XX公司-私有云搭建实施项目-方案建议书

XX公司

私有云项目 方案建议书

2016年10月

i

XX公司-私有云搭建实施项目-方案建议书 ■ 文档编号 ■ 版本编号

V 1.0

■ 密级 ■ 日期

商业机密 2016-4

ii

XX公司-私有云搭建实施项目-方案建议书 目 录

1. 概述 ........................................................................................................ 1

1.1. 项目背景 ............................................................................................................ 1 1.2. 项目目标 ............................................................................................................ 2

2. 私有云平台建设方案 ........................................................................... 3

2.1. 方案设计原则 .................................................................................................... 3 2.2. 平台总体架构 .................................................................................................... 4 2.2.1. 系统拓扑 .................................................................................................. 4 2.2.2. 硬件基础设施层设计 .............................................................................. 7 2.2.3. 虚拟化层设计 ........................................................................................ 17 2.2.4. 云平台管理层设计 ................................................................................ 21 2.2.5. 应用及中间件层设计 ............................................................................ 24 2.3. 资源规划设计 .................................................................................................. 27 2.3.1. 计算资源规划 ........................................................................................ 28 2.3.2. 存储资源规划 ........................................................................................ 32 2.3.3. 网络资源规划 ........................................................................................ 42 2.3.4. 可用性规划 ............................................................................................ 48 2.3.5. 管理与监控规划 .................................................................................... 51 2.4. 平台安全可靠性设计 ...................................................................................... 55 2.4.1. High Availability .............................................................................. 55 2.4.2. Fault Tolerance .................................................................................. 60 2.4.3. Data Protection .................................................................................. 64 2.5. 应用迁移方案 .................................................................................................. 67 2.5.1. 应用迁移总流程 .................................................................................... 68 2.5.2. 应用迁移流程分述 ................................................................................ 70 2.5.3. 系统迁移技术手段 ................................................................................ 80

iii

XX公司-私有云搭建实施项目-方案建议书 2.6. 方案优势 .......................................................................................................... 84

3. 平台设备配置清单 ............................................................................. 87 4. 项目实施及支持服务 ......................................................................... 88

4.1. 项目实施原则和思路 ...................................................................................... 88 4.1.1. 与公司各系统部门协调配合 ................................................................... 88 4.1.2. 充分发挥自身资源优势，调配优势资源参与本项目 ........................... 88 4.1.3. 合理分工，有效协调，保证项目顺利进行 ........................................... 89 4.1.4. 与合作厂商高度协同，共同完成项目实施 ........................................... 89 4.1.5. 制定周密的应急方案和风险管理方案，保证系统准时上线 ............... 89 4.2. 项目实施方案 .................................................................................................. 89 4.2.1. 设计规划阶段 ........................................................................................... 90 4.2.2. 构建部署阶段 ........................................................................................... 97 4.2.3. 系统测试阶段 ........................................................................................... 98 4.2.4. 试运行与验收阶段 ................................................................................. 109 4.3. 项目实施计划 ................................................................................................ 111 4.3.1. 项目实施时间计划 ................................................................................. 111 4.3.2. 项目组织人员架构 ................................................................................. 112 4.4. 项目管理 ........................................................................................................ 118 4.4.1. 项目管理任务 ......................................................................................... 119 4.4.2. 项目风险管理 ......................................................................................... 120 4.4.3. 项目沟通管理 ......................................................................................... 120 4.4.4. 项目问题管理 ......................................................................................... 121 4.4.5. 项目变更管理 ......................................................................................... 121 4.4.6. 项目延期管理 ......................................................................................... 124 4.4.7. 安全与办公室规范 ................................................................................. 125 4.5. 培训计划 ........................................................................................................ 126 4.5.1. 我公司技术培训 ..................................................................................... 126

iv

XX公司-私有云搭建实施项目-方案建议书 4.5.2. 其他认证培训 ......................................................................................... 127

5. 售后技术支持服务 ........................................................................... 128

5.1. 日常技术支持服务 ........................................................................................ 128 5.2. 故障到场维护服务 ........................................................................................ 129 5.3. 平台定期巡检服务 ........................................................................................ 129

v

私有云项目 -方案建议书 1. 概述

1.1. 项目背景

XX公司近年来业务飞速发展，不断增长且集中的业务对 IT 部门的要求越来越高，所以数据中心需要更为快速的提供所需能力，提供可靠性的同时，简化IT运维管理。

在传统IT基础架构环境中，烟囱式的部署架构，随着业务迅速发展给IT带来很大压力，服务器需求不断增多，机房空间、电力成为瓶颈，导致应用所需服务器资源紧张，正常项目开展受到限制。系统管理人员日常忙于救火和新的部署工作，无精力开展管理提升工作，技术复杂性，使得部署时间越来越长，导致应用上线时间延长。为了应对这些压力，人们开始寻求新的技术和管理解决方案。

