XX省电子政务
政务云平台建设方案
(Iaas层设计)1
目录
1.IAAS层总体要求 (6)
2.IAAS服务目录 (9)
2.1计算资源服务 (9)
2.1.1弹性云服务器服务 (9)
2.1.2物理机服务 (13)
2.1.3镜像资源 (15)
2.2存储资源服务 (18)
2.2.1云硬盘服务 (18)
2.2.2对象存储服务 (20)
2.2.3文件存储服务 (23)
2.2.3.4网络资源服务 (25)
2.2.3.4.1VPC服务 (25)
2.2.3.4.2弹性IP服务 (27)
2.2.3.4.3弹性负载均衡服务 (28)
2.2.3.4.4NTP服务 (30)
2.2.3.4.5虚拟网卡服务 (31)
2.2.3.4.6虚拟路由器服务 (32)
2.3物理托管服务 (32)
2.3.1服务定义 (32)
2.3.2服务应用场景 (33)
2.4GPU资源服务 (34)
2.4.1服务定义 (34)
2.4.2服务应用场景 (34)
2.4.3服务能力介绍 (35)
3.IAAS资源设计 (36)
3.1I AA S总体架构设计 (36)
3.1.1虚拟化平台方案设计 (38)
3.1.2OpenStack (54)
3.2计算资源池设计 (56)
3.2.1计算资源池分区和集群设计 (57)
3.2.2政务外网区资源池设计 (58)
3.2.3互联网区资源池设计 (64)
3.2.4测试区资源池设计 (67)
3.2.5计算资源可靠性设计 (67)
3.3存储资源池设计 (68)
3.3.1存储资源池选择 (68)
3.3.2存储资源池分区设计 (69)
3.3.3政务外网区存储资源池设计 (71)
3.3.4互联网区存储资源池设计 (73)
3.3.5存储可靠性设计 (75)
3.3.5.1网络资源建设方案 (76)
3.3.6总体设计方案 (76)
3.3.8政务外网区网络设计 (85)
3.3.9安全数据交换区网络设计 (88)
3.3.10数据中心管理区网络设计 (91)
3.3.11存储区网络设计 (92)
3.3.12专网接入区网络设计 (94)
3.3.13移动网络接入区网络设计 (95)
3.3.14测试区网络设计 (95)
3.3.15安全管理区网络设计 (96)
3.3.16物理托管区 (97)
3.3.17灾备区网络规划 (97)
3.3.18IP地址规划设计 (98)
3.3.19IPV6规划设计 (100)
3.3.20NTP规划设计 (101)
3.3.21DNS规划设计 (102)
3.3.22基于SDN的云网协同方案设计 (103)
4.IAAS资源分阶段建设规模 (113)
4.1计算和存储资源分阶段建设规模 (113)
4.1.1计算资源分阶段建设规模 (113)
4.1.2存储资源分阶段建设规模 (1)
4.2网络分阶段建设方案 (1)
4.2.1网络第一阶段建设规模 (1)
4.2.2网络第二阶段建设规模 (5)
1.IaaS层总体要求
XX“电子政务”政务云平台基础设施建设,通过虚拟化平台和分布式数据中心管理平台,形成逻辑统一的资源池,并通过分布式云数据中心统一管理平台为各委办局单位提供统一的基础设施服务。
XX“电子政务”政务云平台基础设施建设内容如下:
1、使用分布式云计算中心统一管理平台统一管理和调度所有数据中心的计算、存储、网络等资源,实现对政务部门的基础设施服务,并实现对资源使用情况的实时监控、综合分析、快速部署、动态扩展,实现资源高效利用,降低能耗。
2、通过对数据中心网络的合理规划,实现对各委办局单位的面向市民、面向企业、面向各委办局部门间、面向政务人员的各种类型服务的业务承载。并且通过安全设计,搭建满足等保要求的安全环境,能够为政务应用提供各种等保要求的安全环境。
3、应用虚拟化技术实现服务器、存储设备和网络的虚拟化,进一步实现池化、服务化和按需交付,为各委办局单位提供虚拟计算、存储、网络、主机托管等服务,满足各部门个性化的需求。
4、设计统一的灾备保护,能够为各委办局单位提供多种级别的数据备份保护。
图 1-1分布式政务云平台
