【智慧校園】-銳捷網(wǎng)絡(luò)-某教育局教育云數(shù)據(jù)中心建設(shè)解決方案

XXX教育局教育云數(shù)據(jù)中心建設(shè)解決方案銳捷網(wǎng)絡(luò)股份有限公司

目錄TOC\o"1-4"\h\z\u一、項目概述 51、項目建設(shè)背景 52、項目建設(shè)必要性 63、主要問題與挑戰(zhàn) 73.1普教信息化建設(shè)存在的問題 73.2普教云平臺建設(shè)面臨的挑戰(zhàn) 84、項目總體建設(shè)目標(biāo) 9二、項目需求分析 101、數(shù)據(jù)中心特點分析 102、組網(wǎng)需求分析 113、平安需求分析 134、運維管理需求分析 14三、建設(shè)思路及原則 15四、解決方案總體說明 161、方案總體說明 162、方案整體框架 173、方案整體架構(gòu) 184、方案整體設(shè)計 19五、解決方案具體設(shè)計 211、云計算平臺設(shè)計 211.1整體架構(gòu)設(shè)計 211.2超融合架構(gòu)方案 221.3解決方案價值 251.4SQL數(shù)據(jù)庫支撐設(shè)計 282、云網(wǎng)絡(luò)平臺設(shè)計 302.1整體架構(gòu)設(shè)計 302.2網(wǎng)絡(luò)分區(qū)設(shè)計 312.3核心層設(shè)計 332.4接入層設(shè)計 342.5虛機感知與策略遷移 353、云平安平臺設(shè)計 373.1數(shù)據(jù)中心平安概述 373.2平安威逼及措施 383.3數(shù)據(jù)中心平安設(shè)計 413.3.1防火墻平安分區(qū) 443.3.2關(guān)鍵路徑進行入侵防守 443.3.3Web應(yīng)用平安防護 453.3.4網(wǎng)絡(luò)與數(shù)據(jù)庫平安審計 463.4.5運維審計堡壘機 473.4平安域規(guī)劃設(shè)計 473.4.1平安域總體架構(gòu) 483.4.2平安域規(guī)劃設(shè)計 483.5數(shù)據(jù)中心服務(wù)器平安措施 494、統(tǒng)一運維平臺設(shè)計 504.1統(tǒng)一運維建設(shè)概述 504.2統(tǒng)一運維建設(shè)目標(biāo) 514.3統(tǒng)一運維方案設(shè)計 524.3.1網(wǎng)絡(luò)管理功能設(shè)計 524.3.2機房業(yè)務(wù)系統(tǒng)和應(yīng)用管理功能設(shè)計 524.3.3故障處理和運維流程設(shè)計 57

一、項目概述隨著物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等技術(shù)的快速進展，不斷刺激著教育行業(yè)對資源開放、互動學(xué)習(xí)、學(xué)習(xí)分析等的迫切需求，“互聯(lián)網(wǎng)+教育”帶來了新的教育信息化進展需求，智慧教育成為教育信息化進展的新趨勢。隨著教育模式的改革和新技術(shù)的不斷涌現(xiàn)，信息化教學(xué)的應(yīng)用不斷拓展和深化，教學(xué)資源不斷豐富，教育信息化在促進教育公平、提高教育質(zhì)量、創(chuàng)新教育模式領(lǐng)域的支撐和帶動作用初步顯現(xiàn)。近年來，云計算因具備資源按需安排、平安可控、數(shù)據(jù)牢靠、節(jié)省成本、提高資源利用率、統(tǒng)一管理、系統(tǒng)冗余等多種特性，在各行業(yè)的應(yīng)用越來越廣泛，通過越來越廣泛的網(wǎng)絡(luò)掩蓋，云計算服務(wù)的隨時隨地交付變?yōu)榭赡??；诮逃频男畔⒒到y(tǒng)建設(shè)，為提升學(xué)校教育和社會教育服務(wù)水平供應(yīng)有效支撐，建立區(qū)域云數(shù)據(jù)中心將有效實現(xiàn)資源整合與優(yōu)化利用，促進教育資源均衡、教育管理協(xié)同、教育模式創(chuàng)新，云服務(wù)體系使教育信息化建設(shè)提升到一個全新的層面。1、項目建設(shè)背景教育資源公共服務(wù)平臺建設(shè)是“十三五”期間的教育信息化建設(shè)的核心任務(wù)，是“三通兩平臺”的重點內(nèi)容之一。XXX教育局信息化建設(shè)經(jīng)過一系列的重大工程建設(shè)，目前取得了較大的成就：建成了XX教育科研網(wǎng)，各級各類學(xué)校不同程度地建有校園網(wǎng)并以多種方式接入XX教育科研網(wǎng)和互聯(lián)網(wǎng)，面對全市的教育信息基礎(chǔ)設(shè)施體系基本形成。但由于各區(qū)縣教育局?jǐn)?shù)據(jù)中心建設(shè)尚不完善或暫許多據(jù)中心，各地教育局信息化水平參差不齊，難以真正實現(xiàn)區(qū)域內(nèi)的資源整合、資源共享及協(xié)同辦公。XXX其他內(nèi)容請自行補充當(dāng)前教育信息化的需求正在從分散的自建方式向集中的區(qū)域化統(tǒng)建共建方式轉(zhuǎn)型、從基礎(chǔ)的業(yè)務(wù)支撐向區(qū)域化的頂層管理提升、從基本的電子化向高度的智慧能力提速。2、項目建設(shè)必要性有明確的指導(dǎo)思想和建設(shè)目標(biāo)《教育信息化十年進展規(guī)劃(2011-2020年)》明確提出：“充分整合現(xiàn)有資源，采用云計算技術(shù)，形成資源配置與服務(wù)的集約化進展途徑，構(gòu)建穩(wěn)定牢靠、低成本的國家教育云服務(wù)模式。面對全國各級各類學(xué)校和教育機構(gòu)，供應(yīng)公共存儲、計算、共享帶寬、平安認(rèn)證及各種支撐工具等通用基礎(chǔ)服務(wù)，支撐優(yōu)質(zhì)資源全國共享和教育管理信息化?！苯逃哭k公廳關(guān)于征求對《關(guān)于“十三五”期間全面深化推動教育信息化工作的指導(dǎo)意見》明確提出：“要從用戶需求出發(fā)，樂觀利用云計算、大數(shù)據(jù)等新技術(shù)，創(chuàng)新管理平臺、資源平臺的建設(shè)、應(yīng)用模式”、“各地要依據(jù)信息化教學(xué)實際需求，加快推動資源服務(wù)平臺建設(shè)，鼓舞企業(yè)依據(jù)國家規(guī)定與學(xué)校需求建設(shè)資源服務(wù)平臺，最終形成掩蓋全國、多級分布、互聯(lián)互通的數(shù)字教育資源云服務(wù)體系”、“加快探究數(shù)字教育資源服務(wù)供應(yīng)模式，有效提升數(shù)字教育資源服務(wù)水平”。教育部辦公廳關(guān)于印發(fā)《2016年教育信息化工作要點》中也明確提出：“完善教育資源云服務(wù)體系，提升資源服務(wù)能力”、“統(tǒng)籌推動教育資源公共服務(wù)平臺建設(shè)”。力爭實現(xiàn)四個新突破，即教育信息化基礎(chǔ)設(shè)施建設(shè)新突破、優(yōu)質(zhì)數(shù)字教育資源共建共享新突破、信息技術(shù)與教育教學(xué)深度融合新突破、教育信息化科學(xué)進展機制新突破。3、主要問題與挑戰(zhàn)3.1普教信息化建設(shè)存在的問題整體資源建設(shè)初具規(guī)模，但往往分布在各個學(xué)校內(nèi)部，共建共享機制尚未實現(xiàn)，資源分布不均衡；針對單個業(yè)務(wù)系統(tǒng)實現(xiàn)信息化較強，但多業(yè)務(wù)拉通環(huán)節(jié)尚未實現(xiàn)，信息孤島問題突出；中小學(xué)的信息化硬件設(shè)施、寬帶網(wǎng)絡(luò)接入有持續(xù)投入，但存在重硬輕軟，重復(fù)建設(shè)的問題。同時對中小學(xué)老師的管理能力要求太高，又缺乏體制保障，實際使用效果有所折扣；投資成本高，運行效率低：中小學(xué)數(shù)字校園建設(shè)按項目獨立建設(shè)應(yīng)用，而不是統(tǒng)一規(guī)劃。每個新上線的應(yīng)用都需要采購新的服務(wù)器，學(xué)校擁有的X86服務(wù)器的數(shù)量每年都在以驚人的數(shù)量增加，與之形成鮮亮對比的是服務(wù)器的利用率卻很低（平均利用率只有在5％－10％），并且每臺服務(wù)器都產(chǎn)生高額成本，包括購置硬件、系統(tǒng)軟件、網(wǎng)絡(luò)連接與存儲等，同時管理成本也隨之上升。架構(gòu)缺乏機敏性，響應(yīng)速度慢：傳統(tǒng)IT架構(gòu)缺乏機敏性，對業(yè)務(wù)需求響應(yīng)速度慢，配置和部署非常簡潔。每個應(yīng)用系統(tǒng)使用獨立的硬件環(huán)境，當(dāng)硬件發(fā)生故障時，無法利用其它服務(wù)器的空閑資源。新業(yè)務(wù)上線和現(xiàn)有業(yè)務(wù)擴容的工作量非常大，常常需要涉及到計算、存儲、網(wǎng)絡(luò)等環(huán)境的重新設(shè)計和配置。數(shù)據(jù)中心的工作效率低，響應(yīng)速度慢，而成本卻不斷上升。維護成本和設(shè)備管理的壓力非常大：中小型的教育行業(yè)用戶IT管理人員缺乏，通常沒有專業(yè)的運維人員，許多情況下是由老師兼職管理的，非專業(yè)運維人員對于處理突發(fā)的系統(tǒng)故障能力欠缺，尤其是對于底層基礎(chǔ)設(shè)施的維護能力不足。3.2普教云平臺建設(shè)面臨的挑戰(zhàn)資源整合與優(yōu)化利用是教育信息化進展亟需解決的首要問題，而云數(shù)據(jù)中心建設(shè)是有效解決這一問題的關(guān)鍵舉措。如何結(jié)合行業(yè)用戶實際需求，構(gòu)建適合普教應(yīng)用的區(qū)域云數(shù)據(jù)中心是教育信息化建設(shè)的核心焦點。對普教用戶而言，云數(shù)據(jù)中心的高技術(shù)性和簡潔性以及資金壓力、管理壓力都是需要關(guān)注和解決的重點，對于普教云數(shù)據(jù)中心建設(shè)來講，主要存在以下幾個方面的挑戰(zhàn)：挑戰(zhàn)一：建設(shè)成本與運行成本壓力。項目資金有限，對高牢靠、高可用、虛擬化、自動化、高平安等的綜合考慮使得云數(shù)據(jù)中心前期基礎(chǔ)設(shè)施建設(shè)投入高，導(dǎo)致信息化建設(shè)被動重硬輕軟、軟硬件資源建設(shè)不均衡；其次是運行成本高，數(shù)據(jù)中心節(jié)點設(shè)備眾多，面臨用電和散熱帶來的高能耗開支，及不斷增加運維開支。挑戰(zhàn)二：系統(tǒng)簡潔度高，運維管理不易。虛擬化使得IT系統(tǒng)簡潔度成倍增加，帶來了運維簡潔性，對管理人員技術(shù)要求高，運維管理壓力大。