某新农村建设项目智慧城市云计算基础平台方案建议书

某新农村建设项目智慧城市云计算方案建议书 61.1建设背景 61.2建设任务及目标 61.3建设原则 7第2章现状及需求分析 92.1信息化现状 92.1.1基础设施现状 92.1.2应用系统现状 92.1.3信息化管理现状 92.2信息化建设需求 第3章云计算基础平台建设方案 3.1总体设计思路 3.2总体架构设计 3.3IaaS架构蓝图 第4章计算资源池方案 4.1计算资源池分类 4.2服务器容量规划 4.3虚拟机资源分配 4.4虚拟机的物理分布 4.5虚拟机模板设计 4.6高可用性设计 4.7动态资源调整 4.8动态资源扩展(DRX) 第5章存储资源池方案 285.1存储聚合 5.3多站点容灾 5.4自动精简配置 5.5数据快照与复制 第6章网络服务资源池方案 6.1网络资源池设计 6.1.1云计算网络挑战 35 43 456.2安全资源池设计 466.2.1安全总体方案 6.2.2南北流量安全控制 6.2.3东西流量安全控制 6.3负载均衡资源池设计 第7章云服务平台方案 7.1云平台整体架构 7.2云组织管理架构 7.4虚拟数据中心(vDC)服务 7.5云主机服务 7.5.1云主机概述 7.5.2云主机租户网络 7.6云存储云硬盘服务 7.9云存储服务 7.12计费管理 7.12.1基于资源用量的计费 第8章云安全管理方案 第9章云运维管理方案 9.2运维管理流程 9.2.6运维服务报告管理 第10章应用系统迁移设计 10.3.3虚拟资源计算 10.3.4迁移实施方案 第1章概述1.1建设背景为2015年以来行业最为热门的名词。业内认为，式和一系列先进技术整合现有IT资源，完善IT基础架构。1.2建设任务及目标旅游、智慧政务、智慧社区、智慧党建、平安某新农村建设项目智慧城市云计算平台建设目标主要包括以下几个方面：1)充分利用云计算技术和服务，升级、改造、完善政务云基础信息构建共享基础架构，消除信息孤岛，使信息基础设施的资源使用2)逐步建立基于云计算和云服务的政务云运行管理模式，建成某新农村建设项目智慧城市云计算平台，实现某新农村建设项目各委面的标准与规范(如云架构OpenStack体系),严格遵从各项技术规定，做好系第2章现状及需求分析某新农村建设项目各委办局的IT基础设施种类繁多，涉及多家厂商的产品，服务器类型有X86服务器，虚拟化程度较低，大多为物理机。传统的信息化建设呈现烟囱式，每个应用系统拥有独立的服务器以及应用运行环境，即每个应用对应一套独立的服务器、存储、中间件、数据库资源，每个应用的资源都是独享的、孤立的，资源无法实现共享和复用，具体如下图所示：应用4应用3某新农村建设项目各委办局信息化目前处于分散管理状态，委办局各自负责管理各自的IT资源，资源使用不均衡，且资源之间无法共享和统一调度，运维管理复杂，运维成本较高。1)整合各委办局的IT基础设施资源，提高整体资源利用率，降低采购成本；2)构建统一运营管理平台，实现各委办局IT资源的统一管理和调度，实现资源3)完善运维管理体系，提高运维管理效率，降低运维管理难度及复杂度，提升4)根据业务安全等级保护要求建设安全保障体系，满足相关部分监管要求；第3章云计算基础平台建设方案1)基于SDN+0verlay网络虚拟化的云网融合设计虚拟化和云的引入，形成计算、存储、网络及安拟数据中心间灵活调度，真正实现云计算数据中心资源3)基于VPC技术的智慧运维设计组织架构定义是云平台的基础，几乎所有的都会划分自己的资源(CPU、内存、存储、网络等)和用户。流程和计费模板。运维领导作为云平台(或云平台下某个组织)的管理员，关注3.2总体架构设计根据政务信息化建设需求及未来业务发展战略，设计出能够支撑政务未来3-5年业务发展需要的IT架构，具体如云取务官理服务目景组织管理用户管理业名者进理计费准理云安全防声描主机运行监控及维护管理抽象与报表云平台层物理层服务器存佛御IaaS服务：包括云主机、云存储(云数据盘、对象存储)、云数据库服务、云防火墙、云负载均衡和云网络(租户子网/IP/域名等)。IaaS层服务向PaaS4)平台服务层政务其下各接入单位提供IAAS基础设施资源服务务器、存储、网络/安全),将物理资源进行池化，第4章计算资源池方案CVM:CloudVirtualizationManager,虚拟化管理系统可以被放在那些规模较大的公用资源池(群)中。初期的资源池规划应该涵盖所有可能被纳管到云计算平台的所有服务器资计算平台的资源池中。H3CCVM虚拟化管理平台体系将云计算资源池的物理服务器资源以树形结构进行组织管理，云资源中的被管理对象之间的关系可以用下图描述：集群启用HA集群启用HA云资源云资源主机池4.2服务器容量规划单台服务器所能支持虚机数量的决定因素主要取决与两方面：1.服务器的硬件配置◆内存大小---做为硬指标的内存，配置越高，所能支持的虚机数量越多◆网络端口--千兆网环境已很普遍，网络带宽大多有保证，更多从管理角度来考虑·HBA卡---磁盘访问性能对虚机数量有一定影响，建议采用10G以太网或◆本地磁盘--内置磁盘的可用性及IO吞吐能力均较弱，不建议在其上存放虚拟机，推荐使用外置高性能磁盘阵列2.应用负载大小◆由于物理服务器资源自身的最大限制，应用负载越大，所能同时运行的虚机数量越少·建议将不同应用访问特性的应用混合部署在同一物理服务器上◆灵活运用DRS和VMotion技术可将物理机与虚机的比率关系调到最优行32位和64位的虚拟机内存条(单条8GB效果优于两条4GB)。