云计算平台建设总体技术方案_第1页
云计算平台建设总体技术方案_第2页
云计算平台建设总体技术方案_第3页
云计算平台建设总体技术方案_第4页
云计算平台建设总体技术方案_第5页
已阅读5页,还剩115页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

云计算平台工程技术方案天津一普信成科技2021年3月目录第1章. 根本情况 61.1. 工程名称 61.2. 业主单位 61.3. 工程背景 61.3.1. XX技术开展方向 61.3.2. 有关XX公开的相关要求 71.4. 建立规模 71.5. 投资概算 101.6. 设计依据 101.7. 设计范围 101.8. 设计分工 11第2章. 现状及需求分析 122.1. 工程意义及建立必要性 122.2. 现状分析 132.3. 需求分析 142.3.1. 长期需求 142.3.2. 本期需求 14第3章. 总体设计 173.1. 建立目标 173.1.1. 预期总目标 173.1.2. 阶段性目标 183.2. 建立内容 183.3. 系统的总体构造 193.3.1. 设计原则 193.3.2. 建立思路 213.3.3. 总体拓扑构造 233.4. 信息的分类编码体系 263.5. 质量保证体系 27第4章. 建立方案 294.1. 网络资源池 304.1.1. 组网物理拓扑图 304.1.2. 网络负载均衡设计 314.1.3. 网络虚拟化设计 334.1.4. IP地址及DNS规划 374.1.5. 网络端口资源估算 424.2. 计算资源池 434.2.1. 计算资源池架构 434.2.2. 应用系统分析 444.2.3. 计算资源池建议配置与选型建议 454.2.4. 计算资源池部署 484.2.5. 虚拟化软件选型分析 504.3. 云计算管理平台 524.3.1. 云资源管理平台建立方案 534.3.2. 云运营管理平台建立方案 634.4. 云计算平安防护方案 734.4.1. 云计算平台平安威胁 734.4.2. 云计算平台平安防护目标 744.4.3. 云计算平台平安架构 754.4.4. IaaS层平安 754.4.5. PaaS层平安 914.4.6. SaaS层平安 924.4.7. 公共平安 944.4.8. 平安管理制度 1004.4.9. 云平安效劳 1014.5. 机房方案 1024.5.1. 机房设备集中管理 1024.5.2. 布线系统 1034.5.3. 机房系统 1034.5.4. UPS配置方案 1054.6. 标准化工作 1114.6.1. 标准标准建立的原则 1114.6.2. 标准标准的总体框架 112第5章. 设备配置要求 115第6章. 工程实施与运行维护 1206.1. 建立流程及进度安排 1206.1.1. 团队组建 1216.1.2. 业务连续性方案规划 1226.1.3. 实施方案详细设计 1226.1.4. 实施方案详细会审 1236.1.5. 运维制度的设计 1236.1.6. 运维制度的会审 1256.1.7. 采购设备和根底设施改造 1256.1.8. 平台机房端系统改造调测 1266.1.9. 设备安装调测 1266.1.10. 系统联调 1276.1.11. 人员技术和制度培训 1286.1.12. 工程验收投产 1286.2. 工程建立管理及组织机构 1296.2.1. 领导组织机构 1296.2.2. 工程建立机构 1296.2.3. 工程沟通 1306.2.4. 工程文档管理 1316.2.5. 运维及管理的组织机构 1326.2.6. 运维及管理的标准 1336.2.7. 运维模式 1356.2.8. 人员配置和培训 135根本情况工程名称云计算平台工程。业主单位XXX公司。工程背景技术开展方向即运用计算机、网络和通信等现代信息技术手段,实现组织构造和工作流程的优化重组,超越时间、空间和部门分隔的限制,建成一个精简、高效、廉洁、公平的政府运作模式,以便全方位地向社会提供优质、标准、透明、符合国际水准的管理与效劳。随着网络技术、、下一代互联网等技术的开展,我国云建立也发生着变化。2021年10月,国务院发布了国务院关于加快培育和开展战略性新兴产业的决定,就把新一代信息技术产业作为十二五时期的重点方向,要推动新一代移动通信、下一代互联网核心设备和智能终端的研发及产业化,加快推进三网融合,促进物联网、云计算的研发和示范应用。有关云公开的相关要求全国云领导小组发布了关于开展依托云平台加强县级政府云和政务效劳试点工作的意见,就开展依托云平台加强县级政府云和政务效劳试点工作提出了相关意见。要求在试点县〔市、区〕,用一年左右时间,建立和完善统一的云平台,充分利用平台全面、准确发布政府信息公开事项,实时、标准办理主要行政职权和便民效劳事项,并实现电子监察全覆盖,为在全国全面推行奠定根底、积累经历。建立规模本期建立规模为〔后续根据实际效劳器及机房环境进展调整〕:编号设备数量单位硬件设备刀片式PC效劳器片刀片效劳器机箱个机架式PC效劳器〔4CPU〕台机架式PC效劳器〔2CPU〕台FCSAN磁盘整列台NAS存储系统台异构存储〔云存储〕控制系统台虚拟带库台SAN光纤交换机台核心交换机台会聚交换机台链路负载均衡设备台效劳器负载均衡设备台防火墙台接入交换机台WEB应用防护抗攻击系统台入侵防御系统台防病毒网关台VPN网关台数据库平安审计系统台运维平安审计系统台平安代理应用效劳器台PKI应用效劳器台身份认证系统套网闸台网络KVM台KVM集中器台短信机MAS信息机台云计算平台管理软件套企业版〔1CPU〕72套,VmwarevCenter标准版1套套GalaX8800OperatingEditionV100R001for1CPU,一年技术效劳套WindowsServer2021R2中文企业版套RedHatEnterpriseLinux-企业版套物理机高可用群集软件套虚拟机高可用群集软件套应用效劳器软件套Oracle数据库管理系统套MSSQL数据库管理系统套MySql数据库管理系统套数据备份软件套目录效劳器软件套防病毒软件套漏洞扫描设备台网页防篡改软件套SOC平安管理系统套云平安效劳套UPS套标准机架台机房精细空调台投资概算本工程本期工程概算总投资为XXXX万元〔人民币〕。设计依据中华人民共和国国民经济和社会开展第十二个五年规划纲要;计算机场地技术条件〔GB2887-89〕计算站场地平安要求〔GB9361-88〕电子计算机机房设计标准〔GB50174-93〕供配电系统设计标准〔GB50052-92〕低压配电装置及线路设计标准〔GBJ—83〕建筑物防雷设计标准〔GB50057-94〕电子设备雷击保护守则〔GB7450-87〕工业企业通信接地设计标准〔GBJ79-95〕中华人民共和国保密标准〔BMB3-1999〕涉密信息设备使用现场的电磁泄漏发射防护要求〔BMZ1-2000〕涉及国家机密的计算机信息系统保密技术要求〔BMZ1-2000〕涉及国家机密的计算机信息系统平安保密方案设计指南〔BMZ2-2001〕涉及国家计算机信息系统平安保密测试指南〔BMZ3-2001〕设计范围本方案涉及范围包括以下几个局部:根本情况;现状与需求分析;总体设计;建立方案;设备配置要求;培训及维护;工程实施;概算编制。设计分工待定。

