園區(qū)數(shù)據(jù)中心和工業(yè)云平臺(tái)建設(shè)規(guī)劃方案

園區(qū)

數(shù)據(jù)中心、IT基礎(chǔ)設(shè)施和云平臺(tái)

規(guī)劃方案

目錄

第一章機(jī)房工藝方案...........................................................3

第二章IT基礎(chǔ)架構(gòu)方案.......................................................11

2.1總體架構(gòu)..............................................................11

2.2網(wǎng)絡(luò)架構(gòu)..............................................................12

2.3IP地址及DNS規(guī)戈!1.................................................................................................20

2.4計(jì)算存儲(chǔ)超融合.......................................................21

2.5災(zāi)備方案..............................................................23

2.6安全防護(hù)系統(tǒng)建設(shè)方案.................................................23

第三章云計(jì)算平臺(tái)方案.......................................................29

3.1云平臺(tái)整體架構(gòu).......................................................29

3.2云平臺(tái)概述...........................................................30

3.3云平臺(tái)的部分業(yè)務(wù)場(chǎng)景和功能..........................................32

3.4工業(yè)云平臺(tái)...........................................................37

第一章機(jī)房工藝方案

1.1功能布局規(guī)劃方案

數(shù)據(jù)中心預(yù)期滿足中期3-5年，遠(yuǎn)期6-15年的要求。各層數(shù)據(jù)機(jī)房及其配

套設(shè)備用房均按模塊化配置，可根據(jù)實(shí)際運(yùn)營(yíng)需要，逐步加載機(jī)架及配套設(shè)備，

可最終精確到每列機(jī)架。云計(jì)算數(shù)據(jù)中心機(jī)房位于孵化中心大樓3樓，包括：柴

油發(fā)電機(jī)房、空調(diào)冷凍機(jī)房、配電室、消防控制室兼值班室等區(qū)域；標(biāo)準(zhǔn)機(jī)房平

面包括：數(shù)據(jù)機(jī)房區(qū)、空調(diào)區(qū)以及電力電池區(qū)等。

數(shù)據(jù)設(shè)備機(jī)柜排列方式采用面對(duì)面、背靠背方式，即相鄰二列機(jī)柜的正面板

相對(duì)或者背面板相對(duì)排列。本方案中計(jì)劃?rùn)C(jī)柜面對(duì)面過(guò)道間距定為1200mm，背

靠背過(guò)道間距定為每列機(jī)柜均按照個(gè)機(jī)位的電源柜加個(gè)機(jī)位的

1000mmo11

網(wǎng)絡(luò)柜考慮，實(shí)際排列需根據(jù)后期設(shè)備安裝進(jìn)行調(diào)整。

對(duì)機(jī)房的幾個(gè)影響因素：

數(shù)據(jù)設(shè)備安裝的區(qū)域?qū)C(jī)架散熱、配電要求很高。整個(gè)機(jī)房?jī)?nèi)的配電將實(shí)行

模塊化的方式，根據(jù)機(jī)房的面積劃分為各個(gè)模塊，每一個(gè)模塊配電區(qū)域做到對(duì)機(jī)

柜實(shí)施雙路供電，滿足現(xiàn)在規(guī)范中要求的雙系統(tǒng)方式。機(jī)架的散熱情況涉及的因

素主要有幾個(gè)：機(jī)架的布置、制作要求、空調(diào)的送風(fēng)方式等。

L2數(shù)據(jù)中心大樓安全布置方案

1.安全等級(jí)管理

根據(jù)各區(qū)域的重要程度設(shè)定相應(yīng)的安全級(jí)別，設(shè)置各個(gè)級(jí)別的出入管理系統(tǒng)。

在大樓入口處設(shè)置大型閘機(jī)，在多人來(lái)訪時(shí)也可以進(jìn)行信賴性的安全管理和同時(shí)

進(jìn)行順利的出入。

將基地的人員分為三個(gè)等級(jí)：一般級(jí)、較高級(jí)和最高級(jí)。

一般級(jí)：可以進(jìn)入大樓部分；

次高級(jí)：人員要經(jīng)過(guò)大樓進(jìn)入指控中心部分；

最高級(jí)：人員通過(guò)大樓、指控中心部分才能進(jìn)入到機(jī)房部分。

這是一個(gè)逐級(jí)遞增的過(guò)程。每個(gè)環(huán)節(jié)都需要檢測(cè)、識(shí)別才能進(jìn)到下一個(gè)環(huán)節(jié)。

2.系統(tǒng)技術(shù)運(yùn)用

(1)統(tǒng)一平臺(tái)智能監(jiān)控：安防監(jiān)控、門禁系統(tǒng)、動(dòng)力環(huán)境集中監(jiān)控、煙霧早期

告警系統(tǒng)；

(2)防尾隨系統(tǒng)：防尾隨門；

(3)紅外提前預(yù)警技術(shù)；

(4)漏水檢測(cè)，主要用于空調(diào)區(qū)域、水管正下方部位。

1.3電源系統(tǒng)方案

1.數(shù)據(jù)中心機(jī)房功耗統(tǒng)計(jì)

數(shù)據(jù)中心機(jī)房功耗統(tǒng)計(jì)

單機(jī)

IDC設(shè)空調(diào)功電池充照明等

機(jī)架架功合計(jì)

序機(jī)房區(qū)備功耗耗電電流負(fù)荷

數(shù)量耗(KVA

號(hào)

域(KVA(KVA(KVA(KVA

(架)(KW)

))))

)

1505.00277.78138.89100.0060.00

數(shù)據(jù)機(jī)

合

房50277.78138.89100.0060.00576.00

計(jì)

注功率因素按照0.9計(jì)算

2.變配電方案

本期擬采用10KV高壓進(jìn)線引入，終局共引2路10KV進(jìn)線，每路800KVA

容量，每2路分別從獨(dú)立的變電站引入。用電負(fù)荷等級(jí)需滿足一級(jí)負(fù)荷用電要

求。

3.油機(jī)方案

本規(guī)劃在一樓安裝1臺(tái)備用功率不低于1000KW的高壓油機(jī)。

根據(jù)消防規(guī)范要求，本項(xiàng)目日用油箱儲(chǔ)油后備時(shí)間約為3小時(shí)，為保證長(zhǎng)時(shí)間供

油，可通過(guò)建立油庫(kù)或與本地石化公司簽訂供油協(xié)議，必要時(shí)候進(jìn)行統(tǒng)調(diào)

4.不間斷電源方案

本期不間斷電源采用2N系統(tǒng)，每套系統(tǒng)容量為150KVAUPS(蓄電池后備時(shí)間

15分鐘),共需4套。

1.4弱電系統(tǒng)方案

(1)綜合布線

數(shù)據(jù)中心綜合布線工程以其靈活性、擴(kuò)展性實(shí)現(xiàn)高效的、冗余布線管理，整

個(gè)結(jié)構(gòu)化布線系統(tǒng)應(yīng)全面避免單點(diǎn)故障隱患情況的出現(xiàn)系統(tǒng)。

本項(xiàng)目綜合布線系統(tǒng)分為兩個(gè)部分，一是業(yè)務(wù)網(wǎng)綜合布線系統(tǒng)，支持主機(jī)房?jī)?nèi)外

網(wǎng)日常生產(chǎn)及管理系統(tǒng)等；二是運(yùn)維網(wǎng)綜合布線系統(tǒng)，支持?jǐn)?shù)據(jù)中心大樓內(nèi)的語(yǔ)

音、數(shù)據(jù)交換功能及安防、消防、環(huán)控等系統(tǒng)信息傳輸。

（2）運(yùn)維網(wǎng)綜合布線建設(shè)方案

本項(xiàng)目辦公運(yùn)維網(wǎng)綜合布線銅纜配線子系統(tǒng)設(shè)計(jì)為E級(jí)（Cat.6類），應(yīng)用器件（電

纜、連接硬件）均為E級(jí)（Cat.6類）。安防、動(dòng)環(huán)監(jiān)控、KVM、自控網(wǎng)絡(luò)納入運(yùn)維

網(wǎng)，數(shù)據(jù)中心墻面、支持區(qū)域集中預(yù)留2個(gè)網(wǎng)口，集中匯聚。辦公運(yùn)維網(wǎng)綜合布

線系統(tǒng)傳輸介質(zhì)及類型選則如下：4對(duì)雙絞線銅纜均采用CMP等級(jí)，光纜均采

用OFNP等級(jí)；語(yǔ)音大對(duì)數(shù)采用CMR等級(jí)。

1）工作區(qū)子系統(tǒng)

根據(jù)各機(jī)房具體情況及辦公家具布置合理設(shè)計(jì)，不均勻分布。工作區(qū)子系統(tǒng)原則

如下：

每辦公坐席布點(diǎn)密度不低于2個(gè)數(shù)據(jù)點(diǎn)、1個(gè)語(yǔ)音點(diǎn)；

在值班操作區(qū)、會(huì)議室和監(jiān)控室等，布點(diǎn)密度不低于1個(gè)數(shù)據(jù)點(diǎn)+1個(gè)語(yǔ)音點(diǎn)/10

