政務云解決方案培訓-SE版本

杭州華三通信技術有限公司2015.07政通云合云享未來H3C政務云解決方案政務云行業(yè)背景政務云技術要點政務云業(yè)務分析123政務云競爭分析4政務信息化發(fā)展-政務云是關鍵政府主導，政務云是第一步向服務型政府轉(zhuǎn)變智慧政務、智慧民生智慧社區(qū)等；智慧城市政務數(shù)據(jù)中心/政務云政務數(shù)據(jù)中心建設主機托管，機房租賃服務器虛擬化面向服務提供政務應用上收IT資源統(tǒng)一規(guī)劃IT資源統(tǒng)一管理政務網(wǎng)加固互聯(lián)網(wǎng)統(tǒng)一出口；內(nèi)網(wǎng)安全加固；安全、運維管理政務網(wǎng)建設地市政務城域網(wǎng)委辦局接入網(wǎng)區(qū)縣政務網(wǎng)延伸大型政務園區(qū)新建基礎建設服務建設政務云第一品牌H3C政務云實踐最多H3C在政務云：省級：11個地市：15個區(qū)縣：25個HW在政務云：省級案例1個；市級案例7個；阿里在政務云：戰(zhàn)略合作：12個實踐案例：3個浪潮在政務云：戰(zhàn)略合作：30+實踐案例：4個2015政務云落地年運作中項目：90+年內(nèi)落單項目：30+江西省政務云、泰州市政務云、揚州市政務云、徐州市政務云、上海浦東區(qū)政務云、遼寧省政務云、南昌市政務云、南通市政務云、寧德市政務云、雞西市政務云、九江修水縣政務云、沈陽大東區(qū)政務云、重慶江北區(qū)政務云、重慶永川區(qū)政務云。。。Q4召開“全國政務云用戶大會”正式確立“政務云第一品牌”2015政務云品牌年最多的樣板點名稱看點適合項目省級上海市1、建設思路清晰，分步建設，上線業(yè)務多；2、技術先進，整體方案；3、東方有線代維代建；1、我司技術方案領先；2、省級項目分步建設；江蘇省1、多種行政審批業(yè)務；2、技術先進，大規(guī)模UIS（7臺），70個B390;3、云網(wǎng)融合方案，政務專網(wǎng)+虛擬化平臺；1、行政審批大廳業(yè)務，高層關注；2、自建設模式；3、體現(xiàn)技術先進性、業(yè)軟自動化；貴州省1、技術先進；2、全套大云平臺方案；3、能源監(jiān)控業(yè)務在線；1、體現(xiàn)技術方案2、就近參觀；地市溫州市1、建設模式先進，運營商投資建設；當年收回投資；2、技術先進，與省平臺一致，機房環(huán)境好；1、運營商參與項目；2、合作運維項目；九江市1、建設思路清晰落地；2、技術先進，CAS全網(wǎng)方案；3、機房參觀條件好；4、廬山旅游；1、用戶自建項目；舟山市1、業(yè)務種類多樣，復雜VPC需求；2、普陀山旅游1、技術復雜度衢州市1、技術先進，全網(wǎng)方案類省平臺1、自建+運營商BOT2、技術復雜度區(qū)縣湘潭九華區(qū)1、CAS虛擬化，開發(fā)區(qū)內(nèi)部服務；后期企業(yè)擴展；深圳福田區(qū)1、智慧知網(wǎng)社區(qū)業(yè)務上線；2、UIS部署節(jié)省空間；1、智慧社區(qū)業(yè)務；南通崇川區(qū)1、業(yè)務多，智慧社區(qū)業(yè)務；2、DRX上線；1、業(yè)務參觀；2、典型區(qū)級別云；友商落地情況友商戰(zhàn)略合作及宣傳案例采用模式HW宣傳案例：無省級案例，市級別7個江西省外網(wǎng)云（實施中）、嘉興市政務云（實施中）、宣城政務云（實施中）、寧波政務云（云服務）、廣州市政務云山西孝義政務云（虛擬化）、池州政務云（虛擬化）襄陽云計算中心（公有云服務）、克拉瑪依云計算中心（云服務）1、大集成商SI戰(zhàn)略合作；2、重點客戶戰(zhàn)略合作；3、綜合咨詢服務模式；阿里簽署戰(zhàn)略合作：12海南、浙江、貴州、廣西、河南、河北、寧夏、新疆、甘肅、廣東、吉林、天津；宣傳案例：3個云上貴州、海淀區(qū)政務云、浙江省政務云；失敗案例：麗水政務云、杭州政務云；1、結合互聯(lián)網(wǎng)+，產(chǎn)業(yè)發(fā)展，高層合作；2、云計算、大數(shù)據(jù)結合行業(yè)云落地，公安云、氣象云、海關大數(shù)據(jù)；浪潮簽署戰(zhàn)略合作/中標：30+昆明、青島、常德、許昌市、焦作、重慶市、濟寧市、綿陽市、阜陽市、呼和浩特、哈爾濱市、呼倫貝爾、長治、河北?。恍麄靼咐?個濟南市政務云、常德政務云、海淀區(qū)政務云（運維）、海南省政務云1、BOO或BOT，政府買服務；2、產(chǎn)業(yè)合作，戰(zhàn)略合作；3、具備大數(shù)據(jù)、頂層業(yè)務；政務云行業(yè)背景政務云技術要點政務云業(yè)務分析123政務云競爭分析4電子政務外網(wǎng)業(yè)務模型電子政務外網(wǎng)網(wǎng)絡模型政務云服務對象與業(yè)務分類政務云數(shù)據(jù)中心政務云伴隨著電子政務外網(wǎng)的建設

