立项申报：数据中心云化建设项目建议书V10.docx

数据中心云化建设项目建议书一、项目简介1.1、项目名称：xx客户数据中心云化建设备选参考： xx客户数据中基础设施池化建设、xx客户数据中心云平台建设。基于云计算的第三代IT平台建设等等1.2、项目建设单位及负责人项目建设单位（通常为集成商）以及项目组织IT部门负责人职务及名称参考：本次项目建设初步有xxx方负责，项目内部负责部门为基础架构部门xxx主管负责，1.3、项目概述（建设整体目标、规模、内容、建设周期以及资金来源和预估）参考：本次信息化改造核心目标在于通过当前主流的虚拟化、云计算以及大数据等IT技术帮助企业最终实现业务数字化转型和创新，同时积极响应国家在互联网+和云计算领域的创新实践要求，进而推动业务模式创新、业务流程优化、服务体验的重构以及企业竞争力的增强，；同时改变现有IT架构存在的一系列问题，并赋予基础架构新的IT特性，包括高性能、弹性扩展、灵活定义，实现IT资产服务化，打造面向内外部IAAS级的资源即服务本次建设规模将最大程度复用现有IT资产，并采购少量计算和存储资源，整体建设周期预估在2-6个月，总计投入资金预估xx万二、需求建设背景及必要性 2.1、现有信息化应用现状和问题分析（重点修改和描述）详细描述现有业务、网络、主机、存储、应用、安全、备份、 运维等装备状况，系统能力和应用情况，及信息化应用存在的主要问题。参考：我司信息化基础设施平台当前主要以“硬件”为核心的多级物理架构；应用系统种类包括普通办公类应用OA、邮件、行政审批；核心生产业务ERP、HIS、PACS、不动产登记以及各类WEB类门户应用，总计超过30多种以上，整个信息化平台在过去xx年内有效支撑了各类业务运行，但是存在的问题和挑战在不断的凸显，主要表现在如下2个方面 2.1.1业务层面面临挑战² 应用孤立运行：当前“一机一应用”模式，不利于系统后续有效整合及协同工作，同时形成的信息孤岛，导致资源利用率低效，据统计我司资源平均利用率不到15%（注意：已经实践了服务器虚拟化，建议删除此条） （给出各种应用对资源占比数据图）² 业务调整困难，新业务上线慢：随着业务的互联网化，流程化、组件丰富化以及新应用的上线，现有固化的“硬件”IT架构主要表现技术分散化、功能硬件化、不具备一体化交付和敏捷上线能力 （给出过去新应用平均上线周期）² 缺乏业务创新、组织流程优化所需要的IT属性；当前业务创新主要停留在业务本身，未能与IT技术实现最佳结合，同时现有的管理流程、业务流程对信息化平台的灵活性、强大性能提出更高要求，而当前IT架构面临最大瓶颈在于缺乏灵活性，同时现有销售决策主要依赖经验，非数据量化驱动，而创新IT技术成为企业业务的数字化转型的核心要素 2.1.2 IT层面面临挑战l 运维管理繁琐，工作量大 当前我司硬件总计xx台，不同品类、品牌设备的堆叠导致机房结构混乱，管理复杂；同时缺乏统一、可视化的全面监控和管理；而存储和各类专业硬件设备对人员的IT技能要求极高，导致日常业务调整和故障带来的人力和时间投入超过50%， l 改造复杂，业务运行影响大硬件堆得式的架构其横向扩展能力较差，而当前某xx业务存储容量和IO性能面临瓶颈，现有存储控制器和盘柜需要更换成高端设备，不但现有资源得不到很好利旧，业务也需要停机迁移；而新业务的上线，需要在不同层面采购设备，在部署、联调，工作量大周期长，业务迁移风险高l 传统架构改造成本高，耗能不断攀升 经调研计算，目前我司部分网络设备、存储和计算层面都需要进行扩容，按照未来3年内的可用性设计，总计需要采购xx台服务器，xx台安全设备、xx台交换机、XXTB存储，总计成本预估在xx万以上，同时对机房空间、制冷、UPS等提出更高要求l 安全防护薄弱，业务和数据可靠性低（根据具体IT需求痛点进行补充）我司当前应用和IT整体可靠性、安全性相对较低，主要表现在2个层面：一是网络、计算和存储主要采用单物理节点运行，没有冗余设计；二是关键应用如财务系统、研发软件开发及代码等敏感性信息无更高的安全防护体系，目前安全主要是依赖互联网出口防火墙实现，难以应对各类新型安全攻击，以及信息被窃取的风险，一旦出现运行过载、宕机、数据丢失和攻击等突发类问题，将导致应用访问不可用，数据丢失等风险 （参考拓扑图） 2.2、IT技术趋势分析：业务数字化转型 当前IT技术水平与同行业、主流技术应用的差距，适应未来业务发展的技术趋势分析从第三方权威机构、本行业内优秀、领导企业实践经验来看，业务数字化转型将成为企业未来建设核心竞争力之一，而数字化的核心在数据和流程，流程的高效运转、数据的有效价值将更多依赖IT实现，从行业当前IT的互联网、移动化、和云化的趋势快速普及来及看，IT正在深度参与到业务中并帮助企业实现创新、转型和市场增长，以“云计算“为代表的第三平台将成为信息化建设的新技术架构，当前我司IT水平处于相对落后阶段，仅限于“被动支撑”无法“主动驱动”业务发展，因为IT主体架构和原则采取是传统建设模型，以“硬件堆叠为主”“计算虚拟化为辅”的设计思想，而云平台主体架构“精简标准化模块”“软件定义” “资源服务化”的设计理念，我们面临不仅仅是需要优化现有IT、更需要应对未来管理和业务层面的快速变化，数字化转型就是IT部门未来要实现的战略方向三、项目建设可行性和原则3.1项目建设的可行性n “云计算“相关技术的成熟商用云计算的核心基础技术是“虚拟化”和“分布式”两种架构，而虚拟化技术成为企业IT云建设的主流选择，服务器虚拟化技术已经实现了超过10年的应用和发展，遵循计算虚拟化的理念，以“超融合架构”为代表的软件定义数据中心SDDC，成为当前数据中心云化建设的热门阶段，其次部分行业领导者已经开始部署自己的云平台，而混合云架构的出现也为数据中心未来发展的方向指明了目标n “现有IT架构”具备改造的基础条件我司当前IT主要分为4层，互联网出口、网络核心接入和汇聚层、应用和计算资源以及后端数据存储，其中围绕应用和网络的4-7类安全设备、优化类设备使用周期超过5年；承载应用的部分服务器使用长达6年以上，面临性能瓶颈，其次当前数据没有实现类似备份的安全保护，这意味着除了互联网出口区域，后端IT基础架构（包括计算、存储、网络）都继续实现优化，而当前虚拟化和云平台技术可以很好复用已有硬件资源实现改造 n 比较经济的建设“时机”我司有接近一半硬件资源面临扩容和替换的需要，继续采购高性能设备投入成本较高；当前在企业级“私有云”市场，各厂商正在产品、技术、服务、价格等方面提供不同差异化优势的方案，在经过前期的预研、对比中我们也了解部分有实力、并具备一流技术和服务能力的厂商进行了评估和咨询，部分方案比较吻合当前我司IT实际问题和未来需要，同时企业级云计算市场格局还未形成，此时规划不但可以解决我们问题，还能获取较经济的建设成本和服务资源3.2项目建设原则根据现有xxx数据中心发展的现状，结合成熟可落地的新兴IT技术，本次xxx企业私有云的总体建设原则如下： 1) 统一规范，长远规划本次建设将遵循统一的平台设计、统一的管理设计、统一的服务设计以，以“软件定义”为核心技术架构，规避“技术绑定”为基础条件，硬件“通用标准化“为目标，实现平台架构的最大化优化和调整，对应未来新业务的上线、日常业务策略调整、基础资源的扩张提供标准的流程2) 成熟稳定，开放合作优先评估并采用成熟、稳定的云化IT技术（超过2年以上实际商业成功应用），保证信息化平台具备有优秀的稳定性和强大处理性能，为主要业务提供 7x24 小时持续的支撑服务；其次选择更具开放性的结构，要求各类系统设计、产品及网络构建都要满足相关的国际标准和国家标准，提供标准结构及接口，有效地兼容各种品牌、厂商、运营商的系统和网络，实现多系统、多平台的互联互通。3) 实用先进、安全可靠本次云平台建设，采纳主流并具备技术前置性的技术架构，并充分考虑用户数据的安全，避免用户受到异常攻击或敏感数据窃取。应能主动评估业务系统的安全状况及提供弥补措施，并提供各种操作行为的可回溯能力。以虚拟化技术为基础，必要时引入分布式存储架构实现高可用；同时，云计算服务管理平台提供资源和服务的各种运维能力，可以监控资源的使用情况，对于平台故障提供及时地预警报警，保证云计算平台的稳定运行4) 利旧整合、按需建设满足资源的随时随地按需分配，充分利旧现有IT硬件资源，建立一个灵活的硬件基础架构。