云计算平台建设方案

1、云计算平台方案设计1.1 设计方案平台架构设计XX高新区云计算平台将服务器等关键设备按照需要实现的 功能划分为两个层面，分别对应业务层和计算平台层。业务层中，功能区域的划分一般都是根据安全和管理需求进行划分，各个部门可能有所不同，云数据中心中一般有公共 信息服务区（DMZ区）、运行管理区、等保二级业务区、 等保三级 业务区、开发测试区等功能区域，实际划分可以根据业务情况 进行调整，总的原则是在满足安全的前提下尽量统一管理。计算平台层中分为计算服务区和存储服务区，其中计算服务区为三层架构。计算服务区部署主要考虑三层架构，即表现层、应用层和数据层，同时考虑物理和虚拟部署。存储服务区主要分为IPSA

2、N FCSAN NAS和虚拟化存储。云计算平台中计算和存储支持的功能分区如下图所示：图 云计算平台整体架构fSaaS企业门户信息管理业务支撑安全保障*丿丿PaaS运 营 管 理 体 系BI决策支持工作流引擎访问控制CA认证弹性计算负载均衡服务器虚拟化服务器IaaS资源调度动态迁移按需供给信息安全体系虚拟化/资源池化存储虚拟化网络虚拟化基础硬件设施存储网络图平台分层架构基础架构即服务：包括硬件基础实施层、虚拟化&资源池化层、资源调度与管理自动化层。硬件基础实施层：包括主机、存储、网络及其他硬件在内 的硬件设备，他们是实现云服务的最基础资源。虚拟化&资源池化层：通过虚拟化技术进行整

3、合，形成一个 对外提供资源的池化管理 （包括内存池、服务器池、存储池等）， 同时通过云管理平台，对外提供运行环境等基础服务。资源调度层：在对资源（物理资源和虚拟资源）进行有效 监控管理的基础上，通过对服务模型的抽取，提供弹性计算、 负载均衡、动态迁移、按需供给和自动化部署等功能，是提供 云服务的关键所在。平台即服务：主要在laaS基础上提供统一的平台化系统软 件支撑服务，包括统一身份认证服务、访问控制服务、工作量 引擎服务、通用报表、决策支持等。这一层不同于传统方式的 平台服务，这些平台服务也要满足云架构的部署方式，通过虚 拟化、集群和负载均衡等技术提供云状态服务，可以根据需要 随时定制功能及

4、相应的扩展。软件即服务：对外提供终端服务，可以分为基础服务和专 业服务。基础服务提供统一门户、公共认证、统一通讯等，专 业服务主要指各种业务应用。通过应用部署模式底层的稍微变 化，都可以在云计算架构下实现灵活的扩展和管理。按需服务是SaaS应用的核心理念，可以满足不同用户的个性化需求，如通过负载均衡满足大并发量用户服务访问等。信息安全管理体系，针对云计算平台建设以高性能高可靠 的网络安全一体化防护体系、虚拟化为技术支撑的安全防护体 系、集中的安全服务中心应对无边界的安全防护、利用云安全 模式加强云端和用户端的关联耦合和采用非技术手段补充等保 障云计算平台的安全。运营管理体系，保障云计算平台的正

5、常运行，提供故障管 理、计费管理、性能管理、配置管理和安全管理等。虚拟资源池图平台网络结构图网络负载均衡设计链路负载均衡器将多条互联网线路进行虚拟化处理，保障 用户仍最好的线路访问内外部资源。任意一条ISP线路中断，都不会对服务造成仸何影响。通过链路负载均衡器可实现ISP接入线路的无缝扩展。1) OutBound流量负载均衡访问互联网的流量到达链路负载均衡器时，将通过链路负 载均衡器多种链路状态检测结果选择最佳出口链路，提升用户 体验。2) InBound流量负载均衡为使用户通过不同互联网链路访问互联网接入区应用系 统，链路负载均衡器的智能 DNS解析功能将不同用户访问的域 名解析成不同的公网

6、IP地址，加速应用访问，提升用户体验。资源规划(1)云服务规划50台弹性云服务器(Elastic Cloud Server )承载 XX高 新区市园区智慧服务业务系统。50T云硬盘服务(Elastic Volume Service )做为50台云 服务器的存储。400T 对象存储服务(OBS, Object Storage Service) 用于 视频监控、GIS数据存储等。Anti-DDoS 流量清洗服务(Anti-DDoS Service )防护 50台云服务器的流量攻击安全。(2)资源配置50台弹性云服务器(Elastic Cloud Server ),每台云服 务器4 VCPU 16G