電子政務外網(wǎng)是連接政府所有單位的縱向、橫向網(wǎng)絡；各個委辦廳局通過電子政務網(wǎng)絡接入，并向公眾服務；

未來建設以政務應用集中，政務數(shù)據(jù)共享為主；1、電子政務外網(wǎng)是基礎網(wǎng)絡道路建設；2、政務云是依托電子政務網(wǎng)的業(yè)務建設模式；政務云-電子政務外網(wǎng)如東行政中心鎮(zhèn)江政務云江陰政務云九江行政中心1、行政中心的作用用：

地市的大型行政中心，是將本地所有的政府機關統(tǒng)一集中辦公，至少是政府4大班子集中辦公區(qū)。行政中心在政務外網(wǎng)中是集中辦公、延伸的區(qū)域；2、行政中心的地位位：

行政中心是當?shù)亍罢諗?shù)據(jù)中心”的物理所在地；行政中心的建設中除了大樓的內(nèi)部辦公網(wǎng)建設外，也包含有為多部門服務的“政務云中心”；政務云-行政中心新建行政中心是政務云的天然承載平臺

除了傳統(tǒng)意義依托于電子政務外網(wǎng)的政務云之外。相當政務云建設是由新業(yè)務上線驅(qū)動，進行政務云試點，例如：黑龍江行政審批全省上線；佳木斯政務云-300萬山西省行政審批上線；太原市行政審批-250萬湖南省綜合治稅務上線；岳陽市政務云一期-160萬；江西省公共資源交易平臺；九江政務云一期-120萬；

政務云-新業(yè)務上線行政審批綜合治稅新業(yè)務最容易在政務云平臺上部署第一類：小型類型：機房環(huán)境差，維護能力弱，整合意愿強烈；典型部門：計生委、衛(wèi)生局、黨校等；方式：優(yōu)先整合基于電子政務外網(wǎng)的業(yè)務，快速上線整合；類型：機房環(huán)境較好、維護能力較強，整合意愿低，難度大；典型部門：工商、國土、審計、環(huán)保、城管等；特點：多數(shù)是非涉密業(yè)務，承載在電子政務外網(wǎng)上；方式：網(wǎng)絡整合：在城域網(wǎng)上開縱向VPN方式，邏輯隔離；業(yè)務整合：以主機托管、部分非涉密，以虛擬機承載；類型：傳統(tǒng)強勢部門，信息化建設完備，業(yè)務安全等級高；典型部門：公安、財稅、社保、教育等；特點：業(yè)務有較強的安全性要求；多由國家、省統(tǒng)一規(guī)劃；方式：不建議服務器物理整合；數(shù)據(jù)整合、共享為主要整合目標；政務云的三類委辦局第二類：中型第三類：大型共享業(yè)務Internet業(yè)務業(yè)務描述：G2G、G2B政府統(tǒng)一規(guī)劃橫向互訪業(yè)務；行政審批、辦公系統(tǒng)、綜合治稅形式：依托于電子政務外網(wǎng)；各個委辦局統(tǒng)一規(guī)劃；整合方式：1、新上線業(yè)務先整合；2、由信息辦管理業(yè)務先整合；3、中小委辦局再整合；業(yè)務描述：G2B對外發(fā)布，政府門戶網(wǎng)站，對公眾服務；形式：依托于電子政務外網(wǎng)；對Internet開放服務；整合方式：1、統(tǒng)一現(xiàn)有門戶網(wǎng)站群；2、Web服務器虛擬化；政務云的三類業(yè)務專享業(yè)務區(qū)業(yè)務描述：政府委辦局的縱向業(yè)務；從國家部委、省、市、區(qū)縣；國土、衛(wèi)生、工商等。。形式：依托于本部門的業(yè)務專網(wǎng)；依托于統(tǒng)一的電子政務外網(wǎng)；整合方式：1、先整合在電子政務外網(wǎng)業(yè)務；2、針對存在于業(yè)務專網(wǎng)的業(yè)務，需要先做網(wǎng)絡整合，再做專有縱向業(yè)務的整合；3、專網(wǎng)整合過渡方案，采用二層專網(wǎng)與云平臺互聯(lián)的方案；選擇有利于我司的建設模式建設模式說明推薦級別用戶主導客戶主導決策：對上線業(yè)務，技術方案、設備選型、運維商、服務模式等選擇權；****運營商主導運營商代維代建：構建云平臺，對政府提供服務；對設備選型、技術方案服務產(chǎn)品等決策權；***大SI主導大SI投資建設，代維代建；從智慧城市入手，頂層設計、投資建設運維、并成立合資公司；（銀江、易華錄、南威軟件、科大訊飛。。。）**廠商主導廠商投資建設，代維代建；頂層設計、集成、服務；智慧城市規(guī)劃等；云產(chǎn)品與我司重合（浪潮、曙光、阿里）*建設模式多樣選擇有利于我司的模式；規(guī)模放大小規(guī)模試點局部放大全面整合以業(yè)務入手先示范，后擴大政務云可行的步驟政務云可行建設步驟1、由新到舊：借助新業(yè)務上線，采用云方式部署，積累經(jīng)驗；然后原有委辦局業(yè)務，逐步平滑遷移，同時需要充分業(yè)務保障；2、由近到遠：先整合信息辦自有業(yè)務，驗證平臺，積累經(jīng)驗；然后委辦局業(yè)務上線；3、由易到難：由影響小的邊緣業(yè)務開始，Web、APP、門戶等；后停機時機嚴格，影響較大的專享業(yè)務；九江政務云-新業(yè)務上線推動政務云建設一、九江公共資源交易平臺：系統(tǒng)包括政府采購，房建市政，水利工程，交通工程等8大業(yè)務的項目招投標，評標，審核等流程，為市級和16個區(qū)縣級的項目提供服務支撐。

