《云平台规划方案.docx》由会员分享,可在线阅读,更多相关《云平台规划方案.docx(34页珍藏版)》请在三一办公上搜索。
1、云平台规划方案Lele was written in 2021目录方案整体规划1-1整体拓扑方案划分为五个功能区:线路接入区:包含互联网线路,市局、各委办局、采集点等专线接入网络纵深防御区:包含各种网络安全、审计设备,符合等保3级规范要核心交换区:包含万兆核心交换集群及汇聚交换设备 网管、客服区:包含网管平台及客户终端 计算、存储区:包含云计算机平台和分布式存储系统。1.2设计依据传统计算中心观念是根据功能需求的变化实现对应的硬件功能盒子 堆砌而构建的,这非常类似于传统软件开发的组件堆砌,被已经证明为 是一种较低效率的资源调用方式,而如果能够将整个网络的构建看成是 由封装完好、相互耦合松散、但
2、能够被标准化和统一调度的“服务”组 成,那么业务层面的变更、物理资源的复用都将是轻而易举的事情。因 此提出支撑业务运行的底层基础设施也应当向“面向服务”的设计思想 转变,构造“面向服务的数据中心(Service Oriented Data Center SODC)。具体而言SODC,应形成这样的资源调用方式:底层资源对于上层应用 就像由服务构成的“资源池”,需要什么服务就自动的会由网络调用相 关物理资源来实现,管理员和业务用户不需要或几乎可以看不见物理设 备的相互架构关系以及具体存在方式。SODC的框架原型如下所示:在图中,隔在基础架构和用户之间的“交互服务层”实现了向上提 供服务、向下屏蔽复
3、杂的物理结构的作用,使得网络使用者看到的网络 不是由复杂的基础物理功能实体构成的,而是一个个智能服务一一安全 服务、移动服务、计算弹性服务、分布式存储服务等,至于这些服务是 由哪些实际存在的物理资源所提供,管理员和上层业务都无需关心,交 互服务层解决了一切资源的调度和高效复用问题。SODC构成的数据中心IT架构必将是整个数据中心未来发展的趋势, 虽然实现真正理想的SODC融合的架构将是一个长期的历程,但在向该融 合框架迈进的每一步实际上都将会形成对网络灵活性、网络维护、资源 利用效率、投资效益等方面的巨大改善。因此本次数据中心的建设规 划,要求尽可能的遵循如上所述的新一代面向服务的数据中心设计
4、框 架。在基于SODC的设计框架下,规划的新一代数据中心应实现如下设计 原则:简化管理:使上层业务的变更作用于物理设施的复杂度降低,能够最低限度的 减少了物理资源的直接调度,使维护管理的难度和成本大大降低。高效复用:使得物理资源可以按需调度,横向无限扩展,物理资源得以最大限 度的重用,减少建设成本,提高使用效率。即能够实现总硬件资源占用 量降低了,而每个业务得到的服务反而更有充分的资源保证了。策略一致:降低具体设备个体的策略复杂性,最大程度的在设备层面以上建立 统一、抽象的服务,每一个被充分抽象的服务都按找上层调用的目标进 行统一。13方案描述SODC架构是一种资源调度的全新方式,资源被调用方
5、式是面向服务 而非像以前一样面向复杂的物理底层设施进行设计的,而其中交互服务 层是基于服务调用的关键环节。网络整合SODC要求将数据中心所需的各种资源实现基于网络的整合,这是后 续上层业务能看到底层网络提供各类SODC服务的基础。数据中心网络所必须提供的资源包括:智能业务网络所必须的智能功能,比如高可靠性、多台交换设备虚 机化、安全访问控制、设备智能管理等等;统一整合数据中心的三大资源网络:高性能计算网络;存储交换网 络;数据应用网络。这三类资源的整合将是检验新一代数据中心网络 SODC能力的重要标准。因此本方案中的“核心交换区“是由两台高端核心交换设备,虚机 为一台交换设备,统一对外提供数据
