云平台设计方案

云平台设计方案内容摘要：

回收资源，也可以自动安装软件和应用， 具有良好 的 弹性 和 灵活性 ， 管理、使用方便。 云平台可以向用户提供虚拟基础架构。 用户可以自己定义虚拟基础架构的构成，如服务器配置、数量，存储类型和大小等等。 用户通过自服务界面提交请求，每个请求的生命周期由平台维护。 服务器虚拟化系统基于服务器，存储和网络设备构建资源池，在资源池上通过资源的管理、调度和镜像管理实现系统的各种高级功能，例如计算层面的系统负载均衡和虚拟机高可用，存储层面的镜像复制和冗余。 系统支持以主机或者虚拟群集为单位管理资源，虚拟群集为一组共享存储资源的物理主机。 系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上 、系统能力上要保持五年左右的先进性。 并且从学院的利益出发，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。 根据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。 我们遵循以下的原则进行网络设计： 实用性和经济性 网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设的万兆骨干网络平台，保护用户的投资。 先进性和成熟性 网络建设设计既要采用先进的概念、技术和方法，又要注意结构 、设备、工具的相对成熟。 不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵校网络建设的领先地位，采用万兆以太网技术来构建网络主干线路。 可靠性和稳定性 在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，锐捷网络做为国内知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。 为了保证骨干网络平台的健壮性和链路冗余性，建议网络实施时在学院启用 万兆 备份线路。 在学院启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。 安全性和保密性 在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端口隔离、路由过滤、防DDoS 拒绝服务攻击、防 IP 扫描、系统安全机制、多种数据访问权限控制等，锐捷网络充分考虑安全性，针对的各种应用，有多种的保护机制，如划分 VLAN、 IP/MAC地址绑定（过滤）、 ACL、路由过滤、防DDoS 拒绝服务攻击、防 IP 扫描、 认证机制、 SSH 加密连接等具体技术提升整个网络的安全性。 可扩展性和可管理性 由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。 最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更换整个设备。 为了适应网络结构变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。 为了便于扩展，对于核心设备必须采用模块化 高密度端口的设备，便于将来升级和扩展。 先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。 全线采用基于 SNMP标准的可网管产品，达到全程网管，降低了人力资源的费用，提高网络的易用性、可管理性，同时又具有很好的可扩充性。 智慧校园以物联网、云计算为核心，突显校园信息的智能化采集与传输，智能化处理与控制，智能化显示与推送。 使全校各部门、各子系统信息融合、互联互通，有效解决了校园管理中的信息更新滞后、人力资源不足、信息孤岛和重复投入造成的设备冗余等问题，达到了校园管理中绿色节能、科学决策、及时管控 、服务便捷的管理目标。 随着计算机、通信和多媒体技术的发展，使得网络上的应用更加丰富。 同时在多媒体教育和管理等方面的需求，对校园网络也提出进一步的要求。 因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学院各方面应用的需要。 信息技术的普及教育已经越来越受到人们关注。 