83000字Word版智慧校园云平台建设方案

第第页

项目概况项目背景以教育信息化带动教育现代化，破解制约教育发展的难题，促进教育的创新与变革，是加快从教育大国（市）向教育强国（市）迈进的重大战略抉择。教育信息化充分发挥现代信息技术优势，注重信息技术与教育的全面深度融合，全面提升高等院校智慧校园建设水平，构建多元协同、开放共享、服务及时的高等教育云服务体系。本项目依据国家各项云计算相关标准和要求，基于XX学院建设联网应用项目需求分析，采用云计算各项技术，对智慧校园资源云平台进行总体目标架构规和本期系统架构设计。同时对智慧校园数据资源云平台建设给出详细设计方案和系统规划建设方案。整体设计方案和建设方案中，利用中国联通在本地的网络、数据中心以及联通云建设、运营等方面的显著能力及优势，建设高速连接、资源统一管理的智慧校园云平台，同时配套安全可靠的云平台安保系统以及运维管控体系；顺应学院信息化的时代潮流，构建数字学院，促进学院各种职能的转变、节约行政成本、提高行政效率、增加行政管理服务的透明度等能力起到积极的作用。需求分析随着物联网、5G、大数据、云计算、人工智能等技术的不断涌现，推动着学校信息化朝着智慧化的方向变革。从全国各级政府、大型企业的信息化云化进程来看，单位信息化云化是必然趋势，信息化云化不仅仅在办公自动化方面发挥作用，在数据保护、数据挖掘、流程重构、业务创新、管理变革方面的作用越来越显著，因此只有加速高校数字化、网络化、智能化转型，才能切实提高高校管理水平和综合竞争力。本次数据中心云平台规划将预满足后期业务扩展需求提供适量冗余的计算资源与存储，支撑业务应用层、平台服务层、数据服务层等所有业务所需资源供给，满足现有应用迁移上云需求；通过对IT基础资源的云化管理，实现资源的弹性伸缩和按需分配，满足各类业务和数据的计算资源需求。云平台需要支持根据业务应用的不同特点分配不同的计算资源，包括采用合理的物理服务器。能根据业务应用的特点对服务器或存储进行配置满足应用对计算和存储的需要（CPU、内存、网络I/O、存储I/O）。计算平台需要和管理平台联动实现对虚拟计算资源的部署和分配，以提升新业务上线速度、提高服务器资源利用率、提高业务系统计算资源横向扩展能力、提高业务系统可靠性。云平台功能要求1.云平台基础为XX学院应用提供计算、存储、网络、安全等基础资源服务，为应用系统提供稳定、可靠的运行环境。2.云主机服务服务描述：为用户提供的云主机（虚拟机）服务。可根据用户的实际需求，对虚拟机的CPU、内存、网络带宽、硬盘性能及空间进行定制配置。并通过平台可对虚拟机进行创建、启动、停止、删除、快照、备份、恢复等。稳定性：支持云服务器迁移、系统性能报警。安全性：支持网络访问控制策略、弹性IP绑定。自由弹性：5分钟内升/降级CPU和内存。多种部署架构，满足各类可用性要求易用性：支持批量创建操作，同一镜像可以一键创建多台云服务器；创建时自由选择硬盘；支持Windows和Linux多种镜像。灵活性：可以自由创建自定义镜像，并由其创建云服务器。监控：可实现对云服务器的镜像及实例管理，并监控云主机运行状态。3．云存储服务将数据通路（数据读或写）和控制通路（元数据）分离，并且基于对象存储设备构建存储系统，每个对象存储设备具有一定的智能，能够自动管理其上的数据分布。兼顾对象存储同兼具SAN高速直接访问磁盘特点及NAS的分布式共享特点。云存储分为对象、对象存储设备、元数据服务器、对象存储系统的客户端（或者浏览器）这几部分。云存储服务是在云中的、可无缝扩容的、高可靠而廉价的存储服务。它能让不用关心底层的存储技术，也不用关心存储资源扩容问题，直接通过对象存储调用海量的存储资源，存储应用数据。平台为用户提供不同性能的块存储、对象存储以及文件存储服务、用户可根据业务需求，配置不同性能、不同种类的云存储服务对象存储把对文件的管理依托于空间（Bucket）进行，空间是存放文件的容器，也是用户上传、下载、分享文件的载体。在空间概况中，用户可以查看当前的空间信息。信息包含：空间的数量与名称，空间当前的存储量大小，空间内文件下载产生的流量，API请求数；空间流量的统计图。同时，为用户提供了依据空间名的查询功能。云管理平台要求云管理平台应能够提供云计算平台软硬件的配置、调度、管理、运维等功能;统一资源管理，集中统一管理所有的托管物理服务器、虚拟资源，实现资源（包括CPU个数、内存大小、磁盘容量等）动态调配和分配，支持批量处理。云平台安全防护要求云平台满足国标GB/T31168-2014《信息安全技术云计算服务安全能力要求》，达到提供云计算服务的基本安全能力，实现信息安全等级保护第三级的防护要求。云平台灾备能力要求基于客户行业的容灾备份需求，并结合XX学院的实际情况，通过利用灾备软件，设计数据和业务系统的实时保护方案，为用户提供数据库、文件、应用以及虚拟机等数据的备份服务。云原生能力要求基于云原生需求，提供基于Kubernetes的容器集群，提供高性能可伸缩的容器应用管理能力，支持企业级Kubernetes容器化应用的全生命周期管理。支持通过云控制台一键创建集群，提供容器集群专用的ISO镜像，提供稳定的Kubernetes和Docker版本，省去搭建、维护容器集群的麻烦。混合多云管理能力要求提供异构混合云管理能力，灵活配置，实现对主流公有云、私有云、虚拟化、容器等基础设施的全面对接及资源整合，帮助单位构建云环境，实现混合云或异构云的统一管理、自动化部署与运维、持续集成与交付，满足大规模的云资源管控要求。高性能计算能力要求高性能计算服务提供GPU云服务器、GPU裸金属服务器两种算力资源以及训练算力服务、推理算力服务，用户在平台可使用这两类算力服务形式。

整体解决方案系统总体设计思路及技术架构设计原则科学性系统设计既要采用科学的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位。合理性云平台建设应当严格遵循国家和行业有关法律法规和技术规范的要求，从业务、技术、运行管理等方面对项目的整体建设和实施进行设计，充分体现标准化和规范化等合理性要求。灵活性为了满足系统所选用的技术和设备的协同运行能力，系统投资的长期效应以及系统功能不断扩展的需求，必须追求系统的开放性和灵活性。高可靠性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最合适的平均无故障时间。实用性和经济性系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则。安全性和保密性在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。可扩展性和易维护性为了适应系统变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。设计依据《信息安全技术信息系统安全等级保护体系框架》（GAT708-2007）《计算机信息系统安全等级保护划分准则》（GB17859-1999）《信息安全技术信息系统安全管理要求》（GBT20269-2006）《信息安全技术信息系统通用安全技术要求》（GBT20271-2006）《信息安全技术操作系统安全技术要求》（GBT20272-2006）《信息安全技术网络和终端设备隔高部件安全技术要求》（GBT20279-2006）《信息安全技术信息系统安全工程管理要求》（GBT20282-2006）《信息安全技术信息安全风险评估规范》（GBT20984-2007）《信息安全技术信息系统灾难恢复规范》（GBT20988-2007）《信息安全技术信息系统安全等级保护基本要求》（GBT22239-2008）《信息安全技术信息系统安全保护等级保护定级指南》（GBT22240-2008）《信息安全技术信息系统安全等级保护实施指南》（GBT25058-2010）《信息安全技术信息系统等级保护安全设计技术要求》（GBT25070-2010）《信息安全技术数据库管理系统安全技术要求》（GBT_20273-2006）《信息安全技术+信息安全事件分类分级指南》（GBZ20986-2007）《计算站场地安全要求》(GB9361-88)《电子信息系统机房设计规范》(GB50174-2008)《电子计算机场地通用规范》（GB/T2887-2000）《电子信息系统机房施工及验收规范》(GB50462-2008)设计思路本次基于OPenStack+kubernetes双引擎技术路线搭建XX学院信息化云平台，自主可控，使用Nova模块进行计算虚拟化管理，用Glance模块进行虚拟机镜像管理，用Neutron进行虚拟化网络管理，用OpenVswitch提供虚拟交换机功能，使用Cinder进行存储管理，使用Keystone进行认证管理。