IT基礎(chǔ)架構(gòu)建設(shè)項(xiàng)目解決方案

1、IT基礎(chǔ)設(shè)施建設(shè)解決方案目錄1總體架構(gòu)設(shè)計(jì)31.1概述31.2網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)41.3外部網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)61.4無線網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)71.5信息點(diǎn)統(tǒng)計(jì)表72網(wǎng)絡(luò)和安全方案設(shè)計(jì)92.1網(wǎng)絡(luò)虛擬化設(shè)計(jì)92.2安全虛擬化設(shè)計(jì)102.3虛擬交換機(jī)設(shè)計(jì)122.4數(shù)據(jù)庫審計(jì)設(shè)備132.5防火墻設(shè)備142.6入侵防護(hù)設(shè)備152.7堡壘機(jī)器162.8互聯(lián)網(wǎng)出口173業(yè)務(wù)系統(tǒng)虛擬化方案設(shè)計(jì)183.1刀片式服務(wù)器設(shè)計(jì)183.2計(jì)算虛擬化設(shè)計(jì)203.3數(shù)據(jù)中心管理設(shè)計(jì)314綜合管理體系設(shè)計(jì)334.1網(wǎng)絡(luò)管理設(shè)計(jì)334.2業(yè)務(wù)監(jiān)控設(shè)計(jì)404.3終端管理的設(shè)計(jì)415無線系統(tǒng)設(shè)計(jì)455.1無線標(biāo)準(zhǔn)選擇455.2無線醫(yī)療業(yè)務(wù)455.

2、3 48病房區(qū)無線覆蓋設(shè)計(jì)5.4門診區(qū)域無線覆蓋設(shè)計(jì)485.5網(wǎng)絡(luò)認(rèn)證模式495.6外部網(wǎng)絡(luò)認(rèn)證模式496產(chǎn)品列表49總體架構(gòu)設(shè)計(jì)總結(jié)如上圖，是本項(xiàng)目整體結(jié)構(gòu)示意圖。分為外網(wǎng)和外網(wǎng)兩部分。這兩個網(wǎng)絡(luò)由H3C SecPath F1070集成安全網(wǎng)關(guān)隔離和保護(hù)，只有授權(quán)的企業(yè)才允許訪問它們。主要用于支撐醫(yī)院科室的業(yè)務(wù)系統(tǒng)，包括網(wǎng)絡(luò)設(shè)備、存儲系統(tǒng)和服務(wù)器設(shè)備。外網(wǎng)主要用于醫(yī)院接入互聯(lián)網(wǎng)連接省市醫(yī)保專線。網(wǎng)絡(luò)設(shè)計(jì)的原則是千兆到桌面，10gb主干。外網(wǎng)設(shè)計(jì)原則是千兆到桌面，千兆骨干。外部通過千兆以太網(wǎng)鏈接到綜合安全網(wǎng)關(guān)。設(shè)計(jì)方案將根據(jù)“XXX信息系統(tǒng)建設(shè)要求”和“省級數(shù)字化醫(yī)院評估標(biāo)準(zhǔn)”進(jìn)行設(shè)計(jì)。原則上

3、符合上述兩個文件的指導(dǎo)精神。網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)網(wǎng)絡(luò)核心交換機(jī)為兩臺H3C S7506E核心交換機(jī)，每臺交換機(jī)配有冗余主控、冗余電源模塊、3個16口萬兆以太網(wǎng)光接口模塊、1個24口萬兆以太網(wǎng)電接口+4口萬兆以太網(wǎng)光接口模塊，并配有相應(yīng)的光模塊和連接電纜。萬兆鏈路用于連接樓宇接入交換機(jī)、刀片服務(wù)器系統(tǒng)和存儲系統(tǒng)。IRF2虛擬化互聯(lián)通過萬兆鏈路實(shí)現(xiàn)，支持跨設(shè)備的鏈路聚合技術(shù)。通過千兆以太網(wǎng)電氣接口連接H3C F1070集成安全網(wǎng)關(guān)。大樓的接入交換機(jī)為H3C S5130-EI系列交換機(jī)。根據(jù)弱電分布圖統(tǒng)計(jì)(見本章末統(tǒng)計(jì)表)，本工程共有34口弱電井，每口弱電井對應(yīng)的信息點(diǎn)不同。總共使用15個H3C S5130

4、-52S-EI開關(guān)和26個H3C S5130-28S-EI開關(guān)。每個弱電井配備一個上行交換機(jī)，兩個萬兆以太網(wǎng)光接口分別連接到兩個核心交換機(jī)。通過跨設(shè)備鏈路聚合技術(shù)，實(shí)現(xiàn)了上行帶寬20G，故障轉(zhuǎn)移時間200ms的最優(yōu)冗余配置。H3s5130-52s-ei交換機(jī)提供48個千兆以太網(wǎng)電接口和4個千兆以太網(wǎng)光接口。H3s5130-28s-ei交換機(jī)提供24個千兆以太網(wǎng)電接口和4個千兆以太網(wǎng)光接口。配置相應(yīng)數(shù)量的光模塊。每個弱電井中的其余交換機(jī)通過10gb電纜連接到上行鏈路交換機(jī)。服務(wù)器采用一臺H3C UIS 8000刀片服務(wù)器，配備四臺B390服務(wù)器和兩臺B590服務(wù)器。一臺B390服務(wù)器配備了兩個E

5、5-2620v3 CPU(主頻為2.4GHz，六核)、64GB高性能內(nèi)存、兩個300 GB 10K硬盤和兩個10GE Flex Fabric網(wǎng)卡。Fabric網(wǎng)卡支持1:4鏈路虛擬化技術(shù)，可以將物理網(wǎng)卡隨意劃分為指定帶寬。一臺B590服務(wù)器配備了兩個E5-4620 v3 CPU(8核主頻2.2GHz)、32GB高性能內(nèi)存、兩個300 GB 10K硬盤和兩個10GE Flex Fabric網(wǎng)卡。Fabric網(wǎng)卡支持1:4鏈路虛擬化技術(shù)，可以將物理網(wǎng)卡隨意劃分為指定帶寬。B390服務(wù)器配合H3C CAS虛擬化系統(tǒng)承載醫(yī)療應(yīng)用業(yè)務(wù)，B590服務(wù)器配合H3C CAS虛擬化系統(tǒng)承載應(yīng)用數(shù)據(jù)庫業(yè)務(wù)。H3U

6、IS8000刀片服務(wù)器機(jī)箱配備2個OA管理模塊、10個航空冗余風(fēng)扇模塊、6個航空冗余電源模塊、1+1冗余管理模塊、2個FlexFabric 10 24口刀片系統(tǒng)VC模塊。VC模塊配置有8個10千兆上行端口和16個10千兆下行端口。上行端口直接連接到核心交換機(jī)，下行端口通過無源背板連接到刀片服務(wù)器。兩個VC模塊通過端口互聯(lián)，實(shí)現(xiàn)冗余保證。VC模塊支持1:4鏈路虛擬化技術(shù)，可以將物理網(wǎng)卡任意劃分為指定帶寬，實(shí)現(xiàn)靈活的業(yè)務(wù)鏈路部署。存儲系統(tǒng)是H3C FlexStorage P5730 IP存儲系統(tǒng)。配備25塊900GB 10000 rpm SAS硬盤，4個千兆以太網(wǎng)電接口，2個萬兆以太網(wǎng)光接口。可用

7、空間為22.5TB，存儲系統(tǒng)用于實(shí)現(xiàn)與虛擬化業(yè)務(wù)系統(tǒng)共享存儲的核心業(yè)務(wù)數(shù)據(jù)的存儲。存儲系統(tǒng)通過萬兆以太網(wǎng)鏈路直接連接到核心交換機(jī)，實(shí)現(xiàn)與業(yè)務(wù)系統(tǒng)的數(shù)據(jù)交互。服務(wù)在H3C CAS虛擬化管理系統(tǒng)上進(jìn)行。H3C CAS虛擬化管理系統(tǒng)整合了計(jì)算、網(wǎng)絡(luò)和存儲資源的虛擬化，形成彈性數(shù)據(jù)中心資源池，實(shí)現(xiàn)資源的自動調(diào)度，更好地服務(wù)上層應(yīng)用。虛擬化后，虛擬機(jī)完全隔離，擁有獨(dú)立的CPU、內(nèi)存、磁盤I/O和網(wǎng)絡(luò)I/O，即當(dāng)任何一臺虛擬機(jī)出現(xiàn)故障時，同一臺物理機(jī)上的其他虛擬機(jī)都不會受其影響。每個虛擬機(jī)都有獨(dú)立的用戶管理權(quán)限，可以安裝獨(dú)立的操作系統(tǒng)，不同虛擬機(jī)之間的操作系統(tǒng)可以是異構(gòu)的。基于B/S架構(gòu)的管理控制臺不僅可

