1、XX 区教育城域网及资源中心规划方案 保密1 杭州华三通信技术有限公司 三通两平台整体方案规划二 O 一二年十一月XX 区教育城域网及资源中心规划方案 保密2 杭州华三通信技术有限公司 目 录第 1 章 . 现状及需求分析 41.1. 项目建设背景 41.2. 应用发展规划 41.2.1. 专递课堂 .41.2.2. 名师课堂 .51.2.3. 网络协作教研 .51.2.4. 资源类应用 .61.2.5. 互动教学 .61.2.6. 教育管理平台 .61.3. 建设内容 61.3.1. 三通两平台一中心 .6第 2 章 . 城域网及资源中心方案整体设计 102.1. 设计原则与思路 102.2
2、. 整体解决方案 12第 3 章 . 功能分区详细设计 143.1. 云数据中心 资源中心设计 .143.1.1. 云平台数据中心建设目标 .143.1.2. 数据中心云平台设计原则 .163.1.3. 数据中心云平台总体设计 .173.1.4. 云平台基础承载设计 .203.1.5. 云平台计算资源池设计 .253.1.6. 存储设计 .283.1.7. 虚拟化平台设计 .303.1.8. 云平台系统设计 .363.2. 云通道建设 城域网/校校通方案 .443.2.1. 需求分析 .443.2.2. 链路选择 .443.2.3. 方案设计 .453.3. 云接入建设 班班通方案 .52XX
3、 区教育城域网及资源中心规划方案 保密3 杭州华三通信技术有限公司 3.3.1. 需求分析 .523.3.2. 网络方案设计 .533.3.3. 身份认证方案设计 .553.4. 云管理规划 整网运维方案 .583.4.1. 系统安全管理 .583.4.2. 资源管理 .593.4.3. 拓扑管理 .613.4.4. 故障(告警/事件)管理 .643.4.5. 告警深度关联分析与统计 .653.4.6. 性能管理 .703.4.7. 设备管理组件 .73第 4 章 . 方案报价 75第 5 章 . 案例参考 755.1. 无锡教育云 75XX 区教育城域网及资源中心规划方案 保密4 杭州华三通
4、信技术有限公司 第 1 章. 现状及需求分析1.1. 项目建设背景上世纪九十年代以来,通过一系列重大工程和政策措施,我区的教育信息化发展奠定了一定的基础。随着教育模式的改革和新技术的不断涌现,信息化教学的应用不断拓展和深入,教学资源不断丰富,教育信息化在促进教育公平、提高教育质量、创新教育模式领域的支撑和带动作用初步显现。教育规划纲要明确提出了信息化目标,即建成人人可享有优质教育资源的信息化学习环境,基本形成学习型社会的信息化支撑服务体系,基本实现所有地区和各级各类学校宽带网络的全面覆盖,教育管理信息化水平显著提高,信息技术与教育融合发展的水平显著提升。1.2. 应用发展规划应用发展是十二五期
5、间信息化建设的关键内容,建设与教学融合的应用体系是应用规划的目标。结合目前国内外的先进经验,我区拟规划以下应用内容。1.2.1. 专递课堂同步课堂:同步课堂基于 XX 区资源中心提供的机构空间、学校空间、教师空间进行。1 个播出教室和1-5 个接收教室构成一个虚拟课堂。教育局在其空间内,利用同步课堂组织管理工具,统一组织播出学校和接收学校,统一安排虚拟课堂课表,并组织教学。播出学校和接收学校也可自行配对,在其空间内向教育局提出申请。推送资源:XX 区教育城域网及资源中心规划方案 保密5 杭州华三通信技术有限公司 区资源中心根据教师需求情况将支持课堂教学的优质资源包推送到教师空间,帮助教师备课、
6、上课、进行教学评价。教师在教学活动中生成的资源可以提供到国家数字教育资源公共服务平台上进行共享。探究性学习:区资源中心通过推送探究性学习工具和资源,提供智能导航帮助教师开展探究式、讨论式、参与式教学,帮助学生增强运用信息技术分析解决问题的能力,学会学习。帮助教师运用探究学习模式开展日常学科教学。学生也可利用相应工具自行组织探究性学习。1.2.2. 名师课堂名师讲堂:名师讲堂模式主要用于名师讲解学科重点难点,帮助学生更好地达成学习目标。讲授内容以各学科和专业课程章节重难点和期末总结为主。名师导学:名师导学模式通过将教师课堂讲授与智能学习系统(“名师”)的诊断与导学相结合,实现差异化教学和个性化指
