【正文】 云數(shù)據(jù)中心安全域與國(guó)家標(biāo)準(zhǔn)中的安全保護(hù)環(huán)境的對(duì)應(yīng)關(guān)系，如表41所示。 等級(jí)保護(hù)三級(jí)安全保護(hù)框架 安全域劃分根據(jù)《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T 250702010）的國(guó)家標(biāo)準(zhǔn)（以下簡(jiǎn)稱：“設(shè)計(jì)技術(shù)要求”），等級(jí)保護(hù)三級(jí)信息系統(tǒng)安全保護(hù)環(huán)境由相應(yīng)級(jí)別的安全計(jì)算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)和安全管理中心組成?？紤]到解決方案的通用性，本建議書將按照等級(jí)保護(hù)三級(jí)的基本要求進(jìn)行規(guī)劃和設(shè)計(jì)。因此，云數(shù)據(jù)中心的信息安全系統(tǒng)建設(shè)，應(yīng)當(dāng)參考國(guó)家信息安全等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)、規(guī)范來規(guī)劃、設(shè)計(jì)、實(shí)施和運(yùn)維。保護(hù)信息資源價(jià)值不受侵犯；保證信息資產(chǎn)的擁有者面臨最小的風(fēng)險(xiǎn)和獲取最大的安全利益；保證的信息基礎(chǔ)設(shè)施、信息應(yīng)用服務(wù)和信息內(nèi)容為抵御各種安全威脅而具有保密性、完整性、真實(shí)性、可用性和可控性的能力。一方面，信息關(guān)系到黨政部門、乃至整個(gè)國(guó)家的利益，比個(gè)人或商務(wù)信息更為敏感，需要更高的安全性；另一方面，云行使政府職能的特點(diǎn)導(dǎo)致更容易受到來自外部或內(nèi)部的攻擊，包括黑客組織，犯罪集團(tuán)和信息戰(zhàn)時(shí)期的信息對(duì)抗等國(guó)家行為的攻擊。云所涵蓋的信息系統(tǒng)是政府機(jī)構(gòu)用于執(zhí)行政府職能的信息系統(tǒng)。移動(dòng)設(shè)備、遠(yuǎn)程設(shè)備連接、瀏覽器以及各種應(yīng)用程序的插件程序、智能終端、云主機(jī)的出現(xiàn)，都為信息安全帶來了新的挑戰(zhàn)，而內(nèi)部攻擊者和系統(tǒng)漏洞仍然為信息安全最大威脅。然而隨著信息技術(shù)的發(fā)展，、SOA和云計(jì)算技術(shù)的涌現(xiàn)，IT的信息安全一直沒有良好的保證。4 安全方案設(shè)計(jì) 云數(shù)據(jù)中心安全需求 云安全需求云安全的需求實(shí)際上就是要合理地解決云信息安全與信息共享、開放性之間的矛盾。虛擬化后可以對(duì)原有數(shù)據(jù)進(jìn)行靈活的管理，包括數(shù)據(jù)整合、遷移、鏡像、遠(yuǎn)程復(fù)制等。iii. 計(jì)算能力：通過IOPS、帶寬、容量的整體計(jì)算得出，只有此種磁盤陣列滿足要求，因此選用。其他185。BASSHP xp24000amp。特殊需求HHH大型關(guān)鍵性業(yè)務(wù)系統(tǒng)如大型檢索系統(tǒng)、BOSSamp。 FCSAN、華為S5800T amp。 FCSAN、華為S5800T amp。 FCSAN、華為S5600T amp。NAS非結(jié)構(gòu)化數(shù)據(jù)：辦公文檔、文本、圖片、XML、HTML、各類報(bào)表、圖像和音頻/視頻信息等等需求比較大的，通常會(huì)選擇使用NAS。大量虛擬機(jī)部署：隨著計(jì)算虛擬化程度日益提高，大量非核心應(yīng)用系統(tǒng)以及虛擬桌面均被部署到虛擬機(jī)中，虛擬機(jī)密度越來越高，對(duì)存儲(chǔ)的容量、性能、擴(kuò)展性要求也越來越高。非關(guān)鍵性業(yè)務(wù)：對(duì)數(shù)據(jù)讀寫能力要求不太高。容災(zāi)需求：針對(duì)大中型規(guī)模容災(zāi)系統(tǒng)，對(duì)系統(tǒng)要求非常高，因此選擇性能更好的FC架構(gòu)。