海关金关二期华为基础设施云交付实施方案ppt课件.pptx

金关二期基础设施云交付实施方案,整体架构设计详细方案设计资源池设计网络及安全设计服务目录设计周边系统对接应用云化设计用户角色设计运营运维规范可靠性设计绿色节能设计方案设计汇总,汇报提纲,统一管理标准的软件包/脚本，提供规范的开发测试环境，规范应用开发、调测、发布流程,应用开发规范化,基础设施云平台基于SLA按需实现资源配给，标准化应用运行环境,基础环境标准化,基础设施云建设目标,性能横向扩展、容量动态扩缩,资源供给弹性化,异构设备/资源池统一管理，云和非云统一管理，异地多数据中心统一管理，和海关运维系统集成,管理调度统一化,基础设施云总体架构,总署信息中心,广东信息分中心,物理机资源池,高性能资源池,服务管理,用户管理,服务目录,服务请求,流程审批,自助网络,服务自动化,运维管理,告警管理,拓扑管理,性能管理,容量管理,健康分析,风险分析,API,服务层,管理层,基础设施层,资源池层,中性能资源池,物理机资源池,高性能资源池,中性能资源池,提供灵活的服务目录，包括虚拟数据中心、云主机、云磁盘、应用等多种云服务分级SLA服务保障，按需配置,实现基础IT资源的虚拟化和池化，提高IT资源利用率,总署信息中心、广东信息分中心资源充分共享，均衡两地中心资源利用率,建设统一的基础设施资源调度和监控平台，实现总署信息中心和广东信息分中心资源的统一调度和管理实现资源弹性，灵活扩展,备注：电子口岸数据中心的规划方案参考信息中心,低性能资源池,低性能资源池,基础设施云逻辑功能架构,总署信息中心,虚拟化资源池,中性能集群,高性能集群,资源池,服务管理,资源统一管理和调度,管理平台,运维监控,分布式块存储,网络,基础设施,数据库x86服务器,应用云X86服务器,安全设备,负载均衡,SAN,基于策略的服务编排和自动化,监控指挥系统,应用层,进出口企业信用管理系统,加工和保税货物管理系统,物流监控系统,信息资源规划及其系统,移动应用系统,其他应用,虚拟数据中心VDC 1,块存储服务,云主机服务,弹性IP服务,VDC N,云桌面服务,物理机服务,应用服务,XX服务,云服务层,物理机资源池,广东信息分中心,虚拟化资源池,物理机资源池,中性能集群,高性能集群,低性能集群,低性能集群,VPC,VPC,VPC,基础设施云资源和服务设计,数据中心视图,总署信息中心（现状）,总署信息中心机房,对外接入局域网,管理网,综合楼机房,运行网,管理网,联调测试培训环境,基础设施云资源池,基础设施云资源池,基础设施云资源池,生产环境,十八里店机房,研发网,基础设施云资源池,开发测试环境,数据中心视图,总署信息中心（未来）,总署信息中心机房,对外接入局域网,综合楼机房,运行网,管理网,李桥机房,管理网,运行网,研发网,基础设施云资源池,基础设施云资源池,基础设施云资源池,基础设施云资源池,基础设施云资源池,生产环境,十八里店机房,开发测试环境,联调测试培训环境,新建李桥机房，部署管理网、运行网、研发网基础设施云资源池十八里店研发网基础设施云资源池物理搬迁到李桥机房总署信息中心机房管理网基础设施云资源池物理搬迁到李桥机房,联调测试培训环境,数据中心视图,广东信息分中心,广东信息分中心云计算机房,对外接入局域网,管理网,运行网,联调测试培训环境,基础设施云资源池,基础设施云资源池,基础设施云资源池,生产环境,基础设施云软件部署方案,统筹规划：服务、镜像统一规划、资源服务 属地管理：统一监控、设备运维按照属地和站点就近维护,基础设施云平台资源规划,海关总署信息中心基础设施云平台(两中心）,4类特性资源池，高性能资源池、中性能资源池、低性能资源池和物理机资源池7个2个数据中心部署，总署信息中心、广东信息分中心4个网络部署，运行网、管理网、对外接入局域网、研发网,资源池,多个虚拟数据中心，按照业务部门和业务属性（如开发测试）将基础设施资源划分为多个虚拟数据中心,虚拟数据中心,提供1660颗CPU的计算能力，其中本次新增1260颗CPU,云主机,90台物理服务器资源池，支持GBASE、重载数据库（内存数据库、Oracle）、应用支撑平台等不适合虚拟化应用,物理主机,2PB可用容量的分布式块存储若干 FC