政务行业信息化基础架构顶层设计方案目录1.1系统基础架构 (3)1.1.1.总体架构 (3)1.1.2.环境支撑系统设计 (4)1.1.3.网络系统设计 (7)1.1.4.基础软硬件系统设计 (10)1.1.5.信息安全系统设计 (16)1.1.6.系统部署架构 (18)1.1.7.逐步实现私有云环境建设 (21)1.1 系统基础架构 1.1.1. 总体架构系统基础架构层由环境支撑系统、网络系统和基础软硬件系统组成,通过一系列安全措施和技术手段,满足业务应用系统部署和运行需要,为各类业务应用系统提供高效、稳定、安全的基础运行环境。
1、 系统基础架构层在整个体系架构中的相对位置2、 系统基础架构层所包括的主要内容网络环境:我委信息系统所面对的各类连接网络边界,主要包括委内部办公网络、党政机关网(政务内网、政务外网、国土资源部/省网络、住房建设部/省网络)、ISP接入网(电信、联通、移动等运营商网络)、无线网络等软件环境:信息系统基础软件环境,包括各类操作系统、数据库软件、中间件、GIS软件、虚拟化软件、自动化部署监控软件等硬件环境:微机服务器、小型机服务器、存储设备、备份设备、网络硬件设施等机房环境:场地、空调、UPS、环境监控、综合布线等下文将针对基础设施层各内容进行详细描述。
1.1.2.环境支撑系统设计现有的交易大厦和规划大厦机房在设计使用方面存在不足,尤其是交易大厦机房。
主要表现在,机房制冷、UPS电源和功能区域划分方面存在瓶颈,在空气质量保障方面也有较大隐患,不利于后期维护。
作为基础运行物理环境,需要新建新的绿色数据中心,,数据中心机房规划与建设要做到整体规划合理、理念先进,配置全面,针对不同功能区域和不同应用进行合理的设计,在充分考虑机房系统功能完善、适用的基础上,实现绿色节能减排。
数据中心的设计必须满足当前各项需求应用,又面向未来快速增长的发展需求,因此必须是高可扩、高灵活和高开放的,相关设计应满足相关建设标准和设计规范。
1、按照不同功能用途,划分特定区域2、采用模块化智能配电模式,便于在线扩充和智能化管理。
UPS电源系统采用冗余技术设计,采用双总线模块化供电方式,为全部服务器机柜提供双UPS电源供电。
其余如机房空调与气流配送系统、新风系统、机柜及KVM系统、防雷与接地系统、气体消防系统等均应按照建设齐备。
3、综合布线系统采用更为合理、更优化,弹性强、稳定性和扩展性好的布线技术,且应考虑新一代网络技术的使用需要。
综合布线系统采用六类UTP和光纤混合的方式,且应考虑未来FCOE和万兆网络系统的大面积使用需求。
同时,将机房区分为若干机柜组,每排机柜设一组集中配线柜,是该排机柜的列头柜,列头柜与该排机柜采用跳线的方式连接;对于水平线缆子系统,为防止强电对数据信号的干扰和方便布线,全部数据线都采用上走线的方式,选择的机柜均带有上走线屏蔽线槽,线槽应良好接地;每个服务器预留二个网口,设置二条线路,一主一备。
4、建立专用监控管理中心,采用大屏幕显示系统,部署统一联网监控管理系统,运用高科技手段,对机房内各类设备和信息进行全数字化集中监控管理,以及对分布在不同区域的多个机房的少人或无人值守问题,满足现代化机房管理的需要。
系统主要监控对象包括:为机房内所有设备系统供电的变配电柜、发电机、UPS、UPS蓄电池等动力设备,以及保证设备良好运行的环境系统,如:温度、湿度探测系统、空调系统、照明控制系统、监控管理人员出入和考勤的门禁系统,以及消防报警系统和其他传输控制设备。
1.1.3.网络系统设计我委网络系统设计应满足安全性、高可用性、扩展性和灵活性、可管理性等需求,同时应具备一定的前瞻性。
