畜牧水產(chǎn)管理局信息化整體建設(shè)方案

【智慧政務(wù)】某畜牧水產(chǎn)管理局信息化建設(shè)方案【智慧政務(wù)】畜牧水產(chǎn)局信息化建設(shè)方案審批服務(wù)信息排隊叫號信息實時新聞業(yè)務(wù)系統(tǒng)信息通知公告天氣預(yù)報會議日程管理政務(wù)中心將設(shè)置多個會議室，會議室的使用情況也需要參會人員及其它人員進(jìn)行發(fā)布，本系統(tǒng)將通過會議管理功能進(jìn)行會議室的預(yù)定及會議日程信息的發(fā)布。安排會議日程，會議室與播放終端綁定，會議日程自動發(fā)布到播放終端。系統(tǒng)日志管理支持對用戶登陸、系統(tǒng)變更、系統(tǒng)出錯等重要信息和節(jié)目發(fā)布時間、接收時間等任務(wù)日志進(jìn)行記錄。對各類節(jié)目播放日程進(jìn)行統(tǒng)計，系統(tǒng)終端監(jiān)控統(tǒng)計報表等，并根據(jù)用戶實際需要設(shè)定相關(guān)統(tǒng)計管理方式。系統(tǒng)還原管理服務(wù)器端系統(tǒng)還原：當(dāng)系統(tǒng)程序出錯情況下，可對系統(tǒng)進(jìn)行及時備份還原，包含系統(tǒng)配置信息、終端分組信息、系統(tǒng)機(jī)構(gòu)信息、用戶名密碼、系統(tǒng)節(jié)目、系統(tǒng)播放列表等各類系統(tǒng)服務(wù)器端信息，保障系統(tǒng)安全性。播放端端系統(tǒng)還原：當(dāng)播放端出錯情況下，終端硬件可對系統(tǒng)進(jìn)行及時備份還原，包含系統(tǒng)統(tǒng)節(jié)目信息、終端配置信息、終端播放列表等各類系統(tǒng)終端端信息，保障終端正常任務(wù)播放。系統(tǒng)信息實時備份：系統(tǒng)配置信息、終端分組信息和用戶名密碼等各類配置信息實時備份。視頻信號接入系統(tǒng)支持有線電視信號接入功能，通過系統(tǒng)設(shè)定，可靈活切換播放終端顯示的電視節(jié)目。有線電視節(jié)目播放效果可以是全屏播放或任意組合屏播放效果：接入【有線電視信號】或【會議培訓(xùn)信號】服務(wù)器端配置視頻采集設(shè)備采集有線電視視頻信號或會議培訓(xùn)直播信號，發(fā)送到終端實時播放;終端通過有線電視獲取電視數(shù)據(jù)源的方式接入電視節(jié)目（圖示：分屏組合電視信號效果）（圖示：全屏播放電視信號效果）（圖示：全屏播放會議培訓(xùn)效果）（圖示：會議培訓(xùn)+PPT課件效果）數(shù)據(jù)接口窗口屏數(shù)據(jù)接口接口方式：中間數(shù)據(jù)庫要建立數(shù)據(jù)整合中間平臺系統(tǒng)，實現(xiàn)異構(gòu)系統(tǒng)之間的信息的透明交換是基礎(chǔ)性工作。各系統(tǒng)將統(tǒng)一通過這一平臺進(jìn)行信息交換，以達(dá)到整個系統(tǒng)內(nèi)資源共享互通的效果。實現(xiàn)方式此接口實現(xiàn)方式主要通過數(shù)據(jù)庫中間表方式完成數(shù)據(jù)的交互。數(shù)據(jù)庫可選用ORCALE或SQL數(shù)據(jù)庫。審批系統(tǒng)和叫號系統(tǒng)運(yùn)行過程中發(fā)生數(shù)據(jù)變化，依據(jù)業(yè)務(wù)規(guī)則判斷是否需要上傳數(shù)據(jù)，將更新數(shù)據(jù)寫入中間數(shù)據(jù)庫中,信息發(fā)布系統(tǒng)數(shù)據(jù)交換系統(tǒng)實時掃描中間數(shù)據(jù)庫，如有新數(shù)據(jù)讀取處理后，更新相應(yīng)信息發(fā)布系統(tǒng)的數(shù)據(jù)。顯示內(nèi)容：系統(tǒng)通過與審批服務(wù)系統(tǒng)和排隊叫號系統(tǒng)集成，在播放終端顯示如下內(nèi)容：顯示字段：事項名稱，辦件類型，承諾期限，收費標(biāo)準(zhǔn)，窗口服務(wù)人員照片，姓名，工號，正在辦理***號，等待人數(shù)*人等信息。通過開發(fā)數(shù)據(jù)組件，信息發(fā)布系統(tǒng)訪問中間數(shù)據(jù)庫，定時讀取中間數(shù)據(jù)庫中內(nèi)容，將讀取的信息分窗口按相應(yīng)顯示版式顯示出來。顯示字體，字號，顏色，顯示字段寬度可在節(jié)目制作時自定義。顯示效果圖如下圖所示。接口數(shù)據(jù)流程排隊叫號系統(tǒng)項目建設(shè)概況我公司作為一家音視頻產(chǎn)品的開發(fā)、生產(chǎn)提供商，根據(jù)國內(nèi)行政審批形式特點，結(jié)合政務(wù)大廳的辦事特點，以及信息化需要，同時結(jié)合自身產(chǎn)品的特點有的放矢的開發(fā)出“陽光政務(wù)信息綜合服務(wù)系統(tǒng)”。整個系統(tǒng)主要依賴于政務(wù)大廳內(nèi)的網(wǎng)絡(luò)資源，將計算機(jī)網(wǎng)絡(luò)技術(shù)、多媒體視頻控制技術(shù)、排隊叫號、觸摸查詢等技術(shù)集成為一體的多媒體政務(wù)綜合服務(wù)系統(tǒng)。整個系統(tǒng)不僅減少了來政務(wù)大廳辦事人員的手續(xù)，節(jié)約了他們的時間，同時由于其統(tǒng)一平，統(tǒng)一管理，操作簡單，更是節(jié)約了管理這套系統(tǒng)的工作人員的時間，目前我公司已經(jīng)承建山東棗莊新城行政審批大廳、滕州政務(wù)辦事大廳等項目。通過建設(shè)該套系統(tǒng)將充分發(fā)揮政務(wù)辦事的效能，減少流程、手續(xù)，充分體現(xiàn)了現(xiàn)代化信息技術(shù)在便民方向上發(fā)揮了極大的作用。項目建設(shè)效果休息大廳窗口區(qū)一窗口區(qū)二項目建設(shè)目標(biāo)在便民服務(wù)中心的建設(shè)中，統(tǒng)一架構(gòu)好整個網(wǎng)絡(luò)環(huán)境，依據(jù)其內(nèi)部局域網(wǎng)建設(shè)該套“政務(wù)服務(wù)中心窗口顯示系統(tǒng)”。該套系統(tǒng)分為幾個部分：觸摸查詢、排隊取號、終端液晶顯示。（由于我公司主要是以研發(fā)軟件為主，該套軟件為自主研發(fā)，所以可以根據(jù)用戶需求進(jìn)行延伸。）針對以上部分，系統(tǒng)主要將實現(xiàn)以下功能：通過觸摸取號機(jī)可以進(jìn)行業(yè)務(wù)選擇及排號；窗口顯示屏能夠顯示排隊叫號信息；窗口顯示屏還可以顯示辦事流程、規(guī)章制度等信息；政務(wù)大廳內(nèi)根據(jù)情況可以設(shè)備信息發(fā)布屏，顯示圖片信息、文字信息及多媒體信息；能夠定義緊急插播的類型，例如消防聯(lián)動插播、緊急通知文件插播、當(dāng)前任務(wù)插播等等；遠(yuǎn)程開關(guān)機(jī)控制；能夠做到無人值守實現(xiàn)電源管理；遠(yuǎn)程音量控制，能夠不用手動分別去控制終端音量；系統(tǒng)通過網(wǎng)絡(luò)實現(xiàn)遠(yuǎn)程管理。系統(tǒng)設(shè)計詳述系統(tǒng)網(wǎng)絡(luò)拓?fù)涫疽鈭D系統(tǒng)業(yè)務(wù)流程說明本系統(tǒng)業(yè)務(wù)流程主要由系統(tǒng)管理工作人員和辦事人員兩部分人員辦事流程完成。工作人員： 通過安裝在窗口辦事人員電腦上的虛擬叫號器呼叫辦理業(yè)務(wù)人員，窗口告示屏（位于辦公人員對應(yīng)的上方）會顯示出與ID對應(yīng)的人員的信息（包括照片、姓名、所屬部門、以及窗口所對應(yīng)的事項）。與此同時虛擬叫號器上會顯示窗口下排隊等待的人數(shù)、次窗口已經(jīng)受理完成的人數(shù)、已經(jīng)過號的人數(shù)。窗口工作人員通過叫號單上的號碼，在審批軟件上輸入對應(yīng)的數(shù)字，來受理事件。這樣可以對窗口人員進(jìn)行績效考核，以及確保中心窗口辦公人員必須在中心受理審批事件。系統(tǒng)硬件設(shè)計媒體發(fā)布服務(wù)器數(shù)量：1臺推薦機(jī)型：DellR720功能：負(fù)責(zé)對整個系統(tǒng)的管理、調(diào)度、控制，裝載有Shine-MDS系統(tǒng)軟件，數(shù)據(jù)庫基于Mysql，保證系統(tǒng)有更高的效率和性價比。通過媒體發(fā)布服務(wù)器，經(jīng)過認(rèn)證的用戶可以實現(xiàn)顯示發(fā)布點管理、播放元素管理、模版定義管理、播放時間排程調(diào)度、插播控制、系統(tǒng)運(yùn)行監(jiān)控等各項業(yè)務(wù)。同時系統(tǒng)將需要發(fā)布的各類媒體元素分發(fā)到各終端進(jìn)行播放。管理工作站數(shù)量：1臺（可利用網(wǎng)內(nèi)任何一臺電腦）功能：為管理、操作、維護(hù)人員提供的遠(yuǎn)程系統(tǒng)發(fā)布管理平臺，凡是與系統(tǒng)處于同一網(wǎng)絡(luò)的計算機(jī)都可用作對系統(tǒng)的管理。系統(tǒng)基于B/S架構(gòu)，通過瀏覽器即可訪問媒體發(fā)布服務(wù)器，經(jīng)認(rèn)證進(jìn)入系統(tǒng)管理界面后，即可對系統(tǒng)進(jìn)行管理。方案一：液晶電視+媒體播放終端通過網(wǎng)絡(luò)接收來自媒體發(fā)布服務(wù)器傳送來的媒體元素，并按照設(shè)定的模版顯示格式、播放任務(wù)排程的要求進(jìn)行解碼并輸出至液晶電視上。根據(jù)應(yīng)用的不同，本次推出“陽光炫彩之星”多媒體播放終端。播放特性：播放的媒體格式：Mpeg-1、Mpeg-2，Mpeg-4，WMV，H264，RMVB，F(xiàn)LV，MOV等，支持PAL、NTSC，同時支持圖片、文字以及網(wǎng)頁信息等；支持的顯示器尺寸：顯示最大圖像分辨率：1920*1080；支持高清節(jié)目（720P、1080I）；支持復(fù)合、分量、VGA、HDMI視頻輸出；支持AV信源（數(shù)字電視、DVD等AV外來信源）接入轉(zhuǎn)播；終端自帶存儲單元，支持在線播放、離線播放；終端可選配TV模塊，支持本地有線模擬電視接入轉(zhuǎn)播。應(yīng)用特點：支持局域網(wǎng)、廣域網(wǎng)的各類應(yīng)用；支持各類CRT電視、顯示器、LCD電視、PDP電視。終端對環(huán)境要求低，支持7*24小時連續(xù)應(yīng)用，并支持戶外惡劣環(huán)境下的應(yīng)用。注：產(chǎn)品外部接口，根據(jù)機(jī)型及實際項目需求進(jìn)行調(diào)整，如有變化以實際項目需求為準(zhǔn)。產(chǎn)品特性：1.支持實時更新網(wǎng)絡(luò)信息。如：世界時間、各地天氣、航班、列車時刻、股票、基金、匯率等。2.支持多媒體交互，如：觸摸查詢、電子地圖導(dǎo)引。3.兼容會議系統(tǒng)、OA辦公系統(tǒng)。4.支持分屏顯示，可劃分多個顯示區(qū)域。5.支持分布式部署，集中化管理。6.支持定時開關(guān)機(jī)，支持定時下載、定時播放、下載限速、斷點續(xù)傳。7.支持有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)（Wifi/2G/3G/4G）。8.支持HDMI/VGA/AV/HFC（有線電視）等多種視頻信號輸入，并進(jìn)行播放。9.采用Android操作系統(tǒng)，可直接進(jìn)行網(wǎng)頁瀏覽，可安裝各種安卓應(yīng)用軟件。10.支持office軟件，如：Word、Excel、PowerPoint。11.支持MicroSD卡擴(kuò)展容量，最大支持32G高速SD卡。12.“USB接口”可連接大容量移動硬盤，并且可連接鼠標(biāo)與鍵盤進(jìn)行操作。方案二：22寸網(wǎng)絡(luò)液晶一體機(jī)產(chǎn)品特性：1.支持實時更新網(wǎng)絡(luò)信息。如：世界時間、各地天氣、航班、列車時刻、股票、基金、匯率等。2.支持多媒體交互，如：觸摸查詢、電子地圖導(dǎo)引。3.兼容會議系統(tǒng)、OA辦公系統(tǒng)。4.