电子政务云平台基础设施层总体技术要求

电子政务云平台基础设施层总体技术要求范围本文件规定了电子政务云平台基础设施层总体技术要求的术语和定义、总体要求、技术架构、机房资源要求、计算资源要求、存储资源要求、网络资源要求、安全资源要求、云管理平台要求、灾备要求、可靠性要求。本文件适用于XX省各级电子政务云平台的建设，各级电子政务云管理建设单位可参照执行。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T33780.2-2017基于云计算的电子政务公共平台技术规范第2部分：功能和性能GB/T34078.1-2017基于云计算的电子政务公共平台总体规范第1部分：术语和定义GB/T35293-2017信息技术云计算虚拟机管理通用要求GB/T37732-2019信息技术云计算云存储系统服务接口功能GB/T50174-2017数据中心设计规范术语和定义GB/T34078.1所界定的以及下列术语和定义适用于本文件。电子政务云平台运用云计算技术，统筹利用机房资源、计算资源、存储资源、网络资源、信息资源、应用支撑等资源，发挥云计算虚拟化、高可靠性、通用性、高可扩展性以及快速、按需、弹性的服务特征，为各政府部门构建提供基础设施、支撑软件、应用系统、信息资源、运行保障和信息安全等服务的电子政务综合性服务平台，简称政务云平台。[来源：GB/T34078.1-2017，2.1]电子政务云监管平台通过与电子政务平台进行接口对接，获取监控数据资源，并对资源进行管理和展现。电子政务云管理部门负责推进电子政务云平台建设和运行状态监管的管理单位。云使用单位利用电子政务云平台开展政务应用的各政务部门。[来源：GB/T34078.1-2017，2.28，修改]云服务商电子政务云平台的承建单位，在电子政务云管理部门规划指导下，负责电子政务云资源池的建设和维护，通过服务方式为各级政务部门提供计算、存储、网络及安全等各类基础设施资源满足使用单位上云需求。基础设施层通过电子政务云平台为云使用单位提供机房资源、计算资源、存储资源、网络资源、安全资源等基础资源服务。[来源：GB/T34078.1-2017，2.31，修改]总体要求概述电子政务云平台采用“1+N”的建设方式，即一个政务云监管平台N家云服务商，通过充分运用云计算、大数据等先进理念和技术，构建基础设施共建共用、信息系统整体部署、数据资源汇聚共享、业务应用有效协同的政务云。开展政务大数据开发利用，为政府管理和公共服务提供有力支持，提升政府治理能力现代化水平。政务云体系以“集中+分布”的建设方式，依托电子政务外网，搭建全省各级电子政务云。各市（地）电子政务云接入省级电子政务云，与省级电子政务云在逻辑上实现一体化。建设原则集约高效、开放共享构建统一监管、统一调度和弹性供给的云计算服务体系。推动政务信息资源开放共享，解决重复建设、数据壁垒等问题。规范有序、安全可控遵循统一标准规范，从应用部署、技术防护、管理制度等方面构建完整的保障体系。建设安全防控机制，明确安全责任，实现全过程、全方位监管。整合资源、按需分配充分整合已有基础环境、计算和存储等资源统筹管理，根据云使用单位实际需求情况灵活调整。技术架构政务云平台由基础设施层、中间平台层、业务应用层组成，在安全体系和运维体系保障下，为云使用单位提供统一服务支撑。具体如下：基础设施层通过将服务器、网络、存储和安全等硬件设备进行资源整合，通过建设虚拟化资源池、安全资源池，为政务应用提供基础资源服务，包含计算、存储、网络、安全、灾备等；中间平台层提供操作系统、云数据库、云中间件、运行环境、任务调度、开发环境等服务，并支持电子政务云监管平台实现对政务云平台的管理；业务应用层承载各类政务应用，提供互联网业务和政务外网业务服务；运维体系负责运维服务流程管理、基础设施运行监控、云业务监控的综合管理体系，包含事件管理、问题管理、配置管理、变更管理、知识库管理、流程管理和报表管理等；安全体系建立统一的平XX全、应用安全、物理安全的安全管理体系，包含安全域管理、安全基线建设、虚拟机安全、数据安全、基础设施安全等。本文件主要描述政务云平台基础设施层的建设相关要求。机房资源要求机房必须位于本省行政区域内。