6、交换、存储交换接入能力。计算、存储整合SODC要求将数据中心所需的各种计算、存储实现统一整合和交付, 上层业务不需考虑底层计算资源和存储资源的物理结构。只需根据业务 系统划拨使用,底层计算和存储动态实现资源按需使用,动态扩展,数 据安全等。本方案中的“计算、存储区“是由统一整合计算和存储的云平台来 实现,云平台由多台高端定制化的硬件服务器配合云系统来实现:集中管理:云平台提供了集中管理能力,从而对计算、存储资源的统一化及动态化分配和管理。高度可扩展能力:提供了真正意义上的水平扩展能力,没有中心节 点,集群的规模可以以数千台服务器为单位。可以按需增加计算资源 和存储资源,单个云平台可以管理到超过
7、6万台虚机,从而满足各种 规模中心发展的需要。最可靠的平台:云平台从底层就提供了数据的多副本,当服务器出现硬件故障时,云平台可以将该服务器上的负载自动迁移到其他可用的服务器上,保障应用负载在硬件失败时自动恢复。平台内部的物理网络都是双冗余配置,以确保物理网络连接的高可用。云计算平台还使 用SDN等网络虚拟化技术,构建高可用的虚拟用户网络。云平台通过 使用分布式文件系统,构建统一的存储池,提供包括实时异地多副本 和硬盘快照等功能,保证用户数据的安全可靠。在应用服务方面, 云平台提供虚拟的负载均衡器。负载均衡器把用户请求转发到多台应 用服务器上,一旦某台应用服务器失败,负载均衡器可以把失败的 应用
8、服务器隔离,但对用户请求仍然可以由其他的应用服务器提 供。达到高可用性、负载平衡的运行环境。动态资源调整:云平台的计算、存储、网络等资源的物理位置及底层 的基础架构对于用户来说是透明和不相关的。通过虚拟化技术可以 实现硬件资源的整合池化, 云平台所分配的计算、存储和网络资源 都可以根据需要动态地调整,从而达到整个云计算平台资源的平衡, 最合理地利用硬件计算资源,提高IT资源的整体使用率。易用性:云平台提供了一个统一的、易用的访问门户以及手机客户 端,用户在云平台上申请自己所需的服务(功能)与所需的硬件资 源。直观的访问界面和操作提示减少用户培训时间,减少了二次学习 时间。安全的平台:云平台从多
9、角度提供了数据安全,不仅是私有 网络的二层隔离,角色授权、操作日志、访问日志等机制全方位保护 云平台的安全性。更和业界领先的云安全厂商合作,整合更专业的安 全组件。网络部分规划21网络拓扑嗪心交免集群核心交换集群:采用两台高端交换设备进行虚机化集群,由两台交 换机虚机为一台高性能、高可用性、高负载能力交换机对象,提供万兆 网络和存储接入服务。汇聚交换机和云平台节点服务器均使用10G光纤 链接核心交换集群。22设计依据数据中心的设计需要综合考虑客户需求和技术成熟度(包括网络技 术,节能技术和行业标准等)因素。客户需求数据中心的客户需求包括客户的业务战略需求,应用部署需求,网 络管理需求和成本需求
10、等多方面。 业务战略需求:包含客户业务发展战略对数据中心网络 的需求,如未来几年内随着业务发展,对网络的容量、 性能及功能产生的新需求。应用部署需求:包含应用软件系统、服务器和存储设备 对网络性能和功能的需求。网络管理需求:数据中心网络除了支持自身的管理外, 还是服务器、存储盘阵和其他应用系统的管理运行平 台。各系统的日常管理、控制指令都需要通过网络提供 的管理平台发布和执行。成本需求:数据中心网络规划应充分考虑机房环境,投 资回报和维护成本问题。在综合布线,供电和制冷规划 时参照绿色节能的理念,降低数据中心整体能耗,提高 能源效率。技术趋势近两年随着数据中心的大规模建设,数据中心网络技术快速
11、发展。下图为目前数据中心设计技术发展趋势。网络性能有限网络能力高性能高性能,高密度收敛比较高-适中适中较低-无阻塞环路范围xSTP技术破坏无环无环数据中心规模中小中大超大整合阶段虚拟化阶段云计算阶段/挑战设计趋势性能与容量快网络业务策略固定,无迁移少量迁移虚拟交换和迁移自动化IT资源调度方 式手动维护统一维护IT资源部署物理划分逻辑划分多租户、按需存储、计算、数据网络融合分层独立,无融合分区划分,局部融合融合网络网络资源共享业务独立,无共享一虚多,多虚一共享全面共享,、速增长/高性能IT资源网络匚虚拟化/虚拟化网络资源整合网络业务管理IT&IP业务分别管理IT&IP业务统一管理统一运维,智能化