支持分屏顯示，可劃分多個顯示區(qū)域。5.支持分布式部署，集中化管理。6.支持定時開關(guān)機(jī)，支持定時下載、定時播放、下載限速、斷點續(xù)傳。7.支持有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)（Wifi/2G/3G/4G）。8.支持HDMI/VGA/AV/HFC（有線電視）等多種視頻信號輸入，并進(jìn)行播放。9.采用Android操作系統(tǒng)，可直接進(jìn)行網(wǎng)頁瀏覽。10.支持office軟件，如：Word、Excel、PowerPoint。11.支持SD卡擴(kuò)展容量，最大支持32G高速SD卡。12.“USB接口”可連接大容量移動硬盤，并且可連接鼠標(biāo)與鍵盤進(jìn)行操作。虛擬叫號器虛擬叫號器模塊與系統(tǒng)辦事工作人員身份識別做接口或者直接通過系統(tǒng)輸入，同步辦事工作人員的用戶名、登錄密碼，保證辦事工作人員一次登陸，即進(jìn)入系統(tǒng)及開啟虛擬叫號器。虛擬叫號器根據(jù)辦事工作人員使用習(xí)慣，隨意放置在電腦桌面任何地方。虛擬叫號器設(shè)計非常簡單，不做培訓(xùn)，任何辦事人員均可操作使用，采用鼠標(biāo)點擊方式，即可實現(xiàn)以下功能：順呼：按來辦事人員排隊隊列呼叫下一個辦事人員。順呼操作時，顯示屏同時響應(yīng)。重呼：用于對辦事人員的重復(fù)呼叫。虛擬叫號器設(shè)計了狀態(tài)提示框：包括“呼叫成功”提示，“等待一級輪詢中”提示，“已無辦事人員”提示等。設(shè)計充分人性化。虛擬叫號器界面圖如下：第一方式順序呼叫模式：第二種選擇呼叫模式：系統(tǒng)功能模塊說明系統(tǒng)設(shè)置系統(tǒng)管理系統(tǒng)基于B/S架構(gòu)，管理員無需安裝客戶端軟件，只需通過IE瀏覽器，就可以進(jìn)行認(rèn)證和訪問媒體發(fā)布服務(wù)器。系統(tǒng)可按實際需求遠(yuǎn)程設(shè)定自動開關(guān)機(jī)時間，還可設(shè)定工作日、休息日的顯示時間。系統(tǒng)支持世界各地天氣預(yù)報、時鐘等即時信息的更新顯示。系統(tǒng)支持公司LOGO標(biāo)識及同步世界時鐘的顯示與隱藏，或任意區(qū)域放置。權(quán)限管理用戶及用戶組的管理：不同的用戶隸屬在不同的用戶組中具備不同的權(quán)限，系統(tǒng)可根據(jù)實際需求，自定義不同權(quán)限的用戶組。單臺設(shè)備及設(shè)備分組的管理：系統(tǒng)可根據(jù)實際應(yīng)用中終端設(shè)備的擺放位置及播放內(nèi)容來自定義終端設(shè)備點的名稱，再依據(jù)名稱、擺放區(qū)域、結(jié)合發(fā)布顯示策略來自定義設(shè)備組名稱。以此簡化操作步驟，方便管理及維護(hù)。多級管理：系統(tǒng)具備多級管理功能，每個部門根據(jù)各自的需求，分別管理各自的設(shè)備及顯示內(nèi)容，分別獨立管理互不干擾，這樣保證了系統(tǒng)最大限度的復(fù)用性及擴(kuò)展性，方便管理及維護(hù)。監(jiān)控管理服務(wù)器狀態(tài)監(jiān)控功能：通過管理機(jī)可以實時查看到服務(wù)器工作狀態(tài)，CPU、內(nèi)存、磁盤使用狀況進(jìn)行實時監(jiān)控。終端設(shè)備監(jiān)控功能：服務(wù)器端能夠?qū)K端設(shè)備的運(yùn)行情況進(jìn)行實時監(jiān)控，并可以監(jiān)控到目前終端正在播放什么內(nèi)容，對終端設(shè)備是否正常播放狀態(tài)、網(wǎng)絡(luò)連接是否正常等進(jìn)行監(jiān)控，方便服務(wù)器端管理員對終端進(jìn)行故障判斷和問題解決。終端控制：服務(wù)器端能夠?qū)K端進(jìn)行定時開關(guān)機(jī)控制、程序控制、音量調(diào)節(jié)等，并且可以進(jìn)行終端截屏。開關(guān)機(jī)管理功能：服務(wù)器端能夠?qū)K端設(shè)備進(jìn)行開關(guān)機(jī)控制，主要是對終端軟件更新和客戶端資源管理清理時應(yīng)用。程序升級管理版本控制和升級推送功能：服務(wù)器端能對播放終端程序的版本進(jìn)行管理，并對低版本的終端程序?qū)嵭泻笈_推送方式，進(jìn)行遠(yuǎn)程升級。減少終端維護(hù)工作量，并且能更好的掌握終端的運(yùn)行情況。窗口政策信息顯示元素管理元素特指系統(tǒng)中所有要發(fā)布的媒體信息的統(tǒng)稱，元素管理是指對系統(tǒng)所能支持的文件類型及節(jié)目格式的管理。由管理員對素材進(jìn)行了相應(yīng)的查看，并對素材庫進(jìn)行相應(yīng)的管理（添加、刪除），為編制節(jié)目包準(zhǔn)備素材資源。素材文件類型包括視頻文件、音頻文件、圖片文件、文字信息、網(wǎng)頁、接口數(shù)據(jù)、字幕信息、天氣預(yù)報、時鐘、電視頻道、網(wǎng)絡(luò)組播頻道等。區(qū)分不同的文件類型，其節(jié)目格式也有所不同。模板管理內(nèi)容制作：在同一顯示畫面上，設(shè)計多個不同元素在特定的區(qū)域內(nèi)播放，有效組合從而擴(kuò)大多媒體信息同步發(fā)布容量、提高展現(xiàn)力、增加觀賞性。模版制作：對服務(wù)器端的素材庫中的素材進(jìn)行節(jié)目編排，并編制播出的內(nèi)容元素和節(jié)目播放模版。可以編制多個節(jié)目模版。節(jié)目模版定制功能：節(jié)目包由播放模板控制文件播放，播放模板包括功能分屏的定制，文件播放順序，滾動播放的時間，模板控制節(jié)目包播放的時間段。模板定制界面要便于操作使用，并且定制功能靈活。播放模板可分為固定模板或自定義模板而組成。自定義模板顯示的需求除具備上述的廣泛性外，還會根據(jù)具體環(huán)境需求具有其特殊性，因此系統(tǒng)具備自由設(shè)計多樣式模板的顯示功能，各個終端顯示設(shè)備可以分別顯示相同或不同的顯示模板界面。根據(jù)顯示屏幕的尺寸，模板可支持全屏幕、任意大小窗口、多分屏的播放效果。為兼容各種電視機(jī)制式的不同，模板可自由設(shè)計支持為4:3或16:9的顯示比例，并且保證顯示出的畫面不變形。應(yīng)用模板：任務(wù)排程管理可視化的任務(wù)單編輯、邏輯清晰、方便操作。完全仿照googlegmail、windowsoutlook設(shè)計，播放任務(wù)完全可視化，可以將任務(wù)在日歷表中（日、周、月）任意拖拉操作進(jìn)行復(fù)制、修改?？砂粗堋粗苤心硯滋?、按月、指定某天的各項循環(huán)模式，使用更加方便。可任意定制某年、某月、某天或每天固定時段的發(fā)布任務(wù)。一個任務(wù)里面可以包括一個或者多個內(nèi)容，可以細(xì)化到某個時間段播放指定的內(nèi)容。如果有特殊需要，可以立即插播，插播時不會影響主任務(wù)正常發(fā)布的有效期，待插播結(jié)束后，主任務(wù)會從斷點處繼續(xù)發(fā)布。內(nèi)容之間的無縫鏈接，為系統(tǒng)提供了完美的展現(xiàn)能力。針對單個發(fā)布點或多個發(fā)布點的任務(wù)可支持自由排程。按年、月、日、任意時段的排程查詢，快速定位到需要變更或是編輯的任務(wù)上，所見即所得。發(fā)布預(yù)覽界面圖審核管理對于已經(jīng)提交的發(fā)布任務(wù)，管理員有權(quán)對其發(fā)布內(nèi)容進(jìn)行審核，只有審核通過后的內(nèi)容才會在屏幕中播放。在系統(tǒng)界面上有“待審核任務(wù)”提示欄，可以方便管理員進(jìn)行及時的操作。審核功能界面截圖觸摸查詢信息顯示陽光多媒體綜合業(yè)務(wù)顯示系統(tǒng)中可根據(jù)用戶需要置入交互式查詢模塊，將需要進(jìn)行查詢的信息用戶自主的添加進(jìn)去，在主控式觸摸一體機(jī)上可以進(jìn)行相關(guān)信息的查詢。另外，如果不采用觸摸方式查詢，也可以通過遙控器進(jìn)行控制查詢。查詢界面預(yù)覽效果截圖取號、叫號信息顯示取號、叫號信息數(shù)據(jù)生成圖流程圖詳細(xì)說明：來辦事的人員先通過大廳門口的取號機(jī)取號，辦事人員的排號信息將在媒體發(fā)布服務(wù)器的數(shù)據(jù)庫中形成隊列表單。政務(wù)大廳窗口工作人員登陸無線叫號器，并進(jìn)行操作，將會將該叫號信息傳送到媒體發(fā)布服務(wù)器，媒體發(fā)布服務(wù)器形成新的隊列表。系統(tǒng)將最后完成的排隊表單中的號碼按要求在窗口告示屏上進(jìn)行顯示。取號信息顯示效果圖叫號信息顯示案例圖畜牧水產(chǎn)管理大數(shù)據(jù)云平臺系統(tǒng)基于本期XX單位XX云計算平臺的建設(shè)思路一一搭建基于IaaS層面的云計算平臺，如何采用云計算技術(shù)建立動態(tài)的IT資源平臺，并使之具備快速IT服務(wù)交付能力，進(jìn)而通過動態(tài)的IT架構(gòu)來應(yīng)對有關(guān)省直單位XX業(yè)務(wù)發(fā)展的需要；將應(yīng)用和業(yè)務(wù)從底層的IT資源中分離出來，提高系統(tǒng)的可移植性，并能夠充分利用更加優(yōu)化的系統(tǒng)和網(wǎng)絡(luò)資源以提高效率、降低整體成本是本期建設(shè)方案需要重點解決的問題。為此，我們建議以XX應(yīng)用系統(tǒng)為頂層架構(gòu)來搭建XX單位XX云計算資源池，它是由計算資源池、存儲資源池、網(wǎng)絡(luò)資源池、XX應(yīng)用程序以及運(yùn)營管理平臺共同組成，運(yùn)營管理平臺負(fù)責(zé)對資源池和應(yīng)用進(jìn)行管理調(diào)度及告警監(jiān)控。其組成框架如下圖所示。圖3：資源池組成框架圖以下針對XX云計算資源池的各組成部分分別進(jìn)行具體闡述。網(wǎng)絡(luò)資源池組網(wǎng)物理拓?fù)鋱DXXXX云計算平臺組網(wǎng)物理拓?fù)淙缦聢D所示：圖4：XX云計算平臺組網(wǎng)物理拓?fù)鋱D本工程新增3根移動專線接入，單根200Mpbs帶寬。一根為XX互聯(lián)網(wǎng)接入?yún)^(qū)對外提供服務(wù)用，一根用于VPN專線，一根用于XX辦公人員訪問互聯(lián)網(wǎng)使用。整個云計算平臺在組網(wǎng)設(shè)計上滿足雙網(wǎng)雙平面結(jié)構(gòu)，從網(wǎng)絡(luò)接口、網(wǎng)絡(luò)鏈路到關(guān)鍵網(wǎng)絡(luò)設(shè)備均配置冗余部件。在網(wǎng)絡(luò)接口上每臺物理服務(wù)器至少配置3張網(wǎng)卡，分別用于業(yè)務(wù)服務(wù)、虛擬化平臺宿主機(jī)管理、IP存儲系統(tǒng)互聯(lián)。業(yè)務(wù)服務(wù)網(wǎng)絡(luò)根據(jù)業(yè)務(wù)屬性不同，通過MPLSVPN劃分為公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、專用網(wǎng)絡(luò)區(qū)。虛擬化計算資源可以在不同的網(wǎng)絡(luò)區(qū)域中自由遷移。在匯聚層旁掛防火墻、隔離網(wǎng)閘、運(yùn)維審計、數(shù)據(jù)庫審計系統(tǒng)等安全設(shè)備。其中防火墻用于實現(xiàn)同一網(wǎng)絡(luò)區(qū)域中不同業(yè)務(wù)系統(tǒng)的之間的安全隔離；隔離網(wǎng)閘用于在MPLSVPN隔離的不同網(wǎng)絡(luò)區(qū)域之間進(jìn)行安全數(shù)據(jù)交換，同時用于XX和XX之間的數(shù)據(jù)安全交換。網(wǎng)絡(luò)負(fù)載均衡設(shè)計網(wǎng)絡(luò)負(fù)載均衡分鏈路負(fù)載均衡和本地負(fù)載均衡，總體邏輯示意圖如下圖所示：圖5：網(wǎng)絡(luò)負(fù)載均衡示意圖鏈路負(fù)載均衡設(shè)計如上圖所示，將移動互聯(lián)網(wǎng)專線和電信互聯(lián)網(wǎng)專線接入鏈路負(fù)載均衡器，鏈路負(fù)載均衡器通過對所有Internet鏈路進(jìn)行流量路由和控制帶寬服務(wù)水平實現(xiàn)多互聯(lián)網(wǎng)接入的高可用性。