级电子政务云计算中心-建设服务方案V1

1、省级电子政务云计算中心建设服务方案 目 录 TOC o 1-3 h z u HYPERLINK l _Toc524552045 第1章 建设目标、范围、任务 建设目标、范围、任务建设目标以国务院办公厅关于促进电子政务协调发展的指导意见为指导，统筹推进省电子政务基础设施提升、电子政务业务系统协同发展、信息资源共享共用和数据开放利用；按照湘府阅201553号文件要求，以资源整合、集约建设、稳步推进为原则，建成安全可靠、统一高效、国内领先的云计算平台并开展示范应用，为全省各级部门提供弹性的云计算和云存储能力、政务外网承载服务与应用能力，基本满足省直部门“十三五”期间非涉密业务的统一网络、计算资源、存

2、储资源、数据库服务、备份服务、安全服务等需求，提升政府效能，促进政府管理创新，达到简政、兴业、惠民的目标。建设范围省级电子政务外网主要满足各级政府部门社会管理、公共服务等方 面的需求，为各省直部门的非涉密电子政务业务提供承载服务。本次建设省级电子政务外网统一云平台，总体框架为“1+2+N”， 即“1网、2中心、N多应用云”，省本级政务大数据中心，初步形成“8+3+5”的基本框架。具体业务目标主要包括： “一个网络”优化升级电子政务外网平台，满足省直部门间以及省 到市、市到县网络传输和承载的需求； “两个中心”建设云计算中心、大数据中心，满足省直部门十三五期间非涉密业务需求，为政府领导提供科学、

3、合理的决策支持。 “N 朵应用云”建设基于云平台的 N 个全省性应用系统，包括政务 服务、政务管理、政务行业、政务决策和政务办公等领域。 “8大基础数据库、主题数据库”完成人口、法人、宏观、地理空间、政务服务信息、工商企业、信用信息、电子证照等8大基础数据库、主题数据库的建设、迁移、备份共享； “3大平台”完成大数据智能分析平台、数据交换和共享平台、数据开放平台3大平台； “5大示范工程”完成全省旅游大数据分析、12345服务平台、区域经济脸谱大数据分析、省互联网产业发展状况分析、省政府网站群智能监测分析5大示范工程；建设建设统一的安全体系；建设统一运维管理机制；设计迁移策略，完成部分系统的迁

4、移；明确云平台建设、管理、运营模式，节约投资，提升服务质量。建设任务充分考虑省级电子政务外网统一云平台计算、存储资源需求的阶段性和应用系统建设的复杂性，为了保证投资的有效使用，采用分期建设的原则。（一）第一期2016年1完成省电子政务外网的升级改造；2建设40%的计算、存储资源；3启动大数据中心建设；4启动N朵云建设。（二）第二期2017年1建设60%的计算、存储资源；2完成灾备中心建设；3完成大数据中心建设；4完成N朵应用云的部分建设。（三）第三期2018年-2020年1全面完成N应用朵云建设。其中，本期云平台基础设施部分的建设任务具体包括以下：完成省电子政务外网升级改造（含安全平台）；建设

5、主数据中心、同城双活数据中心40%的计算、存储资源，数据交换和共享平台；建设政府协同办公平台、政务安全邮箱；提供省政府门户网站群五年的运维服务；提供统一的运维管理服务（五年），确保本期建设的政务外网、安全体系、云计算中心安全稳定运行。省级云计算中心方案整体架构 （图示：数据中心架构设计）湖南政务云数据中心采用标准化、开放和高扩展的云计算架构，支撑省政府各部门的政务外网、互联网等多种不同业务服务。（1）网络资源设计：网络采用扁平化二层架构，分为核心层和接入层，提高性能，减少时延；网络大二层部署，保证虚拟机在资源池内部的热迁移能力；核心交换机旁挂负载均衡器，提供负载均衡增值服务；防火墙支持虚拟防火

6、墙能力，实现业务系统之间的安全隔离。外网服务区与互联网服务区之间网络通过部署数据交换平台实现不同业务域之间的安全隔离。（2）计算资源设计：采用标准化的X86物理服务器，构建计算资源池。采用OpenStack开放架构，支持Xen、KVM等主流虚拟化平台。X86服务器根据业务系统对资源的不同需求，配置不同的产品型号及物理配置，划分高性能计算区、通用性能计算区，分别作为虚拟化资源和物理机资源。（3）存储资源设计：多样化存储部署，满足不同业务系统的需求，降低存储的投资成本。对于数据库、VM文件系统采用FC SAN进行承载；对于非结构化数据、虚拟化镜像等数据存储，建议采用分布式文件系统存储承载，保障存储

7、性能和扩容能力。（4）业务云化设计：根据各政府部门业务对云资源的不同需求，以及业务云化的难度，分批逐步的将现网业务系统迁移至云服务商政务云，实现更多政务业务的云化。（5）云管理平台设计： 构建统一云管理平台，通过对政务云基础资源的抽象和资源池化，提供自助式的IaaS、PaaS、SaaS服务。政府客户可通过云管理平台统一门户自助申请云服务，并进行灵活的管理。同时，云管理平台也负责对政务云所有基础资源进行统一的运维管理。虚拟化计算资源池方案弹性设计原则弹性是指整个云平台是否可以承载较大波动的负载，以及是否容易实现更高负载的扩容。同时，根据需要从建设到使用，多个方面满足弹性的要求。设计原则本次设计方

8、案中，云平台的弹性部分，需要满足以下三个方面：按需建设按需建设是指，该云平台需要有良好的架构和足够的扩展性，在初次建设时，根据当前实际的业务需要，以较合理的成本，建设符合本期负载的云平台，而无需提前考虑后续多期，提前预留。本次云平台中，虚拟化集群，数据库集群，存储集群都应满足按需建设要求。按需扩展在按需建设的前提下，随着业务负载的变化，整个云平台可以按需进行扩展，扩展的过程在线进行，采用增加节点的方式横向扩展，对性能与容量都要求能够线性扩展。整个扩展过程需要在线完成，对应用透明，且对现有运行的系统，不产生影响，服务不中断。本次云平台中，虚拟化集群，数据库集群，存储集群都应满足按需建设要求。弹性

