XXX云平台规划方案

《XXX云平台规划方案》由会员分享，可在线阅读，更多相关《XXX云平台规划方案（21页珍藏版）》请在装配图网上搜索。

1、目录1方案整体规划 错误!未定义书签整体拓扑 错误!未定义书签设计依据 错误!未定义书签方案描述 错误!未定义书签2网络部分规划 错误!未定义书签网络拓扑 错误!未定义书签设计依据 错误!未定义书签方案描述 错误!未定义书签物理交换网 错误!未定义书签云平台虚机网络 错误!未定义书签3计算及存储规划 错误!未定义书签平台拓扑 错误!未定义书签设计依据 错误!未定义书签方案描述 错误!未定义书签弹性与自动化的基础设施 错误!未定义书签按需服务，平台交付 错误!未定义书签敏捷的IT服务水平错误!未定义书签。简化管理，智能统一运维 错误!未定义书签硬件故障无害化，保障业务连续 错误!未定义书签计算虚

2、拟化需求 错误!未定义书签分布式存储 错误!未定义书签网络虚拟化（SDN） 错误!未定义书签。4 网络安全规划错误!未定义书签方案目标 错误!未定义书签设计依据 错误!未定义书签等保要求 错误!未定义书签方案拓扑错误!未定义书签功能描述 错误!未定义书签5 运维管理规划 错误!未定义书签设计依据 错误!未定义书签方案描述错误!未定义书签6 附件：功能参数 错误!未定义书签。1方案整体规划1.1整体拓扑方案划分为五个功能区： 线路接入区：包含互联网线路，市局、各委办局、采集点等专线接入 网络纵深防御区：包含各种网络安全、审计设备，符合等保3级规范要求 核心交换区：包含万兆核心交换集群及汇聚交换设

3、备 网管、客服区：包含网管平台及客户终端 计算、存储区：包含云计算机平台和分布式存储系统。1.2设计依据传统计算中心观念是根据功能需求的变化实现对应的硬件功能盒子堆砌而 构建的，这非常类似于传统软件开发的组件堆砌，被已经证明为是一种较低效率 的资源调用方式，而如果能够将整个网络的构建看成是由封装完好、相互耦合松 散、但能够被标准化和统一调度的“服务”组成，那么业务层面的变更、物理资 源的复用都将是轻而易举的事情。因此提出支撑业务运行的底层基础设施也应当 向“面向服务”的设计思想转变，构造“面向服务的数据中心”(Service Oriented Data Center SODC)。具体而言SOD

4、C,应形成这样的资源调用方式：底层资源对于上层应用就像由 服务构成的“资源池”，需要什么服务就自动的会由网络调用相关物理资源来实 现，管理员和业务用户不需要或几乎可以看不见物理设备的相互架构关系以及具 体存在方式。SODC的框架原型如下所示：在图中，隔在基础架构和用户之间的“交互服务层”实现了向上提供服务、 向下屏蔽复杂的物理结构的作用，使得网络使用者看到的网络不是由复杂的基础 物理功能实体构成的，而是一个个智能服务安全服务、移动服务、计算弹性 服务、分布式存储服务等，至于这些服务是由哪些实际存在的物理资源所提供， 管理员和上层业务都无需关心，交互服务层解决了一切资源的调度和高效复用问 题。S

5、ODC构成的数据中心IT架构必将是整个数据中心未来发展的趋势，虽然实 现真正理想的SODC融合的架构将是一个长期的历程，但在向该融合框架迈进的 每一步实际上都将会形成对网络灵活性、网络维护、资源利用效率、投资效益等 方面的巨大改善。因此本次数据中心的建设规划，要求尽可能的遵循如上所述的 新一代面向服务的数据中心设计框架。在基于SODC的设计框架下，规划的新一代数据中心应实现如下设计原则： 简化管理：使上层业务的变更作用于物理设施的复杂度降低，能够最低限度的减少了物 理资源的直接调度，使维护管理的难度和成本大大降低。高效复用：使得物理资源可以按需调度，横向无限扩展，物理资源得以最大限度的重用，

