私有云平台方案V1.1

admin管理员组

文章数量:1538738

2024年7月24日发(作者：)

私有云平台方案

（V1.1）

目 录

第一章

背景和需求分析 ............................................................................................... 4

1.1

1.2

1.3

1.4

项目背景 ........................................................................................................ 4

私有云平台需求 ............................................................................................ 4

云服务需求 .................................................................................................... 6

信息网络安全防护需求 ................................................................................ 6

第二章

平台设计原则和建设目标 ............................................................................... 8

2.1

2.2

私有云平台设计原则 .................................................................................... 8

私有云平台建设目标 .................................................................................... 9

第三章

私有云介绍 ..................................................................................................... 10

3.1

3.2

3.3

3.4

第四章

4.1

什么是云计算 .............................................................................................. 10

云计算优势 .................................................................................................. 12

腾讯私有云概述 .......................................................................................... 13

腾讯私有云优势 .......................................................................................... 14

xXx私有云平台方案 ................................................................................... 17

云平台总体架构 .......................................................................................... 17

4.1.1

平台逻辑和网络拓扑 ........................................................................... 18

4.1.2

业务高可用性设计 ............................................................................... 23

4.1.3

数据持久性设计 ................................................................................... 25

4.2

云管理平台 .................................................................................................. 26

4.2.1

终端用户功能设计 ............................................................................... 27

4.2.2

平台管理功能设计 ............................................................................... 32

4.2.3

平台运维功能设计 ............................................................................... 41

4.3

云服务 .......................................................................................................... 48

4.3.1

云主机服务 ........................................................................................... 49

4.3.2

资源迁移 ............................................................................................... 49

4.3.3

冗余备份 ............................................................................................... 50

4.3.4

快照服务 ............................................................................................... 51

4.3.5

镜像服务 ............................................................................................... 51

4.3.6

灾备系统 ............................................................................................... 52

4.3.7

业务应用运维服务 ............................................................................... 53

4.4

安全防护 ...................................................................................................... 54

4.4.1

设计原则 ............................................................................................... 54

4.4.2

设计参考标准与规范 ........................................................................... 54

4.4.3

私有云平台防护设计分析 ................................................................... 55

4.4.4

设计方案 ............................................................................................... 55

第五章

设备清单 ......................................................................................................... 73

第六章

建设与服务模式 ................................................................ 错误!未定义书签。

6.1

建设与服务模式选择 ..................................................... 错误!未定义书签。

6.1.1

自建私有云 .............................................................. 错误!未定义书签。

6.1.2

自建私有云、租用运维服务 .................................. 错误!未定义书签。

6.1.3

自建机房、租用私有云及运维服务 ...................... 错误!未定义书签。

6.1.4

租用私有云及运维服务 .......................................... 错误!未定义书签。

6.2

四种建设与服务模式对比 ............................................. 错误!未定义书签。

第七章

方案优势总结 ................................................................................................. 91

