云平台建设总体方案.docx
《云平台建设总体方案.docx》由会员分享,可在线阅读,更多相关《云平台建设总体方案.docx(115页珍藏版)》请在冰豆网上搜索。
云平台建设总体方案
XX单位XX
云计算平台工程技术方案
二O一二年一月
第1章.基本情况
1.1.项目名称
XX单位XX云计算平台工程。
1.2.业主单位
XX单位。
1.3.项目背景
1.3.1.XX技术发展方向
XX,即运用计算机、网络和通信等现代信息技术手段,实现政府组织结构和工作流程的优化重组,超越时间、空间和部门分隔的限制,建成一个精简、高效、廉洁、公平的政府运作模式,以便全方位地向社会提供优质、规范、透明、符合国际水准的管理与服务。
随着网络技术、web2.0、下一代互联网等技术的发展,我国XX建设也发生着变化。
2010年10月,国务院发布了《国务院关于加快培育和发展战略性新兴产业的决定》,就把新一代信息技术产业作为十二五时期的重点方向,要推动新一代移动通信、下一代互联网核心设备和智能终端的研发及产业化,加快推进三网融合,促进物联网、云计算的研发和示范应用。
1.3.2.有关XX公开的相关要求
全国XX领导小组发布了《关于开展依托XX平台加强县级政府XX和政务服务试点工作的意见》,就开展依托XX平台加强县级政府XX和政务服务试点工作提出了相关意见。
要求在试点县(市、区),用一年左右时间,建立和完善统一的XX平台,充分利用平台全面、准确发布政府信息公开事项,实时、规范办理主要行政职权和便民服务事项,并实现电子监察全覆盖,为在全国全面推行奠定基础、积累经验。
1.4.建设规模
本期建设规模为(后续根据实际服务器及机房环境进行调整):
编号
设备
数量
单位
硬件设备
1.1
刀片式PC服务器
片
刀片服务器机箱
个
1.2
机架式PC服务器(4CPU)
台
1.3
机架式PC服务器(2CPU)
台
1.4
FCSAN磁盘整列
台
1.5
NAS存储系统
台
1.6
异构存储(云存储)控制系统
台
1.7
虚拟带库
台
1.8
SAN光纤交换机
台
1.9
核心交换机
台
1.10
汇聚交换机
台
1.11
链路负载均衡设备
台
1.12
服务器负载均衡设备
台
1.13
防火墙
台
1.14
接入交换机
台
1.15
WEB应用防护抗攻击系统
台
1.16
入侵防御系统
台
1.17
防病毒网关
台
1.18
VPN网关
台
1.19
数据库安全审计系统
台
1.20
运维安全审计系统
台
1.21
安全代理应用服务器
台
1.22
PKI应用服务器
台
1.23
身份认证系统
套
1.24
网闸
台
1.25
网络KVM
台
1.26
KVM集中器
台
1.27
短信机MAS信息机
台
2.1
云计算平台管理软件
套
2.2
VmwarevSphere4.1企业版(1CPU)72套,VmwarevCenter标准版1套
套
2.3
GalaX8800OperatingEditionV100R001for1CPU,一年技术服务
套
2.4
WindowsServer2008R2中文企业版
套
2.5
RedHatEnterpriseLinux-企业版
套
2.6
物理机高可用群集软件
套
2.7
虚拟机高可用群集软件
套
2.8
应用服务器软件
套
2.9
Oracle数据库管理系统
套
2.10
MSSQL数据库管理系统
套
2.11
MySql数据库管理系统
套
2.12
数据备份软件
套
2.13
目录服务器软件
套
2.14
防病毒软件
套
2.15
漏洞扫描设备
台
2.16
网页防篡改软件
套
2.17
SOC安全管理系统
套
2.18
云安全服务
套
3.1
UPS
套
3.2
标准机架
台
3.3
机房精密空调
台
1.5.投资概算
本项目本期工程概算总投资为XXXX万元(人民币)。
1.6.设计依据
《中华人民共和国国民经济和社会发展第十二个五年规划纲要》;
《计算机场地技术条件》(GB2887-89)
《计算站场地安全要求》(GB9361-88)
《电子计算机机房设计规范》(GB50174-93)
《供配电系统设计规范》(GB50052-92)
《低压配电装置及线路设计规范》(GBJ—83)
《建筑物防雷设计规范》(GB50057-94)
《电子设备雷击保护守则》(GB7450-87)
《工业企业通信接地设计规范》(GBJ79-95)
《中华人民共和国保密标准》(BMB3-1999)
《涉密信息设备使用现场的电磁泄漏发射防护要求》(BMZ1-2000)
《涉及国家机密的计算机信息系统保密技术要求》(BMZ1-2000)
《涉及国家机密的计算机信息系统安全保密方案设计指南》(BMZ2-2001)
《涉及国家计算机信息系统安全保密测试指南》(BMZ3-2001)
1.7.设计范围
本方案涉及范围包括以下几个部分:
(1)基本情况;
(2)现状与需求分析;
(3)总体设计;
(4)建设方案;
(5)设备配置要求;
(6)培训及维护;
(7)项目实施;
(8)概算编制。
1.8.设计分工
待定。
第2章.
