《私有云中国保险资产管理业协会私有云平台实施方案_V40_1211-欧唯特信息.docx》由会员分享,可在线阅读,更多相关《私有云中国保险资产管理业协会私有云平台实施方案_V40_1211-欧唯特信息.docx(110页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、中国保险资产管理业协会私有云平台实施方案项目名称:中国保险资产管理业协会私有云平台搭建项目2015年12月11日目录第1章 总体初步设计、工作方案11.1. 总体框架设计11.2. 技术路线21.2.1. 基础网络21.2.2. 基础设施31.2.3. 服务支撑31.2.4. 应用迁移41.2.5. 信息安全41.3. 实施产品清单51.4. 实施工作内容7第2章 网络技术实施方案82.1. 总体网络架构设计82.2. 网络子系统92.2.1. 云平台数据中心网络设计92.2.2. IP地址规划102.2.3. 路由协议设计122.2.4. VPN设计122.2.5. QOS设计122.2.6
2、. 可靠性设计162.2.7. 安全性设计172.2.8. 网管设计192.2.9. 云平台IDC虚拟化部署20第3章 云平台机房技术实施方案243.1. 系统概述243.2. 云平台机房概述253.2.1. 建设标准253.2.2. 地理位置273.2.3. 电力系统283.2.4. 制冷303.2.5. 消防313.2.6. 安保监控323.3. 数据中心机柜资源规划33第4章 云基础设施(IAAS层)技术实施方案354.1. 云计算基础架构体系354.1.1. 设计原则354.1.2. 系统总体架构364.2. 云计算中心网络层设计444.2.1. 设计思路444.3. 云平台网络系统整
3、体架构464.3.1. 整体架构设计思想464.3.2. 云平台内网网络系统设计484.3.3. 云平台中心核心交换区494.3.4. 云平台中心云资源池区504.3.5. 云平台中心运维管理区514.3.6. 外联安全接入区514.3.7. 云平台内网接入网络设计524.3.8. 云平台内网网络系统设计总结534.3.9. 云平台网络关键技术支撑544.4. 虚拟网络规划554.5. 服务器设备清单56第5章 软硬件实施详细方案585.1. 华为防火墙安装部署585.1.1. 配置备防火墙上的NAT585.1.2. 配置双机热备份模式595.2. 华为服务器安装部署615.2.1. 服务器安
4、装流程615.2.2. 服务器上架安装625.2.3. 配置RAID645.3. 浪潮存储AS520-E安装部署695.3.1. 设备登陆695.3.2. 创建资源池695.3.3. 创建RAID705.3.4. 自动镜像故障迁移715.3.5. 创建主机组715.4. VMware vCAC安装部署725.4.1. 部署VCAC Indentity725.4.2. 部署VCAC Appliance755.4.3. 安装配置工具785.5. VMware vSphere安装部署805.5.1. 方案拓扑805.5.2. 方案构成部分详细说明815.5.3. 硬件资源分配835.6. Windo
5、ws域控部署1015.6.1. 数据中心父域控搭建1015.6.2. 协会内网新建子域103第6章 项目管理计划1046.1. 云平台部署流程1046.2. 项目管理计划1056.3. 项目人员职责105-第61页 -第1章 总体初步设计、工作方案1.1. 总体框架设计本次中国保险资产管理业协会私有云平台实施工作方案将针对计算服务整体架构中的云计算资源,通过对底层服务器硬件及存储资源实现虚拟化聚合部署,配合以云计算管理平台、监控平台、资源调度平台,实现云计算中基础架构即服务(IaaS)部分,同时该IaaS平台也为以后计算中心提供更高层次的云计算服务,如PaaS,SaaS服务提供了良好的基础平台