SAN阵列存储,存储,电子口岸数据中心,电子口岸数据中心基础设施云平台（数据中心）,2个数据中心部署，德胜数据中心、亦庄数据中心3个网络部署，开发网、运行网、联调测试培训网,资源池,3个虚拟数据中心，按照业务类型划分为3个虚拟数据中心（开发测试VDC、核心生产VDC、联调测试培训VDC）,虚拟数据中心,提供120颗CPU的计算能力，其中本次新增40颗CPU，其中生产部署96颗CPU，开发测试部署24颗CPU,云主机,26台物理服务器资源池，支持MQ、Axway交换平台、监控平台、备份平台等不适合虚拟化应用,物理主机,160TB FC SAN阵列存储68005800V3DMX3DMX4,存储,整体架构设计详细方案设计资源池设计网络及安全设计服务目录设计周边系统对接应用云化设计用户角色设计运营运维规范可靠性设计绿色节能设计方案设计汇总,汇报提纲,联调测试培训环境部署在管理网和对外接入局域网，与生产环境共用同一套物理资源池各资源池根据实际需求，可选择部署高性能集群、中性能集群、低性能集群和物理服务器集群广东分中心和北京信心中心目前研发网各自独立，没有打通，广东分中心暂时不用部署研发网资源池,基础设施云资源池设计,总署资源池部署（现状）,说明：总署有三个机房：总署信息中心机房、综合楼机房、十八里店机房。四个网络：对外接入局域网、管理网、运行网、研发网。每个网络有单独的核心交换机。基础设施云资源池部署四个资源池：总署机房对外接入局域网、总署机房管理网、综合楼机房运行网、十八里店机房研发网。,总署资源池部署（演进）,总署信息中心机房,综合楼机房,十八里店机房,互联网,OTN设备,对外接入局域网,管理网,运行网,电子口岸专网,3层互通,管理网,OTN设备,李桥机房,运行网,管理网,OTN设备,研发网,新建李桥机房：新建管理网、运行网资源池，研发网资源池从十八里店机房搬迁至李桥机房。,新增李桥机房后，如果VM迁移时希望IP保持不变。需要的网络条件（管理网为例）为：1、两个机房二层网络相同，即需要李桥-总署机房之间通过OTN设备光纤直连，采用VLAN大二层组网。2、共用总署机房三层网关。3、带宽：需要满足业务需求，重点需要业务评估。建议不低于2*10GE。组网缺点：李桥机房内跨网段访问消息会迂回到总署机房。增加了时延，额外占用机房间带宽。如果跨机房迁移不频繁，建议两机房有单独网关，只满足3层互通即可，手动迁移VM，VM迁移后重新规划IP地址。备注：FM物理机发放的PXE网络需要跨机房二层互通,2层互通,2层互通,广东信息分中心专网,广东信息分中心（旧机房）,广东信息分中心专网,广东信息分中心（云计算机房）,互联网,当前广东信息分中心的云计算机房还没有建设完成，基础设备暂时在旧机房安置，后续会进行物理搬迁。,管理网,管理网,运行网,对外接入局域网,广东分中心资源池部署,资源池详细规划,注：低性能资源池在本期项目建设中主要为利旧设备构建的资源池,基础设施云集群规划原则,基础设施云资源池部署和选择原则,资源集群,基础设施云集群与可用分区整体设计,总署信息中心,北京生产VDC,总署管理网中性能AZ,总署管理网高性能AZ,总署管理网物理资源AZ,总署运行网中性能AZ,总署运行网高性能AZ,总署运行网物理资源AZ,研发网中性能AZ,研发网物理资源AZ,对外接入局域网中性能AZ,广东信息分中心,广东管理网中性能AZ,广东管理网高性能AZ,广东管理网物理资源AZ,广东运行网中性能AZ,广东运行网高性能AZ,广东运行网物理资源AZ,联调测试培训VDC,开发测试VDC,广东生产VDC,低性能集群,中性能集群,高性能集群,物理服务器,运行网,低性能集群,总署管理网低性能AZ,总署运行网低性能AZ,对外接入局域网低性能AZ,VMware高性能集群,总署运行网VMware高性能AZ,通过基础设施云管理平台在运行网VMware资源池部署运行网生产环境新应用；由基础设施云管理平台实现现网VMware资源池的纳管和监控,广东对外接入区域网中性能AZ,高性能集群,广东对外接入区域网网物理资源AZ,广东对外接入网高性能AZ,资源池设计,资源池集群和分区设计 北京生产VDC,总署信息中心机房,李桥机房,综合楼机房,北京生产VDC,在FusionManager规划和配置规划vSphere运行网可用分区，将vSphere运行网资源池资源分配给北京生产VDCvSphere在其他网络的资源池，只通过基础设施云接入和查看,在ServiceCenter租户侧规划和配置规划vSphere运行网VPC，通过北京生产VDC提供在vSphere运行网资源池申请和发放资源的能力,vSphere运行网资源分区,vSphere运行网VPC,资源池设计,资源池集群和分区设计 