XX省政務(wù)專用云項目方案

XX省政務(wù)專用云項目技術(shù)文件

目錄第1章對本項目的技術(shù)服務(wù)類總體要求的理解 51.1項目背景介紹 51.2項目建設(shè)意義 51.3項目建設(shè)原則 71.4總體建設(shè)目標與分期建設(shè)目標 71.5總體建設(shè)任務(wù)與分期建設(shè)任務(wù) 71.6項目需求的理解 81.7xx省電子政務(wù)現(xiàn)狀調(diào)研 81.8xx省政務(wù)專有云建設(shè)關(guān)鍵需求 9第2章項目總體架構(gòu)及技術(shù)解決方案 112.1總體方案設(shè)計 11全省政務(wù)云總體架構(gòu) 11云平臺架構(gòu) 122.2機房基礎(chǔ)設(shè)施 142.2.1IDC機房介紹 14網(wǎng)絡(luò)資源介紹 19線路租用方案設(shè)計 19應(yīng)急響應(yīng)保障 202.3政務(wù)專有云平臺 26物理資源層 26資源抽象與控制層 38云服務(wù)層 56政務(wù)云網(wǎng)絡(luò) 892.4政務(wù)云管理平臺 92云管理平臺整體架構(gòu) 92云平臺分級管理 94設(shè)備管理 95資源管理 112資源編排 124資源監(jiān)控 131用戶管理 138流程管理 140日志管理 146報表管理 149計費策略管理 1532.5政務(wù)云基礎(chǔ)資源服務(wù)IaaS 154云主機服務(wù) 154云存儲服務(wù) 163云數(shù)據(jù)庫服務(wù) 166云防火墻服務(wù) 178云負載均衡服務(wù) 182云安全增值服務(wù) 186云節(jié)點服務(wù) 1912.6政務(wù)云平臺服務(wù)PaaS 1952.6.1PaaS概述 1952.6.2PaaS建設(shè)內(nèi)容 1962.6.3PaaS服務(wù) 1972.6.4PaaS優(yōu)勢 1972.7政務(wù)云應(yīng)用服務(wù)SaaS 1982.7.1SaaS概述 1982.7.2SaaS建設(shè)內(nèi)容 1982.7.3SaaS優(yōu)勢 1992.8政務(wù)云安全方案 199云安全需求及邊界劃分 199政務(wù)專有云安全體系架構(gòu) 201云平臺基礎(chǔ)安全能力 205多租戶云安全之防火墻服務(wù) 209多租戶云安全之負載均衡服務(wù) 214多租戶云安全之其他增值服務(wù) 2182.9政務(wù)云備份方案 222備份架構(gòu)設(shè)計 222存儲備份 224政務(wù)專有云數(shù)據(jù)備份 226云主機備份 231云數(shù)據(jù)庫備份 236備份策略 241第3章設(shè)備配置清單 243第4章政務(wù)業(yè)務(wù)應(yīng)用建設(shè)與遷移指引 2514.1新應(yīng)用系統(tǒng)建設(shè)與部署 2514.2老應(yīng)用系統(tǒng)云化建設(shè)咨詢 2534.3測試與上線 255開發(fā) 255開發(fā)測試環(huán)境 255測試支持 256上線 2564.4現(xiàn)有廳局委辦業(yè)務(wù)整合遷移 256應(yīng)用遷移 256虛擬化遷移 260數(shù)據(jù)遷移 2634.5業(yè)務(wù)遷移路標規(guī)劃 273

對本項目的技術(shù)服務(wù)類總體要求的理解項目背景介紹黨的十八屆三中全會通過的《中共中央關(guān)于全面深化改革若干重大問題的決定》明確指出，要深化行政審批制度改革，規(guī)范行政審批事項管理，提高行政審批辦事效率。2014年1月，省政府下發(fā)了《xx省網(wǎng)上政務(wù)大廳建設(shè)工作方案》（浙政辦發(fā)〔2014〕10號），決定以建設(shè)省市縣三級網(wǎng)上政務(wù)大廳為抓手，加快推進全省行政審批制度改革。為有效支撐全省網(wǎng)上政務(wù)大廳的運行，建立一套高速互連、高可靠性的全省政務(wù)云平臺勢在必行。xx省委、省政府主要領(lǐng)導(dǎo)高度關(guān)注電子政務(wù)建設(shè)，對省電子政務(wù)基礎(chǔ)設(shè)施利用率低、重復(fù)建設(shè)嚴重等現(xiàn)象作出重要批示，要求整合電子政務(wù)資源，進一步降低行政成本。要有效解決這一問題，其重要手段就是通過云計算技術(shù)來整合分散的計算、存儲、數(shù)據(jù)和業(yè)務(wù)資源，從根本上解決電子政務(wù)應(yīng)用部署靈活性不高、運維困難等問題。目前，全省統(tǒng)一的電子政務(wù)網(wǎng)絡(luò)已經(jīng)運行多年，其中電子政務(wù)外網(wǎng)承載了全省大部分政務(wù)部門的業(yè)務(wù)應(yīng)用。電子政務(wù)外網(wǎng)省至市廣域網(wǎng)帶寬為155MB，省市縣鄉(xiāng)四級電子政務(wù)網(wǎng)絡(luò)實現(xiàn)全覆蓋。部分政務(wù)部門已在應(yīng)用云計算技術(shù)，有些地方嘗試開展了地方云計算平臺的建設(shè)工作，能夠提供虛擬主機、存儲備份等基礎(chǔ)云服務(wù)，這些都為建設(shè)全省政務(wù)云提供一定的經(jīng)驗。同時，調(diào)研發(fā)現(xiàn)，大部分政務(wù)部門建設(shè)云計算系統(tǒng)時，較少部署云安全系統(tǒng)；少數(shù)省級廳局（如公安、稅務(wù)）初步建成異地災(zāi)備系統(tǒng)并投入運行。項目建設(shè)意義電子政務(wù)云平臺的搭建將有助于我省電子政務(wù)從粗放式、離散化的建設(shè)模式向集約化、整體化的可持續(xù)發(fā)展模式轉(zhuǎn)變，使政府管理服務(wù)從各自為政、相互封閉的運作方式向跨部門跨區(qū)域的協(xié)同互動和資源共享轉(zhuǎn)變。1、云計算能夠降低電子政務(wù)成本在電子政務(wù)云環(huán)境下，可以將信息技術(shù)資源交給專業(yè)的第三方云服務(wù)商管理，由云服務(wù)商提供需要的信息技術(shù)基礎(chǔ)架構(gòu)、軟硬件資源和信息服務(wù)等，政府根據(jù)按需付費的原則定制需要的信息服務(wù)。這為政府帶來了兩大好處：一是政府不需要投資建立數(shù)據(jù)中心和大型機房，購買服務(wù)器和存儲設(shè)備等，從而節(jié)省建設(shè)費用；二是信息軟硬件資源交給專業(yè)的云服務(wù)商管理，政府不再負擔(dān)信息系統(tǒng)維護和升級，節(jié)省了運維費用。2、云計算提高電子政務(wù)部署效率電子政務(wù)云具有較高的靈活性，政府實施新的電子政務(wù)工程時，不必購買額外的軟硬件，而是利用已有云基礎(chǔ)設(shè)施，快速部署系統(tǒng)，提高電子政務(wù)應(yīng)用部署速度。開發(fā)者在一個平臺上構(gòu)建和部署應(yīng)用程序，大大提高了信息系統(tǒng)部署效率。3、云計算降低信息共享和業(yè)務(wù)協(xié)同難度長期以來，我國電子政務(wù)普遍存在各自為政、資源分散等問題。盡管信息難以共享的根源在于電子政務(wù)機制問題，但云計算能從技術(shù)上降低信息共享和業(yè)務(wù)協(xié)同的難度。通過電子政務(wù)云平臺，多個政府部門可以共用相應(yīng)的基礎(chǔ)架構(gòu)，實現(xiàn)各政務(wù)系統(tǒng)之間的軟硬件共享，提高電子政務(wù)信息共享的效率，擴大信息共享范圍；軟硬件資源和信息資源的共享將有利于促進各部門內(nèi)部與部門之間的業(yè)務(wù)系統(tǒng)的整合，為政府部門業(yè)務(wù)協(xié)同創(chuàng)造條件。4、云計算有助于提高政府服務(wù)效率電子政務(wù)云實現(xiàn)政府軟硬件資源所有權(quán)與使用權(quán)的分離，政府將在不擁有軟硬件資源的情況下享受信息服務(wù)。因此，政府部門能夠集中人力物力進行本部門的業(yè)務(wù)運轉(zhuǎn)，從而減輕政府行政負擔(dān)，使政府能有更多的精力專注于面向公眾的公共服務(wù)，提高政府效率。同時，在部署了以云計算為技術(shù)支撐的電子政務(wù)云以后，后臺信息的煙囪式部署方式的壁壘將被打破，從而實現(xiàn)電子數(shù)據(jù)的統(tǒng)一共享，這對前臺服務(wù)界面的統(tǒng)一打通有著重要意義，將使得電子政務(wù)統(tǒng)一化不再停留在前臺展示層面，而切切實實的實現(xiàn)電子政務(wù)服務(wù)的高效與統(tǒng)一，老百姓在使用電子政務(wù)服務(wù)的時候，不再只是從紙質(zhì)服務(wù)到電子服務(wù)的變化，而是真正意義的一個窗口辦所有事情，大大提高了服務(wù)質(zhì)量，效率，以及老百姓的幸福感，從而助力和諧社會的建設(shè)。項目建設(shè)原則xx省政務(wù)專有云的總體建設(shè)原則如下：一、統(tǒng)一規(guī)范由于云計算是一個復(fù)雜的體系，應(yīng)在統(tǒng)一的框架體系下，參考國際國內(nèi)各方面的標準與規(guī)范，嚴格遵從各項技術(shù)規(guī)定，做好系統(tǒng)的標準化設(shè)計與施工。