【正文】 網(wǎng)絡（不具備MPLSVPN網(wǎng)絡資源時，遠端VPN部門也可通過專線直接接入到數(shù)據(jù)中心的出口路由器，關(guān)聯(lián)到出口路由器設置的該VPN相對應的VRF中實現(xiàn)VPN功能）。容災數(shù)據(jù)中心一般可以實現(xiàn)應用級或數(shù)據(jù)級容災。（SDH或WDM）實現(xiàn)，具體采用的數(shù)據(jù)同步方式需要根據(jù)業(yè)務實際情況確定；。主數(shù)據(jù)中心的GSLB會實時檢測主數(shù)據(jù)中心和容災數(shù)據(jù)中心的相關(guān)應用系統(tǒng)的健康狀態(tài)，正常情況下會給用戶返回主數(shù)據(jù)中心的服務IP地址；當主數(shù)據(jù)中心的GSLB檢測到主數(shù)據(jù)中心的應用系統(tǒng)發(fā)生故障，業(yè)務不可用時，將給用戶返回容災中心的相應的應用系統(tǒng)的服務IP地址，用戶將通過容災數(shù)據(jù)中心實現(xiàn)業(yè)務互訪。內(nèi)存計算輸入：關(guān)于內(nèi)存的配置，根據(jù)我們以往的經(jīng)驗，認為內(nèi)存的消耗主要包括如下幾個部分：l 主機系統(tǒng)正常運行所需消耗（主要指操作系統(tǒng)消耗）；l 數(shù)據(jù)庫運行所需開銷；l 數(shù)據(jù)庫SGA運行所需正常開銷；l 聯(lián)機事務處理消耗；計算過程：內(nèi)存=操作系統(tǒng)+數(shù)據(jù)庫管理系統(tǒng)+數(shù)據(jù)庫SGA運行＋連接數(shù)*3M計算樣例：因此從上邊我們可以看到服務器系統(tǒng)所需內(nèi)存大小由四部分組成。計算過程：存儲性能（IOPS）=tpmC/T xSxFtpmC：服務器的性能指標T：每分鐘的業(yè)務交易量，如果按照秒來計算即T=60。通常FCSAN為80%，IPSAN為60%L：包頭損失率。表31 應用資源需求及業(yè)務場景分析應用類型應用需求CPU需求內(nèi)存需求常見業(yè)務場景推薦服務器類型通用管理應用系統(tǒng)通用類型LL一般基礎(chǔ)管理系統(tǒng)（WEB、檢索引擎、DNS、DHCP、AD、FTP、FileServer）二路,華為X6000\E6000\RH2285工具類應用系統(tǒng)工具類型LL基本的工具類應用系統(tǒng)（如打印控制、報表、OCR、流媒體、網(wǎng)頁抓取、）二路,華為X6000\E6000\RH2285大訪問量應用系統(tǒng)瀏覽密集型HH政府門戶網(wǎng)站、氣象查詢系統(tǒng)、WEB中間件服務器等四路，華為RH5485大數(shù)據(jù)量應用系統(tǒng)大IO小數(shù)據(jù)量MH聯(lián)機處理數(shù)據(jù)庫二路,華為X6000\E6000\RH2285小IO大數(shù)據(jù)量MM數(shù)據(jù)倉庫分析二路,華為X6000\E6000\RH2285訪問讀密集型MH影視播放網(wǎng)站二路,華為X6000\E6000\RH2285計算密集型HH高性能計算集群數(shù)據(jù)庫應用服務器數(shù)字城管GIS地理信息系統(tǒng)等圖像渲染四路，華為RH5485訪問寫密集型HH流媒體數(shù)據(jù)庫數(shù)據(jù)倉庫四路，華為RH5485其他185。