现状及需求分析
2.1.项目意义及建设必要性
XX单位作为信息化建设持续居于全国前列的经济信息大省,对云计算的表现模式及其能够带来的经济效益表现出持续关注。
本项目提出建设政务云计算平台,对于整合XX资源、提高省直部门计算资源配置效率,建设重复信息化投资,打造绿色XX,推动高新技术产业发展,都具有长远的现实意义。
(1)云计算是信息技术和产业发展的必然趋势
云计算是网格计算、分布式计算、虚拟化等传统计算机技术和网络技术发展融合的产物。
它旨在通过网络把多个成本相对较低的计算实体整合成一个具有强大计算能力的完美系统,并借助SaaS、PaaS、IaaS、MSP等先进的商业模式把这强大的计算能力分布到终端用户手中。
作为一种新兴技术和商业模式,云计算将加速信息产业和信息基础设施的服务化进程,催生大量新型互联网信息服务,带动信息产业和信息化建设格局的整体变革。
加快云计算发展,不仅是我省提升数字XX综合竞争力、培育新增长点的重要途径,也是促进产业机构调整、率先实现跨越式发展的重要举措。
(2)县级XX是推动XX单位云计算应用的第一步
云计算是当今信息技术、信息化的战略制高点。
当前,我省正在贯彻落实《国务院办公厅转发全国XX领导小组关于开展依托XX平台加强县级政府XX和政务服务试点工作意见的通知》,将县级XX作为推动XX单位云计算应用的第一步,在实践中摸索云计算为XX单位带来的新机遇,通过政府应用起到的示范和带动作用,促进全省信息化建设水平的提高,带动信息产业的发展,战略信息技术及产业的战略高地。
(3)提高政务部门计算资源配置效率,减少重复建设,节能减排
XX单位XX建设以来,全省部署了大量的业务应用系统,涉及海量的网络设备、服务器及存储设备。
这些设备CPU和内存利用率残差不齐,大多数较低,部分工作效率在20%以下,同时也有部分部门计算硬件资源极端匮乏。
这样,不仅闲置了宝贵的计算资源,浪费了电力,不利于节能减排,又未能很好地解决资源匮乏部门的实际问题。
如果将这些设备整合建设为云计算平台,服务器的利用效率将得到极大提升(40%~60%),能够动态、弹性、可回收地为各政务部门提供服务。
总之,云计算可望提高应用程序部署速度、促进创新和降低成本,同时还增强了业务运作的敏捷性。
本项目对我省云计算的发展和应用具有带动、示范、服务、探索等多重作用,对带动我省信息化建设进入新阶段,探寻我省新的经济建设模式具有重大的现实意义,有必要尽快实施。
2.2.现状分析
XX单位已经建成了较为完善的XX网络系统,经过04年、06年两次大的扩容改造后,覆盖全省的XX网络全面建成,信息资源目录体系与交换体系、信息资源公开和共享机制、信息安全基础设施基本建立,重点业务应用系统实现互联互通,管理体制进一步完善,信息技术在政府工作中得到普遍应用。
XX单位信息中心作为负责XX单位政府政务数据中心建设和维护的核心信息化部门,服务于XX单位政府部门宏观决策支持、信息资源开发利用、数据交换、XX、信用体系建设等六大重点业务,按照工信部和国家发改委的要求,近年来一直致力于政务云计算的铺垫和准备工作,逐步完成了政务数据整合和云就绪准备的前期工作。
为推动数字XX建设科学发展,创新XX建设模式,推进云计算应用及相关产业的发展,根据省领导指示精神,下一步将重点建设XX单位政务云。
