教育局教育云平台解决方案建议书.docx

《教育局教育云平台解决方案建议书.docx》由会员分享，可在线阅读，更多相关《教育局教育云平台解决方案建议书.docx（75页珍藏版）》请在三一办公上搜索。

1、SANGFOR深信服科技教育局教育云平台整体规划技术建议书V2.0深信服科技有限公司2017年U月14日1.1 项目建设背景41.2 当前面临的SE战51.3 教育值息化建设的新思路81.4 项目建设内容和目标81.5 项目建设原则102项目需求分析122.1 IT基础架构需求122.1.1 网络需求122.1.2 计算和存储需求132.1.3 安全管理需求132.1.4 资源统一管理需求132.2 云服务需求141.1 设计9与原则151.1.1 设计思路151.1.2 设计原则151.2 云平台总体架构规划161.3 教育云建设步蝌议201.3.1 教育云建设第一阶段201.3.2 教育云

2、建设第二阶段211.3.3 教育云建设第三阶段214 教育云平台详细方案设计224.1 整体方案设计224.2 私有云方案规划设计224.2.1 详细拓扑架构设计224.2.2 计算资源池设计234.2.3 存储资源池设计254.2.4 网络资源池设计264.2.5 云平台安全声设计314.3 公有云方设计错误!未定义书签。4.3.1 篁体方案错误I未定义书签。4.3.2 安全分工界面错误!未定义书签。4.3.3 基础资源服务错误I未定义书签。4.3.4 对外业务安全错误!未定义书签。4.3.5 对内业务安全错误!未定义书签。4.3.6 混合云互联错误!未定义书签。4.3.7 公有云平台安全错

3、误!未定义书签。4.4 统一lt营方案374.4.1 统一运雒运营平台整体架构设计374.4.2 运行保障设计384.4.3 服务受理与交付错误I未定义书签。4.4.4 运管平台的价值404.5 统一备份方案414.5.1 私有云冬伤方累414.5.2 云灾各方案期475 应用上云方案605.1 业务上云的建设与部署605.2 业务测试与此支持625.2.1 开发阶段625.2.2 开班测的境625.2.3 窝政持635.2.4 上线阶段636 技术服务保障体系646.1 三llHg646.2 倒Il蛔646.3 课程的656.4 技能IifH恻667 深信服全球服务支持687.1 服务支持的

4、角色和职责687.2 原厂技术皿687.3 渠道服务政策697.3.1 厂家服务697.3.2 渠道服务707.4 自助服务支持717.5 故障排除与紧急响应服务718 教育云案例简介73项目建设概况1.1 项目建设背景教育信息化作为我国国民经济和社会信息化的重要组成部分，是行程比较完善的现代国民教育体系，使全体人民享有良好教育的机会，形成全民学习的学习型社会，促进人的全面发展的内在要求。他不进是教育发展全局中的一个关键环节，也是我国实现教育现代化的一种必然选择.今年来，国家高度重视教育信息化的建设，2012年3月教育部正式印发了教育信息化十年发展规划（20112020年），对未来十年的教育信

5、息化工作进行了整体设计和全面部署，首要发展任务就是缩小基础教育数字鸿沟，促进优质教育资源共享。教育信息化十三五规划中明确提出在十三五期间基本建成数字教育资源公共服务体系，各地做好资源平台建设规划论证，充分利用现有通信基础设施，加快推进区域平台建设和与国家教育资源平台的协同服务。并将教育信息化作为学校基本办学条件,纳入学校建设基本标准和区域、学校评价指标体系.因此，通过计算机口互联网技术来发展和普及多媒体教学、网络化教学已经成为现代化教育的重要方向，教育信息化已经是一个不可阻挡的历史趋势。但是担，教育信息化程度因各地区资金投入程度、数育程度导致区域发展极不均衡。同时，一些已经建成的信息化教育系统

6、还面临着运行维护费用居高不下、设备更新换代等问题，迫使有些资源束之高阁以节约费用.通过建设教育局的教育云系统，可将优秀的教育资源分发到有需要的地区，带动信息化基础薄弱的地区，快速建成教育信息化系统，增强教学资源，改善教学环境。教育云不仅可以大大降低本地区信息化教育的建设费用和运行费用，而且极大的推动了先进的信息技术在落后地区的普及和应用，进而将优秀的教育资源推送到落后地区，实现公平教育JIIkttYG，：结合实际情况简要阐述1.2 当前面临的挑战国家中长期教育改革和发展规划纲要（2010-2020年）对教育信息化建设提出了更高的要求，而由于历史和技术发展原因，现有的教育城域网，是按需、逐个、独