對應用虛擬化的適應性也可以采用當前主流的應用分層（Web服務器、App服務器、DB服務器）來進行考慮，通常情況下虛擬化比較適合Web服務器和App服務器。容災需求：針對中小型規(guī)模容災系統(tǒng)，更加強調(diào)性價比，因此選擇性價比較高的IP架構(gòu)。存儲虛擬化存儲虛擬化特性能夠?qū)⒉煌放啤⑿吞柕拇鎯υO備整合為統(tǒng)一的存儲池，既能靈活利用舊存儲設備，又能增加新存儲設備。根據(jù)《信息系統(tǒng)安全等級保護定級指南》（GB/T222402008）的標準要求，部署于云數(shù)據(jù)中心的信息系統(tǒng)，大多數(shù)會定義為等保二級、三級。綜上所述，云的安全總體需求可分解為如下內(nèi)容。EMC VMAXH：高、M：中、L：低。IPSAN典型應用：中小型數(shù)據(jù)庫服務器系統(tǒng)（如：Sqlserver、Mysql、PGsql）、郵件服務器、DNS服務器、文件服務器、WINS服務器等。表35 小型機服務器性能指標序號指標指標項指標要求基本要求1總體要求應用類型數(shù)據(jù)庫服務器型號UNIX服務器數(shù)量(套)2套，根據(jù)實際需要配置機柜2處理器*字長64bit，支持多線程技術(shù)主頻以及配置CPU個數(shù)CPU數(shù)量≥8核，CPU主頻 ≥L3緩存容量≥16MB可擴展CPU個數(shù)≥16核3內(nèi)存*種類DDR2內(nèi)存，采用ECC技術(shù)配置容量實配內(nèi)存容量≥CPU處理器數(shù)目的4倍（多核按每核計算，單位為GB）；最大擴展能力≥256GB4系統(tǒng)硬盤數(shù)量≥4單盤容量≥146GB硬盤轉(zhuǎn)速≥15000rpm容錯支持操作系統(tǒng)鏡像，實現(xiàn)數(shù)據(jù)保護5網(wǎng)絡接口接口類型1000 BaseTX接口數(shù)量≥46光纖通道接口*接口類型4 GB光纖通道接口數(shù)量≥2可靠性要求1冗余部件冗余電源，冗余風扇熱拔插磁盤和I/O插槽2其它配置HA高可用性軟硬件環(huán)境按實際需要配置硬件管理控制臺、含17寸折疊式液晶顯示器，鍵盤，鼠標。未來發(fā)展容量需求：一個部門應該是處在不斷地發(fā)展中，隨著它的發(fā)展，自身的部門人數(shù)、用戶數(shù)都在不斷地增長，因此存儲需求也在增長，存儲按照每年20%的速度增長，如果是考慮3年內(nèi)的存儲的容量需求，那么應該是（1+20%）3=計算樣例：如果一個部門的當前存儲的總?cè)萘啃枨鬄?0T，需要計算部門3年內(nèi)的容量需求，那么計算公式如下：容量=10T/()（（1+20%）3）= 計算存儲場景設計以下將從計算和存儲兩種情況，分別描述計算和存儲的場景技術(shù)。為IPSAN或者FCSAN主流帶寬值。 存儲處理能力分析業(yè)務通常會從三個維度提出存儲的需求：l 存儲的性能維度l 存儲架構(gòu)維度l 存儲容量維度業(yè)務提出存儲資源的需求后，需要對設備的IOPS、存儲容量、存儲帶寬進行計算。C：為主機CPU處理余量。圖220 容災數(shù)據(jù)中心網(wǎng)絡架構(gòu)及互聯(lián)示意圖主備站點業(yè)務切換采用容災數(shù)據(jù)中心的政府主備站點業(yè)務切換，可以通過部署全局負載均衡設備實現(xiàn)。同城容災中心與異地容災中心之間一般也需要通過數(shù)據(jù)專線或MPLSVPN網(wǎng)絡等方式進行互聯(lián)。