XX省政務專用云項目方案

XX省政務專用云項目技術文件

目錄第1章對本項目的技術服務類總體要求的理解 51.1項目背景介紹 51.2項目建設意義 51.3項目建設原則 71.4總體建設目標與分期建設目標 71.5總體建設任務與分期建設任務 71.6項目需求的理解 81.7xx省電子政務現(xiàn)狀調研 81.8xx省政務專有云建設關鍵需求 9第2章項目總體架構及技術解決方案 112.1總體方案設計 11全省政務云總體架構 11云平臺架構 122.2機房基礎設施 142.2.1IDC機房介紹 14網(wǎng)絡資源介紹 19線路租用方案設計 19應急響應保障 202.3政務專有云平臺 26物理資源層 26資源抽象與控制層 38云服務層 56政務云網(wǎng)絡 892.4政務云管理平臺 92云管理平臺整體架構 92云平臺分級管理 94設備管理 95資源管理 112資源編排 124資源監(jiān)控 131用戶管理 138流程管理 140日志管理 146報表管理 149計費策略管理 1532.5政務云基礎資源服務IaaS 154云主機服務 154云存儲服務 163云數(shù)據(jù)庫服務 166云防火墻服務 178云負載均衡服務 182云安全增值服務 186云節(jié)點服務 1912.6政務云平臺服務PaaS 1952.6.1PaaS概述 1952.6.2PaaS建設內容 1962.6.3PaaS服務 1972.6.4PaaS優(yōu)勢 1972.7政務云應用服務SaaS 1982.7.1SaaS概述 1982.7.2SaaS建設內容 1982.7.3SaaS優(yōu)勢 1992.8政務云安全方案 199云安全需求及邊界劃分 199政務專有云安全體系架構 201云平臺基礎安全能力 205多租戶云安全之防火墻服務 209多租戶云安全之負載均衡服務 214多租戶云安全之其他增值服務 2182.9政務云備份方案 222備份架構設計 222存儲備份 224政務專有云數(shù)據(jù)備份 226云主機備份 231云數(shù)據(jù)庫備份 236備份策略 241第3章設備配置清單 243第4章政務業(yè)務應用建設與遷移指引 2514.1新應用系統(tǒng)建設與部署 2514.2老應用系統(tǒng)云化建設咨詢 2534.3測試與上線 255開發(fā) 255開發(fā)測試環(huán)境 255測試支持 256上線 2564.4現(xiàn)有廳局委辦業(yè)務整合遷移 256應用遷移 256虛擬化遷移 260數(shù)據(jù)遷移 2634.5業(yè)務遷移路標規(guī)劃 273

對本項目的技術服務類總體要求的理解項目背景介紹黨的十八屆三中全會通過的《中共中央關于全面深化改革若干重大問題的決定》明確指出，要深化行政審批制度改革，規(guī)范行政審批事項管理，提高行政審批辦事效率。2014年1月，省政府下發(fā)了《xx省網(wǎng)上政務大廳建設工作方案》（浙政辦發(fā)〔2014〕10號），決定以建設省市縣三級網(wǎng)上政務大廳為抓手，加快推進全省行政審批制度改革。為有效支撐全省網(wǎng)上政務大廳的運行，建立一套高速互連、高可靠性的全省政務云平臺勢在必行。xx省委、省政府主要領導高度關注電子政務建設，對省電子政務基礎設施利用率低、重復建設嚴重等現(xiàn)象作出重要批示，要求整合電子政務資源，進一步降低行政成本。要有效解決這一問題，其重要手段就是通過云計算技術來整合分散的計算、存儲、數(shù)據(jù)和業(yè)務資源，從根本上解決電子政務應用部署靈活性不高、運維困難等問題。目前，全省統(tǒng)一的電子政務網(wǎng)絡已經(jīng)運行多年，其中電子政務外網(wǎng)承載了全省大部分政務部門的業(yè)務應用。電子政務外網(wǎng)省至市廣域網(wǎng)帶寬為155MB，省市縣鄉(xiāng)四級電子政務網(wǎng)絡實現(xiàn)全覆蓋。部分政務部門已在應用云計算技術，有些地方嘗試開展了地方云計算平臺的建設工作，能夠提供虛擬主機、存儲備份等基礎云服務，這些都為建設全省政務云提供一定的經(jīng)驗。同時，調研發(fā)現(xiàn)，大部分政務部門建設云計算系統(tǒng)時，較少部署云安全系統(tǒng)；少數(shù)省級廳局（如公安、稅務）初步建成異地災備系統(tǒng)并投入運行。項目建設意義電子政務云平臺的搭建將有助于我省電子政務從粗放式、離散化的建設模式向集約化、整體化的可持續(xù)發(fā)展模式轉變，使政府管理服務從各自為政、相互封閉的運作方式向跨部門跨區(qū)域的協(xié)同互動和資源共享轉變。1、云計算能夠降低電子政務成本在電子政務云環(huán)境下，可以將信息技術資源交給專業(yè)的第三方云服務商管理，由云服務商提供需要的信息技術基礎架構、軟硬件資源和信息服務等，政府根據(jù)按需付費的原則定制需要的信息服務。這為政府帶來了兩大好處：一是政府不需要投資建立數(shù)據(jù)中心和大型機房，購買服務器和存儲設備等，從而節(jié)省建設費用；二是信息軟硬件資源交給專業(yè)的云服務商管理，政府不再負擔信息系統(tǒng)維護和升級，節(jié)省了運維費用。2、云計算提高電子政務部署效率電子政務云具有較高的靈活性，政府實施新的電子政務工程時，不必購買額外的軟硬件，而是利用已有云基礎設施，快速部署系統(tǒng)，提高電子政務應用部署速度。開發(fā)者在一個平臺上構建和部署應用程序，大大提高了信息系統(tǒng)部署效率。3、云計算降低信息共享和業(yè)務協(xié)同難度長期以來，我國電子政務普遍存在各自為政、資源分散等問題。盡管信息難以共享的根源在于電子政務機制問題，但云計算能從技術上降低信息共享和業(yè)務協(xié)同的難度。通過電子政務云平臺，多個政府部門可以共用相應的基礎架構，實現(xiàn)各政務系統(tǒng)之間的軟硬件共享，提高電子政務信息共享的效率，擴大信息共享范圍；軟硬件資源和信息資源的共享將有利于促進各部門內部與部門之間的業(yè)務系統(tǒng)的整合，為政府部門業(yè)務協(xié)同創(chuàng)造條件。4、云計算有助于提高政府服務效率電子政務云實現(xiàn)政府軟硬件資源所有權與使用權的分離，政府將在不擁有軟硬件資源的情況下享受信息服務。因此，政府部門能夠集中人力物力進行本部門的業(yè)務運轉，從而減輕政府行政負擔，使政府能有更多的精力專注于面向公眾的公共服務，提高政府效率。同時，在部署了以云計算為技術支撐的電子政務云以后，后臺信息的煙囪式部署方式的壁壘將被打破，從而實現(xiàn)電子數(shù)據(jù)的統(tǒng)一共享，這對前臺服務界面的統(tǒng)一打通有著重要意義，將使得電子政務統(tǒng)一化不再停留在前臺展示層面，而切切實實的實現(xiàn)電子政務服務的高效與統(tǒng)一，老百姓在使用電子政務服務的時候，不再只是從紙質服務到電子服務的變化，而是真正意義的一個窗口辦所有事情，大大提高了服務質量，效率，以及老百姓的幸福感，從而助力和諧社會的建設。項目建設原則xx省政務專有云的總體建設原則如下：一、統(tǒng)一規(guī)范由于云計算是一個復雜的體系，應在統(tǒng)一的框架體系下，參考國際國內各方面的標準與規(guī)范，嚴格遵從各項技術規(guī)定，做好系統(tǒng)的標準化設計與施工。二、成熟穩(wěn)定由于云計算的發(fā)展變化很快，而本項目建設時間緊，涉及面廣，應用性強，在設計過程中，應選成熟穩(wěn)定的技術和產(chǎn)品，確保建成的政務云平臺適應各方的需求，同時節(jié)約項目施工時間。三、實用先進為避免投資浪費，政務云平臺體系的設計不僅要求能夠滿足目前業(yè)務使用的需求，還必須具備一定的先進性和發(fā)展?jié)摿Γ瓜到y(tǒng)具有容量的擴充與升級換代的可能，以便該項目在盡可能的時間內與業(yè)務發(fā)展和信息技術進步相適應。