云计算平台建设总体技术方案

XX单位XX云计算平台工程技术方案二O一二年一月第1章.基本情况…....………...................1.2.业主单位…..................1.3.项目背景…..………………..............1.3.1.XX技术发展方向…..........….…............1.3.2.有关XX公开的相关要求...................…....1.4.建设规模.....................1.5.投资概算...………….............1.6.设计依据......……..........1.8.设计分工…10…2.2.现状分析.....12..........2.3.1.长期需求…......……13...........第3章.总体设计…...........16...........3.1.建设目标.......16................16...................17............3.3.系统的总体结构………………18...…......3.3.2.XX本土化战略…………错误未定必我签............3.3.3.建设思路…………………20..3.4.信息的分类编码体系…………25..........3.5.质量保证体系…………………26.............4.1.网络资源池…………………4.1.1.组网物理拓扑图……………29.............4.1.2.网络负载均衡设计………30...........4.1.3.网络虚拟化设计……………32...........4.1.4.IP地址及DNS规划………36.........4.1.5.网络端口资源估算………A1.........4.2.计算资源池………………………42...........4.2.1.计算资源池架构…………………42......4.2.2.应用系统分析………………43...4.2.3.计算资源池建议配置与选型建议………44...........4.2.4.计算资源池部署……………47.............4.3.云计算管理平台………………52.........4.3.1.云资源管理平台建设方案..................................52.............4.3.2.云运营管理平台建设方案.........62..................4.4.1.云计算平台安全威胁…...71...........4.4.2.云计算平台安全防护目标.......……73..........4.4.3.云计算平台安全架构…74..........4.4.4.laaS层安全..................…..74.........4.4.5.PaaS层安全...........90..............91...........4.4.7.公共安全…..........…………...93.......4.4.8.安全管理制度.......….....99...........4.4.9.云安全服务.....……......101.................101............4.5.1.机房设备集中管理………..…..101.....4.5.2.布线系统…....1.02.........4.5.3.机房系统…...............………1.03............4.5.4.UPS配置方案.....................................105...........4.6.标准化工作…................109...........4.6.1.标准规范建设的原则..……….....1.10........4.6.2.标准规范的总体框架….......………......1.1.1............第5章.设备配置要求……114...第6章.项目实施与运行维护.........................................118....6.1.建设流程及进度安排…………118..............6.1.1.团队组建…………………119............6.1.2.业务连续性计划规划……………………120...........6.1.3.实施方案详细设计………120...........6.1.4.实施方案详细会审………120...............6.1.5.运维制度的设计…………121.........6.1.6.运维制度的会审…………122...6.1.7.采购设备和基础设施改造………………122............6.1.8.平台机房端系统改造调测………………123.............6.1.9.设备安装调测……………123............6.1.10.系统联调……………123..........6.1.11.人员技术和制度培训………………124.........6.1.12.项目验收投产………124...6.2.项目建设管理及组织机构……………………125.............6.2.1.领导组织机构……………125.............6.2.2.项目建设机构……………125............6.2.3.项目沟通…………………1.26.........6.2.4.项目文档管理……………127.............6.2.5.运维及管理的组织机构…………………128.............6.2.6.运维及管理的规范………129..............6.2.7.运维模式…………………1.30.........6.2.8.人员配置和培训……………131.....第1章.项目名称XX单位XX云计算平台工程。业主单位项目背景基本情况1.3.1.xx技术发展方向XX,即运用计算机、网络和通信等现代信息技术手段，实现政府组织结构和工作流程的优化重组，超越时间、空间和部门分隔的限制，建成一个精简、高效、廉洁、公平的政府运作模式，以便全方位地向社会提供优质、规范、透明、符合国际水准的管理与服务。随着网络技术、web2.0、下一代互联网等技术的发展，我国XX建设也发生着变化。2010年10月，国务院发布了《国务院关于加快培育和发展战略性新兴产业的决定》,就把新一代信息技术产业作为十二五时期的重点方向，要推动新一代移动通信、下一代互联网核心设备和智能终端的研发及产业化，加快推进三网融合，促进物联网、云计算的研发和示范应用。全国XX领导小组发布了《关于开展依托XX平台加强县级政府XX和政务服务试点工作的意见》,就开展依托XX平台加强县级政府XX和政务服务试点工作提出了相关意见。