◎文/李研碩 苗 偉

一、背景和現(xiàn)狀

（一）背景

天津市財(cái)政局的信息化工作自上世紀(jì)90年代起步，經(jīng)過近30年的發(fā)展，現(xiàn)已形成由天津市財(cái)政局生產(chǎn)中心（以下簡稱市局生產(chǎn)中心）、天津市津南數(shù)據(jù)中心 （以下簡稱津南數(shù)據(jù)中心）和薊州區(qū)應(yīng)急備份中心組成的兩地三中心的信息化基礎(chǔ)架構(gòu)，擁有各類設(shè)備9000余臺(tái)套，承載了財(cái)政及原地稅全部核心業(yè)務(wù)。同時(shí)為了給財(cái)政業(yè)務(wù)提供更好的擴(kuò)展能力，天津市財(cái)政局還租用了濱海電子政務(wù)云和市電子政務(wù)云資源實(shí)現(xiàn)了部分業(yè)務(wù)系統(tǒng)的部署。

多年來，天津市財(cái)政局與地稅局合署辦公，財(cái)政地稅業(yè)務(wù)所需信息化資源一直統(tǒng)籌考慮。2018年6月15日，按照國家相關(guān)規(guī)定，國家稅務(wù)總局天津市稅務(wù)局正式成立，天津市財(cái)政部門與稅務(wù)部門正式分離。機(jī)構(gòu)改革后，財(cái)稅數(shù)據(jù)中心和薊州區(qū)應(yīng)急備份中心房產(chǎn)歸屬于稅務(wù)局，但財(cái)政與原地稅的核心業(yè)務(wù)仍然在天津市財(cái)稅數(shù)據(jù)中心核心機(jī)房和市局生產(chǎn)中心機(jī)房中運(yùn)行。

2019年，財(cái)政部印發(fā)了《財(cái)政部關(guān)于印發(fā)〈財(cái)政信息化三年重點(diǎn)工作規(guī)劃〉的通知》（財(cái)辦 〔2019〕34 號(hào)），對全國財(cái)政預(yù)算管理一體化系統(tǒng)建設(shè)、集中化部署、財(cái)政大數(shù)據(jù)以及財(cái)政專有云的建設(shè)進(jìn)行了統(tǒng)一規(guī)劃。要求中央和省級(jí)財(cái)政部門，采用 “1+N”方式，共同建設(shè)財(cái)政專有云平臺(tái)，滿足財(cái)政部和省級(jí)業(yè)務(wù)應(yīng)用上云需求。

為全面落實(shí)財(cái)政部相關(guān)工作要求，經(jīng)市委網(wǎng)信辦評(píng)審，天津市財(cái)政局租用了財(cái)政經(jīng)濟(jì)分析中心IDC服務(wù)，準(zhǔn)備將現(xiàn)有財(cái)政設(shè)備和應(yīng)用遷移至該中心，并依托市電子政務(wù)云資源，建設(shè)天津市財(cái)政專有云平臺(tái)，為財(cái)政業(yè)務(wù)應(yīng)用提供計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、安全、容災(zāi)及相關(guān)維護(hù)服務(wù)。

（二）現(xiàn)狀

近年來，天津市財(cái)政局多數(shù)設(shè)備采購項(xiàng)目為稅務(wù)項(xiàng)目，財(cái)政獨(dú)立使用的設(shè)備不論是資源方面還是使用年限方面均已接近飽和，無法獨(dú)立支撐財(cái)政核心業(yè)務(wù)一體化系統(tǒng)及其他財(cái)政應(yīng)用系統(tǒng)的需求。

從計(jì)算資源方面看，現(xiàn)有計(jì)算存儲(chǔ)設(shè)備主要包括PC服務(wù)器、小型機(jī)等。其中非稅收入收繳管理系統(tǒng)、國庫集中支付系統(tǒng)、國庫支付電子化系統(tǒng)等核心業(yè)務(wù)系統(tǒng)的數(shù)據(jù)庫集群均部署于小型機(jī)上，這些小型機(jī)大多數(shù)采購于2010年左右，其性能、穩(wěn)定性以及維護(hù)成本均不再適應(yīng)新的業(yè)務(wù)需求；現(xiàn)有PC服務(wù)器300余臺(tái)，其中財(cái)政項(xiàng)目采購設(shè)備90余臺(tái)，能夠適用于云服務(wù)環(huán)境的設(shè)備20臺(tái)，其它服務(wù)器均瀕臨淘汰。從總體上講，現(xiàn)有計(jì)算存儲(chǔ)資源已經(jīng)接近飽和，無法繼續(xù)支撐后續(xù)新的業(yè)務(wù)需求。

從網(wǎng)絡(luò)安全方面看，天津市財(cái)政局已建成了涵蓋全市各直屬單位及區(qū)財(cái)政局的財(cái)政縱向網(wǎng)絡(luò)、連通全市1200余家市級(jí)預(yù)算單位、大部分銀行和其他橫向聯(lián)網(wǎng)單位的財(cái)政橫向網(wǎng)絡(luò)。隨著財(cái)政業(yè)務(wù)和信息化技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全變得愈發(fā)重要。天津市財(cái)政局不斷進(jìn)行網(wǎng)絡(luò)安全加固，但由于建設(shè)年代早以及場地的限制等多種因素，某些層面無法完全達(dá)到相關(guān)規(guī)定的要求。

