《第3部分第1篇第1分册:基础资源即服务(征求意见稿).docx》由会员分享,可在线阅读,更多相关《第3部分第1篇第1分册:基础资源即服务(征求意见稿).docx(23页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Q/CSG Q/CSG XXXXX 中国南方电网有限责任公司企业标准中国南方电网有限责任公司 发 布2022-XX-XX 实施2022-XX-XX发布南方电网云边融合智能调度运行平台体系化技术标准第1-1部分:总体架构和一般要求(征求意见稿)Q/CSG XXX目 次前 言II1范围12规范性引用文件13术语和定义14概述25功能性要求36非功能性要求15 前 言为贯彻落实公司体系化、规范化、指标化目标,全面支撑以新能源为主体的新型电力系统运行,承接公司数字化转型与数字南网建设任务,适应电网运行特征从计划性、集中式向开放共享、智能互动的方向转变,构建全面支撑电网安全运行和现货市场高效运营两大业务
2、融合的智能调度运行平台,特制定南方电网云边融合智能调度运行平台(CEP)体系化技术标准。本次发布的体系化技术标准用于指导公司CEP云端系统、边缘端系统的建设。本体系化技术标准分为7部分27篇41分册,第1部分为体系及定义,共2篇,描述了总体架构和术语定义;第2部分为模型及接口,共3篇,描述了边缘集群与边缘网关的模型、协议及交互等要求;第3部分为云端系统,共5篇,描述了调度云平台、云端系统平台、云端应用、云端系统人机交互、云边数据交互等要求;第4部分为边缘端系统,共5篇,描述了边缘集群、边缘网关技术要求及边缘网关应用开发、智能运维、即插即用等要求;第5部分为智能应用,共2篇,描述了各类智能应用技
3、术等要求;第6部分为本质安全,共6篇,描述了云端和边缘端的本质安全技术等要求;第7部分为测试及检验,共4篇,描述了云端系统检验、边缘端系统检验、本质安全检测等要求。本体系化技术标准体系架构如下表所示:部分篇分册编号第1部分:体系及定义第1篇:总体架构和一般要求TS1.1第2篇:术语和定义TS1.2第2部分:模型及接口第1篇:边缘网关即插即用模型TS2.1第2篇:边缘网关即插即用接口及协议TS2.2第3篇:边缘集群接入TS2.3第3部分:云端系统第1篇:调度云第1分册:基础资源即服务TS3.1.1第2分册:平台即服务TS3.1.2第3分册:数据即服务TS3.1.3第4分册:调度云平台与边缘集群协
4、同交互TS3.1.4第2篇:云端系统平台TS3.2第3篇:云端应用开发TS3.3第4篇:云端系统人机交互TS3.4第5篇:云边数据交互TS3.5第4部分:边缘端系统第1篇:边缘集群 TS4.1第2篇:边缘网关TS4.2第3篇:边缘网关应用开发 TS4.3第4篇:边缘网关智能运维TS4.4第5篇:边缘网关即插即用 TS4.5第5部分:智能应用第1篇:预测及分析第1分册:人工智能系统负荷预测TS5.1.1第2分册:人工智能母线负荷预测TS5.1.2第3分册:人工智能新能源功率预测TS5.1.3第4分册:基于区块链的分布式能源交易TS5.1.4第5分册:云边融合统一优化模型TS5.1.5第2篇:协同
5、控制第1分册:电化学储能自动调频控制TS5.2.1第2分册:新能源有功功率自动控制TS5.2.2第3分册:充电设施云边协同自动控制TS5.2.3第4分册:微电网云边协同自动控制TS5.2.4第5分册:可调节负荷云边协同自动控制TS5.2.5第6分册:虚拟电厂云边协同自动控制TS5.2.6第7分册:配电网自动电压控制TS5.2.7第8分册:云边协同控制TS5.2.8第6部分:本质安全第1篇:本质安全技术导则TS6.1第2篇:云端系统本质安全TS6.2第3篇:边缘网关本质安全TS6.3第4篇:边缘集群本质安全TS6.4第5篇:数据安全TS6.5第6篇:基于区块链的数据应用和传递TS6.6第7部分:
