【正文】 員對Unix服務器的熟練程度、穩(wěn)定性等方面要求還比較高，也會選用小型機服務器iii. 計算能力：針對一些云數據中心，通過TPC的計算得出的TPMC值，只有小型機服務器能夠達到要求，因此選用小型機服務器關鍵技術指標對刀片服務器的技術指標如表32所示。表34 高性能機架服務器性能指標類別項目指標參數高性能機架服務器處理器采用Intel NehalemEX 75xx 系列4/6/8核處理器，最高主頻支持 ，單顆 CPU L3 緩存最高支持 24MB，處理器顆數≥4 顆，可無縫擴展至8顆處理器內存64 個 DDR3 800/1066/1333 SDRAM RDIMM內存插槽；支持單條1GB、2GB、4GB、8GB、16GB內存，系統(tǒng)最大支持1TB存儲最多支持 8 個 英寸 SAS硬盤，支持300GB SAS 硬盤，最高存儲容量為 （SAS 硬盤）；可選BR10i RAID扣卡，支持RAID 0/1/1E；可選M5015 RAID扣卡，512M Cache，支持RAID 0/1/10/5/6/50/60；M5015 RAID扣卡選配BBU電池模塊，提供掉電保護網絡接口集成高性能Broad 5709C高性能TOE千兆網卡，向下兼容10/100M，后面板出2個GE網口管理板載嵌入式BMC模塊，支持IPMI ，提供遠程開關機、復位、日志、硬件監(jiān)控等管理功能，支持SOL；小型機服務器性能指標如表35所示。整個云數據中心分為主數據中心和災備中心，其中主數據中心又分為生產環(huán)境和開發(fā)及測試環(huán)境，建議按以下策略考慮虛擬化的適應性：l 主數據中心的生產環(huán)境按照表36來考慮虛擬化；l 主數據中心的開發(fā)環(huán)境部署X86服務器，采用虛擬化技術；l 主數據中心的測試環(huán)境根據性能測試的需要及表36來考慮虛擬化，通常情況下采用同生產環(huán)境同樣的選擇；l 災備中心建議部署X86服務器，采用虛擬化技術（如應用必須使用物理機，則災備中心也使用物理機）。容災需求：針對大中型規(guī)模容災系統(tǒng)，對系統(tǒng)要求非常高，因此選擇性能更好的FC架構。 FCSAN、華為S5600T amp。BASSHP xp24000amp。4 安全方案設計 云數據中心安全需求 云安全需求云安全的需求實際上就是要合理地解決云信息安全與信息共享、開放性之間的矛盾。一方面，信息關系到黨政部門、乃至整個國家的利益，比個人或商務信息更為敏感，需要更高的安全性；另一方面，云行使政府職能的特點導致更容易受到來自外部或內部的攻擊，包括黑客組織，犯罪集團和信息戰(zhàn)時期的信息對抗等國家行為的攻擊。 等級保護三級安全保護框架 安全域劃分根據《信息系統(tǒng)等級保護安全設計技術要求》（GB/T 250702010）的國家標準（以下簡稱：“設計技術要求”），等級保護三級信息系統(tǒng)安全保護環(huán)境由相應級別的安全計算環(huán)境、安全區(qū)域邊界、安全通信網絡和安全管理中心組成?？紤]到解決方案的通用性，本建議書將按照等級保護三級的基本要求進行規(guī)劃和設計。云所涵蓋的信息系統(tǒng)是政府機構用于執(zhí)行政府職能的信息系統(tǒng)。虛擬化后可以對原有數據進行靈活的管理，包括數據整合、遷移、鏡像、遠程復制等。特殊需求HHH大型關鍵性業(yè)務系統(tǒng)如大型檢索系統(tǒng)、BOSSamp。NAS非結構化數據：辦公文檔、文本、圖片、XML、HTML、各類報表、圖像和音頻/視頻信息等等需求比較大的，通常會選擇使用NAS。對關鍵性業(yè)務的性能、安全性、穩(wěn)定性能力要求較高業(yè)務需求迫使性能需求不斷攀升：初期購置時性能完全滿足要求，但是隨著不可預估的業(yè)務需求攀升導致對底層存儲需求快速攀升，而傳統(tǒng)存儲系統(tǒng)面對這種需求束手無策。