第一章、智慧城市云数据中心建设目标
根据《国家电子政务“十二五”规划》(中办发〔2006〕18 号)等文件,以智慧城 |
市建设总体思路为指导,建设智慧城市云数据中心,实现统一建设、统一管理、统一使用,为智慧城市和全市(县、区)各部门的业务应用系统提供统一的机房空间、网络资源、存储灾备、安全保障和运维服务,实现信息基础资源互通共享,从底层来联系整个机构内外的异构系统、应用、数据库资源等,打通各个职能部门间的“信息孤岛”,满足社会服务与管理,共享基础数据库、协同办公、行政审批与处罚、智慧、智慧
共享,提升的行政效率。
社区等应用以及其他职能部门之间无缝的共享和交换数据的需要,实现相关部门的资源
作为电子政务统一的基础资源平台,包括:网络资源、计算资源、存储资源等,并
对基础资源进行池化,使各部门各单位的用户可以灵活的共享和按需分配。
1.2、建设电子政务应用的云计算PAAS平台
作为全市(县、区)电子政务统一的基础资源平台,不仅需要提供IAAS层的基础设施,还能够对上层基于SOA架构的电子政务类应用进行一定的能力支撑,包括基本的数据库、中间件等通用的基础软件资源和电子政务类公共组件类的软件资源。各部门各单位不仅可以共享PAAS层资源,而且可以在PAAS平台的基础上,简单、快速的开发不同功能类的电子政务类应用。
1.3、建立统一高效的运维管理平台
建立基础资源平台的统一运维管理体系,对机房基础设施、IT设备、虚拟机、数据库以及上层应用软件等资源进行统一的检测、动态调度和自动化控制管理,简化运维管理的流程和人工操作,提高基础管理平台的运维效率,降低云数据中心运行成本。
1.4、建立统一的安全保障体系
按照国家政务统一安全规划,参照等级保护的基本要求,建立统一的政务安全保障体系,加强安全管理、统一安全策略、统一标准规范,保障政务云数据中
心 | 和 | 政 | 务 | 业 | 务 | 系 | 统 | 安 | 全 | 可 | 靠 | 运 | 行 | 。 |
第二章、云数据中心需求分析
参考国家电子政务和智慧城市等系列标准规范和成功经验,对云数据中心的建设需求进行分类定性分析。
2.1云数据中心应用需求分析
2.1.1全局型应用需求分析
全局型应用是指为及其部门以及面向社会公众提供服务的电子政务应用系统。
1.电子政务办公管理系统是为满足政务系统需要的共性办公电子政务运转系统,处理
所有的内部电子制文、联合征信、节能减排等各共性应用功能,外部来文与办文管理的
各环节工作,同时也是信息采集,调研和研究需要的工作平台。
2. 行政审批服务系统
行政审批综合管理信息平台,实现信息共享、网上流转、协同审批、实时监察、信息分析、绩效评估等功能;形成一体化的交互式、可跟踪、可查询、可监督、可评价、可视化的网上审批系统和电子监察系统,进一步规范行政审批行为,提高行政审批效率,不断降低行政管理成本,推动行政管理的改革,促进职能转变。
3. 信息发布系统
信息发布系统是以实现信息采集、编辑、发布和后台管理为主要功能的信息管理平 台。主要是对站点、栏目和文档操作进行管理,对站点、栏目和文档的显示模板进行管
理,对部门、用户组和用户权限的操作进行管理,对文档评论的审批进行管理,定制个人页面的显示风格和系统的默认显示风格,配置系统需要的资源信息,提供查看系统日志的功能。
除了以上三种全局型应用系统,还有一些公共的IT云数据中心,比如:邮件系统、门户网站系统、地理信息系统等。这些系统要求云数据中心能够为大量的用户提供稳定的高并发的WEB访问,而且大部分的访问类型都是上载、下载文件、图片甚至包括音视频文件等等。因此,这类全局型的公共应用需要大并发、高带宽、高可靠性以及高存储等特点的云平台。
2.1.2 行业型应用需求分析
行业型应用是指各个部门的各自业务范畴内所需要的非通用业务软件。需要电
子政务支撑云平台、数据集成共享与交换平台以及通用数据库中间件平台来支撑。与全
局型应用类似,这些行业型应用及其支撑平台对云数据中心同样有高效性、高可靠性等需求,另外还有如下需求:
用平台和云数据中心进行调研和接口,
因此要求云数据中心的各个组成部分必须兼容业界通用的相关标准,避免由于标准兼容性问题造成无法连接或者不稳定与低效。
? 可扩展性
电子政务支撑云平台后续要逐步支撑全省的电子政务业务系统,因此自身一定具备良好的扩展性。这就要求通用平台和云数据中心都必须具备良好的可扩展性,包括:不停机在线扩展、高指标上限等。
? 灵活性
电子政务支撑云平台作为底层资源为上层电子政务业务系统调用,因此自身必须具 备资源灵活调度与自动化管理的能力,这就要求其下层的通用平台和云数据中心也同样具备这种灵活性,并且能够屏蔽大多数的技术细节,只需调用即可。
2.1.3 资源型应用需求分析
资源型应用需求是指各个部门特定的业务应用需求,不需要云数据中心提供任何的PAAS层的相关服务与框架支撑,其上层的所有组件与服务模块都由该部门的业务应用完成。因此资源型应用仅需要云数据中心提供最基本的计算、存储、网络和安全方面的资源。这些资源需求包括:虚拟机、物理机、SAN存储空间、网络负载均衡、防火墙、公网IP地址、VLAN、安全组、虚拟私有云等。
2.2政务云数据中心管理需求分析
为了维护云数据中心的各种系统和应用的平稳、高效运行,根据前文所述业务应用
1、能够对虚拟化环境、云数据中心和物理环境的性能、事件和配置参数进行集中
针对云数据中心的管理需求,云数据中心的管理系统应当具如下列举的管理需求。
3、能够对提供给租户的资源提供QOS和SLA的保障;
4、能够对云数据中心自身以及底层的机房基础设施和上层的应用系统进行监控、
报警和事故处理,具有一定的自动化能力;
5、具有统一的门户,管理员登录后又可以分为运维侧和运营侧两套不同的功能集
合,并能够分权分域;
6、具有良好的扩展性,至少包括今后会用到的IT服务流程管理体系(ITIL标准)、
运营出租计费系统(或者与运营商计费系统对接)和多个计算中心的统一管理
与协调调度能力;
7、具有各种专家知识库和人工智能的日志、事件分析能力,能够根据不同的客户
需求产生不同种类的报表和视图;
8、具有良好的开放性,能够为云数据中心的上层PAAS和业务应用提供API(或其
他)调用接口,以便上层平台能够自动化的调用底层基础资源。
2.3云数据中心安全需求分析
电子政务的业务应用需要部署政务协同办公系统、门户网站群、行政审批系统,
以及社会服务与管理信息化平台等,项目建设过程中的安全需求重点包括:在全面的安
全保障体系框架基础上,在保证今后安全平台可扩展性的条件下,重点关注对云计算基
础设施和各业务应用系统的安全防护上。安全需求包括:
1、安全域的划分与隔离
根据国家信息安全针对电子政务的等级保护相关,云数据中心应当进行安全与
的划分,并针对不同等级的安全域进行逻辑隔离,做严格的访问控制策略。
