DB43_T 2254-2021信息技术应用创新工程建设规范第 15 部分：云计算通用技术要求.pdf

1、信息技术应用创新工程建设规范第15部分：云计算通用技术要求Engineering specification for the Application Innovation Project of Information TechnologyPart 15:General technical requirements of cloud computing43湖南省地方标准ICSCCS 01.140.20L 70DB43/T 225 2021 4发 布湖南省市场监督管理局2021-12发布-292022-03实施-29 目 次 前言 引言 V 1 范围 1 2 规范性引用文件 1 3 术语和定义 1

2、 3.1 信创云 independent controllable cloud 1 3.2 国密算法 domestic cipher algorithm 1 3.3 云资源池 cloud resource pool 1 3.4 云计算资源池 cloud computing resource pool 1 3.5 云存储资源池 cloud storage resource pool 1 3.6 云网络资源池 cloud network resource pool 2 3.7 云安全资源池 cloud security resource pool 2 3.8 多副本 multi-copy 2 3.

3、9 块存储 block storage 2 3.10 对象存储 object storage 2 3.11 共享文件存储 shared file storage 2 3.12 云平台 cloud platform 2 3.13 多云管理平台 multi-cloud management 2 3.14 卷 volume 2 3.15 云主机迁移 cloud instance migration 2 3.16 云主机冷迁移 cloud instance static migration 2 3.17 云主机热迁移 cloud instance live migration 2 3.18 双因子认证

4、 two-factor authentication 3 3.19 对象缓存池 nodepool 3 3.20 对象存储桶 bucket 3 3.21 密钥分割 key segmentation 3 4 缩略语 3 5 技术要求 4 5.1 整体架构 4 5.2 云计算资源 5 5.3 云存储资源 7 5.4 云网络资源 8 5.5 容器云资源 9 DB43/T 22542021 II5.6 裸金属资源 11 5.7 多云管理平台 11 5.8 云安全资源 12 5.9 密码安全 14 6 服务要求 14 6.1 数据服务 14 6.2 平台服务 15 6.3 应用迁移服务 17 6.4 安全

5、服务 17 6.5 技术支持 17 6.6 容灾备份服务 18 6.7 部署安装服务 18 7 平台认定 18 7.1 认定目的 18 7.2 认定范围 19 7.3 认定内容 19 7.4 认定方法 19 表 1 信创云-自主能力评估表 21 表 2 信创云-云计算资源能力评估表 21 表 3 信创云-云存储资源能力评估表 23 表 4 信创云-云网络资源能力评估表 26 表 5 信创云-裸金属能力评估表 28 表 6 信创云-多云管理能力评估表 29 表 7 信创云-云安全资源能力评估表 30 表 8 信创云-密码安全能力评估表 32 表 9 信创云-容器云能力评估表 32 表 10 信创

6、云-服务能力评估表 36 表 11 信创云-评估结果汇总表 39 表 12 信创云-专家意见书 40 前 言 本文件按照 GB/T 1.12020标准化工作导则 第 1 部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。信息技术应用创新工程建设规范分为以下几个部分：第 1 部分：台式微型计算机通用技术要求；第 2 部分：便携式微型计算机通用技术要求；第 3 部分：服务器通用技术要求；第 4 部分：操作系统通用技术要求；第 5 部分：操作系统硬件兼容性通用技术要求；第 6 部分：操作系统软件兼容性通用技术要求；第 7 部分：办公

7、套件通用技术要求；第 8 部分：电子公文通用技术要求；第 9 部分：驱动开发通用技术要求；第 10 部分：应用开发通用技术要求；第 11 部分：迁移适配通用技术要求；第 12 部分：国产化信息系统建设质量管理规范；第 13 部分：国产化信息系统运行维护规范；第 14 部分：国产化信息系统建设验收规范；第 15 部分：云计算通用技术要求。本部分为第 15 部分。本部分由湖南省国家密码管理局提出。本部分由湖南省工业和信息化厅归口。本部分起草单位：湖南大学（国家超级计算长沙中心）、中国人民解放军国防科技大学、银河麒麟软件（长沙）有限公司、飞腾信息技术有限公司、中国长城科技集团股份有限公司、华为技术有

