XXX教育局教育云數據中心建設解決方案銳捷網絡股份有限公司

目錄TOC\o"1-4"\h\z\u一、項目概述 51、項目建設背景 52、項目建設必要性 63、主要問題與挑戰 73.1普教信息化建設存在的問題 73.2普教云平臺建設面臨的挑戰 84、項目總體建設目標 9二、項目需求分析 101、數據中心特點分析 102、組網需求分析 113、平安需求分析 134、運維管理需求分析 14三、建設思路及原則 15四、解決方案總體說明 161、方案總體說明 162、方案整體框架 173、方案整體架構 184、方案整體設計 19五、解決方案具體設計 211、云計算平臺設計 211.1整體架構設計 211.2超融合架構方案 221.3解決方案價值 251.4SQL數據庫支撐設計 282、云網絡平臺設計 302.1整體架構設計 302.2網絡分區設計 312.3核心層設計 332.4接入層設計 342.5虛機感知與策略遷移 353、云平安平臺設計 373.1數據中心平安概述 373.2平安威逼及措施 383.3數據中心平安設計 413.3.1防火墻平安分區 443.3.2關鍵路徑進行入侵防守 443.3.3Web應用平安防護 453.3.4網絡與數據庫平安審計 463.4.5運維審計堡壘機 473.4平安域規劃設計 473.4.1平安域總體架構 483.4.2平安域規劃設計 483.5數據中心服務器平安措施 494、統一運維平臺設計 504.1統一運維建設概述 504.2統一運維建設目標 514.3統一運維方案設計 524.3.1網絡管理功能設計 524.3.2機房業務系統和應用管理功能設計 524.3.3故障處理和運維流程設計 57

一、項目概述隨著物聯網、移動互聯網、云計算、大數據等技術的快速進展，不斷刺激著教育行業對資源開放、互動學習、學習分析等的迫切需求，“互聯網+教育”帶來了新的教育信息化進展需求，智慧教育成為教育信息化進展的新趨勢。隨著教育模式的改革和新技術的不斷涌現，信息化教學的應用不斷拓展和深化，教學資源不斷豐富，教育信息化在促進教育公平、提高教育質量、創新教育模式領域的支撐和帶動作用初步顯現。近年來，云計算因具備資源按需安排、平安可控、數據牢靠、節省成本、提高資源利用率、統一管理、系統冗余等多種特性，在各行業的應用越來越廣泛，通過越來越廣泛的網絡掩蓋，云計算服務的隨時隨地交付變為可能?；诮逃频男畔⒒到y建設，為提升學校教育和社會教育服務水平供應有效支撐，建立區域云數據中心將有效實現資源整合與優化利用，促進教育資源均衡、教育管理協同、教育模式創新，云服務體系使教育信息化建設提升到一個全新的層面。1、項目建設背景教育資源公共服務平臺建設是“十三五”期間的教育信息化建設的核心任務，是“三通兩平臺”的重點內容之一。XXX教育局信息化建設經過一系列的重大工程建設，目前取得了較大的成就：建成了XX教育科研網，各級各類學校不同程度地建有校園網并以多種方式接入XX教育科研網和互聯網，面對全市的教育信息基礎設施體系基本形成。但由于各區縣教育局數據中心建設尚不完善或暫許多據中心，各地教育局信息化水平參差不齊，難以真正實現區域內的資源整合、資源共享及協同辦公。XXX其他內容請自行補充當前教育信息化的需求正在從分散的自建方式向集中的區域化統建共建方式轉型、從基礎的業務支撐向區域化的頂層管理提升、從基本的電子化向高度的智慧能力提速。2、項目建設必要性有明確的指導思想和建設目標《教育信息化十年進展規劃(2011-2020年)》明確提出：“充分整合現有資源，采用云計算技術，形成資源配置與服務的集約化進展途徑，構建穩定牢靠、低成本的國家教育云服務模式。面對全國各級各類學校和教育機構，供應公共存儲、計算、共享帶寬、平安認證及各種支撐工具等通用基礎服務，支撐優質資源全國共享和教育管理信息化?！苯逃哭k公廳關于征求對《關于“十三五”期間全面深化推動教育信息化工作的指導意見》明確提出：“要從用戶需求出發，樂觀利用云計算、大數據等新技術，創新管理平臺、資源平臺的建設、應用模式”、“各地要依據信息化教學實際需求，加快推動資源服務平臺建設，鼓舞企業依據國家規定與學校需求建設資源服務平臺，最終形成掩蓋全國、多級分布、互聯互通的數字教育資源云服務體系”、“加快探究數字教育資源服務供應模式，有效提升數字教育資源服務水平”。教育部辦公廳關于印發《2016年教育信息化工作要點》中也明確提出：“完善教育資源云服務體系，提升資源服務能力”、“統籌推動教育資源公共服務平臺建設”。力爭實現四個新突破，即教育信息化基礎設施建設新突破、優質數字教育資源共建共享新突破、信息技術與教育教學深度融合新突破、教育信息化科學進展機制新突破。3、主要問題與挑戰3.1普教信息化建設存在的問題整體資源建設初具規模，但往往分布在各個學校內部，共建共享機制尚未實現，資源分布不均衡；針對單個業務系統實現信息化較強，但多業務拉通環節尚未實現，信息孤島問題突出；中小學的信息化硬件設施、寬帶網絡接入有持續投入，但存在重硬輕軟，重復建設的問題。同時對中小學老師的管理能力要求太高，又缺乏體制保障，實際使用效果有所折扣；投資成本高，運行效率低：中小學數字校園建設按項目獨立建設應用，而不是統一規劃。每個新上線的應用都需要采購新的服務器，學校擁有的X86服務器的數量每年都在以驚人的數量增加，與之形成鮮亮對比的是服務器的利用率卻很低（平均利用率只有在5％－10％），并且每臺服務器都產生高額成本，包括購置硬件、系統軟件、網絡連接與存儲等，同時管理成本也隨之上升。架構缺乏機敏性，響應速度慢：傳統IT架構缺乏機敏性，對業務需求響應速度慢，配置和部署非常簡潔。每個應用系統使用獨立的硬件環境，當硬件發生故障時，無法利用其它服務器的空閑資源。新業務上線和現有業務擴容的工作量非常大，常常需要涉及到計算、存儲、網絡等環境的重新設計和配置。數據中心的工作效率低，響應速度慢，而成本卻不斷上升。維護成本和設備管理的壓力非常大：中小型的教育行業用戶IT管理人員缺乏，通常沒有專業的運維人員，許多情況下是由老師兼職管理的，非專業運維人員對于處理突發的系統故障能力欠缺，尤其是對于底層基礎設施的維護能力不足。3.2普教云平臺建設面臨的挑戰資源整合與優化利用是教育信息化進展亟需解決的首要問題，而云數據中心建設是有效解決這一問題的關鍵舉措。如何結合行業用戶實際需求，構建適合普教應用的區域云數據中心是教育信息化建設的核心焦點。對普教用戶而言，云數據中心的高技術性和簡潔性以及資金壓力、管理壓力都是需要關注和解決的重點，對于普教云數據中心建設來講，主要存在以下幾個方面的挑戰：挑戰一：建設成本與運行成本壓力。