CPU(建议主频2GHz以上)四路双核或四核内存千兆网口SAN端口或或内置硬盘(使用外置磁盘阵列时)22电源2.内存分配原则：4.4虚拟机的物理分布4.5虚拟机模板设计4.6高可用性设计1.虚拟机之间的隔离：每个虚拟机之间可以做到隔离保护，其中一个虚拟2.物理机发生故障不会影响应用：故障物理机上运行的虚拟机可被自动迁在每台服务器节点上都运行了一个LRMd(LocalResourceManagerdaemon,本地资源管理器守护进程),它是HA软件模块中直接操作所管理的各使用虚拟化软件HA特性进行虚拟机故障切换够：整合服务器，降低IT成本，增强灵活性；减少停机时间，保持业务的持续操作系统这类业务对IT资源的需求也存在较大的波动，这就要求信息中心IT基础架这些IT资源(主要是服务器)专机专用，服务器部署好以后保持长期稳定运行比较项响应敏捷度响应慢。物理服务器扩展流程复杂，周期长，难以快速响应业务需求响应快。业务服务器部署完成并纳管后，无需人复杂度高。资源扩展和收缩时，均需要进行服务资源利用率资源利用率较高。业务对应的IⅡ资源随着业务访问量的变化而弹性变化。业务需求和IT资源供给达到一定程度的平衡，资源能比较充分的利用资源利用率低。资源按最大需求部署。业务量低时，部署的资源无法得到充分利用景景通过上表对两种部署方式的对比可以看出，两者各有优缺点，信息中心IT对信息中心IT部门来讲，云计算带来了全新的IT基础架构建设、使用和交案。IT管理人员在感知到业务访问变化时，只能通过手工进行虚拟服务器的增个统一的管理平台来实现针对支撑信息中心特定业务的一组虚拟服务器的运行态资源扩展)解决方案。IT基础架构进行基础资源的弹性扩展，实现了信息中心业务需求向IT需求的自块对应(如下图所示)。业务负载监控模块业务负载监控模块业务业务(后面我们统一称为“动态资源扩展业务”)提供服务。我们把这个虚拟服虚拟服务器的扩展(伸缩)可以通过虚拟机的克隆创建、删除和停止等方式来实◆业务负载监控模块理员事先设定的策略分别发到对应的各虚拟服务器上；这个分发策略由IT管理DRX解决方案组成及特点H3CCAS平台务量业流可DRX解决方案架构依托CAS云管理平台，通过整合基础业务负载监控模块、业务资源调度&展示模块、业务分发平台，DRX解决方案主要提供以下关键功能：用户业务的负载监控通过基础业务负载监控模块监控运行于其虚拟化平台上的虚拟服务器的实际资源负载状况；用户通过CAS平台创建资源扩展业务时，可以设定好业务负载的上下限阀当业务负载超出用户事先设定的阀值后，业务负载监控模块给业务资源调度模块上报资源扩展事件，以触发业务资源的弹性扩展(包括资源的动态伸缩);基于用户业务负载的动态资源扩展CAS平台上可以创建业务动态资源扩展业务，支撑该业务的所有虚拟服务器进行统一的集中管理；为了防止同一个业务无限占用云平台内的资源，DRX解决方案将同一个业务的资源扩展范围限定在一个特定的物理资源池内(包括服务器和存储资源),即后续虚拟服务器的增加和回收均在该物理资源池内进行；接收到业务负载监控模块上报的资源扩展事件后，业务资源调度模块会在限定的物理资源池内选择负载最轻的一台物理服务器上通过启动当前已经存在的虚拟服务器或者克隆创建一台新的虚拟服务器的方式，以扩展该业务的支撑资源；通过集成的H3C负载均衡设备可以将业务请求分发到新创维人员掌握当前某特定业务的资源部署状况和各供给的动态平衡，提升IT基础架构的有效使用载监控平台和业务负载分发平台来增强对用户业务实际负载的识别感知能力和第5章存储资源池方案本方案中建议配置了1个节点的H3CCF8200节点，由于H3CCF8200产I/O,因此，本项目配置的2个节点可S控制器，由于每个控制器控制的空间有限，同时处理能力有限。因此，为了发挥虚拟化存储的优势，H3CCF8200支持存储的聚合能力。通过存储聚合，将几个甚至几十个存储节点进行虚拟化的统一管理，形成一个大的存储池。存储池内的空间可以被任意地使用，用户可以根据实际需求进行空间划分。这样，原来只有一个控制器才能处理的数据将有几个或几十个控制器同时控制，存储性能将成倍的提升。为了提升用户数据的可靠性，H3CCF8200支持一种基于网络进行的RAID数据保护。即：用户数据可以跨越存储节点进行数据的同步复制，用户可以将某个空间的数据复制2份、3份甚至4份。这样，及时用户的某些节点宕机，数据依然完整的存在，客户端可以进行正常的数据访问。网络RAID5如果用户觉得2份数据的存在将占用过多磁盘空间，我们还可以通过H3CCF8200在网络RAID5、6方式实现数据保护。我们可以把每个H3CCF8200节点看作一块高性能硬盘，节点与节点之间基于网络，通过RAID5或RAID6进行数据保护。同样，如果一个或两个节点损坏，数据不会发生丢失，业务不会中断，同时可以提供75%的数据使用率。这点是本方案中的第二个亮点，通过网络RAID提供了数据的高可靠性。5.3多站点容灾如果用户在同城内拥有超过2个以上的数据中心或主机房，我们可以将H3C可用写入50Ce浪费我们发现，很多用户在初期购买存储设备是通常会预期的额外购买一部分额外空间，这部分空间主要用于未来的数据增长。但数据的增长量随着业务的发展实空间给应用系统，随着应用系统数据量的增长，精简配置工具会自动的进行空间调整，从而避免了用户空间的浪费，降低了用户在磁盘上的过多投资。同样，通过精简配置可以大量降低用户日常的维护工作。无需对以上任何一个功能进行单独付费。因此，用户在使用H3CCF8200后得到第6章网络服务资源池方案虚拟机迁移的网络属性要求，当其从一个物理机靠性。