企業(yè)云計算平臺建設總體技術方案

企業(yè)云計算平臺工程技術方案目錄第1章. 基本情況 61.1. 項目名稱 61.2. 業(yè)主單位 61.3. 項目背景 61.3.1. XX技術發(fā)展方向 61.3.2. 有關XX公開的相關要求 71.4. 建設規(guī)模 71.5. 投資概算 101.6. 設計依據 101.7. 設計范圍 101.8. 設計分工 11第2章. 現狀及需求分析 122.1. 項目意義及建設必要性 122.2. 現狀分析 132.3. 需求分析 142.3.1. 長期需求 142.3.2. 本期需求 14第3章. 總體設計 173.1. 建設目標 173.1.1. 預期總目標 173.1.2. 階段性目標 183.2. 建設內容 193.3. 系統(tǒng)的總體結構 193.3.1. 設計原則 193.3.2. XX本土化戰(zhàn)略 213.3.3. 建設思路 223.3.4. 總體拓撲結構 243.4. 信息的分類編碼體系 273.5. 質量保證體系 28第4章. 建設方案 304.1. 網絡資源池 314.1.1. 組網物理拓撲圖 314.1.2. 網絡負載均衡設計 324.1.3. 網絡虛擬化設計 344.1.4. IP地址及DNS規(guī)劃 384.1.5. 網絡端口資源估算 434.2. 計算資源池 444.2.1. 計算資源池架構 444.2.2. 應用系統(tǒng)分析 454.2.3. 計算資源池建議配置與選型建議 464.2.4. 計算資源池部署 494.2.5. 虛擬化軟件選型分析 514.3. 云計算管理平臺 534.3.1. 云資源管理平臺建設方案 544.3.2. 云運營管理平臺建設方案 644.4. 云計算安全防護方案 744.4.1. 云計算平臺安全威脅 744.4.2. 云計算平臺安全防護目標 754.4.3. 云計算平臺安全架構 764.4.4. IaaS層安全 764.4.5. PaaS層安全 924.4.6. SaaS層安全 934.4.7. 公共安全 954.4.8. 安全管理制度 1014.4.9. 云安全服務 1024.5. 機房方案 1034.5.1. 機房設備集中管理 1034.5.2. 布線系統(tǒng) 1044.5.3. 機房系統(tǒng) 1044.5.4. UPS配置方案 1064.6. 標準化工作 1124.6.1. 標準規(guī)范建設的原則 1124.6.2. 標準規(guī)范的總體框架 113第5章. 設備配置要求 116第6章. 項目實施與運行維護 1216.1. 建設流程及進度安排 1216.1.1. 團隊組建 1226.1.2. 業(yè)務連續(xù)性計劃規(guī)劃 1236.1.3. 實施方案詳細設計 1236.1.4. 實施方案詳細會審 1246.1.5. 運維制度的設計 1246.1.6. 運維制度的會審 1266.1.7. 采購設備和基礎設施改造 1266.1.8. 平臺機房端系統(tǒng)改造調測 1276.1.9. 設備安裝調測 1276.1.10. 系統(tǒng)聯調 1286.1.11. 人員技術和制度培訓 1296.1.12. 項目驗收投產 1296.2. 項目建設管理及組織機構 1306.2.1. 領導組織機構 1306.2.2. 項目建設機構 1306.2.3. 項目溝通 1316.2.4. 項目文檔管理 1326.2.5. 運維及管理的組織機構 1336.2.6. 運維及管理的規(guī)范 1346.2.7. 運維模式 1366.2.8. 人員配置和培訓 136基本情況項目名稱XX單位XX云計算平臺工程。業(yè)主單位XX單位。項目背景XX技術發(fā)展方向XX，即運用計算機、網絡和通信等現代信息技術手段，實現政府組織結構和工作流程的優(yōu)化重組，超越時間、空間和部門分隔的限制，建成一個精簡、高效、廉潔、公平的政府運作模式，以便全方位地向社會提供優(yōu)質、規(guī)范、透明、符合國際水準的管理與服務。隨著網絡技術、web2.0、下一代互聯網等技術的發(fā)展，我國XX建設也發(fā)生著變化。2010年10月，國務院發(fā)布了《國務院關于加快培育和發(fā)展戰(zhàn)略性新興產業(yè)的決定》，就把新一代信息技術產業(yè)作為十二五時期的重點方向，要推動新一代移動通信、下一代互聯網核心設備和智能終端的研發(fā)及產業(yè)化，加快推進三網融合，促進物聯網、云計算的研發(fā)和示范應用。有關XX公開的相關要求全國XX領導小組發(fā)布了《關于開展依托XX平臺加強縣級政府XX和政務服務試點工作的意見》，就開展依托XX平臺加強縣級政府XX和政務服務試點工作提出了相關意見。要求在試點縣（市、區(qū)），用一年左右時間，建立和完善統(tǒng)一的XX平臺，充分利用平臺全面、準確發(fā)布政府信息公開事項，實時、規(guī)范辦理主要行政職權和便民服務事項，并實現電子監(jiān)察全覆蓋，為在全國全面推行奠定基礎、積累經驗。建設規(guī)模本期建設規(guī)模為（后續(xù)根據實際服務器及機房環(huán)境進行調整）：編號設備數量單位硬件設備1.1刀片式PC服務器片刀片服務器機箱個1.2機架式PC服務器（4CPU）臺1.3機架式PC服務器（2CPU）臺1.4FCSAN磁盤整列臺1.5NAS存儲系統(tǒng)臺1.6異構存儲（云存儲）控制系統(tǒng)臺1.7虛擬帶庫臺1.8SAN光纖交換機臺1.9核心交換機臺1.10匯聚交換機臺1.11鏈路負載均衡設備臺1.12服務器負載均衡設備臺1.13防火墻臺1.14接入交換機臺1.15WEB應用防護抗攻擊系統(tǒng)臺1.16入侵防御系統(tǒng)臺1.17防病毒網關臺1.18VPN網關臺1.19數據庫安全審計系統(tǒng)臺1.20運維安全審計系統(tǒng)臺1.21安全代理應用服務器臺1.22PKI應用服務器臺1.23身份認證系統(tǒng)套1.24網閘臺1.25網絡KVM臺1.26KVM集中器臺1.27短信機MAS信息機臺2.1云計算平臺管理軟件套2.2VmwarevSphere4.1企業(yè)版（1CPU）72套，VmwarevCenter標準版1套套2.3GalaX8800OperatingEditionV100R001for1CPU，一年技術服務套2.4WindowsServer2008R2中文企業(yè)版套2.5RedHatEnterpriseLinux-企業(yè)版套2.6物理機高可用群集軟件套2.7虛擬機高可用群集軟件套2.8應用服務器軟件套2.9Oracle數據庫管理系統(tǒng)套2.10MSSQL數據庫管理系統(tǒng)套2.11MySql數據庫管理系統(tǒng)套2.12數據備份軟件套2.13目錄服務器軟件套2.14防病毒軟件套2.15漏洞掃描設備臺2.16網頁防篡改軟件套2.17SOC安全管理系統(tǒng)套2.18云安全服務套3.1UPS套3.2標準機架臺3.3機房精密空調臺投資概算本項目本期工程概算總投資為XXXX萬元（人民幣）。設計依據《中華人民共和國國民經濟和社會發(fā)展第十二個五年規(guī)劃綱要》；《計算機場地技術條件》（GB2887-89）《計算站場地安全要求》（GB9361-88）《電子計算機機房設計規(guī)范》（GB50174-93）《供配電系統(tǒng)設計規(guī)范》（GB50052-92）《低壓配電裝置及線路設計規(guī)范》（GBJ—83）《建筑物防雷設計規(guī)范》（GB50057-94）《電子設備雷擊保護守則》（GB7450-87）《工業(yè)企業(yè)通信接地設計規(guī)范》（GBJ79-95）《中華人民共和國保密標準》（BMB3-1999）《涉密信息設備使用現場的電磁泄漏發(fā)射防護要求》（BMZ1-2000）《涉及國家機密的計算機信息系統(tǒng)保密技術要求》（BMZ1-2000）《涉及國家機密的計算機信息系統(tǒng)安全保密方案設計指南》（BMZ2-2001）《涉及國家計算機信息系統(tǒng)安全保密測試指南》（BMZ3-2001）設計范圍本方案涉及范圍包括以下幾個部分：基本情況；現狀與需求分析；總體設計；建設方案；設備配置要求；培訓及維護；項目實施；概算編制。設計分工待定。

