私有云平台建设方案Word下载.docx
《私有云平台建设方案Word下载.docx》由会员分享,可在线阅读,更多相关《私有云平台建设方案Word下载.docx(106页珍藏版)》请在冰点文库上搜索。
1.2.7.云管理平台日志管理 49
1.3.AOMC自动化运维平台 50
4.3.1.审计系统与用户行为管理 50
5.3.2.自动化运维管理 52
4.3.2.1,自动化ITIL运维流程管理 52
4.3.2.2,自动化审计系统管理 52
4.3.2.3,自动化脚本管理 53
4.3.2.4,自动化运维管理系统功能模块 53
4.3.3.数据备份设计(可选服务) 55
4.1.1.1,RPO及RTO需求 55
4.1.1.2,方案设计原则 56
4.1.1.3,方案概述 57
4.1.1.4,备份任务规划 57
4.1.1.5,备份系统详细设计 58
4.4.安全设计 69
1.4.1.网络设备安全 69
4.4.2.网络配置安全 69
5.4.3.网络访问安全 69
6.4.4.网络操作安全 69
7.4.5.物理安全 70
8.4.6.系统,安全 70
9.4.7.运维行为安全控制. 70
4.5.云平台运维服务流程 71
4.5.1.事件管理. 74
4.5.2.问题管理. 75
4.5.3.变更管理. 76
4.5.4.发布管理. 77
4.5.5.发布维护. 77
4.5.6.发布流程管理. 78
4.5.7.配置管理. 79
4.5.8.系统配置管理. 81
4.5.9.配置管理验证和审计 82
4.5.10.ITSM系统 83
第5章售后技术服务方案 85
5.1.技术服务要求 85
5.2.技术服务体系 85
5.2.1.技术服务方案 85
5.2.1.1.维护服务解决方案 85
5.2.1.2.项目高级巡检服务 87项目服务响应时间 87
5.2.2.技术培训方案 88
5.1.1.1.培训理念 88
5.1.1.2.培训师资 88
5.1.1.3.体系 88
5.1.1.4.我方公司培训负责组织 89
5.1.1.5.项目说明 89
5.2. 3.售后服务方案 90
5.1.1.1,售后服务体系 90
5.1.1.2,产品实行“三包”承诺 91
5.1.1.3,响应时间承诺(立刻) 91
5.1.1.4,上门故障解决率承诺 91
5.1.1.5,免费保修承诺 91
5.1.1.6,售后服务投诉通道 92
5.1.1.7,售后服务运维团队组织架构 93
5.2. 4.应急响应方案 94
5.1.1.1,响应分级 94
5.1.1.2,应急处置 94
第6章项目管理方案 97
6.1.项目管理方法 97
62项目沟通 101
6.3.项目计划 101
6.3. 1.安装调试与数据加载 101
7.3. 2.系统试运行 102
8.3. 3.系统投运与验收 102
9.3. 4.项目时间表 102
6.4.项目升级管理 103
6.4. 1.职能升级 103
7.4. 2.结构性升级 103
6.5.报告 104
6.6.文档输出 105
第1章项目概述
1.1.建设背景
协会内部有若干业务系统(产品注册系统、会员服务系统、网站和另类托管系统等),管理下属21家资产管理公司,提供近200个资产管理产品的数据服务,总管理资产规模超12000个亿。
随着业务系统不断增长,复杂度增强。
在现有协会内部难以支撑对外业务系统的高可靠性、稳定性和安全性。
处于这些因素,协会考虑将上述系统迁移至专业度更高的云数据中心,采用业界先进的云计算技术,实现对外业务系统高性能、高可用。
1.2.项目理解
我们通过与甲方反复沟通与交流,对本项目具有深刻理解和认知。
协会目前希望将对外业务系统放至高规格数据中心机房,业务系统在云计算平台部署和管理。
