云计算、云平台、云服务数据中心（硬件、软件）实施方案（技术方案）

目录

第1章项目概述...........................................10

1.1项目背景.............................................10

1.2项目需求概述.........................................10

1.2.1网络和域设计需求.................................10

第2章项目分析...........................................13

2.1项目重点难点分析....................................13

2.1.1“分区+分层+分平面”的网络隔离需求...............13

2.1.2不同类型应用系统的承载需求.......................14

2.1.3端到端立体安全的保障.............................16

2.1.4开放兼容、统一、面向未来的运营运维管理...........19

2.1.5云平台与数据的可靠性与可扩展性...................21

2.1.6云平台的实施和服务保障...........................22

2.1.7有效实施局委办的业务迁移.........................22

2.2具有前瞻性的平台优势.................................22

2.2.1自主可控的云计算整体解决方案.....................23

2.2.2开放的云计算方案架构设计.........................24

2.2.3数据中心立体安全保障方案.........................25

1

2.2.4端到端数据中心集成解决方案.......................25

第3章总体规划...........................................27

3.1总体设计.............................................27

3.2建设范围............................................30

3.3技术架构.............................................31

3.4网络架构.............................................34

3.5部署架构.............................................35

3.6管控架构.............................................35

3.6.1审核实施方案.....................................35

3.6.2清晰服务目录.....................................36

3.6.3明确服务级别协议.................................36

3.6.4制定沟通计划.....................................36

3.6.5统一服务窗口.....................................37

3.6.6统一运维流程.....................................37

3.6.7规范服务管理标准.................................37

3.6.8制定统一租赁标准.................................37

3.6.9重视灾备服务.....................................38

3.6.10服务结果可追溯、可审计.........................38

2

3.6.11实行绩效考核标准...............................38

3.7服务流程...........................................38

3.7.1云产品发布流程...................................39

3.7.2云服务资源创建流程..............................40

3.7.3云服务应急资源创建流程..........................40

3.7.4云服务特殊区域创建流程...........................41

3.7.5云服务申请退出流程...............................42

3.8业务运营...........................................43

3.8.1业务运营功能架构.................................43

3.8.2业务运营技术架构................................45

3.9设计概述...........................................47

3.9.1机房服务........................................47

3.9.2计算服务.......................................49

3.9.3存储服务........................................49

3.9.4备份服务........................................51

3.9.5网络服务........................................52

3.9.6安全服务........................................52

3.9.7扩容服务........................................54

3

3.9.8管理平台.........................................54

第4章机房服务.........................................57

4.1服务内容...........................................57

4.1.1基础设施服务...................................57

4.1.2主机托管服务...................................58

4.2服务方案...........................................58

4.3服务界面...........................................103

第5章计算服务.........................................105

5.1服务内容...........................................105

5.2服务方案...........................................107

5.2.1设计原则.......................................108

5.2.2计算高可用设计.................................110

5.2.3虚拟服务器计算性能指标参考.....................113

5.3管理界面...........................................116

第6章存储服务.........................................118

6.1服务内容..........................................118

6.2服务方案...........................................118

存储分级.....................................119

4

6.2.2设计原则.........................................120

6.2.3存储架构设计.....................................126

6.3管理界面............................................131

第7章备份服务.........................................134

7.1服务内容...........................................134

7.2服务方案............................................136

7.2.1云平台本身的备份和恢复方案......................136

7.2.2云平台提供的备份和恢复方案(数据级备份方案)....147

7.2.3管理和维护.......................................151

7.3管理界面...........................................154

