畜牧水产管理局信息化整体建设方案

【智慧政务】某畜牧水产管理局信息化建设方案【智慧政务】畜牧水产局信息化建设方案审批服务信息排队叫号信息实时新闻业务系统信息通知公告天气预报会议日程管理政务中心将设置多个会议室，会议室的使用情况也需要参会人员及其它人员进行发布，本系统将通过会议管理功能进行会议室的预定及会议日程信息的发布。安排会议日程，会议室与播放终端绑定，会议日程自动发布到播放终端。系统日志管理支持对用户登陆、系统变更、系统出错等重要信息和节目发布时间、接收时间等任务日志进行记录。对各类节目播放日程进行统计，系统终端监控统计报表等，并根据用户实际需要设定相关统计管理方式。系统还原管理服务器端系统还原：当系统程序出错情况下，可对系统进行及时备份还原，包含系统配置信息、终端分组信息、系统机构信息、用户名密码、系统节目、系统播放列表等各类系统服务器端信息，保障系统安全性。播放端端系统还原：当播放端出错情况下，终端硬件可对系统进行及时备份还原，包含系统统节目信息、终端配置信息、终端播放列表等各类系统终端端信息，保障终端正常任务播放。系统信息实时备份：系统配置信息、终端分组信息和用户名密码等各类配置信息实时备份。视频信号接入系统支持有线电视信号接入功能，通过系统设定，可灵活切换播放终端显示的电视节目。有线电视节目播放效果可以是全屏播放或任意组合屏播放效果：接入【有线电视信号】或【会议培训信号】服务器端配置视频采集设备采集有线电视视频信号或会议培训直播信号，发送到终端实时播放;终端通过有线电视获取电视数据源的方式接入电视节目（图示：分屏组合电视信号效果）（图示：全屏播放电视信号效果）（图示：全屏播放会议培训效果）（图示：会议培训+PPT课件效果）数据接口窗口屏数据接口接口方式：中间数据库要建立数据整合中间平台系统，实现异构系统之间的信息的透明交换是基础性工作。各系统将统一通过这一平台进行信息交换，以达到整个系统内资源共享互通的效果。实现方式此接口实现方式主要通过数据库中间表方式完成数据的交互。数据库可选用ORCALE或SQL数据库。审批系统和叫号系统运行过程中发生数据变化，依据业务规则判断是否需要上传数据，将更新数据写入中间数据库中,信息发布系统数据交换系统实时扫描中间数据库，如有新数据读取处理后，更新相应信息发布系统的数据。显示内容：系统通过与审批服务系统和排队叫号系统集成，在播放终端显示如下内容：显示字段：事项名称，办件类型，承诺期限，收费标准，窗口服务人员照片，姓名，工号，正在办理***号，等待人数*人等信息。通过开发数据组件，信息发布系统访问中间数据库，定时读取中间数据库中内容，将读取的信息分窗口按相应显示版式显示出来。显示字体，字号，颜色，显示字段宽度可在节目制作时自定义。显示效果图如下图所示。接口数据流程排队叫号系统项目建设概况我公司作为一家音视频产品的开发、生产提供商，根据国内行政审批形式特点，结合政务大厅的办事特点，以及信息化需要，同时结合自身产品的特点有的放矢的开发出“阳光政务信息综合服务系统”。整个系统主要依赖于政务大厅内的网络资源，将计算机网络技术、多媒体视频控制技术、排队叫号、触摸查询等技术集成为一体的多媒体政务综合服务系统。整个系统不仅减少了来政务大厅办事人员的手续，节约了他们的时间，同时由于其统一平，统一管理，操作简单，更是节约了管理这套系统的工作人员的时间，目前我公司已经承建山东枣庄新城行政审批大厅、滕州政务办事大厅等项目。通过建设该套系统将充分发挥政务办事的效能，减少流程、手续，充分体现了现代化信息技术在便民方向上发挥了极大的作用。项目建设效果休息大厅窗口区一窗口区二项目建设目标在便民服务中心的建设中，统一架构好整个网络环境，依据其内部局域网建设该套“政务服务中心窗口显示系统”。该套系统分为几个部分：触摸查询、排队取号、终端液晶显示。（由于我公司主要是以研发软件为主，该套软件为自主研发，所以可以根据用户需求进行延伸。）针对以上部分，系统主要将实现以下功能：通过触摸取号机可以进行业务选择及排号；窗口显示屏能够显示排队叫号信息；窗口显示屏还可以显示办事流程、规章制度等信息；政务大厅内根据情况可以设备信息发布屏，显示图片信息、文字信息及多媒体信息；能够定义紧急插播的类型，例如消防联动插播、紧急通知文件插播、当前任务插播等等；远程开关机控制；能够做到无人值守实现电源管理；远程音量控制，能够不用手动分别去控制终端音量；系统通过网络实现远程管理。系统设计详述系统网络拓扑示意图系统业务流程说明本系统业务流程主要由系统管理工作人员和办事人员两部分人员办事流程完成。工作人员： 通过安装在窗口办事人员电脑上的虚拟叫号器呼叫办理业务人员，窗口告示屏（位于办公人员对应的上方）会显示出与ID对应的人员的信息（包括照片、姓名、所属部门、以及窗口所对应的事项）。与此同时虚拟叫号器上会显示窗口下排队等待的人数、次窗口已经受理完成的人数、已经过号的人数。窗口工作人员通过叫号单上的号码，在审批软件上输入对应的数字，来受理事件。这样可以对窗口人员进行绩效考核，以及确保中心窗口办公人员必须在中心受理审批事件。系统硬件设计媒体发布服务器数量：1台推荐机型：DellR720功能：负责对整个系统的管理、调度、控制，装载有Shine-MDS系统软件，数据库基于Mysql，保证系统有更高的效率和性价比。通过媒体发布服务器，经过认证的用户可以实现显示发布点管理、播放元素管理、模版定义管理、播放时间排程调度、插播控制、系统运行监控等各项业务。同时系统将需要发布的各类媒体元素分发到各终端进行播放。管理工作站数量：1台（可利用网内任何一台电脑）功能：为管理、操作、维护人员提供的远程系统发布管理平台，凡是与系统处于同一网络的计算机都可用作对系统的管理。系统基于B/S架构，通过浏览器即可访问媒体发布服务器，经认证进入系统管理界面后，即可对系统进行管理。方案一：液晶电视+媒体播放终端通过网络接收来自媒体发布服务器传送来的媒体元素，并按照设定的模版显示格式、播放任务排程的要求进行解码并输出至液晶电视上。根据应用的不同，本次推出“阳光炫彩之星”多媒体播放终端。播放特性：播放的媒体格式：Mpeg-1、Mpeg-2，Mpeg-4，WMV，H264，RMVB，FLV，MOV等，支持PAL、NTSC，同时支持图片、文字以及网页信息等；支持的显示器尺寸：显示最大图像分辨率：1920*1080；支持高清节目（720P、1080I）；支持复合、分量、VGA、HDMI视频输出；支持AV信源（数字电视、DVD等AV外来信源）接入转播；终端自带存储单元，支持在线播放、离线播放；终端可选配TV模块，支持本地有线模拟电视接入转播。应用特点：支持局域网、广域网的各类应用；支持各类CRT电视、显示器、LCD电视、PDP电视。终端对环境要求低，支持7*24小时连续应用，并支持户外恶劣环境下的应用。注：产品外部接口，根据机型及实际项目需求进行调整，如有变化以实际项目需求为准。产品特性：1.支持实时更新网络信息。如：世界时间、各地天气、航班、列车时刻、股票、基金、汇率等。2.支持多媒体交互，如：触摸查询、电子地图导引。3.兼容会议系统、OA办公系统。4.支持分屏显示，可划分多个显示区域。5.支持分布式部署，集中化管理。6.支持定时开关机，支持定时下载、定时播放、下载限速、断点续传。7.支持有线网络、无线网络（Wifi/2G/3G/4G）。8.支持HDMI/VGA/AV/HFC（有线电视）等多种视频信号输入，并进行播放。9.采用Android操作系统，可直接进行网页浏览，可安装各种安卓应用软件。10.支持office软件，如：Word、Excel、PowerPoint。11.支持MicroSD卡扩展容量，最大支持32G高速SD卡。12.“USB接口”可连接大容量移动硬盘，并且可连接鼠标与键盘进行操作。方案二：22寸网络液晶一体机产品特性：1.支持实时更新网络信息。如：世界时间、各地天气、航班、列车时刻、股票、基金、汇率等。