某市级政务云项目建设技术方案

某市级智慧政务云项目建设某市级智慧政务云项目建设技术方案 Ⅱ1项目概述 1 11.2现状分析 1.2.1信息化建设基本情况 21.2.3现阶段主要挑战 21.3建设意义和必要性 3 7 92建设要求 2.1基础设施要求 2.2线路要求 2.3云管理平台要求 2.3.1云管理平台硬件要求 2.3.2云管理平台软件要求 Ⅲ2.4云平台基础资源池要求 2.4.1计算资源池要求 2.4.2存储资源池要求 2.4.3网络资源池要求 2.4.4安全资源池要求 2.5云平台安全要求 2.6监管平台要求 2.7容灾备份要求 2.8增量服务要求 2.9其它要求 2.9.1托管设备要求 2.9.2业务迁移要求 2.9.3对接要求 2.9.4冗余及扩展要求 3需求分析 3.1基础设施需求 3.1.1机房整体需求 3.1.2基础装修需求 3.1.4接地系统需求 3.1.5空调系统需求 3.1.6消防系统需求 3.2线路需求 3.3云管理平台功能需求 3.4云平台基础资源池需求 3.4.1总体需求 3.4.2关键技术需求 3.5云平台安全需求 3.5.1总体需求 3.5.2关键技术需求 3.5.3政务云安全管理体系 3.6监管平台需求 3.6.1运行环境 V3.6.2应用软件 3.6.3定制开发 3.6.4接口开发 3.6.5监管中心 3.7容灾备份需求 3.7.1机房选址与环境需求 473.8增量服务需求 3.9其它需求 3.9.1设备托管需求 49 3.9.3对接接口需求 3.9.4冗余扩展需求 504总体方案设计 4.1设计原则 4.2架构设计 4.2.1总体架构 4.2.2云平台架构 4.2.3安全架构 4.3技术路线 4.3.1云平台技术选型 5云平台技术方案 5.1laaS计算资源池方案 1.存储资源池评估 5.1.1弹性云服务器 5.1.2裸金属服务器 725.1.3计算资源池细化方案 5.2laaS存储资源池方案 5.2.1分布式存储资源池方案 5.2.3存储资源池细化方案 5.3IaaS资源服务 5.3.1计算服务 5.3.2存储服务 5.3.3数据库服务 83 5.4网络资源池方案 5.4.1总体网络拓扑 5.4.2核心网络建设 5.4.3接入网络建设 5.4.4专网接入区网络建设 5.4.5网络分区建设 5.4.6网络出口建设 5.4.7政务云大二层网络 5.5安全服务体系方案 5.5.1政务云平台安全 5.5.2安全资源池方案 5.5.3云平台安全服务体系建设 5.5.4政务云平台安全域划分方案 5.5.5政务云平台安全建设方案 5.6容灾备份设计 5.6.1建设思路 5.6.2灾备服务需求分析 5.6.3灾备设计 5.6.4容灾备份设计方案 5.7RDS数据库服务设计方案 5.7.1RDSforMySQL服务能力 5.7.2RDSforSQLServer服务能力 5.7.3Oracle服务服务能力 5.8云平台管理功能设计方案 5.8.1云平台管理建设目标 5.8.2云管理系统设计 6监管平台技术方案 6.1技术方案 6.1.1云监管平台架构 6.1.2云监管平台拓扑图 6.1.3云监管平台功能设计 6.2与省上云监管平台对接 6.3其他服务能力 6.3.1业务系统迁移方案审查 6.3.2协助定制业务系统迁移流程及制度规范 6.3.3政务云使用运行流程管理 6.3.4政务云使用管理制度制定 6.4监管中心建设 6.5云监管平台软硬件配置 7业务部署与应用上云方案 2277.1新应用系统建设与部署 7.2老应用系统云化建设咨询 7.3现有业务整合迁移 7.3.1应用迁移 7.3.2虚拟化迁移 7.3.3数据迁移 X7.4迁移实施方案 7.4.1容量规划 2477.4.2迁移批次 7.4.3迁移演练 2487.4.4实施方案 7.4.5迁移验收 7.4.6迁移资料归档 7.4.7系统的持续优化 2518运维体系方案 2528.1运维体系架构 2528.2运维体系建设 8.3运维服务内容 8.3.1平台日常维护 2538.3.2故障处理维护场景 8.3.4监控与告警管理 8.3.5报表管理 8.3.6应急处理流程 8.3.7服务报告管理 8.3.9应用管理 8.3.10服务管理 2829培训方案 9.1培训目的 9.2培训对象 9.3培训内容 10.1项目团队组织 10.2.1需求分析及设计阶段 28610.2.2集成测试及UAT测试阶段 10.2.3上线阶段 10.2.4运行及验收测试阶段 10.2.5项目工期预估 11主要软硬件配置及参数清单 11.2云平台软硬件配置要求 11.3云监管平台软硬件配置要求 12附：建设模式分析 12.1.2政务云平台场地建设模式 303 12.1.4PPP模式 11.2.1信息化建设基本情况其中建有32个独立机房，8个托管机房。区县部门使用机房共56个，务器520台、CPU1002颗、物理核数52名称类别数量(台)数量(颗)核数(核)总内存专用存储设备容量备注市直部门市级党委预估河东新区388经开区2412安居区36船山区射洪县蓬溪县大英县3的IT系统，建设模式之间的矛盾，主要体现在以下几点：一是传统政务模式中，政府各部门的电子政务系统各自经营，分散建设、管理、运行导致重复建设、信息孤岛、投入高收益低等问题。二是在管理上难以与组织内部工作流程有机结合，无法形成动态的三是缺乏统一的规范导致功能缺失、信息更新缓慢，交互性差等问建设政务云有利于促进信息化项目的集约建设和运维，降低信息化投资成本；有利于促进信息资源共享和开发利用，提高城市管理和服务水平；有利于强化电子政务安全保障体系，提升政务安全保障水平；有建设政务云是提升信息化条件下治国理政能力的必然要求，是实现XX市政务信息化集约可持续发展必由之路，是XX市融入、应用“大数政府信息化是将政府管理与服务建立在现代信息技术、办公自动化技术和网络技术基础之上的一种全新的政府治理模式。在国民经济和社会信息化过程中，政府信息化处在关键和核心的位置。这是由政府在推4动国家信息化中的主导地位和特殊角色，以及政府管理对信息的广泛依随着信息技术的不断发展，国家对电子政务和政府信息化建设高度首先，各类政府机构T应用基础设施建设相对完备，网络建设在“政府上网工程”的推动下获得了较大的进展，建成一张覆盖全市范围的“电子政务外网”专线骨干网络，为全市政务信息数据集中、资源共享打下了坚实基础；同时大部分政府职能部门都已接入了覆盖全系统的专网。其次，各委局条块状的办公自动化、管理信息化的水平不断提高，适应政府机关办公业务和辅助领导科学决策需求的首先，重复建设重复投资。从目前情况上看，各职能部门根据业务发展需求，对信息数据资源独立规划和建设或条块建设，很容易形成相对孤立的系统，在一定程度上存在着基础设施和基础数据重复建设和重其次，数据资源使用相对独立。目前，各部门信息系统基本上以单体应用为主，相互间以分立系统形态共存，因此各部门间信息资源在一5务从粗放式、离散化的建设模式向集约化、整体化的可持续发展模式转变，使政府管理服务从各自为政、相互封闭的运作方式向跨部门跨区域1、云计算能够降低电子政务建设及运维成本在电子政务云环境下，可以将信息技术资源交给专业的第三方云服务商管理，由云服务商提供需要的信息技术基础架构、软硬件资源和信息服务等，政府根据按需付费的原则定制需要的信息服务。