2、抵御来自互联网的攻击与威胁
由于部分业务系统需要对互联网的公众提供各种业务服务和公共信息展现, 因此云
包括但不限于
3. 保障云平台的安全性
对于云数据中心,由于采用了虚拟化和多用户访问等一系列先进的技术手段,因此
必须保障虚拟机隔离和多租户等一系列云数据中心特有的安全问题。
4、安全管理需求
为了保障云数据中心的安全性,必须建立起包含安全事件分析、安全审计、日志分
析等的可追溯的安全管理体系,并配合一系列安全策略方针和管理制度。
5. 保障数据安全性
云数据中心中数据的重要性远远大于其他的软、硬件产品。
可以通过维护和替换来解决,损失的只是时间和金钱。一旦云数据中心数据安全性受到
破坏(包括:丢失、泄密、被篡改等),则损失是无法弥补的。因此,保障数据的完整性、保密性和可用性都是云数据中心的重要安全需求。
7、系统和数据的容灾备份
考虑云数据中心需要支持关键电子政务应用,应用可用性和数据的安全性非常重要,因此需要建立云数据中心的本地容灾体系。一般建设首先保证本地高可靠容灾,一台存储故障不影响云平台上层业务体验,达到存储自动切换的功能。
第三章、云数据中心机房建设方案
3.1机房建设
智慧城市数据中心机房包含UPS供电间、联合指挥中心、主机房以及各功能办公室
等部分的建设。本方案主要建设的信息设施系统包括:装修工程、UPS室机房装饰系统-
照明、二次消防改造工程、机房供配电系统、机房柜式七氟丙烷自动灭火、机房内外区
机网络系统、暖通系统、综合布线系统工程等。
装饰系统-电气、机房内外区装饰系统-给排水工程、机柜冷通道封闭、环控系统、计算
备(机房空调、新风机、照明系统、安全消防系统等)的供配电问题。
计算机和网络设备对交流电源的质量要求十分严格,对交流电的电压和频率,对电
源波形的正弦性,对三相电源的对称性,对供电的连续性、可靠性、稳定性和抗干扰性
等各项指标都要求保持在允许偏差范围内。机房的供配电应满足《电子计算机场地通用
规范》GB/T2778-2000的规定,其供配电系统应为380V/50HZ,采用TN-S系统。供配
电系统容量应该按照机房所配备设备情况确定,同时考虑系统扩展、升级的可能,预留
备用容量。
为提高机房设备的供配电系统可靠性,必需为机房内的IT设备配置交流不间断电
源系统UPS,达到供电可靠不间断,质量稳定无干扰。本方案要求按照2N设计,符合TIER
标准,需要引入两路市电,前端采用1250A/3P断路器控制。
云数据中心机房供配电系统应该是一个的系统,通常由UPS配电系统、动力配
电系统两部分组成。UPS配电系统负责向网络通信设备、服务器等IT设备供电采用UPS
供电。动力配电系统负责向机房空调系统、机房照明系统和机房维修电源系统。
机房动力配电柜应该选用自动的空气开关,并且与消防系统联动,当机房出现严重
事故或者火警时,能够立即切断所有动力电源。
3.2机房建设目标
云数据中心的建设目标是为智慧城市提供基础设施环境及搭建基础管理平台。同时,
建立智能信息化基础,节约能源,降低成本,为智慧城市提供提供基础管理平台,达到
智慧城市未来的发展要求,满足系统建设的可靠性、实用性、先进性、开放性、经济性
等原则。
势国际或国内通行的先进技术。
先进性:各系统将实现数字化、网络化、智能化的典型特征,采用代表行业发展趋
品。
开放性:各系统采用开放的技术标准和国际标准的通信协议,避免在系统互联时产
生障碍。
标准化:各系统的系统设计、系统性能标准等将符合中国的有关标准化的要求。
可扩展:各系统的设计充分考虑到未来的发展,在机房未来功能扩展方面留有冗余
和预留。
可靠性:各系统的产品选择稳定可靠,为主要系统设备提供可靠性指标。
安全性:各系统充分考虑系统安全、人身安全以及信息传递安全等安全性需求。
集成性:本智能化工程根据功能要求、管理和信息共享的要求对智能系统分层次、
分阶段进行集成,汇集本工程内外信息,对各子系统进行综合管理。
经济性:在实现先进性、可靠性的前提下,系统的配置设计达到性能与价格的深化目标。系统设置除考虑建设时的一次性投资外,还将充分考虑系统运行时的维护成本,并使之达到最小化。
3.3建设内容
(一)云数据中心机房基础工程建设
1、装修工程
装修工程主要包括:拆除工程、砌筑工程以及天地墙的面层装修装饰工程。
1)拆除工程主要包括:拆除已经砌筑的部分隔墙,拆除消防支管等。
2)砌筑工程主要包括:除楼梯间、电梯间及管井的隔墙以外的所有房间的隔墙。
机房、UPS 室,装修如下:3)装修装饰工程主要内容包括:
UPS 电池室为节省造价同时达到美观,地面做防静电自流平。楼面需根据设备重量
对楼板进行复核,对楼板进行结构加固。
2)天棚:微孔铝扣板吊顶内填防火保温棉。为防止出现结露水主机房天棚下铺设防火保温棉。
3)内墙面:基层找平后采用彩钢板内填防火保温棉。
4)门窗:门均采用甲级防火门,窗户需进行封堵,受力达到消防气体火灭规范的相关要求。
2、密闭通道
密闭冷通道主要是由服务器机柜、UPS柜、电池柜、配电柜、行级空调、天窗、围
板和端门组成,密闭冷通道可使冷源直接进入到IT设备,提高制冷效率。
双排密封通道主要由端门和天窗组成。
密闭通道的端门分为推拉门和双开旋转门两种方案,具体根据实际情况进行调整,
下面方案以双开旋转门设计为例。
双开旋转门外形尺寸是:
高×宽×深=2040mm×1380mm×50mm。
双开旋转门为外开,开门角度110°。可以保证密封通道系统的性。门板下部
安装密封毛刷,提高模块的密闭性。
密闭通道采用平顶结构方案,包括平顶旋转天窗和平顶固定天窗。
平顶旋转天窗由侧板、顶板、旋转天窗组成,以单个机柜为扩展模块单元。旋转天
窗天窗旋转原理:旋转天窗采用偏心结构。当触发装置动作后,天窗在重力作用下打开
翻转。旋转天窗的驱动方式是通过电磁锁触发装置翻转。平顶旋转天窗尺寸:高×宽×
观如图所示。平顶固定天窗尺寸:高×宽×深=33mm×600mm×1343mm。
3、结构工程
如云数据中心原设计功能为综合办公大楼,大楼建筑按照办公室功能要求设计,一
般来说承重达不到要求,需要进行结构加固设计。
机房结构加固设计拟采用钢结构加固方式,机房设备布置区域加固到8KN/m2,UPS
室设备布置区域加固到12KN/m2。
4、拟选用品牌说明
作为智慧城市云数据中心项目建设,选择的各系统设备不仅需要从产品设计是否完全符合相应的国际/国家标准及智能化行业标准、市场内主流厂家技术标准,而且要从
产品制造商的研发生产实力、产品覆盖的全面性、产品的物理规格、性能参数等诸多技术条件考虑,同时要兼顾产品品牌在本地市场使用的延续性、用户良好的口碑以及售后服务保障体系的完备性进行评估选用。
(二)供配电系统
1、电气工程