6、减少建设成本，提高使用效率。即能够实现总硬件资源占用量降低了，而每个业 务得到的服务反而更有充分的资源保证了。策略一致：降低具体设备个体的策略复杂性，最大程度的在设备层面以上建立统一、抽 象的服务，每一个被充分抽象的服务都按找上层调用的目标进行统一。1.3方案描述SODC架构是一种资源调度的全新方式，资源被调用方式是面向服务而非像 以前一样面向复杂的物理底层设施进行设计的，而其中交互服务层是基于服务调 用的关键环节。网络整合SODC要求将数据中心所需的各种资源实现基于网络的整合，这是后续上层 业务能看到底层网络提供各类SODC服务的基础。数据中心网络所必须提供的资源包括：智能业务网络所必须的智

7、能功能，比如高可靠性、多台交换设备虚机化、安 全访问控制、设备智能管理等等；统一整合数据中心的三大资源网络：高性能计算网络；存储交换网络；数据 应用网络。这三类资源的整合将是检验新一代数据中心网络SODC能力的重要标 准。因此本方案中的“核心交换区“是由两台高端核心交换设备，虚机为一台交 换设备，统一对外提供数据交换、存储交换接入能力。计算、存储整合SODC要求将数据中心所需的各种计算、存储实现统一整合和交付，上层业 务不需考虑底层计算资源和存储资源的物理结构。只需根据业务系统划拨使用， 底层计算和存储动态实现资源按需使用，动态扩展，数据安全等。本方案中的“计算、存储区“是由统一整合计算和存储

8、的云平台来实现，云 平台由多台高端定制化的硬件服务器配合云系统来实现：集中管理：云平台提供了集中管理能力，从而对计算、存储资源的统一化及 动态化分配和管理。高度可扩展能力：提供了真正意义上的水平扩展能力，没有中心节点，集群 的规模可以以数千台服务器为单位。可以按需增加计算资源和存储资源，单 个云平台可以管理到超过6万台虚机，从而满足各种规模中心发展的需要。最可靠的平台：云平台从底层就提供了数据的多副本，当服务器出现硬件故 障时，云平台可以将该服务器上的负载自动迁移到其他可用的服务器上，保 障应用负载在硬件失败时自动恢复。平台内部的物理网络都是双冗余配置， 以确保物理网络连接的高可用。云计算平台

9、还使用SDN等网络虚拟化技术， 构建高可用的虚拟用户网络。云平台通过使用分布式文件系统，构建统一的 存储池，提供包括实时异地多副本和硬盘快照等功能，保证用户数据的安 全可靠。在应用服务方面，云平台提供虚拟的负载均衡器。负载均衡器把 用户请求转发到多台应用服务器上，一旦某台应用服务器失败，负载均衡 器可以把失败的应用服务器隔离，但对用户请求仍然可以由其他的应用服务 器提供。达到高可用性、负载平衡的运行环境。动态资源调整：云平台的计算、存储、网络等资源的物理位置及底层的基础 架构对于用户来说是透明和不相关的。通过虚拟化技术可以实现硬件资源 的整合池化，云平台所分配的计算、存储和网络资源都可以根据需

10、要动态 地调整，从而达到整个云计算平台资源的平衡，最合理地利用硬件计算资 源，提高IT资源的整体使用率。易用性：云平台提供了一个统一的、易用的访问门户以及手机客户端，用户 在云平台上申请自己所需的服务（功能）与所需的硬件资源。直观的访问界面和操作提示减少用户培训时间，减少了二次学习时间。安全的平台：云平台从多角度提供了数据安全，不仅是私有网络的 二层隔离，角色授权、操作日志、访问日志等机制全方位保护云平台的安全 性。更和业界领先的云安全厂商合作，整合更专业的安全组件。2网络部分规划2.1网络拓扑核心交换集群：采用两台高端交换设备进行虚机化集群，由两台交换机虚机 为一台高性能、高可用性、高负载能