现状及需求分析工程意义及建立必要性XX单位作为信息化建立持续居于全国前列的经济信息大省,对云计算的表现模式及其能够带来的经济效益表现出持续关注。本工程提出建立政务云计算平台,对于整合云资源、提高省直部门计算资源配置效率,建立重复信息化投资,打造绿色云,推动高新技术产业开展,都具有长远的现实意义。〔1〕云计算是信息技术和产业开展的必然趋势云计算是网格计算、分布式计算、虚拟化等传统计算机技术和网络技术开展融合的产物。它旨在通过网络把多个本钱相对较低的计算实体整合成一个具有强大计算能力的完美系统,并借助SaaS、PaaS、IaaS、MSP等先进的商业模式把这强大的计算能力分布到终端用户手中。作为一种新兴技术和商业模式,云计算将加速信息产业和信息根底设施的效劳化进程,催生大量新型互联网信息效劳,带动信息产业和信息化建立格局的整体变革。加快云计算开展,不仅是我省提升数字XX综合竞争力、培育新增长点的重要途径,也是促进产业机构调整、率先实现跨越式开展的重要举措。〔2〕县级XX是推动XX单位云计算应用的第一步云计算是当今信息技术、信息化的战略制高点。当前,我省正在贯彻落实国务院办公厅转发全国XX领导小组关于开展依托XX平台加强县级政府XX和政务效劳试点工作意见的通知,将县级XX作为推动XX单位云计算应用的第一步,在实践中摸索云计算为XX单位带来的新机遇,通过政府应用起到的示范和带动作用,促进全省信息化建立水平的提高,带动信息产业的开展,战略信息技术及产业的战略高地。〔3〕提高政务部门计算资源配置效率,减少重复建立,节能减排XX单位XX建立以来,全省部署了大量的业务应用系统,涉及海量的网络设备、效劳器及存储设备。这些设备CPU和内存利用率残差不齐,大多数较低,局部工作效率在20%以下,同时也有局部部门计算硬件资源极端匮乏。这样,不仅闲置了珍贵的计算资源,浪费了电力,不利于节能减排,又未能很好地解决资源匮乏部门的实际问题。如果将这些设备整合建立为云计算平台,效劳器的利用效率将得到极大提升〔40%~60%〕,能够动态、弹性、可回收地为各政务部门提供效劳。总之,云计算可望提高应用程序部署速度、促进创新和降低本钱,同时还增强了业务运作的敏捷性。本工程对我省云计算的开展和应用具有带动、示范、效劳、探索等多重作用,对带动我省信息化建立进入新阶段,探寻我省新的经济建立模式具有重大的现实意义,有必要尽快实施。现状分析XX单位已经建成了较为完善的XX网络系统,经过04年、06年两次大的扩容改造后,覆盖全省的XX网络全面建成,信息资源目录体系与交换体系、信息资源公开和共享机制、信息平安根底设施根本建立,重点业务应用系统实现互联互通,管理体制进一步完善,信息技术在政府工作中得到普遍应用。XX单位信息中心作为负责XX单位政府政务数据中心建立和维护的核心信息化部门,效劳于XX单位政府部门宏观决策支持、信息资源开发利用、数据交换、XX、信用体系建立等六大重点业务,按照工信部和国家发改委的要求,近年来一直致力于政务云计算的铺垫和准备工作,逐步完成了政务数据整合和云就绪准备的前期工作。为推动数字XX建立科学开展,创新XX建立模式,推进云计算应用及相关产业的开展,根据省领导指示精神,下一步将重点建立XX单位政务云。在完成了各部门分散的IT资源和信息数据的整合之后,政府将通过云计算平台,实现面向更多公众效劳、带动本地信息化开展等目标。需求分析长期需求满足未来10年XX单位信息化建立基于XX的信息系统对网络、效劳器、存储、软件等根底架构的需要,面向全省政务系统提供信息共享平台及云计算平台。根据XX单位政府和省经信委对数字XX的长远规划,不仅要搭建XX云计算平台,试点并承载相关业务,还需要进展XX云计算平台的开发和建立,运行核心业务系统。本期需求满足今后3到5年XX单位信息化建立基于XX的信息系统对网络、效劳器、存储、软件等根底架构的需要。鉴于每个应用系统对根底架构资源的需求难以确定,本期工程暂时按照最小经济规模的云计算平台建立,计算资源池的效劳器物理数量规划为XXX台,存储及网络设备根据实际需要进展配套。硬件需求本次需要配置的硬件包括:主机:刀片效劳器、机架式效劳器等;存储:SAN存储、NAS存储、IP存储、虚拟带库、易购存储控制系统、SAN交换机等;网络设备:路由器、交换机、负载均衡、VPN网关等;平安设备:防火墙、入侵防御、防毒墙、运维平安审计系统、数据库平安审计系统、漏洞扫描系统。软件需求除了需要配置一定数量的效劳器、存储、网络设备和平安防护设备外,还需要配备相应的系统软件,如:每台物理效劳器和虚拟效劳器的操作系统:Windows、Linux等效劳器操作系统。虚拟化软件:实现效劳器和存储资源的虚拟化,建立弹性、智能、可回收的资源池;对于新购置的设备,需要进展虚拟化套件的安装调试。中间件:JAVA及.NET架构的应用效劳器等。大型数据库系统:Oracle、SQLServer、MySQL等。云计算管理平台:包括网络管理、资源管理、用户管理、统计报表、账单、监控、告警等管理功能。平安需求虚拟机的应用将导致物理网卡上的流量成几何倍数增加,为了应对云计算环境下的流量变化,平安防护体系的部署需要朝着高性能的方向调整。平安设备必然要具备对高密度的10GE设置100G接口的处理能力。同时,考虑到云计算环境的业务永续性,设备的部署必须要考虑到高可靠性的支持,不仅要考虑到设备的可靠性,如采用高性能高可靠高成熟的产品,还应该考虑到设计的可靠性,如双机热备、设备虚拟化、配置同步、板件冗余和预留、跨设备链路捆绑、硬件ByPass等技术的应用。配置防火墙、入侵防御、漏洞扫描、网页防篡改、全接入网关和身份认证系统,并从平安区域划分、接入层平安、效劳器区的平安和平安管理等多方面加强云计算平台的防护。特别是接入层,采用VPN网关,注册用户从云计算管理中心获得VPNClient,通过VPNClient就可以连接到自己需要的云。效劳器平安方面,所有物理效劳器全部配置相应的平安策略,制止不用的端口的访问,同时在虚拟机模板系统中只翻开最小可用端口〔如SSH、、s等〕,以保证初始系统的平安性。建立应用节点准入标准,保证应用节点自身的平安防护,防止云内发生穿插感染。平安管理方面,则以管理制度为主、技术管控为辅,双管齐下。机房需求鉴于信息中心机房UPS、精细空调承载有限,本工程本期工程应做相应扩容建立。

