云计算平台建设方案

云计算平台方案设计

1.1设计方案

1.1.1平台架构设计

XX高新区云计算平台将服务器等关键设备按照需要实现的功能划分为两个层面，分别对应业务层和计算平台层。

业务层中，功能区域的划分一般都是根据安全和管理需求进行划分，各个部门可能有所不同，云数据中心中一般有公共信息服务区(DMZ区)、运行管理区、等保二级业务区、等保三级业务区、开发测试区等功能区域，实际划分可以根据业务情况进行调整，总的原则是在满足安全的前提下尽量统一管理。

计算平台层中分为计算服务区和存储服务区，其中计算服务区为三层架构。计算服务区部署主要考虑三层架构，即表现层、应用层和数据层，同时考虑物理和虚拟部署。存储服务区主要分为IPSAN、FCSAN、NAS和虚拟化存储。

云计算平台中计算和存储支持的功能分区如下图所示：

图云计算平台整体架构

图 平台分层架构

基础架构即服务：包括硬件基础实施层、虚拟化&资源池化层、资源调度与管理自动化层。

硬件基础实施层：包括主机、存储、网络及其他硬件在内的硬件设备，他们是实现云服务的最基础资源。

虚拟化&资源池化层：通过虚拟化技术进行整合，形成一个对外提供资源的池化管理（包括内存池、服务器池、存储池等），同时通过云管理平台，对外提供运行环境等基础服务。

资源调度层：在对资源（物理资源和虚拟资源）进行有效监控管理的基础上，通过对服务模型的抽取，提供弹性计算、负载均衡、动态迁移、按需供给和自动化部署等功能，是提供云服务的关键所在。

平台即服务：主要在IaaS 基础上提供统一的平台化系统软件支撑服务，包括统一身份认证服务、访问控制服务、工作量引擎服务、通用报表、决策支持等。这一层不同于传统方式的平台服务，这些平台服务也要满足云架构的部署方式，通过虚

拟化、集群和负载均衡等技术提供云状态服务，可以根据需要随时定制功能及相应的扩展。

软件即服务：对外提供终端服务，可以分为基础服务和专业服务。基础服务提供统一门户、公共认证、统一通讯等，专业服务主要指各种业务应用。通过应用部署模式底层的稍微变化，都可以在云计算架构下实现灵活的扩展和管理。

按需服务是SaaS应用的核心理念，可以满足不同用户的个性化需求，如通过负载均衡满足大并发量用户服务访问等。

信息安全管理体系，针对云计算平台建设以高性能高可靠的网络安全一体化防护体系、虚拟化为技术支撑的安全防护体系、集中的安全服务中心应对无边界的安全防护、利用云安全模式加强云端和用户端的关联耦合和采用非技术手段补充等保障云计算平台的安全。

运营管理体系，保障云计算平台的正常运行，提供故障管理、计费管理、性能管理、配置管理和安全管理等。

云服务

图平台网络结构图

网络负载均衡设计

链路负载均衡器将多条互联网线路进行虚拟化处理，保障用户仍最好的线路访问内外部资源。任意一条ISP线路中断，都不会对服务造成仸何影响。通过链路负载均衡器可实现ISP接入线路的无缝扩展。

1) OutBound流量负载均衡

访问互联网的流量到达链路负载均衡器时，将通过链路负载均衡器多种链路状态检测结果选择最佳出口链路，提升用户体验。

2) InBound流量负载均衡

为使用户通过不同互联网链路访问互联网接入区应用系统，链路负载均衡器的智能DNS解析功能将不同用户访问的域名解析成不同的公网IP地址，加速应用访问，提升用户体验。

1.1.2资源规划

（1）云服务规划

50台弹性云服务器（Elastic Cloud Server ）承载XX高新区市园区智慧服务业务系统。

50T云硬盘服务（Elastic Volume Service）做为50台云服务器的存储。

400T对象存储服务 (OBS, Object Storage Service)用于视频监控、GIS数据存储等。

Anti-DDoS流量清洗服务（Anti-DDoS Service）防护50台云服务器的流量攻击安全。

（2）资源配置

50台弹性云服务器（Elastic Cloud Server ），每台云服务器4 VCPU，16GB内存，80G系统盘，弹性IP服务，保障因网络不通，业务正常运行，租用年限2年。

50T云硬盘给50台云主机做存储使用，每台云主机分配云硬盘1T，租用年限2年。

400T对象存储用于视频监控、GIS数据存储使用，下行流量50G，保障正常高清视频的接入带宽，租用年限2年。

Anti-DDoS流量清洗服务防护上述所有云服务资源。

1.1.3云服务

（1）计算服务

?云主机

弹性云服务器是由CPU、内存、镜像、云硬盘组成的一种可随时获取、弹性可扩展的计算服务器，同时它可以结合VPC、虚拟防火墙、数据多副本保存等能力，打造一个高效、可靠、安全的计算环境，确保服务的持久稳定运行。

弹性云主机基于OpenStack的OpenStack Nova、Cinder和Neutron服务进行编排。通过实现OpenStack 原生API、自动API和组合API（基于多种自动API的组合）为管理员和云服务控制台在云平台上提供弹性计算服务和运行新的云应用。

云服务资源主机具备以下功能：

安全：弹性云服务器利用资源隔离，网络隔离，安全组规格，Anti-DDos流量清洗、Web应用防火墙、Web漏洞扫描提供多维度防护去提供一个安全的环境。

可靠：故障自动迁移，服务可用性达99.95%，保障业务连续；数据多副本，数据持久性达99.99995%，保障数据不丢失。

灵活：支持随时调整主机规格和带宽，高效匹配业务要求、节省成本；支持“云服务器+物理机”的混合组网模式，提供卓越计算性能+灵活组网方式。

易用：产品种类全面，提供通用型，计算密集型，高内存型，高计算，存储密集型，GPU等多种类型的弹性云服务器，可满足不同的使用场景，统一管理控制台，一站式开通部署。

利用弹性云服务器，用户可以轻松获得各种功能。

支持多类型，多规格云服务器的选择和变更。提供多种类型的弹性云服务器，可满足不同的使用场景；每种类型的弹性云服务器包含多种规格，同时支持规格变更。

混合组网，支持物理设备租赁/托管。支持“云服务器+物理机”混合组网模式；提供卓越的计算性能、灵活的组网方式。

海量存储，弹性扩容，支持备份与恢复，让数据更加安全。支持多种性能的云硬盘，提供超高IO，高IO，普通IO三种性能规格供用户选择；支持云硬盘的扩容，当磁盘空间不足时，可以通过扩容原有磁盘空间满足需求；支持云硬盘备份，在磁盘故障或数据错误时可快速恢复，使您的数据更加安全可靠。

弹性伸缩，快速增加或减少云服务器数量。用户可以根据业务需求自行定义伸缩配置和伸缩策略，降低人为反复调整资源以应对业务变化和高峰压力的工作量，帮助用户节约资源和人力成本。

?镜像服务

镜像是一个包含了软件及必要配置的云主机模版，至少包含操作系统，还可以包含应用软件（例如数据库软件）和私有软件。用户可以基于镜像申请云主机，也可以将已有云主机制作成为新镜像。镜像服务（Image Management Service）提供简单方便的镜像自助管理功能。用户可以灵活便捷的使用公共镜像或者私有镜像申请弹性云主机。同时，通过已有的云主机，用户还能创建私有镜像。镜像分为公共镜像和私有镜像，公共镜像为系统默认提供的镜像，用户可直接根据情况选用并创建云主机。私有镜像为用户自己创建的镜像，同样可以根据私有镜像创建云主机。

公有云镜像提供了自制镜像内容服务的同时支持平台配置，丰富了镜像，使镜像的更新更容易管理。对于想要快速部署应用的用户，在云服务有丰富灵活的私有镜像。用户可以通过批处理迅速启动包含同样内容的应用程序所需的弹性云主机。公有云镜像服务提供公共镜像服务和私有镜像服务。公共镜像服务方面，有一些包含普通操作系统的公共镜像，比如windows和linux。私有镜像服务方面，用户可以通过使用云主机或云主机备份文件定制私有镜像。私有镜像存储在用户的UDS存储空间内。

通过镜像服务，用户可以更加便捷、安全、灵活、统一地创建和管理镜像，以满足业务需求。

（2）存储服务

?云硬盘

云硬盘为云主机提供块存储功能，独立于云主机使用。云硬盘是一种基于分布式架构的，可弹性扩展的虚拟块存储设备。用户可以在线进行操作，使用方式与传统服务器硬盘完全一致。同时，云主机的损坏不会影响云硬盘，云硬盘具有更高的数据可靠性，更高的I/O吞吐能力和更加简单易用等特点，适用于文件系统、数据库或者其他需要块存储设备的系统软件或应用。一台弹性云主机可以挂载多块云硬盘。一块云硬盘同时只能挂载到一台弹性云主机上。

多存储类型，满足不同性能要求的业务场景；提供普通IO（SATA）、高IO（SAS）、

超高IO（SSD） 3种性能的硬盘，满足不同业务场景需求。

弹性可扩展，可随时扩容硬盘容量；单盘最大可扩容至32TB，单台云服务器最多可挂载10块云硬盘，满足数据容量扩容需要。

副本存储，数据可靠性高达99.99995%；分布式存储技术，多副本保存，安全可靠，保障数据不丢失。

备份与恢复，防止误删除、被篡改而导致数据丢失；支持云硬盘备份，可随时备份，以及基于时间点恢复硬盘数据。

实时云监控，随时掌握硬盘健康状态；实时监控云硬盘读写速率及吞吐信息，帮助您及时了解云硬盘运行状况。

?对象存储服务

对象存储服务是一个基于对象的海量存储服务，为客户提供海量、安全、高可靠、低成本的数据存储能力，包括：创建、修改、删除桶，上传、下载、删除对象等。OBS适合存放任意类型的文件，适合普通用户、网站、企业和开发者使用。