11、力交换机对象，提供万兆网络和存储接入服 务。汇聚交换机和云平台节点服务器均使用10G光纤链接核心交换集群。2.2设计依据数据中心的设计需要综合考虑客户需求和技术成熟度（包括网络技术，节能 技术和行业标准等）因素。客户需求数据中心的客户需求包括客户的业务战略需求，应用部署需求，网络管理需 求和成本需求等多方面。业务战略需求：包含客户业务发展战略对数据中心网络的需求， 如未来几年内随着业务发展，对网络的容量、性能及功能产生 的新需求。应用部署需求：包含应用软件系统、服务器和存储设备对网络性 能和功能的需求。网络管理需求：数据中心网络除了支持自身的管理外，还是服务 器、存储盘阵和其他应用系统的管理运

12、行平台。各系统的日常 管理、控制指令都需要通过网络提供的管理平台发布和执行。成本需求：数据中心网络规划应充分考虑机房环境，投资回报和 维护成本问题。在综合布线，供电和制冷规划时参照绿色节能 的理念，降低数据中心整体能耗，提高能源效率。技术趋势近两年随着数据中心的大规模建设，数据中心网络技术快速发展。下图为目 前数据中心设计技术发展趋势。数据中心网络所处的整合、虚拟化和云计算三个阶段相互区别，但并非简单 换代关系。整合阶段：本阶段偏重资源整合，网络性能要求低，业务分区物 理独立，业务较固定。虚拟化阶段：该阶段的网络设计承前启后，能够提供较好的业务 灵活性，使传统数据中心结构得以延续。云计算阶段：

13、该阶段数据中心的网络设计要求资源能够灵活调 度，性能高，物理和逻辑分区界限模糊化且资源灵活按需使用。数据中心网络规划设计应该以现有网络架构为基础采用阶段化策略，逐步建 立稳健、可持续运行的网络架构。数据中心网络设计人员还需要考虑以下几个要 素：数据中心机房的物理布局：包括基础设施配备限制，物理空间使 用，机房部署和布线空间等制约条件。数据中心现有网络的现状：通常现有的网络是根据实际情况发展 出来的，必须对网络现状进行具体分析，才能设计规划出适合 的数据中心网络。如某些专有系统对网络有特殊要求，数据中 心网络必须满足，有些系统运行管理流程的要求，数据中心网 络也必须满足。数据中心的行业标准：设计

14、数据中心网络时必须支持相关的行业 标准，如TIA942布线标准、IEEE的各种接口标准，网络距离 限制都需要尽量满足，以适应未来数据中心的运行管理和业务 扩展。设计原则数据中心网络设计遵循以下设计原则：发展阶段目前的建设阶段为“云平台”建设。模块化考虑到业务的调整及发展，网络结构和系统结构设计模块化、易于 扩展。咼可靠网络设计中采用冗余网络设计，实现关键设备、链路冗余；关键设 备选用高可靠性产品，可实现单板、模块热拔插、控制模块设计冗 余、电源冗余；减少网络层级，简化网络结构，从网络架构上提高 可靠性。安全隔离数据中心网络应具备有效的安全控制。按业务、按权限进行分区逻 辑隔离，对特别重要的业务

15、采取物理隔离。以服务器为中心的业务、IP存储备份、管理网络等多个网络进行 逻辑隔离，管理网络采取物理隔离。可管理性和可维护性网络应当具有良好的可管理性。为了便于维护，应尽可能选取集成 度咼、模块可通用的产品。2.3方案描述2.3.1物理交换网核心交换集群：采用两台高端交换设备进行虚机化集群，由两台交换机虚机 为一台高性能、高可用性、高负载能力交换机对象，提供万兆网络和存储接入服 务。汇聚交换机和云平台节点服务器均使用10G光纤链接核心交换集群。2.3.2云平台虚机网络网络虚拟化以软件方式完整再现了物理网络。虚拟网络不仅可以提供与物 理网络相同的功能特性和性能保证，而且还具有虚拟化的运维优势和硬

