云数据中心设计方案

云数据中心设计方案云计算是大势所趋，选择合适的硬件和软件建立云数据中心是非常重要的，下面是一个非常详细的云数据中心设计方案。1.云数据中心架构设计DMZDMZ区网络出口联通数据交换区学校云数据中心架构图云数据中心包括Iaas、Paas、Saas三层服务，云数据中心既是一个企业云，也可以对外提供服务，学校还可以使用别的公有云如阿里云，形成混合云。1).SaaS:提供给客户的服务是运营商运行在云计算基础设施上消费者不需要管理或控制任何云计算基础设施，包括网络、服务器、操作系统、存储等等，实现智慧校园产品及学校现有产品等给用户使2).PaaS:主要提供应用开发、测试和运行的平台，用户可以基把客户采用提供的开发语言和工具(例如Java,python,.Net等)托管环境配置；可以使用Kubernetes、Docker容器完成应用系统的3).IaaS:提供给消费者的服务是对所有计算基础设施的利用，包署和运行任意软件，包括操作系统和应用程序。Iaas层是以服务的模式提供虚拟硬件资源，主要是将基础设施资源(计算、存储、网络带宽等)进行虚拟化和池化管理，便于实现资源的动态分配、再分配防火墙，、负载均衡器等)的控制，建立服务器、存储、网络的性能4).管理中心：对云数据中心集群系统进行管理，负责对所运功能。云数据中心可以在单一服务器集合中启动多个不同的集群系统。这些集群系统间可以共享机器资源，通过Kubernetes、Docker(1)物理服务器：虚拟服务器的载体，在其之上运行虚拟化软件(2)虚拟化软件：可将服务器物理的CPU、内存、网卡和硬盘等资源抽象出来，映射成若干个虚拟的CPU、内存、网卡和硬盘，构成(3)虚拟服务器：运行在物理服务器上的具有与物理服务器相同功能的服务器；(4)虚拟机管理服务器：可以在台式机、笔记本或者服务器上安装虚拟化客户端程序，用来对所有虚拟机和虚拟机物理服务器进行集中管理，是使用高级功能必须的一个组件；(5)客户机系统：包括客户端硬件(PC机、笔记本等)、操作系统和客户端应用程序；(6)SAN存储系统：包括主机HBA卡或网卡、光纤或网络交换机、(7)光纤或网络交换机：连接主机和磁盘阵列的转接设备；(8)存储阵列：为虚拟机提供存储空间的设备，也是所有物理服务的共享存储设备。通过在防火墙上制定策略，对云数据中心服务器进行过滤，保护云数据中心的服务器。3.2服务器设计服务器可以使用现有设备，也可采用浪潮整机柜服务器SmartRack面向海量数据的存储和处理，适合云资源池如虚拟化、分布式存储，大数据处理如Hadoop集群等应用，目前在国内服务器中占主导地位，特点如下：定位多种应用，支持各类服务器节点。针对不同业务对存储、计算、IO吞吐量、功耗的不同要求，设计开发出不同种类的服务器节点，包括：1U全宽双路12盘位综合型节点、1U全宽单路18盘位冷存储节点、1U半宽双路计算型节点，满足不同需求。整机柜集中供电、集中散热，相比其他架构服务器，运行功耗降低10%以上。整机柜由一组电源模块集中供电，最大输出功率高达22.5kw,直接支持交流或高压直流供电，各节点通过铜排从电源模块取电，结合电源负载动态调整技术，电源转换效率高达94%以上。机柜背部风扇墙集中散热，根据节点数量灵活调节风扇墙高度，采用140mm大尺寸风扇，相同功耗下可提供更大散热量。领先的架构设计，保障系统高可靠运行。服务器节点中无独立的电源和风扇，有效降低单点故障。根据整机柜实际负载情况，电源可实现N+N/N+2/N+1多种冗余方式。风扇可根据温度状况自动调节转速，支持2+1冗余。对整机柜节点、电源、风扇进行集中监控管理。实现管理中心RMC对整个机柜各模块的统一监控和管理，节点、电源、风扇的健康状况、温度、配置信息一目了然，还可进行批量开关机、重启，功耗控制，风扇转速自动/手动调节等功能，搭配专为SmartRack设计的可视化管理软件，轻松实现简易化智能管理。独有节点前维护设计、各模组免工具热插拔设计、优化的线缆走3.3云操作系统设计有其他解决方案都可以在该平台上构建。在过去的十多年间，VSphere已经成为业界领先的虚拟化平台，构建他们的虚拟基础架构和云计算基础架构，他们将其关键任务应用和生产环境托付给只有vSphere才能提供的先进功能和可靠性。式给客户带来云计算的好处，提供的解决方案构建在vSphere之上并且专为vSphere而设计。VMware云计算模型仅要求客户进行一私有云、公有云或混合模型，VMWare为客户提供最佳选择来构建最·为云数据中心提供更高的安全性-云计算和高度虚拟化的环境给传统安全解决方案带来新的安全挑战，这是传统安全解决方案无解决方案协同工作，在单个管理框架中实现了自适应、经济高效的最佳虚拟化平台作为云计算的基础，虚拟化平台必须可靠、安全、易管理并且提理由如下：VMware解决方案得到最多验证、最受信赖且部署最广泛，VMwarevSphere:虚拟化领域公认的领导者未来仍将是业界最稳健且经过生产验证的虚拟机管理程序，与其他虚拟机管理程序的体系结构具有重要意义ESXi是业界第一个用于x86系统的“裸机”虚拟机管理程VMware的这一款出于特定目的而构建的瘦虚拟机管理程序专为虚拟化而设计，它最早发布于2001年，现在已经发展到第五代。虚拟机管理程序占用的空间越小，面对外部威胁的受攻击面就越小，而且还可以大幅减少所需的补丁程序数量，从而拥有更可靠的产品和更稳定的云数据中心。借助vSphere核心中的ESXi虚拟机管理程序，VMware获得了迄今为止任何虚拟化产品中最小的代码规模，因为它完全去除了对通用操作系统或管理控制台的依赖。实例对同一存储器同时进行读和写，同时又运用磁盘锁定机制，仅让拥有每个虚拟机的主机来对虚拟磁盘文件进行写操作。这是获得存储虚拟化和创建存储资源池的基础构建块。竞争对手已经认识到对更高级存储管理的需求，并且发布了他们自己的存储管理改进，主要StorageLink。然而，VMware拥有能够进行实时存储迁移(即，将虚拟机从一个存储阵列迁移到另一个存储阵列而无需停机)的唯一解决方案。通过vSphereStorageDRS,VMware已经更深入地推进了此概念，跨多个存储阵列自动平衡虚拟机的负载，来避免I/0瓶颈并满足严格的服务级别协议。最后，VMware通过配置文件驱动的存储功能优化了存储调配并提高了敏捷性。配置文件驱动的存储功能根据预先定义好的虚拟机需求对存储层进行分类并管理最初和之后的虚拟机放置。VMware进行了大量技术投入，以求在vSphere上实现非常高的虚拟机密度：·内存超额使用一通过以下多个级别的技术，更高效地使用物理RAM:内存页共享、回收未使用的内存、内存压缩。·采用资源池的DRS-在整个集群中对虚拟机进行动态负载平让他们能够以更高的利用率运行各个服务器，同时满足服务级别协·高性能的“群”调度程序-能够通过为虚拟机动态分配更多资源和更大的处理器时间片，从而满足虚拟机的CPU和I/0需要。量，并且能够处理在更多虚拟机同时请求硬件资源时产生的I/0需·逻辑资源池一能够将主机集群分到各个也无法在如此高的密度下在所有运行的虚拟机中仍保持一致的应用高性能。