XXX云平台规划方案-2017 本文关键词:规划,方案,平台,XXX
XXX云平台规划方案-2017 本文简介:目录1方案整体规划21.1整体拓扑21.2设计依据21.3方案描述42网络部分规划72.1网络拓扑72.2设计依据72.3方案描述112.3.1物理交换网112.3.2云平台虚机网络113计算及存储规划163.1平台拓扑163.2设计依据163.3方案描述183.3.1弹性与自动化的基础设施183.
XXX云平台规划方案-2017 本文内容:
目录
1方案整体规划2
1.1整体拓扑2
1.2设计依据2
1.3方案描述4
2网络部分规划7
2.1网络拓扑7
2.2设计依据7
2.3方案描述11
2.3.1物理交换网11
2.3.2云平台虚机网络11
3计算及存储规划16
3.1平台拓扑16
3.2设计依据16
3.3方案描述18
3.3.1弹性与自动化的基础设施18
3.3.2按需服务,平台交付18
3.3.3敏捷的IT服务水平19
3.3.4简化管理,智能统一运维19
3.3.5硬件故障无害化,保障业务连续19
3.3.6计算虚拟化需求20
3.3.7分布式存储21
3.3.8网络虚拟化(SDN)22
4网络安全规划23
4.1方案目标23
4.2设计依据23
4.3等保要求24
4.4方案拓扑28
4.5功能描述28
5运维管理规划31
5.1设计依据31
5.2方案描述31
6附件:功能参数33
1
方案整体规划
1.1
整体拓扑
方案划分为五个功能区:
线路接入区:包含互联网线路,市局、各委办局、采集点等专线接入
网络纵深防御区:包含各种网络安全、审计设备,符合等保3级规范要求
核心交换区:包含万兆核心交换集群及汇聚交换设备
网管、客服区:包含网管平台及客户终端
计算、存储区:包含云计算机平台和分布式存储系统。
1.2
设计依据
传统计算中心观念是根据功能需求的变化实现对应的硬件功能盒子堆砌而构建的,这非常类似于传统软件开发的组件堆砌,被已经证明为是一种较低效率的资源调用方式,而如果能够将整个网络的构建看成是由封装完好、相互耦合松散、但能够被标准化和统一调度的“服务”组成,那么业务层面的变更、物理资源的复用都将是轻而易举的事情。因此提出支撑业务运行的底层基础设施也应当向“面向服务”的设计思想转变,构造“面向服务的数据中心”(Service
Oriented
Data
Center
SODC)。
具体而言SODC,应形成这样的资源调用方式:底层资源对于上层应用就像由服务构成的“资源池”,需要什么服务就自动的会由网络调用相关物理资源来实现,管理员和业务用户不需要或几乎可以看不见物理设备的相互架构关系以及具体存在方式。SODC的框架原型如下所示:
在图中,隔在基础架构和用户之间的“交互服务层”实现了向上提供服务、向下屏蔽复杂的物理结构的作用,使得网络使用者看到的网络不是由复杂的基础物理功能实体构成的,而是一个个智能服务——安全服务、移动服务、计算弹性服务、分布式存储服务等,至于这些服务是由哪些实际存在的物理资源所提供,管理员和上层业务都无需关心,交互服务层解决了一切资源的调度和高效复用问题。
SODC构成的数据中心IT架构必将是整个数据中心未来发展的趋势,虽然实现真正理想的SODC融合的架构将是一个长期的历程,但在向该融合框架迈进的每一步实际上都将会形成对网络灵活性、网络维护、资源利用效率、投资效益等方面的巨大改善。因此本次数据中心的建设规划,要求尽可能的遵循如上所述的新一代面向服务的数据中心设计框架。
在基于SODC的设计框架下,规划的新一代数据中心应实现如下设计原则:
l
简化管理:
使上层业务的变更作用于物理设施的复杂度降低,能够最低限度的减少了物理资源的直接调度,使维护管理的难度和成本大大降低。
l
高效复用:
