港鐵AFC云數據中心項目設計方案港鐵AFC云數據中心建設技術方案及實施、培訓方案目錄TOC\o"1-4"\h\z\u1. 港鐵AFC云數據中心建設項目設計方案 101.1. 項目概述 101.1.1. 深圳市城市軌道交通網絡總體架構 101.1.2. 深圳市軌道交通清分中心概況 101.1.3. 深圳市軌道交通AFC系統線網中心（CLC）概況 111.1.4. 4號線已開通線路和系統概況 111.1.5. 本項目工程概況 111.1.6. 本項目AFC系統概況 121.1.7. 三期AFC系統需與以下系統接口： 121.1.8. 需求理解及分析 13. 構建云數據中心 13. 業務云化及運維 141.2. 項目建設目標 141.2.1. 建設云數據中心，提供IaaS和PaaS層云服務 141.2.2. 構建云安全防護體系，滿足安全等級保護三級要求 141.2.3. 部署云運維管理平臺，圖形化展示業務運行狀況 141.3. 項目設計原則 151.4. 方案設計總體思路 161.5. 總體方案架構設計 181.5.1. 港鐵AFC云平臺架構設計 181.5.2. 新建云數據中心架構設計 181.6. 詳細設計方案 211.6.1. 云管理平臺設計方案 21. 云管理平臺架構設計 21. IaaS層服務設計 27. PaaS層服務設計 361.6.2. 網絡資源池設計方案 37. 網絡資源池總體架構設計 371.6.3. 計算資源池設計方案 40. 計算資源池需求 40. 存儲資源池需求 42. 計算資源池總體架構設計 42. 計算資源池容量規劃設計 42. 數據庫區計算資源規劃設計 44. 計算資源池服務器虛擬化平臺設計方案 441.6.4. 存儲資源池設計方案 55. FCSAN數據存儲設計 551.6.5. 安全資源池設計方案 72. 物理安全 73. 基礎安全 74. 虛擬化安全 74. 多租戶安全 75. 應用層數據安全 75. 云安全部署方案 76. 云主機備份 761.6.6. 高級運維管理平臺設計方案 82. 高級運維管理平臺總體方案設計 82. 高級運維管理平臺詳細方案設計 83. 高級運維管理平臺部署方式 85. 高級運維管理平臺效益分析 851.6.7. 業務系統云化遷移設計方案 86. 新應用系統虛擬化建設 86. 老應用系統虛擬化遷移 88. 業務整合遷移 901.6.8. 設備及材料表 982. 項目實施方案 992.1. 工程實施計劃 992.1.1. 項目人員組織 992.1.2. 項目重點、難點說明 1002.1.3. 項目組織和技術支持結構 1002.1.4. 項目工程進度列表 1022.1.5. 項目風險控制措施 1042.2. 項目實施各環節實施方案 1052.2.1. 項目規劃 1052.2.2. 項目實施流程 1062.2.3. 現場安裝、調試階段 1072.2.4. 現場預驗收（SAT1） 1072.2.5. 系統試運行階段 1072.2.6. 竣工驗收階段（SAT2） 1082.2.7. 系統維護與技術支持 1082.3. 項目管理 1092.3.1. 概述 1092.3.2. 項目管理生命周期 1092.3.3. 項目管理階段與實施進度計劃 1092.3.4. 項目協調及溝通管理 112. 溝通計劃 112. 溝通內容 113. 報告形式 113. 相關工具 1132.3.5. 項目變更管理 1132.3.6. 項目風險管理 1142.3.7. 項目文檔管理 116. 文檔管理 116. 版本管理 117. 文檔管理原則 117. 項目安全保密管理 1182.4. 培訓方案 1202.4.1. H3C培訓總體方案介紹 120. 培訓理念 120. H3C培訓中心介紹 120. 培訓師資 120. 培訓體系 1202.4.2. 培訓組織實施 121. 培訓時間 121. 培訓地點 1212.4.3. 免費培訓服務說明 1212.4.4. 國內專業培訓機構認證培訓 1222.4.5. 施工現場培訓 1222.4.6. 受訓人員要求 1242.5. 產品供貨計劃 1252.5.1. 主要硬件設備清單 1252.5.2. 軟件清單 1273. 項目實施團隊情況介紹 1284. 項目原廠售后服務 1294.1. 售后服務方式及具體內容 1294.1.1. 7*24小時熱線遠程技術支持服務 129. 服務標準 129. 服務流程 129. 服務內容 130. 響應時間 1304.1.2. 快速現場支持服務 131. 服務標準 131. 服務流程 131. 故障等級說明 131. 服務內容 132. 響應時間 1324.1.3. 在線支持服務 132. 服務標準 132. 服務流程 132. 服務內容 133. 響應時間 1334.1.4. H3C智動協維（駐場）服務 1334.1.5. 郵件列表服務 135. 服務標準 135. 服務流程 135. 服務內容 135. 響應時間 1354.1.6. 知識庫經驗共享 135. 服務標準 135. 服務流程 135. 服務內容 135. 響應時間 1364.1.7. H3C提供最高級別的支撐 1364.2. 質保期內的升級、優化服務說明 1374.3. 最終用戶的服務責任 1374.3.1. 免責條款 1374.4. 質保期后的技術服務 1374.5. 售后服務承諾 1385. H3C云數據中心解決方案精品案例 1445.1.1. 地鐵行業安全設備案例 144. 杭州至紹興城際鐵路信號系統信息安全等級保護設備采購項（數據庫審計、防火墻、漏掃、堡壘機、入侵防御、安全管理平臺等） 144. 成都地鐵6號線一、二期及成都軌道交通11號線一期信號系統設備集成采購項目（含防火墻、堡壘機、數據庫審計、安全管理平臺等） 151. 警用CCTV系統-西安地鐵機場線（防火墻） 1575.1.2. 地鐵行業網絡設備及云計算案例 159. 深圳地鐵NOCC設備采購及集成項目（虛擬化、服務器、交換機等） 1595.1.3. 金融行業云計算案例 166. 2017年杭州聯合銀行云平臺（云計算、虛擬化、分布式存儲、SDN、安全設備） 166. 2017年湖南農村信用社聯合社網站群云平臺集成項目（云計算、虛擬化、分布式存儲、SDN、安全設備） 173. 2017年網聯云管理平臺項目（云計算、虛擬化、分布式存儲） 186. 2017年浙江農信私有云項目（云計算） 191. 2017年天風證券云項目（網絡設備、服務器、云計算、虛擬化、分布式存儲、SDN、安全設備） 195. 2018年大地保險基礎架構私有云項目（云計算、服務器） 1985.1.4. AFC系統案例 203. 北京地鐵7號線AFC（網絡設備） 203. 杭州地鐵2號線東南段CBTC&PIS&CCTV&AFC（網絡設備、安全設備） 205. 無錫地鐵2號線AFC（安全設備） 206. 天津6號線AFC（含服務器、小機、存儲、光纖交換機、磁帶庫、備份軟件） 210. 武漢有軌電車T1-T2號線AFC（含服務器、存儲、磁帶庫、備份軟件、光纖交換機） 2136. 云平臺資質 2216.1. OpenStack金牌會員證明 2216.2. CMMI5認證 2236.3. 虛擬化軟件軟件著作權證書 2246.4. ITSS云服務能力證明 2276.5. 可信云多云管理平臺解決方案認證 2286.6. 通過國家標準《信息技術云計算參考架構》標準 2296.7. 通過《信息技術云計算虛擬機管理通用要求》專業性要求標準驗證測試 2316.8. 通過國家標準《信息技術云計算云資源監控指標體系》基礎設施能力類型指標的標準驗證測試 2327. 相關截圖證明 2337.1. 入侵檢測系統 2337.1.1. 設備具有對為高級持續威脅檢測設備的聯動，并且能提供有效的界面截圖； 2337.1.2. 