【正文】 圖41 等級保護三級安全保護環(huán)境示意圖參考上述安全域模型，根據(jù)云數(shù)據(jù)中心的實際情況，劃分安全域如圖42所示。根據(jù)《信息系統(tǒng)安全等級保護定級指南》（GB/T222402008）的標準要求，部署于云數(shù)據(jù)中心的信息系統(tǒng)，大多數(shù)會定義為等保二級、三級。綜上所述，云的安全總體需求可分解為如下內(nèi)容。所以，我們現(xiàn)在需要面對的是安全技術(shù)與產(chǎn)品是否能滿足云安全需求，單一的軟硬件安全產(chǎn)品對于云來說已經(jīng)不是完整的解決辦法，當前的安全形勢是一需要全面的云安全問題的解決方案。在云系統(tǒng)保證安全性和機密性的基礎(chǔ)上，保持信息共享和通訊暢通的效率。存儲虛擬化存儲虛擬化特性能夠?qū)⒉煌放啤⑿吞柕拇鎯υO(shè)備整合為統(tǒng)一的存儲池，既能靈活利用舊存儲設(shè)備，又能增加新存儲設(shè)備。EMC VMAXH：高、M：中、L：低。 S6800T（硬盤類型為SAS/FC/SSD）非結(jié)構(gòu)化數(shù)據(jù)LLL辦公文檔、文本、圖片、XML、HTML、各類報表、圖像和音頻/視頻信息等等N8500（硬盤類型為SATA）其他185。 S5800T（硬盤類型為SSD/FC）訪問寫密集型HMH視頻上傳網(wǎng)站IPSAN amp。容災(zāi)需求：針對中小型規(guī)模容災(zāi)系統(tǒng)，更加強調(diào)性價比，因此選擇性價比較高的IP架構(gòu)。IPSAN典型應(yīng)用：中小型數(shù)據(jù)庫服務(wù)器系統(tǒng)（如：Sqlserver、Mysql、PGsql）、郵件服務(wù)器、DNS服務(wù)器、文件服務(wù)器、WINS服務(wù)器等。表37 典型應(yīng)用虛擬機配置規(guī)格示例　系統(tǒng)類型型號CPU 內(nèi)存 系統(tǒng)盤網(wǎng)卡標準系列 （通用管理、企業(yè)建站、搜索平臺、游戲、小型數(shù)據(jù)庫）微型12G30GB1~8小型14G 30GB1~8中型28G40GB1~8大型412G50GB1~8大數(shù)據(jù)量訪問系列 （視頻、3D游戲平臺）中型212G40GB1~8大型424G50GB1~8大訪問量系列 （綜合網(wǎng)站、電子商務(wù)）中型88G40GB1~8大型1212G50GB1~8 存儲場景設(shè)計FCSAN典型應(yīng)用：大型數(shù)據(jù)庫服務(wù)器系統(tǒng)（如：oracle、DBSybase），或者集群部署的數(shù)據(jù)庫服務(wù)器。主數(shù)據(jù)中心的物理和虛擬化部署建議示意圖如圖33所示。對應(yīng)用虛擬化的適應(yīng)性也可以采用當前主流的應(yīng)用分層（Web服務(wù)器、App服務(wù)器、DB服務(wù)器）來進行考慮，通常情況下虛擬化比較適合Web服務(wù)器和App服務(wù)器。表35 小型機服務(wù)器性能指標序號指標指標項指標要求基本要求1總體要求應(yīng)用類型數(shù)據(jù)庫服務(wù)器型號UNIX服務(wù)器數(shù)量(套)2套，根據(jù)實際需要配置機柜2處理器*字長64bit，支持多線程技術(shù)主頻以及配置CPU個數(shù)CPU數(shù)量≥8核，CPU主頻 ≥L3緩存容量≥16MB可擴展CPU個數(shù)≥16核3內(nèi)存*種類DDR2內(nèi)存，采用ECC技術(shù)配置容量實配內(nèi)存容量≥CPU處理器數(shù)目的4倍（多核按每核計算，單位為GB）；最大擴展能力≥256GB4系統(tǒng)硬盤數(shù)量≥4單盤容量≥146GB硬盤轉(zhuǎn)速≥15000rpm容錯支持操作系統(tǒng)鏡像，實現(xiàn)數(shù)據(jù)保護5網(wǎng)絡(luò)接口接口類型1000 BaseTX接口數(shù)量≥46光纖通道接口*接口類型4 GB光纖通道接口數(shù)量≥2可靠性要求1冗余部件冗余電源，冗余風扇熱拔插磁盤和I/O插槽2其它配置HA高可用性軟硬件環(huán)境按實際需要配置硬件管理控制臺、含17寸折疊式液晶顯示器，鍵盤，鼠標。