机房应具有独立物理空间和可扩展的独立物理空间，应具备管理能力和监控能力。机房环境服务包括场地、电力、制冷、管理等内容，机房服务能力应该满足政务云现有建设规模的要求以及后续扩容的要求。机房应符合机房建设标准，应充分从硬件设备、机房布局、软件管理等全方面考虑机房的节能环保设计。机房需要满足GB/T50174-2017中的A级要求或同类标准要求。计算资源要求功能要求虚拟机（云主机）具有自己的内存、CPU、网卡、存储，并可指定单独的IPV4和IPV6地址等。云主机之间相互隔离，每一个云主机发生故障不会影响同一台宿主机上的其它云主机运行，每台云主机的用户权限只限于本台内，以保障系统平台的安全性。虚拟机（云主机）支持市场上主流国内外操作系统。[来源：GB/T35293-2017，5.1，修改]提供虚拟机生命周期管理，包括“规划、创建、运行、调整、终结”五个阶段。[来源：GB/T35293-2017，6.1，修改]提供高可用集群服务，政务云平台监控该集群下所有的物理主机和物理主机内运行的虚拟主机，当物理主机发生故障出现宕机时，高可用功能组件会立即响应并在集群内另一台主机上重启物理主机内运行的虚拟机，当某一虚拟机发生故障时，高可用功能组件也会自动的将该虚拟机重新启动来支撑恢复中断的业务。提供动态资源调度，提供动态资源调整功能，可以持续不断地监控计算资源池的各物理主机的利用率，并能够根据用户业务的实际需要，通过自动的动态分配和平衡计算资源，智能的在集群内的各宿主机间给虚拟机分配所需的计算资源。虚拟化软件可以在线进行版本升级，不同版本之间向下兼容。提供监控管理能力。包括如下内容：物理服务器的性能监控：提供物理服务器CPU和内存等计算资源的图形化报表及其运行于其上的虚拟机利用率报表；虚拟机的性能监控：提供虚拟机CPU、内存、磁盘I/O、网络I/O等重要资源在内的关键元件进行全面的性能监测；虚拟网卡的性能监控:提供进出虚拟机虚端口流量的图形化实时显示。性能要求[来源：GB/T33780.2-2017，6.1，修改]虚拟化计算宿主机CPU≥2路*12核；主频≥2.2GHz。应支持系统镜像添加虚拟机功能，虚拟机从部署到交付运行的时间应小于20min/台。物理机轻负载情况下，虚拟机完成在线迁移时间小于30s，虚拟机完成离线迁移时间小于60s。对计算资源池进行按月监测，发现实际使用值超过计算资源池总量的60%，应考虑増加相应计算资源。文件中的相关参数要求，应不低于当年的主流参数标准要求。存储资源要求功能要求提供集中式存储服务，集中式存储提供Active/Active模式的多控架构，防止单个控制器或光纤链路失效导致业务故障。提供SATA磁盘、SAS磁盘和SSD磁盘三类存储空间。提供分布式存储服务，分布式存储采用通用服务器组成，使用万兆接口用于提供分布式存储服务，提供大带宽的网络吞吐能力。提供SSD硬件加速，满足分布式存储高IOPS的性能。提供分布式块存储、分布式对象存储和分布式文件存储三类空间功能。提供块存储服务，为云服务器提供高可靠、高性能、规格丰富并且可弹性扩展的块存储服务，可满足不同场景的业务需求。提供如下特性：支持按需扩容，单个块存储可在卸载后扩容；系统盘和数据盘均支持数据加密，保护数据安全；支持备份、快照等数据备份保护功能。提供对象存储服务，为用户提供海量、安全、高可靠、低成本的数据存储能力。提供如下特性：支持创建、修改、删除桶，上传、下载、删除对象等能力；对象存储资源池容量可以按需扩展，根据业务需要随时规划扩容。[来源：GB/T37732-2019，6.3，修改]提供文件存储服务，为用户提供按需扩展的高性能文件存储服务，符合标准文件协议，为海量数据、高带宽型应用提供有力支持。提供如下特性：支持文件共享：同一地域跨多个可用分区的云主机可以访问同一文件系统，实现多台云主机共同访问和分享文件；支持弹性扩展：弹性文件服务可以根据用户的使用需求，在不中断应用的情况下，增加或者缩减文件系统的容量；支持数据冗余存储，保障数据的高持久度。性能要求集中式存储环境集中式存储环境，多种数据块大小（IOSize）进行混合读写（顺序、随机、混合）的情况下：存储系统的读写次数IOPS不小于10万；存储系统的读写带宽不低于10Gb/s；存储系统的平均响应时间不超过30ms。