電子政務公共平臺基礎設施云服務(硬件部分)培訓

廣州市電子政務中心電子政務公共平臺基礎設施

云服務（硬件部分）培訓大綱一、項目背景二、整體規(guī)劃三、服務方案項目背景

為落實中共廣州市委和廣州市人民政府《關于推進“三個重大突破”率先轉型升級建設幸福廣州的實施意見》中建設廣州市電子政務云服務中心的要求，進一步轉變電子政務建設和服務模式，提高基礎設施資源利用率，提升電子政務項目建設效率，節(jié)約電子政務建設和運維成本，我市以“統(tǒng)一采購、分簽合同”為原則，建設全市統(tǒng)一的電子政務云服務平臺。統(tǒng)采：指由統(tǒng)一確定云服務平臺資格服務商、服務產品價格，由資格服務商完成對廣州市電子政務云服務平臺的建設工作，提供云資源服務。分簽：指資格服務商與廣州各級委辦局單位，簽訂資源租賃合同，提供云資源租賃服務。

整體規(guī)劃整體規(guī)劃通過公開招標方式擇優(yōu)選定2家廣州市電子政務云服務中心資源服務提供商，由服務提供商提供詳細的技術實施方案，負責軟硬件系統(tǒng)集成（指云平臺的硬件及云平臺軟件集成以及操作系統(tǒng)等集成運維工作），搭建廣州市電子政務云平臺，提供機房服務、計算及存儲資源服務、云管理平臺服務、災備服務、安全服務、網絡服務等服務能力。服務方案針對能夠提供機房服務、計算及存儲資源服務、云管理平臺服務、災備服務、安全服務、網絡服務等服務能力，做出了具體設計，通過服務目標、服務內容、服務標準、技術路線的設計，形成了電子政務公共平臺基礎設施云服務（硬件部分）服務方案。服務方案-機房服務服務目標為電子政務云平臺本身的建設提供機房基礎設施面向委辦局單位提供的機房服務器托管服務服務內容機房設施服務，機房分區(qū)依據(jù)電子政務云平臺網絡安全要求，將以機柜劃分為測試區(qū)、管理區(qū)、生產區(qū)、備份區(qū)。委辦局所購置的服務器使用年限不長，足夠支撐現(xiàn)有的應用系統(tǒng)的業(yè)務需求，并且需要將服務器托管到電子政務云平臺中。服務標準滿足國家A級（GB50174-2008）的安全要求20個機柜，可擴展到200個機柜提供機房同地點處不小于30平米的辦公場地供電系統(tǒng)可用性（由市電至機柜計算）≥99.99%服務方案-機房服務技術路線機房物理設計：按最高國家標準AA級建設機房設施設計：提供高性能的安防、環(huán)境監(jiān)控、滅火系統(tǒng)等基礎設施服務電力系統(tǒng)：每年持續(xù)電力供應時間在99.99%安保系統(tǒng)：機房具備7*24*365警衛(wèi)和出入管理服務的安防服務，巡視及監(jiān)控機房區(qū)域及周邊環(huán)境；機柜區(qū)域配備專用門禁和24小時監(jiān)控系統(tǒng)運維體系：提供7

24小時的故障受理電話接受用戶報障并及時回應，故障響應時間小于5分鐘。配備7

24小時駐場維護團隊，負責電子政務云平臺的故障受理、處理、跟蹤、結果匯報工作遠程機房管理服務