使得物理资源可以按需调度,横向无限扩展,物理资源得以最大限度的重用,减少建设成本,提高使用效率。即能够实现总硬件资源占用量降低了,而每个业务得到的服务反而更有充分的资源保证了。
l
策略一致:
降低具体设备个体的策略复杂性,最大程度的在设备层面以上建立统一、抽象的服务,每一个被充分抽象的服务都按找上层调用的目标进行统一。
1.3
方案描述
SODC架构是一种资源调度的全新方式,资源被调用方式是面向服务而非像以前一样面向复杂的物理底层设施进行设计的,而其中交互服务层是基于服务调用的关键环节。
l
网络整合
SODC要求将数据中心所需的各种资源实现基于网络的整合,这是后续上层业务能看到底层网络提供各类SODC服务的基础。
数据中心网络所必须提供的资源包括:
智能业务网络所必须的智能功能,比如高可靠性、多台交换设备虚机化、安全访问控制、设备智能管理等等;
统一整合数据中心的三大资源网络:高性能计算网络;存储交换网络;数据应用网络。这三类资源的整合将是检验新一代数据中心网络SODC能力的重要标准。
因此本方案中的“核心交换区“是由两台高端核心交换设备,虚机为一台交换设备,统一对外提供数据交换、存储交换接入能力。
l
计算、存储整合
SODC要求将数据中心所需的各种计算、存储实现统一整合和交付,上层业务不需考虑底层计算资源和存储资源的物理结构。只需根据业务系统划拨使用,底层计算和存储动态实现资源按需使用,动态扩展,数据安全等。
本方案中的“计算、存储区“是由统一整合计算和存储的云平台来实现,云平台由多台高端定制化的硬件服务器配合云系统来实现:
l
集中管理:云平台提供了集中管理能力,从而对计算、存储资源的统一化及动态化分配和管理。
l
高度可扩展能力:提供了真正意义上的水平扩展能力,没有中心节点,集群的规模可以以数千台服务器为单位。可以按需增加计算资源和存储资源,单个云平台可以管理到超过6万台虚机,从而满足各种规模中心发展的需要。
l
最可靠的平台:云平台从底层就提供了数据的多副本,当服务器出现硬件故障时,云平台可以将该服务器上的负载自动迁移到其他可用的服务器上,保障应用负载在硬件失败时自动恢复。平台内部的物理网络都是双冗余配置,以确保物理网络连接的高可用。云计算平台还使用SDN等网络虚拟化技术,构建高可用的虚拟用户网络。云平台通过使用分布式文件系统,构建统一的存储池,提供包括实时异地多副本和硬盘快照等功能,
保证用户数据的安全可靠。
在应用服务方面,云平台提供虚拟的负载均衡器。负载均衡器把用户请求转发到多台应用服务器上,
一旦某台应用服务器失败,
负载均衡器可以把失败的应用服务器隔离,但对用户请求仍然可以由其他的应用服务器提供。·达到高可用性、负载平衡的运行环境。
l
动态资源调整:云平台的计算、存储、网络等资源的物理位置及底层的基础架构对于用户来说是透明和不相关的。
通过虚拟化技术可以实现硬件资源的整合池化,
云平台所分配的计算、存储和网络资源都可以根据需要动态地调整,从而达到整个云计算平台资源的平衡,
最合理地利用硬件计算资源,
提高IT资源的整体使用率。
l
易用性:云平台提供了一个统一的、易用的访问门户以及手机客户端,用户在云平台上申请自己所需的服务(功能)与所需的硬件资源。直观的访问界面和操作提示减少用户培训时间,减少了二次学习时间。
l
安全的平台:
云平台从多角度提供了数据安全,不仅是私有网络的二层隔离,角色授权、操作日志、访问日志等机制全方位保护云平台的安全性。更和业界领先的云安全厂商合作,整合更专业的安全组件。
2
网络部分规划
2.1
网络拓扑
核心交换集群:采用两台高端交换设备进行虚机化集群,由两台交换机虚机为一台高性能、高可用性、高负载能力交换机对象,提供万兆网络和存储接入服务。汇聚交换机和云平台节点服务器均使用10G光纤链接核心交换集群。
2.2
设计依据
数据中心的设计需要综合考虑客户需求和技术成熟度(包括网络技术,节能技术和行业标准等)因素。
?