現狀及需求分析項目意義及建設必要性XX單位作為信息化建設持續(xù)居于全國前列的經濟信息大省，對云計算的表現模式及其能夠帶來的經濟效益表現出持續(xù)關注。本項目提出建設政務云計算平臺，對于整合XX資源、提高省直部門計算資源配置效率，建設重復信息化投資，打造綠色XX，推動高新技術產業(yè)發(fā)展，都具有長遠的現實意義。（1）云計算是信息技術和產業(yè)發(fā)展的必然趨勢云計算是網格計算、分布式計算、虛擬化等傳統(tǒng)計算機技術和網絡技術發(fā)展融合的產物。它旨在通過網絡把多個成本相對較低的計算實體整合成一個具有強大計算能力的完美系統(tǒng)，并借助SaaS、PaaS、IaaS、MSP等先進的商業(yè)模式把這強大的計算能力分布到終端用戶手中。作為一種新興技術和商業(yè)模式，云計算將加速信息產業(yè)和信息基礎設施的服務化進程，催生大量新型互聯網信息服務，帶動信息產業(yè)和信息化建設格局的整體變革。加快云計算發(fā)展，不僅是我省提升數字XX綜合競爭力、培育新增長點的重要途徑，也是促進產業(yè)機構調整、率先實現跨越式發(fā)展的重要舉措。（2）縣級XX是推動XX單位云計算應用的第一步云計算是當今信息技術、信息化的戰(zhàn)略制高點。當前，我省正在貫徹落實《國務院辦公廳轉發(fā)全國XX領導小組關于開展依托XX平臺加強縣級政府XX和政務服務試點工作意見的通知》，將縣級XX作為推動XX單位云計算應用的第一步，在實踐中摸索云計算為XX單位帶來的新機遇，通過政府應用起到的示范和帶動作用，促進全省信息化建設水平的提高，帶動信息產業(yè)的發(fā)展，戰(zhàn)略信息技術及產業(yè)的戰(zhàn)略高地。（3）提高政務部門計算資源配置效率，減少重復建設，節(jié)能減排XX單位XX建設以來，全省部署了大量的業(yè)務應用系統(tǒng)，涉及海量的網絡設備、服務器及存儲設備。這些設備CPU和內存利用率殘差不齊，大多數較低，部分工作效率在20%以下，同時也有部分部門計算硬件資源極端匱乏。這樣，不僅閑置了寶貴的計算資源，浪費了電力，不利于節(jié)能減排，又未能很好地解決資源匱乏部門的實際問題。如果將這些設備整合建設為云計算平臺，服務器的利用效率將得到極大提升（40%~60%），能夠動態(tài)、彈性、可回收地為各政務部門提供服務。總之，云計算可望提高應用程序部署速度、促進創(chuàng)新和降低成本，同時還增強了業(yè)務運作的敏捷性。本項目對我省云計算的發(fā)展和應用具有帶動、示范、服務、探索等多重作用，對帶動我省信息化建設進入新階段，探尋我省新的經濟建設模式具有重大的現實意義，有必要盡快實施。現狀分析XX單位已經建成了較為完善的XX網絡系統(tǒng)，經過04年、06年兩次大的擴容改造后，覆蓋全省的XX網絡全面建成，信息資源目錄體系與交換體系、信息資源公開和共享機制、信息安全基礎設施基本建立，重點業(yè)務應用系統(tǒng)實現互聯互通，管理體制進一步完善，信息技術在政府工作中得到普遍應用。XX單位信息中心作為負責XX單位政府政務數據中心建設和維護的核心信息化部門，服務于XX單位政府部門宏觀決策支持、信息資源開發(fā)利用、數據交換、XX、信用體系建設等六大重點業(yè)務，按照工信部和國家發(fā)改委的要求，近年來一直致力于政務云計算的鋪墊和準備工作，逐步完成了政務數據整合和云就緒準備的前期工作。為推動數字XX建設科學發(fā)展，創(chuàng)新XX建設模式，推進云計算應用及相關產業(yè)的發(fā)展，根據省領導指示精神，下一步將重點建設XX單位政務云。在完成了各部門分散的IT資源和信息數據的整合之后，政府將通過云計算平臺，實現面向更多公眾服務、帶動本地信息化發(fā)展等目標。需求分析長期需求滿足未來10年XX單位信息化建設基于XX的信息系統(tǒng)對網絡、服務器、存儲、軟件等基礎架構的需要，面向全省政務系統(tǒng)提供信息共享平臺及云計算平臺。根據XX單位政府和省經信委對數字XX的長遠規(guī)劃，不僅要搭建XX云計算平臺，試點并承載相關業(yè)務，還需要進行XX云計算平臺的開發(fā)和建設，運行核心業(yè)務系統(tǒng)。本期需求滿足今后3到5年XX單位信息化建設基于XX的信息系統(tǒng)對網絡、服務器、存儲、軟件等基礎架構的需要。鑒于每個應用系統(tǒng)對基礎架構資源的需求難以確定，本期工程暫時按照最小經濟規(guī)模的云計算平臺建設，計算資源池的服務器物理數量規(guī)劃為XXX臺，存儲及網絡設備根據實際需要進行配套。硬件需求本次需要配置的硬件包括：主機：刀片服務器、機架式服務器等；存儲：SAN存儲、NAS存儲、IP存儲、虛擬帶庫、易購存儲控制系統(tǒng)、SAN交換機等；網絡設備：路由器、交換機、負載均衡、VPN網關等；安全設備：防火墻、入侵防御、防毒墻、運維安全審計系統(tǒng)、數據庫安全審計系統(tǒng)、漏洞掃描系統(tǒng)。軟件需求除了需要配置一定數量的服務器、存儲、網絡設備和安全防護設備外，還需要配備相應的系統(tǒng)軟件，如：每臺物理服務器和虛擬服務器的操作系統(tǒng)：Windows、Linux等服務器操作系統(tǒng)。虛擬化軟件：實現服務器和存儲資源的虛擬化，建立彈性、智能、可回收的資源池；對于新購置的設備，需要進行虛擬化套件的安裝調試。中間件：JAVA及.NET架構的應用服務器等。大型數據庫系統(tǒng)：Oracle、SQLServer、MySQL等。云計算管理平臺：包括網絡管理、資源管理、用戶管理、統(tǒng)計報表、賬單、監(jiān)控、告警等管理功能。安全需求虛擬機的應用將導致物理網卡上的流量成幾何倍數增加，為了應對云計算環(huán)境下的流量變化，安全防護體系的部署需要朝著高性能的方向調整。安全設備必然要具備對高密度的10GE設置100G接口的處理能力。同時，考慮到云計算環(huán)境的業(yè)務永續(xù)性，設備的部署必須要考慮到高可靠性的支持，不僅要考慮到設備的可靠性，如采用高性能高可靠高成熟的產品，還應該考慮到設計的可靠性，如雙機熱備、設備虛擬化、配置同步、板件冗余和預留、跨設備鏈路捆綁、硬件ByPass等技術的應用。配置防火墻、入侵防御、漏洞掃描、網頁防篡改、全接入網關和身份認證系統(tǒng)，并從安全區(qū)域劃分、接入層安全、服務器區(qū)的安全和安全管理等多方面加強云計算平臺的防護。特別是接入層，采用VPN網關，注冊用戶從云計算管理中心獲得VPNClient，通過VPNClient就可以連接到自己需要的云。服務器安全方面，所有物理服務器全部配置相應的安全策略，禁止不用的端口的訪問，同時在虛擬機模板系統(tǒng)中只打開最小可用端口（如SSH、http、https等），以保證初始系統(tǒng)的安全性。建立應用節(jié)點準入規(guī)范，保證應用節(jié)點自身的安全防護，避免云內發(fā)生交叉感染。安全管理方面，則以管理制度為主、技術管控為輔，雙管齊下。機房需求鑒于信息中心機房UPS、精密空調承載有限，本項目本期工程應做相應擴容建設。