要求在试点县(市、区),用一年左右时间，建立和完善统一的XX平台，充分利用平台全面、准确发布政府信息公开事项，实时、规范办理主要行政职权和便民服务事项，并实现电子监察全覆盖，为在全国全面推行奠定基础、积累经验。本期建设规模为(后续根据实际服务器及机房环境进行调整):编号设备数量单位硬件设备刀片式PC服务器片刀片服务器机箱个机架式PC服务器(4CPU)台机架式PC服务器(2CPU)台FCSAN磁盘整列台NAS存储系统台异构存储(云存储)控制系统台虚拟带库台SAN光纤交换机台核心交换机台汇聚交换机台链路负载均衡设备台服务器负载均衡设备台防火墙台接入交换机台WEB应用防护抗攻击系统台入侵防御系统台防病毒网关台VPN网关台数据库安全审计系统台运维安全审计系统台安全代理应用服务器台PKI应用服务器台身份认证系统套网闸台台KVM集中器台短信机MAS信息机台云计算平台管理软件套企业版(1CPU)72套，VmwarevCenter标准版1套套GalaX8800OperatingEditionV100R001套WindowsServer2008R2中文企业版套RedHatEnterpriseLinux-企业版套物理机高可用群集软件套虚拟机高可用群集软件套应用服务器软件套Oracle数据库管理系统套MSSQL数据库管理系统套MySql数据库管理系统套数据备份软件套目录服务器软件套防病毒软件套漏洞扫描设备台网页防篡改软件套SOC安全管理系统套云安全服务套套标准机架台机房精密空调台1.5.投资概算本项目本期工程概算总投资为XXXX万元(人民币)。1.6.设计依据《中华人民共和国国民经济和社会发展第十二个五年规划纲要》;《涉密信息设备使用现场的电磁泄漏发射防护要求》(BMZ1-2000)《涉及国家机密的计算机信息系统保密技术要求》(BMZ1-2000)《涉及国家机密的计算机信息系统安全保密方案设计指南》(BMZ2-2001)《涉及国家计算机信息系统安全保密测试指南》(BMZ3-2001)章.现状及需求分析2.1.项目意义及建设必要性单位作为信息化建设持续居于全国前列的经济信息大省，对云计算的表现模式及其能够带来的经济效益表现出持续关注。本项目提出建设政务云计算平台，对于整合XX资源、提高省直部门计算资源配置效率，建设重复信息化投资，打造绿色XX,推动高新技术产业发展，都具有长远的现实意义。(1)云计算是信息技术和产业发展的必然趋势云计算是网格计算、分布式计算、虚拟化等传统计算机技术和网络技术发展融合的产物。它旨在通过网络把多个成本相对较低的计算实体整合成一个具有强大计算能力的完美系统，并借助SaaS、PaaS、laaS、MSP等先进的商业模式把这强大的计算能力分布到终端用户手中。作为一种新兴技术和商业模式，云计算将加速信息产业和信息基础设施的服务化进程，催生大量新型互联网信息服务，带动信息产业和信息化建设格局的整体变革。加快云计算发展，不仅是我省提升数字XX综合竞争力、培育新增长点的重要途径，也是促进产业机构调整、率先实现跨越式发展的重要举措。(2)县级XX是推动XX单位云计算应用的第一步云计算是当今信息技术、信息化的战略制高点。当前，我省正在贯彻落实《国务院办公厅转发全国XX领导小组关于开展依托XX平台加强县级政府XX和政务服务试点工作意见的通知》,将县级XX作为推动XX单位云计算应用的第一步，在实践中摸索云计算为XX单位带来的新机遇，通过政府应用起到的示范和带动作用，促进全省信息化建设水平的提高，带动信息产业的发展，战略信息技术及产业的战(3)提高政务部门计算资源配置效率，减少重复建设，节能减排XX单位XX建设以来，全省部署了大量的业务应用系统，涉及海量的网络设备、服务器及存储设备。这些设备CPU和内存利用率残差不齐，大多数较低，部分工作效率在20%以下，同时也有部分部门计算硬件资源极端匮乏。这样，不仅闲置了宝贵的计算资源，浪费了电力，不利于节能减排，又未能很好地解决资源匮乏部门的实际问题。如果将这些设备整合建设为云计算平台，服务器的利用效率将得到极大提升(40%~60%),能够动态、弹性、可回收地为各政务部门提供服务。总之，云计算可望提高应用程序部署速度、促进创新和降低成本，同时还增强了业务运作的敏捷性。本项目对我省云计算的发展和应用具有带动、示范、服务、探索等多重作用，对带动我省信息化建设进入新阶段，探寻我省新的经济建设模式具有重大的现实意义，有必要尽快实施。XX单位已经建成了较为完善的XX网络系统，经过04年、06年两次大的扩容改造后，覆盖全省的XX网络全面建成，信息资源目录体系与交换体系、信息资源公开和共享机制、信息安全基础设施基本建立，重点业务应用系统实现互联互通，管理体制进一步完善，信息技术在政府工作中得到普遍应用。XX单位信息中心作为负责XX单位政府政务数据中心建设和维护的核心信息化部门，服务于XX单位政府部门宏观决策支持、信息资源开发利用、数据交换、XX、信用体系建设等六大重点业务，按照工信部和国家发改委的要求，近年来一直致力于政务云计算的铺垫和准备工作，逐步完成了政务数据整合和云就绪准备的前XX建设科学发展，创新XX建设模式，推进云计算应用及相关产业的发展，根据省领导指示精神，下一步将重点建设XX单位政务云。在完成了各部门分散的IT资源和信息数据的整合之后，政府将通过云计算平台，实现面向更多公众服务、带动本地信息化发展等目标。满足未来10年XX单位信息化建设基于XX的信息系统对网络、服务器、存储、软件等基础架构的需要，面向全省政务系统提供信息共享平台及云计算平台。根据XX单位政府和省经信委对数字XX的长远规划，不仅要搭建XX云计算平台，试点并承载相关业务，还需要进行XX云计算平台的开发和建设，运行核心业务系统。2.3.2.本期需求满足今后3到5年XX单位信息化建设基于XX的信息系统对网络、服务器、存储、软件等基础架构的需要。鉴于每个应用系统对基础架构资源的需求难以确定，本期工程暂时按照最小经济规模的云计算平台建设，计算资源池的服务器物理数量规划为XXX台，存储及网络设备根据实际需要进行配套。.硬件需求本次需要配置的硬件包括：网络设备：路由器、交换机、负载均衡、VPN网关等；安全设备：防火墙、入侵防御、防毒墙、运维安全审计系统、数据库安全审计系统、漏洞扫描系统。除了需要配置一定数量的服务器、存储、网络设备和安全防护设备外，还需要配备相应的系统软件，如：1、每台物理服务器和虚拟服务器的操作系统：Windows、Linux等服务器操作系2、虚拟化软件：实现服务器和存储资源的虚拟化，建立弹性、智能、可回收的资源池；对于新购置的设备，需要进行虚拟化套件的安装调试。5、云计算管理平台：包括网络管理、资源管理、用户管理、统计报表、账单、监控、告警等管理功能。虚拟机的应用将导致物理网卡上的流量成几何倍数增加，为了应对云计算环境下的流量变化，安全防护体系的部署需要朝着高性能的方向调整。