客户需求
数据中心的客户需求包括客户的业务战略需求,应用部署需求,网络管理需求和成本需求等多方面。
l
业务战略需求:包含客户业务发展战略对数据中心网络的需求,如未来几年内随着业务发展,对网络的容量、性能及功能产生的新需求。
l
应用部署需求:包含应用软件系统、服务器和存储设备对网络性能和功能的需求。
l
网络管理需求:数据中心网络除了支持自身的管理外,还是服务器、存储盘阵和其他应用系统的管理运行平台。各系统的日常管理、控制指令都需要通过网络提供的管理平台发布和执行。
l
成本需求:数据中心网络规划应充分考虑机房环境,投资回报和维护成本问题。在综合布线,供电和制冷规划时参照绿色节能的理念,降低数据中心整体能耗,提高能源效率。
?
技术趋势
近两年随着数据中心的大规模建设,数据中心网络技术快速发展。下图为目前数据中心设计技术发展趋势。
数据中心网络所处的整合、虚拟化和云计算三个阶段相互区别,但并非简单换代关系。
l
整合阶段:本阶段偏重资源整合,网络性能要求低,业务分区物理独立,业务较固定。
l
虚拟化阶段:该阶段的网络设计承前启后,能够提供较好的业务灵活性,使传统数据中心结构得以延续。
l
云计算阶段:该阶段数据中心的网络设计要求资源能够灵活调度,性能高,物理和逻辑分区界限模糊化且资源灵活按需使用。
数据中心网络规划设计应该以现有网络架构为基础采用阶段化策略,逐步建立稳健、可持续运行的网络架构。数据中心网络设计人员还需要考虑以下几个要素:
l
数据中心机房的物理布局:包括基础设施配备限制,物理空间使用,机房部署和布线空间等制约条件。
l
数据中心现有网络的现状:通常现有的网络是根据实际情况发展出来的,必须对网络现状进行具体分析,才能设计规划出适合的数据中心网络。如某些专有系统对网络有特殊要求,数据中心网络必须满足,有些系统运行管理流程的要求,数据中心网络也必须满足。
l
数据中心的行业标准:设计数据中心网络时必须支持相关的行业标准,如TIA942布线标准、IEEE的各种接口标准,网络距离限制都需要尽量满足,以适应未来数据中心的运行管理和业务扩展。
?
设计原则
数据中心网络设计遵循以下设计原则:
l
发展阶段
目前的建设阶段为“云平台”建设。
l
模块化
考虑到业务的调整及发展,网络结构和系统结构设计模块化、易于扩展。
l
高可靠
网络设计中采用冗余网络设计,实现关键设备、链路冗余;关键设备选用高可靠性产品,可实现单板、模块热拔插、控制模块设计冗余、电源冗余;减少网络层级,简化网络结构,从网络架构上提高可靠性。
l
安全隔离
数据中心网络应具备有效的安全控制。按业务、按权限进行分区逻辑隔离,对特别重要的业务采取物理隔离。
以服务器为中心的业务、IP存储备份、管理网络等多个网络进行逻辑隔离,管理网络采取物理隔离。
l
可管理性和可维护性
网络应当具有良好的可管理性。为了便于维护,应尽可能选取集成度高、模块可通用的产品。
2.3
方案描述
2.3.1
物理交换网
核心交换集群:采用两台高端交换设备进行虚机化集群,由两台交换机虚机为一台高性能、高可用性、高负载能力交换机对象,提供万兆网络和存储接入服务。汇聚交换机和云平台节点服务器均使用10G光纤链接核心交换集群。
2.3.2
云平台虚机网络
