智慧政务建设方案(含网络、云平台、一卡通、桌面云、安全).docx
-
资源ID:1261969
资源大小:1.61MB
全文页数:131页
- 资源格式: DOCX
下载积分:5金币
友情提示
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
|
智慧政务建设方案(含网络、云平台、一卡通、桌面云、安全).docx
智慧政务建设方案2 现状分析52.1 现状分析52.1.1 基础设施52.1.2 基础数据库62.1.3 政务应用信息化62.2 建设需求73 建设总体框架84 基础网络建设方案104.1 政务骨干网双平面保障工程104.2 政务无线网络推进工程115 政务IT基础设施资源池建设方案125.1 总体架构125.2 网络建设方案125.2.1 需求分析135.2.2 方案概述135.2.3 系统架构135.2.4 方案设计145.2.4.1 可靠性设计145.2.4.2 业务服务区安全隔离设计155.3 云平台建设方案155.3.1 需求分析155.3.2 方案概述165.3.3 系统架构165.3.4 方案设计1753.4.1 虚拟机HA1853.4.2 虚拟机热迁移1853.4.3 QoS精细化资源管控1953.4.4 安全组2053.4.5 虚拟私有云(VPC)215.346大集群部署2253.4.7 内存复用225.4 安全建设方案235.4.1 需求分析235.4.2 方案概述245.4.3 系统架构245.4.4 方案设计265.4.4.1 物理设施安全265.4.4.2 网络安全设计265.4.4.3 运维安全设计295.4.4.4 虚拟化安全设计295.4.4.5 虚拟化主机安全设计295.4.4.6 Web应用安全305.4.4.7 网页防篡改315.4.4.8 数据安全设计315.4.4.9 用户管理系统设计325.4.4.10 安全管理系统设计325.5 IT管理系统建设方案335.5.1 需求分析335.5.2 方案概述335.5.3 系统架构345.5.4 方案设计355.5.4.1 门户子系统355.5.4.2 运营子系统355.5.4.3 运维子系统365.5.4.4 公共平台365.5.4.5 企业服务总线365.6 容灾备份建设方案365.6.1 需求分析365.6.2 方案概述375.6.2.1 备份方案简介375.6.2.2 容灾方案简介375.6.3 方案设计385.63.1 备份方案设计385.63.2 容灾方案设计396政务业务支撑平台建设方案406.1 总体架构416.2 方案设计原则426.3 子系统设计方案4363.1 开发环境4363.1.1 1系统简介4363.1.2 系统功能4363.1.3 优势特点516.3.2 应用超市5263.2.1 系统简介5263.2.2 系统功能5263.2.3 优势特点526.3.3 能力控制中心(ESB)536.331系统简介53633.2 系统功能53633.3 优势特点546.3.4ICT能力集成中心5463.4.1 系统简介5463.4.2 系统功能5463.4.3 优势特点566.3.5管理中心5763.5.1 系统简介5763.5.2 系统功能5763.5.3 优势特点58636工作流引擎5863.6.1 系统简介5863.6.2 系统功能5863.6.3 优势特点60637报表引擎6063.7.1 系统简介6063.7.2 系统功能6063.7.3 优势特点616.3.8能力开放网关(ESG)6263.8.1系统简介62638.2系统功能6263.8.3优势特点63639信息数据开放网关6363.9.1 系统简介6363.9.2 系统功能6363.9.3 优势特点646.4安全性设计646.4.1 操作系统安全646.4.2 协议防攻击646.4.3 Web安全646.43.1 用户口令安全646.43.2 认证656.43.3 鉴权656.43.4 WebService接口安全656.4.4 数据库安全656.4.5 