某高校數(shù)據(jù)中心整體建設(shè)方案建議書

XX學(xué)校云數(shù)據(jù)中心項目建議書深信服科技股份有限公司版權(quán)聲明深信服科技股份有限公司版權(quán)所有，并保留對本文檔及本聲明的最終解釋權(quán)和修改權(quán)。本文檔中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明外，其著作權(quán)或其它相關(guān)權(quán)利均屬于深信服科技股份有限公司。未經(jīng)深信服科技股份有限公司書面同意，任何人不得以任何方式或形式對本文檔內(nèi)的任何部分進行復(fù)制、摘錄、備份、修改、傳播、翻譯成其他語言、將其全部或部分用于商業(yè)用途。免責條款本文檔僅用于為最終用戶提供信息，其內(nèi)容如有更改，恕不另行通知。深信服科技股份有限公司在編寫本文檔的時候已盡最大努力保證其內(nèi)容準確可靠，但深信服科技股份有限公司不對本文檔中的遺漏、不準確、或錯誤導(dǎo)致的損失和損害承擔責任。信息反饋如果您有任何寶貴意見，請反饋至：信箱：深圳市南山區(qū)學(xué)苑大道1001號南山智園A1棟郵編：518055電話真也可以訪問深信服科技網(wǎng)站：獲得最新技術(shù)和產(chǎn)品信息縮寫和約定英文縮寫英文全稱中文解釋HypervisorHypervisor虛擬機管理器（和VMM同義）VMMVMMVirtualMachineManager虛擬機監(jiān)視器HAHighAvailability高可用性vMotionvMotion實時遷移aSVServerVirtualization深信服服務(wù)器虛擬化組件aNetNetworkVirtualization深信服網(wǎng)絡(luò)虛擬化組件aSANStoragevirtualization深信服存儲虛擬化組件RAIDRedundantArraysofIndependentDisks磁盤陣列IOPSInput/OutputOperationsPerSecond每秒讀寫（I/O）操作的次數(shù)VMVirtualMachine虛擬機SDNSoftwareDefinedNetwork軟件定義網(wǎng)絡(luò)NFVNetworkFunctionVirtualization網(wǎng)絡(luò)功能虛擬化修訂記錄修訂版本號作者日期備注V1.0要志文2018-03V1.1郭洋2018-04V2.0郭洋2018-06目錄TOC\o"1-3"第1章 高校數(shù)據(jù)中心建設(shè)需求分析 41.1 數(shù)字化轉(zhuǎn)型時代高校數(shù)據(jù)中心的建設(shè)背景 41.2 高校數(shù)據(jù)中心整體需求分析 51.2.1 高校業(yè)務(wù)對IT的要求分析 51.2.2 基礎(chǔ)設(shè)施功能需求分析 61.2.3 云數(shù)據(jù)中心安全需求 71.2.4 統(tǒng)一規(guī)范制度需求 91.3 高校核心業(yè)務(wù)系統(tǒng)需求分析~ 9第2章 高校數(shù)據(jù)中心建設(shè)總體架構(gòu)設(shè)計 102.1 主生產(chǎn)中心架構(gòu) 102.2 校區(qū)環(huán)網(wǎng)數(shù)據(jù)中心架構(gòu) 112.3 云平臺總體架構(gòu) 11第3章 高校數(shù)據(jù)中心詳細設(shè)計方案 133.1 計算和存儲資源池設(shè)計方案 133.1.1 方案產(chǎn)品簡介 133.1.2 計算資源池設(shè)計 133.1.3 存儲資源池設(shè)計 143.1.4 超融合平臺運行數(shù)據(jù)庫~ 153.1.5 超融合一體機配置 153.2 網(wǎng)絡(luò)拓撲設(shè)計方案 163.2.1 數(shù)據(jù)中心物理網(wǎng)絡(luò)拓撲 163.2.2 核心交換機收斂比設(shè)計 163.2.3 超融合資源池網(wǎng)絡(luò)拓撲 173.2.4 業(yè)務(wù)區(qū)虛擬網(wǎng)絡(luò)拓撲 173.3 網(wǎng)絡(luò)虛擬化技術(shù)能力概述 193.3.1 網(wǎng)絡(luò)探測功能 193.3.2 全網(wǎng)流量可視 193.3.3 分布式虛擬防火墻 193.3.4 業(yè)務(wù)邏輯拓撲所畫即所得 203.3.5 業(yè)務(wù)監(jiān)控中心 203.4 數(shù)據(jù)中心網(wǎng)絡(luò)安全防護方案 223.4.1 數(shù)據(jù)中心安全威脅來源分析 223.4.2 云資源池安全防護 233.4.3 數(shù)據(jù)中心等級保護方案 233.5 云管平臺運維和管理方案 253.5.1 異構(gòu)資源管理 263.5.2 分級分權(quán)管理 263.5.3 IT自服務(wù)和流程 263.5.4 自動化運維 273.5.5 資源計量 273.6 數(shù)據(jù)備份設(shè)計方案 273.7 容災(zāi)中心設(shè)計方案 293.7.1 容災(zāi)平臺整體架構(gòu) 293.7.2 超融合-超融合雙向容災(zāi) 303.7.3 VMware-超融合單向容災(zāi) 313.7.4 數(shù)據(jù)庫容災(zāi)配置 323.7.5 業(yè)務(wù)容災(zāi)切換和數(shù)據(jù)回遷 353.7.6 容災(zāi)備份效果 383.8 解決關(guān)鍵業(yè)務(wù)系統(tǒng)痛點的技術(shù)~ 38第4章 項目實施規(guī)劃設(shè)計 394.1 機房部署方案 394.2 業(yè)務(wù)云化遷移方案 404.2.1 業(yè)務(wù)遷移服務(wù)概述 404.2.2 業(yè)務(wù)遷移設(shè)計原則 414.2.3 業(yè)務(wù)遷移服務(wù)流程 414.2.4 服務(wù)器遷移技術(shù)方案 434.2.5 數(shù)據(jù)庫遷移技術(shù)方案 44第5章 解決方案效益和價值分析 465.1 實現(xiàn)云數(shù)據(jù)中心的架構(gòu)極簡 465.2 提升學(xué)校業(yè)務(wù)穩(wěn)定性 465.3 為數(shù)字化校園安全保駕護航 465.4 降低云數(shù)據(jù)中心使用復(fù)雜度 47第6章 深信服云計算服務(wù)方案 486.1 云計算服務(wù)產(chǎn)品概述 486.1.1 云計算服務(wù)產(chǎn)品定義 486.1.2 云計算服務(wù)產(chǎn)品架構(gòu) 486.2 云計算服務(wù)產(chǎn)品內(nèi)容 486.2.1 部署實施服務(wù) 486.2.2 企業(yè)級云業(yè)務(wù)遷移服務(wù) 496.2.3 技術(shù)支持服務(wù) 506.2.4 硬件維保 516.2.5 軟件升級服務(wù) 516.2.6 專家現(xiàn)場服務(wù) 52第7章 方案采購清單 537.1 超融合云平臺采購清單 53高校數(shù)據(jù)中心建設(shè)需求分析數(shù)字化轉(zhuǎn)型時代高校數(shù)據(jù)中心的建設(shè)背景學(xué)校的信息化系統(tǒng)已經(jīng)建設(shè)了多年，隨之互聯(lián)網(wǎng)技術(shù)的發(fā)展，當前學(xué)校信息化正在向數(shù)字化轉(zhuǎn)型。用數(shù)字化技術(shù)重新整合業(yè)務(wù)流程，通過互聯(lián)網(wǎng)的入口實現(xiàn)高效的業(yè)務(wù)訪問，加速業(yè)務(wù)流轉(zhuǎn)，提升校園管理、教學(xué)管理、科研、生活等高效率運行，提高全校師生對信息化系統(tǒng)的服務(wù)滿意度。在學(xué)校的信息化建設(shè)中，普遍采用云計算技術(shù)，將應(yīng)用系統(tǒng)的計算單元和數(shù)據(jù)單元部署在學(xué)校的數(shù)據(jù)中心，用戶通過終端訪問業(yè)務(wù)業(yè)務(wù)平臺門戶。因此數(shù)據(jù)中心作為承載全部校園信息化業(yè)務(wù)的載體，建設(shè)具備高度可靠和安全的數(shù)據(jù)中心，是信息化項目的基礎(chǔ)平臺和關(guān)鍵目標。一個標準的現(xiàn)代數(shù)據(jù)中心，包含了幾大模塊：物理基礎(chǔ)設(shè)施，即數(shù)據(jù)中心的土建、房屋結(jié)構(gòu)及其附屬的門禁、監(jiān)控、防火、供電、溫控等裝置。這些基礎(chǔ)設(shè)施保障了數(shù)據(jù)中心的各類設(shè)備在滿足標準的環(huán)境中運行。IT基礎(chǔ)設(shè)施，包括服務(wù)器、存儲、網(wǎng)絡(luò)交換機、安全等硬件設(shè)備，還包括機柜及布線、系統(tǒng)監(jiān)控和管理軟件、監(jiān)控終端、審計等輔助的專用軟硬件。這些硬件和軟件共同定義了IT層面核心功能，即計算能力、存儲力、網(wǎng)絡(luò)拓撲、安全防護、運維管理、容災(zāi)、網(wǎng)絡(luò)出口。系統(tǒng)軟件和應(yīng)用軟件，完成業(yè)務(wù)邏輯的作業(yè)，需要IT基礎(chǔ)設(shè)施提供計算、存儲、網(wǎng)絡(luò)資源，并具備安全防護能力。高校的數(shù)據(jù)中心，除了具備標準數(shù)據(jù)中心的一切特征之外，又不同于企業(yè)和政府，具有相當?shù)奶厥庑?，這使得高校數(shù)據(jù)中心建設(shè)的項目中，學(xué)校需要根據(jù)自身情況詳細定義數(shù)據(jù)中心的建設(shè)目標、制定建設(shè)規(guī)劃方案。高校建設(shè)數(shù)據(jù)中心的特殊性在于業(yè)務(wù)目標、信息部門職責和能力不同于企業(yè)和政府，主要體現(xiàn)在以下幾個方面：高校是相對封閉又功能完善的社區(qū)，承擔數(shù)萬師生的學(xué)習(xí)、工作、生活、科研、醫(yī)療等方方面面，其數(shù)字化業(yè)務(wù)種類相比企業(yè)更加復(fù)雜，各類業(yè)務(wù)模式不一、軟件供應(yīng)商眾多。因此數(shù)據(jù)中心的計算和存儲平臺，必須能夠穩(wěn)定高性能的承載校園內(nèi)各類型的業(yè)務(wù)場景和各種軟件，同時保障各類網(wǎng)絡(luò)環(huán)境下的業(yè)務(wù)安全和數(shù)據(jù)安全。高校往往承擔新事務(wù)試驗田的角色，探索新技術(shù)的應(yīng)用場景、承擔國家科研項目、為社會嘗試新的生活方式、不斷地教學(xué)改革提升教育質(zhì)量。這使得學(xué)校經(jīng)常面臨大量的新業(yè)務(wù)部署，而這些業(yè)務(wù)既有長期運行的也有短期的探索型業(yè)務(wù)、臨時項目等。這要求數(shù)據(jù)中心能夠為新業(yè)務(wù)部署提供充足的IT資源，又要避免業(yè)務(wù)失敗帶來的資源浪費。體現(xiàn)在技術(shù)上就要求IT資源平臺，既能夠敏捷擴容資源能力，為業(yè)務(wù)提供充足的性能，又能夠回收和利舊資源能力，增大投資收益。高校信息中心部門面臨著角色轉(zhuǎn)型，從過去的IT運維的部門，逐漸成為數(shù)字化業(yè)務(wù)的運營部門，這樣的角色轉(zhuǎn)換，使得學(xué)校對于信息中心的工作評價標準發(fā)生了變化。過去作為運維部門，主要工作是保障“信息系統(tǒng)可用、功能完善”；現(xiàn)在作為運營部門，評價標準是師生使用信息化系統(tǒng)的“滿意度高、使用頻率高”。