安全设备必然要10GE设置100G接口的处理能力。同时，考虑到云计算环境的业务永续性，设备的部署必须要考虑到高可靠性的支持，不仅要考虑到设备的可靠性，如采用高性能高可靠高成熟的产品，还应该考虑到设计的可靠性，如双机热备、设备虚拟化、配置同步、板件冗余和预留、跨设备链路捆绑、硬件ByPass等配置防火墙、入侵防御、漏洞扫描、网页防篡改、全接入网关和身份认证系统，并从安全区域划分、接入层安全、服务器区的安全和安全管理等多方面加强云计算平台的防护。特别是接入层，采用VPN网关，注册用户从云计算管理中心获得VPNClient,通过VPNClient就可以连接到自己需要的云。服务器安全方面，所有物理服务器全部配置相应的安全策略，禁止不用的端口的访问，同时在虚拟机模板系统中只打开最小可用端口(如SSH、http、https等),以保证初始系统的安全性。建立应用节点准入规范，保证应用节点自身的安全防护，避免云内发生交叉感染。安全管理方面，则以管理制度为主、技术管控为辅，双管齐下。鉴于信息中心机房UPS、精密空调承载有限，本项目本期工程应做相应扩容建第3章.总体设计3.1.1.预期总目标整合信息化建设资源，充分利用现有政府网站和政务(行政)服务中心基础设施，结合集约化社区服务信息网络平台建设，对现有XX平台进行调整、升级和改造，满足XX和政务服务应用需要。具体包括：(1)采用云计算技术，结合创新建设模式，搭建标准统一、功能完善、系统稳定、安全可靠、纵横互通、集中统一的XX云计算平台，为各部门信息资源共享、数据交换和系统办公提供良好的支撑。(2)通过建设XX云计算平台，方便未来将新增XX应用快速部署到云计算平台上，大大缩短新IT系统的上线时间，预期将节省设备30%,节约能耗50%。(3)解决“信息孤岛”,实现信息共享，提高信息安全水平，提升政府监控能力和响应速度，提高工作效率和公共服务水平，提供面向社会的专业性服务和为社会公众提供政务信息服务。(4)通过降低成本、提升效率、节能减排，满足XX要贯彻落实科学发展观，转变发展模式的需要。(5)满足在云计算平台上搭建XX应用系统的需要，包括以三层架构为主的应用系统，以及大访问量的应用系统、大数据处理量的应用系统以及大计算量的应用系统。云计算试点业务运行稳定之后，普及和推广云计算模式，将XX系统、政府网站应用系统、政务服务业务应用系统、电子监察应用系统等纳入政务云计算平台，通过建立政务服务事项信息库、办理过程信息库、办理结果信息库、监察规则信息库、监察业务信息库等五个信息库，实现政务服务和电子监察信息资源管理。XX单位政务云计算建设的总体目标是，实现省级政务系统数据共享，利用云计算弹性、智能、可回收的技术优势，低投资、低能耗、高效率地部署居民健康档案系统、统计直报系统、生猪屠宰监管与溯源系统等与政务职能工作相关的应用系XX网络、政府网站、业务管理系统、应用及数据服务中心和信息安全保障体系等纳入统一的政务云计算平台。3.1.2.阶段性目标为满足XX和政务服务试点工作的业务需求，基于网络技术、云计算等新兴IT技术手段，建设统一的XX承载平台，根据XX和政务服务目录，将更多的行政职权纳入电子化平台的业务系统办理，建设覆盖行政职权和便民服务事项办理流程的各个环节的电子监察体系。在初步阶段基础设施先行，建设XX单位XX统一基础承载平台，基于云计算的模式，融入虚拟化等技术，具备统一、共享的特性，可以承载XX、金宏工程等试点同时为下一阶段进一步开展云计算的PAAS、SAAS等业务平台应用，进行经验积累和技术探索。3.2.建设内容本项目在充分整合XX数据中心资源的基础上，配置必要软硬件设备，为省直部门的信息系统提供统一的基础设施服务，在laaS层构建较为完整的XX云计算平台。建设内容包括以下几部分：硬件设备：刀片服务器、机架式服务器、SAN存储、NAS存储、IP存储、虚拟带库、易购存储控制系统、SAN交换机、路由器、交换机、负载均衡、VPN网软件设备：物理服务器和虚拟服务器的操作系统、虚拟化软件、中间件、大型数据库系统、云计算管理平台。安全系统：防火墙、入侵防御、防毒墙、网页防篡改、身份认证系统、运维安全审计系统、数据库安全审计系统、漏洞扫描系统。同时采购专业机构提供的云安全服务等。3.3.系统的总体结构3.3.1.设计原则当前阶段云计算整个产业化还不够成熟，相关标准还不完善。网络是云计算的核心承载平台，为保证多厂商的良好兼容性，避免厂商技术锁定，网络方案的设计应需要采用标准技术与协议，能够与第三方厂商保持良好的对接。此外，为保证方案的前瞻性，设备的选型应充分考虑对云计算相关标准(如EVB/802.1Qbg,TRILL等)的扩展支持能力，保证良好的先进性，以适应未来的技术发展。为保证数据业务网的核心业务的不中断运行，在网络整体设计和设备配置上均是按照双备份要求设计的。在网络连接上消除单点故障，提供关键设备的故障切换。关键设备之间的物理链路采用双路冗余连接，按照负载均衡方式或active方式工作。关键主机可采用双路网卡来增加可靠性。全冗余的方式使系统达到99.999%的电信级可靠性。要求网络具有设备/链中故障毫秒的保护倒换能力。具有良好扩展性，网络建设完毕并网后应可以进行大规模改造，服务器集群、软件功能模块应可以不断扩展。良好的易用性。简化系统结构，降低维护量。对突发数据的吸附，缓解端口拥塞压力，能保证业务的流畅性等。3、增强二层网络云计算环境下，虚拟机迁移与集群是两种典型的应用模型，这两种模型均需要二层网络的支持。随着云计算资源池的不断扩大，二层网络的范围正在逐步扩大，甚至扩展到多个数据中心内，大规模部暑二层网络则带来一个必然的问题就是二层环路问题。采用传统STP+VRRP技术部署二层网络时会带来部署复杂、链路利用率低、网络收敛时间慢等诸多问题，因此网络方案的设计需要重点考虑增强二层网络技术(如IRF/VSS、TRILL、VPLS等)的应用，以解决传统技术带来的问题。虚拟资源池化是网络发展的重要趋势，将可以大大提高资源利用率，降低运营成本。应有效开展服务器、存储器的虚拟资源池化技术建设，网络设备的虚拟化也应进行设计实现。服务器、存储器、网络及安全设备应具备虚拟化功能。由于云计算网络中的流量模型发生了变化，,而随着整个云计算业务的开展，业务都分布在各个服务器上，流量模型从纵向流量转换成复杂的多维度混合的方式，整个系统具有较高的吞吐能力和处理能力，系统各层均不存在阻塞，具备对突发流量的承受能力。6、开放接口为保证服务器、存储、网络等资源能够被云计算运营平台良好的调度与管理，要求系统提供开放的API接口，云计算运营管理平台能够通过API接口、命令行脚本实现对设备的配置与策略下发。节能减排是目前网络建设的重要系统工程之一，从网络机房的整体能耗来看，照明等辅助系统约占25%。所以作为IT设备的节能，不仅要考虑本身能耗比较低，而且要考虑其热量对空调散热系统的影响。