通过Nova模块，通过virt-manager管理KVM虚拟机。云平台总体架构如图本次采用成熟先进的SDN+VxLAN技术，实现云平台的“云+网+端”的云网一体化管理和运维，通过核心网络旁挂VPN、网络链路负载均衡等相关网络设备，以及边界防火墙、日志审计、数据库审计等安全设备，实现动态的网络资源调配和隔离。IAAS层：基于OpenStack+kubernetes双引擎架构，本次搭建的XX学院云平台计算资源池、存储资源池、网络资源池和安全资源池，以及可提供基本的云计算服务。其中，计算资源池可提供高可用的弹性云主机和裸金属服务，基于分布式存储技术的存储资源池，可提供满足DAS、NAS和SAN等架构的存储解决方案，全面支持SCSI、FC，iSCSI，NFS、CIFS等存储协议，对外可提供块存储、文件存储和对象存储服务。网络资源池是对网络设备的虚拟化，可对外提供虚拟交换机、弹性负载均衡和虚拟路由器。这些虚拟化设备通过开放的基于OpenStack的云平台管理平台进行管理调度，对外提供计算（NOVA）、网络(NEUTRON)和存储（Cinder）服务，打造新型的基础设施资源。PaaS层：包括云平台的支撑层服务，通过对数据库、中间件和大数据服务进行整合，可以对外提供数据库使用实例、业务系统开发平台以及大数据分析服务等PaaS服务。本次建设内容包括云平台的微服务支撑平台（弹性运行环境、云原生应用管理、微服务治理、云上软件开发平台）、基础支撑平台（基于云计算、分布式技术的开放式数据中间件、处理中间件、服务中间件、开发工具包等中间件服务）、数据库服务（支持MySQL、基于NewSQL数据库服务、源期提供国产数据库服务）、软件开发服务及其他支撑平台建设。此外，本项目云平台建设完成后，可对外提供数据库使用实例、业务系统开发平台以及大数据分析服务等PaaS服务。云管理平台：多云管理平台（灵云CMP）是联通云在管理数百异构云池、数百万核vCPU的技术实践基础之上，通过业内最大规模的异构云管理实践，自主研发打造出的功能全面的云管理平台，旨在实现混合云或异构云的统一管理、自动化部署与运维、持续集成与交付。本次将基于OpenStack技术建设统一的云管理平台，将所有X86的计算资源、存储资源、网络资源池化，实现统一管理、按需分配、弹性使用，将云资源、云适配、云运维、云成本等各项管理模块进行集成，为应用系统部署提供高效安全稳定的云化环境，实现对云平台各项资源以及运行情况的统计和监控，同时支持报表功能。向上开放标准的API接口，接受统一监管平台的纳管对接。统一的运维管理平台：参照ITIL的标准，本次建设云平台全面的统一监控管理平台，对机房服务器、网络设备、中间件、数据库、存储设备等全面无缝监控，消除监控死角。结合现状，对云平台服务台、知识库、CMDB、事件管理、问题管理等流程的统一运维管理平台，全面地呈现网络系统的设备资源、告警统计、系统运行状况等，实现疫情防控云平台运维管理的标准化、规范化、数字化。迁移服务：项目建成后，可提供云平台的云上部署咨询服务及云上部署实施服务，包括云基础设施管理、云服务运行保障、云平台运维管理等。安全保障体系：云平台按照《网络安全法》、《密码法》、《网络安全等级保护条例》及网络安全主管部门发布的相关标准规范实施建设和运维，满足《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）第三级安全测评通用要求和云计算安全扩展要求、《信息安全技术云计算服务安全能力要求》（GB/T31168-2014）增强级要求等要求，提供保障平台基础安全和信息系统安全的完整服务内容。总体架构根据智慧校园平台总体建设目标，枣庄联通为智慧校园数据资源云平台规划统一的数据中心，提供数据汇聚、资源共享和容灾备份的服务能力，满足业务应用系统的需求，实现业务的统一管理，统一运营，推进大数据应用的建设需求。为了满足枣庄市智慧校园数据资源云平台容灾备份能力，规划分别在XX学院双数据中心构建双活云服务节点，在鲁南云数据中心构建同城灾备中心，通过数据同步及数据备份技术手段实现应用高可用和同城灾备。云服务平台的资源池分别通过双光纤链路汇聚到云统一网络出口后，分别接入核心交换机的教育网VLAN和互联网VLAN，在出口配置汇聚和网络安全设备，统一完成出口的安全管控。平台总体架构本项目中枣庄联通将按照相关标准和规范体系建设XX学院云平台，通过提供云服务方式构建起支撑XX学院各部门业务的云平台。云平台通过虚拟化技术将主机资源、网络资源和存储资源进行池化，按需分配相关资源,提供基础类和扩展类云服务。还将使用联通云云平台管理软件，建设独立的云管理平台供XX学院使用。云平台管理软件是基于KVM/OpenStack架构自主研发，具备自主知识产权的云资源管理与调度软件。可实现计算、存储、网络、安全、备份等各类资源的管理和调度，按照业务需求自主构建应用系统IT基础设施。云平台的设计架构可以概括为“一个平台，三个体系”，一个平台即云平台，三个体系即信息安全保障体系，运行管理体系和云标准和规范体系。云平台是支撑XX学院各项业务的基本运行平台，它包括:基础设施层，设备资源层，统一云管理层和各类服务层。其中，基础设施层主要包括机房运行环境和计算机、网络设备等基本物理硬件。设备资源层主要包括各类主流硬件：计算与存储一体的超融合架构的服务器，网络设备，高性能计算机和安全设备等。统一云管理层是对下层物理资源和上层虚拟服务资源的运维管理。各类服务层主要包括计算服务、存储服务、网络虚拟化服务、安全虚拟化服务等。信息安全保障体系为云服务提供满足等级保护三级要求的安全服务是整个云计算的业务安全可靠运营的基础。云标准和规范体系能够促进各类资源进行有序整合，使之服从于统一的标准和规则，从而实现规范化和标准化，便于各种办公业务资源在信息系统中有效传递，以最大限度地实现资源共享。网络总体架构根据本次智慧校园云平台的建设要求，设置互联网及教育网出口，同时整体网络能够规划满足安全域建设要求，总体网络拓扑图如下：平台网络总体架构根据建设需求，本期云平台网络各安全域规划如下：1.接入区：通过双链路上联至互联网区和教育网区，为互联网业务服务器访问互联网提供安全出口，部署防火墙、防病毒、防入侵、安全审计等满足等保三级要求的安全防护设施，提供互联网业务访问能力；通过链路上联至教育网实现与各教育系统的数据交互，并通过边界防火墙进行必要的网络防护。2.核心区网络核心区主要部署云平台核心交换机，网络核心区是整个网络的流量汇集地，来自外部网络以及服务器集群的流量全部要经过网络核心区。网络和数据库审计系统双归属连接核心交换机对网络及数据库流量做日志审计。部署安全隔离防火墙用于内外网数据交换，双归属连接核心交换机，提供教育网与互联网之间的逻辑隔离与数据交换服务。3.管理区管理区主要完成网络、安全和云平台的管理功能。部署云管理平台、网络管理平台、安全管理平台、虚拟化管理平台等管理服务器，通过对云管理平台、网络管理平台、虚拟化管理平台等软件的部署，实现对底层资源的合理管控，保障业务运行的可靠性、可用性，合理的分配资源，通过自动化的运维管理，提升客户IT人员的运维管理效率。4.通用性能计算区通用性能计算区主要部署需要虚拟化的计算资源，对外提供云主机服务。通常情况下虚拟化比较适合Web服务器、App服务器和轻量级数据库服务。5.高性能计算区高性能计算区主要用于承载通用性能计算区无法承载的业务应用，如对服务器运算性能要求特别高，在单个物理服务器上配置最大计算能力的虚拟机依然不能满足业务应用的计算能力要求等情况。6.备份区备份区主要部署云服务平台本地数据备份系统和备份介质。对文件、数据库（Oracle、SQL、Mysql等）、虚拟机等进行备份。7.存储区存储区主要部署存储资源池，存储资源主要使用分布式存储架构。分布式存储提供支持对象存储、文件存储，块存储类型，主要用来承载如虚拟机系统、虚拟机镜像、ISO、虚拟机的模板文件、非结构化数据、大文件等。