6、,也为中国保险资产管理业协会今后部署其他业务系统,及现有系统扩展提供良好的扩展性。协会私有云平台的总体框架由七大核心组件构成:运维服务、业务应用系统、基础设施、平台虚拟化、计算资源、计算资源管理、云管理平台。推进系统的建设,服务是宗旨,应用是关键,支撑是依托,信息资源是核心,基础设施是承载,运维和标准化体系是保障。图 1 协会IaaS云平台系统总体框架图基础设施基础设施平台建设是协会云平台的基础和前提。包括网络支撑环境建设和硬件支撑环境建设。基于高规格数据中心,满足协会设备托管、应用系统访问的需求,并具备为协会提供虚拟服务器和存储的服务能力以及。计算资源构建协会云平台计算资源池,实现业务运行过
7、程中需要的各类数据资源和信息资源的集中存储和管理。建立资源目录体系,为各保险行业客户提供信息查询和共享服务。 计算资源管理针对协会云平台计算资源池资源使用情况与系统负载程度,手动、自动调整资源分配,将空闲资源充分利用,实现硬件资源高效运行。业务应用系统另类投资项目应用系统建设,是协会云平台系统建设的主要内容,围绕需要开展的各项业务,以另类投资系统开发与云托管为主线,以资源整合与应用支撑为基础,建立信息共享机制和业务协同体系,为协会注册会员单位提供数据交换服务。运维服务体系云平台运维服务是协会云平台建设项目的重要保障系统。系统的服务体系根据对象分为两大类,数据中心及线路运维服务,实现协会与保险单
8、位实现信息公开、网上办事和会员服务;云平台运维服务,实现各类应用系统的在私有云环境下的虚拟机运维,监控和告警服务。平台虚拟化采用业界领先的虚拟化技术,将另类投资系统在虚拟化平台部署。后续其他业务系统平滑迁移和备份。云管理平台VCAC私有云管理平台是协会云平台建设的核心,通过VCAC对私有云资源的监控、调度、自助门户、统计分析等功能搭建协会信息系统从传统IT到云架构的转型,同时作为今后业务系统的托管平台。 1.2. 技术路线1.2.1. 基础网络搭建云平台基础网络,通过防火墙、VPN技术实现另类投资等业务系统与协会内网VPN远程连接,内网采用OSPF/BGP的动态路由协议;外网采用IPSec V
9、PN技术实现端到端的可靠传输。防火墙、核心交换机全部采用冗余架构,避免单点故障的风险,打造稳定安全的云平台基础网络。1.2.2. 基础设施通过云计算、虚拟化技术实现数据中心的建设,提高资源利用率,避免复杂的系统集成和大规模的设备占用空间,降低投资成本,简化管理复杂性,能对整体系统运行环境进行统一监管和动态分配,从而降低计算管理和运行成本。协会云平台数据中心按照T3+标准进行选址、选型。按照系统的高可用性要求,本次项目拟采用新一代的可自愈的基础设施。本次设计考虑到安全及最优成本的同时提高系统资源利用率,并为未来“云”模式下的协会应用提供无缝的迁移和过渡能力。在数据中心的建设中引入云计算、虚拟化技
10、术,在数据中心搭建云平台,通过服务器虚拟化,有效降低业务系统建设的硬件投入实现硬件资源管理和使用的集约化。经测算,置五台高性能物理服务器作为计算资源,通过在服务器上安装配置虚拟化平台软件,在单个物理服务器实体上,充分使用设备的空余资源,利用管理调度平台生成多个独立的虚拟服务器。每一个虚拟服务器从功能、性能和操作方式上等同于传统的单台物理服务器。每个虚拟机可以独立的装配置不同的操作系统而互不影响,从而大大提高资源利用率,降低成本,增强了系统和应用的可用性,提高系统的灵活性和快速响应,实现了服务器虚拟架构的整合。而对于现有物理服务器上的应用,可以通过迁移工具完整的迁移到虚拟化环境中,无需重新部署,