6、测试及检验第1篇:云端系统检验TS7.1第2篇:边缘网关检验TS7.2第3篇:边缘集群检验TS7.3第4篇:本质安全检测TS7.4本标准是该系列的第3部分第1篇第1分册。请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别专利的责任。本文件由中国南方电网有限责任公司标准化部归口管理。本文件由中国南方电网电力调度控制中心提出、编制和负责解释。本文件起草单位:中国南方电网电力调度控制中心。本文件参加单位:本文件主要起草人员:本文件在执行过程中的意见或建议反馈至中国南方电网有限责任公司标准化部(广东省广州市黄埔区科翔路11号南网科研基地,510663)。17南方电网云边融合智能调度运行平台
7、体系化技术标准第3-1.1部分:基础资源即服务(征求意见稿)1 范围本技术标准规定了CEP中云端系统基础设施即服务(IaaS)的技术要求。本技术标准适用于南方电网CEP云端系统IaaS层的规划、设计、建设、改造和检测。2 规范性引用文件下列文件中的条款通过本技术标准的引用而成为本技术标准的条款。凡是标注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本技术标准。凡是不标注日期的引用文件,其最新版本适用于本技术标准。GB/T 31168 信息安全技术云计算服务安全能力要求GB/T 31167 信息安全技术云计算服务安全指南GB/T 32399 信息技术云计算参考架构GB/
8、T 31916 云资源管理技术要求GB/T 31916 信息技术云数据存储和管理YD/T 2806 云计算基础设施即服务(IaaS)功能要求与架构YD/T 3054 云资源运维管理功能技术要求YD/T 3148 云计算安全框架YD/T 5227 云计算资源池系统设备安装工程设计规范YD/T 2807 云资源管理技术要求ISO/IEC17788 信息技术云计算概述和词汇ISO/IEC17789 信息技术云计算参考架构 ISO/IEC19831 云计算基础结构管理接口模型和基于RESTfulHTTP 的协议ISO/IEC27017 信息技术安全技术基于ISO/IEC27002 的云服务信息安全IT
9、U-TX.1601 云计算的安全框架ITU-TX.1642 云计算运行安全指南ITU-TY.3500 信息技术云计算概述和词汇ITU-TY.3501 云计算框架和高级要求ITU-TY.3502 信息技术云计算参考架构ITU-TY.3510 云计算基础结构要求ITU-TY.3511 云计算网络和基础设施云间框架ITU-TY.3512 云计算网络服务的功能性要求ITU-TY.3513 云计算基础设施服务的功能要求ITU-TY.3520 端到端资源管理的云计算框架ITU-TY.3600 基于大数据的云计算的需求和能力ITU-TQ.4040 云计算互用性测试的框架和综述ITU-TQSuppl.65 云
10、计算的互操作活动3 术语和定义3.1软件定义计算 software defined compute计算资源虚拟化的一种实现方式,将底层计算资源进行整合提供的性能卓越、稳定可靠、弹性扩展的云计算服务。3.2软件定义存储 software defined store存储资源虚拟化的一种实现方式,针对各种存储资源(块、文件和对象)的低成本、高可靠、高可用的存储服务。3.3软件定义网络 software defined network网络资源虚拟化的一种实现方式,通过控制器配置底层交换机和路由器实现网络的隔离和有选择性的互通,对外提供优质、功能齐全的云上网络服务。3.4负载均衡load balance
11、r负载均衡是将访问流量根据转发策略分发到后端多个工作实例的流量分发控制服务。3.5GPU graphics processing unit图形处理单元(GPU)专为并行处理而设计,可广泛用于各种应用中,包括图形和视频渲染,在创意制作和人工智能(AI)中的使用正变得越来越流行。3.6OCI open container initiativeOCI是一个轻量级,开放的治理结构,致力于围绕容器格式和运行时创建开放的行业标准。3.7NAT network address translation网络地址转换(NAT)把内部私有网络地址翻译成合法网络IP地址的技术。3.8RESTful APIRESTfu