從容災(zāi)方面看，天津市財(cái)政局利用津南數(shù)據(jù)中心和市局生產(chǎn)中心建立了以存儲(chǔ)底層數(shù)據(jù)遠(yuǎn)程復(fù)制技術(shù)為主的容災(zāi)系統(tǒng)，實(shí)現(xiàn)了財(cái)政核心應(yīng)用系統(tǒng)的異地容災(zāi)，同時(shí)利用薊州應(yīng)急備份中心實(shí)現(xiàn)了數(shù)據(jù)的異地備份。但由于機(jī)構(gòu)改革現(xiàn)有容災(zāi)環(huán)境及架構(gòu)需要重新調(diào)整。

二、面臨的問題

一是資源使用問題，天津市財(cái)政局信息化建設(shè)一直本著統(tǒng)籌規(guī)劃，統(tǒng)一建設(shè)的原則開展。信息化資源，特別是計(jì)算存儲(chǔ)資源一直是財(cái)政與地稅共同使用，在使用虛擬化技術(shù)后，這一特點(diǎn)尤為突出，現(xiàn)天津市財(cái)政局已建成內(nèi)網(wǎng)、外網(wǎng)和專網(wǎng)三個(gè)虛擬化資源池，共包括各類虛擬化服務(wù)器100余臺(tái)，其中大部分設(shè)備至今使用年限已經(jīng)超過8年。2018年，稅務(wù)整個(gè)體制改革后，大部分設(shè)備根據(jù)項(xiàng)目屬性劃歸稅務(wù)所有，可以為財(cái)政部門獨(dú)立使用的信息化資源主要包括2路服務(wù)器20臺(tái)，SAN存儲(chǔ)兩臺(tái)以及少量旁路部署的網(wǎng)絡(luò)安全設(shè)備。共可提供CPU400余核，內(nèi)存5.25T左右，存儲(chǔ)空間140T左右。目前，天津市財(cái)政局共有業(yè)務(wù)系統(tǒng)及各類管理系統(tǒng)80余個(gè)，綜合現(xiàn)有業(yè)務(wù)系統(tǒng)的實(shí)際需要和已知新增業(yè)務(wù)需求，保障應(yīng)用系統(tǒng)正常運(yùn)行共計(jì)需要CPU 3202核，內(nèi)存 10.25T，存儲(chǔ)空間415T。

二是動(dòng)態(tài)擴(kuò)展需求，天津市財(cái)政局現(xiàn)有財(cái)政業(yè)務(wù)數(shù)量較多，為各項(xiàng)業(yè)務(wù)提供支撐的信息化資源，包括主機(jī)、存儲(chǔ)、網(wǎng)絡(luò)、安全等，數(shù)量更為龐大。目前，系統(tǒng)對于各類資源的分配，仍然使用的是建設(shè)初期大致估算，使用過程中手動(dòng)增加的方式。但是對于業(yè)務(wù)突發(fā)高峰等突發(fā)性事件的快速響應(yīng)和事件之后的資源回收，缺少自動(dòng)化手段。一方面導(dǎo)致對突發(fā)事件的響應(yīng)不及時(shí)，致使用戶體驗(yàn)變差，另一方面也導(dǎo)致資源回收滯后，致使資源浪費(fèi)。

三是整體遷移問題，由于現(xiàn)有津南數(shù)據(jù)中心房產(chǎn)歸市稅務(wù)局所有，因此需要按照財(cái)政部要求在財(cái)政經(jīng)濟(jì)分析中心建設(shè)財(cái)政專有云平臺(tái)，以便將現(xiàn)有信息化資源進(jìn)行整合遷移。

四是網(wǎng)絡(luò)安全需求，天津市財(cái)政局機(jī)房分布于市局、津南、薊州、濱海新區(qū)等多地，雖然采用了大量的技術(shù)手段加以保障，但復(fù)雜的網(wǎng)絡(luò)安全架構(gòu)，也導(dǎo)致故障點(diǎn)隨之增多，不利于統(tǒng)一管理，更不利于財(cái)政業(yè)務(wù)的穩(wěn)定運(yùn)行。

三、解決方案

天津財(cái)政專有云，是財(cái)政部以“云計(jì)算”理念分階段、分層次推動(dòng)全國財(cái)政云平臺(tái)建設(shè)的一個(gè)重要組成部分。通過天津財(cái)政專有云的建設(shè)，可以逐步推進(jìn)天津市乃至全國財(cái)政信息化系統(tǒng)云化應(yīng)用的進(jìn)程，提高需求響應(yīng)速度和應(yīng)用部署效率，提升財(cái)政信息化集約化水平，為天津市財(cái)政核心業(yè)務(wù)系統(tǒng)化系統(tǒng)建設(shè)、集中化部署和財(cái)政大數(shù)據(jù)應(yīng)用等工作提供堅(jiān)實(shí)的信息化基礎(chǔ)新支撐。

