信创云平台建设方案

微信扫码，打开到小程序

i 信创云平台 建 设 方 案 ii 目录 目录 i 第 1 章 xx 云平台在**信创产业服务保障基地目前的适配成果 8 1.1 入驻基地 8 1.2 搭建信创云 8 1.3 现场适配功能截图展示 9 第 2 章 概述 15 2.1 项目改造意义、改造目标及改造内容 15 2.1.1 改造目标 15 2.1.2 改造内容 15 2.2 国内信息技术自主创新云平台发展现状 16 2.2.1 GxxCxxHCPU 分析 16 2.2.2 GxxCxxH 操作系统分析19 2.2.3 GxxCxxH 数据库软件分析 20 2.3 问题分析 22 2.3.1 核心技术受限于国外 22 2.3.2 业务系统环境存在不可控因素 22 iii 2.3.3 平台安全能力需进一步加强 22 2.3.4 缺乏适配环境 23 2.3.5 安全风险 23 第 3 章 需求分析 24 3.1 项目需求分析 24 3.1.1 自主可控需求 24 3.1.2 网络资源池需求 24 3.1.3 计算资源池需求 24 3.1.4 云管理平台建设需求 25 3.1.5 存储资源池需求 25 3.1.6 云备份平台需求 26 3.1.7 运维及运营管理需求 26 3.1.8 云平台安全系统需求 27 第 4 章 云平台基础设施区设计 40 4.1 改造目标 40 4.2 改造内容 40 4.2.1 政务外网云平台改造 40 iv 4.3 设计原则 41 4.4 总体定位 42 4.4.1 政务外网云平台安可应用区定位 42 4.5 总体网络架构 43 4.6 云平台整体架构 45 4.6.1 政务外网云平台整体架构 45 4.6.2 政务外网云平台整体架构 46 4.7 政务外网云平台基础设施资源配置设计 48 4.7.1 政务外网云平台网络资源池设计 49 4.7.2 政务外网云平台计算资源池设计 51 4.7.3 政务外网云平台数据库资源池设计 55 4.7.4 政务外网云平台存储资源池设计 57 4.7.5 政务外网云平台云管模块设计 58 4.7.6 政务信息网云平台服务支撑设计 60 第 5 章 迁移指引方案 64 5.1 应用迁移 64 5.1.1 应用迁移方法 64 v 5.1.2 应用迁移流程 64 5.1.3 应用迁移方式选型 66 5.2 虚拟化迁移 67 5.2.1 虚拟化迁移方法和流程 67 5.2.2 虚拟化迁移方案 69 5.3 数据迁移 71 5.3.1 数据迁移策略 71 5.3.2 核心数据优先策略 71 5.3.3 数据迁移方法和流程 71 5.3.4 数据迁移方案设计原则 72 5.3.5 数据迁移详细步骤 73 5.3.6 Oracle 数据库导出/导入迁移77 5.3.7 MySQL 数据库导出/导入迁移 82 5.3.8 SQL Server 数据库导出/导入迁移82 5.3.9 异构数据库移植 83 第 6 章 信创云上应用系统改造 87 6.1 技术分析 87 vi 6.2 应用迁移 88 6.2.1 业务数据迁移 88 6.2.2 应用软件改造适配 88 6.3 功能验证 89 6.4 性能调优 89 第 7 章 IAAS 层技术方案 91 7.1 云管理服务 91 7.1.1 云管理平台架构设计 91 7.1.2 基于 OpenStack 开源架构 92 7.1.3 基于容器分布式部署架构 92 7.1.4 云管理平台先进性 95 7.1.5 云管理平台开放性 97 7.1.6 云管理平台核心功能 101 7.2 云管理扩展能力 140 7.2.1 运维管理功能 140 7.2.2 云资源监控和分析 160 7.2.3 