xx市电子政务云平台建设方案(最全版本)128

xx市电子政务云平台建设 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 （最全版本）xx市电子政务云平台建设方案（最全版本）V3.0第421页目录1项目建设方案131.1总体建设方案131.1.1政务云平台总体架构131.1.2数据中心间互联架构141.1.3云服务商平台总体架构151.1.4政务云平台总体网络拓扑设计161.1.4.1现有数据中心改造161.1.4.2现有数据中心、A中心和B中心连接设计181.1.5政务云平台总体安全拓扑设计201.1.5.1xxx网安全拓扑设计211.1.5.1互联网安全拓扑设计221.1.6云管理平台架构设计231.1.6.1IT架构面临的问题231.1.6.2云平台架构新思考251.1.6.3VCF虚拟融合架构291.1.6.4VCF架构下的云平台321.1.6.5云平台融合架构设计341.1.7xxx网云平台方案361.1.7.1基础架构层361.1.7.1.1设备选型371.1.7.1.2专享业务区451.1.7.1.3管理和服务区461.1.7.1.4云数据库区471.1.7.1.5核心交换区481.1.7.1.6安全访问区491.1.7.2资源融合控制层501.1.7.2.1融合控制体系511.1.7.2.2网络控制器521.1.7.2.3虚拟化管理平台531.1.7.2.4计算资源池构建571.1.7.2.5网络资源池构建631.1.7.3云服务及资源管理层651.1.7.3.1IaaS服务651.1.7.3.2PaaS服务671.1.7.3.3多租户组织架构681.1.7.3.4委办局云服务使用流程681.1.7.3.5云服务的申请与审批691.1.7.3.6云服务交付691.1.7.4vDC虚拟数据中心911.1.8互联网云平台架构981.1.9云平台部署逻辑架构1001.2IaaS层方案1001.2.1网络虚拟化1001.2.1.1基本需求1001.2.1.2技术选择1011.2.1.2.1VLAN+STP技术1011.2.1.2.2TRILL/SPB/FabricPath+VLAN1021.2.1.2.3SDN+Overlay的网络虚拟化技术1021.2.1.3模型选择1031.2.1.3.1Overlay技术介绍及选择1031.2.1.3.2SDN技术的引入1041.2.1.3.3Overlay方案模型介绍及选择1051.2.1.4SDN网络规划与设计1061.2.1.5Overlay网络介绍1091.2.1.5.1Overlay网络转发流程1101.2.1.5.2Overlay网关高可靠性1111.2.1.5.3控制器集群提供高可靠性1121.2.1.5.4控制器集群提供北向统一IP，简化云平台对接1131.2.1.5.5Overlay网关弹性扩展升级1141.2.1.5.6Overlay网络虚机迁移1151.2.1.5.7Overlay网络虚机位置无关性1161.2.1.5.8Overlay网络安全部署1161.2.1.5.9网络技术演进-vDC虚拟数据中心1181.2.2安全虚拟化1201.2.2.1安全网关虚拟化1201.2.2.2虚拟化架构-横向及纵向扩展性1231.2.2.3虚拟化架构-1:N:M虚拟化1241.2.2.4虚拟化架构-接口共享虚拟化1251.2.2.5虚拟化架构-N:1虚拟化1261.2.2.6安全功能虚拟化-虚拟软件安全网关1301.2.2.7安全虚拟化与安全服务链1321.2.2.8采用服务链方式的安全控制1391.2.3计算虚拟化1411.2.3.1虚拟化资源池1411.2.3.2虚拟化安全隔离1411.2.3.3虚拟机/存储热迁移1421.2.3.4虚拟机高可靠HA1431.2.3.5虚拟机规格动态调整1431.2.3.6自动化弹性调度1441.2.4存储虚拟化1451.2.4.1集中式存储规划设计1451.2.4.1.1存储架构1451.2.4.1.2优势介绍1461.2.4.1.3价值场景展现1471.2.4.2分布式存储规划设计1481.2.4.2.1技术特点1491.2.4.2.2ONEStor对硬件设备要求1611.2.4.2.3管理系统的特点1621.2.4.2.4管理系统的主要功能1641.2.5整体关键技术1671.2.5.1网络虚拟化技术设计1671.2.5.2服务器高可用技术设计1681.2.5.3数据库高兼容性设计1741.2.5.4存储高可用技术设计1751.2.5.5KVM虚拟技术设计1761.3IaaS云服务方案1791.3.1IaaS云服务目录1791.3.1.1计算存储网络服务目录1791.3.1.2安全服务目录1811.3.2云主机服务1821.3.2.1云主机概述1831.3.2.2云主机租户网络1861.3.2.3自定义镜像1901.3.2.4云主机特点1911.3.3云硬盘服务1921.3.4云存储服务1921.3.4.1云存储概述1921.3.4.2云存储特性1941.3.4.3云存储接口API1941.3.5云数据库服务1961.3.5.1云数据库服务介绍1961.3.5.2云数据库服务使用流程1961.3.5.3云数据库服务技术架构2021.3.5.4云服务自动化平台2031.3.5.5技术优势2061.3.5.6数据库性能2071.3.6云防火墙服务2081.3.6.1技术特性2081.3.6.2安全策略2111.3.6.3技术优势2121.3.7云负载均衡服务2121.3.7.1技术特性2121.3.7.2负载均衡策略2151.3.7.3技术优势2151.3.8云入侵防御服务2161.3.8.1技术特性2161.3.8.2入侵防御策略2181.3.8.3技术优势2181.3.9云WEB防护服务2201.3.9.1WEB应用安全防护需求2201.3.9.2WEB应用安全防护技术2211.3.9.3WEB防护策略2231.3.9.4