云计算系统服务产品规划课件.ppt

1、云系统服务产品规划2012年5月业界整体云服务规划云战略评估云就绪性咨询云架构和规划标准化企业部署模型参考云实现平台升级整合平台整合集成的系统服务应用程序迁移自动化云运营模型灾难恢复和故障切换自动化自助式供应优化计量/付费服务质量优化业务发展云平台咨询服务规划服务机房与基础设施规划资源优化系统升级,快速割接云安全平台安全数据安全容灾云平台交付服务云平台运维服务目录云服务规划目标产出:运维管理体系,包括:运维组织/制度标准/运维工具 云服务规划规划方法1.分析现状2.设计改进方案3.服务改进4.评估与持续改进云服务规划规划分析过程云平台咨询服务规划服务机房与基础设施规划资源优化系统升级,快速割接

2、云安全平台安全数据安全容灾云平台交付服务云平台运维服务目录机房与基础设施规划机房设备价格价格PC机的价格具有明显优势稳定性稳定性同样无用质疑，PC服务器的稳定性优势明显。PC服务器设计连续工作时间是36524小时，而PC的设计工作时间是8小时。目前没有长时间使用PC提供服务器的实际案例。管理管理PC机不支持IPMI协议，没有远程带外管理 端口。市场可选性市场可选性市场上提供的PC服务器型号多，选择性大。未发现提供机架式PC机的厂商。通过权衡比较，在云计算系统平台中采用PC服务器服务器作为计算节点。机房与基础设施规划目标产品目标产品服务器交换机机柜特点特点性能稳定，性价比高统一的安装、升级、配置

3、、管理能力可扩展用途用于易云部署适用场景适用场景适于大批量部署不适于小批量部署场景一次至少需要3台以上计算节点云平台咨询服务规划服务机房与基础设施规划资源优化系统升级,快速割接云安全平台安全数据安全容灾云平台交付服务云平台运维服务目录资源优化IT系统架构系统性能持续下降不断增加的硬件扩容压力系统资源规划使用的不合理带来了系统的可用性下降系统建设、升级时无法获得个性化的性能优化和容量规划的服务当新业务的上线时，是否会对现有系统造成或着造成多大的影响，无法做到心中有数运维阶段无法及时获得完整的性能状态信息以及发展趋势IT系统面临的考验系统面临的考验资源优化能提供的服务 1基于云计算系统资源负载监控

4、服务 通过负载监控服务，准确了解系统资源的实际负载能力，降低性能管理的复杂性，在提供应用优化依据的基础上，对应用性能需求增长进行分配和管理。包括Sytem瓶颈分析、I/O负载分析、Memory负载分析、Network流量分析、DataFlow分析、Data Structure分析、Database统计分析、虚拟机负载分析等。2基于云计算应用性能需求解析服务 解析应用系统在不同业务运行的时间段，性能负载的量化解析。定制化应用流程的性能需求解析，是系统优化的首要条件。3基于云计算系统性能提升服务 通过负载监控和应用性能分析服务的结合，定位瓶颈的真正原因和严重情形。同时依据数据的增长趋势，预测应用负

5、载的发展趋势，满足不断发展的应用需求，提出系统性能提升的解决方案。4基于云计算系统升级方案评估服务 协助您充分评估各种不同升级方案的投资效益，选用更符合企业应用的系统环境，降低项目风险，提高应用运行效率。资源优化数据库性能分析(SQL Server,DB2、Infomix,Oracle,MySQL)数据分析(Data Structure)应用2应用N应用1应用分析(峰值时段、性能负载、瓶颈定位)能提供的服务资源优化 的的系统优化体制、方法系统优化体制、方法 19981998年设立专业、专职的系统优化团队年设立专业、专职的系统优化团队SSD(SSD(业务支撑事业部）业务支撑事业部）通过运用通过运

6、用FEMAFEMA方法论，结合电信业务系统特点，从网络、主机、存储、方法论，结合电信业务系统特点，从网络、主机、存储、数据库、中间件、系统架构、业务逻辑等多方面进行系统性能的监控、数据库、中间件、系统架构、业务逻辑等多方面进行系统性能的监控、分析、优化；全面掌握系统情况，高效、准确地发现、解决问题！分析、优化；全面掌握系统情况，高效、准确地发现、解决问题！站在电信运营商的企业角度对业务支撑系统的整体（性能）负全责；站在电信运营商的企业角度对业务支撑系统的整体（性能）负全责；使系统失效之影响降至最低，使系統品质、可靠性、成本及维护性提升使系统失效之影响降至最低，使系統品质、可靠性、成本及维护性提