這使得信息化部門的具體工作要從被動響應(yīng)支撐，變?yōu)橹鲃油茝V數(shù)字化業(yè)務(wù)的用戶數(shù)量并持續(xù)改進用戶體驗。基于此方向的轉(zhuǎn)型，需要IT基礎(chǔ)平臺具有高度的穩(wěn)定性和便捷的運維手段，這樣才能使得信息中心的老師們能夠從繁重的設(shè)備運維中解脫出來，釋放精力從事校園數(shù)字化業(yè)務(wù)的經(jīng)營工作。綜合以上信息，高校在建設(shè)數(shù)據(jù)中心的項目中，可分成三個階段，一是建成符合標準的數(shù)據(jù)中心物理；二是建設(shè)云計算數(shù)據(jù)中心實現(xiàn)IT資源供應(yīng)和運行環(huán)境；三是設(shè)計數(shù)字化應(yīng)用體系和運營體系，逐步實施數(shù)字化業(yè)務(wù)的應(yīng)用軟件部署。高校數(shù)據(jù)中心整體需求分析高校業(yè)務(wù)對IT的要求分析依據(jù)本校的現(xiàn)狀，當前已經(jīng)或正在建設(shè)機房的基礎(chǔ)設(shè)施，本方案適用于數(shù)據(jù)中心第二階段的IT基礎(chǔ)設(shè)施建設(shè)，并滿足第三階段各類業(yè)務(wù)承載的要求。學(xué)校的數(shù)字化業(yè)務(wù)可大體分成幾類：統(tǒng)一業(yè)務(wù)門戶平臺、統(tǒng)一認證平臺、統(tǒng)一管理平臺、統(tǒng)一運維平臺、MIS系統(tǒng)、網(wǎng)站群、數(shù)據(jù)分析系統(tǒng)、在線課程、結(jié)算系統(tǒng)等。涉及到教學(xué)、管理、后勤、財務(wù)等方方面面的部門和業(yè)務(wù)流轉(zhuǎn)。綜合分析這些系統(tǒng)的特征和需求，數(shù)據(jù)中心應(yīng)當具備可靠性、性能擴容能力、保障業(yè)務(wù)安全、便捷運維等特征。分解數(shù)據(jù)中心的建設(shè)需求如下：高可靠性：云數(shù)據(jù)中心平臺層面能夠保障業(yè)務(wù)連續(xù)可靠運行，硬件故障不影響業(yè)務(wù)和數(shù)據(jù)。能夠穩(wěn)定運行對于門戶、財務(wù)、一卡通等業(yè)務(wù)的數(shù)據(jù)庫，實現(xiàn)數(shù)據(jù)庫集群部署。學(xué)校已經(jīng)有多個校區(qū)，具備異地容災(zāi)的基礎(chǔ)，整體方案實現(xiàn)關(guān)鍵業(yè)務(wù)的容災(zāi)。高性能：云數(shù)據(jù)中心的平臺能夠提供充足的計算和存儲能力，承載校園所有的業(yè)務(wù)系統(tǒng)，并具備相當?shù)臄U展能力，實現(xiàn)門戶、一卡通、在線課程等來自互聯(lián)網(wǎng)用戶高峰期訪問時，這些系統(tǒng)的性能足夠保障業(yè)務(wù)可用。一卡通的實時性寫入要求比較高，要保障數(shù)據(jù)庫能夠有足夠的IO能力。擴容能力：學(xué)校建設(shè)應(yīng)用的周期較長，為減少投入成本，數(shù)據(jù)中心整體架構(gòu)需能夠根據(jù)業(yè)務(wù)量對資源的需求，隨時擴容，并降低擴容實施的復(fù)雜度。整體安全：數(shù)據(jù)中心內(nèi)部的安全能力，包括邊界安全和資源池內(nèi)安全。邊界安全主要是為了保障互聯(lián)網(wǎng)的攻擊、非法入侵、傳輸加密等工作。資源池內(nèi)的安全，需要保障業(yè)務(wù)東西向流量之間的安全隔離。管理能力：學(xué)校信息中心作為信息化業(yè)務(wù)的建設(shè)方和管理方，利用自動化管理平臺實現(xiàn)業(yè)務(wù)流程自助申請、管理員審批、自動部署的管理模式。各二級業(yè)務(wù)部門，設(shè)置部門管理員一名，直接面向本部門的用戶提供流程審批，以分權(quán)管理的方式，降低信息中心管理員的工作量。利舊能力：為實現(xiàn)成本優(yōu)化，數(shù)據(jù)中心的建設(shè)過程中，應(yīng)該能夠充分利用現(xiàn)有的設(shè)備，納入到資源池中。運維能力：數(shù)據(jù)中心具有統(tǒng)一的資源運維平臺，實現(xiàn)對資源的整體監(jiān)控、二級部門的資源配額、網(wǎng)絡(luò)配置，并同時納管現(xiàn)有的VMware虛擬化平臺?；A(chǔ)設(shè)施功能需求分析數(shù)據(jù)中心建設(shè)需要滿足校內(nèi)資源共享、業(yè)務(wù)協(xié)同需求，以及一站業(yè)務(wù)服務(wù)等智慧校園前期建設(shè)和師生管理、生活服務(wù)的需求，需要從基礎(chǔ)設(shè)施、數(shù)據(jù)、應(yīng)用系統(tǒng)支撐平臺等各個層面進行整合，因此構(gòu)建基礎(chǔ)設(shè)施即服務(wù)系統(tǒng)、數(shù)據(jù)即服務(wù)系統(tǒng)、平臺即服務(wù)系統(tǒng)等系統(tǒng)?；A(chǔ)設(shè)施即服務(wù)是學(xué)校數(shù)據(jù)中心和云平臺的基礎(chǔ)服務(wù)。物理上將IT基礎(chǔ)設(shè)施整合的需求；性能上能夠做到彈性擴展和動態(tài)調(diào)配，使得不同的應(yīng)用能夠共享基礎(chǔ)設(shè)施資源池中的資源；需要在云計算中心的建設(shè)中采用開放架構(gòu)，一方面能夠采用通用的設(shè)備實現(xiàn)快速擴展，另一方面也能夠利舊已有設(shè)備資源，提升資源的利用效率，保護已有投資。網(wǎng)絡(luò)是基礎(chǔ)設(shè)施即服務(wù)的基礎(chǔ)，也是學(xué)校云計算中心建設(shè)的重點，網(wǎng)絡(luò)的高可用直接影響到業(yè)務(wù)系統(tǒng)的可用性。在學(xué)校的云數(shù)據(jù)中心建設(shè)中需要做到統(tǒng)一網(wǎng)絡(luò)布局，使得數(shù)字化校園網(wǎng)絡(luò)中的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)上能夠做到互聯(lián)互通；在網(wǎng)絡(luò)系統(tǒng)的規(guī)劃中，需要做到高可用性、易擴展性、高性能和易管理。計算資源池主要提供計算能力，是基礎(chǔ)設(shè)施即服務(wù)建設(shè)的核心。由于學(xué)校新型的互聯(lián)網(wǎng)業(yè)務(wù)快速發(fā)展的特點，計算資源池建設(shè)中需要充分體現(xiàn)動態(tài)化、彈性化的特征，做到能夠根據(jù)業(yè)務(wù)部門實際需要，動態(tài)分配計算資源，并需要提供彈性計算資源的管理工具，從而實現(xiàn)計算資源的可視化管理。對于存儲資源池，由于學(xué)校中積累的大量結(jié)構(gòu)化數(shù)據(jù)以及爆炸性增長的非結(jié)構(gòu)化數(shù)據(jù)，主要是各類文檔、電子文獻資源、課程視頻資源等，需要建設(shè)能夠滿足數(shù)據(jù)存儲需求的云存儲池，存儲池的建設(shè)需要做到有極好的擴展性、易管理性、安全性和高性能。云數(shù)據(jù)中心安全需求學(xué)校同時承載了教學(xué)、科研、管理、生活等各類角色，涉及到師生在校期間的全部生活和個人信息，對信息安全的要求高，因而在學(xué)校數(shù)據(jù)中心建設(shè)過程中需要充分考慮安全體系的建設(shè)。由信息中心統(tǒng)一保障IT服務(wù)的安全性，數(shù)據(jù)的物理存儲實體與所有者分離，云安全就是要采取恰當?shù)募夹g(shù)措施和管理手段，打消用戶顧慮，使其信任云計算中心對各部門私有數(shù)據(jù)的存儲、管理和處理。針對XX學(xué)校建議的安全需求如下表所示：安全層面安全需求安全需求描述機房監(jiān)控機房監(jiān)控主要是預(yù)防盜竊、人為破壞、私自闖入等情況。監(jiān)控手段有門禁系統(tǒng)、監(jiān)視系統(tǒng)、紅外系統(tǒng)等。物理安全設(shè)備備份設(shè)備備份用于預(yù)防關(guān)鍵設(shè)備意外損壞。接入到互聯(lián)網(wǎng)中關(guān)鍵網(wǎng)絡(luò)設(shè)備、服務(wù)器應(yīng)有冗余設(shè)計。線路備份線路備份主要是預(yù)防通信線路意外中斷。電源備份電源備份用于預(yù)防電源故障引起的短時電力中斷。防電磁泄漏防電磁泄漏用于預(yù)防電磁泄漏引起的數(shù)據(jù)泄漏。防電磁泄漏手段有屏蔽機房、安裝干擾器、線路加密等。介質(zhì)安全介質(zhì)安全用于預(yù)防因媒體不可用引起的數(shù)據(jù)丟失。要求對數(shù)據(jù)進行備份，且備份數(shù)據(jù)的存放環(huán)境要滿足防火、防高溫、防震、防水、防潮的要求。網(wǎng)絡(luò)與系統(tǒng)安全多層防御多層防御就是采用層次化保護策略，預(yù)防能攻破一層或一類保護的攻擊行為無法破壞整個業(yè)務(wù)網(wǎng)。要求合理劃分安全域，對每個安全域的邊界和局部計算環(huán)境，以及域之間的遠程訪問，根據(jù)需要采用適當?shù)挠行ПＷo。邊界防護邊界防護用于預(yù)防來自本安全域以外的各種惡意攻擊和遠程訪問控制。邊界防護機制有防火墻、入侵檢測、物理隔離等，實現(xiàn)與互聯(lián)網(wǎng)和校園網(wǎng)的安全隔離。網(wǎng)絡(luò)防病毒網(wǎng)絡(luò)防病毒用于預(yù)防病毒在網(wǎng)絡(luò)內(nèi)傳播、感染和發(fā)作。網(wǎng)站監(jiān)測網(wǎng)站監(jiān)測用于預(yù)防校園網(wǎng)網(wǎng)站W(wǎng)EB頁面的保護。備份恢復(fù)備份恢復(fù)用于意外情況下的數(shù)據(jù)備份和系統(tǒng)恢復(fù)。漏洞掃描漏洞掃描用于及時發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)以及網(wǎng)絡(luò)協(xié)議安全漏洞，防止安全漏洞引起的安全隱患。主機保護對關(guān)鍵的主機，例如數(shù)據(jù)庫服務(wù)器安裝主機保護軟件，對操作系統(tǒng)進行安全加固安全審計用于事件追蹤。要求網(wǎng)絡(luò)、安全設(shè)備和操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)有審計功能，同時安裝第三方的安全監(jiān)控和審計系統(tǒng)。身份認證身份認證用于保證身份的真實性。校園網(wǎng)中身份認證包括管理人員身份認證、操作員身份認證、服務(wù)器身份認證等。鑒于校園網(wǎng)網(wǎng)絡(luò)中用戶數(shù)量較大，基于數(shù)字證書（CA）的認證體制將是理想的選擇。應(yīng)用安全權(quán)限管理權(quán)限管理指對校園網(wǎng)中的業(yè)務(wù)應(yīng)用、主機系統(tǒng)的所有操作和訪問權(quán)限進行管理，防止非授權(quán)訪問和操作。數(shù)據(jù)完整性數(shù)據(jù)完整性指對校園網(wǎng)中存儲、傳輸?shù)臄?shù)據(jù)進行數(shù)據(jù)完整性保護。數(shù)據(jù)傳輸機密性數(shù)據(jù)傳輸機密性指對教育系統(tǒng)內(nèi)網(wǎng)絡(luò)中各安全域之間傳輸?shù)拿舾行畔⑦M行加密保護?？沟仲嚳沟仲嚲褪峭ㄟ^采用數(shù)字簽名方法保證當事人行為的不可否認性，建立有效的責任機制，為校園網(wǎng)創(chuàng)造可信的應(yīng)用環(huán)境。