某高校數據中心整體建設方案建議書

XX學校云數據中心項目建議書深信服科技股份有限公司版權聲明深信服科技股份有限公司版權所有，并保留對本文檔及本聲明的最終解釋權和修改權。本文檔中出現的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明外，其著作權或其它相關權利均屬于深信服科技股份有限公司。未經深信服科技股份有限公司書面同意，任何人不得以任何方式或形式對本文檔內的任何部分進行復制、摘錄、備份、修改、傳播、翻譯成其他語言、將其全部或部分用于商業(yè)用途。免責條款本文檔僅用于為最終用戶提供信息，其內容如有更改，恕不另行通知。深信服科技股份有限公司在編寫本文檔的時候已盡最大努力保證其內容準確可靠，但深信服科技股份有限公司不對本文檔中的遺漏、不準確、或錯誤導致的損失和損害承擔責任。信息反饋如果您有任何寶貴意見，請反饋至：信箱：深圳市南山區(qū)學苑大道1001號南山智園A1棟郵編：518055電話真也可以訪問深信服科技網站：獲得最新技術和產品信息縮寫和約定英文縮寫英文全稱中文解釋HypervisorHypervisor虛擬機管理器（和VMM同義）VMMVMMVirtualMachineManager虛擬機監(jiān)視器HAHighAvailability高可用性vMotionvMotion實時遷移aSVServerVirtualization深信服服務器虛擬化組件aNetNetworkVirtualization深信服網絡虛擬化組件aSANStoragevirtualization深信服存儲虛擬化組件RAIDRedundantArraysofIndependentDisks磁盤陣列IOPSInput/OutputOperationsPerSecond每秒讀寫（I/O）操作的次數VMVirtualMachine虛擬機SDNSoftwareDefinedNetwork軟件定義網絡NFVNetworkFunctionVirtualization網絡功能虛擬化修訂記錄修訂版本號作者日期備注V1.0要志文2018-03V1.1郭洋2018-04V2.0郭洋2018-06目錄TOC\o"1-3"第1章 高校數據中心建設需求分析 41.1 數字化轉型時代高校數據中心的建設背景 41.2 高校數據中心整體需求分析 51.2.1 高校業(yè)務對IT的要求分析 51.2.2 基礎設施功能需求分析 61.2.3 云數據中心安全需求 71.2.4 統(tǒng)一規(guī)范制度需求 91.3 高校核心業(yè)務系統(tǒng)需求分析~ 9第2章 高校數據中心建設總體架構設計 102.1 主生產中心架構 102.2 校區(qū)環(huán)網數據中心架構 112.3 云平臺總體架構 11第3章 高校數據中心詳細設計方案 133.1 計算和存儲資源池設計方案 133.1.1 方案產品簡介 133.1.2 計算資源池設計 133.1.3 存儲資源池設計 143.1.4 超融合平臺運行數據庫~ 153.1.5 超融合一體機配置 153.2 網絡拓撲設計方案 163.2.1 數據中心物理網絡拓撲 163.2.2 核心交換機收斂比設計 163.2.3 超融合資源池網絡拓撲 173.2.4 業(yè)務區(qū)虛擬網絡拓撲 173.3 網絡虛擬化技術能力概述 193.3.1 網絡探測功能 193.3.2 全網流量可視 193.3.3 分布式虛擬防火墻 193.3.4 業(yè)務邏輯拓撲所畫即所得 203.3.5 業(yè)務監(jiān)控中心 203.4 數據中心網絡安全防護方案 223.4.1 數據中心安全威脅來源分析 223.4.2 云資源池安全防護 233.4.3 數據中心等級保護方案 233.5 云管平臺運維和管理方案 253.5.1 異構資源管理 263.5.2 分級分權管理 263.5.3 IT自服務和流程 263.5.4 自動化運維 273.5.5 資源計量 273.6 數據備份設計方案 273.7 容災中心設計方案 293.7.1 容災平臺整體架構 293.7.2 超融合-超融合雙向容災 303.7.3 VMware-超融合單向容災 313.7.4 數據庫容災配置 323.7.5 業(yè)務容災切換和數據回遷 353.7.6 容災備份效果 383.8 解決關鍵業(yè)務系統(tǒng)痛點的技術~ 38第4章 項目實施規(guī)劃設計 394.1 機房部署方案 394.2 業(yè)務云化遷移方案 404.2.1 業(yè)務遷移服務概述 404.2.2 業(yè)務遷移設計原則 414.2.3 業(yè)務遷移服務流程 414.2.4 服務器遷移技術方案 434.2.5 數據庫遷移技術方案 44第5章 解決方案效益和價值分析 465.1 實現云數據中心的架構極簡 465.2 提升學校業(yè)務穩(wěn)定性 465.3 為數字化校園安全保駕護航 465.4 降低云數據中心使用復雜度 47第6章 深信服云計算服務方案 486.1 云計算服務產品概述 486.1.1 云計算服務產品定義 486.1.2 云計算服務產品架構 486.2 云計算服務產品內容 486.2.1 部署實施服務 486.2.2 企業(yè)級云業(yè)務遷移服務 496.2.3 技術支持服務 506.2.4 硬件維保 516.2.5 軟件升級服務 516.2.6 專家現場服務 52第7章 方案采購清單 537.1 超融合云平臺采購清單 53高校數據中心建設需求分析數字化轉型時代高校數據中心的建設背景學校的信息化系統(tǒng)已經建設了多年，隨之互聯網技術的發(fā)展，當前學校信息化正在向數字化轉型。用數字化技術重新整合業(yè)務流程，通過互聯網的入口實現高效的業(yè)務訪問，加速業(yè)務流轉，提升校園管理、教學管理、科研、生活等高效率運行，提高全校師生對信息化系統(tǒng)的服務滿意度。在學校的信息化建設中，普遍采用云計算技術，將應用系統(tǒng)的計算單元和數據單元部署在學校的數據中心，用戶通過終端訪問業(yè)務業(yè)務平臺門戶。因此數據中心作為承載全部校園信息化業(yè)務的載體，建設具備高度可靠和安全的數據中心，是信息化項目的基礎平臺和關鍵目標。一個標準的現代數據中心，包含了幾大模塊：物理基礎設施，即數據中心的土建、房屋結構及其附屬的門禁、監(jiān)控、防火、供電、溫控等裝置。這些基礎設施保障了數據中心的各類設備在滿足標準的環(huán)境中運行。IT基礎設施，包括服務器、存儲、網絡交換機、安全等硬件設備，還包括機柜及布線、系統(tǒng)監(jiān)控和管理軟件、監(jiān)控終端、審計等輔助的專用軟硬件。這些硬件和軟件共同定義了IT層面核心功能，即計算能力、存儲力、網絡拓撲、安全防護、運維管理、容災、網絡出口。系統(tǒng)軟件和應用軟件，完成業(yè)務邏輯的作業(yè)，需要IT基礎設施提供計算、存儲、網絡資源，并具備安全防護能力。高校的數據中心，除了具備標準數據中心的一切特征之外，又不同于企業(yè)和政府，具有相當的特殊性，這使得高校數據中心建設的項目中，學校需要根據自身情況詳細定義數據中心的建設目標、制定建設規(guī)劃方案。高校建設數據中心的特殊性在于業(yè)務目標、信息部門職責和能力不同于企業(yè)和政府，主要體現在以下幾個方面：高校是相對封閉又功能完善的社區(qū)，承擔數萬師生的學習、工作、生活、科研、醫(yī)療等方方面面，其數字化業(yè)務種類相比企業(yè)更加復雜，各類業(yè)務模式不一、軟件供應商眾多。因此數據中心的計算和存儲平臺，必須能夠穩(wěn)定高性能的承載校園內各類型的業(yè)務場景和各種軟件，同時保障各類網絡環(huán)境下的業(yè)務安全和數據安全。高校往往承擔新事務試驗田的角色，探索新技術的應用場景、承擔國家科研項目、為社會嘗試新的生活方式、不斷地教學改革提升教育質量。這使得學校經常面臨大量的新業(yè)務部署，而這些業(yè)務既有長期運行的也有短期的探索型業(yè)務、臨時項目等。這要求數據中心能夠為新業(yè)務部署提供充足的IT資源，又要避免業(yè)務失敗帶來的資源浪費。體現在技術上就要求IT資源平臺，既能夠敏捷擴容資源能力，為業(yè)務提供充足的性能，又能夠回收和利舊資源能力，增大投資收益。高校信息中心部門面臨著角色轉型，從過去的IT運維的部門，逐漸成為數字化業(yè)務的運營部門，這樣的角色轉換，使得學校對于信息中心的工作評價標準發(fā)生了變化。過去作為運維部門，主要工作是保障“信息系統(tǒng)可用、功能完善”；現在作為運營部門，評價標準是師生使用信息化系統(tǒng)的“滿意度高、使用頻率高”。