二、成熟穩(wěn)定由于云計算的發(fā)展變化很快，而本項目建設(shè)時間緊，涉及面廣，應(yīng)用性強，在設(shè)計過程中，應(yīng)選成熟穩(wěn)定的技術(shù)和產(chǎn)品，確保建成的政務(wù)云平臺適應(yīng)各方的需求，同時節(jié)約項目施工時間。三、實用先進為避免投資浪費，政務(wù)云平臺體系的設(shè)計不僅要求能夠滿足目前業(yè)務(wù)使用的需求，還必須具備一定的先進性和發(fā)展?jié)摿?，使系統(tǒng)具有容量的擴充與升級換代的可能，以便該項目在盡可能的時間內(nèi)與業(yè)務(wù)發(fā)展和信息技術(shù)進步相適應(yīng)。四、開放適用由于云計算平臺為各業(yè)務(wù)應(yīng)用系統(tǒng)提供支撐，必須充分考慮系統(tǒng)的開放性，提供開放標準接口，供開發(fā)者、用戶使用。五、安全可靠本項目涉及用戶范圍廣，數(shù)量大，實時性強，設(shè)計時應(yīng)加強系統(tǒng)安全防護能力，確保系統(tǒng)運行可靠，業(yè)務(wù)不中斷，數(shù)據(jù)不丟失?？傮w建設(shè)目標與分期建設(shè)目標本項目的總體目標是建設(shè)省政務(wù)云平臺和云網(wǎng)絡(luò)，為網(wǎng)上政務(wù)大廳和其他業(yè)務(wù)系統(tǒng)提供安全可靠的云基礎(chǔ)設(shè)施和云軟件服務(wù)。本項目共分兩期，第一期目標是在2014年5月底以前，建設(shè)省級政務(wù)云平臺和云網(wǎng)絡(luò)；第二期目標是在2015年6月底以前，各市按統(tǒng)一標準建設(shè)各地的政務(wù)云平臺和云網(wǎng)絡(luò)?？傮w建設(shè)任務(wù)與分期建設(shè)任務(wù)我省政務(wù)云的總體任務(wù)是完成xx省、市兩級政務(wù)云平臺，以及連通省、市、縣（市、區(qū)）三級的政務(wù)云網(wǎng)絡(luò)建設(shè)，形成完善的云安全保障、云災(zāi)難備份和云運維管理體系。第一期建設(shè)任務(wù)是制定省政務(wù)云平臺、安全和管理相關(guān)標準，建設(shè)省級政務(wù)云平臺、云網(wǎng)絡(luò)省級城域網(wǎng)及全省廣域骨干網(wǎng)，連通省、市、縣（市、區(qū)）單位的網(wǎng)上辦事大廳和業(yè)務(wù)系統(tǒng)，初步完成云安全和云運維管理體系建設(shè)，第二期建設(shè)任務(wù)是依照統(tǒng)一標準，各市根據(jù)實際情況建設(shè)本地政務(wù)云平臺及云網(wǎng)絡(luò)城域網(wǎng)，完成全省云安全、云災(zāi)難備份和云運維管理體系建設(shè)。項目需求的理解省政務(wù)服務(wù)網(wǎng)專有云平臺集中承載了支撐網(wǎng)上政務(wù)大廳運行的核心業(yè)務(wù)和數(shù)據(jù)，并對省級各廳局委辦政務(wù)部門提供基于IaaS、PaaS、SaaS層面的云服務(wù)，并通過政務(wù)云網(wǎng)絡(luò)將這些服務(wù)安全輸送給政務(wù)云用戶。政務(wù)云IaaS層，提供硬件和軟件基礎(chǔ)設(shè)施服務(wù)，具體可包括云主機、云存儲、云網(wǎng)絡(luò)、云數(shù)據(jù)庫、云負載均衡和云安全等服務(wù)；政務(wù)云SaaS層向云用戶提供即開即用的軟件服務(wù)；政務(wù)云PaaS層，提供統(tǒng)一的云應(yīng)用框架、開發(fā)測試平臺、數(shù)據(jù)交換平臺等通用功能組件。省政務(wù)專有云平臺建成之后，將成為各地市政務(wù)云中的備份中心，地市本地云資源（計算、存儲、網(wǎng)絡(luò)）不夠時，可以借用省政務(wù)專有云平臺的資源實現(xiàn)備份、擴展和業(yè)務(wù)的爆發(fā)。xx省電子政務(wù)現(xiàn)狀調(diào)研根據(jù)前期調(diào)研，我們了解到xx省政府機構(gòu)內(nèi)部管理領(lǐng)域信息化現(xiàn)狀。僅省直屬數(shù)據(jù)中心就建設(shè)了65個機房，面積8200多平方米，擁有超過小型機190余臺、PC服務(wù)器1400余臺，計算資源平均利用率約10-15%。具不完全統(tǒng)計，從2008以來到2012年xx省政府39個直屬部門的電子政務(wù)投入資金達11.7億元?？傮w來看，xx省政府機構(gòu)內(nèi)部管理領(lǐng)域的信息化現(xiàn)狀可以總結(jié)為以下三個特點，一是資源整合需求迫切；二是服務(wù)對象眾多；三是系統(tǒng)建設(shè)和維護成本較高。該領(lǐng)域信息化建設(shè)與云計算的結(jié)合解決方案就是電子政務(wù)云?？梢岳秒娮诱?wù)云，依托政務(wù)專網(wǎng)，為政府各個部門搭建一個底層的基礎(chǔ)架構(gòu)平臺，把現(xiàn)有的政務(wù)應(yīng)用遷移到平臺上并且在統(tǒng)一的基礎(chǔ)設(shè)施上開發(fā)定制未來的新應(yīng)用平臺和系統(tǒng)，去共享給各個政府部門，提高它的服務(wù)效率和服務(wù)的能力。目前，xx省電子政務(wù)主要面臨以下問題：一是網(wǎng)上政務(wù)大廳的建設(shè)。省級政府部門未設(shè)立集中辦事的實體大廳，迫切需要統(tǒng)一的政務(wù)云平臺，為審批業(yè)務(wù)系統(tǒng)提供云主機、云存儲、云開發(fā)平臺、共性應(yīng)用軟件等，從“基礎(chǔ)施設(shè)即服務(wù)”、“平臺即服務(wù)”、“軟件即服務(wù)”等多個層面來支撐網(wǎng)上政務(wù)大廳有效運行。同時，各市也迫切需要建設(shè)市級政務(wù)云平臺，以承擔(dān)市級業(yè)務(wù)應(yīng)用。二是政務(wù)云計算標準不統(tǒng)一。目前，工業(yè)和信息化部尚在制定電子政務(wù)云相關(guān)標準，我省的地方標準尚未發(fā)布。由于缺少對電子政務(wù)云的建設(shè)和運維的指導(dǎo)性意見，各地、各部門對電子政務(wù)云總體框架理解不一，“低標準、小規(guī)模、建設(shè)散、弱運維”的現(xiàn)象突出，反而造成不必要的資源浪費。三是云安全意識相對薄弱。目前，大多數(shù)在建和已建政務(wù)云的政務(wù)部門對云安全認識不足，尚未系統(tǒng)開展云安全建設(shè)工作。由于云計算的復(fù)雜性，對其安全運維管理也帶來新的要求，如果沒有統(tǒng)一的云安全防范措施，將不利于政務(wù)云的建設(shè)和管理，用戶也將面臨更大的安全風(fēng)險。xx省政務(wù)專有云建設(shè)關(guān)鍵需求針對xx省電子政務(wù)存在的問題，結(jié)合其實際情況和不同部門頂層設(shè)計調(diào)研結(jié)果，我們提出利用云計算技術(shù)構(gòu)建xx省電子政務(wù)專有云，為電子政務(wù)的集約化建設(shè)模式提供有效的實現(xiàn)手段，通過云服務(wù)的模式支撐政務(wù)網(wǎng)的業(yè)務(wù)需求。xx省電子政務(wù)專有云提供如下類型的云服務(wù)：1、政務(wù)云資源型類服務(wù)：其目標是向所有政務(wù)網(wǎng)內(nèi)的部門提供基礎(chǔ)設(shè)施資源服務(wù)：云主機資源，云網(wǎng)絡(luò)資源、云安全資源、云存儲資源。2、政務(wù)云平臺支撐類服務(wù)：其目標是向省級各政務(wù)部門提供平臺型的支撐功能。可以提供包括開發(fā)測試環(huán)境、數(shù)據(jù)庫服務(wù)、應(yīng)用服務(wù)引擎、Web應(yīng)用環(huán)境等。3、政務(wù)云運維咨詢類服務(wù)：其目標是省級各政務(wù)部門提供系統(tǒng)運維與規(guī)劃咨詢服務(wù)，包括系統(tǒng)規(guī)劃咨詢、系統(tǒng)運維、應(yīng)用性能監(jiān)控與報表、應(yīng)用安裝部署、系統(tǒng)與數(shù)據(jù)遷移、數(shù)據(jù)備份等。對于上述三種類型的云服務(wù)，需要滿足如下要求：安全可靠省政務(wù)云平臺集中承載了支撐網(wǎng)上政務(wù)大廳運行的核心業(yè)務(wù)和數(shù)據(jù)，承擔(dān)著穩(wěn)定運行和業(yè)務(wù)創(chuàng)新的重任。伴隨著數(shù)據(jù)與業(yè)務(wù)的集中，云計算平臺的高可用保證是政務(wù)業(yè)務(wù)應(yīng)用高可靠的基石，因此平臺的建設(shè)從基礎(chǔ)資源池（計算、存儲、網(wǎng)絡(luò)）、虛擬化平臺、云平臺等多個層面充分考慮業(yè)務(wù)的安全可靠，基礎(chǔ)單元出現(xiàn)故障后業(yè)務(wù)應(yīng)用能夠迅速進行切換與遷移，用戶無感知，保證業(yè)務(wù)的連續(xù)性。需要要充分保障物理資源層、資源抽象與控制層和云服務(wù)層穩(wěn)定性與安全性，并提供云安全基礎(chǔ)服務(wù)，并提供異地容災(zāi)備份服務(wù)。統(tǒng)一平臺，自助交付云計算的最終目標是要實現(xiàn)系統(tǒng)的按需運營，多種服務(wù)的開通，而這依賴于對計算、存儲、網(wǎng)絡(luò)資源的調(diào)度和分配，同時提供用戶管理、組織管理、工作流管理、自助Portal界面等。