安全審計各應(yīng)用系統(tǒng)對各種訪問和操作要有完善的日志記錄，并提供相應(yīng)的審計工具。安全管理組織建設(shè)安全管理組織建設(shè)包括：組織機構(gòu)、人才隊伍、應(yīng)急響應(yīng)支援體系等的建設(shè)。制度建設(shè)安全管理制度建設(shè)包括：人員管理制度，機房管理制度，卡、機具生產(chǎn)管理制度，設(shè)備管理制度、文檔管理制度等的建設(shè)標準建設(shè)安全標準規(guī)范建設(shè)包括：數(shù)據(jù)交換安全協(xié)議、認證協(xié)議、密碼服務(wù)接口等標準規(guī)范的建立。安全服務(wù)安全服務(wù)包括安全培訓(xùn)、日常維護、安全評估、安全加固、緊急響應(yīng)等技術(shù)建設(shè)安全管理技術(shù)建設(shè)主要指充分利用已有的安全管理技術(shù)，利用和開發(fā)相關(guān)的安全管理工具，提高安全管理的自動化、智能化水平。統(tǒng)一規(guī)范制度需求建議學(xué)校應(yīng)當有科學(xué)、有效、完整的技術(shù)規(guī)范和管理制度標準，來保障整個中心正常、有序的運行。需要建立云計算中心互操作標準、云計算中心服務(wù)標準、云計算中心運維標準、云計算中心數(shù)據(jù)即服務(wù)規(guī)范、云計算中心系統(tǒng)管理規(guī)范等內(nèi)容。高校數(shù)據(jù)中心建設(shè)總體架構(gòu)設(shè)計主生產(chǎn)中心架構(gòu)如下圖是學(xué)校的數(shù)據(jù)中的整體架構(gòu)，包含了IT資源池、核心交換區(qū)、網(wǎng)絡(luò)出口區(qū)、管理區(qū)、運維、安全等幾大模塊。資源池區(qū)：當前普遍采用虛擬化和云計算技術(shù)作為數(shù)據(jù)中心IT資源的架構(gòu)。綜合學(xué)校對數(shù)據(jù)中心的各類要求，我們推薦采用超融合技術(shù)為主構(gòu)建完整的數(shù)據(jù)中心。超融合是以虛擬化技術(shù)和x86服務(wù)器為主，融合服務(wù)器虛擬化、存儲虛擬化、網(wǎng)絡(luò)虛擬化等各類軟件，通過標準的硬件為業(yè)務(wù)提供這些資源。以超融合構(gòu)建的統(tǒng)一資源池，硬件部分僅僅包括服務(wù)器和網(wǎng)絡(luò)交換機，所有的超融合軟件、業(yè)務(wù)虛擬機運行這個資源池中，存儲虛擬化軟件統(tǒng)一管理所有服務(wù)器的本地磁盤，構(gòu)建高性能高可靠的存儲資源池。超融合技術(shù)不僅能為業(yè)務(wù)提供計算和存儲資源，也能實現(xiàn)不同業(yè)務(wù)的網(wǎng)絡(luò)區(qū)域隔離、集成網(wǎng)絡(luò)安全模塊實現(xiàn)安全管控。業(yè)務(wù)邏輯分區(qū)：業(yè)務(wù)邏輯分區(qū)隔離可以是物理的也可以虛擬化隔離。在超融合平臺上部署的業(yè)務(wù)，可以由超融合集成的網(wǎng)絡(luò)虛擬化實現(xiàn)分區(qū)隔離。獨立部署的物理機、VMware等第三方虛擬化平臺，建議采用獨立的VLAN做隔離。網(wǎng)絡(luò)出口區(qū)：網(wǎng)絡(luò)出口區(qū)需要部署邊界防火墻等安全設(shè)備，必要時還需要部署鏈路負載均衡、上網(wǎng)行為管理等設(shè)備。安全等保：如學(xué)校需要為滿足安全等保3.0，還需要配置安全感知平臺、潛伏探針、數(shù)據(jù)庫審計，并配置異地數(shù)據(jù)備份和業(yè)務(wù)容災(zāi)等措施。校區(qū)環(huán)網(wǎng)數(shù)據(jù)中心架構(gòu)目前學(xué)校有3個校區(qū)，各有1個機房。這三個機房之間建立校園環(huán)網(wǎng)，部署統(tǒng)一的云計算平臺，集成容災(zāi)備份能力，實現(xiàn)業(yè)務(wù)數(shù)據(jù)同城備份和關(guān)鍵應(yīng)用的準生產(chǎn)容災(zāi)。在未來，當學(xué)校的業(yè)務(wù)量規(guī)模龐大時，并且互聯(lián)網(wǎng)業(yè)務(wù)增多時，可考慮建成異地容災(zāi)的方式，采用兩地三中心架構(gòu)或者“同城雙中心+混合云”。現(xiàn)階段，學(xué)校有2個數(shù)據(jù)中心，采用主備模式，將主要的業(yè)務(wù)和互聯(lián)網(wǎng)出口放在主校區(qū)機房，一部分非關(guān)鍵業(yè)務(wù)放在備機房，同時將主校區(qū)的一部分關(guān)鍵業(yè)務(wù)備份到備機房，實現(xiàn)業(yè)務(wù)容災(zāi)。包含異地容災(zāi)的數(shù)據(jù)中心整體架構(gòu)如下：云平臺總體架構(gòu)在三個機房均部署云計算資源池，通過云管平臺統(tǒng)一管理。云平臺主要實現(xiàn)3個能力：根據(jù)業(yè)務(wù)需求統(tǒng)一管理調(diào)度各類計算、存儲資源、網(wǎng)絡(luò)資源。為業(yè)務(wù)運行提供各類云服務(wù)。為管理員IT運維、安全配置、用戶權(quán)限管理、資源監(jiān)控等工作提供工具。通過云管平臺跨數(shù)據(jù)中心統(tǒng)一調(diào)度云資源和服務(wù)，為每個業(yè)務(wù)部門提供獨立的VPC運行環(huán)境。高校數(shù)據(jù)中心詳細設(shè)計方案計算和存儲資源池設(shè)計方案方案產(chǎn)品簡介推薦本項目采用超融合一體機同時承載計算和存儲資源的供給。深信服企業(yè)級云aCloud是面向數(shù)據(jù)中心整體解決方案設(shè)計的一套云計算軟件，采用超融合架構(gòu)加云計算管理平臺的方式，構(gòu)建完整的云資源池。aCloud中包含四大主要模塊：aSV–服務(wù)器虛擬化，基于kvm開發(fā)，提供企業(yè)級的可靠性和性能優(yōu)化技術(shù)。aSAN–存儲虛擬化，基于GlusterFS架構(gòu)，自主研發(fā)的分布式存儲軟件，為資源池提供統(tǒng)一的存儲空間。aNET–網(wǎng)絡(luò)虛擬化技術(shù)，完全自助研發(fā)的虛擬化網(wǎng)絡(luò)架構(gòu)，實現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)的分區(qū)隔離，提供分布式防火墻、分布式交換機、分布式路由器功能，并首創(chuàng)“所畫即所得”網(wǎng)絡(luò)管理方式。aCMP–完全自主研發(fā)的分布式云計算管理平臺，統(tǒng)一管理超融合集群，為租戶提供資源申請和訪問的入口，為學(xué)校管理員提供運維和監(jiān)控的統(tǒng)一平臺。此外，深信服aCloud組件中，還包括了vDAS審計、容器、CDP數(shù)據(jù)保護、aHM異構(gòu)管理、aSEC安全虛擬化等模塊，共同為業(yè)務(wù)服務(wù)。計算資源池設(shè)計針對XX學(xué)校的項目，我們建議以配置aSV+aSAN+aNET+aCMP模塊，并配置少量的aHM和aAF虛擬防火墻。在硬件的設(shè)計上，采用2種不同配置的高低性能服務(wù)器，高性能服務(wù)器承載數(shù)據(jù)庫等關(guān)鍵業(yè)務(wù)，低性能服務(wù)承載輕量級業(yè)務(wù)。由aCMP統(tǒng)一管理。按照常規(guī)業(yè)務(wù)估算，可將虛擬機配置分成高中低三個檔次。常見的虛擬機配置方式如下表：型號CPU內(nèi)存/GB硬盤HDD/GBSSD/GB應(yīng)用場景S112200靜態(tài)網(wǎng)站，邊緣系統(tǒng)，使用頻度低的信息管理系統(tǒng)。S224500S348500M1481000主要的信息管理類、檢索系統(tǒng)、一卡通的應(yīng)用節(jié)點、數(shù)據(jù)存儲、認證服務(wù)等各類應(yīng)用節(jié)點和前置機M28161000M316320100L18160100各類數(shù)據(jù)庫、分析系統(tǒng)、一卡通中間件、統(tǒng)一門戶等計算性能高的業(yè)務(wù)L212320100L316640200存儲資源池設(shè)計存儲資源池采用aSAN管理本地硬盤實現(xiàn)高性能共享存儲池。每臺服務(wù)器需要配置HDD作為數(shù)據(jù)存儲，SSD作為分層緩存。aSAN正式利用SSD的高性能，采用深信服專利的分層存儲技術(shù)，大幅提升了IO性能。每服務(wù)器的性能在7:3讀寫比條件下測試，可到達10萬IOPS的能力。同時，超融合的每一臺節(jié)點，即是數(shù)據(jù)存儲空間，又是存儲服務(wù)的控制器，控制器的運算分布在多個節(jié)點上，極大提升了IO處理能力。相比于傳統(tǒng)的光纖存儲，超融合存儲真正實現(xiàn)了存儲性能的橫向擴容。在可靠性的設(shè)計上，超融合存儲采用副本方式，每一份數(shù)據(jù)存儲在不同的服務(wù)器中，任何單臺硬件的損壞都不影響數(shù)據(jù)訪問，保障了業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全。采用超融合存儲，無需精確評估數(shù)據(jù)空間需求，因為超融合的擴展非常方便，只需要購買相同配置的服務(wù)器，加入到集群中，即可同步擴展計算能力、存儲能力和容量。在本次項目中，可按照300TB可用空間估算，滿足日常業(yè)務(wù)的數(shù)據(jù)量和一部分圖片視頻的存儲需求。采用雙副本方式，實際配置硬盤總數(shù)量>600TB。SSD緩存配置，依據(jù)經(jīng)驗值，低性能服務(wù)器按照5%緩存容量配置，高性能按照10%緩存容量配置，在使用過程中，可以隨時增加SSD提升IO性能。超融合一體機配置依據(jù)深信服以往的項目經(jīng)驗，假定以1萬學(xué)生的規(guī)模計算業(yè)務(wù)量計算，需要各類虛擬機約300個。其中低端型號約150個，中端型號約120，高端型號約30個。按此規(guī)劃，需要超融合服務(wù)器約20臺。為滿足業(yè)務(wù)需求和超融合系統(tǒng)自身需求，針對XX學(xué)校我們推薦如下配置的服務(wù)器和數(shù)量。類型型號配置數(shù)量每臺服務(wù)器承載虛擬機數(shù)量服務(wù)器低配CPU2xE5-2630V4（10C,2.2G)，128GB內(nèi)存，2x240GB系統(tǒng)盤，2x960GBSSD，8x4TBSATA，4個千兆網(wǎng)口，2個萬兆光口,2個SFP+模塊，冗余電源15個中端VM或30個低端VM服務(wù)器高配CPU2xE5-2680V4（14C,2.4G)，256GB內(nèi)存，2x240GB系統(tǒng)，2x1.92TBSSD，8x4TB5個高端VM或10個中端VMSATA，4個千兆網(wǎng)口，2個萬兆光口,2個SFP+模塊，冗余電源網(wǎng)絡(luò)拓撲設(shè)計方案數(shù)據(jù)中心物理網(wǎng)絡(luò)拓撲將數(shù)據(jù)中心按照物理分區(qū)，實現(xiàn)分區(qū)部署。主要分成核心交換區(qū)、網(wǎng)絡(luò)出口區(qū)、業(yè)務(wù)區(qū)、辦公區(qū)、大數(shù)據(jù)區(qū)、帶外管理區(qū)和容災(zāi)機房。其中業(yè)務(wù)區(qū)有超融合集群和非虛擬化集群構(gòu)成。核心交換機收斂比設(shè)計由于網(wǎng)絡(luò)虛擬化技術(shù)引入到資源池，可將傳統(tǒng)數(shù)據(jù)中心的三層架構(gòu)(接入-匯聚-核心)，簡化為二層(接入-核心)，將業(yè)務(wù)區(qū)之間的安全隔離，比如OA區(qū)、DMZ區(qū)、財務(wù)區(qū)等采用網(wǎng)絡(luò)虛擬化技術(shù)隔離。