3.4存储设计可以采用浪潮AS13000存储数据，支持容量、性能的在线无限扩1.控制器集群体系架构，所有控制器并行承担数据IO、保障系2.支持NAS/Object/IP-SAN/IB-SAN存储接口，并且支持SAN、对存储的不同需求，支持Windows、Linux、Unix等多种操作系统并支持NFS/CIFS/FTP等多种文件共享协议。3.支持丰富的主机连接接口，支持1Gb/10GbiSCSI、40GInfiniBand主机连接，无缝接入用户现有环境，满足客户对高带宽4.全面支持Flash/SSD/SAS/SATA各类常见存储介质，模块化的复制(同步/异步)、远程数据复制及恢复、逻辑分区动态扩容。2.支持数据副本、数据纠删码、自动分层等多种数据冗余保护和性能加速功能，为用户提供高级别的数据保护及容灾功能。3.支持全集群Active-Active、Active-Standby、全局热备等控制器工作模式，保障整体系统的高可用，确保数据存取及业务运行万无一失。4.支持软硬件故障时的数据自动修复，系统可用性达到模块化设计，人性化管理1.AS13000各主要部件均采用模块化设计，客户按需选择，维护、升级、管理简单方便：2.支持数据副本、全局热备，以及自动构建RAID、各RAID级别间执行在线迁移不影响正常数据应用3.完备监控管理方式，当系统出现异常时，除了通过机器指示灯报警外，可通过邮件等方式将异常状况及时通知管理员4.集中部署，统一管理1).全系统选取节能降耗的处理器、芯片组、风扇和散热片等部件，提高系统的能效利用率。2).支持在线扩容/缩减时数据自动迁移，确保系统按需配置，同时支持Maid磁盘节能技术，降低磁盘能耗，节约开支。3).支持自动精简技术，大大提高存储资源利用率。3.5安全设计安全性要求的供应商，它提供的解决方案改进了现有的安全基础架构。诸如Microsoft、Citrix、RedHat和Oracle这样的竞争对手期找出一个更高效简单的方法来管理更适合云数据中心的安全保护·简单-经济高效的集中式安全保护·强大-为虚拟化而优化的自适应安全性·经济高效-用较低的花费获得更好的合规性传统的安全解决方案常常要求同时修补多种工具，但是缺少共同的框架使可见性和可控性成为真正的难题。理安全性服务，以便减少复杂性并提高运营效率。其次，基于角色的访问控制可使虚拟化管理员、网络团队和安全性团队协同工作，每一方都能了解在基础架构中发生的、对其领域论是为了业务需要还是为了合规性变更。最后，通过VMware独特的自检功能，第三方安全性供应商(比Kaspersky和McAfee)正在提供专用的安全解决方案作为虚理控制台中定义并且应用到虚拟机管理程序层，这意味着虚拟机不再需要被“钉”在特定主机或集群上，使客户能够充分利用动态移动能力，比如实时迁移、自动负载平衡和自动虚拟机重新启动。集使自适应的信任区域成为现实，可以在同一个云计算基础架构中同时运营具有不同安全性要求的虚拟机组。防病毒保护防病毒(AV)是每个公司安全性计划的关键组成部分。通常而言，防病毒解决方案依赖于安装在每个操作系统中的代理。这些代理与中央服务器通信，确保最新的防病毒定义文件得到更新和应用。当多个虚拟机在同一台主机上虚拟化，且每个客户操作系统都有一个AV代理时就会出现问题。当所有代理同时更新它们的定义文件或进行扫描时，将发生“AV风暴”,造成相当大的性vShield通过它独特的自检功能解决了此问题。VMware的安全性合作伙伴提供单个防篡改的安全性虚拟机取代多个代理，与每个虚拟机通信并简化防病毒和防恶意软件的部署。独立测试显示，相对传统的基于代理的解决方案，将防病毒工作负载转移到诸如TrendMicro所提供的此类应用上总是能减少对系统CPU、内存和磁盘I/0的需求。vShield的无代理防病毒保护为客户提供了保证其环境安全性所需的可扩展性和灵活性。传统安全解决方案是为物理服务器部署设计的，并为虚拟环境进行了调整。通过将传统安全技术与vShield相结合，在VMware上部署比在物理设备上部署更安全。保证安全的环境通常需要满足隐私和隔离方面的合规性规则。在单个服务器上评估合规性和修正合规性差异是一个手动过程；需要大量人工和高度专业的知识。在云环境中，要面对的挑战甚至更大，因为增加了工作负载的数量而且工作负载不是静态的。通过一个集中式视图，就能检测配置偏移、修正配置问题以及自动修复安全漏洞。vShieldAppwithDataSecurity通过对敏感业务信息的连续动态发现和分类，降低了安全性和合规性的风险。它扫描对于敏感数据(比如信用卡信息)的虚拟工作负载，并报告违规情况。vShield提供80多个对应于行业信息政策规定的即时可用的模板，帮助识别出带有敏感数据的虚拟机并将它们放入单独的信任区域中。三.对管理员密码进行严格管理，半年定期更换。四.网络设备可以采用华为的产品，性价比高，行销世界，可以抵御五.对数据进行冗余存储，以防不测，有问题可以及时恢复。3.6物理架构设计模块化云数据中心采用一系列模块化设计的动力设备，如一体化集成机柜系统、供配电系统、制冷系统、监控系统和综合布线系统，高集成设计，通过简单的接口将相关模块进行组合，从而形成一个完整的云数据中心。具有高密模块化，高可靠性与安全性，快速灵活部署，简单低耗，完善监控等特点。模块化云数据中心充分考虑组件设计、功能和相关性，按照在标准化级别与用户灵活性之间取得最佳平衡的方式进行模块化。例如，模块化电源系统在电源、冗余模块和运行时间方面均实现了可扩展性，可以根据当前的IT需求进行部署，并且考虑后续业务的扩展，这种系统规模优化能力显著降低了总拥有成本。而且提供热插拔，从而在不需要停止运行系统的条件下进行维护设备。单排密封通道的模块化云数据中心如下图所示。PDUUPS蓄电池空调IT机柜模块化云数据中心整体架构，如下图所示。模块化设计为满足不断变化的IT需求提供了极大的灵活性。在安装、升级、重新配置或移动模块化系统时，独立组件、标准接口既节省了时间又节约了费用。同时也方便设备的选型、采购、安装、维护和扩容，降低整体运营成本，越来越具有吸引力。●模块化云数据中心特点模块化云数据中心集成方案具有高密模块化，高可靠性和安全●集成机柜系统、供配电系统、制冷系统、监控系统和综合布线●与云主机、桌面云业务无缝集成，提供端到端云数据中心解决2.快速灵活部署●工厂预制部件，现场快速组装，部署灵活。●建设周期缩短50%以上，场地限制少。3.按需定制●采用模块化的部件和统一的接口标准，可实现以机架为单位或以模块。●为单位按需扩容，实现按需调度和动态调整网络资源，节省投4.智能管理●可通过多种传感器，实现对云数据中心内各功能模块的不间断●应用智能化的运营管理平台，可实现对云数据中心基础设施动力、环境、视频、门禁全领域的远程监控，统一管理、统一部署、统一监控和统一备份。5.低成本和低能耗●可以直接安装在楼宇水泥地面上，无需专用云数据中心，可减少外配套工程。●空调靠近设备提高送风效率；水平送风空调靠近热源，送风距离大大缩短，从而减少了距离导致的气流压力损失，冷空气的泄漏损失，提高了冷量的利用效率。●供应周期短，快速交付，快速安装，有效降低成本。