系統(tǒng)包括網(wǎng)站、會員服務器，審核管理服務器，評標服務器，數(shù)據(jù)交換服務器，測試服務器，數(shù)據(jù)庫服務器，文件服務器等7個模塊。二、九江電子監(jiān)察平臺：系統(tǒng)由市紀委運行使用，負責監(jiān)察政府網(wǎng)上辦公、辦事系統(tǒng)的審查、審核等事宜。上線業(yè)務九江市電子監(jiān)察和行政審批廬山區(qū)電子監(jiān)察和行政審批陽光權利清單公共資源交易平臺政府網(wǎng)站九江門戶網(wǎng)政務考核系統(tǒng)會議通知系統(tǒng)政務信息公開平臺全市工程建筑領域信息公共和誠信體系公開系統(tǒng)短信平臺九江市政務云-分步建設等米下鍋、小步快跑：由九江電子監(jiān)察、公共資源交易平臺業(yè)務上線；采用云計算方式建設，逐步上線；由2個業(yè)務到14個業(yè)務，三期建設450萬投資；九江市政務云-解決客戶運維問題原來10個業(yè)務，共要使用9個機柜現(xiàn)在業(yè)務增長到14個，所需要的機柜數(shù)量減少為4個政務云行業(yè)背景政務云技術要點政務云業(yè)務分析123政務云競爭分析4架構服務安全運維云架構的選擇云架構的作用OpenStack提供了一個操作平臺或工具包，采用Python語言開發(fā)，整合了針對計算、存儲、網(wǎng)絡基礎資源的統(tǒng)一管理，封裝資源，提供界面、接口，使用云如同操作Windows一樣，實現(xiàn)面向大規(guī)模云業(yè)務的編排。云架構：主機、網(wǎng)絡、存儲、安全、計費等協(xié)同組織，提供服務主流云架構開源：發(fā)展快，架構先進，擴展性好；

安裝調(diào)試復雜；商用化缺乏；閉源：廠商制約，擴展性不足；

對廠商依賴度大；OpenStack已超越CloudStackOpenStack成為事實的云計算平臺管理標準23OpenStack對四大主流虛擬化平臺的支持政務云行業(yè)背景政務云技術要點政務云業(yè)務分析123政務云競爭分析4架構服務安全運維數(shù)據(jù)庫區(qū)業(yè)務應用區(qū)存儲區(qū)出口互聯(lián)區(qū)云平臺管理區(qū)安全緩沖區(qū)服務器網(wǎng)絡存儲安全物理

資源層虛擬計算

資源池虛擬安全

資源池虛擬交換網(wǎng)絡

資源池虛擬存儲

資源池資源

抽象

控制層虛擬化

內(nèi)核共享文件

系統(tǒng)主機集群CPU/內(nèi)存/IO虛擬化備份與快照動態(tài)資源調(diào)度虛擬化管理生命周期管理鏡像管理API接口配置管理云服務層自助服務門戶多租戶管理業(yè)務流審批監(jiān)控與報表服務目錄云主機/存儲服務云網(wǎng)絡安全服務云負載均衡服務數(shù)據(jù)庫服務開發(fā)測試服務中間件服務IaaS服務PaaS服務SaaS服務運營管理服務政府辦公能耗監(jiān)測大數(shù)據(jù)應用城市綜合管理網(wǎng)站群政務云需要交付什么服務？

工業(yè)和信息化部信息化推進司關于印發(fā)《基于云計算的電子政務公共平臺頂層設計指南》的函工信信函﹝2013﹞2號初衷：XX市經(jīng)信委，于2013年初建設XX市政務云試點平臺；將政府管理和服務職能通過精簡、優(yōu)化、整合、重建后再互聯(lián)網(wǎng)實現(xiàn)，加強對政府業(yè)務運作的有效監(jiān)督，提高工作效率，并為社會公眾提供高效，優(yōu)質(zhì)的一體化管理和服務?，F(xiàn)狀：2013年建成，僅少量信息辦自身業(yè)務上線運行，作為備份系統(tǒng)使用；

委辦局拒絕將業(yè)務遷移到市級別的云平臺上，二期項目遙遙無期；剖析：1、缺乏高層領導支持，依靠經(jīng)信委自身力量難以統(tǒng)籌建設；2、云服務太簡單，僅僅提供虛擬主機服，難以全面滿足委辦局需要；XX市的云交付問題衢州市政務云一云主機

計費項規(guī)格說明，CPU主頻不低于INTELXeonE5-2620v2計價單位單價1云主機操作系統(tǒng)一核Xeon2GB元/月8924GB元/月1773兩核Xeon4GB元/月29748GB元/月4465四核Xeon8GB元/月592612GB元/月747716GB元/月8978八核Xeon16GB元/月1187924GB元/月15291032GB元/月17931云主機數(shù)據(jù)盤以100GB為單價100GB元/月602云數(shù)據(jù)庫數(shù)據(jù)盤以100GB為單價100GB元/月90二云存儲

