高校數(shù)據(jù)中心整體建設方案建議書

XX學校云數(shù)據(jù)中心

項目建議書

目錄

第1章高校數(shù)據(jù)中心建設需求分析....................................5

1.1數(shù)字化轉(zhuǎn)型時代高校數(shù)據(jù)中心的建設背景..................................5

1.2高校數(shù)據(jù)中心整體需求分析...............................................6

1.2.1高校業(yè)務對IT的要求分析...........................................6

1.2.2基礎(chǔ)設施功能需求分析..............................................7

1.2.3云數(shù)據(jù)中心安全需求................................................8

1.2.4統(tǒng)一規(guī)范制度需求.................................................10

1.3高校核心業(yè)務系統(tǒng)需求分析~.............................錯誤!未定義書簽。

第2章高校數(shù)據(jù)中心建設總體架構(gòu)設計...............................11

2.1主生產(chǎn)中心架構(gòu)........................................................11

2.2校區(qū)環(huán)網(wǎng)數(shù)據(jù)中心架構(gòu)..................................................12

2.3云平臺總體架構(gòu)........................................................12

第3章高校數(shù)據(jù)中心詳細設計方案...................................14

3.1計算和存儲資源池設計方案..............................................14

3.1.1方案產(chǎn)品簡介.....................................................14

3.1.2計算資源池設計..................................................14

3.1.3存儲資源池設計...................................................15

3.1.4超融合平臺運行數(shù)據(jù)庫~...........................與笥吳!未定義書簽。

3.1.5超融合一體機配置.................................................16

3.2網(wǎng)絡拓撲設計方案......................................................17

3.2.1數(shù)據(jù)中心物理網(wǎng)絡拓撲.............................................17

3.2.2核心交換機收斂比設計.............................................17

3.2.3超融合資源池網(wǎng)絡拓中卜.............................................18

3.2.4業(yè)務區(qū)虛擬網(wǎng)絡拓撲..............................................18

3.3網(wǎng)絡虛擬化技術(shù)能力概述................................................19

3.3.1網(wǎng)絡探測功能.....................................................19

3.3.2全網(wǎng)流量可視.....................................................20

3.3.3分布式虛擬防火墻.................................................20

3.3.4業(yè)努邏輯拓撲所畫即所得..........................................20

3.3.5業(yè)務監(jiān)控中心.....................................................21

3.4數(shù)據(jù)中心網(wǎng)絡安全防護方案.............................................23

3.4.1蹦中心安全威麻源分析.........................................23

3.4.2云濱源池安全防護.................................................23

3.4.3數(shù)據(jù)中心等級保護方案.............................................24

3.5云管平臺運維和管理方案................................................25

3.5.1異構(gòu)資源管理.....................................................26

3.5.2分級分權(quán)管理.....................................................26

3.5.3IT自服務和流程..................................................26

3.5.4自動化運維.......................................................27

3.5.5密源計量.........................................................27

3.6數(shù)據(jù)備份設計方案......................................................28

3.7容災中心設計方案......................................................29

3.7.1容災平臺整體架構(gòu).................................................30

3.7.2超融合-超融合雙向容災............................................30

3.7.3VMware-超融合單向容災.........................................31

3.7.4數(shù)據(jù)庫容災配置..................................................33

3.7.5業(yè)務容災切蝴數(shù)據(jù)回遷..........................................36

3.7.6容災備份效果.....................................................38

3.8解決關(guān)鍵業(yè)務系統(tǒng)痛點的技術(shù)~...........................錯誤!未定義書簽。

第4章項目實施規(guī)劃設計...........................................39

4.1機房部署方案...........................................................39

4.2業(yè)務云化遷移方案......................................................40

4.2.1業(yè)務遷移服務概述.................................................40

4.2.2業(yè)務遷移設計原則.................................................41

4.2.3業(yè)務遷移服務流程.................................................41

4.2.4服努器遷移技術(shù)方案..............................................43

4.2.5數(shù)據(jù)庫遷移技術(shù)方案...............................................44

第5章解決方案效益和價值分析.....................................46

5.1實現(xiàn)云數(shù)據(jù)中心的架構(gòu)極簡..............................................46

5.2提升學校業(yè)務穩(wěn)定性....................................................46

5.3為數(shù)字化校園安全保駕護航.............................................46

5.4降低云數(shù)據(jù)中心使用復雜度.............................................47

第6章云計算服務方案.............................................48

6.1云計算服務產(chǎn)品概述....................................................48

6.1.1云計算服務產(chǎn)品定義..............................................48

6.1.2云計算服努產(chǎn)品架構(gòu)..............................................48

6.2云計算服務產(chǎn)品內(nèi)容....................................................48

6.2.1部署實施服務.....................................................48

6.2.2企業(yè)級云業(yè)務遷移服務.............................................49

6.2.3技術(shù)支持服務.....................................................50

6.2.4硬件維保.........................................................51

6.2.5軟件升級服務.....................................................51

6.2.6專家現(xiàn)場服務.....................................................52

第7章方案采購清單...............................................53

7.1超融合云平臺采購清單...................................................53

第1章高校數(shù)據(jù)中心建設需求分析

1.1數(shù)字化轉(zhuǎn)型時代高校數(shù)據(jù)中心的建設背景

學校的信息化系統(tǒng)已經(jīng)建設了多年，隨之互聯(lián)網(wǎng)技術(shù)的發(fā)展，當前學校信息化正在向數(shù)