平方米；

所有電纜、光纜、配線設(shè)備等均應(yīng)粘貼標(biāo)簽標(biāo)識(shí)。標(biāo)識(shí)設(shè)計(jì)依據(jù)TIA606標(biāo)準(zhǔn)和

《綜合布線系統(tǒng)管理與運(yùn)行維護(hù)技術(shù)白皮書》。

信息插座均要求采用六類信息插座模塊（CAT6），傳輸參數(shù)測(cè)試應(yīng)達(dá)到250MHz。

電氣性能達(dá)到TIA/EIACAT6的要求。

2）水平子系統(tǒng)

水平子系統(tǒng)設(shè)計(jì)原則如下：

由UTP線纜構(gòu)成的水平子系統(tǒng)，從管理間子系統(tǒng)中的配線架的端口至工作區(qū)的

信息插座的電纜長(zhǎng)度最大水平距離為90m（295ft）；

工作區(qū)的patchcord、連接設(shè)備的patchcord、cross-connection線的總長(zhǎng)度不

超過(guò)10M；

話線和數(shù)據(jù)線可以靈活互換，可以很方便地實(shí)現(xiàn)所有的語(yǔ)音點(diǎn)和數(shù)據(jù)點(diǎn)之間的互

換；

在有屏蔽要求的功能采用屏蔽雙絞線或光纜。

3）管理子系統(tǒng)

管理間子系統(tǒng)設(shè)計(jì)原則如下：

全部的銅纜信息點(diǎn)均端接于24口六類非屏蔽快接式配線架上，語(yǔ)音和數(shù)據(jù)的連

接管理，通過(guò)不同的跳線與數(shù)據(jù)交換機(jī)或語(yǔ)音配線間連接；

光纖垂直主干的連接均采用24口/48芯LC光纖配線架；

配線間語(yǔ)音跳線采用RJ45-110一對(duì)跳線，連接快接式配線架和110配線架。數(shù)

據(jù)跳線設(shè)計(jì)采用六類非屏蔽雙頭RJ45成品跳線。

4）主干子系統(tǒng)

主干子系統(tǒng)原則如下：

數(shù)據(jù)主干采用50/125|Jm室內(nèi)OM4多模光纜，每個(gè)樓層電信間（FD）采用2根

24芯主干光纜；

語(yǔ)音主干采用超五類25對(duì)/100對(duì)大對(duì)數(shù)主干電纜,每個(gè)語(yǔ)音點(diǎn)按主干1對(duì)銅纜

配置，并留有25%以上的擴(kuò)展余量。

5）設(shè)備間子系統(tǒng)

設(shè)備間子系統(tǒng)設(shè)計(jì)原則如下：

配線間設(shè)置19”標(biāo)準(zhǔn)網(wǎng)絡(luò)機(jī)柜。用于安裝配線架及網(wǎng)絡(luò)設(shè)備；

每一組服務(wù)器機(jī)柜需配備一個(gè)網(wǎng)絡(luò)機(jī)柜，供本組服務(wù)器機(jī)柜的網(wǎng)絡(luò)接入，每組服

務(wù)器機(jī)柜數(shù)量建議不超過(guò)七個(gè)；

語(yǔ)音主配線架采用110型配線架；

光纖主配線架采用24口/48芯LC光纖配線箱，主干光纜均連接其上；

數(shù)據(jù)部分通過(guò)主網(wǎng)絡(luò)設(shè)備到光纖主配線架間的光跳線來(lái)完成；

語(yǔ)音部分的管理通過(guò)交換機(jī)側(cè)的配線架到結(jié)構(gòu)化布線系統(tǒng)主配線架之間的普通

跳線來(lái)管理。

（3）業(yè)務(wù)網(wǎng)綜合布線建設(shè)方案

業(yè)務(wù)網(wǎng)綜合布線系統(tǒng)按以下幾個(gè)部分進(jìn)行設(shè)計(jì)：設(shè)備配線區(qū)、水平配線區(qū)、中間

配線區(qū)、主配線區(qū)、主干布線、水平布線。

本項(xiàng)目的傳輸介質(zhì)及類型選則如下：

所有主干、水平光纜均采用OFNP等級(jí)光纜；

所有多模光纜均采用OM4光纜，單模光纜均為OS2單模光纜；

主干及水平銅纜均采用六類銅纜，防火等級(jí)為CMP；

在有屏蔽要求的功能采用屏蔽雙絞線或光纜；

銅纜均采用非預(yù)端接系統(tǒng)，光纜均采用高密度MPO光纜預(yù)端接布線解決方案。

1）核心主配線區(qū)（核心-MDA）

本項(xiàng)目中設(shè)立主配線區(qū)（核心-MDA）,配置核心交換機(jī)、路由器、安全設(shè)備等，

用于實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)核心匯聚以及對(duì)外鏈路出口功能。其設(shè)計(jì)原則如下：

主配線區(qū)布線柜中部署24/48口銅纜配線架、1U96芯或4U288芯高密度光纖配

線架；

考慮雙鏈路，每個(gè)MDA分別通過(guò)銅纜、OM4光纜或單模光纜與運(yùn)營(yíng)商接入機(jī)房

相連。

2）中間配線區(qū)IDA（匯聚-IDA）

本項(xiàng)目在相應(yīng)的樓層中間配線區(qū)（IDA）,負(fù)責(zé)匯聚管理本樓層區(qū)域的布線，其設(shè)

計(jì)原則如下：

IDA配線區(qū)布線柜中部署24/48口銅纜配線架、1U96芯或4U288芯高密度光纖

配線架；

考慮雙鏈路，每個(gè)IDA分別通過(guò)0M4光纜與MDA相連。

3）水平配線區(qū)（HDA）

本項(xiàng)目在設(shè)備柜所在列設(shè)置水平配線區(qū)（HDA）,用于匯聚管理該列設(shè)備柜敷設(shè)

的銅纜和光纜，其設(shè)計(jì)原則如下：

HDA配線區(qū)布線柜中部署24/48口銅纜配線架、1U96芯或4U288芯高密度光

纖配線架；

考慮雙鏈路，每個(gè)HDA分別通過(guò)0M4光纜與同一模塊或同一區(qū)域的2個(gè)IDA

布線柜相連。

4）設(shè)備配線區(qū)（EDA）

設(shè)備配線區(qū)（EDA）由每個(gè)設(shè)備機(jī)柜組成，其設(shè)計(jì)原則如下：

EDA配線區(qū)布線柜中部署24/48口銅纜配線架、1U96芯高密度光纖配線架；

EDA按設(shè)備形態(tài)、業(yè)務(wù)功能等進(jìn)行區(qū)域規(guī)劃以提高服務(wù)器機(jī)柜利用率和機(jī)房的

管理效率，本期按行業(yè)經(jīng)驗(yàn)及客戶的業(yè)務(wù)需求進(jìn)行劃分如：PC服務(wù)器區(qū)域、小

型機(jī)區(qū)域、存儲(chǔ)區(qū)域、高密度服務(wù)器或刀片區(qū)域、異型機(jī)區(qū)域等；

對(duì)于每個(gè)區(qū)域EDA,其電口（含KVM）數(shù)量，光口（含SAN）數(shù)量需根據(jù)設(shè)備類

型、區(qū)域特征并結(jié)合行業(yè)標(biāo)準(zhǔn)進(jìn)行規(guī)劃；

EDA柜內(nèi)電口、光口的數(shù)量需根據(jù)近期細(xì)化、遠(yuǎn)期規(guī)劃的思路進(jìn)行設(shè)計(jì)。

1.5機(jī)柜

考慮空調(diào)送風(fēng)及地板施工，機(jī)柜建議選用600mm*1200mm*2200mm（寬*深*高）,

機(jī)房布局?jǐn)[放采用背靠背/面對(duì)面方式，符合空調(diào)地板下送風(fēng)作為送風(fēng)靜壓箱的

氣流特性。

計(jì)劃建設(shè)50個(gè)機(jī)柜的空間，一期計(jì)劃投入10個(gè)機(jī)柜，每個(gè)機(jī)柜可容納12臺(tái)服

務(wù)器。

每臺(tái)服務(wù)器是2路24核心CPU,256G內(nèi)存，2T硬盤。

10個(gè)機(jī)柜中，計(jì)劃分配1個(gè)機(jī)柜專做大數(shù)據(jù)處理、1個(gè)機(jī)柜專做人工智能（配置

GPU11個(gè)機(jī)柜專做存儲(chǔ)、1個(gè)機(jī)柜專做3D渲染和工業(yè)模擬仿真，剩下6個(gè)機(jī)

