云数据中心实施服务方案
招标编号:****
投标单位名称:****
授权代表:****
投标日期:****
第1章 项目简介
1.1项目概述
构建XX市XX项目云服务中心,依托集约化建设策略,运用云计算技术实现资源的统一对接与按需分配,从而节省信息化建设的投入成本,有效降低运行能耗,减少碳排放。此外,这一举措促使数据和业务系统与技术环境剥离,进而提升政府信息化项目的整体构建效能。
受X双公司委托,由XX市双项目中心承担XX项目云服务中心规划和建设,大力推进基于云服务模式下全市XX项目信息系统建设。
1.2项目的关键需求
1.2.1高效网络架构与域策略
1.2.1.1XX项目云平台结构设计
根据XX项目严格的网络安全规范,该项目的网络体系被划分为三个独立的子网:业务专网、互联网接入网以及安全隔离区域,分别对应于XX项目外网业务专网、XX项目外网互联网接入网和XX项目外网安全岛。此次招标的XX项目云平台设计同样遵循这些安全标准,包含三个部分:专网业务云平台(简称专网云),互联网接入网云平台(简称接入网云),以及安全岛云平台(简称安全岛云)。尽管这三者在逻辑架构上保持一致性,但考虑到各平台的资源消耗差异,它们的规模有所区别。为了确保云平台及其承载的网络安全,各云平台间采取了严谨的网络逻辑隔离措施。
为了实现各云平台间的逻辑强隔离,所有的物理设备应依据明确的划分策略,如将特定的三个机柜专设为安全岛云平台专属设施,或者设立单独的隔间供互联网接入网云平台专用,确保资源的有效隔离和管理。
为提升各委局单位的使用便利性,我们将引入一套由采购人提供的云管控平台,旨在实现对云资源的一体化申请与监控。该平台通过技术融合人工干预(如网络切换等方法)的方式,对三个云平台实施有效管理。
1.2.1.2委局专有资源域的设计
委局专属资源领域定义为专供委局专享使用的资源区域,其分类包含两种形式:一是针对特定委局的个性化需求,从XX市XX项目云社会机房和超算云平台中独立划拨专属资源,委局可根据自身实际需要对该专属资源区域进行再分配,以便分发给各个子系统或下辖单位;二是经评估机构认定后,委局可保留并自行管理的部分私有云资源。
第2章项目分析
2.1关键挑战与重要关注点
2.1.1“分区+分层+分平面”的网络隔离需求
网络构建应秉持区域划分、分层组织与模块化的设计原则,旨在提升结构清晰度与功能明确性。这样的设计确保了区域间的独立性,使得区域内部的资源管理更为便捷灵活。以此为导向,总体网络架构设计需考虑以下几个关键维度:
1、逻辑网络架构规划:针对网络服务中数据应用业务的独立性、业务间的交互关联及安全隔离需求,XX项目云平台将网络划分为多个逻辑区域,主要包括:部门业务专网区(涵盖开发测试、等保二级、等保三级和高风险高敏感区域)、XX项目的互联网接入区,以及XX项目外网安全岛(包括运维管理和高安全高敏感区域),旨在实现各业务区域之间的有效隔离与可控访问权限管理。
2、优化网络架构:传统数据网络的典型设计是基于三层架构(核心-汇聚-接入),然而这一模式往往伴随着效率低下、扩展性受限和配置繁琐的问题。针对这些问题,我们的提案引入网络虚拟化和大二层架构。在新的数据中心设计中,我们摒弃了复杂的层级结构,转而采用核心层和接入层合并的扁平二层网络布局。核心交换机被赋予核心与汇聚功能的双重角色,通过网络虚拟化技术,实现了网络拓扑的简化和转发效率的提升,从而显著降低了网络复杂性。
3、平面设计划分:针对XX项目数据中心网络的高效交换需求,我们将网络划分为管理平面、业务平面与存储平面,确保各部分逻辑上实现隔离。业务平面主要服务于租户的业务应用软件通信,而管理平面则专为设备维护、安全系统及运维体系提供支持。存储平面构成一个封闭的私有网络,其内部服务器与存储设备专注于数据传输。这三个网络平面独立运行,单一平面的故障不会干扰其他平面的常规运作。
2.1.2应用系统承载需求的多样性分析
XX项目数据中心支持业务应用运行于华为或业界主流厂商的物理服务器和存储、华为云计算平台和其它的虚拟化平台
,支持对服务器和存储的集中管理。
XX项目的数据中心设计充分考虑了业务应用的多样性,包括处理大规模计算任务的系统、频繁高/0访问的系统、高并发访问场景以及对资源需求一般的系统。针对这些特性,我们灵活采用物理服务器、华为虚拟化平台(或其他供应商的虚拟化方案),配合SAN或NAS存储,以及网络连接技术(如GE或10GE以太网,4G/8G光纤),并运用存储虚拟化技术,确保服务器和存储资源的配置能满足计算、内存、网络I/O和存储I/O的需求。服务器架构划分为表现层、应用层和数据层三个层次,支持物理部署和基于华为云FusionSphere的虚拟化部署策略,以适应不同需求。为了保护用户的现有投资,我们的解决方案兼容业界主流虚拟化平台,如VMware等,展现高度灵活性和兼容性。