第8章网络服务.........................................156

8.1网络服务...........................................156

8.2网络方案............................................156

8.2.1XX项目外网核心层概述............................156

8.2.2云平台内部网络设计概述.........................158

8.2.3网络方案设计原则...............................159

8.2.4XX项目外网改造方案...............................161

8.2.5XX项目云平台内部网络设计.......................164

5

8.3光纤方案...........................................173

8.3.1方案说明.........................................173

8.3.2光缆标准和规范...................................175

8.3.3光缆其他参数.....................................178

8.3.4光纤技术说明....................................183

第9章安全服务.........................................185

9.1服务内容...........................................185

9.2安全方案设计.......................................188

9.2.1安全服务设计目标.................................188

9.2.2安全方案设计原则.................................189

9.3安全服务框架设计...................................190

9.3.1机房安全设计.....................................191

9.3.2网络安全设计.....................................192

9.3.3云管理平台安全..................................194

9.4安全总体部署方案建议...............................198

9.4.1数据业务区划分原则.............................199

9.4.2云数据中心边界安全...............................200

9.4.3云数据中心服务器区安全..........................202

6

第10章扩容服务.........................................214

10.1服务内容..........................................214

10.2扩容方案...........................................214

第11章管理平台.........................................217

11.1云管理平台的设计...................................217

11.2云管理平台架构设计.................................220

11.3开放接口设计.......................................223

第12章迁移规划(建议).................................225

12.1概述...............................................225

12.1.1基于虚拟化的服务器整合.........................225

12.1.2基于虚拟化的灾难恢复...........................225

12.1.3基于虚拟化的硬件迁移...........................226

12.2工具介绍..........................................228

12.2.1应用负载概念...................................228

12.2.2RainBowhSizing-应用负载剖视、容量分析与规划...228

12.2.3RainBowhConvertor多平台应用负载移植...........236

12.3云化与迁移的原则...................................241

12.3.1充分利用已有资源原则...........................241

7

12.3.2独立性原则.....................................242

12.3.3分区云化原则...................................242

12.3.4新建原则.......................................242

12.3.5P2V、V2V、I2V原则...............................243

12.3.6渐进迁移原则...................................243

12.3.7免托管原则.....................................243

12.4云化与迁移的实施规划...............................244

12.4.1云化与迁移的实施要点...........................244

12.4.2云化与迁移规划概述.............................245

12.4.3价值分析.......................................246

12.4.4风险评估.......................................247

12.4.5业务适应性分析.................................248

12.4.6典型的云迁移实施过程...........................254

12.5云化与迁移应用负载的初步分类设计..................258

12.5.1网上办事应用类迁移设计.........................259

12.5.2内部监管及业务处理应用类迁移设计...............261

12.5.3数据交换共享应用类迁移设计.....................265

12.6云化与迁移涉及的技术应用场景设计..................267

8

12.6.1基于虚拟化技术的服务器整合....................267

12.6.2基于刀片设备的服务器整合.......................269

12.6.3基于虚拟技术的非对称故障恢复...................270

12.6.4基于虚拟技术的操作系统灵活移植.................273

12.6.5基于已有基础设施恢复技术进行灵活的非对称故障恢复274

12.6.6硬件租赁寿命周期结束时的自动化服务器迁移.......276

12.6.7不同地理区域的XX项目迁移.....................276

12.6.8测试实验室虚拟化、整合和自动化.................277

12.6.9新服务器的快速迁移与配置......................278

9

第1章项目概述

1.1项目背景

通过建设XX市XX项目云服务中心，采用集约化建设模式，借助

云计算技术对资源的统一管理、按需使用，能够节约一定的信息化建

设资源投入成本，有效降低IT能源消耗，减少碳排放量；同时促进

数据和业务系统与承载的技术环境分离，提高政府信息化项目的整体

建设水平。

受XX公司委托，由XX市XX项目中心承担XX项目云服务中心规

划和建设，大力推进基于云服务模式下全市XX项目信息系统建设。

1.2项目需求概述

1.2.1网络和域设计需求

XX项目云平台结构设计

按照XX项目的网络安全要求，XX项目网络划分为三个网络，XX

项目外网业务专网、XX项目外网互联网接入网和XX项目外网安全岛。

本期招标的XX项目云平台按照网络安全要求划分为三个平台，分别

是XX项目外网业务专网云平台(以下简称专网云平台)、XX项目外网

互联网接入网云平台(以下简称接入网云平台)和XX项目外网安全

岛云平台(以下简称安全岛云平台),这三个云平台的逻辑架构基本

10

一致，但根据资源使用量的差异，每个云平台规模略为不同，且三个

云平台之间需使用网络逻辑隔离方法保证云平台及网络安全。

为确保三个云平台的逻辑强隔离特点，所有物理设备需要按机柜

或区域划分给不同的云平台使用，比如划出3个机柜为安全岛云平台

专享使用，或者划出一个独立隔间为互联网接入网云平台使用等。

为方便各委局单位使用，将部署一套云管控平台(采购人提供)

