新华网云计算方案

新华网云计算数据中心建设方案浪潮集团

互联网行业部

2016年7月版本创建时间更新内容创建人V201607257月25日李伟V201608058月5日1、修改了3.3.1总体架构设计李伟

2、修改了3.8PAAS平台方案设计总体设计;3、修改了3.9大数据方案设计;4、修改了3.10云应用方案设计;5、增加了3.6存储方案设计増加统一存储资源规划设计;6、修改了3.12.3系统安全（操作系统、数据库系统）7、增加了3.7网络资源规划;8、增加了7.5网络虚拟化选型;TOC\o"1-5"\h\z\o"CurrentDocument"1项目服务总体架构描述 8\o"CurrentDocument"系统现状与分析 8\o"CurrentDocument"现状分析 8\o"CurrentDocument"系统总体需求 9\o"CurrentDocument"业务需求 10\o"CurrentDocument"功能需求 12\o"CurrentDocument"性能需求 16\o"CurrentDocument"安全需求 16\o"CurrentDocument"关键技术需求 20\o"CurrentDocument"2需求分析 21\o"CurrentDocument"计算资源分析 21\o"CurrentDocument"存储资源分析 22\o"CurrentDocument"资源管理分析 24PAAS平台分析 24\o"CurrentDocument"大数据分析 25\o"CurrentDocument"安全分析 25\o"CurrentDocument"现有设备分析 28\o"CurrentDocument"3总体方案设计 31\o"CurrentDocument"建设目标 31\o"CurrentDocument"建设原则 31\o"CurrentDocument"总体方案设计 33\o"CurrentDocument"总体架构设计 33\o"CurrentDocument"总体功能设计 34\o"CurrentDocument"资源池分区规划 36\o"CurrentDocument"资源池分区逻辑架构 36\o"CurrentDocument"容量性能测算 38\o"CurrentDocument"计算资源规划设计 39\o"CurrentDocument"计算资源池化设计 39\o"CurrentDocument"计算资源部署设计 45\o"CurrentDocument"服务器利旧分析 53\o"CurrentDocument"存储资源规划设计 54\o"CurrentDocument"全新分布式对称架构 56\o"CurrentDocument"安全的数据冗余策略 58\o"CurrentDocument"缓存加速技术 60\o"CurrentDocument"远程复制功能 61新建分布式存储系统容量性能计算分析 61\o"CurrentDocument"资源管理规划设计 71\o"CurrentDocument"云平台部署 97\o"CurrentDocument"虚拟化对接 98\o"CurrentDocument"物理机对接 98\o"CurrentDocument"Ceph对接 99\o"CurrentDocument"AD域对接 99\o"CurrentDocument"公有云对接 100\o"CurrentDocument"PAAS平台方案设计 101\o"CurrentDocument"弹性运行环境 102\o"CurrentDocument"基础服务 104\o"CurrentDocument"中间件服务 110\o"CurrentDocument"开发/测试/生产环境统ー管理 115\o"CurrentDocument"管理中心 115\o"CurrentDocument"第三方服务接入适配器 117\o"CurrentDocument"开放服务接口 118大数据方案设计 错误床定义书签。分布式计算引擎 错误!未定义书签。分布式并行数据库 错误!未定义书签。分布式内存数据库服务 错误侏定义书签。流式计算服务 错误味定义书签。分布式消息总线服务 错误抹定义书签。云应用方案 118云应用建设 错误!未定义书签。已建系统上云迁移 错误味定义书签。TOC\o"1-5"\h\z\o"CurrentDocument"安全方案设计 132\o"CurrentDocument"安全域戈リ分 139\o"CurrentDocument"网络安全 139\o"CurrentDocument"系统安全（操作系统、数据库系统） 141\o"CurrentDocument"平台安全（虚拟化系统、云管理平台） 145\o"CurrentDocument"数据生命周期安全 148\o"CurrentDocument"应用安全 150\o"CurrentDocument"API接口安全 152\o"CurrentDocument"4公有云方案设计 153\o"CurrentDocument"京东云简介 153\o"CurrentDocument"京东基础云服务简介 153\o"CurrentDocument"京东基础云产品功能列表 154\o"CurrentDocument"弹性计算 154\o"CurrentDocument"网络 155\o"CurrentDocument"负载均衡 155\o"CurrentDocument"存储 156\o"CurrentDocument"云数据库 156\o"CurrentDocument"云缓存 157\o"CurrentDocument"CDN 157\o"CurrentDocument"云安全 157\o"CurrentDocument"京东数据云整体架构 158\o"CurrentDocument"京东数据云产品功能列表 160\o"CurrentDocument"数据迁移 161\o"CurrentDocument"DBUS 162\o"CurrentDocument"云存储/云数据库 163\o"CurrentDocument"数据计算平台 163\o"CurrentDocument"数千エ坊 166\o"CurrentDocument"万象 172\o"CurrentDocument"京东数据云产品核心优势 173\o"CurrentDocument"京东公有云与浪潮云管平台对接方案 174\o"CurrentDocument"5运维管理方案设计 176\o"CurrentDocument"系统管理 176\o"CurrentDocument"资源管理 176\o"CurrentDocument"混合云管理 177\o"CurrentDocument"业务管理 181\o"CurrentDocument"智能监控 181\o"CurrentDocument"多维度资源监控与管理设计 181\o"CurrentDocument"业务监控和故障分析设计 182\o"CurrentDocument"分布式监控架构设计 184\o"CurrentDocument"运维管理 186\o"CurrentDocument"多租户管理 186\o"CurrentDocument"角色权限访问控制 187\o"CurrentDocument"自动化运维 188\o"CurrentDocument"安全管理 189\o"CurrentDocument"威胁情报分析 190\o"CurrentDocument"安全审计 191\o"CurrentDocument"6运营管理方案设计 1966.! 