云平臺建設(shè)方案.V2.0

北京時代凌宇科技股份有限公司柳州東城投資開發(fā)有限公司云計算平臺解決方案書北京時代凌宇科技股份有限公司2015年4月

目錄1 項目概述和需求分析 41.1 項目概述 41.2 現(xiàn)有IT環(huán)境遭遇的挑戰(zhàn) 51.2.1 IT規(guī)模增長導致傳統(tǒng)IT模式建設(shè)和運維成本的增加 51.2.2 龐大的系統(tǒng)使得管理難度增大 61.2.3 業(yè)務(wù)不間斷和災難恢復越來越難 71.2.4 傳統(tǒng)的靜態(tài)系統(tǒng)平臺無法滿足業(yè)務(wù)的快速變化需求 71.3 建設(shè)目標 71.4 需求分析及資源估算 81.4.1 分析概述 81.4.2 總體規(guī)劃要求 91.4.3 未來服務(wù)器需求估算 91.4.4 服務(wù)器資源需求測算 101.5 建設(shè)云平臺的意義 182 云平臺建設(shè)原則和思路 192.1 建設(shè)原則和成果 192.1.1 建設(shè)原則 192.1.2 建成效果 202.2 項目建設(shè)思路 213 云平臺詳細設(shè)計方案 233.1 系統(tǒng)總體架構(gòu)圖 233.2 云平臺基礎(chǔ)設(shè)施層 243.2.1 總體拓撲圖 243.2.2 服務(wù)器規(guī)劃設(shè)計 253.2.3 網(wǎng)絡(luò)規(guī)劃設(shè)計 273.2.4 存儲規(guī)劃設(shè)計 283.3 虛擬化層規(guī)劃設(shè)計 303.3.1 虛擬化層設(shè)計要求 303.3.2 虛擬化層軟件清單 303.4 運營管理平臺 303.4.1 運營管理平臺要求 303.4.2 運營管理平臺軟件清單 313.5 部署實施方案 313.5.1 總體要求 313.5.2 部署實施計劃 313.5.3 應(yīng)用系統(tǒng)遷移（P2V） 333.6 運維方式和策略 343.6.1 系統(tǒng)架構(gòu) 343.6.2 針對性平臺設(shè)計 343.6.3 系統(tǒng)注意事項 353.6.4 日常運維 353.6.5 備份與恢復 363.6.6 數(shù)據(jù)庫備份與恢復 364 云平臺安全方案 374.1 云安全總體思路 374.2 云平臺邊界安全設(shè)計 384.3 邊界安全設(shè)備選型 384.3.1 邊界安全選型要求 384.3.2 邊界安全設(shè)備清單 394.4 云平臺內(nèi)部安全設(shè)計 394.4.1 內(nèi)部安全設(shè)計要求 394.4.2 內(nèi)部安全軟件清單 405 技術(shù)論證體系 425.1 企業(yè)私有云優(yōu)勢 425.2 云平臺廠商和案例 435.2.1 廠商介紹 435.2.2 經(jīng)典案例 435.3 選型產(chǎn)品特色介紹 505.3.1 管理簡便的層次化系統(tǒng)結(jié)構(gòu) 505.3.2 強大的計算資源管理 535.3.3 兼容全面的存儲資源管理 665.3.4 一體化的網(wǎng)絡(luò)安全功能 715.3.5 專用云安全設(shè)計 875.3.6 人性化的分級管理和用戶體驗 885.3.7 極具吸引力的系統(tǒng)特色 985.4 產(chǎn)品選型對比 1045.4.1 Elaster與Vmware比較 1045.4.2 Elaster與華為Fusion比較 1045.5 云平臺關(guān)鍵價值 105附錄：一期產(chǎn)品設(shè)備清單 106

項目概述和需求分析項目概述柳州東城投資開發(fā)有限公司（以下簡稱“東城公司”）信息化建設(shè)應(yīng)符合東城公司“產(chǎn)業(yè)化發(fā)展”、“專業(yè)化運營”的發(fā)展模式的目標。為此，東城公司整體信息化規(guī)劃的長期愿景為：以公司“服務(wù)于政府的市場化開發(fā)運營主體”的轉(zhuǎn)型為出發(fā)點，打造“數(shù)字化、信息化和智能化”的東城公司，使信息化能力成為東城公司核心競爭能力的重要組成部分。具體而言，通過制定公司信息化建設(shè)的規(guī)劃和全公司的信息標準，同時要對公司現(xiàn)有的系統(tǒng)進行整合集成和優(yōu)化，并在此基礎(chǔ)上開發(fā)一些適合公司業(yè)務(wù)開展和公司管理的特色應(yīng)用，為集團公司提供高效、便捷、豐富的一站式信息服務(wù)，為公司領(lǐng)導提供實時有效的各類數(shù)據(jù)，使公司各部門實現(xiàn)協(xié)同化辦公，讓信息化真正為公司核心競爭力提供強有力的支撐。結(jié)合東城公司戰(zhàn)略及業(yè)務(wù)的目標，以及信息化建設(shè)的愿景、目標及原則，未來東城公司信息化建設(shè)的總體架構(gòu)如下圖所示，簡稱為“1368”，即通過一套信息化管控體系，構(gòu)筑三大基礎(chǔ)平臺，支撐六類應(yīng)用，服務(wù)八大板塊。而隨著東城未來電子業(yè)務(wù)應(yīng)用和服務(wù)在不斷增加，集團和員工對業(yè)務(wù)應(yīng)用信息化內(nèi)容的多樣化需求，導致其IT基礎(chǔ)設(shè)施平臺的規(guī)模后續(xù)會日益龐大，這也帶來了相應(yīng)的運行維護和管理上的挑戰(zhàn)。同事，海量數(shù)據(jù)的大量涌現(xiàn)，對IT基礎(chǔ)設(shè)施平臺要求越來越高。多數(shù)單位一直都在追求低成本高效率的IT服務(wù)運營。IT團隊在被要求提高生產(chǎn)力和靈活性以應(yīng)對多變的商業(yè)需求的同時，也要不斷降低投入。IT部門向公司高層展示優(yōu)化的預算管理時，節(jié)約成本和資源整合也始終是最先擺出的問題。為了能在保證業(yè)務(wù)可靠性和連續(xù)性得到提升的同事節(jié)約成本和資源整合、同時降低IT部門的運維工作量，東城公司決定采用云計算平臺作為整個信息化系統(tǒng)的基礎(chǔ)支撐平臺?，F(xiàn)有IT環(huán)境遭遇的挑戰(zhàn)電子業(yè)務(wù)應(yīng)用和服務(wù)在不斷增加，員工和企業(yè)對電子業(yè)務(wù)內(nèi)容的多樣化需求，導致其IT基礎(chǔ)設(shè)施平臺的規(guī)模日益龐大，這帶來了相應(yīng)的運行維護和管理上的挑戰(zhàn)。IT規(guī)模增長導致傳統(tǒng)IT模式建設(shè)和運維成本的增加業(yè)務(wù)系統(tǒng)的不斷發(fā)展、完善的變化，導致業(yè)務(wù)處理壓力的不斷變化，業(yè)務(wù)應(yīng)用系統(tǒng)服務(wù)器的數(shù)量也不斷增加，很多單位現(xiàn)有機房已經(jīng)沒有更多的空間來容納新增的服務(wù)器。即使勉強擠出空間，卻發(fā)現(xiàn)機房的電源已經(jīng)無法更多的能源消耗壓力，無法確保新增服務(wù)器的啟動，隨時有跳閘的風險和斷電的隱患。與此同時，機房每天所消耗的電力也呈現(xiàn)明顯的上升趨勢。此外，服務(wù)器數(shù)量的增多使得機房的溫度不斷升高，為了讓服務(wù)器得到及時的散熱，確保服務(wù)器的正常運轉(zhuǎn)，機房的制冷系統(tǒng)也不得不需要更大功率制冷效果更好的空調(diào)系統(tǒng)，往往達到平靜后空調(diào)系統(tǒng)不得不進行改造。隨著服務(wù)器規(guī)模的擴大、軟件的不斷購買和升級，IT基礎(chǔ)平臺的固定資產(chǎn)也變得越來越龐大。為了更好的維護新增的服務(wù)器和應(yīng)用系統(tǒng)，相應(yīng)的管理人員日益增多，新增人員對應(yīng)的工資、福利、培訓成本也隨之增加。在上述各種成本出現(xiàn)明顯上升的情況下，卻出現(xiàn)了兩種極端現(xiàn)象。IT資源浪費調(diào)查資料顯示，企業(yè)的信息系統(tǒng)，無論規(guī)模的大小，他們的服務(wù)器資源實際利用率大概都只有20％－30％，有大量的資源被閑置。閑置就意味著多余的花費造成信息化的成本提高。一旦要上一個新的應(yīng)用卻要再部署一臺服務(wù)器，甚至多臺服務(wù)器，這樣時間長了服務(wù)器越來越多，投入費用越來越多，故障點也越來越多，后續(xù)管理成本直線上升。為了保證各應(yīng)用系統(tǒng)的正常運行，簡化應(yīng)用系統(tǒng)投產(chǎn)前的測試周期。很多組織都是為每一個應(yīng)用系統(tǒng)配備了專屬服務(wù)器組和相關(guān)的IT運維管理組，從而避免不同應(yīng)用系統(tǒng)相互干擾的問題出現(xiàn)。但經(jīng)過大量的調(diào)查、統(tǒng)計后得到的結(jié)果顯示，企業(yè)的信息系統(tǒng)，無論規(guī)模的大小，大部分專屬服務(wù)器的工作量并不飽滿，他們的服務(wù)器資源實際利用率大概都只有20％－30％，有的甚至停留在5-10%左右。換句話說，大量的服務(wù)器資源被閑置，但服務(wù)器數(shù)量卻在不斷增加，且由于服務(wù)器的增加，導致更多成本的增加。存在資源不足的時候例如某一臺服務(wù)器原來部署了CRM應(yīng)用，開始只是某一部門試點推廣，機器資源綽綽有余。用了一段時間后，要推廣到其他部門，或者要和更多的系統(tǒng)進行數(shù)據(jù)交互。那么原先的服務(wù)器資源不足，需要部署新的服務(wù)器，而部署時需要保證關(guān)鍵應(yīng)用不受干擾，避免硬件的兼容問題。另外數(shù)據(jù)中心存在大量的開發(fā)和測試應(yīng)用的工作，這些應(yīng)用系統(tǒng)要求服務(wù)器和網(wǎng)絡(luò)能夠模擬真實環(huán)境下的交易處理，這就需要大量的服務(wù)器和網(wǎng)絡(luò)資源，而如果采用實際環(huán)境中，為每個應(yīng)用單獨部署服務(wù)器的方法，則需要購置大量的測試服務(wù)器，這無疑增加了數(shù)據(jù)中心的開發(fā)成本。無論如何，伴隨著服務(wù)器數(shù)量的無限制增長，隨之而來的是管理難度的增加，造成業(yè)務(wù)系統(tǒng)非計劃宕機時間、次數(shù)增多，系統(tǒng)災難恢復和數(shù)據(jù)備份方案變得越來越復雜，服務(wù)器安裝配置越來越復雜、緩慢，系統(tǒng)環(huán)境的安全保障工作同樣變得越來越復雜。龐大的系統(tǒng)使得管理難度增大管理成百上千的物理服務(wù)器、應(yīng)用程序和超負載的數(shù)據(jù)中心無疑是一項復雜的工作，并且需要使用大量的資源。