總體設計建設目標預期總目標整合信息化建設資源，充分利用現有政府網站和政務（行政）服務中心基礎設施，結合集約化社區(qū)服務信息網絡平臺建設，對現有XX平臺進行調整、升級和改造，滿足XX和政務服務應用需要。具體包括：采用云計算技術，結合創(chuàng)新建設模式，搭建標準統(tǒng)一、功能完善、系統(tǒng)穩(wěn)定、安全可靠、縱橫互通、集中統(tǒng)一的XX云計算平臺，為各部門信息資源共享、數據交換和系統(tǒng)辦公提供良好的支撐。通過建設XX云計算平臺，方便未來將新增XX應用快速部署到云計算平臺上，大大縮短新IT系統(tǒng)的上線時間，預期將節(jié)省設備30%，節(jié)約能耗50%。解決“信息孤島”，實現信息共享，提高信息安全水平，提升政府監(jiān)控能力和響應速度，提高工作效率和公共服務水平，提供面向社會的專業(yè)性服務和為社會公眾提供政務信息服務。通過降低成本、提升效率、節(jié)能減排，滿足XX要貫徹落實科學發(fā)展觀，轉變發(fā)展模式的需要。滿足在云計算平臺上搭建XX應用系統(tǒng)的需要，包括以三層架構為主的應用系統(tǒng)，以及大訪問量的應用系統(tǒng)、大數據處理量的應用系統(tǒng)以及大計算量的應用系統(tǒng)。云計算試點業(yè)務運行穩(wěn)定之后，普及和推廣云計算模式，將XX系統(tǒng)、政府網站應用系統(tǒng)、政務服務業(yè)務應用系統(tǒng)、電子監(jiān)察應用系統(tǒng)等納入政務云計算平臺，通過建立政務服務事項信息庫、辦理過程信息庫、辦理結果信息庫、監(jiān)察規(guī)則信息庫、監(jiān)察業(yè)務信息庫等五個信息庫，實現政務服務和電子監(jiān)察信息資源管理。XX單位政務云計算建設的總體目標是，實現省級政務系統(tǒng)數據共享，利用云計算彈性、智能、可回收的技術優(yōu)勢，低投資、低能耗、高效率地部署居民健康檔案系統(tǒng)、統(tǒng)計直報系統(tǒng)、生豬屠宰監(jiān)管與溯源系統(tǒng)等與政務職能工作相關的應用系統(tǒng)。XX網絡、政府網站、業(yè)務管理系統(tǒng)、應用及數據服務中心和信息安全保障體系等納入統(tǒng)一的政務云計算平臺。階段性目標為滿足XX和政務服務試點工作的業(yè)務需求，基于網絡技術、云計算等新興IT技術手段，建設統(tǒng)一的XX承載平臺，根據XX和政務服務目錄，將更多的行政職權納入電子化平臺的業(yè)務系統(tǒng)辦理，建設覆蓋行政職權和便民服務事項辦理流程的各個環(huán)節(jié)的電子監(jiān)察體系。在初步階段基礎設施先行，建設XX單位XX統(tǒng)一基礎承載平臺，基于云計算的模式，融入虛擬化等技術，具備統(tǒng)一、共享的特性，可以承載XX、金宏工程等試點業(yè)務應用。 同時為下一階段進一步開展云計算的PAAS、SAAS等業(yè)務平臺應用，進行經驗積累和技術探索。建設內容本項目在充分整合XX數據中心資源的基礎上，配置必要軟硬件設備，為省直部門的信息系統(tǒng)提供統(tǒng)一的基礎設施服務，在IaaS層構建較為完整的XX云計算平臺。建設內容包括以下幾部分：硬件設備：刀片服務器、機架式服務器、SAN存儲、NAS存儲、IP存儲、虛擬帶庫、易購存儲控制系統(tǒng)、SAN交換機、路由器、交換機、負載均衡、VPN網關。軟件設備：物理服務器和虛擬服務器的操作系統(tǒng)、虛擬化軟件、中間件、大型數據庫系統(tǒng)、云計算管理平臺。安全系統(tǒng)：防火墻、入侵防御、防毒墻、網頁防篡改、身份認證系統(tǒng)、運維安全審計系統(tǒng)、數據庫安全審計系統(tǒng)、漏洞掃描系統(tǒng)。同時采購專業(yè)機構提供的云安全服務等。機房配套設備：UPS、精密空調、標準機架。系統(tǒng)的總體結構設計原則標準化當前階段云計算整個產業(yè)化還不夠成熟，相關標準還不完善。網絡是云計算的核心承載平臺，為保證多廠商的良好兼容性，避免廠商技術鎖定，網絡方案的設計應需要采用標準技術與協(xié)議，能夠與第三方廠商保持良好的對接。此外，為保證方案的前瞻性，設備的選型應充分考慮對云計算相關標準（如EVB/802.1Qbg,TRILL等）的擴展支持能力，保證良好的先進性，以適應未來的技術發(fā)展。高可用為保證數據業(yè)務網的核心業(yè)務的不中斷運行，在網絡整體設計和設備配置上均是按照雙備份要求設計的。在網絡連接上消除單點故障，提供關鍵設備的故障切換。關鍵設備之間的物理鏈路采用雙路冗余連接，按照負載均衡方式或active-active方式工作。關鍵主機可采用雙路網卡來增加可靠性。全冗余的方式使系統(tǒng)達到99.999%的電信級可靠性。要求網絡具有設備/鏈中故障毫秒的保護倒換能力。具有良好擴展性，網絡建設完畢并網后應可以進行大規(guī)模改造，服務器集群、軟件功能模塊應可以不斷擴展。良好的易用性。簡化系統(tǒng)結構，降低維護量。對突發(fā)數據的吸附，緩解端口擁塞壓力，能保證業(yè)務的流暢性等。增強二層網絡云計算環(huán)境下，虛擬機遷移與集群是兩種典型的應用模型，這兩種模型均需要二層網絡的支持。隨著云計算資源池的不斷擴大，二層網絡的范圍正在逐步擴大，甚至擴展到多個數據中心內，大規(guī)模部暑二層網絡則帶來一個必然的問題就是二層環(huán)路問題。采用傳統(tǒng)STP+VRRP技術部署二層網絡時會帶來部署復雜、鏈路利用率低、網絡收斂時間慢等諸多問題，因此網絡方案的設計需要重點考慮增強二層網絡技術（如IRF/VSS、TRILL、VPLS等）的應用，以解決傳統(tǒng)技術帶來的問題。虛擬化虛擬資源池化是網絡發(fā)展的重要趨勢，將可以大大提高資源利用率，降低運營成本。應有效開展服務器、存儲器的虛擬資源池化技術建設，網絡設備的虛擬化也應進行設計實現。服務器、存儲器、網絡及安全設備應具備虛擬化功能。高性能由于云計算網絡中的流量模型發(fā)生了變化，，而隨著整個云計算業(yè)務的開展，業(yè)務都分布在各個服務器上，流量模型從縱向流量轉換成復雜的多維度混合的方式，整個系統(tǒng)具有較高的吞吐能力和處理能力，系統(tǒng)各層均不存在阻塞，具備對突發(fā)流量的承受能力。開放接口為保證服務器、存儲、網絡等資源能夠被云計算運營平臺良好的調度與管理，要求系統(tǒng)提供開放的API接口，云計算運營管理平臺能夠通過API接口、命令行腳本實現對設備的配置與策略下發(fā)。綠色節(jié)能節(jié)能減排是目前網絡建設的重要系統(tǒng)工程之一，從網絡機房的整體能耗來看，IT設備約占到30%，空調等制冷系統(tǒng)約占45%，UPS、照明等輔助系統(tǒng)約占25%。所以作為IT設備的節(jié)能，不僅要考慮本身能耗比較低，而且要考慮其熱量對空調散熱系統(tǒng)的影響。應采用低能耗的綠色網絡設備，采用多種方式降低系統(tǒng)功耗。建設思路云計算是一種新型的計算資源利用模式。它將計算任務分布在大量計算機構成的資源池上，使各種應用系統(tǒng)能夠根據需要獲取計算力、存儲空間和信息服務。按照服務實現的程度，目前云計算主要有IaaS、PaaS、SaaS三種業(yè)務模式：1)基礎架構服務(IaaS)Iaas層是以服務的模式提供虛擬硬件資源，主要是將基礎設施資源（計算、存儲、網絡帶寬等）進行虛擬化和池化管理，便于實現資源的動態(tài)分配、再分配和回收。