柜以超融合模式提供計(jì)算服務(wù)。

6個(gè)機(jī)柜的算力包括72臺(tái)高性能服務(wù),3456核心vCPU,18432G內(nèi)存,144T硬

盤。

如果按照平均每個(gè)企業(yè)的所有應(yīng)用消耗7個(gè)vCPU、88G內(nèi)存（7臺(tái)虛擬機(jī)，2x

4G,2x8G,2x16G,1x32G）,10個(gè)機(jī)柜可以滿足至少支持200家企業(yè)的包括

大數(shù)據(jù)計(jì)算、人工智能深度學(xué)習(xí)、3D渲染和包括供應(yīng)鏈、生產(chǎn)制造等各類工業(yè)

應(yīng)用的算力和數(shù)據(jù)存儲(chǔ)。

第二章IT基礎(chǔ)架構(gòu)方案

2.1總體架構(gòu)

數(shù)據(jù)中心內(nèi)部的總體IT基礎(chǔ)架構(gòu)分為三層體系

第一層：構(gòu)建園區(qū)工業(yè)互聯(lián)網(wǎng)平臺(tái)的IT基礎(chǔ)，包括物聯(lián)網(wǎng)設(shè)備接入和協(xié)議

解析，可以部署在工廠內(nèi)部，以及在園區(qū)云端的laaS云基礎(chǔ)設(shè)施層，實(shí)現(xiàn)計(jì)算、

存儲(chǔ)、網(wǎng)絡(luò)的虛擬化和資源池化。

第二層：構(gòu)建可擴(kuò)展的開放式云操作系統(tǒng)，及園區(qū)工業(yè)云平臺(tái)的PaaS層，

實(shí)現(xiàn)工業(yè)應(yīng)用的開發(fā)、運(yùn)行和微服務(wù)框架，并包含機(jī)器學(xué)習(xí)和工業(yè)大數(shù)據(jù)。

第三層：通過(guò)部署滿足工業(yè)企業(yè)業(yè)務(wù)需求相關(guān)的SaaS化應(yīng)用服務(wù)，如供應(yīng)

鏈管理、設(shè)備管理、采購(gòu)管理等，形成園區(qū)工業(yè)互聯(lián)網(wǎng)平臺(tái)的最終價(jià)值，

消費(fèi)者■供應(yīng)鏈■協(xié)作企業(yè)■開發(fā)者

業(yè)務(wù)運(yùn)行__________應(yīng)__用__創(chuàng)__新____________

［設(shè)計(jì)［生產(chǎn)］|服務(wù)］［設(shè)備狀

管理I供應(yīng)鏈1能耗分［

［態(tài)分析1僦化］

工業(yè)SaaS1APP][APP]APP][APP]分析

應(yīng)用開發(fā)■工業(yè)微服務(wù)組件庫(kù)工

（開發(fā)工具.微服務(wù)框架）（工蛻識(shí)組件.算法組件.原理模型組件）業(yè)

安

0k數(shù)據(jù)建模和分析（機(jī)理建模、機(jī)器學(xué)習(xí)、可視化）全

平臺(tái)層

防

皿大數(shù)據(jù)系統(tǒng)（MSflg清洗、管理、分析、可視化善）

工業(yè)PaaS護(hù)

通用PaaS平臺(tái)資源部署和管理

設(shè)備管理1資源管理■運(yùn)維管理故障恢復(fù)

laaS層_______________云基礎(chǔ)設(shè)施（服務(wù)器.存儲(chǔ),網(wǎng)絡(luò).虛擬化）_________________

邊緣層設(shè)備接入?yún)f(xié)議解析邊緣數(shù)據(jù)

2.2網(wǎng)絡(luò)架構(gòu)

由總體架構(gòu)圖所示，云數(shù)據(jù)中心網(wǎng)絡(luò)整體結(jié)構(gòu)采用模塊化分區(qū)設(shè)計(jì)思想，所

有的功能分區(qū)均同核心交換區(qū)互聯(lián)，各個(gè)分區(qū)之間保持獨(dú)立，實(shí)現(xiàn)整個(gè)設(shè)計(jì)架構(gòu)

的松耦合特性，提供良好的系統(tǒng)擴(kuò)展性。根據(jù)不同功能將整個(gè)網(wǎng)絡(luò)分為如下幾個(gè)

區(qū)域：

(1)核心交換區(qū)：實(shí)現(xiàn)云數(shù)據(jù)中心網(wǎng)絡(luò)的數(shù)據(jù)高速轉(zhuǎn)發(fā)，保證整個(gè)云平臺(tái)

中心網(wǎng)絡(luò)的傳輸性能和效率。核心交換區(qū)同所有分區(qū)相連，因而在核心交換區(qū)需

重點(diǎn)考慮處理性能、網(wǎng)絡(luò)虛擬化應(yīng)用以及各個(gè)分區(qū)之間的安全訪問(wèn)控制。

(2)網(wǎng)絡(luò)資源池區(qū)：網(wǎng)絡(luò)資源池區(qū)為數(shù)據(jù)中心內(nèi)計(jì)算資源池和存儲(chǔ)資源池

提供虛擬網(wǎng)絡(luò)資源，既是連接各個(gè)資源池的紐帶，也是數(shù)據(jù)流量的承載網(wǎng)絡(luò)。網(wǎng)

絡(luò)資源池區(qū)作為云數(shù)據(jù)中心中的網(wǎng)絡(luò)子模塊，在設(shè)計(jì)上采用二層扁平化架構(gòu)組網(wǎng)，

大量采用橫向虛擬化和縱向虛擬化技術(shù)實(shí)現(xiàn)VLAN的大二層互通，滿足虛擬機(jī)的

部署和遷移。數(shù)據(jù)中心大二層架構(gòu)可以大大簡(jiǎn)化網(wǎng)絡(luò)資源池的運(yùn)維與管理，同時(shí)

保證網(wǎng)絡(luò)的擴(kuò)展性和易管理性。

(3)Internet接入?yún)^(qū)：該區(qū)域通過(guò)連接運(yùn)營(yíng)商Internet網(wǎng)絡(luò)，為數(shù)據(jù)中心內(nèi)

各類信息系統(tǒng)提供對(duì)公眾發(fā)布公共云應(yīng)用的服務(wù)，同時(shí)也為一些企業(yè)提供局域網(wǎng)

提供統(tǒng)一的互聯(lián)網(wǎng)出口服務(wù)。

(4)對(duì)外服務(wù)測(cè)試區(qū)：在對(duì)外服務(wù)測(cè)試區(qū)將進(jìn)行各類新增應(yīng)用或托管應(yīng)用

的在線測(cè)試，只有測(cè)試通過(guò)后才將業(yè)務(wù)根據(jù)分類部署到相應(yīng)的網(wǎng)絡(luò)區(qū)域中，該區(qū)

域的網(wǎng)絡(luò)系統(tǒng)連接在Internet接入?yún)^(qū)劃分出來(lái)DMZ區(qū)位置。

(5)業(yè)務(wù)網(wǎng)運(yùn)維管理區(qū)：業(yè)務(wù)網(wǎng)運(yùn)維管理區(qū)提供對(duì)整個(gè)云數(shù)據(jù)中心平臺(tái)各

類資源的統(tǒng)一管理，其與數(shù)據(jù)網(wǎng)相互獨(dú)立，只承載業(yè)務(wù)管理流量，除了對(duì)基礎(chǔ)設(shè)

備管理之外還包括應(yīng)用服務(wù)管理、運(yùn)維管理等系統(tǒng)。

(6)KVM帶外管理區(qū)：該區(qū)域?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)、服務(wù)器、存儲(chǔ)等設(shè)備的串口管

理。

云計(jì)算數(shù)據(jù)中心的基礎(chǔ)網(wǎng)絡(luò)要求包括超高速交換、統(tǒng)一交換、虛擬化交換、

透明化交換。

超高速交換：使用10GE技術(shù)，滿足服務(wù)器10從千兆向萬(wàn)兆快速發(fā)展，以

匹配服務(wù)器10加速技術(shù)、10虛擬化技術(shù)以及服務(wù)器多路多核計(jì)算能力。

統(tǒng)一交換網(wǎng)絡(luò)：提供對(duì)云計(jì)算的支撐，提供單一的數(shù)據(jù)中心網(wǎng)絡(luò)，實(shí)現(xiàn)云計(jì)

算上層應(yīng)用對(duì)數(shù)據(jù)交換、傳送通道與10的簡(jiǎn)化統(tǒng)一操作、同質(zhì)的底層網(wǎng)絡(luò)提供

超高容量數(shù)據(jù)吞吐支撐、提供廣泛兼容的云應(yīng)用升級(jí)與擴(kuò)展能力。

虛擬化交換網(wǎng)絡(luò)：虛擬化技術(shù)是云計(jì)算的關(guān)鍵技術(shù)之一，將一臺(tái)物理服務(wù)器

虛擬化成多臺(tái)邏輯虛擬機(jī)VM，不僅可以大大提升云計(jì)算環(huán)境IT計(jì)算資源的利用

效率，節(jié)省能耗，同時(shí)虛擬化技術(shù)提供的動(dòng)態(tài)遷移、資源調(diào)度，使得云計(jì)算服務(wù)