报表功能 209 vii 7.2.4 定制开发 220 7.3 计算资源服务 222 7.3.1 云计算架构 222 7.3.2 计算虚拟化平台架构 223 7.3.3 虚拟机热迁移 223 7.3.4 虚拟机故障自动迁移 224 7.3.5 虚拟机高可用性 225 7.4 存储资源服务 227 7.4.1 存储架构设计 227 7.4.2 虚拟化环境的存储 227 7.4.3 分布式存储架构设计 228 7.5 网络资源服务 232 7.5.1 数据中心整体架构 232 7.5.2 SDN 架构设计 241 7.6 备份方案 258 7.6.1 政务云灾备方案 258 7.7 云主机服务 296 viii 7.7.1 ARM 及 X86 平台云主机服务296 7.7.2 小型机云主机服务 321 7.8 主机负载均衡服务 323 7.8.1 服务要求 323 7.8.2 服务内容 323 7.8.3 服务功能 324 7.8.4 服务可用性、可靠性 327 7.8.5 服务级别水平目标 328 7.9 存储服务 329 7.9.1 静态存储服务 329 7.10 物理服务器计算服务 345 7.10.1 云平台对物理服务器纳管 345 7.10.2 ARM/X86 服务器服务 346 7.11 网络服务 350 7.11.1 远程接入服务 350 7.11.2 SSL VPN 接入服务 354 7.11.3 IPSec VPN 接入服务 359 ix 7.11.4 WAF 防护服务 363 7.12 云主机深度监控服务：特定云主机深度监控及运维保障服务 372 7.12.1 云主机资源、性能及健康度监控 372 7.12.2 云主机应用监控 374 7.12.3 云主机上承载业务监控 388 7.13 图形图像计算服务 391 7.13.1 服务内容 391 7.13.2 服务功能 392 7.13.3 服务可用性 392 7.13.4 服务可靠性 393 7.13.5 服务水平级别目标 393 第 8 章 云运维方案 394 8.1 运维目标 394 8.1.2 项目运维内容 399 8.1.3 项目运维服务内容 401 8.1.4 运维流程设计 408 8.1.5 知识转移方案 420 x 8.1.6 服务质量监督保证 423 第 9 章 安全系统设计 427 9.1 信息系统安全等级概述 427 9.2 安全等级预评估 428 9.2.1 定级要素与等级的关系 428 9.2.2 信息系统安全等级预评估步骤 428 9.2.3 **市政务外网云平台安全保护等级的确定 430 9.3 安全等级保护建设对应关系 431 9.4 政务外网安全防护设计 433 9.4.1 政务外网安全详细设计 433 9.4.2 安全物理环境 435 9.4.3 安全通信网络 436 9.4.4 安全区域边界 436 9.4.5 安全计算环境 443 9.4.6 安全运营管理中心 463 9.5 系统与安全测试服务 470 9.5.1 安全测试 471 xi 9.5.2 系统第三方测试 473 第 12 页 第1章 xx 云平台在**信创产业服务保障基地 目前的适配成果 1.1 入驻基地 xx 集团积极参与**省信创产业建设，加入**省信创产业联盟，并入驻**信创产业 服务保障基地，与信创适配测试实验室联合搭建信创云环境，发力开放信创应用 生态合作，丰富**省信创应用及软件适配。 