【正文】 網(wǎng)絡(luò)（不具備MPLSVPN網(wǎng)絡(luò)資源時，遠(yuǎn)端VPN部門也可通過專線直接接入到數(shù)據(jù)中心的出口路由器，關(guān)聯(lián)到出口路由器設(shè)置的該VPN相對應(yīng)的VRF中實(shí)現(xiàn)VPN功能）。容災(zāi)數(shù)據(jù)中心一般可以實(shí)現(xiàn)應(yīng)用級或數(shù)據(jù)級容災(zāi)。（SDH或WDM）實(shí)現(xiàn)，具體采用的數(shù)據(jù)同步方式需要根據(jù)業(yè)務(wù)實(shí)際情況確定；。主數(shù)據(jù)中心的GSLB會實(shí)時檢測主數(shù)據(jù)中心和容災(zāi)數(shù)據(jù)中心的相關(guān)應(yīng)用系統(tǒng)的健康狀態(tài)，正常情況下會給用戶返回主數(shù)據(jù)中心的服務(wù)IP地址；當(dāng)主數(shù)據(jù)中心的GSLB檢測到主數(shù)據(jù)中心的應(yīng)用系統(tǒng)發(fā)生故障，業(yè)務(wù)不可用時，將給用戶返回容災(zāi)中心的相應(yīng)的應(yīng)用系統(tǒng)的服務(wù)IP地址，用戶將通過容災(zāi)數(shù)據(jù)中心實(shí)現(xiàn)業(yè)務(wù)互訪。內(nèi)存計(jì)算輸入：關(guān)于內(nèi)存的配置，根據(jù)我們以往的經(jīng)驗(yàn)，認(rèn)為內(nèi)存的消耗主要包括如下幾個部分：l 主機(jī)系統(tǒng)正常運(yùn)行所需消耗（主要指操作系統(tǒng)消耗）；l 數(shù)據(jù)庫運(yùn)行所需開銷；l 數(shù)據(jù)庫SGA運(yùn)行所需正常開銷；l 聯(lián)機(jī)事務(wù)處理消耗；計(jì)算過程：內(nèi)存=操作系統(tǒng)+數(shù)據(jù)庫管理系統(tǒng)+數(shù)據(jù)庫SGA運(yùn)行＋連接數(shù)*3M計(jì)算樣例：因此從上邊我們可以看到服務(wù)器系統(tǒng)所需內(nèi)存大小由四部分組成。計(jì)算過程：存儲性能（IOPS）=tpmC/T xSxFtpmC：服務(wù)器的性能指標(biāo)T：每分鐘的業(yè)務(wù)交易量，如果按照秒來計(jì)算即T=60。通常FCSAN為80%，IPSAN為60%L：包頭損失率。表31 應(yīng)用資源需求及業(yè)務(wù)場景分析應(yīng)用類型應(yīng)用需求CPU需求內(nèi)存需求常見業(yè)務(wù)場景推薦服務(wù)器類型通用管理應(yīng)用系統(tǒng)通用類型LL一般基礎(chǔ)管理系統(tǒng)（WEB、檢索引擎、DNS、DHCP、AD、FTP、FileServer）二路,華為X6000\E6000\RH2285工具類應(yīng)用系統(tǒng)工具類型LL基本的工具類應(yīng)用系統(tǒng)（如打印控制、報(bào)表、OCR、流媒體、網(wǎng)頁抓取、）二路,華為X6000\E6000\RH2285大訪問量應(yīng)用系統(tǒng)瀏覽密集型HH政府門戶網(wǎng)站、氣象查詢系統(tǒng)、WEB中間件服務(wù)器等四路，華為RH5485大數(shù)據(jù)量應(yīng)用系統(tǒng)大IO小數(shù)據(jù)量MH聯(lián)機(jī)處理數(shù)據(jù)庫二路,華為X6000\E6000\RH2285小IO大數(shù)據(jù)量MM數(shù)據(jù)倉庫分析二路,華為X6000\E6000\RH2285訪問讀密集型MH影視播放網(wǎng)站二路,華為X6000\E6000\RH2285計(jì)算密集型HH高性能計(jì)算集群數(shù)據(jù)庫應(yīng)用服務(wù)器數(shù)字城管GIS地理信息系統(tǒng)等圖像渲染四路，華為RH5485訪問寫密集型HH流媒體數(shù)據(jù)庫數(shù)據(jù)倉庫四路，華為RH5485其他185。