8、限公司、金山云网络技术有限公司、湖南中软信息系统有限公司、长沙证通云计算有限公司、奇安信科技集团股份有限公司、华盾云科技术有限公司、湖南科创信息技术股份有限公司、北京海泰方圆科技股份有限公司、湖南湘江鲲鹏信息科技有限责任公司、创智和宇信息技术股份有限公司、深信服科技股份有限公司、深圳宝德计算机系统有限公司、长沙军民先进技术研究院有限公司，中国电信股份有限公司云计算分公司。本部分主要起草人：唐卓、吴庆波、李肯立、高晓飞、所光、隋强、刘斌、纪军刚、尹旦、曹嵘晖、符利华、罗笛、肖慧、黄晋艺、谭一帆、周裕君、张珲、张永森、曾庆顺、何利明、许传细。引 言 湖南省为深入贯彻国家网络强国战略，全面落实中央有

9、关文件精神，部署开展湖南省信息技术应用创新工程建设，保障全省各级党政机关关键信息基础设施信息安全和信息系统安全可靠运行。针对自主可控产品体系初具规模，但相关产品和工程实施标准规范还很缺乏的现状，为了规范工程建设，加速工程进度，扩大建设结果，同时有力提升自主可控产业发展水平，确保信息安全，由湖南省国家密码管理局作为业务主管单位、湖南省工业和信息化厅作为技术归口单位，由中国人民解放军国防科技大学、中国电子信息产业集团有限公司等单位与湖南省合作制定了 信息技术应用创新工程建设规范 地方标准。信息技术应用创新工程建设规范主要由自主可控核心产品、典型应用、工程管理等方面的规范组成，重点解决应用创新工程建

10、设当中产品选型、应用开发、工程实施等基础环节的实际问题，可为应用创新工程的用户使用单位、集成建设单位和相关产品研制单位，在产品和应用规范化、软硬件兼容适配、工程实施标准等方面提供一般性指引。信息技术应用创新工程建设规范 未来将根据自主可控产业和应用创新工程的发展变化进行相应的必要调整和补充。DB43/T 22542021 1 信息技术应用创新工程建设规范 第 15 部分：云计算通用技术要求 1 范围 本部分适用于湖南省信息技术应用创新工程建设相关云计算 IAAS 平台的设计、集成、服务和测评。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用

11、文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 324002015 信息技术 云计算 概览与词汇 GB/T 323992015 信息技术 云计算 参考架构 GB/T 377372019 信息技术 云计算 分布式块存储系统总体技术要求 GB/T 377382019 信息技术 云计算 云服务质量评价指标 GB/T 377392019 信息技术 云计算 平台即服务部署要求 GB/T 377402019 信息技术 云计算 云平台间应用和数据迁移指南 GB/T 377412019 信息技术 云计算 云服务交付要求 3 术语和定义 GB/T

12、5271.14 界定的以及下列术语和定义适用于本文件。下列术语和定义适用于本文件。3.1 信创云 independent controllable cloud 是指新一代国产化信息技术应用创新工程云计算平台。3.2 国密算法 domestic cipher algorithm 中华人民共和国国家密码管理局认定的国产密码算法。3.3 云资源池 cloud resource pool 云资源池包括云计算资源池、云存储资源池、云网络资源池、云安全资源池等资源集合。3.4 云计算资源池 cloud computing resource pool 物理计算资源或虚拟计算资源的集合，可以从池中获取资源，也

13、可将资源回收到池中。3.5 云存储资源池 cloud storage resource pool 物理存储资源或虚拟存储资源的集合，可以从池中获取资源，也可将资源回收到池中。3.6 云网络资源池 cloud network resource pool 物理网络资源或虚拟网络资源的集合，可以从池中获取资源，也可将资源回收到池中。3.7 云安全资源池 cloud security resource pool 物理安全资源或虚拟安全资源的集合，可以从池中获取资源，也可将资源回收到池中。3.8 多副本 multi-copy 一个存储对象同时保存至少两份数据。3.9 块存储 block storage

14、块存储指在一个 RAID（独立磁盘冗余阵列）集中，一个控制器加入一组磁盘驱动器，然后提供固定大小的 RAID 块作为 LUN（逻辑单元号）的卷。3.10 对象存储 object storage 用来描述解决和处理离散单元的方法的通用术语。对象在一个层结构中不会再有层级结构，是以扩展元数据为特征。3.11 共享文件存储 shared file storage 以数据为中心，将存储设备与服务器彻底分离，集中管理数据，从而释放带宽、提高性能、降低总拥有成本。3.12 云平台 cloud platform 提供多种云服务资源池和服务目录的统一管理，便捷的 IT 服务使用方式，实现对业务服务需求的快速响