根据机房的特点及要求,应在机房内建立系统设备不停电供电系统,按照国家有关标准,即为一级负荷采取一类供电。同时系统电源条件应满足计算机设备运行的国家标准。按《电子计算机机房建设规范》(GB50174---93),如下表:
电子计算机供电电源质量根据电子计算机的性能、用途和运行方式(是否联网)等情况,可划分为A、B、C三级(见下表)。
项目等级 | A | B | C |
稳态电压偏移范围(%) | 淘 | 豆 | +7 -13 |
稳态频率偏移范围(%) | 淘 | 豆 | ±1 |
电压波形畸变率(%) | 淘 | 豆 | 8~10 |
| | | |
本机房工程以380V/220V、50Hz、TN-S(三相五线)放射式供电系统为本机房区域
内设备供电。机房内包括计算机通讯设备(UPS、网络机柜、列头柜、操作台等)、照明
用电、空调用电、消防用电及普通用电设备市电等组成。
此用电方案采用两路市电专供机房,从不同的变电站引来,符合B级机房的供电要求。因满足两个电源不会同时损坏的要求,故本项目机房供电系统不配置后备柴油发电机组,不间断电源蓄电池后备时间按照1小时配置。机房通信设备用电、照明空调用电从低压配电间的不同回路引来。机房采用大楼联合接地系统,接地电阻小于1Ω,由大楼土建专业负责地网建设并预留机房接地排。
机房供电方式采用三相五线制供电,配电柜由市电UPS输入柜二台、 UPS并机输出配电柜一台、UPS间空调自动切换柜一台、列头柜12台组成,共16 台配电柜。
计算机系统、网络通信设备由双市电做UPS输入回路,正常状态由市电供电,如市
电出现故障,则转换成UPS供电。精密空调由双市电组成的双电源供电,双市电互为备
用自动切换。其它用电设备由市电直接供给。计算机机房内的配电系统应考虑到与应急
照明系统的自动切换和消防系统的联动,一旦发生火灾,自动关掉精密空调、常用照明、
维修插座等大功率动力负载、同时自动开启排风系统。
机房内通信设备负荷:主机房面积按机柜平面规划,摆放约100个机柜。单机架功
率按4KW考虑,通信设备功率为400KW。主机房和辅助区与其他房间的空调参数不同时,
宜分别设置空调系统。机房和UPS室采用空调采用机房专用精密空调,以满足本工程需
要。UPS室配置一台制冷量不小于40KW的下送风上回风专用精密空调,主机房配置制冷
量不小于100KW的下送风上回风专用精密空调机组
机房内插座、面板开关等采用TCL品牌,机房区主机采用三孔插座供电,维修插座
板下插座均安放在机柜附近,并留有扩充预留备用部分,用清晰的标志加以区分,方便
设二三孔组合插座。机房内所有配线均选用阻燃铜芯塑导线,并实施管槽屏蔽。机房地
《电子计算机机房建设规范》规定:“机房内其它电力负荷不得由计算机主机电源和不今后使用。
间电源系统供电”。因此机房内空调、照明、临时维修电器等用电设备直接采用市电电
源,电源为三相五线。照明系统在火灾报警时应有消防联动控制回路,在火灾报警时自
动切断常用照明,同时开启应急照明系统。空调、照明、新风等设备用电开关、插座安
装在墙面上。维修和测试设备采用单相二、三极五孔插座(市电)。
机房内市电、UPS电源走线布于活动地板下,分别安装于各自的金属线槽(管)
内;插座面板也应相互区别;通信线缆桥架在机柜上明装。线槽、线管接头两端均用6mm2
接地线就近连至保护地接地箱上,所有电源线均在金属管槽内敷设,具有良好的屏蔽效
果。
为保证电源运行时三相基本平衡,应尽可能将单相负荷均匀分配在各相上,机房低
压配电系统三相负荷不平衡度应控制在5-20%。
为防止闪电雷击产生过电压带来的危害,机房电源进线应采用地下直接埋设电缆;机房专用动力配电箱内低压配电母线上应装设分级浪涌抑制器,用以消除线路上产生的瞬时高压尖峰脉冲,造成用电设备及控制电器烧坏。
2、机房照明
机房内照明的建设按主机房平均照度300—500Lx取值。
根据要求机房主要采用3×36W、600×600mm无眩光隔栅日光灯具,光管采用光色、光指数好的荧光灯管。光管采用冷色温(≥5300k)光管,与灯盘相配可产生柔和的效果,不会产生眩光,特别适用于机房照明系统。
所有灯盘采用电子镇流器,由于电子整流器输出端为高频电压,既避免一般单相荧光管产生的交流频闪效应,也可避免普通镇流器起动时跳闪的现象,也有节约能源的效果。
根据实际使用情况及GB50174-93《电子计算机机房建设规范》 ,主机房按300Lx的
应采用桥架及金属保护管。
(1)所有机房主要采用3×36W、600×600mm光隔栅日光灯具,光管采用光色、光指数好的进口荧光灯管。
(2)机房内的应急照明由UPS供电,并设置带蓄电池的疏散照明。
(3)灯具配电线径不小于2.5mm2,接线和接地保护线须与灯具接触良好;所有照明线都须穿金属管并留有余量,电源线应通过绝缘垫圈进入灯具,各回路绝缘电阻值不小于0.5MΩ。
(4)灯具安装于天花,光带应平直、整齐,同一排灯具中心偏差不大于5mm。
(5)机房内照度建设上能达400LX以上,建设符合国家标准《电子计算机机房建设规范》GB50174-93中相应的规定的:“机房内在距地0.8m处不低于200LX”的标准。
3、UPS系统
本项目为XX市智慧城市智能中心项目,本方案是针对XX市智慧城市智能中心项目,
提出的UPS供电解决方案。通过该技术方案,合理配置UPS。
通信设备负荷:主机房面积共160m?,按机柜平面规划,可摆放约100个机柜。单
机架功率按4KW考虑,通信设备功率为400KW。因此设置400KVA的模块化UPS两台,组
成1+1系统,可满足需求;选用UPS5000-E-400kVA两台,备电1小时每台UPS单独配
置电池组。根据招标文件需求,单台ups主机满足400KVA后备1小时,配置4组12V/110AH
蓄电池组的接入,两台UPS共配置8组,每组40节,共320节12V/110AH蓄电池;
4、精密空调
本项工程需建设主机房机房面积160平方米,冷负荷估算300KW,UPS室面积41平
方米,冷负荷估算40KW。
|
(1)机房精密空调应稳定可靠,通过了严格的测试、试验和认证。
(2)机房精密空调应能适应单机柜高发热量及发热量动态变化的需求。机房精密
空调配置内置智能控制模块的EC室内风机,电子膨胀阀和变频控制,能实现无极调速
的高效低噪音室外风机。
(3)机房精密空调应能满足服务器机柜需要,并且不造成能源浪费;同时又能满
足后续扩容需求。
根据招标文件要求,为了满足主机房制冷需求,考虑系统的可靠性,现根据制冷需
求,选用先进的精密环境控制设备。配置如下: |
| | | | | | (宽×深×高mm) |
1 | ≥50 | 下送风 | 单系统 | ≥14000 | ≥7 | 1140×0×1980 |
2 | ≥100 | 下送风 | 双系统 | ≥28000 | ≥10 | 2280×0×1980 |
5、防雷接地
