协和沃云-T解决方案

1、协和医院应用上云方案1.1需求背景协和医院现有一卡通使用人员六千余人，七个餐厅共计150多台消费设备，和中国银行前置服务器连接，实现利用中行卡进行一卡通圈存。消费结算时能够选择微信小程序二维码、刷卡等支付方式，后台记录就餐人员的日常饮食记录，为就餐人员的健康评估提供基础依据。建立协和医院一卡通微信小程序，绑定中国银行卡，实现给一卡通充值、挂失、解挂、查询功能。建立协和医院内部网络商城，实现和京东、网易严选的对接，一卡通使用人员能够在商城购物，利用一卡通余额来支付。还有些人脸识别通道和门禁，和一卡通系统对接，实现医护人员人脸识别进出智能化管理。1.2项目方案1.2.1需求概述本次平台建设要求釆用

2、云服务器、云数据库设备、云存储设备，采用分布式技术，并充分考虑硬件无关性。协和医院服务运营管理基础架构项目的系统环境需求如下：采用开放架构x86物理服务器、x86架构存储、通用网络设备等硬件设备，不被特定的厂商硬件绑定；采用分布式软件技术实现软件定义网络、软件定义存储等特性，采用通用的架构，不与特定硬件绑定；1.2.2技术需求本次平台建设需满足协和医院应用系统平均每天12000人，最高并发量6000的压力要求，提供充足承载业务压力的网络带宽，同时对多台应用服务器做负载均衡，实现访问的稳定性与延续性。针对互联网的访问，需要添加安全增值服务，比如Web应用防火墙、DDoS攻击防护以解决用户受到流量

3、攻击、网页篡改、病毒入侵等潜在问题。云平台自身采用高可用架构，数据采用多副本机制，自主备份、跨中心灾备，一旦出现意外状况及时恢复，保证用户数据的完整与可靠。第二章联通云平台优势3.1联通云介绍3.1.1沃云T沃云-T提供的产品安全可靠、稳定易用，针对不同领域独特需求，沃云T还推出一系列行业解决方案，例如微信解决方案、游戏解决方案、移动应用解决方案、视频解决方案、政务云解决方案等。沃云-T有着深厚的基础架构，并且有着多年对海量互联网服务的经验，不管是社交、游戏还是其他领域，都有多年的成熟产品来提供产品服务。沃云-T在云端完成重要部署，为开发者及企业提供云服务、云数据、云运营等整体一站式服务方案。

4、具体包括云服务器、云存储、云数据库和弹性web引擎等基础云计算服务；沃云-T分析(MTA)、沃云-T推送(信鸽)等大数据运营服务和增值产品服务；以及QQ互联、QQ空间、微云、微社区等云端链接社交体系。这些正是沃云-T能够提供给这个行业的差异化优势，造就了可支持各种互联网使用场景的高品质的沃云-T技术平台。技术先进联通一贯秉持开方的态度建设云计算体系，所以整体平台的开放程度很高，例如联通的虚拟化采用的是KVM等开放的技术路线结合联通18年来的海量用户运营经验而开发出来的国际领先的云平台；联通数智方略大数据平台，也完全基于开放的松耦合模式搭建，用户可根据自身应用的需要，任意修改或替换其中的模块，而

5、不用担心异构兼容性问题。这样能够降低技术风险，可更为自主的选择技术路线。除了在传统的虚拟化（KVM,OpenStack等）领域有非常丰富的技术积累和沉淀外，联通还支持业界最新的云计算技术发展诸如应用容器（Docker）沃云-T平台还能够对VMWare.Hyper-V等多种以前流行的虚拟化平台进行统一的资源管理和调度，以保护过去的投资并向下兼容。运营经验丰富联通拥有业界最顶尖的运营团队和云平台技术，以联通企业云为例：企业云是联通专门为国家“互联网+”战略落地，定制打造解决方案的一个典型应用，它也是业界最大的一套在用私有云系统之一。企业云为整个联通集团和关联公司的内部办公、业务管理、研发和测试提供

6、云计算服务，机房遍布全球50多个地区，被管理的0S（包括云虚拟机和物理机）超过10000个，支撑近300个业务系统的稳定运行，整体平台可用性达到99.99%。联通亦构建了覆盖全中国大陆、香港地区、东南亚乃至北美等多地的公有云平台，承载了包括滴滴打车、大众点评和微众银行等超过60万个顶尖互联网业务系统，为超过8亿的互联用户提供稳定优秀的互联网服务。顶尖的互联网和信息安全保护能力联通既是一家国际顶级互联网企业，也是国际顶级的安全服务提供商。为了保证其互联网的各项业务正常运行，联通在互联网安全网络防护（如：DDoS防护，DNS劫持，CC攻击防御等），入侵监测（如：后门木马监测，暴力破解告警，异地登录

7、提醒，登录流水查询等），漏洞防护（如：漏洞扫描，网络安全防护WAF）等方面有非常深厚的积累。日对抗黑客攻击及扫描超过1亿次，日化解QQ帐号破解次数100亿次。2015年6月，沃云-T主机、云数据库和云网络获得公安部信息安全等级保护三级认证，具备为政府机构和大型企事业单位提供安全云服务的资质。联通也是国内首家获IS027001：2013新版认证的云服务提供商。联通己经通过了工信部的可信云认证审查。为维护国内安全的上网环境，联通开放了从网络攻击防御、入侵检测到漏洞扫描防护等全系列信息安全服务，2015年7月网络防攻击产品-“大禹”成功抵御了超过300G的DDoS持续攻击，为云上政府和企业提供了业界