字化轉(zhuǎn)型。用數(shù)字化技術(shù)重新整合業(yè)務流程，通過互聯(lián)網(wǎng)的入口實現(xiàn)高效的業(yè)務訪問，加速

業(yè)務流轉(zhuǎn)，提升校園管理、教學管理、科研、生活等高效率運行，提高全校師生對信息化系

統(tǒng)的服務滿意度。

在學校的信息化建設中，普遍采用云計算技術(shù)，將應用系統(tǒng)的計算單元和數(shù)據(jù)單元部署

在學校的數(shù)據(jù)中心，用戶通過終端訪問業(yè)務業(yè)務平臺門戶。因此數(shù)據(jù)中心作為承載全部校園

信息化業(yè)務的載體，建設具備高度可靠和安全的數(shù)據(jù)中心，是信息化項目的基礎(chǔ)平臺和關(guān)鍵

目標。

一個標準的現(xiàn)代數(shù)據(jù)中心，包含了幾大模塊：

1）物理基礎(chǔ)設施，即數(shù)據(jù)中心的土建、房屋結(jié)構(gòu)及其附屬的門禁、監(jiān)控、

防火、供電、溫控等裝置。這些基礎(chǔ)設施保障了數(shù)據(jù)中心的各類設備在

滿足標準的環(huán)境中運行。

2）IT基礎(chǔ)設施，包括服務器、存儲、網(wǎng)絡交換機、安全等硬件設備，還包

括機柜及布線、系統(tǒng)監(jiān)控和管理軟件、監(jiān)控終端、審計等輔助的專用軟

硬件。這些硬件和軟件共同定義了IT層面核心功能，即計算能力、存

儲力、網(wǎng)絡拓撲、安全防護、運維管理、容災、網(wǎng)絡出口。

3）系統(tǒng)軟件和應用軟件，完成業(yè)務邏輯的作業(yè)，需要IT基礎(chǔ)設施提供計

算、存儲、網(wǎng)絡資源，并具備安全防護能力。

高校的數(shù)據(jù)中心，除了具備標準數(shù)據(jù)中心的一切特征之外，又不同于企業(yè)和政府，具有

相當?shù)奶厥庑?，這使得高校數(shù)據(jù)中心建設的項目中，學校需要根據(jù)自身情況詳細定義數(shù)據(jù)中

心的建設目標、制定建設規(guī)劃方案。

高校建設數(shù)據(jù)中心的特殊性在于業(yè)務目標、信息部門職責和能力不同于企業(yè)和政府，主

要體現(xiàn)在以下幾個方面：

1）高校是相對封閉又功能完善的社區(qū)，承擔數(shù)萬師生的學習、工作、生

活、科研、醫(yī)療等方方面面，其數(shù)字化業(yè)務種類相比企業(yè)更加復雜，各

類業(yè)務模式不一、軟件供應商眾多。因此數(shù)據(jù)中心的計算和存儲平臺，

必須能夠穩(wěn)定高性能的承載校園內(nèi)各類型的業(yè)務場景和各種軟件，同時

保障各類網(wǎng)絡環(huán)境下的業(yè)務安全和數(shù)據(jù)安全。

2）高校往往承擔新事務試驗田的角色，探索新技術(shù)的應用場景、承擔國家

科研項目、為社會嘗試新的生活方式、不斷地教學改革提升教育質(zhì)量。

這使得學校經(jīng)常面臨大量的新業(yè)務部署，而這些業(yè)務既有長期運行的也

有短期的探索型業(yè)務、臨時項目等。這要求數(shù)據(jù)中心能夠為新業(yè)務部署

提供充足的IT資源，又要避免業(yè)務失敗帶來的資源浪費。體現(xiàn)在技術(shù)

