基于融合的安全私有云方案

1、基于融合的安全私有云方案云企業(yè)戰(zhàn)略IT規(guī)劃業(yè)務(wù)信息化以云為基礎(chǔ)的兩化融合私有云主機(jī)（Hosts）部署虛擬化管理程序的服務(wù)器主機(jī)主存儲（Primary Storage）用來存放虛擬機(jī)數(shù)據(jù)群集（Cluster）一組主機(jī)與相關(guān)主存儲的集合機(jī)架（Pod）一組Cluster的集合網(wǎng)絡(luò)（Network）為虛擬機(jī)提供網(wǎng)絡(luò)服務(wù)二級存儲（Secondary Storage）用來存放虛擬機(jī)模板、快照、ISO資源域（Zone）一組Pod及相關(guān)二級存儲的集合管理服務(wù)器（Management Server）統(tǒng)一管理整個云架構(gòu)管理平臺架構(gòu)HostNetworkHostPrima ryStorageClusterVMVMP

2、odPodZoneClusterSecond aryStorage.Cluster NPod 1 Access LayerHost 2Cluster 1Host 1基本組成是包含Hypervisor 的物理主機(jī)HostCluster由一組Host組成Cluster中的Host可訪問共享存儲 （Primary Storage）單個或多個Cluster組成Pod一個Pod配置一個2層交換機(jī) 設(shè)備Availability Zone由一組Pod組成，配置二級存儲（Secondary Storage）整個云由位于不同位置的2個Zone構(gòu)成PrimaryStorageZone 1.L3 switchSec

3、ondaryStoragePod NMgmtServerInternet云管理多節(jié)點部署Mgmt Server用虛擬機(jī)部署為保證性能與冗余性，3臺Mgmt Server(單臺MgmtServer可管理最多5K臺Host)單一管理服務(wù)器節(jié)點可管理多個資源域資源域分布在2個物理站點， 站點間通過專用光纖鏈接(不 同園區(qū)內(nèi))單一管理服務(wù)器節(jié)點可管理5K臺主機(jī)節(jié)點多站點部署InternetSAN存儲設(shè)備千兆以太網(wǎng)交換機(jī)千兆以太網(wǎng)交換機(jī)存儲交換機(jī)存儲交換機(jī)防火墻云軟件管理服務(wù)器云平臺管理服務(wù)器VPN服務(wù)器光纖收發(fā)器光纖收發(fā)器云計算物理服務(wù)器主要分為三大部分：云管理中心 云服務(wù)中心 云存儲中心物理架構(gòu)網(wǎng)絡(luò)

4、是實現(xiàn)私有云的 基礎(chǔ)，在不同的應(yīng)用需求 下，要求提供不同的基礎(chǔ) 設(shè)施網(wǎng)絡(luò)，但要實現(xiàn)云應(yīng) 用，在物理硬件層必須要求融合網(wǎng)絡(luò)，即將所有物理網(wǎng)絡(luò)與數(shù)據(jù)網(wǎng)實現(xiàn)融合。公司在初期就對整個 基礎(chǔ)設(shè)施做了詳細(xì)的規(guī)劃 部署，特別是數(shù)據(jù)網(wǎng)建設(shè) 上，不僅每個工位前均部 署有多路信息接入點（外 部數(shù)據(jù)、內(nèi)部數(shù)據(jù)、專用數(shù)據(jù)、語音等多路接入）， 而且，利用無線（MESH 等)技術(shù)、VPN技術(shù)、數(shù)字電路技術(shù)等多種技術(shù)方 案結(jié)合公司完善的安全技 術(shù)體系，實現(xiàn)了無論在園區(qū)內(nèi)還是外部隨時可安全 應(yīng)用公司資源。融合網(wǎng)絡(luò)應(yīng)用網(wǎng)絡(luò)管理網(wǎng)絡(luò)VMVMVMVMVMInternet來賓網(wǎng)絡(luò)存儲網(wǎng)絡(luò)路由器接入層交換機(jī)資源域服務(wù)器節(jié)點管理服務(wù)器二