15、应，保证资源部署的一致性和高效利用率。3.13 多云管理平台 multi-cloud management 管理多种异构云基础设施，提供统一的一站式云管理服务。3.14 卷 volume 块存储系统中物理空间的逻辑分区，为云主机(VM)或物理主机提供裸设备方式进行数据存取。可以进行创建、删除、扩展等操作。3.15 云主机迁移 cloud instance migration 云主机迁移包括云主机冷迁移和云主机热迁移。3.16 云主机冷迁移 cloud instance static migration 也叫静态迁移，指关闭云主机后，把云主机从一台物理主机迁移到另外一台物理主机。3.17 云主机

16、热迁移 cloud instance live migration 也叫动态迁移，指不关闭云主机，把云主机从一台物理主机迁移到另外一台物理主机。3.18 双因子认证 two-factor authentication 结合密码以及实物（国密 UKey、SMS 手机、令牌或指纹等生物标志）两种条件对用户身份进行认证的方法。3.19 对象缓存池 nodepool 用于管理节点对象的对象缓存池。3.20 对象存储桶 bucket 对象存储空间中的桶。3.21 密钥分割 key segmentation 指密钥管理中使用主密钥和其变量对副密钥和基本密钥编码的技术。4 缩略语 CPU：中央处理器（Cen

17、tral Processing Unit)X86：基于 Intel 8086 且向后兼容的中央处理器指令集架构(Intel X86)ARM：高级 RISC 处理器（Advanced RISC Machine)PKI：公钥基础设施（Public Key Infrastructure)SM2：基于椭圆曲线的国产公钥密码算法（非对称密码算法）SM3：国产哈希算法 SM3（Cryptographic Hash Algorithm SM3)SM4：国产分组密码算法 SM3（Information security technology SM4）SM7：另一种国产分组加密算法 SM7（Informatio

18、n security technology SM7）SM9：基于标识的国产公钥密码算法（非对称密码算法）CA：证书签发机构（Certification Authority)HTTPS：超文本传输安全协议（Hyper Text Transfer Protocol over SecureSocket Layer）RBD：RADOS 块设备（RADOS BLOCK DEVICE)iSCSI：Internet 小型计算机系统接口（Internet Small Computer System Interface）NFS：网络文件系统（Network File System)CIFS：通用网络文件系统(C

19、ommon Internet File System）S3：简单存储服务（Simple Storage Service）CephFS：Ceph 文件系统（Ceph File System）EC：纠删码（Erasure Coding）AZ：可用域（Availability Zone）RBAC：基于角色的访问控制（Role-Based Access Control）AK：密钥的 Access Key SK：密钥的 Secret Key EIP：弹性公网 IP（Elastic IP Address）PPS：数据包每秒（package per second）VPC：虚拟专有网络(Virtual Pri

20、vate Cloud）SSH：安全外壳协议（Secure Shell）MIPS：单字长定点指令平均执行速度（Million Instructions Per Second），每秒处理的百万级的机器语言指令数 DNS：域名系统（Domain Name System）RAM：随机存取存储器（Random Access Memory）VHD：虚拟磁盘格式（Microsoft Virtual Hard Disk format）IPV6：互联网协议第 6 版（Internet Protocol Version 6）Docker：一个开源的应用容器引擎 Kafka：由 Apache 软件基金会开发的一个开

21、源流处理平台，由 Scala 和 Java 编写 Pod：容器里的一个实例 IOPS：一个用于计算机存储设备（如硬盘（HDD）、固态硬盘（SSD）或存储区域网络（SAN）性能测试的量测方式（Input/Output Operations Per Second）Qos：服务质量（Quality of Service）RESTful：一种网络应用程序的设计风格和开发方式（Representational State Transfer）RAID：磁盘阵列（Redundant Arrays of Independent Disks)ACL：访问控制列表(Access Control Lists)CA：

22、证书颁发机构(Certificate Authority)Bucket：对象存储中的桶 Vlan：虚拟局域网（Virtual Local Area Network）VxLAN：虚拟扩展局域网（Virtual Extensible Local Area Network）DHCP：动态主机配置协议（Dynamic Host Configuration Protocol）NAT：网络地址转换（Network Address Translation）VPN：虚拟专用网络（Virtual Private Network）Hypervisor：虚拟机监视器（virtual machine monitor）