12、能耗管理弱较强强L 与共享 j融合运维管理统一I 复杂 】运维数据中心网络所处的整合、虚拟化和云计算三个阶段相互区别,但 并非简单换代关系。整合阶段:本阶段偏重资源整合,网络性能要求低,业 务分区物理独立,业务较固定。虚拟化阶段:该阶段的网络设计承前启后,能够提供较 好的业务灵活性,使传统数据中心结构得以延续。云计算阶段:该阶段数据中心的网络设计要求资源能够 灵活调度,性能高,物理和逻辑分区界限模糊化且资源 灵活按需使用。数据中心网络规划设计应该以现有网络架构为基础采用阶段化策 略,逐步建立稳健、可持续运行的网络架构。数据中心网络设计人员还 需要考虑以下几个要素:数据中心机房的物理布局:包括基
13、础设施配备限制,物 理空间使用,机房部署和布线空间等制约条件。数据中心现有网络的现状:通常现有的网络是根据实际 情况发展出来的,必须对网络现状进行具体分析,才能 设计规划出适合的数据中心网络。如某些专有系统对网 络有特殊要求,数据中心网络必须满足,有些系统运行 管理流程的要求,数据中心网络也必须满足。数据中心的行业标准:设计数据中心网络时必须支持相关的行业标准,如TIA942布线标准、IEEE的各种接口标 准,网络距离限制都需要尽量满足,以适应未来数据中 心的运行管理和业务扩展。设计原则数据中心网络设计遵循以下设计原则:发展阶段目前的建设阶段为“云平台”建设。模块化考虑到业务的调整及发展,网络
14、结构和系统结构设计模块 化、易于扩展。高可靠网络设计中采用冗余网络设计,实现关键设备、链路冗余;关键设备选用高可靠性产品,可实现单板、模块热拔 插、控制模块设计冗余、电源冗余;减少网络层级,简化 网络结构,从网络架构上提高可靠性。安全隔离数据中心网络应具备有效的安全控制。按业务、按权限进 行分区逻辑隔离,对特别重要的业务采取物理隔离。以服务器为中心的业务、IP存储备份、管理网络等多个网络进行逻辑隔离,管理网络采取物理隔离。可管理性和可维护性网络应当具有良好的可管理性。为了便于维护,应尽可能选取集成度高、模块可通用的产品。2.3方案描述2.3.1 物理交换网核心交换集群:采用两台高端交换设备进行
15、虚机化集群,由两台交 换机虚机为一台高性能、高可用性、高负载能力交换机对象,提供万兆 网络和存储接入服务。汇聚交换机和云平台节点服务器均使用10G光纤 链接核心交换集群。2.3.2 云平台虚机网络网络虚拟化以软件方式完整再现了物理网络。虚拟网络不仅可以提 供与物理网络相同的功能特性和性能保证,而且还具有虚拟化的运维优 势和硬件独立性,包括快速调配、无中断部署、自动维护等。网络虚拟 化将逻辑网络连接设备和服务(逻辑端口、交换机、路由器、防火墙、 负载平衡器和VPN等)提供给已连接的工作负载。应用在虚拟网络上的 运行与在物理网络上完全相同。使用SDN技术,实现网络控制平面和转 发平面的分离,由此提
16、供更友善、更强大的网络配置和控制能力。云平台通过网络软件定义(SDN)技术实现虚拟网络的编程控制和网络功能虚拟化(NFV)。云平台提供了两种组网方式:基础网络和私有网 络。前者是一个由QCMS维护的全局网络,后者是基于VXLAN协议由用户 自行管理和定义的网络。2.3.2.1私有网络虚拟私有网络(VPC)是云平台环境内可以为用户预配置出的一个专属 的大型网络。在VPC网络内,您可以自定义IP地址范围、创建子网,并 在子网内创建主机/数据库/大数据等各种云资源。私有网络之间是100% 隔离的,以满足对安全的100%追求。私有网络类似物理世界中使用虚拟交换机(L2 Switch)将多台服务 器连接
