市级政务云平台建设项目可行性研报告385页[Word]
该报告为word格式文档,具体来源请参考文末部分。本报告精选了项目的核心内容和架构设计,逻辑条理清晰,内容全面详实,为制定售前方案提供了可靠的技术依据。作为参考依据,本报告为制定售前方案提供了重要的技术思路和方案框架。
目 录
1 概述****
1.1 项目名称
1.2 项目承担单位
1.3 项目可研编制依据
1.3.1 编制依据文件和要求
1.3.2 参考的规划、标准规范等
1.4 建设目标、内容、周期
1.4.1 总体建设目标
1.4.1.1 整体规划目标
1.4.1.2 建设目标
1.4.2 建设内容与规模
1.4.2.1 建设内容
1.4.2.2 建设规模
1.4.3 建设周期
1.5 总投资及资金来源
2 项目建设单位与信息化现状****
2.1 单位简况
2.2 本项目涉及的相关信息化资源现状
2.2.1 区内信息化现状
2.2.2 网络现状分析
2.2.3 应用部署情况
2.2.3.1 某区门户网站现状
2.2.4 IT资源情况
2.2.5 机房情况
2.3 拟建项目与已有系统的关系
3 项目建设的必要性和可行性****
3.1 项目背景
3.2 项目建设的必要性
3.2.1 主要问题分析
3.2.1.1 电子Z务建设集约化程度不高
3.2.1.2 信息资源共享度较低
3.2.2 政策指导要求
3.2.3 是本区各级Z务部门业务应用和发展的需要
3.3 项目建设的可行性
3.3.1 建设模式的考虑
3.3.2 建设模式分析
3.3.3 关于一家或多家运营商选择的考虑
4 需求分析****
4.1 用户需求分析
4.1.1 平台使用对象
4.1.2 委办局资源域需求
4.1.3 迁移系统调研
4.2 基础设施平台需求分析
4.2.1 需求概述
4.2.2 网络能力需求
4.2.3 安全能力需求
4.2.4 计算存储能力需求
4.2.5 云计算虚拟化需求
4.2.6 云服务管理系统需求
4.2.7 统一云管理需求
4.2.8 服务目录
4.3 其他需求分析
4.3.1 容灾备份能力需求
4.3.2 扩展能力需求
4.3.3 节能需求
4.3.4 考核要求
4.3.4.1 考核内容要求
5 总体设计****
5.1 总体建设目标
5.2 建设内容与规模
5.2.1 建设内容
5.2.2 建设规模
5.3 设计原则
5.4 总体技术架构设计
5.4.1 设计思路
5.4.2 服务实现架构
5.4.3 总体逻辑架构
5.4.4 Z务云体系
6 项目详细建设方案****
6.1 基础设施平台设计方案
6.1.1 机房设计
6.1.1.1 机房服务内容
6.1.1.2 A级机房建设要求
6.1.1.3 其他要求
6.1.2 网络系统设计
6.1.2.1 设计原则
6.1.2.2 网络总体架构设计
6.1.2.3 网络系统 详细设计
6.1.2.4 机房互联设计
6.1.3 计算存储系统设计
6.1.3.1 计算处理能力
6.1.3.2 存储处理能力
6.1.3.3 计算场景设计
6.1.3.4 存储场景设计
6.1.3.5 业务区与集群设计
6.1.4 云计算虚拟化平台规划
6.1.4.1 原则
6.1.4.1.1 选择OpenStack架构、避免被单一 厂商 锁定
6.1.4.1.2 主流云平台 技术 XEN、KVM技术对比
6.1.4.1.3 XEN和KVM双引擎,支撑Z务云稳定演进
6.1.4.2 虚拟化介绍
6.1.4.3 虚拟化关键技术
6.1.4.3.1 计算虚拟化
6.1.4.3.2 存储虚拟化
6.1.4.3.3 网络虚拟化
6.1.4.3.4 高可用性
6.1.4.3.5 高安全性
6.1.4.3.6 可管理性
6.1.4.3.7 可节能性
6.1.5 计算存储选型
6.1.5.1 计算存储功能分区建议
6.1.5.2 服务器选型方案与规模需求
6.1.5.3 存储方案选型与容量规划
6.1.6 云服务管理系统设计
6.1.6.1 运维管理系统规划
6.1.6.2 运营管理系统规划
6.1.6.3 统一云管理平台
6.2 云数据中心容灾与备份规划方案
6.2.1 容灾备份等级
6.2.2 云平台备份设计
6.2.2.1 虚拟机快照备份方案
6.2.2.2 备份软件备份方案
6.2.3 云平台容灾设计
6.2.3.1 主备容灾方案设计
6.2.3.2 本地高可用方案设计(推荐)
6.2.3.3 灾难恢预案
6.3 利旧方案
6.3.1 机房利旧
6.3.2 网络利旧
6.3.3 安全设备利旧
6.3.4 虚拟资源池利旧
6.3.5 设备利旧制度
6.4 信息安全系统设计
6.4.1 电子 Z务 安全
6.4.1.1 等级保护要求
6.4.1.2 等级保护三级 安全 保护框架
6.4.2 云平台安全方案
6.4.2.1 网络安全技术实现
6.4.2.2 主机安全技术实现
