1、某保险行业私有云平台实施方案12月目录第1章 总体初步设计、工作方案11.1. 总体框架设计11.2. 技术路线21.2.1. 基础网络21.2.2. 基础设施31.2.3. 服务支撑31.2.4. 应用迁移41.2.5. 信息安全41.3. 实施产品清单51.4. 实施工作内容7第2章 网络技术实施方案82.1. 总体网络架构设计82.2. 网络子系统92.2.1. 云平台数据中心网络设计92.2.2. IP地址规划102.2.3. 路由协议设计122.2.4. VPN设计122.2.5. QOS设计122.2.6. 可靠性设计162.2.7. 安全性设计172.2.8. 网管设计192.2
2、.9. 云平台IDC虚拟化部署20第3章 云平台机房技术实施方案243.1. 系统概述243.2. 云平台机房概述253.2.1. 建设标准253.2.2. 地理位置273.2.3. 电力系统283.2.4. 制冷303.2.5. 消防313.2.6. 安保监控323.3. 数据中心机柜资源规划33第4章 云基础设施(IAAS层)技术实施方案354.1. 云计算基础架构体系354.1.1. 设计原则354.1.2. 系统总体架构364.2. 云计算中心网络层设计444.2.1. 设计思路444.3. 云平台网络系统整体架构464.3.1. 整体架构设计思想464.3.2. 云平台内网网络系统设
3、计484.3.3. 云平台中心核心交换区494.3.4. 云平台中心云资源池区504.3.5. 云平台中心运维管理区514.3.6. 外联安全接入区514.3.7. 云平台内网接入网络设计524.3.8. 云平台内网网络系统设计总结534.3.9. 云平台网络关键技术支撑544.4. 虚拟网络规划554.5. 服务器设备清单56第5章 软硬件实施详细方案585.1. 华为防火墙安装部署585.1.1. 配置备防火墙上的NAT585.1.2. 配置双机热备份模式595.2. 华为服务器安装部署615.2.1. 服务器安装流程615.2.2. 服务器上架安装625.2.3. 配置RAID645.3
4、. 浪潮存储AS520-E安装部署695.3.1. 设备登陆695.3.2. 创建资源池695.3.3. 创建RAID705.3.4. 自动镜像故障迁移715.3.5. 创建主机组715.4. VMware vCAC安装部署725.4.1. 部署VCAC Indentity725.4.2. 部署VCAC Appliance755.4.3. 安装配置工具785.5. VMware vSphere安装部署805.5.1. 方案拓扑805.5.2. 方案构成部分详细说明815.5.3. 硬件资源分配835.6. Windows域控部署1015.6.1. 数据中心父域控搭建1015.6.2. 协会内网
5、新建子域103第6章 项目管理计划1046.1. 云平台部署流程1046.2. 项目管理计划1056.3. 项目人员职责105第1章 总体初步设计、工作方案1.1. 总体框架设计此次某保险企业私有云平台实施工作方案将针对计算服务整体架构中云计算资源,经过对底层服务器硬件及存放资源实现虚拟化聚合布署,配合以云计算管理平台、监控平台、资源调度平台,实现云计算中基础架构即服务(IaaS)部分,同时该IaaS平台也为以后计算中心提供更高层次云计算服务,如PaaS,SaaS服务提供了良好基础平台,也为某保险企业以后布署其它业务系统,及现有系统扩展提供良好扩展性。协会私有云平台总体框架由七大关键组件组成:
6、运维服务、业务应用系统、基础设施、平台虚拟化、计算资源、计算资源管理、云管理平台。推进系统建设,服务是宗旨,应用是关键,支撑是依靠,信息资源是关键,基础设施是承载,运维和标准化体系是保障。图 1 协会IaaS云平台系统总体框架图基础设施基础设施平台建设是协会云平台基础和前提。包含网络支撑环境建设和硬件支撑环境建设。基于高规格数据中心,满足协会设备托管、应用系统访问需求,并含有为协会提供虚拟服务器和存放服务能力和。计算资源构建协会云平台计算资源池,实现业务运行过程中需要各类数据资源和信息资源集中存放和管理。建立资源目录体系,为各保险行业用户提供信息查询和共享服务。 计算资源管理针对协会云平台计算