敏感数据保护656.5平台典型应用666.5.1 办事大厅业务开发、部署、发布666.5.1.1 业务简介666.5.1.2 业务流程666.5.2 办事大厅业务运行666.5.2.1 业务简介666.5.2.2 业务流程677智慧办公体系建设方案687.1 政务通系统687.1.1 需求分析687.1.2 系统架构697.1.2.1 系统网络架构697.1.2.2 系统功能架构697.13系统功能707.13.1 卡务管理707.13.2 门禁管理717.13.3 3停车管理717.13.4 4电梯控制管理727.13.5 会议签到管理737.13.6 6食堂消费管理747.13.7 通道管理747.2桌面云办公系统757.2.1 需求分析757.2.2 系统架构757.2.3 系统功能767.23.1 云终端767.23.2 接入控制767.23.3 桌面会话管理777.23.4 云资源管理及调度777.23.5 虚拟化平台787.23.6 运维管理系统787.2.4政务桌面云应用互联设计788智慧服务体系建设方案808.1 智慧服务体系概述808.2 网上审批系统818.2.1 需求分析818.2.2 系统架构838.2.3 系统功能838.2.3.1 业务处理83823.2 信息服务88823.3 业务管理89823.4 4统计分析92823.5 5电子监察系统948.3网上办事大厅96831需求分析968.3.2 系统架构978.3.3 系统功能988.331用户注册与认证98833.2 月艮务检索98833.3 服务向导99833.4 办事指南99833.5 表格下载99833.6 表格服务99833.7 网上申报JOO833.8 申报查询100833.9 用户信息修改100833.10 10审批互动100833.11 1意见建议JOO833.12 12申诉投诉IOl8.4中小企业综合服务平台1018.4.1 需求分析1018.4.2 系统架构1018.4.3 系统功能1028.43.1网上服务102843.2数据上报1068.433互动沟通1078.43.4自定义应用108843.5公文交换系统1098.436企业无线办公平台1098.437在线教育平台HO8.43.8企业一卡通1129 业务迁移方案1149.1 业务迁移服务概述1149.2 业务迁移服务流程1149.3 业务迁移服务内容11410 保障措施11610.1 组织保障11610.2 政策扶持11610.3 标准体系11610.4 信息安全11610.5 人才支撑11710.6 合作交流11711 商业模式11811.1 范围和客户11811.2 商业模式的特性11811.2.1 基于平台能力的服务模式11811.2.2 建立政府扶持的中介模式11811.3 某政务云的商业模式11911.3.1 IAAS层,提供基础设施,资源租赁11911.3.2 PAAS层,支撑普适开发,按需租用12011.3.3 SAAS层,主导生态系统,合作共赢12012 主要设备配置清单12212.1 规格及选型12212.2 云计算中心规格12212.2.1 规格说明12212.2.2 配置清单12212.3 容灾系统规格12512.3.1 规格说明12512.3.2 配置清单12512.4 桌面云系统规格12812.4.1 规格说明12812.4.2 配置清单1281现状分析1.1现状分析某区政府从2013年开始实践某智慧城市建设五年规划,从实际出发,提出了“统一规划、统一平台、统一建设、统一管理”的工作思路和市县合一、分期实施的建设方案,避免了电子政务网络和业务系统建设的盲目性。目前某市完成了以政务网络为基础平台,以“智慧城市”门户网站和政府协同办公系统为内容的政务信息化建设。通过对某区XX个委办局的现场调研访谈,目前某市政务信息化建设基本情况大致可以从基础设施、基础数据库、政务应用信息化三个方面进行归纳:1.1.1基础设施1、政务外网建设工程比较完备,显现一定的效果电子政务外网一期建设比较完备。