對應(yīng)用虛擬化的適應(yīng)性也可以采用當(dāng)前主流的應(yīng)用分層（Web服務(wù)器、App服務(wù)器、DB服務(wù)器）來進(jìn)行考慮，通常情況下虛擬化比較適合Web服務(wù)器和App服務(wù)器。容災(zāi)需求：針對中小型規(guī)模容災(zāi)系統(tǒng)，更加強(qiáng)調(diào)性價比，因此選擇性價比較高的IP架構(gòu)。存儲虛擬化存儲虛擬化特性能夠?qū)⒉煌放?、型號的存儲設(shè)備整合為統(tǒng)一的存儲池，既能靈活利用舊存儲設(shè)備，又能增加新存儲設(shè)備。根據(jù)《信息系統(tǒng)安全等級保護(hù)定級指南》（GB/T222402008）的標(biāo)準(zhǔn)要求，部署于云數(shù)據(jù)中心的信息系統(tǒng)，大多數(shù)會定義為等保二級、三級。綜上所述，云的安全總體需求可分解為如下內(nèi)容。EMC VMAXH：高、M：中、L：低。IPSAN典型應(yīng)用：中小型數(shù)據(jù)庫服務(wù)器系統(tǒng)（如：Sqlserver、Mysql、PGsql）、郵件服務(wù)器、DNS服務(wù)器、文件服務(wù)器、WINS服務(wù)器等。表35 小型機(jī)服務(wù)器性能指標(biāo)序號指標(biāo)指標(biāo)項(xiàng)指標(biāo)要求基本要求1總體要求應(yīng)用類型數(shù)據(jù)庫服務(wù)器型號UNIX服務(wù)器數(shù)量(套)2套，根據(jù)實(shí)際需要配置機(jī)柜2處理器*字長64bit，支持多線程技術(shù)主頻以及配置CPU個數(shù)CPU數(shù)量≥8核，CPU主頻 ≥L3緩存容量≥16MB可擴(kuò)展CPU個數(shù)≥16核3內(nèi)存*種類DDR2內(nèi)存，采用ECC技術(shù)配置容量實(shí)配內(nèi)存容量≥CPU處理器數(shù)目的4倍（多核按每核計(jì)算，單位為GB）；最大擴(kuò)展能力≥256GB4系統(tǒng)硬盤數(shù)量≥4單盤容量≥146GB硬盤轉(zhuǎn)速≥15000rpm容錯支持操作系統(tǒng)鏡像，實(shí)現(xiàn)數(shù)據(jù)保護(hù)5網(wǎng)絡(luò)接口接口類型1000 BaseTX接口數(shù)量≥46光纖通道接口*接口類型4 GB光纖通道接口數(shù)量≥2可靠性要求1冗余部件冗余電源，冗余風(fēng)扇熱拔插磁盤和I/O插槽2其它配置HA高可用性軟硬件環(huán)境按實(shí)際需要配置硬件管理控制臺、含17寸折疊式液晶顯示器，鍵盤，鼠標(biāo)。未來發(fā)展容量需求：一個部門應(yīng)該是處在不斷地發(fā)展中，隨著它的發(fā)展，自身的部門人數(shù)、用戶數(shù)都在不斷地增長，因此存儲需求也在增長，存儲按照每年20%的速度增長，如果是考慮3年內(nèi)的存儲的容量需求，那么應(yīng)該是（1+20%）3=計(jì)算樣例：如果一個部門的當(dāng)前存儲的總?cè)萘啃枨鬄?0T，需要計(jì)算部門3年內(nèi)的容量需求，那么計(jì)算公式如下：容量=10T/()（（1+20%）3）= 計(jì)算存儲場景設(shè)計(jì)以下將從計(jì)算和存儲兩種情況，分別描述計(jì)算和存儲的場景技術(shù)。