学院领导、广大师生们已经充分认识到这一点，学院未来的教育方法和手段，将是构筑在教育信息化发展战略之上，通过加大信息网络教育的投入，开展网络化教学，开展教育信息服务和远程教育服务等将成为未来建设的具体内容。 校园网最终必须是一个集计算机网络技术、多项信息管理、办公自动化和信息发布等功能于一体的综合信息平台，并能够有效促进现有的管理体制和管理方法，提高学院办公质量和效率，以促进学院整体教学水平的提高。 根据校园网络项目，我们应该充分考虑学院的实际情况，注重设备选型的性能价格比，采用成熟可靠的技术，为学院设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。 考虑到学院的中长期发展规划，在网络结构、网络应用、网络管理、系统性能以及远程教学等各个方面能够适应未来的发展，最大程度地保护学院的投资。 学院借助校园网 的建设，可充分利用丰富的网上应用系统及教学资源，发挥网络资源共享、信息快捷、无地理限制等优势，真正把现代化管理、教育技术融入学院的日常教育与办公管理当中。 学院校园网具体功能和特点如下： 技术先进 采用万兆以太网技术，具有高带宽 10000Mbps 速率的主干，1000Mbps 到桌面，运行目前的各种应用系统绰绰有余，还可轻松应付将来一段时间内的应用要求，且易于升级和扩展，最大限度的保护用户投资； 网络设备选型为国际知名产品，性能稳定可靠、技术先进、产品系列全及完善的服务保证； 采用支持网络管理的交换设备，足不出户即可管理配置整个网络。 网络互联 提供国际互联网 ISDN 专线接入（或 DDN），实现与各公共网的连接； 可扩容的远程拨号接入 /拨出，共享资源、发布信息等。 应用系统及教学资源丰富； 有综合网络办公系统及各个应用管理系统，实现办公自动化，管理信息化； 有以 WEB 数据库为中心的综合信息平台，可进行消息发布，招生广告、形象宣传、课业辅导、教案参考展示、资料查询、邮件服务及远程教学等。 校园比较大，建筑楼群多、布局比较分散。 因此在设计校园网主干结构时既要考虑到目前实际应用有所侧重 ，又要兼顾未来的发展需求。 主干网以中控室为中心，设几个主干交换节点，包括中控室、实验楼、图书馆、教学楼、宿舍楼。 中心交换机和主干交换机采用 万兆光纤交换机。 中控室至图书馆、校园网的主干即中控室与教学楼、实验楼、图书馆、宿舍楼之间全部采用 8 芯室外光缆；楼内选用进口 6芯室内光缆和 5 类线。 网络设备的选择原则 : 安全性、稳定性、可靠性：作为整个校园网络系统的硬件基础，网络设备必须是具备完全性、稳定性和可靠性的特定。 这是网络系统稳定运行的最基本条件。 最好是经过相当长时间，在世界范围内被广泛应用的网络产品，所以在选择产 品时选用国际知名厂商的产品。 技术先进性：网络设备仅仅具有安全、稳定、可靠的特定是不够的。 作为高科技产品，还应该具有技术先进性。 在选择网络设备应该采用当今较先进的技术，能够保持该设备在相当长的一段时间内不会因为技术落后而被淘汰。 同时，在网络规模进一步扩大，该设备不能承担繁重的负荷时，能够降级使用。 易于扩展性：由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，应选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加设备，而只需要增加一定数量的模块就行。 最好 能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要跟换整个设备。 管理和维护方便：先进的设备必须配合先进的管理和维护的方法，才能够发挥最大的作用，所以，在选择设备时必须支持现有的、常用的网络管理协议和多种网络管理软件，便于管理人员的维护。 平台搭建实施步骤 1. 搭建 机房 、 供电 、 冷却设备 ，购买服务器 15 台 （ 每台服 务器 4个 12 线程 CPU,共可 提供 720个 16G内存 的 虚拟机 ） 、存储设备（ 2P） 、云操作系统、安全软件、路由器、交换机、防火墙等网络设备，搭建云计算平台，建立虚拟资源池，设置虚拟机。 、存储、网络设备接入云平台，进行虚拟化。 制定迁移 计划 ，通过 Docker 容器或使用虚拟机，制定迁移方案，把学校原有的应用系统迁移到云平台上，并进行测试，确保正确完整迁移。 3. 基于 docker 的应用系统需要需要满足三个要求： 1)由于 docker 是无状态的，且会动态飘逸，因此不能存储会话，session 会话必须单独保存到 rsdis 缓存，供应用系统共用。 