省级电子政务云平台-整体方案建议书（XX省）-3

省级电子政务云平台整体方案第三部分目录第1章政务云项目背景及需求分析 运维管理监控平台建设方案系统总体架构IT架构面临的问题1）传统IT面临的困境 近几年云计算在全球范围内得到了迅猛的发展，IT基础架构平台的规模和复杂程度出现了大幅度的提升，与此同时，很多政府单位的数据中心却因为这种提升而面临着新的困境。高昂的成本支出和管理运营成本。数据中心内的服务器数量、网络复杂程度以及存储容量急剧增长，随之带来的是高昂的硬件成本支出以及运营成本支出（包括电力、制冷、占地空间、管理人员等）。缓慢的业务部署速度。新的服务器、存储设备和网络设备的部署周期较长，整个过程包括硬件选型、采购、上架安装、操作系统安装、应用软件安装、网络配置等。一般情况下，这个过程需要的工作量在20～40小时，交付周期为4～6周。分散的管理策略。数据中心内的IT基础设施处于分散的管理状态，管理员遵循“根据最坏情况下的工作负载来确定所有服务器的配置”这一策略导致服务器的配置普遍过高，容易出现大量“只安装一个应用程序”而未得到充分利用的x86服务器，同时缺少统一的集中化IT构建策略，无法对数据中心内的基础设施进行监控、管理、报告和远程访问。2）虚拟化后的迷茫期为了解决集中的大规模IT基础设施资源利用率不足的问题，从计算虚拟化、存储虚拟化，到网络虚拟化、L4-L7层服务虚拟化，以降低成本、提升IT运行灵活性、提升资源利用率为目标的各类虚拟化技术开始在政府数据中心中进行部署。通过虚拟化技术，一方面可以提高硬件效率，另一方面也大幅提高服务器上线效率，服务器上线所需的时间从原来的以周或月为单位减少到现在的以小时或分钟为单位，大大改善了政府的业务应变能力。虚拟化技术的普及，改善了政府IT建设面临的成本支出和业务部署速度问题，同时也提高了设备利用率。但新技术的引入同时也带来了新问题和新需求。图虚拟化后新问题在虚拟化前，每个业务系统具有独立的IT资源，虚拟化后，多个系统共享IT资源池，这样就会导致资源边界不明确，从而导致以下新问题：随着虚拟化技术的大量应用，逻辑设备的数量增加，同时也带来了配置管理的工作压力，手动配置每一个虚拟设备并上线成为了管理员的噩梦，自动化需求应运而生；应用管理员关注应用的部署，安全管理员关注安全策略的实施，而如何将应用和安全策略部署到IT基础架构，如何实现部署过程的便捷化，实现系统协同和资源整合，成为提升IT运行效率的关键。图如何满足云计算模式下的应用部署当前的现实是，网络管理、存储管理、计算管理是割裂的三大系统，导致所有的应用和安全策略部署，不得不面临多系统的协同配合，以及大量的人工操作。如何实现应用在IT系统（服务器、存储、网络、终端系统）的协同部署，智能化的自动化部署，实现更加高效，便捷的新IT架构，是摆在政务云中心面前最直接的问题。云管理平台架构新思考1）政府IT基础架构演进资源虚拟化、资源池化等技术的快速普及，使得IT基础架构资源的供给方式开始发生变化，以跨越异构、动态流转的资源池为基础提供给政府云中心可自治的服务方式逐渐成为新的趋势，IT基础架构开始实现资源的按需分配、按量计费。如下图所示，按需服务的新型服务模式导致资源规模化、集中化，让政务专有云的建设和运维统一集中到区政府云中心，各委办局单位更加关注于自己的业务和资源需求，从而提高了政务云平台建设的效率和弹性，让政府IT系统帮助和促进政府IT服务的转型，让政府信息中心成为一个价值部门，而不是永远停留在IT维护部门的角色。图资源按需交付在这种按需服务的建设思路下，各委办局数据中心都会逐渐统一在政务云中心部门下，实现政府IT建设的资源集中化、规模化，能够实现对各类异构软硬件基础资源的兼容，还能够实现资源的动态流转，支持异构资源和实现资源的动态流转，可以更好的利用资源，降低政府云计算基础设施建设成本。各委办局单位无需自建基础系统，可以更加专注于自己的业务，委办局用户可按需获取基础设施资源，通过云中心的自服务门户，按需申请，按使用量付费和结算。2）自动化所面临的挑战基础架构资源的整合，对计算、存储、网络的自动化和资源整合提出了新的挑战，并带动了一系列技术、架构、商业模式的变革。传统模式下，服务器、网络和存储是基于物理设备连接的，因此，针对服务器、存储的访问控制、QoS带宽、流量监控等策略基于物理端口进行部署，管理界面清晰，并且设备及其对应的策略是静态、固定的。在虚拟化的基础架构中，服务器、网络、存储等都采用了虚拟化技术，形成了资源池的概念和形态。所谓资源池（ResourcePool），是一组可重用资源的集合，提供对外共享的资源服务，同时提供对于共享资源的管理机制，在集合（资源池）中的资源可回收再分配，如下图所示。计算、网络、存储资源均实现可动态分配、回收、配置，在不牺牲效率、设备利用率和扩展性的前提下，降低了资本支出（CAPEX）和运营支出（OPEX），提高了运行效率。图虚拟化技术构建资源池构建资源池的关键在于需要解决以下两个问题：虚拟资源的组成单位是什么，按照什么粒度来分配，是否可回收再分配？虚拟资源和物理资源的映射关系是什么，如何从物理资源上创建虚拟资源？计算虚拟资源的最小粒度是以虚拟机为分配单元，存储虚拟资源的最小粒度是以存储空间或者虚拟卷为分配单元。而网络虚拟化的情况则最复杂，虚拟网络资源的最小粒度仅仅依靠虚拟网络设备是不够的，还需要解决虚拟网络路径的分配问题，这就意味着网络虚拟化需要同时处理设备虚拟化和路径虚拟化，将计算资源、存储资源、用户连接在一起的同时保障路径的隔离、独立和连通性，这是一个艰巨的任务。图网络虚拟化挑战一：网络自动化，完成网络的虚拟化、实现自动化的网络路径连通性。只有网络能够充分感知到计算资源池、存储资源池和用户访问的动态变化，才能进行动态响应，为新创建的计算资源、存储资源提供即时的网络接入，同时保障网络的路径连通性和网络策略的一致性，让用户能够即时的访问到计算、存储资源。为了解决网络虚拟化之后的自动化问题，网络控制器必不可少。如果没有这个集中控制点，管理员就需要通过人工干预和手工配置虚拟网络老适应计算存储资源的变化，会大大降低云计算平台的灵活性、可扩展性。作为网络资源池的唯一控制点，网络控制器需要实现网络虚拟化，通过网络分片实现网络的纵向隔离和虚拟化，通过网络节点虚拟化，自动为接入网络的计算资源、存储资源、用户提供接入策略、接入控制等服务，同时提供网络动态调整的能力，满足动态的网络容量规划要求。由于在基础架构层面实现网络、计算、存储、终端等资源相互联动的可行性很低，必须在虚拟控制层面打通，这就要求计算控制器、网络控制器、存储控制器之间能够进行有机的融合，形成一个统一的融合控制器。图自动化需要控制器挑战二：跨领域的资源管理和业务统一编排，实现计算、存储、网络资源的整合，形成一个有机的、可灵活调度和扩展的资源池，面向应用实现自动化的部署、监控、管理和运维。而当前的现实是，网络管理、存储管理、计算管理是割裂的三大系统，应用管理员关注应用的部署，安全管理员关注安全策略的实施，所有的应用和安全策略部署，不得不面临多系统的协同配合，以及大量的人工操作。如何将应用和安全策略部署到IT基础架构，如何实现部署过程的便捷化，成为提升政务云平台运行效率的关键。应用的部署不再仅仅限于单个领域资源的申请和使用，而是会跨越多个领域，使用计算、存储、网络、安全、LB、DNS等各个领域的资源，通过引入跨领域的统一资源管理，能够更有效的利用资源，更快速的响应。图跨领域的资源管理跨领域的资源管理解决的是资源的综合利用和资源统一管理问题，势必涉及到资源生命周期管理，包括资源申请、分配、回收、监控等，需要全新的交付模式和交付手段，自服务门户会逐渐成为虚拟资源管理的主要形式。图自助服务门户云管理平台总体架构云管理监控平台系统是XX省省级政务云服务平台的技术支撑系统。该系统为平台运营人员、运维人员、用户提供对应的操作界面和操作系统，提供运行服务、运行维护和运行保障服务提供支撑服务。系统总体架构如下：运营管理运营管理运维管理服务自助管理（申请试用,云监控、云资源容量管理等）DC报表全局搜索VDC运维健康诊断告警/日志分析多资源池调度

