1、智慧教育云平臺基礎架構層規劃方案目 錄 TOC o 1-3 h z u HYPERLINK l _Toc528822889 第1章背景介紹 PAGEREF _Toc528822889 h 4 HYPERLINK l _Toc528822890 1.1項目背景 PAGEREF _Toc528822890 h 4 HYPERLINK l _Toc528822891 1.2系統現狀 PAGEREF _Toc528822891 h 6 HYPERLINK l _Toc528822892 1.3建設目標 PAGEREF _Toc528822892 h 7 HYPERLINK l _Toc52882289

2、3 1.4建設原則 PAGEREF _Toc528822893 h 8 HYPERLINK l _Toc528822894 第2章 教育云平臺設計 PAGEREF _Toc528822894 h 10 HYPERLINK l _Toc528822895 2.1.IaaS 層解決方案 PAGEREF _Toc528822895 h 10 HYPERLINK l _Toc528822896 2.1.1.三期建設規劃 PAGEREF _Toc528822896 h 10 HYPERLINK l _Toc528822897 2.1.2.兩地三中心架構 PAGEREF _Toc528822897 h 1

3、0 HYPERLINK l _Toc528822898 2.1.3.資源池規模和網絡帶寬預留 PAGEREF _Toc528822898 h 11 HYPERLINK l _Toc528822899 2.1.4.混合云部署模式 PAGEREF _Toc528822899 h 11 HYPERLINK l _Toc528822900 2.1.5.統一資源管理和利用 PAGEREF _Toc528822900 h 12 HYPERLINK l _Toc528822901 2.1.6.計算和存儲設計 PAGEREF _Toc528822901 h 13 HYPERLINK l _Toc5288229

4、02 2.1.7.本異地災備 PAGEREF _Toc528822902 h 17 HYPERLINK l _Toc528822903 2.1.8.云操作系統設計 PAGEREF _Toc528822903 h 20 HYPERLINK l _Toc528822904 2.1.9.教育云安全設計 PAGEREF _Toc528822904 h 29 HYPERLINK l _Toc528822905 2.1.10.云安全方案 PAGEREF _Toc528822905 h 33 HYPERLINK l _Toc528822906 2.2.教育云大數據應用 PAGEREF _Toc5288229

5、06 h 36 第1章背景介紹項目背景隨著物聯網、新一代移動通信網絡、下一代互聯網、云計算等新一輪信息技術的迅速發展和深入應用，信息化發展正醞釀著重大變革和新的突破，信息的獲取、傳遞、處理和運用的能力空前增強，信息化對人類的生產生活將帶來更為深刻的影響，并正在引發一場全方位的社會變革，也就是從工業社會向信息社會的發展，社會發展向更高階段的智慧化發展已成為必然趨勢。同時，我市現代化國際港口城市建設已經步入新的歷史階段，城市化進程不斷加快，城市管理和居民生活要求進一步提高，既面臨著新一輪發展機遇，也面臨著環境資源、產業發展、城市管理、居民就業等方面越來越嚴峻的挑戰。建設智慧城市，對于應對這些挑戰，

6、加快經濟轉型升級、提升公共管理服務、打造高品質生活城市、推進生態文明建設、實現城市創新發展等都具有十分重要的作用。為此，我市抓住成功舉辦 2011 年上海世博會“信息化與城市發展論壇” 的契機，基于信息化的良好基礎和城市發展定位，適時作出了建設智慧城市的決定，成為了國內首個系統謀劃推進智慧城市建設的城市。智慧城市建設，是著眼于我市城市未來發展戰略、契合我市未來城市發展定位而做出的前瞻之 舉。通過智慧城市的建設，進一步挖掘、整合和配置城市各類有形和無形資 源，努力實現信息化、智慧化與經濟社會的深度融合，實現我市城市發展目標的高度融合。智慧教育是我市智慧城市建設重要組成部分，是我市智慧城市建設十大

7、應用體系之一。智慧教育，是政府主導、學校和企業共同參與構建的現代教育信息化服務體系。智慧教育即是生活，該體系由云計算、物聯網、互聯網、數字課件、公共服務平臺和先進的云端設備組成的開放校園。任何人可以在任何時候、任何地方借助電腦、數字電視、手機等各種云端設備進行主動、高質量和個性化的學習。智慧教育正是智慧城市建設在教育領域的具體體現。國家中長期教育改革與發展綱要（2010-2020）、國家教育事業發展第十二個五年規劃、我省教育信息化“十二五”發展規劃等國家、部委、省政府文件明確了教育信息化要力爭實現四個新突破，即教育信息化基礎設施建設新突破、優質數字教育資源共建共享新突破、信息技術與教育教學深度

8、融合新突破、教育信息化科學發展機制新突破。為率先達成上述目標，我市教育局積極開展工作，從組織機構建設，教育信息化經費投入機制，信息化隊伍建設，信息化基礎設施建設和教育資源建設等多個舉措推進我市智慧教育建設，保證我市智慧教育走在全國前列，取得了可喜的成就。2006 年，我市在全國率先提出建設數字化校園概念。2011 年， 我市教育局提出教育信息化專項行動計劃，從課堂教學應用、校園管理平 臺、全市整體規劃三個層面提出教育信息化目標。2012 年，我市提出智慧教育理念，以智慧教育服務終身教育，計劃通過信息技術支撐學前教育、基礎教育、職業教育、市民教育，打造智能化終身教育服務體系。2013 年，我市在

9、全國率先進行城市層面的智慧教育課題研究，以課題研究為引領推進我市智慧教育建設。在基礎軟硬件設施方面，全市已經實現所有普通教室配備多媒體，所有學校均建有校園網，并架設了一條帶寬 1G、貫通全市教育系統的信息高速公路，基本實現了優質教育資源的高速流通和教育管理的智能化。同時，數字星球實驗室、電子書包教室、數碼互動實驗室、無線校園、新一代互聯網 IPV6等一批高智能實驗室和新教學設施進入課堂教學。我市教育信息化建設過程中，各區縣教育部門、學校從各自業務需求出 發，建設了分散在我市各地的多個機房和各自的業務應用，滿足了當前政府管理、學校應用、社會服務的需求。但從長遠看，由于各地資源彼此獨立以及業務條塊