一般來說，在靜態(tài)環(huán)境中，堆棧的每一層都會被鏈接到其他層，因此需要使用更多人力才能對基礎(chǔ)架構(gòu)進行供應(yīng)、升級、變動，或元素刪除。例如，安裝、維護、管理，甚至對應(yīng)用程序進行排錯，往往都需要IT人員對每一臺設(shè)備進行操作，同時還需要進行大量的測試工作才能確保正常使用。如何來管理這成百上千的物理服務(wù)器已經(jīng)之上運行的業(yè)務(wù)系統(tǒng)對每一個IT人員來說都是一項極具挑戰(zhàn)性的工作。業(yè)務(wù)不間斷和災難恢復越來越難每個單位都有切身的體驗，隨著應(yīng)用業(yè)務(wù)活動越來越多的依賴于IT系統(tǒng)的協(xié)助，應(yīng)用系統(tǒng)的不間斷持續(xù)運轉(zhuǎn)的需求就越來越強烈。而硬件和軟件故障、自然災難，甚至計劃維護所導致的停機時間，都可能影響到業(yè)務(wù)的中斷。這不僅會讓最終用戶感到沮喪，也會讓IT部門不堪重負，進而造成重要信息和收益的損失。實施可靠、快速的恢復策略，既耗時又昂貴，并且還經(jīng)常需要在不同的物理位置維護設(shè)備和恢復業(yè)務(wù)應(yīng)用，這意味著對主要系統(tǒng)和恢復系統(tǒng)的升級和變更必須同時進行，但是出于維護難度和時間方面的考慮，很多組織根本沒有全面的業(yè)務(wù)連續(xù)性和災難恢復計劃覆蓋他們所有的設(shè)備、數(shù)據(jù)和應(yīng)用程序。傳統(tǒng)的靜態(tài)系統(tǒng)平臺無法滿足業(yè)務(wù)的快速變化需求傳統(tǒng)的計算環(huán)境包含以下幾個層面：硬件、操作系統(tǒng)、應(yīng)用程序和存儲，它們彼此處于一種相對固定的靜態(tài)合作關(guān)系，一旦搭建完畢，彼此之間為完成特定的運算工作而進行交互。換句話說，應(yīng)用系統(tǒng)服務(wù)器環(huán)境一旦搭建完成，就會很長時間的保持配置狀態(tài)穩(wěn)定運行。在這種環(huán)境中組件都是被安裝到特定計算機上。這導致應(yīng)用系統(tǒng)會被緊密捆綁在這些靜態(tài)的硬件系統(tǒng)平臺上，無法很好地適應(yīng)業(yè)務(wù)的動態(tài)快速變化需要。為了取得更強的計算能力，則需要增加服務(wù)器、網(wǎng)絡(luò)設(shè)備和相應(yīng)的軟件系統(tǒng)來擴大系統(tǒng)平臺的計算資源；為了獲得新的業(yè)務(wù)能力則需要進行明顯的硬件、軟件以及接口的配置、變更過程。為了更好的滿足業(yè)務(wù)的動態(tài)變化需要，是否存在一種動態(tài)變化的信息化系統(tǒng)平臺來滿足這種需求？建設(shè)目標本項目旨在通過虛擬化、分布式計算等目前業(yè)界最先進的云計算技術(shù)為用戶構(gòu)建新一代的數(shù)據(jù)中心，滿足用戶日常工作、研究以及演示方面的需求，主要達到以下幾個方面的目標：通過配置、整合一系列軟、硬件設(shè)備為客戶構(gòu)建計算、存儲資源池以及相應(yīng)服務(wù)平臺，使用戶可以按需、彈性獲取計算及存儲資源。系統(tǒng)管理員通過云平臺管理系統(tǒng)對整個云計算平臺進行集中管理，實現(xiàn)對云平臺的軟、硬件資源進行統(tǒng)一分配和管理。構(gòu)建虛擬服務(wù)器，部署電子業(yè)務(wù)系統(tǒng)接收平臺。通過云平臺能對應(yīng)用系統(tǒng)計算資源的動態(tài)調(diào)配。需求分析及資源估算分析概述本項目需要為柳州東城企業(yè)提供一套完整的基于云平臺的數(shù)據(jù)中心解決方案，包括：完整的軟硬件體系環(huán)境，可對外提供IT服務(wù)，并便于運維；基于虛擬化技術(shù)，用于構(gòu)建IT資源池，支持現(xiàn)有業(yè)務(wù)的部署、運行和管理，以及新的科研環(huán)境建設(shè)，也為未來電子應(yīng)用用戶環(huán)境改造建設(shè)打下基礎(chǔ)；基于資源池，實現(xiàn)計算資源的統(tǒng)一規(guī)劃部署和實施，實現(xiàn)覆蓋其全系統(tǒng)范圍內(nèi)的計算資源共享系統(tǒng)。能提供給用戶的演示系統(tǒng)。根據(jù)上述環(huán)境的描述，本方案需要為用戶構(gòu)建一套完整的云計算平臺。根據(jù)用戶應(yīng)用及數(shù)據(jù)特點該平臺需要滿足以下需求：結(jié)合用戶現(xiàn)有環(huán)境及使用習慣，實現(xiàn)用戶對計算及存儲資源的按需即用，隨需擴展的需求，實現(xiàn)資源的動態(tài)按需分配；實現(xiàn)對系統(tǒng)及數(shù)據(jù)的統(tǒng)一管理和分配；全面考慮安全保密需要，滿足數(shù)據(jù)傳輸使用的安全性，數(shù)據(jù)存儲的可靠性、高可用、低成本的要求。系統(tǒng)初期建設(shè)要求提供相應(yīng)的存儲容量，需要具備相應(yīng)的處理能力服務(wù)器及軟件支持?？傮w規(guī)劃要求為保證實施效果，東城公司信息化建設(shè)采用分步推進的策略進行。信息化業(yè)務(wù)系統(tǒng)初步規(guī)劃通過三階段建設(shè)，在五年內(nèi)逐步建立集團化的信息體系。未來服務(wù)器需求估算根據(jù)咨詢調(diào)研結(jié)果，東城公司對未來各應(yīng)用系統(tǒng)數(shù)據(jù)量及對服務(wù)器需求進行了預估，避免盲目投資造成損失。該預估數(shù)據(jù)將是整個技術(shù)體系和方案制訂的方向和依據(jù)，具體見下表：表：未來各應(yīng)用系統(tǒng)數(shù)據(jù)量及服務(wù)器需求預估項目名稱系統(tǒng)用戶數(shù)高峰并發(fā)用戶數(shù)預計數(shù)據(jù)總量（GB/每年）預計服務(wù)器需求C.總部應(yīng)用建設(shè)ERP（工程/物資/合同/財務(wù)/資產(chǎn)/主數(shù)據(jù)）200409002*高配資金管理20550利舊土地管理205200中配人力資源管理30030200中配戰(zhàn)略績效管理2058低配全面計劃和預算20520低配投資管理2055低配招商管理20510外部門戶2000200502*低配電子商務(wù)2002040報銷管理500100100中配決策支持50103002*高配綜合管理（內(nèi)部門戶/移動辦公）3006050低配綜合管理（OA/督辦/檔案/情報/審計/法務(wù)）30030300D.分子公司應(yīng)用建設(shè)客戶關(guān)系管理10030200低配產(chǎn)品管理20510低配物業(yè)及租賃管理50520利舊交投公司系統(tǒng)建設(shè)（綜合運營及客戶管理）205100低配交投公司系統(tǒng)建設(shè)（港口作業(yè)系統(tǒng)）50201200中配小貸擔保系統(tǒng)建設(shè)5010600中配會展管理平臺5010200中配建開公司系統(tǒng)建設(shè)205100低配服務(wù)器資源需求測算tpmC硬件測算方法論本項目根據(jù)之前預估的服務(wù)器需求，建議采取tpmC硬件選型法，估算出每個應(yīng)用對服務(wù)器CPU、內(nèi)存和硬盤的需求量。以便為進一步技術(shù)方案選型提供幫助和參考。借用IBM公司在金融綜合業(yè)務(wù)系統(tǒng)的實際應(yīng)用中總結(jié)的經(jīng)驗方法論，采用以下公式：TPM=TASKx80%xSxF/(TxC)，其中：TASK：為每日業(yè)務(wù)統(tǒng)計峰值交易量T：為每日峰值交易時間，假設(shè)每日80%交易量集中在每天的4小時，即240分鐘內(nèi)完成：T=240S：為實際銀行業(yè)務(wù)交易操作相對于標準TPC-C測試基準環(huán)境交易的復雜程度比例。由于實際的金融業(yè)務(wù)交易的復雜程度與TPC-C標準測試中的交易存在較大的差異，須設(shè)定一個合理的對應(yīng)值。以普通儲蓄業(yè)務(wù)交易為例，一筆交易往往需要同時打開大量數(shù)據(jù)庫表，取出其相關(guān)數(shù)據(jù)進行操作，相對于TPC-C標準交易的復雜度，要復雜很多；根據(jù)科學的統(tǒng)計結(jié)果，每筆交易操作相比較于TPC標準測試中的每筆交易的復雜度此值可設(shè)定為10~20。C：為主機CPU處理余量。實際應(yīng)用經(jīng)驗表明，一臺主機服務(wù)器的CPU利用率高于80%則表明CPU的利用率過高會產(chǎn)生系統(tǒng)瓶頸，而利用率處于75%時，是處于利用率最佳狀態(tài)。因此，在推算主機性能指標時，必須考慮CPU的冗余，設(shè)定C=70%。F：為系統(tǒng)未來3~5年的業(yè)務(wù)量發(fā)展冗余預留。綜上所述，為保障聯(lián)機業(yè)務(wù)處理性能要求，我們可推算得出主機所需的處理能力，據(jù)此得出相應(yīng)的機型和配置。tpmC計算公式：tpmC=峰值在線用戶數(shù)*每分鐘每個用戶數(shù)請求*每個請求事務(wù)數(shù)（增刪查）/(操作系統(tǒng)冗余系數(shù)*CPU冗余系數(shù))tpmC方法論測算CPU資源以ERP應(yīng)用系統(tǒng)為例：用戶數(shù)：200高峰并發(fā)用戶：40數(shù)據(jù)增長量：900GB/年根據(jù)以上條件，我們做出如下假設(shè)：用戶每分鐘提出6個請求，每個請求產(chǎn)生20個事務(wù)，操作系統(tǒng)預留30%冗余、CPU預留30%冗余。則系統(tǒng)的tpmC值=40×6×20÷((1-0.3)*(1-0.3))≈9800如果選擇物理服務(wù)器，只需要參考事務(wù)處理性能委員會（TransactionProcessingPerformanceCouncil）于2014年12月22日發(fā)布的結(jié)果（TPC-CBENCHMARKRESULTS）選擇tpmC值大于9800的服務(wù)器便可。通過查詢得到tpmC大于9800的服務(wù)器為IBMeServerxSeries220c/s，服務(wù)器CPU為一顆IntelPentiumIII1.4GHz。由于這是老服務(wù)器CPU型號，我們建議采用一顆大于該性能需求的CPU便可，如E5-26092.50GHz。根據(jù)測算所有應(yīng)用系統(tǒng)得出結(jié)論：需要31顆CPU。(具體應(yīng)用測算數(shù)據(jù)見下頁表單)表：CPU測算建議配置單項目名稱預計服務(wù)器需求tpmC值參考服務(wù)器CPUC.