公有云建設方案

1.1公有云建設方案公有云的建設主要為解決相關業(yè)務數(shù)據(jù)的云端存儲，充分利用可快速配置、擴展的云端資源來完成IaaS建設，直接提升整個IT系統(tǒng)的運作能力。相較于私有云建設部分，公有云的建設方式主要以成熟云廠商建設為主，此種建設模式下，企業(yè)可隨時向服務提供商提出升級要求，無需考慮硬件資源配置問題，服務提供商擁有專業(yè)的顧問團隊，可隨時提供專業(yè)運維工作。鑒于此，本次公有云選擇國內(nèi)云廠商進行主導建設，根據(jù)自身需要、發(fā)展規(guī)模，建設最適合的IT基建系統(tǒng)。1.1.1建設內(nèi)容本次建設2條獨立的專線，以一主一備的形式部署，采用不同物理路由對接集團現(xiàn)有機房和租用的電信運營商IDC機房。網(wǎng)絡路由整體成環(huán)狀，任何一個節(jié)點或者一條鏈路發(fā)生故障的時候，都不會導致網(wǎng)絡中斷。1、 互聯(lián)網(wǎng)資源公有云基礎資源部署于云服務商機房，云服務商通過虛擬化技術將主機資源、網(wǎng)絡資源和存儲資源進行池化，按需分配相關資源,提供基礎類和擴展類云服務。還將使用云平臺管理軟件，建設獨立的云管理平臺供善建云公有云使用，實現(xiàn)計算、存儲、網(wǎng)絡、安全、備份等各類資源的管理和調(diào)度，按照業(yè)務需求自主構建應用系統(tǒng)IT基礎設施。為了實現(xiàn)云安全工作，將建立完整的信息安全保障體系和運維服務體系，保障各類系統(tǒng)在云平臺上穩(wěn)定運行。2、 混合云互通服務公有云、私有云服務均部署于云服務商IDC機房，可以直接內(nèi)部部署互通服務，無需額外成本。1.1.2公有云平臺架構云平臺包括基礎設施層、云管理層、云業(yè)務層、數(shù)據(jù)中心安全、數(shù)據(jù)中心統(tǒng)運營、云運維等功能。平臺架構如下圖所示：云業(yè)務云服務器物理機服務云硬盤云硬盤■備份對象存儲OSS縮擎容器引容器實例負載均衡云業(yè)務云服務器物理機服務云硬盤云硬盤■備份對象存儲OSS縮擎容器引容器實例負載均衡云監(jiān)控服務器安全衛(wèi)士彈性伸圖錯誤!文檔中沒有指定樣式的文字。-1公有云平臺架構基礎設施層基礎物理設施層主要包括機房運行環(huán)境和計算機、網(wǎng)絡設備等基本物理硬件。包括云服務商自建計算資源池、存儲資源池、網(wǎng)絡資源池、安全資源池，通過租用的方式提供基本的云計算服務，是云計算的基礎。其中計算資源池可提供高可用的彈性云主機，基于分布式的存儲技術的存儲資源池，可提供滿足DAS、NAS或傳統(tǒng)SAN架構的存儲解決方案，全面支持SCSI、FC，iSCSI，NFS、CIFS等存儲協(xié)議，對外可提供塊存儲、文件存儲和對象存儲服務。網(wǎng)絡資源池是對網(wǎng)絡設備的虛擬化，可對外提供虛擬交換機，彈性負載均衡和虛擬路由器。安全資源池是為整個VPC架構內(nèi)的產(chǎn)品服務提供安全保障，包括：Web應用防火墻、態(tài)勢感知、風險識別、安全管家、云防火墻、安全眾測、網(wǎng)站威脅掃描、堡壘機等。均提供安全保障，滿足等保三級以上的安全規(guī)格。這些虛擬化設備通過云服務商的云管理平臺進行管理調(diào)度，對外提供計算、網(wǎng)絡、存儲、安全服務。云管理層云管理層，為云服務商利用自有云管理平臺，為提供公有云管理服務，從門戶、總覽、服務、運營等幾個方面進行管理，實現(xiàn)對底層異構的基礎設施統(tǒng)一管理，向上層用戶提供自助服務和相應的管理。云業(yè)務層云業(yè)務層即PaaS層服務層，通過對數(shù)據(jù)庫、開發(fā)平臺和大數(shù)據(jù)進行整合，可以對外提供數(shù)據(jù)庫使用實例、業(yè)務系統(tǒng)開發(fā)平臺以及大數(shù)據(jù)分析服務。PaaS支持的云數(shù)據(jù)庫包MSSQLServer和MySQL等常用數(shù)據(jù)庫服務。開發(fā)測試平臺服務為用戶對應用服務的開發(fā)設計提供了便捷。大數(shù)據(jù)應用包括最常用的Hadoop等大數(shù)據(jù)服務。安全運維保障體系安全保障體系為云服務提供滿足等級保護三級要求的安全服務是整個云計算的業(yè)務安全可靠運營的基礎。