2.支持多媒体交互，如：触摸查询、电子地图导引。3.兼容会议系统、OA办公系统。4.支持分屏显示，可划分多个显示区域。5.支持分布式部署，集中化管理。6.支持定时开关机，支持定时下载、定时播放、下载限速、断点续传。7.支持有线网络、无线网络（Wifi/2G/3G/4G）。8.支持HDMI/VGA/AV/HFC（有线电视）等多种视频信号输入，并进行播放。9.采用Android操作系统，可直接进行网页浏览。10.支持office软件，如：Word、Excel、PowerPoint。11.支持SD卡扩展容量，最大支持32G高速SD卡。12.“USB接口”可连接大容量移动硬盘，并且可连接鼠标与键盘进行操作。虚拟叫号器虚拟叫号器模块与系统办事工作人员身份识别做接口或者直接通过系统输入，同步办事工作人员的用户名、登录密码，保证办事工作人员一次登陆，即进入系统及开启虚拟叫号器。虚拟叫号器根据办事工作人员使用习惯，随意放置在电脑桌面任何地方。虚拟叫号器设计非常简单，不做培训，任何办事人员均可操作使用，采用鼠标点击方式，即可实现以下功能：顺呼：按来办事人员排队队列呼叫下一个办事人员。顺呼操作时，显示屏同时响应。重呼：用于对办事人员的重复呼叫。虚拟叫号器设计了状态提示框：包括“呼叫成功”提示，“等待一级轮询中”提示，“已无办事人员”提示等。设计充分人性化。虚拟叫号器界面图如下：第一方式顺序呼叫模式：第二种选择呼叫模式：系统功能模块说明系统设置系统管理系统基于B/S架构，管理员无需安装客户端软件，只需通过IE浏览器，就可以进行认证和访问媒体发布服务器。系统可按实际需求远程设定自动开关机时间，还可设定工作日、休息日的显示时间。系统支持世界各地天气预报、时钟等即时信息的更新显示。系统支持公司LOGO标识及同步世界时钟的显示与隐藏，或任意区域放置。权限管理用户及用户组的管理：不同的用户隶属在不同的用户组中具备不同的权限，系统可根据实际需求，自定义不同权限的用户组。单台设备及设备分组的管理：系统可根据实际应用中终端设备的摆放位置及播放内容来自定义终端设备点的名称，再依据名称、摆放区域、结合发布显示策略来自定义设备组名称。以此简化操作步骤，方便管理及维护。多级管理：系统具备多级管理功能，每个部门根据各自的需求，分别管理各自的设备及显示内容，分别独立管理互不干扰，这样保证了系统最大限度的复用性及扩展性，方便管理及维护。监控管理服务器状态监控功能：通过管理机可以实时查看到服务器工作状态，CPU、内存、磁盘使用状况进行实时监控。终端设备监控功能：服务器端能够对终端设备的运行情况进行实时监控，并可以监控到目前终端正在播放什么内容，对终端设备是否正常播放状态、网络连接是否正常等进行监控，方便服务器端管理员对终端进行故障判断和问题解决。终端控制：服务器端能够对终端进行定时开关机控制、程序控制、音量调节等，并且可以进行终端截屏。开关机管理功能：服务器端能够对终端设备进行开关机控制，主要是对终端软件更新和客户端资源管理清理时应用。程序升级管理版本控制和升级推送功能：服务器端能对播放终端程序的版本进行管理，并对低版本的终端程序实行后台推送方式，进行远程升级。减少终端维护工作量，并且能更好的掌握终端的运行情况。窗口政策信息显示元素管理元素特指系统中所有要发布的媒体信息的统称，元素管理是指对系统所能支持的文件类型及节目格式的管理。由管理员对素材进行了相应的查看，并对素材库进行相应的管理（添加、删除），为编制节目包准备素材资源。素材文件类型包括视频文件、音频文件、图片文件、文字信息、网页、接口数据、字幕信息、天气预报、时钟、电视频道、网络组播频道等。区分不同的文件类型，其节目格式也有所不同。模板管理内容制作：在同一显示画面上，设计多个不同元素在特定的区域内播放，有效组合从而扩大多媒体信息同步发布容量、提高展现力、增加观赏性。模版制作：对服务器端的素材库中的素材进行节目编排，并编制播出的内容元素和节目播放模版。可以编制多个节目模版。节目模版定制功能：节目包由播放模板控制文件播放，播放模板包括功能分屏的定制，文件播放顺序，滚动播放的时间，模板控制节目包播放的时间段。模板定制界面要便于操作使用，并且定制功能灵活。播放模板可分为固定模板或自定义模板而组成。自定义模板显示的需求除具备上述的广泛性外，还会根据具体环境需求具有其特殊性，因此系统具备自由设计多样式模板的显示功能，各个终端显示设备可以分别显示相同或不同的显示模板界面。根据显示屏幕的尺寸，模板可支持全屏幕、任意大小窗口、多分屏的播放效果。为兼容各种电视机制式的不同，模板可自由设计支持为4:3或16:9的显示比例，并且保证显示出的画面不变形。应用模板：任务排程管理可视化的任务单编辑、逻辑清晰、方便操作。完全仿照googlegmail、windowsoutlook设计，播放任务完全可视化，可以将任务在日历表中（日、周、月）任意拖拉操作进行复制、修改。可按周、按周中某几天、按月、指定某天的各项循环模式，使用更加方便。可任意定制某年、某月、某天或每天固定时段的发布任务。一个任务里面可以包括一个或者多个内容，可以细化到某个时间段播放指定的内容。如果有特殊需要，可以立即插播，插播时不会影响主任务正常发布的有效期，待插播结束后，主任务会从断点处继续发布。内容之间的无缝链接，为系统提供了完美的展现能力。针对单个发布点或多个发布点的任务可支持自由排程。按年、月、日、任意时段的排程查询，快速定位到需要变更或是编辑的任务上，所见即所得。发布预览界面图审核管理对于已经提交的发布任务，管理员有权对其发布内容进行审核，只有审核通过后的内容才会在屏幕中播放。在系统界面上有“待审核任务”提示栏，可以方便管理员进行及时的操作。审核功能界面截图触摸查询信息显示阳光多媒体综合业务显示系统中可根据用户需要置入交互式查询模块，将需要进行查询的信息用户自主的添加进去，在主控式触摸一体机上可以进行相关信息的查询。另外，如果不采用触摸方式查询，也可以通过遥控器进行控制查询。查询界面预览效果截图取号、叫号信息显示取号、叫号信息数据生成图流程图详细说明：来办事的人员先通过大厅门口的取号机取号，办事人员的排号信息将在媒体发布服务器的数据库中形成队列表单。政务大厅窗口工作人员登陆无线叫号器，并进行操作，将会将该叫号信息传送到媒体发布服务器，媒体发布服务器形成新的队列表。系统将最后完成的排队表单中的号码按要求在窗口告示屏上进行显示。取号信息显示效果图叫号信息显示案例图畜牧水产管理大数据云平台系统基于本期XX单位XX云计算平台的建设思路一一搭建基于IaaS层面的云计算平台，如何采用云计算技术建立动态的IT资源平台，并使之具备快速IT服务交付能力，进而通过动态的IT架构来应对有关省直单位XX业务发展的需要；将应用和业务从底层的IT资源中分离出来，提高系统的可移植性，并能够充分利用更加优化的系统和网络资源以提高效率、降低整体成本是本期建设方案需要重点解决的问题。为此，我们建议以XX应用系统为顶层架构来搭建XX单位XX云计算资源池，它是由计算资源池、存储资源池、网络资源池、XX应用程序以及运营管理平台共同组成，运营管理平台负责对资源池和应用进行管理调度及告警监控。其组成框架如下图所示。图3：资源池组成框架图以下针对XX云计算资源池的各组成部分分别进行具体阐述。网络资源池组网物理拓扑图XXXX云计算平台组网物理拓扑如下图所示：图4：XX云计算平台组网物理拓扑图本工程新增3根移动专线接入，单根200Mpbs带宽。一根为XX互联网接入区对外提供服务用，一根用于VPN专线，一根用于XX办公人员访问互联网使用。整个云计算平台在组网设计上满足双网双平面结构，从网络接口、网络链路到关键网络设备均配置冗余部件。在网络接口上每台物理服务器至少配置3张网卡，分别用于业务服务、虚拟化平台宿主机管理、IP存储系统互联。业务服务网络根据业务属性不同，通过MPLSVPN划分为公用网络区、互联网接入区、专用网络区。