6.4.2.3 应用安全技术实现
6.4.2.4 虚拟化安全技术实现
6.4.2.5 数据安全技术实现
6.4.2.6 用户管理技术实现
6.4.2.7 安全管理技术实现
6.4.3 安全 资源池 方案详细设计
6.4.3.1 安全资源池整体架构方案
6.4.3.2 安全组
6.4.3.3 虚拟VPN
6.4.3.4 虚拟化防病毒
6.4.3.5 虚拟防火墙
6.4.3.6 虚拟化入侵防御
6.4.3.7 虚拟化Web防护
6.4.3.8 虚拟负载均衡
6.5 业务迁移规划和设计方案
6.5.1 迁移部署计划安排
6.5.2 业务迁移服务概述
6.5.3 业务迁移设计原则
6.5.4 业务系统迁移思路
6.5.5 业务迁移流程
6.5.6 迁移上云系统清单
6.6 某区Z务云演进路线规划
6.6.1 技术路线演进
6.6.1.1 计算资源虚拟化
6.6.1.2 存储资源虚拟化
6.6.1.3 网络资源虚拟化
6.6.1.4 云管理操作系统
6.6.2 总体架构演进
6.6.2.1 虚拟化数据中心阶段
6.6.2.2 云数据中心阶段
6.6.2.3 分布式云数据中心阶段
6.7 运营运维服务
6.7.1 服务保障体系
6.7.1.1 ITSS服务体系
6.7.2 驻场服务
6.7.3 运维团队配置
6.7.4 详细服务任务设计
6.7.4.1 资源监测
6.7.4.2 资源配置
6.7.4.3 资源优化
6.7.4.4 服务监控
6.7.4.5 事件处理
6.7.4.6 运维流程
6.7.4.7 日常巡检
6.7.4.8 备份恢复
6.7.4.9 应急预案管理
6.7.4.10 服务质量监督和报告
6.8 统一云管演进方向
6.8.1 关于运营运维服务管理的深化
6.8.1.1 服务计费管理
6.8.1.2 服务报告管理
6.8.1.3 服务财务管理
6.8.1.4 服务需求管理
6.8.1.5 服务开发管理
6.8.1.6 服务上线管理
6.8.1.7 服务满意度管理
6.8.1.7.1 服务能力评价指标
6.8.1.7.2 服务过程评价指标
6.8.1.7.3 任务级评价指标
6.8.1.7.4 项目级评价指标
6.8.1.7.5 组织级评价指标
6.8.1.7.6 企业级评价指标
6.8.1.7.7 满意度调查表功能
6.8.2 基于CA数字证书的安全身份认证
6.8.2.1 建设目标
6.8.2.2 建设内容
6.8.2.3 具体功能应用
6.8.2.3.1 终端组建模块
6.8.2.3.2 安全接入模块
6.8.2.3.3 应用服务模块
6.8.2.3.4 系统服务模块
6.8.2.4 设备列表
6.8.3 基于开源软件的监控平台
6.8.3.1 Nagios
6.8.3.1.1 Nagios特点
6.8.3.1.2 监控的服务
6.8.3.1.3 Nagios监控原理
6.8.3.2 监控事件管理
6.8.3.2.1 事件管理平台接口功能
6.8.3.2.2 事件采集
6.8.3.2.3 事件过滤
6.8.3.2.4 事件压制
6.8.3.2.5 事件关联
6.8.3.2.6 事件分发
6.8.3.2.7 告警
6.8.3.2.8 事件升级
6.8.3.2.9 事件重定义
6.8.3.3 系统监控
6.8.3.3.1 操作系统监控
6.8.3.3.2 数据库监控
6.8.3.3.3 应用和中间件监控
6.8.3.3.4 业务应用监控
6.8.3.4 硬件监控
6.8.3.4.1 运行状况监视
6.8.3.4.2 故障管理
6.8.3.5 网络监控
6.8.3.5.1 设备自动发现
6.8.3.5.2 网络故障发现
6.8.3.5.3 网络协议采集和分析
6.8.3.5.4 网络拓扑发现和管理
6.8.3.5.5 拓扑自动发现
6.8.3.5.6 拓扑编辑
6.8.3.5.7 端口监控和巡检
6.8.3.6 存储监控
6.8.3.7 门户展示
6.8.3.7.1 全局展示
6.8.3.7.2 事件告警展现
6.8.3.7.3 性能数据展现
6.8.3.7.4 业务指标展现
6.8.3.7.5 业务流程展现
6.8.3.7.6 业务影响分析展现
6.8.3.7.7 报表展现
6.8.4 基于大数据的监控数据采集、处理和分析
6.8.4.1 总体框架
6.8.4.2 Cloudera
6.8.4.2.1 完全开源开放,避免被私有闭源平台绑架
6.8.4.2.2 业内最完整的Hadoop堆栈
6.8.4.2.3 业内最广泛的合作伙伴生态圈
6.8.4.3 监控数据接入
6.8.4.3.1 数据接入方案
6.8.4.3.2 对于在监控分中心落地数据的接入
6.8.4.3.3 对于实时消息流数据的接入
6.8.4.3.4 数据接入特性
6.8.4.4 监控数据存储
6.8.4.4.1 数据类型支撑
6.8.4.4.2 HDFS高可用性
6.8.4.4.3 HDFS分层存储策略