DB服務器需要根據業(yè)務應用對存儲I/O的需求來評估，如果業(yè)務應用的DB服務器I/O要求大或DB服務器有HA或集群需要，建議將該種業(yè)務應用的DB服務器部署在物理服務器上。5600系列四核/六核處理器內存支持12條DDR3 RDIMM/UDIMM內存，最大內存容量達96GB硬盤； SAS硬盤，或24TB SATA硬盤；可選LSI 1068E SAS扣卡，支持RAID 0/1/1E；可選LSI 1078 SAS RAID扣卡，256MB Cache，支持RAID 0/1/10/5/6/50/60LSI1078扣卡選配BBU（Battery Backup Unit）電池模塊，提供掉電保護網絡接口集成高性能Broad 5709C高性能TOE千兆網卡，向下兼容10/100M管理維護特殊需求HH數據庫中間件Unix小型機，IBM P780\Oracle Sparc T44H：高、M：中、L：低。帶寬要求= 22502（90％8KB＋10％64KB）＝如果按照性能維度和架構維度的計算的結論，需要選擇IPSAN作為此種案例的解決方案。在數據封裝過程中會造成傳輸效率的喪失，因此此比例將真實的描述出數據在封裝過程中的帶寬損失比率。S架構衡量標準： 應用數據庫主要分為OLTP和OLAP兩種訪問模式，分別為隨機讀寫和順序讀寫，根據大型應用的特點，OLTP的應用為OLAP的9倍，即OLTP：OLAP＝9：1。S:經驗值。 2) 異構服務器，可使用虛擬化折算系數來估算：VCPU個數=物理CPU CINT*80%+物理CPU CFP*20%*現網業(yè)務CPU利用率異構服務器CPU CINT異構服務器總核數*%*80%+異構服務器CPU CFP異構服務器總核數*%*20%*（1冗余值）本次的計算公式同樣是以E5620的測試為基礎進行的換算，E5620測是結果可以從如下文件中查找。根據我們以前的經驗，發(fā)現每個連接占用的內存為2M到3M之間。計算過程：tpmC=TASK x S x F / (T x C)TASK：為每分鐘業(yè)務交易量S：為實際查詢業(yè)務交易操作相對于標準TPCC測試基準環(huán)境交易的復雜程度比例。當主數據中心的GSLB發(fā)生故障或者互聯(lián)網出口都出現故障時，用戶會通過容災數據中心GSLB的智能域名解析功能實現互聯(lián)網用戶的接入。比如，外聯(lián)區(qū)的互聯(lián)網出口一般不采用多運營商互聯(lián)，不需要部署LLB設備；分支機構一般不需要與容災數據中心互聯(lián)。（3）分布式數據中心模式數據中心通常以大集中方式進行數據中心建設，一般只設立一個數據中心；但在某種場景下，比如大型的云網，需要建設分布式數據中心。異地容災中心是指在異地的城市建立一個備份的災備中心，一般用于雙中心的數據備份，也可以用于應用級別的備份；當雙中心出現自然災害等原因而發(fā)生故障時，異地災備中心可以通過備份數據實現業(yè)務的恢復或者實現業(yè)務的應急切換。主備雙中心模式網絡拓撲如圖217所示：圖217 主備雙中心模式網絡拓撲示意圖主數據中心與容災數據中心，建議采用三層IP方式互聯(lián)，實現統(tǒng)一運營和統(tǒng)一管理。 多數據中心互聯(lián)多數據中心主要有三種常見建設模式：第一種是主備雙中心的災備模式；第二種是兩地三中心的災備模式；第三種是分布式數據中心模式。圖216 MCE組網圖MCE是MPLSVPN技術的簡化版, 不需要啟用復雜的BGP和標簽交換功能, 對網絡設備的要求低, 并且降低了運維的難度。核心交換機部署MCE功能，可以有效解決多VPN網絡帶來的用戶數據安全與網絡成本之間的矛盾。