硬件基础架构通常由虚拟的服务器池、共享的存储系统、网络和硬件管理软件组成，并具备极其灵活的弹性扩能力，通过云平台提供自助服务四、项目建设目标及整体规划4.1建设目标和内容本次信息化建设核心在于解决当前IT面临主要问题，并尽可能适配未来业务发展的主流技术需要，通过本次改造以实现如下问题的解决ü 控制 IT 投资成本,包括各类软硬件、机房设备的投资,实现更加精细化的 IT 成本控制; ü 整合当前分散的IT硬件资源，提高资源利用效率，节约机柜、机房空间占用。并实现IT资源模块化建设和横向弹性扩展能力ü 加速项目开发部署和业务需求响应速度,缩短IT基础设施资源的交付周期,进而缩减项目整体实施周期; ü 通过统一管理与运维，通过自动化的云资源运维管理和业务编排，降提升IT部门运营和运维效率从而将更多精力投入业务并提升业务价值，实现IT价值转型。ü 提升当前平台、业务和数据的高可靠性，利用创新IT技术，🙆使得业务连续性服务能力更强，降低业务宕机和数据丢失风险。ü 通过全方位多层级的云安全体系实现等保合规的安全服务，以保障企业业务和数据安全ü 打造终极IT即服务能力，实现IaaS平台，提供面向内外部资源服务化、业务自动化部署、流程自动化建立、平台精细化运营以及大数据分析平台的实现。4.2 整体云平台建设方案规划（3年内目标） 4.2.1本次私有云平台整体的逻辑架构设计如下图根据分层分模块的设计原则，逻辑架构分为五大部分，具体如下：1、基础设施层基础设施层包括运行私有云所需的数据中心机房物理环境，以及计算、存储、网络、安全等硬件设备。同时，云计算数据中心机房仍然按照分区分域的方式进行规划设计，主要分为网络出口区、业务应用区、数据库区和系统管理区，如有其它区域的规划也可以酌情选择；2、抽象控制层抽象控制层主要是通过软件定义的方式，实现所有资源的池化。利用各类虚拟化技术， 将底层硬件抽象，对底层硬件故障进行屏蔽，统一调度计算、存储、网络、安全资源池。利用服务器虚拟化内核，实现了CPU、内存、I/O的虚拟化 ，通过共享文件系统保证云主机的迁移、HA、动态资源调度（DRS）和动态资源扩展（DRX）。而分布式交换机预置的VxLAN技术可以实现多租户的虚拟网络隔离，分布式防火墙可以根据云主机的虚拟网卡提供4层的安全策略。最后，采用分布式存储技术，充分利用服务器内置硬盘资源，构建出完整的存储资源池，多副本（2-3份）技术、热备盘技术等保证了存储数据的高可靠，本地I/O技术、全局条带化技术等提升了存储系统的服务效率。3、云服务层（根据实际需求进行修改）云服务层提供IaaS、PaaS和SaaS三层云服务：ü IaaS服务：包括云主机、云网络（vSubnet/vRouter/vNAT/Domain Name等）、云防火墙、云负载均衡、云数据库及云存储服务。IaaS层服务向PaaS层提供开放API接口调用。ü PaaS服务：包括通用的消息处理队列、通用的中间件（请求代理、事物处理、地理信息）、数据交换平台、开发测试平台，为上层业务应用提供标准统一的平台层服务，并提供API接口和SDK开发包，供SaaS层软件开发与部署调用。ü SaaS服务：主要提供用于业务的企业网站群服务、在线的流程审批、协同办公业务，以及各类新建业务系统等，该服务需由应用软件开发商完成。所有的服务，均通过自助服务门户（定制化的Portal），向各纵向、横向以及外部单位提供自助式的自动化流程交付。企业各部门可利用自服务功能进行各类服务的申请，通过审批后，即可交付所需的各类云资源，并实现远程控制使用。4、云安全防御层云安全防护为物理层、抽象控制层、云服务层提供全方位的安全防护，包括防漏洞扫描、主机防御、网站防御、数据库安全、租户隔离、认证审计、数据安全等多种模块。完成云平台层面的等保需求，各租户的安全建设，根据租户自身的情况酌情选择。5、云运维与管理层云运维与管理层主要面向私有云的管理员，可以更好的对云平台提供给局委办用户的云服务进行配置与管理，例如：服务目录的发布，组织架构（管理）的定义，市局委办用户管理、云业务流程定制设计以及资源的配额与计费策略定义等。同时，还可以提供基础的设备管理、配置管理、镜像管理、备份管理、日志管理、监控管理和报表服务等，充分满足云管理员对云平台的日常运营维护需求。 4.2.2云管理平台整体架构管理平台是整个私有云后台的管理、调度及运维中心。