第一章 背景和需求分析

1.1 项目背景

xXx酒业服务平台（以下简称xXx）系面向线下餐饮行业实体商家提供基于移动销售

解决方案的O2O运营服务商。

随着服务用户的增加、服务商家的增加、交易额的增加，xXx对于安全可靠的网络、

稳定高可用的数据中心的要求越来越高，同时海量的交易数据需要专业的管理和维护，

满足安全、易用、高效的要求，为将来进行大数据应用打下扎实的基础。

鉴于此，xXx目前计划提升平台的信息技术骨干基础设施水平，采用私有云技术打

造xXx的IT基础平台，同时充分考虑未来的发展，为平台留有充分的可扩展空间。

1.2 私有云平台需求

公司自建私有云平台需要更为便捷的管理界面，对于自动化的运营维护要求更高，

为了便于应用服务器的虚拟化系统运维管理，满足日常维护、监控的要求，虚拟化管理

需要提供以下功能：

1. 基本功能

支持包括资源管理、动态调配、资源迁移、系统配置、用户管理、逻辑拓扑监控、

系统监控、操作日志查询和License 信息管理等功能。

2. 运维及运营管理

需要基于长期的云运维、运营管理经验，改善专业的服务器、业务服务的运维能力，

从而保障业务健康运行降低运营成本。云平台需要统一的运维及运营管理平台，具备计

费系统、账单系统、邮件预警系统、兑换码系统、BI（商业智能）、在线商店系统，运维

审计系统、流程工单、资源动态调配等功能。支持应用自动化部署，用户可以通过已发

布的模板进行应用的自动部署，系统支持一键式部署。

3. 资源的高效供给能力

计算、存储、网络等资源能灵活、快速地提供，满足快速开展的系统建设或翻新进

度要求，提升企业市场竞争力。

4. 云主机管理

支持云主机包括电源管理、重置、终止、启动控制台、制作快照、制作镜像、禁用、

数据磁盘迁移、更改配置。

5. 权限管理

云平台需要支持多租户，支持管理员分权分域的管理。分权限组角色管理限制，管

理员只能在允许的域内进行允许的操作。

6. 拓扑管理

支持统一拓扑图，提供一个拓扑界面呈现全系统的所有资源信息。可以了解计算、

存储、网络以及虚拟资源的逻辑视图。获取硬件资源、应用部署情况、虚拟机属性。拓

扑节点支持与告警关联，支持呈现对象当前的监控状态。

7. 监控管理

监控管理支持对云资源使用情况以及当前状态进行集中全面监控，收集、分析、展

示日志事件信息，自动发布设备日志报告。SNMP监控告警，基于Hypervisor RRD监控

管理；支持SMS、Email告警等多种告警通知形式。

8. 开放接口

虚拟化软件须提供开放的 API 接口，包括短信接口、支付接口、微信接口等，封装

底层云资源的统一操作，便于上层管理平台统一调度管理。

云平台能支持在微信客户端直接使用云平台服务。

9. 兼容性

支持主流的 X86 架构的操作系统，包括Windows Server 2003/2008 R2及以上版本

服务器操作系统，Windows XP、Windows 7操作系统， Redhat、SUSE、CentOS、Ubuntu、

Fedora 等多个发行版本的 Linux 操作系统。

10. 硬件自动发现

服务器与运维管理系统连通后，虚拟化软件支持自动发现服务器的配置信息，包括：

名称，位置，管理 IP，BIOS，CPU 主频、个数，内存大小，硬盘容量，网卡个数，网口

个数。

11. 网络架构需求

严格实行管理、业务、存储三网分离的冗余链路设计。其中，管理流量类型分为IPMI

服务器带外管理、交换机带宽管理、服务器管理流量；存储流量类型分为存储对外访问、

存储内部集群网络流量；业务为Trunk mod，根据不同的业务类型，划分Vlan。业务与

存储内部集群、外部访问链路均为双冗余链路， 无论是单一交换机、网卡、网线的异

常，均不对运行中的存储服务产生根本影响。硬件完全双冗余架构。网络链路的三类基

本原则：一个网口仅用于一个种类的流量；同一类流量均有两个以上网口、网线支持；

同一设备同一类流量的冗余网线，需连接到不同交换机构建全三副本备份分布式存储。

12. 网络连通性需求

云平台网络需要具有良好的扩容、开放能力。能提供建立企业与云平台、云平台与

异地机房、云平台与多网络接入运营商、云平台与腾讯微信平台之间的互联网BGP出

口、直连专线等连接能力，提供多类型高效网络连通性，以降低网络延迟，提供高质量

快速的业务服务。

1.3 云服务需求

云服务作为企业私有云平台业务应用的基础承载服务，需要满足快照、镜像、冷热

迁移、分布式防御系统、多节点全网覆盖安全稳定的网络加速服务、高性能可伸缩面向

列的分布式存储系统、以PaaS和SaaS形式提供基础运维无人值守、对多台服务器进行

流量分发的负载均衡服务、提供时间同步NTP等。

周全的云服务是优秀的企业自建私有云平台的基础需求，并且需具备强大的扩展能

力，随时升级支持更多的云服务。

1.4 信息网络安全防护需求

xXx涉足移动支付，拥有大量高度敏感机密的金融数据和隐私数据，对于企业私有云

平台的核心需求就是数据和信息安全，所以，网络安全防护、系统冗余设计、数据灾备

都是本方案设计重点。

本方案严格参照国家颁布的“等保三级”安全标准，要求网络安全防护系统，能够

免受来自外部有组织的团体(如一个商业情报组织或犯罪组织等)，拥有较为丰富资源(包

括人员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难以及其他相当

危害程度的威胁（内部人员的恶意威胁，设备较为严重的故障）所造成的主要资源损害。

1. 安全管理需求

为了云平台系统网络在日常维护和处理事件时能做到全面、直观、及时，能够对网

络进行统一的管理需满足：

1) 威胁事件收集；

2) 脆弱性漏洞统一管理；

3) 基于大数据安全智能的关联分析；

4) 全面、高效、可定制的综合风险报告；

5) 安全风险可视化监控仪表盘；

2. 网络管理需求

边界安全措施是任何一个信息系统的基本安全措施，所以也是保障云平台网络系统

安全的第一步。网络边界防护采用下一代防火墙实现。

1) 支持多种检测方法；

2) 支持多种检测方式；

3) 支持多种反应、防御方式；

4) 具备集中管理功能；

5) 系统监视及警告功能；

3. 应用安全需求

云计算服务在大部分时候都是通过Web方式交付的，因此恶意攻击也大量聚焦于

Web应用，因此针对Web服务器的防御是云计算数据中心安全建设的重中之重。 WEB应

用安全防护采用WEB应用防火墙实现。

1) 可信赖WEB应用安全；

2) WEB应用加速；

3) 细粒度应用层访问控制；

4) 智能的HTTP协议验证；

5) WEB应用防护功能多样化；

6) 超级的处理性能；

7) 卓越的稳定性；

8) 方便的管理系统；

9) SSL 加速；

4. 数据安全需求

数据处理的安全是指如何有效的防止数据在录入、处理、统计或打印中由于硬件故

障、断电、死机、人为的误操作、程序缺陷、病毒或黑客等造成的数据库损坏或数据丢

失现象，某些敏感或保密的数据可能不具备资格的人员或操作员阅读，而造成数据泄密

等后果。

1) 漏洞检查；

2) 适用对象；

3) 未声明功能检测；

4) 多网段扫描；

5) 升级机制；

第二章 平台设计原则和建设目标

2.1 私有云平台设计原则

基于实际需求，本着科学、经济合理的完成本次项目任务，并满足长远规划的要求，

在本方案总体设计中，必须充分考虑和遵循以下原则：

实用性

私有云平台建设满足项目实际需求，符合业界及公司 IT 战略规划。通过该私有云

平台建设，以期实现对 IT 资源的整合与云化，提升 IT 资源的管理能力与 IT 服务能力，

更好地支撑公司业务运营与未来发展。

运营管理智能化

通过账单系统、计费系统、商业智能报表、兑换码实现私有云平台的运营管理。

先进及成熟性

云计算平台应采用成熟的、具有国内外先进水平的，并符合云计算发展趋势的技术、

软件、设备及服务。同时，积极吸纳业界先进成熟的科技成果，能够及时更新、升级，

确保平台能力和应用能力与时俱进，以保证系统平台具有较长的生命力和扩展能力。

高可用及高可靠性

云计算平台应支持容错、自恢复、高可扩展，允许应用系统从不可避免的硬件、软

件错误中恢复，确保应用系统的正常运行和数据存储的高可靠。云计算平台应提供远程、

跨节点的容灾机制，保证业务连续性。

用户体验及可维护性

应具有一个统一良好的运营流程及功能。具有例如多租户管理、成本分摊、运营管

理、分析统计等运营流程功能。

应具有良好的用户体验，系统在设计上要充分考虑到用户的直观感受，保证给用户

带来良好的使用体验与观看体验。

云平台设计应做到流程合理，功能完善，操作简单直观，维护管理方便。其工作流

程和操作环节应直观、简洁，工作实际的需求高度结合，切实提高工作效率，提升用户

体验，降低运营成本。

经济性

合理的性能价格比是系统设计中应当考虑的重要内容。因此，系统产品在兼顾良好

功能性能的基础上应要考虑经济性，既要考虑系统当前初建成本，也应考虑系统的未来

长期运行成本，避免未来投入巨大，或者推到重来的更大成本。

兼容及扩展性

云计算平台应兼容业界通用的服务器，主流的操作系统，第三方存储，虚拟化软件，

以及应用程序。云计算平台的资源能够快速、弹性和自动化地供应，从而提供持续的云

服务能力。云计算平台应提供大规模、分布式集群的管控能力，通过增加物理设备，实

现总体网络资源、计算/存储资源、内存资源和数据库资源的自动扩展。

云计算平台应考虑到业务未来发展的需要，提供良好地横向扩展能力，即根据业务、

管理要求，跨机房、跨地区增加云计算节点，能够很好解决技术或者法律许可限制。

开放性

应用支撑平台和应用系统在设计时，考虑未来各个系统（已建，正建和将建的系统）

能够在云平台上进行互联互通，能够灵活的迁移，保证系统能与其它系统进行快速、顺

利的信息交换，便于系统扩展和升级。系统应提供开放式和标准化的 API 接口，可便捷

和第三方系统对接 。

安全性

严格参照国家颁布的“等保三级”安全标准，包括安全管理、网络安全、应用安全、

数据安全。

2.2 私有云平台建设目标

综上所述，根据调研归纳，此次私有云平台建设的需求及目标概括如下：

统筹规划、整合现在技术系统资源，全面打造可持续提供基础设施、平台和应用三

种服务形式的私有云计算平台。实现资源的按需分配、按需扩展，智能运营，实现系统

从粗放型分散建设向集约型云计算模式转变，最终形成统一的以“信息集成、资源共享”