8、最领先的安全服务保障。跨多个运营商互联互通的能力联通已经建成与移动、联通、电信、赛尔、香港、海外、CAP和PACNET等多家运营商互联的BGP骨干网络，既能保证用户从任何运营商接入均能享受高质量的互联网服务，又在任何一家运营商发生故障时，依然能保证云网络服务的正常高效运行。具备强大的异地容灾能力和实施经验沃云-T支持“两地三中心”等高可用架构，并已经得到多家银行、证券等苛刻行业用户的认可。2015年8月12日，天津发生“812”瑞海公司危险品特别重大火灾爆炸事故，联通天津机房距离爆炸中心直线距离不到2KM,部分爆炸气浪冲击到了数据中心建筑主体。运营团队启动应急预案对数据中心进行了全面检查，并将

9、负载成功地切换到异地灾备机房，保证了数据无丢失、业务无中断。3.1.2联通公司介绍中国联合网络通信有限公司（以下简称中国联通）由原中国网通和原中国联通应国家电信体制改革需要于2008年10月15日合并成立，是经国务院同意进行国家授权投资的机构和国家控股公司的国有特大型通信企业，由国资委代表国务院对其履行出资人职责。中国联通在国内31个省（自治区、直辖市）和境外多个国家和地区设有分支机构，员工总数近50万人。合并后的中国联通拥有三大电信运营商中最为完整的“八纵八横”光缆传输网，在每个省会城市均可提供两个以上的光缆干线出口。中国联通是国内唯一一家真正拥有两张完全独立骨干传输网的电信运营商，其骨干传

10、输网继承了原中国网通和原中国联通各自的骨干传输网，连接全国省会城市和重点城市，覆盖了全国所有省份。整个骨干传输网络具有较好的一致性，易于维护和管理。凭借丰富的骨干传输网络资源，中国联通能够为用户提供2M、155M、622M、2.5G、10G、40G的国内和国际数字电路出租服务以及FE、GE、10GE、1OOGE的国内和国际以太网专线出租服务。中国联通在经营基础电信业务同时，还具备以下资质及证书：计算机信息系统集成一级资质、通信信息网络系统集成资质、涉及国家秘密的计算机信息系统集成甲级资质、商用密码产品销售许可证、IS09001质量管理体系认证、软件企业认定证书、安防工程企业资质证书、CMM4认

11、证、通信信息甲级设计资质、通信咨询甲级资质、通信勘察测量甲级资质、建筑智能化设计甲级资质、高新技术企业、进出口企业备案登记等。能够为客户提供多项专业技术服务。中国联通服务首都、中央部委，承接多项重要通信建设及保障任务，包括奥运会通信保障，是奥运会固定通信唯一合作伙伴，是国家尤其是北京通信和信息化建设的主力军。承建了奥运赛事网（GAMES）系统、奥运管理网（ADMIN）项目等7个重要的通信及赛事保障系统，完成了北京内外56个场馆的赛事保障及系统维护，出色完成了奥运会和残奥会的保障工作，为北京2008奥运会的成功作出了突出贡献，获得奥组委的髙度评价和奖旗。中国联通面向政企、金融行业客户提供先进、安

12、全、可靠、高质量、易扩展的信息化服务。当前总部直属单位拥有一大批具有IT专业知识背景、精通各种开发工具、熟悉网络技术及行业信息化的专业研发人才和项目管理人才。在软件开发方面，公司设有北京、山东、黑龙江三大研发基地，拥有大量软件开发人才，熟练掌握各类主流的开发和设计管理工具、中间件软件，对三层体系结构有深入的研究和应用，能根据客户需要定制开发各类应用系统。在系统集成方面，公司总部拥有大批CISCO.华为、ORACLE、IBMAIX微软认证工程师，能够安装调试IBM、HP、SUN、DELL等各种小型机服务器，熟练使用ORACLE、SYBASE、DB2、SQLSERVER等大型数据库，精通CISCO

13、、华为、3COM等各种网络设备。中国联通拥有全国三级运维响应服务能力，建立了完善的客户服务支撑体系,为客户提供7X24小时一站式维护支撑服务，能够为客户提供定制化维护外包及专业定向服务。中国联通承接了很多中央、政府、金融、大型企业的服务外包业务，如：中央组织部全国党员热线、海尔全国ICT服务外包系统等。第三章总体技术方案3.1系统整体架构云服务平台作为协和医院一卡通计费平台的重要组成部分，是一卡通使用中各个应用模块的基础支撑平台和运营管理平台，本方案从安全性、可靠性、可用性、扩展性、易用性、可管理性、规范性、开放性、兼容性等方面进行考虑，基于KVM开放云平台架构，统一资源调度和编排，整合云应用

14、开发流程，辅以运营和运维平台，最终提供云应用商店服务，为全媒体新闻平台的各应用提供快速、高效、稳定的云服务。云平台项目的整体架构图如下：SFKWIJP3.1.1云平台项目模块划分整个平台包含了laaS基础资源架构层、云应用平台层、用户门户管理层、运营和运维管理平台。IAAS资源层实现对底层物理资源的管理和调度，并通过API接口为上层应用平台提供资源调度和编排服务；为运营平台提供资源计量接口，为运维平台提供管理API接口；为用户和管理员门户提供调度和管理API接口。整个laaS层主要包括：物理资源层、虚拟资源层、统一资源调度层。其中物理资源层主要包括物理服务器、网络设备、存储资源等；虚拟资源层主

15、要包括各种服务器虚拟化技术、存储虚拟化技术、网络虚拟化技术等，将物理资源通过虚拟化技术变成动态可调度的资源；统一资源调度层通过云平台核心调度模块来实现虚拟资源的发现、分配、调度和管理，并通过统一的API接口对外提供服务。云应用平台层基于IAAS层的基础设施资源服务，提供应用容器、对象存储、数据库、缓存、KV存储和大数据集群服务，并且通过编排的方式构建以“应用商店”为核心的云应用生命周期管理平台和应用开发、应用快速交付流程。全媒体应用开发人员利用云平台上的各项基础资源服务，使用Devops方式快速开发、构建应用并发布在应用商店。全媒体平台的企业用户能够利用应用商店，快速部署应用，应用直接在云平台