對(duì)關(guān)鍵性業(yè)務(wù)的性能、安全性、穩(wěn)定性能力要求較高業(yè)務(wù)需求迫使性能需求不斷攀升：初期購(gòu)置時(shí)性能完全滿足要求，但是隨著不可預(yù)估的業(yè)務(wù)需求攀升導(dǎo)致對(duì)底層存儲(chǔ)需求快速攀升，而傳統(tǒng)存儲(chǔ)系統(tǒng)面對(duì)這種需求束手無策。表37顯示了通常情況下的一些典型應(yīng)用的配置規(guī)格。圖33 主數(shù)據(jù)中心物理和虛擬化部署建議示意圖（在線業(yè)務(wù)、開發(fā)測(cè)試環(huán)境）災(zāi)備中心的虛擬化部署建議示意圖如圖34所示。整個(gè)云數(shù)據(jù)中心分為主數(shù)據(jù)中心和災(zāi)備中心，其中主數(shù)據(jù)中心又分為生產(chǎn)環(huán)境和開發(fā)及測(cè)試環(huán)境，建議按以下策略考慮虛擬化的適應(yīng)性：l 主數(shù)據(jù)中心的生產(chǎn)環(huán)境按照表36來考慮虛擬化；l 主數(shù)據(jù)中心的開發(fā)環(huán)境部署X86服務(wù)器，采用虛擬化技術(shù)；l 主數(shù)據(jù)中心的測(cè)試環(huán)境根據(jù)性能測(cè)試的需要及表36來考慮虛擬化，通常情況下采用同生產(chǎn)環(huán)境同樣的選擇；l 災(zāi)備中心建議部署X86服務(wù)器，采用虛擬化技術(shù)（如應(yīng)用必須使用物理機(jī)，則災(zāi)備中心也使用物理機(jī)）。DB服務(wù)器需要根據(jù)業(yè)務(wù)應(yīng)用對(duì)存儲(chǔ)I/O的需求來評(píng)估，如果業(yè)務(wù)應(yīng)用的DB服務(wù)器I/O要求大或DB服務(wù)器有HA或集群需要，建議將該種業(yè)務(wù)應(yīng)用的DB服務(wù)器部署在物理服務(wù)器上。根據(jù)業(yè)務(wù)應(yīng)用的特點(diǎn)，對(duì)應(yīng)用的虛擬化建議如表36所示：表36 虛擬化適應(yīng)性分析應(yīng)用類型應(yīng)用需求CPU需求內(nèi)存需求網(wǎng)絡(luò)帶寬需求存儲(chǔ)空間需求存儲(chǔ)IO需求存儲(chǔ)帶寬需求虛擬化適應(yīng)性通用管理應(yīng)用系統(tǒng)通用類型LLLLLL適合大計(jì)算量應(yīng)用系統(tǒng)計(jì)算密集型HHMLMM適合大訪問量應(yīng)用系統(tǒng)瀏覽密集型HHHMML適合大數(shù)據(jù)量應(yīng)用系統(tǒng)大IO小數(shù)據(jù)量MHMMHM一般不建議小IO大數(shù)據(jù)量MMHHMH適合訪問寫密集型HHHHMH一般不建議訪問讀密集型MHHHMH適合H：高、M：中、L：低。支持分區(qū)技術(shù)（物理分區(qū)NPAR或動(dòng)態(tài)邏輯分區(qū)LPAR或動(dòng)態(tài)域），提供相關(guān)軟件，現(xiàn)有配置最大可支持8個(gè)以上分區(qū)；虛擬化虛擬化適應(yīng)性對(duì)于云數(shù)據(jù)中心業(yè)務(wù)的服務(wù)器需求，首先需要判斷該業(yè)務(wù)服務(wù)器是否能夠采用虛擬化方案，不能虛擬化的則需要采用滿足實(shí)際需求的服務(wù)器進(jìn)行配置，其他的則建議統(tǒng)一采用虛擬化方式，根據(jù)采集或預(yù)估的計(jì)算資源需要采用相應(yīng)配置的虛擬機(jī)來滿足該需求。