挑戰(zhàn)三：計算虛擬化增加了平安防護部署與管理的簡潔度，云平安足于邏輯邊界而非物理邊界，使得對使用者身份、權(quán)限和行為的鑒別、把握與審計變得更加困難。挑戰(zhàn)四：業(yè)務(wù)應(yīng)用開展難以監(jiān)測與督導(dǎo)。教育局難以把握業(yè)務(wù)應(yīng)用開展情況，無法把握各學(xué)校對教學(xué)資源的使用狀況與業(yè)務(wù)訪問體驗，相比對設(shè)備的運維管理，用戶更關(guān)心當(dāng)前建設(shè)應(yīng)用成果呈現(xiàn)。挑戰(zhàn)五：建設(shè)方案技術(shù)封閉或半封閉，后續(xù)擴容被限制，異構(gòu)整合成本高。4、項目總體建設(shè)目標(biāo)以實現(xiàn)“三通兩平臺”落地為目標(biāo)，建設(shè)區(qū)域教育云。通過科學(xué)設(shè)計和整體規(guī)劃，建設(shè)數(shù)據(jù)集中、系統(tǒng)集成的應(yīng)用環(huán)境，整合各類教育信息資源和信息化基礎(chǔ)設(shè)施，實現(xiàn)信息整合、業(yè)務(wù)聚合、服務(wù)融合的教育云平臺，為各級各類學(xué)校供應(yīng)IT資源的云服務(wù)，促進教育業(yè)務(wù)部門的業(yè)務(wù)協(xié)同，提高教育局的信息化服務(wù)能力、服務(wù)效率與服務(wù)質(zhì)量。通過區(qū)域云平臺建設(shè)，最終來實現(xiàn)以下五個目標(biāo)：(1)區(qū)域智慧教育云基礎(chǔ)環(huán)境建設(shè)構(gòu)建系統(tǒng)架構(gòu)科學(xué)合理、開放互聯(lián)的智慧教育云平臺基礎(chǔ)軟硬件支撐平臺和信息化網(wǎng)絡(luò)環(huán)境，建設(shè)豐富多樣的教育應(yīng)用和資源中心，拓展學(xué)習(xí)空間人人通，統(tǒng)一數(shù)據(jù)服務(wù)和業(yè)務(wù)運行。(2)智慧管理通過對大數(shù)據(jù)的采集和分析，對各種教育動態(tài)隨時處理，實現(xiàn)智能決策、可視化管控、平安預(yù)警等。建成多級管理和行政辦公系統(tǒng)，使教育管理優(yōu)質(zhì)高效，科學(xué)決策。(3)智慧學(xué)習(xí)利用有線、無線網(wǎng)絡(luò)及教學(xué)資源、網(wǎng)絡(luò)課程中心和互動教學(xué)平臺為學(xué)生供應(yīng)泛在學(xué)習(xí)條件，利用智能學(xué)習(xí)系統(tǒng)監(jiān)測學(xué)生的學(xué)習(xí)情況，科學(xué)評價，依據(jù)學(xué)生情況推送學(xué)習(xí)資源。提高學(xué)生能力的同時提升學(xué)生的學(xué)習(xí)興趣，減輕課業(yè)負(fù)擔(dān)，促進學(xué)生健康、歡樂、幸福的成長。(4)智慧教研建設(shè)智能化的網(wǎng)上教研環(huán)境，通過對老師需求的分析，主動推送教學(xué)資源，支持協(xié)作、共享、創(chuàng)新，老師可隨時隨地與專家和同行交流，充分發(fā)揮名師和骨干老師的引領(lǐng)示范作用，快速提升老師專業(yè)水平，提高教學(xué)有效性。(5)智慧服務(wù)供應(yīng)全面的教育評價和質(zhì)量監(jiān)測結(jié)果，并有選擇地向教育行政、學(xué)校、老師、學(xué)生、家長供應(yīng)，用于改進教學(xué)和學(xué)習(xí);做好有關(guān)教育信息發(fā)布及推送服務(wù)，使家長準(zhǔn)時了解學(xué)生在學(xué)校中的情況，使公眾便利獲得所關(guān)注的教育信息。XXX其他內(nèi)容請自行補充二、項目需求分析1、數(shù)據(jù)中心特點分析1）大并發(fā)訪問量特點數(shù)據(jù)中心實現(xiàn)了業(yè)務(wù)和數(shù)據(jù)的大集中，因此對于用戶而言其全部的業(yè)務(wù)都要通過遠(yuǎn)程訪問數(shù)據(jù)中心的資源，這就使得數(shù)據(jù)中心往往面對眾多的遠(yuǎn)程訪問請求。在訪問高峰期各個分支節(jié)點及遠(yuǎn)程接入人員的業(yè)務(wù)互動都要通過調(diào)用數(shù)據(jù)中心的資源來完成，高并發(fā)請求一方面使得數(shù)據(jù)中心的出口流量高、另一方面也使得數(shù)據(jù)中心對業(yè)務(wù)的處理能力要求高。2）高開放性特點數(shù)據(jù)中心應(yīng)用包括了對內(nèi)部的業(yè)務(wù)支撐、對協(xié)同單位和關(guān)聯(lián)業(yè)務(wù)的數(shù)據(jù)交互和公共信息服務(wù)，需要接入分支機構(gòu)、業(yè)務(wù)關(guān)聯(lián)單位網(wǎng)絡(luò)以及開發(fā)的互聯(lián)網(wǎng)，使得數(shù)據(jù)中心具有開放性的特點，而數(shù)據(jù)中心的業(yè)務(wù)決定了其只能接受特定來源的特定訪問，因此數(shù)據(jù)中心的開放性導(dǎo)致其信息平安風(fēng)險很高，使得數(shù)據(jù)中心對信息平安的高要求成為必定。3）多業(yè)務(wù)并存的特點數(shù)據(jù)中心是基于業(yè)務(wù)大集中模式建設(shè)的，因此數(shù)據(jù)中心先天具有多業(yè)務(wù)并存的特點，由于不同業(yè)務(wù)的重要性不同，因此在資源安排上有級差性，即不同業(yè)務(wù)需要安排不同的資源來保障，這種資源包括服務(wù)器資源、網(wǎng)絡(luò)平安資源、數(shù)據(jù)存儲資源及鏈路帶寬資源。4）不確定的訪問來源由于數(shù)據(jù)中心會有部分業(yè)務(wù)面對業(yè)務(wù)關(guān)聯(lián)單位和公共用戶開放，因而對于訪問來源的接入把握、訪問管理和行為審計成為數(shù)據(jù)中心建設(shè)必需要重點考慮的方面。另外，在信息化時代，如何防范和抵御競爭對手針對信息機密的網(wǎng)絡(luò)入侵、信息盜取、惡意攻擊與破壞，也是信息化建設(shè)所必不能少的考慮。2、組網(wǎng)需求分析1）高性能、大流量數(shù)據(jù)能力數(shù)據(jù)中心應(yīng)用的一個業(yè)務(wù)特點是大流量的數(shù)據(jù)下載和業(yè)務(wù)查詢，因此要求網(wǎng)絡(luò)平臺必需具備高性能的數(shù)據(jù)處理能力和大流量的數(shù)據(jù)緩沖能力，確保網(wǎng)絡(luò)性能不能成為業(yè)務(wù)的瓶頸。數(shù)據(jù)中心的大流量突發(fā)傳輸業(yè)務(wù)特性，對基礎(chǔ)網(wǎng)絡(luò)的轉(zhuǎn)發(fā)表項、吞吐能力、突發(fā)流量吸取提出了苛刻的要求。同時虛擬服務(wù)器產(chǎn)生了不可預(yù)期的流量模型，特別?????是如虛擬服務(wù)器遷移、數(shù)據(jù)同步、數(shù)據(jù)備份等帶來的突發(fā)性流量，因此網(wǎng)絡(luò)平臺需要能夠支撐大型突發(fā)流量以及持續(xù)的無損耗無阻塞數(shù)據(jù)轉(zhuǎn)發(fā)2）低延時、網(wǎng)絡(luò)時效性強數(shù)據(jù)中心應(yīng)用的另一個業(yè)務(wù)特點是網(wǎng)絡(luò)時效性強，特別?????是在集中時段、多業(yè)務(wù)并行服務(wù)時要具有服務(wù)響應(yīng)的低延時，充分保障業(yè)務(wù)系統(tǒng)對用戶訪問的服務(wù)質(zhì)量，因此要求網(wǎng)絡(luò)平臺要保障低延時，保證用戶訪問的快速刷新與結(jié)果反饋，確保業(yè)務(wù)的實時高效。3）高牢靠、高可用因為業(yè)務(wù)和數(shù)據(jù)的大集中部署，數(shù)據(jù)中心網(wǎng)絡(luò)的第三個業(yè)務(wù)特點是高牢靠、高可用，所以網(wǎng)絡(luò)平臺的穩(wěn)定牢靠是實現(xiàn)業(yè)務(wù)支撐的基礎(chǔ)，要保障業(yè)務(wù)數(shù)據(jù)在傳輸?shù)倪^程中不能毀滅因網(wǎng)絡(luò)故障毀滅中斷，滿意7×24小時連續(xù)運行的要求。網(wǎng)絡(luò)設(shè)計應(yīng)能有效地避開單點故障（設(shè)備、線路），在設(shè)備的選擇和關(guān)鍵設(shè)備互連時，應(yīng)供應(yīng)充分的冗余備份，一方面最大限度地削減故障的可能性，另一方面要保證網(wǎng)絡(luò)能在最短時間內(nèi)修復(fù)。4）虛擬業(yè)務(wù)遷移需求服務(wù)器高可用集群技術(shù)和虛擬服務(wù)器動態(tài)遷移技術(shù)在數(shù)據(jù)中心容災(zāi)及計算資源調(diào)配方面得以廣泛應(yīng)用，這兩種技術(shù)不僅要求在數(shù)據(jù)中心內(nèi)實現(xiàn)大二層網(wǎng)絡(luò)接入，而且要求在數(shù)據(jù)中心間也實現(xiàn)大范圍二層網(wǎng)絡(luò)擴展。同時網(wǎng)絡(luò)平臺能夠感知虛擬業(yè)務(wù)遷移，網(wǎng)絡(luò)平安管理策略（ACL）等也能夠隨著虛擬業(yè)務(wù)的動態(tài)遷移而遷移，保障業(yè)務(wù)不間斷。5）統(tǒng)一I/O的FCOE融合在傳統(tǒng)數(shù)據(jù)中心中，由于多種技術(shù)之間的孤立性(LAN與SAN)，使得數(shù)據(jù)中心服務(wù)器總是供應(yīng)多個對外I/O接口，如用于數(shù)據(jù)計算與交互的LAN接口、數(shù)據(jù)訪問的SAN存儲接口以及某些特別?????環(huán)境如特定HPC(高性能計算)環(huán)境下的超低時延接口等。數(shù)據(jù)中心因此不可避開的部署多個網(wǎng)絡(luò)：前端的用戶通信網(wǎng)絡(luò)（以太網(wǎng)）、后臺存儲網(wǎng)絡(luò)光纖的通道（FC光纖網(wǎng)絡(luò)）、后端做數(shù)據(jù)更新或者做集群計算的通訊網(wǎng)絡(luò)（高性能計算Infiniband網(wǎng)絡(luò)）。服務(wù)器的多個I/O接口導(dǎo)致了數(shù)據(jù)中心環(huán)境下多個獨立運行的網(wǎng)絡(luò)同時存在，不僅使得數(shù)據(jù)中心布線簡潔，不同的網(wǎng)絡(luò)、接口形體造成的異構(gòu)還直接增加了額外人員的運行維護、培訓(xùn)管理等昂揚成本投入，特別?????是存儲網(wǎng)絡(luò)的低兼容性特點，使得數(shù)據(jù)中心的業(yè)務(wù)擴展往往存在約束。