为特色的云计算管理平台、云计算服务平台、云计算服务运营平台。

1. 建设开放性接入网络。建设更好的设备接入网络，提高连接效率和网络开放

性，使平台在未来能更好的连通不同网络的设备。

2. 建设云数据库平台。基于底层云平台，建设云数据库服务平台，提供高可靠的

数据管理能力。

3. 可以通过硬件F5、NetScaler系列负载均衡设备或基于开源HAProxy负载均衡

软件的方式，建设可以承载百万并发访问请求的负载均衡网络。

4. 建设跨平台云计算连通方案。提供通过微信、网页等多种方式，连接云平台，

进行产品购买、BI分析等操作。

5. 建设稳定的、支持大数据分析的平台。经过实际运营后，能通过运营数据，进

行广告智能投放、精准营销、产品定向开发等相关的大数据分析工作。

6. 建设一个支持消息推送的平台。能通过分析数据，将相关信息精准送达定向客

户，并与用户进行持续友好互动。大幅提升用户活跃度、留存率等。

7. 可以实现将xXx的IT硬件资源重新进行统一管理、统一分配、统一部署、统

一监控和统一运维。实现业务系统硬件资源的一键式分配，缩短系统搭建周

期。

8. 完成云平台的分区分层分级设计和建设，实现不同区域资源规划和安全隔离，

实现云运营、云管理、云运维、云安全、云应用等模块的标准化、流程化、可

视化。

9. 实现xXx分级管理机制的云计算运营平台，提供强大的资源管理、财务、统计

报表、云主机管理、用户分级管理、兑换码、邮件提醒系统等功能，通过这些

功能可轻松实现云主机管理，对云主机资源使用情况进行监控，同时完成xXx

分级管理和财务结算。

10. 实现云平台所涉及的资源使用数据，经过抽取、转换和装载（ETL），合并到一

个企业级的数据仓库里，经过商业智能分析，将资源使用情况从决策者角度呈

现出来，决策者根据经过提炼的结果，做出正确的判断，采取正确的应对措

施。比如：总公司分配给子公司的资源，通过BI分析后，发现使用率非常

低，总公司可以考虑回收部分资源，给出合理的资源配置，从而达到资源使用

最大化，使用成本最小化。

第三章 私有云介绍

3.1 什么是云计算

“云计算”是建立在虚拟化技术之上的一种高级的IT基础架构平台实现，通过众多

的工业标准服务器及其它组件作为其主要硬件计算平台，以软件虚拟化技术为基础形成

虚拟化的计算资源池，实现一种新型的共享基础架构的方法。

云计算并不是传统的数据中心的复制，而是一种全新的IT服务提供模式，它颠覆了

传统的用户使用计算资源的方式，通过简单的用户交互门户，实现IT资源的自主申请，

系统自动化布署；同时可以提供足够的按需可扩展的计算容量资源和能力；通过虚拟化

技术实现全新的应用服务。

同时云计算对普通使用者而言又是简单而方便的，通过B／S访问方式获取资源，

无需任何专门的技术培训，可用的服务又是多样的，不需要单独购买所需硬件及软件，

不需要系统管理与维护，可以直接从云平台中获得服务（应用）。

从外部看，云计算只是将计算和存储资源从原有的服务器迁出，并迁入到云中。用

户定义资源（系统、网络、存储、应用等）需求，云计算从它的基础设施中虚拟地装配

这些组件形成特定应用。

从狭义上看，云计算是指IT基础设施的交付和使用模式，用户可以通过网络以按

需、易扩展的方式获得所需的资源 （硬件、平台、软件）。 提供资源的网络环境被称为

“云计算”。“云计算”中的资源在使用者看来是可以无限扩展的，并且可以随时获取，

按需使用，随时扩展，按使用付费。这就好比是从古老的单台发电机模式转向了电厂集

中供电的模式。它意味着计算能力也可以作为一种商品进行流通，就像煤气、水电一样，

取用方便，费用低廉。最大的不同在于，它是通过互联网进行传输的。

从广义上看，云计算是指服务的交付和使用模式，用户可以通过网络以按需、易扩

展的方式获得所需的服务。这种服务可以是IT资源和软件、互联网相关的，也可以是任

意其他的服务。

NIST（美国国家标准及技术研究所）已经给出了云计算的概念和主要特征及部署形

式，按NIST的定义，云计算应该包括五个特征，三种服务模式，四种部署形式。

五个特征包括：

 按需自服务特征

用户可以按需自己部署计算资源（服务器、网络、存储等），而不需要服务提供者干

预。

 足够的网络访问能力

具有足够的网络访问带宽能力，支持广泛的终端类型（如PC、无盘工作站、手持终

端等）。

 共享资源池

服务提供者把计算资源形成资源池服务于多个用户及多种服务模式，物理资源和虚

拟资源可以动态分配和共享及再分配。用户不用关心具体使用资源的物理位置。

 弹性快速部署特征

不像传统应用的安装方式，云计算可以实现灵活快速的部署应用的特征，以硬件模

板、系统模板、应用模板等方式任意组合为应用需求，并且在几分钟内完成资源的部署。

 服务可计量的特征

云计算系统能够控制并测量用户使用服务的相关信息，如用户使用硬件大小，软件、

应用类型、网络流量及使用时间等，从而可计算出用户使用资源的情况统计。

四种部署形式：

 私有云（单一组织私有）

 社区云（多个组织或社区共享）

 公共云（单一组织创建，服务于公众）

 混合云（上面三种云的组合）

3.2 云计算优势

 超大规模：“云”具有相当的规模，企业私有云一般拥有数百上千台服务器。

“云”能赋予用户前所未有的计算能力。

 扩展性：可以将复杂的工作负载分解成小块的工作，并将工作分配到可逐渐扩

展的云计算中心；而需要增加的管理费用几乎为零。云的规模可以动态伸缩，

能够满足用户不断增长的应用和用户需求。

 自动性：“云”计算平台具有自动化管理功能，用户可以通过用户门户，自主

申请计算资源和应用，按需要建立自己的资源环境，而整个过程是不需云平台

管理员的干预，云平台只需自动记录用户使用资源的相关信息（如硬件大小、

软件信息、应用信息等）和使用资源的时间等。

 有效性：基于服务为导向的架构，可以动态地分配和部署共享的计算资源。

 灵活性：可以支持各种计算机应用类型，在云的支撑下，可以支持并实现各种

应用。

 高可靠性：“云”使用了数据多副本容错、计算节点同构可互换等措施来保障

服务的高可靠性，使用云计算比使用本地计算机更可靠。

 动态性：能够监控计算资源，并根据已定义的规则自动地平衡资源的分配。

 虚拟性：用户从“云”中获取计算资源，申请的资源不是固定的、有形的实

体，计算资源的物理位置及底层的基础架构对于用户来说是透明和不相关的，

用户通过简单的界面使用资源，并感觉自己独享资源。

云计算平台，对于提供信息服务、降低IT管理复杂性、促进创新，实现绿色IT，节

省能源消耗，提供SLA、 QoS以及通过实时工作负载均衡来提高响应能力而言，是一种

经济有效的模型。它能迅速发布应用程序，也能随需扩展应用程序，使得瞬间在成千上

万台服务器上扩展应用程序成为可能。另外，云计算平台大量采用虚拟机技术，可以在

几分钟内快速完成系统和应用的部署。具有无比的优越性和先进性。

3.3 腾讯私有云概述

随着云计算的技术热点的出现及其给数据中心带来的具大优势与资源灵活应用与

整合的特点，越来越多的数据中心都在向云计算方向改造和发展，针对集团用户，我们

建议使用腾讯私有云（单一组织私有）。

通过腾讯私有云，既可以实现整体平台硬件与应用整合，又能适应未来新的硬件扩