7、资源池资源使用情况和系统负载程度,手动、自动调整资源分配,将空闲资源充足利用,实现硬件资源高效运行。业务应用系统另类投资项目应用系统建设,是协会云平台系统建设关键内容,围绕需要开展各项业务,以另类投资系统开发和云托管为根本,以资源整合和应用支撑为基础,建立信息共享机制和业务协同体系,为协会注册会员单位提供数据交换服务。运维服务体系云平台运维服务是协会云平台建设项目标关键保障系统。系统服务体系依据对象分为两大类,数据中心及线路运维服务,实现协会和保险单位实现信息公开、网上办事和会员服务;云平台运维服务,实现各类应用系统在私有云环境下虚拟机运维,监控和告警服务。平台虚拟化采取业界领先虚拟化技术,将
8、另类投资系统在虚拟化平台布署。后续其它业务系统平滑迁移和备份。云管理平台VCAC私有云管理平台是协会云平台建设关键,经过VCAC对私有云资源监控、调度、自助门户、统计分析等功效搭建协会信息系统从传统IT到云架构转型,同时作为以后业务系统托管平台。 1.2. 技术路线1.2.1. 基础网络搭建云平台基础网络,经过防火墙、VPN技术实现另类投资等业务系统和协会内网VPN远程连接,内网采取OSPF/BGP动态路由协议;外网采取IPSec VPN技术实现端到端可靠传输。防火墙、关键交换机全部采取冗余架构,避免单点故障风险,打造稳定安全云平台基础网络。1.2.2. 基础设施经过云计算、虚拟化技术实现数据
9、中心建设,提升资源利用率,避免复杂系统集成和大规模设备占用空间,降低投资成本,简化管理复杂性,能对整体系统运行环境进行统一监管和动态分配,从而降低计算管理和运行成本。协会云平台数据中心根据T3+标准进行选址、选型。根据系统高可用性要求,此次项目拟采取新一代可自愈基础设施。此次设计考虑到安全及最优成本同时提升系统资源利用率,并为未来“云”模式下协会应用提供无缝迁移和过渡能力。在数据中心建设中引入云计算、虚拟化技术,在数据中心搭建云平台,经过服务器虚拟化,有效降低业务系统建设硬件投入实现硬件资源管理和使用集约化。经测算,置五台高性能物理服务器作为计算资源,经过在服务器上安装配置虚拟化平台软件,在单
10、个物理服务器实体上,充足使用设备空余资源,利用管理调度平台生成多个独立虚拟服务器。每一个虚拟服务器从功效、性能和操作方法上等同于传统单台物理服务器。每个虚拟机能够独立装配置不一样操作系统而互不影响,从而大大提升资源利用率,降低成本,增强了系统和应用可用性,提升系统灵活性和快速响应,实现了服务器虚拟架构整合。而对于现有物理服务器上应用,能够经过迁移工具完整迁移到虚拟化环境中,无需重新布署,全部配置保持原样。1.2.3. 服务支撑云平台日常运维服务包含:基础架构管理,云平台管理,网络运维,服务器运维,监控服务,基础云资源监控服务。对于突发事件,欧唯特信息系统依据故障严重程度和影响程度不一样,将故障
11、等级由低到高分为三级故障、二级故障和一级故障。当故障没有在要求时限内恢复或处理时,故障等级将自动升级。当故障不能使用有效远程支持方法进行处理时,欧唯特信息系统企业将派遣工程师赶往用户现场,帮助进行现场故障诊疗及现场故障排除。1.2.4. 应用迁移经过云迁移技术将现有应用系统无缝切换到云服务平台。1.2.5. 信息安全根据等级保护要求,经过访问控制、入侵防范、恶意代码防范、资源控制等方面来实现信息安全。1.3. 实施产品清单产品品牌型号配置数量服务器(计算节点)华为RH2288H V32颗10核CPU,CPU型号为E5-2650 v3;内存128G,硬盘300G*2 10K SAS/RAID/8
