云计算平台建设总体技术方案

1、云计算平台工程技术方案天津一普信成科技有限公司2018年3月 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 第1章.基本情况6 HYPERLINK l bookmark4 o Current Document 项目名称6 HYPERLINK l bookmark6 o Current Document 业主单位6 HYPERLINK l bookmark8 o Current Document 项目背景6 HYPERLINK l bookmark10 o Current Document XX技术发展方向6 HYPERLINK l

2、 bookmark12 o Current Document 有关XX公开的相关要求 7 HYPERLINK l bookmark14 o Current Document 建设规模7 HYPERLINK l bookmark16 o Current Document 投资概算10 HYPERLINK l bookmark18 o Current Document 设计依据10 HYPERLINK l bookmark20 o Current Document 设计范围10 HYPERLINK l bookmark22 o Current Document 设计分工11 HYPERLINK l

3、 bookmark24 o Current Document 第2章.现状及需求分析 12 HYPERLINK l bookmark26 o Current Document 项目意义及建设必要性 12 HYPERLINK l bookmark28 o Current Document 现状分析13 HYPERLINK l bookmark30 o Current Document 需求分析14长期需求14本期需求14 HYPERLINK l bookmark32 o Current Document 第3章.总体设计17 HYPERLINK l bookmark34 o Current Do

4、cument 建设目标17预期总目标17阶段性目标18 HYPERLINK l bookmark36 o Current Document 建设内容18 HYPERLINK l bookmark38 o Current Document 系统的总体结构 19设计原则19建设思路21 HYPERLINK l bookmark40 o Current Document 总体拓扑结构23 HYPERLINK l bookmark42 o Current Document 信息的分类编码体系 26 HYPERLINK l bookmark44 o Current Document 质量保证体系 27

5、HYPERLINK l bookmark46 o Current Document 第4章.建设方案29 HYPERLINK l bookmark48 o Current Document 网络资源池30 HYPERLINK l bookmark50 o Current Document 组网物理拓扑图 30 HYPERLINK l bookmark52 o Current Document 网络负载均衡设计 31 HYPERLINK l bookmark58 o Current Document 网络虚拟化设计 33IP地址及 DNS规划 37 HYPERLINK l bookmark64

6、o Current Document 网络端口资源估算 42 HYPERLINK l bookmark66 o Current Document 计算资源池43 HYPERLINK l bookmark68 o Current Document 计算资源池架构 43 HYPERLINK l bookmark70 o Current Document 应用系统分析 44 HYPERLINK l bookmark78 o Current Document 计算资源池建议配置与选型建议 45 HYPERLINK l bookmark82 o Current Document 计算资源池部署 48 H

7、YPERLINK l bookmark84 o Current Document 虚拟化软件选型分析 50云计算管理平台 52云资源管理平台建设方案 53云运营管理平台建设方案 63云计算安全防护方案 73云计算平台安全威胁 73云计算平台安全防护目标 74云计算平台安全架构 75IaaS 层安全75PaaS 层安全91SaaS 层安全92公共安全 94安全管理制度 100云安全服务101机房方案102机房设备集中管理 102布线系统103机房系统103UPS 配置方案105标准化工作 111标准规范建设的原则 111标准规范的总体框架 112第5章.设备配置要求 115第6章.项目实施与运行

8、维护 120建设流程及进度安排 120团队组建121业务连续性计划规划 122实施方案详细设计 122实施方案详细会审 123运维制度的设计 123运维制度的会审 125采购设备和基础设施改造 125平台机房端系统改造调测 126设备安装调测 126系统联调127人员技术和制度培训 128项目验收投产 128项目建设管理及组织机构 129领导组织机构 129项目建设机构 129项目沟通130项目文档管理 131运维及管理的组织机构 132运维及管理的规范 133运维模式135人员配置和培训 135第1章.基本情况项目名称云计算平台工程。业主单位XXX公司。项目背景技术发展方向即运用计算机、网络

9、和通信等现代信息技术手段，实现组织结构和工作流程的优 化重组，超越时间、空间和部门分隔的限制，建成一个精简、高效、廉洁、公平的政 府运作模式，以便全方位地向社会提供优质、规范、透明、符合国际水准的管理与服 务。随着网络技术、web2.0、下一代互联网等技术的发展，我国云建设也发生着变化。2010年10月，国务院发布了国务院关于加快培育和发展战略性新兴产业的决定， 就把新一代信息技术产业作为十二五时期的重点方向， 要推动新一代移动通信、下一 代互联网核心设备和智能终端的研发及产业化， 加快推进三网融合，促进物联网、 云 计算的研发和示范应用。有关云公开的相关要求全国云领导小组发布了关于开展依托云

10、平台加强县级政府云和政务服务试点工 作的意见，就开展依托云平台加强县级政府云和政务服务试点工作提出了相关意见。 要求在试点县（市、区），用一年左右时间，建立和完善统一的云平台，充分利用平 台全面、准确发布政府信息公开事项，实时、规范办理主要行政职权和便民服务事项, 并实现电子监察全覆盖，为在全国全面推行奠定基础、积累经验。建设规模本期建设规模为（后续根据实际服务器及机房环境进行调整）：编号设备数量单位硬件设备1.1刀片式PC服务器片刀片服务器机箱个1.2机架式PC服务器（4CPU ）台1.3机架式PC服务器（2CPU ）台1.4FC SAN磁盘整列台1.5NAS存储系统台1.6异构存储（方存储

