信创云规划设计建设方案

微信扫码，打开到小程序

信创云规划设计建设方案 目录 信创云安全建设方案 什么是信创云 信创云建设需求分析 2 信创云建设方案设计 1 3 4 2 什么是信创云 什么是信创 4 IT 基础设施 信息技术 应用创新 基础软件 信息安全 应用软件 边界安全 终端安全 数据库 操作系统 中间件 办公软件 流式版签 业务应用 生产系统 管理信息系统 办公系统 信创，即“信息技术应用创新”。我国自主信息产业聚焦信息技术应用创新，旨在通过对 IT 硬件、软件等各个 环节的重构，基于我国自有 IT 底层架构和标准，形成自有开放生态，从根本上解决本质安全问题，实现信息 技术可掌控、可研究、可发展、可生产。信创发展是一项国家战略，也是当今形势下国家经济发展的新功能。 信创产业发展已经成为各行各业数字化转型、提升产业链发展的关键。 国家战略 中央网络安全和信息化领导 小组成立 : 习总书记亲自担任组长，标 志着网络安全和信息化已上 升为国家战略。 习总书记在网络安全和信息化工 作座谈会上指出： 要尽快在核心技术上取得突破， 加快构建关键信息基础设施安全 保障体系。 《中华人民共和国科学技术进 步法》： 第二十七条明确规定，国家建 立和完善科研攻关协调机制， 推动产学研紧密合作，推动关 键核心技术自主可控。在第七 条提到：加强原始创新和关键 核心技术攻关，加快实现高水 平科技自立自强。 • 2014 年 2 月 • 2016 年 4 月 19 日 • 2021 年 3 月 11 日 • 2021 年 12 月 24 日 网络安全和信息化上升为国家战略 《国民经济和社会发展第十四 个五年规划和 2035 年远景目标 纲要》： 加强原创性引领性科技攻关。集 中优势资源攻关关键元器件零部 件和基础材料等领域关键核心技 术。 5 信创背景 关后门 防断供 堵漏洞 网信 安全  高端芯片的流片在境外  产业链存在“卡脖子”环节，关键核心的软件工具 和元器件受制于人  我们的 CPU 、操作系统被微软、英特尔 等美国公司把控  CPU 和 OS 等关键核心产品内置“后门”  “ 内网”走向互联网之后，面临的漏 洞攻击种类更多、频次更高、强度 更大等挑战 “ 微软黑屏事件”（ 2008 ） “ 棱镜门事件”（ 2013 ） “ 震网病毒事件”（ 2010 ） “ 中兴华为事件”（ 2018 、 2019 ） 网信安全事件频发，清晰传递出了一个重要信息，那就是关键元器件以及基础软件等核心技术，不能受制于 人，否则就会被卡脖子、断供甚至受到后门漏洞的攻击，严重威胁国家网信安全。 6 党政信创经验成果 党政信创的实施成果 应用升级 统一平台架构，实现业务重构 与资源整合，打通信息孤岛， 优化业务流程，实现业务应用 层面的升级 技术升级 促进信创体系与云计算、大数据、 人工智能等新一代信息技术相融合 体验升级 将移动互联网的使用模式引入到信 息系统建设中，实现部署简单高效、 升级方便及时、操作灵活易用，实 现用户体验层面的升级 在完成党政信创任务的同时，同步实现了应用、技术、体验等多维度升级，提升了电子政务安全可控水平 带动并形成了以“信创 CPU 芯片 + 信创操作系统”为基础的自主可控信息技术体系和产业生态 推动我国信息产业发展实现历史性跨越 7 什么是信创云 8 信创云作为信创落地的主要技术方式，在央国企国产化替代及上云需求的爆发下，也将迎来高速发展。相关 机构数据显示，近三年，信创云市场规模预计保持同比 50% 以上的增长率， 2025 年将达到 1438 亿元。 目前，业界尚未对“信创云”给出明确的标准定义。 所谓“信创云”，业界普遍认为是基于国产化存储、计算、网络、操作系统等基础软硬件打造，具备高可靠性、 高可扩展性、安全可信等核心特征。尽管每个行业要求不一样，但最重要的是组成信创云的基础软硬件产 品要符合信创标准。 另外，就是要坚持信创云软件的自主研发，能够通过对底层不同类型的计算、存储以及网络等资源进行统 一纳管，有效屏蔽底层资源差异性，保障企业 IT 架构在全面信创迁移过程中的平稳过渡，并能够通过容器、 微服务等先进技术，对上层应用开发及编排、调度提供支持，起到在 IT 架构全面国产化替换过程中关键的 承上启下作用，加速信创目标的达成。 传统私有云方式 企业传统私有云搭建大多基于 VMware 虚拟化 + 虚拟化管理平台搭建，通过将底层计算资源进行池化处理， 帮助企业实现底层资源的统一管理和调用。  