广东生产VDC,广东信息分中心机房,广东信息分中心对外接入局域网资源分区,FusionStorage,本地存储（SATA）,SAN（SAS、SSD）,广东信息分中心管理网资源分区,FusionStorage,本地存储（SATA）,SAN（SAS、SSD）,vSphere存储,vSphere运行网AZ,vSphere集群,广东信息分中心运行网资源分区,FusionStorage,本地存储（SATA）,SAN（SAS、SSD）,广东生产VDC,在FusionManager规划和配置规划vSphere运行网和管理网可用分区，将vSphere运行网和管理网资源池资源分配给广东生产VDC,在ServiceCenter租户侧规划和配置规划vSphere运行网和管理网VPC，通过广东生产VDC提供在vSphere运行网和管理网资源池申请和发放资源的能力,vSphere运行网VPC,vSphere集群,vSphere管理网AZ,vSphere存储,vSphere管理网VPC,vSphere运行网资源分区,vSphere管理网资源分区,资源池设计,资源池集群和分区设计 联调测试培训VDC,总署信息中心机房,广东信息分中心机房,仿真总署运行网VPC,仿真总署管理网VPC,仿真总署对外接入局域网VPC,仿真广东运行网VPC,联调测试工作区VPC,仿真广东管理网VPC,仿真广东对外接入局域网VPC,联调测试培训VDC,在FusionManager规划和配置,在ServiceCenter租户侧规划和配置,联调测试集群（中性能集群）,联调测试集群（中性能集群）,联调测试集群（中性能集群）,联调测试培训环境的AZ，可以按需分配给生产VDC，实现资源在生产环境和联调测试培训环境之间的共享和复用，提高资源利用率,资源池设计,资源池集群和分区设计 开发测试VDC,李桥机房,总署研发网中性能VPC,总署研发网低性能VPC,开发测试VDC,在FusionManager规划和配置,在ServiceCenter租户侧规划和配置,资源池设计,可用分区规划-总署信息中心,可用分区（Available Zone，简称AZ）中可包含多个集群，1个集群只能隶属一个可用分区1个可用分区中的集群，必须共享相同的分布式虚拟交换机（DVS）1个可用分区中的集群，必须共享相同的后端存储如果不满足上述条件，即使是相同属性的集群，也要分别划分到不同的可用分区规划vSphere运行网可用分区，将vSphere运行网资源池资源分配给北京生产VDC，租户侧可以调度和使用vSphere运行网资源池资源,总署对外接入局域网高性能AZ,总署管理网高性能AZ,综合楼运行网高性能AZ,vSphere运行网AZ,vSphere集群,李桥管理网高性能AZ,李桥运行网高性能AZ,联调测试集群（中性能集群）,联调测试集群（中性能集群）,联调测试集群（中性能集群）,中性能集群,低性能集群,资源池设计,可用分区配置-总署信息中心,资源池设计,可用分区配置-总署信息中心,资源池设计,可用分区配置-总署信息中心,资源池设计,可用分区规划-广东信息分中心,可用分区（Available Zone，简称AZ）中可包含多个集群，1个集群只能隶属一个可用分区1个可用分区中的集群，必须共享相同的分布式虚拟交换机（DVS）1个可用分区中的集群，必须共享相同的后端存储如果不满足上述条件，即使是相同属性的集群，也要分别划分到不同的可用分区规划vSphere运行网和管理网可用分区，以便从租户侧可以调度和使用vSphere运行网和管理网资源池资源,分中心对外接入局域网高性能AZ,分中心管理网高性能AZ,vSphere运行网AZ,vSphere集群,分中心运行网高性能AZ,联调测试集群（中性能集群）,联调测试集群（中性能集群）,联调测试集群（中性能集群）,vSphere管理网AZ,vSphere集群,资源池设计,可用分区配置-广东信息分中心,资源池设计,可用分区配置-广东信息分中心,资源池设计,资源分区规划-总署信息中心 