网络虚拟化以软件方式完整再现了物理网络。虚拟网络不仅可以提供与物理网络相同的功能特性和性能保证,而且还具有虚拟化的运维优势和硬件独立性,包括快速调配、无中断部署、自动维护等。网络虚拟化将逻辑网络连接设备和服务(逻辑端口、交换机、路由器、防火墙、负载平衡器和VPN等)提供给已连接的工作负载。应用在虚拟网络上的运行与在物理网络上完全相同。使用SDN技术,实现网络控制平面和转发平面的分离,由此提供更友善、更强大的网络配置和控制能力。
云平台通过网络软件定义(SDN)技术实现虚拟网络的编程控制和网络功能虚拟化(NFV)。云平台提供了两种组网方式:基础网络和私有网络。前者是一个由QCMS维护的全局网络,后者是基于VXLAN协议由用户自行管理和定义的网络。
2.3.2.1
私有网络
虚拟私有网络(VPC)是云平台环境内可以为用户预配置出的一个专属的大型网络。在VPC网络内,您可以自定义IP地址范围、创建子网,并在子网内创建主机/数据库/大数据等各种云资源。私有网络之间是100%隔离的,以满足对安全的100%追求。
私有网络类似物理世界中使用虚拟交换机(L2
Switch)将多台服务器连接在一起,组成的局域网。虚拟路由器用于多个受管私有网络之间互联,并提供多项附加功能:DHCP、端口转发、VPN、隧道服务和访问控制,涵盖了常用的网络配置与管理工作。当用户使用多台主机工作时,通常会让不同功能的主机分布在不同的子网里,例如:Web服务器和DB服务器因为访问要求的不同而被分配在不同的子网里。提供的私有网络功能帮助用户轻松完成组网工作,针对上述案例,只需将Web服务的主机和DB服务的主机放置在不同的私有网络里即可。
私有网络的节点通讯从传统树形结构变成网状结构,所有节点之间进行点对点直接通讯,提高了节点间通讯的性能。私有网络之间的通讯不在依赖单个虚拟路由器,而是通过分布式网关实现。提高了私有网络之间通讯的效率,也提高了单个路由器可以接驳的私有网络数目。
一个私有网络可以连接254个子网(Vxnet),且最多可以容纳60,000台虚拟主机。通过分布式路由器和虚拟直连技术,云平台的VPC网络可以在大规模部署的情况下,保障网络集群的高性能和高可用。VPC网络也可以实现和公网Internet的高效互通,任意一台VPC网络管理的主机都可以直接绑定EIP;同时,负载均衡器也可以直接连接VPC网络内的主机。
在VPC网络里,管理路由器只负责VPN/隧道/DNS/端口转发等管理功能,以及这些管理流量的转发和路由,不再处理子网之间的转发流量。VPC网络内的主机可以绑定自己的EIP;设置专属的防火墙,这些IP、防火墙与管理路由器之间没有隶属关系。
2.3.2.2
自管网络
如果云提供的路由器功能无法满足您对网络管理的需求,您可以创建自管私有网络,以自行配置和管理该网络。
一个云主机可以加入多个自管网络,每个自管网络对应云主机的一块虚拟网卡:
从操作系统角度可以看到系统有4个网卡,eth0对应到受管网络,eth1~3对应到3个自管网络smn1,smn3和smn2。手工可以修改自管网络的网络配置。如eth1被修改为192.168.1.10。
此时如有其它云主机也加入到smn1自管网络且设置ip到同一个网络,则两个云主机可以相互ping通。
2.3.2.3
网络功能虚拟化
通过软件定义网络实现了网络功能虚拟化,提供了虚拟负载均衡、虚拟防火墙功能。
虚拟负载均衡器可以将来自多个EIP地址的访问流量分发到多台主机上,并支持自动检测并隔离不可用的主机,从而提高业务的服务能力和可用性。
同时,你还可以随时通过添加或删减主机来调整你的服务能力,而且这些操作不会影响业务的正常访问。