这一架构由于稳定性较高，且应 用范围较广，在过去的很长时间 内，是企业搭建私有云的首选方 案  随着近年来信创政策的陆续颁布， 这一架构核心技术不可控、不具 备一云多芯能力等缺陷逐渐显露 出来，严重制约了企业 IT 架构国 产化替换进程 9 信创云的基础架构 通过搭建信创云平台对原私有云平台替换，是目前企业实现 IT 架构从下至上全面自主可控的必然选择 10 信创云的类型 现阶段主流信创云可分为三类，传统架构信创云、超融合架构信创云以及云原生架构信创云，三种信创云在核 心技术及应用范围等方面均有所区别  传统架构信创云 从实际需求端来看，传统架构信创云由于与企业原有私有云平台在功能和架构相差不大、应用迁移成本较小等原因是 目前企业的需求重点。具体来看，企业对于传统架构信创云的要求主要 ：需要核心技术自主可控、需要应用迁移成本 较小、需要能够屏蔽底层资源差异性、需要具备优秀的安全保障能力等。  超融合架构信创云 超融合架构信创云主要指的是基于国产超融合软件 + 超融合一体机搭建的云平台，该平台部署成本较低，并且在功能 上与传统架构信创云相差不大，只是计算性能和底层资源池化管理能力方面要稍逊一筹。因此，现阶段主要是应用在 中小型企业，以及大型企业的边缘业务场景，整体需求并不旺盛。  云原生架构信创云 云原生架构信创云：指的是基于 K8S 打造，具备分布式、容器化以及微服务化等核心特征的云平台。企业通过部署云 原生架构信创云，一方面，能够基于其成熟的原生分布式架构，有效提升系统敏捷性，从而更好的应对高并发应用场 景；另一方面，能够依托容器、微服务等先进技术，实现底层计算资源的封装和按需调用，帮助企业既可以具备与传 统架构云平台相同的底层资源统一纳管能力，又可以较好支撑上层应用的开发及编排、调度。 11 信创云建设需求分析 核高基 2006-2013 第一批试点 2014-2016 第二批试点 2017-2019 全替代 2020-2023 单品支持：试验性替代 CPU/OS/ 中间件 / 数据库 / 整 机 / 办公套件 应用为牵引，系统性替代，以政策性最强的电 子公文作为突破口 系统替代：电子公文系统，简单办公 依托体系，存在国产化产品的全部进行替换， 真试真用，真用实用 体系替代：真试真用，复杂办公 建设完整的国产化生态，包括基础软硬件、 信息资源、应用系统、安全和 IT 管控等 全替代：面向全国，生态完整 HN 云： 50 节 点 T J 云： 20 节 点 从无到有 从“不可用” 到“基本可用” 从“基本可用” 到“基本好用” 从“基本好用” 到“智能高效” GX 云： 900 节点  随着信创领域软硬件产品功能和性能的升级，下一阶段的发展必定是利用云计算、大数据等新兴技术，不断拓 宽信创的边界，创造更大的价值 信创云建设是政企数字化转型的必然趋势 13 01 02 03 04 2020 2017 2019 2013 提高党政机关、关键信息基础设施运营 者采购使用云计算服务的安全可控水平 《信息安全技术网络安全等级保护基本要 求》 等保 2.0 增加云扩展要求，从一个中 心三个防护维度进行云安全要求 《可信云服务认证》 对数据可销毁性、数据可迁移性、数 据私密性、数据知情权等进行了规范 《云计算服务安全评估办法》 建立云计算服务相关安全管理流程和 制度， 通过系统化的方式确保合规要 求内部落地 《中华人民共和国网络安全 法》 正式执行，按照要求开展商用密码应 用安全性评估，确保云计算平台密码 应用的合规性、正确性和有效性； 《中华人民共和国密码法》  国家密集出台云计算安全建设的相关政策 安全是信创云的基石 14 政企信创云规划设计方法论 B 规划和设计 C 实施和优化 A 现状和需求分析 业务战略分析 生态图谱分析 商业模式分析 价值链分析 信创数字化转型 潜在需求 现状分析 新兴技术分析 DT 成熟度评估 最佳实践分析 信创数字化转型 现状和展望 信创数字化 战略规划 信创数字化 顶层设计 企业数字化 业务规划 业务架构设计 数据架构设计 技术架构设计 应用架构设计 现状与需求、 展望差距分析 项目规划 和卡片设计 实施路线制定 项目组合制定 效果评估 优化调整 迭代推广 Analysis 现状和需求分析 Blueprint 规划和设计 Construction 实施和优化 项目交付 “ 速赢” 场景设计 安全架构设计 15 政企信创云总体需求分析 如何承接 战略发展 ? 如何支撑 组织建设 ? 