本方案包括以下4个方面的建设:
(1)机房内部等电位接地措施
(2)机房接地母线的引入
(3)电源防浪涌保护(防雷)器的分级安装建设
(4)数据网络设备线路接口防雷保护装置的安装建设
等电位网:本工程室内接地采用综合接地方式。在室内的地板上安装等电位网,等
处可靠复接。接地汇流排之间连接做可靠焊接。
从防雷的要求看,均压才能避免反击,而均压又要求多点接地。从防干扰的要求应
该是单点接地,所以只有做好机房的等电位连接,并通过单点连接到直流信号地网上,
才能使上述两项矛盾的要求兼而顾之。
在机房按下述方案构成等电位网:
机房防静电地板下面沿墙用3×30mm紫铜排做成纵横网格状等电位网。
所有设备的“安全保护接地”以及供电电源“交流工作接地”、计算机的“直流信
号地”、避雷器的“防雷地”全部连接到等电位网上。
将机房所有用电插座接“地”孔全部连到等电位网上。
将机房设备外壳全部连到等电位网上。
将机房内所有金属管槽全部连到等电位网上。
将机房天花龙骨、地板支架、钢板墙体及门框金属体全部连到等电位网上。
用多芯铜线绝缘电缆将等电位网与大楼综合接地点可靠连接。
1)要求大楼综合接地点接地电阻≤1Ω电源防浪涌保护(防雷)器的分级安装建设
鉴于机房内设备作为对雷电、浪涌等过电压非常敏感的信息设备,电源线路的防雷是机房防雷的重点。因为电源线路容易受到外部雷电磁波的感应而携带和传导大量的雷电浪涌高压。本着对计算机机房电源线路进行系统防护的原则,根据机房电源和设备自身的特点,我们对电源供电线路采取多级防护措施。有关标准也指出,通常对连接导线超过15米以上的电源线路之间需做一次分级防雷保护。
出端到低压配电开关电源输入端,以及UPS输入输出、分配电屏等各交流电源配电系统
本工程的交流电源系统防雷是指与交流电源有关的各级交流配电部分:从变压器输
本期工程电源系统防雷采用多级防护。所采用的电源防雷器为原厂生产的防雷器。
第一级防雷箱安装在配电室主机房主供电线路上,防雷箱为超强型防雷箱(内置防雷模组),三相五线,带声光报警、相电压指示、雷击次数、监控和零地保护功能等,数量:1套。第一级防雷箱采用25m㎡以上多股线缆与供电线路和地排进行连接,引线小于0.5M,越短越好。
第二级防雷器安装机房市电配电柜进线处,防雷器(内置原装防雷和NPE模组),三相五线,数量:1套。
第三级防雷器安装在机房UPS配电柜内(保护贵重设备)中,防雷器(内置原装防
雷和 NPE 模组),三相五线。
上述相关防雷器中,电源防雷模块均采用专利的多层石墨间隙放电技术,是目前世
界上唯一通过所有国际标准、包括防爆标准的产品;其余的压敏材料电源模块也以双重镀银强力压璜与底座紧密相连;全部防雷模块均安装在特制的箱体中,完全符合防爆要求。
6、消防灭火系统
主机房、UPS电池室。建设方案为:采用管网式柜式七氟丙烷自动灭火系统。主机房设置4个150L瓶柜,UPS电池室设置2个150L瓶柜。防护区内建设灭火方式为全淹没灭火。
本灭火装置具有自动、手动及机械应急操作三种方式
火灾报警控制器可安装于操作室内,当气体灭火控制器接收到任何一个防护区内两
个火灾报警信号时,延时30秒,控制器输出24伏直流电,使电磁阀(电爆管)动
作,并启动相应防护区内预制灭火装置。防护区外门灯显亮,避免人员误入,同时控制
器接收压力讯号器反馈信号,控制器面板喷放指示灯亮。
机械应急操作方式,当某一防护区发生火警时,自动和手动控制都失去功能,值班人员可通过预制灭火装置内的安全梢按下启动,即可启动该装置,喷放七氟丙烷灭火剂灭火。
7、火灾自动报警系统
手动按钮、紧急启/停按钮及手/自动转换开关安装在防护区门外,离地高度1.3~1.5M,工作人员便于操作。探测器水平安装。
气体灭火控制器应能将火灾报警信号、喷放动作信号及故障报警信号反馈至消防控制中心。控制导线采用单芯ZR-BV1.0mm,信号传输用ZR-BV1.5mm双绞线,线管接地良好。
如明敷时应外涂防火所有布线应采取穿金属管保护,并宜暗敷在非燃烧体结构内,
漆保护。系统布线完毕后将用500V兆欧表对线路进行绝缘测试,其绝缘电阻应大于20兆欧。
由消防控制室接地板下引至各消防备的接地线应选用铜芯绝缘软线,其线芯截面为6MM2。
8、综合布线系统
综合布线系统应满足本项目信息通信网络的布线要求,以支持语音、数据、图像等业务信息传输为主,同时也可根据实际需求支持各相关弱电系统中信息的传输。在智慧城市云数据中心项目中,综合布线系统是完成该项目弱电智能化的基础建设工作,主要包括设备间、各管理间内的设备,弱电井内连接设备间至各管理间的主干线缆以及各管理间至终端点的水平线缆。
机房综合布线系统主要为主要为机房内各智能化设备提供基础物理链路,分别从机房核心机柜敷设24芯室内多模光纤至机房网络列头柜,光纤至各分机柜;各接入服务器通过六类非屏蔽双绞线接入到机房布线系统中。再从网络列头柜敷设12芯多模
第四章、云数据中心整体建设方案
4.1设计目标
通过建设云数据中心,满足各单位当前政务信息化应用和未来平滑扩展的需求,实现政务信息化资源统一建设、统一使用、统一管理的目标。
1、功能方面:虚拟化云平台,具备自助统一门户、云资源管理、兼容主流商业虚
拟化软件,能够满足本期项目应用需求;
2、性能方面:服务器、云平台的计算性能、内存容量、整体负载和存储架构的性
能、容量支撑能力,能够满足本期的业务应用和未来3-5年的业务规模;
3、扩展性方面:虚拟化平台、服务器、存储性能和容量扩展能力,能够满足从小到大、灵活扩展;
4、业务连续方面:系统业务连续性保障能力,能够满足云数据中心和物理机集群混合情况下的应用7×24小时不中断运行;
5、数据安全方面:数据具备保护能力,能够满足虚拟机和物理机、各种通用文件系统和数据库的备份和恢复;
6、容灾扩展能力:能够满足虚拟机和物理机混合环境的数据级和应用级同城容灾,兼顾保护现有投资和灾备切换便捷性。
4.2设计依据
? 依据国家电子政务平台建设相关的技术性指导文件;
? 依据电子政务内三大类型应用对于数据库系统需求分析,包括数据库系统 的安全性和可靠性以及数据库系统对于存储资源的实际需求分析;
? 依据电子政务内三大类型应用对于数据安全和可靠性的需求分析,包括数 据备份以及未来数据容灾的需求分析;
? 依据电子政务内三大类型应用对于整个应用支撑平台架构先进性需求分 析,包括易管理、易维护、弹性平滑可扩展以及绿色节能等需求分析;
? 依据技术通用性原则,无技术排他性。
4.3云平台整体拓扑图
外联区 | 电子政务区 | 互联网接入区 |
各个委 | 电子政 | |
务 | ||
办局接入 |
应用防火墙运维审计 网络区
网管平台
威胁侦测
服务器区
数据库 | 物理机 | 云平台应用 |
服务器 | 服务器 | 服务器 |
存储区 |
| |
| ||