能夠對緩沖區溢出、網絡蠕蟲、網絡數據庫攻擊、木馬軟件、間諜軟件等各種攻擊行為進行檢測，需提供界面截圖； 2347.2. 計算虛擬化要求 2357.2.1. 虛機通過備份實現應急啟動，當虛機發生故障時，可以直接使用備份系統中的備份數據啟動虛機；虛機應可配置HA，達到秒級切換，用戶無感知。 2357.3. 存儲虛擬化要求 2357.3.1. 支持虛擬機快照，存儲卷回滾。 2357.3.2. 支持不同存儲介質劃分資源池，性能容量按需分配，配置靈活。 2367.3.3. 支持虛擬機磁盤加密。 2367.3.4. 分布式塊存儲系統支持分布式FC、分布式以太網協議、ISCSI塊存儲協議，支持NFS、CIFS文件存儲協議。 2377.3.5. 分布式塊存儲系統支持硬盤生命周期管理功能，硬盤的亞健康檢測，硬件告警，生命周期查詢功能 2377.4. 網絡虛擬化要求 2387.4.1. 支持SR-IOV（單根輸入/輸出虛擬化）直通時虛擬機網絡帶寬預留，保證虛擬機具有保證的帶寬；已經部署成功的虛擬機可充分利用分配給其的帶寬資源，但是不能超出；同一物理機運行上的虛擬機，帶寬不會搶占。 2387.4.2. 支持SR-IOVMACVTAP，將VF通過MACVTAP直通方式提供給虛擬機使用。能在VF上設置VLANID；當發起虛機熱遷移時，系統會自動選擇滿足資源的計算節點，并在選擇出的目的計算節點上為虛擬機分配對應的VF資源，虛擬機所在源節點在遷移完成后，會釋放虛擬機所占用的VF資源。 2387.4.3. 支持虛機網卡流量鏡像功能，將虛機的業務流量引到用作流量鏡像的物理網卡上，以實現流量監控。可以在云管理門戶上配置用哪些物理網卡作為流量鏡像的網卡，并且可配置虛機是否啟用流量鏡像功能。 2397.4.4. 支持分布式虛擬交換機；支持VLAN技術實現租戶隔離。 2397.4.5. 虛擬交換機支持端口鏡像功能，支持跨計算節點的端口鏡像。 2407.4.6. 支持端口限速、端口組共享限速、網絡優先級功能。 2407.5. 云資源管理技術要求 2417.5.1. 支持虛擬機分組功能，可以對虛擬機按照各種業務場景進行分組。可以創建或刪除分組，可以將虛擬機移入/移出分組，支持分組的嵌套（嵌套層級無限制）。 2417.5.2. 支持虛機聚合與背離，指定同一個聚合組的虛擬機，在部署時，會盡量落在同一臺物理主機上；指定同一個背離組的虛擬機，在部署時，會盡量落在不同物理主機上。 2417.5.3. 支持物理資源和虛擬資源的統一管理；可管理多種異構的虛擬化平臺，包括VMwarevCenter，POWERVM，KVM，XEN等 2427.5.4. 能夠管理、調度GPU資源。 2427.5.5. 提供給最終用戶意見反饋的途徑，使最終使用人的意見及時收集并處理，形成云服務的閉環，保障云服務的不斷提升 2437.6. 云應用管理技術要求 2437.6.1. 應用級監控，業務智監控模型包括健康度、繁忙度和可用度，可用度監控支持URL訪問和應用進程檢測。 2437.6.2. 支持動態基線技術，系統每日凌晨會采集7天內的每時段健康度、繁忙和可用度指指標計算求平均生成每時段健康度、繁忙度和可用度的告警閥值，利用這種動態的告警閥值機制可有效保障業務穩定高效的運行，減少系統噪聲。 2447.6.3. 支持應用級的彈性伸縮，如DB連接數、TCP連接數、http連接數等，粒度最小到分鐘級。 2447.6.4. 支持應用容災雙活切換流程圖形化編排，基于GSLB、DB、APP、第三腳本等抽象為編排對象，簡單拖拽圖標即可快速和簡單的完成容災倒換的編排定義。 2457.6.5. 支持應用容災雙活一鍵切換（包含數據庫），通過拓撲圖可查看到每個節點的倒換狀態，并可快速獲取到可能發生的報錯信息。 2467.6.6. 支持容災雙活切換流程引入第三方腳本功能，通過對第三方腳本的集中管理與控制，可實現在整體容災倒換流程中執行第三方腳本，實現容災倒換。 2467.6.7. 具備提供Oracle云化數據庫統一管理，通過云應用管理系統可實現云數據庫的全生命周期管理以及數據庫監控功能。 2477.6.8. 提供容器云應用管理功能，通過云應用管理系統可實現容器云的管理以及監控功能。容器管理需支持彈性伸縮、垂直擴容、灰度升級、服務發現、服務編排、錯誤恢復及性能監測等功能 2478. 交換機入網許可證及檢驗報告 2478.1. 云平臺核心交換機S7506E 2478.1.1. 入網證（首次入網時間2009年） 2478.1.2. 檢驗報告 2508.2. 云平臺接入交換機6800-4C 2548.2.1. 入網證（首次入網時間2014年） 2548.2.2. 檢驗報告 2568.3. 云平臺管理帶外接入交換機5560X-54C 2598.3.1. 入網證（首次入網時間2016年） 2598.3.2. 檢驗報告 2628.4. IP存儲交換機6800-2C 2668.4.1. 入網證（首次入網時間2014年） 2668.4.2. 檢驗報告 269港鐵AFC云數據中心建設項目設計方案項目概述深圳市城市軌道交通網絡總體架構根據功能一般可分為5個層面，第一層為深圳市軌道交通清分系統，與深圳市公共交通“深圳通”系統互聯；第二層為軌道交通AFC多線路中心CLC系統和4號線中央計算機系統、第三層為運行在線路各車站的AFC車站計算機系統、第四層為車站的AFC終端設備，第五層為IC卡車票。深圳市城市軌道交通AFC系統網絡架構圖深圳市軌道交通清分中心概況深圳市城市軌道交通清分中心（ACC）負責統一制定、發行和管理軌道交通專用票，組織制訂軌道交通票務政策，與深圳通系統及各軌道交通自動售檢票系統（以下簡稱“AFC”）進行數據交換，按照確定的清分規則對票款收入進行收益清分。深圳市城市軌道交通已建設深圳市軌道交通網絡運營控制中心（以下簡稱NOCC），根據NOCC的功能定位，清分中心擴容后（全線網所有線路容量）遷移到深圳市軌道交通NOCC，ACC擴容搬遷工程已于2016年完成并開通運營。深圳市軌道交通AFC系統線網中心（CLC）概況CLC為深圳市城市軌道交通三期工程同期建設，已于2016年中建成。CLC屬于NOCC設計內容，不在本工程AFC系統籌建范圍內。4號線AFC系統自建LCC，不接入CLC系統進行統一管理。CLC系統是AFC系統多個線路中心系統的集合，CLC系統滿足深圳軌道交通2020年開通線路接入及運營要求，并已適當考慮預留，CLC系統是按滿足12條線、500個車站的接入能力進行建設。CLC系統主要由6個子系統構成：1） 主中心系統；2） 調試中心系統；3） 維修中心系統；4） 票務中心系統；5） 災備中心系統；6） 檢測中心系統。CLC系統可以控制諸如車站計算機系統和自動售檢票終端之類的低層系統，可以將指定設備的故障數據實時傳送到維護計算機以幫助系統操作員迅速修復故障設備。4號線已開通線路和系統概況深圳市城市軌道交通4號線（龍華線）既有工程，線路全長20.5km，共設15座車站，1座龍華車輛段，已于2011年6月建成通車。4號線一期工程于2004年12月開通運營，共設5座車站，AFC系統接入1號線線路中心進行統一運營管理。2011年6月,4號線二期工程建成，建設獨立的線路中心系統（LCC），各車站SC及終端設備接入4號線二期的LCC，同時在線路中心新設接入服務器，4號線一期工程5座車站通過接入服務器進行接口轉換后，接入4號線二期的LCC，實現4號線一期和二期全線車站的統一運營管理。本項目工程概況深圳市城市軌道交通4號線三期工程為既有4號線的延伸線，由4號線二期工程終點清湖站北端引出，自南至北依次沿和平路、觀瀾大道、高爾夫大道敷設，終點設于牛湖站。4號線三期工程線路正線全長10.785km，其中高架段1.753km，地下段8.840km，過渡段0.191km。