践行主机现代化 主机上云 技术白皮书 01 顾 问 主 编 编 审 编 写 组 主编单位 编制委员会 马海旭 李亚为 胡玉海 严光兵 蔡常杰 李 曜 田浩希 俞 辉 饶争光 韩 满 毛明强 王新宇 张 宇 徐 强 董冬冬 马俊超 王榕骁 张 江 刘征辉 姜 凯 彭 双 汪子杰 朱仁江 徐 峰 林丽鑫 沈 彬 杨 嘉 李金锋 陈文杰 不仅是企业在激烈的市场竞争中能否快速响应客户多样化需求的关键，也是企业开创增长新赛道的基础。 数十年来，主机系统凭借其强大的计算处理能力和高可靠的体系架构，支撑着众多企业的核心业务。然而， 我们必须坦诚地认识到：主机系统技术体系在应对爆发式业务增长和海量交互时，无法快速赋能业务智能创新， 并且与开放协同的产业生态相悖，主机技术正面临严峻挑战。如何让企业核心业务系统既能延续固有的稳定与 可靠，又能获得云与 AI 的重要战略课题。 近几年，主机现代化成为了打开企业核心业务系统大门的钥匙。它绝非简单的技术平台更替，而是一次深 刻的 业务转型 。其根本目标在于释放核心数据的价值、加速创新应用的交付、重塑极致的客户体验，并最终构 建面向未来的可持续竞争力。 本白皮书系统阐述了我们对主机现代化的深刻洞察与技术探索，希望这份凝聚了我们技术思考与实践经验 的成果，能为广大主机用户提供系统的技术方案与实施路径

践行深度用云 主机上云 运维现代化核心能力 华为云计算技术有限公司 尚海峰 胡玉海 贡 青 刘征辉 林丽鑫 支新辉 王 飞 徐 俊 郭晓征 耿丽丽 马晓明 毛明强 张志炯 张 毅 王进行 马 韬 石 松 黄征彬 熊洪槐 钱 沛 秦丹涛 张瀚文 编 人 员 责 任 编 辑 （排名不分先后） 去三四十年，金融核心系统主要采用集中式主机架构进行建设。 随着金融业务数字化转型需求的不断深化，云计算技术的持续演 进，金融机构普遍采用了云原生相关技术进行业务改造，更有不少头部 大行作为先行者，率先将主机承载的核心系统业务也迁移上云，加速了 金融行业数智化、自主创新进程。 目前，大部分国有银行和股份制银行已经完成了从一般类业务上云到核 务中断外，业务的劣化，如卡顿、报错等，也会造成最终用户的不满和 投诉。这就对承载核心业务的云平台提出了更高的稳定性、可靠性要 求。 除了稳定的产品外，强大的运维体系是保障云平台稳定性最直接、最有 效的手段。在主机核心业务逐步上云后，如何加强运维全链路监控能 力，快速定位、定界和解决问题，如何变被动运维为主动故障预防从而 大幅减少潜在故障与运维投入，如何将应用运维与平台运维进行有效协 同从而保障系统性业

分析中学生场景与教师场景比例持平， 则该课堂偏向师生互动型。  便于老师开展横向自我对比、纵向名优老 师学习，提高教师教学技能。  便捷的预监当前所有教室的课堂实 况。  支持快捷远程控制录播主机。  支持接 入 其他校园监控网络视频流， 进行校园安全巡查。  能分批显示监控画面。  支持多种显示模式布局， 3 、 4 、 5 、 9 、 16 画面等类型。 录播教室 录播教室 教育录播 老师特写 老师全景 板书特写 学生特写 学生全景 4 机 位 3 机 位 2 机 位 精品教室 常态教室 微格课室 公开课室 标准课室 ……  摄像机到录播主机，录制全高清 1080P 视频  五机位录播系统，根据不同场景条 件及需求，可建设 5 机位、 4 机位、 3 机位、 2 机位方案 应用 搭配 5 机 位 智慧校园 - 智慧教育 - 教育录播 一 师 一 优 课 、 学 习 空 间 人 人 通 、 优 质 教 育 资 源 共 享 、 教 育 均 衡 化 发 展 标准课室 微格课室 精品课室 班班通课室 互动课室 智慧教育录播主机 教学资源云平台 1 套系统解决方案即可满足学校 / 教育局教育 录播系统建设的需求 电教馆检测 在线课堂 课后 学习 边看边练 教学研讨 教学巡查 互动教学 优课评选 集中管控