9、资源云平台在运行的过程中，可以根据负载策略进行资源的弹性调整。支持管理员指定相关阈值，当系统负载到达某阈值的时候，动态的触发相应的动作，如增加或者回收相关资源。弹性资源调整动作对上层应用透明。本次云平台中，虚拟化集群、数据库集群、存储集群都应满足资源动态调整的要求。计算场景设计方案物理服务器物理服务器是传统数据中心使用的计算系统，它能够很好的将系统软件的性能表现出来。以下介绍物理服务器在相关场景的具体应用场景。下表将按照应用的类型，同时针对对应的业务场景进行描述。应用资源需求及业务场景分析应用类型应用需求CPU需求内存需求常见业务场景推荐服务器类型通用管理应用系统通用类型LL一般基础管理系统（

10、WEB、检索引擎、DNS、DHCP、AD、FTP、FileServer）二路工具类应用系统工具类型LL基本的工具类应用系统（如打印控制、报表、OCR、流媒体、网页抓取、）二路大访问量应用系统浏览密集型HH政府门户网站、气象查询系统、WEB中间件服务器等四路大数据量应用系统大IO小数据量MH联机处理数据库二路小IO大数据量MM数据仓库分析二路访问读密集型MH影视播放网站二路计算密集型HH高性能计算集群数据库应用服务器数字城管GIS地理信息系统等图像渲染四路访问写密集型HH流媒体数据库数据仓库四路其他特殊需求HH数据库中间件一体机或小型机说明：H：高；M：中；L：低。其他：此种为用户的特殊需求，主

11、要从三个方面体现。继承性：是用户系统需要升级，而在升级同时考虑利旧因此使用一体机或小型机部署；用户指定：用户的大部分业务系统的核心应用服务器均采用一体机或小型机，因此在新建业务系统时，考虑到技术人员对Unix服务器的熟练程度、稳定性等方面要求还比较高，也会选用一体机或小型机；计算能力：针对一些电子政务数据中心，通过TPC的计算得出的TPMC值，只有一体机或小型机能够达到要求，因此选用一体机或小型机。虚拟化对于不同业务的服务器需求，首先需要判断该业务服务器是否能够采用虚拟化方案，不能虚拟化的则需要采用满足实际需求的服务器进行配置，其他的则建议统一采用虚拟化方式，根据采集或预估的计算资源需要采用相

12、应配置的虚拟机来满足该需求。下列条件下，建议直接使用物理机来满足业务对计算资源的需要：对服务器运算性能要求特别高，在单个物理服务器上配置最大计算能力的虚拟机依然不能满足业务应用的计算能力要求；对显卡处理能力要求特别高的业务应用；现有软件许可加密方式不支持虚拟化的场景；业务应用对服务器有特别板卡要求且板卡不支持在虚拟化环境中运行。根据业务应用的特点，对应用的虚拟化建议如表所示：虚拟化适应性分析应用类型应用需求CPU需求内存需求网络带宽需求存储空间需求存储IO需求存储带宽需求虚拟化适应性通用管理应用系统通用类型LLLLLL适合大计算量应用系统计算密集型HHMLMM适合大访问量应用系统浏览密集型HH

13、HMML适合大数据量应用系统大IO小数据量MHMMHM一般不建议小IO大数据量MMHHMH适合访问写密集型HHHHMH一般不建议访问读密集型MHHHMH适合说明：H：高；M：中；L：低。对应用虚拟化的适应性也可以采用当前主流的应用分层（Web服务器、App服务器、DB服务器）来进行考虑，通常情况下虚拟化比较适合Web服务器和App服务器，DB服务器需要根据业务应用对存储I/O的需求来评估，如果业务应用的DB服务器I/O要求大或DB服务器有HA或集群需要，建议将该种业务应用的DB服务器部署在物理服务器上。根据服务器功能分类和业务应用的性能需求，经过评估业务应用可以虚拟化后，就可以分别选择不同的虚

14、拟机规格类型。省级各厅局业务系统均存在大量对性能要求较低的业务系统，适合虚拟化部署场景。经过对13个重点厅局55个应用系统的调研，其中明确有迁移需求的应用系统有29个，占全部调研系统的60%。“十三五”期间，省直部门拟新建的系统64个全部部署到云平台，新建应用系统尽量共用、复用云平台中的应用中间件和数据库。如下典型应用系统可虚拟化部署。厅局业务系统名称部署方式规格需求省安监局省职业卫生监管系统虚拟机部署6个系统共需64vcpu，512G内存，40TB存储，电子政务外网2000M，互联网200M省安全监管基础业务平台虚拟机部署省应急救援指挥平台和在线动态监管系统虚拟机部署省安全生产行政许可、审批

15、（备案）管理系统虚拟机部署省安全培训考试系统虚拟机部署省档案局馆藏档案资源管理系统虚拟机部署2台应用服务器，4台数据库服务器，2台备份服务器电子文件接收和长期保存系统虚拟机部署2台应用服务器，4台数据库服务器，2台备份服务器全省档案数据集中共享利用和备份系统虚拟机部署2台应用服务器，4台数据库服务器，2台备份服务器省金融办协同办公子平台虚拟机部署8核 32G，千兆光纤省人社厅全省公共就业信息系统虚拟机部署32核CPU，256GB内存，43TB存储省机关事业单位养老保险信息系统虚拟机部署8核 32G省住建厅省城镇个人住房信息系统虚拟机部署预计市县部署一台前置机和服务器，网络带宽10兆，省厅机房扩