12、l API 是一种软件架构风格、设计风格,可以让软件更加清晰,更简洁,更有层次,可维护性更好。3.9ACL access control list访问控制列表(ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。3.10SSD solid state driveSSD是固态驱动器的缩写形式,其技术类似于闪存盘驱动器或USB驱动器,也被用作固态硬盘的简写。3.11DHCP dynamic host configuration protocol动态主机配置协议(DHCP)通常被应用在大型的局域网络环境中,主要作用是集中的管理、分配IP地址,使网络环境中的主机动态的获得IP地址、Gat
13、eway地址、DNS服务器地址等信息,并能够提升地址的使用率。4 概述IaaS层通过虚拟化、动态化将IT基础资源(计算、网络、存储)聚合形成资源池。终端用户(企业)可以按需通过网络获得自己需要的计算资源,运行自己的业务系统。整体架构如图1:图 1 基础设施及服务功能架构示意图IaaS层将物理服务器、存储设备以及网络设备以软件定义的方式进行虚拟化。同时IaaS层提供资源管控功能,作为统一的运维管理系统入口,管理计算、存储、网络等资源并提供容灾、监控、访问控制等服务。通过对底层物理硬件的虚拟化,以及资源管控工具,最终完成对底层物理硬件的屏蔽,和对资源的高效利用与管理。上层应用可以按需分配资源,实现
14、基础设施即服务目的。5 功能性要求5.1 软件定义计算5.1.1 云服务器云服务器应满足以下功能要求:a) 支持自定义CPU数量、内存数量、磁盘容量及数目、网卡数目等参数的云服务器实例。b) 支持x86、ARM架构的云服务器实例。c) 支持选择主流操作系统发行版和国产操作系统作为初始操作系统。d) 支持云服务器实例模板,支持从已有云服务器实例导出模板,支持从模板快速创建云服务器实例。e) 支持运行状态下对CPU、内存、磁盘进行调整,实现计算资源弹性伸缩。f) 支持接入虚拟网络,可指定网络类型,实现计算资源间,计算资源与存储资源,计算资源与云外资源的互联互通。g) 支持使用弹性网卡,和弹性公网I
15、P,实现低成本的故障转移。h) 支持接入负载均衡,云服务器实例可作为负载均衡后端工作节点,完成指定工作任务。i) 支持接入虚拟防火墙,通过虚拟防火墙对出入云服务器实例的流量进行访问控制,满足安全性要求。j) 支持接入NAT网关,打通云服务器虚拟网络与NAT网关的链接,使云服务器实例可通过NAT网关访问外网或作为NAT网关后端的工作节点。k) 支持接入基于分布式存储架构的对象存储、块存储、文件存储等高性能网络存储达到计算存储分离。l) 支持接入基于物理机本地存储的本地盘,以达到数据的快速访问。m) 支持基于高性能网络存储资源的数据备份、数据恢复,满足可靠性要求。n) 支持基于云服务器实例创建自定
16、义镜像,支持多用户间镜像共享。o) 支持云服务器实例跨宿主机实例迁移,跨存储迁移等操作。5.1.2 GPU云服务器GPU云服务器在在通用云服务器基础上提供了高效的存储和GPU计算卡,以应对深度学习、图像分析渲染等操作对高算力的要求。a) 支持5.1.1所描述云服务器所有特性。b) 支持GPU间点对点通信,无需CPU干预,提供服务器内部高带宽低时延的数据传输。c) 支持多租户间弹性GPU安全隔离,并通过虚拟化管理器进行授权管理。d) 支持灵活配置多块GPU实现互相高速通信。e) 支持接入对象存储、块存储、文件存储等存储设备,满足大容量、高性能的存储需求。f) 支持监视GPU指标,提供显存总量、显
17、存空闲量、GPU编码器使用率等信息。5.1.3 裸金属云服务器裸金属云服务器采用新一代虚拟化技术兼具通用云服务器的弹性和物理机的性能及功能特性,全面支持嵌套虚拟化技术。a) 支持5.1.1所描述云服务器所有特性。b) 支持芯片级的安全加密保障。c) 支持第三方虚拟化(包括但不限于Xen、KVM等)、AnyStack(包括但不限于OpenStack、ZStack等)。兼容虚拟机镜像,裸金属服务器和虚拟机之间平缓迁移,提供业务部署弹性。d) 支持弹性网卡,最大可支持8/16/32个弹性网卡,且支持网卡热插拔。e) 具备良好的兼容性,支持与其它云产品(例如存储、网络、数据库等)无缝对接,兼容云主机实