应采用低能耗的绿色网络设备，采用多种方式降低系统功云计算是一种新型的计算资源利用模式。它将计算任务分布在大量计算机构成的资源池上，使各种应用系统能够根据需要获取计算力、存储空间和信息服务。按照服务实现的程度，目前云计算主要有laaS、PaaS、SaaS三种业务模式：堪础架构服务(laaS)Iaas层是以服务的模式提供虚拟硬件资源，主要是将基础设施资源(计算、存储、网络带宽等)进行虚拟化和池化管理，便于实现资源的动态分配、再分配和回收。目前资源池主要分为计算资源池、存储资源池和网络资源池，同时也包括软件和数据等内容资源池。在服务提供方面主要以计算资源、存储资源提供为主，如为业务信息系统分配虚拟服务器、有储空间，提供应用服务器、数据库管理系统等应用系统运行环境。2应用平台服务(PaaS)PaaS层主要提供应用开发、测试和运行的平台，用户可以基于该平台，进行应用的快速开发、测试和部署运行，它依托于云计算基础架构，把基础架构资源变成平台环境提供给用户和应用。为业务信息系统提供软件开发和测试环境，同时可以将各业务信息系统功能纳入一个集中的SOA平台上，有效地复用和编排组织内部的应用服务构件，以便按需组织这些服务构件。典型的如门户网站平台服务，可为用户提供快速定制开发门户网站提供应用软件平台，用户只需在此平台进行少量的定制开发即可快速部署应用。SaaS软件即服务，典型的运用模式就是用户通过标准的WEB浏览器来使用Internet上的软件，因此可以不必购买软件，只需要按需租用软件，直接应用。典型的如电子邮件系统的在线软件服务，用户只需作简单的域名设置，即可部署本单位的电子邮件服务。鉴于云计算平台应用需求的提出是一个渐进的过程，云平台建设是一项复杂的系统工程，建议XX云计算平台遵循长期规划、分步实施的原则，本期工程首先实现laaS,后续工程根据应用的实际需求逐步支持PaaS和SaaS的实现。T基础架构和应用提供者云计算服务管理平台映像管理部署映像库虚拟化技术T基础架构和应用提供者云计算服务管理平台映像管理部署映像库虚拟化技术重烈资报&某合服务请求操作终端用户请求&操作员服务创建和实现&创建可用性/备份T谈复性能监拉部署服务目录用户请求界面用户操作界面期春理图1:XX云计算平台总体拓扑结构图根据本期工程的需求和建设目标，XX云计算平台总体逻辑拓扑结构如上图所示。通过链路负载均衡器实现多互联网出口(具体链路供应商待定)链路负载均衡及高可用。任何ISP专线故障，不影响业务系统正常访问；通过智能DNS系统实现接入用户的就近访问，即电信用户访问互联网接入区走电信链路，联通用户访问互联网接入区走联通链路。委虚拟化&资源池化硬件基础设施股务题存销两络其他信息安全体系运营管理体系基础服务专业服务XX单位XX云计算平台云服务分层架构图如上图所示。整个架构分为三层和两体系：基础设施服务层(laaS)、平台服务层(PaaS)、应用软件服务层(SaaS)、信息安全体系和运营管理体系，其中信息安全体系和运营管理体系有信息安全管理平台和运营管理平台构成。IAAS及管理、安全体系建设是本次的建设内容，PAAS、SAAS在后续规划建设。1基础设施服务层包括硬件基础设施子层、虚拟化&资源池化子层、资源调度与管理自动化子层。硬件基础设施子层：包括主机、存储、网络及其他硬件在内的硬件设备，它们是实现云计算的最基础资源；虚拟化&资源池化层：通过虚拟化技术进行整合，形成一个对外提供对资源的池化管理(包括网络池、服务器池、存储池等),同时通过云管理平台，对外提供运行环境等基础服务。资源调度与管理自动化子层：在对资源(物理资源和虚拟资源)进行有效监控、管理的基础上，并且通过对服务模型的抽取，提供弹性计算、负载均衡、动态迁移、按需供给、自动化部署等功能，它是实现云计算的关键所在。2平台服务层主要在laaS之上提供统一的平台化系统软件支撑服务，包括统一身份认证服务、访问控制服务、工作流引擎服务、通用报表、决策支持等。这一层不同于以往传统方式的平台服务，这些平台服务也要满足云架构的部署方式，通过虚拟化、集群、负载均衡等技术提供云状态服务，可以根据需要随时定制功能及相3、应用软件服务层，是整个XX对外提供的终端服务，可以划分为基础服务和专业服务。基础服务提供统一门户登录、统一通讯等功能，专业服务主要指XXXX的各种业务应用如流动人口管理、GIS系统、行政审批、网上执法等等。它们通过应用部署模式相底层的稍微变化，都可以在云计算架构下实现灵活的扩展和管理。按需服务是XXXXSaaS应用的核心理念，多租约SaaS应用可以满足不同政府用户的个性化需求，通过多个租约向用户提供有差别的服务，通过负载均衡满足大并发量用户服务访问等。4云计算平台信息安全管理体系，针对云计算平台建设以高性能高可靠的网络安全一体化防护体系、虚拟化为技术支撑的安全防护体系、集中的安全服务中心应对无边界的安全防护、利用云安全模式加强云端和客户端的关联耦合和采用非技术手段补充等保障云计算平台的安全。5运营管理体系：保障云计算平台的正常运行，提供故障管理、计费管理、性能管理、配置管理、安全管理等等。3.4.信息的分类编码体系信息分类编码体系将遵循《政务信息资源目录体系》(GB/T21063-2007)及相关业务、技术、数据标准和规范进行标准化建设。(1)信息分类编码设计遵循的主要原则分类和编码的基本原则遵循GB/T7027-2002规定，采用混合分类法；分类类目编码使用的罗马字符和阿拉伯数字遵循GB18030-2000的规定。①唯一性原则：编码要唯一识别，不能有二意性，不能重复；②标准化原则：尽量采用国际标准、国家标准、部级标准及“数字XX”的标准③简单化原则：代码要简单明了，易读、易懂、易使用；④快捷性原则：有快速识别、快速输入和计算机快速处理的性能；⑤系统性原则：要全面、系统地考虑编码设计的体系结构；⑥扩充原则：可根据实际情况对主题分类进行类目扩充，扩充的类目应分别符合类目的设置规则，分类代码的配置应符合代码结构中的规定，并注意助记性。⑦映射原则：使用中若采用了主题分类以外的其他分类，应建立这些分类的类目表与主题分类的双向映射关系。⑧分类扩展原则：在建立信息资源目录体系时，目录体系中的信息资源分类应采用主题分类，也可根据具体应用情况选择其他分类方法与主题分类共同进行分类，如部门分类、服务分类、资源形态分类等；若采用扩展分类代码，则其分类代码的配置应符合代码结构中的规定。(2)信息分类编码框架体系根据实际情况，XX单位XX云计算平台建设项目的信息分类编码体系按信息技术①信息分类：包括适用于各种应用系统的开发、数据库系统的建设和数据交换的②代码结构：采用统一的代码结构，代码编制规则：分类类别用1位大写罗马字1位大写罗马字符表示；二级类用1位大写罗马字符及2位阿拉伯数字表示。③术语和技术词江：主要包括与信息化有关的术语标准，XX云计算平台建设过程中遇到的主要名词、术语和技术词汇。④项目管理和建设标准：根据国家的有关规定，规范项目系统的管理和运行机制；制定XX云计算平台建设项目实施及管理的有关规程。⑤系统的管理和运行机制：规范项目系统的管理和运行机制；⑥计算机通信网络：包括计算机通信和网络基础设施建设、技术规范、管理规范⑦信息安全：适用与信息安全有关的信息技术应用系统建设。(1)系统质量保证体系将遵循“数字XX”的系统设计标准