11、）控制系统台1.7虚拟带库台1.8SAN光纤交换机台1.9核心交换机台1.10汇聚交换机台1.11链路负载均衡设备台1.12服务器负载均衡设备台1.13防火墙台1.14接入交换机台1.15WEB应用防护抗攻击系统台1.16入侵防御系统台1.17防病毒网关台1.18VPN网关台1.19数据库安全审计系统台1.20运维安全审计系统台1.21安全代理应用服务器台1.22PKI应用服务器台1.23身份认证系统套1.24网闸台1.25网络KVM台1.26KVM集中器台1.27短信机MAS信息机台2.1云计算平台管理软件套2.2Vmware vSphere4.1 企业版（1CPU ） 72 套，Vmwar

12、e vCenter 标准版 1 套套2.3GalaX8800 Operating Edition V100R001 for1CPU , 一年技术服务套2.4Windows Server 2008 R2中文企业版套2.5RedHat Enterprise Linux- 企业版套2.6物理机高可用群集软件套2.7虚拟机高可用群集软件套2.8应用服务器软件套2.9Oracle数据库管理系统套2.10MSSQL数据库管理系统套2.11MySql数据库管理系统套2.12数据备份软件套2.13目录服务器软件套2.14防病何软件套2.15漏洞扫描设备台2.16网页防篡改软件套2.17SOC安全管理系统套2.

13、18云安全服务套3.1UPS套3.2标准机架台3.3机房精密空调台投资概算本项目本期工程概算总投资为 XXXX万元(人民币)。设计依据中华人民共和国国民经济和社会发展第十二个五年规划纲要；计算机场地技术条件(GB2887-89 )计算站场地安全要求(GB9361-88 )电子计算机机房设计规范(GB50174-93 )供配电系统设计规范(GB50052-92 )低压配电装置及线路设计规范(GBJ 83)建筑物防雷设计规范(GB50057-94 )电子设备雷击保护守则(GB7450-87 )工业企业通信接地设计规范(GBJ79-95 )中华人民共和国保密标准(BMB3-1999 )涉密信息设备使

14、用现场的电磁泄漏发射防护要求(BMZ1-2000 )涉及国家机密的计算机信息系统保密技术要求(BMZ1-2000 )涉及国家机密的计算机信息系统安全保密方案设计指南(BMZ2-2001 )涉及国家计算机信息系统安全保密测试指南(BMZ3-2001 )设计范围本方案涉及范围包括以下几个部分：(1)基本情况;10(2)现状与需求分析;(3)总体设计；(4)建设方案；(5)设备配置要求；(6)培训及维护；(7)项目实施；(8)概算编制。设计分工待定。11第2章.现状及需求分析项目意义及建设必要性XX单位作为信息化建设持续居于全国前列的经济信息大省，对云计算的表现模式及其能够带来的经济效益表现出持续关

15、注。 本项目提出建设政务云计算平台，对于 整合云资源、提高省直部门计算资源配置效率，建设重复信息化投资，打造绿色云， 推动高新技术产业发展，都具有长远的现实意义。(D云计算是信息技术和产业发展的必然趋势云计算是网格计算、分布式计算、虚拟化等传统计算机技术和网络技术发展融合的产物。它旨在通过网络把多个成本相对较低的计算实体整合成一个具有强大计算能力的完美系统，并借助SaaS、PaaS、IaaS、MSP等先进的商业模式把这强大的计 算能力分布到终端用户手中。作为一种新兴技术和商业模式，云计算将加速信息产业 和信息基础设施的服务化进程，催生大量新型互联网信息服务，带动信息产业和信息 化建设格局的整体

16、变革。加快云计算发展，不仅是我省提升数字XX综合竞争力、培育新增长点的重要途径，也是促进产业机构调整、率先实现跨越式发展的重要举措。(2)县级XX是推动XX单位云计算应用的第一步云计算是当今信息技术、信息化的战略制高点。当前，我省正在贯彻落实国务 院办公厅转发全国XX领导小组关于开展依托XX平台加强县级政府XX和政务服务 试点工作意见的通知，将县级XX作为推动XX单位云计算应用的第一步，在实践 中摸索云计算为XX单位带来的新机遇，通过政府应用起到的示范和带动作用，促进 全省信息化建设水平的提高，带动信息产业的发展，战略信息技术及产业的战略高地。12(3)提高政务部门计算资源配置效率，减少重复建

17、设，节能减排XX单位XX建设以来，全省部署了大量的业务应用系统， 涉及海量的网络设备、服务器及存储设备。这些设备 CPU和内存利用率残差不齐，大多数较低，部分工作效率在20%以下，同时也有部分部门计算硬件资源极端匮乏。这样，不仅闲置了宝贵的计算资源，浪费了电力，不利于节能减排，又未能很好地解决资源匮乏部门的实 际问题。如果将这些设备整合建设为云计算平台，服务器的利用效率将得到极大提升(40%60%),能够动态、弹性、可回收地为各政务部门提供服务。总之，云计算可望提高应用程序部署速度、 促进创新和降低成本，同时还增强了业务运作的敏捷性。本项目对我省云计算的发展和应用具有带动、示范、服务、探索 等