6.8.4.4.4 索引支持
6.8.4.4.5 数据增删改操作
6.8.4.4.6 压缩策略
6.8.4.4.7 数据备份恢复策略
6.8.4.4.8 数据安全策略
6.8.4.4.9 数据平台管理
6.8.4.5 监控数据查询
6.8.4.5.1 实时查询统计技术解决方案设计
6.8.4.5.2 实时自主查询解决方案设计
6.8.4.5.3 历史统计技术解决方案
6.8.4.5.4 历史查询技术解决方案
6.8.4.6 配置要求
6.9 系统软件数量及版本需求
6.9.1 现有系统软件
6.9.2 预备系统软件
6.9.3 数据库分布式部署设计
6.9.3.1 分布式存储产品特性选型
6.9.3.2 应用场景
6.9.3.3 主要功能
6.10 相关硬件设备数量和参数要求
6.10.1 设备汇总要求
6.10.2 设备参数要求
6.10.2.1 网络设备
6.10.2.2 服务器
6.10.2.3 存储
6.10.2.4 备份和灾备设备
6.10.2.5 安全设备
7 项目组织保障与实施进度安排****
7.1 项目建设周期
7.2 项目实施进度
7.3 总体实施路线规划
7.4 项目组织保障与培训
7.4.1 领导和管理机构
7.4.2 项目实施机构
7.4.3 运行维护机构
7.4.4 人员培训
8 项目风险及控制措施****
8.1 项目风险概述
8.2 风险标识
8.3 风险估算
8.4 风险评价与管理
8.5 项目实施的外部风险与控制措施
8.5.1 风险识别
8.5.2 控制措施
8.6 项目实施的内部风险与控制措施
8.6.1 风险识别
8.6.2 控制措施
8.7 项目长期运行风险与控制措施
8.7.1 风险识别
8.7.2 控制措施
9 总投资及资金来源****
9.1 投资建设模式
9.2 概算总表
9.3 概算明细表
9.4 资金来源
10 经济及社会效益****
10.1 经济效益分析
10.1.1 一体化、集约化建设,降低建设成本
10.1.2 集中管理、统一维护,降低运维成本
10.2 社会效益分析
10.2.1 以满足全区电子Z务业务应用不断发展的需要
10.2.2 将建立高效、稳定的信息安全和运行维护体系
10.2.3 将构建Z务云计算平台,打造某区智慧电子Z务
11 结论与建议****
11.1 结论
11.2 建议
图表目录
图2-1:某区Z务外网拓扑结构示意图
表2-1:某区Z务云平台主要业务系统情况表
表2-2:不同分区业务系统的部署资源(服务器)统计表
表2-3:现网服务器明细产品情况统计表
表2-4:现网存储设备明细产品情况统计表
图4-1:某区原有虚拟化平台的网络拓扑结构示意图
图5-1:某区云平台总体技术架构示意图
图5-2:某区云平台服务实现架构示意图
图5-3:某区云平台总体逻辑架构示意图
图5-4:某区Z务云体系示意图
表6-1:应用资源需求及业务场景分析表
表6-2:虚拟化适应性分析表
图6-1:典型的FC SAN组网结构示意图
图6-2:典型的IP SAN组网结构示意图
图6-3:存储虚拟化结构示意图
图6-4:业务区与集群设计区分布示意图
表6-3:典型应用虚拟机配置规格示例表
图6-5:统一运维方案设计示意图
表6-4:运维用户角色定义表
图6-6:系统日常运维流程示意图
图6-7:故障处理维护场景示意图
图6-8:主动智能运维流程示意图
图6-9:运营用户角色和角色间关系示意图
图6-11:应用申请部署流程示意图
表6-5:系统计划任务能力表
图6-12:平台定位示意图
图6-13:平台功能架构示意图
表6-6:参考的接口技术文档细项设计表
图6-15:安全资源池整体架构示意图
表6-7:安全划分和功能介绍表
图6-16:Z务云安全服务体系设计示意图
图6-17:安全组和规则设置界面示意图
图6-18:VPN Server-Server 模式示意图
图6-19:VPN Client-Server 模式示意图
图6-20:VPN截图界面示意图
图6-21:无代理防病毒示意图
图6-22:虚拟防火墙申请界面示意图
图6-23:虚拟防火墙申请审批后发放界面示意图
图6-24:虚拟负载均衡申请界面示意图
图6-25:虚拟负载均衡申请审批后发放界面示意图
图6-26:业务迁移服务流程示意图
表6-8:业务迁移各个阶段需要完成的工作内容表
表6-9:迁移上云系统清单表
图6-27:Z务云演进路线规划示意图
表6-10:系统软件需求列表
表6-11:一个机房的设备要求总数列表
图8-1:项目实施推进进度示意图
图8-2:项目运行维护机构结构示意图
表10-1:本项目概算总表和年度计划安排表
表10-2:本项目概算明细表
1.1 建设目标、内容、周期
1.1.1 总体建设目标
基于某区Z务云技术架构规划实施,使其与现有平台实现资源的全面整合,同时提升服务功能的扩展性与系统性,为信息化建设提供安全可靠的云服务支撑,并为其服务型政府的建设提供坚实的技术保障。