如何驱动 业务发展 ? 如何适应 发展趋势 ? 总体需求分析 业务 发展 支撑和驱动央国企战略管控 围绕人、财、物和信息等共性资 源，构建央国企范围综合服务平 台，提高行政管理工作效率 支撑三大核心能力构建 持续赋能，提升能力的价值， 打造能力使用的生态 运维 需求 统筹建设数据中心、网络和云平台 按照集约化建设原则，实现资源共 享，根据央国企商密和国密信息安 全要求，构建相应的网络基础设施 采用国产化技术实现安全可控 采用信创基础软硬件技术产品，构 建基于内生安全的安全自主可控体 系 构建数字中台实现能力的共享及复用 将企业 IT 能力进行沉淀，实现业务应 用的灵活定制，适应公司业务的快速 变化和发展 数智 需求 基础 需求 企业 管理 保障 体系 标准 体系 信创 需求 建立数字化管控机制及组织 保障体系 持续赋能，做好数字化人才 建设 建立支撑央国企信息化建设的标 准体系 为数字央国企建设的全面推进夯 实基础 构建一体化智慧云网边端运维体系 对网络、云平台、边缘计算以及基于云 平台构建的应用提供智慧运维管理与监 控能力 业务 需求 技术 需求 16 不同行业信创云建设特点 行业 共同点 能源类 制造类 建筑类 服务类 • 集团型企业，加强集团 管控，实现管控数字化； • 多产业板块，利用产业 板块间的关系，实现产 业链协同； • 重点关注财务、资金、 投融资、风控、人力、 党务等业务管理，利用 技术平台实现业务资源 共享； • 财务共享、大数据分析 为数字化转型的突破口。 行业特点 • 清洁能源持续发展； • 整个能源产业从产能扩展转向智能 发展，如智能炼化、发电； • 更重视降本提效； • 重资产类企业。 信创云应用重点场景 • 更多的智慧场景建设：智慧油田、智慧矿 山、智慧电网、智慧水务等； • 提升数字化、自动化能力，尤其在一些危 险工作环境加快推进无人化、远程化操作； • 全产业链协同，高效运营。 • 具体分为流程制造和离散制造； • 重资产类企业； • 生产制造全过程复杂，企业价值链 复杂，产业供应链复杂。 • 智能制造为主要转型方向，持续推进两化 融合工作； • 基于数字孪生，加强设计制造数字化协同； • 重资产企业加强设备全生命周期管理，利 用物联网技术、利用机器大数据。 • 建筑产品个性化、非标准化； • 项目管理、施工现场管理； • 多业务模式： PPP 、 EPC 、 BOT 等； • 重资产类企业。 • 开展建筑信息模型、数字化协同设计； • 全面提升 BIM 技术在行业中的应用； • 强化建筑行业现场管理、远程管理、智慧 工地建设； • 融入智慧城市体系。 • 服务类企业细分行业差异大； • TO B 和 TO C 发展不平衡， TO B 业务数字化转型场景丰富； • 用户习惯多变，需要企业应变能力 强。 • 打造柔性、智慧供应链； • 增加线上服务业务范围，推动虚拟服务网 点建设，向智慧服务转变； • 创新商业模式、服务模式； • 基于互联网平台拓展，增强客户黏性。 17 业务需求：  为满足政务外网 23 个业务系统运行，并考虑未来 3 年规划，评估需要 100 台服务器作为计算资源可满足需求  系统涉及到常规应用系统（ OA 、门户等），后端系统（高并发数据库、数据处理系统） 云服务需求：  需支持主流 IaaS 服务，包括云主机服务、弹性伸缩服务、块存储服务、文件存储服务、虚拟网络服务等 安全需求：  云平台安全建设需通过等保 2.0 三级和密码测评 运维需求：  需支持对虚机的监控和管理 灾备需求：  需实现本地备份和异地数据容灾 某国企客户将在外网建设一朵信创云平台，以下为本次建设需求： 存储需求：  存储服务需基本块、文件、对象等服务  每种类型分别需要可用容量为 200TB  块存储带宽需达到 12GB ， IOPS 需达到 10 万 IOPS ；文件存储带宽需达到 6GB ， IOPS 需达到 5 万 IOPS ；块存 储带宽需达到 8GB ， IOPS 需达到 4 万 IOPS ； 某国企信创云建设具体需求案例 18 信创云建设方案设计 安全 体系 主 机 安 全 数 据 安 全 网 络 安 全 应 用 安 全 密 码 安 全  搭建 3 层 3 体系为核心的信创云，助力政务治理现代化建设 国产服务器设备 国产网络设备 国产存储系统 基础设 施层 计算服务资源 资源层 运 营 服 务 计算服务 资源 池 虚拟 机 多集 群 高可 用 存储服务 块存 储 对象存 