10、分割，資源共享難、業務協同難、互聯互通難等問題將逐步出現。為 此，我市教育局從全局考慮，將統籌規劃建設我市教育云平臺，通過信息化技術手段來重點解決教育改革問題；教育管理問題；教育服務問題。我市教育云的建設是將我市智慧教育課題研究成果轉化為具體成效、將現有優質教育資源充分整合利用和提升的有效途徑，是使我市教育信息化繼續保持全國領先地位的重要舉措。我市教育云是通過使用云計算、物聯網、互聯網等技術， 云、管、端三維一體，構建面向學生、社會人員、家長、老師、教育局等多類角色的統一門戶、教學資源平臺、公共服務平臺、教學管理平臺等服務。通過我市教育云的建設，打造面向服務我市全體師生和民眾的拓展到服務區域的

11、社會教育和終生教育以及長效運營機制，不但實現對我市全體市民、學生的終生優質教育服務，更為我市經濟社會的轉型升級提供產業支撐和智力支撐，打造我市智慧教育國內建設標桿。系統現狀我市教科網現狀目前我市教科網的網絡及相關設備分布如下： 網絡核心設備托管在解北機房，實現與互聯網、省內教育網、各大高校（經由浙大理工）之間的互通。 市三區直屬學校和市教育局直屬單位通過電信光纖接入核心設備，實現內網和外網訪問需要。 主服務器群在裝備中心自有機房，通過電信光纖接入核心設備；裝備中心自有機房另外接有移動、聯通等百兆通道，用于直接提供教育服務。 各縣區分中心網絡設備及信息服務器在各地自有機房，通過電信光纖接入核心設

12、備，實現與省內教育網、各大高校網絡之間的教育內網互通；除市三區分中心外，其他縣級分中心另有各自的互聯網出口（電信為主）。 各區縣學校/單位（不含高校）網絡分別通過接入當地分中心匯聚設備，實現與互聯網、省內教育網、各大高校（經由浙大理工）之間的互通；部分學校另有信息服務器和電信互聯網出口，用于滿足學校信息發布和師生上網需要。 建設目標提高效率，加強服務通過加強教育行政機構以及學校（單位）的管理信息化建設，實現教育管理的“數字化、智能化、公開化”，切實提高教育管理效率；通過完善政策法規、教育培訓、入學就業等信息的發布、查詢與操作，為公眾提供便捷、實 時、權威的教育綜合服務，也為各級教育行政部門和各

13、類學校提供服務的平 臺。整合資源，提高效益通過我市教育云平臺建設統籌管理全市教育基礎硬件資源，逐步改變各 地、各校（單位）分散投資、重復建設、低效利用的現狀。消除不規范機房運行、非專業人員管理帶來的信息安全隱患。通過我市教育云平臺建設全面整合我市教育系統現有信息化資源，構建我市教育云服務中心，為全市教育管理部門、學校、老師、學生和家長提供教育管理、資源共享、網絡輔助教學、家校溝通、互動交流、自助學習的統一平臺，實現軟件公用、統籌管控、教學互動和教學資源共享。利民惠民，促進均衡建立覆蓋基教、職教、高教乃至終身教育的全領域學習社區，利用網絡在線教學的方式形成惠及全體市民的公平教育，逐步實現公共教育

14、服務均等化， 縮小城鄉差距，擴大優質教育資源的服務面，最終實現“時時可學、處處能學、人人皆學”，提供“時時、處處、人人”都能學習的環境，為建設學習型社會做貢獻。教育即生活，教育即未來，教育引領城市文明，打造智慧教育標桿 我市教育云平臺是面向全體我市民的國內領先的教育云平臺，匯聚了國內外各行業優質的教育資源和應用。并通過大數據分析，針對不同的年齡段，不同的行業，不同的興趣愛好進行分類書籍、視頻資源、教育應用的智能化推薦。通過移動智能終端，電腦和電視機都能進行隨時隨地的學習。教育云平臺為我市經濟社會的轉型升級提供產業支撐和智力支撐，打造我市智慧教育國內建設標桿。總之，智慧教育云讓我們進入時時，處處

15、，人人可學的智能學習時代，讓智慧像空氣一樣充滿我們的學習當中。建設原則（1）開放性原則首先，系統設計要采用開放標準，選用的技術產品要符合開放標準。其 次，在此系統之上搭建的各業務子系統又要保持一定的相互獨立，業務子系統可根據用戶方未來業務的需求而靈活的改變，滿足業務系統今后進一步擴展的需要。（2）安全性原則安全體系應該是一個多層次、多方面的結構，在系統的設計中要充分從業務需求、運行環境、系統用戶等諸多方面考慮安全性要求。本系統建成后應具有良好的安全性，能夠對使用者進行驗證、授權、審核，以保障系統的安全 性。同時提供靈活的用戶接入控制策略及分布式控制和集中式控制。（3）穩定性原則要保證系統運行的

16、穩定性，使系統運行風險降至最低。無論是方案的設計還是技術的實現，應充分保證整個平臺統可靠穩定地運行。包括完善的安全保障措施和故障恢復能力，在系統架構設計時，要充分考慮系統的穩定性。（4）兼容性原則本系統與涉及用戶面廣，系統要必須緊密銜接，構成一個整體，所以應對已有系統和用戶的進行全面考慮，做到與現有業務與數據的兼容。（5）先進性原則本項目立足先進技術，在信息技術、軟硬件產品及應用功能的構造上考慮到本系統近期及未來幾年內的發展趨勢，使建設后的系統具有較長的生命周 期。（6）規范性原則系統建設，從網絡協議到操作系統，到數據結構，應遵循通用的國際或行業標準，及國家的各項技術標準。（7）經濟性原則在滿