深信服的aNET提供分布式防火墻技術(shù)，實現(xiàn)針對業(yè)務(wù)區(qū)和虛擬機的細粒度安全配置、統(tǒng)一安全運維、安全策略跟隨等功能。若采用虛擬下一代防火墻vNGAF，則可針對每個業(yè)務(wù)區(qū)獨立配置安全策略，有效防護東西向和南北向的安全威脅，實現(xiàn)多業(yè)務(wù)區(qū)安全的運行在同一個平臺中。業(yè)務(wù)區(qū)和辦公區(qū)的業(yè)務(wù)網(wǎng)絡(luò)，接入交換機采用1G接口，上聯(lián)交換機采用雙萬兆上聯(lián)。每臺交換機具有48個1G接口，收斂比為2.4:1。若學(xué)校部署較多的高流量應(yīng)用，比如在線視頻等，可以將上聯(lián)端口換成4x10G，讓收斂比接近1:1。對于大數(shù)據(jù)應(yīng)用，建議匯聚層采用10G接口，上聯(lián)到核心層采用40G接口，以實現(xiàn)最佳的網(wǎng)絡(luò)性能。超融合資源池網(wǎng)絡(luò)拓撲超融合服務(wù)器，一共有三張網(wǎng)絡(luò)：業(yè)務(wù)網(wǎng)、存儲網(wǎng)、管理網(wǎng)。其網(wǎng)絡(luò)拓撲如下圖所示：超融合的存儲網(wǎng)，采用萬兆存儲交換機，是完全獨立的內(nèi)部網(wǎng)絡(luò)。超融合的業(yè)務(wù)網(wǎng)和管理網(wǎng)，一般采用1G網(wǎng)絡(luò)即夠用。建議為管理網(wǎng)劃分獨立的VLAN，接入到帶外管理區(qū)。業(yè)務(wù)區(qū)虛擬網(wǎng)絡(luò)拓撲本次方案的設(shè)計中，采用了兩周不同配置的服務(wù)器，承載不同的業(yè)務(wù)。在資源池內(nèi)部，都可以使用aNET技術(shù)為每個租戶劃分虛擬數(shù)據(jù)中心(VDC)，租戶即是學(xué)校的二級單位，比如圖書館、財務(wù)處、教務(wù)處、后勤等部門。每個租戶的管理員，在其VDC內(nèi)部，可以獨立創(chuàng)建虛擬化、虛擬網(wǎng)絡(luò)拓撲、部署虛擬防火墻/虛擬化路由器/虛擬交換機，由此實現(xiàn)更加復(fù)雜的業(yè)務(wù)網(wǎng)絡(luò)。如下圖在典型的配置中，一個VDC租戶，可以分成多個VPC業(yè)務(wù)區(qū)，每個VPC業(yè)務(wù)即使一套業(yè)務(wù)系統(tǒng)，比如所有的網(wǎng)站群，或者OA軟件的各個服務(wù)器。每個VPC包含一個虛擬路由器、虛擬化防火墻和若干臺虛擬機。每個VDC租戶包含了一個或多個分布式交換機，并從物理網(wǎng)口將流量引出。為了簡化網(wǎng)絡(luò)的配置，深信服aNET實現(xiàn)了“所畫即所得”的部署網(wǎng)絡(luò)的方法，管理員只需要在aCMP界面上，用鼠標“拖拽”和“連線”即可將所見的網(wǎng)絡(luò)拓撲即時的在生產(chǎn)環(huán)境中部署完畢，極大的簡化了網(wǎng)絡(luò)管理的復(fù)雜度。如下圖，是某高?？蛻粽鎸嵉沫h(huán)境的虛擬網(wǎng)絡(luò)部署截圖。網(wǎng)絡(luò)虛擬化技術(shù)能力概述網(wǎng)絡(luò)探測功能網(wǎng)絡(luò)探測功能是通過發(fā)送帶有標簽的icmp報文并跟蹤記錄該報文在轉(zhuǎn)發(fā)平面經(jīng)過的每一跳，每一跳的信息包括虛擬設(shè)備的名稱和轉(zhuǎn)發(fā)的端口名稱，然后將所有記錄的信息串聯(lián)起來就可以知道到達特定目標的報文轉(zhuǎn)發(fā)路徑了。這種方式就像我們通過tracert的方式探測一樣，但是比tracert更細致，能夠探測出流量的出去和回來的路徑。這樣我們就能更直觀的找到網(wǎng)絡(luò)中存在的問題。全網(wǎng)流量可視數(shù)據(jù)包在轉(zhuǎn)發(fā)平面轉(zhuǎn)發(fā)的時候，每經(jīng)過一個虛擬網(wǎng)絡(luò)設(shè)備的任何一個端口都會有記錄，上層通過實時向底層轉(zhuǎn)發(fā)平面查詢虛擬網(wǎng)絡(luò)設(shè)備的端口的相關(guān)記錄，就可以顯示出每個端口的流量了，這樣就可以在業(yè)務(wù)拓撲上可形成全網(wǎng)流量可視。分布式虛擬防火墻數(shù)據(jù)中心80%的流量在數(shù)據(jù)中心內(nèi)部，南北流量只有20%。傳統(tǒng)防火墻放在邊界網(wǎng)關(guān)上，無法防護到數(shù)據(jù)中心內(nèi)部攻擊，而數(shù)據(jù)中心部分非核心業(yè)務(wù)安全防護低很容易被黑客攻破，一旦攻破黑客就可以通過跳板攻擊其他業(yè)務(wù)。分布式防火墻，相當于在每臺虛擬機出口和入口都放著一個防火墻，只要配置一條策略，無論拓撲如何變化、虛擬機在哪運行、IP是否更改，后臺都可以動態(tài)進行調(diào)整，因此無論何時業(yè)務(wù)都能夠進行安全防護。深信服的分布式虛擬化防火墻，通過自研的網(wǎng)絡(luò)控制平面，可接收用戶配置、拓撲變動、ip變動等消息動態(tài)調(diào)整配置并更新到firewall上。業(yè)務(wù)邏輯拓撲所畫即所得所畫即所得的業(yè)務(wù)邏輯呈現(xiàn)，是深信服企業(yè)級云架構(gòu)中，非常具有特色的技術(shù)功能，由于aSV、aSAN已將計算和存儲的資源池拉通，結(jié)合aNet提供的網(wǎng)絡(luò)資源池，從而為業(yè)務(wù)邏輯拓撲的搭建提供了各種元素，通過管理平面便可從資源池中調(diào)取相應(yīng)的資源，即可呈現(xiàn)出不同的拓撲架構(gòu)。當從管理頁面，構(gòu)建業(yè)務(wù)邏輯拓撲時候，整個企業(yè)級云架構(gòu)底層，會執(zhí)行大量的動作和指令，并且根據(jù)業(yè)務(wù)邏輯拓撲進行底層真實的環(huán)境模擬，從而屏蔽了底層的復(fù)雜性，方便IT管理人員可以更快速，簡單，直觀的方式構(gòu)建數(shù)據(jù)中心各個業(yè)務(wù)所需的邏輯拓撲。業(yè)務(wù)監(jiān)控中心傳統(tǒng)的數(shù)據(jù)中心監(jiān)控僅停留在機房環(huán)境、服務(wù)器網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)等基礎(chǔ)層次的健康監(jiān)控，即應(yīng)用運行的“外部環(huán)境”。這種基礎(chǔ)的監(jiān)控方式僅實現(xiàn)盡可能減少數(shù)據(jù)中心大災(zāi)難的發(fā)生，譬如機柜過熱導(dǎo)致服務(wù)器停止工作等問題。而數(shù)據(jù)中心的核心業(yè)務(wù)為對外進行應(yīng)用發(fā)布，以支撐基于網(wǎng)絡(luò)平臺的所有業(yè)務(wù)。應(yīng)用的可用性與高效性才是數(shù)據(jù)中心對外所呈現(xiàn)的最高價值。在下一代數(shù)據(jù)中心健康方案中，不僅需要解決應(yīng)用的“外部環(huán)境”的基礎(chǔ)監(jiān)控，更需要聚焦在對“應(yīng)用”的發(fā)布性能上。深信服監(jiān)控中心具有主動探測機制，針對用戶所關(guān)注的應(yīng)用服務(wù)（包括業(yè)務(wù)系統(tǒng)、操作系統(tǒng)甚至Oracle數(shù)據(jù)庫、Weblogic中間件等關(guān)鍵業(yè)務(wù)）進行7*24小時圖形化+詳細數(shù)據(jù)的健康度、可用性監(jiān)控，在故障前實現(xiàn)預(yù)警。并可自定義關(guān)鍵指標進行智能監(jiān)控及快速告警，所有動態(tài)，全局掌握。監(jiān)控中心提供大屏顯示所有業(yè)務(wù)實時狀態(tài)功能，讓IT運維可視。IT維護人員能直觀看到整個云平臺上的所有業(yè)務(wù)情況，快速發(fā)現(xiàn)問題，從而提高了降低了整體運維難度。根據(jù)高校的業(yè)務(wù)特征，監(jiān)控中心可為高校以下幾個場景提供監(jiān)控能力。場景一：主動探測業(yè)務(wù)可用性：對網(wǎng)站、郵箱、BS/CS等核心業(yè)務(wù)進行主動探測，當業(yè)務(wù)訪問慢或者不可用時通過郵件、短信等方式告警。場景二：深入分析應(yīng)用性能：對Oracle、SQLServer、Weblogic應(yīng)用進行可用性、響應(yīng)時間告警，并提供內(nèi)部數(shù)據(jù)可視化及代碼級別深入分析，快速定位應(yīng)用性能瓶頸。場景三、全方位監(jiān)控虛擬機監(jiān)控虛擬機CPU、內(nèi)存、磁盤、網(wǎng)絡(luò)流量、進程狀態(tài)等指標，指標數(shù)據(jù)最長保留一年，可以進行TOPN性能分析與趨勢分析。監(jiān)控中心的具體監(jiān)控項目如下表所示：類型監(jiān)控項虛擬機監(jiān)控內(nèi)容內(nèi)存利用率、CPU利用率、CPU執(zhí)行隊列長度、磁盤IO、磁盤總利用率、磁盤分區(qū)利用率、網(wǎng)口收發(fā)速率、進程資源使用率監(jiān)控協(xié)議TCP、HTTP、FTP、POP3、SMTPOracle監(jiān)控數(shù)據(jù)庫時延、I/O、數(shù)據(jù)庫存儲、數(shù)據(jù)庫內(nèi)存、事件等待、鎖、SQL解析、Server、Session、SQLCPU消耗SQLServer監(jiān)控數(shù)據(jù)庫時延、I/O、數(shù)據(jù)庫存儲、數(shù)據(jù)庫內(nèi)存、數(shù)據(jù)庫等待、鎖、SQL解析、Session、SQL語句性能分析、錯誤日志統(tǒng)計、集群狀態(tài)Weblogic線程執(zhí)行隊列、JDBC概況、應(yīng)用部署列表、Web應(yīng)用列表、EJB應(yīng)用列表、JTA與JMS數(shù)據(jù)中心網(wǎng)絡(luò)安全防護方案數(shù)據(jù)中心安全威脅來源分析當前的安全風險，主要來自四個層面，深信服的數(shù)據(jù)中心整體解決方案中，對各類安全威脅均有應(yīng)對措施：威脅類型威脅表現(xiàn)外部威脅惡意代碼：病毒、特洛伊木馬、郵件蠕蟲、僵尸木馬等互聯(lián)網(wǎng)攻擊：漏洞攻擊、數(shù)據(jù)包探取、ARP中毒、P2P攻擊、DDOS攻擊等應(yīng)用層攻擊：SQL注入、跨站腳本攻擊、緩沖區(qū)溢出攻擊、密碼強破解等內(nèi)部威脅一般是企業(yè)或組織的員工（在職或離職）、承包商以及商業(yè)伙伴等，利用合法獲得的訪問權(quán)對組織信息系統(tǒng)中信息的機密性、完整性以及可用性造成負面影響的行為。包括信息竊取、系統(tǒng)破壞、業(yè)務(wù)欺詐等高級威脅APT攻擊：高級持續(xù)性威脅(APT)正在通過一切方式，繞過的傳統(tǒng)安全方案(如防病毒軟件、防火墻、IPS等)，并更長時間地潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測。0Day漏洞攻擊：0day通常是指還沒有補丁的漏洞，而0day攻擊則是指利用這種漏洞進行的攻擊。未知惡意代碼：基于常規(guī)的特征庫、病毒庫無非檢測的病毒、木馬等，一旦進入內(nèi)網(wǎng)會造成較大危害。其他攻擊：其他可以繞過邊界進入內(nèi)網(wǎng)的攻擊手段，如。社會工程學(xué)、水坑攻擊、釣魚郵件等。