私有云平台，基于自主研发的云计算管理软件架构，而没有利用当前并不成熟且复杂的开源产品，使得有利于跟随市场的真实需求迭代开发产品，极大简化云管的架构和运维工作，同时增强整个平台的稳定性和可靠性，详细架构如下图：通过对租户的分级管理，实现了私有云多级资源灵活分配的需求；通过定制个性化的审批流程，可以满足各类有特殊审批需求的场景；通过对资源的全生命周期管理，可以做到对租户的服务质量实现全面的把控和管理。 4.2.3 私有云详细拓扑架构 具体说明：（根据用户当前业务具体情况进行修改）1. 新增X台设备。所有节点通过新增的TOR交换机连接到核心交换机2. 原有所属VMware虚拟化平台的服务器以及非虚拟化的服务器都无需变更现有网络，即可被aCloud云管平台接管。3. 管理节点部署云管理平台aCloud、网络和计算节点部署相关虚拟化组件包括（服务器虚拟化、存储虚拟化、网络虚拟化及网络功能虚拟化）4. 原有共享存储可实现利旧挂载使用，或者被用于数据备份，以实现最佳的资源最大化保护，数据中心机架服务器、刀片服务器在经评估后，可充分被利旧并纳入云平台资源池中。4.3建设思路和阶段性目标 / 结合建设需求、竞争局面、预算情况进行合理修改/分三期建设（适用中小规模用户，当前以物理架构为主，无明确云管平台、计费、异构管理需求为主）第一期 2017年中上线，目标如下Ø 完成IT基础资源全虚拟化和整合（含计算、存储、网络）Ø 最大化复用现有可用的硬件服务器、外置存储资源Ø 将计划内老旧单服务器上业务系统迁移到资源池平台内Ø 将其他非核心业务系统迁移到资源池内，释放IT压力 Ø 核心生产业务系继续运行在现有IT硬件设备上Ø 原有部署的第三方服务器虚拟化软件可被替换（获取高性价比、服务响应能力和安全自主可控） Ø 通过超融合统一管理平台实现集中、可视化管理，和极简运维第二期 2017年底完成，目标如下Ø 将剩余的业务系统全部迁移到虚拟化平台上Ø 原有外置存储作为数据备份存储资源，最大化复用，提供数据安全性Ø 通过虚拟化进一步整合机房外围性能较低、使用时间较长的网络设备，包括防火墙、负载均衡、VPN等，简化机房架构Ø 新业务上线或者资源需要扩容，通过按需横向弹性扩展方式，现有架构无需调整 第三期，2018年，目标如下Ø 部署aCloud云管平台，通过超融合提供标准API接口实现对接搭建资源服务化平台，可实现计费、运营、资源在线申请等Ø 搭建跨机房容灾数据中心，实现数据中心级别的业务高可用Ø 实现自动化的业务编排、部分应用模板化上线4.4总体设计方案Ø 整体方案架构设计为了实现上述建设的关键需求，通过IT架构的优势，将业务系统效率发挥至极致。通过“云平台 + 云安全方案 + 超融合架构（业务、桌面、接入）”实现了资源、业务、数据的集中承载和统一调度，整体解决方案设计图如下：l 基于统一、规范化、安全性设计，业务实现按区域的划分，总计设计7大业务区域（可根据具体IT和业务规模进行调整）：互联网出口区、内网接入区域、互联网业务区（DMZ）、业务区域、共享区、数据区和管理区，建议互联网和业务区域实现物理隔离，其他各区域之间实现逻辑安全隔离l 在管理区域部署云管理平台，建立全资源、全网络和全数据的可视化监控调度、业务编排和服务资源运营管理，通过集中化能够实现租户的隔离和管理、生命周期管理、运维管理系统、资源及业务的编排、计费审计特性等一些列符合私有云需求的功能特性。通过各类接口像PaaS和SaaS包括大数据进行对接，从而为上层的类各类智慧应用和桌面云，终端云提供统一的底层支撑。最后通过自动化的运维和安全及服务实现端到端的业务交付。l 合理评估、充分利旧原有的硬件资源，将物理服务器实现资源整合，原有外置存储实现管理整合，并支持与虚拟化平台的对接挂载，在数据区域建立分布式和集中式两种共享存储资源池，实现存储架构平滑升级l 在接入和互联网业务区域，利用虚拟化技术，搭建安全资源池，改变过去安全硬件堆叠模式，建立数据南北向安全墙，并支持将安全作为基础设施实现资源服务化交付l 在业务和共享区域通过虚拟化平台承载所有应用，通过部署NFV组件（如下一代防火墙、负载均衡、统一安全接入平台VPN、数据库审计DAS等）实现“东西”流量之间的安全隔离及租户之间的安全保护l 