7、导,提高学生学习能力。1.2.3. 网络协作教研跨校网络协作教研跨区域网络协作教研模式是利用国家数字教育资源公共服务平台提供的虚拟教研社区功能,组织不同区域教师开展协作教研活动,实现交流学习、优势互补、共同提高。名师工作室XX 区教育城域网及资源中心规划方案 保密6 杭州华三通信技术有限公司 名师工作室模式用于有组织地开放以特级教师和学科骨干教师本人命名的教师空间,为广大教师有针对性的选择与自己教育教学相关的专家或专家团队进行持续的教学科研提供服务。1.2.4. 资源类应用在区资源中心以自建、学校提供、企业提供等多种方式将传统知识点和学习内容电子化,以趣味、生动的方式呈现,提高学生学习兴趣和理
8、解能力。1.2.5. 互动教学在教学过程中融入互动的体验,远程学习(名师讲堂类)时学生与老师远程互动,教学过程中与家长互动等。1.2.6. 教育管理平台将传统的 OA 办公、学籍管理、考勤系统、考核系统、行政办公系统、E-Mail 等管理类系统统一为教育门户,提供一体化的教育管理工作平台。1.3. 建设内容1.3.1. 三通两平台一中心两个平台,一个中心所有的应用规划从对象角度来区分可以分为两大平台,一个是教学资源公共服务平台,一个是教育管理公共服务平台。两平台均以应用软件方式呈现,需要一个统一的硬件数据中心来承载,所以建设的首要内容就是“两个平台,一个中心”。XX 区教育城域网及资源中心规划
9、方案 保密7 杭州华三通信技术有限公司 资源到校校校通两大平台的内容统称为“资源”,资源区内学校共享的财富,实现共享的手段就是将资源送到学校,也就是通过网络实现学校与教育局资源中心的连接,也即传统校校通的建设部分。XX 区教育城域网及资源中心规划方案 保密8 杭州华三通信技术有限公司 资源到班级 班班通让学生在教室就能使用优质的教学资源,实现与远程名师的在线互动,就是资源到班级的建设内容。包括多媒体教室,无线网络覆盖班级实现班班通。XX 区教育城域网及资源中心规划方案 保密9 杭州华三通信技术有限公司 资源到个人 人人通学生放学后依然能使用教学资源,老师在家、出差时期也能便捷使用备课系统,家长
10、辅导学生等应用场景的实现,就是建设人人通空间,学生、家长、老师都能随时随地访问的内容。XX 区教育城域网及资源中心规划方案 保密10 杭州华三通信技术有限公司 第 2 章. 城域网及资源中心方案整体设计2.1. 设计原则与思路城域网及资源中心的建设原则是能够高效、安全、绿色的支撑应用系统的使用,相比传统城域网建设,体现在几个层面的变化:1、 数据中心的形成相比传统服务器部署而言,资源中心的建设要求有统一的数据中心来承载两大平台的运行2、 虚拟化的使用为了整合资源中心的硬件资源,会大量使用虚拟化技术来建设弹性的资源池;3、 应用类型对网络带宽的消耗应用的规划以动画、视频、互动等大流量应用为主,相
11、比传统网络带宽要求提升 1020倍;XX 区教育城域网及资源中心规划方案 保密11 杭州华三通信技术有限公司 4、 用户规模的剧增资源的使用者增加了学生,相比传统只有老师使用的环境,用户规模增加了 1020 倍;5、 流量模型的变化用户的访问模型以学校访问资源中心的流量为主,基本上为纵向流量;6、 允许断网时间的变化教学系统上网意味着对网络可靠性的要求提高,允许断网时间应该控制在分钟级别;所以在城域网和资源中心的设计上需要遵循以下原则:高性能骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息(视频、动画)的高质量传输,才能使网络不成为业务开展的瓶颈。高可靠