（一）總體目標(biāo)

1.基于天津市電子政務(wù)云構(gòu)建天津市財(cái)政局財(cái)政專有云平臺(tái)。

2.建設(shè)符合工信部《基于云計(jì)算的電子政務(wù)公共平臺(tái)頂層設(shè)計(jì)指南》《信息安全技術(shù) 云計(jì)算服務(wù)安全指南》《信息安全技術(shù) 云計(jì)算服務(wù)安全能力要求》等國家及行業(yè)標(biāo)準(zhǔn)、規(guī)范的政務(wù)云平臺(tái)。

3.提供云服務(wù)支撐能力，滿足業(yè)務(wù)應(yīng)用服務(wù)需求；發(fā)展云平臺(tái)PaaS層服務(wù)功能，提高PaaS層與第三方控件、模塊對接能力；發(fā)展云平臺(tái)SaaS層服務(wù)能力，可支持提供共性應(yīng)用軟件服務(wù)和行業(yè)應(yīng)用軟件服務(wù)。

4.建設(shè)基于數(shù)據(jù)分析的云安全管理體系和運(yùn)維管理體系，為云上應(yīng)用系統(tǒng)穩(wěn)定持續(xù)運(yùn)行提供全面支撐。

5.建設(shè)統(tǒng)一完善的云服務(wù)監(jiān)管體系，實(shí)現(xiàn)云服務(wù)（含安全服務(wù)）的集中可視化監(jiān)控。

6.提供安全、可靠、高效的容災(zāi)方案，實(shí)現(xiàn)關(guān)鍵核心系統(tǒng)的容災(zāi)實(shí)施，并定期進(jìn)行演練。

（二）建設(shè)原則

1.標(biāo)準(zhǔn)化

財(cái)政專有云平臺(tái)應(yīng)符合國家及行業(yè)標(biāo)準(zhǔn)、規(guī)范，標(biāo)準(zhǔn)規(guī)范包括但不限于國家工信部 《基于云計(jì)算的電子政務(wù)公共平臺(tái)頂層設(shè)計(jì)指南》《信息安全技術(shù)云計(jì)算服務(wù)安全指南》（GB/T31167-2014）《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》（GB/T31168-2014）。

2.可移植性及開放性

財(cái)政專有云平臺(tái)應(yīng)適應(yīng)財(cái)政業(yè)務(wù)系統(tǒng)類型多樣、結(jié)構(gòu)復(fù)雜的特點(diǎn)，在體系架構(gòu)、設(shè)備選型、軟件配置、數(shù)據(jù)交互等方面需兼容各種主流的應(yīng)用系統(tǒng)環(huán)境，保障業(yè)務(wù)系統(tǒng)及數(shù)據(jù)遷移的可移植性。同時(shí)，平臺(tái)提供開放的技術(shù)接口，滿足各應(yīng)用系統(tǒng)基于平臺(tái)的二次開發(fā)需求。

3.安全性

財(cái)政專有云平臺(tái)作為各項(xiàng)應(yīng)用的承載體，應(yīng)嚴(yán)格按照國家及行業(yè)安全標(biāo)準(zhǔn)規(guī)范設(shè)計(jì)建設(shè)，遵照各級(jí)保密法律法規(guī)，采取切實(shí)有效的措施，確保系統(tǒng)安全穩(wěn)定運(yùn)行。

4.先進(jìn)性

財(cái)政專有云平臺(tái)應(yīng)采用先進(jìn)、成熟可靠的技術(shù)搭建，優(yōu)先選擇具有自主知識(shí)產(chǎn)權(quán)且具有成功案例的軟硬件產(chǎn)品，為平臺(tái)后續(xù)長期、安全、穩(wěn)定的運(yùn)行提供基礎(chǔ)。

5.可擴(kuò)展性

云服務(wù)商在搭建云平臺(tái)時(shí)，應(yīng)充分考慮未來信息化發(fā)展趨勢，系統(tǒng)的總體設(shè)計(jì)采用層次化、組件化設(shè)計(jì)，為今后平臺(tái)擴(kuò)展留有空間。

6.易用性

云平臺(tái)應(yīng)操作簡單、使用方便、可集中管理和易于維護(hù)。

（三）總體架構(gòu)

財(cái)政專有云服務(wù)體系整體分為五層結(jié)構(gòu)、兩個(gè)體系，其總體邏輯架構(gòu)設(shè)計(jì)如圖1所示：

五層結(jié)構(gòu)分別是：基礎(chǔ)設(shè)施層、資源抽象層、資源服務(wù)層、云管理層、業(yè)務(wù)應(yīng)用層。輔以兩個(gè)體系，即信息安全保障體系和運(yùn)行管理體系，對云數(shù)據(jù)中心的運(yùn)行提供支撐。

1.五層結(jié)構(gòu)設(shè)計(jì)

（1）基礎(chǔ)設(shè)施層設(shè)計(jì)