和全局模版/映像共享VDC资源服务编排服务管理（服务定义/目录/请求/业务审批流程）绩效评估质量管理资源使用监控运营管理员门户运维管理员门户拓扑导航实时监控施工管理性能管理资产资源对象维护软件测试平台管理资源生命周期管理服务计量管理告警管理服务层资源层虚拟资源管理计算虚拟化存储虚拟化网络虚拟化PortaleSight服务器管理存储管理网络管理监物理资源管理FusionComputerVRMCNA基础OM用户管理计量模板和镜像FusionManager中间件和应用管理机房设施OpenStackNovaNova-driverCinderCider-driverNeutronNeutronplugin云平台统一门户设计运管平台可以与本项目相关的信息系统进行集成，调用其它信息系统的功能或为其他信息系统提供必要的数据，实现业务流程的端到端配合和自动化。系统开发集成接口系统对外接口北向：提供标准的服务和运维北向接口和周边运营运维系统对接南向：通过设备Driver和OpenStack/资源池适配包兼容管理各异构设备和资源池东西向：提供同4A，短信/邮件网关，ITSM系统的对接能力。系统同ITSM系统告警对接方案告警转工单方案告警管理告警管理匹配规则？生成事件事件管理流程事件是否其它处理告警事件关闭告警处理告警清除3rdITSMWebAPIWebAPI转工单规则现有ITIL/CMDB系统定制化集成可与客户现有ITIL/CMDB系统定制化集成，构筑以ITSM流程为中心的运维。 支持按多个维度（设备、位置、客户、告警级别等）设置告警故障自动工单规则 支持按根据策略自动创建告警故障工单 支持处理告警时手工创建告警故障工单 事件关闭时，自动清除关联的告警（可选）支持SSO集成 基于标准的CASSSOServer提供了完整的单点登录集成方案，支持CASSSOClient的第三方软件统可以单点登录集成。 各个部件也可以作为CASSSOClient集成到第三方的CASSSOServer和LDAPServer中。 运维管理监控平台默认支持CASSSOServer、微软ADServer;和其他的第三方SSOServer、LDAPServer集成需要定制才能满足。运维管理监控平台作为SSOServerOperationCenterOperationCenterFusionManagerCASSSOServer用户管理3rdsystem集中开户RestAPIServiceCenterCASSSOClientCASSSOClientCASSSOClientSSOLDAPAPI第三方SSOServer方案OperationCenterOperationCenterFusionManager3rdCASSSOServer用户管理SSOLDAPAPIServiceCenterCASSSOClientCASSSOClient3rdLDAPServerCASSSOClientLDAP集中开户RestAPIAPI接口运维管理监控平台提供的接口运维管理监控平台对外提供的API接口如下所示。运维管理监控平台的API接口对象协议能力ServiceCenter<->第三方运营系统-第三方运营系统通过调用此接口进行服务管理、业务发放。OperationCenter<->第三方网管SNMP/SFTPOperationCenter将告警数据通过SNMP协议上报給第三方网管系统。OperationCenter将性能数据通过SFTP协议上报給第三方网管系统。OperationCenter<->第三方监控系统非特定OperationCenter根据项目需求定制对接集成第三方监控系统，汇聚告警、性能、监控数据。定制化能力运维管理监控平台的定制化能力包括四个方面：界面定制、流程定制、信息模型定制、接口定制。界面定制界面定制是指根据项目需要，定制界面的呈现，包括呈现的内容、布局、色彩等。 OperationCenter− 支持通过界面配置实现Logo、首页Portal、大屏显示、系统主题等的定制。− 支持通过界面配置和二次开发实现物理位置、告警或资源查询、告警或资源显示参数、性能指标参数、拓扑关系、报表任务等的定制。 ServiceCenter− 支持通过二次开发实现租户首页定制。− 支持通过界面配置实现Logo定制。流程定制流程定制，是指定制软件界面上执行的流程。运维管理监控平台中的ServiceCenter提供了服务流程编排工具，可根据客户需求定制相应的服务流程。信息模型定制为了适应不同客户的需求，运维管理监控平台解决方案针对可管理的资源模型提供定制能力。定制资源模型后，运维管理监控平台数据库中将按照用户定义的数据模型来规整和保存资源信息。接口定制接口定制是指对运维管理监控平台的南向接口和北向接口的能力进行定制。 南向接口− OperationCenter系统支持扩展南向对接系统，从而从对接系统中采集资源信息、告警信息。 北向接口− OperationCenter系统支撑扩展北向接口协议类型或者在现有协议基础上扩展业务接口，从而可将资源信息、告警信息同步到第三方系统中。− ServiceCenter支持第三方运营系统通过北向接口定制实现服务管理。 其他接口− 扩展支持第三方ITSM系统。− 扩展支持对接第三方数据库系统。− 定制MODB系统，以适配第三方系统的要求。− 定制对接不同的邮件服务器和短消息服务器类型。云运营管理系统设计总体架构云服务运营模块整体架构如下图所示。云服务管理整体架构云服务运营模块整体上分为门户层、服务运营层、资源服务层。门户层承担与用户、管理员交互的能力，主要功能包括：用户门户：服务申请、资源自助维护、资源释放管理门户：服务目录、服务定义、订单管理、用户管理服务层则基于资源层提供的资源，进行灵活的定制封装，通过服务编排能力，以服务目录的形式呈献给最终用户使用。主要功能包括：服务目录服务定义用户管理服务目录管理计量管理资源层承担全局资源管理的功能，将用户的资源申请经过资源调度转换为对本地资源管理子系统的资源部署请求，支持对多个数据中心的多个不同类型资源池进行统一管理的能力，统一分配和调度位于不同数据中心的资源池中的资源，并且根据业务特性、灾备等级等需求，对资源池进行分级、分区的管理。主要功能提供：集中的模板、镜像管理资源调度策略管理多资源池管理资源监控管理资源容量管理资源负载管理运营服务门户运营服务门户通过WEB界面向用户提供运营管理的各项功能：容量管理：提供容量管理的功能，如计算、存储、网络资源等的容量监控。 租户管理：提供租户管理的功能，如租户的申请、审批等。 资源池管理：提供资源池管理的功能。包括资源池中的集群管理（如查看集群、监控集群的性能、设置集群中的资源调度策略等）、多资源池管理（如接入新的资源池、将多个资源池组合成共享资源池提供给租户使用）。租户自助功能：向厅局委办客户提供自助申请、维护和管理虚拟数据中心、VPC、虚拟机、物理机、云存储等功能。应用管理功能：提供模板编排的功能。第三方开发人员可以根据需要，使用模板编排工具来定制服务目录结构。 模板&镜像：提供模板和镜像的存储和管理功能。 权限管理：提供系统基于角色的权限控制功能，包括用户管理、角色管理、角色授权、登录认证、鉴权等功能。服务质量和绩效管理：向政务云管理方提供服务质量和绩效的管理功能权限管理在云服运营模块将用户分为管理侧用户和用户侧用户，其中管理侧有全局业务管理员角色，用户侧用户包含VDC管理员和业务用户两类角色，角色模型如下。资资源池VDCVDCVDCVMVMVMVMVMVM全局业务管理员VDC业务管理员业务用户1、申请StorageNetworkComputeOpenstack/FusionManager申请流程资源池运营用户角色和角色间关系各角色的权限定义如下：1、全局业务管理员具有如下权限：- 资源池管理：资源池接入、资源池容量监控，全局已发放资源查询。