柳州东城网络及云平台实施方案评审V2.0

网络及云平台实施方案北京时代凌宇科技有限公司2015.12.1目录一、需求分析二、实施解决方案三、施工计划四、工程验收五、培训计划六、风险控制一、需求分析——背景由九个职能部门、两家分公司、八家全资子公司、七家控股单位、五家参股机构构建的集团公司，面临提升提升经营管理水平，实现经营转变。成为在多元化产业实现稳定收益的综合型投资集团。由办公系统（OA系统）、项目管理系统、财务管理系统、安泰物业管理系统、博奥预算软件组成的信息化系统，面临缺乏信息共享和业务协同，缺乏统一的信息化标准及管控体系。当前机房属于临时性，在安全方面缺少相应的保障。双ISP接入，但网络结构陈旧老化严重。需求分析——总体目标(1) 建设一个安全可靠、功能完备、布局合理、可持续发展、设施先进，绿色环保、投资合理的现代化B级计算机中心机房，切实为IT设备提供一个安全、可靠的运行环境，同时为信息化工作人员提供方便、快捷、舒适的工作环境，并为管理人员提供安全、高效的管理手段。(2) 采用云计算技术，结合创新建设模式，搭建标准统一、功能完善、系统稳定、安全可靠、纵横互通、集中统一的云计算平台，为各部门信息资源共享、数据交换和系统办公提供良好的支撑。一、需求分析——总体要求一致性：一致、统一的物理环境和基础架构平台。合理性：运用虚拟化、云计算来达到性价比最优。集成性：搭建统一的智能化集成管理体系，避免信息孤岛。先进性：云平台采用先进成熟技术和设备，满足当前的需求，兼顾未来的业务需求。稳定性：采用标准化规范化设计，先进的设备和规范文档。安全性：按照国家信息安全的规定和要求，建立备份、容灾和防病毒体系。可扩展性：构建合理、适当超前，确保可变动和扩充。合规性、可审计：满足安全标准，符合审计要求。一、需求分析——信息化需求通过一套信息化管控体系，构筑三大基础平台，支撑六类应用，服务八大板块。未来需求本期建设内容一、需求分析——项目范围网络优化和改造——网络优化及配合服务；楼层综合布线改造云平台建设——虚拟化基础平台；云平台门户；运管机制和安全机制数据管理与备份——数据管理与备份恢复高可用数据库——sqlserver2012环境下的数据库集群一、需求分析——软硬件清单项目货物描述(名称及规格型号)数量说明一、云计算设备

1华为RH58853云计算节点2华为OceanStor58001存储二、数据节点设备

1华为CE128081核心交换机2华为S271010接入交换机3网神SecGate36002防火墙三、数据库及其他应用

1华为RH58852数据库2华为RH2288H2应用四、软件

1windowsserver2012r2标准版1

2sqlserver20121

3华为Fusionsphere1云平台软件4Simpana1备份软件二、实施解决方案——总体思路通过优化网络结构，提升网络可扩展性和稳定性；通过防火墙安全策略，提升系统架构的安全性和可靠性；通过服务器、存储和云平台软件构建私有云平台，满足业务应用系统的需求和未来业务的需求扩展；通过服务器、存储和数据库软件，构建高可用数据库系统；通过备份数据还原系统，构建容灾体系，确保数据和系统安全。二、实施解决方案——目录网络防火墙存储云平台数据库群集备份二、实施解决方案——网络制定统一标准的设备命名规则。建立IP规划体系，根据功能、类型、区域的不同划分不同的子网。分为管理地址，业务地址等，并可扩充。全网地址采用一个A类地址段（10.0.0.0/8），以后每增加一个单位则增加一个B类地址。根据部门职能、对象组等划分VLAN。不同VLAN间默认隔离，根据需求可后续调整访问规则。互联网接口设置策略路由，根据目标地址、源地址或者权重进行负载均衡，选择不同ISP线路。制定交换机端口上联下联连接规则。交换机互联端口采用Trunk模式，用户接入采用Acess模式。通过ACL限制TELNET和SNMP访问，采用Username进行访问控制，记录重要log日志，以提升安全性。所有设备由核心交换机提供的NTP服务进行授时。二、实施解决方案——网络拓扑网络拓扑图二、实施解决方案——网络规则细节命名规则、地址划分、VLAN划分、访问规则设备命名规则VLAN划分表二、实施解决方案——防火墙采用串联模式部署在核心交换机之前。开启多出口ISP路由智能选路功能。通过PPTP/L2TP/GRE/IPSec/SSL协议建立VPN服务。配置独立的管理口，实现管理与业务分离。管理员权限三权分立，配置管理、安全管理和审计管理由不同账户担任。启用基于应用层的综合攻击防护功能。启用与奇虎360公司的天擎系统、天眼系统进行联动功能，采用动态策略实现全网威胁拦截。开启奇虎360QVM引擎的病毒检测功能。配置会话限制功能，防止P2P流量和高并发攻击。根据用户需求开启内容和URL过滤，管控网络行为。二、实施解决方案——存储三业务接入：虚拟化平台、SQL数据库和业务扩展预留。一个硬盘域，三个存储层：高性能层SSD、性能层SAS、存储层NL_SAS。业务高性能层SSD性能层SAS存储层NL_SAS虚拟化平台√—√SQL数据库√√—业务预留√√√二、实施解决方案——存储虚拟化平台组网模式采用IPsan接入链路两两做LACP动态汇聚保证存储链路的带宽交换机到服务器采用主备bond保证链路可靠性二、实施解决方案——存储SQL数据库组网模式采用FC链路8条链路交叉直连存储A、B控制器，保证链路可靠性二、实施解决方案——云平台硬件资源：3台华为RH5885V3高性能服务器，1台华为OceanStor5800V3存储。软件资源：包括FusionComputer，FusionManager，HyperDP，S5800Tv3套件的FusionSphere。套件功能简介：名称功能描述FusionComputer云操作系统软件，主要负责硬件资源的虚拟化，以及对虚拟资源、业务资源、用户资源的集中管理。FusionManager云管理软件HyperDP提供数据保护，虚拟机备份S5800Tv3将虚拟化存储资源接入到FusionCompute，为平台提供基本的存储能力二、实施解决方案——云平台部署FusionComputer：作为管理节点，所在物理机也用于创建业务虚拟机，采用主备部署方式。Fusionmanager：现场虚拟化环境比较独立，节点数少，采用单数据中心模式，单节点部署。HyperDP：VM数量较少，采用备份管理节点单节点部署，无其他存储可选，使用FusionCompute平台提供的虚拟化存储作为备份集的存储介质。S5800Tv3：使用功能包括——存储基本功能，动态分级存储，不中断主机业务实现LUN之间迁移，异构存储和本地存储的数据迁移，确保数据安全的覆写所删除的LUN，精简LUN。二、实施解决方案——云平台资源池服务器名称所在主机所属VLAN管理平面IP浮动IP管理平面子网掩码GWsiteVRM01CNA0220410.0.0.10110.0.0.100255.255.255.0VRM02CNA0310.0.0.102255.255.255.0FusionManagerCNA0220410.0.0.103

