217页12万字某智慧城市政务云平台项目建设方案2022年

1 项目总体概述 6

1.1 项目建设背景 6

1.1.1 政策背景 6

1.1.2 技术背景 7

1.1.3 业务背景 10

1.2 项目建设依据 11

1.2.1 编制依据文件和要求 11

1.2.2 参考的规划、标准规范等 12

2 项目建设需求 16

2.1 项目建设目标 16

2.2 项目建设内容 17

2.3 项目建设要求 18

2.3.1 基础设施服务建设 18

2.3.2 信息安全服务建设 18

2.3.3 运行保障服务建设 19

2.3.4 业务应用支撑建设 19

3 平台建设方案 20

3.1 总体建设原则 20

3.2 总体方案设计 21

3.2.1 方案设计思路 22

3.2.2 总体架构设计 23

3.3 资源池建设方案 24

3.3.1 资源池总体规划 24

3.3.2 计算资源池建设 25

3.3.3 存储资源池建设 26

3.3.4 网络资源池建设 28

3.4 设备配置方案 30

3.4.1 服务器配置清单 30

3.4.2 网络设备配置清单 32

3.4.3 安全设备配置清单 32

3.5 信息安全保障方案 37

3.5.1 安全法规要求 37

3.5.2 总体安全规划 38

3.5.3 安全保障设计 39

3.5.4 安全运维管理 49

3.6 应用部署和迁移方案 58

3.6.1 应用部署规范 58

3.6.2 应用迁移规范 62

3.6.3 应用迁移方案 65

4 平台产品方案 81

4.1 私有云平台产品简介 81

4.1.1 产品概述 81

4.1.2 产品架构 82

4.1.3 产品特性 87

4.1.4 技术架构特性 88

4.1.5 应用场景 93

4.1.6 交付模式 94

4.1.7 术语解释 95

4.2 平台部署架构 96

4.2.1 集群节点 96

4.2.2 硬件选型 105

4.2.3 机柜规划(示例) 107

4.3 产品功能架构 108

4.3.1 虚拟化核心 108

4.3.2 复用公有云 150

4.3.3 核心功能概念 150

4.3.4 虚拟机 153

4.3.5 云硬盘 165

4.3.6 私有网络 168

4.3.7 外网IP 173

4.3.8 NAT 网关 177

4.3.9 负载均衡 182

4.3.10 弹性伸缩 189

4.3.11 定时器 192

4.4 平台灾备方案 193

4.4.1 本地灾备 193

4.4.2 异地灾备服务 194

4.4.3 公有云灾备服务 196

4.4.4 两地三中心灾备服务 199

4.4.5 灾备网络架构 203

4.4.6 灾备切换 204

5 项目实施方案 206

5.1 项目建设周期 206

5.2 项目组织保障 206

5.2.1 领导和管理机构 206

5.2.2 项目实施机构 207

5.2.3 运行维护机构 208

5.3 项目培训方案 209

6 项目风险及控制措施 210

6.1 项目风险概述 210

6.2 风险标识 210

6.3 风险估算 210

6.4 风险评价与管理 210

6.5 项目实施的外部风险与控制措施 211

6.5.1 风险识别 211

6.5.2 控制措施 211

6.6 项目实施的内部风险与控制措施 211

6.6.1 风险识别 211

6.6.2 控制措施 212

6.7 项目长期运行风险与控制措施 214

6.7.1 风险识别 214

6.7.2 控制措施 214

1.1.1 方案设计思路

1） 基于IaaS云管理平台建设的自动化云数据中心设计

通过计算虚拟化系统建设的数据中心，采用云管理平台进行资源的管理，并提供自助式的云服务，能有效实现企业信息系统的技术标准化和管理规范化，为企业信息系统提供更好的支撑。

云管理平台需要在虚拟化技术的支撑下，对包括计算资源、存储资源、网络资源等在内的基础架构进行管理，实现按需的、自动化的、可计量的对基础架构资源进行分配，同时，实现对资源使用情况和健康情况进行监控和管理。

2） 基于软件定义+网络虚拟化动态灵活的云网融合设计

云数据中心引入服务器虚拟化技术后，对网络要求大二层设计，传统的VLAN技术设计云化数据中心网络存在种种限制，而基于新一代VxLAN技术实现的大二层网络，能够通过在物理网络上叠加一个软件定义的逻辑网络，物理网络不变，通过定义其上的逻辑网络，实现业务逻辑，从而解决传统数据中心的网络问题，极大的节省了用户投资。

软件定义+网络虚拟化实现网络动态感知虚拟机迁移，实现网络策略的动态跟随，真正实现云、网融合。

3） 基于软件定义的信息安全与基础资源动态调度设计

虚拟化和云的引入，形成计算、存储、网络及安全资源池，资源池化后网络边界模糊，需要引入新的技术解决虚拟化环境的隔离能力，并且能够实现资源池的基础资源能够在不同租户间的动态调度能力。

基于软件定义技术，通过将计算资源、存储资源、网络及安全资源分配给不同租户，构成虚拟云平台，虚拟云平台之间可以实现有效的、安全的隔离，使之符合安全等保(等保三级)的要求；并且通过云管理平台能够实现基础资源在不同的虚拟数据中心间灵活调度，真正实现云计算数据中心资源的动态、按需的分配/调度和提供资源。