8、以讓您輕松組織和快速部署整個IT環(huán)境，還可以全面監(jiān)控包括CPU、內(nèi)存、磁盤I/O、網(wǎng)絡(luò)I/O等重要資源在內(nèi)的關(guān)鍵組件的性能，為管理員實(shí)施合理的資源規(guī)劃提供詳細(xì)的數(shù)據(jù)。H3C CAS虛擬化管理系統(tǒng)為虛擬機(jī)中運(yùn)行的應(yīng)用程序提供了易于使用、經(jīng)濟(jì)高效且高可用性的功能。硬件故障導(dǎo)致的服務(wù)器或虛擬機(jī)宕機(jī)將不再造成災(zāi)難性后果。H3C CAS提供的智能資源調(diào)度功能將自動為這些服務(wù)器或虛擬機(jī)重新選擇最佳運(yùn)行位置。認(rèn)證管理方案采用H3C EIA終端智能接入組件為網(wǎng)絡(luò)用戶提供接入認(rèn)證。限制用戶隨意入網(wǎng)，滿足同等保護(hù)的要求。本項(xiàng)目認(rèn)證系統(tǒng)采用門戶認(rèn)證方式，門戶網(wǎng)關(guān)部署在核心交換機(jī)中。為每個用戶提供賬號和密碼，綁定IP

9、地址和MAC地址，實(shí)現(xiàn)統(tǒng)一接入認(rèn)證。Portal認(rèn)證方式也非常適合無線醫(yī)療終端接入網(wǎng)絡(luò)，為醫(yī)院未來實(shí)現(xiàn)無線醫(yī)療全覆蓋打下良好基礎(chǔ)。為了保證網(wǎng)絡(luò)的信息安全，滿足數(shù)字化醫(yī)院對信息安全建設(shè)的要求，網(wǎng)絡(luò)配備了堡壘機(jī)和數(shù)據(jù)庫審計(jì)系統(tǒng)。通過千兆以太網(wǎng)電氣接口直接連接到核心交換機(jī)。堡機(jī)用于日常運(yùn)維審計(jì)管理平臺，記錄運(yùn)維行為，統(tǒng)一管理賬目。數(shù)據(jù)庫審計(jì)系統(tǒng)用于數(shù)據(jù)庫操作的安全保護(hù)和記錄審計(jì)。以上兩個系統(tǒng)配合使用，可以實(shí)現(xiàn)醫(yī)院的日常業(yè)務(wù)管理，同時可以進(jìn)行“反統(tǒng)”工作。外部網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)外部網(wǎng)絡(luò)核心交換機(jī)是一臺H3C S7506E-S核心交換機(jī)。配置單個冗余電源模塊、冗余主控模塊、1個48口千兆以太網(wǎng)電接口模塊、1個

10、48口千兆以太網(wǎng)光接口模塊，并配置相應(yīng)的光模塊。通過千兆以太網(wǎng)光接口連接外網(wǎng)樓宇接入交換機(jī)，通過千兆以太網(wǎng)電接口連接綜合安全網(wǎng)關(guān)、醫(yī)保前置機(jī)、出口安全網(wǎng)關(guān)、防火墻等設(shè)備。外網(wǎng)接入交換機(jī)為h3c5110系列千兆交換機(jī)。外網(wǎng)的信息點(diǎn)比較分散，所以所有的接入交換機(jī)都是通過千兆以太網(wǎng)光接口上行到核心交換機(jī)。根據(jù)信息點(diǎn)統(tǒng)計(jì)分析，H3C S5110-28P接入交換機(jī)有12臺，H3C S5110-52P接入交換機(jī)有18臺。配置相應(yīng)的光學(xué)模塊。H3C S5110-28P接入交換機(jī)配有24個千兆以太網(wǎng)電接口和4個千兆以太網(wǎng)光接口，H3C S5110-52P接入交換機(jī)配有48個千兆以太網(wǎng)電接口和4個千兆以太網(wǎng)光接

11、口。應(yīng)在外部互聯(lián)網(wǎng)出口部署H3C ACG-1000M出口安全網(wǎng)關(guān)。一個單元配有16個千兆以太網(wǎng)電氣接口、4個多路復(fù)用千兆以太網(wǎng)光學(xué)接口和冗余電源模塊。提供3年功能庫升級服務(wù)。提供管理軟件。出口網(wǎng)關(guān)提供全院NAT功能，支持鏈路負(fù)載均衡，可以精細(xì)識別和控制網(wǎng)絡(luò)中的網(wǎng)絡(luò)社區(qū)、P2P/IM帶寬濫用、網(wǎng)絡(luò)游戲、股票交易、網(wǎng)絡(luò)多媒體、非法訪問等行為。利用智能流量控制、智能攔截、智能路由等技術(shù)，結(jié)合創(chuàng)新的社交網(wǎng)絡(luò)行為管理功能、清晰易管理的日志等功能，可以提供業(yè)界最全面完善的在線行為管理解決方案。從而保證關(guān)鍵網(wǎng)絡(luò)應(yīng)用和業(yè)務(wù)的帶寬，對網(wǎng)絡(luò)流量和用戶上網(wǎng)行為進(jìn)行深入分析和全面審計(jì)，為用戶全面了解網(wǎng)絡(luò)應(yīng)用模式和流量

12、趨勢、優(yōu)化自身帶寬資源、開展各項(xiàng)業(yè)務(wù)提供有力支持。符合公安部82號令，實(shí)現(xiàn)網(wǎng)絡(luò)流量精細(xì)化管理。部署H3C F1050集成安全網(wǎng)關(guān)，連接省市醫(yī)保線。提供16千兆以太網(wǎng)電接口，8千兆以太網(wǎng)光接口，支持2個擴(kuò)展槽。支持多種VPN服務(wù)，如L2TP VPN、GRE VPN、IPSec VPN和SSL VPN。采用最新先進(jìn)的64位多核高性能處理器和高速內(nèi)存。支持H3C SCF虛擬化技術(shù)，可以將多個設(shè)備虛擬化為一個邏輯設(shè)備，可以呈現(xiàn)為一個網(wǎng)絡(luò)節(jié)點(diǎn)，統(tǒng)一管理資源，完成業(yè)務(wù)備份，提升系統(tǒng)整體性能。支持的吞吐量為5GB。部署H3C F1070集成安全網(wǎng)關(guān)作為外部網(wǎng)絡(luò)隔離屏障。配備殺毒功能，提供3年特征庫升級。提供

13、16個千兆以太網(wǎng)電接口、8個千兆以太網(wǎng)光接口和2個千兆以太網(wǎng)光接口。支持兩個擴(kuò)展槽。支持多維度綜合安全防護(hù)，可從用戶、應(yīng)用、時間、五元組等多維度對流量進(jìn)行IPS、AV、DLP等綜合安全訪問控制，有效保障網(wǎng)絡(luò)安全。吞吐量8GB。無線網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)本無線網(wǎng)絡(luò)的設(shè)計(jì)將采用同一套AP，分別連接網(wǎng)絡(luò)和外部網(wǎng)絡(luò)。部署網(wǎng)絡(luò)PoE交換機(jī)以提供無線AP電源。無線AP要求有兩個獨(dú)立的千兆以太網(wǎng)電接口，可以分別連接網(wǎng)絡(luò)和外網(wǎng)。這兩個端口被分配給不同的VLAN，以實(shí)現(xiàn)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的隔離。同一個AP提供不同的SSID，認(rèn)證系統(tǒng)保證網(wǎng)絡(luò)用戶不能訪問外網(wǎng)的SSID，外網(wǎng)用戶也不能訪問本網(wǎng)的SSID。無線醫(yī)療的業(yè)務(wù)主要用于住

14、院病房，包括無線查房、無線輸液、無線醫(yī)囑等。相對來說，公網(wǎng)的應(yīng)用較少。對于門診科室和擁擠的大廳，主要應(yīng)用是公網(wǎng)應(yīng)用。醫(yī)院不應(yīng)該讓陪護(hù)人員隨意訪問公網(wǎng)，這不符合數(shù)字化醫(yī)院的要求。他們只能接入醫(yī)院指定的微信平臺或公網(wǎng)業(yè)務(wù)平臺。無線網(wǎng)絡(luò)的詳細(xì)設(shè)計(jì)將在后面介紹。信息點(diǎn)統(tǒng)計(jì)表信息點(diǎn)統(tǒng)計(jì)表建筑物西南弱電井東南弱電井西北弱電井東北弱電井24端口交換機(jī)48端口交換機(jī)1F9276四十四30六2F四十二個86六30一個四3F64四十四2440一個四4F五十二個701826一個五5F162226F22027F2622一個一個8F2622一個一個9F2622一個一個10F2622一個一個11F2622一個一個12F2

15、622一個一個13F1622一個一個屋頂2一個相當(dāng)于2502762823221526外網(wǎng)信息點(diǎn)統(tǒng)計(jì)表建筑物西南弱電井東南弱電井西北弱電井東北弱電井24端口交換機(jī)48端口交換機(jī)1F四四三三2F三三四三3F三四24F一個2四三5F六51一個26F324627F四十四4728F四十四4729F四十四47210F四十四47211F四十四47212F四十四47213F16242相當(dāng)于七八3234181218網(wǎng)絡(luò)安全方案設(shè)計(jì)網(wǎng)絡(luò)虛擬化設(shè)計(jì)面對校園網(wǎng)橫向業(yè)務(wù)融合的需求，S7500E支持IRF2(第二代智能彈性架構(gòu))技術(shù)，將眾多高端設(shè)備虛擬化為一個邏輯設(shè)備，是業(yè)界首款支持4幀虛擬化的核心交換機(jī)產(chǎn)品。它在可靠性