同城容災數(shù)據(jù)中心與主數(shù)據(jù)中心的距離比較近，通信線路質(zhì)量較好，比較容易實現(xiàn)數(shù)據(jù)的同步鏡像，保證高度的數(shù)據(jù)完整性和數(shù)據(jù)零丟失；同城容災數(shù)據(jù)中心一般用于防范火災、建筑物破壞、供電故障、計算機系統(tǒng)及人為破壞引起的災難。MCE還通過與數(shù)據(jù)中心的出口路由器的配合，可以將每個VPN的業(yè)務路由通過外網(wǎng)MPLSVPN承載網(wǎng)絡進行傳遞，實現(xiàn)廣域網(wǎng)范圍內(nèi)的端到端的VPN網(wǎng)絡。圖213 網(wǎng)絡服務區(qū)數(shù)據(jù)流拓撲示意圖 業(yè)務服務及運行管理區(qū)設計業(yè)務服務區(qū)：是政府機關(guān)提供服務的業(yè)務區(qū)，需要考慮較高的可用性和更全面的安全防護措施；業(yè)務服務區(qū)包括等保二級業(yè)務區(qū)、等保三級業(yè)務區(qū)、開發(fā)測試區(qū)等。防火墻設備一般采用路由工作模式。l 出口路由器：遠程接入?yún)^(qū)部署2臺出口路由器，實現(xiàn)設備冗余，提高可靠性；出口路由器與分支機構(gòu)、容災中心互聯(lián)，一般采用靜態(tài)路由。2）INBOUND流量設計Inbound訪問的智能性，一般通過LLB提供的智能DNS解析功能實現(xiàn)。LLB可以按照相應的策略，實現(xiàn)多互聯(lián)網(wǎng)出口鏈路之間的智能選擇，實現(xiàn)負載均衡和冗余備份。l 接入層：2臺接入交換機采用堆疊技術(shù)，下行鏈路根據(jù)服務器的物理端口選擇GE或10GE鏈路，上行鏈路選擇10G或10G鏈路捆綁技術(shù)，上聯(lián)到2臺核心交換機，增加帶寬的同時也提高了網(wǎng)絡鏈路的可靠性。網(wǎng)絡架構(gòu)按照功能，分為外聯(lián)區(qū)（包括Internet接入?yún)^(qū)和遠程接入?yún)^(qū)）、核心區(qū)及內(nèi)網(wǎng)接入?yún)^(qū)；核心區(qū)包括網(wǎng)絡服務區(qū)、等保三級業(yè)務區(qū)、等保二級業(yè)務區(qū)、開發(fā)測試區(qū)及運行管理區(qū)等功能模塊。 可擴展性需求數(shù)據(jù)中心備份方案要具備擴展性需求，隨著備份數(shù)據(jù)量的增長可以進行平滑擴容，從而保證關(guān)鍵數(shù)據(jù)備份的完整性。云數(shù)據(jù)中心支持根據(jù)業(yè)務應用的不同特點（大計算量應用系統(tǒng)、高I/O訪問應用系統(tǒng)、高并發(fā)訪問應用系統(tǒng)以及對資源要求一般的應用系統(tǒng)）采用物理服務器、虛擬機（華為虛擬化平臺、VMware虛擬化平臺）、SAN或NAS、網(wǎng)絡或存儲連接技術(shù)（GE或10GE、4G/8G光纖連接）、存儲虛擬化技術(shù)，能根據(jù)業(yè)務應用的特點對服務器或存儲進行配置滿足應用對計算和存儲的需要（CPU、內(nèi)存、網(wǎng)絡I/O、存儲I/O）。 