：在電子政務云平臺可以對租賃的物理服務器和托管的物理服務器提供遠程機房管理服務服務方案-機房服務機房區(qū)域劃分邏輯示意圖服務方案-機房服務因各種技術或其他原因，用戶的電子政務應用系統(tǒng)暫時無法遷移到電子政務云平臺中，但又需要將服務器托管到電子政務云平臺中。用戶所使用年限不長，足夠支撐現(xiàn)有的應用系統(tǒng)的業(yè)務需求，但需要將購置的服務器務器托管到電子政務云平臺中。適用場景服務方案-機房服務委辦局的工作在機房申請通過后，將托管的服務器或設備在機房的指定位置進行上架，準備相關的線材，并且負責設置接入云平臺網絡；對托管的服務器或設備進行日常監(jiān)控、巡檢和設備保養(yǎng)；使用機房服務時可同時使用共享的基礎設施，如網絡、安全等設備，但如果用戶應用有特殊要求，則需自行提供相應的軟硬件，如加密服務器等；服務商的工作根據(jù)用戶服務申請單準備機房服務，并提供機房機架空間、網絡、安全等共享基礎設施，協(xié)助用戶將托管的服務器安裝上架；在機房的辦公間中提供遠程KVM服務讓委辦局用戶進行托管的服務器或設備進行維護負責機房的值守、巡檢、實時監(jiān)控、維護、監(jiān)控和故障處理等工作；嚴格執(zhí)行服務規(guī)范，包括業(yè)務咨詢、現(xiàn)場服務、技術支持等；服務方案-計算服務服務目標提供給委辦局虛擬化計算能力和物理服務器租賃服務物理服務器租賃，包括高性能數(shù)據(jù)庫服務器和高性能應用服務器服務內容小型虛擬機中型虛擬機大型虛擬機高負載數(shù)據(jù)庫服務器高負載應用服務器云區(qū)域虛擬化測試區(qū)服務標準虛擬計算資源全年可用性不低于99.9%物理計算資源全年可用性不低于99.9%服務方案-計算服務技術路線虛擬資源池：使用x86架構物理服務器集中建設虛擬化計算資源池；完成云平臺建設后，各用戶可以遷移現(xiàn)有的業(yè)務系統(tǒng)或者新上線的業(yè)務系統(tǒng)都可以在資源池進行選擇和使用虛擬機存儲：分為物理服務器的本地硬盤和高端存儲云區(qū)域：提供給用戶一個虛擬機計算能力的邏輯區(qū)域，該區(qū)域包含一定數(shù)量的虛擬機計算能力，包括vCPU、內存、硬盤，用戶可根據(jù)自身業(yè)務需求自行創(chuàng)建虛擬機。用戶所創(chuàng)建的虛擬機，按照vCPU與內存的比例為1:4進行創(chuàng)建，系統(tǒng)硬盤最大為100GB容量，并且虛擬機的規(guī)格不能超過所承載的物理機的最高性能

測試區(qū)資源池：使用的服務器與虛擬化區(qū)使用的服務器一樣，但測試區(qū)與虛擬化區(qū)采用物理隔離的方式隔離資源高負載數(shù)據(jù)庫服務器：用于承載各委局的核心數(shù)據(jù)庫應用或者其他高負載應用系統(tǒng)，采用物理主機進行承載高負載應用服務器：用于承載各委局需要高負載應用系統(tǒng)、高并發(fā)WEB門戶網站、高負載郵件系統(tǒng)、大型分布式應用系統(tǒng)等、或者其他特殊的應用系統(tǒng)如需要使用加密狗的應用系統(tǒng)等，直接獨立使用物理服務器服務器擴容

：當單臺物理服務器所承載的虛擬服務器個數(shù)超出承載虛擬機的最大個數(shù)后，需進行容量擴容；當單臺物理服務器在24小時內連續(xù)30分鐘CPU平均利用率超出70%后，需進行性能擴容；服務器資源擴容對現(xiàn)有業(yè)務沒有任何影響。