全線設8座車站，高架站1座（清華站），其它7站為地下站；與其它軌道交通換乘站2座，分別在長湖站（與規劃軌道交通18號線換乘），在松元廈站[與規劃軌道交通10號線支線（中軸線）換乘]；另外在觀瀾站與龍華有軌電車示范線換乘；新建觀瀾停車場1座，停車場出入線于牛湖站站前雙線接軌停車場。新建長坑主變電所1座。本項目AFC系統概況本工程AFC系統在8個車站新設AFC車站計算機系統；在觀瀾停車場設培訓中心系統；在龍華車輛段電子工廠維修車間增設檢修平臺；本工程AFC系統不再單獨設置線路中心系統，在4號線既有LCC的基礎上進行軟硬件升級更新，使4號線全線路各車站接受一個LCC系統的控制，實現本工程全線AFC系統的運營、管理需求。本工程AFC系統采用非接觸式IC卡制式，計程計時票制。系統建成后，將實現軌道交通清分中心（ACC）、4號線線路中心（LCC）、各車站AFC系統三級管理結構，通過不同的管理手段將實現對票、錢、人、物的全方位管理，以確保系統可靠、安全的運行。三期AFC系統需與以下系統接口：深圳通系統清分中心ACC深圳市軌道交通云平臺系統4號線既有AFC系統第三方支付主控系統（MCS/UPS電源）主體一標主體二標共性運營設施NOCC

需求理解及分析構建云數據中心參考深圳市城市軌道交通系統二、三期項目的建設標準，結合《云技術在城市軌道交通的研究應用》科研，為充分利用當前綜合信息處理平臺技術的科技成果，深圳城市軌道交通4號線三期工程AFC系統考慮應用云計算技術，建設基于云計算技術的AFC業務平臺，下文簡稱該平臺為云平臺。根據港鐵AFCIT基礎設施面臨的問題，并結合國家數字化發展戰略及港鐵AFC數據中心現狀綜合分析，港鐵AFC建設云數據中心迫在眉睫，且符合國家戰略方針；需要構建云數據中心，實現數據可管可控，IT資源根據業務隨需提供；新業務開發敏捷交付；并通過云安全加固及云中心建設，實現數據的安全、可管、可控，滿足云等保三級要求。AFC系統云化后，將港鐵LCC、互聯網售檢票平臺、車站計算機系統合并為第二層。業務云化及運維構建云中心后，需充分考慮現有業務上云需求，并盡量不影響現有生產業務，對于業務遷移需要有詳細的規劃和驗證方案；同時充分考慮業務遷移后的云運維方案，讓復雜的云中心IT運維變得直觀簡單。項目建設目標建設云數據中心，提供IaaS和PaaS層云服務搭建云基礎設施資源池，包括計算、存儲、網絡、安全、容器等資源池，通過云管理平臺進行管理，提供云主機、裸金屬、云存儲、云網絡、云安全組、彈性IP、云防火墻、云負載均衡、云IPS、VDC編排等IaaS層云服務，以及PaaS層云服務，包括Oracle、MySQL、SQLServer等PaaS層云服務。構建云安全防護體系，滿足安全等級保護三級要求以等級保護為指導，從網絡、主機、應用、數據等多個層面出發，構建云安全防護體系，實現事前防御、事中控制、事后審計多維度立體化安全防御體系，滿足安全等級保護三級要求。并構建安全態勢感知平臺，能夠通過圖形化分析和展示網絡安全狀況。部署云運維管理平臺，圖形化展示業務運行狀況對港鐵AFC云數據中心所有IT資源實現全局納管，統一監控，集中維護，有效排障；能夠實現對計算、存儲、網絡、安全、操作系統、應用、數據庫、中間件等的統一監控，并可通過數據建模，以業務為視角，通過業務健康度、繁忙度和可用度等指標，直觀展示業務的運行狀況，一旦健康度下降，可通過圖形化界面快速定位和分析故障原因。項目設計原則統一規范由于云計算是一個復雜的體系，本項目設計遵循在統一的框架體系下，參考國際國內各方面的標準與規范，嚴格遵從各項技術規定，做好系統的標準化設計與施工。成熟穩定由于云計算的發展變化很快，而本項目建設時間緊，涉及面廣，應用性強，因此本項目設計，選成熟穩定的技術和產品，充分考慮冗余、容錯能力；合理設計網絡架構，制定可靠的網絡、計算、存儲備份策略，保障故障自愈能力，最大限度支持港鐵AFC系統正常運行，確保建成的港鐵AFC云服務的連續性，同時節約項目施工時間。高可用性關鍵設備和鏈路采取冗余設計，保障在設備或鏈路出現故障的情況下，服務不間斷；同時，綜合利用大二層遷移、數據遠程復制等技術實現港鐵AFC云數據中心與同城容災中心、以及未來異地容災中心間的業務及數據備份，保障在數據中心在不同程度故障的情況下業務能夠快速切換，不影響用戶業務。業務需求快速響應通過部署具備云業務自動化管理的云平臺，自動提醒相關人員對業務部門提交的需求電子流進行需求審核，并為業務部門創建、分配相應虛擬機資源，無需傳統數據中心硬件設備選型、采購、上線、配置等復雜流程，實現業務上線時間最短可達半小時，大大提升數據中心對業務部門的響應速度。運維高效通過建設集設備管理、業務管理、狀態監控、事件分析于一體的云運維管理平臺，降低運維復雜度和系統故障率，提升故障定位及恢復效率。擴展靈活選用具備冗余業務插槽、支持功能和性能靈活擴展的設備，實現在不影響現有業務的前提下進行網絡擴容，滿足不斷增長的業務對數據中心功能和性能擴展的需求。全方位安全防御港鐵AFC云數據中心方案設計是以公安部《信息系統安全保護等級定級指南》和《信息系統安全等級保護測評準則》為指導，從網絡、主機、應用、數據等多層面綜合考慮，建設全方位安全防御體系。方案設計總體思路基于IaaS+PaaS云管理平臺建設的自動化云數據中心設計本項目設計通過計算、存儲、網絡及安全虛擬化系統建設的云數據中心，采用云管理平臺進行資源的統一管理，并提供自助式的云服務，能有效實現港鐵AFC信息系統的技術標準化和管理規范化，為港鐵AFC信息系統提供更好的支撐。云管理平臺設計在虛擬化技術的支撐下，對包括計算資源、存儲資源、網絡資源、應用資源等在內的基礎架構及應用軟件進行管理，實現按需的、自動化的、可計量的對基礎架構資源進行分配，并可交付開發語言環境及應用軟件等PaaS資源，對應用關聯關系進行編排等；同時，實現對IaaS層及PaaS層資源使用情況和健康情況進行監控和管理。基于軟件定義+網絡虛擬化動態靈活的云網融合設計云數據中心引入服務器虛擬化技術后，對網絡要求大二層設計，傳統的VLAN技術存在跨三層網絡的限制（特別是在跨數據中心），無法做到二層透傳，而基于新一代VxLAN技術可實現三層網絡透傳，在物理網絡上疊加一個軟件定義的邏輯網絡，物理網絡不變，通過定義其上的邏輯網絡，實現跨三層網絡的二層透傳，從而大二層網絡的擴展問題。軟件定義+網絡虛擬化利用標準的VxLAN+EVPN協議，通過軟件定義控制器與VxLAN交換機來捕獲云環境中新上線虛擬機所發出的報文，再根據捕獲到的報文特征來感知虛擬機啟動或遷移事件與虛擬機接入位置。基于這一技術，可以將獲取到的虛擬機位置信息通知軟件定義網絡控制器，軟件定義網絡控制器進而在網絡設備上自動下發虛擬機相關的網絡策略，實現網絡自動配置，讓虛擬機上的業務能夠被正確地訪問，這一過程全部是自動化處理的，從而保證了網絡配置的正確性與快速下發，實現網絡動態感知虛擬機遷移，實現網絡策略的動態跟隨，真正實現云、網融合。基于軟件定義的信息安全與基礎資源動態調度設計虛擬化和云的引入，形成計算、存儲、網絡及安全資源池，資源池化后網絡邊界模糊，需要引入新的技術解決虛擬化環境的隔離能力，并且能夠實現資源池的基礎資源能夠在不同租戶間的動態調度能力。基于軟件定義技術，通過將計算資源、存儲資源、網絡及安全資源分配給不同租戶，構成虛擬云平臺，虛擬云平臺之間可以實現有效的、安全的隔離，使之符合安全等保(等保三級)的要求；并且通過云管理平臺能夠實現基礎資源在不同的虛擬數據中心間靈活調度，真正實現云計算數據中心資源的動態、按需的分配/調度和提供資源，為港鐵AFC業務系統彈性自動化擴展提供支撐。