16、、分布性和可管理性方面具有很強(qiáng)的優(yōu)勢。IRF(Intelligent Resilient Framework)是H3C自主研發(fā)的虛擬化技術(shù)，用于集成網(wǎng)絡(luò)中同一層的設(shè)備。其核心思想是將多臺設(shè)備連接在一起，經(jīng)過必要的配置后虛擬成一臺設(shè)備。利用這種虛擬化技術(shù)，可以集合多臺設(shè)備的硬件資源和軟件處理能力，實(shí)現(xiàn)多臺設(shè)備的協(xié)同工作、統(tǒng)一管理和不間斷維護(hù)。IRF主要有以下優(yōu)勢:簡化管理。IRF組建后，用戶可以通過任何成員設(shè)備的任何端口登錄IRF系統(tǒng)，統(tǒng)一管理IRF的所有成員設(shè)備?？煽啃愿?。IRF的高可靠性體現(xiàn)在很多方面，比如:IRF由多個成員設(shè)備組成，主設(shè)備負(fù)責(zé)IRF的運(yùn)行、管理和維護(hù)，從設(shè)備作為備份可以處理

17、業(yè)務(wù)。一旦主設(shè)備出現(xiàn)故障，系統(tǒng)會快速自動選舉新的主設(shè)備，保證業(yè)務(wù)不中斷，從而實(shí)現(xiàn)設(shè)備的1:N備份；此外，成員設(shè)備之間的IRF鏈路支持聚合功能，IRF與上下設(shè)備之間的物理鏈路也支持聚合功能。多個鏈路可以相互備份或分擔(dān)負(fù)載，從而進(jìn)一步提高IRF的可靠性。網(wǎng)絡(luò)拓展能力強(qiáng)。通過添加成員設(shè)備，很容易擴(kuò)展IRF的端口號和帶寬。因?yàn)槊總€成員設(shè)備都有CPU，可以獨(dú)立處理協(xié)議消息和轉(zhuǎn)發(fā)消息，所以IRF可以輕松擴(kuò)展其處理能力。使用IRF后，匯聚層中的多個設(shè)備成為一個邏輯設(shè)備，接入設(shè)備直接連接到該虛擬設(shè)備。這種簡化的網(wǎng)絡(luò)不再需要使用MSTP和VRRP協(xié)議，從而簡化了網(wǎng)絡(luò)配置。同時依賴于跨設(shè)備的鏈路聚合，當(dāng)成員失效時

18、，不再依賴于MSTP、VRRP等協(xié)議的匯聚，提高了可靠性。IRF還可以擴(kuò)展系統(tǒng)的處理能力和帶寬。當(dāng)原有設(shè)備的處理能力不能滿足需求時，可以通過增加更多設(shè)備形成IRF來提高整體處理能力。安全虛擬化設(shè)計(jì)安全集群架構(gòu)(SCF)是H3C(以下簡稱H3C)自主研發(fā)的安全設(shè)備軟件虛擬化技術(shù)。其核心思想是將多個安全設(shè)備連接成一個設(shè)備。它可以集成多個安全設(shè)備的軟件處理能力，實(shí)現(xiàn)多個安全設(shè)備的協(xié)同工作、統(tǒng)一管理和不間斷維護(hù)。SCF主要有以下優(yōu)點(diǎn):1.簡化管理。SCF組建后，用戶可以通過任意成員設(shè)備的任意端口登錄SCF系統(tǒng)，統(tǒng)一管理SCF的所有成員設(shè)備。2.可靠性高。SCF的高可靠性體現(xiàn)在很多方面，比如:SCF由多

19、個成員設(shè)備組成，主設(shè)備負(fù)責(zé)SCF的運(yùn)行、管理和維護(hù)，從設(shè)備作為備份可以處理業(yè)務(wù)。一旦主設(shè)備出現(xiàn)故障，系統(tǒng)會快速自動選舉新的主設(shè)備，保證業(yè)務(wù)不中斷，從而實(shí)現(xiàn)設(shè)備的1:N備份；此外，成員設(shè)備之間的SCF鏈路支持聚合功能，SCF與上下設(shè)備之間的物理鏈路也支持聚合功能，多條鏈路可以互為備份或分擔(dān)負(fù)載，進(jìn)一步提高了SCF的可靠性。3.網(wǎng)絡(luò)擴(kuò)展能力強(qiáng)。通過添加成員設(shè)備，可以輕松擴(kuò)展SCF的端口數(shù)量和帶寬。因?yàn)槊總€成員設(shè)備都有CPU，可以獨(dú)立處理協(xié)議消息和轉(zhuǎn)發(fā)消息，所以SCF可以很容易地?cái)U(kuò)展其處理能力。SCF的部署模式完全突破了機(jī)框的限制，在簡化管理和部署的基礎(chǔ)上，實(shí)現(xiàn)了安全服務(wù)和安全性能的彈性擴(kuò)展，可以通

20、過一組SCF系統(tǒng)實(shí)現(xiàn)業(yè)務(wù)流量的自動負(fù)載分擔(dān)和冗余備份。SCF組中的每個設(shè)備都稱為成員設(shè)備。根據(jù)不同的功能，成員分為兩種角色:1.主設(shè)備(簡稱主設(shè)備):負(fù)責(zé)管理整個SCF系統(tǒng)。2.從設(shè)備(簡稱從設(shè)備):作為主設(shè)備的備份設(shè)備。當(dāng)主設(shè)備出現(xiàn)故障時，系統(tǒng)會自動從從設(shè)備中選擇一個新的主設(shè)備來替換原來的主設(shè)備。索普科技華三通信科技(以下簡稱H3C)自主研發(fā)了安全設(shè)備軟件虛擬化技術(shù)。其核心思想是將一個安全設(shè)備連接成多個設(shè)備。您可以為多個安全出口分配獨(dú)立的處理能力和配置。實(shí)施獨(dú)有的安全策略。F5000采用創(chuàng)新的基于容器的虛擬化技術(shù)，實(shí)現(xiàn)真正的虛擬防火墻，即安全一平臺(SOP)。每個secure ONE平臺都完

21、全繼承了F5000設(shè)備的所有功能。sop真正基于流程相互隔離，而不是傳統(tǒng)的通過路由隔離。每個SOP系統(tǒng)都有自己獨(dú)立的運(yùn)行空間，包括管理平面、控制平面、數(shù)據(jù)平面和完整的安全業(yè)務(wù)功能。每個SOP都可以獨(dú)立啟動、暫停和關(guān)閉，單個SOP的故障不會對其他SOP和整個物理系統(tǒng)產(chǎn)生任何影響。SOP可以通過統(tǒng)一的OS內(nèi)核對系統(tǒng)的靜態(tài)和動態(tài)資源進(jìn)行精細(xì)劃分。其中，靜態(tài)資源包括內(nèi)存、硬盤、接口、TCAM等。，相關(guān)的邏輯資源包括并發(fā)會話、VPN隧道、安全策略、安全域、動態(tài)路由、VLAN等。動態(tài)資源包括CPU，相關(guān)邏輯資源包括吞吐量、新建率、抗攻擊能力、VPN處理能力等。sop的數(shù)目可以根據(jù)系統(tǒng)需求的變化而動態(tài)調(diào)整。

22、基于SOP的全分布式處理能力，在單個SOP能力不變的前提下，可以通過增加業(yè)務(wù)板來擴(kuò)展系統(tǒng)中SOP數(shù)量的上限。SOP能力可以根據(jù)用戶要求動態(tài)調(diào)整。當(dāng)業(yè)務(wù)需求發(fā)生變化時，無需重啟SOP即可在線平滑調(diào)整CPU、內(nèi)存等資源，保證用戶業(yè)務(wù)完全不受影響。SOP能力可以基于SCF能力。至少，F(xiàn)5000設(shè)備可以選擇先用SCF技術(shù)完成N:1虛擬化，再用SOP技術(shù)完成1:N虛擬化。虛擬交換機(jī)設(shè)計(jì)在本項(xiàng)目中，醫(yī)院將采用虛擬化技術(shù)完成所有業(yè)務(wù)系統(tǒng)的虛擬化部署。虛擬交換機(jī)是虛擬化技術(shù)中非常重要的一個環(huán)節(jié)。H3C的虛擬化交換機(jī)可以兼容VMware平臺，實(shí)現(xiàn)現(xiàn)有資源的統(tǒng)一管理。H3s1010v是H3C公司推出的面向企業(yè)和行

