基于全区电子政务外网和电子政务公共云平台应用部署指南阿里修改版Word格式文档下载.docx
《基于全区电子政务外网和电子政务公共云平台应用部署指南阿里修改版Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《基于全区电子政务外网和电子政务公共云平台应用部署指南阿里修改版Word格式文档下载.docx(17页珍藏版)》请在冰豆网上搜索。
是依托政务外网基础设施,开辟为有特定需求的部门或业务设置的VPN网络区域,实现不同部门或不同业务之间的相互隔离,VPN业务主要为少数部门的敏感数据传输提供安全通道。
这些部门的政务外网采用MPLSVPN技术将敏感业务数据与其他数据安全隔离,用于满足“自上而下”及“自下而上”的业务需求,为这些部门与其他厅局委办的互联互通提供安全通道。
该区域主要采用私有地址,在骨干网上采取标签进行交换。
3、互联网接入区是各级政务部门通过逻辑隔离安全接入互联网的网络区域,满足各级政务部门利用互联网的需要。
在互联网接入区,采取了综合的安全防护措施,采用防火墙系统、入侵防御系统和网络防病毒系统,对互联网接入业务提供一定的安全防护。
省和各地市分级出口,省政务外网采取BGP协议与主要运营商进行互联,为省级单位提供互联网业务服务,各地市政务外网自行出口,采取NAT技术,通过静态路由连接本地互联网。
政务外网主干网不路由互联网业务。
(二)主要功能
1、实现厅局委办内部网络到政务云平台的网络贯通。
2、实现各厅局委办政务专网在国家-自治区-市县层面的纵向贯通。
3、实现各厅局委办相互之间的网络互通。
4、实现各厅局委办面向公众的互联网的业务。
第三章电子政务公共云平台说明
电子政务云平台底层采用标准的x86服务器,通过部署云操作系统将各个产品按照集群进行整合,对外提供统一的服务。
云操作系统的底层分布式文件系统聚合普通PC服务器的磁盘资源,屏蔽硬件差异,提供可靠的统一存储空间,并对每份数据提供三个备份。
云操作系统的分布式调度系统采用有向无环图的方式调度。
弹性计算服务,开放存储服务等都采用分布式存储作为底层的存储系统,并采用分布式调度系统进行计算与存储资源的分配与调度。
其中弹性计算主要为用户提供应用运行的环境,开放存储主要提供海量的存储服务,关系型数据库主要提供各种关系型数据库服务,负载均衡主要提供4层7层协议的负载均衡,云盾主要提供各种安全防护功能。
这些服务整合在一起为用户构建了一个安全,海量计算与存储资源。
二、应用架构框架
宁夏政务云应用需要遵循统一的开发规范,低成本、高效的使用弹性计算服务、开放存储服务、关系型数据库服务、负载均衡服务。
通过统一的应用框架,进行数据的整合,为大数据挖掘打下基础。
政务云应用框架如下图所示:
三、提供服务说明
1、弹性计算服务(云服务器)
(1)概述
弹性计算服务,也可以简单理解为云服务器,是政务云平台提供的最基础的计算服务,通常用作应用程序的运行环境,其最重要的特点是弹性,支持垂直和水平扩展两种能力。
垂直扩展,可以在几分钟内升级CPU和内存,实时升级带宽;
水平扩展,可以在几分钟内,创建数百个新的实例,完成任务后,可以立刻销毁这些实例。
弹性计算服务,是一种处理能力可弹性伸缩的计算服务。
其管理方式比物理服务器更简单高效、更稳定、更安全的应用,降低开发运维的难度和整体IT成本,使您能够更专注于核心业务创新。
每个云服务器实例上都运行着用户选择的操作系统,一般是某个Linux或Windows的发行版,用户的应用程序运行在实例的操作系统之上。
云服务器支持两种类型的存储:
云磁盘和临时磁盘,在云磁盘模式下,每份数据存储三个拷贝分布在不同交换机下、不同物理服务器上。
当一个实例的物理机(NC)宕机时,云服务器系统将启动宕机迁移过程,即将此物理机上运行的云服务器都迁移到其他物理机上;