目前資源池主要分為計算資源池、存儲資源池和網絡資源池，同時也包括軟件和數據等內容資源池。在服務提供方面主要以計算資源、存儲資源提供為主，如為業(yè)務信息系統(tǒng)分配虛擬服務器、有儲空間，提供應用服務器、數據庫管理系統(tǒng)等應用系統(tǒng)運行環(huán)境。2)應用平臺服務(PaaS)PaaS層主要提供應用開發(fā)、測試和運行的平臺，用戶可以基于該平臺，進行應用的快速開發(fā)、測試和部署運行，它依托于云計算基礎架構，把基礎架構資源變成平臺環(huán)境提供給用戶和應用。為業(yè)務信息系統(tǒng)提供軟件開發(fā)和測試環(huán)境，同時可以將各業(yè)務信息系統(tǒng)功能納入一個集中的SOA平臺上，有效地復用和編排組織內部的應用服務構件，以便按需組織這些服務構件。典型的如門戶網站平臺服務，可為用戶提供快速定制開發(fā)門戶網站提供應用軟件平臺，用戶只需在此平臺進行少量的定制開發(fā)即可快速部署應用。3)應用軟件服務(SaaS)SaaS軟件即服務，典型的運用模式就是用戶通過標準的WEB瀏覽器來使用Internet上的軟件，因此可以不必購買軟件，只需要按需租用軟件，直接應用。典型的如電子郵件系統(tǒng)的在線軟件服務，用戶只需作簡單的域名設置，即可部署本單位的電子郵件服務。鑒于云計算平臺應用需求的提出是一個漸進的過程，云平臺建設是一項復雜的系統(tǒng)工程，建議XX云計算平臺遵循長期規(guī)劃、分步實施的原則，本期工程首先實現IaaS，后續(xù)工程根據應用的實際需求逐步支持PaaS和SaaS的實現?？傮w拓撲結構圖1：XX云計算平臺總體拓撲結構圖根據本期工程的需求和建設目標，XX云計算平臺總體邏輯拓撲結構如上圖所示。通過鏈路負載均衡器實現多互聯網出口（具體鏈路供應商待定）鏈路負載均衡及高可用。任何ISP專線故障，不影響業(yè)務系統(tǒng)正常訪問；通過智能DNS系統(tǒng)實現接入用戶的就近訪問，即電信用戶訪問互聯網接入區(qū)走電信鏈路，聯通用戶訪問互聯網接入區(qū)走聯通鏈路。圖2：XX云計算平臺云服務分層架構圖XX單位XX云計算平臺云服務分層架構圖如上圖所示。整個架構分為三層和兩體系：基礎設施服務層(IaaS)、平臺服務層(PaaS)、應用軟件服務層(SaaS)、信息安全體系和運營管理體系，其中信息安全體系和運營管理體系有信息安全管理平臺和運營管理平臺構成。IAAS及管理、安全體系建設是本次的建設內容，PAAS、SAAS在后續(xù)規(guī)劃建設。1、基礎設施服務層包括硬件基礎設施子層、虛擬化&資源池化子層、資源調度與管理自動化子層。硬件基礎設施子層：包括主機、存儲、網絡及其他硬件在內的硬件設備，它們是實現云計算的最基礎資源；虛擬化&資源池化層：通過虛擬化技術進行整合，形成一個對外提供對資源的池化管理（包括網絡池、服務器池、存儲池等），同時通過云管理平臺，對外提供運行環(huán)境等基礎服務。資源調度與管理自動化子層：在對資源（物理資源和虛擬資源）進行有效監(jiān)控、管理的基礎上，并且通過對服務模型的抽取，提供彈性計算、負載均衡、動態(tài)遷移、按需供給、自動化部署等功能，它是實現云計算的關鍵所在。2、平臺服務層主要在IaaS之上提供統(tǒng)一的平臺化系統(tǒng)軟件支撐服務，包括統(tǒng)一身份認證服務、訪問控制服務、工作流引擎服務、通用報表、決策支持等。這一層不同于以往傳統(tǒng)方式的平臺服務，這些平臺服務也要滿足云架構的部署方式，通過虛擬化、集群、負載均衡等技術提供云狀態(tài)服務，可以根據需要隨時定制功能及相應的擴展。3、應用軟件服務層，是整個XX對外提供的終端服務，可以劃分為基礎服務和專業(yè)服務?；A服務提供統(tǒng)一門戶登錄、統(tǒng)一通訊等功能，專業(yè)服務主要指XXXX的各種業(yè)務應用如流動人口管理、GIS系統(tǒng)、行政審批、網上執(zhí)法等等。它們通過應用部署模式相底層的稍微變化，都可以在云計算架構下實現靈活的擴展和管理。按需服務是XXXXSaaS應用的核心理念，多租約SaaS應用可以滿足不同政府用戶的個性化需求，通過多個租約向用戶提供有差別的服務，通過負載均衡滿足大并發(fā)量用戶服務訪問等。4、云計算平臺信息安全管理體系，針對云計算平臺建設以高性能高可靠的網絡安全一體化防護體系、虛擬化為技術支撐的安全防護體系、集中的安全服務中心應對無邊界的安全防護、利用云安全模式加強云端和客戶端的關聯耦合和采用非技術手段補充等保障云計算平臺的安全。5、運營管理體系：保障云計算平臺的正常運行，提供故障管理、計費管理、性能管理、配置管理、安全管理等等。信息的分類編碼體系信息分類編碼體系將遵循《政務信息資源目錄體系》(GB/T21063-2007)及相關業(yè)務、技術、數據標準和規(guī)范進行標準化建設。(1)．信息分類編碼設計遵循的主要原則分類和編碼的基本原則遵循GB/T7027-2002規(guī)定，采用混合分類法；分類類目編碼使用的羅馬字符和阿拉伯數字遵循GB18030-2000的規(guī)定。①唯一性原則：編碼要唯一識別，不能有二意性，不能重復；②標準化原則：盡量采用國際標準、國家標準、部級標準及“數字XX”的標準規(guī)范；③簡單化原則：代碼要簡單明了，易讀、易懂、易使用；④快捷性原則：有快速識別、快速輸入和計算機快速處理的性能；⑤系統(tǒng)性原則：要全面、系統(tǒng)地考慮編碼設計的體系結構；⑥擴充原則：可根據實際情況對主題分類進行類目擴充，擴充的類目應分別符合類目的設置規(guī)則，分類代碼的配置應符合代碼結構中的規(guī)定，并注意助記性。⑦映射原則：使用中若采用了主題分類以外的其他分類，應建立這些分類的類目表與主題分類的雙向映射關系。⑧分類擴展原則：在建立信息資源目錄體系時，目錄體系中的信息資源分類應采用主題分類，也可根據具體應用情況選擇其他分類方法與主題分類共同進行分類，如部門分類、服務分類、資源形態(tài)分類等；若采用擴展分類代碼，則其分類代碼的配置應符合代碼結構中的規(guī)定。(2)．信息分類編碼框架體系根據實際情況，XX單位XX云計算平臺建設項目的信息分類編碼體系按信息技術自身屬性進行劃分，其體系框架有以下幾個分體系：①信息分類：包括適用于各種應用系統(tǒng)的開發(fā)、數據庫系統(tǒng)的建設和數據交換的標準；②代碼結構：采用統(tǒng)一的代碼結構，代碼編制規(guī)則：分類類別用l位大寫羅馬字符表示“Z"代表主題分類；一級類用l位大寫羅馬字符表示；二級類用l位大寫羅馬字符及2位阿拉伯數字表示。③術語和技術詞江：主要包括與信息化有關的術語標準，XX云計算平臺建設過程中遇到的主要名詞、術語和技術詞匯。④項目管理和建設標準：根據國家的有關規(guī)定，規(guī)范項目系統(tǒng)的管理和運行機制；制定XX云計算平臺建設項目實施及管理的有關規(guī)程。⑤系統(tǒng)的管理和運行機制：規(guī)范項目系統(tǒng)的管理和運行機制；⑥計算機通信網絡：包括計算機通信和網絡基礎設施建設、技術規(guī)范、管理規(guī)范等；⑦信息安全：適用與信息安全有關的信息技術應用系統(tǒng)建設。質量保證體系(1)．系統(tǒng)質量保證體系將遵循“數字XX”的系統(tǒng)設計標準