分析中学生场景与教师场景比例持平， 则该课堂偏向师生互动型。  便于老师开展横向自我对比、纵向名优老 师学习，提高教师教学技能。  便捷的预监当前所有教室的课堂实 况。  支持快捷远程控制录播主机。  支持接 入 其他校园监控网络视频流， 进行校园安全巡查。  能分批显示监控画面。  支持多种显示模式布局， 3 、 4 、 5 、 9 、 16 画面等类型。 录播教室 录播教室 教育录播 老师特写 老师全景 板书特写 学生特写 学生全景 4 机 位 3 机 位 2 机 位 精品教室 常态教室 微格课室 公开课室 标准课室 ……  摄像机到录播主机，录制全高清 1080P 视频  五机位录播系统，根据不同场景条 件及需求，可建设 5 机位、 4 机位、 3 机位、 2 机位方案 应用 搭配 5 机 位 智慧校园 - 智慧教育 - 教育录播 一 师 一 优 课 、 学 习 空 间 人 人 通 、 优 质 教 育 资 源 共 享 、 教 育 均 衡 化 发 展 标准课室 微格课室 精品课室 班班通课室 互动课室 智慧教育录播主机 教学资源云平台 1 套系统解决方案即可满足学校 / 教育局教育 录播系统建设的需求 电教馆检测 在线课堂 课后 学习 边看边练 教学研讨 教学巡查 互动教学 优课评选 集中管控

五个规定动作 + 新的安全要求（风险评估、安全监测、通报预警、应急 处置、自主可控等） 内容变化 技术（物理、网络、主机、应用、数据） + 管理 技术（物理环境、一个中心三重防护） + 管理 技术要求 等保 1.0 等保 2.0 物理安全 安全物理环境 网络安全 安全通信网络 主机安全 安全区域边界 应用安全 安全计算环境 数据安全 安全管理中心 管理要求 等保 1.0 等保 2.0 用开发平台、云产品（服务）等 P a a S I a a S 安全计算环境 云操作系统、虚拟机监视器、云业务管理系统、 云产品（服务） 虚拟化网络 / 安全设备、虚拟机镜像 云产品（服务）服务器（虚拟机）、宿主机、 终端、运管平台服务器 网络设备、安全设备 配置文件、鉴别信息、系统数据、审计数据、 镜像文件、快照数据、个人信息 安全通信网络 网络架构、物理链路、通信数据 安全区域边界 物理网络边界、虚拟网络边界 自建的专属资源 池 什么是云主机： 从用户角度讲：一台你部署、系统应用或文件存储等功能。放在云上的 服务器， 部署企业应用平台（例如 OA 、交易平台、 CRM 、 ERP 、 开发测试等） 部署企业门户网站 如何使用：订购成功后，可以通过 VNC ， W 看不见的服务器 , 实现用户网站 indows 远程桌面或者 SSH 直接使用。 云主机 电脑主机 （ CPU+ 内存） +

157 页 业务系统可靠性。 （一） 云平台功能要求 1.云平台基础为XX学院应用提供计算、存储、网络、安全等基础资源服务，为应用系统提 供稳定、可靠的运行环境。 2.云主机服务 服务描述：为用户提供的云主机（虚拟机）服务。可根据用户的实际需求，对虚拟机的CPU、 内存、网络带宽、硬盘性能及空间进行定制配置。并通过平台可对虚拟机进行创建、启动、停 止、删除、快照、备份、恢复等。 易用性：支持批量创建操作，同一镜像可以一键创建多台云服务器；创建时自由选择硬盘； 支持Windows和Linux多种镜像。 灵活性：可以自由创建自定义镜像，并由其创建云服务器。 监控：可实现对云服务器的镜像及实例管理，并监控云主机运行状态。 3．云存储服务 将数据通路（数据读或写）和控制通路（元数据）分离，并且基于对象存储设备构建存储 系统，每个对象存储设备具有一定的智能，能够自动管理其上的数据分布。兼顾对象存储同兼 IAAS层：基于OpenStack+kubernetes双引擎架构，本次搭建的XX学院云平台计算资源池、 存储资源池、网络资源池和安全资源池，以及可提供基本的云计算服务。其中，计算资源池可 提供高可用的弹性云主机和裸金属服务，基于分布式存储技术的存储资源池，可提供满足DAS、 NAS和SAN等架构的存储解决方案，全面支持SCSI、FC，iSCSI，NFS、CIFS等存储协议，对外可 提供块存储、文件存储