總部應(yīng)用建設(shè)需求實際品牌型號實際配置選型配置ERP（工程/物資/合同/財務(wù)/資產(chǎn)/主數(shù)據(jù)）2*高配9，7969，112IBMeServerxSeries220c/sIntelPentiumIII1.4GHz*12*E5-26092.50GHz資金管理利舊土地管理中配1，2249，112IBMeServerxSeries220c/sIntelPentiumIII1.4GHz*1E5-26092.50GHz人力資源管理中配7，3479，112IBMeServerxSeries220c/sIntelPentiumIII1.4GHz*1E5-26092.50GHz戰(zhàn)略績效管理低配1，2249，112IBMeServerxSeries220c/sIntelPentiumIII1.4GHz*1E5-26092.50GHz全面計劃和預算低配1，2249，112IBMeServerxSeries220c/sIntelPentiumIII1.4GHz*1E5-26092.50GHz投資管理低配1，2249，112IBMeServerxSeries220c/sIntelPentiumIII1.4GHz*1E5-26092.50GHz招商管理1，2249，112IBMeServerxSeries220c/sIntelPentiumIII1.4GHz*1E5-26092.50GHz外部門戶2*低配48，98052，587IBMeServerxSeries360/2.0GHz/4pIntelXeonMP2.00GHz*48*E5-26092.50GHz電子商務(wù)4，8989，112IBMeServerxSeries220c/sIntelPentiumIII1.4GHz*12*E5-26092.50GHz報銷管理中配24，49031，910IBMeServerxSeries235/3.2GHz/1PIntelXeon-3.2GHz2*E5-26092.50GHz決策支持2*高配2，4499，112IBMeServerxSeries220c/sIntelPentiumIII1.4GHz*12*E5-26092.50GHz綜合管理（內(nèi)部門戶/移動辦公）低配14，6949，112IBMeServerxSeries220c/sIntelPentiumIII1.4GHz*1E5-26092.50GHz綜合管理（OA/督辦/檔案/情報/審計/法務(wù)）7，3479，112IBMeServerxSeries220c/sIntelPentiumIII1.4GHz*1E5-26092.50GHzD.分子公司應(yīng)用建設(shè)客戶關(guān)系管理低配7，3479，112IBMeServerxSeries220c/sIntelPentiumIII1.4GHz*1E5-26092.50GHz產(chǎn)品管理低配1，2249，112IBMeServerxSeries220c/sIntelPentiumIII1.4GHz*1E5-26092.50GHz物業(yè)及租賃管理利舊交投公司系統(tǒng)建設(shè)（綜合運營及客戶管理）低配1，2249，112IBMeServerxSeries220c/sIntelPentiumIII1.4GHz*1E5-26092.50GHz交投公司系統(tǒng)建設(shè)（港口作業(yè)系統(tǒng)）中配4，8989，112IBMeServerxSeries220c/sIntelPentiumIII1.4GHz*1E5-26092.50GHz小貸擔保系統(tǒng)建設(shè)中配2，4499，112IBMeServerxSeries220c/sIntelPentiumIII1.4GHz*1E5-26092.50GHz會展管理平臺中配2，4499，112IBMeServerxSeries220c/sIntelPentiumIII1.4GHz*1E5-26092.50GHz建開公司系統(tǒng)建設(shè)低配1，2249，112IBMeServerxSeries220c/sIntelPentiumIII1.4GHz*1E5-26092.50GHz

內(nèi)存及存儲資源測算方法以ERP應(yīng)用系統(tǒng)為例：用戶數(shù)：200高峰并發(fā)用戶：40數(shù)據(jù)增長量：900GB/年根據(jù)以上條件，我們對內(nèi)存使用做出如下假設(shè)：每個并發(fā)占用內(nèi)存0.03GB操作系統(tǒng)占用內(nèi)存2GB其他應(yīng)用軟件占用內(nèi)存0.5GB合理內(nèi)存利用率70%由此計算得出所需內(nèi)存為：（40*0.03+2+0.5）/0.70=5.29GB，根據(jù)實際情況，該服務(wù)器內(nèi)存配置建議值為6GB根據(jù)以上條件，我們對存儲使用做出如下假設(shè)：操作系統(tǒng)占用150GB空間合理存儲占用率70%由此計算得出5年存儲數(shù)據(jù)量為（900*5+150）/0.70≈6643GB根據(jù)測算得出結(jié)論：應(yīng)用系統(tǒng)內(nèi)存需求為144GB5年存儲需求為37451GB表：內(nèi)存及存儲測算建議配置單項目名稱預計服務(wù)器需求內(nèi)存（GB）存儲（GB）C.總部應(yīng)用建設(shè)測算數(shù)值建議數(shù)值測算數(shù)值ERP（工程/物資/合同/財務(wù)/資產(chǎn)/主數(shù)據(jù)）2*高配5.292*66643資金管理利舊土地管理中配3.7941643人力資源管理中配4.8661643戰(zhàn)略績效管理低配3.794271全面計劃和預算低配3.794357投資管理低配3.794250招商管理3.794286外部門戶2*低配12.142*16571電子商務(wù)4.432*6500報銷管理中配7.868929決策支持2*高配4.002*42357綜合管理（內(nèi)部門戶/移動辦公）低配6.148571綜合管理（OA/督辦/檔案/情報/審計/法務(wù)）4.8662357D.分子公司應(yīng)用建設(shè)客戶關(guān)系管理低配4.8661643產(chǎn)品管理低配3.794286物業(yè)及租賃管理利舊357交投公司系統(tǒng)建設(shè)（綜合運營及客戶管理）低配3.794929交投公司系統(tǒng)建設(shè)（港口作業(yè)系統(tǒng)）中配4.4368786小貸擔保系統(tǒng)建設(shè)中配4.0044500會展管理平臺中配4.0041643建開公司系統(tǒng)建設(shè)低配3.794929

服務(wù)器資源需求結(jié)論經(jīng)過之前詳細計算，按照五年規(guī)劃，所有應(yīng)用系統(tǒng)所需服務(wù)器資源需求如下：計算資源（CPU）：31顆內(nèi)存資源：144GB存儲資源：37451GB建設(shè)云平臺的意義隨著信息技術(shù)尤其是互聯(lián)網(wǎng)技術(shù)的發(fā)展，各項電子應(yīng)用業(yè)務(wù)呈井噴式發(fā)展，信息量和新業(yè)務(wù)以幾何級數(shù)增長，使得對信息計算和存儲的需求進一步擴大，同時對存儲安全、節(jié)能和管理等方面也提出了新的要求。在此背景下，傳統(tǒng)的將數(shù)據(jù)計算、存儲與有形的硬件設(shè)備相結(jié)合的模式正面臨巨大挑戰(zhàn)，因為硬件配置的更新終究不能超過信息量的飛速飆升。云計算作為一種新興的共享基礎(chǔ)架構(gòu)的方法，可以將巨大的系統(tǒng)池連接在一起以提供各種IT服務(wù)，被稱之為“革命性的計算模型”。在此模式下，從用戶現(xiàn)有業(yè)務(wù)和信息環(huán)境來看，利用強大的網(wǎng)絡(luò)能力和云計算技術(shù)，將數(shù)據(jù)的處理過程從個人計算機或服務(wù)器移到計算機集群中。通過云計算，不僅可以使用戶便捷使用各種計算、存儲資源，也可以集中資源處理一些單機無法處理的大型數(shù)據(jù)及程序，而且整個云計算資源非常容易隨著業(yè)務(wù)需求進行擴展。本項目將提供計算環(huán)境，降低用戶IT硬件投資,提供基于云計算平臺的應(yīng)用、開發(fā)測試、研究及演示環(huán)境。當云平臺構(gòu)建成功后，不僅對云計算的研發(fā)有重要作用，而且可以提供應(yīng)用、測試、調(diào)試、加工等技術(shù)支撐與服務(wù)，并向用戶提供一個共享服務(wù)平臺，實現(xiàn)各單位在此平臺上的進行應(yīng)用系統(tǒng)搭建、軟件開發(fā)、計算及存儲資源的動態(tài)使用以及資源共享等各種服務(wù)?？梢娫谟脩魳?gòu)建云計算平臺不僅有助于提高資源利用率和靈活性，節(jié)約運營成本，還能大幅度提高應(yīng)用程序從設(shè)計開發(fā)到業(yè)務(wù)部署的速度，并有助于加快創(chuàng)新步伐，創(chuàng)造更大的業(yè)務(wù)成效。云平臺建設(shè)原則和思路建設(shè)原則和成果建設(shè)原則在云平臺建設(shè)時需要遵循以下設(shè)計原則：設(shè)計方案的完整性提供整體的設(shè)計方案，包含軟件和硬件的詳細需求。并在相關(guān)設(shè)備上提出了技術(shù)需求。實用性和先進性云計算功能服務(wù)平臺其基礎(chǔ)設(shè)施采用先進的技術(shù)，通過使用先進的技術(shù)來確保其可用性。云計算平臺建設(shè)采用先進成熟的技術(shù)和設(shè)備，滿足當前的需求，兼顧未來的業(yè)務(wù)需求。在系統(tǒng)設(shè)計中我們考慮了完善的應(yīng)急方案。在設(shè)備選型上我們選擇了同類設(shè)備中性能優(yōu)良的設(shè)備，是擁有高標準，高質(zhì)量，高性能的產(chǎn)品。在操作上簡單方便，安全可靠，并且擁有良好的低碳環(huán)保性能。而且系統(tǒng)的設(shè)計和設(shè)備選型符合中國國情，充分考慮了云系統(tǒng)在計算與存儲上的需要和市場情況，采用了性能價格比最佳的系統(tǒng)。安全可靠性具有高可靠性，不出現(xiàn)單點故障。對架構(gòu)設(shè)計、功能需求、日常維護等各個方面進行可靠性的設(shè)計和建設(shè)。在關(guān)鍵設(shè)備采用備份、冗余等可靠性技術(shù)的基礎(chǔ)上，采用相關(guān)的軟件技術(shù)提供較強的管理機制、控制手段和事故監(jiān)控與安全保密等技術(shù)措施提高云計算平臺的安全性。