.云計算平臺工程技術方案天津一普信成科技有限公司 2018年3月.目 錄第1章.基本情況61.1.項目名稱61.2.業主單位61.3.項目背景61.3.1.XX技術發展方向61.3.2.有關XX公開的相關要求71.4.建設規模71.5.投資概算101.6.設計依據101.7.設計范圍101.8.設計分工11第2章.現狀及需求分析122.1.項目意義及建設必要性122.2.現狀分析132.3.需求分析142.3.1.長期需求142.3.2.本期需求14第3章.總體設計173.1.建設目標173.1.1.預期總目標173.1.2.階段性目標183.2.建設內容183.3.系統的總體結構193.3.1.設計原則193.3.2.建設思路213.3.3.總體拓撲結構233.4.信息的分類編碼體系263.5.質量保證體系27第4章.建設方案294.1.網絡資源池304.1.1.組網物理拓撲圖304.1.2.網絡負載均衡設計314.1.3.網絡虛擬化設計334.1.4.IP地址及DNS規劃374.1.5.網絡端口資源估算424.2.計算資源池434.2.1.計算資源池架構434.2.2.應用系統分析444.2.3.計算資源池建議配置與選型建議454.2.4.計算資源池部署484.2.5.虛擬化軟件選型分析504.3.云計算管理平臺524.3.1.云資源管理平臺建設方案534.3.2.云運營管理平臺建設方案634.4.云計算安全防護方案734.4.1.云計算平臺安全威脅734.4.2.云計算平臺安全防護目標744.4.3.云計算平臺安全架構754.4.4.IaaS層安全754.4.5.PaaS層安全914.4.6.SaaS層安全924.4.7.公共安全944.4.8.安全管理制度1004.4.9.云安全服務1014.5.機房方案1024.5.1.機房設備集中管理1024.5.2.布線系統1034.5.3.機房系統1034.5.4.UPS配置方案1054.6.標準化工作1114.6.1.標準規范建設的原則1114.6.2.標準規范的總體框架112第5章.設備配置要求115第6章.項目實施與運行維護1206.1.建設流程及進度安排1206.1.1.團隊組建1216.1.2.業務連續性計劃規劃1226.1.3.實施方案詳細設計1226.1.4.實施方案詳細會審1236.1.5.運維制度的設計1236.1.6.運維制度的會審1256.1.7.采購設備和基礎設施改造1256.1.8.平臺機房端系統改造調測1266.1.9.設備安裝調測1266.1.10.系統聯調1276.1.11.人員技術和制度培訓1286.1.12.項目驗收投產1286.2.項目建設管理及組織機構1296.2.1.領導組織機構1296.2.2.項目建設機構1296.2.3.項目溝通1306.2.4.項目文檔管理1316.2.5.運維及管理的組織機構1326.2.6.運維及管理的規范1336.2.7.運維模式1356.2.8.人員配置和培訓135第1章. 基本情況1.1. 項目名稱云計算平臺工程。1.2. 業主單位XXX公司。1.3. 項目背景1.3.1. 技術發展方向即運用計算機、網絡和通信等現代信息技術手段，實現組織結構和工作流程的優化重組，超越時間、空間和部門分隔的限制，建成一個精簡、高效、廉潔、公平的政府運作模式，以便全方位地向社會提供優質、規范、透明、符合國際水準的管理與服務。隨著網絡技術、web2.0、下一代互聯網等技術的發展，我國云建設也發生著變化。2010年10月，國務院發布了國務院關于加快培育和發展戰略性新興產業的決定，就把新一代信息技術產業作為十二五時期的重點方向，要推動新一代移動通信、下一代互聯網核心設備和智能終端的研發及產業化，加快推進三網融合，促進物聯網、云計算的研發和示范應用。1.3.2. 有關云公開的相關要求全國云領導小組發布了關于開展依托云平臺加強縣級政府云和政務服務試點工作的意見，就開展依托云平臺加強縣級政府云和政務服務試點工作提出了相關意見。要求在試點縣（市、區），用一年左右時間，建立和完善統一的云平臺，充分利用平臺全面、準確發布政府信息公開事項，實時、規范辦理主要行政職權和便民服務事項，并實現電子監察全覆蓋，為在全國全面推行奠定基礎、積累經驗。1.4. 