云数据中心建设技术方案及实施、培训方案目录1.云数据中心建设项目设计方案 (4)1.1.项目概述 (4)1.1.1.深圳市城市轨道交通网络总体架构 (4)1.1.2.深圳市轨道交通清分中心概况 (4)1.1.3.深圳市轨道交通AFC系统线网中心（CLC）概况 (5)1.1.4.4号线已开通线路和系统概况 (5)1.1.5.本项目工程概况 (5)1.1.6.本项目AFC系统概况 (6)1.1.7.三期AFC系统需与以下系统接口： (6)1.1.8.需求理解及分析 (7)1.1.8.1.构建云数据中心 (7)1.1.8.2.业务云化及运维 (8)1.2.项目建设目标 (8)1.2.1.建设云数据中心，提供IaaS和PaaS层云服务 (8)1.2.2.构建云安全防护体系，满足安全等级保护三级要求 (8)1.2.3.部署云运维管理平台，图形化展示业务运行状况 (8)1.3.项目设计原则 (9)1.4.方案设计总体思路 (10)1.5.总体方案架构设计 (12)1.5.1.港铁AFC云平台架构设计 (12)1.5.2.新建云数据中心架构设计 (12)1.6.详细设计方案 (15)1.6.1.云管理平台设计方案 (15)1.6.1.1.云管理平台架构设计 (15)1.6.1.2.IaaS层服务设计 (21)1.6.1.3.PaaS层服务设计 (30)1.6.2.网络资源池设计方案 (31)1.6.2.1.网络资源池总体架构设计 (31)1.6.3.计算资源池设计方案 (34)1.6.3.1.计算资源池需求 (34)1.6.3.2.存储资源池需求 (36)1.6.3.3.计算资源池总体架构设计 (36)1.6.3.4.计算资源池容量规划设计 (36)1.6.3.5.数据库区计算资源规划设计 (38)1.6.3.6.计算资源池服务器虚拟化平台设计方案 (38)1.6.4.存储资源池设计方案 (49)1.6.4.1.FC SAN数据存储设计 (49)1.6.5.安全资源池设计方案 (66)1.6.5.1.物理安全 (67)1.6.5.2.基础安全 (68)1.6.5.3.虚拟化安全 (68)1.6.5.4.多租户安全 (69)1.6.5.5.应用层数据安全 (69)1.6.5.6.云安全部署方案 (70)1.6.5.7.云主机备份 (70)1.6.6.高级运维管理平台设计方案 (76)1.6.6.1.高级运维管理平台总体方案设计 (76)1.6.6.2.高级运维管理平台详细方案设计 (77)1.6.6.3.高级运维管理平台部署方式 (79)1.6.6.4.高级运维管理平台效益分析 (79)1.6.7.业务系统云化迁移设计方案 (80)1.6.7.1.新应用系统虚拟化建设 (80)1.6.7.2.老应用系统虚拟化迁移 (82)1.6.7.3.业务整合迁移 (84)1.6.8.设备及材料表 (92)1. 云数据中心建设项目设计方案1.1. 项目概述1.1.1. 深圳市城市轨道交通网络总体架构根据功能一般可分为5个层面，第一层为深圳市轨道交通清分系统，与深圳市公共交通“深圳通”系统互联；第二层为轨道交通AFC多线路中心CLC系统和4号线中央计算机系统、第三层为运行在线路各车站的AFC车站计算机系统、第四层为车站的AFC终端设备，第五层为IC卡车票。

深圳市城市轨道交通AFC系统网络架构图1.1.2. 深圳市轨道交通清分中心概况深圳市城市轨道交通清分中心（ACC）负责统一制定、发行和管理轨道交通专用票，组织制订轨道交通票务政策，与深圳通系统及各轨道交通自动售检票系统（以下简称“AFC”）进行数据交换，按照确定的清分规则对票款收入进行收益清分。

深圳市城市轨道交通已建设深圳市轨道交通网络运营控制中心（以下简称NOCC），根据NOCC的功能定位，清分中心扩容后（全线网所有线路容量）迁移到深圳市轨道交通NOCC，ACC扩容搬迁工程已于2016年完成并开通运营。

1.1.3. 深圳市轨道交通AFC系统线网中心（CLC）概况CLC为深圳市城市轨道交通三期工程同期建设，已于2016年中建成。

CLC 属于NOCC设计内容，不在本工程AFC系统筹建范围内。

4号线AFC系统自建LCC，不接入CLC系统进行统一管理。

CLC系统是AFC系统多个线路中心系统的集合，CLC系统满足深圳轨道交通2020年开通线路接入及运营要求，并已适当考虑预留，CLC系统是按满足12条线、500个车站的接入能力进行建设。

CLC系统主要由6个子系统构成：1）主中心系统；2）调试中心系统；3）维修中心系统；4）票务中心系统；5）灾备中心系统；6）检测中心系统。

CLC系统可以控制诸如车站计算机系统和自动售检票终端之类的低层系统，可以将指定设备的故障数据实时传送到维护计算机以帮助系统操作员迅速修复故障设备。

1.1.4. 4号线已开通线路和系统概况深圳市城市轨道交通4号线（龙华线）既有工程，线路全长20.5km，共设15座车站，1座龙华车辆段，已于2011年6月建成通车。

4号线一期工程于2004年12月开通运营，共设5座车站，AFC系统接入1号线线路中心进行统一运营管理。

2011年6月,4号线二期工程建成，建设独立的线路中心系统（LCC），各车站SC及终端设备接入4号线二期的LCC，同时在线路中心新设接入服务器，4号线一期工程5座车站通过接入服务器进行接口转换后，接入4号线二期的LCC，实现4号线一期和二期全线车站的统一运营管理。

