【文章內(nèi)容簡介】 防火墻；LB設(shè)備可以實(shí)現(xiàn)入流量的負(fù)載均衡的功能。該種情況，業(yè)務(wù)系統(tǒng)的IP網(wǎng)關(guān)設(shè)置在LB設(shè)備上。各種業(yè)務(wù)數(shù)據(jù)流如圖213所示（需要根據(jù)實(shí)際業(yè)務(wù)需求決定，僅供參考）。圖213 網(wǎng)絡(luò)服務(wù)區(qū)數(shù)據(jù)流拓?fù)涫疽鈭D 業(yè)務(wù)服務(wù)及運(yùn)行管理區(qū)設(shè)計(jì)業(yè)務(wù)服務(wù)區(qū)：是政府機(jī)關(guān)提供服務(wù)的業(yè)務(wù)區(qū)，需要考慮較高的可用性和更全面的安全防護(hù)措施；業(yè)務(wù)服務(wù)區(qū)包括等保二級業(yè)務(wù)區(qū)、等保三級業(yè)務(wù)區(qū)、開發(fā)測試區(qū)等。運(yùn)行管理區(qū)：主要職責(zé)是對數(shù)據(jù)中心的軟/硬件系統(tǒng)進(jìn)行統(tǒng)一運(yùn)維和運(yùn)營管理，提供安全管理的功能，并部署云計(jì)算管理平臺。網(wǎng)絡(luò)架構(gòu)業(yè)務(wù)服務(wù)區(qū)及運(yùn)行管理區(qū)的網(wǎng)絡(luò)架構(gòu)基本相同：按照層次化、模塊化的設(shè)計(jì)理念，各個(gè)功能分區(qū)的業(yè)務(wù)主機(jī)通過相應(yīng)的接入交換機(jī)進(jìn)行匯接，雙鏈路上聯(lián)到網(wǎng)絡(luò)核心交換機(jī)上。數(shù)據(jù)中心業(yè)務(wù)服務(wù)區(qū)及管理區(qū)的網(wǎng)絡(luò)架構(gòu)示意圖如Error! Reference source not 。圖214 業(yè)務(wù)服務(wù)區(qū)及管理區(qū)網(wǎng)絡(luò)架構(gòu)示意圖服務(wù)器的接入方式分為下面四種情況:l 中低端機(jī)架服務(wù)器，數(shù)量眾多，通過置頂式接入層交換機(jī)（TOR）接入；l 沒有內(nèi)置交換機(jī)的刀片服務(wù)器，通過置頂式接入層交換機(jī)（TOR）接入；l 內(nèi)置交換機(jī)的刀片服務(wù)器，直接上聯(lián)到核心層交換機(jī)上，減少交換網(wǎng)絡(luò)的層級；l 高性能服務(wù)器，數(shù)量較少且重要性高，部署數(shù)據(jù)中心核心應(yīng)用系統(tǒng)（如：核心數(shù)據(jù)庫系統(tǒng)），可以采用異構(gòu)防火墻加強(qiáng)網(wǎng)絡(luò)安全。各個(gè)業(yè)務(wù)功能分區(qū)可以通過網(wǎng)絡(luò)服務(wù)區(qū)的防火墻進(jìn)行安全控制；通過功能區(qū)的劃分，也可以提高系統(tǒng)的可擴(kuò)展能力。分平面設(shè)計(jì)數(shù)據(jù)中心的業(yè)務(wù)核心區(qū)采用的是網(wǎng)絡(luò)分平面設(shè)計(jì)的網(wǎng)絡(luò)架構(gòu)，按照業(yè)務(wù)的類型將網(wǎng)絡(luò)分成三個(gè)平面：業(yè)務(wù)平面、存儲平面和管理平面，各個(gè)平面之間實(shí)現(xiàn)業(yè)務(wù)安全隔離。各個(gè)平面之間通過網(wǎng)絡(luò)設(shè)備和網(wǎng)卡進(jìn)行物理安全隔離或VLAN邏輯安全隔離，保證各種網(wǎng)絡(luò)平面數(shù)據(jù)的安全性和可靠性，單個(gè)平面的故障不影響其余平面繼續(xù)工作。