Xeon174。表32 刀片服務(wù)器的技術(shù)指標類別項目指標參數(shù)服務(wù)器刀片參數(shù)處理器采用Intel174。表31 應(yīng)用資源需求及業(yè)務(wù)場景分析應(yīng)用類型應(yīng)用需求CPU需求內(nèi)存需求常見業(yè)務(wù)場景推薦服務(wù)器類型通用管理應(yīng)用系統(tǒng)通用類型LL一般基礎(chǔ)管理系統(tǒng)（WEB、檢索引擎、DNS、DHCP、AD、FTP、FileServer）二路,華為X6000\E6000\RH2285工具類應(yīng)用系統(tǒng)工具類型LL基本的工具類應(yīng)用系統(tǒng)（如打印控制、報表、OCR、流媒體、網(wǎng)頁抓取、）二路,華為X6000\E6000\RH2285大訪問量應(yīng)用系統(tǒng)瀏覽密集型HH政府門戶網(wǎng)站、氣象查詢系統(tǒng)、WEB中間件服務(wù)器等四路，華為RH5485大數(shù)據(jù)量應(yīng)用系統(tǒng)大IO小數(shù)據(jù)量MH聯(lián)機處理數(shù)據(jù)庫二路,華為X6000\E6000\RH2285小IO大數(shù)據(jù)量MM數(shù)據(jù)倉庫分析二路,華為X6000\E6000\RH2285訪問讀密集型MH影視播放網(wǎng)站二路,華為X6000\E6000\RH2285計算密集型HH高性能計算集群數(shù)據(jù)庫應(yīng)用服務(wù)器數(shù)字城管GIS地理信息系統(tǒng)等圖像渲染四路，華為RH5485訪問寫密集型HH流媒體數(shù)據(jù)庫數(shù)據(jù)倉庫四路，華為RH5485其他185。未來發(fā)展容量需求：一個部門應(yīng)該是處在不斷地發(fā)展中，隨著它的發(fā)展，自身的部門人數(shù)、用戶數(shù)都在不斷地增長，因此存儲需求也在增長，存儲按照每年20%的速度增長，如果是考慮3年內(nèi)的存儲的容量需求，那么應(yīng)該是（1+20%）3=計算樣例：如果一個部門的當前存儲的總?cè)萘啃枨鬄?0T，需要計算部門3年內(nèi)的容量需求，那么計算公式如下：容量=10T/()（（1+20%）3）= 計算存儲場景設(shè)計以下將從計算和存儲兩種情況，分別描述計算和存儲的場景技術(shù)。計算樣例：如果有22500人的部門，在線并發(fā)數(shù)為2250人/秒，其中每人每秒提交2個事務(wù)請求。8＝60M2）FCSAN帶寬利用率為80%，因此FCSAN4G的帶寬利用率為：4000M80％247。通常FCSAN為80%，IPSAN為60%L：包頭損失率。為IPSAN或者FCSAN主流帶寬值。 實際帶寬值實際帶寬=BUL247。由于將來還包括統(tǒng)計查詢操作的業(yè)務(wù)批處理，因此，IO相對較高，根據(jù)行業(yè)經(jīng)驗，取80－100個IO，為此，我們整體IO按50個計算。計算過程：存儲性能（IOPS）=tpmC/T xSxFtpmC：服務(wù)器的性能指標T：每分鐘的業(yè)務(wù)交易量，如果按照秒來計算即T=60。 存儲處理能力分析業(yè)務(wù)通常會從三個維度提出存儲的需求：l 存儲的性能維度l 存儲架構(gòu)維度l 存儲容量維度業(yè)務(wù)提出存儲資源的需求后，需要對設(shè)備的IOPS、存儲容量、存儲帶寬進行計算。