四、開放適用由于云計算平臺為各業(yè)務應用系統(tǒng)提供支撐，必須充分考慮系統(tǒng)的開放性，提供開放標準接口，供開發(fā)者、用戶使用。五、安全可靠本項目涉及用戶范圍廣，數(shù)量大，實時性強，設計時應加強系統(tǒng)安全防護能力，確保系統(tǒng)運行可靠，業(yè)務不中斷，數(shù)據(jù)不丟失?？傮w建設目標與分期建設目標本項目的總體目標是建設省政務云平臺和云網(wǎng)絡，為網(wǎng)上政務大廳和其他業(yè)務系統(tǒng)提供安全可靠的云基礎設施和云軟件服務。本項目共分兩期，第一期目標是在2014年5月底以前，建設省級政務云平臺和云網(wǎng)絡；第二期目標是在2015年6月底以前，各市按統(tǒng)一標準建設各地的政務云平臺和云網(wǎng)絡。總體建設任務與分期建設任務我省政務云的總體任務是完成xx省、市兩級政務云平臺，以及連通省、市、縣（市、區(qū)）三級的政務云網(wǎng)絡建設，形成完善的云安全保障、云災難備份和云運維管理體系。第一期建設任務是制定省政務云平臺、安全和管理相關標準，建設省級政務云平臺、云網(wǎng)絡省級城域網(wǎng)及全省廣域骨干網(wǎng)，連通省、市、縣（市、區(qū)）單位的網(wǎng)上辦事大廳和業(yè)務系統(tǒng)，初步完成云安全和云運維管理體系建設，第二期建設任務是依照統(tǒng)一標準，各市根據(jù)實際情況建設本地政務云平臺及云網(wǎng)絡城域網(wǎng)，完成全省云安全、云災難備份和云運維管理體系建設。項目需求的理解省政務服務網(wǎng)專有云平臺集中承載了支撐網(wǎng)上政務大廳運行的核心業(yè)務和數(shù)據(jù)，并對省級各廳局委辦政務部門提供基于IaaS、PaaS、SaaS層面的云服務，并通過政務云網(wǎng)絡將這些服務安全輸送給政務云用戶。政務云IaaS層，提供硬件和軟件基礎設施服務，具體可包括云主機、云存儲、云網(wǎng)絡、云數(shù)據(jù)庫、云負載均衡和云安全等服務；政務云SaaS層向云用戶提供即開即用的軟件服務；政務云PaaS層，提供統(tǒng)一的云應用框架、開發(fā)測試平臺、數(shù)據(jù)交換平臺等通用功能組件。省政務專有云平臺建成之后，將成為各地市政務云中的備份中心，地市本地云資源（計算、存儲、網(wǎng)絡）不夠時，可以借用省政務專有云平臺的資源實現(xiàn)備份、擴展和業(yè)務的爆發(fā)。xx省電子政務現(xiàn)狀調研根據(jù)前期調研，我們了解到xx省政府機構內部管理領域信息化現(xiàn)狀。僅省直屬數(shù)據(jù)中心就建設了65個機房，面積8200多平方米，擁有超過小型機190余臺、PC服務器1400余臺，計算資源平均利用率約10-15%。具不完全統(tǒng)計，從2008以來到2012年xx省政府39個直屬部門的電子政務投入資金達11.7億元?？傮w來看，xx省政府機構內部管理領域的信息化現(xiàn)狀可以總結為以下三個特點，一是資源整合需求迫切；二是服務對象眾多；三是系統(tǒng)建設和維護成本較高。該領域信息化建設與云計算的結合解決方案就是電子政務云。可以利用電子政務云，依托政務專網(wǎng)，為政府各個部門搭建一個底層的基礎架構平臺，把現(xiàn)有的政務應用遷移到平臺上并且在統(tǒng)一的基礎設施上開發(fā)定制未來的新應用平臺和系統(tǒng)，去共享給各個政府部門，提高它的服務效率和服務的能力。目前，xx省電子政務主要面臨以下問題：一是網(wǎng)上政務大廳的建設。省級政府部門未設立集中辦事的實體大廳，迫切需要統(tǒng)一的政務云平臺，為審批業(yè)務系統(tǒng)提供云主機、云存儲、云開發(fā)平臺、共性應用軟件等，從“基礎施設即服務”、“平臺即服務”、“軟件即服務”等多個層面來支撐網(wǎng)上政務大廳有效運行。同時，各市也迫切需要建設市級政務云平臺，以承擔市級業(yè)務應用。二是政務云計算標準不統(tǒng)一。目前，工業(yè)和信息化部尚在制定電子政務云相關標準，我省的地方標準尚未發(fā)布。由于缺少對電子政務云的建設和運維的指導性意見，各地、各部門對電子政務云總體框架理解不一，“低標準、小規(guī)模、建設散、弱運維”的現(xiàn)象突出，反而造成不必要的資源浪費。三是云安全意識相對薄弱。目前，大多數(shù)在建和已建政務云的政務部門對云安全認識不足，尚未系統(tǒng)開展云安全建設工作。由于云計算的復雜性，對其安全運維管理也帶來新的要求，如果沒有統(tǒng)一的云安全防范措施，將不利于政務云的建設和管理，用戶也將面臨更大的安全風險。xx省政務專有云建設關鍵需求針對xx省電子政務存在的問題，結合其實際情況和不同部門頂層設計調研結果，我們提出利用云計算技術構建xx省電子政務專有云，為電子政務的集約化建設模式提供有效的實現(xiàn)手段，通過云服務的模式支撐政務網(wǎng)的業(yè)務需求。xx省電子政務專有云提供如下類型的云服務：1、政務云資源型類服務：其目標是向所有政務網(wǎng)內的部門提供基礎設施資源服務：云主機資源，云網(wǎng)絡資源、云安全資源、云存儲資源。2、政務云平臺支撐類服務：其目標是向省級各政務部門提供平臺型的支撐功能?？梢蕴峁┌ㄩ_發(fā)測試環(huán)境、數(shù)據(jù)庫服務、應用服務引擎、Web應用環(huán)境等。3、政務云運維咨詢類服務：其目標是省級各政務部門提供系統(tǒng)運維與規(guī)劃咨詢服務，包括系統(tǒng)規(guī)劃咨詢、系統(tǒng)運維、應用性能監(jiān)控與報表、應用安裝部署、系統(tǒng)與數(shù)據(jù)遷移、數(shù)據(jù)備份等。對于上述三種類型的云服務，需要滿足如下要求：安全可靠省政務云平臺集中承載了支撐網(wǎng)上政務大廳運行的核心業(yè)務和數(shù)據(jù)，承擔著穩(wěn)定運行和業(yè)務創(chuàng)新的重任。伴隨著數(shù)據(jù)與業(yè)務的集中，云計算平臺的高可用保證是政務業(yè)務應用高可靠的基石，因此平臺的建設從基礎資源池（計算、存儲、網(wǎng)絡）、虛擬化平臺、云平臺等多個層面充分考慮業(yè)務的安全可靠，基礎單元出現(xiàn)故障后業(yè)務應用能夠迅速進行切換與遷移，用戶無感知，保證業(yè)務的連續(xù)性。需要要充分保障物理資源層、資源抽象與控制層和云服務層穩(wěn)定性與安全性，并提供云安全基礎服務，并提供異地容災備份服務。統(tǒng)一平臺，自助交付云計算的最終目標是要實現(xiàn)系統(tǒng)的按需運營，多種服務的開通，而這依賴于對計算、存儲、網(wǎng)絡資源的調度和分配，同時提供用戶管理、組織管理、工作流管理、自助Portal界面等。從用戶資源的申請、審批到分配部署的智能化。管理系統(tǒng)不僅要實現(xiàn)對傳統(tǒng)的物理資源和新的虛擬資源進行管理，還要從全局而非割裂地管理資源，因此統(tǒng)一管理平臺與自動化服務交付是提升服務效率的重要因素。省-地市兩級云資源互通根據(jù)省政府的規(guī)劃，云平臺的建設采用省-地市二級模式，省級政務云主要為省級單位服務，也可為有需要的地方提供云計算服務；市級政務云為本地（含縣、市區(qū)）單位提供云計算服務。為有效利用云資源，在兩級平臺網(wǎng)絡互通的基礎上，需要實現(xiàn)上下級云之間的計算、存儲資源互通，當?shù)厥性瀑Y源不夠時，可以快速借用省政務云內的資源實現(xiàn)備份與擴展，并在地市云業(yè)務突發(fā)時可以將業(yè)務應用云爆發(fā)到省政務云中運行。項目總體架構及技術解決方案總體方案設計全省政務云總體架構全省政務云總體架構，如下圖所示：圖表SEQ圖表\*ARABIC1全省政務云總體架構圖具體描述如下：1．xx省政務云為混合云架構，包含公共云平臺及政務專有云平臺。