12、Gb HBA*2/4port 1G 网卡/RW-DVD5台服务器(管理节点)华为RH2288H V31颗8核CPU,CPU型号为E5-2609 v3;内存16G,硬盘300G*2 10K SAS/RAID/8Gb HBA*2/4port 1G 网卡/RW-DVD1台附件华为RH2288H V3服务器内存 16G单条*44条存放服务器浪潮AS520E-M117TB净容量,支持内置高速缓存 32G Cache,双控制器(Active-Active),板载8个1Gb iSCSI主机接口,2个24Gb SAS宽端口,RAID等级:0/1/10/5/6/50/60,支持自动分层,自动精简配置,卷复制,卷
13、镜像,快照技术等。1台光纤交换机博科BROCADE SAN Switch2台冗余。单台激活16口,带16根线2台网络交换机华为华为网络交换机S5700-28C-SI-AC三层千兆以太网交换机,背板带宽:160Gbps,包转发率65.5Mpps,24个10/100/1000以太网口,可堆叠2台防火墙华为华为USG6360防火墙VPN防火墙,网络吞吐量:300Mbps ,并发连接数:130000 ,用户数限制:无用户数限制 ,安全过滤带宽:170Mbps ,3+1个管理快速以太网端口、可升级到5个快速以太网端口、1个SSM 扩展插槽 2台基础虚拟化软件VMwarevSphereVMware vSp
14、here 6 Std标准版1套虚拟化管理平台VMwarevCenterVMwarevCenter Std标准版1套云管理平台软件VMwarevCloudVCAC Standard Version标准版1套机柜租赁世纪互联北京大兴星光影视城数据中心 16A机柜1个公网带宽双线BGP5M独享双线BGP16个公网IP5M1.4. 实施工作内容工作项目服务名称服务内容需求分析业务分析,需求调研l 私有云环境需求分析,环境调研。前期云集成方案设计云平台设计私有云平台计划设计l 私有云平台基础架构设计l 私有云平台管理步骤设计l 私有云平台Portal需求分析l 及该阶段项目管理云平台布署私有云平台安装,
15、配置l 私有云平台基础架构布署l 私有云平台管理步骤实施l 私有云平台Portal布署及实施阶段项目管理工作系统环境布署私有云平台底层环境安装布署,策略配置l 私有云平台网络环境安装布署及调试私有云计算资源布署调试l 私有云存放资源布署调试l 默认监控平台布署私有云基础架构系统集成测试l 及项目管理工作应用环境测试和布署为业务系统上线布署OS及配合上线l 操作系统安装及系统调优l CBP 监控服务布署l 配合应用系统上线测试l 项目管理系统集成测试私有云平台和业务系统联调测试l 准备SIT(系统集成测试) 环境l 和应用部门联调测试l 项目管理UAT最终验收测试l 准备UAT测试环境和应用部门
16、联调实施UAT测试l 项目管理第2章 网络技术实施方案2.1. 总体网络架构设计协会云平台项目标总体架构概括为四层。四层为计算层、网络层、平台层、应用层,网络拓扑以下。图 2 总体网络架构设计 计算层计算层网络关键包含物理服务器、存放设备网络传输。经过冗余布署光纤交换机,实现高速数据存放网络,为云平台提供高速,稳定计算网络。 网络层网络层关键完成对数据可靠性传送,关键负责互联网、VPN和以后和各个保险机构专线互联。设计采取5M互联网出口基础上搭建VPN和协会内网安全互联。互联网出口采取二台下一代防火墙实现冗余布署,避免单点故障风险。 平台层平台层基于云计算技术和中间件技术,关键包含IaaS层和
17、运维支撑层,经过云计算和虚拟化技术,含有灵活可扩展性,关键实现虚拟化环境下各个虚拟机直接网络传输。 应用层应用层由迁移到云平台原有应用和新建应用组成。经过二台冗余关键千兆交换机,实现应用服务器之间高速、稳定内部网络传输。经过其内置HA功效实现冗余布署,预防单点故障产生。2.2. 网络子系统云平台IDC网络也采取三层结构进行设计,即:IDC出口层、关键交换层、接入层。具体设计提议见后续各章节。2.2.1. 云平台数据中心网络设计本着高优异性和实用性、可靠性、高安全性、高扩展性和遵照开放标准设计标准,云平台数据中心交换网处理方案采取流行两层网络结构。1.出口层采取双机冗余布署方法,布署1对防火墙。
