云平臺(tái)規(guī)劃方案

1、云平臺(tái)規(guī)劃方案The document was prepared on January 2, 20211方案整體規(guī)劃1.1整體拓?fù)浞桨竸澐譃槲鍌€(gè)功能區(qū):線路接入?yún)^(qū)：包含互聯(lián)網(wǎng)線路，市局、各委辦局、采集點(diǎn)等專線接入網(wǎng)絡(luò)縱深防御區(qū)：包含各種網(wǎng)絡(luò)安全、審計(jì)設(shè)備，符合等保3級(jí)規(guī)范要求 核心交換區(qū)：包含萬(wàn)兆核心交換集群及匯聚交換設(shè)備網(wǎng)管、客服區(qū)：包含網(wǎng)管平臺(tái)及客戶終端計(jì)算、存儲(chǔ)區(qū)：包含云計(jì)算機(jī)平臺(tái)和分布式存儲(chǔ)系統(tǒng)。1.2設(shè)計(jì)依據(jù)傳統(tǒng)計(jì)算中心觀念是根據(jù)功能需求的變化實(shí)現(xiàn)對(duì)應(yīng)的硬件功能盒子堆砌而 構(gòu)建的，這非常類似于傳統(tǒng)軟件開(kāi)發(fā)的組件堆砌，被已經(jīng)證明為是一種較低效 率的資源調(diào)用方式，而如果能夠?qū)⒄麄€(gè)網(wǎng)絡(luò)的構(gòu)

2、建看成是由封裝完好、相互耦 合松散、但能夠被標(biāo)準(zhǔn)化和統(tǒng)一調(diào)度的“服務(wù)”組成，那么業(yè)務(wù)層面的變更、 物理資源的復(fù)用都將是輕而易舉的事情。因此提出支撐業(yè)務(wù)運(yùn)行的底層基礎(chǔ)設(shè)施也應(yīng)當(dāng)向“面向服務(wù)”的設(shè)計(jì)思想轉(zhuǎn)變，構(gòu)造“面向服務(wù)的數(shù)據(jù)中心” (Service Oriented Data Center SODC)。具體而言SODC,應(yīng)形成這樣的資源調(diào)用方式：底層資源對(duì)于上層應(yīng)用就像 由服務(wù)構(gòu)成的“資源池”，需要什么服務(wù)就自動(dòng)的會(huì)由網(wǎng)絡(luò)調(diào)用相關(guān)物理資源 來(lái)實(shí)現(xiàn)，管理員和業(yè)務(wù)用戶不需要或幾乎可以看不見(jiàn)物理設(shè)備的相互架構(gòu)關(guān)系以及具體存在方式。SODC的框架原型如下所示:基礎(chǔ)架構(gòu)層在圖中，隔在基礎(chǔ)架構(gòu)和用戶之間的

3、“交互服務(wù)層”實(shí)現(xiàn)了向上提供服 務(wù)、向下屏蔽復(fù)雜的物理結(jié)構(gòu)的作用，使得網(wǎng)絡(luò)使用者看到的網(wǎng)絡(luò)不是由復(fù)雜 的基礎(chǔ)物理功能實(shí)體構(gòu)成的，而是一個(gè)個(gè)智能服務(wù)一一安全服務(wù)、移動(dòng)服務(wù)、 計(jì)算彈性服務(wù)、分布式存儲(chǔ)服務(wù)等，至于這些服務(wù)是由哪些實(shí)際存在的物理資 源所提供，管理員和上層業(yè)務(wù)都無(wú)需關(guān)心，交互服務(wù)層解決了一切資源的調(diào)度 和高效復(fù)用問(wèn)題。SODC構(gòu)成的數(shù)據(jù)中心IT架構(gòu)必將是整個(gè)數(shù)據(jù)中心未來(lái)發(fā)展的趨勢(shì)，雖然 實(shí)現(xiàn)真正理想的SODC融合的架構(gòu)將是一個(gè)長(zhǎng)期的歷程，但在向該融合框架邁進(jìn) 的每一步實(shí)際上都將會(huì)形成對(duì)網(wǎng)絡(luò)靈活性、網(wǎng)絡(luò)維護(hù)、資源利用效率、投資效 益等方面的巨大改善。因此本次數(shù)據(jù)中心的建設(shè)規(guī)劃，要求盡可能

4、的遵循如上 所述的新一代面向服務(wù)的數(shù)據(jù)中心設(shè)計(jì)框架。在基于SODC的設(shè)計(jì)框架下，規(guī)劃的新一代數(shù)據(jù)中心應(yīng)實(shí)現(xiàn)如下設(shè)計(jì)原則： 簡(jiǎn)化管理：使上層業(yè)務(wù)的變更作用于物理設(shè)施的復(fù)雜度降低，能夠最低限度的減少了 物理資源的直接調(diào)度，使維護(hù)管理的難度和成本大大降低。高效復(fù)用：使得物理資源可以按需調(diào)度，橫向無(wú)限擴(kuò)展，物理資源得以最大限度的重 用，減少建設(shè)成本，提高使用效率。即能夠?qū)崿F(xiàn)總硬件資源占用量降低了，而 每個(gè)業(yè)務(wù)得到的服務(wù)反而更有充分的資源保證了。策略一致：降低具體設(shè)備個(gè)體的策略復(fù)雜性，最大程度的在設(shè)備層面以上建立統(tǒng)一、 抽象的服務(wù)，每一個(gè)被充分抽象的服務(wù)都按找上層調(diào)用的目標(biāo)進(jìn)行統(tǒng)一。1.3方案描述SOD

5、C架構(gòu)是一種資源調(diào)度的全新方式，資源被調(diào)用方式是面向服務(wù)而非像 以前一樣面向復(fù)雜的物理底層設(shè)施進(jìn)行設(shè)計(jì)的，而其中交互服務(wù)層是基于服務(wù) 調(diào)用的關(guān)鍵環(huán)節(jié)。網(wǎng)絡(luò)整合SODC要求將數(shù)據(jù)中心所需的各種資源實(shí)現(xiàn)基于網(wǎng)絡(luò)的整合，這是后續(xù)上層 業(yè)務(wù)能看到底層網(wǎng)絡(luò)提供各類SODC服務(wù)的基礎(chǔ)。數(shù)據(jù)中心網(wǎng)絡(luò)所必須提供的資源包括：智能業(yè)務(wù)網(wǎng)絡(luò)所必須的智能功能，比如高可靠性、多臺(tái)交換設(shè)備虛機(jī)化、 安全訪問(wèn)控制、設(shè)備智能管理等等；統(tǒng)一整合數(shù)據(jù)中心的三大資源網(wǎng)絡(luò)：高性能計(jì)算網(wǎng)絡(luò)；存儲(chǔ)交換網(wǎng)絡(luò)；數(shù) 據(jù)應(yīng)用網(wǎng)絡(luò)。這三類資源的整合將是檢驗(yàn)新一代數(shù)據(jù)中心網(wǎng)絡(luò)SODC能力的重要 標(biāo)準(zhǔn)。因此本方案中的“核心交換區(qū)“是由兩臺(tái)高端核心交換