23、IDC：互联网数据中心（Internet Data Center）5 技术要求 5.1 整体架构 5.1.1 设计指导原则 按照湖南省委省政府工作部署要求，以国产 CPU 和国产操作系统为核心，构建“两芯一生态”云平台产业体系，其中两芯为飞腾和鲲鹏系列芯片，一生态为麒麟操作系统生态。5.1.2 整体结构 信创云系统架构如图 1 所示，分为如下模块：a）国产化服务器（飞腾、鲲鹏）：在国产化服务器（飞腾、鲲鹏）上搭建信创云；b）银河麒麟操作系统：为国产化服务器（飞腾、鲲鹏）提供统一的生态支持；c）自主可信源：信创云服务依赖于自主可控的源；d）国密算法：基于国密算法和国密 PKI 体系的平台组件间报

24、文加解密与用户身份认证技术；e）云计算资源：提供计算资源虚拟化服务；f）云存储资源：提供存储资源虚拟化服务；g）云网络资源：提供网络资源虚拟化服务；h）云安全资源：提供安全资源虚拟化服务；i）云资源池：云资源池包括云计算资源、云存储资源、云网络资源、云安全资源等；j）运维/监控：提供物理和虚拟资源监控及运维服务；k）容器云：实现信创云中的容器资源管理功能；l）云平台：实现信创云的计算、存储、网络、安全等资源的生命周期管理的平台；m）多云管理平台：实现多个信创云的统一管理服务平台。图 1 信创云系统架构 5.2 云计算资源 5.2.1 云主机资源 5.2.1.1 功能描述 云主机提供简单高效、处

25、理能力强、可弹性伸缩的计算服务，帮助用户快速构建更稳定、安全的应用，提升运维效率，降低 IT 成本。弹性云主机是由 CPU、内存、存储、网络等组成的随时可获取、弹性可扩展、按需使用的虚拟的计算服务器，为用户打造一个高效、可靠、安全的计算环境，确保用户的服务持久稳定运行。5.2.1.2 功能要求 a）支持在不同可用区（AZ）中的 X86、ARM 或者其他 MIPS 物理主机上创建云主机；b）使用 X86 物理主机时支持至少一种国产 GPU，比如寒武纪、昇腾等；支持为租户创建透传 GPU或者 vGPU 的云主机。ARM 物理主机包括飞腾和鲲鹏两种 CPU；c）至少兼容 2 种 X86、ARM 或者

26、其他 MIPS 品牌服务器；d）云主机系统盘和数据盘均支持使用分布式块存储方式；e）可以对云主机的 CPU、内存、磁盘等进行调整配置，支持对云主机进行跨主机的迁移，支持对云主机的全生命周期的管理，包括创建、删除、开关机等；支持将指定云主机分配至其他项目组；f）创建云主机时支持自动分配、指定 IP 地址，可配置多块辅助网卡，配置每个网卡的安全组或者防火墙设置；g）支持在控制台修改网卡、VPC、子网、IP、DNS 地址等信息；h）可导入 RAW、VHD、QCOW2、VMDK 等格式镜像，并且基于导入镜像创建云主机；可使用镜像重装系统；支持租户可以制作镜像，跨租户共享或者取消镜像；i）支持云主机和云

27、硬盘删除到回收站或者强制直接删除，可以配置回收站保存时间，可以从回收站还原云主机和云硬盘；j）支持云主机亲和或者反亲和性调度；k）支持创建云主机时可以设置密码或者 SSH Key 登陆，Linux 密码丢失时可以通过云平台重置 root 用户密码；l）支持通过在线快照对云主机进行自动备份，对云主机性能没有影响；m）支持计算能力的弹性伸缩，可根据性能监控指标或者定时任务，增加、删除或者设置云主机的数量；n）业务系统迁移上云时支持按照原系统 IP 地址或 MAC 地址创建云主机；o）支持在一个 AZ 中将云主机创建到指定的计算节点资源池上；p）支持使用 IPv6；q）支持资源多租户隔离。5.2.2