技术优势2241.3.10云防病毒服务2251.3.10.1防病毒管理2261.3.10.1.1云查杀检测引擎2261.3.10.1.2人工智能检测引擎2281.3.10.2虚拟机安全防护2301.3.10.3宿主机安全防护2301.3.10.4安全策略管理2301.3.11云安全增值服务2301.3.11.1流量清洗2301.3.11.2安全日志审计2331.3.12云备份服务2341.3.13VPC服务2351.3.13.1虚拟私有云(VPC)架构的特点2351.3.13.2虚拟私有云(VPC)的实现方式2371.4PaaS层规划设计2391.4.1PaaS概述2391.4.2PaaS建设内容2401.4.3PaaS服务2411.4.4PaaS优势2421.5云管理平台2431.5.1云管理平台整体架构2431.5.2设备管理2451.5.2.1网络管理2451.5.2.2安全管理2491.5.2.3服务器管理2501.5.2.4存储管理2521.5.3资源管理2551.5.3.1IP资源管理2551.5.3.2主机应用管理2581.5.3.3服务健康管理2651.5.3.4数据库管理2651.5.4资源编排2661.5.4.1网络资源池化2661.5.4.2网络域和租户管理2671.5.4.3基于业务的可视化服务编排2671.5.4.4服务快速申请与撤销2691.5.4.5全面的服务监控2721.5.5资源监控2731.5.6用户管理2791.5.6.1用户管理策略2791.5.6.2用户权限控制2801.5.7流程管理2811.5.7.1政务云平台开通流程2811.5.7.2实时精确的联合CMDB2821.5.7.3完整的服务运维流程2821.5.7.4故障维护流程2831.5.7.5变更流程2831.5.7.6流程定制2841.5.7.7知识库管理2851.5.7.8服务台2851.5.8日志管理2861.5.8.1操作日志管理2861.5.8.2SYSLog日志管理2871.5.9报表管理2891.5.10计费策略管理2921.6云安全体系2931.6.1云平台安全建设要求2931.6.2政务云平台平台安全 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 要求2941.6.3等级保护重点要求及分解应对措施2951.6.4云安全体系架构设计3051.6.4.1云整体安全逻辑架构3051.6.4.2云整体安全设计架构图3061.6.4.3云计算物理层安全3071.6.4.4虚拟化资源层安全3071.6.4.5多租户IaaS服务层安全3081.6.4.6PaaS/SaaS应用层数据安全3091.6.5各功能区域架构设计3091.6.5.1核心交换区3091.6.5.2互联网出口区3101.6.5.3云管理区3111.6.5.4数据库系统区3121.6.5.5东西向资源池区3131.6.5.6虚拟主机安全防护3141.7云安全建设方案3151.7.1物理安全3151.7.1.1供配电系统3151.7.1.2防雷接地3151.7.1.3消防报警及自动灭火3151.7.1.4门禁3161.7.1.5机房要求。3161.7.1.6保安监控3161.7.2网络安全3161.7.2.1网络边界安全3161.7.2.2防火墙3181.7.2.2.1功能设计3181.7.2.2.2部署设计3181.7.2.3抗拒绝服务攻击（DDOS攻击）设计3191.7.2.3.1功能设计3191.7.2.3.2部署设计3201.7.2.4VPN安全接入设计3201.7.2.4.1功能设计3201.7.2.4.2部署设计3211.7.2.5网络漏洞扫描设计3211.7.2.5.1功能设计3211.7.2.5.2部署设计3221.7.2.6负载均衡设计3231.7.2.6.1功能设计3231.7.2.6.2部署设计3231.7.2.7入侵防护系统设计3231.7.2.7.1功能设计3231.7.2.7.2部署设计3241.7.2.8网络安全审计设计3241.7.2.8.1功能设计3241.7.2.8.2部署设计3251.7.2.9跨网安全设计3261.7.2.10功能设计3261.7.2.11部署设计3271.7.3主机安全3271.7.3.1主机访问控制设计3271.7.3.1.1功能设计3271.7.3.1.2部署设计3271.7.3.2主机防病毒设计3281.7.3.2.1功能设计3281.7.3.2.2部署设计3281.7.3.3主机漏洞扫描设计3281.7.3.3.1功能设计3281.7.3.3.2部署设计3281.7.3.4主机安全审计系统设计3291.7.3.4.1功能设计3291.7.3.4.2部署设计3291.7.4虚拟化安全3301.7.4.1虚拟机访问控制设计3301.7.4.1.1功能设计3301.7.4.1.2部署设计3311.7.5应用安全3321.7.5.1应用漏洞扫描设计3321.7.5.1.1功能设计3321.7.5.1.2部署设计3321.7.5.2WEB应用防护设计3331.7.5.2.1功能设计3331.7.5.2.2部署设计3331.7.5.3网页防篡改设计3341.7.5.3.1功能设计3341.7.5.3.2部署设计3351.7.5.4网络架构安全3361.7.6数据安全3361.7.6.1功能设计3361.7.6.2部署设计3361.7.7管理安全3371.7.7.1安全管理机构3371.7.7.2安全 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 