10GE链路 | FC链路 | |
在数据中心部署二层扁平环境,在二层环境下虚拟机迁移不改变IP地址。二层扁平化方式降低了网络复杂度,简化了网络拓扑,提高了转发效率。二层网络架构中,采用网络虚拟化技术,解决链路环路问题,提高了网络可靠性。在接入交换机中对不同的业务或对不同的虚拟机加入不同的VLAN做二层转发。服务器区采用物理服务器做数据库服务,虚拟化服务和云平台提供其他平台应用类服务,存储区采用存储虚拟化网关实现高端存储的存储虚拟化,配合云平台软件实现备份容灾功能。
第五章、网络虚拟化建设方案
5.1设计目标
根据云数据中心的实际需求分析,提出以下网络平台架构的设计目标。
1、高效性:为了满足云数据中心承载的政务信息化应用系统的高并发访问、快速的虚拟机迁移和大文件的上传下载等要求。因此设计一个高带宽、低延时、快速收敛并
2、高可靠性:基础平台的网络的稳定性直接关系到全市(区、县)政务信息化服
避免环路出现的网络平台是一个基本的设计目标。
3、可扩展性:随着后续越来越多的业务应用系统迁入云数据中心,云数据中心的
规模需要根据业务应用需求逐步扩大。因此具备良好的扩展能力也是云数据中心网络平
台的设计目标之一,在核心、骨干网络设备上要留有余量,充分考虑今后业务应用增加
的网络需求。
4、灵活性、易维护性:考虑到云数据中心今后所承载的各个行业电子政务业务系统的不确定性,需要网络平台能够灵活简便的对网络资源进行调配。因此,网络管理的灵活性和易维护性也是网络平台的设计目标之一。通过减少网络配置节点、简化网络配置,降低网络管理的人力开销,从而易于网络资源的调整和分配。
5、先进性:云数据中心承载各委办局不同种类的电子政务应用系统,整体架构应当保持稳定而不应当频繁调整。作为基础平台的重要组成部分,网络平台的架构调整会 影响基础平台的整体架构。因此在设计网络平台的架构的时候,设计目标之一应该是保
证网络架构和采用技术的先进性,3-5年内只做规模扩充,而不做架构调整。
6、安全性:网络安全是基础平台安全架构的一个重要组成部分,因此安全性也是网络平台需要考虑的设计目标之一。由于网络安全域的划分与隔离很大程度上依赖网络结构的合理性,因此在设计网络架构的时候需要考虑整体网络安全性,便于安全方案进行安全域的划分和安全域间访问控制。
5.2关键技术
根据上述的设计目标,云数据中心的网络平台的架构设计采用如下的关键技术满足设计目标。
1、高效性:云数据中心交换机支持纵向维度的异构融合,可以将盒式设备以及AP设备纵向虚拟化为核心交换机的板卡以及端口,实现设备的统一管理。数据中心交换机
的逻辑设备,满足多业务区共享核心交换机的需求;与此同时支持将两台或多台物理核
要能支持目前业界最高的1:16设备横向虚拟化能力,将一台物理设备虚拟成多立
2、高可靠性:核心设备的业务板卡与交换网板采用完全正交设计,使得跨线卡业
务流量通过正交连接器直接上交换网板,从而背板走线降低为零,极大的规避信号衰减。
另外核心设备和关键设备均需配备两台以上,并通过网络虚拟化技术虚拟为一台逻辑设
备。参与虚拟化的物理设备同时工作,并自动进行流量的负载均衡。这样一台物理设备
失效,其网络流量负荷会自动被其他参与虚拟化的物理设备接管,不会产生单点故障。
3、可扩展性:采用核心、接入的二层结构,在核心交换机上预留足够的万兆接口和板卡槽位,保证今后有足够的扩展能力连接更多的接入交换机,从而支持云平台的扩展性。
4、灵活性、易维护性:采用网络虚拟化技术,把多台物理设备虚拟成一台逻辑设备,减少设备节点,简化了配置工作。采用业务平面、管理平台和存储平面分离的架构,
能够更容易进行网络资源的管理和分配以及QOS 保障。
5、先进性:支持IETF标准协议TRILL(TransparentInterconnection of Lots of Links),采用TTL避免二层环路,大幅增强了网络的稳定性,同时加快网络收敛速度;TRILL组网下,所有数据流量基于SPF及ECMP实现快速转发。
6、安全性:按照网络承载业务的功能进行区域划分,把不同性质的业务分布在不同的网络分区中。这样不仅便于后期服务器等计算设备的扩展,而且便于规划网络安全域,并对安全域之间进行访问控制。采用统一互联网出口,并做统一的安全防护,可以有效降低各个部门网络出口所带来的互联网风险和隐患。
5.2.1的三平面
遵循国家电子政务相关标准和指南,考虑到网络今后的可扩展性和灵活性等需求,云数据中心建设网络平台可分为业务平面、管理平面和存储平面三个网络平面。三个网
要为设备自身、安全系统、运维系统所使用,存储平面完全是一个封闭的私有网络,服
络平面相互。业务平面主要服务对象是为租户的业务应用软件的通讯,管理平台主
传统的数据网络平台架构一般采用核心—汇聚—接入的三层网络架构模型,采用这
种传统的网络架构存在以下几个方面的问题:
? 网络的层次较多,处理效率低;多增加了一个汇聚的层面,就会额外增加汇聚 设备的处理时延、线路时延等;同时由于网络节点数量增多,也增加了部署成 本和设备故障的几率;
? 由于汇聚层面设备一定存在处理性能和上行带宽的收敛比,在数据中心规模不 断扩大的情况下,汇聚设备会成为整个网络的瓶颈,出现拥塞、丢包等问题;
? | 在网络扩容时,不仅仅需要增加接入层的设备,同时也必须考虑到汇聚设备的性能和端口密度能否满足要求,也需要进行相应的扩容,带来投资成本的增加。 |
? 网络设备之间的STP、LAG、路由处理、安全等相互之间的交互信息,随着设备 数量的增加,会成几何级数激增。
? 随着云数据中心虚拟化的技术的大规模应用,新的网络平台流量模型中,大多 数的流量是在内部服务器之间进行通信,甚至能够达到整体流量的75%,这种 部署架构会导致服务器之间流量需要通过汇聚层甚至核心层设备转发,效率低 下,且性能很差。
? 为了解决上述存在的问题,数据中心网络架构采用扁平化二层网络架构(核心 层、接入层),使用网络虚拟化技术,核心交换机承担核心层和汇聚层的双重 任务。
中,采用网络虚拟化技术,解决链路环路问题,提高了网络可靠性,采用二层技术可以
在提高带宽的同时降低网络延时。
? 核心层:采用网络虚拟化技术,将两台核心交换机虚拟为一台设备,设备背板 共享,交换能力提高。
? 接入层:采用网络虚拟化技术,将两台或多台接入交换机虚拟为一台设备,设 备背板共享,交换能力提高。
核心交换机和接入交换机之间的四条跨框链路捆绑为一个Eth-Trunk组,网络架构变成树型模式。在TRILL组网下,所有数据流量基于SPF及ECMP 实现快速转发,解决了传统STP协议中存在的次优路径问题,大大的提高了带宽的利用率。
扁平化二层网络架构设计的主要优势在于:
? 简化网络管理,降低维护管理成本
? 能够减少网络中的交换机和链路数量,从而降低前期购置成本和后期维护成本