安全总体架构根据云平台要满足等保三级安全要求，从信息系统安全管理、信息系统安全技术和信息系统安全运维三个方面构建的云服务平台的总体安全架构。建立终端、云端、网端三位一体的综合协同联防的安全防御模型。联通云服务平台安全体系结构图云服务平台从安全域的角度，可以分为安全计算域、安全管理域、安全网络域和终端接入域。安全计算域是相同安全保护等级的物理主机/服务器的集合，安全网络域是由通信网络和接入网络构成。安全管理域是对整体云计算中安全事件收集与管控报警的系统平台。终端接入域是安全生产监管信息系统最终用户的集合。各安全域之间通过边界防护设备进行相应的隔离，在各安全域内部，根据地理位置、功能和重要程度又划分为不同的安全区域，各区域之间通过ACL进行相应的隔离。云网一体化设计在传统的云计算体系架构设计中，资源池内部的资源调度、资源池之间的资源调度、用户至云平台之间的网络连接这三者是互相分离，没有关联的。云计算资源池内部的各种计算、存储和网络资源可由云管理平台进行统一的管理和调度，实现用户IT资源在云平台内部的快速开通、业务的快速部署以及灵活的变更。不同资源池之间虽然可以实现网络的互通，但无法做到计算和存储资源在不同资源池之间的任意迁移和调度。在用户接入云平台方面，一般通过互联网或专线接入；对于教育网应用，从安全性的考虑，一般使用专线接入云资源池，利用云平台与用户内部网络组成混合云实现业务的互访。此时的专线开通需要繁琐的流程和大量的手工配置，且带宽不能根据业务的需要灵活调整。为了解决以上问题，我们采用云网一体化的设计思想，将云资源池内部的网络、资源池之间的网络以及资源池到用户端的网络全部纳入云管理平台进行统一的管理，实现对计算资源、存储资源和各种网络资源的集中配置和调度，对业务自动部署、硬件设备可视化管理，实现端到端的网络运维和QoS侦测，为多租户快速开通业务。云网一体化优势体现：基础网络与云平台结合，统一管理，统一调度末端网络自动开通用户按需带宽调配SDN集中控制业务端到端管理运维，实现集约化管理系统功能结构及描述计算资源服务设计虚拟化计算资源池通过服务器虚拟化软件部署在X86服务器之上实现。通过服务器虚拟化软件的部署可实现数据中心云化建设,为保证虚拟化平台具备良好的维护性，能够随着Linux版本的升级而升级，部署时无需绑定安装OpenStack相关组件，虚拟化软件基于KVM开发。为确保底层计算资源池功能以及性能的完善，虚拟化软件提供基础的功能和特性，其中包括：1.磁盘空间占用量小，因此可以缩小受攻击面并减少补丁程序数量2.具备高级内存管理功能，能够消除重复内存页或压缩内存页3.通过集成式的集群文件系统提供高级存储管理功能4.高I/O可扩展性可消除I/O瓶颈虚拟机计算性能 CPU虚拟化虚拟化软件的CPU虚拟化技术能够使多个操作系统实例同时运行在一台物理服务器之上，通过整合服务器充分利用CPU资源，可以给本次项目带来极大的资源集约以及管理便利。内核在调度vCPU的时候采用“插槽-核心-线程”的拓扑逻辑。“插槽”指处理器单个封装件，该封装件可以具有一个或多个处理器内核且每个内核具有一个或多个逻辑处理器。当vCPU需要运行时，内核会将一个vCPU映射到处理器调度一个执行线程的能力，它对应于一个CPU核心或一个超线程（如果CPU支持超线程）。超线程或多核CPU提供两个或多个调度vCPU运行的硬件基础。处理器管理从客户操作系统vCPU发往CVK内核的指令被VMM拦截。在固定时间间隔内，内核动态地在服务器和不同处理器（或多核处理器的内核）中分配VM工作负载。因此，VM指令根据每个处理器的工作负载从一个处理器（或内核）转移到另一个处理器。多内核和虚拟化多核处理器为执行虚拟机多任务的主机提供了很多优势。Intel和AMD均已开发了将两个或两个以上处理器内核组合到单个集成电路（通常称为封装件或插槽）的处理器。双核处理器通过允许同时执行两个虚拟CPU，可以提供几乎是单核处理器两倍的性能。同一处理器中的内核通常配备由所有内核使用的最低级别的共享缓存，这有可能会减少访问较慢主内存的必要性。如果运行在逻辑处理器上的虚拟机正运行争用相同内存总线资源且占用大量内存的工作负载，则将物理处理器连接到主内存的共享内存总线可能会限制其逻辑处理器的性能。使用多核心可以导致可观的耗电下降，并提供良好的性能。虚拟化能充分利用多内核提供的高性能的技术，采用CVK能够像管理物理处理器一样地管理核心。对称多处理器虚拟化软件虚拟对称多处理技术(VirtualSMP)可以使单个虚拟机同时使用多个物理处理器，并能够在处理器之间均衡负载。必须具有虚拟SMP，才能打开多处理器虚拟机电源。一些关键业务，比如数据库类应用（MicrosoftSQL、Oracle、IBMDB2、SAP）和商业、科研应用，在开发的的时候会充分考虑并行执行任务的需求，具有多个物理处理器的服务器就能利用SMP。超线程超线程是在一个物理处理器或者内核上创建两个逻辑内核实例，从而在核心中并行执行任务，提高效率。在虚拟机的处理器分配中，一个超线程可以对应一个vCPU。虚拟机全生命周期·虚拟化平台软件，支持基于统一界面对虚拟机的全生命周期管理。包括：创建、修改、启动、暂停、重启、关闭、断电、休眠、备份、快照、迁移、克隆、模板、删除等。并且支持通过图形化界面设定虚拟机的开关机策略，定时开启或关闭指定的虚拟机。云主机为用户提供的基于X86的云主机（虚拟机）服务。可根据用户的实际需求，对虚拟机的CPU、内存、网络带宽、硬盘性能及空间进行定制配置。并通过平台可对虚拟机进行创建、启动、停止、删除、快照、备份、恢复等。云主机服务应允许用户自由选择不同标准规格的云主机，用户可根据需要选择操作系统种类、VCPU数量、内存容量、系统盘容量，实现对云主机的灵活定制和动态创建；用户应可以通过Web控制台对云主机进行创建、开机、关机、重启、续订、退订等操作；允许用户根据需要对云主机弹性扩展内存和系统盘容量；用户可实时查看VCPU使用率、内存使用率、磁盘读写、网络流量等云主机重点性能指标情况1.支持多种操作系统云主机支持主流的Windows和Linux操作系统，包括但不仅限于WindowsServer2008、WindowsServer2012、Redhatlinux、Suselinux、Linux、CentOS、国产操作系统等。同时允许用户自定义个性化模板。2.支持多种规格云主机规格为虚拟机的配置模板，配置模板定义了虚拟机的CPU数量、内存容量、磁盘容量等服务器的必要参数。云主机允许用户根据不同需求选择标准配置或自定义配置，动态升级vCPU和内存配置。也允许用户从两个维度扩展业务服务能力，一个维度是在现有云主机上扩展vCPU、内存、磁盘，支持对CPU和内存的升级与降级操作，支持增加、减少磁盘和带宽，另一个维度是在弹性负载均衡支持下按现有云主机规格扩展云主机数量，可以通过API和控制台创建、销毁云主机实例。快速提升业务服务能力，数据盘通过分配块存储服务绑定到云主机，为云主机提供存储资源。每个云主机可绑定多个块存储。用户可以在云平台的控制台上通过可视化的图形界面进行云主机规格的选择和定制。3.支持快照功能快照用于捕捉硬盘在某一个时刻的状态，未来可以随时恢复到这个状态。用户可以采用快照方式备份当前使用的云主机。提供云主机的动态升级、快照备份、性能监测分析、异常告警、日志管理等功能。