3391.7.7.3人员安全管理3401.7.7.4系统建设管理3411.7.7.4.1系统定级3411.7.7.4.2系统备案3411.7.7.4.3安全方案设计3421.7.7.4.4产品采购3421.7.7.4.5自行软件开发3431.7.7.4.6外包软件开发3431.7.7.4.7工程实施3431.7.7.4.8测试验收3431.7.7.4.9系统交付3441.7.7.4.10安全测评3441.7.7.5系统运维管理3451.7.7.5.1环境管理3451.7.7.5.2资产管理3451.7.7.5.3介质管理3461.7.7.5.4设备管理3461.7.7.5.5监控管理3471.7.7.5.6网络安全管理3471.7.7.5.7系统安全管理3481.7.7.5.8恶意代码防范管理3491.7.7.5.9密码管理3491.7.7.5.10变更管理3491.7.7.5.11备份与恢复管理3501.7.7.5.12安全事件处置3511.7.7.5.13应急预案管理3511.7.8安全服务3521.7.8.1安全评测服务3521.7.8.2安全检测服务3521.7.8.3系统漏洞检测服务3521.7.8.4Web漏洞检测服务3521.7.8.5配置核查服务3531.7.8.6渗透测试服务3531.7.8.7安全评估服务3531.7.8.8重点安全保障服务3541.7.8.9安全培训服务3541.8容灾备份方案3541.8.1容灾数据复制技术3541.8.1.1存储级数据容灾技术3551.8.1.2卷管理级数据容灾技术3561.8.1.3虚拟化级数据容灾技术3571.8.1.4数据库级数据容灾技术3581.8.1.5应用级数据容灾技术3601.8.2容灾整体方案架构3611.8.2.1数据备份3621.8.2.2容灾备份3631.8.2.3容灾方案配置3641.8.2.4本地备份方案3641.8.2.5同城灾备方案3651.8.2.6异地灾备方案3661.8.2.6.1关键业务数据灾备方案3661.8.2.7数据库备份3681.8.2.7.1数据库逻辑备份3681.8.2.7.2数据库热备－集群方案3681.8.2.7.3数据库复制3681.8.2.8备份策略3691.8.3数据容灾备份方案3701.8.3.1数据级容灾备份方案3701.8.3.1.1一般数据备份技术架构3701.8.3.1.2关键数据备份技术架构3721.8.3.2应用级主备灾备方案3731.8.3.2.1虚拟化平台容灾技术架构3731.8.3.2.2虚拟化平台容灾实现3761.8.3.2.3业务容灾实现流程3781.8.3.2.4数据库系统容灾技术架构3801.8.3.2.5分布式存储容灾实现设计3811.8.3.3XX政务云平台备份方案3831.8.4容灾备份案例3841.9云管理平台相关接口及功能3881.9.1云管理平台API清单3881.9.1.1用户管理3881.9.1.2网络故障管理3881.9.1.3网络性能管理3891.9.1.4服务运维管理3901.9.1.5云业务管理3901.9.2虚拟化API清单3931.9.2.1主机管理3931.9.2.2虚拟机管理3931.9.2.3虚拟机模板管理3951.9.2.4存储管理3951.9.2.5网络策略模板管理3951.9.2.6告警管理3951.9.2.7任务消息管理3951.9.3SDN控制器API清单3961.9.3.1认证管理3961.9.3.2诊断日志3961.9.3.3操作日志3961.9.3.4系统日志3961.9.3.5集群3961.9.3.6Region3971.9.3.7系统信息3971.9.3.8组件配置3971.9.3.9用户配置3971.9.3.10免认证管理3981.9.3.11统计3981.9.3.12应用程序管理3981.9.3.13支持报告3981.9.3.14链路管理3991.9.3.15拓扑时间戳3991.9.3.16连通性检测3991.9.3.17设备管理3991.9.4接口举例4001.9.5云管理平台功能介绍4041.10云监管平台4141.10.1资源监管4141.10.1.1应用管理4141.10.1.2虚拟机管理4151.10.1.3物理机管理4151.10.1.4存储管理4151.10.1.5网络管理4161.10.1.6安全管理4161.10.1.7机房管理4161.10.1.8硬件准入管理4171.10.2接口管理4171.10.3运维管理4171.10.3.1流程管理4171.10.3.2监控告警管理4171.10.3.2.1活动告警4171.10.3.2.2历史告警4181.10.3.2.3活动故障4181.10.3.2.4历史故障4181.10.3.3系统消息提醒4181.10.3.4运维统计报表4191.10.3.5大屏全景展示界面4192云平台运维方案4202.1云平台运维管理服务4202.1.1服务内容4202.1.2服务范围4222.1.3服务期限4222.1.4服务响应水平4222.2政务云平台运维架构建议4222.3运维管理流程4242.3.1事件/故障管理4242.3.1.1流程目的4242.3.1.2流程原则4242.3.1.3管理流程4262.3.2变更管理4282.3.2.1流程目的4282.3.2.2流程原则4282.3.2.3管理流程4292.3.3资源配置管理4302.3.3.1流程目的4302.3.3.2流程原则4302.3.3.3管理流程4312.3.4监控与告警管理4322.3.4.1总体要求4322.3.4.2平台资源及网络监控4322.3.4.3应用监控4332.3.4.4机房监控4332.3.5备份恢复管理4342.3.5.1管理目的4342.3.5.2备份 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 管理4342.3.6服务报告管理4393服务实施方案4443.1总体服务实施方案4443.2集成实施方案4443.2.1项目启动阶段4443.2.1.1项目信息汇总4443.2.1.2召开项目启动会4453.2.2项目规划阶段4463.2.2.1需求调研及评审4463.2.2.2项目现场查勘4463.2.2.3项目现场环境准备4473.2.2.4制定项目管理 