失眠网 > 217页12万字某智慧城市政务云平台项目建设方案

217页12万字某智慧城市政务云平台项目建设方案

时间：2023-10-04 15:37:14

1项目总体概述6

1.1项目建设背景6

1.1.1政策背景6

1.1.2技术背景7

1.1.3业务背景10

1.2项目建设依据11

1.2.1编制依据文件和要求11

1.2.2参考的规划、标准规范等12

2项目建设需求16

2.1项目建设目标16

2.2项目建设内容17

2.3项目建设要求18

2.3.1基础设施服务建设18

2.3.2信息安全服务建设18

2.3.3运行保障服务建设19

2.3.4业务应用支撑建设19

3平台建设方案20

3.1总体建设原则20

3.2总体方案设计21

3.2.1方案设计思路22

3.2.2总体架构设计23

3.3资源池建设方案24

3.3.1资源池总体规划24

3.3.2计算资源池建设25

3.3.3存储资源池建设26

3.3.4网络资源池建设28

3.4设备配置方案30

3.4.1服务器配置清单30

3.4.2网络设备配置清单32

3.4.3安全设备配置清单32

3.5信息安全保障方案37

3.5.1安全法规要求37

3.5.2总体安全规划38

3.5.3安全保障设计39

3.5.4安全运维管理49

3.6应用部署和迁移方案58

3.6.1应用部署规范58

3.6.2应用迁移规范62

3.6.3应用迁移方案65

4平台产品方案81

4.1私有云平台产品简介81

4.1.1产品概述81

4.1.2产品架构82

4.1.3产品特性87

4.1.4技术架构特性88

4.1.5应用场景93

4.1.6交付模式94

4.1.7术语解释95

4.2平台部署架构96

4.2.1集群节点96

4.2.2硬件选型105

4.2.3机柜规划(示例)107

4.3产品功能架构108

4.3.1虚拟化核心108

4.3.2复用公有云150

4.3.3核心功能概念150

4.3.4虚拟机153

4.3.5云硬盘165

4.3.6私有网络168

4.3.7外网IP173

4.3.8NAT 网关177

4.3.9负载均衡182

4.3.10弹性伸缩189

4.3.11定时器192

4.4平台灾备方案193

4.4.1本地灾备193

4.4.2异地灾备服务194

4.4.3公有云灾备服务196

4.4.4两地三中心灾备服务199

4.4.5灾备网络架构203

4.4.6灾备切换204

5项目实施方案206

5.1项目建设周期206

5.2项目组织保障206

5.2.1领导和管理机构206

5.2.2项目实施机构207

5.2.3运行维护机构208

5.3项目培训方案209

6项目风险及控制措施210

6.1项目风险概述210

6.2风险标识210

6.3风险估算210

6.4风险评价与管理210

6.5项目实施的外部风险与控制措施211

6.5.1风险识别211

6.5.2控制措施211

6.6项目实施的内部风险与控制措施211

6.6.1风险识别211

6.6.2控制措施212

6.7项目长期运行风险与控制措施214

6.7.1风险识别214

6.7.2控制措施214

1.1.1 方案设计思路

1） 基于IaaS云管理平台建设的自动化云数据中心设计

通过计算虚拟化系统建设的数据中心，采用云管理平台进行资源的管理，并提供自助式的云服务，能有效实现企业信息系统的技术标准化和管理规范化，为企业信息系统提供更好的支撑。

云管理平台需要在虚拟化技术的支撑下，对包括计算资源、存储资源、网络资源等在内的基础架构进行管理，实现按需的、自动化的、可计量的对基础架构资源进行分配，同时，实现对资源使用情况和健康情况进行监控和管理。

2） 基于软件定义+网络虚拟化动态灵活的云网融合设计

云数据中心引入服务器虚拟化技术后，对网络要求大二层设计，传统的VLAN技术设计云化数据中心网络存在种种限制，而基于新一代VxLAN技术实现的大二层网络，能够通过在物理网络上叠加一个软件定义的逻辑网络，物理网络不变，通过定义其上的逻辑网络，实现业务逻辑，从而解决传统数据中心的网络问题，极大的节省了用户投资。

软件定义+网络虚拟化实现网络动态感知虚拟机迁移，实现网络策略的动态跟随，真正实现云、网融合。

3） 基于软件定义的信息安全与基础资源动态调度设计

虚拟化和云的引入，形成计算、存储、网络及安全资源池，资源池化后网络边界模糊，需要引入新的技术解决虚拟化环境的隔离能力，并且能够实现资源池的基础资源能够在不同租户间的动态调度能力。

基于软件定义技术，通过将计算资源、存储资源、网络及安全资源分配给不同租户，构成虚拟云平台，虚拟云平台之间可以实现有效的、安全的隔离，使之符合安全等保(等保三级)的要求；并且通过云管理平台能够实现基础资源在不同的虚拟数据中心间灵活调度，真正实现云计算数据中心资源的动态、按需的分配/调度和提供资源。