传统的网络生成树(STP,SpaningTreeProtocol)技术不仅部署繁琐，且IRF/vPC等设备级的(网络N:1)虚拟化技术，虽然可以简化拓扑、具备高可靠的地，因此网络设备的二层地址表项大小(即MAC地址表),成为决定了云计算离与分离要求轻而易举会突破4K;二是VLAN技术当前为静态配置型技术(只有EVB/VEPA的802.1Qbg技术可以在接入层动态部署VLAN,但也主要是在交换机接中心的网络几乎为所有VLAN被允许通过(核心设备更是如此),导致任何一个Overlay在网络技术领域，是一种网络架构上叠加的虚拟化技术模式Overlay网络是物理网络向云和虚拟化的深度延伸，使云资源池化能力边缘没备VXLAN(VirtualeXtensibleLAN,可扩展虚拟局域网络)是基于IP网络、资源不足的问题。●基于IP网络组建大二层网络，使得网络部署和维护更加容易，并且可以好地利用现有的IP网络技术，例如利用等价路由负载分担。只需根据IP头转发报文，降低了网络部署的难度和费用。根据客户不同组网需求，Overlay的网络部署分为以下三种组网模型，如下Overlay的网络部署图网络Overlay的隧道封装在物理交换机完成。这种Overlay的优势在于物理网络设备性能转发性能比较高，可以支持非虚拟化的物理服务器之间的组网互通。它的缺点就是现网设备大都不支持VXLAN,需要大批量更换设备。主机Overlay隧道封装由虚拟设备完成，不用增加新的网络设备即可完成Overlay部署，可以支持虚拟化的服务器之间的组网互通。它纯粹由服务器实现Overlay功能，对现有网络改动不大，但是可能存在转发瓶颈。混合Overlay是NetworkOverlay和HostOverlay的混合组网，可以支持物理服务器和虚拟服务器之间的组网互通。它融合了两种Overlay方案的优点，既可以发挥硬件GW的转发性能，又尽可能的减少对于现有网络的改动。数量级大大超过数据中心VLAN的限制(4094)Overlay网络分为2个平面，数据平面和控制平面。Overlay边缘设备如何发现彼此，以便建立Overlay隧道关系Overlay边缘设备如何交换其学习到的主机可达性信息(包括但不限于MAC地址、或IP地址、或其他地址信息)andLearning机制完成地址学习，这要求物理网络支持组播转发，对网络支持(),并转发ARP响应报文给tNetwork⑥ToR设备接收到ARP响应报文，单播发送到VTEPARRRR■Core设备实现BGP协议体系中的的RR(RouteReflector)角色■ToR设备实现BGP协议体系中的的Client角色■MP-BGP扩展报文完成MAC地址发布和回收就可以很容易实现基于Controller完成控制平面的地址学习，然后通过标准VTEP,把报文装AccessAccess三种实现方式对比，在大规模的云计算虚拟化环境中，以Controller方式(组播组或单置VTEPIP)机时保持不变，这样就能支持对虚拟机持续地统虚拟机迁移后，不需要重新配置网关等网络如果采用的是物理设备作为VTEP,则L2GW等同于0VS,实现的效果相Overlay网络流表路由欺骗处理确认报文合法后，从ARP请求报文中获取目的IP,以目的IP为索引查Packetout下发给0VS。主机迁移策略跟随物理主机物理主机图：虚拟机迁移及网络策略跟随分布发送同步消息，通知迁移的VPort,增加迁移标记。同步完成后，控制器通收到迁移后的端口信息，更新端口信息。当控制器重新收到Packet-in报文后，向Underlay网络发布VTEPIPVLAN接口不同的服务，包括虚拟防火墙、多租户、负载均衡VFMRAMAPM8VCF控制器VXLAN二居陶关VXLAN三层网关(网络)(交换/踏由/安全)(主机)资源层(选配)SDNVPC方案又由3个层次组成，最下一层是转发层，负责对数据报文进行换路由设备、安全设备等。控制层由VCF控制器组成，控制器对oveNovaComputerAPICinderLB负载均衡网络核心瓶虚拟化管理平台网络核心备可以集中部署在管理控制Rack区。虚拟化服务器，虚拟化的服务器采用vswitch作为vtep,物理服务器则采用支持Vxlan的物理交换机作为vtep。Overlay转发就是vtep之间的通信。备由H3CVCFController通过标准协议集中管理，减少了传统设备管理的复杂H3CvSwitch软件主要提供虚拟化VXLAN隧道封装功能，支撑VM接入>支持分布式网关功能，使虚机迁移后不需要重新配置网关等网络参数，6.2安全资源池设计6.2.1安全总体方案uwu保证网络的安全；采用ASPF(ApplicationSpecific持静态路由、RIP/OSPF/BGP/ISIS路由策略及策略路由；全面支持IPv4/IPv6双对每块插卡进行IP地址规划，在节省用户的IP地址的同时大署的复杂度，并且可以对设备实现全面的配置2)支持智能分流(IFF)。部署多业务插卡后，流量自动在多个业务板卡内3)支持安全集群框架(SCF)。全面突破机框的限制，在简化管理和部署的的划分1.安全服务基于Overlay逻辑网络，无须手工配置及引流，服务自动化部2.服务资源池化按需使用、线性扩展形态多样、位置无关。使得业务成6.3负载均衡资源池设计本方案在业务网核心交换机上旁挂负载均衡设备态，以便选择最合适的服务器或出口链路，从而实现量分析)技术，确保健康检测占用最小的系统资源开销，从而保证负载均衡业最终达成内、外网访问用户整体访问体验的提第7章云服务平台方案建立以云业务为中心，以流程为导向符合ITIL/ISO20000理、变更管理、配置管理和发布管理等5大核心数据项与5大核心流程的关联和融合；使用规范化统一管理&运维V不不安全设置7.2云组织管理架构每级组织都会划分自己的资源(CPU、内存、存储、网络等)和用户。