临时磁盘模式下,适宜用于对数据要求高的场景,缺点是当物理机或磁盘发生故障时,临时磁盘的数据将丢失。
实际应用中,应避免完全将原有物理服务器上的应用都照搬跑到云服务器上,最佳实践是将云服务器和其他云产品配合使用,例如,将使用云服务器运行webserver上,使用云平台提供的关系型数据库作为数据库,使用云平台提供的海量数据存储作为文件存储。
(2)支持的操作系统
编号
操作系统
1
WindowsServer2003R2标准版SP264位英文版
2
WindowsServer2003R2标准版SP264位中文版
3
WindowsServer2008标准版SP164位中文版
4
WindowsServer2012标准版64位中文版Beta
5
AliyunLinux5.764位
6
CentOS5.864位
7
CentOS6.564位
8
Debian6.0.664位
9
OpenSUSE13.164位Beta
10
Ubuntu12.0464位
(2)服务规格
根据CPU和内存的不同,宁夏政务云平台对外提供的服务规格如下表所示:
CPU
内存
一核
1GB
2GB
4GB
8GB
两核
16GB
四核
32GB
八核
64GB
十六核
64GB起
5Mbps
6Mbps
8Mbps及以上
2、关系型数据库服务(云数据库)
关系型数据库服务,也可理解为云数据库,是一种稳定可靠、可弹性伸缩的在线数据库服务。
云数据库采用即开即用方式,兼容MySQL、SQLServer两种关系型数据库,并提供数据库在线扩容、备份回滚、性能监测及分析功能。
(2)服务功能
双机热备:
系统采用Active与Standby双机群的模式实现了主从热备,实现秒级的故障切换。
安全防护:
系统提供数据库防火墙,可以检测高危SQL语句等并进行报警,提供Ip白名单实现安全访问规则控制。
1、备份:
缺省情况,有一份数据实时的备份到开放存储中。
用户还可以设定备份策略,比如每晚备份一次等。
2、动态扩容:
用户数据库在不能满足业务增长的时候,可以动态的将数据库的规格变大,并不停止服务的情况下进行切换。
(3)支持的数据库
数据库
版本
MySql
5.1/5.5/5.6
SqlServer
2008R2
(4)服务规格
标准
说明
规格
MySQL(版本5.1或5.5或5.6)
240M
600M
1200M
2400M
6000M
12000M
24000M
48000M
MSSQLServer(版本2008r2)
1000M
2000M
4000M
8000M
3、开放存储服务
开放存储服务,是政务云平台对外提供的海量,安全,低成本,高可靠的云存储服务。
用户可以通过调用API,在任何应用、任何时间、任何地点上传和下载数据,也可以通过用户Web控制台对数据进行简单的管理。
开放存储服务适合存放任意文件类型,包括结构化和非结构化内容。
(2)服务功能
开放存储服务主要为用户提供数据存储服务,用户可以通过以下操作来处理开放存储服务上的数据:
创建、查看、罗列、删除Bucket
修改、获取Bucket的访问权限
上传、查看、罗列、删除Object/ObjectGroup
访问时支持If-Modified-Since和If-Match等HTTP参数
(3)服务特点
按需获取、无限扩展。
在平台总量范围内,数据量可以无限扩展;
可以存储任何对象的数据包括音视频、图片、数据库备份;
单一对象最高可达48TB。
在线数据、便捷访问。
无须部署,申请即用;
支持http/https访问;
支持RestfulAPI,支持各种移动终端和平台上传和下载;
支持防盗链,图片处理。
可用可靠、安全低成本。
分布式架构高可用大于99.9%;
多数据备份可靠性大于99.99999999%;
数据访问多级安全。
4、负载均衡
负载均衡,是对多台云服务器进行流量分发的负载均衡服务。
负载均衡可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。