6、設(shè)備，虛機(jī)為一臺(tái) 交換設(shè)備，統(tǒng)一對(duì)外提供數(shù)據(jù)交換、存儲(chǔ)交換接入能力。計(jì)算、存儲(chǔ)整合SODC要求將數(shù)據(jù)中心所需的各種計(jì)算、存儲(chǔ)實(shí)現(xiàn)統(tǒng)一整合和交付，上層業(yè) 務(wù)不需考慮底層計(jì)算資源和存儲(chǔ)資源的物理結(jié)構(gòu)。只需根據(jù)業(yè)務(wù)系統(tǒng)劃撥使 用，底層計(jì)算和存儲(chǔ)動(dòng)態(tài)實(shí)現(xiàn)資源按需使用，動(dòng)態(tài)擴(kuò)展，數(shù)據(jù)安全等。本方案中的“計(jì)算、存儲(chǔ)區(qū)“是由統(tǒng)一整合計(jì)算和存儲(chǔ)的云平臺(tái)來(lái)實(shí)現(xiàn)， 云平臺(tái)由多臺(tái)高端定制化的硬件服務(wù)器配合云系統(tǒng)來(lái)實(shí)現(xiàn)：集中管理：云平臺(tái)提供了集中管理能力，從而對(duì)計(jì)算、存儲(chǔ)資源的統(tǒng)一化 及動(dòng)態(tài)化分配和管理。高度可擴(kuò)展能力：提供了真正意義上的水平擴(kuò)展能力，沒(méi)有中心節(jié)點(diǎn)，集 群的規(guī)?？梢砸詳?shù)千臺(tái)服務(wù)器為單位?？梢园葱柙黾佑?jì)

7、算資源和存儲(chǔ)資 源，單個(gè)云平臺(tái)可以管理到超過(guò)6萬(wàn)臺(tái)虛機(jī)，從而滿足各種規(guī)模中心發(fā)展 的需要。最可靠的平臺(tái)：云平臺(tái)從底層就提供了數(shù)據(jù)的多副本，當(dāng)服務(wù)器出現(xiàn)硬件 故障時(shí)，云平臺(tái)可以將該服務(wù)器上的負(fù)載自動(dòng)遷移到其他可用的服務(wù)器 上，保障應(yīng)用負(fù)載在硬件失敗時(shí)自動(dòng)恢復(fù)。平臺(tái)內(nèi)部的物理網(wǎng)絡(luò)都是雙冗 余配置，以確保物理網(wǎng)絡(luò)連接的高可用。云計(jì)算平臺(tái)還使用SDN等網(wǎng)絡(luò)虛 擬化技術(shù)，構(gòu)建高可用的虛擬用戶網(wǎng)絡(luò)。云平臺(tái)通過(guò)使用分布式文件系 統(tǒng)，構(gòu)建統(tǒng)一的存儲(chǔ)池，提供包括實(shí)時(shí)異地多副本和硬盤快照等功能，保 證用戶數(shù)據(jù)的安全可靠。 在應(yīng)用服務(wù)方面，云平臺(tái)提供虛擬的負(fù)載均衡 器。負(fù)載均衡器把用戶請(qǐng)求轉(zhuǎn)發(fā)到多臺(tái)應(yīng)用服務(wù)器上，一

8、旦某臺(tái)應(yīng)用服務(wù) 器失敗，負(fù)載均衡器可以把失敗的應(yīng)用服務(wù)器隔離，但對(duì)用戶請(qǐng)求仍然可 以由其他的應(yīng)用服務(wù)器提供。達(dá)到高可用性、負(fù)載平衡的運(yùn)行環(huán)境。動(dòng)態(tài)資源調(diào)整：云平臺(tái)的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等資源的物理位置及底層的基 礎(chǔ)架構(gòu)對(duì)于用戶來(lái)說(shuō)是透明和不相關(guān)的。通過(guò)虛擬化技術(shù)可以實(shí)現(xiàn)硬件資 源的整合池化，云平臺(tái)所分配的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源都可以根據(jù)需要?jiǎng)?態(tài)地調(diào)整，從而達(dá)到整個(gè)云計(jì)算平臺(tái)資源的平衡，最合理地利用硬件計(jì)算 資源，提高IT資源的整體使用率。易用性：云平臺(tái)提供了一個(gè)統(tǒng)一的、易用的訪問(wèn)門戶以及手機(jī)客戶端，用 戶在云平臺(tái)上申請(qǐng)自己所需的服務(wù)（功能）與所需的硬件資源。直觀的訪 問(wèn)界面和操作提示減少用戶培訓(xùn)時(shí)

9、間，減少了二次學(xué)習(xí)時(shí)間。安全的平臺(tái)：云平臺(tái)從多角度提供了數(shù)據(jù)安全，不僅是私有網(wǎng)絡(luò)的二層隔離，角色授權(quán)、操作日志、訪問(wèn)日志等機(jī)制全方位保護(hù)云平臺(tái)的 安全性。更和業(yè)界領(lǐng)先的云安全廠商合作，整合更專業(yè)的安全組件。2網(wǎng)絡(luò)部分規(guī)劃2.1網(wǎng)絡(luò)拓?fù)洵傂目諍J集群核心交換集群：采用兩臺(tái)高端交換設(shè)備進(jìn)行虛機(jī)化集群，由兩臺(tái)交換機(jī)虛 機(jī)為一臺(tái)高性能、高可用性、高負(fù)載能力交換機(jī)對(duì)象，提供萬(wàn)兆網(wǎng)絡(luò)和存儲(chǔ)接 入服務(wù)。匯聚交換機(jī)和云平臺(tái)節(jié)點(diǎn)服務(wù)器均使用10G光纖鏈接核心交換集群。2.2設(shè)計(jì)依據(jù)數(shù)據(jù)中心的設(shè)計(jì)需要綜合考慮客戶需求和技術(shù)成熟度（包括網(wǎng)絡(luò)技術(shù)，節(jié) 能技術(shù)和行業(yè)標(biāo)準(zhǔn)等）因素?？蛻粜枨髷?shù)據(jù)中心的客戶需求包括客戶的業(yè)務(wù)戰(zhàn)

10、略需求，應(yīng)用部署需求，網(wǎng)絡(luò)管理 需求和成本需求等多方面。業(yè)務(wù)戰(zhàn)略需求：包含客戶業(yè)務(wù)發(fā)展戰(zhàn)略對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)的需 求，如未來(lái)幾年內(nèi)隨著業(yè)務(wù)發(fā)展，對(duì)網(wǎng)絡(luò)的容量、性能及功 能產(chǎn)生的新需求。應(yīng)用部署需求：包含應(yīng)用軟件系統(tǒng)、服務(wù)器和存儲(chǔ)設(shè)備對(duì)網(wǎng) 絡(luò)性能和功能的需求。網(wǎng)絡(luò)管理需求：數(shù)據(jù)中心網(wǎng)絡(luò)除了支持自身的管理外，還是服務(wù)器、存儲(chǔ)盤陣和其他應(yīng)用系統(tǒng)的管理運(yùn)行平臺(tái)。各系統(tǒng) 的日常管理、控制指令都需要通過(guò)網(wǎng)絡(luò)提供的管理平臺(tái)發(fā)布 和執(zhí)行。成本需求：數(shù)據(jù)中心網(wǎng)絡(luò)規(guī)劃應(yīng)充分考慮機(jī)房環(huán)境，投資回 報(bào)和維護(hù)成本問(wèn)題。在綜合布線，供電和制冷規(guī)劃時(shí)參照綠 色節(jié)能的理念，降低數(shù)據(jù)中心整體能耗，提高能源效率。技術(shù)趨勢(shì)近兩年隨著數(shù)