計價單位單價1存儲空間每TeraByte(TB)字節(jié)1T元/月三云數(shù)據(jù)庫

最大連接數(shù)計價單位單價1MySQL版本5.1或5.560元/月53150元/月127300元/月249600元/月4871500元/月12292MSSQLServer版本2008標準版100元/月369200元/月727400元/月1445600元/月2167四云節(jié)點云節(jié)點資源1臺元/月3000五負載均衡負載均衡功能1項元/月3000六管理服務云資源綜合管理平臺1套元/月5000120個虛擬機，服務于50余個業(yè)務，包括：網(wǎng)上服務大廳；行政審批；權利陽光；門戶網(wǎng)站群；公共資源交易；。。。。名稱：高性能云主機規(guī)格：4vCPU8G內(nèi)存名稱：大內(nèi)存云主機規(guī)格：4vCPU16G內(nèi)存云主機/存儲云防火墻云負載均衡云網(wǎng)絡虛擬數(shù)據(jù)中心￥1099/月￥1599/月016CPU0256G01024G云數(shù)據(jù)庫云應用吞吐量：100新建數(shù)：100并發(fā)數(shù)：100安全策略條數(shù)：100吞吐量：200新建數(shù)：200并發(fā)數(shù)：200安全策略條數(shù)：200吞吐量：500新建數(shù)：500并發(fā)數(shù)：500安全策略條數(shù)：1000大型適合1000人以下場景中型適合500人以下場景小型適合100人以下場景50萬/月20萬/月5萬/月￥666/月￥1000/月￥2000/月￥5000/月云網(wǎng)盤套餐1套餐2套餐3vSwitchvRouter公網(wǎng)IP連接數(shù)：100連接數(shù)：200連接數(shù)：500￥500/月￥1000/月￥3000/月華三云網(wǎng)盤內(nèi)網(wǎng)Vlan內(nèi)存CPU硬盤解決之道-全IT資源交付1、委辦局原來怎么用，在云中也怎么用：計算、網(wǎng)絡、存儲、防火墻、負載分擔、數(shù)據(jù)庫、中間件，全IT資源虛擬化；2、方便申請使用、透明公開：申請資源立刻就能用，不用等；使用審批服務透明、公開；云交付能力-應用模板將用戶業(yè)務系統(tǒng)打包成一個模板發(fā)布到服務目錄中，租戶可以通過應用模板快速構建自己所需的業(yè)務系統(tǒng)；

