版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
目錄第1章項(xiàng)目概述 31.1.建設(shè)背景 31.2.面臨的風(fēng)險(xiǎn)和挑戰(zhàn) 31.3.建設(shè)目標(biāo) 51.4.建設(shè)原則 61.5.建設(shè)任務(wù) 81.6.云計(jì)算平臺(tái)優(yōu)勢(shì) 8第2章需求分析 102.1.現(xiàn)狀分析 102.2.總體建設(shè)需求 112.2.1.網(wǎng)絡(luò)系統(tǒng) 122.2.2.運(yùn)維監(jiān)控管理與安全防護(hù) 122.2.3.應(yīng)用主機(jī)及資源分配 132.2.4.數(shù)據(jù)存儲(chǔ) 132.2.5.應(yīng)用級(jí)容災(zāi) 14第3章市部門云計(jì)算平臺(tái)總體規(guī)劃 153.1.云計(jì)算平臺(tái)整體建設(shè)思想 153.2.云計(jì)算平臺(tái)整體系統(tǒng)結(jié)構(gòu) 153.3.計(jì)算資源和存儲(chǔ)資源配置估算 18第4章云計(jì)算資源層設(shè)計(jì) 194.1.云計(jì)算基礎(chǔ)架構(gòu)體系 194.1.1.設(shè)計(jì)原則 194.1.2.系統(tǒng)總體架構(gòu) 204.1.3.虛擬化拓?fù)涞慕Y(jié)構(gòu) 224.2.云計(jì)算中心虛擬化組件 224.3.云計(jì)算中心的設(shè)計(jì) 264.3.1.存儲(chǔ)網(wǎng)絡(luò)架構(gòu) 274.3.2.數(shù)據(jù)保護(hù) 284.3.3.網(wǎng)絡(luò)規(guī)劃 284.3.4.云計(jì)算資源管理平臺(tái) 29第5章云計(jì)算中心網(wǎng)絡(luò)層設(shè)計(jì) 315.1.設(shè)計(jì)思路 315.1.1.部門云平臺(tái)網(wǎng)絡(luò)建設(shè)需求 315.1.2.云平臺(tái)網(wǎng)絡(luò)建設(shè)原則 315.2.云平臺(tái)網(wǎng)絡(luò)系統(tǒng)整體架構(gòu) 325.2.1.整體架構(gòu)設(shè)計(jì)思想 325.2.2.云平臺(tái)整體架構(gòu)規(guī)劃設(shè)計(jì) 35第6章云計(jì)算中心安全層設(shè)計(jì) 376.1.云平臺(tái)安全建設(shè)需求 376.2.云平臺(tái)安全建設(shè)思路 386.3.云平臺(tái)安全系統(tǒng)總體設(shè)計(jì) 406.4.云平臺(tái)安全防護(hù)詳細(xì)設(shè)計(jì) 416.4.1.平臺(tái)層安全 426.4.2.主機(jī)層安全 516.4.3.數(shù)據(jù)層安全 54第7章云計(jì)算數(shù)據(jù)中心整體方案拓?fù)?567.1.內(nèi)網(wǎng)資源整合規(guī)劃 567.1.1.配置信息 567.1.2.未來(lái)發(fā)展規(guī)劃 57第8章云項(xiàng)目軟硬件設(shè)備配置 588.1.服務(wù)器、存儲(chǔ)硬件設(shè)備清單 588.2.網(wǎng)絡(luò)、安全設(shè)備清單 588.3.云平臺(tái)軟件設(shè)備清單 59項(xiàng)目概述建設(shè)背景過(guò)去幾十年,信息化經(jīng)歷了大型機(jī)時(shí)代的終端-主機(jī)模式(T-S模式),個(gè)人PC時(shí)代的客戶機(jī)-服務(wù)器模式(C-S模式),發(fā)展到互聯(lián)網(wǎng)時(shí)代的瀏覽器-服務(wù)器模式(B-S模式)。在過(guò)去的二十年里,互聯(lián)網(wǎng)將全世界的單位與個(gè)人連接了起來(lái),實(shí)現(xiàn)了資源共享,這也深刻地影響著各種業(yè)務(wù)形態(tài)及每個(gè)人的日常生活。新時(shí)代里,用戶對(duì)互聯(lián)網(wǎng)內(nèi)容的貢獻(xiàn)和互動(dòng)空前增加,軟件和資源更多地以服務(wù)的形式通過(guò)互聯(lián)網(wǎng)被發(fā)布和訪問(wèn),“像用水用電一樣使用IT資源”這種新時(shí)代的服務(wù)模式對(duì)數(shù)據(jù)中心的建設(shè)有了更高的要求,決定了傳統(tǒng)的數(shù)據(jù)中心建設(shè)模式和方案不再能滿足新時(shí)代創(chuàng)新應(yīng)用的需求,導(dǎo)致了新老技術(shù)的整合、成熟和創(chuàng)新,這就是“云計(jì)算”技術(shù)。云計(jì)算并不是突兀出現(xiàn)的,云計(jì)算是在現(xiàn)有IT技術(shù)和業(yè)務(wù)應(yīng)用基礎(chǔ)上的升華,也是社會(huì)分工的必然。中央關(guān)于推進(jìn)信息化與工業(yè)化融合、加快信息化建設(shè)等重大戰(zhàn)略決策的貫徹落實(shí),為云計(jì)算技術(shù)發(fā)展創(chuàng)造了良好的環(huán)境。同時(shí),云計(jì)算技術(shù)正進(jìn)入新的發(fā)展時(shí)期,展示了云計(jì)算技術(shù)與應(yīng)用發(fā)展的廣闊前景。隨著業(yè)務(wù)不斷快速發(fā)展,越來(lái)越迫切的需要一個(gè)采用云計(jì)算架構(gòu)的云數(shù)據(jù)中心,以實(shí)現(xiàn)全局IT資源的大整合,實(shí)現(xiàn)各數(shù)據(jù)中心的大集中,實(shí)現(xiàn)管理人才的合理利用,同時(shí)充分利用云計(jì)算的高性能、高可用、高擴(kuò)展的優(yōu)勢(shì),為綜合分析型應(yīng)用提供強(qiáng)大的硬件基礎(chǔ)設(shè)施,將為業(yè)務(wù)工作的開(kāi)展提供更加有力的支持和保障。面臨的風(fēng)險(xiǎn)和挑戰(zhàn)市部門現(xiàn)有數(shù)據(jù)中心機(jī)房,管理著各種全局性應(yīng)用。由于近幾年信息化要求不斷提高以及信息化建設(shè)投入不斷增加,部門工作對(duì)各種信息化系統(tǒng)的依賴不斷加強(qiáng),各項(xiàng)工作的緊迫性和連續(xù)性較高,因此任何情況下,部門系統(tǒng)數(shù)據(jù)中心的運(yùn)行都必須保持暢通、不間斷。但目前市部門數(shù)據(jù)中心的狀態(tài)離暢通和不間斷運(yùn)行還有一定差距?;谠械臄?shù)據(jù)中心架構(gòu)和運(yùn)維模式,使得要實(shí)現(xiàn)以上兩個(gè)基本要求需要投入大量的建設(shè)和維護(hù)資金,主要表現(xiàn)在以下幾個(gè)方面:(1)資源利用不均基于原有的建設(shè)和運(yùn)維模式,各單位為了滿足自身的信息化建設(shè)需求,各自采購(gòu)服務(wù)器、存儲(chǔ)、安全等硬件設(shè)備,但是由于自身的應(yīng)用和硬件提前量的儲(chǔ)備等原因,造成設(shè)備的處理能力留有很大余地,重復(fù)投資造成了極大的資源浪費(fèi)。中心現(xiàn)有部署業(yè)務(wù)系統(tǒng)的86臺(tái)物理服務(wù)器所平均CPU利用率(11%)、內(nèi)存平均使用率(31.8%)、平均磁盤利用率、網(wǎng)絡(luò)平均吞吐均比較低。資源利用開(kāi)銷不均,造成了資源“總體不足,個(gè)體有余”的局面。服務(wù)器資源不能被合理、有效利用,多數(shù)服務(wù)器工作負(fù)載較輕,只有極少數(shù)服務(wù)器負(fù)載較高,由于基于原有的硬件部署方式無(wú)法對(duì)資源進(jìn)行共享和調(diào)配,做到資源合理有效利用,造成了的設(shè)備資源浪費(fèi),能耗高,占用機(jī)房面積大,管理繁雜并且故障率極高。(2)基礎(chǔ)運(yùn)行環(huán)境差目前市局信息中心各類設(shè)備數(shù)量眾多,帶來(lái)散熱、制冷、供電、機(jī)房空間等大量資源消耗,存在機(jī)柜已滿、電力供給不足等現(xiàn)狀。對(duì)業(yè)務(wù)單位要求為新系統(tǒng)應(yīng)用提供硬件資源的服務(wù)能力匱乏。(3)面對(duì)需求部署響應(yīng)緩慢目前部門信息化進(jìn)度非常迅速,對(duì)應(yīng)用系統(tǒng)的部署及對(duì)時(shí)間和靈活性要求越來(lái)越高,系統(tǒng)越早日投入運(yùn)行越能盡早發(fā)揮其效力,但原有的硬件資源部署方式沿用按需采購(gòu),隨用隨買的方式,需要復(fù)雜的審批流程,面臨各種不確定因素;硬件到位后還需要進(jìn)行安裝、調(diào)試、系統(tǒng)部署等工作,整體過(guò)程復(fù)雜,重復(fù)勞動(dòng)大大降低了系統(tǒng)部署效率。新應(yīng)用的上線需要考慮網(wǎng)絡(luò)規(guī)劃、硬件采購(gòu)等,經(jīng)歷的時(shí)間比較長(zhǎng)。而在信息中心主機(jī)房空間、電力緊張的情況下,需要花費(fèi)更大的精力去考慮機(jī)柜布局、網(wǎng)絡(luò)分布、電力等問(wèn)題,延長(zhǎng)了新應(yīng)用上線的周期,降低了信息中心對(duì)外服務(wù)響應(yīng)的時(shí)效性,增加了人力成本。(4)應(yīng)用和數(shù)據(jù)沒(méi)有安全保障部門系統(tǒng)的應(yīng)用多是基層民警、各業(yè)務(wù)部門進(jìn)行部門工作的基礎(chǔ)信息化工具,經(jīng)過(guò)常年的建設(shè)和使用,積累了基于實(shí)戰(zhàn)應(yīng)用的規(guī)范化工作流程和大量豐富完整的數(shù)據(jù),部門工作逐漸形成依托信息化的模式,因此對(duì)應(yīng)用系統(tǒng)穩(wěn)定不間斷運(yùn)行和數(shù)據(jù)安全保護(hù)有著極高的需求。但目前的建設(shè)方式中由于資金和原有建設(shè)模式的限制,各種應(yīng)用系統(tǒng)的服務(wù)器等都缺乏基于應(yīng)用的備份機(jī)制,所部屬的服務(wù)器等硬件一旦發(fā)生故障需要維護(hù)時(shí),應(yīng)用系統(tǒng)都要進(jìn)行停機(jī)維護(hù),無(wú)法保證關(guān)鍵業(yè)務(wù)的不間斷運(yùn)行,還要承擔(dān)數(shù)據(jù)丟失的風(fēng)險(xiǎn)。(5)可用性和可擴(kuò)展性需提高目前的治安、刑偵的主要應(yīng)用系統(tǒng)都是多層架構(gòu)或在PC服務(wù)器支撐下的單機(jī)運(yùn)行,而且使用期限多數(shù)超過(guò)3年,如果遇到服務(wù)器意外宕機(jī),將直接造成應(yīng)用的中斷,存在很高的風(fēng)險(xiǎn)性。而且單機(jī)運(yùn)行的服務(wù)器在系統(tǒng)維護(hù)、升級(jí)或擴(kuò)容時(shí)需要停機(jī),容易造成應(yīng)用中斷,降低了整體的可用性。建設(shè)目標(biāo)依托云計(jì)算技術(shù),對(duì)部門業(yè)務(wù)系統(tǒng)實(shí)行統(tǒng)一規(guī)劃和建設(shè)。加快市局信息中心和應(yīng)用系統(tǒng)升級(jí)發(fā)展,逐步建成部門信息化云計(jì)算基本體系,實(shí)現(xiàn)全局信息化基礎(chǔ)設(shè)施等資源隨時(shí)獲取、按需使用和靈活擴(kuò)展,為黨委政府各部門、社會(huì)群眾及上級(jí)部門機(jī)關(guān)提供各類信息服務(wù)。所有資源整合后在邏輯上以單一整體的形式呈現(xiàn),并可按需進(jìn)行動(dòng)態(tài)擴(kuò)展和配置。按照分階段可升級(jí)的標(biāo)準(zhǔn)要求,提供應(yīng)用支撐基礎(chǔ)平臺(tái)服務(wù)和數(shù)據(jù)存儲(chǔ)、容災(zāi)、交換等服務(wù),實(shí)現(xiàn)基礎(chǔ)軟硬件資源的統(tǒng)一管理、按需分配、綜合利用,增強(qiáng)數(shù)據(jù)中心的可管理性,提高應(yīng)用的兼容性和可用性,加速業(yè)務(wù)系統(tǒng)的部署,提升硬件資源的利用率,降低各級(jí)單位系統(tǒng)建設(shè)成本和日常運(yùn)行維護(hù)成本,降低能源消耗。建設(shè)原則結(jié)合本項(xiàng)目的實(shí)際應(yīng)用和發(fā)展要求,在進(jìn)行云計(jì)算平臺(tái)方案設(shè)計(jì)過(guò)程中,應(yīng)始終堅(jiān)持以下原則:(1)業(yè)務(wù)引導(dǎo)原則始終堅(jiān)持應(yīng)用先導(dǎo)與業(yè)務(wù)先行的理念。能否滿足應(yīng)用需要,在應(yīng)用中能否發(fā)揮成效,始終是檢驗(yàn)部門信息化建設(shè)成敗的關(guān)鍵標(biāo)準(zhǔn)。因此,不能為了技術(shù)而技術(shù),要始終以機(jī)制配套作為保障,充分發(fā)揮業(yè)務(wù)部門的主導(dǎo)作用,以應(yīng)用為出發(fā)點(diǎn),將信息化應(yīng)用的成熟需求與云計(jì)算技術(shù)緊密結(jié)合,著力解決當(dāng)前部門信息化應(yīng)用成效如何進(jìn)一步提升的問(wèn)題。(2)可擴(kuò)展性原則為了保護(hù)已有的投資以及不斷增長(zhǎng)的業(yè)務(wù)需求,系統(tǒng)必須具有靈活的結(jié)構(gòu)并留有合理的擴(kuò)充余地,以便根據(jù)需要進(jìn)行適當(dāng)?shù)淖儎?dòng)和擴(kuò)充;主要業(yè)務(wù)平臺(tái)系統(tǒng)應(yīng)采用開(kāi)放的結(jié)構(gòu),符合國(guó)際標(biāo)準(zhǔn)、工業(yè)標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),適應(yīng)技術(shù)的發(fā)展和變化。由于本次市局信息系統(tǒng)整體東遷,相當(dāng)于系統(tǒng)重新規(guī)劃和建設(shè),所以我們把主要精力放在滿足現(xiàn)有業(yè)務(wù)需求和對(duì)未來(lái)的系統(tǒng)擴(kuò)展的支持性上,也就是需要設(shè)計(jì)成一個(gè)便于擴(kuò)展的系統(tǒng)架構(gòu),系統(tǒng)應(yīng)具備良好的擴(kuò)展能力并能夠便捷地進(jìn)行擴(kuò)展。建設(shè)云平臺(tái)工程必須在市局統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一規(guī)劃下開(kāi)展。鑒于此項(xiàng)工作是一項(xiàng)投資較大、建設(shè)周期較長(zhǎng)的系統(tǒng)工程,為避免走彎路,浪費(fèi)投資,必須在建設(shè)初期,廣泛調(diào)研論證,制定一個(gè)科學(xué)的建設(shè)規(guī)劃。