18、多重作用，对带动我省信息化建设进入新阶段，探寻我省新的经济建设模式具有重 大的现实意义，有必要尽快实施。现状分析XX单位已经建成了较为完善的 XX网络系统，经过04年、06年两次大的扩容 改造后，覆盖全省的XX网络全面建成，信息资源目录体系与交换体系、信息资源公 开和共享机制、信息安全基础设施基本建立，重点业务应用系统实现互联互通， 管理 体制进一步完善，信息技术在政府工作中得到普遍应用。XX单位信息中心作为负责 XX单位政府政务数据中心建设和维护的核心信息化部门，服务于XX单位政府部门宏观决策支持、信息资源开发利用、数据交换、XX、信用体系建设等六大重点业务，按照工信部和国家发改委的要求，

19、近年来一直致力于 政务云计算的铺垫和准备工作，逐步完成了政务数据整合和云就绪准备的前期工作。为推动数字XX建设科学发展，创新XX建设模式，推进云计算应用及相关产业的发13 展，根据省领导指示精神，下一步将重点建设 XX单位政务云。在完成了各部门分散 的IT资源和信息数据的整合之后，政府将通过云计算平台，实现面向更多公众服务、 带动本地信息化发展等目标。需求分析长期需求满足未来10年XX单位信息化建设基于XX的信息系统对网络、服务器、存储、 软件等基础架构的需要，面向全省政务系统提供信息共享平台及云计算平台。根据XX单位政府和省经信委对数字 XX的长远规划，不仅要搭建 XX云计算平 台，试点并承

20、载相关业务，还需要进行 XX云计算平台的开发和建设，运行核心业务 系统。本期需求满足今后3到5年XX单位信息化建设基于XX的信息系统对网络、服务器、存 储、软件等基础架构的需要。鉴于每个应用系统对基础架构资源的需求难以确定，本期工程暂时按照最小经济 规模的云计算平台建设，计算资源池的服务器物理数量规划为 XXX台，存储及网络 设备根据实际需要进行配套。硬件需求本次需要配置的硬件包括：主机：刀片服务器、机架式服务器等;14存储：SAN存储、NAS存储、IP存储、虚拟带库、易购存储控制系统、SAN交换机等；网络设备：路由器、交换机、负载均衡、VPN网关等；安全设备：防火墙、入侵防御、防毒墙、运维安

21、全审计系统、数据库安全审计系 统、漏洞扫描系统。软件需求除了需要配置一定数量的服务器、存储、网络设备和安全防护设备外，还需要配 备相应的系统软件，如：1、每台物理服务器和虚拟服务器的操作系统：Windows Linux等服务器操作系统。2、虚拟化软件：实现服务器和存储资源的虚拟化，建立弹性、智能、可回收的资源池；对于新购置的设备，需要进行虚拟化套件的安装调试。3、中间件：JAVA及.NET架构的应用服务器等。4、大型数据库系统：Oracle、SQL Server、MySQL 等。5、云计算管理平台：包括网络管理、资源管理、用户管理、统计报表、账单、监控、 告警等管理功能。安全需求虚拟机的应用将

22、导致物理网卡上的流量成几何倍数增加，为了应对云计算环境下 的流量变化，安全防护体系的部署需要朝着高性能的方向调整。安全设备必然要具备对高密度的10GE设置100G接口的处理能力。同时，考虑到云计算环境的业务永续 性，设备的部署必须要考虑到高可靠性的支持，不仅要考虑到设备的可靠性，如采用15 高性能高可靠高成熟的产品，还应该考虑到设计的可靠性，如双机热备、设备虚拟化、 配置同步、板件冗余和预留、跨设备链路捆绑、硬件 ByPass等技术的应用。配置防火墙、入侵防御、漏洞扫描、网页防篡改、全接入网关和身份认证系统， 并从安全区域划分、接入层安全、服务器区的安全和安全管理等多方面加强云计算平 台的防护

23、。特别是接入层，采用 VPN网关，注册用户从云计算管理中心获得 VPN Client,通过VPN Client就可以连接到自己需要的云。服务器安全方面，所有物理 服务器全部配置相应的安全策略，禁止不用的端口的访问，同时在虚拟机模板系统中 只打开最小可用端口（如SSH、http、https等），以保证初始系统的安全性。建立应 用节点准入规范，保证应用节点自身的安全防护，避免云内发生交叉感染。安全管理 方面，则以管理制度为主、技术管控为辅，双管齐下。机房需求鉴于信息中心机房 UPS、精密空调承载有限，本项目本期工程应做相应扩容建 设。16第3章.总体设计建设目标预期总目标整合信息化建设资源，充分利

24、用现有政府网站和政务(行政)服务中心基础设施， 结合集约化社区服务信息网络平台建设，对现有 XX平台进行调整、升级和改造，满 足XX和政务服务应用需要。具体包括：(1)采用云计算技术，结合创新建设模式，搭建标准统一、功能完善、系统 稳定、安全可靠、纵横互通、集中统一的 XX云计算平台，为各部门信息资源共享、 数据交换和系统办公提供良好的支撑。(2)通过建设XX云计算平台，方便未来将新增XX应用快速部署到云计算平 台上，大大缩短新IT系统的上线时间，预期将节省设备 30%,节约能耗50% o(3)解决信息孤岛”，实现信息共享，提高信息安全水平，提升政府监控能力 和响应速度，提高工作效率和公共服务

25、水平，提供面向社会的专业性服务和为社会公 众提供政务信息服务。(4)通过降低成本、提升效率、节能减排，满足 XX要贯彻落实科学发展观， 转变发展模式的需要。(5)满足在云计算平台上搭建XX应用系统的需要，包括以三层架构为主的应 用系统，以及大访问量的应用系统、大数据处理量的应用系统以及大计算量的应用系 统。云计算试点业务运行稳定之后，普及和推广云计算模式，将 XX系统、政府网站17 应用系统、政务服务业务应用系统、电子监察应用系统等纳入政务云计算平台，通过 建立政务服务事项信息库、办理过程信息库、办理结果信息库、监察规则信息库、监 察业务信息库等五个信息库，实现政务服务和电子监察信息资源管理。