XX“电子政务”政务云平台为各委办局单位提供统一的基础设施服务,降低了总体投资成本,提高了资源的利用效率,提高了资源发放的速度,提供了更完备的信息安全手段,大大提高了各委办局单位信息化系统上线速度。能够使各委办局单位在信息化建设过程中更加聚焦于业务设计。
本期政务云IaaS平台应满足分级、分域部署,集中管控的需求,从而实现对分布在多个物理位置的资源池的统一纳管,为后续数据中心横向扩容及灾备中心的建立奠定基础。
图 1-2 IaaS层架构
2.IaaS服务目录
2.1计算资源服务
2.1.1弹性云服务器服务
2.1.1.1服务定义
弹性云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,有利于降低IT成本,提升运维效率。
2.1.1.2服务应用场景
ECS弹性云服务器可以使用户在几分钟之内迅速地获得虚拟机设施,并且这些基础设施是弹性的,可以根据需求进行扩展和收缩。ECS 服务适用如下几类场景:
表 2-1 ECS服务适用场景
2.1.1.3服务能力介绍
ECS服务通过web管理控制台,让用户自主的完成服务的开通与关闭,让用户灵活使用ECS服务,达到即开即用,用完归还的目标。
ECS服务具有以下特性:
1、支持多类型,多规格云服务器的选择和变更
支持多类型云服务供选择,可提供“通用型”云服务器满足项目通用需求,同时可提供特色云服务器类型“内存优化型”、“GPU型”等满足个性化需求。项目中可以选择部署的云服务器类型种类,ECS服务类型如下表:
表 2-2 ECS云服务器类型
系统管理员可以根据业务需求自定义每种类型的弹性云服务器规格,建议项目中对业务VM规格进行分类和标准化,合理控制不同规格数量,中小规模项目建议不超过8种规格,大规模项目建议不超过16种规格。支持ECS服务实例的规格变更。
2、支持多种类型云硬盘供选择(例如分布式存储、SAN存储)
每个可用分区内可以选择对应的存储类型,包括分布式存储、SAN存储。可用分区内存储可以划分为多个不同能力的存储池,定义相应的Volume Type,例如可定义为普通IO、高IO、超高IO,供用户申请ECS服务时进行选择;
除系统盘之外,最大还可以支持挂载不少于10块数据盘,每块最大支持32T,满足用户不同的IO以及容量需求;
支持云硬盘的扩容,当磁盘空间不足时,可以通过扩容原有磁盘空间满足需求。
3、网络自定义,自由划分子网、设置网络访问策略
通过VPC(虚拟私有云服务)实现虚拟私有云网络管理,用户可自助规划VPC内网络的IP地址范围。
为每个ECS实例提供私网IP和公网IP,用于不同的连接场景。私网IP可以内部连接使用,每个ECS实例支持同时挂载不少于12张网卡,每张网卡可以在不同的子网内,私网IP可以通过DHCP 分配或指定IP地址;公网IP可以对外连接企业内大网或互联网,可以根据需要申请绑定“EIP”为ECS实例申请公网IP。
4、提供公共镜像能力和私有镜像服务,免安装快速部署操作系统与软件
公共镜像:公共镜像由系统管理员制作并注册到系统中,一般提供常见的标准操作系统镜像,所有用户可见。包含操作系统以及预装的公共应用。
私有镜像:私有镜像服务用于满足用户个性化需求。选择私有镜像创建云主机,可以节省重复配置云主机的时间。私有镜像仅用户自己可见。包含操作系统、预装的公共应用以及用户的私有应用。用户可基于ECS实例或者已有的镜像文件创建私有镜像。
5、提供VNC控制台、远程终端和 API 等多种管理方式
用户可以完全控制自己创建的ECS实例。通过VNC控制台连接终端,解决系统问题,进行各项操作;也可以通过ECS服务控制台、API、命令行等类似工具对服务器进行启动、重启、关机等操作。
6、安全
支持用户申请时指定实例登录方式,ECS实例支持多种登陆方
式(密码、证书),密码防暴力破解,满足用户的登陆安全需求。对于Windows的ECS实例,用户只能使用密码登陆;
支持云硬盘备份,在磁盘故障或数据错误时可快速恢复,使数据更加安全可靠;
支持在ECS控制台上创建一个或多个反亲和性组。在一个反亲和性组中的ECS实例将分配到不同的物理主机上来保证高可用。用户可以把同一应用模块的ECS实例加入反亲和性组,增强应用的可靠性。