介绍运营管理员二级组织管理员负责管理所属组织及下属组织云业务的管理员，可以管理本组织及下属组织中的所三级组织管理员负责管理所属组织云业务的管理员，可以管理本组织中的所有云资源。最终用户云业务的服务对象，可以对自己申请和使用的云资源进行管H3CIaaS服务，提供硬件和软件基础设施服务。具体可包括：云主机与云(1)虚拟数据中心(VDC)虚拟数据中心(VirtualDataCenter)是基(2)云主机和云硬盘服务Linux发行版，支持在线交付、在线管理、远程登陆、快照管速切换到其他状态正常的服务器上，切换时间小于30分钟。通过动态资源调度(3)云存储服务(4)云网络(5)云负载均衡要求部署基于本次配置的数据中心硬件或软件负载均衡实现的云负载均衡(6)云防火墙服务chain功能，即租户签约防火墙流量才通过vFW,不签约时流量不经过vFW。(7)云数据库服务(8)云带宽服务(9)云备份服务(10)waf资源管理支持租户应用waf资源，可通过waf虚拟化和waf在线配置两种方式实现。(11)物理资源管理(12)虚拟资源管理(13)自助服务门户功能(14)多租户管理物理设备租户物理设备租户n服务器/交换机租户租户21云主机及操作系统一核系统盘不低于20G,Windows系统盘不低于两核四核八核理的主机列表，查看云主机信息包括：所属用户、名称、状态、内网IP、镜像BREQ\*jc3\*hps11\o\al(\s\up7(#),6)辨生1选择镜像2选择规格3设置网络4基本配置无内存X网培D内存述自定制test1235总价0.15小(108.00元月其1选择镜像配置详情内存同培自定制明a码能111m细25A7.5.2云主机租户网络是全局网络，所以其安全保障是依靠防火墙来实现的。与之相对应，私有网络需要组织管理员创建并管理。但私有网络之间是100%隔离的，以满足对安全要名称*2)配置网络，在这里我们可以查看和修改私有网络包含的主机列表和端口列表；路由器用于私有网络之间的互联，并提供以下附加服务：DHCP服务、端口转发、隧道和VPN。如果您还希望路由器能接入互联网，请绑定一个公网IP给该路由器即可。1)云管理服务台支持创建路由器；X基本设置防火墙创建时间运行时间2小时41分钟租户信息生效时间终止时间单价0.02元小时 曲K单22#星期中8能理人里班间，和一个公同试围可。联志键是必须的，还可以根据自己的需求将任何应用软件(比如，数据库、中间件等)放入镜像中。镜像分为两类。其一是系统提供的，称之为“系统镜像”,包括EXX最小磁盘*最小内存*最小磁盘*最小内存*7.5.4云主机特点1)多种性能规格，可以自定义2)按小时计费3)快速部署资源池并内置多种操作系统和应用标准镜像，需求无论是一台还是百台、Windows还是Linux,均可实现瞬时供应和部署。4)高可用国际品牌企业级服务器的高性能和可靠性，内置的监控、备机、快照、数据备份等服务确保故障的快速恢复。提供智能备份功能，将数据风险降到最低。同时具备虚拟机迁移和高可用等技术提高可用性。5)弹性扩展6)一键部署7.6云存储云硬盘服务1)申请云硬盘，包括名称、描述、数量和容量(100GB);0.15元小时(合108.00元月×2)云硬盘列表和云硬盘操作列表，操作列表包括加载到主机、卸载硬盘、报应用轻松上手●小碱推荐应用常用网站□从长中母入打开新的标结页图百变一下，你就。因块为家事2012年值博关…未来的云计黄通所江常电子旅务云累务平合#古新湖云动2X硬盘加载完成后，需要登录到主机操作系统中加载该硬盘才8取消m理理7.7云防火墙服务7.7.1技术特性的物理墙进行1:N的虚拟化，将不同的虚拟墙提供给不同的租户，对于租户来的管理账号，可以在独立的管理界面，创建个性化的业务防护策略。同时作为一种可运营的资源，类似虚拟机一样，要求能够给虚墙进行资源分配，逻辑的资源包括接口、VLAN,物理的资源包括CPU、内存、存储介质等。虚墙之间要求数据隔离，并且在共享硬件能力的基础上实现所分配能力的保障，也即不同虚墙之间不会出现相互侵占的问题，从而能够实现不同的租户的差异化SLA保证。实现政务云平台的整体安全防护；另一方面也通过在实体防火墙上进行Context划分，为每个申请安全服务的租户提供独立的vFW服务，租户可在申请防火墙服务时，自主定义FW所需资源和性能指标，如下图所示：E4A·*山防火墙而A后防火墙基于租户的安全控制要求,配置对内的安全访问控制策略，实现租户通过7.8云负载均衡服务7.8.1技术特性分网站(尤其电子商务等网站)都需要提供不间断24小时服务，任何服务中断在政务云平台项目中，部署了支持IaaS架构的云负载均衡设备L5000,能够为每个租户提供提供独立的vLB功能，实现租户业务洞洞扫描AA理根6理根$6AAA普道>云#数器可s云47.8.2负载均衡策略租户在申请云负载均衡服务时，可以根据自己业务系统的需要，合理定义负吞吐量：100M~2G的吞吐量可自由定义，满足业务系统和计费需求●设置前端虚服务地址和后端实服务器地址，实服务动态添加和删除针对选定的虚服务，可以选择不同的业务类型：包括协议类型和端口，例如http协议，端口80;包括HTTP、IP、TCP选择不同的均衡方式：主要有：轮转算法，最小连接算法，源地址hash算法，目的地址hash算法设置会话保持方式：会话保持方式包括源地址方法、源地址端口方法、目的地址方法、目的地址端口方法、源地址目的地址方法等7.8.3技术优势租户可以登录自服务平台并提交云负载均衡的服务申请，在申请审批通过后，云管理平台将自动快速下发配置并完成服务交付。