服務方案-計算服務服務方案-計算服務小型虛擬機vCPU*28GMemory50GHDCPU性能：1.5GHz硬盤：50隨機IOPS到核心網：30Mb/s同一網絡：100Mb/s中型虛擬機vCPU*416GMemory100GHDCPU性能：1.5GHz*2硬盤：100隨機IOPS到核心網：30Mb/s同一網絡：100Mb/s大型虛擬機vCPU*832GMemory100GHDCPU性能：1.5GHz*4硬盤：100隨機IOPS到核心網：30Mb/s同一網絡：100Mb/sScaleUP服務方案-計算服務高負載應用服務器兩路8核，主頻2.4GHz64GMemory300G15KRPMSAS硬盤*4硬盤：500IOPS（隨機）到核心網：30Mb/s同一網絡：1000Mb/s存儲接口：1GbIP通道高負載數(shù)據(jù)庫服務器兩路8核，主頻2.4GHz128GMemory300G15KRPMSAS硬盤*4硬盤：500IOPS（隨機）到核心網：30Mb/s同一網絡：1000Mb/s存儲接口：8GbFC通道服務方案-計算服務服務方案-計算服務服務Web數(shù)據(jù)庫中間件虛擬機（生產）OA系統(tǒng)低負載WEB應用單實例Oracle，MS-SQL，mysql文件服務器高負載數(shù)據(jù)庫服務器OracleRACMS-SQLClusterBI系統(tǒng)WindowsClusterRedhatGFS高負載應用服務器高負載Web應用郵件系統(tǒng)虛擬機（測試）測試階段web單實例數(shù)據(jù)庫測試階段中間件云區(qū)域：用戶租賃時不能非常確認服務器規(guī)格，可以先購買一個區(qū)域，使用時再確定規(guī)格適用場景服務方案-計算服務委辦局的工作在計算服務申請通過后，需要對已分配的計算服務進行安全設置，如修改密碼等，做好安全防護；自行或安排應用系統(tǒng)開發(fā)商在服務器上進行應用安裝部署和配置，包括但不限于操作系統(tǒng)、中間件、數(shù)據(jù)庫等；準備物理服務器的操作系統(tǒng)以及數(shù)據(jù)庫等軟件，物理服務器的操作系統(tǒng)可在機房的辦公間進行安裝，中間件、數(shù)據(jù)庫可使用云管控平臺通過遠程的方式進行安裝；負責對運行在服務器上的應用系統(tǒng)進行日常運維；在退還計算服務器時，先自行對服務器上的敏感數(shù)據(jù)進行清除，然后再監(jiān)督服務商進行數(shù)據(jù)和服務器銷毀；服務商的工作根據(jù)用戶服務申請單準備計算服務，并提供網絡、安全等共享基礎設施；虛擬機提供預裝的操作系統(tǒng)，物理機提供服務器裸機以及完成服務器線材連接，供用戶使用；在機房的辦公間中提供遠程KVM服務讓委辦局用戶進行操作系統(tǒng)的安裝；對轄區(qū)的計算服務進行整體監(jiān)控，在空間或容量或性能不夠時，及時進行擴容，對故障設備或零部件進行及時更換，確保計算服務安全、穩(wěn)定、可靠；服務方案-存儲服務服務目標云平臺內部計算資源提供統(tǒng)一的云存儲資源服務，按需提供各種容量大小及性能的存儲池，提供統(tǒng)一的存儲配置管理服務及災備服務服務內容提供計算服務時，承載計算服務的虛擬機文件所需的存儲提供給委辦局用戶應用（系統(tǒng)）數(shù)據(jù)存儲所需的存儲服務服務標準高端存儲總體IOPS性能不低于50000IOPS，總體帶寬≥3000MBPS，每客戶端的IOPS≥800中端存儲總體IOPS性能不低于20000IOPS，總體帶寬≥3000MBPS，每客戶端的IOPS≥600低端存儲總體IOPS不低于2000IOPS，總體帶寬不低于1Gbps，每客戶端的IOPS≥80；提供0數(shù)據(jù)丟失服務，不會因為硬件故障導致數(shù)據(jù)丟失服務方案-存儲服務技術路線存儲服務根據(jù)廣州市電子政務云建設的要求提供高端存儲、中端存儲和低端存儲三種類型存儲池劃分為