上就要求IT資源平臺，既能夠敏捷擴容資源能力，為業(yè)務提供充足的

性能，又能夠回收和利舊資源能力，增大投資收益。

3）高校信息中心部門面臨著角色轉(zhuǎn)型，從過去的IT運維的部門，逐漸成

為數(shù)字化業(yè)務的運營部門，這樣的角色轉(zhuǎn)換，使得學校對于信息中心的

工作評價標準發(fā)生了變化。過去作為運維部門，主要工作是保障“信息

系統(tǒng)可用、功能完善”；現(xiàn)在作為運營部門，評價標準是師生使用信息

化系統(tǒng)的“滿意度高、使用頻率高”。這使得信息化部門的具體工作要

從被動響應支撐，變?yōu)橹鲃油茝V數(shù)字化業(yè)務的用戶數(shù)量并持續(xù)改進用戶

體驗?；诖朔较虻霓D(zhuǎn)型，需要IT基礎(chǔ)平臺具有高度的穩(wěn)定性和便捷

的運維手段，這樣才能使得信息中心的老師們能夠從繁重的設備運維中

解脫出來，釋放精力從事校園數(shù)字化業(yè)務的經(jīng)營工作。

綜合以上信息，高校在建設數(shù)據(jù)中心的項目中，可分成三個階段，一是建成符合標準的

數(shù)據(jù)中心物理；二是建設云計算數(shù)據(jù)中心實現(xiàn)IT資源供應和運行環(huán)境；三是設計數(shù)字化應

用體系和運營體系，逐步實施數(shù)字化業(yè)務的應用軟件部署。

1.2高校數(shù)據(jù)中心整體需求分析

1.2.1高校業(yè)務對IT的要求分析

依據(jù)本校的現(xiàn)狀，當前已經(jīng)或正在建設機房的基礎(chǔ)設施，本方案適用于數(shù)據(jù)中心第二階

段的IT基礎(chǔ)設施建設，并滿足第三階段各類業(yè)務承載的要求。

學校的數(shù)字化業(yè)務可大體分成幾類統(tǒng)一業(yè)務門戶平臺、統(tǒng)一認證平臺、統(tǒng)一管理平臺、

統(tǒng)一運維平臺、MIS系統(tǒng)、網(wǎng)站群、數(shù)據(jù)分析系統(tǒng)、在線課程、結(jié)算系統(tǒng)等。涉及到教學、

管理、后勤、財務等方方面面的部門和業(yè)務流轉(zhuǎn)。綜合分析這些系統(tǒng)的特征和需求，數(shù)據(jù)中

心應當具備可靠性、性能擴容能力、保障業(yè)務安全、便捷運維等特征。分解數(shù)據(jù)中心的建設

需救嚇：

1）高可靠性：云數(shù)據(jù)中心平臺層面能夠保障業(yè)務連續(xù)可靠運行，硬件故障

不影響業(yè)務和數(shù)據(jù)。能夠穩(wěn)定運行對于門戶、財務、一卡通等業(yè)務的數(shù)

據(jù)庫，實現(xiàn)數(shù)據(jù)庫集群部署。學校已經(jīng)有多個校區(qū)，具備異地容災的基

礎(chǔ)，整體方案實現(xiàn)關(guān)鍵業(yè)務的容災。

2）高性能：云數(shù)據(jù)中心的平臺能夠提供充足的計算和存儲能力，承載校園

所有的業(yè)務系統(tǒng)，并具備相當?shù)臄U展能力，實現(xiàn)門戶、一卡通、在線課

程等來自互聯(lián)網(wǎng)用戶高峰期訪問時，這些系統(tǒng)的性能足夠保障業(yè)務可

用。一卡通的實時性寫入要求比較高，要保障數(shù)據(jù)庫能夠有足夠的I。

能力。

3）擴容能力：學校建設應用的周期較長，為減少投入成本，數(shù)據(jù)中心整體

架構(gòu)需能夠根據(jù)業(yè)務量對資源的需求，隨時擴容，并降低擴容實施的復

雜度。

4）整體安全：數(shù)據(jù)中心內(nèi)部的安全能力，包括邊界安全和資源池內(nèi)安全。

邊界安全主要是為了保障互聯(lián)網(wǎng)的攻擊、非法入侵、傳輸加密等工作。

資源池內(nèi)的安全，需要保障業(yè)務東西向流量之間的安全隔離。

5）管理能力：學校信息中心作為信息化業(yè)務的建設方和管理方，利用自動

化管理平臺實現(xiàn)業(yè)務流程自助申請、管理員審批、自動部署的管理模

式。各二級業(yè)務部門，設置部門管理員一名，直接面向本部門的用戶提

供流程審批，以分權(quán)管理的方式，降低信息中心管理員的工作量。

6）利舊能力：為實現(xiàn)成本優(yōu)化，數(shù)據(jù)中心的建設過程中，應該能夠充分利

用現(xiàn)有的設備，納入到資源池中。

7）運維能力：數(shù)據(jù)中心具有統(tǒng)一的資源運維平臺，實現(xiàn)對資源的整體監(jiān)

控、二級部門的資源配額、網(wǎng)絡配置，并同時納管現(xiàn)有的VMware虛擬

化平臺。

1.2.2基礎(chǔ)設施功能需求分析

數(shù)據(jù)中心建設需要滿足校內(nèi)資源共享、業(yè)務協(xié)同需求，以及一站業(yè)務服務等智慧校園前

期建設和師生管理、生活服務的需求，需要從基礎(chǔ)設施、數(shù)據(jù)、應用系統(tǒng)支撐平臺等各個層

面進行整合，因此構(gòu)建基礎(chǔ)設施即服務系統(tǒng)、數(shù)據(jù)即服務系統(tǒng)、平臺即服務系統(tǒng)等系統(tǒng)。