支持对运行或停止状态的云主机生成快照，应提供分钟级别快照回滚功能。备份方式支持全量快照和增量快照，同时还支持用户定义周期性自动快照。4.支持自定义镜像通过创建自定义镜像，用户可以将一台虚拟机的操作系统、数据制作成自定义镜像，再通过自定义镜像创建多台虚拟机，快速复制系统环境。用户可以将本地镜像上传并制作成自定义镜像，便于现有工作环境向云主机环境进行迁移。自定义镜像可帮助用户快速获得已部署运行环境或软件应用的虚拟机，满足建站、应用开发、可视化管理等个性化需求，让虚拟机即开即用，省时方便。5.支持配置动态伸缩平台支持对云主机配置的动态伸缩，通过修改云主机初始的规格来修改云主机的当前配置，可以修改的主要项包括：内存容量（可增减）、cpu数量（可增减）、磁盘容量（仅增）。动态升级时先关闭虚拟机，之后在启动时将应用新的规格作为配置模板。6.支持故障切换当一个计算节点发生故障时，系统支持将故障主机上的虚拟机资源自动/手动迁移至正常运行的安全计算节点上。故障切换是指虚拟机在宿主机崩溃时，可以将虚拟机在安全节点重新启动并恢复。7.支持在线迁移允许运维管理员登陆运维管理平台，针对用户的虚拟机执行迁移操作。迁移是在线热迁移，迁移中不需要关闭用户业务云主机，保证了用户业务连续不中断。在迁移过程中，目的主机会与源主机建立通信通道，用于接收源主机发送过来的数据；而虚拟机处于共享存储之中，这样就使虚拟机在迁移时不需要关闭电源而使业务不必中断。8.支持网络组隔离云平台支持通过VLAN技术对用户的网络进行隔离，保证了用户云平台资源和数据的隔离和安全。VLAN划分通过建立不同的虚机子网，同一个子网中的数据交互被封装在同一个隧道中进行相互通信，从而实现了各个网络之间的隔离。9.支持安全组功能安全组是一种针对云主机的虚拟网卡上行和下行流量的安全防护功能。云主机的所有数据流量都是通过虚拟网卡进出的，安全组包含一组白名单安全组规则，一个安全组规则允许某一特定数据包流入、流出虚拟网卡。而且与一般的云平台不同，这里的安全组针对的是某一个虚拟网卡，而不是一个云主机，云主机如果有多个虚拟网卡，可以针对每个虚拟网卡来设置安全组，这样可以实现更加细粒度控制安全。云原生云原生平台是基于容器和Kubernetes容器编排技术，采用微服务架构，兼容X86、Power、ARM等多架构CPU，以应用为中心，提供包括容器集群管理、DevOps、服务网格、组件管理、运维管理等云平台产品，涵盖研发、测试、生产、运维、监控、安全等全维度，全力实现研发资源、过程、效能统一管理。依托于IaaS层的计算、存储、网络、安全等资源池，利用HostK8s统一调度IaaS资源，为应用提供运行时资源和中间件、数据库产品，通过DevOps研发过程管理实现持续集成、持续交付，利用微服务技术解耦应用，为应用提供全生命周期管理。云平台可以提供云中间件与云应用的自动化部署、弹性调度、服务化管理、运行监控以及开发交付等功能。可以支撑企业产业数据处理和应用创新。能够为各种规模和各种类型的应用，提供松耦合、高效和高可用、高度可伸展、安全可靠等特性的应用支撑环境。1.容器服务设计容器配置主要提供以下功能：容器生命周期管理：提供便捷操作容器服务图形化界面，包括编辑容器信息，可以启动、删除、克隆容器。容器状态和性能管理：提供图形界面查看容器关键性能和配置信息，包括查看标签、存储卷、端口映射、实时监控信等关键信息。容器日志管理：提供管理平台图形化界面日志查看，包括展示容器日志信息，并实时刷新。容器应用堆栈管理提供使用应用模板一键创建容器应用栈，包括从应用集合，服务集合的角度对容器进行集中的管理和配置。多集群服务应用部署及服务化管理：提供多集群应用部署及服务化管理，包括统一界面管理、更新、回滚等。应用服务化管理视图：提供以不同方式查看、展现应用容器，包括根据命令空间Namespace、应用分类、容器运行节点、列表等方式展示容器列表。项目管理：提供项目层级配额管理，包括配置该项目的CPU，内存，存储，Pod数量等的配额。容器服务健康检查：提供内置容器服务的健康检查管理，包括设定基于HTTP的健康检查、基于TCP的健康检查、基于命令行命令的健康检查以及健康检查的颗粒度，如检查次数、间隔、超时时间等。容器服务伸缩管理：提供容器服务扩容和收缩管理，包括手动进行容器扩容和收缩和基于CPU等资源使用率状态数值触发的自动扩容缩容。容器升级和回滚管理：提供容器的升级和回滚操作管理，包括新旧容器启停顺序、批量大小、最小就绪时间等。2.微服务设计微服务平台可充分利用云基础设施的分布部署、弹性扩展、集中调度等优势，提供统一的dashboard展示页面，可以基于租户实现项目管理、开发服务管理、项目微服务管理、开发框架管理等，能够将业务应用进行再深挖、能力再整合、服务再优化，提炼出应用的共性功能，供上层应用服务按需统一编排调用。并且微服务支撑平台还具有监控告警功能，可以实现基于不同维度的监控告警信息的统一呈现，帮助用户快速了解系统使用情况，快速定位故障等。目前微服务支撑平台可以支持主流的微服务框架，能够提供比较完整的微服务架构，其中包括灰度发布、蓝绿发布和滚动发布，服务发现的配置管理能够兼容多种RPC框架，负载均衡框架，流量控制框架，APM系统等微服务平台及治理功能，还拥有DevOps和容器化能力（1）服务治理根据已注册微服务的运行情况，治理微服务项目，对服务进行跟踪治理管理，包括服务跟踪查询、部署和查看等功能，其中查看功能中可查看服务整条调用链跟踪监控信息，也可以通过配置微服务的容错、熔断、降级、限流等以及服务链路跟踪对服务进行深度治理。提供了分布式系统跟踪的解决方案。服务追踪系统部署提供一键部署服务追踪系统实例，定制化选择部署内存性或持久性服务追踪系统类型，在部署过程中可以自定义环境变量定制化优化断路器的配置。（2）服务网关服务网关可以提供查询租户下各项目网关列表、部署网关、查询网关配置信息，能够为微服务提供统一的入口/出口管理，可以通过服务路由配置，对现有网关信息进行配置管理，可以为HTTP/TCP提供流程配置负载均衡器等。能够跨多个应用对微服务进行路由规则配置，能够反向代理后端的微服务，暴露统一的域名访问方式。网关部署方面可以提供一键部署网关实例，实现网关弹性伸缩，自动化刷新各个实例配置和路由信息。服务的网关配置信息动态设定，如服务间的路由信息、微服务外部的路由信息，全局请求头配置、忽略请求头配置等。网关配置可以实现网关实例个数伸缩、网关环境变量配置功能。存储资源服务设计分布式存储是通过集群应用、网格技术或分布式文件系统等功能，将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作，共同对外提供数据存储和业务访问功能。分布式存储支持虚拟化平台，支持配置多副本（3副本及以上），分布式存储支持容量无缝扩展，具有高可靠性和容错性。不同的存储分别为对IO要求不同的应用系统提供存储空间。分布式存储数据可靠性为99.95%以上。对于有特殊需求或数据库高IO场景的应用可以使用集中存储提升空间。云平台为用户提供不同性能的块存储、对象存储以及文件存储服务、用户可根据业务需求，配置不同性能、不同种类的云存储服务。高可靠性要求满足，采用分布式多副本技术，数据自动多重冗余备份，数据零丢失；高安全性要求满足，企业级多层次安全防护与隔离机制，保障数据的安全存储；灵活性要求满足，根据实际需求提供多种使用场景，提供多种服务的存储产品；块存储块存储提供持久化的、独立于主机生命周期的、高可用的块存储管理服务，块存储可以挂载在任意一个运行中的主机上，块存储结合弹性云主机使用，使数据的使用更安全、更灵活，适用于需要建立数据库、文件系统或可访问原始数据块级存储的应用，可提供不同存储性能的块存储。块存储提供了块设备存储的接口，用户需要把块存储卷附加到虚拟机(或者裸机)上后才可以与其交互。块存储用于向云主机提供块级存储卷以持久化数据，块存储挂载进云主机后的使用方式与现有普通硬盘的使用方式完全一致。块存储可以通过利用控制台、开放API、命令行等工具来管理块存储，挂载到任意一台云主机上，使数据更安全、更具灵活性。