7、立建设，是孤岛架构，各应用系统因缺乏统一的标准和规范，自成一套体系，形成了数据孤岛、应用孤岛、硬件孤岛三大孤岛；架构陈旧,性能很难满足城域网大规模并发应用需求。121数据孤岛数据不能共享：比如每一个应用系统，都需要用户身份数据，因缺乏统一的标准和规范，各系统数据不能共享，只能每个系统重复录入这些数据；当用户身份数据发生变化时，需要在各系统去手工更新这些数据，往往因为各种原因，有些系统更新了，而有些系统没更新过来，造成各系统数据不一致现象；比如学习系统中，学生的学习过程记录，只存储于学习系统，不能存入统一的学生档案袋系统，老师在教研系统中，形成的教学资源，不能存入统一的资源库系统中等等；资源系统

8、中的资源，不能直接应用到教学系统中，只能先下载，再上传，这种方法，浪费使用者时间，浪费宝贵的网络资源，浪费数据库空间，影响数据库性能.数据不能交换：比如各教育城域网，都需要向上级主管部门上报或从上级上管部门数据中心获取相关数据，因为缺乏统一的交换标准，只能手工进行，极大地影响了工作效率,人为增加了出错码；221应用孤岛缺乏统一身份认证体系：每进入一个系统，都要进行身份验证，频繁输入帐号，密码，给使用者造成麻烦。同时，造成很多使用者使用简单密码，而给整个系统造成安全隐患；缺乏统一的信息展现层：与本人相关的重要信息分散在各个系统中，使用者要获这些重要信息，需要频繁穿梭往返于各个系统中，苦不堪言。各

9、软件系统功能重复堆砌：一些通用的基本功能，如信息发布模块，搜索模块，工作流模块，证书模块，数据分析模块，通知模块，调查模块，消息系统，等等，大多数应用系统中都要用到.现阶段，各个应用系统中基本上包含独立的这些模块，功能重复，不仅造成浪费，且使用方法不一，界面不一，质量不一，给使用和维护管理造成巨大困惑.比如搜索模块，每一个系统都要用到，都有自己的搜索模块.用户使用的时候，要搜索数据，只能分别进到每一个系统中去而不能在一个搜索框中搜索所有系统中的数据，这给使用者带来很大的麻烦。缺乏标准的梯度扩展和开发接口：软件提供的功能，不能满足用户的个性需求，用户需要根据自身实际，进行扩展或开发。孤岛架构软件

10、，没提供标准的梯度扩展和开发接口，供用户扩展和开发。标准的梯度扩展和开发接口：标准扩展和开发接口是指提供跨系统、跨数据库的扩展和开发接口，开发者可以使用自己熟悉的开发工具在此标准下进行扩展和开发；梯度扩展和开发接口是指可提供无代码和代码的梯度开发接口，不懂代码的计算机维护人员，可通过无代码开发工具对系统进行扩展和开发，开发人员可通过代码工具进行更深入的扩展和开发。缺乏跨系统的、自助的、灵活的辅助决策工具：比如对教师的职称评聘，涉及到教师的教学业绩，其数据在成绩管理系统；涉及到教师的资历，其数据在人事管理系统；涉及到教师的课堂表现，其数据在教师发展评价系统中。现有的各系统，只能在系统内部进行统计

11、分析，无法根据需求，跨系统、跨数据库进行统计分析，这是其一;其二当教师评聘条件发生变化时，单位自己很难根据情况变化进行新的统计分析；其三，提供的统计功能有限，缺乏强大的灵活的分析手段，不能满足用户要求。321硬件孤岛高投入、难管理、低效率、高能耗、低可用问题当前信息化硬件配置现状一般是如下两种情况：普通应用系统，一台服务器安装一个应用系统；关键应用系统，如辘中心、OA系统、云教学系统等,基于性能的考虑，通常以服务器（小型机或刀片服务器）和SAN存储连接方式为基础,一个应用系统部署在几台服务器上（应用服务器、数据库服务器），通过小型机或多组刀片来实现关键应用的部署.第一种情况存在硬件资源浪费与硬

12、件资源不足的问题.如果服务器性能很高，有资源剩余，但不能将多余的资源给其他应用系统使用，造成浪费；当应用高峰时，可能一台服务器资源不足，也无法从其他的地方获取更多的硬件资源支持，造成应用瘫痪；第二种情况情况存在严重资源浪费问题，多台服务器为一个应用服务。应用系统动辄就有几十个（如教务管理、人事管理、办公、财务管理、固定资产管理、教学系统等等），应用系统的建设需要大量的服务器来支撑.系统建成后，但实际使用中，有些应用系统一天可能只有少数人使用，使用的次数也很少；另外，这些应用系统的使用模式也非常有规律，如大部分用户的使用和访问集中在上班时间.非正常上班时间（晚上、节假日）利用率很低。在这些时间内