23、業(yè)數(shù)據(jù)中心虛擬化環(huán)境的智能軟件交換機(jī)產(chǎn)品，適用于VMware ESXi企業(yè)增強(qiáng)環(huán)境。通過與VMware緊密合作，H3C S1010V可以與VMware虛擬基礎(chǔ)架構(gòu)(包括VMware vCenter和VMware ESXi)完全集成，并取代VMware的基本虛擬交換機(jī)，為虛擬機(jī)提供增強(qiáng)的分布式虛擬交換功能。H3S1010V在設(shè)計(jì)上遵循OpenFlow標(biāo)準(zhǔn)架構(gòu)，實(shí)現(xiàn)了控制平面與轉(zhuǎn)發(fā)平面分離的可編程網(wǎng)絡(luò)技術(shù)。整個產(chǎn)品包括VCE，VFE和插件。并且運(yùn)行在ESXi服務(wù)器上，ESXi服務(wù)器是VMware ESXi核心的一部分，可以完全替代VMware虛擬交換機(jī)的功能。從定位上看，相當(dāng)于OpenFlow標(biāo)準(zhǔn)

24、中的OpenFlow交換機(jī)，起到數(shù)據(jù)轉(zhuǎn)發(fā)平面的作用，實(shí)現(xiàn)虛擬網(wǎng)絡(luò)端口的流量控制和轉(zhuǎn)發(fā)。收到數(shù)據(jù)包后，VFE首先在本地OpenFlow流表中查找轉(zhuǎn)發(fā)目的端口。如果不匹配，則將數(shù)據(jù)包轉(zhuǎn)發(fā)給VCE模塊，由控制層決定轉(zhuǎn)發(fā)策略和轉(zhuǎn)發(fā)端口。部署在多個ESXi上的VFE形成了跨物理主機(jī)的分布式軟件虛擬交換機(jī)。當(dāng)虛擬機(jī)遷移時，虛擬網(wǎng)卡上的網(wǎng)絡(luò)策略可以在每臺服務(wù)器上同步。VCE(虛擬控制器引擎)以標(biāo)準(zhǔn)OVF(開放式虛擬化格式)虛擬機(jī)格式交付，并通過VMware vCenter提供的OVF模板部署功能安裝在單獨(dú)的虛擬機(jī)上。從定位上看，相當(dāng)于OpenFlow標(biāo)準(zhǔn)中的控制器，通過Web GUI界面實(shí)現(xiàn)VFE的集中管理

25、和配置。插件(插件)運(yùn)行在VMware vCenter Server上的一個插件，是H3C S1010V專門為VMware開發(fā)的第三方管理接口，主要提供端口策略組的配置接口。數(shù)據(jù)庫審計(jì)設(shè)備審計(jì)設(shè)備將通過千兆以太網(wǎng)電氣接口連接到核心交換機(jī)。數(shù)據(jù)庫中審計(jì)設(shè)備的部署位置和功能實(shí)現(xiàn)沒有關(guān)聯(lián)。可以到達(dá)數(shù)據(jù)庫的IP地址就足夠了。H3secpath d2020數(shù)據(jù)庫審計(jì)設(shè)備吞吐量2GB，峰值事務(wù)處理能力20000條/秒，日志存儲能力4億條。數(shù)據(jù)庫是任何企業(yè)和公共安全中最具戰(zhàn)略性的資產(chǎn)。它通常包含重要的業(yè)務(wù)合作伙伴和客戶信息，需要加以保護(hù)以防止競爭對手和其他非法人員獲取這些信息?；ヂ?lián)網(wǎng)的快速發(fā)展提高了企業(yè)數(shù)據(jù)

26、庫信息的價值和可訪問性，同時也使數(shù)據(jù)庫信息資產(chǎn)面臨嚴(yán)峻的挑戰(zhàn)，這些挑戰(zhàn)可以概括為以下三個方面:管理層面:主要表現(xiàn)為人員的職責(zé)和流程有待完善，部分員工的日常操作有待規(guī)范，第三方維護(hù)人員的操作監(jiān)控失效等。，這使得在發(fā)生安全事故時無法追蹤和定位真正的操作員。技術(shù)層面:現(xiàn)有數(shù)據(jù)庫部門運(yùn)行情況不明，任何外部安全工具(如防火墻、IDS、IPS等。)無法阻止該部門用戶的惡意操作、資源濫用和企業(yè)信息泄露。審計(jì)級:現(xiàn)有的依賴于數(shù)據(jù)庫日志文件的審計(jì)方式存在很多弊端，如:數(shù)據(jù)庫審計(jì)功能的開啟會影響數(shù)據(jù)庫本身的性能，數(shù)據(jù)庫日志文件本身存在被篡改的風(fēng)險，難以體現(xiàn)審計(jì)信息的真實(shí)性。隨著數(shù)據(jù)庫信息價值和可訪問性的提高，數(shù)據(jù)

27、庫面臨的來自內(nèi)部和外部的安全風(fēng)險大大增加，如非法和未經(jīng)授權(quán)的操作以及惡意入侵，導(dǎo)致信息竊取和泄露，但事后無法有效追蹤和審計(jì)。為了解決數(shù)據(jù)庫信息安全領(lǐng)域深層次的安全問題和審計(jì)需求，基于多年的數(shù)據(jù)庫安全理論和實(shí)踐經(jīng)驗(yàn)，華三公司成功推出了業(yè)內(nèi)首個面向政企核心數(shù)據(jù)庫的安全產(chǎn)品華三數(shù)據(jù)庫審計(jì)系統(tǒng)，該系統(tǒng)專注于細(xì)粒度審計(jì)、精準(zhǔn)行為回溯和全方位風(fēng)險控制，為您的核心數(shù)據(jù)庫提供全方位、細(xì)粒度的保護(hù)功能，并能幫助用戶帶來以下全面記錄數(shù)據(jù)庫訪問行為，識別未授權(quán)操作等違規(guī)行為，完成追溯。跟蹤敏感數(shù)據(jù)訪問行為的軌跡，建立訪問行為模型，及時發(fā)現(xiàn)敏感數(shù)據(jù)泄露。檢測數(shù)據(jù)庫配置弱點(diǎn)，發(fā)現(xiàn)SQL注入和其他漏洞，并提供解決方案。為

28、數(shù)據(jù)庫安全管理和性能優(yōu)化提供決策依據(jù)。提供符合法律法規(guī)的報告，滿足等級保護(hù)、企業(yè)控制等審計(jì)要求。防火墻在本項(xiàng)目中，NGFW下一代防火墻被選為出口安全(H3C SecPath F1050-8GB吞吐量)，以將設(shè)備與外部網(wǎng)絡(luò)隔離(H3C SecPath F1070-12GB吞吐量)。防火墻的部署位置包括與醫(yī)?；ヂ?lián)的出口防火墻和用于外部網(wǎng)絡(luò)隔離的綜合安全防火墻。其中，用于隔離的防火墻配備了IPS-入侵防御和AV- antivirus功能授權(quán)，以3年特征庫升級。集成防火墻通過萬兆以太網(wǎng)光纖接口連接到網(wǎng)絡(luò)核心交換機(jī)和外部網(wǎng)絡(luò)核心交換機(jī)。H3SecPath F10X0系列防火墻是華三通信科技(以下簡稱H3

29、C公司)隨著Web2.0時代的到來，結(jié)合當(dāng)前安全與網(wǎng)絡(luò)深度融合的技術(shù)趨勢，針對中小企業(yè)、校園網(wǎng)互聯(lián)網(wǎng)出口、廣域網(wǎng)分支市場推出的下一代高性能防火墻產(chǎn)品。H3SecPath F10X0系列防火墻支持多維度集成安全防護(hù)，可以進(jìn)行IPS、AV、DLP等的集成安全訪問控制。對于用戶、應(yīng)用、時間、五元組等多維度的流量。，可以有效保證網(wǎng)絡(luò)安全；支持多種VPN服務(wù)，如L2TP VPN、GRE VPN、IPSec VPN和SSL VPN等。，并與智能終端連接，實(shí)現(xiàn)移動辦公；提供豐富的路由能力，支持RIP/OSPF/BGP/路由策略和基于應(yīng)用和URL的策略路由；在支持IPv4/IPV6雙協(xié)議棧的同時，可以實(shí)現(xiàn)對I

30、PV6的狀態(tài)保護(hù)和攻擊防范。H3SecPath F10X0系列防火墻采用互為冗余備份的雙電源(1+1備份)，支持兩臺計(jì)算機(jī)集群部署的SCF技術(shù)，完全滿足高性能網(wǎng)絡(luò)的可靠性要求。同時，F(xiàn)10X0產(chǎn)品可以在1U高設(shè)備上提供至少24個千兆接口和2個千兆固定接口。入侵防御設(shè)備入侵防御設(shè)備以插卡的形式直接部署在核心交換機(jī)上。通過背板互連。用于數(shù)據(jù)中心安全保護(hù)。不需要額外的連接配置。當(dāng)IPS板出現(xiàn)故障時，流量可以通過自動旁路得到保護(hù)。這次部署了兩張IPS卡，單張IPS卡的吞吐量為10GB。Sec IPS是業(yè)內(nèi)唯一集漏洞庫、專業(yè)病毒庫、應(yīng)用協(xié)議庫于一體的IPS模塊。借助h3cfirst(嚴(yán)格狀態(tài)測試全檢查)