- VDC管理：包括创建VDC、指定VDC管理员和VDC申请的审批。- 全局服务目录管理：包括服务目录定义和权限设置。- 全局应用模板管理：全局应用模板的定义、发布和更新- 全局模板和软件包管理：包括软件包、脚本和VM模板- 全局用户角色管理：权限、用户、角色管理、安全策略、操作日志管理。2、业务用户具有如下权限：- 服务生命周期自管理：云主机、云磁盘、物理机、弹性IP、应用等的申请、变更、延期、释放。- 服务资源维护：包括已申请资源查询和操作，如云主机的上下电、将云磁盘挂载到云主机等。- 申请单管理：查询我的申请单。- 操作日志管理：查询我的操作日志。3、VDC业务管理员除了具有业务用户的权限外，还具有如下权限：- VDC管理：包括VDC申请、扩容、监控、释放、查看VDC内所有用户的操作日志、在VDC中创建资源并授权给VDC内的用户使用。- VDC用户管理：包括业务用户创建、查询、修改、删除和分配权限。- VPC规划：包括创建VPC、网络、安全组、VPN等。- VDC服务目录管理：包括服务目录定义和权限设置。- VDC应用模板管理：包括应用模板的定义、发布和更新。- VDC软件包和模板管理：包括虚拟机模板、软件包和脚本管理。- VDC申请单管理：审批来自业务用户的服务申请和查询整个VDC的申请单。4、整个系统支持分权分域功能： 分权：基于上述的角色对用户进行授权 分域：VDC间通过VDC完全隔离，VDC内各用户只拥有自己申请或者VDC管理员授权给他的资源权限。资源池规划资源池规划包括资源池的规划，资源池内可用分区的规划和资源SLA能力规划。资源池规划资源池规划考虑因素包括地理位置，应用类型，虚拟化类型，资源类型和演进扩容等来划分：1、 地理位置：可以基于DC，站点或者分支结构等纬度划分不同的资源池2、 应用类型：根据应用的需要，基于SLA能力要求划分不同的资源池，如按照企业核心业务应用和一般应用等划分不同的资源池3、 虚拟化类型：根据使用的不同的虚拟化系统划分不同的资源池，或者将虚拟化和非虚拟化资源划分为不同的资源池。4、 资源类型：根据设备型号，厂商，性能等划分不同的资源池5、 演进扩容：可以将现有的资源聚集为一个资源池，采用新技术扩容的资源作为新的资源池。每个资源池下包括一个或多个可用分区，每个可用分区下可以包括一个和多个集群，它们之间的关系如下图：资源池&可用分区&集群关系可用分区的规划可用分区是资源池内最大的逻辑资源组合单元，这些逻资源具有可靠性和工程方面的两方面共同特征。从可靠性方面，这组资源共享了可靠性故障点，比如共享相同的电源供应，磁阵，交换机，用户如果要实现超越AZ的可靠性，就需要把更高可靠性要求的冗余资源部署到不同的AZ。从工程方面，AvailableZone中的计算、存储、网络资源是全互通的，用户可以将在AvailableZone内不受限制地绑定虚拟机与磁盘、网络的关系，但这种绑定关系不支持跨AvailableZone。可用分区规划一般考虑以下因素：1、 基于可靠性、工程互联：根据应用可靠性保证的需要划分多个可用分区，将一个计算，存储网络全互联的区域划分为一个可用区。2、 基于2层网络范围：可以将一个汇聚交换机所在的2层网络空间范围做为一个可用分区3、 基于资源SLA能力：将不同SLA能力的资源定义为不同的可用分区。资源SLA能力规划一个可用分区可以包含多种SLA等级的集群（或HostAggregate）、存储池，租户申请云主机、云磁盘时可以指定SLA等级，例如可用分区下可以包含不同RAID级别（RAID2,RAID5,RAID10）的存储池，租户可以申请指定RAID级别的磁盘。常见SLA标签如下：SLA标签定义类型参考表SLA标签类型选项存储RAID等级RAID0RAID2RAID5RAID10存储介质SSDSASSATA存储I/O能力高、中、低计算等级GPU增强性CPU增强性标准型集群可靠性等级HA不支持HA设备类型HP、Huawei、RH2288、RH5885虚拟化类型VRM，VMware，XenServer系统支持基于存储池和集群由管理员自定义标签，支持对同一个资源定义多个标签。整个系统基于标签的调度方案如下：基于标签的SLA全局调度方案虚拟数据中心（VDC）VDC是对组织/租户/项目所使用的虚拟资源的封装和边界定义，特指分配给组织的虚拟资源的集合对象，一般包括计算、存储和网络资源。组织VDC在形式和内容上类似于一个物理数据中心，是物理数据中心在虚拟化层的形式表现。VDC规划VDC一般根据租户、组织、部门或者项目进行划分。部门或组织可以通过申请虚拟数据中心一次性获得批量计算、存储和网络资源配额，在资源配额下限，VDC管理员可以自由支配计算、存储和网络资源。一个完整VDC如下图所示包括配额、用户、资源、服务目录、网络、模板。VDCVDC模型配额：配额用于限制VDC能够使用最大资源上限，由VDC管理员向全局业务管理员申请VDC时获得。用户：VDC下包含两种角色用户（VDC管理员和业务用户），VDC管理员负责VDC下的用户管理。VPC：虚拟个人云，是一个逻辑隔离的网络环境，包括网络、安全组、ACL、VPN等子功能。服务目录：服务目录显示VDC用户可以申请的服务列表，VDC管理员可以结合部门、组织特殊需求，自定义VDC服务目录。资源：用户申请的服务资源，包括云主机、云磁盘、应用等，用户可以对资源进行维护和监控。模板：包括应用模板和虚拟机模板，VDC用户除了可以使用全局模板，也可以创建VDC私有应用模板和虚拟机模板。VDC两层服务目录VDC用户看到的VDC服务目录是由全局服务目录和VDC内管理员定义的服务目录的并集，如下面示例：两层服务目录××VDC服务目录××VDC服务目录云主机VDC云磁盘弹性IP编译环境全局服务目录云主机VDC云磁盘弹性IPVDC自定义服务VDC业务发放VDC自身发放有两种发放方案：由全局业务管理员创建，指定VDC业务管理员负责VDC的管理。由VDC业务管理员通过服务目录自助申请。VDC内服务自助发放：用户自服务流程如下图所示用户自助服务流程服务目录服务目录申请流程Openstack/FusionManagerComputeNetworkStorage1、申请1、用户浏览服务目录，选择服务提交申请。2、触发申请流程2、执行服务申请流程，自动生成服务申请单。3、审批3、业务管理员收到待审批申请单后，批准用户的服务申请。4、发放发放发放4、调用资源池的计算、存储、网络API进行资源发放。5、通知5、通知用户服务申请结果。云主机VDC云磁盘弹性IP编译环境VDC自运维VDC用户和管理员可以从租户Portal完成对VDC内资源的监控和管理，系统支持的自运维能力如下：VDC自运维能力资源类型监控和管理功能云主机上/下电、重启、休眠VNC登录云主机转模板快照备份、恢复监控云主机CPU、内存、磁盘I/O监控部署在云主机之上的应用进程云磁盘云磁盘挂载到云主机云主机上卸载监控容量、状态弹性IP弹性IP绑定到云主机或负载均衡器从云主机、负载均衡器解绑定应用启动、停止查看应用拓扑查看部署报告VDC计量管理员和租户之间按VDC资源使用量进行业务结算。租户在服务目录中申请、修改、删除服务时，系统打点记录资源的消耗量，导出原始计量数据。计量原理如下图所示：基于预置原子的流程设计全新业务流程设计应用管理SC提供图形化应用模板编排、一键式应用部署、应用监控以及基于监控指标的应用弹性伸缩功能。应用模板编排支持管理员通过图形化应用模板编辑器编排多层复杂应用，经过测试后的应用模板可以发布服务目录。应用模板是将虚拟机模板、软件包、伸缩组、脚本资源，按照特定的关系有机结合，使用应用模板能够快速部署应用实例。管理员在应用模板编辑时将软件包和脚本拖放到VM模板中，在应用部署过程中的VM创建过程中，系统会自动上传并执行该脚本。