這使得信息化部門的具體工作要從被動響應支撐，變?yōu)橹鲃油茝V數字化業(yè)務的用戶數量并持續(xù)改進用戶體驗?；诖朔较虻霓D型，需要IT基礎平臺具有高度的穩(wěn)定性和便捷的運維手段，這樣才能使得信息中心的老師們能夠從繁重的設備運維中解脫出來，釋放精力從事校園數字化業(yè)務的經營工作。綜合以上信息，高校在建設數據中心的項目中，可分成三個階段，一是建成符合標準的數據中心物理；二是建設云計算數據中心實現IT資源供應和運行環(huán)境；三是設計數字化應用體系和運營體系，逐步實施數字化業(yè)務的應用軟件部署。高校數據中心整體需求分析高校業(yè)務對IT的要求分析依據本校的現狀，當前已經或正在建設機房的基礎設施，本方案適用于數據中心第二階段的IT基礎設施建設，并滿足第三階段各類業(yè)務承載的要求。學校的數字化業(yè)務可大體分成幾類：統(tǒng)一業(yè)務門戶平臺、統(tǒng)一認證平臺、統(tǒng)一管理平臺、統(tǒng)一運維平臺、MIS系統(tǒng)、網站群、數據分析系統(tǒng)、在線課程、結算系統(tǒng)等。涉及到教學、管理、后勤、財務等方方面面的部門和業(yè)務流轉。綜合分析這些系統(tǒng)的特征和需求，數據中心應當具備可靠性、性能擴容能力、保障業(yè)務安全、便捷運維等特征。分解數據中心的建設需求如下：高可靠性：云數據中心平臺層面能夠保障業(yè)務連續(xù)可靠運行，硬件故障不影響業(yè)務和數據。能夠穩(wěn)定運行對于門戶、財務、一卡通等業(yè)務的數據庫，實現數據庫集群部署。學校已經有多個校區(qū)，具備異地容災的基礎，整體方案實現關鍵業(yè)務的容災。高性能：云數據中心的平臺能夠提供充足的計算和存儲能力，承載校園所有的業(yè)務系統(tǒng)，并具備相當的擴展能力，實現門戶、一卡通、在線課程等來自互聯網用戶高峰期訪問時，這些系統(tǒng)的性能足夠保障業(yè)務可用。一卡通的實時性寫入要求比較高，要保障數據庫能夠有足夠的IO能力。擴容能力：學校建設應用的周期較長，為減少投入成本，數據中心整體架構需能夠根據業(yè)務量對資源的需求，隨時擴容，并降低擴容實施的復雜度。整體安全：數據中心內部的安全能力，包括邊界安全和資源池內安全。邊界安全主要是為了保障互聯網的攻擊、非法入侵、傳輸加密等工作。資源池內的安全，需要保障業(yè)務東西向流量之間的安全隔離。管理能力：學校信息中心作為信息化業(yè)務的建設方和管理方，利用自動化管理平臺實現業(yè)務流程自助申請、管理員審批、自動部署的管理模式。各二級業(yè)務部門，設置部門管理員一名，直接面向本部門的用戶提供流程審批，以分權管理的方式，降低信息中心管理員的工作量。利舊能力：為實現成本優(yōu)化，數據中心的建設過程中，應該能夠充分利用現有的設備，納入到資源池中。運維能力：數據中心具有統(tǒng)一的資源運維平臺，實現對資源的整體監(jiān)控、二級部門的資源配額、網絡配置，并同時納管現有的VMware虛擬化平臺。基礎設施功能需求分析數據中心建設需要滿足校內資源共享、業(yè)務協(xié)同需求，以及一站業(yè)務服務等智慧校園前期建設和師生管理、生活服務的需求，需要從基礎設施、數據、應用系統(tǒng)支撐平臺等各個層面進行整合，因此構建基礎設施即服務系統(tǒng)、數據即服務系統(tǒng)、平臺即服務系統(tǒng)等系統(tǒng)?；A設施即服務是學校數據中心和云平臺的基礎服務。物理上將IT基礎設施整合的需求；性能上能夠做到彈性擴展和動態(tài)調配，使得不同的應用能夠共享基礎設施資源池中的資源；需要在云計算中心的建設中采用開放架構，一方面能夠采用通用的設備實現快速擴展，另一方面也能夠利舊已有設備資源，提升資源的利用效率，保護已有投資。網絡是基礎設施即服務的基礎，也是學校云計算中心建設的重點，網絡的高可用直接影響到業(yè)務系統(tǒng)的可用性。在學校的云數據中心建設中需要做到統(tǒng)一網絡布局，使得數字化校園網絡中的數據和業(yè)務系統(tǒng)在網絡上能夠做到互聯互通；在網絡系統(tǒng)的規(guī)劃中，需要做到高可用性、易擴展性、高性能和易管理。計算資源池主要提供計算能力，是基礎設施即服務建設的核心。由于學校新型的互聯網業(yè)務快速發(fā)展的特點，計算資源池建設中需要充分體現動態(tài)化、彈性化的特征，做到能夠根據業(yè)務部門實際需要，動態(tài)分配計算資源，并需要提供彈性計算資源的管理工具，從而實現計算資源的可視化管理。對于存儲資源池，由于學校中積累的大量結構化數據以及爆炸性增長的非結構化數據，主要是各類文檔、電子文獻資源、課程視頻資源等，需要建設能夠滿足數據存儲需求的云存儲池，存儲池的建設需要做到有極好的擴展性、易管理性、安全性和高性能。云數據中心安全需求學校同時承載了教學、科研、管理、生活等各類角色，涉及到師生在校期間的全部生活和個人信息，對信息安全的要求高，因而在學校數據中心建設過程中需要充分考慮安全體系的建設。由信息中心統(tǒng)一保障IT服務的安全性，數據的物理存儲實體與所有者分離，云安全就是要采取恰當的技術措施和管理手段，打消用戶顧慮，使其信任云計算中心對各部門私有數據的存儲、管理和處理。針對XX學校建議的安全需求如下表所示：安全層面安全需求安全需求描述機房監(jiān)控機房監(jiān)控主要是預防盜竊、人為破壞、私自闖入等情況。監(jiān)控手段有門禁系統(tǒng)、監(jiān)視系統(tǒng)、紅外系統(tǒng)等。物理安全設備備份設備備份用于預防關鍵設備意外損壞。接入到互聯網中關鍵網絡設備、服務器應有冗余設計。線路備份線路備份主要是預防通信線路意外中斷。電源備份電源備份用于預防電源故障引起的短時電力中斷。防電磁泄漏防電磁泄漏用于預防電磁泄漏引起的數據泄漏。防電磁泄漏手段有屏蔽機房、安裝干擾器、線路加密等。介質安全介質安全用于預防因媒體不可用引起的數據丟失。要求對數據進行備份，且備份數據的存放環(huán)境要滿足防火、防高溫、防震、防水、防潮的要求。網絡與系統(tǒng)安全多層防御多層防御就是采用層次化保護策略，預防能攻破一層或一類保護的攻擊行為無法破壞整個業(yè)務網。要求合理劃分安全域，對每個安全域的邊界和局部計算環(huán)境，以及域之間的遠程訪問，根據需要采用適當的有效保護。邊界防護邊界防護用于預防來自本安全域以外的各種惡意攻擊和遠程訪問控制。邊界防護機制有防火墻、入侵檢測、物理隔離等，實現與互聯網和校園網的安全隔離。網絡防病毒網絡防病毒用于預防病毒在網絡內傳播、感染和發(fā)作。網站監(jiān)測網站監(jiān)測用于預防校園網網站WEB頁面的保護。備份恢復備份恢復用于意外情況下的數據備份和系統(tǒng)恢復。漏洞掃描漏洞掃描用于及時發(fā)現操作系統(tǒng)、數據庫系統(tǒng)、應用系統(tǒng)以及網絡協(xié)議安全漏洞，防止安全漏洞引起的安全隱患。主機保護對關鍵的主機，例如數據庫服務器安裝主機保護軟件，對操作系統(tǒng)進行安全加固安全審計用于事件追蹤。要求網絡、安全設備和操作系統(tǒng)、數據庫系統(tǒng)有審計功能，同時安裝第三方的安全監(jiān)控和審計系統(tǒng)。身份認證身份認證用于保證身份的真實性。校園網中身份認證包括管理人員身份認證、操作員身份認證、服務器身份認證等。鑒于校園網網絡中用戶數量較大，基于數字證書（CA）的認證體制將是理想的選擇。應用安全權限管理權限管理指對校園網中的業(yè)務應用、主機系統(tǒng)的所有操作和訪問權限進行管理，防止非授權訪問和操作。數據完整性數據完整性指對校園網中存儲、傳輸的數據進行數據完整性保護。數據傳輸機密性數據傳輸機密性指對教育系統(tǒng)內網絡中各安全域之間傳輸的敏感信息進行加密保護。抗抵賴抗抵賴就是通過采用數字簽名方法保證當事人行為的不可否認性，建立有效的責任機制，為校園網創(chuàng)造可信的應用環(huán)境。安全審計各應用系統(tǒng)對各種訪問和操作要有完善的日志記錄，并提供相應的審計工具。安全管理組織建設安全管理組織建設包括：組織機構、人才隊伍、應急響應支援體系等的建設。制度建設安全管理制度建設包括：人員管理制度，機房管理制度，卡、機具生產管理制度，設備管理制度、文檔管理制度等的建設標準建設安全標準規(guī)范建設包括：數據交換安全協(xié)議、認證協(xié)議、密碼服務接口等標準規(guī)范的建立。