12、性网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,设备充分考虑冗余、容错能力;合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。网络设备在出现故障时应便于诊断和排除,充分体现计算机网络的高可靠性。安全性制订统一的网络安全策略,整体考虑网络平台的安全性,保证师生能够安全、绿色的使用资源。独立性学校与教育局之间采用公网连接会导致一些应用系统的不可用(比如名师讲堂、双向教学等),而且公网连接也使得网络不安全、不可控等隐患,所以教育局与学校之间应该采用裸光纤或者 VPN 方式连接;技术先进性和实用性 在保证满足校园业务
13、、应用系统业务的同时,要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑网络应用的现状和未来发展趋势。标准开放性 支持国际上通用的网络协议、路由协议等开放的协议标准,有利于保证与其它网络(如中国教育网、公共数据网、学校之间等其它网络) 之间的平滑连接互通,以及将来网络的扩展。XX 区教育城域网及资源中心规划方案 保密12 杭州华三通信技术有限公司 灵活性及可扩展性 根据未来业务的增长和变化,网络可以平滑地扩充和升级,最大程度的减少对网络架构和现有设备的调整。可管理性对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端
14、口等的管理、流量统计分析,及可提供故障自动报警。强 QOS、强组播特性城域网因为对视频、音频等多媒体业务的需求较大,所以整个网络具有较完善的 QOS 特性对教育网而言就显得尤为重要。能不能对关键业务进行带宽优先保证尤其是那些对时延敏感的业务进行保证是教育网必须考虑的一个重点,为实现区别服务,整网端到端的 QOS 特性机制是优质网络业务的保证。另外组播特性对于有效的保证多媒体流传输性能和节省带宽也有非常重要的意义,基于组播的控制特性也会进一步保证组播流的控制、管理和安全,从而为实现教育城域网的多业务支持提供保障。兼容性和经济性 兼容性,能够最大限度地保证学校现有各种计算机软、硬件资源的可用性和连
15、续性,为不同的现存网络提供互联和升级的手段(如现有的双向教学系统),保证各种在用计算机系统(包括工作站、服务器和微机等设备)的互连入网,充分利用现有网络资源,发挥主干网的优势。经济性,就是在充分利用现有资源的情况下,最大限度地降低网络系统的总体投资,有计划、有步骤地实施,在保证网络整体性能的前提下,充分利用现有设备或做必要的升级。2.2. 整体解决方案XX 区教育城域网的整体网络拓扑如下图所示:XX 区教育城域网及资源中心规划方案 保密13 杭州华三通信技术有限公司 整个网络分为接入层(学校)、核心层、管理中心、电教馆办公网、城域网资源中心以及网络出口等 6 个模块。接入层在接入层,每个学校的
16、出口采用一台统一威胁管理设备 U200 作为出口网关,通过运营商分配的专用线路连接到区教育局的网络核心。核心层在核心层采用两台 H3C S10508 核心交换机,通过 IRF2 技术虚拟成一台,以保证网络核心的可靠性,同时成倍提升网络性能。核心交换机上除了提供连接各功能区所必须的以太网接口外,还部署防火墙、IPS、流量分析等多种业务插卡,为整个教育城域网提供安全保障。管理中心XX 区教育城域网及资源中心规划方案 保密14 杭州华三通信技术有限公司 管理中心作为整个教育城域网的总指挥部,部署网络管理系统、安全管理系统、虚拟化管理平台等管理系统,以便于管理人员对整个城域网进行统一规划和管理。电教馆