的負(fù)載可以得到高效管理、擴(kuò)展，云計(jì)算的服務(wù)更具有彈性和靈活性。

透明化交換網(wǎng)絡(luò)：對(duì)于虛擬化云計(jì)算服務(wù)，需要在數(shù)據(jù)中心內(nèi)部以及數(shù)據(jù)中

心之間構(gòu)建大范圍的二層互聯(lián)網(wǎng)絡(luò)，以支持虛擬機(jī)計(jì)算資源的遷移和調(diào)度。二層

網(wǎng)絡(luò)的益處是對(duì)虛擬機(jī)透明化，但為保證網(wǎng)絡(luò)的高性能、可靠性，需要解決網(wǎng)絡(luò)

環(huán)路問(wèn)題。

數(shù)據(jù)中心內(nèi)部，可通過(guò)采用智能彈性架構(gòu)來(lái)構(gòu)建大型的二層透明交換網(wǎng)絡(luò)，

具有網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單，保持高性能與高可靠、避免環(huán)路的好處。

各個(gè)核心網(wǎng)絡(luò)設(shè)備可虛擬化成一臺(tái)邏輯設(shè)備，以聚合鏈路互聯(lián)，消除了網(wǎng)絡(luò)

環(huán)路，保證網(wǎng)絡(luò)的可靠性和鏈路的充分利用。

g以由器.

馬

邊緣”換機(jī)邊緣欠換機(jī)邊緣父換機(jī)邊緣父換機(jī)

-電…匾--'卷

邊緣堂換機(jī)邊緣”換機(jī)邊緣北換機(jī)邊緣公換機(jī)

---------------------喝_*―嘉黨-"

慳伊各拉材卜圖

＞網(wǎng)絡(luò)結(jié)構(gòu)

網(wǎng)絡(luò)結(jié)構(gòu)中，采用萬(wàn)兆以太網(wǎng)作為全網(wǎng)的核心交換技術(shù)，核心交換機(jī)以萬(wàn)兆

或千兆接入邊緣交換機(jī)。邊緣交換機(jī)主流采用千兆網(wǎng)絡(luò)連接服務(wù)器，對(duì)于普通應(yīng)

用服務(wù)器，采用百兆網(wǎng)絡(luò)接入邊緣交換機(jī)。

互聯(lián)網(wǎng)上行鏈路，以多條萬(wàn)兆鏈路匯聚方式，連接中國(guó)電信、中國(guó)聯(lián)通核心

交換機(jī)。鏈路間通過(guò)端口聚合實(shí)現(xiàn)鏈路負(fù)載均衡及冗余。

＞網(wǎng)絡(luò)擴(kuò)展性

本次核心交換機(jī)的擴(kuò)展性分三類：

其一，選購(gòu)的核心交換機(jī)要求具有8個(gè)以上插槽，可隨著服務(wù)器規(guī)模的發(fā)

展，添加48口的千兆光纖板卡或8口的萬(wàn)兆光纖板卡。通過(guò)擴(kuò)充功能模塊的方

式擴(kuò)展。

其二為垂直擴(kuò)展，第一期中，先購(gòu)置2臺(tái)核心交換機(jī)組建整體網(wǎng)絡(luò)。所有內(nèi)

外網(wǎng)邊緣交換機(jī)均統(tǒng)一接入這組核心交換機(jī)中。內(nèi)外網(wǎng)的安全邏輯隔離使用

VLAN方式實(shí)現(xiàn)。第二期購(gòu)置2臺(tái)核心交換機(jī)組建內(nèi)網(wǎng)。通過(guò)內(nèi)外網(wǎng)邊緣交換機(jī)

光纖跳線，實(shí)現(xiàn)內(nèi)外網(wǎng)分離。

其三為橫向擴(kuò)展，未來(lái)的網(wǎng)絡(luò)擴(kuò)展性，通過(guò)核心交換機(jī)的橫向擴(kuò)展來(lái)實(shí)現(xiàn)。

＞核心交換機(jī)

核心交換機(jī)技術(shù)特點(diǎn)：

?先進(jìn)的體系結(jié)構(gòu)

要求采用全分布式體系結(jié)構(gòu)設(shè)計(jì),具備全線速的業(yè)務(wù)處理性能以及交換容量

的可持續(xù)擴(kuò)展能力。

?大容量、高密度線速交換

Switchingcapacity要求lTbps以上,Throughput要求600Mbps以上。支持

各種高密度業(yè)務(wù)板，整機(jī)支持500個(gè)以上的千兆端口，40個(gè)以上萬(wàn)兆端口，滿

足核心層設(shè)備大容量、高端口密度的要求。

?強(qiáng)大的業(yè)務(wù)支撐能力

支持全面的MPLSVPN業(yè)務(wù)；支持完善的組播協(xié)議，包括IGMP、IGMP

Snooping,PIM-SM.PIM-DM.MSDP和MBGP等；支持NAT、Firewall等業(yè)務(wù)；

支持POS、ATM、RPR等WAN接口。

?支持新一代萬(wàn)兆接口

支持新一代萬(wàn)兆接口，在保持線速轉(zhuǎn)發(fā)的基礎(chǔ)上能夠支持ACL、QoS、MPLS

VPN、組播等業(yè)務(wù)，實(shí)現(xiàn)性能與功能的統(tǒng)一。除了提供標(biāo)準(zhǔn)的LAN接口外，還支

持WAN接口，提高組網(wǎng)的靈活性。

?分布式MPLSVPN處理

要求核心交換機(jī)更加智能化并具備強(qiáng)大的業(yè)務(wù)處理能力，實(shí)現(xiàn)分布式線速

MPLSVPN業(yè)務(wù)處理。

?完善的QoS機(jī)制

要求支持完善的Diff-Serv/QoS功能。支持流量監(jiān)管；支持流量整形，可基

于端口或隊(duì)列靈活設(shè)置；支持報(bào)文DSCP優(yōu)先級(jí)、IP優(yōu)先級(jí)、TOS優(yōu)先級(jí)、COS

優(yōu)先級(jí)以及Exp優(yōu)先級(jí)的重置功能；支持報(bào)文重定向功能，可根據(jù)網(wǎng)絡(luò)流量狀況

靈活配置報(bào)文的轉(zhuǎn)發(fā)路徑；支持SP、WRR、SP+WRR等多種模式的隊(duì)列調(diào)度機(jī)

制；支持Tail-Drop、WRED等擁塞避免機(jī)制；支持端口鏡像、流鏡像、流量統(tǒng)計(jì)

等功能。

?電信級(jí)可靠性設(shè)計(jì)

要求所有關(guān)鍵部件采用冗余設(shè)計(jì)，包括主控板、交換網(wǎng)、電源和風(fēng)扇等；所

有單板支持熱插拔功能，最大限度的減少對(duì)系統(tǒng)正常運(yùn)行業(yè)務(wù)的影響；支持跨板

鏈路聚合、MSTP、VRRP和等價(jià)路由等協(xié)議，保障網(wǎng)絡(luò)的動(dòng)態(tài)鏈路備份，滿足電

信級(jí)網(wǎng)絡(luò)可靠性要求，系統(tǒng)可靠性達(dá)到99.99%以上。

?完善的安全機(jī)制

支持OSPF、RIPv2及BGPV4報(bào)文的明文及MD5密文認(rèn)證；支持安全的

SNMPV3的網(wǎng)管協(xié)議；支持配置安全，對(duì)登錄用戶進(jìn)行認(rèn)證，為不同級(jí)別的用戶

分配不同的配置權(quán)限；支持IP地址、VLANID、MAC地址和端口等多種組合綁

定方式，防范各種地址盜用；支持廣播報(bào)文抑制，有效控制ARP等非法廣播流

量對(duì)設(shè)備造成沖擊；支持URPF（單播反向路徑檢查），防止IP地址欺騙；支持

受限的IP地址的Telnet的登錄和口令機(jī)制；支持報(bào)文安全過(guò)濾，防止非法侵入

和惡意報(bào)文攻擊；支持端口鏡像，將有安全隱患的報(bào)文鏡像到分析端口，利用儀

器設(shè)備進(jìn)行抓包分析并及時(shí)阻斷；支持IEEE802.1X.AAA/Radius、TACACS+,

對(duì)用戶身份進(jìn)行合法性認(rèn)證；支持內(nèi)置Firewall,有效保障網(wǎng)絡(luò)安全，為用戶構(gòu)

