程幫忙便利銳捷UDS2000超融合一體機(jī)加電即使可用，省去了服務(wù)器上架、配置、調(diào)試等工作。系統(tǒng)自愈能力強(qiáng)，毀滅非計(jì)劃停機(jī)后，重新加電系統(tǒng)即可恢復(fù)，無需人工干預(yù)，能良好的適應(yīng)非標(biāo)準(zhǔn)機(jī)房環(huán)境。預(yù)制教育行業(yè)主流應(yīng)用模板，點(diǎn)選即用，屏蔽了安裝操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用等工作。供應(yīng)遠(yuǎn)程維護(hù)接口，軟硬件供應(yīng)商和系統(tǒng)集成商可以遠(yuǎn)程訪問系統(tǒng)進(jìn)行故障排查和優(yōu)化，無需現(xiàn)場服務(wù)，提高了服務(wù)響應(yīng)時(shí)間，節(jié)省了服務(wù)成本。通過使用統(tǒng)一運(yùn)維監(jiān)控平臺，應(yīng)用系統(tǒng)發(fā)生故障時(shí)，支持遠(yuǎn)程一鍵恢復(fù)。4）彈性擴(kuò)容，模塊化無縫橫向擴(kuò)展UDS超融合架構(gòu)本身帶來了機(jī)敏性、擴(kuò)展性與簡易部署，只需要簡潔添置UDS節(jié)點(diǎn)來擴(kuò)容就能滿意業(yè)務(wù)增長的需求，部署維護(hù)簡便。基于分布式架構(gòu)，計(jì)算性能和存儲容量都可以彈性水平擴(kuò)展，可以像搭積木一樣將UDS進(jìn)行堆疊實(shí)現(xiàn)無縫橫向擴(kuò)展，形成統(tǒng)一的資源池，并進(jìn)行統(tǒng)一管理和資源調(diào)配。高度自動化，擴(kuò)展無需暫停業(yè)務(wù)，整個(gè)擴(kuò)容過程不會影響任何服務(wù)。5）分布式存儲，更高性能、更低成本傳統(tǒng)的SAN架構(gòu)的集中共享存儲的解決方案需要用戶分別購買磁盤陣列、SAN交換機(jī)及HBA卡組網(wǎng)，建設(shè)成本高、業(yè)務(wù)部署緩慢、可擴(kuò)展性差，還存在鎖定用戶問題、擴(kuò)展與性能的問題、折舊費(fèi)用問題、數(shù)據(jù)中心機(jī)柜的空間問題等等。在性能方面：全部數(shù)據(jù)讀寫都通過集中把握器管理，存儲性能在把握器層面存在瓶頸，同時(shí)存儲陣列中大量磁盤資源處于閑置狀態(tài)，不能有效利用。在管理方面：需要對服務(wù)器、存儲陣列、SAN存儲網(wǎng)絡(luò)單獨(dú)維護(hù)，用戶管理難度大。銳捷分布式存儲方案基于通用的X86服務(wù)器為用戶構(gòu)建高可用的虛擬化存儲資源池，幫忙用戶有效的提升了對服務(wù)器閑置磁盤的資源利用率。分布式存儲方案將用戶數(shù)據(jù)分散進(jìn)行存儲，多點(diǎn)并發(fā)，速度快、性能高，比傳統(tǒng)共享存儲性能高出50%以上，并可為用戶供應(yīng)更高的數(shù)據(jù)牢靠性保障。同時(shí)，分布式存儲方案業(yè)務(wù)擴(kuò)展機(jī)敏、擴(kuò)容成本低，同步實(shí)現(xiàn)計(jì)算與存儲資源擴(kuò)展。6）開放的標(biāo)準(zhǔn)銳捷UDS2000超融合一體機(jī)供應(yīng)開放標(biāo)準(zhǔn)的OpenstackAPI，易于和內(nèi)部其他IT系統(tǒng)實(shí)現(xiàn)對接。同時(shí)，供應(yīng)豐富的命令行工具，充分滿意對自動化運(yùn)維的訂制需求。1.4SQL數(shù)據(jù)庫支撐設(shè)計(jì)注：此部分內(nèi)容請按需修改。1）SQLSERVER數(shù)據(jù)庫本項(xiàng)目涉及業(yè)務(wù)軟件均使用SQLSERVER數(shù)據(jù)庫。磁盤I/O是影響SQLSERVER數(shù)據(jù)庫性能的最重要因素之一。其競爭來源主要有：Windows操作系統(tǒng)，主要是內(nèi)存分頁文件、Windows日志文件。數(shù)據(jù)庫的數(shù)據(jù)文件（mdf和ndf）數(shù)據(jù)庫的事務(wù)日志文件（ldf）SQLServer實(shí)例的tempdb數(shù)據(jù)庫為了消退競爭對性能的影響，本方案采用分布式存儲架構(gòu)。2）磁盤規(guī)劃建議Tempdb：tempdb數(shù)據(jù)庫性能要求非常高，但對數(shù)據(jù)平安性要求低。建議將tempdb數(shù)據(jù)庫放置在快速磁盤系統(tǒng)中。假如有許多直接連接的磁盤，使用RAID0。數(shù)據(jù)文件（mdf和ndf文件）：這類文件即要求性能，又要求平安性。使用RAID5。事務(wù)日志文件（ldf文件）：事務(wù)日志文件的特性是連續(xù)的挨次寫入，因此對性能要求不高，僅要求平安性。使用RAID5。3）磁盤空間規(guī)劃盡管對于當(dāng)前的驅(qū)動器的大小而言，SQLServer的磁盤空間需求是微不足道的，但是照舊需要考慮磁盤空間的規(guī)劃。系統(tǒng)數(shù)據(jù)庫