項目資金有限，對高牢靠、高可用、虛擬化、自動化、高平安等的綜合考慮使得云數據中心前期基礎設施建設投入高，導致信息化建設被動重硬輕軟、軟硬件資源建設不均衡；其次是運行成本高，數據中心節點設備眾多，面臨用電和散熱帶來的高能耗開支，及不斷增加運維開支。挑戰二：系統簡潔度高，運維管理不易。虛擬化使得IT系統簡潔度成倍增加，帶來了運維簡潔性，對管理人員技術要求高，運維管理壓力大。挑戰三：計算虛擬化增加了平安防護部署與管理的簡潔度，云平安足于邏輯邊界而非物理邊界，使得對使用者身份、權限和行為的鑒別、把握與審計變得更加困難。挑戰四：業務應用開展難以監測與督導。教育局難以把握業務應用開展情況，無法把握各學校對教學資源的使用狀況與業務訪問體驗，相比對設備的運維管理，用戶更關心當前建設應用成果呈現。挑戰五：建設方案技術封閉或半封閉，后續擴容被限制，異構整合成本高。4、項目總體建設目標以實現“三通兩平臺”落地為目標，建設區域教育云。通過科學設計和整體規劃，建設數據集中、系統集成的應用環境，整合各類教育信息資源和信息化基礎設施，實現信息整合、業務聚合、服務融合的教育云平臺，為各級各類學校供應IT資源的云服務，促進教育業務部門的業務協同，提高教育局的信息化服務能力、服務效率與服務質量。通過區域云平臺建設，最終來實現以下五個目標：(1)區域智慧教育云基礎環境建設構建系統架構科學合理、開放互聯的智慧教育云平臺基礎軟硬件支撐平臺和信息化網絡環境，建設豐富多樣的教育應用和資源中心，拓展學習空間人人通，統一數據服務和業務運行。(2)智慧管理通過對大數據的采集和分析，對各種教育動態隨時處理，實現智能決策、可視化管控、平安預警等。建成多級管理和行政辦公系統，使教育管理優質高效，科學決策。(3)智慧學習利用有線、無線網絡及教學資源、網絡課程中心和互動教學平臺為學生供應泛在學習條件，利用智能學習系統監測學生的學習情況，科學評價，依據學生情況推送學習資源。提高學生能力的同時提升學生的學習興趣，減輕課業負擔，促進學生健康、歡樂、幸福的成長。(4)智慧教研建設智能化的網上教研環境，通過對老師需求的分析，主動推送教學資源，支持協作、共享、創新，老師可隨時隨地與專家和同行交流，充分發揮名師和骨干老師的引領示范作用，快速提升老師專業水平，提高教學有效性。(5)智慧服務供應全面的教育評價和質量監測結果，并有選擇地向教育行政、學校、老師、學生、家長供應，用于改進教學和學習;做好有關教育信息發布及推送服務，使家長準時了解學生在學校中的情況，使公眾便利獲得所關注的教育信息。XXX其他內容請自行補充二、項目需求分析1、數據中心特點分析1）大并發訪問量特點數據中心實現了業務和數據的大集中，因此對于用戶而言其全部的業務都要通過遠程訪問數據中心的資源，這就使得數據中心往往面對眾多的遠程訪問請求。在訪問高峰期各個分支節點及遠程接入人員的業務互動都要通過調用數據中心的資源來完成，高并發請求一方面使得數據中心的出口流量高、另一方面也使得數據中心對業務的處理能力要求高。2）高開放性特點數據中心應用包括了對內部的業務支撐、對協同單位和關聯業務的數據交互和公共信息服務，需要接入分支機構、業務關聯單位網絡以及開發的互聯網，使得數據中心具有開放性的特點，而數據中心的業務決定了其只能接受特定來源的特定訪問，因此數據中心的開放性導致其信息平安風險很高，使得數據中心對信息平安的高要求成為必定。3）多業務并存的特點數據中心是基于業務大集中模式建設的，因此數據中心先天具有多業務并存的特點，由于不同業務的重要性不同，因此在資源安排上有級差性，即不同業務需要安排不同的資源來保障，這種資源包括服務器資源、網絡平安資源、數據存儲資源及鏈路帶寬資源。4）不確定的訪問來源由于數據中心會有部分業務面對業務關聯單位和公共用戶開放，因而對于訪問來源的接入把握、訪問管理和行為審計成為數據中心建設必需要重點考慮的方面。另外，在信息化時代，如何防范和抵御競爭對手針對信息機密的網絡入侵、信息盜取、惡意攻擊與破壞，也是信息化建設所必不能少的考慮。2、組網需求分析1）高性能、大流量數據能力數據中心應用的一個業務特點是大流量的數據下載和業務查詢，因此要求網絡平臺必需具備高性能的數據處理能力和大流量的數據緩沖能力，確保網絡性能不能成為業務的瓶頸。數據中心的大流量突發傳輸業務特性，對基礎網絡的轉發表項、吞吐能力、突發流量吸取提出了苛刻的要求。同時虛擬服務器產生了不可預期的流量模型，特別?????是如虛擬服務器遷移、數據同步、數據備份等帶來的突發性流量，因此網絡平臺需要能夠支撐大型突發流量以及持續的無損耗無阻塞數據轉發2）低延時、網絡時效性強數據中心應用的另一個業務特點是網絡時效性強，特別?????是在集中時段、多業務并行服務時要具有服務響應的低延時，充分保障業務系統對用戶訪問的服務質量，因此要求網絡平臺要保障低延時，保證用戶訪問的快速刷新與結果反饋，確保業務的實時高效。3）高牢靠、高可用因為業務和數據的大集中部署，數據中心網絡的第三個業務特點是高牢靠、高可用，所以網絡平臺的穩定牢靠是實現業務支撐的基礎，要保障業務數據在傳輸的過程中不能毀滅因網絡故障毀滅中斷，滿意7×24小時連續運行的要求。網絡設計應能有效地避開單點故障（設備、線路），在設備的選擇和關鍵設備互連時，應供應充分的冗余備份，一方面最大限度地削減故障的可能性，另一方面要保證網絡能在最短時間內修復。4）虛擬業務遷移需求服務器高可用集群技術和虛擬服務器動態遷移技術在數據中心容災及計算資源調配方面得以廣泛應用，這兩種技術不僅要求在數據中心內實現大二層網絡接入，而且要求在數據中心間也實現大范圍二層網絡擴展。同時網絡平臺能夠感知虛擬業務遷移，網絡平安管理策略（ACL）等也能夠隨著虛擬業務的動態遷移而遷移，保障業務不間斷。5）統一I/O的FCOE融合在傳統數據中心中，由于多種技術之間的孤立性(LAN與SAN)，使得數據中心服務器總是供應多個對外I/O接口，如用于數據計算與交互的LAN接口、數據訪問的SAN存儲接口以及某些特別?????環境如特定HPC(高性能計算)環境下的超低時延接口等。數據中心因此不可避開的部署多個網絡：前端的用戶通信網絡（以太網）、后臺存儲網絡光纖的通道（FC光纖網絡）、后端做數據更新或者做集群計算的通訊網絡（高性能計算Infiniband網絡）。服務器的多個I/O接口導致了數據中心環境下多個獨立運行的網絡同時存在，不僅使得數據中心布線簡潔，不同的網絡、接口形體造成的異構還直接增加了額外人員的運行維護、培訓管理等昂揚成本投入，特別?????是存儲網絡的低兼容性特點，使得數據中心的業務擴展往往存在約束。因此，面對云計算服務平臺的數據中心網絡將進展為統一平臺，面對數據網絡、存儲網絡、服務器集群網絡供應統一的網絡平臺支撐。6）良好的擴展能力易擴展，機敏的適應性和高擴展能力，滿意后期技術平滑升級和業務機敏擴容的要求。