鏈路負(fù)載均衡器將多條互聯(lián)網(wǎng)線路進(jìn)行虛擬化處理，保障用戶從最好的線路訪問內(nèi)外部資源。任意一條ISP線路中斷，都不會對服務(wù)造成任何影響。通過鏈路負(fù)載均衡器可實現(xiàn)ISP接入線路的無縫擴(kuò)展。1)OutBound流量負(fù)載均衡XX辦公人員訪問互聯(lián)網(wǎng)的流量到達(dá)鏈路負(fù)載均衡器時，將通過鏈路負(fù)載均衡器多種鏈路狀態(tài)檢測結(jié)果選擇最佳出口鏈路，提升用戶體驗。2)InBound流量負(fù)載均衡為使移動用戶和電信用戶通過不同互聯(lián)網(wǎng)鏈路訪問互聯(lián)網(wǎng)接入?yún)^(qū)應(yīng)用系統(tǒng)，鏈路負(fù)載均衡器的智能DNS解析功能將不同用戶訪問的域名解析成不同的公網(wǎng)IP地址，加速應(yīng)用訪問，提升用戶體驗。本地負(fù)載均衡設(shè)計本工程新增本地負(fù)載均衡器兩臺，旁掛于匯聚交換機(jī)。實現(xiàn)對服務(wù)器的負(fù)載均衡。本地負(fù)載均衡器可以保障內(nèi)部資源的容錯性，內(nèi)部任何一個應(yīng)用節(jié)點出現(xiàn)問題都不會對用戶造成任何的影響，本地負(fù)載均衡器能夠自動的屏蔽有問題的應(yīng)用節(jié)點，讓其停止對外服務(wù)，同時把該故障節(jié)點上的用戶遷移到其他正常的節(jié)點上去。匯聚層本地負(fù)載均衡器可以虛擬成為多個設(shè)備，滿足XX不同分區(qū)的安全隔離要求。XX業(yè)務(wù)系統(tǒng)以B/S架構(gòu)為主，目前的WEB應(yīng)用都包含了大量的圖片，javascript，CSS文件等，這些文件的重復(fù)傳輸不但給服務(wù)器造成了壓力，同時也使得用戶的體驗受到了影響。本地負(fù)載均衡器通過HTTP壓縮的方式來節(jié)省帶寬以及提高訪問速度。通過靜態(tài)文件和動態(tài)文件的cache．文件壓縮，瀏覽器端文件cache控制等優(yōu)化技術(shù)，來提供對WEB應(yīng)用進(jìn)行加速，提高用戶訪問速度。使用本地負(fù)載均衡器開放的API接口可以實現(xiàn)和云計算管理平臺的集成。網(wǎng)絡(luò)虛擬化設(shè)計云計算對傳統(tǒng)網(wǎng)絡(luò)的挑戰(zhàn)傳統(tǒng)的網(wǎng)絡(luò)規(guī)劃設(shè)計依據(jù)高可靠思路，形成了冗余復(fù)雜的網(wǎng)狀網(wǎng)結(jié)構(gòu)，結(jié)構(gòu)化網(wǎng)狀網(wǎng)的物理拓?fù)湓诒３指呖煽?、故障容錯、提升性能上有著極好的優(yōu)勢，是通用設(shè)計規(guī)則。云計算的大規(guī)模運(yùn)營，給傳統(tǒng)網(wǎng)絡(luò)架構(gòu)和傳統(tǒng)應(yīng)用部署都帶來了挑戰(zhàn)，新一代網(wǎng)絡(luò)支撐這種巨型的計算服務(wù)，不論是技術(shù)革新還是架構(gòu)變化，都需要服務(wù)于云計算的核心要求，動態(tài)、彈性、靈活，并實現(xiàn)網(wǎng)絡(luò)部署的簡捷化。具體來說傳統(tǒng)網(wǎng)絡(luò)面臨的挑戰(zhàn)主要有以下幾點：一一傳統(tǒng)網(wǎng)絡(luò)的復(fù)雜性在實際的運(yùn)維中，管理人員承擔(dān)了極其繁冗的工作量；一一云計算平臺下多虛擬機(jī)部署在同一臺物理服務(wù)器上運(yùn)，服務(wù)器的利用率從20%提高到80%，服務(wù)器端口流量大幅提升，對網(wǎng)絡(luò)性能提出更高要求；一一云計算平臺中，虛擬機(jī)在物理服務(wù)器之間進(jìn)行遷移，為了避免虛擬機(jī)遷移后路由的震蕩和修改網(wǎng)絡(luò)規(guī)劃，遷移通常只在在二層域進(jìn)行，因此云計算平臺需要具備一個性能更高、二層域更大的網(wǎng)絡(luò)環(huán)境為遷移提供保障。通過分析云計算對傳統(tǒng)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)帶來的挑戰(zhàn)，我們可以從兩個方面來應(yīng)對。一是通過構(gòu)建高性能、高可靠的網(wǎng)絡(luò)，從而滿足云計算給網(wǎng)絡(luò)帶來的壓力；二是通過構(gòu)建虛擬化網(wǎng)絡(luò)來滿足云計算中由于虛擬機(jī)部署、遷移、以及安全策略實施對網(wǎng)絡(luò)提出的靈活性、安全性的要求?？偟膩碚f，為滿足云計算的業(yè)務(wù)要求，統(tǒng)一的基礎(chǔ)網(wǎng)絡(luò)要素必然包括：高性能交換、虛擬化應(yīng)用、透明化交換。高性能二層網(wǎng)絡(luò)為提供一個性能更高、二層域更大的網(wǎng)絡(luò)環(huán)境，本工程新增核心交換機(jī)和匯聚交換機(jī)通過交換機(jī)虛擬化技術(shù)（華三IRF2、思科VSS）分別虛擬成一臺邏輯設(shè)備，減少了設(shè)備節(jié)點，簡化了配置。通過跨設(shè)備鏈路聚合技術(shù)取代傳統(tǒng)部署方式中的STP+VRRP協(xié)議，使網(wǎng)絡(luò)拓?fù)渥兊煤啙崳邆涓鼜?qiáng)的擴(kuò)展性；同時，其毫秒級的故障收斂時間，為虛擬機(jī)遷移提供了更加寬松的實現(xiàn)環(huán)境。圖6：交換機(jī)橫向虛擬化經(jīng)過二層透明化改造后，云計算平臺的匯聚接入層是一個透明二層網(wǎng)絡(luò)。不同業(yè)務(wù)（虛擬服務(wù)器）接入不同的二層VLAN，但同一個業(yè)務(wù)（虛擬服務(wù)器）可以在不同網(wǎng)絡(luò)分區(qū)里靈活部署與遷移，滿足了云計算的要求；同時，匯聚層以上進(jìn)行的是VPN標(biāo)簽交換與路由轉(zhuǎn)發(fā)，又保證了不同業(yè)務(wù)（虛擬服務(wù)器）的安全隔離。網(wǎng)絡(luò)服務(wù)虛擬化為滿足不同XX分區(qū)的安全隔離要求，本項目在云計算平臺的匯聚層部署有匯聚交換機(jī)、防火墻、IPS、負(fù)載均衡器等設(shè)備。傳統(tǒng)網(wǎng)絡(luò)下，將為不同分區(qū)單獨配置一套安全設(shè)備，設(shè)備利用率低，運(yùn)維管理復(fù)雜。在云計算平臺下，通過網(wǎng)絡(luò)服務(wù)虛擬化，統(tǒng)一建設(shè)一套性能強(qiáng)大、可擴(kuò)展性良好的網(wǎng)絡(luò)服務(wù)設(shè)備，滿足為不同分區(qū)提供安全、應(yīng)用加速等服務(wù)。圖7：1：N網(wǎng)絡(luò)虛擬化技術(shù)匯聚層交換機(jī)也通過虛擬化技術(shù)多實例，每個模擬出的交換機(jī)都擁有它自身的軟件進(jìn)程、專用硬件資源（接口）和獨立的管理環(huán)境，可以實現(xiàn)獨立的安全管理界限劃分和故障隔離域。有助于將分立網(wǎng)絡(luò)整合為一個通用基礎(chǔ)設(shè)施，保留物理上獨立的網(wǎng)絡(luò)的管理界限劃分和故障隔離特性，并提供單一基礎(chǔ)設(shè)施所擁有的多種運(yùn)營成本優(yōu)勢。如下圖所示：圖8：交換機(jī)縱向虛擬化虛擬交換機(jī)技術(shù)1)VMwareVMware分布式虛擬交換機(jī)功能滿足網(wǎng)絡(luò)分區(qū)條件下，虛擬主機(jī)在線遷移等功能時，保證業(yè)務(wù)網(wǎng)絡(luò)的持續(xù)性。虛擬交換機(jī)是構(gòu)成虛擬平臺網(wǎng)絡(luò)的關(guān)鍵角色，VMware虛擬化通過VMwarevNetworkDistributedSwitch，使虛擬機(jī)跨多個主機(jī)移動時始終處于同一個VLAN內(nèi)，它為虛擬機(jī)在物理服務(wù)器之間移動時監(jiān)視和保持其安全性提供了一個框架。VMwarevNetworkDistributedSwitch示意圖如下所示：圖9：VMwarevNetworkDistributedSwitch示意圖在多網(wǎng)絡(luò)分區(qū)環(huán)境時，VMware通過虛擬交換機(jī)的VLANTRUNK，當(dāng)一個端口啟用了TRUNK功能后，就具備端口聚合的功效，會自動檢測流向此端口的所有流量，并把不同VLAN的流量導(dǎo)向物理交換機(jī)上相應(yīng)的VLAN中。在一臺ESX主機(jī)上由多個千兆網(wǎng)卡綁定在一起(組合成vSwitch)提供VM對外通訊的流量，并與物理交換機(jī)上的多個啟用了TRUNK功能的端口相連接。此時VMs分別在VLANl、VLAN2、VLAN3上，同時在物理交換機(jī)上也有同樣ID的VLAN。那么，在VLAN1中的虛擬機(jī)，就可以和與物理交換機(jī)上VLAN1中的端口相連的機(jī)器相互通訊。同時實現(xiàn)虛擬化服務(wù)器在多網(wǎng)絡(luò)分區(qū)間的動態(tài)遷移。2）XEN通過將OPENvSwitch（開放虛擬交換標(biāo)準(zhǔn)）作為其默認(rèn)組件，自xenserver5.6FPI就實現(xiàn)對虛擬交換機(jī)的支持，而且自verxenserver5.6SP2開始也實現(xiàn)了分布式的虛擬交換機(jī)功能。Xen-Motion是CitrixXenserver的動態(tài)遷移技術(shù)，當(dāng)然，該系列4款虛擬化產(chǎn)品中，目前只有最高等級的白金版和企業(yè)版才具備這項功能，至于標(biāo)準(zhǔn)版及完全免費的Express精簡版則無此項能力。不但是C

ITRIX旗下的虛擬化產(chǎn)品，其他基于Xen技術(shù)開發(fā)出來的虛擬化產(chǎn)品，例如VirtualIron，也具備相似的動態(tài)遷移功能LiveMigrate，除了免費提供的個人版之外，需要付款購買的企業(yè)版及企業(yè)加強(qiáng)版具有內(nèi)置該項功能。IP地址及DNS規(guī)劃XXXX云計算平臺新增兩個獨立網(wǎng)段，一個用于云平臺及虛擬機(jī)宿主機(jī)之間通信，一個用于云計算平臺內(nèi)IP存儲系統(tǒng)網(wǎng)互聯(lián)；業(yè)務(wù)系統(tǒng)的IP地址和NDS規(guī)劃，沿用當(dāng)前XX統(tǒng)一規(guī)劃。具體參考實施意見《XXXXIP地址規(guī)劃及管理規(guī)范》和《XX政府外網(wǎng)DNS及設(shè)備命名規(guī)范》。IP地址規(guī)劃原則XX單位XXIP地址規(guī)劃遵從國信辦和國家外網(wǎng)工程辦有關(guān)規(guī)定和指導(dǎo)意見。XXIP直至規(guī)劃原則包括：IP地址規(guī)劃主要涉及到網(wǎng)絡(luò)資源利用的方便有限的管理網(wǎng)絡(luò)的問題，公有地址相對緊張的情況下，合理有效的利用IP地址成為IP地址規(guī)劃的主要問題，合理的IP地址規(guī)劃是有利于網(wǎng)絡(luò)管理的；IP地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。對于外網(wǎng)廣域骨干網(wǎng)IP地址的分配應(yīng)該采用國家XX工程辦分配的合法地址空間，充分考慮到地址空間的合理利用，保證實現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布；IP地址的規(guī)劃和劃分應(yīng)該考慮到網(wǎng)絡(luò)的后續(xù)規(guī)模和業(yè)務(wù)上的發(fā)展，能夠滿足未來發(fā)展的需要；既要滿足本期工程對IP地址的需求，同時要充分考慮未來的業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段；IP地址的分配需要有足夠靈活性，能滿足各種用戶接入需要；地址分配是有業(yè)務(wù)驅(qū)動，按照業(yè)務(wù)量的大小分配各地的地址段；IP地址的分配必須采用VLSM(變長掩碼)技術(shù)，保證IP地址的利用效率；采用CIDR技術(shù)，這樣可以減小路由器路由表的大小，加快路由的收斂速度，也可以減小網(wǎng)絡(luò)廣播的路由信息的大??