為IPSAN或者FCSAN主流帶寬值。 存儲處理能力分析業(yè)務(wù)通常會從三個維度提出存儲的需求：l 存儲的性能維度l 存儲架構(gòu)維度l 存儲容量維度業(yè)務(wù)提出存儲資源的需求后，需要對設(shè)備的IOPS、存儲容量、存儲帶寬進(jìn)行計(jì)算。C：為主機(jī)CPU處理余量。圖220 容災(zāi)數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)及互聯(lián)示意圖主備站點(diǎn)業(yè)務(wù)切換采用容災(zāi)數(shù)據(jù)中心的政府主備站點(diǎn)業(yè)務(wù)切換，可以通過部署全局負(fù)載均衡設(shè)備實(shí)現(xiàn)。同城容災(zāi)中心與異地容災(zāi)中心之間一般也需要通過數(shù)據(jù)專線或MPLSVPN網(wǎng)絡(luò)等方式進(jìn)行互聯(lián)。同城容災(zāi)數(shù)據(jù)中心與主數(shù)據(jù)中心的距離比較近，通信線路質(zhì)量較好，比較容易實(shí)現(xiàn)數(shù)據(jù)的同步鏡像，保證高度的數(shù)據(jù)完整性和數(shù)據(jù)零丟失；同城容災(zāi)數(shù)據(jù)中心一般用于防范火災(zāi)、建筑物破壞、供電故障、計(jì)算機(jī)系統(tǒng)及人為破壞引起的災(zāi)難。MCE還通過與數(shù)據(jù)中心的出口路由器的配合，可以將每個VPN的業(yè)務(wù)路由通過外網(wǎng)MPLSVPN承載網(wǎng)絡(luò)進(jìn)行傳遞，實(shí)現(xiàn)廣域網(wǎng)范圍內(nèi)的端到端的VPN網(wǎng)絡(luò)。圖213 網(wǎng)絡(luò)服務(wù)區(qū)數(shù)據(jù)流拓?fù)涫疽鈭D 業(yè)務(wù)服務(wù)及運(yùn)行管理區(qū)設(shè)計(jì)業(yè)務(wù)服務(wù)區(qū)：是政府機(jī)關(guān)提供服務(wù)的業(yè)務(wù)區(qū)，需要考慮較高的可用性和更全面的安全防護(hù)措施；業(yè)務(wù)服務(wù)區(qū)包括等保二級業(yè)務(wù)區(qū)、等保三級業(yè)務(wù)區(qū)、開發(fā)測試區(qū)等。防火墻設(shè)備一般采用路由工作模式。l 出口路由器：遠(yuǎn)程接入?yún)^(qū)部署2臺出口路由器，實(shí)現(xiàn)設(shè)備冗余，提高可靠性；出口路由器與分支機(jī)構(gòu)、容災(zāi)中心互聯(lián)，一般采用靜態(tài)路由。2）INBOUND流量設(shè)計(jì)Inbound訪問的智能性，一般通過LLB提供的智能DNS解析功能實(shí)現(xiàn)。LLB可以按照相應(yīng)的策略，實(shí)現(xiàn)多互聯(lián)網(wǎng)出口鏈路之間的智能選擇，實(shí)現(xiàn)負(fù)載均衡和冗余備份。l 接入層：2臺接入交換機(jī)采用堆疊技術(shù)，下行鏈路根據(jù)服務(wù)器的物理端口選擇GE或10GE鏈路，上行鏈路選擇10G或10G鏈路捆綁技術(shù)，上聯(lián)到2臺核心交換機(jī)，增加帶寬的同時也提高了網(wǎng)絡(luò)鏈路的可靠性。