2.1.2物理机服务
2.1.2.1服务定义
物理机服务为政务云用户承载一些重载类业务,如数据库、核心业务系统、大数据等,同时实现网络的自动化配置。
2.1.2.2服务应用场景
裸金属服务器服务向用户提供裸金属服务器,裸金属服务器不运行虚拟化层,直接安装用户OS。对于不适合VM部署的应用可以使用裸金属服务器服务,裸金属服务器服务与ECS服务使用场景区别入下:
1、虚拟机部署选择建议
(1)根据业务请求的会话量和处理复杂度,会话量小,复杂度低的业务适合采用虚拟机部署;(2)根据业务系统运行时的资源占用情况,资源占用低的业务适合采用虚拟机部署。
2、裸金属服务器部署选择建议
(1)对服务器运算性能要求特别高,在单个服务器上配置最大计算能力的虚拟机依然不能满足业务应用的计算能力要求;(2)现有软件许可加密方式不支持虚拟化的场景;(3)业务应用对服务器的板卡有特殊要求,且板卡不支持在虚拟化环境中运行;(4)软件厂家不支持虚拟化部署的应用。
2.1.2.3服务能力介绍
裸金属服务器服务通过web管理控制台,让用户自主的完成服务的开通与关闭,让用户灵活使用裸金属服务器,达到即开即用,用完归还的目标。
裸金属服务器服务具有以下功能:
1、裸金属服务器服务极致性能,支持多种实例规格服务
裸金属服务器资源池可根据需要规划多种物理服务器规格(CPU、内存、硬盘)。用户可以根据不同场景的业务需求进行选择不同类型的物理服务器;
裸金属服务器服务实例相对于裸机服务器没有性能损失,专属于单个用户。可以提供显着的计算性能和I/O吞吐量;
快速部署,裸金属服务器服务实例开通不超过30分钟左右,满足用户的紧急需求。
2、支持自助申请和挂载云硬盘
支持云硬盘,除本地硬盘之外,最大还可以支持挂载10块云硬盘,满足用户不同的IO以及容量需求。
3、网络自定义,自由规划裸金属服务器服务IP地址
裸金属服务器服务实例可以与ECS实例规划到同一个VPC(虚拟私有云网络),用户可以方便的管理、配置内部网络;
为每个裸金属服务器服务实例提供公网IP和私网IP,用于不同的连接场景。公网IP可以对外连接互联网;私网IP可以内部连接使用,私网IP地址个数取决于物理服务器的网卡个数。
4、丰富的镜像,免安装快速部署操作系统与软件
公共镜像由管理员制作和注册,所有用户可见。包含操作系统以及预装的公共应用。用户可见根据际情况自助配置应用环境或相关软件。
5、管理
管理方便,用户可以通过web页面或者开放API,同时管理一个、数百个、甚至数千个裸金属服务器服务实例。
6、安全
完全控制,用户可以完全控制自己创建的裸金属实例,拥有每个实例的管理员或者root用户访问权;
裸金属服务器服务实例支持多种登陆方式(密码、证书),密码防暴力破解,满足用户的登陆安全需求。对于Windows的裸金属实例,用户只能使用密码登陆。
2.1.3镜像资源
2.1.
3.1服务定义
镜像服务(Image Management Service)是弹性云主机实例可选择的运行环境模板,一般包括操作系统和预装的软件。通过
镜像,可以在弹性云主机实例上实现应用场景的快速部署。
2.1.
3.2服务应用场景
镜像是弹性云主机实例可选择的运行环境模板,一般包括操作系统和预装的软件(可包括公共应用软件以及用户私有应用软件)。镜像分为公共镜像和私有镜像,镜像应用场景如下:
图 2-1镜像应用场景图
镜像分类如下:
1、公共镜像:公共镜像由系统管理员制作并注册到系统中,一般提供常见的标准操作系统镜像,所有用户可见。包含操作系统以及预装的公共应用。
2、私有镜像:私有镜像用于满足用户个性化需求。选择私有镜像创建云主机,可以节省您重复配置云主机的时间。私有镜像仅用户自己可见。包含操作系统、预装的公共应用以及用户的私有应用。用户可基于ECS实例或者已有的镜像文件创建的私有镜像。
镜像服务(Image Management Service)提供对私有镜像的自助管理能力,用户可以从丰富的公共镜像库中选择或创建私有镜像,快速创建或批量复制弹性云服务器。
2.1.