负载均衡器支持HTTP/HTTPS/TCP
三种监听模式,并支持透明代理,可以让后端主机不做任何更改,直接获取客户端真实IP。
另外,负载均衡器还支持灵活配置多种转发策略,实现高级的自定义转发控制功能。
同时,提供的虚拟防火墙来保护网络的访问。云的虚拟防火墙采用的是分布式防火墙技术,就是利用每个计算节点物理主机的IPTABLES,把所有计算节点组成了一个分布式的防火墙。为每个用户提供了一个缺省防火墙,我们也可以自建更多的防火墙。不同的云服务器可以被设置不同的防火墙策略。
2.3.2.4
物理组网
由于不仅需要支持虚拟机之间高速的通信,还要支撑完成多份实时副本的工作,为保证整个平台的性能,我们规划云平台的支撑网络应该规划为万兆(10Gb/s)网络,。
在云计算管理平台对于网络设备的使用都只当为二层(链路层)设备来使用,物理网络设备只是解决连通性问题,无需使用任何三层(网络层)的协议。这样的好处是在确保性能最优的前提下,无需复杂的配置,无论是工程实施,还是后期维护,工作量都大大减少了;同时系统的构建不用依赖任何厂家的网络产品,再也没有厂商锁定的困扰。
3
计算及存储规划
3.1
平台拓扑
整个云平台由:控制节点、对象存储网关节点、计算、分布式存储节点、对象存储节点构成。
3.2
设计依据
从技术架构来看,云计算出现之前的数据中心大多采用“竖井式”的应用开发部署方式,无论是机房基础设施,还是网络资源、存储资源、计算资源等都采用专业化维度的部署管理,对于应用软件投产、数据分布及备份采用按应用系统“一事一议”的方式部署。这种各个系统部件、应用紧耦合的维护、变更模式流程较为复杂。数据中心普遍通过在ServiceDesk中采用专门的变更、问题流程管理功能协调各专业部门的工作流。随着业务的发展,数据中心在一定程度上出现了IT资源局部富余但整体紧张的现象。
数据中心为了更好的管理既有业务系统,同时提升IT系统的运行效率,规划采用云数据中心方式对业务系统提供统一的IT能力服务平台。
另一方面,考虑到数据中心未来长期的云计算平台建设策略,建议规划整体的云计算建设路线图,并对当前的基础架构云进行详细设计。
云数据中心平台的建设,应该考虑到的设计原则为:
n
可管理性原则
系统架构中应提供集成、统一的软硬件管理功能,满足各种日常的管理需求,适应新一代数据中心管理快捷、方便的特点
n
开放性原则
架构必须能够满足自身的稳定性,同时具有集成的异构兼容性,在满足新的业务需求同时不需要对架构进行重新设计或对现有架构重大修改。
n
可扩展性原则
可扩展性是指未来应用系统的业务量增加时,资源能够自动扩展以适应更多用户、更多的业务处理及存储能力。
n
安全性原则
系统架构必须是能够提供认证、访问控制能力的环境,以确保业务关键信息的完整性、保密性
。
n
适度性原则
结合自身需求,
资源以满足目前要求为基准,并适度前瞻。
n
持续性原则
IT架构设计应该具有持续性,满足目前要求并可持续扩展,持续优化。
3.3
方案描述
云计算平台的建设是分阶段、分步来实施的,并且伴随业务访问量和对存储空间、存储性能的要求,还可对本项目云平台进行水平扩展,本项目规划由:控制节点、对象存储网关节点、计算分布式存储节点、对象存储节点构成。本次数据中心的基础架构云的建设可达成以下预期目标:
3.3.1
弹性与自动化的基础设施
通过建设软件定义的数据中心,实现能以按需方式,通过网络,方便的访问数据中心的可配置计算资源共享池(比如:网络,服务器,存储,应用程序和服务)