对象存储服务是一项面向Internet访问的服务，提供了基于HTTP/HTTPS协议的Web服务接口，用户可以随时随地在任意可以连接至Internet的电脑上，通过对象存储服务管理控制台或客户端访问和管理存储在对象存储服务中的数据。此外，对象存储服务兼容Amazon S3大部分原生接口，用户可以通过调用对象存储服务REST API接口、多语言的SDK开发工具包开发上层适配应用软件，或对接Amazon S3存储，从而可以使用户聚焦业务应用，而无需关注底层存储实现技术。

对象存储服务为用户提供了超大存储容量的能力。对象存储服务配套提供了基于浏览器的可视化统一管理控制台（B/S架构）、基于主机的客户端（C/S架构）、多语言的SDK开发工具包（Java、.NET、Python、PHP、Android、C++、Ruby）、以及兼容Amazon S3原生接口的REST API接口，可使用户方便管理自己存储在对象存储服务上的数据，以及开发多种类型的上层业务应用。

对象存储服务主要面向海量存储资源池，企业云盘，静态网站托管，云硬盘备份，视频监控归档，弹性大数据等应用场景提供存储服务。

（3）安全服务

?Anti-DDoS流量清洗

Anti-DDoS流量清洗服务（以下简称Anti-DDoS）是对IP地址进行DDoS

（Distributed Denial of Service）攻击防护的一种网络安全服务。

通过对访问IP地址的数据流量进行实时监控，在网络出口对访问流量进行检测，及时发现进行DDoS攻击的异常流量。在不影响正常业务的前提下，根据用户配置的防护策略，清洗掉异常流量。同时为用户生成监控报表，清晰展示网络流量的安全状况。

Anti-DDoS具有以下功能：

提供针对以下攻击的防护：SYN Flood攻击、CC（Challenge Collapsar）攻击、慢速连接类攻击、UDP Flood攻击、ACK Flood攻击、TCP类攻击等。

为单个IP地址提供监控记录，包括当前防护状态、当前防护配置参数、24小时内流量情况、24小时内异常事件。

为用户所有进行防护的IP地址提供拦截报告，支持查询四周内的统计数据，包括清洗次数、清洗流量、弹性云服务器被攻击次数Top10排名和共拦截攻击次数。

Anti-DDoS引导用户针对5G以下的流量自主配置防护参数，通过调用Anti-DDoS管理中心的能力在网络出口对访问流量进行检测和清洗，调用API下发策略到检测中心；按用户生成报表，并呈现给用户。对大于5G的流量，设置为黑洞状态或建议用户自主购买第三方清洗中心服务，从第三方获取报表。

Anti-DDoS对弹性云服务器提供攻击防护，检测中心根据用户配置的安全策略，检测网络访问流量。当发生攻击时，将数据引流到清洗设备进行实时防御，清洗异常流量，转发正常流量。

1.1.4功能设计

（1）平台处理能力分析

1)计算处理能力

CPU

计算输入：每分钟业务交易量（TASK），复杂程度比例（S），CPU利用率（C），业务发展冗余（F），峰值交易时间（T）。

计算过程：tpmC=TASK x S x F / (T x C)

内存

计算输入：

关于内存的配置，根据我们以往的经验，认为内存的消耗主要包括如下几个部

分：

主机系统正常运行所需消耗（主要指操作系统消耗）；

数据库运行所需开销；

数据库SGA运行所需正常开销；

联机事务处理消耗；

计算过程：内存=操作系统+数据库管理系统+数据库SGA运行＋连接数*3M。

虚拟化

本节主要介绍虚计算虚拟化中的VCPU和物理CPU之间的换算关系。计算虚拟化主要从两方面来考虑，一种是同构虚拟化，一种是异构虚拟化。其中同构指的是华为平台的服务器，异构是其他品牌的服务器。

计算输入：物理CPU的CINT和CFP，现网CPU利用率，Intel Xeon E5620的性能基线值

计算过程：

a)同构服务器，如使用RH2285、T6000、E6000可使用如下公式

VCPU个数=(物理CPU CINT?80%+物理CPU CFP?20%)?现网业务CPU利用率(1VCPU CINT?80%+1VCPU CFP?20%)?（1?冗余值）

b)异构服务器，可使用虚拟化折算系数来估算：

VCPU个数

=

(物理CPU CINT?80%+物理CPU CFP?20%)?现网业务CPU利用率

(异构服务器CPU CINT 异构服务器总核数?88.84%?80%+异构服务器CPU CFP

异构服务器总核数

?98.75%?20%)?（1?冗余值）

2)存储能力分析

业务通常会从三个维度提出存储的需求：

●存储的性能维度

●存储架构维度

●存储容量维度

业务提出存储资源的需求后，需要对设备的IOPS、存储容量、存储带宽进行计算。

（2）计算存储场景设计

1)物理服务器

物理服务器是传统数据中心使用的计算系统，它能够很好的将系统软件的性能表现出来。以下介绍物理服务器在相关场景的具体应用场景。

表应用资源需求及业务场景分析

2)虚拟化

对于云计算平台业务的服务器需求，首先需要判断该业务服务器是否能够采用虚拟化方案，不能虚拟化的则需要采用满足实际需求的服务器进行配置，其他的则建议统一采用虚拟化方式，根据采集或预估的计算资源需要采用相应配置的虚拟机来满足该需求。

根据业务应用的特点，对应用的虚拟化建议如下表所示：

3)存储场景设计

存储虚拟化特性能够将不同品牌、型号的存储设备整合为统一的存储池，既能灵活利用旧存储设备，又能增加新存储设备。虚拟化后可以对原有数据进行灵活的管理，包括数据整合、迁移、镜像、远程复制等。

适用于存储虚拟化的场景如下：

●要求异构SAN/IP-SAN存储系统的开放性

●要求存储产品利旧

●要求异构存储系统之间有效的数据迁移

●要求异构存储系统的资源管理

●对服务器和存储整合

●存储池的性能提升

●异构存储环境数据保护与恢复

●异构存储环境灾备能力

（3）业务区安全防护

?用户身份鉴别

本方案采用统一运维审计系统和双因子强认证系统来实现用户的身份标识和鉴别。在对每一个用户注册到系统时，采用用户名和用户标识符标识用户身份，并确保在系统整个生存周期用户标识的唯一性；在每次用户登录系统时，采用受安全管理中心控制的口令、令牌、基于生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身份鉴别，并对鉴别数据进行保密性和完整性保护。

对统一运维审计系统做如下的安全策略，能够实现上述安全要求。

1)对各种不同角色的管理员进行身份标识，并保证身份标识的唯一性，账户与

自然人相对应，禁用默认账户；

2)用户登录身份认证要采用双因子强认证系统，其中口令必须具备一定的长度

和复杂性，并定期更换；

3)启用登录失败处理功能，登录失败后结束会话，并限制登录失败的测试，自

动锁定账户，记录日志向管理员告警；

4)远程管理系统时，采取SSH等加密的数据传输方式，禁止鉴别信息和管理系

统明文传输；

5)设定主机、网络设备和数据库等管理对象拒绝非“统一运维审计系统”进行

管理；

?访问控制

本方案采用主机核心安全增强系统并对操作系统的安全增强配置，共同实现对系统资源的自主访问控制和和强制访问控制。自主访问控制是指在安全策略控制范围内，使用户对其创建的客体具有相应的访问操作权限，并能将这些权限的部分或全部授予其他用户。自主访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级和（或）记录或字段级。自主访问操作包括对客体的创建、读、写、修改和删除等。强制访问控制是指在对安全管理员进行身份鉴别和权限控制的基础上，应由安全管理员通过特定操作界面对主、客体进行安全标记；应按安全标记和强制访问控制规则，对确定主体访问客体的操作进行控制。强制访问控制主体的粒度为用户级，客体的粒度为文件或数据库表级。应确保安全计算环境内的所有主、客体具有一致的标记信息，并实施相同的强制访问控制规则。

对主机核心安全增强系统做如下的安全策略，能够实现上述安全要求。

1)对重要的主机，部署主机核心安全增强系统，提升主机操作系统的安全性；

2)开启访问控制功能，根据“最小授权原则”的安全策略要求，分别对主体和

客体进行安全标识，严格限定用户对文件、数据库等访问，主体的控制粒度

限定为用户级，客体的控制粒度为文件、数据库表级，实现强制访问控制；

3)开启权限管理功能，根据“三权分立”的安全策略要求，严格限定主体用户

对客体目标的操作权限，同时参考“最小授权原则”的安全策略，在不同种

类用户之间形成相互制约关系的基础上，赋予用户正常完成工作所需的最小

权限。

?系统安全审计

本方案采用主机核心增强系统、网络审计系统和数据审计系统来实现系统安全审计，记录系统的相关安全事件（审计记录包括安全事件的主体、客体、时间、类型和结果等内容，并提供审计记录查询、分类、分析和存储保护），对特定安全事件进行报警，确保审计记录不被破坏或非授权访问，并为安全管理中心提供接口，对不能由系统独立处理的安全事件，提供由安全管理中心调用的接口。