總體方案架構設計港鐵AFC云平臺架構設計港鐵AFC云數據中心云平臺總計架構H3C設計，包含計算、存儲、網絡、安全等底層基礎設施資源池，通過資源池化軟件（H3CCAS計算虛擬化、H3CONEStor存儲虛擬化、H3CVCFC網絡虛擬化、H3C安全虛擬化等），將IT基礎設施邏輯成資源池，并通過上層云管理平臺進行管理，為港鐵AFC業務提供IaaS+PaaS層云服務，并提供云安全、云運營和云運維服務。如下圖所示：新建云數據中心架構設計深圳地鐵4號線AFC系統云化改造工程建設基于云計算技術的融合統一業務平臺，承載自動售檢票AFC系統的中心計算機系統、車站計算機系統、互聯網二維碼乘車系統、銀聯卡乘車等子系統。1) 建設自動售檢票AFC系統云平臺，相關數據在控制中心集中收集、處理、存儲；部署統一的運維管理系統；部署統一的云安全資源池。2) 云平臺提供虛擬機和容器資源供業務系統使用。3) 部署云平臺安全管理系統，云平臺系統應滿足三級等保要求。4) 在控制中心統一設置云計算平臺展示系統，實現數據分析展示、云平臺管理展示、IT系統監控展示等功能。5) 所有網絡，安全，服務器等基礎設施需要被云平臺統一納管和調用。本項目融合云平臺總體邏輯架構如下圖所示，主要由車站的數據采集、接入，骨干傳輸網絡，控制中心的基礎設施、云服務、應用服務、展示等各層組成。圖2.1-1云平臺邏輯架構圖1）數據采集層由車站各類售檢票設備組成，如iTVM/TVM、iAGM/AGM、BOM、AVM等，完成各類數據采集上報。2）接入設備層由車站接入交換機組成環網，接入各數據采集層設備及工作站。3）承載層由中心交換機與車站交換機組成的RRPP骨干環網，環網帶寬20G。此外還有第三方支付的出口專線，滿足互聯網購票的需求。4）基礎設施層服務器、存儲、網絡、安全等物理基礎設施，構成融合資源池的基礎架構。5）資源池層資源池層提供基礎的計算、存儲、安全和網絡虛擬化的能力。通過虛擬化軟件，對計算、存儲、安全、網絡等物理資源進行虛擬化，提供統一的計算、存儲、安全、網絡資源池。云資源池層同時提供本地的基礎運維能力，包括對本地基礎設施的告警、性能、拓撲和監控等。6）云服務層云服務層部署云平臺管理軟件，匹配業務場景，通過服務目錄實現資源的二級運營服務，如通過VDC服務進行資源的靈活分配；VDC內部通過云主機服務、云存儲服務、彈性IP服務、物理機服務等提供自助資源發放，實現IaaS。對于上層AFC系統軟件的微服務架構，云服務層還必須提供PaaS容器功能。為方便管理，IaaS和PaaS必須在同一平臺下提供。9）展示層提供HMI、Portal展示服務。云平臺主要承載4號線及后續可能擴容的其他線路AFC業務應用系統。深圳城市軌道交通4號線AFC系統采用云計算模式進行建設，主要采用服務器虛擬化、網絡虛擬化、云安全和云計算管理技術構建易于管理、動態高效、靈活擴展、穩定可靠、按需使用的云計算模式的數據中心。服務器/網絡/存儲/安全虛擬化主要為各業務系統提供計算/網絡/存儲/安全資源服務。港鐵AFC系統原互聯網絡架構說明：本次云平臺硬件架構設計如下：整網提供業務區、安全資源和管理區，在安全資源區設置專門的安全資源池，承擔云內部的安全防護區域。如上圖，從業務場景化及模塊化的角度，設計包含：關鍵業務區（AFC小型機數據庫）、業務區（二維碼乘車、金融IC卡、深圳通二維碼等）、云管理區（云平臺、云運維平臺、SDN控制平臺、堡壘機等運維安全平臺）、測試培訓中心（業務測試及業務培訓等），技術架構上，包含網絡資源池架構、計算資源池架構、存儲資源池架構（含對象存儲及NAS存儲）、安全資源池架構、以及云管理架構。考慮對云數據中心的可視化、強管控，配備一套云運維管理平臺，實現對云數據中心的IT基礎設施的統一管理。為保證數據可靠性，設計包含容災解決方案，配備一套備份系統，實現對操作系統、業務數據和虛擬機鏡像文件的備份。詳細設計方案云管理平臺設計方案云管理平臺架構設計港鐵AFC云管理平臺設計，采用H3CloudOS云管理平臺，基于Openstack體系架構，是一套可根據港鐵AFC實際業務需求而進行深度定制的云管理平臺，在繼承原有OpenStack架構靈活、擴展性強、開放性和兼容度高的基礎上，強化系統穩定性和可靠性。基于租戶到應用的端到端的云服務配置和管理，將用戶申請的服務組裝成服務鏈，統一管理和配置。通過對租戶的分級管理，實現了私有云多級資源分配的要求，通過定制個性化的展示界面以及與港鐵AFC現有業務流程對接。云管理平臺整體框架如下：云管理平臺是云業務的管理中心，可以融合資源池化、生命周期管理、業務中間件管理、租戶管理、身份認證、安全管理、計費與賬務、服務運營、業務流程自動化等內容，是調度、管理云資源必不可少的手段。自服務門戶云門戶portal為港鐵AFC云數據中心資源用戶申請、管理員審核、資源狀態監控、費用清單等提供統一的入口，界面如下圖所示：模塊：首頁：顯示代辦流程、我的流程、費用情況、資源監控、通知公告等資源申請流程：資源申請、資源變更、我的流程、代辦流程、已辦流程監控管理：以項目為單位，監控所有資源的運行狀態；費用清單：按月、季度、年統計資源計費情況；系統管理：為系統管理員管理用戶信息。云服務目錄港鐵AFC云平臺H3C設計具有強大的資源抽象和提供能力，能夠將數據中心中IT資源以云服務的方式向用戶提供，可以將傳統數據中心中計算、網絡、存儲、安全、應用等資源作為云資源向用戶發布，以云服務目錄的形式呈現，服務目錄中包括：云主機、裸金屬、云存儲、云網絡、云安全組、彈性IP、云防火墻、云負載均衡、云IPS、VDC編排等IaaS層云服務，以及PaaS層云服務，包括Oracle、MySQL、SQLServer等PaaS層云服務。云租戶管理 H3CloudOS云管理平臺搭建完成以后，需經過一些初始化配置。由云管理員完成創建組織/租戶，分配資源限額、定義審批流程和權限等操作以后，租戶就能通過Portal門戶申請云資源，在審批完成以后由云管理平臺自動完成資源開通，交付給租戶使用。租戶可通過Portal對所申請資源進行自主的管控。組織架構定義是云管理平臺的基礎，幾乎所有的云管理平臺需求都涉及用戶和組織關系，這里牽涉到適應集團租戶不同的定制需求。云管理平臺支持定制多級組織嵌套，每級組織都會劃分自己的資源（CPU、內存、存儲、網絡等）和用戶。提供了多種用戶的角色，功能視角也不同。運維管理人員專注于對池化資源的部署分發、服務編排、應用監控，定制流程和計費模板。IT主管作為私有云的管理員，關注云容量的規劃、服務的質量評價、計費營賬報表以及績效考核等。對于終端用戶，更關心vDC服務的申請、流程審批、工單問答以及實時賬單等。用戶通過網絡進行二層隔離，每個網絡都設定了VxLAN標識和IP地址池規劃。用戶可以使用多個網絡以支持不同場景的業務和隔離需求。例如在SAP中，我們定義生產流程為4個階段：開發、測試、預生產和正式運行。用戶可以將處在不同階段的應用部署在不同的隔離網絡中，通過應用遷移實現階段和環境的推進。云計費管理云管理平臺針對服務類型和服務時間提供靈活的計費方式。兩種策略可以不同。計費策略自定義，基于云服務(主機、存儲、網絡、安全、容器、數據庫、應用等)對資產進行數據采集、計量、預處理，提供賬單、結算報表。計費策略可以定制結算周期，最小計費單位等。整個云數據中心有一個基本使用費用（類似月租費），然后加上各個資源申請使用的單個計費。各個計費資源，例如CPU，也有初始基本費用和后續遞增費用。云訂單管理港鐵AFC內部用戶以項目為單位在H3CloudOS云管理平臺上可以申請云資源，用戶填寫完申請單，生成業務訂單，提交到資源審核管理員，啟動資源申請流程，一直到資源申請流程結束，管理員可以啟動開通資源，創建實際的資源。服務流程管理云服務使用流程除了傳統的購買單個主機vHost、單個應用vApp功能外，H3CloudOS云管理平臺重點體現的是定制vDC服務。