建設規模本期建設規模為（后續根據實際服務器及機房環境進行調整）：編號設備數量單位硬件設備1.1刀片式PC服務器片刀片服務器機箱個1.2機架式PC服務器（4CPU）臺1.3機架式PC服務器（2CPU）臺1.4FC SAN磁盤整列臺1.5NAS存儲系統臺1.6異構存儲（云存儲）控制系統臺1.7虛擬帶庫臺1.8SAN光纖交換機臺1.9核心交換機臺1.10匯聚交換機臺1.11鏈路負載均衡設備臺1.12服務器負載均衡設備臺1.13防火墻臺1.14接入交換機臺1.15WEB應用防護抗攻擊系統臺1.16入侵防御系統臺1.17防病毒網關臺1.18VPN網關臺1.19數據庫安全審計系統臺1.20運維安全審計系統臺1.21安全代理應用服務器臺1.22PKI應用服務器臺1.23身份認證系統套1.24網閘臺1.25網絡KVM臺1.26KVM集中器臺1.27短信機MAS信息機臺2.1云計算平臺管理軟件套2.2Vmware vSphere4.1企業版（1CPU）72套，Vmware vCenter標準版1套套2.3GalaX8800 Operating Edition V100R001 for 1CPU，一年技術服務套2.4Windows Server 2008 R2中文企業版套2.5RedHat Enterprise Linux-企業版套2.6物理機高可用群集軟件套2.7虛擬機高可用群集軟件套2.8應用服務器軟件套2.9Oracle數據庫管理系統套2.10MSSQL數據庫管理系統套2.11MySql數據庫管理系統套2.12數據備份軟件套2.13目錄服務器軟件套2.14防病毒軟件套2.15漏洞掃描設備臺2.16網頁防篡改軟件套2.17SOC安全管理系統套2.18云安全服務套3.1UPS套3.2標準機架臺3.3機房精密空調臺1.5. 投資概算本項目本期工程概算總投資為XXXX萬元（人民幣）。1.6. 設計依據中華人民共和國國民經濟和社會發展第十二個五年規劃綱要；計算機場地技術條件（GB2887-89）計算站場地安全要求（GB9361-88）電子計算機機房設計規范（GB50174-93）供配電系統設計規范（GB50052-92）低壓配電裝置及線路設計規范（GBJ83）建筑物防雷設計規范（GB50057-94）電子設備雷擊保護守則（GB7450-87）工業企業通信接地設計規范（GBJ79-95）中華人民共和國保密標準（BMB3-1999）涉密信息設備使用現場的電磁泄漏發射防護要求（BMZ1-2000）涉及國家機密的計算機信息系統保密技術要求（BMZ1-2000）涉及國家機密的計算機信息系統安全保密方案設計指南（BMZ2-2001）涉及國家計算機信息系統安全保密測試指南（BMZ3-2001）1.7. 設計范圍本方案涉及范圍包括以下幾個部分：（1） 基本情況；（2） 現狀與需求分析；（3） 總體設計；（4） 建設方案；（5） 設備配置要求；（6） 培訓及維護；（7） 項目實施；（8） 概算編制。1.8. 設計分工待定。第2章. 現狀及需求分析2.1. 項目意義及建設必要性XX單位作為信息化建設持續居于全國前列的經濟信息大省，對云計算的表現模式及其能夠帶來的經濟效益表現出持續關注。本項目提出建設政務云計算平臺，對于整合云資源、提高省直部門計算資源配置效率，建設重復信息化投資，打造綠色云，推動高新技術產業發展，都具有長遠的現實意義。（1）云計算是信息技術和產業發展的必然趨勢云計算是網格計算、分布式計算、虛擬化等傳統計算機技術和網絡技術發展融合的產物。它旨在通過網絡把多個成本相對較低的計算實體整合成一個具有強大計算能力的完美系統，并借助SaaS、PaaS、IaaS、MSP等先進的商業模式把這強大的計算能力分布到終端用戶手中。作為一種新興技術和商業模式，云計算將加速信息產業和信息基礎設施的服務化進程，催生大量新型互聯網信息服務，帶動信息產業和信息化建設格局的整體變革。加快云計算發展，不僅是我省提升數字XX綜合競爭力、培育新增長點的重要途徑，也是促進產業機構調整、率先實現跨越式發展的重要舉措。（2）縣級XX是推動XX單位云計算應用的第一步云計算是當今信息技術、信息化的戰略制高點。當前，我省正在貫徹落實國務院辦公廳轉發全國XX領導小組關于開展依托XX平臺加強縣級政府XX和政務服務試點工作意見的通知，將縣級XX作為推動XX單位云計算應用的第一步，在實踐中摸索云計算為XX單位帶來的新機遇，通過政府應用起到的示范和帶動作用，促進全省信息化建設水平的提高，帶動信息產業的發展，戰略信息技術及產業的戰略高地。（3）提高政務部門計算資源配置效率，減少重復建設，節能減排XX單位XX建設以來，全省部署了大量的業務應用系統，涉及海量的網絡設備、服務器及存儲設備。這些設備CPU和內存利用率殘差不齊，大多數較低，部分工作效率在20%以下，同時也有部分部門計算硬件資源極端匱乏。這樣，不僅閑置了寶貴的計算資源，浪費了電力，不利于節能減排，又未能很好地解決資源匱乏部門的實際問題。如果將這些設備整合建設為云計算平臺，服務器的利用效率將得到極大提升（40%60%），能夠動態、彈性、可回收地為各政務部門提供服務。總之，云計算可望提高應用程序部署速度、促進創新和降低成本，同時還增強了業務運作的敏捷性。本項目對我省云計算的發展和應用具有帶動、示范、服務、探索等多重作用，對帶動我省信息化建設進入新階段，探尋我省新的經濟建設模式具有重大的現實意義，有必要盡快實施。2.2. 