17、办公网电教馆办公网作为城域网的一个单位接入城域网核心。同样考虑到安全性和可管理性,建议在办公网出口处部署一台 U200。资源服务区在资源服务区,通过虚拟化技术建立计算资源池和存储资源池,为教育资源平台动态分配硬件资源,从而提高硬件资源的可靠性和可扩展性。资源服务区通过若干台(依据具体服务器数量而定)数据中心级接入交换机与城域网核心相连,构成教育资源平台和各个教育单位数据互通的通道。出口区整个教育城域网将拥有两个网络出口,一个连接到教育城域网中心,一个连接到互联网,作为整个教育城域网公网出口。第 3 章. 功能分区详细设计3.1. 云数据中心资源中心设计3.1.1. 云平台数据中心建设目标XX
18、区城域网数据中心是数据大集中而形成的集成 IT 应用环境,它是各种 IT 业务和应用服务的提供中心,是数据运算/交换/存储的中心,实现对用户的数据、应用程序、物理构架的全面或部分进行整合和集中管理。数据中心的建设中,存储系统的建设和完善贯穿始终,这和当前应XX 区教育城域网及资源中心规划方案 保密15 杭州华三通信技术有限公司 用系统建设的重点是相一致的。不论是各种数字资源,还是需要备份保存的业务数据,其中心内容都是对于信息(数据)的管理和使用。本方案将云数据中心“IT基础设施”的“按需使用”以及”自动化管理和调度”作为云计算的实践,形成可落地实施的、可持续发展的云计算平台,即IaaS云计算平
19、台,为XX区旗下中小学提供服务集中以及按需使用服务,简化各个学校的IT管理,实现XX区教育资源的统一整合与管理。作为教育云计算实践,云计算数据中心的建设建议达到以下目标: 通过标准化、虚拟化的资源池部署,提高整体IT基础设施资源利用率; 实现IT基础设施资源的自助化服务,按需申请,按需供给,实现面向最终用户的云服务模式; 实现IT基础设施资源的自动化部署及流程化管理,并可利用云计算管理平台对资源进行可视、全面的监、管、控,简化日常运维的管理流程、降低维护成本; 在实现可落地的云实践的基础上,保留未来向更高层次的云计算实践发展的可能,如SaaS和XX 区教育城域网及资源中心规划方案 保密16 杭
20、州华三通信技术有限公司 PaaS相关应用等;3.1.2. 数据中心云平台设计原则1. 兼容与互通当前阶段云计算整个产业化还不够成熟,相关标准还不完善。为保证多厂商的良好兼容性,避免厂商技术锁定,方案的设计充分保证与第三方厂商设备保持良好的对接。此外,为保证方案的前瞻性,设备的选型应充分考虑对已有的云计算相关标准(如 EVB/802.1Qbg 等)的扩展支持能力,保证良好的先进性,以适应未来的技术发展。2. 业务高可用云计算平台作为承载未来教育城域网以及各个校园应用的重要 IT 基础设施,伴随着数据与业务的集中,云计算平台的建设及运维给信息部门带来了巨大的压力,因此平台的建设从基础资源池(计算、
21、存储、网络)、虚拟化平台、云平台等多个层面充分考虑业务的高可用,基础单元出现故障后业务应用能够迅速进行切换与迁移,用户无感知,保证业务的连续性。3. 统一管理与自动化云计算的最终目标是要实现系统的按需运营,多种服务的开通,而这依赖于对计算、存储、网络资源的调度和分配,同时提供用户管理、组织管理、工作流管理、自助 Protal 界面等。从用户资源的申请、审批到分配部署的智能化。管理系统不仅要实现对传统的物理资源和新的虚拟资源进行管理,还要从全局而非割裂地管理资源,因此统一管理与自动化将成为必然趋势。4. 开放接口XX 区教育城域网及资源中心规划方案 保密17 杭州华三通信技术有限公司 传统的管理
22、系统与上层系统对接,注重故障的上报和信息的查询。而云计算的管理系统更关注如何实现自动化的部署,在接口方面更关注资源调度和分配,这就需要管理系统在业务调度方面实现开放。为保证服务器、存储、网络等资源能够被云计算运营平台良好的调度与管理,要求系统提供开放的 API 接口,云计算运营管理平台能够通过 API 接口、命令行脚本实现对设备的配置与策略下发联动。同时云平台也提供开放的 API 接口,未来可以基于这些接口进行二次定制开放,将云管理平台与教育城域网应用相融合,实现面向云计算的教育应用管理平台。3.1.3. 数据中心云平台总体设计3.1.3.1. 硬件结构XX 区教育城域网及资源中心规划方案 保