5、級存儲Pod 1Pod 2Pod 3Pod NMySQL負(fù)載均衡器3層核心交換機(jī)管理操作API用戶網(wǎng)絡(luò)拓?fù)銽enant 1Tenant 2Tenant 3VirtualRouterGuestVirtualNetwork 1(VLAN 100)VirtualRouterGuestVirtualNetwork 2(VLAN 101)VirtualRouterGuestVirtualNetwork 3(VLAN 105)VirtualRouterGuestVirtualNetwork 4(VLAN 106)VirtualRouterGuestVirtualNetwork 5(VLAN 110)Int

6、ernet公用網(wǎng)絡(luò)網(wǎng)絡(luò)安全架構(gòu)-L2隔離機(jī)制：VLANGuest 1 VM 1Guest 1 VM 2Guest 1 VM 3Guest 1 VM 4公用網(wǎng)絡(luò)Gateway address 10.1.1.1NATDHCPLoad BalancingPort ForwardingFirewallsVPNPublic IP address 65.37.141.1165.37.141.36Guest address 10.1.1.2Guest address10.1.1.3Guest address 10.1.1.4Guest address 10.1.1.5Guest 1 Virtual Rout

7、erGuest 2 VM 1Guest 2 VM 2Guest 2 VM 3Gateway address 10.1.1.1Guest address 10.1.1.2Guest address10.1.1.3Guest address 10.1.1.4Guest 2 Virtual RouterPublic IP address 65.37.141.2465.37.141.80NATDHCPLoadBalancingPortForwardingFirewallsVPNGuest Network 1VLAN 100Guest Network 1VLAN 101Internet網(wǎng)絡(luò)安全架構(gòu)- A

8、dvanced Isolated網(wǎng)絡(luò)模式（L2隔離）網(wǎng)絡(luò)請求受到策略限制的一組虛機(jī)包括Ingress/egress規(guī)則默認(rèn)屏蔽所有Ingress請求，開放所有egress請求可限制源地址、源賬戶、端口范圍以 及協(xié)議類型所有賬戶擁有自己的默認(rèn)SG用戶可以根據(jù)需求創(chuàng)建新的SG基于iptables/ebtables實現(xiàn)虛擬機(jī)獲得的IP地址是不連續(xù)的不同用戶的資源通過安全組隔離類似AWS的網(wǎng)絡(luò)模式網(wǎng)絡(luò)安全架構(gòu)-L3隔離機(jī)制：安全組多層級網(wǎng)絡(luò) 2011 Zenprise, Inc. All rights reserved. *移動應(yīng)用架構(gòu)云存儲以云存儲架構(gòu)構(gòu)建統(tǒng)一的儲存池，所有存儲應(yīng)用均從池中分配， 并

9、接受統(tǒng)一管理，同時可通過云 管理平臺實現(xiàn)自助式存儲空間分4層建設(shè)云存儲架構(gòu)，其中訪 問層與應(yīng)用層依賴云應(yīng)用平臺實 現(xiàn)個人空間服務(wù)、 公共空間服務(wù)等歸檔、集中存儲、遠(yuǎn)程共享等數(shù)據(jù)備份、數(shù)據(jù)智能園區(qū)、工控系統(tǒng)等基礎(chǔ)設(shè)施 存儲需求網(wǎng)絡(luò)接入、用戶認(rèn)證等公用API接口、應(yīng)用軟件、webservices等集群系統(tǒng)、分布 式文件系統(tǒng)內(nèi)容分發(fā)、重復(fù) 數(shù)據(jù)刪除、數(shù)據(jù) 壓縮數(shù)據(jù)加密、數(shù)據(jù) 備份、數(shù)據(jù)容災(zāi)存儲虛擬化、存儲集中管理、狀態(tài)控制、維護(hù)升級等 存儲設(shè)備（NAS、FC、ISCSI等）訪問層應(yīng)用接口層基礎(chǔ)管理層存儲層應(yīng)用架構(gòu)及特點統(tǒng)一架構(gòu)：運行 虛擬化存儲操 作系統(tǒng)，通過單個可擴(kuò)展架構(gòu)支 持多種工作負(fù)載。安全多