1.1.5. 本项目工程概况深圳市城市轨道交通4号线三期工程为既有4号线的延伸线，由4号线二期工程终点清湖站北端引出，自南至北依次沿和平路、观澜大道、高尔夫大道敷设，终点设于牛湖站。

4号线三期工程线路正线全长10.785km，其中高架段1.753km，地下段8.840km，过渡段0.191km。

全线设8座车站，高架站1座（清华站），其它7站为地下站；与其它轨道交通换乘站2座，分别在长湖站（与规划轨道交通18号线换乘），在松元厦站[与规划轨道交通10号线支线（中轴线）换乘]；另外在观澜站与龙华有轨电车示范线换乘；新建观澜停车场1座，停车场出入线于牛湖站站前双线接轨停车场。

新建长坑主变电所1座。

1.1.6. 本项目AFC系统概况本工程AFC系统在8个车站新设AFC车站计算机系统；在观澜停车场设培训中心系统；在龙华车辆段电子工厂维修车间增设检修平台；本工程AFC系统不再单独设置线路中心系统，在4号线既有LCC的基础上进行软硬件升级更新，使4号线全线路各车站接受一个LCC系统的控制，实现本工程全线AFC系统的运营、管理需求。

本工程AFC系统采用非接触式IC卡制式，计程计时票制。

系统建成后，将实现轨道交通清分中心（ACC）、4号线线路中心（LCC）、各车站AFC系统三级管理结构，通过不同的管理手段将实现对票、钱、人、物的全方位管理，以确保系统可靠、安全的运行。

1.1.7. 三期AFC系统需与以下系统接口：●深圳通系统●清分中心ACC●深圳市轨道交通云平台系统●4号线既有AFC系统●第三方支付●主控系统（MCS/UPS电源）●主体一标●主体二标●共性运营设施●NOCC1.1.8. 需求理解及分析1.1.8.1. 构建云数据中心参考深圳市城市轨道交通系统二、三期项目的建设标准，结合《云技术在城市轨道交通的研究应用》科研，为充分利用当前综合信息处理平台技术的科技成果，深圳城市轨道交通4号线三期工程AFC 系统考虑应用云计算技术，建设基于云计算技术的AFC 业务平台，下文简称该平台为云平台。

根据港铁AFC IT 基础设施面临的问题，并结合国家数字化发展战略及港铁AFC 数据中心现状综合分析，港铁AFC 建设云数据中心迫在眉睫，且符合国家战略方针；需要构建云数据中心，实现数据可管可控，IT 资源根据业务随需提供；新业务开发敏捷交付；并通过云安全加固及云中心建设，实现数据的安全、可管、可控，满足云等保三级要求。

AFC 系统云化后，将港铁LCC 、互联网售检票平台、车站计算机系统合并为第二层。

第一层1.1.8.2. 业务云化及运维构建云中心后，需充分考虑现有业务上云需求，并尽量不影响现有生产业务，对于业务迁移需要有详细的规划和验证方案；同时充分考虑业务迁移后的云运维方案，让复杂的云中心IT运维变得直观简单。

1.2. 项目建设目标1.2.1. 建设云数据中心，提供IaaS和PaaS层云服务搭建云基础设施资源池，包括计算、存储、网络、安全、容器等资源池，通过云管理平台进行管理，提供云主机、裸金属、云存储、云网络、云安全组、弹性IP、云防火墙、云负载均衡、云IPS、VDC编排等IaaS层云服务，以及PaaS 层云服务，包括Oracle、MySQL、SQL Server等PaaS层云服务。

1.2.2. 构建云安全防护体系，满足安全等级保护三级要求以等级保护为指导，从网络、主机、应用、数据等多个层面出发，构建云安全防护体系，实现事前防御、事中控制、事后审计多维度立体化安全防御体系，满足安全等级保护三级要求。

并构建安全态势感知平台，能够通过图形化分析和展示网络安全状况。

1.2.3. 部署云运维管理平台，图形化展示业务运行状况对港铁AFC云数据中心所有IT资源实现全局纳管，统一监控，集中维护，有效排障；能够实现对计算、存储、网络、安全、操作系统、应用、数据库、中间件等的统一监控，并可通过数据建模，以业务为视角，通过业务健康度、繁忙度和可用度等指标，直观展示业务的运行状况，一旦健康度下降，可通过图形化界面快速定位和分析故障原因。

1.3. 项目设计原则（1）统一规范由于云计算是一个复杂的体系，本项目设计遵循在统一的框架体系下，参考国际国内各方面的标准与规范，严格遵从各项技术规定，做好系统的标准化设计与施工。

（2）成熟稳定由于云计算的发展变化很快，而本项目建设时间紧，涉及面广，应用性强，因此本项目设计，选成熟稳定的技术和产品，充分考虑冗余、容错能力；合理设计网络架构，制定可靠的网络、计算、存储备份策略，保障故障自愈能力，最大限度支持港铁AFC系统正常运行，确保建成的港铁AFC云服务的连续性，同时节约项目施工时间。

（3）高可用性关键设备和链路采取冗余设计，保障在设备或链路出现故障的情况下，服务不间断；同时，综合利用大二层迁移、数据远程复制等技术实现港铁AFC云数据中心与同城容灾中心、以及未来异地容灾中心间的业务及数据备份，保障在数据中心在不同程度故障的情况下业务能够快速切换，不影响用户业务。

（4）业务需求快速响应通过部署具备云业务自动化管理的云平台，自动提醒相关人员对业务部门提交的需求电子流进行需求审核，并为业务部门创建、分配相应虚拟机资源，无需传统数据中心硬件设备选型、采购、上线、配置等复杂流程，实现业务上线时间最短可达半小时，大大提升数据中心对业务部门的响应速度。