? 网络性能提高,支撑高性能的服务器流量
? 通过减少交换层数量,流量需要穿越的交换机数量也会减少,从而可以缩短延
迟,提高应用性能
? 网络利用率提高,支撑云平台的资源池动态调度
? 云平台要求对于计算资源池和存储资源池任意按需调配。要求网络能够适应这
种大范围的调度
? 网络可靠性提高
? 减化的网络通过虚拟化技术,可以消除网络中的可靠性隐患,无需运行
spanning-tree 协议,消除网络的故障收敛时间,从而提高网络可靠性
功能更加明确。这样在每个区域内部调整时不会影响其他区域,而且区域内部资源调度
也更加方便和灵活。依据这样的设计理念和设计原则,网络平台应根据业务性质或网络
设备的作用进行区域划分,通常需要考虑以下几个方面内容:
? 按照网络架构中设备作用的不同,网络可以划分为核心层、接入层,层次化结
构也有利于网络的扩展和维护。
? 综合考虑网络服务中数据应用业务的性、各业务的互访关系,以及业务的
安全隔离要求,电子政务在逻辑上还划分为外联区(包括DMZ区、政务外
网服务器区)、网络核心区(包括网络服务区)、计算区域(包括运维管理区、
开发测试区、等保二级、等保三级和高安全高敏感区)、存储区域(包括IPSAN
区和FCSAN 区)、委办局接入区等。
5.3、总体架构
云数据中心网络平台划分为外联区、网络核心区和计算存储区。不同的区域通过防火墙进行逻辑隔离。
网络架构采用扁平化二层网络架构(核心层、接入层),使用网络虚拟化技术,核心层交换机承担着核心层和汇聚层的双重任务。核心层采用网络虚拟化技术,将两台核心交换机虚拟为一台设备,设备背板共享,交换能力提高。接入层采用网络虚拟化技术,将两台或多台接入交换机虚拟为一台设备,设备背板共享,交换能力提高。核心交换机与接入交换机的骨干链路采用万兆互联,服务器采用千兆链路接入。
各个委办局光纤接入
如下图所示,各委办局用户通过政务的光纤,接入云数据中心。
由于各委办局的光纤接入均为千兆链路,各个委办局光纤接入交换机上联至云计算
中心核心交换机万兆接口,根据不同光纤承载的委办局用户数的不同,可以在光纤接入
交换机和云数据中心核心交换机上进行限速和优先级设定,优先保障重要单位的网络流
量带宽。
第六章、服务器虚拟化设计方案
6.1设计目标
云数据中心需要配置合适的服务器来满足其强大计算能力的需求,因此针对于计算节点的设计,本次设计目标是达到MAPSS标准,其中MAPSS原则指的是:
1、M-可管理性(Management)
3、P-性能(Performance)2、A-可用性(Availability)
6.2 方案拓扑
服务器区采用的是高性能物理服务器加虚拟化服务器的方式来解决计算资源的分
配问题,由于数据库的低延时和高性能的要求,所以数据库服务器采用单独的物理机来
承载。其他业务系统由物理服务器进行虚拟化部署。通过虚拟化整合物理服务器,将业务迁移到云平台上,可通过资源共享实现最大的利用率,节约硬件投资和维护成本。
6.3物理服务器
云数据中心有多个应用数据库和基础库支撑平台数据库,由于数据库的低延时和高性能的要求,本次数据库服务器采用单独的物理服务器来承载,不仅需要能够满足当前类型应用的实际需求,同时还需要满足未来3-5年内应用平滑扩展的需求。
数据库服务器主要为上层应用软件服务,为了方案设计便于计算,并留有一定余量
为全局型应用和资源型应用以及后续准备上线的业务应用系统来使用。由于数据库业务
需要保证整个系统的高吞吐和高可靠性,对整个服务器的CPU处理性能和内存要求较高,
一般建议采用4 台高四路服务器来承载应用数据库,采用
4 台高四路服务器来承载基础 128GB库支撑平台数据库。一共8 台高四路服务器,单台采用E7-48008 核 2.0G CPU、
内存、2*300GB15K SAS 硬盘、配置8GB FC HBA卡、1GB Cache Raid卡。
求。虚拟化技术很好地解决了传统服务器系统建设的问题,通过提高虚拟化服务器利用
率大幅度消减物理服务器购置需求、数量和运营成本;通过利用服务器虚拟化中CPU、
提升业务应用的服内存、I0资源的动态调整能力实现对业务应用资源需求的动态响应,
务质量;通过在线虚拟机迁移实现更高的可用性和可靠性以及各种基于资源优化或节能
减排策略的跨物理服务器的调度等等。因此,服务器虚拟化技术是云数据中心应用和平
台建设的核心解决方案。
6.4.1服务器虚拟化技术特点
1、分区:在一个物理系统中,可以支持多个应用程序和操作系统。可在扩展或扩张。体系结构中将服务器整合到虚拟机中。计算资源被视为以可控方式分配给虚拟机的统一池。
2、隔离:虚拟机与主机和其他虚拟机完全隔离。如果一个虚拟机崩溃,所有其他
虚拟机不会受到影响。虚拟机之间不会泄露数据,而且应用程序只能通过配置的网络连
接进行通信。
3、封装:完整的虚拟机环境保存为文件,便于进行备份、移动和复制,为应用程
序提供标准化的虚拟硬件,可保证兼容性。
综上分析,建议计算资源池采用服务器虚拟化架构。
一般建议采用20台(数量根据实际情况确定)高四路服务器来承载虚拟化平台,
单台采用E7-48008 核2.0GCPU 、256GB内存、2*300GB15K SAS 硬盘、配置8GBFC HBA
卡、1GBCache Raid 卡。
第七章、存储虚拟化设计方案
7.1方案设计原则
根据一般已建成的政务应用系统和将要建设的智慧城市各应用的特点,存储系
统在建设过程中应当遵循如下原则进行:
? 安全可靠性原则
? 系统器件选择要考虑能支持7×24小时连续长时间大压力下工作;
? 系统支持双活动控制器,满足高可靠性需求
? 确保系统具有高度的安全性,提供安全的登录和访问措施,防止系统被攻击;
? 异常掉电后不丢失数据,供电恢复后自动重新启动并自动恢复正常连接;
? 先进性原则
? 系统必须严格遵循国际标准、国家标准和国内通信行业的规范要求;
? 需符合存储技术以及IT行业的发展趋势,所选用的产品型号已规模上量;
? 所有的系统处于先进的技术水平,确保较长时间内技术上不落伍;
? 系统的处理能力要达到业内领先,对于本次业务的使用要留有一定的余量,以
满足后续升级的需求;
? | 开放性原则 | |
与主流服务器之间保持良好的兼容性; |
| |
? 兼容各主流操作系统、卷管理软件及应用程序;
? 可以与第三方管理平台集成,提供给客户定制化的管理维护手段;
? 满足今后的发展,留有充分的扩充余地;
? 各主流厂家的硬盘均可接入;
? 易维护性原则
? 系统支持简体中文,通俗易懂,操作方便、简单;
? 系统具有充分的权限管理,日志管理、故障管理,并能够实现故障自动报警;
? 系统设备安装使用简单,无需专业人员维护;
? 系统容量可按需要在线扩展,无需停止业务;
? 系统功能扩充需要升级时,支持不中断业务升级;
