教育云平台设计方案

1、未来教育 自由互联教育云平台设计方案三通两平台总体设计框架BASS以应用建设为中心，硬件建设为保障，分步实施，稳步推进，逐步实现三通两平台。一期设计目标和内容电教馆自有业务：教学资源公共服务平台，开展以视频为基础的直播公开课、名师讲堂、一师一优课等核心业务；教学管理公共服务平台人人通空间OA办公等；应用超市：提供基本硬件环境，引入市场上的教学应用软件，通过试用，挑选符合韶关普教特色需要的应用IaaS云服务：中小学原则上不再新增服务器等IT设备，直接使用云资源池，优化韶关教育系统的硬件支出云桌面：优先在电教馆办公和测试环境使用云桌面替换PC机，积累经验，后续逐步扩展到每个学校一期方案详细设计拓扑

2、图核心交换机负载均衡出口安全网关(防火墙、入侵检测、SSLVPN)行为&流控管理设备韶关教育城域网Internet省教育城域网 （粤教云）出口路由器云计算管理服务区域云安全访问控制区DDOS、网页防串改系统前置服务器区域万兆链路千兆链路云虚拟机东西方向云安全控制区域数据库服务器区域融合接入层交换机 电教馆自有业务服务区IAAS云服务区应用超市服务区云桌面服务区融合接入层交换机IP-SAN存储区域FC-SAN存储区域优秀教育资源数字化多媒体化 教育资源云VMvIPSVMvFWVMvNSVMvSLBVMvRter集中共享教学公共服务平台业务区：需求分析问题一：城域网络带宽瓶颈1、学校多个班级同时收

3、看一堂直播课，城域网带宽容易成为瓶颈；2、在家，跨运营商访问，比如家庭宽带是联通，却通过电信访问教育局视频资源；问题二：服务平台WEB服务器瓶颈1、受制于服务器硬件性能限制，单台服务器处理能力有限。2、受限于中间件连接数限制（例如Windows IIS限制200并发）经验表明，在千兆城域网带宽情况下，只能同时承载500（2M码流）-1000（1M码流）个教室同时直播。无法满足韶关市全市学校实现网络教学的需要。优化视频业务：分布式云部署市电教馆区县电教中心：服务器+虚拟化市直属学校：云点设备（服务器+虚拟化）区属学校：云点设备WEB流媒体WEBWEBWEB后台：通过云点/云彩虹将流媒体分布式部署

4、；前端：通过DRX扩展WEB服务器运营商1运营商2动态资源扩展：负载均衡+DRX链路负载均衡第一步：租户（学校、应用厂商）申请“运行环境”第二步：电教馆审批第三步：租户（学校、应用厂商）使用应用超市&IaaS云服务区：需求分析非简单的申请虚拟机，而是一个运行业务系统所需要的整体环境，以及流程化的服务；最全的服务目录名称：高性能云主机规格：4vCPU 8G内存名称：大内存云主机规格：4vCPU 16G内存云主机/存储云防火墙云负载均衡云网络虚拟数据中心￥1099/月￥1599/月016CPU0256G01024G云数据库云应用吞吐量：100新建数：100并发数：100安全策略条数：100吞吐量：

5、200新建数：200并发数：200安全策略条数：200吞吐量：500新建数：500并发数：500安全策略条数：1000大型适合1000人以下场景中型适合500人以下场景小型适合100人以下场景50万/月20万/月5万/月￥666/月￥1000/月￥2000/月￥5000/月云网盘套餐1套餐2套餐3vSwitchvRouter公网IP连接数：100连接数：200连接数：500￥500/月￥1000/月￥3000/月华三云网盘内网Vlan内存CPU硬盘为租户提供业务运行所需要的服务器、网络、安全、负载均衡、数据库等资源；虚拟计量，对内统计云服务带来的价值，对外可运营收费；自动化编排租户将申请到的虚

6、机、网络、安全、数据库、负载均衡设备，根据业务需要自定义拓扑；拖拽设备图标即可自动完成拓扑定义，无需手工配置；SDN+VxLAN构建虚拟数据中心通过SDN+VxLAN技术允许租户之间的IP地址、VLAN等重叠；租户的虚拟“运行环境”逻辑隔离，具备互通条件，但满足必要的安全策略；交换机FW路由器LBIPS服务器iSCSI存储存储主机网络多租户网络隔离安全域网络安全多实例Hypervisor安全补丁VM访问控制VM防病毒VM存储备份存储备份FC存储云安全接入VPN虚拟FW多租户安全隔离安全域NAT负载均衡多租户安全隔离租户内安全资源限制LBaaSDDoS安全防护DDoSaaSWEB安全扫描主机杀毒