个租户仅能配置自己申请的vLB,无法查看和管理其他租户的vLB,实现了多租7.9云存储服务1)建立在分布式架构之上，可用性大于等于99.9%,数据持久性大于等于2)根据系统实际情况，方案可灵活支撑系统扩容。扩容包括3方面：流数据扩3)支持部署MySql数据库，单库容量达1TB4)支持部署Hbase,单表存储空间达100TB5)支持文档、视频、音频、图片等类型的对象存储。文件大小可达5TBx云云动火交云出卷云7.10云网络服务云主机租户网络能够快速搭建您的私有云环境，并使用丰富的工具进行自动化管理。私有网络间使用路由器互联，并可与公网IP绑定。最后只需将主机加入网络即可。私有网络私有网络用于主机之间的互联，它类似于物理世界中使用交换机(L2Swirch)组成的局域网。与基础网络相比，私有网络提供100%隔离。1、创建网络，输入网络名称和描述信息：新建私有网络新建私有网络x描述2、配置网络，在这里我们可以查看和修改私有网络包含的主机列表和端口列表；注T隔470021-74-4734-a⁷ac-523770英路由器用于私有网络之间的互联，并提供以下附加服务：DHCP服务、端口转发、隧道和VPN。如果您还希望路由器能接入互联网，请绑定一个公网IP给该路由器即可。1、云管理服务台支持创建路由器；X2、配置路由器，可以配置基本信息和租户信息：防火墙运行时间2小时41分钟租户信息生效时间2014-04-0123:24:32终止时间单价0.02元小时壁变所由群合月壁变所由群合月AT活跃dasdasd活约lmee-lest26.4法烘new_test活跃,,20imw-test26-B活跃,,test_4.29活疑,org1_router00活跃W活跃供5.1,5.5或5.6版本，MSSQLServer可提供2008版本。云数据库服务便捷云数据库最大连接数版本5.1或5.5烟动题烟动题服务监控 0小毒EQ\*jc3\*hps13\o\al(\s\up7(肿0小毒EQ\*jc3\*hps13\o\al(\s\up7(肿),2)*ssnnXX0.07元小时(合46.80元月@选择已申请的数据库实例，查看数据库服务实例配置信息命前页>数据库-数据库服务详情连接属性TEST2\-HeidiSQLTEST2\-HeidiSQLM地址国行时间Q8CQntmQ1M/S0L55可用64M5SQLS42002411A0LW950LSn*2000R2可用2411ALM95LS2008R2可用10.17094小时41184S002WSS0LS2006R2可用10.1709.316小时54分增故思改配量出盖学止LW590L542008R2可用10.1709.2EQ\*jc3\*hps20\o\al(\s\up1(mm),mm)a)加anRSmRE*0金*致Ea8*h?4**BrE8*R8.2CEEBBera**eere.。EQ\*jc3\*hps14\o\al(\s\up9(:),行)EQ\*jc3\*hps20\o\al(\s\up1(a),2)EQ\*jc3\*hps20\o\al(\s\up1(s),4)EQ\*jc3\*hps14\o\al(\s\up0(t),s)EQ\*jc3\*hps14\o\al(\s\up0(aa),k)EQ\*jc3\*hps14\o\al(\s\up0(a),t)EQ\*jc3\*hps14\o\al(\s\up0(ml),m)EQ\*jc3\*hps9\o\al(\s\up9(算材费),m)云数据库服务管理支持随时退订业务，保证用户的利益最大化。问EQ\*jc3\*hps17\o\al(\s\up2(*),#i)Tmsoutara2200F2ceaa1小8aaEQ\*jc3\*hps24\o\al(\s\up3(w),m)mEQ\*jc3\*hps28\o\al(\s\up2(m),m)API接口日工TmTawrlHammayg陈0mmPe2)MsSqlserver单数据库实例可创建的数据库数量达20个，用户数达20个。3)Mysql单数据库实例可创建的数据库数量达200个，用户数达50个。于等于99.95%。通过HA技术实现数据库在线升级、云内动态迁移、故障自8)云数据库采用高性能高可靠FC存储，数据持久性大于等于99.9999%,存储IOPS性能超过13000。物理磁盘采用Rai内存可达32G,并发连接数可达2000以上。7.12计费管理源用量是根据资源的使用情况，以初始价格+固定费率进可以根据时间范围(月、季度、年)和组织部门等查询账单信息。账单信息7.12.1基于资源用量的计费盘触丽时e曲确增o05:7.12.2基于资源模板进行计费得m量 k*4回7.12.3账单报表H3CCSM云计算管理平台可以根据不同维度输出满足用户需求的使用报表，例如基于云平台的账单报表、基于租户的、基于最终用户的账单报表。·基于云平台费用报表●●用户>私有云内存：硬盘；本月：0.00ADP0基于云平台费用报表01◎月度计费〇事度计费〇年度计费2014年8月其它费用0防火增9089,59资源费用详替品虽报表查询公网护()公网护()教回库()教回库()用户已脑级已gs曲资评情8账单明细计费时长金额(CNY)单价备注5P14第8章云安全管理方案8.1.1等保三级要求本方案中提供的云计算安全等级保护三级要求，是《信息安全技术信息安全等级保护第二分册云计算安全技术要求》中的内容，不包含《信息安全技术信息安全等级保护第一分册基本要求》中的内容。