应用设计示例应用部署通过应用模板可以一键式部署多节点复杂应用；部署时，系统自动创建云主机、安装操作系统、安装应用软件、配额虚拟网络、配置应用弹性伸缩策略。应用申请部署流程通过应用模板一键式部署应用，支持自动执行以下动作：1. 创建云主机。2. 配置云主机存储。3. 配置云主机网络。4. 给云主机安装软件包。5. 给云主机执行初始脚本。6. 自动创建伸缩组，将云主机加入到伸缩组。7. 创建负载均衡器，将云主机加入到伸缩组应用监控应用在创建成功后，在整个生命周期中，用户要一直对应用进行日常维护，以保证应用提供服务的稳定性。应用监控就是对应用进程和应用所在云主机的监控，以便租户能够及时掌握业务异常信息，及时对异常进行处理，保证业务的正常运行。当对应用所在云主机监控时，不需要安装代理程序，可以搜集云主机的CPU、内存、磁盘I/O、网络I/O信息。当对应用进程进行监控时，需要部署了在云主机上部署HypericHQ客户端。具体应用监控方案如下图：应用监控方案应用进程监控当前缺省支持以下能力，新的能力需要定制化开发相关插件支持应用监控支持缺省支持的对象列表序号对象分类对象1操作系统AIX、HP/UX、Solaris、Linux、Windows、MacOSX、FreeBSDx2应用服务器BEAWebLogic、IBMWebSphere、JBoss、Apache、MacromediaColdFusion、MacromediaJRun、Microsoft.NetRuntime、Tomcat、Glassfish、CauchoResin3消息中间件RabitMQ、WeblogicMQ、4微软产品MSExchange、MSActiveDirectory、Microsoft.Net5网络管理Alfresco、Bind、MemCached、Nagios、NTP6应用平台LAMP、J2EE7Web服务器Apache、MicrosoftIIS、SunONEWebServer8数据库IBMDB2、MicrosoftSQLServer、MySQL、Oracle、PostgreSQL、Sybase9虚拟产品XenSource10邮件服务器Postfix11集成应用ColdFusion、Alfresco监控的对象KPI指标主要是进程事务处理相关的统计指标，具体见对应的插件的KPI信息。弹性伸缩可以通过对应用设置不同的资源使用策略，以达到应用自动伸缩的目的。设置了自动伸缩策略后，系统会自动根据资源策略和应用的资源占用率对应用进行动态伸缩（例如，增加或减少该应用的云主机），使应用达到最佳资源占有状态。自动伸缩策略包含组内自动伸缩策略和计划任务。 组内自动伸缩策略组内自动伸缩策略是针对一个应用而言的。当某个应用的CPU、内存资源的占用率较高，或者磁盘写入/读取速度、网络流入/流出速度较高时，系统可以自动为该应用添加云主机，并自动安装云主机的应用软件，以降低应用的整体资源负载，使应用能够健康的运行。同时，当应用的资源占用率很低时，系统可以自动减少该应用所使用的云主机，释放相应的资源，以达到应用间资源的有效复用和节能减排的目的。 计划任务计划任务是针对伸缩组而言的。时间计划策略允许用户对于不同的应用实现资源的分时复用。用户可以设置计划策略，使得不同的应用分时段的使用系统资源。例如，白天让办公用户的云主机使用系统资源，晚上分配资源给公共云主机。系统支持的计划任务能力如下：系统计划任务能力表参数名称含义启动时间策略启动的绝对时间停止时间策略停止的绝对时间执行方式执行一次，多次执行，周期执行执行次数在设置为多次执行时生效周期设置为周期执行时生效，支持设置天、周任务ID需定时指定的任务ID运维服务评价考核管理平台平台架构云管理平台云管理平台ITSM管理平台服务能力评价管理服务过程评价管理运维服务评价考核平台架构质量绩效管理门户运维管理监控平台统一管理门户运维服务评价考核管理平台分为三个部分：质量绩效管理门户、服务能力评价管理、服务过程评价管理。评价指标管理服务能力评价指标服务能力评价指标是指衡量云服务的静态指标，主要是对企业资质、运维服务综合能力、运维服务管理制度、运维服务支撑工具、服务人员和知识管理等监管要素进行评价。评价指标包括：.国际行业认证、国际产品认证、国家行业认证、国家产品认证、其他资质认证、企业注册资金、企业年度总营业额、企业员工总数、从事运维服务年限、年度运维服务营业额、年度运维服务营业额比例、年度运维服务项目数、单个运维服务项目合同金额、服务管理规范与制度、云服务管理的支撑工具、运维服务人员数量、运维服务人员占公司员工比例、不同级别的人员数量、不同服务内容类别的人员数量、一定任职年限的服务人员数量、年度运维服务人员流失率、国际行业认证服务人员数量、国际产品认证服务人员数量、国家行业认证服务人员数量、国家产品认证服务人员数量、其他资质认证服务人员数量、运维知识数量、知识的被使用次数。服务过程评价指标云服务过程评价指标是指衡量云服务的动态指标，主要是对事件管理、问题管理、变更管理、合作伙伴管理、客户满意度管理、客户投诉管理、值班管理、作业计划管理、应急预案管理和培训管理等监管要素进行评价。评价指标包括：事件数量分布、平均每位服务人员事件数量、事件关闭率、一线事件关闭率、非现场事件关闭率、现场事件一次关闭率、事件按期关闭率、事件延期关闭率、事件平均关闭时间、现场事件平均关闭时间、由事件导致的变更数量、问题数量分布、主动性问题所占比率、已知错误所占比率、永久性修复率、临时性修复率、问题关闭率、问题平均解决时间、变更数量分布、标准变更比率、非标准变更比率、紧急变更所占比率、引发变更的事件数量、引发变更的问题数量、合作伙伴事件平均关闭时间、合作伙伴事件关闭率、服务满意度、客户投诉数量、值班的人次数合计、值班的时间合计、作业计划数量、作业计划完成率、应急预案数量、用户培训的累计次数、用户培训的总时间运维服务评价指标管理任务级评价指标任务级的运维服务评价指标以事件为单位，对应于云服务事件。指标包括：事件数量分布、事件关闭率、一线事件关闭率、非现场事件关闭率、现场事件一次关闭率、事件按期关闭率、事件延期关闭率、事件平均关闭时间、现场事件平均关闭时间、由事件导致的变更数量、合作伙伴事件平均关闭时间、合作伙伴事件关闭率、服务满意度项目级评价指标项目级评价指标以云服务项目为单位，对应于该云服务项目相关的多个云服务事件。指标包括：单个运维服务项目合同金额、事件数量分布、事件关闭率、一线事件关闭率、非现场事件关闭率、现场事件一次关闭率、事件按期关闭率、事件延期关闭率、事件平均关闭时间、现场事件平均关闭时间、由事件导致的变更数量、问题数量分布、已知错误所占比率、永久性修复率、临时性修复率、问题关闭率、问题平均解决时间、变更数量分布、标准变更比率、非标准变更比率、紧急变更所占比率、引发变更的事件数量、引发变更的问题数量、合作伙伴事件平均关闭时间、合作伙伴事件关闭率、服务满意度、客户投诉数量、值班的人次数合计、值班的时间合计、作业计划数量、作业计划完成率、应急预案数量、用户培训的累计次数、用户培训的总时间。服务受理与交付服务SC提供完整的服务生命周期管理，将资源池下计算、存储、网络资源以服务的形式提供给用户，用户可以从服务目录上申请，对于已经申请的服务，用户可以使用、维护、变更、释放。VDC业务管理员和全局业务管理可以定义服务、管理服务目录、审批用户提交的服务申请。下面是部分服务生命周期管理流程。服务管理整体流程服务定义与发布ServiceCenter预置了开箱即用服务，包括VDC、云主机、云磁盘、物理机等服务，这些预置服务向用户开放所有的服务参数，用户在申请服务时可以选择或输入服务参数，完全由用户自定义所要的服务。例如通过预置服务申请云主机时，用户选择云主机的硬件规格、操作系统版本，配置云主机的网络。除了预置服务，全局业务管理员或VDC业务管理员可以根据企业、部门情况，自定义服务目录。