現狀分析XX單位已經建成了較為完善的XX網絡系統，經過04年、06年兩次大的擴容改造后，覆蓋全省的XX網絡全面建成，信息資源目錄體系與交換體系、信息資源公開和共享機制、信息安全基礎設施基本建立，重點業務應用系統實現互聯互通，管理體制進一步完善，信息技術在政府工作中得到普遍應用。XX單位信息中心作為負責XX單位政府政務數據中心建設和維護的核心信息化部門，服務于XX單位政府部門宏觀決策支持、信息資源開發利用、數據交換、XX、信用體系建設等六大重點業務，按照工信部和國家發改委的要求，近年來一直致力于政務云計算的鋪墊和準備工作，逐步完成了政務數據整合和云就緒準備的前期工作。為推動數字XX建設科學發展，創新XX建設模式，推進云計算應用及相關產業的發展，根據省領導指示精神，下一步將重點建設XX單位政務云。在完成了各部門分散的IT資源和信息數據的整合之后，政府將通過云計算平臺，實現面向更多公眾服務、帶動本地信息化發展等目標。2.3. 需求分析2.3.1. 長期需求滿足未來10年XX單位信息化建設基于XX的信息系統對網絡、服務器、存儲、軟件等基礎架構的需要，面向全省政務系統提供信息共享平臺及云計算平臺。根據XX單位政府和省經信委對數字XX的長遠規劃，不僅要搭建XX云計算平臺，試點并承載相關業務，還需要進行XX云計算平臺的開發和建設，運行核心業務系統。2.3.2. 本期需求滿足今后3到5年XX單位信息化建設基于XX的信息系統對網絡、服務器、存儲、軟件等基礎架構的需要。鑒于每個應用系統對基礎架構資源的需求難以確定，本期工程暫時按照最小經濟規模的云計算平臺建設，計算資源池的服務器物理數量規劃為XXX臺，存儲及網絡設備根據實際需要進行配套。. 硬件需求本次需要配置的硬件包括：主機：刀片服務器、機架式服務器等；存儲：SAN存儲、NAS存儲、IP存儲、虛擬帶庫、易購存儲控制系統、SAN交換機等；網絡設備：路由器、交換機、負載均衡、VPN網關等；安全設備：防火墻、入侵防御、防毒墻、運維安全審計系統、數據庫安全審計系統、漏洞掃描系統。. 軟件需求除了需要配置一定數量的服務器、存儲、網絡設備和安全防護設備外，還需要配備相應的系統軟件，如：1、 每臺物理服務器和虛擬服務器的操作系統：Windows、Linux等服務器操作系統。2、 虛擬化軟件：實現服務器和存儲資源的虛擬化，建立彈性、智能、可回收的資源池；對于新購置的設備，需要進行虛擬化套件的安裝調試。3、 中間件：JAVA及.NET架構的應用服務器等。4、 大型數據庫系統：Oracle、SQL Server、MySQL等。5、 云計算管理平臺：包括網絡管理、資源管理、用戶管理、統計報表、賬單、監控、告警等管理功能。. 安全需求虛擬機的應用將導致物理網卡上的流量成幾何倍數增加，為了應對云計算環境下的流量變化，安全防護體系的部署需要朝著高性能的方向調整。安全設備必然要具備對高密度的10GE設置100G接口的處理能力。同時，考慮到云計算環境的業務永續性，設備的部署必須要考慮到高可靠性的支持，不僅要考慮到設備的可靠性，如采用高性能高可靠高成熟的產品，還應該考慮到設計的可靠性，如雙機熱備、設備虛擬化、配置同步、板件冗余和預留、跨設備鏈路捆綁、硬件ByPass等技術的應用。配置防火墻、入侵防御、漏洞掃描、網頁防篡改、全接入網關和身份認證系統，并從安全區域劃分、接入層安全、服務器區的安全和安全管理等多方面加強云計算平臺的防護。特別是接入層，采用VPN網關，注冊用戶從云計算管理中心獲得VPN Client，通過 VPN Client就可以連接到自己需要的云。服務器安全方面，所有物理服務器全部配置相應的安全策略，禁止不用的端口的訪問，同時在虛擬機模板系統中只打開最小可用端口（如SSH、http、https等），以保證初始系統的安全性。建立應用節點準入規范，保證應用節點自身的安全防護，避免云內發生交叉感染。安全管理方面，則以管理制度為主、技術管控為輔，雙管齊下。. 機房需求鑒于信息中心機房UPS、精密空調承載有限，本項目本期工程應做相應擴容建設。第3章. 總體設計3.1. 建設目標3.1.1. 預期總目標整合信息化建設資源，充分利用現有政府網站和政務（行政）服務中心基礎設施，結合集約化社區服務信息網絡平臺建設，對現有XX平臺進行調整、升級和改造，滿足XX和政務服務應用需要。具體包括：（1） 采用云計算技術，結合創新建設模式，搭建標準統一、功能完善、系統穩定、安全可靠、縱橫互通、集中統一的XX云計算平臺，為各部門信息資源共享、數據交換和系統辦公提供良好的支撐。（2） 通過建設XX云計算平臺，方便未來將新增XX應用快速部署到云計算平臺上，大大縮短新IT系統的上線時間，預期將節省設備30%，節約能耗50%。（3） 解決“信息孤島”，實現信息共享，提高信息安全水平，提升政府監控能力和響應速度，提高工作效率和公共服務水平，提供面向社會的專業性服務和為社會公眾提供政務信息服務。