建立质量控制流程；

制定系统测试的标准和方法；

在每个阶段规范项目工作和改进项目质量。(2)本项目将制定系统设计规范包括程序名、文件名和变量的规范化以及数据字

项目规划与系统实施方案；

系统体系架构及描述；

系统软件功能设计说明书；

系统概要设计、详细设计说明书；

系统测试方案及测试分析报告；

系统安装维护手册、用户使用手册；

系统故障及应急处理预案说明书4章.建设方案基于本期XX单位XX云计算平台的建设思路一一搭建基于laaS层面的云计算平台，如何采用云计算技术建立动态的IT资源平台，并使之具备快速IT服务交付能力，进而通过动态的IT架构来应对有关省直单位XX业务发展的需要；将应用和业务从底层的IT资源中分离出来，提高系统的可移植性，并能够充分利用更加优化的系统和网络资源以提高效率、降低整体成本是本期建设方案需要重点解决的问题。为此，我们建议以XX应用系统为顶层架构来搭建XX单位XX云计算资源池，它是由计算资源池、存储资源池、网络资源池、XX应用程序以及运营管理平台共同组成，运营管理平台负责对资源池和应用进行管理调度及告警监控。其组成框架如下图所示。理平台图3:资源池组成框架图以下针对XX云计算资源池的各组成部分分别进行具体阐述。4.1.1.组网物理拓扑图云计算平台组网物理拓扑如下图所示：政务外网图4:XX云计算平台组网物理拓扑图本工程新增3根移动专线接入，单根200Mpbs带宽。一根为XX互联网接入区对外提供服务用，一根用于VPN专线，一根用于XX办公人员访问互联网使用。整个云计算平台在组网设计上满足双网双平面结构，从网络接口、网络链路到关键网络设备均配置冗余部件。在网络接口上每台物理服务器至少配置3张网卡，分别用于业务服务、虚拟化平台宿主机管理、IP存储系统互联。业务服务网络根据业务属性不同，通过MPLSVPN划分为公用网络区、互联网接入区、专用网络区。虚在汇聚层旁挂防火墙、隔离网闸、运维审计、数据库审计系统等安全设备。其中防火墙用于实现同一网络区域中不同业务系统的之间的安全隔离；隔离网闸用于在MPLSVPN隔离的不同网络区域之间进行安全数据交换，同时用于XX和XX之间的数据安全交换。网络负载均衡分链路负载均衡和本地负载均衡，总体逻辑示意图如下图所示：图5:网络负载均衡示意图.链路负载均衡设计如上图所示，将移动互联网专线和电信互联网专线接入链路负载均衡器，链路负Internet链路进行流量路由和控制带宽服务水平实现多互联网接入的高可用性。链路负载均衡器将多条互联网线路进行虚拟化处理，保障用户从最好的线路访问内外部资源。任意一条ISP线路中断，都不会对服务造成任何影响。通过链路负载均衡器可实现ISP接入线路的无缝扩展。1)OutBound流量负载均衡XX办公人员访问互联网的流量到达链路负载均衡器时，将通过链路负载均衡器多种链路状态检测结果选择最佳出口链路，提升用户体验。为使移动用户和电信用户通过不同互联网链路访问互联网接入区应用系统，链路负载均衡器的智能DNS解析功能将不同用户访问的域名解析成不同的公网IP地址，加速应用访问，提升用户体验。本工程新增本地负载均衡器两台，旁挂于汇聚交换机。实现对服务器的负载均衡。本地负载均衡器可以保障内部资源的容错性，内部任何一个应用节点出现问题都不会对用户造成任何的影响，本地负载均衡器能够自动的屏蔽有问题的应用节点，让其停止对外服务，同时把该故障节点上的用户迁移到其他正常的节点上去。汇聚层本地负载均衡器可以虚拟成为多个设备，满足XX不同分区的安全隔离要XX业务系统以B/S架构为主，目前的WEB应用都包含了大量的图片，javascript,CSS文件等，这些文件的重复传输不但给服务器造成了压力，同时也使得用户的体验受到了影响。本地负载均衡器通过HTTP压缩的方式来节省带宽以及提高访问速度。通过静态文件和动态文件的cache.文件压缩，浏览器端文件cache控制等优化技术，来提供对WEB应用进行加速，提高用户访问速度。使用本地负载均衡器开放的API接口可以实现和云计算管理平台的集成。4.1.3.网络虚拟化设计.云计算对传统网络的挑战传统的网络规划设计依据高可靠思路，形成了冗余复杂的网状网结构，结构化网状网的物理拓扑在保持高可靠、故障容错、提升性能上有着极好的优势，是通用设计规则。云计算的大规模运营，给传统网络架构和传统应用部署都带来了挑战，新一代网络支撑这种巨型的计算服务，不论是技术革新还是架构变化，都需要服务于云计算的核心要求，动态、弹性、灵活，并实现网络部署的简捷化。具体来说传统网络面临的挑战主要有以下几点：一一传统网络的复杂性在实际的运维中，管理人员承担了极其繁冗的工作量；一一云计算平台下多虚拟机部署在同一台物理服务器上运，服务器的利用率从20%提高到80%,服务器端口流量大幅提升，对网络性能提出更高要求；一一云计算平台中，虚拟机在物理服务器之间进行迁移，为了避免虚拟机迁移后路由的震荡和修改网络规划，迁移通常只在在二层域进行，因此云计算平台需要具备一个性能更高、二层域更大的网络环境为迁移提供保障。通过分析云计算对传统网络基础架构带来的挑战，我们可以从两个方面来应对。一是通过构建高性能、高可靠的网络，从而满足云计算给网络带来的压力；二是通过构建虚拟化网络来满足云计算中由于虚拟机部署、迁移、以及安全策略实施对网络提出的灵活性、安全性的要求。总的来说，为满足云计算的业务要求，统一的基础网络要素必然包括：高性能交换、虚拟化应用、透明化交换。.高性能二层网络为提供一个性能更高、二层域更大的网络环境，本工程新增核心交换机和汇聚交换机通过交换机虚拟化技术(华三IRF2、思科VSS)分别虚拟成一台逻辑设备，减少了设备节点，简化了配置。通过跨设备链路聚合技术取代传统部署方式中的STP+VRRP协议，使网络拓扑变得简洁，具备更强的扩展性；同时，其毫秒级的故障收敛时间，为虚拟机迁移提供了更加宽松的实现环境。虚拟化接入交换机接入交换机图6:交换机横向虚拟化经过二层透明化改造后，云计算平台的汇聚接入层是一个透明二层网络。不同业务(虚拟服务器)接入不同的二层VLAN,但同一个业务(虚拟服务器)可以在不同网络分区里灵活部署与迁移，满足了云计算的要求；同时，汇聚层以上进行的是VPN标签交换与路由转发，又保证了不同业务(虚拟服务器)的安全隔离。.网络服务虚拟化为满足不同XX分区的安全隔离要求，本项目在云计算平台的汇聚层部署有汇聚交换机、防火墙、IPS、负载均衡器等设备。传统网络下，将为不同分区单独配置一套安全设备，设备利用率低，运维管理复杂。