18、例的镜像系统,物理机集群和虚拟机集群间网络无通信瓶颈。f) 具备分钟级交付能力,针对流量瞬时暴涨的业务,分钟级业务弹性伸缩能力。g) 支持云盘启动和数据云盘动态热插拔,云盘启动不依赖传统的网络装机,实现分钟级别业务交付、控制台镜像密码修复等关键功能;数据云盘动态热插拔,支持弹性存储服务关键功能。h) 支持宕机自动迁移恢复,极大降低IaaS基础设施故障恢复时间,当虚拟机或者弹性裸金属服务器出现软硬件故障时,运维管控系统能够自动迁移实例,最小化降低客户业务中断。i) 具备物理机的完整特性和性能、以及高隔离性和高安全性,如Intel VT-x和VT-d等技术,虚拟机无法提供,物理机天然具备这些处理器
19、特性,缺乏VT-x等技术支持,在虚拟机中进行嵌套虚拟化,导致性能极速下降;物理机在CPU、内存、IO等资源方面完全隔离,真正意义上做到资源零争抢;通过用户独占,对诸如Hypervisor逃逸、CPU微架构侧信道攻击等问题天然免疫,达到高安全性。5.1.4 服务器弹性伸缩弹性伸缩能够在业务需求增长时自动为增加云服务器实例以保证计算能力,在业务需求下降时自动减少云服务器实例以节约成本。a) 支持配置监控策略,监视云服务器的负载状况。b) 支持弹性伸缩组,可配置云服务器实例的规格、操作系统、CPU数量、内存数量、磁盘容量等信息。c) 支持创建、修改、删除弹性伸缩组。d) 支持弹性伸缩组指定组内最小实
20、例数和组内最大实例数,并自动保持弹性伸缩组内实例数处于最小实例数与最大实例数之间。e) 支持设置冷却时间,成功伸缩后将弹性伸缩组内实例数锁定,超过冷却时间后方可继续伸缩。f) 支持期望实例数,弹性伸缩组自动将本组的云服务器实例数维持在期望实例数。g) 支持当云监控检测到伸缩组内的云服务器实例CPU使用率突破设定限制时,根据配置的伸缩规则弹性扩张云服务器资源,自动创建合适数量的云服务器实例,并自动添加云服务器实例到负载均衡实例的后端服务器列表中。h) 支持云监控检测到伸缩组内的云服务器实例CPU使用率低于设定限值时,弹性伸缩根据配置的伸缩规则弹性收缩云服务器资源,自动释放合适数量的云服务器实例,
21、并自动从负载均衡实例的后端服务器列表中移除云服务器实例。i) 支持当检测到云服务器实例处于不健康状态时。弹性伸缩自动释放不健康的云服务器实例并创建新的云服务器实例,自动添加新云服务器实例到负载均衡实例的后端服务器列表中。j) 支持伸缩组的查看,显示伸缩组的ID、组内云服务器列表及云服务器的基本配置信息。k) 支持对弹性伸缩组的暂停操作,伸缩组不再进行动态伸缩,但依然可以进行手动伸缩。l) 支持对弹性伸缩组的恢复操作,恢复弹性伸缩组对组内实例数据检查,并根据结果进行动态伸缩云服务器实例。m) 支持伸缩组规则导出,支持伸缩组导入创建。5.2 软件定义存储5.2.1 对象存储对象存储提供了海量的存储
22、空间,针对文本、图片、音频和视频等非结构化数据文件,提供通过网络访问和存储的方式。a) 支持创建多个不同名称的对象存储实例,每个对象存储实例内部可存储的对象数目无限制。b) 支持文本、图片、音频和视频等非结构化数据文件的存储、下载。c) 支持对象操作的原子性,只有操作成功或操作失败,不存在中间状态的对象。d) 支持接入虚拟网络,使虚拟网络中的云服务器实例能够访问对象存储,实现文件的上传、下载、查看。e) 支持接入虚拟网络,使云服务器实例通过虚拟网络实现对对象存储数据的访问。f) 支持接入NAT网关,使外部应用可以访问对象存储。g) 支持HTTP RESTful API的形式对外提供服务,支持通
23、过浏览器进行上传、下载、查看。h) 对象上传时支持分片上传,对大文件采用并行上传,加快传输速度。i) 支持断点续传,如果因意外导致上传失败,可以在重启的时候继续上传。j) 支持文件分享,将文件URL分享给第三方,供其下载或预览。k) 支持对象迁移或拷贝到其他对象存储实例中。l) 支持文件设置ACL,控制文件的读写访问权限。m) 支持数据加密,将上传的文件进行加密,再将加密数据持久化保存,下载时对象存储自动将数据解密并返回给用户。n) 支持数据容灾,采用多副本冗余机制,保证数据的可靠性,当其中一个存储节点不可用时,仍能保证数据的正常访问。o) 支持接入访问控制,对资源设置访问权限。5.2.2 块