资源分区构建,总署信息中心机房,综合楼机房,总署管理网资源分区,FusionStorage,本地存储（SATA）,SAN（SAS、SSD）,综合楼运行网资源分区,高性能集群,中性能集群,低性能集群,FusionStorage,本地存储（SATA）,SAN（SAS、SSD）,vSphere存储,综合楼运行网高性能AZ,综合楼运行网中性能AZ,综合楼运行网低性能AZ,vSphere运行网AZ,vSphere集群,vSphere运行网资源分区,现阶段，所有网络中的vSphere资源池均接入基础设施云，由基础设施云统一纳管，其中，运行网vSphere资源池由基础设施云统一调度，实现资源的集中发放后续会将除运行网vSphere资源池之外其他的vSphere资源池上的应用和业务逐步迁移到基础设施云,vSphere存储,vSphere集群,vSphere对外接入局域网资源分区,vSphere存储,vSphere集群,vSphere管理网资源分区,李桥机房,资源池设计,资源分区规划-总署信息中心 资源分区配置,资源池设计,资源分区规划-总署信息中心 资源分区配置,资源池设计,资源分区规划-广东信息分中心 资源分区构建,广东信息分中心机房,广东信息分中心对外接入局域网资源分区,FusionStorage,本地存储（SATA）,SAN（SAS、SSD）,广东信息分中心管理网资源分区,FusionStorage,本地存储（SATA）,SAN（SAS、SSD）,vSphere存储,vSphere运行网AZ,vSphere集群,广东信息分中心运行网资源分区,FusionStorage,本地存储（SATA）,SAN（SAS、SSD）,vSphere集群,vSphere管理网AZ,vSphere存储,vSphere运行网资源分区,vSphere管理网资源分区,资源池设计,资源分区规划-广东信息分中心 资源分区配置,资源池设计,资源分区规划-广东信息分中心 资源分区配置,基础设施云,北京生产VDC,开发测试VDC,联调测试培训VDC,应用处理区Subnet管理区Subnet,基础设施云VPC设计,广东生产VDC,仿真运行网VPC,研发网VPC,管理网高性能VPC,运行网高性能VPC,对外接入局域网VPC,管理网中性能VPC,运行网中性能VPC,核心处理区Subnet应用处理区Subnet管理区Subnet,Subnet1Subnet2Subnet3,Subnet1Subnet2Subnet3,Subnet1Subnet2Subnet3,应用处理区Subnet管理区Subnet,核心处理区Subnet应用处理区Subnet管理区Subnet,仿真管理网VPC,Subnet1Subnet2Subnet3,运行网低性能VPC,管理网低性能VPC,资源池设计,VPC规划-整体规划 北京生产VDC,规划vSphere运行网VPC，通过北京生产VDC提供在vSphere运行网资源池申请和发放资源的能力其他网络的vSphere资源池，基础实施云管理 平台暂时只提供接入和纳管能力，资源池不接入VDC,资源池设计,VPC规划-内部网络设计 北京生产VDC,基础设施云区,核心处理区原有网络,应用服务区原有网络,核心交换机,综合楼机房,总署对外接入局域网高性能VPC,总署对外接入局域网中性能VPC,总署对外接入局域网低性能VPC,综合楼管理网高性能VPC,综合楼管理网中性能VPC,综合楼管理网低性能VPC,李桥运行网高性能VPC,李桥运行网中性能VPC,李桥管理网高性能VPC,李桥管理网中性能VPC,李桥管理网低性能VPC,北京生产VDC,总署运行网高性能VPC,核心处理区（直连网络）,应用服务区（直连网络）,总署运行网中性能VPC,核心处理区（直连网络）,应用服务区（直连网络）,总署运行网低性能VPC,核心处理区（直连网络）,应用服务区（直连网络）,vSphere运行网VPC,基础设施云区,运行网,对外接入局域网,基础设施云区,核心处理外部网络,应用服务外部网络,原有网络分区,管理网,总署信息中心机房,外部网络,外部网络（vSphere）,原有网络分区,vSphere网络分区,外部网络,外部网络,外部网络,基础设施云区,原有网络分区,李桥机房,核心交换机,核心交换机,核心交换机,管理网,外部网络,外部网络,李桥运行网低性能VPC,基础设施云区,运行网,外部网络,外部网络,原有网络分区,核心交换机,资源池设计,VPC规划-网络数据规划 北京生产VDC,资源池设计,VPC规划-网络数据规划 北京生产VDC,资源池设计,VPC规划-整体规划 广东生产VDC,vSphere运行网AZ,广东生产VDC,vSphere运行网VPC,vSphere管理网AZ,vSphere管理网VPC,资源池设计,VPC规划-内部网络设计 