安全方案在云數(shù)據(jù)中心安全架構(gòu)主要包含安全域劃分、系統(tǒng)自身安全、專用安全防護系統(tǒng)和信息安全管理四個層次的安全方案：l 通過安全域劃分，形成清晰、簡潔、穩(wěn)定的IT組網(wǎng)架構(gòu)，實現(xiàn)系統(tǒng)之間嚴格訪問控制的安全互連，更好的解決復雜系統(tǒng)的安全問題；l 系統(tǒng)自身安全，從系統(tǒng)的安全開發(fā)、安全配置、以及自身提供的安全特性方面加強系統(tǒng)安全；l 專用安全防護系統(tǒng)，從網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)庫、數(shù)據(jù)需要的安全技術(shù)手段方面加強安全防護；l 網(wǎng)絡信息安全管理，主要從信息安全管理方面設計安全風險管理、預警管理、策略管理、脆弱性管理、知識庫管理。 設計有效的備份恢復方案保障業(yè)務系統(tǒng)正常切換和運行 綠色節(jié)能方案節(jié)能降耗是IT系統(tǒng)建設中長遠關(guān)注的重點問題，采取有效策略實現(xiàn)數(shù)據(jù)中心節(jié)能降耗是的重要目標。政府部門一般通過國家云外網(wǎng)采用MPLSVPN方式進行接入；另外，遠程接入?yún)^(qū)也可用于容災數(shù)據(jù)中心互聯(lián)。本方案中采用“集群+堆疊+鏈路捆綁”的二層網(wǎng)絡無環(huán)絡解決方案，如圖25所示：圖25 “集群+堆疊+鏈路捆綁”的二層網(wǎng)絡無環(huán)路解決方案示意圖核心交換機采用CSS虛擬集群技術(shù)，接入交換機采用堆疊技術(shù)；核心交換機與接入交換機間的鏈路進行鏈路捆綁，大大提高了網(wǎng)絡的可靠性能。云數(shù)據(jù)中心的公共信息服務DMZ區(qū)的服務器數(shù)量較多，一般需要部署應用負載均衡設備和接入交換機設備，實現(xiàn)公共信息服務器進行接入和應用的負載均衡。IPSec VPN接入方式比較適合SitetoSite的方式接入，適用場景是分支機構(gòu)通過Internet連接數(shù)據(jù)中心。當云外網(wǎng)數(shù)據(jù)中心與內(nèi)網(wǎng)互聯(lián)時，需要部署網(wǎng)閘設備實現(xiàn)高安全隔離。業(yè)務流的方向是通過接入層交換機，VLAN透傳到核心交換機，在核心交換機進行三層終結(jié)，直接通過路由的方式到達外聯(lián)區(qū)的防火墻設備；該種情況，業(yè)務系統(tǒng)的IP網(wǎng)關(guān)設置在三層交換機上。各個業(yè)務功能分區(qū)可以通過網(wǎng)絡服務區(qū)的防火墻進行安全控制；通過功能區(qū)的劃分，也可以提高系統(tǒng)的可擴展能力。圖216 MCE組網(wǎng)圖MCE是MPLSVPN技術(shù)的簡化版, 不需要啟用復雜的BGP和標簽交換功能, 對網(wǎng)絡設備的要求低, 并且降低了運維的難度。主備雙中心模式網(wǎng)絡拓撲如圖217所示：圖217 主備雙中心模式網(wǎng)絡拓撲示意圖主數(shù)據(jù)中心與容災數(shù)據(jù)中心，建議采用三層IP方式互聯(lián)，實現(xiàn)統(tǒng)一運營和統(tǒng)一管理。（3）分布式數(shù)據(jù)中心模式數(shù)據(jù)中心通常以大集中方式進行數(shù)據(jù)中心建設，一般只設立一個數(shù)據(jù)中心；但在某種場景下，比如大型的云網(wǎng)，需要建設分布式數(shù)據(jù)中心。當主數(shù)據(jù)中心的GSLB發(fā)生故障或者互聯(lián)網(wǎng)出口都出現(xiàn)故障時，用戶會通過容災數(shù)據(jù)中心GSLB的智能域名解析功能實現(xiàn)互聯(lián)網(wǎng)用戶的接入。