政务外网云平台方案.ppt
广东政务外网云平台解决方案汇报,华为技术有限公司,遗留问题,异构&迁移什么业务配什么设备?小型机业务怎么向云化迁移?一个部门已经一直在使用小型机,在数据迁移到云中心过程中,坚持使用小型机怎么办?安全如何保障业务部门数据安全性?资源动态分配业务系统时忙时闲,怎么解决利用率问题?使用部门资源不足,扩大资源的时候华为云平台是怎么实现的?使用部门申请资源利用率低,在不影响业务情况下能否自动减少资源,同时用户没有感知云管理平台核心技术介绍一下?开发怎么投入?资源怎么投入?华为数据中心管理战略是什么?华为公司云中心能管理多少台服务器?,Page 3,1,广东电子政务现状,内容,2,政务云建设关键点,3,广东电子政务外网建设规划建议,统一管理,内容共享,数据共享,降低成本,愿景,业务云化、敏捷政务,业务简单、分散建设,资源独占,信息孤岛,资源高效,敏捷管理,资源整合、数据整合,资源集约,业务联动,应用1,中间件、数据库操作系统,机房设施,计算、存储网络、安全,应用n,部门A,部门B,应用1,中间件、数据库操作系统,机房设施,计算、存储网络、安全,应用n,数据中心分散,小而全资金投入高,资源利用率低管理、维护成本高信息孤岛,不利于信息共享,应用1,中间件、数据库操作系统,机房设施,计算、存储网络、安全、虚拟化和管理,应用n,应用1,中间件、数据库操作系统,应用n,部门A,部门B,基础设施简单集中便于整体维护,运维成本低依然是烟囱式结构资源利用率提升有限,机房设施,主机、存储、网络、安全,虚拟化与云管理平台,中间件、数据库、操作系统,应用1,应用n,应用1,应用n,部门A,部门B,共享资源,规模化降低IT建设成本大幅提高资源利用率提高业务敏捷性高效满足业务发展需求,中国电子政务的发展趋势,信息化缺乏统一规划,导致部分重复建设资源利用率低,尤其是小型机应用,随业务扩大,运维人员数量、成本线性上升多套管理系统,缺乏统一管控界面,缺乏有效规划,重复建设,电子政务外网现状与挑战,信息孤岛现象严重,管理效率低,运维成本高,业务复杂,异构,1,广东电子政务现状,内容,2,政务云建设关键点,3,广东电子政务外网建设规划建议,电子政务云解决方案架构,应用平台服务,基础设施服务,标准规范,虚拟化安全隔离与边界防护,身份认证与权限管理,云数据安全,安全监控与审计,云安全管理,容灾备份,资源管理,用户管理,备份管理,业务管理,发放管理,监控管理,部署管理,服务目录,账户管理,资源虚拟化(服务器虚拟化、存储虚拟化、网络虚拟化),集中管理,弹性调度,自动布署,虚拟镜像,云计算资源管理平台,备份恢复,机房、供电、空调、安防等基础设施,服务器,存储,网络,终端,安全体系,数据交换与共享平台、业务流程平台、报表平台、弹性应用框架、五大数据库、业务信息资源,数据库、中间件、检索引擎、开发测试平台等,综合社会保障,运维服务体系,云支撑平台服务,云物理安全,云终端安全,综合财政管理,环境保护,党政办公决策,宏观调控,政务网站,多媒体终端门户、呼叫中心等渠道,政务公共应用,社区服务,企业监管,政务云建设关键点,A,弹性扩展 动态分配,大容量平台,支撑海量业务,云数据中心,站点管理池级联管理,物理机池,Cloud管理员,站点管理员,单站点最大200 物理机单个站点支持5000VM,最大 16 站点级联,支持将多套软件配置成级联模式,在级联模式下,通过任意Portal创建的域账号信息,由IAM统一管理,并实时同步到各软件本地DB中。当管理员使用域账号通过任意Portal访问多套软件时,在IAM进行集中认证和鉴权,从而达到认证一次即可对多套软件进行操作维护的目的。