一般來說，系統(tǒng)數(shù)據(jù)庫都不會很大，只有tempdb例外。假如T-SQL代碼的質(zhì)量不佳，tempdb增長到幾百GB也是有可能的。用戶數(shù)據(jù)庫應(yīng)當(dāng)估算用戶數(shù)據(jù)庫的容量增長，并規(guī)劃足夠的磁盤空間。當(dāng)磁盤已滿導(dǎo)致數(shù)據(jù)庫不能獲得更多的磁盤空間，會報(bào)錯(cuò)“數(shù)據(jù)庫已滿”或“數(shù)據(jù)庫日志已滿”，數(shù)據(jù)庫將拒絕寫入。4）磁盤類型規(guī)劃SQLSERVERtempdb等數(shù)據(jù)庫IOPS要求較高，本方案采用SSD盤應(yīng)對數(shù)據(jù)庫的高IOPS需求。每臺服務(wù)器部署2塊960GSSD。5）資源池設(shè)計(jì)每個(gè)應(yīng)用使用兩到三臺虛擬機(jī)（SQLServer數(shù)據(jù)庫、中間件、Web服務(wù)器）。為了應(yīng)對突發(fā)高訪問量，對重要應(yīng)用使用高可用保護(hù)，或者多應(yīng)用實(shí)例的負(fù)載均衡，所以需要預(yù)留額外的資源。一般來講，系統(tǒng)會依據(jù)50%的超配比例。在此方案中，選用UDS2000-E(S)超融合云一體機(jī)產(chǎn)品。內(nèi)置JCOS軟件。采用分布式存儲技術(shù)，客戶不需要另行購買專用存儲設(shè)備，大大節(jié)省用戶投資。云網(wǎng)絡(luò)平臺設(shè)計(jì)2.1整體架構(gòu)設(shè)計(jì)云計(jì)算數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)是云業(yè)務(wù)數(shù)據(jù)的傳輸通道，將數(shù)據(jù)的計(jì)算和數(shù)據(jù)存儲有機(jī)的結(jié)合在一起。網(wǎng)絡(luò)推舉采用扁平化架構(gòu)設(shè)計(jì)，分核心層與接入層兩個(gè)層面。核心層主要由大容量三層交換機(jī)組成，主要負(fù)責(zé)與外部網(wǎng)絡(luò)的流量交換以及節(jié)點(diǎn)內(nèi)各集群之間的流量轉(zhuǎn)發(fā)；接入層主要由接入交換機(jī)構(gòu)成，負(fù)責(zé)服務(wù)器的接入。基礎(chǔ)網(wǎng)絡(luò)從核心層到接入層均實(shí)現(xiàn)交換機(jī)的虛擬化部署，不僅網(wǎng)絡(luò)容量可以平滑擴(kuò)展，并簡化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、大大提高整網(wǎng)的牢靠性。核心交換機(jī)需要具備高處理能力，實(shí)現(xiàn)在大容量數(shù)據(jù)的線速無阻塞轉(zhuǎn)發(fā)，具有對突發(fā)數(shù)據(jù)的緩沖能力、緩解端口擁塞壓力，同時(shí)應(yīng)對多種業(yè)務(wù)流量的需求和將來的業(yè)務(wù)擴(kuò)展?；谙到y(tǒng)牢靠性的考慮，網(wǎng)絡(luò)采用雙核心交換和雙鏈路上行設(shè)計(jì)，實(shí)現(xiàn)設(shè)備級和鏈路級的高牢靠性，保證業(yè)務(wù)的不間斷性。核心交換機(jī)進(jìn)行虛擬化雙機(jī)部署，在網(wǎng)絡(luò)連接上消退單點(diǎn)故障，物理鏈路采用雙路冗余連接，依據(jù)負(fù)載均衡方式或active-active方式工作，在提高網(wǎng)絡(luò)性能、系統(tǒng)牢靠性的同時(shí)，簡化網(wǎng)絡(luò)結(jié)構(gòu)、降低維護(hù)難度。扁平化大二層組網(wǎng)為保證虛機(jī)遷移時(shí)業(yè)務(wù)不中斷，云數(shù)據(jù)中心應(yīng)采用大二層組網(wǎng)，同時(shí)還需要解決由STP帶來的帶寬鋪張和虛機(jī)遷移引發(fā)網(wǎng)絡(luò)震蕩問題。在這方面，通過多合一虛擬化技術(shù)，可以將多個(gè)核心設(shè)備虛擬成為一個(gè)邏輯設(shè)備，實(shí)現(xiàn)二、三層把握平面的統(tǒng)一，進(jìn)而在保證高牢靠的前提下，實(shí)現(xiàn)接入交換機(jī)上行鏈路的跨設(shè)備鏈路聚合，從而消退環(huán)路，提高二層組網(wǎng)的性能、消退由生成樹重計(jì)算造成的網(wǎng)絡(luò)震蕩。虛擬機(jī)感知與平安策略自動遷移支持虛擬機(jī)感知及平安策略自動遷移，實(shí)現(xiàn)虛擬主機(jī)網(wǎng)內(nèi)自由遷移時(shí)對應(yīng)平安把握策略的同步遷移，有效實(shí)現(xiàn)大規(guī)模服務(wù)器虛擬化應(yīng)用環(huán)境中虛擬機(jī)流量的平安把握策略統(tǒng)一部署。統(tǒng)一交換，融合存儲與以太網(wǎng)同時(shí)可為服務(wù)器供應(yīng)FCoE接入和以太網(wǎng)接入服務(wù)，從而幫忙用戶輕松整合異構(gòu)的存儲網(wǎng)和數(shù)據(jù)網(wǎng)，削減網(wǎng)絡(luò)中的設(shè)備數(shù)量，最大程度上簡化網(wǎng)絡(luò)部署成本和布線成本，保護(hù)用戶既有投資。2.2網(wǎng)絡(luò)分區(qū)設(shè)計(jì)數(shù)據(jù)中心架構(gòu)設(shè)計(jì)的重要設(shè)計(jì)方法為分區(qū)分域模塊化設(shè)計(jì)。它是依據(jù)業(yè)務(wù)相關(guān)性、平安性和擴(kuò)展性等諸多方面的考慮，將數(shù)據(jù)中心橫向劃分為不同的功能區(qū)域，部署相應(yīng)的服務(wù)器、軟件和網(wǎng)絡(luò)平安系統(tǒng)，不同的分區(qū)部署不同的業(yè)務(wù)系統(tǒng)、平安策略和訪問策略，一個(gè)分區(qū)就對應(yīng)著一個(gè)系統(tǒng)。1)分區(qū)分域設(shè)計(jì)的重要性可以在數(shù)據(jù)中心中清楚區(qū)分不同的功能區(qū)域，可以便利的依據(jù)不同區(qū)域的功能需求進(jìn)行差異化設(shè)計(jì)和建設(shè)區(qū)域邊界，實(shí)質(zhì)上也是不同平安級別的業(yè)務(wù)的平安邊界?；趨^(qū)域邊界可以明晰的設(shè)計(jì)和部署相應(yīng)的平安策略，保證數(shù)據(jù)中心的平安運(yùn)行2)數(shù)據(jù)中心網(wǎng)絡(luò)分區(qū)原則平安性原則：依據(jù)平安等級不同，劃分為不同分區(qū)。例如，為互聯(lián)網(wǎng)用戶、合作伙伴服務(wù)的服務(wù)器單獨(dú)分區(qū)，信息敏感的服務(wù)器單獨(dú)分區(qū)。