其功能如下：查询：查询用户申请的块存储信息；查询弹块操作记录。基本操作：块的创建、名称修改；加载到主机、从主机卸载。销毁、扩容：块销毁；块扩容。灵活部署：创建后即可对块存储进行挂载实现快速部署，每块块存储可以挂载到任意一台云主机上，两者具有不同的生命周期。当云主机被删除时，块存储数据仍然存在，并可以挂载到其它的云主机上继续使用。按需使用：客户可申请多个块存储，每块块存储申请的最大空间可至20T。客户可以随着业务的增大对块存储弹性扩展存储空间，也可以为云主机挂载更多的块存储，不再使用时可通过简单的web操作进行删除。对象存储将数据通路（数据读或写）和控制通路（元数据）分离，并且基于对象存储设备构建存储系统，每个对象存储设备具有一定的智能，能够自动管理其上的数据分布。兼顾对象存储同兼具SAN高速直接访问磁盘特点及NAS的分布式共享特点。云存储分为对象、对象存储设备、元数据服务器、对象存储系统的客户端（或者浏览器）这几部分。云存储服务是在云中的、可无缝扩容的、高可靠而廉价的存储服务。它能让不用关心底层的存储技术，也不用关心存储资源扩容问题，直接通过对象存储调用海量的存储资源，存储应用数据。对象存储把对文件的管理依托于空间（Bucket）进行，空间是存放文件的容器，也是用户上传、下载、分享文件的载体。在空间概况中，用户可以查看当前的空间信息。信息包含：空间的数量与名称，空间当前的存储量大小，空间内文件下载产生的流量，API请求数；空间流量的统计图。同时，为用户提供了依据空间名的查询功能。采用三副本的校验机制，为计算节点提供对象存储服务，采用restAPI对接应用，也提供基于Web的访问。采用纠删码的校验机制，为计算节点提供对象存储服务，采用restAPI对接应用，也提供基于Web的访问，适用于对接备份、视频等应用。网络资源服务设计基础网络服务核心网络设计核心网络负责全网数据流的交换及转发，所有分区均同核心交换区相连。因此核心交换区需要重点关注传输性能和效率。核心交换区选用的数据中心级交换机具有独立的交换网板和处理引擎，实现了控制层面和转发层面的物理分离，这种架构对核心交换区高可靠性也提供了保证。核心交换所有关键器件，如引擎、电源、风扇等均采用冗余设计；所有单板和电源模块支持热插拔功能，并且对其它单板上运行的业务无影响。两台核心交换机通过虚拟化技术组建网络集群，达到2N冗余高可用效果，任何一台核心交换机出现故障，不影响现有网络的正常运行。核心网络向上经综合安全网关设备接入现有运营商网络，向下连接多个业务区介入交换机。核心区由两台高端三层交换机构成，两台核心交换机之间通过4条40G链路三层互联。核心区与leaf之间为三层路由互联，为保证功能子区的可靠性要求，接入层的每台Leaf设备通过双链路连接到核心交换机。核心交换区链路要求：核心交换区承载所有跨区域的网络通讯，数据流量密集，网络链路与接入层连接最低为40G等级。核心交换机与业务资源区域通过多条40G进行连接，后期可升级为100G端口连接。管理互联，与管理区的汇聚设备管理通过10G链路互联。接入网络设计接入交换两台物理设备虚拟成一台逻辑设备，使用扩展接口卡上的两条线路捆绑做虚拟化链路。核心交换机和接入交换机之间使用4条链路Fullmesh方式连接，4条链路捆绑到一个聚合组里面，管理交换机与核心交换机之间的链路一样。服务器根据部署需求连接到接入交换机，实现业务互通访问。接入交换两台物理设备虚拟成一台逻辑设备，使用扩展接口卡上的两条线路捆绑做虚拟化链路。核心交换机和接入交换机之间使用4条链路连接，4条链路捆绑到一个聚合组里面，管理交换机与核心交换机之间的链路一样。服务器根据部署需求连接到接入交换机，实现业务互通访问。业务网络设计业务网络主要传输各应用业务的业务数据，具备50GE的网络吞吐能力，网络采用接入层和核心层两层扁平化架构。各分区节点通过两条25GE链路连接至接入层交换机，接入层交换机通过四条40GE链路上联核心层交换机。接入层交换机与核心层交换机采用两两堆叠的方式部署，保障网络高可靠性。3.管理网络设计管理网络分为两部分IPMI管理和OpenStack服务管理。由于吞吐量不高，因此具备1Gb通讯能力即可满足需要。管理网络采用接入层和核心层两层扁平化架构。每台计算节点的OpenStack服务管理网络采用两条1GE链路上联接入层交换机，所有服务器的IPMI管理网络均采用一条1GE链路上联接入层交换机。接入层交换机采用两条10GE链路上联核心交换机。接入层交换机与核心层交换机采用两两堆叠的方式部署，保障网络高可靠性。虚拟网络服务云平台支持通过VLAN和VxLAN技术对用户的网络进行隔离，保证了用户云平台资源和数据的隔离和安全。其中，VxLAN技术突破了vlan4096的数量限制，并通过建立不同的虚机子网，同一个子网中的数据交互被封装在同一个隧道中进行相互通信，从而实现了各个网络之间的隔离。云网络服务是通过各种网络虚拟化技术，在多租户环境下提供给每个租户独立的网络环境。云的网络服务是一个可以被用户创建的对象，类似物理环境中的交换机，但可以拥有无限多个动态可创建和销毁的虚拟端口。支持虚拟路由、虚拟交换机和弹性IP，用户可自定义虚拟主机的网络拓扑和IP。虚拟交换机：云IaaS系统中的虚拟交换机通过分布在各物理服务器的虚拟交换，提供虚拟机的二层相互通信、隔离、QoS的能力。虚拟交换机功能包括：支持VLAN，FLAT协议；支持万兆虚拟网络端口；支持QoS；支持OpenFlow，可外接SDN控制器。虚拟路由器:云IaaS系统中的虚拟路由器为分布在虚拟网络中的虚拟机提供三层路由，网络地址转换，和VPN等功能。虚拟路由器功能包括：支持三层路由转发；支持IP或IP+PORT的网络地址转换；支持QoS；支持VPN；虚拟防火墙:云IaaS系统为虚拟网络中虚拟机提供安全防护；通过安全组和安全规则能够快速灵活的为虚拟机部署虚拟防火墙，从而能够实现虚拟机之间的访问控制，虚拟机的安全防护，虚拟机到外网的访问控制。一个用户可以创建多个防火墙，防火墙的网络映射都是单向授权（除IP协议），防火墙规则随虚拟机启动而生效，虚拟机迁移不影响规则。IP地址管理:云IaaS系统允许用户根据业务需要灵活管理外部IP地址，虚拟网络子网，以及网关等信息。IP地址管理功能包括：支持外部IP地址池；支持虚拟网络自定义子网；支持虚拟网络自定义网关；支持虚拟机指定IP地址；支持DHCP自动分配IP地址。支持弹性IP，能够在云主机、网络设备等进行任意绑定与解绑，支持多个弹性IP共享带宽。支持内网域IP与DNS映射。虚拟机集群内各虚拟机之间的网络策略及端口可由用户自主定义虚拟网络I/O控制:云IaaS系统使用网络QoS策略提供上行和下行的带宽配置控制能力。虚拟网络I/O控制功能包括：基于虚拟路由器的带宽控制，提供基于L3层的带宽控制功能，可以保证各个网络平面的流量拥塞不影响其他网络。基于虚拟网卡的带宽控制；提供基于虚拟网卡的带宽保证、上限带宽、上限带宽，保证虚拟机的网络通信质量，同时避免不同虚拟机之间的拥塞互相影响。负载均衡服务负载均衡是对多台云服务器间实现业务系统流量的自动分配服务，云负载均衡可以通过流量分发，整个系统的处理能力并提供应用程序容错的能力，消除由于单台云服务器的故障对系统的影响，从而提升整个系统服务的可用性，提高资源利用率。负载均衡服务包括链路负载均衡服务、服务器负载服务和云弹性负载均衡服务。服务器负载均衡服务就是对一组服务器提供负载均衡业务。服务器负载均衡分为四层（L4）服务器负载均衡和七层（L7）服务器负载均衡两种。支持加权轮询(WeightedRoundRobin)、加权最小连接数调度(WeightedLeast-ConnectionScheduling)等流量分发策略。弹性负载均衡器是将业务访问流量分发到多台后端主机上的服务，可对虚拟主机提供TCP和HTTP协议的负载均衡服务，提供多种转发规则，提供SSL加速、压缩和缓存功能；为web应用提供负载均衡服务，支持web服务、web压缩功能，缩短下载和更短响应时间；支持通过卸载服务器的TCP连接处理以及服务器内容的重复性获取，降低响应时间；支持通过从本地缓存中获取内容，从而降低服务器负载；支持中间件、数据库以及其它各种网络服务，满足不同业务场景的要求，可用性达到99.99%，故障响应时间小于30分钟。