11、據(jù)中心的大規(guī)模建設(shè)，數(shù)據(jù)中心網(wǎng)絡(luò)技術(shù)快速發(fā)展。下圖為 目前數(shù)據(jù)中心設(shè)計(jì)技術(shù)發(fā)展趨勢(shì)。挑戰(zhàn)設(shè)計(jì)趨勢(shì)f、性能與容量快 網(wǎng)絡(luò) 虹速增長(zhǎng) J 高性能網(wǎng)絡(luò)性能有限網(wǎng)絡(luò)能力高性能高性能，高密度收斂比較高-適中適中較低-無(wú)阻塞環(huán)路范圍xSTP技術(shù)破壞無(wú)環(huán)無(wú)環(huán)數(shù)據(jù)中心規(guī)模中小中大超大 整合階段虛擬化階段云計(jì)算階段/IT資源 網(wǎng)絡(luò)L虛擬化虛擬化網(wǎng)絡(luò)資源整合網(wǎng)絡(luò)與共享J融合運(yùn)維管理統(tǒng)一、復(fù)雜/運(yùn)維業(yè)務(wù)策略固定，無(wú)遷移少量遷移虛擬交換和遷移IT資源調(diào)度方 式手動(dòng)維護(hù)統(tǒng)一維護(hù)自動(dòng)化IT資源部署物理劃分邏輯劃分多租戶、按需存儲(chǔ)、計(jì)算、數(shù)據(jù)網(wǎng)絡(luò)融合分層獨(dú)立，無(wú)融合分區(qū)劃分，局部融合融合網(wǎng)絡(luò)網(wǎng)絡(luò)資源共享業(yè)務(wù)獨(dú)立，無(wú)共享一虛

12、多，多虛一共享全面共享1業(yè)務(wù)管理IT&IP業(yè)務(wù)分別管理IT&IP業(yè)務(wù)統(tǒng)一管理統(tǒng)一運(yùn)維，智能化能耗管理弱較強(qiáng)強(qiáng)數(shù)據(jù)中心網(wǎng)絡(luò)所處的整合、虛擬化和云計(jì)算三個(gè)階段相互區(qū)別，但并非簡(jiǎn) 單換代關(guān)系。整合階段：本階段偏重資源整合，網(wǎng)絡(luò)性能要求低，業(yè)務(wù)分 區(qū)物理獨(dú)立，業(yè)務(wù)較固定。虛擬化階段：該階段的網(wǎng)絡(luò)設(shè)計(jì)承前啟后，能夠提供較好的 業(yè)務(wù)靈活性，使傳統(tǒng)數(shù)據(jù)中心結(jié)構(gòu)得以延續(xù)。云計(jì)算階段：該階段數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)計(jì)要求資源能夠靈活 調(diào)度，性能高，物理和邏輯分區(qū)界限模糊化且資源靈活按需 使用。數(shù)據(jù)中心網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)應(yīng)該以現(xiàn)有網(wǎng)絡(luò)架構(gòu)為基礎(chǔ)采用階段化策略，逐步 建立穩(wěn)健、可持續(xù)運(yùn)行的網(wǎng)絡(luò)架構(gòu)。數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)人員還需要考慮

13、以下幾 個(gè)要素：數(shù)據(jù)中心機(jī)房的物理布局：包括基礎(chǔ)設(shè)施配備限制，物理空 間使用，機(jī)房部署和布線空間等制約條件。數(shù)據(jù)中心現(xiàn)有網(wǎng)絡(luò)的現(xiàn)狀：通?，F(xiàn)有的網(wǎng)絡(luò)是根據(jù)實(shí)際情況 發(fā)展出來(lái)的，必須對(duì)網(wǎng)絡(luò)現(xiàn)狀進(jìn)行具體分析，才能設(shè)計(jì)規(guī)劃 出適合的數(shù)據(jù)中心網(wǎng)絡(luò)。如某些專有系統(tǒng)對(duì)網(wǎng)絡(luò)有特殊要 求，數(shù)據(jù)中心網(wǎng)絡(luò)必須滿足，有些系統(tǒng)運(yùn)行管理流程的要 求，數(shù)據(jù)中心網(wǎng)絡(luò)也必須滿足。數(shù)據(jù)中心的行業(yè)標(biāo)準(zhǔn)：設(shè)計(jì)數(shù)據(jù)中心網(wǎng)絡(luò)時(shí)必須支持相關(guān)的 行業(yè)標(biāo)準(zhǔn)，如TIA942布線標(biāo)準(zhǔn)、IEEE的各種接口標(biāo)準(zhǔn)，網(wǎng)絡(luò) 距離限制都需要盡量滿足，以適應(yīng)未來(lái)數(shù)據(jù)中心的運(yùn)行管理 和業(yè)務(wù)擴(kuò)展。設(shè)計(jì)原則數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)遵循以下設(shè)計(jì)原則：發(fā)展階段目前的建設(shè)階段為“

14、云平臺(tái)”建設(shè)。模塊化考慮到業(yè)務(wù)的調(diào)整及發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)結(jié)構(gòu)設(shè)計(jì)模塊化、 易于擴(kuò)展。高可靠網(wǎng)絡(luò)設(shè)計(jì)中采用冗余網(wǎng)絡(luò)設(shè)計(jì)，實(shí)現(xiàn)關(guān)鍵設(shè)備、鏈路冗余；關(guān) 鍵設(shè)備選用高可靠性產(chǎn)品，可實(shí)現(xiàn)單板、模塊熱拔插、控制模 塊設(shè)計(jì)冗余、電源冗余；減少網(wǎng)絡(luò)層級(jí)，簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)，從網(wǎng) 絡(luò)架構(gòu)上提高可靠性。安全隔離數(shù)據(jù)中心網(wǎng)絡(luò)應(yīng)具備有效的安全控制。按業(yè)務(wù)、按權(quán)限進(jìn)行分 區(qū)邏輯隔離，對(duì)特別重要的業(yè)務(wù)采取物理隔離。以服務(wù)器為中心的業(yè)務(wù)、IP存儲(chǔ)備份、管理網(wǎng)絡(luò)等多個(gè)網(wǎng)絡(luò)進(jìn) 行邏輯隔離，管理網(wǎng)絡(luò)采取物理隔離。可管理性和可維護(hù)性網(wǎng)絡(luò)應(yīng)當(dāng)具有良好的可管理性。為了便于維護(hù)，應(yīng)盡可能選取 集成度高、模塊可通用的產(chǎn)品。2.3方案描述物理交