高可用布局原則：業(yè)務(wù)關(guān)聯(lián)度高的服務(wù)器部署在同一個(gè)區(qū)域；業(yè)務(wù)關(guān)聯(lián)度低的服務(wù)器拆分成多個(gè)區(qū)域；可用性要求高的業(yè)務(wù)拆分成兩個(gè)對等區(qū)域。容量適度原則：依據(jù)運(yùn)維管理閱歷，把握單個(gè)區(qū)域內(nèi)的服務(wù)數(shù)量，例如，500臺以內(nèi)。將來服務(wù)器數(shù)據(jù)增加、區(qū)域間流量增長后可考慮進(jìn)一步拆分。獨(dú)立運(yùn)維管理原則：業(yè)務(wù)流量、平安把握、組網(wǎng)協(xié)議方面有特別?????要求的服務(wù)器單獨(dú)分區(qū)。網(wǎng)絡(luò)分區(qū)設(shè)計(jì)為了能夠?qū)崿F(xiàn)業(yè)務(wù)服務(wù)器的平安隔離、容量擴(kuò)展和分類管理等需求，通常將業(yè)務(wù)區(qū)按應(yīng)用層次、按應(yīng)用類型兩種模式細(xì)分。兩種模式各有優(yōu)缺，通常結(jié)合使用。模式A：按應(yīng)用層次分區(qū)模式B：按應(yīng)用類型分區(qū)部署說明客戶端到服務(wù)器的訪問要經(jīng)過三個(gè)區(qū)域同一層服務(wù)器之間的互訪不需要跨區(qū)域客戶端到服務(wù)器的訪問只要經(jīng)過一個(gè)區(qū)域同一層服務(wù)器之間的互訪需要跨區(qū)域優(yōu)點(diǎn)每個(gè)區(qū)域只服務(wù)于應(yīng)用邏輯中的一個(gè)層面（Web/App/DB)應(yīng)用層次之間物理分別風(fēng)險(xiǎn)分散，一個(gè)區(qū)域內(nèi)部故障或變更停機(jī)不會影響其他區(qū)域承載的業(yè)務(wù)擴(kuò)展性較強(qiáng)，當(dāng)應(yīng)用種類增加或者單個(gè)區(qū)域容量增加時(shí)，可以通過橫向拆分?jǐn)U容可管理性強(qiáng)：便于故障定位和應(yīng)急低時(shí)延：同一應(yīng)用各層服務(wù)器之間的流量在同一個(gè)區(qū)內(nèi)缺點(diǎn)風(fēng)險(xiǎn)集中，一個(gè)區(qū)域內(nèi)部故障或變更，會影響全部應(yīng)用擴(kuò)展性較弱，服務(wù)器數(shù)量較多時(shí)，單個(gè)區(qū)域易達(dá)到容量上限業(yè)務(wù)可管理性弱，不易進(jìn)行故障定位和應(yīng)急應(yīng)用層次之間無物理分別網(wǎng)絡(luò)整體劃分為服務(wù)器區(qū)、核心交換區(qū)、平安服務(wù)區(qū)和運(yùn)維管理區(qū)，依據(jù)業(yè)務(wù)類別和平安級別不同，再將服務(wù)器區(qū)進(jìn)一步劃分為數(shù)據(jù)庫服務(wù)區(qū)、應(yīng)用服務(wù)區(qū)和前置服務(wù)區(qū)，實(shí)現(xiàn)全面的結(jié)構(gòu)平安。2.3核心層設(shè)計(jì)高效：采用云計(jì)算數(shù)據(jù)中心交換機(jī)，支持40G和100G的接口，可為整個(gè)數(shù)據(jù)中心構(gòu)建高性能的數(shù)據(jù)轉(zhuǎn)發(fā)平臺，充分滿意教育行業(yè)將來海量數(shù)據(jù)傳輸?shù)男枨螅煌ㄟ^網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計(jì)和產(chǎn)品功能上的支持，可以為用戶構(gòu)建1:1收斂比的整體網(wǎng)絡(luò)結(jié)構(gòu)，整個(gè)網(wǎng)絡(luò)沒有瓶頸，這在分布式計(jì)算環(huán)境（如進(jìn)行多數(shù)據(jù)源的數(shù)據(jù)分析）可以很好地保障網(wǎng)絡(luò)質(zhì)量。牢靠：通過VSU（VirtualSwitchUnit，虛擬交換單元）實(shí)現(xiàn)網(wǎng)絡(luò)資源虛擬化，提升整個(gè)數(shù)據(jù)中心的牢靠性，使得網(wǎng)絡(luò)故障自動恢復(fù)時(shí)間從秒級提升到毫秒級，網(wǎng)絡(luò)的牢靠性提升幾十倍，達(dá)到99.999%。多業(yè)務(wù)融合：在數(shù)據(jù)中心交換機(jī)上，支持FCoE功能，實(shí)現(xiàn)存儲和網(wǎng)絡(luò)的融合，使得云計(jì)算要求的資源池構(gòu)建和資源調(diào)度更加機(jī)敏。2.4接入層設(shè)計(jì)在高性能方面，供應(yīng)強(qiáng)大的緩存能力，支持先進(jìn)的緩存調(diào)度機(jī)制可以保證設(shè)備緩存能力有效利用的最大化；供應(yīng)高密度的10G及40G接口，全部端口均可實(shí)現(xiàn)線速轉(zhuǎn)發(fā)，滿意數(shù)據(jù)中心萬兆服務(wù)器無阻塞上聯(lián)的需求。在高牢靠方面，支持將多臺物理設(shè)備虛擬化為一臺邏輯設(shè)備，統(tǒng)一運(yùn)行管理，削減網(wǎng)絡(luò)節(jié)點(diǎn)，增加網(wǎng)絡(luò)牢靠性。可實(shí)現(xiàn)50~200ms鏈路故障快速切換，保障關(guān)鍵業(yè)務(wù)不中斷傳輸。支持跨設(shè)備鏈路聚合，便利接入服務(wù)器/交換機(jī)實(shí)現(xiàn)雙活鏈路上聯(lián)。