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 4473.2.2.5制定项目实施方案4483.2.2.6项目方案内部评审4483.2.2.7项目方案评审4493.2.3项目实施阶段4493.2.3.1设备到货验收4493.2.3.2硬件安装施工4503.2.3.3软件安装调测4503.2.3.4系统测试4503.2.3.5系统业务培训4513.2.4项目验收阶段4513.2.4.1验收材料汇编4513.2.4.2项目验收测试4523.2.4.3项目验收会议4523.3定制开发方案4533.3.1系统架构4533.3.2软件生命周期4553.3.3定制能力4563.4业务迁移服务4583.4.1新应用系统建设与部署评估服务4583.4.2老应用系统云化建设咨询评估服务4603.4.3云化测试与上线支持服务4633.4.3.1开发4633.4.3.2开发测试环境4633.4.3.2.1开发测试环境资源4633.4.3.2.2开发环境使用4643.4.3.3测试支持4643.4.3.3.1支持内容4643.4.3.3.2支持方式4643.4.3.4上线4643.4.4业务迁移服务4653.4.4.1应用迁移4653.4.4.1.1应用迁移方法4653.4.4.1.2应用迁移流程4653.4.4.1.3应用迁移方式选型4683.4.4.2虚拟化迁移4693.4.4.2.1虚拟化迁移方法和流程4693.4.4.2.2虚拟化迁移方案4723.4.4.3数据迁移4743.4.4.3.1数据迁移方法和流程4743.4.4.3.2数据迁移方案设计原则4753.4.4.3.3Oracle数据库导出/导入迁移4753.4.4.3.4MySQL数据库导出/导入迁移4803.4.4.3.5异构数据库移植4823.5安全等级保护方案4853.5.1云安全等级保护解决方案4853.5.2云平台等级保护定级4863.5.3云安全等级保护评估4863.5.4云安全等级保护整改4863.5.5等级保护管理整改服务4873.5.6等级保护技术整改集成4873.5.7等级保护测评4873.6备份服务方案4883.6.1备份服务意义4883.6.2备份服务内容4883.6.3备份恢复管理4913.6.4备份方案调整与扩容4923.7故障响应修复方案4933.7.1故障处理原则4933.7.2云平台软件故障处理流程4943.7.3云平台硬件故障处理流程4963.7.4机房基础资源故障处理流程4983.8系统优化升级方案4993.8.1变更请求5003.8.2变更评估5023.8.3变更分类5023.8.4影响分级5023.8.5变更的批准5033.8.6变更实施和跟踪5033.9系统巡检方案5033.10核心业务保障方案5063.10.1核心业务保障总体原则5063.10.2保障对象和范围5073.10.3核心业务保障支持流程5073.10.4专项小组支持服务5093.10.5现场值守服务5103.10.6快速现场支持5103.10.7现场备件服务5103.11应急响应解决方案5103.11.1流程目的5103.11.2流程原则5103.11.3应急保障小组架构5113.11.4应急管理流程5134服务组织及人员配置5154.1项目建设交付阶段5154.1.1组织机构5154.1.2机构职责5154.1.2.1项目领导小组5154.1.2.2项目执行小组5164.1.3人员配备及职责分工5174.1.3.1项目经理5174.1.3.2技术经理5184.1.3.3供应链经理5194.1.3.4客户经理5194.1.3.5施工经理5194.1.3.6产品经理5204.1.3.7服务经理5204.1.3.8交付工程师5214.2项目运维阶段5214.2.1组织架构图5214.2.2运维界面划分5224.2.3岗位职责5235服务保障体系5265.1驻场服务5265.2远程运维服务5285.2.1服务架构及职责定义5285.2.1.1云远程运维服务架构5285.2.1.2运维职责划分5295.2.2云远程运维中心组织保障5305.2.3管理安全5315.2.4云远程运维服务分工界面5315.3售后技术支持服务5335.3.1服务体系5335.3.1.1XXX公司呼叫中心5345.3.1.2XXX公司技术支持中心5345.3.1.3遍布全国的XXX区域技术支持中心5355.3.2服务范围和内容5355.3.3服务方式5355.3.3.1现场技术支持服务5365.3.3.27*24小时热线远程技术支持服务5375.3.3.3软件支持服务5395.3.3.4在线支持服务5395.3.3.5邮件列表服务5405.3.3.6知识库经验共享5415.4档案与报告服务5415.4.1项目集成服务报告5415.4.2驻场运维服务报告5435.4.3远程运维服务报告5446服务培训方案5466.1用户培训方案5466.1.1培训目标5466.1.2培训对象5466.1.3培训内容5466.1.4培训计划5476.1.5培训方式5486.1.6培训评估5486.2员工培训服务5486.2.1培训目标5486.2.2培训对象5496.2.3培训内容5496.2.4培训计划5516.2.5培训方式5526.2.6培训评估552项目建设方案总体建设方案政务云平台总体架构XX市政务云平台总体架构图结合前期调研和XX市政府实际需求，政务云平台平台总体架构规划包括当前数据中心，同城A、B两个数据中心以及一个异地灾备中心。每个中心的定位如下：同城A、B数据中心：两个生产中心共同承载XX市政务云平台平台，同时，将政府业务应用系统分别部署在A、B两个数据中心；其中关键应用在A、B两个数据中心间实现互为备份，从而提高XX市政务云平台的业务连续性。异地灾备中心：同时为运行A、B两个数据中心中的业务应用系统提供异地数据容灾备份。