17、足當前需要和未來發展的前提下，強調本系統搭建的經濟性，盡可能地降低系統成本，最大可能地提高系統的性能價格比。第2章 教育云平臺設計IaaS 層解決方案三期建設規劃一期建設內容：滿足一期我市教育云應用需求，與政務云等互為數據災備二期建設內容：滿足我市教育云市及各區縣應用需求，擴展云計算中心，設立分中心，完成與試點縣（市）區的系統對接與數據交換，為各縣市區提供服務；三期建設內容：教育云資源池服務能力商業化運營探索兩地三中心架構我市教育云“兩地三中心”中我市凌云數據中心、杭州灣數據中心采用異構存儲虛擬化設備和雙活技術，實現我市教育云資源中心和杭州灣教育云資源中心的雙活，實現核心應用的應用級容災，利用

18、電信天翼云公有云資源池作為我市教育云異地數據災備節點，實現數據級災備。而縣市不用再新建教育云平臺，通過萬兆寬帶直連，享受教育云集約化建設福利。采用兩地三中心架構有如下優勢：一、統一的資源管理，實現我市凌云教育云資源中心、杭州灣教育云資源中心、裝備站、我市各學校等現有資源資源池的統一管理和調配，提高資源的有效利用，降低維護成本；二、我市本地擁有相對獨立的兩個資源中心，各自內部利用虛擬化技術建立各個等級的虛擬資源應用池，便于實現應用的動態遷移、故障恢復等活動， 既可以提高資源利用率，又可以確保應用的高可用性、安全性；三、我市教育核心業務可在我市教育云資源中心和杭州灣資源中心同時部署，通過應用負載均

19、衡技術實現雙活，有效提升容災等級，在保障網絡穩定運行的前提下任意一地基礎設施如服務器、存儲等出現故障都能保證業務不中 斷；四、對我市教育非關鍵性業務，可以只部署在本地一個資源中心，本地另一資源中心做備用，當出現災難的時候根據剩有資源的情況進行手工遷移操 作；五、杭州灣教育云資源中心平時也承擔業務訪問，可有效提高災備中心基礎設施的利用率。六、在我市本地發生地質災害、火災等無法逆轉的自然或人為的災害性事件時，異地存在的電信天翼云災備中心可保證我市教育應用數據不丟失。資源池規模和網絡帶寬預留我市教育云對計算、存儲、帶寬潛在的需求很大，和遠期要求很高。 為此，計劃將在凌云機房預留 300 個機柜，杭州

20、灣新區預留 200 個機柜。另外在我市本地帶寬方面，計劃預留 100G 互聯網訪問帶寬，以及 10G 國際訪問出口帶寬。混合云部署模式我市教育云需要采用混合云的建設和部署模式。公有云部分，具體涉及或將涉及三類資源池。包括教育公有云資源池、政務外網云資源池、政務公有云資源池。其中，我市政務共有云資源池尚未建設，暫不詳述。一、與政務云的關系1、部署教育局內部業務應用（科室業務、辦公等）；2、作為教育云公有云核心業務的本地應用級災備中心；3、單向推送，將教育云教育局需要的應用信息等單向推送到政務外網云； 政務外網云通過專用接口，提供實名認證等服務；4、互為數據災備部署學生檔案信息庫、教師檔案信息庫；

21、由于政務外網需要和互聯網邏輯隔離，所以即使出于安全考慮，將教育應用的數據庫服務器、cache 服務器部署到政務外網云資源池時不可行的。在我市政務公有云資源池建成并投入使用之前，教育云應用還是都需要部署在教育公有云中。二、教育公有云部署的應用和服務教育云服務主要面向公眾，主要服務形式為互聯網訪問，整個 PaaS 平臺和大部分 SaaS 應用都適合部署在教育公有云中，具體包括 PaaS 層的統一數據共享交換平臺、統一數據中心、統一支付中心、統一身份認證、統一數據分析等；SaaS 層應用包括智慧教育統一門戶、智慧教育學習社區都適合部署于教育公有云。這是由于教育云大部分應用為互聯網公眾應用，安全遠低于

22、政務云，可以交由運營商直接運營；而我市在校學生有 133.03 萬，教職工工有 10.28 萬，全市戶籍人員 580.1 萬，外來人員務工子女 30 萬，外來務工人員 475 萬。即使一期僅僅只限學生注冊 30%，其中 10%于晚上 7-8 點訪問就有 3 萬多并發。隨著教育云的成熟我市公眾使用教育云享受終生教育服務的比例會越來越高，高并發問題將日益顯著；大數據流（多媒體在線教學、文件上傳下載）；存儲和計算服務需求體量巨大，達 PB 級，非現有資源池能滿足，需要專門服務器需要滿足高并發、視頻流服務處理。統一資源管理和利用在統一資源管理和利用方面，通過借助電信的技術力量，構建我市教育云統一資源管

23、理平臺，整合我市現有教育基礎設施，實現利舊、兼容和擴展性的目的，實現一個云操作系統對多個資源池的統一管理和利用，為各部門提供虛擬化可動態分配的軟件、硬件、應用等服務資源。為實現對我市教育資源池的統一資源管理和利用需要實現三個方面：一、建設我市教育云操作系統，以支持對使用不同軟硬件設施實現統一運維、運 營；三、將我市教育云資源中心和其他現有機房、資源池之間進行專門的組網設計，支持對資源池的統一管理和利用，保障管理信息流的安全。為此，需要開展的關鍵工作包括下述三個方面：虛擬化資源池接入我市教育云操作系統提供標準化的底層硬件接口以及虛擬化軟件的接口， 能夠支持 ESX、Xen、KVM、Hyper-V