展与应用的增加，达到一个无限的大统一硬件资源池（服务器、网络、存储等），在资源

池中灵活的分配和调度应用资源的需求，满足应用SLA服务质量的保证。同时还可以节

省大量的软、硬件的投资成本，提高管理效率，增加应用的灵活性。

典型的私有云平台包括云计算服务器集群（核心应用系统）、云计算存储集群、云计

算平台管理平台。

云计算服务器集群（核心应用系统）：是腾讯私有云平台中主要运行虚拟机及应用

的核心计算资源的组成，它是由一组物理服务器组成，形成统一的资源池，包括cpu、

内存、网络资源池，配合存储系统部分的存储池，构成一个统一的可配置的资源池，用

户的核心应用及未来的应用都会从资源池中获得资源分配并运行在其上，通过其高级的

功能资源平衡调度、虚拟机高可用性、虚拟机的在线迁移、电源节省等可以更有效地、

灵活地分配和调整应用的资源，实现高效、可靠、稳定、灵活、快速、方便、易扩展等

特点。

云计算存储集群：是腾讯私有云平台中主要应用数据和虚拟机存储池统称，是实现

服务器集群的核心数据支撑系统。

云计算平台管理平台（腾讯BOSS平台）：实现对整个云计算平台的管理，主要完成

数据中心、网络、虚拟主机及集群管理、计算资源管理、虚拟机分配、资源调度、高可

用性集群管理、虚拟机在线迁移、虚拟主机维护、存储池管理、电源管理等高级特性，

主要完成云计算平台功能核心管理，完成不同用户的资源使用监控、统计、报表与云资

源申请等功能。

腾讯私有云平台典型拓扑图

3.4 腾讯私有云优势

私有云平台作为企业业务应用的基础承载系统，其可靠性和安全性变得尤为重要。

作为领先的云服务提供商我们一直非常重视和企业如何在保证业务正常运行的前提下

降低IT支出成本，使客户更专注于业务本身。国内外企业在过去的几年的时间里纷纷选

择高品质的腾讯云平台解决方案，这已经成为企业用户云平台建设的主流选型。

技术先进、成功案例、全面的解决方案、服务商的生命力、售后服务支持能力是用

户选型需要考虑的主要因素，除了企业重要的核心业务应用需要运行在高品质的健壮的

云平台上这个原因之外，腾讯还具有以下优势，为企业用户提供更好的服务：

➢ 可定制的特性需求

➢ 云平台建设的咨询服务

➢ 全面的解决方案

➢ 与合作伙伴提供整体方案

➢ 腾讯是业界专注于云平台且具有很强生命力的服务商，可以为企业用户提供持

续不断的技术支持、技术升级和售后服务

➢ 腾讯拥有强大的研发能力

➢ 腾讯高效的服务体系

腾讯私有云在行业中的优势还体现在以下几个业内领先的系统和服务：

1、腾讯技术自主研发的运营支撑管理系统（BOSS系统）可实现对在线运行的云主

机进行管理、维护及计费，对云主机的运行情况进行统计分析。同时腾讯独创的收集器

和控制器独立组网方案，对接云主机专用服务器的管理接口，可以将管理数据流和业务

数据流分离，保障业务繁忙时依然可实时的对云主机进行管理、控制和运行情况分析。

用户可通过腾讯技术自主研发的用户自主管理系统管理自己云主机，对云主机进行

启停操作、快照管理、日志管理、统计查询以及弹性扩容等。

腾讯BOSS系统软件界面

2、云灾备整体服务：可以提供本地和异地的时时、定时灾备，增量、差异灾备等。

面对服务器、办公电脑、个人电脑提供文件、数据库、整机（数据+业务软件+操作系统）

不同级别的灾备服务 。

3、云桌面：云桌面又可以称之为虚拟桌面，通过服务器虚拟化技术，将服务器资源

虚拟成多个独立操作系统可识别的虚拟主机。再使用专有的网络协议，通过云终端设备

连接到对应的虚拟主机桌面，使用体验与PC相同。从而达到降低桌面成本、简化桌面

管理、提高业务连续性、增强安全性、让企业IT更绿色节能。

4、网络安全服务: 网络安全防护方案将能够及时发现安全漏洞和安全事件并进行防

护，对以下安全威胁和风险可以进行有效防护：最新网络安全威胁技术—“高级逃避攻

击”、APT、缓冲溢出、蠕虫、特洛伊木马、后门攻击、DoS/DDoS、端口扫描、非法越权、

WEB攻击、P2P攻击、VoIP 攻击、SQL注入、目录穿越。

5、腾讯的产品符合可信云及等保云要求，也可协助客户私有云申请可信云、并且能

够按照国家颁布的“等保三级”标准要求提供“云中心”安全方案。

6、依托腾讯私有云强大的资源管理能力，结合腾讯私有云BI、兑换码、动态计费、

财务功能，可以将企业对云计算资源的管理提升为运营的高度，做到前期各个项目云资

源分配的公平性，后期各个项目云资源使用的把控，从而真正实现云计算的价值。

第四章 xXx私有云平台方案

4.1 云平台总体架构

xXx私有云将在企业自建机房内搭建，在符合要求的机房内架设机柜、服务器、存

储设备、网络设备、安全设备等，安装腾讯私有云管理平台，实现企业私有云的快速建

设和使用。

4.1.1 平台逻辑和网络拓扑

4.1.1.1 平台逻辑示意图

4.1.1.2 网络拓扑图

严格实行管理、业务、存储三网分离的冗余链路设计。

其中，管理流量类型分为IPMI服务器带外管理、交换机带宽管理、服务器管理流

量；存储流量类型分为存储对外访问、存储内部集群网络流量；业务为Trunk mod，根

据不同的业务类型，划分Vlan。

4.1.1.3 网络连通性

支持多种类型ISP链路的接入，例如专线、多运营BGP互联网出口等，并且可以

实现链路的负载均衡。支持多种类型连接介质，如光纤、RJ45线缆等。支持私有云连接

腾讯云专线/VPN链路，能高效连接腾讯云网路，例如：腾讯公有云，腾讯微信平台等。

能提供多种方式，高效连通了企业私有云与异地数据中心之间、私有云与腾讯云生态之

间、私有云与企业办公大厦之间的网络。网络连通的多样性、开放性、可靠性，能保障

客户的业务服务，更加高效、灵活、稳定。

4.1.1.4 防火墙网络拓扑

4.1.1.5 存储网络拓扑

存储内部集群、外部访问链路均为双冗余链路。无论是单一交换机、网卡、网线的

异常，均不对运行中的存储服务产生根本影响。

存储网络集群连接方式如图：

4.1.1.6 业务网络拓扑

业务网络与存储访问网络类似，均采用双冗余交叉链路。

业务网络交换集群设备堆叠方式如图：

4.1.2 业务高可用性设计

4.1.2.1 高可用设计理念

高可用性在计算机系统架构设计中，是必须考虑的重要一环。任何单点故障，均有

可能导致业务无法持续运行，对业务中断导致的附加损失更是不可估量。

网络、网线、交换机、防火墙等物料，均采用2N架构，极大降低故障对业务可用

性的影响。网络链路的2N架构原则：

1. 一个网口仅用于一个种类的流量；

2. 同一类流量均有两个以上网口、网线支持；

3. 同一设备同一类流量的冗余网线，需连接到不同交换机；

4. 防火墙采用桥接透传双链路，主备的方式部署，以防止设备硬件故障影响可用

性；

推算节点服务器实行按一个资源池一个组，每组约10至16台服务器，拥有至少1

台冗余服务器的原则部署。当运行中的服务器需要检修时，可将其云服务器全部Live

Migrate搬迁至冗余服务器中，检修期间不影响云服务器的正常运行。

4.1.2.2 主要软硬件高可用推算方式

根据高可用行设计后，所有组件都需存在科学的冗余组件。若单一组件的故障率若

为F，其双冗余资源组高可用性均为1-(1-F)(1-F)。

硬件完全双冗余架构，可用性推算公式为：

P =

∏

[1 - ( 1 – F

n

)²]