255.255.255.0HyperDPCNA0320410.0.0.104

255.255.255.0机柜设备名称位置集群名称节点类型管理平面VLAN管理平面IP管理平面子网掩码BMCVLANBMCIPA3GW_A02_RH5885_01_CNA01A3-1ManagementCluster1CNA20410.0.3.1255.255.255.020310.0.2.1GW_A02_RH5885_02_CNA02A3-2ManagementCluster1MCNA（管理物理节点）20410.0.3.2255.255.255.020310.0.2.2GW_A02_RH5885_03_CNA03A3-3ManagementCluster1MCNA（管理物理节点）20410.0.3.3255.255.255.020310.0.2.3物理机规划管理虚拟机规划二、实施解决方案——云平台网络规则网络以安全隔离为主要目的，做到不同需求不同网络。分为：虚拟化管理平面、虚拟化业务平面、存储数据网络、BMC网络、存储管理网络、虚拟化san存储心跳平面等。网络间采取访问控制策略，初始状态提供最小的访问权限。二、实施解决方案——数据库群集采用两台数据库服务器和一台存储，配置SQLserver故障转移集群，实现故障自动转移。增加一台数据库，采用SQLServer2012的alwayson功能来实现数据库高可用性。二、实施解决方案——数据库群集高可用数据库群集节点一、节点二：承担数据库主体计算功能，用于生产数据，采用双机集群，实现自动故障转移。数据库：通过镜像功能，存储数据库副本，用于发生故障时的转移。也可配置为只读，承担备份的负载。存储：存储采用双控制器，多链路连接两台服务器，避免单点故障。主/辅域控制器：采用双机模式，SQLServer2012实现高可用的必备基础设施。二、实施解决方案——备份通过一套Simpana软件，一个管理界面，实现存储资源管理、物理机和虚拟机的备份恢复、重复数据删除、连续数据复制、全文检索、归档和合规管理等数据管理功能。实现对SQLServer的高速可靠的备份和恢复。二、实施解决方案——备份报告策略每天上班前发送一封过去24小时内的作业摘要报告以查看昨天的备份情况每天上班前发送一封过去24小时内的管理作业报告以查看昨天的辅助拷贝，DR备份等管理作业的运行情况每天上班前发送一封过去24小时内的主要的和严重的事件报告以查看昨天是否有错误发生每天下班前发送一封就绪检查报告以确认当天晚上的备份能够正常发起每天下班前发送一封存储信息报告以确认当天晚上的备份资源充足每周末发送一封CommCell增长报告以统计CommCell的增长趋势每周末发送一份介质预测报告以预测未来的介质使用情况以早做准备二、实施解决方案——备份系统管理对归档操作自动记录和保存，并按条件提供审计进行事后审计。定制报警功能，当错误发生的时候，发出错误警报。监控整个系统运行的状态，根据阀值报警。与AD域账户集成，实现全方位权限管理。二、实施解决方案——备份策略备份内容备份方式备份策略SQLServer全备份每周二AM0:30差异备份每天AM0:30日志备份每小时服务器/虚拟机全备份每周日AM2:00增量备份每天AM3:00异地备份每周三AM0:30三、施工组织计划工程概述：定义工程背景和工程范围工程范围界定：时代凌宇负责方案设计、调试；用户配合提供标准和要求。实施团队：组建一个时代凌宇总负责，各设备厂商配合的实施团队。实施进度计划：计划30天内完成实施组织计划：明确各子项工作内容和责任人四、工程验收计划《系统集成测试报告》《项目竣工文档》《初验证书》《系统试运行报告》《终验证书》五、培训计划培训内容：系统原理、功能、故障排除等培训对象：管理人员、使用者、技术工程师培训课程：集中培训和现场培训培训时间：双方商定培训地点与条件：双方商定师资力量：具有多年工程和设计经验，技术精通的，具有产品认证的培训师培训方案：分为现场培训和集中培训六、风险分析及应对措施序号风险内容可能性规避措施1技术方案存在风险低详细论证方案可行性，争取有多种变通方法；预先进行测试；了解客户方情况的具体细节，在方案中进行考虑；2各接口方人员配合不好中在设计联或会上明确项目组成员，成