18、2台防火墙间经过链路互联;向内经过千兆链路连接2台关键交换机。即:对外经过5M互联网线路连接互联网或VPN连接到协会内部网络心,经过千兆链路连接平台内网。防火墙关键实现以下功效: 连接不一样网络,掌握全网路由,实现必需路由策略控制; 围绕云平台信息资源,负责各方向流量高速转发; 提供不一样业务所需QoS确保,实施基于聚合规则流量控制策略; 提供IPv4、IPv6网络互联互经过渡技术功效。2.关键交换层采取双机冗余布署方法,布署1对关键交换机。2台关键交换机间经过双千兆链路互联,向下经过千兆链路连接接入层交换机,向上经过千兆链路连接上行防火墙。在此网络架构中,服务器网络接口连接在关键交换机上,数
19、据中心内部基于二层网络进行通讯,数据中心和外连网络基于三层网络进行通讯。关键交换机关键实现以下功效: 作为内部服务器网关。 作为云数据中心网络中枢,负责内网横向和纵向流量高速转发;3.IDC网络设备产品推荐本期云平台数据中心网络建设,各关键网络设备配置以下表:网络设备华为网络交换机S5700-28C-SI-AC三层千兆以太网交换机,背板带宽:160Gbps,包转发率65.5Mpps,24个10/100/1000以太网口,可堆叠2台华为USG6360防火墙VPN防火墙,网络吞吐量:300Mbps ,并发连接数:130000 ,用户数限制:无用户数限制 ,安全过滤带宽:170Mbps ,3+1个管
20、理快速以太网端口、可升级到5个快速以太网端口、1个SSM 扩展插槽 2台2.2.2. IP地址计划2.2.2.1. IP地址总体计划为满足后期业务承载需求,首先需要对全网IP地址进行一个科学正确计划: 为后期网络拓展、业务拓展等工作提供支持; 实现接入点正确绑定,确保接入点用户可定位、可溯源、可隔离; 为业务可识别、可分流和端到端QoS保障提供支撑; 统一规范,为其它业务统一策略布署、新业务统一布署打下基础; 实现每接入点/每用户/每业务/按需分配IP地址; 计划初中期采取IPv4地址,后期能够依据需求采取IPv6地址。1.IPv4地址计划此次针对内网、外网地址计划,全网布署10.0.0.0/
21、8网段,其中内网布署10.0.1.110.0.5.254段地址、外网布署10.0.6.110.255.255.255段地址。云平台IDC采取公网IPv4地址,地址规模为1个C类。2.2.2.2. 云平台IDC网络IP地址计划 网络设备VLAN地址IDC网络设备VLAN地址采取保留IPv4地址,在内网地址段中选择一段,提议在10.0.1.0/16地址段进行分配,具体见下表:设备VLAN地址防火墙10.0.1.1/32、10.0.1.2/32关键交换机10.0.1.3/32、10.0.1.4/32接入交换机10.0.1.5/32、10.0.1.6/32 网络设备互联地址IDC网络设备间、IDC网络
22、设备和外联设备间互联地址在10.0.5.0/24范围内选择。 服务器地址虚拟化服务器地址采取私网IP地址。2.2.3. 路由协议设计 路由协议设计标准内网、外网各分配一个保留自治域编号。内或外网IGP协议提议采取OSPF或IS-IS协议中一个协议,内网 IGP协议提议运行于全部路由器;网内设备和互联链路路由信息采取IGP协议进行通告; 内部IGP计划因为IDC网络三层网络规模全部不大,设备数量有限(少于50台),优先考虑OSPF。2.2.4. VPN设计为了增强安全性,协会内网能够经过VPN和云数据中心内业务系统互联。提议在协会防火墙和云数据中心防火墙启用IPSec VPN实现安全连接。2.2