XX市政府当前数据中心：当前数据中心为各局委办汇聚点，是政务网的汇聚中心；同时继续承载一些政府的暂时无法迁移到政务云平台上的业务应用系统；还承载着政务云平台监管平台的功能，对各个云服务商进行统一的监管，主要实现宏观调度、资源申请、监控、审计等功能。所以，当XX市政务云平台建设完成启动运营后，当前数据中心将作为XX市电子政务网络汇聚中心、存量业务数据中心和政务云平台监管中心继续运行。数据中心间互联架构数据中心间互联架构图在当前数据中心、A数据中心和B数据中心中分别部署一套密集型光波复用（DWDM）设备，并为每套密集型光波复用（DWDM）设备配置万兆接口卡，同时在密集型光波复用（DWDM）设备之间通过2对裸光纤进行互联，从而实现当前数据中心、A数据中心和B数据中心三个数据中心间实现高速连接，满足业务访问需求。密集型光波复用（DWDM）设备通过多路复用一对光纤载波的紧密光谱间距，提供多条链路，用于实现各中心之间广域网、局域网、管理网、存储网的互联。A、B两个数据中心与异地灾备中心通过千兆以太网线路互联，为业务数据的异地容灾备份提供数据传输通道。为保证三中心之间的业务稳定可靠运行，需要满足以下要求：距离：现有中心和A、B两个数据中心是同城数据中心，为了保证多中心间网络的稳定性及业务系统的高可用性，三个中心相互之间的距离建议不要超过30公里（此距离是光纤链路距离），如果超过30公里，最大距离建议不超过50公里。因为超过30公里后，会因为光纤质量问题和距离问题，需要增加光波放大器，随着距离的不断增加，放大器的数量也会增加，造成成本增加的同时，也增加的网络的不稳定性因素。光纤要求：远距离传输，必须是单模光纤，为了保证稳定性，需要提供2对裸光纤，并要求2对裸光纤在不同的管道井中，并且这两个管道井相隔距离建议大于1公里。延时要求：推荐5毫秒以内，最大不得超过10毫秒。云服务商平台总体架构XX市政务云平台云服务商平台总体架构，如下图所示：图云服务商平台总体架构图具体描述如下：XX市政务云平台云服务商平台整体建设分为两部分，包含新建xxx网云平台、新建互联网云平台，为政府各级单位信息化建设统一提供基础设施支撑。xxx网云平台承载政府各局委办的自有业务应用系统，包括新建和改造业务系统；互联网云平台承担面向社会公众服务的内容，如政府网站统一门户等；xxx网云平台与互联网云平台之间物理隔离，通过部署网闸实现严格受控的数据访问和网络互通。针对云平台的安全防护，xxx网云平台在出口部署云安全访问控制区，互联网云平台在互联网出口部署云安全访问防护区。各局委办单位通过云安全访问控制区访问政务外网云平台，通过互联网云安全访问防护区访问统一门户网站和对公众应用；从部署架构上看XX市政务云平台是两个云平台，但是为政务云平台的客户提供的是统一的自助服务门户平台，客户可以通过这一个门户系统分别申请两个数据中心，分属于不同业务区域（xxx网业务区和互联网业务区）的云服务；两个云服务商平台之间可以实现关键业务的互备，同时将所有业务数据备份到异地容灾中心；两个云服务商平台都有自身的互联网出口。政务云平台总体网络拓扑设计现有数据中心改造委办局连接：如上图所示，当前在XX市所有委办局单位当中，与XX市政府当前数据中心连接方式有以下两种：1）一部分委办局的办公局域网网络设备直接连接到当前数据中心核心交换设备，通过内部网络直接访问当前数据中心业务系统。2）另外一部分委办局需要通过广域网接入到当前数据中心核心交换设备，通过广域网访问当前数据中心业务系统。政府当前数据中心未来定位：如上图所示，未来所有委办局和政府当前数据中心的连接方式不变，政府当前数据中心将作为未来所有委办局访问XX市政府云统一网络出口。关键点：1）通过如上需求的分析，政府当前数据中心核心设备S9512E将承载未来XX市政务云平台业务管理和访问统一出口。如果S9512E出现任何故障，都将造成所有委办局无法访问政务云平台平台以及业务系统。2）S9512E需要通过万兆光纤与政务云平台进行连接。从可高性角度初步分析，每台S9512E至少需要2个万兆接口。S9512E情况介绍：1）采购时间为2010年，到目前运行时间为6年，2）万兆接口没有剩余接口可用；3）无法进行板卡升级或者通过新增板卡进行扩展4）此设备当前已经停产。政府数据中心核心规划：基于以上几点需求分析，政府当前数据中心核心规划如下：从上图可看出，所有的连接方式不变，用新的S10510替换S9512E。XXXS10500系列交换机产品是XXX面向下一代园区网核心设计开发的核心交换产品。1）采用先进的CLOS多级多平面交换架构，可以提供持续的带宽升级能力.2）支持数据中心大二层技术TRILL、纵向虚拟化和MDC（一虚多）技术，支持EVB和FCOE，并完全兼容40GE和100GE以太网标准。3）该产品基于XXX自主知识产权的ComwareV5/V7操作系统，以IRF2、IRF3技术为系统基石的虚拟化软件系统，进一步融合MPLSVPN、IPv6、应用安全、应用优化，等多种网络业务，提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术，在提高用户生产效率的同时，保证了网络最大正常运行时间。现有数据中心、A中心和B中心连接设计以xxx网为例，物理连接图如上所示，现有数据中心、A中心和B中心之间的物理连接。基于以下安全合规性、可管理性、高稳定性以及可扩展性要求，将云中心内部网络划分为管理网、局域网、SAN网络。安全合规性：先关安全标准要求管理网络和业务网络要实现有效隔离，禁止通过业务网络捕获管理流量，在业务区、公共业务区（即：xxx网）和互联网业务区间可以共用一套管理网络；政务云平台中部门业务区、公共业务区（即：xxx网）和互联网业务区（互联网）间业务网络实现有效的安全隔离；业务区、公共业务区（即：xxx网）和互联网业务区间可以共用一套存储系统。从上述的描述中可以看出，在政务云平台建设和运行中，安全和稳定是第一位要确保的内容，为了保证政务云平台的安全、稳定和高效运行，网络最佳建设方案是划分管理网络、业务网络（局域网）和存储网络（SAN网络）。可管理性：这样的划分可以对负载的网络化繁为简，从而提高可管理性。