業務支撐網絡平臺以資源服務和業務進展為導向，采用主流的模塊化分層分區設計，具備機敏組網和IPv6演進能力。7）全面平安、等保合規建立與國家要求相統一的信息平安保障體系，依據端到端訪問平安對平安體系進行設計規劃，具備“數據平安”、“運行平安”、“應用平安”等多維度技術要求，嚴格遵照國家信息平安等級保護要求與相關政策指導規范，保證信息網絡的合規性。3、平安需求分析系統平安需求可以從管理層、物理層、網絡層、系統層、應用層等方面加以分析。在平安管理方面，要考慮政策、法規、制度、管理權限、級別劃分、平安域劃分、責任認定、平安培訓等，制定切實有效的管理制度和運行維護機制，建設支撐平安管理的技術支撐體系；在物理平安方面，要依據實際情況建立相應的平安防護機制；在網絡平安方面，要解決信息外網與互聯網的邏輯隔離；對各個平安域，要防范黑客入侵、身份冒充、非法訪問；要解決信息在平安域間傳輸時的完整性、可用性、保密性問題；要解決移動接入用戶身份鑒別和平安傳輸等問題；在系統平安方面，要解決操作系統平安、數據庫平安、病毒及惡意代碼防范等問題；從應用平安平安需求進行分析，要實現全網統一的身份鑒別和授權訪問機制；解決重要終端用戶敏感信息和數據的完整性、可用性、保密性問題，數據的訪問把握等問題。4、運維管理需求分析影響IT平安運維的因素有許多，總結起來主要有以下幾方面：簡潔的系統架構結構簡潔、系統繁多，大量的相互依靠關系，多點分布。多個管理團隊，學問分散，過度分別到個人，關鍵時會影響問題解決效率。頻繁的軟硬件變更業務變化快、系統頻繁升級變更，時間緊迫，手工操作，易產生業務不穩定。分割的應用視圖各自獨立的監控方式，對IT系統豎井式管理，故障難以準確定位。應用軟件注重業務實現，忽略對日常運維管理的支持。高強度的運維工作長期處于高壓力環境下工作，工作內容瑣碎繁多、重復性強，簡潔形成疲沓工作狀態，導致人為操作差錯毀滅。學問積累少，相像問題屢屢發生，運維人員疲于奔命。對于數據中心機房眾多的異構軟硬件的IT資源管理環境，為了全方位的監控管理和精細化管理，有力保障數據中心各個業務域穩定運行，需要建立一個IT資產管理、綜合運行態勢分析與評估平臺。通過IT運維管理系統，實現多個廠家的網絡設備、服務器、中間件、數據庫、存儲設備的統一管理，將目前各個業務系統中的各種硬件、軟件、業務應用納入到監控平臺中來，實現IT系統、業務過程和關鍵業務指標的監控，準時發覺業務特別和問題，實現主動的IT運維服務。三、建設思路及原則（1）有用性和先進性原則既要充分考慮有用性，始終面對業務應用，又要考慮先進性，保持適度前瞻。在進行架構規劃時，不盲目追求設備的超前采購，在充分考慮應用性能的基礎上，保護原有投資。同時要采用成熟先進的理念、技術和方法，適應進展潮流。（2）牢靠性和穩定性原則要確保系統運行的牢靠性和穩定性，要從系統架構、技術措施、設備性能、系統管理、廠商技術支持及修理能力等多方面進行設計規劃，確保系統運行的牢靠穩定。（3）可擴展性和易維護性原則應充分考慮可擴展性和易維護性，適應系統變化要求，能夠依據將來業務的增長和變化平滑的擴充和升級，最大程度的削減對網絡架構和現有設備的調整，盡量降低電力、人力等各方面資源維護費用。（4）高度的網絡平安性基于國家信息平安等級保護相關政策的理解，供應完備的平安防護策略，能防止對網絡資源的非法訪問，保護網絡使用者的合法利益。（5）良好的管理能力在網絡設計中，須建立有效的網絡管理解決方案。能夠實現監控、監測整個網絡的運行情況，合理安排網絡資源、動態配置網絡負載、可以飛速確定網絡故障等。通過先進的管理策略、管理工具提高網絡的運行性能、牢靠性，簡化網絡的維護工作。XXX其他內容請自行補充四、解決方案總體說明1、方案總體說明銳捷教育云數據中心解決方案充分考慮了普教數據中心建設面臨的實際問題，具備柔性支撐架構和快部署、低投入、簡運維、高平安、平臺開放等系列特性，幫忙教育局快速構建區域云平臺或改造原有數據中心，做到隨需應變和持續演化。方案規劃在保證滿意基本業務應用的同時，又要體現出組網先進性，所供應的技術在近年內要具有確定的領先性，與將來的新技術具有兼容性，在網絡設計中要把先進的技術與現有的成熟技術和標準結合起來，充分考慮到網絡應用的現狀和將來進展趨勢。方案規劃考慮網絡及設備的擴容能力，能夠在充分保護用戶投資的基礎上，可以實現設備及網絡性能的無縫平滑升級、實現多種業務的無縫平滑擴展，并在性能升級和業務擴展過程中保障應用系統的連續性。2、方案整體框架教育云平臺整體架構如圖所示，分別是為基礎設施平臺、基礎服務平臺和教育應用平臺，銳捷數據中心解決方案定位于基礎設施平臺，為用戶供應極簡融合架構的基礎平臺建設方案。教育云平臺方案框架IaaS基礎設施服務層包括硬件基礎設施子層、虛擬化&資源池化子層、資源調度與管理自動化子層。? 硬件基礎設施子層：包括主機、存儲、網絡及其他硬件在內的硬件設備，它們是實現系統平臺虛擬化的最基礎資源；? 虛擬化&資源池化層：通過虛擬化技術進行整合，形成一個對外供應對資源的池化管理（包括網絡池、服務器池、存儲池等），同時通過虛擬化管理平臺，對外供應運行環境等基礎服務。? 資源調度與管理自動化子層：在對資源（物理資源和虛擬資源）進行有效監控、管理的基礎上，并且通過對服務模型的抽取，供應彈性計算、負載均衡、動態遷移、按需供應、自動化部署等功能，它是實現系統平臺虛擬化架構的關鍵所在。3、方案整體架構銳捷教育云數據中心解決方案由云計算、云網絡、云平安、統一運維幾個部分組成，為教育資源服務平臺和教育管理服務平臺供應健壯、彈性、平安的運行環境，并在此基礎上構建教育共有云或VPC虛擬私有云，教育局可為各學校供應基礎云資源（云主機、云存儲等）服務，有效支撐“互聯網+教育”戰略的落地。教育云數據中心方案整體架構云網絡平面為用戶構建彈性、健壯的網絡資源池，云計算平面為用戶構建按需調配、彈性伸縮的計算及存儲資源池，在云服務平面教育局可針對各學校供應云主機、云存儲等云資源服務，幫忙學?？焖偕暇€業務應用。云平安平面為用戶供應從網絡、計算到服務的端到端平安防護，統一運維平面實現對網絡、服務器、數據庫、中間件和業務系統的全方位資源管理，實現從業務角度統一管理下層IT資源。4、方案整體設計方案整體設計如下圖所示，依據分區分等級的原則進行業務分區和平安域劃分，整體劃分為服務器區、核心交換區、平安服務區和運維管理區，依據業務類別和平安級別不同，再將服務器區進一步劃分為數據庫服務區、應用服務區和前置服務區，實現全面的結構平安。教育云數據中心方案整體設計在計算存儲層面，為用戶供應服務器、存儲、虛擬化的一站式解決方案，幫忙教育局快速部署云數據中心，快速響應業務需求。