各個業(yè)務功能分區(qū)可以通過網絡服務區(qū)的防火墻進行安全控制；通過功能區(qū)的劃分，也可以提高系統(tǒng)的可擴展能力。業(yè)務流通過接入層交換機，VLAN透傳到核心交換機，首先到達LB設備，再到達防火墻設備，然后通過核心交換機路由到出口防火墻；LB設備可以實現入流量的負載均衡的功能。業(yè)務流的方向是通過接入層交換機，VLAN透傳到核心交換機，在核心交換機進行三層終結，直接通過路由的方式到達外聯(lián)區(qū)的防火墻設備；該種情況，業(yè)務系統(tǒng)的IP網關設置在三層交換機上。防火墻設備用于對安全級別較高的業(yè)務服務器分區(qū)進行安全防護。當云外網數據中心與內網互聯(lián)時，需要部署網閘設備實現高安全隔離。 （2）遠程接入區(qū)設計遠程接入區(qū)網絡架構示意圖如圖210所示。IPSec VPN接入方式比較適合SitetoSite的方式接入，適用場景是分支機構通過Internet連接數據中心。以數據中心與中國聯(lián)通和中國電信兩個運營商互聯(lián)為例對采用LLB設備進行方案說明。云數據中心的公共信息服務DMZ區(qū)的服務器數量較多，一般需要部署應用負載均衡設備和接入交換機設備，實現公共信息服務器進行接入和應用的負載均衡。圖27 Internet接入區(qū)網絡架構圖Internet接入區(qū)包括出口路由器、鏈路負載均衡LLB、防火墻、IPSec/SSL VPN接入網關、應用負載均衡、接入交換機等網絡設備。本方案中采用“集群+堆疊+鏈路捆綁”的二層網絡無環(huán)絡解決方案，如圖25所示：圖25 “集群+堆疊+鏈路捆綁”的二層網絡無環(huán)路解決方案示意圖核心交換機采用CSS虛擬集群技術，接入交換機采用堆疊技術；核心交換機與接入交換機間的鏈路進行鏈路捆綁，大大提高了網絡的可靠性能。 網絡核心層設計 組網設計數據中心的網絡核心層采用的是核心層、接入層的扁平化二層網絡架構；扁平化網絡設計降低了網絡復雜度，簡化了網絡拓撲，提高了轉發(fā)性能。政府部門一般通過國家云外網采用MPLSVPN方式進行接入；另外，遠程接入區(qū)也可用于容災數據中心互聯(lián)。l 層次化設計。 設計有效的備份恢復方案保障業(yè)務系統(tǒng)正常切換和運行 綠色節(jié)能方案節(jié)能降耗是IT系統(tǒng)建設中長遠關注的重點問題，采取有效策略實現數據中心節(jié)能降耗是的重要目標。 更高的RPO和RTO需求云數據中心存在重要業(yè)務，這些業(yè)務存在容災的需求，個別業(yè)務對RPO及RTO的要求很高；對關鍵核心業(yè)務，需要采用應用級容災來保障業(yè)務連續(xù)性。 安全方案在云數據中心安全架構主要包含安全域劃分、系統(tǒng)自身安全、專用安全防護系統(tǒng)和信息安全管理四個層次的安全方案：l 通過安全域劃分，形成清晰、簡潔、穩(wěn)定的IT組網架構，實現系統(tǒng)之間嚴格訪問控制的安全互連，更好的解決復雜系統(tǒng)的安全問題；l 系統(tǒng)自身安全，從系統(tǒng)的安全開發(fā)、安全配置、以及自身提供的安全特性方面加強系統(tǒng)安全；l 專用安全防護系統(tǒng)，從網絡、系統(tǒng)、應用、數據庫、數據需要的安全技術手段方面加強安全防護；l 網絡信息安全管理，主要從信息安全管理方面設計安全風險管理、預警管理、策略管理、脆弱性管理、知識庫管理。云數據中心解決方案的總體架構如圖11所示。