靈活性與可擴展性具有良好的靈活性與可擴展性，能夠根據(jù)業(yè)務(wù)不斷深入發(fā)展的需要，擴大設(shè)備容量和提高用戶的數(shù)量和質(zhì)量。具備支持多種網(wǎng)絡(luò)傳輸、多種物理接口的能力，提供技術(shù)升級、設(shè)備更新的靈活性。并且能夠在保證初期業(yè)務(wù)的前提下，預留充分的擴展空間，保證將來各種新業(yè)務(wù)的開展。系統(tǒng)還可以實現(xiàn)可預見的平滑升級，能夠確保在系統(tǒng)不做大的變更前提下，平滑升級到更高的層次。標準化在系統(tǒng)結(jié)構(gòu)設(shè)計時，基于國家頒布的有關(guān)標準，包括各計算機局域網(wǎng)、廣域網(wǎng)標準，堅持統(tǒng)一規(guī)范的原則，從而為未來的業(yè)務(wù)發(fā)展、設(shè)備增容奠定基礎(chǔ)。能夠隨著國內(nèi)技術(shù)標準化進程而同步進行，在自由版權(quán)技術(shù)不斷涌現(xiàn)的同時，系統(tǒng)可以保證符合國際和兼容相關(guān)技術(shù)，并擁有自己的版權(quán)。經(jīng)濟性/投資保護以最優(yōu)的性能價格比構(gòu)建機房，使資金的產(chǎn)出投入比達到最大值。以較低的成本、較少的人員投入來維持系統(tǒng)運轉(zhuǎn)，提供高效能與高效益。可管理性建立了一套全面、完善的云計算功能服務(wù)平臺的管理系統(tǒng)。所選用的軟件具有智能化，可管理的功能，同時采用先進的管理監(jiān)控系統(tǒng)，實現(xiàn)先進的集中管理監(jiān)控，實時監(jiān)控、監(jiān)測整個云計算平臺的運行狀況，實時燈光、語音報警，實時事件記錄，可以迅速確定故障，提高的運行性能、可靠性，簡化管理人員的維護工作，從而為機房安全、可靠的運行提供最有力的保障。系統(tǒng)具有較強的檢錯，糾錯能力，具有完善的備件措施。在系統(tǒng)出現(xiàn)故障時，能夠在較短的時間內(nèi)恢復系統(tǒng)運行。綠色環(huán)保節(jié)能采用先進的設(shè)計理念和產(chǎn)品以實現(xiàn)環(huán)保、節(jié)能的云計算環(huán)境。建成效果通過結(jié)合虛擬化技術(shù)為核心技術(shù)組建的云平臺，可以達到以下幾個方面的效果：可建成一個基于虛擬化的云計算平臺應(yīng)用系統(tǒng)，支持開放的系統(tǒng)架構(gòu)、動態(tài)的資源分配和平滑的擴展等能力。建成的云計算平臺主要包括：云計算平臺和云存儲平臺。其中云計算平臺主要負責整合系統(tǒng)內(nèi)的所有計算節(jié)點，構(gòu)建統(tǒng)一的計算資源池，實現(xiàn)計算資源的合理、高效的利用，以及動態(tài)調(diào)整、隨時擴展、按需分配；云存儲平臺主要負責整合所有存儲資源，提供統(tǒng)一的存儲資源池，實現(xiàn)存儲資源的合理按需分配及彈性擴展。有效降低IT建設(shè)成本：通過建立基礎(chǔ)架構(gòu)云，動態(tài)地充分利用服務(wù)器、存儲、網(wǎng)絡(luò)資源，從而保證整個云平臺系統(tǒng)能處于一個合理的、高效工作的狀態(tài)，達到最大化的利用，這種共用底層物理設(shè)施通過虛擬化層面來動態(tài)調(diào)整資源的工作原理可以有效減小系統(tǒng)的規(guī)模，從而最大限度降低IT建設(shè)的投入費用。統(tǒng)一管理：統(tǒng)一管理工具實現(xiàn)資源（物理資源、虛擬資源）統(tǒng)一管理，提高效率，降低管理難度。降低維護成本，提高效率：引入自動化管理工具，簡化環(huán)境部署的維護成本，提高效率。包括計算、存儲、網(wǎng)絡(luò)資源的基礎(chǔ)環(huán)境的設(shè)計、部署自動化管理。包括操作系統(tǒng)、中間件以及應(yīng)用軟件等軟件的自動安裝、部署管理要求。為完整的軟件生命周期管理建立資源平臺。為自動化運維管理以及桌面云的實施和管理提供資源平臺，并能平滑擴展。項目建設(shè)思路按照上述私有云系統(tǒng)技術(shù)架構(gòu)規(guī)劃的建設(shè)思路，本項目可以參考下圖所示的私有云系統(tǒng)建設(shè)路線進行：先對原有的傳統(tǒng)IT資源進行資源整合和虛擬化來打破資源孤島，通過虛擬化軟件將資源整合和共享起來，提供一個就緒的IT資源池，從而能提高這些物理資源的利用率和增加運維管理的靈活性。建設(shè)IaaS基礎(chǔ)架構(gòu)云平臺。這個層面是利用IaaS云管理平臺在形成的資源池之上按照業(yè)務(wù)應(yīng)用的需要進行資源管理和資源調(diào)度。通過該平臺可以決定資源怎么用，以什么形式，分配給哪種業(yè)務(wù)。IaaS云平臺是連接應(yīng)用和資源池之間的橋梁，由它來匹配資源的需求和供給。選用的IaaS云管理平臺時主要要求能支持異構(gòu)資源管理，既包括對不同物理機的異構(gòu)資源管理，也包括對不同虛擬平臺的異構(gòu)資源管理；也要求IaaS云管理平臺能提供自動化的能力和資源交付時能以服務(wù)的方式對外提供。SaaS應(yīng)用的部署。眾所周知，云平臺的最終目標是為各種應(yīng)用提供統(tǒng)一的管理和服務(wù)平臺，所以在實現(xiàn)IaaS云計算平臺的建設(shè)后，可以根據(jù)用戶業(yè)務(wù)發(fā)展需要部署SaaS層的應(yīng)用，可以通過建立與業(yè)務(wù)應(yīng)用相關(guān)的模版，將業(yè)務(wù)應(yīng)用逐步部署到云計算平臺上，從而滿足業(yè)務(wù)應(yīng)用和管理的需要。復雜多應(yīng)用優(yōu)化階段。在使用了云平臺系統(tǒng)部署SaaS業(yè)務(wù)后，同時伴隨著在云平臺上部署更多的新業(yè)務(wù)后，需要對云平臺系統(tǒng)進行優(yōu)化，從而來滿足復雜多業(yè)務(wù)平臺的彈性，例如做到系統(tǒng)的自動化管理，定義自助式服務(wù)請求，準實時部署、能源的動態(tài)優(yōu)化和服務(wù)的細化等擴展能力。

云平臺詳細設(shè)計方案系統(tǒng)總體架構(gòu)圖整個云平臺系統(tǒng)結(jié)構(gòu)如下圖所示：云平臺由資源池、虛擬化層和云平臺管理系統(tǒng)組成。資源池的物理設(shè)備主要包括x86服務(wù)器、網(wǎng)絡(luò)設(shè)備和存儲設(shè)備構(gòu)建，該資源池為IaaS服務(wù)提供了最底層的物理資源。在虛擬化層是通過虛擬化軟件（如VMwareESXi、CitrixXenServer或KVM）對物理層的硬件設(shè)施進行虛擬化處理，形成的Hypervisor虛擬層面的資源池系統(tǒng)。采用虛擬化軟件將物理設(shè)備資源形成一個或多個虛擬出來的資源池，提供了計算能力、網(wǎng)絡(luò)功能和存儲能力。該資源池系統(tǒng)可提供用戶傳統(tǒng)使用基礎(chǔ)IT資源——計算能力、網(wǎng)絡(luò)功能和存儲能力。該資源池系統(tǒng)可根據(jù)需要動態(tài)改變資源分配的規(guī)模，快速適應(yīng)不同應(yīng)用的擴容需求，實現(xiàn)“彈性”資源的分配能力。管理系統(tǒng)是通過Elaster管理平臺來實現(xiàn)資源統(tǒng)一管理和業(yè)務(wù)統(tǒng)一管控的自動化系統(tǒng)。Elaster管理平臺作為資源管理系統(tǒng)，主要是管理資源池系統(tǒng)及資源池系統(tǒng)中的各種資源的調(diào)度和分配。云平臺基礎(chǔ)設(shè)施層總體拓撲圖服務(wù)器、網(wǎng)絡(luò)和存儲仍然是構(gòu)建云平臺的基礎(chǔ)設(shè)施。根據(jù)東城公司的具體需求和業(yè)務(wù)實現(xiàn)，云平臺總體拓撲圖規(guī)劃如下所示：整個云平臺分為三大邏輯區(qū)域和高級網(wǎng)絡(luò)架構(gòu)：三大邏輯區(qū)域：平臺管理區(qū)域：由2臺物理設(shè)備組成云平臺管理集群，將云平臺主數(shù)據(jù)庫與從數(shù)據(jù)庫分別分配在不同物理主機上，實現(xiàn)任何一臺物理設(shè)備宕機都能保證平臺的可恢復性；業(yè)務(wù)系統(tǒng)資源域：通過云平臺管理系統(tǒng)將所有主機統(tǒng)一管理在一個資源域內(nèi)并且分配在兩個集群，可實現(xiàn)靈活創(chuàng)建調(diào)用資源，保障集群的擴展性；二級存儲區(qū)域：二級存儲作為存放ISO、模版、快照等資源，并且必須使用NFS格式存儲設(shè)備。高級網(wǎng)絡(luò)架構(gòu)：高級網(wǎng)絡(luò)的優(yōu)勢在于其靈活性和提供一些網(wǎng)絡(luò)高級功能，使云平臺更好的為客戶提供服務(wù)，主要功能特點：地址轉(zhuǎn)換NAT功能：高級網(wǎng)絡(luò)功能為云平臺虛擬機提供NAT功能，將虛擬機內(nèi)網(wǎng)IP轉(zhuǎn)換為公網(wǎng)IP提供訪問功能，同時能隱藏云計算平臺內(nèi)的IP地址和網(wǎng)絡(luò)拓撲結(jié)構(gòu)，在一定程度上提高云計算平臺系統(tǒng)的安全性。帶寬管理功能：云計算平臺應(yīng)用逐漸增多，數(shù)據(jù)量也會增多，為業(yè)務(wù)應(yīng)用安全優(yōu)先級和重要性業(yè)務(wù)虛擬機進行帶寬管理控制。VPN功能：公司其他網(wǎng)絡(luò)或Internet網(wǎng)絡(luò)來管理或訪問云計算平臺系統(tǒng)內(nèi)的管理服務(wù)器和業(yè)務(wù)服務(wù)器，同時又要保證訪問的需要，這樣就有必要要求訪問時能通過安全的通道——IPSecVPN或SSLVPN來保證訪問時安全的，加密的。高可靠性（HA）：Elaster云平臺以提供服務(wù)的高可靠性為架構(gòu)設(shè)計的重要指標。HA的實現(xiàn)途徑主要有兩個，一個是硬件保證，一個是架構(gòu)的冗余設(shè)計。服務(wù)器規(guī)劃設(shè)計服務(wù)器選型要求對于服務(wù)器的選擇，計算資源池中的服務(wù)器要具備較高的計算性能、與虛擬化平臺的兼容性和比較高的穩(wěn)定性，因此在選擇上要符合以下特點：通用性。服務(wù)器要滿足通用標準，確保日后良好的擴展和維護能力?？紤]到需要支持虛擬化來建設(shè)云平臺，因此要求采用的服務(wù)器都是X86的平臺。兼容性。要求能支持常用的虛擬化平臺，至少能支持VMwareESXi、CitrixXenServer或RedhatKVM等虛擬化平臺有效兼容。強大的計算性能和擴展能力?？