总体设计建立目标预期总目标整合信息化建立资源,充分利用现有政府网站和政务〔行政〕效劳中心根底设施,结合集约化社区效劳信息网络平台建立,对现有XX平台进展调整、升级和改造,满足XX和政务效劳应用需要。具体包括:采用云计算技术,结合创新建立模式,搭建标准统一、功能完善、系统稳定、平安可靠、纵横互通、集中统一的XX云计算平台,为各部门信息资源共享、数据交换和系统办公提供良好的支撑。通过建立XX云计算平台,方便未来将新增XX应用快速部署到云计算平台上,大大缩短新IT系统的上线时间,预期将节省设备30%,节约能耗50%。解决“信息孤岛〞,实现信息共享,提高信息平安水平,提升政府监控能力和响应速度,提高工作效率和公共效劳水平,提供面向社会的专业性效劳和为社会公众提供政务信息效劳。通过降低本钱、提升效率、节能减排,满足XX要贯彻落实科学开展观,转变开展模式的需要。满足在云计算平台上搭建XX应用系统的需要,包括以三层架构为主的应用系统,以及大访问量的应用系统、大数据处理量的应用系统以及大计算量的应用系统。云计算试点业务运行稳定之后,普及和推广云计算模式,将XX系统、政府网站应用系统、政务效劳业务应用系统、电子监察应用系统等纳入政务云计算平台,通过建立政务效劳事项信息库、办理过程信息库、办理结果信息库、监察规则信息库、监察业务信息库等五个信息库,实现政务效劳和电子监察信息资源管理。XX单位政务云计算建立的总体目标是,实现省级政务系统数据共享,利用云计算弹性、智能、可回收的技术优势,低投资、低能耗、高效率地部署居民安康档案系统、统计直报系统、生猪屠宰监管与溯源系统等与政务职能工作相关的应用系统。XX网络、政府网站、业务管理系统、应用及数据效劳中心和信息平安保障体系等纳入统一的政务云计算平台。阶段性目标为满足XX和政务效劳试点工作的业务需求,基于网络技术、云计算等新兴IT技术手段,建立统一的XX承载平台,根据XX和政务效劳目录,将更多的行政职权纳入电子化平台的业务系统办理,建立覆盖行政职权和便民效劳事项办理流程的各个环节的电子监察体系。在初步阶段根底设施先行,建立XX单位XX统一根底承载平台,基于云计算的模式,融入虚拟化等技术,具备统一、共享的特性,可以承载XX、金宏工程等试点业务应用。 同时为下一阶段进一步开展云计算的PAAS、SAAS等业务平台应用,进展经历积累和技术探索。建立内容本工程在充分整合XX数据中心资源的根底上,配置必要软硬件设备,为省直部门的信息系统提供统一的根底设施效劳,在IaaS层构建较为完整的XX云计算平台。建立内容包括以下几局部:硬件设备:刀片效劳器、机架式效劳器、SAN存储、NAS存储、IP存储、虚拟带库、易购存储控制系统、SAN交换机、路由器、交换机、负载均衡、VPN网关。软件设备:物理效劳器和虚拟效劳器的操作系统、虚拟化软件、中间件、大型数据库系统、云计算管理平台。平安系统:防火墙、入侵防御、防毒墙、网页防篡改、身份认证系统、运维平安审计系统、数据库平安审计系统、漏洞扫描系统。同时采购专业机构提供的云平安效劳等。机房配套设备:UPS、精细空调、标准机架。系统的总体构造设计原则标准化当前阶段云计算整个产业化还不够成熟,相关标准还不完善。网络是云计算的核心承载平台,为保证多厂商的良好兼容性,防止厂商技术锁定,网络方案的设计应需要采用标准技术与协议,能够与第三方厂商保持良好的对接。此外,为保证方案的前瞻性,设备的选型应充分考虑对云计算相关标准〔如EVB/802.1Qbg,TRILL等〕的扩展支持能力,保证良好的先进性,以适应未来的技术开展。高可用为保证数据业务网的核心业务的不中断运行,在网络整体设计和设备配置上均是按照双备份要求设计的。在网络连接上消除单点故障,提供关键设备的故障切换。关键设备之间的物理链路采用双路冗余连接,按照负载均衡方式或active-active方式工作。关键主机可采用双路网卡来增加可靠性。全冗余的方式使系统到达99.999%的电信级可靠性。要求网络具有设备/链中故障毫秒的保护倒换能力。具有良好扩展性,网络建立完毕并网后应可以进展大规模改造,效劳器集群、软件功能模块应可以不断扩展。良好的易用性。简化系统构造,降低维护量。对突发数据的吸附,缓解端口拥塞压力,能保证业务的流畅性等。增强二层网络云计算环境下,虚拟机迁移与集群是两种典型的应用模型,这两种模型均需要二层网络的支持。随着云计算资源池的不断扩大,二层网络的范围正在逐步扩大,甚至扩展到多个数据中心内,大规模部暑二层网络则带来一个必然的问题就是二层环路问题。采用传统STP+VRRP技术部署二层网络时会带来部署复杂、链路利用率低、网络收敛时间慢等诸多问题,因此网络方案的设计需要重点考虑增强二层网络技术〔如IRF/VSS、TRILL、VPLS等〕的应用,以解决传统技术带来的问题。虚拟化虚拟资源池化是网络开展的重要趋势,将可以大大提高资源利用率,降低运营本钱。应有效开展效劳器、存储器的虚拟资源池化技术建立,网络设备的虚拟化也应进展设计实现。效劳器、存储器、网络及平安设备应具备虚拟化功能。高性能由于云计算网络中的流量模型发生了变化,,而随着整个云计算业务的开展,业务都分布在各个效劳器上,流量模型从纵向流量转换成复杂的多维度混合的方式,整个系统具有较高的吞吐能力和处理能力,系统各层均不存在阻塞,具备对突发流量的承受能力。开放接口为保证效劳器、存储、网络等资源能够被云计算运营平台良好的调度与管理,要求系统提供开放的API接口,云计算运营管理平台能够通过API接口、命令行脚本实现对设备的配置与策略下发。绿色节能节能减排是目前网络建立的重要系统工程之一,从网络机房的整体能耗来看,IT设备约占到30%,空调等制冷系统约占45%,UPS、照明等辅助系统约占25%。所以作为IT设备的节能,不仅要考虑本身能耗比拟低,而且要考虑其热量对空调散热系统的影响。应采用低能耗的绿色网络设备,采用多种方式降低系统功耗。建立思路云计算是一种新型的计算资源利用模式。它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和信息效劳。按照效劳实现的程度,目前云计算主要有IaaS、PaaS、SaaS三种业务模式:1)根底架构效劳(IaaS)Iaas层是以效劳的模式提供虚拟硬件资源,主要是将根底设施资源〔计算、存储、网络带宽等〕进展虚拟化和池化管理,便于实现资源的动态分配、再分配和回收。目前资源池主要分为计算资源池、存储资源池和网络资源池,同时也包括软件和数据等内容资源池。