表34 高性能機(jī)架服務(wù)器性能指標(biāo)類別項(xiàng)目指標(biāo)參數(shù)高性能機(jī)架服務(wù)器處理器采用Intel NehalemEX 75xx 系列4/6/8核處理器，最高主頻支持 ，單顆 CPU L3 緩存最高支持 24MB，處理器顆數(shù)≥4 顆，可無縫擴(kuò)展至8顆處理器內(nèi)存64 個(gè) DDR3 800/1066/1333 SDRAM RDIMM內(nèi)存插槽；支持單條1GB、2GB、4GB、8GB、16GB內(nèi)存，系統(tǒng)最大支持1TB存儲(chǔ)最多支持 8 個(gè) 英寸 SAS硬盤，支持300GB SAS 硬盤，最高存儲(chǔ)容量為 （SAS 硬盤）；可選BR10i RAID扣卡，支持RAID 0/1/1E；可選M5015 RAID扣卡，512M Cache，支持RAID 0/1/10/5/6/50/60；M5015 RAID扣卡選配BBU電池模塊，提供掉電保護(hù)網(wǎng)絡(luò)接口集成高性能Broad 5709C高性能TOE千兆網(wǎng)卡，向下兼容10/100M，后面板出2個(gè)GE網(wǎng)口管理板載嵌入式BMC模塊，支持IPMI ，提供遠(yuǎn)程開關(guān)機(jī)、復(fù)位、日志、硬件監(jiān)控等管理功能，支持SOL；小型機(jī)服務(wù)器性能指標(biāo)如表35所示。5600系列四核/六核處理器內(nèi)存支持12條DDR3 RDIMM/UDIMM內(nèi)存，最大內(nèi)存容量達(dá)96GB硬盤； SAS硬盤，或24TB SATA硬盤；可選LSI 1068E SAS扣卡，支持RAID 0/1/1E；可選LSI 1078 SAS RAID扣卡，256MB Cache，支持RAID 0/1/10/5/6/50/60LSI1078扣卡選配BBU（Battery Backup Unit）電池模塊，提供掉電保護(hù)網(wǎng)絡(luò)接口集成高性能Broad 5709C高性能TOE千兆網(wǎng)卡，向下兼容10/100M管理維護(hù)表33 2U機(jī)架服務(wù)器的技術(shù)指標(biāo)類別項(xiàng)目指標(biāo)參數(shù)2U機(jī)架服務(wù)器處理器支持1或2個(gè)In tel174。Xeon174。：此種為用戶的特殊需求，主要從三個(gè)方面體現(xiàn)i. 繼承性：是用戶系統(tǒng)需要升級(jí)，而在升級(jí)同時(shí)考慮利舊因此使用小型機(jī)部署ii. 用戶指定：用戶的大部分業(yè)務(wù)系統(tǒng)的核心應(yīng)用服務(wù)器均采用小型機(jī)，因此在新建業(yè)務(wù)系統(tǒng)時(shí)，考慮到技術(shù)人員對(duì)Unix服務(wù)器的熟練程度、穩(wěn)定性等方面要求還比較高，也會(huì)選用小型機(jī)服務(wù)器iii. 計(jì)算能力：針對(duì)一些云數(shù)據(jù)中心，通過TPC的計(jì)算得出的TPMC值，只有小型機(jī)服務(wù)器能夠達(dá)到要求，因此選用小型機(jī)服務(wù)器關(guān)鍵技術(shù)指標(biāo)對(duì)刀片服務(wù)器的技術(shù)指標(biāo)如表32所示。特殊需求HH數(shù)據(jù)庫(kù)中間件Unix小型機(jī)，IBM P780\Oracle Sparc T44H：高、M：中、L：低。表31將按照應(yīng)用的類型，同時(shí)針對(duì)對(duì)應(yīng)的業(yè)務(wù)場(chǎng)景進(jìn)行描述。 計(jì)算場(chǎng)景技術(shù)物理服務(wù)器物理服務(wù)器是傳統(tǒng)數(shù)據(jù)中心使用的計(jì)算系統(tǒng)，它能夠很好的將系統(tǒng)軟件的性能表現(xiàn)出來。存儲(chǔ)冗余：磁盤陣列在經(jīng)過做RAID、增加熱備盤后有很大損耗，一般考慮損耗率35%。帶寬要求= 22502（90％8KB＋10％64KB）＝如果按照性能維度和架構(gòu)維度的計(jì)算的結(jié)論，需要選擇IPSAN作為此種案例的解決方案。根據(jù)此特點(diǎn)，我們以oracle數(shù)據(jù)庫(kù)為例，通常oracle中默認(rèn)的數(shù)據(jù)塊定義為8KB，針對(duì)OLAP通常需要的數(shù)據(jù)塊為64K。8＝400M216。1）IPSAN帶寬利用率為60％，其中包頭分析會(huì)損失20％性能，因此IPSAN千兆帶寬的利用率為：1000M60％（1－20％）247。在數(shù)據(jù)封裝過程中會(huì)造成傳輸效率的喪失，因此此比例將真實(shí)的描述出數(shù)據(jù)在封裝過程中的帶寬損失比率。