海關(guān)金關(guān)二期華為基礎(chǔ)設(shè)施云交付實施方案.pptx

1、金關(guān)二期基礎(chǔ)設(shè)施云交付實施方案,整體架構(gòu)設(shè)計 詳細(xì)方案設(shè)計 資源池設(shè)計 網(wǎng)絡(luò)及安全設(shè)計 服務(wù)目錄設(shè)計 周邊系統(tǒng)對接 應(yīng)用云化設(shè)計 用戶角色設(shè)計 運營運維規(guī)范 可靠性設(shè)計 綠色節(jié)能設(shè)計 方案設(shè)計匯總,匯報提綱,統(tǒng)一管理標(biāo)準(zhǔn)的軟件包/腳本，提供規(guī)范的開發(fā)測試環(huán)境，規(guī)范應(yīng)用開發(fā)、調(diào)測、發(fā)布流程,應(yīng)用開發(fā)規(guī)范化,基礎(chǔ)設(shè)施云平臺基于SLA按需實現(xiàn)資源配給，標(biāo)準(zhǔn)化應(yīng)用運行環(huán)境,基礎(chǔ)環(huán)境標(biāo)準(zhǔn)化,基礎(chǔ)設(shè)施云建設(shè)目標(biāo),性能橫向擴展、容量動態(tài)擴縮,資源供給彈性化,異構(gòu)設(shè)備/資源池統(tǒng)一管理，云和非云統(tǒng)一管理，異地多數(shù)據(jù)中心統(tǒng)一管理，和海關(guān)運維系統(tǒng)集成,管理調(diào)度統(tǒng)一化,基礎(chǔ)設(shè)施云總體架構(gòu),總署信息中心,廣東信息分中心

2、,物理機資源池,高性能資源池,服務(wù)管理,用戶管理,服務(wù)目錄,服務(wù)請求,流程審批,自助網(wǎng)絡(luò),服務(wù)自動化,運維管理,告警管理,拓?fù)涔芾?性能管理,容量管理,健康分析,風(fēng)險分析,API,服務(wù)層,管理層,基礎(chǔ)設(shè)施層,資源池層,中性能資源池,物理機資源池,高性能資源池,中性能資源池,提供靈活的服務(wù)目錄，包括虛擬數(shù)據(jù)中心、云主機、云磁盤、應(yīng)用等多種云服務(wù) 分級SLA服務(wù)保障，按需配置,實現(xiàn)基礎(chǔ)IT資源的虛擬化和池化，提高IT資源利用率,總署信息中心、廣東信息分中心資源充分共享，均衡兩地中心資源利用率,建設(shè)統(tǒng)一的基礎(chǔ)設(shè)施資源調(diào)度和監(jiān)控平臺，實現(xiàn)總署信息中心和廣東信息分中心資源的統(tǒng)一調(diào)度和管理 實現(xiàn)資源彈性，

3、靈活擴展,備注：電子口岸數(shù)據(jù)中心的規(guī)劃方案參考信息中心,低性能資源池,低性能資源池,基礎(chǔ)設(shè)施云邏輯功能架構(gòu),總署信息中心,虛擬化資源池,中性能集群,高性能 集群,資源池,服務(wù)管理,資源統(tǒng)一 管理和調(diào)度,管理平臺,運維監(jiān)控,分布式 塊存儲,網(wǎng)絡(luò),基礎(chǔ)設(shè)施,數(shù)據(jù)庫x86服務(wù)器,應(yīng)用云X86服務(wù)器,安全設(shè)備,負(fù)載均衡,SAN,基于策略的服務(wù)編排和自動化,監(jiān)控指揮系統(tǒng),應(yīng)用層,進(jìn)出口企業(yè)信用管理系統(tǒng),加工和保稅貨物管理系統(tǒng),物流監(jiān)控系統(tǒng),信息資源規(guī)劃及其系統(tǒng),移動應(yīng)用系統(tǒng),其他應(yīng)用,虛擬數(shù)據(jù)中心VDC 1,塊存儲服務(wù),云主機服務(wù),彈性IP服務(wù),VDC N,云桌面服務(wù),物理機服務(wù),應(yīng)用服務(wù),XX服務(wù),云

4、服務(wù)層,物理機 資源池,廣東信息分中心,虛擬化資源池,物理機 資源池,中性能集群,高性能 集群,低性能 集群,低性能 集群,VPC,VPC,VPC,基礎(chǔ)設(shè)施云資源和服務(wù)設(shè)計,數(shù)據(jù)中心視圖,總署信息中心（現(xiàn)狀）,總署信息中心機房,對外接入局域網(wǎng),管理網(wǎng),綜合樓機房,運行網(wǎng),管理網(wǎng),聯(lián)調(diào)測試培訓(xùn)環(huán)境,基礎(chǔ)設(shè)施云資源池,基礎(chǔ)設(shè)施云資源池,基礎(chǔ)設(shè)施云資源池,生產(chǎn)環(huán)境,十八里店機房,研發(fā)網(wǎng),基礎(chǔ)設(shè)施云資源池,開發(fā)測試環(huán)境,數(shù)據(jù)中心視圖,總署信息中心（未來）,總署信息中心機房,對外接入局域網(wǎng),綜合樓機房,運行網(wǎng),管理網(wǎng),李橋機房,管理網(wǎng),運行網(wǎng),研發(fā)網(wǎng),基礎(chǔ)設(shè)施云資源池,基礎(chǔ)設(shè)施云資源池,基礎(chǔ)設(shè)施云資源池

5、,基礎(chǔ)設(shè)施云資源池,基礎(chǔ)設(shè)施云資源池,生產(chǎn)環(huán)境,十八里 店機房,開發(fā)測試環(huán)境,聯(lián)調(diào)測試培訓(xùn)環(huán)境,新建李橋機房，部署管理網(wǎng)、運行網(wǎng)、研發(fā)網(wǎng)基礎(chǔ)設(shè)施云資源池 十八里店研發(fā)網(wǎng)基礎(chǔ)設(shè)施云資源池物理搬遷到李橋機房 總署信息中心機房管理網(wǎng)基礎(chǔ)設(shè)施云資源池物理搬遷到李橋機房,聯(lián)調(diào)測試培訓(xùn)環(huán)境,數(shù)據(jù)中心視圖,廣東信息分中心,廣東信息分中心云計算機房,對外接入局域網(wǎng),管理網(wǎng),運行網(wǎng),聯(lián)調(diào)測試培訓(xùn)環(huán)境,基礎(chǔ)設(shè)施云資源池,基礎(chǔ)設(shè)施云資源池,基礎(chǔ)設(shè)施云資源池,生產(chǎn)環(huán)境,基礎(chǔ)設(shè)施云軟件部署方案,統(tǒng)籌規(guī)劃：服務(wù)、鏡像統(tǒng)一規(guī)劃、資源服務(wù) 屬地管理：統(tǒng)一監(jiān)控、設(shè)備運維按照屬地和站點就近維護(hù),基礎(chǔ)設(shè)施云平臺資源規(guī)劃,海關(guān)總署信

6、息中心基礎(chǔ)設(shè)施云平臺(兩中心）,4類特性資源池，高性能資源池、中性能資源池、低性能資源池和物理機資源池7個 2個數(shù)據(jù)中心部署，總署信息中心、廣東信息分中心 4個網(wǎng)絡(luò)部署，運行網(wǎng)、管理網(wǎng)、對外接入局域網(wǎng)、研發(fā)網(wǎng),資源池,多個虛擬數(shù)據(jù)中心，按照業(yè)務(wù)部門和業(yè)務(wù)屬性（如開發(fā)測試）將基礎(chǔ)設(shè)施資源劃分為多個虛擬數(shù)據(jù)中心,虛擬數(shù)據(jù)中心,提供1660顆CPU的計算能力，其中本次新增1260顆CPU,云主機,90臺物理服務(wù)器資源池，支持GBASE、重載數(shù)據(jù)庫（內(nèi)存數(shù)據(jù)庫、Oracle）、應(yīng)用支撐平臺等不適合虛擬化應(yīng)用,物理主機,2PB可用容量的分布式塊存儲 若干 FC SAN陣列存儲,存儲,電子口岸數(shù)據(jù)中心,電

7、子口岸數(shù)據(jù)中心基礎(chǔ)設(shè)施云平臺（數(shù)據(jù)中心）,2個數(shù)據(jù)中心部署，德勝數(shù)據(jù)中心、亦莊數(shù)據(jù)中心 3個網(wǎng)絡(luò)部署，開發(fā)網(wǎng)、運行網(wǎng)、聯(lián)調(diào)測試培訓(xùn)網(wǎng),資源池,3個虛擬數(shù)據(jù)中心，按照業(yè)務(wù)類型劃分為3個虛擬數(shù)據(jù)中心（開發(fā)測試VDC、核心生產(chǎn)VDC、聯(lián)調(diào)測試培訓(xùn)VDC）,虛擬數(shù)據(jù)中心,提供120顆CPU的計算能力，其中本次新增40顆CPU，其中生產(chǎn)部署96顆CPU，開發(fā)測試部署24顆CPU,云主機,26臺物理服務(wù)器資源池，支持MQ、Axway交換平臺、監(jiān)控平臺、備份平臺等不適合虛擬化應(yīng)用,物理主機,160TB FC SAN陣列存儲 6800 5800V3 DMX3 DMX4,存儲,整體架構(gòu)設(shè)計 詳細(xì)方案設(shè)計 資源池