7、云安全扫描杀毒存储安全防护IaaSFWaaS云安全管理数据库安全权限控制及审计多账户数据隔离开发环境安全权限控制及审计多账户数据隔离应用安全：身份鉴别、权限控制、安全审计、日志审计、补丁管理内容安全：数据泄露、敏感信息过滤、日志审计应用系统代码安全性分析SaaSPaaS云安全业务部署及策略调整云安全日志分析和行为审计安全规章制度安全应急响应机制及处理流程云安全服务基础安全加固整体安全设计一期方案的安全设计核心交换机负载均衡出口安全网关(防火墙、入侵检测、SSLVPN)行为&流控管理设备韶关教育城域网Internet省教育城域网 （粤教云）出口路由器云安全访问控制区DDOS、网页防串改系统前置服

8、务器区域万兆链路千兆链路融合接入层交换机融合接入层交换机DMZ区：对内网的安全防护出口区：防火墙策略、入侵防御策略、行为审计云计算管理服务区域云虚拟机东西方向云安全控制区域数据库服务器区域 电教馆自有业务服务区IAAS云服务区应用超市服务区云桌面服务区IP-SAN存储区域FC-SAN存储区域管理员账号安全云安全的精细化设计VMComwarevFW/Vips/VLB教育云业务纷繁多样，安全要求高：通过服务器安装VFW、VIPS、VLB实现了虚拟机内部的安全隔离；确保租户虚拟机互访的安全性；WEBAPPService NodesVMVMVMvSwitchLeafLeafVMVMVMvSwitchL

9、eafVMVMVMvSwitchLeafLeafVMVMVMvSwitchSpineSpineVxLAN Network服务链业务节点东西向流量FW LB云安全设计：东西向流量CoreCore城域网LSWLSW城域网教育网Internet云安全访问控制区FW/IPS租户租户租户租户租户云主机&云存储需求：多业务主机纵向隔离保证南北向数据安全隔离；实现：安全按需求分配资源；CPU、内存、会话数严格物理隔离，互不影响，租户业务突发，不会影响其他租户安全性能；云安全设计：南北向流量方案的可靠性设计核心交换机负载均衡出口安全网关(防火墙、入侵检测、SSLVPN)行为&流控管理设备韶关教育城域网Inte

10、rnet省教育城域网 （粤教云）出口路由器IP-SAN存储区域FC-SAN存储区域云计算管理服务区域云安全访问控制区DDOS、网页防串改系统前置服务器区域万兆链路千兆链路云虚拟机东西方向云安全控制区域数据库服务器区域业务网融合接入层交换机 电教馆自有业务服务区IAAS云服务区应用超市服务区云桌面服务区融合接入层交换机计算：虚机HA、备份、无状态计算存储：FC存储：单台Fast Raid、两台之间同步复制IP存储：单台Raid5，多台之间网络Raid、网络、安全：双机热备、IRF2虚拟化链路：冗余备份、链路捆绑统一的运维平台：基于业务的监控视角通过图形化的业务拓扑可直观反映业务包含的IT资源及其

11、之间的关系，可一目了然的定位故障点直观反映资源、业务、用户间的关系基于业务逻辑的故障定位IT资源容量规划及预警容量规划云办公区云端：教育局数据中心刘老师的办公桌面家办公室教室刘老师在家浏览教学资源刘老师在办公室修改课件、利用私人桌面办理社保刘老师去12班教室上课 装机方便 节省成本；管理简单、统一刘老师的私人桌面云桌面是基于云的典型应用。在电教馆办公区和测试区，开展云桌面的试点，共100个点。总结：方案优势统一交付云网融合整体安全最佳实践三通两平台成功案例南京教育云方案特色：多级云架构，市-区-学校；云点、云彩虹最佳落地，解决视频会议、公开课等临时业务；市电教馆面向电教馆内部、直属中小学，同时

12、作为江宁区电教中心资源的备份与扩展。江宁区电教中心利用云彩虹技术在资源层面实现互通，实现教学资源的共建共享。同时支撑全区的教育城域网和云数据中心，实现硬件资源的集中减少投资，也减轻学校管理员的工作量。中、小学通过云点技术实现与资源平台的互通，既可实现资源上传，也可根据学校需要将云端的资源提前下载到本地，满足教学效果需要。苏州教育云教育城域网第一中学觅渡中学核心交换机数据中心汇聚+LB二十中学电信移动联通CAS、CICVMware云数据中心方案：服务器虚拟化，构建资源池，为学校提供IaaS服务；简易管理方案：实现基础设施的统一可视化管理，基于业务视图自动告警城域网方案：统一互联出口，IPS、ACG提供出口安全；S105构建高性能高可靠万兆城域