3.7大数据设计采用Hadoop、Hbase、Spark或分共享的数据中心，消除“信息孤岛”;规范信息从采集、处析决策提供支持，为教学管理提供高效的信息服●1、制定信息编码集，建立共享数据库●根据国家和教育部的《教育基础管理信息化标准》、《教育管理基础数据库指标体系》,结合每个职业院校实际情况，统一教师发展档案为抓手，整理各业务系统的主要数据，建立共享数据库。●2、制定统一业务系统数据库建设标准●制定业务系统的集成标准，按统一的数据标准和集成标准，指导和协助各部门完善原有系统或重新开发新系统。●3、构建数据分析模型，为教育局、学校领导分析决策提供支持●在共享数据库的基础上构建数据分析模型，提供信息检索服务，并充分利用数据挖掘等手段，为教育局、学校领导和有关部门信息利用、政策评估和决策咨询提供参考。●4、建立和完善运行机制，保障系统持续运行●逐步建立数据中心的日常维护和运作保障机制，制定管理规范、技术规范、工作流程、服务章程等各项规章制度，保障数据中心和各个业务系统的持续运行。●5.采用大数据分析处理数据，为教学、科研、管理等提供有价值的服务。●6采用开源Hadoop、Spark存储分析大数据，或采用GreenplumDB实作为mpp分布式关系数据库，可以支持海量关系数据库和大数据存储，包括acid事务处理，提供易扩展、高3.8核心管理模块架构(1)单个(或集群的)服务器的主要服务(2)跟踪事件和日志服务器上生成的状态监测(3)跟踪性能计数器以测量和优化系统的使用(4)生成基于预定义的规则的事件或计数器的通知2.服务器部署和配置模块(1)自动设置服务器(虚拟和物理),管理虚拟服务器的设置(2)配置的网络交换机和创建的虚拟服务器的负载平衡(3)虚拟服务器和在最可用的物理服务器环境中的自动分配(4)创建和管理所创建的虚拟服务器实例使用的模板(5)创建和管理系统镜像，管理物理服务器实例3.数据保护模块(1)备份和还原整个服务器(2)备份和还原计算机正在运行的数据库(3)能够回滚在服务器中所做的更改(4)备份和还原所有服务器的单个文件和文件夹4.服务配置管理模块(1)跟踪资产硬件和软件许可证以及在环境中的配置(2)管理的软件更新(通过自定义的更新计划)(3)定义和使用所需的服务器等计算资源的配置(4)生成报告已安装的软件，更新挂起的操作，等等(5)安装并维护应用程序等另外，可以实现与HP、IBM、EMC等多厂家系统管理软件在管理流在虚拟机上运行学校业务应用系统，提供负载均衡和冗余备通过安装安全软件和安全服务器，可以保证提升操作系统的安全云计算云数据中心可以自动管理和动态分配、部署、配置、重新服务器虚拟化系统基于服务器，存储和网络设备构建资源池，在资源池上通过资源的管理、调度和镜像管理实现系统的各种高级功院的利益出发，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。我们遵循以下的原则进行网络设计：实用性和经济性网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设的万兆骨干网络平台，保护用户的先进性和成熟性网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵校网络建设的领先地位，采用万兆以太网技术来构建网络主干线路。可靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，锐捷网络做为国内知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。为了保证骨干网络平台的健壮性和链路冗余性，建议网络实施时在学院启用万兆备份线路。在学院启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防可扩展性和可管理性由于信息技术和人们对于新技术的需求必须采用模块化高密度端口的设备，便于将来升级和扩展。智慧校园以物联网、云计算为核心，突显校园信息的智能化采集与传输，智能化处理与控制，智能化显示与推送。使全校各部门、各子系统信息融合、互联互通，有效解决了校园管理中的信息更新滞后、人力资源不足、信息孤岛和重复投入造成的设备冗余等问题，达到了校园管理中绿色节能、科学决策、及时管控、服务便捷的管理目标。随着计算机、通信和多媒体技术的发展，使得网络上的应用更加丰富。同时在多媒体教育和管理等方面的需求，对校园网络也提出进一步的要求。因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学院各方面应用的需要。信息技术的普及教育已经越来越受到人们关注。学院领导、广大师生们已经充分认识到这一点，学院未来的教育方法和手段，将是构筑在教育信息化发展战略之上，通过加大信息网络教育的投入，开展网络化教学，开展教育信息服务和远程教育服务等将成为未来建设的具体内容。校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台，并能够有效促进现有的管理体制和管理方法，提高学院办公质量和效率，以促进学院整体教学水平的提高。根据校园网络项目，我们应该充分考虑学院的实际情况，注重设备选型的性能价格比，采用成熟可靠的技术，为学院设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。考虑到学院的中长期发展规划，在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的发展，最大程度地保护学院的投资。学院借助校园网的建设，可充分利用丰富的网上应用系统及教学资源，发挥网络资源共享、信息快捷、无地理限制等优势，真正把现代化管理、教育技术融入学院的日常教育与办公管理当中。学院校园网具体功能和特点如下：技术先进采用万兆以太网技术，具有高带宽10000Mbps速率的主干，1000Mbps到桌面，运行目前的各种应用系统绰绰有余，还可轻松应付将来一段时间内的应用要求，且易于升级和扩展，最大限度的保护用户投资；网络设备选型为国际知名产品，性能稳定可靠、技术先进、产品系列全及完善的服务保证；采用支持网络管理的交换设备，足不出户即可管理配置整个网络。网络互联提供国际互联网ISDN专线接入(或DDN),实现与各公共网的连可扩容的远程拨号接入/拨出，共享资源、发布信息等。应用系统及教学资源丰富；有综合网络办公系统及各个应用管理系统，实现办公自动化，管有以WEB数据库为中心的综合信息平台，可进行消息发布，招生广告、形象宣传、课业辅导、教案参考展示、资料查询、邮件服务及远程教学等。校园比较大，建筑楼群多、布局比较分散。因此在设计校园网主干结构时既要考虑到目前实际应用有所侧重，又要兼顾未来的发展需求。主干网以中控室为中心，设几个主干交换节点，包括中控室、实验楼、图书馆、教学楼、宿舍楼。中心交换机和主干交换机采用万兆光纤交换机。中控室至图书馆、校园网的主干即中控室与教学楼、实验楼、图书馆、宿舍楼之间全部采用8芯室外光缆；楼内选用进口6芯室内光缆和5类线。