16、件独立 性，包括快速调配、无中断部署、自动维护等。网络虚拟化将逻辑网络连接设备 和服务(逻辑端口、交换机、路由器、防火墙、负载平衡器和VPN等)提供给已 连接的工作负载。应用在虚拟网络上的运行与在物理网络上完全相同。使用SDN 技术，实现网络控制平面和转发平面的分离，由此提供更友善、更强大的网络配 置和控制能力。云平台通过网络软件定义(SDN)技术实现虚拟网络的编程控制和网络功能 虚拟化(NFV)。云平台提供了两种组网方式：基础网络和私有网络。前者是一个 由QCMS维护的全局网络，后者是基于VXLAN协议由用户自行管理和定义的网络。2.3.2.1 私有网络虚拟私有网络(VPC)是云平台环境内可

17、以为用户预配置出的一个专属的大型 网络。在VPC网络内，您可以自定义IP地址范围、创建子网，并在子网内创建 主机/数据库/大数据等各种云资源。私有网络之间是 100%隔离的，以满足对安 全的100%追求。私有网络类似物理世界中使用虚拟交换机(L2 Switch)将多台服务器连接 在一起，组成的局域网。虚拟路由器用于多个受管私有网络之间互联，并提供多 项附加功能：DHCP、端口转发、VPN、隧道服务和访问控制，涵盖了常用的网络 配置与管理工作。当用户使用多台主机工作时，通常会让不同功能的主机分布在 不同的子网里，例如：Web服务器和DB服务器因为访问要求的不同而被分配在 不同的子网里。提供的私有

18、网络功能帮助用户轻松完成组网工作，针对上述案例， 只需将Web服务的主机和DB服务的主机放置在不同的私有网络里即可。私有网络的节点通讯从传统树形结构变成网状结构，所有节点之间进行点对 点直接通讯，提高了节点间通讯的性能。私有网络之间的通讯不在依赖单个虚拟 路由器，而是通过分布式网关实现。提高了私有网络之间通讯的效率，也提高了 单个路由器可以接驳的私有网络数目。一个私有网络可以连接254个子网(Vxnet)，且最多可以容纳60,000台虚 拟主机。通过分布式路由器和虚拟直连技术，云平台的VPC网络可以在大规模部 署的情况下，保障网络集群的高性能和高可用。 VPC 网络也可以实现和公网 In te

19、r net的高效互通，任意一台VPC网络管理的主机都可以直接绑定EIP；同时， 负载均衡器也可以直接连接VPC网络内的主机。在VPC网络里，管理路由器只负责VPN/隧道/DNS/端口转发等管理功能，以 及这些管理流量的转发和路由，不再处理子网之间的转发流量。VPC网络内的主 机可以绑定自己的EIP；设置专属的防火墙，这些IP、防火墙与管理路由器之间 没有隶属关系。2.3.2.2 自管网络如果云提供的路由器功能无法满足您对网络管理的需求，您可以创建自管私 有网络，以自行配置和管理该网络。一个云主机可以加入多个自管网络，每个自管网络对应云主机的一块虚拟网 卡：从操作系统角度可以看到系统有4个网卡，

20、ethO对应到受管网络，eth13 对应到3个自管网络smn 1,smn3和smn2。手工可以修改自管网络的网络配置。 如 eth1 被修改为。此时如有其它云主机也加入到smn1自管网络且设置ip到同一个网络，则两 个云主机可以相互ping通。2.3.2.3 网络功能虚拟化通过软件定义网络实现了网络功能虚拟化，提供了虚拟负载均衡、虚拟防 火墙功能。虚拟负载均衡器可以将来自多个 EIP 地址的访问流量分发到多台主机上， 并支持自动检测并隔离不可用的主机，从而提高业务的服务能力和可用性。 同 时，你还可以随时通过添加或删减主机来调整你的服务能力，而且这些操作不 会影响业务的正常访问。 负载均衡器支

21、持 HTTP/HTTPS/TCP 三种监听模式，并 支持透明代理，可以让后端主机不做任何更改，直接获取客户端真实 IP。 另 外，负载均衡器还支持灵活配置多种转发策略，实现高级的自定义转发控制功同时，提供的虚拟防火墙来保护网络的访问。云的虚拟防火墙采用的是分布 式防火墙技术，就是利用每个计算节点物理主机的IPTABLES,把所有计算节点 组成了一个分布式的防火墙。为每个用户提供了一个缺省防火墙，我们也可以自 建更多的防火墙。不同的云服务器可以被设置不同的防火墙策略。2.3.2.4 物理组网由于不仅需要支持虚拟机之间高速的通信，还要支撑完成多份实时副本的 工作，为保证整个平台的性能，我们规划云平