梢詳U展到業(yè)界最高的單臺設(shè)備支持四顆甚至更多顆的CPU，內(nèi)存要求單臺內(nèi)存能高達384GB，從而能為用戶提供超高的計算性能。要有良好的穩(wěn)定性、可靠性、可用性，并具有很好的I/O擴展能力。高密度和易管理。在超高密度的計算節(jié)點下，要有機柜級的統(tǒng)一散熱能力，以此保證云計算平臺更為節(jié)能環(huán)保，同時又提供超高的散熱效率。服務(wù)器設(shè)備選型云計算平臺的服務(wù)器資源分為兩種類型，一種是資源服務(wù)器，一種是云平臺管理服務(wù)器。資源服務(wù)器：資源服務(wù)器按照之前的預估測算，其資源需求結(jié)果為：計算資源（CPU）：31顆內(nèi)存資源：144GB存儲資源：37451GB根據(jù)需求部分重要業(yè)務(wù)系統(tǒng)要使用HA（高可靠性）服務(wù)，建議預留15%的可分配資源，同時為保障云平臺穩(wěn)定承載所有業(yè)務(wù)系統(tǒng)，建議預留25%的可分配資源。綜合考慮平臺整體資源需求要在原基礎(chǔ)上提高25%的資源配備。綜合考慮云平臺高可靠穩(wěn)定運行所需資源統(tǒng)計信息如下：計算資源（CPU）：主頻：需40核內(nèi)存資源：共需180G主存儲資源：共需46814G云平臺管理服務(wù)器：云平臺管理服務(wù)器的主要功能是用于部署Elaster云平臺管理服務(wù)器和MySQL數(shù)據(jù)庫兩臺，并且采取數(shù)據(jù)庫主從結(jié)構(gòu)。服務(wù)器設(shè)備清單根據(jù)以上規(guī)劃和要求，服務(wù)器選型和配置清單如下：名稱數(shù)量配置說明資源服務(wù)器62顆XeonE5-2609v24C2.50GHz10MB6.40GT/s80W,32GB內(nèi)存，配置雙口10G網(wǎng)卡配上SFP+2塊多模10GSFP+光纖模塊和配套多模跳纖，2個千兆網(wǎng)卡。Elaster云平臺管理程序+從數(shù)據(jù)庫1CPU2*E5-2609v2或者更高能力CPU；16GB內(nèi)存；2個千兆網(wǎng)卡Elaster云平臺管理主數(shù)據(jù)庫1CPU2*E5-2609v2或者更高能力CPU；16GB內(nèi)存；2個千兆網(wǎng)卡網(wǎng)絡(luò)規(guī)劃設(shè)計網(wǎng)絡(luò)拓撲和說明網(wǎng)絡(luò)拓撲圖如下：資源服務(wù)器節(jié)點：需要配備2個千兆以太網(wǎng)數(shù)據(jù)傳輸接口，1個以太網(wǎng)管理控制接口，2個10GB光纖接口，共5個物理接口。因此以太網(wǎng)接口共需18個，光纖接口共需12個。云平臺管理節(jié)點：2臺物理服務(wù)器，2個千兆以太網(wǎng)數(shù)據(jù)傳輸接口、1個以太網(wǎng)管理控制接口。共6個以太網(wǎng)接口。網(wǎng)絡(luò)設(shè)備清單依據(jù)接口數(shù)量、高可用、業(yè)務(wù)擴展性測算，交換機需求如下：名稱數(shù)量配置要求10Gb以太網(wǎng)交換機-高端交換機2框式交換機，標準配置≥6個業(yè)務(wù)槽位，配置≥30個10GESFP+端口和≥30個10GESFP+多模光模塊及30對光纖掉線；背板帶寬≥4.8Tbps；包轉(zhuǎn)發(fā)率≥950Mpps；提供220V交流電源接入。MAC地址表≥128K；最大聚合端口數(shù)≥16。48口千兆以太網(wǎng)交換機2整機交換容量≥256Gbps；轉(zhuǎn)發(fā)性能≥130Mpps；接口類型≥48個10/100/1000M電口+2個10GESFP+端口和2個10GESFP+多模光模塊，2對SFP+多模光纖跳線。使用情況：兩臺交換機使用級聯(lián)方式進行連接，并根據(jù)服務(wù)器端口連接情況進行端口綁定。服務(wù)器端將網(wǎng)絡(luò)接口分別接入到不同交換機的指定端口中，通過綁定實現(xiàn)鏈路冗余的安全要求。存儲規(guī)劃設(shè)計云管理平臺對云平臺內(nèi)的存儲資源池定義了兩種存儲：一級存儲（也稱為主存儲）和二級存儲。其中一級存儲提供FC-SAN、iSCSI-SAN和NFS訪問接口，也可以使用DAS存儲作為一級存儲。二級存儲只提供NFS訪問接口。對這兩種存儲所使用的存儲設(shè)備的速度要求會有不同，對一級存儲要求IOPS相對較高，而二級存儲IOPS要求不高但對存儲空間要求很高，這樣處理使得用戶可以經(jīng)濟地配置存儲資源來滿足不同的存儲需求。本方案中，采用一級存儲和二級存儲共存的方式來提高整個云平臺的性能。按照之前計算結(jié)果，總存儲資源需求為46814GB，約46TB。因此，存儲規(guī)劃設(shè)計結(jié)果如下：一級存儲（主存儲）設(shè)計一級存儲/主存儲主要用于存放虛擬機的系統(tǒng)卷以及用戶數(shù)據(jù)卷等經(jīng)常操作的數(shù)據(jù)。共享一級存儲（除本地磁盤以外的所有類型）被掛載到主機集群中。當虛擬機被創(chuàng)建的時候，系統(tǒng)卷將被自動創(chuàng)建。當虛擬機被刪除的時候，系統(tǒng)卷也將同時被刪除。數(shù)據(jù)卷可以動態(tài)地創(chuàng)建和掛載到虛擬機上。虛擬機被銷毀的時候數(shù)據(jù)卷將會被保留。一級存儲可以使用的存儲類型包括：NFS，本地存儲，F(xiàn)C和iSCSI等通用的存儲體系或存儲設(shè)備。一級存儲的速度直接影響到虛擬機的運行速度，因此一級存儲應(yīng)選擇轉(zhuǎn)速更快的硬盤?？紤]到前期投資未來業(yè)務(wù)預估的不確定性，本項目采用可用存儲為30TB的機架式IPSAN存儲系統(tǒng)。二級存儲（分布式）設(shè)計二級存儲主要用來存放模板、用戶虛擬機的快照和ISO光盤鏡像文件等使用頻率偏低的數(shù)據(jù)。二級存儲一般具有較高的讀寫比，即二級存儲更多的操作是讀操作。跟一級存儲相比，二級存儲由空間更大，IOPS更低的磁盤組成。二級存儲設(shè)備必須與它所服務(wù)的虛擬機在同一個可用域中。二級存儲僅可以使用NFS存儲設(shè)備，這一點在部署時需要給予關(guān)注。每一個可用域中必須且只能有一個二級存儲。設(shè)計說明：采取非對稱分布式架構(gòu)，元數(shù)據(jù)節(jié)點提供不少于3個節(jié)點的集群，且各節(jié)點需保存完整的元數(shù)據(jù)文件，并在節(jié)點間同步；提供不少于3個元存儲節(jié)點，且存儲節(jié)點支持橫向擴展，可在線動態(tài)增加；支持非對稱式數(shù)據(jù)路徑與控制路徑分離架構(gòu)；高可用元數(shù)據(jù)服務(wù)器架構(gòu)，Web統(tǒng)一管理界面；支持統(tǒng)一命名空間、負載均衡、并發(fā)訪問策略、超高帶寬聚合、數(shù)據(jù)副本保護等功能；支持非對稱式數(shù)據(jù)路徑與控制路徑分離架構(gòu)，支持數(shù)據(jù)切片、磁盤漫游、數(shù)據(jù)副本保護等功能；支持存儲節(jié)點的在線增加和移除，支持存儲節(jié)點間基于性能和容量的自動負載均衡，采取副本數(shù)據(jù)保護方式，支持按目錄設(shè)置副本數(shù)目，以提供不同級別的數(shù)據(jù)保護方式；系統(tǒng)提供全局統(tǒng)一命名空間，即使可用容量達到后續(xù)擴容需求，也需保持該特性；支持按目錄進行存儲容量配額管理，支持在線動態(tài)調(diào)整配額；支持根據(jù)目錄、文件類型設(shè)置文件分片大小。存儲設(shè)備清單本項目采用的存儲設(shè)備清單如下：名稱數(shù)量配置說明一級存儲/主存儲物理容量：60TB；可用容量：30TB1機架式IPSAN存儲系統(tǒng)；控制器：雙控制器；緩存：不小于32GB；主機接口：不少于4個10GbEISCSI接口；容量：60TB物理容量（30TBSAS硬盤，30TB企業(yè)級SATA硬盤）,配置不小于600GBSSD或FlashCache；可用容量：30TB，配置為RAID1；性能與功能：支持存儲虛擬化，支持數(shù)據(jù)去重、數(shù)據(jù)壓縮、自動精簡配置；支持自動數(shù)據(jù)分層及SSD緩存加速；持RAID級別0，1，5，6，50，60；GUI管理界面，遠程管理。配置冗余電源、風扇、控制器；能夠提供和云管理平臺軟件更高版本有效集成。二級存儲/分布式存儲總?cè)萘浚?0TB最大可用容量：45TB3存儲系統(tǒng)軟硬件一體機；以太網(wǎng)接口：4*1Gb和2*10Gb容量：3塊600GMLCSSD硬盤，10塊3TB7200轉(zhuǎn)SATA硬盤。其他：電源、風扇、網(wǎng)口等關(guān)鍵部件采取冗余設(shè)計，無單點故障。虛擬化層規(guī)劃設(shè)計虛擬化層設(shè)計要求虛擬化層就是通過各種虛擬化技術(shù)把如路由器、防火墻、負載均衡器等多種網(wǎng)絡(luò)設(shè)備，多種平臺類型的服務(wù)器和多種級別的存儲系統(tǒng)，有效地組織起來，形成多種功能和屬性的資源池。出于投資預算和規(guī)劃，本方案將采用CitrixXenServer免費版構(gòu)建虛擬化平臺，該方式也利于今后服務(wù)器資源擴展，而無二次投資的風險。虛擬化層軟件清單名稱數(shù)量配置說明虛擬化軟件1CitrixXenServer運營管理平臺運營管理平臺要求運營管理平臺主要用于對業(yè)界標準的虛擬化軟件，如本方案中使用的CitrixXenServer進行功能擴展。管理服務(wù)器軟件對所有節(jié)點上的資源進行統(tǒng)一管理并提供web接口給管理員和用戶，使他們可以對權(quán)限內(nèi)的資源進行訪問和操作。資源池系統(tǒng)通過管理平臺的統(tǒng)一管理和調(diào)度以及資源分配，可以得到以下效果：資源的統(tǒng)一管理、調(diào)度和維護通過引入自動化管理等技術(shù)手段，實現(xiàn)對各類IT資源的集中統(tǒng)一管理、調(diào)度和維護，提升IT運營維護質(zhì)量，縮短用戶應(yīng)用系統(tǒng)上線時間。提高資源利用率，降低能耗通過引入虛擬化等技術(shù)手段，細化物理資源分配單元，提高系統(tǒng)分布密度，提高系統(tǒng)使用效率，降低對物理設(shè)備的需求，進一步降低IT設(shè)備投入，降低能耗。提高系統(tǒng)可靠性在基礎(chǔ)設(shè)施層面提高系統(tǒng)可靠性，為用戶應(yīng)用系統(tǒng)提供高可用、連續(xù)服務(wù)的基礎(chǔ)設(shè)施平臺。本項目采用Elaster管理平臺來進行運營平臺管理。