教育云平臺設(shè)計方案

1、未來教育 自由互聯(lián)教育云平臺設(shè)計方案三通兩平臺總體設(shè)計框架BASS以應(yīng)用建設(shè)為中心，硬件建設(shè)為保障，分步實施，穩(wěn)步推進(jìn)，逐步實現(xiàn)三通兩平臺。一期設(shè)計目標(biāo)和內(nèi)容電教館自有業(yè)務(wù)：教學(xué)資源公共服務(wù)平臺，開展以視頻為基礎(chǔ)的直播公開課、名師講堂、一師一優(yōu)課等核心業(yè)務(wù)；教學(xué)管理公共服務(wù)平臺人人通空間OA辦公等；應(yīng)用超市：提供基本硬件環(huán)境，引入市場上的教學(xué)應(yīng)用軟件，通過試用，挑選符合韶關(guān)普教特色需要的應(yīng)用IaaS云服務(wù)：中小學(xué)原則上不再新增服務(wù)器等IT設(shè)備，直接使用云資源池，優(yōu)化韶關(guān)教育系統(tǒng)的硬件支出云桌面：優(yōu)先在電教館辦公和測試環(huán)境使用云桌面替換PC機，積累經(jīng)驗，后續(xù)逐步擴展到每個學(xué)校一期方案詳細(xì)設(shè)計拓?fù)?/p>

2、圖核心交換機負(fù)載均衡出口安全網(wǎng)關(guān)(防火墻、入侵檢測、SSLVPN)行為&流控管理設(shè)備韶關(guān)教育城域網(wǎng)Internet省教育城域網(wǎng) （粵教云）出口路由器云計算管理服務(wù)區(qū)域云安全訪問控制區(qū)DDOS、網(wǎng)頁防串改系統(tǒng)前置服務(wù)器區(qū)域萬兆鏈路千兆鏈路云虛擬機東西方向云安全控制區(qū)域數(shù)據(jù)庫服務(wù)器區(qū)域融合接入層交換機 電教館自有業(yè)務(wù)服務(wù)區(qū)IAAS云服務(wù)區(qū)應(yīng)用超市服務(wù)區(qū)云桌面服務(wù)區(qū)融合接入層交換機IP-SAN存儲區(qū)域FC-SAN存儲區(qū)域優(yōu)秀教育資源數(shù)字化多媒體化 教育資源云VMvIPSVMvFWVMvNSVMvSLBVMvRter集中共享教學(xué)公共服務(wù)平臺業(yè)務(wù)區(qū)：需求分析問題一：城域網(wǎng)絡(luò)帶寬瓶頸1、學(xué)校多個班級同時收

3、看一堂直播課，城域網(wǎng)帶寬容易成為瓶頸；2、在家，跨運營商訪問，比如家庭寬帶是聯(lián)通，卻通過電信訪問教育局視頻資源；問題二：服務(wù)平臺WEB服務(wù)器瓶頸1、受制于服務(wù)器硬件性能限制，單臺服務(wù)器處理能力有限。2、受限于中間件連接數(shù)限制（例如Windows IIS限制200并發(fā)）經(jīng)驗表明，在千兆城域網(wǎng)帶寬情況下，只能同時承載500（2M碼流）-1000（1M碼流）個教室同時直播。無法滿足韶關(guān)市全市學(xué)校實現(xiàn)網(wǎng)絡(luò)教學(xué)的需要。優(yōu)化視頻業(yè)務(wù)：分布式云部署市電教館區(qū)縣電教中心：服務(wù)器+虛擬化市直屬學(xué)校：云點設(shè)備（服務(wù)器+虛擬化）區(qū)屬學(xué)校：云點設(shè)備WEB流媒體WEBWEBWEB后臺：通過云點/云彩虹將流媒體分布式部署

4、；前端：通過DRX擴展WEB服務(wù)器運營商1運營商2動態(tài)資源擴展：負(fù)載均衡+DRX鏈路負(fù)載均衡第一步：租戶（學(xué)校、應(yīng)用廠商）申請“運行環(huán)境”第二步：電教館審批第三步：租戶（學(xué)校、應(yīng)用廠商）使用應(yīng)用超市&IaaS云服務(wù)區(qū)：需求分析非簡單的申請?zhí)摂M機，而是一個運行業(yè)務(wù)系統(tǒng)所需要的整體環(huán)境，以及流程化的服務(wù)；最全的服務(wù)目錄名稱：高性能云主機規(guī)格：4vCPU 8G內(nèi)存名稱：大內(nèi)存云主機規(guī)格：4vCPU 16G內(nèi)存云主機/存儲云防火墻云負(fù)載均衡云網(wǎng)絡(luò)虛擬數(shù)據(jù)中心￥1099/月￥1599/月016CPU0256G01024G云數(shù)據(jù)庫云應(yīng)用吞吐量：100新建數(shù)：100并發(fā)數(shù)：100安全策略條數(shù)：100吞吐量：