28、 两芯一生态要求 5.2.2.1 物理主机芯片要求 物理主机 CPU 芯片应该是飞腾或鲲鹏芯片。5.2.2.2 物理主机操作系统要求 物理主机操作系统应该是银河麒麟操作系统。5.2.3 异构虚拟化云资源池要求 5.3.2.1 功能描述 信创云支持不同国产 CPU 架构的计算资源池，以国产化服务器（飞腾、鲲鹏）为主，可兼容其它国产 X86 架构服务器。5.3.2.2 功能要求 a）一套云平台支持同时管理不同 CPU 架构的计算资源池；b）云平台支持选择不同资源池创建不同 CPU 架构的云主机；c）信创云支持按照不同 CPU 架构扩容计算节点服务器；d）不同 CPU 架构的云主机可以部署在同一个虚

29、拟子网中；e）支持计算节点和控制节点的动态扩容。5.2.4 云主机迁移要求 5.2.4.1 功能描述 支持两种或多种物理主机部署在同一个计算资源池中，云主机支持在相同 CPU 架构的两种或多种不同物理主机之间进行迁移。5.2.4.2 功能要求 a）支持在同一个计算资源池中部署不同 CPU 架构的两种或多种物理主机；b）支持云主机在同一个计算资源池的相同 CPU 架构不同品牌物理主机之间迁移；5.3 云存储资源 5.3.1 功能描述 信创云可采用集中式或分布式架构云存储作为底层存储系统，该底层存储系统可以提供块存储、对象存储、文件存储，支持弹性扩展，容量和性能都支持线性增长。5.3.2 功能要求

30、 a）对象存储、块存储、文件存储系统所有服务均支持高可用部署方式，可随时扩容，不影响业务使用；b）至少支持 2 种存储接口访问协议，包括但不限于 RBD、iSCSI、NFS、CIFS、S3、CephFS 等协议；c）支持多副本或冗余校验存储机制；d）支持监控分布式云存储的集群容量、健康状况、服务状态、性能指标等；e）支持对云硬盘创建、挂载、卸载、删除、扩容、创建快照、修改属性、添加标签、删除标签、分配至对应租户等全生命周期的管理功能；f）支持在控制台创建、删除、回滚快照备份，支持配置自动化快照策略，支持从快照创建云硬盘。g）支持从不同类型的磁盘创建不同性能的系统盘和云硬盘；h）支持使用本地盘和

31、云硬盘两种方式创建云主机系统或云硬盘；i）支持创建精简配置卷，并可根据实际使用情况动态分配空间；j）支持自动根据云硬盘容量对 IOPS、带宽的上限等 QoS 限速项进行设置；k）支持云硬盘回收站功能，误删后可以恢复。支持批量恢复、批量彻底删除云硬盘；l）支持新建、删除、编辑文件系统类型为 NFS 和 CIFS 的高可用文件系统。支持创建、删除文件服务系统挂载点；m）支持对对象存储空间进行创建、修改、删除等操作；n）支持对空间设置公开读写、公开读、私密访问权限模式；o）支持将对象空间分配到指定租户，支持自动设置文件名；p）支持从界面和 API 接口上传文件，支持查看获取文件的访问地址；q）支持对

32、文件的重命名、批量删除等操作；r）支持 RESTful 接口，支持 http 和 https 协议访问；s）支持 Bucket 创建、删除和 Bucket 相关属性的查看与管理；t）支持 Object 上传、删除、分享、下载、搜索等功能；u）支持针对每个 Bucket 和 Object 设置读写权限；v）支持查看用户存储容量、流量、请求次数、带宽等统计数据；w）支持设置过期删除规则，可指定过期时间或者过期天数；x）数据传输支持使用基于国密算法的 SSL 进行加密传输。服务访问具有严格的 AK/SK 访问授权机制；y）支持细粒度空间策略，可独立限制每个 Bucket 存储空间的访问用户、接口操作

33、和访问 IP，同时支持空间级别 ACL、对象级别 ACL 和 Bucket 空间策略等多种安全配置；z）支持设置 Bucket/Object 的访问控制列表，进行访问权限控制（公开、私密）；aa）支持配置白名单和黑名单功能启用防盗链功能，提供对象存储访问安全控制功能；bb）支持设置 Bucket 或匹配的对象转为低频存储、进行过期删除的规则，可指定转为低频存储或进行删除的时间或天数；cc）支持并发上传、断点续传，支持对象的分块上传；dd）提供跨云对象存储数据迁移工具，支持从其他对象存储中平滑迁移已有资源。5.4 云网络资源 5.4.1 功能描述 云网络是软件定义网络的一种新网络框架，其本质是网