11、所有配置保持原样。1.2.3. 服务支撑云平台日常运维服务包括:基础架构管理,云平台管理,网络运维,服务器运维,监控服务,基础云资源监控服务。对于突发事件,欧唯特信息系统根据故障的严重程度和影响程度的不同,将故障级别由低到高分为三级故障、二级故障和一级故障。当故障没有在规定时限内恢复或解决时,故障级别将自动升级。当故障不能使用有效的远程支持方式进行解决时,欧唯特信息系统公司将派遣工程师赶往用户现场,协助进行现场故障诊断及现场故障排除。1.2.4. 应用迁移通过云迁移技术将现有应用系统的无缝切换到云服务平台。1.2.5. 信息安全按照等级保护要求,通过访问控制、入侵防范、恶意代码防范、资源控制等
12、方面来实现信息安全。1.3. 实施产品清单产品品牌型号配置数量服务器(计算节点)华为RH2288H V32颗10核CPU,CPU型号为E5-2650 v3;内存128G,硬盘300G*2 10K SAS/RAID/8Gb HBA*2/4port 1G 网卡/RW-DVD5台服务器(管理节点)华为RH2288H V31颗8核CPU,CPU型号为E5-2609 v3;内存16G,硬盘300G*2 10K SAS/RAID/8Gb HBA*2/4port 1G 网卡/RW-DVD1台附件华为RH2288H V3服务器内存 16G单条*44条存储服务器浪潮AS520E-M117TB净容量,支持内置高速
13、缓存 32G Cache,双控制器(Active-Active),板载8个1Gb iSCSI主机接口,2个24Gb SAS宽端口,RAID级别:0/1/10/5/6/50/60,支持自动分层,自动精简配置,卷复制,卷镜像,快照技术等。1台光纤交换机博科BROCADE SAN Switch2台冗余。单台激活16口,带16根线2台网络交换机华为华为网络交换机S5700-28C-SI-AC三层千兆以太网交换机,背板带宽:160Gbps,包转发率65.5Mpps,24个10/100/1000以太网口,可堆叠2台防火墙华为华为USG6360防火墙VPN防火墙,网络吞吐量:300Mbps ,并发连接数:1
14、30000 ,用户数限制:无用户数限制 ,安全过滤带宽:170Mbps ,3+1个管理快速以太网端口、可升级到5个快速以太网端口、1个SSM 扩展插槽 2台基础虚拟化软件VMwarevSphereVMware vSphere 6 Std标准版1套虚拟化管理平台VMwarevCenterVMwarevCenter Std标准版1套云管理平台软件VMwarevCloudVCAC Standard Version标准版1套机柜租赁世纪互联北京大兴星光影视城数据中心 16A机柜1个公网带宽双线BGP5M独享双线BGP16个公网IP5M1.4. 实施工作内容工作项目服务名称服务内容需求分析业务分析,需求
15、调研l 私有云环境需求分析,环境调研。前期云集成方案设计云平台设计私有云平台规划设计l 私有云平台基础架构设计l 私有云平台管理流程设计l 私有云平台Portal需求分析l 及该阶段项目管理云平台部署私有云平台安装,配置l 私有云平台基础架构部署l 私有云平台管理流程实施l 私有云平台Portal部署及实施阶段项目管理工作系统环境部署私有云平台底层环境安装部署,策略配置l 私有云平台网络环境安装部署及调试私有云计算资源部署调试l 私有云存储资源部署调试l 默认监控平台部署私有云基础架构系统集成测试l 及项目管理工作应用环境测试与部署为业务系统上线部署OS及配合上线l 操作系统安装及系统调优l
16、CBP 监控服务部署l 配合应用系统上线测试l 项目管理系统集成测试私有云平台与业务系统联调测试l 准备SIT(系统集成测试) 环境l 与应用部门联调测试l 项目管理UAT最终验收测试l 准备UAT测试环境与应用部门联调执行UAT测试l 项目管理第2章 网络技术实施方案2.1. 总体网络架构设计协会云平台项目的总体架构概括为四层。四层为计算层、网络层、平台层、应用层,网络拓扑如下。图 2 总体网络架构设计 计算层计算层网络主要包括物理服务器、存储设备网络传输。通过冗余部署的光纤交换机,实现高速数据存储网络,为云平台提供高速,稳定的计算网络。 网络层网络层主要完成对数据的可靠性传送,主要负责互联