1）基礎(chǔ)設施即服務是學校數(shù)據(jù)中心和云平臺的基礎(chǔ)服務。物理上將IT基

礎(chǔ)設施整合的需求；性能上能夠做到彈性擴展和動態(tài)調(diào)配，使得不同的

應用能夠共享基礎(chǔ)設施資源池中的資源；需要在云計算中心的建設中采

用開放架構(gòu)，一方面能夠采用通用的設備實現(xiàn)快速擴展，另一方面也能

夠利舊已有設備資源，提升資源的利用效率，保護已有投資。

2）網(wǎng)絡是基礎(chǔ)設施即服務的基礎(chǔ)，也是學校云計算中心建設的重點，網(wǎng)絡

的高可用直接影響到業(yè)務系統(tǒng)的可用性。在學校的云數(shù)據(jù)中心建設中需

要做到統(tǒng)一網(wǎng)絡布局，使得數(shù)字化校園網(wǎng)絡中的數(shù)據(jù)和業(yè)務系統(tǒng)在網(wǎng)絡

上能夠做到互聯(lián)互通；在網(wǎng)絡系統(tǒng)的規(guī)劃中，需要做到高可用性、易擴

展性、高性能和易管理。

3）計算資源池主要提供計算能力，是基礎(chǔ)設施即服務建設的核心。由于學

校新型的互聯(lián)網(wǎng)業(yè)務快速發(fā)展的特點，計算資源池建設中需要充分體現(xiàn)

動態(tài)化、彈性化的特征，做到能夠根據(jù)業(yè)務部門實際需要，動態(tài)分配計

算資源，并需要提供彈性計算資源的管理工具，從而實現(xiàn)計算資源的可

視化管理。

4）對于存儲資源池，由于學校中積累的大量結(jié)構(gòu)化數(shù)據(jù)以及爆炸性增長的

非結(jié)構(gòu)化數(shù)據(jù)，主要是各類文檔、電子文獻資源、課程視頻資源等，需

要建設能夠滿足數(shù)據(jù)存儲需求的云存儲池，存儲池的建設需要做到有極

好的擴展性、易管理性、安全性和高性能。

1.2.3云數(shù)據(jù)中心安全需求

學校同時承載了教學、科研、管理、生活等各類角色，涉及到師生在校期間的全部生活

和個人信息，對信息安全的要求高，因而在學校數(shù)據(jù)中心建設過程中需要充分考慮安全體系

的建設。由信息中心統(tǒng)T呆障IT服務的安全性，數(shù)據(jù)的物理存儲實體與所有者分離，云安

全就是要采取恰當?shù)募夹g(shù)措施和管理手段，打消用戶顧慮，使其信任云計算中心對各部門私

有數(shù)據(jù)的存儲、管理和處理。

針對XX學校建議的安全需求如下表所示:

安

全安全

安全需求描述

層需求

面

機房機房監(jiān)控主要是預防盜竊、人為破壞、私自闖入等情況。監(jiān)控手段有門禁系統(tǒng)、

監(jiān)控監(jiān)視系統(tǒng)、紅外系統(tǒng)等。

設備設備備份用于預防關(guān)鍵設備意外損壞。接入到互聯(lián)網(wǎng)中關(guān)鍵網(wǎng)絡設備、服務器

備份應有冗余設計。

線路

物線路備份主要是預防通信線路意外中斷。

備份

理

電源

安電源備份用于預防電源故障引起的短時電力中斷。

備份

全

防電

防電磁泄漏用于預防電磁泄漏引起的數(shù)據(jù)泄漏。防電磁泄漏手段有屏蔽機房、

磁泄

安裝干擾器、線路加密等。

漏

介質(zhì)介質(zhì)安全用于預防因媒體不可用引起的數(shù)據(jù)丟失。要求對數(shù)據(jù)進行備份，且備

安全份數(shù)據(jù)的存放環(huán)境要滿足防火、防高溫、防震、防水、防潮的要求。

多層防御就是采用層次化保護策略，預防能攻破一層或一類保護的攻擊行為無

網(wǎng)多層

法破壞整個業(yè)務網(wǎng)。要求合理劃分安全域，對每個安全域的邊界和局部計算環(huán)

絡防御

境,以及域之間的遠程訪問，根據(jù)需要采用適當?shù)挠行ПＷo。

與

邊界邊界防護用于預防來自本安全域以外的各種惡意攻擊和遠程訪問控制。邊界防

系

防護護機制有防火墻、入侵檢測、物理隔離等，實現(xiàn)與互聯(lián)網(wǎng)和校園網(wǎng)的安全隔離。

統(tǒng)

網(wǎng)絡

安

防病網(wǎng)絡防病毒用于預防病毒在網(wǎng)絡內(nèi)傳播、感染和發(fā)作。

全

毒

安

全安全

安全需求描述

層需求

面

網(wǎng)站

網(wǎng)站監(jiān)測用于預防校園網(wǎng)網(wǎng)站W(wǎng)EB頁面的保護。

監(jiān)測

備份

備份恢復用于意外情況下的數(shù)據(jù)備份和系統(tǒng)恢復。

恢復

漏洞漏洞掃描用于及時發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)以及網(wǎng)絡協(xié)議安全漏

掃描洞，防止安全漏洞引起的安全隱患。

主機對關(guān)鍵的主機，例如數(shù)據(jù)庫服務器安裝主機保護軟件，對操作系統(tǒng)進行安全加

保護固

安全用于事件追蹤。要求網(wǎng)絡、安全設備和操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)有審計功能，同