在效劳提供方面主要以计算资源、存储资源提供为主,如为业务信息系统分配虚拟效劳器、有储空间,提供给用效劳器、数据库管理系统等应用系统运行环境。2)应用平台效劳(PaaS)PaaS层主要提供给用开发、测试和运行的平台,用户可以基于该平台,进展应用的快速开发、测试和部署运行,它依托于云计算根底架构,把根底架构资源变成平台环境提供给用户和应用。为业务信息系统提供软件开发和测试环境,同时可以将各业务信息系统功能纳入一个集中的SOA平台上,有效地复用和编排组织内部的应用效劳构件,以便按需组织这些效劳构件。典型的如门户网站平台效劳,可为用户提供快速定制开发门户网站提供给用软件平台,用户只需在此平台进展少量的定制开发即可快速部署应用。3)应用软件效劳(SaaS)SaaS软件即效劳,典型的运用模式就是用户通过标准的WEB浏览器来使用Internet上的软件,因此可以不必购置软件,只需要按需租用软件,直接应用。典型的如电子邮件系统的在线软件效劳,用户只需作简单的域名设置,即可部署本单位的电子邮件效劳。鉴于云计算平台应用需求的提出是一个渐进的过程,云平台建立是一项复杂的系统工程,建议XX云计算平台遵循长期规划、分步实施的原则,本期工程首先实现IaaS,后续工程根据应用的实际需求逐步支持PaaS和SaaS的实现。总体拓扑构造图1:XX云计算平台总体拓扑构造图根据本期工程的需求和建立目标,XX云计算平台总体逻辑拓扑构造如上图所示。通过链路负载均衡器实现多互联网出口〔具体链路供给商待定〕链路负载均衡及高可用。任何ISP专线故障,不影响业务系统正常访问;通过智能DNS系统实现接入用户的就近访问,即电信用户访问互联网接入区走电信链路,联通用户访问互联网接入区走联通链路。图2:XX云计算平台云效劳分层架构图XX单位XX云计算平台云效劳分层架构图如上图所示。整个架构分为三层和两体系:根底设施效劳层(IaaS)、平台效劳层(PaaS)、应用软件效劳层(SaaS)、信息平安体系和运营管理体系,其中信息平安体系和运营管理体系有信息平安管理平台和运营管理平台构成。IAAS及管理、平安体系建立是本次的建立内容,PAAS、SAAS在后续规划建立。1、根底设施效劳层包括硬件根底设施子层、虚拟化&资源池化子层、资源调度与管理自动化子层。硬件根底设施子层:包括主机、存储、网络及其他硬件在内的硬件设备,它们是实现云计算的最根底资源;虚拟化&资源池化层:通过虚拟化技术进展整合,形成一个对外提供对资源的池化管理〔包括网络池、效劳器池、存储池等〕,同时通过云管理平台,对外提供运行环境等根底效劳。资源调度与管理自动化子层:在对资源〔物理资源和虚拟资源〕进展有效监控、管理的根底上,并且通过对效劳模型的抽取,提供弹性计算、负载均衡、动态迁移、按需供给、自动化部署等功能,它是实现云计算的关键所在。2、平台效劳层主要在IaaS之上提供统一的平台化系统软件支撑效劳,包括统一身份认证效劳、访问控制效劳、工作流引擎效劳、通用报表、决策支持等。这一层不同于以往传统方式的平台效劳,这些平台效劳也要满足云架构的部署方式,通过虚拟化、集群、负载均衡等技术提供云状态效劳,可以根据需要随时定制功能及相应的扩展。3、应用软件效劳层,是整个XX对外提供的终端效劳,可以划分为根底效劳和专业效劳。根底效劳提供统一门户登录、统一通讯等功能,专业效劳主要指XXXX的各种业务应用如流动人口管理、GIS系统、行政审批、网上执法等等。它们通过应用部署模式相底层的稍微变化,都可以在云计算架构下实现灵活的扩展和管理。按需效劳是XXXXSaaS应用的核心理念,多租约SaaS应用可以满足不同政府用户的个性化需求,通过多个租约向用户提供有差异的效劳,通过负载均衡满足大并发量用户效劳访问等。4、云计算平台信息平安管理体系,针对云计算平台建立以高性能高可靠的网络平安一体化防护体系、虚拟化为技术支撑的平安防护体系、集中的平安效劳中心应对无边界的平安防护、利用云平安模式加强云端和客户端的关联耦合和采用非技术手段补充等保障云计算平台的平安。5、运营管理体系:保障云计算平台的正常运行,提供故障管理、计费管理、性能管理、配置管理、平安管理等等。信息的分类编码体系信息分类编码体系将遵循政务信息资源目录体系(GB/T21063-2007)及相关业务、技术、数据标准和标准进展标准化建立。(1).信息分类编码设计遵循的主要原则分类和编码的根本原则遵循GB/T7027-2002规定,采用混合分类法;分类类目编码使用的罗马字符和阿拉伯数字遵循GB18030-2000的规定。①唯一性原则:编码要唯一识别,不能有二意性,不能重复;②标准化原则:尽量采用国际标准、国家标准、部级标准及“数字XX〞的标准标准;③简单化原则:代码要简单明了,易读、易懂、易使用;④快捷性原则:有快速识别、快速输入和计算机快速处理的性能;⑤系统性原则:要全面、系统地考虑编码设计的体系构造;⑥扩大原则:可根据实际情况对主题分类进展类目扩大,扩大的类目应分别符合类目的设置规则,分类代码的配置应符合代码构造中的规定,并注意助记性。⑦映射原则:使用中假设采用了主题分类以外的其他分类,应建立这些分类的类目表与主题分类的双向映射关系。⑧分类扩展原则:在建立信息资源目录体系时,目录体系中的信息资源分类应采用主题分类,也可根据具体应用情况选择其他分类方法与主题分类共同进展分类,如部门分类、效劳分类、资源形态分类等;假设采用扩展分类代码,则其分类代码的配置应符合代码构造中的规定。(2).信息分类编码框架体系根据实际情况,XX单位XX云计算平台建立工程的信息分类编码体系按信息技术自身属性进展划分,其体系框架有以下几个分体系:①信息分类:包括适用于各种应用系统的开发、数据库系统的建立和数据交换的标准;②代码构造:采用统一的代码构造,代码编制规则:分类类别用l位大写罗马字符表示“Z"代表主题分类;一级类用l位大写罗马字符表示;二级类用l位大写罗马字符及2位阿拉伯数字表示。③术语和技术词江:主要包括与信息化有关的术语标准,XX云计算平台建立过程中遇到的主要名词、术语和技术词汇。④工程管理和建立标准:根据国家的有关规定,标准工程系统的管理和运行机制;制定XX云计算平台建立工程实施及管理的有关规程。⑤系统的管理和运行机制:标准工程系统的管理和运行机制;⑥计算机通信网络:包括计算机通信和网络根底设施建立、技术标准、管理标准等;⑦信息平安:适用与信息平安有关的信息技术应用系统建立。质量保证体系(1).系统质量保证体系将遵循“数字XX〞的系统设计标准

