烟草行业私有云平台规划方案.docx

烟草行业私有云平台规划方案.docx

《烟草行业私有云平台规划方案.docx》由会员分享，可在线阅读，更多相关《烟草行业私有云平台规划方案.docx（10页珍藏版）》请在冰豆网上搜索。

烟草行业私有云平台规划方案

烟草行业

私有云平台

规划方案

1.概述

根据烟草集团实际情况，结合行业信息化的发展趋势，综合运用云计算和虚拟化技术构建企业信息系统云平台，从而降低成本，提高灵活性和永续性，增强对业务需求的适应能力，为企业信息化建设构建一个先进、健康、高效、平稳、安全的软硬件基础平台。

实现快速应用部署、资源动态调配、服务自动伸缩、提高应用效率、简化运维管理、提高可用性。

2.总体架构

通过建设私有云平台将公司IT资源纳入资源池统一管理，消除低效率的“竖井式”资源分配方式，实现资源共享。

借助云计算的弹性、敏捷性和低成本特征，为业务的快速发展打造稳定、灵敏、高效的基础架构平台。

充分利用云计算、大数据等先进技术，结合“众创、众包、开放、协作”新思维，建设一体化云平台，采用“平台+应用”的建设模式，共建云应用生态。

整个云计算平台建设是一个完整的体系，分为基础设施服务、平台支撑服务、应用服务及云保障，形成云计算平台的云主体。

总体架构如下图所示：

云平台通过使用稳定成熟的产品构建基础设施服务（IaaS）和平台支撑服务（PaaS），实现计算、存储、中间件等资源集中统一管理与调度，降低物理设备、中间件的管理运行成本，为数据服务及应用服务（SaaS）提供稳定高效的支撑。

1

2

2.1基础设施服务（IaaS）

通过对基础计算、存储、网络资源的池化和虚拟化，搭建统一计算、存储、网络资源池，为上层的应用与服务提供的资源的调度和监控等统一管理，支持按需分配与弹性扩展，并通过云操作系统的标准化接口向上层提供计算、存储等基础服务。

1）计算资源池

计算资源池采用“物理计算资源池”与“虚拟化计算资源池”相结合的建设思路。

一方面可以将不同业务系统迁移至虚拟化平台下运行，从而避免物理环境下一个业务自有服务器的传统部署模式，提高整个数据中心的资源利用效率。

同时，对于部分负载量较大、使用人数较多的大负荷业务，以及一些对稳定性和可靠性要求较高的核心业务，特别是核心数据库系统的建设，仍然运行在物理集群环境下，可以避免私有云（计算）环境下虚拟化层带来的性能损耗，进一步保证核心业务的安全性和连续性。

根据不同业务需求，将计算资源池按类型划分为三种资源类型，分别为高密度应用资源、高I/O数据库计算资源、高性能大数据计算资源。

●高密度应用资源：

通过成熟的虚拟化技术，将传统的物理服务器进行虚拟化复用，提高服务器的资源利用率。

同时对现有服务器进行利旧，对现有可用服务器资源实施虚拟化，建立不同级别的计算资源池，从而高效的为各类应用提供应用服务器、云主机等计算资源服务。

●高I/O数据库计算资源：

考虑到高性能数据库业务应用和非结构化数据应用，对服务器的IO性能有着严格要求，划分部分以物理资源为主的高IO数据库资源区，包括物理服务器和高性能存储，为高IO需求的各类数据库服务，以及非结构化数据存储提供计算资源服务。

●高性能大数据计算资源区：

底层采用标准的服务器，通过部署集群管理系统，将各高性能计算资源按照集群进行整合，对外提供统一的服务。

高性能大数据计算资源区包括提供基于列存储的海量的结构化数据存储和实时查询的大数据实时计算集群服务，以及提供基于分布式文件系统的大数据分析处理计算集群服务，可划分为分布式计算、大规模并行处理数据库等多个子功能区。