13、，只有少数人偶尔使用OA系统、邮件系统等，大量的业务系统实际上处于空闲状态，资源利用率不超过5%,但支持这些应用系统正常运行的所有资源（服务器等硬件设备）需要不间断工作。同时，大量的服务器硬件增加了维护难度和能耗成本。这就是当前硬件孤岛带来的高投入、难管理、低效率、高能耗、低可用等方面的问题。当任意一台服务器出现硬件故障或者软件故障时，则与本服务器相关的应用系统，都不能使用，造成应用瘫痪.1.3 教育信息化建设的新思路云计算技术的出现将改变这一状况，通过将过去分散的学校it系统集中在本区域的教育数据中心，部署相关的教育云应用，各中浮教育机构无需再自己建设自己的IT系统，而是通过云服务模式获取所

14、需的信息化服务。教育云整体解决方案在教育城域网的基础上，以相对集中”的建设思路，进行教育城域网综合应用服务“大中心”的规划和实施，从而实现集中投资、整体规划和集中管理。使用先进的云技术与教育深度融合，创新教育模式（协同教育），实现教育均衡,为公平教育服务。不仅要解决数据互联互通问题，消除信息孤岛，实现资源整合与共享；而且未来能够灵活地应对需求发展，可以根据需求的发展变化，在此平台上快速开发建设丰富多样的教育应用；同时保证这些应用有机统一，集成创新，发挥最大效益.1.4 项目建设内容和目标区域级教育云，需要一定的软硬件平台的支撑，从业务架构上来看，区域级教育云数据中心主要包括以下几个层面：1.l

15、层，即数据中心的机房建设，包括符合数据中心机房要求的物理空间，以及保证数据中心运行的水、电、照明、制冷、消防和安保等系统.L2层，即数据中心IT系统，如各类计算、存储、网络和安全设备，以及对这些设备的调度和管理。1.3层，即运行在数据中心之上的各类应用和业务，比如办公中心、公文流转、学籍管理、教务管理、成绩管理、人事管理、校产管理、教育资讯、教育资源、家校互联、教育博客、教育网盘等。另外还需要建立保证数据中心正常运行的运维管理体系。本次项目建设主要聚焦在L2层的建设，核心在于以云技术架构为基础构件教育公共服务平台，满足数字教育教学应用的建设需要，实现教育资源的共享.为此，建设目标主要包括以下方

16、面：,控制IT投资成本,包括各类软硬件、机房设备的投资,实现更加精细化的IT成本控制；,整合当前分散的IT硬件资源，提高资源利用效率，节约机柜、机房空间占用。并实现IT资源模块化建设和横向弹性扩展能力/加速项目开发部署和业务需求响应速度,缩短IT基础设施资源的交付周期，进而缩减项目整体实施周期；/通过统一管理与运维，通过自动化的云资源运维管理和业务编排，降提升IT部门运营和运维效率从而将更多精力投入业务并提升业务价值，实现IT价值转型。/提升当前平台、业务和数据的高可靠性，利用创新IT技术，口使得业务连续性三务能力更强，降低业务宕机和数据丢失风险。,通过全方位多层级的云安全体系实现等保合规的安

17、全服务,以保障业务和数据安全/打造终极IT即服务能力,实现IaaS平台，提供面向内外部资源服务化、业务自动化部署、流程自动化建立、平台精细化运营以及大数据分析平台的实现。1.5 项目建设原则区域教育云嘘中心，作为本区域中小学教育的重要基础设施，有其特殊的、重要的意义.因此教育云健中心的规划、设计、实施应符合一定的原则：1、统一规范、长远规划本次建设将遵循统一的平台设计、统一的管理设计、统一的服务设计以，以软件定义”为核心技术架构，规避技术绑定”为基础条件，硬件通用标准化为目标，实现平台架构的最大化优化和调整，对应未来新业务的上线、日常业务策略调整、基础资源的扩张提供标准的流程2、成熟稳定、开放

18、合作优先评估并采用成熟、稳定的云化IT技术（超过2年以上实际商业成功应用），保证信息化平台具备有优秀的稳定性和强大处理性能,为主要业务提供7x24小时持续的支撑服务；其次选择更具开放性的结构，要求各类系统设计、产品及网络构建都要满足相关的国际标准和国家标准，提供标准结构及接口，有效地兼容各种品牌、厂商、运营商的系统和网络，实现多系统、多平台的互联互通.3、实用先进、安全可靠本次云平台建设，采纳主流并具备技术前置性的技术架构,并充分考虑用户数据的安全，避免用户受到异常攻击或敏感数据窃取。应能主动评估业务系统的安全状况及提供弥补措施，并提供各种操作行为的可回溯能力.以虚拟化技术为基础，必要时引入分