34、络的可编程，给用户提供最大的控制网络灵活度。随着移动互联、大数据等技术的发展，网络已经成为一种基本的 IT 服务，租户可以灵活申请所需的虚拟网络资源来满足自己的 IT 业务。5.4.2 功能要求 a）支持基于 Vlan 或 VxLAN 技术的云主机互通，实现业务大规模、高性能、多功能网络使用场景Host Overlay 方式实现；b）支持 EIP/四层 SLB 网关、NAT 网关、VPC Peering、专线和 VPN 网关、裸金属网关、七层 SLB网关、带宽共享网关。网关集群均可基于国产化服务器实现，高可用部署，可平滑扩容，至少兼容 2 家服务器厂商；c）支持 DHCP、ACL 和安全组（分

35、布式防火墙）、VPC、路由表配置、VPC Peering、EIP、NAT、专线、四层 SLB、七层及七层 URL SLB、EIP QoS 和带宽共享、裸金属互联、DNS 解析服务；d）可以将 VPC 网络划分成一个或多个子网，支持同一 VPC 下不同子网之间的分布式路由功能。VPC子网可自定义地址池，也可将指定单个或多个 IP 排除地址池。e）支持云主机级别的安全组（分布式防火墙）设置和子网级别的子网 ACL 设置；f）VPC 内云主机和物理主机、负载均衡器均可以绑定弹性 IP。支持 IPV6 类型；g）支持 VPC 自动生成网络拓扑图，支持查看网络拓扑图详情；h）需提供资源访问权限控制管理功

36、能，实现对网络资源的权限管理；i）支持云主机 IP 带宽限速；j）支持新建 VPC 网络配置 IPv6 地址或对现有 VPC 网络添加 IPV6 网段，云主机和物理主机可以通过 IPv6 地址连通；k）VPC 内云主机和物理主机可共享 NAT 网关访问外部，NAT 作用域可以是整个 VPC，也可以是指定的 VPC 内某个或某些子网；l）支持 VPC 互联，可以将同一用户或跨用户的 VPC 网络连通；m）支持可以为不同分支机构，开通高可用专线通道，绑定/解绑专线网关，为专线网关配置 NAT；n）支持对弹性 IP、NAT 网关性能进行监控，设置报警策略；o）支持租户创建、删除到分支机构 Ipsec

37、 或者 GreOverIpsec 通道；p）负载均衡器支持绑定 IPV6 的地址，提供 IPV6-IPV4 和 IPV6-IPV6 的转换；q）四层负载均衡器支持跨 AZ 集群化部署，支持会话同步。支持轮询、最小连接数、主备调度流量分发策略；r）同一个负载均衡器下支持挂载云主机和裸金属服务器，支持将流量按权重负载分发到云主机和裸金属服务器；s）负载均衡支持 HTTPS 证书和密钥管理，支持 HTTPS 卸载；t）支持对负载均衡器、4 层监听器、7 层监听器的流量带宽、每秒包数、新建连接和活跃连接数、未活跃连接数、超限丢弃连接数、超限丢弃每秒并发连接数、并发连接数等性能指标进行监控。5.5 容器

38、云资源 5.5.1 创建托管集群要求 一站式创建托管集群，构建容器平台，并提供容器集群的生命周期管理：a）支持在国产化服务器（飞腾、鲲鹏）上部署集群；b）支持集群的扩缩容，添加、删除节点；c）支持集群升级：提供一键式以及节点分批升级能力，升级过程中业务不中断；d）支持节点池管理：集群节点可以按照 nodepool 灵活创建和伸缩，节点按照 nodepool 维度分组；e）支持集群的权限管理：支持基于用户/用户组的 RBAC 权限控制能力，可对集群以及集群中所有资源进行权限管理。5.5.2 托管集群监控要求 提供集群的统一运维管理能力，要求支持：1、日志 a）支持日志中心，对收集的日志进行展示；