存储的总体架构主要是分为IPSAN、FCSAN、NAS和存储虚拟化四种;双项目数据中心支持华为存储和业界主流存储(IBM/HP/EMC/NetApp/HDS);采用华为VIS来支持存储虚拟化,实现存储的统一管理。
对于整个XX项目云平台的核心—“云操作系统”要求具备良好的兼容性,除兼容业界主流的服务器和存储设备外,还要兼容主流的软件如Windows、Linux操作系统、数据库和中间件,且原设备厂家要建有一定规模的兼容性实验室,用以保障后续各局委办业务快速迁移。
在实施业务流程时,我们首先倾向于选用虚拟化平台,以虚拟主机作为首选解决方案。对于那些虚拟主机无法满足需求的应用,我们会适时采用物理服务器予以支持。以下是我们针对各类应用系统的计算平台配置建议。
针对政务客户的多元化业务需求,我们精心设计了全方位的物理主机与虚拟机节点配置方案。
鉴于对内存容量的需求不高,以及对I/O效率和扩展性相对较低的要求,同时考量到节省空间和能源的实用性,我们倾向于推荐虚拟化计算资源作为解决方案。
对于高性能计算,大容量存储,大容量内存和高I0的需求,虚拟化不能满足应用需求,则采用4路
服务器或UNIX服务器等高性能物理主机满足;
对于常规的Web应用程序,其对内存需求、IO性能及扩展性的需求相对较低。推荐选用虚拟主机,这既能节省计算资源,又能缩减机架空间,并进一步降低能源消耗。
为了确保可靠性,存储设备与计算服务器之间应用了多路径技术。
采用网络化的存储架构设计,实现了数据处理与存储的分离。该体系结构将网络的功能延伸至数据存储,显著提升了网络的I/O性能,包括其灵活性的网络地址分配以及远程数据传输的能力。
通过实施存储网络技术,我们成功地消除了不同存储设备与服务器之间的连接难题,从而显著提升了数据的共享性、可用性、扩展性和管理效率。
2.1.3全面的安全保障体系
作为XX市XX项目的核心基础设施,XX云数据中心旨在为市政府各职能部门提供全方位的服务支持。鉴于其服务的特殊性,基础平台必须满足针对该项目的国家级信息安全标准、法规和专业指导。依据国家信息安全等级保护的相关规定,该平台的安全防护策略需从以下几个关键领域构建:机房物理安全、网络安全防护、主机系统安全以及云管理平台的全面保护。通过这一综合设计,确保构建出适应业务运行需求的安全架构,从而有效保障XX项目业务系统的网络和数据在云环境中享有安全稳定的运行环境。
1、安全标准:XX项目云服务中心的机房需严格遵循国家A级安全规范(依据GB50174-2008),涵盖选址策略、环境配置以及严谨的管理措施,确保全面满足安全设计的各项要素。
2、网络保护体系:包括对外联边界的严密防护,对内部安全区域的深入保障,以及内外网络间数据安全的严谨隔离与有效交换,构建全方位的立体防护体系。
1)网络边界的外部防护:特指XX项目云端数据中心与其所在XX市的市级XX项目外网之间的互联安全屏障,该平台着重保障这一关键连接点的防御措施。
2)内部安全域边界:在XX市统一XX项目云数据中心中,可以划分处多个网络安全域,包括多个服务器区、多个接入区、网络与安全管理区等等。这些安全域之间存在着内部边界,为能更加有针对性的对各安全域进行防护,避免跨区越权访问、攻击和病毒传播,需要在不同的边界应采取不同的边界防护措施。
3)确保内外网数据交互安全:项目内部的互联网接入传输数据涉及敏感信息,易遭受非法获取、篡改或销毁的风险。为此,须采取先进技术措施保障数据的机密性、完整性和可访问性。
3、主机安全策略:核心目标在于通过应用信息安全保障手段,确保用户数据在客户端与服务器间的存取过程中的可用性、完整性和保密性。主要涉及主机硬件设施、操作系统(OS)以及应用软件层面的安全需求,具体涵盖:
1)终端设备管理挑战:由于终端分布广泛且难以集中管理,加之操作人员计算机技能各异,终端设备安全管理成为网络管理员面临的关键安全难题。终端设备的泄密风险、未经授权的访问和内部威胁均对数据中心安全构成威胁。同时,终端与服务器系统的补丁维护亦不容忽视。未能及时修补系统漏洞可能导致蠕虫侵袭和恶意攻击。因此,对终端的补丁更新、桌面环境、用户行为、输入输出控制以及病毒防护实施有效管理是必要的措施。
2)保障终端安全:病毒,尤其是蠕虫病毒,对计算环境构成严重威胁,其突发性爆发能迅速蔓延至其他子网,占用宝贵的网络资源——带宽,导致网络性能急剧下滑,甚至可能中断通信,从而严重影响业务的正常运行。因此,实施高效病毒防护措施,遏制其扩散至数据中心全局至关重要。