2）存储资源池

存储作为基础架构关键部分，主要负责统一管理数据的存放，保证所有数据的高可靠性、可用性等。

根据系统各类应用及数据的特点，存储资源池分为传统存储资源池、分布式存储资源池两部分。

分别针对两种类型、增长不一的数据进行区别存储管理，以实现高效的存储管理效益：

●传统存储资源池：

绝大多数应用系统数据库中的数据大都是结构化关系型数据。

这类数据的特点是数据量相对较小，但数据价值高，对数据的安全性要求也较高。

所以此类数据采用传统SAN存储或者服务器本地高性能硬盘的方式存储，解决应用系统体系结构中对存储I/O性能和数据库应用共享的挑战。

此类存储资源主要供高IO数据库计算资源使用。

●分布式存储资源池：

使用物理服务器本地的固态硬盘和SATA硬盘，通过分布式存储系统整合，形成分布式存储资源池。

分布式存储资源池基于标准X86平台，能够通过增加节点的方式弹性横向扩展。

分布式存储资源池主要用户虚拟化计算资源提供存储空间，同时也可用用于非结构化数据数据存储。

3）网络资源池

整个云平台网络层面逻辑上可以分为三个平面：

管理平面、存储平面和业务平面。

管理平面网络主要用于云平台内物理机管理；业务平面网络主要用于外部访问；存储平面网络主要用于分布式存储的内部访问。

其中管理平外网路主要使用千兆网络，业务平面、存储平面网络需要万兆网络。

为了保证各种网络平面数据的可靠和安全，私用云采用分网络平面隔离的架构方案，不同平面间采用VLAN进行隔离，单个平面的故障不影响其他平面继续工作。

私有云平台的网络按照层次划分，可以分为核心层、汇聚层、接入层和虚拟网络层。

各层次的交换机网络通过堆叠技术（汇聚层）或者交换机集群技术（核心层）保证高可用性以及网络性能，虚拟网络层位于服务器内部，负责服务器内部的虚拟机之间以及对外通信功能。

通过采用多网卡绑定，避免单个网卡故障引发的业务中断。

实现网络的全路径冗余。

2.2平台支撑服务（PaaS）

平台支撑服务提供云中间件与云应用的自动化部署、弹性调度、服务化管理、运行监控等功能。

主要实现功能包括基础环境适配、分布式集群管理、基于底层IaaS环境接口封装的基础服务、基于云计算和分布式技术的中间件服务以及服务开放接口。

平台支撑服务为各种规模和各种类型的云应用，提供松耦合、高可用、可伸展、安全可靠的应用支撑环境。

1）基础环境适配

基础环境适配通过对IaaS层服务的调用，实现资源的伸缩和调度，为服务的安装部署和运行提供更合理的资源分配，从而确保服务的高可用。

底层基础设施可以适配多种不同的IaaS资源，比如VMware、OpenStack等，也可以直接适配物理机，来满足一些IO密集型服务需求。

应用和服务将以容器（VM或Docker）的封装方式在所有IaaS层间移植，以屏蔽IaaS层的差异。

基础环境适配对接入的基础设施层进行管理，并为上层服务提供必要的计算、存储、网络等资源。

2）分布式集群管理

分布式集群管理能够管理多个集群。

使用优化的策略分配各种计算所资源，将程序运行的载体调度到合理的服务器上，自动化部署安装集群，版本化配置更新，通过规格升级持续满足用户需求，结合监控告警实现集群自动伸缩，跟踪集群发生的变化和用户操作，服务于集群的整个生命周期。

分布式集群管理降低了集群安装部署的复杂性，屏蔽了异构的软硬件带来的基础设施问题，使集群运维像使用单独的软件一样简单，能够极大的提高工作效率。

3）基础服务

基础服务是平台提供的基础服务能力，为应用和其他服务提供基础的计算和存储能力。

基础服务包括弹性云主机服务、对象存储服务、负载均衡服务。

●弹性云主机服务：

弹性云主机服务可提供一种获取方式简单高效、处理能力弹性可伸缩的计算服务。

可以实现根据期望的硬件配置、操作系统和网络配置，创建一台或多台云主机，帮助用户快速搭建安全稳定的应用环境，提升运维效率，降低IT成本，从而更专注于业务的开发和创新。

云主机服务提供弹性虚拟计算环境，可灵活定义服务规格，支持基于负载的水平扩展，真正实现云主机全生命周期的管控。

●对象存储服务：

对象存储服务提供了一种海量、安全和高可靠的对象存储服务，支持存储容量和吞吐能力的弹性扩展，适用于海量非结构化数据存储、备份等业务场景。

云存储服务提供服务使用、管理、恢复、容灾的全套解决方案，免去用户采购、部署、优化、维护专用存储设备的成本。

●负载均衡服务：

负载均衡服务提供负载均衡，是对多台云服务器进行流量分发的负载均衡服务。

负载均衡服务可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性，提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。