打造扁平化网络和平台化资源池，以模块化构建“极简”数据中心架构降低IT整体拥有成本，提供更加弹性和灵活的IT能力五、一期项目建设方案5.1一期项目建设目标Ø 完成IT基础资源全虚拟化和整合（含计算、存储、网络）Ø 最大化复用现有可用的硬件服务器、外置存储资源Ø 将计划内老旧单服务器上业务系统迁移到资源池平台内Ø 将其他非核心业务系统迁移到资源池内，释放IT压力 Ø 核心生产业务系继续运行在现有IT硬件设备上Ø 原有部署的第三方服务器虚拟化软件可被替换（获取高性价比、服务响应 能力和安全自主可控） Ø 通过超融合统一管理平台实现集中、可视化管理，和极简运维5.2一期项目建设主要技术架构 本期建设规划将选择“超融合”作为底层平台技术架构。超融合架构主要包含三大组件（服务器虚拟化、网络虚拟化、存储虚拟）和一个WEB化管理平台（虚拟化管理平台VMP）。在形态上，可以通过一体机的方式实现开机即用，也可以采用通用X86服务器实现基础架构的承载。配合传统的网交换机（背板带宽和交换容量够用即可）完成整个平台的搭建，无需各种功能复杂、价格昂贵的数据中心级交换机，同时在超融合架构中可以完美融合虚拟化版的安全和4-7层网络功能，大幅度简化的IT架构和总体拥有成本 n 服务器虚拟化： 虚拟化平台作为介于硬件和操作系统之间的软件层，采用裸金属架构的X86虚拟化技术，实现对服务器物理资源的抽象，将CPU、内存、I/O等服务器物理资源转化为一组可统一管理、调度和分配的逻辑资源，并基于这些逻辑资源在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境，实现更高的资源利用率，同时满足应用更加灵活的资源动态分配需求，譬如提供热迁移、HA等高可用特性，实现更低的运营成本、更高的灵活性和更快速的业务响应速度 Ø 高可用为了提升服务器虚拟化系统的高可用性，从如下多维度提供了高可用技术，保障业务的稳定性。Ø 故障迁移（HA）: 虚拟化平台提供虚拟机热迁移和虚拟机热备份技术，降低宕机带来的风险、减少业务中断的时间。虚拟化平台提供Guest OS故障检测功能， 当客户机发生严重故障时 （例如Windows系统蓝屏） ，虚拟机管理程序会监控到客户机故障。虚拟机管理程序可以重启或关闭客户机，从而避免有故障的客户机持续占用计算资源。Ø 热迁移（Motion）:通过热迁移可以实现虚拟机的在线动态迁移, 保证业务连续性；零宕机时间: 进行计划内硬件维护和升级迁移工作负载，业务不中断；实现整体数据中心业务高可用，无需使用昂贵、复杂的传统集群解决方案；最大限度地减少硬件、软件故障造成的业务中断时间；提高整个基础架构范围内的保护力度。Ø 跨存储热迁移:通借存储热迁移技术，可以在不中断服务的情况下在跨存储实时迁移虚拟机磁盘文件。将虚拟机磁盘文件无中断地迁移到不同种类的存储设备执行存储热迁移不会造成停机，并可全面保证业务不中断。可迁移在任何受支持服务器硬件上运行任何受支持操作系统的虚拟机磁盘文件。支持任何光纤通道、iSCSI、本地硬盘等存储系统实时迁移的虚拟机磁盘文件。n 网络虚拟化：网络虚拟化，通过提供全新的网络运营方式，解决了传统硬件网络的众多管理和运维难题，并且帮助数据中心操作员将敏捷性和经济性提高若干数量级。网络虚拟化方案通过和服务器虚拟化相结合，在虚拟机和物理网络之间，提供了一整套完整的逻辑网络设备、连接和服务，包括分布式虚拟交换机aSwitch、虚拟路由器aRouter、虚拟下一代防火墙vNGAF、虚拟应用交付vAD、虚拟vSSL VPN、安全设备； Ø 简化网络结构，节省硬件网络投资在部署了网络虚拟化之后，过去传统的接入交换、路由器、负载均衡、防火墙等传统网络、安全硬件设备，通通变成虚拟化的方式运行在服务器里。以前。串糖葫芦式的网络结构也会变得非常的扁平，服务器全部接入到一个大二层的网络，极大的简化物理连线。此外，硬件交换机不再需要支持类似TRILL/SPB/FabricPath/VPLS等一些列不必要的过渡性网络功能，从而只需要普通的交换机就可以满足云计算网络的建设，降低了不必要的网络建设成本。Ø 简化网络配置，实现业务自动化调整部署了虚拟网络，对于物理交换机来说虚拟化环境中的虚拟机网络流量将会变得透明，物理交换机不再需要配置复杂的网络策略，提供简单的大二层转发即可。