19、布式存储架构实现高可用；同时,云计算服务管理平台提供资源和服务的各种运维能力，可以监控资源的使用情况，对于平台故障提供及时地预警报警，保证云计算平台的稳定运行4、利旧整合、按需建设满足资源的随时随地按需分配，充分利旧现有IT硬件资源，建立一个灵活的硬件基础架构。硬件掷出架构通常由虚拟的服务器池、共享的存储系统、网络和硬件管理软件组成，并具备极其灵活的弹性扩能力，通过云平台提供自助服务2项目需求分析2.1IT基础架构需求教育云数据中心应遵循面向业务需求的设计思路，基于业务场景化、模块化的设计方法，实现数据中心IT基础架构模块雨业务模块松耦合，保证数据中心业务能够实现动态扩展和新业务上线，使用典型

20、规格产品设计，包括硬件、软件和应用规格化来提供简单可靠、易于部署和管理、便于扩展和升级的IT兽出架构，为XX教育局提供更好的投资保护，满足教育数据中心新建、升级扩容，以及数据中心统一管控的要求。其中：lfcYG2:详细阐述各个IT噩求2.1.1网络需求,教育云数据中心网络需要支持如下多种类型的用户的接入：1.互联网用户，即通过互联网访问数据中心的终端用户，如记账.2、中小学用户（包括老师和学生），即通过WAN专线访问蝙中心内网核心区业务的终端用户.3、数据中心业务运维管理员:主要负责数据中心的业务维护.4、数据中心系统运维管理员：主要负责数据中心的运维维护.，数据中心网络需要支持VPN安全访问

21、方式.工数据中心应由完整的安全策略控制体系以实现数据中心的安全控制.从业务角度,网络要按功能划分区域，各个功能区之间在保证正常的业务流量与效率的同时，严格进行访问控制，网络内部和外部应实现安全隔离，不同业务服务区之间实现安全隔离,保障业务系统的安全性.工数据中心网络应具备简单、高可扩展性、高可靠、高可用性，网络设计能有效避免单点故障，实现关健设备冗余、链路冗余.4.数据中心会存在语音、视频等业务需求，该业务对时延、抖动敏感，由于广域网带宽有限，需要云平台对网络QOS提供强力保障。2.1.2 计算和存储需求数据中心需要支持根据业务应用的不同特点（计算密集型应用系统、高I/O访问应用系统、离并发访

22、问应用系统以及对资源要求一半的应用系统）采用对应的资源配置来满足应用对计算和存储的需要.2.1.3 安全管理需求需要具备数据中心外部网络边界的综合安全防护能力，防范来自internet的各类安全威胁.需针对数据中心内部网路进行安全域划分，对于安全域边界进行网络隔离，定义网络访问控制策略。需针对数据中心内各中小学租户间提供资源隔离和边界安全控制手段.需提供云计算平台内虚拟化基础设施的安全保护能力。2.1.4 资源统一管理需求传统的IT架构为“烟囱式，应用系统采用专用的方式进行分配，无论是应用资源还是硬件资源都无法统筹调度，导致硬件资源的利用率不均衡。尽管XX大学已经初采用了服务器虚拟化的技术，但

23、没有把数据中心内的存储、网络、安全及应用交付系统进行针对性调整，虚拟化技术提供的高可用性、高可靠性和资源动态分配等非常有应用价值的功无法实施，传统数据中心普遍存在的业务连续性差、灵活性差、业务部署周期长、管理维护成本高等问题依然没有得到解决。因此本次项目，需要实现数据中心计算、存储、网络、安全资源的池化与统一管理，当前已经部署了部分VmWare的虚拟化，需要实现异构虚拟化资源的统一管理.2.2云服务需求为支撑区域内的教育机构业务上云，XX县教育云需提供如下类型的云服务：1、云资源型类服务：其目标是向所有教育专网内的部门提供基础设施资源服务：云主机资源，云网络资源、云安全资源、云存储资源、云备份

24、资源、容器云资源等。2、云平台支撑类服务：其目标是向教育局各业务部门和区内各中小学提供平台型的支撑功能。可以提供包括开发测试环境、数据库服务、应用服务引擎、Web应用环境等。3、云运维咨询类服务：其目标是向教育局各业务部门和区内各中小学提供系统运维与规划咨询服务，包括系统规划咨询、系统运维、应用性能雌与报表、应用安装部署、系统与数据迁移、数据备份、统一安全运维和管控等。3总体架构设计3.1 设计思路与原则项目建设原则为项目建设目标的达成保驾护航，项目在规划和设计阶段应遵循以下建设原则。3.1.1 设计思路本次教育局教育云项目的建设是一个复杂、社会化的工程，应立足于较高的建设起点。以长远的观点通