每臺主機(jī)通過不同的網(wǎng)絡(luò)接口與業(yè)務(wù)平面、管理平面和存儲平面進(jìn)行互聯(lián)，并在交換機(jī)上通過VLAN進(jìn)行隔離，其中存儲平面采用單獨(dú)的交換機(jī)進(jìn)行接入。數(shù)據(jù)中心網(wǎng)絡(luò)分平面設(shè)計(jì)示意圖如圖215所示。圖215 網(wǎng)絡(luò)平面設(shè)計(jì)示意圖VPN（MCE方式）設(shè)計(jì)應(yīng)用場景對于國家政府機(jī)關(guān)，其下屬各個(gè)政府部門往往都是一個(gè)單獨(dú)的VPN，彼此需要通過物理或邏輯的方式進(jìn)行安全隔離。數(shù)據(jù)中心可以通過 VLAN的方式實(shí)現(xiàn)VPN業(yè)務(wù)安全隔離；但VLAN是二層以太網(wǎng)技術(shù)，很難實(shí)現(xiàn)端到端的VPN網(wǎng)絡(luò)。這種情況下，可以在數(shù)據(jù)中心的核心交換機(jī)上采用MCE的技術(shù)，實(shí)現(xiàn)各個(gè)VPN網(wǎng)絡(luò)的安全隔離。核心交換機(jī)部署MCE功能，可以有效解決多VPN網(wǎng)絡(luò)帶來的用戶數(shù)據(jù)安全與網(wǎng)絡(luò)成本之間的矛盾。MCE的實(shí)現(xiàn)原理是在核心交換機(jī)上為每個(gè)VPN網(wǎng)絡(luò)創(chuàng)建和維護(hù)一個(gè)獨(dú)立的路由轉(zhuǎn)發(fā)表（MultiVRF）；每個(gè)VRF與相應(yīng)的VPN業(yè)務(wù)的VLAN端口號相關(guān)聯(lián)，這樣在1臺核心交換機(jī)上會維護(hù)多個(gè)VPN的VRF，彼此實(shí)現(xiàn)安全隔離。通過MCE技術(shù)，核心交換機(jī)相當(dāng)于虛擬出彼此隔離的多個(gè)網(wǎng)絡(luò)設(shè)備，每個(gè)虛擬設(shè)備對應(yīng)一個(gè)VPN，從而實(shí)現(xiàn)業(yè)務(wù)的安全隔離。MCE還通過與數(shù)據(jù)中心的出口路由器的配合，可以將每個(gè)VPN的業(yè)務(wù)路由通過外網(wǎng)MPLSVPN承載網(wǎng)絡(luò)進(jìn)行傳遞，實(shí)現(xiàn)廣域網(wǎng)范圍內(nèi)的端到端的VPN網(wǎng)絡(luò)。方案說明數(shù)據(jù)中心的MCE方式組網(wǎng)示意圖如圖216所示：首先是接入交換機(jī)通過VLAN的方式對VPN業(yè)務(wù)進(jìn)行隔離，并將VLAN透傳到核心交換機(jī)上；核心交換機(jī)啟用MCE功能，建立一個(gè)與該VPN相對應(yīng)的VRF（路由轉(zhuǎn)發(fā)表），并將與該VPN相對應(yīng)的VLAN接口進(jìn)行關(guān)聯(lián)，這樣該VPN形成一個(gè)單獨(dú)的相互隔離的路由轉(zhuǎn)發(fā)表，該VRF可以運(yùn)行OSPF等動(dòng)態(tài)路由協(xié)議。數(shù)據(jù)中心的出口路由器上可以啟用PE的功能，建立與該VPN相對應(yīng)的VRF，出口路由器和MCE之間通過VLAN等虛鏈路進(jìn)行連接，PE上將該VPN對應(yīng)的VLAN接口與VRF進(jìn)行關(guān)聯(lián)。PE可以通過Option A的方式與外網(wǎng)MPLSVPN網(wǎng)絡(luò)對接，將VPN業(yè)務(wù)路由通過MPLS網(wǎng)絡(luò)進(jìn)行傳遞。