；充分合理利用已申請的地址空間，提高地址的利用效率；IP地址的規(guī)劃應(yīng)該是XX廣域骨干整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。IP地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層次相對應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃。IP地址規(guī)劃總體規(guī)劃根據(jù)國家外網(wǎng)工程辦的規(guī)定，XXXX云平臺的公用網(wǎng)絡(luò)區(qū)使用國家申請的IP地址范圍為：XXX—XXX?；ヂ?lián)網(wǎng)區(qū)供互聯(lián)網(wǎng)訪問的設(shè)備的IP目前有省電信、省移動提供外網(wǎng)地址，數(shù)量考慮上留有余地?；ヂ?lián)網(wǎng)區(qū)XX移動提供有3根互聯(lián)網(wǎng)專線，每條專線提供一個C類外網(wǎng)IP地址段，共3個C類地址段供本平臺使用。XX單位XX橫向需要互聯(lián)各個政府部門，縱向需要打通省，設(shè)區(qū)市、縣、鄉(xiāng)鎮(zhèn)（街道）四級部門單位，在外網(wǎng)地址規(guī)劃中，使用綜合地址規(guī)劃方案，采用公有地址和私有地址雙軌并行的辦法，在公有地址不夠時，允許采用私有地址作為部門單位的XX業(yè)務(wù)地址。XX承載三種不同的網(wǎng)絡(luò)業(yè)務(wù)，為了最大程度地減少不同網(wǎng)絡(luò)業(yè)務(wù)區(qū)IP地址空間的重疊，XXXXIP地址總體規(guī)劃如下：網(wǎng)絡(luò)業(yè)務(wù)區(qū)地址空間（建議的）用戶地址空間公用網(wǎng)絡(luò)區(qū)互聯(lián)網(wǎng)接入?yún)^(qū)專用網(wǎng)絡(luò)區(qū)云計算平臺管理云計算平臺存儲IP網(wǎng)絡(luò)業(yè)務(wù)地址從相應(yīng)的業(yè)務(wù)網(wǎng)絡(luò)區(qū)地址空間中劃分。DNS域名體系結(jié)構(gòu)XX單位XX升級和社區(qū)市網(wǎng)絡(luò)分別采用獨立的三級域名。域名由根域和若干個子域名用“.”連接而成，作為根域名，采用作為省網(wǎng)三級域名，采用作為各設(shè)區(qū)市三級域名。各級政府組成部門咋XX設(shè)置服務(wù)器后，應(yīng)將服務(wù)器的IP地址和對應(yīng)的域名在省電子網(wǎng)XX管中心注冊。域名以4--5段為主，原則上不超過5段。如：“主機(jī)名.單位名.”；由省數(shù)據(jù)中心建立域名（)管理中心，所有單位的域名及DNS均向XX網(wǎng)管中心域名冊；可在9個設(shè)區(qū)市市分別建立子域（)；各單位若需注冊，需在XX外網(wǎng)管理中心備案之后向國家外網(wǎng)管理中心注冊。集成智能DNS系統(tǒng)本工程新增2臺鏈路負(fù)載均衡器，實現(xiàn)智能DNS解析功能。XX互聯(lián)網(wǎng)接入?yún)^(qū)應(yīng)用系統(tǒng)的DNS域名系統(tǒng)需與鏈路負(fù)載均衡器的智能DNS系統(tǒng)進(jìn)行集成。通過對系統(tǒng)原有DNS授權(quán)域服務(wù)器配置進(jìn)行修改，將動態(tài)記錄委派到鏈路負(fù)載均衡器上進(jìn)行解析，再返回給發(fā)起DNS請求的用戶。根據(jù)解析結(jié)果引導(dǎo)用戶請求到不同的運(yùn)營商鏈路，實現(xiàn)就近訪問。網(wǎng)絡(luò)安全域劃分與隔離根據(jù)國家XX所承載的業(yè)務(wù)和系統(tǒng)服務(wù)類型的不同，在邏輯上，將國家XX劃分為公用網(wǎng)絡(luò)區(qū)（Global）、專用網(wǎng)絡(luò)區(qū)（VPN）和互聯(lián)網(wǎng)接入?yún)^(qū)（Internet）三個功能域，分別提供國家XX互聯(lián)互通業(yè)務(wù)、專用VPN業(yè)務(wù)和互聯(lián)網(wǎng)業(yè)務(wù)。圖10：XXMPLSVPN分區(qū)示意圖公用網(wǎng)絡(luò)區(qū)：采用國家XX公用地址（即從NNNIC注冊的地址）的網(wǎng)絡(luò)區(qū)域，是國家XX的主干道，實現(xiàn)各部門、各地區(qū)互聯(lián)互通，為跨地區(qū)、跨部門的業(yè)務(wù)應(yīng)用提供支撐平臺?；ヂ?lián)網(wǎng)接入?yún)^(qū)：是各級政務(wù)部門通過邏輯隔離手段安全接入互聯(lián)網(wǎng)的網(wǎng)絡(luò)區(qū)域，滿足各級政務(wù)部門公共服務(wù)業(yè)務(wù)應(yīng)用的需要。專用網(wǎng)絡(luò)區(qū)：是依托國家XX基礎(chǔ)設(shè)施，為有特定需求的部門或業(yè)務(wù)設(shè)置的VPN網(wǎng)絡(luò)區(qū)域，實現(xiàn)不同部門或不同業(yè)務(wù)之間的相互隔離，VPN網(wǎng)絡(luò)區(qū)域主要為少數(shù)部門的特定業(yè)務(wù)數(shù)據(jù)傳輸提供安全通道。通過MPLSVPN技術(shù)運(yùn)用，三個業(yè)務(wù)區(qū)之間邏輯隔離，不能互訪。升級XX數(shù)據(jù)中心分為四個區(qū)，這四個區(qū)分屬于三個業(yè)務(wù)隔離區(qū)，對應(yīng)關(guān)系如下表：某些業(yè)務(wù)系統(tǒng)需要跨公用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)部署，也有些需要跨專用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)部署，為了保證安全，需要進(jìn)行邏輯隔離，在公用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)間部署一個網(wǎng)閘，同時在專用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)也部署一個網(wǎng)閘。除以上從業(yè)務(wù)系統(tǒng)層劃分為公用網(wǎng)絡(luò)區(qū)、專用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)外，還需為云計算平臺管理和IP存儲子系統(tǒng)劃分2個獨立網(wǎng)絡(luò)區(qū)域，實現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)、管理網(wǎng)絡(luò)、IP存儲網(wǎng)絡(luò)的安全邏輯隔離。網(wǎng)絡(luò)端口資源估算關(guān)于匯聚層交換機(jī)端口配置，接入服務(wù)器建議用千兆以太網(wǎng)電口，網(wǎng)絡(luò)設(shè)備間互聯(lián)用萬兆以太網(wǎng)口。本期新增機(jī)架服務(wù)器XX臺，單臺服務(wù)器配置XX千兆以太網(wǎng)電口，共需XXX口千兆以太網(wǎng)電口，刀片服務(wù)器XX臺，占用X個刀片服務(wù)器機(jī)框，每機(jī)框?qū)ν釾X口千兆以太網(wǎng)電口，共XX口，合計連接服務(wù)器需要XXX口千兆以太網(wǎng)電口；匯聚交換機(jī)與防火墻、負(fù)載均衡器等匯聚網(wǎng)絡(luò)設(shè)備需等需要萬兆口互聯(lián)，考慮一定端口冗余，本期建議配置X臺匯聚交換機(jī)，單臺配置10/100/1000M電口不少于XX個；千兆光口不少于XX個、萬兆以太網(wǎng)光口不少于XX個并配置相應(yīng)數(shù)量多模光纖模塊。計算資源池計算資源池架構(gòu)服務(wù)器虛擬化技術(shù)很好地解決了傳統(tǒng)服務(wù)器系統(tǒng)建設(shè)的問題，通過提高物理服務(wù)器利用率大幅度消減物理服務(wù)器購置需求、數(shù)量和運(yùn)營成本；通過利用服務(wù)器虛擬化中CPU、內(nèi)存、I0資源的動態(tài)調(diào)整能力實現(xiàn)對業(yè)務(wù)應(yīng)用資源需求的動態(tài)響應(yīng)，提升業(yè)務(wù)應(yīng)用的服務(wù)質(zhì)量；通過在線虛擬機(jī)遷移實現(xiàn)更高的可用性和可靠性以及各種基于資源優(yōu)化或節(jié)能減排策略的跨物理服務(wù)器的調(diào)度等等。因此，服務(wù)器虛擬化技術(shù)是新一代數(shù)據(jù)中心最理想的解決方案。服務(wù)器虛擬化架構(gòu)設(shè)計是服務(wù)器虛擬化技術(shù)運(yùn)用的核心，直接決定了整個服務(wù)器資源體系對應(yīng)用系統(tǒng)的承載能力、運(yùn)行效率以及可靠性。XX云計算資源池由機(jī)架式服務(wù)器、刀片服務(wù)器構(gòu)成；刀片服務(wù)器通過服務(wù)器虛擬化部署一般業(yè)務(wù)系統(tǒng)和web應(yīng)用系統(tǒng)。機(jī)架式服務(wù)器用于部署管理平臺和高負(fù)載數(shù)據(jù)庫服務(wù)器等。服務(wù)器虛擬化架構(gòu)圖如下所示：圖11：XXMPLSVPN分區(qū)示意圖應(yīng)用系統(tǒng)分析經(jīng)前期需求調(diào)研分析，根據(jù)業(yè)務(wù)特點將XX平臺所承載的應(yīng)用系統(tǒng)分為大訪問量應(yīng)用系統(tǒng)、大計算量應(yīng)用系統(tǒng)、大數(shù)據(jù)量應(yīng)用系統(tǒng)三類。大訪問量應(yīng)用系統(tǒng)大訪問量應(yīng)用系統(tǒng)如政府門戶網(wǎng)站、氣象查詢等web類應(yīng)用系統(tǒng)，這類應(yīng)用的特點是業(yè)務(wù)邏輯簡單，不同業(yè)務(wù)請求互不關(guān)聯(lián)，但請求的并發(fā)量根據(jù)業(yè)務(wù)特點不同可能很大，如水利信息網(wǎng)在災(zāi)害天氣下訪問量將劇增。大訪問量應(yīng)用系統(tǒng)要求對大量互不關(guān)聯(lián)的并發(fā)請求進(jìn)行快速響應(yīng)。這種情況下，需要應(yīng)用服務(wù)器有足夠數(shù)量的線程響應(yīng)請求，而單個線程計算量不大，因而對單個CPU處理性能要求不高，可通過提供足夠CPU用服務(wù)器數(shù)量來滿足需求。XX云計算平臺通過虛擬化技術(shù)為大訪問量應(yīng)用系統(tǒng)部署是大小配置的虛擬機(jī)作為應(yīng)用服務(wù)器，多應(yīng)用服務(wù)器工作在負(fù)載均衡模式，提升用戶使用體驗。大訪問量應(yīng)用系統(tǒng)對數(shù)據(jù)庫要求不高，配置一般虛擬機(jī)即可滿足要求。大計算量應(yīng)用系統(tǒng)大計算量應(yīng)用系統(tǒng)如數(shù)字城管、GIS地理信息系統(tǒng)等復(fù)雜信息處理系統(tǒng)，這樣應(yīng)用的特點是計算量較大、運(yùn)算復(fù)雜、內(nèi)存需求大，對服務(wù)器計算性能要求高。建議配置單一高性能虛擬服務(wù)器。大計算量應(yīng)用系統(tǒng)對數(shù)據(jù)庫要求不高，配置一般虛擬機(jī)即可滿足要求。大數(shù)據(jù)量應(yīng)用系統(tǒng)大計算量應(yīng)用系統(tǒng)流動人口管理、社保管理系統(tǒng)等。根據(jù)數(shù)據(jù)庫儲存模式不同，可分為文件型和數(shù)據(jù)庫的系統(tǒng)。數(shù)據(jù)庫型大量數(shù)據(jù)量應(yīng)用系統(tǒng)要求較高性能數(shù)據(jù)庫服務(wù)器。