基礎(chǔ)設(shè)施層包括機(jī)房運(yùn)行環(huán)境以及計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、安全等設(shè)備。機(jī)房的部署按照分區(qū)設(shè)計(jì)，主要分為虛擬化應(yīng)用資源池、數(shù)據(jù)庫區(qū)、統(tǒng)一運(yùn)維管理區(qū)、網(wǎng)絡(luò)設(shè)備區(qū)和安全管理區(qū)等區(qū)域。

（2）資源抽象層設(shè)計(jì)

資源抽象層通過虛擬化技術(shù)，負(fù)責(zé)對底層硬件資源進(jìn)行抽象，對底層硬件故障進(jìn)行屏蔽，統(tǒng)一調(diào)度計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、安全資源池。

（3）資源服務(wù)層設(shè)計(jì)

資源服務(wù)層將虛擬化后的計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)、安全等資源以服務(wù)的形式提供給用戶，包括網(wǎng)絡(luò)服務(wù)、存儲(chǔ)服務(wù)、VPC服務(wù)、彈性主機(jī)、資源編排、負(fù)載均衡、安全服務(wù)等。

（4）云管理層設(shè)計(jì)

實(shí)現(xiàn)以云計(jì)算環(huán)境為管理對象的綜合型管理系統(tǒng)，包括云服務(wù)的提供和運(yùn)營、云基礎(chǔ)設(shè)施的維護(hù)以及云用戶的管理，具備資源管理、調(diào)度管理、自動(dòng)化部署、策略管理、計(jì)量管理、監(jiān)控管理、權(quán)限管理等功能。

（5）業(yè)務(wù)應(yīng)用層設(shè)計(jì)

云服務(wù)的最終目標(biāo)是為最上層的業(yè)務(wù)應(yīng)用層提供服務(wù)，用于運(yùn)行財(cái)政的各類業(yè)務(wù)應(yīng)用。

圖1 云計(jì)算總體邏輯架構(gòu)

2.兩個(gè)體系設(shè)計(jì)

（1）信息安全保障體系

信息安全保障體系應(yīng)貫穿云計(jì)算體系的各層面各環(huán)節(jié)，以《網(wǎng)絡(luò)安全法》為指導(dǎo)，以財(cái)政專有云計(jì)算體系環(huán)境的具體安全要求為核心，從安全技術(shù)體系、安全管理體系、關(guān)鍵系統(tǒng)的保障體系幾大層面入手，利用防火墻、IPS、 抗 DDOS、VPN、IDS 等技術(shù)和設(shè)備，形成安全防御、安全管理、身份認(rèn)證、安全域管理、傳輸加密、鑒權(quán)授權(quán)等安全能力，參考國家、財(cái)政部及天津市的各項(xiàng)規(guī)范制度，設(shè)計(jì)信息安全保障體系。

（2）運(yùn)行管理體系

根據(jù)財(cái)政業(yè)務(wù)特點(diǎn)，通過整合云管理平臺(tái)、網(wǎng)絡(luò)管理平臺(tái)、SDN控制器、虛擬化管理功能，實(shí)現(xiàn)各方面的管理功能，提供運(yùn)行管理、網(wǎng)絡(luò)管理、系統(tǒng)管理等功能，并開放相關(guān)的開發(fā)接口，實(shí)現(xiàn)與用戶現(xiàn)有流程管理、配置管理、問題管理等運(yùn)行維護(hù)管理系統(tǒng)的相互協(xié)同，集中管理云計(jì)算資源，保障系統(tǒng)健康運(yùn)行。

（四）網(wǎng)絡(luò)安全架構(gòu)

1.總體拓?fù)浼軜?gòu)設(shè)計(jì)

財(cái)政專有云網(wǎng)絡(luò)環(huán)境主要分為業(yè)務(wù)專網(wǎng)和業(yè)務(wù)外網(wǎng)（互聯(lián)網(wǎng)）兩個(gè)分區(qū)（其中業(yè)務(wù)專網(wǎng)包括業(yè)務(wù)內(nèi)網(wǎng)、縱向聯(lián)網(wǎng)區(qū)和橫向聯(lián)網(wǎng)區(qū)）。兩個(gè)主要分區(qū)通過安全隔離與信息交互系統(tǒng)（以下簡稱網(wǎng)閘）實(shí)現(xiàn)區(qū)域間的隔離，以滿足不同的應(yīng)用部署環(huán)境需求。

2.業(yè)務(wù)專網(wǎng)設(shè)計(jì)

（1）業(yè)務(wù)專網(wǎng)整體架構(gòu)

業(yè)務(wù)專網(wǎng)分區(qū)承載專網(wǎng)相關(guān)業(yè)務(wù)，其總體規(guī)劃遵循區(qū)域化、層次化和模塊化的設(shè)計(jì)理念，提高承載業(yè)務(wù)系統(tǒng)的可擴(kuò)展性、安全性和可管理能力。