例如，全局业务管理员可以定义“标准测试Linux主机”服务，此服务已经固定使用了哪种操作系统类型、硬件规格，甚至云主机所使用的网络、IP地址也是由管理员决定的，用户申请“标准测试Linux主机”时只能输入数量、申请时长，不能由用户决定安装哪种操作系统类型，选择哪种硬件规格。全局业务管理员或VDC业务管理员在服务定义时，可定义项目包括：1. 服务名称、描述、图标。2. 用户申请服务时可输入哪些服务参数。（例如可以在定义服务时开放云主机规格由用户申请云主机服务时用户自己输入）。3. 管理员审批时可以配置哪些服务参数。（例如管理员收到云主机申请后，可以给云主机配置一个静态IP）4. 锁定某些服务参数，锁定的服务参数在用户申请服务时没有权限配置。（例如定义云主机服务指定操作系统类型为Win7）。5. 配置服务的审批策略：需要审批、不需要审批。服务申请用户可在自助务门户的服务目录中查看到管理员预定义的各类服务，并根据自己的业务需要选择相应的服务提交申请。申请时可以指定服务的规格参数和使用期限；各预置服务申请功能列表：预置服务功能列表服务申请功能云主机用户可以指定地域、可用分区、操作系统类型、硬件规格、云主机所在网络，云主机个数。云磁盘用户可以指定地域、可用分区、硬件规格、存储类型、云磁盘个数。VDC用户可指定配额（CPU核数、内存、存储、弹性IP个数、VPC个数、安全组个数、虚拟机个数）、VDC可使用哪些资源池。弹性IP用户可以指定地域、VPC、弹性IP个数，当前采用硬件路由器时，可以指定规格、公网IP池。物理机用户可以指定地域、可用分区、型号、操作系统、物理机个数。服务受理与审批VDC业务管理员可以审批来自VDC内用户提交的服务申请，全局业务管理员可以审批来自VDC业务管理员提交的VDC服务申请。审批时，审批者可以选择“同意”或者拒绝外，还可以配置一些服务参数，例如虚拟机所使用的网络（审批者可以配置哪些服务参数可以在定义服务阶段配置）。服务维护业务用户可以对已申请服务进行维护操作，例如VNC登录虚拟机、虚拟机上/下电，虚拟机绑定弹性IP，磁盘绑定虚拟机。各服务维护功能列表：服务申请功能云主机用户可以指定地域、可用分区、操作系统类型、硬件规格、云主机所在网络，云主机个数。云磁盘用户可以指定地域、可用分区、硬件规格、存储类型、云磁盘个数。VDC用户可指定配额（CPU核数、内存、存储、弹性IP个数、VPC个数、安全组个数、虚拟机个数）、VDC可使用哪些资源池。弹性IP用户可以指定地域、VPC、弹性IP个数，当前采用硬件路由器时，可以指定规格、公网IP池。物理机用户可以指定地域、可用分区、型号、操作系统、物理机个数。服务维护功能列表服务维护功能云主机云主机上/下电、重启、休眠、云主机转虚拟机模板、VNC登录、查看监控信息、创建云主机快照。云磁盘云磁盘挂载到云主机，或从云主机上卸载。弹性IP弹性IP绑定到云主机或负载均衡器，或从云主机、负载均衡器解绑定。VDC查看VDC配额使用情况，VDC下已申请资源列表，资源数量统计。应用应用上/下电，修改应用，查看应用拓扑。具有弹性伸缩组的应用可根据应用负载弹性伸缩。VPC查看VPC网络拓扑，在VPC下管理网络、路由器、防火墙、安全组、弹性IP、负载均衡器、VPN、DNAT。服务变更对于已发放的资源，用户可以提出变更申请对服务参数进行变更。如，用户可以申请将一台已发放的4G内存的虚拟机变更为8G内存。各服务变更功能列表：服务变更功能列表服务变更功能云主机变更云主机硬件规格、服务到期时间。云磁盘变更块云磁盘规格、服务到期时间。VDC变更VDC的配额、服务到期时间。应用服务到期时间。弹性IP服务到期时间。物理机服务到期时间。服务释放对于不再使用的资源，用户可以提出释放申请，系统会自动释放用户的资源。也支持服务到期后，由管理员释放资源。对于到期的服务，业务用户和VDC业务管理员登录到租户Portal后，会收到到期提醒。对于已经到期的VDC，用户无法从VDC服务目录下继续申请服务。服务计量管理支持自动将计量数据记录到文件，并通过FTP和话单服务器对接，将计量数据上传到服务器。支持计次话单、审计话单、负载均衡流量话单、弹性IP流量话单等。支持对用户所用资源的CPU、内存、磁盘、网络个数、安全组个数等量纲进行计量统计。服务流程定制ServiceCenter基于优化的activity流程引擎，服务申请、变更、释放都是由业务流程驱动完成，用户可以根据业务需求修改系统已经预置好的流程，也可以定制开发全新的业务流程，实现业务快速设计上线的目标。系统提供流程设计开发工具包，包含：预置的原子操作，预置的流程和开发者手册，用户可以基于现有预置原子创建新业务流程，也可以新定制原子给需要的流程使用，还可以在当前预置流程的基础上进行更新，满足现场定制需要。性能指标1．检索电子政务公共平台内的服务资源列表响应时间不超过3s；2．应提供7x24小时的在线申请服务。质量和绩效管理服务质量和绩效平台架构云管理平台云管理平台ITSM管理平台服务能力评价管理服务过程评价管理云服务质量和绩效管理平台架构质量绩效管理门户运维管理监控平台统一管理门户服务质量绩效管理平台分为三个部分：质量绩效管理门户、服务能力评价管理、服务过程评价管理。评价指标管理服务能力评价指标服务能力评价指标是指衡量云服务的静态指标，主要是对企业资质、运维服务综合能力、运维服务管理制度、运维服务支撑工具、服务人员和知识管理等监管要素进行评价。评价指标包括：.国际行业认证、国际产品认证、国家行业认证、国家产品认证、其他资质认证、企业注册资金、企业年度总营业额、企业员工总数、从事运维服务年限、年度运维服务营业额、年度运维服务营业额比例、年度运维服务项目数、单个运维服务项目合同金额、服务管理规范与制度、云服务管理的支撑工具、运维服务人员数量、运维服务人员占公司员工比例、不同级别的人员数量、不同服务内容类别的人员数量、一定任职年限的服务人员数量、年度运维服务人员流失率、国际行业认证服务人员数量、国际产品认证服务人员数量、国家行业认证服务人员数量、国家产品认证服务人员数量、其他资质认证服务人员数量、运维知识数量、知识的被使用次数。服务过程评价指标云服务过程评价指标是指衡量云服务的动态指标，主要是对事件管理、问题管理、变更管理、合作伙伴管理、客户满意度管理、客户投诉管理、值班管理、作业计划管理、应急预案管理和培训管理等监管要素进行评价。评价指标包括：事件数量分布、平均每位服务人员事件数量、事件关闭率、一线事件关闭率、非现场事件关闭率、现场事件一次关闭率、事件按期关闭率、事件延期关闭率、事件平均关闭时间、现场事件平均关闭时间、由事件导致的变更数量、问题数量分布、主动性问题所占比率、已知错误所占比率、永久性修复率、临时性修复率、问题关闭率、问题平均解决时间、变更数量分布、标准变更比率、非标准变更比率、紧急变更所占比率、引发变更的事件数量、引发变更的问题数量、合作伙伴事件平均关闭时间、合作伙伴事件关闭率、服务满意度、客户投诉数量、值班的人次数合计、值班的时间合计、作业计划数量、作业计划完成率、应急预案数量、用户培训的累计次数、用户培训的总时间。云资源管理系统设计物理资源监控管理服务器管理基本信息管理：通过机架图等可视化方式，提供服务器以及各部件基本信息、健康状态的展示功能，并可通过远程KVM和虚拟媒体远程操作服务器。性能分析：提供网口性能、服务器功耗、CPU占用率/内存占用率、创建分析任务和时间段性能等多个指标分析。无状态计算：通过抽象服务器硬件配置文件，使服务器的配置灵活的变更，以提高服务器故障更换和服务器扩容的效率。配置部署：提供对服务器设备的批量配置及部署，包括服务器BIOS配置、网络配置、RAID卡配置、OS部署等功能。物理服务器自动发现、自动发放通过单个输入或批量导入物理机服务器信息，系统解析输入信息并自动化发现已上电服务器详细信息，包括服务器电源、风扇、CPU、内存、磁盘网卡等信息，将物理服务器纳入系统管理范围。最终用户从系统申请物理机时，云管理系统会根据用户要求自动选择特定型号、规格、操作系统类型和版本等信息，自动化选择合适的物理机、自动化安装和配置操作系统，实现自动化发放物理机。