这为政府带务器和存储设备等，从而节省建设费用；二是信息软硬件资源交给专业电子政务云具有较高的灵活性，政府实施新的电子政务工程时，不必购买额外的软硬件，而是利用已有云基础设施，快速部署系统，提高电子政务应用部署速度。开发者在一个平台上构建和部署应用程序，大3、云计算降低信息共享和业务协同难度长期以来，我国电子政务普遍存在各自为政、资源分散等问题。尽管信息难以共享的根源在于电子政务机制问题，但云计算能从技术上降低信息共享和业务协同的难度。通过电子政务云平台，多个政府部门可以共用相应的基础架构，实现各政务系统之间的软硬件共享，提高电子政务信息共享的效率，扩大信息共享范围；软硬件资源和信息资源的共6享将有利于促进各部门内部与部门之间的业务系统的整合，为政府部门政务云实现政府软硬件资源所有权与使用权的分离，政府将在不拥有软硬件资源的情况下享受信息服务。因此，政府部门能够集中人力物力进行本部门的业务运转，从而减轻政府行政负担，使政府能有更多的精力专注于面向公众的公共服务，提高政府效率。同时，在部署了以云计算为技术支撑的电子政务云以后，后台信息的烟囱式部署方式的壁垒将被打破，从而实现电子数据的统一共享，这对前台服务界面的统一打通有着重要意义，将使得电子政务统一化不再停留在前台展示层面，而切切实实的实现电子政务服务的高效与统一，不再只是从纸质服务到电子服务的变化，而是真正意义的一个窗口办所有事情，大大提高了服务政务云平台的容错机制结合有效的控制、配置与管理，使之具有更电子政务云计算平台作为区域高性能、高标准的信息基础设施，对于提升城市综合竞争力，推动产业转型升级，优化创业创新环境都具有重大意义。通过建设政务云，为政府、企业、居民、游客提供优质的信78为避免投资浪费，私有云计算平台体系的规划建设不仅要求能够满足目前业务使用的需求，还必须具备一定的先进性和发展潜力，使系统具有容量的扩充与升级换代的可能，以便该项目在尽可能的时间内与业(4)开放适用由于私有云计算平台为各业务应用系统提供支撑，必须充分考虑系统的开放性，提供开放标准接口，供开发者、用户使用。在系统设计中，无论是网络系统、主机系统还是存储系统，都应具系统从主机到存储都应有功能强大、操作简便、界面友好的管理工具，使管理人员能及时发现和排除系统的各种问题，保障系统的正常运(7)集约共享实现统一建设、统一管理、统一服务，为政府及其部门提供协同、共享各部门按照数据向上集中、服务向下延伸的建设思路，充分利用电9(8)开放便捷采用层次清晰、结构完整、开放共享的技术支持框架，采用(9)整合资源、避免浪费数据中心”的思路构建云计算数据中心，通过建设XX政务云平台，打和数据资源共享。采用先进的T系统架构，建成国内一流的云计算、大数据应用中心，提高城市综合竞争力，提升政府现代化治理和民生服务非涉密业务专网等业务集成、渠道整合及数据共享，逐步形成由现代治支持XX市云计算产业的孵化和成长，以政务云为中心带动整个XX信息化生态环境。基于大数据，云计算，移动互联网等技术打造的XX政务云平台，不仅能满足政府对政务云的需求，也为促进XX市云计算通过建设政务云平台，实现数据汇聚，运用大数据分析技术，积极开展公共数据挖掘工作，探索数据信息的规律性、前瞻性、导向性，为政府决策提供支持，并能更好地循“数”治理、依“数”服务。建立政大数据、物联网等技术，深化平台建设，构建横跨部门、纵跨层级的无缝隙的信息资源共享，带动前后台资源整合，打造市级各部门非涉密电子政务系统运行使用的电子政务云平台，形成更加高效、透明的政务生态，切实提升政府治理能力和公共服务绩效。促进XX产业优化升级及经济转型、信息化管理水平提升及群众便利等方面，助力XX传统产业市级政务云平台是政务云建设的样板，其1+N+N+1的架构体系市政务云建设的有效借鉴。同时对比周边市州政务云建设模式，均是在由物理资源层、资源抽象与控制层和云服务层三部分构成，提供完整的务，并通过电子政务外网将这些服务安全输送给政务部门，满足政务部每机柜提供双路不间断供电，机房空间和供电在满足本期建设规模基础满足日常运维值班，设备安装调试，后期业务系统迁移等工作需要。机房应具备独立的管理和监控能力。可提供7*24热线人工值守以及响应等级和国家《电子信息系统机房设计规范》GB2.3.1云管理平台硬件要求2.3.2云管理平台软件要求指标项1扩展需求云管理平台除了能够满足目前设备资源使用以及业务支撑需求，还需要良好兼容不同厂商的硬件设备(服务器、存储等),以及未来在线扩展的需求。2接口需求为了满足云监管平台的建设，必须承诺在中标后提供口规范的制定、开发，配合适配和联调等工3应用自动化部署提供的云管理平台软件应为稳定可靠的最新商用版本，同时要保证版本升级方便。另外云管理平台软件需要提供应用自动化部署功能，方便用户通过自助界面进行使用。4需提供本地化支持为保证云管理平台软件产品的实施质量和提供更好5产品成熟度需求云管理平台软件需自主可控，采用Openstack技术架6服务器动态扩云管理平台软件无需单独授权，当整个电子政务云平指标项展需求台的资源不足时，新的物理服务器资源可以自动被识别到，并加入到平台的资源池中，而整个过程不应停止原有服务，且不对原有服务造成影响。7使用量可计量计费需求储、IP、负载均衡、虚拟网络等资源的使用做到精细化管理并提供统计分析功能。且需要提供相应的接口，方便云管控平台使用。8软、硬件资源池化需求可以将现有的物理软、硬件资源进行资源池化。云管理平台软件需根据用户需求，动态提供虚拟化的资源，这些资源包括虚拟机、存储、IP、负载均衡、虚拟网络等。9虚拟机热迁移移到其它硬件设备上运行，而虚拟机中的服务不应停止；而当原硬件设备维护升级结束后也可以将虚拟机从其他虚拟机高可用云管理平台软件应能够提供虚拟机冗余机制，当应用配置了高可用之后，应用虚拟机或虚拟机所在的物理机出现宕机情况时，云管理平台软件应支持自动切换至另外的其他虚拟机或物理机上，保证应用可用性，同时不应对虚指标项故障自动迁移与虚拟化还是依赖于硬件设备的可靠性不同，云计算从设计开始就认为硬件设备故障是常态，平台所有的服务管理平台可以自动把运行在其中的应用自动在另外一个可用节点上(无需人工指定在那个节点上，所有平台中可用的服务器都可以作为备份节点)启动，如果目标节点上也突然出现问题，应该可以自动寻找下一可用节点，直到服务被启动。理论上是只要不是所有的节点都损坏了，系按照策略调整运行资源用系统的运行位置。使服务器、存储等设备在故障修复、资源自助管理界面云管理平台可以为用户提供自助使用和自助管理资源的统一界面。指标项负载均衡服务弹性负载均衡器是在Hypervisor上以虚机的方式实现的负载均衡功能，支持第4到7层的负载均衡，支持web服务、中间件、数据库以及其它互联网服务，可以实时测量服务器利用率和连接负载，在此基础上高效地分配统一应用业务负载，提供全面的可视性并有效地管理应用性能、安全性和服务交付虚拟私有云云计算数据中心支持虚拟私有云功能2.4云平台基础资源池要求云平台应至少划分为电子政务外网区和互联网区，两个区域之间应采用安全数据交换系统进行隔离防护；电子政务外网区和互联网区内部计算资源池划分为高性能计算区、通用性能计算区，每个区分别使用不√高性能计算区，用4路14核或以上配置；√通用性能计算区，用2路14核或以上配置；服务器按照2个区划分的原则，将不同用途的服务器进行划分并进行上架、测试，安装操作系统和虚拟化软件，连接到虚拟化存储池，创2.4.2存储资源池要求可动态在线从一台物理服务器迁移到另一台物理服务器上的特性等。