虚拟化计算资源可以在不同的网络区域中自由迁移。在汇聚层旁挂防火墙、隔离网闸、运维审计、数据库审计系统等安全设备。其中防火墙用于实现同一网络区域中不同业务系统的之间的安全隔离；隔离网闸用于在MPLSVPN隔离的不同网络区域之间进行安全数据交换，同时用于XX和XX之间的数据安全交换。网络负载均衡设计网络负载均衡分链路负载均衡和本地负载均衡，总体逻辑示意图如下图所示：图5：网络负载均衡示意图链路负载均衡设计如上图所示，将移动互联网专线和电信互联网专线接入链路负载均衡器，链路负载均衡器通过对所有Internet链路进行流量路由和控制带宽服务水平实现多互联网接入的高可用性。链路负载均衡器将多条互联网线路进行虚拟化处理，保障用户从最好的线路访问内外部资源。任意一条ISP线路中断，都不会对服务造成任何影响。通过链路负载均衡器可实现ISP接入线路的无缝扩展。1)OutBound流量负载均衡XX办公人员访问互联网的流量到达链路负载均衡器时，将通过链路负载均衡器多种链路状态检测结果选择最佳出口链路，提升用户体验。2)InBound流量负载均衡为使移动用户和电信用户通过不同互联网链路访问互联网接入区应用系统，链路负载均衡器的智能DNS解析功能将不同用户访问的域名解析成不同的公网IP地址，加速应用访问，提升用户体验。本地负载均衡设计本工程新增本地负载均衡器两台，旁挂于汇聚交换机。实现对服务器的负载均衡。本地负载均衡器可以保障内部资源的容错性，内部任何一个应用节点出现问题都不会对用户造成任何的影响，本地负载均衡器能够自动的屏蔽有问题的应用节点，让其停止对外服务，同时把该故障节点上的用户迁移到其他正常的节点上去。汇聚层本地负载均衡器可以虚拟成为多个设备，满足XX不同分区的安全隔离要求。XX业务系统以B/S架构为主，目前的WEB应用都包含了大量的图片，javascript，CSS文件等，这些文件的重复传输不但给服务器造成了压力，同时也使得用户的体验受到了影响。本地负载均衡器通过HTTP压缩的方式来节省带宽以及提高访问速度。通过静态文件和动态文件的cache．文件压缩，浏览器端文件cache控制等优化技术，来提供对WEB应用进行加速，提高用户访问速度。使用本地负载均衡器开放的API接口可以实现和云计算管理平台的集成。网络虚拟化设计云计算对传统网络的挑战传统的网络规划设计依据高可靠思路，形成了冗余复杂的网状网结构，结构化网状网的物理拓扑在保持高可靠、故障容错、提升性能上有着极好的优势，是通用设计规则。云计算的大规模运营，给传统网络架构和传统应用部署都带来了挑战，新一代网络支撑这种巨型的计算服务，不论是技术革新还是架构变化，都需要服务于云计算的核心要求，动态、弹性、灵活，并实现网络部署的简捷化。具体来说传统网络面临的挑战主要有以下几点：一一传统网络的复杂性在实际的运维中，管理人员承担了极其繁冗的工作量；一一云计算平台下多虚拟机部署在同一台物理服务器上运，服务器的利用率从20%提高到80%，服务器端口流量大幅提升，对网络性能提出更高要求；一一云计算平台中，虚拟机在物理服务器之间进行迁移，为了避免虚拟机迁移后路由的震荡和修改网络规划，迁移通常只在在二层域进行，因此云计算平台需要具备一个性能更高、二层域更大的网络环境为迁移提供保障。通过分析云计算对传统网络基础架构带来的挑战，我们可以从两个方面来应对。一是通过构建高性能、高可靠的网络，从而满足云计算给网络带来的压力；二是通过构建虚拟化网络来满足云计算中由于虚拟机部署、迁移、以及安全策略实施对网络提出的灵活性、安全性的要求。总的来说，为满足云计算的业务要求，统一的基础网络要素必然包括：高性能交换、虚拟化应用、透明化交换。高性能二层网络为提供一个性能更高、二层域更大的网络环境，本工程新增核心交换机和汇聚交换机通过交换机虚拟化技术（华三IRF2、思科VSS）分别虚拟成一台逻辑设备，减少了设备节点，简化了配置。通过跨设备链路聚合技术取代传统部署方式中的STP+VRRP协议，使网络拓扑变得简洁，具备更强的扩展性；同时，其毫秒级的故障收敛时间，为虚拟机迁移提供了更加宽松的实现环境。图6：交换机横向虚拟化经过二层透明化改造后，云计算平台的汇聚接入层是一个透明二层网络。不同业务（虚拟服务器）接入不同的二层VLAN，但同一个业务（虚拟服务器）可以在不同网络分区里灵活部署与迁移，满足了云计算的要求；同时，汇聚层以上进行的是VPN标签交换与路由转发，又保证了不同业务（虚拟服务器）的安全隔离。网络服务虚拟化为满足不同XX分区的安全隔离要求，本项目在云计算平台的汇聚层部署有汇聚交换机、防火墙、IPS、负载均衡器等设备。传统网络下，将为不同分区单独配置一套安全设备，设备利用率低，运维管理复杂。在云计算平台下，通过网络服务虚拟化，统一建设一套性能强大、可扩展性良好的网络服务设备，满足为不同分区提供安全、应用加速等服务。图7：1：N网络虚拟化技术汇聚层交换机也通过虚拟化技术多实例，每个模拟出的交换机都拥有它自身的软件进程、专用硬件资源（接口）和独立的管理环境，可以实现独立的安全管理界限划分和故障隔离域。有助于将分立网络整合为一个通用基础设施，保留物理上独立的网络的管理界限划分和故障隔离特性，并提供单一基础设施所拥有的多种运营成本优势。如下图所示：图8：交换机纵向虚拟化虚拟交换机技术1)VMwareVMware分布式虚拟交换机功能满足网络分区条件下，虚拟主机在线迁移等功能时，保证业务网络的持续性。虚拟交换机是构成虚拟平台网络的关键角色，VMware虚拟化通过VMwarevNetworkDistributedSwitch，使虚拟机跨多个主机移动时始终处于同一个VLAN内，它为虚拟机在物理服务器之间移动时监视和保持其安全性提供了一个框架。VMwarevNetworkDistributedSwitch示意图如下所示：图9：VMwarevNetworkDistributedSwitch示意图在多网络分区环境时，VMware通过虚拟交换机的VLANTRUNK，当一个端口启用了TRUNK功能后，就具备端口聚合的功效，会自动检测流向此端口的所有流量，并把不同VLAN的流量导向物理交换机上相应的VLAN中。在一台ESX主机上由多个千兆网卡绑定在一起(组合成vSwitch)提供VM对外通讯的流量，并与物理交换机上的多个启用了TRUNK功能的端口相连接。此时VMs分别在VLANl、VLAN2、VLAN3上，同时在物理交换机上也有同样ID的VLAN。那么，在VLAN1中的虚拟机，就可以和与物理交换机上VLAN1中的端口相连的机器相互通讯。同时实现虚拟化服务器在多网络分区间的动态迁移。2）XEN通过将OPENvSwitch（开放虚拟交换标准）作为其默认组件，自xenserver5.6FPI就实现对虚拟交换机的支持，而且自verxenserver5.6SP2开始也实现了分布式的虚拟交换机功能。Xen-Motion是CitrixXenserver的动态迁移技术，当然，该系列4款虚拟化产品中，目前只有最高等级的白金版和企业版才具备这项功能，至于标准版及完全免费的Express精简版则无此项能力。不但是C