教育局一次設備采購即可完成對云平臺基礎架構的整體搭建，相比傳統的分散采購部署方式，建設成本降低50%以上、能耗降低75%以上。有效解決了傳統的云數據中心建設所面臨的“投資成本高、運行效率低、架構缺乏機敏性、業務響應速度慢”等問題，兼顧建設成本和應用效率，建設綠色數據中心。在網絡層面，通過雙機虛擬化部署，實現高牢靠和高可用，保障關鍵業務不中斷傳輸。設備層面：核心設備主控引擎1+1冗余、交換網板N+1冗余、N+M冗余電源、不間斷重啟、熱補丁等技術，確保電信級牢靠性；組網層面：網絡設備雙機冗錯部署，網絡鏈路雙歸屬聚合互連；系統層面：多合一虛擬化，在簡化組網和管理的同時，進一步增加系統的高牢靠性與高可用性。在平安層面，通過部署防火墻、入侵防守、web應用防護、流量管理、數據庫審計、運維審計等設備，實現從網絡到應用的全方位平安防護，為用戶建立事前平安預警、事中深度防護、事后精確審計的全流程平安保障機制，充分滿意等保建設要求。在運維層面，基于業務視角專業化綜合運維，業務平面、數據中心平面、網絡平面集中高效管理，對網絡、服務器、數據庫、中間件、業務系統及機房動力環境等統一監控和可視化資源管理，為用戶建立規范的運維管理流程，充分保障運維效率和質量。解決方案及產品為全開放架構，通用性強、模塊化彈性擴展，兼容多廠商架構，業務擴容不受限。五、解決方案具體設計1、云計算平臺設計1.1整體架構設計傳統的服務器+虛擬化軟件+SAN存儲的數據中心云計算平臺方案在擴展性、效率、運維、能耗、平安五大方向上正面臨新的挑戰。傳統數據中心多采用服務器、存儲設備堆集及外部網絡連接的架構模式，雖然虛擬化技術的使用讓計算、存儲具有了確定的“流淌性”，但卻無法完全虛擬化I/O，造成不同系統間的IT資源仍未實現高效的共享、機敏的流淌。這就導致數據中心的系統擴展性受限、效率不高、能耗鋪張、運維費用高居不下、平安管理簡潔等問題，難以適應云計算大數據時代對IT基礎設施的要求。隨著這些新興技術和應用模式推動數據中心向集中化、規?；M展，用戶期望能夠整體掌控、管理自己的數據中心，期望數據中心能夠“快、簡、穩”，實現業務上線快、遷移快、切換快，讓數據中心的基礎架構、運維、使用都變得簡潔、簡潔，同時使應用和基礎架構解耦，保證各中心業務穩定運行。新時代下，走向融合架構的云數據中心將成為大勢所趨。在融合架構技術框架下，核心轉變來自CPU、內存、I/O等硬件資源的解耦與重構，這讓數據中心計算、存儲、網絡、平安資源的全虛擬化、全自動化成為現實，并通過軟件定義實現業務感知的按需資源組合與配置，實現系統的彈性伸縮和超大規模持續擴展，真正實現數據中心像一臺計算機一樣運行和管理。融合架構云數據中心總體特征是，自動感知業務需求，進行資源供應，數據中心像一臺服務器。在硬件層面，實現計算、I/O、存儲的完全池化；在軟件層面，實現資源的全面管理和調配，使得用戶能夠以業務驅動應用，進行資源統一的調度。通過硬件重構與軟件定義，在系統效率、擴展性、功耗和管理上帶來全面提升，將促進數據中心從資源驅動向業務驅動轉變，真實呈現數據中心即計算機的愿景。融合架構是將徹底打破現有數據中心的建設思維與應用模式。同時，精簡的架構使數據中心配置高度簡化，極大地降低了運維管理成本，讓IT部門專注于業務的動態變化和模式創新。1.2超融合架構方案通過一箱即云、軟硬件融合統一交付的整體解決方案，為用戶供應最優的效率、機敏性、規模、成本和數據保護，兼顧建設成本和應用效率，省錢省力省心。教育局所承載的業務系統均采用私有云部署方式，各業務系統全部運行在私有云上。硬件融合，簡化數據中心系統架構，部署、管理、維護更簡潔軟件融合，計算、管理融合，云管理與簡運維整體交付開放架構，模塊化彈性擴展，業務擴容不受限云管理平臺實現IT資源的服務交付，用戶需要部署業務應用時可以直接通過自助服務門戶申請相應資源，通過業務流審批快速交付與部署。同時云管理平臺可以實現多租戶的資源配額與管理，教育局可為下屬的學校(租戶)劃分虛擬的計算、存儲與網絡資源供其使用，實現資源的集約式管理，同時保障各學校的平安隔離。自助式服務管理為用戶供應了一個平安的、多租戶的、可自助服務的IaaS，通過JCOS云計算管理平臺供應的虛擬化資源池功能，通過完全自動化的自助服務訪問為用戶供應云主機、云存儲等云資源。這種自助式的服務真正實現了云計算的機敏性、可控性和高效性，并極大程度地提高了業務的響應能力。招生系統、查分系統、老師評優等應用：大量用戶特定時間段集中訪問，突發的高并發訪問常常造成業務系統癱瘓，導致業務中斷。ERS（彈性資源擴展）可感知應用負載并動態調配虛擬機數量。以下圖為例，當學生查分訪問高峰時，JCOS監控到當前兩臺業務虛機已經無法滿意訪問需求，自動創建新的業務虛機以滿意高并發訪問，實現動態的彈性資源擴展，訪問高峰過后自動刪除新建的業務虛機、釋放資源。隨著業務深化開展，在線課堂、網絡教研、協同備課等業務應用對服務器資源需求不斷增長，逐步會毀滅物理服務器負載過高的情況。如下圖所示，DRS（分布式資源調度）可以實時監控當前物理服務器負載，當群集中某個物理服務器負載過高時，其上的某個業務虛機（被預先定義策略）自動遷移到輕載服務器上，遷移過程對用戶和業務完全透亮?????，實現資源的分布式調度。1.3解決方案價值1）集成度高，資源集約化使用和管理銳捷UDS2000超融合一體機高度集成計算、存儲和SDN網絡功能，并且有針對性的進行深度優化，削減客戶系統集成和調優工作。超融合架構在硬件平臺上預置安裝軟件，只需要數分鐘快速配置即可上線使用。一臺UDS相當于多臺服務器+一套分布式存儲系統+一套虛擬化平臺+一套綜合運維管理平臺。方案供應統一管理界面和集中設備監控，同時供應簡潔無中斷的升級過程。由于計算、存儲和SDN網絡功能高度集成在統一的硬件服務器上，可以充分使用服務器的計算和I/O性能，提高服務器的利用率，充分挖掘服務器的潛能。全部應用系統共享物理基礎設施，以資源池的形式對應用系統供應服務，單個物理硬件發生故障時不會影響任何應用系統?？蛻舨辉傩枰獑为毑少彺鎯υO備，從而提高了機房空間利用率。2）架構機敏，快速響應銳捷UDS2000超融合一體機采用虛擬化技術，將物理資源池化供應應不同應用，只需幾分鐘就可以創建虛擬服務器，快速響應應用系統的變更。系統可以統籌安排全部應用的運行狀態，依據負載情況隨時調整硬件資源，并調度應用，使應用隨時處于健康的服務狀態。相同的硬件可以提高系統互操作性和穩定性，并且供應簡潔牢靠的擴容方式。新加設備自動發覺，由管理平臺統一管理，可以在不影響業務的情況下水平彈性擴容，提升了系統的整體機敏性，簡化分別運維應用系統的工作量。3）部署運維簡易，遠程幫忙便利銳捷UDS2000超融合一體機加電即使可用，省去了服務器上架、配置、調試等工作。