省级电子政务云平台-整体方案设计

省级电子政务云平台-整体方案设计内容摘要：

领 导 服 务 于 决 策支 持智 能 交 通云区 域 经 济 脸 谱・ 大 数 据 分 析„ „ 政 务 办 公云领 导 服 务 于 决 策支 持省 级政 务应 用政 府 企 业 公 众用 户IaaSDaaSPaaSSaaS安 全体 系数 据安 全应 用安 全云 安全主 机安 全网 络安 全物 理安 全管 理体 系管 理监 控运 维管 理运 营管 理组 织管 理运 维保 障应 急响 应政务云平台标准规范 8 省级电子政务外网统一云平台的安全。 管理体系：包括运行维护管理和运营管理，保障云平台的正常运行，提供资源管理、调度管理、监控管理等运维功能，以及业务管理、流程管理、订单管理等运营功能。 本期建设总体部署架构 （ 图 示：本期 建设总体部署架构 ） 通过优化升级，构建一张全省统一的高性能、高可靠的电子政务外网，采用丰富的云基础设施、云存储、云安全和各类服务构件共同部署 2 个云计算中心，为省委、省人大、省政府、省政协、机关和省直部门的非涉密业务提供服务，打造政府内部业务应用云、互联网业务应用云，形成省级统一云平台内、外两朵云。 “ 一网 ”： 湖南省电子政务外网架构主要由核心交换区、省级城域网、省市县三级广域网、数据中心网络组成。 广域网用于覆盖省、市（州）、 县各层级行政区域，由各级行政区域内广域骨干节点设备和之间传输链路组成；城域网主要主 数 据 中 心 机 房外 部 数 据 中 心网 络 资 源存 储 资 源 池计 算 资 源 池内 部 数 据 中 心网 络 资 源存 储 资 源 池计 算 资 源 池网 管 中 心C A / R A广域网市 （ 州 ） 级 节 点县 级 节 点省 级 城 域 网. . .省 级 城 域 网异 地 灾 备 机 房裸 光 纤裸 光 纤D W D M波 分 设 备D W D M波 分 设 备同 城 双 活 数 据 中 心 机 房内 部 数 据 中 心网 络 资 源存 储 资 源 池计 算 资 源 池外 部 数 据 中 心网 络 资 源存 储 资 源 池计 算 资 源 池互 联 网互 联 网核 心交 换 区（ 省 委 、 省 政 府 ）（ 人 大 ）（ 政 协 、 省 二 院 ）（ 长 沙 市 政 府 ）国 家 电 子政 务 网 9 用于 同城政务部门互联，为各个省职政务部门提供互联互通、信息共享的基础平台。 新构建的外网关键设备和链路无单点故障，带宽得到升级，承载能力和安全保障能力得到全面提升，保证系统可持续、高效、安全运行，满足国家部委、市州部门、县市区部门、乡镇社区的网络业务需求。 “两云计算中心：采用同城双活数据中心的架构建设 2 个云计算中心，每个云计算中心分为内部数据中心和外部数据中心，内外数据中心均部署网络资源、计算资源和存储资源，采用虚拟化技术搭建云计算平台。 内部数据中心连接互联网，主要部署互联网业务，内部数据中心连接电子政务外网， 主要提供电子政务业务。 网络整体架构设计 （ 图 示 ：网络整体架构设计） 湖南省电子政务外网采用分区规划，分层设计，双节点冗余部署。 整个网络分为核心路由区、广域网区、城域网区、数据中心区、互联网出口区。 核心路由互 联 网 互 联 网网 管 中 心C A / R A内 部 数 据 中 心外 部 数 据 中 心统 一 互 联 网 出 口外 部 数 据 中 心内 部 数 据 中 心统 一 互 联 网 出 口主数据中心机房同城双活数据中心机房广域网城 域 网 核心 交 换 机广 域 网 核心 路 由 器市 （ 州 ） 级 节 点县 级 节 点国家电子政务外网河 西 长 沙市 政 府L BL BL B L B流 控 流 控 流 控流 控. . .汇 聚 接 入 省 委省 政 府省 人 大省 政 协省 二 院异 地 灾备 机 房汇 聚 接 入 汇 聚 接 入 接 入 汇 聚 接 入 汇 聚 接 入 汇 聚 10 区由 2 台广域网高端核心路由器和 2 台城域网高端核心交换机口字型互联。 