16、容虚拟化技术选型虚拟化技术是云计算底层核心技术之一，它是将各种计算和存储资源充分整合和高效利用的关键技术。虚拟化技术能够形成低成本、高可用、高安全、高扩展性及有弹性的资源池来服务于各种云运算平台的需求。目前市场上主流的虚拟化厂商和产品有Vmware vSphere、微软Hyper-V、Citrix XenServer、华为FusionSphere、中兴ZXCLOUD和浪潮云海OS。xen和kvm是开源免费的虚拟化软件；vmware是付费的虚拟化软件；hyper-v是微软windows2008R2附带的虚拟化组件，如果买了足够的授权，hyper-v（包括hyper-v2008core）都可以免费

17、使用。如果是vmware或hyper-v虚拟windows系统，不管是虚拟化软件本身，还是其中的子系统，都要支付许可费用。如果是vmware或hyper-v虚拟linux，虚拟化软件本身要支付许可费用，子系统可以用linux来节省成本。如果是xen或kvm虚拟windows，其中的子系统要支付许可费用。如果是xen或kvm虚拟linux，那么虚拟化软件本身和其中的子系统无需产生任何费用。从性能上来讲，虚拟windows，如果能得到厂商的支持，那么性能优化可以不用担心，这几款软件全都能达到主系统至少80%以上的性能（磁盘、CPU、网络、内存），使用hyper-v来虚拟windows，微软自身的产

18、品，虚拟windows是绝对有优势的。如果是虚拟linux，一是推荐xen，支持linux的半虚拟化，可以直接使用主系统的cpu和磁盘及网络资源，达到较少的虚拟化调度操作，可以达到非常高的性能，但xen操作复杂，维护成本较高；二是推荐kvm来虚拟linux，linux本身支持kvm的virtio技术，可以达到少量的虚拟化调度操作，得到较高的系统性能。不推荐使用hyper-v来虚拟linux，太多的不兼容性导致linux基本无法在hyper-v上运行。综上所述，虚拟化技术选型原则为：在有授权的情况下，虚拟windows，建议使用hyper-v；在有授权的情况下，虚拟linux，建议使用xen，考

19、虑到需要降低管理维护成本，建议使用kvm；在没有授权的情况下，虚拟windows，建议使用KVM。根据以上对比说明和选型原则，本次省电子政务云平台的建设建议采用基于KVM或者XEN虚拟化技术进行定制化开发的方案。资源池架构设计方案虚拟化云计算平台是在单台物理机虚拟化的基础上增加集群的模式，将加入集群的众多物理机进行资源池化，通过hypervisor管理统一调度，实现业务运行环境的快速部署、运行资源大小的及时动态调整、运行环境的在线快照和归档环境的快速恢复等功能。虚拟化云计算主要适用于要求资源相对较少且规格种类多、使用虚拟化可以重新分配调度资源的环境，便于资源的合理、充分利用，也便于后期业务扩展

20、所需的资源动态调整。本方案计算资源池分为外部数据中心与内部数据中心：外部数据中心包括：数据库单独建池，采用FCSAN磁阵集中互连；虚拟化服务通过分布式存储系统创建虚拟化服务器资源池；其他的物理服务器创建物理资源池；内部数据中心包括：数据库单独建池，采用FCSAN磁阵集中互连；虚拟化服务通过分布式存储系统创建虚拟化服务器资源池；其他的物理服务器创建物理资源池；另创建Hadoop服务器资源池。本次方案设计的虚拟化云计算平台构造如下图所示：虚拟化架构设计方案示意图1“两朵云”虚拟化：根据“两朵云”的设计要求，本次虚拟化平台可分成了2个子平台，每个子平台都是一个虚拟化集群。两朵云统一管理，逻辑隔离，满

21、足数据安全保障的需求。2虚拟化冗余：虚拟化平台需要实现多层冗余，排除单点故障。3虚机实机结合：除了对虚拟机进行管理外，结合实际情况，对部分不进行虚拟化的物理机也需要统一的管理调度。例如：有些部门的系统，资源开销需求大，需要配置较好物理机，而该应用在物理机上负载就已经很高，因此本着不影响性能，且资源合理使用的原则，此类应用的物理机不再进行虚拟化切分。4按需弹性调整：虚拟化云计算平台根据物理设备资源的利用情况，合理的进行虚拟资源的启用与休眠，在保证系统性能的同时，最大限度的降低整个系统的能耗。动态调整物理资源的使用率，使得管理员可以通过监控不同时期不同系统的负载情况，可以动态的进行资源的分配，确保

22、所有的资源都得到最合理、最有效的利用。以服务为单位，通过监控服务负载状况，动态的进行资源调整：在整个服务处于高负载状况下，从弹性池中分配空闲的计算资源给对应的服务；在服务处于空闲状态时，回收相应的资源到资源池中，降低能耗。5多租户：需要考虑接入的各个省直部门相互独立、各自管理的需求，因此虚拟化平台应能够实现多租户，将同一个虚拟化平台虚拟成为多个按部门划分的虚拟数据中心，按需分配给各省直部门使用。资源池功能设计分类原则对于关系型数据库采用数据库集群，搭建数据库资源池；对于要求资源相对较少且规格种类多、使用虚拟化可以重新分配调度资源的环境，便于资源的合理、充分利用，也便于后期业务扩展所需的资源动态

23、调整，搭建分布式虚拟化服务器资源池；对于有些部门的系统，资源开销需求大，需要配置较好物理机，而该应用在物理机上负载就已经很高，因此本着不影响性能且资源合理使用的原则，搭建物理服务器资源池；对于存储较大的文件及结构简单但数据量庞大数据，采用基于 Hadoop 的平台进行大数据存储，搭建Hadoop服务器资源池。资源池功能分类设计资源池类别数据库服务器资源池分布式虚拟化服务器资源池物理服务器资源池Hadoop服务器资源池适用场景关系型数据库要求资源相对较少且规格种类多、使用虚拟化可以重新分配调度资源的环境，便于资源的合理、充分利用，也便于后期业务扩展所需的资源动态调整资源开销需求大，需要配置较好物