從用戶資源的申請、審批到分配部署的智能化。管理系統(tǒng)不僅要實現(xiàn)對傳統(tǒng)的物理資源和新的虛擬資源進行管理，還要從全局而非割裂地管理資源，因此統(tǒng)一管理平臺與自動化服務(wù)交付是提升服務(wù)效率的重要因素。省-地市兩級云資源互通根據(jù)省政府的規(guī)劃，云平臺的建設(shè)采用省-地市二級模式，省級政務(wù)云主要為省級單位服務(wù)，也可為有需要的地方提供云計算服務(wù)；市級政務(wù)云為本地（含縣、市區(qū)）單位提供云計算服務(wù)。為有效利用云資源，在兩級平臺網(wǎng)絡(luò)互通的基礎(chǔ)上，需要實現(xiàn)上下級云之間的計算、存儲資源互通，當(dāng)?shù)厥性瀑Y源不夠時，可以快速借用省政務(wù)云內(nèi)的資源實現(xiàn)備份與擴展，并在地市云業(yè)務(wù)突發(fā)時可以將業(yè)務(wù)應(yīng)用云爆發(fā)到省政務(wù)云中運行。項目總體架構(gòu)及技術(shù)解決方案總體方案設(shè)計全省政務(wù)云總體架構(gòu)全省政務(wù)云總體架構(gòu)，如下圖所示：圖表SEQ圖表\*ARABIC1全省政務(wù)云總體架構(gòu)圖具體描述如下：1．xx省政務(wù)云為混合云架構(gòu)，包含公共云平臺及政務(wù)專有云平臺。公共云平臺承擔(dān)社會公眾服務(wù)的內(nèi)容如互聯(lián)網(wǎng)政府網(wǎng)站等，政務(wù)專有云平臺承擔(dān)政府內(nèi)部服務(wù)的內(nèi)容如業(yè)務(wù)應(yīng)用系統(tǒng)等，為省政務(wù)服務(wù)網(wǎng)、省級政務(wù)部門應(yīng)用系統(tǒng)提供基礎(chǔ)設(shè)施支撐。2．省政務(wù)云采用省、市兩級架構(gòu)。省級政務(wù)云主要為省級單位服務(wù)，也可為有需要的地方提供云計算服務(wù)；市級政務(wù)云為本地（含縣、市區(qū)）單位提供云計算服務(wù)。3．根據(jù)省政務(wù)外網(wǎng)標準，全省政務(wù)云分為資源共享專區(qū)和公眾服務(wù)專區(qū)，資源共享專區(qū)主要承載數(shù)據(jù)交換、資源共享、行政審批等服務(wù)，公眾服務(wù)專區(qū)主要承載公眾服務(wù)類業(yè)務(wù)；公眾服務(wù)專區(qū)首選部署在公有云，也可部署在政務(wù)云內(nèi)。4．政務(wù)云資源共享專區(qū)通過安全隔離措施訪問公有云（互聯(lián)網(wǎng)）、公眾服務(wù)專區(qū)；各單位政務(wù)外網(wǎng)的業(yè)務(wù)系統(tǒng)應(yīng)根據(jù)服務(wù)對象逐步遷移至省級政務(wù)云或公有云上，實現(xiàn)集中集約部署。政務(wù)專有云平臺為xx省政務(wù)用戶專用，該平臺的主機、存儲、數(shù)據(jù)庫、系統(tǒng)軟件、網(wǎng)絡(luò)等物理資源不提供給其他用戶使用。5.部署在省政務(wù)專有云內(nèi)的行政審批等業(yè)務(wù)應(yīng)用，通過云節(jié)點與各廳局辦與市縣現(xiàn)有業(yè)務(wù)系統(tǒng)進行數(shù)據(jù)交互，云節(jié)點承擔(dān)前置機中間件的角色，集計算、存儲、網(wǎng)絡(luò)功能一體，省政務(wù)專有云平臺對其進行統(tǒng)一的管理與監(jiān)控。6.建議省級政務(wù)云和市級政務(wù)云通過不小于2.5G的高速寬帶云網(wǎng)絡(luò)進行互連互通，并與省政務(wù)外網(wǎng)互為備份。省政務(wù)云網(wǎng)絡(luò)按照省政務(wù)外網(wǎng)標準建設(shè)。7.全省政務(wù)云平臺采用11+1的異地容災(zāi)模式，即11個市級政務(wù)云利用省級政務(wù)云平臺中的資源進行異地備份；省級政務(wù)云選擇一個市級政務(wù)云建設(shè)異地災(zāi)備中心。云平臺架構(gòu)省政務(wù)專有云平臺整體架構(gòu)設(shè)計如下圖：圖表SEQ圖表\*ARABIC2省政務(wù)專有云平臺整體架構(gòu)設(shè)計圖整體分為六大部分：1、物理層物理層包括運行政務(wù)專有云所需的云數(shù)據(jù)中心機房運行環(huán)境，以及計算、存儲、網(wǎng)絡(luò)、安全等設(shè)備。云中心機房的部署按照分區(qū)設(shè)計，主要分為數(shù)據(jù)庫區(qū)、業(yè)務(wù)應(yīng)用區(qū)、存儲區(qū)、系統(tǒng)管理區(qū)、網(wǎng)絡(luò)出口區(qū)和安全緩沖區(qū)等區(qū)域。2、資源抽象與控制層資源抽象與控制層通過虛擬化技術(shù)，負責(zé)對底層硬件資源進行抽象，對底層硬件故障進行屏蔽，統(tǒng)一調(diào)度計算、存儲、網(wǎng)絡(luò)、安全資源池。其核心是虛擬化內(nèi)核，該內(nèi)核提供主機CPU、內(nèi)存、IO的虛擬化，通過共享文件系統(tǒng)保證云主機的遷移、HA集群和動態(tài)資源調(diào)度。同時通過分布式交換機實現(xiàn)多租戶的虛擬化層的網(wǎng)絡(luò)隔離。在存儲資源池的構(gòu)建上，采用分布式存儲技術(shù)，實現(xiàn)對服務(wù)硬盤的虛擬化整合，并通過多副本（3-5份）技術(shù)保證存儲數(shù)據(jù)的高可靠。3、云服務(wù)層云服務(wù)層提供IaaS、PaaS和SaaS三層云服務(wù)：IaaS服務(wù)：包括云主機、云存儲（云數(shù)據(jù)盤、對象存儲）、云數(shù)據(jù)庫服務(wù)、云防火墻、云負載均衡和云網(wǎng)絡(luò)（租戶子網(wǎng)/IP/域名等）。IaaS層服務(wù)向PaaS層提供開放API接口調(diào)用。PaaS服務(wù)：包括消息處理隊列、通用中間件（請求代理、事物處理、地理信息）、數(shù)據(jù)交換平臺、開發(fā)測試平臺，為上層政務(wù)應(yīng)用提供標準統(tǒng)一的平臺層服務(wù)，并提供API接口和SDK開發(fā)包，供SaaS層軟件開發(fā)與部署調(diào)用。SaaS服務(wù)：包括本期需要上線的電子監(jiān)察、行政審批、協(xié)同辦公業(yè)務(wù)應(yīng)用，以及政務(wù)網(wǎng)站群等，本層服務(wù)的提供由應(yīng)用軟件開發(fā)商完成。上述云服務(wù)通過自助服務(wù)門戶，向各廳局委辦用戶提供自助的線上全流程自動化交付。用戶可以在自助服務(wù)門戶上進行服務(wù)的申請，完成審批后相應(yīng)的云資源將會交付給用戶遠程控制使用。4、云安全防護云安全防護為物理層、資源抽象與控制層、云服務(wù)層提供全方位的安全防護，包括防DDoS攻擊、漏洞掃描、主機防御、網(wǎng)站防御、租戶隔離、認證與審計、數(shù)據(jù)安全等模塊。滿足國家安全等級保護3級的部署要求。5、運行監(jiān)控與維護管理此模塊為云平臺運維管理員提供設(shè)備管理、配置管理、鏡像管理、備份管理、日志管理、監(jiān)控與報表等，滿足云平臺的日常運營維護需求。6、云服務(wù)管理此模塊主要面向政務(wù)云管理員，對云平臺提供給廳局委辦用戶的云服務(wù)進行配置與管理，包括服務(wù)目錄的發(fā)布，組織架構(gòu)的定義，廳局委辦用戶管理、云業(yè)務(wù)流程定制設(shè)計以及資源的配額與計費策略定義等，此部分的功能實現(xiàn)根據(jù)省政務(wù)專有運要求進行定制。機房基礎(chǔ)設(shè)施IDC機房介紹本次項目將部署在XXXXIDC機房，機房面積31825平方米，機柜數(shù)3229個。IDC機房內(nèi)是中國電信的5星級數(shù)據(jù)機房，圍繞著綠色環(huán)保設(shè)計理念，打造綠色環(huán)保的高效節(jié)能數(shù)據(jù)中心，機房按照國際機房建設(shè)標準ANSI/TIA-942Tier3+設(shè)計建設(shè)，滿足國際公認的ANSI-TIA-942-2005《數(shù)據(jù)中心通信基礎(chǔ)設(shè)施標準》里的Tier3級以上主要指標，滿足GB50174-2008《電子信息系統(tǒng)機房設(shè)計規(guī)范》中的A級要求，通過采用創(chuàng)新的供電方案和制冷方案，使PUE值全年平均達到1.8以下,達到了國內(nèi)先進水平。機房的各項要求如下：詳細技術(shù)標機房設(shè)計、施工及驗收必須符合國家標準及行業(yè)規(guī)范。GB50174-93《電子計算機機房設(shè)計規(guī)范》GB/T2887-2000《電子計算機場地通用規(guī)范》GB6650-86《計算機機房活動地板技術(shù)條件》GB9361-88《計算機站場地安全要求》SJ/T30003-93《電子計算機機房施工及驗收規(guī)范》JGJ/T16-92《民用建筑電氣設(shè)計規(guī)范》GB50054-95《低壓配電設(shè)計規(guī)范》GB50057-94《建筑防雷設(shè)計規(guī)范》中國證監(jiān)會信息化工作管理制度（證監(jiān)信息字[2004]1號）國際電工委IEC1024-1防雷保護裝置規(guī)范國際電工委IEC1312防止雷電波侵入保護規(guī)范機房建設(shè)符合GB50174-2008建設(shè)標準。