在完成了各部门分散的IT资源和信息数据的整合之后,政府将通过云计算平台,实现面向更多公众服务、带动本地信息化发展等目标。
2.3.需求分析
2.3.1.长期需求
满足未来10年XX单位信息化建设基于XX的信息系统对网络、服务器、存储、软件等基础架构的需要,面向全省政务系统提供信息共享平台及云计算平台。
根据XX单位政府和省经信委对数字XX的长远规划,不仅要搭建XX云计算平台,试点并承载相关业务,还需要进行XX云计算平台的开发和建设,运行核心业务系统。
2.3.2.本期需求
满足今后3到5年XX单位信息化建设基于XX的信息系统对网络、服务器、存储、软件等基础架构的需要。
鉴于每个应用系统对基础架构资源的需求难以确定,本期工程暂时按照最小经济规模的云计算平台建设,计算资源池的服务器物理数量规划为XXX台,存储及网络设备根据实际需要进行配套。
2.3.2.1.硬件需求
本次需要配置的硬件包括:
主机:
刀片服务器、机架式服务器等;
存储:
SAN存储、NAS存储、IP存储、虚拟带库、易购存储控制系统、SAN交换机等;
网络设备:
路由器、交换机、负载均衡、VPN网关等;
安全设备:
防火墙、入侵防御、防毒墙、运维安全审计系统、数据库安全审计系统、漏洞扫描系统。
2.3.2.2.软件需求
除了需要配置一定数量的服务器、存储、网络设备和安全防护设备外,还需要配备相应的系统软件,如:
1、每台物理服务器和虚拟服务器的操作系统:
Windows、Linux等服务器操作系统。
2、虚拟化软件:
实现服务器和存储资源的虚拟化,建立弹性、智能、可回收的资源池;对于新购置的设备,需要进行虚拟化套件的安装调试。
3、中间件:
JAVA及.NET架构的应用服务器等。
4、大型数据库系统:
Oracle、SQLServer、MySQL等。
5、云计算管理平台:
包括网络管理、资源管理、用户管理、统计报表、账单、监控、告警等管理功能。
2.3.2.3.安全需求
虚拟机的应用将导致物理网卡上的流量成几何倍数增加,为了应对云计算环境下的流量变化,安全防护体系的部署需要朝着高性能的方向调整。
安全设备必然要具备对高密度的10GE设置100G接口的处理能力。
同时,考虑到云计算环境的业务永续性,设备的部署必须要考虑到高可靠性的支持,不仅要考虑到设备的可靠性,如采用高性能高可靠高成熟的产品,还应该考虑到设计的可靠性,如双机热备、设备虚拟化、配置同步、板件冗余和预留、跨设备链路捆绑、硬件ByPass等技术的应用。
配置防火墙、入侵防御、漏洞扫描、网页防篡改、全接入网关和身份认证系统,并从安全区域划分、接入层安全、服务器区的安全和安全管理等多方面加强云计算平台的防护。
特别是接入层,采用VPN网关,注册用户从云计算管理中心获得VPNClient,通过VPNClient就可以连接到自己需要的云。
服务器安全方面,所有物理服务器全部配置相应的安全策略,禁止不用的端口的访问,同时在虚拟机模板系统中只打开最小可用端口(如SSH、http、https等),以保证初始系统的安全性。
建立应用节点准入规范,保证应用节点自身的安全防护,避免云内发生交叉感染。
安全管理方面,则以管理制度为主、技术管控为辅,双管齐下。
2.3.2.4.机房需求
鉴于信息中心机房UPS、精密空调承载有限,本项目本期工程应做相应扩容建设。
第3章.