4、确保XX项目外网云计算平台的安全性:鉴于平台采用了虚拟化和多租户访问等前沿技术措施,其核心关注点在于实现虚拟机的严格隔绝及针对云计算特有安全需求的全面防护。
1)全面虚拟化安全保障:集成代理或非代理模式,确保虚拟环境全方位防护;包含对已关闭虚拟机和模板的受保护扫描,防止因关闭状态下安全策略和补丁更新滞后导致的风险隐患;设计旨在防范虚拟环境中的‘病毒风暴’,实现持续的系统安全维护。
2)云平台安全:如果云管理平台需要数据库的支持,应保护好云管理平台的数据库安全,设置强壮复杂的密码策略、备份数据库和配置相关的网络安全服务;云管理平台的访问许可应加强管理,删除不需要的用户账号;安装云管理平台软件的操作系统需设置安全策略。
3)云平台访问控制安全:用户在访问XX项目云平台资源过程中支持使用数字证书进行身份认证,包括但不限于投标人维护人员、委办局操作人员、市XX项目中心监管人员,且数字证书的介质购买和服务费由投标人提供。
4)确保XX项目外网云计算平台的安全性:鉴于平台采用了虚拟化和多租户访问等前沿技术措施,其核心关注点在于实现虚拟机的严格隔离及针对云计算特性针对性的安全管控。
2.1.4兼容、统一且面向未来导向
本项目的数据中心管理系统设计遵循开放式、可扩展及松耦合的面向服务架构理念,依据数据中心业务需求,精细配置了运营与运维管理组件。其核心模块涵盖运维管理门户、业务运营管理、T服务管理、集中监控管理以及云资源管理,旨在实现高效、灵活的管理效能。
华为的数据中心管理工具依托于其开放性和可扩展性的保证方案,采用了服务导向架构(SOA),并与华为云平台管理紧密结合,融入了业界先进的管理产品,从而实现了对XX项目数据中心运营与运维的高效管理职能。
业务运营与管理
业务管理着重于业务层面的规划与设计,涵盖服务目录、产品管理、服务定价策略以及服务级别管理等关键功能的构建与策划。
运营管理业务板块致力于保障日常运营的顺畅进行,涵盖了业务流程的日常管理和受理工作。
客户自助服务平台致力于支持在线服务订购、便捷访问以及高效服务管理,旨在提升客户的体验与便利性。
T运维与管理
IT服务管理通过整合ITIL框架,明确了并管理系统化流程,同时提供了可定制的流程模板,支持针对特定业务场景进行精细化操作。
XX项目数据中心的IT资源得以全面、整合与统一的监控管理服务支持,实现集中化的监控效能。
借助华为先进的云管理平台,我们实现了资源的自动化部署,并通过整合IT服务管理功能,全面开展变更管理和配置管理工作。
华为提供的统一运维管理门户实现了运营与运维的一体化高效管控,涵盖用户管理、工作台界面、实时监控仪表盘、详尽综合报表以及丰富的知识库功能。
2.1.5云平台与数据的可靠性与可扩展性
对容灾备份存在下面的一些关键需求:
XX项目云平台本身的备份和恢复能力要求
在XX项目云平台的构建中,所有应用的防火墙、交换机、网络安全设备以及服务器和存储系统均需具备高度的可靠性和冗余功能,以确保系统的稳定运行。
本项目云平台特有高可用及动态迁移特性,一旦遭遇物理设备故障,虚拟机能够迅速自动切换至其他备用资源执行,从而保障业务系统的连续运行,免受硬件故障之扰。
云平台XX项目集成高效备份与快照功能,旨在全面保护其中的物理及虚拟服务器,同时具备虚拟化存储池的存储镜像备份能力,有效防范因存储故障可能导致的数据丢失风险。
本项目云平台需确保为委局应用系统的数据备份与恢复功能提供高效支持。
本项目云平台旨在支持委局应用系统的数据备份,包括提供备份介质、配套的备份工具、专用的备份服务器以及全面的备份管理服务。
一、本地备份策略:通过磁带机与虚拟带库、专用备份软件以及中心备份服务器,对本部门的关键应用系统和数据进行驻地级备份保障。
异地同城备份策略:借助磁带机、虚拟带库及高效备份工具,通过光纤网络技术,将相关部门的业务系统与重要数据传输至XX市超级计算中心进行集中存储备份。
可扩展性需求
设计方案应满足数据中心备份的可扩展性要求,以便在备份数据量增长时实现无缝扩容,确保关键数据备份的完整无缺。
2.1.6云平台部署与服务支持
对于XX项目的云平台构建,其本质上是一个严谨的体系性任务,强调对专业实施团队和拥有类似项目丰富经验的原厂或集成商的依赖。这些伙伴需确保项目的顺利实施。随着众多部门和机构的数据迁移,云平台不仅需具备出色的兼容性,而且要求厂商能依托自身拥有的自主知识产权的云操作系统以及针对特定需求的定制化开发能力。因此,本项目对服务提供商的能力提出了以下关键要求:
1、 具有本地化、专业化的服务团队
2、具有丰富国内同类型项目的实施经验
3、自主知识产权的云操作系统平台
4、我司具备为XX项目专属定制的云平台开发实力。
5、熟练掌握并运用V2V和P2V迁移工具,积累了丰富的迁移实践经验。