24、理机，而该应用在物理机上负载就已经很高，因此本着不影响性能且资源合理使用的原则存储较大的文件及结构简单但数据量庞大数据，采用基于 Hadoop 的平台进行大数据存储机房搭建位置外部数据中心；内部数据中心外部数据中心；内部数据中心外部数据中心；内部数据中心内部数据中心计算容量设计本次需求调研共抽样调研13个省直属部门（分别是统计局、卫计委、教育厅、国土厅、工商局、财政厅、住建厅、人社厅、质监局、地税局、交通厅、民政厅、旅游局），调研系统55个，能够迁移到云平台的系统共29个，省共有46个省直部门，本次抽样调研13个省直部门，比率约为四分之一，全部迁移的系统约为29*4=116套。据前期需求调研统

25、计各直属单位拟新建应用系统64套，示范工程和省级应用系统10个。因此云平台全部部署的系统约为116+64+10200套。根据当前统计的各业务系统的服务器的CPU总核数进行评估。以服务器总核数与均值利用率（按照40%计算）的乘积估算该业务运行时平均占用服务器CPU的核数，并按照均值是峰值的75%估算该业务系统运行时占用服务器CPU核数的峰值；这样，得到业务系统的CPU核数占用峰值后，按照该业务系统虚拟机的总核数为峰值核数的1.25倍进行设置（即峰值核数是虚拟机总核数的80%）。由上述算法，目前厅局单业务系统平均虚拟机CPU估算值为45vCPU。单业务系统计算能力需求按照每年增长20%，至2020

26、年，单业务系统平均虚拟机CPU估算值为113vCPU，云平台部署系统200套，即云平台计算资源为22619vCPU。由于虚拟机总核数不超过服务器总核数的1.5倍（即Core：vCPU=2:3），因此搭建政务云共计需要CPU资源：226191.515080Core。第一期建设40%计算资源，共计15080*40%6000 Core。计算资源设计方案云计算主机云管理平台通过云计算主机服务向用户提供标准的原子化虚拟机业务，管理员可以将虚拟化平台的虚拟资源定义成服务目录供用户申请使用。用户可以根据自己的需要选择镜像类型、虚拟机规格。在服务目录定义时，管理员可以自定义镜像，指定服务参数，如CPU个数、内

27、存大小、磁盘大小、网卡个数。同时，虚拟机服务也支持QOS参数定义，Qos参数包括：CPU、内存的预留值和权重，管理员可以根据虚拟机的Qos参数定义出不同SLA等级的虚拟机服务以满足不同SLA要求的业务需要。用户在自助门户中，可以按自己的要求选择申请对应镜像类型、规格、数量等参数。用户自己申请的虚拟机可以进行自助管理，包括：查看已申请的虚拟信息：云主机名称、描述、资源配置、操作系统、公网/私网IP地址、申请时间、云主机运行状态等等。对虚拟机进行操作管理：启动、停止、重启、暂停、恢复。虚拟机使用：结合弹性IP功能，用户可以实现对虚拟机登录（Windows：RDP、Linux：SSH）或者通过浏览器

28、从VNC的方式登录。查看VM计量数据，开关机时长。查看单个VM实时性能情况, 包括CPU, MEM占用率, 磁盘IO, 网络速率等对于不再使用的虚拟机，用户可以在自助门户中释放，释放以后，系统将释放虚拟机所使用的资源。数据将不再保留。虚拟化热迁移云平台可提供基于共享存储的迁移以便满足数据中心虚拟化项目的业务连续性要求。虚拟机热迁移特性是指在使用同一共享存储的主机之间将处于运行态的虚拟机由当前所在的主机迁移到另一台主机上，在迁移的过程中不影响用户对虚拟机的使用。在对主机进行维护操作前将该主机上的虚拟机迁移到其他主机上，然后再作维护，可以降低因主机维护造成的用户业务中断。通过将繁忙的主机上的虚拟机

29、迁移到空闲的主机上，可以提升虚拟机用户的感受，并使全局业务均衡。通过将空闲主机上的虚拟机聚拢到几台主机上，然后将没有负载的主机关闭，可以降低数据中心的电能消耗。存储热迁移在虚拟机正常运行时，通过管理员手动操作，将虚拟机的卷迁移至其他存储单元中，可以在云管理下的同一个存储设备内、或不同存储设备间进行在线迁移。存储迁移带宽可控，避免对正常业务产生影响，支持跨集群迁移。存储热迁移技术便于对现有存储系统的扩容、减容，便于存储系统的更新换代。虚拟化安全隔离云服务平台上的运行了多个业务应用，为了满足各单位应用之间的相互隔离，互相不影响。云平台通过虚拟化隔离、VLAN网络划分、安全组隔离手段保障计算、存储、

30、管理、接入等域的安全隔离。云平台提供包括CPU调度、内存、内部网络隔离和磁盘I/O、虚机存储的安全隔离。虚拟机快照备份技术云平台自带虚拟机快照备份系统，不需要与第三方的备份软件结合，也不需要额外费用，备份系统就可以对虚机卷（包括系统卷和/或数据卷）数据进行备份。备份过程不需要终端用户参与，也不需要在VM里安装代理，且不影响生产系统的运行。当生产系统由于意外丢失VM卷数据时，系统管理员可以通过本地备份系统恢复VM卷数据，以保证VM能继续正常工作。管理员接入备份管理系统可以进行选择虚拟机、或虚拟机的某个卷进行备份，灵活设置备份策略，备份起始时间、配置全量备份和增量备份的周期。管理员可以根据备份文件

