企业私有云平台总体建设方案

企业私有云平台总体建设方案构建安全、可信、高可用、高性能的数字底座目录企业私有云建设背景分析01企业私有云建设核心目标02企业私有云建设总体方案03企业私有云平台建设方案0401企业私有云建设背景与需求分析DevOps存储作为服务混合云&多云容器微服务架构IT基础设施的发展变化应用部署开发存储基础设施瀑布敏捷集中式分布式传统数据中心私有云/公有云物理服务器虚拟机单体应用分层应用架构业务人员业务快速发展和变化，需要更加多样的应用，快速上线，满足业务需要。必须保持业务的连续性，避免损失。IT运维为了满足业务需求，需要统一管理多种异构硬件，并需要支撑业务服务的不同部署需求，成本和运维复杂性同时增加。业务持续上线和扩张，需求量大，手工式运维处理效率低。对基础架构的运行情况缺乏了解和洞见，救火式解决问题，疲于应付。IT管理层需要充分利用IT资源，减少闲置和浪费。IT需要从成本中心转型运营和服务中心。企业IT面临的种种挑战IT基础设施建设中如何应对以上趋势快速构建应用环境，实现可靠性、生产力和变革为稳态应用提供高可用和高性能，为敏态应用提供快速迭代和弹性伸缩打造满足企业5-10年业务创新战略的云架构面向应用+=混合云业务云拥抱云计算，高速驶入万物互联时代传统应用云原生应用SaaS服务云物相连云载数字公有云边缘计算边缘计算私有云私有云技术与应用正在高速发展核心技术运维运营持续创新基于承载10万+用户的云平台运维运营经验，结合私有化场景，输出体系化云平台运营运维产品，帮助企业客户轻松掌控本地云平台快速将业界创新产品能力共享给私有化客户，包括容器服务、大数据、AI、安全、数据方舟等为私有化客户量身打造的本地化云平台可快速本地部署相关PaaS产品到本地结合私有企业用户特点和业界多年运维运营经验，打造专业级数字化运营运维体系企业级虚拟化、内核技术，全自研计算、存储、网络技术，核心产品和增值产品全自研，真正安全可信赖的云平台企业私有云02企业私有云建设核心目标私有云建设的核心目标

安全数据是企业的核心资产01成本增大降低IT成本

02效率快速响应业务03创新

支撑企业业务的快速成长

04安全是企业稳定的基石当前数据中心的云安全事件频发网络安全确保数据安全应用层防火墙WAF：提供针对于业务层的安全防护能力，最大程度的保护业务安全，补齐7层防护能力，构建完整的边界防护能力。堡垒机：提供对运维人员的操作和访问进行管理和监控的能力，对高危行为进行通告预警，完善运维审计机制。数据库审计：提供对数据库状态和通信内容的监控，准确评估数据库所面临的风险，通过完备的日志记录提供可靠证据吗，完善追查机制。安全中心：提供针对于主机上安全漏洞，黑客入侵行为，暴力破解，木马等异常行为的检测，完善计算环境安全检测能力。漏洞扫描：提供针对于WEB和主机漏洞完整快速，稳定高效的检测，依靠专业安全中心的研究积累，完善安全自检能力。Database企业私有云边界防火墙黑客恶意竞争者用户公有云Web/App

ServerWAFUDDOS安全组负载均衡安全组数据库审计VPCagentagent安全中心堡垒机漏洞扫描企业办公网络开发/运维数据中心内的数据安全·数据多副本机柜/机架机柜/机架机柜/机架ABCABCVMVMVMBCACAB全分布式、全冗余高可靠架构无限水平扩展数据多副本自动重均衡故障数据重建分布式存储服务数据中心内的数据安全·实时保护与灾备云主机自研块驱动云盘方舟备份IO流云盘方舟备份存储集群过去12小时内，恢复到任意1秒过去24小时内，恢复到任意整点过去三天内，恢复到任意一天的零点优势：在线备份，无需暂停业务精确到秒级恢复，实时数据保护系统/手工备份，满足个性化需求控制台自助操作，便捷快速数据实时数据保护灾备方案保证业务连续性RPO最小15分钟RTO最快1小时的容灾服务保障云化提高数据中心资产整合率·提供多租户的云服务SQL