24、存储为云服务器提供的块设备,高性能、低时延,满足随机 读写,可以像使用物理硬盘一样格式化建文件系统使用。a) 支持块存储空间的动态调整。b) 支持以系统盘或数据盘的方式挂载到云服务器实例中。c) 支持共享型存储,可将同一个块存储实例挂载到同一虚拟网络中的多个云服务器实例中。d) 支持存储数据快速格式化。e) 支持多数据副本或者冗余提高数据高可靠,消除单点故障。f) 支持某个时间点的快照功能,并可根据快照回滚到某个时间点状态。g) 支持对块存储上的数据进行加密。5.2.3 文件存储文件存储是面向云服务器实例、容器服务等计算节点的文件存储服务,提供标准的文件访问协议,具有弹性扩展、多共享、高可靠和
25、高可用等特点。a) 支持POSIX文件接口,天然适配原生操作系统,提供共享访问,同时保证数据一致性和锁互斥。b) 支持标准的NFS和SMB访问协议,支持主流的Linux和Windows操作系统。c) 支持多计算实例共享访问文件系统里的同一数据源,通过文件锁保证数据的强一致性。d) 支持数据备份可以通过灵活的备份策略生成多个备份副本数据,在发生数据损坏时进行恢复。e) 支持SSD做存储介质,为读写频繁,高并发的应用提供高吞吐量、低延迟的存储性能。f) 支持SATA HDD做存储介质,为大数据量的应用提供高容量、低成本的存储空间。g) 支持闪存做存储介质,为文件密集型应用提供高性能、低延迟的存储空
26、间。h) 支持传统机械硬盘做存储介质,为应用提供低成本、高可靠性的存储空间。i) 支持存储容量自动弹性增长和收缩。j) 后端支持多副本存储,每份数据都有多份拷贝在故障域隔离的不同设备上存放,提高可靠性。k) 支持作为系统盘或数据盘挂载到云服务器实例中。l) 支持作为数据卷挂载到容器实例中。m) 支持接入虚拟网络,实现不同虚拟网络中的云服务器实例对文件存储实例的挂载。n) 支持接入对象存储,实现文件系统与对象存储间数据的迁移。o) 支持数据加密,将上传的文件进行加密,再将加密数据持久化保存,下载时对象存储自动将数据解密并返回给用户。5.3 软件定义网络软件定义网络(SDN)基于软件的控制,网络管
27、理员可以直接从中央控制台来控制流量流向,并在整个系统中提供网络服务,而不需关心硬件设备是如何连接的。5.3.1 虚拟网络5.3.1.1 虚拟网络虚拟网络应满足以下功能要求:a) 支持创建多个虚拟网络,虚拟网络之间默认互相隔离,可为虚拟网络指定IP地址范围。b) 支持将云服务器实例、对象存储、块存储、文件存储及负载均衡等资源接入虚拟网络。c) 支持创建二层网络,支持VLAN、VxLAN两种组网模式。d) 支持创建三层网络,支持公有网络、私有网络、系统网络,用户能够将指定用途网络创建在指定网络类型中。e) 支持IPv4、IPv6网络协议,虚拟网络可在双栈模式下运行,资源可通过IPV4或IPV6网络
28、进行通信。f) 支持为虚拟网络添加虚拟交换机,将虚拟网络划分一个或多个子网。同一虚拟网络内的不同交换机之间内网互通。可以将应用部署在不同区的交换机内,提高应用的可用性。g) 支持在虚拟网络间添加虚拟路由器,实现虚拟网络间的互通。h) 虚拟路由须支持配置OSPF动态路由协议,实现和物理交换机建立OSPF邻接关系,从而联通物理网络和虚拟网络。i) 支持弹性网卡,弹性网卡可在多个云服务器之间迁移,实现业务的灵活扩展和迁移。123455.15.25.35.3.15.3.1.15.3.1.2 网络连接网络连接应满足以下功能要求:a) 支持为虚拟网络添加路由,指定流量的目的地。b) 支持NAT网关接入虚拟