系統自愈能力強，毀滅非計劃停機后，重新加電系統即可恢復，無需人工干預，能良好的適應非標準機房環境。預制教育行業主流應用模板，點選即用，屏蔽了安裝操作系統、數據庫和應用等工作。供應遠程維護接口，軟硬件供應商和系統集成商可以遠程訪問系統進行故障排查和優化，無需現場服務，提高了服務響應時間，節省了服務成本。通過使用統一運維監控平臺，應用系統發生故障時，支持遠程一鍵恢復。4）彈性擴容，模塊化無縫橫向擴展UDS超融合架構本身帶來了機敏性、擴展性與簡易部署，只需要簡潔添置UDS節點來擴容就能滿意業務增長的需求，部署維護簡便。基于分布式架構，計算性能和存儲容量都可以彈性水平擴展，可以像搭積木一樣將UDS進行堆疊實現無縫橫向擴展，形成統一的資源池，并進行統一管理和資源調配。高度自動化，擴展無需暫停業務，整個擴容過程不會影響任何服務。5）分布式存儲，更高性能、更低成本傳統的SAN架構的集中共享存儲的解決方案需要用戶分別購買磁盤陣列、SAN交換機及HBA卡組網，建設成本高、業務部署緩慢、可擴展性差，還存在鎖定用戶問題、擴展與性能的問題、折舊費用問題、數據中心機柜的空間問題等等。在性能方面：全部數據讀寫都通過集中把握器管理，存儲性能在把握器層面存在瓶頸，同時存儲陣列中大量磁盤資源處于閑置狀態，不能有效利用。在管理方面：需要對服務器、存儲陣列、SAN存儲網絡單獨維護，用戶管理難度大。銳捷分布式存儲方案基于通用的X86服務器為用戶構建高可用的虛擬化存儲資源池，幫忙用戶有效的提升了對服務器閑置磁盤的資源利用率。分布式存儲方案將用戶數據分散進行存儲，多點并發，速度快、性能高，比傳統共享存儲性能高出50%以上，并可為用戶供應更高的數據牢靠性保障。同時，分布式存儲方案業務擴展機敏、擴容成本低，同步實現計算與存儲資源擴展。6）開放的標準銳捷UDS2000超融合一體機供應開放標準的OpenstackAPI，易于和內部其他IT系統實現對接。同時，供應豐富的命令行工具，充分滿意對自動化運維的訂制需求。1.4SQL數據庫支撐設計注：此部分內容請按需修改。1）SQLSERVER數據庫本項目涉及業務軟件均使用SQLSERVER數據庫。磁盤I/O是影響SQLSERVER數據庫性能的最重要因素之一。其競爭來源主要有：Windows操作系統，主要是內存分頁文件、Windows日志文件。數據庫的數據文件（mdf和ndf）數據庫的事務日志文件（ldf）SQLServer實例的tempdb數據庫為了消退競爭對性能的影響，本方案采用分布式存儲架構。2）磁盤規劃建議Tempdb：tempdb數據庫性能要求非常高，但對數據平安性要求低。建議將tempdb數據庫放置在快速磁盤系統中。假如有許多直接連接的磁盤，使用RAID0。數據文件（mdf和ndf文件）：這類文件即要求性能，又要求平安性。使用RAID5。事務日志文件（ldf文件）：事務日志文件的特性是連續的挨次寫入，因此對性能要求不高，僅要求平安性。使用RAID5。3）磁盤空間規劃盡管對于當前的驅動器的大小而言，SQLServer的磁盤空間需求是微不足道的，但是照舊需要考慮磁盤空間的規劃。系統數據庫

一般來說，系統數據庫都不會很大，只有tempdb例外。假如T-SQL代碼的質量不佳，tempdb增長到幾百GB也是有可能的。用戶數據庫應當估算用戶數據庫的容量增長，并規劃足夠的磁盤空間。當磁盤已滿導致數據庫不能獲得更多的磁盤空間，會報錯“數據庫已滿”或“數據庫日志已滿”，數據庫將拒絕寫入。4）磁盤類型規劃SQLSERVERtempdb等數據庫IOPS要求較高，本方案采用SSD盤應對數據庫的高IOPS需求。每臺服務器部署2塊960GSSD。5）資源池設計每個應用使用兩到三臺虛擬機（SQLServer數據庫、中間件、Web服務器）。為了應對突發高訪問量，對重要應用使用高可用保護，或者多應用實例的負載均衡，所以需要預留額外的資源。一般來講，系統會依據50%的超配比例。在此方案中，選用UDS2000-E(S)超融合云一體機產品。內置JCOS軟件。采用分布式存儲技術，客戶不需要另行購買專用存儲設備，大大節省用戶投資。云網絡平臺設計2.1整體架構設計云計算數據中心基礎網絡是云業務數據的傳輸通道，將數據的計算和數據存儲有機的結合在一起。網絡推舉采用扁平化架構設計，分核心層與接入層兩個層面。核心層主要由大容量三層交換機組成，主要負責與外部網絡的流量交換以及節點內各集群之間的流量轉發；接入層主要由接入交換機構成，負責服務器的接入。基礎網絡從核心層到接入層均實現交換機的虛擬化部署，不僅網絡容量可以平滑擴展，并簡化網絡拓撲結構、大大提高整網的牢靠性。核心交換機需要具備高處理能力，實現在大容量數據的線速無阻塞轉發，具有對突發數據的緩沖能力、緩解端口擁塞壓力，同時應對多種業務流量的需求和將來的業務擴展。基于系統牢靠性的考慮，網絡采用雙核心交換和雙鏈路上行設計，實現設備級和鏈路級的高牢靠性，保證業務的不間斷性。核心交換機進行虛擬化雙機部署，在網絡連接上消退單點故障，物理鏈路采用雙路冗余連接，依據負載均衡方式或active-active方式工作，在提高網絡性能、系統牢靠性的同時，簡化網絡結構、降低維護難度。扁平化大二層組網為保證虛機遷移時業務不中斷，云數據中心應采用大二層組網，同時還需要解決由STP帶來的帶寬鋪張和虛機遷移引發網絡震蕩問題。在這方面，通過多合一虛擬化技術，可以將多個核心設備虛擬成為一個邏輯設備，實現二、三層把握平面的統一，進而在保證高牢靠的前提下，實現接入交換機上行鏈路的跨設備鏈路聚合，從而消退環路，提高二層組網的性能、消退由生成樹重計算造成的網絡震蕩。虛擬機感知與平安策略自動遷移支持虛擬機感知及平安策略自動遷移，實現虛擬主機網內自由遷移時對應平安把握策略的同步遷移，有效實現大規模服務器虛擬化應用環境中虛擬機流量的平安把握策略統一部署。統一交換，融合存儲與以太網同時可為服務器供應FCoE接入和以太網接入服務，從而幫忙用戶輕松整合異構的存儲網和數據網，削減網絡中的設備數量，最大程度上簡化網絡部署成本和布線成本，保護用戶既有投資。2.2網絡分區設計數據中心架構設計的重要設計方法為分區分域模塊化設計。它是依據業務相關性、平安性和擴展性等諸多方面的考慮，將數據中心橫向劃分為不同的功能區域，部署相應的服務器、軟件和網絡平安系統，不同的分區部署不同的業務系統、平安策略和訪問策略，一個分區就對應著一個系統。1)分區分域設計的重要性可以在數據中心中清楚區分不同的功能區域，可以便利的依據不同區域的功能需求進行差異化設計和建設區域邊界，實質上也是不同平安級別的業務的平安邊界。基于區域邊界可以明晰的設計和部署相應的平安策略，保證數據中心的平安運行2)數據中心網絡分區原則平安性原則：依據平安等級不同，劃分為不同分區。