無論是IPSAN和FCSAN在傳輸數(shù)據(jù)是都無法100%的利用帶寬，因此次數(shù)據(jù)值為實(shí)際傳輸數(shù)據(jù)時(shí)的真實(shí)比率。根據(jù)IPSAN和FCSAN的特點(diǎn)，目前主流的網(wǎng)絡(luò)架構(gòu)IPSAN的帶寬為1000M、FCSAN的帶寬為4000M。B:帶寬。S架構(gòu)衡量標(biāo)準(zhǔn)： 應(yīng)用數(shù)據(jù)庫(kù)主要分為OLTP和OLAP兩種訪問模式，分別為隨機(jī)讀寫和順序讀寫，根據(jù)大型應(yīng)用的特點(diǎn)，OLTP的應(yīng)用為OLAP的9倍，即OLTP：OLAP＝9：1。216。F:未來發(fā)展的冗余，隨著業(yè)務(wù)量和用戶數(shù)據(jù)的增長(zhǎng)，會(huì)對(duì)已采購(gòu)存儲(chǔ)產(chǎn)生性能影響，因此在配置存儲(chǔ)時(shí)會(huì)對(duì)未來幾年做預(yù)估，一般按照每年10%~30%的發(fā)展速度來計(jì)算，綜合區(qū)值為20%，即如果存儲(chǔ)是按照5年的規(guī)劃制定，那么F=（1+20%）5 =計(jì)算樣例：假設(shè)服務(wù)器的tpmC為100萬，為3年內(nèi)的存儲(chǔ)規(guī)劃，則計(jì)算公式如下：存儲(chǔ)IOPS=100萬 / 60 x 50 x [（1+20%）3 ]= 144萬 IOPS 。通常1個(gè)tpmC復(fù)雜度會(huì)有幾個(gè)讀，寫，修改等操作組成，大約整體會(huì)形成20－30個(gè)IO左右，我們?nèi)∩詾楦咝┖侠矸秶鷥?nèi)，那么大約為30個(gè)IO。S:經(jīng)驗(yàn)值。計(jì)算輸入：服務(wù)器的tpmC，IO經(jīng)驗(yàn)值，未來發(fā)展冗余。存儲(chǔ)性能維度存儲(chǔ)產(chǎn)品的選擇通常是根據(jù)存儲(chǔ)性能指標(biāo)，即IOPS值。物理CPU CINT：指的是現(xiàn)網(wǎng)業(yè)務(wù)承載應(yīng)用的物理服務(wù)器的SpecCINT_rate2006值物理CPU CFP：指的是現(xiàn)網(wǎng)業(yè)務(wù)承載應(yīng)用的物理服務(wù)器的SpecCFP_rate2006值異構(gòu)服務(wù)器CPU CINT：當(dāng)應(yīng)用需要轉(zhuǎn)換成虛擬化平臺(tái)時(shí)，承載虛擬化應(yīng)用的物理服務(wù)器CPU的SpecCINT_rate2006值異構(gòu)服務(wù)器CPU CFT：當(dāng)應(yīng)用需要轉(zhuǎn)換成虛擬化平臺(tái)時(shí)，承載虛擬化應(yīng)用的物理服務(wù)器CPU的SpecCFP_rate2006值異構(gòu)服務(wù)器總核數(shù)：承載虛擬化應(yīng)用物理服務(wù)器的總核數(shù)（例如物理服務(wù)器有2個(gè)CPU，每個(gè)CPU有4核，每個(gè)核實(shí)雙線程，那么總核數(shù)為：2*4*2=16）業(yè)務(wù)利用率：是指通常的物理主機(jī)在遷移場(chǎng)景下的CPU利用率冗余值：冗余值推薦：15%~20%，這里冗余值是考慮在13VCPU同時(shí)存在資源爭(zhēng)搶，前期測(cè)試是由10%的性能下降。 2) 異構(gòu)服務(wù)器，可使用虛擬化折算系數(shù)來估算：VCPU個(gè)數(shù)=物理CPU CINT*80%+物理CPU CFP*20%*現(xiàn)網(wǎng)業(yè)務(wù)CPU利用率異構(gòu)服務(wù)器CPU CINT異構(gòu)服務(wù)器總核數(shù)*%*80%+異構(gòu)服務(wù)器CPU CFP異構(gòu)服務(wù)器總核數(shù)*%*20%*（1冗余值）本次的計(jì)算公式同樣是以E5620的測(cè)試為基礎(chǔ)進(jìn)行的換算，E5620測(cè)是結(jié)果可以從如下文件中查找。本節(jié)介紹的性能參考主要是依照上面的公式，其中CINT和CFP是SpecCPU2006中公示，具體可以參考官網(wǎng)：。