广东生产VDC,核心处理区原有网络,应用服务区原有网络,核心交换机,广东信息分中心云计算机房,广东生产VDC,广东信息分中心运行网高性能VPC,核心处理区（直连网络）,应用服务区（直连网络）,广东信息分中心运行网中性能VPC,核心处理区（直连网络）,应用服务区（直连网络）,广东信息分中心运行网低性能VPC,核心处理区（直连网络）,应用服务区（直连网络）,基础设施云区,运行网,核心处理外部网络,应用服务外部网络,广东信息分中心对外接入局域网高性能VPC,广东信息分中心对外接入局域网中性能VPC,广东信息分中心对外接入局域网低性能VPC,广东信息分中心管理网高性能VPC,广东信息分中心管理网中性能VPC,广东信息分中心管理网低性能VPC,广东信息分中心vSphere管理网VPC,广东信息分中心vSphere运行网VPC,vSphere外部网络,vSphere网络分区,基础设施云区,原有网络分区,外部网络,外部网络,核心交换机,对外接入局域网,基础设施云区,原有网络分区,外部网络,外部网络,核心交换机,管理网,vSphere外部网络,vSphere网络分区,资源池设计,VPC规划-网络数据规划 广东生产VDC,资源池设计,VPC规划-网络数据规划 广东生产VDC,资源池设计,VPC规划-整体规划 联调测试培训VDC,总署管理网联调测试培训AZ,广东联调测试培训AZ,仿真总署运行网VPC,仿真总署管理网VPC,仿真广东运行网VPC,联调测试工作区VPC,仿真广东管理网VPC,仿真广东对外接入局域网VPC,联调测试培训VDC,联调测试培训环境的AZ，可以按需分配给生产VDC，实现资源在生产环境和联调测试培训环境之间的共享和复用，提高资源利用率,总署对外接入局域网联调测试培训AZ,仿真总署对外接入局域网VPC,资源池设计,VPC规划-内部网络设计 联调测试培训VDC,核心交换机,总署信息中心机房,联调测试培训VDC,基础设施云区,管理网,联调测试运行网外部网络,联调测试管理网外部网络,基础设施云区,原有网络分区,广东信息分中心云计算机房,核心交换机,管理网,外部网络,外部网络,仿真广东运行网VPC,仿真广东管理网VPC,仿真广东对外接入局域网VPC,联调测试接入网外部网络,原有网络分区,基础设施云区,原有网络分区,核心交换机,对外接入局域网,联调测试对外接入局域网外部网络,仿真总署对外接入局域网VPC,应用服务区（直连网络）,资源池设计,VPC规划-网络数据规划 联调测试培训VDC,资源池设计,VPC规划-整体规划 开发测试VDC,总署研发网中性能VPC,总署研发网低性能VPC,开发测试VDC,资源池设计,VPC规划-内部网络设计 开发测试VDC,李桥机房,开发测试VDC,基础设施云区,研发网,原有网络分区,核心交换机,外部网络,外部网络,资源池设计,VPC规划-网络数据规划 开发测试VDC,基础设施云软件实施方案,总署信息中心,十八里店机房,管理网,CNA,李桥机房,CNA,广东信息分中心,广东信息中心机房,管理网,VRM,FSM,VRM,Fusion Storage,对外接入局域网,VRM,FSM,VRM,FS,FM主,FM备,总署信息中心机房,研发网,VRM,FSM,VRM,FM主,FM备,综合楼机房,运行网,VRM,FSM,VRM,FM主,FM备,管理网,VRM,FSM,VRM,FM主,FM备,VRM,FSM,VRM,FM主,FM备,运行网,VRM,FSM,VRM,FM主,FM备,对外接入局域网,CNA,研发网,运行网,FS,FS,FS,FS,FS,VDC划分原则：按属地或业务灵活构建VDC，匹配现有组织结构VDC的资源可从全局多个资源池灵活分配和扩展VDC的资源逻辑隔离，配额独立，各业务系统独立可靠运行,VDC服务，“一个数据中心当多个用”,VDC划分建议：两中心按照部门和业务属性（如开发测试）将基础设施云划分为多个虚拟数据中心业务部署单一业务建议部署在同一属地资源池，不建议跨资源池部署根据属地原则，划分总署生产VDC和广东生产VDC；根据业务属性，划分开发测试VDC和联调测试培训VDC直属海关VDC可以用于直属海关业务部署和已有业务容灾，在需要时进行划分,基础设施云虚拟数据中心（VDC）设计,资源池物理服务器接入标准,资源池SAN存储设备接入标准,资源池分布式存储（服务器）接入标准,资源池网络设备接入标准,资源池安全设备接入标准,整体架构设计详细方案设计资源池设计网络及安全设计服务目录设计周边系统对接应用云化设计用户角色设计运营运维规范可靠性设计绿色节能设计方案设计汇总,汇报提纲,基础设施云安全需求,网络边界（互联网和电子口岸专网）安全需求：防止来自互联网的非法访问和入侵；实施防病毒措施，构建综合防病毒体系，防范病毒及恶意代码通过互联网或电子口岸专网进入基础设施云。