,站点1,站点2,站点N,数据中心最大支持80000VM,IAM,VRM(备),VRM(主),VRM(备),VRM(主),VRM(备),VRM(主),单板(物理服务器)接入系统,从发现到加入资源池管理全过程自动化完成。,管理平台,自动发现物理设备,自动部署虚拟化系统,自动在云管理系统中注册,新增物理服务器自动在云管理系统中注册并接受管理,资源池(10CPU、80G MEM),资源池(16CPU、128G MEM),部署VMM虚拟化管理系统,PXE引导;DHCP,新增服务器(6CPU、48G MEM),获得物理硬件信息,部署虚拟化管理Agent,完成网络、存储等基本配置,资源池扩容、物理服务器即插即用,资源动态伸缩,升级扩容,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,VM,应用迁移,数据备份,节点升级,数据迁回,应用迁回,待升级节点,备用节点,扩容时,在硬件安装配置后自动负载均衡减容时,隔离硬件删除配置后自动负载均衡,扩容,升级,按需、高效调整系统容量,降低维护成本;降低升级成本与风险,保证业务连续性,升级时,迁空服务器上的虚拟机,升级之后回迁,B,数据中心统一管理,管理解决方案架构,ManageOne 统一管理解决方案应用场景,运营运维管理典型角色、场景和操作概述,运营管理员,最终用户,运维管理员,场景1,场景2,场景3,C,业务云化/迁移,传统数据中心云化迁移至云数据中心的原则,云化迁移实施原则:先简单后复杂,先测试后生产,需要考虑管理和协调的复杂度先迁移测试应用,以验证方案的可行性,识别迁移风险;简单应用可先做迁移,例如独立应用或All-in-One模式部署的应用复杂应用后迁移,如farm应用,Web/App/DB分布在不同的物理服务器;较难或不能做P2V迁移的应用可考虑采用OS和应用重新安装部署+数据库迁移方式完成如果存在操作系统、应用程序,或者数据库软件升级,则只能采用应用重装的方式。,云化评估原则:基于X86架构的业务系统可评估云化;部分部署在小型机的业务系统组件可评估云化(已实现ERP系统中DI与CI部分云化);对软硬件平台无特殊要求的应用可评估云化(如:无特殊的硬件卡或者License控制对硬件无依赖的应用);轻载数据库/集群可评估云化(IOPS小于2000的轻载数据库)数据中心内满足云化原则的业务系统尽量云化,实现数据中心统一管理,DI 云化迁移至虚拟机,CI与DB拆离后将CI云化迁移至虚拟机DB做结构调整,已实现国内某大型企业ERP系统CI,DI组件由小型机到虚拟化的云化迁移,20,华为云计算虚拟化应用分析,云计算中心可综合运用虚拟化技术,以适应不同业务应用的计算特点。同时,云计算中心还可以根据业务应用的其他特点对服务器或存储进行定制以满足对计算和存储的需要。,备注:H-高、M-中、L-低,云计算虚拟化应用规格设计,根据服务器功能分类和业务应用的性能需求,经过评估业务应用可以虚拟化后,就可以分别选择不同的虚拟机规格来支持。通常情况下的虚拟机配置规格建议详见下表:,广东政府外网项目小型机业务移植建议,旧有系统不满足云化原则的系统保持原有部署满足云化原则的考虑云化业务系统版本有x86+linux/Windows版本,且符合未来3-5年内广东外网业务发展需求考虑云化新业务系统业务系统仅有Unix版本建议系统厂商评估开发x86版本无特殊硬件要求的建议移植非核心业务建议移植,华为M2000应用移植前硬件部署环境,华为M2000应用移植后硬件部署环境,目前华为可以实现硬件层异构统一管理,支持异构数据中心,容量规划 资产利旧规划新建数据中心设计 迁移计划 输出件:数据中心设计方案迁移方案,数据中心迁移服务基于ITIL框架的服务方法论和先进工具支持向云的平滑迁移,信息采集(工具/调研/访谈)现状评估资产利旧评估 