例如：涉及到各個委辦局的權利清單系統(tǒng)，可以由統(tǒng)一制定，由委辦局自助申請業(yè)務；行政權力網(wǎng)上辦事系統(tǒng)-復制性部署省級平臺建成后，通過平臺移植、框架復制，逐步建成省、市、縣（市、區(qū)）三級協(xié)調(diào)一致的統(tǒng)一電子政務平臺。省、市、縣（市、區(qū)）三級均需建設行政權力項目庫，省可根據(jù)需要調(diào)用市、縣（市、區(qū)）數(shù)據(jù)。政務云行業(yè)背景政務云技術要點政務云業(yè)務分析123政務云競爭分析4架構服務安全運維政務云安全需求繼承性：電子政務云業(yè)務，仍然是政務業(yè)務系統(tǒng)，不能因為部署虛擬化技術而改變原有的安全區(qū)域劃分和互訪規(guī)則；合規(guī)性：局委辦租戶利用云平臺架構，需要按照其重要性進行等級保護，云平臺提供者必須要考慮運營方式下租戶如何合規(guī)；政務云安全涉及標準2.國家公安部《信息系統(tǒng)安全等級保護基本要求云計算安全技術要求》《信息系統(tǒng)安全等級保護測評要求云計算要求》3.國家信息中心《政務云安全技術要求與實施指南》《政務云平臺安全等級保護測評方法與規(guī)范》對國標《信息系統(tǒng)安全等級保護基本要求云計算要求》的先行先試，指導各地政務云的建設。參標為主，定標為輔華三深度參與國家公安部與國家信息中心云安全標準的制定！1.中央網(wǎng)信辦《關于加強黨政部門云計算服務網(wǎng)絡安全管理的意見》基本要求：安全管理責任不變；數(shù)據(jù)歸屬關系不變；安全管理標準不變；政務云建設框架Internet遠程安全接入?yún)^(qū)互聯(lián)網(wǎng)安全防護區(qū)互聯(lián)網(wǎng)業(yè)務區(qū)二級等保區(qū)三級等保區(qū)公共業(yè)務區(qū)部門業(yè)務區(qū)二級等保區(qū)三級等保區(qū)管理區(qū)域網(wǎng)管平臺安管平臺云管理平臺CA/RA跨網(wǎng)數(shù)據(jù)交換區(qū)安全隔離與防護典型的共享業(yè)務部署需求1、政務公開服務平臺部署在互聯(lián)網(wǎng)訪問安全域，供社會公眾和行政相對人通過互聯(lián)網(wǎng)進行訪問。2、行政權力實施主體以及監(jiān)督監(jiān)察部門辦公網(wǎng)絡部署在部門接入安全域，通過全訪問控制手段。3、核心安全域部署行政權力網(wǎng)上運行辦事平臺、電子監(jiān)察綜合平臺和行政權力法制監(jiān)督平臺；按照功能用途劃分為應用區(qū)、數(shù)據(jù)區(qū)和管理區(qū)，運行、監(jiān)察和法制監(jiān)督平臺部署在應用區(qū)，行政權力項目庫部署在數(shù)據(jù)區(qū)，市、縣（市、區(qū)）依照上述策略進行安全部署。云平臺管理系統(tǒng)安全管理網(wǎng)絡系統(tǒng)安全云平臺接口安全云平臺管理區(qū)安全服務鏡像安全管理數(shù)據(jù)安全管理主機系統(tǒng)安全管理存儲系統(tǒng)安全管理終端安全互聯(lián)網(wǎng)業(yè)務區(qū)安全邊界共享存儲系統(tǒng)安全(基于LUN進行隔離）存儲系統(tǒng)安全物理主機及網(wǎng)絡設備層安全資源抽象及控制層安全租戶之間資源安全部門業(yè)務區(qū)公共業(yè)務區(qū)租戶內(nèi)部業(yè)務安全二級等保業(yè)務安全三級級等保業(yè)務安全虛擬主機安全業(yè)務數(shù)據(jù)安全業(yè)務區(qū)域安全租戶內(nèi)部業(yè)務安全二級等保業(yè)務安全虛擬主機安全業(yè)務數(shù)據(jù)安全業(yè)務區(qū)域安全租戶內(nèi)部業(yè)務安全數(shù)據(jù)庫、中間件、開發(fā)和測試平臺安全數(shù)據(jù)庫、中間件、開發(fā)和測試平臺安全應用安全應用安全應用安全安全即服務安全即服務安全即服務安全邊界邏輯隔離三級級等保業(yè)務安全業(yè)務數(shù)據(jù)安全虛擬主機安全業(yè)務區(qū)域安全運維管理及操作安全運維管理及操作安全運維管理及操作安全運維管理及操作安全安全邊界物理隔離數(shù)據(jù)交換平臺進行數(shù)據(jù)交換租戶之間資源安全資源抽象及控制層安全物理主機（物理設備隔離）及網(wǎng)絡設備層安全租戶之間資源安全資源抽象及控制層安全物理主機（物理設備隔離）及網(wǎng)絡設備層安全二級等保業(yè)務安全三級級等保業(yè)務安全政務云安全技術要求政務云安全-分區(qū)分域部門業(yè)務區(qū)InternetCoreDBA2050DBA2050DBAuditFWFWNGFWRouter（MCE）電子政務外網(wǎng)城域網(wǎng)二級等保區(qū)三級等保區(qū)公共業(yè)務區(qū)安全資源區(qū)業(yè)務ToR存儲ToR管理SW互聯(lián)網(wǎng)業(yè)務區(qū)二級等保區(qū)三級等保區(qū)CoreFWFWLBRouter安全資源區(qū)業(yè)務ToRWAFFWFWLBFWFWNGFW數(shù)據(jù)庫ToR數(shù)據(jù)庫區(qū)DBA2050DBA2050DBAudit數(shù)據(jù)庫ToR數(shù)據(jù)庫區(qū)跨網(wǎng)數(shù)據(jù)交換存儲區(qū)防病毒控制中心網(wǎng)頁防篡改控制中心堡壘機云管理中心安全管理中心管理區(qū)管理FW管理ToR管理ToR政務數(shù)據(jù)交換平臺主機加固主機審計主機加固主機審計DDoS安全郵箱VxLAN+VPN隔離業(yè)務系統(tǒng)VxLAN隔離業(yè)務系統(tǒng)網(wǎng)站安全監(jiān)控遠程安全接入?yún)^(qū)SSL/IPSecFW部門&公共業(yè)務區(qū)安全城域網(wǎng)計算資源數(shù)據(jù)庫計算資源數(shù)據(jù)庫存儲資源存儲資源部門業(yè)務三級區(qū)域部門業(yè)務二級區(qū)域VMVMVMVMMCENGFWLBNGFWLBDBAudit部委A部委B數(shù)據(jù)安全分區(qū)隔離加密存儲安全審計主機加固主機審計主機安全安全審計網(wǎng)頁防篡改防病毒應用安全VxLAN/VLAN隔離網(wǎng)絡安全VRF隔離MPLSVPN隔離主機安全計算資源數(shù)據(jù)庫存儲資源公共業(yè)務區(qū)VMVM網(wǎng)絡安全應用安全VPNAVPNBVRFAVRFBVxLANB1VxLANA1VxLANB2VxLANA2NGFWLB公共業(yè)務VPNCVRFCVxLANC遠程安全接入?yún)^(qū)SSL/IPSecFWInternet安全接入數(shù)據(jù)安全政務云為什么需要VxlanOverlay邏輯網(wǎng)絡1（For租戶X）1、靈活實現(xiàn)三類業(yè)務分區(qū)、分域；2、實現(xiàn)委辦局共享業(yè)務平滑遷移