機房設(shè)計為二類建筑，二級耐火等級，六級人防，建筑耐久年限為50年。一樓機房承重為1600公斤/平方米，二樓機房承重為1000公斤/平方米。電力系統(tǒng)標準交流電源采用兩路高壓引入，從2個變壓器提供兩個獨立的環(huán)路供電；柴油發(fā)電機組總?cè)萘繎?yīng)能滿足全部保證用電負荷的供電要求,在市電中斷后15分鐘內(nèi)由發(fā)電機恢復(fù)供電；UPS系統(tǒng)采用1＋1并聯(lián)冗余方式，滿負荷情況下電池容量能支持機房運行2小時，UPS設(shè)計容量400千瓦。能保證99.999%的持續(xù)供電率;提供各網(wǎng)絡(luò)設(shè)備供電所需PDU。每個機架都保證雙路供電，機房提供雙路國內(nèi)標準交流電源。IDC機房提供大型油機服務(wù)。柴油發(fā)電機規(guī)劃配備8臺，每臺2200kva的發(fā)電機，目前安裝完成可啟用6臺，為N+1冗余設(shè)計，能滿足滿負荷情況包括空調(diào)和托管設(shè)備在內(nèi)的整個IDC供電。柴油發(fā)電機的啟動是由專門的電池支持。公司采購中心有30噸儲備油庫位于機房10公里處。燃油發(fā)電機組啟動方式為電啟動。燃油發(fā)電機組的發(fā)電機無需預(yù)熱，在發(fā)電機組啟動，空載運行3～5分鐘后，立即就能投入運行。每半個月進行一次油機測試。圖表SEQ圖表\*ARABIC3UPS室圖表SEQ圖表\*ARABIC4低配室機房防雷標準根據(jù)IEC防雷規(guī)范中有關(guān)防雷分區(qū)的要求將IDC機房的電源系統(tǒng)做三級防雷保護，第一級防雷器安裝在進線端：對直擊雷，傳導(dǎo)雷，感應(yīng)雷實施進線端出線保護，電源系統(tǒng)的第一級防雷要能防住（100KA）的直擊雷。第二級防雷器安裝在分配端且要求距離第一級防雷器的線路距離大于十米，對初級保護的殘余雷擊能量和雷電波反射，感應(yīng)雷進行保護，電源系統(tǒng)的第二級防雷要能防住（20~40KA）的感應(yīng)雷和一定能量的直擊雷。第三級防雷器安裝在被保護設(shè)備端，距離第二級防雷器的距離要求大于十米，且于被保護設(shè)備之間的線路距離不大于十米，主要對前級殘余雷擊，感應(yīng)雷擊和各種操作過電壓進行保護。空調(diào)系統(tǒng)標準主用空調(diào)采用艾默生或佳力圖大型機房專用精密風(fēng)冷空調(diào)系統(tǒng)，使用100KW恒溫恒濕精密空調(diào)，采用下送風(fēng)，上回風(fēng)方式，空調(diào)設(shè)備配置采用（N＋1）冗余方式，全部采用雙壓縮機制冷。執(zhí)行溫度標準：21－25℃，濕度標準：40－70％。圖表SEQ圖表\*ARABIC5機房空調(diào)系統(tǒng)說明：恒溫恒濕，溫度保持在20~25度，相對濕度保持在40%~70%；下送風(fēng)上回風(fēng)、冷熱通道隔離設(shè)計，兩組機柜正面相對組合成冷通道，經(jīng)機柜設(shè)備熱交換后，熱通道回風(fēng)，提高制冷效果及能源使用效率消防系統(tǒng)標準機房采用感煙、感溫自動火災(zāi)報警系統(tǒng)。機房采用IG-541（煙必盡），無毒（潔凈氣體）氣體滅火系統(tǒng)。IG-541氣體滅火系統(tǒng)覆蓋所有機房，包括UPS室。機房具備聲光報警和安全指示牌。圖表SEQ圖表\*ARABIC6消防室安全系統(tǒng)標準監(jiān)控中心（7×24小時）可監(jiān)測機房消防、空調(diào)、電源、UPS、防盜的運行情況、漏水情況等數(shù)據(jù)。機房主要的出入口和區(qū)域安裝遠程視頻監(jiān)控系統(tǒng)與獨立的門禁系統(tǒng)，進入機房的門禁均設(shè)置雙向門禁。機房設(shè)置總監(jiān)控室，可以監(jiān)控各類告警信號。機架配置標準48U、19英寸，尺寸600×1100×2200mm，在標準配置的情況下，可安裝服務(wù)器的最大高度為1800mm，為每臺綜合布線標準通信電纜布放整齊，綁扎牢固，通信電纜和電力電纜分開走不同的路由。機房安裝若干ODF、DDF、MDF配線架，以滿足不同業(yè)務(wù)的接入。防震系統(tǒng)標準機架具有防震支撐，能夠避免來自各個方位的任何細微和劇烈震動，6級以上抗震能力。機房信息安全標準機房具備專職的信息安全員二人以上和兼職人員數(shù)人。專職和兼職信息安全員具備ISO27001LA資質(zhì)，并提供ISO27001LA證書。機房配置運維人員負責(zé)機房7×24小時日常運維，運維人員團隊由二部分專職人員組成：運維管理和運維工程師。機房空間隔離標準機房必須分配獨立的物理隔離區(qū)域，進入該機房的區(qū)域必須持有用戶授權(quán)。網(wǎng)絡(luò)資源介紹通過各種專線方式，為IDC客戶提供安全信息傳輸、遠程維護、管理主機內(nèi)容以及虛擬專網(wǎng)服務(wù)?？梢詽M足客戶端到端的網(wǎng)絡(luò)安全需求。網(wǎng)絡(luò)帶寬：分共享型和獨享型帶寬出口兩種，其中共享端口分共享10M、100M；獨享端口分獨享10M、50M、100M、200M、1000M、10G等，可滿足所有客戶隨著業(yè)務(wù)增長而對帶寬擴容的需求，且計費方式靈活。興議IDC出口總帶寬730G，同時具備他網(wǎng)運營商的接入能力?，F(xiàn)已實現(xiàn)與政務(wù)外網(wǎng)的無縫對接，滿足本次政務(wù)云的項目需求。線路租用方案設(shè)計我公司將根據(jù)xx省政府辦公廳政務(wù)服務(wù)網(wǎng)可信公共云服務(wù)中標段二省政務(wù)服務(wù)網(wǎng)專有云服務(wù)的采購要求，提供如下線路租用方案：xx省政府信息中心機房至運營商IDC機房鋪設(shè)兩條裸纖，用于核心網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)的互聯(lián)，兩條裸纖之間數(shù)據(jù)實現(xiàn)雙路由冗余備份，且衰耗小于0.5dB/公里。裸纖技術(shù)裸光纖是指運營商與用戶之間或用戶內(nèi)部完全地以光纖作為傳輸媒體，在寬帶網(wǎng)建設(shè)中，超過3公里的網(wǎng)間距離一般用光纖來連接。為特殊用戶或其他營運商在城域網(wǎng)范圍內(nèi)提供裸光纖出租業(yè)務(wù)，以滿足其組建自有骨干網(wǎng)的需求，裸光纖連接能夠承載10Mbps、100Mbps、1000Mbps、10000Mbps等的高速寬帶，公司在線路維護上保證2小時內(nèi)響應(yīng)。裸光纖業(yè)務(wù)特點如下：傳輸距離遠：光纖連接距離可達70公里。傳輸速度快：光纖能夠承載10Mbps、100Mbps、1000Mbps、10000Mbps等的高速帶寬。損耗低：由于光纖介質(zhì)的制造純度極高，所以光纖的損耗極低，這樣，在通信線路中可以減少中繼站的數(shù)量，提高了通信質(zhì)量?？垢蓴_能力強：因為光纖是非金屬的介質(zhì)材料，使用光纖作為傳導(dǎo)介質(zhì)，不受電磁干擾，這是其它電纜望塵莫及的。傳輸網(wǎng)絡(luò)拓撲圖xx省政府辦公廳政務(wù)服務(wù)網(wǎng)可信公共云服務(wù)中標段二省政務(wù)服務(wù)網(wǎng)專有云服務(wù)接入如下圖所示：圖表SEQ圖表\*ARABIC7傳輸網(wǎng)絡(luò)拓撲圖電信提供兩對裸光纖鏈路，且采用光纖物理雙路由，衰耗小于0.5dB/公里，每對裸光纖帶寬速率支持10GE。兩對光纖物理路由信息：線路一：省政府——武林局——長二樓——興議IDC；線路二：省政府——惠興二——江城局——江邊局——興議IDC；應(yīng)急響應(yīng)保障UPS系統(tǒng)UPS由網(wǎng)運中心和IDC屬地監(jiān)控中心互為備份監(jiān)控，以網(wǎng)運中心通知告警為準，但機房基礎(chǔ)維護值班賦有利用一切資源，主動發(fā)現(xiàn)故障、保障UPS供電正常的責(zé)任。故障發(fā)生時，當(dāng)檢查確認UPS失電，運維全部人員都有責(zé)任以最快資源確定UPS是否重大故障及影響范圍，并立即向應(yīng)急處理中心匯報，在主管的指揮下采取相應(yīng)措施控制并消除故障；已中斷業(yè)務(wù)情況下，以最快途徑搶通業(yè)務(wù)為指導(dǎo)原則；未中斷業(yè)務(wù)情況下，要進行應(yīng)急處理時如整個并機系統(tǒng)都切換到大旁路由市電供電、有可能中斷業(yè)務(wù)等情況，須由主管請示領(lǐng)導(dǎo)。變配電系統(tǒng)發(fā)生配電故障時，維護人員根據(jù)目前的故障現(xiàn)象初步分析，并做相應(yīng)處理，迅速攜帶必要工具、儀表趕赴故障現(xiàn)場進一步確定故障情況；維護人員到達故障現(xiàn)場，先觀察配電系統(tǒng)是否有異味或明顯的故障點，結(jié)合遠程故障狀態(tài)進一步縮小故障范圍,排除故障，恢復(fù)供電；如遇一路市電停電，可通過合低壓母聯(lián)開關(guān)，將故障側(cè)負載切換至另一路供電（備注：必須確保變壓器不超載運行，可根據(jù)負載重要性限電）；如遇二路市電同時停電，則應(yīng)急發(fā)電機供電以確保通信設(shè)備用電安全；如遇二路市電同時停電，應(yīng)急發(fā)電機不能正常供電，且短時間內(nèi)無法修復(fù)，應(yīng)上報公司領(lǐng)導(dǎo)，并聯(lián)系供電局，要求恢復(fù)市電供電；同時聯(lián)系油機廠家維護人員及時處理故障。