15、換網(wǎng)核心交換集群：采用兩臺(tái)高端交換設(shè)備進(jìn)行虛機(jī)化集群，由兩臺(tái)交換機(jī)虛 機(jī)為一臺(tái)高性能、高可用性、高負(fù)載能力交換機(jī)對(duì)象，提供萬(wàn)兆網(wǎng)絡(luò)和存儲(chǔ)接 入服務(wù)。匯聚交換機(jī)和云平臺(tái)節(jié)點(diǎn)服務(wù)器均使用10G光纖鏈接核心交換集群。云平臺(tái)虛機(jī)網(wǎng)絡(luò)網(wǎng)絡(luò)虛擬化以軟件方式完整再現(xiàn)了物理網(wǎng)絡(luò)。虛擬網(wǎng)絡(luò)不僅可以提供與 物理網(wǎng)絡(luò)相同的功能特性和性能保證，而且還具有虛擬化的運(yùn)維優(yōu)勢(shì)和硬件獨(dú) 立性，包括快速調(diào)配、無(wú)中斷部署、自動(dòng)維護(hù)等。網(wǎng)絡(luò)虛擬化將邏輯網(wǎng)絡(luò)連接 設(shè)備和服務(wù)(邏輯端口、交換機(jī)、路由器、防火墻、負(fù)載平衡器和VPN等)提 供給已連接的工作負(fù)載。應(yīng)用在虛擬網(wǎng)絡(luò)上的運(yùn)行與在物理網(wǎng)絡(luò)上完全相同。 使用SDN技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)控制平

16、面和轉(zhuǎn)發(fā)平面的分離，由此提供更友善、更強(qiáng) 大的網(wǎng)絡(luò)配置和控制能力。云平臺(tái)通過(guò)網(wǎng)絡(luò)軟件定義(SDN)技術(shù)實(shí)現(xiàn)虛擬網(wǎng)絡(luò)的編程控制和網(wǎng)絡(luò)功能 虛擬化(NFV)。云平臺(tái)提供了兩種組網(wǎng)方式：基礎(chǔ)網(wǎng)絡(luò)和私有網(wǎng)絡(luò)。前者是一個(gè) 由QCMS維護(hù)的全局網(wǎng)絡(luò)，后者是基于VXLAN協(xié)議由用戶自行管理和定義的網(wǎng) 絡(luò)。私有網(wǎng)絡(luò)虛擬私有網(wǎng)絡(luò)(VPC)是云平臺(tái)環(huán)境內(nèi)可以為用戶預(yù)配置出的一個(gè)專屬的大型 網(wǎng)絡(luò)。在VPC網(wǎng)絡(luò)內(nèi)，您可以自定義IP地址范圍、創(chuàng)建子網(wǎng)，并在子網(wǎng)內(nèi)創(chuàng)建 主機(jī)/數(shù)據(jù)庫(kù)/大數(shù)據(jù)等各種云資源。私有網(wǎng)絡(luò)之間是100%隔離的，以滿足對(duì)安 全的100%追求。私有網(wǎng)絡(luò)類似物理世界中使用虛擬交換機(jī)(L2 Switch)將

17、多臺(tái)服務(wù)器連接 在一起，組成的局域網(wǎng)。虛擬路由器用于多個(gè)受管私有網(wǎng)絡(luò)之間互聯(lián)，并提供 多項(xiàng)附加功能：DHCP、端口轉(zhuǎn)發(fā)、VPN、隧道服務(wù)和訪問(wèn)控制，涵蓋了常用的網(wǎng) 絡(luò)配置與管理工作。當(dāng)用戶使用多臺(tái)主機(jī)工作時(shí)，通常會(huì)讓不同功能的主機(jī)分 布在不同的子網(wǎng)里，例如：Web服務(wù)器和DB服務(wù)器因?yàn)樵L問(wèn)要求的不同而被分 配在不同的子網(wǎng)里。提供的私有網(wǎng)絡(luò)功能幫助用戶輕松完成組網(wǎng)工作，針對(duì)上 述案例，只需將Web服務(wù)的主機(jī)和DB服務(wù)的主機(jī)放置在不同的私有網(wǎng)絡(luò)里即 可。私有網(wǎng)絡(luò)的節(jié)點(diǎn)通訊從傳統(tǒng)樹(shù)形結(jié)構(gòu)變成網(wǎng)狀結(jié)構(gòu)，所有節(jié)點(diǎn)之間進(jìn)行點(diǎn) 對(duì)點(diǎn)直接通訊，提高了節(jié)點(diǎn)間通訊的性能。私有網(wǎng)絡(luò)之間的通訊不在依賴單個(gè) 虛擬路由器

18、，而是通過(guò)分布式網(wǎng)關(guān)實(shí)現(xiàn)。提高了私有網(wǎng)絡(luò)之間通訊的效率，也 提高了單個(gè)路由器可以接駁的私有網(wǎng)絡(luò)數(shù)目。一個(gè)私有網(wǎng)絡(luò)可以連接254個(gè)子網(wǎng)(Vxnet)，且最多可以容納60,000臺(tái) 虛擬主機(jī)。通過(guò)分布式路由器和虛擬直連技術(shù)，云平臺(tái)的VPC網(wǎng)絡(luò)可以在大規(guī) 模部署的情況下，保障網(wǎng)絡(luò)集群的高性能和高可用。VPC網(wǎng)絡(luò)也可以實(shí)現(xiàn)和公 網(wǎng)Internet的高效互通，任意一臺(tái)VPC網(wǎng)絡(luò)管理的主機(jī)都可以直接綁定EIP； 同時(shí)，負(fù)載均衡器也可以直接連接VPC網(wǎng)絡(luò)內(nèi)的主機(jī)。在VPC網(wǎng)絡(luò)里，管理路由器只負(fù)責(zé)VPN/隧道/DNS/端口轉(zhuǎn)發(fā)等管理功能， 以及這些管理流量的轉(zhuǎn)發(fā)和路由，不再處理子網(wǎng)之間的轉(zhuǎn)發(fā)流量。VPC網(wǎng)絡(luò)內(nèi)

19、 的主機(jī)可以綁定自己的EIP；設(shè)置專屬的防火墻，這些IP、防火墻與管理路由 器之間沒(méi)有隸屬關(guān)系。自管網(wǎng)絡(luò)如果云提供的路由器功能無(wú)法滿足您對(duì)網(wǎng)絡(luò)管理的需求，您可以創(chuàng)建自管 私有網(wǎng)絡(luò)，以自行配置和管理該網(wǎng)絡(luò)。一個(gè)云主機(jī)可以加入多個(gè)自管網(wǎng)絡(luò)，每個(gè)自管網(wǎng)絡(luò)對(duì)應(yīng)云主機(jī)的一塊虛擬 網(wǎng)卡：語(yǔ)行中 也股. 儺伯192160,0.3此報(bào)務(wù)備1QA 了一個(gè)受管 3網(wǎng)堵 vxn必-us02ji8x以及早外三個(gè)自管網(wǎng)書(shū)從操作系統(tǒng)角度可以看到系統(tǒng)有4個(gè)網(wǎng)卡，eth0對(duì)應(yīng)到受管網(wǎng)絡(luò)，eth13 對(duì)應(yīng)到3個(gè)自管網(wǎng)絡(luò)smn1,smn3和smn2。手工可以修改自管網(wǎng)絡(luò)的網(wǎng)絡(luò)配置。 如eth1被修改為。eUiO Link tii