对主机核心安全增强系统、网络审计系统和数据库审计系统做如下的安全策略，能够实现上述安全要求。

（1）对重要的主机，部署主机核心安全增强系统，实现对主机系统的安全审计；

主机审计的内容包括：

1）对重要的服务、进程、硬件操作和重要的文件系统进行监控；

2）对打印机、USB接口等重要外部设备及其接口进行监控；

3）对浏览器访问外部网站和非法外联拨号进行监控；

4）对用户账户变更记性审计。

（2）对重要的网络通信区域部署网络审计系统，实现对网络通信的安全审计；

网络审计的内容包括：

1）重要的网络通信协议：Telnet、SSH、FTP、HTTP等进行审计；

2）非法的、异常的网络IP地址参与的网络通信进行审计。

（3）对重要的数据库，部署数据审计系统，实现对数据的安全审计；

数据库审计的内容包括：

1）对数据库关键表、字段的读、写、插入和删除等操作和执行结果；

2）对数据库的重要设置操作和执行结果；

3）对数据库的异常读、写、插入和删除等操作和执行结果。

用户数据完整性与保密性保护

本方案采用数据库加密系统和文档安全管理系统，通过密码等技术支持数据的完整性校验机制和保密性保护机制，检验存储和处理的用户数据的完整性、保密性，以发现其完整性是否被破坏，且在其受到破坏时能对重要数据进行恢复。

对数据库加密系统和文档安全管理系统做如下的安全策略，能够实现上述安全要求。

1)部署数据库加密系统，并设置对用户数据库中重要的表、记录、字段进行自

动的加密和解密操作；

2)部署文档安全管理系统，并设置对用户敏感的文档进行保护，通过加密和解

密等手段，保证其完整性和保密性。

?客体安全重用

本方案采用主机核心安全增强系统保护用户客体资源重用的安全性。主机核心安全增强系统通过剩余信息完全删除等技术手段，使客体资源重新分配前，对其原使用者的信息进行清除，以确保信息不被泄露。

对重要的主机部署主机核心安全增强系统，利用其剩余信息完全删除等功能实现客体安全重用的安全要求。

?程序可信执行保护

本方案采用主机核心安全增强系统，构建从操作系统到上层应用的信任链，实现系统运行过程中可执行程序的完整性检验，防范恶意代码等攻击，并在检测到其完整性受到破坏时采取措施恢复。

对重要的主机部署主机核心安全增强系统，并配置其对应用程序完整性校验，可满足程序可信执行的安全要求。

对Windows操作系统和Linux操作系统部署主机恶意代码防范系统客户端软件，在防病毒管理中心的统一监控管理下，防护来自病毒、木马等恶意软件的威胁。

（4）平台管理

?集中监控管理

集中监控管理从架构层次上包括：数据采集层、数据分析处理层和数据展现层三层，三个层次相互依赖、紧密结合，实现集中的监控管理功能。

下面分别进行阐述。

1)数据采集功能

数据采集层，主要是完成各类数据的采集工作，建立相关的数据采集接口，并能够根据需要定制在特定的时间(或周期性)进行数据的采集，并为数据处理层提供相关的数据。目前采集可以支持的手段有：RPC、SNMP、SYSLOG、专用Agent、脚本方式、以及一些标准的协议如WMI、SSH、Perfmon、JMX等来实现无代理的数据采集。这一层主要是由通过设置在各个点的各类采集设备组成。

通过在各类系统上安装CA Agent或者采用特定Agent或技术来对系统运行的软件环境进行监控与管理，包括对系统、数据库、中间件、应用、存储等；通过与华为U2000网络管理系统、华为ISM存储管理系统的集成对网络和存储进行监控，最终将相关信息提供给数据处理层，并在同一用户界面上进行展现。

采集的数据包括配置数据、告警数据、性能数据等。对于不同的管理对象的采集方式如下：

云平台的监控：通过Huawei Galax来实现；（云平台上的虚拟机及其上部署的软件由CA相应模块来监控）；

操作系统、数据库监控：通过CA Spectrum来实现；

中间件监控：通过CA Wily来实现；

网络设备监控：通过Huawei U2000来实现；U2000作为可选项，可以直接使用CA监控网络；

存储设备监控：通过Huawei ISM来实现。

2)数据分析和处理功能

数据处理层的主要任务是将采集的数据进行汇总和处理，并根据需要进行展现。

各个监控管理产品根据预定义的事件处理策略对接受到的事件进行处理实现初始的数据分析处理功能，包括告警触发条件设置、告警事件丰富、告警相关性分析、相同事件压缩、事件过滤、性能数据汇聚等。

Huawei OSS集中事件处理平台汇聚各类数据，并根据预定义的事件处理策略进行后续的各种处理动作，如以各种方式通知相关的处理人员、在IT服务管理平台中产生事件工单，实现在Huawei OSS集中事件管理平台与CA Service Desk Manager （IT服务管理平台）的事件工单之间状态的双向同步。

Huawei OSS完成数据统一梳理后，由公共报表系统进行报表的定制、生成。

3)数据呈现功能

展现层主要是由华为数据中心管理门户和报表系统等组成。云数据中心 Portal 对相关数据进行呈现，根据用户的不同权限呈现给预定义的视图，通过地理区域视图或业务视图、报表、图形、声光等界面方式进行显示和汇报，界面展现支持B/S 结构，各级维护和管理人员可以根据用户的角色和权限来定制个性化的用户界面。

报表管理根据汇总的数据来产生相应的报表，如告警分类报表、告警分时报表、

告警来源报表、性能数据的日报、周报、月报、性能数据的对比分析报表、性能数据的趋势分析报表等。可以定制自己的报告，可以通过Web发布报告，或通过mail 方式自动将日/周/月报发送至特定用户。管理员可以在内部网上使用Internet浏览器来查看和打印各种报告。可以运用这些有价值的历史数据来分析业务系统的运作情况，帮助指定服务目标，提高服务水准。

?IT服务管理

IT服务管理平台在逻辑上包括：服务流程平台、Web访问层、对象处理层和数据存储层。

IT服务管理技术架构包括如下层次：

服务流程平台层：用来实现具体的服务管理流程和功能，在本方案中需要实现的流程和功能包括：服务台、服务请求管理、事件管理、问题管理、配置管理、变更管理；

Web访问层：用来提供用户访问功能，具体提供的特性包括：表单和页面组管理、数据分析、服务接口、安全管理；

对象处理层：用来对各个服务流程的后台逻辑分析和处理，具体提供的特性包括：流程引擎、数据分区、访问控制、集成接口、配置管理、开发定制；

数据存储层：用来存储IT服务管理的各种数据，具体提供的特性包括：虚拟数据服务、CMDB。

通过采用这种分层的架构模式，大大降低了各层次间的耦合程度，提供了系统的可用性和可扩展性，为企业实现一种高可用、高稳定性的平台提供了保障。

IT服务管理平台通过接口可以实现和集中监控管理平台的集成，达到事件的及时转发和同步。

IT服务管理平台通过接口可以实现和邮件系统、短信系统的集成，将需要转送的信息及时通知相关人员。

?统一运维管理门户

统一运维管理门户可以实现整个云数据中心所有运营管理内容的统一展现和控制，包括服务器、数据库、中间件、存储、网络和机房监控的实时数据展现、历史报表展现，以及针对云系统的服务设计、发布、管理功能，并提供统一登录，集中用户管理功能。具体功能如下：

提供统一的监控管理平台数据统计分析报表，提供对各种数据进行统一分析和基于Web界面的数据展现；

提供告警统计分析报表，以及主机、网络、数据库、中间件、存储、机房的各种性能指标报表，针对维护层、管理层和决策层用户提供不同的定制化报表，从而提供决策依据；

能够对主要的条目进行组合过滤查询，在用户设置如时间、日期等查询条件时，应能提供对输入内容的合法性检查功能；提供多种复合条件组合的明细数据查询功能，能够按照某字段排序、分页显示、对主要指标的TopN的灵活设置；

具备监控数据的保留和再加工机制或数据结构开放，以便今后有新的报表需求时系统能够提供必要的基础数据；

基于策略的历史数据汇聚、加工和再存储功能，以便减少历史数据库的负载，并为长期报表提供汇总数据；

提供横向比对和纵向比对的功能，横向比对即若干台机器的同一个或几个性能指标在同一时间段内的性能曲线比对，纵向比对即同一台机器的某几个性能指标的当前情况与昨日、上周、上月、往年同期的比对分析；

报表系统提供用户分权功能，要求能够根据用户的不同职位、角色提供不同时间粒度、不同内容和不同类别报表；

所有报表数据能够通过Web方式进行发布浏览，能将结果以文本列表、图形方式〈直方图、曲线图、饼图等〉输出，能够转化成Excel、XML、PDF等格式并提供报表打印功能；

要求报表工具采用SOA构架，采用纯B/S方式，进行报表设计，分析，查询，发布等工作不安装客户端软件，不安装浏览器插件，不安装Applet；

实施中提供不少于10种报表模板。

?云管理

云管理平台管理总体架构由如下部分组成：

云门户系统（Cloud Portal）：云门户包括用户自助服务子系统和后台管理子系统两个部分，自助服务子系统支持用户对已有的虚拟资产进行管理，包括虚拟资产的使用、释放等。例如对于虚拟机，用户可以进行启动、停止及重启等操作，也可以释放这台虚拟机；后台管理子系统，融合了业务支持和运营的功能，用于业务发