因此，面對云計算服務(wù)平臺的數(shù)據(jù)中心網(wǎng)絡(luò)將進展為統(tǒng)一平臺，面對數(shù)據(jù)網(wǎng)絡(luò)、存儲網(wǎng)絡(luò)、服務(wù)器集群網(wǎng)絡(luò)供應(yīng)統(tǒng)一的網(wǎng)絡(luò)平臺支撐。6）良好的擴展能力易擴展，機敏的適應(yīng)性和高擴展能力，滿意后期技術(shù)平滑升級和業(yè)務(wù)機敏擴容的要求。業(yè)務(wù)支撐網(wǎng)絡(luò)平臺以資源服務(wù)和業(yè)務(wù)進展為導(dǎo)向，采用主流的模塊化分層分區(qū)設(shè)計，具備機敏組網(wǎng)和IPv6演進能力。7）全面平安、等保合規(guī)建立與國家要求相統(tǒng)一的信息平安保障體系，依據(jù)端到端訪問平安對平安體系進行設(shè)計規(guī)劃，具備“數(shù)據(jù)平安”、“運行平安”、“應(yīng)用平安”等多維度技術(shù)要求，嚴(yán)格遵照國家信息平安等級保護要求與相關(guān)政策指導(dǎo)規(guī)范，保證信息網(wǎng)絡(luò)的合規(guī)性。3、平安需求分析系統(tǒng)平安需求可以從管理層、物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等方面加以分析。在平安管理方面，要考慮政策、法規(guī)、制度、管理權(quán)限、級別劃分、平安域劃分、責(zé)任認(rèn)定、平安培訓(xùn)等，制定切實有效的管理制度和運行維護機制，建設(shè)支撐平安管理的技術(shù)支撐體系；在物理平安方面，要依據(jù)實際情況建立相應(yīng)的平安防護機制；在網(wǎng)絡(luò)平安方面，要解決信息外網(wǎng)與互聯(lián)網(wǎng)的邏輯隔離；對各個平安域，要防范黑客入侵、身份冒充、非法訪問；要解決信息在平安域間傳輸時的完整性、可用性、保密性問題；要解決移動接入用戶身份鑒別和平安傳輸?shù)葐栴}；在系統(tǒng)平安方面，要解決操作系統(tǒng)平安、數(shù)據(jù)庫平安、病毒及惡意代碼防范等問題；從應(yīng)用平安平安需求進行分析，要實現(xiàn)全網(wǎng)統(tǒng)一的身份鑒別和授權(quán)訪問機制；解決重要終端用戶敏感信息和數(shù)據(jù)的完整性、可用性、保密性問題，數(shù)據(jù)的訪問把握等問題。4、運維管理需求分析影響IT平安運維的因素有許多，總結(jié)起來主要有以下幾方面：簡潔的系統(tǒng)架構(gòu)結(jié)構(gòu)簡潔、系統(tǒng)繁多，大量的相互依靠關(guān)系，多點分布。多個管理團隊，學(xué)問分散，過度分別到個人，關(guān)鍵時會影響問題解決效率。頻繁的軟硬件變更業(yè)務(wù)變化快、系統(tǒng)頻繁升級變更，時間緊迫，手工操作，易產(chǎn)生業(yè)務(wù)不穩(wěn)定。分割的應(yīng)用視圖各自獨立的監(jiān)控方式，對IT系統(tǒng)豎井式管理，故障難以準(zhǔn)確定位。應(yīng)用軟件注重業(yè)務(wù)實現(xiàn)，忽略對日常運維管理的支持。高強度的運維工作長期處于高壓力環(huán)境下工作，工作內(nèi)容瑣碎繁多、重復(fù)性強，簡潔形成疲沓工作狀態(tài)，導(dǎo)致人為操作差錯毀滅。學(xué)問積累少，相像問題屢屢發(fā)生，運維人員疲于奔命。對于數(shù)據(jù)中心機房眾多的異構(gòu)軟硬件的IT資源管理環(huán)境，為了全方位的監(jiān)控管理和精細(xì)化管理，有力保障數(shù)據(jù)中心各個業(yè)務(wù)域穩(wěn)定運行，需要建立一個IT資產(chǎn)管理、綜合運行態(tài)勢分析與評估平臺。通過IT運維管理系統(tǒng)，實現(xiàn)多個廠家的網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫、存儲設(shè)備的統(tǒng)一管理，將目前各個業(yè)務(wù)系統(tǒng)中的各種硬件、軟件、業(yè)務(wù)應(yīng)用納入到監(jiān)控平臺中來，實現(xiàn)IT系統(tǒng)、業(yè)務(wù)過程和關(guān)鍵業(yè)務(wù)指標(biāo)的監(jiān)控，準(zhǔn)時發(fā)覺業(yè)務(wù)特別和問題，實現(xiàn)主動的IT運維服務(wù)。三、建設(shè)思路及原則（1）有用性和先進性原則既要充分考慮有用性，始終面對業(yè)務(wù)應(yīng)用，又要考慮先進性，保持適度前瞻。在進行架構(gòu)規(guī)劃時，不盲目追求設(shè)備的超前采購，在充分考慮應(yīng)用性能的基礎(chǔ)上，保護原有投資。同時要采用成熟先進的理念、技術(shù)和方法，適應(yīng)進展潮流。（2）牢靠性和穩(wěn)定性原則要確保系統(tǒng)運行的牢靠性和穩(wěn)定性，要從系統(tǒng)架構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及修理能力等多方面進行設(shè)計規(guī)劃，確保系統(tǒng)運行的牢靠穩(wěn)定。（3）可擴展性和易維護性原則應(yīng)充分考慮可擴展性和易維護性，適應(yīng)系統(tǒng)變化要求，能夠依據(jù)將來業(yè)務(wù)的增長和變化平滑的擴充和升級，最大程度的削減對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整，盡量降低電力、人力等各方面資源維護費用。（4）高度的網(wǎng)絡(luò)平安性基于國家信息平安等級保護相關(guān)政策的理解，供應(yīng)完備的平安防護策略，能防止對網(wǎng)絡(luò)資源的非法訪問，保護網(wǎng)絡(luò)使用者的合法利益。（5）良好的管理能力在網(wǎng)絡(luò)設(shè)計中，須建立有效的網(wǎng)絡(luò)管理解決方案。能夠?qū)崿F(xiàn)監(jiān)控、監(jiān)測整個網(wǎng)絡(luò)的運行情況，合理安排網(wǎng)絡(luò)資源、動態(tài)配置網(wǎng)絡(luò)負(fù)載、可以飛速確定網(wǎng)絡(luò)故障等。通過先進的管理策略、管理工具提高網(wǎng)絡(luò)的運行性能、牢靠性，簡化網(wǎng)絡(luò)的維護工作。XXX其他內(nèi)容請自行補充四、解決方案總體說明1、方案總體說明銳捷教育云數(shù)據(jù)中心解決方案充分考慮了普教數(shù)據(jù)中心建設(shè)面臨的實際問題，具備柔性支撐架構(gòu)和快部署、低投入、簡運維、高平安、平臺開放等系列特性，幫忙教育局快速構(gòu)建區(qū)域云平臺或改造原有數(shù)據(jù)中心，做到隨需應(yīng)變和持續(xù)演化。方案規(guī)劃在保證滿意基本業(yè)務(wù)應(yīng)用的同時，又要體現(xiàn)出組網(wǎng)先進性，所供應(yīng)的技術(shù)在近年內(nèi)要具有確定的領(lǐng)先性，與將來的新技術(shù)具有兼容性，在網(wǎng)絡(luò)設(shè)計中要把先進的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮到網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和將來進展趨勢。方案規(guī)劃考慮網(wǎng)絡(luò)及設(shè)備的擴容能力，能夠在充分保護用戶投資的基礎(chǔ)上，可以實現(xiàn)設(shè)備及網(wǎng)絡(luò)性能的無縫平滑升級、實現(xiàn)多種業(yè)務(wù)的無縫平滑擴展，并在性能升級和業(yè)務(wù)擴展過程中保障應(yīng)用系統(tǒng)的連續(xù)性。2、方案整體框架教育云平臺整體架構(gòu)如圖所示，分別是為基礎(chǔ)設(shè)施平臺、基礎(chǔ)服務(wù)平臺和教育應(yīng)用平臺，銳捷數(shù)據(jù)中心解決方案定位于基礎(chǔ)設(shè)施平臺，為用戶供應(yīng)極簡融合架構(gòu)的基礎(chǔ)平臺建設(shè)方案。教育云平臺方案框架IaaS基礎(chǔ)設(shè)施服務(wù)層包括硬件基礎(chǔ)設(shè)施子層、虛擬化&資源池化子層、資源調(diào)度與管理自動化子層。? 硬件基礎(chǔ)設(shè)施子層：包括主機、存儲、網(wǎng)絡(luò)及其他硬件在內(nèi)的硬件設(shè)備，它們是實現(xiàn)系統(tǒng)平臺虛擬化的最基礎(chǔ)資源；? 虛擬化&資源池化層：通過虛擬化技術(shù)進行整合，形成一個對外供應(yīng)對資源的池化管理（包括網(wǎng)絡(luò)池、服務(wù)器池、存儲池等），同時通過虛擬化管理平臺，對外供應(yīng)運行環(huán)境等基礎(chǔ)服務(wù)。? 資源調(diào)度與管理自動化子層：在對資源（物理資源和虛擬資源）進行有效監(jiān)控、管理的基礎(chǔ)上，并且通過對服務(wù)模型的抽取，供應(yīng)彈性計算、負(fù)載均衡、動態(tài)遷移、按需供應(yīng)、自動化部署等功能，它是實現(xiàn)系統(tǒng)平臺虛擬化架構(gòu)的關(guān)鍵所在。3、方案整體架構(gòu)銳捷教育云數(shù)據(jù)中心解決方案由云計算、云網(wǎng)絡(luò)、云平安、統(tǒng)一運維幾個部分組成，為教育資源服務(wù)平臺和教育管理服務(wù)平臺供應(yīng)健壯、彈性、平安的運行環(huán)境，并在此基礎(chǔ)上構(gòu)建教育共有云或VPC虛擬私有云，教育局可為各學(xué)校供應(yīng)基礎(chǔ)云資源（云主機、云存儲等）服務(wù)，有效支撐“互聯(lián)網(wǎng)+教育”戰(zhàn)略的落地。教育云數(shù)據(jù)中心方案整體架構(gòu)云網(wǎng)絡(luò)平面為用戶構(gòu)建彈性、健壯的網(wǎng)絡(luò)資源池，云計算平面為用戶構(gòu)建按需調(diào)配、彈性伸縮的計算及存儲資源池，在云服務(wù)平面教育局可針對各學(xué)校供應(yīng)云主機、云存儲等云資源服務(wù)，幫忙學(xué)?？焖偕暇€業(yè)務(wù)應(yīng)用。云平安平面為用戶供應(yīng)從網(wǎng)絡(luò)、計算到服務(wù)的端到端平安防護，統(tǒng)一運維平面實現(xiàn)對網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫、中間件和業(yè)務(wù)系統(tǒng)的全方位資源管理，實現(xiàn)從業(yè)務(wù)角度統(tǒng)一管理下層IT資源。