建立質量控制流程；

建立系統(tǒng)編制標準；

制定系統(tǒng)測試的標準和方法；

在每個階段規(guī)范項目工作和改進項目質量。(2)．本項目將制定系統(tǒng)設計規(guī)范包括程序名、文件名和變量的規(guī)范化以及數據字典等，并要求在實施過程中提供以下技術文檔：

項目規(guī)劃與系統(tǒng)實施方案；

系統(tǒng)體系架構及描述；

系統(tǒng)軟件功能設計說明書；

系統(tǒng)需求規(guī)格說明書；

系統(tǒng)概要設計、詳細設計說明書；

數據庫設計說明書；

系統(tǒng)代碼設計說明書；

系統(tǒng)測試方案及測試分析報告；

系統(tǒng)軟硬件配置說明；

系統(tǒng)安裝維護手冊、用戶使用手冊；

系統(tǒng)軟硬件培訓資料；

系統(tǒng)故障及應急處理預案說明書

建設方案基于本期XX單位XX云計算平臺的建設思路一一搭建基于IaaS層面的云計算平臺，如何采用云計算技術建立動態(tài)的IT資源平臺，并使之具備快速IT服務交付能力，進而通過動態(tài)的IT架構來應對有關省直單位XX業(yè)務發(fā)展的需要；將應用和業(yè)務從底層的IT資源中分離出來，提高系統(tǒng)的可移植性，并能夠充分利用更加優(yōu)化的系統(tǒng)和網絡資源以提高效率、降低整體成本是本期建設方案需要重點解決的問題。為此，我們建議以XX應用系統(tǒng)為頂層架構來搭建XX單位XX云計算資源池，它是由計算資源池、存儲資源池、網絡資源池、XX應用程序以及運營管理平臺共同組成，運營管理平臺負責對資源池和應用進行管理調度及告警監(jiān)控。其組成框架如下圖所示。圖3：資源池組成框架圖以下針對XX云計算資源池的各組成部分分別進行具體闡述。網絡資源池組網物理拓撲圖XXXX云計算平臺組網物理拓撲如下圖所示：圖4：XX云計算平臺組網物理拓撲圖本工程新增3根移動專線接入，單根200Mpbs帶寬。一根為XX互聯網接入區(qū)對外提供服務用，一根用于VPN專線，一根用于XX辦公人員訪問互聯網使用。整個云計算平臺在組網設計上滿足雙網雙平面結構，從網絡接口、網絡鏈路到關鍵網絡設備均配置冗余部件。在網絡接口上每臺物理服務器至少配置3張網卡，分別用于業(yè)務服務、虛擬化平臺宿主機管理、IP存儲系統(tǒng)互聯。業(yè)務服務網絡根據業(yè)務屬性不同，通過MPLSVPN劃分為公用網絡區(qū)、互聯網接入區(qū)、專用網絡區(qū)。虛擬化計算資源可以在不同的網絡區(qū)域中自由遷移。在匯聚層旁掛防火墻、隔離網閘、運維審計、數據庫審計系統(tǒng)等安全設備。其中防火墻用于實現同一網絡區(qū)域中不同業(yè)務系統(tǒng)的之間的安全隔離；隔離網閘用于在MPLSVPN隔離的不同網絡區(qū)域之間進行安全數據交換，同時用于XX和XX之間的數據安全交換。網絡負載均衡設計網絡負載均衡分鏈路負載均衡和本地負載均衡，總體邏輯示意圖如下圖所示：圖5：網絡負載均衡示意圖鏈路負載均衡設計如上圖所示，將移動互聯網專線和電信互聯網專線接入鏈路負載均衡器，鏈路負載均衡器通過對所有Internet鏈路進行流量路由和控制帶寬服務水平實現多互聯網接入的高可用性。鏈路負載均衡器將多條互聯網線路進行虛擬化處理，保障用戶從最好的線路訪問內外部資源。任意一條ISP線路中斷，都不會對服務造成任何影響。通過鏈路負載均衡器可實現ISP接入線路的無縫擴展。1)OutBound流量負載均衡XX辦公人員訪問互聯網的流量到達鏈路負載均衡器時，將通過鏈路負載均衡器多種鏈路狀態(tài)檢測結果選擇最佳出口鏈路，提升用戶體驗。2)InBound流量負載均衡為使移動用戶和電信用戶通過不同互聯網鏈路訪問互聯網接入區(qū)應用系統(tǒng)，鏈路負載均衡器的智能DNS解析功能將不同用戶訪問的域名解析成不同的公網IP地址，加速應用訪問，提升用戶體驗。本地負載均衡設計本工程新增本地負載均衡器兩臺，旁掛于匯聚交換機。實現對服務器的負載均衡。本地負載均衡器可以保障內部資源的容錯性，內部任何一個應用節(jié)點出現問題都不會對用戶造成任何的影響，本地負載均衡器能夠自動的屏蔽有問題的應用節(jié)點，讓其停止對外服務，同時把該故障節(jié)點上的用戶遷移到其他正常的節(jié)點上去。匯聚層本地負載均衡器可以虛擬成為多個設備，滿足XX不同分區(qū)的安全隔離要求。XX業(yè)務系統(tǒng)以B/S架構為主，目前的WEB應用都包含了大量的圖片，javascript，CSS文件等，這些文件的重復傳輸不但給服務器造成了壓力，同時也使得用戶的體驗受到了影響。本地負載均衡器通過HTTP壓縮的方式來節(jié)省帶寬以及提高訪問速度。通過靜態(tài)文件和動態(tài)文件的cache．文件壓縮，瀏覽器端文件cache控制等優(yōu)化技術，來提供對WEB應用進行加速，提高用戶訪問速度。使用本地負載均衡器開放的API接口可以實現和云計算管理平臺的集成。網絡虛擬化設計云計算對傳統(tǒng)網絡的挑戰(zhàn)傳統(tǒng)的網絡規(guī)劃設計依據高可靠思路，形成了冗余復雜的網狀網結構，結構化網狀網的物理拓撲在保持高可靠、故障容錯、提升性能上有著極好的優(yōu)勢，是通用設計規(guī)則。云計算的大規(guī)模運營，給傳統(tǒng)網絡架構和傳統(tǒng)應用部署都帶來了挑戰(zhàn)，新一代網絡支撐這種巨型的計算服務，不論是技術革新還是架構變化，都需要服務于云計算的核心要求，動態(tài)、彈性、靈活，并實現網絡部署的簡捷化。具體來說傳統(tǒng)網絡面臨的挑戰(zhàn)主要有以下幾點：一一傳統(tǒng)網絡的復雜性在實際的運維中，管理人員承擔了極其繁冗的工作量；一一云計算平臺下多虛擬機部署在同一臺物理服務器上運，服務器的利用率從20%提高到80%，服務器端口流量大幅提升，對網絡性能提出更高要求；一一云計算平臺中，虛擬機在物理服務器之間進行遷移，為了避免虛擬機遷移后路由的震蕩和修改網絡規(guī)劃，遷移通常只在在二層域進行，因此云計算平臺需要具備一個性能更高、二層域更大的網絡環(huán)境為遷移提供保障。通過分析云計算對傳統(tǒng)網絡基礎架構帶來的挑戰(zhàn)，我們可以從兩個方面來應對。一是通過構建高性能、高可靠的網絡，從而滿足云計算給網絡帶來的壓力；二是通過構建虛擬化網絡來滿足云計算中由于虛擬機部署、遷移、以及安全策略實施對網絡提出的靈活性、安全性的要求?？偟膩碚f，為滿足云計算的業(yè)務要求，統(tǒng)一的基礎網絡要素必然包括：高性能交換、虛擬化應用、透明化交換。高性能二層網絡為提供一個性能更高、二層域更大的網絡環(huán)境，本工程新增核心交換機和匯聚交換機通過交換機虛擬化技術（華三IRF2、思科VSS）分別虛擬成一臺邏輯設備，減少了設備節(jié)點，簡化了配置。通過跨設備鏈路聚合技術取代傳統(tǒng)部署方式中的STP+VRRP協(xié)議，使網絡拓撲變得簡潔，具備更強的擴展性；同時，其毫秒級的故障收斂時間，為虛擬機遷移提供了更加寬松的實現環(huán)境。圖6：交換機橫向虛擬化經過二層透明化改造后，云計算平臺的匯聚接入層是一個透明二層網絡。不同業(yè)務（虛擬服務器）接入不同的二層VLAN，但同一個業(yè)務（虛擬服務器）可以在不同網絡分區(qū)里靈活部署與遷移，滿足了云計算的要求；同時，匯聚層以上進行的是VPN標簽交換與路由轉發(fā)，又保證了不同業(yè)務（虛擬服務器）的安全隔離。網絡服務虛擬化為滿足不同XX分區(qū)的安全隔離要求，本項目在云計算平臺的匯聚層部署有匯聚交換機、防火墻、IPS、負載均衡器等設備。傳統(tǒng)網絡下，將為不同分區(qū)單獨配置一套安全設備，設備利用率低，運維管理復雜。在云計算平臺下，通過網絡服務虛擬化，統(tǒng)一建設一套性能強大、可擴展性良好的網絡服務設備，滿足為不同分區(qū)提供安全、應用加速等服務。圖7：1：N網絡虛擬化技術匯聚層交換機也通過虛擬化技術多實例，每個模擬出的交換機都擁有它自身的軟件進程、專用硬件資源（接口）和獨立的管理環(huán)境，可以實現獨立的安全管理界限劃分和故障隔離域。有助于將分立網絡整合為一個通用基礎設施，保留物理上獨立的網絡的管理界限劃分和故障隔離特性，并提供單一基礎設施所擁有的多種運營成本優(yōu)勢。如下圖所示：圖8：交換機縱向虛擬化虛擬交換機技術1)VMwareVMware分布式虛擬交換機功能滿足網絡分區(qū)條件下，虛擬主機在線遷移等功能時，保證業(yè)務網絡的持續(xù)性。虛擬交換機是構成虛擬平臺網絡的關鍵角色，VMware虛擬化通過VMwarevNetworkDistributedSwitch，使虛擬機跨多個主機移動時始終處于同一個VLAN內，它為虛擬機在物理服務器之間移動時監(jiān)視和保持其安全性提供了一個框架。VMwarevNetworkDistributedSwitch示意圖如下所示：圖9：VMwarevNetworkDistributedSwitch示意圖在多網絡分區(qū)環(huán)境時，VMware通過虛擬交換機的VLANTRUNK，當一個端口啟用了TRUNK功能后，就具備端口聚合的功效，會自動檢測流向此端口的所有流量，并把不同VLAN的流量導向物理交換機上相應的VLAN中。在一臺ESX主機上由多個千兆網卡綁定在一起(組合成vSwitch)提供VM對外通訊的流量，并與物理交換機上的多個啟用了TRUNK功能的端口相連接。此時VMs分別在VLANl、VLAN2、VLAN3上，同時在物理交換機上也有同樣ID的VLAN。那么，在VLAN1中的虛擬機，就可以和與物理交換機上VLAN1中的端口相連的機器相互通訊。同時實現虛擬化服務器在多網絡分區(qū)間的動態(tài)遷移。2）XEN通過將OPENvSwitch（開放虛擬交換標準）作為其默認組件，自xenserver5.6FPI就實現對虛擬交換機的支持，而且自verxenserver5.6SP2開始也實現了分布式的虛擬交換機功能。Xen-Motion是CitrixXenserver的動態(tài)遷移技術，當然，該系列4款虛擬化產品中，目前只有最高等級的白金版和企業(yè)版才具備這項功能，至于標準版及完全免費的Express精簡版則無此項能力。不但是C