按照系統(tǒng)邏輯分區(qū)及安全隔離要求，業(yè)務(wù)專網(wǎng)分為業(yè)務(wù)內(nèi)網(wǎng)核心交換區(qū)、虛擬化應(yīng)用資源池區(qū)、數(shù)據(jù)庫區(qū)、區(qū)縣應(yīng)用區(qū)、安全管理區(qū)、統(tǒng)一運(yùn)維管理區(qū)等，各區(qū)域內(nèi)部再根據(jù)用戶實(shí)際業(yè)務(wù)需求劃分子區(qū)域。在網(wǎng)絡(luò)出口方面，通過縱向聯(lián)網(wǎng)區(qū)連接上下級(jí)財(cái)政部門，通過橫向聯(lián)網(wǎng)區(qū)連接各市級(jí)預(yù)算單位、銀行、企業(yè)等。

（2）業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)

業(yè)務(wù)專網(wǎng)網(wǎng)絡(luò)整體采用核心層、接入層的二層網(wǎng)絡(luò)架構(gòu)，以利于網(wǎng)絡(luò)的擴(kuò)展和維護(hù)。網(wǎng)絡(luò)分層簡要概述如下：

①網(wǎng)絡(luò)核心交換區(qū)

網(wǎng)絡(luò)核心交換區(qū)是業(yè)務(wù)專網(wǎng)的流量轉(zhuǎn)發(fā)總核心，實(shí)現(xiàn)外部網(wǎng)絡(luò)與各資源池分區(qū)的流量轉(zhuǎn)發(fā)以及節(jié)點(diǎn)內(nèi)集群間流量轉(zhuǎn)發(fā)。核心交換機(jī)選用高性能、高可靠性的核心級(jí)交換設(shè)備，同時(shí)采用雙機(jī)虛擬化部署，支持SDN技術(shù)，實(shí)現(xiàn)虛擬網(wǎng)絡(luò)與硬件解耦，結(jié)合云管理平臺(tái)實(shí)現(xiàn)業(yè)務(wù)高速轉(zhuǎn)發(fā)和調(diào)度。

由于整網(wǎng)服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、安全等設(shè)備眾多，需要一套完整的帶外管理網(wǎng)絡(luò)，單獨(dú)部署帶外管理核心交換機(jī)。帶外管理網(wǎng)絡(luò)是一套獨(dú)立的管理網(wǎng)，單獨(dú)為每個(gè)資源池部署帶外管理接入交換機(jī)，接入交換機(jī)再匯總到單獨(dú)的帶外管理核心交換設(shè)備之上。

核心交換區(qū)旁掛區(qū)縣應(yīng)用區(qū)的兩臺(tái)核心交換機(jī)用于連接區(qū)縣業(yè)務(wù)擴(kuò)展應(yīng)用。核心交換區(qū)還通過網(wǎng)閘與財(cái)政業(yè)務(wù)外網(wǎng)（互聯(lián)網(wǎng)區(qū)）相連，即進(jìn)行兩張網(wǎng)絡(luò)的物理隔離。

②網(wǎng)絡(luò)接入?yún)^(qū)

接入層由多種接入交換機(jī)組成，向下連接各類計(jì)算集群（虛擬化應(yīng)用資源池、數(shù)據(jù)庫區(qū)、安全管理區(qū)、統(tǒng)一運(yùn)維管理區(qū)等），將集群內(nèi)流量控制在接入層內(nèi)，向上與核心交換設(shè)備相連。

接入交換區(qū)針對各類計(jì)算集群分別配置運(yùn)維管理交換機(jī) （帶外管理接入交換機(jī)），向上與帶外管理核心交換機(jī)相連。

③業(yè)務(wù)專網(wǎng)出口

業(yè)務(wù)專網(wǎng)出口分為縱向聯(lián)網(wǎng)區(qū)和橫向聯(lián)網(wǎng)區(qū)。

在縱向聯(lián)網(wǎng)區(qū)內(nèi)，兩臺(tái)核心交換機(jī)虛擬化后，通過多業(yè)務(wù)安全網(wǎng)關(guān)與縱向網(wǎng)絡(luò)接入設(shè)備相連，成為財(cái)政部、寬帶城域網(wǎng)（含區(qū)縣、市局）環(huán)網(wǎng)的一個(gè)重要節(jié)點(diǎn)。

在橫向聯(lián)網(wǎng)區(qū)，核心交換區(qū)通過網(wǎng)閘設(shè)備或防火墻隔離后，與橫向聯(lián)網(wǎng)區(qū)的核心交換機(jī)相連，并在此處部署一個(gè)單獨(dú)的應(yīng)用前置區(qū)（含應(yīng)用前置服務(wù)器），應(yīng)用前置區(qū)通過專用的路由器經(jīng)防火墻、 防毒墻、IPS、抗DooS等安全設(shè)備防護(hù)后與電子政務(wù)外網(wǎng)、VPDN、專線（人民銀行、商業(yè)銀行、企業(yè)等）連接。

（3）業(yè)務(wù)專網(wǎng)虛擬化應(yīng)用資源池設(shè)計(jì)