26、XX单位政务云计算建设的总体目标是，实现省级政务系统数据共享，利用云计 算弹性、智能、可回收的技术优势，低投资、低能耗、高效率地部署居民健康档案系 统、统计直报系统、生猪屠宰监管与溯源系统等与政务职能工作相关的应用系统。XX网络、政府网站、业务管理系统、应用及数据服务中心和信息安全保障体系 等纳入统一的政务云计算平台。阶段性目标为满足XX和政务服务试点工作的业务需求，基于网络技术、云计算等新兴 IT 技术手段，建设统一的XX承载平台，根据XX和政务服务目录，将更多的行政职权 纳入电子化平台的业务系统办理，建设覆盖行政职权和便民服务事项办理流程的各个 环节的电子监察体系。在初步阶段基础设施先行，

27、建设 XX单位XX统一基础承载平台，基于云计算的 模式，融入虚拟化等技术，具备统一、共享的特性，可以承载 XX、金宏工程等试点 业务应用。同时为下一阶段进一步开展云计算的 PAAS、SAAS等业务平台应用，进行经验 积累和技术探索。建设内容本项目在充分整合XX数据中心资源的基础上，配置必要软硬件设备，为省直部18 门的信息系统提供统一的基础设施服务， 在IaaS层构建较为完整的XX云计算平台。 建设内容包括以下几部分：硬件设备：刀片服务器、机架式服务器、SAN存储、NAS存储、IP存储、虚拟带库、易购存储控制系统、SAN交换机、路由器、交换机、负载均衡、VPN网关。软件设备：物理服务器和虚拟服

28、务器的操作系统、虚拟化软件、中间件、大型数 据库系统、云计算管理平台。安全系统：防火墙、入侵防御、防毒墙、网页防篡改、身份认证系统、运维安全 审计系统、数据库安全审计系统、漏洞扫描系统。同时采购专业机构提供的云安全服 务等。机房配套设备：UPS、精密空调、标准机架。系统的总体结构设计原则1、 标准化当前阶段云计算整个产业化还不够成熟，相关标准还不完善。网络是云计算的核 心承载平台，为保证多厂商的良好兼容性，避免厂商技术锁定，网络方案的设计应需 要采用标准技术与协议，能够与第三方厂商保持良好的对接。止匕外，为保证方案的前瞻性，设备的选型应充分考虑对云计算相关标准（如 EVB/802.1Qbg,T

29、RILL等）的扩展支持能力，保证良好的先进性，以适应未来的技术 发展。2、高可用为保证数据业务网的核心业务的不中断运行，在网络整体设计和设备配置上均是19按照双备份要求设计的。在网络连接上消除单点故障，提供关键设备的故障切换。关 键设备之间的物理链路采用双路冗余连接，按照负载均衡方式或active-active方式工 作。关键主机可采用双路网卡来增加可靠性。全冗余的方式使系统达到99.999%的电信级可靠性。要求网络具有设备/链中故障毫秒的保护倒换能力。具有良好扩展性，网络建设完毕并网后应可以进行大规模改造，服务器集群、软件功能模块应可以不断扩展。良好的易用性。简化系统结构，降低维护量。对突发

30、数据的吸附，缓解端口拥塞压力，能保证业务的流畅性等。3、增强二层网络云计算环境下，虚拟机迁移与集群是两种典型的应用模型，这两种模型均需要二层网络的支持。随着云计算资源池的不断扩大，二层网络的范围正在逐步扩大，甚至 扩展到多个数据中心内，大规模部暑二层网络则带来一个必然的问题就是二层环路问 题。采用传统STP+VRRP技术部署二层网络时会带来部署复杂、链路利用率低、网 络收敛时间慢等诸多问题，因此网络方案的设计需要重点考虑增强二层网络技术（如 IRF/VSS、TRILL、VPLS等）的应用，以解决传统技术带来的问题。4、虚拟化虚拟资源池化是网络发展的重要趋势， 将可以大大提高资源利用率，降低运营

31、成 本。应有效开展服务器、存储器的虚拟资源池化技术建设，网络设备的虚拟化也应进 行设计实现。服务器、存储器、网络及安全设备应具备虚拟化功能。5、高性能由于云计算网络中的流量模型发生了变化，而随着整个云计算业务的开展，业 务都分布在各个服务器上，流量模型从纵向流量转换成复杂的多维度混合的方式,20 个系统具有较高的吞吐能力和处理能力，系统各层均不存在阻塞，具备对突发流量的 承受能力。6、 开放接口为保证服务器、存储、网络等资源能够被云计算运营平台良好的调度与管理， 要 求系统提供开放的API接口，云计算运营管理平台能够通过 API接口、命令行脚本 实现对设备的配置与策略下发。7、绿色节能节能减排

32、是目前网络建设的重要系统工程之一，从网络机房的整体能耗来看，IT设备约占到30%,空调等制冷系统约占45%, UPS、照明等辅助系统约占25% o所 以作为IT设备的节能，不仅要考虑本身能耗比较低，而且要考虑其热量对空调散热 系统的影响。应采用低能耗的绿色网络设备，采用多种方式降低系统功耗。建设思路云计算是一种新型的计算资源利用模式。它将计算任务分布在大量计算机构成的 资源池上，使各种应用系统能够根据需要获取计算力、存储空间和信息服务。按照服 务实现的程度，目前云计算主要有IaaS、PaaS、SaaS三种业务模式：1）基础架构服务（IaaS）Iaas层是以服务的模式提供虚拟硬件资源，主要是将基