安全资源服务设计安全通信网络设计1、网络结构安全网络结构的安全是网络安全的前提和基础，选用主要网络设备时需要考虑业务处理能力的高峰数据流量，要考虑冗余空间满足业务高峰期需要；网络各个部分的带宽要保证接入网络和核心网络满足业务高峰期需要；按照业务系统服务的重要次序定义带宽分配的优先级，在网络拥堵时优先保障重要主机；合理规划路由，业务终端与业务服务器之间建立安全路径；绘制与当前运行情况相符的网络拓扑结构图；根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的网段或VLAN。保存有重要业务系统及数据的重要网段不能直接与外部系统连接，需要和其他网段隔离，单独划分区域。2、网络设备防护为提高网络设备的自身安全性，保障各种网络应用的正常运行，对网络设备需要进行一系列的加固措施，包括：对登录网络设备的用户进行身份鉴别，用户名必须唯一；对网络设备的管理员登录地址进行限制；身份鉴别信息具有不易被冒用的特点，口令设置需3种以上字符、长度不少于8位，并定期更换；具有登录失败处理功能，失败后采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施；启用SSH等管理方式，加密管理数据，防止被网络窃听。对于鉴别手段，三级要求采用两种或两种以上组合的鉴别技术，因此需采用USBkey+密码进行身份鉴别，保证对网络设备进行管理维护的合法性。3、通信完整性信息的完整性设计包括信息传输的完整性校验以及信息存储的完整性校验。对于信息传输和存储的完整性校验可以采用的技术包括校验码技术、消息鉴别码、密码校验函数、散列函数、数字签名等。对于信息传输的完整性校验应由传输加密系统完成。4、通信保密性应用层的通信保密性主要由应用系统完成。在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证；并对通信过程中的敏感信息字段进行加密。对于信息传输的通信保密性应由传输加密系统完成。5、网络和通信安全密码应用要求在通信前基于密码技术对通信双方进行身份验证，使用密码技术的机密性和真实性功能来实现防截获、防假冒和防重用，保证传输过程中鉴别信息的机密性和网络设备褓身份的真实性；使用密码技术的完整性功能来保证网络边界和系统资源访问控制信息的完整性；采用密码技术保证通信过程中数据的完整性；采用密码技术保证通信过程中敏感信息字段或整个报文的机密性；采用密码技术建立一条安全的信息传输通道，对网络中的安全设备或安全组件进行集中管理；采用符合GM/T0028的三级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理。6、VPN远程安全访问本次方案设计云平台的通信安全应部署VPN服务，以便和远程接入设备建立安全连接，建立加密通道保障通信过程中的数据安全，并建立身份验证机制，实现接入认证。安全计算环境设计1、东西向访问控制与网络隔离通过防火墙与SDN控制器的深度融合，形成东西向安全服务链。可对VPC内部业务进行区域划分和网络隔离，同时东西向防火墙具备入侵检测和病毒检测的功能，可对东西向业务流量进行安全防护。2、主机级入侵检测增加主机测检测维度，填补仅流量检测的空白，主机层面与流量层面的联合监控，高精准，低误报；将检测的点覆盖到每一台服务器，由点到面展开，可有效检测内部横向蔓延；自内而外基于真实环境的恶意行为检测，比沙箱检测更有效3、主机侧风险感知主机安全解决方案会主动、持续性地监控所有主机上的软件漏洞、弱密码、应用风险、资产暴露性风险等，并结合资产的重要程度进行风险分析，准确定位最急需处理的风险。全决策者动态展示主机安全指标变化、安全走势分析，使安全状况的改进清晰可衡量；为安全运维人员实时展示风险分析结果、风险处理进度，提供专业可视化的风险分析报告，使安全管理人员的工作价值得到可视化呈现。主机安全解决方案将视角从了解黑客的攻击方式，转化成对内在指标的持续监控和分析，无论多么高级的黑客其攻击行为都会触发内部的异常变化，从而被迅速发现并处理。4、主机安全基线主机安全基线管理解决方案通过自动化检查，节省传统的手动单点安全配置检查的时间，并避免传统人工检查方式所带来的失误风险，同时能够出具详细的检测报告。支持自定义基线配置，可灵活添加系统基线或应用基线；支持基线一键检测可用于等级保护等合规性检查：在等级保护检查、测评、整改工作过程中，对服务器系统进行对应级别的安全风险检查是运营人员的必要工作。安全专家对国家等级保护规范进行了细化整理，把相关技术要求落实到合规基线（等保合规）模块中，可进行对应级别的安全配置检查，对合规情况进行等保符合性报告，保证系统建设符合等保要求、促使等保监督检查工作高效执行。安全服务设计根据2019年12月1日实施的GB/T22239-2019《信息安全技术网络安全等级保护基本要求》要求，第三级安全要求主要包括以下方面：(1)安全通用要求包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。安全物理环境：包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁保护。安全通信网络：包括网络架构、通信传输、可信验证。安全区域边界：包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。安全计算环境：包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。安全管理中心：包括系统管理、审计管理、安全管理、集中管控。安全管理制度：包括安全策略、管理制度、制定和发布、评审和修订。安全管理机构：包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。安全管理人员：包括人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。安全建设管理：包括定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。安全运维管理：包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。(2)云计算安全扩展要求包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全建设管理、安全运维管理。安全物理环境：包括基础设施位置。安全通信网络：包括网络架构。安全区域边界：包括访问控制、入侵防范、安全审计。安全计算环境：包括身份鉴别、访问控制、入侵防范、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护。安全管理中心：包括集中管控。安全建设管理：包括云服务商选择、供应链管理。安全运维管理：包括云计算环境管理。接口服务设计我方提供的云平台开放底层接口，能够实时查看云资源利用率、设备运行和使用状态，按时提交运行报告。通过调用云服务平台符合要求的的API接口对云资源进行管理，各类资源的接口，实现与云服务平台资源池的对接，并实现对云服务平台资源池的统一调度、管理。接口对接原则：优先使用OpenStack框架的原生接口进行对接，若OpenStack无对应功能的接口，需要定制开发的，由相关云管理方组织，并与供应商协商制定接口对接规范，双方按照此规范进行接口对接工作。基于接口规范提供南向接口标准，云服务商按照南向接口标准和参数要求适配对接。接口规范如下表。