虛擬化應(yīng)用資源池提供服務(wù)器虛擬化功能，是整個(gè)云計(jì)算平臺(tái)承載業(yè)務(wù)的基礎(chǔ)。支持將物理服務(wù)器虛擬化為虛擬機(jī)，提供給不同業(yè)務(wù)使用，提高服務(wù)器資源的整體利用率。

在業(yè)務(wù)專網(wǎng)部署若干臺(tái)2路物理服務(wù)器并配套虛擬化軟件形成虛擬化資源池，服務(wù)器均采用雙萬兆光口上行連接虛擬化萬兆接入交換機(jī)，雙萬兆光口上行連接虛擬化萬兆管理接入交換機(jī)，雙千兆電口連接虛擬化運(yùn)維交換機(jī)。具體組網(wǎng)示例如圖2：

在虛擬化計(jì)算資源池中，一般物理服務(wù)器與云主機(jī)的整合比平均不超過1∶5、單臺(tái)物理服務(wù)器上所有云主機(jī)vCPU之和不超過物理機(jī)總內(nèi)核的1.5倍、單臺(tái)物理服務(wù)器上所有云主機(jī)內(nèi)存之和不超過物理內(nèi)存 （通常再考慮預(yù)留20%內(nèi)存給物理機(jī)運(yùn)行虛擬化操作系統(tǒng)）。虛擬化應(yīng)用資源池服務(wù)器的主頻、內(nèi)存都應(yīng)具備高性能、可拓展、高可用等特性。

圖2 虛擬化應(yīng)用資源池服務(wù)器組網(wǎng)

3.業(yè)務(wù)外網(wǎng)設(shè)計(jì)

（1）業(yè)務(wù)外網(wǎng)整體架構(gòu)

業(yè)務(wù)外網(wǎng)承載財(cái)政業(yè)務(wù)外網(wǎng)相關(guān)業(yè)務(wù)。其按照系統(tǒng)邏輯分區(qū)及安全隔離需求，分別由業(yè)務(wù)外網(wǎng)核心交換區(qū)、虛擬化應(yīng)用資源池、數(shù)據(jù)庫區(qū)、安全管理區(qū)、統(tǒng)一運(yùn)維管理區(qū)組成。業(yè)務(wù)外網(wǎng)區(qū)網(wǎng)絡(luò)具有不同運(yùn)營商的多個(gè)互聯(lián)網(wǎng)出口。整套環(huán)境采用云計(jì)算虛擬化相關(guān)技術(shù)搭建。

（2）業(yè)務(wù)外網(wǎng)（互聯(lián)網(wǎng)區(qū)）網(wǎng)絡(luò)設(shè)計(jì)

與業(yè)務(wù)內(nèi)網(wǎng)類似，業(yè)務(wù)外網(wǎng)作為數(shù)據(jù)中心的基礎(chǔ)設(shè)施，其高可用性直接影響到業(yè)務(wù)系統(tǒng)的可用性，需要采用高可靠的產(chǎn)品和技術(shù)，保障容錯(cuò)能力和糾錯(cuò)能力。同時(shí)應(yīng)按照端到端訪問安全、網(wǎng)絡(luò)L2-L7層安全兩個(gè)維度對安全體系進(jìn)行設(shè)計(jì)規(guī)劃，確保網(wǎng)絡(luò)安全。業(yè)務(wù)外網(wǎng)（互聯(lián)網(wǎng)區(qū)）網(wǎng)絡(luò)整體采用核心層、接入層的二層網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)分層簡要概述如下：

①網(wǎng)絡(luò)核心交換區(qū)

網(wǎng)絡(luò)核心交換區(qū)是業(yè)務(wù)外網(wǎng)（互聯(lián)網(wǎng)區(qū)）的流量轉(zhuǎn)發(fā)總核心，實(shí)現(xiàn)外部網(wǎng)絡(luò)與各資源池分區(qū)的流量轉(zhuǎn)發(fā)以及節(jié)點(diǎn)內(nèi)集群間流量轉(zhuǎn)發(fā)。核心交換機(jī)選用高性能、高可靠性的核心級(jí)交換設(shè)備，同時(shí)采用雙機(jī)虛擬化部署，支持SDN技術(shù)，實(shí)現(xiàn)虛擬網(wǎng)絡(luò)與硬件解耦，結(jié)合云管理平臺(tái)實(shí)現(xiàn)業(yè)務(wù)高速轉(zhuǎn)發(fā)和調(diào)度。

同時(shí)，由于整網(wǎng)服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、安全等設(shè)備眾多，需要一套完整的帶外管理網(wǎng)絡(luò)，所以還需部署帶外管理核心交換機(jī)。帶外管理網(wǎng)絡(luò)是一套獨(dú)立的管理網(wǎng)，單獨(dú)為每個(gè)資源池都部署帶外管理接入交換機(jī)，接入交換機(jī)再匯總到單獨(dú)的帶外管理核心交換設(shè)備之上。

核心交換區(qū)還通過網(wǎng)閘與業(yè)務(wù)內(nèi)網(wǎng)相連，形成物理安全隔離。

②網(wǎng)絡(luò)接入交換區(qū)