ITRIX旗下的虚拟化产品，其他基于Xen技术开发出来的虚拟化产品，例如VirtualIron，也具备相似的动态迁移功能LiveMigrate，除了免费提供的个人版之外，需要付款购买的企业版及企业加强版具有内置该项功能。IP地址及DNS规划XXXX云计算平台新增两个独立网段，一个用于云平台及虚拟机宿主机之间通信，一个用于云计算平台内IP存储系统网互联；业务系统的IP地址和NDS规划，沿用当前XX统一规划。具体参考实施意见《XXXXIP地址规划及管理规范》和《XX政府外网DNS及设备命名规范》。IP地址规划原则XX单位XXIP地址规划遵从国信办和国家外网工程办有关规定和指导意见。XXIP直至规划原则包括：IP地址规划主要涉及到网络资源利用的方便有限的管理网络的问题，公有地址相对紧张的情况下，合理有效的利用IP地址成为IP地址规划的主要问题，合理的IP地址规划是有利于网络管理的；IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于外网广域骨干网IP地址的分配应该采用国家XX工程办分配的合法地址空间，充分考虑到地址空间的合理利用，保证实现最佳的网络内地址分配及业务流量的均匀分布；IP地址的规划和划分应该考虑到网络的后续规模和业务上的发展，能够满足未来发展的需要；既要满足本期工程对IP地址的需求，同时要充分考虑未来的业务发展，预留相应的地址段；IP地址的分配需要有足够灵活性，能满足各种用户接入需要；地址分配是有业务驱动，按照业务量的大小分配各地的地址段；IP地址的分配必须采用VLSM(变长掩码)技术，保证IP地址的利用效率；采用CIDR技术，这样可以减小路由器路由表的大小，加快路由的收敛速度，也可以减小网络广播的路由信息的大小；充分合理利用已申请的地址空间，提高地址的利用效率；IP地址的规划应该是XX广域骨干整体规划的一部分，即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应，应该是自顶向下的一种规划。IP地址规划总体规划根据国家外网工程办的规定，XXXX云平台的公用网络区使用国家申请的IP地址范围为：XXX—XXX。互联网区供互联网访问的设备的IP目前有省电信、省移动提供外网地址，数量考虑上留有余地。互联网区XX移动提供有3根互联网专线，每条专线提供一个C类外网IP地址段，共3个C类地址段供本平台使用。XX单位XX横向需要互联各个政府部门，纵向需要打通省，设区市、县、乡镇（街道）四级部门单位，在外网地址规划中，使用综合地址规划方案，采用公有地址和私有地址双轨并行的办法，在公有地址不够时，允许采用私有地址作为部门单位的XX业务地址。XX承载三种不同的网络业务，为了最大程度地减少不同网络业务区IP地址空间的重叠，XXXXIP地址总体规划如下：网络业务区地址空间（建议的）用户地址空间公用网络区互联网接入区专用网络区云计算平台管理云计算平台存储IP网络业务地址从相应的业务网络区地址空间中划分。DNS域名体系结构XX单位XX升级和社区市网络分别采用独立的三级域名。域名由根域和若干个子域名用“.”连接而成，作为根域名，采用作为省网三级域名，采用作为各设区市三级域名。各级政府组成部门咋XX设置服务器后，应将服务器的IP地址和对应的域名在省电子网XX管中心注册。域名以4--5段为主，原则上不超过5段。如：“主机名.单位名.”；由省数据中心建立域名（)管理中心，所有单位的域名及DNS均向XX网管中心域名册；可在9个设区市市分别建立子域（)；各单位若需注册，需在XX外网管理中心备案之后向国家外网管理中心注册。集成智能DNS系统本工程新增2台链路负载均衡器，实现智能DNS解析功能。XX互联网接入区应用系统的DNS域名系统需与链路负载均衡器的智能DNS系统进行集成。通过对系统原有DNS授权域服务器配置进行修改，将动态记录委派到链路负载均衡器上进行解析，再返回给发起DNS请求的用户。根据解析结果引导用户请求到不同的运营商链路，实现就近访问。网络安全域划分与隔离根据国家XX所承载的业务和系统服务类型的不同，在逻辑上，将国家XX划分为公用网络区（Global）、专用网络区（VPN）和互联网接入区（Internet）三个功能域，分别提供国家XX互联互通业务、专用VPN业务和互联网业务。图10：XXMPLSVPN分区示意图公用网络区：采用国家XX公用地址（即从NNNIC注册的地址）的网络区域，是国家XX的主干道，实现各部门、各地区互联互通，为跨地区、跨部门的业务应用提供支撑平台。互联网接入区：是各级政务部门通过逻辑隔离手段安全接入互联网的网络区域，满足各级政务部门公共服务业务应用的需要。专用网络区：是依托国家XX基础设施，为有特定需求的部门或业务设置的VPN网络区域，实现不同部门或不同业务之间的相互隔离，VPN网络区域主要为少数部门的特定业务数据传输提供安全通道。通过MPLSVPN技术运用，三个业务区之间逻辑隔离，不能互访。升级XX数据中心分为四个区，这四个区分属于三个业务隔离区，对应关系如下表：某些业务系统需要跨公用网络区和互联网接入区部署，也有些需要跨专用网络区和互联网接入区部署，为了保证安全，需要进行逻辑隔离，在公用网络区和互联网接入区间部署一个网闸，同时在专用网络区和互联网接入区也部署一个网闸。除以上从业务系统层划分为公用网络区、专用网络区、互联网接入区外，还需为云计算平台管理和IP存储子系统划分2个独立网络区域，实现业务网络、管理网络、IP存储网络的安全逻辑隔离。网络端口资源估算关于汇聚层交换机端口配置，接入服务器建议用千兆以太网电口，网络设备间互联用万兆以太网口。本期新增机架服务器XX台，单台服务器配置XX千兆以太网电口，共需XXX口千兆以太网电口，刀片服务器XX台，占用X个刀片服务器机框，每机框对外XX口千兆以太网电口，共XX口，合计连接服务器需要XXX口千兆以太网电口；汇聚交换机与防火墙、负载均衡器等汇聚网络设备需等需要万兆口互联，考虑一定端口冗余，本期建议配置X台汇聚交换机，单台配置10/100/1000M电口不少于XX个；千兆光口不少于XX个、万兆以太网光口不少于XX个并配置相应数量多模光纤模块。计算资源池计算资源池架构服务器虚拟化技术很好地解决了传统服务器系统建设的问题，通过提高物理服务器利用率大幅度消减物理服务器购置需求、数量和运营成本；通过利用服务器虚拟化中CPU、内存、I0资源的动态调整能力实现对业务应用资源需求的动态响应，提升业务应用的服务质量；通过在线虚拟机迁移实现更高的可用性和可靠性以及各种基于资源优化或节能减排策略的跨物理服务器的调度等等。因此，服务器虚拟化技术是新一代数据中心最理想的解决方案。服务器虚拟化架构设计是服务器虚拟化技术运用的核心，直接决定了整个服务器资源体系对应用系统的承载能力、运行效率以及可靠性。XX云计算资源池由机架式服务器、刀片服务器构成；刀片服务器通过服务器虚拟化部署一般业务系统和web应用系统。机架式服务器用于部署管理平台和高负载数据库服务器等。服务器虚拟化架构图如下所示：图11：XXMPLSVPN分区示意图应用系统分析经前期需求调研分析，根据业务特点将XX平台所承载的应用系统分为大访问量应用系统、大计算量应用系统、大数据量应用系统三类。大访问量应用系统大访问量应用系统如政府门户网站、气象查询等web类应用系统，这类应用的特点是业务逻辑简单，不同业务请求互不关联，但请求的并发量根据业务特点不同可能很大，如水利信息网在灾害天气下访问量将剧增。大访问量应用系统要求对大量互不关联的并发请求进行快速响应。这种情况下，需要应用服务器有足够数量的线程响应请求，而单个线程计算量不大，因而对单个CPU处理性能要求不高，可通过提供足够CPU用服务器数量来满足需求。XX云计算平台通过虚拟化技术为大访问量应用系统部署是大小配置的虚拟机作为应用服务器，多应用服务器工作在负载均衡模式，提升用户使用体验。大访问量应用系统对数据库要求不高，配置一般虚拟机即可满足要求。大计算量应用系统大计算量应用系统如数字城管、GIS地理信息系统等复杂信息处理系统，这样应用的特点是计算量较大、运算复杂、内存需求大，对服务器计算性能要求高。建议配置单一高性能虚拟服务器。大计算量应用系统对数据库要求不高，配置一般虚拟机即可满足要求。大数据量应用系统大计算量应用系统流动人口管理、社保管理系统等。根据数据库储存模式不同，可分为文件型和数据库的系统。数据库型大量数据量应用系统要求较高性能数据库服务器。建议配置强大的数据库服务器，提供足够的CPU、Memory及IO性能来处理大量的数据，根据应用系统重要级别，数据库服务器可以选用虚拟物理器或物理服务器，应用服务器业务逻辑简单，对配置要求不高，配置虚拟机即可满足要求。