实现云资源的统一申请和统一监控功能，云管控平台通过技术和手工

(如切换网络等)结合手段实现对三个云平台的管控。

电子政务外网

电子政务电子政务电子政务

业务专网子云安全岛子云互联网接入子去

逻辑隔离逻辑隔离逻辑隔离

委局专有资源域的设计

委局专有资源域是指由委局专有使用的资源区域，专有资源域包

括两种类型，第一种类型是指根据有特殊需求的委局要求，从XX市

XX项目云社会机房和超算云平台的资源中划分一部分独立的资源给

11

该委局专享使用，委局可以根据本单位的实际需求将该专有资源域进

行再次分配，提供给不同的系统或下属单位使用等；第二种类型是指

某些委局通过评估机构评估可以保留的私有云资源，这部分资源由委

局自己使用自己维护。

12

第2章项目分析

2.1项目重点难点分析

2.1.1“分区+分层+分平面”的网络隔离需求

网络总体架构应遵循区域化、层次化、模块化的设计理念，使网

络层次更加清楚、功能更加明确。这样在每个区域内部调整时不会影

响其他区域，而且区域内部资源调度也更加方便和灵活。依据这样的

设计理念和设计原则，总体网络架构要从下面几个方面设计：

1、业务功能分区设计：综合考虑网络服务中数据应用业务的独立

性、各业务的互访关系，以及业务的安全隔离要求，XX项目云

平台网络在逻辑上还要划分外网业务专网区(包括部门业务专

网、开发测试区、等保二级、等保三级和高安全高敏感区)、XX

项目外网互联网接入区和XX项目外网安全岛区(包括运维管理

区、高安全高敏感区)等，各业务区域之间实现网络的逻辑隔

离和受控互访。

2、网络虚拟化和大二层结构：传统的数据网络平台架构一般采用

核心—汇聚—接入的三层网络架构模型，采用这种传统的网络

架构存在“网络层次多，处理效率低”、“不易扩容”、“配置复

杂”等问题；为了解决上述存在的问题，本方案数据中心网络

架构采用扁平化二层网络架构(核心层、接入层),使用网络虚

13

拟化技术，核心交换机承担着核心层和汇聚层的双重任务，实

现扁平化的二层网络架构，扁平化方式降低了网络复杂度，简

化了网络拓扑，提高转发效率。

3、分平面设计：根据XX项目数据中心网络高效交换的需求，将数

据中心网络分为管理平面、业务平面和存储平面，不同平面间

进行逻辑隔离。业务平面主要服务对象是为租户的业务应用软

件的通讯，管理平台主要为设备自身、安全系统、运维系统所

使用，存储平面完全是一个封闭的私有网络，服务器和存储设

备在该平面上进行存储数据的传送。三个网络平面相互独立，

单个平面故障不会影响其它网络平面的正常工作。

2.1.2不同类型应用系统的承载需求

XX项目数据中心支持业务应用运行于华为或业界主流厂商的物

理服务器和存储、华为云计算平台和其它的虚拟化平台(VMware),

支持对服务器和存储的集中管理。

XX项目数据中心支持根据业务应用的不同特点(大计算量应用

系统、高I/O访问应用系统、高并发访问应用系统以及对资源要求一

般的应用系统)采用物理服务器、虚拟机(华为虚拟化平台或其他)、

SAN或NAS、网络或存储连接技术(GE或10GE、4G/8G光纤连接)、

存储虚拟化技术，能根据业务应用的特点对服务器或存储进行配置满

足应用对计算和存储的需要(CPU、内存、网络l/O、存储l/O)。

14

服务器的总计架构分为三层，即表现层、应用层和数据层，三层

架构的部署可以是采用物理机部署或者虚拟化部署，其中虚拟化部署

方式主要考虑华为云操作系统FusionSphere;为保护用户已有投资，

华为XX项目数据中心解决方案支持业界第三方虚拟化平台，如

VMware等。

存储的总体架构主要是分为IPSAN、FCSAN、NAS和存储虚拟化

四种；XX项目数据中心支持华为存储和业界主流存储

(IBM/HP/EMC/NetApp/HDS);采用华为VIS来支持存储虚拟化，实

现存储的统一管理。

对于整个XX项目云平台的核心—“云操作系统”要求具备良好

的兼容性，除兼容业界主流的服务器和存储设备外，还要兼容主流的

软件如Windows、Linux操作系统、数据库和中间件，且原设备厂家

要建有一定规模的兼容性实验室，用以保障后续各局委办业务快速迁

移。

在部署业务时，首先考虑使用虚拟化平台，优先采用虚拟主机满

足，对于虚拟主机不能满足的应用，则采用物理服务器满足。以下是

针对不同类型应用系统的计算平台方案：

●物理主机和虚拟机的不同节点配置全面覆盖政务客户的不同

业务需求；

●对内存容量、IO、扩展性的要求都不高，且有节约空间和能源

的应用，我们推荐采用虚拟化计算资源来满足；

15

●对于高性能计算，大容量存储，大容量内存和高IO的需求，虚

拟化不能满足应用需求，则采用4路X86服务器或UNIX服务器等

高性能物理主机满足；

●针对普通的应用系统，如WEB,对内存容量、IO、扩展性的要

求都不高，建议采用虚拟主机，且能节约计算资源、机架空间、

能源；

●存储设备和计算服务器之间采用多路径技术保证可靠性；

●采用面向网络的存储体系结构，使数据处理和数据存储分离；

网络存储体系将I/O能力扩展到网络上，特别是灵活的网络寻

址能力，远距离数据传输能力，I/O高效性能；

采用存储网络，消除了不同存储设备和服务器之间的连接障碍；

提高了数据的共享性、可用性和可扩展性、管理性。

2.1.3端到端立体安全的保障

XX市XX项目云数据中心是为XX市各个政府职能部门提供不同