输出件:评估报告,新建数据中心业务迁移实施业务验证资产利旧实施输出件:系统实施&验证报告迁移实施&验证报告初验总结报告,现状评估,规划设计,业务系统监控、优化终验输出件:终验总结报告,采集工具(hGathering/Nmon)网络流量监控工具客户访谈调研模板需求及现状分析模板,Rainbow hSizing物理设计工具数据中心设计技术指导书,迁移工具(Rainbow hConvertor)系统验证模板迁移验证模板初验总结报告模板灾备规划和演练指导迁移指导书,采集监控工具(hGathering)终验总结报告模板,试运行,实施验证,在现状评估阶段,需要先进行信息采集;信息采集的目标,不仅仅是支撑评估,还需要支撑整个迁移过程。输出件:评估报告,现状评估,采集工具(Rainbow hGathering/Nmon)网络流量监控工具;客户访谈调研模板;客户需求及现状分析模板,信息采集,工作负载评估,资产利旧评估,通过采集工具或调研、访谈,收集迁移相对内容,以支撑迁移的方案设计、云化评估和验证。,工作负载云化评估:根据采集数据(性能要求、应用的硬件相关性),分析评估云化可行性。应用关联分析:分析应用之间的关联关系,给出后续整合建议和迁移建议,以保证实施后对业务影响最小。,资产云化利旧评估:包括硬件云化利旧清单;软件及License利旧清单。,评估工具,评 估,规划设计,根据迁移评估结果制定迁移策略方针,然后基于迁移策略制定详细的迁移项目计划和迁移设计方案。输出件:数据中心设计方案、迁移方案,容量规划,资产利旧规划,新建数据中心设计,迁移计划,根据当前应用以及性能数据,规划:1)VM规格,具体包括CPU、内存、存储、网络的规格;Rainbow hSizing工具可提高规划效率和准确度2)整合策略:分析现有工作负载,均衡考虑同一物理机器 上,对不同资源的需求,提供整合建议;3)预测模型:根据当前业务发展模型,估测出当前和以后的容量变化趋势,给出建议。,根据评估报告及容量规划报告完成新建数据中心规划设计,保证新建数据中心满足业务发展需求。物理设计工具,可以提高设备部署的合理性和可靠性、端口的可扩展性。,将利旧资产扩容整合至新建云平台。,根据业务之间关联情况和业务关键程度对应用进行分组,制定最终的详细迁移计划,包括迁移工具熟悉时间、数据上传时间、最终同步时间;以及风险应对计划。迁移设计主要包括:迁移策略制定、迁移方案制定、迁移计划制定、风险应对计划制定。,信息采集,应用迁移规划,云化评估,虚拟机规划,规划设计容量规划工具hSizing介绍,准确地掌握服务器资源使用情况,为服务器整合或应用迁移提供数据支持,自动规划应用在目标系统上的部署,最大程度利用目标系统资源,识别出传统数据中心中适合云化的服务器,及与云平台兼容的服务器,最大程度利用已有资源,保护投资者利益,自动规划应用在目标系统上的部署,最大程度利用目标系统资源,华为自研的容量规划工具,可直接利用hGathing采集的结果,进行规划,输出工作负载云化后的VM规格建议报告,实施验证&试运行 流程,按照严谨的流程,分计划、按步骤,把各个业务系统依次迁移云化,并监控试运行,确保业务系统安全、平滑的过度和迁移后的效果。,实施验证阶段分为:迁移环境准备、软件安装、业务数据同步、业务系统测试、迁移风险分析、容灾备份实施、业务迁移演练及业务正式割接几部分。严谨的迁移实施验证流程保证业务系统迁移的整体成功,降低迁移风险及业务环境影响。试运行阶段保证迁移后的业务系统平稳运行。,D,安全规划,价值:安全整合解决了客户安全体系凌乱、没有整体安全策略、缺乏统一管理、不了解实时安全状态、无法进行集中预警等问题,并帮助客户建立统一的访问控制、远程安全接入、身份认证等机制,电子政务云数据中心一体化安全规划,Page 29,1.