16、上运行，用户无需任何软硬件、运维方面的投入，可快速上线使用。门户服务层门户服务层主要包括用户门户、开发者门户和管理员门户。用户门户主要为云平台的最终用户提供自服务，能满足用户从注册账号、在线充值、申请应用、开通应用、使用应用到提交工单整个流程的管理，用户门户需要具备良好的用户体验，方便用户操作使用。开发者门户提供给云应用的开发者，开发者能够利用申请到的基础架构资源进行应用的设计和开发，然后通过Devops完成应用的自动部署和测试，测试通过的应用能够提交发布申请，后续还能够对云应用进行升级等管理。管理员门户主要提供给云平台的运维管理员和运营管理员进行整个平台的管理维护，包含了权限管理、云应用管理

17、、产品管理、监控告警、资源管理、配置管理、流程管理、订单管理和计费管理等模块。能够通过设置不同的角色权限，实现不同类型的管理人员对系统的管理。运营管理平台运营平台以云服务为载体，将全媒体平台应用打包成为云服务产品，并构建相对应的计量计费体系，通过线上线下交易方式实现云应用的租赁运营。用户根据云应用的价格，能够线上线下按照时间购买相对应的云服务，并快速获取。运营平台包含客户管理、产品管理、交易管理、离线结算管理、费用管理、统计报表、资源管理和在线客服等模块，用以满足运营人员日常的运营要求。5.运维管理平台运维平台通过对整个云平台的物理资源、虚拟资源进行监控，统一管理，以完善的体系流程和技术平台来

18、保证整个云平台及其上应用的平穏运行。并提供完整的工单体系，能帮助用户快速获取技术支持。第四章云服务架构及产品支撑4.1云服务架构协和云平台项目的整体部署架构图如下：4.2产品支撑4.2.1云平台配置根据业务需求，需要在云端配置的云服务器及数据库服务器包含操作系统：centos7X64o其中一卡通数据库服务器两台，一主一备。数据库类型：MySQL；应用服务器四台，其中消费设备两台，微信小程序一台，网络购物一台。负载均衡一台，网络层配置专属VPC,进行主机安全加固，网络管家WAF,BGP高仿，云镜，日志分析等云端安全保护设备。4.2.2产品功能云服务器【产品定义】云服务器（CloudVirtual

19、Machine,以下又称CVM）提供了能够弹性伸缩的计算服务，能够根据业务需要来构建和托管软件系统。云服务器向用户提供弹性的计算、存储和网络资源，并可在访问量和负载等需求发生变化时轻松地调整。【功能特点】弹性计算在云上客户能够在几分钟之内快速增加或删减云服务器数量，以满足快速变化的业务需求。通过定义相关策略，客户能够确保所使用的CVM实例数量在需求高峰期无缝扩展，保证程序的可用性；在需求平淡期自动回落，以节省成本。多样化配置针对用户的不同需求,CVM提供多种类型的实例、操作系统和软件包。各实例中的CPU、内存、硬盘和带宽能够灵活调整，以满足客户应用程序的资源需要。CVM操作系统包括多种Linu

20、x和Windows版本，同时云市场提供第三方镜像及软件供客户选择。稳定可靠CVM提供达99.95%的服务可用性和99.999%的数据可靠性。CVM搭载的云硬盘提供三副本存储策略，保证了数据在任一副本出现故障时快速进行迁移和恢复。CVM搭载稳定的网络架构，采用成熟的网络虚拟化技术和网卡绑定技术，在T3级以上数据中心中运行，保证网络高可用性。管理简单客户拥有CVM的管理员账号，对CVM有完全的控制权，客户能够使用云控制台等工具登录到CVM实例，进行网络配置更改、重启等重要操作，这样管理CVM就像管理操作自己的计算机一样简单方便。安全的网络CVM运行在一个逻辑隔离的私有网络里，通过网络访问控制列表(

21、AccessControlList)和安全组，切实保证客户云上资源的安全性。客户还能够完全掌控私有网络环境配置，包括自定义网段划分、IP地址和路由策略等。全面防护CVM提供木马检测、暴力破解防护、漏洞扫描等基础防护功能，针对SynFlood.ICMPFlood等各种大流量攻击提供DDoS防护。BGP高防系统的超大带宽和超强清洗能力专门应对各类网站攻击行为，保障客户网站业务服务对外稳定进行。费用低廉CVM部署在云端，极大节省了客户前期搭建基础网络设施的成本和后期的维护成本。CVM实例支持按量付费和包月包年两种计费方式，客户能够根据使用场景灵活选择。在按量付费的模式下，只需要为实际使用的计算资源付

22、费。服务集成CVM与公有云的大多数业务都能够做到高度集成，比如对象存储COS,云数据库CDB,私有网络VPC等，合力在计算，存储，网络传输方面为用户的各种业务提供完善的解决方案。数据库服务器【产品定义】云数据库(CloudDatabase,CDB)让用户能够轻松在云端部署、使用MySQL数据库。MySQL是世界上最流行的开源关系数据库，通过CDBforMySQL,用户在几分钟内即可部署可扩展的MySQL数据库实例。不但经济实惠，而且能够弹性调整硬件容量的大小而无需停机。CDB提供备份回档、监控、快速扩容、数据传输等数据库运维全套解决方案，简化IT运维工作，能更加专注于业务发展。【功能特点】易于