31、專有引擎技術(shù)，能夠?qū)崟r準(zhǔn)確識別和防范各類網(wǎng)絡(luò)攻擊和濫用行為。Sec IPS通過了國際權(quán)威機(jī)構(gòu)CVE(Common Vulnerabilities & Exposures)的兼容性認(rèn)證，在系統(tǒng)漏洞研究和攻擊防御方面達(dá)到了頂尖水平。集成卡巴斯基反病毒引擎和病毒庫。采用第二代啟發(fā)式代碼分析、iChecker實(shí)時監(jiān)控和獨(dú)特腳本病毒攔截等前沿反病毒技術(shù)，可實(shí)時查殺各類文件、網(wǎng)絡(luò)、混合病毒；并采用新一代虛擬脫殼和行為判斷技術(shù)，精準(zhǔn)查殺各類變種病毒和未知病毒。H3C專業(yè)安全團(tuán)隊(duì)密切跟蹤全球知名安全機(jī)構(gòu)和廠商發(fā)布的安全漏洞公告，通過精準(zhǔn)分析，快速生成保護(hù)操作系統(tǒng)、應(yīng)用系統(tǒng)和數(shù)據(jù)庫漏洞的特征庫；H3C通過了微軟

32、的MAPP(Microsoft Active Protection Program)認(rèn)證，可以提前獲得微軟的漏洞信息。同時，通過部署在世界各地的蜜罐系統(tǒng)，實(shí)時掌握最新的攻擊技術(shù)和趨勢，定期(每周)和緊急(發(fā)現(xiàn)重大安全漏洞時)發(fā)布，并自動或手動分發(fā)到SecBlade IPS模塊，使用戶的SecBlade IPS模塊快速具備防御零時差攻擊的能力。堡壘機(jī)器通過fortress machine千兆以太網(wǎng)電氣接口直接連接到核心交換機(jī)。要塞機(jī)的部署位置與實(shí)際功能無關(guān)。隨著信息系統(tǒng)規(guī)模的不斷擴(kuò)大，企事業(yè)單位需要管理的設(shè)備越來越多，數(shù)據(jù)的敏感度越來越高，管理人員也越來越復(fù)雜，帶來了一系列的困難和安全隱患。如部

33、門管理人員越權(quán)操作設(shè)備，造成數(shù)據(jù)泄露，設(shè)備密碼因修改工作量過大而長時間不修改。H3secPath A2020和A2100是面向運(yùn)營商和行業(yè)市場的高性能、高度可管理的運(yùn)維審計(jì)系統(tǒng)，硬件上采用X86處理架構(gòu)。A2020是1U獨(dú)立盒設(shè)備，提供6個千兆以太網(wǎng)端口，單電源設(shè)計(jì)，支持交流電源。A2100是一款2U獨(dú)立機(jī)箱設(shè)備，提供4個千兆以太網(wǎng)端口+2個千兆以太網(wǎng)端口，并提供擴(kuò)展槽，用于端口和業(yè)務(wù)擴(kuò)展的雙電源設(shè)計(jì)，支持交流供電。在功能方面，SecPath A2020和A2100為用戶提供了全面的運(yùn)維管理體系和運(yùn)維能力，支持資產(chǎn)管理、用戶管理、雙因素認(rèn)證、命令阻塞、訪問控制、自動加密、審計(jì)等功能。，可以有效

34、保證運(yùn)維過程的安全。協(xié)議方面，SecPath A2020和A2100全面支持SSH/TELNET/RDP(遠(yuǎn)程桌面)/FTP/SFTP/VNC，可支持VMware/XEN等虛擬機(jī)管理，oracle、/S等數(shù)據(jù)庫管理，小型機(jī)管理等。通過應(yīng)用程序中心remoteapp技術(shù)擴(kuò)展?；ヂ?lián)網(wǎng)出口互聯(lián)網(wǎng)的主要功能是為全院提供公共網(wǎng)絡(luò)接入。包括患者就醫(yī)產(chǎn)生的公網(wǎng)流量和醫(yī)院科室外部互聯(lián)網(wǎng)流量。為滿足公安部82號令和數(shù)字化醫(yī)院的要求，增加互聯(lián)網(wǎng)出口網(wǎng)關(guān)。ACG1000-M吞吐量800MB，支持與H3C環(huán)評認(rèn)證系統(tǒng)合作，實(shí)現(xiàn)基于用戶名或微信賬號的審核。H3SecPath ACG 1000是H3C公司的新一代應(yīng)用控制

35、網(wǎng)關(guān)。ACG1000引入全方位互聯(lián)網(wǎng)行為管理元素，是為客戶業(yè)務(wù)量身定制的全業(yè)務(wù)網(wǎng)關(guān)產(chǎn)品。H3secpath ACG 1000可以精細(xì)識別和控制網(wǎng)絡(luò)中的網(wǎng)絡(luò)社區(qū)、P2P/IM帶寬濫用、網(wǎng)絡(luò)游戲、股票交易、網(wǎng)絡(luò)多媒體、非法訪問等行為。利用智能流量控制、智能攔截、智能路由等技術(shù)，結(jié)合創(chuàng)新的社交網(wǎng)絡(luò)行為管理功能、清晰易管理的日志等功能，可以提供業(yè)界最全面完善的在線行為管理解決方案。從而保證關(guān)鍵網(wǎng)絡(luò)應(yīng)用和業(yè)務(wù)的帶寬，對網(wǎng)絡(luò)流量和用戶上網(wǎng)行為進(jìn)行深入分析和全面審計(jì)，為用戶全面了解網(wǎng)絡(luò)應(yīng)用模式和流量趨勢、優(yōu)化自身帶寬資源、開展各項(xiàng)業(yè)務(wù)提供有力支持。系統(tǒng)虛擬化方案設(shè)計(jì)刀片服務(wù)器設(shè)計(jì)H3Flex服務(wù)器UIS80

36、00刀片機(jī)箱采用一系列全新技術(shù)，提供簡化的管理、強(qiáng)大的處理能力、超強(qiáng)的網(wǎng)絡(luò)帶寬、更高效的供電和散熱。一個UIS8000刀片式服務(wù)器機(jī)箱可以支持16臺半高刀片式服務(wù)器或8臺全高刀片式服務(wù)器。H3Flex服務(wù)器UIS8000機(jī)箱可以提供模塊化服務(wù)器、互連模塊和存儲組件、電源模塊、冷卻模塊和網(wǎng)絡(luò)模塊。機(jī)箱高10U，可容納16臺半高刀片式服務(wù)器或8臺全高刀片式服務(wù)器，以便與可選的冗余網(wǎng)絡(luò)和存儲模塊互連。它有一個共享的中間背板，可以同時將刀片服務(wù)器連接到網(wǎng)絡(luò)和共享存儲設(shè)備。服務(wù)器由OA管理模塊和遠(yuǎn)程管理模塊管理，可以實(shí)現(xiàn)綜合控制。節(jié)能技術(shù):結(jié)合動態(tài)功率封頂?shù)木_測量和控制，在不損失性能的情況下，節(jié)約能源

37、，回收閑置電能。互聯(lián)架構(gòu):連接一次即可動態(tài)添加、替換或恢復(fù)刀片服務(wù)器，不會影響網(wǎng)絡(luò)和存儲或生成其他操作。中間背板:無單點(diǎn)故障，可使用戶業(yè)務(wù)正常運(yùn)行。板載管理:提供實(shí)用的管理工具，簡化日常管理，提示問題，方便用戶問題定位和恢復(fù)。高性能和高度靈活的網(wǎng)絡(luò)連接:UIS8000刀片機(jī)箱背板帶寬高達(dá)7TB，可支持多種不同的網(wǎng)絡(luò)類型。冗余設(shè)計(jì):UIS8000刀片機(jī)箱采用模塊化設(shè)計(jì)，所有組件支持熱插拔。UIS8000刀片機(jī)箱背板是一種完全沒有移動部件的背板，服務(wù)器和網(wǎng)絡(luò)互聯(lián)模塊之間采用冗余鏈路，避免了單點(diǎn)故障的可能。UIS8000刀片機(jī)箱采用由多個主動冷卻風(fēng)扇組成的冗余熱插拔冷卻系統(tǒng)。簡化的初始安裝和管理:創(chuàng)

38、新的板載LCD管理面板可以在短時間內(nèi)快速完成服務(wù)器的安裝和配置。無論是本地管理還是遠(yuǎn)程管理，向?qū)降墓芾斫缑娑伎梢源蟠蠛喕粘９ぷ?，加快故障判斷和修?fù)的速度。更高效:與傳統(tǒng)機(jī)架式服務(wù)器相比，功耗更低，占用空間更少，連接線纜更少。模塊化組件:刀片式服務(wù)器、存儲和其他模塊化組件可以在不中斷電源的情況下輕松添加或移除。靈活管理:刀片模塊和網(wǎng)絡(luò)連接模塊的管理不限于一個刀片機(jī)箱，系統(tǒng)可以允許跨刀片機(jī)箱的資源整合和共享。共享電源和冷卻系統(tǒng):刀片系統(tǒng)可以提供最佳的能耗比和最佳的冷卻效率。簡單的管理模式:無需復(fù)雜的規(guī)劃即可完成數(shù)據(jù)中心的系統(tǒng)冗余、供電、冷卻和管理的設(shè)計(jì)，模塊化的服務(wù)器、存儲和網(wǎng)絡(luò)設(shè)備均可通過一