因为，所有虚拟机的VLAN、QoS、ACL等网络配置策略，将会部署aSwitch上。而aSwitch将会自动根据每台虚拟机迁移、删除等过程，实现网络策略的自动跟随，实现网络配置的自动化调整，极大的简化了虚拟机迁移所带来复杂的网络运维工作。Ø 高可靠&高性能 过去传统物理网络容易因为网络设备的故障而产生问题，解决起来也非常困难，时间都是以小时为单位的。所以，网络虚拟化产品，在可靠性方面做了很多的改进，首先通过应用层协议栈技术，我们把数据转发放到了应用层，能够让设备永不宕机,而分布式设计的虚拟路由和虚拟交换机，出现故障的时候能够实现秒级切换，从而避免虚拟设备的单点故障，物理设备和链路我们设计了集群部署和链路聚合，能够避免物理环境的单点故障；这样，我们就实现了整个虚拟网络环境的高可靠保障，任意环节出现故障，都能被自动检测出来，并快速恢复业务。 此外，对于虚拟化网络的性能问题，结合intel最新的DPDK技术和SR-IOV技术，aSwitch虚拟设备可以达到双向10G的数据转发，让虚拟化网络能够以非常低廉的成本拥有和物理网络一样强劲的性能。Ø 完整专业的L4-L7网络服务，确保架构平滑迁移只把交换机和路由器虚拟化是不够的，复杂的业务环境是必须要配置负载均衡、VPN、防火墙这样的L4-L7安全、优化功能。所以，NGAF、AD、WOC、SSL VPN等设备也需要虚拟化了，从而可以帮助用户将应用系统平滑的从物理环境迁移到虚拟化环境中，并满足安全合规要求。 vNGAF、vAD、vWOC、vSSL VPN等虚拟化设备，用户只需要根据不同应用系统的性能要求，分配1、2、4、8核不同档次的CPU资源，各种虚拟化设备就可以提供从百兆到千兆的性能。 Ø 多层次安全策略，无缝安全防护为了从不同维度提升虚拟化平台的安全性，通过隔离的分布式交换机、ACL访问控制、NGAF的L2-L7安全防护技术、SSL VPN完整的安全接入技术等方式，可以加固虚拟机、业务系统等不同虚拟化环境边界的安全性。尤其是NGAF可以提供包括：状态检测、应用访问控制、漏洞防护、Web攻击保护、防敏感信息泄露、漏洞风险扫描、安全策略联动、防木马病毒等完整的L2-L7安全功能，可以帮助用户简化安全部署，并满足合规要求。n 存储虚拟化： 存储虚拟化基于集群设计，将服务器上的硬盘存储空间组织起来形成一个统一的虚拟共享存储资源池，即ServerSAN分布式存储系统，进行数据的高可靠、高性能存储。分布式存储系统在功能上与独立共享存储完全一致；一份数据会同时存储在多个不同的物理服务器硬盘上，提升数据可靠性；此外，再通过SSD缓存，可以大幅提升服务器硬盘的IO性能，实现高性能存储。同时，由于存储与计算完全融合在一个硬件平台上，用户无需像以往那样购买连接计算服务器和存储设备的SAN网络设备（FC SAN或者iSCSI SAN）。 Ø 横向、纵向线性按需扩展存储虚拟化方案可以支持横向（增加服务器数量）、纵向（增加单台服务器的硬盘数量）等扩展方式，扩展起来非常简单，只需要将新的服务器加入原来的集群就可以实现扩展，扩展后可以实现容量和性能的同步扩展，目前最大支持64台服务器组件一个集群。此外，添加新的服务器到集群后，不仅存储空间得到扩展，性能也会得到同步的扩展，例如2台服务器扩展到4台服务器后，不仅存储空间得到扩展，整体性能也会扩展为原来的2倍。所以，可以帮助客户不需要过多地考虑未来的扩展，只需要满足未来36个月的需求就足够了，极大降低了初期的投资成本，并避免了传统FC存储由于无法平滑扩展性能，而需要迁移数据存储所带的高风险。 Ø 数据保护和高可用性 在可靠性方面，虚拟化存储没有采用传统FC存储的raid方式，而是把每份数据copy成多份副本进行多副本存储，服务器只需要以常规手段挂载硬盘，虚拟化存储平台会把数据、在不同的物理服务器硬盘里创建2个到3个一样的副本。而且，每一次数据的变化，都会通过网络，同时所有副本里进行同步，从而确保数据的一致性。这样做的好处非常明显，首先，由于不需要使用raid，服务器的磁盘利用率会非常高，多副本的同步存储方式、又能够在最大程度上确保数据的互备效果，从而低成本的实现存储的高可靠。由于存储虚拟化采用副本方式保存数据，支持2-3份副本。