云計算數(shù)據(jù)中心工程建設(shè)方案（2015）

1、智慧東麗云計算數(shù)據(jù)中心工程建設(shè)方案 95/95智慧東麗首期項(xiàng)目云計算數(shù)據(jù)中心工程建設(shè)方案二一五年十一月目錄 TOC o 1-3 h z u HYPERLINK l _Toc434791850 一、項(xiàng)目背景 PAGEREF _Toc434791850 h 3 HYPERLINK l _Toc434791851 二、工程概述 PAGEREF _Toc434791851 h 3 HYPERLINK l _Toc434791852 三、數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計 PAGEREF _Toc434791852 h 5 HYPERLINK l _Toc434791853 （一）網(wǎng)絡(luò)結(jié)構(gòu) PAGEREF _Toc434

2、791853 h 5 HYPERLINK l _Toc434791854 1、鏈路接入?yún)^(qū) PAGEREF _Toc434791854 h 6 HYPERLINK l _Toc434791855 2、互聯(lián)網(wǎng)接入?yún)^(qū) PAGEREF _Toc434791855 h 6 HYPERLINK l _Toc434791856 3、互聯(lián)網(wǎng)服務(wù)資源區(qū) PAGEREF _Toc434791856 h 7 HYPERLINK l _Toc434791857 4、專網(wǎng)接入?yún)^(qū) PAGEREF _Toc434791857 h 7 HYPERLINK l _Toc434791858 5、專網(wǎng)服務(wù)資源區(qū) PAGEREF _

3、Toc434791858 h 8 HYPERLINK l _Toc434791859 6、核心網(wǎng)絡(luò)區(qū) PAGEREF _Toc434791859 h 8 HYPERLINK l _Toc434791860 7、內(nèi)網(wǎng)服務(wù)資源區(qū) PAGEREF _Toc434791860 h 9 HYPERLINK l _Toc434791861 8、存儲資源區(qū) PAGEREF _Toc434791861 h 9 HYPERLINK l _Toc434791862 9、運(yùn)維管理區(qū) PAGEREF _Toc434791862 h 10 HYPERLINK l _Toc434791863 10、指揮中心接入?yún)^(qū) PAG

4、EREF _Toc434791863 h 10 HYPERLINK l _Toc434791864 11、物理整合區(qū) PAGEREF _Toc434791864 h 11 HYPERLINK l _Toc434791865 （二）虛擬化組網(wǎng) PAGEREF _Toc434791865 h 11 HYPERLINK l _Toc434791866 四、云計算平臺系統(tǒng)設(shè)計 PAGEREF _Toc434791866 h 13 HYPERLINK l _Toc434791867 （一）資源池設(shè)計 PAGEREF _Toc434791867 h 14 HYPERLINK l _Toc434791868

5、 1、計算資源池架構(gòu)設(shè)計 PAGEREF _Toc434791868 h 14 HYPERLINK l _Toc434791869 2、存儲資源池設(shè)計 PAGEREF _Toc434791869 h 14 HYPERLINK l _Toc434791870 3、資源池部署設(shè)計 PAGEREF _Toc434791870 h 15 HYPERLINK l _Toc434791871 4、設(shè)備選型 PAGEREF _Toc434791871 h 17 HYPERLINK l _Toc434791872 （二）云計算資源管理系統(tǒng) PAGEREF _Toc434791872 h 19 HYPERLIN

6、K l _Toc434791873 1、云計算資源管理系統(tǒng)設(shè)計概述 PAGEREF _Toc434791873 h 19 HYPERLINK l _Toc434791874 2、云計算資源管理系統(tǒng)設(shè)計思路 PAGEREF _Toc434791874 h 20 HYPERLINK l _Toc434791875 3、云計算資源管理系統(tǒng)框架設(shè)計 PAGEREF _Toc434791875 h 21 HYPERLINK l _Toc434791876 4、云計算資源管理系統(tǒng)功能設(shè)計 PAGEREF _Toc434791876 h 25 HYPERLINK l _Toc434791877 （三）云存儲

7、資源管理系統(tǒng)設(shè)計 PAGEREF _Toc434791877 h 27 HYPERLINK l _Toc434791878 1、云存儲資源管理系統(tǒng)設(shè)計概述 PAGEREF _Toc434791878 h 27 HYPERLINK l _Toc434791879 2、云存儲資源管理系統(tǒng)設(shè)計思路 PAGEREF _Toc434791879 h 28 HYPERLINK l _Toc434791880 3、云存儲資源管理系統(tǒng)框架設(shè)計 PAGEREF _Toc434791880 h 30 HYPERLINK l _Toc434791881 4、云存儲資源管理系統(tǒng)功能設(shè)計 PAGEREF _Toc434

8、791881 h 30 HYPERLINK l _Toc434791882 （四）云平臺運(yùn)行監(jiān)控系統(tǒng)設(shè)計 PAGEREF _Toc434791882 h 31 HYPERLINK l _Toc434791883 （五）云平臺運(yùn)維管理系統(tǒng)設(shè)計 PAGEREF _Toc434791883 h 32 HYPERLINK l _Toc434791884 （六）云平臺管理支撐系統(tǒng)設(shè)計 PAGEREF _Toc434791884 h 33 HYPERLINK l _Toc434791885 1、資源設(shè)備管理 PAGEREF _Toc434791885 h 34 HYPERLINK l _Toc434791

9、886 2、資源基本管理 PAGEREF _Toc434791886 h 35 HYPERLINK l _Toc434791887 3、資源綜合管理 PAGEREF _Toc434791887 h 35 HYPERLINK l _Toc434791888 4、資源功耗管理 PAGEREF _Toc434791888 h 35 HYPERLINK l _Toc434791889 （七）云平臺運(yùn)營管理系統(tǒng)設(shè)計 PAGEREF _Toc434791889 h 36 HYPERLINK l _Toc434791890 （八）云應(yīng)用服務(wù)平臺（PaaS）設(shè)計 PAGEREF _Toc434791890 h

10、 37 HYPERLINK l _Toc434791891 1、云路由 PAGEREF _Toc434791891 h 37 HYPERLINK l _Toc434791892 2、云負(fù)載 PAGEREF _Toc434791892 h 38 HYPERLINK l _Toc434791893 3、云代理節(jié)點(diǎn) PAGEREF _Toc434791893 h 38 HYPERLINK l _Toc434791894 五、數(shù)據(jù)中心安全系統(tǒng)設(shè)計 PAGEREF _Toc434791894 h 40 HYPERLINK l _Toc434791895 （一）云平臺安全總體設(shè)計 PAGEREF _Toc

11、434791895 h 40 HYPERLINK l _Toc434791896 （二）云安全等保定級分析 PAGEREF _Toc434791896 h 42 HYPERLINK l _Toc434791897 （三）云安全系統(tǒng)需求分析 PAGEREF _Toc434791897 h 43 HYPERLINK l _Toc434791898 1、安全技術(shù)需求分析 PAGEREF _Toc434791898 h 43 HYPERLINK l _Toc434791899 2、安全管理需求分析 PAGEREF _Toc434791899 h 51 HYPERLINK l _Toc434791900

12、 （四）安全技術(shù)體系設(shè)計 PAGEREF _Toc434791900 h 52 HYPERLINK l _Toc434791901 （五）云區(qū)域邊界安全設(shè)計 PAGEREF _Toc434791901 h 57 HYPERLINK l _Toc434791902 1、實(shí)現(xiàn)邊界的訪問控制 PAGEREF _Toc434791902 h 59 HYPERLINK l _Toc434791903 2、實(shí)現(xiàn)網(wǎng)絡(luò)邊界入侵檢測 PAGEREF _Toc434791903 h 60 HYPERLINK l _Toc434791904 3、實(shí)現(xiàn)邊界病毒防護(hù) PAGEREF _Toc434791904 h 60

13、 HYPERLINK l _Toc434791905 4、實(shí)現(xiàn)邊界完整性保護(hù) PAGEREF _Toc434791905 h 61 HYPERLINK l _Toc434791906 5、實(shí)現(xiàn)邊界安全審計保護(hù) PAGEREF _Toc434791906 h 61 HYPERLINK l _Toc434791907 6、實(shí)現(xiàn)網(wǎng)站安全防護(hù) PAGEREF _Toc434791907 h 61 HYPERLINK l _Toc434791908 （六）云計算環(huán)境安全設(shè)計 PAGEREF _Toc434791908 h 62 HYPERLINK l _Toc434791909 1、虛擬機(jī)訪問控制 PA