遠(yuǎn)端的VPN部門，可以通過CE設(shè)備接入到外網(wǎng)，通過MPLSVPN網(wǎng)絡(luò)構(gòu)成端到端的VPN網(wǎng)絡(luò)（不具備MPLSVPN網(wǎng)絡(luò)資源時(shí)，遠(yuǎn)端VPN部門也可通過專線直接接入到數(shù)據(jù)中心的出口路由器，關(guān)聯(lián)到出口路由器設(shè)置的該VPN相對應(yīng)的VRF中實(shí)現(xiàn)VPN功能）。圖216 MCE組網(wǎng)圖MCE是MPLSVPN技術(shù)的簡化版, 不需要啟用復(fù)雜的BGP和標(biāo)簽交換功能, 對網(wǎng)絡(luò)設(shè)備的要求低, 并且降低了運(yùn)維的難度。 但如果需要配置VPN數(shù)量較多或者內(nèi)部網(wǎng)絡(luò)架構(gòu)比較復(fù)雜時(shí), 需要手工配置的工作量較大, 此時(shí)可以考慮在核心交換機(jī)啟用MPLSVPN(PE)功能, 可以減少配置的工作量和復(fù)雜度。 多數(shù)據(jù)中心互聯(lián)設(shè)計(jì) 業(yè)務(wù)需求數(shù)據(jù)中心全天候7*24不間斷的運(yùn)行是至關(guān)重要的，特別是對于通過互聯(lián)網(wǎng)提供業(yè)務(wù)的用戶。盡管數(shù)據(jù)中心內(nèi)部采用冗余機(jī)制、安全防范工具以及先進(jìn)的負(fù)載均衡技術(shù)，單個(gè)數(shù)據(jù)中心的運(yùn)行方式仍然無法滿足關(guān)鍵業(yè)務(wù)的7*24不間斷運(yùn)行。另外，數(shù)據(jù)中心滿足不同地點(diǎn)的用戶在訪問業(yè)務(wù)應(yīng)用時(shí)，可以實(shí)現(xiàn)相同的快速服務(wù)感受，也是非常重要的。單一數(shù)據(jù)中心已經(jīng)無法滿足業(yè)務(wù)的容災(zāi)備份和更大范圍內(nèi)的用戶快速訪問的需求，通過在不同物理位置構(gòu)建多個(gè)數(shù)據(jù)中心的方式已經(jīng)成為一個(gè)必然的選擇。構(gòu)建多數(shù)據(jù)中心，面臨著網(wǎng)絡(luò)架構(gòu)如何搭建、多數(shù)據(jù)中心如何互聯(lián)等問題；另外，還需要考慮實(shí)現(xiàn)多個(gè)數(shù)據(jù)中心間的協(xié)調(diào)工作，引導(dǎo)用戶訪問最優(yōu)的站點(diǎn)，或者當(dāng)某個(gè)站點(diǎn)出現(xiàn)災(zāi)難性故障后，引導(dǎo)用戶通過訪問容災(zāi)站點(diǎn)實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)的訪問。本方案主要考慮多數(shù)據(jù)中心最常見的容災(zāi)數(shù)據(jù)中心設(shè)計(jì)場景。 多數(shù)據(jù)中心互聯(lián)多數(shù)據(jù)中心主要有三種常見建設(shè)模式：第一種是主備雙中心的災(zāi)備模式；第二種是兩地三中心的災(zāi)備模式；第三種是分布式數(shù)據(jù)中心模式。其中主備雙中心和兩地三中心的災(zāi)備模式較為常見。容災(zāi)數(shù)據(jù)中心按照與主數(shù)據(jù)中心的物理距離的不同，一般可分為同城容災(zāi)數(shù)據(jù)中心和異地容災(zāi)數(shù)據(jù)中心。