所有委办局实现了与市政府及/或其所管辖的下级(区县乡镇)单位的公文交换和协同办公。其中计生委、民政局、科技局、国土资源局、交通局部分业务系统、建设局、行政审批中心、社保业务系统都依托于政务外网及局域网进行开发建设和使用,极大减少了政府网络的重免建设。2、条管部门垂直网络建设基本健全本次调研的条管部门基本建成国家、省、市3级互联的垂直专网,如:国税局、公安局、工商局、国土局、卫生局、统计局、环保局、交通局等部门。基于条管的垂直网络的建设,各自部门都建设了多项业务应用系统,基本满足了部门内部的业务需求,但相对而言也就形成了部门的“信息孤岛”。3、机房集约化建设效果明显市政府本着集约化建设理念已经对部分委办局的机房进行了物理集中及基础设施迁移托管;集中的物理机房增强了机房灾备能力和物理硬件设施能力。但多数条管部门仍保留有自己机房,需要逐步进行集约化建设。1.1.2基础数据库目前,某区在基础数据库的建设上取得了一定的进展;法人信息、人口信息和地理空间信息数据库的建设已有一定的基础。1、法人信息数据库法人信息数据库前期在工商的牵头下,已经初步建立;目前已实现了工商、税务、质监、统计等委办局之间跨部门、跨地区数据协同和共享,并在此基础上完善企业信用信息平台,提高部门联合监管能力和公共服务水平。2、人口数据库目前在公安、劳动保障、民政、卫生、税务、人口计生、统计等涉及人口基本信息部门纵向数据库建设的基础上,实现了横向数据交换与共享,初步建立个人信用信息数据库和服务平台。3、地理空间数据库市地理空间信息数据库的建设由XX城建局和XX国土局牵头正在做,该项目是国家试点项目。目前在测绘数据基础上,分层叠加国土资源、建设、农业、林业、水利、交通、旅游等部门数据,理顺了空间信息的生产、管理和服务体系,初步形成“智慧某”的空间数据框架。4、宏观经济数据库由于目前没有相关的国家标准指导,宏观经济数据库建设的工作还没有展开。1.13政务应用信息化通过调研,我们了解到:XX市在电子政务建设过程中,从实际情况和特点出发,走集约化建设道路的同时,也进行了一些模式上的创新。具体有以下几个特点:1、通过整合资源,避免重复建设和提高共享率在资源整合上,主要采取了以下措施:(1)整合人力资源。将市委信息中心与市行政机关信息中心合并,成立某市信息中心,避免了一地多中心的情况,大大加强了中心的技术力量;(2)整合网络资源。按照国家和省电子政务建设的总体框架,对原有网络实行合并改造,并严格控制部门网络建设项目,实行全市IP地址统一规划;(3)整合应用系统。对可以整合的应用系统,如公文传输系统、公务邮箱应用系统、数字图书馆系统、GIS系统等,指定部门进行统一建设。2、通过合办共建,整体推进全市电子政务建设进程在政务信息化建设中创新地采用了“1+9”建设模式:即1个市级政府门户网站和所辖的9个县级门户网站共用一个软硬件平台,共用一套网站管理系统平台,共同投资,同步建设。同时,在某市本级进一步推广了“1+n”模式,新建成市直部门子网站63个。在全市协同办公系统的建设中,进一步应用并深化了“1+9”、“1+n”的建设模式,完成了市本级和9个县(市、区)1328家单位的党政机关单位的电子公文网上交换,目前已完成65家单位的内部OA系统。3、在完善网络基础设施的同时,重视应用系统的建设某市协同办公系统、政务信息报送系统、公务邮箱系统、某市人大政协建议提案系统和各县(市、区)的视频会议系统等各部门的大批应用系统的建设和应用,使政务信息化进入了实用阶段。1.2建设需求结合现有政务信息化基础,通过融合的手段和方式,构建遵循面向服务的SOA系统架构作为支撑,并以提供“集约、安全、标准、开放、高效”的云平台作为目标,“智慧城市”建设主要从以下几个方面开展:(1)构建宽带、泛在、灵活、安全的基础网络。以加快提升信息基础设施服务水平和普遍服务能力为主线,着力增强信息网络综合承载能力、设施资源综合利用能力和信息通信集聚辐射能力,不断满足政府部门对改善通信质量和服务水平的要求。(2)搭建安全、高效、可用、可管、可维护的“智慧政务”云平台。