总体设计
3.1.建设目标
3.1.1.预期总目标
整合信息化建设资源,充分利用现有政府网站和政务(行政)服务中心基础设施,结合集约化社区服务信息网络平台建设,对现有XX平台进行调整、升级和改造,满足XX和政务服务应用需要。
具体包括:
(1)采用云计算技术,结合创新建设模式,搭建标准统一、功能完善、系统稳定、安全可靠、纵横互通、集中统一的XX云计算平台,为各部门信息资源共享、数据交换和系统办公提供良好的支撑。
(2)通过建设XX云计算平台,方便未来将新增XX应用快速部署到云计算平台上,大大缩短新IT系统的上线时间,预期将节省设备30%,节约能耗50%。
(3)解决“信息孤岛”,实现信息共享,提高信息安全水平,提升政府监控能力和响应速度,提高工作效率和公共服务水平,提供面向社会的专业性服务和为社会公众提供政务信息服务。
(4)通过降低成本、提升效率、节能减排,满足XX要贯彻落实科学发展观,转变发展模式的需要。
(5)满足在云计算平台上搭建XX应用系统的需要,包括以三层架构为主的应用系统,以及大访问量的应用系统、大数据处理量的应用系统以及大计算量的应用系统。
云计算试点业务运行稳定之后,普及和推广云计算模式,将XX系统、政府网站应用系统、政务服务业务应用系统、电子监察应用系统等纳入政务云计算平台,通过建立政务服务事项信息库、办理过程信息库、办理结果信息库、监察规则信息库、监察业务信息库等五个信息库,实现政务服务和电子监察信息资源管理。
XX单位政务云计算建设的总体目标是,实现省级政务系统数据共享,利用云计算弹性、智能、可回收的技术优势,低投资、低能耗、高效率地部署居民健康档案系统、统计直报系统、生猪屠宰监管与溯源系统等与政务职能工作相关的应用系统。
XX网络、政府网站、业务管理系统、应用及数据服务中心和信息安全保障体系等纳入统一的政务云计算平台。
3.1.2.阶段性目标
为满足XX和政务服务试点工作的业务需求,基于网络技术、云计算等新兴IT技术手段,建设统一的XX承载平台,根据XX和政务服务目录,将更多的行政职权纳入电子化平台的业务系统办理,建设覆盖行政职权和便民服务事项办理流程的各个环节的电子监察体系。
在初步阶段基础设施先行,建设XX单位XX统一基础承载平台,基于云计算的模式,融入虚拟化等技术,具备统一、共享的特性,可以承载XX、金宏工程等试点业务应用。
同时为下一阶段进一步开展云计算的PAAS、SAAS等业务平台应用,进行经验积累和技术探索。
3.2.建设内容
本项目在充分整合XX数据中心资源的基础上,配置必要软硬件设备,为省直部门的信息系统提供统一的基础设施服务,在IaaS层构建较为完整的XX云计算平台。
建设内容包括以下几部分:
硬件设备:
刀片服务器、机架式服务器、SAN存储、NAS存储、IP存储、虚拟带库、易购存储控制系统、SAN交换机、路由器、交换机、负载均衡、VPN网关。
软件设备:
物理服务器和虚拟服务器的操作系统、虚拟化软件、中间件、大型数据库系统、云计算管理平台。
安全系统:
防火墙、入侵防御、防毒墙、网页防篡改、身份认证系统、运维安全审计系统、数据库安全审计系统、漏洞扫描系统。
同时采购专业机构提供的云安全服务等。
机房配套设备:
UPS、精密空调、标准机架。
3.3.系统的总体结构
3.3.1.设计原则
1、标准化
当前阶段云计算整个产业化还不够成熟,相关标准还不完善。
网络是云计算的核心承载平台,为保证多厂商的良好兼容性,避免厂商技术锁定,网络方案的设计应需要采用标准技术与协议,能够与第三方厂商保持良好的对接。
此外,为保证方案的前瞻性,设备的选型应充分考虑对云计算相关标准(如EVB/802.1Qbg,TRILL等)的扩展支持能力,保证良好的先进性,以适应未来的技术发展。