1)目前协会主要从事资产管理业务和投行板块,业务主要涉及保险资产管理计划、企业年金服务、投连险管理、公募业务、私募股权基金、基础设施不动产债权计划、增值平台服务以及第三方保险资产管理服务,业务发展迅速,继续搭建高规格云数据中心来支撑未来业务弹性扩展;
2)协会职能涵盖组织监管职能、协调职能和服务职能。
其中多个对外业务系统系统就是协会服务职能关键组成部分。
各个系统运行稳定性、安全性对协会服务质量,提升服务水平具有重要意义;
3)需要搭建专业级私有云平台,成为协会应用业务的坚实基础,发挥云计算安全、稳定、可扩展、自动化管理、自服务及符合IT流程的优势,为协会业务发展保驾护航;
4)针对此次上线的另类投资系统、产品注册系统、会员服务系统和Web网站四套系统以及未来可能新增的对外业务系统需要在更加稳定、高规格、高级别的数据中心机房托管运行,同时需要专业的,具有云计算背景和金融行业背景的企业为协会提供云服务,我方在云计算和金融行业拥有大量成功案例,详见案例部分;
5)在数据中心内部,搭建一套业界领先的商用版企业级私有云平台,实现计算资源弹性扩展,发生故障能够自动热迁移,保障业务系统的高可用性;
6)通过一套私有云管理平台,对上述系统进行性能监控、流量监控、资源调度、虚拟机管
理等,提高IT运维工作效率;
7)业务系统和云平台建设完成后,需要一个针对金融行业有了解的IT运维团队,对数据中心内IT系统进行日常巡检、监控和报表服务,保障该系统平稳安全运转。
1.3.建设原则
结合本项目的实际应用和发展要求,在进行信息系统建设项目设计过程中,应始终坚持以下原则:
(1)业务引导原则
始终坚持应用先导与业务先行的理念。
能否满足应用需要,在应用中能否发挥成效,始终是检验信息化建设成败的关键标准。
因此,不能为了技术而技术,要始终以信息化机制配套作为保障,充分发挥业务部门的主导作用,以应用为出发点,将信息化应用的成熟需求与云技术紧密结合,着力解决当前信息化应用成效如何进一步提升的问题。
(2)可扩展性原则
为了保护已有的投资以及不断增长的业务需求,系统必须具有灵活的结构并留有合理的扩充余地,以便根据需要进行适当的变动和扩充;
主要信息系统应采用开放的结构,符合国际标准、安全标准和行业标准,适应技术的发展和变化。
由于本次项目相当于系统重新规划和建设,所以我们把主要精力放在满足现有业务需求和对未来的系统扩展的支持性上,也就是需要设计成一个便于扩展的系统架构,系统应具备良好的扩展能力并能够便捷地进行扩展。
(3)合理性原则
需处理好继承与发展的关系。
要正确理解信息系统优化、开发、云计算等技术的本质特征,不能将此次信息系统建设与已有信息化建设规划及取得的成果割裂开来,未来建设项目必须充分利用现有的信息化设备、数据和应用等资源,立足于解决当前信息化建设面临的瓶颈问题,在更高层次上进行提升发展。
在一定的资金条件下,以适当的投入,建立性能价格比高的、先进的、完善的业务系统。
所有软硬件的选型和配置要坚持性能价格比最优原则,同时兼顾与已有设备和系统的互联互通能力,以及与目前操作系统和应用系统的兼容性。
在满足系统性能、功能以及考虑到在可预见的未来不失去先进性的条件下,尽量取得整个系统的投入合理性,以构成一个性能价格比优化的应用系统。
系统架构的设计应尽可能地运用虚拟化、云技术等新技术,以符合未来的技术发展方向。
这种设计方法可以最大化地利用投资,并在利用率、管理、能源等各方面提高用户投资的效率,降低总体拥有成本,减少浪费的发生。
结合新技术的运用,也可以让各应用系统更好地融入未来整体IT建设规划中,避免发生推到重建的现象,从而更好地保护用户在信息系统上的投入。
(4)可靠性原则
系统要具有高可靠性及强大的容错能力。
该系统必须保证7X24全天候不间断地工作,核心设备比如:
服务器、统一存储设备及数据库服务器应具有全容错结构,并具有热插拔功能,可带电修复有关故障而不影响整个系统的工作,设计应保持一定数量的冗余以保证整体系统的高可靠性和高可用性。