建立體安全網(wǎng)絡(luò)。

核心交換機(jī)設(shè)備選用高密度萬(wàn)兆或千兆光口核心交換機(jī)組網(wǎng)。其中2臺(tái)核心

組建內(nèi)外網(wǎng)，第二期新增2臺(tái)核心獨(dú)立組建內(nèi)網(wǎng)。

核心交換機(jī)采用可靠性最高的雙機(jī)熱備份模式，關(guān)鍵設(shè)備全部雙機(jī)熱備份。

每臺(tái)核心交換機(jī)采用雙業(yè)務(wù)引擎板、雙電源、雙風(fēng)扇互為容錯(cuò)冗余。保證單一設(shè)

備故障時(shí)，數(shù)據(jù)中心業(yè)務(wù)不受任務(wù)影響，徹底解決單點(diǎn)故障問(wèn)題。

萬(wàn)兆光纖接口板采用8口全線速萬(wàn)兆卡，配多模短距萬(wàn)兆模塊。

千兆光纖接口板采用48口全線速萬(wàn)兆卡，配多模短距千兆模塊。

＞邊緣交換機(jī)

采用48端口千兆電口、4端口萬(wàn)兆或千兆光口或48端口百兆電口，4端口

萬(wàn)兆或千兆光口交換機(jī)為邊緣交換機(jī)。

Switchingcapacity要求96Gbps以上,Throughput要求72Mbps以上。

每臺(tái)邊緣交換機(jī)采用雙鏈路冗余備份設(shè)計(jì)，雙光纖分別上聯(lián)2臺(tái)核心交換

機(jī)，保證在某一條鏈路故障時(shí)，不影響整個(gè)數(shù)據(jù)中心的數(shù)據(jù)交換業(yè)務(wù)。

交換區(qū)域的可靠性通過(guò)STP實(shí)現(xiàn)，被STP阻斷的邏輯鏈路在線路或設(shè)備出

現(xiàn)故障的情況下可以自動(dòng)釋放，形成新的拓?fù)浣Y(jié)構(gòu)，保證網(wǎng)絡(luò)數(shù)據(jù)的正常傳輸。

＞廣域網(wǎng)負(fù)載均衡

廣域網(wǎng)負(fù)載均衡技術(shù)，在各運(yùn)營(yíng)商鏈路間、或各數(shù)據(jù)中心間與客戶端之間建

立智能的動(dòng)態(tài)流量導(dǎo)向平臺(tái)，使用戶的請(qǐng)求能夠?qū)虻阶约涸L問(wèn)質(zhì)量最好、最合

適的運(yùn)營(yíng)商鏈路或數(shù)據(jù)中心，當(dāng)在某一個(gè)數(shù)據(jù)中心出現(xiàn)故障時(shí)，能夠及時(shí)被發(fā)現(xiàn),

并將用戶請(qǐng)求導(dǎo)向到其它正常工作的數(shù)據(jù)中心站點(diǎn),同時(shí)還要保證各數(shù)據(jù)中心站

點(diǎn)內(nèi)部的高性能訪問(wèn)。

廣域網(wǎng)負(fù)載均衡設(shè)備應(yīng)支持各類廣域負(fù)載均衡算法，包括成靜態(tài)負(fù)載均衡算

法和動(dòng)態(tài)負(fù)載均衡算法。

采用2臺(tái)硬件廣域網(wǎng)負(fù)載均衡設(shè)備，對(duì)中國(guó)電信及中國(guó)聯(lián)通2個(gè)運(yùn)營(yíng)商鏈

路實(shí)現(xiàn)負(fù)載均衡，通過(guò)內(nèi)部IP地址庫(kù)，將中國(guó)電信用戶導(dǎo)入電信鏈路，將中國(guó)

聯(lián)通用戶導(dǎo)入聯(lián)通鏈路。

同時(shí)輔助采用動(dòng)態(tài)負(fù)載均衡算法，將來(lái)自第三方運(yùn)營(yíng)商及各球各國(guó)家地區(qū)的

用戶，通過(guò)路徑最短計(jì)算算法，相應(yīng)將這些用戶導(dǎo)入離這些用戶路徑最短、耗時(shí)

最少的鏈路內(nèi)。

2臺(tái)硬件廣域網(wǎng)負(fù)載均衡設(shè)備間互為容錯(cuò)冗余。

同時(shí)采用BIND開源DNS服務(wù)作為備用服務(wù)，防止硬件廣域網(wǎng)負(fù)載均衡設(shè)

備失效后能快速恢復(fù)服務(wù)。

BINDDNS服務(wù)采用IP地址庫(kù)的判斷方式做為鏈路選擇算法。

＞局域網(wǎng)負(fù)載均衡

主要采用硬件負(fù)載均衡設(shè)備對(duì)局域網(wǎng)內(nèi)服務(wù)器進(jìn)行負(fù)載均衡，實(shí)現(xiàn)服務(wù)器集

群。

硬件負(fù)載均衡設(shè)備支持多種均衡算法，支持SNAT及N-PATH兩種組網(wǎng)方

式。

硬件負(fù)載均衡設(shè)備應(yīng)具有高可靠性、雙機(jī)冗余、高并發(fā)性能、應(yīng)用加速、支

持七層內(nèi)容控制、可視化的管理視圖等技術(shù)質(zhì)點(diǎn)。

采用2臺(tái)支持萬(wàn)兆流量，千萬(wàn)并發(fā)連接數(shù)的硬件負(fù)載均衡設(shè)備作為應(yīng)用服務(wù)

器前端負(fù)載均衡。

同時(shí)采用開源LinuxLVS負(fù)載均衡技術(shù)作為硬件局域網(wǎng)負(fù)載均衡設(shè)備的備用

方式，并以此做為內(nèi)網(wǎng)服務(wù)器負(fù)載均衡。

2種負(fù)載均衡拓?fù)鋱D如下：

電信【DC聯(lián)追IDC

服務(wù)器集群服務(wù)器集群服務(wù)器集群服務(wù)器集群

2.3IP地址及DNS規(guī)劃

(1)IP地址規(guī)劃原則：

IP地址規(guī)劃原則如下：

1)IP地址的分配需要有足夠的靈活性，能夠滿足各種用戶接入需要；

2)地址分配是由業(yè)務(wù)驅(qū)動(dòng)，按照資源池模塊業(yè)務(wù)量的大小分配地址段；

3)IP地址的分配采用VLSM(變長(zhǎng)掩碼)技術(shù)，保證IP地址的利用效率。

4)IP地址規(guī)劃要兼顧網(wǎng)絡(luò)資源池規(guī)模擴(kuò)展的需求，預(yù)留足夠的IP地址應(yīng)對(duì)

擴(kuò)展，滿足大二層網(wǎng)絡(luò)和三層路由協(xié)議的需求，實(shí)現(xiàn)IP地址的平滑連接，保證

云數(shù)據(jù)中心的網(wǎng)絡(luò)擴(kuò)展和有序管理。

(2)IP地址規(guī)劃總體規(guī)劃

云數(shù)據(jù)中心將分配1個(gè)B類“10”IP地址段和64個(gè)C類“192.168”IP地

址段，用于網(wǎng)絡(luò)資源池、云平臺(tái)管理和虛擬機(jī)管理

2.4計(jì)算存儲(chǔ)超融合

運(yùn)算單元與儲(chǔ)存單元的融合

傳統(tǒng)IT架構(gòu)使用分離的運(yùn)算與儲(chǔ)存單元，如以服務(wù)器搭配外接SAN儲(chǔ)存設(shè)

備等，超融合架構(gòu)則將運(yùn)算與儲(chǔ)存單元合而為一，每個(gè)服務(wù)器節(jié)點(diǎn)單元同時(shí)兼有

提供運(yùn)算資源與儲(chǔ)存空間的角色，也就是一種"Infrastructureinabox”的概念,

每一臺(tái)超融合架構(gòu)的服務(wù)器節(jié)點(diǎn)，都是自身?yè)碛型暾A(chǔ)設(shè)施的單元。

超融合架構(gòu)采取將多個(gè)節(jié)點(diǎn)組成叢集的方式，既能透過(guò)增加叢集節(jié)點(diǎn)的方式

提供擴(kuò)充能力，也能透過(guò)叢集節(jié)點(diǎn)間的失效切換功能，來(lái)提供高可用性能力，并

藉由叢集節(jié)點(diǎn)間的寫入I/O鏡像復(fù)制功能，來(lái)提供數(shù)據(jù)保護(hù)能力。

所以藉由組成叢集，讓超融合架構(gòu)擺脫了SAN架構(gòu)的局限，借助構(gòu)成叢集

核心的分布式文件系統(tǒng)，直接使用服務(wù)器主機(jī)本身就能滿足運(yùn)算與儲(chǔ)存需求。

超融合(HCI:Hyper-ConvergedInfrastructure):

/天然耦合：

/計(jì)算、網(wǎng)絡(luò)和存儲(chǔ)組件耦合，標(biāo)準(zhǔn)服務(wù)器硬件

/兩種或兩種以上的元素融合

/NoSAN:不再需要專門的SAN存儲(chǔ)