在某区构建Z务云技术架构规划体系,通过减少重复建设资金投入并实现节能减排,优化基础设施资源的使用效率,实现某区信息化基础设施资源的统一规划、统一建设、按需调配、即时配置、资源共享。通过分阶段实施、循序渐进的方式,实现基础设施建设的集约化、资源共享化、服务规范化的同步推进,满足各级用户和各委办局对信息化资源的应用需求,为该区Z务信息化发展提供强有力的技术支撑保障。
1.1.1.1 整体规划目标
分三阶段推进建设。第一阶段,启动Iaas层面的初步建设工作,确保区内主要业务系统和各委办局的现有及新建等保三级及以下非涉密信息系统上云完成,实现物理层面的集中部署。第二阶段,基于Iaas层面的Z务云平台,构建区级Z务云Paas平台,提供统一的公共服务,并逐步推行区内新建信息系统按Paas平台规范开发,实现应用资源共建共享。第三阶段,启动区级Z务云Daas平台的建设工作,实现“云数联动”,基于“三个实有”的基础上,逐步优化数据更新和利用机制,明确数据更新和利用的具体要求。
1.1.1.2 第一期建设目标
基于某区现有的信息化水平和电子政务相关情况,拟结合上级主管部门及相关部门的调研反馈,开展本区Z务云建设项目,拟采取服务化与建设化相结合的方式。
1. 建设模式目标
其中服务标部分,采用政府购买服务的方式,从资质齐全的运营商中挑选出两家公司,经过精心挑选并最终成功搭建了两个云机房。通过竞争激烈的模式,最终成功地获得了具有竞争力的服务价格和卓越的服务质量。
在标书编制部分,建议选择一家具有强大实力的集成服务商,搭建统一的云管理平台,并引入第三方软件系统,完成应用系统迁移的全部工作流程。同时,该角色将担任第三方技术监督与管理职责,负责对接两家云服务提供商的基础服务,协助政府更好地发挥云计算的优势,实现对云计算的有效管理。
2. 资源规模目标
根据各区县Z务云一期建设的虚拟资源池规模测算,初步估算某区Z务云虚拟资源池规模:第一阶段上云的系统预计40个,对生产服务器物理CPU核数的需求,按增加30%的冗余量计算,总规模预计为3000核,以1:4的比例估算内存需求规模约为12000GB,存储需求规模约为300TB。后续根据建设和实际需求,将逐步进行资源的平滑扩展。
3. 安全建设目标
为确保云平台网页数据的完整性和安全性,所有部署于云平台的互联网应用系统均需预先安装防篡改功能。若云租户已配备防篡改功能,需提供相关产品认证文件,包括销售许可证或3C认证证书。对于未自带防篡改功能的用户,云平台将主动提供相应的防篡改措施。若云租户的互联网应用系统未安装防篡改功能,则将无法接入云平台。
云平台流量清洗标准和Web应用防护标准:运营商可提供基础服务形式的流量清洗和Web防护服务。
关于云租户虚拟防火墙的建议:建议由云租户提出需求,科委审核通过后方可开通虚拟防火墙策略,原则上建议采用最小授权原则进行设置。
防病毒要求:遵循主机防护体系的标准,实现基础的防病毒功能。在云环境中,基于最新的等保标准,保障虚拟化防病毒服务的实现。
要求完成等保测评,并要求分数达到85分以上。
4. 应用迁移目标
在前期进行了全面的调研和分析工作后,此次业务搬迁预计涉及40个业务系统的整体迁移。所有符合等保三级要求且愿意参与上云的系统及单位,将按照既定的迁移流程,对所有系统进行评估、测试和方案设计,最终形成并提交上云计划,随后由云服务提供商负责实施迁移。
1.1.2 建设内容与规模
1.1.2.1 建设内容
某区基础资源平台规划包含如下内容:
Ø 规划建设统一的IT资源池
基础设施资源涵盖网络资源、计算资源和存储资源等,基于云计算的弹性扩展能力强、系统运行稳定、数据备份能力强的特点,采用可扩展的云计算模式,并与"某区"的云计算核心节点实现互联互通。
针对网络资源建设的需求,主要依托Z务公共网和Z务办公网,强化网络安全防护措施,优化网络管理体系结构。
在计算资源管理方面,可采用虚拟化技术构建弹性计算资源池,以满足部门用户对计算资源需求的持续增长。
在存储资源管理方面,建议采用存储虚拟化技术,以实现异构存储的统一整合和分级共享,从而提升存储资源的使用效率,使用户能够快速部署存储空间。实施按实际用量付费的计费模式,通过优化存储成本管理,包括存储共享、重复数据删除和数据压缩等措施,有效降低存储成本。通过弹性扩展技术,实现存储资源的动态调整和优化配置,以满足不同用户的需求。系统管理相对简便,降低了用户的运维成本。
Ø 规划建设统一的云管理运营运维支撑平台
在平台运营运维服务方面,构建统一的运维服务体系,制定服务标准与规范,为确保服务满足需求、响应及时、安全可靠,提供全面的运维保障服务。涵盖保障业务应用部署、开通及网络、硬件、软件、数据、机房环境等安全、稳定、高效运行所需的策划、实施、检查与改进等全面过程。
1.1.2.2 建设规模