23、密18 杭州华三通信技术有限公司 根据本期工程的需求和建设目标云计算平台总体逻辑拓扑结构如上图所示。整个平台由网络资源池、计算资源池、存储资源池、管理中心四部分组成。 网络资源池:采用业界主流的“核心+接入”扁平化组网,核心交换机采用2台H3C S10508设备,部署 IRF2虚拟化技术,并在机框内部署网流分析(NetStream )和防火墙(FW)插卡,实现业务的流量监控和安全隔离防护,外联至现网出口路由器,实现外网互通;接入交换机采用2 台H3C S5820V2设备,部署IRF2虚拟化技术,并启用VEPA功能,实现虚拟化网络感知。 计算资源池:采用20台H3C FlexServer R39
24、0机架服务器,通过H3C Cloud Virtualization Kernel虚拟化平台进行整合构建资源池,在虚拟机上部署业务系统和虚拟XX 区教育城域网及资源中心规划方案 保密19 杭州华三通信技术有限公司 桌面应用。 存储资源池:采用2 台HP LeftHand P4500 iSCSI存储阵列,存放虚拟机镜像文件、配置文件以及业务系统数据。 管理中心:采用2 台H3C FlexServer R390机架服务器,部署H3C iMC DCM数据中心管理套件、H3Cloud软件套件,实现对云计算资源池的统一管理及调度。3.1.3.2. 软件结构此次项目云计算软件平台的总体结构如上图所示,包括虚
25、拟化层、自动化服务层、管理层、业务编排层、API 层:1) 虚拟化层:利用Cloud Virtualization Kernel提供的底层虚拟化能力和上层 Cloud Virtualization XX 区教育城域网及资源中心规划方案 保密20 杭州华三通信技术有限公司 Center提供的管理能力,屏蔽底层物理硬件基础设施的异构性和复杂度,对外以虚拟资源池的形式呈现。2) 自动化服务层:强调业务运行的高可用性和可扩展性,并对业务提供自动的容灾备份与资源调度能力。3) 管理层:对虚拟化资源及云运营要素进行管理,如虚拟机生命周期的管理、虚拟机镜像文件和配置文件的管理、多租户的安全隔离、网络策略配置
26、的管理等。4) 业务编排层:对云计算资源进行可运营性管理,包括对虚拟资源池的编排、最终用户的自助服务门户、业务的申请、审批与开通、用户帐务的管理与报表输出等。5) API层:为第三方云运营管理平台提供RESTful的API接口。上述各层的功能实现分别对应 H3Cloud 软件套件中的 Cloud Intelligence Center、Cloud Virtualization Manager 和 Cloud Virtualization Kernel 三个组件完成: Cloud Virtualization Kernel:虚拟化内核与管理代理运行在基础设施层和上层操作系统之间的“元”操作系统,
27、用于协调上层操作系统对底层硬件资源的访问,减轻软件对硬件设备以及驱动的依赖性,同时对虚拟化运行环境中的硬件兼容性、高可靠性、高可用性、可扩展性、性能优化等问题进行加固处理。 Cloud Virtualization Manager:虚拟化管理软件包主要实现对数据中心内的计算、网络和存储等硬件资源的软件虚拟化,形成虚拟资源池,对上层应用提供自动化服务。其业务范围包括:虚拟计算、虚拟网络、虚拟存储、高可靠性(HA) 、动态资源调度(DRS) 、虚拟机容灾与备份、虚拟机模板管理、集群文件系统、虚拟交换机策略等。 Cloud Intelligence Center:云业务运营软件包由一系列云基础业务模