3.3服务能力介绍
1、创建私有镜像
用户可通过云服务器创建新的私有镜像:私有镜像把裸金属服务器服务实例中的磁盘(仅包括系统盘,不包括数据盘)全部完整的复制到私有镜像中;
上传私有镜像:用户可以将本地的物理镜像文件上传到OBS (OBS,Object Storage Service)服务中,然后在IMS控制台把OBS桶中的文件注册为私有镜像。用户可以在某region导出的私有镜像,上传到另一个region。实现不同Region间使用相同的私有镜像。
2、管理镜像
自定义私有镜像信息:用户可以自定义镜像的名称和描述信息;
共享镜像:当用户将自己的私有镜像共享给其他用户使用时,可以使用镜像服务的共享镜像功能。被共享用户可以使用共享镜像创建 ECS 实例。
导出镜像到本地:用户可以将私有镜像导出到指定OBS桶中并指定导出镜像的格式,导出格式包括VMDK、VHD、QCOW2和ZVHD。用户可以通过对象存储服务将OBS桶中的镜像下载到指定存储。在镜像在导出过程中,不同的导出格式会导致镜像的大小不同。
3、通过私有镜像创建云服务器
用户可以通过已有的私有镜像创建云服务器。使用私有镜像与公共镜像创建云服务器的区别是:私有镜像创建的云服务器包含操作系统、预装的公共应用以及用户的私有应用。
2.2存储资源服务
2.2.1云硬盘服务
2.2.1.1服务定义
云硬盘磁盘可以独立于云主机的生命周期,挂载到同一可用分区下的云主机或者从云主机卸载。用户申请云主机时可以指定容量大小、存储SLA(指定存储介质:SATA、SAS、SSD或Any,存储SLA选项由管理员在资源池下定义)。
2.2.1.2服务应用场景
云硬盘是一种基于分布式架构的,可弹性扩展的虚拟块存储设备。可以在线进行操作,使用方式与传统服务器硬盘完全一致,可以对挂载到云服务器上的云硬盘做格式化、创建文件系统等操作,并对数据持久化存储。同时,云硬盘具有更高的数据可靠性,更高的I/O吞吐能力和更加简单易用等特点,适用于文件系统、数据库或者其他需要块存储设备的系统软件或应用。
云硬盘支持分布式存储和企业存储,并通过选择不同SLA的云硬盘服务实例满足不同业务应用的需求:
NoSQL/关系型数据库(超高IO存储类型):适用于高性能,高读写速率要求,数据密集型应用场景。
数据仓库(超高IO存储类型):满足高带宽吞吐能力的应用场景。
办公应用(通用IO存储类型):适用于大容量、读写速率要求不高、事务性处理较少的应用场景。
2.2.1.3服务能力介绍
云硬盘服务具有以下能力:
1、支持用户自助管理,包括创建、挂载、卸载、删除:
(1)创建单个空白云硬盘:用户可以创建一块云硬盘
(2)挂载云硬盘到云主机:用户可以将一块云硬盘挂载到某个弹性云服务器上
(3)从云主机卸载云硬盘:用户可以把一块已经挂载的云硬盘进行卸载
(4)删除单个云硬盘:用户可以删除一块云硬盘
2、支持不同类型(普通IO、高IO、超高IO)的EVS磁盘,用户可以根据应用场景对IO的需求进行选择;
3、弹性扩容可以随时根据用户的需求扩展磁盘的容量,满足不断增长的业务对更多存储容量的需求;
4、单块系统磁盘大小支持1GB-32TB,数据盘大小支持1GB-32TB,最大限度满足用户对不同存储容量云硬盘的需求。
2.2.2对象存储服务
2.2.2.1服务定义
对象存储服务(OBS,Object Storage Service)是一个基于对象的海量存储服务,为客户提供海量、安全、高可靠、低成本的数据存储能力,包括:创建、修改、删除桶,上传、下载、复制、修改、删除对象等。
2.2.2.2服务应用场景
对象存储服务的应用场景如下:
1、备份/活跃归档
对象存储服务提供了高持久性、高扩展性以及安全的解决方案来备份和归档用户的关键数据。用户可以使用对象存储服务的版本控制功,为存储的数据提供进一步的保护。高持久性、安全的基础设施旨在提供高级数据保护的稳固灾难恢复解决方案,支持第三方备份和归档软件。
图 2-2对象存储应用场景图
2、分布式数据中心内部云服务
如镜像服务IMS、云硬盘备份VBS、RDS数据库等服务,使用对象存储作为各自服务的存储资源池或备份存储等。
对象存储服务的访问方式主要有:
(1)通过对象存储服务租户Console直接上传和下载对象。
(2)对象存储服务支持S3客户端/SDK,第三方程序等通过内外网访问。
(3)同时提供给内部服务,如镜像(公有镜像和私有镜像保存在对象存储),大数据,备份(硬盘备份数据保存在对象存储)等服务作为存储空间。
图 2-3对象存储服务访问方式
2.2.2.3服务能力介绍
1、支持创建、删除、查看桶和 AK/SK密钥。支持桶ACL设置、对象ACL设置和桶策略设置;
2、支持存储资源池在线扩展;