（4） 通過降低成本、提升效率、節能減排，滿足XX要貫徹落實科學發展觀，轉變發展模式的需要。（5） 滿足在云計算平臺上搭建XX應用系統的需要，包括以三層架構為主的應用系統，以及大訪問量的應用系統、大數據處理量的應用系統以及大計算量的應用系統。云計算試點業務運行穩定之后，普及和推廣云計算模式，將XX系統、政府網站應用系統、政務服務業務應用系統、電子監察應用系統等納入政務云計算平臺，通過建立政務服務事項信息庫、辦理過程信息庫、辦理結果信息庫、監察規則信息庫、監察業務信息庫等五個信息庫，實現政務服務和電子監察信息資源管理。XX單位政務云計算建設的總體目標是，實現省級政務系統數據共享，利用云計算彈性、智能、可回收的技術優勢，低投資、低能耗、高效率地部署居民健康檔案系統、統計直報系統、生豬屠宰監管與溯源系統等與政務職能工作相關的應用系統。XX網絡、政府網站、業務管理系統、應用及數據服務中心和信息安全保障體系等納入統一的政務云計算平臺。3.1.2. 階段性目標為滿足XX和政務服務試點工作的業務需求，基于網絡技術、云計算等新興IT技術手段，建設統一的XX承載平臺，根據XX和政務服務目錄，將更多的行政職權納入電子化平臺的業務系統辦理，建設覆蓋行政職權和便民服務事項辦理流程的各個環節的電子監察體系。在初步階段基礎設施先行，建設XX單位XX統一基礎承載平臺，基于云計算的模式，融入虛擬化等技術，具備統一、共享的特性，可以承載XX、金宏工程等試點業務應用。同時為下一階段進一步開展云計算的PAAS、SAAS等業務平臺應用，進行經驗積累和技術探索。3.2. 建設內容本項目在充分整合XX數據中心資源的基礎上，配置必要軟硬件設備，為省直部門的信息系統提供統一的基礎設施服務，在IaaS層構建較為完整的XX云計算平臺。建設內容包括以下幾部分：硬件設備：刀片服務器、機架式服務器、SAN存儲、NAS存儲、IP存儲、虛擬帶庫、易購存儲控制系統、SAN交換機、路由器、交換機、負載均衡、VPN網關。軟件設備：物理服務器和虛擬服務器的操作系統、虛擬化軟件、中間件、大型數據庫系統、云計算管理平臺。安全系統：防火墻、入侵防御、防毒墻、網頁防篡改、身份認證系統、運維安全審計系統、數據庫安全審計系統、漏洞掃描系統。同時采購專業機構提供的云安全服務等。機房配套設備：UPS、精密空調、標準機架。3.3. 系統的總體結構3.3.1. 設計原則1、 標準化當前階段云計算整個產業化還不夠成熟，相關標準還不完善。網絡是云計算的核心承載平臺，為保證多廠商的良好兼容性，避免廠商技術鎖定，網絡方案的設計應需要采用標準技術與協議，能夠與第三方廠商保持良好的對接。此外，為保證方案的前瞻性，設備的選型應充分考慮對云計算相關標準（如EVB/802.1Qbg,TRILL等）的擴展支持能力，保證良好的先進性，以適應未來的技術發展。2、 高可用為保證數據業務網的核心業務的不中斷運行，在網絡整體設計和設備配置上均是按照雙備份要求設計的。在網絡連接上消除單點故障，提供關鍵設備的故障切換。關鍵設備之間的物理鏈路采用雙路冗余連接，按照負載均衡方式或active-active方式工作。關鍵主機可采用雙路網卡來增加可靠性。全冗余的方式使系統達到99.999%的電信級可靠性。要求網絡具有設備/鏈中故障毫秒的保護倒換能力。具有良好擴展性，網絡建設完畢并網后應可以進行大規模改造，服務器集群、軟件功能模塊應可以不斷擴展。良好的易用性。簡化系統結構，降低維護量。對突發數據的吸附，緩解端口擁塞壓力，能保證業務的流暢性等。3、 增強二層網絡云計算環境下，虛擬機遷移與集群是兩種典型的應用模型，這兩種模型均需要二層網絡的支持。隨著云計算資源池的不斷擴大，二層網絡的范圍正在逐步擴大，甚至擴展到多個數據中心內，大規模部暑二層網絡則帶來一個必然的問題就是二層環路問題。采用傳統STP+VRRP技術部署二層網絡時會帶來部署復雜、鏈路利用率低、網絡收斂時間慢等諸多問題，因此網絡方案的設計需要重點考慮增強二層網絡技術（如IRF/VSS、TRILL、VPLS等）的應用，以解決傳統技術帶來的問題。4、 虛擬化虛擬資源池化是網絡發展的重要趨勢，將可以大大提高資源利用率，降低運營成本。應有效開展服務器、存儲器的虛擬資源池化技術建設，網絡設備的虛擬化也應進行設計實現。服務器、存儲器、網絡及安全設備應具備虛擬化功能。5、 高性能由于云計算網絡中的流量模型發生了變化，而隨著整個云計算業務的開展，業務都分布在各個服務器上，流量模型從縱向流量轉換成復雜的多維度混合的方式，整個系統具有較高的吞吐能力和處理能力，系統各層均不存在阻塞，具備對突發流量的承受能力。6、 開放接口為保證服務器、存儲、網絡等資源能夠被云計算運營平臺良好的調度與管理，要求系統提供開放的API接口，云計算運營管理平臺能夠通過API接口、命令行腳本實現對設備的配置與策略下發。