物理CPU CINT：指的是SpecCINT_rate2006，即多處理器計算機系統(tǒng)執(zhí)行以整數(shù)運算為主應(yīng)用軟件的性能指標物理CPU CFP：指的是SpecCFP_rate2006，即多處理器計算機系統(tǒng)執(zhí)行以浮點運算為主應(yīng)用軟件的性能指標業(yè)務(wù)利用率：是指通常的物理主機在遷移場景下的CPU利用率冗余值：冗余值推薦：15%~20%，這里冗余值是考慮在13VCPU同時存在資源爭搶，前期測試是由10%的性能下降。計算虛擬化主要從兩方面來考慮，一種是同構(gòu)虛擬化，一種是異構(gòu)虛擬化。內(nèi)存計算輸入：關(guān)于內(nèi)存的配置，根據(jù)我們以往的經(jīng)驗，認為內(nèi)存的消耗主要包括如下幾個部分：l 主機系統(tǒng)正常運行所需消耗（主要指操作系統(tǒng)消耗）；l 數(shù)據(jù)庫運行所需開銷；l 數(shù)據(jù)庫SGA運行所需正常開銷；l 聯(lián)機事務(wù)處理消耗；計算過程：內(nèi)存=操作系統(tǒng)+數(shù)據(jù)庫管理系統(tǒng)+數(shù)據(jù)庫SGA運行＋連接數(shù)*3M計算樣例：因此從上邊我們可以看到服務(wù)器系統(tǒng)所需內(nèi)存大小由四部分組成。C：為主機CPU處理余量。云數(shù)據(jù)中心中計算和存儲支持的功能分區(qū)如圖31所示：圖31 計算和存儲總體架構(gòu) 系統(tǒng)處理能力分析 計算處理能力CPU計算輸入：每分鐘業(yè)務(wù)交易量（TASK），復雜程度比例（S），CPU利用率（C），業(yè)務(wù)發(fā)展冗余（F），峰值交易時間（T）。業(yè)務(wù)層中，功能區(qū)域的劃分一般都是根據(jù)安全和管理需求進行劃分，各個部門可能有所不同，云數(shù)據(jù)中心中一般有公共信息服務(wù)區(qū)(DMZ區(qū))、運行管理區(qū)、等保二級業(yè)務(wù)區(qū)、等保三級業(yè)務(wù)區(qū)、開發(fā)測試區(qū)等功能區(qū)域，實際劃分可以根據(jù)業(yè)務(wù)情況進行調(diào)整，總的原則是在滿足安全的前提下盡量統(tǒng)一管理。主數(shù)據(jù)中心的GSLB會實時檢測主數(shù)據(jù)中心和容災(zāi)數(shù)據(jù)中心的相關(guān)應(yīng)用系統(tǒng)的健康狀態(tài)，正常情況下會給用戶返回主數(shù)據(jù)中心的服務(wù)IP地址；當主數(shù)據(jù)中心的GSLB檢測到主數(shù)據(jù)中心的應(yīng)用系統(tǒng)發(fā)生故障，業(yè)務(wù)不可用時，將給用戶返回容災(zāi)中心的相應(yīng)的應(yīng)用系統(tǒng)的服務(wù)IP地址，用戶將通過容災(zāi)數(shù)據(jù)中心實現(xiàn)業(yè)務(wù)互訪。圖220 容災(zāi)數(shù)據(jù)中心網(wǎng)絡(luò)架構(gòu)及互聯(lián)示意圖主備站點業(yè)務(wù)切換采用容災(zāi)數(shù)據(jù)中心的政府主備站點業(yè)務(wù)切換，可以通過部署全局負載均衡設(shè)備實現(xiàn)。但相對主數(shù)據(jù)中心，網(wǎng)絡(luò)架構(gòu)相對簡化，設(shè)備規(guī)格相對低一些。建議在數(shù)據(jù)中心的網(wǎng)絡(luò)邊界分別部署2臺防火墻和2臺路由器，采用光纖直連、數(shù)據(jù)專線或者MPLSVPN網(wǎng)絡(luò)等方式進行互聯(lián)。（SDH或WDM）實現(xiàn)，具體采用的數(shù)據(jù)同步方式需要根據(jù)業(yè)務(wù)實際情況確定；。