建議配置強(qiáng)大的數(shù)據(jù)庫服務(wù)器，提供足夠的CPU、Memory及IO性能來處理大量的數(shù)據(jù)，根據(jù)應(yīng)用系統(tǒng)重要級別，數(shù)據(jù)庫服務(wù)器可以選用虛擬物理器或物理服務(wù)器，應(yīng)用服務(wù)器業(yè)務(wù)邏輯簡單，對配置要求不高，配置虛擬機(jī)即可滿足要求。文件型大數(shù)據(jù)兩應(yīng)用系統(tǒng)基礎(chǔ)數(shù)據(jù)量大，通過傳統(tǒng)的集中儲存方式，存儲并發(fā)讀寫IO能力無法滿足計算資源要求，建議通過并行計算模型實現(xiàn)。根據(jù)業(yè)務(wù)計算特點，服務(wù)器可靈活選擇虛擬機(jī)或物理服務(wù)器。計算資源池建議配置與選型建議計算資源池建議配置經(jīng)咨詢H3C、IBM、HP、微軟、紅帽、VMware等行業(yè)主流云計算常商，云計算平臺的建設(shè)，從避免浪費和規(guī)模效應(yīng)的角度考慮，最佳實踐經(jīng)驗是從50臺物理服務(wù)器的規(guī)模開始建設(shè)，然后根據(jù)實際業(yè)務(wù)發(fā)展情況按需擴(kuò)容、滾動建設(shè)。本期工程以XX單位XX的實際情況為基礎(chǔ)參照行業(yè)主流云計算廠商的建議進(jìn)行設(shè)計考慮?？紤]不同業(yè)務(wù)系統(tǒng)的負(fù)載差異，本期工程同時配置刀片服務(wù)器和機(jī)架式服務(wù)器。參考各廠商建議，用作WEB服務(wù)器時，一臺物理服務(wù)器最多可以虛擬12臺虛擬機(jī)；用作應(yīng)用服務(wù)器時，一臺物料服務(wù)器最多可以虛擬7臺虛擬機(jī).。本工程，刀片服務(wù)器按照每臺虛擬10臺虛擬機(jī)，刀片服務(wù)器虛擬化后的虛擬機(jī)建議部署一般web/應(yīng)用服務(wù)器；高性能服務(wù)器按照每臺虛擬8臺虛擬機(jī)，高性能服務(wù)器虛擬化后的虛擬機(jī)建議部署重載應(yīng)用/數(shù)據(jù)庫服務(wù)器。統(tǒng)籌考慮不同應(yīng)用系統(tǒng)對硬件資源的需求差異，建議配置刀片服務(wù)器XX套，2路機(jī)架式服務(wù)器X臺，4路機(jī)架式服務(wù)器XX臺。其中X臺2路機(jī)架式服務(wù)器用于云計算管理平臺，X臺4路機(jī)架式服務(wù)器作為測試服務(wù)器（計劃用來支持各類移動辦公等移動應(yīng)用，統(tǒng)一納入XX單位信息中心監(jiān)控管理）。計算資源池刀片服務(wù)器和4路機(jī)架式服務(wù)器組成，其中XX臺刀片服務(wù)器可以虛擬化為XXX臺虛擬機(jī)，XX臺高性能機(jī)架式服務(wù)器可以虛擬化XXX臺虛擬機(jī)，平臺共計XXX臺虛擬機(jī)。一般應(yīng)用系統(tǒng)需要web服務(wù)器、應(yīng)用服務(wù)器各2臺，采用應(yīng)用負(fù)載均衡做集群，數(shù)據(jù)庫服務(wù)器2臺做互備，共需6臺虛擬機(jī)。對于大型數(shù)量應(yīng)用，大型數(shù)據(jù)庫可直接部署在高性能物理服務(wù)器，通過多實例共享面向不同業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)庫管理平臺服務(wù)，則需4臺虛擬機(jī)和共享使用兩臺物理服務(wù)器。按此測算，本期建設(shè)規(guī)模在滿足50個部門50套應(yīng)用系統(tǒng)需求之外還能有一定的冗余，冗余的資源可以用于安裝數(shù)據(jù)備份軟件、目錄服務(wù)器、安全軟件等平臺相關(guān)軟件外，同時作為備用資源。今后還可以視實際需求增加計算資源，同步配套建設(shè)網(wǎng)絡(luò)資源、存儲資源及信息安全設(shè)備等，按照需擴(kuò)容、滾動建設(shè)的方式滿足省直部門的需求。本期新增計算資源配置如下圖表所示：此外，每臺物理服務(wù)器要求配置不少于3個千兆以太網(wǎng)電口，分別用于虛擬化平臺管理口、應(yīng)用系統(tǒng)對外提供服務(wù)、連接NAS存儲設(shè)備。未來實際應(yīng)用中，還將根據(jù)各廳局的復(fù)雜性，比如高吞吐量、高計算、高訪問量類業(yè)務(wù)系統(tǒng)對計算資源的需要進(jìn)行調(diào)整。服務(wù)器選型建議宿主機(jī)服務(wù)器架構(gòu)是虛擬化架構(gòu)的關(guān)鍵組件，也是服務(wù)器整合比例和成本分析的重要變量。宿主機(jī)服務(wù)器處理大量整合服務(wù)器的工作負(fù)載的能力會提高整合比例并有助于提供滿足需要的成本收益，以下提供二種宿主機(jī)服務(wù)器的參考架構(gòu)。宿主服務(wù)器的系統(tǒng)架構(gòu)是指對服務(wù)器硬件自身的一般分類，例如包括機(jī)架式服務(wù)器、刀片式服務(wù)器。在選在系統(tǒng)架構(gòu)時，首先要考慮的原則是每個宿主機(jī)將運(yùn)行包含多種負(fù)載的多個客戶機(jī)。處理器、內(nèi)存、存儲和網(wǎng)絡(luò)能力以及高速的I/O和低延遲都很關(guān)鍵，重要的是要保證這些分類中的每一個宿主機(jī)服務(wù)器能夠提供所需要滿足的處理能力。A）標(biāo)準(zhǔn)機(jī)架式服務(wù)器最常見的系統(tǒng)架構(gòu)是標(biāo)準(zhǔn)機(jī)架式服務(wù)器。典型的是2U或4U的型號，這些服務(wù)器一般包含2到4個CPU插座，2到8個PCI—E或PCI—X插槽，4到6個硬盤托架。由于其在2和4個插座服務(wù)器商品中的低成本，以及通過增加網(wǎng)卡和HBA插槽提供與生俱來的可擴(kuò)展性，機(jī)架式服務(wù)器是虛擬宿主機(jī)服務(wù)器的最佳選擇。B）刀片式服務(wù)器隨著對能力和服務(wù)器密度不斷增加的需求，刀片式服務(wù)器在普及程度和能力上都獲得了顯著的提高。在選擇刀片服務(wù)器時，需要考慮刀片式架構(gòu)中的每個刀片所包含CPU數(shù)及最大內(nèi)存。對于每個宿主機(jī)服務(wù)器用于支持一定數(shù)量的客戶機(jī)所需的網(wǎng)絡(luò)和存儲I/O必須加以仔細(xì)考慮，以保證刀片上運(yùn)行的每個宿主機(jī)服務(wù)器和刀片底盤自身能夠提供支持。計算資源池部署應(yīng)用服務(wù)器部署應(yīng)用服務(wù)器可部署在虛擬機(jī)系統(tǒng)（VM）和物理PC服務(wù)器。當(dāng)應(yīng)用服務(wù)器負(fù)載接近單臺物理服務(wù)器性能時，可直接部署于物理服務(wù)器，一般應(yīng)用服務(wù)器部署在虛擬機(jī)上。根據(jù)應(yīng)用系統(tǒng)的可用性要求等級不同，在虛擬機(jī)上實現(xiàn)高可用的方式有以下三種，虛擬機(jī)熱遷移，虛擬機(jī)HA，物理機(jī)HA。虛擬機(jī)熱遷移用于滿足計劃內(nèi)停機(jī)維護(hù)操作。當(dāng)服務(wù)器需要停機(jī)執(zhí)行維護(hù)操作時，可通過虛擬機(jī)熱遷移功能，將某一物理服務(wù)器上的虛擬機(jī)動態(tài)遷移至另一物理服務(wù)器。動態(tài)遷移過程，業(yè)務(wù)不中斷，不影響用戶的正常訪問。虛擬機(jī)HA用于滿足一般應(yīng)用服務(wù)器計劃外宕機(jī)。當(dāng)發(fā)生服務(wù)器故障時，通過虛擬機(jī)HA，虛擬機(jī)可在其他的物理服務(wù)器上自動重啟，實現(xiàn)故障轉(zhuǎn)移。此過程會引起短暫業(yè)務(wù)中斷，業(yè)務(wù)中斷時間由虛擬機(jī)操作系統(tǒng)在另一物理服務(wù)器上啟動的時間及應(yīng)用系統(tǒng)啟動的時間決定。通過虛擬機(jī)HA比傳統(tǒng)群集較少一半的服務(wù)器數(shù)量，在保證了一定高可用的同時提高資源利用率。對于直接部署在物理服務(wù)器的應(yīng)用系統(tǒng)，可通過高可用群集軟件提供可用性保證。在windows系統(tǒng)可配置MSCS群集，在redhatLinux操作系統(tǒng)可配置VCS群集。通過部署高可用群集，在確保在物理服務(wù)器故障或應(yīng)用故障時，進(jìn)行快速的故障轉(zhuǎn)移，減小并消除業(yè)務(wù)中斷帶來的負(fù)面影響。為了能夠提供具有更高可擴(kuò)展性和可靠性的應(yīng)用平臺，并能夠在服務(wù)器集群中只能地分配負(fù)載，從而確保客戶最大限度地發(fā)揮其應(yīng)用服務(wù)器投資價值，結(jié)合硬件負(fù)載均衡設(shè)備，為部署在應(yīng)用服務(wù)器上的服務(wù)和應(yīng)用提供最佳的可擴(kuò)展性和性能。關(guān)鍵數(shù)據(jù)庫部署數(shù)據(jù)庫服務(wù)區(qū)作為業(yè)務(wù)系統(tǒng)的數(shù)據(jù)處理平臺，對服務(wù)區(qū)的I/O處理能力、內(nèi)存、CPU等有較高要求的，建議采用高性能機(jī)架式服務(wù)器部署，不同的業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫可通過多實例進(jìn)行共享同一物理服務(wù)區(qū)群集。對服務(wù)器性能要求一般的數(shù)據(jù)庫管理系統(tǒng)可部署在虛擬機(jī)上。數(shù)據(jù)庫服務(wù)器做業(yè)務(wù)系統(tǒng)的核心節(jié)點，為了保障其的高可用性，建議至少使用2臺物理服務(wù)器或2臺虛擬機(jī)做HA。部署虛擬機(jī)上數(shù)據(jù)庫管理系統(tǒng)可通過ApplicationHA保證其高可用；部署于物理服務(wù)器的數(shù)據(jù)庫管理系統(tǒng)可通過VCS、MSCS或數(shù)據(jù)庫管理系統(tǒng)自帶群集軟件（RAC）實現(xiàn)其高可用。虛擬化軟件選型分析目前主流虛擬化平臺（Hypervisor）主要有以下四種，分別是VMwarevSphere、MicroSoftHyper-V、KVM和Xen。其中KVM和Xen為開源產(chǎn)品。目前部分廠商根據(jù)開源Xen開發(fā)出自己的虛擬平臺，如Critix公司的XenServer。從虛擬化軟件的成熟度來看，VMware經(jīng)多年的市場經(jīng)驗，產(chǎn)品成熟穩(wěn)定、功能也最為強(qiáng)大。開源KVM、開源XEN來源于開源社區(qū)，功能單一；基于開源Xen的CitrixXenServer，其功能、穩(wěn)定性、可靠性優(yōu)于開源Xen。XX虛擬化平臺的建設(shè)充分考慮產(chǎn)品的成熟性、穩(wěn)定性和開放性。通過以上比較分析，VMware產(chǎn)品成熟、功能完善，為目前虛擬化市場的主流產(chǎn)品，但其采購成本較高；基本開源Xen的部分國產(chǎn)產(chǎn)品功能不及VMware，但具有更好的性價比，作為國產(chǎn)虛擬化平臺，其安全性也更有保證。充分考慮技術(shù)成熟度和開放性，本項目建議配置VmwareXX套、國產(chǎn)開源虛擬化軟件XXX套，建成一個穩(wěn)定、開放、支持異構(gòu)的基礎(chǔ)虛擬化平臺。當(dāng)前關(guān)鍵應(yīng)用建議部署在成熟穩(wěn)定的VMware虛擬化平臺上，非關(guān)鍵應(yīng)用及測試環(huán)境可部署于國產(chǎn)開源虛擬化平臺上。隨著國產(chǎn)虛擬化平臺的逐步成熟，在后續(xù)擴(kuò)容中將逐步減少VMware在XX云計算平臺的比重。虛擬化管理平臺本期計算資源池采用X86服務(wù)器，虛擬化平臺管理軟件需實現(xiàn)高可用性、動態(tài)遷移，對整個應(yīng)用架構(gòu)實現(xiàn)統(tǒng)一的安全控制和權(quán)限管理。目前X86虛擬化平臺管理軟件主要有兩大類：一類為虛擬化平臺原廠提供的。如VMware虛擬化管理平臺VMwarevCenter、CitrixXenServer虛擬化管理平臺XenCenter、Hyper-V虛擬化管理平臺Azure，RedhatKTM管理平臺redhatRHEVM的。各廠商的虛擬化管理平臺均可較好地管理自家虛擬化平臺，管理平臺開放必要的API接口。