25、盘考虑，应充分考虑业务系统的内部整合、资源灵活应用、调配、高可用、统一管理的业务需求.而且在信息技术、实现技术和平台技术方面都要提出很高的要求。这在客观上要求工程建设中做到统一领导、统一规划、统一技术标准、分布实施.3.1.2 设计原则为了提供随需应变的计窗口数据服务，满足未来数据增长的容量存储需求.教育云平台的建设既要考虑技术先进性，又要遵循稳定、安全、可靠、开放、适度的原则进行： 架构先进：采用领先的混合云架构，将私有云的可控性、可靠性和保密性以及公有云的简单性、灵活性和成本效益结合起来，同时考虑私有云和公有云的统一架构，节省平台管理成本.私有云数据中心内整合计算、存储、网络、中间件和数据

26、,为虚拟化和自动化提供必要的基础，硬件支撑环境建设采用的产品和技术应具有云平台的特征及技术的先进性，保障平台的资源使用周期最大化。设计时充分考虑支持超融合架构，以便可以方便地扩展将来的业务，并具备向未来平滑过渡的能力，且并非TMl超融合方案，避免厂商绑定。 成熟稳定：由于云计算的发展变化很快，而本项目建设时间紧，涉及面广，应用性强，在设计过程中，应选成熟稳定的技术和产品，确保建成的IT架构能够适应各方的需求,同时节约项目施工时间. 安全可靠：系统应具有高可用性、可靠性，能实时承载系统的高速运行、数据信息流转的安全，具有良好的故障恢复能力，整个系统进行多重保障及容错设计，设计时应加强系统安全防护

27、能力，确保系统运行可靠，业务不中断，数据不丢失.设计时充分考虑各边界区域范围的安全性，同时充分考虑区域边界的异构性. 开放适度：由于IT架构是为各业务系统提供支撑，所以必须充分考虑架构的开放性，提供开放标准接口，供开发者及用户使用。数据中心所需设备的选型应该以适用为主，合理选择材料设备;不要造成资源浪费；同时也要保证该数据中心的高可靠性。以较高的性价格比设计数据中心，能以较低的成本、较少的人员投入来维持系统Ittt YG3：总体at划要以i数据中心为上运转，提供高效能与高效益。3.2 扇平台总体架构规划根据教育局未来业务的发展规划，围绕三通两平台的整体建设目标，整个云平台建议按照两云两地三中心

28、”的混合云架构进行整体规划。、夫专线私有云：以教育局自建的方式进行统一规划建设，部署学生管理系统、教师考评系统、各学校常规业务、学校网站等，这类应用需要高可控、高可靠类应用，并且存储需求量大，扩容需求旺盛，建议采用超融合架构，应用虚拟化技术，实现计算、存储、网络、安全的虚拟化,实现资源的池化、流程三务化和按需交付能力。同时根据业务的不同类型选用合适的服务器配置,满足各类业务系统的个性化要求，匹配业务，达到最佳体验；公有云：以云服务的方式租用公共云资源，部署例如静态展示网站、网上教学、继续教育、面向社会的服务等互联网应用，满足此类应用资源高度弹性和社会开放性的需求.为保证业务的连续性和数据安全性

29、，建议采用采用两地三中心的建设规划，主生产中心是承载大部分的业务关键平台。包括教育局的各类内部系统业务,学校的各类网站、教务等业务集中，同时也是整个教育局教育系统的数据大集中平台.同城双活数据中心，与主生产中心对应，针对一些需要7x24连续运行的业务，提供跨机房的双活能力支撑。灾备数据中心，主要是作为数据的跨城备份，防止因主数据中心的故障导致的数据丢失。同时，灾备数据中心也能够利用空闲资源，承载一部分测试系统、教研系统的运行工作。从逻辑架构的视图，纵向解析本次教育云平台整体架构设计：根据分层分模块的设计原则，逻辑架构分为六大部分，具体如下：1、基础设施层基础设施层包括运行教育云所需的数据中心机

