24小时客服电话:

18888848846

北京讯达康科技有限公司 >解决方案 > > 智慧城市政务云计算数据中心工程规划建设方案
详细内容

智慧城市政务云计算数据中心工程规划建设方案

时间:2020-12-15      【作者】 admin    阅读

云计算数据中心是“智慧城市”的信息技术基础设施,不仅承载智慧城市项目的三个主要应用,还将为日后智慧城区的各类信息化应用提供稳定可靠高效的计算、存储、网络资源,以实现全区信息化基础资源的集中建设、集中管理、集约使用。

 

数据中心的网络连接包括互联网、政务网、其他专网,接入区文广局的光纤路由,以及三大运营商提供的固网和移动网络。

 

数据中心网络分为运营商链路设备区、互联网接入区,互联网服务资源区、核心网络区、内网资源服务区、专网接入区、专网服务资源区、存储资源区、物理资源整合区、本地用户接入区、运维管理区等几部分,每个区域间根据业务、功能的安全防护需求配备诸如防火墙等安全设备进行安全隔离,保证网络层面的安全访问控制。以上分区同时也是机房物理分区的指导原则。

数据中心网络总体架构设计如下图:

智慧城市政务云计算数据中心工程规划建设方案

1、 链路接入区

外部网络与数据中心互联时对方设备的安放区域,包括了互联网链路及外单位专线链路。拟同时接入中国移动、中国联通、中国电信三大运营商互联网线路,为每个运营商分配一个机柜以存放其相应设备。由于该区域设备由运营商提供并配置,因此未在网络总体拓扑中予以具体体现。专网链路接入目前设计包括政务外网、区技防网等,同样为外部专线链路设备指定安放区域。

 

2、 互联网接入区

互联网接入区为接入互联网而配置的设备的安放区域,主要放置与运营商互联网接入设备进行互联的本方设备,如路由器、边界防火墙、IPS(入侵防御系统)、链路负载均衡等。互联网接入区主要配置设备如下,关键设备配置两套,以保证可用性要求。

 1  互联网接入区设备

 

序号

设备

数量

备注

1

链路负载均衡设备

2

实现多调互联网链路的负载均衡

2

安全网关

2

互联网边界防火墙

3

入侵防御系统

2

主动防御来自互联网的安全威胁

4

出口行为审计

1

对本地用户访问互联网进行审计

5

防毒墙

1

防御本地用户访问互联网而面临的恶意代码攻击

 

3、 互联网服务资源区

互联网服务资源区指为透过互联网向外提供服务和访问的智慧XXX各类应用的部署区域,物理上集中放置一批服务器设备,并通过虚拟化技术将服务器进行计算资源的池化。通过互联网进入数据中心的访问流量将被终结在此区域,此区域内的服务器若需要与内网资源进行数据上的交互,则可再经由一道防火墙进入核心网络区以访问内网资源。

互联网服务资源区主要配置设备如下。

 2  互联网资源服务区设备

序号

设备

数量

备注

1

互联网服务区汇聚交换机

2

接入该区域的服务器资源

2

Web应用防火墙

2

对互联网web服务提供保护

3

服务器

5

互联网资源服务区的服务器

 

4、 专网接入区

专网指其他政府部门、企事业单位的行业专网,通过专线与数据中心网络互联。专网接入区主要放置与专网接入设备进行互联的本方设备,如边界防火墙等。

专网接入区配置两台扩展能力强的高性能防火墙,以集中专网接入的安全管理。

 3  互联网接入区设备

序号

设备

数量

备注

1

专网接入防火墙

2

数据中心网络与外单位专网的边界安全网关

 

5、 专网服务资源区

专网服务资源区指为透过专网向外提供服务和访问的智慧XXX各类应用的部署区域,物理上集中放置一批服务器设备,并通过虚拟化技术将服务器进行计算资源的池化。通过专网进入数据中心的访问流量将被终结在此区域,此区域内的服务器若需要与内网资源进行数据上的交互,则可再经由一道防火墙进入核心网络区以访问内网资源。

专网服务资源区主要配置设备如下。

 4  专网服务资源区设备

序号

设备

数量

备注

1

专网服务区汇聚交换机

2

接入该区域的服务器资源

2

服务器

5

专网资源服务区的服务器

 

6、 核心网络区

核心网络区是数据中心本地网络的核心区域,主要是核心交换设备以及安全管控设备。核心网络区与互联网服务资源区、专网服务资源区、本地用户接入区、物理资源整合区、运维管理区相连接,均在连接间设置防火墙进行访问的安全控制。因此外部用户需要经过两道防火墙才能进行数据中心核心网络访问本地资源。

核心网络区主要配置设备如下。

 5  核心网络区设备

序号

设备

数量

备注

1

核心交换机

2

接入该区域的服务器资源

2

NTP服务器

 

为数据中心设备提供统一的标准时间

3

数据库审计系统

 

对内网的数据库资源的访问进行审计

4

安全审计系统

 

对内网的网络访问进行安全审计

5

漏洞扫描系统

 

对数据中心网络进行漏洞扫描

 

7、 内网服务资源区

内网服务资源区指向本地用户提供服务和访问的智慧XXX各类应用的部署区域,物理上集中放置一批服务器设备,并通过虚拟化技术将服务器进行计算资源的池化。

专网服务资源区主要配置设备如下。

 6  内网服务资源区设备

序号

设备

数量

备注

1

内网服务区接入交换机

4

接入该区域的服务器资源

2

计算资源服务器

10

专网资源服务区的服务器

3

数据库服务器

6

专网资源服务区的服务器

4

计算资源管理服务器

2

专网资源服务区的管理节点服务器

 