公共云平臺承擔社會公眾服務的內容如互聯(lián)網(wǎng)政府網(wǎng)站等，政務專有云平臺承擔政府內部服務的內容如業(yè)務應用系統(tǒng)等，為省政務服務網(wǎng)、省級政務部門應用系統(tǒng)提供基礎設施支撐。2．省政務云采用省、市兩級架構。省級政務云主要為省級單位服務，也可為有需要的地方提供云計算服務；市級政務云為本地（含縣、市區(qū)）單位提供云計算服務。3．根據(jù)省政務外網(wǎng)標準，全省政務云分為資源共享專區(qū)和公眾服務專區(qū)，資源共享專區(qū)主要承載數(shù)據(jù)交換、資源共享、行政審批等服務，公眾服務專區(qū)主要承載公眾服務類業(yè)務；公眾服務專區(qū)首選部署在公有云，也可部署在政務云內。4．政務云資源共享專區(qū)通過安全隔離措施訪問公有云（互聯(lián)網(wǎng)）、公眾服務專區(qū)；各單位政務外網(wǎng)的業(yè)務系統(tǒng)應根據(jù)服務對象逐步遷移至省級政務云或公有云上，實現(xiàn)集中集約部署。政務專有云平臺為xx省政務用戶專用，該平臺的主機、存儲、數(shù)據(jù)庫、系統(tǒng)軟件、網(wǎng)絡等物理資源不提供給其他用戶使用。5.部署在省政務專有云內的行政審批等業(yè)務應用，通過云節(jié)點與各廳局辦與市縣現(xiàn)有業(yè)務系統(tǒng)進行數(shù)據(jù)交互，云節(jié)點承擔前置機中間件的角色，集計算、存儲、網(wǎng)絡功能一體，省政務專有云平臺對其進行統(tǒng)一的管理與監(jiān)控。6.建議省級政務云和市級政務云通過不小于2.5G的高速寬帶云網(wǎng)絡進行互連互通，并與省政務外網(wǎng)互為備份。省政務云網(wǎng)絡按照省政務外網(wǎng)標準建設。7.全省政務云平臺采用11+1的異地容災模式，即11個市級政務云利用省級政務云平臺中的資源進行異地備份；省級政務云選擇一個市級政務云建設異地災備中心。云平臺架構省政務專有云平臺整體架構設計如下圖：圖表SEQ圖表\*ARABIC2省政務專有云平臺整體架構設計圖整體分為六大部分：1、物理層物理層包括運行政務專有云所需的云數(shù)據(jù)中心機房運行環(huán)境，以及計算、存儲、網(wǎng)絡、安全等設備。云中心機房的部署按照分區(qū)設計，主要分為數(shù)據(jù)庫區(qū)、業(yè)務應用區(qū)、存儲區(qū)、系統(tǒng)管理區(qū)、網(wǎng)絡出口區(qū)和安全緩沖區(qū)等區(qū)域。2、資源抽象與控制層資源抽象與控制層通過虛擬化技術，負責對底層硬件資源進行抽象，對底層硬件故障進行屏蔽，統(tǒng)一調度計算、存儲、網(wǎng)絡、安全資源池。其核心是虛擬化內核，該內核提供主機CPU、內存、IO的虛擬化，通過共享文件系統(tǒng)保證云主機的遷移、HA集群和動態(tài)資源調度。同時通過分布式交換機實現(xiàn)多租戶的虛擬化層的網(wǎng)絡隔離。在存儲資源池的構建上，采用分布式存儲技術，實現(xiàn)對服務硬盤的虛擬化整合，并通過多副本（3-5份）技術保證存儲數(shù)據(jù)的高可靠。3、云服務層云服務層提供IaaS、PaaS和SaaS三層云服務：IaaS服務：包括云主機、云存儲（云數(shù)據(jù)盤、對象存儲）、云數(shù)據(jù)庫服務、云防火墻、云負載均衡和云網(wǎng)絡（租戶子網(wǎng)/IP/域名等）。IaaS層服務向PaaS層提供開放API接口調用。PaaS服務：包括消息處理隊列、通用中間件（請求代理、事物處理、地理信息）、數(shù)據(jù)交換平臺、開發(fā)測試平臺，為上層政務應用提供標準統(tǒng)一的平臺層服務，并提供API接口和SDK開發(fā)包，供SaaS層軟件開發(fā)與部署調用。SaaS服務：包括本期需要上線的電子監(jiān)察、行政審批、協(xié)同辦公業(yè)務應用，以及政務網(wǎng)站群等，本層服務的提供由應用軟件開發(fā)商完成。上述云服務通過自助服務門戶，向各廳局委辦用戶提供自助的線上全流程自動化交付。用戶可以在自助服務門戶上進行服務的申請，完成審批后相應的云資源將會交付給用戶遠程控制使用。4、云安全防護云安全防護為物理層、資源抽象與控制層、云服務層提供全方位的安全防護，包括防DDoS攻擊、漏洞掃描、主機防御、網(wǎng)站防御、租戶隔離、認證與審計、數(shù)據(jù)安全等模塊。滿足國家安全等級保護3級的部署要求。5、運行監(jiān)控與維護管理此模塊為云平臺運維管理員提供設備管理、配置管理、鏡像管理、備份管理、日志管理、監(jiān)控與報表等，滿足云平臺的日常運營維護需求。6、云服務管理此模塊主要面向政務云管理員，對云平臺提供給廳局委辦用戶的云服務進行配置與管理，包括服務目錄的發(fā)布，組織架構的定義，廳局委辦用戶管理、云業(yè)務流程定制設計以及資源的配額與計費策略定義等，此部分的功能實現(xiàn)根據(jù)省政務專有運要求進行定制。機房基礎設施IDC機房介紹本次項目將部署在XXXXIDC機房，機房面積31825平方米，機柜數(shù)3229個。IDC機房內是中國電信的5星級數(shù)據(jù)機房，圍繞著綠色環(huán)保設計理念，打造綠色環(huán)保的高效節(jié)能數(shù)據(jù)中心，機房按照國際機房建設標準ANSI/TIA-942Tier3+設計建設，滿足國際公認的ANSI-TIA-942-2005《數(shù)據(jù)中心通信基礎設施標準》里的Tier3級以上主要指標，滿足GB50174-2008《電子信息系統(tǒng)機房設計規(guī)范》中的A級要求，通過采用創(chuàng)新的供電方案和制冷方案，使PUE值全年平均達到1.8以下,達到了國內先進水平。機房的各項要求如下：詳細技術標機房設計、施工及驗收必須符合國家標準及行業(yè)規(guī)范。GB50174-93《電子計算機機房設計規(guī)范》GB/T2887-2000《電子計算機場地通用規(guī)范》GB6650-86《計算機機房活動地板技術條件》GB9361-88《計算機站場地安全要求》SJ/T30003-93《電子計算機機房施工及驗收規(guī)范》JGJ/T16-92《民用建筑電氣設計規(guī)范》GB50054-95《低壓配電設計規(guī)范》GB50057-94《建筑防雷設計規(guī)范》中國證監(jiān)會信息化工作管理制度（證監(jiān)信息字[2004]1號）國際電工委IEC1024-1防雷保護裝置規(guī)范國際電工委IEC1312防止雷電波侵入保護規(guī)范機房建設符合GB50174-2008建設標準。機房設計為二類建筑，二級耐火等級，六級人防，建筑耐久年限為50年。一樓機房承重為1600公斤/平方米，二樓機房承重為1000公斤/平方米。電力系統(tǒng)標準交流電源采用兩路高壓引入，從2個變壓器提供兩個獨立的環(huán)路供電；柴油發(fā)電機組總容量應能滿足全部保證用電負荷的供電要求,在市電中斷后15分鐘內由發(fā)電機恢復供電；UPS系統(tǒng)采用1＋1并聯(lián)冗余方式，滿負荷情況下電池容量能支持機房運行2小時，UPS設計容量400千瓦。能保證99.999%的持續(xù)供電率;提供各網(wǎng)絡設備供電所需PDU。每個機架都保證雙路供電，機房提供雙路國內標準交流電源。IDC機房提供大型油機服務。柴油發(fā)電機規(guī)劃配備8臺，每臺2200kva的發(fā)電機，目前安裝完成可啟用6臺，為N+1冗余設計，能滿足滿負荷情況包括空調和托管設備在內的整個IDC供電。柴油發(fā)電機的啟動是由專門的電池支持。公司采購中心有30噸儲備油庫位于機房10公里處。燃油發(fā)電機組啟動方式為電啟動。燃油發(fā)電機組的發(fā)電機無需預熱，在發(fā)電機組啟動，空載運行3～5分鐘后，立即就能投入運行。每半個月進行一次油機測試。