以分层建设模式,达到平台能力及应用的灵活增长和扩充,从而构建面向未来的“智慧政务”系统框架。(3)打造一体化、一站式服务的“智慧政务”应用系统。以现有电子政务的服务应用为基础,按照一体化、一站式的服务模式进行迁移和建设,实现管理型政府向服务型政府转变,提高办事效率和满意度,降低行政成本和政企、政民的沟通成本,提升社会形象。2建设总体框架根据智慧政务建设的业务需求主要是为公众和政府内部提升“智慧化”,主要体现在提升政务的效能和丰富对公众的服务,结合“智慧政务”的建设需求,设计如下的建设总体框架:智慧决策城市应急IKS.大屏决策强赛政务云平台智慧政务应用系统层维护体系运首体系货源管N度管理Ifi控管Bf部*情理校像管理*份管理I业务管Ht II ror¾ II KD I弹性资源服务、应用超市服务(统一通信、瞅合会议、多媒体培训、地理信息Ifi务、公共信息服务、商业信息服务)、开发利出坏堆服务I发放旨理I虚机管理用户皆思IK户管理1、基础网络本期基础网络主要从政务骨干网双平面保障工程和政务无线网络推进工程着手,逐步完善某政务基础网络,为南昌“智慧政务”项目顺利开展提供保障。2、智慧政务云平台 政务IT基础设施资源池为“智慧政务”应用打造高可靠,高安全,可维护,易管控,高效率的数据中心。政务IT基础设施资源池建设方案的范围包括:网络建设,云平台建设,安全建设,IT管理系统建设以及容灾备份系统建设。 政务业务支撑平台政务业务支撑平台建设的主要目标是将运营商的网络通信能力、互联网的IT服务能力、现存政务应用系统等软件资源的进行整合和复用,并为某“智慧政务”应用的快速创新提供软件和服务能力的统支撑。3、智慧政务应用系统 智慧办公体系某市政府目前在办公网络及办公系统的建设上成效显著,基于此现实基础,“智慧政务”建设将进一步优化和改善其办公体系的环境,基于原有办公系统延伸其功能和性能,提升办公系统的集成度和融合度,通过政务一卡通与桌面云办公系统建设,逐步实现智慧办公体系。 智慧服务体系结合某市实际情况,确保目前某市现有系统的平稳过渡,以及新业务的无缝实施,对应用系统分期进行。本期智慧服务体系将主要建设面向政府的网上审批系统、面向公众的网上办事大厅、面向企业的中小企业服务平台三大系统。3基础网络建设方案充分发挥电信、移动、某三大运营商和电力的主力军作用,以加快提升信息基础设施服务水平和普遍服务能力为主线,加大建设投入,着力增强信息网络综合承载能力、设施资源综合利用能力和信息通信集聚辐射能力。加强信息基础设施规划和建设管理,促进机制完善和模式创新,不断满足政府部门对改善通信质量和服务水平的要求。某“智慧政务”一期建设方案将从政务骨干网双平面保障和政务无线网络推进工程着手,逐步完善某政务基础网络,为某“智慧政务”项目顺利开展提供保障。3.1 政务骨干网双平面保障工程某政务基础网络目前为电信单链路接入,为了提升政府各部门专线接入的安全性,有效保障政务办公专线的网络带宽,并加大基层部门的接入带宽,某“智慧政务”一期建设提出政务骨干网双平面保障工程,以解决单一链路的安全隐患。针对某政务基础网络的三级架构,设计政务骨干网双平面保障建设方案的架构如图4-1所示:1、市本级架构在移动机房,新增节点核心设备,用于电子政务云的接入、与电子政务网的互联、各县市二级事业单位的接入。同时,核心设备作为某电子政务云出口使用,实现各县市接入单位与某电子政务云互通。核心设备根据现政务外网网络协议与政务外网资源出口设备互通,电信网络接入的单位通过核心设备与某电子政务云互通。2、县级架构在某各县市均部署一台节点汇聚设备用于收敛各接入单位业务,同时汇聚设备通过某移动千兆电路接入至某政务外网。在某各县市均部署台防火墙设备,作为各县市外网出口,同时防火墙设备支持IPSECVPNsSSLVPN等多种加密协议,灵活满足电子政务云基础网络建设需求。在某各县市部署一台上网行为管理设备,用于管理区县网络带宽、避免法律和泄密风险、提升内网可靠性等。3、市县传输开通某至各县市9条千兆电路用于电子政务云基础网络传输。