《信息安全技术信息安全等级保护第二分册云计算安全技术要求》是针对当前云计算特点对《信息安全技术信息安全等级保护第一分册基本要求》息安全等级保护第一分册基本要求》和《信息安全技术信息安全等级保护第二分册云计算安全技术要求》两部分内容。a)应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分d)应可按照业务服务的重要程度分配带宽，保证在网络发生拥堵的时候优e)应实现不同云租户之间网络资源的隔离，并避免网络资源的过量占用；j)应提供开放接口，允许接入第三方安全产品，实现云租户的网络之间、b)应能够对非授权设备私自联到内部网络的行为进行检查，并对其进行有c)应能够对内部网络用户私自联到外部网络的行为进行检查，并对其进行a)应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情b)应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控d)应能根据会话状态信息为进出数据流提供明确的允f)应在虚拟网络边界部署访问控制设备，并设置访问控制规则；a)应限制具有远程访问的用户数量，按照远程访问控制规则控制用户对系c)应提供在规定的时间内迅速断开或禁用远程访b)应在关键网络节点处检测和限制从内部发起的以下网络攻击行为：端口c)应采取技术措施对网络行为进行分析，实现对网络攻击特别是未知的新a)应在关键网络节点处对恶意代码进行检测和清除，并维b)应在关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆d)应提供对审计数据进行查询、统计、分析的功能或工具，定期对审计数f)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审g)应根据云服务方和云租户的职责划分，收集各自控制部分的审计数据；i)应根据云服务方和云租户的职责划分，实现各自控制部分的集中审计。b)应划分出特定的管理区域，利用技术手段或工具对分布在网络中的系统d)应对安全策略、恶意代码、补丁升级、安全审计等安全相关事项进行集a)应对登录网络设备的用户进行身份标识和鉴别，身份标识具有唯一性；b)用户身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求c)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数f)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终g)当进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中h)应根据管理用户的角色建立不同账户并分配权限，仅授予管理用户所需j)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别，并且k)应在网络策略控制器和网络设备(或设备代理)之间建立双向身份验证1)应采取必要措施防止网络策略控制器和网络设备(或设备代理)之间的8.1.2三级等保云安全服务清单云安全接入服务SSLVPN/IPSecVPN/MP云安全防护租户行为安全服务租户间安全隔离服务租户内业务安全服务服务链安全扫描服务系统安全/WEB安全/数据库安全集中监控安全服务安全设备监控(安管中心)8.2安全防护模式实现向培身份认证新视角：基于应用的、基于业务的条带化安全第9章云运维管理方案9.1运维组织架构9.1.1运维组织架构云运维组织架构(建议)9.1.2岗位职责运维总负责·全面负责运维管理服务过程中检查、敦促·负责网络、存储日常维护工作，确保相应设备能够正常工·负责服务器及操作系统日常维护工作，确保其能够正常工·负责存储日常维护工作，确保相应设备能·负责虚拟机系统的日常维护工作，确保其能9.2运维管理流程为了保障云平台的服务质量，基于ITIL运维管理最佳实践，在本项目中定9.2.1事件/故障管理所有IT维护范围内发生的事件，都应该记录在事件管理工具中，记录的信它行动的时候，将拥有优先处理级别3)关闭原则管理流程法?通方法计流程目的流程原则H变更发起和初步评估c4变更实施结果验证H变更发起和初步评估c4变更实施结果验证是-9.2.3资源配置管理流程目的使平台能为客户提供的服务在一个合理的性价比范围以内。并为其他管理流程 流程原则IT基础设施资源池的容量管理和业务产品IT基础设施成本投入决策提供数据支资源维护经理IT基础资源准备、部署、维护、监控责任人，对IT基础CH4资源报告与流程关闭CH3资源监控是丨省政府厅局委办电子政务处资源管理经理资源维护经理需求评审需求评审填写资源需求单是否合理?退回申请处理是否资源准备?香排程与派单准备资源排程与派单准备资源分配资源更新资源管理数据库资源分配报告资源获得确认9.2.4监控与告警管理巡检制度及检查/监控规程，确保云平台的高可用性。应用监控3)Oracle数据库监控：监控到Oracle应用的可用性、健康状况等基本信息；机房监控管理目的1)备份内容、备份频率、备份时间窗口3)备份保留期限、备份介质是否异地存储5)备份数据可用性确认>Normal:其他IT服务器都归入normal组，如文结束结束备份实施确认检查备份策略实施备份协议会签制定备份方案填写备份内容提交备份需求表开始备份信息收集与核对根据信息收集模板，通过电话或现场交流的方式，收集客户的备份信息与需求，主要内容包括：