从应用区域划分,本节将从“数据中心网络”、“外联共享交换区域”、网络监控管理等方面予以描述。
(1)搭建高可用数据中心基础网络数据中心基础网络部分,主要采用“扁平部署模式”和“多级部署模式”进行分层设计。
通过分层部署可以使网络具有很好的扩展性(无需干扰其它区域就能根据需要增加容量),可以提升网络的可用性(隔离故障域降低故障对网络的影响),可以简化网络的管理(拓扑结构结构更清晰)。
考虑到我委内外网的不同特性,外网数据中心网络采用多级部署模型,每一级都部署单独的接入交换机,级与级之间再部署防火墙以实现访问控制隔离;内网数据中心网络采用扁平部署模型而言,服务器的分级结构是逻辑上的,需要依靠接入交换机的VLAN、汇聚层的防火墙多实例技术实现不同服务器级之间的隔离与访问控制。
同时,网络设计上应考虑全冗余万兆核心交换、IPV6、虚拟化、FCOE等。
如上图所示,数据中心内部网络区域主要划分为WEB服务器区、基础服务器区、应用服务器区、数据库服务器区、存储备份区等,其中,内网通过交换机VLAN进行划分,外网通过防火墙对不同网络区域进行隔离。
数据中心网络核心网络采用FCOE 万兆网络交换机,实现服务器、存储和交换机间万兆网络交换互联,同时实现光纤存储网络和IP网络的整合利用。
各种网络设备的配置需同时考虑IPv4向IPv6的过渡需求。
(2)搭建统一互联的网络使用环境我委网络主要划分内、外两套网络环境,考虑到各类不同的网络接入需求,从光纤布线和安全管理控制等层面考虑,需要尽快搭建一个通用的网络接入平台,并根据接入对象的相似性进行划分和统一安全控制。
内网网络主要划分为内部机构接入区、内网党政接入区。
其中,内部机构接入区主要考虑我委下级各单位以及分布在全市不同办公场所的单位联网接入,改区域联网单位是我委最主要的用户群体,网络资源配置和稳定性保障上应重点考虑;内网党政接入区主要考虑市、省、部等各级政府机关基于内网专网的接入需求。
此外,为确保内部机构互联区域接入稳定,通过VPN方式使用政务内网网络光纤资源,通过政务网络接入党政网络接入区,作为备用线路使用。
外网网络主要包括外网党政接入区和ISP接入区。
其中,外网党政接入区主要考虑市、省、部等各级政府机关基于内网专网或互联网的接入需求;ISP接入区主要考虑各类网络运营商、网络专线、短信专线等接入需求。
其网路连接拓扑示意如下:运营商链路负载均衡(4)网络监控和管理解决(网络运行维护,监控管理等,通过一系列先进的技术,实现自动化管理)1.1.4.基础软硬件系统设计考虑到今后数据中心整合趋势要求,本节思路拟按照计划将现有两个数据中心整合到一个数据中心,并将其中一个数据中心作为容灾站点运行,因此新的网络架构我们考虑将网络部分纳入支撑应用交付平台的云计算架构考虑,以便实现建立信息化的业务执行体系,整合与提升现有业务系统,创新业务管理的技术手段,扩大信息化实际覆盖面,建设既统一又有机联系、图文一体、人性化设计的规划国土政务管理信息平台。
考虑到我委内外网物理隔离,内外网框架基本类似,因此后续描述主要以内网网络规划为主,外网类似。
我委基础软硬件系统设计大致可按照如下思路完成:统一数据存储,搭建虚拟化服务器和存储基础平台;划分数据中心资源池,构建私有云环境;统一数据保护,建立容灾备份环境;依靠自动化管控工具,完成统一监控管理和自动化交付系统建设。
1、利用虚拟化手段,推进服务器虚拟化和存储系统虚拟化通过虚拟化手段,进一步整合基础服务器资源,提升资源利用率和系统可扩展性。
对于微机服务器,通过虚拟化软件,如Vmware等,搭建高可用的虚拟化环境。