按照等级保护设计标准、业务系统重要性和所涉及信息重要程度等因素,划分子网和网段2.受限域作为重要网段,与公共域网段通过过渡域隔离,不直连外部系统;3.业务终端与业务服务器间通过受限域的防火墙进行访问控制,建立安全的访问路径。,安全等级保护解决方案遵循国家信息安全等级标准和电子政务信息安全等级保护实施指南进行分级分域安全管理,电子政务数据中心安全域划分示意图,国家信息安全等级保护框架,Page 30,安全等级保护解决方案强化政务安全等保能力,VPN、IPS、FW,电子政务数据中心(基础安全),Hypervisor加固虚拟机隔离虚拟机模板加固,数据销毁,主机防病毒,安全审计,用户身份访问控制,基础安全,等保二级,安全管理中心,安全策略管理,特权用户管理,双因子强认证,流量清洗,防病毒网关,数据盘加密,PKI,弱点管理,电子政务数据中心(通用业务),电子政务数据中心(核心业务),等保一级,等保二级,等保三级,Page 31,Page 32,数据安全-VM卷加密防止数据被窃取,加密管理系统(VEM),密钥管理系统(KMC&CA),BMS,用户虚拟机(Agent),部署在数据中心,部署在数据中心或企业(推荐),VM卷加密系统由三部分组成:加密管理系统(VEM)、密钥管理系统(KMC&CA)、安装用户虚拟机的Agent。Agent中过滤驱动实现了磁盘的透明加密。VEM负责加密虚拟机的管理包括开通/关闭加密服务、下发加密/解密指令、更新密钥、查看虚拟机加密状态等。另外,VEM负责从密钥管理系统给用户申请证书、更新证书、吊销证书、丢失证书后找回证书等。密钥管理系统负责用户证书的管理包括相应VEM的用户申请、更新、吊销、找回等操作。,数据安全-文档管理安全,账号、部门管理 用户漫游 跨系统授权,Web客户端登陆日志 文件操作日志,强大的动态加解密技术 实时文档权限控制 组策略与权限模板,用户管理,文档权限管理,日志审计,Secospace 文档安全管理助力企业构建安全可控的文档安全管理平台 通过实时权限控制,提供安全授权下的机密信息共享,使信息所有者能够定义信息的访问者、访问方式和时间等,并记录文档操作日志。,Secospace文档安全管理系统(DSM,Document Security Management),数据安全-数据销毁,34,SingleCLOUD确保原用户敏感信息安全性 完善的数据销毁机制,确保用户敏感数据(系统管理数据、用户鉴权数据、重要业务数据等敏感数据)所使用的存储空间在被重新分配给其他用户使用前要被彻底擦除。,D,容灾备份,Tier7-接近零或是零数据丢失,远程数据镜像,并且业务环境可进行高自动化的业务接管,Tier6-接近零或是零数据丢失,远程数据镜像保证数据的完整性和一致性,Tier5-软件级的,两地点-两阶段提交(交易完整性),Tier4-批量/在线的数据库镜像或日志的传输或重复的时间点拷贝,Tier3-电子链接传输,Tier2-PTAM卡车运送+热备份站点,Tier1-PTAM开车运送访问,专门的远程容灾中心,可用的备份中心,时间点备份,15分钟,1-4小时,4-8小时,8-12小时,12-16小时,24小时,好几天,恢复需要的时间(RTO),费用,SHARE78国际容灾建设标准,对应的容灾方案,RTO和RPO均为天级,投资预算低,RTO和RPO均为天级,投资预算低,RPO为分钟级、RTO为分钟级-小时级,投资预算高,应用级容灾方案,数据级容灾方案,介质级容灾方案,容灾规划应方案,RTO(Recovery Time Object):恢复时间目标RPO(Recovery Point Object):恢复点目标,介质级容灾方案,客户需求客户的数据中心位于多个城市,所有业务数据均需远程备份。