20、cap :ELlituitI HUoddr ；61 ；70 ；Ge；30 inet addpiiq? 16B G .3 HmN ： 192 一1林 一0相M ：石5KSB f)iiiclb uddr： f cEO: :5054 :61ff :f e7E :6e3Bz64 3uu*：Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric：1 RX poujktzLx ：3L5 errui-s: G drupped uvcrriLns：。f i-amc: TX packets ：242 errors:G dropped ：0 VErrnins car

21、rier :G coll is ions：0 txqueuelem：1DOO RX bytes：29225 (29.2 KB) TX bytes：40411 (40.4 KE)etlil Link ercap :Etliernet HUaddr 52 ：E4：0e ：f0 ：B2：02iret addr ：iy lbB .1.10 beast ： ltJZ. IbH . 1. HasK .Z55 .55.0 imetb addr: FeBO:5G54:efF:feFO：0EO2z64 Scope:Link UF BHUflBCftiiT BUHM1MG nULTlCA8L I1TU : 150

22、0 I1etric：l RX packets：83 errors：0 dropped：0 ayerrums:0 franc：D TX packets:Z!j errors ：0 dropped ：0 aiierruins ：3 earn ier ：0 co 11 is ions：0 txqucuclcm：1000 KX hutPKlIHhUO (1：i h KHJ TX(Z.Z KH)Link pmp :Et.hprnftt HUdrlr F? ：F4：rir :rln ：*17： 1f i nt:LG cidlr : feOO: : 5054 : duff :Tedc : 3?lfz&4 S

23、uujjt ； L i nk UP RROABCAST Bl INNING HUT TTCAST MTUISOO Me+ricl RX paclseL ciLiLur；i；0 diLuppe(l ；0 umruu 佬：9 Trant:：。 TX pa(?*Ei:其：223 erpnr?: 0 dpnppf=?d ：0 Lf!rpiiin5?：0 capri rp ：G coll Is Ions：0 txqueuelen：1000 RX byEs：172a (1.7 KB) TK bytes：42fc06 (42 6 KB)etli3 Link ercap :Etliernet HLJaddr

24、52 ：54：3a ：fc ：c5：d5 iret6 addr: fe60:5054:3aff:fefc:c5d5z64 Scope：Link UF BROADCAST RUNNING MULTICAST MTU:1500 rtetric：! RX packets：0 errors：0 dropped：0 ouerruns：O frame：0 TX packets ：2Z1 errors:G dropped ：0 auerrnins：0 carrier ：G coll is ions ：U tMqueuelein ：1DOG RX bytes：0 COG B) TX bytes：11S22 4

25、1.9 KB)此時(shí)如有其它云主機(jī)也加入到smn1自管網(wǎng)絡(luò)且設(shè)置ip到同一個(gè)網(wǎng)絡(luò)，貝 兩個(gè)云主機(jī)可以相互ping通。網(wǎng)絡(luò)功能虛擬化通過(guò)軟件定義網(wǎng)絡(luò)實(shí)現(xiàn)了網(wǎng)絡(luò)功能虛擬化，提供了虛擬負(fù)載均衡、虛擬防 火墻功能。虛擬負(fù)載均衡器可以將來(lái)自多個(gè)EIP地址的訪問(wèn)流量分發(fā)到多臺(tái)主機(jī)上，并支持自動(dòng)檢測(cè)并隔離不可用的主機(jī)，從而提高業(yè)務(wù)的服務(wù)能力和可用性。同 時(shí)，你還可以隨時(shí)通過(guò)添加或刪減主機(jī)來(lái)調(diào)整你的服務(wù)能力，而且這些操作不 會(huì)影響業(yè)務(wù)的正常訪問(wèn)。負(fù)載均衡器支持HTTP/HTTPS/TCP三種監(jiān)聽(tīng)模式，并 支持透明代理，可以讓后端主機(jī)不做任何更改，直接獲取客戶端真實(shí)IP。另 外，負(fù)載均衡器還支持靈活配置多種轉(zhuǎn)發(fā)策

26、略，實(shí)現(xiàn)高級(jí)的自定義轉(zhuǎn)發(fā)控制功 能。同時(shí)，提供的虛擬防火墻來(lái)保護(hù)網(wǎng)絡(luò)的訪問(wèn)。云的虛擬防火墻采用的是分 布式防火墻技術(shù)，就是利用每個(gè)計(jì)算節(jié)點(diǎn)物理主機(jī)的IPTABLES，把所有計(jì)算節(jié) 點(diǎn)組成了一個(gè)分布式的防火墻。為每個(gè)用戶提供了一個(gè)缺省防火墻，我們也可 以自建更多的防火墻。不同的云服務(wù)器可以被設(shè)置不同的防火墻策略。S十制嵯S:TCPttO-M5555499垢昱林起窯專有便氐心嘗匚.金成IDC岳京,為居!宣SEVg .建山中爪甘地的口.名稱憂魂7灼汶起就口 0(?)filpa1ICMPasEchoEcMa requestIP臨口弟窖：:：:&寄制一2TCPDAPP1-SSH2TCP22FS王合MFI

27、二寧石幣匹上行規(guī)則的滴球荷傍劇,為保理寺全,1打加入列志it司定的Win四峭主ffl默山艮刑了晚上行肪出曾晚則.直街豐悟.物理組網(wǎng)由于不僅需要支持虛擬機(jī)之間高速的通信，還要支撐完成多份實(shí)時(shí)副本 的工作，為保證整個(gè)平臺(tái)的性能，我們規(guī)劃云平臺(tái)的支撐網(wǎng)絡(luò)應(yīng)該規(guī)劃為萬(wàn)兆 （10Gb/s）網(wǎng)絡(luò)，。在云計(jì)算管理平臺(tái)對(duì)于網(wǎng)絡(luò)設(shè)備的使用都只當(dāng)為二層（鏈路層）設(shè)備來(lái) 使用，物理網(wǎng)絡(luò)設(shè)備只是解決連通性問(wèn)題，無(wú)需使用任何三層（網(wǎng)絡(luò)層）的協(xié) 議。這樣的好處是在確保性能最優(yōu)的前提下，無(wú)需復(fù)雜的配置，無(wú)論是工程實(shí) 施，還是后期維護(hù)，工作量都大大減少了；同時(shí)系統(tǒng)的構(gòu)建不用依賴任何廠家 的網(wǎng)絡(luò)產(chǎn)品，再也沒(méi)有廠商鎖定的困擾。3