4）中间件服务

中间件服务是基于云计算、分布式技术的开放式处理中间件、服务中间件等中间件服务的集合，主要包括分布式应用服务、关系数据库服务、云搜索服务、分布式缓存服务和分布式消息队列服务。

●分布式应用服务：

分布式应用服务可以实现快速的部署和管理应用程序，可降低管理的复杂性,分布式应用服务自动处理有关容量预配置、负载均衡、扩展和应用程序运行状况监控的部署细节。

●关系数据库服务：

关系数据库服务可提供一种稳定可靠、可弹性伸缩的在线数据库服务。

可以使用户摆脱数据库管理和运维的繁琐工作，实现在云环境中轻松设置、操作和扩展关系数据库，从而专注于应用程序和业务。

关系数据库服务支持MySQL（MariaDB）等多种数据库引擎，提供了数据库使用、管理、监控、备份、恢复、容灾等方面的全套解决方案。

●云搜索服务：

云搜索服务可提供一种稳定可靠、弹性伸缩、开箱即用的全文搜索服务，使用户不必了解底层技术实现即可在云环境中轻松使用、扩展和监控搜索引擎服务，从而专注于应用程序和业务的设计。

云搜索服务支持SolrCloud搜索引擎，提供了自动安装部署、组件功能扩展、监控、备份、恢复、容灾等方面的全套解决方案。

●分布式缓存服务：

分布式缓存服务可为用户提供分布式、高性能、高可用的Key-Value缓存服务，用于缓解对后端关系型数据库的访问压力，增强业务的并发处理性能。

同时，分布式缓存服务也提供数据持久化功能，在保障高性能的同时兼顾用户的数据安全。

分布式缓存服务还提供了数据、管理、监控、备份、恢复、伸缩、容灾等方面的全套解决方案，方便用户对服务实例进行使用和维护。

●分布式消息队列服务：

分布式消息总线服务可提供一种高吞吐量、可容错、分布式、弹性伸缩的消息总线服务，具备成为全局统一数据管道的能力，各个业务系统都可以向其发送数据或者从中获取数据。

可以支撑海量的、活跃的流式数据场景，可以为实时应用程序提供低延时数据传输，可以对数据进行缓冲或持久化。

分布式消息总线服务提供了消息总线环境准备、使用、管理、监控等方面的全套解决方案。

5）大数据服务

大数据服务主要提供大数据处理和存储的服务。

可以快速搭建大数据处理环境，降低大数据使用的门槛。

大数据服务主要包括大数据HD服务、流式计算服务、分布式消息服务和KV数据库服务。

●大数据HD服务:

大数据HD服务可提供一种针对海量（TB/PB级）数据、实时性要求不高的分布式处理服务。

可以使用户能够轻松跨越大数据分布式计算环境搭建、运维的技术门槛和繁琐工作，直接专注于数据分析、数据挖掘、商业智能等应用场景。

HD包含了大数据非实时处理的主流技术组件，如Hadoop、HBase、Spark、Hive、Pig、Oozie、Hue等，提供了从自动化部署运维、性能优化、资源隔离、资源调度、数据计算任务执行及跟踪等全套解决方案。

●流式计算服务：

流式计算服务可提供一种分布式的、可靠的、容错的针对大规模流式数据处理的服务。

可以使用户可以从各种数据来源中连续捕获和存储TB级以上数据，进行实时分析、在线机器学习、信息流处理、连续性的计算、分布式RPC（通过网络调用远程计算任务）、ETL（数据抽取、转换和加载）等各种操作。