4、方案整體設(shè)計方案整體設(shè)計如下圖所示，依據(jù)分區(qū)分等級的原則進行業(yè)務(wù)分區(qū)和平安域劃分，整體劃分為服務(wù)器區(qū)、核心交換區(qū)、平安服務(wù)區(qū)和運維管理區(qū)，依據(jù)業(yè)務(wù)類別和平安級別不同，再將服務(wù)器區(qū)進一步劃分為數(shù)據(jù)庫服務(wù)區(qū)、應(yīng)用服務(wù)區(qū)和前置服務(wù)區(qū)，實現(xiàn)全面的結(jié)構(gòu)平安。教育云數(shù)據(jù)中心方案整體設(shè)計在計算存儲層面，為用戶供應(yīng)服務(wù)器、存儲、虛擬化的一站式解決方案，幫忙教育局快速部署云數(shù)據(jù)中心，快速響應(yīng)業(yè)務(wù)需求。教育局一次設(shè)備采購即可完成對云平臺基礎(chǔ)架構(gòu)的整體搭建，相比傳統(tǒng)的分散采購部署方式，建設(shè)成本降低50%以上、能耗降低75%以上。有效解決了傳統(tǒng)的云數(shù)據(jù)中心建設(shè)所面臨的“投資成本高、運行效率低、架構(gòu)缺乏機敏性、業(yè)務(wù)響應(yīng)速度慢”等問題，兼顧建設(shè)成本和應(yīng)用效率，建設(shè)綠色數(shù)據(jù)中心。在網(wǎng)絡(luò)層面，通過雙機虛擬化部署，實現(xiàn)高牢靠和高可用，保障關(guān)鍵業(yè)務(wù)不中斷傳輸。設(shè)備層面：核心設(shè)備主控引擎1+1冗余、交換網(wǎng)板N+1冗余、N+M冗余電源、不間斷重啟、熱補丁等技術(shù)，確保電信級牢靠性；組網(wǎng)層面：網(wǎng)絡(luò)設(shè)備雙機冗錯部署，網(wǎng)絡(luò)鏈路雙歸屬聚合互連；系統(tǒng)層面：多合一虛擬化，在簡化組網(wǎng)和管理的同時，進一步增加系統(tǒng)的高牢靠性與高可用性。在平安層面，通過部署防火墻、入侵防守、web應(yīng)用防護、流量管理、數(shù)據(jù)庫審計、運維審計等設(shè)備，實現(xiàn)從網(wǎng)絡(luò)到應(yīng)用的全方位平安防護，為用戶建立事前平安預(yù)警、事中深度防護、事后精確審計的全流程平安保障機制，充分滿意等保建設(shè)要求。在運維層面，基于業(yè)務(wù)視角專業(yè)化綜合運維，業(yè)務(wù)平面、數(shù)據(jù)中心平面、網(wǎng)絡(luò)平面集中高效管理，對網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫、中間件、業(yè)務(wù)系統(tǒng)及機房動力環(huán)境等統(tǒng)一監(jiān)控和可視化資源管理，為用戶建立規(guī)范的運維管理流程，充分保障運維效率和質(zhì)量。解決方案及產(chǎn)品為全開放架構(gòu)，通用性強、模塊化彈性擴展，兼容多廠商架構(gòu)，業(yè)務(wù)擴容不受限。五、解決方案具體設(shè)計1、云計算平臺設(shè)計1.1整體架構(gòu)設(shè)計傳統(tǒng)的服務(wù)器+虛擬化軟件+SAN存儲的數(shù)據(jù)中心云計算平臺方案在擴展性、效率、運維、能耗、平安五大方向上正面臨新的挑戰(zhàn)。傳統(tǒng)數(shù)據(jù)中心多采用服務(wù)器、存儲設(shè)備堆集及外部網(wǎng)絡(luò)連接的架構(gòu)模式，雖然虛擬化技術(shù)的使用讓計算、存儲具有了確定的“流淌性”，但卻無法完全虛擬化I/O，造成不同系統(tǒng)間的IT資源仍未實現(xiàn)高效的共享、機敏的流淌。這就導(dǎo)致數(shù)據(jù)中心的系統(tǒng)擴展性受限、效率不高、能耗鋪張、運維費用高居不下、平安管理簡潔等問題，難以適應(yīng)云計算大數(shù)據(jù)時代對IT基礎(chǔ)設(shè)施的要求。隨著這些新興技術(shù)和應(yīng)用模式推動數(shù)據(jù)中心向集中化、規(guī)模化進展，用戶期望能夠整體掌控、管理自己的數(shù)據(jù)中心，期望數(shù)據(jù)中心能夠“快、簡、穩(wěn)”，實現(xiàn)業(yè)務(wù)上線快、遷移快、切換快，讓數(shù)據(jù)中心的基礎(chǔ)架構(gòu)、運維、使用都變得簡潔、簡潔，同時使應(yīng)用和基礎(chǔ)架構(gòu)解耦，保證各中心業(yè)務(wù)穩(wěn)定運行。新時代下，走向融合架構(gòu)的云數(shù)據(jù)中心將成為大勢所趨。在融合架構(gòu)技術(shù)框架下，核心轉(zhuǎn)變來自CPU、內(nèi)存、I/O等硬件資源的解耦與重構(gòu)，這讓數(shù)據(jù)中心計算、存儲、網(wǎng)絡(luò)、平安資源的全虛擬化、全自動化成為現(xiàn)實，并通過軟件定義實現(xiàn)業(yè)務(wù)感知的按需資源組合與配置，實現(xiàn)系統(tǒng)的彈性伸縮和超大規(guī)模持續(xù)擴展，真正實現(xiàn)數(shù)據(jù)中心像一臺計算機一樣運行和管理。融合架構(gòu)云數(shù)據(jù)中心總體特征是，自動感知業(yè)務(wù)需求，進行資源供應(yīng)，數(shù)據(jù)中心像一臺服務(wù)器。在硬件層面，實現(xiàn)計算、I/O、存儲的完全池化；在軟件層面，實現(xiàn)資源的全面管理和調(diào)配，使得用戶能夠以業(yè)務(wù)驅(qū)動應(yīng)用，進行資源統(tǒng)一的調(diào)度。通過硬件重構(gòu)與軟件定義，在系統(tǒng)效率、擴展性、功耗和管理上帶來全面提升，將促進數(shù)據(jù)中心從資源驅(qū)動向業(yè)務(wù)驅(qū)動轉(zhuǎn)變，真實呈現(xiàn)數(shù)據(jù)中心即計算機的愿景。融合架構(gòu)是將徹底打破現(xiàn)有數(shù)據(jù)中心的建設(shè)思維與應(yīng)用模式。同時，精簡的架構(gòu)使數(shù)據(jù)中心配置高度簡化，極大地降低了運維管理成本，讓IT部門專注于業(yè)務(wù)的動態(tài)變化和模式創(chuàng)新。1.2超融合架構(gòu)方案通過一箱即云、軟硬件融合統(tǒng)一交付的整體解決方案，為用戶供應(yīng)最優(yōu)的效率、機敏性、規(guī)模、成本和數(shù)據(jù)保護，兼顧建設(shè)成本和應(yīng)用效率，省錢省力省心。教育局所承載的業(yè)務(wù)系統(tǒng)均采用私有云部署方式，各業(yè)務(wù)系統(tǒng)全部運行在私有云上。硬件融合，簡化數(shù)據(jù)中心系統(tǒng)架構(gòu)，部署、管理、維護更簡潔軟件融合，計算、管理融合，云管理與簡運維整體交付開放架構(gòu)，模塊化彈性擴展，業(yè)務(wù)擴容不受限云管理平臺實現(xiàn)IT資源的服務(wù)交付，用戶需要部署業(yè)務(wù)應(yīng)用時可以直接通過自助服務(wù)門戶申請相應(yīng)資源，通過業(yè)務(wù)流審批快速交付與部署。同時云管理平臺可以實現(xiàn)多租戶的資源配額與管理，教育局可為下屬的學(xué)校(租戶)劃分虛擬的計算、存儲與網(wǎng)絡(luò)資源供其使用，實現(xiàn)資源的集約式管理，同時保障各學(xué)校的平安隔離。自助式服務(wù)管理為用戶供應(yīng)了一個平安的、多租戶的、可自助服務(wù)的IaaS，通過JCOS云計算管理平臺供應(yīng)的虛擬化資源池功能，通過完全自動化的自助服務(wù)訪問為用戶供應(yīng)云主機、云存儲等云資源。這種自助式的服務(wù)真正實現(xiàn)了云計算的機敏性、可控性和高效性，并極大程度地提高了業(yè)務(wù)的響應(yīng)能力。招生系統(tǒng)、查分系統(tǒng)、老師評優(yōu)等應(yīng)用：大量用戶特定時間段集中訪問，突發(fā)的高并發(fā)訪問常常造成業(yè)務(wù)系統(tǒng)癱瘓，導(dǎo)致業(yè)務(wù)中斷。ERS（彈性資源擴展）可感知應(yīng)用負(fù)載并動態(tài)調(diào)配虛擬機數(shù)量。以下圖為例，當(dāng)學(xué)生查分訪問高峰時，JCOS監(jiān)控到當(dāng)前兩臺業(yè)務(wù)虛機已經(jīng)無法滿意訪問需求，自動創(chuàng)建新的業(yè)務(wù)虛機以滿意高并發(fā)訪問，實現(xiàn)動態(tài)的彈性資源擴展，訪問高峰過后自動刪除新建的業(yè)務(wù)虛機、釋放資源。隨著業(yè)務(wù)深化開展，在線課堂、網(wǎng)絡(luò)教研、協(xié)同備課等業(yè)務(wù)應(yīng)用對服務(wù)器資源需求不斷增長，逐步會毀滅物理服務(wù)器負(fù)載過高的情況。如下圖所示，DRS（分布式資源調(diào)度）可以實時監(jiān)控當(dāng)前物理服務(wù)器負(fù)載，當(dāng)群集中某個物理服務(wù)器負(fù)載過高時，其上的某個業(yè)務(wù)虛機（被預(yù)先定義策略）自動遷移到輕載服務(wù)器上，遷移過程對用戶和業(yè)務(wù)完全透亮?????，實現(xiàn)資源的分布式調(diào)度。1.3解決方案價值1）集成度高，資源集約化使用和管理銳捷UDS2000超融合一體機高度集成計算、存儲和SDN網(wǎng)絡(luò)功能，并且有針對性的進行深度優(yōu)化，削減客戶系統(tǒng)集成和調(diào)優(yōu)工作。超融合架構(gòu)在硬件平臺上預(yù)置安裝軟件，只需要數(shù)分鐘快速配置即可上線使用。一臺UDS相當(dāng)于多臺服務(wù)器+一套分布式存儲系統(tǒng)+一套虛擬化平臺+一套綜合運維管理平臺。方案供應(yīng)統(tǒng)一管理界面和集中設(shè)備監(jiān)控，同時供應(yīng)簡潔無中斷的升級過程。由于計算、存儲和SDN網(wǎng)絡(luò)功能高度集成在統(tǒng)一的硬件服務(wù)器上，可以充分使用服務(wù)器的計算和I/O性能，提高服務(wù)器的利用率，充分挖掘服務(wù)器的潛能。全部應(yīng)用系統(tǒng)共享物理基礎(chǔ)設(shè)施，以資源池的形式對應(yīng)用系統(tǒng)供應(yīng)服務(wù)，單個物理硬件發(fā)生故障時不會影響任何應(yīng)用系統(tǒng)?？蛻舨辉傩枰獑为毑少彺鎯υO(shè)備，從而提高了機房空間利用率。2）架構(gòu)機敏，快速響應(yīng)銳捷UDS2000超融合一體機采用虛擬化技術(shù)，將物理資源池化供應(yīng)應(yīng)不同應(yīng)用，只需幾分鐘就可以創(chuàng)建虛擬服務(wù)器，快速響應(yīng)應(yīng)用系統(tǒng)的變更。系統(tǒng)可以統(tǒng)籌安排全部應(yīng)用的運行狀態(tài)，依據(jù)負(fù)載情況隨時調(diào)整硬件資源，并調(diào)度應(yīng)用，使應(yīng)用隨時處于健康的服務(wù)狀態(tài)。