云月艮务交付 196\o"CurrentDocument"6.2 计费管理设计 196\o"CurrentDocument"7产品选型 199\o"CurrentDocument"服务器选型 199\o"CurrentDocument"资源分类 199\o"CurrentDocument"配置方案 210\o"CurrentDocument"推荐配置 211\o"CurrentDocument"存储选型 213\o"CurrentDocument"安全设备选型 214\o"CurrentDocument"虚拟化选型 215\o"CurrentDocument"虚拟化技术原理 215\o"CurrentDocument"InCloudSphere4.0旗舰版简介 218\o"CurrentDocument"推荐配置 223\o"CurrentDocument"云管理平台选型 223\o"CurrentDocument"PAAS平台选型 229\o"CurrentDocument"大数据选型 231配置总表 错误味定义书签。虚拟化服务器报价 错误侏定义书签。大数据服务器报价 错误味定义书签。PaaS服务器报价 错误味定义书签。存储报价 错误味定义书签。安全设备报价 错误侏定义书签。私有云报价 错误!未定义书签。PASS平台报价 错误抹定义书签。大数据报价 错误味定义书签。合计 错误!未定义书签。TOC\o"1-5"\h\z\o"CurrentDocument"8方案总结 236\o"CurrentDocument"运营效率 236\o"CurrentDocument"服务水平 236\o"CurrentDocument"数据中心的绿色节能 237\o"CurrentDocument"如何专注自身业务 237总体拥有成本（TC〇） 237\o"CurrentDocument"可靠性 237\o"CurrentDocument"扩展性 238管壬里，性 238

项目服务总体架构描述系统现状与分析现状分析IT资源类型特点描述数量小计WEB前端服务器例如nginx,openresty服务器。易耗CPU,内存需求小,对磁盘大小及性能要求不高。需要挂载glusterfs,NAS存储。需要放在DMZ区86缓存服务器例如vanish服务器。除了对内存需求较大,对其他资源需要不多。需要放在DMZ区。84中间件服务器例如weblogic、tomcat等应用服务器。对cpu要求不高，内存需要偏大，对磁盘空间及性能要求不高。有些需要挂载glusterfs,NAS存储,有些不需要挂载。放在内网区域即可。215应用服务器例如图片工具、消息队列等。通常对cpu,内存，磁盘没有特别需求，需求可大可小，对磁盘性能要求不高。放在内网区域即可。411数据库服务器1型例如mysql、orak)e对cpu、内存、磁盘性能、网卡性能都需要较多资源。对磁盘大小需求不多。有些需要挂载glusterfs,NAS存储,有些不需要挂载。放在内网区域即可。139数据库服务器2型例如redis、mongodb除了对内存需求较多之外,对其他资源需求不多。放在内网区域即可。155存储服务器1型例如glusterfs,fastdfs,通常需要多组服务器做分布式存储，用于NAS、对象存储。对磁盘性能、磁盘大小要求较高。放在内网区域即可。10存储服务器2型例如华为fushionstorage6800等中高端第三方存储设备,用于提供NAS、SAN存储。4网络设备出口路由器:华为NE20E-S16核心、汇聚交换机:华为S12700、华为S12800系列接入交换机:华为S572058

负载均衡设备例如F5,A10等第三方硬件负载均衡设备14安全设备主要是一些外围边界型软硬件设备4PC物理机总计1600虚拟机总计1000操作系统总计2600新华网当前系统架构如下图所示,各业务系统的IT资源及管理都相对孤立,没有统一的资源管理平台体系。LinuxWindows关・任务LinuxWindows关・任务目前新华网的IT发展概况是:主要基于IDC机房建设,多使用物理硬件,部分使用kvm虚拟化,具备资源管理、监控与部署能力,并初步具备ー些运维自动化能力，但在资源整合云化、高效智能化、流程服务化等诸多方面需要弥补加强。随着未来业务的高速发展与IT环境的复杂多变,这将对我们IT资源的协调与管控能力带来巨大挑战。因此我们有必要对云计算进行调研与落地实施,从总体架构体系层面提高IT环境的管理能力。系统总体需求业务需求新华网业务系统符合主流网站架构,如下图所示示例:如前文所述,各个业务系统对应的主要IT资源如下分类:＞前端服务器＞缓存服务器＞中间件服务器＞应用服务器＞数据库服务器＞存储服务器＞网络设备＞负载均衡设备＞安全设备根据前文所述的我网业务现状,对这些业务功能属性进行分类,得出如下几类业务,并根据各类业务系统的特点提出对云平台的需求如下:＞技术支撑类业务需要云平台进行资源整合与优化,兼容及抹平硬件多样性差异,将各类平台资源（如计算资源，存储资源，网络及安全资源）进行统ー整合,统一管理，统ー调配。＞基础业务类需要云平台提供良好的应用类资源环境，例如大数据平台环境，消息系统平台,中间件系统等平台环境（提供包括例如系统、接口、库包、地址等）。能够很好地支持业务基础类资源环境的调配和编排,能够快速灵活地部署以及流程控制。＞报道支撑类业务需要云平台提供较好地高可靠，高可用架构，有力保障报道支撑类系统平台的稳定可用。在高并发、突发异常访问压カ下,云平台能够针对此类系统进行快速的资源伸缩，平滑的系统迁移。＞社交应用类业务需要云平台对此类平台进行快速灵活地资源伸缩，能够有效抵抗DDos等恶意攻击,能够灵活有效地做好IT安全的查、防、控。需要云平台的资源能够在私有云与公有云之间进行有效、平滑的迁移。