在具體建設(shè)中,要按照規(guī)劃在先的原則,穩(wěn)扎穩(wěn)打,分步驟組織實(shí)施,同步推進(jìn)應(yīng)用,不可片面追求建設(shè)速度,一味貪快求全。(3)合理性原則需處理好繼承與發(fā)展的關(guān)系。要正確理解云計(jì)算等技術(shù)的本質(zhì)特征,不能將云計(jì)算工程建設(shè)與已有部門信息化建設(shè)規(guī)劃及取得的成果割裂開(kāi)來(lái),云計(jì)算工程建設(shè)必須充分利用現(xiàn)有的信息化設(shè)備、數(shù)據(jù)和應(yīng)用等資源,立足于解決當(dāng)前信息化建設(shè)面臨的瓶頸問(wèn)題,在更高層次上進(jìn)行提升發(fā)展。在一定的資金條件下,以適當(dāng)?shù)耐度?,建立性能價(jià)格比高的、先進(jìn)的、完善的業(yè)務(wù)系統(tǒng)。所有軟硬件的選型和配置要堅(jiān)持性能價(jià)格比最優(yōu)原則,同時(shí)兼顧與市局已有設(shè)備和系統(tǒng)的互聯(lián)互通能力,以及與目前操作系統(tǒng)和應(yīng)用系統(tǒng)的兼容性。在滿足系統(tǒng)性能、功能以及考慮到在可預(yù)見(jiàn)的未來(lái)不失去先進(jìn)性的條件下,盡量取得整個(gè)系統(tǒng)的投入合理性,以構(gòu)成一個(gè)性能價(jià)格比優(yōu)化的應(yīng)用系統(tǒng)。系統(tǒng)架構(gòu)的設(shè)計(jì)應(yīng)盡可能地運(yùn)用虛擬化、云計(jì)算等新技術(shù),以符合未來(lái)的技術(shù)發(fā)展方向。這種設(shè)計(jì)方法可以最大化地利用投資,并在利用率、管理、能源等各方面提高用戶投資的效率,降低總體擁有成本,減少浪費(fèi)的發(fā)生。結(jié)合新技術(shù)的運(yùn)用,也可以讓各應(yīng)用系統(tǒng)更好地融入未來(lái)整體IT建設(shè)規(guī)劃中,避免發(fā)生推到重建的現(xiàn)象,從而更好地保護(hù)市局在信息系統(tǒng)上的投入。(4)可靠性原則系統(tǒng)要具有高可靠性及強(qiáng)大的容錯(cuò)能力。該系統(tǒng)必須保證7×24全天候不間斷地工作,核心設(shè)備比如數(shù)據(jù)庫(kù)服務(wù)器和存儲(chǔ)設(shè)備具有全容錯(cuò)結(jié)構(gòu),并具有熱插拔功能,可帶電修復(fù)有關(guān)故障而不影響整個(gè)系統(tǒng)的工作,設(shè)計(jì)應(yīng)保持一定數(shù)量的冗余以保證整體系統(tǒng)的高可靠性和高可用性。即便是在系統(tǒng)建設(shè)初期也要著重考慮系統(tǒng)可用性、可靠性問(wèn)題,防止出現(xiàn)系統(tǒng)停頓等問(wèn)題造成信息系統(tǒng)的中斷服務(wù)。通過(guò)結(jié)合云計(jì)算等新技術(shù),可以更好地提高系統(tǒng)的可靠性和可用性。(5)可管理性原則選擇基于國(guó)際標(biāo)準(zhǔn)和開(kāi)放的技術(shù),采用標(biāo)準(zhǔn)化、規(guī)范化設(shè)計(jì);同時(shí)采用先進(jìn)的設(shè)備,易于日后擴(kuò)展,便于向更新技術(shù)的升級(jí)與銜接,實(shí)現(xiàn)系統(tǒng)較長(zhǎng)的生命力;保證市局在系統(tǒng)上進(jìn)行有效的開(kāi)發(fā)和使用,并為今后的發(fā)展提供一個(gè)良好的環(huán)境;在設(shè)計(jì)、組建中心機(jī)房系統(tǒng)時(shí),采用先進(jìn)的、標(biāo)準(zhǔn)的設(shè)備;在選購(gòu)服務(wù)器、存儲(chǔ)和連接設(shè)備時(shí),選用同一家公司的系列產(chǎn)品,確保系統(tǒng)部件間的嚴(yán)密配合和無(wú)縫聯(lián)接,并獲得良好的售后服務(wù)和技術(shù)支持;整個(gè)系統(tǒng)建成后按照整理一套完整的文檔資料,以便提高整個(gè)系統(tǒng)的可管理性與可維護(hù)性。(6)安全性原則嚴(yán)格按照國(guó)家關(guān)于信息安全的規(guī)定和要求,規(guī)劃和部署中心機(jī)房的業(yè)務(wù)系統(tǒng)和災(zāi)備系統(tǒng);采用防火墻、安全服務(wù)器、內(nèi)外網(wǎng)隔離系統(tǒng)、系統(tǒng)備份還原系統(tǒng)、業(yè)務(wù)數(shù)據(jù)備份系統(tǒng)、容災(zāi)系統(tǒng)來(lái)防止內(nèi)外部的網(wǎng)絡(luò)安全威協(xié)和數(shù)據(jù)丟失竊取威脅等;監(jiān)視網(wǎng)絡(luò)病毒的活動(dòng),防止病毒和木馬的破壞。安全產(chǎn)品必須通過(guò)國(guó)家安全機(jī)構(gòu)認(rèn)證,確保系統(tǒng)和數(shù)據(jù)的安全。建設(shè)任務(wù)基于統(tǒng)一管理、分期建設(shè)的方法,整個(gè)項(xiàng)目的建設(shè)分三期完成:一期整合各類信息化軟硬件資源,建成以虛擬化技術(shù)應(yīng)用、云數(shù)據(jù)存儲(chǔ)、云安全保障為內(nèi)容的一個(gè)云計(jì)算資源管理平臺(tái);二期建設(shè)依托海量數(shù)據(jù)并行處理技術(shù),實(shí)施對(duì)匯聚各類業(yè)務(wù)數(shù)據(jù)進(jìn)行分析、挖掘和審計(jì)管理的云數(shù)據(jù)中心;三期建設(shè)基于云計(jì)算技術(shù)開(kāi)發(fā)支撐的高端應(yīng)用系統(tǒng)。近期實(shí)施一期建設(shè)的主要建設(shè)任務(wù):第一是建設(shè)一個(gè)基于高性能服務(wù)器組成的虛擬化系統(tǒng)平臺(tái),對(duì)原有信息中心硬件資源進(jìn)行整合,提高可用性、資源利用率和應(yīng)用快速部署能力。第二是在市局信息中心建設(shè)統(tǒng)一資源的管理中心,利用云計(jì)算資源管理實(shí)現(xiàn)對(duì)資源的集中調(diào)度、使用、管理。第三是做好業(yè)務(wù)系統(tǒng)遷移,將目前運(yùn)行在多層架構(gòu)或PC服務(wù)器單機(jī)環(huán)境下的應(yīng)用系統(tǒng)遷移到云計(jì)算平臺(tái)上,為即將開(kāi)展的數(shù)據(jù)中心建設(shè)做好環(huán)境準(zhǔn)備。建設(shè)取得成效后,逐步開(kāi)展辦公桌面云和交通管理信息云建設(shè),并實(shí)施雙活數(shù)據(jù)中心架設(shè),以達(dá)到數(shù)據(jù)安全和資源利用率最大化。云計(jì)算平臺(tái)優(yōu)勢(shì)通過(guò)建立部門云計(jì)算平臺(tái),通過(guò)服務(wù)的方式交付對(duì)物理硬件的需求,代替?zhèn)鹘y(tǒng)硬件設(shè)備跟隨著應(yīng)有系統(tǒng)的增加而增加的模式,對(duì)現(xiàn)有應(yīng)用系統(tǒng)進(jìn)行整合,實(shí)現(xiàn)IT服務(wù)的快速交付,節(jié)能響應(yīng)國(guó)家號(hào)召,提升業(yè)務(wù)系統(tǒng)安全。(1)合理利用硬件資源,減少運(yùn)行消耗云計(jì)算平臺(tái)可將服務(wù)器物理資源轉(zhuǎn)換成池化的可動(dòng)態(tài)分配的計(jì)算單元,從部門業(yè)務(wù)具體需求出發(fā),在資源池中劃分出適合具體業(yè)務(wù)需要的服務(wù)計(jì)算單元,不再受限于物理上的界限,從而提高資源的利用率,簡(jiǎn)化系統(tǒng)管理,讓信息化建設(shè)對(duì)部門業(yè)務(wù)工作的變化更具適應(yīng)力,從而構(gòu)建出信息系統(tǒng)平臺(tái)的基礎(chǔ)。云平臺(tái)建成后,可減少物理服務(wù)器數(shù)量至原有數(shù)量的一半以上,機(jī)房空間占用面積大大減少,機(jī)房相應(yīng)配套設(shè)施建設(shè)也可能夠相應(yīng)減少,在實(shí)際工作中預(yù)計(jì)可節(jié)省能源達(dá)到70%以上,響應(yīng)國(guó)家節(jié)能減排的要求。(2)增強(qiáng)業(yè)務(wù)部署速度,提高即時(shí)響應(yīng)能力云平臺(tái)能夠?qū)Σ块T業(yè)務(wù)系統(tǒng)提出的建設(shè)需求做到快速響應(yīng)、快速部署,部署更新工作時(shí)間由原來(lái)數(shù)天或數(shù)星期縮短為只需幾分鐘即可完成。如果總資源池中的硬件計(jì)算資源告急,只需要添加相應(yīng)的物理服務(wù)器,簡(jiǎn)單的將新購(gòu)的服務(wù)器部署到資源池集群中,云平臺(tái)會(huì)根據(jù)整體資源池的動(dòng)態(tài)資源平衡來(lái)自動(dòng)分配新增加的計(jì)算資源給應(yīng)用程序,真正的實(shí)現(xiàn)新服務(wù)器的即插即用。(3)完善應(yīng)急安全機(jī)制云平臺(tái)可以自動(dòng)監(jiān)控資源池中計(jì)算單元和應(yīng)用單元的可用性,檢測(cè)物理服務(wù)器故障,如果檢測(cè)到故障,可重新在資源池中其他物理服務(wù)器上重新啟動(dòng)相關(guān)業(yè)務(wù),整個(gè)過(guò)程無(wú)需人工干預(yù)。后續(xù)通過(guò)專線光纖將同城異地的兩個(gè)云平臺(tái)連接起來(lái),既可形成一個(gè)穩(wěn)定的基于云平臺(tái)技術(shù)的容災(zāi)系統(tǒng)??梢詫?shí)現(xiàn)應(yīng)用級(jí)數(shù)據(jù)備份和業(yè)務(wù)系統(tǒng)的應(yīng)用級(jí)容災(zāi),容災(zāi)系統(tǒng)切換時(shí)間可以實(shí)現(xiàn)分鐘級(jí),并且能進(jìn)行容災(zāi)演練操作。(4)提供便捷的管理運(yùn)維方式。云平臺(tái)可以通過(guò)一個(gè)統(tǒng)一的管理平臺(tái),來(lái)進(jìn)行對(duì)平臺(tái)中運(yùn)行的各項(xiàng)部門業(yè)務(wù)設(shè)立不同權(quán)限的管理賬號(hào),根據(jù)工作需要設(shè)置不同的管理權(quán)限,并可通過(guò)其管理日志追溯操作過(guò)程。還可以通過(guò)在平臺(tái)上安裝第三方安全軟件的方式,一次性解決平臺(tái)內(nèi)所有計(jì)算單元的病毒防護(hù)、木馬查殺、補(bǔ)丁升級(jí)等工作。需求分析現(xiàn)狀分析目前,市局的業(yè)務(wù)規(guī)模已經(jīng)發(fā)展得非常龐大,信息化平臺(tái)已日益變成業(yè)務(wù)運(yùn)營(yíng)與管理的重要支撐平臺(tái)。在信息化平臺(tái)建設(shè)的過(guò)程中,各個(gè)應(yīng)用系統(tǒng)的業(yè)務(wù)之間的聯(lián)系非常緊密,流程自動(dòng)化程度非常高。因此在信息化高速發(fā)展的形勢(shì)下,急需形成統(tǒng)一完備的綜合技術(shù)集成體系,能提供一體化的數(shù)據(jù)存儲(chǔ)共享,應(yīng)用集成和統(tǒng)一展現(xiàn)能力。隨著信息化建設(shè)和應(yīng)用工作的進(jìn)一步深入,對(duì)信息網(wǎng)絡(luò)傳輸能力,數(shù)據(jù)中心存儲(chǔ)能力和處理能力提出了更高要求,為支撐流程集成和業(yè)務(wù)應(yīng)用的深入融合,需要提供統(tǒng)一高效的流程處理能力,消息轉(zhuǎn)換能力以及數(shù)據(jù)交換能力;需要建立和完善我局統(tǒng)一的綜合技術(shù)平臺(tái)體系,涵蓋數(shù)據(jù)采集,存儲(chǔ),共享,交互和展現(xiàn)能力。各大應(yīng)用系統(tǒng)也都存在不同的技術(shù)標(biāo)準(zhǔn),沒(méi)有建立標(biāo)準(zhǔn)的統(tǒng)一編程模型,系統(tǒng)尚存在功能單一,開(kāi)放性與擴(kuò)展性較弱的特點(diǎn)。目前部門網(wǎng)業(yè)務(wù)系統(tǒng)涉及40多個(gè),目前占用設(shè)備資源為:CPU計(jì)算單元370核,占用內(nèi)存626G,使用本機(jī)存儲(chǔ)空間23.96T、磁盤陣列存儲(chǔ)數(shù)據(jù)14T,新上省市共建項(xiàng)目數(shù)據(jù)應(yīng)用服務(wù)設(shè)計(jì)需要CPU計(jì)算單元144核,內(nèi)存384G存儲(chǔ)空間約為12T(需根據(jù)實(shí)際情況);新上部門間共享平臺(tái)應(yīng)用設(shè)計(jì)需要112核CPU計(jì)算單元,內(nèi)存192G,存儲(chǔ)空間10T左右。通過(guò)對(duì)服務(wù)器硬件的現(xiàn)狀了解,目前應(yīng)用系統(tǒng)服務(wù)器表現(xiàn)為品牌及型號(hào)繁多,且購(gòu)置年代和配置都存在一定的差異。隨著業(yè)務(wù)規(guī)模的發(fā)展,應(yīng)用系統(tǒng)的數(shù)量不斷增加,硬件設(shè)備也在不斷增加,機(jī)房建設(shè)、相應(yīng)配套設(shè)施成本在不斷增加,系統(tǒng)升級(jí)、硬件維護(hù)等運(yùn)維管理的工作量和難度逐步加大。而且,應(yīng)用系統(tǒng)與底層硬件之間形成了“豎井”結(jié)構(gòu),軟硬件之間的緊耦合關(guān)系導(dǎo)致資源利用率和效率降低,無(wú)法滿足業(yè)務(wù)快速增長(zhǎng)所需的高可靠性。通過(guò)對(duì)應(yīng)用情況調(diào)研結(jié)果的分析,發(fā)現(xiàn)現(xiàn)有PC服務(wù)器CPU和內(nèi)存的使用率不高,空余的資源得不到釋放,并且故障率高,系統(tǒng)得不到有力的保障。存在的主要問(wèn)題可以歸納為:服務(wù)器的物理分布不集中,各個(gè)部門科室都有自己獨(dú)立運(yùn)行的服務(wù)器。服務(wù)器系統(tǒng)的環(huán)境比較復(fù)雜,表現(xiàn)為設(shè)備數(shù)量多,故障點(diǎn)多,產(chǎn)品不統(tǒng)一,缺乏規(guī)范性,運(yùn)維管理的工作量和難度大。各個(gè)系統(tǒng)重復(fù)投資和建設(shè),建設(shè)成本高,技術(shù)上沒(méi)有統(tǒng)一規(guī)范和標(biāo)準(zhǔn)。沒(méi)有實(shí)現(xiàn)資源共享,服務(wù)器資源使用率低,難以集中管理和使用。不能根據(jù)實(shí)際需要和業(yè)務(wù)變化動(dòng)態(tài)調(diào)整資源和快速擴(kuò)展,系統(tǒng)的靈活性和擴(kuò)展性差。部分服務(wù)器存在單點(diǎn)故障隱患。有些服務(wù)器的高可用性配置不合理,造成資源閑置狀態(tài)和成本過(guò)高。機(jī)房建設(shè),UPS等相應(yīng)配套設(shè)施,服務(wù)器耗電,機(jī)房制冷等費(fèi)用不斷增加。