相同的硬件可以提高系統(tǒng)互操作性和穩(wěn)定性，并且供應(yīng)簡潔牢靠的擴容方式。新加設(shè)備自動發(fā)覺，由管理平臺統(tǒng)一管理，可以在不影響業(yè)務(wù)的情況下水平彈性擴容，提升了系統(tǒng)的整體機敏性，簡化分別運維應(yīng)用系統(tǒng)的工作量。3）部署運維簡易，遠(yuǎn)程幫忙便利銳捷UDS2000超融合一體機加電即使可用，省去了服務(wù)器上架、配置、調(diào)試等工作。系統(tǒng)自愈能力強，毀滅非計劃停機后，重新加電系統(tǒng)即可恢復(fù)，無需人工干預(yù)，能良好的適應(yīng)非標(biāo)準(zhǔn)機房環(huán)境。預(yù)制教育行業(yè)主流應(yīng)用模板，點選即用，屏蔽了安裝操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用等工作。供應(yīng)遠(yuǎn)程維護接口，軟硬件供應(yīng)商和系統(tǒng)集成商可以遠(yuǎn)程訪問系統(tǒng)進行故障排查和優(yōu)化，無需現(xiàn)場服務(wù)，提高了服務(wù)響應(yīng)時間，節(jié)省了服務(wù)成本。通過使用統(tǒng)一運維監(jiān)控平臺，應(yīng)用系統(tǒng)發(fā)生故障時，支持遠(yuǎn)程一鍵恢復(fù)。4）彈性擴容，模塊化無縫橫向擴展UDS超融合架構(gòu)本身帶來了機敏性、擴展性與簡易部署，只需要簡潔添置UDS節(jié)點來擴容就能滿意業(yè)務(wù)增長的需求，部署維護簡便?；诜植际郊軜?gòu)，計算性能和存儲容量都可以彈性水平擴展，可以像搭積木一樣將UDS進行堆疊實現(xiàn)無縫橫向擴展，形成統(tǒng)一的資源池，并進行統(tǒng)一管理和資源調(diào)配。高度自動化，擴展無需暫停業(yè)務(wù)，整個擴容過程不會影響任何服務(wù)。5）分布式存儲，更高性能、更低成本傳統(tǒng)的SAN架構(gòu)的集中共享存儲的解決方案需要用戶分別購買磁盤陣列、SAN交換機及HBA卡組網(wǎng)，建設(shè)成本高、業(yè)務(wù)部署緩慢、可擴展性差，還存在鎖定用戶問題、擴展與性能的問題、折舊費用問題、數(shù)據(jù)中心機柜的空間問題等等。在性能方面：全部數(shù)據(jù)讀寫都通過集中把握器管理，存儲性能在把握器層面存在瓶頸，同時存儲陣列中大量磁盤資源處于閑置狀態(tài)，不能有效利用。在管理方面：需要對服務(wù)器、存儲陣列、SAN存儲網(wǎng)絡(luò)單獨維護，用戶管理難度大。銳捷分布式存儲方案基于通用的X86服務(wù)器為用戶構(gòu)建高可用的虛擬化存儲資源池，幫忙用戶有效的提升了對服務(wù)器閑置磁盤的資源利用率。分布式存儲方案將用戶數(shù)據(jù)分散進行存儲，多點并發(fā)，速度快、性能高，比傳統(tǒng)共享存儲性能高出50%以上，并可為用戶供應(yīng)更高的數(shù)據(jù)牢靠性保障。同時，分布式存儲方案業(yè)務(wù)擴展機敏、擴容成本低，同步實現(xiàn)計算與存儲資源擴展。6）開放的標(biāo)準(zhǔn)銳捷UDS2000超融合一體機供應(yīng)開放標(biāo)準(zhǔn)的OpenstackAPI，易于和內(nèi)部其他IT系統(tǒng)實現(xiàn)對接。同時，供應(yīng)豐富的命令行工具，充分滿意對自動化運維的訂制需求。1.4SQL數(shù)據(jù)庫支撐設(shè)計注：此部分內(nèi)容請按需修改。1）SQLSERVER數(shù)據(jù)庫本項目涉及業(yè)務(wù)軟件均使用SQLSERVER數(shù)據(jù)庫。磁盤I/O是影響SQLSERVER數(shù)據(jù)庫性能的最重要因素之一。其競爭來源主要有：Windows操作系統(tǒng)，主要是內(nèi)存分頁文件、Windows日志文件。數(shù)據(jù)庫的數(shù)據(jù)文件（mdf和ndf）數(shù)據(jù)庫的事務(wù)日志文件（ldf）SQLServer實例的tempdb數(shù)據(jù)庫為了消退競爭對性能的影響，本方案采用分布式存儲架構(gòu)。2）磁盤規(guī)劃建議Tempdb：tempdb數(shù)據(jù)庫性能要求非常高，但對數(shù)據(jù)平安性要求低。建議將tempdb數(shù)據(jù)庫放置在快速磁盤系統(tǒng)中。假如有許多直接連接的磁盤，使用RAID0。數(shù)據(jù)文件（mdf和ndf文件）：這類文件即要求性能，又要求平安性。使用RAID5。事務(wù)日志文件（ldf文件）：事務(wù)日志文件的特性是連續(xù)的挨次寫入，因此對性能要求不高，僅要求平安性。使用RAID5。3）磁盤空間規(guī)劃盡管對于當(dāng)前的驅(qū)動器的大小而言，SQLServer的磁盤空間需求是微不足道的，但是照舊需要考慮磁盤空間的規(guī)劃。系統(tǒng)數(shù)據(jù)庫

一般來說，系統(tǒng)數(shù)據(jù)庫都不會很大，只有tempdb例外。假如T-SQL代碼的質(zhì)量不佳，tempdb增長到幾百GB也是有可能的。用戶數(shù)據(jù)庫應(yīng)當(dāng)估算用戶數(shù)據(jù)庫的容量增長，并規(guī)劃足夠的磁盤空間。當(dāng)磁盤已滿導(dǎo)致數(shù)據(jù)庫不能獲得更多的磁盤空間，會報錯“數(shù)據(jù)庫已滿”或“數(shù)據(jù)庫日志已滿”，數(shù)據(jù)庫將拒絕寫入。4）磁盤類型規(guī)劃SQLSERVERtempdb等數(shù)據(jù)庫IOPS要求較高，本方案采用SSD盤應(yīng)對數(shù)據(jù)庫的高IOPS需求。每臺服務(wù)器部署2塊960GSSD。5）資源池設(shè)計每個應(yīng)用使用兩到三臺虛擬機（SQLServer數(shù)據(jù)庫、中間件、Web服務(wù)器）。為了應(yīng)對突發(fā)高訪問量，對重要應(yīng)用使用高可用保護，或者多應(yīng)用實例的負(fù)載均衡，所以需要預(yù)留額外的資源。一般來講，系統(tǒng)會依據(jù)50%的超配比例。在此方案中，選用UDS2000-E(S)超融合云一體機產(chǎn)品。內(nèi)置JCOS軟件。采用分布式存儲技術(shù)，客戶不需要另行購買專用存儲設(shè)備，大大節(jié)省用戶投資。云網(wǎng)絡(luò)平臺設(shè)計2.1整體架構(gòu)設(shè)計云計算數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)是云業(yè)務(wù)數(shù)據(jù)的傳輸通道，將數(shù)據(jù)的計算和數(shù)據(jù)存儲有機的結(jié)合在一起。網(wǎng)絡(luò)推舉采用扁平化架構(gòu)設(shè)計，分核心層與接入層兩個層面。核心層主要由大容量三層交換機組成，主要負(fù)責(zé)與外部網(wǎng)絡(luò)的流量交換以及節(jié)點內(nèi)各集群之間的流量轉(zhuǎn)發(fā)；接入層主要由接入交換機構(gòu)成，負(fù)責(zé)服務(wù)器的接入?；A(chǔ)網(wǎng)絡(luò)從核心層到接入層均實現(xiàn)交換機的虛擬化部署，不僅網(wǎng)絡(luò)容量可以平滑擴展，并簡化網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、大大提高整網(wǎng)的牢靠性。核心交換機需要具備高處理能力，實現(xiàn)在大容量數(shù)據(jù)的線速無阻塞轉(zhuǎn)發(fā)，具有對突發(fā)數(shù)據(jù)的緩沖能力、緩解端口擁塞壓力，同時應(yīng)對多種業(yè)務(wù)流量的需求和將來的業(yè)務(wù)擴展?；谙到y(tǒng)牢靠性的考慮，網(wǎng)絡(luò)采用雙核心交換和雙鏈路上行設(shè)計，實現(xiàn)設(shè)備級和鏈路級的高牢靠性，保證業(yè)務(wù)的不間斷性。核心交換機進行虛擬化雙機部署，在網(wǎng)絡(luò)連接上消退單點故障，物理鏈路采用雙路冗余連接，依據(jù)負(fù)載均衡方式或active-active方式工作，在提高網(wǎng)絡(luò)性能、系統(tǒng)牢靠性的同時，簡化網(wǎng)絡(luò)結(jié)構(gòu)、降低維護難度。扁平化大二層組網(wǎng)為保證虛機遷移時業(yè)務(wù)不中斷，云數(shù)據(jù)中心應(yīng)采用大二層組網(wǎng)，同時還需要解決由STP帶來的帶寬鋪張和虛機遷移引發(fā)網(wǎng)絡(luò)震蕩問題。在這方面，通過多合一虛擬化技術(shù)，可以將多個核心設(shè)備虛擬成為一個邏輯設(shè)備，實現(xiàn)二、三層把握平面的統(tǒng)一，進而在保證高牢靠的前提下，實現(xiàn)接入交換機上行鏈路的跨設(shè)備鏈路聚合，從而消退環(huán)路，提高二層組網(wǎng)的性能、消退由生成樹重計算造成的網(wǎng)絡(luò)震蕩。虛擬機感知與平安策略自動遷移支持虛擬機感知及平安策略自動遷移，實現(xiàn)虛擬主機網(wǎng)內(nèi)自由遷移時對應(yīng)平安把握策略的同步遷移，有效實現(xiàn)大規(guī)模服務(wù)器虛擬化應(yīng)用環(huán)境中虛擬機流量的平安把握策略統(tǒng)一部署。統(tǒng)一交換，融合存儲與以太網(wǎng)同時可為服務(wù)器供應(yīng)FCoE接入和以太網(wǎng)接入服務(wù)，從而幫忙用戶輕松整合異構(gòu)的存儲網(wǎng)和數(shù)據(jù)網(wǎng)，削減網(wǎng)絡(luò)中的設(shè)備數(shù)量，最大程度上簡化網(wǎng)絡(luò)部署成本和布線成本，保護用戶既有投資。2.2網(wǎng)絡(luò)分區(qū)設(shè)計數(shù)據(jù)中心架構(gòu)設(shè)計的重要設(shè)計方法為分區(qū)分域模塊化設(shè)計。它是依據(jù)業(yè)務(wù)相關(guān)性、平安性和擴展性等諸多方面的考慮，將數(shù)據(jù)中心橫向劃分為不同的功能區(qū)域，部署相應(yīng)的服務(wù)器、軟件和網(wǎng)絡(luò)平安系統(tǒng)，不同的分區(qū)部署不同的業(yè)務(wù)系統(tǒng)、平安策略和訪問策略，一個分區(qū)就對應(yīng)著一個系統(tǒng)。1)分區(qū)分域設(shè)計的重要性可以在數(shù)據(jù)中心中清楚區(qū)分不同的功能區(qū)域，可以便利的依據(jù)不同區(qū)域的功能需求進行差異化設(shè)計和建設(shè)區(qū)域邊界，實質(zhì)上也是不同平安級別的業(yè)務(wù)的平安邊界?