指标项指标要求接口URI云资源管理中心调用供应商接口访问地址兼容性接口须兼容OpenStack框架https数据传输需采用SSL保护，启用接口认证地址/端口供应商采用统一的入口地址和端口标准规范应遵循restful规范应遵循国家标准、省市云平台相关的规范体系第三方业务系统可以通过接口层从云平台获取数据。第三方业务系统需要请求的外部接口需要在接口层注册，并生成配置文件；每次访问都会被有效地记录，实行监管。云管理平台基于OpenStack开放云平台架构，模块化开发，支持各模块功能的平滑升级，提供标准的对内对外接口。在北向接口为上层软件及特定租户提供一个归一化、标准化的基础设施服务（IaaS）API服务接口。在面向云运营和管理者的接口之上，除了面向租户的基础设施资源生命周期管理API之外，还包括一些云租户API无法覆盖的，面向基础设施资源日常OAM的操作运维管理API接口。接口中关于云租户感知的基础设施资源生命周期管理API的典型形态为WebRESTFUL接口。南向接口为业务应用执行平面的x86指令，以及基础设施硬件特有的、运行在物理主机特定类型OS中的管理Agent，基于SSL承载的OS命令行的管理连接。北向接口中的OAMAPI则往往采用传统IT和电信网管中被广泛采用的WebRESTFUL、SNMP等接口。云监管系统和其他云服务商可以通过北向接口连接运维管理平台获得资源池情况，实现工作状态数据上报给运维管理平台，包括主机，虚拟机，存储，网络设备，操作系统等计量统计数据的获取，通过资源操作接口，实现对资源生命周期内的各种操作，包括资源的创建，操作，挂起，恢复，删除，状态查询等。资源种类需涵盖运营平台开通的所有资源服务内容，比如：主机租赁，资源租用，虚拟主机，弹性主机，云存储，负载均衡，防火墙等行为进行监管或直接进行操作。本项目采用云网一体化设计思路，在云平台的网络边界部署支持SDN与VxLAN功能的网络设备作为网络功能虚拟化的边界设备（NVE，NetworkVisualizationEdge），对于未来有接入需求云服务留有接口，云网一体化设计可保证用户端至云端的自动化接入，同步开通网络资源与云资源，并且可以根据需要动态进行带宽分配，实现用户端和云端均能实现灵活互访。确保后续与购买的云服务实现互联互通。容灾备份服务设计灾备中心的设计灾备中心的处理能力受到几方面的制约：●运行与灾备中心的关键应用系统的数量●灾备中心运行时的联机系统用户的数量●灾备中心运行时能够提供的应用系统响应速度所以灾备中心的容量必须等到业务影响分析完成后才能明确。灾备中心的设备要与数据中心的设备兼容，具体配置通过下述述手段获得：1.根据对处理性能的要求并参照数据中心的配置给出初步建议2.搭建测试环境进行测试（兼容性测试和压力测试）3.对初步建议进行调整，给出最终建议灾备技术的设计灾备技术的选择，是一个以业务灾备需求为核心，多种因素综合权衡的过程。灾备技术选择所需考虑的因素如下：●业务分析结果：灾备系统建设应根据业务分析结果选择合适的灾备技术并确定具体的实现策略，以满足业务恢复时相应的RTO、RPO指标。●业务关联程度：在进行灾备技术选择时，需要考虑到系统各种业务之间的关联关系。业务关联紧密，数据的耦合程度高，可能会造成所有关联的业务都要采用同一种灾备技术；业务关联松散，数据的耦合程度低，可能会针对不同的业务要求进行区分，分别采用不同的灾备技术。●系统现状：灾备技术必须充分考虑与现有系统的配合。现有系统的应用分布、应用的实现方式、硬件设备平台的种类、存储数据量的大小、IO吞吐量的大小等，都会对灾备技术的选择产生影响。●技术成熟度：灾备系统必须采用成熟可靠的技术，保证系统持续、稳定的运行。该技术应具有类似于电信业务运营支撑系统灾备建设的成功案例，不能由于技术手段的不成熟或不稳定而增加系统新的风险。●灾备系统环境：灾备技术必须考虑生产中心与灾备中心之间的距离、网络环境等因素，不同的技术对距离、网络带宽的要求会有所不同。●管理维护难度：不同的灾备技术对管理维护的要求各不相同，在同等条件下，应采用易于管理和维护的灾备技术。●成本分析：不同的灾备技术对软硬件投资、实施维护成本的要求各不相同，在同等条件下，应采用总体成本最小的灾备技术。在分析用户的业务灾备需求和数据处理需求后，我们要设计一个满足用户需求的解决方案，对此，从用户需求出发，根据灾备技术提供灾备解决方案。高性能计算服务设计本期项目将提供一个集约化的人工智能算力平台，算力平台服务基于联通云双引擎基座部署，即在私有云部署架构基础上，增加高性能存储资源池和AI算力资源池。云服务器，ECS是为用户提供的稳定可靠、性能优异、灵活伸缩的弹性计算服务。用户可以根据不同的业务需要，随时创建并使用云服务器ECS，相对于IT硬件节约了大量时间和成本，同时简化IT采购、部署、实施、运维等工作。帮助用户从繁琐的传统IT建设上解脱，更加专注于业务发展。裸金属服务器，为用户提供独占的物理服务器的计算资源，无虚拟化性能开销和特性损失，同时提供硬盘备份能力，充分满足对高性能、稳定性以及数据安全的业务诉求。容器实例，敏捷的容器化弹性计算服务，具有敏捷、安全的特性。无需关心底层IaaS资源，只要有打包好的镜像即可运行容器，适用于在线业务托管、业务弹性扩容等场景。在算力平台用户可创建云服务器、裸金属服务器、容器实例，创建时可选择实例规格、操作系统、系统盘、数据盘、专有网络VPC、安全组、弹性公网IP、IPv6带宽以及设置云服务器的登录方式，登录方式支持密码、密钥对。支持对创建的云服务器ECS进行查看、管理、搜索及刷新，以及开机、关机、重启、重置密码、规格变更、销毁等全生命周期的管理操作。对象存储服务，是弹性、高可用、低成本的云存储服务，满足EB级存储规模需求，适合存储各种类型的数据，用于存储原始数据以及数据分析结果。训练算力，支持Tensorflow和PyTorch等多种深度学习框架；支持挂载基于IB网络的高性能文件系统，提升训练速度。推理算力，推理是将深度学习训练成果投入使用的过程，支持部署训练好的模型，提供在线服务。模型开发，提供Notebook交互式建模开发工具，提供数据处理、算法调试和模型训练等支持。

云平台管理系统解决方案云管理平台总体规划我司提供的云管理平台是基于KVM虚拟化技术和OpenStack云架构技术研发，完全具有源代码，可对多种异构资源实现统一管理的云系统软件，能够为用户提供简单、统一的管理平台，内置丰富的资源管理与交付功能，可以对原本静态的IT基础设施进行管理、调度和按需分配，可实现基于策略的调度，并且易于集成，满足用户对应用自动化部署、服务器动态扩展、软硬件资源池化、应用自动化部署、故障自动迁移、负载均衡服务、虚拟私有云等需求。虚拟机热迁移、虚拟机高可用以及按照策略调整运行资源和资源自助管理服务界面。云管平台基础管理功能智能运营涉及到运营生产的多个工作环节，无法通过单一的工具平台完成，智能运营统一门户对智能监控、ITOM系统等子系统的资源进行了数据整合，将最关键的信息在门户进行展示，同时实现了对各子平台的单点登录，省去了用户多次登录的繁琐操作，是实现IT运营维护统一调度和集中管控，降本增效的关键系统之一。可视化大屏展示根据不同客户的需求，提供全面丰富的平台运行状况数据、视图展示，定制化的解决方案，为保障系统平稳运行提供强有力的视图支撑。门户具备单点登录功能，即用户在门户页面输入用户名密码之后从门户页面点击链接跳转到其他子平台时无需再次登录，该功能使得用户无需多次登录系统，简化了操作步骤，节约了用户操作的时间成本。用户管理门户具备用户管理功能，在门户上点击用户管理可跳转到用户列表页面，在用户列表页面，管理员用户可对用户信息进行增删改查的操作，并且可对用户可以访问的系统进行配置，普通用户必须被授权才可从门户登录到子系统中。普通用户则可对自己的用户信息进行修改。产品管理1）属性分类属性分类中，可为父节点云计算、云专享、云存储、VPC、网络类添加新的属性分类，如在云计算下添加虚拟机、云主机镜像、快照、物理机、负载均衡等。还可以通过点击属性分类的名称，修改属性分类。2）属性管理属性管理是对属性分类中属性的细化，如属性分类父节点包括虚拟机，而虚拟机又包括CPU数量、内存大小、系统盘容量等属性。