5、200新建數(shù)：200并發(fā)數(shù)：200安全策略條數(shù)：200吞吐量：500新建數(shù)：500并發(fā)數(shù)：500安全策略條數(shù)：1000大型適合1000人以下場景中型適合500人以下場景小型適合100人以下場景50萬/月20萬/月5萬/月￥666/月￥1000/月￥2000/月￥5000/月云網(wǎng)盤套餐1套餐2套餐3vSwitchvRouter公網(wǎng)IP連接數(shù)：100連接數(shù)：200連接數(shù)：500￥500/月￥1000/月￥3000/月華三云網(wǎng)盤內(nèi)網(wǎng)Vlan內(nèi)存CPU硬盤為租戶提供業(yè)務(wù)運行所需要的服務(wù)器、網(wǎng)絡(luò)、安全、負(fù)載均衡、數(shù)據(jù)庫等資源；虛擬計量，對內(nèi)統(tǒng)計云服務(wù)帶來的價值，對外可運營收費；自動化編排租戶將申請到的虛

6、機、網(wǎng)絡(luò)、安全、數(shù)據(jù)庫、負(fù)載均衡設(shè)備，根據(jù)業(yè)務(wù)需要自定義拓?fù)洌煌献гO(shè)備圖標(biāo)即可自動完成拓?fù)涠x，無需手工配置；SDN+VxLAN構(gòu)建虛擬數(shù)據(jù)中心通過SDN+VxLAN技術(shù)允許租戶之間的IP地址、VLAN等重疊；租戶的虛擬“運行環(huán)境”邏輯隔離，具備互通條件，但滿足必要的安全策略；交換機FW路由器LBIPS服務(wù)器iSCSI存儲存儲主機網(wǎng)絡(luò)多租戶網(wǎng)絡(luò)隔離安全域網(wǎng)絡(luò)安全多實例Hypervisor安全補丁VM訪問控制VM防病毒VM存儲備份存儲備份FC存儲云安全接入VPN虛擬FW多租戶安全隔離安全域NAT負(fù)載均衡多租戶安全隔離租戶內(nèi)安全資源限制LBaaSDDoS安全防護(hù)DDoSaaSWEB安全掃描主機殺毒

7、云安全掃描殺毒存儲安全防護(hù)IaaSFWaaS云安全管理數(shù)據(jù)庫安全權(quán)限控制及審計多賬戶數(shù)據(jù)隔離開發(fā)環(huán)境安全權(quán)限控制及審計多賬戶數(shù)據(jù)隔離應(yīng)用安全：身份鑒別、權(quán)限控制、安全審計、日志審計、補丁管理內(nèi)容安全：數(shù)據(jù)泄露、敏感信息過濾、日志審計應(yīng)用系統(tǒng)代碼安全性分析SaaSPaaS云安全業(yè)務(wù)部署及策略調(diào)整云安全日志分析和行為審計安全規(guī)章制度安全應(yīng)急響應(yīng)機制及處理流程云安全服務(wù)基礎(chǔ)安全加固整體安全設(shè)計一期方案的安全設(shè)計核心交換機負(fù)載均衡出口安全網(wǎng)關(guān)(防火墻、入侵檢測、SSLVPN)行為&流控管理設(shè)備韶關(guān)教育城域網(wǎng)Internet省教育城域網(wǎng) （粵教云）出口路由器云安全訪問控制區(qū)DDOS、網(wǎng)頁防串改系統(tǒng)前置服

8、務(wù)器區(qū)域萬兆鏈路千兆鏈路融合接入層交換機融合接入層交換機DMZ區(qū)：對內(nèi)網(wǎng)的安全防護(hù)出口區(qū)：防火墻策略、入侵防御策略、行為審計云計算管理服務(wù)區(qū)域云虛擬機東西方向云安全控制區(qū)域數(shù)據(jù)庫服務(wù)器區(qū)域 電教館自有業(yè)務(wù)服務(wù)區(qū)IAAS云服務(wù)區(qū)應(yīng)用超市服務(wù)區(qū)云桌面服務(wù)區(qū)IP-SAN存儲區(qū)域FC-SAN存儲區(qū)域管理員賬號安全云安全的精細(xì)化設(shè)計VMComwarevFW/Vips/VLB教育云業(yè)務(wù)紛繁多樣，安全要求高：通過服務(wù)器安裝VFW、VIPS、VLB實現(xiàn)了虛擬機內(nèi)部的安全隔離；確保租戶虛擬機互訪的安全性；WEBAPPService NodesVMVMVMvSwitchLeafLeafVMVMVMvSwitchL