22、台的支撑网络应该规划为万兆（10Gb/s ）网络,。在云计算管理平台对于网络设备的使用都只当为二层（链路层）设备来使 用，物理网络设备只是解决连通性问题，无需使用任何三层（网络层）的协议。 这样的好处是在确保性能最优的前提下，无需复杂的配置，无论是工程实施，还 是后期维护，工作量都大大减少了；同时系统的构建不用依赖任何厂家的网络产 品，再也没有厂商锁定的困扰。3计算及存储规划3.1平台拓扑整个云平台由：控制节点、对象存储网关节点、计算、分布式存储节点、 对象存储节点构成。3.2设计依据从技术架构来看，云计算出现之前的数据中心大多采用“竖井式”的应用开 发部署方式，无论是机房基础设施，还是网络资

23、源、存储资源、计算资源等都采 用专业化维度的部署管理，对于应用软件投产、数据分布及备份采用按应用系统 “一事一议”的方式部署。这种各个系统部件、应用紧耦合的维护、变更模式流 程较为复杂。数据中心普遍通过在ServiceDesk中采用专门的变更、问题流程管 理功能协调各专业部门的工作流。随着业务的发展，数据中心在一定程度上出现 了 IT资源局部富余但整体紧张的现象。数据中心为了更好的管理既有业务系统，同时提升IT系统的运行效率，规 划采用云数据中心方式对业务系统提供统一的IT能力服务平台。另一方面，考虑到数据中心未来长期的云计算平台建设策略，建议规划整体 的云计算建设路线图，并对当前的基础架构云

24、进行详细设计。云数据中心平台的建设，应该考虑到的设计原则为：可管理性原则系统架构中应提供集成、统一的软硬件管理功能，满足各种日常的管理需求，适 应新一代数据中心管理快捷、方便的特点开放性原则架构必须能够满足自身的稳定性，同时具有集成的异构兼容性，在满足新的业务 需求同时不需要对架构进行重新设计或对现有架构重大修改。可扩展性原则可扩展性是指未来应用系统的业务量增加时，资源能够自动扩展以适应更多用 户、更多的业务处理及存储能力。安全性原则系统架构必须是能够提供认证、访问控制能力的环境，以确保业务关键信息的完 整性、保密性。适度性原则结合自身需求，资源以满足目前要求为基准，并适度前瞻。持续性原则IT

25、架构设计应该具有持续性，满足目前要求并可持续扩展，持续优化。3.3方案描述云计算平台的建设是分阶段、分步来实施的，并且伴随业务访问量和对存储 空间、存储性能的要求，还可对本项目云平台进行水平扩展，本项目规划由：控 制节点、对象存储网关节点、计算分布式存储节点、对象存储节点构成。本次数 据中心的基础架构云的建设可达成以下预期目标：3.3.1弹性与自动化的基础设施通过建设软件定义的数据中心，实现能以按需方式，通过网络，方便的访问 数据中心的可配置计算资源共享池（比如：网络，服务器，存储，应用程序和服 务）。同时以最少的管理开销，完成自动化迅速配置提供或释放资源，应对不确 定以及海量的访问压力时提供

26、足够的计算资源。3.3.2按需服务，平台交付统一便捷的服务提供能力与集成能力，为资源使用者提供标准化的服务目录 与资源申请、管理平台，使其可以方便的连接到云计算平台，申请所需服务与资 源，并便捷的进行管理。降低对于人工配置和流程的依赖，在满足总体管理需求 的前提下提升服务水平。3.3.3敏捷的IT服务水平不仅满足服务器资源池化的需求，同时对存储、网络、数据库、缓存等关键 组件都实现软件定义和标准的服务提供能力，将物理资源转化为逻辑资源，利用 模版化、API、秒级交付、批量构建等手段，加速IT资源的供给速度，提高服务 水平。3.3.4 简化管理，智能统一运维通过云计算管理平台，实现对资源的统一化