流式计算服务提供了计算任务分解、执行、管理、监控、优化等全套解决方案。

●KV数据库服务：

Key-ValueNoSQL数据库服务是一种完全托管的NoSQL数据库服务，提供海量结构化数据的存储和实时访问。

作为名开发人员，可以使用Key-ValueNoSQL数据库服务创建数据库表，并可在表中存储和检索任意数量的数据和处理任何级别的请求流量。

Key-ValueNoSQL数据库服务可自动将表的数据和流量分布到足够多的服务器中，以处理客户指定的请求容量和数据存储量，同时保持一致的性能和高效的访问。

作为数据库管理员，则可通过管理控制台创建新的Key-ValueNoSQL数据库表、扩展或缩小表的请求容量而不导致停机或性能降低，还能查看资源使用率与性能指标。

2.3云平台安全保障

云安全保障建设，包括云安全、云运维、云标准、云机制四个部分：

⏹云安全：

完善安全技术设施，健全安全规章制度，提升安全监管能力。

⏹云运维：

不断强化云基础、云平台、云数据、云应用等运维工作。

⏹云标准：

采用国际、国家和部门行业已发布的标准，申报制定新标准。

⏹云机制：

加强组织领导和队伍建设、加强制度建设、加强技术创新和科学实施、考核和监督等工作规范。

通过云安全、云运维、云标准、云机制建设，形成基础稳固、平台健壮、应用繁荣、安全可靠的云保障体系。

依据云平台统一安全规划需求，规划设计云平台安全架构，以安全服务为核心，构建安全保障体系：

云安全架构通过构建安全池，以安全服务的形式保障云平台环境的安全可靠运行；对机房、基础设施、云平台（包括IaaS、PaaS、SaaS）、终端、接入、安全管理6大类对象，提供针对性的安全防护措施，并对云平台进行安全评估。

通过云安全管理与运维，形成纵深防御的云安全保障体系。

●物理安全：

私有云平台的物理接入需进行严格的控制，只有授权的人员才能够进入。

机房内安装监控设备，方便事后审计。

●基础安全：

私有云整个云计算环境中使用了大量OS、DB、Web等通用软件，很容易遭受病毒入侵、漏洞攻击、木马、拒绝服务等安全威胁。

云平台基础的安全能力可主要通过系统加固、防病毒和安全补丁这三方面措施来提供。

●虚拟化安全：

云计算在带来资源共用的好处的同时，也带来新的安全风险。

首先是虚拟化层能真正地把虚拟机和物理主机、不同部门、不同公司的虚拟机和虚拟机之间安全地隔离开来，这一点正是保障虚拟机安全性的根本。

另外，预防云内部虚拟机之间的恶意攻击，传统在网络出口提供防火墙、IDS设备已经不能完全满足要求，需部署一些基于主机的虚拟防火墙/IDS/IPS。

●网络安全：

为了抵御数据中心网络可能遭受的各种类型的DOS攻击和用户数据遭窃听和篡改等安全威胁，可从“网络隔离、攻击防护、传输安全”等多个角度考虑。

通过子网划分、网络隔离手段实现计算、存储、管理、接入等域的隔离，管理面单独物理组网，保证网络安全性，避免网络风暴等问题扩散。

3.资源需求

云平台建设初期，建议只搭建IaaS基础平台和Paas基础平台的基础服务和中间服务部分，大数据平台可以考虑后期建设，因此整个云平台建设资源需求如下表：

项目

类型

主要配置

数量

备注

基础设施

2路x86服务器

2颗12核CPU，256G内存，4块900GSAS硬盘，2G缓存RAID卡，2个千兆网口，2个万兆网口，双电源，3年原厂质保服务

8

高密度应用资源计算节点5台（虚拟化）；IaaS平台控制节点3台；

2路x86服务器

2颗12核CPU，256G内存，12块800GSSD硬盘，2G缓存RAID卡，2个千兆网口，2个万兆网口，双电源，3年原厂质保服务

5

高I/O数据库计算节点5台（物理机）

高性能大数据计算资源

本期不建设

传统存储资源

利旧现有

2路x86服务器

2颗8核CPU，128G内存，4块800GSSD硬盘，8块4TSATA硬盘，2个千兆网口，4个万兆网口，双电源，3年原厂质保服务

6

分布式存储节点6台

IaaS平台软件

OpenStack套件

OpenStack稳定版；虚拟化软件；分布式存储超融合软件；虚拟交换机软件；企业增强管理软件；运维监控和日志分析软件系统管理；一年软件升级及电话支持服务

1

IaaS层全套云资源管理

PaaS平台软件

开放平台套件

管理控制器，提供可视化的各类中间件的安装部署；监控运维工具，企业级分布式应用中间件，支持多种开发语言，支持应用的大规模集群部署、自动弹性伸缩等功能，提供可视化的应用生命周期管理工具；企业级分布式中间件套件，包含关系数据库、消息队列、高速缓存组件，提供可视化的管理工具；应用集成平台，提供应用中心、用户中心公共组件；产品服务周期一年

1

应用运行支撑环境