14、GEREF _Toc434791909 h 62 HYPERLINK l _Toc434791910 2、主機(jī)安全管理 PAGEREF _Toc434791910 h 63 HYPERLINK l _Toc434791911 3、日志集中審計 PAGEREF _Toc434791911 h 63 HYPERLINK l _Toc434791912 4、脆弱性管理 PAGEREF _Toc434791912 h 64 HYPERLINK l _Toc434791913 （七）云安全管理中心設(shè)計 PAGEREF _Toc434791913 h 64 HYPERLINK l _Toc43479191

15、4 1、集中安全管控 PAGEREF _Toc434791914 h 64 HYPERLINK l _Toc434791915 2、安全策略集中管理 PAGEREF _Toc434791915 h 65 HYPERLINK l _Toc434791916 3、云安全集中管理 PAGEREF _Toc434791916 h 66 HYPERLINK l _Toc434791917 （八）安全管理體系設(shè)計 PAGEREF _Toc434791917 h 66 HYPERLINK l _Toc434791918 1、安全管理組織 PAGEREF _Toc434791918 h 66 HYPERLIN

16、K l _Toc434791919 2、人員安全管理 PAGEREF _Toc434791919 h 67 HYPERLINK l _Toc434791920 3、安全管理策略 PAGEREF _Toc434791920 h 67 HYPERLINK l _Toc434791921 （九）安全運(yùn)維體系設(shè)計 PAGEREF _Toc434791921 h 68 HYPERLINK l _Toc434791922 六、數(shù)據(jù)中心機(jī)房工程 PAGEREF _Toc434791922 h 68 HYPERLINK l _Toc434791923 （一）機(jī)房布局與布線 PAGEREF _Toc434791

17、923 h 68 HYPERLINK l _Toc434791924 （二）機(jī)房裝飾裝修 PAGEREF _Toc434791924 h 69 HYPERLINK l _Toc434791925 1、地面工程 PAGEREF _Toc434791925 h 70 HYPERLINK l _Toc434791926 2、天花吊頂工程 PAGEREF _Toc434791926 h 72 HYPERLINK l _Toc434791927 3、墻面工程 PAGEREF _Toc434791927 h 73 HYPERLINK l _Toc434791928 4、門窗工程設(shè)計 PAGEREF _To

18、c434791928 h 74 HYPERLINK l _Toc434791929 （三）機(jī)房電氣系統(tǒng) PAGEREF _Toc434791929 h 74 HYPERLINK l _Toc434791930 1、配電系統(tǒng) PAGEREF _Toc434791930 h 74 HYPERLINK l _Toc434791931 2、電源插座設(shè)計 PAGEREF _Toc434791931 h 75 HYPERLINK l _Toc434791932 3、照明系統(tǒng)設(shè)計 PAGEREF _Toc434791932 h 75 HYPERLINK l _Toc434791933 4、接地系統(tǒng)設(shè)計 PA

19、GEREF _Toc434791933 h 76 HYPERLINK l _Toc434791934 5、防雷系統(tǒng) PAGEREF _Toc434791934 h 78 HYPERLINK l _Toc434791935 6、不間斷電源系統(tǒng) PAGEREF _Toc434791935 h 78 HYPERLINK l _Toc434791936 （四）機(jī)房空調(diào)系統(tǒng) PAGEREF _Toc434791936 h 80 HYPERLINK l _Toc434791937 1、機(jī)房環(huán)境設(shè)計標(biāo)準(zhǔn) PAGEREF _Toc434791937 h 80 HYPERLINK l _Toc434791938

20、 2、機(jī)房環(huán)精密空調(diào)容量設(shè)計 PAGEREF _Toc434791938 h 80 HYPERLINK l _Toc434791939 3、空調(diào)送風(fēng)方式的設(shè)計 PAGEREF _Toc434791939 h 81 HYPERLINK l _Toc434791940 4、空調(diào)上下水設(shè)計 PAGEREF _Toc434791940 h 81 HYPERLINK l _Toc434791941 （五）動力環(huán)境監(jiān)控系統(tǒng)系統(tǒng) PAGEREF _Toc434791941 h 81 HYPERLINK l _Toc434791942 （六）KVM系統(tǒng) PAGEREF _Toc434791942 h 84 H

21、YPERLINK l _Toc434791943 1、方案說明 PAGEREF _Toc434791943 h 84 HYPERLINK l _Toc434791944 2、方案拓?fù)鋱D及說明 PAGEREF _Toc434791944 h 84 HYPERLINK l _Toc434791945 3、方案特點(diǎn) PAGEREF _Toc434791945 h 85 HYPERLINK l _Toc434791946 （七）機(jī)房消防報警和氣體滅火系統(tǒng) PAGEREF _Toc434791946 h 86項(xiàng)目背景根據(jù)區(qū)委、區(qū)政府主要領(lǐng)導(dǎo)批示，2014年11月我區(qū)啟動了智慧東麗戰(zhàn)略發(fā)展頂層設(shè)計與規(guī)劃工

22、作。經(jīng)過幾個月的努力，通過一系列調(diào)研、分析、設(shè)計與研討，智慧東麗建設(shè)總體規(guī)劃與三年行動計劃文稿形成（以下簡稱“規(guī)劃”），并與相關(guān)部門進(jìn)行了若干次的專題討論。根據(jù)各方意見修改后，規(guī)劃于2015年4月中旬經(jīng)區(qū)長辦公會研究原則通過。規(guī)劃中指出“新建智慧東麗云平臺，與現(xiàn)有的“智慧華明”云平臺共同支撐智慧應(yīng)用系統(tǒng)建設(shè)。按照“集約建設(shè)、集中部署”的原則，將新建的智慧應(yīng)用系統(tǒng)直接部署在云平臺，將各部門已建的非涉密業(yè)務(wù)系統(tǒng)和公共服務(wù)類應(yīng)用系統(tǒng)逐步遷移至云平臺，實(shí)現(xiàn)智慧應(yīng)用在基礎(chǔ)層面集中共享、信息層面協(xié)同整合、運(yùn)行維護(hù)層面統(tǒng)一保障，有利于充分整合和利用信息化資源。”根據(jù)規(guī)劃中的目標(biāo)和原則，在“智慧東麗”首期項(xiàng)目

23、中與城市運(yùn)行管理指揮中心同步進(jìn)行云計算數(shù)據(jù)中心工程建設(shè)，數(shù)據(jù)中心為智慧東麗的總體建設(shè)提供基于云計算技術(shù)的信息化基礎(chǔ)設(shè)施，為智慧東麗的各類業(yè)務(wù)應(yīng)用提供穩(wěn)定可靠的運(yùn)行環(huán)境。工程概述云計算數(shù)據(jù)中心與城市運(yùn)行管理指揮中心選址為同一地點(diǎn)，位于東麗開發(fā)區(qū)津塘路與五經(jīng)路交口處的“帝達(dá)東谷國際東谷中心2號樓2層”，位于該層西北側(cè)區(qū)域，總共占用面積接近350平方米。其中包含主機(jī)房、配電間、消防間、控制室等區(qū)域。圖 SEQ 圖 * ARABIC 1 數(shù)據(jù)中心平面圖云計算數(shù)據(jù)中心是“智慧東麗”的信息技術(shù)基礎(chǔ)設(shè)施，不僅承載智慧東麗首期項(xiàng)目的三個主要應(yīng)用，還將為日后東麗區(qū)的各類信息化應(yīng)用提供穩(wěn)定可靠高效的計算、存儲、網(wǎng)