当前业务系统组网拓扑和服务器配置，确定是否具备独立的备份网络

备份时间窗口，如每天的20:00-06:00

备份数据的大小、类型(如数据库、系统类、文件类或虚拟机数据等)

备份方式(全备、增备)及RPO指标，即允许丢失的最大数据量

备份数据的生命周期，即备份数据最长保留多久析，主要包括如下内容：分析效的各种风险，如物理损坏包括磁盘故障、部件故障、整机故障、站点灾难等，以及逻辑损坏包括软件bug、

业务影响分析，明确数据丢失对业务的损失和影响，确定业务功能的最大允许中断时间(MaximumTolerableDowntime)和灾难恢复指标(RTO/RPO),明确业务功能之间的依赖关系(Interdependencies)的内部环境进行评估，得出当前灾备能力与恢复目标之间的差距。方案设计根据对评估和分析的结果，进行备份方案的设，主要包括以下内容：

备份策略制定，根据业务系统数据类型(如数据库数据、操作系统数据、文件类数据和虚拟机数据)、关键数据分布和数据的成长性等信息，确定备份策略，包括如下内容：择在业务低谷期进行备份，以降低备份对业务带来的性能影响■备份方式，确定全备份、增量备份、差异备份以及合成全备份的方式或组合，不同的数据类型，其数据变化的情况和重要程度不同，应该选择不同的备份方式。■备份频率，确定全备份、增量备份或差异备份的频率，如每周全备份，每天增量备份等；备份频率越高，灾备发生时数据的丢失量越小，成本越高。■备份数据保留周期，确定备份后数据的最长保留时间，保留时间越久，则可恢复的历史数据越多，成本越高

备份网络设计，根据备份性能的需求和备份对业务系统明确备份系统的网络架构，包括：LANBase,LANFree,ServerLess或混合组网等。

数据加密，根据客户需求，确定是否需要对备份数据进行加密备份实施完成方案设计后，执行具体的备份实施工作，主要包括如下☆制定实施方案和计划

在需要备份的客户端上安装所需的软件或agent

根据业务系统实际环境，定制开发自动化备份脚本

配置备份存储池和备份策略备份和恢复测试完成备份实施后，将对备份系统进行完整的测试，以确保备

根据客户需求和业务环境，输出测试方案

根据测试计划中的时间点，按照测试方案中的内容和步

完成测试后，输出测试报告·在方案中应包括(但不限于):恢复的内容，恢复所需要的时间等，并9.2.6运维服务报告管理1服务说明书明确具体的服务交付内容和质量监控点2服务条例制定及明确日常维护工作界面3服务条例制定日常维护和例行汇报制度《日常维护和例行汇报制4服务条例制定及明确日常及重要时刻的业务汇报关系和决策程序5日常维护与监控制定日常监控手册；如有网管软设置6日常维护与监控制定或优化License申请变更记录表模板7软件补丁与制定或优化软件版本变更记录更新8制定或优化设备配置变更记录9软件补丁与更新制定或优化网络设备升级申请软件补丁与更新制定或优化网络设备升级方案制定或优化网络设备变更申请制定或优化网络设备割接方案制定或优化网络设备割接总结制定或优化网络设备业务上线、《设备业务变更测试方案制定或优化网络设备业务上线、技术培训制定客户产品技术培训计划服务总结与汇报制定例行重要汇报的胶片模板日常维护与监控按照监控手册，每天进行N次析；如有网管软件，使用网管软件生成的监控报表日常维护与监控情况划提交运维服务计划服务总结与汇报总结一周的网络运维工作和网络运行状况服务总结与汇报总结一个季度的网络运维工作和网络运行状况日常维护与监控置文件和软件版本文件的操作网络信息分维护IP地址变更记录故障处理与问题管理句客户汇报网络设备的故障及问题解决进展故障处理与问题管理向客户汇报故障原因及解决方案备件更换维护备件更换记录信息分析整理登记设备的序列号(SN)信息分析整理网络信息分梳理在网运行设备互联接口及终端接入情况服务总结与向客户主管或高层领导汇报协维服务工作技术培训与维护案例分享技能提升-技术培训与维护案例分享结合客户运维需要，提供定制培重大时刻值守制定保障方案重大时刻值守制定故障演练方案网络巡检采集设备运行信息并进行分析，对网络的运行和维护现状进行检查向最终用户确认服务文档的提交情况归档客户服务热线远程调查客户满意度满意度调查结果归档数据使用提交报告数据计费对用户计费情况进行提交报告第10章应用系统迁移设计虚拟化NX否的否品置配术技平择高端是应用系统服务要束服各请求台地图新业务系统建设与部署评估流程图系统资源利用率1需求低系统资源利用率1需求低适低器器(机较大)6.虚拟化整合指标：对于IT系统的虚拟化而言，业务压力、系统I/0吞吐量、系统资源利用率是服务器虚拟化比例(虚拟机与物理机之比)的a)高整合比例(如10:1):对业务压力小的服务器，例如非实时数据采集b)中等整合比例(如4:1):对业务压力中等的服务器，例如中小型IT系c)低整合比例(如2:1):对业务压力较大且内容敏感类应用的服务器，7.物理平台适用性矩阵：对于独立的IT系统而言，可以按下图选择最佳单任务单任务·报表服务器4~8way机架式服务器/刀片AD服务器防病毒服务器带宽操作t频繁负载低端”内存大小10.2老应用系统虚拟化迁移询服务。对当前运行在传统架构下的应用系统及IT基础架构现状进行充分的调研和分析，并提供虚拟化IT基础架构的规标

