【正文】 下載、刪除對(duì)象等。OBS適合存放任意類型的文件，適合普通用戶、網(wǎng)站、企業(yè)和開(kāi)發(fā)者使用。對(duì)象存儲(chǔ)服務(wù)是一項(xiàng)面向Internet訪問(wèn)的服務(wù)，提供了基于HTTP/HTTPS協(xié)議的Web服務(wù)接口，用戶可以隨時(shí)隨地在任意可以連接至Internet的電腦上，通過(guò)對(duì)象存儲(chǔ)服務(wù)管理控制臺(tái)或客戶端訪問(wèn)和管理存儲(chǔ)在對(duì)象存儲(chǔ)服務(wù)中的數(shù)據(jù)。此外，對(duì)象存儲(chǔ)服務(wù)兼容Amazon S3大部分原生接口，用戶可以通過(guò)調(diào)用對(duì)象存儲(chǔ)服務(wù)REST API接口、多語(yǔ)言的SDK開(kāi)發(fā)工具包開(kāi)發(fā)上層適配應(yīng)用軟件，或?qū)覣mazon S3存儲(chǔ)，從而可以使用戶聚焦業(yè)務(wù)應(yīng)用，而無(wú)需關(guān)注底層存儲(chǔ)實(shí)現(xiàn)技術(shù)。對(duì)象存儲(chǔ)服務(wù)為用戶提供了超大存儲(chǔ)容量的能力。對(duì)象存儲(chǔ)服務(wù)配套提供了基于瀏覽器的可視化統(tǒng)一管理控制臺(tái)（B/S架構(gòu)）、基于主機(jī)的客戶端（C/S架構(gòu)）、多語(yǔ)言的SDK開(kāi)發(fā)工具包（Java、.NET、Python、PHP、Android、C++、Ruby）、以及兼容Amazon S3原生接口的REST API接口，可使用戶方便管理自己存儲(chǔ)在對(duì)象存儲(chǔ)服務(wù)上的數(shù)據(jù)，以及開(kāi)發(fā)多種類型的上層業(yè)務(wù)應(yīng)用。對(duì)象存儲(chǔ)服務(wù)主要面向海量存儲(chǔ)資源池，企業(yè)云盤，靜態(tài)網(wǎng)站托管，云硬盤備份，視頻監(jiān)控歸檔，彈性大數(shù)據(jù)等應(yīng)用場(chǎng)景提供存儲(chǔ)服務(wù)。（3） 安全服務(wù) 216。 AntiDDoS流量清洗AntiDDoS流量清洗服務(wù)（以下簡(jiǎn)稱AntiDDoS）是對(duì)IP地址進(jìn)行DDoS（Distributed Denial of Service）攻擊防護(hù)的一種網(wǎng)絡(luò)安全服務(wù)。通過(guò)對(duì)訪問(wèn)IP地址的數(shù)據(jù)流量進(jìn)行實(shí)時(shí)監(jiān)控，在網(wǎng)絡(luò)出口對(duì)訪問(wèn)流量進(jìn)行檢測(cè)，及時(shí)發(fā)現(xiàn)進(jìn)行DDoS攻擊的異常流量。在不影響正常業(yè)務(wù)的前提下，根據(jù)用戶配置的防護(hù)策略，清洗掉異常流量。同時(shí)為用戶生成監(jiān)控報(bào)表，清晰展示網(wǎng)絡(luò)流量的安全狀況。AntiDDoS具有以下功能：提供針對(duì)以下攻擊的防護(hù)：SYN Flood攻擊、CC（Challenge Collapsar）攻擊、慢速連接類攻擊、UDP Flood攻擊、ACK Flood攻擊、TCP類攻擊等。為單個(gè)IP地址提供監(jiān)控記錄，包括當(dāng)前防護(hù)狀態(tài)、當(dāng)前防護(hù)配置參數(shù)、24小時(shí)內(nèi)流量情況、24小時(shí)內(nèi)異常事件。