践行深度用云 主机上云 运维现代化核心能力 华为云计算技术有限公司 尚海峰 胡玉海 贡 青 刘征辉 林丽鑫 支新辉 王 飞 徐 俊 郭晓征 耿丽丽 马晓明 毛明强 张志炯 张 毅 王进行 马 韬 石 松 黄征彬 熊洪槐 钱 沛 秦丹涛 张瀚文 编 人 员 责 任 编 辑 （排名不分先后） 去三四十年，金融核心系统主要采用集中式主机架构进行建设。 随着金融业务数字化转型需求的不断深化，云计算技术的持续演 进，金融机构普遍采用了云原生相关技术进行业务改造，更有不少头部 大行作为先行者，率先将主机承载的核心系统业务也迁移上云，加速了 金融行业数智化、自主创新进程。 目前，大部分国有银行和股份制银行已经完成了从一般类业务上云到核 务中断外，业务的劣化，如卡顿、报错等，也会造成最终用户的不满和 投诉。这就对承载核心业务的云平台提出了更高的稳定性、可靠性要 求。 除了稳定的产品外，强大的运维体系是保障云平台稳定性最直接、最有 效的手段。在主机核心业务逐步上云后，如何加强运维全链路监控能 力，快速定位、定界和解决问题，如何变被动运维为主动故障预防从而 大幅减少潜在故障与运维投入，如何将应用运维与平台运维进行有效协 同从而保障系统性业

分析中学生场景与教师场景比例持平， 则该课堂偏向师生互动型。  便于老师开展横向自我对比、纵向名优老 师学习，提高教师教学技能。  便捷的预监当前所有教室的课堂实 况。  支持快捷远程控制录播主机。  支持接 入 其他校园监控网络视频流， 进行校园安全巡查。  能分批显示监控画面。  支持多种显示模式布局， 3 、 4 、 5 、 9 、 16 画面等类型。 录播教室 录播教室 教育录播 老师特写 老师全景 板书特写 学生特写 学生全景 4 机 位 3 机 位 2 机 位 精品教室 常态教室 微格课室 公开课室 标准课室 ……  摄像机到录播主机，录制全高清 1080P 视频  五机位录播系统，根据不同场景条 件及需求，可建设 5 机位、 4 机位、 3 机位、 2 机位方案 应用 搭配 5 机 位 智慧校园 - 智慧教育 - 教育录播 一 师 一 优 课 、 学 习 空 间 人 人 通 、 优 质 教 育 资 源 共 享 、 教 育 均 衡 化 发 展 标准课室 微格课室 精品课室 班班通课室 互动课室 智慧教育录播主机 教学资源云平台 1 套系统解决方案即可满足学校 / 教育局教育 录播系统建设的需求 电教馆检测 在线课堂 课后 学习 边看边练 教学研讨 教学巡查 互动教学 优课评选 集中管控

分析中学生场景与教师场景比例持平， 则该课堂偏向师生互动型。  便于老师开展横向自我对比、纵向名优老 师学习，提高教师教学技能。  便捷的预监当前所有教室的课堂实 况。  支持快捷远程控制录播主机。  支持接 入 其他校园监控网络视频流， 进行校园安全巡查。  能分批显示监控画面。  支持多种显示模式布局， 3 、 4 、 5 、 9 、 16 画面等类型。 录播教室 录播教室 教育录播 老师特写 老师全景 板书特写 学生特写 学生全景 4 机 位 3 机 位 2 机 位 精品教室 常态教室 微格课室 公开课室 标准课室 ……  摄像机到录播主机，录制全高清 1080P 视频  五机位录播系统，根据不同场景条 件及需求，可建设 5 机位、 4 机位、 3 机位、 2 机位方案 应用 搭配 5 机 位 智慧校园 - 智慧教育 - 教育录播 一 师 一 优 课 、 学 习 空 间 人 人 通 、 优 质 教 育 资 源 共 享 、 教 育 均 衡 化 发 展 标准课室 微格课室 精品课室 班班通课室 互动课室 智慧教育录播主机 教学资源云平台 1 套系统解决方案即可满足学校 / 教育局教育 录播系统建设的需求 电教馆检测 在线课堂 课后 学习 边看边练 教学研讨 教学巡查 互动教学 优课评选 集中管控