24、絡(luò)資源，以實(shí)現(xiàn)全區(qū)信息化基礎(chǔ)資源的集中建設(shè)、集中管理、集約使用。數(shù)據(jù)中心的網(wǎng)絡(luò)連接包括互聯(lián)網(wǎng)、政務(wù)網(wǎng)、其他專網(wǎng)，接入?yún)^(qū)文廣局的光纖路由，以及三大運(yùn)營商提供的固網(wǎng)和移動網(wǎng)絡(luò)。智慧東麗云計算數(shù)據(jù)中心建設(shè)包括數(shù)據(jù)中心網(wǎng)絡(luò)、云計算平臺、安全系統(tǒng)、機(jī)房工程等部分，后續(xù)章節(jié)分項(xiàng)闡述。數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計網(wǎng)絡(luò)結(jié)構(gòu)數(shù)據(jù)中心網(wǎng)絡(luò)分為運(yùn)營商鏈路設(shè)備區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)，互聯(lián)網(wǎng)服務(wù)資源區(qū)、核心網(wǎng)絡(luò)區(qū)、內(nèi)網(wǎng)資源服務(wù)區(qū)、專網(wǎng)接入?yún)^(qū)、專網(wǎng)服務(wù)資源區(qū)、存儲資源區(qū)、物理資源整合區(qū)、本地用戶接入?yún)^(qū)、運(yùn)維管理區(qū)等幾部分，每個區(qū)域間根據(jù)業(yè)務(wù)、功能的安全防護(hù)需求配備諸如防火墻等安全設(shè)備進(jìn)行安全隔離，保證網(wǎng)絡(luò)層面的安全訪問控制。以上分區(qū)同時也

25、是機(jī)房物理分區(qū)的指導(dǎo)原則。數(shù)據(jù)中心網(wǎng)絡(luò)總體架構(gòu)設(shè)計如下圖。鏈路接入?yún)^(qū)外部網(wǎng)絡(luò)與數(shù)據(jù)中心互聯(lián)時對方設(shè)備的安放區(qū)域，包括了互聯(lián)網(wǎng)鏈路及外單位專線鏈路。擬同時接入中國移動、中國聯(lián)通、中國電信三大運(yùn)營商互聯(lián)網(wǎng)線路，為每個運(yùn)營商分配一個機(jī)柜以存放其相應(yīng)設(shè)備。由于該區(qū)域設(shè)備由運(yùn)營商提供并配置，因此未在網(wǎng)絡(luò)總體拓?fù)渲杏枰跃唧w體現(xiàn)。專網(wǎng)鏈路接入目前設(shè)計包括政務(wù)外網(wǎng)、區(qū)技防網(wǎng)等，同樣為外部專線鏈路設(shè)備指定安放區(qū)域。互聯(lián)網(wǎng)接入?yún)^(qū)互聯(lián)網(wǎng)接入?yún)^(qū)為接入互聯(lián)網(wǎng)而配置的設(shè)備的安放區(qū)域，主要放置與運(yùn)營商互聯(lián)網(wǎng)接入設(shè)備進(jìn)行互聯(lián)的本方設(shè)備，如路由器、邊界防火墻、IPS（入侵防御系統(tǒng)）、鏈路負(fù)載均衡等。互聯(lián)網(wǎng)接入?yún)^(qū)主要配置設(shè)備如下

26、，關(guān)鍵設(shè)備配置兩套，以保證可用性要求。表 SEQ 表 * ARABIC 1 互聯(lián)網(wǎng)接入?yún)^(qū)設(shè)備序號設(shè)備數(shù)量備注1鏈路負(fù)載均衡設(shè)備2實(shí)現(xiàn)多調(diào)互聯(lián)網(wǎng)鏈路的負(fù)載均衡2安全網(wǎng)關(guān)2互聯(lián)網(wǎng)邊界防火墻3入侵防御系統(tǒng)2主動防御來自互聯(lián)網(wǎng)的安全威脅4出口行為審計1對本地用戶訪問互聯(lián)網(wǎng)進(jìn)行審計5防毒墻1防御本地用戶訪問互聯(lián)網(wǎng)而面臨的惡意代碼攻擊互聯(lián)網(wǎng)服務(wù)資源區(qū)互聯(lián)網(wǎng)服務(wù)資源區(qū)指為透過互聯(lián)網(wǎng)向外提供服務(wù)和訪問的智慧東麗各類應(yīng)用的部署區(qū)域，物理上集中放置一批服務(wù)器設(shè)備，并通過虛擬化技術(shù)將服務(wù)器進(jìn)行計算資源的池化。通過互聯(lián)網(wǎng)進(jìn)入數(shù)據(jù)中心的訪問流量將被終結(jié)在此區(qū)域，此區(qū)域內(nèi)的服務(wù)器若需要與內(nèi)網(wǎng)資源進(jìn)行數(shù)據(jù)上的交互，則可再經(jīng)

27、由一道防火墻進(jìn)入核心網(wǎng)絡(luò)區(qū)以訪問內(nèi)網(wǎng)資源?；ヂ?lián)網(wǎng)服務(wù)資源區(qū)主要配置設(shè)備如下。表 SEQ 表 * ARABIC 2 互聯(lián)網(wǎng)資源服務(wù)區(qū)設(shè)備序號設(shè)備數(shù)量備注1互聯(lián)網(wǎng)服務(wù)區(qū)匯聚交換機(jī)2接入該區(qū)域的服務(wù)器資源2Web應(yīng)用防火墻2對互聯(lián)網(wǎng)web服務(wù)提供保護(hù)3服務(wù)器5互聯(lián)網(wǎng)資源服務(wù)區(qū)的服務(wù)器專網(wǎng)接入?yún)^(qū)專網(wǎng)指其他政府部門、企事業(yè)單位的行業(yè)專網(wǎng)，通過專線與數(shù)據(jù)中心網(wǎng)絡(luò)互聯(lián)。專網(wǎng)接入?yún)^(qū)主要放置與專網(wǎng)接入設(shè)備進(jìn)行互聯(lián)的本方設(shè)備，如邊界防火墻等。專網(wǎng)接入?yún)^(qū)配置兩臺擴(kuò)展能力強(qiáng)的高性能防火墻，以集中專網(wǎng)接入的安全管理。表 SEQ 表 * ARABIC 3 互聯(lián)網(wǎng)接入?yún)^(qū)設(shè)備序號設(shè)備數(shù)量備注1專網(wǎng)接入防火墻2數(shù)據(jù)中心網(wǎng)絡(luò)與外

28、單位專網(wǎng)的邊界安全網(wǎng)關(guān)專網(wǎng)服務(wù)資源區(qū)專網(wǎng)服務(wù)資源區(qū)指為透過專網(wǎng)向外提供服務(wù)和訪問的智慧東麗各類應(yīng)用的部署區(qū)域，物理上集中放置一批服務(wù)器設(shè)備，并通過虛擬化技術(shù)將服務(wù)器進(jìn)行計算資源的池化。通過專網(wǎng)進(jìn)入數(shù)據(jù)中心的訪問流量將被終結(jié)在此區(qū)域，此區(qū)域內(nèi)的服務(wù)器若需要與內(nèi)網(wǎng)資源進(jìn)行數(shù)據(jù)上的交互，則可再經(jīng)由一道防火墻進(jìn)入核心網(wǎng)絡(luò)區(qū)以訪問內(nèi)網(wǎng)資源。專網(wǎng)服務(wù)資源區(qū)主要配置設(shè)備如下。表 SEQ 表 * ARABIC 4 專網(wǎng)服務(wù)資源區(qū)設(shè)備序號設(shè)備數(shù)量備注1專網(wǎng)服務(wù)區(qū)匯聚交換機(jī)2接入該區(qū)域的服務(wù)器資源2服務(wù)器5專網(wǎng)資源服務(wù)區(qū)的服務(wù)器核心網(wǎng)絡(luò)區(qū)核心網(wǎng)絡(luò)區(qū)是數(shù)據(jù)中心本地網(wǎng)絡(luò)的核心區(qū)域，主要是核心交換設(shè)備以及安全管控設(shè)備。