存储要求采用大于或等于8个8GB,提供大于或等于64GB的存储分布式存储主要采用X86服务器组成，使用至少2个万兆接口用于源调配和隔离，支持与互联网、电子政务外网及行业部门专网的连接。依照电子政务外网的安全域划分，本次云平台主要划分为电子政务外网区和互联网区。其中电子政务外网区主要是政务部门系统内和系统间的互访，互联网用户不能直接访问这个区域的数据和信息系统；互联网区安全域内从网络服务、数据应用业务的独立性、各业务的互访关系及业务的安全隔离需求综合考虑，将管理数据、网络数据、存储数据进行的市级部门访问或管理业务系统可通过VPN等多种方式实现。互联网区与电子政务外网区之间通过安全数据交换系统进行数据交换。互联网区与电子政务外网区出口边界应通过访问控制设备建立边界。平台内网络至少划分为业务网、存储网、管理网等，业务网络至少具备10G网络通讯能力，存储网络至少具备10G通讯能力，管理网络至少具备1G网络通讯能力。平台核心交换机至少配置4台数据中心级高性能模块化交换机，具备网络虚拟化集群部署能力。若部署接入交换机也需具备虚拟化部署2.4.4安全资源池要求的需求)。2.5云平台安全要求公用网络区和互联网区之间须部署满足国家电子政务外网要求的安平台应配置必要的运维审计设备，保证对所有运维操作进行溯源。XX市电子政务云建设1个云监管平台。实现对云平台统一监管，监管平台应具备资源、业务、运营和运维监管等功能。云监管平台提供商需与云平台提供商一起，在政府的统一管理下，提出云监管平台与云平台之间的监管接口规范并遵循。除了具备资源、业务、运营和运维监管规划与申请，云服务的使用与监控。最终保证系统上云正常维护等。状况，云服务商资源审核，云服务等财政预算审核，安全监管等。以上监管流程，要求遵循ITIL标准和规范体系，通过规范和服务，将服务商的服务接入，解除云服务商与用户的强耦合关系。平台以中立方的角色，对各服务商的服务质量进行监控与监管，建立服务优胜劣汰的质量服务体系。最终形成良性的竞争与合作生态圈，为各政务系统的政务云平台容灾的设计目的是为了保障其所承载业务连续性，而业务的连续性涉及到三个方面的要素，即：HA(高可用),DP(数据保护),DR(灾难恢复)。应提供容灾备份相关技术手段。2.9其它要求提供标准服务器机柜用于物理设备托管服务，用户托管设备需纳入云管理平台进行统一监控和管理，托管设备的运维管理须纳入基础安全分散建设的政务信息系统，需要迁移到电子政务云平台上。但这些系统采用了不同的平台和技术实现，为迁移到电子业务迁移设计服务进行系统迁移方案详细设计并进行完善的评估，确定2.9.3对接要求能够与XX市现有电子政务外网，互联网，专网(部门业务专网)2.9.4冗余及扩展要求3.1.1机房整体需求运维办公场所等。按照模块化机房相关标准建设，容纳机柜不少于30扩展能力，未来3-5年根据实际业务需要可扩展至60个以上，整体面m²,云平台运维管理区域需配备≥12块、≥46英寸的的DLP拼接屏作6.向采购人提供7*24热线人工值守以及响应电话，7*24全天候技房抗震烈度达8度或以上。时间不小于3个月。在充分考虑计算机系统、通讯、空调、UPS等设备的安全性、可靠性、先进性的前提下，达到高雅、大方、简朴的风格；机房室内装潢基防水、防盗、环保、消防、不易变形及防鼠防虫等因素，装饰材料防火等级大于等于B1级。对于建筑装修部分，既要与现代化的计算机通讯设备相匹配，又能通过精良、独特的设计构思，真正体现“现代、高雅、美观、适用”的计，配电室、主机房、监控室等所有机房区域敷设硫酸钙复合无框防静电地板；走廊敷设与大楼标准层相同的地砖，以保持与大楼装修的统一机房区域内铺设优质硫酸钙复合防静电地板，地板规格600×600,地板敷设高度不低于400mm,根据机柜数量配置相应的地板通风口。地板腿、支架等所有防静电地板附件全部采用防静电地板原厂配件。各项门窗工程部分，机房区域、办公辅助区域和其他区域的相关房间设置钢木门、玻璃门等。根据消防安全设计要求，门开启方向为向外，门色彩样式考虑和墙面的整体协调配合，尤其应具备防火、防盗要求。门框及门面钢板厚度在1.5mm以上，配套五金件齐防火闭门器等),为保证质量选择优质国产名牌产品。主机房、监控室、机房的用电负荷等级和供电要求满足《供配电系统设计规范》级，预留备用容量。需要在1路市电供电的基础市电停电后，发电机应启动并供电。柴油发电机按N+1模式配置。空调系统及其他用电负荷与IT负荷分类别、分级供电。机房内所有电气设备外壳、金属管道、金属吊顶、抗静电地板、金属隔断框架均牢固连接大楼综合接地。接地电阻要求≤1Ω,可以采用用综合接地的方式。零地电压小于1V。机房内所有计算机系统设备的金属机壳应使用数根绝缘导线就近接计算机设备的金属外壳、UPS及电池箱金属外壳、金属地板支架、隔断及金属框架、设施管路、电缆桥架等应以最短的线路连到最近的等3.1.5空调系统需求中央机房计算机设备运行区域配备了机房专用精密空调系统，气流组织采用下送风、上回风的方式，确保设备运行区域的温度、湿度和洁净度指标优于设备运行及国家B级机房标准的要求。每个独立分区配置机房专用精密空调系统，N+1冗余运行，可以提空调系统采用UPS供电保障，可实现全年不停顿运转，确保可以为机房内的设备提供全年7×24小时制冷保障。经过高效过滤的新鲜洁净气体从设备运行区域的两侧输入，在提供空气置换的同时，在机房内部按预定次序形成微正压梯度和空气排放通道，可有效防止未过滤气体的入侵，保证机房洁净度和空气清新。有序流动，配合温度检测系统和气流调节措施3.1.6消防系统需求数据中心机房通过与控制中心式火灾自动报警系统的联合作业，及通过与闭路电视监控系统、楼宇智能管理系统联网的火灾自动报警系统，结合应急广播系统、消防电话、无线通信等通信联络方式，确保数据中心机房采用分层部署的环保洁净气体(七氟丙烷)灭火系统，采用独立的空间陈放消防设备，通过管道输入到设备室；可以及时扑灭火灾，保障设备安全。与新风系统整合的高效强制排烟系统，可以保证并配备手提式灭火器，在保证灭火效果的同采用先进的烟感温感报警器，设计部署数个180L钢瓶环保型气体灭3.1.7安防系统需求安防系统包含但不仅限于视频监控、门禁系统等，数据中心整个安全防范体系采用分级别、分区域的整体纵深防范体系，由外到内划分层5个安全等级。对于为客户提供服务的专属使用区域，将在安全管理规划第4级的基础上，根据具体要求定制安全管理措施及访问控制策略，XX市政务云平台要满足与电子政务外网和互联网的互联互通，作为出口链路必须做冗余处理。切保证主干链路通信正常。XX市政务云平台网络接入建议通过裸光纤与XX电子政务外网统一出口及互联网统一出口统一汇聚层互联。出口汇聚示意图如下：XX市政务云平台电子政务外网资源池通过2条裸光纤与市电子政务统一出口网络设备互联实现云平台与电子政务外网用户的互联互通，2XX市政务云平台互联网资源池提供多各接口(满足10GE)与互联网接入设备进行互联实现云平台与互联网用户的互联互通，向互联网用户提供政务业务服务。