23、.5. QOS设计2.2.5.1. QOS模型设计IETF提出了很多QoS服务模型和协议,其中比较突出有IntServ (Integrated Services)模型和DiffServ (Differentiated Services)模型。DiffServ(区分服务)模型业务流被划分成不一样区分服务类。一个业务流区分服务类由其IP包头中区分服务标识字段(Different Service Code Point,简称DSCP)来表示。区分服务只包含有限数量业务等级,状态信息数量少,所以实现简单,扩展性很好。现在,区分服务是业界认同IP骨干网QoS处理方案,尽管IETF为每个标准PHB全部定义了
24、推荐DSCP值,不过设备厂家能够重新定义DSCP和PHB之间映射关系,用户可依据网络实际运维需要进行灵活定义。DiffServ对聚合业务类提供QoS确保,可扩展性好,便于在大规模网络中使用。2.2.5.2. QOS计划方案1. 流量分类及标识流量分类是将数据报文划分为多个优先级或多个服务类。网络管理者能够设置流量分类策略,这个策略除能够包含IP报文IP优先级或DSCP值、802.1pCoS值等带内信令,还能够包含输入接口、源IP地址、目标IP地址、MAC地址、IP协议或应用程序端口号等。对于网络协议控制管理、语音、视频类数据流,能够依据协议类型来进行分类和标识。除此之外,在接入交换机侧,也能够
25、依据网络计划,将不一样业务数据流放入不一样VLAN之中,不一样业务IP地址空间不相同,也能够依据源IP地址及目标IP地址,在入口处对进入网络IP报文进行分类和标识。流量分类后就打标识。所谓标识就是依据SLA和流分类结果对业务流打上类别标识。现在RFC定义了六类标准业务即:EF、AF1-AF4、BE,而且经过定义各类业务PHB(Per-hopBehavior)明确了这六类业务服务实现要求,即设备处理各类业务具体实现要求。从业务外在表现看,基础上可认为EF流要求低时延、低抖动、低丢包率,对应于实际应用中Video、语音、会议电视等实时业务;AF流要求较低延迟、低丢包率、高可靠性,对应于数据可靠性要
26、求高业务如电子商务、企业VPN等;对BE流则不确保最低信息速率和时延,对应于传统互联网业务。在一些情况下需要重标识DSCP。比如在Ingress点业务流量进入以前已经有了DSCP标识(如上游域是DSCP域情形,或用户自己进行了DSCP标识),不过依据SLA,又需要对DSCP进行重新标识。分类标识将携带在IP报文中,作为后续QoS处理依据。2. 队列技术及拥塞管理拥塞管理是指在网络发生拥塞时,怎样进行管理和控制。处理方法是使用队列技术,具体过程包含队列创建、报文分类、将报文送入不一样队列、队列调度等。当接口没有发生拥塞时,报文抵达接口后立即被发送出去,当报文抵达速度超出接口发送报文速度时,接口就
27、发生了拥塞。拥塞管理就会将这些报文进行分类,送入不一样队列;而队列调度将对不一样优先级报文进行分别处理,优先级高报文会得到优先处理。常见队列有FIFO、PQ、CQ、WFQ、CBWFQ、等。 PQ需要先对报文进行分类,然后按报文类别将报文送入PQ对应队列。在报文出队列时候,PQ首先让高优先队列中报文出队,直到高优先队列中报文发送完,才发送中优先队列中报文,一样直到发送完中优先队列中报文,才能发送低优先队列报文。这么,分类时属于较高优先级队列报文将会得到优先发送,而较低优先级报文将会在发生拥塞时被较高优先级报文抢先,使得关键业务报文能够得到优先处理,非关键业务报文在网络处理完关键业务后空闲中得四处
28、理。这么处理既确保了关键业务优先,又充足利用了网络资源。因为PQ总是确保高优先级报文得到优先转发,所以当高优先级流量过多时,可能会造成低优先级流量没有转发机会,所以使用PQ时应该合理计划各个优先级流量,合适限制高优先级流量,使低优先级流量也取得一定发送机会。 CBWFQ/LLQCBWFQ根据报文进入网络设备端口、报文协议、是否匹配ACL来对报文进行分类。每个流量类别对应一个队列,支持64个流量类别,不一样类别报文送入不一样队列。对于不匹配任何类别报文,则被送入默认队列。队列采取WRR算法进行轮询。能够为每个流量类别定制一定传输特征,如带宽、传输权值、传输限制等。为一个队列指定带宽通常是指在带宽