10、租戶： 分離和隔離共享 服務(wù)器、存儲與網(wǎng)絡(luò)資源，并將 其提供給不同的組、用戶、部門 或應(yīng)用。服務(wù)自動化和分析： 實現(xiàn)自動 化存儲配置，以及對可用性、性 能和策略合規(guī)性的全面顯示、監(jiān) 控和主動預(yù)警。集成數(shù)據(jù)保護(hù)：滿足備份、災(zāi)難 恢復(fù)、歸檔、合規(guī)性以及安全性 服務(wù)級別協(xié)議。縱向擴(kuò)展、縮減規(guī)模和橫向擴(kuò)展： 在多個方面（性能、容量和操作）滿足云計算的動態(tài)業(yè)務(wù)需 求。云存儲知識管理協(xié)同管理云管理平臺云管理平臺應(yīng)用發(fā)布虛擬存儲存儲設(shè)備業(yè)務(wù)層應(yīng)用層系統(tǒng)層物理層Pod 1Host 2Cluster 1Host 1主存 儲L3 switch二級存 儲L2 switch在每個Cluster中進(jìn)行配置存儲虛擬機(jī)磁盤

11、卷需要保證I/O性能與可靠性每個Cluster可配置多個主存儲支持FC SAN、NFS、iSCSI主存儲（Primary Storage）在Zone級別進(jìn)行配置存儲模板、ISO與快照文件可以配置多個二級存儲支持NFS與OpenstackSwift二級存儲（Secondary Storage）存儲管理存儲管理VolumeVM 1添加刪除卷快照計劃Hourly WeeklyNowDailyMonthly創(chuàng)建模版VolumeTemplate瀏覽快照歷史.現(xiàn)代信息技術(shù)的發(fā)展將園區(qū)智能化成為可能，利用 IP網(wǎng)絡(luò)及虛擬化技術(shù)融合數(shù)據(jù)、視頻、音頻信息控 制，將安防、消防、后勤保障 、自動控制通訊等 全方位基

12、礎(chǔ)設(shè)施需求融合在一起智能園區(qū)由監(jiān)控、會議、有線電視、LED大屏、電梯控制系統(tǒng)、考勤、門禁、一卡通消費等組成通過融合基礎(chǔ)架構(gòu)設(shè)計，株洲路園區(qū)具備了高度的 集成性及融合性，具備了基礎(chǔ)設(shè)施的虛擬化和云發(fā) 布能力，其特點有：統(tǒng)一網(wǎng)絡(luò)：智能園區(qū)網(wǎng)絡(luò)按照分層、模塊化的 思路進(jìn)行設(shè)計和規(guī)劃，建立統(tǒng)一融合的網(wǎng)絡(luò)平 臺，具備各類應(yīng)用一體化網(wǎng)絡(luò)總體架構(gòu)及靈活 的接入等特點統(tǒng)一安全：通過將各基礎(chǔ)設(shè)施應(yīng)用集成，將個 系統(tǒng)安全保障也納入統(tǒng)一體系里，通過IP架構(gòu) 安全體系，可有效發(fā)布安全策略保護(hù)各基礎(chǔ)設(shè) 施安全。統(tǒng)一管理：園區(qū)中通信、計算、監(jiān)控、安防等 各類業(yè)務(wù)應(yīng)用和網(wǎng)絡(luò)的融合，促使基礎(chǔ)設(shè)施服 務(wù)管理向“信息服務(wù)和流程服

13、務(wù)”和“精確管 理和精益運營”轉(zhuǎn)變。端到端服務(wù)：數(shù)據(jù)網(wǎng)所承載的各種割裂的系統(tǒng) 和資源被納入到一個統(tǒng)一的平臺體系。通過虛 擬化技術(shù)支撐使之向水電一樣提供便捷的基礎(chǔ) 設(shè)施服務(wù)云智能園區(qū)平臺服務(wù)-服務(wù)器虛擬化服務(wù)器虛擬化是云計算的基礎(chǔ)服務(wù)器虛擬化是指將服務(wù)器物理資源抽 象成邏輯資源，讓一臺服務(wù)器變成幾臺 甚至上百臺相互隔離的虛擬服務(wù)器，不受限于物理上的界限，而是讓CPU、內(nèi)存、磁盤、I/O等硬件變成可以動態(tài)管理的“資源池”，從而提高資源的利用率，簡化系統(tǒng)管理，實現(xiàn)服務(wù)器整合服務(wù)器虛擬化的優(yōu)點：高兼容性、應(yīng)用 隔離、高資源利用率、高可管理性、高 可用性、節(jié)能通過XENSERVER建立虛擬服務(wù)器池，將