建立质量控制流程;

建立系统编制标准;

制定系统测试的标准和方法;

在每个阶段标准工程工作和改良工程质量。(2).本工程将制定系统设计标准包括程序名、文件名和变量的标准化以及数据字典等,并要求在实施过程中提供以下技术文档:

工程规划与系统实施方案;

系统体系架构及描述;

系统软件功能设计说明书;

系统需求规格说明书;

系统概要设计、详细设计说明书;

数据库设计说明书;

系统代码设计说明书;

系统测试方案及测试分析报告;

系统软硬件配置说明;

系统安装维护手册、用户使用手册;

系统软硬件培训资料;

系统故障及应急处理预案说明书

建立方案基于本期XX单位XX云计算平台的建立思路一一搭建基于IaaS层面的云计算平台,如何采用云计算技术建立动态的IT资源平台,并使之具备快速IT效劳交付能力,进而通过动态的IT架构来应对有关省直单位XX业务开展的需要;将应用和业务从底层的IT资源中别离出来,提高系统的可移植性,并能够充分利用更加优化的系统和网络资源以提高效率、降低整体本钱是本期建立方案需要重点解决的问题。为此,我们建议以XX应用系统为顶层架构来搭建XX单位XX云计算资源池,它是由计算资源池、存储资源池、网络资源池、XX应用程序以及运营管理平台共同组成,运营管理平台负责对资源池和应用进展管理调度及告警监控。其组成框架如以下图所示。图3:资源池组成框架图以下针对XX云计算资源池的各组成局部分别进展具体阐述。网络资源池组网物理拓扑图XXXX云计算平台组网物理拓扑如以下图所示:图4:XX云计算平台组网物理拓扑图本工程新增3根移动专线接入,单根200Mpbs带宽。一根为XX互联网接入区对外提供效劳用,一根用于VPN专线,一根用于XX办公人员访问互联网使用。整个云计算平台在组网设计上满足双网双平面构造,从网络接口、网络链路到关键网络设备均配置冗余部件。在网络接口上每台物理效劳器至少配置3张网卡,分别用于业务效劳、虚拟化平台宿主机管理、IP存储系统互联。业务效劳网络根据业务属性不同,通过MPLSVPN划分为公用网络区、互联网接入区、专用网络区。虚拟化计算资源可以在不同的网络区域中自由迁移。在会聚层旁挂防火墙、隔离网闸、运维审计、数据库审计系统等平安设备。其中防火墙用于实现同一网络区域中不同业务系统的之间的平安隔离;隔离网闸用于在MPLSVPN隔离的不同网络区域之间进展平安数据交换,同时用于XX和XX之间的数据平安交换。网络负载均衡设计网络负载均衡分链路负载均衡和本地负载均衡,总体逻辑示意图如以下图所示:图5:网络负载均衡示意图链路负载均衡设计如上图所示,将移动互联网专线和电信互联网专线接入链路负载均衡器,链路负载均衡器通过对所有Internet链路进展流量路由和控制带宽效劳水平实现多互联网接入的高可用性。链路负载均衡器将多条互联网线路进展虚拟化处理,保障用户从最好的线路访问内外部资源。任意一条ISP线路中断,都不会对效劳造成任何影响。通过链路负载均衡器可实现ISP接入线路的无缝扩展。1)OutBound流量负载均衡XX办公人员访问互联网的流量到达链路负载均衡器时,将通过链路负载均衡器多种链路状态检测结果选择最正确出口链路,提升用户体验。2)InBound流量负载均衡为使移动用户和电信用户通过不同互联网链路访问互联网接入区应用系统,链路负载均衡器的智能DNS解析功能将不同用户访问的域名解析成不同的公网IP地址,加速应用访问,提升用户体验。本地负载均衡设计本工程新增本地负载均衡器两台,旁挂于会聚交换机。实现对效劳器的负载均衡。本地负载均衡器可以保障内部资源的容错性,内部任何一个应用节点出现问题都不会对用户造成任何的影响,本地负载均衡器能够自动的屏蔽有问题的应用节点,让其停顿对外效劳,同时把该故障节点上的用户迁移到其他正常的节点上去。会聚层本地负载均衡器可以虚拟成为多个设备,满足XX不同分区的平安隔离要求。XX业务系统以B/S架构为主,目前的WEB应用都包含了大量的图片,javascript,CSS文件等,这些文件的重复传输不但给效劳器造成了压力,同时也使得用户的体验受到了影响。本地负载均衡器通过压缩的方式来节省带宽以及提高访问速度。通过静态文件和动态文件的cache.文件压缩,浏览器端文件cache控制等优化技术,来提供对WEB应用进展加速,提高用户访问速度。使用本地负载均衡器开放的API接口可以实现和云计算管理平台的集成。网络虚拟化设计云计算对传统网络的挑战传统的网络规划设计依据高可靠思路,形成了冗余复杂的网状网构造,构造化网状网的物理拓扑在保持高可靠、故障容错、提升性能上有着极好的优势,是通用设计规则。云计算的大规模运营,给传统网络架构和传统应用部署都带来了挑战,新一代网络支撑这种巨型的计算效劳,不管是技术革新还是架构变化,都需要效劳于云计算的核心要求,动态、弹性、灵活,并实现网络部署的简捷化。具体来说传统网络面临的挑战主要有以下几点:一一传统网络的复杂性在实际的运维中,管理人员承当了极其繁冗的工作量;一一云计算平台下多虚拟机部署在同一台物理效劳器上运,效劳器的利用率从20%提高到80%,效劳器端口流量大幅提升,对网络性能提出更高要求;一一云计算平台中,虚拟机在物理效劳器之间进展迁移,为了防止虚拟机迁移后路由的震荡和修改网络规划,迁移通常只在在二层域进展,因此云计算平台需要具备一个性能更高、二层域更大的网络环境为迁移提供保障。通过分析云计算对传统网络根底架构带来的挑战,我们可以从两个方面来应对。一是通过构建高性能、高可靠的网络,从而满足云计算给网络带来的压力;二是通过构建虚拟化网络来满足云计算中由于虚拟机部署、迁移、以及平安策略实施对网络提出的灵活性、平安性的要求。总的来说,为满足云计算的业务要求,统一的根底网络要素必然包括:高性能交换、虚拟化应用、透明化交换。高性能二层网络为提供一个性能更高、二层域更大的网络环境,本工程新增核心交换机和会聚交换机通过交换机虚拟化技术〔华三IRF2、思科VSS〕分别虚拟成一台逻辑设备,减少了设备节点,简化了配置。通过跨设备链路聚合技术取代传统部署方式中的STP+VRRP协议,使网络拓扑变得简洁,具备更强的扩展性;同时,其毫秒级的故障收敛时间,为虚拟机迁移提供了更加宽松的实现环境。图6:交换机横向虚拟化经过二层透明化改造后,云计算平台的会聚接入层是一个透明二层网络。不同业务〔虚拟效劳器〕接入不同的二层VLAN,但同一个业务〔虚拟效劳器〕可以在不同网络分区里灵活部署与迁移,满足了云计算的要求;同时,会聚层以上进展的是VPN标签交换与路由转发,又保证了不同业务〔虚拟效劳器〕的平安隔离。网络效劳虚拟化为满足不同XX分区的平安隔离要求,本工程在云计算平台的会聚层部署有会聚交换机、防火墙、IPS、负载均衡器等设备。传统网络下,将为不同分区单独配置一套平安设备,设备利用率低,运维管理复杂。在云计算平台下,通过网络效劳虚拟化,统一建立一套性能强大、可扩展性良好的网络效劳设备,满足为不同分区提供平安、应用加速等效劳。图7:1:N网络虚拟化技术会聚层交换机也通过虚拟化技术多实例,每个模拟出的交换机都拥有它自身的软件进程、专用硬件资源〔接口〕和独立的管理环境,可以实现独立的平安管理界限划分和故障隔离域。有助于将分立网络整合为一个通用根底设施,保存物理上独立的网络的管理界限划分和故障隔离特性,并提供单一根底设施所拥有的多种运营本钱优势。如以下图所示:图8:交换机纵向虚拟化虚拟交换机技术1)VMwareVMware分布式虚拟交换机功能满足网络分区条件下,虚拟主机在线迁移等功能时,保证业务网络的持续性。虚拟交换机是构成虚拟平台网络的关键角色,VMware虚拟化通过VMwarevNetworkDistributedSwitch,使虚拟机跨多个主机移动时始终处于同一个VLAN内,它为虚拟机在物理效劳器之间移动时监视和保持其平安性提供了一个框架。VMwarevNetworkDistributedSwitch示意图如下所示:图9:VMwarevNetworkDistributedSwitch示意图在多网络分区环境时,VMware通过虚拟交换机的VLANTRUNK,当一个端口启用了TRUNK功能后,就具备端口聚合的成效,会自动检测流向此端口的所有流量,并把不同VLAN的流量导向物理交换机上相应的VLAN中。在一台ESX主机上由多个千兆网卡绑定在一起(组合成vSwitch)提供VM对外通讯的流量,并与物理交换机上的多个启用了TRUNK功能的端口相连接。此时VMs分别在VLANl、VLAN2、VLAN3上,同时在物理交换机上也有同样ID的VLAN。则,在VLAN1中的虚拟机,就可以和与物理交换机上VLAN1中的端口相连的机器相互通讯。同时实现虚拟化效劳器在多网络分区间的动态迁移。2〕XEN通过将OPENvSwitch〔开放虚拟交换标准〕作为其默认组件,自xenserver5.6FPI就实现对虚拟交换机的支持,而且自verxenserver5.6SP2开场也实现了分布式的虚拟交换机功能。Xen-Motion是CitrixXenserver的动态迁移技术,当然,该系列4款虚拟化产品中,目前只有最高等级的白金版和企业版才具备这项功能,至于标准版及完全免费的Express精简版则无此项能力。不但是C