29、核心網(wǎng)絡(luò)區(qū)與互聯(lián)網(wǎng)服務(wù)資源區(qū)、專網(wǎng)服務(wù)資源區(qū)、本地用戶接入?yún)^(qū)、物理資源整合區(qū)、運(yùn)維管理區(qū)相連接，均在連接間設(shè)置防火墻進(jìn)行訪問的安全控制。因此外部用戶需要經(jīng)過兩道防火墻才能進(jìn)行數(shù)據(jù)中心核心網(wǎng)絡(luò)訪問本地資源。核心網(wǎng)絡(luò)區(qū)主要配置設(shè)備如下。表 SEQ 表 * ARABIC 5 核心網(wǎng)絡(luò)區(qū)設(shè)備序號設(shè)備數(shù)量備注1核心交換機(jī)2接入該區(qū)域的服務(wù)器資源2NTP服務(wù)器為數(shù)據(jù)中心設(shè)備提供統(tǒng)一的標(biāo)準(zhǔn)時間3數(shù)據(jù)庫審計系統(tǒng)對內(nèi)網(wǎng)的數(shù)據(jù)庫資源的訪問進(jìn)行審計4安全審計系統(tǒng)對內(nèi)網(wǎng)的網(wǎng)絡(luò)訪問進(jìn)行安全審計5漏洞掃描系統(tǒng)對數(shù)據(jù)中心網(wǎng)絡(luò)進(jìn)行漏洞掃描內(nèi)網(wǎng)服務(wù)資源區(qū)內(nèi)網(wǎng)服務(wù)資源區(qū)指向本地用戶提供服務(wù)和訪問的智慧東麗各類應(yīng)用的部署區(qū)域，物理

30、上集中放置一批服務(wù)器設(shè)備，并通過虛擬化技術(shù)將服務(wù)器進(jìn)行計算資源的池化。專網(wǎng)服務(wù)資源區(qū)主要配置設(shè)備如下。表 SEQ 表 * ARABIC 6 內(nèi)網(wǎng)服務(wù)資源區(qū)設(shè)備序號設(shè)備數(shù)量備注1內(nèi)網(wǎng)服務(wù)區(qū)接入交換機(jī)4接入該區(qū)域的服務(wù)器資源2計算資源服務(wù)器10專網(wǎng)資源服務(wù)區(qū)的服務(wù)器3數(shù)據(jù)庫服務(wù)器6專網(wǎng)資源服務(wù)區(qū)的服務(wù)器4計算資源管理服務(wù)器2專網(wǎng)資源服務(wù)區(qū)的管理節(jié)點(diǎn)服務(wù)器存儲資源區(qū)數(shù)據(jù)中心的存儲資源區(qū)設(shè)計根據(jù)存儲的數(shù)據(jù)性質(zhì)不同分為兩大類：FC SAN和IP SAN，即光纖存儲網(wǎng)絡(luò)和IP存儲網(wǎng)絡(luò)。前者適用于結(jié)構(gòu)化數(shù)據(jù)的存儲，如數(shù)據(jù)庫；后者適用于非結(jié)構(gòu)化的數(shù)據(jù)，如文件、圖像、視頻等。FC SAN存儲區(qū)域的設(shè)備主要包括：

31、表 SEQ 表 * ARABIC 7 FC SAN存儲區(qū)域設(shè)備序號設(shè)備數(shù)量備注1集中式存儲FC交換機(jī)2光纖交換機(jī)，連接服務(wù)器與存儲設(shè)備2集中式存儲磁盤陣列2存儲數(shù)據(jù)的核心設(shè)備IP SAN存儲區(qū)域的設(shè)備主要包括：表 SEQ 表 * ARABIC 8 IP SAN存儲區(qū)域設(shè)備序號設(shè)備數(shù)量備注1分布存儲接入交換機(jī)4IP SAN交換機(jī)2存儲資源服務(wù)器10分布式存儲系統(tǒng)的資源節(jié)點(diǎn)服務(wù)器3存儲管理服務(wù)器2分布式存儲系統(tǒng)的管理節(jié)點(diǎn)服務(wù)器運(yùn)維管理區(qū)所有對數(shù)據(jù)中心服務(wù)器的操作原則上都必須在專門的運(yùn)維管理區(qū)進(jìn)行操作，該區(qū)域既是網(wǎng)絡(luò)上的概念，也對應(yīng)于物理的房間（數(shù)據(jù)中心控制室）。運(yùn)維管理區(qū)直接接入核心網(wǎng)絡(luò)區(qū)，可以訪

32、問數(shù)據(jù)中心網(wǎng)絡(luò)上的所有設(shè)備和應(yīng)用，因此運(yùn)維管理區(qū)的物理安全要有嚴(yán)格的控制措施。表 SEQ 表 * ARABIC 9 運(yùn)維管理區(qū)設(shè)備序號設(shè)備數(shù)量備注1接入交換機(jī)4下接工作站，上聯(lián)核心交換2運(yùn)維工作站10用于運(yùn)維操作的電腦終端指揮中心接入?yún)^(qū)指揮中心本地用戶和設(shè)備接入數(shù)據(jù)中心網(wǎng)絡(luò)的區(qū)域。該區(qū)域包括接入交換機(jī)、匯聚交換機(jī)，以及上網(wǎng)行為管理和防毒墻。指揮中心網(wǎng)絡(luò)布線配線架全部集中在數(shù)據(jù)中心機(jī)房內(nèi)指定的機(jī)柜，配線架經(jīng)跳線連接接入交換機(jī)，接入交換機(jī)上聯(lián)全千兆匯聚交換機(jī)。匯聚交換機(jī)經(jīng)防火墻連接核心交換，同時經(jīng)防毒墻、上網(wǎng)行為管理等設(shè)備連接互聯(lián)網(wǎng)接入?yún)^(qū)。表 SEQ 表 * ARABIC 10 指揮中心接入?yún)^(qū)序號

33、設(shè)備數(shù)量備注1接入交換機(jī)10下接配線架，上聯(lián)匯聚交換2匯聚交換機(jī)2下聯(lián)接入交換，上聯(lián)核心區(qū)邊界防火墻3防毒墻1指揮中心用戶訪問互聯(lián)網(wǎng)的病毒防御4上網(wǎng)行為管理1指揮中心用戶訪問互聯(lián)網(wǎng)的行為管理物理整合區(qū)虛擬化組網(wǎng)在傳統(tǒng)的網(wǎng)絡(luò)中，為了加強(qiáng)網(wǎng)絡(luò)的可靠性，一般在核心層將兩臺設(shè)備配置成雙核心，雙核心起到了冗余備份作用，但冗余的網(wǎng)絡(luò)架構(gòu)增加了網(wǎng)絡(luò)設(shè)計和操作的復(fù)雜性，同時大量的備份鏈路也降低了網(wǎng)絡(luò)資源的利用率，減少了網(wǎng)絡(luò)的投資回報率。虛擬交換架構(gòu)的核心思想是將多臺設(shè)備通過物理端口連接在一起，進(jìn)行一些配置后，多臺物理設(shè)備將虛擬化成一臺設(shè)備，實(shí)現(xiàn)整個虛擬化系統(tǒng)中設(shè)備之間的信息共享及表項(xiàng)同步，實(shí)現(xiàn)了多臺設(shè)備之間的

34、協(xié)同工作、統(tǒng)一管理和不間斷維護(hù)。網(wǎng)絡(luò)虛擬化系統(tǒng)整體性能及端口密度都得到了成倍的增長，突破了傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)中單臺核心設(shè)備的性能及端口密度限制，通過網(wǎng)絡(luò)虛擬化技術(shù)，核心設(shè)備可以實(shí)現(xiàn)跨設(shè)備的鏈路聚合，與匯聚層設(shè)備或接入層設(shè)備通過聚合鏈路連接，在簡化網(wǎng)絡(luò)配置的同時，提高了網(wǎng)絡(luò)連接的可靠性，保證了網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。在本方案中，對于網(wǎng)絡(luò)核心設(shè)備以及各區(qū)域接入設(shè)備，我們都采用網(wǎng)絡(luò)虛擬化技術(shù)來進(jìn)行組網(wǎng)，組網(wǎng)拓?fù)淙缦滤荆簣D SEQ 圖 * ARABIC 2 虛擬化組網(wǎng)技術(shù)采用虛擬化技術(shù)來進(jìn)行組網(wǎng)，具有以下優(yōu)點(diǎn)：高性能虛擬化技術(shù)可以有效提高單臺設(shè)備的帶寬，多臺設(shè)備組成虛擬化系統(tǒng)后，虛擬化系統(tǒng)的交換容量、包轉(zhuǎn)發(fā)率及端