在適應(yīng)性方面，支持虛擬機(jī)感知及平安策略自動遷移，實(shí)現(xiàn)虛擬主機(jī)全網(wǎng)范圍內(nèi)自由遷移時(shí)對應(yīng)平安把握策略的同步遷移，消退服務(wù)器虛擬化環(huán)境中網(wǎng)絡(luò)平安漏洞，削減網(wǎng)絡(luò)維護(hù)工作量。在網(wǎng)絡(luò)接入方面，可為服務(wù)器供應(yīng)FC和FCoE接入和以太網(wǎng)接入服務(wù)，同時(shí)為傳統(tǒng)IPSAN用戶供應(yīng)無損以太網(wǎng)傳輸，增加IPSAN的牢靠性，從而幫忙用戶輕松整合異構(gòu)的LAN和SAN兩張網(wǎng)絡(luò)，削減網(wǎng)絡(luò)中的設(shè)備數(shù)量，既能真正實(shí)現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)的融合，又能充分保護(hù)用戶既有投資。2.5虛機(jī)感知與策略遷移解決方案支持虛擬機(jī)感知及平安策略自動遷移，有效實(shí)現(xiàn)大規(guī)模服務(wù)器虛擬化應(yīng)用環(huán)境中虛擬機(jī)流量的平安把握策略統(tǒng)一部署，并通過數(shù)據(jù)中心網(wǎng)絡(luò)管理平臺協(xié)作數(shù)據(jù)中心交換機(jī)、虛擬機(jī)管理把握平臺，實(shí)現(xiàn)虛擬主機(jī)全網(wǎng)范圍內(nèi)自由遷移時(shí)對應(yīng)平安把握策略的同步遷移，消退服務(wù)器虛擬化環(huán)境中網(wǎng)絡(luò)平安漏洞，削減網(wǎng)絡(luò)維護(hù)工作量。虛機(jī)感知過程：1）虛擬機(jī)上線，發(fā)送攜帶自己vlan的報(bào)文。2）接入交換機(jī)檢測到虛擬機(jī)發(fā)出的ARP/RARP消息，感知到虛擬機(jī)，將虛擬機(jī)的接入端口加入vlan（虛擬機(jī)），并向上轉(zhuǎn)發(fā)ARP/RARP消息。3）核心交換機(jī)學(xué)習(xí)到虛擬機(jī)ARP/RARP報(bào)文后，向下定位虛擬機(jī)接入的具體端口，下發(fā)ACL配置策略到接入交換機(jī)的虛擬機(jī)接入端口。4）虛擬機(jī)接入端口應(yīng)用ACL配置策略虛機(jī)遷移過程：1）虛擬機(jī)遷移后，接入交換機(jī)通過ARP報(bào)文學(xué)習(xí)到虛擬機(jī)的MAC和Vlan信息，在接入端口動態(tài)添加虛擬機(jī)vlan。2）接入交換機(jī)轉(zhuǎn)發(fā)RARP報(bào)文告知網(wǎng)關(guān)（核心交換機(jī)），核心交換機(jī)推斷到虛擬機(jī)發(fā)生遷移，重新定位和下發(fā)ACL策略到接入交換機(jī)。3）接入交換機(jī)在虛擬機(jī)接入端口應(yīng)用ACL策略。注：假如在同一臺接入交換機(jī)內(nèi)遷移，則此接入交換機(jī)直接將策略應(yīng)用到新的接入端口；假如虛擬機(jī)跨交換機(jī)遷移、則核心交換機(jī)將網(wǎng)絡(luò)策略自動下發(fā)到新的接入交換機(jī)接入端口，實(shí)現(xiàn)策略自動跟隨。3、云平安平臺設(shè)計(jì)3.1數(shù)據(jù)中心平安概述數(shù)據(jù)中心是由許多個(gè)分區(qū)組成的，例如外聯(lián)區(qū)、管理分區(qū)、服務(wù)器分區(qū)、存儲區(qū)、開發(fā)測試區(qū)等等。數(shù)據(jù)中心的平安措施包括許多方面：設(shè)置嚴(yán)格的管理制度，實(shí)行人員通行證、人員登記、人員操作備案等等。把握人員訪問權(quán)限的平安，實(shí)現(xiàn)最小授權(quán)，業(yè)務(wù)嚴(yán)格劃分。對業(yè)務(wù)人員進(jìn)行平安培訓(xùn)，建立嚴(yán)格的平安制度等，削減或避開平安事故的發(fā)生。設(shè)置簡潔的密碼，防止賬號密碼被盜用等。而在本章中，主要描述的是數(shù)據(jù)中心網(wǎng)絡(luò)平安方面的內(nèi)容。網(wǎng)絡(luò)平安問題主要分為四類：網(wǎng)絡(luò)攻擊：例如DDoS攻擊、掃描類攻擊、窺探類攻擊、畸形包攻擊等。漏洞入侵：黑客利用操作系統(tǒng)、數(shù)據(jù)庫、Webserver等存在的漏洞進(jìn)行入侵。病毒威逼：各種類型的病毒，威逼數(shù)據(jù)中心服務(wù)器的平安。內(nèi)部人員威逼：例如內(nèi)網(wǎng)用戶越權(quán)訪問、非法竊取數(shù)據(jù)等等。3.2平安威逼及措施數(shù)據(jù)中心由于進(jìn)行數(shù)據(jù)的集中式管理，數(shù)據(jù)量大而且非常重要，往往更簡潔成為攻擊目標(biāo)，而采用單一的平安防范技術(shù)很難行之有效，所以需要對數(shù)據(jù)中心進(jìn)行全方位的防護(hù)，針對不同的分區(qū)建設(shè)有針對性的防護(hù)。數(shù)據(jù)中心的平安威逼來自于網(wǎng)絡(luò)的各個(gè)層面，從物理層始終到應(yīng)用層。需要針對各層的平安威逼的特點(diǎn)做出一系列的應(yīng)對措施，如內(nèi)容深度防守、二到七層的全方位防范、訪問把握、協(xié)議棧的平安防范以及二到四層的攻擊防范等。數(shù)據(jù)中心內(nèi)各個(gè)分區(qū)存在的平安威逼不盡相同，如下圖所示。依據(jù)數(shù)據(jù)中心各個(gè)分區(qū)的平安威逼、平安設(shè)計(jì)原則、應(yīng)對措施推舉。在數(shù)據(jù)中心，由于業(yè)務(wù)的特點(diǎn)不同，分區(qū)的平安狀況和上圖可能有些區(qū)別，可以依據(jù)平安威逼的類別適當(dāng)添加和削減平安設(shè)備。