通過服務編排打通端網云，生成以應用為中心的虛擬數據中心服務模板，根據業務需要，每個業務都可邏輯出一整套虛擬數據中心環境，實現業務與業務之間的強隔離，并對服務的生命周期進行管理，滿足等保要求。云服務的申請與審批審批是港鐵AFC最常見的流程，同時也是個性化最強的業務，需要讓H3CloudOS云管理平臺服務申請的審批能適應港鐵AFC不同部門的需要。本方案設計服務流程管理工具將審批定義為包含多個有序任務的流，可以定制不同的流程模板，模板支持多級審批，可以定制個性化的審批頁面，最大程度滿足不同部門的定制化需求。用戶可以將模板與對應的審批流程綁定，不同的審批可以綁定不同的定制流程，審批通過后，即可創建相關云服務及資源。系統管理系統管理是對系統的一些全局信息進行統一的管理和使用，包括日志管理、統計報表、角色管理、權限管理、系統公告和運維管理。日志管理能夠對各類系統日志進行記錄和管理，包括各種非流程控制的配置數據的變動歷史，包括各種參數的配置、各種基礎數據的修改等。并支持用戶操作日志和管理平臺運行日志數據的采集和分析，為運維管理和審計工作提供依據。統計報表以H3CloudOS云管理平臺中的各種信息為基礎，根據云管理平臺使用者的需求，實時或周期性的生成各類報表，以可視化圖表的形式進行展示，并可提供模板定制、數據導出等功能。角色管理云管理平臺能夠實現角色的創建、查詢和刪除，角色權限定義、查詢和分配等功能，以便于實現對不同角色的權限分配。權限管理為保證系統的安全，對不用的用戶進行分角色、分級別的設置，并為其賦予不同的使用權限。權限管理對角色信息進行管理，包括角色的定義，角色信息的維護及對角色進行系統相關菜單及按鈕訪問權限設置，同時對數據可訪問范圍進行劃分，并對劃分后的信息進行維護。如全局管理員擁有系統最大的管理權限，可以對系統進行配置，賬戶管理，權限管理。租戶管理員擁有對該租戶對應資源的最大管理權限，可以在所屬資源內進行帳號和權限的管理。系統公告系統公告用于在本系統中錄入公告信息，并發送給各租戶部門或單位管理人員及維護人員。系統配置系統的運行需要與實際的環境要求相一致，實際環境的配置應該可以通過界面進行簡單的配置來完成。系統的基本配置應包括：時區配置，多語言支持的配置，NTP服務器配置，系統日志等級配置，會話超時間隔設置，監控時間間隔。IaaS層服務設計云主機服務云主機服務是港鐵AFC云在基礎設施應用上的重要組成部分。港鐵AFC云中云主機服務方案設計是讓港鐵AFC完全控制自己的計算資源，當計算資源需求發生改變時，可以按照港鐵AFC云提供的資源套餐隨時進行計算資源的提升。云主機服務整合了對于港鐵AFC云主機服務的常用管理功能，通過云主機服務可以看到云主機服務的配置信息，而且可以對云主機服務執行重啟、關機、啟動、銷毀、遠程連接等操作。而且還可以隨時查看最近八小時、最近一天、最近兩周、最近一月和最近半年的云主機服務的監控信息，監控信息包括：CPU利用率、內存利用率、磁盤IO和網絡流量。云主機的規格可按如下設置（后續根據實際詳細調研需求再進行自定義）：云主機及操作系統一核2GBlinux系統盤不低于20G，Windows系統盤不低于40G4GB兩核4GB8GB四核8GB12GB16GB八核16GB24GB32GB云主機概述云主機是以虛擬機的形式運行的鏡像副本。基于一個鏡像，您可以創建任意數量的主機。在創建主機時，需要指明CPU和內存的配置。CPU、內存的數量可以選擇，也允許在主機創建之后隨時再行調整。云主機的功能包括：云主機列表、創建云主機、云主機的操作列表、云主機的監控信息和費用報告。云主機的列表：租戶登錄云管理平臺后，可以查看所有自己管理的主機列表，查看云主機信息包括：所屬用戶、名稱、狀態、內網IP、鏡像模板、規格類型、網絡、運行時間和遠程登錄主機。云主機通過集群技術保障高可用，當云主機所在的物理服務器故障時，可快速切換到其他狀態正常的服務器上，切換時間小于5分鐘。通過動態資源調度技術自動進行負載均衡，云主機可在線自動遷移到其他物理服務器上，期間應用不會產生任何影響。自定義鏡像鏡像是一個包含了軟件及必要配置的機器模版。作為基礎軟件，操作系統是必須的，還可以根據自己的需求將任何應用軟件（比如，數據庫、中間件等）放入鏡像中。鏡像分為兩類。其一是系統提供的，稱之為“系統鏡像”，包括了各種Linux、Windows等操作系統，各系統鏡像的初始本地終端用戶名和密碼均可在各鏡像的詳情描述中找到。其二是用戶通過捕獲一個主機來自行創建的，稱之為“自有鏡像”。系統鏡像全局可見可用，自有鏡像只有用戶本人可見可用。幫助用戶一次性開通多臺已完全拷貝相同操作系統及環境數據等的云服務器，以便滿足彈性擴容的業務需求。裸金屬服務對于某些對系統資源消耗過大或不支持虛擬化部署的業務，需要將應用部署到裸金屬服務器（即：物理服務器）上，H3CloudOS云管理平臺可統一管理物理服務器資源，用戶通過云管理平臺進行資源申請，云平臺與網絡管理軟件的聯動，由網絡管理軟件與服務器專有管理接口（如iLO接口）對接，實現物理服務器基礎環境的部署，包括操作系統安裝和物理服務器的監控。云存儲服務云存儲概述本方案設計云存儲提供塊和對象存儲服務。云存儲將網絡中各類x86服務器的硬盤通過應用軟件集合起來協同工作，對外提供數據存儲和業務訪問功能的一個系統。云存儲的核心是將數據通路（數據讀或寫）和控制通路（元數據）分離，并且基于對象存儲設備構建存儲系統，每個對象存儲設備具有一定的智能，能夠自動管理其上的數據分布。兼顧對象存儲同兼具SAN高速直接訪問磁盤特點及NAS的分布式共享特點。云存儲底層分布式存儲本方案設計采用H3CONEStor分布式存儲，其底層分為對象、對象存儲設備、元數據服務器、對象存儲系統的客戶端（或者瀏覽器）這幾部分。云存儲服務是在云中的、可無縫擴容的、高可靠而廉價的存儲服務。它能讓港鐵AFC不用關心底層的存儲技術，也不用關心存儲資源擴容問題，直接通過調用海量的存儲資源，為應用提供塊和對象存儲接口，用于存儲數據。云存儲還提供了快照服務。快照用于在塊設備級別上進行基于時間點的硬盤備份與恢復，可以同時對多張硬盤做快照（包括系統盤和數據盤）。一張硬盤可以有多個快照，可以隨時從任意一個備份點恢復數據。云存儲特性對象存儲具有很多先進的特性：建立在分布式架構之上，可用性大于等于99.9%，數據持久性大于等于99.99999999%根據系統實際情況，方案可靈活支撐系統擴容。擴容包括3方面：流數據擴容、元數據擴容、業務系統擴容；無文件數量限制支持部署MySql數據庫，單庫容量達1TB支持部署Hbase，單表存儲空間達100TB支持文檔、視頻、音頻、圖片等類型的對象存儲。文件大小可達5TB通過分布式存儲技術實現三份副本，單臺服務器故障不會導致數據丟失。云網絡服務本方案設計云網絡提供了兩種組網方式：基礎網絡、私有網絡（基于VLAN或者VxLAN）。前者是一個由系統維護的全局網絡；后者是組織管理員各自自行組建的網絡，即采用SDN+VxLAN技術構建Overlay網絡為每個業務系統提供一張獨立的邏輯隔離的網絡。基礎網絡的好處是簡單、無需用戶做任何配置與管理，即可直接使用，但正因為它是全局網絡，所以其安全保障是依靠防火墻來實現的。與之相對應，私有網絡需要組織管理員創建并管理。但私有網絡之間是100%隔離的，以滿足業務系統對安全要求。私有網絡間使用路由器互聯，并可以控制外網地址對外映射。組織管理員可以配置私有的防火墻來保證私有網絡的安全。云網絡能夠快速搭建業務系統的云環境，并使用豐富的工具進行自動化管理。云防火墻服務在考慮港鐵AFC云數據中心整體安全防護的同時，也要關注針對不同業務個性化的安全防護需求，業務的個性化安全部署可以作為云安全服務提供給每個業務系統，在滿足需求的前提下，也要達到可運維、可管理的目的。本方案設計H3CloudOS云管理平臺提供兩種模式的vFW服務可供選擇。