運維保障體系為客戶提供自服務門戶、運營管理門戶和運維管理門戶，是客戶開展業(yè)務應用，監(jiān)控系統(tǒng)狀態(tài)和保障系統(tǒng)健康運行的用戶接口，用戶可以通過運維保障體系提供的接口，自行開通業(yè)務，管理維護云平臺.1.1.3基礎資源層要求云主機服務云主機服務允許用戶自由選擇不同標準規(guī)格云主機，用戶可根據(jù)需要選擇操作系統(tǒng)種類、VCPU數(shù)量、內(nèi)存容量、系統(tǒng)盤容量，實現(xiàn)對云主機的靈活定制和動態(tài)創(chuàng)建；用戶可以通過Web控制臺對云主機進行創(chuàng)建、開機、關機、重啟、續(xù)訂、退訂等操作；允許用戶根據(jù)需要對云主機彈性擴展CPU、內(nèi)存、存儲盤、系統(tǒng)盤容量和帶寬，無需停機或遷移數(shù)據(jù)；用戶可實時查看VCPU使用率、內(nèi)存使用率、磁盤讀寫、網(wǎng)絡流量等云主機重點性能指標情況。云主機服務采用全冗余架構，無單點故障，平均可用性為99.95%，故障響應時間小于30分鐘。提供防ARP欺騙，自定義防火墻功能，支持防DDos攻擊。支持使用自定義鏡像創(chuàng)建云主機，支持自動和手動創(chuàng)建云主機快照和從快照恢復主機系統(tǒng)和數(shù)據(jù)。采用計算單元與存儲單元一體化設計，支持在線平滑升級，計算能力、存儲容量和總IO帶寬同步線性擴容。支持用戶自服務門戶和API接口，用戶可自行創(chuàng)建不同規(guī)格的云主機，自定義CPU、內(nèi)存、網(wǎng)絡、磁盤等屬性。云主機底層采用分布式文件系統(tǒng)，每個云主機的鏡像存儲達到兩副本可靠性，數(shù)據(jù)可靠性不低于99.99%。云主機服務采用全冗余架構，無單點故障，平均可用性不低于99.9%。提供防ARP欺騙，自定義防火墻功能，支持防DDos攻擊。提供云主機的技術方案采用計算單元與存儲單元一體化設計，支持在線平滑升級，計算能力、存儲容量和總IO帶寬同步線性擴容?？梢詫τ脩糸_通的服務進行計量計費，按月、季度、年向用戶提供完整的記賬單。用戶對云服務器有系統(tǒng)層完全的控制權，具有管理員權限，使用方式與傳統(tǒng)物理主機完全一致。云主機資源按需開通。根據(jù)用戶的需求動態(tài)的創(chuàng)建和分配計算、存儲、網(wǎng)絡帶寬等資源。資源配置如下：表4-1公有云主機服務清單序號標段服務大類服務子類描述數(shù)量1一標段項目管理系統(tǒng)云主機64核256G內(nèi)存，50G高效系統(tǒng)盤12云數(shù)據(jù)盤高效數(shù)據(jù)盤1G40003云主機32核128G內(nèi)存，50G高效系統(tǒng)盤14云數(shù)據(jù)盤高效數(shù)據(jù)盤1G20005云主機32核128G內(nèi)存，50G5

高效系統(tǒng)盤6云數(shù)據(jù)盤高效數(shù)據(jù)盤1G100007智慧報表云主機32核128G內(nèi)存，50G高效系統(tǒng)盤18云數(shù)據(jù)盤高效數(shù)據(jù)盤1G10009云主機32核128G內(nèi)存，50G高效系統(tǒng)盤210云數(shù)據(jù)盤高效數(shù)據(jù)盤1G120011生產(chǎn)管理系統(tǒng)云主機16核16G內(nèi)存，50G高效系統(tǒng)盤312云數(shù)據(jù)盤高效數(shù)據(jù)盤1G150013斑馬進度云主機16核32G內(nèi)存，50G高效系統(tǒng)盤214云數(shù)據(jù)盤高效數(shù)據(jù)盤1G100015智慧工地系統(tǒng)云主機8核32G內(nèi)存，50G高效系統(tǒng)盤216云數(shù)據(jù)盤高效數(shù)據(jù)盤204817中興中/、立匚二新云主數(shù)據(jù)系統(tǒng)容器化32核64G內(nèi)存，50G高效系統(tǒng)盤118云數(shù)據(jù)盤高效數(shù)據(jù)盤1G50019容器化16核32G內(nèi)存，50G高效系統(tǒng)盤120云數(shù)據(jù)盤高效數(shù)據(jù)盤1G204821資產(chǎn)管理系統(tǒng)云主機8核16G內(nèi)存，50G高效系統(tǒng)盤122云數(shù)據(jù)盤高效數(shù)據(jù)盤1G50023云主機8核16G內(nèi)存，50G高效系統(tǒng)盤124云數(shù)據(jù)盤高效數(shù)據(jù)盤1G30025全面預算管理系統(tǒng)云主機16核64G內(nèi)存，50G高效系統(tǒng)盤126云數(shù)據(jù)盤高效數(shù)據(jù)盤1G102427云主機16核128G內(nèi)存，50G高效系統(tǒng)盤128云數(shù)據(jù)盤高效數(shù)據(jù)盤1G50029稅務管理系統(tǒng)容器化32核48G內(nèi)存，50G高效系統(tǒng)盤（按照32核64G進行報價）130云數(shù)據(jù)盤高效數(shù)據(jù)盤1G102431容器化4核16G內(nèi)存，50G高1