网络设备的选择原则：安全性、稳定性、可靠性：作为整个校园网络系统的硬件基础，网络设备必须是具备完全性、稳定性和可靠性的特定。这是网络系统稳定运行的最基本条件。最好是经过相当长时间，在世界范围内被广泛应用的网络产品，所以在选择产品时选用国际知名厂商的产品。技术先进性：网络设备仅仅具有安全、稳定、可靠的特定是不够的。作为高科技产品，还应该具有技术先进性。在选择网络设备应该采用当今较先进的技术，能够保持该设备在相当长的一段时间内不会因为技术落后而被淘汰。同时，在网络规模进一步扩大，该设备不能承担繁重的负荷时，能够降级使用。易于扩展性：由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，应选择具有一定扩展能力的设备，3.9平台搭建实施步骤1.搭建机房、供电、冷却设备，购买服务器15台(每台服务器4个12线程CPU,共可提供720个16G内存的虚拟机)、存储设备(2P)、session会话必须单独保存到rsdis缓存，供应用系统共用。2同样，log文件需要远程集中存储，不能存在docker.存储，需要使用mongodb保存。现有系统迁移到现有系统迁移到docker之前，必须从上面3个方面进行修改。第4章云数据中心建设方案根据业界企业云数据中心网络最佳设计实践参考，结合新一代成长期，必须在本期网络架构中充分考虑未来的可扩展性。网络规划如，通过防火墙接入Internet,通过策略允许云管理管理服务器之间隔离，每台分析服务器之间在内网不通讯.基于本期单位云计算平台的建设思路一一搭建基于IaaS层面的云计算平台，如何采用云计算技术建立动态的IT资源平台，并使之具备快速IT服务交付能力，进而通过动态的IT架构来应对有关省直单位业务发展的需要；将应用和业务从底层的IT资源中分离出来，提高效率、降低整体成本是本期建设方案需要重点解决的问题。为此，我们建议以应用系统为顶层架构来搭建单位云计算资源NAT/Firevall计算资源池存储资源池路由/交换4.1网络资源池交恢n交恢n交版地交恢地新建数据中心资源池现有数据中心资源池云计算平台组网物理拓扑图本工程采用3根移动专线接入，单根200Mpbs带宽。一根为互联网接入区对外提供服务用，一根用于VPN专线，一根用于办公人员访整个云计算平台在组网设计上满足双网双平面结构，从网络接口、网络链路到关键网络设备均配置冗余部件。在网络接口上每台物理服务器至少配置3张网卡，分别用于业务服务、虚拟化平台宿主机VPN划分为公用网络区、互联网接入区、专用网络区。虚拟化计算资源可以在不同的网络区域中自由迁移。在汇聚层旁挂防火墙、隔离网闸、运维审计、数据库审计系统等安全设备。其中防火墙用于实现同一网络区域中不同业务系统的之间的安全隔离；隔离网闸用于在MPLSVPN隔离的不同网络区域之间进行安全数据交换，同时用于和之间的数据安全交换。4.1.2.网络负载均衡设计网络负载均衡分链路负载均衡和本地负载均衡，总体逻辑示意图移动专线应用系统均衡器，链路负载均衡器通过对所有Internet链路进行流量路由和路负载均衡器可实现ISP接入线路的无缝扩展。载均衡器多种链路状态检测结果选择最佳出2)InBound流量负载均衡为使移动用户和电信用户通过不同互联网链路访问互联网接入域名解析成不同的公网IP地址，加速应用访问，提升用户体验。javascript,CSS文件等，这些文件的重复传输不但给服务器造成了的cache.文件压缩，浏览器端文件cache控制等优化技术，来提供的API接口可以实现和云计算管理平台的集成。4.1.3.网络虚拟化设计.云计算对传统网络的挑战传统的网络规划设计依据高可靠思路，形成了冗余复杂的网状网结构，结构化网状网的物理拓扑在保持高可靠、故障容错、提升性能上有着极好的优势，是通用设计规则。云计算的大规模运营，给传统网络架构和传统应用部署都带来了挑战，新一代网络支撑这种巨型的计算服务，不论是技术革新还是架构变化，都需要服务于云计算的核心要求，动态、弹性、灵活，并实现网络部署的简捷化。具体来说传统网络面临的挑战主要有以下几点：一一传统网络的复杂性在实际的运维中，管理人员承担了极其繁冗的工作量；一一云计算平台下多虚拟机部署在同一台物理服务器上运，服务器的利用率从20%提高到80%,服务器端口流量大幅提升，对网络性能提出更高要求；一一云计算平台中，虚拟机在物理服务器之间进行迁移，为了避免虚拟机迁移后路由的震荡和修改网络规划，迁移通常只在在二层域进行，因此云计算平台需要具备一个性能更高、二层域更大的网络环境为迁移提供保障。通过分析云计算对传统网络基础架构带来的挑战，我们可以从两个方面来应对。一是通过构建高性能、高可靠的网络，从而满足云计算给网络带来的压力；二是通过构建虚拟化网络来满足云计算中由于的要求。交换机和汇聚交换机通过交换机虚拟化技术(华三IRF2、思科VSS)虚拟化交换机横向虚拟化层网络。不同业务(虚拟服务器)接入不同的二层VLAN,但同一个业务(虚拟服务器)可以在不同网络分区里灵活部署与迁移，满足了又保证了不同业务(虚拟服务器)的安全隔离。物理设备物理设备分区1分区2分区31:N网络虚拟化技术拥有它自身的软件进程、专用硬件资源(接口)和独立的管理环境，下图所示：虚拟交换机A虚拟交换机C物理端口看分配给不同的虚拟交换机，并且不同虚拟交换机之间不能共享端口交换机纵向虚拟化.虚拟交换机技术VMware分布式虚拟交换机功能满足网络分区条件下，虚拟主机在线迁移等功能时，保证业务网络的持续性。虚拟交换机是构成虚拟平台网络的关键角色，VMware虚拟化通过VMwarevNetworkDistributedSwitch,使虚拟机跨多个主机移动时始终处于同一个VLAN内，它为虚拟机在物理服务器之间移动时监视和保持其安全性提供了一个框架。VMwarevNetworkDistributedSwitch示意图如下所示：VMVMVMVMVMwarevNetworkDi测流向此端口的所有流量，并把不同VLAN的流量导向物理交换机上了TRUNK功能的端口相连接。此时VMs分别在VLAN1、VLAN2、VLAN34.1.4.IP地址及DNS规划单位IP地址规划遵从国信办和国家外网工程办有关规定和指IP地址规划主要涉及到网络资源利用的方便有限的管理网络为IP地址规划的主要问题，合理的IP地址规划是有利于网络管IP地址的合理分配是保证网络顺利运行和网络资源有效利用分配的合法地址空间，充分考虑到地址空间的合理利用，保证实IP地址的规划和划分应该考虑到网络的后续规模和业务上的发展，能够满足未来发展的需要；既要满足本期工程对IP地址的需求，同时要充分考虑未来的业务发展，预留相应的地址段；IP地址的分配需要有足够灵活性，能满足各种用户接入需要；地址分配是有业务驱动，按照业务量的大小分配各地的地址段；IP地址的分配必须采用VLSM(变长掩码)技术，保证IP地址的利用效率；采用CIDR技术，这样可以减小路由器路由表的大小，加快路由的收敛速度，也可以减小网络广播的路由信息的大小；充分合理利用已申请的地址空间，提高地址的利用效率；IP地址的规划应该是广域骨干整体规划的一部分，即IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应，应该是自顶向下的一种规划。