注：Fn为双冗余架构中，所有影响业务运行的串联设备中，第n类设备。

单一设备可用率=设备平均修复时间÷(平均无故障事件+平均修复时间)。云主机整

体运行环境可用性为：

冗余推算服务器可用率X 冗余存储服务器可用率 X 冗余业务交换机可用率 X冗

余存储交换机可用率X冗余虚拟化软件可用率X 冗余下一代防火墙可用率 X冗余入侵

检测防火墙可用率 X冗余WEB安全防火墙可用率。

4.1.2.3 主要软硬件高可用推算过程

硬件单一平均无故障时间(MTBF)列表如下：

设备类型

推算服务器

存储服务器

业务交换机

存储交换机

防火墙设备

虚拟化软件

MTBF大致时间

148500小时

148500小时

196496小时

196496小时

65789 小时

29711 小时

2 小时

2 小时

2 小时

2 小时

2 小时

0.5小时

平均修复时间

注：软件可用性通过历史实测运营数据统计。

单一设备推算、存储服务器故障率约为：

F1 = 2÷(148500 + 2) ≈ 0.3732205

冗余设备推算、存储服务器可用率约为：

1 – (1-F1)² ≈ 0.999999999824147434549

单一业务、存储交换机故障率约为：

F2 = 2÷(196496 + 2) ≈ 0.6434671

冗余业务、存储交换机可用率约为：

1 – (1-F2)² ≈ 0.99999999989648798979

单一虚拟化软件故障率约为：

F3 = 0.5÷(29711 + 0.5) ≈ 0. 7488682833246386079

冗余业务、存储交换机可用率约为：

1 – (1-F2)² ≈ 0.99999999971682733893

单一防火墙设备可用率约为：

F4 = 2÷(65789 + 2) ≈ 0.73636255

冗余防火墙可用率约为：

1 – (1-F2)² ≈ 0.99999999978652402612

云主机运行环境总可用性：

冗余推算服务器可用率X 冗余存储服务器可用率 X 冗余业务交换机可用率 X冗

余存储交换机可用率X冗余虚拟化软件可用率X 冗余下一代防火墙可用率 X冗余入侵

检测防火墙可用率 X冗余WEB安全防火墙可用率，推算结果约为：

99.9999997227648641656 %

注: 此可用性为云平台可用性保障结果，不含机房基础设施部件(机柜承重、空调系统、电力系统、核心网络)。

4.1.3 数据持久性设计

4.1.3.1 数据持久性设计理念

数据丢失，常被认为是计算机系统最严重的事故之一。持久性存储就是某种形式的

非易失性存储，这种存储在重启计算机或设备时也不会丢失。对普通计算机来说，数据

持久性保障就是确保硬盘中存储的数据不被丢失。在数据持久性设计方面，我们常见的

技术有Raid技术、纠删码校验技术、全副本技术。

Raid技术经过多年应用，以良好的性能、较强的稳定性、较低的使用成本，被广泛

使用。在出现硬盘故障，Raid降级时，其存储性能往往非常低效，恢复过程中硬盘校验

带来的压力，使Raid恢复时间较长。

纠删码技术为编码容错的新秀技术，其提供较好性能的同时，对存储空间利用率带

来很大提升。纠删码的缺点也比较明显，引入额外的编码、解码运算，分布式系统的推

算能力和网络都有一定额外的要求，而且稳定性还有待时间的考验。

完全副本技术，在引入数据块分布存储后，得到重新利用。完全三副本技术以极强

的稳定性、高效的恢复速度、强一致性被广泛使用。其缺点明显，随着副本数的递增，

对成本的要求较大。完全三副本技术适用于对数据持久性要求很高的云平台中。

我们以构建完全三副本备份分布式存储为例说明，说明分布式完全三副本存储为我

们提供的数据持久性保障。此处数据主要考虑存储服务器硬盘中的数据，推算数据不丢

失概率。

4.1.3.2 数据持久性计推算方式

完全三副本备份时，前提条件为：

每个数据分块有n 个副本，此处n=3；

单个副本所在的磁盘月故障率为u；

磁盘恢复时间为 w 小时；

数据持久性概率推算公式为：P = 1 – u * {[w*u/(30*24)]}

n-1

4.1.3.3 数据持久性推算过程

根据SSD硬盘工业标准，磁盘的平均无故障时间为：

SSD硬盘MBTF约为：2000000小时

对于SSD，监控告警、发现、替换硬盘时间约为0.5小时，6T 硬盘恢复数据时间近

3小时。平均故障修复时间约为w=3.5小时。月故障率约为：

u = 平均修复时间÷（平均无故障时间+平均修复时间）≈ 0.00000175

P

ssd

= 1 – u * {[w*u/(30*24)]}

n-1

= 1 – 0. 00000175 *{[3.5*0. 00000175/(30*24)]}

2

= 0.99999999999999999999987335581838

根据SATA硬盘工业标准，磁盘的平均无故障时间为：

SATA硬盘MBTF约为：1200000小时

对于SATA，监控告警、发现、替换硬盘时间约为0.5小时，1T 硬盘恢复数据时间近

0.5小时。平均故障修复时间约为w=1小时。月故障率约为：

u = 平均修复时间÷（平均无故障时间+平均修复时间）≈ 0. 00000833

P

sata

= 1 – u * {[w*u/(30*24)]}

n-1

= 1 – 0. 00000833*{[1*0. 00000833/(30*24)]}

2

= 0.99999999999999999999888501246721

由于数据块既有可能在SSD，也有可能在SATA硬盘中，而P

ssd

>P

sata，

故取最小值得到

数据持久性概率：

P=min(P

sata

,P

ssd

)=99.999999999999999999888501246721%

4.2 云管理平台

提供高稳定性业务运营云主机管理平台，平台建设从xXx需求出发，跨越平台归属、

功能服务、用户权限、项目规划等维度，集成多模块设计，具备管理权限管控、节点地

域规划、资源量管理监控、项目权限、服务权限、用户权限、计费系统等属性。

云计算管理平台

微

信

公

众

号

付

款

方

式

服

务

开

通

管

理

报

表

网

上

商

店

后

台

功

能

系

统

管

理

计

费

财

务

销

售

系统以服务、业务运营和管理为核心，以关键性事务操作（服务和计费为重点）作

为系统的主要功能，为xXx提供一个综合的业务运营和管理平台。

通过平台系统的管理，用户可随时调配及按需求去使用自己需要的服务，而系统亦会按

使用资源量及使用时间去计费，最小可细微至小时级的计费。

因平台具备以上属性，从运营支持功能的角度出发，可实现三个维度的功能设计划

分：

4.2.1 终端用户功能设计

终端用户即为云主机服务最终使用方，可以是子公司、部门、事业部、项目组、外

部合作伙伴等，xXx内部资源使用或将资源分配至外部使用，都会用到此部分功能，实

现多用户管控自动化。终端用户在平台上创建账号、购买开通资源、调节弹性配置、账

单结算等，均实现全程系统自动化无后台手工操作，并可全权管理、监控自属账户及资

源用量。xXx总部可以自由定价，以实现对计算资源的合理分配和按需节约使用。

一、 自助购买系统

终端用户可在云管理平台自行注册账号。

账号审核通过后，可在云管理平台的在线商店界面自助下单购买云主机服务。虚拟

数据中心地点、云主机配置、系统模板、计费周期均为自主选择项目，可自由组合。

二、 云主机管理

终端用户可在云管理平台的云中心界面实时查看已开成功开通的云主机列表，并能

实现开、关机等基本操作。

用户可自助重置云主机并更换已预装的系统。

用户可以随时在原资源配置基础上增加弹性配置，弹性部分计费精确到小时级别。

三、 资源使用情况监控

用户可实时查看相应云主机服务的各项资源使用率报表。

四、

账单系统：

终端用户拥有自己的账单系统，可查看月度账单和当月资源购买花费详单。

五、 子账户管理

每个终端用户可自行开通使用云主机，每个用户注册时使用的账户信息即为本账户

的管理员，管理员有权限设立子账号查看此账户下的云主机情况，并根据子账号的角色

定义其权限内容。

六、 邮件预警系统

终端用户的账号内发生任意状态变更，均会收到系统自动发出的预警邮件，欠费停

机通知会提前7、3、1天各发一次。

七、 账单系统

系统自动统计终端用户资源使用清单，根据平台管理员设定的资源单价，生成月度

账单，可作为平台与用户间结算依据。xXx可利用此功能，分账号查看对外资源使用情

况及资费信息。

4.2.2 平台管理功能设计

平台管理功能针对私有云平台拥有者开发设计，为xXx定制化集成了在线商店系统、

终端用户管理、角色权限管理、兑换码系统等功能模块。可满足xXx全局管理私有云平

台资源，实现对内分配资源自用，对外分配资源使用。同时满足平台内部不同层级间的

账务结算。

一、 分级管理系统

管理平台设计为多层级管理模式，总控平台下可设定层级平台，每个平台独立存在，

分别个性化定制。总控平台归属于xXx总部进行全局管理，每个项目、合作伙伴均可拥

有自己的层级平台，自行管理资源使用和计费系统。每一个项目、合作伙伴使用资源的

结算价格及方式可按照公司需求设定。

二、 个性化定制平台

总控和下级两个层级拥有平台定制功能，分别享有独立管理的平台系统，总控平台

可以监管下级平台，同层级平台除了结算关系，不能互相干扰。平台均可个性化设置，

每个平台使用一套独立的在线商店模板，语言、界面排版、结算货币等均可自主设置。

三、 在线商店系统

云管理平台集成了在线商店模板，平台管理者可使用模板调整各项设定，完成定制

化云服务商店。公司总部商店为内部自用资源取用的途径，可设置相对应的资源组合及

计费周期模式，也可将价格设置为“0”。即使无计费产生，内部使用的资源情况还是可

以在平台中以多种形式展现。

四、 终端用户管理

管理员可浏览并管理平台下所有终端客户的账户，也可在管理端直接为终端客户创

建账户，免除客户自行注册账号的步骤。

五、 角色权限管理

除超级管理员外还有针对不同职位的账号角色可供选择，管理员有权限赋予不同的

账号不同角色，并可针对特殊角色自定义权限内容。平台管理者账号需要在用户管理模

块中创建。

可在管理端创建管理账号。

如需更改某个账号描述或权限，可在选择该账号编辑修改。

进入用户管理模块下的用户角色页面，可查看所有权限的相关信息。

六、 用户分级管理功能

平台管理员可以将终端用户账号提升至子管理级别，子管理账号可以管理分配至其

账号下的终端用户账号。管理员可以定制生成子管理账号专属推广码，终端用户使用推

广码后，系统自动将此用户分配至子管理账号下。子管理账号可管理下属账号的资源使

用和计费。

七、 VIP用户机制

平台管理员拥有编辑账户资料的界面，针对VIP客户，可以选择跳过账户暂停功能，

使用的资源是否缴费就不再作为账户可以激活运行的约束条件，跨越余额审查也可以增

设条件，例如：欠费不超过1个月或者欠款额度不超过1000。

八、 兑换码系统

管理员可使用系统平台的电子商务模块自主编辑生成不同金额的兑换码，兑换码可

实现代金券的功能为终端用户的账户内充值。例如，总公司给子公司在平台上开通终端

用户账户，并在固定时间段分配固定金额的兑换码，子公司充值后消费开通云主机资源

使用，总公司可实现全局管控。

九、 报表系统

平台内部集成了强大的报表系统，管理员可查看各方面的统计信息，包括但不限于

资源使用清单和余额信息，满足审计要求。可以根据需求通过不同的条件自定报表，并

可以将这些报表以html或excel格式导出。

xXx可使用月度应收报表查看每个云中心节点资源使用及终端用户应付金额，以此

为依据进行结算。

xXx可以使用兑换码收益报表查看每个终端用户兑换码及金额使用情况，便于统计

兑换码利用率。

十、 财务录入系统

当合作伙伴或某项目以线下形式付费，xXx作为平台管理者需要添加一条付款记录