28、块组成,通过将基础架构资源(包括计算、存储和网络)及其相关策略整合成虚拟数据中心资源池,并允许用户按需消费这些资源,从而构建安全的多租户混合云。XX 区教育城域网及资源中心规划方案 保密21 杭州华三通信技术有限公司 其业务范围包括:组织(虚拟数据中心) 、多租户数据和业务安全、云业务工作流、自助式服务门户、兼容 OpenStack 的 REST API 接口等。3.1.4. 云平台基础承载设计3.1.4.1. 核心层设计数据中心核心交换机需要资源池内部高速交换以及骨干互联工作,建议采用 H3C 数据中心级核心交换机 S10500,主要基于如下考虑: 高性能:核心汇聚层需要与其它外部网络互联,
29、外连接口众多,并且这些外部网络所提供的接入带宽和接入设备都是业界高端设备,所以为了使网络在核心交换区不存在性能瓶颈,采用具备高密万兆的核心交换设备. 整网可靠性:因为城域网数据中心网络业务系统具有高可靠性设计,业务层面最大限度的保障业务转发不中断、不丢包。因此建议在核心交换部分采用主控和交换网板分离的核心交换机,提高网络可靠性,使整网可靠性方面不存在短板。 绿色环保:为了降低机房空调能耗,要求核心交换机采用竖插槽,前下部进风、上后部抽风、强迫风散热形式。要求通过 RoHS、CE 等国际环保认证。核心层部署 IRF2.0 协议将两台 S10508 虚拟化成逻辑的 1 台交换机实现了跨 S1050
30、8 链路聚合,通过虚拟化后的逻辑设备与下行接入层交换机 5830V2 进行互联,最终实现了核心S10508 与接入 5830 之间逻辑点对点连接后消除环路的同时避免部署 STP 和 VRRP 协议。XX 区教育城域网及资源中心规划方案 保密22 杭州华三通信技术有限公司 3.1.4.2. 接入层设计接入层交换机采用全万兆云平台接入交换机 H3C 5830V2。未来每台服务器将会部署多台虚拟资源对外响应业务,考虑到每个业务能够保证访问的带宽要求,建议每台计算资源服务器与接入交换万兆互联,同时每台接入层交换机采用 2 个 10GE 接口与核心交换机相连,保证数据中心互访的高效。3.1.4.3. 网
31、络安全设计为了应对云计算环境下的流量模型变化,安全防护体系的部署需要朝着高性能的方向调整。在本次项目的建设过程中,多条高速链路汇聚成的大流量已经比较普遍,在这种情况下,安全设备必然要具备对高密度的 10GE 甚至 100G 接口的处理能力;无论是独立的机架式安全设备,还是配合数据中心高端交换机的各种安全业务引擎,都可以根据用户的云规模和建设思路进行合理配置;同时,考虑到云计算环境的业务永续性,设备的部署必须要考虑到高可靠性的支持,诸如双机热备、配置同步、电源风扇的冗余、链路捆绑聚合、硬件 BYPASS 等特性,真正实现大流量汇聚情况下的基础安全防护。目前,虚拟化已经成为云计算提供“按需服务”的
32、关键技术手段,包括基础网络架构、存储资源、计算资源以及应用资源都已经在支持虚拟化方面向前迈进了一大步,只有基于这种虚拟化技术,才可能根据不同用户的需求,提供个性化的存储计算及应用资源的合理分配,并利用虚拟化实例间的逻辑隔离实现不同用户之间的数据安全。安全无论是作为基础的网络架构,还是基于XX 区教育城域网及资源中心规划方案 保密23 杭州华三通信技术有限公司 安全即服务的理念,都需要支持虚拟化,这样才能实现端到端的虚拟化计算。典型的示意图如图所示:本次项目防火墙插卡设备虽然部署在交换机框中,但仍然可以看作是一个独立的设备。它通过交换机内部的 10GE 接口与网络设备相连,它可以部署为 2 层透
33、明设备和三层路由设备。防火墙与交换机之间的三层部署方式与传统盒式设备类似。 如上图 FW 三层部署所示,防火墙可以与宿主交换机直接建立三层连接,也可以与上游或下游设备建立三层连接,不同连接方式取决于用户的访问策略。可以通过静态路由和缺省路由实现三层互通,也可以通过 OSPF 这样的路由协议提供动态的路由机制。如果防火墙部署在服务器区域,可以将防火墙设计为服务器网关设备,这样所有访问服务器的三层流量都将经过防火墙设备,这种部署方式可以提供区域内部服务器之间访问的安全性。XX 区教育城域网及资源中心规划方案 保密24 杭州华三通信技术有限公司 防火墙是网络系统的核心基础防护措施,它可以对整个网络进