但是各個廠商均只能管理自己的Hypervisor，不能管理其它廠商的Hypervisor。另一類是由第三方廠商提供的。如移動大云等，這等虛擬化平臺管理軟件的優(yōu)點是可以實現(xiàn)多家虛擬化平臺的統(tǒng)一管理，但在專用性方面不如各原廠提供的管理軟件。容災(zāi)方案說明根據(jù)設(shè)計原則分布實現(xiàn)云平臺系統(tǒng)的容災(zāi)方案：1、第一步實現(xiàn)云平臺存儲級容災(zāi)系統(tǒng)，通過新購虛擬存儲網(wǎng)關(guān)，整合現(xiàn)有異構(gòu)SAN存儲資源池，存儲結(jié)構(gòu)化數(shù)據(jù)，實現(xiàn)存儲虛擬化功能，并可滿足數(shù)據(jù)遷移、容災(zāi)等功能，實現(xiàn)容災(zāi)。該步驟實現(xiàn)又可分為兩步走，即先建立同城同步容災(zāi)，再建立城際兩地三中心的容災(zāi)。在容災(zāi)中心新購買一套虛擬存儲網(wǎng)關(guān)，容災(zāi)中心的存儲設(shè)備可以與生產(chǎn)中心同構(gòu)或異構(gòu)，通過光纖交換機(jī)構(gòu)成一個基于存儲區(qū)域網(wǎng)(SAN)的基礎(chǔ)架構(gòu)平臺。不僅提供容災(zāi)系統(tǒng)使用，也是容災(zāi)中心的統(tǒng)一SAN平臺。在容災(zāi)中心存儲上按照生產(chǎn)中心實際存儲部署情況，依照存儲性能相同的原則進(jìn)行存儲設(shè)備的邏輯劃分，每臺存儲設(shè)備分別連接到2臺光纖交換機(jī)上，這久保證了存儲設(shè)備在整個鏈路上冗余、不存在單點故障。在同城容災(zāi)方案中通過虛擬存儲網(wǎng)關(guān)同步復(fù)制技術(shù)，由虛擬存儲網(wǎng)關(guān)將生產(chǎn)中心的數(shù)據(jù)實時復(fù)制到容災(zāi)中心，確保生產(chǎn)中心的各種數(shù)據(jù)能同步復(fù)制到容災(zāi)中心的存儲上。在兩地三中心或兩站地城際容災(zāi)方案中通過虛擬存儲網(wǎng)關(guān)異步復(fù)制技術(shù)，準(zhǔn)時將生產(chǎn)中心數(shù)據(jù)復(fù)制到容災(zāi)中心，災(zāi)難發(fā)生時僅涉及數(shù)十秒的數(shù)據(jù)丟失?？赏瑫r在容災(zāi)中心配置兩臺服務(wù)器，進(jìn)行數(shù)據(jù)驗證工作。利用虛擬存儲網(wǎng)關(guān)快照功能對容災(zāi)中心的復(fù)制數(shù)據(jù)（只讀）產(chǎn)生快照卷，掛載到驗證服務(wù)器上進(jìn)行訪問驗證。2、第二步實現(xiàn)云平臺應(yīng)用級容災(zāi)。在容災(zāi)中心配置相應(yīng)的服務(wù)器池鏈接容災(zāi)存儲。當(dāng)災(zāi)難發(fā)生或進(jìn)行災(zāi)難恢復(fù)演練時，停止容災(zāi)復(fù)制關(guān)系后，容災(zāi)中心服務(wù)器池的虛擬機(jī)可以訪問容災(zāi)數(shù)據(jù)并接管生產(chǎn)。制定接管計劃，包括人員支持，網(wǎng)絡(luò)支持，恢復(fù)計劃，演練計劃等，建立完善的全人工干預(yù)接管機(jī)制。3、第三步結(jié)合云平臺管理和業(yè)界自動化遠(yuǎn)程容災(zāi)軟件實現(xiàn)高度自動化的容災(zāi)體系，爭取實現(xiàn)數(shù)小時內(nèi)的容災(zāi)接管能力。云計算管理平臺云計算管理平臺包括云資源管理平臺、云連營管理平臺、網(wǎng)絡(luò)管理平臺。云資源管理平臺包括IT基礎(chǔ)架構(gòu)中的物理資源和虛擬資源的管理，其中虛擬計算資源的管理集成廠商的云平臺；云運(yùn)營管理平臺含業(yè)務(wù)管理模塊和運(yùn)營管理模塊。云計算管理平臺總體架構(gòu)如下：圖12：云管理平臺架構(gòu)圖云資源管理平臺建設(shè)方案整個復(fù)雜的云計算架構(gòu)中，必須通過一個強(qiáng)大的管理平臺來實現(xiàn)對硬件資源的整合和虛擬化，對功能服務(wù)器的模板制作與部署，對云計算資源進(jìn)行啟動、停止、刪除、回收等，對整個云計算平臺運(yùn)行性能進(jìn)行實時監(jiān)控和日志報告等功能，同時還實現(xiàn)用戶交換接口，用戶可以方便地登錄到云計算平臺，申請各種硬件資源和中間件資源，啟動、停止自己功能服務(wù)器功能。這樣打破了業(yè)務(wù)應(yīng)用對資源的=獨占的方式，實現(xiàn)硬件資源和軟件資源的統(tǒng)一管理、統(tǒng)一分配、統(tǒng)一部署、統(tǒng)一監(jiān)控和統(tǒng)一備份。考慮到XX中的3個區(qū)（專用網(wǎng)絡(luò)區(qū)、公共網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)）之間是通過MPLSVPN相關(guān)隔離，為了實現(xiàn)云計算平臺對3個區(qū)的統(tǒng)一管理，我們建議將宿主機(jī)的管理口（統(tǒng)一設(shè)置宿主機(jī)上某一個單獨物理網(wǎng)卡用于云計算管理平臺對虛擬機(jī)的管理通訊）進(jìn)行統(tǒng)一VLAN規(guī)劃，通過此方式可以實現(xiàn)不同分區(qū)的虛擬機(jī)在同一個資源組中遷移和統(tǒng)一管理。云資源管理平臺主要由以下兩個模塊組成：云資源管理系統(tǒng)云計算服務(wù)Portal。圖13：云資源管理功能模塊圖云資源管理系統(tǒng)云資源管理系統(tǒng)其通過虛擬化技術(shù)和基于策略的自動化管理技術(shù)，構(gòu)成虛擬化資源池，實現(xiàn)對物理資源、虛擬資源的統(tǒng)一管理和分配。云資源管理系統(tǒng)架構(gòu)需要實現(xiàn)功能：1、設(shè)備管理提供對物理設(shè)備的接入和管理功能，包括設(shè)備發(fā)現(xiàn)展示、配置部署、告警上報等。2、虛擬適配層提供對不同虛擬層（VMM）的適配、集成能力，如VMware、Xen、KVM、Hyper-V等，對上層屏蔽不同虛擬層差異，提供統(tǒng)一的虛擬化管理接口。3、云適配層提供對不同云資源的適應(yīng)能力，實現(xiàn)公有云和私有云資源的統(tǒng)一管理能力。4、虛擬化資源池管理實現(xiàn)計算、存儲和網(wǎng)絡(luò)的虛擬化和資源統(tǒng)一管理。5、資源池調(diào)度提供資源動態(tài)分配，動態(tài)耗能管理、調(diào)度策略管理、資源池高可用性和備份恢復(fù)等功能。6、資源池服務(wù)對外提供基礎(chǔ)資源池服務(wù)能力，如動態(tài)伸縮、負(fù)載均衡等。7、對外接口對外提供標(biāo)準(zhǔn)的接口和能力，供上層業(yè)務(wù)或解決方案集成。8、管理系統(tǒng)運(yùn)資源池的統(tǒng)一管理維護(hù)功能，如用戶管理、日志管理、告警和性能監(jiān)控。其功能特性：1、資源池統(tǒng)一管理和高效利用物理機(jī)、虛擬機(jī)統(tǒng)一管理和調(diào)度采用虛擬計劃技術(shù)、分布式計算和存儲等技術(shù)，實現(xiàn)資源的池化管理。云計算平臺管理系統(tǒng)不僅能管理虛擬機(jī)，也能管理物理機(jī)，各種資源通過統(tǒng)一的對外接口進(jìn)行管理和調(diào)度。圖14：資源池管理示意圖1圖15：資源池管理示意圖2動態(tài)節(jié)能云計算平臺管理系統(tǒng)通過對業(yè)務(wù)忙閑交錯和峰谷交錯的特點分析，通過將閑的、處于低谷的業(yè)務(wù)進(jìn)行遷移，從而清理出一些機(jī)器將其關(guān)閉，達(dá)到節(jié)能的效果。圖16：資源池管理示意圖32、自動化部署能力物理設(shè)備自動發(fā)現(xiàn)，即插即用物理設(shè)備從接入資源池到納入資源池統(tǒng)一管理的過程自動化實現(xiàn)，將需要人工干預(yù)的工作降至最低。圖17：自動化部署示意圖1系統(tǒng)軟件和業(yè)務(wù)軟件自動安裝部署能力支持系統(tǒng)軟件和業(yè)務(wù)的自動安裝部署，包括部署設(shè)計、執(zhí)行，軟件源管理，鏡像創(chuàng)建，鏡像生命周期管理等。流程化的部署計劃，支持部署模塊和快速部署能力。在業(yè)務(wù)部署過程中，支持業(yè)務(wù)各網(wǎng)元親和關(guān)系定義，避免將具有1+1、N+1等關(guān)系的網(wǎng)元部署在相同的物理設(shè)備上，進(jìn)一步實現(xiàn)業(yè)務(wù)的高可靠部署。圖18：自動化部署示意圖2開放的接口和二次開發(fā)能力云計算平臺管理系統(tǒng)的自動部署功能提供開放的二次開發(fā)接口，業(yè)務(wù)系統(tǒng)可以基于該接口制作符合業(yè)務(wù)要求的軟件源和安裝腳本，實現(xiàn)業(yè)務(wù)自動部署。3、資源池高可用性虛擬機(jī)故障遷移當(dāng)監(jiān)控到某臺虛擬機(jī)宕機(jī)時，自動將其遷移其它到其它物理機(jī)上重新拉起。物理機(jī)故障遷移當(dāng)整臺物理機(jī)宕機(jī)時，自動將其上所有虛擬機(jī)遷移到其它借用的物理主機(jī)上重新拉起。圖19：資源池高可用性示意圖靈活的備份恢復(fù)云計算平臺管理系統(tǒng)提供虛擬機(jī)備份策略的靈活定制功能，包括：備份范圍：全備份（VM完整備份）、增量備份（僅備份上次備份以來發(fā)生變化的數(shù)據(jù)）備份周期：每天、每周、每月備份保存時間可配置4、基于業(yè)務(wù)的只能管控能力和接口自動化的資源調(diào)度，實現(xiàn)資源的自組織、自管理，減少人工干預(yù)。通過采集業(yè)務(wù)運(yùn)行數(shù)據(jù)，基于一定的分析模型和算法，建立業(yè)務(wù)運(yùn)行特性模型，從多個維度對業(yè)務(wù)運(yùn)行情況進(jìn)行分析和監(jiān)控。采集的數(shù)據(jù)同時作為后續(xù)業(yè)務(wù)調(diào)度基礎(chǔ)，實現(xiàn)資源只能調(diào)度。資源池對業(yè)務(wù)開放標(biāo)準(zhǔn)的接口和能力，業(yè)務(wù)可以基于資源能力定制業(yè)務(wù)管理和調(diào)度策略。5、高性能、高安全通過存儲大內(nèi)存Cache技術(shù)、高性能分布式存儲算法、QoS保證等滿足業(yè)務(wù)系統(tǒng)的高性能要求。通過網(wǎng)絡(luò)隔離、系統(tǒng)加固、漏洞檢測、數(shù)據(jù)加密、用戶認(rèn)證鑒權(quán)等滿足業(yè)務(wù)系統(tǒng)的高安全性要求。云資源服務(wù)門戶云資源服務(wù)門戶Portal是一套向內(nèi)部虛擬化系統(tǒng)的自動化管理系統(tǒng)，覆蓋虛擬機(jī)部署、審批、運(yùn)行、回收整個流程。提供了易于使用的Web界面可實現(xiàn)依照策略自動化部署虛擬機(jī)（VM），簡化虛擬機(jī)請求和審批流程，跟蹤和控制虛擬機(jī)，其運(yùn)營流程如下圖所示。圖20：運(yùn)營流程圖其管理角色和功能應(yīng)具備包括如下方面：門戶角色及功能簡介用戶角色圖21：CCP用戶流程登錄Web頁面，請求虛擬機(jī)（可批量）并確定請求狀態(tài)。查詢所屬的虛擬機(jī)，并進(jìn)行基本控制（包括開機(jī)、關(guān)機(jī)、遠(yuǎn)程控制、監(jiān)控性能等）。提交虛擬機(jī)服務(wù)器的擴(kuò)容（如CPU、內(nèi)存、磁盤）申請并確定請求狀態(tài)。管理員角色圖22：管理員視圖查看用戶請求（包括新增虛擬機(jī)/變更虛擬機(jī)性能）的詳細(xì)信息，并決定是接受還是拒絕請求。管理賬號（可以便捷的增加用戶和管理員的賬號信息）。查看任一虛擬機(jī)運(yùn)行狀態(tài)查詢?nèi)罩竞途S護(hù)其他配置。云資源使用流程簡介虛擬資源申請流程圖23：資源變更流程圖下面以某一省直單位，如水利廳申請臺風(fēng)預(yù)測預(yù)報系統(tǒng)上線，結(jié)合云計算業(yè)務(wù)運(yùn)營流程如下：最終用戶（水利廳）在云計算平臺上申請?zhí)摂M資源，虛擬資源包括：虛擬機(jī)配置及虛擬機(jī)數(shù)量；數(shù)據(jù)庫類型及數(shù)據(jù)庫存儲空間大小、網(wǎng)絡(luò)互聯(lián)要求。