圖表SEQ圖表\*ARABIC3UPS室圖表SEQ圖表\*ARABIC4低配室機房防雷標準根據(jù)IEC防雷規(guī)范中有關防雷分區(qū)的要求將IDC機房的電源系統(tǒng)做三級防雷保護，第一級防雷器安裝在進線端：對直擊雷，傳導雷，感應雷實施進線端出線保護，電源系統(tǒng)的第一級防雷要能防?。?00KA）的直擊雷。第二級防雷器安裝在分配端且要求距離第一級防雷器的線路距離大于十米，對初級保護的殘余雷擊能量和雷電波反射，感應雷進行保護，電源系統(tǒng)的第二級防雷要能防?。?0~40KA）的感應雷和一定能量的直擊雷。第三級防雷器安裝在被保護設備端，距離第二級防雷器的距離要求大于十米，且于被保護設備之間的線路距離不大于十米，主要對前級殘余雷擊，感應雷擊和各種操作過電壓進行保護?？照{系統(tǒng)標準主用空調采用艾默生或佳力圖大型機房專用精密風冷空調系統(tǒng)，使用100KW恒溫恒濕精密空調，采用下送風，上回風方式，空調設備配置采用（N＋1）冗余方式，全部采用雙壓縮機制冷。執(zhí)行溫度標準：21－25℃，濕度標準：40－70％。圖表SEQ圖表\*ARABIC5機房空調系統(tǒng)說明：恒溫恒濕，溫度保持在20~25度，相對濕度保持在40%~70%；下送風上回風、冷熱通道隔離設計，兩組機柜正面相對組合成冷通道，經(jīng)機柜設備熱交換后，熱通道回風，提高制冷效果及能源使用效率消防系統(tǒng)標準機房采用感煙、感溫自動火災報警系統(tǒng)。機房采用IG-541（煙必盡），無毒（潔凈氣體）氣體滅火系統(tǒng)。IG-541氣體滅火系統(tǒng)覆蓋所有機房，包括UPS室。機房具備聲光報警和安全指示牌。圖表SEQ圖表\*ARABIC6消防室安全系統(tǒng)標準監(jiān)控中心（7×24小時）可監(jiān)測機房消防、空調、電源、UPS、防盜的運行情況、漏水情況等數(shù)據(jù)。機房主要的出入口和區(qū)域安裝遠程視頻監(jiān)控系統(tǒng)與獨立的門禁系統(tǒng)，進入機房的門禁均設置雙向門禁。機房設置總監(jiān)控室，可以監(jiān)控各類告警信號。機架配置標準48U、19英寸，尺寸600×1100×2200mm，在標準配置的情況下，可安裝服務器的最大高度為1800mm，為每臺綜合布線標準通信電纜布放整齊，綁扎牢固，通信電纜和電力電纜分開走不同的路由。機房安裝若干ODF、DDF、MDF配線架，以滿足不同業(yè)務的接入。防震系統(tǒng)標準機架具有防震支撐，能夠避免來自各個方位的任何細微和劇烈震動，6級以上抗震能力。機房信息安全標準機房具備專職的信息安全員二人以上和兼職人員數(shù)人。專職和兼職信息安全員具備ISO27001LA資質，并提供ISO27001LA證書。機房配置運維人員負責機房7×24小時日常運維，運維人員團隊由二部分專職人員組成：運維管理和運維工程師。機房空間隔離標準機房必須分配獨立的物理隔離區(qū)域，進入該機房的區(qū)域必須持有用戶授權。網(wǎng)絡資源介紹通過各種專線方式，為IDC客戶提供安全信息傳輸、遠程維護、管理主機內容以及虛擬專網(wǎng)服務?？梢詽M足客戶端到端的網(wǎng)絡安全需求。網(wǎng)絡帶寬：分共享型和獨享型帶寬出口兩種，其中共享端口分共享10M、100M；獨享端口分獨享10M、50M、100M、200M、1000M、10G等，可滿足所有客戶隨著業(yè)務增長而對帶寬擴容的需求，且計費方式靈活。興議IDC出口總帶寬730G，同時具備他網(wǎng)運營商的接入能力。現(xiàn)已實現(xiàn)與政務外網(wǎng)的無縫對接，滿足本次政務云的項目需求。線路租用方案設計我公司將根據(jù)xx省政府辦公廳政務服務網(wǎng)可信公共云服務中標段二省政務服務網(wǎng)專有云服務的采購要求，提供如下線路租用方案：xx省政府信息中心機房至運營商IDC機房鋪設兩條裸纖，用于核心網(wǎng)絡與業(yè)務系統(tǒng)的互聯(lián)，兩條裸纖之間數(shù)據(jù)實現(xiàn)雙路由冗余備份，且衰耗小于0.5dB/公里。裸纖技術裸光纖是指運營商與用戶之間或用戶內部完全地以光纖作為傳輸媒體，在寬帶網(wǎng)建設中，超過3公里的網(wǎng)間距離一般用光纖來連接。為特殊用戶或其他營運商在城域網(wǎng)范圍內提供裸光纖出租業(yè)務，以滿足其組建自有骨干網(wǎng)的需求，裸光纖連接能夠承載10Mbps、100Mbps、1000Mbps、10000Mbps等的高速寬帶，公司在線路維護上保證2小時內響應。裸光纖業(yè)務特點如下：傳輸距離遠：光纖連接距離可達70公里。傳輸速度快：光纖能夠承載10Mbps、100Mbps、1000Mbps、10000Mbps等的高速帶寬。損耗低：由于光纖介質的制造純度極高，所以光纖的損耗極低，這樣，在通信線路中可以減少中繼站的數(shù)量，提高了通信質量?？垢蓴_能力強：因為光纖是非金屬的介質材料，使用光纖作為傳導介質，不受電磁干擾，這是其它電纜望塵莫及的。傳輸網(wǎng)絡拓撲圖xx省政府辦公廳政務服務網(wǎng)可信公共云服務中標段二省政務服務網(wǎng)專有云服務接入如下圖所示：圖表SEQ圖表\*ARABIC7傳輸網(wǎng)絡拓撲圖電信提供兩對裸光纖鏈路，且采用光纖物理雙路由，衰耗小于0.5dB/公里，每對裸光纖帶寬速率支持10GE。兩對光纖物理路由信息：線路一：省政府——武林局——長二樓——興議IDC；線路二：省政府——惠興二——江城局——江邊局——興議IDC；應急響應保障UPS系統(tǒng)UPS由網(wǎng)運中心和IDC屬地監(jiān)控中心互為備份監(jiān)控，以網(wǎng)運中心通知告警為準，但機房基礎維護值班賦有利用一切資源，主動發(fā)現(xiàn)故障、保障UPS供電正常的責任。故障發(fā)生時，當檢查確認UPS失電，運維全部人員都有責任以最快資源確定UPS是否重大故障及影響范圍，并立即向應急處理中心匯報，在主管的指揮下采取相應措施控制并消除故障；已中斷業(yè)務情況下，以最快途徑搶通業(yè)務為指導原則；未中斷業(yè)務情況下，要進行應急處理時如整個并機系統(tǒng)都切換到大旁路由市電供電、有可能中斷業(yè)務等情況，須由主管請示領導。變配電系統(tǒng)發(fā)生配電故障時，維護人員根據(jù)目前的故障現(xiàn)象初步分析，并做相應處理，迅速攜帶必要工具、儀表趕赴故障現(xiàn)場進一步確定故障情況；維護人員到達故障現(xiàn)場，先觀察配電系統(tǒng)是否有異味或明顯的故障點，結合遠程故障狀態(tài)進一步縮小故障范圍,排除故障，恢復供電；如遇一路市電停電，可通過合低壓母聯(lián)開關，將故障側負載切換至另一路供電（備注：必須確保變壓器不超載運行，可根據(jù)負載重要性限電）；如遇二路市電同時停電，則應急發(fā)電機供電以確保通信設備用電安全；如遇二路市電同時停電，應急發(fā)電機不能正常供電，且短時間內無法修復，應上報公司領導，并聯(lián)系供電局，要求恢復市電供電；同時聯(lián)系油機廠家維護人員及時處理故障。并根據(jù)負載重要性，對UPS后端負載卸載，以延長UPS蓄電池后備時間，保障重要負載供電安全；配電側輸入開關故障，應立即查明故障原因，排除線路故障，更換同型號開關，重新合閘送電。網(wǎng)絡攻擊或其他安全問題應急響應流程一旦發(fā)生網(wǎng)絡攻擊或安全問題，安全服務團隊將根據(jù)預先設定的事件響應等級機制啟動安全防護流程。對于特大規(guī)模的網(wǎng)絡攻擊或新類型的安全問題，安全服務團隊將啟動突發(fā)安全事件應急響應流程，緊急調動各方資源，處理問題恢復服務。對于新型安全問題，后續(xù)即刻啟動安全防御新功能開發(fā)和上線，保證安全系統(tǒng)的及時升級和安全的長效性。