7、升至最佳状态。至最佳状态。传统的系统优化方法传统的系统优化方法被动式被动式：出现问题后，集中应用软件、系统软件、系统集成、厂商方面的专家，一起分析处理散沙式：散沙式：软硬分家，应用软件、系统软件、硬件各自为政，对自己的范围负责 效率低下、推诿是传统系统优化方法的常见现象！资源优化服务的竞争力资源优化1帮助企业定位IT系统存在的问题，提升企业IT系统的健壮性2帮助企业评估系统存在的风险，提升企业IT系统抗打击能力.3帮助企业评估各种不同升级方案的投资收益，提高企业应用运行效率4为企业提供IT系统的优化提供咨询服务，提升企业对外提供服务水平，提升客户满意度，有效增加企业收益.客户能够得到什么资源优

8、化从系统架构上给您提供系统性能优化提升的建议，大幅提高目前系统性能30以上。帮助企业定位IT系统存在的问题和风险，提升企业IT系统的健壮性，降低故障率50以上。帮助企业评估各种不同升级方案的投资收益，提高企业应用运行效率。为企业提供IT系统的优化提供咨询服务，提升企业对外提供服务水平，提升客户满意度，有效增加企业收益。客户能够得到什么云平台咨询服务规划服务机房与基础设施规划资源优化系统升级,快速割接云安全平台安全数据安全容灾云平台交付服务云平台运维服务目录原则安全快速低风险场景一 P2VP2V割接P2VP2V Physical to virtual 指将操作系统、应用程序或者数据从物理计算机迁

9、移到一个虚拟环境中。P2V迁移有两种方案，一是通过首先准备割接上线环境为准现网系统，另外一个是通过P2V工具进行割接。方案一特点是割接速度快，只需要更新新产生的数据即可，割接前准备工作比较复杂；方案二是操作简单，适用场景有限，因为目前的P2V工具不能支持所有的操作系统从物理机到虚拟机的迁移。P2VP2V工具工具进行P2V割接迁移的时候，尽量协调资源，整个业务平台进行一次性割接，割接上线系统与割接下线系统之间保持各自独立。这样可以降低割接失败的风险，缩短割接时间。场景二 V2VV2V割接V2VV2V virtual to virtual V2V 迁移是在Hypervisor物理主机之间进行的虚拟

10、机迁移。虚拟机从一个物理机上的 VMM 迁移到另一个物理机的 VMM，这两个 VMM 的类型可以相同，也可以不同。如 VMware 迁移到 KVM，KVM 迁移到 KVM。可以通过多种方式将虚拟机从一个 VM Host 系统移动到另一个 VM Host 系统。V2V割接有2种方式：完整复制和写时复制（CoW，Copy on Write）。写入时复制(CoW)模式（仅将已修改的块写入磁盘）。只有采用文件作为后端的 VM 才支持 CoW 模式。CoW 旨在节省磁盘空间和进行快速克隆，但会略微降低正常磁盘性能。采用CoW方式，大大缩短了系统割接时间。无论那种V2V割接，在新系统割接上线运行期间，割接

11、下线的老系统都可待机状态，一旦发现系统有问题，这可直接将老系统重新启动上线。这样不但确保了业务系统的安全可用，而且大大降低了故障恢复时间。场景三 硬件升级这里的硬件升级主要是指服务器升级。通过虚拟机在线迁移技术，在用户无感知的情况下进行硬件升级。其特点是无缝割接，安全性高（即便硬件升级本身失败，也不会造成业务中断）。App Server2App Server2AppApp ServerServer 1 1Mail ServerMail ServerDNS/DHCPDNS/DHCPHypervisor Hypervisor Server 1Server 1Hypervisor Hyperviso

12、r Server 2Server 2Hypervisor Hypervisor Server 3Server 3进行硬件升级HypervisorHardware场景四 软件升级通过虚拟克隆技术，使得软件升级操作的安全性更高，对业务的中断时间要求更短。HypervisorHardware需软件升级进行软件升级、测试.虚拟机克隆现网虚拟机下线升级后服务器上线软件升级成功云平台咨询服务规划服务机房与基础设施规划资源优化系统升级,快速割接云安全平台安全数据安全容灾云平台交付服务云平台运维服务目录 攻击者使用云的理由与合法消费者相同低成本进行巨量处理说明 密码破解、DDoS、恶意存取、垃圾邮件、c&c服