。同时以最少的管理开销,完成自动化迅速配置提供或释放资源,应对不确定以及海量的访问压力时提供足够的计算资源。
3.3.2
按需服务,平台交付
统一便捷的服务提供能力与集成能力,为资源使用者提供标准化的服务目录与资源申请、管理平台,使其可以方便的连接到云计算平台,申请所需服务与资源,并便捷的进行管理。降低对于人工配置和流程的依赖,在满足总体管理需求的前提下提升服务水平。
3.3.3
敏捷的IT服务水平
不仅满足服务器资源池化的需求,同时对存储、网络、数据库、缓存等关键组件都实现软件定义和标准的服务提供能力,将物理资源转化为逻辑资源,利用模版化、API、秒级交付、批量构建等手段,加速IT资源的供给速度,提高服务水平。
3.3.4
简化管理,智能统一运维
通过云计算管理平台,实现对资源的统一化及动态化分配和管理。将多组服务器、网络和存储通过软件定义技术,
将其作为一个超大规模的集群进行统一管理,可以对其进行资源的动态分配和调整及回收,
提高管理效率,并通过安全设置可以保证虚拟资源的安全性和独立性。
3.3.5
硬件故障无害化,保障业务连续
通过其高可用设计,可以实现最可靠的运算平台。将任何一台服务器的失败,
云计算管理平台都可以自动发现,
并把失败的服务器从可用服务器列表中剔除,从而保证任意时间用户请求的计算资源都是建立的可用的服务器之上。同时,
将该服务器上的负载自动迁移到其他可用的服务器上,保障应用负载在硬件失败时自动恢复。
同时方案提供各种应用、数据的备份机制(高连续性服务),可实现应用层面的多节点负载、快照、HA,数据节点的3副本的备份机制,提供多种安全保障功能,解决业务的意外中断和数据丢失困扰。
同时实现网络的冗余配置,以确保物理网络连接的高可用。使用SDN等网络虚拟化技术,构建高可用的虚拟用户网络。使用分布式文件系统,构建统一的存储池,提供包括实时异地多副本和硬盘快照等功能,
保证用户数据的安全可靠。
在应用服务方面,
提供虚拟的负载均衡器,把用户请求转发到多台不同物理宿主的应用服务器上,
一旦某台应用服务器失败,
负载均衡器可以把失败的应用服务器隔离,
但对用户来讲,其请求仍然可以由其他的应用服务器提供。达到高可用性、负载平衡的运行环境,保障业务连续。
3.3.6
计算虚拟化需求
计算虚拟化是指通过虚拟化技术将一台物理计算机虚拟为多台逻辑计算机。在一台物理计算机上同时运行多个逻辑计算机,每个逻辑计算机可运行不同的操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。
虚拟化使用软件的方法重新定义划分IT资源,可以实现IT资源的动态分配、灵活调度、跨域共享,提高IT资源利用率,使IT资源能够真正成为社会基础设施,服务于各行各业中灵活多变的应用需求。
计算虚拟化的功能及技术需求如下:
?
采用目前主流的KVM全虚拟化技术,应支持不重启主机动态升级KVM版本;
?
支持计算资源虚拟化,形成分布式计算资源池。虚拟化效率不小于99.95%;
?
支持计算设备“一虚多”。同一台物理主机上同时支持多种操作系统,或是相同操作系统的不同版本。分区与分区之间相互独立,互不影响;
?
支持资源的动态调配与弹性可伸缩。资源池具备各级资源的按需获取功能,提高资源消费者的可用性、容错与扩展能力。资源响应的速度应达到秒级。
?
支持虚拟机的在线和离线迁移;
?