图4-1某“智慧政务”骨干网双平面保障架构同时,为了使某电子政务云基础网络能实现灵活的业务支持,满足业务不断发展带来的变化,使网络系统具可扩展性,考虑组网设备均能够支持MPLSVPN,利用MPLS实现一次投入就能提供多个VPN业务的能力,灵活调整不同网络之间横向纵向的访问关系。3.2 政务无线网络推进工程继续加强与三大运营商的战略合作,充分结合三大运营商网络规划,构建新一代无线移动通信网络,形成泛在的网络体系,进一步扩展政务网络的覆盖率,助力某“智慧政务”建设:1、加快各通信运营商新批建的3G基站中塔桅、电源和光缆等设施的投入建设,完善3G网络,抢先布局TD-LTE等4G网络,积极推广应用;2、大力推进全市公共场所、服务场所的WLAN建设,重点覆盖政府合作区域等热点区域,确保政府办公楼宇覆盖率达到90%;3、在主城区部署WIFI无线热点,覆盖政府办公等主要区域,全面满足无线通信和移动办公需求;4、以城区热点的完整覆盖为主,实施精确建网,优化网络布局,不断提高无线网络质量,全市的城区和重要乡镇实现连续覆盖。政务IT基础设施资源池建设方案为“智慧政务”应用打造高可靠,高安全,可维护,易管控,高效率的数据中心。政务IT基础设施资源池建设方案的范围包括:网络建设,云平台建设,安全建设,IT管理系统建设以及容灾备份系统建设。4.1 总体架构政务IT基础设施资源池总体架构设计遵循面向业务需求的设计思路,基于SOA的模块化设计方法,实现IDC基础架构模块与业务模块松耦合,保证IDC业务动态扩展和新业务快速运营。同时,方案采用云计算的先进产品,集成IDe行业优秀云计算产品和方案,确保IDC基础架构的安全性、稳定性和可扩展性。互联网环境安网格隔癖问络W博改忖互我网用户政府内网环境一81政府内部用网络出俄政升门户9X% *狙化需归化j i 安全ffl ® BB用急鎏黑酬心上:翳?惠恩黑塑恁I ",341 I >"、八 (7 依1I "络 I ",'";"+第I画并住存储 I/勺i2各oOA.,鸟H眩犀务心全ITO服务管理取务门户 虚拟烧像管拧 “兑资源部署性能监控管理 IT服务管理 资源使用计雄 统il报表站点A政好IT管理员分权分做TrmTTr图5-1政务IT基础设施资源池总体架构4.2 网络建设方案数据中心向大型客户提供基于云计算的IT外包服务,由运营商为重要客户建设、运行、维护云计算数据中心业务,为客户提供信息系统的托管和维护。大型的数据中心与普通数据中心相较,有着显著的业务特征,包括:1、.业务系统间的安全隔离随着网络规模的不断增大,其应用和复杂度也在不断增加,大型的网络中也会包括多种业务系统,需要网络层面的安全隔离。因此数据中心不同业务系统间的安全隔离是数据中心业务中的重要需求。2、业务的负载均衡和动态优化随着业务的不断扩展,对外业务的服务器可会在不断增长,需要外部连接可实现业务的负载均衡和动态优化。4.2.1需求分析对网络需求主要体现在两个方面:1、数据中心的内部网络以及和容灾数据中心设计 内部网络需要具备高可靠性、高可用性,避免单点故障; 网络架构和设备选型方面需要具备高扩展性,满足未来业务扩展需求。2、数据中心和客户网络的对接设计 满足政府外网现网、互联网和数据中心对接; 需要支持不同用户类型使用不同外部接入访问方式; 满足用户远程访问的网络质量。422方案概述网络架构设计采用“分区+分层”的设计思路: 根据数据中心不同业务功能区域的隔离需求,将数据中心网络分成多个业务区域,各业务区域之间通过VPN技术实现网络逻辑隔离; 根据云数据中心网络动态扩展的需求,将数据中心网络设计中分为核心层与接入层,实现扁平的二层网络架构。 根据数据中心网络高效交换的需求,将数据中心存储网络和业务网络分离,保证业务数据与存储数据之间互不影响。4.2.3系统架构数据中心网络根据网络分层、功能分区的设计理念,将数据中心网络内部交换网络划分为核心与接入2个层次,按照网络功能的不同划分为外联区、网络服务区、业务服务区等多个功能区。同时,为更好的支持云计算在数据中心的运行管理,将网络分为管理、存储、业务3个网络平面。