存储管理内部组件管理提供系统内部物理和逻辑组件间的关联关系可视化展示，以便故障发生时能够精确定位。块存储：存储阵列前端端口、控制器、RAID组、LUN、硬盘之间的逻辑关系。文件存储：NAS引擎前端端口、NAS引擎节点、文件系统、文件存储池、数据磁盘、以及存储单元上的LUN和硬盘之间的逻辑关系。容量管理块存储：从存储设备、硬盘、块存储池、未映射LUN四个维度管理容量使用状况。文件存储：从存储设备、文件存储池、数据磁盘、未共享文件系统四个维度管理容量使用状况。健康度管理从性能负载、指标异常、告警趋势等多角度分析存储设备的运行状况，提供简单直观的健康度综合评分，及早发现系统性能瓶颈和运行风险，大幅度提升效率。网络分析提供存储网络拓扑结构自动发现、存储网络告警集中监控、存储链路性能监控对比等功能。通过钻取展示存储资源视图、存储映射视图、主机路径图和主机逻辑关系图，方便用户对存储路径的多层次监控分析。存储网络拓扑：覆盖主机、网络和存储设备的存储网络全堆栈拓扑监控，支持自定义拓扑视图。应用管理管理类型：服务器、数据库、中间件、系统服务服务器应用服务器数据库Web服务器邮件服务器Windows2000/2003/2008/XPIBMAIXAS400IBMPowerFreeBSDLinuxOpenBSDSCOOpenServerSCOUnixwareSolarisMicrosoft.NETGlassfishServerJbossResinTomcatWeblogicWeblogicIntegrationWebSphere达梦/DB2/InformixMySQL/OracleSQLServer/SybaseApache服务器IIS服务器网页/WebURL录制Exchange2003/2007/2010Mail服务器中间件系统服务其他IBMMQ消息中间件MSMQ消息中间件SharePoint服务器活动目录DNS服务器FTP服务器LDAP服务器网络服务脚本监视器第三方应用资源管理：显示应用基本信息，包括分类视图、资源列表、健康状态、轮询周期等。性能监控：监控应用的关键性能指标，包括响应时间、资源可用性、CPU内存利用等。服务器监控：提供Windows、AIX、Linux、Solaris、HP-UX等服务器的监控功能，包括CPU使用率、物理内存/虚拟内存使用率、磁盘分区使用情况、磁盘IO（包括平均每秒IO请求数、平均每秒读字节数、平均每秒写字节数、IO等待队列深度、平均IO完成时间等关键指标）、系统进程与服务运行状态、系统日志、系统时间等。 服务器硬件状态监控：提供IBM、DELL、HP服务器的硬件状态（需支持IPMI协议）的监控功能，包括机箱温度、电源、风扇状态和转速。 数据库监控：提供Oracle、MySQL、DB2、SQLServer、Sybase、Informix、达梦等数据库的监控功能，包括内存使用情况、会话、表空间和数据文件、访问连接时间、缓冲区命中率、共享池命中率、内存排序比、数据字典命中率、数据库Job作业执行、死锁等主要指标。Web服务器监控：提供Apache、MS-IISWEB服务器的监控功能，包括Web服务器并发访问量、吞吐量、平均请求字节数、响应时间等关键指标。HTTPURL监控：提供任意Web应用系统特定URL可用性、响应时间的监控功能。应用服务器监控：提供Tomcat/JBoss/Resin/WebLogic/WebSphere/MQ等应用服务器的监控功能。业务视图：支持业务拓扑图功能，通过拓扑图可查看各个IT资源间的关联关系以及IT资源的告警状态，直观地反映资源和业务的映射关系，实现快速、准确的故障定位。SLA视图：对业务系统的SLA管理，用户可以一目了然地掌握整个业务系统的运行情况，提供总停机时间、可用性、MTTR、MTBF等服务水平信息。机房动力监控管理提供对机房设施电源供配电、机房空调、环境、机柜、安防等系统的运行状态、参数和告警信息进行管理。主要包括：电源设备：精密空调、不间断电源（UPS）、配电柜（PDU）、自动切换开关（ATS）。机房空调：精密/行式空调、加湿器。机柜：机柜空间、供电、散热、承重等资源。环境：机房烟感、温湿度、水浸等环境参数的监测。安防设备：视频摄像头的接入管理和视频的实时查看、存储与回放。门禁系统：以卡为基础的用户、用户组管理，访问权限。视图管理通过2D/3D视图直观的反映设备的物理位置信息和运行状态，实时监控整个网络中设备的运行情况。能效分析分层、分级的能耗评估：在配电系统视图中可按照需求定制能耗节点，满足从园区到机房不同管理域、不同管理粒度的能耗统计。能耗分析的dashboard展示：以统一的页面展示某个管理域的所有能效信息。历史数据分析：查询某一个时间段的历史数据，用于趋势分析。阶梯电价：通过策略配置，展示数据中心的能耗成本，更能直观体现降耗的收益。自定义电价策略：月电价策略或时间段电价策略，提供策略修改、删除等操作。视频管理可集成IVS客户端，在客户端可直接访问视频服务器，并实现视频展示模式的管理。可集成IVS服务器，提供NVR功能。通过界面集成方式，实现视频系统独立部署。支持实时视频查看，提供视频源配置信息并保存。门禁管理根据指定时间段、用户和用户组提供对门禁控制器、机柜级门禁控制器的配置和管理。容量统计与分析提供基于变更（扩容，迁移等场景）管理的容量信息同步功能，以及机房、机柜空间、机位、散热、配置、承重能力统计分析，全面掌控机房资源使用信息。容量优化设计根据设备的物理属性，优化设备在机柜中的最优配置。提供机柜内设备的迁移、增加、变更等场景的设计能力。提供机柜内设备变更最佳机位分析和自动匹配，并自动选择最佳的配置资源。机柜机位、配电、散热、承重参数的动态分析与展示。温度云图以云图模式直观、全局展示机房温度的分布，支持冷热孤岛的有效识别。提供机柜的上、中、下三个水平面的温度分布分析。提供鼠标当前点的温度检出功能，同时提供该点上的设备信息展示。提供TOP5温度点（过热点、过冷点）分析。网络设备管理基本信息管理【网元管理】提供网络设备的基本管理功能，将单个网元的相关信息和维护操作入口集中在一个管理页面中，便于用户针对单个网元的监控和维护。【轮询参数设置】提供定时同步时间、接口状态轮询、IP地址轮询、设备状态轮询间隔设置功能。【物理资源管理】提供对设备机框、单板、子卡、端口、电子标签的查询、导出和备注修改等功能。SLA管理通过周期检测网络中各种业务质量性能，并以历史数据图表、告警、报表等多种形式展现给用户，为网络维护者提供可以量化的网络质量数据。【SLADashboard】通过SLADashboard全局监控SLA任务情况，可以监控最近触发智能策略的任务、SLA测试例指标以及SLA任务最低符合度的情况。Dashboard提供添加、删除功能，并可设置过滤条件，对展现在Dashboard中的SLA任务进行过滤。【SLA任务管理】可周期性监控网络的时延、抖动、丢包率各项指标。SLA任务管理界面提供SLA任务的管理功能，实现对任务的创建、复制创建、删除、启动、停止等操作。提供查看历史数据、告警、快速诊断的快捷操作入口。SLA任务的采集周期支持智能调节，可以在网络质量发生劣化时，自动调高采集频率，使用户了解质量劣化的详细信息。【业务诊断】通过对网络质量的检测，将采集到的时延、抖动、丢包率、DSCP值分段展现出来，帮助用户完成对业务质量的评估，同时基于采集到的数据，定位出现质量问题的网络位置，帮助用户排除故障，保障业务的畅通性。系统提供缺省的网络业务质量（时延、抖动、丢包率等网络性能指标）评估标准，用户也可根据需求自定义模板。【QoS管理】基于QoS流量的监控工具，对于配置了流策略的接口，提供匹配速率、丢弃速率、超出承诺带宽速率、带宽利用率等网络性能指标的度量，并通过Dashboard展示QoS性能指标TopN任务。