29、拥塞时为该队列所确保带宽。调度器根据分配给每个流量类别权值确保每个队列分配到一定带宽,能够对每个队列为每个流量类别设置长度限制,长度限制是在该类别队列中许可最大分组数量,假如队列达成了长度限制,分组丢弃策略生效,CBWFQ能够和队尾丢弃、WRED等丢弃机制相结合。这么,在端口不发生拥塞情况下,能够使各个流量类别报文能取得一定带宽,在端口拥塞情况下,又能够确保属于优先队列报文不会占用超出要求带宽,保护其它报文得到对应带宽。CBWFQ许可为分配给每个流量类别带宽提供确定性或硬担保。对于高速链路或骨干网来说关键是带宽分配硬性担保,CBWFQ是一个功效强大QoS工具。网络拥塞会造成网络性能降低和带宽得
30、不到高效使用,为了避免拥塞,队列能够经过丢弃数据包避免在任何可能地方出现拥塞。队列管理关键目标就是经过合理控制Buffer使用,对可能出现拥塞进行控制。其常见方法是采取RED/WRED算法,在Buffer使用率超出一定门限后对部分等级较低报文进行早期丢弃,以避免在拥塞时直接进行末尾丢弃引发著名TCP全局同时问题,同时保护等级较高业务不受拥塞影响。2.2.5.3. QOS布署提议依据承载多业务要求,对不一样业务需实施不一样QoS策略。在网络发生拥塞时候,采取队列策略来调度每种业务,使得每种业务获取预先设定服务质量参数。现在队列调度机制有优异先出、优先、加权轮循和带有优先队列加权轮循等。为了支持多
31、个业务等级,设备将不相同级分组放入不一样队列中。设备在处理过程中,根据一定队列调度算法,决定从哪个队列中取出数据分组进行服务。队列调度算法好坏直接影响路由器性能和QoS效果。2.2.6. 可靠性设计整个云平台数据中心网络高可靠性是大规模云数据中心网络建设成功关键,对于关键节点比如关键设备双机布署,提升单点可靠性;网络设备关键部件,比如防火墙、交换机等全部采取冗余设计,控制层面和数据层面分离等提升设备本身可靠性;对于整个网络,布署快速故障检测协议,能快速感知并自动恢复,提升整网可靠性;软件在线升级和热补丁是可靠性设计关键后盾。2.2.6.1. 设备高可靠性以太网存在两个不一样操作平面:控制平面和
32、数据平面。控制平面关键是指通讯协议、MAC信息和其它协议报文,还包含网络设备本身主机软件,控制平面用来实现网络元素之间通信。控制平面通常和用户数据共享通信链路。数据平面关键是指以太网承载多种业务,如语音、媒体流、办公数据等VPN业务等。这些业务对于以太网是数据转发,关键是流量冲击,内部通常不采取过多安全控制策略。2.2.6.2. 协议高可靠性1.链路聚合链路聚合也称为链路捆绑、端口聚集或链路聚集,就是将多个端口聚合在一起形成一个汇聚组,以实现出/入负荷在各组员端口中分担。从外面看起来,一个汇聚组好象就是一个端口。链路聚合工作方法支持静态Trunk方法及动态LACP方法,经过配置能够实现多条链路
33、负载分担及相互备份。MC-LAG支持跨主机链路捆绑,可用于双归场景中主备保护。链路聚合优点:1)增加网络带宽,端口聚合能够将多个连接端口捆绑成为一个逻辑连接,捆绑后带宽是每个独立端口带宽总和;2)提升网络连接可靠性。当一条链路故障,流量会自动在剩下链路间重新分配;3)避免二层环路。2.2.7. 安全性设计2.2.7.1. 网路安全风险分析据ISCA统计,伴随安全威胁升级,全球每十二个月由信息安全问题造成损失约数百亿美金,其中源于内部威胁达60%,来自外部威胁达40%。图 3 网络安全威胁分析云平台数据中心是企业信息化系统基石,是企业业务集中化布署、公布、存放区域,假如数据中心不可用,企业运作可
34、能被减弱或被完全停止。所以,网络安全对数据中心来说至关关键。但一直以来,数据中心全部是一个安全方法严重不足区域。依据用户调查、层出不穷安全威胁和日益增加专利信息保护需求,企业必需为数据中心提供足够安全保障,预防来自内部攻击不管是有意还是无意造成。云平台数据中心关键面临来自以下多个方面风险:数据机密风险:企业和个人数据托管后怎样确保数据机密性。访问权限风险:多用户场景下,不一样用户之间访问控制,和单个用户权限管理和控制。用户行为监控。管理权限风险:企业托管业务和数据管理权限和责任划分。数据恢复风险:大规模数据备份和恢复。应用威胁风险:多用户多路径接入,多个应用共存场景下安全防护策略有效性。2.2