互联网接入链路必须提供硬件防火墙设备保证平台互联网出口安全，支持多家运营商链路接入。实现平台互联网区域多路业务单位专网(部门业务专网)业务统一接入XX市政务云平台专网区，实现业务专网与政务云平台的互联互通，向专网用户提供政务业务服务。专网链路由业务单位自行负责，平台提供统业务接入接口。(1)云基础设施管理服务对云平台运行所需的基础设施进行管理，通过持续收集和管理数据中心的资产、资源以及各种设备的运行状态，通过分析对可能出现的问题进行预警。其中数据中心相关基础设施管理系统由云管理单位提供。(2)云资源运行情况监控服务云监管平台对云服务商的云资源(计算资源、存储资源、网络资源等)统一监控，包括资源使用情况、资源统计和资源考核等，如：虚拟机资源/存储资源/物理机资源(查看已申请的虚拟信息：虚拟机名称、描述、资源配置、操作系统、公网/私网IP地址、申请时间、虚拟机运行(3)资源自助管理界面云平台向终端用户提供图形化的统一管理界面，用户使用统一登录(4)使用量可计量计费需求云管理平台软件需对用户使用的资源如虚拟机、存储、IP、负载均衡、虚拟网络等资源的使用做到精细化管理并提供统计分析功能。且需(5)虚拟机热迁移当虚拟机所在的硬件设备维护升级时能够实时迁移到其它硬件设备上运行，而虚拟机中的服务不应停止；当原硬件设备维护升级结束后可(6)动态调整利用云计算本身灵活扩展的优势，可以根据业务的负载情况灵活地根据电子政务云的现状，云平台资源方面要求能够实现按政府实际3.5云平台安全需求云安全技术体系建设云安全技术方案涵盖云基础设施安全、云平台安全、云应用安全及用户端安全，从边界接入到主机安全防护，全方案的打造安全的云计算云安全管理方案包括信息安全法律法规、行业规范、流程管理、人员管理、威胁管理及合规性管理等，以等保安全标准为指导，针对信息云安全运维体系从运维管理角度建成政务云计算的安全体系，实现统一的数据保护、服务的访问控制、数据安全审计策略以及安全应急灯●网络环境安全：安全保护设备和安全软件的选型，按相关●底层结构安全：必须保障虚拟化平台架构层面的安全。虚3.5.2关键技术需求安全监控管理云安全管理与监控对操作系统、虚拟化软件、数据库系统、应用服务器、中间件及业务系统进行全面的监控，管理并分析所产生的安全事主机应用监管系统定位对网络设备、操作系统、应用服务等一系列资源的不间断监控，为用户提供面向应用的监测视图、智能准确的统一主机应用监管系统通过对应用安全状态的可视化、应用安全健康度可量化、应用安全监测的预警化和应用业务决策的数据化，能为用户一云安全管理以安全策略为驱动，以安全机制为核心，最终作用于安全部件，根据作用范围分属于不同的安全域。安全部件在运行中产生的安全事件被提交到云安全管理控制台，触发响应。整个管理流程是一个安全邮件安全邮件安全邮件安全邮件安全邮件安全邮件安全邮件安全邮件安全邮件安全邮件全安安全邮件安全邮件安全邮件安全邮件1.安全策略管理：对各种安全策略(云服务管理策略、数据安全策略、安全事件策略、身份管理策略、安全审计策略)进行维护和管理，云安全管理与监控的其它功能组件根据所制定的安全策略，执行各自的2.服务安全管理：监控云计算环境所提供的各类服务如IAAS、PAAS和SAAS,获取各类服务的使用情况，监听云服务用户对服务的请求和使3.数据安全管理：包括数据存储加密、数据传输加密、数据共享安4.安全事件管理：监控云基础设施硬件包括计算、存储、网络资源上报安全事件；支持多种告警方式，接收来自网络、主机、虚拟环境等5.身份安全管理：负责用户的安全接入认证、用户安全登录以及单6.安全审计：包括网络审计、应用审计、操作系统审计、虚拟环境审计，记录用户对云服务的访问使用行为信息，监督和记录系统运行的8.云攻击检测：检测来自内部、外部的对云计算环境及服务的非法请求和攻击，对检测到攻击产生安全事件并记录攻击信息，同时触发应事件管理与响应协助用户实现安全策略管理、安全组织管理、安全运作管理，能实现管理层面和技术层面的职能，有效地将政务的策略管理、安全组织管理、安全运作管理和安全技术框架结合在一起，保持一致性。其工作原压压事件收集安全信息事件关联.集中安全监控中心事件收集器定制知识库→加的风险管理中心：全面收集信息资产的漏洞和相关事件，通过关联分析去除各种误报，发现有用信息，给出级别度量。系统能够自动完成以往专家完成的风险计算工作，并自动触发任务单和响应来降低风险，达风险管理以定期风险评估为基础，发现政务所面临的安全风险，并开发适合信息安全风险评估服务(简称：ISRE)建立在工作流程标准化、技术水平专业化、经验累积知识化之上，从业务采用定性和定量相结合的方法，帮助用户识别信息化风险、分析信息化风险、处置信息化风险，从而建立以风险管理为中心的安全保障体系。物型安全风险评估图(4)与相关法规和标准(如等级保护、ISO27000系列标准)的符补丁管理补丁管理过程要遵循变更管理框架，并直接从漏洞管理程序得到反取最新补丁；补丁安全测试后，通过补丁分发管理中心服务器对网络用户进行分发，并提醒各用户，由用户自行选择安装。合规性与安全审计提供的政务云和政务大数据平台信息安全等级保护遵循国家等级保护相关政策和标准，完成三级等级测评和备案工作；针对平台运行的业务系统，采用等级化、系统化和标准化相结合的方法，提供从系统定级、安全规划、安全设计与实施到安全运维等信息安全等级保护全过程的服务，帮助用户建立科学合理的信息安全保障体系，并符合国家相关政策和标准的要求。等级麦更局部调整1.信息安全等级保护管理要求CPCS以“适度防御、合理规划设计”为基本思想，以用户安全需求为导向，以信息安全等级保护相法规和标准为指导，帮助用户建立健全信息安全保障体系，从而保证信息系统定级合理准确、安全体系建设科系统定级安全规划安全运维信息安全等级保护咨询服务设计与实施(1)系统定级咨询服务服务内容：采用访谈、研讨会和文档分析等手段，收集有关信息系依照国家有关管理规范、标准和信息系统的总体情况，进行信息系统划(2)等级保护评估服务服务内容：采用基线分析和风险评估相关结合的方式，帮助用户明确信息系统安全保护需求，形成安全需求分析报告；根据信息系统实际情况和信息安全等级保护基本要求，制定信息安全总体策略、系统安全(3)等级保护建设方案咨询服务制定详细的系统安全技术措施方案、安全管理措施方案和安全建设计划(4)等级保护测评支持服务服务内容：在等级保护运行和维护阶段，协助用户准备等级测评相2、用户收益>帮助用户开展信息安全等级保护相关工作，并符合国家相>根据用户自身发展要求，帮助其进行中长期信息安全建设>帮助用户建立动态安全防御体系，持续改进信息安全保障监管部门的职责主要是从全局的角度来对于电子政务云的云服务的使用电子政务云平台，搭建政务系统的各委办局，特点是云服务的直接消费方，通过平台来申请、配置、使用并监控云服务。(3)平台运营商平台运营商作为平台的运营，维护各委办局，监管部门的账户、组织架构体系；监管服务商的技术接入及安全配置。保证各个服务与用户服务提供商是特指IaaS服务商和PaaS服务商，对于IaaS服务商，提供主机、网络等过平台注册接入，通过运营监管平台来配置所提供的服务，并且通过平台的监控、统计、计费等服务来保证自身服务可控。