8、設(shè)計 網(wǎng)絡(luò)及安全設(shè)計 服務(wù)目錄設(shè)計 周邊系統(tǒng)對接 應(yīng)用云化設(shè)計 用戶角色設(shè)計 運營運維規(guī)范 可靠性設(shè)計 綠色節(jié)能設(shè)計 方案設(shè)計匯總,匯報提綱,聯(lián)調(diào)測試培訓(xùn)環(huán)境部署在管理網(wǎng)和對外接入局域網(wǎng)，與生產(chǎn)環(huán)境共用同一套物理資源池 各資源池根據(jù)實際需求，可選擇部署高性能集群、中性能集群、低性能集群和物理服務(wù)器集群 廣東分中心和北京信心中心目前研發(fā)網(wǎng)各自獨立，沒有打通，廣東分中心暫時不用部署研發(fā)網(wǎng)資源池,基礎(chǔ)設(shè)施云資源池設(shè)計,總署資源池部署（現(xiàn)狀）,說明： 總署有三個機房：總署信息中心機房、綜合樓機房、十八里店機房。 四個網(wǎng)絡(luò)：對外接入局域網(wǎng)、管理網(wǎng)、運行網(wǎng)、研發(fā)網(wǎng)。每個網(wǎng)絡(luò)有單獨的核心交換機。 基礎(chǔ)設(shè)施云

9、資源池部署四個資源池：總署機房對外接入局域網(wǎng)、總署機房管理網(wǎng)、綜合樓機房運行網(wǎng)、十八里店機房研發(fā)網(wǎng)。,總署資源池部署（演進(jìn)）,總署信息中心機房,綜合樓機房,十八里店機房,互聯(lián)網(wǎng),OTN設(shè)備,對外接入局域網(wǎng),管理網(wǎng),運行網(wǎng),電子口岸專網(wǎng),3層互通,管理網(wǎng),OTN設(shè)備,李橋機房,運行網(wǎng),管理網(wǎng),OTN設(shè)備,研發(fā)網(wǎng),新建李橋機房：新建管理網(wǎng)、運行網(wǎng)資源池，研發(fā)網(wǎng)資源池從十八里店機房搬遷至李橋機房。,新增李橋機房后，如果VM遷移時希望IP保持不變。需要的網(wǎng)絡(luò)條件（管理網(wǎng)為例）為： 1、兩個機房二層網(wǎng)絡(luò)相同，即需要李橋-總署機房之間通過OTN設(shè)備光纖直連，采用VLAN大二層組網(wǎng)。 2、共用總署機房三層網(wǎng)

10、關(guān)。 3、帶寬：需要滿足業(yè)務(wù)需求，重點需要業(yè)務(wù)評估。建議不低于2*10GE。 組網(wǎng)缺點：李橋機房內(nèi)跨網(wǎng)段訪問消息會迂回到總署機房。增加了時延，額外占用機房間帶寬。 如果跨機房遷移不頻繁，建議兩機房有單獨網(wǎng)關(guān)，只滿足3層互通即可，手動遷移VM，VM遷移后重新規(guī)劃IP地址。 備注：FM物理機發(fā)放的PXE網(wǎng)絡(luò)需要跨機房二層互通,2層互通,2層互通,廣東信息分中心專網(wǎng),廣東信息分中心（舊機房）,廣東信息分中心專網(wǎng),廣東信息分中心（云計算機房）,互聯(lián)網(wǎng),當(dāng)前廣東信息分中心的云計算機房還沒有建設(shè)完成，基礎(chǔ)設(shè)備暫時在舊機房安置，后續(xù)會進(jìn)行物理搬遷。,管理網(wǎng),管理網(wǎng),運行網(wǎng),對外接入局域網(wǎng),廣東分中心資源池部

11、署,資源池詳細(xì)規(guī)劃,注：低性能資源池在本期項目建設(shè)中主要為利舊設(shè)備構(gòu)建的資源池,基礎(chǔ)設(shè)施云集群規(guī)劃原則,基礎(chǔ)設(shè)施云資源池部署和選擇原則,資源集群,基礎(chǔ)設(shè)施云集群與可用分區(qū)整體設(shè)計,總署信息中心,北京生產(chǎn)VDC,總署管理網(wǎng)中性能AZ,總署管理網(wǎng)高性能AZ,總署管理網(wǎng)物理資源AZ,總署運行網(wǎng)中性能AZ,總署運行網(wǎng)高性能AZ,總署運行網(wǎng)物理資源AZ,研發(fā)網(wǎng)中性能AZ,研發(fā)網(wǎng)物理資源AZ,對外接入局域網(wǎng)中性能AZ,廣東信息分中心,廣東管理網(wǎng)中性能AZ,廣東管理網(wǎng)高性能AZ,廣東管理網(wǎng)物理資源AZ,廣東運行網(wǎng)中性能AZ,廣東運行網(wǎng)高性能AZ,廣東運行網(wǎng)物理資源AZ,聯(lián)調(diào)測試培訓(xùn)VDC,開發(fā)測試VDC,廣

12、東生產(chǎn)VDC,低性能集群,中性能集群,高性能集群,物理服務(wù)器,運行網(wǎng),低性能集群,總署管理網(wǎng)低性能AZ,總署運行網(wǎng)低性能AZ,對外接入局域網(wǎng)低性能AZ,VMware高性能集群,總署運行網(wǎng)VMware高性能AZ,通過基礎(chǔ)設(shè)施云管理平臺在運行網(wǎng)VMware資源池部署運行網(wǎng)生產(chǎn)環(huán)境新應(yīng)用； 由基礎(chǔ)設(shè)施云管理平臺實現(xiàn)現(xiàn)網(wǎng)VMware資源池的納管和監(jiān)控,廣東對外接入?yún)^(qū)域網(wǎng)中性能AZ,高性能集群,廣東對外接入?yún)^(qū)域網(wǎng)網(wǎng)物理資源AZ,廣東對外接入網(wǎng)高性能AZ,資源池設(shè)計,資源池集群和分區(qū)設(shè)計 北京生產(chǎn)VDC,總署信息中心機房,李橋機房,綜合樓機房,北京生產(chǎn)VDC,在FusionManager 規(guī)劃和配置 規(guī)劃

13、vSphere運行網(wǎng)可用分區(qū)，將vSphere運行網(wǎng)資源池資源分配給北京生產(chǎn)VDC vSphere在其他網(wǎng)絡(luò)的資源池，只通過基礎(chǔ)設(shè)施云接入和查看,在ServiceCenter租戶側(cè)規(guī)劃和配置 規(guī)劃vSphere運行網(wǎng)VPC，通過北京生產(chǎn)VDC提供在vSphere運行網(wǎng)資源池申請和發(fā)放資源的能力,vSphere運行網(wǎng)資源分區(qū),vSphere運行網(wǎng)VPC,資源池設(shè)計,資源池集群和分區(qū)設(shè)計 廣東生產(chǎn)VDC,廣東信息分中心機房,廣東信息分中心對外接入局域網(wǎng)資源分區(qū),Fusion Storage,本地存儲（SATA）,SAN（SAS、SSD）,廣東信息分中心管理網(wǎng)資源分區(qū),Fusion Storage,

14、本地存儲（SATA）,SAN（SAS、SSD）,vSphere存儲,vSphere運行網(wǎng)AZ,vSphere集群,廣東信息分中心運行網(wǎng)資源分區(qū),Fusion Storage,本地存儲（SATA）,SAN（SAS、SSD）,廣東生產(chǎn)VDC,在FusionManager 規(guī)劃和配置 規(guī)劃vSphere運行網(wǎng)和管理網(wǎng)可用分區(qū)，將vSphere運行網(wǎng)和管理網(wǎng)資源池資源分配給廣東生產(chǎn)VDC,在ServiceCenter租戶側(cè)規(guī)劃和配置 規(guī)劃vSphere運行網(wǎng)和管理網(wǎng)VPC，通過廣東生產(chǎn)VDC提供在vSphere運行網(wǎng)和管理網(wǎng)資源池申請和發(fā)放資源的能力,vSphere運行網(wǎng)VPC,vSphere集群,v