17、在一起,组成的局域网。虚拟路由器用于多个受管私有网络之间 互联,并提供多项附加功能:DHCP、端口转发、VPN、隧道服务和访问控 制,涵盖了常用的网络配置与管理工作。当用户使用多台主机工作时, 通常会让不同功能的主机分布在不同的子网里,例如:Web服务器和DB 服务器因为访问要求的不同而被分配在不同的子网里。提供的私有网络 功能帮助用户轻松完成组网工作,针对上述案例,只需将Web服务的主 机和DB服务的主机放置在不同的私有网络里即可。私有网络的节点通讯从传统树形结构变成网状结构,所有节点之间 进行点对点直接通讯,提高了节点间通讯的性能。私有网络之间的通讯 不在依赖单个虚拟路由器,而是通过分布式
18、网关实现。提高了私有网络 之间通讯的效率,也提高了单个路由器可以接驳的私有网络数目。一个私有网络可以连接254个子网(Vxnet),且最多可以容纳 60,000台虚拟主机。通过分布式路由器和虚拟直连技术,云平台的VPC 网络可以在大规模部署的情况下,保障网络集群的高性能和高可用。VPC 网络也可以实现和公网Internet的高效互通,任意一台VPC网络管理的 主机都可以直接绑定EIP;同时,负载均衡器也可以直接连接VPC网络内 的主机。在VPC网络里,管理路由器只负责VPN/隧道/DNS/端口转发等管理功 能,以及这些管理流量的转发和路由,不再处理子网之间的转发流量。 VPC网络内的主机可以绑
19、定自己的EIP;设置专属的防火墙,这些IP、防 火墙与管理路由器之间没有隶属关系。2.3.2.2 自管网络如果云提供的路由器功能无法满足您对网络管理的需求,您可以创 建自管私有网络,以自行配置和管理该网络。一个云主机可以加入多个自管网络,每个自管网络对应云主机的一块虚拟网卡:此服务器加入了一个至曾 网露VKMt- us 02xpk 以及另外三个目管网晤从操作系统角度可以看到系统有4个网卡,eth0对应到受管网络, eth13对应到3个自管网络smn1,smn3和smn2。手工可以修改自管网络 的网络配置。如eth1被修改为。eUiG Link tnuap :EHituicl HUoddr 52
20、 ;U4:61 :73 ;Gc: JOiret 品亦:19W 16R 03 FmN : 192 一1陶 一。一2弦 H日kk :2SS 2SS 2SS Lret6 addr: fe60:5054:61ff:fe?E:6e3Gz64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:! RX pdLkels :3L5 errui-s: 0 drupped :0 uvtirriLns:。frFitli? Link pinnflp :Et.liprnRt HLWMr F? :F4:1r :dr :4?: 1fi tit LG dddr
21、 : feOO: : 5054 : deff :fedc : J?irz64 Suujjt :LikkkIIF BROADCAST Bl INN I NG MULTICAST HTU:1500 Metric:!RX pachtl tibiburs;0 tlibupje(l ;0 uimruu伐:8TX pscl KB)etli3 Link ercap :Etliernet HUaddr 52 :54:3a :fc :c5:d5iret6 addr : f e60: : 5054 : 3af f :f ef c : c5d5z64 3cof)e;Liiik UP BROADCAST RUNNIN
22、G MULTICAST MTU:1500 Metric!RX packets:0 errors:0 dropped:0 ouerruns:0 frane:0TX packets :221 errors:G dropped :0 uerrims carrier :Gcoll is ions :U tMqueuelein :100GRX bytes:0 (&.G B) TX bytes:11522 (41.9 KB)此时如有其它云主机也加入到smn1自管网络且设置ip到同一个网 络,则两个云主机可以相互ping通。2.3.2.3网络功能虚拟化通过软件定义网络实现了网络功能虚拟化,提供了虚拟负载均衡