效系統(tǒng)盤32云數(shù)據(jù)盤高效數(shù)據(jù)盤1G102433容器化8核16G內(nèi)存，50G高效系統(tǒng)盤134云數(shù)據(jù)盤高效數(shù)據(jù)盤1G50035財務共享系統(tǒng)rds數(shù)據(jù)庫/RDSMySQL8高可用，16核64G136云數(shù)據(jù)盤高效數(shù)據(jù)盤1G204837財務共享系統(tǒng)mongodb數(shù)據(jù)庫/mongodb高可用，8核64G138云數(shù)據(jù)盤高效數(shù)據(jù)盤（100G價格已包含在數(shù)據(jù)庫）10039財務共享系統(tǒng)mq消息隊列服務/RabbitMQ集群，2核4G140云數(shù)據(jù)盤高效數(shù)據(jù)盤1G5041財務共享系統(tǒng)一redis緩存服務/Redis集群，4核16G142云數(shù)據(jù)盤高效數(shù)據(jù)盤1G5043財務共享系統(tǒng)日志服務云主機8核16G內(nèi)存，50G高效系統(tǒng)盤144云數(shù)據(jù)盤高效數(shù)據(jù)盤1G359645財務共享系統(tǒng)文件服務云主機8核16G內(nèi)存，50G高效系統(tǒng)盤246云數(shù)據(jù)盤高效數(shù)據(jù)盤1G719247財務共享系統(tǒng)應用服務容器化16核64G內(nèi)存，50G高效系統(tǒng)盤448云數(shù)據(jù)盤高效數(shù)據(jù)盤1G60049三標段/ft志總至容器化8核64G內(nèi)存，50G高效系統(tǒng)盤650云數(shù)據(jù)盤高效數(shù)據(jù)盤1G360051容器化16核32G內(nèi)存，50G高效系統(tǒng)盤152供應鏈1臺云數(shù)據(jù)盤高效數(shù)據(jù)盤1G102453云數(shù)據(jù)盤高效數(shù)據(jù)盤1G1024054容器化16核64G內(nèi)存，50G高效系統(tǒng)盤155云數(shù)據(jù)盤高效數(shù)據(jù)盤1G102456容器化8核16G內(nèi)存，50G高3

效系統(tǒng)盤57云數(shù)據(jù)盤高效數(shù)據(jù)盤1G180058容器化4核16G內(nèi)存，50G高效系統(tǒng)盤359云數(shù)據(jù)盤高效數(shù)據(jù)盤1G180060國資監(jiān)管平臺云主機32核64G內(nèi)存，50G高效系統(tǒng)盤261云數(shù)據(jù)盤高效數(shù)據(jù)盤1G409662云主機32核64G內(nèi)存，50G高效系統(tǒng)盤263云數(shù)據(jù)盤高效數(shù)據(jù)盤1G819264大數(shù)據(jù)分析云主機32核128G內(nèi)存，50G高效系統(tǒng)盤265云數(shù)據(jù)盤高效數(shù)據(jù)盤1G204866云主機32核128G內(nèi)存，50G高效系統(tǒng)盤367云數(shù)據(jù)盤高效數(shù)據(jù)盤1G614468云主機16核64G內(nèi)存，50G高效系統(tǒng)盤269云數(shù)據(jù)盤高效數(shù)據(jù)盤1G132470移動協(xié)同容器化8核32G內(nèi)存，50G高效系統(tǒng)盤371云數(shù)據(jù)盤高效數(shù)據(jù)盤1G150072容器化4核16G內(nèi)存，50G高效系統(tǒng)盤273云數(shù)據(jù)盤高效數(shù)據(jù)盤1G209674容器化4核16G內(nèi)存，50G高效系統(tǒng)盤375云數(shù)據(jù)盤高效數(shù)據(jù)盤1G60076容器化2核8G內(nèi)存，50G高效系統(tǒng)盤277云數(shù)據(jù)盤高效數(shù)據(jù)盤1G20078容器化4核16G內(nèi)存，50G高效系統(tǒng)盤179云數(shù)據(jù)盤高效數(shù)據(jù)盤1G200080容器化8核32G內(nèi)存，50G高效系統(tǒng)盤281云數(shù)據(jù)盤高效數(shù)據(jù)盤1G4096針對不同應用對存儲性能的需求，公有云服務商可提供多種方式來提供云存儲服務。