＞运营服务类业务需要云平台在提供常规的IT资源的情况下,能够有力保障系统的内外安全。并能提供的相关必要的组件、API接口（如短信接口、支付接口）。＞应急定制开发类业务需要云平台具有高效地资源分配与自助能力,具有良好地多用户资源隔离控制功能,具有丰富灵活地系统资源组件及调配能力。需要云平台的资源能够在私有云与公有云之间进行有效、平滑的迁移。＞基础设施类业务系统需要能够很好的兼容并利用现有IDC基础设施资源（包括例如商业存储、网络安全设备、堡垒机、负载均衡设备），能够很好地兼容并利用现有的各类运维管理系统。＞大数据业务系统针对大数据服务,由于其技术架构具有大批量、数据量大、吞吐量大的特点,因此计算资源需要有较强的横向扩展能力、容错能力，对本地磁盘容量以及网络带宽的要求非常高,建议采用配置大容量本地硬盘的机架式服务器作为计算资源。功能需求架构及虚拟化功能需求＞平台架构虚拟化平台采用裸金属架构充分利用IntelVT和AMD-V的硬件虚拟化技术,支持!ntel扩展页表技术;可以直接安装在服务器硬件设备上,可以直接管理硬件资源。需保障后续产品的连续性;并具备在后续根据业务需要进行定制开发的能力。具有友好易用的管理（界面）工具。＞资源池化与集中管理实现计算资源池化、存储资源池化、网络资源池化,并对池化资源进行统一管理，功能强大与稳定。具备良好的横向扩展能力和软硬件兼容性。＞集群功能虚拟化软件支持多级集群,支持部分服务器组成物理集群,并在物理集群中将ー些同型号的服务器组成HA资源集群,以便于服务器的统一管理。>资源在线调整提供虚拟机资源在线动态调整,根据实际需要修改虚拟机的属性,包括vCPU个数、内存大小、硬盘数量和网卡个数。122.2管理功能需求为了便于应用服务器的虚拟化系统运维管理,满足日常维护、监控的要求,虚拟化管理需要提供以下功能:基本功能虚拟化管理系统是ー款基于云计算解决方案的产品维护系统，需要提供系统监控、资源管理和系统配置管理三大部分组成。支持包括逻辑拓扑监控、告警与事件管理、系统监控、虚拟资源管理、系统配置、用户管理、操作日志查询和License信息管理等功能。开放接口虚拟化软件须提供开放的API接口,封装底层云资源的统ー操作,便于上层管理平台统ー调度管理。硬件自动发现服务器与运维管理系统连通后,虚拟化软件支持自动发现服务器的配置信息,包括:名称,位置,管理IP，BIOS,CPU主频、个数,内存大小,硬盘容量,网卡个数,网ロ个数。生命周期管理支持虚拟机生命周期管理,包括创建虚拟机,销毁虚拟机,虚拟机的日常操作,迁移虚拟机，修复虚拟机，虚拟机快照，虚拟机资源调整。支持指定一个或多个虚拟机,可以启动/唤醒、安全重启、强制重启、休眠、安全关闭、强制关闭虚拟机。>权限管理支持管理员角色的增、删、改、查功能。管理员可以通过角色定义出不同的权限组合,方便在维护过程中对不同用户授予不同的权限。支持管理员分权分域的管理:支持创建不同的域,然后将集群和域关联,并分配给不同的管理员,从而实现资源的分域管理。在分配管理员权限的时候,可以配置不同的权限,限制管理员只能在允许的域内进行允许的操作。＞拓扑管理支持统一拓扑图,提供一个拓扑界面呈现全系统的所有资源信息。可以了解计算、存储、网络以及虚拟资源的逻辑视图。获取硬件资源（计算硬件、存储硬件、网络硬件）、应用部署情况（例如,数据库服务器部署在哪台虚拟机上,虚拟机位于哪台主机上）、虚拟机属性。拓扑节点支持与告警关联，支持呈现对象当前的监控状态。＞监控管理监控管理支持对云资源（计算资源,存储资源,虚拟资源）使用情况以及当前状态进行集中全面监控。监控管理支持将历史监控数据导出来。对于系统的软硬件资源可以通过仪盘表的视图方式呈现。支持对集群、物理服务器、虚拟机的实时监控。＞应用自动化部署支持应用自动化部署，用户可以通过已发布的模板进行应用的自动部署，系统支持ー键式部署，用户通过简单的系统提示可以非常方便的部署自己的应用。支持服务编排与服务调配相关功能，能够提供良好的多租户管理,资源编排管理与自助化服务。.兼容性与扩展性功能需求应用服务器、存储、操作系统来自不同厂家,虚拟化软件兼容性与扩展性需要满足:虚拟化平台支持主流设备厂商提供的X86服务器，支持基于业界标准的IPMI接口的硬件设备。虚拟化平台支持主流设备厂商提供的IPSAN、FCSAN存储设备。虚拟机平台支持主流的X86架构的操作系统,包括WindowsServer2003/2008R2及以上版本服务器操作系统,WindowsXP>Windows7操作系统,Redhat、SUSE、CentOS,中标麒麟、Ubuntu、Fedora等多个发行版本的Linux操作系统。对于新添加的物理服务器后,该服务器能被虚拟机管理平台自动发现,并加入到统ー管理的虚拟化资源池中使用。升级物理服务器的配置后（如增加CPU、内存等资源的数量后）,能够自动发现并将新增的资源加入到统一管理的虚拟化资源池中,统ー调配使用。支持平滑增加存储设备、磁盘框,磁盘，并加入到统ー管理的存储虚拟化资源池中使用。可靠性功能需求>冗余备份恢复为了保障业务的连续性,虚拟化软件关键的管理节点/服务器支持做到主备冗余,支持管理节点的管理数据定期自动备份，以便出现重大事故导致管理数据丢失时，可以利用备份的数据进行恢复。支持实时监控所有软件进程状态,重启状态异常的进程。>冷热迁移支持手工/自动虚拟机HA功能，把虚拟机从故障的服务器上迁移至正常的服务器。支持虚拟机热迁移功能;可以在不停机的状态下，手工或自动地实现VM在集群之内的不同物理机之间迁移,保障业务连续性。支持存储热迁移功能:支持虚拟机正常运行时，虚拟机的卷迁移至其他存储单元中,可以在存储虚拟化管理下的同一个存储设备内、不同存储设备之间进行迁移。支持存储冷迁移功能:支持虚拟机关机情况下,虚拟机的卷迁移至其他存储单元中,可以在存储虚拟化管理下的同一个存储设备内、不同存储设备之间进行迁移。>资源复用支持资源复用功能。可以自动根据可设置的条件将这台虚拟机的部分内存、CPU等资源释放出去归还到虚拟资源池,以供系统再分配给其它虚拟机使用。＞路径冗余服务器和存储设备之间支持配置多条冗余的路径。性能需求＞虚拟机性能要求支持开源的X86虚拟化技术,虚拟机相对于同规格物理机,性能损耗应小于10-20%支持云主机秒级创建和批量部署每台虚拟机能够支持2000并发连接＞存储性能要求磁盘类型性能盘单盘最高6000IOPS和170MB/SI/O吞吐量容量盘提供500IOPS和48MB/SI/O吞吐量云主机磁盘能提供1500IOPS和80MB/S吞吐量＞网络性能要求云主机网络类型带宽（Mpbs）基础网络1000统一虚拟网络子网600安全需求（一）云平台外层防护需求.通过硬件防火墙设备制定有效的边界访问控制策略，防火墙本身并具备防病毒和!PS等安全防御模块;.