企业云融合计算解决方案参考.docx

《企业云融合计算解决方案参考.docx》由会员分享，可在线阅读，更多相关《企业云融合计算解决方案参考.docx（55页珍藏版）》请在第一文库网上搜索。

1、企业云融合计算解决方案参考目录1 项目目标1.1 项目背景1.2 现状及需求分析1.3 总体建设目标1 .4具体技术目标1.1.1 丰富的基础设施资源服务1.1.2 高效的智能管理能力1.1.3 端到端的安全防护能力15建设原则2 总体架构设计2.3方案架构设计2.3.1总体架构2.3.2网络架构2.3.3安全架构2.3.4计算架构2.3.5存储架构2 .3.6运维管理架构3 计算核心虚拟池设计3.1 主机资源化平台设计3.2 虚拟机的定义3.3 计算资源池分类3.4 服务器容量规划3.5 虚拟机资源分配3.6 虚拟机的物理分布3.7 高可用性设计3.8 动态资源调整4 云业务及管理平台设计4

2、.2云平台组织架构及权限管理4.3Iaas云业务4.3.1云主机服务4.3.2云防火墙4.3.3云负载均衡服务4.3.4VPC租户服务4.3.5计费管理4. 3.6物理主机服务5运维管理设计5. 1建设目标5. 11总体目标5. 1.2技术目标5.2基础资源监控5. 2.1网络设备管理系统5. 2.2主机应用管理系统5.2.3存储设备管理1.3 业务服务管理5. 3.1业务可视化监控6. 3.2基于业务的故障管理及分析1.4 告警管理1.5 统一的IT资源配置信息库(CMDB)5. 5.1配置管理关键点6. 5.2配置项的范围7. 5.3配置项的关系设计8. 5.4配置管理系统功能9. 配置清

3、单说明9.1 硬件配置需求9.2 虚拟化软件配置需求1项目目标1.1项目背景国内某大型食品加工企业根据业务需要，新建研发数据中心。研发数据中心要求以虚拟化、云计算为支撑，以信息安全为核心，以标准化、模块化服务为主体，以运营服务为导向，建设基于云理念的弹性、高效、安全的基础设施资源运营服务中心，实现基础软、硬件设施资源动态调度、自动管控、共享使用和业务快速部署，提高运营效率，降低运营成本，满足企业“数据驱动、用户至上、开放协同、随需应变”的信息化发展战略的要求。现状业务系统现状如下：(1)烟囱式的建设方式导致资源无法统一规划、资源无法共享，利用率低。各业务系统在建设的时候独立规划，系统间设备复用

4、程度低。资源无法在业务系统之间共享，而建设投资基于预估峰值，实际上线后资源利用率低，造成投资浪费。不同阶段设备购置型号不同，增加了设备维护的难度。由于硬件采购周期的原因，业务系统上线周期长达3-6个月。(2)IT基础架构缺乏弹性业务发展超出预期时，无法根据业务需求动态调整资源供给，难以满足业务快速增长的需求。系统资源扩展同样需要周期，在此过程中，业务系统将处于高危运行状态，服务质量下降。(3)运维效率低、压力大运维压力主要来自于系统资源的监控和管理，如设备是否运行正常、应用平台的优化、设备的升级等问题。现有运维体系依托外包，初步实现了专业化分工，例如有专门的网络管理人员、存储管理人员、应用软件

5、管理人员等，但是由于系统管理缺乏关联性，而是依赖于人员合作，问题定位困难，解决问题的周期长，严重影响服务质量。部分系统存在单点故障，缺乏高可用设计，有必要对服务器进行虚拟化整合改造，利用虚拟化实现高可用；存储性能和可靠性均不满足未来业务要求，有必要对存储进行整合，提高资源的利用率，提高存储可用性。需求对新建的研发数据中心IT基础设施诉求如下：采用应用成熟、适度先进的技术，构建新型数据中心，并整合现有的资源，建立基于IAAS的基础软、硬件资源池，并进行动态调度、自动管控和共享使用，为企业各类业务应用提供标准化、可定制化的运行环境，提高整体运营效率和IT设施的可靠性、安全性，并有效降低运营成本，促