7、 綠色節能節能減排是目前網絡建設的重要系統工程之一，從網絡機房的整體能耗來看，IT設備約占到30%，空調等制冷系統約占45%，UPS、照明等輔助系統約占25%。所以作為IT設備的節能，不僅要考慮本身能耗比較低，而且要考慮其熱量對空調散熱系統的影響。應采用低能耗的綠色網絡設備，采用多種方式降低系統功耗。3.3.2. 建設思路 云計算是一種新型的計算資源利用模式。它將計算任務分布在大量計算機構成的資源池上，使各種應用系統能夠根據需要獲取計算力、存儲空間和信息服務。按照服務實現的程度，目前云計算主要有IaaS、PaaS、SaaS三種業務模式： 1)基礎架構服務(IaaS) Iaas層是以服務的模式提供虛擬硬件資源，主要是將基礎設施資源（計算、存儲、網絡帶寬等）進行虛擬化和池化管理，便于實現資源的動態分配、再分配和回收。目前資源池主要分為計算資源池、存儲資源池和網絡資源池，同時也包括軟件和數據等內容資源池。在服務提供方面主要以計算資源、存儲資源提供為主，如為業務信息系統分配虛擬服務器、有儲空間，提供應用服務器、數據庫管理系統等應用系統運行環境。 2)應用平臺服務(PaaS) PaaS層主要提供應用開發、測試和運行的平臺，用戶可以基于該平臺，進行應用的快速開發、測試和部署運行，它依托于云計算基礎架構，把基礎架構資源變成平臺環境提供給用戶和應用。為業務信息系統提供軟件開發和測試環境，同時可以將各業務信息系統功能納入一個集中的SOA平臺上，有效地復用和編排組織內部的應用服務構件，以便按需組織這些服務構件。典型的如門戶網站平臺服務，可為用戶提供快速定制開發門戶網站提供應用軟件平臺，用戶只需在此平臺進行少量的定制開發即可快速部署應用。 3)應用軟件服務(SaaS) SaaS軟件即服務，典型的運用模式就是用戶通過標準的WEB瀏覽器來使用Internet上的軟件，因此可以不必購買軟件，只需要按需租用軟件，直接應用。典型的如電子郵件系統的在線軟件服務，用戶只需作簡單的域名設置，即可部署本單位的電子郵件服務。 鑒于云計算平臺應用需求的提出是一個漸進的過程，云平臺建設是一項復雜的系統工程，建議XX云計算平臺遵循長期規劃、分步實施的原則，本期工程首先實現IaaS，后續工程根據應用的實際需求逐步支持PaaS和SaaS的實現。3.3.3. 總體拓撲結構圖1：XX云計算平臺總體拓撲結構圖 根據本期工程的需求和建設目標，XX云計算平臺總體邏輯拓撲結構如上圖所示。通過鏈路負載均衡器實現多互聯網出口（具體鏈路供應商待定）鏈路負載均衡及高可用。任何ISP專線故障，不影響業務系統正常訪問；通過智能DNS系統實現接入用戶的就近訪問，即電信用戶訪問互聯網接入區走電信鏈路，聯通用戶訪問互聯網接入區走聯通鏈路。 圖2：XX云計算平臺云服務分層架構圖 XX單位XX云計算平臺云服務分層架構圖如上圖所示。整個架構分為三層和兩體系：基礎設施服務層(IaaS)、平臺服務層(PaaS)、應用軟件服務層(SaaS)、信息安全體系和運營管理體系，其中信息安全體系和運營管理體系有信息安全管理平臺和運營管理平臺構成。IAAS及管理、安全體系建設是本次的建設內容，PAAS、SAAS在后續規劃建設。 1、基礎設施服務層包括硬件基礎設施子層、虛擬化&資源池化子層、資源調度與管理自動化子層。硬件基礎設施子層：包括主機、存儲、網絡及其他硬件在內的硬件設備，它們是實現云計算的最基礎資源； 虛擬化&資源池化層：通過虛擬化技術進行整合，形成一個對外提供對資源的池化管理（包括網絡池、服務器池、存儲池等），同時通過云管理平臺，對外提供運行環境等基礎服務。 資源調度與管理自動化子層：在對資源（物理資源和虛擬資源）進行有效監控、管理的基礎上，并且通過對服務模型的抽取，提供彈性計算、負載均衡、動態遷移、按需供給、自動化部署等功能，它是實現云計算的關鍵所在。 2、平臺服務層主要在IaaS之上提供統一的平臺化系統軟件支撐服務，包括統一身份認證服務、訪問控制服務、工作流引擎服務、通用報表、決策支持等。這一層不同于以往傳統方式的平臺服務，這些平臺服務也要滿足云架構的部署方式，通過虛擬化、集群、負載均衡等技術提供云狀態服務，可以根據需要隨時定制功能及相應的擴展。3、應用軟件服務層，是整個XX對外提供的終端服務，可以劃分為基礎服務和專業服務。基礎服務提供統一門戶登錄、統一通訊等功能，專業服務主要指XXXX的各種業務應用如流動人口管理、GIS系統、行政審批、網上執法等等。它們通過應用部署模式相底層的稍微變化，都可以在云計算架構下實現靈活的擴展和管理。按需服務是XXXXSaaS應用的核心理念，多租約SaaS應用可以滿足不同政府用戶的個性化需求，通過多個租約向用戶提供有差別的服務，通過負載均衡滿足大并發量用戶服務訪問等。 