负载均衡服务是云服务器面向多机方案的一个配套服务,需要同云服务器结合使用。
(2)应用场景
横向扩展应用系统的服务能力,适用于各种webserver和appserver。
消除应用系统的单点故障,当其中一部分云服务器宕机后,应用系统仍能正常工作。
负载均衡服务主要由3个基本概念组成。
其中:
LoadBalancer代表一个负载均衡实例,Listener代表用户定制的负载均衡策略和转发规则,BackendServer是后端的一组云服务器。
来自外部的访问请求,通过负载均衡实例并根据相关的策略和转发规则分发到后端云服务器进行处理,如下图所示:
5、云安全服务
(1)概述
云安全服务利用云计算平台强大的数据分析能力,为政府和企业提供如安全漏洞检测、网页木马检测以及面向云服务器用户提供的主机入侵检测、防DDOS等一站式安全服务。
服务类别
产品名称
功能列表
功能说明
应用层
弱点分析(按需提供)
web漏洞扫描
通过静态分析和动态行为监控,实现对系统中存在的SQL注入,XSS,文件上传等多种web漏洞进行扫描
后台弱口令扫描
通过弱口令库和系统探测,实现对系统后台中存在的弱密码进行检测
危险端口扫描
实现对系统中开启的危险端口进行检测
第三方开源建站系统漏洞扫描
通过对系统应用中使用的第三方开源软件进行识别,实现针对该软件的漏洞扫描
网络层安全
Alibeaver
应用攻击拦截
旁路阻隔Web0Day攻击者,接收和执行管理指令
恶意主机识别
部署在云机房的入口处进行服务部署后,可实现对云服务集群内部的恶意主机进行识别和隔离
DDOS攻击检测
通过beaver来检测DDoS攻击
日志存储
生成任意协议(含HTTP)的访问记录,存储到大数据平台
Aliguard
流量清洗
通过aliguard对攻击流量进行清洗,支持bps、pps、syn畸形包
防护配置
依据实际情况对相应的攻击量开启防御,实现流量攻击防御的可控性和弹性
6、大数据平台
大数据平台是面向政府、企业和个人用户提供端到端的一站式大数据处理、交换和应用解决方案。
(1)功能服务
大数据平台由三大部分组成:
1、计算平台,提供海量数据的离线计算、实时OLAP、流式计算能力,满足各种场景下的数据计算需求。
2、开发平台,提供一站式的数据集成、数据开发、BI分析、应用开发、数据挖掘|机器学习的工作环境,通过数据中心可对数据资产进行集中式管理。
加工好的数据,最终以服务接口的形式对接到应用系统。
3、交换平台,提供数据交易市场。
为多方数据交换提供一套标准的流程和安全机制。
(2)服务特点
1、超大规模数据处理能力,单个集群的规模可达5000台,并且具备跨机房的线性扩展能力,轻松处理海量数据。
2、多租户服务模式,所有存储资源、计算资源、乃至软件功能模块,都可租赁式使用。
租户模型确保用户数据被安全隔离,同时也为数据交换提供了基础。
这种模式可以满足不同的委办局个性化的数据交换需求。
3、端到端的解决方案,数据处理、数据交换、数据应用全流程串通。
4、开放的平台,大数据平台所有模块已实现组件化、服务化,用户可基于大数据平台的编程接口来定制开发各种扩展功能,官方组件可替换,流程可配置。
大数据平台可对接各种第三方系统,包括商业BI软件。
5、Web化的软件服务,可在互联网/内部网络环境下直接使用,无需安装部署,直接使用。
第四章云应用部署注意事项
相比注重于通过硬件来实现高可用和高性能的传统架构,云平台通过分布式架构已经确保自身服务的高可用,通过动态横向扩展来满足不断增长的业务需求,并且集成了备份,监控,HA,审计等一系列基础运维服务,使用方无需考虑一系列繁琐的底层运维,使用方可以更加专注于业务上的研发。
传统的电子政务系统建设方案编制一般是基于国家发改委2007年《国家电子政务工程建设项目管理暂行办法》(55号令)进行编制的,文件中的部分具体要求是基于传统的IOE架构的,而基于公共云平台进行方案编制与此有些不同,下面就方案编制过程中一些区别进行阐述。