云计算的概念首先是从业务管理角度被人们接受，节省投资、需求快速部署、按需使用，这些特性得到企业业务管理层认可后而使云计算迅速扩展，并成为真正落地的解决方案。

云计算通过资源池技术，实现应用服务器和硬件服务器隔离，使硬件资源切片使用，提供逻辑虚拟服务器为应用提供服务，这样不但物理资源得到充分利用，而且机房压力减少，整体投资下降。虚拟化技术把虚拟服务器保存成文件，通过复制文件为快速部署提供可能。

由于云计算的这些技术和管理的先进理念在IT界已广泛被接受，企业也像接受水管里的“水”一样开始构建“云”和使用“云”。

在这种环境下，云计算和虚拟化技术就体现了整合优势。应用在 IT 的不同层面，从逻辑层将物理层抽象出来意味着逻辑组件会得到更一致的管理。

从安全监督来看，云计算和虚拟化技术提升了X86服务器的可靠性、可用性，从基础架构层面获得了原先单机系统无法想象的功能，大大提高了业务连续性的级别，降低了故障率、减少了系统宕机的时间。

从服务器的角度来看，云计算和虚拟化技术让每台设备都能托管多种操作系统，最大化了利用率，降低了服务器数量。

从存储的角度来看，云计算和虚拟化技术可网络化、整合磁盘设备，并让多个服务器共享磁盘设备，从而提高了利用率。

.第1页

私有云项目 -方案建议书 从应用的角度来看，云计算和虚拟化技术将应用计算从用户设备中分离出来，并在数据中心对应用及相关数据进行整合，通过集中化技术改善了管理和系统安全性。

XX公司在信息化建设不断发展的今天，目前信息化网络以信息中心为运营维护单位，覆盖多套业务系统，服务器资源需求较大。目前托管机房空间面临升级改造，当前物理服务器的部署模式已经远远不能满足各种业务对其数据中心的新需求，公司需要从国家信息安全等级保护制度与信息安全等级保护工作要求出发，从主机安全、应用安全、数据安全与备份恢复四个层面为公司提供融合化的业务运行解决方案，出于经济效益和管理安全性等方面的考虑，完成私有云平台建设是一件势在必行的大事。

1.2. 项目目标

在总体方案框架内，完成和实现本期项目确定的建设内容。主要包括如下： 1. 私有云软硬件设备的采购、安装部署、调试、实施运行 2. 保障公司业务系统运行的稳定性和安全性 3. 利用该套方案，确保系统架构的合理性与安全性

整体设计方案需具有先进的体系结构，合理的数据结构和充分的升级空间，要考虑到未来需求的变化。IT基础设施方面，需要充分利用虚拟化技术作出硬件规划与部署。对数据中心建设考虑采用虚拟化技术给出硬件规划与部署方案。

.第2页

私有云项目 -方案建议书 2. 私有云平台建设方案

2.1. 方案设计原则

XX公司私有云平台方案旨在通过虚拟化、云计算计算、高可用等目前业界最先进的云计算技术为用户构建新一代的私有云数据中心资源平台，助力用户实现一个高效开放、按需分配、动态调整、灵活扩展的智慧信息化平台，该方案在设计时遵循了以下设计原则：

完整性原则

提供整体的解决方案，包含软件和硬件的详细配置，方案交付的内容与流程，并对相关环境提出具体需求。

安全可靠原则

整个系统从优先考虑角度出发，具有很高的安全性和可靠性保证，在系统设计中我们考虑了完善的高可用方案，数据备份方案，以及应急故障处理切换方案。在设备选型上我们选择了同类设备中性能优良的设备，是拥有高标准，高质量，高性能的产品。

标准化原则

在系统结构设计时，基于国家颁布的有关标准，包括各计算机局域网、信息化安全等级保护要求标准，坚持统一规范的原则，从而为未来的业务发展、设备增容奠定基础。能够随着国内技术标准化进程而同步进行，在自由版权技术不断涌现的同时，系统可以保证符合国际和兼容相关技术，并拥有自己的版权。

先进性原则

系统设计和设备规格符合相应的国际和国内的标准和规范，拥有比较成熟的技术，并保证系统能够在业界具有领先的地位，系统所选设备在领域内具备先进性，适应IT技术发展的要求。

可扩展性原则

.第3页

私有云项目 -方案建议书 系统应具有极强的可扩展性，在保证初期业务的前提下，预留充分的扩展空间，保证将来各种新业务的开展。

可升级性原则

系统能够实现可预见的平滑升级，能够确保系统在不做较大变更的前提下，平滑升级到更高的层次。

实用性原则

以最优的性能价格比构建数据中心，使资金的产出投入比达到最大值。能够以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。

绿色环保原则

采用先进的设计理念和产品以实现环保、节能的人口监控信息化环境，并且拥有良好的低碳环保性能。

2.2. 平台总体架构

从当前平台承载业务系统需求上出发，设计过程中参考服务器、网络、存储配置及资源使用情况，并结合整体IT规划，本次设计满足第一阶段IT基础架构建设的需求，也参照虚拟化产品特点，在满足IT业务需求的情况下，规划了总体架构。