由公有云服務商在投標時自行根據(jù)項目需求配置。1、 分布式存儲服務善建云平臺公有云分布式云存儲系統(tǒng)采用先進的分布式對象存儲設計，同時整合文件存儲、塊存儲和對象存儲三種技術，為各種不同類型的客戶應用提供適合其需求的存儲服務。分布式對象存儲系統(tǒng)提供多種類型的接口?？梢愿鶕?jù)需要使用任意一種進行訪問，方便客戶和原有存儲系統(tǒng)的對接和管理。支持策略管理，如分發(fā)、QoS和存儲分層，提供豐富的管理分發(fā)功能，包括提供詳盡的監(jiān)控和報告；支持海量存儲，文件數(shù)量無限制，容量按用戶需求擴展；數(shù)據(jù)監(jiān)控和自動修復功能；根據(jù)策略進行對象分發(fā)、對象復制和對象再平衡。分布式云存儲系統(tǒng)采用多層級的可用性設計。每臺節(jié)點均可支持RAID陣列，確保節(jié)點內(nèi)部數(shù)據(jù)安全和高可用。同時分布式存儲集群支持實時多副本功能。數(shù)據(jù)在集群中實時保存n份副本，可確保任意(n-1)臺節(jié)點出現(xiàn)故障，數(shù)據(jù)依舊安全且可訪問。多數(shù)據(jù)中心的不同云存儲集群間支持數(shù)據(jù)互備互援，確保發(fā)生人力不可控的災難時，數(shù)據(jù)依舊安全。支持大規(guī)模非結(jié)構化數(shù)據(jù)存儲，如文檔、音頻、視頻等對象，分布式存儲可達到的技術指標：云存儲可用性99.999%，數(shù)據(jù)可靠性99.9999999%，故障響應時間小于10分鐘。2、 高性能存儲服務善建云平臺公有云的高性能存儲服務將根據(jù)客戶對存儲的IOPS需求，采用傳統(tǒng)的SAN存儲或者善建云平臺公有云的塊存儲來滿足客戶對于存儲的需求。高性能存儲一般采用FC存儲，通過光纖線鏈接組建成SAN網(wǎng)絡。SAN存儲結(jié)構具有，傳輸效率高、安全性高、傳輸延遲極小、占用主機資源小、技術成熟等特點，主要用于延遲要求非常低的高端應用，如大型數(shù)據(jù)庫應用(如：Oracle、DB2、Sybase)，集群部署的數(shù)據(jù)庫應用和容災系統(tǒng)。在實際選擇中可以根據(jù)業(yè)務提出存儲資源的需求后，需要對設備的IOPS、存儲容量、存儲帶寬進行計算。存儲產(chǎn)品的選擇通常是根據(jù)存儲性能指標，即IOPS值進行選型。3、塊存儲塊存儲(BlockStorage)，是公有云為云服務器提供的低時延、持久性、高可靠的數(shù)據(jù)塊級隨機存儲。底層采用分布式存儲系統(tǒng)，可將數(shù)據(jù)文件分別保存在不同交換機、機架的服務器上，通過多副本/EC等技術確保數(shù)據(jù)可靠性不低于99.9999999%。塊存儲支持在可用區(qū)內(nèi)自動復制數(shù)據(jù)，防止意外的硬件故障導致數(shù)據(jù)不可用，以保護業(yè)務免于組件故障的威脅。就像對待硬盤一樣，可以對掛載到ECS實例上的塊存儲做格式化、創(chuàng)建文件系統(tǒng)等操作，并對數(shù)據(jù)持久化存儲。云盤既可以單獨使用、又可以組合使用，以滿足不同應用場景的需求。集采可以根據(jù)自己要求，選擇使用合適的數(shù)據(jù)存儲選項。云盤為云服務器實例提供數(shù)據(jù)塊級別的云盤，采用三副本的分布式機制，為云服務器實例提供99.9999999%的數(shù)據(jù)可靠性保證。根據(jù)性能的不同，云盤可以提供多種類型可供選擇。分布式文件系統(tǒng)為云服務器提供穩(wěn)定、高效、可靠的數(shù)據(jù)隨機訪問能力。云盤上的數(shù)據(jù)，所有用戶層面的操作都會同步到底層三份副本上，無論是新增、修改還是刪除數(shù)據(jù)。這種模式，能夠保障用戶數(shù)據(jù)的可靠性和一致性。4、文件存儲NAS文件存儲（NetworkAttachedStorage，簡稱NAS）是面向云服務器實例、HPC和Docker等計算節(jié)點的文件存儲服務，提供標準的文件訪問協(xié)議，用戶無需對現(xiàn)有應用做任何修改，即可使用具備無限容量及性能擴展、單一命名空間、多共享、高可靠和高可用等特性的分布式文件系統(tǒng)。