层面的资源与服务，所以基础平台自身对安全的高要求，需要满足国

家信息安全针对XX项目的一系列标准、法规和指导意见。参照国家

等级保护相关标准，平台安全防护体系要从机房安全、网络安全、主

机安全、云管理平台安全等四个维度进行设计，搭建起符合业务运行

安全需求的安全体系，做到对整个云平台的安全提供防护能力，保障

云平台上承载的XX项目业务系统所使用的网络和数据得到安全的运

16

行环境。

1、机房安全：XX项目云服务中心的机房需满足国家A级

(GB50174-2008)的安全要求，从机房选址、机房环境、机房

管理几个角度满足安全设计要求。

2、网络安全：网络安全需求分为外联边界、内部安全域及内外网

数据安全隔离交换等立体安全防护的要求。

1)外联边界防护：指XX项目云数据中心的外联网络边

界，本平台主要是XX市XX项目云数据中心和市级XX项目外网连

接的边界防护。

2)内部安全域边界：在XX市统一XX项目云数据中心中，

可以划分处多个网络安全域，包括多个服务器区、多个接入区、

网络与安全管理区等等。这些安全域之间存在着内部边界，为

能更加有针对性的对各安全域进行防护，避免跨区越权访问、

攻击和病毒传播，需要在不同的边界应采取不同的边界防护措

施。

3)内外网数据安全隔离交换安全：通过互联网进行接入传输

的数据属于XX项目内部的信息，这些敏感的数据信息在互联网

上十分容易被非法窃取、篡改或删除。因此必须采用技术手段

保证数据的机密性、完整性以及可用性。

3、主机安全：保护计算环境关注的是采用信息保障技术确保用户

信息在进入、离开或驻留客户机与服务器时具有可用性、完整

17

性和秘密性。主要是指主机硬件、OS,应用软件等的安全需求。

包括：

1)终端行为的管理：终端设备部署较为分散，难于统一管理，

操作人员的计算机水平也参差不齐，因此终端设备的安全管理

成为网络管理人员最为棘手的安全问题。终端泄密、非授权访

问、内部攻击等都对数据中心安全造成威胁。各类终端和服务

器系统的补丁管理同样是一个重要问题。不及时的给系统打漏

洞补丁会造成蠕虫以及不怀好意者的入侵。因此需要对终端的

补丁、桌面、行为、I/O、病毒等进行管理和控制。

2)终端防病毒：病毒是对计算环境造成危害最大的隐患，当

前病毒威胁非常严峻，特别是蠕虫病毒的爆发，会立刻向其他

子网迅速蔓延，这样会大量占据正常业务十分有限的带宽，造

成网络性能严重下降甚至网络通信中断，严重影响正常业务开

展。因此必须采取有效手段进行查杀，阻止病毒的蔓延危害整

个数据中心。

4、云管理平台安全：对于XX项目外网云计算平台，由于采用了虚

拟化和多租户访问等一系列先进的技术手段，因此必须保障虚

拟机隔离和多租户等一系列云计算平台特有的安全问题。

1)虚拟化安全：支持有代理或者无代理安全方式进行

虚拟环境的整体防护；支持对关闭的虚拟机/模板进行安全扫描

和防护，防止关闭状态的虚拟机/模板的安全策略/补丁更新不

18

及时过期出现安全隐患；整体的虚拟化安全措施应避免“病毒

风暴”。

2)云平台安全：如果云管理平台需要数据库的支持，

应保护好云管理平台的数据库安全，设置强壮复杂的密码策略、

备份数据库和配置相关的网络安全服务；云管理平台的访问许

可应加强管理，删除不需要的用户账号；安装云管理平台软件

的操作系统需设置安全策略。

3)云平台访问控制安全：用户在访问XX项目云平台资

源过程中支持使用数字证书进行身份认证，包括但不限于投标

人维护人员、委办局操作人员、市XX项目中心监管人员，且数

字证书的介质购买和服务费由投标人提供。

4)云管理平台安全：对于XX项目外网云计算平台，由

于采用了虚拟化和多租户访问等一系列先进的技术手段，因此

必须保障虚拟机隔离和多租户等一系列云计算平台特有的安全

问题。

2.1.4开放兼容、统一、面向未来的运营运维管理

XX项目数据中心管理系统采用开放的、可扩展、松耦合的面向

服务的管理架构的设计思路，根据数据中心业务需求配置运营和运维

管理模块，主要模块包统一运维管理门户、业务运营管理、IT服务管

理、集中监控管理和云管理。

19

基于保证方案的开放性、可扩展性，华为的数据中心管理工具采

用SOA的架构、同时有机结合华为的云平台管理及业界成熟的管理

产品实现XX项目数据中心运营运维的管理功能。

●业务运营与管理

-业务管理主要面向业务方面的规划与设计，包括服务目录管

理，产品管理、服务定价策略，服务级别管理等功能的规划

与设计；

-业务运营管理负责业务的日常运转，包括业务日常流程和业

务的受理；

-客户自助服务帮助客户实现服务的在线定购、方便的服务访

问及服务管理。

●IT运维与管理

-IT服务管理实现基于ITIL的流程的定义和管理，同时提供流程的

定义模版，实现特定流程的定制；

-集中的、统一的、综合的监控管理支持XX项目数据中心所覆盖

的IT资源的集中监控；

-云平台管理采用华为的云管理平台，实现资源的自动部署，同

时结合IT服务管理完成相关的变更、配置管理。

-统一运维管理门户采用华为的门户方案，实现运营、运维的一

体化管理，包括用户管理、管理工作台、仪表盘、综合报表及

知识库等；

20

2.1.5云平台与数据的可靠性与可扩展性

对容灾备份存在下面的一些关键需求：

●XX项目云平台本身的备份和恢复能力要求

XX项目云平台使用的防火墙、交换机、网络安全、服务器、存

