云平台集成设计项目基础架构服务平台设计方案

目录

1项目概述......................................................1

1.1项目背景.................................................1

1.2集团发展目标.............................................3

1.3集团信息化现状的制约.....................................4

1.4建设目标.................................................4

2现状分析.....................................................6

2.1使用现状.................................................6

2.2痛点分析.................................................6

3方案设计概述.................................................7

3.1总体设计原则.............................................7

3.2总体设计目标.............................................7

3.2.1资源复用..............................................7

3.2.2统一管理..............................................7

3.2.3智能调度..............................................8

3.2.4应用工具化............................................8

3.3方案概述.................................................9

3.3.1设计方法论............................................9

3.3.2laaS基础资源云的定位..................................10

3.3.3laaS基础资源云平台的周边交互关系......................12

3.4需求分析................................................14

3.4.1总体需求分析.........................................14

3.4.2网络需求分析.........................................14

3.4.3计算需求分析........................................15

3.4.4存储需求分析........................................15

I

3.4.5TanS层云管理系统需求分析..............................15

3.4.6laaS基础资源层安全需求分析............................16

3.5IAAS基础资源云息体设计....................................17

3.5.1网络虚拟化的云网融合设计...........................17

3.5.2安全隔离与基础资源动态调度设计......................17

3.5.3智慧运维设计.........................................17

3.5.4动态云安全体系设计...................................18

3.5.5基于VDI的云非编资源池设计...........................18

3.5.6多类型虚拟化融合基础云平台设计......................18

3.5.7统一平台管理.........................................18

4分阶段模块设计..............................................19

4.1方案设计总体框架........................................19

4.2总体方案设计............................................20

4.2.1xx中心IT整体架构规划设计...........................20

4.2.2集团网络总苏规划设计.................................20

4.2.3云平台与全台网互联设计..............................24

4.2.4计算整体规划设计.....................................24

4.2.5laaS基础资源管理系统总体设计........................26

4.2.6云平台安全方案总体设计...............................27

4.2.7云计算平台物理拓扑...................................28