創(chuàng)建NAS文件系統(tǒng)實例和掛載點后，即可在云服務器、HPC和Docker等計算節(jié)點內(nèi)通過標準的NFS協(xié)議掛載文件系統(tǒng)，并使用標準的Posix接口對文件系統(tǒng)進行訪問。多個計算節(jié)點可以同時掛載同一個文件系統(tǒng)，共享文件和目錄。文件存儲NAS提供全冗余架構，無單點故障的8TBNAS存儲，支持NFSv3/NFSv4。NAS服務可用性不低于99.90%。架構上前后端可以單獨彈性擴展，在保證高可用的前提下，做到吞吐的高并發(fā)和低時延。云網(wǎng)絡服務云網(wǎng)絡服務是通過各種網(wǎng)絡虛擬化技術，在多租戶環(huán)境下提供給每個租戶獨立的網(wǎng)絡環(huán)境。善建云平臺公有云的網(wǎng)絡服務是一個可以被用戶創(chuàng)建的對象，類似物理環(huán)境中的交換機，但可以擁有無限多個動態(tài)可創(chuàng)建和銷毀的虛擬端口。支持虛擬路由、虛擬交換機和彈性IP,用戶可自定義虛擬主機的網(wǎng)絡拓撲和IP。虛擬交換機:善建云平臺公有云IaaS系統(tǒng)中的虛擬交換機通過分布在各物理服務器的虛擬交換，提供虛擬機的二層相互通信、隔離、QoS的能力。虛擬交換機功能包括：支持VLAN協(xié)議；支持萬兆虛擬網(wǎng)絡端口；支持QoS；支持OpenFlow，可外接SDN控制器。虛擬路由器:善建云平臺公有云IaaS系統(tǒng)中的虛擬路由器為分布在虛擬網(wǎng)絡中的虛擬機提供三層路由，網(wǎng)絡地址轉(zhuǎn)換，和VPN等功能。虛擬路由器功能包括：支持三層路由轉(zhuǎn)發(fā)；支持IP或IP+PORT的網(wǎng)絡地址轉(zhuǎn)換；支持QoS；支持VPN；虛擬防火墻:善建云平臺公有云IaaS系統(tǒng)為虛擬網(wǎng)絡中虛擬機提供安全防護；通過安全組和安全規(guī)則能夠快速靈活的為虛擬機部署虛擬防火墻，從而能夠?qū)崿F(xiàn)虛擬機之間的訪問控制，虛擬機的安全防護，虛擬機到外網(wǎng)的訪問控制。一個用戶可以創(chuàng)建多個防火墻，防火墻的網(wǎng)絡映射都是單向授權（除IP協(xié)議），防火墻規(guī)則隨虛擬機啟動而生效，虛擬機遷移不影響規(guī)則。IP地址管理:善建云平臺公有云IaaS系統(tǒng)允許用戶根據(jù)業(yè)務需要靈活管理外部IP地址，虛擬網(wǎng)絡子網(wǎng)，以及網(wǎng)關等信息。IP地址管理功能包括：支持外部IP地址池；支持虛擬網(wǎng)絡自定義子網(wǎng)；支持虛擬網(wǎng)絡自定義網(wǎng)關；支持虛擬機指定IP地址；支持DHCP自動分配IP地址。支持彈性IP，能夠在云主機、網(wǎng)絡設備等進行任意綁定與解綁，支持多個彈性IP共享帶寬。支持內(nèi)網(wǎng)域IP與DNS映射。虛擬機集群內(nèi)各虛擬機之間的網(wǎng)絡策略及端口可由用戶自主定義虛擬網(wǎng)絡I/O控制:善建云平臺公有云IaaS系統(tǒng)使用網(wǎng)絡QoS策略提供上行和下行的帶寬配置控制能力。虛擬網(wǎng)絡I/O控制功能包括：基于虛擬路由器的帶寬控制，提供基于L3層的帶寬控制功能，可以保證各個網(wǎng)絡平面的流量擁塞不影響其他網(wǎng)絡?；谔摂M網(wǎng)卡的帶寬控制；提供基于虛擬網(wǎng)卡的帶寬保證、上限帶寬、上限帶寬，保證虛擬機的網(wǎng)絡通信質(zhì)量，同時避免不同虛擬機之間的擁塞互相影響。負載均衡服務負載均衡服務是善建云平臺公有云的一項基礎云服務，采用善建云平臺公有云的彈性負載均衡服務實現(xiàn)。負載均衡服務包括鏈路負載均衡服務、服務器負載服務和善建云平臺公有云彈性負載均衡服務。善建云平臺公有云彈性負載均衡服務是將業(yè)務訪問流量分發(fā)到多臺后端主機上的服務，可對虛擬主機提供TCP和HTTP協(xié)議的負載均衡服務，提供多種轉(zhuǎn)發(fā)規(guī)則，提供SSL加速、壓縮和緩存功能；為web應用提供負載均衡服務，支持web服務、web壓縮功能，縮短下載和更短響應時間；支持通過卸載服務器的TCP連接處理以及服務器內(nèi)容的重復性獲取，降低響應時間；支持通過從本地緩存中獲取內(nèi)容，從而降低服務器負載；支持中間件、數(shù)據(jù)庫以及其它各種網(wǎng)絡服務，滿足不同業(yè)務場景的要求，可用性達到99.99%，故障響應時間小于30分鐘。