【正文】 對于端對端網(wǎng)絡訪問， 需要考慮 P2P、 VPN連接的問題。業(yè)務關(guān)鍵的架構(gòu)應該以之前的成功步驟為基礎。我們 分析網(wǎng)絡和存儲架構(gòu)，發(fā)現(xiàn)可能的性能問題 。 第二是 整合并虛擬化服務器。決 定 該 應 用 的 哪 些 部 件 需 要 遷 移 到 云 平 臺制 定 遷 移 方 案在 測 試 環(huán) 境 上 驗 證 方 案 的 有 效 性方 案 有 效 ？根 據(jù) 測 試 結(jié) 果 ， 指 定 遷 移 的 詳 細 計 劃 、各 個 關(guān) 鍵 節(jié) 點 、 各 個 節(jié) 點 的 檢 驗 數(shù) 據(jù) ，并 制 定 回 滾 計 劃實 施 遷 移 計 劃遷 移 成 功 ？結(jié) 束回 滾 ， 并 分 析 原 因開 始YNYN 遷移過程要點 和總結(jié) 在將應用向云平臺遷移的 實踐 過程中，我們總結(jié)了以下幾點。 根據(jù)不同應用的不同特性，所采取的具體步驟將會很不一樣。不同系統(tǒng)用戶具有不同的用戶信息及操作權(quán)限。針對不同的 Xen、 Vmware 虛擬化技術(shù)，需要實現(xiàn)不同的虛擬化管理服務器，包括 Cloudview virtual Manager、 VMWare vCenter，對分區(qū)內(nèi)的云資源管理和云資源監(jiān)控；提供基本的虛擬機管理 /監(jiān)控 /分配 /使用功能；提供資源靜態(tài)分配及動態(tài)調(diào)度管理功能。 這些云數(shù)據(jù)庫由主流廠商開發(fā)、設計并提供公有云服務能力，而商業(yè)級的云數(shù)據(jù)庫產(chǎn)品相對較少。 由于集群數(shù)據(jù)庫所有節(jié)點共享一套數(shù)據(jù)庫系統(tǒng)，最終只有一份數(shù)據(jù)庫文件，所有的節(jié)點在鏈路上均連接至一套高性能的 SAN 存儲系統(tǒng)。數(shù)據(jù)同樣提供多副本，只有有一個副本可以提供服務，系統(tǒng)即可用。使用技術(shù)將同一目錄的所有文件和子目錄信息組織在一個文件中，能快速地存儲和查詢千萬級的大目錄。分布式非結(jié)構(gòu)化并行存儲系統(tǒng)采用新型的副本技術(shù)替代了原有的 RAID 技術(shù)，不但保證了數(shù)據(jù)的安全，還提高了數(shù)據(jù)恢復的效率，將可靠性、性能和可維護性有機地結(jié)合在一起。 一虛多：指融合在網(wǎng)絡節(jié)點設備上的安全設備，能夠虛擬化出來多個安全實例，針對不同的安全防護區(qū)域提供對應安全實例，并且在不同的安全實例上針對區(qū)域的安全防護要求部署不同的安全訪問和控制策略，這樣采用真正發(fā)揮安全模塊融合在網(wǎng)絡設備上所帶來的應用意義。 使用交換機虛擬化技術(shù)，可以將多臺設備連接，“橫向整合”起來組成一個“聯(lián)合設備”，并將這些設備看作單一設備進行管理和使用。 下表對以上三種虛擬化技術(shù)進行了比較 從上表可以看出， Xen 采用裸金屬架構(gòu)，各項指標好于 HyperV,比 ESX 略低。其中前者以硬件分區(qū)技術(shù)為代表，目前只應用在 UNIX 服務器和大型機中，后者則包括以 VMware ESX 和 Xen 為代表的 X86 平臺上的虛擬化，是目前的市場主流。指定專人進行備份操作及存放這些載體﹐并指定工作替代人以確保備份工作不中斷。同時需要對管理員進行的每一次操作進行記錄，進一步保障 用戶數(shù)據(jù)的安全。 ● 采用專線和加密數(shù)據(jù)方式保證數(shù)據(jù)安全，采用基于 Inter的靜態(tài) VPN 的方式。首先需要確認用戶的身份，對用戶的身份進行認證，一般來說，對于普通的數(shù)據(jù)，可以采用用戶名 /口令的方式來進行身份認證；而對于敏感的數(shù)據(jù)，建議采用多因素的強身份認證方式來進行身份認證。 數(shù)據(jù)完整性 數(shù)據(jù)完整性是在信息和重要業(yè)務數(shù)據(jù)傳輸過程中完整性免受破壞，通過技術(shù)手段達到可使完整性收到保護。 