33、础设施资源（计算、存 储、网络带宽等）进行虚拟化和池化管理，便于实现资源的动态分配、再分配和回收。 目前资源池主要分为计算资源池、 存储资源池和网络资源池，同时也包括软件和数据 等内容资源池。在服务提供方面主要以计算资源、 存储资源提供为主，如为业务信息 系统分配虚拟服务器、有储空间，提供应用服务器、数据库管理系统等应用系统运行21 环境。2)应用平台服务(PaaS)PaaS层主要提供应用开发、测试和运行的平台，用户可以基于该平台，进行 应用的快速开发、测试和部署运行，它依托于云计算基础架构，把基础架构资源变成 平台环境提供给用户和应用。为业务信息系统提供软件开发和测试环境，同时可以将 各业务

34、信息系统功能纳入一个集中的 SOA平台上，有效地复用和编排组织内部的应 用服务构件，以便按需组织这些服务构件。典型的如门户网站平台服务，可为用户提 供快速定制开发门户网站提供应用软件平台，用户只需在此平台进行少量的定制开发即可快速部署应用。3)应用软件服务(SaaS)SaaS软件即服务，典型的运用模式就是用户通过标准的WEB浏览器来使用Internet上的软件，因此可以不必购买软件，只需要按需租用软件，直接应用。典型 的如电子邮件系统的在线软件服务，用户只需作简单的域名设置，即可部署本单位的 电子邮件服务。鉴于云计算平台应用需求的提出是一个渐进的过程，云平台建设是一项复杂的系统工程，建议XX云

35、计算平台遵循长期规划、分步实施的原则，本期工程首先实现 IaaS ,后续工程根据应用的实际需求逐步支持 PaaS和SaaS的实现。22总体拓扑结构朋劳请求助操作战势创建和实现终湍用户请求国操作员服务目录 用户请求畀面 用户操作界面IT基站黎构孙立月遑供言/虚就映葭管理设计图1 ： XX云计算平台总体拓扑结构图映俄摩部署映像生命 周期首建根据本期工程的需求和建设目标，XX云计算平台总体逻辑拓扑结构如上图所示。通过链路负载均衡器实现多互联网出口（具体链路供应商待定）链路负载均衡及高可用。任何ISP专线故障，不影响业务系统正常访问；通过智能 DNS系统实现接入用户的就近访问，即电信用户访问互联网接入

36、区走电信链路， 联通用户访问互联网接入区走联通链路。23星枇眠将专业服活!明0服务国泪隔区与9导引也信息安全体系注NTH/牙!5熨汇茎:9呜二、烂寺野盛和殳学阜理林牝咫轴！S&化硬件墓础鳍图2: XX云计算平台云服务分层架构图XX单位XX云计算平台云服务分层架构图如上图所示。整个架构分为三层和两 体系：基础设施服务层（IaaS）、平台服务层（PaaS）、应用软件服务层（SaaS）、信息安 全体系和运营管理体系，其中信息安全体系和运营管理体系有信息安全管理平台和运 营管理平台构成。IAAS及管理、安全体系建设是本次的建设内容，PAAS、SAAS在 后续规划建设。1、基础设施服务层包括硬件基础设施

37、子层、虚拟化 &资源池化子层、资源调度 与管理自动化子层。硬件基础设施子层：包括主机、存储、网络及其他硬件在内的硬件设备，它们是实现云计算的最基础资源；虚拟化&资源池化层：通过虚拟化技术进行整合，形成一个对外提供对资源的池化管理（包括网络池、服务器池、存储池等），同时通过云管理平台，对外提供运行24 环境等基础服务。资源调度与管理自动化子层：在对资源（物理资源和虚拟资源）进行有效监控、 管理的基础上，并且通过对服务模型的抽取，提供弹性计算、负载均衡、动态迁移、 按需供给、自动化部署等功能，它是实现云计算的关键所在。2、平台服务层主要在IaaS之上提供统一的平台化系统软件支撑服务，包括统一身份认

38、证服务、访问控制服务、工作流引擎服务、通用报表、决策支持等。这一层不 同于以往传统方式的平台服务，这些平台服务也要满足云架构的部署方式，通过虚拟化、集群、负载均衡等技术提供云状态服务，可以根据需要随时定制功能及相应的扩 展。3、应用软件服务层，是整个 XX对外提供的终端服务，可以划分为基础服务和 专业服务。基础服务提供统一门户登录、统一通讯等功能，专业服务主要指XXXX的各种业务应用如流动人口管理、GIS系统、行政审批、网上执法等等。它们通过应 用部署模式相底层的稍微变化，都可以在云计算架构下实现灵活的扩展和管理。按需服务是XXXXSaaS应用的核心理念，多租约 SaaS应用可以满足不同政府