ServerAppServerEmailFileServerOracle虚拟化服务器集群虚拟化虚拟化服务器集群虚拟化服务器集群云化+多租户+网络隔离…租户隔离硬件隔离集群租户隔离硬件隔离集群租户隔离硬件隔离集群计算/存储/网络虚拟化层云化/多租户/网络隔离转型轻量模块化构建私有云·降低基础架构的初期投资成本管理与计算域共池业务交换机带外管理交换机(可选)1号资源池2号资源池资源模块化扩容兼容通用服务器3节点扩展扩展由小起步，轻松扩展最少1个节点–用于测试3个节点–可扩展至数千节点

–用于生产环境构建虚拟基础架构

采用集群方式部署互相隔离的工作负域支持异构节点按需选择特定CPU服务器，x86/ARM/MIPS/GPU最少1节点按

需

扩

张数据分级存储降低投资成本·兼顾性能和容量HDDHDDHDDHDDHDD全闪存储集群关键业务存储缓存加速集群高性价比业务存储HDDHDDHDDHDDHDD机械盘集群通用业务存储HDDHDDHDDHDDHDDHDDHDDHDDHDDHDDHDDHDD数据库应用视频应用大数据应用高性能计算次关键应用混合网络模式加速业务接入·CDN加速业务接入，提升用户体验Database企业私有云边界防火墙用户公有云Web/App

ServerCDNCDNCDN就近接入，解决跨网互通问题快速的资源就绪负载均衡器+弹性伸缩确保计算能力横向平滑扩容LB负载均衡器弹性伸缩组系统监控实例实例新增实例伸缩策略CPU使用率自动伸缩虚拟机启动模板启动虚拟机外部流量多数据中心管理多数据中心统一运维和运营提升企业IT管理效率地市DC区县DC接入中心云高带宽业务边缘云视频监控AR/VR场景2-运营商边缘计算边缘云高带宽、低延时业务边缘云边缘云AR/VR智能场馆高带宽、低延时业务边缘云边缘云AR/VR智能场馆场景1-集团大云省公司市级子公司市级子公司县级子公司县级子公司县级子公司乡镇子公司容器服务加速企业数字化创新数字化转型浪潮推动双态IT协同共赢工作节点PodPodPod企业私有云平台容器和VM统一平台工作节点PodPodPod虚拟机wWEBAPPDB虚拟化应用微服务应用虚拟机集群容器集群智能大数据平台加速商业决策·提供完备的大数据组件ODSDIMAsyncIOETLDWDAnalyze&AggregateDWA数据源数据源层数据采集层数仓服务层数据计算层DWA聚合数据计算层数据呈现层App/Site/DeviceDWA报告/实时风控/精准推送HBaseKylinClickhouse激活数据的价值·基于数据“安全屋”的安全数据开放为各方数据开放提供安全可控的保证，发挥数据最大价值。保障数据可用不可见、无法带出数据。03企业私有云建设总体方案企业基于自身情况定制建设方案与交付模式大规模集群极致性能要求满足企业通用业务需求适配ARM等非x86硬件，加速业务创新企业私