35、.7.2. 网路安全建设思绪云平台数据中心网络安全不仅仅是把安全设备简单地叠加到整个网络,网络安全是一个整体,需要把安全融合到网络每个部分。依此下面提出有一体化、分层次、综合全方面网络安全建设思绪。思绪一:网络安全建设需要全局视图,提供一体化安全处理方案。图 4 一体化安全处理方案图思绪二:网络安全架构建设是分层次,在不一样步骤全部要进行防护。图 5 分层次网络安全架构图思绪三:网络安全体系不是安全设备简单叠加,需要综合全方面考虑技术和设备。2.2.8. 网管设计基于云平台数据中心网络稳定运行要求高、大规模信息数据、高并发、跨系统等特征,数据中心网络智能运维架构关键强调统一网管(针对信息量庞大
36、)、远程运维、网络全方位监控和故障定位和处理(针对网络稳定运行要求高)以实现“智能网管系统保障数据中心网络稳定运行”目标。2.2.8.1. 网络全方位监控管理欧唯特提供丰富性能监控对象,全方位诊疗网络;同时提供数据转发透视化,实现精细化流量管理,为网络升级和用户拓展提供依据。具体监控内容以下: 网元性能,针对不一样类型网元本身性能指标进行监控 端口性能,针对不一样类型网元不一样类型端口性能指标进行监控 链路性能,针对网元之间链路性能指标进行监控 业务性能,针对业务性能进行监控 网络可用率:网络可用率 = 网络可用时间/总时间指IP层可达性,能够经过增加冗余设备、冗余线路和有效管理来提升。要实现
37、三个九可用率,即99.9%,那么一个网络在30天内断网时间就不能超出45分钟;对于四个九,即99.99%,指一个网络在30天内断网时间不能超出5分钟。大部分运行商网络可用率为三个九;部分能够达成四个九;通常网络设备可用率在99.99%以上;链路可用率在99.9%以上。2.2.8.2. 快速故障定位和处理欧唯特含有业界领先告警相关性分析系统,在网络出现紧急故障情况下,可依据网络资源及业务关系,自动完成根源告警及衍生告警分析定位,缩短故障处理时间。网络告警及业务数据之间可实现多样化关联、导航,快速了解和评定网络运行情况。同时,对关键用户业务,可设置单独故障提醒及处理功效,便于运行商对不一样用户提供
38、差异化服务。2.2.9. 云平台IDC虚拟化布署云平台数据中心网络需要经过网络虚拟化,提升网络利用率、可靠性及可扩展性。设备支持数据中心网络端到端虚拟化,本项目标虚拟化能够划分为以下图所表示多个层次:图 6 数据中心端到端虚拟化从VM层到网络层依次为: 技术A,边缘虚拟化: VM和接入交换机之间采取IEEE 802.1Qbg, IEEE 802.1Qbr,满足VM迁移、交换需求 技术B,二层多路径: TRILL, SPB,实现大规模VM迁移网络 技术C/D:光纤互联 or L2oL3( VPLS, OTV, NVO3 )实现跨域VM迁移网络,提升整网利用率,用于做数据中心异地容灾备份,通常建专
39、线或在公网建隧道等多个方法实现互联,这期招投标项目里面没有提这个需求,故不详述,但提议后期增加建设,能够提升数据中心整体可靠性。 其它:机架集群N:1虚拟化,VSC, ZTE Virtual Switching Cluster,支持4台虚拟为1台,简化网络拓扑,提升网络性能。2.2.9.1. 接入网络边缘虚拟化图 7 VM接入网络边缘虚拟化在云平台数据中心服务器层面,往往将一个物理服务器虚拟为多个虚拟服务器(VM)。使用VM有以下多个优点:1)提升服务器资源利用率2)VM迁移实现业务均衡和快速恢复3)VM之间做安全策略能够经过在接入交换机上实现网络边缘及接口虚拟化,将VM交换功效交还给网络,达