34、行网络区域分割,提供基于 IP地址和 TCP/IP 服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(ping of death, land, syn flooding, ping flooding, tear drop)、端口扫描(port scanning)、IP 欺骗(ip spoofing)、IP 盗用等进行有效防护;并提供 NAT 地址转换、流量限制、用户认证、IP 与MAC 绑定等安全增强措施。对于云计算数据中心虚拟机服务网关的选择上,建议根据不同租户的安全需求进行区分对待,不建议将所有网关配置在 FW 上,以分散 FW 的压力,满足租户内的安全域隔离,具体设计如下:对于
35、需要 FW 的业务的租户,网关部署在 vFW 上;对于不需要 FW 的普通租户,网关部署在核心交换机上。安全控制策略:防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;XX 区教育城域网及资源中心规划方案 保密25 杭州华三通信技术有限公司 建议在两台防火墙上设定严格的访问控制规则,配置只有规则允许的 IP 地址或者用户能够访问数据业务网中的指定的资源,严格限制网络用户对数据业务网服务器的资源,以避免网络用户可能会对数据业务网的攻击、非授权访问以及病毒的传播,保护数据业务网的核心数据信息资产;配置防火墙防 DOS/DDOS 功能,对 Land、Sm
36、urf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood 等拒绝服务攻击进行防范,可以实现对各种拒绝服务攻击的有效防范,保证网络带宽;配置防火墙全面攻击防范能力,包括 ARP 欺骗攻击的防范,提供 ARP 主动反向查询、TCP报文标志位不合法攻击防范、超大 ICMP 报文攻击防范、地址/端口扫描的防范、ICMP 重定向或不可达报文控制功能、Tracert 报文控制功能、带路由记录选项 IP 报文控制功能等,全面防范各种网络层的攻击行为;根据需要,配置 IP/MAC 绑定功能,对能够识别 MAC 地址的主机进行链路层控制
37、,实现只有 IP/MAC 匹配的用户才能访问数据业务网中的服务器;其他可选策略:可以启动防火墙身份认证功能,通过内置数据库或者标准 Radius 属性认证,实现对用户身份认证后进行资源访问的授权,进行更细粒度的用户识别和控制;根据需要,在两台防火墙上设置流量控制规则,实现对服务器访问流量的有效管理,有效的避免网络带宽的浪费和滥用,保护关键服务器的网络带宽;根据应用和管理的需要,设置有效工作时间段规则,实现基于时间的访问控制,可以组合时间特性,实现更加灵活的访问控制能力;XX 区教育城域网及资源中心规划方案 保密26 杭州华三通信技术有限公司 在防火墙上进行设置告警策略,利用灵活多样的告警响应手
38、段(E-mail、日志、SNMP 陷阱等),实现攻击行为的告警,有效监控网络应用;启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析;3.1.5. 云平台计算资源池设计服务器是云计算平台的核心,其承担着云计算平台的“计算”功能。对于云计算平台上的服务器,通常都是将相同或者相似类型的服务器组合在一起,作为资源分配的母体,即所谓的服务器资源池。在这个服务器资源池上,再通过安装虚拟化软件,使得其计算资源能以一种虚拟服务器的方式被不同的应用使用。这里所提到的虚拟服务器,是一种逻辑概念。对不同处理器架构的服务器以及不同的虚拟化平台软
