1、目录 1 方案整体规划 . 2 1.1 整体拓扑 . 2 1.2 设计依据 . 2 1.3 方案描述 . 4 2 网络部分规划 . 7 2.1 网络拓扑 . 7 2.2 设计依据 . 7 2.3 方案描述 11 2.3.1 物理交换网 11 2.3.2 云平台虚机网络 11 3 计算及存储规划 16 3.1 平台拓扑 16 3.2 设计依据 16 3.3 方案描述 18 3.3.1 弹性与自动化的基础设施 18 3.3.2 按需服务,平台交付 18 3.3.3 敏捷的 IT 服务水平 . 19 3.3.4 简化管理,智能统一运维 19 3.3.5 硬件故障无害化,保障业务连续 19 3.3.6
2、 计算虚拟化需求 20 3.3.7 分布式存储 21 3.3.8 网络虚拟化( SDN) . 22 4 网络安全规划 23 4.1 方案目标 23 4.2 设计依据 23 4.3 等保要求 24 4.4 方案拓扑 28 4.5 功能描述 28 5 运维管理规划 31 5.1 设计依据 31 5.2 方案描述 31 6 附件:功能参数 . 错误 !未定义书签。 1 方案整体规划 1.1 整体 拓扑 方案划分为五个功能区: 线路接入区:包含互联网线路,市局、各委办局、采集点等专线接入 网络纵深防御区:包含各种网络安全、审计设备,符合 等保 3 级规范要求 核心交换区:包含万兆核心交换集群及汇聚交换
3、设备 网管、客服区:包含网管平台及客户终端 计算、存储区: 包含云计算机平台和分布式存储系统。 1.2 设计依据 传统 计算中心 观念是根据功能需求的变化实现对应的硬件功能盒子堆砌而构建的,这非常类似于传统软件开发的组件堆砌,被已经证明为是一种较低效率的资源调用方式,而如果能够将整个网络的构建看成是由封装完好、相互耦合松散、但能够被标准化和统一调度的“服务”组成,那么业务层面的变更、物理资源的复用都将是轻而易举的事情。 因此提出支撑业务运行的底层基础设施也应当向“面向服务”的设计思想转变,构造“面向服务的数据中心”( Service Oriented Data Center SODC)。 具体
4、而言 SODC,应形成这样的资源调用方式:底层资源对于上层应用就 像由服务构成的“资源池”,需要什么服务就自动的会由网络调用相关物理资源来实现,管理员和业务用户不需要或几乎可以看不见物理设备的相互架构关系以及具体存在方式。 SODC 的框架原型如下所示: 在图中,隔在基础架构和用户之间的“交互服务层”实现了向上提供服务、向下屏蔽复杂的物理结构的作用,使得网络使用者看到的网络不是由复杂的基础物理功能实体构成的,而是一个个智能服务 安全服务、移动服务、计算弹性服务、分布式 存储服务 等,至于这些服务是由哪些实际存在的物理资源所提供,管理员和上层业务都无需关心,交互服务层解决了一切 资源的调度和高效
5、复用问题。 SODC 构成的数据中心 IT 架构必将是整个数据中心未来发展的趋势,虽然实现真正理想的 SODC 融合的架构将是一个长期的历程,但在向该融合框架迈进的每一步实际上都将会形成对网络灵活性、网络维护、资源利用效率、投资效益等方面的巨大改善。因此本次数据中心的建设规划,要求尽可能的遵循如上所述的新一代面向服务的数据中心设计框架。 在基于 SODC 的设计框架下,规划的新一代数据中心应实现如下设计原则: 简化管理: 使上层业务的变更作用于物理设施的复杂度降低,能够最低限度的减少了物理资源的直接调度, 使维护管理的难度和成本大大降低。 高效复用: 使得物理资源可以按需调度,横向无限扩展,物
6、理资源得以最大限度的重用,减少建设成本,提高使用效率。即能够实现总硬件资源占用量降低了,而每个业务得到的服务反而更有充分的资源保证了。 策略一致: 降低具体设备个体的策略复杂性,最大程度的在设备层面以上建立统一、抽象的服务,每一个被充分抽象的服务都按找上层调用的目标进行统一。 1.3 方案描述 SODC 架构是一种资源调度的全新方式,资源被调用方式是面向服务而非像以前一样面向复杂的物理底层设施进行设计的,而其中交互服务层是基于服务调用的关键环节。 网络整合 SODC 要求将数据中心所需的各种资源实现基于网络的整合,这是后续上层业务能看到底层网络提供各类 SODC 服务的基础。 数据中心网络所必