13、务器、CAPTCHA破解等影响 现在在中搜索MalwareDomainL可获得21个结果“过去三年中，ScanSafe记录了与amazonaws相关的80个恶意事件”ScanSafe博客 Amazon的EC2出现了垃圾邮件和恶意软件的问题-Slashdot举例平台安全主要威胁恶意使用平台安全 由于不合适的访问控制或弱加密造成数据破解 因为多租户结构，不够安全的数据风险较高说明 数据完整性和保密性影响 喂，别碰我的云：可以查询第三方电脑云中的数据泄漏（UCSD/MIT）研究详细技术，确保图像位于相同的物理硬件中，然后利用跨虚拟机攻击检查数据泄漏举例数据丢失/数据泄露平台安全1对数据进行加密2改写

14、安全软件开发生命周期3了解供应商的修正、供应与保护4记录、数据渗漏、精细客户分离5强化虚拟机形象6提供研究工具和流程，进行评估能提供的服务平台安全私有私有云云网络网络移动办公人移动办公人员员外部合作机构接入外部合作机构接入分支机构接入分支机构接入SCSM Patch ServerCore NetworkCore Network业务服务器2业务服务器1认证后域认证后域认证前域认证前域隔离域隔离域SACG1SACG2Internet5.5.安全安全接入控制网关接入控制网关4.SSL VPN网网关关3.3.防火防火墙墙6.6.终端终端管理、文档管理管理、文档管理1.IPSec VPN2.SSL VP

15、N能提供网络安全服务平台安全办公云管理平台NAT映射表AppOSAppOS办公云Internet/Intranet非信任域业务域管理域存储域云存储中心安全域划分和NAT映射防火墙业务板IPS业务板高端防火墙硬件平台接口板主控板防火墙处理模块IPS业务处理模块总流量需要IPS处理的流量只需要防火墙处理的流量IPS分流流程1.1.通过通过安全域的划分及安全策略的设置提高网络安全安全域的划分及安全策略的设置提高网络安全级别级别2.2.提供提供DDoS防护、防护、NAT转换等功能转换等功能3.3.通过通过多种方法多种方法(复合签名复合签名,状态签名状态签名,协议异常协议异常)抵御抵御来自应用层的攻击来

16、自应用层的攻击4.HTTP,SMTP,POP3,IMAP,FTP,DNS,P2P/IM,广广泛的协议支持泛的协议支持能提供网络安全服务平台安全l1.虚拟机隔离p虚拟机VLAN隔离p虚拟机安全组p自定义虚拟机安全规则l2.恶意虚拟机防护p防地址欺骗功能p阻断对VM端口扫描、嗅探等l3.虚拟机镜像加密存储l4.安全补丁管理p系统安全定制、检查工具l5.加固p补丁测试、自动补丁安装、回退等机制p精简加固OSl6.防病毒pDomain 0安装AV软件OSAPPOSAPPOSAPPVMOSAPPOSAPPOSAPPOSAPPOSAPPOSAPPVMVMvSwitchvSwitchvSwitchvFire

17、wall能提的平台安全服务云平台咨询服务规划服务机房与基础设施规划资源优化系统升级,快速割接云安全平台安全数据安全容灾云平台交付服务云平台运维服务目录数据安全传输安全与数据加密l基于SSL的安全传输，确保用户的数据在网络上不被窃取。l数据加密采用对称式加密算法确保加密的速度，支持多种加密算法，如DES，3DES，AES，等l数据加密密钥保存在云端，私钥无法读出，避免了恶意用户窃取到私钥而导致数据泄漏。l采用MAC算法保证数据的完整性。FWPEPE企业网数据中心数据中心部门1部门2SSL VPN基于基于SSL的安全的安全传输传输，Diffie-Hellman的密的密钥协钥协商商SSL VPN服务