支持虚拟机系统自动批量部署,一次同时部署的规模能达到200台虚拟机。
3.3.7
分布式存储
分布式存储系统,是将数据分散存储在多台独立的设备上。传统的网络存储系统采用集中的存储服务器存放所有数据,存储服务器成为系统性能的瓶颈,也是可靠性和安全性的焦点,不能满足大规模存储应用的需要。分布式网络存储系统采用可扩展的系统结构,利用多台存储服务器分担存储负荷,它不但提高了系统的可靠性、可用性和存取效率,还易于扩展。
分布式存储系统不仅为虚拟主机提供块存储也为对象存储提供存储能力。同时分布式存储系统提供数据的多(3)个实时副本,保证用户数据的安全。
分布式存储系统的功能及技术需求如下:
n
支持增量扩容和自动数据平衡能力,允许用户定制数据分布策略;
n
架构避免固定的集中控制点,且各节点能自动进行故障监测、切换以及数据迁移;
n
具备高可扩展性,可支持上亿个文件和PB以上量级的文件存储;支持不重启系统,增加物理服务器后自动扩容;
n
在不依赖SAN
n
基于SAS硬盘的虚拟存储IO性能不小于120MB/s,,基于SSD硬盘的虚拟存储IO性能不小于300MB/s。
n
应采用Shared-nothing架构设计,支持1万以上用户并发读写,支持1000台以上物理服务器集群。
3.3.8
网络虚拟化(SDN)
网络虚拟化完整再现了物理网络。虚拟网络不仅可以提供与物理网络相同的功能特性和性能保证,而且还具有虚拟化的运维优势和硬件独立性,包括快速调配、
无中断部署、自动维护等。网络虚拟化将逻辑网络连接设备和服务(逻辑端口、交换机、路由器、防火墙、负载平衡器和VPN等)提供给已连接的工作负载。应用在虚拟网络上的运行与在物理网络上完全相同。使用SDN技术,实现网络控制平面和转发平面的分离,由此提供更友善、更强大的网络配置和控制能力。
网络虚拟化和SDN的功能及技术需求如下:
n
采用软件+硬件方式,通过软硬件集成实现SDN,灵活调度与管理虚拟网络,并实现已应用为中心的基础架构;
n
通过SDN技术实现网络虚拟化,构建网络资源池;
n
支持虚拟私有网络,私有网络间要100%二层网络隔离,支持不同用户自由使用网络资源;
n
支持虚拟路由器,虚拟交换机,虚拟防火墙,虚拟负载均衡器,可以按需配置网络逻辑拓扑;
n
通过SDN实现DHCP,端口转发,隧道服务,VPN接入服务和过滤控制服务;
n
支持通过SDN功能实现机房间通过网络安全隧道(IP-Sec)联通。
4
网络安全规划
4.1
方案目标
充分解读网络安全等级保护相关政策和标准,全面提升网络安全防护能力,应对新威胁、新应用下的安全威胁,利用云端安全服务、云防护的创新技术理念与技术落地,实现对网络安全的智能统一管理,并达到国家网络安全等级保护的相关标准与要求。
4.2
设计依据
l
中办[2003]27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》
l
四部委于2004年9月15日发布公通字[2004]66号《信息安全等级保护工作的实施意见》
l
四部委2007年06月17日发布(2007)公通字43号《
信息安全等级保护管理办法》
l
GB/T
22239.1
信息安全技术
信息安全等级保护基本要求
第1部分:安全通用要求
l
GB/T
22239.2
信息安全技术
信息安全等级保护基本要求
第2部分:云计算安全扩展要求
l
GB/T
31167-2014
信息安全技术
云计算服务安全指南
l
GB/T
31168-2014
信息安全技术
云计算服务安全能力要求
4.3
等保要求
l
对标新等保的第三级安全通用要求。
l
“物理和环境要求”不在本方案的撰写范畴。
网络和通信安全
网络架构
链路负载
防火墙
数据库审计
运维审计堡垒机
WEB防火墙
漏洞扫描
抗DDOS攻击
通信传输
防火墙
边界防护
防火墙
运维审计堡垒机
访问控制
防火墙
入侵防范
IPS
数据库审计
WEB防火墙
抗DDOS攻击
恶意代码防范
防火墙
防病毒网关
安全审计
防火墙
数据库审计
运维审计堡垒机
日志审计
WEB防火墙
漏洞扫描
抗DDOS攻击
集中管控
防火墙
漏洞扫描
抗DDOS攻击
设备和计算安全
身份鉴别
防火墙
虚拟化安全
数据库审计
运维审计堡垒机
WEB防火墙
抗DDOS攻击