負載均衡可達到的技術指標表4-2負載均衡技術指標表項目達到的技術指標服務能力總體峰值可支持每秒新建鏈接數(shù)達到100萬，每秒請求次數(shù)13.5萬；均衡策略支持加權輪詢（WRR）、最小連接數(shù)（WLC）、響應時間、源IP等多種負載均衡策略健康檢查可以按照指定規(guī)則對配置的虛擬主機進行健康檢查，自動隔離異常狀態(tài)虛擬主機，確?？捎眯?；會話（Session）保持可對虛擬主機提供TCP/HTTP協(xié)議的負載均衡服務，并提供會話保持功能，在會話生命周期內(nèi)，將同一客戶端請求轉(zhuǎn)發(fā)到同一臺后端虛擬主機；可以將用戶和后臺服務器綁定到同一會話，確保會話不中斷高可用性采用全冗余或集群架構，無單點故障；平均可用性可達到99.99%；轉(zhuǎn)發(fā)規(guī)則提供多種轉(zhuǎn)發(fā)規(guī)則，滿足不同業(yè)務場景的要求；安全防護提供高安全性，提供防DDoS攻擊能力，并具備跨機房的容災能力；擴展性支持在線平滑升級，承載能力和網(wǎng)絡總帶寬同步線性擴容；可與虛擬主機配合提供三層架構系統(tǒng)的彈性擴展；1.1.4云業(yè)務層要求云數(shù)據(jù)庫服務中國“善建云”平臺公有云提供高可用、可彈性伸縮的關系型數(shù)據(jù)庫組件，提供無運維的云數(shù)據(jù)庫服務；可以服務于有傳統(tǒng)數(shù)據(jù)庫需求的供應商，供應商可以不用改動代碼直接將應用移植到該服務之上。云數(shù)據(jù)庫兼容多種主流版本（MySQL、SQLServer.PostgreSQL）數(shù)據(jù)庫，支持數(shù)據(jù)庫在線擴容、備份回滾、性能監(jiān)測及分析功能，能與云主機、專有網(wǎng)絡等服務無縫地配合使用，云數(shù)據(jù)庫提供MySQL實例負載監(jiān)控、關聯(lián)分析，通過實時會話指標診斷數(shù)據(jù)庫性能糟點，并且能診斷出具體SQL語句?；谠茢?shù)據(jù)庫高效的調(diào)度系統(tǒng)，備份系統(tǒng)，高可用控制系統(tǒng)，在線遷移系統(tǒng)以及監(jiān)控系統(tǒng)。通過對以上5個系統(tǒng)的整合為用戶提供更為專業(yè)的云數(shù)據(jù)庫。解決容量動態(tài)擴展的挑戰(zhàn)，不用擔心數(shù)據(jù)庫的容量（性能與空間）瓶頸。隨著用戶數(shù)和訪問量的變化，可以靈活的調(diào)整數(shù)據(jù)庫的容量；提供高可用性（提供有效服務時間占總時間的比例），提供SQL語句優(yōu)化解決方案，包括改寫建議、索引設置建議，每份數(shù)據(jù)都保留兩份并可實時切換；實現(xiàn)數(shù)據(jù)庫的動態(tài)遷移。支持一主多從，讀寫分離。容器服務中國“善建云”平臺公有云提供容器服務提供高性能可伸縮的容器應用管理服務，支持用Docker和Kubernetes進行容器化應用的生命周期管理，提供多種應用發(fā)布方式和持續(xù)交付能力，并支持無縫對接中間件服務（包括云監(jiān)控、日志服務、微服務開發(fā)治理平臺等）。通過容器服務，簡化容器管理集群的搭建工作，整合虛擬化、存儲、網(wǎng)絡和安全能力，打造最佳容器運行環(huán)境。1.1.5云管理平臺要求公有云管理控制臺是統(tǒng)一查看和管理公有云產(chǎn)品及服務的平臺。管理控制臺面向用戶，通過圖形化界面或命令行工具等進行配置操作。云管理平臺提供一站式管理能力：集中統(tǒng)一在管理控制臺對所有云產(chǎn)品和服務進行管控。多種形式的管理平臺：提供Web界面控制臺通過簡單的交互方式執(zhí)行操作，同時可以提供Cloudshell命令行工具，可以通過腳本進行日常運維。移動端管理：支持主要云產(chǎn)品在移動端的運維管控操作，可以隨時隨地查看監(jiān)控數(shù)據(jù)、進行各類運維操作，避免因離開電腦而影響業(yè)務運行。安全的管控平臺企業(yè)：可以通過訪問控制為員工開啟管理控制臺的訪問權限，控制員工擁有的權限，并在公司允許的環(huán)境下訪問控制臺。在進行刪除、重啟等高風險的操作時，觸發(fā)風險控制流程，全面保證登錄和操作的安全性。獲取在公有云消費的所有賬單信息，管理發(fā)票、合同等財資業(yè)務。通過提交工單等方式獲得服務支持。包括：?云管理平臺提供包括CPU調(diào)度、內(nèi)存、內(nèi)部網(wǎng)絡隔離和磁盤I/O、虛機存儲的安全隔離。?云管理平臺提供三權分立的管理，實現(xiàn)系統(tǒng)管理員、安全管理員、安全審計員的權限制衡。