9、eafVMVMVMvSwitchLeafLeafVMVMVMvSwitchSpineSpineVxLAN Network服務(wù)鏈業(yè)務(wù)節(jié)點東西向流量FW LB云安全設(shè)計：東西向流量CoreCore城域網(wǎng)LSWLSW城域網(wǎng)教育網(wǎng)Internet云安全訪問控制區(qū)FW/IPS租戶租戶租戶租戶租戶云主機&云存儲需求：多業(yè)務(wù)主機縱向隔離保證南北向數(shù)據(jù)安全隔離；實現(xiàn)：安全按需求分配資源；CPU、內(nèi)存、會話數(shù)嚴(yán)格物理隔離，互不影響，租戶業(yè)務(wù)突發(fā)，不會影響其他租戶安全性能；云安全設(shè)計：南北向流量方案的可靠性設(shè)計核心交換機負(fù)載均衡出口安全網(wǎng)關(guān)(防火墻、入侵檢測、SSLVPN)行為&流控管理設(shè)備韶關(guān)教育城域網(wǎng)Inte

10、rnet省教育城域網(wǎng) （粵教云）出口路由器IP-SAN存儲區(qū)域FC-SAN存儲區(qū)域云計算管理服務(wù)區(qū)域云安全訪問控制區(qū)DDOS、網(wǎng)頁防串改系統(tǒng)前置服務(wù)器區(qū)域萬兆鏈路千兆鏈路云虛擬機東西方向云安全控制區(qū)域數(shù)據(jù)庫服務(wù)器區(qū)域業(yè)務(wù)網(wǎng)融合接入層交換機 電教館自有業(yè)務(wù)服務(wù)區(qū)IAAS云服務(wù)區(qū)應(yīng)用超市服務(wù)區(qū)云桌面服務(wù)區(qū)融合接入層交換機計算：虛機HA、備份、無狀態(tài)計算存儲：FC存儲：單臺Fast Raid、兩臺之間同步復(fù)制IP存儲：單臺Raid5，多臺之間網(wǎng)絡(luò)Raid、網(wǎng)絡(luò)、安全：雙機熱備、IRF2虛擬化鏈路：冗余備份、鏈路捆綁統(tǒng)一的運維平臺：基于業(yè)務(wù)的監(jiān)控視角通過圖形化的業(yè)務(wù)拓?fù)淇芍庇^反映業(yè)務(wù)包含的IT資源及其

11、之間的關(guān)系，可一目了然的定位故障點直觀反映資源、業(yè)務(wù)、用戶間的關(guān)系基于業(yè)務(wù)邏輯的故障定位IT資源容量規(guī)劃及預(yù)警容量規(guī)劃云辦公區(qū)云端：教育局?jǐn)?shù)據(jù)中心劉老師的辦公桌面家辦公室教室劉老師在家瀏覽教學(xué)資源劉老師在辦公室修改課件、利用私人桌面辦理社保劉老師去12班教室上課 裝機方便 節(jié)省成本；管理簡單、統(tǒng)一劉老師的私人桌面云桌面是基于云的典型應(yīng)用。在電教館辦公區(qū)和測試區(qū)，開展云桌面的試點，共100個點?？偨Y(jié)：方案優(yōu)勢統(tǒng)一交付云網(wǎng)融合整體安全最佳實踐三通兩平臺成功案例南京教育云方案特色：多級云架構(gòu)，市-區(qū)-學(xué)校；云點、云彩虹最佳落地，解決視頻會議、公開課等臨時業(yè)務(wù)；市電教館面向電教館內(nèi)部、直屬中小學(xué)，同時

12、作為江寧區(qū)電教中心資源的備份與擴展。江寧區(qū)電教中心利用云彩虹技術(shù)在資源層面實現(xiàn)互通，實現(xiàn)教學(xué)資源的共建共享。同時支撐全區(qū)的教育城域網(wǎng)和云數(shù)據(jù)中心，實現(xiàn)硬件資源的集中減少投資，也減輕學(xué)校管理員的工作量。中、小學(xué)通過云點技術(shù)實現(xiàn)與資源平臺的互通，既可實現(xiàn)資源上傳，也可根據(jù)學(xué)校需要將云端的資源提前下載到本地，滿足教學(xué)效果需要。蘇州教育云教育城域網(wǎng)第一中學(xué)覓渡中學(xué)核心交換機數(shù)據(jù)中心匯聚+LB二十中學(xué)電信移動聯(lián)通CAS、CICVMware云數(shù)據(jù)中心方案：服務(wù)器虛擬化，構(gòu)建資源池，為學(xué)校提供IaaS服務(wù)；簡易管理方案：實現(xiàn)基礎(chǔ)設(shè)施的統(tǒng)一可視化管理，基于業(yè)務(wù)視圖自動告警城域網(wǎng)方案：統(tǒng)一互聯(lián)出口，IPS、ACG提供出口安全；S105構(gòu)建高性能高可靠萬兆城域