2、高可用
为保证数据业务网的核心业务的不中断运行,在网络整体设计和设备配置上均是按照双备份要求设计的。
在网络连接上消除单点故障,提供关键设备的故障切换。
关键设备之间的物理链路采用双路冗余连接,按照负载均衡方式或active-active方式工作。
关键主机可采用双路网卡来增加可靠性。
全冗余的方式使系统达到99.999%的电信级可靠性。
要求网络具有设备/链中故障毫秒的保护倒换能力。
具有良好扩展性,网络建设完毕并网后应可以进行大规模改造,服务器集群、软件功能模块应可以不断扩展。
良好的易用性。
简化系统结构,降低维护量。
对突发数据的吸附,缓解端口拥塞压力,能保证业务的流畅性等。
3、增强二层网络
云计算环境下,虚拟机迁移与集群是两种典型的应用模型,这两种模型均需要二层网络的支持。
随着云计算资源池的不断扩大,二层网络的范围正在逐步扩大,甚至扩展到多个数据中心内,大规模部暑二层网络则带来一个必然的问题就是二层环路问题。
采用传统STP+VRRP技术部署二层网络时会带来部署复杂、链路利用率低、网络收敛时间慢等诸多问题,因此网络方案的设计需要重点考虑增强二层网络技术(如IRF/VSS、TRILL、VPLS等)的应用,以解决传统技术带来的问题。
4、虚拟化
虚拟资源池化是网络发展的重要趋势,将可以大大提高资源利用率,降低运营成本。
应有效开展服务器、存储器的虚拟资源池化技术建设,网络设备的虚拟化也应进行设计实现。
服务器、存储器、网络及安全设备应具备虚拟化功能。
5、高性能
由于云计算网络中的流量模型发生了变化,,而随着整个云计算业务的开展,业务都分布在各个服务器上,流量模型从纵向流量转换成复杂的多维度混合的方式,整个系统具有较高的吞吐能力和处理能力,系统各层均不存在阻塞,具备对突发流量的承受能力。
6、开放接口
为保证服务器、存储、网络等资源能够被云计算运营平台良好的调度与管理,要求系统提供开放的API接口,云计算运营管理平台能够通过API接口、命令行脚本实现对设备的配置与策略下发。
7、绿色节能
节能减排是目前网络建设的重要系统工程之一,从网络机房的整体能耗来看,IT设备约占到30%,空调等制冷系统约占45%,UPS、照明等辅助系统约占25%。
所以作为IT设备的节能,不仅要考虑本身能耗比较低,而且要考虑其热量对空调散热系统的影响。
应采用低能耗的绿色网络设备,采用多种方式降低系统功耗。
3.3.2.建设思路
云计算是一种新型的计算资源利用模式。
它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和信息服务。
按照服务实现的程度,目前云计算主要有IaaS、PaaS、SaaS三种业务模式:
1)基础架构服务(IaaS)
Iaas层是以服务的模式提供虚拟硬件资源,主要是将基础设施资源(计算、存储、网络带宽等)进行虚拟化和池化管理,便于实现资源的动态分配、再分配和回收。
目前资源池主要分为计算资源池、存储资源池和网络资源池,同时也包括软件和数据等内容资源池。
在服务提供方面主要以计算资源、存储资源提供为主,如为业务信息系统分配虚拟服务器、有储空间,提供应用服务器、数据库管理系统等应用系统运行环境。
2)应用平台服务(PaaS)
PaaS层主要提供应用开发、测试和运行的平台,用户可以基于该平台,进行应用的快速开发、测试和部署运行,它依托于云计算基础架构,把基础架构资源变成平台环境提供给用户和应用。
为业务信息系统提供软件开发和测试环境,同时可以将各业务信息系统功能纳入一个集中的SOA平台上,有效地复用和编排组织内部的应用服务构件,以便按需组织这些服务构件。
典型的如门户网站平台服务,可为用户提供快速定制开发门户网站提供应用软件平台,用户只需在此平台进行少量的定制开发即可快速部署应用。