4、云計算平臺信息安全管理體系，針對云計算平臺建設以高性能高可靠的網絡安全一體化防護體系、虛擬化為技術支撐的安全防護體系、集中的安全服務中心應對無邊界的安全防護、利用云安全模式加強云端和客戶端的關聯耦合和采用非技術手段補充等保障云計算平臺的安全。 5、運營管理體系：保障云計算平臺的正常運行，提供故障管理、計費管理、性能管理、配置管理、安全管理等等。3.4. 信息的分類編碼體系 信息分類編碼體系將遵循政務信息資源目錄體系( GB/T21063-2007)及相關業務、技術、數據標準和規范進行標準化建設。 (1)信息分類編碼設計遵循的主要原則 分類和編碼的基本原則遵循GB/T7027-2002規定，采用混合分類法；分類類目編碼使用的羅馬字符和阿拉伯數字遵循GB18030-2000的規定。 唯一性原則：編碼要唯一識別，不能有二意性，不能重復； 標準化原則：盡量采用國際標準、國家標準、部級標準及“數字XX”的標準規范； 簡單化原則：代碼要簡單明了，易讀、易懂、易使用；快捷性原則：有快速識別、快速輸入和計算機快速處理的性能； 系統性原則：要全面、系統地考慮編碼設計的體系結構； 擴充原則：可根據實際情況對主題分類進行類目擴充，擴充的類目應分別符合類目的設置規則，分類代碼的配置應符合代碼結構中的規定，并注意助記性。 映射原則：使用中若采用了主題分類以外的其他分類，應建立這些分類的類目表與主題分類的雙向映射關系。 分類擴展原則：在建立信息資源目錄體系時，目錄體系中的信息資源分類應采用主題分類，也可根據具體應用情況選擇其他分類方法與主題分類共同進行分類，如部門分類、服務分類、資源形態分類等；若采用擴展分類代碼，則其分類代碼的配置應符合代碼結構中的規定。 (2)信息分類編碼框架體系 根據實際情況，XX單位XX云計算平臺建設項目的信息分類編碼體系按信息技術自身屬性進行劃分，其體系框架有以下幾個分體系： 信息分類：包括適用于各種應用系統的開發、數據庫系統的建設和數據交換的標準； 代碼結構：采用統一的代碼結構，代碼編制規則：分類類別用l位大寫羅馬字符表示“Z代表主題分類；一級類用l位大寫羅馬字符表示；二級類用l位大寫羅馬字符及2位阿拉伯數字表示。 術語和技術詞江：主要包括與信息化有關的術語標準，XX云計算平臺建設過程中遇到的主要名詞、術語和技術詞匯。 項目管理和建設標準：根據國家的有關規定，規范項目系統的管理和運行機制；制定XX云計算平臺建設項目實施及管理的有關規程。 系統的管理和運行機制：規范項目系統的管理和運行機制； 計算機通信網絡：包括計算機通信和網絡基礎設施建設、技術規范、管理規范等； 信息安全：適用與信息安全有關的信息技術應用系統建設。3.5. 質量保證體系 (1)系統質量保證體系將遵循“數字XX”的系統設計標準 建立質量控制流程； 建立系統編制標準； 制定系統測試的標準和方法； 在每個階段規范項目工作和改進項目質量。 (2)本項目將制定系統設計規范包括程序名、文件名和變量的規范化以及數據字典等，并要求在實施過程中提供以下技術文檔： 項目規劃與系統實施方案； 系統體系架構及描述； 系統軟件功能設計說明書； 系統需求規格說明書； 系統概要設計、詳細設計說明書； 數據庫設計說明書；系統代碼設計說明書；系統測試方案及測試分析報告；系統軟硬件配置說明；系統安裝維護手冊、用戶使用手冊；系統軟硬件培訓資料；系統故障及應急處理預案說明書第4章. 建設方案 基于本期XX單位XX云計算平臺的建設思路一一搭建基于IaaS層面的云計算平臺，如何采用云計算技術建立動態的IT資源平臺，并使之具備快速IT服務交付能力，進而通過動態的IT架構來應對有關省直單位XX業務發展的需要；將應用和業務從底層的IT資源中分離出來，提高系統的可移植性，并能夠充分利用更加優化的系統和網絡資源以提高效率、降低整體成本是本期建設方案需要重點解決的問題。 為此，我們建議以XX應用系統為頂層架構來搭建XX單位XX云計算資源池，它是由計算資源池、存儲資源池、網絡資源池、XX應用程序以及運營管理平臺共同組成，運營管理平臺負責對資源池和應用進行管理調度及告警監控。其組成框架如下圖所示。圖3：資源池組成框架圖以下針對XX云計算資源池的各組成部分分別進行具體闡述。4.1. 網絡資源池4.1.1. 組網物理拓撲圖 XXXX云計算平臺組網物理拓撲如下圖所示：圖4：XX云計算平臺組網物理拓撲圖本工程新增3根移動專線接入，單根200Mpbs帶寬。一根為XX互聯網接入區對外提供服務用，一根用于VPN專線，一根用于XX辦公人員訪問互聯網使用。 整個云計算平臺在組網設計上滿足雙網雙平面結構，從網絡接口、網絡鏈路到關鍵網絡設備均配置冗余部件。在網絡接口上每臺物理服務器至少配置3張網卡，分別用于業務服務、虛擬化平臺宿主機管理、IP存儲系統互聯。業務服務網絡根據業務屬性不同，通過MPLS VPN劃分為公用網絡區、互聯網接入區、專用網絡區。虛擬化計算資源可以在不同的網絡區域中自由遷移。 