其中同構(gòu)指的是華為平臺(tái)的服務(wù)器，異構(gòu)是其他品牌的服務(wù)器。虛擬化本節(jié)主要介紹虛計(jì)算虛擬化中的VCPU和物理CPU之間的換算關(guān)系。根據(jù)我們以前的經(jīng)驗(yàn)，發(fā)現(xiàn)每個(gè)連接占用的內(nèi)存為2M到3M之間。T：為峰值交易時(shí)間計(jì)算樣例：假設(shè)需要計(jì)算每秒2000次業(yè)務(wù)訪問量的業(yè)務(wù)系統(tǒng)，那么每分鐘就有120000次業(yè)務(wù)訪問量的業(yè)務(wù)系統(tǒng)，峰值交易時(shí)間為1分鐘，在5年內(nèi)數(shù)據(jù)庫(kù)服務(wù)器的TPCC值估算，：TPM=TASK x S x F/(T x C)=(200060）[（1+）5 ]/(1*()) = 6683274TPM既需要一臺(tái)TPM值為不小于6683274的服務(wù)器。實(shí)際應(yīng)用經(jīng)驗(yàn)表明，一臺(tái)主機(jī)服務(wù)器的CPU利用率不應(yīng)高于75%，根據(jù)業(yè)務(wù)需求一般設(shè)定C=50%，=。以普通業(yè)務(wù)交易為例，一筆交易往往需要同時(shí)打開大量數(shù)據(jù)庫(kù)表，取出其相關(guān)數(shù)據(jù)進(jìn)行操作，相對(duì)于TPCC標(biāo)準(zhǔn)交易的復(fù)雜度，要復(fù)雜很多，通常取值范圍為1~30（取值越大，說明系統(tǒng)越復(fù)雜）。計(jì)算過程：tpmC=TASK x S x F / (T x C)TASK：為每分鐘業(yè)務(wù)交易量S：為實(shí)際查詢業(yè)務(wù)交易操作相對(duì)于標(biāo)準(zhǔn)TPCC測(cè)試基準(zhǔn)環(huán)境交易的復(fù)雜程度比例。存儲(chǔ)服務(wù)區(qū)主要分為IPSAN、FCSAN、NAS和虛擬化存儲(chǔ)。計(jì)算平臺(tái)層中分為計(jì)算服務(wù)區(qū)和存儲(chǔ)服務(wù)區(qū)，其中計(jì)算服務(wù)區(qū)為三層架構(gòu)。3 計(jì)算平臺(tái)方案設(shè)計(jì) 計(jì)算平臺(tái)總體架構(gòu)根據(jù)云數(shù)據(jù)中心解決方案的總體架構(gòu)以及網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)中對(duì)功能區(qū)的劃分原則，將服務(wù)器等關(guān)鍵設(shè)備按照需要實(shí)現(xiàn)的功能劃分為兩個(gè)層面，分別對(duì)應(yīng)業(yè)務(wù)層和計(jì)算平臺(tái)層。當(dāng)主數(shù)據(jù)中心的GSLB發(fā)生故障或者互聯(lián)網(wǎng)出口都出現(xiàn)故障時(shí)，用戶會(huì)通過容災(zāi)數(shù)據(jù)中心GSLB的智能域名解析功能實(shí)現(xiàn)互聯(lián)網(wǎng)用戶的接入。數(shù)據(jù)中心主、備站點(diǎn)GSLB功能實(shí)現(xiàn)的網(wǎng)絡(luò)架構(gòu)如圖221所示：主數(shù)據(jù)中心和容災(zāi)數(shù)據(jù)中心各部署1臺(tái)全局負(fù)載均衡設(shè)備，每臺(tái)設(shè)備與相應(yīng)的2臺(tái)出口路由器進(jìn)行冗余連接，提高可靠性；GSLB提供相應(yīng)應(yīng)用系統(tǒng)的服務(wù)IP的智能域名解析。全局負(fù)載均衡GSLB能夠幫助用戶通過將相同服務(wù)內(nèi)容布署在處于不同物理地點(diǎn)的多個(gè)數(shù)據(jù)中心中得到更高的可用性、性能、以及更加經(jīng)濟(jì)和無懈可擊的安全性，以便在全球范圍內(nèi)的客戶獲得更快的響應(yīng)時(shí)間；并實(shí)現(xiàn)數(shù)據(jù)中心之間的負(fù)載均衡和冗余備份。容災(zāi)數(shù)據(jù)中心