广域网采用省级、市级、县级三层部署，省级到市级采用 1000M 链路，市级至县级为 100M 链路。 城域网分为核心层、汇聚层和接入层三层架构，核心层到汇聚层采用双冗余 10G 线路互联，汇聚层到接入层 1000M 线路互联。 数据中心网络结构扁平化，采用 VXLAN 技术 部署大二层网络，充分利用虚拟化和堆叠技术提高网络可靠性和资源利用率，同时 合理部署安全设备实现网络安全可控。 另外，湖南外网使用广域网核心路由器与国家电子政务外网工程办下发的上联路由器设备进行双链路千兆连接，拓扑结构如下图所示： 广域网架构设计 （ 图示 ： 广域网 架构设计） 国 家 电 子 政 务 外 网湖 南 省 级长 沙 市其 余 1 2 市X X 市 ( 灾 备 中 心 )县 ( 区 )县 ( 区 )县 ( 区 )1 0 G1 G1 0 0 M链 路 捆 绑县 ( 区 )县 ( 区 )县 ( 区 ) 11 广域网采用省、市（州）、县三级部署， 省级广域网的核心节点上连国家电子政务外网，同时做为全省电子政务广域网骨干节点， 市（州）网络结点是承上启下的关键节点 ，上行双链路双归属核心节点，下接县级节点。 各级节 点由两台高性能路由器组成，两台设备既互为备份又负载均衡，不同节点间采用不同运营商链路进行链路保护。 城域网架构设计 （ 图示 ：网络整体架构设计） 城域网采用三层架构设计 ， 核心层 采用 双核心组网 ， 是城域网的数据转发中枢，为接入区和汇聚区提供跨区域的数据转发 ，上行采用 10GE链路连接广域网核心，下联省委、省政府、省人大、省政协、省二院和长沙市政府 6大汇聚节点，同时与内部数据中心互联。 核心、汇聚、接入节点均采用虚拟化堆叠技术， 可以将复杂的网络拓扑结构简化为层次分明、互联关系简单的网络结构，网络各层之间通过链路聚合，自然消除环路，不需要再部署 MSTP、 VRRP等协议 ， 支持跨设备的链路聚合功能，实现跨设备的链路冗余备份。 主 I D C 机 房 省 机 关 二 院 机 房核 心 交 换 机河 西 长 沙 市 政 府省 委省 政 府省 人 大省 政 协省 二 院广 域 网数 据 中 心 及互 联 网 出 口数 据 中 心 及互 联 网 出 口1 0 G1 G链 路 捆 绑图例 12 数据中心架构设计 （ 图 示 ： 数据中心 架构设计） 湖南政务云 数据中心 采用标准化、开放和高扩展的 云计算 架构，支撑省政府各部门 的政务 外网、 互联网 等 多种不同业务服务。 （ 1）网络资源设计：网络采用扁平化二层架构，分为核心层和接入层，提高性能，减少时延；网络大二层部署，保证虚拟机在资源池内部的热迁移能力；核心交换机旁挂负载均衡器，提供负载均衡增值服务；防火墙支持虚拟防火墙能力，实现业务系统之间的安全隔离。 外网 服务区与互联网服务区之间网络通过 部署 数据交换平台实现 不同 业务域之间的 安全 隔离。 （ 2）计算资源设计：采用标准化的 X86 物理服务器，构建计算资源池。 采用 OpenStack 开放架构，支持 Xen、 KVM 等主流虚拟化平台。 X86 服务器根据 业务系统对资源的不同需求， 配置 不同的 产品 型号及物理配置 ，划分 高性能计算区、通用性能计算区，分别作为虚拟化资源和物理机资源。 （ 3）存储资源设计：多样化存储部署，满足不同业务系统的需求，降低存储的投资成本。 对于数据库、 VM 文件系统采用 FC SAN 进行承载；对于非结构化数据、虚拟化 镜像 等 数据存储， 建议采用分布式 文件系统存储 承载， 保障存储性能 和扩容 能力。 