通過高性能防火墻實現IaaS模型下vFW從運維、成本、擴展性的角度考慮，典型的部署模式為通過一臺實體或裸機的物理墻進行1：N的虛擬化，將不同的虛擬墻提供給不同的業務，對于單個業務來講，就好像擁有了一臺獨立的具備一定處理能力的實體物理防火墻，有獨立的管理賬號，可以在獨立的管理界面，創建個性化的業務防護策略。同時作為一種可運營的資源，類似虛擬機一樣，能夠給虛墻進行資源分配，邏輯的資源包括接口、VLAN，物理的資源包括CPU、內存、存儲介質等。虛墻之間要求數據隔離，并且在共享硬件能力的基礎上實現所分配能力的保障，也即不同虛墻之間不會出現相互侵占的問題，從而能夠實現不同的租戶的差異化SLA保證。在本項目中，在核心區域設計部署了兩臺高端出口防護系統設備H3CF5030，一方面通過這兩臺設備實現云平臺的整體安全防護；另一方面也通過在實體防火墻上進行Context劃分，為每個申請安全服務的租戶提供獨立的vFW服務，租戶可在申請防火墻服務時，自主定義FW所需資源和性能指標。租戶對防火墻申請成功后，會獨享這個vFW的資源，并且具備自己獨立配置、管理所租用vFW的權利。通過分布式軟件防火墻網關實現IaaS下的vFW隨著云計算虛擬化技術的發展，越來越多的云計算服務商開始采取純虛擬化的網絡安全解決方案來滿足云租戶的安全需求。云計算服務商往往有非常豐富的服務器計算資源，而軟件虛擬化安全網關的出現也為租戶自行運維管理云中的安全服務提供了技術支撐，典型的部署模型就是VPC模型。云服務提供商給租戶提供虛擬機出租，云租戶可以通過在云中部署虛擬化安全網關如VFW，實現和二級企業的VPN互聯，使得遠程用戶可以直接訪問云中的服務器資源。通過這種方式企業可以把租用的計算資源作為港鐵AFC云數據中心的有效補充實現混合云，實現業務需求和成本的有效平衡。云負載均衡服務隨著WEB應用的快速發展和業務量的不斷提高，基于HTTP/HTTPS的數據訪問流量正在迅速增長，對各行業數據中心、單位以及門戶網站等的訪問甚至達到了10Gb/s的級別；同時，服務器網站借助HTTP、FTP、SMTP等應用程序，為訪問者提供了越來越豐富的內容和信息，服務器逐漸被數據淹沒；另外，大部分網站（尤其電子商務等網站）都需要提供不間斷24小時服務，任何服務中斷或通信中的關鍵數據丟失都會造成直接的商業損失。所有這些都對應用服務提出了高性能和高可靠性的需求。但是，相對于網絡技術的發展，服務器處理速度和內存訪問速度的增長卻遠遠低于網絡帶寬和應用服務的增長，網絡帶寬增長的同時帶來的用戶數量的增長，也使得服務器資源消耗嚴重，因而服務器成為了網絡瓶頸。傳統的單機模式，也往往成為網絡故障點。在這種情況下負載均衡技術應運而生，負載均衡可以實現對網絡設備和服務器帶寬的有效擴展，充分利用多臺服務器的業務處理能力，通過合理的調度算法和健康檢查雙方，可以有效感知服務器的負載并將業務流量調度到最恰當的服務器上，從而提高網絡的靈活性和可用性。在本項目中，H3C設計部署了支持IaaS架構的云負載均衡設備（通過H3CloudOS云管理平臺納管F5的負載均衡實現），能夠為每個業務提供獨立的vLB（虛擬負載均衡）功能，實現業務的安全隔離，vLB資源獨享也能夠保證業務負載均衡服務的性能。在為業務申請云負載均衡服務時，可以根據業務系統的需要，合理定義負載均衡策略：吞吐量：100M~2G的吞吐量可自由定義，滿足業務系統和計費需求；設置前端虛服務地址和后端實服務器地址，實服務動態添加和刪除；針對選定的虛服務，可以選擇不同的業務類型：包括協議類型和端口，例如http協議，端口80；包括HTTP、IP、TCP和UDP等類型；選擇不同的均衡方式：主要有：輪轉算法，最小連接算法，源地址hash算法，目的地址hash算法；設置會話保持方式：會話保持方式包括源地址方法、源地址端口方法、目的地址方法、目的地址端口方法、源地址目的地址方法等；設置健康檢查算法：支持設定以下健康檢查算法，ICMP-echo、UDP-echo、TCP、FTP、SNMP、DNS、HTTP、ARP、IMAP、POP3、Radius、RTSP、SIP、SMTP、SSL等。vDC虛擬數據中心服務H3C方案設計可以為港鐵AFC各業務系統提供vDC（虛擬數據中心）服務，通過H3CloudOS云管理平臺實現基礎設施資源按需為業務系統提供。包括為業務提供云主機、云存儲、云網絡、云安全等虛擬基礎設施資源，基于這些虛擬資源，可以在云中可以按需為每個業務構建虛擬數據中心，同時各業務的虛擬數據中心彼此安全隔離。虛擬數據中心（vDC）的最大好處就是可以讓租戶靈活部署自己的業務應用，就像部署在自己的專屬數據中心內部，擁有計算、存儲和網絡虛擬實例完整的使用權和管理權。對于計算、存儲資源的虛擬化，目前的技術成熟度很高，使用也非常普遍。然而對于網絡安全資源的虛擬化技術實現，是構建虛擬數據中心的重點和難點，通過硬件設備的1：N虛擬化技術，實現網絡安全資源虛擬化。如下圖所示：圖硬件設備1：N虛擬化由于布線、歸屬等原因，目前的物理設備并不適合作為單個業務獨享的設備在云計算環境中部署。為了解決目前存在的問題，需要一個既具備物理網絡設備的功能又適合于在多業務環境中部署的設備，NFV（NetworkFunctionVirtualisation,網絡功能虛擬化）應用而生。本項目設計提供一系列NFV方案，應用于vDC場景，運行在標準X86服務器或虛擬機上，提供和物理設備相同的功能和體驗，包括路由、防火墻、VPN、QoS、及配置管理等，同時充分利用虛擬平臺的特點，簡化設備的部署安裝。云資源編排服務H3CloudOS云管理平臺可以以租戶的形式為港鐵AFC各部門或下屬單位（租戶）提供云主機、云存儲、云網絡安全等虛擬基礎設施資源，基于這些虛擬資源，租戶可以在港鐵AFC云中構建自己的虛擬私有數據中心vPC，同時各租戶的虛擬私有數據中心彼此安全隔離。通過云服務編排構建為港鐵AFC各部門或下屬單位構建虛擬數據中心（VDC），虛擬數據中心可以讓租戶靈活部署自己的業務應用，就像部署在自己的專屬數據中心內部，擁有計算、存儲和網絡虛擬實例完整的使用權和管理權。虛擬私有數據中心讓租戶靈活部署自己的業務應用，就像部署在自己的專屬數據中心內部，擁有計算、存儲和網絡虛擬實例完整的使用權和管理權。在自己的虛擬私有數據中心中，租戶可以定制（IaaS層）主機、存儲服務，通過關聯vLB來實現負載均衡；申請（PaaS層）不同型號的數據庫服務，與主機對接；同時選擇云管理平臺提供的應用藍本定制需要的軟件/應用服務（PaaS服務）。在網絡安全方面，用戶可以自主的規劃私網網段，有效解決不同租戶之間的IP地址重復問題，設定vFW的域間策略實現防火墻安全隔離，甚至可以為應用申請公網IP，支持互聯網外對服務的使用。用戶無須關心如何打通網絡（云管理平臺會自動部署），只需關注服務本身，通過云管理平臺統一界面實現服務的操作和訪問，仿佛機器就擺在眼前；甚至還能從云管理平臺獲取服務的監控統計數據，時刻關注服務的質量。虛擬私有數據中心功能由SDN、VxLan等技術實現。云數據中心的核心交換機、接入交換機以及主機虛擬化軟件的OVS均提供SDN、VxLan功能，組成虛擬網絡資源池。不同租戶可通過云管理平臺軟件調度這些網絡資源池，組成自己的虛擬網絡vNet，實現不同租戶間的網絡隔離。安全資源池的ServiceChain功能還可以為不同用戶提供2～7層的安全隔離。PaaS層服務設計云數據庫服務港鐵AFC云管理平臺設計，基于按需即供的設計思路，向云應用提供關系型數據庫服務；可提供基于物理服務器的高性能云數據庫服務，自動化云數據庫部署方案，提供HA高可用保障。功能上支持數據庫的創建和訪問，數據庫的管理、備份和恢復，支持用戶使用客戶端軟件進行數據庫管理。