本资料来源公开网络,仅供个人学习,请勿商用,如有侵权请联系删除
3.1 方案总体架构
电子政务数据中心总体架构设计遵循面向业务需求的设计思路,基于业务场景化、模块化的设计方法,实现数据中心 IT 基础架构模块与业务模块松耦合,保证数据中心业务动态扩展和新业务快速上线。
使用典型规格产品设计,包括硬件、软件和应用规格化来提供简单可靠、易于部署和管理、便于扩展和升级的 IT 基础架构,为用户提供更好的投资保护,满足省/市级电子政务数据中心新建、升级扩容,以及数据中心统一管控的需求,可实现被集成的场景。电子政务数据中心解决方案的总体架构如图 3-1 所示。
图3-1 总体架构
3.2 网络方案
网络架构设计采用“分区+分层+分域+分平面”的设计思路:
l 根据电子政务数据中心不同业务功能区域之间的隔离需求,将数据中心的核心网络按照功能的不同分成多个业务区域,各业务区域之间实现网络的逻辑隔离;根据电子政务数据中心的网络系统动态扩展和高效交换的需求,将数据中心的核心网络分为核心层与接入层,实现扁平化的二层网络架构;根据电子政务数据中心网络高效交换的需求,将数据中心网络分为管理域、业务域和存储域,不同域间进行逻辑隔离;单个平面故障不会影响其它网络平面的正常工作。电子政务数据中心为政府多委办局分平面的需求,业务区域、数据中心内部网络、各域为委办局提供各自的平面,实现各单位的网络隔离;
3.1 计算平台方案
电子政务云数据中心支持业务应用运行于XXX或业界主流厂商的物理服务器和存储、XXX云计算平台和其它的虚拟化平台(VMware),支持对服务器和存储的集中管理。
电子政务云数据中心支持根据业务应用的不同特点(大计算量应用系统、高 I/O 访问应用系统、高并发访问应用系统以及对资源要求一般的应用系统)采用物理服务器、虚拟机(XXX虚拟化平台、VMware 虚拟化平台)、SAN 或 NAS、网络或存储连接技术(GE 或 10GE、4G/8G 光纤连接)、存储虚拟化技术,能根据业务应用的特点对服务器或存储进行配置满足应用对计算和存储的需要(CPU、内存、网络 I/O、存储 I/O)。
服务器的总体架构分为三层,即表现层、应用层和数据层,三层架构的部署可以是采用物理机部署或者虚拟化部署,其中虚拟化部署方式主要考虑XXX云操作系统 ;为保护用户已有投资,XXX电子政务数据中心解决方案支持业界第三方虚拟化平台,如 VMware。
存储的总体架构主要是分为 IPSAN、FCSAN、NAS 和存储虚拟化四种;电子政务数据中心支持XXX存储和业界主流存储(IBM/HP/EMC/NetApp/HDS);采用XXX VIS 来支持存储虚拟化,实现存储的统一管理。
在部署业务时,首先考虑使用虚拟化平台,优先采用虚拟主机满足,对于虚拟主机不能满足的应用,则采用物理服务器满足。以下是针对不同类型应用系统的计算平台方案:
l 物理主机和虚拟机的不同节点配置全面覆盖政务客户的不同业务需求;
l 对内存容量、IO、扩展性的要求都不高,且有节约空间和能源的应用,我们推荐采用虚拟化计算资源来满足;
l 对于高性能计算,大容量存储,大容量内存和高 IO 的需求,虚拟化不能满足应用需求,则采用 4 路X86 服务器或 UNIX 服务器等高性能物理主机满足;
l 针对普通的应用系统,如 WEB,对内存容量、IO、扩展性的要求都不高,建议采用虚拟主机,且能节约计算资源、机架空间、能源;
l 存储设备和计算服务器之间采用多路径技术保证可靠性;
l 采用面向网络的存储体系结构,使数据处理和数据存储分离;网络存储体系将 I/O 能力扩展到网络上,特别是灵活的网络寻址能力,远距离数据传输能力,I/O 高效性能;
采用存储网络,消除了不同存储设备和服务器之间的连接障碍;提高了数据的共享性、可用性和可扩展性、管理性。