8、 存储资源区

数据中心的存储资源区设计根据存储的数据性质不同分为两大类:FC SAN和IP SAN,即光纤存储网络和IP存储网络。前者适用于结构化数据的存储,如数据库;后者适用于非结构化的数据,如文件、图像、视频等。

FC SAN存储区域的设备主要包括:

 7  FC SAN存储区域设备

序号

设备

数量

备注

1

集中式存储FC交换机

2

光纤交换机,连接服务器与存储设备

2

集中式存储磁盘阵列

2

存储数据的核心设备

 

 8  IP SAN存储区域设备

序号

设备

数量

备注

1

分布存储接入交换机

4

IP SAN交换机

2

存储资源服务器

10

分布式存储系统的资源节点服务器

3

存储管理服务器

2

分布式存储系统的管理节点服务器

 

9、 运维管理区

所有对数据中心服务器的操作原则上都必须在专门的运维管理区进行操作,该区域既是网络上的概念,也对应于物理的房间(数据中心控制室)。运维管理区直接接入核心网络区,可以访问数据中心网络上的所有设备和应用,因此运维管理区的物理安全要有严格的控制措施。

 9  运维管理区设备

序号

设备

数量

备注

1

接入交换机

4

下接工作站,上联核心交换

2

运维工作站

10

用于运维操作的电脑终端

 

10、 指挥中心接入区

指挥中心本地用户和设备接入数据中心网络的区域。该区域包括接入交换机、汇聚交换机,以及上网行为管理和防毒墙。指挥中心网络布线配线架全部集中在数据中心机房内指定的机柜,配线架经跳线连接接入交换机,接入交换机上联全千兆汇聚交换机。汇聚交换机经防火墙连接核心交换,同时经防毒墙、上网行为管理等设备连接互联网接入区。

 10  指挥中心接入区

序号

设备

数量

备注

1

接入交换机

10

下接配线架,上联汇聚交换

2

汇聚交换机

2

下联接入交换,上联核心区边界防火墙

3

防毒墙

1

指挥中心用户访问互联网的病毒防御

4

上网行为管理

1

指挥中心用户访问互联网的行为管理

 

本套方案目录:

一、项目背景3

二、工程概述3

三、数据中心网络设计5

(一)网络结构5

1、链路接入区6

2、互联网接入区6

3、互联网服务资源区7

4、专网接入区7

5、专网服务资源区8

6、核心网络区8

7、内网服务资源区9

8、存储资源区9

9、运维管理区10

10、指挥中心接入区10

11、物理整合区11

(二)虚拟化组网11

四、云计算平台系统设计13

(一)资源池设计14

1、计算资源池架构设计14

2、存储资源池设计14

3、资源池部署设计15

4、设备选型17

(二)云计算资源管理系统19

1、云计算资源管理系统设计概述19

2、云计算资源管理系统设计思路20

3、云计算资源管理系统框架设计21

4、云计算资源管理系统功能设计25

(三)云存储资源管理系统设计27

1、云存储资源管理系统设计概述27

2、云存储资源管理系统设计思路28

3、云存储资源管理系统框架设计30

4、云存储资源管理系统功能设计30

(四)云平台运行监控系统设计31

(五)云平台运维管理系统设计32

(六)云平台管理支撑系统设计33

1、资源设备管理34

2、资源基本管理35

3、资源综合管理35

4、资源功耗管理35

(七)云平台运营管理系统设计36

(八)云应用服务平台(PaaS)设计37

1、云路由37

2、云负载38

3、云代理节点38

五、数据中心安全系统设计40

(一)云平台安全总体设计40

(二)云安全等保定级分析42

(三)云安全系统需求分析43

1、安全技术需求分析43

2、安全管理需求分析51

(四)安全技术体系设计52

(五)云区域边界安全设计57

1、实现边界的访问控制59

2、实现网络边界入侵检测60

3、实现边界病毒防护60

4、实现边界完整性保护61

5、实现边界安全审计保护61

6、实现网站安全防护61

(六)云计算环境安全设计62

1、虚拟机访问控制62

2、主机安全管理63

3、日志集中审计63

4、脆弱性管理64

(七)云安全管理中心设计64

1、集中安全管控64

2、安全策略集中管理65

3、云安全集中管理66

(八)安全管理体系设计66

1、安全管理组织66

2、人员安全管理67

3、安全管理策略67

(九)安全运维体系设计68

六、数据中心机房工程68

(一)机房布局与布线68

(二)机房装饰装修69

1、地面工程70

2、天花吊顶工程72

3、墙面工程73

4、门窗工程设计74

(三)机房电气系统74

1、配电系统74

2、电源插座设计75

3、照明系统设计75

4、接地系统设计76

5、防雷系统78

6、不间断电源系统78

(四)机房空调系统80

1、机房环境设计标准80

2、机房环精密空调容量设计80

3、空调送风方式的设计81

4、空调上下水设计81

(五)动力环境监控系统系统81

(六)KVM系统84

1、方案说明84

2、方案拓扑图及说明84

3、方案特点85

(七)机房消防报警和气体灭火系统86

标题
更多