35、口密度是系統(tǒng)各成員之和，虛擬化系統(tǒng)性能得到了成倍的增長，滿足了數(shù)據(jù)中心對核心交換設(shè)備的高性能及高端口密度要求。高可靠性通過虛擬化系統(tǒng)將多臺設(shè)備虛擬成一臺，可靠性大大增強(qiáng)，主控、電源均實(shí)現(xiàn)了N+1冗余備份，正常情況下，對外表現(xiàn)為一臺設(shè)備，如果系統(tǒng)中某個成員發(fā)生故障，不會影響到其它成員的正常轉(zhuǎn)發(fā)。例如：如果是兩臺設(shè)備組成網(wǎng)絡(luò)虛擬化系統(tǒng)，當(dāng)一臺設(shè)備出現(xiàn)故障時，虛擬化系統(tǒng)將自動分拆成兩臺獨(dú)立的設(shè)備，另一臺設(shè)備仍然能夠正常轉(zhuǎn)發(fā)。虛擬化系統(tǒng)支持跨物理設(shè)備的鏈路聚合技術(shù)可以跨設(shè)備配置鏈路聚合，用戶可以將不同成員設(shè)備上的物理以太網(wǎng)端口配置成一個聚合端口。 通過端口聚合既可以實(shí)現(xiàn)流量的負(fù)載分擔(dān)提高帶寬，又能夠進(jìn)

36、行互相備份。 簡化管理 虛擬化系統(tǒng)從邏輯層面作為單一設(shè)備形態(tài)運(yùn)行，和傳統(tǒng)常見的提供冗余備份的VRRP+MSTP組網(wǎng)相比，管理簡單，自動支持備份簡化了網(wǎng)絡(luò)配置，不需要配置VRRP這樣的協(xié)議，所有協(xié)議分布式運(yùn)行，方便網(wǎng)絡(luò)管理員進(jìn)行網(wǎng)絡(luò)管理，提升了網(wǎng)絡(luò)可靠性及可維護(hù)性。云計算平臺系統(tǒng)設(shè)計資源池設(shè)計計算資源池架構(gòu)設(shè)計服務(wù)器虛擬化技術(shù)是云計算資源架構(gòu)設(shè)計的核心技術(shù)，直接決定了整個云計算資源體系對應(yīng)用系統(tǒng)的承載能力、運(yùn)行效率以及可靠性。該云計算資源架構(gòu)設(shè)計如下圖所示：圖 SEQ 圖 * ARABIC 3 云計算資源池架構(gòu)圖存儲資源池設(shè)計根據(jù)對本次智慧東麗云平臺建設(shè)項(xiàng)目的需求，云平臺規(guī)劃集中式存儲容量150

37、TB，分布式存儲容量200TB。圖 云存儲資源池系統(tǒng)示意圖互聯(lián)網(wǎng)資源服務(wù)區(qū)集中式存儲配置50塊2.5寸 900G 10k SAS硬盤，35塊 3.5寸 3TB 7.2k SATA硬盤，分布式存儲配置60塊4TB 7.2k SATA硬盤；內(nèi)網(wǎng)資源服務(wù)區(qū)集中式存儲配置20塊2.5寸 900G 10k SAS硬盤，15塊 3.5寸 3TB 7.2k SATA硬盤，分布式存儲配置36塊4TB 7.2k SATA硬盤。專網(wǎng)資源服務(wù)區(qū)集中式存儲配置20塊2.5寸 900G 10k SAS硬盤，15塊 3.5寸 3TB 7.2k SATA硬盤，分布式存儲配置36塊4TB 7.2k SATA硬盤。資源池部署設(shè)

38、計應(yīng)用服務(wù)器部署計算資源服務(wù)器可部署虛擬機(jī)系統(tǒng)（VM）或直接使用物理PC服務(wù)器。當(dāng)應(yīng)用負(fù)載接近單臺物理服務(wù)器性能時，可直接部署于物理服務(wù)器，一般應(yīng)用部署在計算資源服務(wù)器上的虛擬機(jī)。根據(jù)應(yīng)用系統(tǒng)的可用性要求等級不同，在虛擬機(jī)上實(shí)現(xiàn)高可用的方式有以下三種，虛擬機(jī)熱遷移，虛擬機(jī)HA，物理機(jī)HA。虛擬機(jī)熱遷移用于滿足計劃內(nèi)停機(jī)維護(hù)操作。當(dāng)服務(wù)器需要停機(jī)執(zhí)行維護(hù)操作時，可通過虛擬機(jī)熱遷移功能，將某一物理服務(wù)器上的虛擬機(jī)動態(tài)遷移至另一物理服務(wù)器。動態(tài)遷移過程，業(yè)務(wù)不中斷，不影響用戶的正常訪問。虛擬機(jī)HA用于滿足一般應(yīng)用服務(wù)器計劃外宕機(jī)。當(dāng)發(fā)生服務(wù)器故障時，通過虛擬機(jī)HA，虛擬機(jī)可在其他的物理服務(wù)器上自動重

39、啟，實(shí)現(xiàn)故障轉(zhuǎn)移。此過程會引起短暫業(yè)務(wù)中斷，業(yè)務(wù)中斷時間由虛擬機(jī)操作系統(tǒng)在另一物理服務(wù)器上啟動的時間及應(yīng)用系統(tǒng)啟動的時間決定。通過虛擬機(jī)HA比傳統(tǒng)群集較少一半的服務(wù)器數(shù)量，在保證了一定高可用的同時提高資源利用率。對于直接部署在物理服務(wù)器的應(yīng)用系統(tǒng)，可通過高可用群集軟件提供可用性保證。在windows系統(tǒng)可配置MSCS群集，在redhat Linux操作系統(tǒng)可配置VCS群集。通過部署高可用群集，在確保在物理服務(wù)器故障或應(yīng)用故障時，進(jìn)行快速的故障轉(zhuǎn)移，減小并消除業(yè)務(wù)中斷帶來的負(fù)面影響。為了能夠提供具有更高可擴(kuò)展性和可靠性的應(yīng)用平臺，并能夠在服務(wù)器集群中智能地分配負(fù)載，從而確保客戶最大限度地發(fā)揮其應(yīng)

40、用服務(wù)器投資價值，結(jié)合硬件負(fù)載均衡設(shè)備，為部署在應(yīng)用服務(wù)器上的服務(wù)和應(yīng)用提供最佳的可擴(kuò)展性和性能。數(shù)據(jù)庫服務(wù)器部署數(shù)據(jù)庫服務(wù)器作為業(yè)務(wù)系統(tǒng)的數(shù)據(jù)處理平臺，對服務(wù)器的I/O處理能力、內(nèi)存、CPU等有較高要求的，建議采用高性能機(jī)架式服務(wù)器部署，不同的業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫可通過多實(shí)例進(jìn)行共享同一物理服務(wù)器群集。對服務(wù)器性能要求一般的數(shù)據(jù)庫管理系統(tǒng)可部署在虛擬機(jī)上。數(shù)據(jù)庫服務(wù)器做業(yè)務(wù)系統(tǒng)的核心節(jié)點(diǎn)，為了保障其的高可用性，建議至少使用2臺物理服務(wù)器或2臺虛擬機(jī)做HA。部署于虛擬機(jī)上的數(shù)據(jù)庫管理系統(tǒng)可通過HA技術(shù)保證其高可用；部署于物理服務(wù)器的數(shù)據(jù)庫管理系統(tǒng)通過數(shù)據(jù)庫管理系統(tǒng)自帶群集軟件(RAC)實(shí)現(xiàn)其高可用。

41、根據(jù)應(yīng)用類型和規(guī)模的不同，數(shù)據(jù)庫對于服務(wù)器的性能和安全性要求也不一樣。總體上采用在物理服務(wù)器和虛擬機(jī)相結(jié)合的部署方式。設(shè)備選型機(jī)架式服務(wù)器實(shí)際上是工業(yè)標(biāo)準(zhǔn)化下的產(chǎn)品，其外觀按照統(tǒng)一標(biāo)準(zhǔn)來設(shè)計，配合機(jī)柜統(tǒng)一使用，以滿足服務(wù)器密集部署需求。機(jī)架服務(wù)器的主要作用是為節(jié)省空間，由于能夠?qū)⒍嗯_服務(wù)器裝到一個機(jī)柜上，不僅可以占用更小的空間，而且也便于統(tǒng)一管理。 機(jī)架服務(wù)器的寬度為19英寸，高度以U為單位（1U=1.75英寸=44.45毫米），通常有1U，2U，3U，4U，5U，7U幾種標(biāo)準(zhǔn)的服務(wù)器。主板擴(kuò)展性較強(qiáng)，插槽也很多，而且塔式服務(wù)器的機(jī)箱內(nèi)部往往會預(yù)留很多空間，以便進(jìn)行硬盤，電源等的冗余擴(kuò)展。這種