基于云计算技术,整合利用多方面资源和条件,构建一个基于云计算的互联网综合性服务平台,为某区政府各部门提供基础设施、支撑软件、应用功能、信息资源、运行保障和信息安全等服务。该平台致力于实现服务资源的集中化管理,完善现有的技术服务管理模式与队伍建设。
基于当前某区Z务云第一阶段上云的40个系统数据,针对虚拟资源池的规模量,计算时增加了50%的冗余量,最终得出总规模约为3000个CPU核。内存需求按1:4的比例估算,约为12000GB。存储需求规模约为300TB。随着建设和实际需求的动态调整,扩容策略将逐步实施。
1 需求分析
1.1 用户需求分析
1.1.1 平台使用对象
某区Z务云的主要角色为区政府科委信息中心、平台评测者以及平台使用机构。平台使用机构具体包括某区政府及其下属Z务用户部门,它们负责向区政府科委信息中心申请相关资源的使用权,以提供给该政府机构的服务对象,包括公务员、公众或企业等。
1.1.2 委办局资源域需求
委办局资源域特指委办局所使用的资源区域。资源域包含两种类型,第一种类型是指根据有特殊需求的委局要求,从特定区域的云机房资源中划分一部分资源给该委办局专享使用。各委办局可根据自身需求,将该资源域重新分配,供不同系统或下属单位使用等,支持自主运维。此类需求主要针对原先托管的委办局。
1.1.3 迁移系统调研
在全区范围内的首次全面调研中,开展实地走访21家单位,系统性开展122个业务系统调研工作,剔除市级和国家级重点系统后,初步筛查出首批上云候选系统共51个应用系统。项目将严格遵循标准的上云迁移规范流程,对这些系统进行全面评估和测试,计划性地实施40个系统的上云部署工作。在此基础上,计划在三年内逐步推进区内剩余符合条件的系统或新建系统迁移至Z务云平台。
调研涵盖了单位的基本信息和基础设施的基本信息,经过整理,得出了以下数据结果:53个系统涉及25家单位,共计96台物理机和虚拟机,折算为标准虚拟资源需求量为CPU 1680核、内存5.23TB、存储144.2TB,数据增量为101.7GB。互联网网段涉及7个系统,Z务外网网段则包含44个系统。
基于应用系统每年的扩展率设定为1.5的比例,经计算,预期的虚拟资源池规模为CPU2520核、内存7.8TB、存储216.5TB。综合考虑了容灾备份、内存与系统性能需求等因素后,确定本次项目的云规模设计容量为:CPU3000核,按照1:4的比例估算内存需求规模约为12TB,存储约为300TB。
1.2 基础设施平台需求分析
1.2.1 需求概述
某区电子Z务外网业务系统主要按照服务对象和使用对象分为几种类型
1)公共服务类,如网上办事大厅申报系统等
2)各单位专有业务系统
为确保各类应用场景的安全性,云平台架构设计时需要关注各业务类型对资源的需求及其安全性的基本要求。
为了快速、高效地为某区各委办局提供云资源,某区Z务云平台需要摒弃传统基于物理盒子构建方式,旨在搭建分钟级虚拟数据中心服务平台。
构建一个逻辑数据中心,通过灵活配置实现的一个虚拟数据中心平台,能够有效地整合物理分散部署的多个数据中心集合或同一数据中心内的多个资源池集合。
Ø 每个虚拟数据中心具有自运维高效服务平台
Ø 虚拟数据中心资源可以来源于分散的多种资源:云与非云,异构云,跨地域
Ø 为发保障上层业务的SLA,虚拟数据中心需要具备保障SLA能力
Ø 支持上层业务系统快速部署到虚拟数据中心能力
涵盖上层业务系统全生命周期的服务体系:该系统具备快速部署能力,同时配备弹性扩展机制,支持实时监控能力,并提供容灾备份功能。
1.2.2 网络能力需求
某区原有虚拟化平台的网络拓扑情况,如下图4-1所示:
图4-1:某区原有虚拟化平台的网络拓扑结构示意图
遵循利旧原则进行整体网络建设,统一配置的Z务外网出口,而互联网出口目前按照各自网络区域分别配置。
针对现网情况,网络需求主要体现在如下几个方面:
Ø 新平台网络需要接入到某区Z务城域网,满足与原有平台的互联互通。
云平台数据中心网络需要具备多种关键特性,包括快速收敛、高带宽和高吞吐量、易维护、易管理以及节能环保等特性。这要求对网络架构进行优化设计,以降低整体复杂度。
Ø 数据中心网络应具备可靠性和高可用性。网络设计避免单点故障,应在设备的选型和关键设备的互联方面采取充足的设备冗余、关键业务模块冗余和充分的链路冗余,以确保网络设计达到电信级可靠性。
Ø 数据中心网络架构和设备选型方面需要具备良好的扩展能力,不仅能够满足当前的需求,还能满足未来业务扩展的需求。
Ø 安全隔离的需求,实现政府各部门之间网络层面的隔离。
Ø 网络虚拟化:减少设备节点,简化配置。
应基于满足统一接入现有机房的Z务外网的链路,每个新建的云机房均应提供互联网的出口链路服务。
1.2.3 安全能力需求
该区Z务云平台因安全要求过高,故需通过搭建互联网区、电子Z务外网区以及安全域等架构,以确保业务的安全性、便利性和可服务性。该平台应划分安全域,并依据安全等级要求,实施安全管理、用户认证、数据安全、应用安全、IT基础设施安全(包括网络安全与主机安全)以及物理安全等全方位的安全防护措施。