安全服務安全服務包括安全培訓、日常維護、安全評估、安全加固、緊急響應等技術建設安全管理技術建設主要指充分利用已有的安全管理技術，利用和開發(fā)相關的安全管理工具，提高安全管理的自動化、智能化水平。統(tǒng)一規(guī)范制度需求建議學校應當有科學、有效、完整的技術規(guī)范和管理制度標準，來保障整個中心正常、有序的運行。需要建立云計算中心互操作標準、云計算中心服務標準、云計算中心運維標準、云計算中心數據即服務規(guī)范、云計算中心系統(tǒng)管理規(guī)范等內容。高校數據中心建設總體架構設計主生產中心架構如下圖是學校的數據中的整體架構，包含了IT資源池、核心交換區(qū)、網絡出口區(qū)、管理區(qū)、運維、安全等幾大模塊。資源池區(qū)：當前普遍采用虛擬化和云計算技術作為數據中心IT資源的架構。綜合學校對數據中心的各類要求，我們推薦采用超融合技術為主構建完整的數據中心。超融合是以虛擬化技術和x86服務器為主，融合服務器虛擬化、存儲虛擬化、網絡虛擬化等各類軟件，通過標準的硬件為業(yè)務提供這些資源。以超融合構建的統(tǒng)一資源池，硬件部分僅僅包括服務器和網絡交換機，所有的超融合軟件、業(yè)務虛擬機運行這個資源池中，存儲虛擬化軟件統(tǒng)一管理所有服務器的本地磁盤，構建高性能高可靠的存儲資源池。超融合技術不僅能為業(yè)務提供計算和存儲資源，也能實現不同業(yè)務的網絡區(qū)域隔離、集成網絡安全模塊實現安全管控。業(yè)務邏輯分區(qū)：業(yè)務邏輯分區(qū)隔離可以是物理的也可以虛擬化隔離。在超融合平臺上部署的業(yè)務，可以由超融合集成的網絡虛擬化實現分區(qū)隔離。獨立部署的物理機、VMware等第三方虛擬化平臺，建議采用獨立的VLAN做隔離。網絡出口區(qū)：網絡出口區(qū)需要部署邊界防火墻等安全設備，必要時還需要部署鏈路負載均衡、上網行為管理等設備。安全等保：如學校需要為滿足安全等保3.0，還需要配置安全感知平臺、潛伏探針、數據庫審計，并配置異地數據備份和業(yè)務容災等措施。校區(qū)環(huán)網數據中心架構目前學校有3個校區(qū)，各有1個機房。這三個機房之間建立校園環(huán)網，部署統(tǒng)一的云計算平臺，集成容災備份能力，實現業(yè)務數據同城備份和關鍵應用的準生產容災。在未來，當學校的業(yè)務量規(guī)模龐大時，并且互聯網業(yè)務增多時，可考慮建成異地容災的方式，采用兩地三中心架構或者“同城雙中心+混合云”?，F階段，學校有2個數據中心，采用主備模式，將主要的業(yè)務和互聯網出口放在主校區(qū)機房，一部分非關鍵業(yè)務放在備機房，同時將主校區(qū)的一部分關鍵業(yè)務備份到備機房，實現業(yè)務容災。包含異地容災的數據中心整體架構如下：云平臺總體架構在三個機房均部署云計算資源池，通過云管平臺統(tǒng)一管理。云平臺主要實現3個能力：根據業(yè)務需求統(tǒng)一管理調度各類計算、存儲資源、網絡資源。為業(yè)務運行提供各類云服務。為管理員IT運維、安全配置、用戶權限管理、資源監(jiān)控等工作提供工具。通過云管平臺跨數據中心統(tǒng)一調度云資源和服務，為每個業(yè)務部門提供獨立的VPC運行環(huán)境。高校數據中心詳細設計方案計算和存儲資源池設計方案方案產品簡介推薦本項目采用超融合一體機同時承載計算和存儲資源的供給。深信服企業(yè)級云aCloud是面向數據中心整體解決方案設計的一套云計算軟件，采用超融合架構加云計算管理平臺的方式，構建完整的云資源池。aCloud中包含四大主要模塊：aSV–服務器虛擬化，基于kvm開發(fā)，提供企業(yè)級的可靠性和性能優(yōu)化技術。aSAN–存儲虛擬化，基于GlusterFS架構，自主研發(fā)的分布式存儲軟件，為資源池提供統(tǒng)一的存儲空間。aNET–網絡虛擬化技術，完全自助研發(fā)的虛擬化網絡架構，實現業(yè)務網絡的分區(qū)隔離，提供分布式防火墻、分布式交換機、分布式路由器功能，并首創(chuàng)“所畫即所得”網絡管理方式。aCMP–完全自主研發(fā)的分布式云計算管理平臺，統(tǒng)一管理超融合集群，為租戶提供資源申請和訪問的入口，為學校管理員提供運維和監(jiān)控的統(tǒng)一平臺。此外，深信服aCloud組件中，還包括了vDAS審計、容器、CDP數據保護、aHM異構管理、aSEC安全虛擬化等模塊，共同為業(yè)務服務。計算資源池設計針對XX學校的項目，我們建議以配置aSV+aSAN+aNET+aCMP模塊，并配置少量的aHM和aAF虛擬防火墻。在硬件的設計上，采用2種不同配置的高低性能服務器，高性能服務器承載數據庫等關鍵業(yè)務，低性能服務承載輕量級業(yè)務。由aCMP統(tǒng)一管理。按照常規(guī)業(yè)務估算，可將虛擬機配置分成高中低三個檔次。常見的虛擬機配置方式如下表：型號CPU內存/GB硬盤HDD/GBSSD/GB應用場景S112200靜態(tài)網站，邊緣系統(tǒng)，使用頻度低的信息管理系統(tǒng)。S224500S348500M1481000主要的信息管理類、檢索系統(tǒng)、一卡通的應用節(jié)點、數據存儲、認證服務等各類應用節(jié)點和前置機M28161000M316320100L18160100各類數據庫、分析系統(tǒng)、一卡通中間件、統(tǒng)一門戶等計算性能高的業(yè)務L212320100L316640200存儲資源池設計存儲資源池采用aSAN管理本地硬盤實現高性能共享存儲池。每臺服務器需要配置HDD作為數據存儲，SSD作為分層緩存。aSAN正式利用SSD的高性能，采用深信服專利的分層存儲技術，大幅提升了IO性能。每服務器的性能在7:3讀寫比條件下測試，可到達10萬IOPS的能力。同時，超融合的每一臺節(jié)點，即是數據存儲空間，又是存儲服務的控制器，控制器的運算分布在多個節(jié)點上，極大提升了IO處理能力。相比于傳統(tǒng)的光纖存儲，超融合存儲真正實現了存儲性能的橫向擴容。在可靠性的設計上，超融合存儲采用副本方式，每一份數據存儲在不同的服務器中，任何單臺硬件的損壞都不影響數據訪問，保障了業(yè)務連續(xù)性和數據安全。采用超融合存儲，無需精確評估數據空間需求，因為超融合的擴展非常方便，只需要購買相同配置的服務器，加入到集群中，即可同步擴展計算能力、存儲能力和容量。在本次項目中，可按照300TB可用空間估算，滿足日常業(yè)務的數據量和一部分圖片視頻的存儲需求。采用雙副本方式，實際配置硬盤總數量>600TB。SSD緩存配置，依據經驗值，低性能服務器按照5%緩存容量配置，高性能按照10%緩存容量配置，在使用過程中，可以隨時增加SSD提升IO性能。超融合一體機配置依據深信服以往的項目經驗，假定以1萬學生的規(guī)模計算業(yè)務量計算，需要各類虛擬機約300個。其中低端型號約150個，中端型號約120，高端型號約30個。按此規(guī)劃，需要超融合服務器約20臺。為滿足業(yè)務需求和超融合系統(tǒng)自身需求，針對XX學校我們推薦如下配置的服務器和數量。類型型號配置數量每臺服務器承載虛擬機數量服務器低配CPU2xE5-2630V4（10C,2.2G)，128GB內存，2x240GB系統(tǒng)盤，2x960GBSSD，8x4TBSATA，4個千兆網口，2個萬兆光口,2個SFP+模塊，冗余電源15個中端VM或30個低端VM服務器高配CPU2xE5-2680V4（14C,2.4G)，256GB內存，2x240GB系統(tǒng)，2x1.92TBSSD，8x4TB5個高端VM或10個中端VMSATA，4個千兆網口，2個萬兆光口,2個SFP+模塊，冗余電源網絡拓撲設計方案數據中心物理網絡拓撲將數據中心按照物理分區(qū)，實現分區(qū)部署。主要分成核心交換區(qū)、網絡出口區(qū)、業(yè)務區(qū)、辦公區(qū)、大數據區(qū)、帶外管理區(qū)和容災機房。其中業(yè)務區(qū)有超融合集群和非虛擬化集群構成。核心交換機收斂比設計由于網絡虛擬化技術引入到資源池，可將傳統(tǒng)數據中心的三層架構(接入-匯聚-核心)，簡化為二層(接入-核心)，將業(yè)務區(qū)之間的安全隔離，比如OA區(qū)、DMZ區(qū)、財務區(qū)等采用網絡虛擬化技術隔離。深信服的aNET提供分布式防火墻技術，實現針對業(yè)務區(qū)和虛擬機的細粒度安全配置、統(tǒng)一安全運維、安全策略跟隨等功能。