24、 等主流虛擬化技術，以實現對現有資源池的統一監控和管理。1、與底層硬件資源的接口與底層資源的接口包括資源管理平臺自身與底層物理資源的接口，以及與第三方專業管理平臺的接口。我市教育云操作系統具備與底層物理資源的接口，通過該接口完成對底層物理資源的管理。我市教育云操作系統有與第三方資源管理模塊的接口，用以加載第三方資源管理功能。存儲接口：加載存儲廠商定制的管理軟件，配合存儲設備的管理接口，提供更完善的存儲管理功能，從而在資源管理平臺上直接管理存儲設備。網絡接口：加載第三方網絡管理模塊，以完善資源管理平臺的網絡管理功能。物理服務器接口：加載第三方物理服務器管理模塊，以完善資源管理模塊的服務器管理功能

25、。2、與底層虛擬化軟件 VMM 的接口我市教育云操作系統將具備與底層各種不同的主流虛擬化軟件的接口，進行數據交互和虛擬化管理，以實現同一資源管理平臺對不同虛擬化技術的統一管理。為實現對新建資源池和現有資源池的統一管理和利用，我市教育云操作系統將具備資產管理、資源封裝、資源監測、資源部署調度等功能。物理機納管我市教育云操心系統還可以根據我市政府的實際需要，通過在物理機上部署資源監控軟件，實現云操作系統對物理機的集中監控和統一管理。計算和存儲設計基礎設施和架構即服務 IaaS 層是我市智慧教育云平臺的基礎。通過虛擬化技術，可以將我市智慧教育云所擁有的計算資源、存儲資源、網絡資源進行有效的整合，形成

26、資源池化，并能按照具體需求將各類資源進行動態的按需分 配，從而提高計算、存儲資源利用率，減少資源浪費，保障各類教育業務和應用的穩定運行。云主機是指通過虛擬化技術，將我市智慧教育云平臺所擁有的計算能力、存儲能力整合，并按照業務部門應用的實際需求，劃分成擁有相應計算及存儲能力的虛擬的服務器。主要包括計算能力的虛擬化和存儲能力的虛擬化。計算資源池我市智慧教育云計算資源池建設建議按如下要求建設： 智慧教育云云計算資源池建議用 X86 云主機池來構建。X86 服務器將采用業內成熟的硬件制造廠商，優先考慮國內自有品牌以及具有核心虛擬化建設能力的服務器制造商。通過服務器虛擬化，可以大大縮減硬件、運維以及綜合

27、成本。具體實施效果如下圖。 計算資源池設計 服務器是云計算平臺的核心，其承擔著云計算平臺的“計算”功能。對于云計算平臺上的服務器，通常都是將相同或者相似類型的服務器組合在一起， 作為資源分配的母體，即所謂的服務器資源池。在這個服務器資源池上，再通過安裝虛擬化軟件，使得其計算資源能以一種虛擬服務器的方式被不同的應用使用。這里所提到的虛擬服務器，是一種邏輯概念。對不同處理器架構的服務器以及不同的虛擬化平臺軟件，其實現的具體方式不同。在 x86 系列的芯片上，其主要是以常規意義上的 VMware 虛擬機或者其他廠商虛擬機的形式存在。集群設計 集群是云計算最初建設的最小單元，一個集群的軟硬件設備應盡可

28、能避免異構。提出集群的概念，是考慮到虛擬機熱遷移范圍、單節點物理機納管數 量、共享存儲訪問效率都受限于現有虛擬化技術，需要定義和劃分建設部署一個基本單元，以保證該單元的性能最優化和效率最大化，以虛擬化軟件VMware 為例，該虛擬化軟件支持集群內的主機數量至多為 32 臺，根據該廠商的最佳實踐經驗，一個集群部署 20 臺左右的物理服務器，管理及運行效率最佳。用戶可以像管理單個實體一樣輕松地管理集群內的多個主機和虛擬機，從而降低管理的復雜度，同時，通過定時對集群內的主機和虛擬機狀態進行監測，如果一臺服務器主機出現故障，運行于這臺主機上的所有虛擬機都可以在集群中的其它主機上重新啟動，保證了數據中心

29、業務的連續性。考慮所涉及的物理服務器臺數比較少，建議先按外網、DMZ 和內網進行劃分集群，待業務發展及資源池擴容以后，再根據不同的應用劃分相應的集群。虛擬機設計 虛擬機與物理服務器類似，它們主要的別在于虛擬機并不是由電子元器件件組成的，而是由一組文件構成的。每臺虛擬機都是一個完整的系統，它具有CPU、內存、網絡設備、存儲設備和 BIOS，因此操作系統和應用程序在虛擬機中的運行方式與它們在物理服務器上的運行方式沒有任何別。與物理服務器相比，虛擬機具有如下優勢：在標準的 x86 物理服務器上運行。可訪問物理服務器的所有資源（如 CPU、內存、磁盤、網絡設備和外圍設備），任何應用程序都可以在虛擬機中

30、運行。默認情況，虛擬機之間完全隔離，從而實現安全的數據處理、網絡連接和數據存儲。可與其它虛擬機共存于同一臺物理服務器，從而達到充分利用硬件資源的目的。虛擬機鏡像文件與應用程序都封裝于文件之中，通過簡單的文件復制便可實現虛擬機的部署、備份以及還原。具有可移動的靈巧特點，可以便捷地將整個虛擬機系統（包括虛擬硬件、操作系統和配置好的應用程序）在不同的物理服務器之間進行遷移，甚至還可以在虛擬機正在運行的情況下進行遷移。可將分布式資源管理與高可用性結合到一起，從而為應用程序提供比靜態物理基礎架構更高的服務優先級別。可作為即插即用的虛擬工具（包含整套虛擬硬件、操作系統和配置好的應用程序）進行構建和分發，從