15、Sphere管理網(wǎng)AZ,vSphere存儲,vSphere管理網(wǎng)VPC,vSphere運行網(wǎng)資源分區(qū),vSphere管理網(wǎng)資源分區(qū),資源池設(shè)計,資源池集群和分區(qū)設(shè)計 聯(lián)調(diào)測試培訓(xùn)VDC,總署信息中心機房,廣東信息分中心機房,仿真總署運行網(wǎng)VPC,仿真總署管理網(wǎng)VPC,仿真總署對外接入局域網(wǎng)VPC,仿真廣東運行網(wǎng)VPC,聯(lián)調(diào)測試工作區(qū)VPC,仿真廣東管理網(wǎng)VPC,仿真廣東對外接入局域網(wǎng)VPC,聯(lián)調(diào)測試培訓(xùn)VDC,在FusionManager 規(guī)劃和配置,在ServiceCenter租戶側(cè)規(guī)劃和配置,聯(lián)調(diào)測試集群 （中性能集群）,聯(lián)調(diào)測試集群 （中性能集群）,聯(lián)調(diào)測試集群 （中性能集群）,聯(lián)調(diào)測試

16、培訓(xùn)環(huán)境的AZ，可以按需分配給生產(chǎn)VDC，實現(xiàn)資源在生產(chǎn)環(huán)境和聯(lián)調(diào)測試培訓(xùn)環(huán)境之間的共享和復(fù)用，提高資源利用率,資源池設(shè)計,資源池集群和分區(qū)設(shè)計 開發(fā)測試VDC,李橋機房,總署研發(fā)網(wǎng)中性能 VPC,總署研發(fā)網(wǎng)低性能 VPC,開發(fā)測試VDC,在FusionManager 規(guī)劃和配置,在ServiceCenter租戶側(cè)規(guī)劃和配置,資源池設(shè)計,可用分區(qū)規(guī)劃-總署信息中心,可用分區(qū)（Available Zone，簡稱AZ）中可包含多個集群，1個集群只能隸屬一個可用分區(qū) 1個可用分區(qū)中的集群，必須共享相同的分布式虛擬交換機（DVS） 1個可用分區(qū)中的集群，必須共享相同的后端存儲 如果不滿足上述條件，即使

17、是相同屬性的集群，也要分別劃分到不同的可用分區(qū) 規(guī)劃vSphere運行網(wǎng)可用分區(qū)，將vSphere運行網(wǎng)資源池資源分配給北京生產(chǎn)VDC，租戶側(cè)可以調(diào)度和使用vSphere運行網(wǎng)資源池資源,總署對外接入局域網(wǎng)高性能AZ,總署管理網(wǎng)高性能AZ,綜合樓運行網(wǎng)高性能AZ,vSphere運行網(wǎng)AZ,vSphere集群,李橋管理網(wǎng)高性能AZ,李橋運行網(wǎng)高性能AZ,聯(lián)調(diào)測試集群 （中性能集群）,聯(lián)調(diào)測試集群 （中性能集群）,聯(lián)調(diào)測試集群 （中性能集群）,中性能集群,低性能集群,資源池設(shè)計,可用分區(qū)配置-總署信息中心,資源池設(shè)計,可用分區(qū)配置-總署信息中心,資源池設(shè)計,可用分區(qū)配置-總署信息中心,資源池設(shè)計,

18、可用分區(qū)規(guī)劃-廣東信息分中心,可用分區(qū)（Available Zone，簡稱AZ）中可包含多個集群，1個集群只能隸屬一個可用分區(qū) 1個可用分區(qū)中的集群，必須共享相同的分布式虛擬交換機（DVS） 1個可用分區(qū)中的集群，必須共享相同的后端存儲 如果不滿足上述條件，即使是相同屬性的集群，也要分別劃分到不同的可用分區(qū) 規(guī)劃vSphere運行網(wǎng)和管理網(wǎng)可用分區(qū)，以便從租戶側(cè)可以調(diào)度和使用vSphere運行網(wǎng)和管理網(wǎng)資源池資源,分中心對外接入局域網(wǎng)高性能AZ,分中心管理網(wǎng)高性能AZ,vSphere運行網(wǎng)AZ,vSphere集群,分中心運行網(wǎng)高性能AZ,聯(lián)調(diào)測試集群 （中性能集群）,聯(lián)調(diào)測試集群 （中性能集群

19、）,聯(lián)調(diào)測試集群 （中性能集群）,vSphere管理網(wǎng)AZ,vSphere集群,資源池設(shè)計,可用分區(qū)配置-廣東信息分中心,資源池設(shè)計,可用分區(qū)配置-廣東信息分中心,資源池設(shè)計,資源分區(qū)規(guī)劃-總署信息中心 資源分區(qū)構(gòu)建,總署信息中心機房,綜合樓機房,總署管理網(wǎng)資源分區(qū),Fusion Storage,本地存儲（SATA）,SAN（SAS、SSD）,綜合樓運行網(wǎng)資源分區(qū),高性能集群,中性能集群,低性能集群,Fusion Storage,本地存儲（SATA）,SAN（SAS、SSD）,vSphere存儲,綜合樓運行網(wǎng)高性能AZ,綜合樓運行網(wǎng)中性能AZ,綜合樓運行網(wǎng)低性能AZ,vSphere運行網(wǎng)AZ,

20、vSphere集群,vSphere運行網(wǎng)資源分區(qū),現(xiàn)階段，所有網(wǎng)絡(luò)中的vSphere資源池均接入基礎(chǔ)設(shè)施云，由基礎(chǔ)設(shè)施云統(tǒng)一納管，其中，運行網(wǎng)vSphere資源池由基礎(chǔ)設(shè)施云統(tǒng)一調(diào)度，實現(xiàn)資源的集中發(fā)放 后續(xù)會將除運行網(wǎng)vSphere資源池之外其他的vSphere資源池上的應(yīng)用和業(yè)務(wù)逐步遷移到基礎(chǔ)設(shè)施云,vSphere存儲,vSphere集群,vSphere對外接入局域網(wǎng)資源分區(qū),vSphere存儲,vSphere集群,vSphere管理網(wǎng)資源分區(qū),李橋機房,資源池設(shè)計,資源分區(qū)規(guī)劃-總署信息中心 資源分區(qū)配置,資源池設(shè)計,資源分區(qū)規(guī)劃-總署信息中心 資源分區(qū)配置,資源池設(shè)計,資源分區(qū)規(guī)劃-廣

21、東信息分中心 資源分區(qū)構(gòu)建,廣東信息分中心機房,廣東信息分中心對外接入局域網(wǎng)資源分區(qū),Fusion Storage,本地存儲（SATA）,SAN（SAS、SSD）,廣東信息分中心管理網(wǎng)資源分區(qū),Fusion Storage,本地存儲（SATA）,SAN（SAS、SSD）,vSphere存儲,vSphere運行網(wǎng)AZ,vSphere集群,廣東信息分中心運行網(wǎng)資源分區(qū),Fusion Storage,本地存儲（SATA）,SAN（SAS、SSD）,vSphere集群,vSphere管理網(wǎng)AZ,vSphere存儲,vSphere運行網(wǎng)資源分區(qū),vSphere管理網(wǎng)資源分區(qū),資源池設(shè)計,資源分區(qū)規(guī)劃-廣

22、東信息分中心 資源分區(qū)配置,資源池設(shè)計,資源分區(qū)規(guī)劃-廣東信息分中心 資源分區(qū)配置,基礎(chǔ)設(shè)施云,北京生產(chǎn)VDC,開發(fā)測試VDC,聯(lián)調(diào)測試培訓(xùn)VDC,應(yīng)用處理區(qū)Subnet 管理區(qū)Subnet ,基礎(chǔ)設(shè)施云VPC設(shè)計,廣東生產(chǎn)VDC,仿真運行網(wǎng)VPC,研發(fā)網(wǎng)VPC,管理網(wǎng)高性能VPC,運行網(wǎng)高性能VPC,對外接入局域網(wǎng)VPC,管理網(wǎng)中性能VPC,運行網(wǎng)中性能VPC,核心處理區(qū)Subnet 應(yīng)用處理區(qū)Subnet 管理區(qū)Subnet ,Subnet1 Subnet2 Subnet3 ,Subnet1 Subnet2 Subnet3 ,Subnet1 Subnet2 Subnet3 ,應(yīng)用處理區(qū)Su

23、bnet 管理區(qū)Subnet ,核心處理區(qū)Subnet 應(yīng)用處理區(qū)Subnet 管理區(qū)Subnet ,仿真管理網(wǎng)VPC,Subnet1 Subnet2 Subnet3 ,運行網(wǎng)低性能VPC,管理網(wǎng)低性能VPC,資源池設(shè)計,VPC規(guī)劃-整體規(guī)劃 北京生產(chǎn)VDC,規(guī)劃vSphere運行網(wǎng)VPC，通過北京生產(chǎn)VDC提供在vSphere運行網(wǎng)資源池申請和發(fā)放資源的能力 其他網(wǎng)絡(luò)的vSphere資源池，基礎(chǔ)實施云管理 平臺暫時只提供接入和納管能力，資源池不接入VDC,資源池設(shè)計,VPC規(guī)劃-內(nèi)部網(wǎng)絡(luò)設(shè)計 北京生產(chǎn)VDC,基礎(chǔ)設(shè)施云區(qū),核心處理區(qū) 原有網(wǎng)絡(luò),應(yīng)用服務(wù)區(qū) 原有網(wǎng)絡(luò),核心交換機,綜合樓機房,總