国家申请的IP地址范围。网络业务区地址空间公用网络区专用网络区域名，采用作为省网三级域名，采用作为各设区市三级域名。各级学校组成部门咋设置服务器后，应将服务器的IP地址和对应的域名在省电子网管中心注册。域名以4--5段为主，原则上不超过5段。如：“主机名.单位名.”;由省数据中心建立域名()管理中心，所有单位的域名及DNS均向网管中心域名册；可在9个设区市市分别建立子域();各单位若需注册,需在外网管理中心备案之后向国家外网管理中心注.集成智能DNS系统本工程新增2台链路负载均衡器，实现智能DNS解析功能。互联网接入区应用系统的DNS域名系统需与链路负载均衡器的智行修改，将动态记录委派到链路负载均衡器上进行解析，再返回将国家划分为公用网络区(Global)、专用网络区(VPN)和互联网接入区(Internet)三个功能域，分别提供国家互联互通业务、公用网络区：采用国家公用地址(即从NNNIC注册的地址)的网络区域，是国家的主干道，实现各部门、各地区互联互通，为跨地区、跨部门的业务应用提供支撑平台。互联网接入区：是各级学校部门通过逻辑隔离手段安全接入互联网的网络区域，满足各级学校部门公共服务业务应用的需要。专用网络区：是依托国家基础设施，为有特定需求的部门或业务设置的VPN网络区域，实现不同部门或不同业务之间的相互隔离，VPN网络区域主要为少数部门的特定业务数据传输提供安全通道。通过MPLSVPN技术运用，三个业务区之间逻辑隔离，不能互访。升级数据中心分为四个区，这四个区分属于三个业务隔离区，对应关系如下表：网络业务区数据中心功能区公用网络区(Global)数据交换共享区/综合管理控制区专用网络区(VPN)部门服务器托管区互联网接入区(Internet)公共服务平台区某些业务系统需要跨公用网络区和互联网接入区部署，也有些需要跨专用网络区和互联网接入区部署，为了保证安全，需要进行逻辑隔离，在公用网络区和互联网接入区间部署一个网闸，同时在专用网络区和互联网接入区也部署一个网闸。除以上从业务系统层划分为公用网络区、专用网络区、互联网接入区外，还需为云计算平台管理和IP存储子系统划分2个独立网络区域，实现业务网络、管理网络、IP存储网络的安全逻辑4.1.5.网络端口资源估算关于汇聚层交换机端口配置，接入服务器建议用万兆以太网电口，网络设备间互联用万兆以太网口。本期新增机架服务器刀片服务器台，占用X个刀片服务器机框，每机框对外口万兆以太网电口，共口，合计连接服务器需要X口万兆以太网电口；汇聚交换机与防火墙、负载均衡器等汇聚网络设备需等需要万兆口互联，考虑一定端口冗余，本期建议配置X台汇聚交换机，单台配置10/100/1000M电口不少于X个；万兆光口不少于X个、万兆以太网光口不少于X个并配置相应数量多模光纤模块。4.2.计算资源池4.2.1.计算资源池架构服务器虚拟化技术很好地解决了传统服务器系统建设的问数量和运营成本；通过利用服务器虚拟化中CPU、内的动态调整能力实现对业务应用资源需求的动态响应，提升业务应用的服务质量；通过在线虚拟机迁移实现更高的可用性和可靠性以及各种基于资源优化或节能减排策略的跨物理服务器的调度等等。因此，服务器虚拟化技术是新一代数据中心最理想的解决服务器虚拟化架构设计是服务器虚拟化技术运用的核心，直接决定了整个服务器资源体系对应用系统的承载能力、运行效率以及可靠性。云计算资源池由机架式服务器、刀片服务器构成；刀片服务器通过服务器虚拟化部署一般业务系统和web应用系统。机架式服务器用于部署管理平台和高负载数据库服务器等。服务器虚拟化架构图如下所示：统一计算资源池中国移动平台统一计算资源池中国移动平台刀片服务器机架服务器机架式服务器刀片服务器4.2.2.应用系统分析经前期需求调研分析，根据业务特点将平台所承载的应用系统分为大访问量应用系统、大计算量应用系统、大数据量应用系.大访问量应用系统大访问量应用系统如学校门户网站、学生查询等web类应用系统，这类应用的特点是业务逻辑简单，不同业务请求互不关联，但请求的并发量根据业务特点不同可能很大，如水利信息网在灾害天气下访问量将剧增。大访问量应用系统要求对大量互不关联的并发请求进行快速响应。这种情况下，需要应用服务器有足够数量的线程响应请求，而单个线程计算量不大，因而对单个CPU处理性能要求不高，可通过提供足够CPU用服务器数量来满足需求。云计算平台通过虚拟化技术为大访问量应用系统部署是大小配置的虚拟机作为应用服务器，多应用服务器工作在负载均衡模式，提升用户使用体验。大访问量应用系统对数据库要求不高，配置一般虚拟机即可满足.大计算量应用系统大计算量应用系统如大数据挖掘、GIS地理信息系统等复杂信息处理系统，这样应用的特点是计算量较大、运算复杂、内存需求大，对服务器计算性能要求高。建议配置单一高性能虚拟服务器。大计算量应用系统对数据库要求不高，配置一般虚拟机即可满足要求。.大数据量应用系统大计算量应用系统流动人口管理、社保管理系统等。根据数据库配置强大的数据库服务器，提供足够的CPU、Memory及IO性能来处配置虚拟机即可满足要求。式，存储并发读写IO能力无法满足计算资源要求，建议通过并行计4.2.3.计算资源池建议配置与选型建议.计算资源池建议配置践经验是从15台物理服务器的规模开始建设，然后根据实际业务发本期工程以单位的实际情况为基础参照行业主流云计算厂商的虚拟35台虚拟机；用作应用服务器时，一台物理服务器最多可以虚拟25台虚拟机。刀片服务器按照每台虚拟30台虚拟机，刀片服务器虚拟化后的虚拟机建议部署一般web/应用服务器；高性能服务器按照每台虚拟30台虚拟机，高性能服务器虚拟化后的虚拟机建议部署务器套，2路机架式服务器X台，4路机架式服务器台。其中X台2路机架式服务器用于云计算管理平台，X台4路机架式服务器作为测试服务器(计划用来支持各类移动办公等移动应用，统一纳入单位信息中心监控管理)。计算资源池刀片服务器和4路机性能机架式服务器可以虚拟化X台虚拟机，平台共计X台虚拟机。一般应用系统需要web服务器、应用服务器各2台，采用应用负载均衡做集群，数据库服务器2台做互备。通过多实例共享面向不同业务系统提供数据库管理平台服务，则需4按此测算，本期建设规模在满足50个部门50套应用系统需求之息安全设备等，按照需扩容、滚动建设的方式满足省直部门的需求。本期新增计算资源配置如下图表所示：项目颗2核6刀片服务器数量台二、机架式服务器(2CPU)颗2核6台4三、4U机架式服务器(4CPU)颗4核6台此外，每台物理服务器要求配置不少于3个万兆以太网电口，分别用于虚拟化平台管理口、应用系统对外提供服务、连接NAS未来实际应用中，还将根据各厅局的复杂性，比如高吞吐量、高计算、高访问量类业务系统对计算资源的需要进行调整。.服务器选型建议宿主机服务器架构是虚拟化架构的关键组件，也是服务器整合比例和成本分析的重要变量。宿主机服务器处理大量整合服务器的工作负载的能力会提高整合比例并有助于提供满足需要的成本收益，以下提供二种宿主机服务器的参考架如包括机架式服务器、刀片式服务器。