1.2搭建信创云 此次适配工作由赛宝独家承担，基地将作为后续省内领导及各地市领导学习考察 工作的主要阵地，信创云测试对**省后续信创工作的开展具有比较大的意义，除 省里业务测试之外，平台也有可能作为后续 14 个地市信创业务测试及适配的基础 平台，xx 作为目前唯一的云厂商，积极配合赛宝搭建信创云，验证了 IAAS 层面的 功能，在虚拟化、分布式存储等方面与基于鲲鹏处理器、基于海光处理器、基于 第 13 页 飞腾处理器、基于兆芯处理器的服务器等厂家进行了功能适配性验证及展示。 1.3 现场适配功能截图展示  云平台资源整体状况、健康度、告警、（CPU、内存、存储）资源分配比、 告警等资源统一展示 第 14 页  一件巡检功能展示  虚拟机状态管理展示 第 15 页  异构芯片服务器资源管理 第 16 页  大屏动态监控展示  分布式存储资源管理展示 第 17 页  分布式存储集群拓扑展示 第 18 页  云操作系统基础设施资源展示 第 19 页 第2章 概述 2.1项目改造意义、改造目标及改造内容 2.1.1 改造目标 本项目定位为面向**市级电子政务 IT 基础设施资源自主可控云平台的建设， 采用政务云建设方式并提供 IaaS 服务，通过改造构建出独立的互联网区自主可控 云资源模块与政务外网区自主可控云资源模块，部署所需的网络资源、计算资源 存储资源、备份资源及云管理服务平台等设备，对外提供基础设施资源（Iaas 层）服务，重点支持市级一体化协同办公平台入云部署需求。 2.1.2 改造内容 本项目主要改造内容包括： 一、**市政务电子政务外网云平台 GxxCxxH 改造 1、改造**市自主可控云平台资源池基础设施 本项目依托**市电子政务外网络环境，改造**市自主可控政务云平台。在基于自 主可控的芯片、云计算平台之上，部署所需的网络资源池、计算资源池、存储资 源池、备份资源池及云管理服务平台等设备，对外提供基础设施资源（Iaas 层） 服务，满足全市一体化协同办公平台部署的需求。 （1）网络资源池改造：通过对政务云平台进行网络资源池改造，满足云平台各个 功能区块的互通互联； （1）计算资源池改造：通过服务器部署满足政务云平台部署计算资源与云平台管 理需求； （2）数据库资源池改造：通过服务器部署满足政务云平台部署数据库应用需求； （3）构建统一的云平台管理及运营系统，包括统一监管、统一运营、统一维护； （4）存储资源池改造：改造云平台统一存储，为平台虚拟机、数据库提供数据存 第 20 页 储功能，满足政务云平台数据存储需求； （5）云备份平台改造：为云平台、数据库提供数据备份能力，保障业务系统数据 的安全性与完整性。能够对安可操作系统、数据库等进行全量、增量的数据备份。 2、安全系统改造 配合**市市级自主可控政务云平台的部署，本期项目在云平台内改造安全资源池， 包括对云计算环境安全防护、网络安全防护、边界安全防护及统一安全管理中心 的建设部署，提供云平台稳定运行的安全防护能力。 2.2国内信息技术自主创新云平台发展现状 2.2.1 GxxCxxHCPU 分析 1、国产 CPU 发展方向对比分析 当前，我国服务器芯片自主研发主要有以下五种方向：Alpha 架构、ARM 架构、 MIPS 架构、X86 架构、Power 架构。涌现出了基于 MIPS 的龙芯、基于 X86 的兆芯、 基于 ARM 的飞腾和华为鲲鹏 920 以及基于 Alpha 架构的成都申威等。 Alpha 架构，目前国内研发该类架构处理器芯片的是成都申威，该公司基于该架构 开发服务器芯片可以拥有自主扩展指令和发展路线的自主权。 ARM 架构，目前国产服务器芯片企业当中有飞腾和华为海思芯片，这两家厂商拥 有 v8 架构无限制永久授权，可无限制基于 v8 架构开发、自主演进。 MIPS 架构，目前有龙芯基于该架构进行研发，早期龙芯曾计划基于该架构研发 PC 处理器，但成果不彰，龙芯如今转而基于该架构研发服务器芯片。 