7、须提供的资源包括: 智能业务网络所必须的智能功能,比如高可靠性、多台交换设备虚机化、安全访问控制、设备智能管理等等; 统 一整合数据中心的三大资源网络:高性能计算网络;存储交换网络;数据应用网络。这三类资源的整合将是检验新一代 数据中心网络 SODC 能力的重要标准。 因此本方案中的“核心交换区“是由两台高端核心交换设备,虚机为一台 交换设备,统一对外提供数据交换、存储交换接入能力。 计算、存储整合 SODC 要求将数据中心所需的各种计算、存储实现 统 一整合和交付,上层业务不需考虑底层计算资源和存储资源的物理结构。只需根据业务 系统 划拨使用,底层计算和存储动态实现 资源 按需使用,动态扩展
8、,数据安全等。 本方案中的“计算、存储区“是由统一整合计算和存储的云平台来实现,云平台由多台高端定制化的硬件服务器配合云系统来实现: 集中管理:云平台提供了集中管理能力,从而对计算、存储资源的统一化及动态化分配和管理。 高度可扩展能力:提供了真正意义上的水平扩展能力,没有中心节点,集群的规模可以以数千台服务器为单位。可以按需增加计算资源和存储资源,单个云平台可以管理到超过 6 万台虚机,从而满足各种规模中心发展的需要。 最可靠的平台:云平台从底层就提供了数据的多副本,当服务器出现硬件故障时,云平台可以将该服务器上的负载自动迁移到其他可用的服务器上,保障应用负载在硬件失败时自动恢复。平台内部的物
9、理网络都是双冗余配置,以确保物理网络连接的高可用。 云计算平台还使用 SDN 等网络虚拟化技术,构建高可用的虚拟用户网络。云平台通过使用分布式文件系统,构建统一的存储池,提供包括实时异地多副本和硬盘快照等功能, 保证用户数据的安全可靠。 在应用服务方面,云平台提供虚拟的负载均衡器。负载均衡器把用户请求转发到多台应用服务器上, 一旦某台应用服务器失败, 负载均衡器可以把失败的应用服务器隔离,但对用户请求仍然可以由其他的应用服务器提供。达到高可用性、负载平衡的运行环境。 动态资源调整:云平台的计算、存储、网络等资源的物理位置及底层的基础架构对于用户来说是透明和不相 关的。 通过虚拟化技术可以实现硬
10、件资源的整合池化, 云平台所分配的计算、存储和网络资源都可以根据需要动态地调整,从而达到整个云计算平台资源的平衡, 最合理地利用硬件计算资源, 提高 IT 资源的整体使用率。 易用性:云平台提供了一个统一的、易用的访问门户以及手机客户端,用户在云平台上申请自己所需的服务(功能)与所需的硬件资源。直观的访问界面和操作提示减少用户培训时间,减少了二次学习时间。 安全的平台 : 云平台从多角度提供了数据安全,不仅是私有网络的二层隔离,角色授权、操作日志、访问日志等机制全方位保护云平台的安全性。更和业界领先的云安全厂商合作,整合更专业的安全组件。 2 网络部分规划 2.1 网络 拓扑 核心交换集群:采
11、用两台高端交换设备进行虚机化集群,由两台交换机虚机为一台高性能、高可用性、高负载能力交换机对象,提供万兆网络和存储接入服务。汇聚交换机和云平台节点服务器均使用 10G 光纤链接核心交换集群。 2.2 设计依据 数据中心的设计需要综合考虑客户需求和技术成熟度(包括网络技术,节能技术和行业标准等)因素。 客户需求 数据中心的客户需求包括客户的业务战略需求,应用部署需求,网络管理需求和成本需求等多方面。 业务战略需求:包含客户业务发展战略对数据中心网络的需求,如未来几年内随着业务发展,对网络的容量、性能及功能产生的新需求。 应用部署需求:包含应用软件系统、服务器和存储设备对网络性能和功能的需求。 网