即便是在系统建设初期也要着重考虑系统可用性、可靠性问题,防止出现系统停顿等问题造成信息系统的中断服务。
通过结合虚拟化等新技术,可以更好地提高系统的可靠性和可用性。
(5)可管理性原则
选择基于国际、国内标准和开放的技术,采用标准化、规范化设计;
同时采用先进的设备,易于日后扩展,便于向更新技术的升级与衔接,实现系统较长的生命力;
保证在系统上进行有效的开发和使用,并为今后的发展提供一个良好的环境;
在设计、选择数据中心机房系统时,采用先进的、高标准的数据中心备;
在选购服务器、存储和网络设备时,尽量选用行业知名的产品系列,确保系统部件间的严密配合和无缝联接,并获得良好的售后服务和技术支持;
整个系统建成后按照整理一套完整的文档资料,以便提高整个系统的可管理性与可维护性。
1.4.建设目标和任务
•私有云IT基础设施整体解决方案
/基于VCloud的私有云解决方案
/支持专线接入或VPN接入
/自动化运维管理
/专业运维服务
•灵活性与可扩展性
/私有云平台可根据业务发展情况迅速扩充或释放
/线路资源可根据业务发展情况迅速扩充或释放
/可适应中国保险资金管理业协会未来的业务系统对于云资源的需求
•高可用架构:
/整个平台高可用,不会因为单个硬件的物理故障导致服务不可用,包含:
/网络设备高可用
/计算资源高可用
/操作系统高可用
/数据存储高可用
•满足企业级SLA要求的运维服务:
/明确定义的SLA
/完善的全方位运维机制
/完善的SLA保障机制
•安全需求:
/物理安全
/审计系统
/独立的网络安全设备
/经过验证的系统加固手段
•高性价比:
/高性价比云资源
/高性价比服务
/架构设计满足企业长期发展需求,后期拓展成本低
•交付准时
/确保满足系统上线时间(12月5日)要求
/确保日常需求按时按量按质完成
1.5.技术应答
1.数据中心机房
技术应答:
我方与国内优秀数据中心合作,且其拥有大量金融行业客户案例,为提供下列
数据中心机房指标要求:
1)数据中心要求T3或以上等级规格;
2)要求数据中心为单一服务商运营;
3)为实现南北高速互联,要求数据中心须支持BGP线路和多运营商线路接入;
4)机柜尺寸:
42U/45U;
5)最大电力:
42U-16A,45U-20A
6)供电要求:
至少两路10KV高压供电,总容量不低于30000KVA,保证99.99%的持
续供电率。
柴油发电机至少5台或以上,并采用4+1冗余设计;
常用功率1800KW/台;
7)空调系统:
数据中心机房区域应采用水冷机房专用空调系统,双环路设计,且阀
门成对设置,即使管道任一点发生故障,关闭该管段两端阀门对其维修,并不影响整个环路的流通性。
水冷空调:
机房区须采用水冷式精密空调,N+2冗余设计。
冷冻机组须以2+1方式配置,至少800RT/台;
送风方式须采用下送风上回风,保证7X24小时恒温、恒湿及保持机房正压新风补给保证机房洁净度。
8)环境监控:
须具备完善的安防、灾防、PUE能耗管理、机房环境、动力设备控制管
理;
9)灭火系统:
数据中心机房区、变电所、UPS室、电池间使用IG541气体灭火系统。
应具有自动、手动及机械应急操作三种启动方式;
数据中心机房区、设施及公共区须安装火灾报警系统(感烟、感温探测);
机房区、设施区须安装极早期烟雾探测装置,确保发生火灾第一时间报警信号。
10)漏水报警:
数据中心机房区、空调设施区、变电所、发电机房等缓解须安装漏水(漏油)绳式报警装置。
11)针对DDOS网络攻击的安全设计;
12)7X24网络监控和网络故障响应机制
2.云平台计算及存储资源技术要求
路由器和交换机需采用国产品牌产品,其他设备在同等性能条件下优先采用国内品牌产品。
我方此次选配的路由器/防火墙和交换机为国产品牌,在技术方面完全满足以
下技术指标:
1)CPU:
不低于88Core,2609V2或以上级别;
2)内存:
不低于704G;
3)存储资源:
可用SAS(或同级别IOPS)5T,可用SATA(或同级别IOPS)12T,支持RAID5;
4)网络接口:
8GHBA接口卡;
5)网络防火墙:
至少提供4个千兆Comb。
(含千兆模块))、2个千兆电口.支持接口扩展;
支持IPSecVPN/SSLVPN;
支持协议识别和流量控制、访问控制、状态合法性检测、地址转换、黑白名单等功能。
6)网络交换机:
冗余设计,千兆网络交换机(24个10/100/1000Base-TRJ45接口;
7)光纤交换机:
冗余设计,单台16个8Gb/sFC端口激活,最大支持24端口;
3.云管理平台
虚拟化产品需采用成熟的主流商业虚拟化产品;
技术应答:
我方此次选配成熟的主流商业虚拟化产品,在技术方面完全满足以下技术指标:
•云管理平台功能需求
1)基于得到市场认可的商业化私有云管理套件
2)功能和稳定性须在市场上处于领导地位
3)有完整的云平台门户
4)提供服务目录与账单服务功能
5)可提供使用建议,及早发现系统架构瓶颈
6)可提供趋势预测,及早发现云资源瓶颈
•云管理平台用户体验
1)云平台用户可通过统一WEB站点访问云资源,身份认证可以整合企业现有AD域控
2)云平台用户可简单选择并点击创建对应虚拟机
3)云平台管理员可对用户创建的虚拟机配置进行限制和优化,提升用户体验和避免资源浪费
4)云平台用户可通过请求状态随时查看处理过程
5)云平台管理员可以针对不同的用户组定制化发布“商品”信息
•云平台自动化运维模块:
1)以自动化运维工具替代手工运维方式带来的大量重复性、繁琐的操作步骤。
2)支持本项目涉及的全部外部采购的软硬件系统自动化运维,支持对办公网现有IT基础架构进行自动化运维和巡检服务,以提高IT部门工作效率。
3)自动化流程引擎:
提供可视化的自动化流程设计功能,流程设计提供模块化设计功能,可实现定时操作,自动结果记录等。
4)巡检报表自动化:
通过自动化运维平台收集生产环境实体机和虚拟机的操作系统、数据库、中间件和网络设备、应用联机及批处理的日常运行状态和性能数据以分析其健康情况,并可根据需求制定巡检的频度(每小时/每天/每周/每月/每季/每年)并生成指定的报表,有效提高健康巡检的执行效率和覆盖率。
5)运维操作自动化:
将日常运维中正确流程和步骤固化下来,通过自动化运维平台建立电子化操作流程库和脚本库,实现操作自动化,减少人工操作工作内容,规避人工误操作风险,提高运维效率
6)操作审计自动化:
平台上的所有操作行为都应可以进行有效、完整和不可篡改的记录,包括用户自动登录自动化平台系统进行配置变更等操作,以及自动化平台系统登录目标系统后执行的所有操作动作的过程及输出结果。
7)流程审批:
通过平台实现不同人员和角色间对日常运维操作的审批过程。
通过审批流程提高日常运维操作规范性,降低运维风险
8)权限管理:
可以按部门、团队、角色、权限等多各层面为各级运维人员分配权限。
通过角色分配实现对不同资源的管理权限。
9)管理门户:
为自动化运维提供操作门户,对自动化操作,结果查询、报表等提供统一界面,可以根据不同部门的权限和需求制定个性化界面,简化自动化运维系统的维护。
•云平台行为审计:
1)云平台的服务器不允许直接登录,需通过第三方行为审计系统才能完成访问
2)行为审计系统需要有非常完整的访问控制,并且能无缝整合到自动化运维审批流程中
3)行为审计系统上所有操作必须被录屏,并可随时查看
4)行为审计系统需要有阻隔危险操作的功能模块
5)文档上传和下载系统可被监控和控制
4.云平台运维服务:
我方为保协提供如下云平台运维服务:
云平台运维服务范围
服务项目
服务内容
基础架构管理
1.定期进行云平台机房环境巡检.
2.定期进行云平台硬件指示状态巡检.