39、b）支持日志对接到 ES、kafka、fluentd 等系统；c）支持 docker 容器日志的防爆、支持系统日志的防爆，支持日志中心的存储老化防爆控制优化；d）支持日志转储到外部存储。2、监控 a）支持集群、节点、pod、负载均衡性能监控；b）支持监控数据老化和转存。3、告警 c）支持告警规则自定义设置，告警规则包括监控指标、日志信息、系统事件 event 等。d）支持告警抑制、告警清除和告警通知。5.5.3 托管集群伸缩组管理要求 为了快速响应业务资源诉求，更好地应对业务洪峰，集群需要提供集群资源的弹性伸缩能力：a）支持基于 CPU、内存等指标策略的集群资源节点弹性伸缩功能；b）支持基于定

40、时周期策略的集群资源弹性伸缩功能。5.5.4 纳管已有集群要求 支持多云容器平台通过集群联邦实现对已有集群的纳管并进行统一管理，支持动态集群接入和全局集群监控仪表盘。通过多云容器平台的多集群统一管理入口可以实现统一部署、统一发布及统一运维。5.5.5 镜像空间管理要求 a）支持私有、公有镜像仓库；b）支持从第三方仓库如 jfrog、harbor 拉取镜像；c）支持仓库高可用性；d）支持镜像上传、下载、删除等生命周期管理，支持 docker client 上传下载；e）支持跨 Region 镜像同步。5.5.6 chart 包管理要求 a）支持基于 Kubernetes Chart 标准创建的

41、Helm 模板的管理，包括但不限于上传、导出、删除等；b）支持通过 Helm chart 模板部署应用，提供模板实例的管理。5.5.7 工作负载生命周期管理要求 a）支持应用的重启、停止、启动、删除操作；b）支持无状态部署（容器应用）；c）支持有状态部署（容器应用）；d）支持短时任务（Job）部署；e）支持 job 依赖服务；f）支持节点代理（daemon set）类型应用部署；g）支持容器运行环境变量配置；h）支持配置服务器访问外部域名；i）支持配置应用入口流量的访问策略(Ingress)；j）支持手工式和向导式创建发布应用；k）支持应用配置的添加、删除、修改等统一配置管理；l）支持对工作负

42、载进行滚动升级和替换升级操作；m）支持 Liveness Probe、Readiness Probe 两种探针的健康检查，支持 HTTP、TCP、命令方式等探测方式；5.5.8 服务生命周期管理要求 a）支持发布 ClusterIP 类型的 Kubernetes Service，可以在集群内访问；b）支持发布 NodePort 类型的 Kubernetes Service，可以在集群外访问；c）支持发布 LoadBalancer 类型的 Kubernetes Service，可以在集群外访问。d）支持发布 ExternalName 类型的 Kubernetes Service，可以在集群外访问

43、。5.5.9 存储服务生命周期管理要求 a）支持存储生命周期基本操作（创建、删除、挂载、卸载）；b）支持块存储、对象存储、文件存储等不同存储类型，支持动态创建文件存储；c）支持容器块存储快照，可以快速回滚数据；d）支持容器块存储扩容。5.5.10 配置生命周期管理要求 a）支持 ConfigMap 配置项用于保存应用的配置参数，且可作为文件或者环境变量使用；b）支持 Secret 秘钥用于存储敏感配置信息，如用户名、密码、证书等，且可作为文件或者环境变量使用。5.5.11 监控详情要求 1、监控指标 a）支持业界常用指标项，包括磁盘、网络、CPU、内存等；b）支持标准 Prometheus 自

44、定义指标接入能力。2、支持监控指标导出功能 a）关联分析：支持按照应用、主机、服务、实例多维度关联分析；b）指标聚合：提供丰富的指标计算、聚合能力，支持多种统计方式、多周期聚合，支持应用实例、容器汇聚到应用、节点和应用实例汇聚到集群。5.6 裸金属资源 5.6.1 功能描述 提供按需创建、按量使用的高性能、安全隔离、弹性供应的飞腾或鲲鹏物理主机资源，帮助用户快速构建与扩容高性能需求的应用服务。裸金属服务器能够自动化安装操作系统、完成硬盘 RAID 模式配置和网络配置，在外网条件下，支持在 VPN 认证或其他数据传输加密的防护下，进行自服务的 IPMI 连接和管理。5.6.2 功能要求 a）支持