接入層由多種接入交換機(jī)組成，向下連接各類計(jì)算集群（虛擬化資源池區(qū)、數(shù)據(jù)庫區(qū)、安全管理區(qū)、統(tǒng)一運(yùn)維管理區(qū)等），將集群內(nèi)流量控制在接入層內(nèi)，向上與核心交換設(shè)備相連。

此外，分別配置運(yùn)維管理交換機(jī) （帶外管理接入交換機(jī)），向上與帶外管理核心交換機(jī)相連。

③業(yè)務(wù)外網(wǎng)（互聯(lián)網(wǎng)區(qū)）出口

為了方便公眾和企事業(yè)單位訪問業(yè)務(wù)外網(wǎng)，同時(shí)支持IPV4和IPV6協(xié)議，支持不同運(yùn)營商的多個(gè)互聯(lián)網(wǎng)出口。

在核心交換區(qū)前端，通過兩套安全防護(hù)設(shè)備或兩臺(tái)多業(yè)務(wù)安全網(wǎng)關(guān)隔離后，部署兩臺(tái)鏈路負(fù)載均衡器，再與多家運(yùn)營商的出口路由器相連。

（3）業(yè)務(wù)外網(wǎng)（互聯(lián)網(wǎng)區(qū)）虛擬化應(yīng)用資源池設(shè)計(jì)

在業(yè)務(wù)外網(wǎng)部署若干臺(tái)2路物理服務(wù)器配套虛擬化軟件做虛擬化資源池，服務(wù)器均采用雙萬兆光口上行連接虛擬化萬兆接入交換機(jī)，雙萬兆光口上行連接虛擬化萬兆管理接入交換機(jī)，雙千兆電口連接虛擬化運(yùn)維交換機(jī)。具體組網(wǎng)示例如圖3：

圖3 虛擬化資源池服務(wù)器組網(wǎng)

計(jì)算資源池的設(shè)計(jì)與業(yè)務(wù)專網(wǎng)類似，在此不再贅述。

計(jì)算資源池通過負(fù)載均衡的部署，支持動(dòng)態(tài)資源擴(kuò)展能力。通過云平臺(tái)提供獲取方式簡單高效、處理能力彈性可伸縮的計(jì)算服務(wù)，支持根據(jù)用戶需求的硬件配置、操作系統(tǒng)和網(wǎng)絡(luò)配置，創(chuàng)建一臺(tái)或多臺(tái)云主機(jī)，在云平臺(tái)中，彈性云主機(jī)可以支持靈活定義服務(wù)規(guī)格，支持基于負(fù)載的水平擴(kuò)展，具備云主機(jī)全生命周期的管控。并能夠通過監(jiān)控引擎實(shí)時(shí)獲取服務(wù)器的運(yùn)行狀態(tài)，當(dāng)監(jiān)控程序發(fā)現(xiàn)資源使用達(dá)到特定的閾值時(shí)，將觸發(fā)云主機(jī)相應(yīng)的伸縮任務(wù)。

（4）業(yè)務(wù)外網(wǎng)（互聯(lián)網(wǎng)區(qū)）數(shù)據(jù)庫區(qū)設(shè)計(jì)

業(yè)務(wù)外網(wǎng)數(shù)據(jù)庫區(qū)提供基于外網(wǎng)的相關(guān)數(shù)據(jù)庫類應(yīng)用服務(wù)，是整個(gè)云計(jì)算平臺(tái)承載數(shù)據(jù)庫相關(guān)業(yè)務(wù)的基礎(chǔ)設(shè)施。

數(shù)據(jù)庫區(qū)向各級(jí)別用戶提供數(shù)據(jù)庫資源自動(dòng)化交付、數(shù)據(jù)庫生命周期管理、賬號(hào)管理、表空間管理、備份恢復(fù)管理等功能。同時(shí)，數(shù)據(jù)庫管理平臺(tái)還提供運(yùn)維管理功能，如集群資源配置、監(jiān)控、報(bào)表、數(shù)據(jù)庫變更、遷移等功能。

財(cái)政外網(wǎng)業(yè)務(wù)需針對大量用戶，對高性能關(guān)系型數(shù)據(jù)庫和非結(jié)構(gòu)化數(shù)據(jù)的應(yīng)用需求都較高，因此對存儲(chǔ)容量和讀寫速度要求高。數(shù)據(jù)庫區(qū)資源以滿足高I/O數(shù)據(jù)庫需求的物理資源為主，包括物理服務(wù)器和高性能存儲(chǔ)陣列。

規(guī)劃在業(yè)務(wù)外網(wǎng) （互聯(lián)網(wǎng)區(qū)）部署4臺(tái)4路高性能物理服務(wù)器，并配套FC交換機(jī)和FC存儲(chǔ)陣列作為數(shù)據(jù)庫區(qū)。服務(wù)器均采用雙萬兆光口上行連接數(shù)據(jù)庫萬兆接入交換機(jī)，雙千兆電口連接虛擬化運(yùn)維交換機(jī)，下行連接FC光纖交換機(jī)，F(xiàn)C光纖交換機(jī)直接與FC存儲(chǔ)相連。具體組網(wǎng)示例如圖4：