29、网络,通过SNAT实现云内计算资源访问互联网,通过DNAT实现主机面向公网提供服务。c) 虚拟网络支持DHCP协议,为虚拟网络中的云服务器实例配置DNS服务器IP地址和域名。5.3.1.3 访问控制访问控制应满足以下功能要求:a) 支持自定义设置网络ACL规则,并将网络ACL与交换机绑定,实现对交换机中云服务器实例的流量的访问控制。b) 支持接入虚拟防火墙,通过配置安全组实现对出入虚拟网络的流量进行过滤。5.3.2 负载均衡5.3.2.1 数据转发数据转发应满足以下功能要求:a) 支持为负载均衡实例设置虚拟IP,并通过虚拟IP对外提供服务。b) 支持高可用,负载均衡实例节点故障后,自动将虚拟I
30、P飘移到备实例节点对外提供服务。c) 支持接入虚拟网络,实现将访问负载均衡虚拟IP的流量转发到虚拟网络中。d) 支持将虚拟网络中多台云服务器实例设置为负载均衡工作组,形成高性能和高可用的后端服务池。e) 支持为负载均衡指定服务器组,支持一组服务器挂载到不同的负载均衡器中。f) 支持自动检测后端服务池中云服务器实例的健康状态,自动隔离异常状态的云服务器实例,消除单点故障,提升应用整体服务能力。g) 支持基于DNS和IP地址的全局负载均衡,实现互联网流量的接入并在云内进行转发,如将两个负载均衡实例的虚拟IP添加到DNS服务器中,实现多负载均衡实例的高可用。h) 支持L4L7层的服务器负载均衡,代理
31、后端服务监听指定端口,并将请求转发给后端服务器。i) 支持基于IP、协议、端口等规则进行转发,支持基于HTTP Header、Host、Cookie等多种规则进行转发,实现基于业务的灵活调度。j) 支持多种负载均衡调度算法,随机、轮询、加权轮询、基于IP的哈希算法、基于IP和端口的哈希算法等。5.3.2.2 健康检查监控检查应满足以下功能要求:a) 支持多种健康检查机制,测到后端服务器异常,自动将请求转发到健康服务器进行处理,异常服务器恢复后,负载均衡会将其自动恢复到负载均衡服务中。b) 支持基于ICMP的健康检查机制,向后端服务器组发送ICMP请求,查看是否收到应答。c) 支持基于TCP监听
32、的健康检查机制,向后端云服务器实例发送TCP SYN数据包,查看是否能接受到SYN+ACK数据包。d) 支持基于HTTP/HTTPS监听的健康检查机制,向后端云服务器实例的指定端口发送HTTP HEAD请求,查看返回的HTTP状态码。e) 支持基于UDP监听的健康检查机制,向后端云服务器实例发送UDP探测报文,查看是否接受到ICMP报错信息。5.3.2.3 会话保持会话保持应满足以下功能要求:a) 支持会话保持,保证在会话的生命周期内,同一条会话的请求被转发到同一台后端服务器上。b) 支持基于源IP地址的会话保持,保证同一客户端的请求被转发到同一台后端云服务器实例进行处理。c) 基于源端口的会
33、话保持,保证相同业务的请求被转发到相同的后端云服务器实例进行处理。d) 基于Cookie的会话保持,保证相同HTTP会话的请求被转发到相同的后端云服务器实例进行处理。5.3.2.4 访问控制访问控制应满足以下功能要求:a) 支持预定义、自定义的访问控制策略,根据IP、IP地址段、协议、端口等信息对流量进行转发过滤。b) 支持白名单策略,仅转发来自所选访问控制策略组中设置的IP地址或地址段的请求。c) 支持黑名单策略,来自所选访问控制策略组中设置的IP地址或地址段的所有请求都不会转发。d) 支持TLS安全策略,可接入证书管理服务,在负载均衡实例中对HTTPS流量进行验证,降低后端服务器的开销。e
34、) 支持重定向功能,可将HTTP请求重定向至HTTPS。5.3.3 NAT网关NAT网关应满足以下功能要求:a) NAT网关支持绑定虚拟网络,实现云服务器实例与NAT网关的接入。b) NAT网关支持SNAT功能,为虚拟网络内的云服务器实例提供访问互联网的代理服务。c) NAT网关支持DNAT功能,将NAT网关上的IP映射给云服务器实例使用,使云服务器实例能够提供互联网服务。d) 支持为NAT网关绑定多个IP,形成地址池。5.4 资源管控实现IaaS平台软件定义计算、软件定义存储、软件定义网络的资源的管控。5.4.1 一云多Region管理调度云区域(Region)的设计支持多区域部署一朵调度云