高稳定性：三网分离，可以有效提高网络系统整体的高稳定性，并不会随着整体网络系统的扩展而降低。可扩展性：未来政务云平台平台会随着业务的不断增加而变得越来越大，如果将管理网络、业务网络和存储网络分离，从整体架构上可以有效提高政务云平台整体的扩展性和可持续的管理性。广域网互联：对于xxx网，现有数据中心、A中心和B中心之间双线互联；对于互联网情况相同。局域网互联：对于xxx网，A中心和B中心之间双线互联；对于互联网情况相同。管理网互联：对于xxx网，现有数据中心、A中心和B中心之间双线互联；对于互联网情况相同。存储网互联：A、B中心xxx网和互联网共用存储网络，A中心和B中心之间双线互联。其中原数据中心侧的两个波分设备，用于与云中心xxx网广域网、管理网，与云中心互联网广域网、管理网，需要将波分拆分为8条线路。A云中心的两个波分设备，除了用于与原数据中心xxx网广域网、管理网互联（各两条线路），与原数据中心互联网广域网、管理网互联（各两条线路），需要实现两个云中心之间的xxx网云中广域网、局域网、管理网、存储网的互联（各需4条线），还需要实现两个云中心之间的互联网云中广域网、局域网、管理网、存储网的互联（各需3条线，其中存储xxx网与广域网公用），共需11条线。同样的B云中心的两个波分设备也需11条线。政务云平台总体安全拓扑设计B两个云生产中心，都包含xxx网和互联网两部分，组网架构相同，以下仅描述一个云生产中心安全部署，另一个云生产中心相同。xxx网安全拓扑设计图xxx网安全组网拓扑xxx网安全组网拓扑如上所示，广域网出口配置了一对VPN设备，允许特定人员通过互联网拨入，实现远程移动办公。另外出口配置了两台M9000，除了具备防火墙的功能，还具备IPS功能，实现原数据中心与云生产中心之间的安全防护。数据库系统区配置了一套数据库审计系统，对数据库操作进行审计。东西向安全资源池中包含vFW和vLB，为租户提供fw及负载均衡服务。云管理区配置堡垒机、漏洞扫描（含WEB漏扫、数据库漏扫、系统漏扫）、安全管理中心各一套。另外，在每台服务器上部署亚信杀毒软件，实现对服务器的安全防护。互联网安全拓扑设计图互联网安全组网拓扑互联网安全组网拓扑如上所示，除配置与xxx网相同的FW、IPS、SSLVPN、数据库审计、堡垒机、漏洞扫描、安全管理中心，杀毒软件，以及安全资源池的vFW、vLB，另外配置了DDoS（第三方设备）、行为审计、网页防篡改、WAF、硬件负载均衡、安全管理检测中心等。一套DDoS设备和两台行为审计设备部署在广域网出口。网页防篡改部属在各应用服务器上。WAF和硬件负载均衡设备旁挂核心交换机，部属在核心交换区安全管理检测中心部属在云管理区。云管理平台架构设计IT架构面临的问题1）传统IT面临的困境近几年云计算在全球范围内得到了迅猛的发展，IT基础架构平台的规模和复杂程度出现了大幅度的提升，与此同时，很多政府单位的数据中心却因为这种提升而面临着新的困境。高昂的成本支出和管理运营成本。数据中心内的服务器数量、网络复杂程度以及存储容量急剧增长，随之带来的是高昂的硬件成本支出以及运营成本支出（包括电力、制冷、占地空间、管理人员等）。缓慢的业务部署速度。新的服务器、存储设备和网络设备的部署周期较长，整个过程包括硬件选型、采购、上架安装、操作系统安装、应用软件安装、网络配置等。一般情况下，这个过程需要的工作量在20～40小时，交付周期为4～6周。分散的管理策略。数据中心内的IT基础设施处于分散的管理状态，管理员遵循“根据最坏情况下的工作负载来确定所有服务器的配置”这一策略导致服务器的配置普遍过高，容易出现大量“只安装一个应用程序”而未得到充分利用的x86服务器，同时缺少统一的集中化IT构建策略，无法对数据中心内的基础设施进行监控、管理、报告和远程访问。2）虚拟化后的迷茫期为了解决集中的大规模IT基础设施资源利用率不足的问题，从计算虚拟化、存储虚拟化，到网络虚拟化、L4-L7层服务虚拟化，以降低成本、提升IT运行灵活性、提升资源利用率为目标的各类虚拟化技术开始在政府数据中心中进行部署。通过虚拟化技术，一方面可以提高硬件效率，另一方面也大幅提高服务器上线效率，服务器上线所需的时间从原来的以周或月为单位减少到现在的以小时或分钟为单位，大大改善了政府的业务应变能力。虚拟化技术的普及，改善了政府IT建设面临的成本支出和业务部署速度问题，同时也提高了设备利用率。但新技术的引入同时也带来了新问题和新需求。图虚拟化后新问题在虚拟化前，每个业务系统具有独立的IT资源，虚拟化后，多个系统共享IT资源池，这样就会导致资源边界不明确，从而导致以下新问题：随着虚拟化技术的大量应用，逻辑设备的数量增加，同时也带来了配置管理的工作压力，手动配置每一个虚拟设备并上线成为了管理员的噩梦，自动化需求应运而生；应用管理员关注应用的部署，安全管理员关注安全策略的实施，而如何将应用和安全策略部署到IT基础架构，如何实现部署过程的便捷化，实现系统协同和资源整合，成为提升IT运行效率的关键。图如何满足云计算模式下的应用部署当前的现实是，网络管理、存储管理、计算管理是割裂的三大系统，导致所有的应用和安全策略部署，不得不面临多系统的协同配合，以及大量的人工操作。如何实现应用在IT系统（服务器、存储、网络、终端系统）的协同部署，智能化的自动化部署，实现更加高效，便捷的新IT架构，是摆在政务云平台中心面前最直接的问题。云平台架构新思考1）政府IT基础架构演进资源虚拟化、资源池化等技术的快速普及，使得IT基础架构资源的供给方式开始发生变化，以跨越异构、动态流转的资源池为基础提供给政府云中心可自治的服务方式逐渐成为新的趋势，IT基础架构开始实现资源的按需分配、按量计费。如下图所示，按需服务的新型服务模式导致资源规模化、集中化，让政务专有云的建设和运维统一集中到区政府云中心，各委办局单位更加关注于自己的业务和资源需求，从而提高了政务云平台平台建设的效率和弹性，让政府IT系统帮助和促进政府IT服务的转型，让政府信息中心成为一个价值部门，而不是永远停留在IT维护部门的角色。