42、服務(wù)器無需額外設(shè)備，對放置空間沒多少要求，并且具有良好的可擴(kuò)展性，配置也能夠很高。刀片式服務(wù)是專門為特殊應(yīng)用行業(yè)和高密度計算機(jī)環(huán)境設(shè)計的，其主要結(jié)構(gòu)為一大型主體機(jī)箱，內(nèi)部可插上許多“刀片”，其中每一塊刀片實(shí)際上就是一塊系統(tǒng)母板，類似于一個個獨(dú)立的服務(wù)器，它們可以通過本地硬盤啟動自己的操作系統(tǒng)。每一塊刀片可以運(yùn)行自己的系統(tǒng)，服務(wù)于指定的不同用戶群，相互之間沒有關(guān)聯(lián)。而且，也可以用系統(tǒng)軟件將這些主板集合成一個服務(wù)器集群。在集群模式下，所有的刀片可以連接起來提供高速的網(wǎng)絡(luò)環(huán)境，共享資源，為相同的用戶群服務(wù)。在集群中插入新的刀片，就可以提高整體性能。而由于每塊刀片都是熱插拔的，所以，系統(tǒng)可以輕松地進(jìn)行

43、替換，并且將維護(hù)時間減少到最小。刀片服務(wù)器比機(jī)架式服務(wù)器更節(jié)省空間，同時，散熱問題也更突出，往往要在機(jī)箱內(nèi)裝上大型強(qiáng)力風(fēng)扇來散熱。此型服務(wù)器雖然空間較節(jié)省，但是其機(jī)柜與刀片價格都不低。綜合服務(wù)器設(shè)備的可擴(kuò)展性、高可用性、散熱性和性價比，我們設(shè)計采用機(jī)架式四路服務(wù)器作為數(shù)據(jù)庫服務(wù)器和虛擬化計算資源服務(wù)器，采用機(jī)架式兩路服務(wù)器作為管理服務(wù)器、分布式存儲管理節(jié)點(diǎn)和分布式存儲存儲節(jié)點(diǎn)。云計算資源管理系統(tǒng)云計算資源管理系統(tǒng)設(shè)計概述云計算資源管理系統(tǒng)是提供全面的運(yùn)行管理功能，支持底層異構(gòu)的虛擬機(jī)架構(gòu)，完善的API和參考文檔可供二次開發(fā)，高效的管理監(jiān)控，解決了用戶虛擬機(jī)過多管理繁瑣、多廠家Hyperviso

44、r無法管理、運(yùn)維復(fù)雜、云平臺建設(shè)費(fèi)用昂貴等問題，更符合用戶使用云計算高性價比、更方便與更簡單的主流思維?？蓾M足2000臺以上物理機(jī)的資源管理。支持Vmware、KVM、XEN等虛擬軟件。主要實(shí)現(xiàn)以下功能：結(jié)合云數(shù)據(jù)中心的整體信息化環(huán)境及管理人員使用習(xí)慣，實(shí)現(xiàn)管理人員對計算及存儲資源的按需即用，隨需擴(kuò)展的需求，實(shí)現(xiàn)資源的動態(tài)按需分配；基于虛擬化技術(shù)，用于構(gòu)建IT資源池，支持現(xiàn)有業(yè)務(wù)的部署、運(yùn)行和管理，以及新的科研環(huán)境建設(shè)，也為未來電子政務(wù)應(yīng)用用戶環(huán)境改造建設(shè)打下基礎(chǔ)；基于資源池，實(shí)現(xiàn)計算資源的統(tǒng)一規(guī)劃部署和實(shí)施，實(shí)現(xiàn)覆蓋其全系統(tǒng)范圍內(nèi)的計算資源共享系統(tǒng)；提高系統(tǒng)可靠性，在基礎(chǔ)設(shè)施層面提高系統(tǒng)可靠

45、性，為用戶應(yīng)用系統(tǒng)提供高可用、連續(xù)服務(wù)的基礎(chǔ)設(shè)施平臺。云計算資源管理系統(tǒng)設(shè)計思路統(tǒng)一管理，整體部署，提高部署和管理效率通過虛擬機(jī)資源管理平臺可以實(shí)現(xiàn)對不同虛擬化軟件虛擬的服務(wù)器并進(jìn)行統(tǒng)一管理，從而實(shí)現(xiàn)：對每臺用戶所需要的服務(wù)器資源進(jìn)行統(tǒng)一部署，將執(zhí)行部署的時間大大可縮短50-70%；從中央位置可管理資源池內(nèi)所有虛擬機(jī)，資源池內(nèi)的虛擬服務(wù)器出現(xiàn)故障時通過HA或集群或負(fù)載均衡等方式可從中央管理平臺自己管理維護(hù)，提高整體的管理效率；統(tǒng)一監(jiān)控資源池內(nèi)所有虛擬機(jī)及構(gòu)建資源池基礎(chǔ)的所有物理主機(jī)的性能及資源利用率；在不修改應(yīng)用不提供硬件成本的同時可提供更高可用性的基礎(chǔ)架構(gòu)。靈活的資源供給，彈性部署，便于擴(kuò)展

46、云資源管理平臺靈活的管理特性提供了靈活的資源供給管理，并按照云計算的思路提供了彈性的部署方式和動態(tài)化的擴(kuò)展能力，主要如下：整個共享資源池可根據(jù)用戶的需求在線增加或減少物理服務(wù)器節(jié)點(diǎn)及存儲節(jié)點(diǎn)，滿足用戶對于資源的動態(tài)調(diào)配，實(shí)現(xiàn)根據(jù)需要靈活地供給和恢復(fù)IT資源，并根據(jù)使用量進(jìn)行計量；對于虛擬機(jī)而言，可以根據(jù)用戶的需求在線增加或刪除虛擬服務(wù)器。同時，還可根據(jù)用戶對虛擬服務(wù)器的資源的需求，手動將服務(wù)器部署在共享資源池的某個物理節(jié)點(diǎn)；通過云平臺，用戶可以在避免服務(wù)器和存儲硬件過量供給的情況下，使得峰時和閑時工作量的資源利用都保持在合理水平，從而實(shí)現(xiàn)低本高效的IT運(yùn)營模式。易于集成的開放平臺作為開放平臺，

47、云計算資源管理平臺提供了標(biāo)準(zhǔn)的網(wǎng)絡(luò)服務(wù)API，易于與用戶現(xiàn)有的應(yīng)用和框架進(jìn)行集成。同時，云平臺開放的REST API，可以在軟件開發(fā)和新服務(wù)實(shí)施方面，實(shí)現(xiàn)無縫的協(xié)同工作和業(yè)務(wù)的高靈活性。主要經(jīng)濟(jì)效益云資源平臺將給用戶帶來很好的經(jīng)濟(jì)效益：提高IT效率。充分使用資源和現(xiàn)有硬件投資，節(jié)約成本，提高IT效率；低的總擁有成本。減少額外的存儲硬件購買，借助通用硬件平臺實(shí)現(xiàn)低的總體擁有成本；實(shí)現(xiàn)更大的商務(wù)靈活性，以快速調(diào)整客戶服務(wù)內(nèi)容和資源分配，來應(yīng)對多變的市場需求。云計算資源管理系統(tǒng)框架設(shè)計虛擬化層是通過虛擬化軟件（如VMware ESXi、Xen、KVM）對物理層的硬件設(shè)施進(jìn)行虛擬化處理，形成的Hype