储 文件存 储 网络服务 负载均 衡 虚拟网 卡 IaaS 容器平台 资源调度 ｜ 集群管理 ｜ 镜像管理 ｜ 应用管理 ｜ 服务自愈 ｜ 秒级部署 ｜ 弹性伸缩 PaaS c'v 电子公 文 文件交 换 内网门 户 机关事 务 绩效考 核 档案管 理 安全邮 件 …… SaaS 云 管 平 台 运 维 服 务 云 服 务 运维 体系 报 警 阈 值 运 维 管 理 运 维 分 析 监 控 监 控 设计 设计 设计 设 计 原则：  根据厂商产品和招标要求进行整体架构图设计及介绍 存储服务资源 网络服务资源 设计 灾备 体系 系 统 容 灾 数 据 容 灾 数 据 备 份 设计 信创云系统架构设计 20 中国电子云  3-128 节点： 3 控制节点  128-256 节点： 5 控 制节点  256-512 节点： 7 控 制节点  512-1000 节点： 10 控 制节点  不同云厂商，不同规模的计算节点，控制节点开销不同。本次根据项目需求，计算节点规模为 100 节点。 华为云  5-200 节点： 5 个控制节点  200-500 节点： 9 控 制节点  500-1000 节点： 11 控 制节点 信创云部署架构（系统层） 21  计算资源池需规划区域、计算类型、 VM 类型等  本次针对政务外网划分 为一个单独 Region  计算资源划分为一个单 独 AZ 区域规划  针对普通的应用系统， 如 WEB ，对内存容量、 IO 、扩展性的要求都不 高，采用虚拟主机  对于高性能计算，大容 量存储，大容量内存和 高 IO 的需求，则采用 裸金属服务器 计算类型规划  虚拟机规格需要根据各 种系统对于 CPU 、内存、 网络和存储的 I/O 需求 不同来进行分类 VM 类型规划 资源池规划设计方案 - 计算资源池（资源层） 22  存储资源池需规划服务类型、容量、性能等  本次针对政务外网业务 需求，规划存储服务包 括块存储、对象存储、 文件存储 存储服务规划  针对本次业务需求，分 别核算块存储、对象存 储、文件存储可用容量 容量规划  针对本次业务需求，分 别统计块存储、对象存 储、文件存储性能需求 （吞吐量、 IOPS ） 性能规划 资源池规划设计方案 - 存储资源池（资源层） 23  网络资源池需规划地址、虚拟网络服务等  针对本次业务需求，分 别规划业务平面、管理 平面等 IP 地址 地址规划  提供网络服务的节点数 量需根据业务需求和规 模进行规划 虚拟网络服务规划 资源池规划设计方案 - 网络资源池（资源层） 24 IaaS 网络服务 VPC 虚拟路由器 负载均衡 安全服务 安全组 密钥对 防火墙 存储服务 云存储 快照 计算服务 云主机 主机高可用 …… …… …… …… 备份 镜像 / 快照  云服务设计的主要原则：产品响应描述 注：  根据技术要求和厂商产品支持服务 种类进行撰写 四、云服务设计方案（ IaaS ） 25 集中监控与统一运维 集中监控告警，资源池统一运维管理，应用 自动化部署，运维场景化自动化。 多维度运营分析 数据可视化方式，全面、多维度分析各资源 状态、业务资源消耗、成本分摊等。 集中安全控制 政务云多云平台系统权限统一收敛，操作管 理全流程审计记录。 服务编排与发布管理 IaaS 资源、 PaaS 服务编排，服务与目录发 布管理，可见性集中控制。 服务管理 （资源池适配 / 调度） 云资源管理 云资源 生命周期管理 监控告警 运营分析 运维自动化 流程审批 安全审计 组织与权限管理 认证系统 多租户 安全检查 自助部署 ...... 云运维门户 自服务门户 云监控门户 REST API 工单管理  实现统一资源管理、自动化运维，自助服务、多租户管理等功能 注：  根据技术要求和厂商产品支持服务 种类进行撰写 云管平台设计方案 26 虚拟计算节点 集群 物理计算节点 （裸金属）集群 政务外网管理服 务器集群 分布式存储系统 政务外网业务区  根据项目需求，本次服务器类型包括管理服务器、虚拟计算节点、物理计算节点等，集群架构如下 注：  常规服务器类型就是计算和管理， 但是有些云厂家会单独规划网络节 点服务器或其他类型服务器  裸金属服务器一般常用于部署数据 库服务或对性能需求要求较高的服 务 服务器集群方案 - 架构设计（基础设施层） 27  根据本次项目需求，政务外网区部署 100 台服务器，其中 80 台用于虚拟计算节点、 20 台作为物 理计算节点、 5