3.2 安全方案
电子政务云数据中心关注的安全问题聚焦在如何保障数据中心的安全高效运行,业
务的可视化分析,多部门的安全隔离和防护,部门业务随时随地的安全接入,部门业务的私密性、完整性和可用性上。
电子政务云安全需要从安全的五个维度,业务的三个层次上对数据中心安全进行剖析,提供针对性的安全防护和安全管理方案,全面解决 IDC 数据中心的关键安全痛点。同时,XXX提供专业的数据中心安全咨询和安全服务业务,帮助客户评估和改善数据中心的安全。
电子政务云安全架构分五个安全维度,包括用户的身份识别(你是谁),接入控制
(你能访问什么),内容安全(有什么攻击),反应和恢复(业务响应及时性、业务可恢复性)、审计和取证(行为有记录可审计)。五个安全维度上,提供了针对性的安全解决方案,有效保障政务云数据中心的安全运行。
电子政务云数据中心安全架构提供对端、管、云三层业务的层次化安全防护,在端 点安全上提供移动终端、VDI 丰富的终端接入安全方案;在网络安全上提供边界网络安 全、内部网络安全、虚拟层网络安全层次化网络安全防护方案,实现多部门的网络隔离 和安全防护,抵御来自数据中心内部和外部的攻击;在云端提供数据中心主要业务如 WEB、
EMAIL 等的安全防护,并提供全方位的数据安全防护方案,包括文档安全、数据库安全、虚拟机全盘加密以及 DLP。通过业务的三层防护,保障了数据中心业务的接入安全,网络安全,多部门安全,部门的应用安全和数据安全。
3.3 云服务方案
云数据中心基本上有三种服务模式:软件即服务 (SaaS),平台即服务 (PaaS) 和基础架构即服务 (IaaS)。
IaaS 是一种基于网络交付 IT 资源的方式,在云平台内部,IT 资源包括服务器、存储、网络等被拟化为资源池形式,用户可以按自身业务需求,在数据中心内部申请和使用资源。
3.4 管理方案
电子政务数据中心管理系统采用开放的、可扩展、松耦合的面向服务的管理架构的设计思路,根据数据中心业务需求配置运营和运维管理模块,主要模块包统一运维管理门户、业务运营管理、IT 服务管理、集中监控管理和云管理。
基于保证方案的开放性、可扩展性,XXX的数据中心管理工具采用 SOA 的架构、同时有机结合XXX的云平台管理及业界成熟的管理产品实现电子政务数据中心运营运维的管理功能。
l 业务运营与管理
− 业务管理主要面向业务方面的规划与设计,包括服务目录管理,产品管理、服务定价策略,服务级别管理等功能的规划与设计;
− 业务运营管理负责业务的日常运转,包括业务日常流程和业务的受理;
− 客户自助服务帮助客户实现服务的在线定购、方便的服务访问及服务管理。
l IT 运维与管理
− IT 服务管理实现基于 ITIL 的流程的定义和管理,同时提供流程的定义模版,实现特定流程的定制;
− 集中的、统一的、综合的监控管理支持电子政务数据中心所覆盖的 IT 资源的集中监控;
− 云平台管理采用XXX的云管理平台,实现资源的自动部署,同时结合 IT 服务管理完成相关的变更、配置管理。
l 统一运维管理门户采用XXX的门户方案,实现运营、运维的一体化管理,包括用户管理、管理工作台、仪表盘、综合报表及知识库等;
3.5 容灾备份方案
容灾备份方案主要包括同城容灾、异地容灾和两地三中心等建设模式,容灾备份内容包括政务数据容灾和政务应用容灾。
根据政务业务系统容灾恢复的RPO 和RTO 需求,XXX提供多种容灾恢复技术方案。同时,随着电子政务业务系统的不断拓展,需要容灾备份的数据量和政务系统也将不断扩展,所以容灾恢复系统也需要能平滑扩容。
3.6 整合迁移服务
将现有业务迁移到云平台中实现服务器整合,提高电子政务数据中心资源利用率。业务迁移方案需要遵循如下要求:
Ø 制定有效的业务迁移前评估和流程设计
Ø 采用成熟的业务迁移工具保障计算平台兼容性和平滑迁移
Ø 设计有效的备份恢复方案保障业务系统正常切换和运行
3.7 模块化数据中心机房
XXX IDS 系列模块化数据中心机房解决方案集机柜、供配电、制冷、消防和数据中心基础设施管理系统等系统于一体,实现供配电、制冷和管理组件的无缝对接,并使其智能、高效运行,符合 TIA-942 标准Tier 3 等级要求,同时也能满足 Tier 4 等级要求。图3-2 模块化数据中心机房体系架构图
4.1 网络总体架构设计
4.1.1 总体网络架构
二层网络架构设计
传统数据中心的网络架构采用核心层、汇聚层和接入层的三层网络架构,存在以下几个方面的问题:
l 网络的层次较多,导致数据处理效率低,增加了处理时延和线路时延,同时也增加了部署成本和设备故障的几率;
l 由于汇聚层面设备一般存在处理性能和上行带宽的收敛比,在数据中心规模不断扩大的情况下,汇聚设备会成为整个网络的瓶颈,导致出现拥塞、丢包等问题;
l 网络设备之间的 STP、LAG、路由处理、安全等相互之间的交互信息,随着设备数量的增加,会成几何级数激增;
l 随着数据中心虚拟化的部署,新的数据中心流量模型中,大多数的流量是在内部服务器之间进行通信,甚至能够达到整体流量的 75%,这种部署架构会导致服务器之间流量需要通过汇聚层甚至核心层设备转发,效率低下,且性能很差。
为了解决上述存在的问题,数据中心核心网络建议采用核心层和接入层的的二层扁平化网络架构,二层扁平化的网络架构可以实现:
l 简化网络管理,降低投资成本,降低维护管理成本;
l 简化网络拓扑,降低网络复杂度,提高网络的性能,支撑高性能的服务器流量;
l 提高网络利用率,支撑云计算技术的资源池动态调度;
l 提高网络可靠性。二层网络结构,可以结合虚拟集群和堆叠技术,解决链路环路问题,减少网络的故障收敛时间,从而提高网络可靠性;
l 绿色环保。简化二层网络还能降低电力和冷却需求,这对数据中心网络尤为重要。数据中心的二层网络结构示意图如图 4-1 所示:图4-1 二层网络架构设计图
功能分区架构:
l 网络总体规划应遵循区域化、层次化、模块化的设计理念,使网络层次更加清楚、功能更加明确。
l 依据设计理念和设计原则,数据中心网络应根据业务性质或网络设备的作用进行区域划分,通常需要考虑以下几个方面内容:
l 按照网络架构中设备作用的不同,数据中心网络可以划分为核心层、接入层,层次化结构也有利于网络的扩展和维护。
l 综合考虑网络服务中数据应用业务的独立性、各业务的互访关系,以及政府各部门业务的安全隔离要求,数据中心网络在逻辑上还可以划分为外联区(包括:DMZ 区和政务外网服务器区)、网络服务区、高安全业务区、一般业务区(部署网上政务服务及监察系统等)、OA 区(部署政府办公自动化系统)、运行管理区、开发测试区等。
l 按照传输数据业务性质及面向用户的不同,数据中心网络可以划分为内部核心网、专线接入专网以及 Internet/国家电子政务外网接入网等区域。
数据中心的网络功能分区架构如图 4-2 所示。
图4-2 数据中心网络功能分区架构图( 数据中心分区,满足三级等保、按照部门分区)
总体网络架构
数据中心整体网络拓扑如图 4-3 所示。
图4-3 总体网络架构图示意图
数据中心网络遵循模块分区的设计理念。根据政府各部门自身特点,依据业务系统的相关性、数据流的访问要求和系统安全控制的要求等,把数据中心分成外联区(Internet 外联区/政务外联区)、专线接入区和数据中心核心区,外联区的安全级别最低,数据中心核心区安全级别最高。
篇幅有限,无法完全展示,喜欢资料可转发+评论,私信了解更多信息。