虛擬化存儲池、數(shù)據(jù)庫存儲池、高負載應用存儲池和測試區(qū)存儲池虛擬化存儲池和數(shù)據(jù)庫存儲池使用高端存儲，高負載應用存儲池和測試區(qū)使用中端存儲容量擴容：當存儲的剩余存儲容量低于10%（剩余容量最大利用率）時，需要對存儲進行容量擴容性能擴容：單個存儲在24小時內連續(xù)30分鐘的存儲實際負載IOPS和存儲最大負載IOPS的比例超出存儲最大利用率時，需要對存儲進行擴容服務方案-存儲服務適用場景當虛擬機的磁盤空間不能滿足用戶的使用時，需要增加額外的存儲空間，可根據(jù)所需的存儲性能選擇以下三種存儲服務：高端FC存儲：滿足IO密集型應用，包括高性能數(shù)據(jù)庫、須加速的索引數(shù)據(jù)、要求最高I/O性能的任何數(shù)據(jù)等、穩(wěn)定性要求高的關鍵任務應用。中端IP存儲：滿足關鍵任務應用，包括電子郵件、聯(lián)機事務處理、高性能中間件服務器等。低端分布式存儲：普通文件應用，包括備份數(shù)據(jù)、恢復數(shù)據(jù)、郵箱備份、公文文檔、圖片視頻等。服務方案-存儲服務服務方案-存儲服務委辦局的工作在申請通過后，對已分配的存儲進行規(guī)劃；自行或安排應用系統(tǒng)開發(fā)商在新分配的存儲上進行數(shù)據(jù)存儲；在退還存儲服務時，先自行對對應存儲上的敏感數(shù)據(jù)進行清除；服務商的工作根據(jù)用戶服務申請單準備存儲服務，并負責將存儲服務連接到用戶的虛擬機或物理服務器上；對轄區(qū)的存儲服務進行整體監(jiān)控，在空間或容量或性能不夠時，及時進行擴容，對故障設備或零部件進行及時更換，確保存儲服務安全、穩(wěn)定、可靠；服務方案-備份服務服務目標為委辦局用戶提供備份恢復能力，以便委辦局云上的業(yè)務系統(tǒng)出現(xiàn)問題時可以快速恢復服務內容電子政務云平臺本身的備份/恢復能力電子政務云平臺為委局應用系統(tǒng)提供的備份/恢復能力服務標準實現(xiàn)數(shù)據(jù)庫和文件級別的備份和恢復備份時不影響數(shù)據(jù)庫和文件的存取和寫入；虛擬機鏡像備份，提供最多3個虛擬機快照版本，快照保存時間最長60天；異地備份數(shù)據(jù)恢復時間<48小時（2TB數(shù)據(jù)量），備份時保障虛擬機、物理機的性能指標不低于最低設計標準采用測試數(shù)據(jù)每年進行一次恢復演練，包含本地及異地恢復演練服務方案-備份服務技術路線虛擬機快照備份：僅針對云平臺虛擬機，備份的內容是整個虛擬機的完整環(huán)境（不包括掛接的存儲卷），恢復也是恢復整個虛擬機的環(huán)境虛擬機鏡像備份：系統(tǒng)管理員把虛擬機快照建立鏡像文件，緩存到云平臺內部存儲后，再向帶庫導入文件級備份及恢復：可以針對指定文件進行備份和恢復，備份恢復能力是由磁帶庫、備份服務器、備份軟件構成，可以提供包括完整備份、差異備份和增量備份的備份方式；采用LAN架構進行。通過專用的備份網絡將備份數(shù)據(jù)傳輸?shù)教摂M帶庫再復制到磁帶機數(shù)據(jù)庫備份及恢復：對現(xiàn)有機器（包括物理機和虛擬機）里的數(shù)據(jù)庫系統(tǒng)進行備份，備份恢復能力是由磁帶庫、備份服務器、備份軟件構成，可以提供包括完整備份、差異備份和增量備份的備份方式；利用SAN網絡，先將所需備份數(shù)據(jù)寫入虛擬帶庫，再備份多一份數(shù)據(jù)副本轉入物理磁帶機異地數(shù)據(jù)備份：通過備份軟件內置的復制功能可以將備份數(shù)據(jù)復制到外場的容災中心服務方案-備份服務服務方案-備份服務服務方案-備份服務適用場景服務內容備份內容恢復能力虛擬機快照備份整個虛擬機恢復整個虛擬機到備份的時間點虛擬機鏡像克隆整個虛擬機恢復整個虛擬機到克隆的時間點，可以是新虛擬機。