2.1.7业务迁移的高效执行策略
为了优化XX项目数据中心资源,我们计划将现有业务无缝迁移至云平台,旨在通过此举实现服务器整合,显著提升资源利用效率。在执行业务迁移方案的过程中,我们将严格遵循以下规定:
·制定有效的业务迁移前评估和流程设计
借助成熟的业务迁移工具,确保计算平台间的兼容性并实现无缝迁移。
构建高效且可靠的备份恢复策略,确保业务系统的平稳切换与持续运行。
2.2前瞻性平台优势的洞察
中国联通针对XX市XX项目云项目提供了整体解决方案。本方案涉及的主要部件服务器、接入交换机、汇聚核心交换机、安全产品、存储、虚拟化平台软件、数据中心管理软件,均是同一品牌——华为产品,其产品优点为中国自研,兼容性好,高性能,高可靠,整体交付,伴随专业维护团队支撑等,主要优势如下:
2.2.1高效安全的云计算综合方案
凭借深厚的技术积淀与持续的研发创新,中国联通现已构建起完善的云计算产品矩阵,涵盖了云计算领域的主要基石产品。这些基石产品线具体包括:
1.我们提供种类繁多的计算存储产品,包括从低端到高端的服务器设备、存储设备以及虚拟磁带库等。
2.我们提供多元化的网络设备,包括但不限于核心网络设备、接入网络设备及无线网络设备。
3.自主研制的中国电信级云计算虚拟化解决方案
4.自主研发生动的中国云计算平台综合监控管理系统
5.我们提供种类繁多的安全接入产品,包括高端、中端及低端的防火墙,入侵检测系统,抵御DDoS攻击的防护措施,以及可靠的VPN服务。
6.该数据中心管理软件支持华为虚拟化、网络及安全产品的整合统一管理,通过设计全中文的统一访问平台(Portal),显著提升用户的运维操作便利性。
7.华为自研的服务器、存储及网络设备在虚拟化平台上经过了深度兼容性验证,确保了无缝集成。该平台的优势在于提升性能、实现自动化安装与运维,从而提供优质的服务体验。
依托核心产品的强力支持,我们定制了满足数据中心特定需求的云计算解决方案,其各组件实现无缝协同,以确保解决方案的稳定性、全面性和安全性得以充分保障。
2.2.2创新云计算架构设计
中国联通的云计算架构设计策略深受SOA架构原则影响,其核心目标是基于业务需求定制灵活且可扩展的基础架构T。这种设计强调了业务与IT之间的解耦,以保证架构的适应性,支持业务的多样化发展以及快速响应业务变化。其主要优势体现在以下几个关键方面:
设计方案:基于中国联通系统集成中心在电信行业的深厚经验和丰富的技术积淀,我们的云计算网络方案采纳了前沿的网络设计理念、技术和设备。此举旨在确保数据中心网络结构能够适应长远的业务增长需求,体现电信级别的效能与稳定性。
华为云计算平台的设计方案,凭借自主研发的虚拟化技术,整合了丰富的项目实践经验。该方案经中国联通系统集成中心严谨的IPD开发流程打造,确保了其在先进性与可靠性方面的领先地位。
构建全面的电信级运营管理架构:中国联通云计算管理方案涵盖了网元管理、网络运维、云平台计算资源监管及与业界领先产品的协同服务管理等多个维度,旨在高效满足大规模数据中心的运维管理工作需求,形成了一套完整且先进的数据中心管理体系。
2.2.3全方位数据中心安全策略
针对XX项目的特定业务特性,中国联通构建了详尽的XX项目云数据中心立体安全体系,并为此制定了全面的安全架构解决方案,旨在满足数据中心所有层面的安全需求。
以下虚拟化软件、计算资源池、存储资源池以及网络设备和安全设备均支持灵活实施安全隔离措施,其功能特性包括了按照XX市XX项目云局委部办的要求,实现安全隔离与传输加密功能。
2.2.4全面的一站式数据中心整合方案
中国联通致力于端到端的数据中心集成服务,包括全方位覆盖数据中心建设所需的关键环节。
全系列的服务器,包括机架服务器、刀片服务器、可扩展服务器,同时支持其它厂商和Unix服务器的使用;
完整的存储设备产品线,涵盖高、中、低端
和FCSAN、NAS、虚拟存储、VTL、云存储、光纤交换机、软硬件一体化的存储备份和恢复产品HDP3500E;
我们的全面网络管理产品线涵盖了各类设备,其中包括高端的93系列核心交换机,中端的57系列接入交换机,以及NE系列路由器等。
涵盖全面的安全管理解决方案,包括高端防火墙、中端防护设备(IPS/IDS)、抵御DDoS攻击的防护系统、堡垒机以及远程访问控制等各类安全服务。
功能完善的虚拟化、云操作系统FusionShpere,并提供基于华为云的业务,如虚拟主机出租、云存储、云桌面、基于云的增值服务、联合通讯、面向中小企业的SaaS应用等;
综合的运维管理方案,旨在提升数据中心的功能效益,全面覆盖云环境与非云环境的监控与管理,同时优化运维流程,确保高效运行。
我们积累了丰富的实践经验,涵盖数据中心机房的设计、建设和运维管理,众多成功案例彰显我们的专业实力。