業(yè)務(wù)異常異常流量：下載的數(shù)據(jù)異常、數(shù)據(jù)量增大異常操作：同一賬號多次登錄、同一賬號多點登錄異常訪問：異常的訪問關(guān)系、設(shè)備之間的非正常流量云資源池安全防護為解決各類威脅，需要做到云端聯(lián)動、邊界防護、內(nèi)部感知等多個舉措，做到事前預(yù)知風險、事中協(xié)同防御、事后檢查相應(yīng)。學(xué)校應(yīng)依據(jù)安全建設(shè)的標準（例如等保2.0），建立學(xué)校的安全體系，做到最大化的安全環(huán)境。在本次項目中，主要目標是以數(shù)據(jù)中心云資源池，安全體系另外立項。針對云資源本身的安全措施，我們建議使用虛擬下一代防火墻(vNGAF)，為業(yè)務(wù)區(qū)獨立配置安全策略，同時防護東西向和南北向的安全威脅。在業(yè)務(wù)區(qū)的規(guī)劃中，DMZ區(qū)，承載數(shù)字化校園門戶網(wǎng)站集群，面向來自互聯(lián)網(wǎng)的訪問，具有較大的業(yè)務(wù)壓力和安全風險，建議配置1個性能較高的vNGAF。校園主頁等網(wǎng)站群也是放在了DMZ區(qū)，通常靜態(tài)網(wǎng)站訪問數(shù)據(jù)量較小，可配置較低性能的防火墻。其他內(nèi)部系統(tǒng)的業(yè)務(wù)區(qū)，包括教務(wù)、財務(wù)/人事、后勤/宿管、一卡通平臺等，可以分成若干區(qū)域，每個區(qū)域根據(jù)業(yè)務(wù)量配置vNGAF。如下圖，是云安全及其他安全設(shè)備的部署拓撲。數(shù)據(jù)中心等級保護方案結(jié)合等級保護2.0相關(guān)標準和要求以及國內(nèi)外最新的安全防護體系模型，從保障用戶業(yè)務(wù)安全高效運行為根本出發(fā)點，深信服提出了以“持續(xù)保護，不止合規(guī)”為價值主張的等級保護2.0解決方案框架。以“一個中心、三重防護”為基本模型進行分級分域設(shè)計，保障設(shè)計方案的合規(guī)性。疊加安全可視、動態(tài)感知、協(xié)同防御三種安全能力構(gòu)建主動防御體系，提供持續(xù)安全保護。通過集中運維、安全可視等人性化的技術(shù)手段，讓安全運維管理更簡單高效，帶給組織不止合規(guī)的價值總體網(wǎng)絡(luò)架構(gòu)設(shè)計學(xué)校構(gòu)建等級保護，不僅僅是在技術(shù)上，解決各類威脅，更需要在制度上，建立相匹配的規(guī)范。這就需要學(xué)校從安全等保體系規(guī)劃開始，逐步的建立安全制度并部署安全系統(tǒng)。云管平臺運維和管理方案深信服企業(yè)級云管理平臺aCloud，將深信服超融合架構(gòu)構(gòu)建的虛擬化的全資源池，和第三方的虛擬化平臺構(gòu)建的資源池，通過流程化、自動化的方式，實現(xiàn)資源即服務(wù)的交付方式，交付給最終的業(yè)務(wù)部門或者業(yè)務(wù)使用者，并實現(xiàn)平臺自動化的運維。深信服的企業(yè)級云管理平臺，可以實現(xiàn)對第三方虛擬化管理，比如Vmware的vCenter等。管理平臺采用分布式架構(gòu)設(shè)計，即企業(yè)級云架構(gòu)集群中，每個節(jié)點都可提供相應(yīng)的管理服務(wù)，任何單一節(jié)點故障都不會引起整個平臺的管理中斷。并且平臺可提供分級分權(quán)的管理，針對不同的平臺用戶，可以各自使用和管理平臺管理分配給的對應(yīng)資源，并且針對每種資源對象，可以部署更加精細化的權(quán)限管理和控制，極大了滿足了企業(yè)級云平臺，構(gòu)建云化IT架構(gòu)中，多租戶使用IT資源的靈活性。異構(gòu)資源管理深信服企業(yè)級云管理aCloud可以同時兼容VMware、KVM等主流虛擬化平臺，并支持對主流的硬件資源實現(xiàn)統(tǒng)一集中管理，通過云管理平臺為租戶屏蔽異構(gòu)虛擬化平臺差異，在多虛擬化平臺環(huán)境下，能為租戶提供相同的云主機資源服務(wù)，并實現(xiàn)對于異構(gòu)虛擬化平臺的統(tǒng)一管理。分級分權(quán)管理據(jù)企業(yè)級云業(yè)務(wù)劃分需求，可以將管理員劃分為多級進行管理，不同的級別具有不同的管理權(quán)限和訪問權(quán)限。系統(tǒng)管理員：或者稱之為超級管理員，能夠創(chuàng)建和管理數(shù)據(jù)中心內(nèi)的所有云資源。對于公有云，系統(tǒng)管理員是運營商數(shù)據(jù)中心管理員；對于私有云，系統(tǒng)管理員是企業(yè)或機構(gòu)的IT管理員。組織管理員：或者稱之為虛擬數(shù)據(jù)中心（vDC）管理員，擁有對組織虛擬數(shù)據(jù)中心的管理權(quán)，包括組織內(nèi)部虛擬機的運行管理、鏡像管理、用戶管理以及認證策略管理等。組織管理員由系統(tǒng)管理員創(chuàng)建。對于私有云，組織管理員是內(nèi)部部門的IT管理員。最終用戶：權(quán)限最低，允許最終用戶通過內(nèi)部網(wǎng)絡(luò)訪問自己專屬的虛擬機，并允許通過自助服務(wù)門戶向組織管理員申請?zhí)摂M資源。最終用戶由組織管理員創(chuàng)建。除此之外，深信服企業(yè)級云管理平臺還提供了管理員分組的概念。管理員分組是多個管理員的集合，每一個分組又可以配置多個子分組，不同的子分組可能具有不同的訪問權(quán)限，但屬于同一個分組或子分組的管理員具有相同的訪問權(quán)限；同時支持分組后的的操作員對應(yīng)資源的資源配額。IT自服務(wù)和流程自助式服務(wù)管理為用戶提供了一個多租戶的、可自助的IaaS服務(wù)，是一種全新的基礎(chǔ)架構(gòu)交付和使用模式，深信服企業(yè)級云管理平臺提供的虛擬化資源池功能，使IT部門能夠?qū)T物理資源，抽象成按需提供的彈性虛擬資源池包括虛擬機、存儲、網(wǎng)絡(luò)、網(wǎng)絡(luò)安全，以消費單元（即組織或虛擬數(shù)據(jù)中心）的形式對外提供服務(wù)，IT部門能夠通過完全自動化的自助服務(wù)訪問，為用戶提供這些消費單元以及其它包括虛擬機和操作系統(tǒng)鏡像等在內(nèi)的基礎(chǔ)架構(gòu)和應(yīng)用服務(wù)模板。這種自助式的服務(wù)真正實現(xiàn)了業(yè)務(wù)的敏捷性和高效性，并極大程度地提高了業(yè)務(wù)的快速創(chuàng)新能力。自動化運維深信服企業(yè)級云，提供一鍵式的自動化運維手段，通過平臺提供的一鍵故障檢測、一鍵健康檢測，通過平臺提供故障定位分析，能夠快速分析出問題節(jié)點，并能夠指出具體的原因和修復(fù)的指導(dǎo)、而平臺提供的一鍵健康檢測，能夠快速分析出平臺潛在的業(yè)務(wù)風險，包括各種和資源性能或者容量風險，平臺管理管理和租戶管理員，可以根據(jù)系統(tǒng)建議，可以選擇手動或者自動的方式，實現(xiàn)業(yè)務(wù)的故障排除和資源優(yōu)化。資源計量深信服基于企業(yè)的資源分配規(guī)則，而且這些規(guī)則在支付能力和費用模式上與傳統(tǒng)的IT業(yè)務(wù)模型不同。每一項服務(wù)成本降低，IT資源分配得到改善，這使得普通IT部門的資本支出變成了服務(wù)和用戶的運營支出。每個業(yè)務(wù)資源請求的消會構(gòu)成每個部門或者業(yè)務(wù)的成本結(jié)構(gòu)，進而累計為每個租戶或最終用戶的總成本，最終形成每個用戶每月的成本。深信服的企業(yè)級云管理平臺，提供完善的資源計量服務(wù)，根據(jù)每個租戶所使用的虛擬機、存儲、網(wǎng)絡(luò)資源，基于時間周期進行統(tǒng)計，可以輸出對應(yīng)的資源使用報表，方便統(tǒng)計每個業(yè)務(wù)部分進行相應(yīng)的成本核算和分析。數(shù)據(jù)備份設(shè)計方案從數(shù)據(jù)保護的角度看，當前數(shù)據(jù)備份有3類技術(shù)：實時數(shù)據(jù)備份、準實時備份、定時備份。評估備份效能的指標是RPO和RTO。實時數(shù)據(jù)備份技(RPO=0)，解決了3個問題：一是防止硬件故障損壞導(dǎo)致了數(shù)據(jù)丟失和業(yè)務(wù)中斷。這一點，在本方案中采用了數(shù)據(jù)副本技術(shù)，同一份數(shù)據(jù)寫入到不同的節(jié)點上，任何硬件損壞數(shù)據(jù)不丟失，業(yè)務(wù)不中斷；二是防止云資源平臺整體損壞，導(dǎo)致非常關(guān)鍵的數(shù)據(jù)丟失；三是數(shù)據(jù)中心整體失效，比如火災(zāi)、地震等，導(dǎo)致關(guān)鍵業(yè)務(wù)中斷。準實時備份技術(shù)(RPO≈0)，是將應(yīng)用新生數(shù)據(jù)不間斷的寫入到備份介質(zhì)中，這樣能夠保護大部分的數(shù)據(jù)不丟失，但是有可能在主生產(chǎn)環(huán)境失效瞬間寫入的數(shù)據(jù)，因還未來得及備份，導(dǎo)致這一小部分的數(shù)據(jù)丟失。定時備份(RPO>0)，是系統(tǒng)按照備份策略，固定時間間隔(RPO)將數(shù)據(jù)備份。定時間隔可以是幾分鐘、幾小時，甚至幾天和數(shù)周，定時備份RPO取決于數(shù)據(jù)的重要程度。我們根據(jù)業(yè)務(wù)系統(tǒng)的連續(xù)性要求和數(shù)據(jù)實時性要求，來規(guī)劃選擇何種備份策略。從成本上來說，RPO越小，成本越高，實現(xiàn)備份的技術(shù)架構(gòu)越復(fù)雜。實時備份技術(shù)，有效解決了上述的2個問題，更適合非常關(guān)鍵的應(yīng)用的數(shù)據(jù)保護和業(yè)務(wù)保護，這類應(yīng)用有2個特征：一是已經(jīng)寫入到存儲的數(shù)據(jù)，絕對不能丟，否則會造成及其嚴重的損失，如何銀行的賬單系統(tǒng)。準實時備份，適合數(shù)據(jù)相當重要，但是一旦少量丟失，也能夠忍受的業(yè)務(wù)，比如學(xué)校一卡通消費記錄。定時備份，適合數(shù)據(jù)丟失一部分也能接受的應(yīng)用，比如視頻和文檔。綜合學(xué)校的應(yīng)用特征，我們建議數(shù)據(jù)備份采用三種策略結(jié)合的方式。策略（一）在云平臺，利用aSAN的多副本技術(shù)，實現(xiàn)數(shù)據(jù)在同一個集群內(nèi)部的實時跨節(jié)點寫入，防止硬盤和服務(wù)器故障導(dǎo)致數(shù)據(jù)的丟失和業(yè)務(wù)中斷。策略（二）對于一卡通的數(shù)據(jù)庫、財務(wù)數(shù)據(jù)庫、結(jié)算平臺數(shù)據(jù)庫等幾類關(guān)鍵數(shù)據(jù)庫，利用aCloud集成的CDP技術(shù)，做準實時備份。CDP技術(shù)可以使得備份RPO接近于0，其原理是將應(yīng)用寫入的每個IO及時寫入到備份介質(zhì)中，CDP備份寫入和aSAN的雙副本寫入是異步的，如果發(fā)生了數(shù)據(jù)丟失的問題，有一定概率使得最新寫入的數(shù)個IO丟失。我們測試過這個丟失的時間間隔小于1s內(nèi)的寫入數(shù)據(jù)。CDP技術(shù)針對關(guān)鍵數(shù)據(jù)備份，解決了如下幾個問題：aSAN因軟件bug整體損壞，通過CDP的備份數(shù)據(jù)能夠盡最大能力恢復(fù)，減小數(shù)據(jù)丟失的損失。硬盤老化，同時壞了2塊，導(dǎo)致某個IO的雙副本同時丟失（盡管概率很?。