同城容災(zāi)數(shù)據(jù)中心與主數(shù)據(jù)中心的距離比較近，通信線路質(zhì)量較好，比較容易實(shí)現(xiàn)數(shù)據(jù)的同步鏡像，保證高度的數(shù)據(jù)完整性和數(shù)據(jù)零丟失；同城容災(zāi)數(shù)據(jù)中心一般用于防范火災(zāi)、建筑物破壞、供電故障、計(jì)算機(jī)系統(tǒng)及人為破壞引起的災(zāi)難。 而異地容災(zāi)數(shù)據(jù)中心與主數(shù)據(jù)中心的距離較遠(yuǎn)(一般在100km以上)，一般采用異步鏡像；異地災(zāi)難備份不僅可以防范火災(zāi)、建筑物破壞等可能遇到的風(fēng)險(xiǎn)隱患，還能夠防范戰(zhàn)爭、地震、水災(zāi)等風(fēng)險(xiǎn)。（1）主備雙中心模式主備雙中心模式共部署一個(gè)主數(shù)據(jù)中心和一個(gè)容災(zāi)數(shù)據(jù)中心。容災(zāi)數(shù)據(jù)中心可以部署在同城或異地，但同城部署較為常見。容災(zāi)數(shù)據(jù)中心一般可以實(shí)現(xiàn)應(yīng)用級或數(shù)據(jù)級容災(zāi)。主備雙中心模式網(wǎng)絡(luò)拓?fù)淙鐖D217所示：圖217 主備雙中心模式網(wǎng)絡(luò)拓?fù)涫疽鈭D主數(shù)據(jù)中心與容災(zāi)數(shù)據(jù)中心，建議采用三層IP方式互聯(lián)，實(shí)現(xiàn)統(tǒng)一運(yùn)營和統(tǒng)一管理。建議在數(shù)據(jù)中心的網(wǎng)絡(luò)邊界分別部署2臺防火墻和2臺路由器，采用光纖直連、數(shù)據(jù)專線或者M(jìn)PLSVPN網(wǎng)絡(luò)等方式進(jìn)行互聯(lián)。同城部署時(shí)，一般采用光纖直連或數(shù)據(jù)專線的方式進(jìn)行互聯(lián)；異地部署時(shí)，一般采用數(shù)據(jù)專線或MPLSVPN網(wǎng)絡(luò)的方式進(jìn)行互聯(lián)。防火墻采用雙機(jī)熱備的方式，并工作在透明模式。根據(jù)訪問需求在防火墻上做詳細(xì)的包過濾安全策略，對主數(shù)據(jù)中心和容災(zāi)數(shù)據(jù)中心之間的業(yè)務(wù)互訪進(jìn)行安全控制。主、備雙中心之間的數(shù)據(jù)同步可以通過前端的三層IP網(wǎng)絡(luò)或者后端存儲的互聯(lián)網(wǎng)絡(luò)（SDH或WDM）實(shí)現(xiàn)，具體采用的數(shù)據(jù)同步方式需要根據(jù)業(yè)務(wù)實(shí)際情況確定。（2）兩地三中心模式兩地三中心模式共部署一個(gè)主數(shù)據(jù)中心、一個(gè)同城容災(zāi)中心和一個(gè)異地容災(zāi)中心。同城容災(zāi)中心一般具有主數(shù)據(jù)中心基本等同的業(yè)務(wù)處理能力并通過高速鏈路實(shí)時(shí)同步數(shù)據(jù)，日常情況下可同時(shí)分擔(dān)業(yè)務(wù)及管理系統(tǒng)的運(yùn)行，并可切換運(yùn)行；災(zāi)難情況下可在基本不丟失數(shù)據(jù)的情況下進(jìn)行災(zāi)備應(yīng)急切換，保持業(yè)務(wù)連續(xù)運(yùn)行。異地容災(zāi)中心是指在異地的城市建立一個(gè)備份的災(zāi)備中心，一般用于雙中心的數(shù)據(jù)備份，也可以用于應(yīng)用級別的備份；當(dāng)雙中心出現(xiàn)自然災(zāi)害等原因而發(fā)生故障時(shí)，異地災(zāi)備中心可以通過備份數(shù)據(jù)實(shí)現(xiàn)業(yè)務(wù)的恢復(fù)或者實(shí)現(xiàn)業(yè)務(wù)的應(yīng)急切換。