27、及动态化分配和管理。将多组服 务器、网络和存储通过软件定义技术， 将其作为一个超大规模的集群进行统一 管理，可以对其进行资源的动态分配和调整及回收， 提高管理效率，并通过安 全设置可以保证虚拟资源的安全性和独立性。3.3.5 硬件故障无害化，保障业务连续通过其高可用设计，可以实现最可靠的运算平台。将任何一台服务器的失败， 云计算管理平台都可以自动发现，并把失败的服务器从可用服务器列表中剔除， 从而保证任意时间用户请求的计算资源都是建立的可用的服务器之上。同时，将 该服务器上的负载自动迁移到其他可用的服务器上，保障应用负载在硬件失败时 自动恢复。同时方案提供各种应用、数据的备份机制（高连续性服务

28、），可实现应用层 面的多节点负载、快照、HA，数据节点的3副本的备份机制，提供多种安全保障 功能，解决业务的意外中断和数据丢失困扰。同时实现网络的冗余配置，以确保物理网络连接的高可用。使用 SDN 等网络 虚拟化技术，构建高可用的虚拟用户网络。使用分布式文件系统，构建统一的存 储池，提供包括实时异地多副本和硬盘快照等功能， 保证用户数据的安全可靠。 在应用服务方面， 提供虚拟的负载均衡器，把用户请求转发到多台不同物理宿 主的应用服务器上， 一旦某台应用服务器失败， 负载均衡器可以把失败的应用 服务器隔离， 但对用户来讲，其请求仍然可以由其他的应用服务器提供。达到 高可用性、负载平衡的运行环境，

29、保障业务连续。3.3.6 计算虚拟化需求计算虚拟化是指通过虚拟化技术将一台物理计算机虚拟为多台逻辑计算机。 在一台物理计算机上同时运行多个逻辑计算机，每个逻辑计算机可运行不同的操 作系统，并且应用程序都可以在相互独立的空间内运行而互不影响，从而显著提 高计算机的工作效率。虚拟化使用软件的方法重新定义划分IT资源，可以实现IT资源的动态分配、 灵活调度、跨域共享，提高IT资源利用率，使IT资源能够真正成为社会基础设 施，服务于各行各业中灵活多变的应用需求。计算虚拟化的功能及技术需求如下：-采用目前主流的KVM全虚拟化技术，应支持不重启主机动态升级KVM版 本；-支持计算资源虚拟化，形成分布式计算

30、资源池。虚拟化效率不小于;-支持计算设备“一虚多”。同一台物理主机上同时支持多种操作系统， 或是相同操作系统的不同版本。分区与分区之间相互独立，互不影响；-支持资源的动态调配与弹性可伸缩。资源池具备各级资源的按需获取功 能，提高资源消费者的可用性、容错与扩展能力。资源响应的速度应达 到秒级。-支持虚拟机的在线和离线迁移；-支持虚拟机系统自动批量部署，一次同时部署的规模能达到200台虚拟 机。3.3.7分布式存储分布式存储系统，是将数据分散存储在多台独立的设备上。传统的网络存储 系统采用集中的存储服务器存放所有数据，存储服务器成为系统性能的瓶颈，也 是可靠性和安全性的焦点，不能满足大规模存储应用

31、的需要。分布式网络存储系 统采用可扩展的系统结构，利用多台存储服务器分担存储负荷，它不但提高了系 统的可靠性、可用性和存取效率，还易于扩展。分布式存储系统不仅为虚拟主机提供块存储也为对象存储提供存储能力。同 时分布式存储系统提供数据的多（3）个实时副本，保证用户数据的安全。分布式存储系统的功能及技术需求如下：支持增量扩容和自动数据平衡能力，允许用户定制数据分布策略； 架构避免固定的集中控制点，且各节点能自动进行故障监测、切换 以及数据迁移；具备高可扩展性，可支持上亿个文件和PB以上量级的文件存储；支 持不重启系统，增加物理服务器后自动扩容；在不依赖SAN&NAS等特殊硬件设备的条件下，提供高可