能够对DOS攻击力量进行清洗，并将安全流量引回到网络中;.未知威胁检测能够发现大量未知威胁,对本地网络中的流量进行全量检测和记录,所有网络行为都将以标准化的格式保存,并结合发现的威胁情报对网内已经发生和正在发生的未知威胁进行发现;.网络流量分析监控对网络流量和主机性能进行实时分析和监控云平台整体服务质量;.综合审计进行主机、数据库等审计,实现审计范围覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户.VPN«实现安全外网用户登录和安全的数据加密传输;.堡垒机对系统运维人员进行授权访问限制和统一密码托管,对运维操作进行记录和审计。.漏扫实现主机系统和web应用的漏洞扫描,并能生成报表和给出解决建议;（二）云平台内部防护需求.实现云内部边界重塑,确保各业务系统重新树立安全边界,在安全边界处实施安全防护措施,对外界信息进行业务隔离,当本域发生安全问题以及外界发生安全问题时,保证不影响其他业务系统的运行，同时也能够不受其他业务系统的影响，稳定、安全、高效的持续运行;.实现云平台中的逻辑隔离区域,在根据区域和应用不同划分多个VxLAN,不同VxLAN之间通过访问控制规划信息流向，隔离广播,限制不是必需的和非法的访问；.实现软件定义安全资源,为了保证云计算弹性扩展、灵活调度、按需分配的特点,需要建立安全资源池，保证安全资源池不能成为云环境下的单点故障，保证安全资源池符合云计算的特性，能够弹性扩展、按需分配、灵活调整,保证安全资源池能够被统一管理，并在管理平台发生故障时,能够不影响安全资源的具体工作，保证业务系统的安全运行。.提供安全资源池依托云平台安全管理软件和硬件服务器实现。统一部署管理运行安全资源,根据业务的安全需求,按需部署安全防护设备与安全检测设备。安全资源池根据防护类型,可以分成串行安全资源池与旁路安全资源池。.实现串行防护能力系统,通常指防火墙、!PS,WAF等设备,通过虚拟化建设，将其迁移到云环境中来,让其更符合云计算特点，更好的为云环境服务。.实现旁路防护能力系统，通常指IDS审计、病毒防护中心、日志分析中心等设备，通过虚拟化建设,也将其迁移到云环境中来,让其更符合云计算特点,更好的为云环境服务。.实现虚拟镜像管理节点,该组件部署在业务系统的宿主机上,与旁路安全资源池分离，但它是旁路安全资源池的数据引流者、提供者,通过它的相关工作，最终实现云内的流量检测与审计。.实现在每台宿主机上部署虚拟镜像管理节点,通过该管理节点实现对虚拟交换机上的数据进行镜像、监控、引流等操作，通过相关配置操作，将数据内容发送到旁路安全资源池的IDS、网络审计等检测能力提供者,由他们完成具体功能的实现和具体问题的检测与告警。.虚拟镜像管理节点应至少实现对虚拟交换机的数据镜像、对虚拟交换机的镜像引流、对镜像数据统计、分析、对镜像数据的管理、控制等功能。.实现虚拟桌面安全病毒防御功能。以轻代理，单点集中查杀,避免反病毒风暴:本地引擎加载实例个数可设定,并发查杀任务数可调控:集中管理机制，优化查杀效率,避免重复查杀；配合私有云引擎和可开关的公有云引擎，有效提高查杀カ；提供对安全虚拟机专有病毒防护；.实现云环境内的安全问题进行统ー监控，统ー管理，对安全策略进行统ー配置与调整,建立统ー的安全资源管理监控运维平台。当发生安全问题时,能够提供告警信息,明确说明告警的设备以及与之相关业务系统，并提供基于业务视角的整体安全监控，展示业务域之间的访问、流量、告警、安全防护状态等信息。.实现安全资源管理监控运维平台的可视化展现层:提供人机交互界面,可视化的对安全进行智能化、自动化管理;.的安全业务应用:为已创建的安全域提供安全设备所支持的应用服务,包括如:安全域资产状态监控、边界流量行为分析、旁路安全功能管理入口、串行安全功能管理入口等;.实现安全资源管理监控运维平台的安全域边界安全管理:基于虚拟化资产、虚拟网络拓扑和安全资源的信息提供对安全域边界安全策略的统一管配;.实现安全资源管理监控运维平台的安全资源池管理:提供对安全资源池和连接在安全资源池上的安全设备的管理功能;.实现安全资源管理监控运维平台的虚拟化环境管控代理:提供从虚拟化环境获取信息和修改虚拟化环境配置的功能;.实现安全资源管理监控运维平台的安全域边界流量管控代理:将安全域边界对应的安全策略转换为流量管控命令,通过SDN控制器、导流虚拟机等导流设备的控制接口统一下发。.实现向安全资源管理监控运维平台提供安全域安全检测和防护设备（应用）的统ー管理接口,可以让用户在已创建的安全域上选择需要配置的安全设备（应用），并以安全域为管理对象，提供统ー的安全管理和配置入口。.实现云安全资源管理监控运维平台通过对云管理中心的实时事件监测,为安全管理人员提供可视化的安全域边界物理拓扑变化（如虚拟机创建、挂起、迁移或其它网络配置变化等）预警，并可根据策略提供自动化的或交互式的响应处理。.安全资源管理监控运维平台至少实现创建容器的资源控制策略、调整容器的资源控制策略、创建虚拟安全资源、创建虚拟安全资源的冗余措施、虚拟安全资源的冗余部署、安全资源的集群化等。（三）云安全应用需求.实现云平台对新华网内部运维人员以及外部租用用户的虚拟安全防火墙的策略服务。在云系统中各业务系统之间、云平台和其他系统之间使用防火墙策略进行隔离,根据业务实际需求开放相应端口。可查看防火墙日志进行审计等。.实现云平台对新华网内部运维人员以及外部租用用户的安全登录服务。管理员在运维审计系统中配置用户和相应权限,用户通过运维审计系统登录仅能登录授权的服务器，同时可配置策略禁止用户使用某些命令，在用户使用中或登录后,可对用户操作进行审计,自动切断进行非法操作的用户连接。.实现云平台对新华网内部运维人员以及外部租用用户的主机系统漏洞扫描服务。按照客户需求，定时或手动对主机系统进行漏洞扫描,发现操作系统中的安全漏洞,并划分不同等级，以报表形式呈现给用户。.实现云平台对新华网内部运维人员以及外部租用用户的系统补丁服务。根据官方推出的操作系统补丁服务,根据客户选择方式，针对客户操作系统,推荐部分补丁或者自动进行安装升级，以实现安全更新或者功能更新。实现云平台对新华网内部运维人员以及外部租用用户的虚拟桌面杀毒服务。针对有桌面虚拟化需求的用户，提供底层的安全杀毒服务，保护虚拟桌面的安全,为用户提供良好的使用体验。1.2.5关键技术需求1、云平台需要解决已有服务器如何利旧与兼容性问题。2、新华网已有一些商业第三方集中存储(SAN/NAS),也有开源分布式存储(glusterfsjastdfs),因此云平台需要考虑如何利旧与兼容现有存储环境。3、云平台需要统一管理公有云和私有云，需要混合云内部平滑对接。4、云平台需要支持多租户,对于不同区域资源做到灵活划分与安全隔离。5、云平台需要统ー的运维及运营管理平台。