兩地三中心模式網(wǎng)絡(luò)拓?fù)淙鐖D218所示：圖218 兩地三中心網(wǎng)絡(luò)拓?fù)涫疽鈭D對于兩地三中心模式，主數(shù)據(jù)中心與同城容災(zāi)數(shù)據(jù)中心、異地容災(zāi)數(shù)據(jù)中心之間，建議采用三層IP方式互聯(lián)，實(shí)現(xiàn)統(tǒng)一運(yùn)營和統(tǒng)一管理。主數(shù)據(jù)中心與同城容災(zāi)數(shù)據(jù)中心一般采用光纖直連或高帶寬的數(shù)據(jù)專線等方式進(jìn)行互聯(lián)；主數(shù)據(jù)中心與異地容災(zāi)數(shù)據(jù)中心一般采用數(shù)據(jù)專線或MPLSVPN網(wǎng)絡(luò)等方式進(jìn)行互聯(lián)。同城容災(zāi)中心與異地容災(zāi)中心之間一般也需要通過數(shù)據(jù)專線或MPLSVPN網(wǎng)絡(luò)等方式進(jìn)行互聯(lián)。建議在數(shù)據(jù)中心的網(wǎng)絡(luò)邊界分別部署2臺防火墻和2臺路由器，采用直連光纖、數(shù)據(jù)專線或者M(jìn)PLSVPN網(wǎng)絡(luò)等方式進(jìn)行互聯(lián)。防火墻采用雙機(jī)熱備的方式，并工作在透明模式。根據(jù)訪問需求在防火墻上做詳細(xì)的包過濾安全策略，對主數(shù)據(jù)中心和容災(zāi)數(shù)據(jù)中心之間的業(yè)務(wù)互訪進(jìn)行安全控制。（SDH或WDM）實(shí)現(xiàn)，具體采用的數(shù)據(jù)同步方式需要根據(jù)業(yè)務(wù)實(shí)際情況確定；。（3）分布式數(shù)據(jù)中心模式數(shù)據(jù)中心通常以大集中方式進(jìn)行數(shù)據(jù)中心建設(shè)，一般只設(shè)立一個(gè)數(shù)據(jù)中心；但在某種場景下，比如大型的云網(wǎng)，需要建設(shè)分布式數(shù)據(jù)中心。分布式數(shù)據(jù)中心采用的是分層次的部署方式：上級政府部門成為一級數(shù)據(jù)中心，直接下屬單位為二級數(shù)據(jù)中心，再下級單位為三級數(shù)據(jù)中心；分布式數(shù)據(jù)中心一般以兩級數(shù)據(jù)中心為主。分布式數(shù)據(jù)中心的網(wǎng)絡(luò)拓?fù)淙鐖D219所示：圖219 分布式數(shù)據(jù)中心網(wǎng)絡(luò)拓?fù)涫疽鈭D上一級數(shù)據(jù)中心與下屬機(jī)構(gòu)數(shù)據(jù)中心之間，建議采用三層IP方式互聯(lián)，實(shí)現(xiàn)統(tǒng)一運(yùn)營和統(tǒng)一管理。建議在數(shù)據(jù)中心的網(wǎng)絡(luò)邊界分別部署2臺防火墻和2臺路由器，采用光纖直連、數(shù)據(jù)專線或者M(jìn)PLSVPN網(wǎng)絡(luò)等方式進(jìn)行互聯(lián)。防火墻采用雙機(jī)熱備的方式，并工作在透明模式。根據(jù)訪問需求在防火墻上做詳細(xì)的包過濾安全策略，對主數(shù)據(jù)中心和容災(zāi)數(shù)據(jù)中心之間的業(yè)務(wù)互訪進(jìn)行安全控制。 主備雙中心容災(zāi)網(wǎng)絡(luò)容災(zāi)中心網(wǎng)絡(luò)架構(gòu)容災(zāi)數(shù)據(jù)中心采用與主數(shù)據(jù)中心相類似的網(wǎng)絡(luò)架構(gòu)：核心網(wǎng)絡(luò)采用核心層和接入層的二層扁平化網(wǎng)絡(luò)架構(gòu)；按照網(wǎng)絡(luò)功能劃分為外聯(lián)區(qū)、網(wǎng)絡(luò)服務(wù)區(qū)、業(yè)務(wù)區(qū)等分區(qū)。