網(wǎng)絡安全消防演習杭州電信IDC(云計算)運營中心配合公司安保部門不定期會進行必要的安全消防演習，以考驗各種安全流程和資源在實戰(zhàn)狀態(tài)下的有效性。消防演習一般不做事前通知，并在可控范圍內發(fā)起模擬網(wǎng)絡攻擊和黑客入侵，同時記錄各安全處理環(huán)境的效率和結果，最終評判整個安全體系的防衛(wèi)和響應能力。現(xiàn)場通信保障1、海事衛(wèi)星電話應急保障：電信目前有普通海事衛(wèi)星電話、全向海事衛(wèi)星電話和寬帶海事衛(wèi)星電話三種。衛(wèi)星電話是解決突發(fā)現(xiàn)場指揮通信的首選，在指揮中心也放置一部海事衛(wèi)星電話、應急通信車放置一部海事衛(wèi)星電話，后勤保障車放置全向海事衛(wèi)星電話用于通信中斷時聯(lián)絡指揮。其余海事衛(wèi)星電話進行充電保養(yǎng)并集中放置在應急通信辦公室以便應急使用。需使用時，使用單位通過網(wǎng)絡運營部批準并按指令向應急通信隊領用2、綜合應急通信車和C網(wǎng)衛(wèi)星基站車保障：綜合應急通信車和C網(wǎng)衛(wèi)星基站車都具有開通C網(wǎng)、衛(wèi)星、微波、視音頻傳送等能力，綜合應急通信車還具有全球眼、寬帶、固話、電視電話會議和微波攝像等能力，在發(fā)生突發(fā)時間時，也可緊急開通以上業(yè)務供上級、客戶或政府部門指揮調度使用。在有線電路阻斷時，可通過應急備份衛(wèi)星電路開通C網(wǎng)應急基站。綜合應急通信車自備發(fā)電機可持續(xù)3個工作日即24小時連續(xù)工作。C網(wǎng)衛(wèi)星基站車使用外接柴油發(fā)電機供電。3、數(shù)字集群4OOM系統(tǒng)現(xiàn)場保障：400M數(shù)字集群應急通信車，做為現(xiàn)場外場各專業(yè)之間指揮聯(lián)絡的通信工具，在發(fā)生通信故障時也可做為客戶的應急通信指揮系統(tǒng)使用。400M數(shù)字集群系統(tǒng)裝載在全順面包車上，由能自持4小時電池組供電，長時間保障需外接電源供電。400M數(shù)字集群可根據(jù)覆蓋范圍需要變動停車地點或在行進中保持工作狀態(tài)。在保障前，要對所有手臺、視音頻單兵和電池組進行充分充電保養(yǎng)。正式保障時，使用單位在網(wǎng)絡部統(tǒng)一分配下領用手臺及充電設備，并登記領用表。4、3G全球眼單兵系統(tǒng)和ECP視頻保障：應急通信保障現(xiàn)場將綜合應急通信車布置為現(xiàn)場指揮中心，向上與指揮中心聯(lián)系，接受指揮中心命令，向下與各專業(yè)聯(lián)絡，傳達指揮中心指令，協(xié)調各專業(yè)保障工作?，F(xiàn)場指揮中心開通ECP視頻與指揮中心連接，實時反應保障現(xiàn)場情況，接收指揮中心最新保障指令。在3G信號有保障指揮中心需要了解內場情況或了解外場特定地點時，開通3G全球眼單兵系統(tǒng)，指揮中心開通3G全球眼接收控制應用系統(tǒng)，觀察現(xiàn)場情況。在正式保障前，對3G全球眼單兵系統(tǒng)進行充電保養(yǎng)。附ECP開通使用說明：確認寬帶網(wǎng)絡無誤后，啟動ECP，嘗試加入會議（通過菜單—工具—查詢視頻會議信息，查詢到相應的會議進入，約定密碼123456），如果無法進入，聯(lián)系指揮中心視頻會議建立人。重新加入會議后注意發(fā)言和視頻控制等權限。5、衛(wèi)星電路保障：杭州C網(wǎng)衛(wèi)星基站車通過上海機動局衛(wèi)星地面站開通杭州C網(wǎng)應急基站測試已經(jīng)成功，杭州衛(wèi)星地面站到上海機動局衛(wèi)星地面站C網(wǎng)長途電路長期固定預留。在預留衛(wèi)星資源不能滿足時，可向北京衛(wèi)星直播公司臨時申請應急衛(wèi)星通道，并派應急通信技術人員趕赴轉塘衛(wèi)星地球站開通轉塘衛(wèi)星地面站衛(wèi)星系統(tǒng)用于傳輸C網(wǎng)電路。此過程正常情況大概需要1.5小時。在緊急情況下，由網(wǎng)絡運營部下達通過衛(wèi)星開通基站命令，由衛(wèi)星電路保障責任人聯(lián)系衛(wèi)星資源并緊急開通C網(wǎng)應急基站。附：xx電信全省應急通信主要聯(lián)絡人地市姓名職務移動電話省公司熊德營應急通信辦主任章柏永應急通信辦副主任、總聯(lián)絡人省機動通信局趙建春機動通信部主任杭州陳效忠應急通信辦主任沈國權聯(lián)絡人寧波毛嵐嵐應急通信辦主任張震聯(lián)絡人溫州張進榮應急通信辦主任陳月綺聯(lián)絡人紹興張財星應急通信辦主任王曉冬聯(lián)絡人湖州王麗華應急通信辦主任陸東華聯(lián)絡人金華陳灝應急通信辦主任鄒毅聯(lián)絡人嘉興胡關林應急通信辦主任張健云聯(lián)絡人臺州戴滿應急通信辦主任蔡江天聯(lián)絡人衢州錢港應急通信辦主任褚樹正聯(lián)絡人麗水鄭忠權應急通信辦主任舒鳳華聯(lián)絡人舟山夏海倫應急通信辦主任吳文潮聯(lián)絡人政務專有云平臺物理資源層物理資源層應包括運行政務云所需的機房運行環(huán)境，以及計算、存儲和網(wǎng)絡等設備。數(shù)據(jù)中心機房滿足GB50174-2008《電子信息系統(tǒng)機房設計規(guī)范》中的A級要求，滿足國際公認的ANSI-TIA-942-2005《數(shù)據(jù)中心通信基礎設施標準》里的Tier3級以上主要指標。組網(wǎng)設計采用“核心－接入”兩層扁平化設計,根據(jù)模塊化的分區(qū)的方式，主要分為業(yè)務應用區(qū)、云數(shù)據(jù)庫區(qū)、備份存儲區(qū)、管理和服務區(qū)、核心交換區(qū)和云安全訪問控制區(qū)。物理組網(wǎng)示意圖，如下圖所示：圖表SEQ圖表\*ARABIC8物理組網(wǎng)示意圖實際組網(wǎng)拓撲如下圖所示：圖表SEQ圖表\*ARABIC9實際組網(wǎng)拓撲云平臺的互聯(lián)網(wǎng)出口介紹在本次項目項目中，中國電信為項目省政府租用的云主機提供公有IP地址，云平臺的國際互聯(lián)網(wǎng)獨享總出口帶寬不低于1G，可擴充到20G。云平臺與政務外網(wǎng)互聯(lián)中國電信提供的xx省政務專有云平臺與xx省電子政務外網(wǎng)的采用專用互聯(lián)光纖，帶寬不小于20G，滿足網(wǎng)絡互訪的要求，xx省政府信息中心房至運營商IDC機房鋪設兩條裸纖，用于核心網(wǎng)絡與業(yè)務系統(tǒng)的互聯(lián)，兩條裸纖之間數(shù)據(jù)實現(xiàn)雙路由冗余備份，且衰耗小于0.5dB/公里。由于中國電信是xx省電子政務外網(wǎng)的承建者，全省11個地市政府通過電信的155M的全省長途MSTP線路接入到xx省政府，省電子政務外網(wǎng)將成為全省11個市政府行政服務中心訪問省云平臺的網(wǎng)絡途徑。圖表SEQ圖表\*ARABIC10xx省電子政務外網(wǎng)傳輸拓撲圖業(yè)務應用區(qū)主要用于部署承載業(yè)務應用的物理服務器，通過提供大內存性物理服務器，配置為2路INTELXeonE5-2620CPU（6核，主頻2.0GHz），內存96GB，硬盤2*300GSAS+6*900GSAS，2G高速緩存，作為計算單元，同時，利用服務器本地硬盤，結合H3CvStor零存儲解決方案來滿足業(yè)務應用的存儲需求，物理組網(wǎng)示意圖如下圖所示：圖表SEQ圖表\*ARABIC11業(yè)務應用區(qū)如圖所示組網(wǎng)，單臺物理服務器分別連接四個不同的網(wǎng)絡：1、業(yè)務網(wǎng)絡：服務器網(wǎng)卡上聯(lián)H3CS5820v2接入交換機，提供業(yè)務數(shù)據(jù)訪問網(wǎng)絡；2、管理網(wǎng)絡：服務器網(wǎng)卡上聯(lián)H3CS5120HI接入交換機，通過系統(tǒng)管理區(qū)相應管理軟件實現(xiàn)虛擬化平臺管理、網(wǎng)絡管理、H3CCSM管理等；3、存儲網(wǎng)絡：通過連接H3CS6300萬兆電口接入交換機，實現(xiàn)不同區(qū)域不同物理主機之間存儲網(wǎng)絡的互通；4、服務器帶外管理網(wǎng)絡：通過服務器帶外管理iLO口上聯(lián)H3CS5120HI交換機，形成跨交換機帶外管理網(wǎng)絡集群，方便運維人員以服務器集群為單位對硬件進行統(tǒng)一管理配置。