在匯聚層旁掛防火墻、隔離網閘、運維審計、數據庫審計系統等安全設備。其中防火墻用于實現同一網絡區域中不同業務系統的之間的安全隔離；隔離網閘用于在MPLS VPN隔離的不同網絡區域之間進行安全數據交換，同時用于XX和XX之間的數據安全交換。4.1.2. 網絡負載均衡設計 網絡負載均衡分鏈路負載均衡和本地負載均衡，總體邏輯示意圖如下圖所示：圖5：網絡負載均衡示意圖. 鏈路負載均衡設計 如上圖所示，將移動互聯網專線和電信互聯網專線接入鏈路負載均衡器，鏈路負載均衡器通過對所有Internet鏈路進行流量路由和控制帶寬服務水平實現多互聯網接入的高可用性。鏈路負載均衡器將多條互聯網線路進行虛擬化處理，保障用戶從最好的線路訪問內外部資源。任意一條ISP線路中斷，都不會對服務造成任何影響。通過鏈路負載均衡器可實現ISP接入線路的無縫擴展。 1) OutBound流量負載均衡 XX辦公人員訪問互聯網的流量到達鏈路負載均衡器時，將通過鏈路負載均衡器多種鏈路狀態檢測結果選擇最佳出口鏈路，提升用戶體驗。 2) InBound流量負載均衡 為使移動用戶和電信用戶通過不同互聯網鏈路訪問互聯網接入區應用系統，鏈路負載均衡器的智能DNS解析功能將不同用戶訪問的域名解析成不同的公網IP地址，加速應用訪問，提升用戶體驗。. 本地負載均衡設計 本工程新增本地負載均衡器兩臺，旁掛于匯聚交換機。實現對服務器的負載均衡。本地負載均衡器可以保障內部資源的容錯性，內部任何一個應用節點出現問題都不會對用戶造成任何的影響，本地負載均衡器能夠自動的屏蔽有問題的應用節點，讓其停止對外服務，同時把該故障節點上的用戶遷移到其他正常的節點上去。 匯聚層本地負載均衡器可以虛擬成為多個設備，滿足XX不同分區的安全隔離要求。 XX業務系統以B/S架構為主，目前的WEB應用都包含了大量的圖片，javascript，CSS文件等，這些文件的重復傳輸不但給服務器造成了壓力，同時也使得用戶的體驗受到了影響。本地負載均衡器通過HTTP壓縮的方式來節省帶寬以及提高訪問速度。通過靜態文件和動態文件的cache文件壓縮，瀏覽器端文件cache控制等優化技術，來提供對WEB應用進行加速，提高用戶訪問速度。使用本地負載均衡器開放的API接口可以實現和云計算管理平臺的集成。4.1.3. 網絡虛擬化設計. 云計算對傳統網絡的挑戰 傳統的網絡規劃設計依據高可靠思路，形成了冗余復雜的網狀網結構，結構化網狀網的物理拓撲在保持高可靠、故障容錯、提升性能上有著極好的優勢，是通用設計規則。云計算的大規模運營，給傳統網絡架構和傳統應用部署都帶來了挑戰，新一代網絡支撐這種巨型的計算服務，不論是技術革新還是架構變化，都需要服務于云計算的核心要求，動態、彈性、靈活，并實現網絡部署的簡捷化。具體來說傳統網絡面臨的挑戰主要有以下幾點： 一一傳統網絡的復雜性在實際的運維中，管理人員承擔了極其繁冗的工作量； 一一云計算平臺下多虛擬機部署在同一臺物理服務器上運，服務器的利用率從20%提高到80%，服務器端口流量大幅提升，對網絡性能提出更高要求；一一云計算平臺中，虛擬機在物理服務器之間進行遷移，為了避免虛擬機遷移后路由的震蕩和修改網絡規劃，遷移通常只在在二層域進行，因此云計算平臺需要具備一個性能更高、二層域更大的網絡環境為遷移提供保障。通過分析云計算對傳統網絡基礎架構帶來的挑戰，我們可以從兩個方面來應對。一是通過構建高性能、高可靠的網絡，從而滿足云計算給網絡帶來的壓力；二是通過構建虛擬化網絡來滿足云計算中由于虛擬機部署、遷移、以及安全策略實施對網絡提出的靈活性、安全性的要求。 總的來說，為滿足云計算的業務要求，統一的基礎網絡要素必然包括：高性能交換、虛擬化應用、透明化交換。. 高性能二層網絡 為提供一個性能更高、二層域更大的網絡環境，本工程新增核心交換機和匯聚交換機通過交換機虛擬化技術（華三IRF2、思科VSS）分別虛擬成一臺邏輯設備，減少了設備節點，簡化了配置。通過跨設備鏈路聚合技術取代傳統部署方式中的STP+VRRP協議，使網絡拓撲變得簡潔，具備更強的擴展性；同時，其毫秒級的故障收斂時間，為虛擬機遷移提供了更加寬松的實現環境。圖6：交換機橫向虛擬化經過二層透明化改造后，云計算平臺的匯聚接入層是一個透明二層網絡。不同業務（虛擬服務器）接入不同的二層VLAN，但同一個業務（虛擬服務器）可以在不同網絡分區里靈活部署與遷移，滿足了云計算的要求；同時，匯聚層以上進行的是VPN標簽交換與路由轉發，又保證了不同業務（虛擬服務器）的安全隔離。. 網絡服務虛擬化 為滿足不同XX分區的安全隔離要求，本項目在云計算平臺的匯聚層部署有匯聚交換機、防火墻、IPS、負載均衡器等設備。傳統網絡下，將為不同分區單獨配置一套安全設備，設備利用率低，運維管理復雜。在云計算平臺下，通過網絡服務虛擬化，統一建設一套性能強大、可擴展性良好的網絡服務設備，滿足為不同分區提供安全、應用加速等服務。