分布式存储环境分布式存储环境如下：存储系统的多节点并行恢复数据不小于1Tb/h；存储系统的容量、性能随节点增加而线性增长，例如24个节点存储系统每秒操作数不少于300万，平均响应时间不大于3ms；存储系统的节点扩容时间不大于1min/节点；集群部署规模可以线性扩展可达到PB级存储；存储系统的持久性高达99.99999%。对存储资源池进行按月监测，发现实际使用值超过存储资源池容量的50%，应考虑増加相应的存储资源。网络资源要求功能要求政务云平台根据政务云网络安全管理规定、网络安全等级保护要求，按网络接入划分为互联网区和政务外网区，两个区域之间实现逻辑隔离。政务云平台的内部网络设备集群部署、统一管理，网络架构采用业界主流SDN技术，实现面向应用的网络自动化运维管理。政务外网区和互联网区具备多线接入的能力，提供至少两条由不同运营商提供的带宽线路，并能根据云使用单位业务迁移的需求支持带宽资源扩充。政务云平台网络核心骨干设备、出口设备、骨干线路等应做冗余备份，满足大规模业务迁移和无缝扩容需求。云使用单位网络资源以虚拟网络存在，各虚拟网络之间实现逻辑隔离。提供网络流量监控及分析功能，支持出口网络流量的统计等分析功能。性能要求省级政务云平台内部骨干网带宽不少于2*40Gbps，业务网带宽不少于2*10Gbps，存储网带宽不少于2*10Gbps，其他网络带宽不少于1Gbps，地市政务云平台可以根据实际业务需要调整。省级政务云平台核心交换机，交换容量≥200Tbps、包转发率≥100000Mpps，地市政务云平台可以根据实际业务需要调整。内部网络最大端到端延迟时间小于100ms。内部网络丢包率:小于0.5‰。关键网络设备可靠性要求达到99.99%。提供网络出口流量的实时监控，带宽根据实际需求进行动态扩展，要求实际平均使用带宽/出口带宽≤70%。安全资源要求政务云平台应满足GB/T22239-2019《信息安全技术网络安全等级保护基本要求》中的第三级安全要求，详细要求参见GB/T22239-2019。云管理平台要求功能要求云管理平台基于开放的KVM/Openstack架构，具有自主知识产权的国产云管理平台。云管理平台兼容不同厂商的硬件设备（服务器、存储等）。提供将软、硬件资源进行资源池化，能够根据用户需求，动态提供虚拟化的资源。提供虚拟机热迁移功能，当虚拟机所在的硬件设备维护升级时能够实时的迁移到其它硬件设备上运行，在迁移过程中虚拟机的服务不停止；当原硬件设备维护升级结束后也可以将虚拟机从其他硬件中迁移回来，在迁移过程中服务正常运转。提供虚拟机高可用功能，当应用虚拟机或虚拟机所在的物理机出现宕机情况时，支持自动切换至其他虚拟机或物理机上，保证应用可用性。提供负载均衡服务，提供web服务、中间件、数据库以及其它互联网服务，可以实时测量服务器利用率和连接负载，提供全面的可视性并有效地管理应用性能、安全性和服务交付。提供虚拟私有云管理能力，可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。提供监控资源情况的各项指标，如CPU、内存、磁盘的平均利用率、容量剩余比、利用率峰值等，绘制单位时间利用率的趋势图，统计各类设备资源配置容量、已分配资源数量、空闲资源数量、资源分配率、环比变化情况。提供对用户使用的计算、存储、网络等资源的使用情况进行统计分析功能，支持相应的接口与电子政务云监管平台对接。提供备份功能提供备份功能，对政务云使用单位重要业务数据提供备份服务。备份系统应满足如下要求:备份方式包括完整备份、差异备份和增量备份；支持主流操作系统、数据库软件、中间件软件、结构化数据以及非结构化数据等备份对象；应支持建立统一的备份管理系统；提供对备份过程状态、备份结果的运维监控服务，确保备份任务执行成功以及备份的数据完整性。接口要求政务云服务商的政务云管理平台均须接入政务云管理部门的电子政务云监管平台，实现统一的运行监管、宏观调度、资源监控和安全审计。按照电子政务云管理部门统一监管要求，接口需要包括资源同步接口、消息通知接口、资源监控告警接口及资源性能监控接口等。政务云平台需要具备如下接口：具备资源同步接口：用于电子政务云监管平台周期性地同步各云服务商云管理平XX的资源配置信息和资源状态信息（如因容量扩展需要而增加的