4.2.8设计子模块...........................................33

4.2.9多租户模式...........................................34

4.2.10虚拟私有云(VPC：VirtualPrivateCloud)..........34

4.2.11VPC与公共服务互通模型................................37

4.3第一阶段设计............................................38

4.3.1计算平台.............................................38

4.3.2云桌面平台...........................................68

II

4.3.3存储平台.............................................87

4.3.4网络平台............................................113

4.3.5laaS基础资源管理系统详细设计........................156

III

1项目概述

1.1项目背景

随着三网融合在全国的快速推动，以及人民群众信息接收方式的重大转变，新

媒体传播已成为现阶段的主流传播方式，这一转变引起了党和政府的极大关注；

从国家政策的角度看，推动传统媒体和新兴媒体融合发展，要遵循新闻传播规

律和新兴媒体发展规律，强化互联网思维，坚持传统媒体和新兴媒体优势互补、一

体发展，坚持先进技术为支撑、内容建设为根本，推动传统媒体和新兴媒体在内容、

渠道、平台、经营、管理等方面的深度融合，着力打造一批形态多样、手段先进、

具有竞争力的新型主流媒体，建成几家拥有强大实力和传播力、公信力、影响力的

新型媒体集团，形成立体多样、融合发展的现代传播体系。要一手抓融合，一手抓

管理，确保融合发展沿着正确方向推进。

正是在此背景下，随着云计算技术的日臻成熟，各大媒体集团已经将云计算技

术作为改变信息产业竞争格局的重要手段。包括深圳电视台基于私有云计算架构建

设融合新闻中心系统项目、北京电视台启动“智慧媒体”项目、百事通和东方明珠

重新整合明确融资十亿人民币用于云平台建设，支撑IPTV、OTT、互动游戏等核心

新媒体生产业务等等。浙江省政府、省宣传部、省广电总局都密切关注着浙江省的

融合媒体整体发展状况。

浙江广播电视集团更是高度重视，把新媒体列为集团“四大战略”之一，并专

门成立课题调研小组，历时数月，起草制订了《浙江广电集团新媒体融合发展实施

方案》。

集团着力构建“一云”、“两网”、“三集群”、“四平台”，共10项新举措，确保

集团与新兴媒体加快砸合发展。

建设“一云”：集团云媒资库。在XX中心新建集团大型“云媒资库”，并与集团

“全台网”无缝衔接，实现真正的云采集、云存储、云制作、云分发。逐步探索组

建协同、集约、开放的全媒体虚拟新闻中心、融媒体内容生产体系。

办好“两网”：做强新蓝网、创办蓝天视频网。集团现有门户网站“新蓝网”，

坚持“聚合为主，自采为辅”，立足集团优质新闻内容资源，打造国内一流的综合视

频新闻网站。整合各频道网站创办“蓝天视频网”，依托集团内容节目版权，打造视

频特色网站，实现“新闻网站和特色网站两轮驱动”。力争经过3年培育，蓝天视频

网与新蓝网日均流量突破5000万。

培育“三集群”：打造新兴媒体集群、壮大电视媒体集群、提升广播媒体集群。

按照“升级、研发、集成”三个维度，部署集团新媒体集群，漕强浙江广电新媒体

传播的主动性和影响力。充分运用新技术新应用，创新广播电视传播方式，巩固电

视媒体在新的传播格局中的“第一媒体”强势地位，增强广播媒体竞争实力和传播

能力，抢占新兴媒体舆论阵地。

打造“四平台”：开发4G等新型信源平台、拓展市县云媒体联动平台、构筑跨

媒体宣传协作平台、共建IPTV及OTT传播平台。依托全省市县广播电视媒体采编力

量，联合公安、消防、交通、医疗等系统资源，借助4G技术，构建融媒体报道机制。

继续推进全省广播电视“云媒体平台”建设，密切与国内主流新闻网站、大型视频

网站等的看效对接、深度联动，拓展IPTV宣传及增值业务、加快依托浙江华数的“客

厅革命”步伐，壮大我省主流媒体网上传播声势，扩大集团传播的全国辐射力，形

成多平台、立体化的舆论引导声势和效果。

-2-

1.2集团发展目标

目前基于电视的传统媒体发展面临众多调整，电视传统媒体在近年的变革中做

了相应探索，总体说来可大致分为三个阶段：

•第一个阶段

广电办网络电视台的模式，截止目前，相应的影响力没有达到预期目标；

•第二个阶段

台网互动阶段，通过一些技术手段支持传统媒体的技术发展，力争保持和发展

电视用户群；

・第三个阶段

台网融合阶段，大力发展新媒体，在资金、技术和人才方面投入；

随着云计算技术的日臻成熟，各大媒体集团己经将云计算技术作为改变信息产

业竞争格局的重要手段。包括深圳电视台基于私有云计算架构建设融合新闻中心系

统项目、北京电视台启动“智慧媒体”项目、百事通和东方明珠重新整合明确融资

十亿人民币用于云平台建设，支撑IPTV、on、互动游戏等核心新媒体生产业务等

等。

目前各大媒体集团要解决的问题都是传统媒体和新媒体融合发展的问题，传统

信息岛式的架构无法满足新业务层面需求，云计算技术已经成为各媒体集团整合新

媒体业务，促进传统业务和新媒体业务融合发展的唯一技术选择。