網(wǎng)絡(luò)架構(gòu)按照功能，分為外聯(lián)區(qū)（包括Internet接入?yún)^(qū)和遠(yuǎn)程接入?yún)^(qū)）、核心區(qū)及內(nèi)網(wǎng)接入?yún)^(qū)；核心區(qū)包括網(wǎng)絡(luò)服務(wù)區(qū)、等保三級業(yè)務(wù)區(qū)、等保二級業(yè)務(wù)區(qū)、開發(fā)測試區(qū)及運(yùn)行管理區(qū)等功能模塊。 可擴(kuò)展性需求數(shù)據(jù)中心備份方案要具備擴(kuò)展性需求，隨著備份數(shù)據(jù)量的增長可以進(jìn)行平滑擴(kuò)容，從而保證關(guān)鍵數(shù)據(jù)備份的完整性。云數(shù)據(jù)中心支持根據(jù)業(yè)務(wù)應(yīng)用的不同特點(diǎn)（大計(jì)算量應(yīng)用系統(tǒng)、高I/O訪問應(yīng)用系統(tǒng)、高并發(fā)訪問應(yīng)用系統(tǒng)以及對資源要求一般的應(yīng)用系統(tǒng)）采用物理服務(wù)器、虛擬機(jī)（華為虛擬化平臺、VMware虛擬化平臺）、SAN或NAS、網(wǎng)絡(luò)或存儲連接技術(shù)（GE或10GE、4G/8G光纖連接）、存儲虛擬化技術(shù)，能根據(jù)業(yè)務(wù)應(yīng)用的特點(diǎn)對服務(wù)器或存儲進(jìn)行配置滿足應(yīng)用對計(jì)算和存儲的需要（CPU、內(nèi)存、網(wǎng)絡(luò)I/O、存儲I/O）。 安全方案在云數(shù)據(jù)中心安全架構(gòu)主要包含安全域劃分、系統(tǒng)自身安全、專用安全防護(hù)系統(tǒng)和信息安全管理四個層次的安全方案：l 通過安全域劃分，形成清晰、簡潔、穩(wěn)定的IT組網(wǎng)架構(gòu)，實(shí)現(xiàn)系統(tǒng)之間嚴(yán)格訪問控制的安全互連，更好的解決復(fù)雜系統(tǒng)的安全問題；l 系統(tǒng)自身安全，從系統(tǒng)的安全開發(fā)、安全配置、以及自身提供的安全特性方面加強(qiáng)系統(tǒng)安全；l 專用安全防護(hù)系統(tǒng)，從網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫、數(shù)據(jù)需要的安全技術(shù)手段方面加強(qiáng)安全防護(hù)；l 網(wǎng)絡(luò)信息安全管理，主要從信息安全管理方面設(shè)計(jì)安全風(fēng)險管理、預(yù)警管理、策略管理、脆弱性管理、知識庫管理。 設(shè)計(jì)有效的備份恢復(fù)方案保障業(yè)務(wù)系統(tǒng)正常切換和運(yùn)行 綠色節(jié)能方案節(jié)能降耗是IT系統(tǒng)建設(shè)中長遠(yuǎn)關(guān)注的重點(diǎn)問題，采取有效策略實(shí)現(xiàn)數(shù)據(jù)中心節(jié)能降耗是的重要目標(biāo)。政府部門一般通過國家云外網(wǎng)采用MPLSVPN方式進(jìn)行接入；另外，遠(yuǎn)程接入?yún)^(qū)也可用于容災(zāi)數(shù)據(jù)中心互聯(lián)。