審計時安裝第三方的安全監(jiān)控和審計系統(tǒng)。

身份認證用于保證身份的真實性。校園網(wǎng)中身份認證包括管理人員身份認證、

身份

操作員身份認證、服務器身份認證等。鑒于校園網(wǎng)網(wǎng)絡中用戶數(shù)量較大，基于

認證

數(shù)字證書（CA）的認證體制將是理想的選擇。

權(quán)限權(quán)限管理指對校園網(wǎng)中的業(yè)務應用、主機系統(tǒng)的所有操作和訪問權(quán)限進行管

管理理，防止非授權(quán)訪問和操作。

數(shù)據(jù)

應完整數(shù)據(jù)完整性指對校園網(wǎng)中存儲、傳輸?shù)臄?shù)據(jù)進行數(shù)據(jù)完整性保護。

用性

安數(shù)據(jù)

全傳輸數(shù)據(jù)傳輸機密性指對教育系統(tǒng)內(nèi)網(wǎng)絡中各安全域之間傳輸?shù)拿舾行畔⑦M行加

機密密保護。

性

抗抵抗抵賴就是通過采用數(shù)字簽名方法保證當事人行為的不可否認性，建立有效的

賴責任機制，為校園網(wǎng)創(chuàng)造可信的應用環(huán)境。

安全

各應用系統(tǒng)對各種訪問和操作要有完善的日志記錄，并提供相應的審計工具。

審計

組織

安全管理組織建設包括：組織機構(gòu)、人才隊伍、應急響應支援體系等的建設。

安建設

全制度安全管理制度建設包括：人員管理制度，機房管理制度，卡、機具生產(chǎn)管理制

管建設度，設備管理制度、文檔管理制度等的建設

理標準安全標準規(guī)范建設包括：數(shù)據(jù)交換安全協(xié)議、認證協(xié)議、密碼服務接口等標準

建設規(guī)范的建立。

安

全安全

安全需求描述

層需求

面

安全

安全服務包括安全培訓1、日常維護、安全評估、安全加固、緊急響應等

服務

技術(shù)安全管理技術(shù)建設主要指充分利用已有的安全管理技術(shù)，利用和開發(fā)相關(guān)的安

建設全管理工具，提高安全管理的自動化、智能化水平。

1.2.4統(tǒng)一規(guī)范制度需求

建議學校應當有科學、有效、完整的技術(shù)規(guī)范和管理制度標準，來保障整個中心正常、

有序的運行。需要建立云計算中心互操作標準、云計算中心服務標準、云計算中心運維標準、

云計算中心數(shù)據(jù)即服務規(guī)范、云計算中心系統(tǒng)管理規(guī)范等內(nèi)容。

第2章高校數(shù)據(jù)中心建設總體架構(gòu)設計

2.1主生產(chǎn)中心架構(gòu)

如下圖是學校的數(shù)據(jù)中的整體架構(gòu)，包含了IT資源池、核心交換區(qū)、網(wǎng)絡出口區(qū)、管

理區(qū)、運維、安全等幾大模塊。

互聯(lián)網(wǎng)出口

安全等保

38

容災備份

資源池區(qū)：

當前普遍采用虛擬化和云計算技術(shù)作為數(shù)據(jù)中心IT資源的架構(gòu)。綜合學校對數(shù)據(jù)中心

的各類要求，我們推薦采用超融合技術(shù)為主構(gòu)建完整的數(shù)據(jù)中心。超融合是以虛擬化技術(shù)和

X86服務器為主，融合服務器虛擬化、存儲虛擬化、網(wǎng)絡虛擬化等各類軟件，通過標準的硬

件為業(yè)務提供這些資源。

以超融合構(gòu)建的統(tǒng)一資源池，硬件部分僅僅包括服務器和網(wǎng)絡交換機，所有的超融合軟

件、業(yè)務虛擬機運行這個資源池中，存儲虛擬化軟件統(tǒng)一管理所有服務器的本地磁盤，構(gòu)建

高性能高可靠的存儲資源池。超融合技術(shù)不僅能為業(yè)務提供計算和存儲資源，也能實現(xiàn)不同

業(yè)務的網(wǎng)絡區(qū)域隔離、集成網(wǎng)絡安全模塊實現(xiàn)安全管控。

業(yè)務邏輯分區(qū)：

業(yè)務邏輯分區(qū)隔離可以是物理的也可以虛擬化隔離。在超融合平臺上部署的業(yè)務，可以

由超融合集成的網(wǎng)絡虛擬化實現(xiàn)分區(qū)隔離。獨立部署的物理機、VMware等第三方虛擬化

平臺，建議采用獨立的VLAN做隔離。

網(wǎng)絡出口區(qū)：

網(wǎng)絡出口區(qū)需要部署邊界防火墻等安全設備，必要時還需要部署鏈路負載均衡、上網(wǎng)行

為管理等設備。

安全等保：

如學校需要為滿足安全等保3.0,還需要配置安全感知平臺、潛伏探針、數(shù)據(jù)庫審計,

并配置異地數(shù)據(jù)備份和業(yè)務容災等措施。

2.2校區(qū)環(huán)網(wǎng)數(shù)據(jù)中心架構(gòu)