文件型大数据两应用系统基础数据量大，通过传统的集中储存方式，存储并发读写IO能力无法满足计算资源要求，建议通过并行计算模型实现。根据业务计算特点，服务器可灵活选择虚拟机或物理服务器。计算资源池建议配置与选型建议计算资源池建议配置经咨询H3C、IBM、HP、微软、红帽、VMware等行业主流云计算常商，云计算平台的建设，从避免浪费和规模效应的角度考虑，最佳实践经验是从50台物理服务器的规模开始建设，然后根据实际业务发展情况按需扩容、滚动建设。本期工程以XX单位XX的实际情况为基础参照行业主流云计算厂商的建议进行设计考虑。考虑不同业务系统的负载差异，本期工程同时配置刀片服务器和机架式服务器。参考各厂商建议，用作WEB服务器时，一台物理服务器最多可以虚拟12台虚拟机；用作应用服务器时，一台物料服务器最多可以虚拟7台虚拟机.。本工程，刀片服务器按照每台虚拟10台虚拟机，刀片服务器虚拟化后的虚拟机建议部署一般web/应用服务器；高性能服务器按照每台虚拟8台虚拟机，高性能服务器虚拟化后的虚拟机建议部署重载应用/数据库服务器。统筹考虑不同应用系统对硬件资源的需求差异，建议配置刀片服务器XX套，2路机架式服务器X台，4路机架式服务器XX台。其中X台2路机架式服务器用于云计算管理平台，X台4路机架式服务器作为测试服务器（计划用来支持各类移动办公等移动应用，统一纳入XX单位信息中心监控管理）。计算资源池刀片服务器和4路机架式服务器组成，其中XX台刀片服务器可以虚拟化为XXX台虚拟机，XX台高性能机架式服务器可以虚拟化XXX台虚拟机，平台共计XXX台虚拟机。一般应用系统需要web服务器、应用服务器各2台，采用应用负载均衡做集群，数据库服务器2台做互备，共需6台虚拟机。对于大型数量应用，大型数据库可直接部署在高性能物理服务器，通过多实例共享面向不同业务系统提供数据库管理平台服务，则需4台虚拟机和共享使用两台物理服务器。按此测算，本期建设规模在满足50个部门50套应用系统需求之外还能有一定的冗余，冗余的资源可以用于安装数据备份软件、目录服务器、安全软件等平台相关软件外，同时作为备用资源。今后还可以视实际需求增加计算资源，同步配套建设网络资源、存储资源及信息安全设备等，按照需扩容、滚动建设的方式满足省直部门的需求。本期新增计算资源配置如下图表所示：此外，每台物理服务器要求配置不少于3个千兆以太网电口，分别用于虚拟化平台管理口、应用系统对外提供服务、连接NAS存储设备。未来实际应用中，还将根据各厅局的复杂性，比如高吞吐量、高计算、高访问量类业务系统对计算资源的需要进行调整。服务器选型建议宿主机服务器架构是虚拟化架构的关键组件，也是服务器整合比例和成本分析的重要变量。宿主机服务器处理大量整合服务器的工作负载的能力会提高整合比例并有助于提供满足需要的成本收益，以下提供二种宿主机服务器的参考架构。宿主服务器的系统架构是指对服务器硬件自身的一般分类，例如包括机架式服务器、刀片式服务器。在选在系统架构时，首先要考虑的原则是每个宿主机将运行包含多种负载的多个客户机。处理器、内存、存储和网络能力以及高速的I/O和低延迟都很关键，重要的是要保证这些分类中的每一个宿主机服务器能够提供所需要满足的处理能力。A）标准机架式服务器最常见的系统架构是标准机架式服务器。典型的是2U或4U的型号，这些服务器一般包含2到4个CPU插座，2到8个PCI—E或PCI—X插槽，4到6个硬盘托架。由于其在2和4个插座服务器商品中的低成本，以及通过增加网卡和HBA插槽提供与生俱来的可扩展性，机架式服务器是虚拟宿主机服务器的最佳选择。B）刀片式服务器随着对能力和服务器密度不断增加的需求，刀片式服务器在普及程度和能力上都获得了显著的提高。在选择刀片服务器时，需要考虑刀片式架构中的每个刀片所包含CPU数及最大内存。对于每个宿主机服务器用于支持一定数量的客户机所需的网络和存储I/O必须加以仔细考虑，以保证刀片上运行的每个宿主机服务器和刀片底盘自身能够提供支持。计算资源池部署应用服务器部署应用服务器可部署在虚拟机系统（VM）和物理PC服务器。当应用服务器负载接近单台物理服务器性能时，可直接部署于物理服务器，一般应用服务器部署在虚拟机上。根据应用系统的可用性要求等级不同，在虚拟机上实现高可用的方式有以下三种，虚拟机热迁移，虚拟机HA，物理机HA。虚拟机热迁移用于满足计划内停机维护操作。当服务器需要停机执行维护操作时，可通过虚拟机热迁移功能，将某一物理服务器上的虚拟机动态迁移至另一物理服务器。动态迁移过程，业务不中断，不影响用户的正常访问。虚拟机HA用于满足一般应用服务器计划外宕机。当发生服务器故障时，通过虚拟机HA，虚拟机可在其他的物理服务器上自动重启，实现故障转移。此过程会引起短暂业务中断，业务中断时间由虚拟机操作系统在另一物理服务器上启动的时间及应用系统启动的时间决定。通过虚拟机HA比传统群集较少一半的服务器数量，在保证了一定高可用的同时提高资源利用率。对于直接部署在物理服务器的应用系统，可通过高可用群集软件提供可用性保证。在windows系统可配置MSCS群集，在redhatLinux操作系统可配置VCS群集。通过部署高可用群集，在确保在物理服务器故障或应用故障时，进行快速的故障转移，减小并消除业务中断带来的负面影响。为了能够提供具有更高可扩展性和可靠性的应用平台，并能够在服务器集群中只能地分配负载，从而确保客户最大限度地发挥其应用服务器投资价值，结合硬件负载均衡设备，为部署在应用服务器上的服务和应用提供最佳的可扩展性和性能。关键数据库部署数据库服务区作为业务系统的数据处理平台，对服务区的I/O处理能力、内存、CPU等有较高要求的，建议采用高性能机架式服务器部署，不同的业务系统数据库可通过多实例进行共享同一物理服务区群集。对服务器性能要求一般的数据库管理系统可部署在虚拟机上。数据库服务器做业务系统的核心节点，为了保障其的高可用性，建议至少使用2台物理服务器或2台虚拟机做HA。部署虚拟机上数据库管理系统可通过ApplicationHA保证其高可用；部署于物理服务器的数据库管理系统可通过VCS、MSCS或数据库管理系统自带群集软件（RAC）实现其高可用。虚拟化软件选型分析目前主流虚拟化平台（Hypervisor）主要有以下四种，分别是VMwarevSphere、MicroSoftHyper-V、KVM和Xen。其中KVM和Xen为开源产品。目前部分厂商根据开源Xen开发出自己的虚拟平台，如Critix公司的XenServer。从虚拟化软件的成熟度来看，VMware经多年的市场经验，产品成熟稳定、功能也最为强大。开源KVM、开源XEN来源于开源社区，功能单一；基于开源Xen的CitrixXenServer，其功能、稳定性、可靠性优于开源Xen。XX虚拟化平台的建设充分考虑产品的成熟性、稳定性和开放性。通过以上比较分析，VMware产品成熟、功能完善，为目前虚拟化市场的主流产品，但其采购成本较高；基本开源Xen的部分国产产品功能不及VMware，但具有更好的性价比，作为国产虚拟化平台，其安全性也更有保证。充分考虑技术成熟度和开放性，本项目建议配置VmwareXX套、国产开源虚拟化软件XXX套，建成一个稳定、开放、支持异构的基础虚拟化平台。当前关键应用建议部署在成熟稳定的VMware虚拟化平台上，非关键应用及测试环境可部署于国产开源虚拟化平台上。随着国产虚拟化平台的逐步成熟，在后续扩容中将逐步减少VMware在XX云计算平台的比重。虚拟化管理平台本期计算资源池采用X86服务器，虚拟化平台管理软件需实现高可用性、动态迁移，对整个应用架构实现统一的安全控制和权限管理。目前X86虚拟化平台管理软件主要有两大类：一类为虚拟化平台原厂提供的。如VMware虚拟化管理平台VMwarevCenter、CitrixXenServer虚拟化管理平台XenCenter、Hyper-V虚拟化管理平台Azure，RedhatKTM管理平台redhatRHEVM的。