支持Oracle、SQLServer、MySQL三種數據庫，租戶通過Portal自助申請數據庫服務，后續工作包括安裝Oracle、SQLServer、MySQL程序、創建數據實例、分配、郵件通知等全部自動化完成。中間件/應用服務方案設計云管理平臺可提供中間件即服務，包括Tomcat、Weblogic、JBoss等中間件服務。云平臺還可以可視化托拽各類基礎服務制作完整應用藍本模板，包括選擇應用所需要的網絡安全環境、虛擬機、操作系統、數據庫以及中間件等，打包為一個針對某特定項目開發的vAPP，能夠正常部署、啟動，并且可以發布到服務目錄供其他部門或者云平臺下的組織使用，具體流程包含如下：初始化軟件上傳，把需要自動化部署的操作系統、中間件、應用的基礎軟件上傳云平臺后續選擇。應用模板創建，按照用戶可按照所需應用要求通過圖形化拖拽方式選擇所需資源以及所部署的軟件等；應用模板發布，待模板創建完畢可選擇模板發布共其他部門或用戶使用；創建應用實例，用戶可按照需求自行選擇相關模板部署為應用，部署成功后可通過云平臺直接查看狀態。支持擴展Docker容器服務容器可以很好的將底層的Iaas封裝成一個大的資源池，只要把應用部署到這個資源池中，不再需要關心資源的申請、管理，以及與業務開發無關的事情。并且，容器應用的運行性能高，基本等價于直接在宿主機上運行，相比于傳統虛擬機，容器的啟動速度極快，擁有極高的資源使用效率。網絡資源池設計方案網絡資源池總體架構設計在云環境下，最大的好處在于計算資源能夠隨需移動，計算資源通過計算虛擬化可以實現在單臺的物理機下虛擬化成多個虛機，為了保障業務快速部署，業務的高可靠性，各虛機需要在各業務網絡內部進行遷移，以及未來港鐵AFC兩地三中心方案，可能存在雙活中心之間進行跨集群虛機遷移，其IP地址和IP網關本身不會變化，同時虛機集群也需要各虛機保持在一個網段之內，所以從整個基礎網絡來看，數據中心需要提供一個大二層網絡；并且結合港鐵AFC新建數據中心的實際情況，為保證業務可靠性，在云數據中心設計部署大二層網絡。而業界主流技術即采用Overlay網絡方案實現。針對港鐵AFC云數據中心業務網絡，H3C設計采用基于SDN+VxLAN技術實現的Overlay網絡方案構建云網絡資源池；其他網絡，如管理網和存儲網因對網絡要求相對較低，無需經常變更，因此設計采用傳統網絡云業務網絡設計港鐵AFC云數據中心多業務系統并存，云業務網絡不僅負責業務系統數據的傳輸、訪問，同時還兼顧安全隔離和互訪控制。并且，在云環境下，網絡是根據業務隨需提供，即網絡作為一種服務提供給各業務系統，因此建設網絡資源池是提供云服務的前提條件。基于云對網絡的要求，實現自動化按需交付，網絡策略的自動化部署，本項目設計云業務網絡采用Overlay網絡，通過SDN+VxLAN技術實現，總體架構采用Spine+Leaf架構。網絡核心交換機即SDN網絡的Spine節點，設計采用兩臺高端云數據中心模塊化核心交換機，單槽位可支持高密40G和10G等多種接口板卡；本方案設計核心交換機Spine到Leaf業務接入交換機均通過10G雙鏈路多模光纖互連。業務接入交換機均采用云數據中心模塊化接入交換機，具備擴展接口卡槽位，保證滿足本次項目需求的同時為后續提供平滑擴容能力。本次設計每個業務區的云業務接入交換機均采用兩臺，通過40G鏈路進行IRF2虛擬化堆疊，將兩臺設備邏輯成一臺，為業務服務器提供跨設備的鏈路聚合，實現云業務服務器上連鏈路的高可靠性。考慮租戶間隔離及租戶與傳統網絡互通隔離的安全性，H3C設計在云業務網絡中部署出口防護系統（高性能防火墻、高性能入侵檢測等），可通過SDN控制器進行管理，按需為租戶提供虛擬防火墻、虛擬IPS等服務。核心與出口防護系統互連，可通過IRF虛擬化技術將兩臺防火墻（或入侵檢測）邏輯成一臺，實現跨設備的鏈路聚合，解決在有限的端口情況下，實現鏈路的相互備份，保證輸出傳輸鏈路的可靠性。SDN網絡的VxLAN網關（即關鍵業務區萬兆業務ToR、業務區萬兆業務ToR、開發測試區萬兆業務ToR）均通過萬兆鏈路連接業務服務器。網絡核心及接入均采用雙機部署，并通過IRF2設備虛擬化技術邏輯成一臺，保證網絡核心及接入的高可靠性。SDN網絡配備有SDN控制器，設計采用3臺虛擬機集群部署，提高可靠性；H3CloudOS云管理平臺通過Neutron組件對接SDN控制器，為云平臺提供多租戶隔離環境，并可為租戶提供云網絡、彈性IP、云防火墻、云負載均衡、增強型防火墻（即IPS）、安全組、VPN等服務。管理網絡設計管理網絡設計采用獨立的管理接入交換機，核心交換機則復用云計算核心交換機，為保證管理數據平面與業務數據平面分離，設計采用防火墻進行隔離。管理網通過千兆網絡承載包含服務器虛擬化、存儲虛擬化和網絡虛擬化的管理網數據（帶內管理），以及網絡、安全和服務器等設備的專用帶外管理口的接入（帶外管理）。同時云管理區也部署在管理網中，部署包含云管理平臺、SDN控制器、虛擬化管理平臺、高級運維管理、運維審計系統等設備。管理接入交換機采用新一代千兆以太網接入交換機，具備48口千兆電口，4個萬兆光口，并配備雙電源冗余，保證設備的接入能力和可靠性。設計管理備份接入ToR為各業務區管理網、帶外管理網和備份系統提供網絡接入，采用兩兩堆疊的形式部署，每臺管理接入ToR交換機通過雙鏈路上連至云計算管理防火墻。出口區區網絡設計本方案設計出口區是負責港鐵AFC云數據中心內業務系統與外部數據交付連接平臺，包含互聯網絡設備及L2~L7層安全防護設備及審計設備。港鐵AFC網絡出口設計包含出口交換機、出口泛安全（包含出口安全隔離FW、IPS入侵防御系統）和出口鏈路負載均衡設備。出口泛安全：設計考慮港鐵AFC云數據中心出口的傳統安全防護，配備IPS入侵防御系統、防火墻等設備。IPS入侵防御系統實現對數據中心L4~L7層的外部訪問流量安全防御；安全隔離FW：配備兩臺出口安全隔離FW，用于出口互聯的安全隔離。計算資源池設計方案計算資源池需求功能模塊初始化內存最大實例數所需內存(GB)部署模式功能說明網絡支付平臺乘客管理子系統2510容器用于乘客賬戶管理支付管理子系統2510容器支付渠道管理、清結算管理、風控管理、密鑰管理等功能業務管理子系統4312容器包括二維碼管理、售取票業務、檢票業務等功能移動端業務軟件后臺4728容器用于乘客注冊、登錄、購票、賬戶管理、支付管理等移動端運維軟件后臺236容器地鐵內部人員使用，包括設備告警、對賬報表等功能騰訊平臺接口服務4520容器與騰訊云平臺對接線網云平臺接口服務4728容器與深圳市線網中心云平臺對接稅務局接口服務236容器與稅務局接口以提供稅務服務銀聯接口服務236容器與銀聯平臺對接基礎業務交易解析服務81080容器解析交易數據,處理速度：實例/1000條數據/秒票務系統8324容器AFC票務管理設備狀態監控服務8972容器負責設備狀態監控和緊急控制清算服務815120容器負責數據統計匯總，處理速度：實例/1000條數據/秒時鐘同步服務414容器/虛擬機負責全線設備時鐘同步權限服務4728容器權限認證服務運營系統5315容器AFC系統自身運營管理參數管理模塊414容器設備參數生成、定向推送設備軟件管理818容器/虛擬機用于設備軟件發布、自動更新數據審計服務4624容器用于數據審計、監控日志采集服務8756容器設備、平臺日志采集設備交互接口51575容器平臺與設備交互接口主控系統接口818容器/虛擬機與綜合監控對接公有云業務接口4520容器與港鐵公有云業務對接既有線接口服務2510容器與四號線一期二期兼容對接ACC接口服務2510容器與ACC對接交易、對賬等數據對賬服務236容器與線網中心、ACC對賬報表系統4312容器業務報表生成、分析服務組件微服務基礎組件15115基礎業務合計101591中間件Redis963288業務數據緩存Kafka監控、日志等流式數據處理存儲資源池需求用途硬盤（GB）說明微服務鏡像節點500存儲服務構建鏡像參數文件存儲500存儲設備參數Kafka2000設備狀態、交易數據交易、對賬文件2000存儲一年數據日志存儲4000存儲一年數據圖片存儲10439人臉圖片:330萬客流，10%比例用量，采樣數據1M,保存30天的數據合計19439計算資源池總體架構設計港鐵AFC云數據中心計算資源池設計包含：業務區、關鍵業務區、等計算資源。