總體建設(shè)需求針對(duì)現(xiàn)有應(yīng)用系統(tǒng)與底層硬件之間存在的“豎井式”結(jié)構(gòu),需要根據(jù)海量數(shù)據(jù)處理、實(shí)現(xiàn)應(yīng)用彈性、構(gòu)建多活數(shù)據(jù)中心等關(guān)鍵技術(shù)的發(fā)展,漸進(jìn)式的對(duì)基礎(chǔ)架構(gòu)進(jìn)行全方位規(guī)劃。市局現(xiàn)有的服務(wù)器、網(wǎng)絡(luò)、存儲(chǔ)、終端需要根據(jù)云計(jì)算平臺(tái)的發(fā)展需求,對(duì)硬件資源進(jìn)行動(dòng)態(tài)的統(tǒng)籌劃分,充分發(fā)揮了現(xiàn)有硬件的整體效能,以滿足云計(jì)算平臺(tái)的發(fā)展需要。目前市局的基礎(chǔ)架構(gòu)包括了傳統(tǒng)的物理服務(wù)器平臺(tái)和部分虛擬化平臺(tái),從調(diào)研結(jié)果分析來(lái)看,在過(guò)渡到云計(jì)算平臺(tái)時(shí),傳統(tǒng)的基礎(chǔ)架構(gòu)已不能完全滿足業(yè)務(wù)發(fā)展需求,急需建立一套先進(jìn)的云計(jì)算平臺(tái),以提升應(yīng)用系統(tǒng)靈活、快速適應(yīng)管理變革和流程化的能力,提高信息展現(xiàn)能力。云計(jì)算平臺(tái)建設(shè)完成后,業(yè)務(wù)系統(tǒng)將作為云中的資源使用者,在出現(xiàn)新業(yè)務(wù)上線或資源瓶頸時(shí),只需提供相關(guān)需求和申請(qǐng)即可在較短時(shí)間內(nèi)獲取相應(yīng)資源,而無(wú)需復(fù)雜的硬件采購(gòu)流程。而云資源的整體管控、審批則有專門的團(tuán)隊(duì)予以負(fù)責(zé),配合相應(yīng)的云資源調(diào)度及仿真系統(tǒng),最大限度提升IT敏捷性。網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)中心建設(shè)是信息化的核心之一,正因如此,在做服務(wù)器部署以及網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)時(shí)都需要縝密的規(guī)劃與設(shè)計(jì)。由于多層結(jié)構(gòu)、安全區(qū)域、安全等級(jí)、策略部署、路由控制、VLAN劃分、二層環(huán)路、冗余設(shè)計(jì)等諸多因素,使得傳統(tǒng)數(shù)據(jù)中心在網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)上都是比較復(fù)雜的,這就導(dǎo)致數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)的運(yùn)維和管理難度非常高。因此,為了解決網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)復(fù)雜、運(yùn)維和管理難度高等問(wèn)題,以及完善網(wǎng)絡(luò)架構(gòu),需結(jié)合現(xiàn)有的數(shù)據(jù)通信網(wǎng)絡(luò)架構(gòu),在接入層使用云網(wǎng)絡(luò)構(gòu)建高效可用的狀態(tài)化網(wǎng)絡(luò)的同時(shí),優(yōu)化了網(wǎng)絡(luò)資源的使用。同時(shí),在云網(wǎng)絡(luò)架構(gòu)上,通過(guò)集成云網(wǎng)絡(luò)安全,還可以將傳統(tǒng)網(wǎng)絡(luò)中離散的安全控制點(diǎn)整合進(jìn)來(lái)。在云計(jì)算網(wǎng)絡(luò)平臺(tái)上,使用一體化交換技術(shù)同時(shí)實(shí)現(xiàn)遠(yuǎn)程存儲(chǔ)、遠(yuǎn)程并行計(jì)算處理和傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)功能。最大化實(shí)現(xiàn)各種網(wǎng)絡(luò)資源的整合,從而便于實(shí)現(xiàn)跨平臺(tái)的資源調(diào)度和虛擬化服務(wù),提高投資的有效性,同時(shí)還降低了管理成本。云網(wǎng)絡(luò)架構(gòu)以虛擬化的方式實(shí)現(xiàn)各類服務(wù)的資源調(diào)用,在云計(jì)算網(wǎng)絡(luò)中就可以實(shí)現(xiàn)虛擬防火墻、虛擬入侵檢測(cè)系統(tǒng)、虛擬負(fù)載均衡器、虛擬VPN網(wǎng)絡(luò)……等等,從而實(shí)現(xiàn)網(wǎng)絡(luò)智能服務(wù)的虛擬化。運(yùn)維監(jiān)控管理與安全防護(hù)現(xiàn)有IT集中運(yùn)行監(jiān)控系統(tǒng)已實(shí)現(xiàn)對(duì)服務(wù)器、網(wǎng)絡(luò)、安全設(shè)備、各類事件的集中監(jiān)控,但目前未能有效實(shí)現(xiàn)云計(jì)算平臺(tái)各項(xiàng)監(jiān)控及管理,需進(jìn)一步擴(kuò)展并分層提供云計(jì)算平臺(tái)監(jiān)控管理模塊。充分結(jié)合現(xiàn)有信息安全防護(hù)體系規(guī)劃要求,堅(jiān)持信息安全與信息化建設(shè)同步規(guī)劃,同步建設(shè)、同步投入運(yùn)行的原則,從安全組織、安全管理、安全技術(shù)方三個(gè)方面,建立體現(xiàn)深度防護(hù)戰(zhàn)略的云安全防護(hù)保障。云安全平臺(tái)可以為虛擬數(shù)據(jù)中心和云計(jì)算環(huán)境提供全方位保護(hù)—主機(jī)、網(wǎng)絡(luò)、應(yīng)用程序、數(shù)據(jù)和端點(diǎn)。確保對(duì)在基于虛擬化的云上部署的所有應(yīng)用程序都實(shí)施正確的分段和信任區(qū)域,提供立體的安全保護(hù)主機(jī)和虛擬機(jī)的安全。通過(guò)與云終端相互集成,云安全防護(hù)體系可以為虛擬終端和應(yīng)用程序提供更有效的防病毒和防惡意軟件保護(hù)。它將防病毒和防惡意軟件功能從各個(gè)虛擬機(jī)卸載到用于保護(hù)主機(jī)及主機(jī)上的所有虛擬機(jī)的安全虛擬機(jī)上。極大地簡(jiǎn)化了安全管理的過(guò)程,加強(qiáng)了對(duì)防病毒、性能瓶頸和僵尸網(wǎng)絡(luò)攻擊的防范。應(yīng)用主機(jī)及資源分配目前,應(yīng)用主機(jī)環(huán)境比較復(fù)雜,表現(xiàn)為品牌及型號(hào)繁多,涵蓋主流的國(guó)內(nèi)外服務(wù)器廠家,且購(gòu)置年代和配置都存在一定的差異。此類硬件產(chǎn)品的不統(tǒng)一將無(wú)法保證云計(jì)算基礎(chǔ)架構(gòu)平臺(tái)的規(guī)范性,隨著業(yè)務(wù)發(fā)展,應(yīng)用系統(tǒng)不斷增加,系統(tǒng)升級(jí)、硬件維護(hù)等運(yùn)維管理的工作量和難度逐步加大,帶來(lái)機(jī)房空間、電力及管理運(yùn)維的成本呈直線上升,而且,應(yīng)用系統(tǒng)與底層硬件之間形成了死板的一一映射關(guān)系,軟硬件之間的緊耦合關(guān)系導(dǎo)致資源利用率和效率較低,無(wú)法滿足業(yè)務(wù)增長(zhǎng)所需的敏捷性。系統(tǒng)的靈活性和擴(kuò)展性有待大幅提升,而市局通過(guò)構(gòu)建統(tǒng)一的云計(jì)算平臺(tái)可以充分利用了現(xiàn)有成熟的服務(wù)器虛擬化技術(shù)、存儲(chǔ)虛擬化技術(shù)以及網(wǎng)絡(luò)虛擬化技術(shù),由分散的硬件更改為虛擬化的共享資源池,共享資源包括服務(wù)器、存儲(chǔ)和網(wǎng)絡(luò)。通過(guò)虛擬化所有IT資源,可以提高資源利用率和針對(duì)高優(yōu)先級(jí)應(yīng)用程序進(jìn)行動(dòng)態(tài)資源分配。讓原有的陳舊系統(tǒng)或應(yīng)用煥發(fā)出新的生命。數(shù)據(jù)存儲(chǔ)在市局現(xiàn)有數(shù)據(jù)存儲(chǔ)環(huán)境中,存儲(chǔ)品牌、型號(hào)繁多,各應(yīng)用系統(tǒng)對(duì)存儲(chǔ)空間占用量較大,但這其中難免存在對(duì)應(yīng)用系統(tǒng)磁盤空間過(guò)量劃分的情況,同時(shí)缺少一種有效的手段對(duì)存儲(chǔ)內(nèi)的資源進(jìn)行監(jiān)控、回收及優(yōu)化。從部署存儲(chǔ)部署架構(gòu)看來(lái),雖然在鏈路上可以提供冗余保障,但是就存儲(chǔ)本身而言,仍然存在單點(diǎn)故障問(wèn)題,因此采用容災(zāi)備份中心建設(shè),結(jié)合“十二五”規(guī)劃要求,可引入云計(jì)算存儲(chǔ)管理模塊,融合統(tǒng)一存儲(chǔ)架構(gòu),提升存儲(chǔ)中心的靈活性和可靠性,并且提升對(duì)存儲(chǔ)資源用量的監(jiān)控和生命周期管理。云計(jì)算平臺(tái)采用統(tǒng)一的存儲(chǔ)局域網(wǎng)絡(luò)(SAN)訪問(wèn)方式,將原有的孤立的存儲(chǔ)設(shè)備納入統(tǒng)一的存儲(chǔ)網(wǎng)絡(luò)環(huán)境中,使網(wǎng)絡(luò)內(nèi)所有服務(wù)器都能平等的共享存儲(chǔ)資源,實(shí)現(xiàn)存儲(chǔ)系統(tǒng)的最大化利用率。采用云計(jì)算存儲(chǔ)技術(shù)后,原有的本地存儲(chǔ)將整合到統(tǒng)一的存儲(chǔ)網(wǎng)絡(luò)中,通過(guò)網(wǎng)絡(luò)系統(tǒng)的擴(kuò)展,可以進(jìn)一步實(shí)現(xiàn)廣域網(wǎng)內(nèi)存儲(chǔ)資源的共享。采用分布式共享存儲(chǔ)體系,所有網(wǎng)絡(luò)存儲(chǔ)資源均可以被網(wǎng)絡(luò)內(nèi)的計(jì)算結(jié)點(diǎn)共享,當(dāng)存儲(chǔ)資源不足時(shí),僅需要添加存儲(chǔ)節(jié)點(diǎn)到存儲(chǔ)網(wǎng)絡(luò)中,所有的計(jì)算結(jié)點(diǎn)就能夠快速的識(shí)別并使用新添加的存儲(chǔ)空間,滿足業(yè)務(wù)擴(kuò)展需求。應(yīng)用級(jí)容災(zāi)目前,現(xiàn)有虛擬機(jī)或物理服務(wù)器均未有較好的容災(zāi)方案,一旦出現(xiàn)問(wèn)題,只能按重新安裝系統(tǒng)、安裝應(yīng)用、恢復(fù)數(shù)據(jù)、測(cè)試的方法進(jìn)行恢復(fù),缺一不可,這樣就導(dǎo)致了較長(zhǎng)的恢復(fù)時(shí)間,容災(zāi)系統(tǒng)建設(shè)過(guò)程需充分利用現(xiàn)有機(jī)房資源,同時(shí)引入云計(jì)算技術(shù),提升容災(zāi)備份中心的靈活性和可靠性。云計(jì)算容災(zāi)技術(shù)把信息化龐大系統(tǒng)中的物理設(shè)備、操作系統(tǒng)、應(yīng)用配置、數(shù)據(jù)庫(kù)文件化的過(guò)程,這一過(guò)程將大大簡(jiǎn)化信息化系統(tǒng)的復(fù)雜度。隨后以虛擬機(jī)為單位,實(shí)現(xiàn)生產(chǎn)存儲(chǔ)設(shè)備與冗余存儲(chǔ)設(shè)備之間的鏡像級(jí)復(fù)制工作,無(wú)需考慮應(yīng)用對(duì)象,消除原有的存儲(chǔ)單點(diǎn)故障問(wèn)題。通過(guò)在災(zāi)備中心提供備用虛擬機(jī),備用虛機(jī)不實(shí)際占用物理資源,真正實(shí)現(xiàn)按需分配的動(dòng)態(tài)災(zāi)備中心。保證云災(zāi)備中心也是生產(chǎn)中心,兩個(gè)數(shù)據(jù)中心通過(guò)高速網(wǎng)絡(luò)互聯(lián),實(shí)現(xiàn)以IT服務(wù)為目標(biāo)的,不間斷的業(yè)務(wù)服務(wù)。市部門云計(jì)算平臺(tái)總體規(guī)劃云計(jì)算平臺(tái)整體建設(shè)思想本次建設(shè)將利用云計(jì)算相關(guān)技術(shù),結(jié)合綠色數(shù)據(jù)中心建設(shè)的目標(biāo)和需求,以戰(zhàn)略支持型信息化建設(shè)為導(dǎo)向,以支持保障部門信息化業(yè)務(wù)發(fā)展為建設(shè)思路,構(gòu)造一個(gè)功能齊全、設(shè)備先進(jìn)、運(yùn)行高效、使用靈活、維護(hù)方便、易于擴(kuò)展、投資省、高安全可靠的全局性基于云平臺(tái)數(shù)據(jù)資源中心。云計(jì)算平臺(tái)整體系統(tǒng)結(jié)構(gòu)本次云計(jì)算解決方案將針對(duì)計(jì)算服務(wù)整體架構(gòu)中的云計(jì)算服務(wù)區(qū),通過(guò)對(duì)底層服務(wù)器硬件及存儲(chǔ)資源實(shí)現(xiàn)虛擬化聚合部署,配合以云計(jì)算管理平臺(tái),實(shí)現(xiàn)云計(jì)算中基礎(chǔ)架構(gòu)即服務(wù)(IaaS)部分,同時(shí)該IaaS平臺(tái)也為以后計(jì)算中心提供更高層次的云計(jì)算服務(wù),如PaaS,SaaS服務(wù)提供了良好的基礎(chǔ)平臺(tái),且具有很高的自適應(yīng)性和擴(kuò)展空間。云計(jì)算服務(wù)區(qū)總體邏輯架構(gòu)如下:下面分別說(shuō)明一下云計(jì)算服務(wù)區(qū)的各個(gè)關(guān)鍵組件及邏輯層次。云計(jì)算服務(wù)基礎(chǔ)架構(gòu):提供了一個(gè)功能完整的、標(biāo)準(zhǔn)開(kāi)放的方便集成的IaaS服務(wù)層。這層提供的動(dòng)態(tài)基礎(chǔ)架構(gòu)是整個(gè)云計(jì)算服務(wù)的核心支撐層,其最核心的部分包括采用了浪潮服務(wù)器、存儲(chǔ)系統(tǒng)和虛擬化軟件構(gòu)建的云計(jì)算服務(wù)基礎(chǔ)架構(gòu)。該基礎(chǔ)架構(gòu)具備良好的性能、可用性和可靠性。通過(guò)部署虛擬化軟件、服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備,內(nèi)部搭建虛擬化環(huán)境,通過(guò)虛擬化技術(shù)構(gòu)建新一代的數(shù)據(jù)中心,形成統(tǒng)一的云計(jì)算信息系統(tǒng)平臺(tái)。在數(shù)據(jù)中心,所有資源整合后在邏輯上以單一整體的形式呈現(xiàn),這些資源根據(jù)需要進(jìn)行動(dòng)態(tài)擴(kuò)展和配置,各單位最終信息系統(tǒng)業(yè)務(wù)按需使用資源。