序號IT平安威逼類型IT平安技術(shù)保護(hù)措施威逼分類威逼名稱威逼來源威逼動機(jī)威逼對象威逼影響平安識別與監(jiān)控平安防護(hù)平安審計(jì)與恢復(fù)1系統(tǒng)惡意代碼病毒外部有意系統(tǒng)機(jī)密性、完整性、可用性防毒墻身份認(rèn)證、惡意代碼保護(hù)、防病毒網(wǎng)關(guān)平安審計(jì)木馬外部有意系統(tǒng)機(jī)密性、完整性、可用性蠕蟲外部、內(nèi)部有意、無意網(wǎng)絡(luò)、系統(tǒng)機(jī)密性、完整性、可用性后門外部、內(nèi)部有意系統(tǒng)、應(yīng)用機(jī)密性、完整性、可用性間諜軟件外部有意系統(tǒng)、應(yīng)用機(jī)密性、完整性、可用性2網(wǎng)絡(luò)平安攻擊拒絕服務(wù)攻擊外部攻擊有意網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用可用性入侵檢測系統(tǒng)拒絕服務(wù)攻擊保護(hù)、入侵防守平安審計(jì)僵尸網(wǎng)絡(luò)外部攻擊有意網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用可用性入侵檢測系統(tǒng)拒絕服務(wù)攻擊保護(hù)、入侵防守平安審計(jì)網(wǎng)絡(luò)欺騙攻擊外部攻擊有意網(wǎng)絡(luò)、系統(tǒng)機(jī)密性、完整性、可用性入侵檢測系統(tǒng)網(wǎng)絡(luò)訪問把握、入侵防守平安審計(jì)嗅探掃描外部攻擊有意網(wǎng)絡(luò)、系統(tǒng)機(jī)密性、可用性平安漏洞掃描、入侵檢測網(wǎng)絡(luò)訪問把握、入侵防守平安審計(jì)非法數(shù)據(jù)傳播外部、內(nèi)部有意網(wǎng)絡(luò)機(jī)密性網(wǎng)絡(luò)流量管理平安審計(jì)3應(yīng)用攻擊SQL注入攻擊外部、內(nèi)部有意應(yīng)用機(jī)密性、完整性、可用性入侵檢測系統(tǒng)、平安漏洞掃描WEB應(yīng)用保護(hù)墻、入侵防守系統(tǒng)平安審計(jì)跨站攻擊外部、內(nèi)部有意應(yīng)用機(jī)密性、完整性、可用性入侵檢測系統(tǒng)、平安漏洞掃描WEB應(yīng)用保護(hù)墻、入侵防守系統(tǒng)平安審計(jì)緩沖區(qū)溢出攻擊外部、內(nèi)部有意應(yīng)用機(jī)密性、完整性、可用性入侵檢測系統(tǒng)、平安漏洞掃描WEB應(yīng)用保護(hù)墻、入侵防守系統(tǒng)平安審計(jì)文檔上傳攻擊外部、內(nèi)部有意應(yīng)用機(jī)密性、完整性、可用性入侵檢測系統(tǒng)、平安漏洞掃描WEB應(yīng)用保護(hù)墻、入侵防守系統(tǒng)平安審計(jì)網(wǎng)站網(wǎng)頁掛馬外部、內(nèi)部有意應(yīng)用機(jī)密性、完整性、可用性入侵檢測系統(tǒng)、平安漏洞掃描WEB應(yīng)用保護(hù)墻、入侵防守系統(tǒng)、網(wǎng)頁防篡改平安審計(jì)4綜合權(quán)限平安非授權(quán)訪問外部、內(nèi)部有意網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)機(jī)密性、完整性、可用性防火墻身份認(rèn)證、入侵防守系統(tǒng)、終端平安防護(hù)平安審計(jì)權(quán)力濫用內(nèi)部有意網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)機(jī)密性、完整性、可用性防火墻終端平安防護(hù)平安審計(jì)3.3數(shù)據(jù)中心平安設(shè)計(jì)1）設(shè)計(jì)原則數(shù)據(jù)中心的平安的設(shè)計(jì)原則包含六個(gè)方面，如下表所示：原則描述牢靠穩(wěn)定平安設(shè)備避開單點(diǎn)故障，切實(shí)保障網(wǎng)絡(luò)中的平安以及網(wǎng)絡(luò)的正常運(yùn)行?？蓴U(kuò)展化采用模塊化體系結(jié)構(gòu)，便于功能的添加和削減。分區(qū)管理不同區(qū)域采用不同平安策略，平安措施有針對性，有利于效率的提升。最小授權(quán)依據(jù)“缺省拒絕”方式制定防護(hù)策略。在身份鑒別的基礎(chǔ)上，只授權(quán)開放必要的訪問權(quán)限，并保證數(shù)據(jù)平安的完整性、機(jī)密性、可用性。平安管理關(guān)聯(lián)事件分析，評估平安狀態(tài)，便于準(zhǔn)時(shí)調(diào)整平安策略。運(yùn)維審計(jì)降低資源風(fēng)險(xiǎn)，完善責(zé)任認(rèn)定。2）功能和分區(qū)平安設(shè)計(jì)數(shù)據(jù)中心的平安設(shè)計(jì)時(shí)，至少需考慮三個(gè)方面的功能，如表所示。功能描述防護(hù)針對外部攻擊，需要進(jìn)行平安域的劃分，把整個(gè)區(qū)域劃分為多個(gè)不同安全等級的子區(qū)域；進(jìn)行訪問把握，對攻擊進(jìn)行防護(hù)，并在一些業(yè)務(wù)上允許用戶建立平安隧道。免疫針對內(nèi)部威逼，主要是能識別終端風(fēng)險(xiǎn)，對終端進(jìn)行認(rèn)證授權(quán)，對文檔進(jìn)行平安的管理和把握等?？晒芾碇饕高\(yùn)維行為管理，對運(yùn)維終端進(jìn)行認(rèn)證和授權(quán)，對運(yùn)維的行為進(jìn)行升級，對平安事件進(jìn)行分析。