30、房物理环境，以及计算、存储、网络、安全等硬件设备.同时，云计算数据中心却房仍然按照分区分域的方式进行规划设计，主要分为网络出口区、业务应用区、数据库区和系统管理区，如有其它区域的规划也可以酌情选择删减；2、超融合架构层资源池层在基础架构层基础上，对资源进行抽象池化，主要包含超融合资源池盒和传统资源池。超融合资源池主要是通过软件定义的方式，实现所有资源的池化。利用各类虚拟化技术，将底层硬件抽象，对底层硬件故障进行屏蔽，统一调度计算、存储、网络、安全资源池。利用服务器虚拟化内核，实现了CPU、内存、I/O的虚拟化，通过共享文件系统保证云主机的迁移、HA、动态资源调度（DRS）和动态资源扩展（DRX

31、）.而分布式交换机预置的VxLAN技术可以实现多租户的虚拟网络隔窗,分布式防火墙可以根据云主机的虚拟网卡提供4层的安全策略.最后，采用分布式存储技术，充分利用服务器内置硬盘资源，构建出完整的存储资源池，多副本（2-3份）技术、热备盘技术等保证了存储数据的高可靠，本地I/O技术、全局条带化技术等提升了存储系统的服务效率.3、云运维和管理层云运维和管理层包含公有云管理平台、私有云管理平台以及统一云管平台.公有云管理平台主要是对公有云的基础设施资源进行统一管理,并提供本地运营和运维能力。私有云管理平台则负责管理私有云数据中心的内的资源。最终由云管平台实现统一的运营运维以及安全服务。云层主要面向教育云

32、的管理员，可以更好的对云平台提供给教育用户的云服务进行配置与管理，例如：服务目录的发布，组织架构（管理）的定义，市局委办用户管理、云业务流程定制设计以及资源的配额与计费策略定义等.同时，还可以提供基础的设备管理、配置管理、镜像管理、备份管理、日志管理、监控管理和报表服务等，充分满足云管理员对云平台的日常运营维护需求。4.云服务层云服务层提供标准的IaaS服务,包括云主机、云网络（VSUbnetvRouterVNAT/DomainName等）、云防火墙、云负载均衡、云数据库及云存储服务。IaaS层服务向PaaS层提供开放APl接口调用。有的服务，均通过自助服务门户（定制化的Portal）,向教育

33、用户提供自助式的自动化流程交付。各学校可利用自服务功能进行各类服务的申请，通过审批后,即可交付所需的各类云资源，并实现远程控制使用。5、云安全防御层云安全防护为物理层、抽象控制层、云服务层提供全方位的安全防护，包括防漏洞扫描、主机防御、网站防御、数据库安全、租户隔离、认证审计、数据安全等多种模块。完成云平台层面的等保需求，各租户的安全建设，根据租户自身的情况酌情选择。通过三层防御体系，防范来自互联网外部的威胁、边界出口的网络安全和行为管控、云平台内部的安全威胁.6.业务区层通过统一的管理平台，为各个学校、部门规划业务区，实现业务区之间的独立资源调度、网络隔离、安全统一运维的能力，采用单级或两级

34、管理方式，针对每个业务区按需配置资源和安全策略，并形成统一的监控可视化展示。3.3教育云建设步骤建议3.3.1教育云建设第一阶段-搭建基础教育云妣注YG4:求点训第阶段的建设思路考虑到教育信息中心内部应用的重要性，以及各部门数据交互的复杂性，本次教育云项目建设的初期重在搭建郸出平台，业务应用只针对三通两平台”的部分应用，后续会逐步完成整合与业务的迁移。具体包括：1、私有云基础平台搭建对于私有云中的服务器、存储资源池构建，本次方案采用最小建设的思路，即满足业务应用的最小配置要求来选择设备，重点倾向于虚拟化平台、云平台的建设。后续逐步通过现有服务器上业务应用的P2V迁移，对现有服务器进行利旧与整合

35、，逐步将现有服务器、存储设备整合到资源池中，保证最佳的TCo（总体拥有成本）.2.经过小规模业务试点后，建议可以根据应用的情况，以提供IaaS服务为埴出逐步扩容，同时保证对现有应用系统和用户影响最低的前提下，逐步完成向应用向云中的迁移.最终实现所有主要业务的云化运行。随着应用上云的业务规模不断增大，灾备体系的建设建议在第二阶段进行考虑建设。3.3.2 教育云建设第二阶段-完善灾备体系和数据分析建设完善灾备体系建设，构建两地三中心的基础，保障业务具有更高可靠性和数据的更加安全.待IaaS平台日益完善，数据格式、中间件、数据库形成标准、统一之后，随着信息化水平的提升和智慧教育的落地，应用地快速部署