正是在此背景下，浙江广播电视集团提出了适合集团融合媒体发展的决策。

利用集团优势资源，运用新技术变革传播方式，实现广播电视与新媒体在内容、

渠道、平台、终端、管理等方面的深度融合，构建舆论宣传传播的新格局，新技术

的发展思路。

-3-

1.3集团信息化现状的制约

集团目前离散的技术系统存在硬件资源利用率过低、业务及系统繁杂，系统维

护成本较高、业务系统的平台升级面临困难、新系统建设周期过长等诸多问题，按

现有技术条件推进传统媒体和新媒体融合生产难度极大，根据我们对xx中心进驻的

各单位应用系统和硬件的调研情况统计，服务器数量预估超过1000台、存储预计超

过2pb、交换机几百台、有应用系统上百个。

集团萧山国际影视中心的建设为业务和系统整合提供了一个契机。新蓝网、好

易购、IPTV新媒体公司等具有互联网基因的新媒体部门的集中办公，可考虑以云计

算架构建设对1T设备和业务系统采取集中运营、统一管理，可有效降低投入和运维

成本。

1.4建设目标

根据目前集团对云平台业务需求的实际需要，云平台建设需要达成以下目标：

1、满足统一平台，共平台生产要求

在融合的过程中，媒体能否提供优质内容自当成为成功与否的关键。生产优质

的媒体内容，需要调高节目的精细化制作能力、采用全媒体演播互动新制作形式、

建立更加广泛的内容汇聚方式、注重对用户信息与舆情信息的收集与互动等，全方

位保证内容的竞争力。本项目以云媒资为支撑建设业务支撑平台，可有效支持新媒

体业务（新蓝网、蓝天视频）好易购、IPTV等新媒体业务融合发展。

共平台生产必然涉及到平台统一规划建设、多业务并行，而云计算平台可以方

便的进行资源的灵活调配，统一管理。同时将新媒体发展所需的业务资源统一部署，

额外的可实现全台级的集中式全媒体内容汇聚与分发，轻量级工具共平台生产以及

-4-

利用右桌面技术改善台内各生产网的弹性扩展。

2、满足互联网紧密结合要求

新兴媒体本身就是具有互联网属性，同时电视台新兴媒体发展本质上是围绕电

视台的内容进行（在同一平台下实现电视台内容生产与互联网内容生产），这就需要

融合电视台与互联网的界限，真正实现“台网（互联网）合一”，而利用云计算技术

可以适应这一要求，利用私有云进行精细化生产、公有云作为互联网汇聚和发布的

高效对接，可有效对传统媒体和新兴媒体融合发展起到推动作用。

3、满足多来源汇聚对接要求

一方面，云计算平台建设有利于集团分支机构（如记者站、两会外延系统等）

和省内区市县合作媒体统一接入，利用平台和内容优势共平台生产、共平台发展。

另一方面，为生产优质内容，就不能按传统的自采自产方式，应以多来源内容

汇聚为重点，互联网内容、舆情的收集反馈等应用本身就具有互联网基因，公有云

具有资源充足、服务覆盖广泛、服务稳定有保障等诸多特点，采用公有云部署涉及

到主流网站内容、微博、微信、节目点播业务统计、观众反馈等数据信息挖掘的应

用是较佳方案。

4、满足敏捷节目形态响应要求

传统媒体生产业务规模是可以科学预测，而新媒体业务业务间交互需求多，交

互复杂，新兴媒体生产节目形态变化极快，具有难以准确预测性和灵活多变的特征。

为适应这种敏捷节目形态响应。按传统技术系统信息岛的建设模式是无法适应新业

务灵活多变的弹性。萧山云可采用混合云架构的灵活方案，私有云部署云媒资及相

关业务做支撑，统一技术平台运营、新蓝网、蓝天视频等互联网紧密结合和高并发

访问的应用可租用公有云实现，实现成本和效率之间的平衡。

-5-

2现状分析

2.1使用现状

根据对xx中心进驻的各单位应用系统和硬件的使用情况初步统计:

序号单位系统数量［套）数据库（套）服务器量（台）存储容量（TB）

1好易购16830415

2新蓝网262224100

3IPTV10370800

4广播8155824

5总计60146531739

2.2痛点分析

通过调研和对上表多个维度的分析，感受如下痛点：

•资源利用率低（孤岛）：系统数量庞杂，大部分的计算资源使用率平均不到

10%,部分媒体加工业务内存使用较高，但是CPU缺使用率低，而且系统都

是孤立的，而随着业务的发展，如果按照这种模式继续发展，只会越来越多，

直到无法承受；

•系统多，维护困难：数据库及应用后台构建过多，相互之间无关联，都需要

专门的管理和维护，造成了很大的使用和维护的困扰；

•人工管理海量设备：物理设备过多，服务器近七百台，既有X86服务器，也

有Unix的小型机，存储既有本地盘，也有集中式存储，涵盖多个厂家，达

到PB级的规模;

-6-

3方案设计概述

3.1总体设计原则

•融合性：能够开放的连接、容纳其他先进的第三方技术、服务、资源及第三

方云；

•媒体性：能够适配广电应用对资源和应用后台的需要；

•企业性：能够提供广电级的资源及应用后台；

3.2总体设计目标

3.2.1资源复用

1.把IT基础设施池化，在其之上为每套应用提供虚拟独享的IT设施；

可更加灵活的配合系统的成长，系统按需增删基础IT资源，确保这些应用与服

务能够高效运行。

2.把可能复用的软件抽象出来形成服务，为前端应用提供虚拟的后台支撑；

系统建设时，要尽量减少那些开销很大的系统资源的创建和销毁，比如数据库、

媒资、转码等通用服务等。这样让每套系统的后台成为轻量级后端，通用应用形成

多套具有统一运维，统一运维的服务提供给每套系统前端，使业务系统后台资源复

用，并且比独立的子系统更安全、敏捷、合规化、经济。

3.2.2统一管理

1.无论基础设施还是应用后台都可能来自不同厂商或不同技术体系，因此必须

透过一层开放的中间件方可统一管理;