2)同样， log 文件需要 远程集中 存储，不能存在 docker。 3)由于 docker 的飘逸性，上传文件需要单独保存，不能使用 NAS存储，需要使用 mongodb 保存。 现有系统迁移到 docker 之前，必须从上面 3 个方面进行修改。 第 4 章 云平台建设方案 根据业界企业 云平台 网络最佳设计实践参考 ，结合 新一代 的业务现状及发展趋势，我们可以看到未来几年内业务处于一个高速成长期，必须在本期网络架构中充分考虑未来的可扩展性。 网络规划如 ， 通过防火墙接入 Inter， 通过策略允许云管理服务器与外网通讯 ；内网通过 VLAN技术，即将每台分析服务器与云管理服务器之间隔离，每台分析服务器之间在内网不通讯 . 基于本期单位云计算平台的建设思路一一搭建基于 IaaS 层面的云计算平台，如何采用云计算技术建立动态的 IT 资源平台，并使之具备快速 IT 服务交付能力，进而通过动态的 IT 架构来应对有关省直单位业务发展的需要；将应用和业务从底层的 IT 资源中分离出来，提高系统的可移植性，并能够充分利用更加优化的系统和网络资源以提高效率、降低整体成本是本期建设方案需要重点解决的问题。 为此，我们建议以应用系统为顶层架构来搭建单位云计算 资源池，它是由计算资源池、存储资源池、网络资源池、应用程序以及运营管理平台共同组成，运营管理平台负责对资源池和应用进行管理调度及告警监控。 其组成框架如下图所示。 资源池组成框架图 以下针对云计算资源池的各组成部分分别进行具体阐述。 . 组网物理拓扑图 云计算平台组网物理拓扑如下图所示： 云计算平台组网物理拓扑图 本工程 采用 3 根移动专线接入，单根 200Mpbs 带宽。 一根为互联网接入区对外提供服务用，一根用于 VPN 专线，一根用于办公人员访问互联网使用。 整个云计算平台在组网设计上满足双网双平面结构，从网络接口、网络链路到关键网络设备均配置冗余部件。 在网络接口上每台物理服务器至少配置 3 张网卡，分别用于业务服务、虚拟化平台宿主机管理、IP 存储系统互联。 业务服务网络根据业务属性不同，通过 MPLS VPN划分为公用网络区、互联网接入区、专用网络区。 虚拟化计算资源可以在不同的网络区域中自由迁移。 在汇聚层旁挂防火墙、隔离网闸、运维审计、数据库审计系统等安全设备。 其中防火墙用于实现同一网络区域中不同业务系统的之间的安全隔离；隔离网闸用于在 MPLS VPN 隔离的不同网络区域之间进行安全数据交换，同时用于和之间的数据安全交换。 网络负载均衡分链路负载均衡和本地负载均衡，总体逻辑示意图如下图所示： 网络负载均衡示意图 . 链路负载均衡设计 如上图所示，将移动互联网专线和电信互联网专线接入链路负载均衡器，链路负载均衡器通过对所有 Inter 链路进行流量路由和控制带宽服务水平实现多互联网接入的高可用性。 链路负载均衡器将多条互联网线路进行虚拟化处理，保障用户从最好的线路访问内外部资源。 任意一条 ISP 线路中断，都不会对服务造成任何影响。 通过链路负载均衡器可实现 ISP 接入线路的无缝扩展。 1) OutBound 流量负载均衡 办公人员访问互联网的流量到达链路负载均衡器时，将通过链路负载均衡器多种链路状态检测结果选择最佳出口链路，提 升用户体验。 2) InBound 流量负载均衡 为使移动用户和电信用户通过不同互联网链路访问互联网接入区应用系统，链路负载均衡器的智能 DNS 解析功能将不同用户访问的域名解析成不同的公网 IP地址，加速应用访问，提升用户体验。 . 本地负载均衡设计 新增本地负载均衡器两台，旁挂于汇聚交换机 ， 实现对服务器的负载均衡。 本地负载均衡器可以保障内部资源的容错性，内部任何一个应用节点出现问题都不会对用户造成任何的影响，本地负载均衡器能够自动的屏蔽有问题的应用节点，让其停止对外服务，同时把该故障节点上的用户迁移到其他正常的节点上去。 汇聚层本地负载均衡器可以虚拟成为多个设备，满足不同分区的安全隔离要求。 业务系统以 B/S架构为主，目前的 WEB应用都包含了大量的图片，javascript， CSS 文件等，这些文件的重复传输不但给服务器造成了压力，同时也使得用户的体验受到了影响。 本地负载均衡器通 过 HTTP压缩的方式来节省带宽以及提高访问速度。 通过静态文件和动态文件的 cache．文件压缩，浏览器端文件 cache 控制等优化技术，。