并根據(jù)負載重要性，對UPS后端負載卸載，以延長UPS蓄電池后備時間，保障重要負載供電安全；配電側(cè)輸入開關(guān)故障，應(yīng)立即查明故障原因，排除線路故障，更換同型號開關(guān)，重新合閘送電。網(wǎng)絡(luò)攻擊或其他安全問題應(yīng)急響應(yīng)流程一旦發(fā)生網(wǎng)絡(luò)攻擊或安全問題，安全服務(wù)團隊將根據(jù)預(yù)先設(shè)定的事件響應(yīng)等級機制啟動安全防護流程。對于特大規(guī)模的網(wǎng)絡(luò)攻擊或新類型的安全問題，安全服務(wù)團隊將啟動突發(fā)安全事件應(yīng)急響應(yīng)流程，緊急調(diào)動各方資源，處理問題恢復(fù)服務(wù)。對于新型安全問題，后續(xù)即刻啟動安全防御新功能開發(fā)和上線，保證安全系統(tǒng)的及時升級和安全的長效性。網(wǎng)絡(luò)安全消防演習(xí)杭州電信IDC(云計算)運營中心配合公司安保部門不定期會進行必要的安全消防演習(xí)，以考驗各種安全流程和資源在實戰(zhàn)狀態(tài)下的有效性。消防演習(xí)一般不做事前通知，并在可控范圍內(nèi)發(fā)起模擬網(wǎng)絡(luò)攻擊和黑客入侵，同時記錄各安全處理環(huán)境的效率和結(jié)果，最終評判整個安全體系的防衛(wèi)和響應(yīng)能力。現(xiàn)場通信保障1、海事衛(wèi)星電話應(yīng)急保障：電信目前有普通海事衛(wèi)星電話、全向海事衛(wèi)星電話和寬帶海事衛(wèi)星電話三種。衛(wèi)星電話是解決突發(fā)現(xiàn)場指揮通信的首選，在指揮中心也放置一部海事衛(wèi)星電話、應(yīng)急通信車放置一部海事衛(wèi)星電話，后勤保障車放置全向海事衛(wèi)星電話用于通信中斷時聯(lián)絡(luò)指揮。其余海事衛(wèi)星電話進行充電保養(yǎng)并集中放置在應(yīng)急通信辦公室以便應(yīng)急使用。需使用時，使用單位通過網(wǎng)絡(luò)運營部批準并按指令向應(yīng)急通信隊領(lǐng)用2、綜合應(yīng)急通信車和C網(wǎng)衛(wèi)星基站車保障：綜合應(yīng)急通信車和C網(wǎng)衛(wèi)星基站車都具有開通C網(wǎng)、衛(wèi)星、微波、視音頻傳送等能力，綜合應(yīng)急通信車還具有全球眼、寬帶、固話、電視電話會議和微波攝像等能力，在發(fā)生突發(fā)時間時，也可緊急開通以上業(yè)務(wù)供上級、客戶或政府部門指揮調(diào)度使用。在有線電路阻斷時，可通過應(yīng)急備份衛(wèi)星電路開通C網(wǎng)應(yīng)急基站。綜合應(yīng)急通信車自備發(fā)電機可持續(xù)3個工作日即24小時連續(xù)工作。C網(wǎng)衛(wèi)星基站車使用外接柴油發(fā)電機供電。3、數(shù)字集群4OOM系統(tǒng)現(xiàn)場保障：400M數(shù)字集群應(yīng)急通信車，做為現(xiàn)場外場各專業(yè)之間指揮聯(lián)絡(luò)的通信工具，在發(fā)生通信故障時也可做為客戶的應(yīng)急通信指揮系統(tǒng)使用。400M數(shù)字集群系統(tǒng)裝載在全順面包車上，由能自持4小時電池組供電，長時間保障需外接電源供電。400M數(shù)字集群可根據(jù)覆蓋范圍需要變動停車地點或在行進中保持工作狀態(tài)。在保障前，要對所有手臺、視音頻單兵和電池組進行充分充電保養(yǎng)。正式保障時，使用單位在網(wǎng)絡(luò)部統(tǒng)一分配下領(lǐng)用手臺及充電設(shè)備，并登記領(lǐng)用表。4、3G全球眼單兵系統(tǒng)和ECP視頻保障：應(yīng)急通信保障現(xiàn)場將綜合應(yīng)急通信車布置為現(xiàn)場指揮中心，向上與指揮中心聯(lián)系，接受指揮中心命令，向下與各專業(yè)聯(lián)絡(luò)，傳達指揮中心指令，協(xié)調(diào)各專業(yè)保障工作?，F(xiàn)場指揮中心開通ECP視頻與指揮中心連接，實時反應(yīng)保障現(xiàn)場情況，接收指揮中心最新保障指令。在3G信號有保障指揮中心需要了解內(nèi)場情況或了解外場特定地點時，開通3G全球眼單兵系統(tǒng)，指揮中心開通3G全球眼接收控制應(yīng)用系統(tǒng)，觀察現(xiàn)場情況。在正式保障前，對3G全球眼單兵系統(tǒng)進行充電保養(yǎng)。附ECP開通使用說明：確認寬帶網(wǎng)絡(luò)無誤后，啟動ECP，嘗試加入會議（通過菜單—工具—查詢視頻會議信息，查詢到相應(yīng)的會議進入，約定密碼123456），如果無法進入，聯(lián)系指揮中心視頻會議建立人。重新加入會議后注意發(fā)言和視頻控制等權(quán)限。5、衛(wèi)星電路保障：杭州C網(wǎng)衛(wèi)星基站車通過上海機動局衛(wèi)星地面站開通杭州C網(wǎng)應(yīng)急基站測試已經(jīng)成功，杭州衛(wèi)星地面站到上海機動局衛(wèi)星地面站C網(wǎng)長途電路長期固定預(yù)留。在預(yù)留衛(wèi)星資源不能滿足時，可向北京衛(wèi)星直播公司臨時申請應(yīng)急衛(wèi)星通道，并派應(yīng)急通信技術(shù)人員趕赴轉(zhuǎn)塘衛(wèi)星地球站開通轉(zhuǎn)塘衛(wèi)星地面站衛(wèi)星系統(tǒng)用于傳輸C網(wǎng)電路。此過程正常情況大概需要1.5小時。在緊急情況下，由網(wǎng)絡(luò)運營部下達通過衛(wèi)星開通基站命令，由衛(wèi)星電路保障責(zé)任人聯(lián)系衛(wèi)星資源并緊急開通C網(wǎng)應(yīng)急基站。附：xx電信全省應(yīng)急通信主要聯(lián)絡(luò)人地市姓名職務(wù)移動電話省公司熊德營應(yīng)急通信辦主任章柏永應(yīng)急通信辦副主任、總聯(lián)絡(luò)人省機動通信局趙建春機動通信部主任杭州陳效忠應(yīng)急通信辦主任沈國權(quán)聯(lián)絡(luò)人寧波毛嵐嵐應(yīng)急通信辦主任張震聯(lián)絡(luò)人溫州張進榮應(yīng)急通信辦主任陳月綺聯(lián)絡(luò)人紹興張財星應(yīng)急通信辦主任王曉冬聯(lián)絡(luò)人湖州王麗華應(yīng)急通信辦主任陸東華聯(lián)絡(luò)人金華陳灝應(yīng)急通信辦主任鄒毅聯(lián)絡(luò)人嘉興胡關(guān)林應(yīng)急通信辦主任張健云聯(lián)絡(luò)人臺州戴滿應(yīng)急通信辦主任蔡江天聯(lián)絡(luò)人衢州錢港應(yīng)急通信辦主任褚樹正聯(lián)絡(luò)人麗水鄭忠權(quán)應(yīng)急通信辦主任舒鳳華聯(lián)絡(luò)人舟山夏海倫應(yīng)急通信辦主任吳文潮聯(lián)絡(luò)人政務(wù)專有云平臺物理資源層物理資源層應(yīng)包括運行政務(wù)云所需的機房運行環(huán)境，以及計算、存儲和網(wǎng)絡(luò)等設(shè)備。數(shù)據(jù)中心機房滿足GB50174-2008《電子信息系統(tǒng)機房設(shè)計規(guī)范》中的A級要求，滿足國際公認的ANSI-TIA-942-2005《數(shù)據(jù)中心通信基礎(chǔ)設(shè)施標準》里的Tier3級以上主要指標。組網(wǎng)設(shè)計采用“核心－接入”兩層扁平化設(shè)計,根據(jù)模塊化的分區(qū)的方式，主要分為業(yè)務(wù)應(yīng)用區(qū)、云數(shù)據(jù)庫區(qū)、備份存儲區(qū)、管理和服務(wù)區(qū)、核心交換區(qū)和云安全訪問控制區(qū)。物理組網(wǎng)示意圖，如下圖所示：圖表SEQ圖表\*ARABIC8物理組網(wǎng)示意圖實際組網(wǎng)拓撲如下圖所示：圖表SEQ圖表\*ARABIC9實際組網(wǎng)拓撲云平臺的互聯(lián)網(wǎng)出口介紹在本次項目項目中，中國電信為項目省政府租用的云主機提供公有IP地址，云平臺的國際互聯(lián)網(wǎng)獨享總出口帶寬不低于1G，可擴充到20G。云平臺與政務(wù)外網(wǎng)互聯(lián)中國電信提供的xx省政務(wù)專有云平臺與xx省電子政務(wù)外網(wǎng)的采用專用互聯(lián)光纖，帶寬不小于20G，滿足網(wǎng)絡(luò)互訪的要求，xx省政府信息中心房至運營商IDC機房鋪設(shè)兩條裸纖，用于核心網(wǎng)絡(luò)與業(yè)務(wù)系統(tǒng)的互聯(lián)，兩條裸纖之間數(shù)據(jù)實現(xiàn)雙路由冗余備份，且衰耗小于0.5dB/公里。由于中國電信是xx省電子政務(wù)外網(wǎng)的承建者，全省11個地市政府通過電信的155M的全省長途MSTP線路接入到xx省政府，省電子政務(wù)外網(wǎng)將成為全省11個市政府行政服務(wù)中心訪問省云平臺的網(wǎng)絡(luò)途徑。