運營管理平臺軟件清單名稱數(shù)量配置說明運營管理平臺1ElasterStack-5.0部署實施方案總體要求考慮到東投公司信息化項目剛開始啟動，很多應(yīng)用系統(tǒng)還未定型。按照咨詢規(guī)劃的方案，按照三個階段，五年計劃來完成整個項目的實施和進展。部署實施計劃分類實施內(nèi)容三個階段參數(shù)摘要基礎(chǔ)先行全面推廣整合提升服務(wù)器資源服務(wù)器4臺2臺按需增加2顆XeonE5-2609v24C2.50GHz10MB6.40GT/s80W,32GB內(nèi)存管理服務(wù)器2臺無無CPU2*E5-2609v2或者更高能力CPU；16GB內(nèi)存；網(wǎng)絡(luò)交換10Gb以太網(wǎng)交換機2臺無無48口千兆以太網(wǎng)交換機2臺無無存儲一級存儲/主存儲1臺無按需增加物理容量：60TB；可用容量：30TB二級存儲/分布式存儲3臺無按需增加總?cè)萘浚?0TB；最大可用容量：45TB軟件虛擬化軟XenServer4套2套按需增加Elaster云平臺管理系統(tǒng)標準版高級版企業(yè)版版本區(qū)別見后附表格附表：Elaster云平臺管理系統(tǒng)產(chǎn)品版本區(qū)別功能標準版高級版企業(yè)版資源池管理可管理VMWare/XenServer/KVM集群√√√多角色管理√√√多數(shù)據(jù)中心管理√√√用戶虛擬私有云√√√技術(shù)支持服務(wù)√√√彈性擴容√√√物理設(shè)備監(jiān)控√√(服務(wù)器，交換機，存儲設(shè)備)虛擬機監(jiān)控√√應(yīng)用程序監(jiān)控√√基礎(chǔ)架構(gòu)即服務(wù)計算即服務(wù)√√√存儲即服務(wù)√√√網(wǎng)絡(luò)即服務(wù)√√√安全性入侵檢測/深度包過濾√√虛擬補丁√√Web應(yīng)用程序保護√√無代理防病毒√√運營計費帳戶管理√自助服務(wù)√目錄套餐管理√定價計費√賬單報表√渠道管理√應(yīng)用系統(tǒng)遷移（P2V）P2V是將物理服務(wù)器上的現(xiàn)有操作系統(tǒng)（文件系統(tǒng)、配置等）轉(zhuǎn)換為相同操作系統(tǒng)和文件系統(tǒng)的虛擬化實例，經(jīng)過傳輸、實例化后，作為XenServer主機上的VM啟動的過程。WindowsP2V操作方法對于Windows服務(wù)器的現(xiàn)有物理實例，請使用XenConvert。XenConvert在Windows物理機上運行并將其實時轉(zhuǎn)換為VHD格式的磁盤映像或XVA模板，以便導入到XenServer主機。在此過程期間不需要重新啟動物理主機，設(shè)備驅(qū)動器會被自動修改，以使其能夠在虛擬環(huán)境中運行。WindowsP2V軟件下載地址/go/products/xenserver/xenserver-xenconvert-free.html選擇32位客戶端，或者64位客戶端進行下載。LinuxP2V操作方法在P2V

Linux系統(tǒng)時，是使用Xenserver安裝盤中自帶的一個叫p2v-legacy的工具。使用Xenserver5.5的安裝引導光盤引導Linux的物理機器。進入引導畫面后按F2進入高級模式，輸入p2v-legacy回車。簡單P2V操作方法使用微軟的SCVMM將物理機遷移到Hyper-v，然后直接考過來，可以直接在Xenserver中啟動。使用Vmwarevcenterconverter將物理機遷移到WMwareEsxi。之后使用XenConvert進行轉(zhuǎn)換。運維方式和策略系統(tǒng)架構(gòu)ElasterStack采用模塊化架構(gòu)，保證了整個系統(tǒng)的容量和性能的有效擴展，同時做到了故障的隔離。故障隔離：系統(tǒng)將故障隔離在主機，集群和機架的層面，不會因任何一個層面的故障影響整個系統(tǒng)的運營。針對性平臺設(shè)計ElasterStack系統(tǒng)由管理節(jié)點，計算節(jié)點，存儲和網(wǎng)絡(luò)設(shè)備組成。系統(tǒng)在底層采取集群的形式來避免計算節(jié)點的單點故障，管理節(jié)點采用均衡負載的方式分擔流量和提高管理服務(wù)器的可用性，數(shù)據(jù)庫采用主從備份的方式，存儲和網(wǎng)絡(luò)設(shè)備則以網(wǎng)絡(luò)架構(gòu)和硬件冗余的方式來保證系統(tǒng)的可靠性。計算集群：每個計算集群由8臺左右的計算節(jié)點組成，單一計算節(jié)點的故障不會影響整個集群的可用性。當虛擬機采用高可用性配置時，系統(tǒng)會自動遷移并啟動因計算節(jié)點故障而關(guān)閉的虛擬機。管理集群：管理節(jié)點是整個系統(tǒng)的核心部分，由管理服務(wù)器和數(shù)據(jù)庫組成，管理服務(wù)器本身支持以均衡負載的方式，通過安裝多個管理服務(wù)器，同時在管理服務(wù)器前端增加均衡負載的軟件或設(shè)備，管理服務(wù)器使用的端口為：8080，8250和8096。數(shù)據(jù)庫使用mysql，可以以主從方式運行。存儲設(shè)備：存儲在邏輯上分為二級存儲和主存儲，二級存儲存放模板，光盤鏡像和快照，主存儲存放虛擬機鏡像文件。存儲的可靠性通過設(shè)備的Raid和物理上的備援來滿足，但用戶也可以通過賬戶級數(shù)據(jù)文件的備份與恢復來做到上層的容災備份。網(wǎng)絡(luò)：網(wǎng)絡(luò)主要通過網(wǎng)卡端口的綁定和交換機的冗余備份來避免單點故障。數(shù)據(jù)庫：數(shù)據(jù)庫使用Master/Slave模式進行部署，所有數(shù)據(jù)實時同步，主/從數(shù)據(jù)庫分別部署在不同的物理服務(wù)器上。當Master數(shù)據(jù)庫出現(xiàn)故障后，只需要將配置文件中的服務(wù)器地址信息進行更改后就可以完成數(shù)據(jù)庫切換恢復系統(tǒng)運行。管理節(jié)點：管理節(jié)點使用冷備策略，主/備系統(tǒng)分別部署在不同的物理服務(wù)器上，備份系統(tǒng)處于運行狀態(tài)但相關(guān)服務(wù)處于關(guān)閉狀態(tài)，當主系統(tǒng)出現(xiàn)故障后，通過命令啟動備用服務(wù)器的相關(guān)服務(wù)后，即可恢復服務(wù)的正常運行。安全模塊：在管理集群中部署整體安全控制節(jié)點，它負責整體安全策略的分發(fā)與管理。保證虛擬服務(wù)器在遷移到其它物理服務(wù)器后安全策略保持不變。每一臺計算節(jié)點上還會自動部署一個安全虛擬系統(tǒng)，該系統(tǒng)會保護所在物理服務(wù)上所有虛擬系統(tǒng)的網(wǎng)絡(luò)安全。在虛擬系統(tǒng)安裝惡意軟件防護驅(qū)動后，安全虛擬系統(tǒng)還將承擔惡意軟件查殺工作，從而避免因查殺行為與應(yīng)用系統(tǒng)出現(xiàn)資源爭搶。系統(tǒng)注意事項網(wǎng)絡(luò)調(diào)整因為整個Elaster以網(wǎng)絡(luò)為基礎(chǔ)，任何網(wǎng)絡(luò)調(diào)整必須進行評估存儲變動所有的虛擬機，模板，快照和光盤鏡像都存儲在網(wǎng)絡(luò)上，任何存儲變動都可能導致虛擬機不正常工作，以及模板和快照的丟失。在調(diào)整前請先進行評估網(wǎng)絡(luò)流量Elaster系統(tǒng)在網(wǎng)絡(luò)上傳輸各種信息來保證系統(tǒng)的可靠性，和正常運行，如果網(wǎng)絡(luò)不穩(wěn)定，或產(chǎn)生擁塞，可能會導致部分虛擬機異常電力如遇非正常關(guān)機，有可能導致Elaster系統(tǒng)中部分主機異常，請使用UPS保護管理服務(wù)器/Elaster數(shù)據(jù)庫和重要的虛擬機系統(tǒng)日常運維系統(tǒng)日常運維中的一些基本操作和監(jiān)控參數(shù)，請重點關(guān)注以下情況：管理服務(wù)器磁盤空間管理服務(wù)狀態(tài)存儲空間網(wǎng)絡(luò)流量Elaster報警信息性能監(jiān)控系統(tǒng)提供了儀表板進行日常的監(jiān)控工作，主要包括外網(wǎng)IP地址，內(nèi)網(wǎng)IP地址，已分配內(nèi)存，已分配CPU，主存儲設(shè)備已分配空間，主存儲設(shè)備已使用空間，已使用二級存儲等內(nèi)容。警報信息中包含一般警告和主機的警告信息。正常狀態(tài)呈綠色，需要關(guān)注時呈現(xiàn)黃色，如為紅色請立即處理。系統(tǒng)管理員可以分別查看各個資源域，以及各資源域中的機架的使用信息。備份與恢復Elaster系統(tǒng)提供了故障隔離和一定的冗余性能，但通過對整個系統(tǒng)的備份可以提供更高程度的容災能力，并對特定用戶的數(shù)據(jù)提供保護。系統(tǒng)的備份可以分為系統(tǒng)級的備份與賬戶級的備份。系統(tǒng)級的備份與恢復提供了整個系統(tǒng)無差別的備份能力，因為整個系統(tǒng)的管理數(shù)據(jù)都存儲在數(shù)據(jù)庫，用戶數(shù)據(jù)都存儲在二級存儲與主存儲上，所以系統(tǒng)級的備份主要是備份數(shù)據(jù)庫和存儲設(shè)備。數(shù)據(jù)庫備份與恢復ElasterStack采用的是Mysql數(shù)據(jù)庫，可參考Mysql數(shù)據(jù)庫的備份與恢復方法/doc/refman/5.1/zh/database-administration.html#backupElasterStack推薦的數(shù)據(jù)庫主從復制方式提供了一種實時的備份策略，用戶可以在主數(shù)據(jù)庫故障時，利用從數(shù)據(jù)庫來恢復系統(tǒng)。