目前學校有3個校區(qū)，各有1個機房。這三個機房之間建立校園環(huán)網(wǎng)，部署統(tǒng)一的云

計算平臺，集成容災備份能力，實現(xiàn)業(yè)務數(shù)據(jù)同城備份和關(guān)鍵應用的準生產(chǎn)容災。在未來,

當學校的業(yè)務量規(guī)模龐大時，并且互聯(lián)網(wǎng)業(yè)務增多時，可考慮建成異地容災的方式，采用兩

地三中心架構(gòu)或者"同城雙中心+混合云"?，F(xiàn)階段，學校有2個數(shù)據(jù)中心，采用主備模式，

將主要的業(yè)務和互聯(lián)網(wǎng)出口放在主校區(qū)機房，一部分非關(guān)鍵業(yè)務放在備機房，同時將主校區(qū)

的一部分關(guān)鍵業(yè)務備份到備機房，實現(xiàn)業(yè)務容災。

包含異地容災的數(shù)據(jù)中心整體架構(gòu)如下：

2.3云平臺總體架構(gòu)

在三個機房均部署云計算資源池，通過云管平臺統(tǒng)一管理。云平臺主要實現(xiàn)3個能力:

1）根據(jù)業(yè)務需求統(tǒng)一管理調(diào)度各類計算、存儲資源、網(wǎng)絡資源。

2）為業(yè)務運行提供各類云服務。

3）為管理員IT運維、安全配置、用戶權(quán)限管理、資源監(jiān)控等工作提供工具。

崢J—云平臺

VPC

VDC

E

數(shù)據(jù)庫服務應用監(jiān)控最終負我均衡最窮

云接入門戶

云服務層虎擬數(shù)據(jù)中心|云主機服務容器云眼將可視化業(yè)務編排

-4AM?總

HR■仝眼芬宜助門戶服務虛擬網(wǎng)絡眼務可視化排冷服務

源油存儲資源迅

L4MMch'aRouter*

資源層：==a擊33

CPURAM士4二

網(wǎng)絡虛擬化/云安全服務器虛擬化存儲虛擬化

基礎(chǔ)通用X86月暗器

架構(gòu)

數(shù)據(jù)

市心;J主數(shù)據(jù)中心Ij■第二數(shù)據(jù)中心，?^二災備數(shù)據(jù)中心

通過云管平臺跨數(shù)據(jù)中心統(tǒng)一調(diào)度云資源和服務，為每個業(yè)務部門提供獨立的VPC運

行環(huán)境。

第3章高校數(shù)據(jù)中心詳細設計方案

3.1計算和存儲資源池設計方案

3.1.1方案產(chǎn)品簡介

推薦本項目采用超融合一體機同時承載計算和存儲資源的供給。企業(yè)級云aCloud是面

向數(shù)據(jù)中心整體解決方案設計的一套云計算軟件，采用超融合架構(gòu)加云計算管理平臺的方式,

構(gòu)建完整的云資源池。

aCloud中包含四大主要模塊：

?aSV-服務器虛擬化，基于kvm開發(fā)，提供企業(yè)級的可靠性和性能優(yōu)化

技術(shù)。

?aSAN-存儲虛擬化，基于GlusterFS架構(gòu)，自主研發(fā)的分布式存儲軟

件，為資源池提供統(tǒng)一的存儲空間。

?aNET-網(wǎng)絡虛擬化技術(shù)，完全自助研發(fā)的虛擬化網(wǎng)絡架構(gòu)，實現(xiàn)業(yè)務

網(wǎng)絡的分區(qū)隔離，提供分布式防火墻、分布式交換機、分布式路由器功

能，并首創(chuàng)“所畫即所得”網(wǎng)絡管理方式。

?aCMP-完全自主研發(fā)的分布式云計算管理平臺，統(tǒng)一管理超融合集

群，為租戶提供資源申請和訪問的入口，為學校管理員提供運維和監(jiān)控

的統(tǒng)一平臺。

企業(yè)級云產(chǎn)品

SanqforaCloud

監(jiān)控管理自服務審計容器災備

黍著電.覷

計算存儲網(wǎng)絡安全

此外，aCloud組件中，還包括了vDAS審計、容器、CDP數(shù)據(jù)保護、aHM異構(gòu)管理、

aSEC安全虛擬化等模塊，共同為業(yè)務服務。

3.1.2計算資源池設計

針對XX學校的項目，我們建議以配置aSV+aSAN+aNET+aCMP模塊，并配置少量

的aHM和aAF虛擬防火墻。

在硬件的設計上，采用2種不同配置的高低性能服務器，高性能服務器承載數(shù)據(jù)庫等關(guān)

鍵業(yè)務，低性能服務承載輕量級業(yè)務。由aCMP統(tǒng)一管理。

，——、

核心應用靜罐應用高并發(fā)應用日常應用

aCMP業(yè)務編排

激雅板嬴%I常規(guī)負載虛擬機。。收演像

表：

型號CPU內(nèi)存/GB硬盤HDD/GBSSD/GB應用場景

S112200靜態(tài)網(wǎng)站，邊緣系統(tǒng)，使用

S224500頻度低的信息管理系統(tǒng)。

S348500

Ml481000主要的信息管理類、檢索系

M28161000統(tǒng)、一卡通的應用節(jié)點、數(shù)