添加：点击【添加】按钮可以添加新的属性。修改：点击属性管理列表中的属性名称，可以对其进行修改。删除：选择列表中的一个属性，点击【删除】可以删除列表中的属性。3）产品配置产品配置中，可以添加新的产品，也可以修改列表中已有的产品。其中，所属分类下拉列表为属性分类中添加的分类，规格项目为属性管理中添加的属性。添加产品：点击【添加产品】按钮，填写必填项信息，完成产品的添加。修改产品：点击产品名称，可以对产品进行修改。支持多种操作系统联通云提供硬件和软件基础设施服务。具体应包括：云服务器，操作系统，海量结构化数据，以及大数据计算等服务。云主机支持主流的Windows和Linux操作系统，允许用户自定义个性化模板，部分操作系统列表如图所示：云主机操作系统支持多种规格云主机规格为虚拟机的配置模板，定义了虚拟机的CPU数量（vCPUs）、内存容量（Memory_MB）、磁盘容量（Disk）及临时磁盘（Ephemeral）、Swap分区等一些参数。云主机允许用户根据不同需求选择标准配置或自定义配置，动态升级vCPU和内存配置。也允许用户从两个维度扩展业务服务能力，一个维度是在现有云主机上扩展vCPU、内存、磁盘，支持对CPU和内存的升级与降级操作，支持增加、减少磁盘和带宽，另一个维度是在弹性负载均衡支持下按现有云主机规格扩展云主机数量，可以通过API和控制台创建、销毁云主机实例。快速提升业务服务能力。云主机可提供32vCPU，128G内存，数据盘通过分配的快存储服务绑定到云主机，通过分布式文件系统实现支持百PB级的块存储、文件存储和对象存储服务，为云主机提供存储资源，弹性块存储最大2T，每个云主机可绑定多个块存储。每个计算节点的业务网络可达到20G带宽，且承载最大多不超过80台云主机，因此单台云主机业务网络带宽至少可达250M。云主机可提供从1VCPU到32VCPU,内存可以配置从0.5G到128G。块存储可以从20G到2TB进行配置。可以配置多个块存储。用户可以在web控制台上可以通过下图所示界面进行云主机规格的选择和定制：云主机规格选择界面支持Oracle、MSSQL等常用数据库的部署和使用。支持快照功能快照用于捕捉硬盘在某一个时刻的状态，未来可以随时恢复到这个状态。用户可以采用快照方式备份当前使用的云主机。提供云主机的动态升级、快照备份、性能监测分析、异常告警、日志管理等功能。支持对运行或停止状态的云主机生成快照，应提供分钟级别快照回滚功能。备份方式支持全量快照和增量快照，同时还支持用户定义周期性自动快照。1）快照功能原理：底层在创建虚拟机时，会根据其选用的镜像，创建一个基础缓存镜像文件，以便于让所有使用同一镜像的虚拟机不必多次全量拷贝源镜像；之后在基础缓存镜像文件的基础上，创建增量镜像文件，即虚拟机的系统磁盘。2）增量快照：通过对增量镜像文件做快照及备份，即完成了对虚拟机的增量快照及备份，因为增量镜像文件相对源镜像文件要小得多，所以增量快照功能完成的速度较快，但是不可独立恢复。快照功能全量快照：将增量快照及备份与基础缓存镜像文件转换合并起来，就完成了对虚拟机的全量快照及备份，因为基础缓存镜像文件较大，所以全量快照功能完成的速度较慢，但是可以独立恢复。支持自定义镜像镜像，是指云主机所使用的根分区或系统盘，可以快速地通过镜像复制出一台云主机，免除传统冗长的装机过程。同时还支持制作镜像快照，对云主机进行备份快照，该快照还能像普通镜像一样随时创建新的虚机使用。云平台允许用户自行制作标准格式的系统镜像，上传到云平台后，经过简单配置即可以展示在网站上供用户选择创建基于自定义个性化模板的云主机。目前支持的镜像格式有iso、qcow2、qcow、raw、vmdk等多种模式，常用为qcow2格式的镜像。当镜像制作完成后，将上传到镜像库中，由镜像管理服务模块来管理所有的镜像。每台物理服务器的云主机在线迁移并发数量至少可以达到8个。可实现以云主机为中心的镜像,镜像保留时间不低于48小时且可自定义镜像平率。磁盘快照。需要提供云服务器任一时刻的磁盘镜像功能，含镜像制作，镜像回滚，镜像恢复等。支持配置动态伸缩平台支持对云主机配置的动态伸缩，通过修改云主机初始的规格来修改云主机的当前配置，可以修改的主要项包括：内存容量（可增减）、cpu数量（可增减）、磁盘容量（仅增）。动态升级时先关闭虚拟机，之后在启动时将应用新的规格作为配置模板。支持故障切换系统支持当一个计算节点发生故障时，将其上的虚拟机资源自动/手动迁移至安全的计算节点上。故障切换是虚拟机在宿主机崩溃时，因为使用的分布式存储，虚拟机的跟分区/系统盘及块存储设备在安全的节点可用，可以将虚拟机在安全节点重新启动并恢复。虚拟机故障迁移示意图支持在线迁移允许运维管理员登陆运维管理平台，针对用户的虚拟机执行迁移操作。迁移是在线热迁移，迁移中不需要关闭用户业务云主机，保证了用户业务连续不中断，为用户带来良好体验。在迁移过程中，目的主机会与源主机建立通信通道，用于接收源主机发送过来的数据；而虚拟机处于共享存储之中，这样就使虚拟机在迁移时不需要关闭电源而使业务不必中断。支持网络组隔离云平台支持通过VLAN和VxLAN技术对用户的网络进行隔离，保证了用户云平台资源和数据的隔离和安全。其中，VxLAN技术突破了vlan4096的数量限制，并通过建立不同的虚机子网，同一个子网中的数据交互被封装在同一个隧道中进行相互通信，从而实现了各个网络之间的隔离。支持防火墙功能云平台基于安全组规则实现虚拟防火墙的功能。安全组是云主机的虚拟网卡上行和下行流量的防火墙，如下图所示，表示虚拟网卡的上行安全组规则。云主机的所有数据流量都是通过虚拟网卡进出的，安全组包含一组白名单安全组规则，一个安全组规则允许某一特定数据包流入、流出虚拟网卡，从而实现了类似传统防火墙的功能。而且与一般的云平台不同，这里的安全组作为一个防火墙针对的是某一个虚拟网卡，而不是一个云主机，云主机如果有多个虚拟网卡，可以针对每个虚拟网卡来设置安全组，这样可以实现更加细粒度控制安全。虚拟防火墙示意图云存储服务针对不同应用对存储性能的需求，云平台将提供两种存储服务分布式存储服务和高性能存储服务来提供云存储服务。分布式存储服务云平台分布式云存储系统采用先进的分布式对象存储设计，同时整合文件存储、块存储和对象存储三种技术，为各种不同类型的客户应用提供适合其需求的存储服务。分布式对象存储系统提供多种类型的接口，包括S3存储接口、iSCSI/FC接口、NFS/CIFS、NAS等接口。可以根据需要使用任意一种进行访问，方便客户和原有存储系统的对接和管理。支持策略管理，如分发、QoS和存储分层，提供丰富的管理分发功能，包括提供详尽的监控和报告；支持海量存储，文件数量无限制，容量按用户需求扩展；数据监控和自动修复功能；根据策略进行对象分发、对象复制和对象再平衡。分布式云存储系统采用多层级的可用性设计。每台节点均可支持RAID阵列，确保节点内部数据安全和高可用。同时分布式存储集群支持实时多副本功能。数据在集群中实时保存n份副本，可确保任意(n-1)台节点出现故障，数据依旧安全且可访问。多数据中心的不同云存储集群间支持数据互备互援，确保发生人力不可控的灾难时，数据依旧安全。支持大规模非结构化数据存储，如文档、音频、视频等对象，故障响应时间小于10分钟。高性能存储服务云平台的高性能存储服务将根据客户对存储的IOPS需求，采用传统的SAN存储或者云平台的块存储来满足客户对于存储的需求。高性能存储一般采用FC存储，通过光纤线链接组建成SAN网络。SAN存储结构具有，传输效率高、安全性高、传输延迟极小、占用主机资源小、技术成熟等特点，主要用于延迟要求非常低的高端应用，如大型数据库应用（如：Oracle、DB2、Sybase），集群部署的数据库应用和容灾系统。在实际选择中可以根据业务提出存储资源的需求后，需要对设备的IOPS、存储容量、存储带宽进行计算。存储产品的选择通常是根据存储性能指标，即IOPS值进行选型。云网络服务云网络服务是通过各种网络虚拟化技术，在多租户环境下提供给每个租户独立的网