ITRIX旗下的虛擬化產品，其他基于Xen技術開發(fā)出來的虛擬化產品，例如VirtualIron，也具備相似的動態(tài)遷移功能LiveMigrate，除了免費提供的個人版之外，需要付款購買的企業(yè)版及企業(yè)加強版具有內置該項功能。IP地址及DNS規(guī)劃XXXX云計算平臺新增兩個獨立網段，一個用于云平臺及虛擬機宿主機之間通信，一個用于云計算平臺內IP存儲系統(tǒng)網互聯；業(yè)務系統(tǒng)的IP地址和NDS規(guī)劃，沿用當前XX統(tǒng)一規(guī)劃。具體參考實施意見《XXXXIP地址規(guī)劃及管理規(guī)范》和《XX政府外網DNS及設備命名規(guī)范》。IP地址規(guī)劃原則XX單位XXIP地址規(guī)劃遵從國信辦和國家外網工程辦有關規(guī)定和指導意見。XXIP直至規(guī)劃原則包括：IP地址規(guī)劃主要涉及到網絡資源利用的方便有限的管理網絡的問題，公有地址相對緊張的情況下，合理有效的利用IP地址成為IP地址規(guī)劃的主要問題，合理的IP地址規(guī)劃是有利于網絡管理的；IP地址的合理分配是保證網絡順利運行和網絡資源有效利用的關鍵。對于外網廣域骨干網IP地址的分配應該采用國家XX工程辦分配的合法地址空間，充分考慮到地址空間的合理利用，保證實現最佳的網絡內地址分配及業(yè)務流量的均勻分布；IP地址的規(guī)劃和劃分應該考慮到網絡的后續(xù)規(guī)模和業(yè)務上的發(fā)展，能夠滿足未來發(fā)展的需要；既要滿足本期工程對IP地址的需求，同時要充分考慮未來的業(yè)務發(fā)展，預留相應的地址段；IP地址的分配需要有足夠靈活性，能滿足各種用戶接入需要；地址分配是有業(yè)務驅動，按照業(yè)務量的大小分配各地的地址段；IP地址的分配必須采用VLSM(變長掩碼)技術，保證IP地址的利用效率；采用CIDR技術，這樣可以減小路由器路由表的大小，加快路由的收斂速度，也可以減小網絡廣播的路由信息的大??；充分合理利用已申請的地址空間，提高地址的利用效率；IP地址的規(guī)劃應該是XX廣域骨干整體規(guī)劃的一部分，即IP地址規(guī)劃要和網絡層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結合起來考慮。IP地址的規(guī)劃應盡可能和網絡層次相對應，應該是自頂向下的一種規(guī)劃。IP地址規(guī)劃總體規(guī)劃根據國家外網工程辦的規(guī)定，XXXX云平臺的公用網絡區(qū)使用國家申請的IP地址范圍為：XXX—XXX。互聯網區(qū)供互聯網訪問的設備的IP目前有省電信、省移動提供外網地址，數量考慮上留有余地。互聯網區(qū)XX移動提供有3根互聯網專線，每條專線提供一個C類外網IP地址段，共3個C類地址段供本平臺使用。XX單位XX橫向需要互聯各個政府部門，縱向需要打通省，設區(qū)市、縣、鄉(xiāng)鎮(zhèn)（街道）四級部門單位，在外網地址規(guī)劃中，使用綜合地址規(guī)劃方案，采用公有地址和私有地址雙軌并行的辦法，在公有地址不夠時，允許采用私有地址作為部門單位的XX業(yè)務地址。XX承載三種不同的網絡業(yè)務，為了最大程度地減少不同網絡業(yè)務區(qū)IP地址空間的重疊，XXXXIP地址總體規(guī)劃如下：網絡業(yè)務區(qū)地址空間（建議的）用戶地址空間公用網絡區(qū)互聯網接入區(qū)專用網絡區(qū)云計算平臺管理云計算平臺存儲IP網絡業(yè)務地址從相應的業(yè)務網絡區(qū)地址空間中劃分。DNS域名體系結構XX單位XX升級和社區(qū)市網絡分別采用獨立的三級域名。域名由根域和若干個子域名用“.”連接而成，作為根域名，采用作為省網三級域名，采用作為各設區(qū)市三級域名。各級政府組成部門咋XX設置服務器后，應將服務器的IP地址和對應的域名在省電子網XX管中心注冊。域名以4--5段為主，原則上不超過5段。如：“主機名.單位名.”；由省數據中心建立域名（)管理中心，所有單位的域名及DNS均向XX網管中心域名冊；可在9個設區(qū)市市分別建立子域（)；各單位若需注冊，需在XX外網管理中心備案之后向國家外網管理中心注冊。集成智能DNS系統(tǒng)本工程新增2臺鏈路負載均衡器，實現智能DNS解析功能。XX互聯網接入區(qū)應用系統(tǒng)的DNS域名系統(tǒng)需與鏈路負載均衡器的智能DNS系統(tǒng)進行集成。通過對系統(tǒng)原有DNS授權域服務器配置進行修改，將動態(tài)記錄委派到鏈路負載均衡器上進行解析，再返回給發(fā)起DNS請求的用戶。根據解析結果引導用戶請求到不同的運營商鏈路，實現就近訪問。網絡安全域劃分與隔離根據國家XX所承載的業(yè)務和系統(tǒng)服務類型的不同，在邏輯上，將國家XX劃分為公用網絡區(qū)（Global）、專用網絡區(qū)（VPN）和互聯網接入區(qū)（Internet）三個功能域，分別提供國家XX互聯互通業(yè)務、專用VPN業(yè)務和互聯網業(yè)務。圖10：XXMPLSVPN分區(qū)示意圖公用網絡區(qū)：采用國家XX公用地址（即從NNNIC注冊的地址）的網絡區(qū)域，是國家XX的主干道，實現各部門、各地區(qū)互聯互通，為跨地區(qū)、跨部門的業(yè)務應用提供支撐平臺?；ヂ摼W接入區(qū)：是各級政務部門通過邏輯隔離手段安全接入互聯網的網絡區(qū)域，滿足各級政務部門公共服務業(yè)務應用的需要。專用網絡區(qū)：是依托國家XX基礎設施，為有特定需求的部門或業(yè)務設置的VPN網絡區(qū)域，實現不同部門或不同業(yè)務之間的相互隔離，VPN網絡區(qū)域主要為少數部門的特定業(yè)務數據傳輸提供安全通道。通過MPLSVPN技術運用，三個業(yè)務區(qū)之間邏輯隔離，不能互訪。升級XX數據中心分為四個區(qū)，這四個區(qū)分屬于三個業(yè)務隔離區(qū)，對應關系如下表：某些業(yè)務系統(tǒng)需要跨公用網絡區(qū)和互聯網接入區(qū)部署，也有些需要跨專用網絡區(qū)和互聯網接入區(qū)部署，為了保證安全，需要進行邏輯隔離，在公用網絡區(qū)和互聯網接入區(qū)間部署一個網閘，同時在專用網絡區(qū)和互聯網接入區(qū)也部署一個網閘。除以上從業(yè)務系統(tǒng)層劃分為公用網絡區(qū)、專用網絡區(qū)、互聯網接入區(qū)外，還需為云計算平臺管理和IP存儲子系統(tǒng)劃分2個獨立網絡區(qū)域，實現業(yè)務網絡、管理網絡、IP存儲網絡的安全邏輯隔離。網絡端口資源估算關于匯聚層交換機端口配置，接入服務器建議用千兆以太網電口，網絡設備間互聯用萬兆以太網口。本期新增機架服務器XX臺，單臺服務器配置XX千兆以太網電口，共需XXX口千兆以太網電口，刀片服務器XX臺，占用X個刀片服務器機框，每機框對外XX口千兆以太網電口，共XX口，合計連接服務器需要XXX口千兆以太網電口；匯聚交換機與防火墻、負載均衡器等匯聚網絡設備需等需要萬兆口互聯，考慮一定端口冗余，本期建議配置X臺匯聚交換機，單臺配置10/100/1000M電口不少于XX個；千兆光口不少于XX個、萬兆以太網光口不少于XX個并配置相應數量多模光纖模塊。計算資源池計算資源池架構服務器虛擬化技術很好地解決了傳統(tǒng)服務器系統(tǒng)建設的問題，通過提高物理服務器利用率大幅度消減物理服務器購置需求、數量和運營成本；通過利用服務器虛擬化中CPU、內存、I0資源的動態(tài)調整能力實現對業(yè)務應用資源需求的動態(tài)響應，提升業(yè)務應用的服務質量；通過在線虛擬機遷移實現更高的可用性和可靠性以及各種基于資源優(yōu)化或節(jié)能減排策略的跨物理服務器的調度等等。因此，服務器虛擬化技術是新一代數據中心最理想的解決方案。服務器虛擬化架構設計是服務器虛擬化技術運用的核心，直接決定了整個服務器資源體系對應用系統(tǒng)的承載能力、運行效率以及可靠性。XX云計算資源池由機架式服務器、刀片服務器構成；刀片服務器通過服務器虛擬化部署一般業(yè)務系統(tǒng)和web應用系統(tǒng)。機架式服務器用于部署管理平臺和高負載數據庫服務器等。服務器虛擬化架構圖如下所示：圖11：XXMPLSVPN分區(qū)示意圖應用系統(tǒng)分析經前期需求調研分析，根據業(yè)務特點將XX平臺所承載的應用系統(tǒng)分為大訪問量應用系統(tǒng)、大計算量應用系統(tǒng)、大數據量應用系統(tǒng)三類。大訪問量應用系統(tǒng)大訪問量應用系統(tǒng)如政府門戶網站、氣象查詢等web類應用系統(tǒng)，這類應用的特點是業(yè)務邏輯簡單，不同業(yè)務請求互不關聯，但請求的并發(fā)量根據業(yè)務特點不同可能很大，如水利信息網在災害天氣下訪問量將劇增。大訪問量應用系統(tǒng)要求對大量互不關聯的并發(fā)請求進行快速響應。這種情況下，需要應用服務器有足夠數量的線程響應請求，而單個線程計算量不大，因而對單個CPU處理性能要求不高，可通過提供足夠CPU用服務器數量來滿足需求。XX云計算平臺通過虛擬化技術為大訪問量應用系統(tǒng)部署是大小配置的虛擬機作為應用服務器，多應用服務器工作在負載均衡模式，提升用戶使用體驗。大訪問量應用系統(tǒng)對數據庫要求不高，配置一般虛擬機即可滿足要求。大計算量應用系統(tǒng)大計算量應用系統(tǒng)如數字城管、GIS地理信息系統(tǒng)等復雜信息處理系統(tǒng)，這樣應用的特點是計算量較大、運算復雜、內存需求大，對服務器計算性能要求高。建議配置單一高性能虛擬服務器。大計算量應用系統(tǒng)對數據庫要求不高，配置一般虛擬機即可滿足要求。大數據量應用系統(tǒng)大計算量應用系統(tǒng)流動人口管理、社保管理系統(tǒng)等。根據數據庫儲存模式不同，可分為文件型和數據庫的系統(tǒng)。數據庫型大量數據量應用系統(tǒng)要求較高性能數據庫服務器。