有

云建设模式标准版高性能版信息创新版企业基于自身情况定制建设方案与交付模式软件模式超融合一体机模式全托管混合云模式专区混合云模式交付说明厂商提供云软件厂商提供云软件网络设备,服务器私有云部署在厂商托管机柜私有云部署在厂商租赁专区，服务器/机柜/网络设备独享硬件提供方企业厂商厂商/企业厂商机房运维企业企业厂商厂商打通公有云客户购买专线客户购买专线免费免费硬件运维企业企业企业&厂商企业&厂商购买方式一次性购买一次性购买一次性购买+机柜按月按月付费规模3台起3台起3台起20台起前期投入高高中低企业利用私有云构建一站式上云方案,助力快捷上云多云管理平台企业私有云公有云自建IDCVPN网关专线服务多云互通服务统一安全混合云网络托管云租赁专区私有云行业专家混合云专家团队容器云专家团队云安全专家团队大数据专家团队AI智能专家团队数据库专家团队网络专家团队专属方案咨询迁移部署服务售后运维服务培训服务边缘云数字政府智慧城市政务教育远程教育超算平台医疗区域医疗协作云在线问诊制造业仿真平台智能工厂托管服务04企业私有云平台建设方案企业私有云平台总体架构日志审计数据保护灾难恢复云桌面云数据库大数据DevOps超融合资源池分布式存储资源池CPU计算资源池AI计算资源池裸金属资源池IaaS基础资源抽象层软件定义计算SDC软件定义网络SDN软件定义存储SDS多租户资源管理VPC网络隔离资源流程审批安全组虚拟机密钥应用防火墙DDOS防护SSL卸载业务自动伸缩运营运维日志分析巡检服务资源报表监控大屏计量计费审批工单监控告警中心资源管理部署系统升级扩容Redis网关服务统一存储服务CI/CD流水线开发测试准生产生产容器服务数据共享/安全屋IaaS交钥匙PaaS增值业务人工智能/AI多云管理镜像仓库私有云平台总体功能架构超融合资源池分布式存储资源池CPU计算资源池AI计算资源池裸金属资源池基础资源抽象层软件定义计算软件定义网络SDN软件定义存储运营运维日志分析巡检服务资源报表监控大屏计量计费多权限账号监控告警中心资源管理部署系统升级扩容自动化运维应用的持续集成与交付CI/CD流水线开发测试准生产生产大数据分析数据可视化多云管理业务连续性智能放置热迁移宕机保护数据智能分发弹性伸缩备份恢复SDN网络北向离散分发NAT网关负载均衡VPN网关Overlay网络业务安全Anti-DDOSWAF数据库审计SSL传输加密堡垒机主机入侵检测微分段防火墙多租户管理VPC隔离租户权限控制流程审批租户配额控制日志审计项目组管理PaaS服务数据库服务对象存储服务容器服务文件存储服务混合云存储服务CMDB多数据中心云盘服务弹性网卡/IP基础架构|多数据中心管理多数据中心管理统一纳管多个数据中心，实现对企业多套云资产环境的统一管理、运营和运维配合DNS和LB服务，构建业务高可用部署架构。基于多数据中心，实现业务级别的云资源冗余架构，满足对RTO要求高的核心业务灾备需求构建数据中心级别灾备构建中心-边缘同构的业务底座平台高可用数据中心灾备业务高可用中心-边缘业务平台数据中心地图分布式数据库apiserver（无状态，三节点）调度器（有状态，多节点）管理节点重新调度Agent监控心跳监测计算节点基础架构|平台整体高可用架构平台高可用架构整体高可用架构逻辑上分管理和计算节点，通信网络采用双网卡绑定，保证物理链路上高可用，底层存储采用RAID1保障高可用。管理节点高可用apiserver无状态部分采用三节点高可用架构调度器有状态部分，采用多节点部署，利用选举机制确保高可用；底层采用分布式数据库计算节点高可用主动周期性监测物理节点进行心跳检查，发现物理机宕机则触发虚拟机自动迁移服务。10GE外网核心外网核心LACP40GE外网接入外网接入40GE内网核心内网核心LACP40GE内网接入内网接入10GE物理网络接入计算存储超融合节点独立存储节点VMware&物理机节点40GE10GEGE基础架构|全冗余网络架构机柜1机柜2机柜3DistributedStorageServiceABCABCBlockClientObjectClientFileClientComputeDISKDISKDISKDISKDISKDISKComputeBlockStorageObjectStorageFileStorage多副本数据保护