数据中心灾备数据中心图例口口V-OUUtBM4k.IJFfp»-Qt一“K图5-2政务IT基础设施资源池网络架构424方案设计4.2.4.1可靠性设计网络可靠性是由设备级和链路级冗余来保证。对于设备级和链路级冗余的网络,接入交换机只运行L2层交换功能,核心交换机运行L3+L2层路由交换功能,这样就需要解决核心交换机和接入交换机之间二层网络环路问题。采用“集群+堆叠+链路捆绑”的二层网络无环络解决方案。网络的可靠性表现在: 服务器接入可靠性通过服务器双网卡来支持,需要服务器支持网卡聚合特性(NICTeaming),网络驱动程序将多个网卡捆绑成一个虚拟的网卡,对外提供一个唯一的IP地址。当一个网卡失效,另一个网卡接管它的MAC地址。两个网卡采用主备或者负载分担的方式。 接入交换机可靠性接入层交换机采用堆叠技术,将两台接入交换机虚拟为一台设备,两台接入交换机分别上联两台核心交换机,并通过Eth-Trunk链路聚合技术对跨机框链路进行捆绑。 核心交换机可靠性核心层采用CSS虚拟集群技术,将两台核心交换机虚拟为一台设备,设备背板共享,交换能力提高。并通过Eth-TrUnk链路聚合技术与接入交换机进行跨机框链路捆绑。 核心网络层集群+堆叠+链路捆绑核心网络可靠性通过“集群+堆叠+链路捆绑”的无环网络提供,减化的网络通过虚拟集群和堆叠技术,可以消除网络中的可靠性隐患,无需运行SPanning-Iree协议,降低网络的故障收敛时间,从而提高网络可靠性。 核心设备可靠性设备可靠性通过主控板冗余、电源模块冗余等部件的冗余,以及提供模块化的风扇设计,支持单风扇失效、支持所有模块的热插拔、支持CPU防攻击等可靠性设计。4.2.4.2业务服务区安全隔离设计数据中心的不同业务区,业务应用类型不同,安全防护的需求也不相同,需要采用差异化的网络安全隔离措施。针对大型的应用系统需要网络隔离的业务需求,在数据中心网络中为不同安全防护等级需求的业务设置严格的网络安全隔离区,满足在共用同物理网络的基础上划分不同业务网络区域的需求。数据中心通过VLAN和MPLSVPN/MCE技术在数据中心划分多个不同安全防护等级的业务隔离区,实现不同业务应用系统间的安全隔离,同时,根据业务的需求灵活控制隔离区之间的访问。对于数据中心场景,业务隔离区可以设置为生产区、OA办公区、财务区等。对于没有特殊网络隔离需求的业务区域,以及业务隔离区内部由于服务器规模较大,需要划分进一步的子安全域,则可以通过部署虚拟防火墙的方式实现子安全区域的安全防护和隔离。即针在每个子安全域部署专用的虚拟防火墙,实现针对业务区专用的安全防护措施。在数据中心内部通过与VLAN的捆绑,MPLSVPN或MCE技术都可以实现网络层面的隔离。相比较MPLSVPN,MCE配置简单一些,不需要启用BGP和MPLS协议,对设备的配置要求不高,但如果网络结构复杂,后期VPN的维护工作量比较大。因此,如果数据中心内部需要运行PE/MCE的设备数量不多、VPN的数量有限则可以采用MCE技术,如果需要运行PEZMCE的设备数量较多、VPN的数量也较多、配置工作量较大则可以采用MPLSVPN技术。4.3云平台建设方案4.3.1 需求分析为了满足不同业务系统在计算平台上的性能、兼容性和用户体验,对计算平台提出如下需求: 根据不同业务系统对计算资源的差异化需求,选择合理的虚拟化和硬件平台; 采用云计算虚拟化技术实现对业务资源需求的动态调配; 计算平台需要满足业务系统对计算存储高可用性的要求,实现关键部件的冗余配置; 计算平台需要和IT管理平台联动实现对虚拟计算资源的自动部署和分配。4.3.2方案概述数据中心支持业务应用运行于业界主流厂商的物理服务器和存储、主流云计算平台、支持对硬件和存储的集中管理。在部署业务时,首先考虑使用虚拟化平台,优先采用虚拟主机满足,对于虚拟主机不能满足的应用,则采用物理服务器满足。