2.开放的中间件应由台方主导具规范；

各个厂家提供开放的，使得集团云计算平台能够不断演进。换而言之，各个基

础设施组件是松耦合可替换的，降低设备更新、更换和技术演进的成本。

3.2.3智能调度

统一管理的目标是能够自动化甚至智能化的创建、伸缩、运转维护应用所需基

础设施及后台服务；

传统智能系统在建设上存在重复建设、管理效率低、数据闭塞等问题,无法满足

现今媒体领域的发展需求。通过将云计算领域技术应用于媒体领域来打造一个统一

的交通云生态圈环境。通过云平台充分发挥云计算技术特长,帮助各个业务摆脱系统

设计实现过程中计算机领域的细节问题,从而减少重复性劳动,专心于业务领域事业

规划与发展,实现进一步细化职责分工与资源重分配,提高资源利用率。

智能调度平台提供可编排、自动化、智能化的引擎实现该能力；

3.2.4应用工具化

将应用中各功能间的耦合消除，应用就会工具化。比如采集应用可工具化为素

材上、下载工具和云端素材库服务;编辑应用可工具化为Premiere编辑工具、Davchi

包装工具等等；

应用工具化能够粒度化的展现产品的功能和应用场景，使得应用能够更高效的

适配使用者的需求。

工具以商品的形式在电商平台中供用户选择使用，运营方根据运营情况控制工

具数量及价格；由于应用工具化可以更粒度化的展现各个应用的投入产出比，使运

-8-

营控制工具数量及价格后更可靠的参考依据。

3.3方案概述

3.3.1设计方法论

为达成以上的设计目标，需要以下手段：

1.资源和后台服务的池化：帮助用户复用资源及后台服务；

资源池的构建在实现云计算基础架构的过程中显得尤为重要，构建了合理的资

源池，以实现云计算的最终目的一一按需动态分配资源。

后台服务的池化，可灵活高效的复用通用服务。

2.资源的统一管理：降低资源和应用后台的使用、维护成本；

它可将各个厂家、型号的资源及公有云整合起来，提高系统建设及扩初效率。

最大限度降低资源和应用后台的使用、维护成本；

3.资源的自动化、智能化调度：提升效率；

在资源和应用池化前提下，系统的各个组件是可以动态和松耦合的，资源的池

化、智能调度就增加了系统的敏捷性性，更降低了运营和运维难度。

这些手段需要通过具体的技术来实现，其本质是服务化'工具化：

1.计算服务化存储服务化网络服务化（基础资源平台）

2.应用后台（数据库、中间件等）服务化（应用服务平台）

3.应用（非编、媒资）工具化［软件服务平台（工具商城）］

云计算是一种标准化的IT能力，将软件、应用平台、基础设施整合建立起来

一个系统，通过Internet技术以按需和自助的方式提供服务。目前，云计算服务有

SaaS（软件即服务）、PaaS（平台即服务）、laaS（基础设施即服务）三种模式；除了这

-9-

二种模式，又扩展出Saab（安全即服务）、DaaS（数据即服务）等新的服务。所以说

云计算技术可以满足设计上工具和服务化的技术需要。

3.3.2laaS基础资源云的定位

从云计算服务平台建设实现的角度来看，XX中心云计算服务平台系统实现的总

体架构如下图所示:

文稿应用非毋应用转码应用合成应用|迁移应用

运

][W8CT|（技术审查|（资卸W用）[

营

管

应用、服务运行接口对接理

大数据支撑平台中间件支护平台工作淙支探平台数据库平台

laa汪础资源接口对接

权

资源虚______________________限______________________________________________________________

计算资源池网络冤源池安全奥源池存储资源池数据胭池管

理

■

资

源

监

控

遵循云计算技术思想，整体的云服务平台，可由三类子平台管理支撑系统构成，

分别是IT基础资源云平台（laaS）、公共服务支撑云平台（PaaS）、媒体工具云平台

（SaaS）,并具备统一的面向用户交付的云服务管理支撑系统。

各组成部分定位如下：

3.3.2.1媒体工具云平台（SaaS）

提供媒体融合业务所需要的相关各种系统类软件与工具类软件，相关软件系统

需注册到公共服务云平台（PaaS）上，以成为工作流引擎中的有效工具或应用系统

而被用户使用。

-10-

媒体工具女平台(SaaS)的开发建设，应以过程数据标准化、_L具部署快速灵

活、用户使用权限管理以及用于计费的基础数据记录为核心内容。

在整体云服务平台中，媒体工具云平台(SaaS),可以是一个也可以是多个。

例如，某厂商的内容汇聚、内容库管理、非编工具、转码工具等多个工具应用

或系统应用可以组成一个SaaS云，整体成为xx中心云计算服务平台的组成部分。

SaaS云内的相关工具或系统，在被使用时需要分别注册到公共服务支撑平台(PaaS)

上，成为某一工作流程中的有效工具或系统，并需要与其它厂商SaaS云中的工具或

系统在同一工作流程中协同工作，即工具或系统间的过程数据要求标准化。一个SaaS

云内的工具或系统的用户权限管理、资源需求管理、计费数据生成及管理、注册提

交及状态维护等由SaaS云自身的管理系统完成，并通过SaaS云管理系统与PaaS云

管理系统、laaS云管理系统、云服务管理支撑系统对接交互。

3.3.2.2公共服务支撑云平台(PaaS)

提供各类应用系统运行的公共支撑环境，包括工作流定义与生成、工具系统注

册、基于大数据的基础分析、中间件公共运行环境、数据库支撑、通过与laaS层的

适配接口申请基础资源调度等等。

公共服务支撑云平台(PaaS)的开发建设，应以工作流定义与重构的灵活性、

工具系统注册的适配性、过程数据标准化管理、公共支撑数据的维护管理、平台自

身的开放性以及二次开发支撑能力为核心内容。

在整体云服务平台中，公共服务云平台(PaaS),应是一个统一的运行平台，其

自身应具有良好的开放性和由第三方二次开发的支持能力。

-11-

3.3.2.3基础资源云平台(laaS)