总体架构满足x86系统的IT资源需求，并充分利用已有的硬件资源设计总体架构和集群。本章节将主要针对以上的架构，进行详细阐述。

2.2.1. 系统拓扑

私有云平台采用自下而上的逻辑功能分层架构设计，总体逻辑架构包括了如下三层：

? IT物理架构层：提供底层的基础架构服务器、存储、网络等硬件环境资源。

.第4页

私有云项目 -方案建议书 ? 虚拟化实现层：提供对硬件资源的虚拟化和池化能力，包括对服务器、存储

和网络的虚拟化资源交付能力。采用业界成熟稳定的VMWare vSphere 虚拟化软件作为虚拟化平台实现层。

? 云计算平台层（含应用部署）：提供应用系统的部署托管，以及对云平台的

整体运维管理功能，为上层业务平台支撑。

图示：私有云平台逻辑功能架构图

同时，本期平台的物理部署架构图如下：

.第5页

私有云项目 -方案建议书

图示：私有云平台物理拓扑图

虚拟化技术的引入，不会对现有的网络架构做本质上的颠覆，原先的架构仍然是延续的，只是在数据中心的基础设施方面，大大减少了需要维护和管理的设备，如服务器、交换机、机架、网线、UPS、空调等等。原先设备可以根据制度进行折旧报废、或者利旧更新，使得IT管理人员有了更多的选择。

物理服务器通过千兆以太网口，与上层业务交换机互联。同时，采用FC SAN协议，连接底层的SAN交换机，实现与存储设备的连接通讯。

对于虚拟化服务器，搭建了虚拟化集群，并进行统一管理。原有的服务器设备仍可以正常运行，并且与虚拟化服务器融合在一起，从网络层面构建VLAN、数据共享、业务隔离等，都可以延续原来的网络管理模式。

.第6页

私有云项目 -方案建议书 随着虚拟化的不断应用，可以不断动态地增加虚拟化集群的规模，搭建更健康的IT体系架构。

客户端方面，延续了原先的访问模式，对于虚拟服务器的数据交互等操作，等同于原先传统物理服务器的网络v-LAN访问模式，不会对业务系统造成任何影响。

2.2.2. 硬件基础设施层设计

2.2.2.1. 物理服务器

本方案采用x86机架式服务器，包括4台计算资源池服务器和1台管理服务器，具体型号和规格配置参考平台软硬件配置清单。

2.2.2.2. 存储设备

X86服务器虚拟化架构高效运行同时取决于高度灵活和高效的存储基础设施。本方案采用了功能强大的HP 3Par StoreServ 8000系列存储阵列，在降低整体成本的同时，与vSphere的整合能力提升了服务器虚拟化所带来的核心效益。

3PAR公用存储将高度虚拟化和动态分层的3PAR StoreServ存储服务器与3PAR InForm?软件先进的内部虚拟化功能结合起来，以提高管理效率、系统利

.第7页

私有云项目 -方案建议书 用率和存储性能。如果与VMware的服务器虚拟化共同部署，3PAR公用存储可以使用户提高整合的性能、简化管理，并最大程度地节省成本，从而提高VMware vSphere的投资回报率。

图示：3PAR StoreServ 8000系列存储阵列

设备技术规格如下表：

规格 硬盘说明 说明 24 个 SFF SAS，支持通过 SFF（2.5 英寸）2U 和 LFF（3.5 英寸）4U 驱动器机箱，可扩展至共 240 块 SAS 驱动器。 主机接口 16 个 4 Gb/秒光纤通道端口，包括可选择在阵列中增加 8 个 16 Gb/s FC 端口或 4 个 10GbE iSCSI/FCoE 端口或 8 个 1Gb/s 以太网端口（仅限 File Persona）或 4 个 10 Gb/s 以太网端口（仅限 File Persona） 可用性特性 冗余电源和风扇 最少支持两个冗余控制器，最多支持两个控制器用于增加的冗余RAID 1、RAID 5 和 RAID 6 用于数据保护。 高速缓存 64GB

作为便利、高效、稳固和能够长期使用的存储平台，3PAR StoreServ 为用户带来优化的性能，同时支持基于闪存的介质和旋转介质，还可通过扩展满足整个中高端服务平台的需求。整个平台共享同一个通用操作系统、整合的用户界面以及同一套丰富的数据服务

.第8页

私有云项目 -方案建议书 3PAR InSpire?架构特有的性能和可靠性优势，可以使VMware vSphere环境中的虚拟机密度加倍，且不会影响整合应用的可用性。因此，用户可以减少50%以上的物理服务器采购，来实现高性能、高可靠性的虚拟化服务器部署。