Power 架构，知识产权为 IBM 所拥有，2015 年向中国企业开放，不过由于其开放 存在一定局限性，基于该架构研发的国产服务器芯片发展受到一定程度影响。 X86 架构，Intel 公司并不向任何第三方提供 x86 指令集授权，AMD 和 Intel 交叉授 权。VIA 已经停止发展 X86 指令集和芯片；AMD 与海光（THATIC）成立了两家合资 公司，其中最重要的那个是 AMD 控股 51%，这样保证了 AMD 对国产 X86 处理器 第 21 页 的控制权，而中国这方插手不了 Zen（禅）内核，只能做些外围芯片工作，而且该 公司明确不再向中国公司授权其 x86 IP 产品。 “自主可控”指拥有自主知识产权和芯片安全可控，即拥有自己的指令集和微结构， 目前国内符合条件的只有龙芯和申威。但购买国外厂商指令集授权（如 ARM 指令 授权），自己设计微结构目前阶段同样可以满足安全可控的要求。在硬件方面安 全可控，且依附于 AA 体系后，不需要研发自己的编译器，可兼容 AA 体系的软件 生态，大幅降低研发的技术门槛、时间和资金成本。在目前国内面临无“芯”可用、 需求迫切的困境下，更有利于市场化运营。 全球 IT 生态实际上是由芯片决定的，全球整个 IT 系统生态实际上是建立在所采用 的芯片基础之上的。例如 X86 处理器架构，英特尔在该架构下的处理器芯片持续 领跑世界，与微软合作形成了 wintel 生态，牢牢掌握了整个电脑整机及中低端服 务器市场的霸权。ARM 是一种精简指令集处理器架构，具有体积小、低能耗的特 点，在移动终端占据了主导地位，代表厂商就是 ARM 公司，IBM 的 POWER 芯片在 大型机时代凭借优良的计算性能和容错能力一度称霸，但由于采用封闭体系，在 越来越开放的云时代遭到 X86 的蚕食，目前仅在高端计算领域占据比较小的市场 份额。不同的处理器芯片架构拥有各自不同的特点，在不同处理器架构下能把芯 片做的最优的厂商往往能够先发制人，吸引上下游的其他合作伙伴采用自己的产 品和标准，进而构建自己的生态体系。所以不同架构下的最优芯片决定了不同生 态体系的差别，每一个生态中的合作伙伴，又决定了一个生态体系的完善程度， 最终决定整个生态的竞争力。 2、国产芯片技术分析 国产服务器芯片上，龙芯、飞腾、兆芯、华为海思等厂商均有新品发布，其中 ARM 架构下的 CPU 厂商有天津飞腾和华为海思。其中飞腾 2000+/64 核产品性能已 经与英特尔主流 E5 部分产品性能相当。华为海思在 2019 年 1 月份推出鲲鹏 920 处 理器，兼容 ARM V8 架构，64 核，7nm 工艺，主频达到 2.6GHz，在中高档服务器 CPU 市场上具备较强的竞争力。 （一）龙芯 第 22 页 龙芯处理器核心数较少，缓存较低，不支持超线程，处理器主频较低，支撑能力 较通用 x86 CPU 具有较大的差距。最重要的一点在于龙芯处理器采用的 MIPS 指令 集，与通用 x86 架构服务器并不互相兼容，需要构建自身的生态系统。 （二）兆芯 兆芯处理器采用 x86 架构，核心数较少，缓存较低，主频的支撑能力较弱，内存 通道数较少，较海光的 x86 CPU 也具有明显的差距。虽然提供虚拟化支持能力，但 是在云计算/虚拟化应用场景适应能力较弱。此外，兆芯的技术来源——威盛的 X86 架构技术授权已于 2018 年 4 月到期（不能使用 2018 年 4 月后新的技术成果）， 后续发展阻力增大。 （三）申威 申威处理器采用 Alpha 架构，核心数较多、主频较高，单核计算性能较低，不支持 虚拟化，整体操作系统、数据库、中间件的生态支持能力较差。对于政务信息化 行业而言，采用兼容性差且架构与 X86 架构完全不同的服务器运行业务系统，承 担的风险较高。 （四）飞腾 飞腾处理器采用 ARM v8 架构，单核计算性能较低，并且在虚拟化的支持上，硬件 CPU 的支持能力比较一般。整体操作系统、数据库、中间件的生态支持能力一般， 与申威相似，难以采用兼容性差且架构与 X86 架构完全不同的服务器运行业务系 统。 （五）海思 海思鲲鹏系列处理器采用的是 ARM 架构，核心数较多、主频较高，但是，由于采 用的 RISC 架构的指令集，所以对于原有 X86 生态的系统软件、数据库、中间件等 都具有较差的兼容性。目前支持鲲鹏 CPU 的主要是华为自身的软件生态及国产主 流系统软件厂商（如中标麒麟、达梦、东方通等）。 （六）海光 海光处理器采用 x86 架构，相比其他处理器的优越性主要体现在海光的本土化和 生态性。但海光处理器不足之处在于只支持单路和双路服务器，而目前主流高服 第 23 页 务器为四路及以上，在可扩展性方面会稍逊一筹。此外，由于海光也被纳入到美 国的实体清单，未来技术发展不能再依靠 AMD 授权，只能在目前技术基础上，逐 步走上自主道路。而且 AMD 与海光（THATIC）成立了两家合资公司，其中最重要 的那个是 AMD 控股 51%，这样保证了 AMD 对国产 X86 处理器的控制权，而中国 这方插手不了 Zen（禅）内核，只能做些外围芯片工作。 从架构层次来看，采用 x86 的兆芯和海光的生态兼容性最佳，其他的厂商需要构 建自己的生态系统。从核心数层次来看，飞腾、海思的最大核心数为 64 核，海光 核心数最多 32 核，考虑到单核性能和核心数的差异，在整体性能上差距不大。龙 芯、兆芯、申威的核心数较少，在性能上会有一定差距。从主频的角度去看，龙 芯、申威、飞腾的主频数都较低，数据处理能力较差。从缓存的角度来看，海思 和海光的缓存数较高，数据交换速度更快，整体性能也更好。 图 3-5 国产自研芯片对比分析图 2.2.2 GxxCxxH 操作系统分析 操作系统是是计算机的软硬件纽带，在自主安全上处于核心地位。国产操作系统 多为以 Linux 为基础二次开发的操作系统。国内基于 Linux 二次开发的 GxxCxxH 服 第 24 页 务器操作系统目前有很多家，主要包括中标麒麟、银河麒麟、普华中科方德、深 度等操作系统。 GxxCxxH 操作系统情况表如下表所示。 操作系统 公司 产品 芯片适配 中标麒麟 中标软件 服务器操作系统、 桌面操作系统 X86 、 龙 芯 、 申 威、飞腾、鲲鹏等 银河麒麟 天津麒麟 服务器操作系统、 桌面操作系统 飞腾、X86 统信 统信软件 服务器操作系统、 桌面操作系统 X86 、 龙 芯 、 申 威、鲲鹏 上述 GxxCxxH 操作系统中，作为 CEC 集团旗下中标公司的麒麟系统发展较为成熟， 中标麒麟操作系统目前通过了多个国家权威部门的测评，可支持龙芯、飞腾、申 威、鲲鹏等多种主流 GxxCxxH 芯片，其产品支撑着国防、政府、企业、电力和金 融等各领域的应用，满足政府部门、国防、金融、电力、机要、保密等领域对操 作系统的高安全性需求。在目前在公开的国产操作系统领域市场占有率稳居第一。 2.2.3 GxxCxxH 数据库软件分析 国内自主研发关系型数据库的企业、单位基本上都是发源于上世纪 90 年代的，而 且都是以大学、科研机构为主。到今天，有代表性的厂商有：达梦、人大金仓、 神舟通用、南大通用。 除上述传统数据库厂商外，由于自身业务的需要，对外采购以 Oracle 为代表的数 据库产品，从业务，或者成本等方面考虑，无法满足自身需要，从而为了自己业 务发展而走向了自研的道路，这里尤其是以中国的通信企业和互联网企业为代表。 中国通信企业的代表华为公司，最近发布了自研长达 9 年