若采用虛擬下一代防火墻vNGAF，則可針對每個業(yè)務區(qū)獨立配置安全策略，有效防護東西向和南北向的安全威脅，實現多業(yè)務區(qū)安全的運行在同一個平臺中。業(yè)務區(qū)和辦公區(qū)的業(yè)務網絡，接入交換機采用1G接口，上聯交換機采用雙萬兆上聯。每臺交換機具有48個1G接口，收斂比為2.4:1。若學校部署較多的高流量應用，比如在線視頻等，可以將上聯端口換成4x10G，讓收斂比接近1:1。對于大數據應用，建議匯聚層采用10G接口，上聯到核心層采用40G接口，以實現最佳的網絡性能。超融合資源池網絡拓撲超融合服務器，一共有三張網絡：業(yè)務網、存儲網、管理網。其網絡拓撲如下圖所示：超融合的存儲網，采用萬兆存儲交換機，是完全獨立的內部網絡。超融合的業(yè)務網和管理網，一般采用1G網絡即夠用。建議為管理網劃分獨立的VLAN，接入到帶外管理區(qū)。業(yè)務區(qū)虛擬網絡拓撲本次方案的設計中，采用了兩周不同配置的服務器，承載不同的業(yè)務。在資源池內部，都可以使用aNET技術為每個租戶劃分虛擬數據中心(VDC)，租戶即是學校的二級單位，比如圖書館、財務處、教務處、后勤等部門。每個租戶的管理員，在其VDC內部，可以獨立創(chuàng)建虛擬化、虛擬網絡拓撲、部署虛擬防火墻/虛擬化路由器/虛擬交換機，由此實現更加復雜的業(yè)務網絡。如下圖在典型的配置中，一個VDC租戶，可以分成多個VPC業(yè)務區(qū)，每個VPC業(yè)務即使一套業(yè)務系統(tǒng)，比如所有的網站群，或者OA軟件的各個服務器。每個VPC包含一個虛擬路由器、虛擬化防火墻和若干臺虛擬機。每個VDC租戶包含了一個或多個分布式交換機，并從物理網口將流量引出。為了簡化網絡的配置，深信服aNET實現了“所畫即所得”的部署網絡的方法，管理員只需要在aCMP界面上，用鼠標“拖拽”和“連線”即可將所見的網絡拓撲即時的在生產環(huán)境中部署完畢，極大的簡化了網絡管理的復雜度。如下圖，是某高?？蛻粽鎸嵉沫h(huán)境的虛擬網絡部署截圖。網絡虛擬化技術能力概述網絡探測功能網絡探測功能是通過發(fā)送帶有標簽的icmp報文并跟蹤記錄該報文在轉發(fā)平面經過的每一跳，每一跳的信息包括虛擬設備的名稱和轉發(fā)的端口名稱，然后將所有記錄的信息串聯起來就可以知道到達特定目標的報文轉發(fā)路徑了。這種方式就像我們通過tracert的方式探測一樣，但是比tracert更細致，能夠探測出流量的出去和回來的路徑。這樣我們就能更直觀的找到網絡中存在的問題。全網流量可視數據包在轉發(fā)平面轉發(fā)的時候，每經過一個虛擬網絡設備的任何一個端口都會有記錄，上層通過實時向底層轉發(fā)平面查詢虛擬網絡設備的端口的相關記錄，就可以顯示出每個端口的流量了，這樣就可以在業(yè)務拓撲上可形成全網流量可視。分布式虛擬防火墻數據中心80%的流量在數據中心內部，南北流量只有20%。傳統(tǒng)防火墻放在邊界網關上，無法防護到數據中心內部攻擊，而數據中心部分非核心業(yè)務安全防護低很容易被黑客攻破，一旦攻破黑客就可以通過跳板攻擊其他業(yè)務。分布式防火墻，相當于在每臺虛擬機出口和入口都放著一個防火墻，只要配置一條策略，無論拓撲如何變化、虛擬機在哪運行、IP是否更改，后臺都可以動態(tài)進行調整，因此無論何時業(yè)務都能夠進行安全防護。深信服的分布式虛擬化防火墻，通過自研的網絡控制平面，可接收用戶配置、拓撲變動、ip變動等消息動態(tài)調整配置并更新到firewall上。業(yè)務邏輯拓撲所畫即所得所畫即所得的業(yè)務邏輯呈現，是深信服企業(yè)級云架構中，非常具有特色的技術功能，由于aSV、aSAN已將計算和存儲的資源池拉通，結合aNet提供的網絡資源池，從而為業(yè)務邏輯拓撲的搭建提供了各種元素，通過管理平面便可從資源池中調取相應的資源，即可呈現出不同的拓撲架構。當從管理頁面，構建業(yè)務邏輯拓撲時候，整個企業(yè)級云架構底層，會執(zhí)行大量的動作和指令，并且根據業(yè)務邏輯拓撲進行底層真實的環(huán)境模擬，從而屏蔽了底層的復雜性，方便IT管理人員可以更快速，簡單，直觀的方式構建數據中心各個業(yè)務所需的邏輯拓撲。業(yè)務監(jiān)控中心傳統(tǒng)的數據中心監(jiān)控僅停留在機房環(huán)境、服務器網絡設備、操作系統(tǒng)等基礎層次的健康監(jiān)控，即應用運行的“外部環(huán)境”。這種基礎的監(jiān)控方式僅實現盡可能減少數據中心大災難的發(fā)生，譬如機柜過熱導致服務器停止工作等問題。而數據中心的核心業(yè)務為對外進行應用發(fā)布，以支撐基于網絡平臺的所有業(yè)務。應用的可用性與高效性才是數據中心對外所呈現的最高價值。在下一代數據中心健康方案中，不僅需要解決應用的“外部環(huán)境”的基礎監(jiān)控，更需要聚焦在對“應用”的發(fā)布性能上。深信服監(jiān)控中心具有主動探測機制，針對用戶所關注的應用服務（包括業(yè)務系統(tǒng)、操作系統(tǒng)甚至Oracle數據庫、Weblogic中間件等關鍵業(yè)務）進行7*24小時圖形化+詳細數據的健康度、可用性監(jiān)控，在故障前實現預警。并可自定義關鍵指標進行智能監(jiān)控及快速告警，所有動態(tài)，全局掌握。監(jiān)控中心提供大屏顯示所有業(yè)務實時狀態(tài)功能，讓IT運維可視。IT維護人員能直觀看到整個云平臺上的所有業(yè)務情況，快速發(fā)現問題，從而提高了降低了整體運維難度。根據高校的業(yè)務特征，監(jiān)控中心可為高校以下幾個場景提供監(jiān)控能力。場景一：主動探測業(yè)務可用性：對網站、郵箱、BS/CS等核心業(yè)務進行主動探測，當業(yè)務訪問慢或者不可用時通過郵件、短信等方式告警。場景二：深入分析應用性能：對Oracle、SQLServer、Weblogic應用進行可用性、響應時間告警，并提供內部數據可視化及代碼級別深入分析，快速定位應用性能瓶頸。場景三、全方位監(jiān)控虛擬機監(jiān)控虛擬機CPU、內存、磁盤、網絡流量、進程狀態(tài)等指標，指標數據最長保留一年，可以進行TOPN性能分析與趨勢分析。監(jiān)控中心的具體監(jiān)控項目如下表所示：類型監(jiān)控項虛擬機監(jiān)控內容內存利用率、CPU利用率、CPU執(zhí)行隊列長度、磁盤IO、磁盤總利用率、磁盤分區(qū)利用率、網口收發(fā)速率、進程資源使用率監(jiān)控協(xié)議TCP、HTTP、FTP、POP3、SMTPOracle監(jiān)控數據庫時延、I/O、數據庫存儲、數據庫內存、事件等待、鎖、SQL解析、Server、Session、SQLCPU消耗SQLServer監(jiān)控數據庫時延、I/O、數據庫存儲、數據庫內存、數據庫等待、鎖、SQL解析、Session、SQL語句性能分析、錯誤日志統(tǒng)計、集群狀態(tài)Weblogic線程執(zhí)行隊列、JDBC概況、應用部署列表、Web應用列表、EJB應用列表、JTA與JMS數據中心網絡安全防護方案數據中心安全威脅來源分析當前的安全風險，主要來自四個層面，深信服的數據中心整體解決方案中，對各類安全威脅均有應對措施：威脅類型威脅表現外部威脅惡意代碼：病毒、特洛伊木馬、郵件蠕蟲、僵尸木馬等互聯網攻擊：漏洞攻擊、數據包探取、ARP中毒、P2P攻擊、DDOS攻擊等應用層攻擊：SQL注入、跨站腳本攻擊、緩沖區(qū)溢出攻擊、密碼強破解等內部威脅一般是企業(yè)或組織的員工（在職或離職）、承包商以及商業(yè)伙伴等，利用合法獲得的訪問權對組織信息系統(tǒng)中信息的機密性、完整性以及可用性造成負面影響的行為。包括信息竊取、系統(tǒng)破壞、業(yè)務欺詐等高級威脅APT攻擊：高級持續(xù)性威脅(APT)正在通過一切方式，繞過的傳統(tǒng)安全方案(如防病毒軟件、防火墻、IPS等)，并更長時間地潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測。0Day漏洞攻擊：0day通常是指還沒有補丁的漏洞，而0day攻擊則是指利用這種漏洞進行的攻擊。未知惡意代碼：基于常規(guī)的特征庫、病毒庫無非檢測的病毒、木馬等，一旦進入內網會造成較大危害。其他攻擊：其他可以繞過邊界進入內網的攻擊手段，如。社會工程學、水坑攻擊、釣魚郵件等。