圖7：1：N網絡虛擬化技術 匯聚層交換機也通過虛擬化技術多實例，每個模擬出的交換機都擁有它自身的軟件進程、專用硬件資源（接口）和獨立的管理環境，可以實現獨立的安全管理界限劃分和故障隔離域。有助于將分立網絡整合為一個通用基礎設施，保留物理上獨立的網絡的管理界限劃分和故障隔離特性，并提供單一基礎設施所擁有的多種運營成本優勢。如下圖所示：圖8：交換機縱向虛擬化. 虛擬交換機技術1) VMware VMware分布式虛擬交換機功能滿足網絡分區條件下，虛擬主機在線遷移等功能時，保證業務網絡的持續性。 虛擬交換機是構成虛擬平臺網絡的關鍵角色，VMware虛擬化通過VMware vNetwork Distributed Switch，使虛擬機跨多個主機移動時始終處于同一個VLAN內，它為虛擬機在物理服務器之間移動時監視和保持其安全性提供了一個框架。VMware vNetwork Distributed Switch示意圖如下所示： 圖9：VMware vNetwork Distributed Switch示意圖 在多網絡分區環境時，VMware通過虛擬交換機的VLAN TRUNK，當一個端口啟用了TRUNK功能后，就具備端口聚合的功效，會自動檢測流向此端口的所有流量，并把不同VLAN的流量導向物理交換機上相應的VLAN中。在一臺ESX主機上由多個千兆網卡綁定在一起(組合成vSwitch)提供VM對外通訊的流量，并與物理交換機上的多個啟用了TRUNK功能的端口相連接。此時VMs分別在VLAN l、VLAN2、VLAN3上，同時在物理交換機上也有同樣ID的VLAN。那么，在VLAN1中的虛擬機，就可以和與物理交換機上VLAN1中的端口相連的機器相互通訊。同時實現虛擬化服務器在多網絡分區間的動態遷移。2）XEN通過將OPEN vSwitch（開放虛擬交換標準）作為其默認組件，自xenserver5.6 FPI就實現對虛擬交換機的支持，而且自verxenserver5.6 SP2開始也實現了分布式的虛擬交換機功能。Xen-Motion是 Citrix Xenserver 的動態遷移技術，當然，該系列4款虛擬化產品中，目前只有最高等級的白金版和企業版才具備這項功能，至于標準版及完全免費的Express精簡版則無此項能力。不但是CITRIX旗下的虛擬化產品，其他基于Xen技術開發出來的虛擬化產品，例如Virtual Iron，也具備相似的動態遷移功能 LiveMigrate，除了免費提供的個人版之外，需要付款購買的企業版及企業加強版具有內置該項功能。4.1.4. IP地址及DNS規劃XXXX云計算平臺新增兩個獨立網段，一個用于云平臺及虛擬機宿主機之間通信，一個用于云計算平臺內IP存儲系統網互聯；業務系統的IP地址和NDS規劃，沿用當前XX統一規劃。具體參考實施意見XXXXIP地址規劃及管理規范和XX政府外網DNS及設備命名規范。. IP地址規劃原則XX單位XXIP地址規劃遵從國信辦和國家外網工程辦有關規定和指導意見。XXIP直至規劃原則包括：IP地址規劃主要涉及到網絡資源利用的方便有限的管理網絡的問題，公有地址相對緊張的情況下，合理有效的利用IP地址成為IP地址規劃的主要問題，合理的IP地址規劃是有利于網絡管理的；IP地址的合理分配是保證網絡順利運行和網絡資源有效利用的關鍵。對于外網廣域骨干網IP地址的分配應該采用國家XX工程辦分配的合法地址空間，充分考慮到地址空間的合理利用，保證實現最佳的網絡內地址分配及業務流量的均勻分布；IP地址的規劃和劃分應該考慮到網絡的后續規模和業務上的發展，能夠滿足未來發展的需要；既要滿足本期工程對IP地址的需求，同時要充分考慮未來的業務發展，預留相應的地址段；IP地址的分配需要有足夠靈活性，能滿足各種用戶接入需要；地址分配是有業務驅動，按照業務量的大小分配各地的地址段；IP地址的分配必須采用VLSM(變長掩碼)技術，保證IP地址的利用效率；采用CIDR技術，這樣可以減小路由器路由表的大小，加快路由的收斂速度，也可以減小網絡廣播的路由信息的大小；充分合理利用已申請的地址空間，提高地址的利用效率；IP地址的規劃應該是XX廣域骨干整體規劃的一部分，即IP地址規劃要和網絡層次規劃、路由協議規劃、流量規劃等結合起來考慮。IP地址的規劃應盡可能和網絡層次相對應，應該是自頂向下的一種規劃。. IP地址規劃總體規劃 根據國家外網工程辦的規定，XXXX云平臺的公用網絡區使用國家申請的IP地址范圍為：XXXXXX。 互聯網區供互聯網訪問的設備的IP目前有省電信、省移動提供外 網地址，數量考慮上留有余地。互聯網區XX移動提供有3根互聯網專線，每條專線提供一個C類外網IP地址段，共3個C類地址段供本平臺使用。 XX單位XX橫向需要互聯各個政府部門，縱向需要打通省，設區市、縣、鄉鎮（街道）四級部門單位，在外網地址規劃中，使用