高性能磁盘IO高可靠存储架构无限水平扩展高安全数据保护多类型存储接口UnifiedDistributedStorageServiceBCACABClientPrimaryReplicaChunkChunkChunkReplica基础架构|分布式存储最少配置一块SSD盘，SSD和HDD容量配比推荐1:10每块SSD缓存分区可对应一块HDD磁盘，组合为缓存磁盘组磁盘组可以有效应对单块SSD故障影响整个节点的数据均衡存储ClientI/O请求均会先到SSD缓存盘进行读写分发，冷热数据自动流转数据写入会直接写入SSD，并根据算法动态回刷冷数据至HDD数据会直接从SSD进行读取，若未命中缓存，则会从HDD进行读取，并将热数据动态推送至SSD，缓存命中率越高性能越高。ClientSSDHDDReadsWrite-BackWritesDiskGroupHDDSSDHDDDiskGroupHDDSSDHDD基础架构|存储分层在物理网络上构建虚拟分布式网络，通过先进的隧道封装技术，屏蔽底层硬件的复杂性，虚拟机可实现集群内跨设备迁移纯软件定义网络租户二层网络隔离南北向物理网络透传分布式高可用SDN控制器架构纯软件实现，不绑定特殊硬件VM3ComputeNode2VM4vNICvNICVxLanTunnelNICSwitchVTEP0SwitchVlanOpenvSwitchFlowtableVM3ComputeNode2VM4vNICvNICNICVTEP0OpenvSwitchFlowtableNIC1基础架构丨分布式网络弹性计算-虚拟机安全稳定、快速部署、灵活配置、弹性扩展、管理便捷的计算单元由基础组件规格(CPU/内存)、镜像(操作系统)组成，并与VPC网络、安全组、云硬盘结合提供计算环境同负载均衡、弹性IP、NAT网关、数据库缓存及对象存储服务结合共同构建IT架构云硬盘应用程序镜像实例规格VPC安全组虚拟机自定义机型WEB服务应用服务数据库服务大数据服务测试开发游戏服务自定义实例规格基础镜像丨自制镜像VNC登录弹性网卡SSH密钥开关机丨配置变更丨重装系统丨重置密码丨断电计算产品|虚拟机计算产品|

GPU虚拟机GPU虚拟机虚拟机支持PCI透传GPU显卡统一管理和调度GPU资源无厂商依赖，可兼容大部分GPU设备性能无损运维简单深度学习人工智能高性能计算GPU节点1GPU节点2普通节点调度器GPUGPUGPU设备GPU设备计算产品|裸金属服务裸金属服务器对物理主机进行统一的资源管理与调度为租户提供专属的物理服务器服务满足核心应用场景对高性能及稳定性的需求性能无损安全隔离自动化交付自动化运维高安全严监管场景高性能计算场景核心数据库场景专属硬件场景IPMI技术PXE网络启动TFTPDHCP服务123IPMI网络PXE服务器DHCPTFTPHTTP私有云平台BMC接口物理机（PXE客户端）BMC接口物理机（PXE客户端）…DHCP监听网卡部署网络物理网络镜像GRPCdnsmasqDNS虚拟机镜像虚拟机实例运行环境的模板，包含操作系统、预装应用程序及相关配置虚拟机通过指定镜像模板作为启动实例的系统盘镜像分为基础镜像和自制镜像两大类所有镜像及系统盘均存储于底层统一分布式存储镜像存储镜像支持RAW、QCOW2格式，均存储于分布式存储系统一个地域的镜像只能创建本地域的虚拟机，不支持跨Region镜像创建虚拟机标准镜像由官方提供，包括多发行版Centos、Ubuntu、Windows及银河麒麟国产操作系统自制镜像通过虚拟机自行导出的自有镜像，可用于创建虚拟机，仅用户本人有权限查看和管理CentosUbuntuWindowsCentos6.5Centos7.4Ubuntu14.04Ubuntu16.04Windows2008r2Windows2012r2计算产品丨虚拟机-镜像GuestOSVM1ComputeNode1负载正常ComputeNode2故障节点ComputeNode3负载正常分布式存储资源池VM2VM4VM5VM4VM4VM4VM3VM3VM3VM3同一业务打散部署VM6VM6在线迁移手动操作智能调度系统虚拟机资源调度管理的核心，用于决策虚拟机运行位置，管理虚拟机状态及迁移计划，保证虚拟机可用性和可靠性系统实时监测所有节点负载信息，作为调度和管理的数据依据反亲和部署策略，确保同一业务虚拟机打散部署至所有节点物理节点故障时，系统自动迁移虚拟资源到健康服务器节点计划内迁移零宕机宕机快速自动迁移在线迁移宕机迁移(分钟内)物理节点故障无害反亲和部署提高平台及业务的可用性和可靠性计算产品丨虚拟机-高可用计算产品丨虚拟机-网络增强计算产品丨虚拟机-RDMA+SPDK云盘SATA存储集群硬件集群SSDSSD存储集群商业存储磁盘阵列分布式存储资源池普通云盘高性能云盘存储产品虚拟机容器虚拟资源弹性云硬盘基于分布式存储为虚拟机提供持久化块存储空间支持随意挂载/卸载至多个虚拟机便捷使用云硬盘容量在线扩容，数据多副本保护机制高安全、高可靠、高性能、可扩展兼容对接多种底层存储存储节点横向平滑扩展普通云盘高性能云盘云硬盘挂/卸载云硬盘快照云硬盘扩容云硬盘QoS存储产品丨云硬盘快照3快照2快照1存储产品丨云硬盘·快照45

