2014年8月

1. 中外运广东公司云计算项目 2014年8月

2. 目录 1. 项目概述 2. 需求分析 3. 建设方案

3. 项目背景 项目概述 建设方案 需求分析 投资估算 工期安排 • ICT融合业务发展转型势在必行 • 国内各电信运营商之间的竞争由单业务的竞争逐步向全业务竞争演变，同时以云计算和网络发展为契机，电信运营商正全面从CT向ICT融合全业务发展转型。 • 战略落地，大力发展公有云项目 • 中国移动提出了由原来的“移动通信专家”向“移动信息专家”转变的策略。在未来的全业务竞争中，广东移动与广东电信、广东联通相比在高价值、高黏性的企业集团用户数方面处于竞争的弱势地位，通过公有云项目落地为企业集团用户提供高效、安全、便捷、弹性伸缩的低成本的信息化服务，提升广东移动全业务的竞争力，实现从个人用户向集团用户的战略转型。 • 中外运灯塔项目，市场拓展意义重大 • 本项目是中国第一个企业IT资源全外包项目；成功实施后，有利于我司政企客户市场相关业务拓展；有利于我司集团大客户的挖掘和深度战略合作关系的建立；除此之外，本次建成的云平台资源池将向公有云的方向发展，为包括中外运广东公司在内的数家企业提供便捷、弹性的IT资源租用服务，形成新的产业链和商业模式，将为我司向ICT领域的探索积累丰富的经验。

4. 平台与业务现状 项目概述 建设方案 需求分析 投资估算 工期安排 网络现状 IT基础设施现状 • 采用三级架构： • 核心节点：黄埔中心机房、皇岗机房和香港上环机房组成的双向环状核心； • 汇集节点：按城市电话区号划分区域 • 接入节点：三级节点为同属该汇聚区域的广域网节点 • 部分业务系统数据存储于HP存储 • 部分业务应用系统服务器虚拟化 • 大部分数据服务器未建立双机热备 • 未有负载均衡 • 备份系统采用bakbone，未建立灾备 问题 问题 • 缺失管理工具， 忙于‘救火’ • 单点故障、故障恢复时间较长； 高可靠性有待提高 • 资源合理利用有待提高；灵活扩展能力有限 • 部分设备陈旧； 后续升级成本高 • 带宽瓶颈： • 利用率高达80%- 100%，扩容需求迫切。 • 专线、网络设备形成单点故障

5. 建设原则 项目概述 建设方案 需求分析 投资估算 工期安排 • 云平台：在虚拟化硬件体系(服务器虚拟化、存储虚拟化和网络虚拟化)的基础上，通过统一云管理，扩容云平台，实现硬件资源的虚拟化和自动化管理 • IT服务出租，支撑用户聚焦业务发展：云计算平台满足用户按需部署业务、弹性管理资源需求，业务系统稳定、 可靠、安全运行 建设内容 • 绿色节能：通过服务器虚拟化、存储虚拟化、网络虚拟化技术和设备应用节能技术减少能耗 建设原则 • 需具备稳定可靠的架构 • 需具有扩展能力，能满足业务快速部署的要求 • 需支持端到端的QoS • 需提供业务的快速迁移能力 • 需要具备较高的可用性 • 通过多种方式（互联网，有线， 无线，移动, …）能够快速访问应用系统 • 提供快速部署新节点的能力

6. 目录 1. 项目概述 2. 需求分析 3. 建设方案

7. 容量需求 项目概述 建设方案 需求分析 投资估算 工期安排 • 本项目根据中外运广东公司IT基础整体外包的需求建设IDC数据中心，为中外运提供： • 1008核CPU处理能力（CPU，单位是VCPU,相当于一个2GHZ的物理核），2T内存 • 102T的存储资源 • 以上资源支撑中外运生产服务器、测试服务器以及新建UC业务系统，包含600核CPU的冗余； • 专业的现网业务系统以及测试环境应用的云化迁移服务； • 广州同城两数据中心业务级容灾和数据备份服务； • 异地深圳观澜关键数据备份服务； • 预期本项目成功后，我司在云服务提供商领域将异军突起，率先进入政企云服务综合提供商的行列。实现包括话音、数据业务、融合通信业务、终端、大客户专线以及企业IT资源池提供等多种业务的综合服务，大幅提升全业务竞争能力。