具备成本分摊、运营监控及统计、安全审计、流程工单、资源编排与调配等功能。6、云平台具有良好扩容机制,能够灵活方便地进行平台扩展与扩容。2需求分析计算资源分析目前新华网业务的主要虚拟化的配置如下:IT资源类型建议云虚拟环境虚机需求数量vcpu内存内)本地磁盘(G)WEB前端服务器1010100172缓存服务器432100168中间件服务器616200430应用服务器48200822数据库服务器1型832200278数据库服务器2型432200310虚机资源汇总2180所需物理机数量预估210台通过对上述各个类型的业务对云平台的需求分析,未来的云平台将达到如下承载目标:＞日常运营业务需要逐步迁移到云平台系统中,以获得更好的系统环境支撑。＞未来新上线业务系统需要部署到云平台中。以更好地管理和支撑新业务新华网云计算平台需求系统。＞对于业务变更需求需要快速灵活地相应、具有很好地扩展伸缩机制。＞对业务系统需要有很好地安全防护机制、同时避免对业务系统资源的大量消耗。＞对业务系统要有良好的应急灾备机制,有力保障业务系统的高可用、高可靠。＞对业务系统从创建到回收整个生命周期有很好地流程管控、运行监控、统计分析、经济核算机制。＞能够很好地映射当前!DC环境基础设施环境,并充分融合兼容当前IDC环境。如负载均衡,中间件、数据库、大数据等环境能够很好地部署映射到云平台中。

存储资源分析目前新华网存储需求如下:IT资源类型特点描述WEB前端服务器易耗CPU»内存需求小,对磁盘大小及性能要求不高。需要挂载glusterfs,NAS存储。需要放在DMZ区缓存服务器除了对内存需求较大,对其他资源需要不多。需要放在DMZ区。中间件服务器对cpu要求不高,内存需要偏大,对磁盘空间及性能要求不高。有些需要挂载glusterfs,NAS存储，有些不需要挂载。应用服务器通常对cpu,内存，磁盘没有特别需求,需求可大可小，对磁盘性能要求不高。关系型数据库服务器对cpu、内存、磁盘性能、网卡性能都需要较多资源。对磁盘大小需求不多。有些挂载glusterfs,NAS存储,有些不需要挂载。非关系型数据库服务器除了对内存需求较多之外，对其他资源需求不多。中低端存储通常需要多组服务器做分布式存储,用于NAS、对象存储。对磁盘性能、磁盘大小要求较高。高端存储中高端第三方存储设备,用于提供NAS、SAN存储。针对新华网目前的需求,针对每ー项需求给出分析针对需求的第1、2点,目前存储容量基本已经饱和,集群增加节点已经超过了当前Fastdfs和GlusterDFS的扩展能力,增加容量难度较大。FastDFS是ー款轻量级的分布式存储,理论上对容量扩展是支持的，在线添加节点即可，但是实际上在目前新华网扩容是较为困难的，因为运维压カ大，且数据重新平衡速度极慢,严重影响了存储系统性能。第3点,当前FastDFS和GlusterDFS在开源社区已经逐渐淡出主流文件系统范畴，运维和技术的更新难以得到保障。而目前开源的存储主要面向对象存储如ceph和lustre等为主,并且专业的分布式存储系统已经相当成熟，在开源架构的基础上自主研发了更多的高级功能和针对性的调优。第4点,客户运维工程师当前主要精力在于业务端保障,而针对开源分布式文件系统如FastDFS和ClusterDFS是没有太多精力去保障运维和更新技术。急需ー套强壮的,易维护的专业存储系统来满足当前业务压カ大,不断扩展的需求。第5点，当前新华网存储资源相对独立分散，集群之间难以做到资源整合统ー,故运维难度大，且使用起来不方便。后期新华网的存储空间将进行池化，对分布式nas层存储做统一管控和部署,资源按照用户所需进行配额管理,无需担心底层存储空间划分等。并且新系统可以和老系统做复制和数据迁移功能，业务逐渐在2017年开始割接，完成新老存储平台切换。针对第6点,目前文件系统数据多采用双副本或者三副本方式存储，存储容量占用较多,空间浪费较大。目前分布式存储系统主要保护数据的方式是副本,但是保证数据冗余的同时存储空间也面临了巨大的浪费,目前纠删码方式的数据保护可以为存储数据带来可靠性保护,同时也能节省大量的存储空间。第7点，当前客户目录文件管理相对难度较大,一旦打开目录,直接卡死,原因是目录文件过大，已经超过了文件系统承受的文件数范围内。Gluster或者FastDFS的架构决定了小文件数量增多后遍历目录的时间会非常的长,目前采用元数据与数据分离的对象存储架构能够优化这ー情况,针对小文件性能进行提升。客户，CDN服务器 负釵均衛F5LVS等反向代理服务器 防火墙应用集群服务器应用集群服务器图片服务器文件服务器致括阵服务器分砧式。分砧式。族G上图为目前新华网业务端系统拓扑示意图,图片、音频、视频等非结构化数据都存储在分布式存储系统GlusterFS和FastDFS上,针对以上涉及问题,进行了较为细致的分析。综上,目前新华网存储系统面临系统运维难度大,管理相对复杂,数据量增长速度已经超过了目前存储系统扩展能力,针对小文件的压カ没有更好的应对方式,数据多以副本形式存储，容量浪费较大，同时缺乏对接云平台和大数据分析等接口API等问题。资源管理分析新华网前期已采购大量IDC设备,涉及的厂家比较复杂,初步具备一些运维自动化功能,但在资源整合云化、高效智能化、流程服务化等诸多方面需要弥补增加。根据用户业务类型,针对技术支撑类、基础业务类、报道支撑类、社交应用类、运营服务类、应急定制开发类等业务类型需要统ー的云管理平台进行管控运维,需要云平台提供高可用、高并发的稳定架构,并且能够进行高效的资源分配与字服务编排,考虑到与共有云的对接,云平台能够很好地管理混合云架构，实现私有云与公有云的资源迁移。PAAS平台分析目前新华网应用系统多采用传统封闭开发架构搭建,存在信息孤岛、建设标准不统ー、交付周期长、重复建设、成本居高不下等诸多建设问题,形成应用与运行支撑环境难以分割的状态,并且缺乏系统与支撑环境弹性伸缩能力,造成了运维管理门槛高、运维成本高居不下、对各应用建设厂商依赖性强的严重问题;同时如何快速应对“互联网+”带来的用户量和数据量激增也对新华网信息化建设提出了新挑战。大数据分析目前新华网实现了系统所涉及到的业务数据、人员数据、单位数据等结构化及部分半结构化数据的存储与管理，但仍存在不足之处。一方面采用传统文件方式存储,存在性能和安全隐患;再ー方面,尚未有效开展部门内外部业务数据、社会协作部门信息数据及互联网数据等采集与整合,不利于大数据分析、挖掘与有效利用，阻碍了数据应用创新及专题分析。考虑到新华网现有数据处理的困惑和未来对大数据分析挖掘能力的需求，新华网需搭建一个能支撑数据全生命周期建设的大数据平台,为新华网提供从数据采集、存储、计算、分析到服务应用的能力支撑,满足新华网大数据处理及应用创新需求。安全分析随着云计算的迅速崛起，云安全也越来越备受业界的重视。