通過(guò)虛擬化技術(shù),增強(qiáng)數(shù)據(jù)中心的可管理性,提高應(yīng)用的兼容性和可用性,加速應(yīng)用的部署,提升硬件資源的利用率,降低能源消耗。云計(jì)算服務(wù)數(shù)據(jù)安全保護(hù):通過(guò)部署云計(jì)算安全解決方案,可以幫助用戶建立起一個(gè)既能充分利用云計(jì)算優(yōu)勢(shì),同時(shí)又不犧牲安全性、控制力和遵從性的環(huán)境,其為虛擬數(shù)據(jù)中心和云計(jì)算環(huán)境提供了支持虛擬化的保護(hù),使用戶可以加強(qiáng)應(yīng)用程序和數(shù)據(jù)安全,提高可見(jiàn)性和控制力,以及加快整個(gè)云計(jì)算中心的遵從性舉措。云計(jì)算服務(wù)運(yùn)維管理體系:為整個(gè)云計(jì)算平臺(tái)搭建一套長(zhǎng)期運(yùn)維管理的體系,為云計(jì)算平臺(tái)的長(zhǎng)期有效運(yùn)行提供保障。云計(jì)算運(yùn)維管理體系包括組織管理模式、制度規(guī)范體系、技術(shù)支撐體系等多個(gè)層面的內(nèi)容,采用云計(jì)算技術(shù)手段和云計(jì)算管理制度結(jié)合的方式保障整個(gè)政務(wù)云平臺(tái)的平穩(wěn)運(yùn)行。云計(jì)算服務(wù)門戶:為云計(jì)算平臺(tái)的所有基礎(chǔ)架構(gòu)服務(wù)提供統(tǒng)一的服務(wù)門戶,用以支撐整個(gè)云計(jì)算平臺(tái)的日常運(yùn)營(yíng)。根據(jù)整個(gè)系統(tǒng)的設(shè)計(jì),建議至少包括如下兩個(gè)最主要的門戶:服務(wù)請(qǐng)求門戶,主要是提供給所有的云計(jì)算服務(wù)的用戶所必需的自服務(wù)門戶功能和基本的服務(wù)管理能力。運(yùn)行支持門戶,主要是提供給云計(jì)算服務(wù)的管理員進(jìn)行日常管理所必需的運(yùn)行和管理功能。后續(xù)可考慮建設(shè)云的容災(zāi)中心,可利用市政府統(tǒng)一的云計(jì)算平臺(tái)或者其他第三方提供的高安全級(jí)別的容災(zāi)中心。云計(jì)算資源管理中心與兩地資源中心通過(guò)光纖鏈路連接,管理兩地基礎(chǔ)資源;與各云平臺(tái)連接,提供各權(quán)屬單位的自服務(wù)門戶平臺(tái);網(wǎng)絡(luò)層上兩資源中心通過(guò)裸光纖互聯(lián),保證IP數(shù)據(jù)高速穩(wěn)定交互;資源中心的服務(wù)器資源,通過(guò)虛擬化技術(shù)進(jìn)行統(tǒng)一整合并調(diào)配使用,實(shí)現(xiàn)快速部署業(yè)務(wù)系統(tǒng)的需求。針對(duì)資源中心,新舊存儲(chǔ)通過(guò)異構(gòu)存儲(chǔ)虛擬化設(shè)備實(shí)現(xiàn)存儲(chǔ)資源的大整合,統(tǒng)一為業(yè)務(wù)提供存儲(chǔ)空間服務(wù);利用數(shù)據(jù)同步設(shè)備實(shí)現(xiàn)兩資源中心云存儲(chǔ)資源的實(shí)時(shí)同步,建立雙活數(shù)據(jù)中心,當(dāng)基礎(chǔ)設(shè)備出現(xiàn)故障,業(yè)務(wù)能保持不中斷,繼續(xù)提供服務(wù)。同時(shí)兩地資源中心分別通過(guò)備份存儲(chǔ)設(shè)備建立備份系統(tǒng),為數(shù)據(jù)保留多個(gè)副本,保證數(shù)據(jù)的安全性。計(jì)算資源和存儲(chǔ)資源配置估算計(jì)算資源和存儲(chǔ)資源是云中心的兩大類核心資源。對(duì)計(jì)算資源和存儲(chǔ)資源的合理估算和配置,是建設(shè)先進(jìn)、高效云平臺(tái)的必要條件。以下給出我們根據(jù)市部門現(xiàn)有業(yè)務(wù)應(yīng)用和數(shù)據(jù)資源所作出的云中心計(jì)算資源、存儲(chǔ)資源、基礎(chǔ)網(wǎng)絡(luò)和安全設(shè)施的初步估算。未來(lái)項(xiàng)目實(shí)施過(guò)程中,我們還將依據(jù)需求調(diào)研的情況對(duì)現(xiàn)有估算進(jìn)行進(jìn)一步的細(xì)化和調(diào)整。經(jīng)方案征集提供材料進(jìn)行估算,需要遷移的部門網(wǎng)業(yè)務(wù)系統(tǒng)涉及40余個(gè),目前占用設(shè)備資源為:CPU計(jì)算單元370核,占用內(nèi)存626G,使用本機(jī)存儲(chǔ)空間23.96T、磁盤陣列存儲(chǔ)數(shù)據(jù)14T,整體利用率20%左右。新上省市共建項(xiàng)目數(shù)據(jù)應(yīng)用服務(wù)設(shè)計(jì)需要CPU計(jì)算單元144核,內(nèi)存384G存儲(chǔ)空間約為12T(需根據(jù)實(shí)際情況);新上部門間共享平臺(tái)應(yīng)用設(shè)計(jì)需要112核CPU計(jì)算單元,內(nèi)存192G,存儲(chǔ)空間10T(需根據(jù)實(shí)際情況)。因此,擬新增6臺(tái)高性能服務(wù)器和2臺(tái)存儲(chǔ)設(shè)備組建一個(gè)云應(yīng)用資源池,供40個(gè)遷移業(yè)務(wù)系統(tǒng)和6個(gè)新增系統(tǒng)數(shù)據(jù)處理應(yīng)用。云計(jì)算資源層設(shè)計(jì)云計(jì)算基礎(chǔ)架構(gòu)體系設(shè)計(jì)原則云項(xiàng)目建設(shè)方案設(shè)計(jì)遵循以下幾個(gè)原則:先進(jìn)性、標(biāo)準(zhǔn)性、實(shí)用性、可擴(kuò)展性、兼容性、易用性、安全性、可靠性和前瞻性:(1). 先進(jìn)性系統(tǒng)設(shè)計(jì)達(dá)到業(yè)界領(lǐng)先水平,采用當(dāng)今最新且成熟的計(jì)算機(jī)、網(wǎng)絡(luò)、控制、數(shù)據(jù)存儲(chǔ)等技術(shù)。符合最新的技術(shù)發(fā)展潮流,且各系統(tǒng)設(shè)計(jì)切實(shí)可行、并容易實(shí)現(xiàn)。(2). 標(biāo)準(zhǔn)性系統(tǒng)設(shè)計(jì)嚴(yán)格的按照國(guó)際和國(guó)家標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì),并遵循國(guó)內(nèi)外有關(guān)的規(guī)范要求。具體包括:遵循標(biāo)準(zhǔn)的整體協(xié)議框架、提供標(biāo)準(zhǔn)接口、使用標(biāo)準(zhǔn)的數(shù)據(jù)傳輸協(xié)議等。(3). 實(shí)用性系統(tǒng)設(shè)計(jì)注重實(shí)用性,系統(tǒng)配置滿足整個(gè)預(yù)警平臺(tái)的實(shí)際應(yīng)用需要并符合用戶的實(shí)際需要。(4). 可擴(kuò)展性系統(tǒng)設(shè)計(jì)考慮了平臺(tái)未來(lái)功能擴(kuò)充發(fā)展的需要,留有充分的擴(kuò)充余地,方便地實(shí)現(xiàn)系統(tǒng)的平滑擴(kuò)展和升級(jí)。(5). 易用性系統(tǒng)設(shè)計(jì)注重易用性,要求系統(tǒng)參數(shù)配置少,調(diào)整少,自動(dòng)化程度高,使用方便,操作簡(jiǎn)單,管理方便。(6). 安全性系統(tǒng)設(shè)計(jì)具備安全性,采用多種安全防范技術(shù)和措施,在物理、系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用以及管理上全面的保障系統(tǒng)的安全。(7). 可靠性系統(tǒng)設(shè)計(jì)注重可靠性,能夠長(zhǎng)期穩(wěn)定工作,保證7*24小時(shí)不間斷地穩(wěn)定可靠運(yùn)行,適應(yīng)工作環(huán)境能力強(qiáng),故障率低,維護(hù)維修方便。(8). 前瞻性系統(tǒng)設(shè)計(jì)具有前瞻性,整個(gè)系統(tǒng)的硬件配置,應(yīng)符合長(zhǎng)遠(yuǎn)的規(guī)劃和設(shè)計(jì),保證5~10年內(nèi)系統(tǒng)的需要。通過(guò)需求分析我們可以得知,本次部門云平臺(tái)系統(tǒng)建設(shè)項(xiàng)目的設(shè)計(jì)目標(biāo)是構(gòu)造一個(gè)功能齊全、設(shè)備先進(jìn)、運(yùn)行高效、使用靈活、維護(hù)方便、易于擴(kuò)展、投資省、高安全可靠的信息系統(tǒng)。系統(tǒng)總體架構(gòu)通過(guò)部署虛擬化軟件、服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備,內(nèi)部搭建虛擬化環(huán)境,通過(guò)虛擬化技術(shù)構(gòu)建新一代的數(shù)據(jù)中心,形成統(tǒng)一的云計(jì)算信息系統(tǒng)平臺(tái)。在數(shù)據(jù)中心,所有資源整合后在邏輯上以單一整體的形式呈現(xiàn),這些資源根據(jù)需要進(jìn)行動(dòng)態(tài)擴(kuò)展和配置,各單位最終信息系統(tǒng)業(yè)務(wù)按需使用資源。通過(guò)虛擬化技術(shù),增強(qiáng)數(shù)據(jù)中心的可管理性,提高應(yīng)用的兼容性和可用性,加速應(yīng)用的部署,提升硬件資源的利用率,降低能源消耗。虛擬化是云計(jì)算的基礎(chǔ),在數(shù)據(jù)中心,通過(guò)虛擬化技術(shù)將物理服務(wù)器進(jìn)行虛擬化,具體為CPU虛擬化、內(nèi)存虛擬化、設(shè)備I/O虛擬化等,實(shí)現(xiàn)在單一物理服務(wù)器上運(yùn)行多個(gè)虛擬服務(wù)器(虛擬機(jī)),把應(yīng)用程序?qū)Φ讓拥南到y(tǒng)和硬件的依賴抽象出來(lái),從而解除應(yīng)用與操作系統(tǒng)和硬件的耦合關(guān)系,使得物理設(shè)備的差異性與兼容性與上層應(yīng)用透明,不同的虛擬機(jī)之間相互隔離、互不影響,可以運(yùn)行不同的操作系統(tǒng),并提供不同的應(yīng)用服務(wù)。什么是服務(wù)器虛擬化服務(wù)器虛擬化將硬件、操作系統(tǒng)和應(yīng)用程序一同裝入
一個(gè)可遷移的虛擬機(jī)檔案文件中如圖所示:在單臺(tái)服務(wù)器虛擬化基礎(chǔ)上,通過(guò)虛擬化管理中心(vCenter)將多臺(tái)服務(wù)器、存儲(chǔ)硬件基礎(chǔ)資源進(jìn)行整合,構(gòu)建硬件(CPU、內(nèi)存、I/O)資源池,實(shí)現(xiàn)數(shù)據(jù)中心整體硬件資源的按需分配。虛擬化結(jié)構(gòu)如圖所示:將服務(wù)器物理資源抽象成邏輯資源,讓一臺(tái)服務(wù)器變成幾臺(tái)甚至上百臺(tái)相互隔離的虛擬服務(wù)器,或者讓幾臺(tái)服務(wù)器變成一臺(tái)服務(wù)器來(lái)用,我們不再受限于物理上的界限,而是讓CPU、內(nèi)存、磁盤、I/O等硬件變成可以動(dòng)態(tài)管理的“資源池”,從而提高資源的利用率,簡(jiǎn)化系統(tǒng)管理,實(shí)現(xiàn)服務(wù)器整合,讓IT對(duì)業(yè)務(wù)的變化更具適應(yīng)力,從而構(gòu)建出部門云計(jì)算中心系統(tǒng)平臺(tái)的基礎(chǔ)。虛擬化拓?fù)涞慕Y(jié)構(gòu)針對(duì)上面的拓?fù)鋱D,詳細(xì)說(shuō)明如下:整體架構(gòu)可以分為三層,最底層為存儲(chǔ)網(wǎng)絡(luò)層,中間層為虛擬化系統(tǒng),最上層為虛擬服務(wù)器層;其中,下面的兩層為資源提供方,最上層為資源用戶;而中間層的虛擬化系統(tǒng)又起到了資源分配調(diào)度的作用。部署虛擬化系統(tǒng)之后的整體架構(gòu)和傳統(tǒng)架構(gòu)下是沒(méi)很大區(qū)別的,利用共享存儲(chǔ)實(shí)現(xiàn)數(shù)據(jù)集中和共享,結(jié)合管理中心實(shí)現(xiàn)應(yīng)用系統(tǒng)的統(tǒng)一管理;虛擬化集群的形成,直接為應(yīng)用系統(tǒng)提供了高可用和負(fù)載均衡的功能,集中的數(shù)據(jù)存儲(chǔ)為本地災(zāi)備及異地災(zāi)備提供了擴(kuò)展空間。云計(jì)算中心虛擬化組件遷移(VMotion)VMotion使運(yùn)行中的虛擬機(jī)從一臺(tái)物理服務(wù)器實(shí)時(shí)遷移到另一臺(tái)物理服務(wù)器,同時(shí)保持業(yè)務(wù)的連續(xù)運(yùn)行。實(shí)現(xiàn)了零停機(jī)時(shí)間和連續(xù)可用的服務(wù),并能全面保證事務(wù)的完整性。是用于創(chuàng)建動(dòng)態(tài)、自動(dòng)化、自我優(yōu)化的數(shù)據(jù)中心的關(guān)鍵促成技術(shù)。高可靠性(HA)VMwareHA自動(dòng)監(jiān)控物理服務(wù)器的可用性。VMwareHA可檢測(cè)物理服務(wù)器故障,如果檢測(cè)到故障,可重新在資源池中其他物理服務(wù)器上啟動(dòng)虛擬機(jī),整個(gè)過(guò)程無(wú)需人工干預(yù)。該功能組件比傳統(tǒng)的雙機(jī)冷備更具有自動(dòng)啟動(dòng)的優(yōu)勢(shì)。容錯(cuò)(FT)FT的功能相當(dāng)于雙機(jī)熱備,但是比傳統(tǒng)的雙機(jī)熱備更具有優(yōu)勢(shì),它可以時(shí)刻在兩個(gè)不同的物理服務(wù)器上保持兩個(gè)相同的鏡像,其中一臺(tái)出現(xiàn)故障時(shí),不影響業(yè)務(wù)的運(yùn)行,同時(shí)自動(dòng)在另一臺(tái)物理服務(wù)器上建立以特相同的鏡像,物理服務(wù)器不受硬件型號(hào)配置的限制。動(dòng)態(tài)資源分配(DRS)跨資源池不間斷地監(jiān)控利用率,并在多臺(tái)虛擬機(jī)之間智能地分配可用資源,使資源優(yōu)先用于最重要的應(yīng)用程序,以便讓資源與業(yè)務(wù)目標(biāo)相協(xié)調(diào)。自動(dòng)、不間斷地優(yōu)化硬件利用率,以響應(yīng)不斷變化的情況。為業(yè)務(wù)部門提供專用的虛擬基礎(chǔ)結(jié)構(gòu),同時(shí)讓IT部門能夠集中、全面地控制硬件。執(zhí)行零停機(jī)服務(wù)器維護(hù)。通過(guò)使用分布式電源管理來(lái)整合工作負(fù)載和關(guān)閉集群中的虛擬機(jī)暫時(shí)不需要的耗電服務(wù)器,從而減少數(shù)據(jù)中心的能耗。DPM分布式電源管理VMware高可用管理系統(tǒng)中,為了在虛擬化環(huán)境中能達(dá)到節(jié)能減排放的作用,設(shè)置了DPM的功能。