第3章 全面规划方案
3.1创新性总体方案
根据XX市XX项目云的对数据中心的规划,为将来与XX市超算中心云平台统一管理,本项目所使用的虚拟化软件以X公司研制的THCloud为主。但同时使用华为成熟的商业化云管理平台软件FusionSphere,完成搭建工作并提供相应服务,作为后备和应急支持平台。
本项目的构建内容涵盖以下几个关键模块:机房设施、网络基础设施、安全保障、云计算服务以及灾备系统的建立。其部署的逻辑架构图如下所示。
本项目涵盖三个主要的云区域:XX项目外网业务专网子云、XX项目外网互联网子云以及XX项目外网安全岛子云,它们通过VLAN和防火墙实现逻辑隔离。每个子云内部进一步划分为四个区域:虚拟化资源池、高负载数据库专用区资源池、高负载应用专用区资源池和测试区资源池。
通过华为FusionSphere虚拟化平台的高效管理技术,我们实现了对虚拟化区域资源池的应用服务部署,这些服务被部署在性能卓越的物理服务器上,目标是实现高可用性和自动化运维。众多物理服务器整合为一个计算资源池(集群),确保在遭遇计划内外的停机事件时,虚拟化平台的业务仍能连续运行。华为FusionSphere管理平台软件提供了开放的API接口,方便上层云管控层进行统一的运维管理。
华为FusionSphere虚拟化计算技术应用于本项目,其优势如下:
借助云平台的高可用性和热迁移特性,我们得以显著缩短设备故障恢复时间,从而保障核心业务的持续运行,防止因传统IT架构中的单一故障点引发的业务中断问题。
实现对物理设备、虚拟设备及应用系统的全面集中监控与自动化、动态化的管理维护
旨在实现业务的迅速部署,缩短业务上线时间,强调其极高的灵活性与可扩展性,同时提升运营管理效率。
云计算技术的应用能自动化并优化资源调度,实现分布式和动态的资源配置,通过智能的负载感知机制,实现资源的灵活伸缩。这种策略显著提升系统的运行效率,确保T资源与业务关键任务之间的高效协同。
在数据存储策略上,我们采用共享的SAN存储架构,旨在最大程度地挖掘虚拟架构的潜力。通过实现虚拟机的高可用性(HA)和热迁移功能,提升系统的稳定性。此外,引入了虚拟机快照备份技术(HyperDP),这不仅增强了数据保护能力,也为后续的数据备份与灾难恢复提供了灵活的扩展性和坚实的基础支持。
华为FusionSphere HyperDP备份方案支持对虚拟机实施全面的数据保护,其备份云具备集中管理和负载均衡的优势,确保高效且系统化的数据备份与管理。
备份系统及数据库的工作主要依赖于CommVault备份软件,该软件具备将数据高效地迁徙至磁带存储设备与虚拟带库的性能。
CommVault备份软件负责全面的配置管理,包括客户端、介质代理和备份设备等,同时高效地掌控所有作业和历史任务记录。它具备用户友好的图形用户界面(GUI)与网络Web管理界面,实现了备份与归档功能的无缝集成。
XX市XX项目的数据中心的架构分为:
终端接入管理:旨在实现对终端的接入权限严谨控制,涵盖接入网关、防火墙、入侵防御系统、入侵检测机制、漏洞扫描、全面安全审计、防病毒策略以及流量监控等设备。通过对数据中心流量访问实时监控,确保数据中心的安全稳定运行。
负责内部通信与隔离:网络交换层在数据中心内部执行关键任务,通过逻辑分隔实现专网、安全岛网络与互联网之间的有效隔离。它连通服务器和存储设备,并作为外部网络接入的桥梁。
构建虚拟化资源池:通过在计算服务器上部署虚拟化平台软件,衍生出独立的虚拟机实例。存储设备采用FCSAN技术,为虚拟机分配系统盘和数据盘等关键存储资源。这些分布式存储空间由云管理平台专业管理系统并供其高效利用,主要用途包括镜像文件的存储和系统模板的保管。
高负载数据库资源池构建:通过物理服务器直接部署高负载数据库,利用FCSAN技术为服务器供应系统盘和数据盘等存储资源。华为FusionSphere具备对物理服务器的全面管理能力,其FusionManager子系统支持物理机部署,实现了对裸机物理服务器的自动化发现、资源管控与动态发放功能。
资源池设计针对高负载场景:对于数据库,我们直接采用物理服务器进行部署;存储系统则依赖IPSAN技术,为其供应系统盘和数据盘等关键存储资源。
3.2项目实施领域
在XX项目网络构架中,区分内外网至关重要。为了保证平稳过渡,XX项目云平台的实施策略倾向于渐进式部署。首先,我们将在项目外网范围内启动并试验云计算技术,通过实践检验业务模式、管理流程、安全措施以及技术平台的兼容性和稳定性。待这些环节充分成熟后,才会谨慎地将云平台扩展至项目内网。因此,本次云平台建设项目的核心内容聚焦于构建XX项目的初始云环境,即外网云平台的建设.