14、服務(wù)器系統(tǒng)通過虛擬化實現(xiàn)云端發(fā)布集中管理所有桌面，確保 最高的安全性集中完成所有桌面的安裝、更新和打補(bǔ)丁工作移動、添加和修改所需時 間從數(shù)小時縮短到幾分鐘即使發(fā)生中斷，也能幫助員工立即恢復(fù)生產(chǎn)隨時隨地使用任何設(shè)備自助選擇各種應(yīng)用可在同一設(shè)備上實現(xiàn)辦公和個人桌面的任意切換數(shù)分鐘之內(nèi)即可在新設(shè)備上實 現(xiàn)系統(tǒng)恢復(fù)，無數(shù)據(jù)丟失虛擬桌面可為用戶和IT部門帶來巨大優(yōu)勢IT部門可實現(xiàn)最有效的控制用戶可獲得最高的靈活性用戶可以通過安裝有 Citrix Receiver的任意設(shè) 備最方便地訪問桌面用戶可以從相同設(shè)備上訪問多個桌面-桌面虛擬化虛擬桌面是云計算發(fā)展中重要的關(guān)鍵環(huán)節(jié)桌面虛擬化指將計算機(jī)的桌面進(jìn) 行虛擬

15、化，以達(dá)到桌面使用的安 全性和靈活性?？梢酝ㄟ^任何設(shè) 備，在任何地點，任何時間訪問 在網(wǎng)絡(luò)上的屬于我們個人的桌面 系統(tǒng)。提高可管理性、簡化部署、更高 的靈活性、提高數(shù)據(jù)保護(hù)能力、 提高資源利用率、降低成本利用 XENSERVERXENDESTOPPV S等CITRIX桌面系列產(chǎn)品，成功 搭建桌面池,并通過與安全技術(shù)融 合，打造獨有安全桌面應(yīng)用-桌面虛擬化公司虛擬桌面部署架構(gòu)通過應(yīng)用HDX-3D實 現(xiàn)對圖形工作站的發(fā) 布，將圖形應(yīng)用整合 進(jìn)來，實現(xiàn)圖形應(yīng)用 的云發(fā)布利用顯卡穿透技術(shù)支 持對多GPU資源的大 型三維用戶充分利用原工作站進(jìn) 行物理發(fā)布實現(xiàn)圖形 資源的統(tǒng)一管理-桌面虛擬化之圖形應(yīng)用應(yīng)用

16、瘦客戶實現(xiàn)高效穩(wěn)定 的桌面發(fā)布應(yīng)用零客戶機(jī)實現(xiàn)最大戶 的桌面應(yīng)用體驗通過與安全技術(shù)、虛擬網(wǎng) 絡(luò)技術(shù)融合實現(xiàn)各類主流 移動終端桌面接入（包含IPHONEIPOAD等IOS系統(tǒng)、黑莓系統(tǒng)、安卓系統(tǒng) 及WINDOWS MOBILE等智能系統(tǒng)終端）通過XENCLIENT同步服務(wù) 器支持筆記本離線桌面鏡 像應(yīng)用-桌面虛擬化之終端應(yīng)用應(yīng)用程序虛擬化以IT應(yīng)用客戶端 集中部署平臺為核心，以對最終用戶 透明的方式完全使用戶的應(yīng)用和數(shù)據(jù) 在平臺上統(tǒng)一計算和運行，應(yīng)用虛擬 化將應(yīng)用程序與操作系統(tǒng)解耦合，為 應(yīng)用程序提供了一個虛擬的運行環(huán)境應(yīng)用程序虛擬化的優(yōu)勢能夠顯著提高部署簡易性、通過集中 化應(yīng)用管理來降低應(yīng)用管