解決IP地址沖突的問題；3、實現(xiàn)多個區(qū)域之間可靈活橫向擴展；4、安全訪問路徑合理規(guī)劃訪問；Underlay物理網(wǎng)絡Fabric源目的FW池LB池源目的Overlay邏輯網(wǎng)絡2（For租戶X）源目的ControllerControllProgram(Routing、ACL…)CoreCore政務外網(wǎng)LSWLSWDDoS流量清洗Internet云安全訪問控制區(qū)10G1GFW租戶租戶租戶租戶租戶云主機&云存儲解決之道-南北向安全隔離需求：委辦局業(yè)務縱向隔離保證南北向數(shù)據(jù)安全隔離；實現(xiàn)：安全按需求分配資源；CPU、內(nèi)存、會話數(shù)嚴格物理隔離，互不影響，部分委辦局業(yè)務突發(fā)，不會影響其他委辦局安全性能；安全資源池：最完整的虛擬化實現(xiàn)ASPFVPNOSPFDDOSZONENATALG…黑名單ASPFVPNOSPFDDOSZONENATALG…黑名單VFW1VFW2虛擬實例獨立的狀態(tài)檢測進程虛擬實例有獨立的NAT資源池虛擬實例獨立的OSPF路由表虛擬實例具備獨立的VPN配置虛擬實例獨立的黑名單動態(tài)增加基于虛擬實例的吞吐量限制基于實例的最大并發(fā)連接數(shù)限制基于實例的每秒新建連接數(shù)限制基于虛擬實例的安全策略數(shù)限制CPU/Memory權重獨立配置配置文件獨立保存?zhèn)浞莳毩⒌陌踩罩径鄬嵗芾韱T同時操作不受影響每個虛擬實例分級管理權限配置虛擬實例資源保證：虛擬實例獨立管理：虛擬實例功能完整：政務云的安全需求公共資源交易平臺，評標、開標、投標系統(tǒng)，需要隔離VMComwarevFW/vIPSI/OVM1VM2vFWVM4VM5VNI:23VNI:23VNI:23VNI:33VNI:33VM1VM2DistributedVswitch(CVK&VmwareVswitch)vFWVM4VM5VNI:33VNI:33VNI:33VNI:43VNI:43物理服務器1物理服務器2VTEPIP1VTEPIP2VTEP(VFW)IP3解決之道-東西向安全隔離項目背景需求與痛點2014年6月，電信中標，云平臺采用天翼云，虛擬化VMware，網(wǎng)絡H3C；中國電信天翼云平臺全國樣板點；2014年6~9月，實施受阻；2014年11月，替換為H3CLOUD云平臺，順利通過驗收。核心問題：多租戶存在IP地址重疊（市衛(wèi)生局）；不改變租戶現(xiàn)有業(yè)務網(wǎng)絡規(guī)劃，無縫將業(yè)務遷移到云中；舟山政務云問題舟山政務云建設原采用電信天翼云建設，有25個不滿足需求項；改用H3Cloud云，實現(xiàn)了委辦局需要什么樣服務，政務云中心就提供什么服務；舟山市政務云業(yè)務上線情況主機171臺、數(shù)據(jù)盤104個、防火墻44個；FWLBVMVMFWLBVMVMVRF1VRF2通過云平臺與網(wǎng)絡的融合，使用VRF、vFW、VLB實現(xiàn)vPC租戶的支持，允許多租戶網(wǎng)絡地址重疊；通過VxLANOverlay方案，實現(xiàn)跨三層網(wǎng)絡的二層互通，保證租戶業(yè)務遷移云中不改變網(wǎng)絡規(guī)劃；StorageStorage委辦局如何隔離舟山政務云衛(wèi)生局林業(yè)局vNETvNETvNET衛(wèi)生局VPN/L2FWLBVMVMVRFnStoragevNET解決之道-虛擬數(shù)據(jù)中心云平臺合規(guī)性要求：1、安全合規(guī)：提供安全可靠的云平臺，為政府服務的政務云其安全性更高的要求；業(yè)務系統(tǒng)三級等級，需要支撐平臺通過相應的等級保護認證；2、規(guī)范運維：完善云平臺安全體系和管理制度，以便提升整體安全管理水平，規(guī)范應用系統(tǒng)開發(fā)商和運維商的行為，確保承載的系統(tǒng)和數(shù)據(jù)的安全穩(wěn)定。云平臺合規(guī)性-三級等級保護認證國家云計算安全標準草案

IaaS交付模式下由云服務方和云租戶的安全管理責任劃分云安全技術要點-云安全服務云接入云防護云審計云掃描云監(jiān)控SSLVPN/IPSecVPN/MPLSFW/IPS/WAF/網(wǎng)頁防篡改/LB運維審計/事件審計/

數(shù)據(jù)庫審計/會話審計系統(tǒng)安全/WEB安全/數(shù)據(jù)庫安全安全報告安全即服務防火墻負載均衡Web安全防護Web安全監(jiān)控數(shù)據(jù)庫審記防病毒云平臺基礎安全安全即服務云平臺合規(guī)性-三級等級保護認證溫州市政務云平臺浙江省政務云平臺政務云行業(yè)背景政務云技術要點政務云業(yè)務分析123政務云競爭分析4架構服務安全運維運維管理-剛開始剛開始組織建設規(guī)范流程業(yè)務遷移定制開發(fā)增值服務容災備份……30%建設70%運營運營階段的常見問題運維壓力大：委辦局將業(yè)務遷移到云中心；需要更好的服務能力；流程再造：新的組織架構、流程規(guī)范等政務云運維管理-人員組織架構

針對政務專有云，在運維服務組織架構方面，不同與傳統(tǒng)垂直維護模式，而是按照云平臺層級的構成進行了組織架構的設計，除了傳統(tǒng)維護職能組外，增加了虛擬化層維護組和業(yè)務平臺維護組。IDC運維中心按照統(tǒng)一監(jiān)控，統(tǒng)一調(diào)度，分層運維的模式,構建運維組織申請、審批流程定制財政計費對接定制服務資源監(jiān)控定制遷移流程定制政務云重新定義政府信息化流程；需要有適應流程的定制化服務；政務云運維管理-定制化建立政務云的運維管理流程事件/故障管理流程變更管理流程資源管理流程監(jiān)控與告警管理流程備份與恢復管理流程運維報告管理流程管理定制化-以項目為單位申請資源監(jiān)控健康檢查H3C提供的云運維服務云平臺運維涉及內(nèi)容（部分）業(yè)務系統(tǒng)規(guī)劃設計云整體架構設計系統(tǒng)云化架構設計軟件設計與開發(fā)技術咨詢業(yè)務連續(xù)性設計安全咨詢設計業(yè)務云化遷移業(yè)務云化評估業(yè)務性能與容量分析應用層遷移、改造、優(yōu)化數(shù)據(jù)層遷移、改造、優(yōu)化系統(tǒng)升級保障行業(yè)安全合規(guī)安全等保技術咨詢云安全培訓、運維安全掃描服務安全風險報告云運維運維組織架構、流程與制度運維工具開發(fā)基礎運維支撐健康檢查服務臺受理需求、問題，故障，投訴對事件進行跟蹤，確保事件的及時響應和升級保障用戶滿意度云平臺運維模式用戶華三