3）分區(qū)平安建議及應(yīng)對針數(shù)據(jù)中心各個(gè)分區(qū)的平安威逼，制定不同的部署建議以及推舉的產(chǎn)品，如下表所示：平安區(qū)域存在問題及風(fēng)險(xiǎn)信任策略部署建議部署價(jià)值內(nèi)網(wǎng)接入?yún)^(qū)非法業(yè)務(wù)訪問信任部署防火墻解決內(nèi)網(wǎng)用戶非法訪問問題WAN接入?yún)^(qū)非法業(yè)務(wù)訪問信任部署防火墻解決分支用戶非法訪問問題Internet接入?yún)^(qū)互聯(lián)網(wǎng)DDoS流量攻擊非法業(yè)務(wù)訪問、NATVPN平安接入不信任部署Anti-DDoS部署防火墻部署SSLVPN設(shè)備解決DDoS攻擊、業(yè)務(wù)非法訪問、遠(yuǎn)程用戶平安接入問題合作伙伴接入?yún)^(qū)VPN平安接入非法業(yè)務(wù)訪問部分信任雙層部署防火墻解決業(yè)務(wù)非法訪問問題業(yè)務(wù)可采用VPN接入業(yè)務(wù)服務(wù)區(qū)非法業(yè)務(wù)訪問黑客入侵行為信任部署防火墻部署IPS設(shè)備解決業(yè)務(wù)非法訪問、黑客入侵攻擊問題網(wǎng)管維護(hù)區(qū)非法業(yè)務(wù)訪問缺乏平安事件管理缺乏平安設(shè)備管理缺乏平安運(yùn)維審計(jì)部署防火墻部署SoC系統(tǒng)部署平安設(shè)備管理系統(tǒng)部署堡壘主機(jī)解決業(yè)務(wù)非法訪問，平安事件關(guān)聯(lián)、平安設(shè)備管理與運(yùn)維審計(jì)問題3.3.1防火墻平安分區(qū)在平安設(shè)計(jì)時(shí)，首先要將網(wǎng)絡(luò)劃分為不同的功能區(qū)域，用于部署不同的應(yīng)用，使得整個(gè)網(wǎng)絡(luò)的架構(gòu)具備可伸縮性、機(jī)敏性、和高可用性。服務(wù)器將會依據(jù)服務(wù)器上的應(yīng)用的用戶訪問特性和應(yīng)用的核心功能分成不同組部署在不同的區(qū)域中，但是由于整個(gè)數(shù)據(jù)中心的許多服務(wù)是統(tǒng)一供應(yīng)的，例如數(shù)據(jù)備份和系統(tǒng)管理，所以為保持架構(gòu)的統(tǒng)一性，避開資源不必要的重復(fù)鋪張，一些功能相像的服務(wù)將統(tǒng)一部署在特定的功能區(qū)域內(nèi)，例如與管理相關(guān)的服務(wù)器將被部署在管理區(qū)。實(shí)際部署中，建議通過防火墻實(shí)現(xiàn)平安區(qū)域的邊界隔離與訪問把握，防火墻定義為高級的平安訪問把握設(shè)備，通過位于不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間信息的唯一連接處，依據(jù)組織的業(yè)務(wù)特點(diǎn)、行業(yè)背景、管理制度所制定的平安策略，運(yùn)用包過濾、代理網(wǎng)關(guān)、NAT轉(zhuǎn)換、IP/MAC地址綁定等技術(shù)，實(shí)現(xiàn)對出入網(wǎng)絡(luò)的信息流進(jìn)行全面的安區(qū)把握（允許通過、拒絕通過、過程監(jiān)測）,供應(yīng)外部攻擊防范、內(nèi)網(wǎng)平安、狀態(tài)檢測等功能有效的保證網(wǎng)絡(luò)的平安。并可通過虛擬防火墻，劃分多個(gè)邏輯的防火墻實(shí)例來實(shí)現(xiàn)對用戶多個(gè)業(yè)務(wù)獨(dú)立平安策略部署的需求。3.3.2關(guān)鍵路徑進(jìn)行入侵防守隨著網(wǎng)絡(luò)技術(shù)的飛速進(jìn)展，應(yīng)用層威逼的日益流行，以木馬、間諜軟件、網(wǎng)頁篡改、DDoS攻擊為代表的應(yīng)用層攻擊層出不窮，傳統(tǒng)的防火墻防守只能基于網(wǎng)絡(luò)層針對IP報(bào)文頭進(jìn)行檢查和規(guī)章匹配，無法識別隱藏在正常報(bào)文中或跨越幾個(gè)報(bào)文的應(yīng)用層攻擊；而傳統(tǒng)的IDS等旁路應(yīng)用層平安設(shè)備由于不能實(shí)時(shí)阻斷平安威逼的傳播，缺乏有用性。因此完善的解決方案是部署入侵防守系統(tǒng)，通過將入侵防守IPS部署于業(yè)務(wù)關(guān)鍵路徑供應(yīng)對網(wǎng)絡(luò)L4～L7流量的深度分析與檢測能力，有效檢測并實(shí)時(shí)阻斷隱藏網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，從而達(dá)到對網(wǎng)絡(luò)上應(yīng)用的保護(hù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護(hù)和網(wǎng)絡(luò)性能的保護(hù)。在網(wǎng)絡(luò)中部署入侵防守系統(tǒng)可實(shí)現(xiàn)如下功能：網(wǎng)絡(luò)信息包嗅探與網(wǎng)絡(luò)訪問監(jiān)控：依據(jù)實(shí)際業(yè)務(wù)需要定制相關(guān)規(guī)章，可定義權(quán)限的特定資源，時(shí)間段，權(quán)限，非法訪問行為或除特定資源合法訪問行為之外的全部訪問行為進(jìn)行監(jiān)控。應(yīng)用層攻擊特征檢測：供應(yīng)詳盡、細(xì)粒度的應(yīng)用協(xié)議分析技術(shù)，針對數(shù)據(jù)業(yè)務(wù)訪問的應(yīng)用層進(jìn)行攻擊檢測，可自動檢測網(wǎng)絡(luò)實(shí)時(shí)數(shù)據(jù)流中符合特征的攻擊行為，系統(tǒng)維護(hù)一個(gè)強(qiáng)大的攻擊特征庫，用戶可以定期更新，確保能夠檢測到最新的攻擊事件。特別檢測與防護(hù)：包括通過對在特定時(shí)間間隔內(nèi)超流量、超連接的數(shù)據(jù)包進(jìn)行檢測等方式，實(shí)現(xiàn)對DOS/DDOS攻擊、掃描等攻擊事件的檢測也防護(hù)。3.3.3Web應(yīng)用平安防護(hù)隨著信息不斷深化應(yīng)用，基于web的業(yè)務(wù)系統(tǒng)越來越多，然而Web服務(wù)器存在的脆弱性將導(dǎo)致web應(yīng)用及業(yè)務(wù)系統(tǒng)受到嚴(yán)峻的平安風(fēng)險(xiǎn)。因此需要建立Web應(yīng)用防護(hù)能力，通過對進(jìn)出Web服務(wù)器的HTTP/HTTPS流量相關(guān)內(nèi)容的實(shí)時(shí)分析檢測、過濾，來精確判定并阻擋各種Web應(yīng)用入侵行為，阻斷對Web服務(wù)器的惡意訪問與非法操作，適應(yīng)Web2.0時(shí)代的主動實(shí)時(shí)監(jiān)測過濾風(fēng)險(xiǎn)技術(shù)，而不是被動的遭受攻擊后的恢復(fù)通過將惡意代碼、非授權(quán)篡改、應(yīng)用攻擊等眾多因素結(jié)合在一起進(jìn)行綜合防范，從而做到對Web服務(wù)器的多重保護(hù)，確保Web應(yīng)用平安的最大化，防止網(wǎng)頁內(nèi)容被篡改，防止網(wǎng)站數(shù)據(jù)庫內(nèi)容泄露，防止口令被突破，防止系統(tǒng)管理員權(quán)限被竊取，防止網(wǎng)站被掛馬和植入病毒、惡意代碼、間諜軟件等，防止用戶輸入信息的泄露，防止賬號失竊，防SQL注入，防XSS攻擊等。