一、服务注意事项
(一)云平台不提供中间件软件,各建设单位需自行采购,各单位应根据实际业务情况判断是否采购支持集群的中间件软件。
(二)选择弹性计算服务(云服务器)的,建设单位不用考虑服务器之间的双机备份等容灾容错措施及设备;
(三)选择关系型数据库(云数据库)的,不用考虑数据库之间的双机备份等容灾容错措施及设备;
(四)选择开放存储服务的,将数据存储于公共云平台的可以不考虑数据备份的设备与软件,除非有行业、法律、法规要求强制备份或者异地备份的。
(五)云平台提供的各服务之间需要组合使用,如一般不建议在云服务器上部署数据库,而应该采用云服务器+关系型数据库(云数据库)的模式,如涉及到海量数据存储,应再选择开放存储服务,涉及到数据之间的交换、共享以及大数据分析应用等,应选择大数据分析平台。
二、负载均衡注意事项
公共云平台提供的负载均衡是对多台云服务器进行流量分发的负载均衡服务。
负载均衡服务配置三台云服务器,进行流量分发,各建设单位根据各自应用系统的特点来进行减少或者扩充,最低应保持两台云服务器;
从最佳实践来看,负载均衡一般应用在Webserver和AppServer上,设计的时候原则上可以配置两台云服务器,建议配置三台。
三、安全方面注意事项
(一)总体原则
1、云平台内部不支持接入未经云平台认证的硬件设备,目前除路由器、交换机、服务器外不支持其他设备;
2、客户可以在自己的环境中(非云平台网络)部署硬件安全防护设备;
3、安全软件只要能部署在云服务器里且不影响业务,则可以自行部署。
4、信息系统安全等级保护说明。
各单位在编制建设方案的时候,需要根据各自的业务特征,按照公安部定义的信息系统的安全保护等级的具体要求,准确定义各自等级保护的级别。
各单位拟建的信息系统的安全等级不由云平台定义,云平台也不提供相关的服务。
(二)对比说明
传统安全解决方案
公共云平台安全解决方案
项目
防火墙
云服务器安全组防火墙
云平台内部不支持接入硬件防火墙。
数据库审计
云数据库SQL审计
提供7天的SQL日志;
云平台内部不支持接入硬件数据库审计设备。
数据库访问控制
云数据库IP白名单
仅允许指定IP地址段访问数据库
VPN
云服务器VPN实例
在云服务器上安装VPN服务器软件,例如使用windowsPPTPVPN或开源OpenVPN。
AntiDDoS
云安全服务(DDoS防护)
IDS/IPS(入侵检测/防御)
云安全服务(主机入侵防护)
如果卸载aegis客户端,则主机入侵防护功能失效
WAF(Web应用防火墙)
云安全服务(Web应用防火墙)
提供
漏洞扫描
云安全服务(网站漏洞扫描)
只对互联网应用提供应用漏洞扫描。
网络系统漏洞扫描需要客户自行购买。
SOC
云安全服务(管理控制台)
安全运营
百人专业安全团队,业内顶级攻防经验
防病毒
无
云平台内部不支持接入硬件防病毒网关。
软件可以部署在云服务器里。
数据防泄漏
云平台内部不支持接入硬件数据防泄漏设备。
硬件加密机
云平台内部不支持接入硬件加密机。
APT防护
云平台内部不支持接入硬件APT防护设备。
网页防篡改
云平台内部不支持接入硬件网页防篡改设备。
四、数据容灾注意事项
建设方案中选择了应用云数据库或者开放存储的,已经将数据存储于公共云平台的,可以不考虑数据备份的设备与软件,除非有行业法律法规要求强制备份或者异地备份的。
如涉及跨机房的异地容灾备份,可通过银川、中卫两个云数据中心来实现。
五、运维注意事项
基于公共云平台建设、部署的政务应用系统,其运维模式与传统模式有一定区别,从最佳实践来看,不建议运维人员直接对生产环境进行操作,而应该设立单独的运维入口。
第五章云应用系统建设部署要求
一.新建系统部署要求