17、网、VPN以及今后与各个保险机构专线互联。设计采用5M互联网出口基础上搭建VPN与协会内网安全互联。互联网出口采用二台下一代防火墙实现冗余部署,避免单点故障风险。 平台层平台层基于云计算技术和中间件技术,主要包括IaaS层以及运维支撑层,通过云计算和虚拟化技术,具有灵活的可扩展性,主要实现虚拟化环境下各个虚拟机直接网络传输。 应用层应用层由迁移到云平台的原有应用和新建应用组成。通过二台冗余的核心千兆交换机,实现应用服务器之间高速、稳定的内部网络传输。通过其内置的HA功能实现冗余部署,防止单点故障产生。2.2. 网络子系统云平台IDC网络也采用三层结构进行设计,即:IDC出口层、核心交换层、接入
18、层。详细设计建议见后续各章节。2.2.1. 云平台数据中心网络设计本着高先进性与实用性、可靠性、高安全性、高扩展性以及遵循开放标准的设计原则,云平台数据中心交换网解决方案采用流行两层网络结构。1.出口层采用双机冗余部署方式,部署1对防火墙。2台防火墙间通过链路互联;向内通过千兆链路连接2台核心交换机。即:对外通过5M互联网线路连接互联网或VPN连接到协会内部网络心,通过千兆链路连接平台内网。防火墙主要实现如下功能: 连接不同的网络,掌握全网路由,实现必要的路由策略控制; 围绕云平台信息资源,负责各方向流量的高速转发; 提供不同业务所需的QoS保证,实施基于聚合规则的流量控制策略; 提供IPv4
19、、IPv6网络互联互通过渡技术功能。2.核心交换层采用双机冗余部署方式,部署1对核心交换机。2台核心交换机间通过双千兆链路互联,向下通过千兆链路连接接入层交换机,向上通过千兆链路连接上行防火墙。在此网络架构中,服务器网络接口连接在核心交换机上,数据中心内部基于二层网络进行通讯,数据中心与外连网络基于三层网络进行通讯。核心交换机主要实现如下功能: 作为内部服务器网关。 作为云数据中心网络中枢,负责内网横向和纵向流量的高速转发;3.IDC网络设备产品推荐本期云平台数据中心网络建设,各主要网络设备配置如下表:网络设备华为网络交换机S5700-28C-SI-AC三层千兆以太网交换机,背板带宽:160G
20、bps,包转发率65.5Mpps,24个10/100/1000以太网口,可堆叠2台华为USG6360防火墙VPN防火墙,网络吞吐量:300Mbps ,并发连接数:130000 ,用户数限制:无用户数限制 ,安全过滤带宽:170Mbps ,3+1个管理快速以太网端口、可升级到5个快速以太网端口、1个SSM 扩展插槽 2台2.2.2. IP地址规划2.2.2.1. IP地址总体规划为满足后期业务的承载需求,首先需要对全网的IP地址进行一个科学精确的规划: 为后期的网络拓展、业务拓展等工作提供支持; 实现接入点的精确绑定,保证接入点用户可定位、可溯源、可隔离; 为业务的可识别、可分流和端到端的QoS
21、保障提供支撑; 统一规范,为其他业务统一的策略部署、新业务统一部署打下基础; 实现每接入点/每用户/每业务/按需分配IP地址; 规划初中期采用IPv4地址,后期可以根据需求采用IPv6地址。1.IPv4地址规划本次针对内网、外网地址规划,全网部署10.0.0.0/8网段,其中内网部署10.0.1.110.0.5.254段地址、外网部署10.0.6.110.255.255.255段地址。云平台IDC采用公网IPv4地址,地址规模为1个C类。2.2.2.2. 云平台IDC网络IP地址规划 网络设备VLAN地址IDC网络设备VLAN地址采用保留IPv4地址,在内网地址段中选择一段,建议在10.0.1