【iPCA管理】质量感知（iPCA）基于企业园区网络特点提供了设备级、网络级、业务流丢包检测，通过对网络中的真实IP业务报文进行检测，在不增加用户数据网络负担的前提下，让网络管理员简单、快捷地监控网络质量，快速定位。设备级检测：支持对园区内的支持iPCA的设备以及设备之间二层直连链路创建iPCA检测，通过网络拓扑实时监控该区域单播IP业务是否存在丢包，如果出现丢包，能够直观看出在哪个设备节点丢包，具体的丢包率和丢包数。网络级检测：通过在园区出口设备之间创建网络级检测，实时监控业务在运营商网络质量状态。单播IP业务流丢包检测：对业务路径进行检测，显示设备、设备之间线路的丢包检测结果，帮助用户快速找到故障节点。MPLSVPN管理BGP/MPLSVPN管理组件提供对VPN业务的部署、监控和故障诊断端到端解决方案。【业务部署】提供图形化、向导式、端到端的业务部署能力，帮助用户快速开通新VPN业务、增加新的VPN接入点以及调整已有的VPN业务，提升用户业务维护的效率。支持对Full-mesh、Hub-Sopke、MCE、自定义组网类型的业务开通，支持在PE-CE间部署OSPF、ISIS、静态以及EBGP路由协议。【自动发现】支持自动发现网络中已部署的MPLSVPN业务，包括Full-Mesh、Hub-Spoke、MCE、HoVPN、跨域OptionA、跨域OptionB等多种组网类型。用户无需指定PE和CE设备，系统能够根据业务配置信息自动识别设备角色并发现PE-PE、PE-CE之间的业务逻辑关系。【业务监控】 1、提供MPLSVPN业务监控能力，查看MPLSVPN业务配置信息，包括PE-PE链路、PE-CE链路、VRF实例、路由配置信息。 2、提供MPLSVPN性能监控，支持TopN流入/流出流量性能统计、PE-CE流量性能统计、VRF流量性能统计、VRF路由性能统计。通过与网流组件联动，用户能够查看哪些应用和终端消耗了当前接口的流量，实现对VPN流量的精细化管理。 3、提供MPLSVPN业务质量监控。通过和SLA组件联动，监控VPN业务的PE-PE、PE-CE、CE-CE等各段链路的传输质量，一旦有业务链路出现质量问题，能即时预警。【业务拓扑】通过MPLSVPN业务拓扑可直观展示VPN网络逻辑结构；支持自定义区域管理。【快速诊断】支持一键式故障诊断，分段对PE-PE、PE-CE、CE-CE、PE-remoteCE链路从三层路由和MPLS转发层通过ping、trace、路由信息采集等多种手段进行故障诊断，诊断结束之后系统给出具体的失败原因，帮助用户快速定位故障点和故障原因。【业务报表】提供接口流量性能统计表、VRF流量统计报表、VRF路由统计报。用户通过查看接口流量统计报表，能够了解当前VPN业务所有接入接口的历史数据走势，通过查看VRF流量统计报表能够了解VPN流量在每个PE设备上的分布，通过查看VRF路由统计报表能够了解当前VPN业务CE接入的路由变化。网流分析支持深入分析网络中的流量数据并提供详细的流量数据分析报告，并实时监控全网流量。【方案原理】WANWANNDE流量输出器视频应用语音应用Proxy应用企业总部NTA网流分析组件Netstream一分钟汇聚10分钟、1小时6小时、1天、1周汇聚数据流量分析定制报表流量审计httpsNMC网络管理控制台NTC网流采集器接收解析流流存储NetFlowsFlow网络流量分析功能包括配置管理、流量概览、流量分析、网流报表、流量取证。【配置管理】 1、提供向导式配置，将需要进行流量采集的设备、接口添加到系统进行流量分析。 2、提供协议配置、应用配置、DSCP配置、IP组配置、应用组配置、接口组配置、DSCP组配置等多种配置能力。【流量概览】提供接口、接口利用率、应用、协议、源/目的主机流量排行展示，支持自定义“窗件”操作。【流量分析】提供接口、应用、主机、DSCP、会话、接口组、应用组、DSCP组的TOPN流量详细分析以及单个详细流量构成，帮助用户查看各个维度流量组成和趋势。【网流报表】提供饼图、表格、折线图、区域图等多种报表数据展示方式，以及应用、会话、DSCP、源主机、目的主机、接口汇总等多种数据汇总类型；同时提供向导式的自定义报表功能，用户灵活定制所关注的流量报表。【流量取证】通过多个过滤条件（源地址、目的地址、入接口、出接口、源端口、目的端口、协议、应用、DSCP），获取流量原始数据的能力，供用户了解原始的流量信息。WLAN管理【网络部署】 1、提供向导式业务配置，基于AP规划表单端到端实现AP业务的统一下发与部署。 2、提供WLAN设备配置，通过在线确认、离线部署、自动上线三种形式，快速完成AP与AC互通配置。【网络监控】提供全网物理资源、统计数据、性能数据、用户接入历史、频谱分析等相关信息查看。【位置拓扑】依据物理位置按区域进行AP布放，热图覆盖提供可视化展现，帮助用户及时发现信号覆盖盲点与信道冲突域。【WIDS管理】监控网络中存在的非法设备、非法客户端、干扰源、攻击信息，用户可通过定义规则分类识别、远程告警通知并提供对入侵的保护措施；【故障诊断】 1、WLAN用户故障诊断：从用户、SSID、AP、AC四个无线组网层面对在线用户的网络质量进行诊断。对于诊断出的异常问题，给出可能引发的问题与修复建议。 2、提供通讯/环境/非法设备/非WIFI干扰源/攻击等告警帮助用户故障点定位。 3、提供对WLAN网络设备和资源的监控，方便用户了解当前网络和设备状态。【有线无线一体化管理】提供有线无线统一管理，方便用户在物理拓扑中查看POE交换机与AP之间的链路。【业务报表】提供AP上行口流量、信道利用率、射频在线用户数、无线在线用户、TopN用户接入失败率和TopN用户接入总次数等预定义报表，以及AP关联统计、AP流量统计、AP速率统计的快速报表，支持预定义报表。安全策略管理【安全策略分析】 1、策略冗余分析 提供分析网管中配置的安全策略和防火墙设备上配置的安全策略是否存在冗余的功能；利用高效的冗余分析算法分析出策略完全冗余数、部分冗余数以及正常策略数，最大可支持一次选中20台设备进行分析。 2、策略命中分析 提供直接读取设备策略命中数据进行分析的功能，最大可支持一次选中20台设备进行安全策略命中情况分析。 3、策略风险分析 分析网管中配置的和设备上已配置的安全策略是否存在风险，根据用户选择的风险规则分析出设备的高、中、低风险策略数；支持用户创建自定义风险规则。 4、策略综合分析 对防火墙安全策略进行综合分析，系统可以根据结果对防火墙设备策略给出一个直观的分值，帮助管理员了解防火墙策略的整体运维情况。虚拟资源监控管理本项目采用虚拟化平台软件对平台资源进行统一管理。云管理平台聚焦于数据中心资源管理、自动化运维发放、并对IT管理提供开放的管理接口。云管理系统将整个数据中心云化，并对系统中用户可见的资源抽取出来纳入统一的资源池管理，为用户提供一体化的资源管理，自动资源发放，同时为用户提供了方便的获取资源的途径。用户可以通过在服务目录自动化的获取资源并在资源上部署用户需要的应用。资源管理平台即云平台管理是基于OpenStack社区版本进行增强、加固后的企业版本。Openstack集成FusionCompute作为云数据中心解决方案的形态之一，全面支持Openstack服务：Keystone,Nova,Cinder,Neutron,Glance,Ceilometer,Ironic，能够端到端提供云数据中心的运营和运维能力。主要包含两大部分。1、基础服务能力：为OpenStack提供最基础的安装部署及运维能力，主要包括安装部署、日志管理、时间管理、备份恢复、升级、补丁等基础能力。2、OpenStack能力：基于原生OpenStack，扩展计算、存储、网络插件，完成计算资源、存储资源、网络资源的虚拟化。同时通过统一的接口，对这些虚拟资源进行集中调度和管理，降低业务的运行成本，保证系统的安全性和可靠性，协助电信运营商和企业用户构筑安全、绿色、节能的云数据中心能力。