業(yè)務異常異常流量：下載的數據異常、數據量增大異常操作：同一賬號多次登錄、同一賬號多點登錄異常訪問：異常的訪問關系、設備之間的非正常流量云資源池安全防護為解決各類威脅，需要做到云端聯動、邊界防護、內部感知等多個舉措，做到事前預知風險、事中協(xié)同防御、事后檢查相應。學校應依據安全建設的標準（例如等保2.0），建立學校的安全體系，做到最大化的安全環(huán)境。在本次項目中，主要目標是以數據中心云資源池，安全體系另外立項。針對云資源本身的安全措施，我們建議使用虛擬下一代防火墻(vNGAF)，為業(yè)務區(qū)獨立配置安全策略，同時防護東西向和南北向的安全威脅。在業(yè)務區(qū)的規(guī)劃中，DMZ區(qū)，承載數字化校園門戶網站集群，面向來自互聯網的訪問，具有較大的業(yè)務壓力和安全風險，建議配置1個性能較高的vNGAF。校園主頁等網站群也是放在了DMZ區(qū)，通常靜態(tài)網站訪問數據量較小，可配置較低性能的防火墻。其他內部系統(tǒng)的業(yè)務區(qū)，包括教務、財務/人事、后勤/宿管、一卡通平臺等，可以分成若干區(qū)域，每個區(qū)域根據業(yè)務量配置vNGAF。如下圖，是云安全及其他安全設備的部署拓撲。數據中心等級保護方案結合等級保護2.0相關標準和要求以及國內外最新的安全防護體系模型，從保障用戶業(yè)務安全高效運行為根本出發(fā)點，深信服提出了以“持續(xù)保護，不止合規(guī)”為價值主張的等級保護2.0解決方案框架。以“一個中心、三重防護”為基本模型進行分級分域設計，保障設計方案的合規(guī)性。疊加安全可視、動態(tài)感知、協(xié)同防御三種安全能力構建主動防御體系，提供持續(xù)安全保護。通過集中運維、安全可視等人性化的技術手段，讓安全運維管理更簡單高效，帶給組織不止合規(guī)的價值總體網絡架構設計學校構建等級保護，不僅僅是在技術上，解決各類威脅，更需要在制度上，建立相匹配的規(guī)范。這就需要學校從安全等保體系規(guī)劃開始，逐步的建立安全制度并部署安全系統(tǒng)。云管平臺運維和管理方案深信服企業(yè)級云管理平臺aCloud，將深信服超融合架構構建的虛擬化的全資源池，和第三方的虛擬化平臺構建的資源池，通過流程化、自動化的方式，實現資源即服務的交付方式，交付給最終的業(yè)務部門或者業(yè)務使用者，并實現平臺自動化的運維。深信服的企業(yè)級云管理平臺，可以實現對第三方虛擬化管理，比如Vmware的vCenter等。管理平臺采用分布式架構設計，即企業(yè)級云架構集群中，每個節(jié)點都可提供相應的管理服務，任何單一節(jié)點故障都不會引起整個平臺的管理中斷。并且平臺可提供分級分權的管理，針對不同的平臺用戶，可以各自使用和管理平臺管理分配給的對應資源，并且針對每種資源對象，可以部署更加精細化的權限管理和控制，極大了滿足了企業(yè)級云平臺，構建云化IT架構中，多租戶使用IT資源的靈活性。異構資源管理深信服企業(yè)級云管理aCloud可以同時兼容VMware、KVM等主流虛擬化平臺，并支持對主流的硬件資源實現統(tǒng)一集中管理，通過云管理平臺為租戶屏蔽異構虛擬化平臺差異，在多虛擬化平臺環(huán)境下，能為租戶提供相同的云主機資源服務，并實現對于異構虛擬化平臺的統(tǒng)一管理。分級分權管理據企業(yè)級云業(yè)務劃分需求，可以將管理員劃分為多級進行管理，不同的級別具有不同的管理權限和訪問權限。系統(tǒng)管理員：或者稱之為超級管理員，能夠創(chuàng)建和管理數據中心內的所有云資源。對于公有云，系統(tǒng)管理員是運營商數據中心管理員；對于私有云，系統(tǒng)管理員是企業(yè)或機構的IT管理員。組織管理員：或者稱之為虛擬數據中心（vDC）管理員，擁有對組織虛擬數據中心的管理權，包括組織內部虛擬機的運行管理、鏡像管理、用戶管理以及認證策略管理等。組織管理員由系統(tǒng)管理員創(chuàng)建。對于私有云，組織管理員是內部部門的IT管理員。最終用戶：權限最低，允許最終用戶通過內部網絡訪問自己專屬的虛擬機，并允許通過自助服務門戶向組織管理員申請?zhí)摂M資源。最終用戶由組織管理員創(chuàng)建。除此之外，深信服企業(yè)級云管理平臺還提供了管理員分組的概念。管理員分組是多個管理員的集合，每一個分組又可以配置多個子分組，不同的子分組可能具有不同的訪問權限，但屬于同一個分組或子分組的管理員具有相同的訪問權限；同時支持分組后的的操作員對應資源的資源配額。IT自服務和流程自助式服務管理為用戶提供了一個多租戶的、可自助的IaaS服務，是一種全新的基礎架構交付和使用模式，深信服企業(yè)級云管理平臺提供的虛擬化資源池功能，使IT部門能夠將IT物理資源，抽象成按需提供的彈性虛擬資源池包括虛擬機、存儲、網絡、網絡安全，以消費單元（即組織或虛擬數據中心）的形式對外提供服務，IT部門能夠通過完全自動化的自助服務訪問，為用戶提供這些消費單元以及其它包括虛擬機和操作系統(tǒng)鏡像等在內的基礎架構和應用服務模板。這種自助式的服務真正實現了業(yè)務的敏捷性和高效性，并極大程度地提高了業(yè)務的快速創(chuàng)新能力。自動化運維深信服企業(yè)級云，提供一鍵式的自動化運維手段，通過平臺提供的一鍵故障檢測、一鍵健康檢測，通過平臺提供故障定位分析，能夠快速分析出問題節(jié)點，并能夠指出具體的原因和修復的指導、而平臺提供的一鍵健康檢測，能夠快速分析出平臺潛在的業(yè)務風險，包括各種和資源性能或者容量風險，平臺管理管理和租戶管理員，可以根據系統(tǒng)建議，可以選擇手動或者自動的方式，實現業(yè)務的故障排除和資源優(yōu)化。資源計量深信服基于企業(yè)的資源分配規(guī)則，而且這些規(guī)則在支付能力和費用模式上與傳統(tǒng)的IT業(yè)務模型不同。每一項服務成本降低，IT資源分配得到改善，這使得普通IT部門的資本支出變成了服務和用戶的運營支出。每個業(yè)務資源請求的消會構成每個部門或者業(yè)務的成本結構，進而累計為每個租戶或最終用戶的總成本，最終形成每個用戶每月的成本。深信服的企業(yè)級云管理平臺，提供完善的資源計量服務，根據每個租戶所使用的虛擬機、存儲、網絡資源，基于時間周期進行統(tǒng)計，可以輸出對應的資源使用報表，方便統(tǒng)計每個業(yè)務部分進行相應的成本核算和分析。數據備份設計方案從數據保護的角度看，當前數據備份有3類技術：實時數據備份、準實時備份、定時備份。評估備份效能的指標是RPO和RTO。實時數據備份技(RPO=0)，解決了3個問題：一是防止硬件故障損壞導致了數據丟失和業(yè)務中斷。這一點，在本方案中采用了數據副本技術，同一份數據寫入到不同的節(jié)點上，任何硬件損壞數據不丟失，業(yè)務不中斷；二是防止云資源平臺整體損壞，導致非常關鍵的數據丟失；三是數據中心整體失效，比如火災、地震等，導致關鍵業(yè)務中斷。準實時備份技術(RPO≈0)，是將應用新生數據不間斷的寫入到備份介質中，這樣能夠保護大部分的數據不丟失，但是有可能在主生產環(huán)境失效瞬間寫入的數據，因還未來得及備份，導致這一小部分的數據丟失。定時備份(RPO>0)，是系統(tǒng)按照備份策略，固定時間間隔(RPO)將數據備份。定時間隔可以是幾分鐘、幾小時，甚至幾天和數周，定時備份RPO取決于數據的重要程度。我們根據業(yè)務系統(tǒng)的連續(xù)性要求和數據實時性要求，來規(guī)劃選擇何種備份策略。從成本上來說，RPO越小，成本越高，實現備份的技術架構越復雜。實時備份技術，有效解決了上述的2個問題，更適合非常關鍵的應用的數據保護和業(yè)務保護，這類應用有2個特征：一是已經寫入到存儲的數據，絕對不能丟，否則會造成及其嚴重的損失，如何銀行的賬單系統(tǒng)。準實時備份，適合數據相當重要，但是一旦少量丟失，也能夠忍受的業(yè)務，比如學校一卡通消費記錄。定時備份，適合數據丟失一部分也能接受的應用，比如視頻和文檔。綜合學校的應用特征，我們建議數據備份采用三種策略結合的方式。策略（一）在云平臺，利用aSAN的多副本技術，實現數據在同一個集群內部的實時跨節(jié)點寫入，防止硬盤和服務器故障導致數據的丟失和業(yè)務中斷。策略（二）對于一卡通的數據庫、財務數據庫、結算平臺數據庫等幾類關鍵數據庫，利用aCloud集成的CDP技術，做準實時備份。CDP技術可以使得備份RPO接近于0，其原理是將應用寫入的每個IO及時寫入到備份介質中，CDP備份寫入和aSAN的雙副本寫入是異步的，如果發(fā)生了數據丟失的問題，有一定概率使得最新寫入的數個IO丟失。