31、而實現快速部署。存儲資源池我市教育云存儲的資源類型主要為以下四類：（1）素材類：如素材庫、課件庫、題庫和案例庫等，具有海量數據（P 級別存儲需求、乃至 PB 級別的存儲需求正日益增多）、存儲類型眾多（包括以文本、圖像、音頻、視頻、動畫等多種存在形式）等特征，預計在 3-6P 之間；（2）視頻類：在線多媒體教學視頻等，體量也十分巨大，參考我省電教平臺可知，至少需要 500TB 的裸存儲；（3）工具類：如成績分析、學生綜合素質評價、在線考試、在線課堂、互動教育社區及班級網等，具有應用類型多（涉及學校、教師、學生、家長、教學管理及科研機構等多個群體的多類應用需求）、需求個性化強（每個學校、每個班級都

32、自身的特色化需求）等特征；（4）應用類：包括各類辦公、web 應用、統計產生的結構化數據；我市智慧教育云平臺存儲資源池建議采用 IPSAN 和 NAS 混合組成存儲架構，其主要優點包括：高效的資源整合：所有存儲資源對不同服務器均為可見。此種能力允許將存儲整合成較大的虛擬存儲池，然后根據需要分配給不同的服務器使用。這就避免了每個服務器都有其自己的存儲陣列，從而減少投資和管理的費用。高可用性：根據需要可升級為通過雙路連接的存儲設備、雙路連接的服務器和冗余的交換拓樸結構，實現多層次的冗余。第一，多個訪問路徑允許實現集群的故障切換配置；第二，存儲設備從服務器上脫離開，使其能被單獨管 理。第三，災難恢復

33、配置能解決系統宕機時間和服務丟失的問題。可伸縮性：SAN 中存儲設備不再與主機直接相連，它的改動不需要主機停機配合。并且新的存儲設備一旦連入 SAN，經過容量和域的劃分，就可以被連入 SAN 中的主機更有效地使用，進而實現了存儲容量的動態擴充。本異地災備需求分析隨著網絡的不斷擴容完善以及管理工作對于信息化需求和依賴越來越多， 我市教育資源池中存放的數據量成倍增加，數據的安全性要求越來越高，同 時，越來越多的社會管理和公共服務系統也存在著不可以中斷運行的嚴格要 求，因此，原有的單一數據存貯模式已不再適應現代管理的實際需求。從保護現有投資、保障關鍵數據的安全、減小應用系統中斷風險、保障信息系統的平

34、滑發展，降低建設總體費用等諸方面考慮，我市教育云需要建設本異地數據容災備份系統，其中本地容災系統可以利用本地現有教育云資源池的基礎來建設。本地災備中心我市教育云平臺本地災備中心選擇 20km 范圍內合適的杭州灣資源池。可知杭州灣軟硬件資源條件較為優越，網絡能力、存儲能力等，以及安全性、可靠性、穩定性各方面都優勢明顯，本地災備中心落地于杭州灣，可充分利用現有軟硬件設施。我市教育云本地災備由于距離在 20km 范圍內，通過電信大帶寬，低延時的網絡，可使用同步數據復制技術，在兩個數據中心實時寫入存 儲，實現于磁盤的鏡像復制。杭州灣本地災備中心將和我市凌云教育云資源中心組建成雙活資源中心， 在日常承擔

35、部分教育應用的運行，同時作為我市教育云的數據級災備中心和應用級災備中心。堅持“平戰結合、等級容災”的原則建設本地容災備份中心， 滿足我市教育核心應用和部門業務應用的災備需求，對于核心業務，確保實現RPO 接近于 0，即數據不丟失，確保核心業務 RTO 目標4 小時，提供應用級雙活容災。杭州灣教育云資源中心作為本地災備中心，和我市教育云資源中心組成雙活數據中心，實現數據級和應用級災備，主要使用全局負載均衡、存儲虛擬 化、大二層互聯、虛擬化軟件 HA 等關鍵技術來實現。例如，通過負載均衡設備提供的全局負載均衡功能，可以實現：使用唯一的 IP 地址或域名的方式作為所有提供相同服務的數據中心的邏輯入口

36、點。提供靈活的流量分配算法與機制，以確保用戶總能訪問可以為其提供最優服務的數據中心的內容。及時發現各數據中心或數據中心內部的服務器的健康狀況，當某個數據中心出現故障時，保證把后續用戶的訪問導向到正常運行的數據中心 上。針對基于會話的業務，可以提供多種會話保持機制，確保用戶在處理業務時的連續性。避免將用戶的相同會話的業務請求，分配到不同的數據中心而造成訪問失敗。通過存儲虛擬化技術，可以實現我市教育云資源中心和杭州灣教育云資源中心的全局數據查詢、訪問、共享和遷移。使我市教育云操作系統能分配對共享塊存儲設備的讀/寫訪問權限。存儲虛擬化解決允許用戶從不同地理位置同時訪問單個數據副本，從而實現在我市凌云

37、教育云資源中心和杭州灣教育云資源中心透明地遷移應用負載。這一能力使各資源中心之間能透明地共享負載，并提供了有計劃在資源中心之間遷移工作負載的靈活性。另外，如果在其中一個資源中心發生了導致應用程序中斷的計劃外事件，則中斷的應用程序可以在另一個資源中心上重啟，而這只需要最小的工作量，并最大限度地縮短了恢復時間目標 (RTO)。異地災備中心我市教育云異地災備中心選擇電信天翼云數據級災備資源中心，該數據級災備中心可以選擇位于距我市半徑 1500km 的內蒙古的亞洲最大云資源池（電信建設），可有效防止在我市本地在發生地震、洪水等自然災害時我市教育云數據備份的安全；可實現我市教育云 RPO（Recover