在选在系统架构时，首先处理器、内存、存储和网络能力以及高速的I/0和低延迟都很关键，重要的是要保证这些分类中的每一个宿主机服务器能够提供A)标准机架式服务器最常见的系统架构是标准机架式服务器。典型的是2U或4U的型号，这些服务器一般包含2到4个CPU插座，2到8个PCI—E或PCI—X插槽，4到6个硬盘托架。由于其在2和4个插座服务B)刀片式服务器随着对能力和服务器密度不断增加的需求，刀片式服务器在于每个宿主机服务器用于支持一定数量的客户机所需的网络和存储I/0必须加以仔细考虑，以保证刀片上运行的每个宿主机服务4.2.4.计算资源池部署.应用服务器部署应用服务器可部署在虚拟机系统(VM)和物理PC服务器。当应用服务器负载接近单台物理服务器性能时，可直接部署于物理根据应用系统的可用性要求等级不同，在虚拟机上实现高可用的方式有以下三种，虚拟机热迁移，虚拟机HA,物理机HA。虚拟机热迁移用于满足计划内停机维护操作。当服务器需要停机执行维护操作时，可通过虚拟机热迁移功能，将某一物理服务器上的虚拟机动态迁移至另一物理服务器。动态迁移过程，业器故障时，通过虚拟机HA,虚拟机可在其他的物理服务器上自动重启，实现故障转移。此过程会引起短暂业务中断，业务中断时间由虚拟机操作系统在另一物理服务器上启动的时间及应用系统在物理服务器故障或应用故障时，进行快速的故障转移，减小并在服务器集群中只能地分配负载，从而确保客户最大限度地发挥其应用服务器投资价值，结合硬件负载均衡设备，为部署在应用数据库服务区作为业务系统的数据处理平台，对服务区的I式服务器部署，不同的业务系统数据库可通过多实例进行共享同一物理服务区群集。对服务器性能要求一般的数据库管理系统可性，建议至少使用2台物理服务器或2台虚拟机做HA。部署虚拟机上数据库管理系统可通过ApplicationHA保证其高可用；部署系统自带群集软件(RAC)实现其高可用。4.2.5.虚拟化软件选型分析目前主流虚拟化平台(Hypervisor)主要有以下四种，分别和Xen为开源产品。目前部分厂商根据开源Xen开发出自己的虚社区，功能单一；基于开源Xen的Citrix稳定性、可靠性优于开源Xen。市场的主流产品，但其采购成本较高；基本开源Xen的部分国产产品功能不及VMware,但具有更好的性价比，作为国产虚拟化平台，其安全性也更有保证。充分考虑技术成熟度和开放性，本项当前关键应用建议部署在成熟稳定的VMware虚拟化平台上，非关键应用及测试环境可部署于国产开源虚拟化平台上。随着国本期计算资源池采用X86服务器，虚拟化平台管理软件需实现高可用性、动态迁移，对整个应用架构实现统一的安全控制和目前X86虚拟化平台管理软件主要有两大类：一类为虚拟化平台原厂提供的。如VMware虚拟化管理平台VMwarevCenter、CitrixXenServer虚拟化管理平台XenCenter、Hyper-V虚拟化管理平台Azure,RedhatKTM管理平台redhat平台，管理平台开放必要的API接口。但是各个厂商均只能管理自己的Hypervisor,不能管理其它厂商的Hypervisor。台管理软件的优点是可以实现多家虚拟化平台的统一管理，但在.容灾方案说明1、第一步实现云数据中心存储级容灾系统，通过新购虚拟存储与生产中心同构或异构，通过光纤交换机构成一个基于存储区域网(SAN)的基础架构平台。不仅提供容灾系统使用，也是容灾中心的统同的原则进行存储设备的逻辑划分，每台存储设备分别连接到2台光纤交换机上，这久保证了存储设备在整个链路上冗余、不存在单点故在同城容灾方案中通过虚拟存储网关同步复制技术，由虚拟存储网关将生产中心的数据实时复制到容灾中心，确保生产中心的各种数据能同步复制到容灾中心的存储上。在两地三中心或两站地城际容灾方案中通过虚拟存储网关异步复制技术，准时将生产中心数据复制到容灾中心，灾难发生时仅涉及数十秒的数据丢失。可同时在容灾中心配置两台服务器，进行数据验证工作。利用虚拟存储网关快照功能对容灾中心的复制数据(只读)产生快照卷，挂载到验证服务器上进行访问验证。2、第二步实现云数据中心应用级容灾。在容灾中心配置相应的服务器池链接容灾存储。当灾难发生或进行灾难恢复演练时，停止容灾复制关系后，容灾中心服务器池的虚拟机可以访问容灾数据并接管生产。制定接管计划，包括人员支持，网络支持，恢复计划，演练计划等，建立完善的全人工干预接管机制。3、第三步结合云数据中心管理和业界自动化远程容灾软件实现高度自动化的容灾体系，争取实现数小时内的容灾接管能力。4.3.云计算管理平台云计算管理平台包括云资源管理平台、云连营管理平台、网络管理平台。云资源管理平台包括IT基础架构中的物理资源和虚拟资源的管理，其中虚拟计算资源的管理集成厂商的云数据中心；云运营管理平台含业务管理模块和运营管理模块。云计算管理平台总体架构如下：移动政务移动政务外网云计算管理平台运管平7营理台计费管理物理资源虚拟化台物理资源虚拟化X86服务防火墙防火墙信息化应用帐务管理云管理平台架构图4.3.1.云资源管理平台建设方案整个复杂的云计算架构中，必须通过一个强大的管理平台来实现对硬件资源的整合和虚拟化，对功能服务器的模板制作与部署，对云计算资源进行启动、停止、删除、回收等，对整个云计算平台运行性能进行实时监控和日志报告等功能，同时还实现用户交换接口，用户可以方便地登录到云计算平台，申请各种硬件资源和中间件资源，启动、停止自己功能服务器功能。这样打破了业务应用对资源的=独占的方式，实现硬件资源和软件资源的统一管理、统一分配、统一部署、统一监控和统一备份。考虑到中的3个区(专用网络区、公共网络区、互联网接入区)之间是通过MPLSVPN相关隔离，为了实现云计算平台对3个区的统一管理，我们建议将宿主机的管理口(统一设置宿主机上某一个单独物理网卡用于云计算管理平台对虚拟机的管理通讯)进行统一VLAN规划，通过此方式可以实现不同分区的虚拟机在同一个资源组中迁移和统一管理。云资源管理平台主要由以下两个模块组成：云资源管理系统云计资源管理人员资源管理人员维护网络IT维护人员计算资源池网络资源池虚拟化资源池理系统资源需求人员存储资源池云资源管理功能模块图.云资源管理系统云资源管理系统其通过虚拟化技术和基于策略的自动化管理技术，构成虚拟化资源池，实现对物理资源、虚拟资源的统一管理和分云资源管理系统架构需要实现功能：1、设备管理提供对物理设备的接入和管理功能，包括设备发现展示、配置部署、告警上报等。2、虚拟适配层提供对不同虚拟层(VMM)的适配、集成能力，如VMware、Xen、KVM、Hyper-V等，对上层屏蔽不同虚拟层差异，提供统一的虚拟化3、云适配层提供对不同云资源的适应能力，实现公有云和私有云资源的统一4、虚拟化资源池管理实现计算、存储和网络的虚拟化和资源统一管理。5、资源池调度提供资源动态分配，动态耗能管理、调度策略管理、资源池高可用性和备份恢复等功能。6、资源池服务对外提供基础资源池服务能力，如动态伸缩、负载均衡等。7、对外接口对外提供标准的接口和能力，供上层业务或解决方案集成。