據(jù)存儲、認證服務等各類應

M316320100用節(jié)點和前置機

L18160100各類數(shù)據(jù)庫、分析系統(tǒng)、一

L212320100卡通中間件、統(tǒng)一門戶等計

L316640200算性能高的業(yè)務

3.1.3存儲資源池設計

存儲資源池采用aSAN管理本地硬盤實現(xiàn)高性能共享存儲池。每臺服務器需要配置

HDD作為數(shù)據(jù)存儲，SSD作為分層緩存。aSAN正式利用SSD的高性能，采用專利的分層

存儲技術(shù)，大幅提升了10性能。每服務器的性能在7:3讀寫比條件下測試，可到達10萬

IOPS的能力。

充分利用每臺服務器內(nèi)部硬盤資源

虛擬共享存儲池

1解決彈性問題2解決容量問題

ServerSAN架構(gòu)

同時，超融合的每一臺節(jié)點，即是數(shù)據(jù)存儲空間，又是存儲服務的控制器，控制器的運

算分布在多個節(jié)點上，極大提升了io處理能力。相比于傳統(tǒng)的光纖存儲，超融合存儲真正

實現(xiàn)了存儲性能的橫向擴容。

在可靠性的設計上，超融合存儲采用副本方式，每一份數(shù)據(jù)存儲在不同的服務器中，任

何單臺硬件的損壞都不影響數(shù)據(jù)訪問，保障了業(yè)務連續(xù)性和數(shù)據(jù)安全。

采用超融合存儲，無需精確評估數(shù)據(jù)空間需求，因為超融合的擴展非常方便，只需要購

買相同配置的服務器，加入到集群中，即可同步擴展計算能力、存儲能力和容量。在本次項

目中，可按照300TB可用空間估算，滿足日常業(yè)務的數(shù)據(jù)量和一部分圖片視頻的存儲需求。

采用雙副本方式，實際配置硬盤總數(shù)量＞600TB。SSD緩存配置，依據(jù)經(jīng)驗值，低性能服務

器按照5%緩存容量配置，高性能按照10%緩存容量配置，在使用過程中，可以隨時增加

SSD提升10性能。

3.1.4超融合一體機配置

依據(jù)以往的項目經(jīng)驗，假定以1萬學生的規(guī)模計算業(yè)務量計算，需要各類虛擬機約300

個。其中低端型號約150個，中端型號約120,高端型號約30個。按此規(guī)劃，需要超融合

服務器約20臺。為滿足業(yè)務需求和超融合系統(tǒng)自身需求，針對XX學校我們推薦如下配置

的服務器和數(shù)量。

類型每臺服務器承載

號

型配置數(shù)量虛擬機數(shù)量

CPU2xE5-2630V4(10C,2.2G),128GB內(nèi)

服存，2x240GB系統(tǒng)盤，2X960GBSSD,

務低8x4TBSATA,4個千兆網(wǎng)口，2個萬兆光口,215個中端VM或

器配個SFP+模塊，冗余電源30個低端VM

服

務高CPU2xE5-2680V4(14C,2.4G),256GB內(nèi)5個高端VM或10

器配存，2x240GB系統(tǒng)，2x1.92TBSSD,8x4TB個中端VM

SATA,4個千兆網(wǎng)口，2個萬兆光口,2個

SFP+模塊，冗余電源

3.2網(wǎng)絡拓撲設計方案

3.2.1數(shù)據(jù)中心物理網(wǎng)絡拓撲

將數(shù)據(jù)中心按照物理分區(qū)，實現(xiàn)分區(qū)部署。主要分成核心交換區(qū)、網(wǎng)絡出口區(qū)、業(yè)務區(qū)、