云安全联盟CSA发布的《2016年十二大云安全威胁》报告给出了十二种云安全的严重威胁:数据泄露、凭证被盗和身份验证如同虚设、界面和API被黑、系统漏洞利用、账户劫持、恶意内部人士、APT寄生虫、永久的数据丢失、调查不足、云服务滥用、拒绝服务（Dos）攻击、共享技术，共享危险。这些威胁主要发生在企业用户在进行数据存储和业务交互过程中,绝大多数的云安全严重威胁都与数据安全相关。可见,数据安全对于云计算安全面言是不可回避的问题，必须在信息安全管理体系标准（ISO27001）下采用体系化建设思想、多层次的安全技术来保障云用户的数据安全。同时,使信息化安全建设满足等级保护、分级保护、SOX、企业内部控制基本规范等法律法规的要求。结合当前国内外云计算发展及新闻网络媒体系统安全的现状,分析新华网云安全建设目前所面临的主要风险,如下:（-）新华网的安全现状新华网在建设初期考虑了包括负载均衡（例如F5,A10等第三方硬件负载均衡设备）和外围边界型的安全产品（主要是一些外围边界型软硬件设备）,但是无法满足多架构云平台的建设现状,在整体安全建设架构中存在一定的滞后性。并且,部分边界网络设备可以依然进行利旧使用,但是其服务时间需要进行延长。本方案在结合当前云计算发展现状前提下,对新华网原有安全进行调整或完善。（二）云外层基础建设需求新华网云安全建设仍离不开外层传统的安全防护需求，如防火墙、IPS、防DDOS攻击、VPN、漏洞扫描等防护设备,对来自云平台外层的网络攻击行为采取及时地发现、检测、隔离、阻断等安全措施，部署物理隔离、逻辑隔离（防火墙）、入侵检测/防御、漏洞扫描、运维监控类安全保护设备，使新华网系统与网络系统避免遭受不必要的攻击。同时,对设备的单点故障、线路单链路故障、网络数据传输风险等安全因素都需要加以考虑。主机软件系统的安全需求:对于网络设备、安全保护设备、应用系统、服务器系统等缺乏操作系统升级、安全优化增强、补丁扫描、管理和修复等相关措施,这些操作系统存在弱点漏洞,容易被非法分子利用攻击，造成重大损失。（三）云平台内部需求分析在新华网云平台安全方面，确保云平台的自身健壮性、高可用性，以及避免云平台资源滥用是方案建设的根本需要,同时,还应实现云平台的业务隔离、区域隔离,以及对资源池的安全防护和审计等。因此安全需求包括:ー是云PMI设施缺失问题。目前局域网授权技术,难以支持云用户身份管理和业务授权需求。二是云应用数据资源的所有者和管理者分开导致所有权和控制权分离,“两头管理”出问题后如何界定职责。三是全程应用访问控制问题。目前局域网单点访问控制技术,难以支持以应用服务为中心的网络层、计算层、程序层的全程信息流管控和追责需求。四是高稳定高性能支持问题。云应用服务的性能和稳定性要求极高,当前缺乏能够与上层应用、下层虚拟计算资源联动的高性能负载均衡安全产品。五是数据安全问题。2016年度,国际云安全联盟提出十二大云安全威胁均与数据安全相关。尤为关注:数据丢失，数据泄漏,数据更改,内部人员越权看数据、偷数据、毁数据等。传统数据安全手段不支持新的云数据安全需求，原因是:均从单点考虑,无法满足以数据安全为中心的全程式信息流追责和管控的安全需求;涉密数据管控面向用户端数据防泄露，不支持云端数据防泄露;数据库安全加固不支持非结构化数据库和高性能文件系统等安全加固；数据容灾备份不支持海量大数据双活备份。鉴于此，可利用云数据集中模式特点，解决传统难以解决的安全问题;跨域数据交互问题、涉密数据集中管控和手持警务终端丢失问题。（四）云安全应用与运维需求通过对新华网云安全应用和运维的了解,云平台环境的复杂度、海量数据和高度虚拟化动态性使得云平台安全管理更为复杂,带来了新的安全管理挑战，如下所述;一是系统安全管理。系统安全管理要做到以下:1）漏洞、补丁及配置管理，以上成为维护云平台系统安全的必须手段:2）高效的入侵检测和事件响应;3）人员安全管理,需要采用基于权限的访问控制和细粒度的分权管理策略。二是安全审计。除了传统审计之外,云平台还面临新的安全审计挑战，审计的难度在于需要为大量不同的多租户提供审计管理，以及在云平台大数据量、模糊边界、复用资源环境下的取证。（五）公有云与私有云衔接安全需求新华网采用混合云在实现成本节约与数据安全兼顾的同时，诸多潜在的风险也逐渐浮出水面，这也是当前混合云所面临的巨大挑战。从安全角度出发,在混合云解决方案的搭建中，云架构师需要跨数据中心的冗余来减缓单ー数据中心宕机的影响，而缺少冗余对混合云而言可能是极其严重的安全风险。除此之外,私有云构架的SLA、管理员在混合云风险管理上的经验缺失、私有云与公有云上共同工作的安全控制都可能酿成混合云潜在的安全隐患。新华网如何确保他们的混合云环境是安全的并保持高性能运行是其核心安全需求,具体如下:ー是建立硬件防护、软件预防以及事后追踪的复合式云安全机制，并为用户提供全软件式的安全保障机制,使客户能够更灵活且无限扩展地使用混合云产品。二是建立了强大的数据中心监控体系以实时监控数据中心的运行状态,保证混合云的使用安全，极大程度上缓解了混合云在安全层面以及技术层面的潜在风险。三是根据新华网的企业规模及行业特性,为其提供全栈式的定制服务。打造完美契合新华网需求的混合云解决方案,实现公有云与私有云的全方位部署。现有设备分析目前新华网的主要服务器配置:服务器型号配置数量DELLR730DellR730配置2颗IntelXeonE5-2620v32.4GHz6核处理器:配置内存!28GB；6块希捷300GB10KRPMSAS热插拔硬盘;独立硬件RAID卡，1GBNV缓存;4个Intel千兆网口;集成iDRACEnterprise远程管理卡;冗余热插拔电源;导轨及电源线；7年原厂?x24X4小时专业技术支持浪潮SA5112M4浪潮SA5112M4配置2颗IntelXeonE5-2620v32.4GHz6核处理器;配置内存64GB：6块希捷600GB10KRPMSAS热插拔硬盘；2208raid卡RAID卡,1GBNV缓存;4个Inte!千兆网口;集成远程管理卡；冗余热插拔电源:导轨及电源线;7年原厂7x24X4小时专业技术支持深信服AD-5000深信服AD-5000负载均衡设备四核CPU,系统内存8GB6个GE电ロ,4个千兆光口,4个多模千兆光纤模块；配置2个万兆光口冗余电源5年全免费质保服务,提供7X24X4小时响应,提供7X4小时上门服务