12、络管理需求:数据中心网络除了支持自身的管理外,还是服务器、存储盘阵和其他应用系统的管理运行平台。各系统的日常管理、控制指令都需要通过网络提供的管理平台发布和执行。 成本需求:数据中心网络规划应充分考虑 机房环境,投资 回报和维护成本问题。在综合布线,供电和制冷规划时参照 绿色节能的理念,降低数据中心整体能耗,提高能源效率。 技术趋势 近两年随着数据中心的大规模建设,数据中心网络技术快速发展。下图 为 目前数据中心设计技术发展趋势。 数据中心网络所处的整合、虚拟化和云计算三个阶段相互区别,但并非简单换代关系。 整合阶段:本阶段偏重资源整合,网络性能要求低,业务分区物理独立,业务较固定。 虚拟化阶
13、段:该阶段的网络设计承前启后,能够提供较好的业务灵活性,使传统数据中心结构得以延续。 云计算阶段:该阶段数据中心的网络设计要求资源能够灵活调度,性能高,物理和逻辑分区界限模糊化且资源灵活按需使用。 数据中心网络规划设计应该以现有网络架构为基础采用阶段化策略,逐步建立稳健、可持续运行的网络架构。数据中心网络设计人员还需要考虑以下几个要素: 数据中心机房的物理布局:包括基础设施配备限制,物理空间使用,机房部署和布线空间等制约条件。 数据中心现有网络的现状:通常现有的网络是根据实际情况发设计趋势挑战性能与容量快速增长整合阶段 虚拟化阶段云计算阶段网络高性能网络性能 有限网络能力 高性能 高性能,高密
14、度收敛比 较高 - 适中 适中 较低 - 无阻塞环路范围 xS T P 技术破坏 无环 无环数据中心规模 中小 中大 超大IT 资源虚拟化网络虚拟化业务策略 固定,无迁移 少量迁移 虚拟交换和迁移IT 资源调度方式手动维护 统一维护 自动化IT 资源部署 物理划分 逻辑划分 多租户、按需网络资源整合与共享网络融合存储、计算、数据网络融合分层独立,无融合 分区划分,局部融合 融合网络网络资源共享 业务独立,无共享 一虚多,多虚一共享 全面共享运维管理复杂统一运维业务管理I T 基于 SAS 硬盘的虚拟存储 IO 性能不小于 120MB/s, 基于 SSD 硬盘的虚拟存储 IO 性能不小于 300
15、MB/s。 应采用 Shared-nothing 架构设计,支持 1 万以上用户并发读写,支持 1000 台以上物理服务器集群。 3.3.8 网络虚拟化( SDN) 网络虚拟化完整再现了物理网络。虚拟网络不仅可以提供与物理网络相同的功能特性和性能保证,而且还具有虚拟化的运维优势和硬件独立性,包括快速调配 、 无中断部署、自动维护等。网络虚拟化将逻辑网络连接设备和服务(逻辑端口、交换机、路由器、防火墙、负载平衡器和 VPN 等)提供给已连接的工作负载。应用在虚拟网络上的运行与在物理网络上完全相同。使用 SDN 技术,实现网络控制平面和转发平面的分离,由此提供更友善、更强大的网络配置和控制能力。
16、网络虚拟化和 SDN 的功能及技术需求如下: 采用软件 +硬件方式,通过软硬件集成实现 SDN,灵活调度与管理虚拟网络,并实现已应用为中心的基础架构; 通过 SDN 技术实现网络虚拟化,构建网络资源池; 支持虚拟私有网络,私有网络间要 100%二层网络隔离,支持不同用户自由使用网络资源; 支持虚拟路由器,虚拟交换机,虚拟防火墙,虚拟负载均衡器,可以按需配置网络逻辑拓扑; 通过 SDN 实现 DHCP,端口转发,隧道服务, VPN 接入服务和过滤控制服务; 支持通过 SDN 功能实现机房间通过网络安全隧道( IP-Sec)联通。 4 网络 安全 规划 4.1 方案目标 充分解读网络安全等级保护相
17、关政策和标准,全面提升网络安全防护能力,应对新威胁、新应用下的安全威胁,利用 云端安全服务 、云防护的创新技术理念与技术落地,实现对网络安全的智能统一管理,并达到国家网络安全等级保护的相关标准与要求。 4.2 设计依据 中办 200327 号文件国家信息化领导小组关于加强信息安全保障工作的意见 四部委于 2004 年 9 月 15 日发布公通字 200466 号信息安全等级保护工作的实施意见 四部委 2007 年 06 月 17 日发布( 2007)公通字 43 号 信息安全等级保护管理办法 GB/T 22239.1 信息安全技术 信息安全等级保护基本要求 第 1 部分:安全通用要求 GB/T