ITRIX旗下的虚拟化产品,其他基于Xen技术开发出来的虚拟化产品,例如VirtualIron,也具备相似的动态迁移功能LiveMigrate,除了免费提供的个人版之外,需要付款购置的企业版及企业加强版具有内置该项功能。IP地址及DNS规划XXXX云计算平台新增两个独立网段,一个用于云平台及虚拟机宿主机之间通信,一个用于云计算平台内IP存储系统网互联;业务系统的IP地址和NDS规划,沿用当前XX统一规划。具体参考实施意见XXXXIP地址规划及管理标准和XX政府外网DNS及设备命名标准。IP地址规划原则XX单位XXIP地址规划遵从国信办和国家外网工程办有关规定和指导意见。XXIP直至规划原则包括:IP地址规划主要涉及到网络资源利用的方便有限的管理网络的问题,公有地址相对紧张的情况下,合理有效的利用IP地址成为IP地址规划的主要问题,合理的IP地址规划是有利于网络管理的;IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于外网广域骨干网IP地址的分配应该采用国家XX工程办分配的合法地址空间,充分考虑到地址空间的合理利用,保证实现最正确的网络内地址分配及业务流量的均匀分布;IP地址的规划和划分应该考虑到网络的后续规模和业务上的开展,能够满足未来开展的需要;既要满足本期工程对IP地址的需求,同时要充分考虑未来的业务开展,预留相应的地址段;IP地址的分配需要有足够灵活性,能满足各种用户接入需要;地址分配是有业务驱动,按照业务量的大小分配各地的地址段;IP地址的分配必须采用VLSM(变长掩码)技术,保证IP地址的利用效率;采用CIDR技术,这样可以减小路由器路由表的大小,加快路由的收敛速度,也可以减小网络播送的路由信息的大小;充分合理利用已申请的地址空间,提高地址的利用效率;IP地址的规划应该是XX广域骨干整体规划的一局部,即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。IP地址规划总体规划根据国家外网工程办的规定,XXXX云平台的公用网络区使用国家申请的IP地址范围为:XXX—XXX。互联网区供互联网访问的设备的IP目前有省电信、省移动提供外网地址,数量考虑上留有余地。互联网区XX移动提供有3根互联网专线,每条专线提供一个C类外网IP地址段,共3个C类地址段供本平台使用。XX单位XX横向需要互联各个政府部门,纵向需要打通省,设区市、县、乡镇〔街道〕四级部门单位,在外网地址规划中,使用综合地址规划方案,采用公有地址和私有地址双轨并行的方法,在公有地址不够时,允许采用私有地址作为部门单位的XX业务地址。XX承载三种不同的网络业务,为了最大程度地减少不同网络业务区IP地址空间的重叠,XXXXIP地址总体规划如下:网络业务区地址空间〔建议的〕用户地址空间公用网络区互联网接入区专用网络区云计算平台管理云计算平台存储IP网络业务地址从相应的业务网络区地址空间中划分。DNS域名体系构造XX单位XX升级和社区市网络分别采用独立的三级域名。域名由根域和假设干个子域名用“.〞连接而成,作为根域名,采用作为省网三级域名,采用作为各设区市三级域名。各级政府组成部门咋XX设置效劳器后,应将效劳器的IP地址和对应的域名在省电子网XX管中心注册。域名以4--5段为主,原则上不超过5段。如:“主机名.单位名.〞;由省数据中心建立域名〔)管理中心,所有单位的域名及DNS均向XX网管中心域名册;可在9个设区市市分别建立子域〔);各单位假设需注册,需在XX外网管理中心备案之后向国家外网管理中心注册。集成智能DNS系统本工程新增2台链路负载均衡器,实现智能DNS解析功能。XX互联网接入区应用系统的DNS域名系统需与链路负载均衡器的智能DNS系统进展集成。通过对系统原有DNS授权域效劳器配置进展修改,将动态记录委派到链路负载均衡器上进展解析,再返回给发起DNS请求的用户。根据解析结果引导用户请求到不同的运营商链路,实现就近访问。网络平安域划分与隔离根据国家XX所承载的业务和系统效劳类型的不同,在逻辑上,将国家XX划分为公用网络区〔Global〕、专用网络区〔VPN〕和互联网接入区〔Internet〕三个功能域,分别提供国家XX互联互通业务、专用VPN业务和互联网业务。图10:XXMPLSVPN分区示意图公用网络区:采用国家XX公用地址〔即从NNNIC注册的地址〕的网络区域,是国家XX的主干道,实现各部门、各地区互联互通,为跨地区、跨部门的业务应用提供支撑平台。互联网接入区:是各级政务部门通过逻辑隔离手段平安接入互联网的网络区域,满足各级政务部门公共效劳业务应用的需要。专用网络区:是依托国家XX根底设施,为有特定需求的部门或业务设置的VPN网络区域,实现不同部门或不同业务之间的相互隔离,VPN网络区域主要为少数部门的特定业务数据传输提供平安通道。通过MPLSVPN技术运用,三个业务区之间逻辑隔离,不能互访。升级XX数据中心分为四个区,这四个区分属于三个业务隔离区,对应关系如下表:某些业务系统需要跨公用网络区和互联网接入区部署,也有些需要跨专用网络区和互联网接入区部署,为了保证平安,需要进展逻辑隔离,在公用网络区和互联网接入区间部署一个网闸,同时在专用网络区和互联网接入区也部署一个网闸。除以上从业务系统层划分为公用网络区、专用网络区、互联网接入区外,还需为云计算平台管理和IP存储子系统划分2个独立网络区域,实现业务网络、管理网络、IP存储网络的平安逻辑隔离。网络端口资源估算关于会聚层交换机端口配置,接入效劳器建议用千兆以太网电口,网络设备间互联用万兆以太网口。本期新增机架效劳器XX台,单台效劳器配置XX千兆以太网电口,共需XXX口千兆以太网电口,刀片效劳器XX台,占用X个刀片效劳器机框,每机框对外XX口千兆以太网电口,共XX口,合计连接效劳器需要XXX口千兆以太网电口;会聚交换机与防火墙、负载均衡器等会聚网络设备需等需要万兆口互联,考虑一定端口冗余,本期建议配置X台会聚交换机,单台配置10/100/1000M电口不少于XX个;千兆光口不少于XX个、万兆以太网光口不少于XX个并配置相应数量多模光纤模块。计算资源池计算资源池架构效劳器虚拟化技术很好地解决了传统效劳器系统建立的问题,通过提高物理效劳器利用率大幅度消减物理效劳器购置需求、数量和运营本钱;通过利用效劳器虚拟化中CPU、内存、I0资源的动态调整能力实现对业务应用资源需求的动态响应,提升业务应用的效劳质量;通过在线虚拟机迁移实现更高的可用性和可靠性以及各种基于资源优化或节能减排策略的跨物理效劳器的调度等等。因此,效劳器虚拟化技术是新一代数据中心最理想的解决方案。效劳器虚拟化架构设计是效劳器虚拟化技术运用的核心,直接决定了整个效劳器资源体系对应用系统的承载能力、运行效率以及可靠性。XX云计算资源池由机架式效劳器、刀片效劳器构成;刀片效劳器通过效劳器虚拟化部署一般业务系统和web应用系统。机架式效劳器用于部署管理平台和高负载数据库效劳器等。效劳器虚拟化架构图如下所示:图11:XXMPLSVPN分区示意图应用系统分析经前期需求调研分析,根据业务特点将XX平台所承载的应用系统分为大访问量应用系统、大计算量应用系统、大数据量应用系统三类。大访问量应用系统大访问量应用系统如政府门户网站、气象查询等web类应用系统,这类应用的特点是业务逻辑简单,不同业务请求互不关联,但请求的并发量根据业务特点不同可能很大,如水利信息网在灾害天气下访问量将剧增。