在云计算平台下，通过网络服务虚拟化，统一建设一套性能强大、可扩展性良好的网络服务设备，满足为不同分区提供安全、应用加速等服务。负载均衡防火墙汇聚层交换机也通过虚拟化技术多实例，每个模拟出的交换机都拥有它自身的软件进程、专用硬件资源(接口)和独立的管理环境，可以实现独立的安全管理界限划分和故障隔离域。有助于将分立网络整合为一个通用基础设施，保留物理上独立的网络的管理界限划分和故障隔离特性，并提供单一基础设施所拥有的多种运营成本优势。如下图所示：质质交换机D虚拟虚拟交换机C图8:交换机纵向虚拟化VMware分布式虚拟交换机功能满足网络分区条件下，虚拟主机在线迁移等功能虚拟交换机是构成虚拟平台网络的关键角色，VMware虚拟化通过VMware使虚拟机跨多个主机移动时始终处于同一个VLAN内，它为虚拟机在物理服务器之间移动时监视和保持其安全性提供了一个框NETSTATE在多网络分区环境时，VMware通过虚拟交换机的VLANTRUNK,当一个端口启用了TRUNK功能后，就具备端口聚合的功效，会自动检测流向此端口的所有流量，并把不同VLAN的流量导向物理交换机上相应的VLAN中。在一台ESX主机上由多个千兆网卡绑定在一起(组合成vSwitch)提供VM对外通讯的流量，并与物理交换机上的多个启用了TRUNK功能的端口相连接。此时VMs分别在VLAN1、VLAN2、VLAN3上，同时在物理交换机上也有同样ID的VLAN。那么,在VLAN1中的虚拟机，就可以和与物理交换机上VLAN1中的端口相连的机器相互通讯。同时实现虚拟化服务器在多网络分区间的动态迁移。xenserver5.6FPI就实现对虚拟交换机的支持，而且自verxenserver5.6SP2开始也实现了分布式的虚拟交换机功能。Xen-Motion是CitrixXenserver的动态迁移技术，当然，该系列4款虚拟化产品中，目前只有最高等级的白金版和企业版才具备这项功能，至于标准版及完全免费的Express精简版则无此项能力。不但是CITRIX旗下的虚拟化产品，其他基于Xen技术开发出来的虚拟化产品，例如VirtualIron,也具备相似的动态迁移功能LiveMigrate,除了免费提供的个人版之外，需要付款购买的企业版及企业加强版具有内置该项功能。4.1.4.₁p地址及DNS规划XXXX云计算平台新增两个独立网段，一个用于云平台及虚拟机宿主机之间通信，一个用于云计算平台内IP存储系统网互联；业务系统的IP地址和NDS规划，沿用当前XX统一规划。具体参考实施意见《XXXXIP地址规划及管理规范》和《XX政府外网DNS及设备命名规范》。.IP地址规划原则XX单位XXIP地址规划遵从国信办和国家外网工程办有关规定和指导意IP地址规划主要涉及到网络资源利用的方便有限的管理网络的问题，公有地址相对紧张的情况下，合理有效的利用IP地址成为IP地址规划的主要问题，合理的IP地址规划是有利于网络管理的；IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于外网广域骨干网IP地址的分配应该采用国家XX工程办分配的合法地址空间，充分考虑到地址空间的合理利用，保证实现最佳的网络内地址分配及业务流量的均匀分布；IP地址的规划和划分应该考虑到网络的后续规模和业务上的发展，能够满足未来发展的需要；既要满足本期工程对IP地址的需求，同时要充分考虑未来的业务发展，预留相应的地址段；IP地址的分配需要有足够灵活性，能满足各种用户接入需要；地址分配是有业务驱动，按照业务量的大小分配各地的地址段；IP地址的分配必须采用VLSM(变长掩码)技术，保证IP地址的利用效率；采用CIDR技术，这样可以减小路由器路由表的大小，加快路由的收敛速度，也可以减小网络广播的路由信息的大小；充分合理利用已申请的地址空间，提高地址的利用效率；IP地址的规划应该是XX广域骨干整体规划的一部分，即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应，应该是自顶向下的一种规划。.IP地址规划总体规划根据国家外网工程办的规定，XXXX云平台的公用网络区使用国家申请的IP互联网区供互联网访问的设备的IP目前有省电信、省移动提供外网地址，数量考虑上留有余地。互联网区XX移动提供有3根互联网专线，每条专线提供一个C类外网IP地址段，共3个C类地址段供本平台使用。XX单位XX横向需要互联各个政府部门，纵向需要打通省，设区市、县、乡镇(街道)四级部门单位，在外网地址规划中，使用综合地址规划方案，采用公有地址和私有地址双轨并行的办法，在公有地址不够时，允许采用私有地址作为部门单位的XX业务地址。XX承载三种不同的网络业务，为了最大程度地减少不同网络业务区IP地址网络业务区地址空间(建议的)用户地址空间公用网络区互联网接入区专用网络区云计算平台管理云计算平台存储IP网络业务地址从相应的业务网络区地址空间中划分。.DNS域名体系结构XX单位XX升级和社区市网络分别采用独立的三级域名。域名由根域和若干个子域名用“.”连接而成，作为根域名，采用级政府组成部门咋XX设置服务器后，应将服务器的IP地址和对应的域名在省电子网XX管中心注册。域名及DNS均向XX网管中心域名册；可在9个设区市市分别建立子域();各单位若需注册,需在XX外网管理中心备案之后向国家外网管理中心注册。.集成智能DNS系统本工程新增2台链路负载均衡器，实现智能DNS解析功能。XX互联网接入区应用系统的DNS域名系统需与链路负载均衡器的智能DNS系统进行集成。通过对系统原有DNS授权域服务器配置进行修改，将动态记录委派到链路负载均衡器上进行解析，再返回给发起DNS请求的用户。根据解析结果引导用户请求到不同的运营商链路，实现就近访问。.网络安全域划分与隔离根据国家XX所承载的业务和系统服务类型的不同，在逻辑上，将国家XX划分为公用网络区(Global)、专用网络区(VPN)和互联网接入区(Internet)三个功能域，分别提供国家XX互联互通业务、专用VPN业务和用户G-C业务跨部门全换支交互通平台认证服务公共网络服务交换互联网服务政务外网安全接入平台专用网络区公用网络区互联网接入区G-B业务企业图10:XXMPLSVPN分区示意图公用网络区：采用国家XX公用地址(即从NNNIC注册的地址)的网络区域，是国家XX的主干道，实现各部门、各地区互联互通，为跨地区、跨部门的业务应用提供支撑平台。互联网接入区：是各级政务部门通过逻辑隔离手段安全接入互联网的网络区域，满足各级政务部门公共服务业务应用的需要。专用网络区：是依托国家XX基础设施，为有特定需求的部门或业务设置的VPN网络区域，实现不同部门或不同业务之间的相互隔离，VPN网络区域主要为少数部门的特定业务数据传输提供安全通道。通过MPLSVPN技术运用，三个业务区之间逻辑隔离，不能互访。