系統(tǒng)管理員負責業(yè)務下發(fā)/操作，系統(tǒng)配置方面的操作；安全管理員負責分權分域的配置管理，密碼策略的配置；安全審計員專項負責操作日志的審計工作。?管理控制臺包括在線服務器系統(tǒng)安裝，密碼重置，重啟服務器，數(shù)據(jù)庫服務管理，主副賬戶的隔離管理等。提供運維人員及開發(fā)人員登錄云計算資源的審計功能。?云管理平臺支持資源動態(tài)監(jiān)控與可視化調(diào)整，通過資源使用的實時動態(tài)監(jiān)控服務，當虛擬機的資源使用率達到設定的告警時，會通過郵件、短信和屏幕告警信息告知運維人員。運維人員根據(jù)應用系統(tǒng)的性能需求，云平臺可以靈活調(diào)整虛擬機的配置規(guī)格，包括調(diào)整vCPU個數(shù)，內(nèi)存大小，網(wǎng)卡個數(shù)、網(wǎng)絡帶寬、磁盤卷個數(shù)，調(diào)整虛擬卷的大小，縱向擴展有效保證單個虛擬機QoS。?云平臺自帶虛擬機快照備份系統(tǒng)，備份系統(tǒng)就可以對虛機卷（包括系統(tǒng)卷和/或數(shù)據(jù)卷）數(shù)據(jù)進行備份。?自助服務臺面向用戶提供所有資源的自助申請、配置、監(jiān)控等管理功能。這些資源包括彈性云主機（虛擬機）、彈性塊存儲（虛擬磁盤）、對象存儲、關系型數(shù)據(jù)庫實例、網(wǎng)絡接入（包含帶寬及IP地址）、等各項資源。提供用戶對這些資源進行各種操作控制，如申請、綁定、配置、釋放等操作。面向大數(shù)據(jù)服務的管理控制臺，允許用戶自助調(diào)度及編排大數(shù)據(jù)任務。1.1.6云安全服務基礎網(wǎng)絡安全通過VPC可以幫助善建云基于公有云構建出一個隔離的網(wǎng)絡環(huán)境，并可以自定義IP地址范圍、網(wǎng)段、路由表和網(wǎng)關等；此外，也可以通過專線/VPN/GRE等連接方式實現(xiàn)云上VPC與傳統(tǒng)IDC的互聯(lián)，構建混合云業(yè)務。每個VPC都有一個獨立的隧道號，一個隧道號對應著一個虛擬化網(wǎng)絡。專有網(wǎng)絡之間通過隧道ID進行隔離。不同專有網(wǎng)絡之間內(nèi)部網(wǎng)絡完全隔離，可以通過對外映射的IP（彈性公網(wǎng)IP和NATIP）互連。由于使用隧道封裝技術對云服務器的IP報文進行封裝。專有網(wǎng)絡內(nèi)的云服務器使用安全組防火墻進行三層網(wǎng)絡訪問控制?？梢酝ㄟ^安全組規(guī)則、訪問控制白名單等方式靈活地控制訪問專有網(wǎng)絡內(nèi)云資源的出入流量。防DDoS服務防DDoS服務對來自互聯(lián)網(wǎng)的可以防護SYNFlood、UDPFlood、ACKFlood、ICMPFlood、DNSQueryFlood、NTPreplyFlood、CC攻擊等三到七層DDoS攻擊。分布式拒絕服務攻擊流量進行清洗過濾，清洗后的流量送入防火墻進行TCP/IP層過濾。DDoS防護能力可彈性擴展，能保證處理能力大于60050Gbps，同時整個過程不中斷服務。云防火墻基于數(shù)據(jù)包的源地址、目的地址、通信協(xié)議、端口、流量、用戶、通信時間等信息，執(zhí)行嚴格的訪問控制，保證了基本安全。WEB應用防火墻服務根據(jù)善建云平臺的需求及篡改風險分析，采用云平臺應用防火墻網(wǎng)頁防篡改服務完美的解決電商平臺安全防護問題免遭黑客攻擊篡改，防患于未然，可以從根本上解決善建云平臺所面臨的安全隱患，保障善建云平臺安全、穩(wěn)定的運行。Web應用防火墻云平臺網(wǎng)頁防篡改服務，主要功能是用于防御SQL注入、XSS跨站腳本、常見Web服務器插件漏洞、木馬上傳、非授權核心資源訪問等OWASP常見攻擊，并過濾海量惡意CC攻擊，通過文件底層驅(qū)動技術對Web站點目錄提供全方位的保護，防止黑客、病毒等對目錄中的網(wǎng)頁、電子文檔、圖片、數(shù)據(jù)庫等任何類型的文件進行非法篡改和破壞。防篡改系統(tǒng)保護網(wǎng)站安全運行，保障互聯(lián)網(wǎng)業(yè)務的正常運營。Web應用防火墻支持精準識別請求客戶端類型，并統(tǒng)計不同類型數(shù)量，包括：掃描器、瀏覽器、應用程序、搜索引擎、商業(yè)爬蟲、非法爬蟲、網(wǎng)站助手；Web應用防火墻支持針對web登錄接口進行賬號安全防護，檢測、阻斷賬號暴力破解攻擊；支持統(tǒng)計弱密碼登錄次數(shù)；能夠?qū)QL注入、CGI、跨站腳本（XSS）進行應用層漏洞掃描；。