就所有的存储平台管理而言，3PAR公用存储平台的管理最为简单，可让您减少多达90％的存储管理时间。除了精简配置，3PAR还具有的几个独特优势，可以提高对存储资源的监控力度，并提供对快照和快速在线恢复更佳的粒度和控制，从而简化VMware vSphere环境的管理。

2.2.2.3. 网络设备

1) SAN存储网络交换机

图示：Brocade 310光纤交换机

.第9页

私有云项目 -方案建议书 Brocade 310光纤交换机就为当前私有云平台系统提供了可简化管理基础设施、改善系统性能、最大实现虚拟服务器部署价值并降低整体存储成本的SAN连接。Brocade 310基于8 Gbit/sec光纤通道技术，是一款适用于新SAN和现有SAN网络的简单且可承受的单交换机解决方案： 提高效率，管理业务增长

Brocade 310可显著提高入门级SAN网络的性能和功能。它基于第6代技术的设计，拥有自动感应1、2、4和8 Gbit/sec接口速率以及可大大增强fabric操作的各种特性。其渐进式设计在提供这些功能的同时还使得每端口所耗电量不到2.5瓦，实现了额外的电源和散热效率。

可同时享有低成本设备连接与强大功能两大优势，使得SAN技术具有高可访问性和高承受能力。此外，更快速的软件功能开通、系统软件升级和维护还可减少系统的被迫停机，最大程度提升业务连续性。

“用多少买多少”的可扩展性

Brocade 310集成了所有创新性软硬件特性，使其不仅易于部署和管理，同时还可轻松集成进广泛的IT环境中。它所拥有的更为灵活的强大功能，如：按需增加端口可扩展性可以8端口的增量从8个端口扩展至16或24个端口——让用户能以不间断方式创建或升级小型存储网络。

向前向后兼容性

Brocade 310可通过到Brocade Fabric OS (FOS)或M-Enterprise OS (M-EOS)环境中的原生E_Port连接，实现与现有Brocade 310交换机的无缝操作。此外，它还可根据业务需要来实施到较大型核心-边缘网络架构的无缝扩展。

Brocade 310可轻松地集成进部署vSphere虚拟服务器环境中，部署十分便利。最终，所有这些功能让Brocade 310成为了虚拟服务器部署、LAN-free备份以及服务器和存储整合等SAN解决方案的理想选择。

以更好的方式提高运营管理

SAN环境的主要优势之一就是硬件资源的整合。这种集中化方案可帮助提

.第10页

私有云项目 -方案建议书 高运营效率和员工生产效率，而这二者正是中小型企业的关键需求。由于只有较少物理资源需管理，企业员工可将更多精力用于处理其它业务增长问题上，还可集中精力于其它战略方案上。

高性能8 Gbit/sec光纤通道功能可加速数据传输，帮助保持数据的畅通与应用的运行。例如，它使得各机构可显著改善分布式电子邮件环境中存储利用率。此外，基于SAN的架构还实现了LAN-free备份和更高效的数据中心资源管理，从而可提高整体系统性能和生产力。

卓越的网络性能

Brocade 310提供所有端口1、2、4和8 Gbit/sec (全双工)运行的高性能，实现最高达408 Gbit/sec的无拥塞吞吐量。数据流量的自动感应和速率匹配为用户提供了与之前1、2和4 Gbit/sec设备的互操作性。而为了提供更具针对性的性能，增强的交换机间链路(ISL)干线合并功能还可将2台Brocade 310交换机间最多8条ISL整合成为单条高速逻辑干线，其吞吐量最高可达68 Gbit/sec。

简化管理

Brocade 310交换机采用智能Brocade Fabric OS来形成高可靠性可扩展性环境。各机构可采用命令行界面、Brocade Web Tools工具以及Brocade Enterprise Fabric Connectivity Manager (EFCM)和Fabric Manager等更广泛的Brocade管理工具来管理其交换机配置。我公司Brocade 300E还提供了一个USB端口以便于固件升级和系统日志下载，从而提高了可服务性和错误日志功能。

适应性网络服务

Brocade 310采用适应性网络服务，一套可优化fabric行为并确保关键业务应用带宽充足的工具，这些工具目前包括：QoS、入站速率限制、流量隔离和最高用量者。

通过为各区分配一个高、中或低优先级，QoS可在拥塞发生时分配带宽以让高优先级流量先行通过，保持所有通讯流的畅通。入站速率限制可通过事先调整带宽来限制来自比较不重要主机的数据流。流量隔离可分配高带宽数据流到特定