24、署對外接入局域網(wǎng)高性能VPC,總署對外接入局域網(wǎng)中性能VPC,總署對外接入局域網(wǎng)低性能VPC,綜合樓管理網(wǎng)高性能VPC,綜合樓管理網(wǎng)中性能VPC,綜合樓管理網(wǎng)低性能VPC,李橋運行網(wǎng)高性能VPC,李橋運行網(wǎng)中性能VPC,李橋管理網(wǎng)高性能VPC,李橋管理網(wǎng)中性能VPC,李橋管理網(wǎng)低性能VPC,北京生產(chǎn)VDC,總署運行網(wǎng)高性能VPC,核心處理區(qū)（直連網(wǎng)絡(luò)）,應(yīng)用服務(wù)區(qū)（直連網(wǎng)絡(luò)）,總署運行網(wǎng)中性能VPC,核心處理區(qū)（直連網(wǎng)絡(luò)）,應(yīng)用服務(wù)區(qū)（直連網(wǎng)絡(luò)）,總署運行網(wǎng)低性能VPC,核心處理區(qū)（直連網(wǎng)絡(luò)）,應(yīng)用服務(wù)區(qū)（直連網(wǎng)絡(luò)）,vSphere運行網(wǎng)VPC,基礎(chǔ)設(shè)施云區(qū),運行網(wǎng),對外接入局域網(wǎng),基礎(chǔ)設(shè)施云

25、區(qū),核心處理 外部網(wǎng)絡(luò),應(yīng)用服務(wù) 外部網(wǎng)絡(luò),原有網(wǎng)絡(luò)分區(qū),管理網(wǎng),總署信息中心機房,外部網(wǎng)絡(luò),外部網(wǎng)絡(luò)（vSphere）,原有網(wǎng)絡(luò)分區(qū),vSphere網(wǎng)絡(luò)分區(qū),外部網(wǎng)絡(luò),外部網(wǎng)絡(luò),外部網(wǎng)絡(luò),基礎(chǔ)設(shè)施云區(qū),原有網(wǎng)絡(luò)分區(qū),李橋機房,核心交換機,核心交換機,核心交換機,管理網(wǎng),外部網(wǎng)絡(luò),外部網(wǎng)絡(luò),李橋運行網(wǎng)低性能VPC,基礎(chǔ)設(shè)施云區(qū),運行網(wǎng),外部網(wǎng)絡(luò),外部網(wǎng)絡(luò),原有網(wǎng)絡(luò)分區(qū),核心交換機,資源池設(shè)計,VPC規(guī)劃-網(wǎng)絡(luò)數(shù)據(jù)規(guī)劃 北京生產(chǎn)VDC,資源池設(shè)計,VPC規(guī)劃-網(wǎng)絡(luò)數(shù)據(jù)規(guī)劃 北京生產(chǎn)VDC,資源池設(shè)計,VPC規(guī)劃-整體規(guī)劃 廣東生產(chǎn)VDC,vSphere運行網(wǎng)AZ,廣東生產(chǎn)VDC,vSphere運

26、行網(wǎng)VPC,vSphere管理網(wǎng)AZ,vSphere管理網(wǎng)VPC,資源池設(shè)計,VPC規(guī)劃-內(nèi)部網(wǎng)絡(luò)設(shè)計 廣東生產(chǎn)VDC,核心處理區(qū) 原有網(wǎng)絡(luò),應(yīng)用服務(wù)區(qū) 原有網(wǎng)絡(luò),核心交換機,廣東信息分中心云計算機房,廣東生產(chǎn)VDC,廣東信息分中心運行網(wǎng)高性能VPC,核心處理區(qū)（直連網(wǎng)絡(luò)）,應(yīng)用服務(wù)區(qū)（直連網(wǎng)絡(luò)）,廣東信息分中心運行網(wǎng)中性能VPC,核心處理區(qū)（直連網(wǎng)絡(luò)）,應(yīng)用服務(wù)區(qū)（直連網(wǎng)絡(luò)）,廣東信息分中心運行網(wǎng)低性能VPC,核心處理區(qū)（直連網(wǎng)絡(luò)）,應(yīng)用服務(wù)區(qū)（直連網(wǎng)絡(luò)）,基礎(chǔ)設(shè)施云區(qū),運行網(wǎng),核心處理 外部網(wǎng)絡(luò),應(yīng)用服務(wù) 外部網(wǎng)絡(luò),廣東信息分中心對外接入局域網(wǎng)高性能VPC,廣東信息分中心對外接入局域網(wǎng)中性

27、能VPC,廣東信息分中心對外接入局域網(wǎng)低性能VPC,廣東信息分中心管理網(wǎng)高性能VPC,廣東信息分中心管理網(wǎng)中性能VPC,廣東信息分中心管理網(wǎng)低性能VPC,廣東信息分中心vSphere管理網(wǎng)VPC,廣東信息分中心vSphere運行網(wǎng)VPC,vSphere 外部網(wǎng)絡(luò),vSphere網(wǎng)絡(luò)分區(qū),基礎(chǔ)設(shè)施云區(qū),原有網(wǎng)絡(luò)分區(qū),外部網(wǎng)絡(luò),外部網(wǎng)絡(luò),核心交換機,對外接入局域網(wǎng),基礎(chǔ)設(shè)施云區(qū),原有網(wǎng)絡(luò)分區(qū),外部網(wǎng)絡(luò),外部網(wǎng)絡(luò),核心交換機,管理網(wǎng),vSphere 外部網(wǎng)絡(luò),vSphere網(wǎng)絡(luò)分區(qū),資源池設(shè)計,VPC規(guī)劃-網(wǎng)絡(luò)數(shù)據(jù)規(guī)劃 廣東生產(chǎn)VDC,資源池設(shè)計,VPC規(guī)劃-網(wǎng)絡(luò)數(shù)據(jù)規(guī)劃 廣東生產(chǎn)VDC,資源池設(shè)計

28、,VPC規(guī)劃-整體規(guī)劃 聯(lián)調(diào)測試培訓(xùn)VDC,總署管理網(wǎng)聯(lián)調(diào)測試培訓(xùn)AZ,廣東聯(lián)調(diào)測試培訓(xùn)AZ,仿真總署運行網(wǎng)VPC,仿真總署管理網(wǎng)VPC,仿真廣東運行網(wǎng)VPC,聯(lián)調(diào)測試工作區(qū)VPC,仿真廣東管理網(wǎng)VPC,仿真廣東對外接入局域網(wǎng)VPC,聯(lián)調(diào)測試培訓(xùn)VDC,聯(lián)調(diào)測試培訓(xùn)環(huán)境的AZ，可以按需分配給生產(chǎn)VDC，實現(xiàn)資源在生產(chǎn)環(huán)境和聯(lián)調(diào)測試培訓(xùn)環(huán)境之間的共享和復(fù)用，提高資源利用率,總署對外接入局域網(wǎng)聯(lián)調(diào)測試培訓(xùn)AZ,仿真總署對外接入局域網(wǎng)VPC,資源池設(shè)計,VPC規(guī)劃-內(nèi)部網(wǎng)絡(luò)設(shè)計 聯(lián)調(diào)測試培訓(xùn)VDC,核心交換機,總署信息中心機房,聯(lián)調(diào)測試培訓(xùn)VDC,基礎(chǔ)設(shè)施云區(qū),管理網(wǎng),聯(lián)調(diào)測試運行網(wǎng)外部網(wǎng)絡(luò),聯(lián)調(diào)測

29、試管理網(wǎng)外部網(wǎng)絡(luò),基礎(chǔ)設(shè)施云區(qū),原有網(wǎng)絡(luò)分區(qū),廣東信息分中心云計算機房,核心交換機,管理網(wǎng),外部網(wǎng)絡(luò),外部網(wǎng)絡(luò),仿真廣東運行網(wǎng)VPC,仿真廣東管理網(wǎng)VPC,仿真廣東對外接入局域網(wǎng)VPC,聯(lián)調(diào)測試接入網(wǎng)外部網(wǎng)絡(luò),原有網(wǎng)絡(luò)分區(qū),基礎(chǔ)設(shè)施云區(qū),原有網(wǎng)絡(luò)分區(qū),核心交換機,對外接入局域網(wǎng),聯(lián)調(diào)測試對外接入局域網(wǎng)外部網(wǎng)絡(luò),仿真總署對外接入局域網(wǎng)VPC,應(yīng)用服務(wù)區(qū)（直連網(wǎng)絡(luò)）,資源池設(shè)計,VPC規(guī)劃-網(wǎng)絡(luò)數(shù)據(jù)規(guī)劃 聯(lián)調(diào)測試培訓(xùn)VDC,資源池設(shè)計,VPC規(guī)劃-整體規(guī)劃 開發(fā)測試VDC,總署研發(fā)網(wǎng)中性能 VPC,總署研發(fā)網(wǎng)低性能 VPC,開發(fā)測試VDC,資源池設(shè)計,VPC規(guī)劃-內(nèi)部網(wǎng)絡(luò)設(shè)計 開發(fā)測試VDC,李橋