23、、 虚拟防火墙功能。虚拟负载均衡器可以将来自多个EIP地址的访问流量分发到多台主 机上,并支持自动检测并隔离不可用的主机,从而提高业务的服务能力 和可用性。同时,你还可以随时通过添加或删减主机来调整你的服务能 力,而且这些操作不会影响业务的正常访问。负载均衡器支持 HTTP/HTTPS/TCP三种监听模式,并支持透明代理,可以让后端主机不做 任何更改,直接获取客户端真实IP。另外,负载均衡器还支持灵活配置 多种转发策略,实现高级的自定义转发控制功能。同时,提供的虚拟防火墙来保护网络的访问。云的虚拟防火墙采用 的是分布式防火墙技术,就是利用每个计算节点物理主机的IPTABLES, 把所有计算节点
24、组成了一个分布式的防火墙。为每个用户提供了一个缺 省防火墙,我们也可以自建更多的防火墙。不同的云服务器可以被设置 不同的防火墙策略。=规则 同廿十国建f-版驰改下行现则:加呈.由廿尹*SS:TCPttO5 f5554/9996孰旧布随的缺口 .可曜祯IDC展,为呆I鱼鄙E*访问,剧她用其他雄口.帝汶翔魄口SSSWC (?)iffilRQ1ICMPJEchoEctia requesti朗J 口弟容:,W=1:*,W制一2TCPeoAPP1-S-SH2TCP22IF峰*台邛门二宁石币FT上行规则魏福涕祯醐更.为朗主全,1怕F吠钊由t司定的Wnih略主机EW屁刑了几正上行肪出堵阙则.古看洋慎 名称
25、HiStSfi 7 碱 行为 踞昔口 (7KB:口 (?)目K1P择作2.3.2.4 物理组网由于不仅需要支持虚拟机之间高速的通信,还要支撑完成多份实时 副本的工作,为保证整个平台的性能,我们规划云平台的支撑网络应该 规划为万兆(10Gb/s)网络,。在云计算管理平台对于网络设备的使用都只当为二层(链路层)设 备来使用,物理网络设备只是解决连通性问题,无需使用任何三层(网 络层)的协议。这样的好处是在确保性能最优的前提下,无需复杂的配 置,无论是工程实施,还是后期维护,工作量都大大减少了;同时系统 的构建不用依赖任何厂家的网络产品,再也没有厂商锁定的困扰。计算及存储规划3.1平台拓扑整个云平台
26、由:控制节点、对象存储网关节点、计算、分布式存储节点、对象存储节点构成。3.2设计依据从技术架构来看,云计算出现之前的数据中心大多采用“竖井式”的 应用开发部署方式,无论是机房基础设施,还是网络资源、存储资源、 计算资源等都采用专业化维度的部署管理,对于应用软件投产、数据分 布及备份采用按应用系统“一事一议”的方式部署。这种各个系统部 件、应用紧耦合的维护、变更模式流程较为复杂。数据中心普遍通过在 ServiceDesk中采用专门的变更、问题流程管理功能协调各专业部门的工 作流。随着业务的发展,数据中心在一定程度上出现了 IT资源局部富余 但整体紧张的现象。数据中心为了更好的管理既有业务系统,
27、同时提升IT系统的运行效 率,规划采用云数据中心方式对业务系统提供统一的IT能力服务平台。另一方面,考虑到数据中心未来长期的云计算平台建设策略,建议规划整体的云计算建设路线图,并对当前的基础架构云进行详细设计。云数据中心平台的建设,应该考虑到的设计原则为:可管理性原则系统架构中应提供集成、统一的软硬件管理功能,满足各种日常的管理需求,适应新一代数据中心管理快捷、方便的特点开放性原则架构必须能够满足自身的稳定性,同时具有集成的异构兼容性,在满足新的业务需求同时不需要对架构进行重新设计或对现有架构重大修改。可扩展性原则可扩展性是指未来应用系统的业务量增加时,资源能够自动扩展以适应更多用户、更多的业