文件級備份及恢復備份指定的文件可以按照時間恢復指定文件數(shù)據(jù)庫備份及恢復備份數(shù)據(jù)庫中制定的文件可以按照時間恢復指定數(shù)據(jù)異地備份將數(shù)據(jù)備份到超算中心運營商備份數(shù)據(jù)丟失的情況下，可以恢復異地備份的數(shù)據(jù)服務方案-備份服務委辦局的工作提出備份目標與策略，提供備份軟件以及l(fā)icense，發(fā)起備份服務申請；在申請通過后，需要對備份數(shù)據(jù)進行分類，并完成備份操作；通過備份軟件對相關的備份目標賬號進行管理；在退還備份服務時，先自行對對應備份存儲介質上的敏感數(shù)據(jù)進行清除。然后再監(jiān)督資格服務商進行數(shù)據(jù)和服務銷毀；服務商的工作根據(jù)用戶服務申請單準備備份服務，并提供網絡、安全等共享基礎設施；對云平臺的備份服務進行整體監(jiān)控，在空間或容量或性能不夠時，及時進行擴容，對故障設備或零部件進行及時更換，確保備份服務安全、穩(wěn)定、可靠；將每次數(shù)據(jù)恢復演練的報告提供給委辦局用戶；服務方案-備份服務服務方案-網絡服務服務目標為委辦局租賃的虛擬機、物理服務器和托管的機器提供網絡接入能力提供網絡資源配置，主要是IP地址的分配和更改，網絡接口的分配和遷移等提供基于硬件的負載均衡服務服務內容為委辦局業(yè)務系統(tǒng)提供業(yè)務專網、安全島和互聯(lián)網的網絡接入服務根據(jù)用戶業(yè)務需求分配IP地址和網絡端口提供業(yè)務安全隔離和訪問控制服務硬件負載均衡服務管理網絡、生產網絡、存儲網絡、備份網絡服務標準接入業(yè)務專網、互聯(lián)網接入網和安全島，受三個子網的安全策略控制為用戶的互聯(lián)網接入網和業(yè)務專網系統(tǒng)服務各提供4個C段的地址空間嚴格根據(jù)用戶業(yè)務安全需求實現(xiàn)業(yè)務安全隔離和訪問控制服務虛擬機安全配置策略也可以根據(jù)虛擬機的調整而自動遷移為用戶制定相應的負載均衡策略服務方案-網絡服務技術路線電子政務云平臺本身所使用的網絡按照功能劃分為生產網絡、管理網絡、存儲網絡和測試網絡；為了保護不同網絡之間數(shù)據(jù)的傳輸安全，需要通過配置交換機將這4個網絡進行邏輯隔離提供網絡資源配置，主要是IP地址的分配和更改，網絡接口的分配和遷移等電子政務云網絡按照業(yè)務類型劃分為3個網絡:電子政務外網業(yè)務專網、電子政務外網互聯(lián)網接入網、電子政務外網安全島。不同網絡不可以直接交互，網絡之間的通信必須流轉到電子政務外網核心層通信網絡架構設計采用“分區(qū)+分層”的方法，根據(jù)不同業(yè)務功能區(qū)域的隔離需求，將網絡分成多個業(yè)務區(qū)域，各業(yè)務區(qū)域之間在實現(xiàn)網絡邏輯隔離物理服務器和虛擬機都使用生產網絡提供網絡服務。