云平臺安全方案云安全總體思路由于信息安全是個廣泛而又系統(tǒng)性的話題，設(shè)計到安全技術(shù)、安全管理和安全標準。在此，我們先描述系統(tǒng)性的云安全總體思路，如下圖所示。由于用戶已經(jīng)有自身的一套安全管理方法，并且結(jié)合安全標準采用了一系列的安全技術(shù)，其主要技術(shù)要求按照如下圖所示進行考慮。結(jié)合用戶信息系統(tǒng)的安全現(xiàn)狀和IaaS云平臺部分的安全需要，我們重點做了兩個方面的安全考慮。具體如以下兩個小節(jié)所述。云平臺邊界安全設(shè)計參考云平臺拓撲圖拓撲設(shè)計所示，建議在云平臺系統(tǒng)邊界與用戶原有網(wǎng)絡(luò)之間部署一套高性能IPS安全網(wǎng)關(guān)。安全網(wǎng)關(guān)用于將云計算平臺環(huán)境和用戶網(wǎng)絡(luò)局域網(wǎng)（LAN）的隔離，主要防御來自云計算平臺外部——用戶網(wǎng)絡(luò)LAN的攻擊，同時也能防御云計算平臺對外用戶網(wǎng)絡(luò)LAN的攻擊。此外，考慮到集團分配給云平臺的IP地址和VLAN數(shù)量有限，采用該安全網(wǎng)關(guān)提供的NAT功能可以節(jié)省集團分配的IP地址和VLAN數(shù)量，并且不改變用戶網(wǎng)絡(luò)。邊界安全設(shè)備選型邊界安全選型要求綜合種種因素考慮，該安全網(wǎng)關(guān)需要具有以下功能：防火墻策略控制功能：主要用于設(shè)置云平臺內(nèi)部和云平臺之間需要放行的業(yè)務(wù)和禁止交換的數(shù)據(jù)的策略控制。DoS/DDoS攻擊防護功能：主要用于防御來自云計算平臺網(wǎng)絡(luò)外的2-4層的網(wǎng)絡(luò)攻擊。地址轉(zhuǎn)換NAT功能：將云計算平臺的IP地址能有效轉(zhuǎn)換成用戶網(wǎng)絡(luò)LAN的IP地址，同時能隱藏云計算平臺內(nèi)的IP地址和網(wǎng)絡(luò)拓撲結(jié)構(gòu)，在一定程度上提高云計算平臺系統(tǒng)的安全性。IDS/IPS攻擊防護功能：主要用于防御來自云計算平臺網(wǎng)絡(luò)外的應(yīng)用層的網(wǎng)絡(luò)攻擊。也可考慮采用專用的IPS硬件安全網(wǎng)關(guān)部署在防火墻和核心交換機之間。病毒防護功能：主要用于查殺來自云計算平臺網(wǎng)絡(luò)外的數(shù)據(jù)中所攜帶的病毒，進一步提供云平臺系統(tǒng)的安全性。帶寬管理功能：考慮到后續(xù)云計算平臺應(yīng)用會逐漸增多，數(shù)據(jù)量也會增多，而集團所給的帶寬資源有限，后續(xù)需要給這些業(yè)務(wù)應(yīng)用安全優(yōu)先級和重要性進行帶寬管理控制。VPN功能：考慮到后續(xù)存在從集團其他網(wǎng)絡(luò)甚至Internet網(wǎng)絡(luò)來管理或訪問云計算平臺系統(tǒng)內(nèi)的管理服務(wù)器和業(yè)務(wù)服務(wù)器，同時又要保證訪問的需要，這樣就有必要要求訪問時能通過安全的通道——IPSecVPN或SSLVPN來保證訪問時安全的，加密的。特別是考慮到在辦公室外和家里能遠程做系統(tǒng)運維的情形，建議采用能支持SSLVPN的安全網(wǎng)關(guān)來滿足云平臺運維安全管理的需要。HA功能：按照業(yè)務(wù)可靠性設(shè)計，建議條件允許的前提下，采用雙機熱備的方式來提高系統(tǒng)的穩(wěn)定性和可靠性。邊界安全設(shè)備清單名稱數(shù)量配置說明多功能安全網(wǎng)關(guān)2支持多鏈路負載均衡、防火墻、IPS、IPsecVPN、SSLVPN、病毒防護等多種安全功能于一體的安全網(wǎng)關(guān)。性能：8Gbps吞吐量、每秒新建連接數(shù)12萬、VPN吞吐量4Gbps、IPS吞吐量2.5bpsWeb應(yīng)用防火墻24個以上1000BASE-TRJ45電口，2個以上1GESFP+光口；系統(tǒng)處理的吞吐量≥600Mbs，HTTP最大并發(fā)會話數(shù)至少為20000，HTTP和HTTPS處理的響應(yīng)時間≤1ms；支持DDos防護，Web防護功能，XML防護功能，Web防篡改功能，網(wǎng)站分析，WEB漏洞掃描，應(yīng)用加速功能等云平臺內(nèi)部安全設(shè)計內(nèi)部安全設(shè)計要求針對云平臺內(nèi)部安全設(shè)計方面，除了采用云資源管理平臺本身自帶的內(nèi)部安全機制外，整個云平臺系統(tǒng)還能遭遇以下安全風險。虛擬服務(wù)器基礎(chǔ)架構(gòu)除了具有傳統(tǒng)物理服務(wù)器的風險之外，同時也會帶來其虛擬系統(tǒng)自身的安全問題。新安全威脅的出現(xiàn)自然就需要新方法來處理。通過前期調(diào)研，總結(jié)了目前虛擬化環(huán)境內(nèi)存在的幾點安全隱患。虛擬機之間的互相攻擊由于目前仍對虛擬化環(huán)境使用傳統(tǒng)的防護模式，導致主要的防護邊界還是位于物理主機的邊緣，從而忽視了同一物理主機上不同虛擬機之間的互相攻擊和互相入侵的安全隱患。隨時啟動的防護間歇平臺底層目前使用Citrix的服務(wù)器虛擬化技術(shù)，讓IT服務(wù)具備更高的靈活性和負載均衡。但同時，這些隨時由于資源動態(tài)調(diào)整關(guān)閉或開啟虛擬機會導致防護間歇問題。如，某臺一直處于關(guān)閉狀態(tài)的虛擬機在業(yè)務(wù)需要時會自動啟動，成為后臺服務(wù)器組的一部分，但在這臺虛擬機啟動時，狀態(tài)都較其他一直在線運行的服務(wù)器處于滯后和脫節(jié)的地位。系統(tǒng)安全補丁安裝目前虛擬化環(huán)境內(nèi)仍會定期采用傳統(tǒng)方式對階段性發(fā)布的系統(tǒng)補丁進行測試和手工安裝。雖然虛擬化服務(wù)器本身有一定狀態(tài)恢復的功能機制。但此種做法仍有一定安全風險。無法確保系統(tǒng)在測試后發(fā)生的變化是否會因為安裝補丁導致異常。集中的安裝系統(tǒng)補丁，前中后期需要大量人力，物力和技術(shù)支撐，部署成本較大。通過以上的分析是我們了解到雖然傳統(tǒng)安全設(shè)備可以物理網(wǎng)絡(luò)層和操作系統(tǒng)提供安全防護，但是虛擬環(huán)境中新的安全威脅，例如：虛擬主機之間通訊的訪問控制問題，傳統(tǒng)的安全設(shè)備無法提供相關(guān)的防護，需要提供創(chuàng)新的安全技術(shù)為虛擬環(huán)境提供全面的保護。針對虛擬環(huán)境有全新理念的信息安全防護產(chǎn)品——專用云安全模塊，通過訪問控制、入侵檢測/入侵防護、虛擬補丁等功能實現(xiàn)虛擬主機和虛擬系統(tǒng)的全面防護，并滿足信息系統(tǒng)合規(guī)性審計要求。針對企業(yè)的服務(wù)器虛擬化面臨的風險，建議采用專用的云安全模塊解決方案并結(jié)合云資源管理平臺本身自帶的內(nèi)部安全機制以及其他安全方式，來構(gòu)建云平臺基礎(chǔ)架構(gòu)內(nèi)部的多層次綜合安全防護。內(nèi)部安全軟件清單根據(jù)該項目狀況需求，所需云平臺內(nèi)部安全軟件清單如下：名稱數(shù)量配置說明云安全平臺系統(tǒng)12每顆物理CPU授權(quán)：要求提供應(yīng)用程序安全監(jiān)控，無代理防病毒，IDS/IPS檢測、深度包過濾，Web應(yīng)用程序保護，虛擬補丁，虛擬防火墻等功能1.支持無代理底層病毒防護：可進行實時/手動/計劃病毒掃描，并提供相關(guān)病毒查殺日志。該病毒功能可整合Hypervisor專用接口，實現(xiàn)免客戶端安裝的應(yīng)用模式（要求提供配置界面截圖證明）。2.支持無代理入侵檢測和防御：可防堵已知漏洞及零日攻擊，避免無限制的攻擊；支持每小時自動防堵發(fā)現(xiàn)的最新漏洞，無須重新開機，即可在幾分鐘內(nèi)將防御部署至成千上萬的服務(wù)器上?？杀Ｗo網(wǎng)頁應(yīng)用程序和所處理的數(shù)據(jù)，防護SQL注入、跨網(wǎng)站腳本攻擊和其它網(wǎng)頁應(yīng)用程序漏洞（要求提供配置界面截圖證明）。3.支持雙向狀態(tài)防火墻過濾：可集中控管防火墻策略和設(shè)定常用的服務(wù)器模板，策略定制可以針對IP、Mac地址或通訊端口進行設(shè)定，可保護所有基于IP通訊協(xié)議（TCP、UDP、ICMP等）和所有框架類型（IP、ARP等）（要求提供配置界面截圖證明）。4.支持無代理虛擬補?。嚎赏ㄟ^在虛擬系統(tǒng)的接口對虛擬主機系統(tǒng)進行評估，并可以自動對每個虛擬主機提供全面的漏洞修補功能，在操作系統(tǒng)在沒有安裝補丁程序之前，提供針對漏洞攻擊的攔截。可提供包括數(shù)據(jù)庫、網(wǎng)頁、電子郵件和FTP服務(wù)器等100多個應(yīng)用程序的漏洞保護（要求提供配置界面截圖證明）。

技術(shù)論證體系企業(yè)私有云優(yōu)勢相對于傳統(tǒng)數(shù)據(jù)中心，私有云的特點在于高效、自動化和虛擬化以及共享的多租戶環(huán)境。私有云建設(shè)的關(guān)鍵要素包括為服務(wù)提供的標準化應(yīng)用平臺，以及允許業(yè)務(wù)團隊請求和管理其應(yīng)用容量的自助式服務(wù)門戶。云基礎(chǔ)架構(gòu)可為企業(yè)解決兩個關(guān)鍵問題，一個是計算力資源的整合，一個是建立能讓用戶感知服務(wù)的入口，提高管理能力。企業(yè)私有云的預期優(yōu)勢可以包括：提高靈活性，包括顯著縮短供應(yīng)時間。通過提高資源利用率來實現(xiàn)更高的效率，包括大幅節(jié)約能源。充分利用增強的工業(yè)標準硬件和軟件，在提升可用性的同時，最大程度地控制成本增加。利用全新的業(yè)務(wù)智能工具來改進容量管理。傳統(tǒng)IT架構(gòu)存在多種架構(gòu)上的弊端，例如：硬件資源利用率低無法實現(xiàn)資源復用統(tǒng)一管理/運維困難HA環(huán)境架構(gòu)環(huán)境復雜架構(gòu)改造不靈活等。這些問題會嚴重影響Opex與Capex。管理員的工作量也會隨著業(yè)務(wù)系統(tǒng)的增加成倍的增長。而云平臺采用將所有物理資源進行虛擬化轉(zhuǎn)換形成資源池。管理平臺將資源池進行統(tǒng)一管理，通過資源動態(tài)調(diào)度的方式，實現(xiàn)所有資源統(tǒng)一管理，運態(tài)分配。這樣不但減少了統(tǒng)一管理/運維的工作量，將管理員從繁重的日常工作中解放出來。還解決了資源利用率低、資源無法復用的問題。使用云平臺技術(shù)后，硬件資源對上層應(yīng)用處于完全透明，上層系統(tǒng)不再綁定在某一單個物理服務(wù)器上，只要底層任何一臺物理服務(wù)器上有滿足應(yīng)用運行的資源時，系統(tǒng)就可以在其上運行。通過這種技術(shù)，當某臺物理服務(wù)器出現(xiàn)故障時，系統(tǒng)可以自動遷移到其它狀態(tài)良好的物理服務(wù)器上繼續(xù)運行，大大提到了業(yè)務(wù)連續(xù)性。云平臺還可以無縫對接傳統(tǒng)IT架構(gòu)，只需要將云平臺所屬網(wǎng)絡(luò)與傳統(tǒng)IT所屬網(wǎng)絡(luò)進行配置調(diào)整，云平臺中的系統(tǒng)即可以訪問傳統(tǒng)IT架構(gòu)中的資源。