39、用户的个性化需求，通过多个租约向用户提供有差别的服务， 通过负载均衡满足大并 发量用户服务访问等。4、云计算平台信息安全管理体系，针对云计算平台建设以高性能高可靠的网络 安全一体化防护体系、虚拟化为技术支撑的安全防护体系、 集中的安全服务中心应对 无边界的安全防护、利用云安全模式加强云端和客户端的关联耦合和采用非技术手段 补充等保障云计算平台的安全。5、运营管理体系：保障云计算平台的正常运行，提供故障管理、计费管理、性 能管理、配置管理、安全管理等等。25信息的分类编码体系信息分类编码体系将遵循政务信息资源目录体系(GB/T21063-2007)及相关业务、技术、数据标准和规范进行标准化建设。

40、.信息分类编码设计遵循的主要原则分类和编码的基本原则遵循 GB/T7027-2002规定，采用混合分类法；分类类目编码使用的罗马字符和阿拉伯数字遵循 GB18030-2000的规定。唯一性原则：编码要唯一识别，不能有二意性，不能重复；标准化原则：尽量采用国际标准、国家标准、部级标准及数字XX”的标准规范；简单化原则：代码要简单明了，易读、易懂、易使用；快捷性原则：有快速识别、快速输入和计算机快速处理的性能；系统性原则：要全面、系统地考虑编码设计的体系结构；扩充原则：可根据实际情况对主题分类进行类目扩充，扩充的类目应分别符合类目的设置规则，分类代码的配置应符合代码结构中的规定，并注意助记性。映射

41、原则：使用中若采用了主题分类以外的其他分类，应建立这些分类的类目表与主题分类的双向映射关系。分类扩展原则：在建立信息资源目录体系时，目录体系中的信息资源分类应采用主题分类，也可根据具体应用情况选择其他分类方法与主题分类共同进行分类，如部门分类、服务分类、资源形态分类等；若采用扩展分类代码，则其分类代码的配置 应符合代码结构中的规定。.信息分类编码框架体系根据实际情况，XX单位XX云计算平台建设项目的信息分类编码体系按信息技26术自身属性进行划分，其体系框架有以下几个分体系:信息分类：包括适用于各种应用系统的开发、 数据库系统的建设和数据交换的 标准；代码结构：采用统一的代码结构，代码编制规则：

42、分类类别用 l位大写罗马字 符表示“武表主题分类；一级类用l位大写罗马字符表示；二级类用l位大写罗马字 符及2位阿拉伯数字表示。术语和技术词江：主要包括与信息化有关的术语标准，XX云计算平台建设过程中遇到的主要名词、术语和技术词汇。项目管理和建设标准：根据国家的有关规定，规范项目系统的管理和运行机制； 制定XX云计算平台建设项目实施及管理的有关规程。系统的管理和运行机制：规范项目系统的管理和运行机制；计算机通信网络：包括计算机通信和网络基础设施建设、技术规范、管理规范 等；信息安全：适用与信息安全有关的信息技术应用系统建设。质量保证体系.系统质量保证体系将遵循 数字XX”的系统设计标准建立质量

43、控制流程；建立系统编制标准；制定系统测试的标准和方法；在每个阶段规范项目工作和改进项目质量。(2),本项目将制定系统设计规范包括程序名、文件名和变量的规范化以及数据27字典等，并要求在实施过程中提供以下技术文档:项目规划与系统实施方案；系统体系架构及描述；系统软件功能设计说明书；系统需求规格说明书；系统概要设计、详细设计说明书；数据库设计说明书；系统代码设计说明书；系统测试方案及测试分析报告；系统软硬件配置说明；系统安装维护手册、用户使用手册;系统软硬件培训资料；系统故障及应急处理预案说明书28第4章.建设方案基于本期XX单位XX云计算平台的建设思路一一搭建基于 IaaS层面的云计算 平台，如

44、何采用云计算技术建立动态的IT资源平台，并使之具备快速IT服务交付能 力，进而通过动态的IT架构来应对有关省直单位 XX业务发展的需要；将应用和业 务从底层的IT资源中分离出来，提高系统的可移植性，并能够充分利用更加优化的 系统和网络资源以提高效率、降低整体成本是本期建设方案需要重点解决的问题。为此，我们建议以XX应用系统为顶层架构来搭建 XX单位XX云计算资源池, 它是由计算资源池、存储资源池、网络资源池、XX应用程序以及运营管理平台共同其组成框架如下组成，运营管理平台负责对资源池和应用进行管理调度及告警监控。图所示。电子政杏应用系统运营管理平台计1工P资源虚概机物理机NAr/Firewal

45、l图3:资源池组成框架图以下针对XX云计算资源池的各组成部分分别进行具体阐述29网络资源池组网物理拓扑图XXXX云计算平台组网物理拓扑如下图所示:Internet4动附电信专瞥 200Mpb3图4: XX云计算平台组网物理拓扑图本工程新增3根移动专线接入，单根200Mpbs带宽。一根为XX互联网接入区对外提供服务用，一根用于 VPN专线，一根用于XX办公人员访问互联网使用。整个云计算平台在组网设计上满足双网双平面结构，从网络接口、网络链路到关键网络设备均配置冗余部件。在网络接口上每台物理服务器至少配置 3张网卡，分别用于业务服务、虚拟化平台宿主机管理、IP存储系统互联。业务服务网络根据业务 属

46、性不同，通过MPLS VPN划分为公用网络区、互联网接入区、专用网络区。虚拟30化计算资源可以在不同的网络区域中自由迁移在汇聚层旁挂防火墙、隔离网闸、运维审计、数据库审计系统等安全设备。其中 防火墙用于实现同一网络区域中不同业务系统的之间的安全隔离；隔离网闸用于在 MPLS VPN隔离的不同网络区域之间进行安全数据交换，同时用于XX和XX之间的数据安全交换。网络负载均衡设计网络负载均衡分链路负载均衡和本地负载均衡，总体逻辑示意图如下图所示:Internet电信用户访问政若外网应用系统政岫卜网办公人员移动用F访问图5:网络负载均衡示意图,链路负载均衡设计如上图所示，将移动互联网专线和电信互联网专