3.实时监控云平台硬件健康状态
云平台管理
1.云平台计算节点运维,确保计算节点实时可用
2.云平台管理节点运维,确保管理节点实时可用
3.云平台门户网站管理,根据我司需求调整门户网站相关配置
4.云平台用户权限管理,根据我司需求维护用户权限
网络运维
1.云平台网络设备运维
2.云平台网络权限管理
3.服务器网络权限管理
服务器运维
1.操作系统运维服务
2.操作系统账号管理
3.操作系统状态监控
4.操作系统性能管理
5.操作系统补丁管理
6.操作系统故障排错
7.数据库运维服务
8.数据库账号管理
9.数据库性能调优(基础架构层面)
10.数据库故障排错
监控服务
1需要有独立的云监控中心
2监控服务需7*24*365不间断
3需使用至少3款以上监控软件以满足不同的监控需求
4出于成本考虑,不建议额外采购商业监控套件
5基础云资源监控服务
5.11硬件可用性监控
5.2云计算节点性能监控
5.3云管理节点状态监控
5.4服务器可用性监控
5.5服务器性能监控
5.6数据库可用性监控
5.7数据库性能监控
5.8备份状态监控
6高级核心业务监控服务
6.1根据我司要求,结合自动化运维组件搭建核心业务
监控流程
6.2可模拟用户行为,测试核心业务可用性
备份服务
1使用成熟商业化备份软件
2根据我司要求制定备份策略
3备份方案至少满足D-T要求
5.云平台SLA
供应商可根据交付能力建议详细SLA模型,面向最终用户的SLA最低要求不可低于99.75%
我方为保协提供云平台运维服务SLA不低于99.75%O
第2章数据中心机房方案
2.1.数据中心机房基础设施介绍
世纪互联北京大兴星光数据中心外观图
2.1.1.建设标准
世纪互联北京大兴星光数据中心在建设规划时严格按照国家及国际相关规范要求进行建设,符合国标GB50174—2008中A级机房的技术要求。
从需求分析、规划设计到施工验收,完全符合相关国标和专业标准,数据中心基础设施整体水平达到TIA-942Tier3+标准。
北京大兴星光机房TIA-942数据中心建设等级关键评估项目参考
特点
等级
等级III
等级IV
世纪互联星光影视城
TIA942-2005标准
关于可用性
可同时维护型
故障容错型
建筑物多租户租用
否
双路市电供应
V
不间断电源系统
N+1
2N
区域划分
无
有
同时可维修性
能
电池最少全部符合备用时间
15分钟
大于15分钟
供电双路PDU
双路独立供电路径
制冷设备-N+1冗余装置
监控系统
对最坏的事件的容错
连续冷却
或许
是的
单点故障
部分+人为错误
一个没有+人为错误
一个没有+人为错误
每年场地引起的IT停机(实际值)
1.6个小时
0.4个小时
0.876小时
可用性
99.982%
99.995%
99.99%
7X24小时运营
机械系统实时维护
电力系统实时维护
N/A
2.1.2.地理位置
大兴星光机房地理位置示意图
地址:
北京大兴北兴路星光影视园数据中心位于北京大兴区北兴路东段1号星光影视园AT楼,毗邻京开高速,靠近地铁4号线,交通便利,服务器可自送或者快递,我司都有工程师接收。
北京大兴星光数据中心机房1期改造面积10019平方米。
机房8级抗震设防,耐火等级一级。
目前机柜规模919个,标准的42U/45U两类机柜,42U机柜提供16A电力,45U机柜提供20A电力。
2.1.3.电力系统
两路独立市电+UPS+柴油发电机配置,电力可靠性达到99.99%o
市电系统
数据中心采用4路高压进线,两两一组。
每组可提供15000KVA,共计30000KVA
变压器
UPS系统
稳定的电源供给是数据中心内托管设备安全运行和数据得以安全保护的重要保障。
大兴星光机房采用3+1冗余配置UPS系统,单机容量400KVA,满负载后备时间大于15分钟。
UPS模块
柴油发电机
为保证电力供应的高可用性,数据中心I期配置了5台柴油发电机,每台容量2500KVA。
柴油发电机N+1
2.1.4.制冷
数据中心机房区域采用水冷机房专用空调系统,双环路设计,且阀门成对设置,即使管道任一点发生故障,关闭该管段两端阀门对其维修,并不影响整个环路的流通性。
精密空调组
机房精密空II均为N+1冗余构成,为机柜提供了良好的冷却环境。
数据中心空调机组均配备双路供电,机房内配备漏水检测带,保障空调机组的安全可靠运行。
数据中心机房机架采用背靠背、面对面的排列方式,且采用封闭冷气通道送风节能技术,防止冷热气体混合,提高制冷效果,机房采用下送冷风上回暖风方式。
机房托管区域温度控制在23℃±
2,湿度控制在40%-60%o
封闭冷通道
2.1.5.消防
•机房区、设施区均部署VESDA(极早期烟雾侦测报警系统);
升级会员 