对小型机服务器,利用硬件分区和软分区相结合的方式实现硬件资源集中化。
主要技术要点:(1)服务器按照功能定位不同,划分为基础管理服务器区、业务应用微机服务器区、业务应用小型机服务器区、数据库小型机服务器区。
各不同服务器区域通过一系列虚拟化手段实现资源利用最大化。
(2)微机服务器虚拟化主要用于基础管理服务器区和业务应用服务器区,前者主要用于AD、DHCP、DNS、WSUS补丁管理、准入控制、防病毒、运维管理等一系列基础服务功能;后者主要承担各类基于X86平台的业务应用。
(3)小型机虚拟化主要用于UNIX应用类服务器和数据库服务器。
采用“硬件分区+软件分区”的方式进行虚拟化,对于数据库服务器则仅采用“硬件分区”方式。
同时,服务器虚拟化和大数据量的产生,对存储系统也提出了更高的要求,在容量、性能、功能上都需要完善。
存储系统中规划设计上应考虑整合现有资源,同时具备较强的扩展性。
虚拟存储设备区EMC CX3-80D ELL-EMC CX960华赛N8000Netapp EMC CX700异构存储设备区存储终端设备支持多品牌、多型号存储设备、方便扩展主要技术要点:(1)、链路层,通过万兆FCOE交换机实现IP网络和存储网络的整合统一。
(2)、统一虚拟存储平台,通过部署统一虚拟化云存储平台,整合现有存储资源。
同时,该存储平台还能支持异构平台存储自动复制功能,确保核心数据同时存储于两台底层存储设备中,进一步确保关键数据安全。
(3)、底层存储设备,最终数据存储设备,由原有存储设备和新采购的磁盘阵列组成,2、统一数据保护,建立容灾备份环境数据永远是数据中心最核心的资产,尤其是采用虚拟化后,所有的核心数据都将依靠数据存储设备进行统一存储。
为确保数据中心数据的使用安全和存储安全,应同时考虑其备份和数据容灾问题。
我委数据中心可按照地域性进行合理搭配使用,满足数据保护。
(1)、在主数据中心(如交易大厦)和规划大厦机房之间部署CDP连续数据保护系统,实现两地机房存储系统数据互相传输连续保护功能。
在不影响主要数据运行的前提下,实现持续捕捉或跟踪目标数据所发生的任何改变,并且能够恢复到此前任意时间点的方法。
CDP系统能够提供块级、文件级和应用级的备份,并且为数量无限的可变恢复点提供精细的可恢复对象。
部署完成后,交易大厦和规划大厦互作为CDP数据传输目标端,可以实现核心数据跨数据中心存储功能。
(2)、数据中心本地继续采用传统数据备份系统,并通过带重复数据消除功能的虚拟带库进行快速存储,然后通过虚拟带库离线克隆至物理带库中存储,实现分级存储备份,同时也确保备份介质的多版本克隆。
(3)、利用虚拟带库自身的远程复制功能,实现远距离异地数据容灾。
在远程机房部署一套相同型号带重复数据消除功能的虚拟带库,并依靠虚拟带库自身的复制功能,依托IP网络,将本地备份的数据远程复制至另一数据中心机房,距离可以从几公里到上千公里均可。
上述功能实现示意图如下:设备区IP SAN网络核心交换区FCOE协议交换机CDP设备物理磁带库核心数据灾备区4、依靠自动化管控工具,完成统一监控管理和自动化交付系统建设最终总拓扑图示如下:EMC CX4-960EMC CX3-40EMC CX3-80EMC CX700利旧存储IBM P 系列主机虚拟化主机应用客户端IBM 主机计算资源池存储区域网存储虚拟化平台物理磁带库虚拟磁带库存储资源池\存储即服务备份、容灾设备精简数据复制管理平台备份、容灾设备1.1.5. 信息安全系统设计随着信息技术的发展,信息化程度越来越高,信息安全的内涵也在不断丰富,面临的新挑战和新问题不断出现。