例如，為互聯網用戶、合作伙伴服務的服務器單獨分區，信息敏感的服務器單獨分區。高可用布局原則：業務關聯度高的服務器部署在同一個區域；業務關聯度低的服務器拆分成多個區域；可用性要求高的業務拆分成兩個對等區域。容量適度原則：依據運維管理閱歷，把握單個區域內的服務數量，例如，500臺以內。將來服務器數據增加、區域間流量增長后可考慮進一步拆分。獨立運維管理原則：業務流量、平安把握、組網協議方面有特別?????要求的服務器單獨分區。網絡分區設計為了能夠實現業務服務器的平安隔離、容量擴展和分類管理等需求，通常將業務區按應用層次、按應用類型兩種模式細分。兩種模式各有優缺，通常結合使用。模式A：按應用層次分區模式B：按應用類型分區部署說明客戶端到服務器的訪問要經過三個區域同一層服務器之間的互訪不需要跨區域客戶端到服務器的訪問只要經過一個區域同一層服務器之間的互訪需要跨區域優點每個區域只服務于應用邏輯中的一個層面（Web/App/DB)應用層次之間物理分別風險分散，一個區域內部故障或變更停機不會影響其他區域承載的業務擴展性較強，當應用種類增加或者單個區域容量增加時，可以通過橫向拆分擴容可管理性強：便于故障定位和應急低時延：同一應用各層服務器之間的流量在同一個區內缺點風險集中，一個區域內部故障或變更，會影響全部應用擴展性較弱，服務器數量較多時，單個區域易達到容量上限業務可管理性弱，不易進行故障定位和應急應用層次之間無物理分別網絡整體劃分為服務器區、核心交換區、平安服務區和運維管理區，依據業務類別和平安級別不同，再將服務器區進一步劃分為數據庫服務區、應用服務區和前置服務區，實現全面的結構平安。2.3核心層設計高效：采用云計算數據中心交換機，支持40G和100G的接口，可為整個數據中心構建高性能的數據轉發平臺，充分滿意教育行業將來海量數據傳輸的需求；通過網絡結構的設計和產品功能上的支持，可以為用戶構建1:1收斂比的整體網絡結構，整個網絡沒有瓶頸，這在分布式計算環境（如進行多數據源的數據分析）可以很好地保障網絡質量。牢靠：通過VSU（VirtualSwitchUnit，虛擬交換單元）實現網絡資源虛擬化，提升整個數據中心的牢靠性，使得網絡故障自動恢復時間從秒級提升到毫秒級，網絡的牢靠性提升幾十倍，達到99.999%。多業務融合：在數據中心交換機上，支持FCoE功能，實現存儲和網絡的融合，使得云計算要求的資源池構建和資源調度更加機敏。2.4接入層設計在高性能方面，供應強大的緩存能力，支持先進的緩存調度機制可以保證設備緩存能力有效利用的最大化；供應高密度的10G及40G接口，全部端口均可實現線速轉發，滿意數據中心萬兆服務器無阻塞上聯的需求。在高牢靠方面，支持將多臺物理設備虛擬化為一臺邏輯設備，統一運行管理，削減網絡節點，增加網絡牢靠性?？蓪崿F50~200ms鏈路故障快速切換，保障關鍵業務不中斷傳輸。支持跨設備鏈路聚合，便利接入服務器/交換機實現雙活鏈路上聯。

在適應性方面，支持虛擬機感知及平安策略自動遷移，實現虛擬主機全網范圍內自由遷移時對應平安把握策略的同步遷移，消退服務器虛擬化環境中網絡平安漏洞，削減網絡維護工作量。在網絡接入方面，可為服務器供應FC和FCoE接入和以太網接入服務，同時為傳統IPSAN用戶供應無損以太網傳輸，增加IPSAN的牢靠性，從而幫忙用戶輕松整合異構的LAN和SAN兩張網絡，削減網絡中的設備數量，既能真正實現數據中心網絡架構的融合，又能充分保護用戶既有投資。2.5虛機感知與策略遷移解決方案支持虛擬機感知及平安策略自動遷移，有效實現大規模服務器虛擬化應用環境中虛擬機流量的平安把握策略統一部署，并通過數據中心網絡管理平臺協作數據中心交換機、虛擬機管理把握平臺，實現虛擬主機全網范圍內自由遷移時對應平安把握策略的同步遷移，消退服務器虛擬化環境中網絡平安漏洞，削減網絡維護工作量。虛機感知過程：1）虛擬機上線，發送攜帶自己vlan的報文。2）接入交換機檢測到虛擬機發出的ARP/RARP消息，感知到虛擬機，將虛擬機的接入端口加入vlan（虛擬機），并向上轉發ARP/RARP消息。3）核心交換機學習到虛擬機ARP/RARP報文后，向下定位虛擬機接入的具體端口，下發ACL配置策略到接入交換機的虛擬機接入端口。4）虛擬機接入端口應用ACL配置策略虛機遷移過程：1）虛擬機遷移后，接入交換機通過ARP報文學習到虛擬機的MAC和Vlan信息，在接入端口動態添加虛擬機vlan。2）接入交換機轉發RARP報文告知網關（核心交換機），核心交換機推斷到虛擬機發生遷移，重新定位和下發ACL策略到接入交換機。3）接入交換機在虛擬機接入端口應用ACL策略。注：假如在同一臺接入交換機內遷移，則此接入交換機直接將策略應用到新的接入端口；假如虛擬機跨交換機遷移、則核心交換機將網絡策略自動下發到新的接入交換機接入端口，實現策略自動跟隨。3、云平安平臺設計3.1數據中心平安概述數據中心是由許多個分區組成的，例如外聯區、管理分區、服務器分區、存儲區、開發測試區等等。數據中心的平安措施包括許多方面：設置嚴格的管理制度，實行人員通行證、人員登記、人員操作備案等等。把握人員訪問權限的平安，實現最小授權，業務嚴格劃分。對業務人員進行平安培訓，建立嚴格的平安制度等，削減或避開平安事故的發生。設置簡潔的密碼，防止賬號密碼被盜用等。而在本章中，主要描述的是數據中心網絡平安方面的內容。網絡平安問題主要分為四類：網絡攻擊：例如DDoS攻擊、掃描類攻擊、窺探類攻擊、畸形包攻擊等。漏洞入侵：黑客利用操作系統、數據庫、Webserver等存在的漏洞進行入侵。病毒威逼：各種類型的病毒，威逼數據中心服務器的平安。內部人員威逼：例如內網用戶越權訪問、非法竊取數據等等。3.2平安威逼及措施數據中心由于進行數據的集中式管理，數據量大而且非常重要，往往更簡潔成為攻擊目標，而采用單一的平安防范技術很難行之有效，所以需要對數據中心進行全方位的防護，針對不同的分區建設有針對性的防護。數據中心的平安威逼來自于網絡的各個層面，從物理層始終到應用層。需要針對各層的平安威逼的特點做出一系列的應對措施，如內容深度防守、二到七層的全方位防范、訪問把握、協議棧的平安防范以及二到四層的攻擊防范等。數據中心內各個分區存在的平安威逼不盡相同，如下圖所示。依據數據中心各個分區的平安威逼、平安設計原則、應對措施推舉。在數據中心，由于業務的特點不同，分區的平安狀況和上圖可能有些區別，可以依據平安威逼的類別適當添加和削減平安設備。