至相应账户内，平台支持手动财务录入功能，更新付款金额、交易日期、交易详情。可

以实现收款和调账两种不同财务逻辑，需要选择对应的服务项目。

付款：

调账：

当管理员需要添加一条调账记录时，可选择如下调账类别：

对于收费/减免，记账将会建于服务层；对于另外两个类别，记账将会建于账户

层。

当调账的交易类型为其他调整时，无须选择对应服务。

当提交了付款或调账请求，记账将会立即建立。对于暂停服务的账户，系统会自动

触发激活流程，同时将服务状态由暂停更改为激活。

十一、 BI系统

平台自身具备良好的可管理性。通过管理平台，管理员应能够对全网设备的健康状

态、异常日志、设备配置等信息进行统一监控，并可根据要求，手动或自动出具运行状

态报告。

此外，针对本平台内的数据流也具备足够的可管理性：针对处理器、内存、磁盘、

带宽，能够提供图表。

但是对于管理者只能通过企业信息化负责人统计的数据凭感觉做出决策，不能提供

更加精细化的、直观的、简单易懂的数据报表显示全部云主机的负载情况。

腾讯提供了强大的商业数据报表功能，作为BI商业智能的关键是从许多来自不同

的企业部门的数据中心提取出有用的数据，经过抽取、转换和装载，即ETL过程，合并

到一个企业级的数据仓库里，从而得到企业数据的一个全局或某角度视图，将知识呈现

给老板，为老板的决策过程提供快速而准确的支持。

成熟的BI功能为用户方提供商业数据报表，用户方可使用BI智能商业报表的数据

结合私有云的高可用性灵活的给出合理的VM配置，从而达到服务器资源使用的最大化，

使用成本的最小化。平台集成BI商务智能模块，管理者可查看各终端用户资源使用率

排名及趋势，可作为平台管理终端用户的参考依据。

十二、 云中心管理系统

平台部署根据控制节点划分服务器集群，每一组资源池以不同云中心的形式呈现在

系统中，管理员可针对不同云中心节点独立规划设置。根据xXx需求，可将云中心一部

分规划为内部使用，余下为外部结算资源，分开设置资源单价；也可将不同属性的云中

心选择性开放给终端用户。

十三、 邮件预警系统

系统自动统计全平台即将进入下一个计费周期的账户，按照剩余7、3、1天逻辑生

成预警邮件，自动发送至管理员邮箱内。预警通知邮箱列表可根据平台管理者需求自行

设置。

4.2.3 平台运维功能设计

为xXx搭建的私有云平台，集成运维功能设计，运维人员可以通过平台快捷监控资

源使用及运行进程，结合SOP管控流程规范人员操作，保障系统无失误、无故障稳定运

行。

一、 订单管理

平台下每一个开通、修改云主机服务等操作都被视为一个独立的订单进行自动化作

业，运维人员可实时查看全局订单进行状况。如遇订单处理故障，系统会自动告警，通

知运维人员在平台上进行手动归正操作。

二、 平台层面云主机管理

运维人员可管控平台下各个终端客户的云主机，

可以使用禁用功能将云主机网络

带宽限制为1KBps，以阻止云主机发起DDoS攻击。

三、 价格自定义功能

通过在线商店开通资源分配给指定账户，可以自定义资源使用价格及模式，自定义

价格能够选择是否附加时限，超过时间后自动恢复成系统标准价格。

四、 实时监控系统

运维人员可以通过实时监控功能对网络加速和云网络进行监测和控制。

在实时监控模块有7个功能：

•

•

•

•

务器

•

服务器

•

•

平台监控，包括所有服务

云计算平台（全部）, 包括所有云计算平台上的服务器

云计算平台，包括云计算平台上合作伙伴所拥有的所有服务器

网络加速平台（全部），包括所有网络加速平台上的所有网络加速服

网络加速平台，包括网络加速平台上合作伙伴所拥有的所有网络加速

云计算服务，包括所有云计算服务

网络加速服务，包括所有网络加速服

在实时监控报表中有两个部分，上半部显示了运作中的服务及其健康状态。下半

部分显示了其他使用中服务及其健康状态

在监控界面共有三种健康状态：

•

•

•

FAIL

WARNING

PASS

当健康状态为“FAIL”时，用户将被提醒，且应该立即处理该问题。当健康状态

为“WARNING”时，用户应该在办公时间处理该问题，或在第二天进行处理。

要查看服务详情及健康状态，双击服务记录，将会弹出如下界面：

要查看实时健康监测报告，点击“即时检查”按钮，系统将会立即测试该服务

（如dig、ping、telnet等）并显示结果

在实时检查结果界面点击“详情”按钮，将会显示测试详情

在实时监测功能中，如果用户在确认了健康状态结果后想要关闭网络加速POP服务

器用户，可以在状态详情界面点击“关闭”按钮。网络加速路由将会自动指向下一个

可用的POP服务器

除了实时健康住状态检查，系统还将对所有测试/使用中的服务每5分钟执行一系

列监测命令。用户可以点击“启动自动刷新”按钮从系统历史记录中获取最新的健康

检查结果

五、 平台总资源量监控：

运维人员可在平台上实时查看云中心资源报表，每一项资源的使用情况均会详细列

出。

六、 云服务测试功能

运维人员可根据平台管理员的要求，给终端客户开通云服务测试，测试时间默认不

超过七天，也可根据实际情况调整测试时限。服务处于测试期内，不产生任何费用，无

结算关系。

七、 邮件预警系统

系统自动统计即将到期的测试账户，邮件通知平台运维人员。

八、 磁盘迁移功能

一个云主机的网络硬盘可能被分配在不同的储存库，运维人员可以使用云管理平台

中的“迁移云主机”功能将一个云主机所有网络硬盘迁移到相同的储存库。

九、 运维监控功能

虚拟资源池总资源概述，如图：

资源池使用率直观图表，如图：

资源池管理资源分布列表，如图：

资源池中设备详细清单，如图：

资源池中，告警历史记录，如图：

告警阀值及通知邮箱设置，如图：

4.3 云服务

4.3.1 云主机服务

云主机采用XenServer虚拟化系统，支持主流的 X86 架构的操作系统，包括

Windows Server 2003/2008 R2及以上版本服务器操作系统，Windows XP、Windows 7操

作系统， Redhat、SUSE、CentOS、Ubuntu、Fedora 等多个发行版本的 Linux 操作系统，

提供稳定、安全的云主机服务，其特点：

分区：在单一物理服务器上，可以同时运行多个云主机。

隔离：在同一台云主机服务器上运行的多个云主机实例彼此完全隔离，互不影

响，任何云主机的故障，包括病毒感染、黑客攻击等，都不会影响其他的云主机。

封装：云主机将硬件配置、操作系统以及应用等整个系统封装在文件里。

硬件独立：一个云主机可以在其他云主机服务器上不加任何修饰地运行，降低

了软件对硬件的依赖性。

4.3.2 资源迁移

资源迁移是动态数据中心的重要功能，当硬件资源不足或需要维护时，通过资源迁

移功能将VM迁移到新的硬件资源上，保证系统平台的高可用性，有以下特点：

➢ 无缝迁移，业务不中断；

➢ 无损迁移，配置不改变；

➢ 支持跨Pool云服务器迁移；

4.3.3 冗余备份

私有云环境配置冗余架构，无单点故障，保证平台高可用性，做到物理设备与物理

设备的实时备份，虚拟层与虚拟层实时备份，业务、管理和存储网络均采用冗余机制。

业务和管理冗余网络

存储冗余网络

4.3.4 快照服务

为云主机系统盘提供每日定时备份

保留7日备份数据

出现故障，客户可随时还原至任意备份日期

4.3.5 镜像服务

预装开发环境、主流框架和数据库等软件，生成镜像，通过该镜像可快速恢复系统，

提高工作效率。

为云主机系统盘创建镜像，同时安装多个云主机系统、重装或快速恢复系统时使用

该镜像。

一个云主机中最多可以创建128个镜像。

可以使用镜像重置云主机或快速开通云主机。

4.3.6 灾备系统

灾备系统采用的 True CDP 技术结合传统的完全备份、增量备份和差异备份技术，

为数据备份提供全面、差异化的解决方案。

差异、增量备份

主体架构

4.3.7 业务应用运维服务

云主机的资源监控，已能通过云平台设定阀值，监控CPU、内存、带宽、磁盘IO等

资源。云主机内部监控，将会通过Zabbix的方式，对云主机内部更详细的内容进行精准

监控。

另外，我们可根据需求，保留云主机的历史通信记录，包含”五元组”等

详细网络记录。

4.4 安全防护

4.4.1 设计原则

严格参照国家颁布的“等保三级”安全标准，要求网络安全防护系统，能够免受来

自外部有组织的团体(如一个商业情报组织或犯罪组织等)，拥有较为丰富资源(包括人

员能力、计算能力等)的威胁源发起的恶意攻击、较为严重的自然灾难以及其他相当危

害程度的威胁（内部人员的恶意威胁，设备较为严重的故障）所造成的主要资源损害。

4.4.2 设计参考标准与规范

总体设计参考了以下标准与规范：

中共中央办公厅、国务院办公厅 [2002]17 号文《国家信息化领导小组关于我国

电子政务建设指导意见》

ISO17799/BS7799：《信息安全管理惯例》

1983 美国国防部（DoD）橘皮书：互信任计算机系统评估（TCSEC）

1987 红皮书：互信任系统评估标准（TNI）的互信任网络诠释

1988 ISO 7498/2 安全体系

1989 IT 安全标准目录（ZSI 信息技术安全标准，德国）

1991 TSEC1.2（信息技术安 全评估标准）关于信息系统安全 的欧洲标准目录

1999 GB17859-1999 （中 华人民共和国国家标准）计算机 信息系统安全保护

等级划分准则

公安部《信息安全等级保护管理办法》

公安部《信息系统安全等级保护实施指南》

公安部《信息系统安全等级保护定级指南》

公安部《信息系统安全等级保护基本要求》

公安部《信息系统安全等级保护测评准则》

ISO/IEC TR 13335 系列 标准

信息系统安全保障理论模型和技术框架 IATF 理论模型及方法论

4.4.3 私有云平台防护设计分析

根据私有云平台外网系统管理运行的特点，在管理运行安全方面主要从信息系统服

务的要求，从管理和运行角度出发，结合技术架构形成长效的安全控制机制。

在网络基础设施安全中，将采用专网技术、冗余系统设计、集中管理、安全配置等

措施，以实现私有云平台外网系统的传输层以下的数据保密性、数据完整性、可用性、

可靠性等安全服务，实现传输层以下的统一安全管理。

在计算环境安全方面，分别采用防病毒、主机入侵检测、安全配置与加固、补丁管

理、网络审计等措施，实现私有云平台外网系统的计算环境安全。

在边界安全方面，综合采用了病毒防火墙、防火墙、入侵检测和网络审计等措施，实现

私有云平台外网系统的访问控制、可用性可靠性、防否认抵赖等信息安全服务。

在安全基础设施里，采用独立安全管理网设计、综合病毒防治、安全评估和补丁管

理系统、安全管理中心、离线数据备份管理备份、双机集群技术以及应急事件响应管理

等措施，实现私有云平台外网系统的身份鉴别、数据完整性保护、防否认抵赖、可用性

可靠性等安全服务。

4.4.4 设计方案

4.4.4.1 安全管理

设计目标

为了云平台网络系统网络在日常维护和处理事件时能做到全面、直观、及时，能够

对网络进行统一的管理，因此，需要有一个统一的管理平台，能够内嵌和调用其他厂商

的监管系统，对各种设备进行自动的远程实时监控和分析，寻找出故障点和原因，以便

及时采取相应措施，并且能够对网络设备流量进行分析，同时可以将流量、配置、故障

报警、异常报警、设备利用率等分析的数据信息以直观的图形、图表形式输出到显示设

备上，方便值班人员查看网络系统运行状况。为了提高效率，避免管理员每天进行大量

的数据观察，还需要网络监管系统拥有自动报警的功能，当出现异常情况时能够以声、

光、电等形式进行报警，及时自动通知和提示管理员发生的问题所在。

从上面的分析可以看出，一套完全集成的、能够支持多平台基础结构、能够容纳

第三方产品并且提供开放标准的管理工具是网络监管所必须的。

部署拓扑

参数指标

安全管理由大数据安全事件管理平台、可视化运维管理平台和运维管理审计几部分

组成，详细指标参数见下表：

指标项

集中访身份管理和认证:

问控制 1. 支持运维用户口令认证、LADP认证、AD域认证、Radius认

技术指标要求

证、POP3认证、USB-Key认证；

2. 支持密码强度、密码有效期、口令尝试死锁、账户有效期、

账户激活等安全管理功能；

3. 支持树型结构的多层次的用户分组管理；可建立和运维用户

行政组织结构相同的网络组织结构；

4. 支持用户信息导出，方便批量处理；

5. 支持用户信息从LDAP/AD服务器的导入功能，支持自定义

格式的用户信息批量导入，支持将已导出的用户文件导入；

授权:

系统提供基于用户/用户组、运维协议、目标主机、运维时间段、

运维客户端IP、后台设备资源账户等组合的授权功能，实现细粒度授

权功能。

1. 提供基于用户到资源的授权；

2. 提供基于用户组到资源的授权；

3. 提供基于用户到资源组的授权；

4. 提供基于用户组到资源组的授权；

5. 提供二次授权功能。二次授权可对一些特殊的资源进行更严

格的权限审查，要求运维用户每次运维之前都要再次申请授

权，待管理员批准后方可运维；

6. 提供紧急授权功能。紧急授权可对紧急情况下无权限的运维

用户授予临时的运维权限，以解决紧急问题。紧急运维要求

运维用户事先申请临时的运维权限，待管理员批准后即可运

维。

1. 登录托管(自动登录)：登录托管实现了设备资源账户自动登

录。管理员将设备资源账户及口令配置到运维堡垒机中，运

维人员通过认证和授权后，系统根据配置策略实现后台设备

设备账

户管理

资源的自动登录。此功能提供了运维人员到设备资源账户的

一种可控对应，同时实现了对设备资源账户的口令统一保

护。

2. 密码托管：根据设定的周期，对设备资源账户实现定期自动

修改，以提高设备账户口令的安全性。

3. 账户获取：通过设备管理账户实现对其他账户的自动获取，

大大简化管理员的配置工作。

4. 账户导入导出：支持设备账户导入、账户导出功能，方便批

量处理。

5. AB列密码管理：目标设备密码需要2人分开管理，每个人

各持一半密码。

事中审计与控制：

1. 实时监控

1) 监控正在运维的会话，信息包括运维用户、运维客户端

地址、资源地址、协议、开始时间等；

2) 监控设备资源当前被访问情况；

3) 以图像方式实时监控正在运维的各种操作，其信息与运

维客户端所见完全一致。

4) 根据在线运维操作的实时监控功能，可立即中断违规的

运维会话。

2. 违规操作实时告警与阻断

根据运维规则对运维过程中的违规操作进行检测，对违规操作提

供实时告警和阻断。从而达到降低操作风险及提高安全管理与控制的

审计功

能力。

能

1) 非字符型协议的操作能够实时阻断，字符型协议的操作可以

通过命令行配置进行规则匹配实现告警与阻断；

2) 提供用户可灵活配置的告警规则；

3) 告警规则支持告警级别、告警分类和与设备资源绑定；

4) 告警动作支持会话阻断、邮件告警等。

事后审计与报表：

1. 完整记录网络会话过程

1) 系统提供运维协议Telnet、FTP、SSH、SFTP、RDP

（Windows Terminal）、Windows、VNC、AS400、Http、

Https等网络协议的完整会话记录。

2) 会话信息包括运维用户、运维地址、设备资源地址、资

源名、协议、起始时间、终止时间、流量大小信息；

2. 详尽的会话审计与回放

运维操作审计以会话为单位，提供当日会话和历史会话分类显示

和查询。支持按运维用户/用户组、运维客户端IP地址、设备资源IP

地址/账户名称、协议、起始时间、结束时间等组合方式进行会话查询。

1) 针对所有协议，提供图像形式的回放，真实、直观、可

视地重现当时的操作过程；

2) 针对命令交互方式的协议，还提供逐条命令及其操作结

果的显示；

3. 完备的审计报表功能

1) 提供运维人员操作，管理员操作以及违规事件等多种审

计报表；

2) 提供会话报表，可根据用户选定时间、用户、资源、设

备账户、IP地址等生成会话详细信息的报表；

3) 提供会话统计报表，根据协议、用户、用户组、资源、

资源组等生成统计排名报表；

4) 告警报表，可根据告警级别、资源、运维用户、协议、

时间等条件形成报表；

5) 管理报表：根据系统管理员对设备的操作日志生成报

表；

6) 管理统计报表：根据系统管理员名称、设备功能模块等

条件生成统计排名报表；

7) 综合统计报表，可根据时间、资源、用户等条件形成综

合统计报表；

4. 会话数据的备份与恢复

支持对会话数据的定期备份和恢复功能，能以FTP、SFTP方式进

行备份和恢复。

1. 四权分立：系统管理员、运维管理员、口令管理员和审计员权限

管理员

权限

分立。并可根据需要灵活定制管理员角色。

2. 支持管理员与运维设备绑定的功能。管理员只能管理与之绑定的

运维设备，不能管理未绑定的运维设备。

3. 支持密码强度、口令尝试死锁、账户解锁、账户激活等安全管理

功能。

4. 通过网管策略，可允许部分IP能网管设备，以限制非法管理员

访问设备。

网络服

务器存

储

应用发

布功能通过专业的应用发布系统配合运维堡垒机发布维护工具。

模式

应用发

布支持

PCAnywhere、IE、dame ware、常用数据库工具、常用运维工具。

程序

运维用

户访问

方式

双机热

备

内置审

计平台

网络接

入模式

支持主备模式的双机热备（HA功能）。

除FTP与SFTP以外的其他协议，如SSH、Telnet、RDP等协议，

支持以Web和客户端两种访问方式。

支持将审计数据存储到网络存储服务器中，以提高数据存储量，

同时将数据进行备份，提高审计数据的可靠性和安全性。

内置专用审计平台，无需安装外置的审计平台。

单臂模式接入。

功能阐述

1) 威胁事件收集

 安全事件：来自防火墙、数据防泄漏、IDS和IPS等的事件

 网络事件：来自交换机、路由器、服务器和主机等设备的事件

 用户或资产数据：来自身份验证和访问控制系统的相关数据

 应用程序日志：应用程序数据库、ERP等

2) 脆弱性漏洞统一管理

 统一扫描任务管理视图，屏蔽不同扫描器之间的策略差异

 实现扫描任务的负载均衡，扫描结果的资产关联

 使用CVEBugTraq实现漏洞统一编号

 不同扫描器扫描结果的自动去重合并

 企业漏洞库的集中管理

 丰富的预定义漏洞扫描报告

3) 基于大数据安全智能的关联分析

 逻辑关联，根据安全事件发生的因果关系，进行逻辑上关联分析，支持逻

辑的比较和嵌套，支持前一规则输出作为后一规则的输入，以及规则之间

的并集和交集处理等。

 资产关联，将安全事件关联到资产，过滤掉相关程度较低的事件。

 清单关联，将安全事件与被攻击目标的操作系统、提供的服务等信息进行

关联，进一步过滤没有造成安全威胁的事件。

 交叉关联，将安全事件与被攻击目标的漏洞进行关联，如果关联成功将大

大提高安全事件造成破坏的可信度。

 通过安全事件与扫描结果的交叉验证，以及不同扫描器扫描结果之间的交

叉验证，提高威胁识别准确性，大幅减少需管理员关注的安全事件数量，

减轻管理员负担，根据资产、安全事件、漏洞三者之间的关系，智能分析

多源海量数据，快速识别高危风险事件，根据预定义策略及时做出响应。

4) 全面、高效、可定制的综合风险报告

 全面－能够对资产、漏洞和安全事件进行全方位的报表统计

 准确－支持预定义企业关键风险指标(KRI)，准确定位企业安全风险

 多样化 – 风险指标计算对象可以是全网、区域、网段、主机组、主机、

网站等多种安全监测对象

 可定制－用户可以自定义报表版式，满足不同角色使用者需求

5) 安全风险可视化监控仪表盘

 集中性，提供整个IT基础架构风险事件的集中监控

 全局性，提供把控全网安全风险的全局视角

 逻辑性，提供基于各种逻辑结构的安全风险监控视图

 追溯性，支持攻击路径的溯源、区域分布等分析

 交互性，以图形交互的方式提供风险分析的灵活性

4.4.4.2 网络管理

1. 设计目标

边界安全措施是任何一个信息系统的基本安全措施，所以也是保障云平台网络系统