32、用性和高可 靠性；提供至少3份数据实时副本，且保证至少有一份跨机架的数据副本； 服务可用性要高于%；数据可靠性要高于；基于SAS硬盘的虚拟存储IO性能不小于120MB/s,基于SSD硬盘的 虚拟存储10性能不小于300MB/S。应采用Shared-nothing架构设计，支持1万以上用户并发读写，支 持1000台以上物理服务器集群。3.3.8网络虚拟化（SDN）网络虚拟化完整再现了物理网络。虚拟网络不仅可以提供与物理网络相同的 功能特性和性能保证，而且还具有虚拟化的运维优势和硬件独立性，包括快速调 配、无中断部署、自动维护等。网络虚拟化将逻辑网络连接设备和服务（逻辑 端口、交换机、路由器、防火

33、墙、负载平衡器和VPN等）提供给已连接的工作负 载。应用在虚拟网络上的运行与在物理网络上完全相同。使用SDN技术，实现网 络控制平面和转发平面的分离，由此提供更友善、更强大的网络配置和控制能力。网络虚拟化和SDN的功能及技术需求如下：采用软件+硬件方式，通过软硬件集成实现SDN，灵活调度与管理虚 拟网络，并实现已应用为中心的基础架构；通过SDN技术实现网络虚拟化，构建网络资源池；支持虚拟私有网络，私有网络间要100%二层网络隔离，支持不同用 户自由使用网络资源；支持虚拟路由器，虚拟交换机，虚拟防火墙，虚拟负载均衡器，可 以按需配置网络逻辑拓扑；通过SDN实现DHCP，端口转发，隧道服务，VPN

34、接入服务和过滤控 制服务；支持通过SDN功能实现机房间通过网络安全隧道（IP-Sec）联通。4网络安全规划4.1方案目标充分解读网络安全等级保护相关政策和标准，全面提升网络安全防护能力,应对新威胁、 新应用下的安全威胁，利用云端安全服务、云防护的创新技术理念与技术落地，实现对网络 安全的智能统一管理，并达到国家网络安全等级保护的相关标准与要求。4.2设计依据中办200327号文件国家信息化领导小组关于加强信息安全保障工作的意见 四部委于2004年9月15日发布公通字200466号信息安全等级保护工作的实施意见四部委2007年06月17日发布（2007）公通字43号信息安全等级保护管理办法GB/

35、T信息安全技术信息安全等级保护基本要求第1部分：安全通用要求GB/T信息安全技术信息安全等级保护基本要求第2部分:云计算安全扩展要求GB/T 31167-2014信息安全技术 云计算服务安全指南GB/T 31168-2014信息安全技术云计算服务安全能力要求4.3等保要求对标新等保的第三级安全通用要求。“物理和环境要求”不在本方案的撰写范畴。网络和通信安全网络架构链路负载防火墙数据库审计运维审计堡垒机WEB防火墙漏洞扫描抗DD0S攻击通信传输防火墙边界防护防火墙运维审计堡垒机访问控制防火墙入侵防范IPS数据库审计WEB防火墙抗DDOS攻击恶意代码防范防火墙防病毒网关安全审计防火墙数据库审计运维

36、审计堡垒机日志审计WEB防火墙漏洞扫描抗DDOS攻击集中管控防火墙漏洞扫描抗DDOS攻击设备和计算安全身份鉴别防火墙虚拟化安全数据库审计运维审计堡垒机WEB防火墙抗DDOS攻击访问控制防火墙虚拟化安全数据库审计运维审计堡垒机WEB防火墙漏洞扫描虚拟化安全数据库审计运维审计日志审计WEB防火墙漏洞扫描抗DDOS攻击入侵防范虚拟化安全WEB防火墙抗DDOS攻击恶意代码防范虚拟化安全虚拟化安全数据库审计运维审计堡垒机WEB防火墙抗DDOS攻击应用和数据安全身份鉴别数据库审计运维审计堡垒机数据库审计运维审计堡垒机WEB防火墙数据库审计运维审计堡垒机日志审计软件容错数据库审计运维审计堡垒机WEB防火墙资