22、.0/16地址段进行分配,具体见下表:设备VLAN地址防火墙10.0.1.1/32、10.0.1.2/32核心交换机10.0.1.3/32、10.0.1.4/32接入交换机10.0.1.5/32、10.0.1.6/32 网络设备互联地址IDC网络设备间、IDC网络设备与外联设备间互联地址在10.0.5.0/24范围内选择。 服务器地址虚拟化服务器地址采用私网IP地址。2.2.3. 路由协议设计 路由协议设计原则内网、外网各分配一个保留的自治域编号。内或外网IGP协议建议采用OSPF或IS-IS协议中的一种协议,内网 IGP协议建议运行于所有路由器;网内设备和互联链路路由信息采用IGP协议进行通
23、告; 内部IGP规划由于IDC网络三层网络规模都不大,设备数量有限(少于50台),优先考虑OSPF。2.2.4. VPN设计为了增强安全性,协会内网可以通过VPN与云数据中心内业务系统互联。建议在协会防火墙和云数据中心防火墙启用IPSec VPN实现安全连接。2.2.5. QOS设计2.2.5.1. QOS模型设计IETF提出了许多QoS服务模型和协议,其中比较突出的有IntServ (Integrated Services)模型和DiffServ (Differentiated Services)模型。DiffServ(区分服务)模型的业务流被划分成不同的区分服务类。一个业务流的区分服务类由
24、其IP包头中的区分服务标记字段(Different Service Code Point,简称DSCP)来表示。区分服务只包含有限数量的业务级别,状态信息的数量少,因此实现简单,扩展性较好。目前,区分服务是业界认同的IP骨干网的QoS解决方案,尽管IETF为每个标准的PHB都定义了推荐的DSCP值,但是设备厂家可以重新定义DSCP与PHB之间的映射关系,用户可根据网络实际运维需要进行灵活定义。DiffServ对聚合的业务类提供QoS保证,可扩展性好,便于在大规模网络中使用。2.2.5.2. QOS规划方案1. 流量分类及标记流量分类是将数据报文划分为多个优先级或多个服务类。网络管理者可以设置流
25、量分类的策略,这个策略除可以包括IP报文的IP优先级或DSCP值、802.1p的CoS值等带内信令,还可以包括输入接口、源IP地址、目的IP地址、MAC地址、IP协议或应用程序的端口号等。对于网络协议控制管理、语音、视频类数据流,可以根据协议类型来进行分类和标记。除此之外,在接入交换机侧,也可以根据网络的规划,将不同的业务数据流放入不同的VLAN之中,不同业务的IP地址空间不相同,也可以根据源IP地址及目的IP地址,在入口处对进入网络的IP报文进行分类和标记。流量分类后就打标记。所谓标记就是根据SLA以及流分类的结果对业务流打上类别标记。目前RFC定义了六类标准业务即:EF、AF1-AF4、B
26、E,并且通过定义各类业务的PHB(Per-hopBehavior)明确了这六类业务的服务实现要求,即设备处理各类业务的具体实现要求。从业务的外在表现看,基本上可认为EF流要求低时延、低抖动、低丢包率,对应于实际应用中的Video、语音、会议电视等实时业务;AF流要求较低的延迟、低丢包率、高可靠性,对应于数据可靠性要求高的业务如电子商务、企业VPN等;对BE流则不保证最低信息速率和时延,对应于传统互联网业务。在某些情况下需要重标记DSCP。例如在Ingress点业务流量进入以前已经有了DSCP标记(如上游域是DSCP域的情形,或者用户自己进行了DSCP的标记),但是根据SLA,又需要对DSCP进
27、行重新标记。分类标记将携带在IP报文中,作为后续QoS处理的依据。2. 队列技术及拥塞管理拥塞管理是指在网络发生拥塞时,如何进行管理和控制。处理的方法是使用队列技术,具体过程包括队列的创建、报文的分类、将报文送入不同的队列、队列调度等。当接口没有发生拥塞时,报文到达接口后立即被发送出去,当报文到达的速度超过接口发送报文的速度时,接口就发生了拥塞。拥塞管理就会将这些报文进行分类,送入不同的队列;而队列调度将对不同优先级的报文进行分别处理,优先级高的报文会得到优先处理。常用的队列有FIFO、PQ、CQ、WFQ、CBWFQ、等。 PQ需要先对报文进行分类,然后按报文的类别将报文送入PQ相应的队列。在