当物理硬盘出现故障的时候，存储则会被重新指向另外一个健康的副本，整个过程是毫秒级的切换,对用户来讲基本是无感知的。如果不幸遇上了物理主机或者是网络故障，整个虚拟化平台可以完成分钟级的切换，业务系统或者网络设备的虚机可以快速切换到另一台服务器拉起，几分钟就能恢复正常运作，而存储的指向仍然保持了同步，这样就比传统方式的业务恢复速度快了很多。nØ 高性能SSD缓存技术：由于传统的sas盘、sata盘的性能只有7200转，iops达不到众多应用系统的相关性能要求。所以，存储虚拟化在硬件架构上会要求采用SSD双缓存方式，读和写都使用独立的SSD硬盘来实现，借助于SSD的高效缓存技术，可以让用户以较低的成本获得非常高的IO性能。此外，通过我们的算法优化，业务系统所请求的数据、绝大部分情况下都会直接读取到本地磁盘上的副本，从而使得存储的响应速度大幅提升，明显提升整体存储的IOPS性能。n 统一可视化WEB管理平台：虚拟化管理平台是一个针对超融合架构进行IT资源进行全面管理、调度的管理系统。可以针对物理主机、服务器虚拟化、网络虚拟化、存储虚拟化等设备和组件进行资源负载监控、虚拟资源配置和调度、网络拓扑部署、网络设备策略配置、网络故障排查、存储资源管理、数据备份管理等。此外，还可以针对管理员进行权限的管理和划分，后续通过升级可以支持多租户业务场景的管理。从而，只需要一个管理界面，就可以帮助运维人员高效、简便的实现云计算中心IT资源的部署、运维、排障。Ø 服务器虚拟化管理模块服务器虚拟化管理模块可以针对物理主机、虚拟机、内置/外置存储进行全面的系统管理。比如，可以针对物理主机增加/删除、物理主机性能监控、应用系统P2V迁移、虚拟机创建/克隆/迁移/监控、存储资源管理、数据备份和恢复等等。 虚拟机创建、迁移管理功能： 数据备份和恢复功能：Ø 网络虚拟化管理模块网络虚拟化管理模块可以针对虚拟化环境下的虚拟交换机、虚拟路由器、虚拟下一代防火墙、虚拟应用交付、虚拟VPN、虚拟广域网优化、物理网络边界等进行全面的管理，并进行网络拓扑部署、故障自动排查等功能。从而可以让过去以天为单位计算的网络部署周期缩短为分钟级，让网络故障的排查更加自动化，减少人为故障的可能。1、网络拓扑管理和部署：通过拖动管理界面左侧中的各种网络、安全设备图标到画布中，并完成网络连线，画出实际应用系统所需要的网络架构，整个业务系统就可以快速完成部署。如下图所示，就是搭建一个Web应用所需要的Web服务器区、APP服务器区、DB服务器区所需要网络架构，每个区域都可以部署虚拟应用交付进行服务器负载均衡，在区域之间部署虚拟防火墙实现安全域的隔离和控制，在应用的边界还可以部署具备WAF/IPS功能的虚拟防火墙，防止来自外部的应用层攻击。2、网络、安全、优化设备策略配置管理如果需要针对不同的网络、安全、优化设备进行配置管理，只需要点击对应设备的图标，就可以进入其Web化的管理界面进行路由协议、网口IP地址配置、ACL、VLAN、DHCP、安全防护策略、负载均衡策略的管理。Ø 路由器配置界面：Ø 设备网络配置界面：Ø 网络、安全、优化设备性能监控管理界面：Ø 网络故障排查管理界面：只需要输入目的和源地址，就可以快速定位出整个访问路径上出现网络中断的原因，比如ACL拒绝、设备故障、连线中断等等。Ø 存储虚拟化管理模块存储虚拟化管理模块可以针对资源池中各个物理服务器的硬盘、缓存盘、数据高可用策略、性能监控等进行全面的管理。从而极大程度的提升。管理界面简单明了，不需要学习复杂的LUN、RAID等存储基础知识，就可以让管理员快速上手，快速完成高可靠、高性能、弹性的存储资源管理。1、集群内存储资源性能监控：可以监控整个存储资源池的IO访问次数、IO吞吐、存储使用量、缓存命中率等各项性能指标。2、高可用等策略管理：可以配置整个集群的副本容量策略、故障恢复策略、数据平衡策略等高可用功能，从而极大的提升分布式存储的高可靠性。3、物理服务器硬盘资源管理：可以实时查看物理服务器上各种硬盘资源状态，并针对设置硬盘使用类型，如热备盘、数据盘、缓存盘等等，从而做好资源池高可靠、高性能的干礼策略。