運維咨詢技術支撐運維主體遠程運維服務駐場運維服務運維咨詢、培訓；駐場運維服務；遠程運維服務；本地支持服務（辦事處）；專家日；華三

運維咨詢技術支撐用戶運維外包遠程運維服務駐場運維服務合作伙伴

運維主體用戶運維外包駐場+遠程運維華三

運維主體華三運維服務產(chǎn)品xx電信投資5億元，按五星級數(shù)據(jù)中心標準建設的xx市云計算中心，為浙江省第二、浙南第一大云計算產(chǎn)業(yè)基地。運營商收益最大—xx市政務云云項目推進年收入項目情況公有云小微云超市30萬收費私有云農(nóng)業(yè)銀行私有云5萬合同政務云龍灣衛(wèi)生私有云15萬合同政務云甌海法院私有云12萬合同云桌面金州集團、瑞安120臺云桌面18萬合同公有云瑞安網(wǎng)上商城16萬合同私有云溫州交運集團私有云+托管60萬合同政務云甌江口審批中心13萬合同政務云交通指數(shù)平臺40萬中標智慧+云智慧旅游云項目30萬意向智慧+云龍灣中心區(qū)智慧項目60萬合同截至2014年12月，溫州分公司云計算業(yè)務現(xiàn)金收入已達到350萬/年，預計年內(nèi)將形成500萬/年的收入規(guī)模。2015年的預期收入將超過1500萬。政務云：200臺虛擬機企業(yè)云：100臺虛擬機xx市政務云業(yè)務多收益大xx市政務云面臨的新問題一次硬件故障帶來的啟示兩臺服務器紅燈告警一臺存儲紅燈告警虛擬機業(yè)務中斷運維新問題：

例如：6月15日一臺CVK主機自動重啟，造成部分客戶業(yè)務中斷，該問題通過研發(fā)定位，為已知問題，通過更新服務器固件可以解決，并且公司內(nèi)部已過事件公告，但客戶沒有運維服務，也沒有關注該問題，最終導致服務器自動重啟，客戶業(yè)務中斷的結果。這些問題可以通過運維及時解決，及時執(zhí)行相關變更，問題根本就不會出現(xiàn)