.第11页

私有云项目 -方案建议书 ISL上。最高用量者可实时调整特定物理和虚拟设备以及整个fabric架构端到端中占用最高带宽的流量。 产品技术规格如下：

系统架构 光纤通道端口 交换机模式（默认）：24个物理端口，默认开通8个端口，可通过按需增强端口许可（POD），以8端口的增量增加为16和24个通用（E、F、M、FL或N）端口 接入网关默认端口映射：16个F_Port、8个 N_Port 可扩展性 默认不可支持级联，通过软件许可升级可支持完全Fabric架构，最多可239台交换机 标准最大支持数 单一Brocade FOS fabric：56个域、19个跃点 单一Brocade M-EOS fabric：31个域、3个跃点 较大型Fabric可按需配置；有关配置细节，请参考Brocade或OEM SAN设计文件 性能 1.063 Gbit/sec 线速、全双工； 2.125 Gbit/sec 线速、全双工； 4.25 Gbit/sec 线速、全双工； 8.5 Gbit/sec 线速、全双工； 1、2、4和8 Gbit/sec端口速率自动感应；可选择性编程为固定端口速率； 1、2、4和8 Gbit/sec端口速率匹配 .第12页

私有云项目 -方案建议书 ISL干线合并 基于帧的干线合并，在可选许可下 每条ISL干线最多8个8 Gbit/sec 端口， 每条ISL干线速率最高68 Gbit/sec (8端口× 8.5 Gbit/sec [线速]) 运用Fabric OS中所包括的DPS，实现基于交换的跨ISL负载平衡， 集合带宽 最大Fabric延迟 最大帧 帧缓冲 服务级别 端口类型 408 Gbit/sec: 24端口× 8.5 Gbit/sec (线速) × 2 (全双工) 8 Gbit/sec速率下采用无争用、直通路由时为700纳米 2112字节净负荷 可动态分配700帧，每端口最多为484帧 Class 2, Class 3, Class F (交换机间帧) FL_Port、F_Port、M_Port (镜像端口)和E_Port; 基于交换机类型的自我发现(U_Port); Brocade Access Gateway 模式中的可选端口类型控制: F_Port 和使用NPIV技术的N_Port 数据流量类型 介质类型 Fabric交换机支持单播、多播(255组)和广播 8 Gbit/sec: 要求我公司Brocade可热插拔SFP+、LC连接器；短波激光(SWL); 最大距离取决于光缆和端口速率 USB 1个USB端口，适用于固件下载、支持保存、配置上传/下载 .第13页

私有云项目 -方案建议书 Fabric服务 简单名称服务器(SNS);注册状态变更通知(RSCN);NTP v3; Reliable Commit Service (RCS);动态路径选择(DPS); Brocade高级分区(默认分区、端口/WWN分区、广播分区);NPIV; N_Port 干线合并;FDMI;管理服务器;FSPF;Fabric watch; Extended Fabrics;ISL干线合并;高级性能监控; 适应性网络(按数据流QoS、入站速率限制、流量隔离、最高用量者许可变化); IPoFc,帧重定向;Port Fencing;BB credit恢复 选项 管理 管理 机架安装导轨套件(固定式、滑动式、mid-mount) Telnet、HTTP、SNMP v1/v3 (FE MIB, FC Management MIB);审核、系统日志、变更管理追踪；EZ Switch Setup向导；Brocade Advanced Web工具；Brocade EFCM标准版/企业版9.x (可选); Brocade Fabric Manager (可选:仅FOS环境); 符合SMI-S标准, SMI-S脚本工具集、管理域；面向选定的插件功能的试用版许可证 安全 SSL、SSh v2、HTTPS、LDAP、RADIUS、基于角色的访问控制(RBAC)、DH-CHAP(交换机和终端设备间)、端口绑定、交换机绑定、安全RPC、Secure copy (SCP)、Trusted Switch、IPSec、IP过滤 管理访问 10/100以太网(RJ-45)、通过光纤通道的带内管理；串口(RJ-45); USB;可通过Brocade EFCM和Brocade Fabric Manager实现的call-home集成 诊断 POST和内嵌式在线/离线诊断，包括RAStrace日志、环境监控、不间断daemon重启、Fcping和Pathinfo(FC traceroute)、端口镜像(SPAN端口)

2) 以太网络交换机

.第14页

私有云项目 -方案建议书 华为S5700系列以太网交换机，是为满足大带宽接入和以太多业务汇聚而推出的新一代绿色节能的全千兆高性能以太交换机。它基于新一代高性能硬件和VRP(Versatile Routing Platform）平台，具备大容量、高可靠（双电源插槽和硬件级以太OAM）、高密度千兆端口，可提供万兆上行，支持EEE能效以太网和iStack智能堆叠，充分满足私有云平台接入、汇聚、千兆接入的应用场景。

图示：华为S5700S-28P-LIAC以太网交换机

S5700系列交换机提供丰富的终端安全管理特性，支持PoE、Voice VLAN、Qos等功能，可以轻松的提供多样化的桌面接入功能，实现千兆到桌面的高性能网络。

提供丰富的安全特性，在接入设备上实现ARP安全、IP安全、IP源防攻击等安全措施，支持NAC、ACL等用户访问控制策略，将用户安全控制在网络终端。

提供链路聚合特性，支持LACP协议，可以为服务器提供多条链路接入，实现链路带宽提升和链路备份。

支持EasyOperation、U盘开局等部署特性，可以快速部署设备，方便管理。

S5700S-28P-LIAC产品支持的规格参数如下： 基本参数 .第15页

私有云项目 -方案建议书 产品型号 产品类型 应用层级 包转发率 S5700-28P-LI-AC 千兆以太网 二层 78Mpps 硬件参数 接口类型 接口数目 传输速率 端口结构 堆叠支持 24个10/100/1000Base-TX，4个100/1000Base-X SFP 28口 10M/100M/1000Mbps 非模块化 可堆叠 网络与软件 .第16页