? 支持WEB管理方式或集中管理方式;
? 扩展性原则
? 系统选择标准化的部件,利于灵活替换和容量扩展;? 系统易于扩充;
? 综合考虑集中存储系统的性能和价格,最经济最有效地进行建设,性能价格比
在同类系统和条件下达到最优。
7.2拓扑结构
其设计配置如下:
? 所有业务集中存储
? 同时支持FC和IP组网
? SAS、SATA硬盘混插
? 应用了先进的硬盘休眠技术
? 支持存储虚拟化
? 支持多节点集群
? 支持基于存储网关的镜像、快照
? 支持基于存储网关的数据复制
7.3方案特点
由于业务系统的增长速度越来越快,从硬件的升级换代速度来看,传统的中低端存
储不能满足云数据中心的需求了,因此数据中心建议采用高端存储(至少每存储配置双
存储虚拟化,彻底满足异构存储整合、存储空间统一管理、多级容灾系统构建等需求,
控,至少192GB缓存,192G后端磁盘通道),并且配置存储虚拟化网关实现硬件层面的
第八章、云数据中心安全建设方案
8.1安全策略配置原则
安全防护一般遵守遵循下列原则:
1. | 最小授权原则。依据“缺省拒绝”的方式制定防护策略。防护策略在身份鉴别的基础上,只授权开放必要的访问权限,并保证数据安全的完整性、机密性、 | |
可用性; |
| |
2. 业务相关性原则。在保证业务正常运行、保证效率的情况下分别设置相应的安 全防护策略;
3. 策略最大化原则。当存在多项不同安全策略时,安全域防护策略包含这些策略 的合集,并选取最严格的防护策略,安全域的防护必须遵循策略最大化原则。
8.2云数据中心安全设计
传统数据中心网络安全包含纵向安全策略和横向安全策略,无论是哪种策略,传统数据中心网络安全只关注业务流量的访问控制,将流量安全控制作为唯一的规划考虑因素。而虚拟化数据中心的网络安全模型则需要由二维平面转变为三维空间,即增加网络安全策略,网络安全策略能够满足虚拟机顺畅的加入、离开集群,或者是动态迁移到其它物理服务器,并且实现海量用户、多业务的隔离。
根据云平台的安全策略要求,一般部署两台千兆防火墙做为云数据中心的网关,虚拟出相应数量的防火墙以实现虚拟机隔离、虚拟机迁移策略随行及不同委办局访问数据中心采取不同安全策略。
8.2.1安全域划分设计
按照安全服务接口层、纵深防御层、安全运行管理层三层安全体系结构,针对不同的安全域进行不同层级的安全防护,安全是整体的安全需要安全设备与网络设备互相配
合协同。
安全域划分是一种逻辑意义上的划分,是在建立在数据中心网络结构之上的划分,不同于单纯在防火墙中的安全域划,通过网络、设备、业务的物理隔离和防火墙域划分,策略配置等完成的功能、业务等方面的逻辑隔离,云计算虚拟化内部采用VDC实现不同安全子域虚拟机的隔离。根据数据中心的业务逻辑、安全防护需求和网络构成特点,将数据中心划分为不同的安全域;再根据安全域内部的不同安全需求划分为安全子域,形成安全域与安全子域两级结构。
各个安全域和安全子域的功能划分如下表所示:
|
数据中心内部安全域的划分主要采用如下方法:
(1)计算中心网络为“分层分平面”的网络架构,整体组网分为核心层与接入层两个层次以及管理、计算、存储、业务4个平面。
? 管理和业务平面隔离:计算、管理在不同的VLAN平面? 计算和存储物理隔离:的存储网络。
? 应用三层架构平面隔离:可以根据业务需要,如把WEB->APP->DB划分在不同的VLAN 平面。
(2)各业务区根据需要可以划分为不同的VLAN通过虚拟防火墙实现二层隔离。(3)通过在数据中心出口应用防火墙来实现对安全区域的隔离。它可以工作在透明模式,也可以工作在路由模式,方便各种组网需求,主要实现如下的功能:
? 通过防火墙严格的ACL策略和连接状态检测进行通信合法性保护隔离内部各个部门,可以为不同的部门设置不同的安全级别,能实现各个部门之间的访问策略,也可以防范 防火墙的ACL提供了细粒度的访某些内部用户发起的针对其他区域内设备的各种攻击。
问控制功能,实现的粒度包括:源与目的IP地址、源与目的MAC地址,源与目的端口、访问协议等。保护计算中心内部的一些重要的服务器,控制各委办局和外部对这些重要资源的访问,防范针对这些服务器的各种攻击。
? 通过部署应用防火墙,对流经网络的报文进行详细的分析与检查,探测各种可能的异常情况和攻击行为。对不同的部门均可以部署在不同的业务区中,它们之间可以通过VLAN和虚拟防火墙进行网络隔离
? 虚拟化中可以采用VDC和安全组方便的实现不同业务分区和虚拟机的隔离。
8.2.2虚拟机隔离设计
墙划分三个逻辑实例,每一对虚拟防火墙工作在主-主模式,防火墙实例分布在两台上
面,从而达到负载分担和冗余备份的能力。不同业务虚拟机的网关地址各不相同,同一
个逻辑集群内的虚拟机只能在VLAN内迁移,如公共服务、智慧、协同办公三种业
务分别对应在VLAN2、VLAN3、VLAN4内,每组业务使用的VLAN、接口、路由表及
转发表,将一台物理网络设备逻辑上分割成多台虚拟设备,增强对计算资源的安全访问
隔离控制能力。
防火墙做服务器网关,L2分区之间互访必须经由防火墙对互访流量做状态检测,并卫生医疗、环境治理、GIS之间完全由防火墙实现访问控制,属于强隔离措施。若存在部分数据库相互调用可设置允许某一端口IP地址互通。
8.2.3各委办局接入策略控制设计
通过虚拟防火墙对不同委办局接入时采取不同的权限策略,每个委办局介入时虚拟
防火墙系统运行过程中根据转发流的情况动态申请。如转发面会话表、监控表、带宽等
资源表现为实时性很高,可能某一个时段仅需要占用少量资源,另一个时段会占用较大
也可以避免空闲的虚拟防火墙在使用时出现饥饿申请不到资源的情况。
删除虚拟防火墙时,按照一定的顺序对各子系统的资源进行回收,保证资源回收干净。
8.2.4虚拟机安全策略动态迁移设计
当虚拟机实现跨服务器迁移时,需要实现虚拟机的安全策略随行。
8.3虚拟防火墙部署优势
虚拟防火墙是将一台物理设备从逻辑上划分为多立的虚拟防火墙设备的功能。每台虚拟防火墙都可以拥有自己的管理员、路由表和安全策略。通过虚拟系统技术,就可以让部
署在云数据中心出口的防火墙具备云计算网关的能力,对用户流量进行隔离的同时提供强大的安全防护能力。
为了实现每个虚拟系统的业务都能够做到正确转发、管理、相互隔离,防火墙主要实现了三个方面的虚拟化:
1. 路由虚拟化:每个虚拟防火墙都拥有各自的路由表及会话表,相互隔离。
2. 安全功能虚拟化:每个虚拟防火墙都可以配置的安全策略及其他安全功能,只 有属于该虚拟系统的报文才会受到这些配置的影响。
3. 配置虚拟化:每个虚拟防火墙都拥有的虚拟系统管理员和配置界面,每个虚拟 系统管理员只能管理自己所属的虚拟系统。
通过以上三个方面的虚拟化,使得防火墙的虚拟防火墙功能更加易于使用。
8.4DMZ区域安全设计
重点在于提供安全可靠的服务。