8. 云计算IDC总体逻辑架构 项目概述 建设方案 需求分析 投资估算 工期安排 IDC专业服务 基础业务 云业务 增值业务 专业管理系统 Layer 4 IDC业务 空间出租、 VIP机房出租 主机托管......... IaaS业务 PaaS业务 SaaS业务 安全服务 容灾、备份 CDN加速、 IDC业务管理 • 统一门户 • Web Hosting平台 • 虚拟桌面平台 • IT Hosting平台 • App开发与发布平台 • API管理平台 商业咨询 Layer 3 应用平台 IT服务管理 规划设计 云平台管理 云平台(分布式、并行、自动管控) 集成实施 Layer 2 IT云平台 综合网管 虚拟化(计算、存储、网络虚拟化) 评估优化 安全管理 安全 计算 网络 存储 负荷均衡 项目管理 机房管理 Layer 1 绿色数据 中心机房 • 机房布局 • 电力系统 • 制冷系统 • 综合布线 • 消防 • 监控门禁 • 机柜 • 运维中心

9. 云计算IDC总体网络架构 项目概述 建设方案 需求分析 投资估算 工期安排 本期网络架构 • 南方基地和科学城为两双活数据中心，核心分别采用两台S9306交换机做Trunk或者集群。 • 两个数据中心分别做了本地CDP复制和本地NBU数据备份，NBU软件服务端直接安装在HDP3500E备份存储上。 • 南方基地和科学城两数据中心间提供2条2GE链路互连用作CDP数据和互连数据传输 • 深圳备份中心提供两个生产数据中心的远程备份存储，分别通过2条主备链路连接到两个数据中心。 • 每个数据中心需要提供至少1条Internet外网线路 • 中外运企业的各个接入点接入两个数据中心需要提供至少1条线路。

10. 云计算IDC互联方案 项目概述 建设方案 需求分析 投资估算 工期安排 • 南方基地和科学城为两双活数据中心，核心分别采用两台S9306交换机做Trunk或者集群。 • 两个数据中心核心交换机S9306对接采用VRRP做静态路由互连，或者直接采用静态路由（集群方式）。 • 两数据中心的S9306间启用IBGP协议传输VPN路由。两对S9306间启用MPLS VPN隧道互联，云平台内不同业务如果有隔离需求，可以放入不同的VRF接口下。 • 两数据中心间的CDP系统复制数据流可以通过隧道传输，也可以通过全局路由传输。

11. 云平台内部组网方案 项目概述 建设方案 需求分析 投资估算 工期安排 • 云平台内部主要包括交换设备、服务器、存储、防火墙和负载均衡器。 • 服务器采用E6000刀片服务器，每框10个刀片，刀片服务器采用NX112交换板卡做接入，交换板卡堆叠后通过10GE上连到核心交换机。 • E6000服务器刀片有专用的存储网口，通过专用的存储汇聚交换机连接存储设备。 • 存储采用S5600，每存储有两控制器，每控制器出4个GE网口接入交换机。 • 数据中心配置负载均衡器旁挂在核心交换机上，配置了LB功能和GSLB功能。 • 防火墙采用E8080E旁挂在核心交换机上，针对数据中心启用虚拟防火墙，方便开展多租户接入。 • 云平台内部共分成了三个平面，管理平面、业务平面、存储平面，存储平面无须对外，只是给服务器提供存储空间，管理平面提供云平台管理信令通信，业务平面是VDC对外提供业务通信 云平台内部组网图

12. 云平台功能架构 项目概述 建设方案 需求分析 投资估算 工期安排 功能说明 云终端：是指接入云系统的终端，有Remote Users和LAN Users两种类型 接入控制：对外网终端接入进行安全和防护控制 业务管理系统：包括业务管理和用户自助服务，其中业务管理包括业务运营、权限管理等；用户自助包括云计算资源申请、资源管理、用户管理 云资源管理及调度：对各种云物理资源进行管理，分配相应虚拟资源和调度。主要包括计算资源管理、存储资源管理、弹性服务控制。 虚拟化平台：完成各种物理资源的虚拟化，为虚拟机提供各种虚拟资源，其中计算节点代理提供物理计算资源，通过虚拟化UVP平台将物理资源虚拟化；SAN为每个虚拟机提供相应存储资源 运维管理系统：完成云系统基础设施的维护管理功能，包括业务节点的安装部署，节点性能监控，配置管理等功能。