安全掃描根據(jù)相關要求，通過信息業(yè)務系統(tǒng)識別，得到的信息資源保護目標對象；通過全局安全漏洞檢測，得到信息業(yè)務系統(tǒng)整體安全漏洞現(xiàn)狀；通過深度和應用分析，發(fā)現(xiàn)網(wǎng)站漏洞產(chǎn)生的安全危害；提供安全漏洞針對性的解決方案，滿足網(wǎng)站漏洞檢測需求，最大限度降低客戶安全運營成本。漏掃內(nèi)容檢查業(yè)務系統(tǒng)是否存在安全漏洞，包括：網(wǎng)站SQL注入、XSS、遠程代碼可執(zhí)行、目錄遍歷、文件包含、腳本源碼泄露、CRLF注入、物理路徑泄漏、Cookie篡改、URL重定向、應用錯誤信息、備份文件、腳本錯誤信息、敏感文件、敏感目錄、目錄權限、CVS信息泄漏、環(huán)境變量泄漏、Bash信息泄漏、測試頁面等方面漏洞檢測等；采用深度遍歷等方法對數(shù)據(jù)庫或WEB服務程序目錄建立風險列表。漏洞監(jiān)測主要包括：主機系統(tǒng)漏洞檢測對信息系統(tǒng)系統(tǒng)進行主機漏洞掃描，以發(fā)現(xiàn)目標信息系統(tǒng)系統(tǒng)的全弱點為目標。網(wǎng)站系統(tǒng)漏洞檢測對信息系統(tǒng)中指定網(wǎng)頁范圍進行信息系統(tǒng)高危腳本漏洞檢測驗證，包括SQL注入、XSS攻擊、惡意執(zhí)行邏輯錯誤等典型腳本漏洞信息。漏洞檢測系統(tǒng)支持類型windows、linux、unix等。漏洞檢測應用支持類型應用組件：APACHE、TOMCAT、IIS，腳本語言：CGI、ASP、PHP、JSP等。數(shù)據(jù)保護7*24小時監(jiān)控對用戶指定的應用系統(tǒng)域名或IP地址進行7*24小時不斷的監(jiān)測服務，監(jiān)測頻率每15分鐘一次，平均每天不小于90次。若發(fā)現(xiàn)安全風險，將在30分鐘內(nèi)以網(wǎng)頁顯示、報警聲音提示、Email通知、短信通知等方式進行告警。監(jiān)測服務報表在監(jiān)控周期內(nèi)，對客戶提供周報、月報等多種完善的監(jiān)測報表，詳細的展現(xiàn)監(jiān)測期間的網(wǎng)站安全運行狀況。網(wǎng)頁篡改檢測對用戶指定的應用系統(tǒng)頁面進行定時檢測，對應用系統(tǒng)頁面的大小、頁面元素等進行比對，及時發(fā)現(xiàn)用戶應用系統(tǒng)頁面被惡意刪除、篡改等事件，并向用戶進行預警，提供頁面恢復方案建議，使用戶能夠迅速恢復頁面，降低頁面篡改事件給用戶帶來的影響。遠程網(wǎng)頁掛馬檢測通過應用系統(tǒng)安全檢測平臺的木馬檢測特征庫，對用戶指定的應用系統(tǒng)頁面進行定時檢測，基于靜態(tài)特征匹配、異常狀態(tài)檢測等技術手段，判別用戶應用系統(tǒng)頁面是否存在被植入的木馬程序，并及時向用戶進行預警，協(xié)助用戶定位、隔離和刪除木馬程序，降低掛馬事件對用戶造成的影響。網(wǎng)頁敏感信息檢測通過智能算法精確檢測用戶的應用系統(tǒng)頁面中是否包含敏感關鍵詞，包括：反動、色情等非法信息，并采取人工核查的方式對敏感關鍵字的真實性進行判定，一旦發(fā)現(xiàn)敏感信息及時向用戶預警，定位敏感信息的發(fā)布位置，提醒用戶及時刪除敏感信息。應用系統(tǒng)平穩(wěn)度可用性檢測通過多條網(wǎng)絡線路采用遠程探測的方式（包括HTTPGET、ICMPPing、Telnet、Tracert、DNS查詢等），對用戶指定的應用系統(tǒng)域名或IP地址進行7*24小時互聯(lián)網(wǎng)連通性檢測，及時發(fā)現(xiàn)網(wǎng)絡中斷、DNS解析故障等問題，并向用戶進行預警，協(xié)助用戶排查、定位故障原因。應用系統(tǒng)域名解析檢測通過實時監(jiān)測WEB和其他運營商的DNS緩存服務器以及被監(jiān)測域名的授權服務器對被監(jiān)測域名的解析結(jié)果是否正確。監(jiān)測記錄包括：A記錄、CNAME記錄、NS記錄、MX記錄、SOA記錄、PTR記錄。遠程應用系統(tǒng)漏洞掃描服務應用系統(tǒng)安全檢測由安全專家通過多款商業(yè)化掃描工具對應用系統(tǒng)的應用漏洞（如SQL注入、跨站腳本、CGI漏洞等）進行遠程掃描，并匯總檢測結(jié)果，通過人工分析、驗證，幫助用戶主動發(fā)現(xiàn)應用系統(tǒng)存在的安全漏洞以及安全隱患，并提出解決建議、出具檢測報告。網(wǎng)站安全