31、恢复虚机，可以从存储读取快照文件恢复虚拟机。管理员可以选择恢复到原有虚机、或者新虚机、或者其它虚机。应用自动化部署提供基于可视化的模板设计工具，可以快速实现应用模板的制作与部署。模板制作虚拟机模板：管理员可以制作不同的虚拟机模板，自定义操作系统、规格、虚拟机上的软件。应用模板：管理员通过应用模板来发布应用，可以使用应用模板设计工具，通过简单的拖拽方式快速地设计出满足公安用户需求的应用模板。应用自动化部署提供用户自助门户访问应用模板目录，一键式快速创建应用以及查看应用的部署报告和创建进度。用户通过自助门户访问服务模板目录，根据应用需求选择相应的应用模板，配置应用网络以及选择应用的管理员，快速部署

32、应用。在应用部署过程中，用户可以查看应用部署报告和实时进度。图形化拖拽业务模板设计:通过所见即所得的方式设计业务部署模板，极大的降低了业务部署设计难度 全自动的业务部署/卸载模式: 一键式业务部署，可以快速实现警务云IT服务发放及资源回收。基于策略的资源弹性伸缩：通过弹性伸缩组和伸缩策略，实现应用资源的自动弹性伸缩，提高IT对业务的响应能力。开放API和SDK系统提供支持多语言的SDK包和灵活的API接口，供用户进行二次开发。开放SDK提供多语言SDK包，供客户进行二次开发，支持JAVA和Python两种开发语言。同时提供SDK接口文档、二次开发指南和开发样例，为客户顺利进行二次开发提供指导。

33、开发API系统提供开放API，上层网管通过开放API从中获取资源信息，方便上层网管管理员对系统进行管理和维护。上层网管通过http和https协议与开放API互通。开放API和上层网管对接使用用户名和密码进行认证。为了保证密码传输安全性，系统对密码采用RSA2048非对称加密。通过开放API接口，上层网管管理员可方便获取系统的运行监控数据。例如，实时和历史告警数据、资源的实时和历史监控数据等。可方便获取系统的资源信息。例如，集群资源、服务器资源、交换机资源和虚拟机资源等。通过开放API接口，上层网管管理员可对系统资源进行维护操作。例如，对虚拟机进行启动、停止、重启等操作；对服务器进行上电、下电

34、、重启等操作。虚拟化平台设计要求统一虚拟化平台是省政务云平台的核心组成部分，通过云计算虚拟化技术将存储、网络连接和计算虚拟化有机地结合到一起，使整个IT环境比单独的物理硬件具有更高的适用性、可用性和效率，除了满足用户单位对于降低成本、简化管理、提高安全和敏捷度的诉求，主要为用户单位关键业务向云计算迁移、构建平台提供核心的虚拟化技术和能力。虚拟化平台具有以下特点：统一虚拟化平台采用虚拟化管理软件，将计算资源划分为多个虚拟机资源，为用户提供高性能、可运营、可管理的虚拟机。支持虚拟机资源按需分配，支持多操作系统。QoS保证资源分配，隔离用户间影响。统一资源管理统一资源池，屏蔽不同硬件差异，资源的更换

35、升级对用户零感知。统一管理平台，支持业界主流的操作系统，兼容客户现有IT资源。设备自动发现，资源快速发放，缩短业务上线时间。支持多种硬件设备支持基于x86硬件平台的多种服务器和兼容多种存储设备，可供政府灵活选择。自动化调度支持自定义的资源管理SLA策略、故障判断标准及恢复策略。通过IT资源调度、热管理、能耗管理等一体化拉通，降低维护成本。自动检测服务器或业务的负载情况，对资源进行智能调度，均衡各服务器及业务系统负载，保证系统良好的用户体验和业务系统的最佳响应。权限管理可根据不同的角色、权限等，提供权限管理功能，授权用户对系统内容的资源进行管理。应用智能管理支持服务目录，应用快速部署。及灵活的模

36、板机制，支持用户自定义模板。精细化计费针对不同的业务类型，支持按IT资源（CPU、内存、存储）用量、计时进行精确计费。运行监控提供多种运营工具，实现业务的可控、可管，提高整个系统运营的效率。支持“黑匣子”快速故障定位，系统通过获取异常日志和程序堆栈，缩短问题定位时间，快速解决异常问题。支持自动化健康检查，系统通过自动化的健康状态检查，及时发现故障并预警，确保虚拟机可运营管理。支持全Web化的界面，通过Web浏览器对所有硬件资源、虚拟资源、用户业务发放等进行监控管理。云安全采用多种安全措施和策略，并遵从信息安全法律法规，对用户接入、管理维护、数据、网络、虚拟化等提供端到端的业务保护。虚拟化平台管

37、理虚拟化平台管理系统能够实现资源的统一管理，包括硬件资源、虚拟化资源、云基础服务，并提供服务管理等功能。虚拟化平台管理系统涵盖了集成资源管理和服务自动化两个部分。核心功能是资源管理和自动资源发放。虚拟化平台管理统将整个云系统中对用户可见的资源抽取出来纳入统一的资源池管理，为用户提供一体化的资源管理体验。自动资源发放为用户提供方便的获取资源的途径，用户可以通过在服务目录自动化的获取资源并在资源上部署用户需要的应用。1.基于角色访问控制基本角色的访问控制是指为管理员在不同域和用户单位上分配不同的角色，从而实现对管理员的权限控制。管理员可以通过用户、角色、域和用户单位的管理，使不同用户在不同的用户单

38、位的操作相互独立，实现数据隔离。2.虚拟化资源管理管理员可以统一管理不同系统提供的虚拟资源，包括虚拟机资源、虚拟网络资源和虚拟存储资源等。3.物理资源管理管理员可以统一管理数据中心的各种物理设备，包括服务器、存储设备和交换机等。4.资源集群管理资源集群由计算资源、存储资源和网络资源组成。资源集群是对计算、存储、网络等物理资源的分组，资源集群之间是相对隔离的。一个虚拟化环境中可以有多个资源集群。资源集群管理包括创建资源集群、删除资源集群、扩容资源集群、减容资源集群、查询资源集群、资源集群性能监控和资源集群的调度策略等。5.模板管理为管理员提供模板管理功能，即虚拟机模板和虚拟机逻辑模板的管理。为上