基础环境安全的重点体现在满足云计算环境下的等级保护要求。建议从区域边界安全、计算环境安全(包括主机与虚拟主机)以及虚拟平台安全三个方面构建三重安全防护体系,科学划分安全域和安全等级,并实施相应的安全防护措施。业务安全和数据防护的重点体现在访问控制、数据隔离以及加密机制的完善上。
完善信息安全管理制度,确保安全管理水平达到ISO27001要求。信息安全管理的重点在于应用安全、认证安全、数据安全的责任划分以及相应的管理体系。建立安全管理中心,加强电子政务信息安全监测,建立完善电子政务信息安全应急处置协调机制、指挥调度机制和通报制度;强化安全统一管理、数据库审计、运维审计、日志审计、漏洞扫描等安全管理手段。构建平台安全保障体系,明确服务各方的安全职责,加强对数据泄露、账号及服务劫持等安全风险的防范。推行信息安全等级保护制度和风险评估,加强信息安全测评,定期组织开展信息安全联合检查,健全某区各级各部门信息安全管理机制,推进重要部门、重要信息系统安全保障体系建设。
在确保服务产品功能、性能的基础上,系统性地优化平台的安全性,使其提升至70%。基于云平台现有软硬件生态,为不同关键级别制定一套平稳、可行且不影响现有系统的软硬件替换和优化方案。通过制定一系列制度、规范,明确规定使用范围、责任分工等具体规定,构建一套自主可控、安全可靠的软硬件采购与管理机制。
需按照数据中心内部网络划分安全域,对安全域边界实施网络隔离措施,并设置网络访问权限控制策略。
需具备云计算平台内虚拟化基础设施的安全保护能力,以确保虚拟机间的隔离,同时保证虚拟机自身系统的安全性。
1.2.4 计算存储能力需求
某区科委信息中心机房目前拥有107台虚拟化服务器,新平台建设需满足现有关键业务设备的承载要求,同时满足未来五年内某区电子Z务业务的资源部署需求。鉴于各业务系统的性能需求差异显著,数据存储类型也呈现多样性(包括结构化、非结构化以及半结构化数据),因此基于此,某区Z务云平台的计算需求如下:
云平台需要灵活配置计算资源类型,以支持根据不同业务应用的特点分配计算资源,同时支持物理服务器的合理配置。
基于业务应用的需求,对服务器或存储进行相应的配置设置,以计算资源和存储资源为基础,满足应用对计算和存储的需要,包括但不限于:CPU、内存、网络I/O、存储I/O。
Ø 满足不同数据类型的存储需求,提供SAN、NAS资源池。
Ø 计算平台需要和管理平台联动实现对虚拟计算资源的部署和分配。
1.2.5 云计算虚拟化需求
根据服务器功能分类和业务应用的性能需求,经过评估业务应用可以虚拟化后,就可以分别选择不同的虚拟机规格类型。
虚拟机规格取决于各种系统对于CPU、内存、网络和存储的I/O需求的不同,从而实现分类目标。然后基于操作系统不同,采用不同的虚拟机镜像。最后将这些虚拟机配置到不同的x86物理机上。
虚拟化平台管理需要具备如下能力:
基础云资源管理:支持对各类硬件资源、虚拟化资源进行统一配置、监控与管理
云平台监控管理:为用户提供关键性能指标的实时监控功能,包括CPU利用率、内存利用率、磁盘传输速率和网络流量,并提供直观的图形展示界面。
虚拟网络管理:在Z务云平台为用户提供了独立的网络空间,用户可以根据业务需求设计网络架构,并部署云计算资源以支持安全、可靠且私有化的云环境搭建。
1.2.6 云服务管理系统需求
某区Z务云主要为各委办局提供相应的资源服务,并负责全区资源平台的统一运维。因此,某区Z务云云服务管理系统的主要需求包括:为各委办局提供资源管理、数据共享、用户权限管理等核心功能,并确保全区资源的高效调度和统一管理。
l 运维系统:
某区Z务云平台呈现出系统复杂性、服务多样性以及服务对象多样性等显著特点。为平台构建统一的云计算运行保障支撑系统,以确保平台的服务质量能够满足用户的需求。该保障服务将主要面向云计算平台的运维者、公共平台管理者以及平台的用户群体,包括公众、公务人员和机构用户。
运行保障系统需要运行维护需求主要包括:
Ø 实现对虚拟化环境、云计算平台和物理环境的集中监控和管理;
涉及的关键基础设施包括:数据库、操作系统、服务器、网络设备和安全设备、存储设备、机房设备;
Ø 需要建立报表系统,实现对服务管理平台中各种信息的分析和呈现;
支撑系统具备优异的扩展能力,以便应对平台业务持续发展;管理平台应具备卓越的开放性,以便满足多变环境下的管理需求。
Ø 结合现状,运行保障服务需求:
通过建立统一监控平台和云管理,实现对计算资源、存储资源、虚拟资源、机房和网络的全面监控、管理与维护。
l 运营系统:
平台应具备统一的在线服务管理系统,以便平台管理人员及用户实现服务申请、审核、发放及计量等功能。主要功能包括:用户和平台管理人员通过该系统完成服务申请、审核、发放及计量等全流程操作。