18、器存储加密传输解密加密密钥存储密钥服务器支持多种加密算法的数据加密支持多种加密算法的数据加密 用户需要获取数据，需先通过多因素身份认证，才能获取该用户虚拟机权限 合法用户从密钥管理系统中获取数据属于该用户的数据密钥数据安全终端数据安全1、普通普通PC软件终端软件终端lPC通过浏览器和协议客户端访问桌面云服务器，利用云服务器的计算能力和存储能力l集中控制PC外设接口、屏幕拷贝、硬盘使用等l启动多种认证方式（指纹、密码、智能卡、短信动态密码等）l软件集中控制屏保密码2、瘦终端瘦终端l无存储设备、不保存数据l安装数字证书，确保终端身份认证l集中管理，统一配置端口禁用和启用状态l可集中设置 USB端口

19、作用，防止数据流失数据数据数据安全-文档安全解决方案文档泄密途径技术技术l 信息加密，根本保证文档安全l 合理授权，主动防止非授权用户信息泄密l 文档操作日志审计，有效追溯泄密行为管理管理l 建立安全保密制度l 加强员工的保密教育如何使用电子文档，又能防止机密外泄？向向外外分分发发信信息息1 1、信息保护、信息保护l用户加密文件用户加密文件l文件权限信息上传文件权限信息上传1 12 2、安全验证、安全验证l 用户操作认证用户操作认证l 密钥和权限密钥和权限信息信息2 23 3、信息分发、信息分发l通过通过Internet,Internet,邮件附件，邮件附件，lftpftp下载，其他存储设备下

20、载，其他存储设备3 34 4、信息访问、信息访问l接收用户认证接收用户认证l暂时获取密钥和权限暂时获取密钥和权限l授权离线操作，可缓存密钥授权离线操作，可缓存密钥4 4身份验证失败身份验证失败无法下载权限信息无法下载权限信息l禁止外部用户访问禁止外部用户访问无访问身份及访问权限无访问身份及访问权限DSM服务器服务器外部用户外部用户云平台咨询服务规划服务机房与基础设施规划资源优化系统升级,快速割接云安全平台安全数据安全容灾云平台交付服务云平台运维服务目录容灾1.潜在风险分析2.业务影响评估3.RPO/RTO设计4.管理目标设计5.方案设计6.方案实施7.方案验证8.灾难恢复计划设计9.灾难恢复计

21、划管理的容灾服务1数据集中 高可靠性 高性能 可扩展性 管理简单2数据备份 数据冗余 异地存放 系统恢复3数据流程 备份策略 介质管理 恢复演练 监督措施 绩效考核4服务器虚拟化 服务器资源整合 存储资源整合 应用级冗余5容灾系统 数据容灾 应用容灾容灾的容灾服务容灾P1(Protection Level 1)定时数据保护P2(Protection Level 2)实时数据保护P3(Protection Level 3)应用容灾保护P4(Protection Level 4)异地容灾保护容灾保护级别云平台咨询服务云平台交付服务系统平台安装系统平台测试云平台运维服务基础设施维护云平台运营SLA目

22、录系统平台安装系统平台软件安装系统平台硬件安装IBM 小型机HP 小型机SUN 小型机IBM PC ServerHP PC ServerDELL PC ServerCISCO防火墙HUAWEI防火墙CISCO 路由器HUAWEI 路由器提供安装服务云安装虚拟机安装Xen安装操作系统云平台咨询服务云平台交付服务系统平台安装系统平台测试云平台运维服务目录系统平台测试云终端云终端测试测试 侧重于设备兼容性测试和用户易用性测试：接入设备适配性测试、接入设备功能性测试、数据安全性测试等云平台云平台测试测试 侧重点是API、版本认证等：数据中心基准测试、虚拟机安全性测试、云计算平台兼容性测试等云设施云设施

23、测试测试 侧重于为厂商提供云计算产品符合性测试服务：基准测试、存储能耗测试、基础设施兼容性测试、安全性测试等云应用云应用测试测试 侧重于部署在云系统中的应用软件的可移植性和可用性测试：对应用的功能、性能、稳定性、易用性等进行体验测试、负载测试等提供的测试服务系统平台测试云平台咨询服务云平台交付服务云平台运维服务基础设施维护云平台运营SLA目录基础设施维护7x24小时现场值守监控服务 第一时间故障报告故障跟踪、反馈机房的配套设施提供基础维护 定期例会通报系统运行情况日常巡检日常清洁维护系统监测为相关设备及信息提供安全服务系系统统代代维维服服务务1 1值值守守服服务务2 2维护维护服服务务4 4日