39、件,其实现的具体方式不同。在 x86 系列的芯片上,其主要是以常规意义上的 VMware 虚拟机或者 H3Cloud 虚拟机的形式存在。XX 区教育城域网及资源中心规划方案 保密27 杭州华三通信技术有限公司 在搭建服务器资源池之前,首先应该确定资源池的数量和种类,并对服务器进行归类。归类的标准通常是根据服务器的处理器类型、型号、配置、物理位置来决定。对云计算平台而言,属于同一个资源池的服务器,通常就会将其视为一组可互相替代的资源。所以,一般都是将相同处理器、相近型号系列并且配置与物理位置接近的服务器 比如相近型号、物理距离不远的机架式服务器或者刀片服务器。在做资源池规划的时候,也需要考虑其规
40、模和功用。如果单个资源池的规模越大,可以给云计算平台提供更大的灵活性和容错性:更多的应用可以部署在上面,并且单个物理服务器的宕机对整个资源池的影响会更小些。但是同时,太大的规模也会给出口网络吞吐带来更大的压力,各个不同应用之间的干扰也会更大。如果有条件的话,通常推荐先审视一下自身的业务应用。可以考虑将应用分级,将某些级别高的应用尽可能地放在某些独立而规模较小XX 区教育城域网及资源中心规划方案 保密28 杭州华三通信技术有限公司 的资源池内,辅以较高级别的存储设备,并配备高级别的运维值守。而那些级别比较低的应用,则可以被放在那些规模较大的公用资源池(群)中。初期的资源池规划应该涵盖所有可能被纳
41、管到云计算平台的所有服务器资源,包括那些为搭建云计算平台新购置的服务器、校园内部那些目前闲置着的服务器以及那些现有的并正在运行着业务应用的服务器。在云计算平台搭建的初期,那些目前正在为业务系统服务的服务器并不会直接被纳入云计算平台的管辖。但是随着云计算平台的上线和业务系统的逐渐迁移,这些服务器也将逐渐地被并入云计算平台的资源池中。对于 x86 系列的服务器,除了用于生产系统的资源池以外,还需要专门搭建一个测试用资源池,以便云计算平台项目实施过程以及平台上线以后运维过程中使用。在云计算平台搭建完毕以后,服务器资源池可以如下图所示:在云计算平台上线以后,原有非云计算平台上的应用会逐步向云计算平台迁
42、移,空出的服务器资源池也会逐渐并入云计算平台的资源池中。其状态可以用下图所示:XX 区教育城域网及资源中心规划方案 保密29 杭州华三通信技术有限公司 3.1.6. 存储设计对云计算平台存储的规划的出发点应该是应用本身。首先应该考察每个业务应用的优先级,以及其对存储性能、可靠性与灵活性的要求。对那些需要高性能与高可靠性的云计算应用,原则上应该为其或者其所在的资源池配备性能、可靠性较好的高端的存储。而对于那些对灵活性要求较高的业务应用,则应该考虑为其或其所在的资源池配备灵活性比较好的存储虚拟化方案。如果应用足够重要,在设计存储架构的时候还应该考虑存储级别的备份,以对各个节点可能出现的故障做冗余。
43、比如,可以采用双存储交换机互为热备的形式,来防止存储用光纤交换机所出现的故障可能。同样,该资源池后面所拖的存储,也可以采用双存储热备的形式。为该资源池的主存储购置一个型号相同的备用存储服务器并通过磁盘对磁盘的备份方式,对两个存储服务器上的数据进行同步。这样,资源池、交换机和存储服务器的关系可以如下图所示:XX 区教育城域网及资源中心规划方案 保密30 杭州华三通信技术有限公司 对于共享存储资源池,根据具体资源池上所运行的业务类型的特性,也可以考虑为其配备各种类型的存储。对于运行关键应用的生产系统,推荐配备 SAN 架构的存储解决方案。而对非关键应用的生产系统,可以根据预算,灵活地配备 SAN、iSCSI 或者 NAS 的存储解决方案。本地存储设计服务器本地存储用于安装虚拟化平台(如 Cloud Virtualization Manager 和 Cloud Virtualization Kernel)和保存资源池的元数据。本地存储建议配置两块 SAS 硬盘,设置为RAID-1,通过镜像(Mirror)方式防止本地磁盘出现单点故障,以提高 H3Cloud 本身的可用性。远端共享存储设计远端共享存储用于保存所有虚拟机的镜像文件以支持动态迁移、HA 和动态负载均衡等高级功能。共享存储 LUN 容量规划公式如下:LUN 容量 = (Z (X + Y) 1.2)