放，提供帐户管理、业务管理、资源管理功能。

运维管理系统（OMS Portal）：通过此子系统可以实现EDC云资源的配置管理、性能管理和安全管理等管理维护操作。

Huawei Galax云软件平台，主要包括虚拟化平台系统UVP（Unified Virtualization Platform）、ARS自动资源调度和IMGS镜像管理。

报表系统：定期生成并且保存原始统计报表单据。

（5）业务运营管理

业务的管理方面可以从管理和运营两方面来划分：

业务管理：主要业务方面的规划与设计，包括服务目录管理，产品管理、服务定价策略，服务级别管理等功能的规划与设计。

业务运营：负责业务的日常运转，包括业务日常流程和业务的受理。涵盖客户关系管理、合同管理、订单管理、资源管理、计量管理、计费管理等功能，包括知识库的维护与管理。

客户自助服务是云数据中心运营管理的核心模块，客户通过自助服务自主管理所租用资源，包括查看合同信息（包括服务目录、计费信息、服务周期、服务级别等）、查看定购的服务状态、使用服务、管理业务。

业务运营技术架构

通过业务运营子系统的的设计来实现数据中心运营需要的客户管理、服务目录、产品管理、订单管理、计量管理、计费管理、支付管理、资源管理、服务请求等业务功能。

业务管理技术架构包括如下层次：

客户自助管理系统：用来为客户提供对订购资源的管理，包括用户管理、信息查询（合同、订单、费用等）、资源部署、资源状态监控

Web访问层：用来提供用户访问功能，具体提供的特性包括：表单和页面组管理、数据分析、服务接口、安全管理；

业务管理与运营层：用来实现具体的业务管理和运营流程和功能，在本方案中需要实现的流程和功能包括：客户关系管理、服务目录、产品管理、服务级别管理、计量管理、计费管理、合同管理、订单管理、价格管理及资源管理、服务请求管理等；

对象处理层：用来对各个业务管理和运营流程的后台逻辑分析和处理，具体提供的特性包括：流程引擎、数据管理、访问控制、集成接口、配置管理、开发定制；

数据存储层：用来存储业务及IT运营管理相关的各种数据，具体提供的特性包括：虚拟数据服务，把分散的数据进行收集集中并结构化，把异质的数据转化成统一的格式，并给应用程序提供统一的接口；Central Database（CDB），数据的集中存储、管理。

业务管理平台通过接口可以实现和IT运营管理平台的集成，达到信息的共享和IT对业务运营管理的支撑。

业务管理平台通过接口可以实现和邮件系统、短信系统等外部系统的集成，将需要转送的信息及时通知业务相关人员。

1.2实施方案

云计算平台的实施与运维是一项涉及面广、制度性强、管理要求高的系统工程。如果从管理和技术两个视角分析平台的运行保障，我们认为管理的权重是第一位，而技术权重是第二位。为了有效保障云计算平台的科学实施和高效运行，必须要在园区政府的统一领导下，各有关部门协同配合，积极落实好组织、制度、技术和资金等支撑条件。

1.2.1建设流程及进度安排

在建立和明确项目组织价构和人员安排后，如何组织和实施项目建设方案是项目能否成功的关键。

在项目实施过程中，对时间计划、安排进度、人力资源调配、设备采购和安装。测试、演练等多项工作需要进行仔细、合理的计划和严格管理，才可以保证项目符合监管机构要求，达到省信息中心工程建设目标。

XX高新区智慧园区云计算平台是一个复杂、长期的工程。在前期调研和可行性论证工作完成后应当进行具体设计和实施。主要工作包括：

?团队组建

?业务连续性计划规划

?实施方案的详细设计

?实施方案的设计会审

?运维制度的设计

?运维制度的会审

?系统接入

?系统联调

?人员技术和制度培训

?项目验收

以上各个阶段基本上顺序进行，但部分工作会同步进行，以配合时间和人力资源的合理安排。

在项目实施过程中，将采用标准的项目管理规范和工具进行项目管理通过项目管理组进行工作协调和监控，采用启动会议、周期性项目进展协调工作例会、多个自工作分工负责等方式对时间计划、工作安排进行良好的协调和管控。

下表是工程建设各阶段计划和时间进度的初步安排，其中，时间和人员安排将根据需求和实际情况作相应调整。

1.2.1.1团队组建

教育云平台建设方案

教育云平台建设方案 编制 审核 批准 北京达沃时代科技有限公司2016 年04 月29 日

目录 第1章项目概况 (1) 1.1项目背景 (1) 1.2教育信息化发展的总体特征 (1) 1.3面临的问题 (2) 1.4建设目标 (3) 1.5所解决的问题 (3) 第2章设计方案 (5) 2.1设计原则 (5) 2.2总体架构 (5) 2.2.1 逻辑架构 (5) 2.2.2 技术架构 (7) 2.2.3 部署架构 (9) 2.2.4 方案优势 (9) 2.3总体性能要求 (11) 2.3.1 存储容量要求 (11) 2.3.2 计算资源要求 (11) 第3章基础设施层 (12) 3.1总体方案拓扑 (12) 3.1.1 逻辑架构 (12) 3.1.2 组成 (12) 3.2虚拟化云平台建设 (13) 3.2.1 系统特性 (14) 3.2.2 虚拟化系统硬件构建选型 (18) 3.3集群存储系统建设 (19) 3.3.1 系统组成 (20) 3.3.2 系统特性 (21) 3.4云平台网络系统建设 (27) 第4章设备配置 (29)

第1章项目概况 1.1项目背景 随着教育信息化的不断推进和教育改革的不断深化，近年中小学校园信息化建设成为国内基础教育发展的重点。2012年3月，教育部发布了的《教育信息化十年发展规划(2011－2020年)》，文中明确提出了“充分整合现有资源，采用云计算技术，形成资源配置与服务的集约化发展途径，构建稳定可靠、低成本的国家教育云服务模式”。 2012年9月5日国务院副总理刘延东（时任国务委员），在全国教育信息化工作电视电话会议上提出：要以建设好“三通两平台”为抓手，也就是“宽带网络校校通、优质资源班班通、网络学习空间人人通”，建设教育资源公共服务平台和教育管理公共服务平台，为我国教育工作的进一步发展指明了方向。 教育信息化是衡量一个国家和地区教育发展水平的重要标志，实现教育现代化、创新教学模式、提高教育质量，迫切需要大力推进教育信息化。 1.2教育信息化发展的总体特征 当前，从全国基础教育信息化建设的发展进程来看，有以下一些基本趋势。 （1）基础教育信息化建设正从普及期走向整合期，如何将日益广泛存在的硬件设施、海量的数字化资源、各种有效的信息化教学模式整合和应用到广大一线教师的例常化教学行为中，推进信息化教学方式，并深刻培养学生的信息化学习方式，使得信息技术的教育教学应用向常规化方向发展。 （2）自2005年以来，信息技术与教育整合的有效性已清晰地演化成两个发展重点：一是高可用性的区域级信息化支撑基础平台/设施/环境；二是广大教师及学生群体的个体化的信息化素养的提升，伴随着信息化进程的加深，上述环节的作用正日益凸现。 （3）从信息技术和教育系统耦合的整体要素来看，支持教师的有效教学和促进教师的专业发展正成为深化信息技术有效应用的重要突破点，而打造在线

中石化云计算平台建设总体技术方案

中石化 云计算平台工程技术方案 二O一六年四月

目录第1章.基本情况6 1.1.项目名称6 1.2.业主单位6 1.3.项目背景6 1.3.1.XX技术发展方向6 1.3. 2.有关XX公开的相关要求7 1.4.建设规模7 1.5.投资概算10 1.6.设计依据10 1.7.设计范围10 1.8.设计分工11 第2章.现状及需求分析11 2.1.项目意义及建设必要性11 2.2.现状分析13 2.3.需求分析13 2.3.1.长期需求13 2.3.2.本期需求14 第3章.总体设计16 3.1.建设目标16 3.1.1.预期总目标16 3.1.2.阶段性目标17

3.2.建设内容18 3.3.系统的总体结构18 3.3.1.设计原则18 3.3.2.XX本土化战略错误!未定义书签。 3.3.3.建设思路20 3.3. 4.总体拓扑结构22 3.4.信息的分类编码体系25 3.5.质量保证体系26 第4章.建设方案27 4.1.网络资源池28 4.1.1.组网物理拓扑图28 4.1.2.网络负载均衡设计30 4.1.3.网络虚拟化设计32 4.1.4.IP地址及DNS规划36 4.1. 5.网络端口资源估算41 4.2.计算资源池41 4.2.1.计算资源池架构41 4.2.2.应用系统分析42 4.2.3.计算资源池建议配置与选型建议44 4.2.4.计算资源池部署47 4.2. 5.虚拟化软件选型分析48 4.3.云计算管理平台51

4.3.1.云资源管理平台建设方案52 4.3.2.云运营管理平台建设方案61 4.4.云计算安全防护方案71 4.4.1.云计算平台安全威胁71 4.4.2.云计算平台安全防护目标73 4.4.3.云计算平台安全架构74 4.4.4.IaaS层安全74 4.4. 5.PaaS层安全89 4.4.6.SaaS层安全90 4.4.7.公共安全92 4.4.8.安全管理制度98 4.4.9.云安全服务100 4.5.机房方案100 4.5.1.机房设备集中管理100 4.5.2.布线系统101 4.5.3.机房系统102 4.5.4.UPS配置方案104 4.6.标准化工作109 4.6.1.标准规范建设的原则109 4.6.2.标准规范的总体框架110 第5章.设备配置要求112 第6章.项目实施与运行维护117