設備選型如下：設備型號設備描述H3CFlexserverR390服務器INTELXeonE5-2620CPU（6核，主頻2.0GHz），Mem：96G，2*300GBSAS，6*900GBSAS，2GB高速緩存，2個10GE端口，8個GE端口，雙交流電源LS-5820V2-54QS-GEH3CS5820V2-54QS-GEL3以太網(wǎng)交換機主機,支持48個GE端口,4個SFP+端口,2個QSFP+端口H3CS5120-58C-HIL3以太網(wǎng)交換機主機，支持4810/100/1000BASE-T端口，支持4個100/1000BASE-XSFP端口，支持2個10G/1GBASE-XSFP+端口，支持2個SlotsH3CS6300-42QTL2以太網(wǎng)交換機主機，支持32個XGT端口，8個XG端口，2個QSFPPlus端口管理和服務區(qū)部署云管理平臺、網(wǎng)絡管理平臺、虛擬化管理平臺等管理服務器，硬件同樣采用大內存性2路物理服務器，通過對云管理平臺、網(wǎng)絡管理平臺、虛擬化管理平臺等軟件的部署，實現(xiàn)對底層資源的合理管控，保障業(yè)務運行的可靠性、可用性，合理的分配資源，通過自動化的運維管理，提升客戶IT人員的運維管理效率，物理組網(wǎng)如下圖所示：vSwitchvSwitchVMVMVMDiskH3CCVM雙機集群H3CCSM雙機集群vSwitchVMVMVMDiskvSwitchVMVMVMDiskvSwitchVMVMVMDisk云服務管理集群網(wǎng)絡接入數(shù)據(jù)庫管理H3CiMC管理平臺OpenStack計算管理節(jié)點對象存儲管理圖表SEQ圖表\*ARABIC12物理組網(wǎng)圖從業(yè)務管理可靠性來分析，系統(tǒng)管理區(qū)各管理平臺部署分為兩大類，硬件支撐系統(tǒng)和虛擬支撐系統(tǒng)。硬件支撐系統(tǒng)主要是考慮到業(yè)務管理平臺的重要性和可靠性，故直接采用物理服務器作為支撐平臺，包括：1、H3CCVM雙機集群：通過CVM主機實現(xiàn)對虛機的管理運維，采用雙機熱備的形式，保證CVM管理平臺的可靠性2、H3CCSM雙機集群：通過CSM主機實現(xiàn)對大云平臺的管理運維，采用雙機熱備的形式，保證CSM管理平臺的可靠性虛機支撐系統(tǒng)是指在虛擬化環(huán)境下，直接將管理平臺部署在虛機上，建立統(tǒng)一的云服務管理集群，通過虛擬化軟件來保證各管理平臺的可靠性，在這個集群內主要運行以下幾個系統(tǒng)：數(shù)據(jù)庫管理：主要內容包括數(shù)據(jù)庫的建立、調整、重構、安全控制、完整性控制和對用戶提供技術支持。H3CiMC管理平臺：實現(xiàn)網(wǎng)絡拓撲、故障、性能、配置、安全等管理功能。OpenStack計算管理節(jié)點：對下層虛擬化計算資源進行管理調度。對象存儲管理：靜態(tài)數(shù)據(jù)的存儲、檢索、預覽，數(shù)據(jù)的持久性和可擴展性管理。設備選型如下：設備型號設備描述H3CFlexserverR390服務器INTELXeonE5-2620CPU（6核，主頻2.0GHz），Mem：96G，2*300GBSAS，6*900GBSAS，2GB高速緩存，2個10GE端口，8個GE端口，雙交流電源LS-5820V2-54QS-GEH3CS5820V2-54QS-GEL3以太網(wǎng)交換機主機,支持48個GE端口,4個SFP+端口,2個QSFP+端口H3CS5120-58C-HIL3以太網(wǎng)交換機主機，支持4810/100/1000BASE-T端口，支持4個100/1000BASE-XSFP端口，支持2個10G/1GBASE-XSFP+端口，支持2個SlotsH3CS6300-42QTL2以太網(wǎng)交換機主機，支持32個XGT端口，8個XG端口，2個QSFPPlus端口云數(shù)據(jù)庫區(qū)部署承載數(shù)據(jù)庫服務的物理服務器，對于部分高性能數(shù)據(jù)庫可直接部署在物理主機上，通過配置4路INTELXeonE5-4620CPU（核數(shù)8核，主頻2.2GHz），64G內存，2*300GB硬盤的高性能物理服務器，來滿足客戶對于數(shù)據(jù)庫系統(tǒng)的承載需求。對于性能要求不高的數(shù)據(jù)庫服務，以虛擬機方式部署交付。數(shù)據(jù)庫服務區(qū)通過部署高性能的FC存儲，來滿足客戶關鍵業(yè)務的數(shù)據(jù)存儲以及對數(shù)據(jù)，物理組網(wǎng)如下圖所示：圖表SEQ圖表\*ARABIC13云數(shù)據(jù)庫區(qū)設備選型如下：設備型號設備描述H3CFlexserverR590服務器CPU：4路8核，Mem:64G，2*300GBSAS，512MB高速緩存，4*GE網(wǎng)卡，2*10GE網(wǎng)卡，雙交流電源H3CP8200存儲單臺72個2.5寸硬盤槽位，24GB高速緩存，內置4個8Gb/sec光纖通道端口，外帶8個可選端口H3CS5820v2-52QF-UL3以太網(wǎng)交換機主機，支持48個1G/10GBASE-XSFPPlus端口（支持FC/FCoE/Ethernet模式），4個QSPFPlus端口LS-5820V2-54QS-GEH3CS5820V2-54QS-GEL3以太網(wǎng)交換機主機,支持48個GE端口,4個SFP+端口,2個QSFP+端口H3CS5120-58C-HIL3以太網(wǎng)交換機主機，支持4810/100/1000BASE-T端口，支持4個100/1000BASE-XSFP端口，支持2個10G/1GBASE-XSFP+端口，支持2個SlotsLS-5820V2-52QF支持48個XG端口,4個QSFP+端口備份存儲區(qū)通過部署高性能存儲設備以及專業(yè)的備份管理軟件，實現(xiàn)對云主機&云存儲區(qū)以及云數(shù)據(jù)庫區(qū)的數(shù)據(jù)的備份，保障業(yè)務數(shù)據(jù)的高可靠性，物理組網(wǎng)如下圖所示：圖表SEQ圖表\*ARABIC14備份存儲區(qū)組網(wǎng)拓撲采用1臺物理服務器作為備份管理服務器，利用H3CFlexStorageP5730存儲作為數(shù)據(jù)備份介質。H3CFlexStorageP5730存儲是一款橫向擴展存儲平臺，專為滿足虛擬化環(huán)境不斷變化的需求而設計。它提供了完美的解決方案：可滿足高可用性、數(shù)據(jù)移動性、災難恢復、可管理性及升級等方面的需求。借助本身的企業(yè)級存儲軟件功能和領先的虛擬化軟件集成，F(xiàn)lexStorage可為各個階段的虛擬化增長提供支持。直觀、普遍的管理方式簡化了存儲管理。此外，F(xiàn)lexStorage還支持數(shù)據(jù)跨不同層、位置以及在物理和虛擬存儲之間移動，為用戶的虛擬化環(huán)境提供了完美的應用。