IT应用系统部分■应用系统名称和重要程度■应用系统架构，如BS、CS或其他■与其他应用系统对接和依赖关系■应用系统中间件、数据库等平台信息根据应用系统现状调研的结果，进行具体的评估和分析，找令网络架构分析，包括当前网络架构中的分层、分区、扩展性、安全性、可靠性、Q0S保障等方面的分析；构、集群架构、负载均衡架构、服务器资源利用率等方面的分析；

存储子系统分析，包括异构平台、存储架构、采用的存储技术、数据模型、性能指标、高可用现状、存储空间利用率等方面的分析；Free备份等)、灾备目标和数据量、容灾链路带宽和距离、备份策略和备份窗口等，以及业务系统在RTO/RP0方面的需求，分析当前灾备系统是否能够满足业务需根据对评估与分析的结果，进行虚拟化架构的令总体架构设计，描述虚拟化IT基础架构的设计思想和资源层)、服务层(基础设施服务和平台服务)和应用层的整体设计，以及统一的运维管理和安全管理设计；令云平台架构设计，包括资源池化管理和调度、自动编排、自助服务等；

网络架构设计，包括网络分层、功能分区、安全接入、Overlay、网络虚拟化、扩展性和可靠性等；☆计算架构设计，包括计算模型定义和分类、区域部署、服务器虚拟化、计算能力分析、集群和负载均衡等；

存储架构设计，包存储网络和架构、数据模型、性能模型、数据保护、存储虚拟化整合、分布式存储等

灾备架构设计，包括灾备等级、本地/异地备份、本地/异地容灾、双活容灾等数据库服务/基础服务、并发处理能力、存储容量及增长趋势、SLA3.迁移及扩展应用迁移流程编号梳理项目主要内容1系统重要性适用范围；故障影响用户范围；允许最大宕机时间；重要等级；2系统当前部署模式台网中心集中；各所分散部署；部署位置；3系统是否具备迁移条件系统是否长期使用；系统是否存在严重故障隐患同时在线用户比例；系统资源利用率；是否支持系统优化改造；是否支持平滑移植；在梳理完上述内容后，各应用可参照下图所示的同时在的同时在的否~50%否是否是否否是否否是是否系越移植是是否有为虚拟化是否*60%,并长期使用系统是支有统现系否否否是是是是是是1.迁移到云平台：将IT系统迁移到云平台，使用虚拟化资源或物理资源(例3.1保持现状：继续保持IT系统当前的运行环境，包括基础设施直至IT系统6.设备利用率是否在60%与80%之间：该系统是否能够有效的利用基础设施7.同时在线用户比例是否大于等于50%:该系统用户的平均使用率(平均使用率指总体而言，同时在线的用户占全部预期用户的比例)大于等于50(服务器或存储)进行虚拟化。3.虚拟化迁移：物理服务器到虚拟机的实时迁移(P2V)。虚拟化迁移方法和流程详细信息收集式，收集客户需求和现场环境信息，主要收集内容如

源服务器的资源包括CPU、内存、磁盘和网络连接等占用状况

各业务系统之间的依赖关系和对接情况

客户对可靠性、安全性方面的要求

命名规则规划，主要包括如下内容

评估当前物理服务器资源利用率，并计算迁移后虚拟机

评估当前存储类型、资源利用率和性能指标，并计算迁移后虚拟化平台所应提供的存储类型和容量。

评估当前虚拟化平台可用资源(计算、存储、网络等)

评估迁移过程对业务系统的风险，包括业务暂停、数据丢失、性能下降等，并提出相应的规避或回退措施。方案设计

确定迁移工具和迁移方式(在线/离线)令确定迁移前环境准备工作令规划并设计具体的迁移步骤，包括所有服务器的迁移先后顺序。

规划并设计必要的备份方案，对于某些关键业务系统数据，或虚拟化后需要重复利用的服务器，建议在迁移前进行适当的数据备份

规划并设计迁移后所需的网络环境令规划迁移实施计划，包括迁移起止时间、团队成员和具体分工等迁移执行迁移工作，主要包括如下内容：

迁移前环境准备，包括迁移工具安装、网络环境准备令迁移前原系统健康检查，确保迁移前原系统处于健康状态

迁移前数据备份(可选)

在虚拟化平台完成迁移前准备，包括虚拟机创建等令暂停业务系统运行(可选)令通过迁移工具执行在线/离线迁移令将业务系统切换到虚拟化平台并停用旧系统业务验证和测试完成虚拟化迁移后，将对迁移后的业务系统进行验证和测

根据客户需求和业务环境，输出测试方案

与客户讨论，制定明确的测试计划

根据测试计划中的时间点，按照测试方案中的内容和步令完成测试后，输出测试报告序号服务名称迁移工具选择依据1预报系统在线业务连续性要求高，允2办公自动化系统离线业务连续性要求较低有足够的离线时间窗口3邮件系统离线业务连续性要求高，允峰值利用率/80%)峰值利用率/80%)均值利用率/50%/80%)注2:以上计算方法的前提是假设物理机CPU和虚拟机CPU计算能力大致相当，否则应当通过CPU的实际计算能力如TPMC进行换算方法1:VMEM=峰值利用率/80%方法2:VMEM=均值利用率/70%/80%方法1:vCPUs=Ceil(P×方法2:vCPUs=Ceil(P×计算方法10.3.3虚拟资源计算P2V迁移至虚拟机前，要对每个业务系统迁移至虚拟化平台后的虚拟机进如果仅反馈了均值，按照均值是峰值的70%来估算峰值。这样，得到业务系统置(即峰值是虚拟机内存总量的80%)。由上述算法，业务系统虚拟机内存估算序号系统内存内存利用率(均值/峰值)内存利用峰值小(G)1