同 城 双 活 数 据 中 机 房主 数 据 中 心 机 房广 域 网市 县 网 络城 域 网厅 局 网 络互 联 网虚 拟 化 计 算 资 源 池物 理 机资 源 池数 据 库计 算 资 源 池F C 存 储 网 络 I P 存 储 网 络F C 存 储 资 源 池 分 布 式 存 储 资 源 池核 心交 换 机T O R 交 换 机T O R 交 换 机T O R 交 换 机全 局 、 应 用负 载 均 衡全 局 、 应 用负 载 均 衡内 部 数 据 中 心虚 拟 化 计 算 资 源 池物 理 机资 源 池数 据 库计 算 资 源 池F C 存 储 网 络 I P 存 储 网 络F C 存 储 资 源 池 分 布 式 存 储 资 源 池核 心交 换 机T O R 交 换 机T O R 交 换 机T O R 交 换 机全 局 、 应 用负 载 均 衡全 局 、 应 用负 载 均 衡内 部 数 据 中 心H a d o o p 服 务 器资 源 池外 部 数 据 中 心虚 拟 化 计 算 资 源 池物 理 机资 源 池数 据 库计 算 资 源 池F C 存 储 网 络 I P 存 储 网 络F C 存 储 资 源 池 分 布 式 存 储 资 源 池核 心 交 换 机T O R 交 换 机T O R 交 换 机T O R 交 换 机全 局 、 应 用负 载 均 衡全 局 、 应 用负 载 均 衡防 火 墙I P S防 毒 墙W A F互 联 网出 口 区外 部 数 据 中 心虚 拟 化 计 算 资 源 池物 理 机资 源 池数 据 库计 算 资 源 池F C 存 储 网 络 I P 存 储 网 络F C 存 储 资 源 池 分 布 式 存 储 资 源 池核 心 交 换 机T O R 交 换 机T O R 交 换 机T O R 交 换 机全 局 、 应 用负 载 均 衡全 局 、 应 用负 载 均 衡防 火 墙I P S防 毒 墙W A F互 联 网出 口 区城 域 网核 心 交 换 机 1城 域 网核 心 交 换 机 2互 联 网异 地 灾 备 中 心裸 光 纤裸 光 纤D W D M波 分 设 备D W D M波 分 设 备 13 （ 4）业务云化设计：根据各政府部门业务对云 资源 的不同需求，以及业务云化的难度，分批逐步的将现网业务系统迁移至云 服务商 政务云，实现更多政务业务的云化。 （ 5）云管理平台设计： 构建 统一云管理平台， 通过 对 政务云基础资源的 抽象 和资源池化，提供自助式的 IaaS、 PaaS、 SaaS 服务。 政府客户 可通过云管理平台 统一 门户 自助 申请 云 服务，并进行灵活的 管理。 同时 ，云 管理平台也负责对政务云 所有 基础资源进行统一的 运维 管理。 两地三中心 架构 设计 （ 图 示 ： 两地三中心架构设计 ） 采用“同城双活 +异地灾备 ” 的技术方案，建设两地三中心。 在同城租用电信运营商机房作为主数据中心，通过波分设备与省二院机房互联组成同城双活数据中心，同时向外提供业务服务，实现关键业务双活。 任意一数据中心站点故障，都不会中断业务，确保云平台安全，实现业务连续性保护。 在异地建设一个容灾备份中心，通过存储远程复制技术和数据备份技术，实现双中心业务数据的异地备份，当双中心出现区域灾难，可确保业务数据不丢失。 通过两地三中心的建设，湖南省省级电子政务外网数据中心的灾难恢复能力 达到“信息系统灾难恢复规范”国家标准 GB/T 209882020 的 6 级，即 RTO 为 数分钟， RPO 为 0，部分业务 RTO 可以达到 0 的水平。 14 第 3章 政务外网改造升级 方案 网络需求分析 弹性 需求 在信息化蓬勃发展的今天，业务增长异常迅猛，数据中心的性能和容量都面临挑战。 数据中心不仅需要提升服务器性能，增加服务器的接入带宽，还需要充分利用已有的 IT 资源，为企业减轻成本负担，在这种背景下分布式计算、虚拟化等技术应运而生。 企业的大量分布式计算业务比如搜索， 3D 渲染等需要多个服务器集群协同工作；虚拟机的自由部署和动态迁移也使得虚拟机之间需要实时同步大。