我們測試過這個丟失的時間間隔小于1s內的寫入數據。CDP技術針對關鍵數據備份，解決了如下幾個問題：aSAN因軟件bug整體損壞，通過CDP的備份數據能夠盡最大能力恢復，減小數據丟失的損失。硬盤老化，同時壞了2塊，導致某個IO的雙副本同時丟失（盡管概率很?。?，CDP能夠恢復到最新寫入的狀態(tài)。應用中了病毒，系統(tǒng)重要文件被破壞了，但是過了一段時間才發(fā)現這個情況，這時候應用已經寫如了相當的數據。針對這種情況，在清楚病毒后，使用CDP時光機將被破壞的數據從備份包中單獨恢復出來，即可找回系統(tǒng)文件，又不破壞已經產生的業(yè)務數據。深信服企業(yè)云的管理頁面上，集成了CDP的管理功能，可以單獨為虛擬機開啟CDP功能、CDP時光機找回丟失文件、備份監(jiān)控等能力。策略（三）針對非關鍵數據、中間件服務器等無數據的虛擬化，可以采用定時備份的方法，將虛擬機每天或每周備份到介質中。采用深信服aCloud集成的CBT備份技術，備份過程不會降低虛擬機IO性能，增量備份的方式減小了備份空間需求。 在備份介質的選擇上，推薦采用外置的iSCSI或者NAS存儲，CDP需要配置800G左右的空間做日志存儲。容災中心設計方案高校采用2校區(qū)或者多校區(qū)環(huán)網的數據中心架構，利用容災技術，對學校內的關鍵業(yè)務，如網站、財務、一卡通的系統(tǒng)實現跨數據中心的容災。當一個校區(qū)機房發(fā)生整體失效時，可讓業(yè)務從容災中心的云平臺上繼續(xù)工作。機房整體失效的情況包括斷電、火災、地震、外部施工挖斷光纜、計劃內停機等各類情況。本項目主要的資源平臺采用超融合技術，可以實現在2個校區(qū)各部署一套超融合的方式，這兩套超融合互相做容災?？紤]到學校仍然有一部分VMware虛擬化平臺，并且該平臺沒有容災能力，因此采用aCloud異構資源管理能力，可以實現為VMware平臺的虛擬機做異地容災。容災平臺整體架構在兩個校區(qū)之間，采用校園環(huán)網或者裸光纖打通二層網絡。對于應用節(jié)點，通常IO量不大，可以采用定時復制或者CDP技術同步數據。對于數據庫節(jié)點，一般采用數據庫同步軟件實現數據實時同步，數據庫設置主備模式或者雙活模式。采用該方案的技術要求：數據庫同步需要2個數據中心之間的網絡延時不能高于5ms，CDP要求的延時不高于10ms，數據定時復制視RPO要求決定。兩個數據中心若采用裸光纖連接，一般距離在40公里以內，可以保證要求。超融合-超融合雙向容災當應用節(jié)點和數據庫節(jié)點都部署在深信服aCloud上時，在每個數據中心部署一套aCloudHCI集群，2個集群互相提供CDP備份，當其中一個集群損壞時，將虛擬機切換到另一個集群繼續(xù)運行，以保障業(yè)務連續(xù)性。在本方案中，需要針對業(yè)務系統(tǒng)配置vAD技術，以實現發(fā)生故障時訪問應用鏈路的切換、反向代理、SSL卸載等工作。在該方案中，來自互聯網或者校內網絡的用戶，日常訪問一個部署在A校區(qū)aCloud集群上的應用，該應用利用深信服aCloudCDP技術，實時的將數據、應用狀態(tài)等信息備份到異地機房的另一個aCloud集群。當A校區(qū)的集群或者數據中心因故失效后，在B校區(qū)上將該應用恢復運行，vAD全局負載將會把用戶的訪問點從A區(qū)轉移至B區(qū)。當A校區(qū)平臺恢復正常后，可以將該業(yè)務重新遷移到A區(qū)或者繼續(xù)在B區(qū)運行。aAD是aCloudaSEC模塊中的一個組件，只需要在aCloud的網絡配置中啟用該模塊，并設置全局負載集群即可。用戶還可通過該機制實現AB兩個校區(qū)的互相備份，以提升整體業(yè)務可靠性和多校區(qū)數據中心的資源利用率。VMware-超融合單向容災使用aCloud的aHM模塊能夠高效統(tǒng)一的管理VMware集群，并實現容災能力。若生產環(huán)境已經部署在VMware之上，用戶可以在深信服aCloud平臺實現VMware虛擬機災備，或者部署新業(yè)務。深信服aCloud為VMWare實現容災的原理如下圖：深信服企業(yè)級云通過VMware的CBT功能獲取vCenter虛擬機的全量或者增量數據，通過VDDK接口讀取虛擬磁盤的全量或者增量數據從vCenter平臺，然后保存到災備中心內深信服aCloud的qcow2文件格式。當需要業(yè)務恢復時，用戶有兩種選擇：1、還原回生產中心的VMWARE集群，在VMwarevCenter創(chuàng)建一個新的虛擬機，從qcow2備份文件中讀取虛擬機文件，通過VDDK接口把備份文件數據寫入到vCenter虛擬機的全量或者增量數據中。2、快速從深信服企業(yè)級云平臺內快速恢復，使用備份文件快速在HCI上拉起虛擬機，實現RTO為15分鐘，拉起后的虛擬機為了避免與生產環(huán)境上的虛擬機IP沖突，恢復時未自動連接網線，需要恢復后驗證虛擬機數據正常后切換到生產網絡。深信服企業(yè)級云平臺同時支持回遷虛擬機到vCenter平臺，在vCenter上創(chuàng)建一個新虛擬機，將HCI虛擬機不斷備份寫入目標端，當增量數據較小時關閉源虛擬機，同步最后一次增量數據。最后在vCenter平臺開啟虛擬機。在aCloud界面，可以方便的通過向導工具配置VMware虛擬機備份，如下圖所示：數據庫容災配置美創(chuàng)TrustDBRA數據庫復制技術（可選）TRUSTDBRA容災系統(tǒng)是美創(chuàng)科技結合多年容災實踐基礎上的自主研發(fā)產品，是業(yè)界最早以業(yè)務系統(tǒng)為視角單元進行建設的容災產品，顛覆了容災建設重數據輕業(yè)務的理念，既能從根本上保證數據的一致性，又能降低災難發(fā)生時的業(yè)務停滯時間。TRUSTDBRA以災難完整性和容災可用性為出發(fā)點，以SLA服務協(xié)議約束為限制，擁有全業(yè)務容災切換、一鍵容災切換、誤操作快速回退、容災節(jié)點可查詢等特點，可以最大限度地滿足容災系統(tǒng)RTO需求。產品致力于保護業(yè)務系統(tǒng)的數據完整性和高可用性，廣泛運用于“運營商、金融、政府、公安、交警、醫(yī)療、工商、社保、證劵、制造業(yè)、交通、教育”等所有具有容災需求的行業(yè)。TRUSTDBRA主要通過數據庫復制技術，針對數據庫內的全庫數據和增量數據的變更，通過日志捕捉挖掘出最新的數據變化，實時傳送到容災系統(tǒng)端，數據級系統(tǒng)容災主要實現數據庫切換，保護數據庫內的數據。在數據級容災上，人工輔助一些中間件修改、IP地址修改等任務，就能在數據級容災中發(fā)揮重大作用。TrustDBRA技術原理TRUSTDBRA數據庫復制技術實現原理Oracle發(fā)出事務更新，LGWR完成OnlineRedoLog的寫入過程。TrustLogCaptureService實時讀取生產端在線日志信息，由TrustLogService同步往災備中心端寫日志數據；在災難備份中心，Trust災備SERVER進程接收TrustLogService傳送過來的數據并且生成對應的災備端的OnlineRedoLog數據，在生產系統(tǒng)進行Logswitch的時候同步在災難備份中心完成LogSwitch，在災備端TrustApplyService通過OraclePhysicalRecover機制把相關OnlineRedoLog日志內容更新到災備中心數據庫（實時更新模式）或者直接把歸檔內容更新災難備份中心數據庫（異步模式）。在災備服務器上，可以開啟數據活動站點進程，構建只讀查詢庫，查詢庫可以提供對外讀取服務，實現數據邊同步邊查詢的目標。在回退打開情況下，TRUSTDBRA采用Copyonwrite技術在更新災備中心數據庫的同時把更新之前的數據進行備份，在回退區(qū)域形成回退日志片，誤操作時可以進行快速回退。TRUSTDBRA異構數據復制原理TRUSTDBRA異構復制模塊，提供實時的、基于日志的更改數據捕獲(CDC)和復制軟件平臺，以滿足當今事務驅動式應用程序的需求。該模塊支持跨操作系統(tǒng)平臺，跨不同數據庫類型之間的數據實時捕獲，轉換和交付，在保障軟件高可靠性的同時加之完善的配套功能如一鍵切換，災備庫庫閃回，復制數據驗證對比，完善的監(jiān)控及告警高能，從而使TRUSTDBRA成為市場上最為出色的數據復制產品之一。數據災備復制軟件的整體業(yè)務框架，包括異構支持模塊、復制實現模塊、安全傳輸模塊、高級功能模塊支撐和監(jiān)控模塊和配置與管理模塊。