云监管平台将建设在XX市政府指定地点，其所需的硬件和第三方软件(包括但不限于服务器、存储、网络、安全、操作系统、数据库、中间件等)由提供商按需规划、配置，网络需根据整体设计满足与云平台互通，同时需考虑系统安全的相关设备配置。根据对云监管平台的需求梳理，云监管平台需要具备统一门户、服务考核、接口管理、资源监管、运营管理、运维管理、用户管理、系统管理及安全管理等功能模块组成。3.6.5监管中心XX市政务云平台需要为运行在其上的各类政府部门业务系统提供等主流数据库)、虚拟机等进行备份。可根据各类不同的业务应用系统提供不同等级的RPO支持，范围从0至24小时。数据备份分为本地备份和异地备份，本地备份利用生产中心内的专用备份设备提供本地备份空间，用于数据的快速恢复；异地备份利用容灾中心内的专用备份设备提供异地备份空间，用于重点业务在异地的业本地备份的数据包含所有业务系统数据库的结构化数据和部分非结构化数据。由于采用多副本的分布式存储架构，已经能够在一定程度上保障数据的可靠性，只需要将一些重点业务系统数据再次进行备份。(1)容灾备份中心应尽可能远离同一机构主数据中心所在地。(2)灾备机房所在地区地质稳定，无地震、洪涝等灾害。(3)灾备机房周围无强电磁波源，无易燃易爆品、无军事目标。(4)灾备机房需要满足GB50174-2008《电子信息系统机房设计规范》B级及以上标准和国家对于政务系统的要求进行建设。(1)灾备系统的安全区域划分应该按照主生产机房的划分方式来统(2)灾备机房的网络是动态可扩展的弹性网络，以满足业务系统未(3)异地数据容灾需要满足GB/T20988-2007《信息安全技术信息系统灾难恢复规范》要求，RPO(恢复点目标):0至24小时；不同的3.8增量服务需求单元类型备注说明1以1台物理服务器为单位以云服务商平台所提供的通用计算节点物理机为参考，服务商应充2高性能计算单元以1台物理服务器为单位以云服务商平台所提供的高性能3为单位，每1TB裸存储容量以云服务商平台所提供的FC-SAN4以1台物理服务器为单位以云服务商平台所提供的分布式5以满足单台云主机(虚拟机)国产linux企业版以满足单台云主机(虚拟机)以满足一个应用系统使用为1个单元配合XX市各级部门应用系统迁移前的需求分析工作，对各部门应用系3.9.4冗余扩展需求(一)统一规范(二)成熟稳定(三)实用先进为避免投资浪费，政务云平台体系的设计不仅要求能够满足目前业务使用的需求，还必须具备一定的先进性和发展潜力，使系统具有容量的扩充与升级换代的可能，以便该项目在尽可能的时间内与业务发展和(四)开放适用由于云计算平台为各业务应用系统提供支撑，必须充分考虑系统的(五)安全可靠本项目涉及用户范围广，数量大，实时性强，设计时应按照国家第三级安全等级保护规范，加强系统安全防护能力，确保方案实施完成后4.2.1总体架构建设具备电子政务业务集中承载以及政务业务大数据分析处理能力的电子政务云，实现市政府各部门基础设施共建共用、信息系统整体部为政府管理和公共服务提供有力支持，提高为民服务水平，提升政府现构建市级各单位非涉密业务共享共用的ICT基础设施平台，各委办提升信息化投入成效。未来政务云同时要承载交通、工业、食品安全应急管理、环保、旅游、交易等多个行业业务云，为智慧政务、数字园企业信用、智慧工商等业务应用系统提供数据及平台支撑服务，并向平台迁移市级部门已建并在互联网、政务外网、非涉密业务专网上运行的业务应用，逐步将业务专网向电子政务外网融合，形成覆盖全市的数据遂宁政务云平台政务云平台用户资源申请NN1数据中心安全资意第一个“1”:1个统一运营监管平台；第二个“1”:1个云平台；“N”:N个政府部门业务系统云平台(N>=1),根据政府部门实际情况，制定技术标准，对现有部门条件较好的数据中心和设备进行再利用，纳入政务云统一管理或在云上建立纵向业务专有云平台。“1”:为保障局委办数据和业务的安全和连续性，规划一个容灾备份中心，保障数据和业务的安全。4.2.2云平台架构与防护云服务星设备展遂宁市政务云平台全金计，主要分为数据库区、业务应用区、存储区、系统管理区、网络出口→设备层设备层包括运行政务云所需要的计算(服务器)、网络、存储等各→云服务层资源池IaaS服务：包括云主机、云存储(云数据盘、对象存储)、云防火墙、云负载均衡和云网络(租户子网/IP/域名等)。IaaS的管理平台不但能管理自己的虚拟化资源，还能由监管平台通过接口的方式进的创新业务来满足市民对政府信息公开及提升办事效率的业务，但业务的推广好坏除业务本身外，很大程度上取决于底层技术平台的能力，比PaaS层服务扩展能力，以支持政务信息化应用向互联网化演进的需求。云架构安全及防护树开埋时盘过嘴时树开埋时盘过嘴时物理安全、组织安全等部分。满足国家安全等级保护3级的部署要求。→运营服务→运营管理运营管理为整个云服务平台提供维护和管理的业务支撑，提供诸如根据XX市实际需求，结合云计算技术最新发展成果，XX市政务云政府办公门户(面向政府办公人员)全政务数据公开全豆全整合迁移规划设计实施全政府决策门户系统安全保障体系费量事或通意量事或通意4.2.3安全架构等级保护政务云安全体系，从安全技术、安全管理以及安全服务三25070-2010),等级保护三级安全技术从安全计算环境、安全区域边界、安全通信网络和安全管理中心方面进行构建。等级保护安全体系如下图金定联及备t惠环境根据政务云平台安全域的划分，等级保护的几个安全域安全防护手段可以对应到政务云平台的网络分区中。由于本期项目本着适度安全的设计目标，安全防护手段仅仅考虑政务云平台自身的安全防护，因此不政务云的建设在解决政府部门间信息共享，实现业务部门之间的数云承载者、云审计者和云代理者五方面的参与者，每一个参与者是一个实体(人，或组织),在云计算中参与一个交易或过程和/或执行任务。云的基础设施，用户自己承担的安全责任越多，而云提供商承担的安全责云计算下的安全问题包括：云服务的滥用和恶意使用、不安全的接口和API、恶意的内部人员、共享技术问题、数据丢失或泄漏、不安全或不完整的数据删除、账号或服务劫持、用性和可靠性问题、治理与合规风险、可移植性风险、云提供商和客户现有的安全系统整合风险等。对于电子政务系统来说，有其特殊的安全需求，主要包括：域间安全的数据交换、安全域的控制、标准可信时间源的获取、信息传递过程数据安全应用安全主机安全网络安全物理安全云安全管理平台及服务体系高级威胁满足合规管理控制中心图政务云安全设计思路第一步，先按照行政级别和行政区域进行第一层系统的划分，将整第二步：对每种电子政务云再按照系统功能和系统服务的对象进行第二次系统的划分，将第二层系统分解为具有不同功能、不同服务对象4.3.1云平台技术选型虚拟化模块。自Linux2.6.20版本起就作为一模块被包含在linux内支持热插拔(CPU/块设备、网络设备等);支持实时迁移；支持对称多处理(SMP);支持PCI设备直接分配和单根I/O虚拟化；支持内核同KVM的优势在于它是Linux完全原生的全虚拟化解决方案，就是在Linux内核中添加的一个虚拟机模块，直接使用Linux内核中已经完善的进程调度、内存管理与硬件设备交互等部分，使Linux成为一个可以度很快，在任何场景下都可以直接和硬件进行交互，而不需要修改客户对系统级的定制化开发和改造。