39、個控制臺進(jìn)行管理。投資保護(hù):刀箱內(nèi)可安裝多種不同規(guī)格的服務(wù)器和網(wǎng)絡(luò)設(shè)備。下表列出了基本性能參數(shù):設(shè)備支架支持多達(dá)16臺半高刀片式服務(wù)器。支持多達(dá)8臺全高刀片式服務(wù)器。支持混合配置互連支架可支持8個網(wǎng)絡(luò)互聯(lián)模塊。電源集成機(jī)箱，最多可配置6個單相電源。迷集中式冗余風(fēng)扇，最多可配置10個活動智能冷卻風(fēng)扇。經(jīng)營冗余OA管理模塊-局域網(wǎng)和串行訪問支持本地KVM連接措施4.7厘米(寬)81.3厘米(深)44.2厘米(高)毛重204Kg輸入電壓交換；通訊額定電壓范圍:200伏 240伏交流電，50/60赫茲直流額定電壓范圍:-36V -72V DC工作環(huán)境溫度10攝氏度35攝氏度工作環(huán)境濕度10%90%下表

40、列出了網(wǎng)絡(luò)模塊:Flex-10 26端口VC模塊港口形狀向下端口:16*10GE上行鏈路:10*10GE堆疊端口:4*10GE網(wǎng)絡(luò)特征支持端口虛擬化為4個虛擬端口；支持無狀態(tài)計(jì)算；FlexFabric 24端口VC模塊港口形狀向下端口:16*10GE上行端口:8*10GE(其中4個可以切換到8Gb FC端口)堆疊端口:2*10GE網(wǎng)絡(luò)特征支持端口虛擬化為4個虛擬端口；支持無狀態(tài)計(jì)算；支持FCOE；B6300XLG以太網(wǎng)模塊港口形狀向下端口:16*10GE上行鏈路:8*10GE+4*40GE堆疊端口:4*10GE網(wǎng)絡(luò)特征支持FCOE、IRF2、IPv4/IPv6、VEPA、SPB、TRILL；B

41、6300G/XG以太網(wǎng)模塊港口形狀向下端口:16*GE上行鏈路:4*GE+4*10GE堆疊端口:1*10GE網(wǎng)絡(luò)特征IRF/vrrp/rrpp/supported；24端口FC VC模塊港口形狀向下端口:16*8Gb上行端口:8*8Gb網(wǎng)絡(luò)特征支持無狀態(tài)計(jì)算；支持NPIV模式和N _ port計(jì)算虛擬化設(shè)計(jì)服務(wù)器是云計(jì)算平臺的核心，承擔(dān)著云計(jì)算平臺的“計(jì)算”功能。對于云計(jì)算平臺上的服務(wù)器，通常將相同或相似類型的服務(wù)器組合在一起作為資源分配的母體，即所謂的服務(wù)器資源池。在這個服務(wù)器資源池上，通過安裝虛擬化軟件，其計(jì)算資源可以以云主機(jī)的方式被不同的應(yīng)用和用戶使用。在x86服務(wù)器上，主要以H3Clo

42、ud云主機(jī)的形式存在。在隨后的方案描述中，云主機(jī)都有描述，如下:H3C虛擬化軟件的組成。CVK:云虛擬化內(nèi)核，虛擬化核心平臺運(yùn)行在基礎(chǔ)設(shè)施層和上層操作系統(tǒng)之間的“元”操作系統(tǒng)用于協(xié)調(diào)上層操作系統(tǒng)對下層硬件資源的訪問，減少軟件對硬件設(shè)備和驅(qū)動程序的依賴，加強(qiáng)虛擬化操作環(huán)境中的硬件兼容性、高可靠性、高可用性、可擴(kuò)展性、性能優(yōu)化等問題。CVM:虛擬化管理系統(tǒng)云虛擬化經(jīng)理主要實(shí)現(xiàn)數(shù)據(jù)中心內(nèi)計(jì)算、網(wǎng)絡(luò)、存儲等硬件資源的軟件虛擬化，形成虛擬資源池，為上層應(yīng)用提供自動化服務(wù)。其業(yè)務(wù)范圍包括:虛擬計(jì)算、虛擬網(wǎng)絡(luò)、虛擬存儲、高可靠性(HA)、動態(tài)資源調(diào)度(DRS)、云主機(jī)容災(zāi)備份、云主機(jī)模板管理、集群文件系統(tǒng)、

43、虛擬交換機(jī)策略等。H3C的CAS虛擬化平臺用于虛擬化多臺服務(wù)器，然后將它們連接到共享存儲，構(gòu)建一個計(jì)算資源池，可以通過網(wǎng)絡(luò)按需為用戶提供計(jì)算資源服務(wù)。同一資源池中的云主機(jī)可以在資源池中的物理服務(wù)器上動態(tài)漂移，從而實(shí)現(xiàn)資源的動態(tài)分配。CAS產(chǎn)品的邏輯架構(gòu)圖如下:計(jì)算資源池的構(gòu)建可以通過以下四個步驟來完成:計(jì)算資源池的分類設(shè)計(jì)、主機(jī)池設(shè)計(jì)、集群設(shè)計(jì)、云主機(jī)設(shè)計(jì)。1)計(jì)算資源池的分類設(shè)計(jì)在設(shè)置服務(wù)器資源池之前，我們應(yīng)該首先確定資源池的數(shù)量和類型，并對服務(wù)器進(jìn)行分類。分類標(biāo)準(zhǔn)通常根據(jù)服務(wù)器的CPU類型、型號、配置、物理位置和用途來確定。對于云計(jì)算平臺，屬于同一個資源池的服務(wù)器通常被視為一組可以相互替代

44、的資源。所以一般配置處理器相同、型號系列相近、物理位置相近的服務(wù)器，比如型號相近、物理距離不遠(yuǎn)的機(jī)架式服務(wù)器。在規(guī)劃資源庫的時候，也要考慮它的規(guī)模和功能。如果單個資源池的規(guī)模更大，可以為云計(jì)算平臺提供更大的靈活性和容錯性:可以在其上部署更多的應(yīng)用程序，單個物理服務(wù)器的宕機(jī)對整個資源池的影響更小。同時，過大的規(guī)模也會給出口網(wǎng)絡(luò)的吞吐量帶來更大的壓力，不同應(yīng)用之間的干擾也會更大。初始資源池規(guī)劃應(yīng)涵蓋云計(jì)算平臺可管理的所有服務(wù)器資源，包括新購買的用于構(gòu)建云計(jì)算平臺的服務(wù)器、用戶部門當(dāng)前閑置的服務(wù)器以及運(yùn)行業(yè)務(wù)應(yīng)用的現(xiàn)有服務(wù)器。在云計(jì)算平臺的初期，那些目前服務(wù)于業(yè)務(wù)系統(tǒng)的服務(wù)器不會直接歸云計(jì)算平臺管轄

45、。但是，隨著云計(jì)算平臺的推出和業(yè)務(wù)系統(tǒng)的逐步遷移，這些服務(wù)器將逐漸被并入云計(jì)算平臺的資源池。我們根據(jù)用戶的需求，將云計(jì)算資源池按照用途分為云主機(jī)&云存儲區(qū)域資源池、管理和服務(wù)區(qū)域資源池，以便云計(jì)算平臺在項(xiàng)目的實(shí)施過程中和平臺上線后的運(yùn)維過程中使用。云計(jì)算平臺搭建完成后，服務(wù)器資源池可以如下圖所示:H3C CVM虛擬化管理平臺系統(tǒng)以樹形結(jié)構(gòu)組織管理云計(jì)算資源池的物理服務(wù)器資源，云資源中被管理對象之間的關(guān)系如下圖所示:2)主機(jī)池設(shè)計(jì)在完整的云計(jì)算軟件架構(gòu)中，主機(jī)池是一系列主機(jī)和集群的集合，主機(jī)可以包含在集群中，也可以獨(dú)立存在。所有未加入群集的主機(jī)都在主機(jī)池中進(jìn)行管理。3)集群設(shè)計(jì)集群的目的是使用戶

46、能夠像管理單個實(shí)體一樣輕松地管理多個主機(jī)和云主機(jī)，從而降低管理的復(fù)雜性。同時，通過定期監(jiān)控集群主機(jī)和云主機(jī)的狀態(tài)，如果一臺服務(wù)器主機(jī)出現(xiàn)故障，在該主機(jī)上運(yùn)行的所有云主機(jī)都可以在集群中的其他主機(jī)上重啟，從而保證數(shù)據(jù)中心業(yè)務(wù)的連續(xù)性。4)云主機(jī)設(shè)計(jì)每一臺云主機(jī)都是一個完整的系統(tǒng)，有CPU，內(nèi)存，網(wǎng)絡(luò)設(shè)備，存儲設(shè)備，BIOS。因此，云主機(jī)和物理服務(wù)器中的操作系統(tǒng)和應(yīng)用程序沒有區(qū)別。與物理服務(wù)器相比，云主機(jī)具有以下優(yōu)勢:在標(biāo)準(zhǔn)x86物理服務(wù)器上運(yùn)行?？梢栽L問物理服務(wù)器的所有資源(如CPU、內(nèi)存、磁盤、網(wǎng)絡(luò)設(shè)備和外設(shè))，任何應(yīng)用都可以在云主機(jī)上運(yùn)行。默認(rèn)情況下，云主機(jī)之間是完全隔離的，從而實(shí)現(xiàn)安全的數(shù)據(jù)