30、機房,開發(fā)測試VDC,基礎(chǔ)設(shè)施云區(qū),研發(fā)網(wǎng),原有網(wǎng)絡(luò)分區(qū),核心交換機,外部網(wǎng)絡(luò),外部網(wǎng)絡(luò),資源池設(shè)計,VPC規(guī)劃-網(wǎng)絡(luò)數(shù)據(jù)規(guī)劃 開發(fā)測試VDC,基礎(chǔ)設(shè)施云軟件實施方案,總署信息中心,十八里店機房,管 理 網(wǎng),CNA,李橋機房,CNA,廣東信息分中心,廣東信息中心機房,管理網(wǎng),VRM,FSM,VRM,Fusion Storage,對外接入局域網(wǎng),VRM,FSM,VRM,FS,FM主,FM備,總署信息中心機房,研發(fā)網(wǎng),VRM,FSM,VRM,FM主,FM備,綜合樓機房,運行網(wǎng),VRM,FSM,VRM,FM主,FM備,管理 網(wǎng),VRM,FSM,VRM,FM主,FM備,VRM,FSM,VRM,FM主,

31、FM備,運行網(wǎng),VRM,FSM,VRM,FM主,FM備,對外接入局域網(wǎng),CNA,研 發(fā) 網(wǎng),運 行 網(wǎng),FS,FS,FS,FS,FS,VDC劃分原則： 按屬地或業(yè)務(wù)靈活構(gòu)建VDC，匹配現(xiàn)有組織結(jié)構(gòu) VDC的資源可從全局多個資源池靈活分配和擴展 VDC的資源邏輯隔離，配額獨立，各業(yè)務(wù)系統(tǒng)獨立可靠運行,VDC服務(wù)，“一個數(shù)據(jù)中心當(dāng)多個用”,VDC劃分建議： 兩中心按照部門和業(yè)務(wù)屬性（如開發(fā)測試）將基礎(chǔ)設(shè)施云劃分為多個虛擬數(shù)據(jù)中心 業(yè)務(wù)部署單一業(yè)務(wù)建議部署在同一屬地資源池，不建議跨資源池部署 根據(jù)屬地原則，劃分總署生產(chǎn)VDC和廣東生產(chǎn)VDC；根據(jù)業(yè)務(wù)屬性，劃分開發(fā)測試VDC和聯(lián)調(diào)測試培訓(xùn)VDC 直屬

32、海關(guān)VDC可以用于直屬海關(guān)業(yè)務(wù)部署和已有業(yè)務(wù)容災(zāi)，在需要時進(jìn)行劃分,基礎(chǔ)設(shè)施云虛擬數(shù)據(jù)中心（VDC）設(shè)計,資源池物理服務(wù)器接入標(biāo)準(zhǔn),資源池SAN存儲設(shè)備接入標(biāo)準(zhǔn),資源池分布式存儲（服務(wù)器）接入標(biāo)準(zhǔn),資源池網(wǎng)絡(luò)設(shè)備接入標(biāo)準(zhǔn),資源池安全設(shè)備接入標(biāo)準(zhǔn),整體架構(gòu)設(shè)計 詳細(xì)方案設(shè)計 資源池設(shè)計 網(wǎng)絡(luò)及安全設(shè)計 服務(wù)目錄設(shè)計 周邊系統(tǒng)對接 應(yīng)用云化設(shè)計 用戶角色設(shè)計 運營運維規(guī)范 可靠性設(shè)計 綠色節(jié)能設(shè)計 方案設(shè)計匯總,匯報提綱,基礎(chǔ)設(shè)施云安全需求,網(wǎng)絡(luò)邊界（互聯(lián)網(wǎng)和電子口岸專網(wǎng)）安全需求： 防止來自互聯(lián)網(wǎng)的非法訪問和入侵； 實施防病毒措施，構(gòu)建綜合防病毒體系，防范病毒及惡意代碼通過互聯(lián)網(wǎng)或電子口岸專網(wǎng)進(jìn)

33、入基礎(chǔ)設(shè)施云。 防止來自互聯(lián)網(wǎng)或電子口岸專網(wǎng)的越權(quán)訪問及攻擊，防范來自電子口岸專網(wǎng)終端對基礎(chǔ)設(shè)施云平臺業(yè)務(wù)系統(tǒng)的應(yīng)用層攻擊。 防范跨網(wǎng)的越權(quán)訪問以及提供邏輯專網(wǎng)的安全數(shù)據(jù)交換。 基礎(chǔ)設(shè)施云內(nèi)部安全需求： 實現(xiàn)不同安全域之間隔離、安全可控互訪； 業(yè)務(wù)系統(tǒng)對用戶進(jìn)行可靠身份認(rèn)證； 具有虛擬化防病毒、虛擬機安全隔離、虛擬機模板加固需求； 防止云平臺上承載的業(yè)務(wù)系統(tǒng)可能由于開發(fā)人員編碼缺陷，引起部分頁面未認(rèn)證造成越權(quán)訪問、表單參數(shù)被SQL注入或跨站攻擊等，導(dǎo)致漏洞被黑客提權(quán)入侵，進(jìn)而系統(tǒng)被控制的需求。 運維管理安全需求： 基礎(chǔ)設(shè)施云承載海關(guān)各部門重要業(yè)務(wù)系統(tǒng)，防止運維人員進(jìn)行違規(guī)操作，從事前、事中、事

34、后進(jìn)行全面的監(jiān)管。 實現(xiàn)運維人員安全接入運維需求。 實現(xiàn)運維管理高強度安全認(rèn)證，防范來自運維終端不安全認(rèn)證帶來的安全風(fēng)險。 實現(xiàn)安全日志集中存儲、管理、滿足日志合規(guī)性需求。,網(wǎng)絡(luò)防護(hù) 2. 業(yè)務(wù)隔離 3. 安全審計與監(jiān)控,重點安全需求,總體思路： 云平臺系統(tǒng)的安全設(shè)計在充分利用數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全、終端安全管控、運維安全審計等項目的基礎(chǔ)上，重點考慮云平臺內(nèi)部的虛擬化平臺安全、數(shù)據(jù)和資源隔離等信息安全等級保護(hù)的要求。 應(yīng)用系統(tǒng)在遷入云技術(shù)平臺后，自身的信息安全等級不會改變。應(yīng)用系統(tǒng)在應(yīng)用用戶身份鑒別，應(yīng)用數(shù)據(jù)完整性和保密性保護(hù)，應(yīng)用信息審計，應(yīng)用軟件容錯碼等要求不變。但主機安全、網(wǎng)絡(luò)安全層面可與

35、云平臺進(jìn)行結(jié)合。,基礎(chǔ)設(shè)施云安全方案,基礎(chǔ)設(shè)施云安全域設(shè)計,在各網(wǎng)分別規(guī)劃基礎(chǔ)設(shè)施云區(qū)，在基礎(chǔ)設(shè)施云區(qū)部署基礎(chǔ)設(shè)施云資源池。 基礎(chǔ)設(shè)施云區(qū)邏輯上劃分為核心處理區(qū)、應(yīng)用服務(wù)區(qū)、云管理區(qū)。 備注：云管理區(qū)和各網(wǎng)的管理區(qū)不同，為基礎(chǔ)設(shè)施云管理平面所在網(wǎng)絡(luò)分區(qū)，用于部署基礎(chǔ)設(shè)施云的管理節(jié)點,管理網(wǎng),基礎(chǔ)設(shè)施云物理網(wǎng)絡(luò)拓?fù)?CSS,匯聚交換機,FW,核心交換機 （原管理網(wǎng)核心交換機）,接入交換機,接入交換機,接入交換機,FW,核心處理區(qū),應(yīng)用服務(wù)區(qū),管理區(qū),用戶接入?yún)^(qū),基礎(chǔ)設(shè)施云區(qū),已有分區(qū),方案描述： 在管理網(wǎng)基礎(chǔ)設(shè)施云區(qū)，部署匯聚交換機和防火墻。網(wǎng)關(guān)在匯聚交換機或防火墻。 新建的云平臺不會對原有業(yè)務(wù)