同時(shí)結(jié)合漏洞掃描功能、平安審計(jì)設(shè)備，實(shí)現(xiàn)對web服務(wù)器系統(tǒng)的“事前預(yù)警、事中防守、事后審計(jì)”。3.3.4網(wǎng)絡(luò)與數(shù)據(jù)庫平安審計(jì)雖然網(wǎng)絡(luò)中已經(jīng)采用了\t"/68/_blank"防火墻、\t"/68/_blank"入侵防守等平安措施，但對主機(jī)核心業(yè)務(wù)數(shù)據(jù)平安進(jìn)行有效把握的關(guān)鍵是事前制定和實(shí)施平安把握策略、事中進(jìn)行嚴(yán)格管理和把握、事后加強(qiáng)審計(jì)。因此如何準(zhǔn)確定位事件源頭，有效監(jiān)控業(yè)務(wù)系統(tǒng)訪問行為和敏感信息傳播，把握網(wǎng)絡(luò)系統(tǒng)的平安狀態(tài)，準(zhǔn)時(shí)發(fā)覺違反平安策略的事件并實(shí)時(shí)告警、記錄，同時(shí)進(jìn)行平安事件定位分析，事后追查取證，滿意合規(guī)性審計(jì)要求，是企業(yè)迫切需要解決的問題。平安審計(jì)從兩個(gè)層面來考慮和部署，一是網(wǎng)絡(luò)行為平安審計(jì)、二是數(shù)據(jù)庫訪問平安審計(jì)，分別從網(wǎng)絡(luò)層和主機(jī)層實(shí)現(xiàn)訪問平安審計(jì)及事件溯源。部署行為平安審計(jì)設(shè)備，對網(wǎng)絡(luò)流量進(jìn)行監(jiān)聽，對網(wǎng)絡(luò)活動進(jìn)行解析、記錄、分析，以幫忙平安管理人員了解、發(fā)覺、追查網(wǎng)絡(luò)平安事故，依據(jù)國家有關(guān)法規(guī)規(guī)定保存審計(jì)日志，以便進(jìn)行事后的審計(jì)和分析。部署數(shù)據(jù)庫平安審計(jì)設(shè)備，監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為，通過對網(wǎng)絡(luò)數(shù)據(jù)的分析，實(shí)時(shí)地、智能地解析對數(shù)據(jù)庫服務(wù)器的各種操作，并記入審計(jì)數(shù)據(jù)庫中以便日后進(jìn)行查詢、分析、過濾，實(shí)現(xiàn)對目標(biāo)數(shù)據(jù)庫系統(tǒng)的用戶操作的監(jiān)控和審計(jì)。在不影響數(shù)據(jù)庫系統(tǒng)自身性能的前提下，實(shí)現(xiàn)對數(shù)據(jù)庫的在線監(jiān)控和保護(hù)，準(zhǔn)時(shí)地發(fā)覺網(wǎng)絡(luò)上針對數(shù)據(jù)庫的違規(guī)操作行為并進(jìn)行記錄、報(bào)警和實(shí)時(shí)阻斷，有效地彌補(bǔ)現(xiàn)有應(yīng)用業(yè)務(wù)系統(tǒng)在數(shù)據(jù)庫平安使用上的不足，為數(shù)據(jù)庫系統(tǒng)的平安運(yùn)行供應(yīng)了有力保障。

3.4.5運(yùn)維審計(jì)堡壘機(jī)針對運(yùn)維平安部署堡壘機(jī)實(shí)現(xiàn)對運(yùn)維訪問統(tǒng)一權(quán)限把握，提高系統(tǒng)運(yùn)維管理水平，跟蹤服務(wù)器上用戶的操作行為，防止黑客的入侵和破壞，供應(yīng)把握和審計(jì)依據(jù)，降低運(yùn)維成本，銳捷堡壘機(jī)具備強(qiáng)大的平安防護(hù)能力，能夠攔截非法訪問和惡意攻擊，對不合法命令進(jìn)行阻斷、過濾掉全部對目標(biāo)設(shè)備的非法訪問行為。并且能夠具體記錄用戶操作的每一條指令，能夠?qū)⑷康妮敵鲂畔⑷坑涗浵聛?，具備審?jì)回訪功能，能夠模擬用戶的在線操作過程，豐富和完善了網(wǎng)絡(luò)的內(nèi)控審計(jì)功能。3.4平安域規(guī)劃設(shè)計(jì)平安域是指信息系統(tǒng)中有相同的平安保護(hù)需求、相互信任，并具有相同的平安訪問把握和邊界把握策略的子網(wǎng)或網(wǎng)絡(luò)，且相同的網(wǎng)絡(luò)平安域共享一樣的平安策略。進(jìn)行平安域劃分可以幫忙理順網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的架構(gòu)，使得信息系統(tǒng)的邏輯結(jié)構(gòu)更加清楚，從而更便于進(jìn)行運(yùn)行維護(hù)和各類平安防護(hù)的設(shè)計(jì)?；谄桨灿虻谋Ｗo(hù)實(shí)際上是一種工程方法，它極大的簡化了系統(tǒng)的防護(hù)簡潔度，由于屬于同一平安域的信息資產(chǎn)具備相同的IT要素，因此可以針對平安域而不是信息資產(chǎn)來進(jìn)行防護(hù)，這樣會比基于資產(chǎn)的等級保護(hù)更易實(shí)施。