這是一個(gè)高級(jí)電源管理功能它可以提供當(dāng)虛擬化環(huán)境中不需要那么大的運(yùn)算資源的的時(shí)候,同過(guò)統(tǒng)一管理平臺(tái)VCenterDRS功能管理模塊相結(jié)合??梢允菍?shí)現(xiàn)當(dāng)我們的業(yè)務(wù)系統(tǒng)在不需要云平臺(tái)提供那么大的計(jì)算能力的時(shí)候,為了節(jié)能減排放.VCenter會(huì)通過(guò)自動(dòng)調(diào)度將某些服務(wù)器上的虛擬機(jī)通過(guò)在線遷移的方式自動(dòng)遷移到平臺(tái)中的其它物理服務(wù)器中運(yùn)行,將空閑服務(wù)器進(jìn)行下電。當(dāng)業(yè)務(wù)重新增長(zhǎng)后,需要平臺(tái)提供大規(guī)模計(jì)算的時(shí)候,會(huì)重新啟動(dòng)該服務(wù)器加入到平臺(tái)中,為虛擬服務(wù)器提供運(yùn)算支持。存儲(chǔ)遷移(StorageVmotion)全面保證事務(wù)的完整性。提供零停機(jī)遷移,并全面保證事務(wù)的完整性。不會(huì)對(duì)虛擬環(huán)境中運(yùn)行的業(yè)務(wù)造成任何終端影響?;ゲ僮餍?。操作系統(tǒng)和硬件的徹底獨(dú)立性,允許StorageVMotion跨VMwareESX所支持的任何類型的硬件和存儲(chǔ)設(shè)備遷移運(yùn)行任何操作系統(tǒng)的任何虛擬機(jī)。支持光纖通道SAN。利用速度最高為4GB的各種光纖通道SAN存儲(chǔ)系統(tǒng),實(shí)現(xiàn)虛擬機(jī)磁盤文件的實(shí)時(shí)遷移。統(tǒng)一備份(VCB)VCB是虛擬化架構(gòu)面向存儲(chǔ)軟件設(shè)備的驅(qū)動(dòng),通過(guò)任何一個(gè)基于虛擬化架構(gòu)的節(jié)點(diǎn),以IP的方式,利用VCB看到虛擬化架構(gòu)里面的每一個(gè)虛擬機(jī)下的每一個(gè)卷,每一個(gè)目錄結(jié)構(gòu)和文件,進(jìn)而支持自由或第三方的備份軟件對(duì)虛擬化架構(gòu)進(jìn)行統(tǒng)一備份,保證客戶既有投資和擴(kuò)展需要??煺眨⊿napshot)Snapshot將現(xiàn)有的狀態(tài)標(biāo)記一個(gè)結(jié)束,只對(duì)虛擬機(jī)進(jìn)行增量備份,因此速度快,并能根據(jù)需要快速恢復(fù)到每一個(gè)備份點(diǎn),對(duì)業(yè)務(wù)中斷后提供快速恢復(fù)功能保證,進(jìn)行提高整體系統(tǒng)的連續(xù)性。云計(jì)算中心的設(shè)計(jì)部門的應(yīng)用主要是WEB、OA、數(shù)據(jù)庫(kù)等對(duì)資源需求不高卻需要獨(dú)立服務(wù)器支撐的應(yīng)用,其中很多應(yīng)用均為關(guān)鍵應(yīng)用,若沒(méi)有冗余的系統(tǒng)保護(hù),極易造成業(yè)務(wù)的中斷。而若傳統(tǒng)采用雙機(jī)熱備的方式,既造成硬件資源的加倍浪費(fèi)又增加了雙機(jī)軟件的采購(gòu)成本;其次所有數(shù)據(jù)均是采用本地化存儲(chǔ),數(shù)據(jù)的安全性和統(tǒng)一管理得不到保證。根據(jù)實(shí)際業(yè)務(wù)需求,結(jié)合目前具體發(fā)展規(guī)劃,我們提出如下的IT架構(gòu)的方案建議,整體解決方案見(jiàn)下面系統(tǒng)拓?fù)鋱D。存儲(chǔ)網(wǎng)絡(luò)架構(gòu)為了保證虛擬化平臺(tái)的高可用及動(dòng)態(tài)資源平衡等特性,服務(wù)器通過(guò)以光纖鏈路連接到存儲(chǔ)陣列,陣列采用冗余的雙控制器,以保障業(yè)務(wù)的連續(xù)性和穩(wěn)定性。依托虛擬化架構(gòu)的優(yōu)勢(shì),虛擬架構(gòu)系統(tǒng)生產(chǎn)出來(lái)的虛擬機(jī)的封裝文件都存放在FC-SAN存儲(chǔ)陣列上。通過(guò)共享的FC-SAN存儲(chǔ)架構(gòu),可以最大化的發(fā)揮虛擬架構(gòu)的優(yōu)勢(shì),進(jìn)行在線地遷移正在運(yùn)行的虛擬機(jī)(VMotion),實(shí)現(xiàn)雙機(jī)熱備(HA)、容錯(cuò)(FT)、進(jìn)行動(dòng)態(tài)的資源管理(DRS)和集中的基于虛擬機(jī)快照技術(shù)的Lan-Free的整合備份(VCB)等,而且為容災(zāi)備份提供擴(kuò)展性和打下基礎(chǔ)。根據(jù)業(yè)務(wù)的實(shí)際數(shù)據(jù)存儲(chǔ)需求,配置SAS盤達(dá)到大容量數(shù)據(jù)存儲(chǔ)的要求,實(shí)際的磁盤容量配置可以根據(jù)整個(gè)信息系統(tǒng)的實(shí)際需要系統(tǒng)規(guī)劃進(jìn)行配置。數(shù)據(jù)保護(hù)方案中實(shí)施了VMware主機(jī)集群系統(tǒng)(Cluster),通過(guò)HA、FT、DRS等虛擬化高級(jí)功能技術(shù),可以實(shí)現(xiàn)集群系統(tǒng)內(nèi),任何一個(gè)主機(jī)系統(tǒng)出現(xiàn)故障,可以自動(dòng)將該主機(jī)的負(fù)載轉(zhuǎn)移至系統(tǒng)內(nèi)的其他成員。而且方案配置的磁盤陣列采用雙冗余控制器,在很大程度上避免了單點(diǎn)故障,提高了整個(gè)業(yè)務(wù)系統(tǒng)的可用性。為了對(duì)數(shù)據(jù)進(jìn)行快速備份和恢復(fù),虛擬化平臺(tái)中采用自帶的快照軟件對(duì)業(yè)務(wù)數(shù)據(jù)做快照,按照時(shí)間計(jì)劃自動(dòng)將數(shù)據(jù)進(jìn)行快照,實(shí)現(xiàn)短時(shí)間點(diǎn)數(shù)據(jù)保護(hù)??煺詹僮鞯男阅芎托视袠O大地提升,可以更好的減少備份和恢復(fù)的時(shí)間窗口,有效提升RPO和RTO指標(biāo),提升工作效率降低成本。網(wǎng)絡(luò)規(guī)劃由于本次網(wǎng)絡(luò)中心改造主要針對(duì)服務(wù)器和存儲(chǔ)進(jìn)行優(yōu)化,并不涉及到太多網(wǎng)絡(luò)部分的改動(dòng),因此無(wú)需對(duì)現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行變動(dòng)。提高資源利用率,降低TCO:(總所有成本)傳統(tǒng)運(yùn)行模式下,服務(wù)器硬件平均使用效率僅在5-15%,虛擬化技術(shù)可以大幅度提高市部門中服務(wù)器硬件資源的效率和可用性。通過(guò)服務(wù)器整合方案,可以將服務(wù)器硬件資源使用效率提高到60-80%以上。節(jié)能降耗顯著,有效降低運(yùn)行成本,響應(yīng)國(guó)家政策號(hào)召服務(wù)器整合后,減少了機(jī)房設(shè)備占地空間,可有效節(jié)省相關(guān)供電等配套設(shè)施的使用,也減少了制冷散熱和電力需求,相關(guān)管理人員需求也得以明顯降低。在一個(gè)虛擬架構(gòu)中,用戶可以把資源看成是專屬于他們的,而管理員則可在市部門范圍內(nèi)管理和優(yōu)化整個(gè)資源。VMware的虛擬架構(gòu)可以通過(guò)增加效率、靈活性和響應(yīng)能力來(lái)降低市部門的IT花費(fèi)。管理一個(gè)虛擬架構(gòu)可以讓IT部門更快的連接和管理資源,以滿足業(yè)務(wù)所需。業(yè)務(wù)連續(xù)性保障得到增強(qiáng)使用虛擬構(gòu)架,IT管理員能改進(jìn)現(xiàn)有業(yè)務(wù)系統(tǒng)連續(xù)性的所有方面,例如:? 由于主備服務(wù)器之間的硬件獨(dú)立性,使得災(zāi)難恢復(fù)更快而花費(fèi)不多? 排除計(jì)劃內(nèi)的硬件宕機(jī),并明顯的減少計(jì)劃內(nèi)的軟件宕機(jī)? 管理所有虛擬機(jī)和監(jiān)控宿主機(jī)的單點(diǎn)控制技術(shù)? 為了實(shí)現(xiàn)捕捉和恢復(fù),完全的把主機(jī)壓縮到文件里去? 簡(jiǎn)化和可重復(fù)的自動(dòng)程序?yàn)榱藢?shí)現(xiàn)高可用性,市部門使用過(guò)第三方軟件例如微軟和Veritas的集群軟件,把兩臺(tái)服務(wù)器綁定在一個(gè)熱備環(huán)境。即使運(yùn)行在服務(wù)器上的應(yīng)用程序有集群感知能力,萬(wàn)一主服務(wù)器遭遇硬件或軟件錯(cuò)誤,這樣的安排仍然會(huì)導(dǎo)致非應(yīng)用程序宕機(jī)。冗余能消除單點(diǎn)失敗。隨著IT對(duì)市部門運(yùn)作而言變得更加重要,越來(lái)越多的應(yīng)用則被要求高度可用。然而,為了實(shí)現(xiàn)如上所述的高可用性集群,就像很多服務(wù)器運(yùn)行應(yīng)用一樣,市部門需要預(yù)備和管理兩次。 有了虛擬化,IT管理員能在運(yùn)行重要應(yīng)用的實(shí)體機(jī)和同等配置的虛擬機(jī)上創(chuàng)建集群。在待機(jī)狀態(tài)下,虛擬機(jī)并不消耗計(jì)算機(jī)資源,并且能以非常高的比例整合到一個(gè)或幾個(gè)實(shí)體平臺(tái)上去。結(jié)果,市部門無(wú)須在硬件數(shù)量或管理和安裝補(bǔ)丁上投入雙倍的人力和物力,從而實(shí)現(xiàn)高可用性。冗余的方式將由2N變?yōu)镹+1。提高運(yùn)營(yíng)效率,改善服務(wù)水平經(jīng)過(guò)虛擬化,可以顯著加快新服務(wù)器和應(yīng)用的部署,大大降低新業(yè)務(wù)加載時(shí)間,同時(shí)IT人員可以主動(dòng)地規(guī)劃業(yè)務(wù)和IT資源之間的增長(zhǎng),有效應(yīng)對(duì)變化迅速的業(yè)務(wù)需求,改善IT部門和業(yè)務(wù)部門之間的關(guān)系,經(jīng)過(guò)虛擬化,硬件維護(hù)需要數(shù)天/周的變更管理準(zhǔn)備和1-3小時(shí)維護(hù)窗口,現(xiàn)在可以進(jìn)行快速的硬件維護(hù)和升級(jí),有效改善服務(wù)水平。簡(jiǎn)化了管理通過(guò)單一虛擬控制平臺(tái),可集中管理所有X86架構(gòu)服務(wù)器存儲(chǔ)系統(tǒng),包括部署、監(jiān)視和定義操作。部署更新工作由原來(lái)數(shù)天/星期縮短為只需幾分鐘即可完成;操作實(shí)現(xiàn)自動(dòng)化;資源統(tǒng)一調(diào)度,控制安全訪問(wèn);并可全面支持現(xiàn)有管理平臺(tái),節(jié)省客戶投資。云計(jì)算資源管理平臺(tái)云資源管理平臺(tái),它承載了云系統(tǒng)的整合和管理,并可以向外部提供自助式的資源供給服務(wù)。該系統(tǒng)采用開(kāi)放架構(gòu),方便于支持各種業(yè)務(wù)系統(tǒng)的整合。該系統(tǒng)中間邏輯層主要可以分為資源供應(yīng)與自服務(wù),業(yè)務(wù)運(yùn)營(yíng)與計(jì)費(fèi),資源綜合管理,自動(dòng)化分析與調(diào)優(yōu)等幾個(gè)模塊。底層可以是開(kāi)放式的第三方的虛擬化系統(tǒng)或者存儲(chǔ)系統(tǒng),通過(guò)這些底層系統(tǒng)將物理的計(jì)算資源,存儲(chǔ)資源和網(wǎng)絡(luò)資源整合起來(lái),進(jìn)行池化和資源管理。資源供應(yīng)與自助式服務(wù)主要是提供按需獲取,按量計(jì)費(fèi)的可信賴資源服務(wù),用戶可以自助的申請(qǐng)資源,在配額范圍內(nèi)系統(tǒng)可以自動(dòng)審批并創(chuàng)建該資源;資源綜合管理系統(tǒng)可以對(duì)虛擬資源和物理資源進(jìn)行實(shí)時(shí)的監(jiān)控和性能查看,并且記錄歷史數(shù)據(jù);自動(dòng)化分析與調(diào)優(yōu)則是基于資源綜合管理系統(tǒng)的數(shù)據(jù),通過(guò)自學(xué)習(xí)算法,自適應(yīng)算法等綜合系統(tǒng),去判斷系統(tǒng)的性能瓶頸并給出合理化建議,在提前配置的前提下,可以進(jìn)行一些自動(dòng)的性能調(diào)優(yōu);業(yè)務(wù)運(yùn)營(yíng)與計(jì)費(fèi)系統(tǒng)則是維護(hù)用戶的資源使用信息和業(yè)務(wù)的運(yùn)營(yíng)情況,提供報(bào)表等數(shù)據(jù)給用戶參考整個(gè)云平臺(tái)的資源使用情況。云計(jì)算中心網(wǎng)絡(luò)層設(shè)計(jì)設(shè)計(jì)思路部門云平臺(tái)網(wǎng)絡(luò)建設(shè)需求部門云平臺(tái)網(wǎng)絡(luò)建設(shè)的宗旨在于:建設(shè)部門云計(jì)算網(wǎng)絡(luò)中心、整合各類社會(huì)資源、互聯(lián)網(wǎng)資源以及自身資源,大力貫徹并推進(jìn)市政府各行業(yè)應(yīng)用云落地,將部門云計(jì)算中心建設(shè)成為國(guó)內(nèi)外具有影響力的云計(jì)算平臺(tái)之一。云計(jì)算的成功的對(duì)外提供服務(wù),其中IaaS平臺(tái)是基礎(chǔ),是建設(shè)云計(jì)算必不可少的組成部分。建設(shè)一個(gè)高性能、高安全、高可靠、易擴(kuò)展、易管理等云計(jì)算基礎(chǔ)網(wǎng)絡(luò)承載平臺(tái)至關(guān)重要。云平臺(tái)網(wǎng)絡(luò)建設(shè)原則高性能云計(jì)算中心不但要提供高帶寬和多業(yè)務(wù),而且能隨時(shí)升級(jí)網(wǎng)絡(luò)以滿足將來(lái)的業(yè)務(wù)需要,包括提供多種接入端口,滿足不同帶寬的專線接入、警種業(yè)務(wù)等。未來(lái)大量的云計(jì)算用戶的接入將對(duì)云計(jì)算中心產(chǎn)生巨大的流量負(fù)荷,這就要求云計(jì)算中心具備很強(qiáng)的數(shù)據(jù)吞吐和交換能力,具備應(yīng)對(duì)峰值流量的能力。高可靠網(wǎng)絡(luò)作為云計(jì)算中心的基礎(chǔ)設(shè)施,應(yīng)采用高可靠的產(chǎn)品和技術(shù),充分考慮系統(tǒng)的應(yīng)變能力、容錯(cuò)能力和糾錯(cuò)能力,確保整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行穩(wěn)定、可靠。部門云計(jì)算中心的核心業(yè)務(wù)都集中在數(shù)據(jù)中心,一旦數(shù)據(jù)中心出現(xiàn)故障,將對(duì)云平臺(tái)業(yè)務(wù)系統(tǒng)的正常運(yùn)作造成極大的沖擊,帶來(lái)巨大的損失。一個(gè)高可靠的數(shù)據(jù)中心可以幫助云平臺(tái)在集中資源、提高業(yè)務(wù)服務(wù)水平的同時(shí)降低運(yùn)行成本。