珻DP能夠恢復(fù)到最新寫入的狀態(tài)。應(yīng)用中了病毒，系統(tǒng)重要文件被破壞了，但是過了一段時間才發(fā)現(xiàn)這個情況，這時候應(yīng)用已經(jīng)寫如了相當?shù)臄?shù)據(jù)。針對這種情況，在清楚病毒后，使用CDP時光機將被破壞的數(shù)據(jù)從備份包中單獨恢復(fù)出來，即可找回系統(tǒng)文件，又不破壞已經(jīng)產(chǎn)生的業(yè)務(wù)數(shù)據(jù)。深信服企業(yè)云的管理頁面上，集成了CDP的管理功能，可以單獨為虛擬機開啟CDP功能、CDP時光機找回丟失文件、備份監(jiān)控等能力。策略（三）針對非關(guān)鍵數(shù)據(jù)、中間件服務(wù)器等無數(shù)據(jù)的虛擬化，可以采用定時備份的方法，將虛擬機每天或每周備份到介質(zhì)中。采用深信服aCloud集成的CBT備份技術(shù)，備份過程不會降低虛擬機IO性能，增量備份的方式減小了備份空間需求。 在備份介質(zhì)的選擇上，推薦采用外置的iSCSI或者NAS存儲，CDP需要配置800G左右的空間做日志存儲。容災(zāi)中心設(shè)計方案高校采用2校區(qū)或者多校區(qū)環(huán)網(wǎng)的數(shù)據(jù)中心架構(gòu)，利用容災(zāi)技術(shù)，對學(xué)校內(nèi)的關(guān)鍵業(yè)務(wù)，如網(wǎng)站、財務(wù)、一卡通的系統(tǒng)實現(xiàn)跨數(shù)據(jù)中心的容災(zāi)。當一個校區(qū)機房發(fā)生整體失效時，可讓業(yè)務(wù)從容災(zāi)中心的云平臺上繼續(xù)工作。機房整體失效的情況包括斷電、火災(zāi)、地震、外部施工挖斷光纜、計劃內(nèi)停機等各類情況。本項目主要的資源平臺采用超融合技術(shù)，可以實現(xiàn)在2個校區(qū)各部署一套超融合的方式，這兩套超融合互相做容災(zāi)?？紤]到學(xué)校仍然有一部分VMware虛擬化平臺，并且該平臺沒有容災(zāi)能力，因此采用aCloud異構(gòu)資源管理能力，可以實現(xiàn)為VMware平臺的虛擬機做異地容災(zāi)。容災(zāi)平臺整體架構(gòu)在兩個校區(qū)之間，采用校園環(huán)網(wǎng)或者裸光纖打通二層網(wǎng)絡(luò)。對于應(yīng)用節(jié)點，通常IO量不大，可以采用定時復(fù)制或者CDP技術(shù)同步數(shù)據(jù)。對于數(shù)據(jù)庫節(jié)點，一般采用數(shù)據(jù)庫同步軟件實現(xiàn)數(shù)據(jù)實時同步，數(shù)據(jù)庫設(shè)置主備模式或者雙活模式。采用該方案的技術(shù)要求：數(shù)據(jù)庫同步需要2個數(shù)據(jù)中心之間的網(wǎng)絡(luò)延時不能高于5ms，CDP要求的延時不高于10ms，數(shù)據(jù)定時復(fù)制視RPO要求決定。兩個數(shù)據(jù)中心若采用裸光纖連接，一般距離在40公里以內(nèi)，可以保證要求。超融合-超融合雙向容災(zāi)當應(yīng)用節(jié)點和數(shù)據(jù)庫節(jié)點都部署在深信服aCloud上時，在每個數(shù)據(jù)中心部署一套aCloudHCI集群，2個集群互相提供CDP備份，當其中一個集群損壞時，將虛擬機切換到另一個集群繼續(xù)運行，以保障業(yè)務(wù)連續(xù)性。在本方案中，需要針對業(yè)務(wù)系統(tǒng)配置vAD技術(shù)，以實現(xiàn)發(fā)生故障時訪問應(yīng)用鏈路的切換、反向代理、SSL卸載等工作。在該方案中，來自互聯(lián)網(wǎng)或者校內(nèi)網(wǎng)絡(luò)的用戶，日常訪問一個部署在A校區(qū)aCloud集群上的應(yīng)用，該應(yīng)用利用深信服aCloudCDP技術(shù)，實時的將數(shù)據(jù)、應(yīng)用狀態(tài)等信息備份到異地機房的另一個aCloud集群。當A校區(qū)的集群或者數(shù)據(jù)中心因故失效后，在B校區(qū)上將該應(yīng)用恢復(fù)運行，vAD全局負載將會把用戶的訪問點從A區(qū)轉(zhuǎn)移至B區(qū)。當A校區(qū)平臺恢復(fù)正常后，可以將該業(yè)務(wù)重新遷移到A區(qū)或者繼續(xù)在B區(qū)運行。aAD是aCloudaSEC模塊中的一個組件，只需要在aCloud的網(wǎng)絡(luò)配置中啟用該模塊，并設(shè)置全局負載集群即可。用戶還可通過該機制實現(xiàn)AB兩個校區(qū)的互相備份，以提升整體業(yè)務(wù)可靠性和多校區(qū)數(shù)據(jù)中心的資源利用率。VMware-超融合單向容災(zāi)使用aCloud的aHM模塊能夠高效統(tǒng)一的管理VMware集群，并實現(xiàn)容災(zāi)能力。若生產(chǎn)環(huán)境已經(jīng)部署在VMware之上，用戶可以在深信服aCloud平臺實現(xiàn)VMware虛擬機災(zāi)備，或者部署新業(yè)務(wù)。深信服aCloud為VMWare實現(xiàn)容災(zāi)的原理如下圖：深信服企業(yè)級云通過VMware的CBT功能獲取vCenter虛擬機的全量或者增量數(shù)據(jù)，通過VDDK接口讀取虛擬磁盤的全量或者增量數(shù)據(jù)從vCenter平臺，然后保存到災(zāi)備中心內(nèi)深信服aCloud的qcow2文件格式。當需要業(yè)務(wù)恢復(fù)時，用戶有兩種選擇：1、還原回生產(chǎn)中心的VMWARE集群，在VMwarevCenter創(chuàng)建一個新的虛擬機，從qcow2備份文件中讀取虛擬機文件，通過VDDK接口把備份文件數(shù)據(jù)寫入到vCenter虛擬機的全量或者增量數(shù)據(jù)中。2、快速從深信服企業(yè)級云平臺內(nèi)快速恢復(fù)，使用備份文件快速在HCI上拉起虛擬機，實現(xiàn)RTO為15分鐘，拉起后的虛擬機為了避免與生產(chǎn)環(huán)境上的虛擬機IP沖突，恢復(fù)時未自動連接網(wǎng)線，需要恢復(fù)后驗證虛擬機數(shù)據(jù)正常后切換到生產(chǎn)網(wǎng)絡(luò)。深信服企業(yè)級云平臺同時支持回遷虛擬機到vCenter平臺，在vCenter上創(chuàng)建一個新虛擬機，將HCI虛擬機不斷備份寫入目標端，當增量數(shù)據(jù)較小時關(guān)閉源虛擬機，同步最后一次增量數(shù)據(jù)。最后在vCenter平臺開啟虛擬機。在aCloud界面，可以方便的通過向?qū)Чぞ吲渲肰Mware虛擬機備份，如下圖所示：數(shù)據(jù)庫容災(zāi)配置美創(chuàng)TrustDBRA數(shù)據(jù)庫復(fù)制技術(shù)（可選）TRUSTDBRA容災(zāi)系統(tǒng)是美創(chuàng)科技結(jié)合多年容災(zāi)實踐基礎(chǔ)上的自主研發(fā)產(chǎn)品，是業(yè)界最早以業(yè)務(wù)系統(tǒng)為視角單元進行建設(shè)的容災(zāi)產(chǎn)品，顛覆了容災(zāi)建設(shè)重數(shù)據(jù)輕業(yè)務(wù)的理念，既能從根本上保證數(shù)據(jù)的一致性，又能降低災(zāi)難發(fā)生時的業(yè)務(wù)停滯時間。TRUSTDBRA以災(zāi)難完整性和容災(zāi)可用性為出發(fā)點，以SLA服務(wù)協(xié)議約束為限制，擁有全業(yè)務(wù)容災(zāi)切換、一鍵容災(zāi)切換、誤操作快速回退、容災(zāi)節(jié)點可查詢等特點，可以最大限度地滿足容災(zāi)系統(tǒng)RTO需求。產(chǎn)品致力于保護業(yè)務(wù)系統(tǒng)的數(shù)據(jù)完整性和高可用性，廣泛運用于“運營商、金融、政府、公安、交警、醫(yī)療、工商、社保、證劵、制造業(yè)、交通、教育”等所有具有容災(zāi)需求的行業(yè)。TRUSTDBRA主要通過數(shù)據(jù)庫復(fù)制技術(shù)，針對數(shù)據(jù)庫內(nèi)的全庫數(shù)據(jù)和增量數(shù)據(jù)的變更，通過日志捕捉挖掘出最新的數(shù)據(jù)變化，實時傳送到容災(zāi)系統(tǒng)端，數(shù)據(jù)級系統(tǒng)容災(zāi)主要實現(xiàn)數(shù)據(jù)庫切換，保護數(shù)據(jù)庫內(nèi)的數(shù)據(jù)。在數(shù)據(jù)級容災(zāi)上，人工輔助一些中間件修改、IP地址修改等任務(wù)，就能在數(shù)據(jù)級容災(zāi)中發(fā)揮重大作用。TrustDBRA技術(shù)原理TRUSTDBRA數(shù)據(jù)庫復(fù)制技術(shù)實現(xiàn)原理Oracle發(fā)出事務(wù)更新，LGWR完成OnlineRedoLog的寫入過程。TrustLogCaptureService實時讀取生產(chǎn)端在線日志信息，由TrustLogService同步往災(zāi)備中心端寫日志數(shù)據(jù)；在災(zāi)難備份中心，Trust災(zāi)備SERVER進程接收TrustLogService傳送過來的數(shù)據(jù)并且生成對應(yīng)的災(zāi)備端的OnlineRedoLog數(shù)據(jù)，在生產(chǎn)系統(tǒng)進行Logswitch的時候同步在災(zāi)難備份中心完成LogSwitch，在災(zāi)備端TrustApplyService通過OraclePhysicalRecover機制把相關(guān)OnlineRedoLog日志內(nèi)容更新到災(zāi)備中心數(shù)據(jù)庫（實時更新模式）或者直接把歸檔內(nèi)容更新災(zāi)難備份中心數(shù)據(jù)庫（異步模式）。在災(zāi)備服務(wù)器上，可以開啟數(shù)據(jù)活動站點進程，構(gòu)建只讀查詢庫，查詢庫可以提供對外讀取服務(wù)，實現(xiàn)數(shù)據(jù)邊同步邊查詢的目標。在回退打開情況下，TRUSTDBRA采用Copyonwrite技術(shù)在更新災(zāi)備中心數(shù)據(jù)庫的同時把更新之前的數(shù)據(jù)進行備份，在回退區(qū)域形成回退日志片，誤操作時可以進行快速回退。TRUSTDBRA異構(gòu)數(shù)據(jù)復(fù)制原理TRUSTDBRA異構(gòu)復(fù)制模塊，提供實時的、基于日志的更改數(shù)據(jù)捕獲(CDC)和復(fù)制軟件平臺，以滿足當今事務(wù)驅(qū)動式應(yīng)用程序的需求。該模塊支持跨操作系統(tǒng)平臺，跨不同數(shù)據(jù)庫類型之間的數(shù)據(jù)實時捕獲，轉(zhuǎn)換和交付，在保障軟件高可靠性的同時加之完善的配套功能如一鍵切換，災(zāi)備庫庫閃回，復(fù)制數(shù)據(jù)驗證對比，完善的監(jiān)控及告警高能，從而使TRUSTDBRA成為市場上最為出色的數(shù)據(jù)復(fù)制產(chǎn)品之一。數(shù)據(jù)災(zāi)備復(fù)制軟件的整體業(yè)務(wù)框架，包括異構(gòu)支持模塊、復(fù)制實現(xiàn)模塊、安全傳輸模塊、高級功能模塊支撐和監(jiān)控模塊和配置與管理模塊。整個軟件架構(gòu)采用有代理架構(gòu)，有代理架構(gòu)指通過部署在源端數(shù)據(jù)庫服務(wù)器與目標端數(shù)據(jù)庫服務(wù)器上的代理程序?qū)崿F(xiàn)變更數(shù)據(jù)的捕獲、傳輸與入庫的架構(gòu)，代理程序包括數(shù)據(jù)捕獲進程、數(shù)據(jù)傳輸進程、數(shù)據(jù)轉(zhuǎn)換進程、數(shù)據(jù)裝載進程、守護進程等多個進程組成。