7、B内存，80G系统盘，弹性IP服务，保障因网 络不通，业务正常运行，租用年限 2年。50T云硬盘给50台云主机做存储使用，每台云主机分配云 硬盘1T，租用年限2年。400T对象存储用于视频监控、GIS数据存储使用，下行流量50G,保障正常高清视频的接入带宽，租用年限2年。Anti-DDoS流量清洗服务防护上述所有云服务资源。云服务(1)计算服务?云主机弹性云服务器是由 CPU内存、镜像、云硬盘组成的一种可 随时获取、弹性可扩展的计算服务器，同时它可以结合VPG虚 拟防火墙、数据多副本保存等能力，打造一个高效、可靠、安 全的计算环境，确保服务的持久稳定运行。弹性云主机基于 OpenStack 的

8、 OpenStack Nova、Cinder 和 Neutron服务进行编排。通过实现OpenStack原生API、自动API和组合API (基于多种自动API的组合)为管理员和云服务 控制台在云平台上提供弹性计算服务和运行新的云应用。云服务资源主机具备以下功能：安全：弹性云服务器利用资源隔离，网络隔离，安全组规 格，Anti-DDos流量清洗、Web应用防火墙、 Web漏洞扫描提供 多维度防护去提供一个安全的环境。可靠：故障自动迁移，服务可用性达99.95%，保障业务连续；数据多副本，数据持久性达99.99995%，保障数据不丢失。灵活：支持随时调整主机规格和带宽，高效匹配业务要求、节省成本

9、；支持“云服务器 +物理机”的混合组网模式，提供卓 越计算性能+灵活组网方式。易用：产品种类全面，提供通用型，计算密集型，高内存型，高计算，存储密集型，GPU等多种类型的弹性云服务器，可满足不同的使用场景，统一管理控制台，一站式开通部署。利用弹性云服务器，用户可以轻松获得各种功能。支持多类型，多规格云服务器的选择和变更。提供多种类型的弹性云服务器，可满足不同的使用场景；每种类型的弹性 云服务器包含多种规格，同时支持规格变更。混合组网，支持物理设备租赁 /托管。支持“云服务器 +物理机”混合组网模式；提供卓越的计算性能、灵活的组网方式。海量存储，弹性扩容，支持备份与恢复，让数据更加安全。支持多种

10、性能的云硬盘，提供超高10,高10,普通10三种性能规格供用户选择；支持云硬盘的扩容，当磁盘空间不足时，可以通过扩容原有磁盘空间满足需求；支持云硬盘备份，在磁 盘故障或数据错误时可快速恢复，使您的数据更加安全可靠。弹性伸缩，快速增加或减少云服务器数量。用户可以根据业务需求自行定义伸缩配置和伸缩策略，降低人为反复调整资 源以应对业务变化和高峰压力的工作量，帮助用户节约资源和 人力成本。?镜像服务镜像是一个包含了软件及必要配置的云主机模版，至少包含操作系统，还可以包含应用软件(例如数据库软件)和私有 软件。用户可以基于镜像申请云主机，也可以将已有云主机制作成为新镜像。镜像服务(Image Mana

11、gement Service )提供 简单方便的镜像自助管理功能。用户可以灵活便捷的使用公共镜像或者私有镜像申请弹性云主机。同时，通过已有的云主机， 用户还能创建私有镜像。镜像分为公共镜像和私有镜像，公共 镜像为系统默认提供的镜像，用户可直接根据情况选用并创建 云主机。私有镜像为用户自己创建的镜像，同样可以根据私有 镜像创建云主机。公有云镜像提供了自制镜像内容服务的同时支持平台配置，丰富了镜像，使镜像的更新更容易管理。对于想要快速部 署应用的用户，在云服务有丰富灵活的私有镜像。用户可以通 过批处理迅速启动包含同样内容的应用程序所需的弹性云主 机。公有云镜像服务提供公共镜像服务和私有镜像服务。公

12、共 镜像服务方面，有一些包含普通操作系统的公共镜像，比如 windows和linux。私有镜像服务方面，用户可以通过使用云主 机或云主机备份文件定制私有镜像。私有镜像存储在用户的UDS存储空间内通过镜像服务，用户可以更加便捷、安全、灵活、统一地创建和管理镜像，以满足业务需求。(2)存储服务?云硬盘云硬盘为云主机提供块存储功能，独立于云主机使用。云硬盘是一种基于分布式架构的，可弹性扩展的虚拟块存储设备。用户可以在线进行操作， 使用方式与传统服务器硬盘完全一致。 同时，云主机的损坏不会影响云硬盘，云硬盘具有更高的数据 可靠性，更高的I/O吞吐能力和更加简单易用等特点，适用于 文件系统、数据库或者其