防止来自互联网或电子口岸专网的越权访问及攻击，防范来自电子口岸专网终端对基础设施云平台业务系统的应用层攻击。防范跨网的越权访问以及提供逻辑专网的安全数据交换。基础设施云内部安全需求：实现不同安全域之间隔离、安全可控互访；业务系统对用户进行可靠身份认证；具有虚拟化防病毒、虚拟机安全隔离、虚拟机模板加固需求；防止云平台上承载的业务系统可能由于开发人员编码缺陷，引起部分页面未认证造成越权访问、表单参数被SQL注入或跨站攻击等，导致漏洞被黑客提权入侵，进而系统被控制的需求。运维管理安全需求：基础设施云承载海关各部门重要业务系统，防止运维人员进行违规操作，从事前、事中、事后进行全面的监管。实现运维人员安全接入运维需求。实现运维管理高强度安全认证，防范来自运维终端不安全认证带来的安全风险。实现安全日志集中存储、管理、满足日志合规性需求。,网络防护2. 业务隔离3. 安全审计与监控,重点安全需求,总体思路：云平台系统的安全设计在充分利用数据中心网络边界安全、终端安全管控、运维安全审计等项目的基础上，重点考虑云平台内部的虚拟化平台安全、数据和资源隔离等信息安全等级保护的要求。应用系统在迁入云技术平台后，自身的信息安全等级不会改变。应用系统在应用用户身份鉴别，应用数据完整性和保密性保护，应用信息审计，应用软件容错码等要求不变。但主机安全、网络安全层面可与云平台进行结合。,基础设施云安全方案,基础设施云安全域设计,在各网分别规划基础设施云区，在基础设施云区部署基础设施云资源池。基础设施云区逻辑上划分为核心处理区、应用服务区、云管理区。备注：云管理区和各网的管理区不同，为基础设施云管理平面所在网络分区，用于部署基础设施云的管理节点,管理网,基础设施云物理网络拓扑,CSS,汇聚交换机,FW,核心交换机（原管理网核心交换机）,接入交换机,接入交换机,接入交换机,FW,核心处理区,应用服务区,管理区,用户接入区,基础设施云区,已有分区,方案描述：在管理网基础设施云区，部署汇聚交换机和防火墙。网关在汇聚交换机或防火墙。新建的云平台不会对原有业务产生影响,基础设施云安全域设计,运行网,管理网,海关现有网络,方案描述（以管理网为例）：把管理网资源池划分为核心处理区、应用服务区、管理区。管理网资源池各分区间通过虚拟交换机和虚拟防火墙进行隔离。支持对各分区设置访问控制策略，满足等保3级的相关要求。管理网/运行网/对外接入局域网/研发网内的网络分区隔离采用硬件防火墙虚拟化联调测试培训环境的网络分区隔离采用软件虚拟防火墙,海关基础设施云,对外接入局域网,防火墙虚拟化,核心处理区,VS1,VS2,交换机虚拟化,管理区,运行网,防火墙虚拟化,核心处理区,VS1,VS2,交换机虚拟化,管理区,对外接入局域网,应用服务区,应用服务区,管理网,防火墙虚拟化,交换机虚拟化,网络及安全设计-基础设施云隔离方案,Router,管理网资源池,FW,生产VDC,应用服务区Subnet,管理区Subnet,SG1,SG2,核心处理区Subnet,管理网,Router,FW,方案描述：1、每个VDC内，在运行网资源池和管理网资源池分别创建VPC。2、在VPC创建多个Subnet，每个subnet对应一个安全域。隔离方式： 每个安全域间（Subnet）可以通过ACL进行隔离。 同一个Subnet内需要更精细控制时可以通过安全组隔离。,VPC 1,VPC 2,运行网资源池,运行网,应用服务区Subnet,管理区Subnet,SG1,SG2,核心处理区Subnet,备注：考虑性能因素，建议通过硬件交换机、防火墙虚拟化实现网络隔离功能,网络及安全设计-数据流,VPC 1,CSS,汇聚交换机,FW,核心交换机,iStack,接入交换机,iStack,接入交换机,iStack,接入交换机,物理视图,逻辑视图,管理网,FW,核心处理区,应用服务区,管理区,接入区,Router,FW,1、ACL隔离2、安全组隔离,Router,FW,应用服务区Subnet,管理区Subnet,SG1,SG2,核心处理区Subnet,网络及安全设计-数据流,CSS,汇聚交换机,FW,核心交换机,iStack,接入交换机,iStack,接入交换机,iStack,接入交换机,物理视图,逻辑视图,FW,核心处理区,应用服务区,管理区,接入区,Router,FW,1、与其他区域互通,VPC 1,管理网,Router,FW,应用服务区Subnet,管理区Subnet,SG1,SG2,核心处理区Subnet,运维安全：堡垒机方案,CSS,汇聚交换机,FW,核心交换机（原管理网核心交换机）,接入交换机,接入交换机,接入交换机,FW,核心处理区,应用服务区,管理区,基础设施云区,方案描述：在基础设施云区防火墙设置ACL策略，允许堡垒机对远程控制端口进行访问，其他源地址的禁止，需要控制的端口包括：1、管理网段：对云管理平台的访问。