；趨^(qū)域邊界可以明晰的設(shè)計和部署相應(yīng)的平安策略，保證數(shù)據(jù)中心的平安運行2)數(shù)據(jù)中心網(wǎng)絡(luò)分區(qū)原則平安性原則：依據(jù)平安等級不同，劃分為不同分區(qū)。例如，為互聯(lián)網(wǎng)用戶、合作伙伴服務(wù)的服務(wù)器單獨分區(qū)，信息敏感的服務(wù)器單獨分區(qū)。高可用布局原則：業(yè)務(wù)關(guān)聯(lián)度高的服務(wù)器部署在同一個區(qū)域；業(yè)務(wù)關(guān)聯(lián)度低的服務(wù)器拆分成多個區(qū)域；可用性要求高的業(yè)務(wù)拆分成兩個對等區(qū)域。容量適度原則：依據(jù)運維管理閱歷，把握單個區(qū)域內(nèi)的服務(wù)數(shù)量，例如，500臺以內(nèi)。將來服務(wù)器數(shù)據(jù)增加、區(qū)域間流量增長后可考慮進一步拆分。獨立運維管理原則：業(yè)務(wù)流量、平安把握、組網(wǎng)協(xié)議方面有特別?????要求的服務(wù)器單獨分區(qū)。網(wǎng)絡(luò)分區(qū)設(shè)計為了能夠?qū)崿F(xiàn)業(yè)務(wù)服務(wù)器的平安隔離、容量擴展和分類管理等需求，通常將業(yè)務(wù)區(qū)按應(yīng)用層次、按應(yīng)用類型兩種模式細(xì)分。兩種模式各有優(yōu)缺，通常結(jié)合使用。模式A：按應(yīng)用層次分區(qū)模式B：按應(yīng)用類型分區(qū)部署說明客戶端到服務(wù)器的訪問要經(jīng)過三個區(qū)域同一層服務(wù)器之間的互訪不需要跨區(qū)域客戶端到服務(wù)器的訪問只要經(jīng)過一個區(qū)域同一層服務(wù)器之間的互訪需要跨區(qū)域優(yōu)點每個區(qū)域只服務(wù)于應(yīng)用邏輯中的一個層面（Web/App/DB)應(yīng)用層次之間物理分別風(fēng)險分散，一個區(qū)域內(nèi)部故障或變更停機不會影響其他區(qū)域承載的業(yè)務(wù)擴展性較強，當(dāng)應(yīng)用種類增加或者單個區(qū)域容量增加時，可以通過橫向拆分?jǐn)U容可管理性強：便于故障定位和應(yīng)急低時延：同一應(yīng)用各層服務(wù)器之間的流量在同一個區(qū)內(nèi)缺點風(fēng)險集中，一個區(qū)域內(nèi)部故障或變更，會影響全部應(yīng)用擴展性較弱，服務(wù)器數(shù)量較多時，單個區(qū)域易達(dá)到容量上限業(yè)務(wù)可管理性弱，不易進行故障定位和應(yīng)急應(yīng)用層次之間無物理分別網(wǎng)絡(luò)整體劃分為服務(wù)器區(qū)、核心交換區(qū)、平安服務(wù)區(qū)和運維管理區(qū)，依據(jù)業(yè)務(wù)類別和平安級別不同，再將服務(wù)器區(qū)進一步劃分為數(shù)據(jù)庫服務(wù)區(qū)、應(yīng)用服務(wù)區(qū)和前置服務(wù)區(qū)，實現(xiàn)全面的結(jié)構(gòu)平安。2.3核心層設(shè)計高效：采用云計算數(shù)據(jù)中心交換機，支持40G和100G的接口，可為整個數(shù)據(jù)中心構(gòu)建高性能的數(shù)據(jù)轉(zhuǎn)發(fā)平臺，充分滿意教育行業(yè)將來海量數(shù)據(jù)傳輸?shù)男枨螅煌ㄟ^網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計和產(chǎn)品功能上的支持，可以為用戶構(gòu)建1:1收斂比的整體網(wǎng)絡(luò)結(jié)構(gòu)，整個網(wǎng)絡(luò)沒有瓶頸，這在分布式計算環(huán)境（如進行多數(shù)據(jù)源的數(shù)據(jù)分析）可以很好地保障網(wǎng)絡(luò)質(zhì)量。牢靠：通過VSU（VirtualSwitchUnit，虛擬交換單元）實現(xiàn)網(wǎng)絡(luò)資源虛擬化，提升整個數(shù)據(jù)中心的牢靠性，使得網(wǎng)絡(luò)故障自動恢復(fù)時間從秒級提升到毫秒級，網(wǎng)絡(luò)的牢靠性提升幾十倍，達(dá)到99.999%。多業(yè)務(wù)融合：在數(shù)據(jù)中心交換機上，支持FCoE功能，實現(xiàn)存儲和網(wǎng)絡(luò)的融合，使得云計算要求的資源池構(gòu)建和資源調(diào)度更加機敏。2.4接入層設(shè)計在高性能方面，供應(yīng)強大的緩存能力，支持先進的緩存調(diào)度機制可以保證設(shè)備緩存能力有效利用的最大化；供應(yīng)高密度的10G及40G接口，全部端口均可實現(xiàn)線速轉(zhuǎn)發(fā)，滿意數(shù)據(jù)中心萬兆服務(wù)器無阻塞上聯(lián)的需求。在高牢靠方面，支持將多臺物理設(shè)備虛擬化為一臺邏輯設(shè)備，統(tǒng)一運行管理，削減網(wǎng)絡(luò)節(jié)點，增加網(wǎng)絡(luò)牢靠性?？蓪崿F(xiàn)50~200ms鏈路故障快速切換，保障關(guān)鍵業(yè)務(wù)不中斷傳輸。支持跨設(shè)備鏈路聚合，便利接入服務(wù)器/交換機實現(xiàn)雙活鏈路上聯(lián)。

在適應(yīng)性方面，支持虛擬機感知及平安策略自動遷移，實現(xiàn)虛擬主機全網(wǎng)范圍內(nèi)自由遷移時對應(yīng)平安把握策略的同步遷移，消退服務(wù)器虛擬化環(huán)境中網(wǎng)絡(luò)平安漏洞，削減網(wǎng)絡(luò)維護工作量。在網(wǎng)絡(luò)接入方面，可為服務(wù)器供應(yīng)FC和FCoE接入和以太網(wǎng)接入服務(wù)，同時為傳統(tǒng)IPSAN用戶供應(yīng)無損以太網(wǎng)傳輸，增加IPSAN的牢靠性，從而幫忙用戶輕松整合異構(gòu)的LAN和SAN兩張網(wǎng)絡(luò)，削減網(wǎng)絡(luò)中的設(shè)備數(shù)量，既能真正實現(xiàn)數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)的融合，又能充分保護用戶既有投資。2.5虛機感知與策略遷移解決方案支持虛擬機感知及平安策略自動遷移，有效實現(xiàn)大規(guī)模服務(wù)器虛擬化應(yīng)用環(huán)境中虛擬機流量的平安把握策略統(tǒng)一部署，并通過數(shù)據(jù)中心網(wǎng)絡(luò)管理平臺協(xié)作數(shù)據(jù)中心交換機、虛擬機管理把握平臺，實現(xiàn)虛擬主機全網(wǎng)范圍內(nèi)自由遷移時對應(yīng)平安把握策略的同步遷移，消退服務(wù)器虛擬化環(huán)境中網(wǎng)絡(luò)平安漏洞，削減網(wǎng)絡(luò)維護工作量。虛機感知過程：1）虛擬機上線，發(fā)送攜帶自己vlan的報文。2）接入交換機檢測到虛擬機發(fā)出的ARP/RARP消息，感知到虛擬機，將虛擬機的接入端口加入vlan（虛擬機），并向上轉(zhuǎn)發(fā)ARP/RARP消息。3）核心交換機學(xué)習(xí)到虛擬機ARP/RARP報文后，向下定位虛擬機接入的具體端口，下發(fā)ACL配置策略到接入交換機的虛擬機接入端口。4）虛擬機接入端口應(yīng)用ACL配置策略虛機遷移過程：1）虛擬機遷移后，接入交換機通過ARP報文學(xué)習(xí)到虛擬機的MAC和Vlan信息，在接入端口動態(tài)添加虛擬機vlan。2）接入交換機轉(zhuǎn)發(fā)RARP報文告知網(wǎng)關(guān)（核心交換機），核心交換機推斷到虛擬機發(fā)生遷移，重新定位和下發(fā)ACL策略到接入交換機。3）接入交換機在虛擬機接入端口應(yīng)用ACL策略。注：假如在同一臺接入交換機內(nèi)遷移，則此接入交換機直接將策略應(yīng)用到新的接入端口；假如虛擬機跨交換機遷移、則核心交換機將網(wǎng)絡(luò)策略自動下發(fā)到新的接入交換機接入端口，實現(xiàn)策略自動跟隨。3、云平安平臺設(shè)計3.1數(shù)據(jù)中心平安概述數(shù)據(jù)中心是由許多個分區(qū)組成的，例如外聯(lián)區(qū)、管理分區(qū)、服務(wù)器分區(qū)、存儲區(qū)、開發(fā)測試區(qū)等等。數(shù)據(jù)中心的平安措施包括許多方面：設(shè)置嚴(yán)格的管理制度，實行人員通行證、人員登記、人員操作備案等等。把握人員訪問權(quán)限的平安，實現(xiàn)最小授權(quán)，業(yè)務(wù)嚴(yán)格劃分。對業(yè)務(wù)人員進行平安培訓(xùn)，建立嚴(yán)格的平安制度等，削減或避開平安事故的發(fā)生。設(shè)置簡潔的密碼，防止賬號密碼被盜用等。而在本章中，主要描述的是數(shù)據(jù)中心網(wǎng)絡(luò)平安方面的內(nèi)容。網(wǎng)絡(luò)平安問題主要分為四類：網(wǎng)絡(luò)攻擊：例如DDoS攻擊、掃描類攻擊、窺探類攻擊、畸形包攻擊等。漏洞入侵：黑客利用操作系統(tǒng)、數(shù)據(jù)庫、Webserver等存在的漏洞進行入侵。病毒威逼：各種類型的病毒，威逼數(shù)據(jù)中心服務(wù)器的平安。內(nèi)部人員威逼：例如內(nèi)網(wǎng)用戶越權(quán)訪問、非法竊取數(shù)據(jù)等等。3.2平安威逼及措施數(shù)據(jù)中心由于進行數(shù)據(jù)的集中式管理，數(shù)據(jù)量大而且非常重要，往往更簡潔成為攻擊目標(biāo)，而采用單一的平安防范技術(shù)很難行之有效，所以需要對數(shù)據(jù)中心進行全方位的防護，針對不同的分區(qū)建設(shè)有針對性的防護。數(shù)據(jù)中心的平安威逼來自于網(wǎng)絡(luò)的各個層面，從物理層始終到應(yīng)用層。需要針對各層的平安威逼的特點做出一系列的應(yīng)對措施，如內(nèi)容深度防守、二到七層的全方位防范、訪問把握、協(xié)議棧的平安防范以及二到四層的攻擊防范等。數(shù)據(jù)中心內(nèi)各個分區(qū)存在的平安威逼不盡相同，如下圖所示。依據(jù)數(shù)據(jù)中心各個分區(qū)的平安威逼、平安設(shè)計原則、應(yīng)對措施推舉。在數(shù)據(jù)中心，由于業(yè)務(wù)的特點不同，分區(qū)的平安狀況和上圖可能有些區(qū)別，可以依據(jù)平安威逼的類別適當(dāng)添加和削減平安設(shè)備。