各单位新建业务系统,要求在建设过程中直接参照全区电子政务公共云平台技术体系要求进行开发部署,在公共云平台上线后,全部部署在全区电子政务公共云平台上,区、市、县各部门申报信息化建设项目,原则上只考虑业务系统软件研发和业务系统运行维护费用。
各信息化建设项目建设所需的计算、存储、安全、备份、网络、机房等资源原则上不再自己建设。
二、已有系统迁移要求
(一)迁移原则
先易后难,选择少数难度比较小的系统快速迁移到云平台上,积累云平台的迁移经验,前期优先选择迁移MySQL/MSSQL系统,数据量比较小的系统,应用系统对硬件无特殊依赖性的系统,逐步过渡到迁移核心系统到云平台上等。
对于项目单位认为不能部署于政务云平台的,由项目单位提出明确意见,由信建办组织专家进行评估确认。
(二)迁移流程
整个过程分为系统调研、风险评估、方案设计与评审、系统改造、功能/性能测试、系统割接和回滚、系统交付与护航等几个方面组成。
(三)迁移范围
支持迁移的应用系统包括:
应用系统对硬件无特殊依赖性。
应用服务器可以通过x86构架服务器承载,或通过软件优化后支持x86构架,并可通过增加节点的方式提高处理能力。
应用系统与数据存储能有效分离,模块化设计,且模块之间通信实时性要求不高。
具体见迁移指南手册。
(四)迁移费用:
包含在信息化项目建设费用中,根据难易程度、规模大小由信建办专家组织专家评估。
(五)迁移分类
1.MySQL/MSSQL系统
云平台天然支持,这类数据库应用快速部署到云平台上,迁移由各应用开发厂商主导迁移,云平台运维迁移团队协助完成。
2.Oracle系统:
原则上都要去O,使用云平台提供的数据库。
(1)大部分系统:
属于数据量几百G以内的,压力不大的系统,这类系统大部分都无需使用oracle,一定要去O,去O的改造工期也可控,一般在1-3个月以内。
对于各厅局由中央层面下发的软件,没有源代码,访问用户量很少的,可以将oracle直接部署到虚机上使用。
(2)少数难以直接上云的系统
◆业务逻辑全部通过存储过程,package等来实现。
◆系统数据量大,系统之间依赖复杂,这里的复杂指系统间的上下游依赖多。
◆少部分系统对稳定性要求极其苛刻,一分钟都不能停的系统。
◆少部分系统本身已有完整的数据分析,数据报表功能(已经使用olap商业套件),确实还无替代方案的系统。
◆其他
(六)复杂系统迁移评估步骤
针对项目单位认为不能部署于政务云平台的,由项目单位提出明确意见,评估出具体的难度和改造工作量,报信建办,由信建办组织的专家和云中标单位迁移团队综合进行评估确认,确定最终的上云方案。
具体处理步骤如下:
1.数据上云:
数据库基于原来的模式走,数据同步到大数据平台上做数据备份,将可以共享的部分进行数据交换。
2.部分云化:
将大并发量访问的WEB应用类云化到平台上,高并发的数据库应用保留传统的小机上。
按照访问资源的交易量实现弹性扩容和分钟级扩容,可以先让系统“用起来”,然后再集中技术力量逐步优化整套系统架构。
将非云化的硬件设备托管到云数据中心机房旁边的机房里。
或者采用专线连接云中心到厅局机房。
3、工程改造上云:
项目单位给出系统改造迁移或者重建(最多两年)到云平台的计划,在此期间维持当年业务所需的适当投资。
后期在工程建设或扩容时,将应用系统和数据库系统逐步云化直至完全上云。
(七)云应用迁移的技术服务支持
云应用迁移由各云应用单位主导,各单位应主动考虑应用如何迁移到全区政务公共云平台上,真正发挥云平台带来的价值。
针对宁夏云平台云应用迁移,云中标单位会提供现场的技术咨询,包括云应用迁移可行性评估,上云的架构改造,去O的技术支持,数据迁移等,协助项目单位一起完成云应用迁移的架构设计,疑难问题解决,确保系统顺利上线。
提供给各厅局委办的支持以上云产品(AMP),工具和解决方案为主,包括云应用迁移技术白皮书,云应用迁移实施指南,去O整体解决方案,产品上包括云应用迁移的可行性评估,行业解决方案
升级会员 