40、成以下目标:1)释放CPU资源2)网络统一管理、监控3)支持依据VM标识进行端口还回转发2.2.9.2. 后期虚拟机迁移方案虚拟化是云平台数据中心应用关键,也是云平台数据中心网络设计需要考虑关键内容,现在关键虚拟机迁移方法有冷迁移和热迁移两种,简明分析以下:冷迁移热迁移需求固定时间(流量波谷)进行迁移,用户业务中止业务不中止服务器MAC/IP可改变MAC/IP地址不改变方案L3/L2网络均可统一管理平台L2方案共享存放网络;统一管理平台关键区域推荐L3方案,广播域小。关键交换机4台及以下多机虚拟化根据上述章节提到网络架构和业务布署方案,本期项目网络能够满足冷迁移和热迁移需求。图 8 数据中心虚
41、拟机迁移方案第3章 云平台机房技术实施方案3.1. 系统概述计算机机房建设是一门集建筑、电气设备、计算机设备、安装工艺、网络智能、通讯技术等多方面技术集成,计算机环境机房设计和施工优劣直接关系到机房内计算机系统是否能稳定可靠地运行,是否能确保各类信息互联无阻。依据电子计算机场地通用规范【GB2887-】和电子计算机机房设计规范【GB50174-】,某保险企业私有云平台数据中心机房计划和设计,既要满足计算机机房现在使用要求,又适应于远期发展需要,根据A级标准进行设计,协会云数据中心机房项目范围关键包含:l 机房装修系统l 机房配电系统l 机房UPS电源系统l 机房防雷接地系统l 机房空调新排风系
42、统l 机房动力环境监控系统l 机房气体消防系统l 机房综合布线系统3.2. 云平台机房概述3.2.1. 建设标准世纪互联北京大兴星光数据中心在建设计划时严格根据国家及国际相关规范要求进行建设,符合国家标准GB50174中A级机房技术要求。从需求分析、计划设计到施工验收,完全符合相关国家标准和专业标准,数据中心基础设施整体水平达成TIA-942 Tier 3+标准。北京大兴星光机房TIA-942数据中心建设等级关键评定项目参考特点 等级等级 III等级 IV世纪互联星光影视城TIA942-标准相关可用性可同时维护型故障容错型可同时维护型建筑物多租户租用否否否双路市电供给不间断电源系统N+12NN
43、+1区域划分无有有同时可维修性能能能电池最少全部符合备用时间15分钟15分钟大于15分钟供电双路PDU双路独立供电路径制冷设备-N+1冗余装置监控系统对最坏事件容错无有有连续冷却或许是是单点故障部分+人为错误一个没有+人为错误一个没有+人为错误每十二个月场地引发IT停机(实际值)1.6个小时0.4个小时0.876小时可用性99.982%99.995%99.99%7二十四小时运行机械系统实时维护电力系统实时维护N/A3.2.2. 地理位置大兴星光机房地理位置示意图地址:北京大兴北兴路星光影视园数据中心在北京大兴区北兴路东段1号星光影视园A-1楼,毗邻京开高速,靠近地铁4号线,交通便利,服务器可自
44、送或快递,本企业全部有工程师接收。北京大兴星光数据中心机房1期改造面积10019平方米。机房8级抗震设防,耐火等级一级。现在机柜规模919个,标准42U/45U两类机柜,42U机柜提供16A电力,45U机柜提供20A电力。3.2.3. 电力系统两路独立市电+UPS+柴油发电机配置,电力可靠性达成99.99%。市电系统 数据中心采取4路高压进线,两两一组。每组可提供15000KVA,累计30000KVA 变压器UPS系统 稳定电源供给是数据中心内托管设备安全运行和数据得以安全保护关键保障。大兴星光机房采取3+1冗余配置UPS系统,单机容量400KVA,满负载后备时间大于15分钟。UPS模块柴油发电机为确保电力供给高可用性,数据中心I期配置了5台柴油发电机,每台容量2500KVA。 柴油发电机N+13.2.4. 制冷数据中心机房区域采取水冷机房专用空调系统,双环路设计,且阀门成对设置,即使管道任一点发生故障,关闭该管段两端阀门对其维修,并不影响整个环路流通性。冷冻机组2+1,700RT/台精密空调组机房精密空調均为N+1冗余组成,为机柜提供了良好冷却环境。数据中心空调机组均配置双路供电,机房内配置漏水检测带,保障空调机组安全可靠运行。数据中心机房机架采取背靠背、面对面排列方法,且采取封闭冷气通道送风节能技术
浙ICP备2021020529号-1 | 浙B2-20240490 