序號IT平安威逼類型IT平安技術(shù)保護措施威逼分類威逼名稱威逼來源威逼動機威逼對象威逼影響平安識別與監(jiān)控平安防護平安審計與恢復(fù)1系統(tǒng)惡意代碼病毒外部有意系統(tǒng)機密性、完整性、可用性防毒墻身份認(rèn)證、惡意代碼保護、防病毒網(wǎng)關(guān)平安審計木馬外部有意系統(tǒng)機密性、完整性、可用性蠕蟲外部、內(nèi)部有意、無意網(wǎng)絡(luò)、系統(tǒng)機密性、完整性、可用性后門外部、內(nèi)部有意系統(tǒng)、應(yīng)用機密性、完整性、可用性間諜軟件外部有意系統(tǒng)、應(yīng)用機密性、完整性、可用性2網(wǎng)絡(luò)平安攻擊拒絕服務(wù)攻擊外部攻擊有意網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用可用性入侵檢測系統(tǒng)拒絕服務(wù)攻擊保護、入侵防守平安審計僵尸網(wǎng)絡(luò)外部攻擊有意網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用可用性入侵檢測系統(tǒng)拒絕服務(wù)攻擊保護、入侵防守平安審計網(wǎng)絡(luò)欺騙攻擊外部攻擊有意網(wǎng)絡(luò)、系統(tǒng)機密性、完整性、可用性入侵檢測系統(tǒng)網(wǎng)絡(luò)訪問把握、入侵防守平安審計嗅探掃描外部攻擊有意網(wǎng)絡(luò)、系統(tǒng)機密性、可用性平安漏洞掃描、入侵檢測網(wǎng)絡(luò)訪問把握、入侵防守平安審計非法數(shù)據(jù)傳播外部、內(nèi)部有意網(wǎng)絡(luò)機密性網(wǎng)絡(luò)流量管理平安審計3應(yīng)用攻擊SQL注入攻擊外部、內(nèi)部有意應(yīng)用機密性、完整性、可用性入侵檢測系統(tǒng)、平安漏洞掃描WEB應(yīng)用保護墻、入侵防守系統(tǒng)平安審計跨站攻擊外部、內(nèi)部有意應(yīng)用機密性、完整性、可用性入侵檢測系統(tǒng)、平安漏洞掃描WEB應(yīng)用保護墻、入侵防守系統(tǒng)平安審計緩沖區(qū)溢出攻擊外部、內(nèi)部有意應(yīng)用機密性、完整性、可用性入侵檢測系統(tǒng)、平安漏洞掃描WEB應(yīng)用保護墻、入侵防守系統(tǒng)平安審計文檔上傳攻擊外部、內(nèi)部有意應(yīng)用機密性、完整性、可用性入侵檢測系統(tǒng)、平安漏洞掃描WEB應(yīng)用保護墻、入侵防守系統(tǒng)平安審計網(wǎng)站網(wǎng)頁掛馬外部、內(nèi)部有意應(yīng)用機密性、完整性、可用性入侵檢測系統(tǒng)、平安漏洞掃描WEB應(yīng)用保護墻、入侵防守系統(tǒng)、網(wǎng)頁防篡改平安審計4綜合權(quán)限平安非授權(quán)訪問外部、內(nèi)部有意網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)機密性、完整性、可用性防火墻身份認(rèn)證、入侵防守系統(tǒng)、終端平安防護平安審計權(quán)力濫用內(nèi)部有意網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)機密性、完整性、可用性防火墻終端平安防護平安審計3.3數(shù)據(jù)中心平安設(shè)計1）設(shè)計原則數(shù)據(jù)中心的平安的設(shè)計原則包含六個方面，如下表所示：原則描述牢靠穩(wěn)定平安設(shè)備避開單點故障，切實保障網(wǎng)絡(luò)中的平安以及網(wǎng)絡(luò)的正常運行?？蓴U展化采用模塊化體系結(jié)構(gòu)，便于功能的添加和削減。分區(qū)管理不同區(qū)域采用不同平安策略，平安措施有針對性，有利于效率的提升。最小授權(quán)依據(jù)“缺省拒絕”方式制定防護策略。在身份鑒別的基礎(chǔ)上，只授權(quán)開放必要的訪問權(quán)限，并保證數(shù)據(jù)平安的完整性、機密性、可用性。平安管理關(guān)聯(lián)事件分析，評估平安狀態(tài)，便于準(zhǔn)時調(diào)整平安策略。運維審計降低資源風(fēng)險，完善責(zé)任認(rèn)定。2）功能和分區(qū)平安設(shè)計數(shù)據(jù)中心的平安設(shè)計時，至少需考慮三個方面的功能，如表所示。功能描述防護針對外部攻擊，需要進行平安域的劃分，把整個區(qū)域劃分為多個不同安全等級的子區(qū)域；進行訪問把握，對攻擊進行防護，并在一些業(yè)務(wù)上允許用戶建立平安隧道。免疫針對內(nèi)部威逼，主要是能識別終端風(fēng)險，對終端進行認(rèn)證授權(quán)，對文檔進行平安的管理和把握等?？晒芾碇饕高\維行為管理，對運維終端進行認(rèn)證和授權(quán)，對運維的行為進行升級，對平安事件進行分析。3）分區(qū)平安建議及應(yīng)對針數(shù)據(jù)中心各個分區(qū)的平安威逼，制定不同的部署建議以及推舉的產(chǎn)品，如下表所示：平安區(qū)域存在問題及風(fēng)險信任策略部署建議部署價值內(nèi)網(wǎng)接入?yún)^(qū)非法業(yè)務(wù)訪問信任部署防火墻解決內(nèi)網(wǎng)用戶非法訪問問題WAN接入?yún)^(qū)非法業(yè)務(wù)訪問信任部署防火墻解決分支用戶非法訪問問題Internet接入?yún)^(qū)互聯(lián)網(wǎng)DDoS流量攻擊非法業(yè)務(wù)訪問、NATVPN平安接入不信任部署Anti-DDoS部署防火墻部署SSLVPN設(shè)備解決DDoS攻擊、業(yè)務(wù)非法訪問、遠(yuǎn)程用戶平安接入問題合作伙伴接入?yún)^(qū)VPN平安接入非法業(yè)務(wù)訪問部分信任雙層部署防火墻解決業(yè)務(wù)非法訪問問題業(yè)務(wù)可采用VPN接入業(yè)務(wù)服務(wù)區(qū)非法業(yè)務(wù)訪問黑客入侵行為信任部署防火墻部署IPS設(shè)備解決業(yè)務(wù)非法訪問、黑客入侵攻擊問題網(wǎng)管維護區(qū)非法業(yè)務(wù)訪問缺乏平安事件管理缺乏平安設(shè)備管理缺乏平安運維審計部署防火墻部署SoC系統(tǒng)部署平安設(shè)備管理系統(tǒng)部署堡壘主機解決業(yè)務(wù)非法訪問，平安事件關(guān)聯(lián)、平安設(shè)備管理與運維審計問題3.3.1防火墻平安分區(qū)在平安設(shè)計時，首先要將網(wǎng)絡(luò)劃分為不同的功能區(qū)域，用于部署不同的應(yīng)用，使得整個網(wǎng)絡(luò)的架構(gòu)具備可伸縮性、機敏性、和高可用性。服務(wù)器將會依據(jù)服務(wù)器上的應(yīng)用的用戶訪問特性和應(yīng)用的核心功能分成不同組部署在不同的區(qū)域中，但是由于整個數(shù)據(jù)中心的許多服務(wù)是統(tǒng)一供應(yīng)的，例如數(shù)據(jù)備份和系統(tǒng)管理，所以為保持架構(gòu)的統(tǒng)一性，避開資源不必要的重復(fù)鋪張，一些功能相像的服務(wù)將統(tǒng)一部署在特定的功能區(qū)域內(nèi)，例如與管理相關(guān)的服務(wù)器將被部署在管理區(qū)。實際部署中，建議通過防火墻實現(xiàn)平安區(qū)域的邊界隔離與訪問把握，防火墻定義為高級的平安訪問把握設(shè)備，通過位于不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域之間信息的唯一連接處，依據(jù)組織的業(yè)務(wù)特點、行業(yè)背景、管理制度所制定的平安策略，運用包過濾、代理網(wǎng)關(guān)、NAT轉(zhuǎn)換、IP/MAC地址綁定等技術(shù)，實現(xiàn)對出入網(wǎng)絡(luò)的信息流進行全面的安區(qū)把握（允許通過、拒絕通過、過程監(jiān)測）,供應(yīng)外部攻擊防范、內(nèi)網(wǎng)平安、狀態(tài)檢測等功能有效的保證網(wǎng)絡(luò)的平安。并可通過虛擬防火墻，劃分多個邏輯的防火墻實例來實現(xiàn)對用戶多個業(yè)務(wù)獨立平安策略部署的需求。3.3.2關(guān)鍵路徑進行入侵防守隨著網(wǎng)絡(luò)技術(shù)的飛速進展，應(yīng)用層威逼的日益流行，以木馬、間諜軟件、網(wǎng)頁篡改、DDoS攻擊為代表的應(yīng)用層攻擊層出不窮，傳統(tǒng)的防火墻防守只能基于網(wǎng)絡(luò)層針對IP報文頭進行檢查和規(guī)章匹配，無法識別隱藏在正常報文中或跨越幾個報文的應(yīng)用層攻擊；而傳統(tǒng)的IDS等旁路應(yīng)用層平安設(shè)備由于不能實時阻斷平安威逼的傳播，缺乏有用性。因此完善的解決方案是部署入侵防守系統(tǒng)，通過將入侵防守IPS部署于業(yè)務(wù)關(guān)鍵路徑供應(yīng)對網(wǎng)絡(luò)L4～L7流量的深度分析與檢測能力，有效檢測并實時阻斷隱藏網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，從而達(dá)到對網(wǎng)絡(luò)上應(yīng)用的保護、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護和網(wǎng)絡(luò)性能的保護。在網(wǎng)絡(luò)中部署入侵防守系統(tǒng)可實現(xiàn)如下功能：網(wǎng)絡(luò)信息包嗅探與網(wǎng)絡(luò)訪問監(jiān)控：依據(jù)實際業(yè)務(wù)需要定制相關(guān)規(guī)章，可定義權(quán)限的特定資源，時間段，權(quán)限，非法訪問行為或除特定資源合法訪問行為之外的全部訪問行為進行監(jiān)控。應(yīng)用層攻擊特征檢測：供應(yīng)詳盡、細(xì)粒度的應(yīng)用協(xié)議分析技術(shù)，針對數(shù)據(jù)業(yè)務(wù)訪問的應(yīng)用層進行攻擊檢測，可自動檢測網(wǎng)絡(luò)實時數(shù)據(jù)流中符合特征的攻擊行為，系統(tǒng)維護一個強大的攻擊特征庫，用戶可以定期更新，確保能夠檢測到最新的攻擊事件。特別檢測與防護：包括通過對在特定時間間隔內(nèi)超流量、超連接的數(shù)據(jù)包進行檢測等方式，實現(xiàn)對DOS/DDOS攻擊、掃描等攻擊事件的檢測也防護。3.3.3Web應(yīng)用平安防護隨著信息不斷深化應(yīng)用，基于web的業(yè)務(wù)系統(tǒng)越來越多，然而Web服務(wù)器存在的脆弱性將導(dǎo)致web應(yīng)用及業(yè)務(wù)系統(tǒng)受到嚴(yán)峻的平安風(fēng)險。因此需要建立Web應(yīng)用防護能力，通過對進出Web服務(wù)器的HTTP/HTTPS流量相關(guān)內(nèi)容的實時分析檢測、過濾，來精確判定并阻擋各種Web應(yīng)用入侵行為，阻斷對Web服務(wù)器的惡意訪問與非法操作，適應(yīng)Web2.0時代的主動實時監(jiān)測過濾風(fēng)險技術(shù)，而不是被動的遭受攻擊后的恢復(fù)通過將惡意代碼、非授權(quán)篡改、應(yīng)用攻擊等眾多因素結(jié)合在一起進行綜合防范，從而做到對Web服務(wù)器的多重保護，確保Web應(yīng)用平安的最大化，防止網(wǎng)頁內(nèi)容被篡改，防止網(wǎng)站數(shù)據(jù)庫內(nèi)容泄露，防止口令被突破，防止系統(tǒng)管理員權(quán)限被竊取，防止網(wǎng)站被掛馬和植入病毒、惡意代碼、間諜軟件等，防止用戶輸入信息的泄露，防止賬號失竊，防SQL注入，防XSS攻擊等。