/軟硬結(jié)合：軟件與硬件緊密結(jié)合

/實(shí)現(xiàn)資源整合、統(tǒng)一管理與調(diào)配，可以很容易的橫向擴(kuò)展

/提供存儲(chǔ)功能(快照、重刪和壓縮、復(fù)制等)

/虛擬化

/與Hypervisor虛擬化層緊密結(jié)合

/計(jì)算虛擬化、存儲(chǔ)虛擬化、網(wǎng)絡(luò)虛擬化

硬件環(huán)境

云平臺(tái)的硬件環(huán)境要求包括不同節(jié)點(diǎn)的服務(wù)器要求、網(wǎng)絡(luò)交換機(jī)要求和網(wǎng)絡(luò)

環(huán)境要求。下面是對(duì)硬件的最低要求清單。

服務(wù)器要求

?計(jì)算資源池服務(wù)器要求

項(xiàng)目要求

CPU2路Intel或AMD的64位8核CPU。CPU支持硬件虛擬化技術(shù)，

如Intel的VT-x或AMD的AMD-V,并已在BIOS中開啟CPU虛擬化

功能。同一集群內(nèi)計(jì)算節(jié)點(diǎn)CPU型號(hào)必須一致。

提示：主機(jī)CPU的虛擬化功能必須開啟，否則無(wú)法在主機(jī)上創(chuàng)建虛

擬機(jī)。

內(nèi)存28GB如果主機(jī)用于部署管理節(jié)點(diǎn)虛擬機(jī)，需至少滿足管理節(jié)點(diǎn)

虛擬機(jī)內(nèi)存規(guī)格+3GB。推薦內(nèi)存配置》128GB

網(wǎng)卡網(wǎng)卡數(shù)目23

lOGbENIC*2業(yè)務(wù)網(wǎng)絡(luò)和存儲(chǔ)網(wǎng)絡(luò)

lGbENIC管理網(wǎng)絡(luò)

磁盤2200G

?管理服務(wù)器要求

項(xiàng)目要求

CPUIntel或AMD的64位CPU。

內(nèi)存264GB。推薦內(nèi)存配置）48GB

網(wǎng)卡網(wǎng)卡數(shù)目導(dǎo)3

lOGbENIC*2業(yè)務(wù)網(wǎng)絡(luò)和存儲(chǔ)網(wǎng)絡(luò)

IGbENIC管理網(wǎng)絡(luò)

磁盤2200G

?網(wǎng)絡(luò)交換機(jī)要求

項(xiàng)目要求

交換容量21.28Tbps

轉(zhuǎn)發(fā)性能，720Mpps

|端口要求|實(shí)配萬(wàn)兆電接口數(shù)量/48,支持40GE接口,40GE接口數(shù)Z2

?網(wǎng)絡(luò)環(huán)境要求

通信平面互通性要求

管理平面滿足管理節(jié)點(diǎn)與各計(jì)算節(jié)點(diǎn)的管理平面互通

業(yè)務(wù)平面與各計(jì)算節(jié)點(diǎn)業(yè)務(wù)平面的互通

存儲(chǔ)平面主機(jī)與存儲(chǔ)設(shè)備平面的互通

本次規(guī)劃服務(wù)器統(tǒng)一配置為1U的2路8核CPU、256G內(nèi)存、4個(gè)2TSATA

硬盤、4個(gè)1TSSD硬盤。

一個(gè)機(jī)柜放12臺(tái)1U機(jī)架式服務(wù)器。

一期投入5個(gè)機(jī)柜的服務(wù)器，總共60臺(tái)服務(wù)器及其網(wǎng)絡(luò)設(shè)備，構(gòu)成工業(yè)云

平臺(tái)的IT基礎(chǔ)設(shè)施。

2.5災(zāi)備方案

為了保障在數(shù)據(jù)中心不可用時(shí)，比如出現(xiàn)DDOS攻擊、數(shù)據(jù)中心物理?yè)p壞等

情況下，整個(gè)平臺(tái)能夠通過(guò)域名等方式切換到災(zāi)備中心中以保證平臺(tái)和數(shù)據(jù)的可

用性，需要有災(zāi)備中心。災(zāi)備中心有很多級(jí)別，我們?cè)趫@區(qū)的數(shù)據(jù)中心發(fā)展初期

沒(méi)有必要建設(shè)一個(gè)物理雙活的災(zāi)備中心，這樣成本太高，因此先選擇在亞馬遜云

端建立一個(gè)虛擬災(zāi)備中心，將平臺(tái)中生產(chǎn)環(huán)境的應(yīng)用系統(tǒng)、模板、數(shù)據(jù)同步復(fù)制

到亞馬遜云的虛擬災(zāi)備中心，亞馬遜云的虛擬機(jī)數(shù)量可以隨時(shí)增加或減少。

2.6安全防護(hù)系統(tǒng)建設(shè)方案

(-)物理與環(huán)境安全

物理安全主要涉及環(huán)境安全(防火、防水、防雷擊等X設(shè)備和介質(zhì)的防盜

防破壞等方面。具體包括：機(jī)房選址、物理訪問(wèn)控制、防盜竊和防破壞、防雷、

防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等。

云計(jì)算中心機(jī)房、UPS電源、監(jiān)控等場(chǎng)地設(shè)施和周圍環(huán)境及消防安全，嚴(yán)格

按照國(guó)家相關(guān)標(biāo)準(zhǔn)，并滿足政務(wù)外網(wǎng)24小時(shí)不間斷運(yùn)行的要求進(jìn)行設(shè)計(jì)建設(shè)。

(二)主機(jī)安全

主機(jī)包括物理服務(wù)器、虛擬機(jī)，以及安全設(shè)備在內(nèi)的所有計(jì)算機(jī)設(shè)備，主要

指它們?cè)诓僮飨到y(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)層面的安全。主機(jī)安全包括身份鑒別、訪問(wèn)控制、

安全審計(jì)、入侵防范、主機(jī)惡意代碼防范、漏洞管理、備份與恢復(fù)等安全建設(shè)內(nèi)

容。

(1)身份鑒別

身份鑒別可分為主機(jī)身份鑒別和應(yīng)用身份鑒別兩個(gè)方面。

主機(jī)身份鑒別包括主機(jī)操作系統(tǒng)的賬戶管理和主機(jī)集中控管。主機(jī)操作系統(tǒng)

的賬戶管理必須滿足賬戶及密碼管理策略的要求，如賬戶權(quán)限、口令強(qiáng)度、登錄

失敗處理等。主機(jī)集中控管可通過(guò)域控制器(適用于windows操作系統(tǒng))或堡壘

機(jī)系統(tǒng)實(shí)現(xiàn).

(2)訪問(wèn)控制

通過(guò)配置服務(wù)器安全加固系統(tǒng)實(shí)現(xiàn)訪問(wèn)控制，包括服務(wù)器的授權(quán)，實(shí)現(xiàn)對(duì)數(shù)

據(jù)庫(kù)服務(wù)器、應(yīng)用服務(wù)器等關(guān)鍵服務(wù)器操作系的內(nèi)核級(jí)安全加固防護(hù)，實(shí)現(xiàn)文件、

注冊(cè)表、進(jìn)程、服務(wù)等的強(qiáng)制訪問(wèn)控制。

服務(wù)器安全加固系統(tǒng)的功能包括區(qū)分用戶與進(jìn)程的文件強(qiáng)制訪問(wèn)控制、區(qū)分

進(jìn)程的注冊(cè)表強(qiáng)制訪問(wèn)控制、區(qū)分進(jìn)程的進(jìn)程強(qiáng)制訪問(wèn)控制、服務(wù)訪問(wèn)控制、文

件完整性檢測(cè)、服務(wù)完整性檢測(cè)等。

(3)安全審計(jì)

包括主機(jī)及數(shù)據(jù)庫(kù)審計(jì)。

一是通過(guò)旁路監(jiān)聽的方式部署安全審計(jì)系統(tǒng)，只要在交換機(jī)上設(shè)置端口鏡像

或采用TAP分流，不需要對(duì)現(xiàn)有的網(wǎng)絡(luò)體系結(jié)構(gòu)(包括：路由器、防火墻、應(yīng)用

層負(fù)載均衡設(shè)備、應(yīng)用服務(wù)器等)進(jìn)行調(diào)整。實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行采集、分析

和識(shí)別，并對(duì)應(yīng)用層協(xié)議進(jìn)行完整還原，根據(jù)制定的安全審計(jì)策略進(jìn)行審計(jì)響應(yīng)，

對(duì)業(yè)務(wù)系統(tǒng)核心系統(tǒng)和核心應(yīng)用系統(tǒng)實(shí)現(xiàn)命令級(jí)別、訪問(wèn)邏輯級(jí)別的認(rèn)證和審計(jì)。