35、的需求,在架构设计上分为中心Region和普通Region。调度云多Region支持以下特点:a) 一朵云多Region,架构侧重云管控层面的统一,由一个中心进行统一管理、统一运维、统一计量、以及统一监控等。b) 基础服务的读写服务部署在中心,普通Region的基础服务只提供读服务。普通Region只需要部署服务节点,由中心Region统一管控运维。c) 兼容性,向前兼容单Region的部署形态,向后支持多Region的扩展部署。d) 可用性,故障域隔离,当中心Region出现故障的情况下,不影响云平台已申请云实例资源的使用。当普通Region出现问题的情况下,不影响其他Region的使用。5
36、.4.2 云运营管理为调度云提供统一登陆,体验一致的支持多租户的云管理平台,对云平台中各个组件的用户提供资源使用入口,用户可以在平台上进行资源开通、使用、变配、删除等日常的云组件生命周期管理,支持租户级的授权,资源集、Region、操作等做对应的用户权限管理。a) 支持多级组织创建及管理,不同组织之间资源默认隔离,每个组织可以对应多个专有云账号,实现跨区域资源管理。b) 支持提供在组织下创建及管理资源集的功能,资源集是资源实例的集合,可包含混合云的资源实例。c) 提供登录策略的创建及管理功能,支持单点登录,控制用户登录地址、登录时间、认证方式等。d) 支持与企业已有的用户系统对接,支持组织和用
37、户信息的同步和导入,并支持统一登录认证。e) 支持对云环境的地域和集群等信息,映射到具体的组织,从而只有映射配置了的组织,才能看到并使用该地域的资源。f) 支持对于多级组织,多地域设置相应的配额限制,限制每个组织所能占用的云资源。g) 支持对云环境的地域和集群等信息,映射到具体的组织,从而只有映射配置了的组织,才能看到并使用该地域的资源。h) 支持云环境里运行的资源实例数量进行统计包括组织维度、资源集维度。i) 提供资源分析仪表盘,支持按类型、地区、性能、告警、利用率等多种维度的资源实力数据图形化展示以及关键数据的报表导出功能。j) 提供对与云环境中的云产品,进行不同种类(IaaS类/PaaS
38、类/大数据类)云资源实例操作的控制台。k) 支持提供统一云资源(IaaS类/PaaS类/大数据类)开通及变配服务, 基于配置的动态资源开通及变配引擎服务,对于云环境中云产品的可用规格管理。5.4.3 运维监控管理为运维驻场人员、用户的运维团队提供专业、统一的运维体验。通过运维监控管理平台,可以对云平台后台的物理设备、云服务资源、服务状态、资源水位、告警数据等诸项目最运维的统一操作。a) 支持用户管理、双因素认证、角色管理、部门管理、登录策略管理、APP白名单、物理主机密码管理、操作日志。统一账号管理&角色权限管理,能够支持专有云运维平台的SSO功能,只需要登录到云平台运维系统中,就能实现对云平
39、台所有的组件进行运维或者免登录跳转运维。b) 支持统计每个Region的告警汇总,按严重等级展示。支持显示多Region的相关告警、库存和资源信息。支持图形化展示云云服务器、负载均衡、对象存储等产品的库存百分比。支持统计每个Region的物理资源。c) 支持导出历史告警列表、查看告警源详情、告警处理(如处理、处理完成、事件跟踪、上报ITIL等)、告警列表里的告警信息、告警屏蔽。d) 支持根据监控项类型及过滤内容来进行过滤查询。支持搜索关键字查询。e) 支持将所有物理机相关的信息导出至本地,用于线下查看。支持按产品维度查看该物理机的基本信息及监控与报警情况。f) 支持云服务器库存情况查看,云服务
40、器库存详情中主要提供按区域、实例类型和日期分页查询某类实例在某个日期的库存情况。g) 支持云产品切换主、备节点,对数据库实例进行备份h) 支持第三方服务运营商的接入配置更改,增加,删除。支持通过跳转的方式便捷地访问第三方服务运营商界面。i) 支持查看当前系统中等待介入、运行中、失败和已完成任务数量的统计信息。在运行中的任务 区域,查看最近24小时内正在运行中的任务。在脚本创建 区域,您可以通过单击或拖拽方式快速创建脚本。支持上传shell以及python脚本。在最近7天运行情况 区域,查看最近7天任务的运行趋势。j) 支持当任务中存在断点并运行到断点时,任务将暂停等待人工确认,只有人工确认后任