37、源控制数据库审计运维审计堡垒机数据备份恢复数据库审计运维审计堡垒机WEB防火墙个人信息保护数据库审计运维审计堡垒机安全运维管理漏洞和风险管理漏洞扫描4.4 方案拓扑4.5 功能描述产品名称产品描述产品形态数量单位场景及配件 选型链路负载集多线路智能选路和多链 路相互备份，保障网络连通硬件2网络和通信 安全虚拟化安 全提供针对虚拟化平台的一 站式的包含防病毒、ips、 WEBSHELL、主机防火墙的防 护。软件1应用和数据 安全+设备 和计算安全抗 DDOS抗拒绝服务攻击系统支持 多维度的数据分析功能，提 供基于攻击主机、攻击类 型、流量分析、性能分析、 连接分析、数据报文捕捉等 多种数据分析。

38、2网络和通信 安全智慧防火 墙为各行业网络出口打造的 “云+端+边界+联动”下一 代安全防御体系硬件2网络和通信 安全+设备 和计算安全WEB防火 墙利用大数据分析技术，提升 用户“精准发现”其网络中 威胁的能力，需捆绑安服销 售硬件2网络和通信 安全VPN满足网外用户的远程接入硬件1网络和通信 安全IPS检测到对重要节点进行入 侵的行为，并在发生严重入 侵事件时提供报警硬件2网络和通信 安全+设备 和计算安全数据库审 计从保障数据库应用安全的 角度进行设计，以网络数据 捕获能力、数据库协议解 析、事件关联分析为基础， 可以精准识别数据库操作硬件1应用和数据 安全+设备 和计算安全以及采取各种

39、响应行为运维审计 堡垒系统基于软硬件一体化设计，集 账号、认证、授权、申计为 一体的设计理念，实现对事 企业IT中心的网络设备、 数据库、安全设备、主机系 统、中间件等资源统一运维 管理和审计硬件1应用和数据 安全+设备 和计算安全日志审计满足各个行业及单位对合 规性要求的日志审计软件/硬 件1网络和通信 安全+应用 和数据安全 +设备和计 算安全漏洞扫描由系统扫描、Web扫描、弱 口令破解、配置指标检杳于 体化的专业安全产品硬件1安全运维管 理5运维管理规划51设计依据结合国内外信息化管理平台发展特点，针对信息化现状和用户实际需求，自 动智慧运维平台主要从以下两个方面进行建设：建设全面的基础

40、设施管理本次管理平台需要提供全面的基础设施管理，这些管理内容包括网络设备、 网络安全设备、服务器、存储设备、数据库、中间件、标准应用等。在管理设备 的基础上还包括对服务器硬件管理、进程管理等内容。通过全面的基础设施管理， 能够建设一个具备全面和精细的管理平台。建设自动智慧运维管理平台全面基础管理之上，通过自动学习，跟踪设备运行状态，自动建立设备“健 康档案”依据设备的运行状态学习，建立全面的数据基线，基于自动运维理念， 自动对设备的运行异常进行提醒。异常提醒的同时还同步给出操作建议。整个系 统还能做到开放运维，可以将用户的运维经验通过智能策略的方式加入到运维管 理平台，更好满足“私人定制”系统的要求。5.2方案描述具体建设内容如下：系统平台，包括管理平台、智能运维引擎和多用户支持引擎。网络管理，包括网络设备管理、网络拓扑管理、网络性能管理等内容。 应用管理，包括服务器管理、数据库管理、中间件管理和标准应用管理, 建设系统拓扑图、主机日志管理等内容。存储管理，包括对存储设备（磁盘阵列、光纤交换机等）的设备状态、 性能管理，以及各个磁盘、控制器的状态监管，并提供存储容量分析策 略，实现主动分析，透明化监控；告警管理，包括建设设备运行基线、异常提示、处置经验管理和智能巡 检等内容。报表管理，包括网络管理、应用报表等方面各类运行报表、故障报表等 统计信息。