最新版云计算平台系统建设项目设计方案

云计算平台系统建设项目 设计方案

1.1设计方案 1.1.1平台架构设计 **高新区云计算平台将服务器等关键设备按照需要实现的功能划分为两个层面，分别对应业务层和计算平台层。 业务层中，功能区域的划分一般都是根据安全和管理需求进行划分，各个部门可能有所不同，云数据中心中一般有公共信息服务区(DMZ区)、运行管理区、等保二级业务区、等保三级业务区、开发测试区等功能区域，实际划分可以根据业务情况进行调整，总的原则是在满足安全的前提下尽量统一管理。 计算平台层中分为计算服务区和存储服务区，其中计算服务区为三层架构。计算服务区部署主要考虑三层架构，即表现层、应用层和数据层，同时考虑物理和虚拟部署。存储服务区主要分为IPSAN、FCSAN、NAS 和虚拟化存储。 云计算平台中计算和存储支持的功能分区如下图所示：

图云计算平台整体架构 图平台分层架构

基础架构即服务：包括硬件基础实施层、虚拟化&资源池化层、资源调度与管理自动化层。 硬件基础实施层：包括主机、存储、网络及其他硬件在内的硬件设备，他们是实现云服务的最基础资源。 虚拟化&资源池化层：通过虚拟化技术进行整合，形成一个对外提供资源的池化管理（包括内存池、服务器池、存储池等），同时通过云管理平台，对外提供运行环境等基础服务。 资源调度层：在对资源（物理资源和虚拟资源）进行有效监控管理的基础上，通过对服务模型的抽取，提供弹性计算、负载均衡、动态迁移、按需供给和自动化部署等功能，是提供云服务的关键所在。 平台即服务：主要在IaaS基础上提供统一的平台化系统软件支撑服务，包括统一身份认证服务、访问控制服务、工作量引擎服务、通用报表、决策支持等。这一层不同于传统方式的平台服务，这些平台服务也要满足云架构的部署方式，通过虚拟化、集群和负载均衡等技术提供云状态服务，可以根据需要随时定制功能及相应的扩展。 软件即服务：对外提供终端服务，可以分为基础服务和专业服务。基础服务提供统一门户、公共认证、统一通讯等，专业服务主要指各种业务应用。通过应用部署模式底层的稍微变化，都可以在云计算架构下实现灵活的扩展和管理。 按需服务是SaaS应用的核心理念，可以满足不同用户的个性化需求，如通过负载均衡满足大并发量用户服务访问等。 信息安全管理体系，针对云计算平台建设以高性能高可靠的网络安

云平台建设方案

云平台建设方案 1、配置满足当前（2014）年度，硬件投入需求 2、一定的扩展能力，10台4路，10台2路可迁移系统 3、应用包括（DB、中间件；开发、测试、验收和上线环境）移动平台 1、规则引擎数据库、 中间件 健康险平台2、统计分析中间件 能力提升年，提高信息系统支持能力；影像系统3、OA中间件、数据库 1、计算投资管理系统 2、存储稽核审计系统 3、网络GPS查勘调度系统 资金管理系统 方案对比：费控系统 硬件对比人力资源系统 软件对比：vmware、Huawei FusionCompute 河南农户电子 档案 非车险承保理赔系统改造 第一类系统（即短时间中断会造成重大社会影 响或影响保险机构关键业务功能，并造成重大 经济损失的信息系统）包括核心系统及相关子 系统。具体有：核心业务（含影像资料）、规 则引擎、农险电子档案、保协车险共享平台、 广域网络专线和96999客服专线。 第二类系统（即短时间中断会造成较大社会影 响或影响保险机构部分关键业务功能，并造成 较大经济损失的信息系统）包括核心业务系统 支撑平台。具体有：统计分析、精友车型数据、 保单自助查询、短信平台。 第三类系统（即间接支持关键业务功能或保险 机构对系统中断具有一定容忍度的信息系统） 包括OA办公自动化、邮件、网站、GIS系统、 移动查勘等。 云平台建设方案 （讨论稿） 信息化经历了T-S模式（终端-主机）、C-S模式（PC时代客户机-服务器）、B-S模式（互联网时代浏览器-服务器）；新时代以服务的方式被发布和访问的“云计算”模式；为响应国家节能减排的号召，

减少公司信息化硬件重复投资，增强数据中心的运维和安全管理，构建高可用的新一代数据中心，我们将云平台建设纳入议事日程。 201X年公司面临再一次的职场搬迁，有了2012年职场搬迁网络实现无缝切换的经验，我部将以新职场中心机房建设为契机，构建云计算架构的数据中心，在保障业务平滑迁移的基础上，以实现IT 资源的大整合、数据中心的大集中。 根据私有云建设的规律，我们将云平台建设分三个阶段： 第一阶段：落地云设备，实现计算资源虚拟化、存储资源虚拟化和网络资源虚拟化，建设周期2～3个月； 第二阶段：落地云平台，对现有业务环境进行梳理，在云平台上部署轻量级数据库、中间件环境，实现部分业务系统的迁移，建设周期1～2个月； 第三阶段：建设云平台的灾备系统，具体建设时间根据新职场搬迁计划等实际情况待定。 本次建设方案为第一二阶段。 第一阶段：落地云设备 实现计算资源虚拟化、存储资源虚拟化和网络资源虚拟化 第二阶段：落地云平台 对现有业务环境进行梳理，在云平台上部署轻量级数据库、中间件环境，实现部分业务系统的迁移

云计算平台详细方案设计

云计算平台详细方案设计

第1章数据中心云平台设计 1.1云平台总体架构设计 基于当前IT基础架构的现状，未来云平台架构必将朝着开放、融合的方向演进，因此，云平台建议采用开放架构的产品。目前，越来越多的云服务提供商开始引入Openstack，并投入大量的人力研发自己的openstack版本，如VMware、华三等，各厂商基于Openstack架构的云平台其逻辑架构都基本相同，具体参考如下： 图2-1：云平台逻辑架构图 从上面的云平台的逻辑架构图中可以看出，云平台大概分为三层，即物理资源池、虚拟抽象层、云服务层。 1、物理资源层 物理层包括运行云所需的云数据中心机房运行环境，以及计算、存储、网络、安全等设备。 2、虚拟抽象层

资源抽象与控制层通过虚拟化技术，负责对底层硬件资源进行抽象，对底层硬件故障进行屏蔽，统一调度计算、存储、网络、安全资源池。 3、云服务层 云服务层是通过云平台Portal提供IAAS服务的逻辑层，用户可以按需申请相关的资源，包括：云主机、云存储、云网络、云防火墙与云负载均衡等。 基于未来云平台的发展趋势及华北油田数据中心云平台的需求，华北油田的云平台应具备异构管理能力，能够对多种虚拟化平台进行统一的管理、统一监控、统一运维，同时，云平台能够基于业务的安全需要进行安全防护，满足监控部门提出的安全等级要求。下面是本次云平台架构的初步设计，如下图所示： 图2-2：云平台总体架构图 1.2资源池总体设计 从云平台的总体架构可以看出，资源池是云平台的基础。因此，在构建云平台的过程中，资源的池化迈向云的是第一步。

目前，计算资源的池化主要包括两种，一种是X86架构的虚拟化，主要的虚拟化平台包括VMware、KVM、Hyper-V等；另一种是小型机架构的虚拟化，主要的虚拟化平台为PowerVM，这里主要关注基于X86架构的虚拟化。 存储资源的池化也包括两种，一种是当前流行的基于X86服务本地磁盘实现的分布式存储技术，如VMware VSAN、华为FusionStorage、华三vStor等；另一种是基于SAN 存储实现的资源池化，实现的方式是利用存储虚拟化技术，如EMC VPLEX、华为VIS(虚拟化存储网关型)和HDS VSG1000(存储型)等。这两种方式分别适用于不同的场景，对于普通的数据存储可以尝试使用分布式存储架构，如虚拟机文件、OLAP类数据库等，而对于关键的OLTP类数据库则建议采用基于SAN存储的架构。 网络资源池化也包括两种，一种是基于硬件一虚多技术实现的网络资源池，如华为和华三的新型的负载均衡、交换机、防火墙等设备；另一种是基于NFV技术实现的网络资源池。这两种方式分别适用于不同的场景，对于南北向流量的网络服务建议采用基于硬件方式实现的网络资源池化，而对于东西向流量的网络服务建议采用基于NFV技术实现的网络资源池化。 图2-2-1：华北油田资源池总体设计示例