38、y Point Objective）數據恢復點目標小于等于 15 分鐘；RTO（Recovery Time Objective）即恢復時間目標小于 2 小時。我市教育云由我市電信配置數據庫遠程復制管理軟件，我市教育外網配備163 網 VPN 隧道、教育內網配備 CN2VPN 隧道，連接到電信的天翼云數據級災備資源中心。異地數據級災備的關鍵技術如下：遠程數據庫復制。在復制過程中，使用自動沖突檢測和解決的手段保證我市教育云備份數據的一致性不受破壞。我市教育云異地數據級災備將使用實時復制、定時復制和存儲轉發復制結合的模式來實現。1)實時復制：我市教育云核心教育應用的數據庫內容被修改時，位于內蒙古的電

39、信天翼云數據級災備中心的數據庫內容實時地被修改。2)定時復制：當我市教育云常規教育應用的數據庫內容被修改時，電信天翼云數據級災備中心的數據庫內容會按照時間間隔，我市政府需求，周期性地按照我市教育云的更新情況進行刷新，時間間隔根據需求設定，可短至 15 分鐘一次或更短。3)存儲轉發復制：當我市教育云非關鍵應用的數據庫內容被修改時，我市教育云數據庫服務器會先將修改操作 Log 存儲于本地，待時機成熟再轉發給內蒙古的電信天翼云數據級災備中心。云操作系統設計我市教育云云操作系統由云運維管理平臺、云運營管理平臺、云資源虛擬化平臺三大系統構成。（1）云運維管理平臺。云運維管理平臺包括資源調度管理和云監控管

40、理 等。云資源調度管理實現對分布在不同物理節點的物理資源和虛擬資源的統一監控、配置管理與部署調度，具體功能包括：物理機管理、存儲管理、網絡管理、虛擬機管理、資源部署調度、模板管理；能調度業界主流虛擬化軟件系統來滿足生成云主機（虛擬機）業務需求，包括 Linux Kvm、Citrix-Xen、OVM、Microsoft hyper-V 和 VMware vSphere 等。同時提供通用接口，供第三方開發使用；能夠提供虛擬計算、存儲和網絡的動態配置和調度，具備靈活提供用戶不同計算和存儲的軟件網絡實施能力，包括提供軟件化的負載均衡、防火墻、NAT 網關、VPN 網關服務和二三層網絡交換和路由服務，應

41、對用戶資源和網絡的靈活調配能力，并有效降低硬件網絡設備初次投入和適配復雜程度。云監控/ 管理實現對實時監控云資源和上層應用的健康狀況，監控項目具體包括主機硬件、存儲系統、網絡、操作系統、數據庫、虛擬資源、機房設備（溫濕度、UPS 等）和中間件等，支持拓撲、列表、圖表等多種展示方式，并可靈活設置閥值，進行告警管理，同時支持統計報表分析等功能。（2）云運營管理平臺。云運營管理平臺提供對基于底層資源（計算、存儲、網絡）生成的各類實際業務進行統一管理，實現服務目錄管理、服務保 障、用戶管理、計量管理、運營管理、訂單管理等功能，簡化實際業務管理流程。CRMS（3）云資源虛擬化平臺。虛擬化平臺提供穩定可靠

42、的跨平臺能力，使用戶不必受制于某類虛擬化軟件，能夠充分利舊，將已有虛擬化軟件 Lisence 復用到天翼云虛擬化平臺。虛擬化平臺能配置和管理這些使用不同虛擬化軟件和操作系統的虛機，能支持大部分虛擬機的熱遷移，并能統一對外提供服務。同時，虛擬化平臺具備優良的開放性，對外提供標準化 API 服務。具體包括跨虛擬化平臺管理、多種虛擬機操作系統支持、虛擬硬件平臺支持、多項虛擬化性能指標支持、虛擬機配置管理、虛擬機熱遷移、可靠性管理、配置向導、存儲管理、定制開發要求、開發接口等功能模塊。 系統架構云運營管理平臺（CBMS）系統管理服務目錄管理服務保障計量管理訂單管理Web登錄用戶管理服務實例管理計量管理

43、運營分析資源管理.用戶管理自服務門戶管理員門戶系統監控云資源監控系統（云運維管理平臺云資源管理系統 CMS虛擬機資源監控操作系統、應用監控資源管理資源部署調度監測日志告警云網絡管理系統 CNS資源監控防火墻負載均衡網關網絡資源監控）IP資源帶寬.物理/存儲資源監控虛擬硬件平臺虛擬機熱遷移開發接口虛擬機操作系統虛擬機配置管理配置向導虛擬化平臺管理云資源虛擬化平臺高性能指標可靠性管理OVMKVMHyper-VVmwareXen適配層網絡資源存儲資源物理機系統架構如圖所示，云主機依托于我市教育云云管理平臺進行管理。云運維管理平臺向下統籌運營管理多個云資源池，實現云資源的按需分配，對外向用戶提供云運維

44、管理平臺和管理接口，對內對接 IT 運營支撐系統等實現云主機“一點接入，全市服務，統一管理”。技術架構 顯示層顯示層使用 JSP 配合 Jquery 及 CSS 完成顯示層主體功能，其中 JSP 實現業務框架，Jquery 完善界面的邏輯控制并負責和服務器進行通信，CSS 負責進行頁面效果渲染。同時為保障系統的安全性和保密性，采用 SSL 技術進行安全加密，確保數據在互聯網傳輸時的安全。在顯示層支持 JSON 和 XML 的接口格式，通過基于 HTTPS 的 JSON 和 XML 接口，不但可以安全的穿越防火墻，同其它系統進行集成，同時方便軟件和數據的重用，在底層系統穩定的前提下保我市教育云云

45、操作系統采用分層的技術架構，除底層常規的虛擬化平臺之外，主要包括顯示層、業務管理（云運維）層、資源管理（云運營）層等三個技術層次。證了 UI 接口和 API 接口的靈活性。業務管理（云運營）層技術實現的核心是通過整合動態組件加載管理技 術、JMX 組件管理監控技術和 MD5、RSA 安全加密以及多線程技術來提供一個靈活的、高性能的、可管理的、安全的業務處理引擎。通過這個引擎可以方便、安全地抽象封裝資源管理層的具體能力，并通過 REST 方式向業務平臺及第三方系統提供服務。同時業務管理層還可以通過 SMTP、短信，以多種形式向用戶發送告警信息。在業務管理層還集成了數據庫管理的中間件，對數據庫進行