23、使用的托管部署只需在CDB管理控制台中单击几下，即可在几分钟内启动并连接到一个能够立即投入生产的MySQL数据库。CDBforMySQL数据库实例针对客户选择的服务器类型预配置了各种参数和设置。数据库参数组能够提供对MySQL数据库的精细控制和微调功能。专项内核优化CDB实例提供业界领先的10吞吐能力；深度定制开发MySQL内核，性能远超基于开源MySQL的自建数据库。CDBforMySQL的性能优势让客户能够以更少的数据库数量支撑更高的业务并发请求量，简化了后端架构，使得整体1T架构更易于管理和运维。完善的保障机制CDBforMySQL提供99.9996%的数据可靠性和99.95%的服务可用

24、性，拥有完善的数据自动备份和无损恢复机制。CDBforMySQL的高可靠性让客户能够放心将数据放在云端，无需担心数据丢失，也简化了传统运维工作中为保障数据高可靠带来的额外工作量和额外的IT投入成本。强同步复制CDB支持强同步和半同步的数据复制方式。CDB对MySQL内核进行了多项数据复制优化，极大提高了数据强同步复制性能。同时优化了主备切换引起的幻读现象以及主机宕机恢复时导致的临界事务，大幅提高了MySQL5.6版本下的数据一致性。全面的日常监控客户能够在CDB管理控制台中查看覆盖连接访问、数据库负载、查询缓存、存储引擎等七十余项重要指标，可全方位监控数据库运行状况。还能够自定义监控视图，在多

25、实例同时间段间，或同实例不同时间段间多维度对比实例运行负载情况，迅速识别运行异常的数据库。自定义告警自定义资源阈值告警，可帮助用户知晓CDB运行中的问题。它将问题及时反馈给运维人员，帮助客户快速响应数据库问题。全流程运维服务客户无需关心MySQL的安装、部署、版本更新及故障处理，云数据库运营团队为客户免除后顾之忧omaster与slave的切换、故障的处理及数据迁移对用户完全透明UP.Port保持不变，应用程序完全无需考虑IP飘移，帮助客户极大程度降低运维成本。数据迁移借助数据传输服务DTS,云主机上的自建MySQL数据库到CDB数据库实例、具有外网IP的IDC机房内/其他友商云MySQL数据

26、库到CDB数据库实例等多种场景可轻松进行数据库自动迁移，极大简化数据库上云工作，无需手动迁移数据库，实现业务无缝过渡上云。数据容灾本地IDC机房MySQL数据库与CDB之间能够通过数据迁移服务实时同步数据，本地IDC机房如遇到断电、网络故障等引起数据库服务中断，可迅速切换数据库服务至作为灾难备份的CDB实例，实现数据库容灾；同时，CDB可支持同城多可用区灾备/跨城灾备，保障高可用。4.2.2A云硬盘【产品定义】云硬盘(CloudBlockStorage)为云服务器实例提供高效可靠的存储设备，它是一种高可用、高可靠、低成本、可定制化的块存储设备，能够作为云服务器的独立可扩展硬盘使用。云硬盘提供数

27、据块级别的数据存储，采用三副本的分布式机制，为CVM提供数据可靠性保证。【功能特点】弹性可扩展单磁盘容量最大支持16TB,单个CVM累计可挂载160TB,客户能够自由配置存储容量，按需扩容，以满足业务数据扩容需求，灵活应对TB/PB级数据的大数据处理场景。多存储类型提供普通、高性能和SSD三种CBS卷类型，满足业务不同性能要求。其中，SSD云硬盘釆用NVMe标准高性能SSD,单盘最大提供24000随机IOPS,260MB/s吞吐，轻松支撑业务侧高吞吐量DB访问。云硬盘对比云硬盘类型普通云硬盘高性能云硬盘SSD云硬盘描述适用于常规工作负载的低成本HDD卷类型适用于均衡核心工作负载的价格和性能的混

28、合介质卷类型适用于对延迟敏感的核心交易型工作负载的SSD卷云硬盘类型普通云硬盘高性能云硬盘SSD云硬盘典型场景大数据、数据仓库、日志处理业务逻辑处理、低延迟应用程序关系型数据库和NoSQL数据库数据持久性99.999999%99.999999%99.999999%磁盘大小10GB-16TB50GB-4TB100GB-4TB单盘最大I0PS1000450024000单盘最大吞吐lOOMB/s130MB/S260MB/S访问时延小于10ms小于3ms小于3ms稳定可靠在每个存储写入请求返回给用户之前,CBS就已确保数据被成功写入三份跨机架的存储节点中CBS的数据复制机制高于业内平均水平，能够保证任

29、何一个副本故障时快速进行数据迁移恢复，数据可靠性高达99.999999%,以保护客户的应用程序免受组件故障的威胁。简单易用通过简单的创建、挂载、卸载、删除等操作即可管理及使用云硬盘，节省人工管理部署成本。快照备份客户能够通过拍摄CBS云硬盘的时间点快照来备份数据，防止因篡改和误删导致的数据丢失，保证在业务故障时能够快速回退。负载均衡【产品定义】负载均衡(CloudLoadBalance)可在云中的多个CVM实例间自动分配应用程序的访问流量。能够实现更高水平的应用程序容错能力，从而无缝提供分配应用程序流量所需的负载均衡容量，提供高效、稳定、安全的服务。【功能特点】多协议转发负载均衡CLB支持四层

30、负载均衡（包含TCP协议和UDP协议）和七层负载均衡（包含HTTP协议和HTTPS协议）；HTTPS协议提供集中化的证书管理系统，满足客户对数据可靠传输、快速传输与安全传输等多样化需求。权重配置后端服务器的权重默认为10,可设置为1-100范围内的整数。流量经负载均衡器后按权重比例，或经过访问来源IP地址的哈希、轮询结果分配到不同后端服务器上。高配置的服务器（CPU、内存性能更优秀），可设置更大权重的比例，承担更多的请求。基于内容路由公网应用型负载均衡七层协议提供基于内容的路由转发（Content-basedRouting）。支持用户自定义域名/URL,灵活性高，满足多种场景。用户能够自定义转