39、层其他管理平台提供虚拟机模板时，管理员可以将不同虚拟化环境中的相同规格的虚拟机模板关联在一个虚拟机逻辑模板中提供给上层管理平台，以消除各虚拟化环境中虚拟机模板的差异，使得上层管理平台无需辨识虚拟化环境。管理员可以根据需求创建多种虚拟机模板，为快速发放业务提供便捷。6.监控管理提供拓扑管理、性能监控、告警管理、任务中心管理和操作日志管理等监控管理功能。管理员可以通过监控信息，了解整个系统的软件和硬件的运行情况，及时进行故障处理。7.计量管理支持自动将计量数据记录到文件，并通过FTP和话单服务器对接，将计量数据上传到话单服务器。支持计次话单、审计话单、负载均衡流量话单、弹性IP流量话单等。8.安全

40、管理提供全方位的安全体系。包括日志安全管理、账户和密码安全管理、权限管理、WEB安全管理、数据安全管理、操作系统安全管理和防畸形报文攻击安全管理等。可靠性设计实现数据中心的有效性的目的是提升数据中心服务的最大化，减少数据中心业务中断所带来的影响，本方案整体能力超过99.99%以上的有效性，具体实现从以下几个方面来实现：虚拟化虚拟化是云平台的重要组成部分，项目建设的虚拟化平台，在可靠性方面，应该保证实现如下几点：（1）虚拟化平台需要采用分布式集群，避免单点故障。（2）虚拟化平台（或集群）中，不存在可能有单点故障隐患的“关键节点”此种节点故障，可能导致整个平台（或集群）服务中断。（3）虚拟化平台需

41、要分层结构，如管理部分、资源部分、存储部分，需要相互独立，低耦合、细粒度实现，即每一层的迁移、切换，各部分的常规操作或故障，不对其他层产生影响。（4）虚拟化平台中的各部分，如管理部分、资源部分、存储部分，都需要提供高效、可靠的冗余，某种节点中的一个或者若干个出现故障，都有相应的接管、容错机制，保证平台正常运行。（5）虚拟化平台需支持多种隔离机制，能够实现资源维度和业务服务维度的隔离。其中，资源维度的隔离主要指：物理机与物理机隔离任何一台物理服务器的增加、删除、故障维护都不会影响到其他物理服务器的使用；虚拟机与虚拟机隔离任何一台虚拟服务器的创建、删除、启动、停止、状态保存等操作，都不会影响其他虚

42、拟机的正常工作（在同一台物理服务器或不同物理服务器上）。业务服务维度的隔离，主要是指，在不同用户、不同子集群（同一平台），不同虚拟数据中心间实现隔离，即：某个用户的操作，不影响到同一资源池中其他用户的使用；某个子集群中的操作，不影响到同一资源池中其他子集群的使用；某个虚拟数据中心的操作，不影响到同一资源池中其他虚拟数据中心的使用。（6）虚拟化集群的元数据，至少保证2份冗余，在不足两份冗余的时候，能够自动恢复到2份，而无需人工干预。HA集群设计传统数据中心内的服务器高可靠性保障通常会选择依赖于集群技术的部署。而云计算平台将计算资源虚拟化以后，可以利用虚拟服务器自身虚拟化的特点实现传统物理服务器上

43、无法实现的高可靠性。为了提升云业务系统的可靠性，在云计算平台的计算资源池建设时，可以将多个物理主机合并为一个具有共享资源池的集群。HA功能会监控该集群下所有的主机和物理主机内运行的虚拟主机。当物理主机发生故障，出现宕机时，HA功能组件会立即响应并在集群内另一台主机上重启该物理主机内运行的虚拟机。当某一虚拟服务器发生故障时，HA功能也会自动的将该虚拟机重新启动来恢复中断的业务。除了对集群中的物理服务器节点进行持续检测之外，HA软件模块还对运行于物理服务器节点之上的虚拟机进行持续检测。在每台服务器节点上都运行了一个LRMd（Local Resource Manager daemon，本地资源管理器

44、守护进程），它是HA软件模块中直接操作所管理的各种资源的一个子模块，负责对本地的虚拟化资源进行状态检测，并通过shell脚本调用方式实现对资源的各种操作。当LRMd守护进程检测到本机的某台虚拟机出现通信故障时，首先将事件通知给DC，由DC统一将该虚拟机状态告知集群内所有的物理服务器节点，并按照一定的策略算法，为该故障的虚拟机选择一个空闲的服务器节点，在该节点上重启该虚拟机。虚拟机迁移设计借助虚拟化的实时迁移功能，用户可以在不停机的情况下将整个正在运行的虚拟机从一台物理服务器移动到另一台物理服务器，并且能够完全保证事务的完整性。虚拟机会保留其网络标识和连接，从而确保实现无缝的迁移过程。可以通过高

45、速网络传输该虚拟机的活动内存及精确的执行状态，使该虚拟机可以从在源主机上运行切换到在目标主机上运行，整个过程在千兆位以太网上只需不到两秒钟的时间。在零停机、用户毫无察觉的情况下执行实时迁移。持续自动优化资源池中的虚拟机。在无需安排停机、不中断业务运营的情况下执行硬件维护。将虚拟机从发生故障或性能不佳的服务器中移出，从而保证虚拟机的运行效率。安排迁移在预定时间发生，且无需管理员在场。虚拟机备份随着云平台对IT信息化系统的依赖加深，业务系统备份必不可少。在云计算平台中，针对计算资源池中虚拟机备份也至关重要。大型云中心，虚拟机经常变换，每天都有新的虚拟机产生，有老的虚拟机被删除，有新的物理服务器被加