各厂商的虚拟化管理平台均可较好地管理自家虚拟化平台，管理平台开放必要的API接口。但是各个厂商均只能管理自己的Hypervisor，不能管理其它厂商的Hypervisor。另一类是由第三方厂商提供的。如移动大云等，这等虚拟化平台管理软件的优点是可以实现多家虚拟化平台的统一管理，但在专用性方面不如各原厂提供的管理软件。容灾方案说明根据设计原则分布实现云平台系统的容灾方案：1、第一步实现云平台存储级容灾系统，通过新购虚拟存储网关，整合现有异构SAN存储资源池，存储结构化数据，实现存储虚拟化功能，并可满足数据迁移、容灾等功能，实现容灾。该步骤实现又可分为两步走，即先建立同城同步容灾，再建立城际两地三中心的容灾。在容灾中心新购买一套虚拟存储网关，容灾中心的存储设备可以与生产中心同构或异构，通过光纤交换机构成一个基于存储区域网(SAN)的基础架构平台。不仅提供容灾系统使用，也是容灾中心的统一SAN平台。在容灾中心存储上按照生产中心实际存储部署情况，依照存储性能相同的原则进行存储设备的逻辑划分，每台存储设备分别连接到2台光纤交换机上，这久保证了存储设备在整个链路上冗余、不存在单点故障。在同城容灾方案中通过虚拟存储网关同步复制技术，由虚拟存储网关将生产中心的数据实时复制到容灾中心，确保生产中心的各种数据能同步复制到容灾中心的存储上。在两地三中心或两站地城际容灾方案中通过虚拟存储网关异步复制技术，准时将生产中心数据复制到容灾中心，灾难发生时仅涉及数十秒的数据丢失。可同时在容灾中心配置两台服务器，进行数据验证工作。利用虚拟存储网关快照功能对容灾中心的复制数据（只读）产生快照卷，挂载到验证服务器上进行访问验证。2、第二步实现云平台应用级容灾。在容灾中心配置相应的服务器池链接容灾存储。当灾难发生或进行灾难恢复演练时，停止容灾复制关系后，容灾中心服务器池的虚拟机可以访问容灾数据并接管生产。制定接管计划，包括人员支持，网络支持，恢复计划，演练计划等，建立完善的全人工干预接管机制。3、第三步结合云平台管理和业界自动化远程容灾软件实现高度自动化的容灾体系，争取实现数小时内的容灾接管能力。云计算管理平台云计算管理平台包括云资源管理平台、云连营管理平台、网络管理平台。云资源管理平台包括IT基础架构中的物理资源和虚拟资源的管理，其中虚拟计算资源的管理集成厂商的云平台；云运营管理平台含业务管理模块和运营管理模块。云计算管理平台总体架构如下：图12：云管理平台架构图云资源管理平台建设方案整个复杂的云计算架构中，必须通过一个强大的管理平台来实现对硬件资源的整合和虚拟化，对功能服务器的模板制作与部署，对云计算资源进行启动、停止、删除、回收等，对整个云计算平台运行性能进行实时监控和日志报告等功能，同时还实现用户交换接口，用户可以方便地登录到云计算平台，申请各种硬件资源和中间件资源，启动、停止自己功能服务器功能。这样打破了业务应用对资源的=独占的方式，实现硬件资源和软件资源的统一管理、统一分配、统一部署、统一监控和统一备份。考虑到XX中的3个区（专用网络区、公共网络区、互联网接入区）之间是通过MPLSVPN相关隔离，为了实现云计算平台对3个区的统一管理，我们建议将宿主机的管理口（统一设置宿主机上某一个单独物理网卡用于云计算管理平台对虚拟机的管理通讯）进行统一VLAN规划，通过此方式可以实现不同分区的虚拟机在同一个资源组中迁移和统一管理。云资源管理平台主要由以下两个模块组成：云资源管理系统云计算服务Portal。图13：云资源管理功能模块图云资源管理系统云资源管理系统其通过虚拟化技术和基于策略的自动化管理技术，构成虚拟化资源池，实现对物理资源、虚拟资源的统一管理和分配。云资源管理系统架构需要实现功能：1、设备管理提供对物理设备的接入和管理功能，包括设备发现展示、配置部署、告警上报等。2、虚拟适配层提供对不同虚拟层（VMM）的适配、集成能力，如VMware、Xen、KVM、Hyper-V等，对上层屏蔽不同虚拟层差异，提供统一的虚拟化管理接口。3、云适配层提供对不同云资源的适应能力，实现公有云和私有云资源的统一管理能力。4、虚拟化资源池管理实现计算、存储和网络的虚拟化和资源统一管理。5、资源池调度提供资源动态分配，动态耗能管理、调度策略管理、资源池高可用性和备份恢复等功能。6、资源池服务对外提供基础资源池服务能力，如动态伸缩、负载均衡等。7、对外接口对外提供标准的接口和能力，供上层业务或解决方案集成。8、管理系统运资源池的统一管理维护功能，如用户管理、日志管理、告警和性能监控。其功能特性：1、资源池统一管理和高效利用物理机、虚拟机统一管理和调度采用虚拟计划技术、分布式计算和存储等技术，实现资源的池化管理。云计算平台管理系统不仅能管理虚拟机，也能管理物理机，各种资源通过统一的对外接口进行管理和调度。图14：资源池管理示意图1图15：资源池管理示意图2动态节能云计算平台管理系统通过对业务忙闲交错和峰谷交错的特点分析，通过将闲的、处于低谷的业务进行迁移，从而清理出一些机器将其关闭，达到节能的效果。图16：资源池管理示意图32、自动化部署能力物理设备自动发现，即插即用物理设备从接入资源池到纳入资源池统一管理的过程自动化实现，将需要人工干预的工作降至最低。图17：自动化部署示意图1系统软件和业务软件自动安装部署能力支持系统软件和业务的自动安装部署，包括部署设计、执行，软件源管理，镜像创建，镜像生命周期管理等。流程化的部署计划，支持部署模块和快速部署能力。在业务部署过程中，支持业务各网元亲和关系定义，避免将具有1+1、N+1等关系的网元部署在相同的物理设备上，进一步实现业务的高可靠部署。图18：自动化部署示意图2开放的接口和二次开发能力云计算平台管理系统的自动部署功能提供开放的二次开发接口，业务系统可以基于该接口制作符合业务要求的软件源和安装脚本，实现业务自动部署。3、资源池高可用性虚拟机故障迁移当监控到某台虚拟机宕机时，自动将其迁移其它到其它物理机上重新拉起。物理机故障迁移当整台物理机宕机时，自动将其上所有虚拟机迁移到其它借用的物理主机上重新拉起。图19：资源池高可用性示意图灵活的备份恢复云计算平台管理系统提供虚拟机备份策略的灵活定制功能，包括：备份范围：全备份（VM完整备份）、增量备份（仅备份上次备份以来发生变化的数据）备份周期：每天、每周、每月备份保存时间可配置4、基于业务的只能管控能力和接口自动化的资源调度，实现资源的自组织、自管理，减少人工干预。通过采集业务运行数据，基于一定的分析模型和算法，建立业务运行特性模型，从多个维度对业务运行情况进行分析和监控。采集的数据同时作为后续业务调度基础，实现资源只能调度。资源池对业务开放标准的接口和能力，业务可以基于资源能力定制业务管理和调度策略。5、高性能、高安全通过存储大内存Cache技术、高性能分布式存储算法、QoS保证等满足业务系统的高性能要求。通过网络隔离、系统加固、漏洞检测、数据加密、用户认证鉴权等满足业务系统的高安全性要求。云资源服务门户云资源服务门户Portal是一套向内部虚拟化系统的自动化管理系统，覆盖虚拟机部署、审批、运行、回收整个流程。提供了易于使用的Web界面可实现依照策略自动化部署虚拟机（VM），简化虚拟机请求和审批流程，跟踪和控制虚拟机，其运营流程如下图所示。图20：运营流程图其管理角色和功能应具备包括如下方面：门户角色及功能简介用户角色图21：CCP用户流程登录Web页面，请求虚拟机（可批量）并确定请求状态。查询所属的虚拟机，并进行基本控制（包括开机、关机、远程控制、监控性能等）。提交虚拟机服务器的扩容（如CPU、内存、磁盘）申请并确定请求状态。管理员角色图22：管理员视图查看用户请求（包括新增虚拟机/变更虚拟机性能）的详细信息，并决定是接受还是拒绝请求。管理账号（可以便捷的增加用户和管理员的账号信息）。查看任一虚拟机运行状态查询日志和维护其他配置。