以下是针对不同类型应用系统的云平台方案: 物理主机和虚拟机的不同节点配置全面覆盖不同业务需求; 对内存容量、IO、扩展性的要求都不高,且有节约空间和能源的应用,采用虚拟化计算资源来满足; 对于高性能计算,大容量存储,大容量内存和高IO的需求,虚拟化不能满足应用需求,则采用4路X86服务器或UNIX服务器等高性能物理主机满足; 针对普通的应用系统,如WEB,对内存容量、10、扩展性的要求都不高,采用虚拟主机,且能节约计算资源、机架空间、能源; 存储设备和计算服务器之间采用多路径技术保证可靠性; 采用面向网络的存储体系结构,使数据处理和数据存储分离;网络存储体系将I/O能力扩展到网络上,特别是灵活的网络寻址能力,远距离数据传输能力,I/O高效性能; 采用存储网络,消除了不同存储设备和服务器之间的连接隙碍;提高了数据的共享性、可用性和可扩展性、管理性。4.3.3系统架构根据数据中心解决方案的总体架构以及网络架构设计中对功能区的划分原则,将服务器等关键设备按照需要实现的功能划分为两个层面,分别对应业务层和计算平台层。根据数据中心解决方案的总体架构以及网络架构设计中对功能区的划分原则,将服务器等关键设备按照需要实现的功能划分为多个功能分区,对应不同的安全和管理功能。功能区域的划分一般都是根据安全和管理需求进行划分,各个可能有所不同,数据中心中一般有DMZ区、运行管理区、业务生产区、OA区、开发测试区等功能区划分,实际划分可以根据业务情况进行调整,总的原则是在满足安全的前提下尽量统一管理。计算平台层中分为计算服务区和存储服务区,其中计算服务区为三层架构。计算服务区部署主要考虑三层架构,即表现层、应用层和数据层,同时考虑物理和虚拟部署。存储服务区主要分为IPSAN、FCSAN.NAS和虚拟化存储。政务云计算IDC云平台的计算和存储总体架构如下图所示:图5-3政务IT基础设施资源池云平台架构 数据中心需要支持异构的计算子系统; 针对大计算量应用系统、高I/O访问应用系统、高并发访问应用系统、低资源要求的应用系统,分别采用性能匹配的物理服务器(或者虚拟主机),以及SAN存储; 根据业务应用的特点对服务器或存储进行配置满足,包括:CPU、内存、网络I/O、存储I/O; 计算平台和IT服务管理平台联动,实现对虚拟计算资源的自动部署和分配; 计算子系统的服务器推荐采用X86的CPU体系结构; SAN通过存储平面汇聚,提供存储资源。4.3.4方案设计云计算平台需要从业务使用的可靠性,安全性,性能,高效方面进行多方面的设计实现,其中包括虚拟机HA,虚拟机热迁移,QoS管控,虚拟化网络安全,资源复用等方面进行设计保证。4.3.4.1虚拟机HA当计算节点物理服务器宕机或者重启,系统可以将具有HA属性的虚拟机故隙迁移到其他计算服务器,保证虚拟机能够快速恢复。云计算解决方案提供多种迁移策略,当计算服务器宕机后,由于单个集群内可以运行上千个虚拟机,为避免大量虚拟机迁移造成网络拥塞和目的服务器过载,系统会根据网络流量、目的服务器负荷选择将虚拟机迁移到不同的目的服务器。图5-4虚拟机HA特性示意图虚拟机HA流程设计: 发生物理服务器故障时自动重新启动VM 操作系统故障时自动重新启动VM 云计算管理系统实时监控VM故障状态,当发现VM故障时,将在新的物理服务器中承接故障VM业务。因此如果云计算平台具备HA特性后,相比于传统的非云化数据中心,将会有以下的优势: 大幅降低计划外宕机时间,业务恢复时间由传统数据中心动辄需要数小时的恢复时间大大缩短至数分钟,而且无需人工介入。 不需要独占的备用硬件,被迁入业务服务器本身也可承载业务。4.3.4.2虚拟机热迁移虚拟机是云计算平台提供弹性计算服务的资源实体,为保证虚拟机的可用性,规避业务中断的风险,云平台提供虚拟机热迁移能力,即虚拟机在不中断业务的情况下实现迁移。在迁移过程中,为保证内存的同步,虚拟机管理器(HyPerViSor)提供了内存数据的快速复制技术,从而保证了在不中断业务的情况下将虚拟机迁移到目标主机(如0)。同时,通过共享存储保证了虚拟机迁移前后持久化数据不变。图5-5虚拟机热迁移特性示意图虚拟机热迁移设计概述: 在不中断业务情况下,可以根据负载情况进行动态迁移虚拟机; 支持自动迁移和手工迁移,即可以根据负载情况进行轻者合并,重者平均的策略进行迁移;也支持手工迁移,可以在不影响业务的情况下进行物理设备的更换或升级。 