4.安全管理

（1）網(wǎng)絡(luò)安全

①防火墻

云計(jì)算環(huán)境的設(shè)計(jì)方案要求實(shí)現(xiàn)分域保護(hù)，縱深防御機(jī)制。在業(yè)務(wù)內(nèi)網(wǎng)和業(yè)務(wù)外網(wǎng)等安全域的網(wǎng)絡(luò)邊界處設(shè)置防火墻提供訪問控制，在允許資源互相訪問的情況下，保護(hù)核心關(guān)鍵資產(chǎn)，有效地防止由網(wǎng)絡(luò)入口處進(jìn)行的各種破壞性的對網(wǎng)絡(luò)的攻擊和非法訪問行為。

圖4 數(shù)據(jù)庫區(qū)組網(wǎng)

②入侵防御系統(tǒng)（IPS）

利用入侵防御系統(tǒng)提供云計(jì)算環(huán)境下的云安全邊界的安全防護(hù)，對各虛擬應(yīng)用環(huán)境間及外部訪問虛擬化應(yīng)用的數(shù)據(jù)流進(jìn)行深度檢測，精確、實(shí)時(shí)地識(shí)別并阻斷或限制黑客、蠕蟲、病毒、木馬、DoS/DDoS、掃描、間諜軟件、協(xié)議異常等異常行為，并提供帶寬管理和URL過濾功能。

③防毒墻

在各系統(tǒng)網(wǎng)絡(luò)邊界設(shè)置防毒墻，按照“層層設(shè)防、集中控制、預(yù)防為主、防殺結(jié)合”的策略，建設(shè)統(tǒng)一的、覆蓋全網(wǎng)的、立體的、集中控制的網(wǎng)絡(luò)防病毒體系。

④抗DDoS設(shè)備

在橫向聯(lián)網(wǎng)區(qū)及業(yè)務(wù)外網(wǎng)出口邊界部署抗DDoS設(shè)備，迅速識(shí)別并攔截DDoS攻擊。

⑤安全隔離與信息交互系統(tǒng)

業(yè)務(wù)內(nèi)網(wǎng)與業(yè)務(wù)外網(wǎng)的邊界需配置有安全隔離與信息交互系統(tǒng)，業(yè)務(wù)內(nèi)網(wǎng)與縱向聯(lián)網(wǎng)區(qū)和橫向聯(lián)網(wǎng)區(qū)的邊界可以根據(jù)用戶需要部署，以實(shí)現(xiàn)對不同網(wǎng)絡(luò)分區(qū)進(jìn)行安全隔離。

（2）虛擬化安全

①虛擬化服務(wù)器安全

針對虛擬機(jī)的安全需求，部署虛擬化服務(wù)器深度安全防護(hù)系統(tǒng)，提供覆蓋虛擬機(jī)和云服務(wù)器以及虛擬桌面的全方位的服務(wù)器安全平臺(tái)，確保服務(wù)器、應(yīng)用程序和數(shù)據(jù)的安全?？梢蕴峁┓缾阂廛浖?、IDS/IPS、虛擬補(bǔ)丁、防火墻在內(nèi)的安全模塊或模塊組合，定制專署的無代理安全防護(hù)。

②虛擬機(jī)系統(tǒng)安全加固

財(cái)政專有云平臺(tái)要求支持強(qiáng)制訪問控制功能，用以控制虛擬主機(jī)之間的互相訪問和訪問的類型。提供針對虛擬機(jī)及虛擬化操作系統(tǒng)的操作系統(tǒng)安全加固系統(tǒng)，用以解決虛擬主機(jī)操作系統(tǒng)安全問題。部署虛擬化防火墻實(shí)現(xiàn)虛擬主機(jī)之間的訪問控制。

③虛擬化入侵檢測分析

財(cái)政專有云環(huán)境中應(yīng)具有完善的入侵檢測功能，對于虛擬化層的安全威脅，能夠提供智能分析功能，實(shí)現(xiàn)虛擬化環(huán)境下流經(jīng)虛擬交換機(jī)流量的威脅檢測與智能分析，可以直觀的展示一段時(shí)間內(nèi)虛擬化環(huán)境的安全態(tài)勢，為決策者做出安全建設(shè)決策提供依據(jù)。

（3）數(shù)據(jù)安全

財(cái)政專有云平臺(tái)應(yīng)為用戶提供數(shù)據(jù)庫審計(jì)服務(wù)，可以對數(shù)據(jù)庫操作進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理，對數(shù)據(jù)庫遭受到的風(fēng)險(xiǎn)行為進(jìn)行告警。實(shí)時(shí)監(jiān)測并智能地分析、還原各種數(shù)據(jù)庫操作過程，對數(shù)據(jù)庫系統(tǒng)漏洞、登錄帳號(hào)、登錄工具和數(shù)據(jù)操作過程進(jìn)行跟蹤，及時(shí)發(fā)現(xiàn)對數(shù)據(jù)庫系統(tǒng)的異常使用，提供專業(yè)化審計(jì)報(bào)表。