储等设备都应具备高可靠性及冗余性。

XX项目云平台具备高可用和动态迁移功能，发生物理设备故障

后，虚拟机可以自动迁移到其他可用资源上运行，确保业务系统不受

物理设备故障影响。

XX项目云平台提供备份/快照功能，能对云平台中的物理和虚拟

服务器进行备份，同时也能对虚拟化存储池进行存储镜像备份，防止

存储损坏导致数据丢失。

●XX项目云平台为委局应用系统提供的备份/恢复能力要求

XX项目云平台为委局应用系统提供备份介质、备份工具、备份

服务器和备份管理工作。

本地备份：使用磁带机和虚拟带库、备份工具、中央备份服务器

将委局的应用系统及数据在本地进行备份。

同城异地备份：使用磁带机和虚拟带库、备份工具、中央备份服

务器将委局的应用系统及数据通过光纤网络备份到XX市超算中心

●可扩展性需求

数据中心备份方案要具备扩展性需求，随着备份数据量的增长可

以进行平滑扩容，从而保证关键数据备份的完整性。

21

2.1.6云平台的实施和服务保障

XX项目云平台的建设是一个系统的工程，需要原厂、集成商具

有专业化的实施团队和丰富同类型项目的实施经验，来保障项目成功。

另外，各个局委办有大量的业务要迁移至云平台，出保障云平台本身

有较好的兼容性外，需要原厂商由自主知识产权的云操作系统和定制

化开。综上所述，本项目对服务能力要求如下：

1、具有本地化、专业化的服务团队

2、具有丰富国内同类型项目的实施经验

3、自主知识产权的云操作系统平台

4、原厂具备针对XX项目云平台的定制化开发能力

5、具备V2V、P2V迁移工具且具有丰富的迁移经验。

2.1.7有效实施局委办的业务迁移

将现有业务迁移到云平台中实现服务器整合，提高XX项目数据

中心资源利用率。业务迁移方案需要遵循如下要求：

●制定有效的业务迁移前评估和流程设计

●采用成熟的业务迁移工具保障计算平台兼容性和平滑迁移

●设计有效的备份恢复方案保障业务系统正常切换和运行。

2.2具有前瞻性的平台优势

中国联通针对XX市XX项目云项目提供了整体解决方案。本方案

22

涉及的主要部件服务器、接入交换机、汇聚核心交换机、安全产品、

存储、虚拟化平台软件、数据中心管理软件，均是同一品牌——华为

产品，其产品优点为中国自研，兼容性好，高性能，高可靠，整体交

付，伴随专业维护团队支撑等，主要优势如下：

2.2.1自主可控的云计算整体解决方案

经过多年技术积累和产品研发，中国联通已经形成了丰富的云计

算产品线方案，覆盖了云计算解决方案中的主要核心产品。主要核

心产品线包括：

1.丰富的中高低端的服务器设备、存储设备、虚拟磁带库等计算

存储产品；

2.丰富的核心网络设备、接入网路设备、无线网络设备等网络产

品；

3.中国自主研发的电信级云计算虚拟化平台；

4.中国自主研发的云计算平台综合监控管理系统

5.丰富的中高低端防火墙、入侵监测、DDoS、VPN等安全接入产

品；

6.数据中心统一管理软修的可统一管理华为虚拟化、网络、安全

产品，提供全中文的统一的管理访问Portal,便于用户运维管

理。

23

7.虚拟化平台针对华为自研的服务器、存储、网络设备深入兼容

性测试，做到无缝对接，可提供更优的性能、自动化安装、自

动化运维。

在核心产品的支撑的基础上，针对数据中心需求开发出针对性的

云计算解决方案，各组件之间无缝集成，确保了解决方案的稳定性、

完备性和安全性。

2.2.2开放的云计算方案架构设计

中国联通云计算方案架构设计采用SOA的架构设计理念，从业务

需求的角度设计匹配的IT基础架构，确保IT架构的可扩展性、灵活

性和可演进性。同时，实现业务设计和IT基础架构松耦合，确保IT

架构对业务多样性的支持和业务快速上线的支持。中国联通云计算

方案架构设计的优势主要体现在以下几点：

电信级的网络设计方案。云计算网络方案借鉴中国联通系统集

成中心在电信行业网络设计的多年经验和技术积累，采用先进

的网络设计方法、技术、产品，确保数据中心网络架构满足未

来长期的业务发展需求

成熟的云计算设计方案。云计算平台方案设计采用华为自主研

发的虚拟化产品，总结华为丰富的云计算项目经验，经过中国

联通系统集成中心IPD流程的严格开发，确保了云计算方案的先

进性和可靠性

24

先进的电信级管理方案。中国联通云计算管理方案设计覆盖网

元管理、网络管理、云平台计算资源管理，以及和业界先进产

品合作的服务管理等多方位管理系统，满足大规模数据中心运

维管理的需求，形成了完整的数据中心管理体系

2.2.3数据中心立体安全保障方案

基于XX项目业务特点，中国联通提出了XX项目云数据中心立体

安全框架，并针对安全架构提出整体解决方案，覆盖了数据中心的

完整安全需求。

虚拟化软件、计算资源池、存储资源池、网络设备、安全设备、

计算资源池、存储资源池均可提供灵活的安全隔离功能，按照XX市

XX项目云局委部办提供安全隔离功能、传输加密功能。

2.2.4端到端数据中心集成解决方案

中国联通提供端到端的数据中心集成解决方案，涵盖数据中心解

决方案所需的：

全系列的x86服务器，包括机架服务器、刀片服务器、可扩展服

务器，同时支持其它厂商x86和Unix服务器的使用；

完整的存储设备产品线，涵盖高、中、低端IPSAN和FCSAN、NAS、

虚拟存储、VTL、云存储、光纤交换机、软硬件一体化的存储备

份和恢复产品HDP3500E;