28、計(jì)算及存儲(chǔ)規(guī)劃3.1平臺(tái)拓?fù)湔麄€(gè)云平臺(tái)由：控制節(jié)點(diǎn)、對(duì)象存儲(chǔ)網(wǎng)關(guān)節(jié)點(diǎn)、計(jì)算、分布式存儲(chǔ)節(jié) 點(diǎn)、對(duì)象存儲(chǔ)節(jié)點(diǎn)構(gòu)成。3.2設(shè)計(jì)依據(jù)從技術(shù)架構(gòu)來(lái)看，云計(jì)算出現(xiàn)之前的數(shù)據(jù)中心大多采用“豎井式”的應(yīng)用 開(kāi)發(fā)部署方式，無(wú)論是機(jī)房基礎(chǔ)設(shè)施，還是網(wǎng)絡(luò)資源、存儲(chǔ)資源、計(jì)算資源等 都采用專業(yè)化維度的部署管理，對(duì)于應(yīng)用軟件投產(chǎn)、數(shù)據(jù)分布及備份采用按應(yīng) 用系統(tǒng)“一事一議”的方式部署。這種各個(gè)系統(tǒng)部件、應(yīng)用緊耦合的維護(hù)、變 更模式流程較為復(fù)雜。數(shù)據(jù)中心普遍通過(guò)在ServiceDesk中采用專門的變更、 問(wèn)題流程管理功能協(xié)調(diào)各專業(yè)部門的工作流。隨著業(yè)務(wù)的發(fā)展，數(shù)據(jù)中心在一 定程度上出現(xiàn)了 IT資源局部富余但整體緊張的現(xiàn)象

29、。數(shù)據(jù)中心為了更好的管理既有業(yè)務(wù)系統(tǒng)，同時(shí)提升IT系統(tǒng)的運(yùn)行效率，規(guī) 劃采用云數(shù)據(jù)中心方式對(duì)業(yè)務(wù)系統(tǒng)提供統(tǒng)一的IT能力服務(wù)平臺(tái)。另一方面，考慮到數(shù)據(jù)中心未來(lái)長(zhǎng)期的云計(jì)算平臺(tái)建設(shè)策略，建議規(guī)劃整 體的云計(jì)算建設(shè)路線圖，并對(duì)當(dāng)前的基礎(chǔ)架構(gòu)云進(jìn)行詳細(xì)設(shè)計(jì)。云數(shù)據(jù)中心平臺(tái)的建設(shè)，應(yīng)該考慮到的設(shè)計(jì)原則為：可管理性原則系統(tǒng)架構(gòu)中應(yīng)提供集成、統(tǒng)一的軟硬件管理功能，滿足各種日常的管理需求， 適應(yīng)新一代數(shù)據(jù)中心管理快捷、方便的特點(diǎn)開(kāi)放性原則架構(gòu)必須能夠滿足自身的穩(wěn)定性，同時(shí)具有集成的異構(gòu)兼容性，在滿足新的業(yè) 務(wù)需求同時(shí)不需要對(duì)架構(gòu)進(jìn)行重新設(shè)計(jì)或?qū)ΜF(xiàn)有架構(gòu)重大修改?？蓴U(kuò)展性原則可擴(kuò)展性是指未來(lái)應(yīng)用系統(tǒng)的業(yè)務(wù)量增加

30、時(shí)，資源能夠自動(dòng)擴(kuò)展以適應(yīng)更多用 戶、更多的業(yè)務(wù)處理及存儲(chǔ)能力。安全性原則系統(tǒng)架構(gòu)必須是能夠提供認(rèn)證、訪問(wèn)控制能力的環(huán)境，以確保業(yè)務(wù)關(guān)鍵信息的 完整性、保密性。適度性原則結(jié)合自身需求，資源以滿足目前要求為基準(zhǔn)，并適度前瞻。持續(xù)性原則IT架構(gòu)設(shè)計(jì)應(yīng)該具有持續(xù)性，滿足目前要求并可持續(xù)擴(kuò)展，持續(xù)優(yōu)化。3.3方案描述云計(jì)算平臺(tái)的建設(shè)是分階段、分步來(lái)實(shí)施的，并且伴隨業(yè)務(wù)訪問(wèn)量和對(duì)存 儲(chǔ)空間、存儲(chǔ)性能的要求，還可對(duì)本項(xiàng)目云平臺(tái)進(jìn)行水平擴(kuò)展，本項(xiàng)目規(guī)劃 由：控制節(jié)點(diǎn)、對(duì)象存儲(chǔ)網(wǎng)關(guān)節(jié)點(diǎn)、計(jì)算分布式存儲(chǔ)節(jié)點(diǎn)、對(duì)象存儲(chǔ)節(jié)點(diǎn)構(gòu) 成。本次數(shù)據(jù)中心的基礎(chǔ)架構(gòu)云的建設(shè)可達(dá)成以下預(yù)期目標(biāo)：彈性與自動(dòng)化的基礎(chǔ)設(shè)施通過(guò)建設(shè)軟件

31、定義的數(shù)據(jù)中心，實(shí)現(xiàn)能以按需方式，通過(guò)網(wǎng)絡(luò)，方便的訪 問(wèn)數(shù)據(jù)中心的可配置計(jì)算資源共享池（比如：網(wǎng)絡(luò)，服務(wù)器，存儲(chǔ)，應(yīng)用程序和 服務(wù)）。同時(shí)以最少的管理開(kāi)銷，完成自動(dòng)化迅速配置提供或釋放資源，應(yīng)對(duì) 不確定以及海量的訪問(wèn)壓力時(shí)提供足夠的計(jì)算資源。按需服務(wù)，平臺(tái)交付統(tǒng)一便捷的服務(wù)提供能力與集成能力，為資源使用者提供標(biāo)準(zhǔn)化的服務(wù)目 錄與資源申請(qǐng)、管理平臺(tái)，使其可以方便的連接到云計(jì)算平臺(tái)，申請(qǐng)所需服務(wù) 與資源，并便捷的進(jìn)行管理。降低對(duì)于人工配置和流程的依賴，在滿足總體管 理需求的前提下提升服務(wù)水平。敏捷的IT服務(wù)水平不僅滿足服務(wù)器資源池化的需求，同時(shí)對(duì)存儲(chǔ)、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、緩存等關(guān) 鍵組件都實(shí)現(xiàn)軟件定義和

32、標(biāo)準(zhǔn)的服務(wù)提供能力，將物理資源轉(zhuǎn)化為邏輯資源， 利用模版化、API、秒級(jí)交付、批量構(gòu)建等手段，加速IT資源的供給速度，提 高服務(wù)水平。簡(jiǎn)化管理，智能統(tǒng)一運(yùn)維通過(guò)云計(jì)算管理平臺(tái)，實(shí)現(xiàn)對(duì)資源的統(tǒng)一化及動(dòng)態(tài)化分配和管理。將多組 服務(wù)器、網(wǎng)絡(luò)和存儲(chǔ)通過(guò)軟件定義技術(shù)，將其作為一個(gè)超大規(guī)模的集群進(jìn)行統(tǒng) 一管理，可以對(duì)其進(jìn)行資源的動(dòng)態(tài)分配和調(diào)整及回收，提高管理效率，并通過(guò) 安全設(shè)置可以保證虛擬資源的安全性和獨(dú)立性。硬件故障無(wú)害化，保障業(yè)務(wù)連續(xù)通過(guò)其高可用設(shè)計(jì)，可以實(shí)現(xiàn)最可靠的運(yùn)算平臺(tái)。將任何一臺(tái)服務(wù)器的失 敗，云計(jì)算管理平臺(tái)都可以自動(dòng)發(fā)現(xiàn)，并把失敗的服務(wù)器從可用服務(wù)器列表 中剔除，從而保證任意時(shí)間用戶請(qǐng)求的