HPDL380Gien92*E52630V3/8*16GB/8*300GBSAS10K/4端口千兆网卡/500W电源120HPDL380Gien92*E52630V3/4*16GB/2*480GBSATASSD+6*1TB12GSAS7.2K2.5/4端口千兆网卡/500W电源100DELLR7302U机架式服务器,带可调节机架安装导轨,2颗IntelXeonE5-2630v3CPU,6块热插拔2.5寸IT7.2KSAS希捷硬盘和2块2.5寸480G固态硬盘;128GB(8X16GB)DDR42133MHzRDIMMsECC内存,PERCH730PRAID卡2GB缓存,4端ロ千兆Inteli350网卡,热插拔冗余电源,单电源功率495,内置iDRACExpress设备远程管理控制卡1块,整件产品5年原厂售后服务。100DELLR7302U机架式服务器,带可调节机架安装导轨,2颗IntelXeonE5-2630v3CPU,8块热插拔2.5寸300G10KSAS希捷硬盘:128GB(8X16GB)DDR42133MHzRDIMMsECC内存,PERCH730PRAID卡2GB缓存,4端ロ千兆Inteli350网卡，热插拔冗余电源，单电源功率495,内置iDRACExpress设备远程管理控制卡1块,整件产品6年原厂售后服务。30DELLR7302U机架式服务器,带可调节机架安装导轨,2颗IntelXeonE5-2630v3CPU,8块热插拔3.5寸4T7.2KSAS希捷硬盘，2块7.2K2.5寸SAS1TB；128GB(8X16GB)DDR42133MHzRDIMMsECC内存,PERCH730PRAID卡2GB缓存，4端ロ千兆Inteli350网卡,热插拔冗余电源，单电源功率495,内置iDRACExpress设备远程管理控制卡1块,整件产品7年原厂售后服务。100DELLR7302U机架式服务器,带可调节机架安装导轨，2颗IntelXeonE5-2630v3CPU,12块热插拔3.5寸4T7.2KSAS希捷硬盘和2块2.5寸Itb后置;128GB(8X16GB)DDR42133MHzRDIMMsECC内存,PERCH730PRAID卡2GB缓存,4端ロ千兆Intel1350网卡,热插拔冗余电源，单电源功率495,内置iDRACExpress设备远程管理控制卡1块,整件产品8年原厂售后服务。50DELLR7302U机架式服务器，带可调节机架安装导轨，2颗IntelXeonE5-2630v3CPU,12块热插拔3.5寸4T7.2KSAS希捷硬盘和2块2.5寸1TB后置;128GB(8X16GB)DDR42133MHzRDIMMsECC内存,PERCH730PRAID20

卡2GB缓存,4端口千兆新华网云计算平台需求221nteIi350网卡,SFP+万兆Intel网卡,热插拔冗余电源,单电源功率495,内置iDRACExpress设备远程管理控制卡1块,整件产品9年原厂售后服务。SureSaveUA-5000DSureSaveUA-5000D双控制器每个控制器缓存为48GB配置48块900GlOKrpm2.5寸SAS磁盘配置8个8Gb主机接口，千兆以太网端口数量为4个5年全免费质保服务,7X24X4小时响应,7X4小时上门服务3总体方案设计建设目标综上所述,此次云平台建设的需求及目标概括如下:统筹规划、整合现在技术系统资源,全面打造可持续提供基础设施、平台和应用三种服务形式的云计算平台。实现资源的按需分配、按需扩展，实现系统从粗放型分散建设向集约型云计算模式转变，最终形成统ー的以“信息集成、资源共享”为特色的云计算管理平台和云计算服务平台。1、可以实现将新华网的硬件资源重新进行统一管理、统一分配、统一部署、统ー监控和统ー运维。实现业务系统硬件资源的ー键式分配,缩短系统搭建周期。2、完成云平台的分区分层分级设计和建设,实现不同区域资源规划和安全隔离，实现云运营、云管理、云运维、云安全、云应用等模块的标准化、流程化、可视化。3、实现自建云计算平台与公有云的资源共享和融合，通过对自建云计算平台和公有云进行统一管理，实现资源和服务之间的互通、动态调度、必要数据的相互备份建设原则基于实际需求，本着科学、经济合理的完成本次项目任务，并满足长远规划的要求,在本方案总体设计中,必须充分考虑和遵循以下原则:＞实用性云平台建设满足项目实际需求,符合业界及公司IT战略规划。通过该云平台建设,以期实现对IT资源的整合与云化,提升IT资源的管理能力与IT服务能力，更好地支撑公司业务运营与未来发展。＞先进及成熟性云计算平台应采用成熟的、具有国内外先进水平的,并符合云计算发展趋势的技术、软件、设备及服务。同时,积极吸纳业界先进成熟的科技成果,能够及时更新、升级，确保平台能力和应用能力与时俱进,以保证系统平台具有较长的生命力和扩展能力。＞髙可用及髙可靠性云计算平台应支持容错、自恢复、髙可扩展，允许应用系统从不可避免的硬件、软件错误中恢复，确保应用系统的正常运行和数据存储的高可靠。云计算平台应提供远程、跨节点的容灾机制，保证业务连续性。＞用户体验及可维护性应具有一个统ー良好的运营流程及功能。具有例如多租户管理、成本分摊、运营管理、分析统计等运营流程功能。应具有良好的用户体验,系统在设计上要充分考虑到用户的直观感受，保证给用户带来良好的使用体验与观看体验。云平台设计应做到流程合理,功能完善,操作简单直观，维护管理方便。其工作流程和操作环节应直观、简洁，工作实际的需求髙度结合，切实提髙工作效率,提升用户体验，降低运营成本。＞经济性合理的性能价格比是系统设计中应当考虑的重要内容。因此，系统产品在兼顾良好功能性能的基础上应要考虑经济性，既要考虑系统当前初建成本，也应考虑系统的未来长期运行成本，避免未来投入巨大，或者推到重来的更大成本。＞兼容及扩展性云计算平台应兼容业界通用的服务器，主流的操作系统，第三方存储,虚拟化软件，以及应用程序。云计算平台的资源能够快速、弹性和自动化地供应，从而提供持续的云服务能力。云计算平台应提供大规模、分布式集群的管控能力,通过增加物理设备，实现总体网络资源、计算/存储资源、内存资源和数据库资源的自动扩展。云计算平台应考虑到业务未来发展的需要，提供良好地横向扩展能力，即根据业务、管理要求,跨机房、跨地区增加云计算节点，能够很好解决技术或者法律许可限制。根据实际情况，该云平台应支持混合云部署模式，本地专有云部署核心业务关键数据，同时也可以灵活地将业务部署到公有云上,以公有云的安全体系提高安全等级,充分利用公有云抗攻击、多出口、灵活随需取用等优势。＞开放性应用支撑平台和应用系统在设计时,考虑未来各个系统（己建,正建和将建的系统）能够在云平台上进行互联互通，能够灵活的迁移，保证系统能与其它系统进行快速、顺利的信息交换，便于系统扩展和升级。系统应提供开放式和标准化的API接ロ,可便捷和第三方系统对接。能够统ー的管理公有云与私有云，并且能够很好的调配公有云与私有云之间的资源，能做到云资源平滑迁移与互备。＞安全性安全性包括两个方面,ー个是安全:主要指防止外部对网络的攻击和入侵;另ー个是保密:主要指防止网络内部信息的泄漏。