36、、集约化和数据共享，此阶段基本实现了所有业务的应用大集中和数据大集中,数据管理和价值挖掘成为数据中心的挑战。因此，统一的应用支撑平台（paas）和大数据平台的建设需要在第三阶段提上议程。教育云建设第三阶段-构建混合云1.公有云选型和业务部署选择合适的应用,对公有云服务进行尝试,通过公有云资源高度弹性的特征匹配教学应用的潮汐性要求。2、实现私有云和公有云统一运营运维管理以CMDB为核心，构建监、管、控、营一体的云管理平台，在一个云管理平台上实现传统架构、虚拟化、公有云资源的集中管理，和业务统一编排.3、在第三阶段建议规划在数据层面打通私有云和公有云，实现私有云和公有云的统一灾备。4教育云平台详细

37、方案设计4.1 整体方案设计教育局云平台方案设计包含三个部分：私有云方案设计、灾备中心方案设计、公有云方案.本次建设规划以第一阶段主数据中心的私有云方案为主.他注YG5:强调这次主要交流私有云的规划施4.2 私有云方案规划设计4.2.1 详细拓扑架构设计具体说明：1 .云计算平台部署仅需要将物理设备进行服务器虚拟化及网络虚拟化，在网络上利用网络极简的设计思路，只需要简单的二层堆裤交换机,将原有业务分步骤进行迁移。2 .存储网络通过存储交换机作为存储网络互通，利用磁盘整列作为存储云数据中心存储资源。3 .所有虚拟机之间流量都隧道交换机进行转发，虚拟机对外流量先通过隧道交换机到达网络节点，网络节点

38、经过安全NFV设备（vAF、vAD、vSSL等）后，再流向核心交换机。4.2.2 计算资源池设计服务器是云计算平台的核心，其承担着云计算平台的计算”功能.对于云计算平台上的服务器，通常都是将相同或者相似类型的服务器组合在一起，作为资源分配的母体，即所谓的服务器资源池.在这个服务器资源池上，再通过安装虚拟化软件，使得其计算资源能以一种云主机的方式被不同的应用和不同用户使用。深信服aSV虚拟化平台作为介于硬件和操作系统之间的软件层，采用裸金属架构的X86虚拟化技术，实现对服务器物理资源的抽象，将CPU、内存、I/O等服务器物理资源转化为一组可统一管理、调度和分配的逻辑资源，并基于这些逻辑资源在单个

39、物理三务器上构建多个同时运行、相互隔离的虚拟机执行环境，实现更高的资源利用率,同时满足应用更加灵活的资源动态分配需求，譬如提供热迁移、HA等高可用特性，实现更低的运营成本、更高的灵活性和更快速的业务响应速度，如下图所示：经前期需求调研分析，根据业务特点将教育云平台所承载的应用系统分为高性能业务系统、高可用性业务系统、低负载业务系统、不可虚拟化业务系统这四类。其业务特性如下图：业务特征/ CFURfO*U/ RTU/ lfHO(Sf JOOOOIXt业务特征/计ImxWul/BOeS拿T/”季短/CFuiuwm(40%80%业务特征/MWtJWt/CPwwMt*-w%)/WRH(S20M业务特征

40、/AKV/IOFSff9/rmM9内码网”!(sow*)业务资源池KfiLttlk务区低负IUk8高可用业务区物理资源池AtttSSE硬件资源庇处理性能、服务；K1 MMH；般BR务器不可虚拟化的业务系统，我们保持原状，不做虚拟化改造，而其它虚拟化资源池所包含的3种业务区，分别对应3种不同的服务器：处理高性能服务器、存储高性能服务器、一般服务器。我们将通过集群的方式,将不同类型的业务系统部署再相应的服务器集群，在集群内，VM可以做HAe在本项目中，由于目前教育云的规模很小，采用资源分类的方式将资源划分多个集群，反而会导致方案设计复杂，可靠性降低。所以本阶段方案选取的服务器能够同时满足高处理性能

41、和高存储性能要求。3、奥源计算与选型:根据业务系统收集及分类，并通过深信服资源计算工具推算出所需要的计算资源和最佳的硬件型号，教育局教育云项目建设，计算资源设计推荐使用X台SerVer-2300做计算节点。根据单台物理三务器计算能力，保证虚拟机的能力情况下，单台物理服务器可虚拟出的vcp为64个，而单台物理机的内存为256GB,计算方式如下：vCPU=2路*8（每路8核心）*4（倍超售比）=64核内存=256GB（内存不超分）按照木桶原理，并考虑到一定的冗余度，推算出单台物理i艮务器承载的虚拟机个数如下：虚拟机分类vCPU内存单台物理服务器承载的个数小型虚拟机2820个中型虚拟机41610个大