33、計(jì)算資源都是建立的可用的服務(wù)器之 上。同時(shí)，將該服務(wù)器上的負(fù)載自動(dòng)遷移到其他可用的服務(wù)器上，保障應(yīng)用負(fù) 載在硬件失敗時(shí)自動(dòng)恢復(fù)。同時(shí)方案提供各種應(yīng)用、數(shù)據(jù)的備份機(jī)制（高連續(xù)性服務(wù)），可實(shí)現(xiàn)應(yīng)用 層面的多節(jié)點(diǎn)負(fù)載、快照、HA，數(shù)據(jù)節(jié)點(diǎn)的3副本的備份機(jī)制，提供多種安全 保障功能，解決業(yè)務(wù)的意外中斷和數(shù)據(jù)丟失困擾。同時(shí)實(shí)現(xiàn)網(wǎng)絡(luò)的冗余配置，以確保物理網(wǎng)絡(luò)連接的高可用。使用SDN等網(wǎng) 絡(luò)虛擬化技術(shù)，構(gòu)建高可用的虛擬用戶網(wǎng)絡(luò)。使用分布式文件系統(tǒng)，構(gòu)建統(tǒng)一 的存儲(chǔ)池，提供包括實(shí)時(shí)異地多副本和硬盤快照等功能，保證用戶數(shù)據(jù)的安全 可靠。在應(yīng)用服務(wù)方面，提供虛擬的負(fù)載均衡器，把用戶請(qǐng)求轉(zhuǎn)發(fā)到多臺(tái)不 同物理宿主的應(yīng)

34、用服務(wù)器上，一旦某臺(tái)應(yīng)用服務(wù)器失敗，負(fù)載均衡器可以把 失敗的應(yīng)用服務(wù)器隔離，但對(duì)用戶來(lái)講，其請(qǐng)求仍然可以由其他的應(yīng)用服務(wù)器 提供。達(dá)到高可用性、負(fù)載平衡的運(yùn)行環(huán)境，保障業(yè)務(wù)連續(xù)。計(jì)算虛擬化需求計(jì)算虛擬化是指通過(guò)虛擬化技術(shù)將一臺(tái)物理計(jì)算機(jī)虛擬為多臺(tái)邏輯計(jì)算 機(jī)。在一臺(tái)物理計(jì)算機(jī)上同時(shí)運(yùn)行多個(gè)邏輯計(jì)算機(jī)，每個(gè)邏輯計(jì)算機(jī)可運(yùn)行不 同的操作系統(tǒng)，并且應(yīng)用程序都可以在相互獨(dú)立的空間內(nèi)運(yùn)行而互不影響，從 而顯著提高計(jì)算機(jī)的工作效率。虛擬化使用軟件的方法重新定義劃分IT資源，可以實(shí)現(xiàn)IT資源的動(dòng)態(tài)分 配、靈活調(diào)度、跨域共享，提高IT資源利用率，使IT資源能夠真正成為社會(huì) 基礎(chǔ)設(shè)施，服務(wù)于各行各業(yè)中靈活多變的

35、應(yīng)用需求。計(jì)算虛擬化的功能及技術(shù)需求如下：-采用目前主流的KVM全虛擬化技術(shù)，應(yīng)支持不重啟主機(jī)動(dòng)態(tài)升級(jí)KVM版 本；-支持計(jì)算資源虛擬化，形成分布式計(jì)算資源池。虛擬化效率不小于；-支持計(jì)算設(shè)備“一虛多”。同一臺(tái)物理主機(jī)上同時(shí)支持多種操作系統(tǒng)， 或是相同操作系統(tǒng)的不同版本。分區(qū)與分區(qū)之間相互獨(dú)立，互不影 響；-支持資源的動(dòng)態(tài)調(diào)配與彈性可伸縮。資源池具備各級(jí)資源的按需獲取功 能，提高資源消費(fèi)者的可用性、容錯(cuò)與擴(kuò)展能力。資源響應(yīng)的速度應(yīng) 達(dá)到秒級(jí)。-支持虛擬機(jī)的在線和離線遷移；-支持虛擬機(jī)系統(tǒng)自動(dòng)批量部署，一次同時(shí)部署的規(guī)模能達(dá)到200臺(tái)虛擬 機(jī)。分布式存儲(chǔ)分布式存儲(chǔ)系統(tǒng)，是將數(shù)據(jù)分散存儲(chǔ)在多臺(tái)獨(dú)立

36、的設(shè)備上。傳統(tǒng)的網(wǎng)絡(luò)存 儲(chǔ)系統(tǒng)采用集中的存儲(chǔ)服務(wù)器存放所有數(shù)據(jù)，存儲(chǔ)服務(wù)器成為系統(tǒng)性能的瓶 頸，也是可靠性和安全性的焦點(diǎn)，不能滿足大規(guī)模存儲(chǔ)應(yīng)用的需要。分布式網(wǎng) 絡(luò)存儲(chǔ)系統(tǒng)采用可擴(kuò)展的系統(tǒng)結(jié)構(gòu)，利用多臺(tái)存儲(chǔ)服務(wù)器分擔(dān)存儲(chǔ)負(fù)荷，它不 但提高了系統(tǒng)的可靠性、可用性和存取效率，還易于擴(kuò)展。分布式存儲(chǔ)系統(tǒng)不僅為虛擬主機(jī)提供塊存儲(chǔ)也為對(duì)象存儲(chǔ)提供存儲(chǔ)能力。 同時(shí)分布式存儲(chǔ)系統(tǒng)提供數(shù)據(jù)的多（3）個(gè)實(shí)時(shí)副本，保證用戶數(shù)據(jù)的安全。分布式存儲(chǔ)系統(tǒng)的功能及技術(shù)需求如下：支持增量擴(kuò)容和自動(dòng)數(shù)據(jù)平衡能力，允許用戶定制數(shù)據(jù)分布策 略；架構(gòu)避免固定的集中控制點(diǎn)，且各節(jié)點(diǎn)能自動(dòng)進(jìn)行故障監(jiān)測(cè)、切 換以及數(shù)據(jù)遷移；具備高可擴(kuò)展

37、性，可支持上億個(gè)文件和PB以上量級(jí)的文件存儲(chǔ);支持不重啟系統(tǒng)，增加物理服務(wù)器后自動(dòng)擴(kuò)容；在不依賴SAN&NAS等特殊硬件設(shè)備的條件下，提供高可用性和高可靠性；提供至少3份數(shù)據(jù)實(shí)時(shí)副本，且保證至少有一份跨機(jī)架的數(shù)據(jù)副本；服務(wù)可用性要高于%；數(shù)據(jù)可靠性要高于;基于SAS硬盤的虛擬存儲(chǔ)IO性能不小于120MB/s,基于SSD硬 盤的虛擬存儲(chǔ)IO性能不小于300MB/s。應(yīng)采用Shared-nothing架構(gòu)設(shè)計(jì)，支持1萬(wàn)以上用戶并發(fā)讀寫， 支持1000臺(tái)以上物理服務(wù)器集群。網(wǎng)絡(luò)虛擬化（SDN）網(wǎng)絡(luò)虛擬化完整再現(xiàn)了物理網(wǎng)絡(luò)。虛擬網(wǎng)絡(luò)不僅可以提供與物理網(wǎng)絡(luò)相同 的功能特性和性能保證，而且還具有虛擬化的運(yùn)