17、理成本、保 證業(yè)務(wù)連續(xù)性、將應(yīng)用及時交付給任 何地點的用戶、利用對數(shù)據(jù)和應(yīng)用的 集中化控制和安全訪問來增強(qiáng)安全性通過建立應(yīng)用發(fā)布池將公司應(yīng)用 整合起來，并按需配給，大大提高了 應(yīng)用效率并降低了應(yīng)用投入及管理成 本。-應(yīng)用發(fā)布利用DAZZLE技術(shù) 建設(shè)管理應(yīng)用池，實現(xiàn) 應(yīng)用資源的自助配給通過與安全技術(shù)結(jié)合實現(xiàn)應(yīng)用安全發(fā)布通過與業(yè)務(wù)層門戶 等業(yè)務(wù)應(yīng)用集成實現(xiàn)在 線業(yè)務(wù)發(fā)布-應(yīng)用商店將所有物理打印機(jī)按物 理特性分層部署并融入 數(shù)據(jù)網(wǎng)絡(luò)利用多層打印服務(wù)器（server及thinprint）及虛擬化發(fā)布技術(shù)建設(shè)打 印服務(wù)池通過鏡像發(fā)布、安全策 略中心將打印資源按需 自動配置，實現(xiàn)打印云 應(yīng)用-云打印服務(wù)

18、-統(tǒng)一文件服務(wù)由于采用瘦終端的桌面系統(tǒng)發(fā)布架構(gòu)，本地 無存儲資源，因此需要提供靈活的文件服務(wù)， 由于采取數(shù)據(jù)分類管理策略，除系統(tǒng)數(shù)據(jù)（包含鏡像數(shù)據(jù)及緩存數(shù)據(jù)）與業(yè)務(wù)數(shù)據(jù)（數(shù)據(jù)庫）外，即配置信息數(shù)據(jù)與應(yīng)用環(huán)境 數(shù)據(jù)通過文件服務(wù)器提供存儲服務(wù)。其中配置數(shù)據(jù)由虛擬化系統(tǒng)專用配置工具 及WINDOWS漫游配置服務(wù)共同完成，以實現(xiàn)各 種個人配置信息如瀏覽器配置、輸入法配置、 打印配置、CAD應(yīng)用配置等等配置信息與應(yīng)用 數(shù)據(jù)分離，實現(xiàn)應(yīng)用環(huán)境的系統(tǒng)環(huán)境、設(shè)備、 位置接入方式的無關(guān)性，即無論更換桌面操 作系統(tǒng)、更換桌面接入設(shè)備在任何地點以任何 方式接入都保持個人配置環(huán)境的不變。在應(yīng)用數(shù)據(jù)存儲服務(wù)方面，通過統(tǒng)

19、一的安 全策略及發(fā)布，實現(xiàn)對容量、顯示、安全策 略的統(tǒng)一管理。系統(tǒng)建設(shè)依據(jù)整體云層次架構(gòu)進(jìn)行，在層主要建設(shè)重 點是提供語音服務(wù)的PBX（支持PRI信令）/E1線路基礎(chǔ) 設(shè)施、VoIP網(wǎng)關(guān)設(shè)備、本地PBX/IAD設(shè)備等語音通信基 礎(chǔ)設(shè)施規(guī)劃建設(shè)，通過模擬與數(shù)字語音通信混合通信 方案最大化的保留了傳統(tǒng)語音使用習(xí)慣，同時又實現(xiàn) 語音與IP數(shù)據(jù)網(wǎng)的融合；在統(tǒng)一視頻服務(wù)上，主要是 融合會議系統(tǒng)、監(jiān)控系統(tǒng)，在智能會議室建設(shè)規(guī)劃開 始，即設(shè)計從中控系統(tǒng)、視頻會議終端、會議發(fā)聲系 統(tǒng)等融入IP網(wǎng)絡(luò)，考慮符合對應(yīng)管理系統(tǒng)規(guī)劃要求的 設(shè)備選型及部署方案為數(shù)據(jù)、語音、視頻通信服務(wù)提供了廣泛支持，在數(shù) 據(jù)融合服務(wù)上，