触发迁移条件和迁移目的服务器可灵活配置。因此如果云计算平台具备热迁移特性后,相比于传统的非云化数据中心,将会有以下的优势: 保证计划内维护的业务零中断; 实现系统的自动负荷均衡,无需人为控制; 根据负载与业务特征实现轻载合并、绿色节能。4.3.4.3QoS精细化资源管控云计算平台是一个资源共享,安全隔离的平台,同时也会遇到重要用户资源被过度抢占的挑战,因此需要提供基于虚拟层的QoS精细化资源管控,保障VIP用户的使用感受。j,nj计算存储网络J图5-6QoS精细化资源管控云平台QoS精细化资源管控设计概述: 支持多维度资源Qos:可管控的资源包括CPU、网络、磁盘; 权重控制优先级:通过为虚拟机设置Weight衡量资源使用优先级; 上限值控制:通过为虚拟机设置Cap值,控制虚拟机使用上限。山说明在智慧政务系统中,较为关键的业务系统的CPU、网络QOS设定高权重优先级,保证在物理服务器资源紧张时,也不会被过度占用,保证关键业务系统的运行。4.3.4.4安全组支持安全组功能,实现外部网络对安全组内虚拟机的访问权限控制。保障虚拟机在云数据中主内部,虚拟化层的网络安全,因此可以针对不同部门,不同应用系统群的安全策略,使安全组内部虚拟机大大降低外部的非法访问及攻击;安全组策略设计如下图所示:图5-7安全组设计示意图安全组具备如下特点: 一个用户可创建多个安全组,但一个安全组仅属于一个用户所有。 同一安全组内的虚拟机,默认互联互通;不同安全组内的虚拟机,默认全部隔离。 安全组的通信是单向授权,用户可以设置允许自己的某个安全组内的虚拟机接收来自其他安全组内虚拟机的请求。 安全组规则随虚拟机的启动而自动生效,虚拟机迁移不影响安全组规则。H说明在智慧政务系统中,同一业务系统的不同单位虚拟机速议分别单独部署在不同的安全组中。4.3.4.5虚拟私有云(VPC)云计算数据中心支持虚拟私有云方案,可以支持在一个云数据中心中灵活设定多个虚拟私有云,配合网络的VPN技术,达到端到端的隔离效果。图5-8虚拟私有云(VPC)设计示意图虚拟私有云设计概述: 基于公有云提供通过VPN与IPSec等专用通道访问的私有云 私有云之间严格隔离,保障安全性 私有云内部客户可自行部署IAAS/PAAS/SAAS服务 客户可自行管理与分配IP地址说明针对政务系统中,需要分别部署在云数据中心与原来设施中的传统数据中心同一个业务系统,可采用虚拟私有云解决方案解决安全隔离,IP复用等问题。4.3.4.6大集群部署最多可管理20个集群,每集群128个计算节点,此时系统最大可支持80,OOO个虚拟机,满足用户部署大规模局点的需求,大集群部署设计示意图如下所示:图5-9大集群部署设计示意图每个集群的物理服务器资源,存储以及网络(IP、VLAN等)资源为物理隔离,虚拟机的HA以及热迁移都只能在同一个集群中实现,不可跨集群实现;而同一个业务系统的虚拟机不会部署在不同的集群中,因此云平台支持大集群设计。相对于小集群云计算系统,大集群云计算系统的优势如下: 更高的资源利用率,资源碎片概率大大降低; 更高的可靠性,更多数量的服务器用作集群内可用性服务; 更高的可扩展性,业务的扩容将不会像小集群云计算系统那样受到规模约束。由说明在政务系统中,安全等级相同,如均为政务外网等级,但分属不同业务系统的虚拟机,需要部署在同一个集群中,保证网络隔离的情况下,保留足够资源进行冗余,提高利用效率与可靠性。4.3.4.7内存复用使用内存复用将会提升30%内存的使用效率,大大的降低硬件成本,内存复用有3种模式,分别为:1、内存冒泡模式 支持不同虚拟机之间的内存页面借用,提升内存利用率; BalloOnDriVer从源虚拟机申请可用内存页面,通过GrantTabIe授权给目标虚拟机,并更新虚拟机物理地址和机器地址映射关系表。2、内存交换模式 支持将存储映射为虚拟内存页面,增加服务器物理内存空间; 支持识别虚拟机内的最近未使用内存页,优化SW叩效果。3、内存共享模式 支持不同虚拟机之间共享相同的内存页面; 支持当VM需要改写共享内存页时,VMM重新分配一个新的页面给VMo图5-1