38、維優(yōu)勢(shì)和硬件獨(dú)立性，包括快 速調(diào)配、無(wú)中斷部署、自動(dòng)維護(hù)等。網(wǎng)絡(luò)虛擬化將邏輯網(wǎng)絡(luò)連接設(shè)備和服務(wù) （邏輯端口、交換機(jī)、路由器、防火墻、負(fù)載平衡器和VPN等）提供給已連接 的工作負(fù)載。應(yīng)用在虛擬網(wǎng)絡(luò)上的運(yùn)行與在物理網(wǎng)絡(luò)上完全相同。使用SDN技 術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)控制平面和轉(zhuǎn)發(fā)平面的分離，由此提供更友善、更強(qiáng)大的網(wǎng)絡(luò)配 置和控制能力。網(wǎng)絡(luò)虛擬化和SDN的功能及技術(shù)需求如下：采用軟件+硬件方式，通過(guò)軟硬件集成實(shí)現(xiàn)SDN，靈活調(diào)度與管理 虛擬網(wǎng)絡(luò)，并實(shí)現(xiàn)已應(yīng)用為中心的基礎(chǔ)架構(gòu)； 通過(guò)SDN技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化，構(gòu)建網(wǎng)絡(luò)資源池；支持虛擬私有網(wǎng)絡(luò)，私有網(wǎng)絡(luò)間要100%二層網(wǎng)絡(luò)隔離，支持不同 用戶自由使用網(wǎng)絡(luò)資源；支

39、持虛擬路由器，虛擬交換機(jī)，虛擬防火墻，虛擬負(fù)載均衡器， 可以按需配置網(wǎng)絡(luò)邏輯拓?fù)?；通過(guò)SDN實(shí)現(xiàn)DHCP，端口轉(zhuǎn)發(fā)，隧道服務(wù)，VPN接入服務(wù)和過(guò)濾 控制服務(wù)；支持通過(guò)SDN功能實(shí)現(xiàn)機(jī)房間通過(guò)網(wǎng)絡(luò)安全隧道（IP-Sec）聯(lián) 通。4網(wǎng)絡(luò)安全規(guī)劃4.1方案目標(biāo)充分解讀網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)政策和標(biāo)準(zhǔn)，全面提升網(wǎng)絡(luò)安全防護(hù)能 力，應(yīng)對(duì)新威脅、新應(yīng)用下的安全威脅，利用云端安全服務(wù)、云防護(hù)的創(chuàng)新技 術(shù)理念與技術(shù)落地，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的智能統(tǒng)一管理，并達(dá)到國(guó)家網(wǎng)絡(luò)安全等 級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)與要求。4.2設(shè)計(jì)依據(jù)中辦200327號(hào)文件國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作 的意見(jiàn)四部委于2004年9月15日發(fā)布

40、公通字200466號(hào)信息安全等級(jí)保護(hù) 工作的實(shí)施意見(jiàn)四部委2007年06月17日發(fā)布（2007）公通字43號(hào)信息安全等級(jí)保 護(hù)管理辦法GB/T信息安全技術(shù)信息安全等級(jí)保護(hù)基本要求第1部分：安全通用 要求GB/T信息安全技術(shù)信息安全等級(jí)保護(hù)基本要求第2部分：云計(jì)算安 全擴(kuò)展要求GB/T 31167-2014信息安全技術(shù)云計(jì)算服務(wù)安全指南GB/T 31168-2014信息安全技術(shù)云計(jì)算服務(wù)安全能力要求4.3等保要求對(duì)標(biāo)新等保的第三級(jí)安全通用要求?！拔锢砗铜h(huán)境要求”不在本方案的撰寫范疇。網(wǎng)絡(luò)和通信安全網(wǎng)絡(luò)架構(gòu)鏈路負(fù)載防火墻數(shù)據(jù)庫(kù)審計(jì)運(yùn)維審計(jì)堡壘機(jī)WEB防火墻漏洞掃描抗DDOS攻擊通信傳輸防火墻邊界防

41、護(hù)防火墻運(yùn)維審計(jì)堡壘機(jī)訪問(wèn)控制防火墻入侵防范IPS數(shù)據(jù)庫(kù)申計(jì)WEB防火墻抗DDOS攻擊惡意代碼防范防火墻防病毒網(wǎng)關(guān)安全審計(jì)防火墻數(shù)據(jù)庫(kù)申計(jì)運(yùn)維審計(jì)堡壘機(jī)日志審計(jì)WEB防火墻漏洞掃描抗DDOS攻擊集中管控防火墻漏洞掃描抗DDOS攻擊設(shè)備和計(jì)算安全身份鑒別防火墻虛擬化安全數(shù)據(jù)庫(kù)申計(jì)運(yùn)維審計(jì)堡壘機(jī)WEB防火墻抗DDOS攻擊訪問(wèn)控制防火墻虛擬化安全數(shù)據(jù)庫(kù)申計(jì)運(yùn)維審計(jì)堡壘機(jī)WEB防火墻漏洞掃描虛擬化安全數(shù)據(jù)庫(kù)審計(jì)運(yùn)維審計(jì)日志審計(jì)WEB防火墻漏洞掃描抗DDOS攻擊入侵防范虛擬化安全WEB防火墻抗DDOS攻擊惡意代碼防范虛擬化安全虛擬化安全數(shù)據(jù)庫(kù)審計(jì)運(yùn)維審計(jì)堡壘機(jī)WEB防火墻抗DDOS攻擊應(yīng)用和數(shù)據(jù)安全身份鑒別數(shù)據(jù)庫(kù)審計(jì)運(yùn)維審計(jì)堡壘機(jī)數(shù)據(jù)庫(kù)審計(jì)運(yùn)維審計(jì)堡壘機(jī)WEB防火墻數(shù)據(jù)庫(kù)審計(jì)運(yùn)維審計(jì)堡壘機(jī)日志審計(jì)軟件容錯(cuò)數(shù)據(jù)庫(kù)審計(jì)運(yùn)維審計(jì)堡壘機(jī)WEB防火墻資源控制數(shù)據(jù)庫(kù)審計(jì)運(yùn)維審計(jì)堡壘機(jī)數(shù)據(jù)備份恢復(fù)數(shù)據(jù)庫(kù)審計(jì)運(yùn)維審計(jì)堡壘機(jī)WEB防火墻個(gè)人信息保護(hù)數(shù)據(jù)庫(kù)申計(jì)運(yùn)維審計(jì)堡壘機(jī)安全運(yùn)維管理漏洞和風(fēng)險(xiǎn)管理漏洞掃描4.4方案拓?fù)?.5功能描述產(chǎn)品名稱產(chǎn)品描述產(chǎn)