28、报文出队列的时候,PQ首先让高优先队列中的报文出队,直到高优先队列中的报文发送完,才发送中优先队列中的报文,同样直到发送完中优先队列中的报文,才能发送低优先队列的报文。这样,分类时属于较高优先级队列的报文将会得到优先发送,而较低优先级的报文将会在发生拥塞时被较高优先级的报文抢先,使得关键业务的报文能够得到优先处理,非关键业务的报文在网络处理完关键业务后的空闲中得到处理。这样处理既保证了关键业务的优先,又充分利用了网络资源。由于PQ总是保证高优先级的报文得到优先转发,所以当高优先级的流量过多时,可能会造成低优先级的流量没有转发机会,所以使用PQ时应该合理规划各个优先级的流量,适当限制高优先级的流
29、量,使低优先级的流量也获得一定的发送机会。 CBWFQ/LLQCBWFQ按照报文进入网络设备的端口、报文的协议、是否匹配ACL来对报文进行分类。每个流量类别对应一个队列,支持64个流量类别,不同类别的报文送入不同的队列。对于不匹配任何类别的报文,则被送入默认队列。队列采用WRR算法进行轮询。可以为每个流量类别定制一定的传输特性,如带宽、传输权值、传输限制等。为一个队列指定的带宽通常是指在带宽拥塞时为该队列所保证的带宽。调度器按照分配给每个流量类别的权值保证每个队列分配到一定的带宽,可以对每个队列为每个流量类别设置长度限制,长度限制是在该类别队列中允许的最大分组数量,如果队列达到了长度限制,分组
30、丢弃策略生效,CBWFQ可以和队尾丢弃、WRED等丢弃机制相结合。这样,在端口不发生拥塞的情况下,可以使各个流量类别的报文能获得一定的带宽,在端口拥塞的情况下,又可以保证属于优先队列的报文不会占用超出规定的带宽,保护其他报文得到相应的带宽。CBWFQ允许为分配给每个流量类别的带宽提供确定性的或硬的担保。对于高速链路或骨干网来说重点是带宽分配的硬性担保,CBWFQ是一种功能强大的QoS工具。网络拥塞会导致网络性能的降低和带宽得不到高效的使用,为了避免拥塞,队列可以通过丢弃数据包避免在任何可能的地方出现拥塞。队列管理的主要目的就是通过合理控制Buffer的使用,对可能出现的拥塞进行控制。其常用的方
31、法是采用RED/WRED算法,在Buffer的使用率超过一定门限后对部分级别较低的报文进行早期丢弃,以避免在拥塞时直接进行末尾丢弃引起著名的TCP全局同步问题,同时保护级别较高的业务不受拥塞的影响。2.2.5.3. QOS部署建议根据承载多业务要求,对不同业务需实施不同的QoS策略。在网络发生拥塞的时候,采用队列的策略来调度每种业务,使得每种业务获取预先设定的服务质量参数。目前队列调度机制有先进先出、优先、加权轮循以及带有优先队列的加权轮循等。为了支持多个业务等级,设备将不同等级的分组放入不同的队列中。设备在处理过程中,按照一定的队列调度算法,决定从哪个队列中取出数据分组进行服务。队列调度算法
32、的好坏直接影响路由器的性能和QoS效果。2.2.6. 可靠性设计整个云平台数据中心网络的高可靠性是大规模云数据中心网络建设成功的关键,对于重要节点比如核心设备双机部署,提高单点可靠性;网络设备的关键部件,比如防火墙、交换机等都采用冗余设计,控制层面和数据层面分离等提高设备自身的可靠性;对于整个网络,部署快速故障检测协议,能快速感知并自动恢复,提高整网的可靠性;软件的在线升级和热补丁是可靠性设计的重要后盾。2.2.6.1. 设备高可靠性以太网存在两个不同的操作平面:控制平面和数据平面。控制平面主要是指通讯协议、MAC信息和其它协议报文,还包括网络设备本身的主机软件,控制平面用来实现网络元素之间的