五个规定动作 + 新的安全要求（风险评估、安全监测、通报预警、应急 处置、自主可控等） 内容变化 技术（物理、网络、主机、应用、数据） + 管理 技术（物理环境、一个中心三重防护） + 管理 技术要求 等保 1.0 等保 2.0 物理安全 安全物理环境 网络安全 安全通信网络 主机安全 安全区域边界 应用安全 安全计算环境 数据安全 安全管理中心 管理要求 等保 1.0 等保 2.0 用开发平台、云产品（服务）等 P a a S I a a S 安全计算环境 云操作系统、虚拟机监视器、云业务管理系统、 云产品（服务） 虚拟化网络 / 安全设备、虚拟机镜像 云产品（服务）服务器（虚拟机）、宿主机、 终端、运管平台服务器 网络设备、安全设备 配置文件、鉴别信息、系统数据、审计数据、 镜像文件、快照数据、个人信息 安全通信网络 网络架构、物理链路、通信数据 安全区域边界 物理网络边界、虚拟网络边界 自建的专属资源 池 什么是云主机： 从用户角度讲：一台你部署、系统应用或文件存储等功能。放在云上的 服务器， 部署企业应用平台（例如 OA 、交易平台、 CRM 、 ERP 、 开发测试等） 部署企业门户网站 如何使用：订购成功后，可以通过 VNC ， W 看不见的服务器 , 实现用户网站 indows 远程桌面或者 SSH 直接使用。 云主机 电脑主机 （ CPU+ 内存） +

数据中心整体架构 232 7.5.2 SDN 架构设计 241 7.6 备份方案 258 7.6.1 政务云灾备方案 258 7.7 云主机服务 296 viii 7.7.1 ARM 及 X86 平台云主机服务296 7.7.2 小型机云主机服务 321 7.8 主机负载均衡服务 323 7.8.1 服务要求 323 7.8.2 服务内容 323 7.8.3 服务功能 324 7.8.4 11.3 IPSec VPN 接入服务 359 ix 7.11.4 WAF 防护服务 363 7.12 云主机深度监控服务：特定云主机深度监控及运维保障服务 372 7.12.1 云主机资源、性能及健康度监控 372 7.12.2 云主机应用监控 374 7.12.3 云主机上承载业务监控 388 7.13 图形图像计算服务 391 7.13.1 服务内容 391 7.13.2 服务功能 云平台需要支持根据业务应用的不同特点分配不同的计算资源，能根据业务应用 的特点对服务器进行配置满足应用对计算的需要（CPU、内存等）。当前，主要有 第 29 页 （弹性云主机）虚拟机和物理服务器两种计算资源的选择，其选择，主要基于如 下考量： （1）弹性云主机部署选择建议 根据业务请求的会话量和处理复杂度，会话量小，复杂度低的业务适合采用虚拟 机部署； 根据业务系统运行时的资源占用情况，资源占用低的业务适合采用虚拟机部署。

数据中心整体架构 232 7.5.2 SDN 架构设计 241 7.6 备份方案 258 7.6.1 政务云灾备方案 258 7.7 云主机服务 296 viii 7.7.1 ARM 及 X86 平台云主机服务296 7.7.2 小型机云主机服务 321 7.8 主机负载均衡服务 323 7.8.1 服务要求 323 7.8.2 服务内容 323 7.8.3 服务功能 324 7.8.4 11.3 IPSec VPN 接入服务 359 ix 7.11.4 WAF 防护服务 363 7.12 云主机深度监控服务：特定云主机深度监控及运维保障服务 372 7.12.1 云主机资源、性能及健康度监控 372 7.12.2 云主机应用监控 374 7.12.3 云主机上承载业务监控 388 7.13 图形图像计算服务 391 7.13.1 服务内容 391 7.13.2 服务功能 云平台需要支持根据业务应用的不同特点分配不同的计算资源，能根据业务应用 的特点对服务器进行配置满足应用对计算的需要（CPU、内存等）。当前，主要有 第 29 页 （弹性云主机）虚拟机和物理服务器两种计算资源的选择，其选择，主要基于如 下考量： （1）弹性云主机部署选择建议 根据业务请求的会话量和处理复杂度，会话量小，复杂度低的业务适合采用虚拟 机部署； 根据业务系统运行时的资源占用情况，资源占用低的业务适合采用虚拟机部署。