序號IT平安威逼類型IT平安技術保護措施威逼分類威逼名稱威逼來源威逼動機威逼對象威逼影響平安識別與監控平安防護平安審計與恢復1系統惡意代碼病毒外部有意系統機密性、完整性、可用性防毒墻身份認證、惡意代碼保護、防病毒網關平安審計木馬外部有意系統機密性、完整性、可用性蠕蟲外部、內部有意、無意網絡、系統機密性、完整性、可用性后門外部、內部有意系統、應用機密性、完整性、可用性間諜軟件外部有意系統、應用機密性、完整性、可用性2網絡平安攻擊拒絕服務攻擊外部攻擊有意網絡、系統、應用可用性入侵檢測系統拒絕服務攻擊保護、入侵防守平安審計僵尸網絡外部攻擊有意網絡、系統、應用可用性入侵檢測系統拒絕服務攻擊保護、入侵防守平安審計網絡欺騙攻擊外部攻擊有意網絡、系統機密性、完整性、可用性入侵檢測系統網絡訪問把握、入侵防守平安審計嗅探掃描外部攻擊有意網絡、系統機密性、可用性平安漏洞掃描、入侵檢測網絡訪問把握、入侵防守平安審計非法數據傳播外部、內部有意網絡機密性網絡流量管理平安審計3應用攻擊SQL注入攻擊外部、內部有意應用機密性、完整性、可用性入侵檢測系統、平安漏洞掃描WEB應用保護墻、入侵防守系統平安審計跨站攻擊外部、內部有意應用機密性、完整性、可用性入侵檢測系統、平安漏洞掃描WEB應用保護墻、入侵防守系統平安審計緩沖區溢出攻擊外部、內部有意應用機密性、完整性、可用性入侵檢測系統、平安漏洞掃描WEB應用保護墻、入侵防守系統平安審計文檔上傳攻擊外部、內部有意應用機密性、完整性、可用性入侵檢測系統、平安漏洞掃描WEB應用保護墻、入侵防守系統平安審計網站網頁掛馬外部、內部有意應用機密性、完整性、可用性入侵檢測系統、平安漏洞掃描WEB應用保護墻、入侵防守系統、網頁防篡改平安審計4綜合權限平安非授權訪問外部、內部有意網絡、系統、應用、數據機密性、完整性、可用性防火墻身份認證、入侵防守系統、終端平安防護平安審計權力濫用內部有意網絡、系統、應用、數據機密性、完整性、可用性防火墻終端平安防護平安審計3.3數據中心平安設計1）設計原則數據中心的平安的設計原則包含六個方面，如下表所示：原則描述牢靠穩定平安設備避開單點故障，切實保障網絡中的平安以及網絡的正常運行?？蓴U展化采用模塊化體系結構，便于功能的添加和削減。分區管理不同區域采用不同平安策略，平安措施有針對性，有利于效率的提升。最小授權依據“缺省拒絕”方式制定防護策略。在身份鑒別的基礎上，只授權開放必要的訪問權限，并保證數據平安的完整性、機密性、可用性。平安管理關聯事件分析，評估平安狀態，便于準時調整平安策略。運維審計降低資源風險，完善責任認定。2）功能和分區平安設計數據中心的平安設計時，至少需考慮三個方面的功能，如表所示。功能描述防護針對外部攻擊，需要進行平安域的劃分，把整個區域劃分為多個不同安全等級的子區域；進行訪問把握，對攻擊進行防護，并在一些業務上允許用戶建立平安隧道。免疫針對內部威逼，主要是能識別終端風險，對終端進行認證授權，對文檔進行平安的管理和把握等?？晒芾碇饕高\維行為管理，對運維終端進行認證和授權，對運維的行為進行升級，對平安事件進行分析。3）分區平安建議及應對針數據中心各個分區的平安威逼，制定不同的部署建議以及推舉的產品，如下表所示：平安區域存在問題及風險信任策略部署建議部署價值內網接入區非法業務訪問信任部署防火墻解決內網用戶非法訪問問題WAN接入區非法業務訪問信任部署防火墻解決分支用戶非法訪問問題Internet接入區互聯網DDoS流量攻擊非法業務訪問、NATVPN平安接入不信任部署Anti-DDoS部署防火墻部署SSLVPN設備解決DDoS攻擊、業務非法訪問、遠程用戶平安接入問題合作伙伴接入區VPN平安接入非法業務訪問部分信任雙層部署防火墻解決業務非法訪問問題業務可采用VPN接入業務服務區非法業務訪問黑客入侵行為信任部署防火墻部署IPS設備解決業務非法訪問、黑客入侵攻擊問題網管維護區非法業務訪問缺乏平安事件管理缺乏平安設備管理缺乏平安運維審計部署防火墻部署SoC系統部署平安設備管理系統部署堡壘主機解決業務非法訪問，平安事件關聯、平安設備管理與運維審計問題3.3.1防火墻平安分區在平安設計時，首先要將網絡劃分為不同的功能區域，用于部署不同的應用，使得整個網絡的架構具備可伸縮性、機敏性、和高可用性。服務器將會依據服務器上的應用的用戶訪問特性和應用的核心功能分成不同組部署在不同的區域中，但是由于整個數據中心的許多服務是統一供應的，例如數據備份和系統管理，所以為保持架構的統一性，避開資源不必要的重復鋪張，一些功能相像的服務將統一部署在特定的功能區域內，例如與管理相關的服務器將被部署在管理區。實際部署中，建議通過防火墻實現平安區域的邊界隔離與訪問把握，防火墻定義為高級的平安訪問把握設備，通過位于不同網絡或網絡平安域之間信息的唯一連接處，依據組織的業務特點、行業背景、管理制度所制定的平安策略，運用包過濾、代理網關、NAT轉換、IP/MAC地址綁定等技術，實現對出入網絡的信息流進行全面的安區把握（允許通過、拒絕通過、過程監測）,供應外部攻擊防范、內網平安、狀態檢測等功能有效的保證網絡的平安。并可通過虛擬防火墻，劃分多個邏輯的防火墻實例來實現對用戶多個業務獨立平安策略部署的需求。3.3.2關鍵路徑進行入侵防守隨著網絡技術的飛速進展，應用層威逼的日益流行，以木馬、間諜軟件、網頁篡改、DDoS攻擊為代表的應用層攻擊層出不窮，傳統的防火墻防守只能基于網絡層針對IP報文頭進行檢查和規章匹配，無法識別隱藏在正常報文中或跨越幾個報文的應用層攻擊；而傳統的IDS等旁路應用層平安設備由于不能實時阻斷平安威逼的傳播，缺乏有用性。因此完善的解決方案是部署入侵防守系統，通過將入侵防守IPS部署于業務關鍵路徑供應對網絡L4～L7流量的深度分析與檢測能力，有效檢測并實時阻斷隱藏網絡流量中的病毒、攻擊與濫用行為，從而達到對網絡上應用的保護、網絡基礎設施的保護和網絡性能的保護。在網絡中部署入侵防守系統可實現如下功能：網絡信息包嗅探與網絡訪問監控：依據實際業務需要定制相關規章，可定義權限的特定資源，時間段，權限，非法訪問行為或除特定資源合法訪問行為之外的全部訪問行為進行監控。應用層攻擊特征檢測：供應詳盡、細粒度的應用協議分析技術，針對數據業務訪問的應用層進行攻擊檢測，可自動檢測網絡實時數據流中符合特征的攻擊行為，系統維護一個強大的攻擊特征庫，用戶可以定期更新，確保能夠檢測到最新的攻擊事件。特別檢測與防護：包括通過對在特定時間間隔內超流量、超連接的數據包進行檢測等方式，實現對DOS/DDOS攻擊、掃描等攻擊事件的檢測也防護。3.3.3Web應用平安防護隨著信息不斷深化應用，基于web的業務系統越來越多，然而Web服務器存在的脆弱性將導致web應用及業務系統受到嚴峻的平安風險。因此需要建立Web應用防護能力，通過對進出Web服務器的HTTP/HTTPS流量相關內容的實時分析檢測、過濾，來精確判定并阻擋各種Web應用入侵行為，阻斷對Web服務器的惡意訪問與非法操作，適應Web2.0時代的主動實時監測過濾風險技術，而不是被動的遭受攻擊后的恢復通過將惡意代碼、非授權篡改、應用攻擊等眾多因素結合在一起進行綜合防范，從而做到對Web服務器的多重保護，確保Web應用平安的最大化，防止網頁內容被篡改，防止網站數據庫內容泄露，防止口令被突破，防止系統管理員權限被竊取，防止網站被掛馬和植入病毒、惡意代碼、間諜軟件等，防止用戶輸入信息的泄露，防止賬號失竊，防SQL注入，防XSS攻擊等。