33、通信。控制平面一般和用户数据共享通信链路。数据平面主要是指以太网承载的各种业务,如语音、媒体流、办公数据等VPN业务等。这些业务对于以太网是数据转发,主要是流量的冲击,内部一般不采用过多的安全控制策略。2.2.6.2. 协议高可靠性1.链路聚合链路聚合也称为链路捆绑、端口聚集或链路聚集,就是将多个端口聚合在一起形成一个汇聚组,以实现出/入负荷在各成员端口中的分担。从外面看起来,一个汇聚组好象就是一个端口。链路聚合的工作方式支持静态Trunk方式及动态LACP方式,通过配置可以实现多条链路的负载分担及相互备份。MC-LAG支持跨主机的链路捆绑,可用于双归场景中的主备保护。链路聚合的优点:1)增加
34、网络带宽,端口聚合可以将多个连接的端口捆绑成为一个逻辑连接,捆绑后的带宽是每个独立端口的带宽总和;2)提高网络连接的可靠性。当一条链路故障,流量会自动在剩下的链路间重新分配;3)避免二层环路。2.2.7. 安全性设计2.2.7.1. 网路安全风险分析据ISCA统计,随着安全威胁的升级,全球每年由信息安全问题导致的损失约数百亿美金,其中源于内部的威胁达60%,来自外部的威胁达40%。图 3 网络安全威胁分析云平台数据中心是企业信息化系统的基石,是企业业务集中化部署、发布、存储的区域,如果数据中心不可用,公司运作可能被削弱或被完全停止。因此,网络安全对数据中心来说至关重要。但一直以来,数据中心都是
35、一个安全措施严重不足的区域。根据客户调查、层出不穷的安全威胁和日益增长的专利信息保护需求,企业必须为数据中心提供足够的安全保障,防止来自内部的攻击无论是有意还是无意导致。云平台数据中心主要面临来自以下几个方面的风险:数据机密风险:企业和个人数据托管后如何保证数据的机密性。访问权限风险:多用户场景下,不同用户之间的访问控制,以及单个用户的权限管理和控制。用户行为监控。管理权限风险:企业托管业务和数据的管理权限与责任划分。数据恢复风险:大规模数据的备份和恢复。应用威胁风险:多用户多途径接入,多种应用共存的场景下安全防护策略有效性。2.2.7.2. 网路安全建设思路云平台数据中心网络安全不仅仅是把安
36、全设备简单地叠加到整个网络,网络安全是一个整体,需要把安全融合到网络的每个部分。依此下面提出有一体化、分层次、综合全面的网络安全建设思路。思路一:网络安全建设需要全局视图,提供一体化安全解决方案。图 4 一体化安全解决方案图思路二:网络安全架构建设是分层次的,在不同环节都要进行防护。图 5 分层次的网络安全架构图思路三:网络安全体系不是安全设备的简单叠加,需要综合全面考虑技术以及设备。2.2.8. 网管设计基于云平台数据中心网络稳定运行要求高、大规模的信息数据、高并发、跨系统等特性,数据中心网络智能运维架构重点强调统一网管(针对信息量庞大)、远程运维、网络全方位监控和故障定位与处理(针对网络稳
37、定运行要求高)以实现“智能网管系统保障数据中心网络稳定运行”的目标。2.2.8.1. 网络全方位监控管理欧唯特提供丰富的性能监控对象,全方位诊断网络;同时提供数据转发透视化,实现精细化的流量管理,为网络升级和客户拓展提供依据。具体监控内容如下: 网元性能,针对不同类型网元本身性能指标进行监控 端口性能,针对不同类型网元的不同类型端口的性能指标进行监控 链路性能,针对网元之间的链路的性能指标进行监控 业务性能,针对业务的性能进行监控 网络可用率:网络可用率 = 网络可用时间/总时间指IP层的可达性,可以通过增加冗余设备、冗余线路和有效的管理来提高。要实现三个九的可用率,即99.9%,那么一个网络
38、在一个月内的断网时间就不能超过45分钟;对于四个九,即99.99%,指一个网络在一个月内的断网时间不能超过5分钟。大部分运营商的网络可用率为三个九;部分可以达到四个九;通常网络设备的可用率在99.99%以上;链路的可用率在99.9%以上。2.2.8.2. 快速故障定位与处理欧唯特具有业界领先的告警相关性分析系统,在网络出现紧急故障的情况下,可根据网络资源及业务关系,自动完成根源告警及衍生告警的分析定位,缩短故障处理时间。网络告警及业务数据之间可实现多样化的关联、导航,快速了解和评估网络运行状况。同时,对重要客户的业务,可设置单独的故障提示及处理功能,便于运营商对不同的客户提供差异化的服务。2.