3.4.1平安域總體架構(gòu)在劃分平安域的時(shí)候主要依據(jù)信息系統(tǒng)的行為來進(jìn)行，由于具備不同行為的信息系統(tǒng)遭受的平安威逼不同，因此實(shí)際劃分的時(shí)候可以對每個(gè)信息系統(tǒng)進(jìn)行分析，通過行為需求和平安需求共同分析出該子系統(tǒng)應(yīng)當(dāng)屬于哪個(gè)平安域。平安域總體架構(gòu)如下圖：平安域總體架構(gòu)圖3.4.2平安域規(guī)劃設(shè)計(jì)平安域的劃分從兩個(gè)方面來考慮：一是網(wǎng)絡(luò)互連層面的平安域劃分，二是業(yè)務(wù)主機(jī)（物理服務(wù)器及虛擬機(jī)）的平安域劃分。平安支撐域和平安互聯(lián)域之間的全部互訪接口整合為一個(gè)邊界，外連接入、內(nèi)部網(wǎng)絡(luò)接入、網(wǎng)管運(yùn)維中心、數(shù)據(jù)中心等之間的互訪必需經(jīng)過平安互聯(lián)域，不允許直接連接。各業(yè)務(wù)區(qū)域和和平安互聯(lián)域之間的全部互訪接口整合為一個(gè)邊界，平凡業(yè)務(wù)子域、重要業(yè)務(wù)子域、核心業(yè)務(wù)子域之間的互訪必需經(jīng)過平安互聯(lián)域，不允許直接連接。邊界接入域和平安互聯(lián)域之間的全部互訪接口整合為一個(gè)邊界，廣域網(wǎng)互聯(lián)子域、外部網(wǎng)互聯(lián)子域、因特網(wǎng)互聯(lián)子域和其他平安域或子域之間的互訪必需經(jīng)過平安互聯(lián)域，不允許直接連接。廣域網(wǎng)互聯(lián)子域、外部網(wǎng)互聯(lián)子域、因特網(wǎng)互聯(lián)子域之間的互訪必需經(jīng)過平安互聯(lián)域，不允許直接連接。3.5數(shù)據(jù)中心服務(wù)器平安措施1）數(shù)據(jù)中心服務(wù)器區(qū)訪問風(fēng)險(xiǎn)對服務(wù)器區(qū)的非法訪問；服務(wù)器區(qū)內(nèi)不同級服務(wù)器間的非法訪問；針對服務(wù)器的應(yīng)用層攻擊。2）數(shù)據(jù)中心服務(wù)器區(qū)的平安措施：A.防范對服務(wù)器的訪問風(fēng)險(xiǎn)能夠有效隔離數(shù)據(jù)中心其他分區(qū)到服務(wù)器區(qū)，常見的攻擊行為，病毒傳播進(jìn)行有效阻斷，防止對服務(wù)器區(qū)網(wǎng)絡(luò)造成影響；對服務(wù)器區(qū)內(nèi)各級服務(wù)器做到有效隔離，防范單臺主機(jī)被攻陷后導(dǎo)致整個(gè)服務(wù)器分區(qū)的平安風(fēng)險(xiǎn)；隔離并查殺來自外分區(qū)的病毒。B.業(yè)務(wù)訪問過程中的平安威逼數(shù)據(jù)中心服務(wù)器區(qū)與其他各區(qū)之間的邏輯隔離與訪問把握；數(shù)據(jù)中心服務(wù)器區(qū)邊界部署；數(shù)據(jù)中心服務(wù)器區(qū)接入層與匯聚層之間部署；C.數(shù)據(jù)中心服務(wù)器區(qū)與其他分區(qū)及其分區(qū)內(nèi)各級服務(wù)器間的隔離在數(shù)據(jù)中心服務(wù)器區(qū)與其他分區(qū)進(jìn)行邊界隔離，并通過嚴(yán)格的訪問把握，限制其他分區(qū)對服務(wù)器區(qū)的訪問，杜絕非法的訪問；在數(shù)據(jù)中心服務(wù)器區(qū)內(nèi)各級服務(wù)器間進(jìn)行邊界隔離，并通過嚴(yán)格的訪問把握，限制各級服務(wù)器之間的訪問，杜絕非法的訪問限制數(shù)據(jù)中心內(nèi)服務(wù)器對外的訪問。4、統(tǒng)一運(yùn)維平臺設(shè)計(jì)4.1統(tǒng)一運(yùn)維建設(shè)概述隨著IT與業(yè)務(wù)融合進(jìn)程的逐步深化，IT運(yùn)維管理擔(dān)負(fù)起的角色越來越重要，而作為業(yè)務(wù)重要支撐元素的IT運(yùn)維管理正面臨著越來越多的挑戰(zhàn)。始終以來，IT運(yùn)維管理工作的焦點(diǎn)都只是在技術(shù)層面，單純地追求IT組件的穩(wěn)定運(yùn)行和性能質(zhì)量，以“999”等類似的指標(biāo)來評價(jià)運(yùn)維的好壞，這將許多人帶入了“重技術(shù)質(zhì)量，輕業(yè)務(wù)指標(biāo)”的誤區(qū)。但是具體是“系統(tǒng)哪部分毀滅了問題？業(yè)務(wù)系統(tǒng)為什么會越用越慢呢？”面對這些疑問，在基于設(shè)備管理的模式中，IT運(yùn)維工程師只能逐個(gè)檢測網(wǎng)絡(luò)、應(yīng)用、中間件和數(shù)據(jù)存儲環(huán)節(jié)，缺少一種從業(yè)務(wù)層面實(shí)施IT管理、IT服務(wù)的工具。在IT運(yùn)維管理中，運(yùn)維人員不僅僅維護(hù)管理某幾種IT資源、某幾款I(lǐng)T資源，常常面對的是具備不同功能特點(diǎn)、不同廠家、不同型號的IT資源，甚至還要管理包括機(jī)房環(huán)境、機(jī)柜等非IT資源。那么，是否有一套有效的工具和方法能夠?qū)⑦@些種類繁多、關(guān)系簡潔的資源進(jìn)行綜合的管理，就成了當(dāng)前IT管理所關(guān)注的熱點(diǎn)。4.2統(tǒng)一運(yùn)維建設(shè)目標(biāo)從業(yè)務(wù)視角全面把握IT系統(tǒng)健康水平供應(yīng)多種業(yè)務(wù)分析模型，構(gòu)建IT資源到業(yè)務(wù)的關(guān)聯(lián)關(guān)系，通過健康指數(shù)K線圖、業(yè)務(wù)雷達(dá)視圖、業(yè)務(wù)卡片、業(yè)務(wù)服務(wù)一覽、業(yè)務(wù)關(guān)聯(lián)分析等多種形式實(shí)時(shí)把握IT資源特別對業(yè)務(wù)造成的影響，從業(yè)務(wù)視角全面把握IT運(yùn)行的健康水平。統(tǒng)一IT資源管理