13. 容灾建设方案 项目概述 建设方案 需求分析 投资估算 工期安排 双中心运营容灾建设方案 本期建设内容 为南方基地和科学城双中心运营提供本地和异地容灾能力。当其中一个站点发生站点级灾难时，在另外一个站点能保证60%的计算处理能力。 为双中心共计72台物理服务器（864核）以及63TB数据提供本地和异地容灾保护能力，为此需要配置8台CDP服务器，164TB CDP存储，一共占用8个机柜。 本地CDP通过接入交换机与核心交换机相连，两条1Gb/s的异地数据复制链路则通过两个GE光口分别接入两个站点的核心交换机。 MSTP Internet 南方基地 科学城 数据复制 1Gb光纤专线 GSLB GSLB 核心交换机 核心交换机 CDP汇聚 交换机 CDP汇聚 交换机 应用服务器 应用服务器 IP SAN 交换机 IP SAN 交换机 CDP装置 CDP装置 数据复制 数据复制 生产存储 CDP存储 CDP存储 生产存储

14. 数据备份方案 IP SAN IP SAN 项目概述 建设方案 需求分析 投资估算 工期安排 internet VM VM VM 用户数据 广州科学城 深圳观澜数据中心 服务器 服务器 服务器 重要数据异地保存 NBU client NBU Server App App App App App App App App App App App App App App App App App App 业务容灾 业务网络 重要数据 备份网络 OS OS OS OS OS OS OS OS OS OS OS OS OS OS OS OS OS OS IP SAN 生产阵列 HDP3500E机柜 VM VM VM 重要数据异地保存 用户数据 HDP3500E机柜 服务器 服务器 服务器 广州南方基地 NBU client NBU Server 业务网络 备份网络 IP SAN 生产阵列 HDP3500E机柜

15. 数据中心机柜典型部署 项目概述 建设方案 需求分析 投资估算 工期安排 数据中心机房主要包括三类机柜部署：网络柜、存储柜、服务器计算柜。 1.网络柜主要布放核心交换机S9306、存储汇聚交换机S9303和负载均衡器 2.存储柜只能布放一台1托2的存储S5600，主要限制在于机柜功率。 3.服务器计算机柜主要布放E6000刀片服务器。

16. 网络 安全 网络安全—防火墙Eudemon 8080E 管理防火墙 部署数据中心云管理设备和云管理网络边界，完成云管理设备和运营商管理网络的隔离和防护，是运营商的基础设施。 业务防火墙 部署在数据中心和外网(如Internet)的边界，完成数据中心和外部网络的隔离和防护，是运营商的基础设施。 虚拟防火墙 部署在企业出租虚拟机的边界，主要租赁给企业完成，各个租户网络和外部网络的隔离和防护，企业根据自己的策略定制防火墙规则。

17. Anti-DDOS方案 网络 安全 DDOS检测中心 （E8000E/E1000E） Internet 流量镜像 DDOS清洗中心 （E8000E/E1000E） 安全管理中心 引流 回注 流量及攻击日志 管理流量 高强度 支持从2G到160G的大流量清洗,是业界业界平均水平3-5倍; 高精度 有效识别流量型攻击、应用型攻击、扫描窥测型攻击和畸形包攻击等类型,支持小流量应用层攻击防范/支持低速攻击防范; 灵活部署 可直路、旁路、集中式、分布式部署； 系列化 针对不同的数据中心规模，用不同的产品组合： E1000E-D----2G~6G E8000E-D----6G-160G 清洗前流量 清洗后流量 核心交换机 镜像流量 汇聚 交换机 云计算中心

18. 网络 安全 IPS入侵防御方案 IPS引擎 主控板 接口 板 防火墙业务板 IPS 业务板 IPS指纹库全球最大 IPS指纹库增新最快 升级服务器范围最广 • 通过多种方法(复合签名,状态签名,协议异常)抵御来自应用层的攻击 • HTTP, SMTP, POP3, IMAP, FTP, DNS, P2P/IM, 广泛的协议支持 高端防火墙硬件平台 IPS分流流程 需要IPS处理的流量 5 个SOC 61 个受监控的国家 29 个全球支持中心 6个安全响应Lab + 总流量 + + 防火墙处理模块 IPS业务处理模块 只需要防火墙处理的流量 与防火墙共平台，ALL IN ONE 防火墙可以设置策略，把需要IPS保护的流量引流到IPS业务模块（E1000E/E1000E-X）或业务板(E8000E)上进行处理; 如果是高端防火墙（E8000E），具有独立的IPS业务板，可以按需灵活配置； 高性能 IPS防护性能：最高8G*8