快照定时自动快照与手工快照结合，满足多种场景需要无需暂停业务或停止磁盘读写，不影响线上业务按策略自动删除快照，节省空间容灾备份数据快速恢复开发测试云硬盘ABCDA1BCD1A1BCD2StorageNodeDiskDiskDiskDiskDiskDisk私有云存储集群StorageNodeStorageNodeBlockStorageVMOSDiskVMDataDiskVMImage外部存储外部存储对接通过iSCSI协议进行对接和纳管打平内部、外部存储集群管理统一管理和使用，拥有一致用户体验云盘快照弹性云盘发挥存储自身性能云盘QoS配置存储产品丨商业存储纳管VPC网络CIDR：/16地域：上海子网1/24HostLBNATGWDB子网2/24HostLBNATGWDB子网3/24HostLBNATGWDBGateway虚拟网络环境完全二层隔离灵活子网划分10/172/192隶属租户的虚拟网络租户完全掌控网络环境自主管理所有云服务资源提供和传统网络完全一致的功能VPCCIDR网段子网Subnet公共网关Gateway内网IP/DHCP/DNS网络产品|

VPC应用服务虚拟机Internet应用服务虚拟机宕机实例迁移漂移正常实例外网弹性IP1外网弹性IP1外网弹性IP地址互联网外网服务自定义外网IP段弹性绑定和解绑独立申请和拥有在线调整带宽上限PhysicalnetworkVlan100虚拟机VPC2物理网络IP2Vlan100虚拟网络区域虚拟机VPC1物理网络IP1Vlan100物理网络区域物理机Oracle物理机HPC物理机APP物理网络Vlan100虚拟物理网络IPVPC与物理网络通信自定义物理网络接入弹性绑定和解绑独立申请和拥有与EIP使用体验相同网络产品丨弹性IP&混合云接入虚拟机主主内网网卡外网网卡辅辅弹性网卡1弹性网卡2私有网络【A】/24

私有网络私有网络【B】/24私有网络安全组出入规则A规则B规则C安全组出入规则E规则F规则G弹性网卡一种可随时附加到虚拟机的弹性网络接口支持绑定和解绑，可在多个虚拟机间灵活迁移为虚拟机提供高可用集群搭建能力，同时可实现精细化网络管理及廉价故障转移方案虚拟机可绑定多块弹性网卡每块弹性网卡拥有专属安全组具有独立的生命周期弹性网卡QoS控制网络产品丨弹性网卡InternetPublicNetworkPrivateNetworkNAT网关负载均衡虚拟机虚拟机虚拟机负载均衡虚拟防火墙安全组丨纯软件定义虚拟防火墙内网安全组，保障东西流量安全外网安全组，为南北流量保驾护航出入双方向流量访问控制及限制IPv4/IPv6双栈流量管控云平台虚拟资源必要网络安全保障安全组规则有状态TCP/UDP/ICMP/GRE/STCP网络产品|安全组软件定义NAT网关虚拟网关丨子网级别公共外网网关多台虚拟机共享一个公网IP地址访问外网端口转发能力，安全组网络防护SNATDNAT虚拟机1虚拟机2VPC虚拟机1虚拟机2子网1子网2NAT网关公网IPInternet网络产品|