2、业务网段：对业务虚拟机windows远程连接（3389）、linux ssh（22）等的访问。以3389端口为例的ACL配置：目的IP 目的端口 源IP 源端口 规则VM IP段 3389 堡垒机IP any permit,堡垒机,阻止用户直接和跳转访问,允许堡垒机的访问,用户接入区,带外管理网方案：方案1,CSS,汇聚交换机,核心交换机,接入交换机,接入交换机,业务,管理平面,带外管理,CSS,汇聚交换机,核心交换机,接入交换机,管理网,带外管理网,运行网,CSS,汇聚交换机,管理区,用户接入区,方案描述：1、增加带外管理网，带外管理网内部署接入交换机和汇聚交换机。2、在带外管理网内规划服务器BMC VLAN，用于服务器BMC接入。3、在带外管理网规划带内管理平面 VLAN，用于存储、网络等设备管理平面接入。4、在管理网增加KVM设备，带外管理网增加堡垒机，KVM与堡垒机之间通过键盘、鼠标、显示器线缆相连。对设备要求（包括原有设备和新增设备）：1、服务器有BMC网口，用于服务器带外管理。2、要求存储、网络设备可以通过独立的网口接入到带外管理网。,eSight,KVM线连接,KVM,堡垒机,带外管理网方案：方案2,CSS,汇聚交换机,核心交换机,接入交换机,业务,管理平面,带外管理,CSS,汇聚交换机,核心交换机,接入交换机,管理网,运行网,管理区,用户接入区,方案描述：1、不新增带外管理网2、在运行网、管理网等内分别规划服务器BMC VLAN，用于服务器BMC接入。3、在运行网、管理网等内分别规划带内管理 VLAN，用于存储、网络等设备管理平面接入。4、eSight部署在管理网的管理区，管理网、运行网、对外接入局域网的带外管理网段、带内管理网段网络能够互通。对设备要求（包括原有设备和新增设备）：1、服务器有BMC网口，用于服务器带外管理。2、要求存储、网络设备可以通过独立的网口连接管理VLAN（或共用业务VLAN）。,eSight,带外管理VLAN,带内管理VLAN,带外管理VLAN,带内管理VLAN,安全交换平台,带外管理网方案对比,整体架构设计详细方案设计资源池设计网络及安全设计服务目录设计周边系统对接应用云化设计用户角色设计运营运维规范可靠性设计绿色节能设计方案设计汇总,汇报提纲,自定义服务,开发测试服务,.NET开发测试环境,java开发测试环境,生产服务,生产应用服务,服务定义,服务编排,服务发布,服务回收,服务目录,基础服务,服务变更,服务申请,基础设施云服务目录整体设计,云主机服务,云桌面服务,物理机服务,云硬盘服务,弹性IP服务,vAPP服务,VDC服务,基础设施云服务目录设计,统一的基础服务,自定义服务,基础服务,云主机服务,桌面云服务,物理机服务,云硬盘服务,弹性IP服务,vAPP服务,VDC服务,数据库服务中间件服务.,生产应用服务,数据库服务中间件服务.,生产应用服务,数据库服务中间件服务.,开发测试服务,注：备份作为虚拟机、vApp、物理服务器的配置参数，不作为服务在服务目录中提供。,数据库服务中间件服务.,联调测试服务,通过云主机/物理机规格标准化实现基础资源池标准化,云主机标准化规格,基础设施云服务标准化,物理机机标准化规格,软件环境标准化,基础设施云服务标准化,通过镜像标准化实现基础设施云软件环境标准化,标准化思路：通过每种软件的双版本迭代更新，保证业务版本更新的节奏和环境的标准化,云服务设计：自定义服务,根据应用需求，通过基础服务的组合和编排自定义服务，实现应用的快速上线和环境标准化。