根據(jù)我們以前的經(jīng)驗，發(fā)現(xiàn)每個連接占用的內(nèi)存為2M到3M之間。S:經(jīng)驗值。在數(shù)據(jù)封裝過程中會造成傳輸效率的喪失，因此此比例將真實的描述出數(shù)據(jù)在封裝過程中的帶寬損失比率。特殊需求HH數(shù)據(jù)庫中間件Unix小型機，IBM P780\Oracle Sparc T44H：高、M：中、L：低。DB服務器需要根據(jù)業(yè)務應用對存儲I/O的需求來評估，如果業(yè)務應用的DB服務器I/O要求大或DB服務器有HA或集群需要，建議將該種業(yè)務應用的DB服務器部署在物理服務器上。NAS非結(jié)構(gòu)化數(shù)據(jù)：辦公文檔、文本、圖片、XML、HTML、各類報表、圖像和音頻/視頻信息等等需求比較大的，通常會選擇使用NAS。虛擬化后可以對原有數(shù)據(jù)進行靈活的管理，包括數(shù)據(jù)整合、遷移、鏡像、遠程復制等。考慮到解決方案的通用性，本建議書將按照等級保護三級的基本要求進行規(guī)劃和設計。一方面，信息關(guān)系到黨政部門、乃至整個國家的利益，比個人或商務信息更為敏感，需要更高的安全性；另一方面，云行使政府職能的特點導致更容易受到來自外部或內(nèi)部的攻擊，包括黑客組織，犯罪集團和信息戰(zhàn)時期的信息對抗等國家行為的攻擊。BASSHP xp24000amp。容災需求：針對大中型規(guī)模容災系統(tǒng)，對系統(tǒng)要求非常高，因此選擇性能更好的FC架構(gòu)。表34 高性能機架服務器性能指標類別項目指標參數(shù)高性能機架服務器處理器采用Intel NehalemEX 75xx 系列4/6/8核處理器，最高主頻支持 ，單顆 CPU L3 緩存最高支持 24MB，處理器顆數(shù)≥4 顆，可無縫擴展至8顆處理器內(nèi)存64 個 DDR3 800/1066/1333 SDRAM RDIMM內(nèi)存插槽；支持單條1GB、2GB、4GB、8GB、16GB內(nèi)存，系統(tǒng)最大支持1TB存儲最多支持 8 個 英寸 SAS硬盤，支持300GB SAS 硬盤，最高存儲容量為 （SAS 硬盤）；可選BR10i RAID扣卡，支持RAID 0/1/1E；可選M5015 RAID扣卡，512M Cache，支持RAID 0/1/10/5/6/50/60；M5015 RAID扣卡選配BBU電池模塊，提供掉電保護網(wǎng)絡接口集成高性能Broad 5709C高性能TOE千兆網(wǎng)卡，向下兼容10/100M，后面板出2個GE網(wǎng)口管理板載嵌入式BMC模塊，支持IPMI ，提供遠程開關(guān)機、復位、日志、硬件監(jiān)控等管理功能，支持SOL；小型機服務器性能指標如表35所示。存儲冗余：磁盤陣列在經(jīng)過做RAID、增加熱備盤后有很大損耗，一般考慮損耗率35%。B:帶寬。物理CPU CINT：指的是現(xiàn)網(wǎng)業(yè)務承載應用的物理服務器的SpecCINT_rate2006值物理CPU CFP：指的是現(xiàn)網(wǎng)業(yè)務承載應用的物理服務器的SpecCFP_rate2006值異構(gòu)服務器CPU CINT：當應用需要轉(zhuǎn)換成虛擬化平臺時，承載虛擬化應用的物理服務器CPU的SpecCINT_rate2006值異構(gòu)服務器CPU CFT：當應用需要轉(zhuǎn)換成虛擬化平臺時，承載虛擬化應用的物理服務器CPU的SpecCFP_rate2006值異構(gòu)服務器總