圖表SEQ圖表\*ARABIC10xx省電子政務(wù)外網(wǎng)傳輸拓撲圖業(yè)務(wù)應(yīng)用區(qū)主要用于部署承載業(yè)務(wù)應(yīng)用的物理服務(wù)器，通過提供大內(nèi)存性物理服務(wù)器，配置為2路INTELXeonE5-2620CPU（6核，主頻2.0GHz），內(nèi)存96GB，硬盤2*300GSAS+6*900GSAS，2G高速緩存，作為計算單元，同時，利用服務(wù)器本地硬盤，結(jié)合H3CvStor零存儲解決方案來滿足業(yè)務(wù)應(yīng)用的存儲需求，物理組網(wǎng)示意圖如下圖所示：圖表SEQ圖表\*ARABIC11業(yè)務(wù)應(yīng)用區(qū)如圖所示組網(wǎng)，單臺物理服務(wù)器分別連接四個不同的網(wǎng)絡(luò)：1、業(yè)務(wù)網(wǎng)絡(luò)：服務(wù)器網(wǎng)卡上聯(lián)H3CS5820v2接入交換機，提供業(yè)務(wù)數(shù)據(jù)訪問網(wǎng)絡(luò)；2、管理網(wǎng)絡(luò)：服務(wù)器網(wǎng)卡上聯(lián)H3CS5120HI接入交換機，通過系統(tǒng)管理區(qū)相應(yīng)管理軟件實現(xiàn)虛擬化平臺管理、網(wǎng)絡(luò)管理、H3CCSM管理等；3、存儲網(wǎng)絡(luò)：通過連接H3CS6300萬兆電口接入交換機，實現(xiàn)不同區(qū)域不同物理主機之間存儲網(wǎng)絡(luò)的互通；4、服務(wù)器帶外管理網(wǎng)絡(luò)：通過服務(wù)器帶外管理iLO口上聯(lián)H3CS5120HI交換機，形成跨交換機帶外管理網(wǎng)絡(luò)集群，方便運維人員以服務(wù)器集群為單位對硬件進行統(tǒng)一管理配置。設(shè)備選型如下：設(shè)備型號設(shè)備描述H3CFlexserverR390服務(wù)器INTELXeonE5-2620CPU（6核，主頻2.0GHz），Mem：96G，2*300GBSAS，6*900GBSAS，2GB高速緩存，2個10GE端口，8個GE端口，雙交流電源LS-5820V2-54QS-GEH3CS5820V2-54QS-GEL3以太網(wǎng)交換機主機,支持48個GE端口,4個SFP+端口,2個QSFP+端口H3CS5120-58C-HIL3以太網(wǎng)交換機主機，支持4810/100/1000BASE-T端口，支持4個100/1000BASE-XSFP端口，支持2個10G/1GBASE-XSFP+端口，支持2個SlotsH3CS6300-42QTL2以太網(wǎng)交換機主機，支持32個XGT端口，8個XG端口，2個QSFPPlus端口管理和服務(wù)區(qū)部署云管理平臺、網(wǎng)絡(luò)管理平臺、虛擬化管理平臺等管理服務(wù)器，硬件同樣采用大內(nèi)存性2路物理服務(wù)器，通過對云管理平臺、網(wǎng)絡(luò)管理平臺、虛擬化管理平臺等軟件的部署，實現(xiàn)對底層資源的合理管控，保障業(yè)務(wù)運行的可靠性、可用性，合理的分配資源，通過自動化的運維管理，提升客戶IT人員的運維管理效率，物理組網(wǎng)如下圖所示：vSwitchvSwitchVMVMVMDiskH3CCVM雙機集群H3CCSM雙機集群vSwitchVMVMVMDiskvSwitchVMVMVMDiskvSwitchVMVMVMDisk云服務(wù)管理集群網(wǎng)絡(luò)接入數(shù)據(jù)庫管理H3CiMC管理平臺OpenStack計算管理節(jié)點對象存儲管理圖表SEQ圖表\*ARABIC12物理組網(wǎng)圖從業(yè)務(wù)管理可靠性來分析，系統(tǒng)管理區(qū)各管理平臺部署分為兩大類，硬件支撐系統(tǒng)和虛擬支撐系統(tǒng)。硬件支撐系統(tǒng)主要是考慮到業(yè)務(wù)管理平臺的重要性和可靠性，故直接采用物理服務(wù)器作為支撐平臺，包括：1、H3CCVM雙機集群：通過CVM主機實現(xiàn)對虛機的管理運維，采用雙機熱備的形式，保證CVM管理平臺的可靠性2、H3CCSM雙機集群：通過CSM主機實現(xiàn)對大云平臺的管理運維，采用雙機熱備的形式，保證CSM管理平臺的可靠性虛機支撐系統(tǒng)是指在虛擬化環(huán)境下，直接將管理平臺部署在虛機上，建立統(tǒng)一的云服務(wù)管理集群，通過虛擬化軟件來保證各管理平臺的可靠性，在這個集群內(nèi)主要運行以下幾個系統(tǒng)：數(shù)據(jù)庫管理：主要內(nèi)容包括數(shù)據(jù)庫的建立、調(diào)整、重構(gòu)、安全控制、完整性控制和對用戶提供技術(shù)支持。H3CiMC管理平臺：實現(xiàn)網(wǎng)絡(luò)拓撲、故障、性能、配置、安全等管理功能。OpenStack計算管理節(jié)點：對下層虛擬化計算資源進行管理調(diào)度。對象存儲管理：靜態(tài)數(shù)據(jù)的存儲、檢索、預(yù)覽，數(shù)據(jù)的持久性和可擴展性管理。設(shè)備選型如下：設(shè)備型號設(shè)備描述H3CFlexserverR390服務(wù)器INTELXeonE5-2620CPU（6核，主頻2.0GHz），Mem：96G，2*300GBSAS，6*900GBSAS，2GB高速緩存，2個10GE端口，8個GE端口，雙交流電源LS-5820V2-54QS-GEH3CS5820V2-54QS-GEL3以太網(wǎng)交換機主機,支持48個GE端口,4個SFP+端口,2個QSFP+端口H3CS5120-58C-HIL3以太網(wǎng)交換機主機，支持4810/100/1000BASE-T端口，支持4個100/1000BASE-XSFP端口，支持2個10G/1GBASE-XSFP+端口，支持2個SlotsH3CS6300-42QTL2以太網(wǎng)交換機主機，支持32個XGT端口，8個XG端口，2個QSFPPlus端口云數(shù)據(jù)庫區(qū)部署承載數(shù)據(jù)庫服務(wù)的物理服務(wù)器，對于部分高性能數(shù)據(jù)庫可直接部署在物理主機上，通過配置4路INTELXeonE5-4620CPU（核數(shù)8核，主頻2.2GHz），64G內(nèi)存，2*300GB硬盤的高性能物理服務(wù)器，來滿足客戶對于數(shù)據(jù)庫系統(tǒng)的承載需求。對于性能要求不高的數(shù)據(jù)庫服務(wù)，以虛擬機方式部署交付。數(shù)據(jù)庫服務(wù)區(qū)通過部署高性能的FC存儲，來滿足客戶關(guān)鍵業(yè)務(wù)的數(shù)據(jù)存儲以及對數(shù)據(jù)，物理組網(wǎng)如下圖所示：圖表SEQ圖表\*ARABIC13云數(shù)據(jù)庫區(qū)設(shè)備選型如下：設(shè)備型號設(shè)備描述H3CFlexserverR590服務(wù)器CPU：4路8核，Mem:64G，2*300GBSAS，512MB高速緩存，4*GE網(wǎng)卡，2*10GE網(wǎng)卡，雙交流電源H3CP8200存儲單臺72個2.5寸硬盤槽位，24GB高速緩存，內(nèi)置4個8Gb/sec光纖通道端口，外帶8個可選端口H3CS5820v2-52QF-UL3以太網(wǎng)交換機主機，支持48個1G/10GBASE-XSFPPlus端口（支持FC/FCoE/Ethernet模式），4個QSPFPlus端口LS-5820V2-54QS-GEH3CS5820V2-54QS-GEL3以太網(wǎng)交換機主機,支持48個GE端口,4個SFP+端口,2個QSFP+端口H3CS5120-58C-HIL3以太網(wǎng)交換機主機，支持4810/100/1000BASE-T端口，支持4個100/1000BASE-XSFP端口，支持2個10G/1GBASE-XSFP+端口，支持2個SlotsLS-5820V2-52QF支持48個XG端口,4個QSFP+端口備份存儲區(qū)通過部署高性能存儲設(shè)備以及專業(yè)的備份管理軟件，實現(xiàn)對云主機&云存儲區(qū)以及云數(shù)據(jù)庫區(qū)的數(shù)據(jù)的備份，保障業(yè)務(wù)數(shù)據(jù)的高可靠性，物理組網(wǎng)如下圖所示：圖表SEQ圖表\*ARABIC14備份存儲區(qū)組網(wǎng)拓撲采用1臺物理服務(wù)器作為備份管理服務(wù)器，利用H3CFlexStorageP5730存儲作為數(shù)據(jù)備份介質(zhì)。H3CFlexStorageP5730存儲是一款橫向擴展存儲平臺，專為滿足虛擬化環(huán)境不斷變化的需求而設(shè)計。它提供了完美的解決方案：可滿足高可用性、數(shù)據(jù)移動性、災(zāi)難恢復(fù)、可管理性及升級等方面的需求。借助本身的企業(yè)級存儲軟件功能和領(lǐng)先的虛擬化軟件集成，F(xiàn)lexStorage可為各個階段的虛擬化增長提供支持。直觀、普遍的管理方式簡化了存儲管理。此外，F(xiàn)lexStorage還支持數(shù)據(jù)跨不同層、位置以及在物理和虛擬存儲之間移動，為用戶的虛擬化環(huán)境提供了完美的應(yīng)用。