高安全網(wǎng)絡(luò)基礎(chǔ)設(shè)計(jì)的安全性,涉及到部門云計(jì)算中心業(yè)務(wù)的核心數(shù)據(jù)安全。應(yīng)按照端到端訪問(wèn)安全、網(wǎng)絡(luò)L2-L7層安全兩個(gè)維度對(duì)安全體系進(jìn)行設(shè)計(jì)規(guī)劃,從局部安全、全局安全到智能安全,將安全理念滲透到整個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)中。易管理數(shù)據(jù)中心是IT技術(shù)最為密集的地方,數(shù)據(jù)中心的設(shè)備繁多,各種協(xié)議和應(yīng)用部署越來(lái)越復(fù)雜,對(duì)運(yùn)維人員的要求也越來(lái)越高,單獨(dú)依賴運(yùn)維人員個(gè)人的技術(shù)能力和業(yè)務(wù)能力是無(wú)法保證業(yè)務(wù)運(yùn)行的持續(xù)性的。因此數(shù)據(jù)中心需要提供完善的運(yùn)維管理平臺(tái),對(duì)數(shù)據(jù)中心IT資源進(jìn)行全局掌控,減少日常的運(yùn)維的人為故障。同時(shí)一旦出現(xiàn)故障,能夠借助工具直觀、快速定位。云計(jì)算中心網(wǎng)絡(luò)運(yùn)維平臺(tái)可以提供7×24不間斷的網(wǎng)絡(luò)監(jiān)控、技術(shù)服務(wù)與支持,標(biāo)準(zhǔn)監(jiān)控程序每隔5分鐘會(huì)檢測(cè)網(wǎng)絡(luò)聯(lián)接狀況,出現(xiàn)問(wèn)題立即告警并及時(shí)通知用戶。標(biāo)準(zhǔn)開(kāi)放先進(jìn)部門云數(shù)據(jù)中心將長(zhǎng)期支撐云計(jì)算中心的業(yè)務(wù)發(fā)展,而網(wǎng)絡(luò)又是數(shù)據(jù)中心的基礎(chǔ)支撐平臺(tái),因此部門云計(jì)算中心網(wǎng)絡(luò)的建設(shè)需要考慮后續(xù)的機(jī)會(huì)成本,采用主流的、先進(jìn)的技術(shù)和產(chǎn)品(如數(shù)據(jù)中心級(jí)設(shè)備、虛擬化支持等),保證基礎(chǔ)支撐平臺(tái)5~10年內(nèi)不會(huì)被淘汰,從而實(shí)現(xiàn)投資的保護(hù)。綠色節(jié)能數(shù)據(jù)中心能源消耗已經(jīng)成為數(shù)據(jù)中心在進(jìn)行建設(shè)中需要重點(diǎn)關(guān)注的重要內(nèi)容,計(jì)算虛擬化技術(shù)應(yīng)用可以減少計(jì)算服務(wù)器的部署數(shù)量,網(wǎng)絡(luò)虛擬化技術(shù)可以優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),減少網(wǎng)絡(luò)設(shè)備的冗余部署,而網(wǎng)絡(luò)設(shè)備的各類綠色設(shè)計(jì)技術(shù)可以減少單臺(tái)設(shè)備的能源消耗,減少設(shè)備能耗不僅有助于降低電費(fèi)開(kāi)銷,更重要的是便于降低設(shè)備中器件的工作溫度,提高設(shè)備的可靠性,從而大大降低設(shè)備的使用和維護(hù)成本。云平臺(tái)網(wǎng)絡(luò)系統(tǒng)整體架構(gòu)整體架構(gòu)設(shè)計(jì)思想結(jié)構(gòu)化設(shè)計(jì)結(jié)構(gòu)化的網(wǎng)絡(luò)設(shè)計(jì)便于上層協(xié)議的部署和網(wǎng)絡(luò)的管理,提高網(wǎng)絡(luò)的收斂速度,實(shí)現(xiàn)高可靠。云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)化設(shè)計(jì)體現(xiàn)在適當(dāng)?shù)娜哂嘈院途W(wǎng)絡(luò)的對(duì)稱性兩個(gè)方面。如下圖所示:冗余的引入可以消除設(shè)備和鏈路的單點(diǎn)故障,但是過(guò)度的冗余同樣會(huì)使網(wǎng)絡(luò)過(guò)于復(fù)雜,不便于運(yùn)行和維護(hù),因此一般采用雙節(jié)點(diǎn)雙歸屬的架構(gòu)設(shè)計(jì)網(wǎng)絡(luò)結(jié)構(gòu)的對(duì)稱,可以使得網(wǎng)絡(luò)設(shè)備的配置簡(jiǎn)化、拓?fù)渲庇^,有助于協(xié)議設(shè)計(jì)分析。在云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)時(shí),由于引入了冗余和對(duì)稱的設(shè)計(jì),這必將引入網(wǎng)絡(luò)的環(huán)路,可通過(guò)如下建設(shè)思路消除環(huán)路影響:通過(guò)網(wǎng)絡(luò)虛擬化技術(shù)技術(shù)對(duì)同一層面的設(shè)備進(jìn)行橫向整合,將兩臺(tái)或多臺(tái)設(shè)備虛擬為一臺(tái)設(shè)務(wù),統(tǒng)一轉(zhuǎn)發(fā)、統(tǒng)一管理,并實(shí)現(xiàn)跨設(shè)備的鏈路捆綁。因此不會(huì)引入環(huán)路,無(wú)需部署STP和VRRP等協(xié)議,簡(jiǎn)化網(wǎng)絡(luò)協(xié)議的部署,大大縮短設(shè)備和鏈路收斂時(shí)間(毫秒級(jí)),鏈路負(fù)載分擔(dān)方式工作,利用率大大提升。在本方案的設(shè)計(jì)中,將采用端到端的網(wǎng)絡(luò)虛擬化部署,滿足網(wǎng)絡(luò)高可靠的同時(shí),簡(jiǎn)化網(wǎng)絡(luò)運(yùn)維管理。模塊化設(shè)計(jì)構(gòu)建云計(jì)算數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)時(shí),應(yīng)采用模塊化的設(shè)計(jì)方法,將云計(jì)算數(shù)據(jù)中心劃分為不同的功能區(qū)域,用于實(shí)現(xiàn)不同的功能或部署不同的應(yīng)用,使得整個(gè)云計(jì)算數(shù)據(jù)中心的架構(gòu)具備可伸縮性、靈活性、和高可用性。云計(jì)算數(shù)據(jù)中心中的服務(wù)器將會(huì)根據(jù)服務(wù)器上的應(yīng)用的用戶訪問(wèn)特性和應(yīng)用的功能不同部署在不同的區(qū)域中。如下圖所示:云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)分為云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)接入?yún)^(qū)、云計(jì)算數(shù)據(jù)中心核心交換區(qū)和云計(jì)算數(shù)據(jù)中心功能業(yè)務(wù)接入?yún)^(qū)三大功能區(qū)域,其中網(wǎng)絡(luò)接入?yún)^(qū)和服務(wù)器接入?yún)^(qū)依據(jù)服務(wù)類型的不同,可進(jìn)行子區(qū)的細(xì)分。云計(jì)算數(shù)據(jù)中心核心區(qū)用于承接各區(qū)域之間的數(shù)據(jù)交換,是整個(gè)云計(jì)算數(shù)據(jù)中心的核心樞紐,因此核心交換機(jī)設(shè)備應(yīng)選用可靠性高的數(shù)據(jù)中心級(jí)設(shè)備部署。扁平化設(shè)計(jì)云計(jì)算數(shù)據(jù)中心的網(wǎng)絡(luò)架構(gòu)依據(jù)接入密度分為三層架構(gòu)和二層架構(gòu),如下圖所示:傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)通常采用三層架構(gòu)進(jìn)行組網(wǎng),三層架構(gòu)可以保證網(wǎng)絡(luò)具備很好的擴(kuò)展性,同一個(gè)分區(qū)內(nèi)服務(wù)器接入密度高。但三層架構(gòu)網(wǎng)絡(luò)設(shè)備較多,不便于網(wǎng)絡(luò)管理,運(yùn)維工作量大。同時(shí)組網(wǎng)成本相對(duì)較高。隨著網(wǎng)絡(luò)交換技術(shù)的不斷發(fā)展,交換機(jī)的端口接入密度也越來(lái)越高,二層組網(wǎng)的擴(kuò)展性和密度已經(jīng)能夠很好的滿足市部門數(shù)據(jù)中心服務(wù)器接入的要求。同時(shí)在服務(wù)器虛擬化技術(shù)應(yīng)用越來(lái)越廣泛的趨勢(shì)下,二層架構(gòu)更容易實(shí)現(xiàn)VLAN的大二層互通,滿足虛擬機(jī)的部署和遷移。相比三層架構(gòu),二層架構(gòu)可以大大簡(jiǎn)化網(wǎng)絡(luò)的運(yùn)維與管理。綜合上述因素,部門云計(jì)算數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)計(jì)采用二層扁平化架構(gòu),滿足擴(kuò)展性的同時(shí),實(shí)現(xiàn)易管理。云平臺(tái)整體架構(gòu)規(guī)劃設(shè)計(jì)根據(jù)部門云計(jì)算平臺(tái)建設(shè)項(xiàng)目的整體建設(shè)需求,初步規(guī)劃整網(wǎng)的邏輯架構(gòu)圖如下:云計(jì)算中心安全層設(shè)計(jì)云平臺(tái)安全建設(shè)需求從“云計(jì)算”的概念提出以來(lái)。關(guān)于其數(shù)據(jù)安全性的質(zhì)疑就一直不曾平息,這里的安全性主要包括兩個(gè)方面:一是自己的信息不會(huì)被泄露,避免造成不必要的損失,二是在需要時(shí)能夠保證準(zhǔn)確無(wú)誤地獲取這些信息??偨Y(jié)起來(lái),用戶在選擇云計(jì)算服務(wù)時(shí)主要關(guān)注的安全風(fēng)險(xiǎn)有以下幾方面:資源聚合技術(shù)的應(yīng)用使得計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)資源高度集中:用戶數(shù)據(jù)存儲(chǔ)、處理、網(wǎng)絡(luò)傳輸?shù)榷寂c數(shù)據(jù)中心密切相關(guān)如果發(fā)生故障造成的;后果較傳統(tǒng)數(shù)據(jù)中心更為嚴(yán)重。虛擬化等技術(shù)的應(yīng)用使得傳統(tǒng)物理安全邊界缺失:傳統(tǒng)網(wǎng)絡(luò)安全設(shè)施與防御機(jī)制在防護(hù)能力、響應(yīng)速度等方面越來(lái)越難以滿足日益復(fù)雜的安全防護(hù)要求,用戶信息安全、用戶信息隔離問(wèn)題在共享物理資源環(huán)境下的保護(hù)更為迫切。數(shù)據(jù)傳輸安全:通常情況下,數(shù)據(jù)中心保存有大量的部門云計(jì)算私密數(shù)據(jù),這些數(shù)據(jù)往往代表了部門云計(jì)算的核心業(yè)務(wù)能力,如部門關(guān)鍵業(yè)務(wù)流程等等。在云計(jì)算模式下,將數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳遞到部門云計(jì)算數(shù)據(jù)中心進(jìn)行處理時(shí),面臨著幾個(gè)方面的問(wèn)題:一是如何確保部門云計(jì)算的數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程中嚴(yán)格加密不被竊取;二是如何保證部門云計(jì)算數(shù)據(jù)中心在得到數(shù)據(jù)時(shí)不將絕密數(shù)據(jù)泄露出去;三是在部門云計(jì)算數(shù)據(jù)中心處存儲(chǔ)時(shí),如何保證訪問(wèn)用戶經(jīng)過(guò)嚴(yán)格的權(quán)限認(rèn)證并且是合法的數(shù)據(jù)訪問(wèn),并保證部門云計(jì)算在任何時(shí)候都可以安全訪問(wèn)到自身的數(shù)據(jù);數(shù)據(jù)存儲(chǔ)安全:部門云計(jì)算的數(shù)據(jù)存儲(chǔ)是非常重要的環(huán)節(jié),其中包括數(shù)據(jù)的存儲(chǔ)位置、數(shù)據(jù)的相互隔離、數(shù)據(jù)的災(zāi)難恢復(fù)等。在云計(jì)算模式下,部門云計(jì)算數(shù)據(jù)中心在高度整合的大容量存儲(chǔ)空間上,開(kāi)辟出一部分存儲(chǔ)空間提供給各權(quán)屬單位計(jì)算使用。但相關(guān)單位并不清楚自己的數(shù)據(jù)被放置在哪臺(tái)服務(wù)器上,甚至根本不了解這臺(tái)服務(wù)器放置在哪個(gè)機(jī)柜;部門云計(jì)算數(shù)據(jù)中心在存儲(chǔ)資源所在處是否會(huì)存在信息安全等問(wèn)題,能否確保部門云計(jì)算數(shù)據(jù)不被泄露;同時(shí),在這種數(shù)據(jù)存儲(chǔ)資源共享的環(huán)境下,即使采用了加密方式,部門云計(jì)算數(shù)據(jù)中心是否能夠保證數(shù)據(jù)之間的有限隔離;另外,即使部門云計(jì)算用戶了解數(shù)據(jù)存放的服務(wù)器的準(zhǔn)確位置,也必會(huì)要求服務(wù)單位作出承諾,對(duì)所托管數(shù)據(jù)進(jìn)行備份,以防止出現(xiàn)重大事故時(shí),單位的數(shù)據(jù)無(wú)法得到恢復(fù);數(shù)據(jù)審計(jì)安全:部門云計(jì)算進(jìn)行內(nèi)部數(shù)據(jù)管理時(shí),為了保證數(shù)據(jù)的準(zhǔn)確性往往會(huì)引入第三方的認(rèn)證機(jī)構(gòu)進(jìn)行審計(jì)或是認(rèn)證。但是在云計(jì)算環(huán)境下,部門云計(jì)算數(shù)據(jù)中心如何確保不對(duì)其他涉密數(shù)據(jù)計(jì)算帶來(lái)風(fēng)險(xiǎn)的同時(shí),又提供必要的信息支持.以便協(xié)助第三方機(jī)構(gòu)對(duì)數(shù)據(jù)的產(chǎn)生進(jìn)行安全性和準(zhǔn)確性的審計(jì),實(shí)現(xiàn)部門云計(jì)算的合規(guī)性要求。云平臺(tái)安全建設(shè)思路我們建議根據(jù)業(yè)務(wù)應(yīng)用特點(diǎn)及平臺(tái)架構(gòu)層的特性,在采取傳統(tǒng)安全防護(hù)基礎(chǔ)上,進(jìn)一步集成數(shù)據(jù)加密、VPN、身份認(rèn)證、安全存儲(chǔ)、虛擬化安全、安全防御設(shè)施和資源云化等綜合安全技術(shù)手段,構(gòu)建面向應(yīng)用的縱深安全防御體系。