提供计算、存储、网络、安全等IT基础资源，以满足承载云服务平台自身运行、

用户服务交付运行的需要。

基础资源云平台(laaS)的开发建设，应以基础资源的虚拟化运行管理能力、

以业务或用户维度交付各类虚拟化资源的融合适配能力、各类资源面向不同用户的

安全交付能力、业务负载变化中的资源动态扩展能力等方面为核心内容。

在整体云服务平台中，基础资源云平台(laaS),可以是一个，也可以是多个。

一个基础资源云平台，要能够对其管理范围内的各类计算、存储、网络等基础

资源做统一管理调度，并具备良好的异构资源管理调度能力。例如，管理不同厂商

的计算虚拟化，或适配不同厂商的网络虚拟化，实现协同调度管理。

3.3.2.4云管系统

提供面向用户的统一服务界面、统一认证管理、统一计费管理、维护整体云服

务平台的全局性资源属性数据、集中呈现云服务平台不同组成部分的运行状态、具

备统一的运维过程管理。

云管系统，可以在PaaS层或SaaS层复用形成，也可以由第三方独立开发部署。

在整体云服务平台中，应该具有一个统一的云管系统。

3.3.3IaaS基础资源平台的周边交互关系

基础资源云平台(laaS)层,作为xx中心云计算服务平台的基础资源层，与云

计算服务平台中的媒体工具云平台(SaaS)层、公共服务支撑云平台(PaaS)层、

云服务管理支撑系统或直接用户的交互可以分为两大类。一类是，用户使用承载在

-12-

基础资源上的女服务，这与用户对传统数据中心应用系统访问方式相同，不涉及对

基础资源调度管理的交互问题。另一类是，接受SaaS/PaaS等其它各层云平台，或

云服务支撑管理系统，或直接用户的资源调度申请、监控管理请求，完成资源管理

调度并返回结果，这是laaS云平台周边交互关系的重点。

基础资源云平台(laaS)层需要接受来自SaaS/PaaS云平台或云服务管理支撑

系统的调度请求，完成基础资源的生成、释放、运行管理等任务，并反馈执行结果。

基础资源云平台(laaS)层需要能够依据SaaS/PaaS云平台或云服务管理系统

提交资源申请的用户属性，转换形成资源属性，据此生成相关资源，并且适配其它

相关资源后交付给用户，返回调度结果。例如，接受管理支撑系统有关某用户增加

某类型非编站点的资源申请，则能够生成指定类型的虚拟非编工作站，并附加对应

该用户在用系统的网段地址，将虚拟非编工作站加入该用户的VPC,如需要与其它系

统协同工作的，则完成与其它系统的基础网络联通后，交付最终结果。

基础资源云平台(laaS)层需要能够将自身运行状态数据、资源使用计费基础

数据传送云服务管理支撑系统，用于统一计费管理及运维监控管理。

基础资源云平台(laaS)层需要能够接受用户的直接资源申请，完成资源调度

并交付结果。

xx中心云计算服务平台将是分阶段逐步建设的过程，基础资源云平台(laaS)

是最基础的资源承载平台，必然先行建设。在其它各部分子平台尚未完成建设，尚

不具备完善的云服务申请、交付、计费、管理能力前，需要基殆资源云平台(laaS)

具备基础的用户自助服务能力，包括资源申请、审批、资源组合适配交付、基本计

费及运维管理能力。如此实现分步骤建设、分部分投入使用的目的，降低整体建设

的项目风险。

-13-

3.4需求分析

3.4.1总体需求分析

本次项目在萧山新基地建设XX中心云平台以及XX中心新大楼办公网络。重点

为XX中心云平台的设计规划。

XX中心云计算服务平台承载集团，好易购、新蓝网、新媒体公司、广播电视、

等集团下属单位的生产网和办公网业务。

XX中心laaS云平台承载不同单位的不同业务，基于多租户的管理机制与技术手

段，实现不同网络、不同业务之间的隔离和安全控制，同时通过云平台实现资源池

基础资源在不同租户之间的灵活动态调度。

好易购、新蓝网、新媒体公司、广播电视等业务单位的部分业务无法迁移到云

平台，继续保留在原址，因此云平台的租户网络具备与各业务单位安全互联的能力。

3.4.2网络需求分析

由于新数据中心基于云计算架构，新数据中心网络需要支持云网融合，支持大

二层网络，支持租户网络隔离。

基于上述，可以将网络需求分为如下几个方面：

•区域互联互通

•端到端的接入

•多租户网络(VPC)

・动态网络边界重构

•云网融合，资源统一管理

-14-

•支持组播业务

•设备利旧

・网络高安全性、高性能、可靠、可扩展

3.4.3计算需求分析

XX中心的计算需求可按以下维度进行分类：

•承载业务类型：办公类业务，生产类业务。

•业务需求单位：好易购、新蓝网、广播电视、新媒体公司等业务单位

•部署环境：虚拟化环境，物理机环境。

虚拟化资源层通过对虚拟化平台统一管理调度，对计算资源进行池化，抽象成

可管理、可调度的逻辑资源。

采用目前市场主流的虚拟化技术，具备统一的管理调度平台，并提供相应的部

署保障服务。

虚拟化平台支持调用GPU资源，满足GPU计算需求。

3.4.4存储需求分析

我们采取分析客户实际业务使用设备资源状况、未来需求情况进行数据调研与

分析，以获取应用对磁盘的利用情况。

3.4.5IaaS层云管理系统需求分析

基础资源管理系统是IT基础资源的统•管理、调度平台，是面向上层业务平台

的IT资源交付平台，主要需求如下:

-15-

IT基础资源的融合管埋和统一调度

•多租户VPC交付

•计费计量

•审批流程自定义

•资源监控

•虚拟化异构兼容性

•北向接口要求

3.4.6laaS基础资源层安全需求分析

xx中心云计算服务平台的云安全设计通过界定各系统的重要性和安全风险等

级，然后根据不同的保护等级，从网络、主机、应用系统不同层面相应的逐步建设

由网络与信息安全基础设施（如防火墙、入侵防御、防病毒、账号管理以及相应的

控制端等）、安全集中管理系统或者它们的一部分构成的多层立体防护体系，提高对

网络攻击、病毒入侵、网络失窃密的防范能力，防止有害信息传播，保证业务网络

和支撑系统的安全运行。

整个云计算的安全体系设计由被动防御与主动防御两部分组成，涵盖基础层安

全、服务层安全、应用层安全以及统一安全管理。

laaS安全系统应统筹于xx中心云计算服务平台的统一安全规划（详见《xx中

心云计算服务平台方案设计一统一安全规划部分》），相关各层面的安全设计与部署,

都会在基础资源层（laaS）有所体现。因此laaS层安全设计，需要考虑等保要求和

实际业务需求，兼顾云边界安全和内部安全。

-16-

3.5IaaS基础资源云总体设计

3.5.1网络虚拟化的云网融合设计

云计算数据中心引入服务器虚拟化技术后，要求网络基于大二层设计，基于传

统的VLAN技术设计云化数据中心网络存在种种限制。

随着以VXLAN技术为代表的新一代Overlay网络方案的提出，有了一种新的解

决思路，即通过在现有网络上叠加一个软件定义的逻辑网络，原有网络尽量不做改

造，通过定义其上的谡辑网络，实现、业务逻辑，从而解决原有数据中心的网络问题，

极大的节省传统用户投资。

3.5.2安全隔离与基础资源动态调度设计

xx中心私有云平台综合承载集团、新蓝网、好易购、、广播电视、新媒体公司

等业务单位的生产网与办公网业务，各部门、各类网络之间有网络隔离的需要。但

是虚拟化和云的引入，形成计算、存储、网络及安全资源池，资源池化后网络边界

模糊，需要引入新的技术解决虚拟化环境的隔离能力，并且能够实现资源池的基础

资源能够在不同租户间的动态调度能力。

3.5.3智慧运维设计

xx中心云平台服务于多个部门、多个业务系统。云平台运维必须符合浙江广电

集团的组织架构。

组织架构定义是云平台的基础,几乎所有的云平台需求都涉及用户和组织关系,

这里牵涉到适应浙江广电集团特定的定制需求。

-17-

3.5.4动态云安全体系设计

由于虚机的位置是动态变化的，传统的安全边界消失了，即虚拟化模糊了安全

边界;同时计算资源需要在租户间动态分配,因此虚拟化环境的安全边界是动态的。

3.5.5基于VDI的云非编资源池设计

传统的非编基于工作站按照制作岛模式建设,一般来说基于业务高峰需求设计,

各个制作岛之间资源很难共享，造成资源利用率低，整体建设运维成本高。

本次项目基于服务器服虚拟化、GPU虚拟化、桌面云等技术实现非编站点的池

化，形成非编资源池，通过云平台实现非编资源的在各个业务部门、频道、栏目组

为动态分配与调度。基于云非编资源池设计可以大大提高资源利用率、实现协同共

享、降低运维成本。

通过云平台的动态调度能力，实现GPU资源在云非编、合成、转码不同工具间

的灵活转换，实现GPU资源的最大利用，更好的满足业务需求。

3.5.6多类型虚拟化融合基础云平台设计

云平台是面向集团生产、办公业务系统的融合与统一管理的平台，因此云平台

设计必须基于开放标准构建，建议基于架构灵活、扩展性强、开放性和兼容性高的

技术架构。

3.5.7统一平台管理

目前对基础设施的管理是由工程师通过分散的众多系统或应用进行管理，因此

玦乏一个能对基础设施进行统一管理的平台。

-18-

作为实现以上功能的前提，需要提供各个服务层的中间件统一接口，使具能根

据接收的参数实现自动化管理，减少人工操作，提高工作效率。

中间件统一接口中的每个接口只做一件事，开发者可结合统一接口结合自己的

业务逻辑进行开发，即不同平台可通过中间件统一接口组成自己的功能模块。

4分阶段模块设计

本次设计分为5个阶段：

第一阶段；基础资源平台设计（计算平台、2、云桌面平台、3、存储平台、4、

SDN网络平台、5、云管理系统（基础资源部分）），完成时间5月31日；

第二阶段：应用服务平台设计（通用服务平台、专用服务平台成时间6月15

日；

第三阶段：统一安全平台、统一监控平台，完成时间6月30日；

第四阶段：业务设计与运营管理平台；

第五阶段：电商平台；

4.1方案设计总体框架

业

务

设

计

与

运

■

管

理

平

台

-19-

4.2总体方案设计

4.2.1xx中心IT整体架构规划设计

本次xx中心云平台项目建设完成后，形成浙江广电集团整体IT架构。集团整

体1T架构形成数据中心域和办公域,两者之间通过高安全区实现互联互通与安全控