同時結合漏洞掃描功能、平安審計設備，實現對web服務器系統的“事前預警、事中防守、事后審計”。3.3.4網絡與數據庫平安審計雖然網絡中已經采用了\t"/68/_blank"防火墻、\t"/68/_blank"入侵防守等平安措施，但對主機核心業務數據平安進行有效把握的關鍵是事前制定和實施平安把握策略、事中進行嚴格管理和把握、事后加強審計。因此如何準確定位事件源頭，有效監控業務系統訪問行為和敏感信息傳播，把握網絡系統的平安狀態，準時發覺違反平安策略的事件并實時告警、記錄，同時進行平安事件定位分析，事后追查取證，滿意合規性審計要求，是企業迫切需要解決的問題。平安審計從兩個層面來考慮和部署，一是網絡行為平安審計、二是數據庫訪問平安審計，分別從網絡層和主機層實現訪問平安審計及事件溯源。部署行為平安審計設備，對網絡流量進行監聽，對網絡活動進行解析、記錄、分析，以幫忙平安管理人員了解、發覺、追查網絡平安事故，依據國家有關法規規定保存審計日志，以便進行事后的審計和分析。部署數據庫平安審計設備，監視并記錄對數據庫服務器的各類操作行為，通過對網絡數據的分析，實時地、智能地解析對數據庫服務器的各種操作，并記入審計數據庫中以便日后進行查詢、分析、過濾，實現對目標數據庫系統的用戶操作的監控和審計。在不影響數據庫系統自身性能的前提下，實現對數據庫的在線監控和保護，準時地發覺網絡上針對數據庫的違規操作行為并進行記錄、報警和實時阻斷，有效地彌補現有應用業務系統在數據庫平安使用上的不足，為數據庫系統的平安運行供應了有力保障。

3.4.5運維審計堡壘機針對運維平安部署堡壘機實現對運維訪問統一權限把握，提高系統運維管理水平，跟蹤服務器上用戶的操作行為，防止黑客的入侵和破壞，供應把握和審計依據，降低運維成本，銳捷堡壘機具備強大的平安防護能力，能夠攔截非法訪問和惡意攻擊，對不合法命令進行阻斷、過濾掉全部對目標設備的非法訪問行為。并且能夠具體記錄用戶操作的每一條指令，能夠將全部的輸出信息全部記錄下來，具備審計回訪功能，能夠模擬用戶的在線操作過程，豐富和完善了網絡的內控審計功能。3.4平安域規劃設計平安域是指信息系統中有相同的平安保護需求、相互信任，并具有相同的平安訪問把握和邊界把握策略的子網或網絡，且相同的網絡平安域共享一樣的平安策略。進行平安域劃分可以幫忙理順網絡和應用系統的架構，使得信息系統的邏輯結構更加清楚，從而更便于進行運行維護和各類平安防護的設計?；谄桨灿虻谋Ｗo實際上是一種工程方法，它極大的簡化了系統的防護簡潔度，由于屬于同一平安域的信息資產具備相同的IT要素，因此可以針對平安域而不是信息資產來進行防護，這樣會比基于資產的等級保護更易實施。3.4.1平安域總體架構在劃分平安域的時候主要依據信息系統的行為來進行，由于具備不同行為的信息系統遭受的平安威逼不同，因此實際劃分的時候可以對每個信息系統進行分析，通過行為需求和平安需求共同分析出該子系統應當屬于哪個平安域。平安域總體架構如下圖：平安域總體架構圖3.4.2平安域規劃設計平安域的劃分從兩個方面來考慮：一是網絡互連層面的平安域劃分，二是業務主機（物理服務器及虛擬機）的平安域劃分。平安支撐域和平安互聯域之間的全部互訪接口整合為一個邊界，外連接入、內部網絡接入、網管運維中心、數據中心等之間的互訪必需經過平安互聯域，不允許直接連接。各業務區域和和平安互聯域之間的全部互訪接口整合為一個邊界，平凡業務子域、重要業務子域、核心業務子域之間的互訪必需經過平安互聯域，不允許直接連接。邊界接入域和平安互聯域之間的全部互訪接口整合為一個邊界，廣域網互聯子域、外部網互聯子域、因特網互聯子域和其他平安域或子域之間的互訪必需經過平安互聯域，不允許直接連接。廣域網互聯子域、外部網互聯子域、因特網互聯子域之間的互訪必需經過平安互聯域，不允許直接連接。3.5數據中心服務器平安措施1）數據中心服務器區訪問風險對服務器區的非法訪問；服務器區內不同級服務器間的非法訪問；針對服務器的應用層攻擊。2）數據中心服務器區的平安措施：A.防范對服務器的訪問風險能夠有效隔離數據中心其他分區到服務器區，常見的攻擊行為，病毒傳播進行有效阻斷，防止對服務器區網絡造成影響；對服務器區內各級服務器做到有效隔離，防范單臺主機被攻陷后導致整個服務器分區的平安風險；隔離并查殺來自外分區的病毒。B.業務訪問過程中的平安威逼數據中心服務器區與其他各區之間的邏輯隔離與訪問把握；數據中心服務器區邊界部署；數據中心服務器區接入層與匯聚層之間部署；C.數據中心服務器區與其他分區及其分區內各級服務器間的隔離在數據中心服務器區與其他分區進行邊界隔離，并通過嚴格的訪問把握，限制其他分區對服務器區的訪問，杜絕非法的訪問；在數據中心服務器區內各級服務器間進行邊界隔離，并通過嚴格的訪問把握，限制各級服務器之間的訪問，杜絕非法的訪問限制數據中心內服務器對外的訪問。4、統一運維平臺設計4.1統一運維建設概述隨著IT與業務融合進程的逐步深化，IT運維管理擔負起的角色越來越重要，而作為業務重要支撐元素的IT運維管理正面臨著越來越多的挑戰。始終以來，IT運維管理工作的焦點都只是在技術層面，單純地追求IT組件的穩定運行和性能質量，以“999”等類似的指標來評價運維的好壞，這將許多人帶入了“重技術質量，輕業務指標”的誤區。但是具體是“系統哪部分毀滅了問題？業務系統為什么會越用越慢呢？”面對這些疑問，在基于設備管理的模式中，IT運維工程師只能逐個檢測網絡、應用、中間件和數據存儲環節，缺少一種從業務層面實施IT管理、IT服務的工具。在IT運維管理中，運維人員不僅僅維護管理某幾種IT資源、某幾款IT資源，常常面對的是具備不同功能特點、不同廠家、不同型號的IT資源，甚至還要管理包括機房環境、機柜等非IT資源。那么，是否有一套有效的工具和方法能夠將這些種類繁多、關系簡潔的資源進行綜合的管理，就成了當前IT管理所關注的熱點。4.2統一運維建設目標從業務視角全面把握IT系統健康水平供應多種業務分析模型，構建IT資源到業務的關聯關系，通過健康指數K線圖、業務雷達視圖、業務卡片、業務服務一覽、業務關聯分析等多種形式實時把握IT資源特別對業務造成的影響，從業務視角全面把握IT運行的健康水平。統一IT資源管理