該架構(gòu)主要由代理程序、復(fù)制管理UI、管理數(shù)據(jù)庫組成。守護進程包括進程調(diào)度、進程間通信、異常檢測、異常處理等功能，常駐內(nèi)存；捕獲進程個數(shù)與Redo日志組個數(shù)對應(yīng)；裝載進程個數(shù)可根據(jù)配置靈活設(shè)置，保障最大裝載效率。軟件采用分布式設(shè)計，各進程模塊相互獨立，通過數(shù)據(jù)流進行交互，耦合度低。在系統(tǒng)部署上，各進程模塊既支持獨立部署模式又支持集中部署模式，天然支持云中部署。具體部署架構(gòu)根據(jù)運行環(huán)境負載與復(fù)制業(yè)務(wù)集成程度來決定。系統(tǒng)管理web應(yīng)用部分單獨部署，網(wǎng)絡(luò)可達即可。特性詳細說明實時數(shù)據(jù)復(fù)制以端到端的低延遲提供從源到目標的持續(xù)的數(shù)據(jù)捕獲和交付。甚至在數(shù)據(jù)量很高的情況下也能以高性能和低開銷運行。異構(gòu)平臺支持支持Windows、Linux、UNIX不同的操作系統(tǒng)中的數(shù)據(jù)庫之間的數(shù)據(jù)復(fù)制，支持不同廠家硬件設(shè)備上（支持所有虛擬化云平臺）的數(shù)據(jù)庫數(shù)據(jù)復(fù)制。異型數(shù)據(jù)庫支持支持相同版本和不同版本的Oracle數(shù)據(jù)庫數(shù)據(jù)復(fù)制到Oracle數(shù)據(jù)庫支持相同版本和不同版本的MySQL數(shù)據(jù)庫數(shù)據(jù)復(fù)制到MySQL數(shù)據(jù)庫。支持相同版本和不同版本的PostgreSQL數(shù)據(jù)庫數(shù)據(jù)復(fù)制到PostgreSQL數(shù)據(jù)庫。支持Oracle、MySQL、PostgreSQL三種不同的數(shù)據(jù)庫系統(tǒng)之間的數(shù)據(jù)復(fù)制。豐富的復(fù)制數(shù)據(jù)比對策略軟件自帶提供了20來種數(shù)據(jù)比對方式，如：條件組比對，匹配相同列，表結(jié)構(gòu)比對，記錄數(shù)比對，明細數(shù)比對等等完善的監(jiān)控機制提供完善的數(shù)據(jù)復(fù)制監(jiān)控功能，及時發(fā)現(xiàn)復(fù)制過程可能出現(xiàn)的故障。如代理解析異常監(jiān)控，代理傳輸異常監(jiān)控，控制中心接收異常監(jiān)控，復(fù)制異常監(jiān)控等數(shù)據(jù)庫切換支持單節(jié)點架構(gòu)數(shù)據(jù)庫切換，集群架構(gòu)數(shù)據(jù)庫切換，災(zāi)備端數(shù)據(jù)庫回切和自動化回切的功能災(zāi)備數(shù)據(jù)庫閃回在應(yīng)對邏輯誤操作的情況下，可使用災(zāi)備端閃回的操作對誤操作進行恢復(fù)。如全庫閃回，表空間級別閃回，表級別閃回。業(yè)務(wù)容災(zāi)切換和數(shù)據(jù)回遷aCloud平臺虛擬機業(yè)務(wù)恢復(fù)和數(shù)據(jù)回遷業(yè)務(wù)恢復(fù)為保障業(yè)務(wù)可控，本方案的故障切換采用人工切換方式，當生產(chǎn)數(shù)據(jù)中心發(fā)生故障時，備集群ISCSI卷重新掛回給備集群自身，并選擇最近的備份點或者CDP記錄的每一個IO日志點恢復(fù)為全新的虛擬機，恢復(fù)的虛擬機可以在數(shù)分鐘內(nèi)開機，手動配置新IP、授權(quán)信息后，業(yè)務(wù)可以恢復(fù)，備數(shù)據(jù)中心上的數(shù)據(jù)中心全局負載均衡設(shè)備會自動將流量引入到災(zāi)備數(shù)據(jù)中心內(nèi)。注意：恢復(fù)的虛擬機為全新虛擬機，MAC、磁盤ID等硬件信息都是新的，若業(yè)務(wù)自身需要授權(quán)激活且激活依賴于硬件信息，需要人工介入處理。數(shù)據(jù)回遷主集群災(zāi)難恢復(fù)后，可以通過在備集群中執(zhí)行虛擬機跨集群熱遷移實現(xiàn)業(yè)務(wù)回遷，遷移過程中業(yè)務(wù)可在線運行。VMware平臺虛擬機業(yè)務(wù)恢復(fù)和數(shù)據(jù)回遷業(yè)務(wù)恢復(fù)當需要業(yè)務(wù)恢復(fù)時，用戶有兩種選擇：1、將VMWARE備份數(shù)據(jù)還原回生產(chǎn)中心的VMWARE集群支持恢復(fù)單個虛擬機和批量恢復(fù)虛擬機，在虛擬機詳情頁面可以直接恢復(fù)虛擬機；在備份文件頁面支持批量恢復(fù)虛擬機設(shè)置虛擬機名稱（默認名稱原名稱），默認恢復(fù)位置為原位置（運行位置存儲位置不可修改），網(wǎng)絡(luò)連接不連接網(wǎng)絡(luò)，用戶可勾選自定義恢復(fù)位置。無論原虛擬機是否存在，都生成一個全新的虛擬機，不刪除原虛擬機。2、將VMWARE備份數(shù)據(jù)快速在災(zāi)備中心的深信服企業(yè)級云平臺內(nèi)恢復(fù)支持恢復(fù)單個虛擬機或批量進行恢復(fù)：業(yè)務(wù)回遷在虛擬機列表頁面，點擊“遷移虛擬機”按鈕。即可遷移虛擬機到VMware容災(zāi)備份效果采用CDP技術(shù)的容災(zāi)方案和aCloudVMware容災(zāi)方案：應(yīng)用恢復(fù)時間（RTO）：15分鐘數(shù)據(jù)恢復(fù)時間點（RPO）：接近0項目實施規(guī)劃設(shè)計機房部署方案依據(jù)前期規(guī)劃，本次項目建議采購20臺服務(wù)器，并配置相應(yīng)的交換機設(shè)備。每臺服務(wù)器有三個網(wǎng)絡(luò)：管理網(wǎng)：1x1GIPMI+2x1G云管網(wǎng)口業(yè)務(wù)網(wǎng)：2x1GaSAN存儲網(wǎng)：2x10G每服務(wù)器運行功率在250~400瓦之間，每機架按5000瓦能力，可以放置10臺服務(wù)器+2臺交換機?？紤]到實現(xiàn)最高的可靠性部署方式，我們采用“最小單元規(guī)則”設(shè)計機柜部署，即提高了可靠性，又降低了交換機成本。本項目中采用2個機柜，每機柜方式10臺服務(wù)器+1個千兆交換機+1個萬兆交換機。推薦的部署方式如下：藍色的1G接入交換機，劃分2個VLAN，作為業(yè)務(wù)網(wǎng)和云管網(wǎng)的接入端，采用10G上聯(lián)接口。每個網(wǎng)從獨立的10G上聯(lián)口接入到核心交換機或者萬兆匯聚交換機，需要交換機堆疊。綠色的存儲網(wǎng)交換機，是aSAN內(nèi)部的存儲網(wǎng)絡(luò)，屬于內(nèi)部數(shù)據(jù)傳輸網(wǎng)，不需要接入到核心，也不需要堆疊。黃色的IPMI接入交換機，每2個機柜共用，并獨立的配置管理網(wǎng)VLAN，接入到上層的管理網(wǎng)轉(zhuǎn)用匯聚交換機。按此規(guī)劃，藍色的業(yè)務(wù)網(wǎng)交換機端口配置如下圖所示：業(yè)務(wù)云化遷移方案學(xué)校現(xiàn)有業(yè)務(wù)需要平滑的遷移到云計算數(shù)據(jù)中心上；保證業(yè)務(wù)連續(xù)性是業(yè)務(wù)遷移的核心要求，遷移數(shù)據(jù)的高可靠性是業(yè)務(wù)遷移成敗的關(guān)鍵，根據(jù)多年業(yè)務(wù)遷移的項目實施經(jīng)驗，提供基于云平臺數(shù)據(jù)中心的集成業(yè)務(wù)遷移方案，可以充分保證業(yè)務(wù)連續(xù)性的最大中斷時間要求，并且在保證業(yè)務(wù)中斷時間的要求下，確保應(yīng)用系統(tǒng)平穩(wěn)、數(shù)據(jù)安全的遷移到新的機房或服務(wù)器上。業(yè)務(wù)遷移服務(wù)概述業(yè)務(wù)遷移服務(wù)主要內(nèi)容是將現(xiàn)有業(yè)務(wù)平滑的遷移到云計算數(shù)據(jù)中心上。業(yè)務(wù)遷移存在復(fù)雜性和不確定性，給項目帶來很多風險，必須做縝密的調(diào)研和論證，制定科學(xué)、規(guī)范的實施方案和應(yīng)急回退方案，選擇合適的遷移路線，制定合理的操作規(guī)范，減少和避免發(fā)生人為錯誤導(dǎo)致的故障，在規(guī)定的日期內(nèi)完成整個系統(tǒng)的遷移工作，做到業(yè)務(wù)停頓時間最短、影響范圍最小，否則不僅會給企業(yè)的生產(chǎn)和管理帶來中斷，甚至?xí)斫?jīng)濟損失。業(yè)務(wù)遷移設(shè)計原則數(shù)據(jù)安全性遷移過程中需要保證原有數(shù)據(jù)的安全性，避免因數(shù)據(jù)遷移造成原有數(shù)據(jù)的丟失、損壞。同時要求新增存儲設(shè)備具有較高的安全性，具有一定的數(shù)據(jù)保護措施，如存儲架構(gòu)冗余。業(yè)務(wù)連續(xù)性由于應(yīng)用系統(tǒng)的運行要求不同，對業(yè)務(wù)連續(xù)性的要求也不同。對于關(guān)鍵的連續(xù)性要求較高的業(yè)務(wù)應(yīng)盡量減少因遷移而造成的停機時間，保證其業(yè)務(wù)的連續(xù)性。遷移效率遷移方式不同，遷移的效率、所花費的時間也不同，根據(jù)客戶的業(yè)務(wù)特點，進行評估，選擇滿足客戶要求的遷移方案。遷移成本根據(jù)客戶的預(yù)算，從成本考慮，選擇適合的遷移方案。虛擬化原則上所有X86平臺的應(yīng)用系統(tǒng)都要遷移整合到虛擬化平臺，實現(xiàn)資源的動態(tài)調(diào)配。對于個別系統(tǒng)虛擬化無法支持的環(huán)境，需要采用P2P的遷移。遷移優(yōu)先級優(yōu)先遷移非核心業(yè)務(wù)和緊急上線業(yè)務(wù)，對于業(yè)務(wù)復(fù)雜度高和核心業(yè)務(wù)進行過仔細調(diào)研，演練成熟后進行遷移。兼容性遷移的應(yīng)用系統(tǒng)必須滿足對虛擬化技術(shù)、操作系統(tǒng)的版本、應(yīng)用軟件版本、硬件平臺的兼容性的要求。業(yè)務(wù)遷移服務(wù)流程為了實現(xiàn)業(yè)務(wù)快速，平滑的遷移，結(jié)合的最佳實踐，把業(yè)務(wù)遷移流程分工為如下幾步：規(guī)劃，詳細設(shè)計，實施，后續(xù)管理，培訓(xùn)，以及項目管理，其流程如下圖所示：圖-業(yè)務(wù)遷移流程圖根據(jù)業(yè)務(wù)遷移流程和方法論，對各個階段需要完成的工作進行如下說明：表遷移任務(wù)分解表序號項目描述規(guī)劃階段1設(shè)計信息收集設(shè)計應(yīng)用系統(tǒng)IT現(xiàn)狀和遷移風險及業(yè)務(wù)關(guān)聯(lián)的調(diào)研表；2業(yè)務(wù)遷移評估從業(yè)務(wù)和IT需求的角度，包括了未來幾年發(fā)展需求和目前存在的瓶頸問題，對各個應(yīng)用系統(tǒng)進行評估，給出專業(yè)遷移的建議。