同时XX市政务云作为一个政务项目，具有高性能、稳定，且无需修改客户机系统。同时KVM本身作为业界主综合考虑XX全市非涉密系统业务需求，应该使用KVM作为底层虚拟化上万台云服务器的使用及运营，支撑了超过万台虚拟机。目前针对虚拟机生命周期的管理，实现了虚拟机镜像管理，今后会在稳定性、高性能以及服务器兼容性等方面做进一步的优化。让政务云平台虚拟机服务可云资源管理技术路线——openstackOpenStack是一个开源的云计算管理平台，由几个主要的组件组合起来完成具体工作。OpenStack支持几乎所有类型的云环境，目标是提加独立功能的组件非常简单。有时候，不需要通读整个OpenStack的代码，只需要了解其接口规范及API使用，就可以轻松地添加一个新的模(2)组件配置较为灵活。OpenStack的组件安装非常灵活。可以全部都装在一台物理机上，也可以分散至多个物理机中，甚至可以把所有API。其他所有组件也是采种这种统一的规范。因此，基于OpenStack做二次开发，较为简单。而其他开源软件则由于耦合性太强，导致添加OpenStack作为一个开源系统，不受任何一家单独的公司控制。本身OpenStack是年轻的，但是他却具有巨大的市场动力，与此同时，很多大公司都在支持OpenStack发展。有了如此多公司的资源投入，OpenStack技术路线，支持几乎所有类型云资源的管理，目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。OpenStack通过各种互补的服务提供了基础设施即服务(IaaS)的解决方案，每个服务提供API以进行政务云服务平台与监管平台的集成。XX市云平台业务系统的门类众多，情况复杂，云管理平台需要能快速适应不同的业务架构和流程，这需要保证云管理平台的各个模块和组件能够灵活调配，呈现出松耦合的特性，面对各类复杂场景井进行快速的迭代开发。同时要具备丰富的功能，背后拥有庞大的开发社区，以满足未来XX市云平台信息化在发展中产生的新需求。综合考虑XX市云平台的业务特点以及对功能的需求，在云管理平台的建设上，应该使用开源松耦合的OpenStack来进行部署。政务云管理平台将如何实现将现有业务和关联流程移植和更好的运营在私有云之上。帮助实现政府现有各类资源的分配，平台的交互能力让用户更快熟悉私有云的应用模式，构建高可用的云应用，优化和适应政务云之上的业务运营模式。同时基于OpenStack框架的重要性以及为保证平台的稳定性，厂商必须是OpenStack社区金牌会员或白金会员，具备云平台技术优化路线随着政务云项目不断深入，新业务及搬迁业务应用的数量会以更大更加高效合理的使用计算资源会是一个非常重要的任务。在设备和带宽基数很大的情况下，优化资源使用效率和降低成本会变成政务云运营的核心目标之一。政务云数据中心资源会变得越来越紧张。政务云平台本身对政府业务的发展预测能力会较差，制定出长远的、不变的数据中心资源规划几乎是不可能的。搬迁业务的需求将会非常的多，自动化或自助化的异地随着业务系统增多，支撑服务的异地部署能力也会受到考验。目前的迁移方式可能会受到未来某些目前无法预料的政府业务应用需求的挑战。要合理的解决这类问题，建立异地部署和迁移能力，会是面临的一云客户需求的更深层的能力出来。在功能上，也会提供更加多样化的服2.在虚拟机服务中，更加安全的运营虚拟应政务业务系统方面倾斜，同时自动化和自助化的数据迁移与异地部署能力会进一步的增强，比如提供co-processor的能力，让业务逻辑可图像处理等功能。实现全网的QoS控制，不但可以监控所有流量，还能针对流量和客户需求的优先级，提供不同水平的SLA。最后，多个业务的数据分析能力，大规模计算能力，以及允许第三方提供个性化的数据4.3.2网络技术选型考虑整个平台业务需求整网采用SDN+VXLAN架构部署，实现网络层独立的SDN控制器设备构成控制层，底层网络设备构成了转发云数据中心在业务平面通常采用vxlan的组网模式。在云数据中心大二层网络考虑整个平台业务部署需求整网采用使用大二层技术保证整个数据云数据中心下，随着计算和存储资源的资源池化，相应的网络也需要实现资源池化，使用大二层技术保证整个数据中心实现云化。使得管理员能够根据不同业务的实际需求按需分配想要的网络资源且不影响用大二层网络基本上都是针对数据中心场景的，因为它实际上就是为了解决数据中心的服务器虚拟化之后的虚拟机动态迁移这一特定需求而出现的。对于普通的园区网之类网络而言，大二层网络并没有特殊的价网络统一管理，对接云平台相应的运维压力也会成倍增加，为了保证云数据中心能够满足业务频繁更新的需求。需要能够统一的对网络进行管理。为了使云数据中心能够需要保证网络这块能通过SDN控制器同云平台进行对接管理。从而简化网络健康状态感知随着网络设备的增多，运维人员很难一个个去收集现网中所有网络设备的使用情况，也就很难能够判断哪些网络设备是在超负荷运行，哪些网络设备存在风险，哪些网络设备需要进行升级换代。因此需要保证SDN控制器能够感知整网网络设备的将健康状态，并能对网络的健康情链路带宽选择核心接入互联的网络骨干区域，单链路需具备10G带宽能力，未来根据业务扩展需求可以平滑升级到50G单链路带宽能力，满足业务系统用对安全等保要求的特点对服务器进行分区配置，满足政务应用对计算业务资源池、运行管理资源池等功能区域集群。不同集群内部资源可以其中业务资源池承载政务云大部分的业务系统，包括门户网站、各委办局管理系统、数据库系统等，以及数据交换平台前置机、管理控制对于虚拟主机不能满足的应用，则采用物理服务器满足。以下是针对不物理主机和虚拟机的不同节点配置全面覆盖政务客户的不同业务需对内存容量、I0、扩展性的要求都不高，且有节约空间和能源的应用，采用虚拟主机来满足；对于高性能计算，大容量存储，大容量内存和高IO的需求，虚拟化不能满足应用需求，则采用4路X86服务器高性能物理主机满足。本次政务云平台的计算资源区建设，划分为互联网业务资源区和政务外网业务资源区，两个区域之间采用了安全数据交换系统进行隔离防护；二个区内部计算资源池划分为高性能计算区、通用性能计算区，每个区分别使用不同的服务器进行承载。本次平台计算资源池建设规模以现状调研数据为基础，信息系统平均硬件资源利用系数一般在0.65-0.70之间，本次资源利用率取平均系数0.68计算，并预留20%冗余空间；要求提供物理核≥1081核，内存容量≥11596G的计算能力。同时考虑省内各市州政务云规模、经济总量等实际因素，我市政务云计算资源池相关资源量具体测算过程如下：内存容量评估规模=14210*0.68*1.2=11596G(取整)分布式存云资源池区.其要办局VDo。通用计算区云资源区该区域为虚拟化资源池，包括高性能计算区、通用计算区、FC-SAN高性能计算区：该资源区的CPU处理能力高、内存容量需求大，要求高规格虚拟机及高规格性能预留的业务，如：中间件服务器，应用服通用计算区：该区域存放通用业务，虚拟机资源可根据业务量动态调整，不需要资源预留，如普通业务系统，数据备份、文件共享等；该FC-SAN存储：设计为高端集中式存储池，用来承载对IOPS要求较分布式存储：设计为分布式存储，用来承载如：虚拟机系统、虚拟特点是对存储的容量要求高；在政务云建设初期，为节约存储资源，可从分布式存储区划分专门区域进行关键业务数据备物理托管区服务器业务，或OracleRAC环境等不适合云供至少2个标准服务器机柜存放物理托管设备。