但相對主數(shù)據(jù)中心，網(wǎng)絡(luò)架構(gòu)相對簡化，設(shè)備規(guī)格相對低一些。比如，外聯(lián)區(qū)的互聯(lián)網(wǎng)出口一般不采用多運(yùn)營商互聯(lián)，不需要部署LLB設(shè)備；分支機(jī)構(gòu)一般不需要與容災(zāi)數(shù)據(jù)中心互聯(lián)。具體網(wǎng)絡(luò)結(jié)構(gòu)需要根據(jù)用戶的業(yè)務(wù)情況進(jìn)行確定。容災(zāi)數(shù)據(jù)中心的網(wǎng)絡(luò)拓?fù)淙鐖D220所示，具體功能區(qū)描述和方案說明見主數(shù)據(jù)中心設(shè)計(jì)部分，這里不再進(jìn)行介紹。圖220 容災(zāi)數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)及互聯(lián)示意圖主備站點(diǎn)業(yè)務(wù)切換采用容災(zāi)數(shù)據(jù)中心的政府主備站點(diǎn)業(yè)務(wù)切換，可以通過部署全局負(fù)載均衡設(shè)備實(shí)現(xiàn)。全局負(fù)載均衡GSLB能夠幫助用戶通過將相同服務(wù)內(nèi)容布署在處于不同物理地點(diǎn)的多個(gè)數(shù)據(jù)中心中得到更高的可用性、性能、以及更加經(jīng)濟(jì)和無懈可擊的安全性，以便在全球范圍內(nèi)的客戶獲得更快的響應(yīng)時(shí)間；并實(shí)現(xiàn)數(shù)據(jù)中心之間的負(fù)載均衡和冗余備份。GSLB功能一般基于智能DNS的方式實(shí)現(xiàn)，通過對不同用戶端的域名請求，以靈活的流量分配算法與機(jī)制返回給用戶最佳數(shù)據(jù)中心的應(yīng)用服務(wù)IP地址，可以實(shí)現(xiàn)用戶的就近訪問以及多數(shù)據(jù)中心間的負(fù)載均衡及冗余備份功能。數(shù)據(jù)中心主、備站點(diǎn)GSLB功能實(shí)現(xiàn)的網(wǎng)絡(luò)架構(gòu)如圖221所示：主數(shù)據(jù)中心和容災(zāi)數(shù)據(jù)中心各部署1臺全局負(fù)載均衡設(shè)備，每臺設(shè)備與相應(yīng)的2臺出口路由器進(jìn)行冗余連接，提高可靠性；GSLB提供相應(yīng)應(yīng)用系統(tǒng)的服務(wù)IP的智能域名解析。主數(shù)據(jù)中心的GSLB會實(shí)時(shí)檢測主數(shù)據(jù)中心和容災(zāi)數(shù)據(jù)中心的相關(guān)應(yīng)用系統(tǒng)的健康狀態(tài)，正常情況下會給用戶返回主數(shù)據(jù)中心的服務(wù)IP地址；當(dāng)主數(shù)據(jù)中心的GSLB檢測到主數(shù)據(jù)中心的應(yīng)用系統(tǒng)發(fā)生故障，業(yè)務(wù)不可用時(shí)，將給用戶返回容災(zāi)中心的相應(yīng)的應(yīng)用系統(tǒng)的服務(wù)IP地址，用戶將通過容災(zāi)數(shù)據(jù)中心實(shí)現(xiàn)業(yè)務(wù)互訪。當(dāng)主數(shù)據(jù)中心的GSLB發(fā)生故障或者互聯(lián)網(wǎng)出口都出現(xiàn)故障時(shí)，用戶會通過容災(zāi)數(shù)據(jù)中心GSLB的智能域名解析功能實(shí)現(xiàn)互聯(lián)網(wǎng)用戶的接入。