31、发规则+转发组内容，将请求分发到不同转发规则下的后端云服务器。负载均衡开始了解业务内容，通过划分目标组实现业务分离，极大提升服务可用性。请求重定向公网应用型负载均衡七层协议支持自定义重定向功能（rewrite）0该能力可解决两大难题：1、强制https：PC、手机浏览器等以http请求访问web服务，LoadBalance代理后，返回https的respondo默认强制浏览器以https访问网页。2、自定义重定向：当出现web业务需要临时下线（如电商售罄、页面维护，更新升级时）会需要重定向能力。如果不做重定向，用户的收藏和搜索引擎数据库中的旧地址只能让访客得到一个404/503错误信息页面降低

32、了用户体验度，导致访问流量白白丧失。多种调度算法负载均衡支持加权轮询、IPHash以及加权最小连接数这三种调度算法，并支持设置后端服务器权重，使得流量调度更均匀，提升负载均衡能力。在HTTP的七层协议中，还支持最小连接数的调度算法，可保证后端服务器在第一次加入或重启重新加入时，该服务器的负载能够快速提升，降低其他后端服务器的负载。会话保持会话保持可使得来自同一IP（网段）的请求被转发到同一台后端服务器上。对于四层业务，负载均衡CLB提供简单会话保持（也称作基于源地址的会话保持、基于IP的会话保持）能力，负载均衡器在作负载均衡时以访问请求的源地址作为判断关联会话的依据，来自同一IP地址的所有访问

33、请求将会转发到同一台服务器上去。对于七层业务，CLB提供cookie植入的会话保持方式，负载均衡器负责植入cookie,后端服务器无需配置。健康检査负载均衡会定时检测后端云服务器是否正常运行，客户可自定义健康检查频率；一旦检测到云服务器异常，则负载均衡器不会再将流量分配到这些异常实例，以此保证应用可用性。跨可用区容灾负载均衡器在同一个地域内采用多可用区部署，客户能够在同一地域的不同两个可用区部署两套HA主备集群，当某一可用区服务不可达时，流量可自动切换到另一可用区，轻松应对机房级故障。结合DNSpod的DNS解析能力，还可支持全局负载均衡，实现跨地域容灾。4.2210私有网络VPC【产品定义】

34、私有网络（VirtualPrivateCloud）是在云上自定义的逻辑隔离网络空间，与数据中心运行的传统网络相似，托管在私有网络内的是客户在云上的服务资源,如云主机、负载均衡、云数据库等。客户能够完全掌握私有网络，包括自定义网段划分、IP地址和路由策略等，并通过安全组和网络ACL等实现多层安全防护。同时，客户也能够通过VPN或专线连通私有网络与数据中心，灵活部署混合云。【功能特点】简化运维无设备釆购通过控制台或API自定义网段划分、创建子网、配置路由表和网关等，以软件定义网络，节省设备及运维成本。多地部署跨账号互通通过私有网络的对等连接服务，能够在一分钟内互联多地云资源，轻松实现多地同服和两地

35、三中心容灾部署。通过跨账号对等连接，还可与云上的其它合作伙伴实现数据互通，快速构建开放式云端生态。高性能Internet访问NAT网关支持1000W并发连接、5Gbps带宽，且双机热备自动容灾，帮助客户轻松打破Internet访问性能瓶颈。轻松部署混合云稳定可靠的IPsecVPN/专线连接私有网络至客户数据中心，客户可根据业务量弹性扩展应用程序的云服务器等资源，既降低了企业IT运维成本，又不用担心企业核心数据的扩散，轻松构建混合云。安全无死角内外网隔离，通过网络ACL和安全组分别从子网和主机维度筛选流量，可精确到端口和协议维度，全方位满足网络安全需求。1网络管家WAF【产品定义】网站管家WAF

36、(WebApplicationFirewall)是一款专业为网站服务的一站式智能防护平台。通过Web入侵防护、ODay漏洞补丁修复、恶意访问惩罚、云备份防篡改等多维度防御策略全面防护网站的系统及业务安全。【功能特点】Web应用防火墙能够有效防御SQL注入、XSS跨站脚本、木马上传、非授权访问等OWASP攻击，且支持IP,URL路径，Referer,POST参数等自定义防御规则设置。CC攻击防御具备大数据智能业务防御能力，支持多维度自定义精准访问控制、配合人机识别和频率控制等对抗手段，可智能高效的过滤垃圾访问，有效防御CC攻击。DNS链路劫持检测网站管家通过利用强大的数据能力，对客户提交的域名进

37、行全国范围的DNS验证，详细的展示在各个地域的劫持情况。高防能力一键整合能够将BGP高防包一键应用到网站管家WAF,在进行精细化防护的同时，具备大流量DDOS防护能力。ODay漏洞补丁依托云端威胁情报能力，具备主动检测并及时发现高危Web漏洞的能力。专业安全团队7x24小时持续检测漏洞更新防御补丁，保障拦截规则的及时更新。网页防篡改护航云端备份网站核心内容页面，保障网页内容不会因为源站安全事故而被篡改,为企业官网名誉护航。2BGP高仿BGP(BGPAntiDDoS)高防是针对金融、网站等用户遭受大流量DDoS攻击时服务不可用的情况推出的增值服务。高达300G的防护服务和多达28线的BGP线路，