平台已推出统一的服务门户,用户及平台运营管理人员可利用该服务门户进行在线申请和便捷的受理。
平台具备对各类服务进行统一管理的能力,平台管理员可通过目录服务功能对服务进行分类、定义、发布、更改、删除、查询等管理操作。
当服务申请通过门户提交时,平台运营管理员可以利用订单管理功能进行处理。
对于使用公共平台资源的具体用量,公共平台需要具备计量功能,用于评估公共平台服务能力的状况。
平台应能够为使用服务的用户群体提供独立的单位用户,这些单位用户负责管理自己申请的服务。
1 总体设计
1.1 总体建设目标
基于某区Z务云技术架构规划实施,使其与现有平台实现资源的整合与统一,功能的扩展与提升,服务范围的拓展与延伸,从而为某区政府的信息化建设提供安全可靠的云服务支撑,为其构建服务型政府提供坚实的技术基础。
规划某区Z务云技术架构,通过有效降低重复建设投资的同时,实现节能环保。在提升基础设施资源的使用效率的基础上,实现某区信息化基础设施资源的统一规划、统一建设和按需调配,确保即需即用和有效共享。通过分阶段实施、循序渐进的方式,实现建设集约化、资源共享化、服务规范化、效益最大化,满足各级用户和各委办局对基础设施应用的需求,为某区Z务信息化发展提供强有力的信息支撑保障。
1.2 建设内容与规模
1.2.1 建设内容
某区基础资源平台规划包含如下内容:
Ø 规划建设统一的IT资源池
基础设施资源涵盖计算、存储和网络资源等,依托云计算技术,具备弹性、稳定和冗余的特点,并与该区域云计算第一节点实现互联互通。
针对网络资源建设的需求,主要依托Z务公共网和Z务办公网,强化网络安全防护措施,优化网络管理体系结构。
针对计算资源的需求,建议采用虚拟化技术进行高弹性计算资源池的设计,以满足部门用户日益增长的计算资源需求。
在存储资源方面,建议采用存储虚拟化技术,以实现异构存储的统一整合,并实现分级共享,从而提升存储资源的使用效率。该存储方案能够快速为用户分配存储空间,并按实际使用量进行计费,从而有效降低存储成本,包括存储共享、重复数据删除以及数据压缩等措施。同时支持弹性扩展需求,确保系统管理的简便性。
Ø 规划建设统一的云管理运营运维支撑平台
在平台运营运维服务方面,构建统一的运维服务体系,制定服务标准与规范,为满足需求、确保及时响应和提供安全可靠的运维保障服务,涵盖保障业务应用顺利部署和开通的策划、实施、检查与改进过程,包括网络、硬件、软件、数据和机房环境等安全、稳定和高效的运行管理措施。
1.2.2 建设规模
基于云计算整合现有计算、存储、网络、信息和应用支撑等资源与条件,构建一个针对某区政府各部门的云计算平台,提供基础设施、支撑软件、应用功能、信息资源、运行保障和信息安全等服务,致力于实现服务资源的集中化管理,并完善现有的技术服务管理模式与队伍结构。
基于当前某区Z务云第一阶段上云的40个系统的情况,针对虚拟资源池的规模量,结合生产服务器物理CPU核数的需求,按增加30%的冗余量计算,总规模约为3000核。以1:4的比例估算内存需求规模约为12000GB,存储需求规模约为300TB。后续,随着建设和实际需求的发展,可以逐步进行资源的扩容。
1.3 设计原则
云计算领域的各项技术和产品正处于快速发展的阶段,某区Z务云平台建设方案的设计必须充分考虑到技术的前瞻性与先进性。方案的整体架构和产品设计必须能够切实满足某区信息产业业务发展的需求,同时,还应具备良好的扩展性和升级能力,确保系统能够顺利实现向更新一代设备和/or技术平台的平滑升级。
某区Z务云作为未来某区Z务核心业务的承载平台,鉴于业务的复杂性和多样性,平台设计需要具备符合国际标准和行业规范的能力。该平台架构应能够兼容国际、国内主流厂商的设备、技术及产品方案,同时涵盖包括国产操作系统在内的多种产品方案。
平台计划构建一个可持续运营的服务平台,为各局办政府部门提供相应的服务。在设计平台的各个组成部分时,应充分考虑平台运营的需求,并将云平台的运维运营体系作为设计的重要组成部分,为未来的运维需求和运营建设奠定坚实的基础。
某区Z务云平台技术架构规划设计与建设应当遵循如下原则:
Ø 安全可靠性原则
l 系统满足高可靠性需求
l 系统器件选择要考虑能支持7×24小时连续长时间大压力下工作;
l 系统具有充分的冗余能力、容错能力;
l 系统具有专业的技术保障体系以及数据可靠性保证机制;
l 对工作环境要求较低,环境适应能力强;
确保系统的安全性得到充分的保障,采取安全的登录和访问控制措施,阻止潜在的攻击行为。
在异常断电情况下,系统能够保持数据完整性。在供电恢复后,系统将自动启动并恢复正常连接过程。
Ø 先进性原则
l 系统必须严格遵循国际标准、国家标准规范要求;
l 该系统需满足存储技术与IT行业发展需求,所选用的产品型号已达到规模化应用水平;
l 所有的系统处于先进的技术水平,确保较长时间内技术上不落伍;