H3CFlexStorageP5730是一款專門為客戶設計的機架式IP存儲產(chǎn)品，通過全面的企業(yè)特性組合幫助物理和虛擬環(huán)境降低SAN成本，通過建立存儲集群和網(wǎng)絡RAID，通過網(wǎng)絡RAID可在存儲系統(tǒng)內的RAID磁盤組出現(xiàn)故障、整個存儲系統(tǒng)出現(xiàn)故障或者出現(xiàn)網(wǎng)絡或電源等方面的外部故障時提供保護可擴展的性能，無中斷式升級集中的管理控制臺快照、遠程拷貝可降低災難恢復的成本設備選型如下：設備型號設備描述H3CFlexserverR390服務器INTELXeonE5-2620CPU（6核，主頻2.0GHz），Mem：96G，2*300GBSAS，6*900GBSAS，2GB高速緩存，2個10GE端口，8GE網(wǎng)卡，雙交流電源H3CP573025*900GSAS10krpm，2*10GE光口+4*GE電口H3CS6300-42QTL2以太網(wǎng)交換機主機，支持32個XGT端口，8個XG端口，2個QSFPPlus端口核心交換區(qū)通過物理網(wǎng)絡設備N:1虛擬化技術，簡化生成樹協(xié)議的部署，實現(xiàn)云數(shù)據(jù)中心內的大二層網(wǎng)絡互通，為云主機的自動化遷移與調度提供環(huán)境支撐。同時在核心層旁掛LB，對各分區(qū)進行安全訪問控制,物理組網(wǎng)如下圖所示，圖表SEQ圖表\*ARABIC15核心交換區(qū)核心交換區(qū)的主要功能是完成各服務器功能分區(qū)、廣域網(wǎng)、互聯(lián)網(wǎng)之間數(shù)據(jù)流量的高速交換，是廣域/局域縱向流量與服務功能分區(qū)間橫向流量的交匯點。核心交換區(qū)必須具備高速轉發(fā)的能力，同時還需要有很強的擴展能力，以便應對未來業(yè)務的快速增長。如圖所示，核心區(qū)由H3CS12510-X組成。使用鏈路聚合技術合并多個10GE端口，提供兩交換機之間的連通性。核心區(qū)交換機連接到所有其他區(qū)的邊緣設備，既可以是一對HA方式的交換機，也可以是一對HA方式的防火墻。有兩類連接到核心，一類是來自交換機（比如業(yè)務系統(tǒng)服務器區(qū)）的連接，另一類是用防火墻連接（互聯(lián)網(wǎng)接入?yún)^(qū)）。每個區(qū)邊緣交換機都上行連接到Core-SW1和Core-SW2。每個區(qū)交換機將使用單獨的VLAN，VLAN跨越兩個交換機，上行連接到核心。成對且以高可用性方式部署的防火墻將有一個VLAN，這個VLAN跨越兩個核心交換機上行連接，并每個都連接到一個核心。每個上行連接VLAN都在兩個交換機中配置。同時，在核心接入交換機旁掛LB負載均衡設備，支持全面的四至七層負載均衡和鏈路負載均衡功能，支持IPv6基礎特性及IPv6的負載均衡，并配合云數(shù)據(jù)中心實現(xiàn)虛擬化環(huán)境下針對關鍵業(yè)務的動態(tài)資源擴展，動態(tài)應對突發(fā)業(yè)務訪問量所帶來的資源瓶頸，提高業(yè)務運維的效率。設備選型如下:設備型號設備描述H3CS12510-XH3CS12510-X以太網(wǎng)交換機交流主機，雙引擎，6塊交換網(wǎng)板，4塊交流電源，96個萬兆光口H3CSecPathL5000-CH3CSecPathL5000-C主機云安全訪問控制區(qū)此區(qū)域是邏輯區(qū)域，用于部署與互聯(lián)網(wǎng)公有云、廣域網(wǎng)接入?yún)^(qū)進行數(shù)據(jù)交互的安全隔離設備，確保數(shù)據(jù)訪問安全，包括設置網(wǎng)絡隔離、防DDoS攻擊設備、防火墻、IPS、端口安全檢測等。保證物理網(wǎng)絡安全性的同時，通過虛擬化技術，實現(xiàn)在虛擬化環(huán)境下數(shù)據(jù)訪問的安全控制，物理組網(wǎng)如下圖所示：圖表SEQ圖表\*ARABIC16云安全訪問控制區(qū)此區(qū)域實現(xiàn)的功能：1、DDOS流量清洗：對進入云數(shù)據(jù)中心的數(shù)據(jù)流量進行實時監(jiān)控，及時發(fā)現(xiàn)包括DOS攻擊在內的異常流量。在不影響正常業(yè)務的前提下，清洗掉異常流量。有效滿足用戶對云數(shù)據(jù)中心運作連續(xù)性的要求。同時通過時間通告、分析報表等服務內容提升用戶網(wǎng)絡流量的可見性和安全狀況的清晰性。2、訪問控制：利用防火墻實現(xiàn)云數(shù)據(jù)中心的整體安全防護；同時為每個申請安全服務的租戶提供獨立的vFW服務，實現(xiàn)租戶業(yè)務的隔離需求。3、入侵防御：通過SecBladeIPS插卡，可為數(shù)據(jù)中心內部提供了更堅固的安全保護機制。通過IPS的深度檢測功能可以有效保護內部服務器避免受到病毒、蠕蟲、程序漏洞等來自應用層的安全威脅。設備選型如下，設備型號設備描述H3CSecPathM9006H3CSecPathM9006-NSQZ1M9006-M9006多業(yè)務安全網(wǎng)關主機，雙引擎，雙電源，4塊交換網(wǎng)板，1塊SecBladeIII防火墻業(yè)務板，8端口萬兆光口D3000GUARD3000-TS雙電源交流主機SecBladeIPSH3CSecBlade入侵防御系統(tǒng)模塊增強版物理設備選型原則根據(jù)實際業(yè)務需求和上述配置原則，物理設備選型遵循以下要求：物理服務器的選型：常規(guī)大內存型應用，主要用于承載業(yè)務系統(tǒng)的云主機服務，采用2路CPU服務器，CPU核數(shù)≥6核，配置E5-2620及以上的CPU；內存≥96G；高計算型應用，主要用于數(shù)據(jù)庫服務等，采用4路CPU服務器，CPU核數(shù)≥8核，配置E5-4620及以上的CPU；內存≥64G；云平臺初期選用的服務器配置如下表:類型配置數(shù)量使用區(qū)域服務器1CPU：2路6核，Mem：96G，2*300GBSAS，6*900GBSAS，2GB高速緩存，2個10GE端口，8個GE端口，雙交流電源80業(yè)務應用區(qū)、系統(tǒng)管理區(qū)服務器2CPU：4路8核，Mem:64G，2*300GBSAS，512MB高速緩存，4GE網(wǎng)卡，2*10GE網(wǎng)卡，2*HBA卡，雙交流電源20云數(shù)據(jù)庫區(qū)圖表SEQ圖表\*ARABIC17云平臺初期選用服務器配置表數(shù)據(jù)庫區(qū)FC存儲選型：存儲設備支持：FC光纖通道存儲設備支持數(shù)據(jù)分層存儲，可以在SSD、15K、10K、7.2K硬盤之間動態(tài)遷移數(shù)據(jù)；單臺陣列要求配置≥2個SAN存儲節(jié)點或控制器；實際配置前端口≥4個；后端口速率≥6GbSAS接口；配置10krpm900SAS硬盤，容量≥60TB備份IP存儲選型：配置≥90T總容量；存儲陣列支持無限個Lun，每卷支持無限個快照；本次配置≥4個控制器，所配磁盤陣列可在線擴展至≥32個控制器，不會導致業(yè)務中斷；支持跨存儲設備的RAID0/1/5/6/10；分布式存儲選型：支持2-5個數(shù)據(jù)副本，存儲最大容量可擴展至1PB以上；支持最大256個節(jié)點，支持存儲節(jié)點容錯，任意一個存儲節(jié)點發(fā)生故障，都不會導致數(shù)據(jù)丟失；擴容新增存儲節(jié)點時，原有數(shù)據(jù)自動重新分布，按負載均衡原則分布到新增存儲空間中。配置≥400T容量網(wǎng)絡設備選型：核心交換機：交換容量≥17.5Tbps，包轉發(fā)率≥5000Mpps；采用主控引擎、交換引擎、接口單元硬件槽位分離的全分布式架構；支持1:N、N:1、縱向虛擬化；支持云中心大二層互聯(lián)技術。服務器千兆接入交換機，交換容量≥300Gbps，轉發(fā)性能≥160Mpps。服務器萬兆接入交換機，交換容量≥1200Gbps，轉發(fā)性能≥700Mpps；支持802.1Qbg標準協(xié)議；支持全萬兆線速轉發(fā)，40GE上連。負載均衡，支持全面的四至七層負載均衡和鏈路負載均衡功能，支持IPv6基礎特性及IPv6的負載均衡。