6、进企业信息化的跨越式发展。同时，满足未来市局范围内多数据中心之间资源共享、统一管控的要求。(1)建立高效灵活的IT架构，实现IT资源对业务变化的快速响应。在业务场景变化时能够自动化的实现IT资源的调度，缩短业务系统的建设周期，提高业务系统的使用体验用户满意度。(2)通过集中化管理、统一运维，以及标准化的运维流程和智能化的监控与事件分析，提高运维效率、降低运维成本。(3)综合考虑信息安全等级保护3级要求和业务应用的实际需求，提供事前防御、事中控制、事后审计全方位保障，提高信息安全防护能力。1.3 总体建设目标(1)建立技术成熟、适度前沿的企业“私有云”服务中心通过虚拟化、云计算技术，将硬件、软件

7、进行有效集中形成IaaS资源池，面向全市局提供服务，实现业务快速上线和网络、安全、计算、存储等资源的弹性扩展，形成高效、便捷的企业级“私有云”。(2)实现多数据中心统一管控、互为备份利用“大二层”网络技术，实现多个数据中心之间负载分担、互为备份架构，有效整合市局内部IT资源，并实现资源共享、统一管控。(3)实现集设备、业务、状态监控、事件分析于一体的智能运维通过建设集设备管理、业务管理、状态监控、事件分析于一体的智能化运维管理平台，降低运维复杂度，提升故障定位及恢复效率。(4)实现网络及业务风险纵深防御以等级保护为指导，从网络、主机、应用、数据等多个层面出发，实现事前防御、事中控制、事后审计多

8、维度纵深防御体系。(5)兼顾现有业务特点，实现平滑迁移以稳妥和安全为前提，按计划、分批实现新旧两个数据中心的应用迁移。按照先易后难的方式，详细规划好风险的规避措施和回退步骤，最大限度降低对业务的影响。1.4 具体技术目标1.4.1 丰富的基础设施资源服务(1)物理资源：云平台以服务目录的方式实现物理服务器、网络、存储、安全设备的自助申请与管理。（2）虚拟资源：通过虚拟化技术，将物理资源划分更细小的服务单元，基于云平台提供云主机、云存储、云网络、云防火墙等虚拟资源。（3）虚拟数据中心（VDC）资源：可为下属单位用户以小型逻辑数据中心的模式提供批量的物理或虚拟的计算、存储和网络等资源集合。（4）分

9、布式应用资源：可针对分布式架构业务系统，提供基于容器（Docker）、关系型数据库（RDS）、消息队列（MQ）、缓存（RediS）、微服务等应用所需的软件基础环境（由于基于分布式架构的应用本身非标准化应用，一般性情况下都是由应用软件系统开发商结合自身业务特点，选用并搭建相关环境，无法在没有具体需求时提前搭建，故本次数据中心设计方案不包含具体的分布式应用供给，仅考虑提供系统所需的物理机/虚拟机、传统SAN或分布式存储，并通过云平台实现基础设施层面的统一管理）。1.4.2 高效的智能管理能力（1）应用的自动化部署。将特定规格的虚拟机、存储、数据库、中间件等事先编排成模板，用户可以通过自助菜单申请应

10、用资源环境，实现应用的快速部署。（2）云备份能力。提供虚拟机整机的备份功能，结合虚拟化漂移能力，实现应用主机的高可用。（3）云容灾能力。在网络打通的前提下，支持基于用户视角实现单个业务的多数据中心的容灾。（4）主机迁移服务。实现物理机到虚拟机、虚拟机到虚拟机之间在线迁移。（5）高效运维能力。通过对基础资源（主机、网络、存储）、应用组件（数据库、中间件、web服务等）统一监控以及日志分析，及时发现故障隐患、性能瓶颈，实现业务稳定运行。（6）故障恢复时间：对于硬件设备故障：5分钟以内对于系统软件环境故障：20分钟对于数据来类故障：依赖业务数据量和恢复速度1.4.3 端到端的安全防护能力实现业务系统