36、產(chǎn)生影響,基礎(chǔ)設(shè)施云安全域設(shè)計,運行網(wǎng),管理網(wǎng),海關(guān)現(xiàn)有網(wǎng)絡(luò),方案描述（以管理網(wǎng)為例）： 把管理網(wǎng)資源池劃分為核心處理區(qū)、應(yīng)用服務(wù)區(qū)、管理區(qū)。 管理網(wǎng)資源池各分區(qū)間通過虛擬交換機和虛擬防火墻進(jìn)行隔離。 支持對各分區(qū)設(shè)置訪問控制策略，滿足等保3級的相關(guān)要求。 管理網(wǎng)/運行網(wǎng)/對外接入局域網(wǎng)/研發(fā)網(wǎng)內(nèi)的網(wǎng)絡(luò)分區(qū)隔離采用硬件防火墻虛擬化 聯(lián)調(diào)測試培訓(xùn)環(huán)境的網(wǎng)絡(luò)分區(qū)隔離采用軟件虛擬防火墻,海關(guān)基礎(chǔ)設(shè)施云,對外接入局域網(wǎng),防火墻虛擬化,核心處理區(qū),VS1,VS2,交換機虛擬化,管理區(qū),運行網(wǎng),防火墻虛擬化,核心處理區(qū),VS1,VS2,交換機虛擬化,管理區(qū),對外接入局域網(wǎng),應(yīng)用服務(wù)區(qū),應(yīng)用服務(wù)區(qū),管理網(wǎng),

37、防火墻虛擬化,交換機虛擬化,網(wǎng)絡(luò)及安全設(shè)計-基礎(chǔ)設(shè)施云隔離方案,Router,管理網(wǎng)資源池,FW,生產(chǎn)VDC,應(yīng)用服務(wù)區(qū) Subnet,管理區(qū) Subnet,SG1,SG2,核心處理區(qū) Subnet,管理網(wǎng),Router,FW,方案描述： 1、每個VDC內(nèi)，在運行網(wǎng)資源池和管理網(wǎng)資源池分別創(chuàng)建VPC。 2、在VPC創(chuàng)建多個Subnet，每個subnet對應(yīng)一個安全域。 隔離方式： 每個安全域間（Subnet）可以通過ACL進(jìn)行隔離。 同一個Subnet內(nèi)需要更精細(xì)控制時可以通過安全組隔離。,VPC 1,VPC 2,運行網(wǎng)資源池,運行網(wǎng),應(yīng)用服務(wù)區(qū) Subnet,管理區(qū) Subnet,SG1,S

38、G2,核心處理區(qū) Subnet,備注：考慮性能因素，建議通過硬件交換機、防火墻虛擬化實現(xiàn)網(wǎng)絡(luò)隔離功能,網(wǎng)絡(luò)及安全設(shè)計-數(shù)據(jù)流,VPC 1,CSS,匯聚交換機,FW,核心交換機,iStack,接入交換機,iStack,接入交換機,iStack,接入交換機,物理視圖,邏輯視圖,管理網(wǎng),FW,核心處理區(qū),應(yīng)用服務(wù)區(qū),管理區(qū),接入?yún)^(qū),Router,FW,1、ACL隔離 2、安全組隔離,Router,FW,應(yīng)用服務(wù)區(qū) Subnet,管理區(qū) Subnet,SG1,SG2,核心處理區(qū) Subnet,網(wǎng)絡(luò)及安全設(shè)計-數(shù)據(jù)流,CSS,匯聚交換機,FW,核心交換機,iStack,接入交換機,iStack,接入交換

39、機,iStack,接入交換機,物理視圖,邏輯視圖,FW,核心處理區(qū),應(yīng)用服務(wù)區(qū),管理區(qū),接入?yún)^(qū),Router,FW,1、與其他區(qū)域互通,VPC 1,管理網(wǎng),Router,FW,應(yīng)用服務(wù)區(qū) Subnet,管理區(qū) Subnet,SG1,SG2,核心處理區(qū) Subnet,運維安全：堡壘機方案,CSS,匯聚交換機,FW,核心交換機 （原管理網(wǎng)核心交換機）,接入交換機,接入交換機,接入交換機,FW,核心處理區(qū),應(yīng)用服務(wù)區(qū),管理區(qū),基礎(chǔ)設(shè)施云區(qū),方案描述： 在基礎(chǔ)設(shè)施云區(qū)防火墻設(shè)置ACL策略，允許堡壘機對遠(yuǎn)程控制端口進(jìn)行訪問，其他源地址的禁止，需要控制的端口包括： 1、管理網(wǎng)段：對云管理平臺的訪問。 2、

40、業(yè)務(wù)網(wǎng)段：對業(yè)務(wù)虛擬機windows遠(yuǎn)程連接（3389）、linux ssh（22）等的訪問。 以3389端口為例的ACL配置： 目的IP 目的端口 源IP 源端口 規(guī)則 VM IP段 3389 堡壘機IP any permit,堡壘機,阻止用戶直接和跳轉(zhuǎn)訪問,允許堡壘機的訪問,用戶接入?yún)^(qū),帶外管理網(wǎng)方案：方案1,CSS,匯聚交換機,核心交換機,接入交換機,接入交換機,業(yè)務(wù),管理平面,帶外管理,CSS,匯聚交換機,核心交換機,接入交換機,管理網(wǎng),帶外管理網(wǎng),運行網(wǎng),CSS,匯聚交換機,管理區(qū),用戶接入?yún)^(qū),方案描述： 1、增加帶外管理網(wǎng)，帶外管理網(wǎng)內(nèi)部署接入交換機和匯聚交換機。 2、在帶外管理網(wǎng)

41、內(nèi)規(guī)劃服務(wù)器BMC VLAN，用于服務(wù)器BMC接入。 3、在帶外管理網(wǎng)規(guī)劃帶內(nèi)管理平面 VLAN，用于存儲、網(wǎng)絡(luò)等設(shè)備管理平面接入。 4、在管理網(wǎng)增加KVM設(shè)備，帶外管理網(wǎng)增加堡壘機，KVM與堡壘機之間通過鍵盤、鼠標(biāo)、顯示器線纜相連。 對設(shè)備要求（包括原有設(shè)備和新增設(shè)備）： 1、服務(wù)器有BMC網(wǎng)口，用于服務(wù)器帶外管理。 2、要求存儲、網(wǎng)絡(luò)設(shè)備可以通過獨立的網(wǎng)口接入到帶外管理網(wǎng)。,eSight,KVM線連接,KVM,堡壘機,帶外管理網(wǎng)方案：方案2,CSS,匯聚交換機,核心交換機,接入交換機,業(yè)務(wù),管理平面,帶外管理,CSS,匯聚交換機,核心交換機,接入交換機,管理網(wǎng),運行網(wǎng),管理區(qū),用戶接入?yún)^(qū),

42、方案描述： 1、不新增帶外管理網(wǎng) 2、在運行網(wǎng)、管理網(wǎng)等內(nèi)分別規(guī)劃服務(wù)器BMC VLAN，用于服務(wù)器BMC接入。 3、在運行網(wǎng)、管理網(wǎng)等內(nèi)分別規(guī)劃帶內(nèi)管理 VLAN，用于存儲、網(wǎng)絡(luò)等設(shè)備管理平面接入。 4、eSight部署在管理網(wǎng)的管理區(qū)，管理網(wǎng)、運行網(wǎng)、對外接入局域網(wǎng)的帶外管理網(wǎng)段、帶內(nèi)管理網(wǎng)段網(wǎng)絡(luò)能夠互通。 對設(shè)備要求（包括原有設(shè)備和新增設(shè)備）： 1、服務(wù)器有BMC網(wǎng)口，用于服務(wù)器帶外管理。 2、要求存儲、網(wǎng)絡(luò)設(shè)備可以通過獨立的網(wǎng)口連接管理VLAN（或共用業(yè)務(wù)VLAN）。,eSight,帶外管理VLAN,帶內(nèi)管理VLAN,帶外管理VLAN,帶內(nèi)管理VLAN,安全交換平臺,帶外管理網(wǎng)方案對比

43、,整體架構(gòu)設(shè)計 詳細(xì)方案設(shè)計 資源池設(shè)計 網(wǎng)絡(luò)及安全設(shè)計 服務(wù)目錄設(shè)計 周邊系統(tǒng)對接 應(yīng)用云化設(shè)計 用戶角色設(shè)計 運營運維規(guī)范 可靠性設(shè)計 綠色節(jié)能設(shè)計 方案設(shè)計匯總,匯報提綱,自定義服務(wù),開發(fā)測試服務(wù),.NET開發(fā)測試環(huán)境,java開發(fā)測試環(huán)境,生產(chǎn)服務(wù),生產(chǎn)應(yīng)用服務(wù),服務(wù)定義,服務(wù)編排,服務(wù)發(fā)布,服務(wù)回收,服務(wù)目錄,基礎(chǔ)服務(wù),服務(wù)變更,服務(wù)申請,基礎(chǔ)設(shè)施云服務(wù)目錄整體設(shè)計,云主機服務(wù),云桌面服務(wù),物理機服務(wù),云硬盤服務(wù),彈性IP服務(wù),vAPP服務(wù),VDC服務(wù),基礎(chǔ)設(shè)施云服務(wù)目錄設(shè)計,統(tǒng)一的基礎(chǔ)服務(wù),自定義服務(wù),基礎(chǔ)服務(wù),云主機服務(wù),桌面云服務(wù),物理機服務(wù),云硬盤服務(wù),彈性IP服務(wù),vAPP