图资源按需交付在这种按需服务的建设思路下，各委办局数据中心都会逐渐统一在政务云平台中心部门下，实现政府IT建设的资源集中化、规模化，能够实现对各类异构软硬件基础资源的兼容，还能够实现资源的动态流转，支持异构资源和实现资源的动态流转，可以更好的利用资源，降低政府云计算基础设施建设成本。各委办局单位无需自建基础系统，可以更加专注于自己的业务，委办局用户可按需获取基础设施资源，通过云中心的自服务门户，按需申请，按使用量付费和结算。2）自动化所面临的挑战基础架构资源的整合，对计算、存储、网络的自动化和资源整合提出了新的挑战，并带动了一系列技术、架构、商业模式的变革。传统模式下，服务器、网络和存储是基于物理设备连接的，因此，针对服务器、存储的访问控制、QoS带宽、流量监控等策略基于物理端口进行部署，管理界面清晰，并且设备及其对应的策略是静态、固定的。在虚拟化的基础架构中，服务器、网络、存储等都采用了虚拟化技术，形成了资源池的概念和形态。所谓资源池（ResourcePool），是一组可重用资源的集合，提供对外共享的资源服务，同时提供对于共享资源的管理机制，在集合（资源池）中的资源可回收再分配，如下图所示。计算、网络、存储资源均实现可动态分配、回收、配置，在不牺牲效率、设备利用率和扩展性的前提下，降低了资本支出（CAPEX）和运营支出（OPEX），提高了运行效率。图虚拟化技术构建资源池构建资源池的关键在于需要解决以下两个问题：1）虚拟资源的组成单位是什么，按照什么粒度来分配，是否可回收再分配？2）虚拟资源和物理资源的映射关系是什么，如何从物理资源上创建虚拟资源？计算虚拟资源的最小粒度是以虚拟机为分配单元，存储虚拟资源的最小粒度是以存储空间或者虚拟卷为分配单元。而网络虚拟化的情况则最复杂，虚拟网络资源的最小粒度仅仅依靠虚拟网络设备是不够的，还需要解决虚拟网络路径的分配问题，这就意味着网络虚拟化需要同时处理设备虚拟化和路径虚拟化，将计算资源、存储资源、用户连接在一起的同时保障路径的隔离、独立和连通性，这是一个艰巨的任务。图网络虚拟化挑战一：网络自动化，完成网络的虚拟化、实现自动化的网络路径连通性。只有网络能够充分感知到计算资源池、存储资源池和用户访问的动态变化，才能进行动态响应，为新创建的计算资源、存储资源提供即时的网络接入，同时保障网络的路径连通性和网络策略的一致性，让用户能够即时的访问到计算、存储资源。为了解决网络虚拟化之后的自动化问题，网络控制器必不可少。如果没有这个集中控制点，管理员就需要通过人工干预和手工配置虚拟网络老适应计算存储资源的变化，会大大降低云计算平台的灵活性、可扩展性。作为网络资源池的唯一控制点，网络控制器需要实现网络虚拟化，通过网络分片实现网络的纵向隔离和虚拟化，通过网络节点虚拟化，自动为接入网络的计算资源、存储资源、用户提供接入策略、接入控制等服务，同时提供网络动态调整的能力，满足动态的网络容量规划要求。由于在基础架构层面实现网络、计算、存储、终端等资源相互联动的可行性很低，必须在虚拟控制层面打通，这就要求计算控制器、网络控制器、存储控制器之间能够进行有机的融合，形成一个统一的融合控制器。图自动化需要控制器挑战二：跨领域的资源管理和业务统一编排，实现计算、存储、网络资源的整合，形成一个有机的、可灵活调度和扩展的资源池，面向应用实现自动化的部署、监控、管理和运维。而当前的现实是，网络管理、存储管理、计算管理是割裂的三大系统，应用管理员关注应用的部署，安全管理员关注安全策略的实施，所有的应用和安全策略部署，不得不面临多系统的协同配合，以及大量的人工操作。如何将应用和安全策略部署到IT基础架构，如何实现部署过程的便捷化，成为提升政务云平台平台运行效率的关键。应用的部署不再仅仅限于单个领域资源的申请和使用，而是会跨越多个领域，使用计算、存储、网络、安全、LB、DNS等各个领域的资源，通过引入跨领域的统一资源管理，能够更有效的利用资源，更快速的响应。图跨领域的资源管理跨领域的资源管理解决的是资源的综合利用和资源统一管理问题，势必涉及到资源生命周期管理，包括资源申请、分配、回收、监控等，需要全新的交付模式和交付手段，自服务门户会逐渐成为虚拟资源管理的主要形式。图自助服务门户VCF虚拟融合架构当前由云端、网络、终端组成的云计算基础架构中，正经历着巨大的技术变革：BYOD技术正将IT终端从传统的PC向智能化可移动终端演进；传统数据中心向云转变，实现计算资源的弹性扩张，随需交付，应需而动。而如何实现各种政府应用在云中的部署，如何实现各种终端基于安全策略的获取相应的应用服务，成为政务专有云需要关注的内容。XXXVCF（VirtualConvergedFramework）虚拟融合架构解决方案，则成为政务专有云的解决之道。VCF架构自下向上分为三个层面（如图）。图VCF架构图1）基础架构层基础承载层包括端点、网络、计算、存储的基础设施，涉及政务专有云基础架构的全部设施，在网络部分不仅包含的传统网络，也增加了新网络技术如OpenFlow、NFV、Overlay；终端实现了从传统PC到智能终端(AppleIOS、安卓、Windows8)的管理；数据中心部分包含服务器及其Hypervisor系统、存储、网络的集成和整体交付。图VCF基础架构层2）融合控制层融合控制层包括VCFC、VCF-EIC、VCF-CAS（如图），分别实现对网络、终端、云计算的软件定义。图VCF融合控制层其中，VCFC是XXXSDNController，提供了对传统经典网络、OpenFlow网络、Overlay网络、NFV网络的支持和网络集中控制，更重要的是提供了基于OF的各种SDNAPP，实现SDN的价值，如：软件定义的L2、L3、QoS、TE转发APP、Overlay转发APP、服务链APP、SDNAPP的大规模集群架构，以及基于VCFControllerSDK的第三方APP。VCF-CAS实现了云计算的软件定义，实现VM的创建、迁移、克隆、快照等集中管理功能。