46、入等等，因此虚拟机备份必须有强大的自动探测功能，自动选择新的虚拟机进行备份。管理员可以分别选择单个虚拟机进行映像级备份，也可以选择诸如数据中心、集群和资源池等容器进行备份。如果选择容器，则会备份该容器在备份作业运行时包含的所有虚拟机，添加到该容器的新虚拟机将在下一次运行备份作业时纳入备份范围。同理，从容器中删除的任何虚拟机将不再被备份。管理员可以将备份作业安排为每日运行一次、每周运行一次或每月运行一次。确保应用数据一致性，在虚拟机中不仅仅是文件系统，还有各种数据库，在做虚拟机备份时，要确保数据库应用的数据一致性。如Oracle、SQL Server、MySQL等数据库。基于磁盘的备份功能，为虚

47、拟机提供快速、简单的数据保护。可扩展性设计虚拟机规格动态调整虚拟机根据应用系统的性能需求，云平台可以灵活调整虚拟机的配置规格，包括调整vCPU个数、内存大小、网卡个数、磁盘卷个数，调整虚拟卷的大小，纵向扩展有效保证单个虚拟机QoS。分布式数据中心分布式数据中心是通过虚拟化技术将客户所有数据中心（单个数据中心、或者多个数据中心）的计算、存储、网络、安全等资源进行池化，以灵活的方式创建虚拟数据中心（VDC Virtual Data Center）， 并提供给用户。将分散的数据中心进行整合，通过统一的管理和统一的资源分配，实现多租户运营，提升了资源利用效率，降低了运维成本，提升了运营效率，并可实现系

48、统的高可靠和业务灾备。通过对VDC的划分，实现各单位可以向全局业务管理员申请使用虚拟数据中心，一次性获得批量的计算、存储和网络资源配额，在资源配额内，VDC业务管理员可以自由支配计算、存储和网络资源。VDC业务使用示意如下图所示：全局业务管理员，作为所有资源的管理员，可以将整个数据中心的计算、存储、网络资源划分到各个VDC，分配给各个组织或部门。VDC业务管理员，作为VDC的所有者，主要负责VDC的申请、监控、维护、管理。业务用户，作为VDC资源的消费者，可以从VDC服务目录上申请服务。自动化资源弹性调度为了便于后续数据中心的人员运维，云平台需要提供丰富的自动化运维技术。云平台提供资源弹性统一

49、调度，支持设置集群资源的调度策略，根据管理员设置的调度策略，可根据应用系统的负载进行自动化调度运维，大大地减少了运维人员的工作量。根据应用场景，提供四种策略类型：组内自动伸缩策略、组间资源回收策略、时间计划策略、负载均衡与动态节能策略。组内自动伸缩策略针对单独的应用而言，应根据应用的当前负载动态的调整应用实际使用的资源，当一个应用资源负载较高时，自动添加虚拟机并且安装应用软件；当应用的资源负载很低时，自动释放相应的资源。组间资源回收策略当系统资源不足的情况下，系统可以根据组间设置的资源复用策略，优先使优先级高的应用使用资源，使优先级低的应用释放资源，以供优先级高的应用使用。时间计划策略时间计划

50、策略允许用户对于不同的应用实现资源的分时复用。用户可以设置计划策略，使得不同的应用分时段的使用系统资源，比如说白天让办公用户的虚拟机使用系统资源，到了晚间可以让一些公共的虚拟机占用资源。云平台提供多种自动化调试策略，包括节能策略、负载均衡策略，便于用户合理利用资源。采用负载均衡策略可以让虚拟机在不同的物理节点之间迁移，使不同物理机间的负载达到均衡，同时也可以实现节能降耗，实现轻载合并下电，重载分离上电。系统负荷不大时，各VM占用CPU较低，部分VM关机了，可以将某些服务器上的虚拟机自动迁移到其他节点，对这个服务器进行休眠或下电，实施系统节能策略。系统重载时，再让部分物理机上电，并迁移VM到新物

51、理机，保证用户感受。系统需分析并选择合适的物理机上下电，减小迁移的VM数目。性能设计方案存储资源方案存储架构设计方案本次存储设计方案，20%结构化数据库单独建池，采用FCSAN磁阵集中互连，对于既有现有高端存储和新添置存储通过虚拟化网关进行统一异构管理。对于80%的非结构化数据，其中虚拟化服务通过分布式存储系统提供后端存储，虚拟机镜像和应用的其他非结构化数据采用分布式存储系统提供。为了保证存储的可靠性及性能，非结构化数据采用采用全对等、分布式的存储集群来构建统一云存储。全对等指的是在整个集群架构中，不存在独立的元数据节点或者控制节点，所有的节点均完全相等，避免“关键节点”异常而导致的存储服务异

52、常；存储资源池在物理上由多个小存储构成，逻辑上作为一个整体对外提供服务。存储架构设计图存储功能设计目前较为主流的存储方式，主要有FC-SAN、IP-SAN、NAS、分布式存储等几种方式，详见下表。表5-4-17 存储类型分类表NASFC-SANIP-SAN分布式存储特点成本较低，性能也较低，易部署，支持长距离、跨平台的共享文件服务器，可满足对访问性能要求不高的平台存放非系统类文件，例如大容量的音视频、办公文件资料、邮件备份文件、虚机镜像文件等。高成本、高性能、高可靠性的块存储，满足核心平台的虚机文件系统和数据存储需求，一般配置SAS盘，性能要求不高的可配置SATA盘。成本较低，性能和稳定性中等