大访问量应用系统要求对大量互不关联的并发请求进展快速响应。这种情况下,需要应用效劳器有足够数量的线程响应请求,而单个线程计算量不大,因而对单个CPU处理性能要求不高,可通过提供足够CPU用效劳器数量来满足需求。XX云计算平台通过虚拟化技术为大访问量应用系统部署是大小配置的虚拟机作为应用效劳器,多应用效劳器工作在负载均衡模式,提升用户使用体验。大访问量应用系统对数据库要求不高,配置一般虚拟机即可满足要求。大计算量应用系统大计算量应用系统如数字城管、GIS地理信息系统等复杂信息处理系统,这样应用的特点是计算量较大、运算复杂、内存需求大,对效劳器计算性能要求高。建议配置单一高性能虚拟效劳器。大计算量应用系统对数据库要求不高,配置一般虚拟机即可满足要求。大数据量应用系统大计算量应用系统流动人口管理、社保管理系统等。根据数据库储存模式不同,可分为文件型和数据库的系统。数据库型大量数据量应用系统要求较高性能数据库效劳器。建议配置强大的数据库效劳器,提供足够的CPU、Memory及IO性能来处理大量的数据,根据应用系统重要级别,数据库效劳器可以选用虚拟物理器或物理效劳器,应用效劳器业务逻辑简单,对配置要求不高,配置虚拟机即可满足要求。文件型大数据两应用系统根底数据量大,通过传统的集中储存方式,存储并发读写IO能力无法满足计算资源要求,建议通过并行计算模型实现。根据业务计算特点,效劳器可灵活选择虚拟机或物理效劳器。计算资源池建议配置与选型建议计算资源池建议配置经咨询H3C、IBM、HP、微软、红帽、VMware等行业主流云计算常商,云计算平台的建立,从防止浪费和规模效应的角度考虑,最正确实践经历是从50台物理效劳器的规模开场建立,然后根据实际业务开展情况按需扩容、滚动建立。本期工程以XX单位XX的实际情况为根底参照行业主流云计算厂商的建议进展设计考虑。考虑不同业务系统的负载差异,本期工程同时配置刀片效劳器和机架式效劳器。参考各厂商建议,用作WEB效劳器时,一台物理效劳器最多可以虚拟12台虚拟机;用作应用效劳器时,一台物料效劳器最多可以虚拟7台虚拟机.。本工程,刀片效劳器按照每台虚拟10台虚拟机,刀片效劳器虚拟化后的虚拟机建议部署一般web/应用效劳器;高性能效劳器按照每台虚拟8台虚拟机,高性能效劳器虚拟化后的虚拟机建议部署重载应用/数据库效劳器。统筹考虑不同应用系统对硬件资源的需求差异,建议配置刀片效劳器XX套,2路机架式效劳器X台,4路机架式效劳器XX台。其中X台2路机架式效劳器用于云计算管理平台,X台4路机架式效劳器作为测试效劳器〔方案用来支持各类移动办公等移动应用,统一纳入XX单位信息中心监控管理〕。计算资源池刀片效劳器和4路机架式效劳器组成,其中XX台刀片效劳器可以虚拟化为XXX台虚拟机,XX台高性能机架式效劳器可以虚拟化XXX台虚拟机,平台共计XXX台虚拟机。一般应用系统需要web效劳器、应用效劳器各2台,采用应用负载均衡做集群,数据库效劳器2台做互备,共需6台虚拟机。对于大型数量应用,大型数据库可直接部署在高性能物理效劳器,通过多实例共享面向不同业务系统提供数据库管理平台效劳,则需4台虚拟机和共享使用两台物理效劳器。按此测算,本期建立规模在满足50个部门50套应用系统需求之外还能有一定的冗余,冗余的资源可以用于安装数据备份软件、目录效劳器、平安软件等平台相关软件外,同时作为备用资源。今后还可以视实际需求增加计算资源,同步配套建立网络资源、存储资源及信息平安设备等,按照需扩容、滚动建立的方式满足省直部门的需求。本期新增计算资源配置如以下图表所示:此外,每台物理效劳器要求配置不少于3个千兆以太网电口,分别用于虚拟化平台管理口、应用系统对外提供效劳、连接NAS存储设备。未来实际应用中,还将根据各厅局的复杂性,比方高吞吐量、高计算、高访问量类业务系统对计算资源的需要进展调整。效劳器选型建议宿主机效劳器架构是虚拟化架构的关键组件,也是效劳器整合比例和本钱分析的重要变量。宿主机效劳器处理大量整合效劳器的工作负载的能力会提高整合比例并有助于提供满足需要的本钱收益,以下提供二种宿主机效劳器的参考架构。宿主效劳器的系统架构是指对效劳器硬件自身的一般分类,例如包括机架式效劳器、刀片式效劳器。在选在系统架构时,首先要考虑的原则是每个宿主机将运行包含多种负载的多个客户机。处理器、内存、存储和网络能力以及高速的I/O和低延迟都很关键,重要的是要保证这些分类中的每一个宿主机效劳器能够提供所需要满足的处理能力。A〕标准机架式效劳器最常见的系统架构是标准机架式效劳器。典型的是2U或4U的型号,这些效劳器一般包含2到4个CPU插座,2到8个PCI—E或PCI—X插槽,4到6个硬盘托架。由于其在2和4个插座效劳器商品中的低本钱,以及通过增加网卡和HBA插槽提供与生俱来的可扩展性,机架式效劳器是虚拟宿主机效劳器的最正确选择。B〕刀片式效劳器随着对能力和效劳器密度不断增加的需求,刀片式效劳器在普及程度和能力上都获得了显著的提高。在选择刀片效劳器时,需要考虑刀片式架构中的每个刀片所包含CPU数及最大内存。对于每个宿主机效劳器用于支持一定数量的客户机所需的网络和存储I/O必须加以仔细考虑,以保证刀片上运行的每个宿主机效劳器和刀片底盘自身能够提供支持。计算资源池部署应用效劳器部署应用效劳器可部署在虚拟机系统〔VM〕和物理PC效劳器。当应用效劳器负载接近单台物理效劳器性能时,可直接部署于物理效劳器,一般应用效劳器部署在虚拟机上。根据应用系统的可用性要求等级不同,在虚拟机上实现高可用的方式有以下三种,虚拟机热迁移,虚拟机HA,物理机HA。虚拟机热迁移用于满足方案内停机维护操作。当效劳器需要停机执行维护操作时,可通过虚拟机热迁移功能,将某一物理效劳器上的虚拟机动态迁移至另一物理效劳器。动态迁移过程,业务不中断,不影响用户的正常访问。虚拟机HA用于满足一般应用效劳器方案外宕机。当发生效劳器故障时,通过虚拟机HA,虚拟机可在其他的物理效劳器上自动重启,实现故障转移。此过程会引起短暂业务中断,业务中断时间由虚拟机操作系统在另一物理效劳器上启动的时间及应用系统启动的时间决定。通过虚拟机HA比传统群集较少一半的效劳器数量,在保证了一定高可用的同时提高资源利用率。对于直接部署在物理效劳器的应用系统,可通过高可用群集软件提供可用性保证。在windows系统可配置MSCS群集,在redhatLinux操作系统可配置VCS群集。通过部署高可用群集,在确保在物理效劳器故障或应用故障时,进展快速的故障转移,减小并消除业务中断带来的负面影响。为了能够提供具有更高可扩展性和可靠性的应用平台,并能够在效劳器集群中只能地分配负载,从而确保客户最大限度地发挥其应用效劳器投资价值,结合硬件负载均衡设备,为部署在应用效劳器上的效劳和应用提供最正确的可扩展性和性能。关键数据库部署数据库效劳区作为业务系统的数据处理平台,对效劳区的I/O处理能力、内存、CPU等有较高要求的,建议采用高性能机架式效劳器部署,不同的业务系统数据库可通过多实例进展共享同一物理效劳区群集。对效劳器性能要求一般的数据库管理系统可部署在虚拟机上。数据库效劳器做业务系统的核心节点,为了保障其的高可用性,建议至少使用2台物理效劳器或2台虚拟机做HA。部署虚拟机上数据库管理系统可通过ApplicationHA保证其高可用;部署于物理效劳器的数据库管理系统可通过VCS、MSCS或数据库管理系统自带群集软件〔RAC〕实现其高可用。