整個軟件架構采用有代理架構，有代理架構指通過部署在源端數據庫服務器與目標端數據庫服務器上的代理程序實現變更數據的捕獲、傳輸與入庫的架構，代理程序包括數據捕獲進程、數據傳輸進程、數據轉換進程、數據裝載進程、守護進程等多個進程組成。該架構主要由代理程序、復制管理UI、管理數據庫組成。守護進程包括進程調度、進程間通信、異常檢測、異常處理等功能，常駐內存；捕獲進程個數與Redo日志組個數對應；裝載進程個數可根據配置靈活設置，保障最大裝載效率。軟件采用分布式設計，各進程模塊相互獨立，通過數據流進行交互，耦合度低。在系統(tǒng)部署上，各進程模塊既支持獨立部署模式又支持集中部署模式，天然支持云中部署。具體部署架構根據運行環(huán)境負載與復制業(yè)務集成程度來決定。系統(tǒng)管理web應用部分單獨部署，網絡可達即可。特性詳細說明實時數據復制以端到端的低延遲提供從源到目標的持續(xù)的數據捕獲和交付。甚至在數據量很高的情況下也能以高性能和低開銷運行。異構平臺支持支持Windows、Linux、UNIX不同的操作系統(tǒng)中的數據庫之間的數據復制，支持不同廠家硬件設備上（支持所有虛擬化云平臺）的數據庫數據復制。異型數據庫支持支持相同版本和不同版本的Oracle數據庫數據復制到Oracle數據庫支持相同版本和不同版本的MySQL數據庫數據復制到MySQL數據庫。支持相同版本和不同版本的PostgreSQL數據庫數據復制到PostgreSQL數據庫。支持Oracle、MySQL、PostgreSQL三種不同的數據庫系統(tǒng)之間的數據復制。豐富的復制數據比對策略軟件自帶提供了20來種數據比對方式，如：條件組比對，匹配相同列，表結構比對，記錄數比對，明細數比對等等完善的監(jiān)控機制提供完善的數據復制監(jiān)控功能，及時發(fā)現復制過程可能出現的故障。如代理解析異常監(jiān)控，代理傳輸異常監(jiān)控，控制中心接收異常監(jiān)控，復制異常監(jiān)控等數據庫切換支持單節(jié)點架構數據庫切換，集群架構數據庫切換，災備端數據庫回切和自動化回切的功能災備數據庫閃回在應對邏輯誤操作的情況下，可使用災備端閃回的操作對誤操作進行恢復。如全庫閃回，表空間級別閃回，表級別閃回。業(yè)務容災切換和數據回遷aCloud平臺虛擬機業(yè)務恢復和數據回遷業(yè)務恢復為保障業(yè)務可控，本方案的故障切換采用人工切換方式，當生產數據中心發(fā)生故障時，備集群ISCSI卷重新掛回給備集群自身，并選擇最近的備份點或者CDP記錄的每一個IO日志點恢復為全新的虛擬機，恢復的虛擬機可以在數分鐘內開機，手動配置新IP、授權信息后，業(yè)務可以恢復，備數據中心上的數據中心全局負載均衡設備會自動將流量引入到災備數據中心內。注意：恢復的虛擬機為全新虛擬機，MAC、磁盤ID等硬件信息都是新的，若業(yè)務自身需要授權激活且激活依賴于硬件信息，需要人工介入處理。數據回遷主集群災難恢復后，可以通過在備集群中執(zhí)行虛擬機跨集群熱遷移實現業(yè)務回遷，遷移過程中業(yè)務可在線運行。VMware平臺虛擬機業(yè)務恢復和數據回遷業(yè)務恢復當需要業(yè)務恢復時，用戶有兩種選擇：1、將VMWARE備份數據還原回生產中心的VMWARE集群支持恢復單個虛擬機和批量恢復虛擬機，在虛擬機詳情頁面可以直接恢復虛擬機；在備份文件頁面支持批量恢復虛擬機設置虛擬機名稱（默認名稱原名稱），默認恢復位置為原位置（運行位置存儲位置不可修改），網絡連接不連接網絡，用戶可勾選自定義恢復位置。無論原虛擬機是否存在，都生成一個全新的虛擬機，不刪除原虛擬機。2、將VMWARE備份數據快速在災備中心的深信服企業(yè)級云平臺內恢復支持恢復單個虛擬機或批量進行恢復：業(yè)務回遷在虛擬機列表頁面，點擊“遷移虛擬機”按鈕。即可遷移虛擬機到VMware容災備份效果采用CDP技術的容災方案和aCloudVMware容災方案：應用恢復時間（RTO）：15分鐘數據恢復時間點（RPO）：接近0項目實施規(guī)劃設計機房部署方案依據前期規(guī)劃，本次項目建議采購20臺服務器，并配置相應的交換機設備。每臺服務器有三個網絡：管理網：1x1GIPMI+2x1G云管網口業(yè)務網：2x1GaSAN存儲網：2x10G每服務器運行功率在250~400瓦之間，每機架按5000瓦能力，可以放置10臺服務器+2臺交換機?？紤]到實現最高的可靠性部署方式，我們采用“最小單元規(guī)則”設計機柜部署，即提高了可靠性，又降低了交換機成本。本項目中采用2個機柜，每機柜方式10臺服務器+1個千兆交換機+1個萬兆交換機。推薦的部署方式如下：藍色的1G接入交換機，劃分2個VLAN，作為業(yè)務網和云管網的接入端，采用10G上聯接口。每個網從獨立的10G上聯口接入到核心交換機或者萬兆匯聚交換機，需要交換機堆疊。綠色的存儲網交換機，是aSAN內部的存儲網絡，屬于內部數據傳輸網，不需要接入到核心，也不需要堆疊。黃色的IPMI接入交換機，每2個機柜共用，并獨立的配置管理網VLAN，接入到上層的管理網轉用匯聚交換機。按此規(guī)劃，藍色的業(yè)務網交換機端口配置如下圖所示：業(yè)務云化遷移方案學校現有業(yè)務需要平滑的遷移到云計算數據中心上；保證業(yè)務連續(xù)性是業(yè)務遷移的核心要求，遷移數據的高可靠性是業(yè)務遷移成敗的關鍵，根據多年業(yè)務遷移的項目實施經驗，提供基于云平臺數據中心的集成業(yè)務遷移方案，可以充分保證業(yè)務連續(xù)性的最大中斷時間要求，并且在保證業(yè)務中斷時間的要求下，確保應用系統(tǒng)平穩(wěn)、數據安全的遷移到新的機房或服務器上。業(yè)務遷移服務概述業(yè)務遷移服務主要內容是將現有業(yè)務平滑的遷移到云計算數據中心上。業(yè)務遷移存在復雜性和不確定性，給項目帶來很多風險，必須做縝密的調研和論證，制定科學、規(guī)范的實施方案和應急回退方案，選擇合適的遷移路線，制定合理的操作規(guī)范，減少和避免發(fā)生人為錯誤導致的故障，在規(guī)定的日期內完成整個系統(tǒng)的遷移工作，做到業(yè)務停頓時間最短、影響范圍最小，否則不僅會給企業(yè)的生產和管理帶來中斷，甚至會帶來經濟損失。業(yè)務遷移設計原則數據安全性遷移過程中需要保證原有數據的安全性，避免因數據遷移造成原有數據的丟失、損壞。同時要求新增存儲設備具有較高的安全性，具有一定的數據保護措施，如存儲架構冗余。業(yè)務連續(xù)性由于應用系統(tǒng)的運行要求不同，對業(yè)務連續(xù)性的要求也不同。對于關鍵的連續(xù)性要求較高的業(yè)務應盡量減少因遷移而造成的停機時間，保證其業(yè)務的連續(xù)性。遷移效率遷移方式不同，遷移的效率、所花費的時間也不同，根據客戶的業(yè)務特點，進行評估，選擇滿足客戶要求的遷移方案。遷移成本根據客戶的預算，從成本考慮，選擇適合的遷移方案。虛擬化原則上所有X86平臺的應用系統(tǒng)都要遷移整合到虛擬化平臺，實現資源的動態(tài)調配。對于個別系統(tǒng)虛擬化無法支持的環(huán)境，需要采用P2P的遷移。遷移優(yōu)先級優(yōu)先遷移非核心業(yè)務和緊急上線業(yè)務，對于業(yè)務復雜度高和核心業(yè)務進行過仔細調研，演練成熟后進行遷移。兼容性遷移的應用系統(tǒng)必須滿足對虛擬化技術、操作系統(tǒng)的版本、應用軟件版本、硬件平臺的兼容性的要求。業(yè)務遷移服務流程為了實現業(yè)務快速，平滑的遷移，結合的最佳實踐，把業(yè)務遷移流程分工為如下幾步：規(guī)劃，詳細設計，實施，后續(xù)管理，培訓，以及項目管理，其流程如下圖所示：圖-業(yè)務遷移流程圖根據業(yè)務遷移流程和方法論，對各個階段需要完成的工作進行如下說明：表遷移任務分解表序號項目描述規(guī)劃階段1設計信息收集設計應用系統(tǒng)IT現狀和遷移風險及業(yè)務關聯的調研表；2業(yè)務遷移評估從業(yè)務和IT需求的角度，包括了未來幾年發(fā)展需求和目前存在的瓶頸問題，對各個應用系統(tǒng)進行評估，給出專業(yè)遷移的建議。