根据XX项目的网络安全规范,该项目的外网被细分为三个特定网络区域:业务专网、互联网接入网络和安全岛。在构建XX项目云基础设施的过程中,严格遵照既定的网络安全标准,相应地,我们设立了三个独立的云平台:业务专网云平台(简称专网云),互联网接入网云平台(简称接入网云),以及安全岛云平台(简称安全岛云)。虽然这三者的逻辑架构在设计上保持一致性,但考虑到各平台资源需求的差异化,它们的规模有所区别。为了确保云平台和网络安全,各个云平台之间采用了现有的逻辑隔离技术进行有效分隔。
3.3详细的技术构建方案
本项目作为XX市XX项目云服务中心的核心环节,旨在整合全社会资源,并协同运用超算与政府部门现有资源,构建一个集约化的XX项目云管理平台,为推动全市XX项目的顺利运行提供不可或缺的基础设施支持。
我公司将与中国电信公司共同担纲XX市XX项目云服务中心的资源服务供应商角色,专注于软硬件系统的集成任务(这一集成涵盖云平台硬件设施、云平台软件整合,以及操作系统等相关运维工作),目标是构建稳定可靠的双市双项目云平台体系。
XX市XX项目云服务中心平台技术架构图
物理层
云平台的硬件资源基石——物理层,构建于严谨的基础设施之上,涵盖了机房环境、专业的服务器配置、存储设备、网络设备以及安全保障设施。这一系列组成部分由服务提供商、XX市超级计算中心以及各政府部门的既有设施(如公共平台)协同构建,其中包括支撑云平台运作的必要元素,如专属机房、高性能服务器、存储系统、网络架构和安全措施。
资源层
资源层构建于对物理层所有硬件设备的整合池中,其维护工作由相应的物理层服务提供商执行。根据功能划分,资源层可分为计算资源池、存储资源池、网络资源池和应用资源池,各池针对特定的业务系统需求进行优化配置。
云服务层
云服务层的核心功能是通过云管理平台软件整合资源层的资源,并由相应的资源提供方负责服务维护。该层次主要供应多元化的云计算服务,包括弹性计算、自动化部署、虚拟机高可用性保障、网络管理和安全保障等。各委局可根据业务需求,自主选择合适的云服务,以此为基础构建其信息化项目的运行环境。
云管控层
云管控层面涵盖了如下功能:资源的准入、利用、监控、统计与考核,以及服务合同、账单管理和服务处理。它通过与云服务层的云管理平台软件进行集成,实现了对云服务层和资源层的高效资源配置与管理。
网络安全服务
网络安全服务为XX项目的云平台全面保驾护航,确保承载在其上的XX业务系统的网络与数据在安全稳定的环境中运行无虞。
备份服务
服务内容概述:本项目云平台的备份服务致力于全方位保护用户数据与系统资源。我们采用多样化的备份级别和策略,旨在应对可能的人为误操作或系统故障,确保在紧急情况下能迅速恢复应用数据及用户数据,从而显著降低业务系统数据丢失的风险,提升XX项目云平台的稳定性和灾难恢复能力。
3.4网络架构
网络架构概述:XX项目依托于多元化的网络基础设施,主要包括项目自身的XX项目网、由服务商专业构建的XX项目专属网络以及XX市超级计算中心为该项目定制的专用资源网络。这些组成部分的网络衔接关系如图所示。
我司机房通过项目外网核心层实现接入,与现有X项目网络协同构建网络访问服务体系。各节点采用8根无涂层光纤和千兆级互连技术,以保证高效通信。随着业务发展,云平台将适时升级至万兆光纤网络,提升网络带宽能力。
我们的机房通过连接至XX市超算中心,构建了与该中心的同城异地灾备网络。我们采用8芯裸光纤和千兆网络实现节点间的高效交叉互联。随着云平台的后续升级,将升级至万兆光纤网络,以提升数据传输效率和系统性能。
无论是我公司的虚拟机还是XX市超级计算中心的物理服务器,若需接入互联网应用,必须首先回联至XX市的XX项目核心网络,然后通过该项目的核心交换机出口进行通信。此操作涉及到的服务提供商与XX市超级计算中心共同构建的XX项目设施密切相关。
通过物理分割实现云网络与其他网络的独立,确保资源专为XX项目专用。
3.5部署架构
针对XX项目的特定网络安全划分与业务系统特性,融合云计算技术的精髓,我们精心构建了XX项目云平台的逻辑网络拓扑示意图如下:
3.6管控架构
3.6.1实施方案评估与管理
在项目启动阶段,我们确保提交一份详尽的服务规划,其中包括明确的任务进度安排与交付成果明细。
3.6.2定制化服务明细
通过对运维服务目录的详尽梳理,我们明确了各个服务商的专业服务领域与详细内容,以及分明的组织管理体系和各岗位的职责划分。
3.6.3构建明确的服务保障条款
监督各运营商的服务履行情况,依据其提交的服务级别承诺进行评估。
3.6.4设计有效的沟通策略
3.6.4.1沟通方式
交流方式:主要依赖于言语媒介的互动,涵盖面对面口头交谈及远程电话沟通。