25

全系列网络管理产品，包括高、中、低端路由器、交换机，如

93系列核心交换机、57系列接入交换机、NE系列路由器；

完整的安全管理产品，包括高、中、低端防火墙、IPS/IDS、DDoS、

堡垒机、远程访问控制等；

功能完善的虚拟化、云操作系统FusionShpere,并提供基于华为

云的业务，如虚拟主机出租、云存储、云桌面、基于云的增值

服务、联合通讯、面向中小企业的SaaS应用等；

功能完善的数据中心综合运维管理解决方案，涵盖数据中心内

云及非云环境的监控与管理以及运维管理流程；

功能齐全的数据中心机房设计、建造和运维管理的大量成功案

例和经验。

26

第3章总体规划

3.1总体设计

根据XX市XX项目云的对数据中心的规划，为将来与XX市超算

中心云平台统一管理，本项目所使用的虚拟化软件以XX公司研制的

THCloud为主。但同时使用华为成熟的商业化云管理平台软件

FusionSphere,完成搭建工作并提供相应服务，作为后备和应急支持

平台。

本项目主要包括机房、网络、安全、云计算服务、灾备部分的建

设。其部署逻辑架构如下图所示。

内图

本项目XX项目云划分为XX项目外网业务专网子云、XX项目外

网互联网子云和XX项目外网安全岛子云。每个子云通过VLAN、防火

27

墙进行逻辑隔离。每朵子云分为虚拟化区资源池、高负载数据库专用

区资源池、高负载应用专用区资源池和测试区资源池。

对于虚拟化区资源池，采用华为FusionSphere虚拟化平台管理技

术，将上述部分应用服务部署到虚拟化化的高性能物理服务器上，达

到高可靠、自动化运维的目标。众多物理服务器虚拟化成计算资源池

(集群),保障虚拟化平台的业务在出现计划外和计划内停机的情况

下能够持续运行。华为FusionSphere管理平台软件可以向上提供开放

的API接口，便于上层云管控层统一运维管理。

本项目采用华为FusionSphere虚拟化计算技术实现有以下优势：

●通过云平台HA、热迁移功能，能够有效减少设备故障时间，

确保核心业务的连续性，避免传统IT,单点故障导致的业务不

可用。

●易实现物理设备、虚拟设备、应用系统的集中监控、管理维护

自动化与动态化。

●便于业务的快速发放，缩短业务上线周期，高度灵活性与可扩

充性、提高管理维护效率。

●利用云计算技术可自动化并简化资源调配，实现分布式动态资

源优化，智能地根据应用负载进行资源的弹性伸缩，从而大大

提升系统的运作效率，使IT资源与业务优先事务能够更好地

协调。

●在数据存储方面，通过共享的SAN存储架构，可以最大化的发

28

挥虚拟架构的优势；提供虚拟机的HA、热迁移技术提高系统

的可靠性；提供虚拟机快照备份技术(HyperDP)等，而且为以

后的数据备份容灾提供扩展性和打下基础。

对于虚拟机的备份可采用华为FusionSphereHyperDP备份对虚拟

机进行完整的数据保护系统。整个备份云可实现集中管理，负载均衡。

应用系统、数据库进行备份采用CommVault备份软件。

CommVault备份软件可以将这些数据备份到磁带机和虚拟带库上。

CommVault备份软件维护所有的配置信息(客户端，介质代理，备份

设备等),管理所有的作业和历史任务记录，提供GUI/WEB等管理界

面，集备份和归档一体化。

XX市XX项目的数据中心的架构分为：

接入控制：用于对终端的接入访问进行有效控制，包括接入网关，

防火墙、入侵防御、入侵检测、漏洞扫描、安全审计、防病毒、流量

监控等设备。可动态了解数据中心流量访问情况，并保障数据中心的

安全。

网络交换层：数据中心内部的网络交换，对三个网络(专网、安

全岛网络、互联网)进行逻辑隔离；连接数据中心内部的服务器、存

储；并对接提供网络访问。

虚拟化资源池：通过在计算服务器上安装虚拟化平台软件，然后

在其上创建虚拟机。存储采用FCSAN用于向虚拟机提供系统盘、数据

盘等存储资源。分布式存储给云管理平台软件进行管理和使用，用于

29

存放镜像文件、系统模板等。

高负载数据库资源池：高负载数据库直接采用物理服务器部署，

存储采用FCSAN向服务器提供系统盘、数据盘等存储资源。华为

FusionSphere可以物理服务器进行管理，FusionSphere的

FusionManager管理子系统可支持物理理机部署，提供了对裸机物理

服务器的自动发现、资源管理和自动发放等功能。

高负载应用资源池：高负载数据库直接采用物理服务器部署，存