基础教育云服务平台解决方案

基础教育云服务平台解决方案 需求差异或资源标准不统一等原因，使用效果也不太理想。 协作教研的现状 团队教研的协同工作受地域限制，开展的难度比较大，特别是偏远中小学教师参加教研活动 难度大，参加高层次培训的可能性小，自我提升的空间受到一定的制约。各区县、学校尚未采用信息化的手段辅助教科研活动的开展，尚未采用网络化的手段辅助跨校的教研互动交流。 学校教学的现状 学生的课业负担普遍较重，学生在校时间较长，缺乏自主利用数字资源的时间。由于缺乏有针对性的学习指导，导致学习资源不足或过度。同学之间互帮互学的协作不够。在自主学习过程中很难得到个性化的指导，过分依赖聘请家教或到校外上补习班。总体上，尚未有优质的网络教学系统可供使用。 家校沟通的现状 家校沟通的主要渠道是每学期一到两次的家长会，教师与家长之间的沟通和交流大多是通过 短信通知和家长签字。 家长非常期待能够深入地了解孩子的学业水平、在校表现、个性发展、心理发展等情况，希望和学校形成良性的互动，但由于缺乏有效的沟通平台和手段，使得他们对孩子的成长过程了解得不够广泛、深入。 教育网站建设的现状 教育局系统以及中小学校的网站由于建设的历史原因，通常存在着各级网站孤岛分散建设， 缺乏统一的建设标准，不同机构之间的信息共享困难；信息化投入少，信息技术维护人员能力低，网站更新、内容运维情况差；重复建设现象严重，硬件和网络建设成本高；网站水平 参差不齐且升级困难，网络安全风险很高 基础教育云服务平台建设的总体目标是：建成符合国家规范和课程改革需要的、具有本地化基础教育特色的教学指导与服务系统，注重课程文化建设与教学文化建设，促进基础教育数字化教学资源的共建共享，形成覆盖本区域的教育信息化公共服务体系。 具体目标是： 1）为教育局提供可以随时查看各级各类学校（教育单位）的行政管理、教学规划、教学质 量、资产经费、办学绩效和发展趋势，支持区域化、智慧化的行政事务网上办公和信息发布。2）为学校领导提供网络化、智能化、精细化的管理平台，掌握学校整体运行状况，发现问 题、及时调整、辅助决策、节省行政运行成本,同时提供区域办学经验交流分享的平台。 3）为教师提供高效便捷的办公环境，教学资料和科研成果资源的共建共享环境，与家长实 时互动的沟通渠道，使区域范围内的教师信息化素养、教研能力、教学水平得到全方位的促进和提升。 4）为学生提供丰富、精粹、便利的共享学习资源，可自主学习与泛在学习，通过区域范围 内的师生学习交流互动，提升自主学习能力，增强学生的信息化素养、探究能力。 5）为家长提供可以与学校（教育单位）实时沟通，及时获取学生在校情况，学校教育情况 和活动信息的平台，协助学校共同教育学生成长。 6）为社会大众提供政务公开、教育招生、行政审批、咨询投诉等教育信息服务。基础教育 云服务平台解决方案 2. 系统规划框架

云计算平台建设总体技术方案

云计算平台建设总体技术方案 第1章.基本情况 1.1. 项目名称 XX单位XX云计算平台工程。 1.2. 业主单位 XX单位。 1.3. 项目背景 1.3.1. XX技术发展方向 XX，即运用计算机、网络和通信等现代信息技术手段，实现政府组织结构和工作流程的优化重组，超越时间、空间和部门分隔的限制，建成一个精简、高效、廉洁、公平的政府运作模式，以便全方位地向社会提供优质、规、透明、符合国际水准的管理与服务。 随着网络技术、web2.0、下一代互联网等技术的发展，我国XX建设也发生着变化。2010年10月，国务院发布了《国务院关于加快培育和发展战略性新兴产业的决定》，就把新一代信息技术产业作为十二五时期的重点方向，要推动新一代移动通信、下一代互联网核心设备和智能终端的研发及产业化，加快推进三网融合，促进物联网、云计算的研发和示应用。

1.3. 2. 有关XX公开的相关要求 全国XX领导小组发布了《关于开展依托XX平台加强县级政府XX和政务服务试点工作的意见》，就开展依托XX平台加强县级政府XX和政务服务试点工作提出了相关意见。要求在试点县（市、区），用一年左右时间，建立和完善统一的XX平台，充分利用平台全面、准确发布政府信息公开事项，实时、规办理主要行政职权和便民服务事项，并实现电子监察全覆盖，为在全国全面推行奠定基础、积累经验。 1.4. 建设规模 本期建设规模为（后续根据实际服务器及机房环境进行调整）：

1.5. 投资概算 本项目本期工程概算总投资为XXXX万元（人民币）。 1.6. 设计依据 《中华人民国国民经济和社会发展第十二个五年规划纲要》； 《计算机场地技术条件》（GB2887-89） 《计算站场地安全要求》（GB9361-88） 《电子计算机机房设计规》（GB50174-93） 《供配电系统设计规》（GB50052-92） 《低压配电装置及线路设计规》（GBJ—83） 《建筑物防雷设计规》（GB50057-94） 《电子设备雷击保护守则》（GB7450-87） 《工业企业通信接地设计规》（GBJ79-95） 《中华人民国标准》（BMB3-1999） 《涉密信息设备使用现场的电磁泄漏发射防护要求》（BMZ1-2000）《涉及国家的计算机信息系统技术要求》（BMZ1-2000） 《涉及国家的计算机信息系统安全方案设计指南》（BMZ2-2001）《涉及国家计算机信息系统安全测试指南》（BMZ3-2001） 1.7. 设计围 本方案涉及围包括以下几个部分： （1）基本情况；

云计算平台设计方案

国家质检中心郑州综合检测基地云计算平台建设项目（招标编号：豫财招标采购-2015-112） 云计算平台设计方案 二〇一五年二月

目录 第一章项目概述与背景 .................................. 错误!未定义书签。第二章现状与需求分析 .................................. 错误!未定义书签。 2.1各业务系统现状.................................. 错误!未定义书签。 2.2.本期项目主要需求.............................. 错误!未定义书签。 ............................................................. 错误!未定义书签。 ............................................................. 错误!未定义书签。 ............................................................. 错误!未定义书签。 ............................................................. 错误!未定义书签。 ............................................................. 错误!未定义书签。第三章设计原则与目标 .................................. 错误!未定义书签。 3.1设计原则.............................................. 错误!未定义书签。 3.2建设目标.............................................. 错误!未定义书签。第四章质监云计算平台设计 .......................... 错误!未定义书签。 4.1总体设计思想...................................... 错误!未定义书签。 4.2总体架构设计...................................... 错误!未定义书签。 4.3计算虚拟化.......................................... 错误!未定义书签。 4.4网络虚拟化.......................................... 错误!未定义书签。 4.5存储虚拟化.......................................... 错误!未定义书签。 ............................................................. 错误!未定义书签。 ............................................................. 错误!未定义书签。 4.6云资源自动调度设计.......................... 错误!未定义书签。

云平台建设方案简介

云平台建设方案简介 2015年11月

目录

云平台总体设计 总体设计方案 设计原则 ?先进性 云中心的建设采用业界主流的云计算理念，广泛采用虚拟化、分布式存储、分布式计算等先进技术与应用模式，并与银行具体业务相结合，确保先进技术与模式应用的有效与适用。 ?可扩展性 云中心的计算、存储、网络等基础资源需要根据业务应用工作负荷的需求进行伸缩。在系统进行容量扩展时，只需增加相应数量的硬件设备，并在其上部署、配置相应的资源调度管理软件和业务应用软件，即可实现系统扩展。 ?成熟性 云中心建设，要考虑采用成熟各种技术手段，实现各种功能，保证云计算中心的良好运行，满足业务需要。 ?开放性与兼容性 云平台采用开放性架构体系，能够兼容业界通用的设备及主流的操作系统、虚拟化软件、应用程序，从而使得云平台大大降低开发、运营、维护等成本。 ?可靠性 云平台需提供可靠的计算、存储、网络等资源。系统需要在硬件、网络、软件等方面考虑适当冗余，避免单点故障，保证云平台的可靠运行。 ?安全性 云平台根据业务需求与多个网络分别连接，必须防范网络入侵攻击、病毒感染；同时，云平台资源共享给不同的系统使用，必须保证它们之间不会发生数据泄漏。因此，云平台应该在各个层面进行完善的安全防护，确保信息的安全和私密性。 ?多业务性 云平台在最初的规划设计中，充分考虑了需要支撑多用户、多业务的特征，保证基础资源在不同的应用和用户间根据需求自动动态调度的同时，使得不同的业务能够彼此隔离，保证多种业务的同时良好运行。 ?自主可控 云平台建设在产品选型中，优先选择自主可控的软硬件产品，一方面保证整个云计算中心的安全，另一方面也能够促进本地信息化产业链的发展。 支撑平台技术架构设计 图支撑平台技术架构 支撑平台总体技术架构设计如上，整个架构从下往上包括云计算基础设施层、云计算平台资源层、云计算业务数据层、云计算管理层和云计算服务层。其中： ?云计算基础设施层：主要包括云计算中心的物理机房环境； ?云计算平台资源层：在云计算中心安全的物理环境基础上，采用虚拟化、分布 式存储等云计算技术，实现服务器、网络、存储的虚拟化，构建计算资源池、 存储资源池和网络资源池，实现基础设施即服务。

智慧政务云平台建设方案

XXX省智慧政务云平台 建 设 方 案

目录 第1章项目背景 (7) 1.1 项目背景介绍 (7) 1.2 项目建设意义 (8) 1.3 项目建设原则 (9) 1.4 总体建设目标与分期建设目标 (10) 1.5 总体建设任务与分期建设任务 (11) 1.6 项目需求的理解 (11) 1.7 xx省智慧政务现状调研 (12) 1.8 xx省政务专有云建设关键需求 (13) 第2章项目总体架构及技术解决方案 (15) 2.1 总体方案设计 (15) 2.1.1 全省政务云总体架构 (15) 2.1.2 云平台架构 (17) 2.2 机房基础设施 (20) 2.2.1 IDC机房介绍 (20) 2.2.2 网络资源介绍 (26) 2.2.3 线路租用方案设计 (26) 2.2.4 应急响应保障 (28) 2.3 政务专有云平台 (37) 2.3.1 物理资源层 (37) 2.3.2 资源抽象与控制层 (54)