為用戶所有進(jìn)行防護(hù)的IP地址提供攔截報(bào)告，支持查詢四周內(nèi)的統(tǒng)計(jì)數(shù)據(jù)，包括清洗次數(shù)、清洗流量、彈性云服務(wù)器被攻擊次數(shù)Top10排名和共攔截攻擊次數(shù)。 AntiDDoS引導(dǎo)用戶針對(duì)5G以下的流量自主配置防護(hù)參數(shù)，通過(guò)調(diào)用AntiDDoS管理中心的能力在網(wǎng)絡(luò)出口對(duì)訪問(wèn)流量進(jìn)行檢測(cè)和清洗，調(diào)用API下發(fā)策略到檢測(cè)中心；按用戶生成報(bào)表，并呈現(xiàn)給用戶。對(duì)大于5G的流量，設(shè)置為黑洞狀態(tài)或建議用戶自主購(gòu)買第三方清洗中心服務(wù)，從第三方獲取報(bào)表。AntiDDoS對(duì)彈性云服務(wù)器提供攻擊防護(hù)，檢測(cè)中心根據(jù)用戶配置的安全策略，檢測(cè)網(wǎng)絡(luò)訪問(wèn)流量。當(dāng)發(fā)生攻擊時(shí)，將數(shù)據(jù)引流 到清洗設(shè)備進(jìn)行實(shí)時(shí)防御，清洗異常流量，轉(zhuǎn)發(fā)正常流量。 功能設(shè)計(jì)（1） 平臺(tái)處理能力分析1) 計(jì)算處理能力CPU計(jì)算輸入：每分鐘業(yè)務(wù)交易量（TASK），復(fù)雜程度比例（S），CPU利用率（C），業(yè)務(wù)發(fā)展冗余（F），峰值交易時(shí)間（T）。計(jì)算過(guò)程：tpmC=TASK x S x F / (T x C)內(nèi)存計(jì)算輸入：關(guān)于內(nèi)存的配置，根據(jù)我們以往的經(jīng)驗(yàn)，認(rèn)為內(nèi)存的消耗主要包括如下幾個(gè)部分：主機(jī)系統(tǒng)正常運(yùn)行所需消耗（主要指操作系統(tǒng)消耗）；數(shù)據(jù)庫(kù)運(yùn)行所需開(kāi)銷；數(shù)據(jù)庫(kù)SGA運(yùn)行所需正常開(kāi)銷；聯(lián)機(jī)事務(wù)處理消耗；計(jì)算過(guò)程：內(nèi)存=操作系統(tǒng)+數(shù)據(jù)庫(kù)管理系統(tǒng)+數(shù)據(jù)庫(kù)SGA運(yùn)行＋連接數(shù)*3M。虛擬化本節(jié)主要介紹虛計(jì)算虛擬化中的VCPU和物理CPU之間的換算關(guān)系。計(jì)算虛擬化主要從兩方面來(lái)考慮，一種是同構(gòu)虛擬化，一種是異構(gòu)虛擬化。其中同構(gòu)指的是華為平臺(tái)的服務(wù)器，異構(gòu)是其他品牌的服務(wù)器。計(jì)算輸入：物理CPU的CINT和CFP，現(xiàn)網(wǎng)CPU利用率，Intel Xeon E5620的性能基線值計(jì)算過(guò)程：a) 同構(gòu)服務(wù)器，如使用RH228T6000、E6000可使用如下公式VCPU個(gè)數(shù)=物理CPU CINT*80%+物理CPU CFP*20%*現(xiàn)網(wǎng)業(yè)務(wù)CPU利用率1VCPU CINT*80%+1VCPU CFP*20%*（1冗余值）b) 異構(gòu)服務(wù)器，可使用虛擬化折算系數(shù)來(lái)估算：VCPU個(gè)數(shù)=物理CPU CINT*80%+物理CPU CFP*20%*現(xiàn)網(wǎng)業(yè)務(wù)CPU利用率異構(gòu)服務(wù)器CPU CINT異構(gòu)服務(wù)器總核數(shù)*%*80%+異構(gòu)服務(wù)器CPU CFP異構(gòu)服務(wù)器總核數(shù)*%*20%*（1冗余值）2) 存儲(chǔ)能力分析業(yè)務(wù)通常會(huì)從三個(gè)維度提出存儲(chǔ)的需求：l 存儲(chǔ)的性能維度l 存儲(chǔ)架構(gòu)維度l 存儲(chǔ)容量維度業(yè)務(wù)提出存儲(chǔ)資源的需求后，需要對(duì)設(shè)備的IOPS、存儲(chǔ)容量、存儲(chǔ)帶寬進(jìn)行計(jì)算。