VCF-EIC实现了终端的软件定义，实现对终端（不仅限于设备，还包括iNode、iOS等软件）的安全认证、健康检查、MDM（MobileDeviceManagement）、MAM（MobileApplicationManagement）的集中管理（MAM可以根据策略实现应用在终端的推送和擦除）。3）资源管理层资源管理层实现面向端点/用户/应用的资源虚拟化，对计算、存储、网络等资源的统一自动化编排，以及资源的按需交付、应需而动。基于OpenStack，XXXCSM云服务管理平台在实现网络业务编排的同时，可以支持计算、存储、数据库、安全、DNS等各类资源申请、管理以及业务编排，并且提供完善的自服务门户，为政务专有云建设提供全套的运维、服务、管理、监控服务。图VCF资源管理层基于资源管理层，提供OpenAPI，支持基于iMCVCFSDK的第三方APP，支持第三方软件对接，支持应用联动需求。VCF架构下的云平台当前，政府逐步从“政府信息化”走向“信息化政府”，信息化政府的一切IT支撑活动都是基于各种应用业务系统开展的。政务专有云作为云中心的重点，其规划与设计不仅要满足业务需求，还会影响政府的整个IT应用架构，实现政府的IT服务转型，甚至推动政府行政架构的完善和管理变革。xxx认为，政府IT基础架构的发展和演进会依次走过标准化、虚拟化、自动化、业务驱动这几个阶段，最终完成向政府专有云模式的转变。XXXVCF通过软件定义架构，实现了应用在云计算系统（服务器、存储、网络、终端系统）的智能化、自动化的协同部署，实现更加高效、便捷的政务云平台架构。图VCF给IT基础架构带来的变化“设备、控制、平台、门户”这不同的维度帮助政府完成一次转型，即向IT应用在终端、网络、云的端到端部署、以及向网站门户等不同层次的转型特别是控制层面，通过XXXVCFController，政务专有云建设可以明确面向应用的统一策略控制点，提供完整的网络策略控制，囊括终端接入控制、VM接入控制等策略，还能提供L4~L7服务链的部署策略，这样应用部署、安全部署、VM部署等都需要从VCFController获取profile/策略，不仅实现面向网络、计算、存储部署策略的集中控制，还能为上层应用提供统一的策略入口和控制点。在云计算时代，每天新增的数据量非常巨大，需要处理的数据也成倍增加，这就要求云平台具备更高的处理性能。传统的处理方式主要通过购买更高性能的设备来提升云平台性能，但是整个云平台的性能提升并不明显，主要原因在于云平台内部各组件各自为战，无法有效的协同工作。通过统一的控制器实现云计算基础架构的集中控制和调度，通过融合的管理平台实现面向应用的自动化运维，通过云网融合的云计算基础架构，能够实现云平台的协同工作，为各种云应用提供高效的云计算基础架构平台和技术指导。云平台融合架构设计云服务商平台融合架构设计如下图：图云服务商云平台整体架构设计图整体分为六大部分：1）、物理层物理层包括运行云服务商平台所需的云数据中心机房运行环境，以及计算、存储、网络、安全等设备。云数据中心机房的部署按照分区设计，主要分为数据库区、业务应用区、存储区、系统管理区、网络出口区和安全防护区等区域。2）、资源抽象与控制层资源抽象与控制层通过虚拟化技术，负责对底层硬件资源进行抽象，对底层硬件故障进行屏蔽，统一调度计算、存储、网络、安全资源池。其核心是虚拟化内核，该内核提供主机CPU、内存、IO的虚拟化，通过共享文件系统保证云主机的迁移、HA集群和动态资源调度。同时通过分布式交换机实现多租户的虚拟化层的网络隔离。在存储资源池的构建上，采用分布式存储技术，实现对服务硬盘的虚拟化整合，并通过多副本（3-5份）技术保证存储数据的高可靠。3）、云服务层云服务层提供IaaS、PaaS和SaaS三层云服务：IaaS服务：包括云主机、云存储（云数据盘、对象存储）、云数据库服务、云防火墙、云负载均衡和云网络（租户子网/IP/域名等）。IaaS层服务向PaaS层提供开放API接口调用。PaaS服务：包括消息处理队列、通用中间件（请求代理、事物处理、地理信息）、数据交换平台、开发测试平台，为上层政务应用提供标准统一的平台层服务，并提供API接口和SDK开发包，供SaaS层软件开发与部署调用。SaaS服务：包括本项目需要上线的OA协同办公平台、数字城管、综合治理、创新社会管理，以及政务网站群等，本层服务的提供由应用软件开发商完成。上述云服务通过自助服务门户，向各委办局用户提供自助的线上全流程自动化交付。用户可以在自助服务门户上进行服务的申请，完成审批后相应的云资源将会交付给用户远程控制使用。4）、云安全防护云安全防护为物理层、资源抽象与控制层、云服务层提供全方位的安全防护，包括防DDoS攻击、漏洞扫描、主机防御、网站防御、租户隔离、认证与审计、数据安全等模块。满足国家安全等级保护3级的部署要求。5）、运行监控与维护管理此模块为云平台运维管理员提供设备管理、配置管理、镜像管理、备份管理、日志管理、监控与报表等，满足云平台的日常运营维护需求。6）、云服务管理此模块主要面向政务云平台管理员，对云平台提供给委办局用户的云服务进行配置与管理，包括服务目录的发布，组织架构的定义，委办局用户管理、云业务流程定制设计以及资源的配额与计费策略定义等，此部分的功能实现根据市政务云平台要求进行定制。xxx网云平台方案基础架构层物理资源层应包括运行政务云平台所需的机房运行环境，以及计算、存储和网络等设备。数据中心机房满足GB50174-2008《电子信息系统机房设计规范》中的A级要求，满足国际公认的ANSI-TIA-942-2005《数据中心通信基础设施标准》里的Tier3级以上主要指标。组网设计采用“核心－接入”两层扁平化设计,根据模块化的分区的方式，主要分为业务应用区、云数据库区、管理和服务区、核心交换区和云安全访问控制区。物理组网示意图，如下图所示：图物理组网示意图云平台与政务专网互联市政务专有云平台与电子政务专网的互联采用专用光纤，带宽不小于2条10G，满足核心网络与业务系统互联的要求，两条链路之间通过网络虚拟化技术实现链路负载分担和互为备份。设备选型（1）