本方案中采用“集群+堆疊+鏈路捆綁”的二層網(wǎng)絡(luò)無環(huán)絡(luò)解決方案，如圖25所示：圖25 “集群+堆疊+鏈路捆綁”的二層網(wǎng)絡(luò)無環(huán)路解決方案示意圖核心交換機(jī)采用CSS虛擬集群技術(shù)，接入交換機(jī)采用堆疊技術(shù)；核心交換機(jī)與接入交換機(jī)間的鏈路進(jìn)行鏈路捆綁，大大提高了網(wǎng)絡(luò)的可靠性能。云數(shù)據(jù)中心的公共信息服務(wù)DMZ區(qū)的服務(wù)器數(shù)量較多，一般需要部署應(yīng)用負(fù)載均衡設(shè)備和接入交換機(jī)設(shè)備，實(shí)現(xiàn)公共信息服務(wù)器進(jìn)行接入和應(yīng)用的負(fù)載均衡。IPSec VPN接入方式比較適合SitetoSite的方式接入，適用場景是分支機(jī)構(gòu)通過Internet連接數(shù)據(jù)中心。當(dāng)云外網(wǎng)數(shù)據(jù)中心與內(nèi)網(wǎng)互聯(lián)時，需要部署網(wǎng)閘設(shè)備實(shí)現(xiàn)高安全隔離。業(yè)務(wù)流的方向是通過接入層交換機(jī)，VLAN透傳到核心交換機(jī)，在核心交換機(jī)進(jìn)行三層終結(jié)，直接通過路由的方式到達(dá)外聯(lián)區(qū)的防火墻設(shè)備；該種情況，業(yè)務(wù)系統(tǒng)的IP網(wǎng)關(guān)設(shè)置在三層交換機(jī)上。各個業(yè)務(wù)功能分區(qū)可以通過網(wǎng)絡(luò)服務(wù)區(qū)的防火墻進(jìn)行安全控制；通過功能區(qū)的劃分，也可以提高系統(tǒng)的可擴(kuò)展能力。圖216 MCE組網(wǎng)圖MCE是MPLSVPN技術(shù)的簡化版, 不需要啟用復(fù)雜的BGP和標(biāo)簽交換功能, 對網(wǎng)絡(luò)設(shè)備的要求低, 并且降低了運(yùn)維的難度。主備雙中心模式網(wǎng)絡(luò)拓?fù)淙鐖D217所示：圖217 主備雙中心模式網(wǎng)絡(luò)拓?fù)涫疽鈭D主數(shù)據(jù)中心與容災(zāi)數(shù)據(jù)中心，建議采用三層IP方式互聯(lián)，實(shí)現(xiàn)統(tǒng)一運(yùn)營和統(tǒng)一管理。（3）分布式數(shù)據(jù)中心模式數(shù)據(jù)中心通常以大集中方式進(jìn)行數(shù)據(jù)中心建設(shè)，一般只設(shè)立一個數(shù)據(jù)中心；但在某種場景下，比如大型的云網(wǎng)，需要建設(shè)分布式數(shù)據(jù)中心。當(dāng)主數(shù)據(jù)中心的GSLB發(fā)生故障或者互聯(lián)網(wǎng)出口都出現(xiàn)故障時，用戶會通過容災(zāi)數(shù)據(jù)中心GSLB的智能域名解析功能實(shí)現(xiàn)互聯(lián)網(wǎng)用戶的接入。根據(jù)我們以前的經(jīng)驗(yàn)，發(fā)現(xiàn)每個連接占用的內(nèi)存為2M到3M之間。S:經(jīng)驗(yàn)值。在數(shù)據(jù)封裝過程中會造成傳輸效率的喪失，因此此比例將真實(shí)的描述出數(shù)據(jù)在封裝過程中的帶寬損失比率。特殊需求HH數(shù)據(jù)庫中間件Unix小型機(jī)，IBM P780\Oracle Sparc T44H：高、M：中、L：低。