RTO和RPO指标要求为天级别。方案内容介质级容灾中心DC N部署在远程,用于现有数据中心的灾备。数据中心与灾备中心有网络互联,采用HDP和NBU+VTL模式进行远程数据备份。数据中心与灾备中心无网络互联,数据备份在本地存储介质中,通过PTAM方式运送到远程灾备中心备份。,网络拓扑,数据级容灾方案,客户需求数据中心信息化水平高,但缺少容灾机制。客户对于实时灾备恢复服务有很高的要求,以达到数据中心运维政策和IT服务要求。RPO目标为小时级别,RTO要求达到小时或天级别。.方案内容从主数据中心向灾备中心拷贝数据.针对相同架构的存储设备,关键部件是 SAN、FC 交换机和远程复制软件。对于异构存储设备,关键部件是SAN、VIS、FC交换机和远程复制软件,网络拓扑,应用级容灾方案,客户需求实时灾备服务,保障关键应用服务连续性RPO目标为分钟级,RTO 目标为分钟到小时级方案内容灾备中心构建云与非云混合环境,数据库系统部署在物理服务器,应用服务和Web服务部署在虚拟节点 降低总体投入,节省能耗,保护环境。灾备中心也可以部署在集装箱数据中心,提高灵活性和移动性。CDP 软硬件产品分别部署在生产中心和灾备中心,数据中心应用级容灾方案通过CDP技术实现。,网络拓扑,云主备容灾方案,应用场景两生产站点相距100KM两生产站点通过Internet连接两生产站点不同应用的双活模式运行,其中一站点故障时,另外一个站点能自动接管业务,方案特点RPO分钟级,RTO分钟级虚拟化的整体解决方案,支持应用级别容灾,确保业务的连续性,客户价值距离无限制,组网灵活虚拟机整体保护,操作简单兼容性优,TCO较双活低,云双活容灾方案,方案特点PRO=0,RTO秒级支持云和非云模式,高可靠,易扩展满足客户应用自动切换的功能,确保业务的连续性客户价值数据零丢失应用自动切换,用户体验好,应用场景两生产站点相距较近(10KM)两生产站点通过光纤直连生产站点同一应用双活模式运行,其中一站点故障时,另外一个站点能自动接管业务,E,经验分享,北京市委、市政府对云计算产业发展和应用建设高度关注,刘淇、郭金龙同志多次进行实地调研并做出重要指示,提出云计算是新一代信息变革的重要组成部分;北京经信委牵头,整合电子政务云平台;华为建设,北京首信向政府机关提供IT服务;,北京首信互联网云项目介绍,采用云计算技术,搭建标准统一、功能完善、系统稳定、安全可靠、集中统一的市级政务云平台,为各部门信息资源共享、数据交换和协同办公提供了良好支撑;通过建设市级政务云平台,方便未来将新增的应用快速部署到云平台上,大大缩短新IT系统的上线时间;解决“信息孤岛”,实现信息共享,提高信息安全水平,提升政府监管能力、工作效率和公共服务水平,提供面向社会的专业性服务和为社会公众提供政务信息服务。,建设目标,建设互联网云基础设施。依托已有的政务机房,构建“物理分散、逻辑集中”的互联网云基础设施,统一为市级政府部门的电子政务公共服务类应用提供“按需、动态、可靠、高效”的基础软硬件支撑服务和运维保障;建设互联网云应用支撑平台。