（2） 計(jì)算存儲(chǔ)場(chǎng)景設(shè)計(jì)1) 物理服務(wù)器物理服務(wù)器是傳統(tǒng)數(shù)據(jù)中心使用的計(jì)算系統(tǒng)，它能夠很好的將系統(tǒng)軟件的性能表現(xiàn)出來(lái)。以下介紹物理服務(wù)器在相關(guān)場(chǎng)景的具體應(yīng)用場(chǎng)景。表應(yīng)用資源需求及業(yè)務(wù)場(chǎng)景分析應(yīng)用類型應(yīng)用需求CPU需求內(nèi)存需求常見(jiàn)業(yè)務(wù)場(chǎng)景通用管理應(yīng)用系統(tǒng)通用類型低低一般基礎(chǔ)管理系統(tǒng)（WEB、檢索引擎、DNS、DHCP、AD、FTP、FileServer）工具類應(yīng)用系統(tǒng)工具類型低低基本的工具類應(yīng)用系統(tǒng)（如打印控制、報(bào)表、OCR、流媒體、網(wǎng)頁(yè)抓取、）大訪問(wèn)量應(yīng)用系統(tǒng)瀏覽密集型高高政府門戶網(wǎng)站、氣象查詢系統(tǒng)、WEB中間件服務(wù)器等大數(shù)據(jù)量應(yīng)用系統(tǒng)大IO小數(shù)據(jù)量中高聯(lián)機(jī)處理數(shù)據(jù)庫(kù)小IO大數(shù)據(jù)量中中數(shù)據(jù)倉(cāng)庫(kù)分析訪問(wèn)讀密集型中高影視播放網(wǎng)站計(jì)算密集型高高高性能計(jì)算集群數(shù)據(jù)庫(kù)應(yīng)用服務(wù)器數(shù)字城管GIS地理信息系統(tǒng)等圖像渲染訪問(wèn)寫密集型高高流媒體數(shù)據(jù)庫(kù)數(shù)據(jù)倉(cāng)庫(kù)其他185。特殊需求高高數(shù)據(jù)庫(kù)中間件2) 虛擬化對(duì)于云計(jì)算平臺(tái)業(yè)務(wù)的服務(wù)器需求，首先需要判斷該業(yè)務(wù)服務(wù)器是否能夠采用虛擬化方案，不能虛擬化的則需要采用滿足實(shí)際需求的服務(wù)器進(jìn)行配置，其他的則建議統(tǒng)一采用虛擬化方式，根據(jù)采集或預(yù)估的計(jì)算資源需要采用相應(yīng)配置的虛擬機(jī)來(lái)滿足該需求。根據(jù)業(yè)務(wù)應(yīng)用的特點(diǎn)，對(duì)應(yīng)用的虛擬化建議如下表所示：應(yīng)用類型應(yīng)用需求CPU需求內(nèi)存需求網(wǎng)絡(luò)帶寬需求存儲(chǔ)空間需求存儲(chǔ)IO需求存儲(chǔ)帶寬需求虛擬化適應(yīng)性通用管理應(yīng)用系統(tǒng)通用類型LLLLLL適合大計(jì)算量應(yīng)用系統(tǒng)計(jì)算密集型HHMLMM適合大訪問(wèn)量應(yīng)用系統(tǒng)瀏覽密集型HHHMML適合大數(shù)據(jù)量應(yīng)用系統(tǒng)大IO小數(shù)據(jù)量MHMMHM一般不建議小IO大數(shù)據(jù)量MMHHMH適合訪問(wèn)寫密集型HHHHMH一般不建議訪問(wèn)讀密集型MHHHMH適合3) 存儲(chǔ)場(chǎng)景設(shè)計(jì)存儲(chǔ)虛擬化特性能夠?qū)⒉煌放?