對于在 云計算平臺 管理軟件應用層信息傳輸?shù)耐ㄐ疟Ｃ苄詰蓚鬏敿用芟到y(tǒng)完成。 ● IP 和 MAC 綁定管理 可以將終端的 IP和 MAC 地址綁定，禁止用戶修改自身的 IP和 MAC地址，并在用戶試圖更改 IP 和 MAC 地址時，產(chǎn)生相應的報警信息。 監(jiān)測內(nèi)部網(wǎng)中發(fā)生的外來主機非法接入、篡改 IP 地址、盜用 IP 地址等不法行為，由監(jiān)測控制臺進行告警。 網(wǎng)絡設備防護 為提高網(wǎng)絡設備的自身安全性，保障各種網(wǎng)絡應用的正常運行，對網(wǎng)絡設備需要進行一系列的加固措施，包括： ● 對登錄網(wǎng)絡設備的用戶進行身份鑒別，用戶名必須唯一。 ● 對所有設備進行監(jiān)控并記錄，并且每天會有專人負責對記錄進行查看，并形成每日報表以及周報、月報等。 ● 網(wǎng)絡設備均設置了 timeout 時間。保存有重要業(yè)務系統(tǒng)及數(shù)據(jù)的重要網(wǎng)段不能直接與外部系統(tǒng)連接，需要和其他網(wǎng)段隔離，單獨劃分區(qū)域。 通過以上 幾個 方面為云計算 平臺 的業(yè)務系統(tǒng)提供立體、縱深的安全保障防御體系，保證信息系統(tǒng)整體的安全保護能力。當克隆虛擬機鏡像和移動虛擬機的時候，重要的是保持每一個虛擬機的“穩(wěn)定狀態(tài)”，以便了解這些虛擬機是否需使用了最新的補丁或者是否需要使用補丁。 1) 虛擬服務管理平臺（ Hypervisor， VMM） 虛擬服務管理平臺是云計算環(huán)境的核心驅(qū)動組件，控制管理著一個域中的虛擬設備及數(shù)據(jù)；成功攻擊服務管理器會影響所有該管理器控制的所有虛擬設 備及數(shù)據(jù)。 D3 和 D6都是法律層面的關(guān)注點；而 D13 虛擬化則是安全技術(shù)關(guān)注點，這也是 云計算平臺 相對于傳統(tǒng)信息中心在技術(shù)方面最大的區(qū)別之一。 云安全 平臺 云安全與傳統(tǒng)安全第一大差異是防護理念上的差異，在傳統(tǒng)安全防護中，很重要的一個原則 就是基于邊界的安全隔離和訪問控制，并且強調(diào)針對不同的安全區(qū)域 有差異化的安全防護策略，在很大程度上依賴各區(qū)域之間明顯清晰的區(qū)域邊界 。運維管理系統(tǒng)需支持基于瀏覽器的 GUI 透明化操作，提供遠程加密安全控制與訪問，實現(xiàn)基于角色的統(tǒng)一認證、加密傳輸，審計及日志等功能。 云監(jiān)控系統(tǒng)的告警管理模塊可提供實時告警查詢，系統(tǒng)還提供歷史告警查詢，系統(tǒng)管理員可以查看告警相關(guān)的監(jiān)控指標信息，設置告警指標的閾值、指標的告警等級、該指標是否產(chǎn)生告警，可以根據(jù)閾值名稱進行查詢。 用戶管理模塊 建立完善的用戶管理，可以對用戶是否能夠使用計算資源 、已經(jīng)使用的計算資源，以及應用項目之間關(guān)系等進行管理，同時用戶管理模塊應該和服務器資源，存儲資源以及網(wǎng)絡資源進行配合。該模塊通過可擴展的設備資源管理接口，對云內(nèi)包括網(wǎng)絡、存儲、服務器、軟件、數(shù)據(jù)庫等資源進行增加、刪除、修改、配置及自動化發(fā)現(xiàn)。 運營管理體系包括運行維護管理和運營管理：保障云計算平臺的正常運行，提供 資源管理、調(diào)度管理、監(jiān)控管理等運維功能，以及業(yè)務管理、流程管理 等運營功能，包括運維管理的門戶和運營管理的門戶，是政務云平臺對外提供服務的界面。 第二章、 云平臺 總體介紹 云平臺 整體架構(gòu) 云平臺 包括基礎設施服務層 (IaaS)、平臺服務層（ PaaS）、應用軟件服務層（ SaaS）、信息安全體系和運營管理體系 等 ， 由云服務資源、云服務管理、云服務提供、云運營支撐、云開發(fā)平臺五個部分組成，總體結(jié)構(gòu)如下圖。由于云計算模式下大量的計算及存儲工作都被放到了網(wǎng)絡上，作為個人的用戶端就完全可以簡化到只有一個瀏覽器了。 