升级XX数据中心分为四个区，这四个区分属于三个业务隔离区，对应关系如下表：表4:政务外网业务区和数据中心功能区对应关系表网络业务区数据中心功能区公用网络区(Global)数据交换共享区/综合管理控制区专用网络区(VPN)部门服务器托管区互联网接入区(Internet)公共服务平台区某些业务系统需要跨公用网络区和互联网接入区部署，也有些需要跨专用网络区和互联网接入区部署，为了保证安全，需要进行逻辑隔离，在公用网络区和互联网接入区间部署一个网闸，同时在专用网络区和互联网接入区也部署一个网闸。除以上从业务系统层划分为公用网络区、专用网络区、互联网接入区外，还需为云计算平台管理和IP存储子系统划分2个独立网络区域，实现业务网络、管理网络、IP存储网络的安全逻辑隔离。4.1.5.网络端口资源估算关于汇聚层交换机端口配置，接入服务器建议用千兆以太网电口，网络设备间互联用万兆以太网口。本期新增机架服务器XX台，单台服务器配置XX千兆以太网电口，共需XXX口千兆以太网电口，刀片服务器XX台，占用X个刀片服务器机框，每机框对外XX口千兆以太网电口，共XX口，合计连接服务器需要XXX口千兆以太网电口；汇聚交换机与防火墙、负载均衡器等汇聚网络设备需等需要万兆口互联，考虑一定端口冗余，本期建议配置X台汇聚交换机，单台配置10/100/1000M电口不少于XX个；千兆光口不少于XX个、万兆以太网光口不少于XX个并配置相应数量多模光纤模块。4.2.1.计算资源池架构理服务器利用率大幅度消减物理服务器购置需求、数量和运营成本；通过利用服务器虚拟化中CPU、内存、I0资源的动态调整能力实现对业务应用资源需求的动态响应，提升业务应用的服务质量；通过在线虚拟机迁移实现更高的可用性和可靠性以及各种基于资源优化或节能减排策略的跨物理服务器的调度等等。因此，服务器虚拟化技术是新一代数据中心最理想的解决方案。服务器虚拟化架构设计是服务器虚拟化技术运用的核心，直接决定了整个服务器资源体系对应用系统的承载能力、运行效率以及可靠性。XX云计算资源池由机架式服务器、刀片服务器构成；刀片服务器通过服务器虚拟化部署一般业务系统和web应用系统。机架式服务器用于部署管理平台和高负载数据库服务器等。服务器虚拟化架构图如下所示：0刀片服务器机架服务器机架式服务器刀片服务器中国移动XX平台所承载的应用系统分为大访问量应用系统、大计算量应用系统、大数据量应用系统三类。.大访问量应用系统大访问量应用系统如政府门户网站、气象查询等web类应用系统，这类应用的特点是业务逻辑简单，不同业务请求互不关联，但请求的并发量根据业务特点不同可能很大，如水利信息网在灾害天气下访问量将剧增。大访问量应用系统要求对大量互不关联的并发请求进行快速响应。这种情况下，需要应用服务器有足够数量的线程响应请求，而单个线程计算量不大，因而对单个CPU处理性能要求不高，可通过提供足够CPU用服务器数量来满足需求。XX云计算平台通过虚拟化技术为大访问量应用系统部署是大小配置的虚拟机作为应用服务器，多应用服务器工作在负载均衡模式，提升用户使用体验。大访问量应用系统对数据库要求不高，配置一般虚拟机即可满足要求。.大计算量应用系统大计算量应用系统如数字城管、GIS地理信息系统等复杂信息处理系统，这样应用的特点是计算量较大、运算复杂、内存需求大，对服务器计算性能要求高。建议配置单一高性能虚拟服务器。大计算量应用系统对数据库要求不高，配置一般虚拟机即可满足要求。大计算量应用系统流动人口管理、社保管理系统等。根据数据库储存模式不同，可分为文件型和数据库的系统。数据库型大量数据量应用系统要求较高性能数据库服务器。建议配置强大的数据库服务器，提供足够的CPU、Memory及IO性能来处理大量的数据，根据应用系统重要级别，数据库服务器可以选用虚拟物理器或物理服务器，应用服务器业务逻辑简单，对配置要求不高，配置虚拟机即可满足要求。文件型大数据两应用系统基础数据量大，通过传统的集中储存方式，存储并发读写IO能力无法满足计算资源要求，建议通过并行计算模型实现。根据业务计算特点，服务器可灵活选择虚拟机或物理服务器。4.2.3.计算资源池建议配置与选型建议.计算资源池建议配置经咨询H3C、IBM、HP、微软、红帽、VMware等行业主流云计算常商，云计算平台的建设，从避免浪费和规模效应的角度考虑，最佳实践经验是从50台物理服务器的规模开始建设，然后根据实际业务发展情况按需扩容、滚动建设。本期工程以XX单位XX的实际情况为基础参照行业主流云计算厂商的建议进行设计考虑。考虑不同业务系统的负载差异，本期工程同时配置刀片服务器和机架式服务参考各厂商建议，用作WEB服务器时，一台物理服务器最多可以虚拟12台虚拟机；用作应用服务器时，一台物料服务器最多可以虚拟7台虚拟机.。本工程，刀片10台虚拟机，刀片服务器虚拟化后的虚拟机建议部署一般web/应用服务器；高性能服务器按照每台虚拟8台虚拟机，高性能服务器虚拟化后的虚拟机建议部署重载应用/数据库服务器。统筹考虑不同应用系统对硬件资源的需求差异，建议配置刀片服务器XX套，2路机架式服务器X台，4路机架式服务器XX台。其中X台2路机架式服务器用于云计算管理平台，X台4路机架式服务器作为测试服务器(计划用来支持各类移动办公等移动应用，统一纳入XX单位信息中心监控管理)。计算资源池刀片服务器和4路机架式服务器组成，其中XX台刀片服务器可以虚拟化为XXX台虚拟机，XX台高性能机架式服务器可以虚拟化XXX台虚拟机，平台共计XXX台虚拟机。一般应用系统需要web服务器、应用服务器各2台，采用应用负载均衡做集群，数据库服务器2台做互备，共需6台虚拟机。对于大型数量应用，大型数据库可直接部署在高性能物理服务器，通过多实例共享面向不同业务系统提供数据库管理平台服务，则需4台虚拟机和共享使用两台物理服务器。按此测算，本期建设规模在满足50个部门50套应用系统需求之外还能有一定的冗余，冗余的资源可以用于安装数据备份软件、目录服务器、安全软件等平台相关软件外，同时作为备用资源。今后还可以视实际需求增加计算资源，同步配套建设网络资源、存储资源及信息安全设备等，按照需扩容、滚动建设的方式满足省直部门的需求。本期新增计算资源配置如下图表所示：表5:计算资源配置表编号项目颗2单台单物理CPU核数核6单台内存单台硬盘刀片服务器数量台二、机架式服务器(2CPU)颗2单台单物理CPU核数核6单台内存单台硬盘机架式服务器数量台4三、4U机架式服务器(4CPU)颗4单台单物理CPU核数核6单台内存单台硬盘4U机架式服务器数量台此外，每台物理服务器要求配置不少于3个千兆以太网电口，分别用于虚拟化平台管理口、应用系统对外提供服务、连接NAS存储设备。未来实际应用中，还将根据各厅局的复杂性，比如高吞吐量、高计算、高访问量类业务系统对计算资源的需要进行调整。宿主机服务器架构是虚拟化架构的关键组件，也是服务器整合比例和成本分析的重要变量。