私有云项目 -方案建议书 VLAN支持 网管功能 MAC地址表 其他性能 支持VLAN功能 支持端口镜像和RSPAN(远程端口镜像) 16K 基于五元组、IP优先级、TOS、DSCP、IP协议类型、ICMP类型、TCP源端口、VLAN、以太网帧协议类型、CoS等信息，实现复杂流分类功能。S5700支持基于流的双速三色限速功能，每端口支持8个优先级队列，支持WRR、DRR、SP、WRR＋SP、DRR+SP多种队列调度算法，有效地保证话音、视频和数据业务质量。提供多种安全保护功能。支持DoS（Denial of Service）类防攻击、网络的防攻击、用户的防攻击等功能。其中DoS类防攻击主要包括SYN Flood、Land、Smurf、ICMP Flood。网络的防攻击主要是指STP的BPDU/Root攻击。用户的防攻击涉及DHCP仿冒攻击、中间人攻击、IP/MAC Spoofing 攻击、DHCP request flood、改变 CHADDR 值的 DoS 攻击等等。支持通过建立和维护DHCP Snooping 绑定表，侦听接入用户的MAC/IP 地址、租用期、VLAN-ID、接口等信息，解决 DHCP 用户的IP 和端口跟踪定位问题。同时，对不符合绑定表项的非法报文（ARP欺骗报文、擅自修改IP地址等）直接丢弃。

2.2.3. 虚拟化层设计

1).基于vSphere的虚拟数据中心基础架构

vSphere 可加快现有数据中心向云计算的转变,同时还支持兼容的公有云服务,从而为业界唯一的混合云模式奠定了基础。vSphere，许多群体称之为“ESXi”，即底层虚拟化管理程序体系结构的名称，这是一种采用尖端技术的裸机虚拟化管理程序。

vSphere 是市场上最先进的虚拟化管理程序，具有许多独特的功能和特性，其中包括：

? 磁盘空间占用量小，因此可以缩小受攻击面并减少补丁程序数量

.第17页

私有云项目 -方案建议书 ? 不依赖操作系统，并采用加强型驱动程序

? 具备高级内存管理功能，能够消除重复内存页或压缩内存页 ? 通过集成式的集群文件系统提供高级存储管理功能 ? 高I/O可扩展性可消除 I/O瓶颈

基于VMware vSphere 的虚拟数据中心由基本物理构建块（例如 x86 虚拟化服务器、存储器网络和阵列、IP 网络、管理服务器和桌面客户端）组成。

图：vSphere 数据中心的物理拓扑

vSphere 数据中心拓扑包括下列组件:

? 计算服务器

在祼机上运行 ESXi 的业界标准 x86 服务器。ESXi 软件为虚拟机提供资源，并运行虚拟机。每台计算服务器在虚拟环境中均称为独立主机。可以将许多配置相似的 x86 服务器组合在一起，并与相同的网络和存储子系统连接，以便提供虚拟环境中的资源集合（称为群集）。

? 存储网络和阵列光纤通道

SAN 阵列、iSCSI SAN 阵列和 NAS 阵列是广泛应用的存储技术， VMware vSphere 支持这些技术以满足不同数据中心的存储需求。本方案中，采用SAN阵

.第18页

私有云项目 -方案建议书 列的接入方式。存储阵列通过存储区域网络连接到服务器组并在服务器组之间共享。此安排可实现存储资源的聚合，并在将这些资源置备给虚拟机时使资源存储更具灵活性。

? IP 网络

每台计算服务器都可以有多个物理网络适配器，为整个 VMware vSphere 数据中心提供高带宽和可靠的网络连接。

? vCenter Server

vCenter Server 为数据中心提供一个单一控制点。它提供基本的数据中心服务，如访问控制、性能监控和配置功能。它将各台计算服务器中的资源统一在一起，使这些资源在整个数据中心中的虚拟机之间共享。其原理是：根据系统管理员设置的策略，管理虚拟机到计算服务器的分配，以及资源到给定计算服务器内虚拟机的分配。

在 vCenter Server 无法访问（例如，网络断开）的情况下（这种情况极少出现），计算服务器仍能继续工作。服务器可单独管理，并根据上次设置的资源分配继续运行分配给它们的虚拟机。在vCenter Server 的连接恢复后，它就能重新管理整个数据中心。