备份资源区政务云本期建设通过使用备份工具进行业务数据备份，数据存放在分布政务云通过使用大二层的网络技术及SDN等技术将整个资源池划分不同的虚拟数据中心(VDC),供各个委办局使用，不仅能隔离不同委提供一种可随时自助获取、可弹性伸缩的云服务器，帮助租户打造可靠、安全、灵活、高效的应用环境，确保服务持久稳定运行，提升运支持指定云服务器类型和规格创建云主机，支持根据预制的多种类型的云服务器类型供选择，针对不同的应用场景，可以选择不同规格的支持使用公共镜像发放VM,公共镜像由系统管理员制作并注册到系弹性云服务器对应提供通用性能计算池，用2路14核或以上配置。本次平台规划部署24台通用性能计算服务器。5.1.2裸金属服务器为用户提供专属的物理服务器，提供卓越的计算性能，满足核用对高性能及稳定性的需求，结合了传统托管服务器的稳定性与云中资支持将物理服务器定义成服务目录供用户申请使用，用户可以根据裸金属服务器对应提供高性能计算池，用4路14核或以上配置。次平台规划部署8台高性能服务器。5.1.3计算资源池细化方案计算资源池化政务云服务是基于虚拟化技术，将单个服务器硬件虚拟成多个虚拟机VM,其目的也是在于提高服务器资源的利用率。但是，由于单个服务器的CPU、内存、硬盘资源颗粒度较小，因此在虚拟化应用中，经常出更多的情况是硬盘容量存在大量空闲。而服务器资源池化可以更好的解决上述问题。现在的虚拟化云服务是一虚多的能力，而未来的服务器资该计算资源池规划4台裸金属服务器以及FC-SAN存储组成，放入电子政务外网区为政务外网及非涉密政务内网的高性能业务提供服务。高性能计算资源池服务器为4路14核或以上配置。该计算资源池规划12台弹性云服务器以及分布式云存储服务器提供服务。通用计算资源池服务器为2路14核或以上配置。该计算资源池规划4台裸金属服务器以及分FC-SAN存储组成，为4路14核或以上配置。该计算资源池规划12台弹性云服务器以及分布式云存储服务器服务器为2路14核或以上配置。政务云管理平台对4个计算资源池统一进行控制与资源调度、运更新任务状态更新任务状态接口层CMEM投递消息到下一个队列资源可以独立分配，计算资源池关键算法在于对cpu和内存的管理。1.同一个应用的不同虚拟机尽量分布于不同的物理服而导致的性能问题，同一台虚拟机只会在一个node分配虚拟■虚拟机无需停机，用户业务不中断■资源整理提高物理机资源利用率■有效解决硬件批次，内核潜在问题带来的故障计算资源池关键技术做到1分钟内交付主机。点，防止数据误删除电子政务对存储资源池有多样化的需求，主要包括各委办局业务系其中各委办局核心业务存储、灾备生产存储、数据共享交换平台基信息中心公文/图片存储、数据共享交换平台公文/图片存储、大数件资源利用系数一般在0.65-0.70之间，本次资源利用率取平均系数单位高性能存储托管的需求，存储资源池建设规模缩减一半，并按5.2.1分布式存储资源池方案建立大规模块存储资源池，提供标准的块存储数据访问接口(SCSI和iSCSI等)。支持各种虚拟化平台和各种业务应用(如SQL、Web、行业应用等等);可以和各种云平台集成，按需分配存储资源。另一类是在企业关键IT基础设施中，通过Infiniband进行服务器得到极大的提高。又保留了分布式存储的高扩展性基因，从而支持政务云关键数据库、关键应用的使用，解决这些关键应用的大数据量需求。分布式存储节点规划使用16台。对于政务云数据库关键业务，基于性能以及可靠性考虑，推荐使用FC-SAN存储的光纤通道网络是基于流控制的封闭网络，储的以太网是基于CSMA/CD机制来传输，因此FC-SAN存储网络的传输现的，因此性能高于IPSAN,例如服务器端通过带有ASIC芯片的专用HBA来进行数据信息处理。FC-SAN存储节点规划使用2套。5.2.3存储资源池细化方案分布式存储规划>分布式块存储块存储主要为虚拟机或者物理机提供裸设备支撑，可用来存放虚拟机系统，亦可做数据盘或者通过iscisi协议扩充物理机存储空间>对象存储的功能对象存储主要通过restful的借口暴露出来，供外部调用，为网盘16台分布存储服务器，其中电子政务外网区放置10台、互联网区放置6台分布式存储服务器，由六台控制节点服务器进行控制。分布式存储提供三副本和两副本两会总存储方式，以满足对数据可高扩展性：使用普通x86服务器，支持10-1000台服务器，支分布式存储技术client,底层硬件设备使用x86server得到廉价大容量存储池。存储的位置，份数等，这些信息被记录到metadata.mfs中。当该文件会定期从master上将metadata、changelog、sessionChunkserver云存储数据存储保存，文件以chunk大小存储。每chunk最大为64M,小于64M的该chunk的大小即为该文件大小，超过64M的文件将被均分，每一份(chunk)的大小以不超过64M为原则。文为1时，表示只有一份copy,这份copy会被随机存到一台chunkserver上，当goal的数大于1时，每一份copy会被分别保存到每一个数，一般设为大于1份，这样如果有一台chukserver坏掉后，至少还终保持原有的copy数，而如果goal设为chunkserver坏掉，之后又重新加入回来，copy数将始终是0,不会恢复到之前的1个copy。Chunkserver上的剩余存储空间要大于1GB,新的数据才会被允许写入，否则会出现NospaceleftClient客户端通过内核加载的FUSE模块，通过连接master,将块是外加的模块，当系统重启后，需要执行modprobefuse,将其加载磁盘阵列以16个8GB光纤接入高性能计算资源池，提供大于96G存储缓存吞吐量，并配置14块1.92TSSD和76块1.8T10KSAS(2.5)。使用两台光纤交换机组成标准FC集中架构。电子政务外网高性能区和互联网高计，管理员只需要维护少量的存储资源池，所有的RAID配置在创建存储池时自动配置完成，同时，系统会自动根据制定的策略来智能管理和5.3.1计算服务虚拟机物理机运营环境5.3.2存储服务标准版块存储标准版块存储(云存储)基于MFS系统构建，能够提供方便快捷、高性能块存储5.3.3数据库服务5.3.4网络服务5.3.5高级服务负载均衡5.4.1总体网络拓扑电子政务外网区核心层负责汇聚接入层流量，包括业务数据流量、存储数据流量及管理数据流量。同时提供对业务的控制和优化，如安全控制、负载分担核心层采用4台核心交换机构建，电子政务外网区与互联网区各放便于满足后续业务扩展需求。核心交换机支持一虚多技术，可以提升设电子政务外网区及互联网区核心交换机通过10GE链路接入到数据交换区，通过数据交换平台进行两个区域之间的业务数据转发，通过数接入层负责接入各种服务器、主机、存储等设备，并根据业务需求提供多种安全及QoS策略。