同城容災(zāi)中心與異地容災(zāi)中心之間一般也需要通過數(shù)據(jù)專線或MPLSVPN網(wǎng)絡(luò)等方式進行互聯(lián)。同城容災(zāi)中心一般具有主數(shù)據(jù)中心基本等同的業(yè)務(wù)處理能力并通過高速鏈路實時同步數(shù)據(jù)，日常情況下可同時分擔業(yè)務(wù)及管理系統(tǒng)的運行，并可切換運行；災(zāi)難情況下可在基本不丟失數(shù)據(jù)的情況下進行災(zāi)備應(yīng)急切換，保持業(yè)務(wù)連續(xù)運行。防火墻采用雙機熱備的方式，并工作在透明模式。容災(zāi)數(shù)據(jù)中心一般可以實現(xiàn)應(yīng)用級或數(shù)據(jù)級容災(zāi)。同城容災(zāi)數(shù)據(jù)中心與主數(shù)據(jù)中心的距離比較近，通信線路質(zhì)量較好，比較容易實現(xiàn)數(shù)據(jù)的同步鏡像，保證高度的數(shù)據(jù)完整性和數(shù)據(jù)零丟失；同城容災(zāi)數(shù)據(jù)中心一般用于防范火災(zāi)、建筑物破壞、供電故障、計算機系統(tǒng)及人為破壞引起的災(zāi)難。本方案主要考慮多數(shù)據(jù)中心最常見的容災(zāi)數(shù)據(jù)中心設(shè)計場景。盡管數(shù)據(jù)中心內(nèi)部采用冗余機制、安全防范工具以及先進的負載均衡技術(shù)，單個數(shù)據(jù)中心的運行方式仍然無法滿足關(guān)鍵業(yè)務(wù)的7*24不間斷運行。遠端的VPN部門，可以通過CE設(shè)備接入到外網(wǎng)，通過MPLSVPN網(wǎng)絡(luò)構(gòu)成端到端的VPN網(wǎng)絡(luò)（不具備MPLSVPN網(wǎng)絡(luò)資源時，遠端VPN部門也可通過專線直接接入到數(shù)據(jù)中心的出口路由器，關(guān)聯(lián)到出口路由器設(shè)置的該VPN相對應(yīng)的VRF中實現(xiàn)VPN功能）。MCE還通過與數(shù)據(jù)中心的出口路由器的配合，可以將每個VPN的業(yè)務(wù)路由通過外網(wǎng)MPLSVPN承載網(wǎng)絡(luò)進行傳遞，實現(xiàn)廣域網(wǎng)范圍內(nèi)的端到端的VPN網(wǎng)絡(luò)。這種情況下，可以在數(shù)據(jù)中心的核心交換機上采用MCE的技術(shù)，實現(xiàn)各個VPN網(wǎng)絡(luò)的安全隔離。每臺主機通過不同的網(wǎng)絡(luò)接口與業(yè)務(wù)平面、管理平面和存儲平面進行互聯(lián)，并在交換機上通過VLAN進行隔離，其中存儲平面采用單獨的交換機進行接入。圖214 業(yè)務(wù)服務(wù)區(qū)及管理區(qū)網(wǎng)絡(luò)架構(gòu)示意圖服務(wù)器的接入方式分為下面四種情況:l 中低端機架服務(wù)器，數(shù)量眾多，通過置頂式接入層交換機（TOR）接入；l 沒有內(nèi)置交換機的刀片服務(wù)器，通過置頂式接入層交換機（TOR）接入；l 內(nèi)置交換機的刀片服務(wù)器，直接上聯(lián)到核心層交換機上，減少交換網(wǎng)絡(luò)的層級；l 高性能服務(wù)器，數(shù)量較少且重要性高，部署數(shù)據(jù)中心核心應(yīng)用系統(tǒng)（如：核心數(shù)據(jù)庫系統(tǒng)），可以采用異構(gòu)防火墻加強網(wǎng)絡(luò)安全。