H3CFlexStorageP5730是一款專門為客戶設(shè)計的機架式IP存儲產(chǎn)品，通過全面的企業(yè)特性組合幫助物理和虛擬環(huán)境降低SAN成本，通過建立存儲集群和網(wǎng)絡(luò)RAID，通過網(wǎng)絡(luò)RAID可在存儲系統(tǒng)內(nèi)的RAID磁盤組出現(xiàn)故障、整個存儲系統(tǒng)出現(xiàn)故障或者出現(xiàn)網(wǎng)絡(luò)或電源等方面的外部故障時提供保護可擴展的性能，無中斷式升級集中的管理控制臺快照、遠程拷貝可降低災(zāi)難恢復(fù)的成本設(shè)備選型如下：設(shè)備型號設(shè)備描述H3CFlexserverR390服務(wù)器INTELXeonE5-2620CPU（6核，主頻2.0GHz），Mem：96G，2*300GBSAS，6*900GBSAS，2GB高速緩存，2個10GE端口，8GE網(wǎng)卡，雙交流電源H3CP573025*900GSAS10krpm，2*10GE光口+4*GE電口H3CS6300-42QTL2以太網(wǎng)交換機主機，支持32個XGT端口，8個XG端口，2個QSFPPlus端口核心交換區(qū)通過物理網(wǎng)絡(luò)設(shè)備N:1虛擬化技術(shù)，簡化生成樹協(xié)議的部署，實現(xiàn)云數(shù)據(jù)中心內(nèi)的大二層網(wǎng)絡(luò)互通，為云主機的自動化遷移與調(diào)度提供環(huán)境支撐。同時在核心層旁掛LB，對各分區(qū)進行安全訪問控制,物理組網(wǎng)如下圖所示，圖表SEQ圖表\*ARABIC15核心交換區(qū)核心交換區(qū)的主要功能是完成各服務(wù)器功能分區(qū)、廣域網(wǎng)、互聯(lián)網(wǎng)之間數(shù)據(jù)流量的高速交換，是廣域/局域縱向流量與服務(wù)功能分區(qū)間橫向流量的交匯點。核心交換區(qū)必須具備高速轉(zhuǎn)發(fā)的能力，同時還需要有很強的擴展能力，以便應(yīng)對未來業(yè)務(wù)的快速增長。如圖所示，核心區(qū)由H3CS12510-X組成。使用鏈路聚合技術(shù)合并多個10GE端口，提供兩交換機之間的連通性。核心區(qū)交換機連接到所有其他區(qū)的邊緣設(shè)備，既可以是一對HA方式的交換機，也可以是一對HA方式的防火墻。有兩類連接到核心，一類是來自交換機（比如業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)）的連接，另一類是用防火墻連接（互聯(lián)網(wǎng)接入?yún)^(qū)）。每個區(qū)邊緣交換機都上行連接到Core-SW1和Core-SW2。每個區(qū)交換機將使用單獨的VLAN，VLAN跨越兩個交換機，上行連接到核心。成對且以高可用性方式部署的防火墻將有一個VLAN，這個VLAN跨越兩個核心交換機上行連接，并每個都連接到一個核心。每個上行連接VLAN都在兩個交換機中配置。同時，在核心接入交換機旁掛LB負載均衡設(shè)備，支持全面的四至七層負載均衡和鏈路負載均衡功能，支持IPv6基礎(chǔ)特性及IPv6的負載均衡，并配合云數(shù)據(jù)中心實現(xiàn)虛擬化環(huán)境下針對關(guān)鍵業(yè)務(wù)的動態(tài)資源擴展，動態(tài)應(yīng)對突發(fā)業(yè)務(wù)訪問量所帶來的資源瓶頸，提高業(yè)務(wù)運維的效率。設(shè)備選型如下:設(shè)備型號設(shè)備描述H3CS12510-XH3CS12510-X以太網(wǎng)交換機交流主機，雙引擎，6塊交換網(wǎng)板，4塊交流電源，96個萬兆光口H3CSecPathL5000-CH3CSecPathL5000-C主機云安全訪問控制區(qū)此區(qū)域是邏輯區(qū)域，用于部署與互聯(lián)網(wǎng)公有云、廣域網(wǎng)接入?yún)^(qū)進行數(shù)據(jù)交互的安全隔離設(shè)備，確保數(shù)據(jù)訪問安全，包括設(shè)置網(wǎng)絡(luò)隔離、防DDoS攻擊設(shè)備、防火墻、IPS、端口安全檢測等。保證物理網(wǎng)絡(luò)安全性的同時，通過虛擬化技術(shù)，實現(xiàn)在虛擬化環(huán)境下數(shù)據(jù)訪問的安全控制，物理組網(wǎng)如下圖所示：圖表SEQ圖表\*ARABIC16云安全訪問控制區(qū)此區(qū)域?qū)崿F(xiàn)的功能：1、DDOS流量清洗：對進入云數(shù)據(jù)中心的數(shù)據(jù)流量進行實時監(jiān)控，及時發(fā)現(xiàn)包括DOS攻擊在內(nèi)的異常流量。在不影響正常業(yè)務(wù)的前提下，清洗掉異常流量。有效滿足用戶對云數(shù)據(jù)中心運作連續(xù)性的要求。同時通過時間通告、分析報表等服務(wù)內(nèi)容提升用戶網(wǎng)絡(luò)流量的可見性和安全狀況的清晰性。2、訪問控制：利用防火墻實現(xiàn)云數(shù)據(jù)中心的整體安全防護；同時為每個申請安全服務(wù)的租戶提供獨立的vFW服務(wù)，實現(xiàn)租戶業(yè)務(wù)的隔離需求。3、入侵防御：通過SecBladeIPS插卡，可為數(shù)據(jù)中心內(nèi)部提供了更堅固的安全保護機制。通過IPS的深度檢測功能可以有效保護內(nèi)部服務(wù)器避免受到病毒、蠕蟲、程序漏洞等來自應(yīng)用層的安全威脅。設(shè)備選型如下，設(shè)備型號設(shè)備描述H3CSecPathM9006H3CSecPathM9006-NSQZ1M9006-M9006多業(yè)務(wù)安全網(wǎng)關(guān)主機，雙引擎，雙電源，4塊交換網(wǎng)板，1塊SecBladeIII防火墻業(yè)務(wù)板，8端口萬兆光口D3000GUARD3000-TS雙電源交流主機SecBladeIPSH3CSecBlade入侵防御系統(tǒng)模塊增強版物理設(shè)備選型原則根據(jù)實際業(yè)務(wù)需求和上述配置原則，物理設(shè)備選型遵循以下要求：物理服務(wù)器的選型：常規(guī)大內(nèi)存型應(yīng)用，主要用于承載業(yè)務(wù)系統(tǒng)的云主機服務(wù)，采用2路CPU服務(wù)器，CPU核數(shù)≥6核，配置E5-2620及以上的CPU；內(nèi)存≥96G；高計算型應(yīng)用，主要用于數(shù)據(jù)庫服務(wù)等，采用4路CPU服務(wù)器，CPU核數(shù)≥8核，配置E5-4620及以上的CPU；內(nèi)存≥64G；云平臺初期選用的服務(wù)器配置如下表:類型配置數(shù)量使用區(qū)域服務(wù)器1CPU：2路6核，Mem：96G，2*300GBSAS，6*900GBSAS，2GB高速緩存，2個10GE端口，8個GE端口，雙交流電源80業(yè)務(wù)應(yīng)用區(qū)、系統(tǒng)管理區(qū)服務(wù)器2CPU：4路8核，Mem:64G，2*300GBSAS，512MB高速緩存，4GE網(wǎng)卡，2*10GE網(wǎng)卡，2*HBA卡，雙交流電源20云數(shù)據(jù)庫區(qū)圖表SEQ圖表\*ARABIC17云平臺初期選用服務(wù)器配置表數(shù)據(jù)庫區(qū)FC存儲選型：存儲設(shè)備支持：FC光纖通道存儲設(shè)備支持數(shù)據(jù)分層存儲，可以在SSD、15K、10K、7.2K硬盤之間動態(tài)遷移數(shù)據(jù)；單臺陣列要求配置≥2個SAN存儲節(jié)點或控制器；實際配置前端口≥4個；后端口速率≥6GbSAS接口；配置10krpm900SAS硬盤，容量≥60TB備份IP存儲選型：配置≥90T總?cè)萘?；存儲陣列支持無限個Lun，每卷支持無限個快照；本次配置≥4個控制器，所配磁盤陣列可在線擴展至≥32個控制器，不會導(dǎo)致業(yè)務(wù)中斷；支持跨存儲設(shè)備的RAID0/1/5/6/10；分布式存儲選型：支持2-5個數(shù)據(jù)副本，存儲最大容量可擴展至1PB以上；支持最大256個節(jié)點，支持存儲節(jié)點容錯，任意一個存儲節(jié)點發(fā)生故障，都不會導(dǎo)致數(shù)據(jù)丟失；擴容新增存儲節(jié)點時，原有數(shù)據(jù)自動重新分布，按負載均衡原則分布到新增存儲空間中。配置≥400T容量網(wǎng)絡(luò)設(shè)備選型：核心交換機：交換容量≥17.5Tbps，包轉(zhuǎn)發(fā)率≥5000Mpps；采用主控引擎、交換引擎、接口單元硬件槽位分離的全分布式架構(gòu)；支持1:N、N:1、縱向虛擬化；支持云中心大二層互聯(lián)技術(shù)。服務(wù)器千兆接入交換機，交換容量≥300Gbps，轉(zhuǎn)發(fā)性能≥160Mpps。服務(wù)器萬兆接入交換機，交換容量≥1200Gbps，轉(zhuǎn)發(fā)性能≥700Mpps；支持802.1Qbg標準協(xié)議；支持全萬兆線速轉(zhuǎn)發(fā)，40GE上連。負載均衡，支持全面的四至七層負載均衡和鏈路負載均衡功能，支持IPv6基礎(chǔ)特性及IPv6的負載均衡。