47、處理、網(wǎng)絡(luò)連接和數(shù)據(jù)存儲。它可以與其他云主機(jī)共存于同一臺物理服務(wù)器上，從而充分利用硬件資源。云主機(jī)鏡像文件和應(yīng)用可以封裝在文件中，云主機(jī)可以通過簡單的文件復(fù)制進(jìn)行部署、備份和恢復(fù)。它具有移動性和智能性，可以在不同的物理服務(wù)器之間輕松遷移整個云主機(jī)系統(tǒng)(包括虛擬硬件、操作系統(tǒng)和配置的應(yīng)用程序)，即使云主機(jī)正在運(yùn)行。它可以將分布式資源管理與高可用性結(jié)合起來，從而為應(yīng)用程序提供比靜態(tài)物理基礎(chǔ)設(shè)施更高的服務(wù)優(yōu)先級。它可以作為即插即用的虛擬工具(包括一整套虛擬硬件、操作系統(tǒng)和配置的應(yīng)用程序)來構(gòu)建和分發(fā)，以實(shí)現(xiàn)快速部署。在計(jì)算資源池中，一般物理服務(wù)器與云主機(jī)的整合比例平均不超過1:8，單臺物理服務(wù)器上所

48、有云主機(jī)的vCPU之和不超過物理機(jī)總核數(shù)的1.5倍，單臺物理服務(wù)器上所有云主機(jī)之和不超過物理存儲的120%。構(gòu)建計(jì)算資源池后，軟件本身需要保證整個計(jì)算資源池和應(yīng)用的可用性和可靠性。H3C CAS虛擬化軟件通過以下技術(shù)滿足可用性和可靠性的要求:5)云主機(jī)模板設(shè)計(jì)云主機(jī)模板包括云主機(jī)的vCPU、存儲等參數(shù)，主機(jī)根據(jù)主要應(yīng)用系統(tǒng)的負(fù)載提供不同的規(guī)格。當(dāng)使用云計(jì)算向用戶交付服務(wù)時，用戶通過云門戶申請的IT服務(wù)資源是業(yè)務(wù)應(yīng)用模板，因此需要提前設(shè)計(jì)相應(yīng)的IT服務(wù)模板并發(fā)布到云門戶。當(dāng)用戶申請?jiān)摲?wù)時，云平臺根據(jù)模板進(jìn)行資源排列，快速生成云主機(jī)相關(guān)資源供用戶使用。6)高可用性設(shè)計(jì)高可用性包括兩個方面:1.云

49、主機(jī)之間的隔離:每個云主機(jī)都可以隔離保護(hù)，一個云主機(jī)的故障不會影響同一物理機(jī)上的其他云主機(jī)；2.物理機(jī)故障不會影響應(yīng)用:運(yùn)行在故障物理機(jī)上的云主機(jī)可以自動遷移接管，即云主機(jī)可以在同一個集群的多臺服務(wù)器之間遷移，從而實(shí)現(xiàn)多臺物理服務(wù)器之間的相互熱備，實(shí)現(xiàn)當(dāng)其中一臺物理服務(wù)器出現(xiàn)故障時，其上的云主機(jī)可以自動切換到其他服務(wù)器，應(yīng)用可以保證物理機(jī)宕機(jī)時零宕機(jī)。H3C CAS虛擬化平臺的HA功能將監(jiān)控該集群中的所有主機(jī)以及物理主機(jī)運(yùn)行的虛擬主機(jī)。當(dāng)物理主機(jī)出現(xiàn)故障并停機(jī)時，HA功能組件將立即做出響應(yīng)，并重啟運(yùn)行在集群中另一臺主機(jī)上的云主機(jī)。當(dāng)出現(xiàn)問題時，HA功能會自動重啟云主機(jī)，恢復(fù)中斷的業(yè)務(wù)。7)動態(tài)

50、資源調(diào)度動態(tài)資源調(diào)度功能可以持續(xù)監(jiān)控計(jì)算資源池中各物理主機(jī)的利用率，根據(jù)用戶的實(shí)際需求，智能地將所需的計(jì)算資源分配給計(jì)算資源池中各物理主機(jī)之間的虛擬機(jī)。通過自動和動態(tài)地分配和平衡計(jì)算資源，動態(tài)資源調(diào)整功能可以:整合服務(wù)器，降低IT成本和增強(qiáng)靈活性；減少停機(jī)時間，保持業(yè)務(wù)連續(xù)性和穩(wěn)定性；減少需要運(yùn)行的服務(wù)器數(shù)量，提高能源利用率。動態(tài)資源調(diào)度功能組件能夠自動持續(xù)地平衡計(jì)算資源池中的容量，并能夠動態(tài)地將云主機(jī)遷移到具有更多可用計(jì)算資源的主機(jī)上，以滿足虛擬機(jī)對計(jì)算資源的需求。即使大量虛擬機(jī)運(yùn)行SQLServer，只要開啟動態(tài)資源調(diào)整功能，也不需要逐個監(jiān)控CPU和內(nèi)存瓶頸。全自動的資源分配和負(fù)載均衡功能

51、還可以顯著提高數(shù)據(jù)中心計(jì)算資源的利用效率，降低數(shù)據(jù)中心的成本和運(yùn)營費(fèi)用。如上圖所示，動態(tài)資源調(diào)整功能通過心跳機(jī)制定時監(jiān)控集群主機(jī)的CPU利用率，并根據(jù)用戶自定義的規(guī)則判斷是否需要為該主機(jī)在集群中尋找可用資源更多的主機(jī)，從而將該主機(jī)上的云主機(jī)遷移到另一臺資源更合適的服務(wù)器上。8)動態(tài)資源擴(kuò)展特性計(jì)算虛擬化簡化了部署業(yè)務(wù)服務(wù)器的流程和具體工作，大大縮短了新業(yè)務(wù)服務(wù)器的部署周期，并使通過快速添加或刪除業(yè)務(wù)服務(wù)器來應(yīng)對業(yè)務(wù)訪問的突然變化成為可能。因此，已經(jīng)部署云業(yè)務(wù)環(huán)境的用戶開始考慮采用動態(tài)部署模式來應(yīng)對業(yè)務(wù)訪問的突發(fā)需求。但是，采用動態(tài)資源部署的前提是，IT管理人員能夠?qū)I(yè)務(wù)訪問的突然變化保持敏感，

52、并能夠快速采取措施進(jìn)行處理。然而，在目前的IT基礎(chǔ)設(shè)施中，業(yè)務(wù)負(fù)載監(jiān)控平臺、虛擬服務(wù)器管理平臺和業(yè)務(wù)分發(fā)系統(tǒng)往往是分離的，沒有集成在一起形成統(tǒng)一的方案。當(dāng)IT管理人員感知到業(yè)務(wù)訪問的變化時，他們只能手動增加或減少虛擬服務(wù)器，并在業(yè)務(wù)分發(fā)系統(tǒng)中進(jìn)行配置。這無疑是不靈活和低效的。為了滿足這些需求，H3C CAS虛擬化平臺可以實(shí)現(xiàn)面向應(yīng)用的云動態(tài)資源擴(kuò)展解決方案DRX，如下圖所示。H3C虛擬化管理系統(tǒng)可以檢測到業(yè)務(wù)所在的云主機(jī)性能不足，快速復(fù)制云主機(jī)，配合負(fù)載均衡設(shè)備對外提供服務(wù)。當(dāng)訪問高峰結(jié)束時，虛擬化管理系統(tǒng)可以動態(tài)收縮和刪除多余的云主機(jī)，以便計(jì)算資源可以按需移動。虛擬管理平臺的設(shè)計(jì)H3C CA

53、S CVM虛擬化管理系統(tǒng)是H3cas虛擬化平臺的核心組成部分之一，主要實(shí)現(xiàn)對數(shù)據(jù)中心的計(jì)算、網(wǎng)絡(luò)、存儲等資源池的管理和控制，并為上層應(yīng)用提供自動化服務(wù)。CVM平臺可以集中管理數(shù)千臺物理服務(wù)器和數(shù)萬臺云主機(jī)，所有相關(guān)任務(wù)都可以通過統(tǒng)一的管理平臺集中管理。管理員只需要鍵盤鼠標(biāo)就可以實(shí)現(xiàn)云主機(jī)的部署、配置和遠(yuǎn)程訪問。軟件界面如下所示。虛擬化管理系統(tǒng)可以實(shí)現(xiàn)以下功能:基于集群的集中管理、共享存儲管理能力、虛擬交換機(jī)管理和資源使用監(jiān)控?；诩旱募泄芾?；H3C CAS CVM虛擬化管理系統(tǒng)將服務(wù)器主機(jī)和云主機(jī)組織成集群。單個集群支持超過5，000臺物理機(jī)和超過1pb的分布式共享文件系統(tǒng)存儲。此外，單個