构建市级互联网云应用支撑平台,面向全市综合及市级政府部门的电子政务公共服务类应用提供成熟、先进的应用组件和灵活、自助的应用开发集成服务;,建设内容,项目背景,北京首信项目建设规划,一期,二期,三期,根据首信及各委办局的云应用需求,提供开放的接口,与首信合作构建电子PaaS平台,,通过前期在IaaS,PaaS层面的运营及合作经验,积累电子政务应用经验,发展SaaS层的电子政务应用模式,一期:基础云平台构建(IaaS)与发展,积累云计算运营经验;二期:云平台PaaS层构建,积累云计算运营经验;三期:提供开放接口,一同构建云平台SaaS层;,福建省发改委、省数字办牵头,建设政务外网云计算平台;华为建设,福建移动运营,向政府机关提供IT服务;省发改委发文要求各局办单位积极配合,福建海西政务云项目介绍,统一的政务外网云计算平台满足今后3至5年内数字福建建设基于政务外网的信息系统对包括服务器、存储、系统软件在内等基础架构的需要通过降低成本、提升效率、节能减排,满足电子政务要贯彻科学发展观,转变发展方式的要求,建设目标,建设政务云基础设施建设政务云应用支撑平台。满足在云计算平台上搭建政务外网应用系统的要求,包括以三层架构为主的应用系统,以及大访问量的应用系统、大数据处理量的应用系统以及大计算量的应用系统等,建设内容,项目背景,国家信息中心携手华为共建电子政务工程创新中心创新中心,2012年1月18日签署战略合作协议启动创新中心建设2012年8月3日创新中心一期建设完成,正式揭牌,战略地位:落实“提高自主创新能力,建设创新型国家”国家发展战略重要体现目标:以构建电子政务云计算实验室为基础,打造理论创新、技术创新、业务创新、应用创新的平台,创新应用示范展示的窗口,电子政务产业联盟健康发展、合作共赢的桥梁。,政务云基础平台建设桌面云系统、政务云协同办公系统部署展示人社部公考报名系统应用级灾备政务门户测评系统云化部署展示政务手机微门户云化部署展示政务云国家工程实验室联合申报,电子政务工程创新中心成果,电子政务工程创新中心定位,常州每年投入2个亿资金用于政府信息化建设 常州政府信息化系统为“烟囱式”架构,资源浪费、维护效率低 各个平台之间互联互通困难,项目背景,常州市政府和电信云计算战略合作,树立信息化建设新模式 维护效率提高30%,资源利用率提高50%,电能消耗降低35%,碳排放降低45%全市云主机、云桌面、云存储,提供一站式ICT服务,常州政务云,方案亮点,企业门户,华为解决方案及优势,客户收益,1,2,IT现状难以支撑业务发展需求IT运维复杂、能耗高、资源利用率低希望将IT业务云化,实现平台整合,项目背景,CAPEX to OPEX,降低IT投入;桌面云保护企业信息资产,降低IT设备功耗,提升办公效率;云平台自动安装部署,简化运维,广东中外运IT服务外包云,方案亮点,华为解决方案及优势,客户收益,1,2,IT基础设施和运维服务,整合48个业务系统,共200台服务器,商务智能平台,订单管理系统,办公协同UC,提供5000虚拟桌面,集成UC系统,1,广东电子政务现状,内容,2,政务云建设关键点,3,广东电子政务外网建设规划建议,通过云计算平台提供各类智慧服务及行业应用,构筑智慧广东统一的服务中心融合互联网、通信网和物联网,延伸智慧感知能力,在持续演进的云平台上,构建绿色的智慧城市综合服务平台提升社会管理水平及管理效率,促进服务型政府转型,并致力于为广东省开创可持续发展的新主题和新动力,为公众带来新的工作、生活和学习方式,目标:向未来智慧广东迈进,广东电子政务外网建设三种技术实施路线,分阶段分步骤有序进行,第一阶段,建设云计算平台,提供基础设施服务建设电子政务灾备中心整合省内经信委各局办数据中心,第二阶段,2013年,2014年,第三阶段,2015年-,起跑物理资源整合,加速数据共享和协同办公,跨越数据和应用整合,政务部门业务应用迁移示范共享式容灾备份应用服务示范政务信息资源共享交换应用服务示范,跨部门应用整合基于地理信息数据库,整合人口、法人和宏观经济、文化创意库5大基础数据库,构建统一、融合、立体的基础数据全面覆盖广东省各职能部门、各行业、各阶层、各区域的电子政务、电子商务、电子民务上层应用,