2.3.4 政务云网络 (118) 2.3.5 政务云管理平台 (121) 2.3.6 设备管理 (124) 2.3.7 资源管理 (144) 2.3.8 资源编排 (158) 2.3.9 资源监控 (167) 2.3.10 用户管理 (175) 2.3.11 流程管理 (178) 2.3.12 日志管理 (185) 2.3.13 报表管理 (188) 2.3.14 计费策略管理 (192) 2.4 政务云基础资源服务IaaS (194) 2.4.1 云主机服务 (194) 2.4.2 云存储服务 (203) 2.4.3 云数据库服务 (208) 2.4.4 云防火墙服务 (222) 2.4.5 云负载均衡服务 (227) 2.4.6 云安全增值服务 (232) 2.4.7 云节点服务 (239) 2.5 政务云平台服务PaaS (245) 2.5.1 PaaS概述 (245) 2.5.2 PaaS建设内容 (246) 2.5.3 PaaS服务 (247)

下一代云计算平台-建设方案

下一代云计算平台 建设方案

目录 第一章背景介绍 (4) 1.1 云计算介绍 (4) 1.2云计算与我国教育领域 (5) 第二章预期建设目标 (8) 2.1建设目标 (8) 2.2建设内容 (8) 第三章平台整体架构及特色 (10) 3.1 云平台背景简介 (10) 3.2 云平台架构及特色 (11) 3.3 云平台特色功能 (14) 第四章平台的管理与维护 (19) 4.1功能概述 (19) 4.2访问接口 (20) 4.3集群管理软件客户端 (20) 4.4集群管理软件WEB客户端 (20) 4.5远程桌面及命令行界面 (20) 4.6主要功能介绍 (20) 第五章应用的支撑 (31) 5.2分布式缓存 (42) 5.3迁移的支持 (45) 第六章集群管理软件虚拟化实现 (47) 6.1计算虚拟化 (47) 6.2存储虚拟化 (53) 6.3网络虚拟化 (64) 第九章平台发展与案例 (73) 9.1平台发展历程 (73)

9.2政府支持 (74)

第一章背景介绍 云计算是计算机科学和互联网技术进一步融合发展的产物，也是引领未来信息产业创新的关键战略性技术和手段。云计算在教育领域应用前景广阔，未来将在促进教育公平、降低教育成本、变革教学活动方式、提高管理效率和助推终身教育等五个方面对教育产生深远影响。 1.1 云计算介绍 云计算本质是将计算任务分布在大量计算机构成的资源池上，使各种应用系统能够根据需要获取计算力、存储空间和各种软件服务。微软把云计算定义在云+端、软件+服务上；谷歌(Googe)认为，云计算就是以公开的标准和服务为基础，以互联网为中心，提供安全、快速、便捷的数据存储和网络计算服务；IBM则认为云计算是一个虚拟化的计算机资源池，一种新的IT资源提供模式。虽然他们对云计算的定义不同，但认识较一致的地方是：云计算即“按需服务”，将数据存储和计算能力作为可以通过互联网来获取的“服务”向客户提供。因此，云计算具有以下两点优势： 1.1.1 降低信息化成本 在信息化不断向广度、深度发展的今天，日常工作处理的数据急剧增长，这些数据中还有相当一部分保存在本地。大多数情况下，网络只是让人们能更方便地获得信息，数据处理主要还是依靠本地硬件设备及运行在本地的应用程序来进行。面对海量数据的存储与计算，人们对计算机系统升级的要求不断提高。对计算机系统的要求越高，给个人或单位带来的经济压力就越大。云计算的出现，为投入较低成本，换取高计算能力提供了技术支持。云计算只要求用户端设备能运行简单的操作系统和浏览器软件即可，也就是说，云计算对用户端设备要求很低。应用云计算技术，可以避免本地建设和维护价格不菲的计算机系统，只需支付低廉的服务费用，即可完成原来需要高配置的本地计算才能完成的计算任务。 1.1.2 使用方便快捷 个人计算机是日常工作中的重要信息处理工具，人们需经常不断地进行系统软件的

微软教育云基础平台建设方案

微软教育云基础平台建设方案（PASS） 1.1.1微软教育云基础平台（PAAS）概述 微软教育云基础平台（PAAS）是一个系统架构科学合理、开放互联的应用服务平台。不仅能解决数据互联互通问题，消除信息孤岛，实现资源整合与共享；而且未来能够灵活地应对需求发展，可以根据需求的发展变化，在此平台上快速开发建设丰富多样的教育应用；同时保证这些应用有机统一，集成创新，发挥最大效益。 统一管理服务，统一安全服务，统一标准、规范和法规体系，避免管理混乱，统一建设标准；建立数据中心，统一数据管理；通过云服务中间件和云聚合中间件实现信息共享与交换，实现统一用户认证，权限管理，单点登录；统一、开放的信息展现层（教育云门户、虚拟化个人桌面）；打造“云+端”的“AAA”应用模式；提供基础软件和通用服务，并提供标准接口，可通过无代码开发工具和代码开发工具，快速开发，适应应用变化需求。为持续发展奠定技术基础。 1.1.2微软教育云基础平台框架图

下图是微软教育云整体逻辑框架图，所有背景为橙色的部分，均为教育云软件基础平台框架（PAAS），以下简称教 育云基础平台。 1.1.3统一管理服务，统一安全服务，统一标准、规范和法规体系，避免管理混乱，统一建设标准 信息化建设是一个复杂的系统工程，牵涉人多、面广。因此建立统一的标准，是必然的选择，避免标准不一，管理混乱的局面。 1.1.4建立数据中心，统一数据管理 现阶段，教育城域网中的数据，分散在各应用系统中，存在如下的问题：

1.数据应用困难。基础数据，重复录入，浪费了大量时 间且易造成更新不一至的现象；数据标准不统一，分 散在不同的数据库中，无法进行统一的数据分析，更 谈不上数据的高级应用--辅助决策。 2.数据维护困难。需要分别给每个应用系统备份数据， 如果有几十个系统，则要给几十个系统进行数据备份，维护难度相当大。 建立数据中心，统一数据管理，解决数据应用和维护困难问题。将基础公共数据通过云基础平台共享给各应用系统，避免重复录入和数据不一致现象；各应用系统业务数据，通过云基础平台，同步到数据中心，则数据中心存储所有业务数据。统一数据标准，为数据分析，辅助决策打下了基础；统一数据存储，用户只需要维护一个数据中心，则保存了所有系统的数据。 数据中心包括：教工库，学生库，资产库，平台数据库，业务数据库等。 1.1.5云服务中间件和云聚合中间件 教育城域网的数据不仅要与教育网内部各系统进行横向数据交换，还要与上级主管部门及下级部门的系统进行纵向数据交换。 纵向数据交换是难点，因为要与上级主管部门或下级部

云平台建设方案

云平台建设原则 1、标准化 当前云服务在整个信息产业中还不够成熟，相关的标准还没有完善。为保障方案前瞻性，在设备选型上力求充分考虑对云服务相关标准的扩展支持能力，保证良好的先进性，以适应未来的信息产业化发展。 2、高可用 为保证数据业务网的核心业务的不中断运行，在网络整体设计和设备配置上都是按照双备份要求设计的。在网络连接上消除单点故障，提供关键设备的故障切换。关键设备之间的物理链路采用双路冗余连接，按照负载均衡方式或active-active方式工作。关键主机可采用双路网卡来增加可靠性。全冗余的方式使系统达到电信级可靠性。要求网络具有设备/链中故障毫秒的保护倒换能力。 具有良好扩展性，网络建设完毕并网后应可以进行大规模改造、服务器集群、软件功能模块应可以不断扩展。 良好的易用性。简化系统结构，降低维护量。对突发数据吸附，缓解端口拥塞压力，能保证业务的流畅性等。 3、增强二级网络 云平台下，虚拟机迁移与集群式两种典型的应用模型，这两种模型均需要二层网络支持。随着云计算资源池的不断扩大，二层网络的范围正在逐步扩大，甚至扩展到多个数据中心内，大规模部署二层网络则带来一个必然的问题就是二层环路问题。采用传统的STP+VRRP技术部署二层网络时会带来部署复杂、链路利用率低、网络收敛时间慢等诸多问题，因此网络方案的设计需要重点考虑增强二级网络技术（如IRF/VSS、TRILL等）的应用，以解决传统技术带来的问题。 4、虚拟化 虚拟资源池化是网络发展的重要趋势，将可以大大提高资源利用率，降低运营成本。 应有效开展服务器、存储的虚拟资源池技术建设，网络设备的虚拟化也应进行设计实现。 服务器、存储器、网络及安全设备应具备虚拟化功能。 5、高性能 由于云服务网络中的流量模型发生了变化，随着整个云平台相关业务的开展，业务