28、务处理及存储能力。安全性原则系统架构必须是能够提供认证、访问控制能力的环境,以确保业务关键信息的完整性、保密性。适度性原则结合自身需求,资源以满足目前要求为基准,并适度前瞻。持续性原则IT架构设计应该具有持续性,满足目前要求并可持续扩展,持续优化。33方案描述云计算平台的建设是分阶段、分步来实施的,并且伴随业务访问量 和对存储空间、存储性能的要求,还可对本项目云平台进行水平扩展, 本项目规划由:控制节点、对象存储网关节点、计算分布式存储节点、 对象存储节点构成。本次数据中心的基础架构云的建设可达成以下预期 目标:3.3.1 弹性与自动化的基础设施通过建设软件定义的数据中心,实现能以按需方式,通
29、过网络,方 便的访问数据中心的可配置计算资源共享池(比如:网络,服务器,存 储,应用程序和服务)。同时以最少的管理开销,完成自动化迅速配置 提供或释放资源,应对不确定以及海量的访问压力时提供足够的计算资 源。3.3.2 按需服务,平台交付统一便捷的服务提供能力与集成能力,为资源使用者提供标准化的 服务目录与资源申请、管理平台,使其可以方便的连接到云计算平台, 申请所需服务与资源,并便捷的进行管理。降低对于人工配置和流程的 依赖,在满足总体管理需求的前提下提升服务水平。3.3.3 敏捷的IT服务水平不仅满足服务器资源池化的需求,同时对存储、网络、数据库、缓 存等关键组件都实现软件定义和标准的服务
30、提供能力,将物理资源转化 为逻辑资源,利用模版化、API、秒级交付、批量构建等手段,加速IT 资源的供给速度,提高服务水平。3.3.4 简化管理,智能统一运维通过云计算管理平台,实现对资源的统一化及动态化分配和管理。将多组服务器、网络和存储通过软件定义技术,将其作为一个超大规模 的集群进行统一管理,可以对其进行资源的动态分配和调整及回收,提 高管理效率,并通过安全设置可以保证虚拟资源的安全性和独立性。3.3.5 硬件故障无害化,保障业务连续通过其高可用设计,可以实现最可靠的运算平台。将任何一台服务 器的失败,云计算管理平台都可以自动发现,并把失败的服务器从可 用服务器列表中剔除,从而保证任意时
31、间用户请求的计算资源都是建立 的可用的服务器之上。同时,将该服务器上的负载自动迁移到其他可用 的服务器上,保障应用负载在硬件失败时自动恢复。同时方案提供各种应用、数据的备份机制(高连续性服务),可实 现应用层面的多节点负载、快照、HA,数据节点的3副本的备份机制, 提供多种安全保障功能,解决业务的意外中断和数据丢失困扰。同时实现网络的冗余配置,以确保物理网络连接的高可用。使用SDN 等网络虚拟化技术,构建高可用的虚拟用户网络。使用分布式文件系 统,构建统一的存储池,提供包括实时异地多副本和硬盘快照等功能, 保证用户数据的安全可靠。在应用服务方面,提供虚拟的负载均衡 器,把用户请求转发到多台不同
32、物理宿主的应用服务器上,一旦某台应 用服务器失败,负载均衡器可以把失败的应用服务器隔离,但对用户来讲,其请求仍然可以由其他的应用服务器提供。达到高可用性、负载 平衡的运行环境,保障业务连续。3.3.6计算虚拟化需求计算虚拟化是指通过虚拟化技术将一台物理计算机虚拟为多台逻辑 计算机。在一台物理计算机上同时运行多个逻辑计算机,每个逻辑计算 机可运行不同的操作系统,并且应用程序都可以在相互独立的空间内运 行而互不影响,从而显着提高计算机的工作效率。虚拟化使用软件的方法重新定义划分IT资源,可以实现IT资源的 动态分配、灵活调度、跨域共享,提高IT资源利用率,使IT资源能够 真正成为社会基础设施,服务