1.1.1 总体架构设计

1.1.1 总体安全规划

将安全设备资源化，通过防火墙、负载均衡等安全设备的虚拟化功能，形成防火墙池和负载均衡池，组建成中建总部安全能力中心。

基于软件定义的模型，组成安全管理中心，通过软件定义方式，将虚拟化的安全设备分别部署在不同的安全区域的边界，保护用户访问的安全；同时通过安全事件信息的收集和分析，与安全设备（虚拟安全设备）联动，实现智能安全防护。

与云管理平台相结合，根据云管理平台的边界定义，与软件定义控制器实现联动，进而通过安全虚拟化的虚设备部署在虚拟边界，保护虚拟资源的访问安全。

1.1.1.1 物理网络架构

为构建高可用、高可靠、高安全的企业专有云平台，私有云平台平台均采用高可用冗余性设计。本文以标准网络拓扑图为基础进行物理网络架构描述，本架构设计至少需要 6 台万兆交换机、2 台千兆交换机、多台计算&存储节点服务器。若有 IPMI 管理及网络设备管理等需求，可根据需求增加 IPMI 和 Management 交换机并接入网络。

私有云平台平台网络设计为核心、接入二层架构，接入交换机双上联到核心，且按计算业务分集群划分。本架构设计从业务场景上提供公网服务，因此整体业务架构分为内网区域和外网区域两张网络，分别承载云平台内网通信和外网通信，两张网络在网络设备层面物理隔离。

同时标准架构中，通过将用户数据中心的物理网络与云平台【外网区域】物理连接在一起，通过云平台提供的物理 IP 产品，实现平台虚拟机与物理网络进打通的业务场景。

1.1.1 机柜规划(示例)

网络设备和服务器的物理机柜空间规划如下图所示：

所有设备在机柜中对称部署，实现机柜级冗余，单机柜掉电或故障不影响云平台业务。一个机柜可支撑 15 个节点，根据网络架构设计一组接入交换机支撑 45 个节点，即一组接入交换机支撑 3 个机柜。3 个机柜为 1 组，平均 1 组机柜支撑 45 个节点、1 组内网接入交换机、1 组外网接入交换机、1 台 IPMI 接入交换机。

如上图项目案例中的设备包括 8 台业务交换机、4 台运维管理交换机、21 台服务器设备及 3 个机柜：

• 一组内网核心交换机对称部署于 2 个机柜，即其中两个机柜各部署 1 台；

• 一组内网接入交换机对称部署于 2 个机柜，即其中两个机柜各部署 1 台；

• 一组外网核心交换机对称部署于 2 个机柜，即其中两个机柜各部署 1 台；

• 一组外网接入交换机对称部署于 2 个机柜，即其中两个机柜各部署 1 台；

• 一组管理汇聚交换机对称部署于 2 个机柜，即其中两个机柜各部署 1 台；

• 1 台 IPMI 接入交换机和 1 台网络设备带外管理交换机部署于 1个机柜；

• 3 台管理节对称部署于 3 个机柜，即每个机柜各部署 1台；

• 12 台计算 & SATA 节点对称部署于 3 个机柜，即每个机柜各部署 4 台；

• 6 台计算 & SSD 节点对称部署于 3 个机柜，即每个机柜各部署 2 台。

若服务器分集群部署云平台，建议不同集群的服务器对称部署于多个机柜中。

1.1.1.1 弹性网卡

弹性网卡（ Elastic Network Interface, ENI ）是一种可随时附加到虚拟机的弹性网络接口，支持绑定和解绑，可在多个虚拟机间灵活迁移，为虚拟机提供高可用集群搭建能力，同时可实现精细化网络管理及廉价故障转移方案。

• 弹性网卡与虚拟网卡的实现方式相同，区别在于弹性网卡的具有独立的生命周期；

• 弹性网卡支持绑定和解绑，可在多个虚拟机间自由迁移；

• 虚拟机被销毁时，弹性网卡将自动解绑，可绑定至另一台虚拟机使用；

• 一块弹性网卡仅支持绑定至一个虚拟机，一个虚拟机最多可绑定 6 块弹性网卡；

• 支持弹性网卡 QoS 控制，提供自定义设置弹性网卡的出/入口带宽；

弹性网卡具有可用区、VPC、子网、IP 及安全组等属性，支持创建、绑定、解绑、绑定安全组、解绑安全组及删除弹性网卡等生命周期管理，有关 VPC 网络

1.1.1.1 VPC 逻辑结构

一个 VPC 网络主要由私有网络网段和子网两部分组成，如下图所示：

（1）私有网络网段

VPC 网络所属的 CIDR 网段，作为 VPC 隔离网络的私网网段。关于 CIDR 的相关信息，详见 CIDR 。创建 VPC 网络需指定私有网段，平台管理员可通过管理控制台自定义 VPC 私有网络的网段，使租户的虚拟资源仅使用管理员定义网段的 IP 地址进行通信。平台 VPC 私有网络 CIDR 默认支持的网段范围如下表所示：

1.1.1.1 VPC 连接

平台对常用网络设备均进行软件定义及组件抽像，通过将 VPC 网络与虚拟机、弹性网卡、外网 IP、安全组、NAT 网关、负载均衡、VPN 网关、MySQL 数据库、Redis 缓存及专线等组件连接，可快速构建和配置繁杂的网络环境及混合云场景，如下图所示：

下载完整方案，关注公种号“智慧方案文库”

文章引用的资料均通过互联网等公开渠道合法获取，仅作为行业交流和学习使用，并无任何商业目的。其版权归原资料作者或出版社所有，作者不对所涉及的版权问题承担任何法律责任。若版权方、出版社认为本文章侵权，请立即通知作者删除。