申請?zhí)峤缓筮M(jìn)入云計算運(yùn)營平臺審批流程，由發(fā)改委經(jīng)信中心對最終用戶（水利廳）提出資源申請進(jìn)行審核。確認(rèn)云計算平臺滿足所提需求后通過審批，由云計算平臺執(zhí)行自動部署生成用戶所需業(yè)務(wù)系統(tǒng)基礎(chǔ)架構(gòu)，業(yè)務(wù)系統(tǒng)基礎(chǔ)架構(gòu)包括虛擬機(jī)及操作系統(tǒng)環(huán)境、網(wǎng)絡(luò)互聯(lián)環(huán)境、數(shù)據(jù)庫環(huán)境。自動部署完成后，系統(tǒng)自動通過郵件或短信等其他方式通知最終用戶（水利廳）。最終用戶（水利廳）通過用戶自助門戶登錄虛擬機(jī)進(jìn)行業(yè)務(wù)系統(tǒng)部署、測試，直至業(yè)務(wù)系統(tǒng)（臺風(fēng)預(yù)測預(yù)報系統(tǒng)）上線的所有工作。云運(yùn)營管理平臺建設(shè)方案運(yùn)營管理是云計算服務(wù)提供的關(guān)鍵環(huán)節(jié)，任何一項業(yè)務(wù)的成功開展都離不開運(yùn)營管理系統(tǒng)的支撐。云計算運(yùn)營管理平臺的設(shè)計應(yīng)遵循了如下的原則，即：立足現(xiàn)有應(yīng)用和業(yè)務(wù)發(fā)展需求，兼顧未來的應(yīng)用擴(kuò)展，采用分層次、冗余、分布式的軟、硬件體系結(jié)構(gòu)以保證系統(tǒng)安全、可靠、現(xiàn)金、易擴(kuò)充性。運(yùn)營管理平臺采用分布式、模塊化結(jié)構(gòu)，具有良好的可擴(kuò)展性和集成性，應(yīng)包含如下模塊：業(yè)務(wù)管理模塊、運(yùn)營管理模塊、業(yè)務(wù)運(yùn)營門戶。其系統(tǒng)架構(gòu)設(shè)計如下：圖24：云管理平臺系統(tǒng)架構(gòu)圖業(yè)務(wù)管理模塊系統(tǒng)采用以服務(wù)為基礎(chǔ)，以產(chǎn)品類別為核心的業(yè)務(wù)管理模式：一個業(yè)務(wù)包括多個服務(wù)、產(chǎn)品或者套餐；一個產(chǎn)品由多個服務(wù)組成；服務(wù)有各自的服務(wù)類別；套餐由產(chǎn)品組成；提供給用戶=｛產(chǎn)品，服務(wù)，套餐｝。支持添加、修改、刪除服務(wù)：包括服務(wù)的名稱，描述；支持添加、修改、刪除服務(wù)級別：包括服務(wù)級別的名稱，描述狀態(tài)等信息；支持添加、修改、刪除產(chǎn)品：選擇相關(guān)的服務(wù)組合成為先的產(chǎn)品及其它的查詢等管理功能；具體框架設(shè)計邏輯圖如下圖所示：圖25：框架設(shè)計邏輯圖針對運(yùn)業(yè)務(wù)實際情況，可以參考定義如下運(yùn)營產(chǎn)品：1）虛擬主機(jī)出租各業(yè)務(wù)系統(tǒng)使用者依照系統(tǒng)對設(shè)備的需求，進(jìn)行訂購所需配置的虛擬機(jī)，并能通過互聯(lián)網(wǎng)訪問&使用訂購的虛擬機(jī)，依照實際資源使用情況付費，使用者不需要對虛擬機(jī)進(jìn)行日常維護(hù)，從而大幅度減低采購成本和維護(hù)成本和運(yùn)營時成本。鑒于本項目資源供省直部門免費使用10年，有關(guān)計費部分暫無實際付費的要求，僅作統(tǒng)計參考，下同，不另贅述?？梢砸詢?nèi)部結(jié)算的方案，以租用虛擬機(jī)的時間進(jìn)行收費，建議支持三種形式：計費類型計費單位說明包月元/月客戶租用一月所需要的租用費用包季元/季客戶租用一季度所需要的租用費用包年元/年客戶租用一年所需要的租用費用2）在線存儲各業(yè)務(wù)系統(tǒng)使用者可以依照自身的業(yè)務(wù)需求，進(jìn)行訂購存儲空間。通過Web方式將文件批量上傳、下載文件。使用者還可以在線對microsoftoffice系列文檔進(jìn)行編輯，在線播放音頻文件視頻文件，在線預(yù)覽圖片。使用者可以在線維護(hù)管理存儲空間。以租用在線存儲空間的時間進(jìn)行計費，建議支持三種形式：計費類型計費單位說明包月元/月客戶租用一月所需要的租用費用包季元/季客戶租用一季度所需要的租用費用包年元/年客戶租用一年所需要的租用費用3）在線備份云計算平臺還可提供數(shù)據(jù)在線備份功能，對于不在云中心運(yùn)行的系統(tǒng)進(jìn)行遠(yuǎn)程在線備份。各業(yè)務(wù)系統(tǒng)使用者將需要備份的數(shù)據(jù)依照客戶定義的策略自動傳輸?shù)竭h(yuǎn)程云存儲空間中。但災(zāi)難發(fā)生了，使用者可以從遠(yuǎn)程云存儲空間中將指定備份時間點的備份數(shù)據(jù)下載到本地或者業(yè)務(wù)服務(wù)器進(jìn)行還原恢復(fù)。以租用在線備份空間的時間進(jìn)行計費，建議以下三種形式：計費類型計費單位說明包月元/月客戶租用一月所需要的租用費用包季元/季客戶租用一季度所需要的租用費用包年元/年客戶租用一年所需要的租用費用運(yùn)營管理模塊運(yùn)營管理模塊的功能應(yīng)包括客戶的基本信息管理，客戶的訂購關(guān)系管理（包括客戶的計費管理），機(jī)房維護(hù)及OA管理，工單流程管理，統(tǒng)計與查詢管理，系統(tǒng)管理等。各模塊功能介紹如下：客戶管理（客戶/業(yè)務(wù)/合同/賬戶）：為支持用戶全年的財務(wù)管理需求，引入賬戶合同。以業(yè)務(wù)為中心，客戶、賬戶和合同為基礎(chǔ)的資料管理完全滿足了用戶對業(yè)務(wù)信息查詢，更新等的需求。業(yè)務(wù)管理：以客戶訂購關(guān)系為核心，直觀呈現(xiàn)客戶的訂購業(yè)務(wù)及業(yè)務(wù)所對應(yīng)的資源的關(guān)系，與此同時，還對客戶所訂購業(yè)務(wù)的計費信息做處理，幫助管理人員從全局把握云計算平臺的運(yùn)營情況，輔助決策者及時制定新的工作重點與發(fā)展方向。機(jī)房維護(hù)及OA管理：為了更好的維護(hù)機(jī)房，本模塊提供了對機(jī)房的出入、巡檢、值班等的管理，同時為了更好地讓相關(guān)的業(yè)務(wù)部門，運(yùn)維部門更高效地開展工作，本模塊提供了對云計算平臺相關(guān)部門間的通訊錄管理，會議管理，公告管理，考勤管理，資料管理等。工單流程管理：工單是驅(qū)動云計算平臺業(yè)務(wù)部門和運(yùn)維部分協(xié)同工作的根本，本模塊提供了業(yè)務(wù)預(yù)受理、業(yè)務(wù)變更、施工、問題咨詢、故障處理等不同的工單類型來滿足業(yè)務(wù)的開展需要。統(tǒng)計與查詢管理：提供豐富的報表模板，可以生成各種業(yè)務(wù)報表；提供無限制的信息訪問能力，結(jié)合信息采集，形成從業(yè)務(wù)到運(yùn)營，從管理到服務(wù)的各類報表。提供豐富的查詢方法，便于客戶、業(yè)務(wù)員、管理人員和運(yùn)營人員全面了解的業(yè)務(wù)和資源運(yùn)行情況；系統(tǒng)管理（權(quán)限/配置/日志）：系統(tǒng)提供詳盡的日志記錄，記錄了所有的用戶操作，設(shè)置登錄，推出系統(tǒng)的信息?？蛻艄芾砜蛻粜畔⑹窃朴嬎闫脚_重要的財富?；凇叭龖簟暗脑O(shè)計原則，我們提供了對客戶基本信息（客戶）、客戶的聯(lián)系人（用戶），客戶的銀行賬戶（賬戶）等信息的管理，在此基礎(chǔ)上，還整合提供了客戶的合同，客戶訂購的業(yè)務(wù)，客戶占用的資源，客戶的計費信息，客戶的各類工單信息等?？蛻粜畔⒐芾砭唧w功能應(yīng)包括：添加、修改客戶信息；設(shè)定客戶聯(lián)系人；設(shè)定客戶地址；設(shè)定客戶的代理商；為客戶添加業(yè)務(wù)；查看客戶的業(yè)務(wù)信息；添加、修改合同信息；查看合同的業(yè)務(wù)和賬戶信息；添加、修改賬戶信息；查看賬戶的合同和聯(lián)系人信息；添加代理商信息；查看代理商的客戶信息；同時，系統(tǒng)還提供了客戶業(yè)務(wù)的查詢統(tǒng)計，具體包括：客戶數(shù)量統(tǒng)計；客戶數(shù)量變化統(tǒng)計；業(yè)務(wù)數(shù)量統(tǒng)計。業(yè)務(wù)管理云計算平臺運(yùn)營的主要是各類資源，資源包裝為服務(wù)、產(chǎn)品和套餐之后再打包提供給客戶，對云計算平臺運(yùn)營來說，客戶的訂購關(guān)系就是業(yè)務(wù)管理的核心。本系統(tǒng)通過業(yè)務(wù)發(fā)展點的概念，提供了無縫的業(yè)務(wù)擴(kuò)展模式。從全省的角度來看，業(yè)務(wù)發(fā)展點可以理解為云計算平臺在不同的地區(qū)設(shè)置的業(yè)務(wù)開展的窗口；各業(yè)務(wù)發(fā)展點業(yè)務(wù)開展，受上級業(yè)務(wù)發(fā)展點和頂級業(yè)務(wù)發(fā)展點的共同指導(dǎo)；支持代理模式/營業(yè)廳開展業(yè)務(wù)。如下圖所示：圖26：用戶關(guān)系圖本模塊還應(yīng)提供了對客戶訂購業(yè)務(wù)的計費管理，系統(tǒng)全面引入帳務(wù)管理功能，在資料上通過完善的數(shù)據(jù)保障帳務(wù)功能的實現(xiàn)，以產(chǎn)品一服務(wù)一服務(wù)級別一帳目這樣的關(guān)系保障費率定義的靈活。系統(tǒng)的業(yè)務(wù)基礎(chǔ)是服務(wù)，每種服務(wù)具有不同的帳目類型。系統(tǒng)提供四種帳目類型：系統(tǒng)帳目類型，一次性帳目類型，租費帳目類型和使用費帳目類型。用戶可以針對服務(wù)的不同級別定義不同的費率，配合帳務(wù)周期的定義，全面支持帳務(wù)管理。3）機(jī)房維護(hù)及OA管理為了更好地維護(hù)云計算平臺機(jī)房，同時為了更好地讓相關(guān)的業(yè)務(wù)部門，運(yùn)維部門更高效地開展工作，系統(tǒng)應(yīng)提供值班管理、出入管理、會議管理、通信錄管理、文檔管理及公告管理、巡檢管理、密碼管理等功能。4）工單流程管理對業(yè)務(wù)流程的管理是業(yè)務(wù)管理系統(tǒng)的核心。通過流程管理，系統(tǒng)將其他的功能模塊有機(jī)的結(jié)合起來，實現(xiàn)對云計算平臺日常的運(yùn)行維護(hù)的集成化管理。下圖說明了在云計算平臺的各業(yè)務(wù)流程中參與用戶與流程之間的關(guān)系：圖27：工單流程圖借助工作流（電子工單）用戶可以有效的聯(lián)系各個部門，快速、高效的完成客戶的業(yè)務(wù)請求。系統(tǒng)根據(jù)業(yè)務(wù)流程管理的實際需求，建立了滿足絕大多數(shù)用戶業(yè)務(wù)開展的，簡潔，可靠，易用的工作流模型。5)統(tǒng)計與查詢管理●設(shè)備使用情況統(tǒng)計：包括設(shè)備總數(shù)，設(shè)備空閑數(shù)，設(shè)備使用情況明細(xì)等，用戶可以一目了然掌握資源使用情況；●高速，快捷的查詢功能；●用戶可以通過客戶名稱或者IP查詢到客戶業(yè)務(wù)資源使用情況，迅速定位客戶的設(shè)備位置，配置等。6)系統(tǒng)管理對于不同的層次設(shè)置不同的用戶角色，對于云計算業(yè)務(wù)管理機(jī)構(gòu)來說有以下角色：管理員：負(fù)責(zé)在系統(tǒng)中處理所有與商務(wù)相關(guān)的操作，包括設(shè)置費率、創(chuàng)建用戶等。管理員相當(dāng)于操作系統(tǒng)系統(tǒng)中的超級用戶，一般用于實施系統(tǒng)和緊急維護(hù)時使用，在日常工作中不推薦使用。業(yè)務(wù)員：負(fù)責(zé)推廣和銷售云計算平臺平臺，發(fā)展和維護(hù)客戶云計算平臺負(fù)責(zé)人：可以查看運(yùn)維、銷售和財務(wù)的所有信息。負(fù)責(zé)對業(yè)務(wù)員的績效考核。