1.1.1 总体架构设计

1.1.1 总体安全规划

将安全设备资源化，通过防火墙、负载均衡等安全设备的虚拟化功能，形成防火墙池和负载均衡池，组建成中建总部安全能力中心。

基于软件定义的模型，组成安全管理中心，通过软件定义方式，将虚拟化的安全设备分别部署在不同的安全区域的边界，保护用户访问的安全；同时通过安全事件信息的收集和分析，与安全设备（虚拟安全设备）联动，实现智能安全防护。

与云管理平台相结合，根据云管理平台的边界定义，与软件定义控制器实现联动，进而通过安全虚拟化的虚设备部署在虚拟边界，保护虚拟资源的访问安全。

1.1.1.1 物理网络架构

为构建高可用、高可靠、高安全的企业专有云平台，私有云平台平台均采用高可用冗余性设计。本文以标准网络拓扑图为基础进行物理网络架构描述，本架构设计至少需要 6 台万兆交换机、2 台千兆交换机、多台计算&存储节点服务器。若有 IPMI 管理及网络设备管理等需求，可根据需求增加 IPMI 和 Management 交换机并接入网络。

私有云平台平台网络设计为核心、接入二层架构，接入交换机双上联到核心，且按计算业务分集群划分。本架构设计从业务场景上提供公网服务，因此整体业务架构分为内网区域和外网区域两张网络，分别承载云平台内网通信和外网通信，两张网络在网络设备层面物理隔离。

同时标准架构中，通过将用户数据中心的物理网络与云平台【外网区域】物理连接在一起，通过云平台提供的物理 IP 产品，实现平台虚拟机与物理网络进打通的业务场景。

1.1.1 机柜规划(示例)

网络设备和服务器的物理机柜空间规划如下图所示：

所有设备在机柜中对称部署，实现机柜级冗余，单机柜掉电或故障不影响云平台业务。一个机柜可支撑 15 个节点，根据网络架构设计一组接入交换机支撑 45 个节点，即一组接入交换机支撑 3 个机柜。3 个机柜为 1 组，平均 1 组机柜支撑 45 个节点、1 组内网接入交换机、1 组外网接入交换机、1 台 IPMI 接入交换机。

如上图项目案例中的设备包括 8 台业务交换机、4 台运维管理交换机、21 台服务器设备及 3 个机柜：

• 一组内网核心交换机对称部署于 2 个机柜，即其中两个机柜各部署 1 台；

• 一组内网接入交换机对称部署于 2 个机柜，即其中两个机柜各部署 1 台；

• 一组外网核心交换机对称部署于 2 个机柜，即其中两个机柜各部署 1 台；

• 一组外网接入交换机对称部署于 2 个机柜，即其中两个机柜各部署 1 台；

• 一组管理汇聚交换机对称部署于 2 个机柜，即其中两个机柜各部署 1 台；

• 1 台 IPMI 接入交换机和 1 台网络设备带外管理交换机部署于 1个机柜；

• 3 台管理节对称部署于 3 个机柜，即每个机柜各部署 1台；

• 12 台计算 & SATA 节点对称部署于 3 个机柜，即每个机柜各部署 4 台；

• 6 台计算 & SSD 节点对称部署于 3 个机柜，即每个机柜各部署 2 台。

若服务器分集群部署云平台，建议不同集群的服务器对称部署于多个机柜中。

1.1.1.1 弹性网卡

弹性网卡（ Elastic Network Interface, ENI ）是一种可随时附加到虚拟机的弹性网络接口，支持绑定和解绑，可在多个虚拟机间灵活迁移，为虚拟机提供高可用集群搭建能力，同时可实现精细化网络管理及廉价故障转移方案。

• 弹性网卡与虚拟网卡的实现方式相同，区别在于弹性网卡的具有独立的生命周期；

• 弹性网卡支持绑定和解绑，可在多个虚拟机间自由迁移；

• 虚拟机被销毁时，弹性网卡将自动解绑，可绑定至另一台虚拟机使用；

• 一块弹性网卡仅支持绑定至一个虚拟机，一个虚拟机最多可绑定6 块弹性网卡；

• 支持弹性网卡 QoS 控制，提供自定义设置弹性网卡的出/入口带宽；

弹性网卡具有可用区、VPC、子网、IP 及安全组等属性，支持创建、绑定、解绑、绑定安全组、解绑安全组及删除弹性网卡等生命周期管理，有关 VPC 网络

1.1.1.1 VPC 逻辑结构

一个 VPC 网络主要由私有网络网段和子网两部分组成，如下图所示：

（1）私有网络网段

VPC 网络所属的 CIDR 网段，作为 VPC 隔离网络的私网网段。关于 CIDR 的相关信息，详见CIDR 。创建 VPC 网络需指定私有网段，平台管理员可通过管理控制台自定义 VPC 私有网络的网段，使租户的虚拟资源仅使用管理员定义网段的 IP 地址进行通信。平台 VPC 私有网络 CIDR 默认支持的网段范围如下表所示：