系统的处理效率必须位居行业前列,以确保在当前业务规模下留有充足的余量,以便在未来进行升级时能够顺利推进;
Ø 开放性原则
系统应具备通用的网络存储协议标准和应用开放协议标准。
l 与主流服务器之间保持良好的兼容性;
l 兼容各主流操作系统、卷管理软件及应用程序;
l 可以与第三方管理平台集成,提供给客户定制化的管理维护手段;
l 满足今后的发展,留有充分的扩充余地;
l 各主流厂家的硬盘均可接入;
Ø 易维护性原则
l 系统支持简体中文,通俗易懂,操作方便、简单;
该系统具备充分的权限管理功能,并同时具备日志管理、故障管理功能,同时能够实现故障自动报警。
l 系统设备安装使用简单,无需专业人员维护;
l 系统容量可按需要在线扩展,无需停止业务;
l 系统功能扩充需要升级时,支持不中断业务升级;
l 支持WEB管理方式或集中管理方式;
Ø 扩展性原则
l 系统易于扩充;
l 系统选择标准化的部件,利于灵活替换和容量扩展;
l 系统设计遵守各种标准规定、规范;
Ø 经济性原则
l 综合考虑集中存储系统的性能指标及价格优势,全面评估后以最低成本实现系统的最优配置,经过对比分析,在同类系统及相同条件下,系统的性价比达到行业最优水平。
Ø 绿色性原则
l 满足环保与节能的要求,噪声低、能耗低、无污染;
l 有节能降耗的技术手段;
l 具备环境管理认证,符合环保规定,包材可回收,支持重复利用。
1.4 总体技术架构设计
区级云架构由包含设施资源层中间平台层和业务应用层三个组成部分在智云管理体系和安全体系的保障下通过各类用户终端设备为政府内部提供统一的信息化支持并向公众提供高效便捷的外部服务。参见图5-1
图5-1:某区云平台总体技术架构示意图
1.4.1 设计****思路
云数据中心的建设是一个复杂且高度社会化的系统工程,应当立足于较高的建设起点。从长远发展的角度进行全面规划,充分重视当前业务系统的内部整合、资源灵活应用、调配、高可用性、统一化管理的业务功能需求。在信息技术、实现技术和平台技术等方面均需要提出更高的技术要求。
遵循"五统一、四化、三集"的方针,该区Z务云平台的技术架构将实现统一规划、统一建设、统一标准、统一管理、统一运维。通过技术环境与其承载的数据和业务系统分离,推动某区政府信息化建设项目的过程优化、内容简化,实现"平台移上、服务下延",为某区政府信息化建设提供"资源统筹、管理高效、调配弹性、按需分配"的优质服务。该架构将实现某区Z务云平台的设计标准化、建设集约化、资源共享化、运维一体化,从而实现资源集约、数据集中、业务集成。
1.4.2 服务实现架构
基于各委办局业务特性的分析,各委办局采用虚拟数据中心(VDC)的形式提供资源服务。
各委办局基于业务需求,向相关VDC提交申请。其中,基于业务部署区域的不同,VDC划分为互联网应用和Z务应用。根据负载情况划分虚拟化、物理和数据资源池等类型。统一规划电子政务外网出口和统一规划互联网出口。
参见下图5-2所示:
图5-2:某区云平台服务实现架构示意图
平台需要实现:
通过建立标准化的VDC模板,实现业务的分钟级上线:基于预先定义的虚拟数据中心(VDC)模板,实现自动化的业务部署,从而避免了传统方法中对数据中心基础设施规划、建设及调试等繁琐流程的投入。通过一次建模即可实现多次使用,显著缩短了建设周期,同时通过可视化的方式,面向应用实现了快速的建模过程,用户可以根据具体业务需求灵活调整配置。
统一管理机制:通过统一平台和用户友好的管理界面实现对所有数据中心基础设施、IT基础设施以及上层应用的统一管理与维护,显著提升了管理效率并简化了管理流程。
基于云操作系统,通过虚拟化技术将分布在不同数据中心的计算、存储和网络资源整合到同一个统一资源池中,从而建立动态调度机制,提升资源使用效率。
1.4.3 总体逻辑架构
某区电子电子Z务云总体逻辑架构如下图5-3所示:
图5-3:某区云平台总体逻辑架构示意图
某区Z务云基于服务系统中用户与服务对象的不同分类,主要包含互联网服务应用和Z务外网办公应用。由此,在Z务外网总体逻辑上划分为互联网区和Z务外网区,通过跨区进行逻辑隔离。同时,两个区实施统一的运营运维管理策略。
业务区根据业务特点划分为虚拟化资源池、物力资源池、数据资源池。
统一存储存储区的资源,并根据数据类型的不同,将存储资源划分为不同的资源池。其中,结构化数据采用SAN存储资源,非结构化数据采用NAS存储资源。
1.4.4 Z务云体系
Z务云体系:基于'集中+分布'的建设方针,通过购买服务的方式,依托Z务外网平台,为各部门提供统一的服务。逐步推动各部门的云资源整合至区级云分中心,最终构建完成'1+N'的区级云体系架构,其中,从某区电子Z务云的视角出发,该区级云体系的架构图如图5-4所示。
图5-4:某区Z务云体系示意图
完整版领取方式
链接:https://pan.baidu.com/s/1C08bOXXtYen-4aZDnk1-1Q?pwd=ffv8
提取码:ffv8