按照用戶的網絡要求部分不同的網段，通過技術手段確保每個網段信息安全管理網絡主要用于云管理平臺或者其他管理設備設備使用的網絡，劃分一個單獨的管理網段進行使用為用戶提供基于硬件的負載均衡，多用戶共享硬件負載均衡服務器；根據(jù)預先設定的基于多重四、七層負載均衡算法的調度策略，能夠合理的將每個連接快速的分配到相應的服務器，從而合理利用服務器資源服務方案-網絡服務適用場景服務方案-網絡服務用戶托管的服務器，以及租用的虛擬機、物理機，需要接入到網絡，因此需要配置相關的網絡參數(shù)，包括IP地址、以及網絡訪問策略等用戶業(yè)務系統(tǒng)通過網絡負載均衡將服務請求負載到多臺服務器上，實現(xiàn)在業(yè)務負載很重的情況下，服務器也能做出快速響應服務方案-網絡服務委辦局的工作提出虛擬機、托管服務器、租用服務器的網絡接入需求，提供網絡策略清單提出業(yè)務負載均衡的需求電子政務中心的工作對IP地址進行管理服務商的工作對網絡策略進行配置，提供各委辦局網絡接入服務，對租賃的虛擬機、物理服務器和托管的機器提供網絡接入能力，可以接入安全島、互聯(lián)網接入網和業(yè)務專網提供各委辦局基于硬件的負載均衡，多用戶共享硬件負載均衡服務器服務方案-安全服務服務目標提供安全可靠的云平臺環(huán)境，在基礎層面提供安全防范云計算平臺物理環(huán)境安全云計算組成的主機等設備安全服務內容機房安全、物理安全、網絡安全、主機安全、數(shù)據(jù)安全服務標準電子政務云平臺建設滿足國家信息系統(tǒng)安全等級保護二級要求電子政務云平臺還提供一個單獨區(qū)域，滿足國家信息系統(tǒng)安全等級保護三級要求對委辦局業(yè)務系統(tǒng)提供實時的入侵檢測、入侵防御、網絡防病毒、安全審計、流量管理等安全防護服務服務方案-安全服務技術路線物理安全——是保障整個私有云安全的基礎和前提，主要包括有環(huán)境安全及設備安全機房安全——機房滿足國家A級的安全要求：中心機房安裝適當?shù)陌踩O(jiān)控設施，對安全區(qū)域的訪問者予以監(jiān)督網絡安全——為用戶提供防火墻、入侵防御系統(tǒng)、網絡病毒防護、網絡安全審計等手段，保證網絡安全主機安全——為用戶托管的主機和租賃的物理機劃分獨立的隔離區(qū)。其中在機房里的物理機是和虛擬化平臺主機分開機柜的。數(shù)據(jù)安全——數(shù)據(jù)存儲網絡、業(yè)務網絡、備份網絡進行網絡強邏輯隔離運維管理安全——云平臺的運維采取三權分立的方式，實現(xiàn)用戶單位用戶、用戶單位管理員、云平臺系統(tǒng)管理員、云平臺操作員等角色三權分立的角色安全管理體系服務方案-安全服務服務方案-安全服務網絡安全架構服務方案-安全服務委辦局的工作保證應用系統(tǒng)的安全，防止出現(xiàn)注入式入侵等安全問題；服務商的工作提供云平臺安全基礎設施；對云平臺的安全進行整體監(jiān)控；對于出現(xiàn)的安全問題及時上報，并妥善解決；服務方案-云平臺管理服務服務目標云管理平臺用來管理整個電子政務云平臺，對整個電子政務云所有的資源進行管理，配置相關的策略和維護，以及控制云平臺的安全服務內容資源池化動態(tài)擴展熱遷移網絡管理高可用遠程管理云區(qū)域管理服務標準云平臺高可用性99.9%虛擬機熱遷移故障時間不超過16秒虛擬機故障自動遷移不超過10分鐘服務方案-云平臺管理服務技術路線為云平臺的資源管理提供統(tǒng)一身份驗證平臺管理平臺提供虛擬化級別的KVM遠程控制臺服務（或類似服務）通過管理平臺的調配，可以自動將部分或者全部虛擬機遷移到其他物理服務器上進行承載，提供虛擬機熱