储采用IPSAN向服务器提供系统盘、数据盘等存储资源。

3.2建设范围

XX项目网络包括XX项目外网和XX项目内网，稳妥起见，实施

XX项目云平台必须遵循循序渐进的原则，先在XX项目外网中开展和

探索云计算技术，等业务模式、管理流程、安全及技术平台都磨合和

稳定后，再逐步推广到XX项目内网，因此本次XX项目云平台的建设

主要是指建设XX项目外网的云平台。

按照XX项目的网络安全要求，XX项目外网还划分为三个网络，

XX项目外网业务专网、XX项目外网互联网接入网和XX项目外网安全

岛。XX项目云平台的建设必须遵循现有的网络安全要求，因此也同

样划分为三个平台，分别是XX项目外网业务专网云平台(以下简称专

网云平台)、XX项目外网互联网接入网云平台(以下简称接入网云平

30

台)和XX项目外网安全岛云平台(以下简称安全岛云平台)。在规划

中，这三个云平台的逻辑架构基本一致，但根据资源使用量的差异，

每个云平台规模略为不同，且三个云平台之间需使用现有的网络逻辑

隔离方法保证云平台及网络安全。

3.3技术架构

本项目是全市统一的XX市XX项目云服务中心的重要组成部分，

充分利用社会资源，同时结合超算资源、委办局现有资源搭建统一管

理的XX项目云平台，作为必需的重要基础设施支撑全市XX项目业务。

项目拟由我公司及中国电信公司，作为XX市XX项目云服务中心

资源服务提供商，负责软硬件系统集成(本项目的系统集成工作泛指

云平台的硬件及云平台软件集成以及操作系统等集成运维工作),搭

建XX市XX项目云平台。

XX市XX项目云服务中心平台技术架构图

31

资源准入、资源监管、资源配置、资源监控、资源使用、预算管理、服务协议、

云

云管控层支付申请、客户服务、投诉处理、运营评价、资源考核、信息资产统计、…………云

平平

台台

将资源集中管理--提供云资源服务

网灾

络备

云服务层VMVMVMVMVMVM

安服

全务

存储池

服算池存储池存储池算池

务

资源池层网络池应用池网络池应用池网络池应用池

Hypervisor-

服务提供商超算平台各委局(原有设备)

物理层

机房、服务器、存储、机房、服务器、存储、机房、服务器、存储、

网络、软件…网络、软件…网络、软件……

物理层

物理层是XX项目云平台的硬件资源基础，由机房环境、服务器、

存储、网络设备、安全设备等组成。由服务商、XX市超级计算中心

和各委局(原有设施)、全市XX项目公共平台(包括XX项目外网、

公共机房)共同组成，包括了组成云平台所必需的机房，硬件服务器、

存储设备、网络和安全等物理资源。

资源层

资源层是将上述资源的物理层全部硬件设备进行池化后的资源，

各自的资源层由物理层提供方负责维护。资源层按功能可划分为计算

资源池，存储资源池、网络资源池和应用资源池进行使用，不同的资

源池设计用于不同业务系统需求。

32

云服务层

云服务层主要是通过云管理平台软件将资源层的资源聚合，各自

的服务层由资源层提供方维护。云服务层提供各种基于云计算的服务，

如弹性计算服务，自动化部署、虚拟机高可用、网络管理及安全等，

各委局可以根据需求选择适合的云服务来构建信息化项目运行基础

环境。

云管控层

云管控层包括中标人和各委局的资源准入、资源使用、资源监控、

资源统计和资源考核等，另外还包括服务合同、服务账单、服务处理

等功能。云管控层通过与云服务层的云管理平台软件进行对接，实现

对云服务层和资源层的资源进行调度和管理。

网络安全服务

网络安全服务对整个XX项目云平台的安全提供防护能力，保障

云平台上承载的XX项目业务系统所使用的网络和数据得到安全的运

行环境。

备份服务

备份服务对整个XX项目云平台本身及用户数据提供备份服务，

按照不同的备份级别和备份方式进行备份，保障在出现人为失误操作

或者业务系统发生故障时，能快速恢复应用数据及用户数据，降低业

务系统数据丢失的风险，提高XX项目云平台的可靠性。

33

3.4网络架构

XX项目云平台的网络包括现有的XX项目网、服务商承建的XX

项目网、XX市超级计算中心提供的面向XX项目服务的资源所构成的

XX项目网，这三者的网络连接结构如下所示：

德园小区机房连新路机房

8艺备份网络

82同络

包括。2茫(政务专网)

2芯(政务外同)

蕊(安全岛同)

2芯(备用闷)

北明软件提供

艺备份网络

8乙网络

包括。2芯(玫务专网)

℃(政务外同)

中国电信

北明款件2芯(安全岛同)

2芯(备用网)