二是通過(guò)堡壘主機(jī)系統(tǒng)對(duì)操作系統(tǒng)、數(shù)據(jù)庫(kù)的運(yùn)維操作行為進(jìn)行審計(jì)。通過(guò)

將堡壘主機(jī)旁路接入?yún)R聚交換機(jī)，將主機(jī)及其他網(wǎng)絡(luò)設(shè)備的帳號(hào)密碼等信息錄入

堡壘主機(jī)系統(tǒng)之后，所有運(yùn)維操作通過(guò)堡壘主機(jī)執(zhí)行，即可對(duì)系統(tǒng)維護(hù)進(jìn)行授權(quán)

與審計(jì)。

三是開啟主機(jī)日志審計(jì)功能，由安全管理平臺(tái)進(jìn)行采集和統(tǒng)一審計(jì)。

(4)入侵防范

包括主機(jī)及網(wǎng)絡(luò)兩個(gè)層面的入侵防范。

主機(jī)入侵防范通過(guò)執(zhí)行操作系統(tǒng)最小化安裝，最小化提供服務(wù)，定期進(jìn)行漏

洞掃描及補(bǔ)丁升級(jí)等手段實(shí)現(xiàn)。

網(wǎng)絡(luò)入侵防范通過(guò)部署入侵檢測(cè)系統(tǒng)、WEB應(yīng)用防護(hù)系統(tǒng)等方法實(shí)現(xiàn)。

部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(IDS),IDS采用全面深入的協(xié)議分析技術(shù)，結(jié)合模

式匹配、協(xié)議識(shí)別、協(xié)議異常檢測(cè)、關(guān)聯(lián)分析等多種技術(shù)，準(zhǔn)確識(shí)別各種攻擊，

能夠檢測(cè)各種的網(wǎng)絡(luò)應(yīng)用層協(xié)議；支持檢測(cè)蠕蟲、網(wǎng)絡(luò)病毒，支持檢測(cè)間諜軟件，

支持檢測(cè)常見攻擊行為，包括溢出攻擊、暴力破解、SQL注入、DOS、掃描等攻

擊行為等；提供豐富的入侵阻斷和響應(yīng)方式，包括丟棄數(shù)據(jù)包、丟棄會(huì)話、控制

臺(tái)告警、Email、日志數(shù)據(jù)庫(kù)記錄、snmptrap,防火墻聯(lián)動(dòng)。IDS用于監(jiān)控可能存

在的入侵和攻擊行為，實(shí)時(shí)監(jiān)控并采集發(fā)生的安全事件和安全趨勢(shì)，并上報(bào)至安

全管理中心進(jìn)行區(qū)域風(fēng)險(xiǎn)分析。

在服務(wù)接入?yún)^(qū)部署WEB應(yīng)用防護(hù)系統(tǒng)，在各個(gè)環(huán)節(jié)最大降低網(wǎng)站面臨的安

全風(fēng)險(xiǎn)?？煞乐筍QL注入、跨站腳本（XSS）跨站偽造（CSRF\cookie篡改以

及應(yīng)用層拒絕服務(wù)攻擊等，降低網(wǎng)頁(yè)篡改及網(wǎng)頁(yè)掛馬等安全事件發(fā)生的概率；同

時(shí)可針對(duì)WEB服務(wù)器側(cè)響應(yīng)的出錯(cuò)信息、惡意內(nèi)容及不合格內(nèi)容進(jìn)行在線清洗,

確保網(wǎng)站的公信度。

（5）漏洞管理

漏洞管理主要目的是幫助保護(hù)主機(jī)（包括虛擬機(jī)X網(wǎng)絡(luò)設(shè)備，以及應(yīng)用程

序不受已知漏洞的攻擊。

本項(xiàng)目通過(guò)行業(yè)主流漏洞管理軟件實(shí)現(xiàn)漏洞掃描與安全處理。

1）漏洞的掃描：

2）漏洞的解決：

（6）備份與恢復(fù)

本項(xiàng)目將建設(shè)本地備份系統(tǒng)進(jìn)行數(shù)據(jù)的備份和恢復(fù)。同時(shí)，對(duì)核心路由器、

交換機(jī)、數(shù)據(jù)庫(kù)服務(wù)器等關(guān)鍵硬件設(shè)備和鏈路采用冗余構(gòu)架進(jìn)行建設(shè)。

（三）網(wǎng)絡(luò)安全

在網(wǎng)絡(luò)安全方面，主要做到以下幾個(gè)方面的安全防護(hù)，包括網(wǎng)絡(luò)架構(gòu)安全、

網(wǎng)絡(luò)訪問(wèn)控制、網(wǎng)絡(luò)安全審計(jì)、邊界完整性檢查、網(wǎng)絡(luò)入侵防御、網(wǎng)絡(luò)設(shè)備防護(hù)。

可采取的主要安全措施和技術(shù)包括防火墻、IPS、網(wǎng)絡(luò)安全審計(jì)系統(tǒng)、強(qiáng)身份認(rèn)證

等。

(1)網(wǎng)絡(luò)結(jié)構(gòu)安全

網(wǎng)絡(luò)結(jié)構(gòu)安全是網(wǎng)絡(luò)安全的前提和基礎(chǔ)。關(guān)鍵網(wǎng)絡(luò)設(shè)備及重要網(wǎng)段要考慮設(shè)

備及鏈路的冗余備份；根據(jù)業(yè)務(wù)的重要性和所涉及的信息的重要程度等因素，劃

分不同的虛擬網(wǎng)絡(luò)、網(wǎng)段或VLAN；保存有重要業(yè)務(wù)系統(tǒng)及數(shù)據(jù)的重要網(wǎng)段不能

直接與外部系統(tǒng)連接；合理規(guī)劃路由，業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間建立安全路徑。

等等。

(2)安全隔離及訪問(wèn)控制

主要通過(guò)網(wǎng)絡(luò)虛擬化、三層MPLSVPN、二層VLAN實(shí)現(xiàn)。

1)安全域劃分

公用網(wǎng)絡(luò)區(qū)

專用網(wǎng)絡(luò)區(qū)

2)安全域之間訪問(wèn)控制

各安全域之間采用相應(yīng)的安全防護(hù)手段進(jìn)行有效的隔離，并對(duì)各安全域的進(jìn)

行有效的整理和歸并，減少接口數(shù)量，提高安全域的規(guī)范性，做到"重點(diǎn)防護(hù)、

重兵把守"，保證系統(tǒng)及網(wǎng)絡(luò)的安全。

3)二層VLAN隔離

安全域內(nèi)部通過(guò)VLAN隔離不同的細(xì)分安全域，不同業(yè)務(wù)系統(tǒng)根據(jù)需要?jiǎng)澐?/p>

獨(dú)立的VLAN。

本方案使用虛擬化平臺(tái)，通過(guò)在虛擬交換機(jī)上對(duì)不同虛擬機(jī)劃分VLAN,在

動(dòng)態(tài)遷移過(guò)程中，VLANID會(huì)隨虛擬機(jī)一同遷移，從基礎(chǔ)網(wǎng)絡(luò)上保證虛擬機(jī)遷移

過(guò)程的透明化。

(3)網(wǎng)絡(luò)入侵防御

采用防火墻、抗DDoS攻擊系統(tǒng)（流量清洗系統(tǒng)）和入侵防御系統(tǒng)技術(shù)抵抗

網(wǎng)絡(luò)攻擊。

第三章云計(jì)算平臺(tái)方案

3.1云平臺(tái)整體架構(gòu)

云管理平臺(tái)是云各項(xiàng)業(yè)務(wù)的管理中心，可以融合資源池化、生命周期管理、

業(yè)務(wù)中間件管理、租戶管理、身份認(rèn)證、安全管理、計(jì)費(fèi)與賬務(wù)、服務(wù)運(yùn)營(yíng)、服

務(wù)水平管理、業(yè)務(wù)流程自動(dòng)化等內(nèi)容，是調(diào)度、管理云資源必不可少的手段，也

是ITIL理念架構(gòu)在云上的IT運(yùn)維管理新形式。云管理平臺(tái)整體架構(gòu)示意圖如下

圖所示：

MP

H臺(tái)?第戶VM申謂存信申於敷班申鼻負(fù)CE均品申濡6文■申育

統(tǒng)

一

省

理

&

運(yùn)

維

云管理平臺(tái)整體架構(gòu)示意圖

這里的核心基礎(chǔ)架構(gòu)是云計(jì)算，底層采用超融合技術(shù)，將計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)

通過(guò)虛擬化融合到單個(gè)X86服務(wù)器上，通過(guò)增加服務(wù)器節(jié)點(diǎn)線性擴(kuò)容資源池，利

用的是OpenStack和Ceph等開源技術(shù)。

在PaaS應(yīng)用支撐層，實(shí)現(xiàn)了4個(gè)封裝和服務(wù)開放，以及云端CPS。

1）對(duì)計(jì)算能力的封裝，包括云主機(jī)、容器、云盤等

2）對(duì)應(yīng)用服務(wù)的封裝和服務(wù)，包括Java的Spring微K務(wù)、中間件、數(shù)據(jù)