NAT网关

IPSec

VPNVPC到本地数据中心的连接云平台VPC到VPC之间的连接VPC到其他私有云/公有云的连接支持IKEv1和IKEv2协议采用双机热备架构，故障时秒级切换VPN网关1VPC1/24VPC1/8VPN网关2IPsec-VPNVPC1/24VPN网关1数据中心网段/16VPN设备配置快捷简单网络产品|

VPN网关内网/外网LoadBalancerServiceServerPort：80ServerPort：5000Server1Server2Server3Server4BackendServerPool负载均衡服务纯软件实现，内外网服务高可用/可扩展入口多种调度策略，将访问流量分发至后端多台服务器主机健康检查，自动替换不健康后端节点入口类型内网外网健康检查会话保持内容转发监控告警高可用架构四层转发TCPUDP七层转发HTTPHTTPSSSLOffloadingSSL证书网络产品|负载均衡PaaS服务|容器技术方案基于Kubernetes的容器服务Kubernetes作为行业内普遍认可的容器编排引擎，提供对容器的编排、部署、管理、规划能力。私有云容器服务将Kubernetes产品化，植入公有云易用性与实用性结合的基因，成为助力企业容器化发展的用力支柱，帮助企业数字化转型的可靠伙伴。简洁易用，迅速提升价值私有云容器服务在提供了强大的Kubernetes功能之外，还结合企业使用习惯，进行了界面以及操作流程优化，提供一整套便于运维人员以及业务部署人员使用的容器服务，真正做到创建即用，通俗易懂，省略复杂的操作，迅速展现产品价值。功能丰富，满足容器化需求私有云容器服务不仅仅满足容器编排的需要，同时提供租户隔离、多集群管理、弹性伸缩、组件管理、监控告警等功能，满足容器化全生命周期多维度的管理能力，符合企业IT从业人员不同角度的容器化需求。容器服务Worker节点NetworkingKubeletContainerRuntimeMaster节点APIServerControllerManagerSchedulerEtcdKubernetes架构Worker节点NetworkingKubeletContainerRuntimeWorker节点NetworkingKubeletContainerRuntimePaaS服务|容器服务功能视图服务器/超融合一体机基础架构企业私有云平台私有云平台传统应用JVMWeblogicC/C++大数据应用SparkHadoopStorm互联网应用ApachetomcatNginx业务应用容器服务自动构建持续集成持续集成持续交付镜像仓库容器监控基础管理权限管理租户管理弹性扩容应用部署应用调度健康检查负载均衡服务发现应用编排网络资源管理主机资源管理资源调度存储资源管理PaaS服务|容器集群容器服务提供稳定可靠、通过CNCF一致性认证的，基于Kubernetes的容器应用管理服务。提供容器化应用的全生命周期管理与企业私有云的分布式存储、负载均衡服务深度集成强隔离(HardMulti-tenancy)特性，容器服务支持多租户隔离，不同租户之间的Kuberneters集群网络、权限、计算、存储完全隔离。基于Kubernetes打造易用性与实用性结合丰富的容器化插件组件助力敏态业务顺利容器化apimastermasterkeepaliveNode1Node4Node2Node3镜像仓库masterkeepaliveUICLI容器服务架构图PaaS服务|镜像仓库oauthoauthregistryregistryimageimageubuntu:18.01ns/app:v1imageubuntu:latestimagens/app:v2repositoryrepository(ubuntu)(ns/app)LBbuildpushpullUK8SimageHub镜像仓库容器镜像服务服务容器镜像服务是一项面向容器镜像的安全托管及分发平台，提供容器镜像的全生命周期管理，简单易用、安全可靠，与容器服务无缝集成，帮助降低打造云原生应用的交付复杂度。