20、分別部署了手機(jī)短信服務(wù)器、郵件（包含內(nèi)外部前后端及堡壘服務(wù)器等）集群服務(wù)、IM服務(wù)、消息中心服務(wù)器等，在語音及視頻方面部署了 統(tǒng)一通信服務(wù)器、語音網(wǎng)關(guān)服務(wù)器、視頻服務(wù)器（DVS）、流媒體服務(wù)器等提供了語音視頻信息的采集、 處理、發(fā)布及集成等服務(wù)開發(fā)了統(tǒng)一的前端通信平臺，用戶只需使用統(tǒng)一的通 信客戶端平臺即使用包含數(shù)據(jù)、語音、視頻的所有通 信服務(wù)通過提供開放式集成接口，可快速與各業(yè)務(wù)應(yīng)用結(jié)合， 實現(xiàn)業(yè)務(wù)應(yīng)用自助式通信集成，如在業(yè)務(wù)組件開發(fā)設(shè) 計上可快速實現(xiàn)郵件或消息調(diào)用或電話留言功能，在 融合門戶使用上，可自助式申請各業(yè)務(wù)板塊的消息使 用功能。通過統(tǒng)一通信平臺的建設(shè)，目前已經(jīng)基本實現(xiàn)內(nèi) 部郵件、

21、外部郵件、手機(jī)短信、各應(yīng)用消息系統(tǒng)、會 議系統(tǒng)、電話、即時消息等等通信實現(xiàn)融合，用戶可 通過統(tǒng)一通信平臺隨時隨地進(jìn)行視頻會議、電話、短 信溝通，同時也可使用手機(jī)、固定電話、移動終端等 享受統(tǒng)一通信的便利。-云通信服務(wù)云管理平臺云計算的第一步是將硬 件統(tǒng)一為資源池進(jìn)行統(tǒng) 一的管理及調(diào)度，不同 的虛擬化可以視為一個 資源池，目前青島雙瑞 云已支持Xen Server和 Hyper-v兩大虛擬化群-資源池管理UsersStartStopRestartDestroyRestoreMigration虛擬機(jī)操作控制臺訪問CPU UtilizedNetwork ReadNetwork Writes虛擬機(jī)狀態(tài)

22、變更配置2 CPUs1 GBRAM20 GB20 Mbps4 CPUs4 GBRAM200 GB100Mbps-云資源監(jiān)控-云資源監(jiān)控-結(jié)算管理在業(yè)務(wù)層秉承業(yè)務(wù)虛擬 化發(fā)展理念，其核心在 于在全業(yè)務(wù)基礎(chǔ)架構(gòu)上，按需配給業(yè)務(wù)應(yīng)用，實現(xiàn)業(yè)務(wù)云應(yīng)用-云業(yè)務(wù)核心云業(yè)務(wù)應(yīng)用的基礎(chǔ)在于全業(yè) 務(wù)系統(tǒng)的發(fā)展，即將所有業(yè) 務(wù)需求按兩化融合的精神要 求，發(fā)展出相關(guān)的信息化應(yīng) 用，建立企業(yè)完整的業(yè)務(wù)池，并且隨著業(yè)務(wù)發(fā)展，業(yè)務(wù) 應(yīng)用池也同步發(fā)展或引領(lǐng)性 發(fā)展。-全業(yè)務(wù)應(yīng)用業(yè)務(wù)云與基礎(chǔ)架構(gòu)的 不同之處在于其并非 由技術(shù)架構(gòu)串接，而 是由業(yè)務(wù)邏輯分布組 成，在業(yè)務(wù)池的建設(shè) 中，應(yīng)以邏輯線串接 分層分塊布局建設(shè)。-業(yè)務(wù)邏輯

