当前位置:文档之家› 教育云平台设计方案

教育云平台设计方案

核心交换机
出口路由器
负载均衡 融合接入层交换机 融合接入层交换机
IP-SAN存储区域
FC-SAN存储区域
电教 馆自 有业 务服 务区
IAA S云 服务 区
应用 超市 服务 区
云桌 面服 务区
云安全的精细化设计
数据库服务器区域
云虚拟机东西方向 云安全控制区域
管理员账号 安全
安 全 规 章 制 度 安 全 应 急 响 应 机 制 及 处 理 流 程
主机杀毒 DDoS安全防护 租户内安全资源限制 安全域 NAT
云安全扫描杀毒 DDoSaaS LBaaS FWaaS
云安全服务
基 础 安 全 加 固
多租户网络隔离 安全域 网络安全多实例
Hypervisor安全补丁 VM访问控制 VM防病毒
应用超市: 提供基本硬件环境, 引入市场上的教学应 用软件,通过试用, 挑选符合韶关普教特 色需要的应用
IaaS云服务: 中小学原则上不再新 增服务器等IT设备,直 接使用云资源池,优 化韶关教育系统的硬 件支出
云桌面: 优先在电教馆办公和测试 环境使用云桌面替换PC机, 积累经验,后续逐步扩展 到每个学校
云网盘
华三云网盘
¥5000/月
吞吐量:500 新建数:500 并发数:500 安全策略条数:1000
为租户提供业务运行所需要的服务器、网络、安全、负载均衡、数据库等资源; 虚拟计量,对内统计云服务带来的价值,对外可运营收费;
8
自动化编排
租户将申请到的虚机、网络、安全、数据库、负载均衡设备,根据业务需要自定义拓扑; 拖拽设备图标即可自动完成拓扑定义,无需手工配置;
SaaS
云安全管理
云 安 全 业 务 部 署 及 策 略 调 整 云 安 全 日 志 分 析 和 行 为 审 计
云 安 全
应用系统代码安全性分析
开发环境安全 数据库安全
多账户数据隔离 多账户数据隔离 存储安全防护
权限控制及审计
权限控制及审计
PaaS
IaaS


VPN 负载均衡多租户安全隔离 虚拟FW 多租户安全隔离 WEB安全扫描
经验表明,在千兆城域网带宽情况下,只能同时承载500(2M码流)-1000(1M码流)个 教室同时直播。无法满足韶关市全市学校实现网络教学的需要。
5
优化视频业务:分布式云部署
运营商1 运营商2
链路负载 均衡 市电教馆
WEB 流媒体
WEB
WEB
WEB
动态资源扩展:负载均衡 +DRX
区县电教中心: 服务器+虚拟化 市直属学校:云点设备 (服务器+虚拟化) 后台:通过云点/云彩虹将流媒体分布式部署; 前端:通过DRX扩展WEB服务器
VM存储备份 存储备份
网络 交换机 路由器 FW IPS
主机
LB 服务器 iSCSI存储
存储
FC存储
11
一期方案的安全设计
万兆链路 千兆链路
Internet
韶关教育城域网
省教育城域网 (粤教云)
DMZ区:对内网的安全 云安全访问控制区 防护 DDOS、网页防串改系统
前置服务器区域
出口区:防火墙策略、 出口安全网关 入侵防御策略、行为审 (防火墙、入侵检测、SSLVPN) 计 行为&流控管理设备
未来教育 自由互联
教育云平台设计方案
三通两平台总体设计框架
BASS
以应用建设为中心,硬件建设为保障,分步实施,稳步推进,逐步实现三通两平台。
2
一期设计目标和内容
电教馆自有业务: 教学资源公共服务平台, 开展以视频为基础的直 播公开课、名师讲堂、 一师一优课等核心业务; 教学管理公共服务平台 人人通空间 OA办公等;
VM
教育资源云
问题一:城域网络带宽瓶颈 1、学校多个班级同时收看一堂直播课,城 域网带宽容易成为瓶颈; 2、在家,跨运营商访问,比如家庭宽带是 联通,却通过电信访问教育局视频资源;
问题二:服务平台WEB服务器瓶颈 1、受制于服务器硬件性能限制,单台服务器处理 能力有限。 2、受限于中间件连接数限制(例如Windows IIS 限制200并发)
连接数:100 连接数:200 连接数:500
虚拟数据中心
套 餐 1
大型 适合1000人以下 场景
名称:高性能云主机 规格:4vCPU 8G内存
名称:大内存云主机 规格:4vCPU 16G内存
¥500/月
¥1000/月
¥3000/月
50万/月 套 餐 2
中型 适合500人以下 场景
0
CPU
16CPU
3
一期方案详细设计拓扑图
万兆链路 千兆链路
Internet
韶关教育城域网
省教育城域网 (粤教云)
出口路由器
云安全访问控制区 DDOS、网页防串改系统 前置服务器区域 出口安全网关 (防火墙、入侵检测、SSLVPN) 行为&流控管理设备 负载均衡 融合接入层交换机 核心交换机 融合接入层交换机
IP-SAN存储区域
云网络
vSwitch 公网IP vRouter 内网Vlan
0
内存
256G
20万/月
小型 适合100人以下 场景
0
硬盘
1024G
¥666/月
套 餐 3
5万/月
云防火墙
¥1000/月
吞吐量:100 新建数:100 并发数:100 安全策略条数:100
云数据库 云应用
¥2000/月
吞吐量:200 新建数:200 并发数:200 安全策略条数:200
FC-SAN存储区域
电教 馆自 有业 务服 务区
IAA S云 服务 区
应用 超市 服务 区
云桌 面服 务区 数据库服务器区域
云虚拟机东西方向 云安全控制区域
云计算管理服务区域
4
教学公共服务平台业务区:需求分析
优秀教育资源 数字化 多媒体化
vN S
VM
集中
vS LB
VM
共享
vIP S
VM
vFW
VM
vRter
9
SDN+VxLAN构建虚拟数据中心
通过SDN+VxLAN技术允许租户之间的IP地址、VLAN等重叠; 租户的虚拟“运行环境”逻辑隔离,具备互通条件,但满足必要的安全策略;
10
整体安全设计
应用安全:身份鉴别、权限控制、安全审计、日志审计、补丁管理 内容安全:数据泄露、敏感信息过滤、日IaaS云服务区:需求分析
第一步:租户(学校、应用厂商) 申请“运行环境”
第二步:电教馆审批
第三步:租户(学校、应用厂 商)使用
非简单的申请虚拟机,而是一个运行业务系统所需要的整体环境,以及流程 化的服务;
7
最全的服务目录
云主机/存储
¥1099/月 ¥1599/月
云负载均衡
相关主题