建議配置強大的數據庫服務器，提供足夠的CPU、Memory及IO性能來處理大量的數據，根據應用系統(tǒng)重要級別，數據庫服務器可以選用虛擬物理器或物理服務器，應用服務器業(yè)務邏輯簡單，對配置要求不高，配置虛擬機即可滿足要求。文件型大數據兩應用系統(tǒng)基礎數據量大，通過傳統(tǒng)的集中儲存方式，存儲并發(fā)讀寫IO能力無法滿足計算資源要求，建議通過并行計算模型實現。根據業(yè)務計算特點，服務器可靈活選擇虛擬機或物理服務器。計算資源池建議配置與選型建議計算資源池建議配置經咨詢H3C、IBM、HP、微軟、紅帽、VMware等行業(yè)主流云計算常商，云計算平臺的建設，從避免浪費和規(guī)模效應的角度考慮，最佳實踐經驗是從50臺物理服務器的規(guī)模開始建設，然后根據實際業(yè)務發(fā)展情況按需擴容、滾動建設。本期工程以XX單位XX的實際情況為基礎參照行業(yè)主流云計算廠商的建議進行設計考慮?？紤]不同業(yè)務系統(tǒng)的負載差異，本期工程同時配置刀片服務器和機架式服務器。參考各廠商建議，用作WEB服務器時，一臺物理服務器最多可以虛擬12臺虛擬機；用作應用服務器時，一臺物料服務器最多可以虛擬7臺虛擬機.。本工程，刀片服務器按照每臺虛擬10臺虛擬機，刀片服務器虛擬化后的虛擬機建議部署一般web/應用服務器；高性能服務器按照每臺虛擬8臺虛擬機，高性能服務器虛擬化后的虛擬機建議部署重載應用/數據庫服務器。統(tǒng)籌考慮不同應用系統(tǒng)對硬件資源的需求差異，建議配置刀片服務器XX套，2路機架式服務器X臺，4路機架式服務器XX臺。其中X臺2路機架式服務器用于云計算管理平臺，X臺4路機架式服務器作為測試服務器（計劃用來支持各類移動辦公等移動應用，統(tǒng)一納入XX單位信息中心監(jiān)控管理）。計算資源池刀片服務器和4路機架式服務器組成，其中XX臺刀片服務器可以虛擬化為XXX臺虛擬機，XX臺高性能機架式服務器可以虛擬化XXX臺虛擬機，平臺共計XXX臺虛擬機。一般應用系統(tǒng)需要web服務器、應用服務器各2臺，采用應用負載均衡做集群，數據庫服務器2臺做互備，共需6臺虛擬機。對于大型數量應用，大型數據庫可直接部署在高性能物理服務器，通過多實例共享面向不同業(yè)務系統(tǒng)提供數據庫管理平臺服務，則需4臺虛擬機和共享使用兩臺物理服務器。按此測算，本期建設規(guī)模在滿足50個部門50套應用系統(tǒng)需求之外還能有一定的冗余，冗余的資源可以用于安裝數據備份軟件、目錄服務器、安全軟件等平臺相關軟件外，同時作為備用資源。今后還可以視實際需求增加計算資源，同步配套建設網絡資源、存儲資源及信息安全設備等，按照需擴容、滾動建設的方式滿足省直部門的需求。本期新增計算資源配置如下圖表所示：此外，每臺物理服務器要求配置不少于3個千兆以太網電口，分別用于虛擬化平臺管理口、應用系統(tǒng)對外提供服務、連接NAS存儲設備。未來實際應用中，還將根據各廳局的復雜性，比如高吞吐量、高計算、高訪問量類業(yè)務系統(tǒng)對計算資源的需要進行調整。服務器選型建議宿主機服務器架構是虛擬化架構的關鍵組件，也是服務器整合比例和成本分析的重要變量。宿主機服務器處理大量整合服務器的工作負載的能力會提高整合比例并有助于提供滿足需要的成本收益，以下提供二種宿主機服務器的參考架構。宿主服務器的系統(tǒng)架構是指對服務器硬件自身的一般分類，例如包括機架式服務器、刀片式服務器。在選在系統(tǒng)架構時，首先要考慮的原則是每個宿主機將運行包含多種負載的多個客戶機。處理器、內存、存儲和網絡能力以及高速的I/O和低延遲都很關鍵，重要的是要保證這些分類中的每一個宿主機服務器能夠提供所需要滿足的處理能力。A）標準機架式服務器最常見的系統(tǒng)架構是標準機架式服務器。典型的是2U或4U的型號，這些服務器一般包含2到4個CPU插座，2到8個PCI—E或PCI—X插槽，4到6個硬盤托架。由于其在2和4個插座服務器商品中的低成本，以及通過增加網卡和HBA插槽提供與生俱來的可擴展性，機架式服務器是虛擬宿主機服務器的最佳選擇。B）刀片式服務器隨著對能力和服務器密度不斷增加的需求，刀片式服務器在普及程度和能力上都獲得了顯著的提高。在選擇刀片服務器時，需要考慮刀片式架構中的每個刀片所包含CPU數及最大內存。對于每個宿主機服務器用于支持一定數量的客戶機所需的網絡和存儲I/O必須加以仔細考慮，以保證刀片上運行的每個宿主機服務器和刀片底盤自身能夠提供支持。計算資源池部署應用服務器部署應用服務器可部署在虛擬機系統(tǒng)（VM）和物理PC服務器。當應用服務器負載接近單臺物理服務器性能時，可直接部署于物理服務器，一般應用服務器部署在虛擬機上。根據應用系統(tǒng)的可用性要求等級不同，在虛擬機上實現高可用的方式有以下三種，虛擬機熱遷移，虛擬機HA，物理機HA。虛擬機熱遷移用于滿足計劃內停機維護操作。當服務器需要停機執(zhí)行維護操作時，可通過虛擬機熱遷移功能，將某一物理服務器上的虛擬機動態(tài)遷移至另一物理服務器。動態(tài)遷移過程，業(yè)務不中斷，不影響用戶的正常訪問。虛擬機HA用于滿足一般應用服務器計劃外宕機。當發(fā)生服務器故障時，通過虛擬機HA，虛擬機可在其他的物理服務器上自動重啟，實現故障轉移。此過程會引起短暫業(yè)務中斷，業(yè)務中斷時間由虛擬機操作系統(tǒng)在另一物理服務器上啟動的時間及應用系統(tǒng)啟動的時間決定。通過虛擬機HA比傳統(tǒng)群集較少一半的服務器數量，在保證了一定高可用的同時提高資源利用率。對于直接部署在物理服務器的應用系統(tǒng)，可通過高可用群集軟件提供可用性保證。在windows系統(tǒng)可配置MSCS群集，在redhatLinux操作系統(tǒng)可配置VCS群集。通過部署高可用群集，在確保在物理服務器故障或應用故障時，進行快速的故障轉移，減小并消除業(yè)務中斷帶來的負面影響。為了能夠提供具有更高可擴展性和可靠性的應用平臺，并能夠在服務器集群中只能地分配負載，從而確?？蛻糇畲笙薅鹊匕l(fā)揮其應用服務器投資價值，結合硬件負載均衡設備，為部署在應用服務器上的服務和應用提供最佳的可擴展性和性能。關鍵數據庫部署數據庫服務區(qū)作為業(yè)務系統(tǒng)的數據處理平臺，對服務區(qū)的I/O處理能力、內存、CPU等有較高要求的，建議采用高性能機架式服務器部署，不同的業(yè)務系統(tǒng)數據庫可通過多實例進行共享同一物理服務區(qū)群集。對服務器性能要求一般的數據庫管理系統(tǒng)可部署在虛擬機上。數據庫服務器做業(yè)務系統(tǒng)的核心節(jié)點，為了保障其的高可用性，建議至少使用2臺物理服務器或2臺虛擬機做HA。部署虛擬機上數據庫管理系統(tǒng)可通過ApplicationHA保證其高可用；部署于物理服務器的數據庫管理系統(tǒng)可通過VCS、MSCS或數據庫管理系統(tǒng)自帶群集軟件（RAC）實現其高可用。虛擬化軟件選型分析目前主流虛擬化平臺（Hypervisor）主要有以下四種，分別是VMwarevSphere、MicroSoftHyper-V、KVM和Xen。其中KVM和Xen為開源產品。目前部分廠商根據開源Xen開發(fā)出自己的虛擬平臺，如Critix公司的XenServer。從虛擬化軟件的成熟度來看，VMware經多年的市場經驗，產品成熟穩(wěn)定、功能也最為強大。開源KVM、開源XEN來源于開源社區(qū)，功能單一；基于開源Xen的CitrixXenServer，其功能、穩(wěn)定性、可靠性優(yōu)于開源Xen。XX虛擬化平臺的建設充分考慮產品的成熟性、穩(wěn)定性和開放性。通過以上比較分析，VMware產品成熟、功能完善，為目前虛擬化市場的主流產品，但其采購成本較高；基本開源Xen的部分國產產品功能不及VMware，但具有更好的性價比，作為國產虛擬化平臺，其安全性也更有保證。充分考慮技術成熟度和開放性，本項目建議配置VmwareXX套、國產開源虛擬化軟件XXX套，建成一個穩(wěn)定、開放、支持異構的基礎虛擬化平臺。當前關鍵應用建議部署在成熟穩(wěn)定的VMware虛擬化平臺上，非關鍵應用及測試環(huán)境可部署于國產開源虛擬化平臺上。隨著國產虛擬化平臺的逐步成熟，在后續(xù)擴容中將逐步減少VMware在XX云計算平臺的比重。虛擬化管理平臺本期計算資源池采用X86服務器，虛擬化平臺管理軟件需實現高可用性、動態(tài)遷移，對整個應用架構實現統(tǒng)一的安全控制和權限管理。目前X86虛擬化平臺管理軟件主要有兩大類：一類為虛擬化平臺原廠提供的。如VMware虛擬化管理平臺VMwarevCenter、CitrixXenServer虛擬化管理平臺XenCenter、Hyper-V虛擬化管理平臺Azure，RedhatKTM管理平臺redhatRHEVM的。各廠商的虛擬化管理平臺均可較好地管理自家虛擬化平臺，管理平臺開放必要的API接口。但是各個廠商均只能管理自己的Hypervisor，不能管理其它廠商的Hypervisor。另一類是由第三方廠商提供的。如移動大云等，這等虛擬化平臺管理軟件的優(yōu)點是可以實現多家虛擬化平臺的統(tǒng)一管理，但在專用性方面不如各原廠提供的管理軟件。容災方案說明根據設計原則分布實現云平臺系統(tǒng)的容災方案：1、第一步實現云平臺存儲級容災系統(tǒng)，通過新購虛擬存儲網關，整合現有異構SAN存儲資源池，存儲結構化數據，實現存儲虛擬化功能，并可滿足數據遷移、容災等功能，實現容災。該步驟實現又可分為兩步走，即先建立同城同步容災，再建立城際兩地三中心的容災。在容災中心新購買一套虛擬存儲網關，容災中心的存儲設備可以與生產中心同構或異構，通過光纖交換機構成一個基于存儲區(qū)域網(SAN)的基礎架構平臺。不僅提供容災系統(tǒng)使用，也是容災中心的統(tǒng)一SAN平臺。在容災中心存儲上按照生產中心實際存儲部署情況，依照存儲性能相同的原則進行存儲設備的邏輯劃分，每臺存儲設備分別連接到2臺光纖交換機上，這久保證了存儲設備在整個鏈路上冗余、不存在單點故障。在同城容災方案中通過虛擬存儲網關同步復制技術，由虛擬存儲網關將生產中心的數據實時復制到容災中心，確保生產中心的各種數據能同步復制到容災中心的存儲上。