庫(kù)、緩存、消息隊(duì)列等

3）對(duì)算法和模型的封裝與服務(wù)，包括各種人工智能和大數(shù)據(jù)分析服務(wù)的算

法與模型

4）對(duì)工業(yè)業(yè)務(wù)能力的封裝和服務(wù)，包括工業(yè)機(jī)器設(shè)備的屬性庫(kù)、指標(biāo)庫(kù)、

匹配、查詢、識(shí)別能力，以及工廠建模、仿真、數(shù)字可視化能力

云端CPS,即在云端對(duì)物理設(shè)備建立在互聯(lián)網(wǎng)云端的虛擬映像和建模，并提

供API調(diào)用對(duì)虛擬設(shè)備模型進(jìn)行管理。

3.2云平臺(tái)概述

云平臺(tái)是一個(gè)致力于為工業(yè)應(yīng)用支撐的云計(jì)算管理平臺(tái)，未來(lái)是集成工業(yè)網(wǎng)

關(guān)、工業(yè)大數(shù)據(jù)分析、人工智能、工業(yè)應(yīng)用開發(fā)一體化的工業(yè)云操作系統(tǒng)，能夠

為制造業(yè)企業(yè)解決實(shí)際業(yè)務(wù)場(chǎng)景的能力，包含了對(duì)底層虛擬化資源環(huán)境的管理,

也包含了對(duì)上層業(yè)務(wù)應(yīng)用軟件運(yùn)行環(huán)境的管理和服務(wù)。

云平臺(tái)產(chǎn)品概念。

應(yīng)用系統(tǒng)

應(yīng)用是指用戶需要運(yùn)行的業(yè)務(wù)系統(tǒng)，包含開發(fā)到生產(chǎn)上線的多套環(huán)境，如開

發(fā)環(huán)境、測(cè)試環(huán)境、生產(chǎn)環(huán)境等。

服務(wù)

服務(wù)是指應(yīng)用需要部署的運(yùn)行環(huán)境，一般1個(gè)應(yīng)用由1個(gè)或多個(gè)服務(wù)組成,

常用的服務(wù)包含oracle-jdk、Nginx、Tomcat、Redis、mongodb、MysqLzookeeper.

chrony、ntp等

云主機(jī)實(shí)例

云主機(jī)實(shí)例是支持服務(wù)運(yùn)行的基礎(chǔ)資源云主機(jī)的規(guī)格包含了CPU和內(nèi)存，

您在創(chuàng)建云主機(jī)實(shí)例時(shí)可以隨意選擇CPU和內(nèi)存，也允許在云主機(jī)創(chuàng)建后進(jìn)行

升級(jí)調(diào)整。

數(shù)據(jù)盤

數(shù)據(jù)盤是掛載在云主機(jī)實(shí)例上面，為云主機(jī)實(shí)例擴(kuò)展存儲(chǔ)單元，目前數(shù)據(jù)盤

只能跟隨云主機(jī)存在，不能隨意進(jìn)行掛載其他云主機(jī)。

公網(wǎng)IP

公網(wǎng)IP是在互聯(lián)網(wǎng)上合法的靜態(tài)IP地址。在系統(tǒng)中，公網(wǎng)IP地址需要與

云主機(jī)實(shí)例進(jìn)行綁定關(guān)聯(lián)，可以將申請(qǐng)到的公網(wǎng)IP地址分配到1臺(tái)云主機(jī)實(shí)

例上，不能進(jìn)行解綁。

快照

快照，是某一個(gè)時(shí)間點(diǎn)上某一個(gè)磁盤的數(shù)據(jù)備份?？煺漳軌蚪鉀Q當(dāng)磁盤上的

數(shù)據(jù)出現(xiàn)問(wèn)題時(shí)，您希望能夠恢復(fù)到您所期望的數(shù)據(jù)狀態(tài)。

3.3云平臺(tái)的部分業(yè)務(wù)場(chǎng)景和功能

角色管理

包括云平臺(tái)管理員、運(yùn)營(yíng)管理員、租戶管理員、應(yīng)用管理員；

(1)云平臺(tái)管理員，負(fù)責(zé)云平臺(tái)資源池配置、運(yùn)維訂單、資

源部署。

(2)運(yùn)營(yíng)管理員，負(fù)責(zé)企業(yè)賬號(hào)維護(hù)、資源定價(jià)、用戶反饋

意見處理。

(3)租戶管理員，是企業(yè)管理員，負(fù)責(zé)創(chuàng)建應(yīng)用系統(tǒng)和應(yīng)用

管理員，查看企業(yè)的資金配額和資源使用情況。

(4)應(yīng)用管理員，負(fù)責(zé)為應(yīng)用系統(tǒng)申請(qǐng)?jiān)浦鳈C(jī)資源，維護(hù)云

主機(jī)的生命周期管理。

項(xiàng)目管理

在企業(yè)內(nèi)部可以管理不同的應(yīng)用項(xiàng)目。

環(huán)境管理

指一個(gè)企業(yè)應(yīng)用可以有開發(fā)環(huán)境、測(cè)試環(huán)境、生產(chǎn)環(huán)境等

資源池管理

屬于云平臺(tái)管理范疇,包含VMWare,OpenStack等不同的資源池

定價(jià)管理

包括對(duì)云主機(jī)、云盤等不同型號(hào)不同套餐的定義

服務(wù)目錄

創(chuàng)建應(yīng)用時(shí)，需要選購(gòu)資源的規(guī)格、操作系統(tǒng)、中間件信息，提交資源申請(qǐng)。

租戶管理

一個(gè)租戶包含部門、應(yīng)用、資源，租戶成員可以租戶申請(qǐng)配額、資源，并擁

有對(duì)資源的操作權(quán)限。租戶內(nèi)的應(yīng)用系統(tǒng)有監(jiān)控和告警功能，可以將應(yīng)用發(fā)布到

SAAS市場(chǎng)。

平臺(tái)管理

支持對(duì)Openstack和VMware資源平臺(tái)進(jìn)行管理，同步集群信息、租戶信

息、綁定存量資源等。

資源管理

(1)對(duì)云主機(jī)生命周期操作管理，包含創(chuàng)建、刪除、修改、更改配置、開

關(guān)機(jī)重啟、進(jìn)入控制臺(tái)等。

(2)存儲(chǔ)，同步資源平臺(tái)的存儲(chǔ)信息。

(3)內(nèi)網(wǎng)管理，創(chuàng)建、刪除、修改、同步網(wǎng)絡(luò)。

方案管理

包含計(jì)算方案、操作系統(tǒng)、鏡像方案、租戶配額策略；支持Openstack和

VMware

應(yīng)用監(jiān)控、告警

(1)監(jiān)控：包含CPU、內(nèi)存、磁盤、網(wǎng)絡(luò)、進(jìn)程；

(2)設(shè)立告警閥值，告警閥值包含CPU使用率、內(nèi)存使用率、文件系統(tǒng)使

用率；

曰志管理

支持對(duì)物理服務(wù)器、虛擬服務(wù)器操作日志管理和分析。

配額管理

1、配額介紹

配額是云平臺(tái)使用虛擬貨幣，用于使用經(jīng)濟(jì)的手段控制用戶對(duì)資源使用量,

一般配額等于貨幣。云平臺(tái)提供的資源和服務(wù)，都會(huì)按照實(shí)際的價(jià)值進(jìn)行定價(jià)，

用戶所申請(qǐng)的資源或服務(wù)，都需要通過(guò)支付配額的方式完成。

配額管理分為配額分配、回收、扣款、退款這四種方式：

配額分配：平臺(tái)給企業(yè)賬號(hào)充值資金；

配額回收：平臺(tái)給企業(yè)賬號(hào)扣除資金；

平臺(tái)營(yíng)收:企業(yè)在購(gòu)買平臺(tái)資源或服務(wù)時(shí)，需要向平臺(tái)支付資源的費(fèi)用；

平臺(tái)退款：企業(yè)提前退訂資源或服務(wù)，平臺(tái)需要退還租期的差價(jià)；

2、企業(yè)賬戶

配額的存管、流轉(zhuǎn)需要平臺(tái)的虛擬賬戶進(jìn)行流轉(zhuǎn)，因此每個(gè)企業(yè)在開通時(shí),

需要給每個(gè)企業(yè)一個(gè)單獨(dú)的企業(yè)賬戶，用于管理配額；平臺(tái)負(fù)責(zé)給企業(yè)賬戶進(jìn)

行配額分配、回收；同時(shí)記錄平臺(tái)的營(yíng)收和退款；

企業(yè)賬戶

企業(yè)賬戶的基本信息包含賬戶的可用配額、已