45、对裸金属服务器的全生命周期管理，包括创建、删除、启动、关闭、重启、重装系统等；b）支持系统盘 RAID 1 配置保证系统高可靠性，支持数据盘 RAID，并可以设置 RAID 级别：单盘RAID 0、RAID 1、RAID 5、RAID 10。支持对数据盘设置文件系统格式，可选文件系统挂载点；c）支持 bond 网卡模式；d）支持制作自定义镜像，创建裸金属时选择标准镜像、自定义镜像。支持自定义镜像 tag 管理；e）支持使用镜像对实例进行操作系统自动安装；支持批量创建；f）支持挂载云硬盘；g）支持创建裸金属服务器时设置密码或者 SSH key，支持密码重置功能；h）支持 CPU/内存利用率、网络

46、流量带宽、磁盘 IOPS/使用率等监控项，支持编辑报警策略；i）支持对裸金属的 CPU、内存、硬盘、电源、风扇的状态监控；j）支持添加、更换 VPC 网络，支持设置、复制安全组规则。支持分配公网 IP、调整带宽、更换内网 IP、配置 DNS，支持使用 VPC 中的 ACL、安全组（防火墙）；k）支持租户通过控制台对裸金属服务器进行电源管理，硬盘管理、网络管理等；l）提供裸金属服务器功能，支持在同一个 VPC 下创建裸金属服务器与云主机，同 VPC 下裸金属服务器和云主机可以正常通信。支持双 VPC 网络；m）支持裸金属服务器使用 EIP、NAT、专线、VPN、VPC 互联、负载均衡功能。5.7

47、 多云管理平台 5.7.1 多云管理平台描述 统一管理多个信创云平台，提供一站式多云管理服务。5.7.2 多云管理平台技术要求 5.7.2.1 统一多云资源管理 多云管理平台统一资源管理方面应满足以下要求：a）支持对接多个信创云平台；b）支持不同数据中心信创云平台的统一管理；c）支持多个信创云平台的虚拟资源统一视图；d）支持对多个信创云平台的云主机、云存储、云网络的统一管理；e）应支持管理多个信创云平台的存量云主机资源；f）支持统一配额管理。5.7.2.2 统一用户管理 统一用户管理应满足以下条件：a）支持对接各信创云平台的用户体系；b）支持统一用户的生命周期管理；5.7.2.3 统一运维管理

48、 统一运维支持对多个信创云平台的物理主机和云主机的日常运维工作，应满足以下要求：a）支持文件上传，下载，删除，查询等操作；b）支持操作回溯，事后审计回放；c）支持指令记录、会话回溯；d）支持记录用户操作日志；e）支持运维策略，对运维管理员，运维时段，运维权限，授权主机灵活配置。5.7.2.4 统一监控管理 统一监控管理支持对多个信创云平台的物理主机和云主机的监控告警，应满足以下要求：a）支持对物理主机跟云主机的统一监控；b）支持对不同资源设置不同告警规则，监控项，监控频率，告警阈值，通知类型等灵活配置；c）支持对所有监控对象的告警数量、告警等级进行统计；d）支持监控客户端在物理主机或者云主机上

49、自动部署。5.7.2.5 平台容错及高可用管理 a）多云管理平台的服务自身支持高可用部署，高可用部署最小支持两个管理节点。一个节点的服务出现异常，不影响用户使用云管理平台的服务；b）支持底层物理主机重启之后，多云管理平台能自动恢复；c）支持多云管理平台容器化部署。5.7.2.6 平台安全管理 多云管理平台安全管理应满足以下条件：a）多云管理平台生成的数据中的密码项等敏感数据，使用 SM3 杂凑算法进行哈希；b）多云管理平台支持单向认证的国密 HTTPS 方案和国密 CA 证书，客户端支持信创浏览器。5.8 云安全资源 针对云平台的南北向和东西向流量安全防护和安全审计，对业务流量进行 L2L7

50、层全面的安全防护，保障云平台满足中华人民共和国网络安全法的安全合规要求。5.8.1 身份安全 a）整个生命周期内用户的身份标识应具备唯一性；b）具备两种及以上的身份鉴别措施，如用户名密码、短信验证、国密 Ukey、生物特征识别等；c）提供统一的用户、权限管理模块实现访问控制功能，并依据安全策略控制用户的访问权限；d）仅允许授权的管理员配置访问控制策略，并根据访问控制策略限制用户对资源的访问权限；e）对云平台的管理须创建安全可信的访问通道，提供身份安全管理、数据安全存储、行为管控和审计、文件标志识别和管控、恶意代码防护等功能。5.8.2 云平台基础安全 5.8.2.1 物理主机安全 a）物理主机