18、 22239.2 信息安全技术 信息安全等级保护基本要求 第 2 部分:云计算安全扩展要求 GB/T 31167-2014 信息安全技术 云计算服务安全指南 GB/T 31168-2014 信息安全技术 云计算服务安全能力要求 4.3 等保要求 对标新等保的第三级安全通用要求。 “物理和环境要求”不在本方案的撰写范畴。 网络和通信安全 网络架构 链路负载 防火墙 数据库审计 运维审计堡垒机 WEB 防火墙 漏洞扫描 抗 DDOS 攻击 通信传输 防火墙 边界防护 防火墙 运维审计堡垒机 访问控制 防火墙 入侵防范 IPS 数据库审计 WEB 防火墙 抗 DDOS 攻击 恶意代码防范 防火墙 防
19、病毒网关 安全审计 防火墙 数据库审计 运维审计堡垒机 日志审计 WEB 防火墙 漏洞扫描 抗 DDOS 攻击 集中管控 防火墙 漏洞扫描 抗 DDOS 攻击 设备和计算安全 身份鉴别 防火墙 虚拟化安全 数据库审计 运维审计堡垒机 WEB 防火墙 抗 DDOS 攻击 访问控制 防火墙 虚拟化安全 数据库审计 运维审计堡垒机 WEB 防火墙 漏洞扫描 虚拟化安全 数据库审计 运维审计 日志审计 WEB 防火墙 漏洞扫描 抗 DDOS 攻击 入侵防范 虚拟化安全 WEB 防火墙 抗 DDOS 攻击 恶意代码防范 虚拟化安全 虚拟化安全 数据库审计 运维审计堡垒机 WEB 防火墙 抗 DDOS 攻
20、击 应用和数据安全 身份鉴别 数据库审计 运维审计堡垒机 数据库审计 运维审计堡垒机 WEB 防火墙 数据库审计 运维审计堡垒机 日志审计 软件容错 数据库审计 运维审计堡垒机 WEB 防火墙 资源控制 数据库审计 运维审计堡垒机 数据备份恢复 数据库审计 运维审计堡垒机 WEB 防火墙 个人信息保护 数据库审计 运维审计堡垒机 安全运维管理 漏洞和风险管理 漏洞扫描 4.4 方案拓扑 4.5 功能描述 产品名称 产品描述 产品形态 数量 单位 场景及配件选型 链路负载 集多线路智能选路和多链路相互备份,保障网络连通 硬件 2 网络和通信安全 虚拟化安全 提供针对虚拟化平台的一站式的包含防病毒
21、、 IPS、WEBSHELL、主机防火墙的软件 1 应用和数据安全 +设备和计算安全 防护。 抗 DDOS 抗拒绝 服务 攻击系统 支持多维度的数据分析 功能 ,提供 基于攻击 主机、 攻击类型、流量分析、性能分析、连接分析、数据报文捕捉等多种数据分析。 2 网络和通信安全 智慧防火墙 为各行业网络出口打造的“云 +端 +边界 +联动”下一代安全防御体系 硬件 2 网络和通信安全 +设备和计算安全 WEB 防火墙 利用大数据分析技术,提升用户“精准发现”其网络中威胁的能力,需捆绑安服销售 硬件 2 网络和通信安全 VPN 满足网外用户的远程接入 硬件 1 网络和通信安全 IPS 检测到对重要节
22、点进行入侵的行为,并在发生严重入侵事件时提供报警 硬件 2 网络和通信安全 +设备和计算安全 数据库审计 从保障数据库应用安全的角度进行设计,以网络数据硬件 1 应用和数据安全 +设备捕获能力、数据库协议解析、事件关联分析为基础,可以精准识别数据库操作以及采取各种响应行为 和计算安全 运维审计堡垒 系统 基于软硬件一体化设计,集账号、认证、授权、审计为一体的设计理念,实现对事企业 IT 中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计 硬件 1 应用和数据安全 +设备和计算安全 日志审计 满足各个行业及单位对合规性要求的日志审计 软件 / 硬件 1 网络和通信安全 +应用和数据安全+设备和计算安全 漏洞扫描 由系统扫描、 Web 扫描、弱口令破解、配置指标检查于一体化的专业安全产品 硬件 1 安全运维管理