47、线接入链路负载均衡器，链路负31载均衡器通过对所有Internet链路进行流量路由和控制带宽服务水平实现多互联网接入的高可用性。链路负载均衡器将多条互联网线路进行虚拟化处理， 保障用户从最 好的线路访问内外部资源。任意一条ISP线路中断，都不会对服务造成任何影响。通 过链路负载均衡器可实现ISP接入线路的无缝扩展。OutBound流量负载均衡XX办公人员访问互联网的流量到达链路负载均衡器时，将通过链路负载均衡器多 种链路状态检测结果选择最佳出口链路，提升用户体验。InBound流量负载均衡为使移动用户和电信用户通过不同互联网链路访问互联网接入区应用系统， 链路 负载均衡器的智能DNS解析功能将

48、不同用户访问的域名解析成不同的公网 IP地址， 加速应用访问，提升用户体验。1.2.2,本地负载均衡设计本工程新增本地负载均衡器两台，旁挂于汇聚交换机。实现对服务器的负载均衡。本地负载均衡器可以保障内部资源的容错性，内部任何一个应用节点出现问题都不会对用户造成任何的影响，本地负载均衡器能够自动的屏蔽有问题的应用节点，让其停止对外服务，同时把该故障节点上的用户迁移到其他正常的节点上去。汇聚层本地负载均衡器可以虚拟成为多个设备，满足XX不同分区的安全隔离要求。XX业务系统以B/S架构为主，目前的WEB应用都包含了大量的图片，javascript , CSS文件等，这些文件的重复传输不但给服务器造成

49、了压力，同时也使得用户的体验受到了影响。本地负载均衡器通过HTTP压缩的方式来节省带宽以及提高访问速32度。通过静态文件和动态文件的cache .文件压缩，浏览器端文件cache控制等优化 技术，来提供对WEB应用进行加速，提高用户访问速度。使用本地负载均衡器开放 的API接口可以实现和云计算管理平台的集成。网络虚拟化设计云计算对传统网络的挑战传统的网络规划设计依据高可靠思路，形成了冗余复杂的网状网结构，结构化网 状网的物理拓扑在保持高可靠、故障容错、提升性能上有着极好的优势，是通用设计 规则。云计算的大规模运营，给传统网络架构和传统应用部署都带来了挑战，新一代网络支撑这种巨型的计算服务，不论

50、是技术革新还是架构变化，都需要服务于云计算 的核心要求，动态、弹性、灵活，并实现网络部署的简捷化。具体来说传统网络面临 的挑战主要有以下几点：一一传统网络的复杂性在实际的运维中，管理人员承担了极其繁冗的工作量；一一云计算平台下多虚拟机部署在同一台物理服务器上运，服务器的利用率从20%提高到80%,服务器端口流量大幅提升，对网络性能提出更高要求；一一云计算平台中，虚拟机在物理服务器之间进行迁移， 为了避免虚拟机迁移后 路由的震荡和修改网络规划，迁移通常只在在二层域进行，因此云计算平台需要具备 一个性能更高、二层域更大的网络环境为迁移提供保障。通过分析云计算对传统网络基础架构带来的挑战，我们可以从

51、两个方面来应对。一是通过构建高性能、高可靠的网络，从而满足云计算给网络带来的压力；二是通过 构建虚拟化网络来满足云计算中由于虚拟机部署、迁移、以及安全策略实施对网络提 出的灵活性、安全性的要求。33总的来说，为满足云计算的业务要求，统一的基础网络要素必然包括：高性能交 换、虚拟化应用、透明化交换高性能二层网络为提供一个性能更高、二层域更大的网络环境，本工程新增核心交换机和汇聚交 换机通过交换机虚拟化技术（华三IRF2、思科VSS）分别虚拟成一台逻辑设备，减 少了设备节点，简化了配置。通过跨设备链路聚合技术取代传统部署方式中的 STP+VRRP协议，使网络拓扑变得简洁，具备更强的扩展性；同时，其

52、毫秒级的故 障收敛时间，为虚拟机迁移提供了更加宽松的实现环境。核心井口!奥帆核心，汇聚妇蝴接入交换机接入交换机图6:交换机横向虚拟化经过二层透明化改造后，云计算平台的汇聚接入层是一个透明二层网络。不同业务（虚拟服务器）接入不同的二层 VLAN,但同一个业务（虚拟服务器）可以在不同 网络分区里灵活部署与迁移，满足了云计算的要求；同时，汇聚层以上进行的是 VPN 标签交换与路由转发，又保证了不同业务（虚拟服务器）的安全隔离。34网络服务虚拟化为满足不同XX分区的安全隔离要求，本项目在云计算平台的汇聚层部署有汇聚 交换机、防火墙、IPS、负载均衡器等设备。传统网络下，将为不同分区单独配置一 套安全设