所有計算服務器上連網絡均通過萬兆雙鏈路上連至各自區域的業務接入交換機。管理網絡均通過千兆雙鏈路上連至管理網接入ToR交換機。同時考慮數據備份及帶外管理需要，每臺業務服務器分別配備了1條千兆備份鏈路和1條千兆帶外管理鏈路。業務區計算資源池服務器上均部署有H3CCAS計算虛擬化軟件，其中3臺服務器采用容器化部署方案，通過H3CloudOS云管理平臺對接管理，為業務系統提供計算資源服務。計算資源池容量規劃設計從港鐵AFC云數據中心建設實際需求出發，并考慮經濟性，計算資源池H3C設計采用超融合+虛擬化方案結合的方式實現。對于虛擬化及超融合架構的各自優勢如下表：對比項虛擬化超融合高可用高可用：前端多個節點（服務器）通過FC存儲網絡連接共享存儲，當出現單臺物理主機故障時，虛擬機自動遷移至其他正常主機以保證業務正常使用高可用：軟件定義存儲，通過分布式存儲軟件對服務器磁盤資源池化，當出現單臺物理主機故障時，虛擬機自動遷移至其他正常主機以保證業務正常使用穩定性服務器主機提供計算資源，FC存儲處理數據讀寫請求，成熟的架構平臺可保證所有業務系統的穩定運行超融合屬于新型架構，穩定性和可靠性雖已得到市場認可，但是對于高性能數據庫等應用場景受限，對業務應用場景需要慎重選擇可擴展性后期計算資源不足需要擴容時，僅需增加服務器節點即可；存儲資源不足擴容需要增加硬盤，可能需要停機，同時可擴展硬盤數量受限于FC存儲主機架構簡單，后期資源不足需要擴容時僅需增加服務器節點即可，計算資源和存儲資源均可在線線性添加可運維性統一的云平臺管理，資源分發、業務平臺狀態展示、告警通知等功能簡化運維、提高IT運維效率統一的云平臺管理，資源分發、業務平臺狀態展示、告警通知等功能簡化運維、提高IT運維效率

數據庫區計算資源規劃設計數據庫區設計云數據中心中心部署2臺小型機，后端均通過16GbFCSAN網絡掛載FCSAN存儲，滿足數據庫密集型I/O業務對存儲IOPS的需求。數據庫采用2臺小機做OracleRAC集群部署，保證在業務不中斷；考慮數據庫在云數據中心與災備中心之間的表級備份；同時考慮部分小型數據庫需求，可通過在業務區虛擬云主機上以虛擬機形式部署，通過云管理平臺進行管理，可為非關鍵數據庫業務提供虛擬機形式的DBaaS服務，數據庫類型可支持MySQL、SQLServer以及MongoDB等數據庫。計算資源池服務器虛擬化平臺設計方案H3C方案設計虛擬化云主機，采用H3CCAS基于KVM的服務器虛擬化軟件將服務器邏輯成計算資源池，并通過云管理平臺的Nova組件進行對接，實現為業務系統提供按需的虛擬化云主機服務。虛擬機生命周期管理方案設計H3CCAS服務器虛擬化平臺支持虛擬機的創建、修改、啟動、暫停、恢復、休眠、重啟、關閉、下電、克隆、遷移、快照等常用功能，同時支持通過管理界面的控制臺遠程連接到虛擬機，所有的操作全部基于圖形化配置界面。主機高可用HAH3CCAS服務器虛擬化平臺對云數據中心IT基礎設施進行基于集群的集中化管理，由多臺獨立服務器主機聚合形成的集群不僅降低了管理的復雜度，而且具有內在的高可用性，從而為用戶提供一個經濟有效的高可用性解決方案。H3CCAS服務器虛擬化平臺HA對資源池中的虛擬機進行持續的監控，統一在各個虛擬機之間維持“心跳”，當發現虛擬機失去“心跳”的時候，就會嘗試在其它的服務器上重新啟動失效的虛擬機。HA會保證任何時候當物理服務器發生宕機，資源池中都有足夠的硬件資源，使失效的服務器中的虛擬機在其它的服務器上順利啟動。服務器虛擬化平臺采用優化后的高性能集群文件系統，通過支持SAN/iSCSI/NFS等存儲協議，可以允許不同的服務器訪問同一虛擬機磁盤文件，這一特性使得服務器虛擬化平臺HA的實現變得非常簡單和方便。使用HA特性進行主機故障切換通過H3CCAS服務器虛擬化平臺主機高可用HA特性，可保證港鐵AFC云業務持續穩定運行。應用高可用HA應用高可用HA是指運行于虛擬機操作系統內的業務系統的高可靠性，當業務系統由于自身原因導致無法對外正常提供服務時，可以借助應用HA功能，以最短的時間自動恢復業務。服務器虛擬化平臺應用HA功能支持ApacheTomcat、JDK、ApacheHTTPServer、MySQL、SQLServer、SharePoint等應用。港鐵AFC業務系統都是以進程服務的方式駐留在操作系統內，H3CCAS服務器虛擬化平臺利用CAStools工具來監控業務服務進程的狀態，該工具安裝在虛擬機操作系統上，通過虛擬串口通道保持與服務器虛擬化平臺的實時通信，判定業務的存活狀態。如果在連續3個時間周期（1個周期為30秒）內探測到被監測的服務狀態為非運行或非活躍狀態，則自動重啟該服務，如果連續4個時間周期檢測到應用服務故障，且重啟服務失敗，則根據系統管理員配置的應用HA策略，重新啟動虛擬機或僅上報應用故障不可恢復的告警消息。H3CCAS的應用HA特性給港鐵AFC云業務帶來如下明顯的價值：實時顯示業務應用程序的可用性狀態；當應用程序不可用時，執行用戶自定義的修復策略，包括重啟服務和重啟虛擬機，最小化業務宕機時間；當應用程序不可用時，觸發告警通知。一鍵管理與運維H3CCAS服務器虛擬化平臺設計支持虛擬化運維“一鍵系列”，包含一鍵健康巡檢、一鍵資源分析、一鍵存儲清理、一鍵虛機還原等一鍵功能，輕松完成平臺日常管理中的復雜操作。如支持一鍵對虛擬化平臺的運行情況進行巡檢，并自動輸出巡檢報告和優化建議，同時可一鍵對共享存儲中無效的存儲卷進行集中清除，釋放存儲空間，提高存儲使用效率。虛擬機資源限額默認情況下，H3CCAS服務器虛擬化平臺給每臺物理服務器主機上的虛擬機分配數量相同的CPU、內存以及磁盤I/O資源。但是，并不是所有虛擬機工作負載天生相同，例如，SQL服務器和Web服務器的訪問需求就不盡相同，因此，手動調整分配給每個虛擬機的資源就顯得非常重要。服務器虛擬化平臺通過資源限額方式來為虛擬機指定資源調度的優先級。有三種預設的限額分配方式：高、中、低，調度優先級權重分別為4:2:1，反映到份額上的數值如下表所示：高中低優先級權重421CPU調度優先級數值20481024512CPU調度優先級百分比57.1%28.6%14.3%磁盤I/O調度優先級數值800500300磁盤I/O調度優先級百分比50.0%31.2%18.8%比如，一臺物理服務器主機上分配了5個虛擬機，CPU調度優先級分別為高、中、中、低、低，那么，高優先級的虛擬機至少可以獲得4/(4+2+2+1+1)=40%的CPU資源，中優先級的虛擬機至少可以獲得20%的CPU資源，而低優先級的虛擬機至少可以獲得10%的CPU資源。需要強調的是，虛擬機資源限額機制的真正目的是為了確保每個虛擬機對資源的調度下限，如果物理服務器上沒有發生虛擬機的資源搶占行為，那么，即使是低優先級的虛擬機也有可能獨享該物理服務器上絕大部分的資源。如下圖舉例：當所有的虛擬機都處于滿負載運行的情況下，CPU資源嚴格按照4:2:1的權重比例進行調度，以確保所有的虛擬機都能搶占到一定數量的資源，保證業務的可用性。一旦某個虛擬機的負載回落到權重比例之下，那么，其它的虛擬機可以搶占本屬于該虛擬機的資源，以最大限度地利用物理資源的利用率，保證應用程序的運行效率。資源熱添加熱添加使管理員可以在虛擬機需要時為其增加RAM和CPU資源，同時不會中斷虛擬機的使用。這樣可減少停機時間并確保虛擬機中的應用始終擁有所需的資源。即使制定了最好的規劃，應用所需的資源