访问控制
防火墙
虚拟化安全
数据库审计
运维审计堡垒机
WEB防火墙
漏洞扫描
虚拟化安全
数据库审计
运维审计
日志审计
WEB防火墙
漏洞扫描
抗DDOS攻击
入侵防范
虚拟化安全
WEB防火墙
抗DDOS攻击
恶意代码防范
虚拟化安全
虚拟化安全
数据库审计
运维审计堡垒机
WEB防火墙
抗DDOS攻击
应用和数据安全
身份鉴别
数据库审计
运维审计堡垒机
数据库审计
运维审计堡垒机
WEB防火墙
数据库审计
运维审计堡垒机
日志审计
软件容错
数据库审计
运维审计堡垒机
WEB防火墙
资源控制
数据库审计
运维审计堡垒机
数据备份恢复
数据库审计
运维审计堡垒机
WEB防火墙
个人信息保护
数据库审计
运维审计堡垒机
安全运维管理
漏洞和风险管理
漏洞扫描
4.4
方案拓扑
4.5
功能描述
产品名称
产品描述
产品形态
数量
单位
场景及配件选型
链路负载
集多线路智能选路和多链路相互备份,保障网络连通
硬件
2
网络和通信安全
虚拟化安全
提供针对虚拟化平台的一站式的包含防病毒、IPS、WEBSHELL、主机防火墙的防护。
软件
1
应用和数据安全+设备和计算安全
抗DDOS
抗拒绝服务攻击系统支持多维度的数据分析功能,提供基于攻击主机、攻击类型、流量分析、性能分析、连接分析、数据报文捕捉等多种数据分析。
2
网络和通信安全
智慧防火墙
为各行业网络出口打造的“云+端+边界+联动”下一代安全防御体系
硬件
2
网络和通信安全+设备和计算安全
WEB防火墙
利用大数据分析技术,提升用户“精准发现”其网络中威胁的能力,需捆绑安服销售
硬件
2
网络和通信安全
VPN
满足网外用户的远程接入
硬件
1
网络和通信安全
IPS
检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警
硬件
2
网络和通信安全+设备和计算安全
数据库审计
从保障数据库应用安全的角度进行设计,以网络数据捕获能力、数据库协议解析、事件关联分析为基础,可以精准识别数据库操作以及采取各种响应行为
硬件
1
应用和数据安全+设备和计算安全
运维审计堡垒系统
基于软硬件一体化设计,集账号、认证、授权、审计为一体的设计理念,实现对事企业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计
硬件
1
应用和数据安全+设备和计算安全
日志审计
满足各个行业及单位对合规性要求的日志审计
软件/硬件
1
网络和通信安全+应用和数据安全+设备和计算安全
漏洞扫描
由系统扫描、Web扫描、弱口令破解、配置指标检查于一体化的专业安全产品
硬件
1
安全运维管理
5
运维管理规划
5.1
设计依据
结合国内外信息化管理平台发展特点,针对信息化现状和用户实际需求,自动智慧运维平台主要从以下两个方面进行建设:
l
建设全面的基础设施管理
本次管理平台需要提供全面的基础设施管理,这些管理内容包括网络设备、网络安全设备、服务器、存储设备、数据库、中间件、标准应用等。在管理设备的基础上还包括对服务器硬件管理、进程管理等内容。通过全面的基础设施管理,能够建设一个具备全面和精细的管理平台。
l
建设自动智慧运维管理平台
全面基础管理之上,通过自动学习,跟踪设备运行状态,自动建立设备“健康档案”。依据设备的运行状态学习,建立全面的数据基线,基于自动运维理念,自动对设备的运行异常进行提醒。异常提醒的同时还同步给出操作建议。整个系统还能做到开放运维,可以将用户的运维经验通过智能策略的方式加入到运维管理平台,更好满足“私人定制”系统的要求。
5.2
方案描述
具体建设内容如下:
u
系统平台,包括管理平台、智能运维引擎和多用户支持引擎。
u
网络管理,包括网络设备管理、网络拓扑管理、网络性能管理等内容。
u
应用管理,包括服务器管理、数据库管理、中间件管理和标准应用管理,建设系统拓扑图、主机日志管理等内容。
u
存储管理,包括对存储设备(磁盘阵列、光纤交换机等)的设备状态、性能管理,以及各个磁盘、控制器的状态监管,并提供存储容量分析策略,实现主动分析,透明化监控;
u
告警管理,包括建设设备运行基线、异常提示、处置经验管理和智能巡检等内容。
u
报表管理,包括网络管理、应用报表等方面各类运行报表、故障报表等统计信息。