8、管理系统运资源池的统一管理维护功能，如用户管理、日志管理、告警和1、资源池统一管理和高效利用物理机、虚拟机统一管理和调度采用虚拟计划技术、分布式计算和存储等技术，实现资源的池化管理。云计算平台管理系统不仅能管理虚拟机，也能管理物理机，各种资源通过统一的对外接口进行管理和调度。203如司]□健康世⑧□速阳场 三资源池管理示意图1云资源云资源摘要染源组：虚拟机之间迁移资源组主机任务与事件资源池管理示意图2■动态节能云计算平台管理系统通过对业务忙闲交错和峰谷交错的特点分析，通过将闲的、处于低谷的业务进行迁移，从而清理出一些机器将其关闭，达到节能的效果。业务运行在时间分布上具有忙闲交错的特征，多个业务之间也存在峰谷交错的利用业务忙闲交错和峰谷交错的特点，通过将闲的以及处于谷底的业务进行迁移，从而腾出一些机器将其关闭，达到资源池管理示意图32、自动化部署能力■物理设备自动发现，即插即用物理设备从接入资源池到纳入资源池统一管理的过程自动化实现，将需要人工干预的工作降至最低。云管理系统云管理系统自动部署虚拟化系统新增单板自动在云管理系统中注册资源池自动发现物理设备自动化部署示意图1■系统软件和业务软件自动安装部署能力支持系统软件和业务的自动安装部署，包括部署设计、执行，软件源管理，镜像创建，镜像生命周期管理等。流程化的部署计划，支持部署模块和快速部署能力。在业务部署过程中，支持业务各网元亲和关系定义，避免将具有1+1、N+1等关系的网元部署在相同的物理设备上，进一步实现业务的高可靠部署。软件源管理，镜像创建，镜像生命周期管理。流程化的部署计划，支持模板和并行部署。提供二次开发能力，业务可定制部署脚本选择合理硬件部署。部署设计自动化部署示意图2■开放的接口和二次开发能力云计算平台管理系统的自动部署功能提供开放的二次开发接口，业务系统可以基于该接口制作符合业务要求的软件源和安装脚本，实现业务自动部署。3、资源池高可用性■虚拟机故障迁移当监控到某台虚拟机宕机时，自动将其迁移其它到其它物理机上■物理机故障迁移当整台物理机宕机时，自动将其上所有虚拟机迁移到其它借用的当监控到某台虚拟机宕机时，自动将其迁移其它到其它物理机上重新拉起当整台物理机宕机时，自动将其上所有虚拟机迁移到其它可用的物理主机上重新拉起■灵活的备份恢复a)备份范围：全备份(VM完整备份)、增量备份(仅备份上次备份以来发生变化的数据)云资源服务门户Portal是一套向内部虚拟化系统的自动化管理用的Web界面可实现依照策略自动化部署虚拟机(VM),简化虚拟机请求和审批流程，跟踪和控制虚拟机，其运营流程如下图所服务审批&监控(管理员查看资源信息访问资源⑥将资源信息通告给最终使用者访问资源①递交服务申请请求确认申请合法分配相关资源业务系统(按需计费)

用户角色MachineAtibutesHuberUnt41MachineAtvancedSpeca10NumberofMachnes&J101a)登录Web页面，请求虚拟机(可批量)并确定请求状态。b)查询所属的虚拟机，并进行基本控制(包括开机、关机、c)提交虚拟机服务器的扩容(如CPU、内存、磁盘)申请并RaquestsAccouCPUS[1]:Memory[15DMB];DkTyoefshareD×new-1new-1CPUs[17:Memory[15DME]:DType[shareDsk]chudcoputnnPartalConvrat4200-2010HiawaiTachnoloqosc,Ird.Alihtea)查看用户请求(包括新增虚拟机/变更虚拟机性能)的详细b)管理账号(可以便捷的增加用户和管理员的账号信息)。c)查看任一虚拟机运行状态

虚拟资源申请流程客户客户Portal管理者6资源开通成功通知图23:资源变更流程图最终用户(水利厅)在云计算平台上申请虚拟资源，虚拟资源包括：虚拟机配置及虚拟机数量；数据库类型及数据库存储空间大小、经信中心对最终用户(水利厅)提出资源申请进行审核。确认云计算境、网络互联环境、数据库环境。自动部署完成后，系统自动通过邮件或短信等其他方式通知最终用户(水利厅)。最终用户(水利厅)统(台风预测预报系统)上线的所有工作。布式的软、硬件体系结构以保证系统安全、业务管理工单管理帐务管理内部管理资源、事件及业务服务管理平台性能教据网络管理系统管理DB管理配直数据性能数据再件数据机房环境第三方软件应用管理自动化.业务管理模块务有各自的服务类别；套餐由产品组成；提供给用户={产品，服务，●支持添加、修改、删除服务：包括服务的名称，描述；●支持添加、修改、删除服务级别：包括服务级别的名称，描述状态等信息；●支持添加、修改、删除产品：选择相关的服务组合成为先的产品及其它的查询等管理功能；具体框架设计逻辑图如下图所示：服务1服务n图37:业务管理示意图框架设计逻辑图针对运业务实际情况，可以参考定义如下运营产品：1)虚拟主机出租各业务系统使用者依照系统对设备的需求，进行订购所需配置的虚拟机，并能通过互联网访问&使用订购的虚拟机，依照实际资源使用情况付费，使用者不需要对虚拟机进行日常维护，从而大幅度减低采购成本和维护成本和运营时成本。鉴于本项目资源供省直部门免费使用10年，有关计费部分暂无实际付费的要求，仅作统计参考，下可以以内部结算的方案，以租用虚拟机的时间进行收费，建议支计费类型计费单位说明包月元/月要的租用费用包季元/季需要的租用费用包年要的租用费用2)在线存储各业务系统使用者可以依照自身的业务需求，进行订购存储空间。通过Web方式将文件批量上传、下载文件。使用者还可以在线对microsoftoffice系列文档进行编辑，在线播放音频文件视频文件，在线预览图片。使用者可以在线维护管理存储空间。以租用在线存储空间的时间进行计费，建议支持三种形式：说明包月元/月要的租用费用需要的租用费用客户租用一年所需要的租用费用3)在线备份云计算平台还可提供数据在线备份功能，对于不在云中心运行的系统进行远程在线备份。各业务系统使用者将需要备份的数据依照客户定义的策略自动传输到远程云存储空间中。但灾难发生了，使用者可以从远程云存储空间中将指定备份时间点的备份数据下载到本地或者业务服务器进行还原恢复。以租用在线备份空间的时间进行计费，建议以下三种形式：说明包月元/月要的租用费用元/季需要的租用费用元/年要的租用费用.运营管理模块运营管理模块的功能应包括客户的基本信息管理，客户的订购关系管理(包括客户的计费管理),机房维护及OA管理，工单流程管理，●客户管理(客户/业务/合同/账户):为支持用户全年的财务管●机房维护及OA管理：为了更好的维护机房，本模块提供了对●工单流程管理：工单是驱动云计算平台业务部门和运维部分协问题咨询、故障处理等不同的工单类型来满足业务的开展需于客户、业务员、管理人员和运营人员全面了解的业务和资源运行情况；●系统管理(权限/配置/日志):系统提供详尽的日志记录，记录了所有的用户操作，设置登录，推出系统的信息。1)客户管理客户信息是云计算平台重要的财富。基于“三户“的设计原则，我们提供了对客户基本信息(客户)、客户的联系人(用户),客户的银行账户(账户)等信息的管理，在此基础上，还整合提供了客户的合同，客户订购的业务，客户占用的资源，客户的计费信息，客户的各类工单信息等。