39、2.9. 云平台IDC虚拟化部署云平台数据中心网络需要通过网络虚拟化,提升网络利用率、可靠性及可扩展性。设备支持数据中心网络端到端的虚拟化,本项目的虚拟化可以划分为如下图所示的几个层次:图 6 数据中心端到端的虚拟化从VM层到网络层依次为: 技术A,边缘虚拟化: VM与接入交换机之间采用IEEE 802.1Qbg, IEEE 802.1Qbr,满足VM迁移、交换需求 技术B,二层多路径: TRILL, SPB,实现大规模VM迁移网络 技术C/D:光纤互联 or L2oL3( VPLS, OTV, NVO3 )实现跨域VM迁移网络,提升整网利用率,用于做数据中心的异地容灾备份,一般建专线或在公网
40、建隧道等多种方式实现互联,这期招投标项目里面没有提这个需求,故不详述,但建议后期增加建设,可以提高数据中心的整体可靠性。 其他:机架集群N:1虚拟化,VSC, ZTE Virtual Switching Cluster,支持4台虚拟为1台,简化网络拓扑,提升网络性能。2.2.9.1. 接入网络边缘虚拟化图 7 VM接入网络边缘虚拟化在云平台数据中心的服务器层面,往往将一个物理服务器虚拟为多个虚拟服务器(VM)。使用VM有以下几个优点:1)提升服务器资源利用率2)VM迁移实现业务均衡和快速恢复3)VM之间做安全策略可以通过在接入交换机上实现网络边缘及接口的虚拟化,将VM交换功能交还给网络,达到如
41、下目的:1)释放CPU资源2)网络统一管理、监控3)支持根据VM标识进行端口还回转发2.2.9.2. 后期虚拟机迁移方案虚拟化是云平台数据中心应用的重点,也是云平台数据中心网络设计需要考虑的重点内容,目前主要的虚拟机迁移方式有冷迁移和热迁移两种,简要的分析如下:冷迁移热迁移需求固定时间(流量波谷)进行迁移,用户业务中断业务不中断服务器MAC/IP可改变MAC/IP地址不改变方案L3/L2网络均可统一管理平台L2方案共享存储网络;统一管理平台核心区域推荐L3方案,广播域小。核心交换机4台及以下多机虚拟化按照上述章节提到的网络架构以及业务部署方案,本期项目网络可以满足冷迁移和热迁移需求。图 8 数
42、据中心虚拟机迁移方案第3章 云平台机房技术实施方案3.1. 系统概述计算机机房的建设是一门集建筑、电气设备、计算机设备、安装工艺、网络智能、通讯技术等多方面技术的集成,计算机环境机房的设计与施工的优劣直接关系到机房内计算机系统是否能稳定可靠地运行,是否能保证各类信息互联的无阻。依据电子计算机场地通用规范【GB2887-2000】和电子计算机机房设计规范【GB50174-2008】,中国保险资产管理业协会私有云平台数据中心机房的规划和设计,既要满足计算机机房目前使用的要求,又适应于远期发展的需要,按照A级标准进行设计,协会云数据中心机房项目范围主要包括:l 机房装修系统l 机房配电系统l 机房U
43、PS电源系统l 机房防雷接地系统l 机房空调新排风系统l 机房动力环境监控系统l 机房气体消防系统l 机房综合布线系统3.2. 云平台机房概述3.2.1. 建设标准世纪互联北京大兴星光数据中心在建设规划时严格按照国家及国际相关规范要求进行建设,符合国标GB501742008中A级机房的技术要求。从需求分析、规划设计到施工验收,完全符合相关国标和专业标准,数据中心基础设施整体水平达到TIA-942 Tier 3+标准。北京大兴星光机房TIA-942数据中心建设等级关键评估项目参考特点 等级等级 III等级 IV世纪互联星光影视城TIA942-2005标准关于可用性可同时维护型故障容错型可同时维护
44、型建筑物多租户租用否否否双路市电供应不间断电源系统N+12NN+1区域划分无有有同时可维修性能能能电池最少全部符合备用时间15分钟15分钟大于15分钟供电双路PDU双路独立供电路径制冷设备-N+1冗余装置监控系统对最坏的事件的容错无有有连续冷却或许是的是的单点故障部分+人为错误一个没有+人为错误一个没有+人为错误每年场地引起的IT停机(实际值)1.6个小时0.4个小时0.876小时可用性99.982%99.995%99.99%724小时运营机械系统实时维护电力系统实时维护N/A3.2.2. 地理位置大兴星光机房地理位置示意图地址:北京大兴北兴路星光影视园数据中心位于北京大兴区北兴路东段1号星光
45、影视园A-1楼,毗邻京开高速,靠近地铁4号线,交通便利,服务器可自送或者快递,我司都有工程师接收。北京大兴星光数据中心机房1期改造面积10019平方米。机房8级抗震设防,耐火等级一级。目前机柜规模919个,标准的42U/45U两类机柜,42U机柜提供16A电力,45U机柜提供20A电力。3.2.3. 电力系统两路独立市电+UPS+柴油发电机配置,电力可靠性达到99.99%。市电系统 数据中心采用4路高压进线,两两一组。每组可提供15000KVA,共计30000KVA 变压器UPS系统 稳定的电源供给是数据中心内托管设备安全运行和数据得以安全保护的重要保障。大兴星光机房采用3+1冗余配置UPS系统,单机容量400KVA,满负载后备时间大于