38、让客户的业务不再畏惧DDoS攻击的挑战，同时拥有极速的访问体验。【功能特点】DDos防护BGP高防基于先进特征识别算法进行精确清洗，帮助客户抵御SynFlood、ICMPFlood等各种大流量攻击。业务接入BGP高防后，该功能即自动开启，无论是SYNFlood.UDPFlood还是其他类型的大流量攻击，即使高达数百G,也都将被BGP高防系统轻松防御在外，客户业务将稳如磐石地运营。CC防护BGP高防通过模式识别、身份识别等多种手段，精确识别恶意访问者，釆用重认证、验证码、访问控制等手段精准打击，帮助抵御httpget等各类应用层攻击。业务接入BGP高防，则该功能即自动开启，恶意竞争者和黑产从业者

39、将无法通过应用层攻击威胁到业务服务器，客户业务将稳如磐石地运营。弹性防护开启弹性防护后，当客户受到的攻击超过套餐峰值时，业务仍将继续得到防护。可在购买BGP高防套餐时选择开启，也可在套餐生效之后，在套餐管理页面手动开启。使用弹性防护功能，客户无需再担心因为攻击超过套餐峰值引发IP封禁，导致服务中断的问题。3主机安全-云镜【产品定义】主机安全（云镜）基于安全积累的海量威胁数据，利用机器学习为用户提供黑客入侵检测和漏洞风险预警等安全防护服务，主要包括密码破解拦截、异地登录提醒、木马文件查杀、高危漏洞检测等安全功能，解决当前服务器面临的主要网络安全风险，帮助企业构建服务器安全防护体系，防止数据泄露。

40、【功能特点】木马查杀基于机器学习对各类恶意文件进行检测，包括各类WebShell后门和二进制木马，对检测岀来的恶意文件进行访问控制和隔离操作，防止恶意文件的再次利用。密码破解拦截对密码恶意破解类行为进行检测和拦截，共享全网恶意IP库，自动化实施拦截策略。登录行为审计根据登录流水数据，识别常用的登录区域，对可疑的登录行为提供实时告警通知。漏洞管理对主机上存在的高危漏洞风险进行实时预警和提供修复方案，包括系统漏洞、web类漏洞，帮助企业快速应对漏洞风险。资产管理支持对机器进行分组标签管理，基于组件识别技术，快速掌握服务器中软件、进程、端口的分布情况。4基础监控BCM【产品定义】基础监控(Basic

41、CloudMonitor)是所有云产品的监控管理总入口，客户能够在这里看到最全、最详细的监控数据。基础监控实时监控云服务器、云数据库等云产品，提取云产品关键指标，以监控图标形式展示，且支持设置自定义告警阈值，提供立体化云产品数据监控、智能化数据分析、实时化故障告警和个性化数据报表配置，实时、精准掌控业务和各个云产品健康状况。【功能特点】全方位指标监控云监控提供云服务器、云数据库等多个云产品的负载和性能监控指标，云服务器基础指标需安装监控agent进行数据上报，其他基础指标将自助上报，无需做任何操作。客户可登录云监控控制台或通过API接口方式查看指标监控数据，全方位满足客户对指标监控的所有需求。

42、异常告警通知云监控支持多种产品告警策略配置，客户可自定义指标告警触发阈值、告警监控对象、告警通知接收人以及发送渠道。针对云服务器，云监控提供了默认告警策略，设置默认策略后，新购买云服务器将自动关联至默认告警策略，无需手动绑定，极大地简化操作步骤，实时帮客户监控所有云产品状况。可视化图表分析云监控提供丰富的图表表现形式，承载大量数据信息，将关联性数据信息整合展示。支持单个指标多实例以列表形式查看数据，方便快速找出最大值、最小值；支持单个实例多指标查看数据，找出实例异常指标；支持单实例对比查看两个区间多天数据，方便逐步排查问题，分析原因，图形化展示数据挖掘业务信息。监控触发弹性伸缩此功能将云弹性伸

43、缩能力和云监控告警平台结合。客户能够在弹性伸缩控制台简单配置告警策略(当前支持CPU利用率、内存利用率、内网出/入带宽)，当指标达到告警触发条件，将根据配置的扩缩容条件自动实现弹性伸缩，从而保证业务的稳定运行，为业务保驾护航。4.2.3产品优势1）扩展性弹性扩展，灵活配置：只需几分钟时间即可轻松获取一个、数百个甚至数千个服务器实例，能够一键配置、扩展、管理您的服务；能够灵活调整CPU、内存、带宽及挂载容量，一键升级到更高性能和容量的实例规格，实现快速、平滑扩容，满足业务快速发展需要；提供多种高性能CVM实例类型、操作系统和软件包供您选择，丰富的实例类型能够覆盖您的多样化需求。2）可靠性稳定可靠

44、，数据放心：工信部可信云认证99.95%的服务可用性和99.999%的数据可靠性，行业高标准，您可放心使用，仅需极少的工作即可轻松获取高可用云服务，我们为您的业务髙速发展提供稳定的基础设施；CVM搭载的云硬盘提供三副本专业存储策略，消除单点故障，保证数据可靠性，让您能够放心的将数据放在云端，无需担心数据丢失，也简化了传统运维工作中为保障数据高可靠带来的额外工作量，节约额外的IT投入成本；CVM搭载稳定的网络架构，成熟的网络虚拟化技术和网卡绑定技术保证网络高可用性。T3+以上数据中心中运行，保证运行环境的可靠性，让您从网络可用性中解放出来。3）易用性即买即用，快速部署提供管理控制台和完善的API

45、体系，您能够完全控制您的实例，能够像与实体机器一样对云服务器实例进行启动、调整配置、重装系统等操作；提供官方认证的丰富应用软件和运维工具，帮助您便捷运维，使您不再为管理工具烦恼；提供完善的API体系，您可使用API便捷的将云服务器与您的内部监控、运营系统相结合，实现贴近业务需求、完全自动化的业务运维体系。4）安全立体防护，专业支持；强大的私有网络允许您指定IP范围，您能够决定哪些实例开放，哪些实例私有，保证您实例的私有性和安全性；完善的安全组和网络ACL设置让您能控制进出实例和子网的网络入岀站流量并进行安全过滤；提供木马检测、暴力破解防护、漏洞扫描、WAF和登录安全等主机与安全基础防护，免费且