54、集群支持的并行任務(wù)調(diào)度數(shù)量不低于10萬。它提供了清晰的分層視圖，直觀地展示了數(shù)據(jù)中心、主機(jī)池、集群、主機(jī)和云主機(jī)之間的關(guān)系，大大簡化了資源管理的工作量?；诩旱募泄芾淼膬?yōu)勢是:借助集中管理功能，管理員可以通過統(tǒng)一的界面組織、部署、監(jiān)控和配置整個IT環(huán)境，從而降低管理成本。由多個獨(dú)立的服務(wù)器主機(jī)聚合而成的具有共享資源池的集群，不僅降低了管理的復(fù)雜性，而且具有高可用性。通過監(jiān)控集群中的所有主機(jī)，一旦一臺主機(jī)出現(xiàn)故障，H3C CAS CVM虛擬化管理系統(tǒng)將立即做出響應(yīng)，并在集群中的另一臺主機(jī)上重啟受影響的云主機(jī)。此外，它支持集群的在線擴(kuò)展，從而為用戶提供了一個經(jīng)濟(jì)有效的高可用性解決方案。共享存儲

55、管理H3C中科院CVM虛擬化管理系統(tǒng)中的虛擬機(jī)文件系統(tǒng)是一個優(yōu)化的高性能集群文件系統(tǒng)，允許多個計(jì)算節(jié)點(diǎn)同時訪問同一個虛擬機(jī)存儲。由于虛擬體系結(jié)構(gòu)系統(tǒng)中的虛擬機(jī)實(shí)際上封裝在一個歸檔文件和幾個相關(guān)的環(huán)境配置文件中，因此通過將這些文件放在SAN存儲陣列上的文件系統(tǒng)中，不同服務(wù)器上的虛擬機(jī)可以訪問這些文件，從而消除了單點(diǎn)故障。虛擬交換機(jī)管理虛擬交換機(jī)是由軟件實(shí)現(xiàn)的IP報文轉(zhuǎn)發(fā)和控制模塊。在物理環(huán)境中，物理服務(wù)器通過物理交換機(jī)連接到網(wǎng)絡(luò)，而在云平臺中，云主機(jī)通過虛擬交換機(jī)連接到網(wǎng)絡(luò)。為了讓維護(hù)人員直觀易懂，H3C的虛擬化管理系統(tǒng)中會有一個直觀易懂的虛擬交換機(jī)管理界面，如下圖所示。H3C CAS虛擬交換機(jī)

56、旨在將整個虛擬交換機(jī)呈現(xiàn)為物理交換機(jī)的面板，連接到虛擬交換機(jī)的云主機(jī)的虛擬網(wǎng)卡由綠色閃爍的端口表示。每個閃爍的綠色端口代表一個活動的虛擬端口，可以顯示端口名稱、連接端口的云主機(jī)名稱、云主機(jī)的vNIC對應(yīng)的MAC地址等。性能監(jiān)控，包括以下監(jiān)控參數(shù):物理服務(wù)器性能狀態(tài)的監(jiān)控:提供物理服務(wù)器的CPU、內(nèi)存等計(jì)算資源的圖形化報告和其上運(yùn)行的云主機(jī)利用率TOP5報告，為管理員實(shí)施合理的資源規(guī)劃提供詳細(xì)的數(shù)據(jù)。云主機(jī)性能狀態(tài)監(jiān)控:對云主機(jī)的CPU、內(nèi)存、磁盤I/O、網(wǎng)絡(luò)I/O等關(guān)鍵資源提供全面的性能監(jiān)控。虛擬交換機(jī)狀態(tài)監(jiān)控:為虛擬交換機(jī)上的每個虛擬端口提供流量統(tǒng)計(jì)和模擬面板的圖形顯示。虛擬網(wǎng)卡性能狀態(tài)監(jiān)控

57、:提供進(jìn)出云主機(jī)的虛擬端口流量的圖形實(shí)時顯示。數(shù)據(jù)中心管理設(shè)計(jì)H3UIS統(tǒng)一基礎(chǔ)設(shè)施系統(tǒng)是H3C推出的面向IaaS(基礎(chǔ)設(shè)施即服務(wù))層的整體云計(jì)算解決方案。通過深度整合傳統(tǒng)的計(jì)算、網(wǎng)絡(luò)、存儲、管理軟件等組件，它可以有效地為用戶提供快速的業(yè)務(wù)在線、集成管理、簡單的運(yùn)維以及更低的TCO。H3is統(tǒng)一基礎(chǔ)架構(gòu)系統(tǒng)包括UIS統(tǒng)一管理矩陣、UIS8000刀庫、UIS B系列刀片服務(wù)器、UIS R系列機(jī)架式服務(wù)器、UIS Cell云業(yè)務(wù)單元和UIS Pack云業(yè)務(wù)系統(tǒng)。其中，H3UIS統(tǒng)一管理矩陣是將數(shù)據(jù)中心網(wǎng)絡(luò)、刀片服務(wù)器、機(jī)架式服務(wù)器、服務(wù)器虛擬化，實(shí)現(xiàn)與存儲等基礎(chǔ)組件統(tǒng)一管理和部署的設(shè)備。它摒棄了傳

58、統(tǒng)的碎片化管理，使基礎(chǔ)設(shè)施部署和IT運(yùn)維變得簡單。H3UIS統(tǒng)一管理矩陣集成了服務(wù)器、交換機(jī)、KVM控制器，創(chuàng)新性地集成了統(tǒng)一管理、路由切換、KVM切換等功能。UIS統(tǒng)一管理矩陣分為機(jī)架式和刀片式兩種形式，用戶可以根據(jù)數(shù)據(jù)中心的規(guī)模進(jìn)行靈活選擇。對于一些數(shù)據(jù)中心規(guī)模較小的中小型用戶來說，H3UIS8000刀盒由于高度集成了服務(wù)器、網(wǎng)絡(luò)、存儲、服務(wù)器虛擬化等組件，可以滿足用戶的業(yè)務(wù)需求。對于單機(jī)架UIS8000，在UIS8000刀箱中嵌入UIS統(tǒng)一管理矩陣，登錄UIS統(tǒng)一管理矩陣，可以實(shí)現(xiàn)單個刀箱的服務(wù)器、網(wǎng)絡(luò)、存儲、虛擬化軟件、刀箱等組件的統(tǒng)一管理。因此，單框架UIS8000可以提供IaaS層

59、所需的所有組件和統(tǒng)一管理?！岸嗪弦弧钡奶攸c(diǎn)充分詮釋了UIS8000“一體式框架”對于大規(guī)模數(shù)據(jù)中心，往往存在刀片設(shè)備和機(jī)架設(shè)備的混合組網(wǎng)，機(jī)架UIS統(tǒng)一管理矩陣可以實(shí)現(xiàn)對服務(wù)器、網(wǎng)絡(luò)、存儲、虛擬化軟件等下游組件的統(tǒng)一管理。作為H3C UIS統(tǒng)一基礎(chǔ)設(shè)施體系的重要組成部分，UIS統(tǒng)一管理矩陣也充分體現(xiàn)了深度融合的特點(diǎn)。UIS統(tǒng)一管理它集成了矩陣服務(wù)器、交換機(jī)、KVM控制器等設(shè)備，創(chuàng)新性地集成了統(tǒng)一管理、路由切換、KVM切換等功能。不僅大大降低了設(shè)備購置成本，也降低了維護(hù)難度。集成管理系統(tǒng)設(shè)計(jì)網(wǎng)絡(luò)管理設(shè)計(jì)隨著網(wǎng)絡(luò)建設(shè)的不斷發(fā)展，除了單純追求高帶寬、高速度，安全的網(wǎng)絡(luò)、高效的網(wǎng)絡(luò)、可操作的網(wǎng)絡(luò)成為越

60、來越多用戶關(guān)注的焦點(diǎn)，網(wǎng)絡(luò)的精細(xì)化管理越來越受歡迎。一套好的管理軟件無疑對網(wǎng)絡(luò)的精細(xì)化管理起著至關(guān)重要的作用?；诙嗄甑姆e累和對用戶網(wǎng)絡(luò)的深入了解，H3C智能管理中心(iMC)平臺(以下簡稱iMC平臺)為用戶提供了實(shí)用易用的網(wǎng)絡(luò)管理功能。在集中管理網(wǎng)絡(luò)資源的基礎(chǔ)上，實(shí)現(xiàn)了拓?fù)?、故障、性能、配置、安全等管理功能。，不僅提供功能，還通過流程指導(dǎo)告訴用戶如何使用功能滿足業(yè)務(wù)需求，為用戶提供網(wǎng)絡(luò)精細(xì)化。對于設(shè)備數(shù)量多、分布區(qū)域廣、網(wǎng)絡(luò)相對集中的網(wǎng)絡(luò)，iMC平臺提供分級管理功能，有利于全網(wǎng)明確的去中心化管理和負(fù)載分擔(dān)。IMC平臺不僅涵蓋了網(wǎng)絡(luò)管理功能，也是其他業(yè)務(wù)管理組件的承載平臺，實(shí)現(xiàn)了管理的深度融合