23、分布建設(shè)企業(yè)應(yīng)用數(shù)據(jù)倉庫不僅是決策支持和商務(wù)智能 業(yè)務(wù)系統(tǒng)的直接需求，更是實現(xiàn)業(yè)務(wù)云的基礎(chǔ)，是 業(yè)務(wù)池承載的物理基礎(chǔ)，即數(shù)據(jù)云通過云技術(shù)建立企業(yè)數(shù)據(jù)云，搭建各業(yè)務(wù)系統(tǒng)與決 策支持系統(tǒng)的橋梁，通過集成BI組件完成系統(tǒng)個性 化定制；運用企業(yè)數(shù)據(jù)云可以高效、透明、無縫、 靈活地連接企業(yè)各種應(yīng)用系統(tǒng)，還可以為決策支持 商務(wù)智能等業(yè)務(wù)提供統(tǒng)一的數(shù)據(jù)接口和可靠的數(shù)據(jù) 來源在邏輯架構(gòu)設(shè)計上，把各分散的數(shù)據(jù)模塊重新抽象 化，根據(jù)決策原則和需求進(jìn)行數(shù)據(jù)倉庫的建立，對 數(shù)據(jù)進(jìn)行集中化管理，包括系統(tǒng)功能模塊的重新劃 分、數(shù)據(jù)分析與數(shù)據(jù)挖掘工具的邏輯部署；主要分 三大模塊：實體數(shù)據(jù)集市、虛擬數(shù)據(jù)集市和云管控 引擎。業(yè)

24、務(wù)應(yīng)用以數(shù)據(jù)云為基礎(chǔ)建立各指標(biāo)體系，并實現(xiàn) 面向?qū)ο鬀Q策主題數(shù)據(jù)的存儲和管理。并支持元數(shù) 據(jù)管理、ETL抽取管理、ODS監(jiān)控、外部數(shù)據(jù)導(dǎo)入 及數(shù)據(jù)抽取（數(shù)據(jù)清洗、數(shù)據(jù)轉(zhuǎn)換、數(shù)據(jù)匯總）。-大數(shù)據(jù)EAISOA云集成-業(yè)務(wù)架構(gòu)（分布式SOA）從公司成立信息化初步規(guī)劃開始，可考慮到各應(yīng)用集成的演進(jìn)，初期規(guī)劃基礎(chǔ)是EAI隨著業(yè)務(wù)應(yīng)用的逐步發(fā)展，各應(yīng)用接口的增長，集 成成本倍增，同時由于基于應(yīng)用接口開發(fā)集成并未 真正實現(xiàn)統(tǒng)一的身份認(rèn)證、狀態(tài)認(rèn)證、安全控制等 基礎(chǔ)服務(wù)，在業(yè)務(wù)邏輯上并未真正打通，隨著需求 與技術(shù)的發(fā)展，逐漸將架構(gòu)轉(zhuǎn)向SOA按照云集成需求“軟件就是服務(wù)”要求，應(yīng)用間是 互為服務(wù)的關(guān)系。服務(wù)同業(yè)

25、務(wù)流程結(jié)合在一起，能 夠更加精確地表示業(yè)務(wù)模型，通過將注意力放在服 務(wù)上，應(yīng)用系統(tǒng)會更加真實地反映出與業(yè)務(wù)模型的 結(jié)合；將各應(yīng)用服務(wù)組件都變成了“標(biāo)準(zhǔn)件”，即 可按照自身業(yè)務(wù)需求創(chuàng)造出各種組合，不需要重新 定制基礎(chǔ)的服務(wù)零件，重點在于服務(wù)組件的接口。通過將業(yè)務(wù)應(yīng)用架構(gòu)抽象出來，將其功能以粗粒度 的服務(wù)形式表示出來，每種服務(wù)都清晰地表示其業(yè) 務(wù)價值，那么，公司用戶隨時明確可得到這些服務(wù)，而不必考慮其后臺實現(xiàn)的具體技術(shù)，這就要求這 些服務(wù)背后的應(yīng)用架構(gòu)實現(xiàn)最大化的靈活性，即云 集成架構(gòu)設(shè)計。業(yè)務(wù)層-業(yè)務(wù)發(fā)布（門戶EIP）云業(yè)務(wù)除要求在后端架構(gòu)及承載方式等方面，在前端發(fā)布上 也需要相應(yīng)支持，EIP是