云數據中心支持根據業(yè)務應用的不同特點（大計算量應用系統(tǒng)、高I/O訪問應用系統(tǒng)、高并發(fā)訪問應用系統(tǒng)以及對資源要求一般的應用系統(tǒng)）采用物理服務器、虛擬機（華為虛擬化平臺、VMware虛擬化平臺）、SAN或NAS、網絡或存儲連接技術（GE或10GE、4G/8G光纖連接）、存儲虛擬化技術，能根據業(yè)務應用的特點對服務器或存儲進行配置滿足應用對計算和存儲的需要（CPU、內存、網絡I/O、存儲I/O）。l 業(yè)務運營與管理? 業(yè)務管理主要面向業(yè)務方面的規(guī)劃與設計，包括服務目錄管理，產品管理、服務定價策略，服務級別管理等功能的規(guī)劃與設計；? 業(yè)務運營管理負責業(yè)務的日常運轉，包括業(yè)務日常流程和業(yè)務的受理；? 客戶自助服務幫助客戶實現服務的在線定購、方便的服務訪問及服務管理。 可擴展性需求數據中心備份方案要具備擴展性需求，隨著備份數據量的增長可以進行平滑擴容，從而保證關鍵數據備份的完整性。 采用先進的計算資源虛擬化技術，實現資源共享，提高計算資源使用效率2 網絡方案設計 網絡總體架構設計 總體網絡架構二層網絡架構設計傳統(tǒng)數據中心的網絡架構采用核心層、匯聚層和接入層的三層網絡架構，存在以下幾個方面的問題：l 網絡的層次較多，導致數據處理效率低，增加了處理時延和線路時延，同時也增加了部署成本和設備故障的幾率；l 由于匯聚層面設備一般存在處理性能和上行帶寬的收斂比，在數據中心規(guī)模不斷擴大的情況下，匯聚設備會成為整個網絡的瓶頸，導致出現擁塞、丟包等問題；l 網絡設備之間的STP、LAG、路由處理、安全等相互之間的交互信息，隨著設備數量的增加，會成幾何級數激增；l 隨著數據中心虛擬化的部署，新的數據中心流量模型中，大多數的流量是在內部服務器之間進行通信，甚至能夠達到整體流量的75%，這種部署架構會導致服務器之間流量需要通過匯聚層甚至核心層設備轉發(fā)，效率低下，且性能很差。網絡架構按照功能，分為外聯(lián)區(qū)（包括Internet接入區(qū)和遠程接入區(qū)）、核心區(qū)及內網接入區(qū)；核心區(qū)包括網絡服務區(qū)、等保三級業(yè)務區(qū)、等保二級業(yè)務區(qū)、開發(fā)測試區(qū)及運行管理區(qū)等功能模塊。Internet接入區(qū)的DMZ區(qū)，部署外部服務器群（如：外部DNS/FTP/Web服務器），用于互聯(lián)網用戶訪問；為了提高互聯(lián)網出口的可靠性，出口路由器一般接入到2個不同的運營商。l 接入層：2臺接入交換機采用堆疊技術，下行鏈路根據服務器的物理端口選擇GE或10GE鏈路，上行鏈路選擇10G或10G鏈路捆綁技術，上聯(lián)到2臺核心交換機，增加帶寬的同時也提高了網絡鏈路的可靠性。服務器存儲網絡與業(yè)務網絡是物理隔離的，服務器的業(yè)務網卡和存儲網卡是分別上聯(lián)到業(yè)務網絡和存儲網絡的對應TOR接入交換機上。LLB可以按照相應的策略，實現多互聯(lián)網出口鏈路之間的智能選擇，實現負載均衡和冗余備份。為了提高數據中心的冗余性和可靠性，數據中心的互聯(lián)網出口一般需要與2個不同運營商進行互聯(lián)，提高Internet網絡出口的冗余性，并減輕網絡出口的傳輸瓶頸問題。2）INBOUND流量設計Inbound訪問的智能性，一般通過LLB提供的智能DNS解析功能實現。IPSec VPN功能用于SitetoSite 方式接入，支持分支機構通過互聯(lián)網進行遠程接入；SSL VPN功能用于ClienttoSite方式接入，支持移動用戶、遠程辦公人員接入。l 出口路由器：遠程接入區(qū)部署2臺出口路由器，實現設備冗余，提高可靠性；出口路由器與分支機構、容災中心互聯(lián)，一般采用靜態(tài)路由。為了滿足業(yè)務系統(tǒng)對