53、备，设备利用率低，运维管理复杂。在云计算平台下，通过网络服务虚拟化, 统一建设一套性能强大、可扩展性良好的网络服务设备，满足为不同分区提供安全、 应用加速等服务。负载均衡 虚拟化IPS/IDS用拟化防火端 虚拟化物理设备分区1 分区2 分区3安全审计虚推化图7: 1: N网络虚拟化技术汇聚层交换机也通过虚拟化技术多实例，每个模拟出的交换机都拥有它自身的软 件进程、专用硬件资源（接口）和独立的管理环境，可以实现独立的安全管理界限划 分和故障隔离域。有助于将分立网络整合为一个通用基础设施， 保留物理上独立的网 络的管理界限划分和故障隔离特性，并提供单一基础设施所拥有的多种运营成本优 势。如下图所示

54、：35物理端口看睇不同的啜拟交控机.并且不同虚拟交换机之间不能共享端口I交换机A i 132 Port10GE Module虚拟 交检机C虚拟交换机D图8:交换机纵向虚拟化虚拟交换机技术VMwareVMware分布式虚拟交换机功能满足网络分区条件下，虚拟主机在线迁移等功能时，保证业务网络的持续性。虚拟交换机是构成虚拟平台网络的关键角色，VMware虚拟化通过 VMwarevNetwork Distributed Switch ,使虚拟机跨多个主机移动时始终处于同一个VLAN内,它为虚拟机在物理服务器之间移动时监视和保持其安全性提供了一个框架。VMwarevNetwork Distributed

55、 Switch 示意图如下所示:VMware vSphereVMware vSphere图 9 : VMware vNetwork Distributed Switch 示意图36在多网络分区环境时，VMware通过虚拟交换机的VLAN TRUNK ,当一个端口启用了 TRUNK功能后，就具备端口聚合的功效，会自动检测流向此端口的所有流量， 并把不同VLAN的流量导向物理交换机上相应的 VLAN中。在一台ESX主机上由多 个千兆网卡绑定在一起（组合成vSw让ch）提供VM对外通讯的流量，并与物理交换机 上的多个启用了 TRUNK功能的端口相连接。止匕时 VMs分别在VLAN 1、VLAN2、V

56、LAN3上，同时在物理交换机上也有同样 ID的VLAN。那么，在VLAN1中的虚拟 机，就可以和与物理交换机上 VLAN1中的端口相连的机器相互通讯。同时实现虚拟 化服务器在多网络分区间的动态迁移。XEN通过将OPEN vSwitch （开放虚拟交换标准）作为其默认组件，自xenserver5.6 FPI就实现对虚拟交换机的支持，而且自 verxenserver5.6 SP2 开 始也实现了分布式的虚拟交换机功能。Xen-Motion是Citrix Xenserver的动态迁移技术，当然，该系列4款虚拟化 产品中，目前只有最高等级的白金版和企业版才具备这项功能，至于标准版及完 全免费的Expr

57、ess精简版则无此项能力。不但是C ITRIX旗下的虚拟化产品，其他基于Xen技术开发出来的虚拟化产 品，例如Virtual Iron ,也具备相似的动态迁移功能 LiveMigrate ,除了免费提供 的个人版之外，需要付款购买的企业版及企业加强版具有内置该项功能。IP地址及DNS规划XXXX云计算平台新增两个独立网段，一个用于云平台及虚拟机宿主机之间 通信，一个用于云计算平台内IP存储系统网互联；业务系统的IP地址和NDS37规划，沿用当前XX统一规划。具体参考实施意见XXXXIP地址规划及管理规 范和XX政府外网DNS及设备命名规范。IP地址规划原则XX单位XXIP地址规划遵从国信办和国

58、家外网工程办有关规定和指导意见。 XXIP直至规划原则包括：IP地址规划主要涉及到网络资源利用的方便有限的管理网络的问题，公有地址相对紧张的情况下，合理有效的利用IP地址成为IP地址规划的主要问题，合 理的IP地址规划是有利于网络管理的；IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于外网广域骨干网IP地址的分配应该采用国家XX工程办分配的合法地址空间，充分 考虑到地址空间的合理利用，保证实现最佳的网络内地址分配及业务流量的均匀 分布；IP地址的规划和划分应该考虑到网络的后续规模和业务上的发展，能够满足未来发展的需要；既要满足本期工程对IP地址的需求，同时要充分考虑未来的业务

59、发展，预留相应的地址段；IP地址的分配需要有足够灵活性，能满足各种用户接入需要；地址分配是有 业务驱动，按照业务量的大小分配各地的地址段；IP地址的分配必须采用VLSM（变长掩码）技术，保证IP地址的利用效率；采用CIDR技术，这样可以减小路由器路由表的大小，加快路由的收敛速度， 也可以减小网络广播的路由信息的大小；充分合理利用已申请的地址空间，提高地址的利用效率;38IP地址的规划应该是XX广域骨干整体规划的一部分，即IP地址规划要和网 络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能 和网络层次相对应，应该是自顶向下的一种规划。IP地址规划总体规划根据国家外网工程办

60、的规定，XXXX云平台的公用网络区使用国家申请的IP 地址范围为：XXXXXX。互联网区供互联网访问的设备的IP目前有省电信、省移动提供外 网地址， 数量考虑上留有余地。互联网区 XX移动提供有3根互联网专线，每条专线提供 一个C类外网IP地址段，共3个C类地址段供本平台使用。XX单位XX横向需要互联各个政府部门，纵向需要打通省，设区市、县、 乡镇（街道）四级部门单位，在外网地址规划中，使用综合地址规划方案，采用 公有地址和私有地址双轨并行的办法，在公有地址不够时，允许采用私有地址作 为部门单位的XX业务地址。XX承载三种不同的网络业务，为了最大程度地减少不同网络业务区IP地址空间的重叠，XX