DB服務(wù)器需要根據(jù)業(yè)務(wù)應(yīng)用對存儲I/O的需求來評估，如果業(yè)務(wù)應(yīng)用的DB服務(wù)器I/O要求大或DB服務(wù)器有HA或集群需要，建議將該種業(yè)務(wù)應(yīng)用的DB服務(wù)器部署在物理服務(wù)器上。NAS非結(jié)構(gòu)化數(shù)據(jù)：辦公文檔、文本、圖片、XML、HTML、各類報(bào)表、圖像和音頻/視頻信息等等需求比較大的，通常會選擇使用NAS。虛擬化后可以對原有數(shù)據(jù)進(jìn)行靈活的管理，包括數(shù)據(jù)整合、遷移、鏡像、遠(yuǎn)程復(fù)制等?？紤]到解決方案的通用性，本建議書將按照等級保護(hù)三級的基本要求進(jìn)行規(guī)劃和設(shè)計(jì)。一方面，信息關(guān)系到黨政部門、乃至整個國家的利益，比個人或商務(wù)信息更為敏感，需要更高的安全性；另一方面，云行使政府職能的特點(diǎn)導(dǎo)致更容易受到來自外部或內(nèi)部的攻擊，包括黑客組織，犯罪集團(tuán)和信息戰(zhàn)時期的信息對抗等國家行為的攻擊。BASSHP xp24000amp。容災(zāi)需求：針對大中型規(guī)模容災(zāi)系統(tǒng)，對系統(tǒng)要求非常高，因此選擇性能更好的FC架構(gòu)。表34 高性能機(jī)架服務(wù)器性能指標(biāo)類別項(xiàng)目指標(biāo)參數(shù)高性能機(jī)架服務(wù)器處理器采用Intel NehalemEX 75xx 系列4/6/8核處理器，最高主頻支持 ，單顆 CPU L3 緩存最高支持 24MB，處理器顆數(shù)≥4 顆，可無縫擴(kuò)展至8顆處理器內(nèi)存64 個 DDR3 800/1066/1333 SDRAM RDIMM內(nèi)存插槽；支持單條1GB、2GB、4GB、8GB、16GB內(nèi)存，系統(tǒng)最大支持1TB存儲最多支持 8 個 英寸 SAS硬盤，支持300GB SAS 硬盤，最高存儲容量為 （SAS 硬盤）；可選BR10i RAID扣卡，支持RAID 0/1/1E；可選M5015 RAID扣卡，512M Cache，支持RAID 0/1/10/5/6/50/60；M5015 RAID扣卡選配BBU電池模塊，提供掉電保護(hù)網(wǎng)絡(luò)接口集成高性能Broad 5709C高性能TOE千兆網(wǎng)卡，向下兼容10/100M，后面板出2個GE網(wǎng)口管理板載嵌入式BMC模塊，支持IPMI ，提供遠(yuǎn)程開關(guān)機(jī)、復(fù)位、日志、硬件監(jiān)控等管理功能，支持SOL；小型機(jī)服務(wù)器性能指標(biāo)如表35所示。存儲冗余：磁盤陣列在經(jīng)過做RAID、增加熱備盤后有很大損耗，一般考慮損耗率35%。B:帶寬。物理CPU CINT：指的是現(xiàn)網(wǎng)業(yè)務(wù)承載應(yīng)用的物理服務(wù)器的SpecCINT_rate2006值物理CPU CFP：指的是現(xiàn)網(wǎng)業(yè)務(wù)承載應(yīng)用的物理服務(wù)器的SpecCFP_rate2006值異構(gòu)服務(wù)器CPU CINT：當(dāng)應(yīng)用需要轉(zhuǎn)換成虛擬化平臺時，承載虛擬化應(yīng)用的物理服務(wù)器CPU的SpecCINT_rate2006值異構(gòu)服務(wù)器CPU CFT：當(dāng)應(yīng)用需要轉(zhuǎn)換成虛擬化平臺時，承載虛擬化應(yīng)用的物理服務(wù)器CPU的SpecCFP_rate2006值異構(gòu)服務(wù)器總