例如：某檢察院的服務器停止運行2天，客戶打電話給電信，電信才發(fā)現(xiàn)服務器已經(jīng)停止了，然后才去追查原因，客戶肯定不滿意，通過運維監(jiān)控，在服務器停止時會產(chǎn)生相應的告警郵件（通過定制開發(fā)可以使用短信通知用戶），及時發(fā)現(xiàn)有問題的虛擬機，為客戶提供主動服務，主動詢問客戶停機原因，增加客戶滿意度合作運維新模式原有運維模式：政府與電信之間幾乎是沒有運維流程的，出現(xiàn)故障直接給電信接口人電話，電信接口人解決問題（下圖中的電信工作人員，常駐云計算中心），普通問題電信接口人自行解決，解決不了的問題反饋給H3C駐場運維人員；華三與xx電信的運維合作新模式新合作運維模式：駐場人員日常檢查：服務器狀態(tài)、硬件、存儲；收集電信需求和問題信息反饋給運維團隊；專業(yè)團隊：協(xié)助客戶梳理運維管理的各種問題；政務云和公司之間構建VPN遠程運維通道：現(xiàn)場部署監(jiān)控系統(tǒng)、備份系統(tǒng)，服務器團隊定期查看監(jiān)控系統(tǒng)的信息，備份的狀態(tài)，監(jiān)控的告警信息通過郵件發(fā)送給運維團隊，運維團隊走流程處理、解決問題。政務云行業(yè)背景政務云技術要點政務云業(yè)務分析123政務云競爭分析4H3C優(yōu)勢H3CVs阿里H3CVsHWH3C政務云優(yōu)勢1、最佳實踐者，擁有絕對領先的案例，實踐經(jīng)驗最豐富！2、全系列國家標準參與制定者！3、全系列IT資源交付能力！4、全流程的咨詢服務能力！國家政務云國家信息中心國家地震臺網(wǎng)中心國家氣象中心桌面云國家檔案館云平臺省級政務云貴州省信息服務中心江蘇省政務云廣西省政務云上海市政務云安徽電信政務專區(qū)云浙江省發(fā)改委云計算河北省經(jīng)濟信息中心天津市政務云云南省經(jīng)信委政務云遼寧省行政審批云地市政務云衢州市政務云鎮(zhèn)江市政府云平臺溫州市政務云鹽城智慧城市咸陽智慧城市佳木斯行政服務中心雞西市政服務中心常熟智慧城市云南省文山州政務云河源網(wǎng)上辦事大廳拉薩市政府云平臺麗水市政務云舟山市政務云九江市政務云張掖市政務云蚌埠智慧城市新鄉(xiāng)市政務云區(qū)縣政務云青島市市南區(qū)政務云武漢市江岸區(qū)政務云天津市濱海新區(qū)管委會云平臺深圳市福田區(qū)政務云長春市興隆保稅區(qū)哈爾濱香坊智慧城區(qū)黑龍江撫遠縣政務云臺州市三門縣政務云湖南岳陽縣政務云溫州市甌海區(qū)政務云山東新泰智慧城市南通市崇川區(qū)政務云湘潭市九華工業(yè)園H3C政務云優(yōu)勢1-先行先驗國家信息中心云計算戰(zhàn)略合作國家信息中心公安部國家信息技術標準委員會工信部中國電子技術標準化研究院中國云計算測評與應用聯(lián)盟創(chuàng)始理事系統(tǒng)安全、邊界訪問控云計算環(huán)境審計跨區(qū)域或異構云的數(shù)據(jù)交換主機加固作為標準牽頭單位，承接其中3項標準編寫《虛機管理通用要求》《彈性計算應用接口》《云服務評估》《云解決方案評估》《政務云安全技術要求與實施指南》，華三承接了6項中4項H3C政務云優(yōu)勢2-參與云標準哎呀小小草更多好素材請訪問http://800名稱：高性能云主機規(guī)格：4vCPU8G內(nèi)存名稱：大內(nèi)存云主機規(guī)格：4vCPU16G內(nèi)存云主機/存儲云防火墻云負載均衡云網(wǎng)絡虛擬數(shù)據(jù)中心￥1099/月￥1599/月016CPU0256G01024G云數(shù)據(jù)庫云應用吞吐量：100新建數(shù)：100并發(fā)數(shù)：100安全策略條數(shù)：100吞吐量：200新建數(shù)：200并發(fā)數(shù)：200安全策略條數(shù)：200吞吐量：500新建數(shù)：500并發(fā)數(shù)：500安全策略條數(shù)：1000大型適合1000人以下場景中型適合500人以下場景小型適合100人以下場景50萬/月20萬/月5萬/月￥666/月￥1000/月￥2000/月￥5000/月云網(wǎng)盤套餐1套餐2套餐3vSwitchvRouter公網(wǎng)IP連接數(shù)：100連接數(shù)：200連接數(shù)：500￥500/月￥1000/月￥3000/月華三云網(wǎng)盤內(nèi)網(wǎng)Vlan內(nèi)存CPU硬盤H3C政務云優(yōu)勢3-全IT資源的交付能力哎呀小小草更多好素材請訪問http://800全流程政務云是系統(tǒng)化的工程，需要全流程的咨詢服務能力；云業(yè)務遷移H3C具備政務云建設的豐富經(jīng)驗，從前期規(guī)劃調(diào)研、中期全IT建設、后期運維管理前期規(guī)劃投資模式運維模式服務模式建設分期業(yè)界調(diào)研委辦局調(diào)研現(xiàn)有業(yè)務梳理業(yè)務評估建設階段機房基礎建設技術架構選擇云主機規(guī)劃云網(wǎng)絡規(guī)劃云存儲規(guī)劃云安全規(guī)劃云擴展規(guī)劃后期運維新建業(yè)務上線原有業(yè)務遷移遷移規(guī)劃、業(yè)務調(diào)研運維組織運維制度運維保障H3C政務云優(yōu)勢4-全流程的服務能力政務云行業(yè)背景政務云技術要點政務云業(yè)務分析123政務云競爭分析4H3C優(yōu)勢H3CVs阿里H3CVsHWH3CVs阿里云-技術架構華三云計算解決方案技術架構阿里云計算解決方案技術架構PC服務器飛天—分布式計算系統(tǒng)飛天—云引擎（CloudEngine）服務器計算虛擬化系統(tǒng)H3Cloud（CloudEngine）網(wǎng)絡安全SDN軟件定義網(wǎng)絡控制系統(tǒng)1）硬件系統(tǒng)：華三可以提供計算、存儲、網(wǎng)絡和安全產(chǎn)品2）計算虛擬化：基于開源、主流KVM技術，并進行安全加固和性能優(yōu)化。3）虛擬網(wǎng)絡：在網(wǎng)絡虛擬化、SDNNFV三方面都有完整落地技術方案。4）云操作系統(tǒng)：開源OpenStack技術，安全加固、功能擴展和接口優(yōu)化完善。5）融合：硬件系統(tǒng)、計算虛擬化、虛擬網(wǎng)絡和云操作系統(tǒng)，進行了深度融合，從而實現(xiàn)不同產(chǎn)品之間的無縫集成。1）計算虛擬化：采用基于開源Xen虛擬化技術，并進行了大量源代碼改寫。2）云操作系統(tǒng)：私有。注：因為阿里沒有自己的硬件產(chǎn)品和虛擬網(wǎng)絡產(chǎn)品，所以阿里的云架構中沒有描述，阿里的網(wǎng)絡產(chǎn)品90%采用的是華三的產(chǎn)品。國際上當前云計算技術：當前在云計算技術架構中，主流技術毫無疑問的是：OpenStack和KVM部署及運維對比項目華三云計算平臺阿里云計算平臺虛擬化系統(tǒng)部署用戶可自行完成部署需要阿里完成虛擬化部署最小規(guī)模3臺物理服務器87臺物理服務器云操作系統(tǒng)部署用戶進行培訓后可自行部署需要阿里完成運行維護用戶可自行運維阿里運維H3CV