客户信息管理具体功能应包括：●添加、修改客户信息；●设定客户联系人；●设定客户地址；●设定客户的代理商；●为客户添加业务；●查看客户的业务信息；●添加、修改合同信息；●查看合同的业务和账户信息；●添加、修改账户信息；●查看账户的合同和联系人信息；●添加代理商信息；●查看代理商的客户信息；●同时，系统还提供了客户业务的查询统计，具体包括：●客户数量统计；●客户数量变化统计；●业务数量统计。2)业务管理云计算平台运营的主要是各类资源，资源包装为服务、产品和套餐之后再打包提供给客户，对云计算平台运营来说，客户的订购关系就是业务管理的核心。本系统通过业务发展点的概念，提供了无缝的业务扩展模式。从全省的角度来看，业务发展点可以理解为云计算平台在不同的地区设置的业务开展的窗口；各业务发展点业务开展，受上级业务发展点和顶级业务发展点的共同指导；支持代理模式/营业厅开展业务。如下图所本模块还应提供了对客户订购业务的计费管理，系统全面引入帐务管理功能，在资料上通过完善的数据保障帐务功能的实现，以产品一服务一服务级别一帐目这样的关系保障费率定义的灵活。系统的业务基础是服务，每种服务具有不同的帐目类型。系统型和使用费帐目类型。用户可以针对服务的不同级别定义不同的费3)机房维护及OA管理为了更好地维护云计算平台机房，同时为了更好地让相关的业务部门，运维部门更高效地开展工作，系统应提供值班管理、出入管理、会议管理、通信录管理、文档管理及公告管理、4)工单流程管理对业务流程的管理是业务管理系统的核心。通过流程管理，系统将其他的功能模块有机的结合起来，实现对云计算平台日常的运行维护的集成化管理。下图说明了在云计算平台的各业务流程中参与用户与流程之间的关系：否(客户签字)欠费停止服务或业务员业务员或营业前台业务成立?工单流程图借助工作流(电子工单)用户可以有效的联系各个部门，快速、高效的完成客户的业务请求。系统根据业务流程管理的实际需求，建5)统计与查询管理●设备使用情况统计：包括设备总数，设备空闲数，设备使用情况明细等，用户可以一目了然掌握资源使用情况；●高速，快捷的查询功能；●用户可以通过客户名称或者IP查询到客户业务资源使用情况，迅速定位客户的设备位置，配置等。6)系统管理对于不同的层次设置不同的用户角色，对于云计算业务管理机构来说有以下角色：管理员：负责在系统中处理所有与商务相关的操作，包括设置费率、创建用户等。管理员相当于操作系统系统中的超级用户，一般用于实施系统和紧急维护时使用，在日常工作中不推荐使用。业务员：负责推广和销售云计算平台平台，发展和维护客户云计算平台负责人：可以查看运维、销售和财务的所有信息。负责对业务员的绩效考核。财务人员：负责核对业务销售金额、财务登帐、收费、销帐等财务相关操作。机房运营人员：负责实现所有业务和业务运维。运维负责人：负责查看和监视运维任务的执行，当业务流程中断时可以重新指定运维业务执行人。.业务运营门户云计算平台运营门户是为客户提供统一服务的在线平台，在此平台上，可以进行各类服务的在线自服务，以及所订购业务的在线监控。为客户提供一个统一的在线的服务体验。具体的功能介绍如1)产品及增值服务订购云计算平台的产品主要可分为基础产品和增值产品，结合在线的门户，可以进行一些适合在线运营的产品的在线订购，通过在线的业务预受理，客户申请相关产品后将自动通过工单系统流转给相2)在线服务支持本模块主要为客户(使用者)提供各类服务的在线支持，如问题咨询，进出机房申请，报障，服务预约，管理员公告等。3)业务在线监控业务在线监控模块主要提供给客户监控自己所订购业务对对应的各类资源的运行情况及统计分析，包括基本信息，进程、存储、4.4.云计算安全防护方案4.4.1.云计算平台安全威胁在云计算平台的建设上，云安全成为了众人关注的焦点，也是企业部署云技术时候最关心的问题。要解决安全问题，应该先正确基于边界的安全隔离与访问控制是传统安全防护的重要原则，很大程度上依赖于各区域之间明显清晰的区域边界，强调的是针对不同的安全区域设置有差异化的安全防护策略；在云计算环境下，基础网络架构统一化，存储和计算资源高度整合，传统的安全设备2、虚拟化服务的安全问题“计算机科学中的任何问题都可以通过增加一层映射而解决”,按照这种思路，当前计算机系统的许多问题可以通过计算机系统的虚拟化而解决。同时，虚拟化作为云计算平台的关键技术，基于存储资源和服务器资源的高度整合，其自身的可扩展性能够极大地拓展基础设施和软件平台层面提供云服务的能力。在这种情况下，如何应对云计算平台基础网络架构、数据存储和应用服务的虚拟化交付，对安全设备的设计构建和安装部署提出了更高的技术要3、数据集中后的安全问题一是传统的网络中各种应用服务的标准流量和突发流量有迹可循，流量模型设计相对较为规范、简单，对安全设备的处理能力没有太高的要求。而在云计算环境下，同类型存储或者应用服务器的规模增长迅猛，动辄以万为单位进行扩展，并且不能分而治之，必须依托统一架构的基础网络来承载。与传统网络环境相比，这就对处理、网络传输等都与云计算系统有关。如何避免多用户共存带来的潜在风险；如何保证云服务的身份鉴别、认证管理和访问控制等安全机制符合用户的需求，并能够实施有效的安全审计，这些都成4、稳定性和可靠性问题一是云计算环境下，用户的数据和业务应用流程等均依赖于云计算所提供的虚拟化服务，这必然对云计算服务的稳定性、安全策略部署、容灾恢复能力和事件处理审计等提出了更高更进一步的需求。二是用户、信息资源的高度集中，相对传统的网络平台更加容易成为网络攻击的目标，因各类恶意代码、黑客程序、病毒木马等4.4.2.云计算平台安全防护目标为确保单位信息的机密性、完整性、可用性、可控性与可审查达到如下目标：一一合理管理和分配网络资源，防止滥用网络资源导致网络瘫一一抵御病毒、恶意代码等对信息系统发起的恶意破坏和攻击，保障网络系统硬件、软件稳定运行；一一保护重要数据的存储与传输安全，防止和防范数据被篡改，建立数据备份机制和提高容灾能力；一一加强对重要敏感数据信息的保护，确保数据的机密性；一一构建统一的安全管理与监控机制，统一配置、调控整个网络多层面、分布式的安全问题，提高安全预警能力，加强安全应急事件的处理能力，实现网络与信息安全的可控性；一一建立认证体系保障网络行为的真实可信以及可审查性，并建立基于角色的访问控制机制。4.4.3.云计算平台安全架构IaaS是所有云服务的基础，PaaS建立在IaaS之上，而SaaS又建立在PaaS之上；在不同云服务模型中，提供商和用户的安全职责有着很大的不同。具体来说，IaaS提供商负责解决物理安全、环境安全和虚拟化安全这些安全控制，而用户则负责与IT系统(事件〉相关的安全控制、包括操作系统、应用和数据；PaaS提供商负责物理安全、环境安全、虚拟化安全和操作系统等的安全，而用户则负本项目重点建设IaaS层云服务。层安全，主要包括物理与1)机房环境安全物理与环境安全，是指保护云计算平台免遭地震、水灾、火灾等事故以及人为行为导致的破坏。主要措施包括物理位置的正防尘、防电磁干扰等。云计算平台建