虚拟资源管理平台架构云平台管理节点主要由：虚拟化基础引擎FusionCompute、OpenStack管理节点组成。OpenStack管理节点：负责扩展计算、存储、网络插件，完成计算资源、存储资源、网络资源的虚拟化，同时通过统一的接口。OpenstackOM：负责资源接入、配置、监控及维护功能。AgileController：负责交换机、防火墙、负载均衡器等网络设备的配置。FusionCompute提供基础的虚拟化功能，提供服务器、存储、网络的虚拟化功能，并向上对OpenStack提供接口。每套FusionCompute主要由一对主备管理节点VRM组成。一对VRM对应一个物理集群(或者叫站点)。一个物理集群中可以把多台服务器划分成一个资源集群（又叫HA资源池），一个计算资源池有相同的调度策略，为了使用热迁移相关的调度策略要求资源池主机CPU同制。计算资源池不包括网络资源与存储资源。一个物理集群中可以包含多个资源集群。OpenStackOpenStackVRMCinder-volumedriverCNACinderNovaNova-computedriverCNANeutronNeutronpluginGlanceNASOpenstackOMFusionComputeUVP/..上图中相关节点描述如下：Glance:用于存储和恢复虚拟机磁盘镜像。OpenStack分发实例时会使用该服务。Cinder:为运行的实例提供持久块存储。其可插拔驱动使创建和管理块存储设备更加便利。Nova：在OpenStack环境中管理计算实例的生命周期，包括批量创建，按需调度和停止。Neutron：提供用于定义网络连通性和寻址的API。VRM：虚拟资源池管理。CNA:计算节点代理，主要负责计算资源管理。通过NovaDriver，可以利用FusionCompute上成熟丰富的虚拟化功能特性：热迁移、HA、DRS、CPUQos等；通过CinderDriver，可与任何经FusionCompute验证兼容的存储配合使用，提供广泛的存储设备兼容性；同时通过FusionCompute管理FusionStorage分布式存储，可以在大规模云数据中心场景提供低成本的存储解决方案。FusionCompute接入Ceilometer，给Ceilometer上报VM监控数据，租户可以直接使用Ceilometer的监控/告警能力，从而支持Heat的弹性伸缩功能。FusionCompute集成OVSAgent，接入Neutron服务，借助Neutron生态链，与第三方网络服务无缝集成。Nova/CinderDriver结合Glance的ByPass机制，镜像存储支持直接对接第三方NFS/S3，提供高并发、高吞吐的镜像服务，避免了Glance成为流量瓶颈。同时FusionCompute也支持对接原生Glance，通过Glance直接提供镜像服务。CPS提供裸机安装、OpenStack软件部署等基础性服务，通过图形界面简化Openstack的部署和配置。虚拟化管理平台聚焦于数据中心虚拟化资源管理、自动化运维发放、并对企业IT管理提供开放的管理接口。云管理系统将整个数据中心云化，并对系统中用户可见的资源抽取出来纳入统一的资源池管理，为用户提供一体化的资源管理，自动资源发放，同时为用户提供了方便的获取资源的途径。用户可以通过在服务目录自动化的获取资源并在资源上部署用户需要的应用。软硬件统一资源管理通过自研发的OpenstackOM完成数据中心的资源自管理功能。FusionMananger基于Openstack的北向API提供数据中心内的丰富的资源池管理功，同时基于内置的硬件管理子模块提供与虚拟化相关的硬件的管理能力。OpenstackOM提供如下功能：外部网络管理:允许用户创建，查看，删除外部网络连接到OpenStack。主机管理:允许用户查看和监控主机,可指定的时间信息查看性能信息（以一天或一周）。虚拟机的规范管理：允许用户配置、查看、删除虚拟机的规格和指定虚拟机的启动模式。镜像管理：允许用户创建，上传，删除，修改镜像信息和导出镜像。告警管理：−显示所有系统高警。告警恢复后自动清除。−允许用户手动清除高警信息，导出告警信息。−允许告警设置不同级别（包括紧急、重要，一般）。−允许设置高警屏蔽，设置告警屏蔽的告警产生后将不报告。−允许告警上报，通过电子邮件，短信，或SNMP协议与对第三方系统对接。−允许高警统计，可按照多个维度，如对象，时间，高警的严重程度。高警统计有助于高警分析、趋势分析，故障分析，故障预防。OpenstackOM云管理平台，通过对各种物理资源、虚拟化资源数据统一建模，将资源以用户可见的资源池形式提供给系统用户即上层应用。统一资源管理可以屏蔽不同硬件和虚拟化的差异，资源的更换升级对用户零感知。实现对所有硬件资源进行统一管理，包括设备自动发现、自动配置和故障监控等，实现资源快速发放，缩短业务上线时间。OpenstackOM云管理平台支持对资源分集群管理，支持集群的创建、删除、扩容、减容，对集群进行性能监控，配置基于集群的资源调度策略（DRS），调度策略可以设置为手动和自动，实现虚拟机根据业务负荷在不同服务器上自动迁移。OpenstackOM云管理平台支持对虚拟机生命周期管理：业务管理员可以进行虚拟机的创建、销毁操作，对虚拟机的日常维护包括：启动、重启、迁移、关闭、快照、休眠、唤醒、虚拟机资源调整和监控等。OpenstackOM云管理平台支持虚拟化网络资源的管理：对子网、WLAN、端口组、分布式交换机的相关配置进行管理。OpenstackOM云管理平台支持虚拟存储资源的管理：可以管理IPSAN、FusionStorage（分布式存储系统）、FCSAN、NAS等存储资源，支持向存储资源池中增加、删除数据存储，对已经存在的数据存储可以进行扩容。OpenstackOM云管理平台支持多物理DC\资源池的统一管理；支持物理资源和虚拟资源的统一管理；支持异构虚拟化(VMware、FusionSphere等主流虚拟化）的统一管理。通过资源的统一呈现、监控、调度、发放和部署，简化管理，提高效率，降低运维成本；为用户提供一致的服务体验。支持应用模板自动化、业务流程自动化、运维自动化等自动化管理。智能负载调度根据应用系统的CPU、内存负荷的策略，实现轻载虚拟机合并到某台服务器，将空闲服务器下电，实现节能降耗；重载情况下，将未上电的服务器上电并投入系统使用，将重载服务器上的虚拟机通过热迁移方式分离到新上电的其它服务器，实现服务器的负载均衡，保证应用的性能和用户感受。虚拟数据中心（VDC）VDC是对XX省直部门厅局委办所使用的虚拟资源的封装和边界定义，特指分配给厅局委办的虚拟资源的集合对象，一般包括计算、存储和网络资源。组织VDC在形式和内容上类似于一个物理数据中心，是物理数据中心在虚拟化层的形式表现。根据XX省直部门厅局委办划分。各厅局委办可以通过申请虚拟数据中心一次性获得批量计算、存储和网络资源配额，在资源配额下限，VDC管理员可以自由支配计算、存储和网络资源。以人社局VDC为例，一个完整VDC如下图所示，包括配额、用户、资源、服务目录、网络、模板。-配额：配额用于限制VDC能够使用最大资源上限，由VDC管理员向全局业务管理员申请VDC时获得。-用户：VDC下包含两种角色用户（VDC管理员和业务用户），VDC管理员负责VDC下的用户管理。-VPC：虚拟个人云，是一个逻辑隔离的网络环境，包括网络、安全组、ACL、VPN等子功能。-服务目录：服务目录显示VDC用户可以申请的服务列表，VDC管理员可以结合部门、组织特殊需求，自定义VDC服务目录。-资源：用户申请的服务资源，包括云主机、云磁盘、应用等，用户可以对资源进行维护和监控。-模板：包括应用模板和虚拟机模板，VDC用户除了可以使用全局模板，也可以创建VDC私有应用模板和虚拟机模板。VDC两层服务目录VDC用户看到的VDC服务目录是由全局服务目录和VDC内管理员定义的服务目录的并集，如下面示例：V