33、于各行各业中灵活多变的应用需求。计算虚拟化的功能及技术需求如下:-采用目前主流的KVM全虚拟化技术,应支持不重启主机动态升级KVM版本;-支持计算资源虚拟化,形成分布式计算资源池。虚拟化效率不小 于-支持计算设备“一虚多”。同一台物理主机上同时支持多种操作系 统,或是相同操作系统的不同版本。分区与分区之间相互独立, 互不影响;-支持资源的动态调配与弹性可伸缩。资源池具备各级资源的按需获 取功能,提高资源消费者的可用性、容错与扩展能力。资源响应 的速度应达到秒级。-支持虚拟机的在线和离线迁移;支持虚拟机系统自动批量部署,一次同时部署的规模能达到200台虚拟机。3.3.7分布式存储分布式存储系统,
34、是将数据分散存储在多台独立的设备上。传统的 网络存储系统采用集中的存储服务器存放所有数据,存储服务器成为系 统性能的瓶颈,也是可靠性和安全性的焦点,不能满足大规模存储应用 的需要。分布式网络存储系统采用可扩展的系统结构,利用多台存储服 务器分担存储负荷,它不但提高了系统的可靠性、可用性和存取效率, 还易于扩展。分布式存储系统不仅为虚拟主机提供块存储也为对象存储提供存储 能力。同时分布式存储系统提供数据的多(3)个实时副本,保证用户数 据的安全。分布式存储系统的功能及技术需求如下:支持增量扩容和自动数据平衡能力,允许用户定制数据分布 策略;架构避免固定的集中控制点,且各节点能自动进行故障监 测、
35、切换以及数据迁移;具备高可扩展性,可支持上亿个文件和PB以上量级的文件 存储;支持不重启系统,增加物理服务器后自动扩容;在不依赖SAN&NAS等特殊硬件设备的条件下,提供高可用性 和高可靠性;提供至少3份数据实时副本,且保证至少有一份跨机架的数 据副本;服务可用性要高于%;数据可靠性要高于;基于SAS硬盘的虚拟存储IO性能不小于120MB/s,基于SSD硬盘的虚拟存储IO性能不小于300MB/s。应采用Shared-nothing架构设计,支持1万以上用户并发读写,支持1000台以上物理服务器集群。3.3.8网络虚拟化(SDN)网络虚拟化完整再现了物理网络。虚拟网络不仅可以提供与物理网 络相同
36、的功能特性和性能保证,而且还具有虚拟化的运维优势和硬件独 立性,包括快速调配、无中断部署、自动维护等。网络虚拟化将逻辑网 络连接设备和服务(逻辑端口、交换机、路由器、防火墙、负载平衡器 和VPN等)提供给已连接的工作负载。应用在虚拟网络上的运行与在物 理网络上完全相同。使用SDN技术,实现网络控制平面和转发平面的分 离,由此提供更友善、更强大的网络配置和控制能力。网络虚拟化和SDN的功能及技术需求如下:采用软件+硬件方式,通过软硬件集成实现SDN,灵活调度与管理虚拟网络,并实现已应用为中心的基础架构;通过SDN技术实现网络虚拟化,构建网络资源池;支持虚拟私有网络,私有网络间要100%二层网络隔
37、离,支持不同用户自由使用网络资源;支持虚拟路由器,虚拟交换机,虚拟防火墙,虚拟负载均衡器,可以按需配置网络逻辑拓扑;通过SDN实现DHCP,端口转发,隧道服务,VPN接入服务和过滤控制服务;支持通过SDN功能实现机房间通过网络安全隧道(IP-Sec) 联通。4网络安全规划4.1方案目标充分解读网络安全等级保护相关政策和标准,全面提升网络安全防 护能力,应对新威胁、新应用下的安全威胁,利用云端安全服务、云防 护的创新技术理念与技术落地,实现对网络安全的智能统一管理,并达 到国家网络安全等级保护的相关标准与要求。4.2设计依据中办200327号文件国家信息化领导小组关于加强信息安全保 障工作的意见
38、四部委于2004年9月15日发布公通字200466号信息安全等 级保护工作的实施意见四部委2007年06月17日发布(2007)公通字43号信息安全 等级保护管理办法GB/T信息安全技术信息安全等级保护基本要求第1部分:安全通用要求GB/T信息安全技术信息安全等级保护基本要求第2部分:云计算安全扩展要求GB/T 31167-2014信息安全技术云计算服务安全指南GB/T 31168-2014信息安全技术云计算服务安全能力要求4.3等保要求对标新等保的第三级安全通用要求。“物理和环境要求”不在本方案的撰写范畴。网络和通信安全网络架构链路负载防火墙数据库审计运维审计堡垒机WEB防火墙漏洞扫描抗DD