157 页 业务系统可靠性。 （一） 云平台功能要求 1.云平台基础为XX学院应用提供计算、存储、网络、安全等基础资源服务，为应用系统提 供稳定、可靠的运行环境。 2.云主机服务 服务描述：为用户提供的云主机（虚拟机）服务。可根据用户的实际需求，对虚拟机的CPU、 内存、网络带宽、硬盘性能及空间进行定制配置。并通过平台可对虚拟机进行创建、启动、停 止、删除、快照、备份、恢复等。 易用性：支持批量创建操作，同一镜像可以一键创建多台云服务器；创建时自由选择硬盘； 支持Windows和Linux多种镜像。 灵活性：可以自由创建自定义镜像，并由其创建云服务器。 监控：可实现对云服务器的镜像及实例管理，并监控云主机运行状态。 3．云存储服务 将数据通路（数据读或写）和控制通路（元数据）分离，并且基于对象存储设备构建存储 系统，每个对象存储设备具有一定的智能，能够自动管理其上的数据分布。兼顾对象存储同兼 IAAS层：基于OpenStack+kubernetes双引擎架构，本次搭建的XX学院云平台计算资源池、 存储资源池、网络资源池和安全资源池，以及可提供基本的云计算服务。其中，计算资源池可 提供高可用的弹性云主机和裸金属服务，基于分布式存储技术的存储资源池，可提供满足DAS、 NAS和SAN等架构的存储解决方案，全面支持SCSI、FC，iSCSI，NFS、CIFS等存储协议，对外可 提供块存储、文件存储

手段，落实消防安全责任制。 第三章 产品方案设计 本方案将九小场所定义为两类场景进行阐述，分别为小场景和大中场景。 3.1 小场景方案 3.1.1 系统架构： 本系统主要由：物联网报警主机（网口版）、智慧用电监测主机（网口版）以及 前端探测设备，视频联动产品组成，将以上产品按照各系统组合接入安消一体化 NVR 中，对小场所的消防现状进行统一监管，及时探测现场的烟雾、电压、电流、剩余电 流、故 3.1.2 典型场景说明： 餐馆解决方案中我们分为收银台、就餐区、后厨区、疏散通道四种场景，针对 每种场景设计了不同的设备，以应对各场景不同的需求。 收银台：安装感烟报警探测器、无线火灾报警主机、智慧用电设备，以满足客 户对于明火火灾与电气火灾监测预警的需求。安装网络视频摄像机，以满足客户对 于人员纠纷、收银情况记录、防盗、警情确认的需求。 就餐区：安装感烟报警探测器以满足客户对于明火火灾监测预知的需求安装网 满足 客户对于防盗、警情确认的需求。 疏散通道：安装感烟报警探测器以满足客户对于明火火灾监测预知的需求。安 装智能分析摄像机，以满足客户对于消防通道占用、拥堵预警的需求。 所有消防探测器通过主机与监控设备一起，经局域网将报警信号、视频信号传 输至安消一体化 NVR，实现集中管理，安消联动，提升安全监管效率。如：前端 探测器发生报警，在 NVR 界面实时弹窗告警，管理人员可以直接通过 NVR

..........................................................................................31 5.2.5 主机恶意代码防范............................................................................................. 的配置网络交换机等设备、提交故障、取消配置等功能。也便于对接入的网络计算机、 移动终端设备的控制。 2）身份真正安全：根据用户需求采用 802.1X 及 WebPortal 认证，可根据用户的身 份实施主机完整性检查、网络授权等操作，实现对用户身份、主机健康性以及网络通信 安全性等方面的管理。 4.2 网络建设及设备选型说明 4.2.1 内网设备选型 内网网络拓扑如下： 24 建设方案建议书 内网核心选择： 的效果；虚拟机 交换方式（VEPA）：将服务器软的虚拟交换机回归到硬件的虚拟交换机，降低服务器 CPU 使用性能、让网络管理边界清晰、网络流量可监管。 2、数据中心交换机为每个连接到当前以太网接口的主机动态/静态生成一个“FCoE 接口”，帮助医院轻松整合异构的光纤和以太网两张网，减少网络中的设备数量，既能真 正实现数据中心网络架构的融合，又能充分保护既有投资。 26 建设方案建议书 3、为了完美应对全院

......................................................................................42 2.4.5.1. 主机管理................................................................................................. ......................................................................................54 2.4.5.7. 主机拓扑管理............................................................................................... 智慧运维平台提供处置知识管理，通过对用户日常故障处置方法的收集，经验积累，自动反 馈到相同故障的处置过程中。 通过系统提供的智能策略机制，将用户对于某些异常分析的人工方式自动化，比如对于主机 高负载原因的排查，一般的操作逻辑是确定主机负载超过风险阈值情况是偶发事件还是一直存在， 然后分析每一次出现高负载的进程是否一致，通过人工智能找到具体的异常进程，关闭该进程或 者卸载相关软件，同时对于该进程的设定预警