信息交流: 通常采用电子文档作为媒介,以内部电子邮件的形式进行传递。
传统的书面交流:通常要求通过纸质文件进行,其有效性需得到相关人士的手写签名确认。
3.6.4.2项目报告
明确报告方式,如周报、月报等。
3.6.4.3会议制度
规定月度例会、不定期沟通例会等。
3.6.5统一服务窗口
运营商提供
小时的客户服务电话和
小时的网上技术响应服务处理窗口。
3.6.6标准化运维管理程序
通过构建一体化的服务流程体系,确立了严谨的运维规程,促使运维服务实现标准化、流程化与规范化。服务商在提供服务过程中,需严格遵循该体系,接受管理方的监督审计。任何偏离规范的操作将被迅速识别并发出警示。此举旨在确保各服务商在各个环节保持一致的标准与规则,从而消除信息传递中的困扰,提升服务效能。
服务流程涵盖但不限于资源接入、资源监管与管控、资源配置与分配、全程资源监控、服务权益的行使、服务协议的签订及费用结算、客户服务体系的建立、以及投诉问题的妥善处理等环节。
3.6.7规范服务管理标准
运营商需遵循的服务准则包括:热线服务操作规程、服务人员的行为规范、标准化的服务语言表达、严谨的职业纪律规定以及严格的安全管理规定。
3.6.8建立标准化租赁流程
确立公开透明且统一的计费标准,运营商需在互联网平台上提供供各委局单位按需定制服务的费用核算工具。
3.6.9提升灾难恢复能力
评估运营商的灾难恢复与备份功能的关键在于实施完善的预案,并定期实施应急演练。确保"预先筹备周全,紧急状况下行动有序,处置有指导原则"。通过流程化管理体系,提升预警与预测效能,以及对突发情况的快速响应和处理能力。
3.6.10确保服务过程透明与合规
服务商需按期提交详尽的服务报告,报告内容应涵盖申请时间、审批时间、处理进度、用户满意度以及服务费用结算周期等相关信息。
3.6.11绩效管理标准化操作
服务表现的实质性评估旨在揭示与服务质量的实际情况,借此发现潜在短板,从而提升各委局单位的满意度,主要依据招标文件所定的评价标准。核心任务涵盖如下几个方面:一是强化绩效管理体系的构建;二是通过绩效管理驱动服务质量的持续优化;三是利用绩效评估提升团队的专业服务能力;四是确保服务交付的合规性和合同履行的准确性检查。
3.7服务流程
根据委局信息化项目的建设需求和发展规划,XX项目云平台已成功构建,为委局提供了包括机房运维、计算支持、数据存储、备份保障、安全保障、网络连接以及公共平台服务在内的七大核心云服务。这些服务旨在有效支撑信息化项目的实施。接下来的内容将详尽阐述这七大云服务的具体内容、设计策略和服务管理范围。
委办局用户可以像购买电子商务商品一样租赁XX项目云平台中的云服务,面向委办局用户主要的服务流程包括:云服务申请使用流程、云服务申请使用(应急)流程、云区域申请使用流程、云平台测评接入流程、云服务退出使用流程。
3.7.1云产品发布管理
以下是云服务产品发布的标准化流程:服务商在计划投放资源产品时,需先明确服务内容并提交至云管控平台进行申请。经过严格的审核程序后,产品方可正式被视为线上销售的产品上架。
详细过程如下图所示:
3.7.2云端资源生成步骤
流程概述:当委局单位提交申请,欲利用平台内的硬件、软件、网络及机柜等设施时,XX项目中心首先进行严谨的合规性审查。随后,由专业服务商接手,对申请进行审核并进行资源的配置与创建。
详细过程如下图所示:
3.7.3应急云服务资源构建步骤
流程概述:委局机构申请应急服务资源的程序,其额度不得超过本年度委局所有服务合同中云资源配额的5%。平台内所有可供租赁的资源被视为应急储备。当委局单位因业务需求需申请时,需向XX项目中心提交申请,随后经XX项目中心审批,由具备资质的服务商进行资源确认并提供。资源分配后,必须在系统中进行备案记录。
详细过程如下图所示:
平台在管理可供资源时,会预留一定的应急份额,例如占总量的5%。针对委办局用户的特殊情况需求,他们可以向XX项目中心提交申请。资源的申请流程与常规资源使用申请保持一致。
3.7.4特殊区域云服务创建详细步骤
申请专属云区域的业务流程:针对委局单位因特定工作需求,需在XX项目云平台上申请建立一个独立的管理与使用区域。
详细过程如下图所示:
云区域定义为专属于委局的资源专属区域。这种划分是基于委局的特定需求,从供应商的资源库中分离出专属部分供其单独利用。委局可根据自身实际需要,对这部分专属资源区域进行再分配,以支持不同系统的部署或分配给下属机构使用。
3.7.5退出云服务流程指南
云服务申请退出流程是指委办局不再使用资格服务商的平台资源(包括硬件、软件、网络等)的情况下,可发起退出申请。资源的退出需要经过XX项目中心和资格服务商的审核。
详细过程如下图所示:
3.8业务运营
3.8.1业务运营功能架构