云计算平台安全设计应按照云服务的使用范围以及层次,提供相应的云服务安全体系,并与安全防护体系、安全运维体系相结合,形成完整的云计算平台防护体系。总体方案设计总体架构设计内网区总体架构设计拓扑新华网方案私有云建设分为内网区和DMZ区,两者之间物理隔离。内网区中包括Regionl和Region2,Region!通过部署Docker与公有云对接,Region2包括计算服务区、存储服务区以及大数据服务区。计算服务区根据用户实际业务需求包括中间件服务区,对CPU要求不高,内存需要偏大,对磁盘空间及性能要求不高,本次建设采用双路服务器搭建环境,后端挂载glusterfs,NAS存储。存储服务区包括现有存储FAS300〇、FAS8020两台，5500V3,6800V3,其中一台FAS8020和6800V3共剩余380TB可用空间,另外一台FAS8020用于音视频的nas存储使用，空间剩余3TB,不建议整合。两台FAS3000用于存放归档数据，定期删除，不建议整合。5500V3存储oracle数据库,剩余空间不足10%,不建议利旧。本次方案将FAS8020和6800V3通过虚拟化网关方式统一整合，统ー资源调配，已经映射的卷和挂载的目录不进行修改,不影响业务，剩余的空间可以直接把存储空间以逻辑卷方式映射给虚拟化网关，通过虚拟化网关二次映射，对外提供统一的存储资源，完成异构存储空间整合。应用服务区对cpu,内存，磁盘没有特别需求,采用双路服务器搭建，后端连接共享存储。关系型数据库服务器对cpu、内存、磁盘性能、网卡性能需要较多，配置高资源的虚拟机来搭建。后端挂载glusterfs,NAS存储。非关系型数据库内存需求量比较大,配置大内存的虚拟机。计算服务区除了本次需要部署的虚拟化资源，还包括前期购置的物理环境，本次方案建设将原有的10组RAC数据库统ー纳管到云平台中。大数据服务区包括分布式环境和分布式数据仓库。大数据服务主要提供大数据处理和存储的服务。提供从GB到PB级数据在高并发访问、数据查询和分析处理等不同应用场景大数据处理的能力,解决新华网业务的复杂性、多样性、数据量大等问题，可以快速搭建大数据处理环境,简化大数据使用的门槛。DMZ区包括web前端服务区和缓存服务区。Web前端服务区易耗CPU,内存需求小，对磁盘大小及性能要求不高,后端挂载glusterfs或NAS存储。缓存服务区对内存需求较大，本次方案配置大内存的虚拟机。总体功能设计

SAAS安全管理服务开放接口a 开放服务:噥あ放«QKsmnamaw 数据税目 数ゼ可や 服务列裏PAAS•弾性云主机・负我SAAS安全管理服务开放接口a 开放服务:噥あ放«QKsmnamaw 数据税目 数ゼ可や 服务列裏PAAS•弾性云主机・负我均衡K务工对象储服务云应用引擎数据库服务消息队列霰务分布式爆存物理资源池 Docke资源池基础环境适配计算服务 存储服务 网络服务 安全服务IAAS• 朝»资源池 ・• 物理资源池计算资源 存储资源 网络资源 安全资源功能架构图基础设施管理平台(IAAS)包括内网区和DMZ区的机房配套建设,以及以服务器、网络、存储及其虚拟化、资源池、云管理、现有资源利旧等为主的基础设施建设。计算、存储、网络等组成内网建设的基础设施,通过云管理平台实现云资源管理,提供资源池化、VDC服务、自动伸缩服务、全局调度服务、云主机、高性能存储块、自助服务等功能。基础支撑层根据按需提供服务的自助管理基础架构汇集基础资源,通过对底层服务器、存储资源虚拟化聚合部署,利用海量数据存储系统，配合基础设施平台管理软件,实现新华网基础支撑层建设。大数据管理平台(PAAS)是对新华网大数据应用的平台和环境支撑，通过构建统ー应用开发测试环境服务和大数据服务特征具备海量数据存储、处理与挖掘分析的大数据处理平台,为新华网各项云应用、协作服务以及社会民生服务,提供统ー开发、运行和管理接口。应用开发测试环境服务提供动态环境构建、消息引擎、分布式队列、任务调度等服务,主要建设开放式数据中间件、处理中间件、服务中间件、开发工具包等服务模型,支持多种开发框架、编程语言、基础服务的灵活选择，在技术层面上形成具有选择性和扩展性的生态体系，允许对开发框架、基础服务或架构进行扩展和集成,从而为开发扩展功能,提供更加完善的应用支持环境。大数据处理平台，整合了关系数据库、分布式数据文件系统、NoSQL型数据库、内存数据库、SQL查询引擎、大数据分析等存储分析工具工具等,并向上提供开发接口,为新华网构建一个安全,海量计算与存储资源的大数据处理平台,方便前端应用使用。数据服务层(DAAS)。数据资源库通过数据整合的方式抽取海量结构化和非结构化数据，构建了存储全量数据的数据仓库，并在此之上通过二次抽取和关联建立的基础数据资源库和各类应用服务资源库;数据资源库通过数据资源目录和数据标准化等方式实现全局资源的台账管理和共享服务:数据服务以服务的形式封装了数据比对、数据查询、数据搜索、数据统计等多类基础服务，并通过服务目录、服务注册、服务请求、服务监控等方式形成全局的服务资源台账:资源服务总线基于SOA思想构建，提供了一套完善的资源服务体系,为服务资源调用提供总线支持。应用服务层(SAAS)直接为用户提供各类应用服务。应用服务层提供了几类基于云中丰富数据资源和髙性能计算资源所建立的服务的基础性的大数据应用服务，包括云搜索、云挖掘等。在此基础上，为了更好地服务新华网云建设，需要建立云安全和云运营两套支撑体系。其中云安全保障体系设计遵照相关安全规范和信息系统安全性相关的法律法规。从物理设施安全、网络安全、主机安全、应用安全、虚拟化安全、数据保护、用户管理和安全管理等几个方面入手，为用户制定对应的安全措施，为新华网云体系建设提供安全保障。建设新华网云运营管理体系是在基础设施运维管理系统的基础上,完善已有功能,建设由运营管理、服务保障、资源池自动化、IT服务管理、基础设施管理等的几大模块组成的新华网云建设统一管理平台。运维管理系统所涉及的监控、检测等工作与整个系统和网络、应用的运行效率密切相关,安全性较髙，所使用的系统设备需单独配置，并应设置在专门网段,实行单独的访问控制机制。资源池分区规划资源池分区逻辑架构新华网云计算数据中心逻辑架构分为基础设施层、虚拟资源池、物理资源池、Docker资源池、安全管理区和运维管理区组成。逻辑架构图如下图所示:资源池逻辑架构图基础设施:基础硬件设备,包括服务器、存储、网络,以及云数据中心所需的机房运行环境等设备,是整个云数据中心的物理承载实体。虚拟资源池:包含虚拟化软件与云计算管理平台。虚拟化软件实现基础设施层服务器、网络、存储等硬件资源抽象,形成不同集群的计算资源池、存储资源池,通过虚拟化HA、vMotion等功能实现云中心硬件资源的高可用、在线运维和资源动态调度等。云计算管理平台