最全的云计算平台设计方案

1.云计算参考架构 在私有云当中，主要包含以下几个组件：物理基础架构、虚拟化层、服务自动化层、服务门户、安全体系、云API和可集成的其它功能。（如图私有云参考架构） 图3.4 私有云参考架构 a) 物理基础架构 物理架构的定义是组成私有云的各种计算资源，包括存储、计算服务器、网络，无论是云还是传统的数据中心，都必须基于一定的物理架构才能运行。 在私有云参考架构中的物理基础架构其表现形式应当是以资源池模式出现，也就是说，所有的物理基础架构应当是统一被管，且任一设备可以看成是无状态，或者说并不与其它的资源，或者是上层应用存在紧耦合关系，可以被私有云根据最终用户的需求，和预先定制好的策略，对其进行改变。 b) 虚拟化层 虚拟化是实现私有云的前提条件，通过虚拟化的方式，可以让计算资源运行超过以前更

多的负载，提升资源利用率。虚拟化让应用和物理设备之间采用松耦合部署，物理资源状态的变更不影响到虚拟化的逻辑计算资源。且可以根据物力基础资源变化而动态调整，提升整体的灵活性。 c) 服务自动化层 服务自动化层实现了对计算资源操作的自动化处理。它可以集中的监控目前整体计算资源的状态，比如性能、可用性、故障、事件汇总等等，并通过预先定义的自动化工作流进行相关的处理。 服务自动化层是计算资源与云计算服务门户相关联的重要部件，服务自动化层拥有自动化配置和部署功能，可以进行服务模板的制定，并将服务内容和选择方式在云计算服务门户上注册，用户可以通过服务门户上的服务目录来选择相应的计算资源请求，由服务自动化层实现服务交付。 d) 云API 云应用开发接口提供了一组方法，让云服务门户和不同的服务自动化层进行联系，通过云API，可以在一个私有云当中接入多个不同地方的计算资源池，包括不同架构的计算资源，并通过各自的服务自动化体系去进行服务交互。 e) 云服务门户 云服务门户是用户使用私有云计算资源的接口，云服务门户上提供了所有可用服务的目录，并提供了完善的服务申请流程，用户可以执行申请、变更、退回等计算资源使用服务。 云服务门户收到最终用户的请求时，将根据预先定义好的策略对该请求进行立刻供应、预留或者排队。 不同的用户通过同一个云服务门户当中，将会看到只属于自己的应用、计算资源和服务目录，这是云计算当中的多租户技术，用户使用的资源在后台集中，但是在前端是完全的逻

云计算平台建设方案详细

云计算平台方案设计 1.1设计方案 1.1.1平台架构设计 XX高新区云计算平台将服务器等关键设备按照需要实现的功能划分为两个层面，分别对应业务层和计算平台层。 业务层中，功能区域的划分一般都是根据安全和管理需求进行划分，各个部门可能有所不同，云数据中心中一般有公共信息服务区(DMZ区)、运行管理区、等保二级业务区、等保三级业务区、开发测试区等功能区域，实际划分可以根据业务情况进行调整，总的原则是在满足安全的前提下尽量统一管理。 计算平台层中分为计算服务区和存储服务区，其中计算服务区为三层架构。计算服务区部署主要考虑三层架构，即表现层、应用层和数据层，同时考虑物理和虚拟部署。存储服务区主要分为IPSAN、FCSAN、NAS和虚拟化存储。 云计算平台中计算和存储支持的功能分区如下图所示： 图云计算平台整体架构

图 平台分层架构 基础架构即服务：包括硬件基础实施层、虚拟化&资源池化层、资源调度与管理自动化层。 硬件基础实施层：包括主机、存储、网络及其他硬件在的硬件设备，他们是实现云服务的最基础资源。 虚拟化&资源池化层：通过虚拟化技术进行整合，形成一个对外提供资源的池化管理（包括存池、服务器池、存储池等），同时通过云管理平台，对外提供运行环境等基础服务。 资源调度层：在对资源（物理资源和虚拟资源）进行有效监控管理的基础上，通过对服务模型的抽取，提供弹性计算、负载均衡、动态迁移、按需供给和自动化部署等功能，是提供云服务的关键所在。 平台即服务：主要在IaaS 基础上提供统一的平台化系统软件支撑服务，包括统一身份认证服务、访问控制服务、工作量引擎服务、通用报表、决策支持等。这一层不同于传统方式的平台服务，这些平台服务也要满足云架构的部署方式，通过虚

电子政务云服务平台的建设方案

电子政务云服务平台的建设方案——商网云政务 结合现代通信技术，把政府所有信息化资源统一接入和管理起来，利用电子政务网的基础网络以服务的形式为有需要的政务部门提供政务服务。 解决方案： 一、平台建设的目的 利用云计算的虚拟化技术，结合现代通信技术，把政府所有信息化资源统一接入和管理起来，利用电子政务网的基础网络以服务的形式为有需要的政务部门提供云政务服务。同时，把政府部门的公开资源也通过平台有效的整合，以服务的形式提供给其他需要的部门或应用（如无线城市），实现无线资源、信息资源、政府的服务资源的充分共享，打造一个以“云计算”为核心的“数字化政务”！ 二、平台建设的意义 本平台的建设无论是从提高政府职能，服务民生，还是在响应国家、市委市政府在云计算以及节能减排等方面都具有重要意义。 1、推动业务扩展、服务广大民生 从服务民生来说，通过电子政务云服务平台可以快速实现低保比对、社会保险查询等民生关心的问题；从服务社会来说，创建卫生城市活动中，民众可以利用手机拍摄卫生死角进行举报，实现全民参与。 2、提高政府效率、保证政令畅通 利用现代通信网的网络资源和移动终端的随身性、方便性，为公务人员提供随时随地获取权限内的政务信息的手段，尤其是为出差中或临时不在办公室的公务人员提供了突破地域和空间以及有线网络长度的限制的工作方式，必将会大大提高政府的工作效率，确保政令畅通，提升政府在公众中的形象。 3、统一资源管理、实现节能降耗 通过该平台可以把政府部门的资源（政务系统、行管部门的业务系统、与政府部门配合的社会服务体系（如社会救助单位）的资源）释放出来，可以方便实现多维政务信息的融合； 因为平台采用统一的网络隔离、安全传输以及应用数据等方面的安全措施保证了政务的安全性，避免了因各政务部门单独建设整套系统（网络、平台、安全设备等）而产生的重复投资，达到节能减排的目的。

云计算平台扩容建设方案详细

基于黄河三角洲云计算的数字城管建设方 案 云计算是为基于自由、平等和分享的网络要求提供可靠、安全、容错、可持续和可扩展的应用服务设施。作为一种最能提现互联网精神的计算模型，云计算在计算成本、计算模式和计算能力上的优势将从多个方面改变我们的工作和生活。云计算在数字城管中的应用，对于数字城管建设模式及其他系统的相关技术发展产生深远的影响，为数字城管建设中长久以来无法解决的投资高、建设周期长、质量难以保证及维护和安全问题提供了切实可行的解决方案，为加快数字城管普及奠定基础。 一、引言 "数字化城市管理"就是指以信息化手段和移动通信技术手段来处理、分析和管理整个城市的所有部件和事件信息，促进城市人流、物流、资金流、信息流、交通流的通畅与协调。换句话说，就是把像井盖、路灯、邮筒、果皮箱、停车场、电话亭等城市元素都纳入城市信息化管理的范畴，给每样公物配上一个"身份证"，如果街道上的井盖坏了，家门口的路灯不亮了，不用打投诉电话，在移动gps定位系统的跟踪搜索下，有关部门就会在第一时间发现并把问题解决掉。 数字化城市管理新模式，就是采用万米单元网格管理法和城市部件、事件管理法相结合的方式，应用、整合多项数字城市技术，研发了信息采集器"城管通"，创新信息实时采集传输的手段，创建城市管理监督中心和指挥中心两个轴心的管理体制，再造城市管理流程，从而实现精确、敏捷、高效、全时段、全方位覆盖的城市管理模式。 数字城管在建设及应用中一直存在建设费用高、建设周期长、系 统维护费用高、出现问题得不到及时解决、售后服务差、系统安全性低等弊端，而云计算技术的出现，将为数字城管系统解决上述问题提供了一种崭新的、较为理想的办法。 二、云计算技术 1、云计算的概念 在 ibm云计算白皮书中，可以看到的定义："云计算 "一词同时用来描述一个系统平台或者一种类型的应用程序。一个云计算的平台可按需进行动态的供给provi?sion）、配置（configuration）、重新配置（reconfigure）以及取消服务（deprovision）等。在云计算平台中的服务器可以是物理的服务器或者虚拟的服务器。高级的计算云通常包含一些其他计算资源，如存储区域网络（san）、网络设备、防火墙以及其他安全设备等。 2、云计算的特点 2.1、规模经济 如果购买一台pc终端，需要购买显示器、硬盘、cpu、内存等一整套设备，并确保其整体性能满足工作和学习的需要。而利用云计算技术，可能只需要一台显示器，并接入互联网，就可以实现一切在终端pc上所能做的事情，而且不必担心自己购置的设备被淘汰，因为云计算所采用的硬件设备是供应商负责维护和更新，用户不必花费大量的资金即可获得大量的优质服务。 2.2、强大的计算和存储能力 云计算将计算和数据分布在大量的分布式计算机上，云中的计算机提供强大的计算能力，能够完成传统单台计算机根本无法完成的计算任务。同时，云中的计算机具有庞大的数据存储空间。 2.3、高安全性 在云计算模式中，数据集中存储，因而更容易实现安全监测。依托云计算模式中的一个或若干个数据中心，管理者对数据进行统一管理、分配资源、均衡负载、部署软件、控制安全，并进行可靠的安全实时监测，从而最大限度地保证用户的数据安全。