46、丰富的基础安全服务形成安全屏障，为您的业务保驾护航；提供DDoS防护、DNS劫持检测和安全认证三大功能，超高防御能力，付费的超强高防安全服务为您免除安全问题烦恼。5）低成本成本低廉，按需购买CVM实例及其网络部署均支持包年包月或按量计费购买，满足不同应用场景需求；您可按需购买，合理消费，无需预先采购、准备硬件资源，助您有效降低基础设施建设投入。4.2.4云主机技术架构沃云-T的虚拟化釆用的是KVM等开放的技术路线结合众多用户运营经验而开发出来的国际领先的云平台；大数据平台，也完全基于开放的松耦合模式搭建，用户可根据自身应用的需要，任意修改或替换其中的模块，而不用担心异构兼容性问题。这样能够降低

47、技术风险，更为自主的选择技术路线。云服务器技术特征：30秒快速创建分钟级故障恢复基于镜像的快速创建能力基于网络存储的在线热迁移能完备的故障检测与恢复能力云主机服务釆用全冗余架构，无单点故障，平均可用性不低于99.99%；云主机底层釆用分布式文件系统，可将数据文件分别保存在不同交换机、机架的服务器上，数据可靠性不低于99.99%。VSTATI0N可支持并发数万的流程请求虚拟机创建时间在1分钟以内系统内部信息流每天达到上亿条50ms的内部响应时间kvm.ko和QEMU构成VMM单个虚拟机是物理机上的一个普通QEMU进程，VM中的CPU核（vCPU）是QEMU的一个线程，VM的物理地址空间是QEMU

48、的虚拟地址空间QEMU实现设备模拟、10虚拟化和网络虚拟化vCPU：ioctl（KVM_RUN）-VMEntry-VMExit-IOExit-ioctl（KVM_RUN）第五章云安全5.1云平台安全运营商级别的运维团队和信息安全保护能力，联合顶尖的互联网公司的平台开发能力，提供国际顶级的安全服务。为了保证其互联网的各项业务正常运行，沃云-T在互联网安全网络防护（如：DDoS防护，DNS劫持，CC攻击防御等），入侵监测（如：后门木马监测，暴力破解告警，异地登录提醒，登录流水查询等），漏洞防护（如：漏洞扫描，网络安全防护WAF）等方面有非常深厚的积累。日对抗黑客攻击及扫描超过1亿次，日化解QQ帐号

49、破解次数100亿次。2015年6月，沃云-T云主机、云数据库和云网络获得公安部信息安全等级保护三级认证，具备为政府机构和大型企事业单位提供安全云服务的资质。也是国内首家获IS027001：2013新版认证的云服务提供商。沃云-T己经通过了工信部的可信云认证审查。为维护国内安全的上网环境，沃云-T开放了从网络攻击防御、入侵检测到漏洞扫描防护等全系列信息安全服务，2015年7月网络防攻击产品-“大禹”成功抵御了超过300G的DDoS持续攻击，为云上政府和企业提供了业界最领先的安全服务保障。具备强大的异地容灾能力和实施经验。沃云-T支持“两地三中心”等高可用架构，并己经得到多家银行、证券等苛刻行业用

50、户的认可。安全是沃云-T的基因，是实现服务价值的根本保障。安全性、稳定性、海量服务、大数据能力、贴心服务等都是政企拥抱云计算最为关心的几大因素，其中又以安全性为最为关键。联通非常注重政府对安全性的保障要求，这也是联通技术和运营团队花费最大精力的地方。依靠安全总体总体策略、云计算行业安全认证与合规、安全架构与安全服务、安全审计与管理四项措施，形成了完整的安全保障生态体系。在安全策略上，联通将保护客户业务/数据的机密性、完整性和可用性工作定位于联通公司战略，提出云安全架构，依此架构制定防范安全威胁、消除安全风险的安全控制程序和技术手段，并通过管理流程保证控制措施和技术手段的执行。在安全认证和合规上

51、，除了不断地从技术层面提升安全防护能力，还在推动企业内部信息安全管理规范化流程和操作。在安全审计和管理方面，沃云-T建立了完善的安全审计和管理流程，在安全审计上覆盖了运维行为审计、内容合规审计、安全规范审计三个方面。在安全管理方面，建立了完善的人员管理、开发流程等方面的管理制度和流程。5.2数据安全信息安全：通过加密的方式实现，加密的目的是要保护敏感数据在传输或存储过程中的机密性，确保数据不会被未授权用户读取，通常使用各种加密算法来实现此目的。传输加密是在当前网络传输中必须要实现的一种，目的是保证数据传输的安全性和完整性，使数据在开放的网络中即使被截获也无法获得敏感信息。在应用系统使用的加密算

52、法主要包括三类，基于Java加密扩展(JavaCryptographyExtension,JCE)的JAVA加密体系架构来实现的。基本加密算法：DES(DataEncryptionStandard)算法，属于分组对称加密算法。应用系统采用JAVA的DES算法的入口参数有三个：Key、Data、Mode。其中Key为8个字节共64位，是DES算法的工作密钥；Data也为8个字节64位，是要被加密或被解密的数据；Mode为DES的工作方式有两种：加密或解密。数字签名就是附加在数据单元上的一些数据，或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整