48、rvisor虛擬層面的資源池系統(tǒng)。采用虛擬化軟件將物理設(shè)備資源形成一個或多個虛擬出來的資源池，提供了計算能力、網(wǎng)絡(luò)功能和存儲能力。該資源池系統(tǒng)可提供用戶傳統(tǒng)使用基礎(chǔ)IT資源計算能力、網(wǎng)絡(luò)功能和存儲能力。該資源池系統(tǒng)可根據(jù)需要動態(tài)改變資源分配的規(guī)模，快速適應(yīng)不同應(yīng)用的擴(kuò)容需求，實(shí)現(xiàn)“彈性”資源的分配能力。云計算資源管理系統(tǒng)是通過云資源管理平臺來實(shí)現(xiàn)資源統(tǒng)一管理和業(yè)務(wù)統(tǒng)一管控的自動化系統(tǒng)。云資源管理平臺作為資源管理系統(tǒng)，主要是管理資源池系統(tǒng)及資源池系統(tǒng)中的各種資源的調(diào)度、分配和調(diào)整。虛擬化層虛擬化層就是通過各種虛擬化技術(shù)把如路由器、防火墻、負(fù)載均衡器等多種網(wǎng)絡(luò)設(shè)備，多種平臺類型的服務(wù)器和多種級別的

49、存儲系統(tǒng)，有效地組織起來，形成多種功能和屬性的資源池。虛擬化層主要包括以下幾個層面：1）服務(wù)器虛擬化服務(wù)器虛擬化系統(tǒng)的總體技術(shù)架構(gòu)主要包括以下幾個部分：物理服務(wù)器本方案中指標(biāo)準(zhǔn)機(jī)架式服務(wù)器，一般CPU采用通用多核的CPU。Hypervisor運(yùn)行于虛擬化服務(wù)器之上的軟件層，管理其上的虛擬機(jī)，幫助虛擬機(jī)分享虛擬化服務(wù)器的硬件資源。虛擬服務(wù)器指對通過各種虛擬化技術(shù)，為用戶提供的與原有物理服務(wù)器相同的操作系統(tǒng)和應(yīng)用程序運(yùn)行環(huán)境的統(tǒng)稱。虛擬服務(wù)器通常使用物理服務(wù)器的部分資源，在用戶看來它與物理服務(wù)器的使用完全相同。2）網(wǎng)絡(luò)虛擬化伴隨著虛擬化系統(tǒng)的不斷應(yīng)用,企業(yè)的服務(wù)器系統(tǒng)得到了最大限度的性能發(fā)揮和靈活

50、的管理，對傳統(tǒng)企業(yè)IT系統(tǒng)重要組成部分的網(wǎng)絡(luò)系統(tǒng)提出新的要求：性能需求由于CPU的利用率以及性能的提升，對于服務(wù)器間數(shù)據(jù)傳輸?shù)囊筮M(jìn)一步的提高，要求與服務(wù)器相關(guān)的網(wǎng)絡(luò)系統(tǒng)具有高帶寬、低時延和全線速的傳輸能力。這是保證服務(wù)器I/O的最基本要求。應(yīng)用功能需求隨著IT技術(shù)的不斷發(fā)展，應(yīng)用系統(tǒng)出現(xiàn)了不斷整合以及統(tǒng)一的趨勢，作為網(wǎng)絡(luò)設(shè)備，出現(xiàn)了數(shù)據(jù)交換網(wǎng)絡(luò)與存儲網(wǎng)絡(luò)以及管理網(wǎng)絡(luò)整合的趨勢，這樣要求在選擇數(shù)據(jù)中心交換機(jī)的時候具有良好的數(shù)據(jù)整合能力。以滿足用戶數(shù)據(jù)中心不斷提高的應(yīng)用需求。網(wǎng)絡(luò)控制需求隨著網(wǎng)絡(luò)中各種邏輯劃分的不斷多樣化，要求用戶的網(wǎng)絡(luò)設(shè)備也能夠根據(jù)用戶的要求作出靈活的調(diào)整，以滿足企業(yè)應(yīng)用的部署

51、的需求。云資源管理平臺可以很好的解決網(wǎng)絡(luò)虛擬化以及對虛擬系統(tǒng)支持的問題,保證了用戶虛擬系統(tǒng)的靈活特性，并且有效的降低了用戶管理維護(hù)成本,保障了用戶虛擬化系統(tǒng)的正常可靠運(yùn)行。云資源管理平臺由運(yùn)行在虛擬化管理服務(wù)器上的管理軟件和對應(yīng)的管理客戶端、外部Web 門戶等部分構(gòu)成。對系統(tǒng)中的各類資源和應(yīng)用系統(tǒng)進(jìn)行統(tǒng)一管理。服務(wù)平臺相關(guān)的業(yè)務(wù)與應(yīng)用系統(tǒng)，各類業(yè)務(wù)應(yīng)用的物理節(jié)點(diǎn)，包括Web服務(wù)器、應(yīng)用服務(wù)器等均架構(gòu)在虛擬化架構(gòu)上，用虛擬化方式承載。使用硬件虛擬化技術(shù)，將一臺物理服務(wù)器的資源（包括CPU、內(nèi)存、硬盤、網(wǎng)卡等）劃分成多份。每一份資源相互獨(dú)立，像多個虛擬的服務(wù)器，與使用物理服務(wù)器一樣，用戶可以獨(dú)立安

52、裝操作系統(tǒng)、應(yīng)用程序等。同時虛擬化架構(gòu)可以實(shí)現(xiàn)虛擬機(jī)資源池，通過虛擬機(jī)的動態(tài)遷移，保證物理機(jī)與虛擬機(jī)兩個層面的高可用性，同時提供整個資源池的資源動態(tài)分配功能。使用虛擬化技術(shù)，在高性能的服務(wù)器上劃分虛擬機(jī)，將業(yè)務(wù)及應(yīng)用程序平滑的部署在虛擬機(jī)上。整個方案需提供統(tǒng)一的虛擬機(jī)集群管理功能，擁有自動資源調(diào)配，虛擬機(jī)動態(tài)遷移，共享網(wǎng)絡(luò)連接與集中存儲等功能，可以增強(qiáng)資源管理的敏捷性，提高系統(tǒng)運(yùn)行效率，降低單個系統(tǒng)故障的損失。云計算資源管理系統(tǒng)功能設(shè)計虛擬化層管理平臺支持異構(gòu)及網(wǎng)絡(luò)：計算虛擬化支持Xen、Vmware、KVM；存儲支持：Local Disk、Iscsi、Fibre Channel、NFS、Sw

53、ift；網(wǎng)絡(luò)支持：TC、VLAN、Firewall、LB、VPN、S/DNAT。資源管理通過云資源管理平臺可以整合物理機(jī)和虛擬機(jī)計算資源，可創(chuàng)建一個共享的計算架構(gòu)，同時可以實(shí)現(xiàn)在不同的應(yīng)用中共享計算資源；多業(yè)務(wù)系統(tǒng)資源池共享模式；根據(jù)系統(tǒng)當(dāng)前負(fù)載、系統(tǒng)資源的使用情況，有序的運(yùn)行應(yīng)用程序?；谠瀑Y源管理平臺和資源池，云平臺可提供各類云業(yè)務(wù)，包括：虛擬機(jī)根據(jù)組織結(jié)構(gòu)分配業(yè)務(wù)、資源計量管理、資源監(jiān)控、資源調(diào)度管理、設(shè)備能耗計量管理、資源分配等。動態(tài)負(fù)荷管理云資源管理平臺在創(chuàng)建虛擬機(jī)時會根據(jù)內(nèi)置策略選用虛擬機(jī)所在的物理服務(wù)器。被選擇的物理機(jī)總是和虛擬機(jī)的鏡像物理位置接近。云資源管理平臺管理平臺提供的這

54、兩種選擇方案供用戶根據(jù)實(shí)際需要，進(jìn)行靈活部署，從而實(shí)現(xiàn)動態(tài)的載荷管理，從而取得更大的能耗節(jié)約或者最優(yōu)化的虛擬機(jī)性能。鏡像庫管理云資源管理平臺管理平臺軟件提供了虛擬機(jī)模板管理功能，可以進(jìn)行屬性編輯、模板復(fù)制、模板下載備份和模板刪除。所有這些功能都非常方便管理員的操作和云平臺中虛擬機(jī)的維護(hù)。同時，提供了非常高效的虛擬機(jī)管理：例如，利用虛擬機(jī)模板功能，對于采用同樣操作系統(tǒng)和同樣應(yīng)用軟件的虛擬機(jī)而言，通過此功能可在2-5分鐘內(nèi)實(shí)現(xiàn)需在物理機(jī)上0.5-3個小時的部署時間，可大大節(jié)省管理員部署業(yè)務(wù)應(yīng)用的時間。用戶管理云平臺管理軟件可以提供多樣化的分級管理、完美的用戶體驗(yàn)和適合管理員運(yùn)維的監(jiān)控和統(tǒng)計管理。接