制。

4.2.1.1xx中心数据中心区域规划

数据中心内业务区域规划：各个业务区通过核心交换区连接在一起，上面为外

我接入部分，下面为数据中心内部的区域。

外联接入区的接入对象分为四类，每类的安全风险不同，安全技术和策略有所

区别。

数据中心内部，各区域通过核心交换区互联互通，包含：生产区、办公区、存

储服务区、数据库服务区、租户业务区、高安全区和管理控制区。

4.2.1.2xx中心数据中心云基础资源规划

xx中心数据中心云基础资源规划，整体按照虚拟化计算资源区、物理计算资源

区、托管服务器业务区、大数据区、镜像存储区、业务存储区和数据库区、安全控

制区和管理控制区进行规划设计，各云资源区通过核心交换区实现互联互通。

4.2.2集团网络总体规划设计

基于成熟广泛的项目经验，结合本项目需求,建议网络方案设计遵循以下原则：

-20-

1、网络适应云环境原则

网络的设计要适应当前的云平台资源要求，在计算及存储实现池化的基础上，

屏蔽基础网络差异，实现网络资源的池化，适配新蓝网、好易购和办公业务对新老

基地资源拉通的需求；根据业务自动按需分配网络资源，有效增强业务系统的灵活

性、安全性，降低业务系统部署实施周期和运维成本。

2、追求架构先进，可靠性强原则

项目设计中所采用的网络技术架构，需要放眼长远，采用先进的网络技术，顺

应当前云网络发展方向，使系统建设项目具有较长的生命周期，顺应智慧媒体业务

的长远发展。同时保证网络系统的可靠性，实现关键业务的双活需求。

3、标准化与开放性

遵循已有的国际标准、国家标准和行业标准，选用符合标准的开放性技术与产

品，采用开放的系统架构，支持未来技术与应用的发展，尽量避免依赖专有软件、

设备和器材，考虑对不同地域技术条件、不同受众用户、不同终端的技术适用性。

最终设计方案尽量避免排它性和明显倾向性的描述。

4、兼容连通性

云平台不是一个孤立的系统，需要与集团内部系统和互联网资源等进行互联互

通。所以云平台应该充分考虑联通性，能够与现有新蓝网、好易购、IPTV业务网络

及办公网、全台网等进行无缝连接，而且日后能够承载上述和其它业务网络。

5、适应业务发展战略

按照媒体组织化建设和集团化运作、互联互通、资源共享的大技术平台设计理

念，引入先进的技术和企业管理模式，建立能够全面支撑新媒体和传统媒体综合制

作发布的生产及管理平台、网络覆盖及传输平台、系统支撑及运营平台等核心技术

-21-

平台，支持集团未来数年的业务发展和战略目标的达成。

6、先进性与实用性

要保证系统的先进性和持续发展能力,积极采用先进的技术和设备，注重系统的

实用性，采用成熟可靠的技术，力求达到较高性价比。考虑系统目前的应用规模和

扩展速度，部分设备采用配置逐步扩展的设计方案，同时整个系统能够充分利用现

有技术资源，最大程度地保护与节省投资。

7、安全性与可靠性

遵循国家和行业制定的信息安全标准，在系统设计中充分考虑整体信息安全，

系统要有完备的安全防护、认证及加密和管理的措施，具有抵御外部和内部攻击的

能力，并能够对系统整体提供有效的管理。

8、灵活性与扩展性

系统的架构和规模考虑未来业务发展的需要，便于系统的扩展和升级，充分考

虑与现有设备和业务系统的兼容性。柔性的架构、标准的接口和松散耦合的互连模

式可以适配今后激增的多媒体衍生业务和灵活多样的管理模式，去介质化。

基于上述原则，集团网络总体规划设计如下图所示：

EI际影视中心核心集团现址生产核C集团现址办公核心

田1上E二]C。，。卜的1

"7「GJGJ«全台网

浙江国3

=)1sw][sw\

鳖鱼汆品品

Jt国际影视靶'办公网J

本次项目新建一个以云网融合为基础的网络架构，以SDNoverlay网络设计核

-22-

心的数据中心，数据中心内部需要考虑通过SDNYPC技术为多个业务单位划分自己

的租户网络，形成一个多租户的云平台网络。

4.2.2.1xx中心云平台数据中心规划设计

XX中心云平台将成为浙江广电集团核心业务的承载节点，业务复杂多样，且具

备鲜明的广电行业特点，既要满足当前业务承载需要，又要充分考虑未来业务发展

需求，云平台基础架构的设计必须具有先进性和扩展性。

XX中心云平台总体规划设计思路如下：

综合承载办公桌面、办公支撑业务、生产系统的融合数据中心设计。

保证数据中心基础资源向多租户交付且具备边界隔离控制的vpc网络设计。

自动化部署、简易运维的SDN集中控制网络设计。

4.2.2.2xx中心办公网规划设计

浙江影视国际中心办公网络，将成为xx中心整栋大楼办公业务的核心承载网络,

需要具备高效、安全、便捷的统一办公接入需求，满足当前各业务单位办公人员随

时随地都可以接入高速办公网络，全面提升接入终端安全和网络安全，以及提供多

样化的终端接入需求。

新建办公网络和新建数据中心网络集中控制，集中资源调度，集中运维（网管