云资源使用流程简介虚拟资源申请流程图23：资源变更流程图下面以某一省直单位，如水利厅申请台风预测预报系统上线，结合云计算业务运营流程如下：最终用户（水利厅）在云计算平台上申请虚拟资源，虚拟资源包括：虚拟机配置及虚拟机数量；数据库类型及数据库存储空间大小、网络互联要求。申请提交后进入云计算运营平台审批流程，由发改委经信中心对最终用户（水利厅）提出资源申请进行审核。确认云计算平台满足所提需求后通过审批，由云计算平台执行自动部署生成用户所需业务系统基础架构，业务系统基础架构包括虚拟机及操作系统环境、网络互联环境、数据库环境。自动部署完成后，系统自动通过邮件或短信等其他方式通知最终用户（水利厅）。最终用户（水利厅）通过用户自助门户登录虚拟机进行业务系统部署、测试，直至业务系统（台风预测预报系统）上线的所有工作。云运营管理平台建设方案运营管理是云计算服务提供的关键环节，任何一项业务的成功开展都离不开运营管理系统的支撑。云计算运营管理平台的设计应遵循了如下的原则，即：立足现有应用和业务发展需求，兼顾未来的应用扩展，采用分层次、冗余、分布式的软、硬件体系结构以保证系统安全、可靠、现金、易扩充性。运营管理平台采用分布式、模块化结构，具有良好的可扩展性和集成性，应包含如下模块：业务管理模块、运营管理模块、业务运营门户。其系统架构设计如下：图24：云管理平台系统架构图业务管理模块系统采用以服务为基础，以产品类别为核心的业务管理模式：一个业务包括多个服务、产品或者套餐；一个产品由多个服务组成；服务有各自的服务类别；套餐由产品组成；提供给用户=｛产品，服务，套餐｝。支持添加、修改、删除服务：包括服务的名称，描述；支持添加、修改、删除服务级别：包括服务级别的名称，描述状态等信息；支持添加、修改、删除产品：选择相关的服务组合成为先的产品及其它的查询等管理功能；具体框架设计逻辑图如下图所示：图25：框架设计逻辑图针对运业务实际情况，可以参考定义如下运营产品：1）虚拟主机出租各业务系统使用者依照系统对设备的需求，进行订购所需配置的虚拟机，并能通过互联网访问&使用订购的虚拟机，依照实际资源使用情况付费，使用者不需要对虚拟机进行日常维护，从而大幅度减低采购成本和维护成本和运营时成本。鉴于本项目资源供省直部门免费使用10年，有关计费部分暂无实际付费的要求，仅作统计参考，下同，不另赘述。可以以内部结算的方案，以租用虚拟机的时间进行收费，建议支持三种形式：计费类型计费单位说明包月元/月客户租用一月所需要的租用费用包季元/季客户租用一季度所需要的租用费用包年元/年客户租用一年所需要的租用费用2）在线存储各业务系统使用者可以依照自身的业务需求，进行订购存储空间。通过Web方式将文件批量上传、下载文件。使用者还可以在线对microsoftoffice系列文档进行编辑，在线播放音频文件视频文件，在线预览图片。使用者可以在线维护管理存储空间。以租用在线存储空间的时间进行计费，建议支持三种形式：计费类型计费单位说明包月元/月客户租用一月所需要的租用费用包季元/季客户租用一季度所需要的租用费用包年元/年客户租用一年所需要的租用费用3）在线备份云计算平台还可提供数据在线备份功能，对于不在云中心运行的系统进行远程在线备份。各业务系统使用者将需要备份的数据依照客户定义的策略自动传输到远程云存储空间中。但灾难发生了，使用者可以从远程云存储空间中将指定备份时间点的备份数据下载到本地或者业务服务器进行还原恢复。以租用在线备份空间的时间进行计费，建议以下三种形式：计费类型计费单位说明包月元/月客户租用一月所需要的租用费用包季元/季客户租用一季度所需要的租用费用包年元/年客户租用一年所需要的租用费用运营管理模块运营管理模块的功能应包括客户的基本信息管理，客户的订购关系管理（包括客户的计费管理），机房维护及OA管理，工单流程管理，统计与查询管理，系统管理等。各模块功能介绍如下：客户管理（客户/业务/合同/账户）：为支持用户全年的财务管理需求，引入账户合同。以业务为中心，客户、账户和合同为基础的资料管理完全满足了用户对业务信息查询，更新等的需求。业务管理：以客户订购关系为核心，直观呈现客户的订购业务及业务所对应的资源的关系，与此同时，还对客户所订购业务的计费信息做处理，帮助管理人员从全局把握云计算平台的运营情况，辅助决策者及时制定新的工作重点与发展方向。机房维护及OA管理：为了更好的维护机房，本模块提供了对机房的出入、巡检、值班等的管理，同时为了更好地让相关的业务部门，运维部门更高效地开展工作，本模块提供了对云计算平台相关部门间的通讯录管理，会议管理，公告管理，考勤管理，资料管理等。工单流程管理：工单是驱动云计算平台业务部门和运维部分协同工作的根本，本模块提供了业务预受理、业务变更、施工、问题咨询、故障处理等不同的工单类型来满足业务的开展需要。统计与查询管理：提供丰富的报表模板，可以生成各种业务报表；提供无限制的信息访问能力，结合信息采集，形成从业务到运营，从管理到服务的各类报表。提供丰富的查询方法，便于客户、业务员、管理人员和运营人员全面了解的业务和资源运行情况；系统管理（权限/配置/日志）：系统提供详尽的日志记录，记录了所有的用户操作，设置登录，推出系统的信息。客户管理客户信息是云计算平台重要的财富。基于“三户“的设计原则，我们提供了对客户基本信息（客户）、客户的联系人（用户），客户的银行账户（账户）等信息的管理，在此基础上，还整合提供了客户的合同，客户订购的业务，客户占用的资源，客户的计费信息，客户的各类工单信息等。客户信息管理具体功能应包括：添加、修改客户信息；设定客户联系人；设定客户地址；设定客户的代理商；为客户添加业务；查看客户的业务信息；添加、修改合同信息；查看合同的业务和账户信息；添加、修改账户信息；查看账户的合同和联系人信息；添加代理商信息；查看代理商的客户信息；同时，系统还提供了客户业务的查询统计，具体包括：客户数量统计；客户数量变化统计；业务数量统计。业务管理云计算平台运营的主要是各类资源，资源包装为服务、产品和套餐之后再打包提供给客户，对云计算平台运营来说，客户的订购关系就是业务管理的核心。本系统通过业务发展点的概念，提供了无缝的业务扩展模式。从全省的角度来看，业务发展点可以理解为云计算平台在不同的地区设置的业务开展的窗口；各业务发展点业务开展，受上级业务发展点和顶级业务发展点的共同指导；支持代理模式/营业厅开展业务。如下图所示：图26：用户关系图本模块还应提供了对客户订购业务的计费管理，系统全面引入帐务管理功能，在资料上通过完善的数据保障帐务功能的实现，以产品一服务一服务级别一帐目这样的关系保障费率定义的灵活。系统的业务基础是服务，每种服务具有不同的帐目类型。系统提供四种帐目类型：系统帐目类型，一次性帐目类型，租费帐目类型和使用费帐目类型。用户可以针对服务的不同级别定义不同的费率，配合帐务周期的定义，全面支持帐务管理。3）机房维护及OA管理为了更好地维护云计算平台机房，同时为了更好地让相关的业务部门，运维部门更高效地开展工作，系统应提供值班管理、出入管理、会议管理、通信录管理、文档管理及公告管理、巡检管理、密码管理等功能。4）工单流程管理对业务流程的管理是业务管理系统的核心。通过流程管理，系统将其他的功能模块有机的结合起来，实现对云计算平台日常的运行维护的集成化管理。下图说明了在云计算平台的各业务流程中参与用户与流程之间的关系：图27：工单流程图借助工作流（电子工单）用户可以有效的联系各个部门，快速、高效的完成客户的业务请求。系统根据业务流程管理的实际需求，建立了满足绝大多数用户业务开展的，简洁，可靠，易用的工作流模型。5)统计与查询管理●设备使用情况统计：包括设备总数，设备空闲数，设备使用情况明细等，用户可以一目了然掌握资源使用情况；●高速，快捷的查询功能；●用户可以通过客户名称或者IP查询到客户业务资源使用情况，迅速定位客户的设备位置，配置等。