44、服務(wù),VDC服務(wù),數(shù)據(jù)庫服務(wù) 中間件服務(wù) .,生產(chǎn)應(yīng)用服務(wù),數(shù)據(jù)庫服務(wù) 中間件服務(wù) .,生產(chǎn)應(yīng)用服務(wù),數(shù)據(jù)庫服務(wù) 中間件服務(wù) .,開發(fā)測試服務(wù),注：備份作為虛擬機、vApp、物理服務(wù)器的配置參數(shù)，不作為服務(wù)在服務(wù)目錄中提供。,數(shù)據(jù)庫服務(wù) 中間件服務(wù) .,聯(lián)調(diào)測試服務(wù),通過云主機/物理機規(guī)格標(biāo)準(zhǔn)化實現(xiàn)基礎(chǔ)資源池標(biāo)準(zhǔn)化,云主機標(biāo)準(zhǔn)化規(guī)格,基礎(chǔ)設(shè)施云服務(wù)標(biāo)準(zhǔn)化,物理機機標(biāo)準(zhǔn)化規(guī)格,軟件環(huán)境標(biāo)準(zhǔn)化,基礎(chǔ)設(shè)施云服務(wù)標(biāo)準(zhǔn)化,通過鏡像標(biāo)準(zhǔn)化實現(xiàn)基礎(chǔ)設(shè)施云軟件環(huán)境標(biāo)準(zhǔn)化,標(biāo)準(zhǔn)化思路：通過每種軟件的雙版本迭代更新，保證業(yè)務(wù)版本更新的節(jié)奏和環(huán)境的標(biāo)準(zhǔn)化,云服務(wù)設(shè)計：自定義服務(wù),根據(jù)應(yīng)用需求，通過基礎(chǔ)服務(wù)的組合和編

45、排自定義服務(wù)，實現(xiàn)應(yīng)用的快速上線和環(huán)境標(biāo)準(zhǔn)化。,中標(biāo)麒麟物理機,Oracle鏡像,中標(biāo)麒麟Oracle數(shù)據(jù)庫服務(wù),中標(biāo)麒麟云主機,WebLogic鏡像,中標(biāo)麒麟WebLogic服務(wù),Windows云主機,IIS鏡像,Windows IIS中間件服務(wù),Windows物理機,SQLServer數(shù)據(jù)庫鏡像,SQLServer數(shù)據(jù)庫服務(wù),.,基礎(chǔ)和自定義服務(wù)組合,自定義服務(wù),標(biāo)準(zhǔn)化配 置和腳本,注：軟件只有支持靜默安裝，才能實現(xiàn)應(yīng)用的自動化部署,Windows云主機,SQLServer數(shù)據(jù)庫鏡像,SQLServer數(shù)據(jù)庫服務(wù),云服務(wù)設(shè)計：標(biāo)準(zhǔn)環(huán)境,根據(jù)開發(fā)測試環(huán)境需求，通過自定義服務(wù)實現(xiàn)開發(fā)測試、生產(chǎn)

46、環(huán)境標(biāo)準(zhǔn)化和快速部署，提升開發(fā)測試和生產(chǎn)環(huán)境業(yè)務(wù)部署效率。,生產(chǎn)環(huán)境(.net),開發(fā)測試環(huán)境(java),生產(chǎn)環(huán)境(java),開發(fā)測試環(huán)境(.net),云服務(wù)設(shè)計：服務(wù)能力匯總,備注：通過基礎(chǔ)設(shè)施云物理機服務(wù)為GBASE和HANA發(fā)放物理機并自動安裝操作系統(tǒng) 由基礎(chǔ)設(shè)施云實現(xiàn)GBASE和HANA物理機的監(jiān)控和納管 運維服務(wù)主要提供管理使用，不通過服務(wù)目錄呈現(xiàn) 安全服務(wù)指提供基礎(chǔ)設(shè)施云和安管平臺的對接,整體架構(gòu)設(shè)計 詳細(xì)方案設(shè)計 資源池設(shè)計 網(wǎng)絡(luò)及安全設(shè)計 服務(wù)目錄設(shè)計 周邊系統(tǒng)對接 應(yīng)用云化設(shè)計 用戶角色設(shè)計 運營運維規(guī)范 可靠性設(shè)計 綠色節(jié)能設(shè)計 方案設(shè)計匯總,匯報提綱,基礎(chǔ)設(shè)施云與外圍

47、系統(tǒng)集成方案設(shè)計,海關(guān)基礎(chǔ)設(shè)施云管理平臺,海關(guān)現(xiàn)有平臺,海關(guān)運維管理平臺,安全管理平臺,三統(tǒng)一平臺,安全日志,認(rèn)證鑒權(quán) SSO集成,VMWare桌面云,桌面業(yè)務(wù)發(fā)放,服務(wù)器,存儲設(shè)備,網(wǎng)絡(luò)設(shè)備,虛擬化平臺,SNMP/IPMI/PXE,SNMP/SMI-S,SNMP/SSH,REST/SOAP,NBU備份,備份業(yè)務(wù)發(fā)放,CMDB信息 告警 性能 服務(wù)申請審批 虛擬機重啟,三統(tǒng)一對接方案,SC,OC Cas server,FM Cas Client,eSight Cas Client,FM Cas Client,eSight Cas Client,北京總署,廣東分中心,三統(tǒng)一,SSO,AD,AD,

48、認(rèn)證,認(rèn)證,運營側(cè)：SC對接三統(tǒng)一，通過三統(tǒng)一實現(xiàn)單點登錄，達(dá)到海關(guān)審批流程免認(rèn)證的過程 運維側(cè)：OC對接海關(guān)多個AD，對云平臺內(nèi)提供單點登錄能力。,三統(tǒng)一對接,三統(tǒng)一對接,認(rèn)證（電子口岸特有）,認(rèn)證（電子口岸特有）,基礎(chǔ)設(shè)施云和“三統(tǒng)一”對接原則和流程,對接原則： 開戶：統(tǒng)一在三統(tǒng)一上進(jìn)行。 用戶登錄頁面認(rèn)證：統(tǒng)一在三統(tǒng)一上進(jìn)行。 授權(quán)： 云平臺單獨授權(quán)：授權(quán)賬號在云平臺上的角色(系統(tǒng)管理員或者VDC管理員)以及與VDC的對應(yīng)關(guān)系； 云平臺需要根據(jù)用戶角色對業(yè)務(wù)進(jìn)行鑒權(quán)，如：系統(tǒng)管理員不能使用VDC的資源（如虛擬機、VPC等）； 云平臺需要根據(jù)用戶權(quán)限，來確定對資源的訪問策略，來實現(xiàn)VDC資

49、源的訪問控制。 對接流程： 開戶授權(quán) 人員在三統(tǒng)一上的開戶 管理員對該賬號進(jìn)行云平臺授權(quán) 注：開戶流程涵蓋云平臺與三統(tǒng)一對接后，三統(tǒng)一已有賬號的授權(quán)以及對接完成后新用戶的開戶，因為對云平臺來講都是針對三統(tǒng)一上已存在賬號的授權(quán)。,三統(tǒng)一對接,三統(tǒng)一對接,AD,運維側(cè)三統(tǒng)一對接流程,三統(tǒng)一對接,3、從三統(tǒng)一刪除用戶,2、三統(tǒng)一用戶登錄,1、從三統(tǒng)一開戶,OC,云平臺管理員,AD,1.1、添加第三方用戶（用戶名，角色）,1.2、用戶查 詢接口,2.1、輸入ManageOne OC系統(tǒng)登陸Portal,三統(tǒng)一用戶,2.2、認(rèn)證登錄(用戶名、密碼),檢查用戶名是否存在，根據(jù)用戶所在的域決定連哪個AD服務(wù)

50、器,刪除該用戶（用戶名）,針對三統(tǒng)一上已存在賬號授權(quán),刪除該用戶（用戶名）,2.3、OC頁面,運營側(cè)與三統(tǒng)一對接流程,3、從三統(tǒng)一刪除用戶,2、三統(tǒng)一用戶登錄,1、從三統(tǒng)一開戶,ManageOne （SC）,SC系統(tǒng)管理員,三統(tǒng)一,1.2、用戶查 詢接口,2.1、輸入ManageOne SC系統(tǒng)登陸Portal,三統(tǒng)一用戶,2.3、認(rèn)證登錄,檢查用戶名是否存在,取消授權(quán),2.5、SC頁面,2.4、判斷該賬號是否本地授權(quán),1.1、添加第三方用戶（用戶名，角色以及VDC關(guān)系）,即針對三統(tǒng)一上已存在賬號授權(quán),2.2、返回三統(tǒng)一登錄頁面,刪除賬號,三統(tǒng)一對接,運管平臺對接方案,運管平臺對接,說明：運管