46、統一管理、監控。資源管理（云運維）層屏蔽了不同虛擬化平臺的技術實現細節，向上提供了統一的資源操作接口。資源管理層可以方便的同現有成熟的網絡監控、管理軟件以及流量監控軟件進行集成，同時，提供了負載均衡的功能來提高高可用性。SSH-在物理設備上執行控制命令和控制程序；NFS-提供共享存儲； Haproxy-提供高可用性、負載均衡以及基于 TCP 和 HTTP 應用的代理；Traffic Sentinel-公網流量監控；xL2tp、IPSec-實現 vpn；SNMP-實現網絡設備管理。部署環境推薦使用 4 個 E7-4830 CPU，128GB 內存，4 個 300GB SAS 硬盤，8 個千兆電口

47、類型局域網接口，1 個光驅，4 個交流電源模塊，上架導軌，iLO 遠程管理，無操作系統，2 個雙口 HBA 卡，512M 陣列卡緩存的部署環境。云運維管理平臺云運維管理平臺是云操作系統中起到對我市教育云云各類硬件資源、虛擬化資源進行統一配置、監控和管理的模塊，以支撐應用的彈性部署，資源的按需分配。云運維管理平臺包括資源池化配置管理、監控管理、故障診斷、物理資源分區管理、物理服務器管理、配置管理和向導、ISO 鏡像管理、虛擬數據中心管理、網絡管理、云網絡管理、告警管理等功能模塊。資源池化配置管理資源池化配置管理包括資源配置、資源查詢、虛機查詢、虛機配置動態調整、小型機管理等功能模塊。是對物理機、

48、虛擬機、x86 服務器、小型機、存儲資源池、網絡設備等的統一管理。真正讓物理資源變得可以按需分配，是實現云計算所有基礎資源按需使用，彈性部署的基礎。1、資源配置具包括物理資源分區管理、物理分區資源集中管理等，支持對機柜、服務器、Hypervisor、物理資源分區、共享存儲進行分類管理。一個物理資源分區（云區）可以涵蓋多個子物理分區（子云區），一個物理資源分區包括多個機柜、服務器、Hypervisor、存儲服務器等等。支持對機柜（機柜在集群、主機、存儲設置中選擇）、服務器、Hypervisor、物理資源分區、共享存儲進行分類管理。2、資源查詢支持對虛擬機、網絡、模板、鏡像、事件、告警信息等都支持

49、按資源名稱、管理 IP、配置參數、關聯關系等進行查詢，方便資源快速定位， 提高運維效率。3、虛機管理支持虛擬機的創建、刪除，支持使用模板和鏡像創建虛擬機； 支持用戶自定義虛擬機的 CPU、內存、網絡、磁盤等配置參數。4、虛機配置動態調整支持按照應用需求動態調整虛擬機資源，包括內存、CPU、網卡個數、虛擬化磁盤等，可實現：調整 VCPU 數目、調整內存大小、掛載虛擬磁盤。監控管理監控管理包括整體監控和多維監控，是讓系統管理員、普通用戶能直觀了解資源池各方面運行狀態的直觀渠道。整體監控實現了對系統內所有物理資源、虛擬資源的實時監控和歷史數據宏觀統計；使系統管理員能監控資源池使用情況、CPU 使用情

50、況監控、內存使用情況監控、磁盤使用情況監控、網絡使用情況監控、在線/訪問監控。使者普通用戶能監控服務訂購情況、資源使用情況、資源運行情況、在線訪問情況、服務使用情況等。多維度監控包括系統內全部服務器、單個服務器、虛擬機的 CPU、內存、存儲、網絡的運行情況，并能具體顯示各臺服務器與虛擬機的工作狀態，能具體了解某項具體指標項的情況。故障診斷故障診斷主要是面向系統管理員，使其能基于代理 Agent 的管理客戶端獲取豐富的系統信息，有利于方便、準確地進行故障排查，提高系統運維工作的有效性。通過代理 Agent 可以獲取 Hypervisior、虛擬機等多個層面的CPU/vCPU、內存/虛擬內存、存儲

51、/虛擬磁盤、網絡/虛擬網卡的運行狀態，獲得更多的系統運行信息，幫助進行故障診斷。物理資源分區管理物理資源分區管理功能支持異地資源池的統一管理，以及局部私有云的創建。具體支持對物理服務器、Hypervisor、虛擬機進行分區管理，可定義多個物理分區，不同的分區可設置不同的管理、調度、高可用等策略，包括存儲掛載狀態、HA 管理、資源調度管理的策略設置。具體包括添加集群、啟用集群、禁用集群、托管集群、刪除集群等功能。物理服務器管理物理服務器管理是為滿足私有云中可能直接納管物理機，或者某些特殊業務應用需要在物理機上運行的情況和包含的。具體持對物理服務器、Hypervisior 進行統一管理，包括監控、

52、分配、回收、遠程管理。并可以根據管理員指定的服務器角色（物理服務器、Hypervisior），自動化批量部署系統軟件（操作系統、或虛擬化軟件），快速生成或擴展資源池。配置管理和向導配制管理和向導是為了系統管理員和普通用戶能便捷的使用云資源而提供的。主要包括向導式創建、可以指定虛擬機所屬的物理分區、允許為虛擬機添加多塊數據磁盤、模板管理、模板創建、查詢模板、編輯模板、下載模板。ISO 鏡像管理ISO 鏡像管理模塊可以對系統中鏡像進行管理。可以添加作為虛擬機模板的操作系統安裝源鏡像，供創建虛擬機模板使用；支持應用鏡像的動態加載， 方便用戶應用的安裝部署。虛擬數據中心管理按服務等級對物理資源中心進行