? 管理客户端

VMware vSphere 为数据中心管理和虚拟机访问提供多种界面。这些界面包括 VMware vSphere Client (vSphere Client)、vSphere Web Client（用于通过 Web 浏览器访问）或 vSphere Command-Line Interface (vSphere CLI)。 2). 资源分配方式

可以在非集群（独立式）vSphere 主机和集群中配置 CPU 和内存资源池。主机、群集和资源池提供了灵活而动态的方法,来组织虚拟环境中聚合的计算和内存资源,并将其链接回基础物理资源。

主机表示 x86 物理服务器的聚合计算和内存资源。例如,如果 x86 物理服务器具有四个双核 CPU(每个以 4 GHz 速度运行)和 32 GB 的系统内存,主机将提供 32 GHz 计算能力和 32 GB 内存来运行分配给它的虚拟机。

群集可作为单个实体发挥作用和进行管理。它表示共享相同网络和存储阵列的 x86 物理服务器组的聚合计算及内存资源。例如,如果服务器组中包含 8 台服务器,每台服务器有四个双核 CPU(每个 CPU 以 4 GHz 的速度运行)和 32 GB 内存,群集将聚合 256GHz 的计算能力和 256GB 的内存来运行虚拟机。

.第19页

私有云项目 -方案建议书 资源池是单个主机或群集的计算及内存资源的分区。资源池可以是分层的,也可以是嵌套的。您可以将任何资源池划分为较小的资源池,以进一步划分资源并将其分配给不同的组或用于各种不同的目的。借助资源池，您可以根据业务需要分层次地划分并分配 CPU 和内存资源。划分并分配 CPU 和内存资源的原因包括维护行政界限、执行收费政策，或者适应地域或部门划分。资源池还用于向其他用户和组委派权限。

图：资源池

vSphere 使用份额、限制和预留来确保主机上（或集群中）一起运行的虚拟机能够获得足够的资源，如 CPU、内存、网络和存储。

? 份额

份额可以保证为虚拟机提供资源（CPU、RAM、网络或存储 I/O）的特定百分比。默认情况下，每个虚拟机将能够访问相同比例的资源。例如，如果 vSphere 主机上运行 4 个虚拟机，则每个虚拟机可以访问 25% 的可用 CPU 资源。如果有多余的容量可用，则虚拟机可以利用更多。

份额指定虚拟机（或资源池）的相对重要性。如果某个虚拟机的资源份额是另一个虚拟机的两倍，则在这两个虚拟机争用资源时，第一个虚拟机有权消耗两倍于第二个虚拟机的资源。

.第20页

私有云项目 -方案建议书 份额通常指定为高、正常或低，这些值将分别按 4:2:1 的比例指定份额值。还可以选择自定义为各虚拟机分配特定的份额值（表示比例权重）。

指定份额仅对同级虚拟机或资源池（即在资源池层次结构中具有相同父级的虚拟机或资源池）有意义。同级将根据其相对份额值共享资源，该份额值受预留和限制的约束。为虚拟机分配份额时，始终会相对于其他已打开电源的虚拟机来为该虚拟机指定优先级。

? 限制

限制则可以为资源分配提供硬性上限。即使有更多 CPU 容量可用，也可以将虚拟机可获得的虚拟 CPU 频率设置为不超过 1 GHz。限制通常会在客户支付资源使用费的共享基础架构配置中使用。限制功能为可以分配到虚拟机的 CPU、内存或存储 I/O 资源指定上限。

服务器分配给虚拟机的资源可大于预留，但决不可大于限制，即使系统上有未使用的资源也是如此。限制用具体单位（兆赫兹 (GHz) 或兆字节 (MB) 或每秒 I/O 操作数）表示。

CPU、内存和存储 I/O 资源限制默认为无限制。如果内存无限制，则在创建虚拟机时为该虚拟机配置的内存量将成为其有效限制因素。

? 预留

预留指定保证为虚拟机分配的最少资源量。仅在有足够的未预留资源满足虚拟机的预留时，vCenter Server 或 ESXi 才允许打开虚拟机电源。即使物理服务器负载较重，服务器也会确保该资源量。预留用具体单位（兆赫兹 (GHz) 或兆字节 (MB)）表示。例如，假定有 2GHz 可用，并且为 VM1 和 VM2 各指定了 1GHz 的预留量。现在每个虚拟机都能保证在需要时获得 1GHz。但是，如果 VM1 只用了 500MHz，则 VM2 可使用 1.5GHz。预留默认为 0。可以指定预留以保证虚拟机始终可使用最少的必要 CPU 或内存量。

2.2.4. 云平台管理层设计

vCenter Server管理平台体系结构和组件：

VMware vCenter Server是一款服务器和虚拟化云平台管理软件，提供一个用于管理 VMware vSpher环境的集中式平台。利用 vCenter Server，IT 管理员可以自动实施和交付虚拟基础架构。