51、平臺在海關(guān)是分布式部署，云平臺本次只對接信息中心節(jié)點，運管平臺多節(jié)點之間的信息同步由運管平臺自己完成。,運管平臺對接,運管平臺對接場景1：CMDB、告警、性能信息同步,運管平臺,基礎(chǔ)設(shè)施云平臺(OC),對象數(shù)據(jù)抽取（Rest）,告警上報（Rest）,性能數(shù)據(jù)抽?。≧est）,運管平臺Rest接口認(rèn)證機制：用戶名加密碼，固定分配的機機帳號,運管平臺對接場景2：服務(wù)審批集成,運管平臺,基礎(chǔ)設(shè)施云平臺(SC),生成審批單,發(fā)放服務(wù)實例,云平臺管理員,申請服務(wù),三統(tǒng)一用戶,審批,完成審批（JMS通知）,返回(運管平臺變更單號),配置信息同步（參見CMDB同步）,運管平臺為VM提供重啟操作，由運管平臺調(diào)

52、用基礎(chǔ)施設(shè)云平臺的接口實現(xiàn)。運管平臺直接調(diào)用基礎(chǔ)設(shè)施云平臺的接口。,運管平臺對接場景3：虛擬機重啟操作,運管平臺,基礎(chǔ)設(shè)施云平臺,重啟虛擬機（Rest）,安管平臺對接方案,安管平臺對接,海關(guān)基礎(chǔ)設(shè)施云管理平臺,海關(guān)安全管理平臺,syslog,用戶授權(quán)、登錄、登出日志 VFW的配置操作日志 虛擬安全設(shè)備（VFW）安全日志,桌面云對接方案整體說明,桌面池，應(yīng)用池設(shè)計，創(chuàng)建，維護(hù)由桌面云管理員在桌面云管理系統(tǒng)中進(jìn)行 受限于VMware View沒有合適的API接口，云桌面與遠(yuǎn)程應(yīng)用無法實現(xiàn)全自動化發(fā)放，采取用戶線上申請，通過工單通知管理員線下配置的方式實現(xiàn)云桌面或遠(yuǎn)程應(yīng)用發(fā)放 基礎(chǔ)設(shè)施云系統(tǒng)提供配置

53、頁面，用來配置域與標(biāo)準(zhǔn)桌面池，標(biāo)準(zhǔn)應(yīng)用池之間的映射關(guān)系，以及桌面云系統(tǒng)的訪問信息 基礎(chǔ)設(shè)施云系統(tǒng)用戶可以通過申請頁面為自己的不同域賬戶申請/變更桌面以及申請遠(yuǎn)程應(yīng)用 基礎(chǔ)設(shè)施云系統(tǒng)用戶只能變更、釋放自己申請的桌面以及遠(yuǎn)程應(yīng)用,基礎(chǔ)設(shè)施云和云桌面對接場景：云桌面申請,VMWare桌面業(yè)務(wù)集成,SC,運管平臺,SC發(fā)送審批請求到運管平臺,運管平臺啟動審批流程,通知結(jié)果,用戶申請云桌面,通知用戶,VDC用戶,桌面云管理員,桌面云系統(tǒng),審批結(jié)果,通知管理員,實施工單（桌面云請求）,處理請求,處理結(jié)果,基礎(chǔ)設(shè)施云和云桌面對接場景：云桌面規(guī)格調(diào)整,VMWare桌面業(yè)務(wù)集成,SC,運管平臺,SC發(fā)送審批請求

54、到運管平臺,運管平臺啟動審批流程,通知結(jié)果,用戶調(diào)整桌面規(guī)格,通知用戶,VDC用戶,桌面云管理員,桌面云系統(tǒng),審批結(jié)果,通知管理員,實施工單（桌面云請求）,處理請求,處理結(jié)果,規(guī)格變更可能造成的影響： 針對固定模式桌面池的變更，用戶數(shù)據(jù)會丟失,基礎(chǔ)設(shè)施云和云桌面對接場景：云桌面釋放,VMWare桌面業(yè)務(wù)集成,SC,運管平臺,通知結(jié)果,用戶申請釋放桌面,通知用戶,VDC用戶,桌面云管理員,桌面云系統(tǒng),通知管理員,實施工單（桌面云請求）,處理請求,處理結(jié)果,云桌面釋放/延期 釋放和延期界面與其他服務(wù)相同,基礎(chǔ)設(shè)施云和云桌面對接場景：遠(yuǎn)程應(yīng)用申請,VMWare桌面業(yè)務(wù)集成,SC,運管平臺,SC發(fā)送審

55、批請求到運管平臺,運管平臺啟動審批流程,通知結(jié)果,用戶申請遠(yuǎn)程應(yīng)用,通知用戶,VDC用戶,桌面云管理員,桌面云系統(tǒng),審批結(jié)果,通知管理員,實施工單（桌面云請求）,處理請求,處理結(jié)果,基礎(chǔ)設(shè)施云和云桌面對接場景：遠(yuǎn)程應(yīng)用釋放,VMWare桌面業(yè)務(wù)集成,SC,運管平臺,通知結(jié)果,用戶申請釋放遠(yuǎn)程應(yīng)用,通知用戶,VDC用戶,桌面云管理員,桌面云系統(tǒng),通知管理員,實施工單（桌面云請求）,處理請求,處理結(jié)果,遠(yuǎn)程應(yīng)用釋放/延期 釋放和延期界面與其他服務(wù)相同,備份服務(wù)需求場景,備份管理員,VDC用戶,定義備份策略,申請VM/APP時，選擇備份策略,手動配置備份策略,基礎(chǔ)設(shè)施云平臺,發(fā)放資源，安裝Agent

56、,按策略備份,NBU,從運管平臺工單驅(qū)動,同步備份策略,變更備份策略,從運管平臺工單驅(qū)動,受限于NBU沒有對外開放的API接口，備份服務(wù)無法實現(xiàn)全自動化發(fā)放。采取用戶線上申請，通過工單通知管理員線下配置的方式實現(xiàn)備份服務(wù)。,需支持備份的類型： 虛擬機 VAPP 物理機,備份服務(wù)發(fā)放交互流程,備份管理員,VDC用戶,基礎(chǔ)設(shè)施云平臺,NBU,申請VM、應(yīng)用(指定備份策略）,發(fā)放,實施工單（備份策略）,配置備份策略,VM/應(yīng)用/物理機,運管平臺,審批,審批結(jié)果,配置數(shù)據(jù)同步（含備份策略）,實施結(jié)果,實施結(jié)果,備份服務(wù)變更流程,備份管理員,VDC用戶,基礎(chǔ)設(shè)施云平臺,NBU,變更備份策略（VM/VAP

57、P/物理機）,實施工單（備份策略）,運管平臺,審批,審批結(jié)果,備份服務(wù)不單獨作為服務(wù)呈現(xiàn)，備份策作為VM/VAPP/物理機的參數(shù)可以進(jìn)行變更，類似于虛擬機的變更流程。 服務(wù)釋放流程與變更類似，也走手動實施流程。,配置備份策略,實施結(jié)果,配置數(shù)據(jù)同步（含備份策略）,實施結(jié)果,整體架構(gòu)設(shè)計 詳細(xì)方案設(shè)計 資源池設(shè)計 網(wǎng)絡(luò)及安全設(shè)計 服務(wù)目錄設(shè)計 周邊系統(tǒng)對接 應(yīng)用云化設(shè)計 用戶角色設(shè)計 運營運維規(guī)范 可靠性設(shè)計 綠色節(jié)能設(shè)計 方案設(shè)計匯總,匯報提綱,應(yīng)用云化目標(biāo),資源池,網(wǎng)絡(luò)安全,服務(wù)目錄,系統(tǒng)對接,應(yīng)用云化,運維運營,可靠性,綠色節(jié)能,應(yīng)用云化整體規(guī)劃,資源池,網(wǎng)絡(luò)安全,服務(wù)目錄,系統(tǒng)對接,應(yīng)用云化,運維運營,可靠性,綠色節(jié)能,聯(lián)調(diào)測試培訓(xùn)環(huán)境云化內(nèi)容,資源池,網(wǎng)絡(luò)安全,服務(wù)目錄,系統(tǒng)對接,應(yīng)用云化,運維運營,可靠性,綠色節(jié)能,在聯(lián)調(diào)測試培訓(xùn)環(huán)境，仿真海關(guān)的管理網(wǎng)、運行網(wǎng)、對外接入局域網(wǎng)、電子口岸專網(wǎng)以及它們之間的訪問控制策略 在聯(lián)調(diào)測試培訓(xùn)環(huán)境，為仿真的各個網(wǎng)絡(luò)提供虛擬資源（虛擬機、虛擬防火墻）和物理資源（物理服務(wù)器）,聯(lián)調(diào)測試培訓(xùn)環(huán)境云化方案,資源池,網(wǎng)絡(luò)安全,服務(wù)目錄,系統(tǒng)對接,應(yīng)用云