统一管理所有网络设备），统一融合成为整个浙江广电集团的核心节点，既要满足当

前多样复杂的办公接入需求，又要满足未来日益增长的办公人员需要，办公网络的

基础架构的设计必须具有先进性和扩展性。

-23-

4.2.3云平台与全台网互联设计

云平台与全台网之间的互联至少需要满足以下三种场景的需要：

xx中心云平台规划有为全台网专属使用的的vPC资源区，包括计算资源、网络

资产、存储资源。

集团现址全台网需要能够接入到该vPC资源区，并安全使用专属WC资源，支

持XX中心的用户或者是系统平台，访问全台网的需求。

支持全台网的维护管理人员，访问XX中心云平台管理系统。

4.2.3.1云平台与全台网互联方案设计

在云平台数据中心内，部署两台互联交换机，作为全台网的接入网关设备，并

且两台互联交换机通过横向虚拟化技术虚拟化成一台逻辑设备，消除单点故障、提

升可靠性和可用性。

云平台核心交换机和全台网S12518之间通过40G或者多个万兆进行互联，作为

云平台核心和S12518之间的互栽通道。在国际影视中心数据中心2台出口防火墙,

也作为该互联通道的安全网关设备。

4.2.4计算整体规划设计

4.2.4.1计算资源分类

根据xx中心内不同对业务应用对计算资源的实际使用需求。云平台计算资源整

体可分为以下几类：

通用计算资源

-24-

基于标准的X86架构服务器，部署虚拟化技术，构建起虚拟机间相互隔离、可

灵活调度、可统一管理的虚拟机资源池。

GPU计算资源

基于GPU虚拟化技术，将物理GPU共享给几个虚拟机，使虚拟机能够完全拥有

物理GPU的资源与性能，用于集团内非编、转码等对高性能图形化计算有特殊需求

的业务系统。

物理计算资源

在物理服务器上直接部署业务系统，用于满足集团内对特殊I/O板卡需求的生

产系统及部分业务单位独立托管业务。

4.2.4.2计算资源区划

从物理设备层面分类，计算资源可分为3个区域：

•虚拟化计算资源区

・物理计算资源区

•数据库资源区

4.2.4.3计算虚拟化设计要点

高性能

虚拟化计算资源是计算资源中主要构成，虚拟化系统上生成虚拟机应具备与同

等配置物理机相接近的性能，减少IT基础资源投入，保证业务系统的平滑迁移。

高效率

虚拟化系统应具备DRS等集群优化功能，保证虚拟计算资源集群内各主机的高

-25-

效调度。

虚拟化系统应具备虚拟机模板、配置二次修改等功能，满足使用过程中快速部

署、灵活变更的需求。

虚拟交换机支持VxLan及SDNController集中控制

虚拟化系统中的虚拟交换机应支持VxLan及SDNController集中控制，实现

xx中心内整体VxLan网络方案的部署。

硬件兼容性

虚拟化系统应兼容主流厂商的X86架构服务器，保障现有IT基础资源投资，满

足未来灵活扩展的需求。

可集成

虚拟化系统应具备被主流云平台OpenStack集成、管理、调度的特性,OpenStack

通过计算功能模块完成对虚拟机生命周期的完整管理。

高可靠性

虚拟化系统应提供HA等功能特性，实现在虚拟机、物理机出现故障时的自动迁

移，保证业务在虚拟化环境下的高可靠性。

支持GPU资源调用

虚拟化系统应支持给相应虚拟机配置GPU资源，满足非编、转码等业务的GPU

计算需求。

4.2.5laaS基础资源管理系统总体设计

•基于主流开放架构

•IT基础资源融合管理

-26-

•基于VPC的租户交付方式

•自定义的资源审批流程

•基于ServiceChain的安全模式

•云资源自定义计费计量

•可视化自动化编排

•兼容主流虚拟化平台

•面向上层业务平台提供统一的交付接口

4.2.6云平台安全方案总体设计

xx中心云平台建设项目安全设计以国家等级保护相关政策和技术标准要求为

依据，管理与技术并重，以自主知识产权和国产化信息设备为基础，建成“分区分

域、多层防护”的具有云安全特色的信息安全等级保护防御体系。

云平台承载多个单位多种业务，各种业务安全等级不同；办公网与生产网相互

交互、私有云与公有云相互交互、办公网与互联网相互交互，不同部门之间相互交

互，数据中心存在多个安全边界，因此本次项目基于动态边界安全重构技术构建数

据中心的云安全体系进行设计。

-27-

4.2.7云计算平台物理拓扑

第三方安全平台

--ZL-------

------------------

lOGbttMRmxWW

------------------10GMHi»tt±fi«f8

------------------UXMT11阳⑼

一一一一用交即让刁

yufsgOPH.

------------------flUMUhfMltlB

**AA

------------------SSDS5D

>V(►>->>、

、,《访y、F66▼

酗”

4.2.7.1传统网络的结构与叶脊结构