5.3一期项目建设效果预期（利旧设计方案）对比项超融合解决方案（软件定义数据中心）传统方案（服务器虚拟化+传统存储+传统网络）总结分析整体投入成本分析超融合方案在项目规划前期技术要求较高；一次性硬件的采购成本相对于传统方案低于30%左右；并且超融合一体化方案部署实施难度小周期短；整体硬件的资源占用率高；长期的运维管理工作量小；升级扩容线性投入合理利用现有成本投入后期完善建设成本投入少。传统方案在项目规划技术难度小；一次性硬件的采购成本相对于超融合方案高；传统方案涉及到的软件、硬件数量多并且需要多个厂商协调沟通，前期部署实施难度大周期长；长期的运维管理工作量大；服务器的计算资源占用率高，在存储以及网络设备硬件的资源占用率偏低；网络、存储等硬件升级扩容灵活性差，后期完善建设成本投入高。超融合解决方案与传统方案一次性成本投入对比成本节省在30%左右，超融合解决方案长期的运维、扩容等成本投入优势较大。方案架构分析内部业务系统区域：采用软件定义数据中心架构，硬件通过标准的X86服务器+普通千兆、万兆交换机，软件通过网络虚拟化、计算虚拟化、存储虚拟化以及网络功能虚拟化搭建一体化的数据中心解决方案。内部业务系统区域：采用传统的硬件由网络安全优化设备+基础交换设备+服务器+存储组成，软件通过服务器虚拟化等与硬件搭建数据中心解决方案，涉及到多品牌厂商，多硬件设备以及软件的整合方案。超融合一体化软硬件解决方案，方案架构简单。传统方案通过多品牌厂商，多硬件设备以及软件的整合方案单间，方案的复杂度高。方案可用性、稳定性分析在业务系统层面通过虚拟机HA+热迁移+DRX等技术保障当服务器出现计划内或者计划外故障时的业务资源连续访问；在数据可用层面通过数据多副本的分布式存储+数据重构+快照+备份等技术保障当人为操作或者硬件损坏等情况下数据的不丢失提高可用性；在网络层面通过分布式虚拟交换机路由器+业务策略自动跟随+链路聚合+多网口业务分离等技术保障物理网络以及虚拟化网络的稳定性，并且可以实现业务故障的一键定位。通过超融合管理平台实现业务层面、数据层面、网络层面的可用从以及稳定性保障，提供一整套的高可用性高稳定性解决方案。在业务层面通过服务器虚拟化实现虚拟机HA+热迁移+DRX等技术保障当服务器出现计划内或者计划外故障时的业务资源连续访问；在数据可用层面通过raid+备份软件技术保障当人为操作或者硬件损坏等情况下数据的不丢失；在网络层面通过设备双机部署实现业务网络设备的稳定性。数据中心的可用性以及稳定性方案时孤立的，互相之间没有策略联动的机制。通过统一的超融合管理平台，在业务系统层面、数据稳定性以及网络稳定性方面超融合解决方案相比于传统解决方案提供一整套的高可用性高稳定性解决方案。方案灵活扩展性分析硬件资源扩容方案：超融合方案中每一台物理服务器为一个资源节点，具备计算资源以及存储资源的硬件特性，通过多个物理服务器的资源节点集群整合，当数据中心的计算或者存储硬件资源不足时，根据扩容需求通过添加服务器单节点即可以达到硬件资源的线性扩容。软件资源扩容方案：当虚拟机资源不足时通过自动的DRX或者手动的资源扩展可以实现计算以及存储资源的按需线性扩展；当VAF/VAD等虚拟网络安全和优化产品存在性能不足时通过增加软件授权补差价既可以达到提高性能的效果，网络功能的成本投入可以达到线性扩容。一体化扩容方案：通过统一的超融合管理平台实现硬件、软件以及对应的网络功能层面的一体化扩容方案，实现策略的自动给跟随升级，数据的自动均衡重构，扩容方案简单。硬件资源扩容方案：每一台网络设备、物理服务器、存储均为独立的资源节点，当其中任意资源资源节点性能不足时均需要考虑对应的扩容方案，尤其是存储设备以及网络安全、优化设备，当存储设备的存储容量不足或者机头性能不足时需要重新更换采购存储。当物理网络设备性能不足时需要更换硬件达到升级扩容，整体方案不能达到线性的成本投入和合理资源利用，后期的扩容、改造投入成本高。软件资源扩容方案：当虚拟机资源不足时通过自动的DRX或者手动的资源扩展可以实现计算的按需线性扩展。孤立的扩容方案：硬件资源以及软件资源的扩容均为独立的方案，一旦涉及到整网的扩容方案会涉及到相关策略的重新调整，涉及到数据的重新迁移，扩容方案复杂并且难度大，整体投资成本高超融合的解决方案的扩容灵活性高，达到成本的线性投资利用。传统方案在存储设备以及网络设备上的扩容性差，后续扩容建设投入成本高，并且扩容建设的运维投入难度大。方案运维管理便利性分