3應(yīng)用關(guān)聯(lián)分析根據(jù)關(guān)聯(lián)業(yè)務(wù)調(diào)研表分析整個業(yè)務(wù)關(guān)聯(lián)情況；4遷移風險分析根據(jù)遷移風險調(diào)研表分析整個遷移風險情況；5遷移策略制定根據(jù)上面分析及遷移原則,制定詳細的業(yè)務(wù)遷移策略；詳細設(shè)計階段1遷移方案制定制定業(yè)務(wù)遷移整體解決方案；2遷移計劃制定根據(jù)業(yè)務(wù)之間關(guān)聯(lián)情況和業(yè)務(wù)關(guān)鍵程度對應(yīng)用進行分組，制定最終的詳細遷移計劃，包括遷移工具熟悉時間、數(shù)據(jù)上傳時間、最終同步時間；3風險應(yīng)對計劃制定針對整個業(yè)務(wù)遷移風險情況制定相應(yīng)的應(yīng)對措施及計劃；實施階段1遷移模擬演練選擇一種場景進行模擬業(yè)務(wù)遷移過程，改進業(yè)務(wù)遷移存在問題；2遷移技術(shù)服務(wù)在后臺數(shù)據(jù)中心部署業(yè)務(wù)遷移工具，對業(yè)務(wù)遷移工具進行測試，協(xié)助用戶對遷移工具開始正式遷移宣傳；3業(yè)務(wù)遷移實施協(xié)助客戶按照遷移計劃將應(yīng)用系統(tǒng)從傳統(tǒng)PC平臺遷移到云平臺;后續(xù)管理階段1業(yè)務(wù)遷移評估對遷移后的應(yīng)用系統(tǒng)進行評估，來確定能夠滿足我們前期的遷移目標，能夠滿足遷移的需求;2業(yè)務(wù)遷移監(jiān)控對遷移后的應(yīng)用系統(tǒng)進行監(jiān)控，保證安全運行一個月,確保應(yīng)用系統(tǒng)沒有后顧之憂;3業(yè)務(wù)遷移優(yōu)化針對評估結(jié)果和監(jiān)控中發(fā)現(xiàn)問題，對應(yīng)用系統(tǒng)制定改進措施，對業(yè)務(wù)進行優(yōu)化;服務(wù)器遷移技術(shù)方案使用專業(yè)的數(shù)據(jù)遷移工具把源物理機（虛擬機）的操作系統(tǒng)、應(yīng)用和設(shè)置進行遷移到目標物理機（虛擬機）上，具體有如下4種應(yīng)用，P2P遷移、P2V遷移、V2V遷移、V2P遷移。P2P（PhysicaltoPhysical）是將物理機轉(zhuǎn)換為物理機的一種技術(shù)，即將物理機上運行的操作系統(tǒng)及業(yè)務(wù)軟件完整地遷移到一臺新的物理服務(wù)器上運行。P2V（PhysicaltoVirtual）是將物理機轉(zhuǎn)換為虛擬機的一種技術(shù)，即將物理機上運行的操作系統(tǒng)及業(yè)務(wù)軟件完整地遷移到虛擬化平臺上運行。V2V（VirtualtoVirtual）遷移是在虛擬機之間移動操作系統(tǒng)和數(shù)據(jù),如VMware遷移到KVM，KVM遷移到UVP；可以通過多種方式將虛擬機從一個VMHost系統(tǒng)移動到另一個VMHost系統(tǒng)。圖-服務(wù)器遷移示意圖數(shù)據(jù)庫遷移技術(shù)方案物理遷移技術(shù)方案Oracle數(shù)據(jù)庫物理遷移是將Oracle數(shù)據(jù)庫，在原生產(chǎn)環(huán)境執(zhí)行物理備份，再將備份集傳至目標環(huán)境，如云平臺，最后在云平臺進行恢復(fù)從而還原數(shù)據(jù)庫的方法實現(xiàn)的。Oracle物理遷移采用的是自帶的備份還原工具RMAN。SQLServer物理遷移由自帶的Backup和Restore選項實現(xiàn)數(shù)據(jù)級別的備份和還原。邏輯遷移技術(shù)方案邏輯遷移就是利用EXPORT等工具對數(shù)據(jù)庫對象(如用戶、表、存儲過程等)進行導(dǎo)出，并利用IMPORT等工具把邏輯備份文件導(dǎo)入到數(shù)據(jù)庫。Oracle數(shù)據(jù)庫邏輯遷移是依據(jù)Oracle數(shù)據(jù)庫進行邏輯備份，將邏輯備份文件傳至目標端服務(wù)器，在目標端服務(wù)器進行恢復(fù)，從而實現(xiàn)數(shù)據(jù)庫的遷移目標。SQLServer由自帶的Backup和Restore選項實現(xiàn)數(shù)據(jù)級別的備份和還原。文件拷貝遷移技術(shù)方案本遷移方式為通過拷貝數(shù)據(jù)文件的方式完成Oracle、SQLSERVER數(shù)據(jù)庫遷移，原端停機狀態(tài)下，將數(shù)據(jù)文件從原端拷貝到目的端，將數(shù)據(jù)庫重新啟動起來。OS層拷貝遷移的原端和目的端的文件系統(tǒng)版本與數(shù)據(jù)庫版本都必須一致，進行遷移前原端和目的端的數(shù)據(jù)庫處于關(guān)閉狀態(tài)。熱遷移的技術(shù)關(guān)鍵點Oracle數(shù)據(jù)庫熱遷移，是指生產(chǎn)環(huán)境在幾乎不停機的情況下，快速遷移至備點的方式。DATAGUARD是Oracle數(shù)據(jù)庫自帶的數(shù)據(jù)同步功能，基本原理是將日志文件從原數(shù)據(jù)庫傳輸?shù)侥繕藬?shù)據(jù)庫，然后在目標數(shù)據(jù)庫上應(yīng)用（Apply）這些日志文件，從而使目標數(shù)據(jù)庫與源數(shù)據(jù)庫保持同步；等適當時機，進行數(shù)據(jù)庫切換。DataGuard提供了三種日志傳輸（RedoTransport）方式，分別是ARCH傳輸、LGWR同步傳輸和LGWR異步傳輸。SQLSERVER的熱遷移，是Logshipping。它將事務(wù)日志不間斷地從一個數(shù)據(jù)庫（主數(shù)據(jù)庫）發(fā)送到另一個數(shù)據(jù)庫（輔助數(shù)據(jù)庫）。不間斷地備份主數(shù)據(jù)庫中的事務(wù)日志，然后將它們復(fù)制并還原到輔助數(shù)據(jù)庫，這將使輔助數(shù)據(jù)庫與主數(shù)據(jù)庫基本保持同步。目標服務(wù)器充當備份服務(wù)器，并可以將查詢處理從主服務(wù)器重新分配到一個或多個只讀的輔助服務(wù)器。日志傳送可與使用完整或大容量日志恢復(fù)模式的數(shù)據(jù)庫一起使用；需要遷移時，通過命令實現(xiàn)接管。解決方案效益和價值分析基于深信服企業(yè)級云aCloud構(gòu)建的高校云數(shù)據(jù)中心平臺，其核心價值主要表現(xiàn)在：簡單、穩(wěn)定、安全、易用。實現(xiàn)云數(shù)據(jù)中心的架構(gòu)極簡深信服企業(yè)級云實現(xiàn)了云數(shù)據(jù)中心的架構(gòu)極簡：架構(gòu)簡單——云底層基礎(chǔ)設(shè)施只有交換機和x86服務(wù)器，使IT架構(gòu)變得及其簡單，簡化了管理；業(yè)務(wù)上線簡單——業(yè)務(wù)遷移的過程，無需依賴傳統(tǒng)多種硬件調(diào)試和堆疊，云平臺集成復(fù)雜應(yīng)用交付體系，降低了業(yè)務(wù)上線復(fù)雜度；擴容簡單——在擴容改造時，只需橫向添加X86服務(wù)器就可以實現(xiàn)性能和容量的線性擴展，業(yè)務(wù)和架構(gòu)無需變革。提升學(xué)校業(yè)務(wù)穩(wěn)定性深信服企業(yè)級云，滿足數(shù)字化校園業(yè)務(wù)上云后對穩(wěn)定性的核心訴求。數(shù)據(jù)可靠——通過分布式跨節(jié)點多副本以及定時備份技術(shù)實現(xiàn)數(shù)據(jù)可靠保存；平臺穩(wěn)定——虛擬化自身俱備的HA、DRS等技術(shù)特性，降低了由物理節(jié)點故障導(dǎo)致業(yè)務(wù)中斷的風險；應(yīng)用穩(wěn)定——憑借CDP、負載均衡、容災(zāi)技術(shù)構(gòu)建了業(yè)務(wù)連續(xù)性訪問能力，并實現(xiàn)對核心數(shù)據(jù)庫等關(guān)鍵應(yīng)用的穩(wěn)定承載。為數(shù)字化校園安全保駕護航深信服企業(yè)級云提供了全方位多層級的云安全防護，可以更加有效保障業(yè)務(wù)的安全，為學(xué)校數(shù)字化轉(zhuǎn)型的穩(wěn)步推進保駕護航，安全價值如下：平臺高安全——內(nèi)置分布式防火墻、虛擬機沙箱、平臺集成WAF等安全機制，有效提高平臺安全級別；應(yīng)用高安全——深度集成了下一代防火墻、無代理殺毒軟件、數(shù)據(jù)庫審計等安全模塊，構(gòu)建了4-7層網(wǎng)絡(luò)和應(yīng)用安全防護能力；虛擬機和租戶之間的安全保護——創(chuàng)新云安全資源池，同時實現(xiàn)東西向租戶安全隔離和南北向業(yè)務(wù)安全保護；并遵從等保合規(guī)的要求。降低云數(shù)據(jù)中心使用復(fù)雜度深信服企業(yè)級云實現(xiàn)了使用和運維的極簡，可以使信息中心有限的運維人員可以把更多精力釋放出來，投入智慧校園業(yè)務(wù)創(chuàng)新，從而給公眾提供更好的教學(xué)、管理數(shù)字化服務(wù)，加速構(gòu)建以人為本，以提升師生服務(wù)滿意度為核心目標的智慧校園。降低智慧校園使用復(fù)雜度體現(xiàn)在如下方面：簡化運維——基于業(yè)務(wù)視角的界面展示、可視化運維和一鍵故障定位，無需學(xué)習(xí)成本，快速上手實現(xiàn)精細化運維；資源快速就緒——應(yīng)用一鍵部署、所畫即所得等創(chuàng)新技術(shù)，進一步提高了部署和資源編排的效率；租戶業(yè)務(wù)管理一致性——計算、存儲、網(wǎng)絡(luò)和安全資源隨需所取，租戶業(yè)務(wù)上云前后架構(gòu)一致，管理更簡單。深信服云計算服務(wù)方案云計算服務(wù)產(chǎn)品概述云計算服務(wù)產(chǎn)品定義云計算服務(wù)產(chǎn)品是指深信服科技及認證合作伙伴為配合深信服科技云計算產(chǎn)品交付所提供的服務(wù)，包括部署實施、業(yè)務(wù)遷移、技術(shù)支持服務(wù)、軟件升級、硬件維保、專家現(xiàn)場服務(wù)等。云計算服務(wù)產(chǎn)品架構(gòu)一級二級三級四級云計算部署服務(wù)部署實施服務(wù)企業(yè)級云-部署服務(wù)桌面云部署服務(wù)(服務(wù)端)桌面云部署服務(wù)(終端)業(yè)務(wù)遷移服務(wù)技術(shù)支持類服務(wù)技術(shù)支持服務(wù)技術(shù)支持服務(wù)硬件維保硬件維保軟件升級服務(wù)軟件升級服務(wù)專家現(xiàn)場服務(wù)現(xiàn)場服務(wù)云計算服務(wù)產(chǎn)品內(nèi)容部署實施服務(wù)服務(wù)描述深信服企業(yè)級云部署服務(wù)由云計算專家根據(jù)用戶需求和實際環(huán)境信息，通過評估和測算分析，為用戶提供企業(yè)級云規(guī)劃設(shè)計方案、項目計劃書、實施部署計劃，并提供一站式的深信服企業(yè)級云平臺軟件部署、配置、測試和集成聯(lián)調(diào)，助力用戶業(yè)務(wù)云化。深信服還將為用戶提供現(xiàn)場功能演示及培訓(xùn)，使用戶快速掌握深信服企業(yè)級云的使用及維護方法。?客戶獲益借助深信服科技在多行業(yè)所積累豐富的最佳實踐，大幅度縮短方案設(shè)計及部署交付的時間，保證用戶業(yè)務(wù)快速上線深信服科技提供更貼近業(yè)務(wù)場景的企業(yè)級云規(guī)劃及交付，提升企業(yè)級云資源利用率，確保業(yè)務(wù)高效、穩(wěn)定、安全運行在整個交付過程中，深信服云計算專家全程充分面對面交流，提供定制化培訓(xùn)，提高用戶的運維管理能力服務(wù)內(nèi)容項目計劃管理：同用戶溝通，根據(jù)項目整體情況，確認人員、資源投入及項目交付時間。需求采集&環(huán)境收集:采集用戶對云平臺構(gòu)建的需求情況，并對現(xiàn)有網(wǎng)絡(luò)、業(yè)務(wù)環(huán)