同時結(jié)合漏洞掃描功能、平安審計設(shè)備，實現(xiàn)對web服務(wù)器系統(tǒng)的“事前預(yù)警、事中防守、事后審計”。3.3.4網(wǎng)絡(luò)與數(shù)據(jù)庫平安審計雖然網(wǎng)絡(luò)中已經(jīng)采用了\t"/68/_blank"防火墻、\t"/68/_blank"入侵防守等平安措施，但對主機核心業(yè)務(wù)數(shù)據(jù)平安進行有效把握的關(guān)鍵是事前制定和實施平安把握策略、事中進行嚴(yán)格管理和把握、事后加強審計。因此如何準(zhǔn)確定位事件源頭，有效監(jiān)控業(yè)務(wù)系統(tǒng)訪問行為和敏感信息傳播，把握網(wǎng)絡(luò)系統(tǒng)的平安狀態(tài)，準(zhǔn)時發(fā)覺違反平安策略的事件并實時告警、記錄，同時進行平安事件定位分析，事后追查取證，滿意合規(guī)性審計要求，是企業(yè)迫切需要解決的問題。平安審計從兩個層面來考慮和部署，一是網(wǎng)絡(luò)行為平安審計、二是數(shù)據(jù)庫訪問平安審計，分別從網(wǎng)絡(luò)層和主機層實現(xiàn)訪問平安審計及事件溯源。部署行為平安審計設(shè)備，對網(wǎng)絡(luò)流量進行監(jiān)聽，對網(wǎng)絡(luò)活動進行解析、記錄、分析，以幫忙平安管理人員了解、發(fā)覺、追查網(wǎng)絡(luò)平安事故，依據(jù)國家有關(guān)法規(guī)規(guī)定保存審計日志，以便進行事后的審計和分析。部署數(shù)據(jù)庫平安審計設(shè)備，監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為，通過對網(wǎng)絡(luò)數(shù)據(jù)的分析，實時地、智能地解析對數(shù)據(jù)庫服務(wù)器的各種操作，并記入審計數(shù)據(jù)庫中以便日后進行查詢、分析、過濾，實現(xiàn)對目標(biāo)數(shù)據(jù)庫系統(tǒng)的用戶操作的監(jiān)控和審計。在不影響數(shù)據(jù)庫系統(tǒng)自身性能的前提下，實現(xiàn)對數(shù)據(jù)庫的在線監(jiān)控和保護，準(zhǔn)時地發(fā)覺網(wǎng)絡(luò)上針對數(shù)據(jù)庫的違規(guī)操作行為并進行記錄、報警和實時阻斷，有效地彌補現(xiàn)有應(yīng)用業(yè)務(wù)系統(tǒng)在數(shù)據(jù)庫平安使用上的不足，為數(shù)據(jù)庫系統(tǒng)的平安運行供應(yīng)了有力保障。

3.4.5運維審計堡壘機針對運維平安部署堡壘機實現(xiàn)對運維訪問統(tǒng)一權(quán)限把握，提高系統(tǒng)運維管理水平，跟蹤服務(wù)器上用戶的操作行為，防止黑客的入侵和破壞，供應(yīng)把握和審計依據(jù)，降低運維成本，銳捷堡壘機具備強大的平安防護能力，能夠攔截非法訪問和惡意攻擊，對不合法命令進行阻斷、過濾掉全部對目標(biāo)設(shè)備的非法訪問行為。并且能夠具體記錄用戶操作的每一條指令，能夠?qū)⑷康妮敵鲂畔⑷坑涗浵聛恚邆鋵徲嫽卦L功能，能夠模擬用戶的在線操作過程，豐富和完善了網(wǎng)絡(luò)的內(nèi)控審計功能。3.4平安域規(guī)劃設(shè)計平安域是指信息系統(tǒng)中有相同的平安保護需求、相互信任，并具有相同的平安訪問把握和邊界把握策略的子網(wǎng)或網(wǎng)絡(luò)，且相同的網(wǎng)絡(luò)平安域共享一樣的平安策略。進行平安域劃分可以幫忙理順網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的架構(gòu)，使得信息系統(tǒng)的邏輯結(jié)構(gòu)更加清楚，從而更便于進行運行維護和各類平安防護的設(shè)計。基于平安域的保護實際上是一種工程方法，它極大的簡化了系統(tǒng)的防護簡潔度，由于屬于同一平安域的信息資產(chǎn)具備相同的IT要素，因此可以針對平安域而不是信息資產(chǎn)來進行防護，這樣會比基于資產(chǎn)的等級保護更易實施。3.4.1平安域總體架構(gòu)在劃分平安域的時候主要依據(jù)信息系統(tǒng)的行為來進行，由于具備不同行為的信息系統(tǒng)遭受的平安威逼不同，因此實際劃分的時候可以對每個信息系統(tǒng)進行分析，通過行為需求和平安需求共同分析出該子系統(tǒng)應(yīng)當(dāng)屬于哪個平安域。平安域總體架構(gòu)如下圖：平安域總體架構(gòu)圖3.4.2平安域規(guī)劃設(shè)計平安域的劃分從兩個方面來考慮：一是網(wǎng)絡(luò)互連層面的平安域劃分，二是業(yè)務(wù)主機（物理服務(wù)器及虛擬機）的平安域劃分。平安支撐域和平安互聯(lián)域之間的全部互訪接口整合為一個邊界，外連接入、內(nèi)部網(wǎng)絡(luò)接入、網(wǎng)管運維中心、數(shù)據(jù)中心等之間的互訪必需經(jīng)過平安互聯(lián)域，不允許直接連接。各業(yè)務(wù)區(qū)域和和平安互聯(lián)域之間的全部互訪接口整合為一個邊界，平凡業(yè)務(wù)子域、重要業(yè)務(wù)子域、核心業(yè)務(wù)子域之間的互訪必需經(jīng)過平安互聯(lián)域，不允許直接連接。邊界接入域和平安互聯(lián)域之間的全部互訪接口整合為一個邊界，廣域網(wǎng)互聯(lián)子域、外部網(wǎng)互聯(lián)子域、因特網(wǎng)互聯(lián)子域和其他平安域或子域之間的互訪必需經(jīng)過平安互聯(lián)域，不允許直接連接。廣域網(wǎng)互聯(lián)子域、外部網(wǎng)互聯(lián)子域、因特網(wǎng)互聯(lián)子域之間的互訪必需經(jīng)過平安互聯(lián)域，不允許直接連接。3.5數(shù)據(jù)中心服務(wù)器平安措施1）數(shù)據(jù)中心服務(wù)器區(qū)訪問風(fēng)險對服務(wù)器區(qū)的非法訪問；服務(wù)器區(qū)內(nèi)不同級服務(wù)器間的非法訪問；針對服務(wù)器的應(yīng)用層攻擊。2）數(shù)據(jù)中心服務(wù)器區(qū)的平安措施：A.防范對服務(wù)器的訪問風(fēng)險能夠有效隔離數(shù)據(jù)中心其他分區(qū)到服務(wù)器區(qū)，常見的攻擊行為，病毒傳播進行有效阻斷，防止對服務(wù)器區(qū)網(wǎng)絡(luò)造成影響；對服務(wù)器區(qū)內(nèi)各級服務(wù)器做到有效隔離，防范單臺主機被攻陷后導(dǎo)致整個服務(wù)器分區(qū)的平安風(fēng)險；隔離并查殺來自外分區(qū)的病毒。B.業(yè)務(wù)訪問過程中的平安威逼數(shù)據(jù)中心服務(wù)器區(qū)與其他各區(qū)之間的邏輯隔離與訪問把握；數(shù)據(jù)中心服務(wù)器區(qū)邊界部署；數(shù)據(jù)中心服務(wù)器區(qū)接入層與匯聚層之間部署；C.數(shù)據(jù)中心服務(wù)器區(qū)與其他分區(qū)及其分區(qū)內(nèi)各級服務(wù)器間的隔離在數(shù)據(jù)中心服務(wù)器區(qū)與其他分區(qū)進行邊界隔離，并通過嚴(yán)格的訪問把握，限制其他分區(qū)對服務(wù)器區(qū)的訪問，杜絕非法的訪問；在數(shù)據(jù)中心服務(wù)器區(qū)內(nèi)各級服務(wù)器間進行邊界隔離，并通過嚴(yán)格的訪問把握，限制各級服務(wù)器之間的訪問，杜絕非法的訪問限制數(shù)據(jù)中心內(nèi)服務(wù)器對外的訪問。4、統(tǒng)一運維平臺設(shè)計4.1統(tǒng)一運維建設(shè)概述隨著IT與業(yè)務(wù)融合進程的逐步深化，IT運維管理擔(dān)負(fù)起的角色越來越重要，而作為業(yè)務(wù)重要支撐元素的IT運維管理正面臨著越來越多的挑戰(zhàn)。始終以來，IT運維管理工作的焦點都只是在技術(shù)層面，單純地追求IT組件的穩(wěn)定運行和性能質(zhì)量，以“999”等類似的指標(biāo)來評價運維的好壞，這將許多人帶入了“重技術(shù)質(zhì)量，輕業(yè)務(wù)指標(biāo)”的誤區(qū)。但是具體是“系統(tǒng)哪部分毀滅了問題？業(yè)務(wù)系統(tǒng)為什么會越用越慢呢？”面對這些疑問，在基于設(shè)備管理的模式中，IT運維工程師只能逐個檢測網(wǎng)絡(luò)、應(yīng)用、中間件和數(shù)據(jù)存儲環(huán)節(jié)，缺少一種從業(yè)務(wù)層面實施IT管理、IT服務(wù)的工具。在IT運維管理中，運維人員不僅僅維護管理某幾種IT資源、某幾款I(lǐng)T資源，常常面對的是具備不同功能特點、不同廠家、不同型號的IT資源，甚至還要管理包括機房環(huán)境、機柜等非IT資源。那么，是否有一套有效的工具和方法能夠?qū)⑦@些種類繁多、關(guān)系簡潔的資源進行綜合的管理，就成了當(dāng)前IT管理所關(guān)注的熱點。4.2統(tǒng)一運維建設(shè)目標(biāo)從業(yè)務(wù)視角全面把握IT系統(tǒng)健康水平供應(yīng)多種業(yè)務(wù)分析模型，構(gòu)建IT資源到業(yè)務(wù)的關(guān)聯(lián)關(guān)系，通過健康指數(shù)K線圖、業(yè)務(wù)雷達(dá)視圖、業(yè)務(wù)卡片、業(yè)務(wù)服務(wù)一覽、業(yè)務(wù)關(guān)聯(lián)分析等多種形式實時把握IT資源特別對業(yè)務(wù)造成的影響，從業(yè)務(wù)視角全面把握IT運行的健康水平。統(tǒng)一IT資源管理