24、常日常服服务务6 6故障故障响应响应3 3运运行行例例会会5 5机房机房安全服安全服务务的运维服务基础设施维护客户收益协助用户规范机房系统维护制度协助用户规范机房系统维护制度7 7*2424值守，第一时间故障反馈值守，第一时间故障反馈确保业务系统稳定运行，使故障对业务的影响降到最确保业务系统稳定运行，使故障对业务的影响降到最低低解决了客户维护人员不足的问题解决了客户维护人员不足的问题解决了客户机房维护的后顾之忧解决了客户机房维护的后顾之忧基础设施维护系统维保服务流程基础设施维护的服务方式 硬件故障解决服务(现场,电话)备件更换服务 硬件清洗服务 硬件状态评估服务 硬件资源迁移服务 搬迁服务基础

25、设施维护服务质量管理与考核服务质量评估标准总分加权电话支持客户将获得工程师提供的电话技术支持服务，包括技术咨询，故障分析，远程诊断，将对严重问题迅速升级，包括将问题升级到高级处理中心和派遣当地工程师迅速到达现场。客户对当次电话支持不满意并提出书面投诉，经由双方调查核实后，每次投诉扣除5分。10020%现场响应工程师应根据服务级别和客户定义的事故紧急程度，在规定时间到达现场。现场工程师响应时间定义：从工程师与客户确定需要提供现场服务到实际到达现场的时间间隔。客户对当次现场响应时间不满意并提出书面投诉，经由双方调查核实后，每超过30分钟扣除1分。10040%服务技能与服务态度工程师经由的培训和认证

26、，应具备较高的技术技能和服务水准。客户对当次工程师服务技能与服务态度不满意并提出书面投诉，经由双方调查核实后，每次投诉扣除5分。10020%跟踪维护支持将及时通告可能造成系统故障的潜在问题并提供解决方案。客户对跟踪维护支持不满意并提出书面投诉，经由双方调查核实后，每次扣除5分。10020%云平台咨询服务云平台交付服务云平台运维服务基础设施维护云平台运营SLA目录云平台运营虚拟服务器虚拟网络虚拟存储操作系统数据库中间件应用服务器测试系统基础架构作为服务基础架构作为服务 IaaSIaaS软件平台作为服务软件平台作为服务 PaaSCRM邮箱游戏企业应用软件应用作为服务软件应用作为服务 SaaS云平台

27、运营云平台运营用户管理用户管理提供用户注册、用户注销、修改用户信息、修改密码、密码重置、设置用户状态、查询用户信息、补充用户资料等用户管理相关功能。资源管理资源管理提供资源定义、资源发布、资源变更、资源审批、服务目录等功能。订单管理订单管理提供订单生成、处理、查询、更新等功能。计费话单计费话单计费话单功能根据产品订单，将资源使用计量数据转换为话单，定期向BOSS传送话单文件。客户服务客户服务包括客户咨询、客户联系等售前功能，以及客户支持（技术、帐户、计费等）、客户投诉等售后功能。统计分析统计分析提供各类资源的统计数据搜集、存储以及展示等功能。并提供灵活的统计报表输出功能。备案管理备案管理备案管

28、理功能根据政府互联网信息管理的各项要求，提供ICP/IP 地址/域名信息备案功能。云平台运营场景云平台咨询服务云平台交付服务云平台运维服务基础设施维护云平台运营SLA目录SLASLA度量标准 吞吐量 服务的响应速度 可靠性 可获得服务的时间间隔 负载均衡 当出现弹性时（例如，启动或者终止新的虚拟机）耐用性 数据丢失的可能性 弹性 明确说明限制的情况下（例如，最大存储量或者带宽），给定资源无限 增长的能力 线性度 负载增加时系统的运作情况 敏捷度 随着用户资源负载的增加和减少，供应商的响应速度如何变化 自动化程度 无人工干预的情况下，对供应商的请求得以处理的百分比 用户服务响应次数 供应商对用户请求的响应速度。这里指的是云计算按需服务和自助服务方面出现问题时需要的人工干预。SLASLA要求基础架构即服务(IaaS)指标指标应达数补偿方案吞吐量Bps,tmpc可靠性连续小时负载均衡耐用性弹性线性度敏捷度自动化程度用户服务相应次数服务等级协议SLA要求