53、的块存储，满足非核心平台（例如一般应用平台）虚机文件系统和数据库存储需求。以Hadoop HDFS/HBase 为代表的大数据存储系统和Server San的分布式存储，大数据存储主要适合存储大文件（以G甚至T为单位的文件），文件存储的节点同时也是计算的节点（计算靠近数据），适合与作为大数据分析数据的存储。系统架构局域网+服务器+集中存储服务器+FC交换机+集中存储服务器+以太网交换机+集中存储服务器+互联网络应用场景云资源池大数据平台、分布式存储传统集中存储集中式存储是目前市场主流存储形态，采用专有的企业级存储硬件架构把多个硬盘组成一个阵列，当作大资源池使用，它将数据以分段（striping

54、）的方式储存在不同硬盘中，存取数据时，阵列中的相关磁盘一起动作，既保证可靠性，又大幅减低数据存取时间，同时有更佳的空间利用率。在实现了文件系统级和块级数据、存储协议融合统一的基础上，以业界领先的性能、多种效率提升机制为支撑，为用户提供了高性能、全方位的解决方案，使用户投资收益比最大化，能够满足大型数据库OLTP/OLAP（Online Transaction Processing/Online Analytical Processing）、高性能计算、数字媒体、因特网运营、集中存储、备份、容灾和数据迁移等不同业务应用的需求。结构化数据应用有很多小文件随机读写的IO，需要的是存储的高IOPS，虚

55、拟机和数据库均对存储速度和稳定性要求特别高，优先使用FC SAN作为业务的主存储，配置高速的固态SSD硬盘和SAS硬盘，提供极其强大的IO性能。存储的IO会不定时突发增大，因此需要存储能够有这种解决突发IO的技术及数据自动分层技术。采用大型的FC SAN交换设备，提供8Gps的全双工光纤端口的线速互联，为所有服务器通过FC网络连接到FC存储系统，FC存储系统向所有服务器提供块设备级共享存储系统，同时为了保证系统的可靠性，FC-SAN存储网采用双路径设计。为满足业务系统、查询系统、数据分析系统的要求，必须强化数据存储核心，磁盘本身性能也决定存储系统整体性能，通常磁盘性能以转速、寻道时间、磁盘缓存

56、等技术指标衡量，存储阵列采用全自动分层存储功能，将关键应用访问读写最为频繁的核心一级应用数据和数据库热点表、索引表以及相关的数据文件自动迁移在第一层固态硬盘层中；将二级应用数据库文件数据存储在第二层的SAS硬盘中，将三级应用放置在SATA磁盘上。集中存储优势和特点：稳定可靠：存储系统部件采用全冗余设计和A/A工作模式，在部分设备故障时，剩余的设备可以替代原有设备功能，保证业务的连续性；快照、克隆、远程数据复制、阵列双活等数据保护和容灾特性能够保护数据不丢失，业务不中断。安全高效：智能精简配置通过按需分配的方式来管理存储设备，实现业务在线扩容，提高资源利用率降低；智能分级存储和智能数据缓存技术利

57、用SSD盘高性能特点实现热点数据加速，提高存储整体访问性能，实现数据生命周期管理；缓存分区和服务质量控制QOS技术实现针对不同的业务划分不同优先级，系统优先响应高优先级的访问请求，从而提升高优先级业务的性能，保障关键业务的服务质量。分布式存储传统SAN在企业基础设施池化、云化中面临的主要问题：存储资源弹性问题：多业务负载、资源的动态需求变化；存储扩展的问题：共享、扩展面临了诸多的瓶颈和问题（机头、前后端网络、CPU/Cache与HDD不同步问题）；形态和实施的成本、复杂性问题：独立的存储网络，建设成本高、实施复杂（初始实施、扩减容等）；容错和可靠性问题：大规模集群中容忍的故障域问题（跨机柜、跨

58、机房），硬盘重建时间长问题。针对上述问题，政务云资源池同时提供分布式存储资源池，使用分布式存储解决上述问题，以满足业务平台日益增长的存储需求，为业务平台提供高安全性、高可靠性、高可用性和开放性的存储服务。分布式存储系统基于分布式处理技术、虚拟化技术和集群技术实现，作为云计算资源池存储资源池的一部分，为计算资源池提供高速、可靠、安全的块存储服务。分布式Server SAN创建的软件定义的存储环境，利用服务器中的本地存储容量，拥有一个可扩展、高性能且容错的分布式共享存储系统。聚合存储和计算资源，可扩展至数千节点，结合了HDD、DAS以创建具有不同性能层的虚拟数据块存储池。随着存储和计算资源的变化，

59、分布式Server SAN会自动重新平衡存储分布以优化性能和容量使用。分布式Server SAN不受硬件限制，可支持物理应用程序服务器和/或虚拟应用程序服务器，Server SAN不受基础架构限制，可与混合服务器品牌、操作系统（物理和虚拟）以及存储介质类型（HDD、DAS）同时使用，因此它既是一种分布式存储解决方案，又是一种存储虚拟化解决方案。存储容量设计本次需求调研共抽样调研13个省直属部门（分别是统计局、卫计委、教育厅、国土厅、工商局、财政厅、住建厅、人社厅、质监局、地税局、交通厅、民政厅、旅游局），调研系统55个，目前共占用存储空间931T，单业务系统占用存储空间19T，按照20%的年增

60、长率，考虑未来5年的需求，规划期内新建及迁移200个应用系统，本期存储需求为：19T*（1+20%）5*2009500T，其中结构化数据1000T、非结构化数据6600T、本地备份存储1900T；本地备份存储测算：1000T*1.5+6600T*4%*1.51900T，其中100%结构化数据备份按照1.5倍考虑，4%的非结构化数据按照1.5倍考虑。第一期建设40%存储资源，共计9500T*40%+1900T*40%4600T。业务系统数据存储分析云平台采用“两朵云”的方式，即内部云和外部云分开，本期需同时满足两朵云的存储需求。根据需求调研，省政府各直属部门的系统存储结构化非结构数据比例为1:4