3)应用软件服务(SaaS)
SaaS软件即服务,典型的运用模式就是用户通过标准的WEB浏览器来使用Internet上的软件,因此可以不必购买软件,只需要按需租用软件,直接应用。
典型的如电子邮件系统的在线软件服务,用户只需作简单的域名设置,即可部署本单位的电子邮件服务。
鉴于云计算平台应用需求的提出是一个渐进的过程,云平台建设是一项复杂的系统工程,建议XX云计算平台遵循长期规划、分步实施的原则,本期工程首先实现IaaS,后续工程根据应用的实际需求逐步支持PaaS和SaaS的实现。
3.3.3.总体拓扑结构
图1:
XX云计算平台总体拓扑结构图
根据本期工程的需求和建设目标,XX云计算平台总体逻辑拓扑结构如上图所示。
通过链路负载均衡器实现多互联网出口(具体链路供应商待定)链路负载均衡及高可用。
任何ISP专线故障,不影响业务系统正常访问;通过智能DNS系统实现接入用户的就近访问,即电信用户访问互联网接入区走电信链路,联通用户访问互联网接入区走联通链路。
图2:
XX云计算平台云服务分层架构图
XX单位XX云计算平台云服务分层架构图如上图所示。
整个架构分为三层和两体系:
基础设施服务层(IaaS)、平台服务层(PaaS)、应用软件服务层(SaaS)、信息安全体系和运营管理体系,其中信息安全体系和运营管理体系有信息安全管理平台和运营管理平台构成。
IAAS及管理、安全体系建设是本次的建设内容,PAAS、SAAS在后续规划建设。
1、基础设施服务层包括硬件基础设施子层、虚拟化&资源池化子层、资源调度与管理自动化子层。
硬件基础设施子层:
包括主机、存储、网络及其他硬件在内的硬件设备,它们是实现云计算的最基础资源;
虚拟化&资源池化层:
通过虚拟化技术进行整合,形成一个对外提供对资源的池化管理(包括网络池、服务器池、存储池等),同时通过云管理平台,对外提供运行环境等基础服务。
资源调度与管理自动化子层:
在对资源(物理资源和虚拟资源)进行有效监控、管理的基础上,并且通过对服务模型的抽取,提供弹性计算、负载均衡、动态迁移、按需供给、自动化部署等功能,它是实现云计算的关键所在。
2、平台服务层主要在IaaS之上提供统一的平台化系统软件支撑服务,包括统一身份认证服务、访问控制服务、工作流引擎服务、通用报表、决策支持等。
这一层不同于以往传统方式的平台服务,这些平台服务也要满足云架构的部署方式,通过虚拟化、集群、负载均衡等技术提供云状态服务,可以根据需要随时定制功能及相应的扩展。
3、应用软件服务层,是整个XX对外提供的终端服务,可以划分为基础服务和专业服务。
基础服务提供统一门户登录、统一通讯等功能,专业服务主要指XXXX的各种业务应用如流动人口管理、GIS系统、行政审批、网上执法等等。
它们通过应用部署模式相底层的稍微变化,都可以在云计算架构下实现灵活的扩展和管理。
按需服务是XXXXSaaS应用的核心理念,多租约SaaS应用可以满足不同政府用户的个性化需求,通过多个租约向用户提供有差别的服务,通过负载均衡满足大并发量用户服务访问等。
4、云计算平台信息安全管理体系,针对云计算平台建设以高性能高可靠的网络安全一体化防护体系、虚拟化为技术支撑的安全防护体系、集中的安全服务中心应对无边界的安全防护、利用云安全模式加强云端和客户端的关联耦合和采用非技术手段补充等保障云计算平台的安全。
5、运营管理体系:
保障云计算平台的正常运行,提供故障管理、计费管理、性能管理、配置管理、安全管理等等。
3.4.信息的分类编码体系
信息分类编码体系将遵循《政务信息资源目录体系》(GB/T21063-2007)及相关业务、技术、数据标准和规范进行标准化建设。
(1).信息分类编码设计遵循的主要原则
升级会员 