运维运营丰富的运营功能，帮助IT运营精细化转型组织架构管理多租户模式配额管控账号权限管控服务目录管理资源统一管理报表统计资源审批流程计量计费云硬盘虚拟机云资源管理计算集群存储集群物理资源管理服务目录配额管理角色管理主/子账号管理项目组管理租户管理成本优化统一纳管异构资源精确计量计费支持资源报表导出数据可视化降本节流精细化运营…外网网段优化建议用量分析大屏展示数据中心资源报表地域概览租户概览运维运营|全套运营体系运维运营|智能监控体系统一监控告警计算集群存储集群容器虚拟机弹性IP云硬盘丰富的监控指标采集多样的可视化展现负载均衡NAT网关VPN自动识别主动采集持续上报多维度粒度监控图表智能告警告警记录可根据业务负载的增加按需进行扩展可分别或同时增加计算力、存储空间和性能在线扩容，不影响线上业务存储自动进行数据均衡性能随容量扩展正向增长，充分利用每节点读写性能计算节点存储节点运维运营|在线扩容安全产品安全运营中心WAF数据库审计堡垒机日志审计主机入侵防御漏洞扫描安全产品企业私有云重视云平台自身安全以及用户业务和数据的安全，提供符合等级保护要求的租户安全组件，为用户业务和数据的安全保驾护航。应用层防火墙WAF：提供针对于业务层的安全防护能力，最大程度的保护业务安全，补齐7层防护能力，构建完整的边界防护能力。堡垒机：提供对运维人员的操作和访问进行管理和监控的能力，对高危行为进行通告预警，完善运维审计机制。数据库审计：提供对数据库状态和通信内容的监控，准确评估数据库所面临的风险，通过完备的日志记录提供可靠证据吗，完善追查机制。主机入侵防御：提供针对于主机上安全漏洞，黑客入侵行为，暴力破解，木马等异常行为的检测，完善计算环境安全检测能力。漏洞扫描：提供针对于WEB和主机漏洞完整快速，稳定高效的检测，依靠专业安全中心的研究积累，完善安全自检能力。日志审计：提供对租户内安全日志、操作日志等进行统一的收集、存储（不少于180天）、分析的能力。WAF-需求分析根据国家信息安全漏洞共享平台（CNVD）2020年上半年数据，收录通用型安全漏洞11,073个，同比大幅增长89.0%。其中，高危漏洞收录数量为4,280个（占38.7%），同比大幅增长108.3%，“零日”漏洞收录数量为4,582个（占41.4%），同比大幅增长80.7%。按影响对象分类统计，排名前三的是应用程序漏洞（占48.5%）、Web应用漏洞（占26.5%）、操作系统漏洞（占10.0%）。重保时期Web业务压力增大两会等重要会议期间网络安全重大节庆、活动期间网络安全保障合规重保监管法律、法规层面的要求细化《网络安全法》正式实施《等保2.0标准》正式发布针对Web业务监管加强监管单位现场检查按照特定周期复查年度/季度攻防演习最新技术研讨WAF-功能设计企业私有云平台应用防火墙（WAF）功能介绍OWASP常见攻击防御：支持对OWASP常见的攻击威胁，例如SQL注入、XSS攻击、CSRF攻击、命令注入、非法HTTP协议、路径穿越等攻击CC攻击防御：WAF具有强大的CC防御引擎通过多种算法有效识别各种CC攻击，并进行拦截阻断，保障Web系统的正常运行机器行为检测：WAF内置机器学习引擎，拥有安全防御的机器学习能力，能有效识别恶意爬虫、敏感访问、Web扫描、行为异常、CC攻击等恶意攻击行为，有效防止针对Web网站发起的新型或未知0day攻击。精准访问控制：支持用户根据来源IP、请求路径、User-Agent、Referer等字段进行条件组合，打造强大的精准访问控制策略。从而可以支持盗链防护、网站后台保护等自定义需求的Web网站防护场景。黑白名单：支持IP黑白名单机制，且针对黑名单用户可以设置对象、动作（拦截或验证码）及有效时间。网页防篡改：支持对开启网页防篡改，添加需要保护的域名对其进行特别的防篡改监控和保护。堡垒机-需求分析国内相关法规对企业信息管理提出了内控与审计的明确要求

《中华人民共和国网络安全法》

《信息安全等级保护管理办法》企业信息安全，受到国家政策、法律法规