辦公區(qū)、大數(shù)據(jù)區(qū)、帶外管理區(qū)和容災機房。其中業(yè)務區(qū)有超融合集群和非虛擬化集群構(gòu)成。

3.2.2核心交換機收斂比設計

由于網(wǎng)絡虛擬化技術(shù)引入到資源池，可將傳統(tǒng)數(shù)據(jù)中心的三層架構(gòu)（接入-匯聚-核心），

簡化為二層（接入-核心），將業(yè)務區(qū)之間的安全隔離，比如0A區(qū)、DMZ區(qū)、財務區(qū)等采用

網(wǎng)絡虛擬化技術(shù)隔離。的aNET提供分布式防火墻技術(shù)，實現(xiàn)針對業(yè)務區(qū)和虛擬機的細粒度

安全配置、統(tǒng)一安全運維、安全策略跟隨等功能。若采用虛擬下一代防火墻vNGAF,則可

針對每個業(yè)務區(qū)獨立配置安全策略，有效防護東西向和南北向的安全威脅，實現(xiàn)多業(yè)務區(qū)安

全的運行在同一個平臺中。

業(yè)務區(qū)和辦公區(qū)的業(yè)務網(wǎng)絡，接入交換機采用1G接口，上聯(lián)交換機采用雙萬兆上聯(lián)。

每臺交換機具有48個1G接口，收斂比為241。若學校部署較多的高流量應用，比如在線

視頻等，可以將上聯(lián)端口換成4X10G,讓收斂比接近1:1。

對于大數(shù)據(jù)應用，建議匯聚層采用10G接口，上聯(lián)到核心層采用40G接口，以實現(xiàn)最

佳的網(wǎng)絡性能。

3.2.3超融合資源池網(wǎng)絡拓撲

超融合服務器，一共有三張網(wǎng)絡：業(yè)務網(wǎng)、存儲網(wǎng)、管理網(wǎng)。其網(wǎng)絡拓撲如下圖所示：

超融合的存儲網(wǎng)，采用萬兆存儲交換機，是完全獨立的內(nèi)部網(wǎng)絡。超融合的業(yè)務網(wǎng)和管

理網(wǎng)，一般采用1G網(wǎng)絡即夠用。建議為管理網(wǎng)劃分獨立的VLAN,接入到帶外管理區(qū)。

3.2.4業(yè)務區(qū)虛擬網(wǎng)絡拓撲

本次方案的設計中，采用了兩周不同配置的服務器，承載不同的業(yè)務。在資源池內(nèi)部,

都可以使用aNET技術(shù)為每個租戶劃分虛擬數(shù)據(jù)中心(VDC),租戶即是學校的二級單位，比

如圖書館、財務處、教務處、后勤等部門。每個租戶的管理員，在其VDC內(nèi)部，可以獨立

創(chuàng)建虛擬化、虛擬網(wǎng)絡拓撲、部署虛擬防火墻/虛擬化路由器/虛擬交換機，由此實現(xiàn)更加

復雜的業(yè)務網(wǎng)絡。

如下圖在典型的配置中，一個VDC租戶,可以分成多個VPC業(yè)務區(qū)，每個VPC業(yè)務

即使一套業(yè)務系統(tǒng)，比如所有的網(wǎng)站群，或者0A軟件的各個服務器。每個VPC包含一個

虛擬路由器、虛擬化防火墻和若干臺虛擬機。每個VDC租戶包含了一個或多個分布式交換

機，并從物理網(wǎng)口將流量引出。

為了簡化網(wǎng)絡的配置，aNET實現(xiàn)了"所畫即所得”的部署網(wǎng)絡的方法，管理員只需要

在aCMP界面上，用鼠標"拖拽"和"連線"即可將所見的網(wǎng)絡拓撲即時的在生產(chǎn)環(huán)境中

部署完畢，極大的簡化了網(wǎng)絡管理的復雜度。如下圖，是某高校客戶真實的環(huán)境的虛擬網(wǎng)絡

3.3網(wǎng)絡虛擬化技術(shù)能力概述

3.3.1網(wǎng)絡探測功能

網(wǎng)絡探測功能是通過發(fā)送帶有標簽的icmp報文并跟蹤記錄該報文在轉(zhuǎn)發(fā)平面經(jīng)過的

每一跳，每一跳的信息包括虛擬設備的名稱和轉(zhuǎn)發(fā)的端口名稱，然后將所有記錄的信息串聯(lián)

起來就可以知道到達特定目標的報文轉(zhuǎn)發(fā)路徑了。這種方式就像我們通過tracert的方式探

測一樣，但是比tracert更細致，能夠探測出流量的出去和回來的路徑。這樣我們就能更直

觀的找到網(wǎng)絡中存在的問題。

步制:

馴機：teamviewOCOl囹

發(fā)包門口:ethO

：6

銬王機通信：否

33^3召

Trunk:1

Trunk:1

6

否

3.3.2全網(wǎng)流量可視

數(shù)據(jù)包在轉(zhuǎn)發(fā)平面轉(zhuǎn)發(fā)的時候，每經(jīng)過一個虛擬網(wǎng)絡設備的任何一個端口都會有記錄,

上層通過實時向底層轉(zhuǎn)發(fā)平面查詢虛擬網(wǎng)絡設備的端口的相關(guān)記錄，就可以顯示出每個端口

的流量了，這樣就可以在業(yè)務拓撲上可形成全網(wǎng)流量可視。

3.3.3分布式虛擬防火墻

數(shù)據(jù)中心80%的流量在數(shù)據(jù)中心內(nèi)部，南北流量只有20%.傳統(tǒng)防火墻放在邊界網(wǎng)關(guān)

上，無法防護到數(shù)據(jù)中心內(nèi)部攻擊，而數(shù)據(jù)中心部分非核心業(yè)務安全防護低很容易被黑客攻

破，一旦攻破黑客就可以通過跳板攻擊其他業(yè)務。分布式防火墻，相當于在每臺虛擬機出口

和入口都放著一個防火墻，只要配置一條策略，無論拓撲如何變化、虛擬機在哪運行、IP是

否更改，后臺都可以動態(tài)進行調(diào)整，因此無論何時業(yè)務都能夠進行安全防護。的分布式虛擬

化防火墻，通過自研的網(wǎng)絡控制平面，可接收用戶配置、拓撲變動、ip變動等消息動態(tài)調(diào)整

配置并更新到firewall上。

3.3.4業(yè)務邏輯拓撲所畫即所得

所畫即所得的業(yè)務邏輯呈現(xiàn)，是企業(yè)級云架構(gòu)中非常具有特色的技術(shù)功能，由