核心功能概述 可看 可防 可控 立体治安防控 精简视频会议 可将 CD 、 调谐器、 卡座等外控音源按编程设置实现单路手动或自动播放输出； 满足听力考试与多媒体教学要求 精简视频会议 管理主机加入视频会议 ，便捷、 灵活 ，快速进行商讨 安全巡查 在分控中心（警务室） 也可通过各个区域的可视对讲终端对现场巡查 ，看到危 险事件即可快速对其进行处理 宿舍管理 喧哗报警监督宿舍纪律 壁挂音 箱 分 控 中 心 管理中心 全功能单键 语音终 端 校长办公室 高级管理 主机 二级管理 主机 二级管理 主机 二级管理 主机 教室 2 教室 1 操场 走廊 值班室 教务处 宿舍 IP 网络功 放 门卫室 高级管理主机 网络录音主机 中心服务器 IP 音 柱 报警柱 02 系 统 特 点 可在系统设置夜间或全天 24 小时智能 情况下求助使用 系统特点 能第一时间给予求助者以帮助 安全巡查 一件求助 智能巡监 需要共同商讨事情 ，又不能集中所有人， 此时通过管理主机可快速组建临时会议 ， 参会人员通过就近的管理主机加入视频 会议 ，便捷、灵活 ，快速进 行商讨 领导可通过管理主机在办公室内或 管 理中心任意调取教室的可视对讲终端 ， 对学校整体教学 情况进行抽检与巡查， 不仅可以看到现场的教 学情况 ，还可

......................................................................................42 2.4.5.1. 主机管理................................................................................................. ......................................................................................54 2.4.5.7. 主机拓扑管理............................................................................................... 智慧运维平台提供处置知识管理，通过对用户日常故障处置方法的收集，经验积累，自动反 馈到相同故障的处置过程中。 通过系统提供的智能策略机制，将用户对于某些异常分析的人工方式自动化，比如对于主机 高负载原因的排查，一般的操作逻辑是确定主机负载超过风险阈值情况是偶发事件还是一直存在， 然后分析每一次出现高负载的进程是否一致，通过人工智能找到具体的异常进程，关闭该进程或 者卸载相关软件，同时对于该进程的设定预警

项目实施 07 项目运营 √ 成本优势 √ 特色功能 √ 个性需求 √ 自定义任务 √ 功能迭代 √ 场景优化 √ 场景适应 方 案：自研高性能主机及算法，通过视频分析技术，获得多个摄像头监管的多泊位停车入离位事件； 通过增加球机，实现多场景下的违停抓拍。 √ 视频跟踪 √ 抗遮挡干扰 √ 安装灵活 √ 模型压缩 √ 多模型并行 √ 高 自研硬 件 方 案 落地运 营 迭 代 AI 视 频 算法 模型优 化引擎 数据标 注平台 自研场 景算法 方 案介绍 √ 打磨优化 抓拍相机 识别主机 自研相机 自 研 海 康 华为 支持 Onvif 方案介绍 交换机 100Mbps 1000Mbps 支持内网 有线 4G 网桥 △ △ △ 人 云平台 网络 特色功能特点 02 硬件介 绍 03 应用场 景 04 方案特 点 05 软件支 撑 智能主机 智能主机 基本功能：停车分析 + 多媒体 N1( 标准版 ):1 拖 2+ 基本功能 增强功能：隐私保护 + 视频裁 NX ( 旗舰版 ):1 拖 6+ 增强功能 剪

入内网 控制域控、堡垒机、云 平台、单点登录等系统 以点打面 使用弱口令、密码复用、 密码猜测攻击获取权限 攻击核心主机获取重要 系统权限 利用第三方运维、内部 违规员工非法外联入侵 专网 攻击第三方，利用第三 方接入网络攻击目标单 位 搜索多网卡主机、 4A 系 统、网闸等设备纵向渗 透 攻击供应链，挖掘漏洞 或利用已分配权限进入 内网 攻击手机 App 、微信小 程序等移动应用获取权 统、 4A 系统成 为攻击重点目标，大量存在弱口令、口令复用、老旧漏洞问题，一旦被控给网络安全带来致命打击。 八是核心业务系统缺乏重点防御。核心业务系统安全防护基本依赖网络流量层设备，运行依赖的主机基本上是 零防御、零感知状态，攻击方基本发现即可将其控制。 3.防守思路 防守工作面临的现实困境 管理困境 技术困境 部分人员安全意识有待提高 安全专业技能有限 组织协调难度较大 资产暴露、泄露信息不清晰 内 网防护机制，建立 深层次安全防御体 系，增强内网访问 控制 攻防演练 进行模拟攻防演练 （预演） 资产评估服务 网探 D01 （资产探 测） APT 检测系统 网防 G01 （主机防 护） 网哨 Z01 （ APT ） 蜜罐系统 内网哨兵 网盾 K01 （情报） 渗透测试 攻防演练服务 正式演习防护阶段 预测：威胁情报服务 全网威胁情报监测预警 防御：配备 APT