主要體現(xiàn)如下的四個(gè)方面:底層結(jié)構(gòu)安全,主要保障虛擬化、分布式計(jì)算等平臺(tái)架構(gòu)層面安全;分布式計(jì)算平臺(tái)的服務(wù)器安全,主要參考傳統(tǒng)安全防護(hù)體系進(jìn)行保護(hù),主要包括操作系統(tǒng)安全、交換機(jī)VLAN劃分、以及集群下存儲(chǔ)安全及服務(wù)器雙機(jī)熱備,保障可靠性等;服務(wù)器虛擬化安全:虛擬機(jī)管理器安全:服務(wù)最小化原則、內(nèi)核模塊完整性、補(bǔ)定管理機(jī)制等;虛擬機(jī)安全:虛擬機(jī)安全隔離、訪問(wèn)控制、惡意虛擬機(jī)防護(hù)(防地址欺騙、VM端口掃描等)、虛擬機(jī)資源限制等;網(wǎng)絡(luò)虛擬化安全:虛擬交換機(jī):采用VLAN劃分虛擬機(jī)組、對(duì)端口限速,禁止混雜模式進(jìn)行網(wǎng)絡(luò)嗅探等;虛擬防火墻:設(shè)置安全訪問(wèn)控制策略,建立邏輯安全邊界;存儲(chǔ)安全:需要支持存儲(chǔ)空間的負(fù)載均衡、冗余保護(hù)等;高可用性要求:支持虛擬機(jī)的HA(冷備)、FT(熱備)、備份恢復(fù)等,實(shí)現(xiàn)故障虛擬機(jī)的重新啟用或快速切換,保障高可用性;容災(zāi)備份:提供虛擬機(jī)層級(jí)的異地容災(zāi)服務(wù);虛擬化安全管理:支持宿主機(jī)資源監(jiān)控、虛擬機(jī)資源監(jiān)控、安全移及回退機(jī)制、負(fù)載均衡、資源預(yù)留等;基礎(chǔ)設(shè)施安全,保障數(shù)據(jù)中心基礎(chǔ)設(shè)施的穩(wěn)定性及服務(wù)連續(xù)性基礎(chǔ)網(wǎng)絡(luò)安全:重點(diǎn)是安全域劃分:部署隔離設(shè)備、防火墻,劃分物理網(wǎng)絡(luò)、邏輯安全域,實(shí)施安全邊界防護(hù);異常流量監(jiān)測(cè)與攻擊防范:進(jìn)行流量實(shí)施監(jiān)控,部署DDoS攻擊防御系統(tǒng)或使用相關(guān)攻擊防護(hù)服務(wù);采用負(fù)載均衡設(shè)備,實(shí)現(xiàn)承載網(wǎng)絡(luò)應(yīng)支持設(shè)備級(jí)、鏈路級(jí)的冗余備份,主機(jī)及管理終端安全:主機(jī)/終端系統(tǒng)安全加固:補(bǔ)丁管理、安全配置;安全防護(hù):控制蠕蟲/病毒/木馬在云計(jì)算平臺(tái)內(nèi)傳播,非法入侵監(jiān)測(cè);安全基礎(chǔ)設(shè)施資源池化:采用安全云技術(shù)提升安全基礎(chǔ)設(shè)施服務(wù)效能,構(gòu)建安全服務(wù)資源池;應(yīng)急響應(yīng):建立完善的應(yīng)急響應(yīng)機(jī)制,提高對(duì)異常情況和突發(fā)事件的應(yīng)急;數(shù)據(jù)安全,尤其保障數(shù)據(jù)信息的CIA(可用性、保密性和完整性)物理隔離:通過(guò)不同的業(yè)務(wù)訪問(wèn)規(guī)模部署多套物理隔離的系統(tǒng)網(wǎng)絡(luò)云;數(shù)據(jù)隔離:通過(guò)虛擬化層安全機(jī)制實(shí)現(xiàn)虛擬機(jī)間存儲(chǔ)訪問(wèn)隔離;數(shù)據(jù)訪問(wèn)控制:數(shù)據(jù)訪問(wèn)控制:數(shù)據(jù)訪問(wèn)控制:數(shù)據(jù)訪問(wèn)控制:設(shè)置虛擬環(huán)境下的邏輯邊界安全訪問(wèn)控制策略,實(shí)現(xiàn)虛擬機(jī)、虛擬機(jī)組間的數(shù)據(jù)訪問(wèn)控制;數(shù)據(jù)存儲(chǔ)安全:為用戶可選提供加密存儲(chǔ)服務(wù);虛擬機(jī)服務(wù)則建議用戶對(duì)重要的數(shù)據(jù)信息在上傳、存儲(chǔ)前進(jìn)行加密處理;數(shù)據(jù)傳輸安全:采用SSH、SSL等方式保障維護(hù)管理信息的安全;支持采用數(shù)據(jù)加密、VPN等保障用戶數(shù)據(jù)信息的網(wǎng)絡(luò)傳輸安全;剩余信息保護(hù):存儲(chǔ)資源重分配之前進(jìn)行完整的數(shù)據(jù)擦除;數(shù)據(jù)刪除后,對(duì)應(yīng)的存儲(chǔ)區(qū)進(jìn)行完整的數(shù)據(jù)擦除或標(biāo)識(shí)為只寫;數(shù)據(jù)備份與恢復(fù):支持文件級(jí)完整和增量備份;映像級(jí)恢復(fù)和單個(gè)文件的恢復(fù);運(yùn)營(yíng)管理安全,積極提高運(yùn)營(yíng)管理安全的水平和質(zhì)量,實(shí)現(xiàn)集中地安全事件監(jiān)控和管理,完善安全審計(jì)追溯機(jī)制;安全監(jiān)控:通過(guò)部署集中的安全管理平臺(tái),運(yùn)用多種技術(shù)、手段,收集和分析各類安全事件,并運(yùn)用實(shí)時(shí)關(guān)聯(lián)分析技術(shù)、智能推理技術(shù)和風(fēng)險(xiǎn)管理技術(shù),實(shí)現(xiàn)對(duì)安全事件的深度挖掘,快速做出智能相應(yīng),實(shí)現(xiàn)對(duì)部門云計(jì)算安全風(fēng)險(xiǎn)臺(tái)式的統(tǒng)一監(jiān)控和預(yù)警處理;運(yùn)營(yíng)安全:制定安全運(yùn)營(yíng)策略及安全維護(hù)規(guī)章要求;制定數(shù)據(jù)中心運(yùn)營(yíng)維護(hù)SLA指標(biāo)要求;制定數(shù)據(jù)中心安全事件應(yīng)急響應(yīng)機(jī)制及流程,包括安全事件的等級(jí)劃分、處理流程、事件上報(bào)等規(guī)范要求。4A安全(帳號(hào)、認(rèn)證、授權(quán)、審計(jì)):用戶管理用戶管理用戶管理用戶管理:對(duì)用戶帳號(hào)進(jìn)行集中維護(hù)管理,為集中訪問(wèn)控制、集中授權(quán)、集中審計(jì)提供可靠的原始數(shù)據(jù);訪問(wèn)認(rèn)證:應(yīng)建立統(tǒng)一、集中的認(rèn)證和授權(quán)系統(tǒng),以提高訪問(wèn)認(rèn)證的安全性;安全審計(jì):建立安全審計(jì)系統(tǒng),進(jìn)行統(tǒng)一、完整的審計(jì)分析,通過(guò)對(duì)操作、維護(hù)等各類日志的安全審計(jì),提高對(duì)違規(guī)溯源的事后審查能力;采用“分區(qū)分域、重點(diǎn)保護(hù)”的建設(shè)原則,和“綜合防御、積極防范”的建設(shè)思路,結(jié)合信息系統(tǒng)實(shí)際的網(wǎng)絡(luò)環(huán)境,遵循方案的整體設(shè)計(jì)原則,為部門云計(jì)算數(shù)據(jù)中心建設(shè)一個(gè)安全、穩(wěn)定、可靠、實(shí)用高效的網(wǎng)絡(luò)安全基礎(chǔ)平臺(tái)。在充分的分析和理解了上述體系設(shè)計(jì)思路后,部門云計(jì)算平臺(tái)安全系統(tǒng)的建設(shè)方案中,按照“橫向分域,縱向分類”的方式進(jìn)行設(shè)計(jì)和建設(shè),橫向上采取分域的辦法,并基于安全域詳細(xì)分析各個(gè)區(qū)域的重要程度,采取不同級(jí)別的安全防護(hù)系統(tǒng),滿足信息系統(tǒng)的安全集成需求;縱向上按照不同類型的技術(shù)手段,針對(duì)信息系統(tǒng)的特點(diǎn)和需求,分別進(jìn)行部署和策略的設(shè)計(jì),提升系統(tǒng)的抗攻擊能力,使系統(tǒng)能夠更好地支撐上層各類應(yīng)用,形成縱深防御系統(tǒng)。云平臺(tái)安全系統(tǒng)總體設(shè)計(jì)部門市云計(jì)算中心本著打造成“行業(yè)云”、“安全云”的原則,是一個(gè)集多個(gè)層面為一體的大型云計(jì)算中心,不僅提供部門云服務(wù)服務(wù)、同時(shí)還對(duì)外提供一系列的如民眾訪問(wèn)、企事業(yè)查詢等云服務(wù),所以建立一整套完善的安全體系是整個(gè)云計(jì)算中心的安全保障。部門云安全平臺(tái)體系架構(gòu)如下:云計(jì)算中心安全遵循內(nèi)網(wǎng)云平臺(tái)、外網(wǎng)云平臺(tái)、圖像云平臺(tái)、警種業(yè)務(wù)專網(wǎng)云平臺(tái)物理隔離的原則,分開(kāi)設(shè)計(jì)。每個(gè)云區(qū)安全整體架構(gòu)分為:互聯(lián)網(wǎng)與專網(wǎng)接入安全防護(hù)設(shè)計(jì)、數(shù)據(jù)中心安全防護(hù)設(shè)計(jì)、云終端接入安全設(shè)計(jì)。云平臺(tái)安全防護(hù)詳細(xì)設(shè)計(jì)在本次部門云計(jì)算安全系統(tǒng)防護(hù)設(shè)計(jì)中,根據(jù)終端接入、外網(wǎng)/專網(wǎng)接入、數(shù)據(jù)中心、及安全管理體系四個(gè)層面來(lái)設(shè)計(jì),其中這四個(gè)層次包括了物理層、鏈路傳輸層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、管理層六個(gè)層面的風(fēng)險(xiǎn)安全。根據(jù)內(nèi)外網(wǎng)和其他專網(wǎng)安全的特點(diǎn),建立縱深、立體的網(wǎng)絡(luò)安全體系。平臺(tái)層安全云中心抗DDOS攻擊安全防護(hù)數(shù)據(jù)中心遭受DDOS攻擊常有發(fā)生,時(shí)時(shí)都有受到攻擊的威脅。當(dāng)前部門云計(jì)算中心非常大的安全隱患是來(lái)自互聯(lián)網(wǎng)的拒絕服務(wù)攻擊(DenialofServiceAttacks),包括以SYNFlood和PingFlood為主的技術(shù),其主要方式是通過(guò)使關(guān)鍵系統(tǒng)資源過(guò)載,導(dǎo)致網(wǎng)絡(luò)或服務(wù)器的資源被大量占用,甚至造成網(wǎng)絡(luò)或服務(wù)器的全面癱瘓。因此通過(guò)在部門外網(wǎng)云平臺(tái)部署抗拒絕服務(wù)攻擊設(shè)備,實(shí)現(xiàn)DDOS攻擊防范,或者向運(yùn)營(yíng)商購(gòu)買抗DDOS服務(wù)來(lái)防范DDOS攻擊。其中流量分析系統(tǒng)位于互聯(lián)網(wǎng)接入?yún)^(qū),采用路由器/交換機(jī)輸出網(wǎng)絡(luò)流量的統(tǒng)計(jì)數(shù)據(jù)的方法,路由器/交換機(jī)對(duì)通過(guò)其的IP數(shù)據(jù)包進(jìn)行統(tǒng)計(jì)和分析,并上報(bào)給采集器,網(wǎng)流采集器把搜集的數(shù)據(jù)包及統(tǒng)計(jì)數(shù)據(jù)傳送到分析器,經(jīng)合并處理后存入數(shù)據(jù)庫(kù),并進(jìn)行進(jìn)一步的分析處理。
漏洞掃描由于前端核心出口有大量的網(wǎng)絡(luò)設(shè)備,必不可少的存在大量的漏洞,往往黑客可借助漏洞掃描工具,發(fā)現(xiàn)這些漏洞,然后再進(jìn)行攻擊,對(duì)于對(duì)數(shù)據(jù)保密性和安全性要求較高的云計(jì)算中心,如何做到在黑客掃描到漏洞發(fā)起攻擊之前,先掃描到自己的漏洞,進(jìn)行相關(guān)的措施,是云計(jì)算中心需要解決的一個(gè)問(wèn)題。漏洞掃描主要有如下過(guò)程:漏洞檢測(cè)、漏洞審計(jì)、漏洞預(yù)警、漏洞修復(fù)、漏洞管理。建議在部門內(nèi)網(wǎng)云平臺(tái)、外網(wǎng)云平臺(tái)分別部署漏洞掃描硬件設(shè)備,并通過(guò)虛擬化的補(bǔ)丁服務(wù)器,實(shí)現(xiàn)各云系統(tǒng)主機(jī)的漏洞發(fā)現(xiàn)和補(bǔ)丁升級(jí)。入侵防護(hù)設(shè)計(jì)針對(duì)接入?yún)^(qū)域的邊界防護(hù),通過(guò)防火墻實(shí)現(xiàn)了基本的訪問(wèn)控制,但由于防火墻的一些功能限制,使得那些偽裝類的攻擊仍然可以穿越防火墻而進(jìn)入互聯(lián)網(wǎng)與專網(wǎng)接入?yún)^(qū)域區(qū)的信息網(wǎng)絡(luò)內(nèi),因此也有必要引入入侵檢測(cè)系統(tǒng)。入侵防護(hù)系統(tǒng)作用于互聯(lián)網(wǎng)與專網(wǎng)接入?yún)^(qū)域,將為保護(hù)接入?yún)^(qū)域發(fā)揮以下的安全作用:防范網(wǎng)絡(luò)攻擊事件入侵防御系統(tǒng)采用細(xì)粒度檢測(cè)技術(shù),協(xié)議分析技術(shù),誤用檢測(cè)技術(shù),協(xié)議異常檢測(cè),可有效防止各種攻擊和欺騙。針對(duì)端口掃描類、木馬后門、緩沖區(qū)溢出、IP碎片攻擊等,入侵防御系統(tǒng)可在網(wǎng)絡(luò)邊界處進(jìn)行監(jiān)控和阻斷。防范拒絕服務(wù)攻擊入侵防御系統(tǒng)在防火墻進(jìn)行邊界防范的基礎(chǔ)上,工作在網(wǎng)絡(luò)的關(guān)鍵環(huán)節(jié),能夠應(yīng)付各種SNA類型和應(yīng)用層的強(qiáng)力攻擊行為,包括消耗目的端的各種資源如網(wǎng)絡(luò)帶寬、系統(tǒng)性能等攻擊,主要防范的攻擊類型有TCPFlood,UDPFlood,SYNFlood,PingAbuse等;審計(jì)、查詢策略入侵防御系統(tǒng)能夠完整記錄多種應(yīng)用協(xié)議(HTTP、FTP、SMTP、POP3、TELNET等)的內(nèi)容。記錄內(nèi)容包括,攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間等信息,并按照相應(yīng)的協(xié)議格式進(jìn)行回放,清楚再現(xiàn)入侵者的攻擊過(guò)程,重現(xiàn)內(nèi)部網(wǎng)絡(luò)資源濫用時(shí)泄漏的保密信息內(nèi)容。同時(shí)必須對(duì)重要安全事件提供多種報(bào)警機(jī)制。網(wǎng)絡(luò)檢測(cè)策略在檢測(cè)過(guò)程中入侵防御系統(tǒng)綜合運(yùn)用多種檢測(cè)手段,在檢測(cè)的各個(gè)部分使用合適的檢測(cè)方式,采取基于特征和基于行為的檢測(cè),對(duì)數(shù)據(jù)包的特征進(jìn)行分析,有效發(fā)現(xiàn)網(wǎng)絡(luò)中異常的訪問(wèn)行為和數(shù)據(jù)包;監(jiān)控管理策略入侵防御系統(tǒng)提供人性化的控制臺(tái),提供初次安裝探測(cè)器向?qū)?、探測(cè)器高級(jí)配置向?qū)?、?bào)表定制向?qū)У?,易于用戶使用。一站式管理結(jié)構(gòu),簡(jiǎn)化了配置流程。強(qiáng)大的日志報(bào)表功能,用戶可定制查詢和報(bào)表。異常報(bào)警策略入侵防御系統(tǒng)通過(guò)報(bào)警類型的制定,明確哪類事件,通過(guò)什么樣的方式,進(jìn)行報(bào)警,可以選擇的包括聲音、電子郵件、消息。