53、性并保护数据，防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都能够获得数字签名，当前应用系统支持基于公钥密码体制的数字签名，釆用基于RSA公钥密码体系实现的数字签名。一个消息摘要就是一个数据块的数字指纹。即对一个任意长度的一个数据块进行计算，产生一个唯一指印(对于SHA1是产生一个20字节的二进制数组)。消息摘要是一种与消息认证码结合使用以确保消息完整性的技术。主要使用单向散列函数算法，可用于检验消息的完整性，和通过散列密码直接以文本形式保存等，当前广泛使用的算法有MD4、MD5、SHA-1。当前应用系

54、统支持基于MD5的JAVA算法实现的。系统提供联机的数据备份能力，保证数据的完整性和有效性。5.3网络安全联通的网络提供面向互联网的业务承载，面临着黑客入侵、病毒入侵、网络攻击及内部管理等多种安全威胁，提供完善的网络边界安全防护方案，实现对整个云平台中承载的所有应用的安全防护。通过采用入侵检测、漏洞扫描、病毒防治、防火墙、网络隔离、安全虚拟专网(VPN)等成熟技术，利用物理环境保护、边界保护、系统加固、节点数据保护、数据传输保护等手段，通过对网络和系统安全防护的统一设计和统一配置，实现应用系统数据中心全系统高效、可靠的网络安全防护。保证网络通信的正常进行，保障在网络上传输的信息的安全。保障业务

55、网络的安全可靠运行。5.4应用安全用户及其身份生命周期管理：实现用户的创建、删除和维护等功能，自动或辅助实现用户身份生命周期全过程的管理。这些过程包括通过身份供给(Provisioning)所实现的用户初始账号、基本角色和权限等的自动初始化或配置；认证信息(如口令)变更；账号信息变更；账号锁定以及账号注销等。单一登录(SSO)：使应用系统的用户仅登录一次就能访问一系列广泛的应用系统资源。提供用户、组织、和日志的记录管理，根据用户身份执行相对应的用户及其它管理功能，简化管理操作。日志与审计管理：实现对身份管理过程、变更情况和信息数据的记录、审核与分析。通过数据角色、功能角色实现角色的分配，通过不

56、同类型来细化权限的分类：比如使用权限、关联权限等，通过角色和操作者的绑定实现操作者功能权限、数据权限的授予。通过权限微调实现权限的精细化操作。不同的操作员具有不同的数据访问权限和功能操作权限，系统管理员能对各操作员的权限进行配置和管理。5.4数据库安全数据库安全，数据安全包括三个层次：系统安全性：指在系统级控制数据库的存取和使用机制。包括有效的用户名及其口令、用户是否被授权连接到数据库、用户的资源限制、能够进行哪些系统操作等。数据安全性：指在实体级控制数据库的存取和使用机制。包括用户能够存取的方案对象及在该对象上能够进行哪些操作等。例如，是否能够在某个表进行数据查询、更新，插入等。网络安全性：

57、大多数据库都是面向网络提供服务的。所以，其网络数据传输的安全性至关重要，包括日录管理、标签安全性等集成工具。5.5操作系统安全操作系统安全，通过提供对计算机信息系统的硬件和软件资源的有效控制，能够为所管理的资源提供相对应的安全保护。它们或是以底层操作系统所提供的安全机制为基础安全模块，或者完全取代底层操作系统，目的是为建立安全信息系统提供一个可信的安全平台，包括身份鉴别、审计、安全标记。身份鉴别要求用户标示自己的身份，并使用保护机制（例如，口令）来鉴别用户的身份，阻止非授权用户访问用户身份鉴别数据。然后，通过为用户提供一个唯一标识，限制用户的操作行为，并使用户对自己的各种行为负责。身份鉴别主要

58、包括鉴别客体（数据鉴别）、鉴别主体（用户鉴别）及鉴别主体对客体操作的合法性等内容。操作系统需要创建和维护受保护客体的访问审计和跟踪记录，并能阻止非授权的用户对它进行访问或破坏。操作系统能够记录以下事件：使用身份鉴别机制；将客体引入用户地址空间（例如，打开文件、程序初始化）；删除客体；由操作员、系统管理员或系统安全员实施的动作，以及其它与系统安全有关的事件。对于每个事件，其审计记录的内容包括事件的日期和时间、用户、事件类型、事件是否成功等。为了实施强制访问控制，需要使用安全标记为用户和客体设定操作属性,这些标记与主体及其所控制的存储客体（例如，进程、文件、段、设备等）相关，以及与可被外部主体直接

59、或间接访问到的计算机信息系统资源相关。第六章机房数据中心安全中国联通非常重视客户数据中心的服务质量，对客户使用数据中心的业务和特点进行了详细的分析，制定出了适用大客户的服务规则，同时为客户的数据中心业务制定了一系列提供服务质量的规章制度，所有工作于数据中心的维护人员必须遵照执行。对于每一位进入中国联通IDC数据中心机房的用户，数据中心机房值班人员均热情耐心、周到细致的接待并且主动询问客户需要何种帮助，重视客户要求，主动为客户联系相关业务部门。数据中心维护人员会主动使用各种网管软件对用户网络进行监控，发现故障立即进行判断，如遇到中国联通无法解决的故障立刻通知用户负责人。遵循对用户设备资产的严格管

60、理原则，一切设备出入机房均需备案同时与用户相关负责人确认。数据中心维护管理人员每日会对客户所使用的端口及流量情况进行监控，发现用户网络问题或有类似情况时，会主动与客户联系并进行相对应处理，最大程度的保证用户网络正常运行。中国联通还为客户数据机房制定了严格的人员出入制度、用户设备出入制度以及电源使用管理制度。在人员出入制度方面，中国联通规定出入客户数据中心的人员必须釆用一人一卡的方式，无卡的客户不能进入机房，出入数据中心机房的人员需要持有机房当日的证件才能进入。如果客户有长期在数据中心进行维护的需要，必须到中国联通相关维护管理部门进行办理后才能够随时进入机房进行操作。无论长期卡还是临时卡均不得转