中国电信提供

超算中心

我公司提供的机房连接到XX项目外网核心层，与现有XX项目网

络组成提供网络访问服务，每个节点使用8芯裸光纤和千兆网络进行

交叉互联，云平台后期升级到万兆光纤网络。

我公司提供的机房连接到XX市超算中心，与XX市超算中心分布

式存储组成同城异地灾备网络，节点使用8芯裸光纤和千兆网络进行

交叉互联，云平台后期升级到万兆光纤网络。

我公司或者XX市超级计算中心的虚拟机或者物理服务器，如果

需要访问互联网应用，都需要回到XX市XX项目核心网，再通过XX

项目核心交换机出口。服务商和XX市超级计算中心所建设的XX项目

34

云网络和其它网络进行物理隔离，并确保资源只能用于XX项目。

3.5部署架构

根据XX项目的网络安全分类和业务系统分类，结合云计算技术

的特点，总体规划出XX项目云平台的逻辑网络拓扑图如下：

西内

3.6管控架构

3.6.1审核实施方案

我公司在项目启动前提交详细服务计划，要求明确进度计划、交

付物等

35

3.6.2清晰服务目录

通过运维服务目录梳理，清晰的各服务商的服务范围和内容，清

晰的管理架构和岗位职责。

3.6.3明确服务级别协议

按运营商提交的服务级别承诺，监控各运营商服务完成情况。

3.6.4制定沟通计划

沟通方式

√口头沟通：单纯使用语言媒介的沟通，包括当面口头和远程电话

的沟通；

√报文沟通：使用电子文档为媒介的沟通，通常通过内部邮件的方

式发送；

√书面沟通：书面的纸质文档的沟通，通常需要关系人的手写签字；

项目报告

明确报告方式，如周报、月报等。

会议制度

规定月度例会、不定期沟通例会等。

36

3.6.5统一服务窗口

运营商提供7*24小时的客户服务电话和5*8小时的网上技术响

应服务处理窗口。

3.6.6统一运维流程

通过建设统一的服务流程体系，制定了相关的运维规范、运维服

务实现标准化、流程化、规范化，每个服务商在服务期间要按体系要

求执行，并接受管理方审计，对于偏离规范的行为，需要及时发现，

提示告警。这样从流程的每个环节上各服务商可以统一标准以及规范，

减少信息交流和沟通的障碍、提高服务效率。

服务流程内容不限于：资源准入、资源监管、资源配置、资源监

控、资源使用、服务协议与收费、客户服务、投诉处理等。

3.6.7规范服务管理标准

运营商提交热线服务规范、服务人员行为规范、服务语言规范化、

职业纪律要求、安全管理条例等。

3.6.8制定统一租赁标准

制定统一、公开、透明的收费标准，要求运营商在线上提供让各

委局单位可以根据自己需求情况订制相关服务的费用计算工具。

37

3.6.9重视灾备服务

重点考查运营商的备份/恢复能力，做好灾备预案，定期组织应

急演练。做到“事前有准备，应急有措施，行动有指导”。经过流程

化管理，增强预警预测能力、突发事件的响应和处理能力。

3.6.10服务结果可追溯、可审计

要求服务商定期提交服务记录，服务记录应记录申请时间、审批

时间、处理时间、用户满意度、服务计费期限等。

3.6.11实行绩效考核标准

通过实际绩效考核，真实反映服务交付与服务水平，找出服务的

不足，提高各委局单位的满意度(主要参照招标文件考核标准)。主

要工作包括完善绩效管理体系、绩效管理推动服务改进、通过绩效评

估提高团队服务能力、服务交付与合同合规性检查。

3.7服务流程

按照委局信息化项目建设需求及总体规划，建成的XX项目云平

台为委局提供机房服务、计算服务、存储服务、备份服务、安全服务、

网络服务、公共平台服务等七大云服务，用以支撑委局信息化项目的

建设，本方案的后续部分将详细描述这七大云服务的服务内容、服务

38

设计和管理边界。

委办局用户可以像购买电子商务商品一样租赁XX项目云平台中

的云服务，面向委办局用户主要的服务流程包括：云服务申请使用流

程、云服务申请使用(应急)流程、云区域申请使用流程、云平台测

评接入流程、云服务退出使用流程。

3.7.1云产品发布流程

云服务产品发布流程是指资格服务商在发布资源产品时，首先

需要定义服务产品，并申请发布到云管控平台中，产品经过审核后，

即等同于商品上架。

详细过程如下图所示：

单位

委局单

位查看产品清单

电子政产品发布备案

务中心产品发布审核

产品发布评审×

(15个工作日)

开始产品发有

资格

服务

商产品设计

提交产品发布申

请单

资源核实

是”

否

39

3.7.2云服务资源创建流程

云服务资源创建流程是指委局单位申请使用平台中的硬件、软件、

网络、机柜等资源后，XX项目中心进行审核，完成符合性审查后，

由服务商进行资源审核和创建资源。

详细过程如下图所示：

单位

委局单

拟服务合同

位签订服务合同完成服务合同

电子政

务中心委局资源使用申

退回工单请

审核、审批通过

创建(扩容)资|

资源核实

源

资格

服务

商资源是否满足测试是否通过

是否

否是

是否扩容满足一交付验收

是是

否否

3.7.3云服务应急资源创建流程

应急资源申请使用流程是指委局单位申请使用应急服务资源，每

个单位应急服务资源不超过委