接入层交换机支持高密度10GE端口接入，构建二层无环网络架构，满足虚拟机二层迁移需求，支持服务器的双活电子政务外网区接入层：2台业务接入交换机、2台业务管理接入交换机，1台硬件管理接入交换机，2台存储接入交换机；互联网区接入层：2台业务接入交换机、2台业务管理交换机，1台硬件管理接入交换机，2台存储接入交换机；政务专线接入层：政务外网专线接入2台交换机；数据中心管理区：2台管理接入交换机；5.4.4专网接入区网络建设各外联单位分别通过专网接入不同的云资源池区域。外联单位和X术云计算服务安全能力要求》6.2边界防护等相关标准要求的功能。政务云专网接入系统，设备主要包括2台外联接入交换机和2台防火墙。各外联单位根据需要分别通过专网接入不同的云资源池区域。外专网接入区边界部署两台防火墙设备，外联单位各业务专网分别接部署访问控制策略，只允许外联单位按照业务需求与政务云电子政具备攻击检测和审计功能，对网络访问进行检测、审计；对发生的外联单位可能存在网段重复的情况，需要能够有效的区别(通过能够配置、修改、控制外联单位到市政务云的访问策略，做到只放根据以上需求和现有的设备，本着可靠，安全，可扩展的原则，采在数据包离开自己的外联路由器时，到达政务云汇聚接入并进行VLAN5.4.5网络分区建设(1)业务网业务网主要由业务接入交换机及核心交换机组成，由安全设备提供安全控制及流量优化。所有业务数据经过直连业务接入交换机转发到核再由核心交换机通过业务需求进行统一转发到电子政务外网区、互联网(2)存储网直连接入，由光纤交换机负责FC-SAN磁阵与高性能服务器的连接。(3)管理网管理网主要由管理接入交换机负责对本区域内所有管理数据进行接入交换机，事项对区域内的网络、计算、存储等资源及硬件设备进行统同时设置硬件管理接入交换机，通过独立于数据网络之外通道对网络设备(路由器、交换机、防火墙等),服务器设备及存储设5.4.6网络出口建设本次电子政务外网区核心交换机通过10GE上行链路接入到电子政互联网区出口带宽为1.2Gbps。5.4.7政务云大二层网络>弹性能力a)横向弹性—用户从10台虚拟机扩容到100台虚拟机b)纵向弹性—虚拟机配置从1核1G升级到4核8G,如果当前母机换机管控下子网网段内),要做不变ip的虚拟机迁移，只能在相同交政务云的大二层网络拓扑示意图如下所示：Nru政务云大二层网络分作核心交换区和接入交换区两层，保证虚拟机资源和物理机资源能在统一VLAN里。具体拓扑结构图如下所示：台业务及存储接入交换机(10G接入)和1台管理接入交换机(1G)机互为冗余，保证核心网络交换的可用性。接入交换机和核心交换机均支持VxLAN技术，在该网络环境中政务云虚拟机可以不依赖于物理硬件，灵活的在物理机之间迁移。政务云网络中传输，到了接入交换机后把UDP头解封装，然后把原始报文发送给OuterUDPHea蓝色的是原始报文。绿色的是VXLAN头。橙色的是封装时新加的二层三层头。OuterUDPHeader中的DPORT是新申请的VXLANPort,以用来识别VXLAN报文；VXLANHeader中只有一个24位的VXLANNetwork5.4.8政务云虚拟数据中心VDC为实现各个委办局的业务及网络逻辑隔离，以及顺利将各委办局的原有系统顺利迁移至政务云，满足政府客户原有系统的远程接入、移动办公的接入已有混合数据中心的建设，政务云服务平台引入虚拟数据中心VDC的概念。政务云虚拟数据中心的核心技术为基于SDN的虚拟专用网络(VPC),通过对各局委办系统划分VDC,局委办内部门划分VPC,保证系统之间的隔离。不论部门集群是物理隔离还是逻辑隔离，网络上都是通过VPC进VPC1VP21VPCn分布式存储FC-SAN存储计算>虚拟网络隔离虚拟网络隔离用于帮助局委办在云中虚拟出一个私有的应用运行环境，局委办申请VPC以后，可以自助配置VPC中的子网，可以在VPC内环境，局委办可以规划自己的网络地址，不同的VPC之间的地址可以重>独立资源管理局委办根据自己的业务需要申请VPC业务，子网如果指定了IP段，系统会自动为虚拟机在IP段内通过DHCP的方式分配IP地址。管理员在定义服务目录时，可以定义VPC中最大子网数，局委办自助配置VPCXX市其它委办局的办公人员、移动办公人员及原有数据中心均可通过VPN的方式(专线或互联网)接入政务云服务平台各自的虚拟数据中Usrr图政务云服务平台与已有数据中心混合架构VPC内业务相关配置完成后，政府客户通过在前台提供接口输入usergw的设备型号及厂商信息等获取usergw端的配置文件，政府客户政务云平台总体安全体系架构网络安全安全域隐离安空量盘设施安全资源池提供的安全运行防护包括网络安全、主机安全、应用安全、安全管理多个方面，政务云平台的安全建设需要使安全防护能力能够根据云安全防护需求灵活调度，全面满足政府部门应用系统安全运行对云平台提供平台级的安全服务，以满足等保三级的预警、防护、层面类别方案物理和环境安全复用云平台等保测评结论网络和通信安全网络架构通信传输边界防护VPC、防火墙、安全组、NAT网关访问控制防火墙、安全组入侵防范Web应用防火墙、网页防篡改、主机防护恶意代码防范主机防护、应用防火墙安全审计日志审计集中管控堡垒机设备和计算身份鉴别堡垒机安全访问控制堡垒机安全审计堡垒机数据库审计入侵防范主机防护恶意代码防范主机防护资源控制监控应用与数据安全身份鉴别应用系统、堡垒机访问控制安全审计软件容错资源控制数据完整性应用防火墙、网页防篡改数据保密性应用系统开发商解决数据备份恢复本地备份以及异地容灾剩余信息保护主要功能需要应用系统开发商5.5.3云平台安全服务体系建设个维度构建。根据《信息系统等级保护安全设计技术要求》(GB/T教地分教地分析评估方重设计a人的妻金参想要的眼壁花期计R环最定级及备案评安全技术的设计目标，安全防护手段仅仅考虑政务云平台自身的安全防护，因此数据归属关系不变，安全管理标准不变”原则，由业务所属部门承担信息系统和数据资源的安全管理责任，负责牵头迁移工作，云服务商承担信息系统部署时，各部门应用系统应在XX政务云测试平台上开展压力测试和内部测试等上线试运行准备工作，云服务商与信息系统所属部门共同认可试运行结果后，才能实施系统割接。系统割接后，各部门通过云监管平台对所属信息系统实施在线调度、管理和监控，要密切跟踪了解系统在政务云上的运行情况，原系统至少保留3个月以上，作为应急回退措施，上云后6个月内完成安全等保测评。5.5.4政务云平台安全域划分方案本方案依据政务云平台及整体应用业务需求进行网络安全域的划分设计，同时对每一个划分的区域分别进行风险分析、依据安全工程理论■总体安全域的划分要基于应用的范围，以业务系统为安全域的组■安全域是整体安全体系建设中的一环，安全域的划分应实现整体本次政务云平台根据安全域的设计原则划分为：核心域、接入域2电子政务外网区域电子政务外网区域与互联网区域的安全边界必须保障数据物理隔互联网区域(互联网)5.5.5政务云平台安全建设方案通过在政务云平台出口部署防火墙、流量监控、漏洞扫描、防入侵等安全防护设备，建立起一套完整的网络安全防护体系，对网络边界处提供访问控制、病毒过滤、防攻击、防入侵、防篡改、内外网数据安全抗DDoS等，根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级，同时防火墙具备对进出网络的信息