云計算具有四個顯著特征： 一是使用的便捷性。 電子政務云平臺建設 技術(shù)方案 202011 目錄 第一章、 概述 ......................................... 4 第二章、 云平臺總體介紹 ................................ 6 云平臺整體架構(gòu) ............................... 6 云平臺部署 ................................... 9 虛擬化平臺 .................................. 10 虛擬化平臺實現(xiàn)的功能 .................... 10 云管理平臺 .................................. 11 資源管理模塊 ........................... 11 池化管理模塊 ........................... 12 用戶管理模塊 ........................... 12 服務模板管理 ........................... 12 云資源監(jiān)控模塊 ......................... 13 其他功能模塊 ........................... 16 云安全平臺 .................................. 16 安全管理架構(gòu) ........................... 20 云安全技術(shù)體系 ......................... 21 物理安全 ............................... 21 網(wǎng)絡安全 ............................... 22 應用安全 ............................... 28 數(shù)據(jù)安全 ............................... 29 技術(shù)路線 .................................... 33 服務器虛擬化 ........................... 33 網(wǎng)絡虛擬化 ............................. 36 安全虛擬化 ............................. 37 海量云存儲 ............................. 38 云數(shù)據(jù)庫 ............................... 41 運維管理 ............................... 45 第三章、 應用遷移過程 ................................. 47 遷移的應用概述 .............................. 47 遷移過程概述 ................................ 47 遷移過程要點和總結(jié) .......................... 49 第一章、 概述 云計算（ Cloud Computing）是一種通過網(wǎng)絡統(tǒng)一組織和靈活調(diào)用各種 ICT 信息資源，實現(xiàn)大規(guī)模計算的信息處理方式。在云計算模式中所有應用和服務請求的數(shù)據(jù)資源均存儲在云中。云計算模式中用戶只需通過網(wǎng)絡使用服務商所提供的相關(guān)服務，并按實際使用情況付費，具體的計算機系統(tǒng)硬件配置、設備運行維護開支和服務器系統(tǒng)軟、硬件升級都由云服務提供商來完成。 基礎設施服務層（ IaaS）：提供基本的計算、存儲、網(wǎng)絡服務；服務于共享計算、存儲、網(wǎng)絡的項目，這個服務主要針對原有已建成系統(tǒng)的遷移，在這個層次上，除了可享受基礎資源的虛擬化服務外，還通過資源的池化實現(xiàn)資源的動態(tài)分配、再分配和回收。 云計算服務平臺遵循云計算經(jīng)典服務模型，提供 IaaS 層服務。資源管理模塊對外提供