管理員不需要更改任何架構(gòu)即可實現(xiàn)。云平臺廠商和案例廠商介紹天云趨勢立足北京云基地，融會趨勢科技20余年軟件產(chǎn)品的全球市場成功經(jīng)驗，強強聯(lián)合，于2010年4月應(yīng)“云”而生。天云趨勢作為中國開源云計算的領(lǐng)導者，與國際開源云計算社區(qū)緊密合作，讓“中國云”與世界同步，同時也為國際云計算技術(shù)發(fā)展做出貢獻。天云趨勢致力于研發(fā)自主知識產(chǎn)權(quán)的云平臺技術(shù)，為用戶提供專業(yè)的云計算解決方案及服務(wù)，產(chǎn)品包括企業(yè)級云管理平臺Elaster云成平臺和企業(yè)級Hadoop集群管理平臺BDP云慧平臺。天云趨勢以產(chǎn)品研發(fā)能力和國際合作能力作為公司的核心競爭力，積極推動符合中國國情的云計算產(chǎn)業(yè)發(fā)展模式，助力中國云計算健康可持續(xù)發(fā)展，致力使“中國云”成為世界上最具競爭力的新信息技術(shù)平臺之一。經(jīng)典案例北京市勞保學院云平臺系統(tǒng)項目背景北京市勞動保障職業(yè)學院隸屬于北京市人力資源和社會保障局，前身是北京市計劃勞動管理干部學院。隨著信息技術(shù)的發(fā)展，許多高校提出了建設(shè)“智慧校園”的目標，智慧校園網(wǎng)是數(shù)字化校園的最新體現(xiàn)，它利用計算技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)將學校的教學、科研、管理及生活進行全面的管理。勞保學院校園網(wǎng)原先是每上一個應(yīng)用系統(tǒng)就要采購一套全新的服務(wù)器、存儲加到IT機房中。應(yīng)用上線復雜，申請審批流程繁瑣，項目建設(shè)周期長，且管理復雜。在云計算的背景下，基于服務(wù)器高可用、集群技術(shù)和虛擬化技術(shù)在數(shù)據(jù)中心得到廣泛的應(yīng)用，大規(guī)模的計算、存儲資源共享，及虛擬網(wǎng)絡(luò)技術(shù)越來越成熟，對數(shù)字校園網(wǎng)及數(shù)據(jù)中心原有的結(jié)構(gòu)及運行管理提出了新的要求。勞保學院根據(jù)自身的特點，欲提升學院骨干網(wǎng)建設(shè)，初步構(gòu)架以服務(wù)器虛擬化，云存儲為核心的“云計算中心”基礎(chǔ)平臺。項目描述北京天云趨勢科技有限公司結(jié)合客戶需求，通過資源整合和虛擬化技術(shù)將原本靜態(tài)分配的IT資源池化，把原有的計算資源、存儲資源進行統(tǒng)一整合和業(yè)務(wù)系統(tǒng)統(tǒng)一管理。天云趨勢Elaster云平臺系統(tǒng)解決方案帶來了以下幫助：提高資源利用率，降低能耗通過引入虛擬化等技術(shù)手段，實現(xiàn)對各類IT資源的集中統(tǒng)一管理、調(diào)度和維護，以達到利用率最大化?？蛻敉ㄟ^采用云管理架構(gòu)，資源利用率大幅提升到70%以上。IT資源分配更靈活，流程都在內(nèi)部解決。資源管理平臺可通過云計算中心對教學院系，科研單位，學生社團等進行統(tǒng)一分配和管理，根據(jù)客戶需求的變化，靈活的分配IT資源，實現(xiàn)運維服務(wù)和信息等基礎(chǔ)資源共享。操作便捷，客戶體驗至上云管理平臺中擁有多種功能模塊，提供了統(tǒng)一的設(shè)備管理、網(wǎng)絡(luò)拓撲、系統(tǒng)告警、資源報表等豐富的功能。IT基礎(chǔ)設(shè)施可管理、易于調(diào)度、可按需分配。卓越的性價比在基礎(chǔ)設(shè)施層面提高系統(tǒng)可靠性，為業(yè)務(wù)系統(tǒng)提供高可用、連續(xù)服務(wù)的基礎(chǔ)設(shè)施平臺。大大減少對網(wǎng)絡(luò)建設(shè)的投資和成本。

項目規(guī)模及方案架構(gòu)圖：云計算IT基礎(chǔ)設(shè)施由現(xiàn)有的6臺機架式服務(wù)器、1臺機架式存儲服務(wù)器、2臺千兆網(wǎng)絡(luò)交換機和組成。勞動保障職業(yè)學院經(jīng)過廣泛測試和調(diào)查，最終采用北京天云趨勢公司云管理平臺搭建學院云數(shù)據(jù)中心。天云趨勢勞保學院云數(shù)據(jù)中心具體的物理資源和對應(yīng)的設(shè)計部署詳細如下：服務(wù)器數(shù)量每臺MEM每臺CPU每臺硬盤備注計算資源節(jié)點564G2顆2*1TB云管理服務(wù)器164G2顆2*1TB使用XenServer,虛擬Stack、Shield網(wǎng)絡(luò)/存儲設(shè)備數(shù)量要求描述主存儲/二級存儲1臺超云存儲服務(wù)器10T，共用網(wǎng)絡(luò)交換機2臺2臺千兆交換機，可支持802.1Q，端口數(shù)能滿足本次要求結(jié)果經(jīng)過采用天云趨勢Elaster云平臺，勞保學院基于云計算應(yīng)用服務(wù)體系，建設(shè)多功能教室，完成網(wǎng)絡(luò)學習平臺，數(shù)字教育資源建設(shè)共享，進一步推進工作模式的更新?lián)Q代。提高了整個教學科研環(huán)境效率和靈活性，同時也保障了教學科研的連續(xù)性和高效性，大大節(jié)約了項目建設(shè)費用。整個系統(tǒng)建成后，降低了IT系統(tǒng)運維人員的工作量。高校領(lǐng)導對于將云計算落地，部署云平臺運用于教學環(huán)境，感到非常高興。目前在北京市教育系統(tǒng)率先投入云計算實現(xiàn)教學科研已經(jīng)走在前列。中國氣象局私有云管理平臺項目背景為了滿足新的業(yè)務(wù)發(fā)展需求，中國氣象局需要使用支持天氣雷達的信息共享平臺來共享資源并且處理大量的氣象數(shù)據(jù)。同時，該平臺還要對各種類型的數(shù)據(jù)都具有很高的兼容性和可擴充性要求。然而，中國氣象局的傳統(tǒng)系統(tǒng)平臺是以項目為導向的、單獨的標準化系統(tǒng)，無法提供靈活快速的、按需分配的基礎(chǔ)架構(gòu)。因此，中國氣象局希望采用當前先進的云計算技術(shù)，來實現(xiàn)IT資源的動態(tài)開啟和靈活分配。項目描述中國氣象局經(jīng)過多輪測試和廣泛考察，最終采用北京天云趨勢科技有限公司云管理平臺Elaster建設(shè)中國氣象局私有云系統(tǒng)，整個系統(tǒng)在一個月內(nèi)完成建設(shè)工作。整個系統(tǒng)建設(shè)中，天云趨勢Elaster云平臺方案主要特點如下：通過配置、整合一系列軟、硬件設(shè)備為客戶構(gòu)建計算、存儲資源池以及相應(yīng)服務(wù)平臺，使用戶可以按需、彈性獲取計算及存儲資源。系統(tǒng)管理員通過云平臺管理系統(tǒng)對整個云計算平臺進行集中管理，實現(xiàn)對云平臺的軟、硬件資源進行統(tǒng)一分配和管理。根據(jù)電子業(yè)務(wù)應(yīng)用系統(tǒng)的安全需要可把氣象局信息中心的服務(wù)器、存儲和網(wǎng)絡(luò)等傳統(tǒng)IT資源靈活劃分成不同的虛擬資源交付給不同的業(yè)務(wù)部門使用。項目拓撲圖如下：結(jié)果本項目通過為中國氣象局搭建一個高性能、穩(wěn)定可靠的云管理平臺，大大降低了中國氣象局服務(wù)器采購的數(shù)量和機房整體功耗、降低建設(shè)成本和日常運行維護成本，提升了系統(tǒng)的利用率、靈活性及服務(wù)能力。天云趨勢云管理平臺Elaster將所有IT資源整合后在邏輯上以單一整體的形式呈現(xiàn)，并可按需進行動態(tài)擴展和配置，加速業(yè)務(wù)系統(tǒng)的部署，提升硬件資源的利用率，為現(xiàn)有中國氣象局提供全面、靈活、快捷的云計算服務(wù),使中國氣象局率先進入云時代。陜西省電子政務(wù)云平臺系統(tǒng)項目背景陜西省電子政務(wù)云平臺系統(tǒng)是在陜西省政府的規(guī)劃和資金扶持下，由西安未來國際軟件有限公司作為承建方，天云趨勢提供云管理平臺和云平臺系統(tǒng)整體解決方案以及實施及后續(xù)的運維服務(wù)。如下圖所示，省電子政務(wù)云平臺系統(tǒng)建設(shè)的目的是把全省的電子政務(wù)應(yīng)用能部署在全省四級云計算平臺系統(tǒng)上實現(xiàn)全省的政務(wù)資源共享,有效提高業(yè)務(wù)協(xié)同辦公的效率。整個系統(tǒng)縱向結(jié)構(gòu)如下圖所示，其中省級綜合服務(wù)中心主要承擔數(shù)據(jù)匯聚、共享和災備的功能；市級綜合服務(wù)中心主要承擔數(shù)據(jù)生產(chǎn)、交換和集成的功能；區(qū)縣級統(tǒng)一平臺主要承擔數(shù)據(jù)采集、網(wǎng)絡(luò)匯接和服務(wù)的功能，承接省市縱向業(yè)務(wù)在基層落地。生產(chǎn)中心地點：1個省級系統(tǒng)和10個地級市系統(tǒng)，共11個數(shù)據(jù)中心容災中心地點：在西安市有同城的容災中心，在榆林市有異地容災中心實現(xiàn)的容災指標：IT層面RTO=2小時，RPO=0；其中關(guān)鍵業(yè)務(wù)RTO=1小時項目描述整個系統(tǒng)分為四級垂直結(jié)構(gòu)——省級、市級、區(qū)縣級和鄉(xiāng)鎮(zhèn)級。所有的數(shù)據(jù)匯集在省級和市級兩級的數(shù)據(jù)中心實現(xiàn)數(shù)據(jù)大集中。其中省級在西安有兩個數(shù)據(jù)中心，并在榆林市設(shè)有一個面向全省業(yè)務(wù)的異地容災中心，形成了“兩地三中心”的建設(shè)模式。省級數(shù)據(jù)中心擁有全省各個廳級政府單位的所有應(yīng)用和下屬的3個級別單位的所有業(yè)務(wù)數(shù)據(jù)；而10個地級市分別分布在每個地級市的云數(shù)據(jù)中心,每個市的數(shù)據(jù)中心是服務(wù)其所在市的所有市級政府單位單位的所有應(yīng)用以及其所管轄的區(qū)縣、鄉(xiāng)鎮(zhèn)級的業(yè)務(wù)應(yīng)用以及業(yè)務(wù)數(shù)據(jù)。整個全省的云平臺系統(tǒng)的架構(gòu)如下圖所示，最終實現(xiàn)了跨區(qū)域的大規(guī)模云數(shù)據(jù)中心，共分11個數(shù)據(jù)中心。全省電子政務(wù)云平臺系統(tǒng)統(tǒng)一由省級運維中心集中管理，在榆林市（離西安市直線距離約500KM）