在兩地三中心或兩站地城際容災方案中通過虛擬存儲網關異步復制技術，準時將生產中心數據復制到容災中心，災難發(fā)生時僅涉及數十秒的數據丟失?？赏瑫r在容災中心配置兩臺服務器，進行數據驗證工作。利用虛擬存儲網關快照功能對容災中心的復制數據（只讀）產生快照卷，掛載到驗證服務器上進行訪問驗證。2、第二步實現云平臺應用級容災。在容災中心配置相應的服務器池鏈接容災存儲。當災難發(fā)生或進行災難恢復演練時，停止容災復制關系后，容災中心服務器池的虛擬機可以訪問容災數據并接管生產。制定接管計劃，包括人員支持，網絡支持，恢復計劃，演練計劃等，建立完善的全人工干預接管機制。3、第三步結合云平臺管理和業(yè)界自動化遠程容災軟件實現高度自動化的容災體系，爭取實現數小時內的容災接管能力。云計算管理平臺云計算管理平臺包括云資源管理平臺、云連營管理平臺、網絡管理平臺。云資源管理平臺包括IT基礎架構中的物理資源和虛擬資源的管理，其中虛擬計算資源的管理集成廠商的云平臺；云運營管理平臺含業(yè)務管理模塊和運營管理模塊。云計算管理平臺總體架構如下：圖12：云管理平臺架構圖云資源管理平臺建設方案整個復雜的云計算架構中，必須通過一個強大的管理平臺來實現對硬件資源的整合和虛擬化，對功能服務器的模板制作與部署，對云計算資源進行啟動、停止、刪除、回收等，對整個云計算平臺運行性能進行實時監(jiān)控和日志報告等功能，同時還實現用戶交換接口，用戶可以方便地登錄到云計算平臺，申請各種硬件資源和中間件資源，啟動、停止自己功能服務器功能。這樣打破了業(yè)務應用對資源的=獨占的方式，實現硬件資源和軟件資源的統(tǒng)一管理、統(tǒng)一分配、統(tǒng)一部署、統(tǒng)一監(jiān)控和統(tǒng)一備份?？紤]到XX中的3個區(qū)（專用網絡區(qū)、公共網絡區(qū)、互聯網接入區(qū)）之間是通過MPLSVPN相關隔離，為了實現云計算平臺對3個區(qū)的統(tǒng)一管理，我們建議將宿主機的管理口（統(tǒng)一設置宿主機上某一個單獨物理網卡用于云計算管理平臺對虛擬機的管理通訊）進行統(tǒng)一VLAN規(guī)劃，通過此方式可以實現不同分區(qū)的虛擬機在同一個資源組中遷移和統(tǒng)一管理。云資源管理平臺主要由以下兩個模塊組成：云資源管理系統(tǒng)云計算服務Portal。圖13：云資源管理功能模塊圖云資源管理系統(tǒng)云資源管理系統(tǒng)其通過虛擬化技術和基于策略的自動化管理技術，構成虛擬化資源池，實現對物理資源、虛擬資源的統(tǒng)一管理和分配。云資源管理系統(tǒng)架構需要實現功能：1、設備管理提供對物理設備的接入和管理功能，包括設備發(fā)現展示、配置部署、告警上報等。2、虛擬適配層提供對不同虛擬層（VMM）的適配、集成能力，如VMware、Xen、KVM、Hyper-V等，對上層屏蔽不同虛擬層差異，提供統(tǒng)一的虛擬化管理接口。3、云適配層提供對不同云資源的適應能力，實現公有云和私有云資源的統(tǒng)一管理能力。4、虛擬化資源池管理實現計算、存儲和網絡的虛擬化和資源統(tǒng)一管理。5、資源池調度提供資源動態(tài)分配，動態(tài)耗能管理、調度策略管理、資源池高可用性和備份恢復等功能。6、資源池服務對外提供基礎資源池服務能力，如動態(tài)伸縮、負載均衡等。7、對外接口對外提供標準的接口和能力，供上層業(yè)務或解決方案集成。8、管理系統(tǒng)運資源池的統(tǒng)一管理維護功能，如用戶管理、日志管理、告警和性能監(jiān)控。其功能特性：1、資源池統(tǒng)一管理和高效利用物理機、虛擬機統(tǒng)一管理和調度采用虛擬計劃技術、分布式計算和存儲等技術，實現資源的池化管理。云計算平臺管理系統(tǒng)不僅能管理虛擬機，也能管理物理機，各種資源通過統(tǒng)一的對外接口進行管理和調度。圖14：資源池管理示意圖1圖15：資源池管理示意圖2動態(tài)節(jié)能云計算平臺管理系統(tǒng)通過對業(yè)務忙閑交錯和峰谷交錯的特點分析，通過將閑的、處于低谷的業(yè)務進行遷移，從而清理出一些機器將其關閉，達到節(jié)能的效果。圖16：資源池管理示意圖32、自動化部署能力物理設備自動發(fā)現，即插即用物理設備從接入資源池到納入資源池統(tǒng)一管理的過程自動化實現，將需要人工干預的工作降至最低。圖17：自動化部署示意圖1系統(tǒng)軟件和業(yè)務軟件自動安裝部署能力支持系統(tǒng)軟件和業(yè)務的自動安裝部署，包括部署設計、執(zhí)行，軟件源管理，鏡像創(chuàng)建，鏡像生命周期管理等。流程化的部署計劃，支持部署模塊和快速部署能力。在業(yè)務部署過程中，支持業(yè)務各網元親和關系定義，避免將具有1+1、N+1等關系的網元部署在相同的物理設備上，進一步實現業(yè)務的高可靠部署。圖18：自動化部署示意圖2開放的接口和二次開發(fā)能力云計算平臺管理系統(tǒng)的自動部署功能提供開放的二次開發(fā)接口，業(yè)務系統(tǒng)可以基于該接口制作符合業(yè)務要求的軟件源和安裝腳本，實現業(yè)務自動部署。3、資源池高可用性虛擬機故障遷移當監(jiān)控到某臺虛擬機宕機時，自動將其遷移其它到其它物理機上重新拉起。物理機故障遷移當整臺物理機宕機時，自動將其上所有虛擬機遷移到其它借用的物理主機上重新拉起。圖19：資源池高可用性示意圖靈活的備份恢復云計算平臺管理系統(tǒng)提供虛擬機備份策略的靈活定制功能，包括：備份范圍：全備份（VM完整備份）、增量備份（僅備份上次備份以來發(fā)生變化的數據）備份周期：每天、每周、每月備份保存時間可配置4、基于業(yè)務的只能管控能力和接口自動化的資源調度，實現資源的自組織、自管理，減少人工干預。通過采集業(yè)務運行數據，基于一定的分析模型和算法，建立業(yè)務運行特性模型，從多個維度對業(yè)務運行情況進行分析和監(jiān)控。采集的數據同時作為后續(xù)業(yè)務調度基礎，實現資源只能調度。資源池對業(yè)務開放標準的接口和能力，業(yè)務可以基于資源能力定制業(yè)務管理和調度策略。5、高性能、高安全通過存儲大內存Cache技術、高性能分布式存儲算法、QoS保證等滿足業(yè)務系統(tǒng)的高性能要求。通過網絡隔離、系統(tǒng)加固、漏洞檢測、數據加密、用戶認證鑒權等滿足業(yè)務系統(tǒng)的高安全性要求。云資源服務門戶云資源服務門戶Portal是一套向內部虛擬化系統(tǒng)的自動化管理系統(tǒng)，覆蓋虛擬機部署、審批、運行、回收整個流程。提供了易于使用的Web界面可實現依照策略自動化部署虛擬機（VM），簡化虛擬機請求和審批流程，跟蹤和控制虛擬機，其運營流程如下圖所示。圖20：運營流程圖其管理角色和功能應具備包括如下方面：門戶角色及功能簡介用戶角色圖21：CCP用戶流程登錄Web頁面，請求虛擬機（可批量）并確定請求狀態(tài)。查詢所屬的虛擬機，并進行基本控制（包括開機、關機、遠程控制、監(jiān)控性能等）。提交虛擬機服務器的擴容（如CPU、內存、磁盤）申請并確定請求狀態(tài)。管理員角色圖22：管理員視圖查看用戶請求（包括新增虛擬機/變更虛擬機性能）的詳細信息，并決定是接受還是拒絕請求。管理賬號（可以便捷的增加用戶和管理員的賬號信息）。查看任一虛擬機運行狀態(tài)查詢日志和維護其他配置。云資源使用流程簡介虛擬資源申請流程圖23：資源變更流程圖下面以某一省直單位，如水利廳申請臺風預測預報系統(tǒng)上線，結合云計算業(yè)務運營流程如下：最終用戶（水利廳）在云計算平臺上申請?zhí)摂M資源，虛擬資源包括：虛擬機配置及虛擬機數量；數據庫類型及數據庫存儲空間大小、網絡互聯要求。申請?zhí)峤缓筮M入云計算運營平臺審批流程，由發(fā)改委經信中心對最終用戶（水利廳）提出資源申請進行審核。確認云計算平臺滿足所提需求后通過審批，由云計算平臺執(zhí)行自動部署生成用戶所需業(yè)務系統(tǒng)基礎架構，業(yè)務系統(tǒng)基礎架構包括虛擬機及操作系統(tǒng)環(huán)境、網絡互聯環(huán)境、數據庫環(huán)境。自動部署完成后，系統(tǒng)自動通過郵件或短信等其他方式通知最終用戶（水利廳）。最終用戶（水利廳）通過用戶自助門戶登錄虛擬機進行業(yè)務系統(tǒng)部署、測試，直至業(yè)務系統(tǒng)（臺風預測預報系統(tǒng)）上線的所有工作。云運營管理平臺建設方案運營管理是云計算服務提供的關鍵環(huán)節(jié)，任何一項業(yè)務的成功開展都離不開運營管理系統(tǒng)的支撐。云計算運營管理平臺的設計應遵循了如下的原則，即：立足現有應用和業(yè)務發(fā)展需求，兼顧未來的應用擴展，采用分層次、冗余、分布式的軟、硬件體系結構以保證系統(tǒng)安全、可靠、現金、易擴充性。運營管理平臺采用分布式、模塊化結構，具有良好的可擴展性和集成性，應包含如下模塊：業(yè)務管理模塊、運營管理模塊、業(yè)務運營門戶。其系統(tǒng)架構設計如下：圖24：云管理平臺系統(tǒng)架構圖業(yè)務管理模塊系統(tǒng)采用以服務為基礎，以產品類別為核心的業(yè)務管理模式：一個業(yè)務包括多個服務、產品或者套餐；一個產品由多個服務組成；服務有各自的服務類別；套餐由產品組成；提供給用戶=｛產品，服務，套餐｝。支持添加、修改、刪除服務：包括服務的名稱，描述；支持添加、修改、刪除服務級別：包括服務級別的名稱，描述狀態(tài)等信息；支持添加、修改、刪除產品：選擇相關的服務組合成為先的產品及其它的查詢等管理功能；具體框架設計邏輯圖如下圖所示：圖25：框架設計邏輯圖針對運業(yè)務實際情況，可以參考定義如下運營產品：1）虛擬主機出租各業(yè)務系統(tǒng)使用者依照系統(tǒng)對設備的需求，進行訂購所需配置的虛擬機，并能通過互聯網訪問&使用訂購的虛擬機，依照實際資源使用情況付費，使用者不需要對虛擬機進行日常維護，從而大幅度減低采購成本和維護成本和運營時成本。鑒于本項目資源供省直部門免費使用10年，有關