26、一個現(xiàn)實選擇。傳統(tǒng)EIP是一個將企業(yè)的所有應(yīng)用和數(shù)據(jù)集成并以統(tǒng)一的用 戶界面提供給用戶的基于Web的信息門戶。能向分布各處的 用戶提供商業(yè)信息，幫助用戶管理、組織和查詢與企業(yè)和部 門相關(guān)的信息。內(nèi)部和外部用戶只需要使用瀏覽器就可以得 到自己需要的數(shù)據(jù)、分析報表及業(yè)務(wù)決策支持信息。是為了 滿足企業(yè)不斷增長的需求，即更有效地利用企業(yè)的數(shù)據(jù)資源 和信息資產(chǎn)，必須保證內(nèi)部和外部的每一個用戶都能隨時訪 問到信息。在云計算架構(gòu)之上， 公司對門戶有了更多要求（特點），除 支持業(yè)務(wù)層展示外，對其他層云應(yīng)用資源發(fā)布及管理也逐步 發(fā)展到自助式門戶之上，為業(yè)務(wù)部門提供了一個瀏覽器圖形 界面，在統(tǒng)一門戶WEB之上可直

27、接申請、管理、跟蹤和撤銷 私有云服務(wù)和容量，進(jìn)而滿足個性化業(yè)務(wù)需求云安全云安全建設(shè)組成 身份保護(hù)基礎(chǔ)架構(gòu)保護(hù) 信息保護(hù)云安全建設(shè)步驟 集中化數(shù)據(jù)管理集中化應(yīng)用程序管理聯(lián)合身份管理 2012 Zenprise, Inc. All rights reserved.44移動應(yīng)用安全設(shè)備配置安全，保證設(shè)備合規(guī)網(wǎng)絡(luò)安全連接數(shù)據(jù)文檔安全傳送數(shù)據(jù)防泄漏應(yīng)用程序+端到端安全防范不安全應(yīng)用；保護(hù)應(yīng)用端到端安全物理層安全物理安全：包含門禁、防雷、防火、防水防潮、防 靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù) 等安全基礎(chǔ)設(shè)施建設(shè)網(wǎng)絡(luò)安全：包含網(wǎng)絡(luò)結(jié)構(gòu)安全、訪問控制、安全審 計、邊界完整性檢查、入侵防范、網(wǎng)絡(luò)設(shè) 備防護(hù)，主

28、要應(yīng)用物理設(shè)備有：內(nèi)網(wǎng)防火 墻外網(wǎng)防火墻、SSLVPN設(shè)備、IPSECVPN 設(shè)備、入侵檢測設(shè)備、上網(wǎng)行為管理、網(wǎng) 閘設(shè)備、身份鑒別設(shè)備、終端訪問控制系 統(tǒng)、指紋認(rèn)證終端設(shè)備、KEY設(shè)備等*提供用戶與應(yīng)用程序間安全，專用，類VPN鏈接選擇性訪問 vs. all-or-nothing 的VPN隔離重要企業(yè)應(yīng)用程序性能更佳、可靠度更高、數(shù)據(jù)壓縮傳輸成本更低、持續(xù)性更好-移動應(yīng)用專屬VPN移動應(yīng)用安全系統(tǒng)層安全分層建設(shè)統(tǒng)一的安全中心， 以安全類別建設(shè)模塊化安全 體系，目前已建設(shè)有身份鑒 別中心、生物識別中心、 CA認(rèn)證中心、策略控制中 心、審計中心、加密中心等 模塊化安全服務(wù)器。各安全模塊即相互獨立又相 互融合以適應(yīng)云安全應(yīng)用需 求，可隨時響應(yīng)應(yīng)用及業(yè)務(wù) 層靈活定制的安全需求在AD域安全集成、桌面云 集成、遠(yuǎn)程接入物理層與系 統(tǒng)層集成方面均為前瞻性應(yīng) 用，在國內(nèi)無論在理論技術(shù) 架構(gòu)還是實際部署應(yīng)用處于 領(lǐng)先地位CA中心AD認(rèn)證審計 中心生物 識別