防火墻，采用核心交換機相同的架構(gòu)，支持N:1安全集群來統(tǒng)一配置管理；支持虛擬防火墻功能，支持IPv6基礎(chǔ)特性。入侵防御，通過國際權(quán)威安全組織（通用漏洞披露組織）兼容性認證，支持深入七層的分析檢測技術(shù)，并能主動防御。云節(jié)點設(shè)備，支持MPLSVPN、OSPF、IPsec、NAT，遵循省級政務(wù)云和省電子政務(wù)外網(wǎng)技術(shù)標準，具有網(wǎng)絡(luò)、計算、存儲、云主機的功能，納入省級政務(wù)云平臺進行統(tǒng)一監(jiān)控與管理。資源抽象與控制層計算資源池構(gòu)建服務(wù)器是云計算平臺的核心，其承擔(dān)著云計算平臺的“計算”功能。對于云計算平臺上的服務(wù)器，通常都是將相同或者相似類型的服務(wù)器組合在一起，作為資源分配的母體，即所謂的服務(wù)器資源池。在這個服務(wù)器資源池上，再通過安裝虛擬化軟件，使得其計算資源能以一種云主機的方式被不同的應(yīng)用和不同用戶使用。在x86系列的服務(wù)器上，其主要是以H3Cloud云主機的形式存在。后續(xù)的方案描述中，都以云主機進行描述，如下為H3C虛擬化軟件的構(gòu)成。CVK：CloudVirtualizationKernel，虛擬化內(nèi)核平臺運行在基礎(chǔ)設(shè)施層和上層操作系統(tǒng)之間的“元”操作系統(tǒng)，用于協(xié)調(diào)上層操作系統(tǒng)對底層硬件資源的訪問，減輕軟件對硬件設(shè)備以及驅(qū)動的依賴性，同時對虛擬化運行環(huán)境中的硬件兼容性、高可靠性、高可用性、可擴展性、性能優(yōu)化等問題進行加固處理。CVM：CloudVirtualizationManager，虛擬化管理系統(tǒng)主要實現(xiàn)對數(shù)據(jù)中心內(nèi)的計算、網(wǎng)絡(luò)和存儲等硬件資源的軟件虛擬化，形成虛擬資源池，對上層應(yīng)用提供自動化服務(wù)。其業(yè)務(wù)范圍包括：虛擬計算、虛擬網(wǎng)絡(luò)、虛擬存儲、高可靠性（HA）、動態(tài)資源調(diào)度（DRS）、云主機容災(zāi)與備份、云主機模板管理、集群文件系統(tǒng)、虛擬交換機策略等。采用H3C的CAS虛擬化平臺對多臺服務(wù)器虛擬化后，連接到共享存儲，構(gòu)建成計算資源池，通過網(wǎng)絡(luò)按需為用戶提供計算資源服務(wù)。同一個資源池內(nèi)的云主機可在資源池內(nèi)的物理服務(wù)器上動態(tài)漂移，實現(xiàn)資源的動態(tài)調(diào)配。CAS產(chǎn)品邏輯架構(gòu)圖如下所示：圖表SEQ圖表\*ARABIC18CAS產(chǎn)品邏輯架構(gòu)計算資源池的構(gòu)建可以采用以下四個步驟完成：計算資源池分類設(shè)計、主機池設(shè)計、集群設(shè)計、云主機設(shè)計四個部分完成。計算資源池分類設(shè)計在搭建服務(wù)器資源池之前，首先應(yīng)該確定資源池的數(shù)量和種類，并對服務(wù)器進行歸類。歸類的標準通常是根據(jù)服務(wù)器的CPU類型、型號、配置、物理位置和用途來決定。對云計算平臺而言，屬于同一個資源池的服務(wù)器，通常就會將其視為一組可互相替代的資源。所以，一般都是將相同處理器、相近型號系列并且配置與物理位置接近的服務(wù)器——比如相近型號、物理距離不遠的機架式服務(wù)器。在做資源池規(guī)劃的時候，也需要考慮其規(guī)模和功用。如果單個資源池的規(guī)模越大，可以給云計算平臺提供更大的靈活性和容錯性：更多的應(yīng)用可以部署在上面，并且單個物理服務(wù)器的宕機對整個資源池的影響會更小些。但是同時，太大的規(guī)模也會給出口網(wǎng)絡(luò)吞吐帶來更大的壓力，各個不同應(yīng)用之間的干擾也會更大。初期的資源池規(guī)劃應(yīng)該涵蓋所有可能被納管到云計算平臺的所有服務(wù)器資源，包括那些為搭建云計算平臺新購置的服務(wù)器、政府內(nèi)部那些目前閑置著的服務(wù)器以及那些現(xiàn)有的并正在運行著業(yè)務(wù)應(yīng)用的服務(wù)器。在云計算平臺搭建的初期，那些目前正在為業(yè)務(wù)系統(tǒng)服務(wù)的服務(wù)器并不會直接被納入云計算平臺的管轄。但是隨著云計算平臺的上線和業(yè)務(wù)系統(tǒng)的逐漸遷移，這些服務(wù)器也將逐漸地被并入云計算平臺的資源池中。針對xx省政務(wù)專有云的需要，我們按照用途將云計算資源池劃分為云主機&云存儲區(qū)資源池、管理和服務(wù)區(qū)資源池，以便云計算平臺項目實施過程以及平臺上線以后運維過程中使用。在云計算平臺搭建完畢以后，服務(wù)器資源池可以如下圖所示：圖表SEQ圖表\*ARABIC19xx省政務(wù)專有云計算資源池H3CCVM虛擬化管理平臺體系將云計算資源池的物理服務(wù)器資源以樹形結(jié)構(gòu)進行組織管理，云資源中的被管理對象之間的關(guān)系可以用下圖描述：圖表SEQ圖表\*ARABIC20云資源對象關(guān)系主機池設(shè)計完成在云計算軟件體系架構(gòu)中，主機池是一系列主機和集群的集合體，主機可納入群集中，也可單獨存在。沒有加入集群的主機全部在主機池中進行管理。集群設(shè)計集群目的是使用戶可以像管理單個實體一樣輕松地管理多個主機和云主機，從而降低管理的復(fù)雜度，同時，通過定時對集群內(nèi)的主機和云主機狀態(tài)進行監(jiān)測，如果一臺服務(wù)器主機出現(xiàn)故障，運行于這臺主機上的所有云主機都可以在集群中的其它主機上重新啟動，保證了數(shù)據(jù)中心業(yè)務(wù)的連續(xù)性。云主機設(shè)計每臺云主機都是一個完整的系統(tǒng)，它具有CPU、內(nèi)存、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備和BIOS，因此操作系統(tǒng)和應(yīng)用程序在云主機中的運行方式與它們在物理服務(wù)器上的運行方式?jīng)]有任何區(qū)別。與物理服務(wù)器相比，云主機具有如下優(yōu)勢：在標準的x86物理服務(wù)器上運行。可訪問物理服務(wù)器的所有資源（如CPU、內(nèi)存、磁盤、網(wǎng)絡(luò)設(shè)備和外圍設(shè)備），任何應(yīng)用程序都可以在云主機中運行。默認情況，云主機之間完全隔離，從而實現(xiàn)安全的數(shù)據(jù)處理、網(wǎng)絡(luò)連接和數(shù)據(jù)存儲?？膳c其它云主機共存于同一臺物理服務(wù)器，從而達到充分利用硬件資源的目的。云主機鏡像文件與應(yīng)用程序都可以封裝于文件之中，通過簡單的文件復(fù)制便可實現(xiàn)云主機的部署、備份以及還原。具有可移動的靈巧特點，可以便捷地將整個云主機系統(tǒng)（包括虛擬硬件、操作系統(tǒng)和配置好的應(yīng)用程序）在不同的物理服務(wù)器之間進行遷移，甚至還可以在云主機正在運行的情況下進行遷移?？蓪⒎植际劫Y源管理與高可用性結(jié)合到一起，從而為應(yīng)用程序提供比靜態(tài)物理基礎(chǔ)架構(gòu)更高的服務(wù)優(yōu)先級別?？勺鳛榧床寮从玫奶摂M工具（包含整套虛擬硬件、操作系統(tǒng)和配置好的應(yīng)用程序）進行構(gòu)建和分發(fā)，從而實現(xiàn)快速部署。在計算資源池中，一般物理服務(wù)器與云主機的整合比平均不超過1:8、單臺物理服務(wù)器上所有云主機vCPU之和不超過物理機總內(nèi)核的1.5倍、單臺物理服務(wù)器上所有云主機內(nèi)存之和不超過物理內(nèi)存的120%。在構(gòu)建完計算資源池后，軟件本身還需要保證整個計算資源池及應(yīng)用的易用性和可靠性，H3CCAS虛擬化軟件通過以下技術(shù)實現(xiàn)可用性和可靠性的要求：云主機模板設(shè)計云主機模板包括云主機的vCPU、內(nèi)存等參數(shù)，主機根據(jù)主要應(yīng)用系統(tǒng)負載量的不同提供不同的規(guī)格。在采用云計算來向用戶交付服務(wù)時，用戶通過云門戶自助申請的IT服務(wù)資源就是業(yè)務(wù)應(yīng)用模板，因此需要提前設(shè)計好相應(yīng)的IT服務(wù)模板向云門戶發(fā)布，當(dāng)用戶申請該服務(wù)時，云平臺根據(jù)模板進行資源編排，快速生成云主機相關(guān)資源交付給用戶使用。高可用性設(shè)計高可用性包括兩個方面：1.云主機之間的隔離：每個云主機之間可以做到隔離保護，其中一個云主機發(fā)生故障不會影響同一個物理機上的其他云主機；2.物理機發(fā)生故障不會影響應(yīng)用：故障物理機上運行的云主機可被自動遷移接管，即云主機可以在同一集群內(nèi)的多臺服務(wù)器之間進行遷移，從而實現(xiàn)多臺物理服務(wù)器的之間的相互熱備，實現(xiàn)當(dāng)其中一個物理服務(wù)器發(fā)生故障時，自動將其上面的云主機切換到其他的服務(wù)器，應(yīng)用在物理機宕機情況下保證零停機。H3CCAS虛擬化平臺HA功能會監(jiān)控該集群下所有的主機和物理主機內(nèi)運行的虛擬主機。當(dāng)物理主機發(fā)生故障，出現(xiàn)宕機時