53、邏輯組織，通過 VDC 對外提供服務。網絡管理支持管理各種網絡資源，包括 VLAN、IP、網卡等，并可根據用戶需求，自定義網絡配置、動態分配網絡資源，包括帶寬、IP 資源動態分配等；可管理平臺中的多套網絡，實現流量分離，包括管理網、業務網、存儲網、IPMI 帶外管理網等。實現虛擬機網卡之間的 VLAN 隔離，帶寬控制等。云網絡管理云網絡管理是天翼云操作系統使用軟件提供的虛擬化的網絡管理功能，即使在沒有相應物理網絡設備的情況下，也能滿足常規的管理管理需求，具體包括虛擬網絡交換機、虛擬網絡防火墻、軟件負載均衡、三層路由等功能。虛擬網絡交換機使用虛擬化軟件技術仿真出來的二層交換機，位于物理服務器中。

54、vSwitch 創建虛擬的網絡接口(vNIC)鏈接 VM，并使用物理網卡連接外部的物理交換機。 軟件負載均衡支持通過調用軟件防火墻或硬件防火墻的接口來構建整個平臺的防火墻資源池，并實現對防火墻的管理，授權用戶添加、刪除自定義安全規則；支持進行虛擬防火墻的創建、修改、刪除、查詢、啟動、停止、重啟等操作：支持對 VPN 資源進行分配和管理、支持安全組的創建、刪除、查詢等操作。支持 VPC 的創建、刪除、查詢等操作。 虛擬防火墻管理支持通過調用軟件負載均衡或硬件負載均衡的接口來構建整個平臺的負載均衡資源池，并實現對負載均衡的管理。授權用戶添加、刪除自定義負載均衡規則。教育云安全設計信息安全歷來都是信

55、息化項目建設的的重要議題，也是構建教育云中十分突出的問題。如何使我市教育云在提供高效服務的同時，保障信息安全是我市教育云云是否取得成功的重要標志。在本項目的安全方面杜絕網絡入侵、建立信息防火墻、強化數據加密、設置內外網隔離區等方面，為我市教育云云的正常運行護航開道，同時引入安全運營機制從制度和技術上保障信息安全。基礎設施安全虛擬化帶來好處的同時，也帶來新的安全風險。首先是虛擬層能否真正地把虛擬機和主機安全地隔離開來，這一點正是保障虛擬機安全性的根本。其次由于虛擬機運行在同一臺主機上，如果主機受到破壞，那么上面所有的虛擬機都都會受到影響，同樣如果虛擬機之間的虛擬網絡受到破壞，那么這些虛擬機也會受

56、到影響。因此，虛擬化安全需要重點考慮虛擬機的隔離和防護，以保障安全隱患不會在整個網絡中蔓延。防火墻所謂“防火墻”，是指一種將內部網和外部訪問網(如 Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關 4 個部分組成，防火墻就是一個位于本項目和它所連接的外部網絡之間的網絡設備。本項目中流入流出的所有網絡通信和數據包均要經過此防火墻。根據項目中所使用防火墻的型號，增減防火墻功

57、能等內容。網絡隔離每個項目對應一個 VLAN，每個項目的虛擬機位于該 VLAN 內部，VLAN 的隔離性由交換機及各主機上的虛擬化引擎保證。VLAN 提供數據鏈路層的隔離，可以保證一個 VLAN 的幀不會發給另一個 VLAN。VLAN 通過虛擬機的MAC 地址對虛擬機進行標識，即使用戶手動改變虛擬機 IP 地址，也無法變更虛擬機所處的 VLAN。虛擬機 MAC 地址由云計算管理平臺及物理主機維護， 用戶無法變更。有了基于 VLAN 的隔離，即使用戶在虛擬機上安裝 sniffer 等網絡監聽程序，也無法截獲到其他項目的數據包。 VLAN 隨著項目的創建而動態創建，項目虛擬機之間、項目虛擬機與項目

58、成員的工作站之間可以相互發送單播和廣播消息。不同項目的虛擬機之間是隔離的，保證了項目數據的安全性。一個用戶可以同時參與多個項目，可以訪問多個項目的虛擬機。云計算管理服務器以及各物理主機本身處于一個獨立的VLAN，可以防止云計算的用戶從自己的項目環境侵入管理環境。IPS/IDS入侵預防系統(IPS: Intrusion Prevention System)是網絡安全設施，是對防病毒軟件（Antivirus Programs）和防火墻(Packet Filter, Application Gateway)的補充。入侵預防系統(Intrusion-prevention system)是一部能夠監視網

59、絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。防火墻可以根據 IP 地址（IP-Addresses）或服務端口（Ports）過濾數據包。但是，它對于利用合法 IP 地址和端口而從事的破壞活動則無能為力。因為,防火墻極少深入數據包檢查內容。即使使用了 DPI 技術（Deep PacketInspection 深度包檢測技術），但其性能及能力受到諸多限制，從而限制其功用。入侵預防系統也像入侵偵查系統一樣，深入網絡數據內部，查找它所認識的攻擊代碼特征，過濾有害數據流，丟棄有害數據包，并進行記載，以便事后分析。除此之外，大多數

60、入侵預防系統同時結合考慮應用程序或網路傳輸中的異常情況，來輔助識別入侵和攻擊。比如，用戶或用戶程序違反安全條例、數據包在不應該出現的時段出現、作業系統或應用程序弱點的空子正在被利用等等現象。入侵預防系統并不僅僅依賴于已知病毒特征。使用入侵預防系統的目的在于及時識別攻擊程序或有害代碼及其克隆和變種，采取預防措施，先期阻止入侵，防患于未然。或者至少使其危害性充分降低。入侵預防系統一般作為防火墻和防病毒軟件的補充來投入使用。在必要 時，它還可以為追究攻擊者的刑事責任而提供法律上有效的證據。IDS 是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測系統”。是依