55、口云計算資源管理系統(tǒng)可以基于標(biāo)準(zhǔn)網(wǎng)絡(luò)服務(wù)提供了一套完善的開放的API接口。這種API接口易于與用戶現(xiàn)有的應(yīng)用和框架進(jìn)行集成。此外，平臺開放的REST API和支持AWS，可以供用戶在軟件開發(fā)和新服務(wù)實(shí)施方面，實(shí)現(xiàn)無縫的協(xié)同工作和業(yè)務(wù)的高靈活性。云存儲資源管理系統(tǒng)設(shè)計云存儲資源管理系統(tǒng)設(shè)計概述云存儲資源管理系統(tǒng)為本次智慧東麗云平臺存儲資源池建設(shè)解決方案的一部分，主要針對海量的數(shù)據(jù)及其它各類數(shù)據(jù)的集中存儲與共享，建立一套具有高可靠、可在線彈性伸縮，滿足高吞吐量并發(fā)訪問需求的云存儲平臺，為虛擬機(jī)、電子政務(wù)數(shù)據(jù)存儲提供便捷、統(tǒng)一管理和高效應(yīng)用的基礎(chǔ)平臺支撐。云存儲資源管理系統(tǒng)設(shè)計思路針對本次項(xiàng)目的實(shí)際

56、情況，充分考慮系統(tǒng)建設(shè)的建設(shè)發(fā)展需求，以實(shí)現(xiàn)系統(tǒng)統(tǒng)一管理、高效應(yīng)用、平滑擴(kuò)展為目標(biāo)，以“先進(jìn)、安全、成熟、開放、經(jīng)濟(jì)”為設(shè)計原則。先進(jìn)性原則在系統(tǒng)總體方案設(shè)計時采用業(yè)界先進(jìn)的方案和技術(shù)，以確保一定時間內(nèi)不落后。選擇實(shí)用性強(qiáng)產(chǎn)品，模塊化結(jié)構(gòu)設(shè)計，既可滿足當(dāng)前的需要又可實(shí)現(xiàn)今后系統(tǒng)發(fā)展平滑擴(kuò)展。安全性原則數(shù)據(jù)是業(yè)務(wù)系統(tǒng)核心應(yīng)用的最終保障，不但要保證整套系統(tǒng)能夠7x24運(yùn)行，而且云存儲資源管理系統(tǒng)必須有高可用性，以保證應(yīng)用系統(tǒng)對數(shù)據(jù)的隨時存取。同時配置安全的備份系統(tǒng)，對應(yīng)用數(shù)據(jù)進(jìn)行更加安全的數(shù)據(jù)保護(hù)，降低人為操作失誤或病毒襲擊給系統(tǒng)造成的數(shù)據(jù)丟失。在進(jìn)行系統(tǒng)設(shè)計時，充分考慮數(shù)據(jù)高可靠存儲，采用高度可

57、靠的軟硬件容錯設(shè)計，進(jìn)行有效的安全訪問控制，實(shí)現(xiàn)故障屏蔽、自動冗余重建等智能化安全可靠措施，提供統(tǒng)一的系統(tǒng)管理和監(jiān)控平臺，進(jìn)行有效的故障定位、預(yù)警。成熟性原則為確保整個系統(tǒng)能夠穩(wěn)定工作，軟件平臺將使用先進(jìn)、完善、易于管理和穩(wěn)定可靠的云存儲資源管理系統(tǒng)，對于與應(yīng)用的集成接口，提供統(tǒng)一的通用穩(wěn)定訪問接口。開放性原則系統(tǒng)設(shè)計具有開放性的標(biāo)準(zhǔn)體系，提供符合POSIX標(biāo)準(zhǔn)的通用文件系統(tǒng)訪問接口，開放的應(yīng)用API編程接口，提供人性化的應(yīng)用和管理界面，以滿足用戶需求。遵循規(guī)范的通用接口標(biāo)準(zhǔn)，使全系統(tǒng)中的硬件、通信、軟件、操作平臺之間的互聯(lián)共享。充分考慮系統(tǒng)的升級和維護(hù)問題，維護(hù)采用在線式的，即在系統(tǒng)不停止工

58、作的情況下，可以更換單元備件。系統(tǒng)的維護(hù)和升級操作由系統(tǒng)管理員即可完成。經(jīng)濟(jì)性原則現(xiàn)有業(yè)務(wù)系統(tǒng)存儲數(shù)據(jù)量較大，且數(shù)據(jù)的增長速度較快。因此在設(shè)計云存儲資源管理系統(tǒng)架構(gòu)時，應(yīng)從長遠(yuǎn)的角度考慮，設(shè)計一個長期的存儲架構(gòu)，除了可以應(yīng)對存儲硬件設(shè)備的升級速度外，還必須考慮到對前期存儲設(shè)備的投資保護(hù)，在保證不斷提供功能和性能提高的同時，存儲架構(gòu)在較長的時間內(nèi)能夠保持相對穩(wěn)定。結(jié)合先進(jìn)的云平臺技術(shù)架構(gòu)優(yōu)勢，根據(jù)本次項(xiàng)目的實(shí)際容量需求設(shè)計，同時充分考慮應(yīng)用發(fā)展需求，實(shí)現(xiàn)系統(tǒng)可彈性在線平滑升級。通過軟件實(shí)現(xiàn)在較廉價普通服務(wù)器上實(shí)現(xiàn)高度容錯，同時能夠在較低冗余度的情況下實(shí)現(xiàn)高度可靠容錯，大大節(jié)約和降低系統(tǒng)建設(shè)的硬件

59、成本。云存儲資源管理系統(tǒng)框架設(shè)計云存儲資源管理系統(tǒng)采用通用X86架構(gòu)或ARM架構(gòu)存儲服務(wù)器作為硬件載體，通過在其上部署自身的分布式軟件以實(shí)現(xiàn)分布式云存儲的功能。云存儲資源管理平臺軟件支持通過X86架構(gòu)或者ARM架構(gòu)的硬件。云存儲資源管理系統(tǒng)支持多種主流的操作系統(tǒng)，支持主流的Linux平臺，如CentOS、RedHat、Ubuntu、FreeBSD等?？蛻舳酥С稚鲜鲋髁鞯腖inux平臺，以及Windows、蘋果MacOSX等主流操作系統(tǒng)；支持智能手機(jī)、移動終端等移動設(shè)備。云存儲資源管理系統(tǒng)功能設(shè)計在云存儲資源管理系統(tǒng)中，具備以下功能：元數(shù)據(jù)管理模塊，塊數(shù)據(jù)（chunk server）管理模塊，卷

60、管理模塊、副本管理模塊、客戶端模塊、管理監(jiān)控中心模塊等。其整體功能結(jié)構(gòu)如下圖所示：圖 SEQ 圖 * ARABIC 4 云存儲資源管理系統(tǒng)結(jié)構(gòu)圖云平臺運(yùn)行監(jiān)控系統(tǒng)設(shè)計云平臺運(yùn)行監(jiān)控系統(tǒng)為智慧東麗云平臺的日常運(yùn)行維護(hù)提供運(yùn)行支撐，系統(tǒng)采用B/S結(jié)構(gòu)實(shí)現(xiàn)，全中文界面操作，可以實(shí)現(xiàn)外網(wǎng)200個節(jié)點(diǎn)、內(nèi)網(wǎng)50個節(jié)點(diǎn)的監(jiān)控管理。云平臺運(yùn)行監(jiān)控提供對云平臺硬件設(shè)備資源和軟件資源的動態(tài)管理，包括對主機(jī)、網(wǎng)絡(luò)、存儲、備份、數(shù)據(jù)庫系統(tǒng)、中間件系統(tǒng)、應(yīng)用系統(tǒng)的運(yùn)行監(jiān)控，圍繞平臺性能、平臺故障、平臺告警的三類管理，通過云平臺運(yùn)維閉環(huán)管理流程和完善的運(yùn)維功能，為云平臺的健康可持續(xù)運(yùn)營提供技術(shù)支撐保障。云平臺運(yùn)行監(jiān)控支