,中标麒麟物理机,Oracle镜像,中标麒麟Oracle数据库服务,中标麒麟云主机,WebLogic镜像,中标麒麟WebLogic服务,Windows云主机,IIS镜像,Windows IIS中间件服务,Windows物理机,SQLServer数据库镜像,SQLServer数据库服务,.,基础和自定义服务组合,自定义服务,标准化配置和脚本,注：软件只有支持静默安装，才能实现应用的自动化部署,Windows云主机,SQLServer数据库镜像,SQLServer数据库服务,云服务设计：标准环境,根据开发测试环境需求，通过自定义服务实现开发测试、生产环境标准化和快速部署，提升开发测试和生产环境业务部署效率。,生产环境(.net),开发测试环境(java),生产环境(java),开发测试环境(.net),云服务设计：服务能力汇总,备注：通过基础设施云物理机服务为GBASE和HANA发放物理机并自动安装操作系统 由基础设施云实现GBASE和HANA物理机的监控和纳管 运维服务主要提供管理使用，不通过服务目录呈现 安全服务指提供基础设施云和安管平台的对接,整体架构设计详细方案设计资源池设计网络及安全设计服务目录设计周边系统对接应用云化设计用户角色设计运营运维规范可靠性设计绿色节能设计方案设计汇总,汇报提纲,基础设施云与外围系统集成方案设计,海关基础设施云管理平台,海关现有平台,海关运维管理平台,安全管理平台,三统一平台,安全日志,认证鉴权SSO集成,VMWare桌面云,桌面业务发放,服务器,存储设备,网络设备,虚拟化平台,SNMP/IPMI/PXE,SNMP/SMI-S,SNMP/SSH,REST/SOAP,NBU备份,备份业务发放,CMDB信息告警性能服务申请审批虚拟机重启,三统一对接方案,SC,OCCas server,FMCas Client,eSightCas Client,FMCas Client,eSightCas Client,北京总署,广东分中心,三统一,SSO,AD,AD,认证,认证,运营侧：SC对接三统一，通过三统一实现单点登录，达到海关审批流程免认证的过程运维侧：OC对接海关多个AD，对云平台内提供单点登录能力。,三统一对接,三统一对接,认证（电子口岸特有）,认证（电子口岸特有）,基础设施云和“三统一”对接原则和流程,对接原则：开户：统一在三统一上进行。用户登录页面认证：统一在三统一上进行。授权：云平台单独授权：授权账号在云平台上的角色(系统管理员或者VDC管理员)以及与VDC的对应关系；云平台需要根据用户角色对业务进行鉴权，如：系统管理员不能使用VDC的资源（如虚拟机、VPC等）；云平台需要根据用户权限，来确定对资源的访问策略，来实现VDC资源的访问控制。对接流程：开户授权人员在三统一上的开户管理员对该账号进行云平台授权注：开户流程涵盖云平台与三统一对接后，三统一已有账号的授权以及对接完成后新用户的开户，因为对云平台来讲都是针对三统一上已存在账号的授权。,三统一对接,三统一对接,AD,运维侧三统一对接流程,三统一对接,3、从三统一删除用户,2、三统一用户登录,1、从三统一开户,OC,云平台管理员,AD,1.1、添加第三方用户（用户名，角色）,1.2、用户查 询接口,2.1、输入ManageOne OC系统登陆Portal,三统一用户,2.2、认证登录(用户名、密码),检查用户名是否存在，根据用户所在的域决定连哪个AD服务器,删除该用户（用户名）,针对三统一上已存在账号授权,删除该用户（用户名）,2.3、OC页面,运营侧与三统一对接流程,3、从三统一删除用户,2、三统一用户登录,1、从三统一开户,ManageOne（SC）,SC系统管理员,三统一,1.2、用户查 询接口,2.1、输入ManageOne SC系统登陆Portal,三统一用户,2.3、认证登录,检查用户名是否存在,取消授权,2.5、SC页面,2.4、判断该账号是否本地授权,1.1、添加第三方用户（用户名，角色以及VDC关系）,即针对三统一上已存在账号授权,2.2、返回三统一登录页面,删除账号,三统一对接,运管平台对接方案,运管平台对接,说明：运管平台在海关是分布式部署，云平台本次只对接信息中心节点，运管平台多节点之间的信息同步由运管平台自己完成。,运管平台对接,运管平台对接场景1：CMDB、告警、性能信息同步,运管平台,基础设施云平台(OC),对象数据抽取（Rest）,告警上报（Rest）,性能数据抽取（Rest）,运管平台Rest接口认证机制：用户名加密码，固定分配的机机帐号,运管平台对接场景2：服务审批集成,运管平台,基础设施云平台(SC),生成审批单,发放服务实例,云平台管理员,申请服务,三统一用户,审批,完成审批（JMS通知）,返回(运管平台变更单号),配置信息同步（参