3應用關聯分析根據關聯業(yè)務調研表分析整個業(yè)務關聯情況；4遷移風險分析根據遷移風險調研表分析整個遷移風險情況；5遷移策略制定根據上面分析及遷移原則,制定詳細的業(yè)務遷移策略；詳細設計階段1遷移方案制定制定業(yè)務遷移整體解決方案；2遷移計劃制定根據業(yè)務之間關聯情況和業(yè)務關鍵程度對應用進行分組，制定最終的詳細遷移計劃，包括遷移工具熟悉時間、數據上傳時間、最終同步時間；3風險應對計劃制定針對整個業(yè)務遷移風險情況制定相應的應對措施及計劃；實施階段1遷移模擬演練選擇一種場景進行模擬業(yè)務遷移過程，改進業(yè)務遷移存在問題；2遷移技術服務在后臺數據中心部署業(yè)務遷移工具，對業(yè)務遷移工具進行測試，協(xié)助用戶對遷移工具開始正式遷移宣傳；3業(yè)務遷移實施協(xié)助客戶按照遷移計劃將應用系統(tǒng)從傳統(tǒng)PC平臺遷移到云平臺;后續(xù)管理階段1業(yè)務遷移評估對遷移后的應用系統(tǒng)進行評估，來確定能夠滿足我們前期的遷移目標，能夠滿足遷移的需求;2業(yè)務遷移監(jiān)控對遷移后的應用系統(tǒng)進行監(jiān)控，保證安全運行一個月,確保應用系統(tǒng)沒有后顧之憂;3業(yè)務遷移優(yōu)化針對評估結果和監(jiān)控中發(fā)現問題，對應用系統(tǒng)制定改進措施，對業(yè)務進行優(yōu)化;服務器遷移技術方案使用專業(yè)的數據遷移工具把源物理機（虛擬機）的操作系統(tǒng)、應用和設置進行遷移到目標物理機（虛擬機）上，具體有如下4種應用，P2P遷移、P2V遷移、V2V遷移、V2P遷移。P2P（PhysicaltoPhysical）是將物理機轉換為物理機的一種技術，即將物理機上運行的操作系統(tǒng)及業(yè)務軟件完整地遷移到一臺新的物理服務器上運行。P2V（PhysicaltoVirtual）是將物理機轉換為虛擬機的一種技術，即將物理機上運行的操作系統(tǒng)及業(yè)務軟件完整地遷移到虛擬化平臺上運行。V2V（VirtualtoVirtual）遷移是在虛擬機之間移動操作系統(tǒng)和數據,如VMware遷移到KVM，KVM遷移到UVP；可以通過多種方式將虛擬機從一個VMHost系統(tǒng)移動到另一個VMHost系統(tǒng)。圖-服務器遷移示意圖數據庫遷移技術方案物理遷移技術方案Oracle數據庫物理遷移是將Oracle數據庫，在原生產環(huán)境執(zhí)行物理備份，再將備份集傳至目標環(huán)境，如云平臺，最后在云平臺進行恢復從而還原數據庫的方法實現的。Oracle物理遷移采用的是自帶的備份還原工具RMAN。SQLServer物理遷移由自帶的Backup和Restore選項實現數據級別的備份和還原。邏輯遷移技術方案邏輯遷移就是利用EXPORT等工具對數據庫對象(如用戶、表、存儲過程等)進行導出，并利用IMPORT等工具把邏輯備份文件導入到數據庫。Oracle數據庫邏輯遷移是依據Oracle數據庫進行邏輯備份，將邏輯備份文件傳至目標端服務器，在目標端服務器進行恢復，從而實現數據庫的遷移目標。SQLServer由自帶的Backup和Restore選項實現數據級別的備份和還原。文件拷貝遷移技術方案本遷移方式為通過拷貝數據文件的方式完成Oracle、SQLSERVER數據庫遷移，原端停機狀態(tài)下，將數據文件從原端拷貝到目的端，將數據庫重新啟動起來。OS層拷貝遷移的原端和目的端的文件系統(tǒng)版本與數據庫版本都必須一致，進行遷移前原端和目的端的數據庫處于關閉狀態(tài)。熱遷移的技術關鍵點Oracle數據庫熱遷移，是指生產環(huán)境在幾乎不停機的情況下，快速遷移至備點的方式。DATAGUARD是Oracle數據庫自帶的數據同步功能，基本原理是將日志文件從原數據庫傳輸到目標數據庫，然后在目標數據庫上應用（Apply）這些日志文件，從而使目標數據庫與源數據庫保持同步；等適當時機，進行數據庫切換。DataGuard提供了三種日志傳輸（RedoTransport）方式，分別是ARCH傳輸、LGWR同步傳輸和LGWR異步傳輸。SQLSERVER的熱遷移，是Logshipping。它將事務日志不間斷地從一個數據庫（主數據庫）發(fā)送到另一個數據庫（輔助數據庫）。不間斷地備份主數據庫中的事務日志，然后將它們復制并還原到輔助數據庫，這將使輔助數據庫與主數據庫基本保持同步。目標服務器充當備份服務器，并可以將查詢處理從主服務器重新分配到一個或多個只讀的輔助服務器。日志傳送可與使用完整或大容量日志恢復模式的數據庫一起使用；需要遷移時，通過命令實現接管。解決方案效益和價值分析基于深信服企業(yè)級云aCloud構建的高校云數據中心平臺，其核心價值主要表現在：簡單、穩(wěn)定、安全、易用。實現云數據中心的架構極簡深信服企業(yè)級云實現了云數據中心的架構極簡：架構簡單——云底層基礎設施只有交換機和x86服務器，使IT架構變得及其簡單，簡化了管理；業(yè)務上線簡單——業(yè)務遷移的過程，無需依賴傳統(tǒng)多種硬件調試和堆疊，云平臺集成復雜應用交付體系，降低了業(yè)務上線復雜度；擴容簡單——在擴容改造時，只需橫向添加X86服務器就可以實現性能和容量的線性擴展，業(yè)務和架構無需變革。提升學校業(yè)務穩(wěn)定性深信服企業(yè)級云，滿足數字化校園業(yè)務上云后對穩(wěn)定性的核心訴求。數據可靠——通過分布式跨節(jié)點多副本以及定時備份技術實現數據可靠保存；平臺穩(wěn)定——虛擬化自身俱備的HA、DRS等技術特性，降低了由物理節(jié)點故障導致業(yè)務中斷的風險；應用穩(wěn)定——憑借CDP、負載均衡、容災技術構建了業(yè)務連續(xù)性訪問能力，并實現對核心數據庫等關鍵應用的穩(wěn)定承載。為數字化校園安全保駕護航深信服企業(yè)級云提供了全方位多層級的云安全防護，可以更加有效保障業(yè)務的安全，為學校數字化轉型的穩(wěn)步推進保駕護航，安全價值如下：平臺高安全——內置分布式防火墻、虛擬機沙箱、平臺集成WAF等安全機制，有效提高平臺安全級別；應用高安全——深度集成了下一代防火墻、無代理殺毒軟件、數據庫審計等安全模塊，構建了4-7層網絡和應用安全防護能力；虛擬機和租戶之間的安全保護——創(chuàng)新云安全資源池，同時實現東西向租戶安全隔離和南北向業(yè)務安全保護；并遵從等保合規(guī)的要求。降低云數據中心使用復雜度深信服企業(yè)級云實現了使用和運維的極簡，可以使信息中心有限的運維人員可以把更多精力釋放出來，投入智慧校園業(yè)務創(chuàng)新，從而給公眾提供更好的教學、管理數字化服務，加速構建以人為本，以提升師生服務滿意度為核心目標的智慧校園。降低智慧校園使用復雜度體現在如下方面：簡化運維——基于業(yè)務視角的界面展示、可視化運維和一鍵故障定位，無需學習成本，快速上手實現精細化運維；資源快速就緒——應用一鍵部署、所畫即所得等創(chuàng)新技術，進一步提高了部署和資源編排的效率；租戶業(yè)務管理一致性——計算、存儲、網絡和安全資源隨需所取，租戶業(yè)務上云前后架構一致，管理更簡單。深信服云計算服務方案云計算服務產品概述云計算服務產品定義云計算服務產品是指深信服科技及認證合作伙伴為配合深信服科技云計算產品交付所提供的服務，包括部署實施、業(yè)務遷移、技術支持服務、軟件升級、硬件維保、專家現場服務等。云計算服務產品架構一級二級三級四級云計算部署服務部署實施服務企業(yè)級云-部署服務桌面云部署服務(服務端)桌面云部署服務(終端)業(yè)務遷移服務技術支持類服務技術支持服務技術支持服務硬件維保硬件維保軟件升級服務軟件升級服務專家現場服務現場服務云計算服務產品內容部署實施服務服務描述深信服企業(yè)級云部署服務由云計算專家根據用戶需求和實際環(huán)境信息，通過評估和測算分析，為用戶提供企業(yè)級云規(guī)劃設計方案、項目計劃書、實施部署計劃，并提供一站式的深信服企業(yè)級云平臺軟件部署、配置、測試和集成聯調，助力用戶業(yè)務云化。深信服還將為用戶提供現場功能演示及培訓，使用戶快速掌握深信服企業(yè)級云的使用及維護方法。?客戶獲益借助深信服科技在多行業(yè)所積累豐富的最佳實踐，大幅度縮短方案設計及部署交付的時間，保證用戶業(yè)務快速上線深信服科技提供更貼近業(yè)務場景的企業(yè)級云規(guī)劃及交付，提升企業(yè)級云資源利用率，確保業(yè)務高效、穩(wěn)定、安全運行在整個交付過程中，深信服云計算專家全程充分面對面交流，提供定制化培訓，提高用戶的運維管理能力服務內容項目計劃管理：同用戶溝通，根據項目整體情況，確認人員、資源投入及項目交付時間。需求采集&環(huán)境收集:采集用戶對云平臺構建的需求情況，并對現有網絡、業(yè)務環(huán)