防火墻，采用核心交換機相同的架構，支持N:1安全集群來統(tǒng)一配置管理；支持虛擬防火墻功能，支持IPv6基礎特性。入侵防御，通過國際權威安全組織（通用漏洞披露組織）兼容性認證，支持深入七層的分析檢測技術，并能主動防御。云節(jié)點設備，支持MPLSVPN、OSPF、IPsec、NAT，遵循省級政務云和省電子政務外網(wǎng)技術標準，具有網(wǎng)絡、計算、存儲、云主機的功能，納入省級政務云平臺進行統(tǒng)一監(jiān)控與管理。資源抽象與控制層計算資源池構建服務器是云計算平臺的核心，其承擔著云計算平臺的“計算”功能。對于云計算平臺上的服務器，通常都是將相同或者相似類型的服務器組合在一起，作為資源分配的母體，即所謂的服務器資源池。在這個服務器資源池上，再通過安裝虛擬化軟件，使得其計算資源能以一種云主機的方式被不同的應用和不同用戶使用。在x86系列的服務器上，其主要是以H3Cloud云主機的形式存在。后續(xù)的方案描述中，都以云主機進行描述，如下為H3C虛擬化軟件的構成。CVK：CloudVirtualizationKernel，虛擬化內核平臺運行在基礎設施層和上層操作系統(tǒng)之間的“元”操作系統(tǒng)，用于協(xié)調上層操作系統(tǒng)對底層硬件資源的訪問，減輕軟件對硬件設備以及驅動的依賴性，同時對虛擬化運行環(huán)境中的硬件兼容性、高可靠性、高可用性、可擴展性、性能優(yōu)化等問題進行加固處理。CVM：CloudVirtualizationManager，虛擬化管理系統(tǒng)主要實現(xiàn)對數(shù)據(jù)中心內的計算、網(wǎng)絡和存儲等硬件資源的軟件虛擬化，形成虛擬資源池，對上層應用提供自動化服務。其業(yè)務范圍包括：虛擬計算、虛擬網(wǎng)絡、虛擬存儲、高可靠性（HA）、動態(tài)資源調度（DRS）、云主機容災與備份、云主機模板管理、集群文件系統(tǒng)、虛擬交換機策略等。采用H3C的CAS虛擬化平臺對多臺服務器虛擬化后，連接到共享存儲，構建成計算資源池，通過網(wǎng)絡按需為用戶提供計算資源服務。同一個資源池內的云主機可在資源池內的物理服務器上動態(tài)漂移，實現(xiàn)資源的動態(tài)調配。CAS產(chǎn)品邏輯架構圖如下所示：圖表SEQ圖表\*ARABIC18CAS產(chǎn)品邏輯架構計算資源池的構建可以采用以下四個步驟完成：計算資源池分類設計、主機池設計、集群設計、云主機設計四個部分完成。計算資源池分類設計在搭建服務器資源池之前，首先應該確定資源池的數(shù)量和種類，并對服務器進行歸類。歸類的標準通常是根據(jù)服務器的CPU類型、型號、配置、物理位置和用途來決定。對云計算平臺而言，屬于同一個資源池的服務器，通常就會將其視為一組可互相替代的資源。所以，一般都是將相同處理器、相近型號系列并且配置與物理位置接近的服務器——比如相近型號、物理距離不遠的機架式服務器。在做資源池規(guī)劃的時候，也需要考慮其規(guī)模和功用。如果單個資源池的規(guī)模越大，可以給云計算平臺提供更大的靈活性和容錯性：更多的應用可以部署在上面，并且單個物理服務器的宕機對整個資源池的影響會更小些。但是同時，太大的規(guī)模也會給出口網(wǎng)絡吞吐帶來更大的壓力，各個不同應用之間的干擾也會更大。初期的資源池規(guī)劃應該涵蓋所有可能被納管到云計算平臺的所有服務器資源，包括那些為搭建云計算平臺新購置的服務器、政府內部那些目前閑置著的服務器以及那些現(xiàn)有的并正在運行著業(yè)務應用的服務器。在云計算平臺搭建的初期，那些目前正在為業(yè)務系統(tǒng)服務的服務器并不會直接被納入云計算平臺的管轄。但是隨著云計算平臺的上線和業(yè)務系統(tǒng)的逐漸遷移，這些服務器也將逐漸地被并入云計算平臺的資源池中。針對xx省政務專有云的需要，我們按照用途將云計算資源池劃分為云主機&云存儲區(qū)資源池、管理和服務區(qū)資源池，以便云計算平臺項目實施過程以及平臺上線以后運維過程中使用。在云計算平臺搭建完畢以后，服務器資源池可以如下圖所示：圖表SEQ圖表\*ARABIC19xx省政務專有云計算資源池H3CCVM虛擬化管理平臺體系將云計算資源池的物理服務器資源以樹形結構進行組織管理，云資源中的被管理對象之間的關系可以用下圖描述：圖表SEQ圖表\*ARABIC20云資源對象關系主機池設計完成在云計算軟件體系架構中，主機池是一系列主機和集群的集合體，主機可納入群集中，也可單獨存在。沒有加入集群的主機全部在主機池中進行管理。集群設計集群目的是使用戶可以像管理單個實體一樣輕松地管理多個主機和云主機，從而降低管理的復雜度，同時，通過定時對集群內的主機和云主機狀態(tài)進行監(jiān)測，如果一臺服務器主機出現(xiàn)故障，運行于這臺主機上的所有云主機都可以在集群中的其它主機上重新啟動，保證了數(shù)據(jù)中心業(yè)務的連續(xù)性。云主機設計每臺云主機都是一個完整的系統(tǒng)，它具有CPU、內存、網(wǎng)絡設備、存儲設備和BIOS，因此操作系統(tǒng)和應用程序在云主機中的運行方式與它們在物理服務器上的運行方式?jīng)]有任何區(qū)別。與物理服務器相比，云主機具有如下優(yōu)勢：在標準的x86物理服務器上運行。可訪問物理服務器的所有資源（如CPU、內存、磁盤、網(wǎng)絡設備和外圍設備），任何應用程序都可以在云主機中運行。默認情況，云主機之間完全隔離，從而實現(xiàn)安全的數(shù)據(jù)處理、網(wǎng)絡連接和數(shù)據(jù)存儲?？膳c其它云主機共存于同一臺物理服務器，從而達到充分利用硬件資源的目的。云主機鏡像文件與應用程序都可以封裝于文件之中，通過簡單的文件復制便可實現(xiàn)云主機的部署、備份以及還原。具有可移動的靈巧特點，可以便捷地將整個云主機系統(tǒng)（包括虛擬硬件、操作系統(tǒng)和配置好的應用程序）在不同的物理服務器之間進行遷移，甚至還可以在云主機正在運行的情況下進行遷移?？蓪⒎植际劫Y源管理與高可用性結合到一起，從而為應用程序提供比靜態(tài)物理基礎架構更高的服務優(yōu)先級別。可作為即插即用的虛擬工具（包含整套虛擬硬件、操作系統(tǒng)和配置好的應用程序）進行構建和分發(fā)，從而實現(xiàn)快速部署。在計算資源池中，一般物理服務器與云主機的整合比平均不超過1:8、單臺物理服務器上所有云主機vCPU之和不超過物理機總內核的1.5倍、單臺物理服務器上所有云主機內存之和不超過物理內存的120%。在構建完計算資源池后，軟件本身還需要保證整個計算資源池及應用的易用性和可靠性，H3CCAS虛擬化軟件通過以下技術實現(xiàn)可用性和可靠性的要求：云主機模板設計云主機模板包括云主機的vCPU、內存等參數(shù)，主機根據(jù)主要應用系統(tǒng)負載量的不同提供不同的規(guī)格。在采用云計算來向用戶交付服務時，用戶通過云門戶自助申請的IT服務資源就是業(yè)務應用模板，因此需要提前設計好相應的IT服務模板向云門戶發(fā)布，當用戶申請該服務時，云平臺根據(jù)模板進行資源編排，快速生成云主機相關資源交付給用戶使用。高可用性設計高可用性包括兩個方面：1.云主機之間的隔離：每個云主機之間可以做到隔離保護，其中一個云主機發(fā)生故障不會影響同一個物理機上的其他云主機；2.物理機發(fā)生故障不會影響應用：故障物理機上運行的云主機可被自動遷移接管，即云主機可以在同一集群內的多臺服務器之間進行遷移，從而實現(xiàn)多臺物理服務器的之間的相互熱備，實現(xiàn)當其中一個物理服務器發(fā)生故障時，自動將其上面的云主機切換到其他的服務器，應用在物理機宕機情況下保證零停機。H3CCAS虛擬化平臺HA功能會監(jiān)控該集群下所有的主機和物理主機內運行的虛擬主機。當物理主機發(fā)生故障，出現(xiàn)宕機時