XX项目的数据中心业务运营管理涵盖以下几个关键环节:业务运营、业务管理以及客户自助服务。以下是其运营功能的架构概述。
业务管理与运营功能架构
XX项目的数据中心管理可从两个核心维度进行划分:即业务管理与运营管理。
业务运营管理:涵盖服务目录的规划与设计,产品管理、服务定价策略以及服务级别管理等核心功能的构建与策划。
√运营管理:确保业务的顺畅运行,包括日常业务流程及受理工作。涉及客户关系维护、合同管控、订单处理、资源调度、计量监督、计费操作等职能,同时承担知识库的建设和管理职责。
在XX项目的数据中心运营管理中,客户自助服务占据核心地位。该服务允许客户自行管理所租赁的资源,具体操作涵盖以下功能:查阅合同详情(涵盖了服务目录、计费信息、服务期限和服务级别等内容)、追踪订单状态、实际运用服务以及操控业务流程。
3.8.2业务运营技术架构
本项目旨在设计XX数据中心业务运营子系统,以支持包括客户管理、服务目录、产品管理、订单处理、计量与计费管理、支付事务、资源管控以及服务请求等一系列关键业务功能的高效运营。
总体技术架构如下图所示:
业务管理技术架构包括如下层次:
客户自助管理系统:旨在实现客户对订购资源的全面管理,涵盖用户账户管理、信息查阅(如合同、订单及费用详情)、资源调度配置以及资源运行状态实时监控等功能。
用户访问界面:主要负责实现用户的访问功能,其包含的特性如下:表单与页面模块的管理、数据的分析处理、服务接口的设计以及严谨的安全保障机制。
业务运营与管理模块:致力于实现详尽的业务操作流程与功能,本计划涉及的关键功能涵盖:客户关系维护、服务项目目录、产品管控、服务级别监督、计量计费体系、合同管理、订单处理、定价策略以及资源调配、服务请求管理系统等。
对象处理层:专责后台逻辑的业务管理和运营流程分析与处理,其核心功能涵盖流程引擎、数据管理、权限控制、接口集成、配置管理以及灵活的开发定制服务。
【数据存储层】:专司业务及IT运营管理相关数据的储存,其核心功能包括:虚拟数据服务,它能整合分散的数据资源,实现数据的集中化并进行结构化处理,进一步将异构数据转化为一致的格式,同时为应用程序提供统一的数据访问接口;此外,我们还引入了Central Database(CDB),以强化数据的集中存储与管理能力。
业务管理平台通过接口与IT运营管理平台实现无缝集成,旨在促进信息共享,并有效支持业务运营和IT管理的交互作用。
业务管理平台通过集成接口与邮件系统、短信系统等外部系统无缝对接,确保能够实时转发所需信息,并即时传达给相关业务人员。
3.9概述设计细节
3.9.1专业级机房解决方案
3.9.1.1基础设施
基础设施服务主要涵盖两大部分:其一是传统的物理设备与资源支持,另一部分则是云计算设施的资源服务。
传统服务模式主要聚焦于物理资源和设备的租赁,涵盖如机房设施的出租、独立机架的供应以及服务器的提供。
在对XX市XX项目的云计算环境及各委办局业务特性进行深入剖析的过程中,主要关注的云服务包括主机托管、主机租赁、公网IP地址分配与带宽租用等环节。
云数据中心资源服务:虚拟化技术的应用与优化
云主机及相关服务:我们提供全方位的计算资源共享,涵盖云主机、附加网络功能如负载均衡服务(VLB)、安全保障特性如虚拟防火墙服务(VFW),以及数据保护特性如单机级别备份,以满足用户的多元化需求。
网络资源服务:致力于为用户构建VPC业务,并为各委办局分配专属的IP地址范围,确保各部门之间的网络独立与隔离。
云存储服务:向用户推送包括云网盘及对象存储(S3)在内的存储解决方案。
灾备资源服务:数据级备份。
3.9.1.2主机托管
各委办局可以将自己的网络设备、服务器托管在数据中心机房内。数据中心为委办局用户提供IT设备所需“空间”、“带宽”以及其他配套资源。主机托管业务中的“空间”是根据用户放入机房的服务器等IT设备的尺寸,为委办局提供相应的托管机位空间或整个机柜空间。“带宽”是指从用户IT设备上联至IDC机房网络出口的连接带宽,分为共享型和独享型。共享型带宽是指多个用户共享一个数据中心局域网的上联端口带宽,在业务高峰的时期,每个用户可使用的带宽可能低于标称带宽;独享型带宽是指用户可独占标称带宽资源,数据中心保证委办局在任何时候都可使用标称大小的带宽。
委办局拥有对托管设备的所有权和完全控制权限,可自行安装软件系统并自行维护T设备(注:开通服务器代维业务的除外)。常见的主机托管业务例子如1U机位/1个公网IP/100M共享带宽、1U机位/1个公网IP/10M独享带宽等。数据中心依据SLA协议为用户提供符合质量保证的服务,要求对基础设施、网络、电力保障以及客户服务等方面的服务质量进行
京公网安备 11010802045440号