11、登录认证、攻击防御、数据传输及存储保护、日志审计等全过程管理，并配合边界隔离、病毒检测、实时监控等运维措施，实现端到端的安全。（1）登录安全：采用CA认证及堡垒机登录，确保身份可信，并对登录人员账号进行权限管理。（2）传输安全：外部登录数据传输采用VPN隧道方式接入，对明文数据进行SS1加密。（3）边界安全：根据安全级别对业务系统进行安全区域划分，分区间采用防火墙进行安全隔离；在互联网出口处部署入侵检测防御、病毒检测防御、抗DDOS攻击设备等安全措施个区域边界进出数据和流量的安全。（4）主机安全：采用系统安全加固、防病毒软件手段保证业务主机安全。(5)数据安全：采用数据加密存储、介质冗余、存储

12、双活、定时备份等措施，确保数据安全。(6)运维安全：利用日志审计、数据库审计系统及时发现系统中存在的或潜在的威胁，并通过监控实时发现异常情况以及时处理。(7)云安全：利用V1AN隔离、安全组策略，结合边界防火墙共同部署构筑南北+东西流量安全防护机制，并对云平台、API接口进行安全加固，确保云平台自身的安全。1.5 建设原则(1)高可用性关键设备和链路采取冗余设计，保障在设备或链路出现故障的情况下，服务不间断；同时，综合利用大二层迁移、数据远程复制等技术实现企业的业务及数据备份，保障在数据中心在不同程度故障的情况下业务能够快速切换，不影响用户业务。(2)业务需求快速响应通过部署具备云业务自动化管

13、理的云平台，自动提醒相关人员对业务部门提交的需求电子流进行需求审核，并为业务部门创建、分配相应虚拟机资源，无需传统数据中心硬件设备选型、采购、上线、配置等复杂流程，实现业务上线时间最短可达半小时，大大提升数据中心对业务部门的响应速度。(3)运维高效通过建设集设备管理、业务管理、状态监控、事件分析于一体的智能化运维管理平台，降低运维复杂度和系统故障率，提升故障定位及恢复效率。（4）扩展灵活选用具备冗余业务插槽、支持功能和性能灵活扩展的设备，实现在不影响现有业务的前提下进行网络扩容，满足不断增长的业务对数据中心功能和性能扩展的需求。（5）风险纵深防御数据中心建设以公安部信息系统安全保护等级定级指南

14、和信息系统安全等级保护测评准则为指导，从网络、主机、应用、数据等多层面综合考虑，建设纵深防御体系。2总体架构设计2.1方案设计思路1 ）基于IaaS云管理平台建设的自动化云数据中心设计通过计算虚拟化系统建设的数据中心，采用云管理平台进行资源的管理，并提供自助式的云服务，能有效实现企业信息系统的技术标准化和管理规范化，为企业信息系统提供更好的支撑。云管理平台需要在虚拟化技术的支撑下，对包括计算资源、存储资源、网络资源等在内的基础架构进行管理，实现按需的、自动化的、可计量的对基础架构资源进行分配，同时，实现对资源使用情况和健康情况进行监控和管理。2 ）基于软件定义+网络虚拟化动态灵活的云网融合设计

15、云数据中心引入服务器虚拟化技术后，对网络要求大二层设计，传统的V1AN技术存在跨三层网络的限制（特别是在夸数据中心），无法做到二层透传，而基于新一代VX1AN技术可实现三层网络透传，在物理网络上叠加一个软件定义的逻辑网络，物理网络不变，通过定义其上的逻辑网络，实现跨三层网络的二层透传，从而大二层网络的扩展问题。软件定义+网络虚拟化利用标准的OPenF1OW协议，通过软件定义控制器与OpenF1ow交换机来捕获云环境中新上线虚拟机所发出的报文，再根据捕获到的报文特征来感知虚拟机启动或迁移事件与虚拟机接入位置。基于这一技术，可以将获取到的虚拟机位置信息通知软件定义网络控制器，软件定义网络控制器进而在网络设备上自动下发虚拟机相关的网络策略，实现网络自动配置，让虚拟机上的业务能够被正确地访问，这一过程全部是自动化处理的，从而保证了网络配置的正确性与快速下发，实现网络动态感知虚拟机迁移，实现网络策略的动态跟随，真正实现云、网融合。3 ）基于软件定义的信息安全与基础资源动态调度设计虚拟化和云的引入，形成计算、存储、网络及安全资源池，资源池化后网络边界模糊，需要引入新的技术解决虚拟化环境的隔离能力，并且能够实现资源池的基础资源能够在不同租户