41、务才能继续执行。5.4.4 权限管理多Region架构下的用户使用权限模型,覆盖用户在多Region架构下的云管理员对Region级别的资源的操作使用权限。a) 云资源使用和维护层面:拥有一个区域资源管理权限的管理员只能管理自己所辖区域的设备以及使用相关的功能,不能管理其他区域的资源和设备。b) 业务和数据配置层面:各个管理区域的管理员只能管理属本区域的业务和数据等资源,未得到授权时不能查看、修改其他区域的资源。c) 支持分权分域管理:提供集中管理方式下的分域协作功能,支持中心Resgion和普通Region以省为单位建设、跨本地网部署、资源共享和协同管理。通过资源和权限灵活匹配,可以灵活适应
42、维护管理模式,如Region中心化管理或边缘Region自治管理可以灵活切换和配置。充分利用区域运维资源,提高区域运维效率,减轻中心Region所在的区域的产品使用和运维压力。d) 提供在组织下创建和管理用户的功能,一个用户只能属于一个组织,但是可以加入到多个资源集中。提供在组织下创建和管理用户组的功能,一个用户组只能属于一个组织,但是可以加入到多个资源集中。提供角色创建及管理功能,支持自定义业务角色,设置角色所具有的操作权限,包含专有云的权限统一配置,并将角色管理给相关用户。e) 统一安全管理平台提供配置管理员、审计管理员、系统审核员的三类管理员角色,满足等保2.0中安全管理中心系统管理、审
43、计管理和安全管理的要求。如:平台资源的管理权限,实现云平台主管、平台管理员、本体安全主管三权分立;云平台运维的管理权限,实现云平台主管、系统管理员、本体安全主管的S三权分立。5.4.5 计算管理计算管理满足以下功能要求:a) 支持创建云服务器、GPU云服务器、裸金属云服务器等计算资源。b) 支持对云服务器的CPU数量、内存数量、磁盘数量、网卡数量、IP地址等配置进行动态调整。c) 支持对计算资源生命周期的管理,包括停止、启动、重启、销毁等操作。d) 支持对计算资源运行状况的监视,展示CPU使用率、内存使用率、磁盘IO率等使用状况。e) 支持为计算资源设置标签形成计算资源池,支持根据标签检索计算
44、资源,支持根据标签控制计算资源的访问。f) 支持资源编排,根据资源栈模板创建和配置资源,自动化交付项目所需的云服务器实例和数据库实例等云计算资源。g) 支持为云服务器实例绑定虚拟网络、访问控制,支持设置安全组,通过安全组对云服务器的出入流量进行过滤。h) 支持云服务器通过控制台进行SSH登录。5.4.6 网络管理网络管理满足以下功能要求:a) 支持创建多个虚拟网络、NAT网关、负载均衡等网络资源。b) 支持NAT网关关联虚拟网络、负载均衡关联虚拟网络的操作。c) 支持用户创建私有网络时指定IP地址或IP地址网段。d) 支持用户创建虚拟交换机,并通过虚拟交换机关联虚拟网络,实现虚拟网络之间的互通
45、。e) 支持为NAT网关、负载均衡绑定公网IP,实现公有云的接入及外网的互通。f) 支持带内管理、带外管理的集中化整合管理的网络集中管理。123455.15.25.35.45.4.15.4.25.4.35.4.45.4.55.4.65.4.7 存储管理存储管理满足以下功能要求:a) 应支持对接主流存储,可对接本地硬盘、分布式存储作为虚拟化平台后端存储,无需管理员手动修改配置文件。b) 支持线性扩展,随着系统规模(节点数量)的增加,系统性能和容量线性提升;支持在线扩展,可在不中断业务的情况下进行扩容。c) 支持多副本数据保护,跨节点跨机柜的副本保护机制,容忍跨节点机柜的宕机而业务数据不丢失。允许用户设置副本数量,可设副本数不少于2,最多支持副本数不少于6。d) 支持Recovery Qos功能,系统发生Recovery时可以在线调整Qos,提供业务优先、恢复优先等策略。e) 支持存储资源的申请、释放、挂载等操作。f) 支持为存储资源生成快照,并根据快照恢复数据。g) 支持监控并展示存储资源的运行指标,如容量信息、读写速率、读请求数、写请求数、失败请求数等。h) 支持存储资源的动态扩容,如动态扩充文件存储的空间。5.4.8 容灾备份5.4.8.1 备份备