13、他需要块存储设备的系统软件或应用。 一台弹性云主机可以挂载多块云硬盘。一块云硬盘同时只能挂 载到一台弹性云主机上。多存储类型，满足不同性能要求的业务场景；提供普通IO(SATA、高IO(SAS、超高IO( SSD 3种性能的硬盘，满足 不同业务场景需求。弹性可扩展，可随时扩容硬盘容量；单盘最大可扩容至32TB,单台云服务器最多可挂载 10块云硬盘，满足数据容量扩 容需要。副本存储，数据可靠性高达 99.99995%;分布式存储技术， 多副本保存，安全可靠，保障数据不丢失。备份与恢复，防止误删除、被篡改而导致数据丢失；支持云硬盘备份，可随时备份，以及基于时间点恢复硬盘数据实时云监控，随时掌握硬盘

14、健康状态；实时监控云硬盘读 写速率及吞吐信息，帮助您及时了解云硬盘运行状况。?对象存储服务对象存储服务是一个基于对象的海量存储服务，为客户提 供海量、安全、高可靠、低成本的数据存储能力，包括：创建、 修改、删除桶，上传、下载、删除对象等。OBS适合存放任意类型的文件，适合普通用户、网站、企业和开发者使用。对象存储服务是一项面向Internet访问的服务，提供了基 于HTTP/HTTPS协议的Web服务接口，用户可以随时随地在任意 可以连接至Internet的电脑上，通过对象存储服务管理控制台 或客户端访问和管理存储在对象存储服务中的数据。此外，对 象存储服务兼容 Amazon S3大部分原生接

15、口，用户可以通过调 用对象存储服务 RESTAPI接口、多语言的 SDK开发工具包开发 上层适配应用软件，或对接Amazon S3存储，从而可以使用户聚焦业务应用，而无需关注底层存储实现技术。对象存储服务为用户提供了超大存储容量的能力。对象存 储服务配套提供了基于浏览器的可视化统一管理控制台（B/S架构）、基于主机的客户端 （C/S架构）、多语言的SDK开发工具 包（Java、.NET、Python、PHP Android、C+、Ruby）、以及 兼容Amazon S3原生接口的REST API接口，可使用户方便管理 自己存储在对象存储服务上的数据，以及开发多种类型的上层业务应用对象存储服务主

16、要面向海量存储资源池，企业云盘，静态 网站托管，云硬盘备份，视频监控归档，弹性大数据等应用场 景提供存储服务。(3)安全服务? Anti-DDoS流量清洗Anti-DDoS流量清洗服务(以下简称Anti-DDoS )是对IP地址进行 DDoS( Distributed Denial of Service )攻击防护的 一种网络安全服务。通过对访问IP地址的数据流量进行实时监控，在网络出口对访问流量进行检测，及时发现进行DDoS攻击的异常流量。在不影响正常业务的前提下，根据用户配置的防护策略，清洗掉 异常流量。同时为用户生成监控报表，清晰展示网络流量的安 全状况。Anti-DDoS具有以下功能：

17、提供针对以下攻击的防护：SYNFIood攻击、CC( Challenge Collapsar)攻击、慢速连接类攻击、 UDPFlood攻击、ACKFlood 攻击、TCP类攻击等。为单个IP地址提供监控记录，包括当前防护状态、当前防 护配置参数、24小时内流量情况、24小时内异常事件。为用户所有进行防护的IP地址提供拦截报告，支持查询四 周内的统计数据，包括清洗次数、清洗流量、弹性云服务器被攻击次数TopIO排名和共拦截攻击次数Anti-DDoS引导用户针对5G以下的流量自主配置防护参 数，通过调用 Anti-DDoS管理中心的能力在网络出口对访问流 量进行检测和清洗，调用 API下发策略到检

18、测中心；按用户生 成报表，并呈现给用户。对大于 5G的流量，设置为黑洞状态或 建议用户自主购买第三方清洗中心服务，从第三方获取报表。Anti-DDoS对弹性云服务器提供攻击防护，检测中心根据用户配置的安全策略，检测网络访问流量。当发生攻击时，将数 据引流 到清洗设备进行实时防御，清洗异常流量，转发正常流量。功能设计（1）平台处理能力分析1）计算处理能力CPU计算输入：每分钟业务交易量（TAS时，复杂程度比例（S），CPU利用率（C），业务发展冗余（F），峰值交易时间（T）。计算过程：tpmC=TASK x S x F / （T x C）内存计算输入：关于内存的配置，根据我们以往的经验，认为内存的消耗 主要包括如下几个部分：主机系统正常运行所需消耗（主