圖221 GSLB實(shí)現(xiàn)主、備站點(diǎn)業(yè)務(wù)切換示意圖（SDH或WDM）實(shí)現(xiàn)，具體采用的數(shù)據(jù)同步方式需要根據(jù)業(yè)務(wù)實(shí)際情況確定；，實(shí)現(xiàn)業(yè)務(wù)連續(xù)性需求的場景下，一般可以采用全局負(fù)載均衡（GSLB）設(shè)備。3 計(jì)算平臺方案設(shè)計(jì) 計(jì)算平臺總體架構(gòu)根據(jù)云數(shù)據(jù)中心解決方案的總體架構(gòu)以及網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)中對功能區(qū)的劃分原則，將服務(wù)器等關(guān)鍵設(shè)備按照需要實(shí)現(xiàn)的功能劃分為兩個(gè)層面，分別對應(yīng)業(yè)務(wù)層和計(jì)算平臺層。業(yè)務(wù)層中，功能區(qū)域的劃分一般都是根據(jù)安全和管理需求進(jìn)行劃分，各個(gè)部門可能有所不同，云數(shù)據(jù)中心中一般有公共信息服務(wù)區(qū)(DMZ區(qū))、運(yùn)行管理區(qū)、等保二級業(yè)務(wù)區(qū)、等保三級業(yè)務(wù)區(qū)、開發(fā)測試區(qū)等功能區(qū)域，實(shí)際劃分可以根據(jù)業(yè)務(wù)情況進(jìn)行調(diào)整，總的原則是在滿足安全的前提下盡量統(tǒng)一管理。計(jì)算平臺層中分為計(jì)算服務(wù)區(qū)和存儲服務(wù)區(qū)，其中計(jì)算服務(wù)區(qū)為三層架構(gòu)。計(jì)算服務(wù)區(qū)部署主要考慮三層架構(gòu)，即表現(xiàn)層、應(yīng)用層和數(shù)據(jù)層，同時(shí)考慮物理和虛擬部署。存儲服務(wù)區(qū)主要分為IPSAN、FCSAN、NAS和虛擬化存儲。云數(shù)據(jù)中心中計(jì)算和存儲支持的功能分區(qū)如圖31所示：圖31 計(jì)算和存儲總體架構(gòu) 系統(tǒng)處理能力分析 計(jì)算處理能力CPU計(jì)算輸入：每分鐘業(yè)務(wù)交易量（TASK），復(fù)雜程度比例（S），CPU利用率（C），業(yè)務(wù)發(fā)展冗余（F），峰值交易時(shí)間（T）。計(jì)算過程：tpmC=TASK x S x F / (T x C)TASK：為每分鐘業(yè)務(wù)交易量S：為實(shí)際查詢業(yè)務(wù)交易操作相對于標(biāo)準(zhǔn)TPCC測試基準(zhǔn)環(huán)境交易的復(fù)雜程度比例。由于實(shí)際的查詢業(yè)務(wù)交易的復(fù)雜程度與TPCC標(biāo)準(zhǔn)測試中的交易存在較大的差異，須設(shè)定一個(gè)合理的對應(yīng)值。以普通業(yè)務(wù)交易為例，一筆交易往往需要同時(shí)打開大量數(shù)據(jù)庫表，取出其相關(guān)數(shù)據(jù)進(jìn)行操作，相對于TPCC標(biāo)準(zhǔn)交易的復(fù)雜度，要復(fù)雜很多，通常取值范圍為1~30（取值越大，說明系統(tǒng)越復(fù)雜）。C：為主機(jī)CPU處理余量。實(shí)際應(yīng)用經(jīng)驗(yàn)表明，一臺主機(jī)服務(wù)器的CPU利用率不應(yīng)高于75%，根據(jù)業(yè)務(wù)需求一般設(shè)定C=50%，=。F：為系統(tǒng)未來n年