虚拟化软件选型分析目前主流虚拟化平台〔Hypervisor〕主要有以下四种,分别是VMwarevSphere、MicroSoftHyper-V、KVM和Xen。其中KVM和Xen为开源产品。目前局部厂商根据开源Xen开发出自己的虚拟平台,如Critix公司的XenServer。从虚拟化软件的成熟度来看,VMware经多年的市场经历,产品成熟稳定、功能也最为强大。开源KVM、开源XEN来源于开源社区,功能单一;基于开源Xen的CitrixXenServer,其功能、稳定性、可靠性优于开源Xen。XX虚拟化平台的建立充分考虑产品的成熟性、稳定性和开放性。通过以上比拟分析,VMware产品成熟、功能完善,为目前虚拟化市场的主流产品,但其采购本钱较高;根本开源Xen的局部国产产品功能不及VMware,但具有更好的性价比,作为国产虚拟化平台,其平安性也更有保证。充分考虑技术成熟度和开放性,本工程建议配置VmwareXX套、国产开源虚拟化软件XXX套,建成一个稳定、开放、支持异构的根底虚拟化平台。当前关键应用建议部署在成熟稳定的VMware虚拟化平台上,非关键应用及测试环境可部署于国产开源虚拟化平台上。随着国产虚拟化平台的逐步成熟,在后续扩容中将逐步减少VMware在XX云计算平台的比重。虚拟化管理平台本期计算资源池采用X86效劳器,虚拟化平台管理软件需实现高可用性、动态迁移,对整个应用架构实现统一的平安控制和权限管理。目前X86虚拟化平台管理软件主要有两大类:一类为虚拟化平台原厂提供的。如VMware虚拟化管理平台VMwarevCenter、CitrixXenServer虚拟化管理平台XenCenter、Hyper-V虚拟化管理平台Azure,RedhatKTM管理平台redhatRHEVM的。各厂商的虚拟化管理平台均可较好地管理自家虚拟化平台,管理平台开放必要的API接口。但是各个厂商均只能管理自己的Hypervisor,不能管理其它厂商的Hypervisor。另一类是由第三方厂商提供的。如移动大云等,这等虚拟化平台管理软件的优点是可以实现多家虚拟化平台的统一管理,但在专用性方面不如各原厂提供的管理软件。容灾方案说明根据设计原则分布实现云平台系统的容灾方案:1、第一步实现云平台存储级容灾系统,通过新购虚拟存储网关,整合现有异构SAN存储资源池,存储构造化数据,实现存储虚拟化功能,并可满足数据迁移、容灾等功能,实现容灾。该步骤实现又可分为两步走,即先建立同城同步容灾,再建立城际两地三中心的容灾。在容灾中心新购置一套虚拟存储网关,容灾中心的存储设备可以与生产中心同构或异构,通过光纤交换机构成一个基于存储区域网(SAN)的根底架构平台。不仅提供容灾系统使用,也是容灾中心的统一SAN平台。在容灾中心存储上按照生产中心实际存储部署情况,依照存储性能一样的原则进展存储设备的逻辑划分,每台存储设备分别连接到2台光纤交换机上,这久保证了存储设备在整个链路上冗余、不存在单点故障。在同城容灾方案中通过虚拟存储网关同步复制技术,由虚拟存储网关将生产中心的数据实时复制到容灾中心,确保生产中心的各种数据能同步复制到容灾中心的存储上。在两地三中心或两站地城际容灾方案中通过虚拟存储网关异步复制技术,准时将生产中心数据复制到容灾中心,灾难发生时仅涉及数十秒的数据丧失。可同时在容灾中心配置两台效劳器,进展数据验证工作。利用虚拟存储网关快照功能对容灾中心的复制数据〔只读〕产生快照卷,挂载到验证效劳器上进展访问验证。2、第二步实现云平台应用级容灾。在容灾中心配置相应的效劳器池链接容灾存储。当灾难发生或进展灾难恢复演练时,停顿容灾复制关系后,容灾中心效劳器池的虚拟机可以访问容灾数据并接收生产。制定接收方案,包括人员支持,网络支持,恢复方案,演练方案等,建立完善的全人工干预接收机制。3、第三步结合云平台管理和业界自动化远程容灾软件实现高度自动化的容灾体系,争取实现数小时内的容灾接收能力。云计算管理平台云计算管理平台包括云资源管理平台、云连营管理平台、网络管理平台。云资源管理平台包括IT根底架构中的物理资源和虚拟资源的管理,其中虚拟计算资源的管理集成厂商的云平台;云运营管理平台含业务管理模块和运营管理模块。云计算管理平台总体架构如下:图12:云管理平台架构图云资源管理平台建立方案整个复杂的云计算架构中,必须通过一个强大的管理平台来实现对硬件资源的整合和虚拟化,对功能效劳器的模板制作与部署,对云计算资源进展启动、停顿、删除、回收等,对整个云计算平台运行性能进展实时监控和日志报告等功能,同时还实现用户交换接口,用户可以方便地登录到云计算平台,申请各种硬件资源和中间件资源,启动、停顿自己功能效劳器功能。这样打破了业务应用对资源的=独占的方式,实现硬件资源和软件资源的统一管理、统一分配、统一部署、统一监控和统一备份。考虑到XX中的3个区〔专用网络区、公共网络区、互联网接入区〕之间是通过MPLSVPN相关隔离,为了实现云计算平台对3个区的统一管理,我们建议将宿主机的管理口〔统一设置宿主机上某一个单独物理网卡用于云计算管理平台对虚拟机的管理通讯〕进展统一VLAN规划,通过此方式可以实现不同分区的虚拟机在同一个资源组中迁移和统一管理。云资源管理平台主要由以下两个模块组成:云资源管理系统云计算效劳Portal。图13:云资源管理功能模块图云资源管理系统云资源管理系统其通过虚拟化技术和基于策略的自动化管理技术,构成虚拟化资源池,实现对物理资源、虚拟资源的统一管理和分配。云资源管理系统架构需要实现功能:1、设备管理提供对物理设备的接入和管理功能,包括设备发现展示、配置部署、告警上报等。2、虚拟适配层提供对不同虚拟层〔VMM〕的适配、集成能力,如VMware、Xen、KVM、Hyper-V等,对上层屏蔽不同虚拟层差异,提供统一的虚拟化管理接口。3、云适配层提供对不同云资源的适应能力,实现公有云和私有云资源的统一管理能力。4、虚拟化资源池管理实现计算、存储和网络的虚拟化和资源统一管理。5、资源池调度提供资源动态分配,动态耗能管理、调度策略管理、资源池高可用性和备份恢复等功能。6、资源池效劳对外提供根底资源池效劳能力,如动态伸缩、负载均衡等。7、对外接口对外提供标准的接口和能力,供上层业务或解决方案集成。8、管理系统运资源池的统一管理维护功能,如用户管理、日志管理、告警和性能监控。其功能特性:1、资源池统一管理和高效利用物理机、虚拟机统一管理和调度采用虚拟方案技术、分布式计算和存储等技术,实现资源的池化管理。云计算平台管理系统不仅能管理虚拟机,也能管理物理机,各种资源通过统一的对外接口进展管理和调度。图14:资源池管理示意图1图15:资源池管理示意图2动态节能云计算平台管理系统通过对业务忙闲交织和峰谷交织的特点分析,通过将闲的、处于低谷的业务进展迁移,从而清理出一些机器将其关闭,到达节能的效果。图16:资源池管理示意图32、自动化部署能力物理设备自动发现,即插即用物理设备从接入资源池到纳入资源池统一管理的过程自动化实现,将需要人工干预的工作降至最低。图17:自动化部署示意图1系统软件和业务软件自动安装部署能力支持系统软件和业务的自动安装部署,包括部署设计、执行,软件源管理,镜像创立,镜像生命周期管理等。流程化的部署方案,支持部署模块和快速部署能力。在业务部署过程中,支持业务各网元亲和关系定义,防止将具有1+1、

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论