、型?hào)的存儲(chǔ)設(shè)備整合為統(tǒng)一的存儲(chǔ)池，既能靈活利用舊存儲(chǔ)設(shè)備，又能增加新存儲(chǔ)設(shè)備。虛擬化后可以對(duì)原有數(shù)據(jù)進(jìn)行靈活的管理，包括數(shù)據(jù)整合、遷移、鏡像、遠(yuǎn)程復(fù)制等。適用于存儲(chǔ)虛擬化的場(chǎng)景如下：l 要求異構(gòu)SAN/IPSAN存儲(chǔ)系統(tǒng)的開(kāi)放性l 要求存儲(chǔ)產(chǎn)品利舊l 要求異構(gòu)存儲(chǔ)系統(tǒng)之間有效的數(shù)據(jù)遷移l 要求異構(gòu)存儲(chǔ)系統(tǒng)的資源管理l 對(duì)服務(wù)器和存儲(chǔ)整合l 存儲(chǔ)池的性能提升l 異構(gòu)存儲(chǔ)環(huán)境數(shù)據(jù)保護(hù)與恢復(fù)l 異構(gòu)存儲(chǔ)環(huán)境災(zāi)備能力（3） 業(yè)務(wù)區(qū)安全防護(hù)216。 用戶身份鑒別本方案采用統(tǒng)一運(yùn)維審計(jì)系統(tǒng)和雙因子強(qiáng)認(rèn)證系統(tǒng)來(lái)實(shí)現(xiàn)用戶的身份標(biāo)識(shí)和鑒別。在對(duì)每一個(gè)用戶注冊(cè)到系統(tǒng)時(shí)，采用用戶名和用戶標(biāo)識(shí)符標(biāo)識(shí)用戶身份，并確保在系統(tǒng)整個(gè)生存周期用戶標(biāo)識(shí)的唯一性；在每次用戶登錄系統(tǒng)時(shí)，采用受安全管理中心控制的口令、令牌、基于生物特征、數(shù)字證書(shū)以及其他具有相應(yīng)安全強(qiáng)度的兩種或兩種以上的組合機(jī)制進(jìn)行用戶身份鑒別，并對(duì)鑒別數(shù)據(jù)進(jìn)行保密性和完整性保護(hù)。對(duì)統(tǒng)一運(yùn)維審計(jì)系統(tǒng)做如下的安全策略，能夠?qū)崿F(xiàn)上述安全要求。1) 對(duì)各種不同角色的管理員進(jìn)行身份標(biāo)識(shí)，并保證身份標(biāo)識(shí)的唯一性，賬戶與自然人相對(duì)應(yīng)，禁用默認(rèn)賬戶；2) 用戶登錄身份認(rèn)證要采用雙因子強(qiáng)認(rèn)證系統(tǒng)，其中口令必須具備一定的長(zhǎng)度和復(fù)雜性，并定期更換；3) 啟用登錄失敗處理功能，登錄失敗后結(jié)束會(huì)話，并限制登錄失敗的測(cè)試，自動(dòng)鎖定賬戶，記錄日志向管理員告警；4) 遠(yuǎn)程管理系統(tǒng)時(shí)，采取SSH等加密的數(shù)據(jù)傳輸方式，禁止鑒別信息和管理系統(tǒng)明文傳輸；5) 設(shè)定主機(jī)、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫(kù)等管理對(duì)象拒絕非“統(tǒng)一運(yùn)維審計(jì)系統(tǒng)”進(jìn)行管理；216。 訪問(wèn)控制本方案采用主機(jī)核心安全增強(qiáng)系統(tǒng)并對(duì)操作系統(tǒng)的安全增強(qiáng)配置，共同實(shí)現(xiàn)對(duì)系統(tǒng)資源的自主訪問(wèn)控制和和強(qiáng)制訪問(wèn)控制。自主訪問(wèn)控制是指在安全策略控制范圍內(nèi)，使用戶對(duì)其創(chuàng)建的客體具有相應(yīng)的訪問(wèn)操作權(quán)限，并能將這些權(quán)限的部分或全部授予其他用戶。自主訪問(wèn)控制主體的粒度為用戶級(jí)，客體的粒度為文件或