DMZ区域主要承载对外服务,而现在主要的威胁来自于互联网,因此DMZ区域建设
计算中心Web 服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加
有效地保护了内部网络。
电信 | 联通 | 移动 |
链路负载
均衡
防火墙
VPN
核心交 | 数 | TOR交换机 | 上网行为 | WAF |
管理 | ||||
据 | ||||
中 | ||||
心 | ||||
换机 | 核 | ... | 服务器 | |
心 | ||||
区 |
DMZ对外服务区
1、在互联网接入区的出口位置部署专用的链路负载均衡设备,链路负载均衡与全 局负载均衡设备共同实现由内向外和由外向内的出入站流量负载均衡。
2、DMZ区网络核心为两台防火墙,防火墙工作在路由模式,两台防火墙采用双机
3、防火墙的不同端口分别配置为UNTRUST区,TRUST 区或DMZ区。 热备方式部署,防火墙上配置DMZ区的网关。
8.4.1安全域划分与网络隔离
通过网络划分、隔离手段实现计算、存储、管理、接入等域的隔离,管理面单独物理组网,保证服务平台计算中心网络安全性,避免网络风暴等问题扩散。
电子政务用户不同安全级别的业务区域之间可通过网络安全组(虚拟防火墙)进行隔离。
8.4.2纵深防御系统
电子政务网络面临着黑客入侵、病毒入侵、网络攻击等多种安全威胁,需要功能强大的防火墙、入侵防御系统及抗攻击系统组成网络边界防御方案,防范扫描类攻击,
阻止畸形包攻击,资源耗尽型攻击,特殊报文控制。
1、防火墙
在DMZ区域和新计算中心部署防火墙,并开启防火墙的虚拟化功能,根据接入的用户个数,分别虚拟化出相应个数的虚拟防火墙,根据各个局办的安全保护等级,配置相应的安全策略。
2、VPN接入
在边界部属VPN系统,采用由密码等技术支持的完整性校验机制和保密性保护机制,以实现通信网络数据传输完整性和保密性保护,并在发现完整性被破坏时进行恢复。
4、网页防篡改
网页防篡改解决方案提供针对L2-L7层网站攻击的完整安全防御能力。其攻击防护部分功能解决方案解决了传统防火墙不能防护应用层安全威胁的问题,弥补了IPS入侵防护系统无法防护WEB攻击的弱点,弥补了基于WEB应用的WAF无法防止底层漏洞攻击
的缺陷,为用户提供完整的网站应用层安全防护方案。
第九章、运维建设方案
运维审 | 网管 | 威胁 |
计系统 平台 侦测
核心交 换机
1. 建设全网管理平台,实现全网的分级分权管理。通过网管系统对全网的拓扑和
设备进行管理,具有设备仿真面板所见即所得和对第三方主流设备管理的能力,
可以管理管理大规模的无线管理网络,对设备配置变更、收集软件版本为多台
设备统一批量配置和升级,大大节省管理员的工作量。
2. 建立统一运维审计系统,实现分级分权的管理。对其操作的过程进行记录,防 止人为误操作等,在发生事故后可以通过录像追究相应人的责任和迅速的恢复 系统。
建立全网的威胁侦测系统利用基于云安全、多协议关联分析和代码比对技术,3.
通过协议和应用的关联分析,快速定位高危节点和攻击型态,转化成详细的报告并提供处理措施进行落实。可以对企业网络安全环境进行智能分析,对于现 有的防毒架构提升更高层次的管理指标,从而大大提高网络、数据的安全系数,
真正达到事半功倍的效果。
9.1网管系统设计
云数据中心采用统一网管平台的架构,需实现对主流厂商和主流设备的管理,具备
如下功能:
1、轻量级系统,用户随时随地可访问网络,了解网络运行状态
? B/S架构,客户端免安装,轻量化、WEB化,减轻客户端电脑载荷,减少系统
维护与升级成本和工作量
? 可运行在便携机上,获得更好操作体验
2、组件化管理,按需构建企业运维平台
? 统一平台,风格一致,优质的用户体验
? 按需获取,灵活选择,降低成本,避免重复投资
?
3、多厂商、多资源设备统一管理,用户可轻松实现全网设备统一管理
全面的设备管理能力:全面支持路由器、交换机、AR、安全设备、WLAN、防火
? 第三方设备定制能力:可支持设备厂商、设备类型、性能、告警管理的定制
4、全方位故障监控系统,实时了解网络故障,快速定位故障原因、排除故障
? 7*24小时不间断的故障监控,实时的故障提醒,以及故障远程通知
? 故障与拓扑和设备面板之间的快速跳转
? 告警归并、告警屏蔽等措施,有效降低呈现在用户界面的告警数
5、可视化管理,助力用户直观了解网络状态
? 拓扑管理:提供物理拓扑和IP拓扑两张拓扑,实现网络设备的图形化、层次
化展示,同时显示网元、链路状态
? 性能管理:多种性能监视指标,度呈现网络状况;性能监视视图,持续刷
新;不同图表展现不同性能监视指标以及历史数据的分析
6、简单便捷的日常运维操作,有效的降低运维人员的技能要求,提高工作效率
? 智能配置工具:预置了常用的业务配置模板,用户可以方便的选择模板,进行 设备批量配置;通过规划表方式,进行设备差异化批量配置
? 配置文件管理:提供设备配置文件的备份、比较、恢复的功能。备份支持立即 备份、周期备份、设备变更告警触发备份
? 智能报表:提供丰富的预定义报表,同时提供强大易用的报表设计功能,用户 可根据行业特点和自身运维要求进行客户报表定制
9.2统一运维审计系统设计
统一运维审计系统能够针对每次操作会话进行记录和控制,详细记录整个操作过程,并以指令和回放文件两种方式对整个会话过程进行记录。对每次管理员维护的操作会话,运维管理内控审计系统能够详细记录会话时间、用户名、源/目标IP、操作指
令、操作结果等信息,并形成指令日志及回放文件,同时支持在操作过程中对操作行为 |
10.1本地存储备份容灾方案设计
通过配置存储虚拟化网关实现本地存储备份容灾。
需达到的效果为:生产存储故障时,数据零丢失(RPO=0),业务零中断(RTO=0)。需从两个维度系统进行保护:1)业务连续性;2)数据安全性。
在业务连续性方面,通过集群镜像功能,对两台生产阵列同时写入生产数据,保障了任意一台生产阵列故障,上层应用无影响,数据零丢失,业务零中断,保障了数据安 全性和业务连续性;数据库服务器可部署为OracleRAC 的Active-Active 集群模式,可
以实现业务负载均衡以及节点故障自动切换;应用服务器部署为云平台集群,以保证应用主服务器故障时,应用可自动切换到备服务器上运行。
在数据安全性方面,通过存储阵列的快照功能,可保留生产系统数据的部分历史版本,保障了系统出现逻辑错误或者数据遭病毒感染等,可以通过快照恢复到系统正常时刻的数据,快速将业务恢复正常。
Copyright © 2019- tjwe.cn 版权所有
违法及侵权请联系:TEL:199 18 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务