阻斷策略由于入侵防御系統(tǒng)串聯(lián)在保護(hù)區(qū)域的邊界上,系統(tǒng)在檢測(cè)到攻擊行為后,能夠主動(dòng)進(jìn)行阻斷,將攻擊來(lái)源阻斷在安全區(qū)域之外,有效保障各類業(yè)務(wù)應(yīng)用的正常開(kāi)展,這里包括數(shù)據(jù)采集業(yè)務(wù)和信息發(fā)布業(yè)務(wù);在線升級(jí)策略入侵防御系統(tǒng)內(nèi)置的檢測(cè)庫(kù)是決定系統(tǒng)檢測(cè)能力的關(guān)鍵因素,因此應(yīng)定期進(jìn)行在線升級(jí),確保入侵檢測(cè)庫(kù)的完整性和有效性。入侵防御系統(tǒng)(IPS)能夠深入數(shù)據(jù)內(nèi)部,分析漏洞特征和攻擊代碼特征,過(guò)濾有害數(shù)據(jù)流,丟棄有害數(shù)據(jù)包,并進(jìn)行記錄,以便事后分析??商峁┑墓δ馨ǎ海?)高精度、高效率的入侵檢測(cè)引擎(2)全面、及時(shí)的攻擊特征庫(kù)(3)實(shí)用、強(qiáng)大的業(yè)務(wù)增值功能(4)基于應(yīng)用的帶寬管理(5)客戶定制的URL過(guò)濾(6)強(qiáng)大的時(shí)間特性建議在內(nèi)網(wǎng)云平臺(tái)、外網(wǎng)云平臺(tái)、圖像專網(wǎng)的核心網(wǎng)絡(luò)前端部署入侵防護(hù)設(shè)備,并根據(jù)各權(quán)屬單位的互訪控制需求彈性部署入侵防御。針對(duì)每套網(wǎng)絡(luò)核心,部署一套入侵檢測(cè)系統(tǒng),進(jìn)行數(shù)據(jù)深度分析。安全審計(jì)對(duì)于云計(jì)算服務(wù)區(qū),還應(yīng)當(dāng)有效記錄其受到的訪問(wèn)情況,并提供給信息系統(tǒng)的系統(tǒng)管理人員進(jìn)行事后的分析。安全審計(jì)系統(tǒng)是根據(jù)跟蹤檢測(cè)、協(xié)議還原技術(shù)開(kāi)發(fā)的功能強(qiáng)大的安全審計(jì)系統(tǒng)為網(wǎng)上信息的監(jiān)測(cè)和審查提供完備的解決方案。它能以旁路、透明的方式實(shí)時(shí)高速的對(duì)進(jìn)出云計(jì)算服務(wù)區(qū)的訪問(wèn)數(shù)據(jù)包和傳輸信息等進(jìn)行數(shù)據(jù)截取和還原,并可根據(jù)用戶需求對(duì)通信內(nèi)容進(jìn)行審計(jì),提供高速的敏感關(guān)鍵詞檢索和標(biāo)記功能,從而為防止內(nèi)部網(wǎng)絡(luò)敏感信息的泄漏以及非法信息的傳播,它能完整的記錄各種信息的起始地址和使用者,為調(diào)查取證提供第一手的資料。安全審計(jì)系統(tǒng)為云計(jì)算服務(wù)區(qū)的管理也提供了有效協(xié)助,信息系統(tǒng)的系統(tǒng)管理人員正是通過(guò)對(duì)審計(jì)記錄的深入分析,來(lái)掌握網(wǎng)絡(luò)的活動(dòng)狀態(tài),也能夠通過(guò)分析來(lái)深入發(fā)掘系統(tǒng)可能存在的深層次安全隱患,為不斷地加固云計(jì)算服務(wù)區(qū)提供有力協(xié)助。實(shí)現(xiàn)協(xié)議審計(jì)業(yè)務(wù)審計(jì)系統(tǒng)能夠?qū)Σ渴鹪谠朴?jì)算服務(wù)區(qū)的SQLServer/Oracle/MySQL等數(shù)據(jù)庫(kù)進(jìn)行審計(jì),能夠有選擇地記錄通過(guò)網(wǎng)絡(luò)對(duì)數(shù)據(jù)庫(kù)進(jìn)行的操作,特別是云計(jì)算服務(wù)區(qū)應(yīng)用系統(tǒng)對(duì)數(shù)據(jù)庫(kù)的各類操作,包括INSERT、UPDATE、SELECT、DELECT等;實(shí)現(xiàn)操作行為審計(jì)業(yè)務(wù)審計(jì)系統(tǒng)作用于云計(jì)算服務(wù)區(qū),能夠?qū)崟r(shí)監(jiān)測(cè)并智能地分析、還原云計(jì)算服務(wù)區(qū)各類應(yīng)用服務(wù)器對(duì)數(shù)據(jù)庫(kù)的操作,解析應(yīng)用服務(wù)器對(duì)數(shù)據(jù)庫(kù)的登錄、注銷、插入、刪除、執(zhí)行存儲(chǔ)過(guò)程等操作,還原SQL操作語(yǔ)句;跟蹤客戶端操作請(qǐng)求執(zhí)行結(jié)果;實(shí)現(xiàn)操作內(nèi)容審計(jì)業(yè)務(wù)審計(jì)系統(tǒng)的審計(jì)內(nèi)容包括登錄客戶、數(shù)據(jù)庫(kù)名、表名、字段名(在SQL語(yǔ)句中明確含有的字段名)及關(guān)鍵字(字段內(nèi)容)等內(nèi)容,并能夠根據(jù)上述審計(jì)要素進(jìn)行多種條件組合的規(guī)則設(shè)定,形成靈活的審計(jì)策略;實(shí)現(xiàn)靈活的記錄查詢對(duì)于云計(jì)算服務(wù)區(qū)內(nèi)的各類記錄,業(yè)務(wù)審計(jì)系統(tǒng)提供了多種記錄的查詢方式,包括源IP、源端口、目的IP、目的端口、引擎名、客戶名、帳戶、規(guī)則名、時(shí)間等因素,并可通過(guò)查詢因素的組合進(jìn)行深度查詢;審計(jì)報(bào)表業(yè)務(wù)審計(jì)系統(tǒng)能夠?qū)⒂涗浀膬?nèi)容,通過(guò)多種形式的報(bào)表提供給系統(tǒng)管理人員,報(bào)表包括數(shù)據(jù)庫(kù)訪問(wèn)量統(tǒng)計(jì)、服務(wù)器對(duì)數(shù)據(jù)庫(kù)操作行為統(tǒng)計(jì)、單個(gè)客戶對(duì)數(shù)據(jù)庫(kù)操作行為統(tǒng)計(jì)、數(shù)據(jù)庫(kù)訪問(wèn)歷史統(tǒng)計(jì)等;實(shí)現(xiàn)取證和追溯系統(tǒng)管理人員利用業(yè)務(wù)審計(jì)系統(tǒng),可以很清晰的了解到對(duì)數(shù)據(jù)庫(kù)操作的全過(guò)程,并且還能夠通過(guò)關(guān)鍵字技術(shù),分辨出那些存在問(wèn)題的訪問(wèn),和對(duì)數(shù)據(jù)的非法訪問(wèn),為安全事件的時(shí)候取證提供協(xié)助。建議通過(guò)在各云計(jì)算平臺(tái)部署統(tǒng)一的安全審計(jì)系統(tǒng),實(shí)現(xiàn)事件跟蹤、內(nèi)容審計(jì)等系統(tǒng)的不可否認(rèn)性。云終端接入安全設(shè)計(jì)對(duì)于云平臺(tái)來(lái)說(shuō),其對(duì)外開(kāi)展業(yè)務(wù)是開(kāi)放的,我們?nèi)绾卧诒WC云資源獲取的便利性的同時(shí),確保云用戶身份的合法性和云資源訪問(wèn)權(quán)限的可控性,如何確保業(yè)務(wù)的安全性,如何防止來(lái)自互聯(lián)網(wǎng)對(duì)云平臺(tái)的攻擊和入侵,將會(huì)是阻礙用戶放心的遷移業(yè)務(wù)的關(guān)鍵因素。我們?cè)诮尤虢K端安全提出端到端的SSLVPN接入解決方案。云終端接入安全是云計(jì)算中心需要解決的一個(gè)重點(diǎn)的問(wèn)題。其主要需要考慮的有:身份安全、終端安全、傳輸安全、權(quán)限安全。身份認(rèn)證安全:許多部署在局域網(wǎng)內(nèi)重要的應(yīng)用都是采用最簡(jiǎn)單的用戶名密碼進(jìn)行驗(yàn)證。使用單一用戶名密碼進(jìn)行驗(yàn)證存在帳號(hào)密碼遭人盜用而導(dǎo)致越權(quán)訪問(wèn)的問(wèn)題,尤其對(duì)于重要的應(yīng)用系統(tǒng)如財(cái)務(wù)、用戶信息等限定在特定部門、特定人員訪問(wèn)的核心系統(tǒng),一旦遭遇用戶名密碼被盜竊,其后果所造成的威脅將是不可估量的。通過(guò)SSLVPN技術(shù),支持多種認(rèn)證方式的多因素組合認(rèn)證,除了最基本的用戶名密碼認(rèn)證之外,還支持LDAP/AD、Radius、CA等第三方認(rèn)證,支持USBKEY、硬件特征碼、短信認(rèn)證(短信貓和短信網(wǎng)關(guān))、動(dòng)態(tài)令牌卡等加強(qiáng)認(rèn)證方式。單一的認(rèn)證方式容易被暴力破解,為了進(jìn)一步提高身份認(rèn)證的安全性,我們創(chuàng)新性提出混合認(rèn)證,針對(duì)以上認(rèn)證方式可以進(jìn)行多因素的“與”、“或”組合認(rèn)證?!芭c”組合認(rèn)證可實(shí)現(xiàn)多達(dá)5種以上認(rèn)證方式的捆綁,必須同時(shí)滿足才能夠接入SSLVPN系統(tǒng)?!盎颉苯M合認(rèn)證可對(duì)于以上幾種認(rèn)證方式進(jìn)行或組合,只要通過(guò)一種認(rèn)證方式即可接入到SSLVPN系統(tǒng)中。通過(guò)多因素組合認(rèn)證大大加強(qiáng)認(rèn)證安全的強(qiáng)度,確保接入SSLVPN的用戶的身份的確認(rèn)性。因此,方案建議可在云平臺(tái)內(nèi)網(wǎng)、云平臺(tái)外網(wǎng)部署SSLVPN系統(tǒng)設(shè)備,以保障內(nèi)外網(wǎng)平臺(tái)數(shù)據(jù)訪問(wèn)的安全性。權(quán)限安全由于云計(jì)算中心,是一個(gè)復(fù)雜的體系,所以其對(duì)接入權(quán)限的管理就越細(xì),可以通過(guò)控制用戶對(duì)不同業(yè)務(wù)的訪問(wèn)權(quán)限,確保用戶只能訪問(wèn)自己身份對(duì)于的應(yīng)用資源,甚至可以對(duì)應(yīng)用劃分至URL級(jí)別。針對(duì)不同的業(yè)務(wù)系統(tǒng),SSLVPN具有細(xì)致化的訪問(wèn)權(quán)限控制能力,保證不同的用戶只能訪問(wèn)相匹配的資源,對(duì)于具有多個(gè)權(quán)屬單位接入?yún)f(xié)同作業(yè)的部門云計(jì)算來(lái)說(shuō),是最好的安全保障方案。與CA系統(tǒng)的聯(lián)動(dòng)認(rèn)證網(wǎng)絡(luò)是個(gè)開(kāi)放的環(huán)境,在網(wǎng)絡(luò)上通訊的雙方無(wú)法有一種很好的方式確定對(duì)方的身份,所以,引入第三方的權(quán)威機(jī)構(gòu)CA,通訊的雙方都認(rèn)為CA就如部門一樣是絕對(duì)可信任的。然后由CA給通訊的雙方頒發(fā)證書(身份證),通訊的雙方在接受到對(duì)方的這個(gè)證書的時(shí)候,就驗(yàn)證是否是CA簽發(fā)的,若是CA(部門)簽發(fā)的,就說(shuō)明該身份證是可靠的,上面的身份信息是準(zhǔn)確無(wú)誤的,從而達(dá)到在開(kāi)放的網(wǎng)絡(luò)環(huán)境中確認(rèn)對(duì)方身份的目的。CA(CertificateAuthority)是數(shù)字證書認(rèn)證中心的簡(jiǎn)稱,是指發(fā)放、管理、廢除數(shù)字證書的機(jī)構(gòu)。CA的作用是檢查證書持有者身份的合法性,并簽發(fā)證書(在證書上簽字),以防證書被偽造或篡改,以及對(duì)證書和密鑰進(jìn)行管理。CA是基于非對(duì)稱加密體系的。世界上的CA認(rèn)證中心不止一家,同根CA下的CA認(rèn)證中心的關(guān)系如下圖:由于部門云平臺(tái)整體采用了部門廳下發(fā)的CA認(rèn)證證書,方案建議可通過(guò)將SSLVPN的接入與第三方的CA認(rèn)證結(jié)合,加強(qiáng)整個(gè)云系統(tǒng)終端接入安全。邊界訪問(wèn)控制的安全防護(hù)互聯(lián)網(wǎng)與專網(wǎng)接入?yún)^(qū)域,需要在網(wǎng)絡(luò)出口處采取必要的強(qiáng)制訪問(wèn)控制措施,比如防火墻設(shè)備,但主要目的是限制對(duì)其他安全區(qū)域的的非法訪問(wèn),特別是限制對(duì)業(yè)務(wù)應(yīng)用服務(wù)區(qū)與云計(jì)算服務(wù)器區(qū)訪問(wèn),且主要提供網(wǎng)絡(luò)層防火墻。在互聯(lián)網(wǎng)與專網(wǎng)接入?yún)^(qū)域的邊界部署兩臺(tái)高性能防火墻設(shè)備,并在防火墻上配置訪問(wèn)控制策略,通過(guò)源地址、目標(biāo)地址、協(xié)議、端口號(hào)、用戶、時(shí)間等因素,限制互聯(lián)網(wǎng)與專網(wǎng)接入?yún)^(qū)域的終端對(duì)外部的訪問(wèn)。建議防火墻采用雙機(jī)的方式,與內(nèi)外網(wǎng)后其他專網(wǎng)接入?yún)^(qū)域原有的雙鏈路環(huán)境配合,
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025屆安徽省淮南一中高考英語(yǔ)倒計(jì)時(shí)模擬卷含解析
- 《人的正確思想是從哪里來(lái)的?》課件 2023-2024學(xué)年統(tǒng)編版高中語(yǔ)文選擇性必修中冊(cè)
- 2025屆吉林省延邊高三第三次模擬考試數(shù)學(xué)試卷含解析
- 湖北省襄州一中棗陽(yáng)一中等四校2025屆高考仿真卷英語(yǔ)試題含解析
- 云南省楚雄市古城二中2025屆高考適應(yīng)性考試語(yǔ)文試卷含解析
- 2025屆廣東省汕頭市六都中學(xué)高三最后一卷語(yǔ)文試卷含解析
- 專題02 單項(xiàng)選擇(同義替換)50題(原卷版)-2024-2025學(xué)年七年級(jí)英語(yǔ)上學(xué)期期末名校真題進(jìn)階練(深圳專用)
- 吉林省延邊二中2025屆高考考前提分?jǐn)?shù)學(xué)仿真卷含解析
- 浙江省溫州市示范名校2025屆高三第三次測(cè)評(píng)語(yǔ)文試卷含解析
- 2025屆山東省濟(jì)南市外國(guó)語(yǔ)學(xué)校高考仿真卷語(yǔ)文試題含解析
- 國(guó)家開(kāi)放大學(xué)思想道德與法治社會(huì)實(shí)踐作業(yè)集合6篇
- 小學(xué)侵害未成年人強(qiáng)制報(bào)告制度
- 2023年飛行員基礎(chǔ)知識(shí)考試題庫(kù)(500題版)
- 公租房運(yùn)營(yíng)管理服務(wù)投標(biāo)方案
- 能源管理系統(tǒng)EMS用戶需求說(shuō)明書
- 人工智能對(duì)中學(xué)教學(xué)的影響與應(yīng)對(duì)策略
- 2668-人員招聘與培訓(xùn)實(shí)務(wù)
- 閉合導(dǎo)線自動(dòng)計(jì)算表
- 股權(quán)投資基金(有限合伙)設(shè)立、投資及退出交易安排法律意見(jiàn)書
- 分管學(xué)校安全、德育、后勤等業(yè)務(wù)副校長(zhǎng)述職報(bào)告
- 筆試考試:HSK筆試(三級(jí))真題模擬匯編(共603題)
評(píng)論
0/150
提交評(píng)論