6)系统管理对于不同的层次设置不同的用户角色，对于云计算业务管理机构来说有以下角色：管理员：负责在系统中处理所有与商务相关的操作，包括设置费率、创建用户等。管理员相当于操作系统系统中的超级用户，一般用于实施系统和紧急维护时使用，在日常工作中不推荐使用。业务员：负责推广和销售云计算平台平台，发展和维护客户云计算平台负责人：可以查看运维、销售和财务的所有信息。负责对业务员的绩效考核。财务人员：负责核对业务销售金额、财务登帐、收费、销帐等财务相关操作。机房运营人员：负责实现所有业务和业务运维。运维负责人：负责查看和监视运维任务的执行，当业务流程中断时可以重新指定运维业务执行人。普通用户(使用者):可以模拟用户查看服务信息。业务运营门户云计算平台运营门户是为客户提供统一服务的在线平台，在此平台上，可以进行各类服务的在线自服务，以及所订购业务的在线监控。为客户提供一个统一的在线的服务体验。具体的功能介绍如下：1)产品及增值服务订购云计算平台的产品主要可分为基础产品和增值产品，结合在线的门户，可以进行一些适合在线运营的产品的在线订购，通过在线的业务预受理，客户申请相关产品后将自动通过工单系统流转给相应的客户经理进行处理业务审核处理。2)在线服务支持本模块主要为客户（使用者）提供各类服务的在线支持，如问题咨询，进出机房申请，报障，服务预约，管理员公告等。3)业务在线监控业务在线监控模块主要提供给客户监控自己所订购业务对对应的各类资源的运行情况及统计分析，包括基本信息，进程、存储、流量等等。此模块支持对各类增值服务在线监控的扩展，如^^扫描，安全设备日志分析，机柜视频监控，温湿度监控等。云计算安全防护方案云计算平台安全威胁在云计算平台的建设上，云安全成为了众人关注的焦点，也是企业部署云技术时候最关心的问题。要解决安全问题，应该先正确的认识其安全威胁。1、传统的安全边界消失基于边界的安全隔离与访问控制是传统安全防护的重要原则，很大程度上依赖于各区域之间明显清晰的区域边界，强调的是针对不同的安全区域设置有差异化的安全防护策略；在云计算环境下，基础网络架构统一化，存储和计算资源高度整合，传统的安全设备部署边界正逐步消失，云计算环境下的安全部署需寻找新的模式。2、虚拟化服务的安全问题“计算机科学中的任何问题都可以通过增加层映射而解决”，按照这种思路，当前计算机系统的许多问题可以通过计算机系统的虚拟化而解决。同时，虚拟化作为云计算平台的关键技术，基于存储资源和服务器资源的高度整合，其自身的可扩展性能够极大地拓展基础设施和软件平台层面提供云服务的能力。在这种情况下，如何应对云计算平台基础网络架构、数据存储和应用服务的虚拟化交付，对安全设备的设计构建和安装部署提出了更高的技术要求，也成为云计算环境下信息安全建设所关注的重点。3、数据集中后的安全问题一是传统的网络中各种应用服务的标准流量和突发流量有迹可循，流量模型设计相对较为规范、简单，对安全设备的处理能力没有太高的要求。而在云计算环境下，同类型存储或者应用服务器的规模增长迅猛，动辄以万为单位进行扩展，并且不能分而治之，必须依托统一架构的基础网络来承载。与传统网络环境相比，这就对安全设备本身的性能指标提出了更高的要求。二是用户的数据存储、处理、网络传输等都与云计算系统有关。如何避免多用户共存带来的潜在风险；如何保证云服务的身份鉴别、认证管理和访问控制等安全机制符合用户的需求，并能够实施有效的安全审计，这些都成为云计算环境所面临的安全挑战。4、稳定性和可靠性问题一是云计算环境下，用户的数据和业务应用流程等均依赖于云计算所提供的虚拟化服务，这必然对云计算服务的稳定性、安全策略部署、容灾恢复能力和事件处理审计等提出了更高更进一步的需求。二是用户、信息资源的高度集中，相对传统的网络平台更加容易成为网络攻击的目标，因各类恶意代码、黑客程序、病毒木马等工具造成的破坏程度将会呈指数级上升。云计算平台安全防护目标为确保XX单位XX信息的机密性、完整性、可用性、可控性与可审查性，本项目通过部署安全系统，投入技术力量，加强网络安全管理，达到如下目标：一一合理管理和分配网络资源，防止滥用网络资源导致网络瘫痪；一一抵御病毒、恶意代码等对信息系统发起的恶意破坏和攻击，保障网络系统硬件、软件稳定运行；一一保护重要数据的存储与传输安全，防止和防范数据被篡改，建立数据备份机制和提高容灾能力；一一加强对重要敏感数据信息的保护，确保数据的机密性；一一构建统一的安全管理与监控机制，统一配置、调控整个网络多层面、分布式的安全问题，提高安全预警能力，加强安全应急事件的处理能力，实现网络与信息安全的可控性；一一建立认证体系保障网络行为的真实可信以及可审查性，并建立基于角色的访问控制机制。云计算平台安全架构IaaS是所有云服务的基础，PaaS建立在IaaS之上，而SaaS又建立在PaaS之上；在不同云服务模型中，提供商和用户的安全职责有着很大的不同。具体来说，IaaS提供商负责解决物理安全、环境安全和虚拟化安全这些安全控制，而用户则负责与IT系统（事件〉相关的安全控制、包括操作系统、应用和数据；PaaS提供商负责物理安全、环境安全、虚拟化安全和操作系统等的安全，而用户则负责应用和数据的安全；SaaS提供商不仅负责物理和环境安全，还必须解决基础设施、应用和数据相关的安全控制。本项目重点建设XXIaaS层云服务。层安全，主要包括物理与环境安全、主机安全、网络安全、虚拟化安全、接口安全、数据安全、加密和密钥管理、身份识别和访问控制、安全事件管理、业务连续性等。IaaS层安全物理与环境安全1)机房环境安全物理与环境安全，是指保护云计算平台免遭地震、水灾、火灾等事故以及人为行为导致的破坏。主要措施包括物理位置的正确选择、物理访问控制、防盗窃和防破坏、防雷、防火、防静电、防尘、防电磁干扰等。XX云计算平台建设在XX单位信息中心机房，机房、电源、监控等场地设施和周围环境及消防安全，严格按照国家相关标准，并满足政务网24小时不间断运行的要求进行设计建设。其具体安全措施符合了9361-1988和2887-1989的规定。2)物理线路安全

通信线路安全通信线路是实现数据传输的物理线路，包括网线、光纤等。应符合以下要求：通信线路采用铺设或租用专线方式建设；通信线路应远离强电磁场辐射源，埋于地下或釆用金属套管；定期测试信号强度，以确定是否有非法装置接入线路；特别是在线路附近有新的网络架设、电磁企业开工时，应该请专业机构负责检测；定期检查接线盒及其他易被人接近的线路部位，防止非法接入或干扰。

骨干线路冗余防护骨干线路冗余防护应符合以下要求：骨干线路或重要的节点与省XX网相连，应有冗余线路和环形路由措施；骨干线路的网络设备应有冗余电源配置，保障线路正常运转；省级重要部门重要业务系统所属的相关线路，应建立冗余或环形路由措施；

核心设备防雷击措施通信线路骨干线路和核心设备，应该具备防雷击的措施。主机安全云计算平台的主机包括物理服务器、虚拟机，以及安全设备在内的所有计算机设备，主要指它们在操作系统和数据库系统层面的安全。主机安全问题主要包括操作系统本身缺陷所带来的不安全因素，包括身份认证、访问控制、系统漏洞等，操作系统的安全配置问题、病毒对操作系统的威胁等。主机安全，要求做到身份鉴别、访问控制、安全审计、入侵防御、恶意代码控制、资源控制等，主要釆取的措施和技术手段包括身份认证、主机安全审计、主机入侵防御、主机防病毒系统等。1）漏洞管理漏洞管理是一个重要的威胁管理内容，云服务引入漏洞管理的主要目的是帮助保护主机、网络设备，以及应用程序不受已知漏洞的攻击。漏洞管理需要先明确漏洞的定义。在这里，漏洞分为两种情况，一是指主机、网络设备、应用程序等存在的已知的问题；二是指人为导致的问题，例如安装了有潜在风险的应用或者进行了有潜在风险的配置。这些问题都会由于没有及时安装最新的补丁或者没有釆用其它手段解决而成为整个系统中的潜在安全隐患。而针对漏洞的管理则是指在最短的时间内发现漏洞并设法解决，并形成一套可重复的成熟流程，同时需要对该套流程的所有内容进行