圖213 網(wǎng)絡(luò)服務(wù)區(qū)數(shù)據(jù)流拓撲示意圖 業(yè)務(wù)服務(wù)及運行管理區(qū)設(shè)計業(yè)務(wù)服務(wù)區(qū)：是政府機關(guān)提供服務(wù)的業(yè)務(wù)區(qū)，需要考慮較高的可用性和更全面的安全防護措施；業(yè)務(wù)服務(wù)區(qū)包括等保二級業(yè)務(wù)區(qū)、等保三級業(yè)務(wù)區(qū)、開發(fā)測試區(qū)等。該業(yè)務(wù)流程相當于將第二種和第三種情況進行綜合。第三種是只需要防火墻服務(wù)的業(yè)務(wù)系統(tǒng)。數(shù)據(jù)流通過部署防火墻和LB設(shè)備，網(wǎng)絡(luò)服務(wù)區(qū)支持的業(yè)務(wù)數(shù)據(jù)流模型包括： 第一種是沒有特殊服務(wù)要求的業(yè)務(wù)系統(tǒng)。防火墻設(shè)備一般采用路由工作模式。2臺防火墻和2臺LB均采用雙機熱備的冗余方式進行部署；每臺防火墻和LB都采用核心交換機旁掛的方式，并通過2條GE電路與核心交換機進行互聯(lián)，分別用于承載入方向和出方向的流量。為了滿足業(yè)務(wù)系統(tǒng)對網(wǎng)絡(luò)功能要求，數(shù)據(jù)中心專門部署了網(wǎng)絡(luò)服務(wù)區(qū)，針對性為各種業(yè)務(wù)系統(tǒng)提供相應(yīng)的網(wǎng)絡(luò)服務(wù)。對于中國云網(wǎng)絡(luò)系統(tǒng)，外網(wǎng)和內(nèi)網(wǎng)要求物理隔離。l 出口路由器：遠程接入?yún)^(qū)部署2臺出口路由器，實現(xiàn)設(shè)備冗余，提高可靠性；出口路由器與分支機構(gòu)、容災(zāi)中心互聯(lián)，一般采用靜態(tài)路由。數(shù)據(jù)中心的出口防火墻，可以利用虛擬防火墻技術(shù)，為每個VPN業(yè)務(wù)分配一個虛擬防火墻，實現(xiàn)該業(yè)務(wù)與其它內(nèi)部業(yè)務(wù)的安全隔離。IPSec VPN功能用于SitetoSite 方式接入，支持分支機構(gòu)通過互聯(lián)網(wǎng)進行遠程接入；SSL VPN功能用于ClienttoSite方式接入，支持移動用戶、遠程辦公人員接入。為了保證安全性，對于通過互聯(lián)網(wǎng)接入數(shù)據(jù)中心的移動用戶、遠程辦公用戶、分支機構(gòu)，可以考慮使用IPSec/SSL VPN等技術(shù)進行接入。2）INBOUND流量設(shè)計Inbound訪問的智能性，一般通過LLB提供的智能DNS解析功能實現(xiàn)。數(shù)據(jù)中心的LLB多出口鏈路選擇可以從兩個方面進行分析：一方面是互聯(lián)網(wǎng)用戶訪問數(shù)據(jù)中心的inbound流量；另一方面是數(shù)據(jù)中心訪問互聯(lián)網(wǎng)業(yè)務(wù)的outbound流量。為了提高數(shù)據(jù)中心的冗余性和可靠性，數(shù)據(jù)中心的互聯(lián)網(wǎng)出口一般需要與2個不同運營商進行互聯(lián)，提高Internet網(wǎng)絡(luò)出口的冗余性，并減輕網(wǎng)絡(luò)出口的傳輸瓶頸問題。公共信息服務(wù)DMZ區(qū)設(shè)計公共信息服務(wù)DMZ區(qū)部署在Internet接入?yún)^(qū)，用于部署提供政府公共服務(wù)的Web、DNS、FTP等應(yīng)用；對于提供公共信息服務(wù)的應(yīng)用及數(shù)據(jù)庫主機一般部署在核心內(nèi)網(wǎng)的公共服務(wù)區(qū)。LLB可以按照相應(yīng)的策略，實現(xiàn)多互聯(lián)網(wǎng)出口鏈路之間的智能選擇，實現(xiàn)負載均衡和冗余備份。 網(wǎng)絡(luò)功能區(qū)設(shè)