.第21页

私有云项目 -方案建议书

图：vCenter Server管理拓扑

vCenter Server 位于 vSphere 的管理层下。vCenter Server 对云数据中心进行便捷的单点控制。它运行于 Windows 64 位操作系统上，可提供许多基本的数据中心服务，例如：访问控制、性能监视以及配置。它可将各个计算服务器的资源整合起来，以供整个数据中心内的虚拟机共享。实现方法为：根据系统管理员设定的策略，管理分配给计算服务器的虚拟机以及分配给特定计算服务器内虚拟机的资源。

vCenter Server Windows 实施的一个低成本备用方案是以 vCenter Server 设备（vCenter Server Appliance）的形式提供，这是一个运行在基于 Linux 预配置设备中的 vCenter Server 实施。从vSphere 6.0开始，vCenter Server Appliance与vCenter Server Windows在配置指标上已经没有区别了。

vCenter Server 提供了多种可供用户选择的界面，用以管理数据中心和访问虚拟机。用户可以选择最符合自身需求的界面，如 vSphere Client 、vSphere Web Client、或终端服务（如 Windows Terminal Service 或 Xterm）。

.第22页

私有云项目 -方案建议书

图：vCenter Server用户界面

虽然 vCenter Server 可以在没有扩展模块和插件等附加组件的情况下正常运行，但大多数的数据中心仍然包含了这些附加组件，以便简化虚拟 IT 环境的管理。

vCenter Server 组件包括用户访问控制、核心服务、分布式服务、vCenter Server 插件和 vCenter Server 接口：

图：vCenter Server组件

.第23页

私有云项目 -方案建议书 ? 借助“用户访问控制”组件，系统管理员可针对不同用户创建不同级别的

vCenter Server 访问权限并进行管理。 ? 核心服务是虚拟数据中心的基本管理服务。

? “分布式服务”是一种解决方案，它将 vSphere 功能扩展到单一物理服务器之

外。vMotion、Storage vMotion、DRS、VMware HA 和 FT 均为分布式服务，它们能够为虚拟机实现高效的自动化资源管理和高可用性。 ? vCenter Server 插件通过提供更多的特性和功能扩展了 vCenter Server 的

功能。 ? vCenter Server 接口可将 vCenter Server 与第三方产品和应用程序集成在

一起。 ? VMware vCenter Server 是服务器管理软件，可通过单一控制台提供对

vSphere – 的集中可见性、主动管理和可延展性。

2.2.5. 应用及中间件层设计

2.2.5.1. 应用系统和中间件分析

在本期私有云平台中，主要承载PMIS、明源系统，以及档案系统等多套业务系统。系统主要的功能说明如下：

? PMIS系统

项目管理信息系统（project management information system，简称pmis）是当前XX公司实施业务项目的管理平台，可以对项目管理的投资、进度和质量方面进行全面的追踪和管理。平台是当前公司的核心业务系统之一。

? 明源系统

明源地产ERP系统，覆盖了XX房地产的主要核心业务，包括售楼管理系统、租赁管理系统、会员管理系统和客户服务系统的客户关系管理平台，以及涵盖合同管理系统、成本管理系统、采购/招投标管理系统、投资分析系统等综合运营管理平台。平台是当前公司的核心业务系统之一。

? 档案管理系统

档案管理系统通过建立统一的标准以规范整个公司文件管理，包括规范各业务系统的文件管理的完整的档案资源信息共享服务平台，主要实现档案流水化采集功能。

.第24页

私有云项目 -方案建议书 ? 数据库服务器

作为以上业务系统的数据库中间件功能支撑，目前采用Microsoft SQL Server 2012企业版，以及OS运行环境为：Microsoft Windows Server 2012标准版系统。

通过对项目各应用服务器性能需求进行深入的调研和分析，如果采用常规的应用服务器部署方法，即：一个应用系统对应一台或多台物理服务器，将面临以下部署架构和成本方面的几个挑战：

1．随着信息化不断发展，规模不断扩大，使集中管理的难度加大，各系统需要进行一对一的维护。

2．每个业务系统都需要一个独立的主机环境，部分应用对主机资源使用率并不高，但无法全部集中部署在几台物理机器上以提高硬件资源的使用率。

3．今后的成本逐渐增加:

(1)硬件成本, 假如部分或全部更新，需要采购与退役数量相同的物理服务器。

(2)运营和维护成本高，包括中心机房空间、机柜、网线，耗电量，冷气空调和人力成本等。

4．系统可用性低, 升级或者扩容时候需要停机进行，造成一定时间内的应用中断。

5．应用兼容性差，系统和应用迁移到新的硬件，需要重新安装操作系统和重新部署整个应用，而且存在着环境迁移的兼容性问题。

6．随着应用范围的扩大，闲置空间资源无法调配给其他需要的信息系统使用。

针对以上面临的情况，公司系统有必要通过可靠的手段进行系统整合，达到硬件资源可充分利用和可再分配的目的。从根本上降低信息系统维护成本，在一定程度上节省硬件采购成本和减少硬件资源的浪费。

.第25页