宿主机服务器处理大量整合服务器的工作负载的能力会提高整合比例并有助于提供满足需要的成本收益，以下提供二种宿主机服务器的参考宿主服务器的系统架构是指对服务器硬件自身的一般分类，例如包括机架式服务器、刀片式服务器。在选在系统架构时，首先要考虑的原则是每个宿主机将运行包含多种负载的多个客户机。处理器、内存、存储和网络能力以及高速的I/O和低延迟都很关键，重要的是要保证这些分类中的每一个宿主机服务器能够提供所需要满足的处理能力。A)标准机架式服务器最常见的系统架构是标准机架式服务器。典型的是2U或4U的型号，这些服务器一般包含2到4个CPU插座，2到8个PCI—E或PCI—X插槽，4到6个硬盘托架。由于其在2和4个插座服务器商品中的低成本，以及通过增加网卡和HBA插槽提供与生俱来的可扩展性，机架式服务器是虚拟宿主机服务器的最佳选择。B)刀片式服务器随着对能力和服务器密度不断增加的需求，刀片式服务器在普及程度和能力上都获得了显著的提高。在选择刀片服务器时，需要考虑刀片式架构中的每个刀片所包含CPU数及最大内存。对于每个宿主机服务器用于支持一定数量的客户机所需的网络和存储I/O必须加以仔细考虑，以保证刀片上运行的每个宿主机服务器和刀片底盘自身能够提供支持。.应用服务器部署应用服务器可部署在虚拟机系统(VM)和物理PC服务器。当应用服务器负载接近单台物理服务器性能时，可直接部署于物理服务器，一般应用服务器部署在虚拟机上。根据应用系统的可用性要求等级不同，在虚拟机上实现高可用的方式有以下三种，虚拟机热迁移，虚拟机HA,物理机HA。虚拟机热迁移用于满足计划内停机维护操作。当服务器需要停机执行维护操作时，可通过虚拟机热迁移功能，将某一物理服务器上的虚拟机动态迁移至另一物理服务器。动态迁移过程，业务不中断，不影响用户的正常访问。虚拟机HA用于满足一般应用服务器计划外宕机。当发生服务器故障时，通过虚拟机HA,虚拟机可在其他的物理服务器上自动重启，实现故障转移。此过程会引起短暂业务中断，业务中断时间由虚拟机操作系统在另一物理服务器上启动的时间及应用系统启动的时间决定。通过虚拟机HA比传统群集较少一半的服务器数量，在保证了一定高可用的同时提高资源利用率。对于直接部署在物理服务器的应用系统，可通过高可用群集软件提供可用性保证。在windows系统可配置MSCS群集，在redhatLinux操作系统可配置VCS群集。通过部署高可用群集，在确保在物理服务器故障或应用故障时，进行快速的故障转移，减小并消除业务中断带来的负面影响。为了能够提供具有更高可扩展性和可靠性的应用平台，并能够在服务器集群中只能地分配负载，从而确保客户最大限度地发挥其应用服务器投资价值，结合硬件负载均衡设备，为部署在应用服务器上的服务和应用提供最佳的可扩展性和性能。.关键数据库部署数据库服务区作为业务系统的数据处理平台，对服务区的I/O处理能力、内存、CPU等有较高要求的，建议采用高性能机架式服务器部署，不同的业务系统数据库可通过多实例进行共享同一物理服务区群集。对服务器性能要求一般的数据库管理系统可部署在虚拟机上。数据库服务器做业务系统的核心节点，为了保障其的高可用性，建议至少使用2台物理服务器或2台虚拟机做HA。部署虚拟机上数据库管理系统可通过ApplicationHA保证其高可用；部署于物理服务器的数据库管理系统可通过VCS、MSCS或数据库管理系统自带群集软件(RAC)实现其高可用。目前主流虚拟化平台(Hypervisor)主要有以下四种，分别是VMware品。目前部分厂商根据开源Xen开发出自己的虚拟平台，如Critix公司的从虚拟化软件的成熟度来看，VMware经多年的市场经验，产品成熟稳定、功能也最为强大。开源KVM、开源XEN来源于开源社区，功能单一；基于开源Xen的CitrixXenServer,其功能、稳定性、可靠性优于开源Xen。XX虚拟化平台的建设充分考虑产品的成熟性、稳定性和开放性。通过以上比较分析，VMware产品成熟、功能完善，为目前虚拟化市场的主流产品，但其采购成本较高；基本开源Xen的部分国产产品功能不及VMware,但具有更好的性价比，作为国产虚拟化平台，其安全性也更有保证。充分考虑技术成熟度和开放性，本项目建议配置VmwareXX套、国产开源虚拟化软件XXX套，建成一个稳定、开放、支持异构的基础虚拟化平台。当前关键应用建议部署在成熟稳定的VMware虚拟化平台上，非关键应用及测试环境可部署于国产开源虚拟化平台上。随着国产虚拟化平台的逐步成熟，在后续扩容中将逐步减少VMware在XX云计算平台的比重。.虚拟化管理平台本期计算资源池采用X86服务器，虚拟化平台管理软件需实现高可用性、动态迁移，对整个应用架构实现统一的安全控制和权限管理。目前X86虚拟化平台管理软件主要有两大类：一类为虚拟化平台原厂提供的。如VMware虚拟化管理平台VMware理平台Azure,RedhatKTM管理平台redhatRHEVM的。各厂商的虚拟化管理平台均可较好地管理自家虚拟化平台，管理平台开放必要的API接口。但另一类是由第三方厂商提供的。如移动大云等，这等虚拟化平台管理软件的优点是可以实现多家虚拟化平台的统一管理，但在专用性方面不如各原厂提供的管理软件。.容灾方案说明根据设计原则分布实现云平台系统的容灾方案：1、第一步实现云平台存储级容灾系统，通过新购虚拟存储网关，整合现有异构SAN存储资源池，存储结构化数据，实现存储虚拟化功能，并可满足数据迁移、容灾等功能，实现容灾。该步骤实现又可分为两步走，即先建立同城同步容灾，再建立城际两地三中心的容灾。在容灾中心新购买一套虚拟存储网关，容灾中心的存储设备可以与生产中心同构或异构，通过光纤交换机构成一个基于存储区域网(SAN)的基础架构平台。不仅提供容灾系统使用，也是容灾中心的统一SAN平台。在容灾中心存储上按照生产中心实际存储部署情况，依照存储性能相同的原则进行存储设备的逻辑划分，每台存储设备分别连接到2台光纤交换机上，这久保证了存储设备在整个链路上冗余、不存在单点故障。在同城容灾方案中通过虚拟存储网关同步复制技术，由虚拟存储网关将生产中心的数据实时复制到容灾中心，确保生产中心的各种数据能同步复制到容灾中心的存储上。在两地三中心或两站地城际容灾方案中通过虚拟存储网关异步复制技术，准时将生产中心数据复制到容灾中心，灾难发生时仅涉及数十秒的数据丢失。可同时在容灾中心配置两台服务器，进行数据验证工作。利用虚拟存储网关快照功能对容灾中心的复制数据(只读)产生快照卷，挂载到验证服务器上进行访问验证。2、第二步实现云平台应用级容灾。在容灾中心配置相应的服务器池链接容灾存储。当灾难发生或进行灾难恢复演练时，停止容灾复制关系后，容灾中心服务器池的虚拟机可以访问容灾数据并接管生产。制定接管计划，包括人员支持，网络支持，恢复计划，演练计划等，建立完善的全人工