39、OS攻击通信传输防火墙边界防护防火墙运维审计堡垒机访问控制防火墙入侵防范IPS数据库审计WEB防火墙抗DDOS攻击恶意代码防范防火墙防病毒网关安全审计防火墙数据库审计运维审计堡垒机日志审计WEB防火墙漏洞扫描抗DDOS攻击集中管控防火墙漏洞扫描抗DDOS攻击设备和计算安全身份鉴别防火墙虚拟化安全数据库审计运维审计堡垒机WEB防火墙抗DDOS攻击访问控制防火墙虚拟化安全数据库审计运维审计堡垒机WEB防火墙漏洞扫描虚拟化安全数据库审计运维审计日志审计WEB防火墙漏洞扫描抗DDOS攻击入侵防范虚拟化安全WEB防火墙抗DDOS攻击恶意代码防范虚拟化安全虚拟化安全数据库审计运维审计堡垒机WEB防火墙抗D
40、DOS攻击应用和数据安全身份鉴别数据库审计运维审计堡垒机数据库审计运维审计堡垒机WEB防火墙数据库审计运维审计堡垒机日志审计软件容错数据库审计运维审计堡垒机WEB防火墙资源控制数据库审计运维审计堡垒机数据备份恢复数据库审计运维审计堡垒机WEB防火墙个人信息保护数据库审计运维审计堡垒机安全运维管理漏洞和风险管理漏洞扫描4.4方案拓扑45功能描述产品名称产品描述产品形态数量单位场景及配 件选型链路负载集多线路智能选路和多 链路相互备份,保障网 络连通硬件2网络和通 信安全虚拟化安 全提供针对虚拟化平台的 一站式的包含防病毒、 IPS、WEBSHELL、主机防 火墙的防护。软件1应用和数 据安全+设
41、 备和计算 安全抗 DDOS抗拒绝服务攻击系统支 持多维度的数据分析功 能,提供基于攻击主 机、攻击类型、流量分 析、性能分析、连接分2网络和通 信安全析、数据报文捕捉等多 种数据分析。智慧防火 墙为各行业网络出口打造 的“云+端+边界+联动” 下一代安全防御体系硬件2网络和通 信安全+设 备和计算 安全WEB防火 墙利用大数据分析技术, 提升用户“精准发现” 其网络中威胁的能力, 需捆绑安服销售硬件2网络和通 信安全VPN满足网外用户的远程接 入硬件1网络和通 信安全IPS检测到对重要节点进行 入侵的行为,并在发生 严重入侵事件时提供报 警硬件2网络和通 信安全+设 备和计算 安全数据库审
42、计从保障数据库应用安全 的角度进行设计,以网 络数据捕获能力、数据 库协议解析、事件关联 分析为基础,可以精准 识别数据库操作以及采 取各种响应行为硬件1应用和数 据安全+设 备和计算 安全运维审计堡垒系统基于软硬件一体化设 计,集账号、认证、授 权、审计为一体的设计 理念,实现对事企业IT 中心的网络设备、数据 库、安全设备、主机系 统、中间件等资源统一 运维管理和审计硬件1应用和数 据安全+设 备和计算 安全日志审计满足各个行业及单位对 合规性要求的日志审计软件/硬 件1网络和通 信安全+应 用和数据 安全+设备 和计算安 全漏洞扫描由系统扫描、Web扫描、 弱口令破解、配置指标硬件1安全
43、运维 管理检查于一体化的专业安全产品5运维管理规划5-1设计依据结合国内外信息化管理平台发展特点,针对信息化现状和用户实际 需求,自动智慧运维平台主要从以下两个方面进行建设:建设全面的基础设施管理本次管理平台需要提供全面的基础设施管理,这些管理内容包括网 络设备、网络安全设备、服务器、存储设备、数据库、中间件、标准应 用等。在管理设备的基础上还包括对服务器硬件管理、进程管理等内 容。通过全面的基础设施管理,能够建设一个具备全面和精细的管理平 台。建设自动智慧运维管理平台全面基础管理之上,通过自动学习,跟踪设备运行状态,自动建立 设备“健康档案”。依据设备的运行状态学习,建立全面的数据基线, 基于自动运维理念,自动对设备的运行异常进行提醒。异常提醒的同时 还同步给出操作建议。整个系统还能做到开放运维,可以将用户的运维 经验通过智能策略的方式加入到运维管理平台,更好满足“私人定制”