財務(wù)人員：負(fù)責(zé)核對業(yè)務(wù)銷售金額、財務(wù)登帳、收費、銷帳等財務(wù)相關(guān)操作。機(jī)房運(yùn)營人員：負(fù)責(zé)實現(xiàn)所有業(yè)務(wù)和業(yè)務(wù)運(yùn)維。運(yùn)維負(fù)責(zé)人：負(fù)責(zé)查看和監(jiān)視運(yùn)維任務(wù)的執(zhí)行，當(dāng)業(yè)務(wù)流程中斷時可以重新指定運(yùn)維業(yè)務(wù)執(zhí)行人。普通用戶(使用者):可以模擬用戶查看服務(wù)信息。業(yè)務(wù)運(yùn)營門戶云計算平臺運(yùn)營門戶是為客戶提供統(tǒng)一服務(wù)的在線平臺，在此平臺上，可以進(jìn)行各類服務(wù)的在線自服務(wù)，以及所訂購業(yè)務(wù)的在線監(jiān)控。為客戶提供一個統(tǒng)一的在線的服務(wù)體驗。具體的功能介紹如下：1)產(chǎn)品及增值服務(wù)訂購云計算平臺的產(chǎn)品主要可分為基礎(chǔ)產(chǎn)品和增值產(chǎn)品，結(jié)合在線的門戶，可以進(jìn)行一些適合在線運(yùn)營的產(chǎn)品的在線訂購，通過在線的業(yè)務(wù)預(yù)受理，客戶申請相關(guān)產(chǎn)品后將自動通過工單系統(tǒng)流轉(zhuǎn)給相應(yīng)的客戶經(jīng)理進(jìn)行處理業(yè)務(wù)審核處理。2)在線服務(wù)支持本模塊主要為客戶（使用者）提供各類服務(wù)的在線支持，如問題咨詢，進(jìn)出機(jī)房申請，報障，服務(wù)預(yù)約，管理員公告等。3)業(yè)務(wù)在線監(jiān)控業(yè)務(wù)在線監(jiān)控模塊主要提供給客戶監(jiān)控自己所訂購業(yè)務(wù)對對應(yīng)的各類資源的運(yùn)行情況及統(tǒng)計分析，包括基本信息，進(jìn)程、存儲、流量等等。此模塊支持對各類增值服務(wù)在線監(jiān)控的擴(kuò)展，如^^掃描，安全設(shè)備日志分析，機(jī)柜視頻監(jiān)控，溫濕度監(jiān)控等。云計算安全防護(hù)方案云計算平臺安全威脅在云計算平臺的建設(shè)上，云安全成為了眾人關(guān)注的焦點，也是企業(yè)部署云技術(shù)時候最關(guān)心的問題。要解決安全問題，應(yīng)該先正確的認(rèn)識其安全威脅。1、傳統(tǒng)的安全邊界消失基于邊界的安全隔離與訪問控制是傳統(tǒng)安全防護(hù)的重要原則，很大程度上依賴于各區(qū)域之間明顯清晰的區(qū)域邊界，強(qiáng)調(diào)的是針對不同的安全區(qū)域設(shè)置有差異化的安全防護(hù)策略；在云計算環(huán)境下，基礎(chǔ)網(wǎng)絡(luò)架構(gòu)統(tǒng)一化，存儲和計算資源高度整合，傳統(tǒng)的安全設(shè)備部署邊界正逐步消失，云計算環(huán)境下的安全部署需尋找新的模式。2、虛擬化服務(wù)的安全問題“計算機(jī)科學(xué)中的任何問題都可以通過增加層映射而解決”，按照這種思路，當(dāng)前計算機(jī)系統(tǒng)的許多問題可以通過計算機(jī)系統(tǒng)的虛擬化而解決。同時，虛擬化作為云計算平臺的關(guān)鍵技術(shù)，基于存儲資源和服務(wù)器資源的高度整合，其自身的可擴(kuò)展性能夠極大地拓展基礎(chǔ)設(shè)施和軟件平臺層面提供云服務(wù)的能力。在這種情況下，如何應(yīng)對云計算平臺基礎(chǔ)網(wǎng)絡(luò)架構(gòu)、數(shù)據(jù)存儲和應(yīng)用服務(wù)的虛擬化交付，對安全設(shè)備的設(shè)計構(gòu)建和安裝部署提出了更高的技術(shù)要求，也成為云計算環(huán)境下信息安全建設(shè)所關(guān)注的重點。3、數(shù)據(jù)集中后的安全問題一是傳統(tǒng)的網(wǎng)絡(luò)中各種應(yīng)用服務(wù)的標(biāo)準(zhǔn)流量和突發(fā)流量有跡可循，流量模型設(shè)計相對較為規(guī)范、簡單，對安全設(shè)備的處理能力沒有太高的要求。而在云計算環(huán)境下，同類型存儲或者應(yīng)用服務(wù)器的規(guī)模增長迅猛，動輒以萬為單位進(jìn)行擴(kuò)展，并且不能分而治之，必須依托統(tǒng)一架構(gòu)的基礎(chǔ)網(wǎng)絡(luò)來承載。與傳統(tǒng)網(wǎng)絡(luò)環(huán)境相比，這就對安全設(shè)備本身的性能指標(biāo)提出了更高的要求。二是用戶的數(shù)據(jù)存儲、處理、網(wǎng)絡(luò)傳輸?shù)榷寂c云計算系統(tǒng)有關(guān)。如何避免多用戶共存帶來的潛在風(fēng)險；如何保證云服務(wù)的身份鑒別、認(rèn)證管理和訪問控制等安全機(jī)制符合用戶的需求，并能夠?qū)嵤┯行У陌踩珜徲?，這些都成為云計算環(huán)境所面臨的安全挑戰(zhàn)。4、穩(wěn)定性和可靠性問題一是云計算環(huán)境下，用戶的數(shù)據(jù)和業(yè)務(wù)應(yīng)用流程等均依賴于云計算所提供的虛擬化服務(wù)，這必然對云計算服務(wù)的穩(wěn)定性、安全策略部署、容災(zāi)恢復(fù)能力和事件處理審計等提出了更高更進(jìn)一步的需求。二是用戶、信息資源的高度集中，相對傳統(tǒng)的網(wǎng)絡(luò)平臺更加容易成為網(wǎng)絡(luò)攻擊的目標(biāo)，因各類惡意代碼、黑客程序、病毒木馬等工具造成的破壞程度將會呈指數(shù)級上升。云計算平臺安全防護(hù)目標(biāo)為確保XX單位XX信息的機(jī)密性、完整性、可用性、可控性與可審查性，本項目通過部署安全系統(tǒng)，投入技術(shù)力量，加強(qiáng)網(wǎng)絡(luò)安全管理，達(dá)到如下目標(biāo)：一一合理管理和分配網(wǎng)絡(luò)資源，防止濫用網(wǎng)絡(luò)資源導(dǎo)致網(wǎng)絡(luò)癱瘓；一一抵御病毒、惡意代碼等對信息系統(tǒng)發(fā)起的惡意破壞和攻擊，保障網(wǎng)絡(luò)系統(tǒng)硬件、軟件穩(wěn)定運(yùn)行；一一保護(hù)重要數(shù)據(jù)的存儲與傳輸安全，防止和防范數(shù)據(jù)被篡改，建立數(shù)據(jù)備份機(jī)制和提高容災(zāi)能力；一一加強(qiáng)對重要敏感數(shù)據(jù)信息的保護(hù)，確保數(shù)據(jù)的機(jī)密性；一一構(gòu)建統(tǒng)一的安全管理與監(jiān)控機(jī)制，統(tǒng)一配置、調(diào)控整個網(wǎng)絡(luò)多層面、分布式的安全問題，提高安全預(yù)警能力，加強(qiáng)安全應(yīng)急事件的處理能力，實現(xiàn)網(wǎng)絡(luò)與信息安全的可控性；一一建立認(rèn)證體系保障網(wǎng)絡(luò)行為的真實可信以及可審查性，并建立基于角色的訪問控制機(jī)制。云計算平臺安全架構(gòu)IaaS是所有云服務(wù)的基礎(chǔ)，PaaS建立在IaaS之上，而SaaS又建立在PaaS之上；在不同云服務(wù)模型中，提供商和用戶的安全職責(zé)有著很大的不同。具體來說，IaaS提供商負(fù)責(zé)解決物理安全、環(huán)境安全和虛擬化安全這些安全控制，而用戶則負(fù)責(zé)與IT系統(tǒng)（事件〉相關(guān)的安全控制、包括操作系統(tǒng)、應(yīng)用和數(shù)據(jù)；PaaS提供商負(fù)責(zé)物理安全、環(huán)境安全、虛擬化安全和操作系統(tǒng)等的安全，而用戶則負(fù)責(zé)應(yīng)用和數(shù)據(jù)的安全；SaaS提供商不僅負(fù)責(zé)物理和環(huán)境安全，還必須解決基礎(chǔ)設(shè)施、應(yīng)用和數(shù)據(jù)相關(guān)的安全控制。本項目重點建設(shè)XXIaaS層云服務(wù)。層安全，主要包括物理與環(huán)境安全、主機(jī)安全、網(wǎng)絡(luò)安全、虛擬化安全、接口安全、數(shù)據(jù)安全、加密和密鑰管理、身份識別和訪問控制、安全事件管理、業(yè)務(wù)連續(xù)性等。IaaS層安全物理與環(huán)境安全1)機(jī)房環(huán)境安全物理與環(huán)境安全，是指保護(hù)云計算平臺免遭地震、水災(zāi)、火災(zāi)等事故以及人為行為導(dǎo)致的破壞。主要措施包括物理位置的正確選擇、物理訪問控制、防盜竊和防破壞、防雷、防火、防靜電、防塵、防電磁干擾等。XX云計算平臺建設(shè)在XX單位信息中心機(jī)房，機(jī)房、電源、監(jiān)控等場地設(shè)施和周圍環(huán)境及消防安全，嚴(yán)格按照國家相關(guān)標(biāo)準(zhǔn)，并滿足政務(wù)網(wǎng)24小時不間斷運(yùn)行的要求進(jìn)行設(shè)計建設(shè)。其具體安全措施符合了9361-1988和2887-1989的規(guī)定。2)物理線路安全

通信線路安全通信線路是實現(xiàn)數(shù)據(jù)傳輸?shù)奈锢砭€路，包括網(wǎng)線、光纖等。應(yīng)符合以下要求：通信線路采用鋪設(shè)或租用專線方式建設(shè)；通信線路應(yīng)遠(yuǎn)離強(qiáng)電磁場輻射源，埋于地下或釆用金屬套管；定期測試信號強(qiáng)度，以確定是否有非法裝置接入線路；特別是在線路附近有新的網(wǎng)絡(luò)架設(shè)、電磁企業(yè)開工時，應(yīng)該請專業(yè)機(jī)構(gòu)負(fù)責(zé)檢測；定期檢查接線盒及其他易被人接近的線路部位，防止非法接入或干擾。

骨干線路冗余防護(hù)骨干線路冗余防護(hù)應(yīng)符合以下要求：骨干線路或重要的節(jié)點與省XX網(wǎng)相連，應(yīng)有冗余線路和環(huán)形路由措施；骨干線路的網(wǎng)絡(luò)設(shè)備應(yīng)有冗余電源配置，保障線路正常運(yùn)轉(zhuǎn)；省級重要部門重要業(yè)務(wù)系統(tǒng)所屬的相關(guān)線路，應(yīng)建立冗余或環(huán)形路由措施；

核心設(shè)備防雷擊措施通信線路骨干線路和核心設(shè)備，應(yīng)該具備防雷擊的措施。主機(jī)安全云計算平臺的主機(jī)包括物理服務(wù)器、虛擬機(jī)，以及安全設(shè)備在內(nèi)的所有計算機(jī)設(shè)備，主要指它們在操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)層面的安全。主機(jī)安全問題主要包括操作系統(tǒng)本身缺陷所帶來的不安全因素，包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等，操作系統(tǒng)的安全配置問題、病毒對操作系統(tǒng)的威脅等。主機(jī)安全，要求做到身份鑒別、訪問控制、安全審計、入侵防御、惡意代碼控制、資源控制等，主要釆取的措施和技術(shù)手段包括身份認(rèn)證、主機(jī)安全審計、主機(jī)入侵防御、主機(jī)防病毒系統(tǒng)等。1）漏洞管理漏洞管理是一個重要的威脅管理內(nèi)容，云服務(wù)引入漏洞管理的主要目的是幫助保護(hù)主機(jī)、網(wǎng)絡(luò)設(shè)備，以及應(yīng)用程序不受已知漏洞的攻擊。漏洞管理需要先明確漏洞的定義。在這里，漏洞分為兩種情況，一是指主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用程序等存在的已知的問題；二是指人為導(dǎo)致的問題，例如安裝了有潛在風(fēng)險的應(yīng)用或者進(jìn)行了有潛在風(fēng)險的配置。這些問題都會由于沒有及時安裝最新的補(bǔ)丁或者沒有釆用其它手段解決而成為整個系統(tǒng)中的潛在安全隱患。而針對漏洞的管理則是指在最短的時間內(nèi)發(fā)現(xiàn)漏洞并設(shè)法解決，并形成一套可重復(fù)的成熟流程，同時需要對該套流程的所有內(nèi)容進(jìn)行