42、型虚拟机8325个4.2.3 存储资源池设计云计算管理平台中的存储用于保存虚拟机的操作系统、应用程序文件、配置文件以及与活动相关的其它数据，是虚拟机正常工作的基本前提条件。云平台中的虚拟机文件系统是一种优化后的高性能集群文件系统，允许多个云计算节点同时访问同存储。由于虚拟架构系统中的虚拟机实际上是被封装成了一个档案文件和若干相关环境配置文件，通过将这些文件放在存储的文件系统中，可以让不同服务器上的虚拟机!阿以访问到该文件,从而消除了单点故障。根据存储的种类不同，可以分为分布式存储和SAN存储（含FC-SAN,IP-SAN）两种。在创建虚拟机、虚拟存储卷的时候，用户可以选择虚拟机、存储卷所使用的

43、存储资源类型.在本项目建设中，存储资源池的设计推荐采用分布式存储技术。所有业务系统将通过超融合的存储进行承载。利用超融合服务器的本地硬盘作为共享的数据存储空间，通过超融合存储虚拟化软件的统一管理和整合，为业务提供高性能、高可靠性和易扩展的共性存储池.超融合存储使用SSD作为加速缓存和高速分层存储，针对关键的数据库等IO敏感型应4.2.4 网络资源池设计服务器虚拟化技术的出现使得计算服务提供不再以主机为基,而是以云主机为单位来提供，同时为了满足同一物珊艮务器内云主机之间的数据交换需求，服务器内部引入了网络功能部件虚拟交换机VSWitCh(VirtualSwitch),如下图所示，虚拟交换机提供了

44、云主机之间、云主机与外部网络之间的通讯能力.深信服网络虚拟化aNet,通过提供全新的网络运营方式，解决了传统硬件网络的众多管理和运维难题，并且帮助数据中心操作员将敏捷性和经济性提高若干数量级。深信服网络虚拟化aNet方案通过和服务器虚拟化aSV相结合，在虚拟机和物理网络之间，提供了一整套完整的逻辑网络设备、连接和服务，包括分布式虚拟交换机aSwitch,虚拟路由器aR。Uter、虚拟下一代防火墙vNGAF、虚拟应用交付vAD、虚拟VSSLVPN、虚拟广域网优化VWOC等虚拟网络、安全设备；然后，还可以支持VXLAN等增强网络协议，实现和物理网络的无缝对接，简化网络的配置管理；此外，还可以通过虚

45、拟化管理平台，实现网络拓扑部署、网络故障探测等网络管理功能。分布式虚号防火墙;空分布式虚拟负均衡aLB分布式虚拟路由器aRouter分布式虚拟交换机aSwitchaNET网络虚拟化aSV服务器虚拟化从而，aNet虚拟网络可以快速完成不同应用系统的网络部署，网络配置的自动化调整，网络故障排杳等工作，提升网络的管理运维效率，提升网络就绪、扩展速度，降低数据中心物理网络的建设成本。1、简化网络结构，节省硬件网络投资在部署了深信服的网络虚拟化aNet之后，过去传统的接入交换、路由器、负载均衡、防火墙等传统网络、安全硬件设备，通通变成虚拟化的方式运行在服务器里。以前。串糖葫芦式的网络结构也会变得非常的扁

46、平，服务器全部接入到一个大二层的网络，极大的简化物理连线.简化、扁平的网络结构复杂、串糖葫芦式的网络结构S此外，硬件交换机不再需要支持类似TRILLSPBFabricPathVPLS（为了解决服务器虚拟化部署后的问题，新推出的交换机特性）等一些列不必要的过渡性网络功能，从而只需要普通的交换机就可以满足云计算网络的建设，阳氐了不必要的网络建设成本.2、简化网络配置，实现业务自动化调整部署了虚拟网络aNet后，对于物理交换机来说虚拟化环境中的虚拟机网络流量将会变得透明，物理交换机不再需要配置复杂的网络策略，提供简单的大二层转发即可。因为，所有虚拟机的VLAN、QoS、ACL等网络配置策略，将会部署aSwitch.而aSwitch将会自动根据每台虚拟机迁移、删除等过程，实现网络策略的自动跟随，实现网络配置的自动化调整，极大的简化了虚拟机迁移所带来复杂的网络运维工作.简化网络配置，实现自动化部署虚拟化的网络3、高可靠&高性能过去传统物理网络容易因为网络设备的故障而产生问题，解决起来也非常困难，时间都是以小时为单位的。所以，深信服的网络虚拟化产品,在可靠性方面做了很多的改进，首先通过应用层协议栈技术，我们把数据转发放到了应用层，能够让设备永不宕机,而分布式设计的虚拟路由和虚拟交换机，出现故障的时候能够实现秒级切换，从而