安全的第一步。访问控制是云平台网络系统安全防范和保护的主要策略之一，它的主要

任务是保证云平台网络系统资源不被非法使用。它是维护云平台网络系统安全、保护网

络资源的重要手段。是针对网络非法操作所提出的一种安全保护措施。网络边界防护采

用下一代防火墙实现。

云平台网络承载了各相关部门、各业务系统、各数据库等之间信息的共享、交换和

数据传输。所有这些都对网络的传输安全提出了很高的要求。 建议在核心设备上部署

入侵检测系统，实现对网络的访问进行实时监控，确保核心节点网络的安全，是保障云

平台网络系统的可用性和传输安全性的基本监控措施。

边界安全措施是任何一个信息系统的基本安全措施，所以也是保障云平台网络系统

安全的第一步。访问控制是云平台网络系统安全防范和保护的主要策略之一，它的主要

任务是保证云平台网络系统资源不被非法使用。它是维护云平台网络系统安全、保护网

络资源的重要手段。是针对网络非法操作所提出的一种安全保护措施。网络边界防护采

用下一代防火墙实现。

云平台网络承载了各相关部门、各业务系统、各数据库等之间信息的共享、交换和

数据传输。所有这些都对网络的传输安全提出了很高的要求。 建议在核心设备上部署

入侵检测系统，实现对网络的访问进行实时监控，确保核心节点网络的安全，是保障云

平台网络系统的可用性和传输安全性的基本监控措施。

2. 参数指标

网络管理由下一代防火墙和下一代入侵检测系统核心系统构成，详细指标参数见下

表：

指标项

性能及

技术指标要求

具备至少 16 个以太网电口，16 个 SFP，4 个 10GE SFP。吞吐量≥

配置要70Gbps，并发 会话数≥1100 万，新建连接≥24 万，要求设备采用 ASIC

求

和 NP 芯片对各项安 全功能进行加速优化处理。支持虚拟防火墙，默认

要求支持≥10 个，最大要 求扩展到 256 个

支持 RIP、OSPF、BGP、ISIS 动态路由协议，能够与网络无缝集成。

支持基于源地址、目的地址、协议等内容组合控制策略路由。

支持等值路由（ECMP），并支持链路权重设置。

支持基于用户身份认证的路由。

支持主‐备和主‐主 HA 方案。双机热备要能支持多种组网形式，确保可

靠性，并 且数据接口和心跳线支持冗余。

支持 NAT 和透明模式部署，在任何模式下都支持虚拟域技术和各种 HA

功能。

支持 NAT 和透明的混合部署模式。

支持 802.1Q Trunk，支持不同 VLAN 之间的数据隔离。

支持 802.3AD 链路聚合、支持端口冗余。

状态检测支持对 IP 包中 ICMP、TCP、UDP 头信息的智能过滤。

防火墙策略具备接口、地址、服务、时间、用户、带宽等的配置。

功能 支持基于 IP 网段、IP 范围、域名、反掩码等的地址定义方法。

支持基于特定源地址、目的地址、应用端口组合的会话数限制。

支持基于策略、用户组、单个 IP、P2P 应用的流量限制。

支持修改数据包 DSCP 值。

支持查看当前网络会话状态，并能根据源、目标地址、端口、协议等进行

查看过滤。

支持会话排名查看功能。

支持多种用户认证方式，包括本地、Radius、LDAP、TACACS+、Windows AD、

数字证书等。

独立的完成实时 L7 深层数据包检测，包括特殊协议检视模块，如 HTTP

模块， 以及一般检视模块，如 TCP 指纹模块。协议包括：

Ethernet, IPv4, IPv6, TCP, UDP,ICMP, HTTP, SMTP, DNS, SSH, FTP, NBT, SMB, MS

RPC, SIP, POP3, IMAP, MYSQL, Oracle, TFTP, PPTP 等。

支持 Dos & DDoS 防攻击检测和阻止。

支持基于策略的安全检测，具备基于用户的安全检测，支持改变应

用端口的检 测，例如 HTTP 8080 端口，支持协议检测（不使用端口识

别应用）。

支持 8000 种以上的入侵检测特征数目，支持特征码检测和行为检

测，并支持分级启用。

能识别常用网络应用软件（MSN、QQ、BT、eMule、迅雷、

PPStream 等），支持检测 3000 种以上网络应用，并可进行阻断。

安全功

能

支持用户自定义攻击特征。

IPS 支持在线（IPS）或旁路（IDS）方式部署。

支持 HTTP、FTP、IMAP、POP3、SMTP、IM、NNTP、HTTPS、

IMAPS、POP3S、 SMTPS 协议病毒过滤，支持深达 10 级以上的文件压

缩。

可以限制过滤文件的大小，对超大文件采取“通过”或“阻止”动作。

能够针对新的攻击方法及时升级防护手段或攻击库特征。

支持 Web 分类过滤数据库，数据库中 Web 站点数量应在 4000

万个以上。

防垃圾邮件功能支持 IP 地址过滤、邮件地址过滤、MIME 头信

息、邮件内容过 滤、RBL 实时黑名单、域名解析等多种方法。

提供 Web 管理配置，通过 Web 管理不需要使用硬件密钥或软件

的客户端。

支持 Telnet/SSH 命令行管理。

设备本身支持管理权限分级（大于 5 级：管理员、一般管理员、节

管理功点监控人员、 远程协助、特殊应用保留）

能 支持 SNMP 监视和配置，支持标准 MIB 和专用 MIB。

支持热补丁技术，不中断业务更新 DoS/IPS/防病毒/反垃圾邮件等防

护方法和特 征库。

为便于维护，设备需提供友好的中文维护界面和中文操作界面。

具备全网对设备的集中管理、统一监控。

日志功

能

支持日志输出到外置服务器，支持 Syslog 等。

日志系统支持对日志的搜索、报表、分析等功能支持样本保留功

能。

3. 功能阐述

1) 支持多种检测方法

 指纹；

 协议分析；

 协议异常检测；

 DOS/DDOS攻击检测；

 端口扫描检测；

 通过多种检测方法的综合使用获得更高精度的事件测试；

2) 支持多种检测方式

 非对称路由模式

 状态攻击识别

 协讲异常检测

 双向检测

 IP 碎片整理和TCP流重组

 DoS攻击检测

 SYN Flood攻击检测

 蠕虫攻击检测和阻断

 木马攻击检测和阻断

 Spyware 检测和阻断

 P2P 检测和阻断

3) 支持多种反应、防御方式

 Inline 中断连线

 TCP Reset

 黑名单

 Session Recording

 日志/警报

 包及连接丢弃

 流量记录

 使用透明访问控制模式的流量阻断

4) 具备集中管理功能

 “定义一次, 到处使用”的网络组件

 具有故障保护功能的远程更新管理动作

 基于规则的分析工具

 基于规则的模版和管理工作的有效继承

 用于改善性能的子规则集

 容易的系统备份和还原

 基于角色的系统管理

 拖拽式路由设定

 可视的网络布局

 组件通讯加密和认证

 简单的许可管理和监视

 策略快照

5) 系统监视及警告功能

 事件管理

 流量和负载统计数据的图形化和即时监视

 连接和黑名单监视

 可配置的警报策略

 内置测试系统:自动恢复选项

 警报方式 : SMTP, SNMP, SMS (文字信息), 用户自订指令

4.4.4.3 应用安全

设计目标

云计算服务在大部分时候都是通过Web方式交付的，因此恶意攻击也大量聚焦于

Web应用。同时，由于Web应用可与后台数据库通讯，提取存储在数据库中的保密信息，

所以Web服务器也往往成为潜在的攻击媒介，威胁数据库及存储在内的信息的安全。因

此针对Web服务器的防御是云计算数据中心安全建设的重中之重。

WEB应用安全防护采用WEB应用防火墙实现。基于签名库与模板检测、基于阈值的

限制、会话管理、流强制、基于规则的参数验证、表单及表单域篡改验证等技术，能完

整地防御OWASP Top 10的Web攻击，包括跨站脚本、SQL注入、缓存溢出、OS命令注

入、跨站请求伪造、出站数据泄漏、编码攻击、Cookie篡改/中毒、会话劫持、失效访

问控制、强制浏览/目录穿越、站点侦察、拒绝服务等攻击，提高Web应用的安全性。网

页防篡改功能还能快速修复被篡改的网页。

参数指标

应用安全主要由WEB应用防火墙实现，详细指标参数见下表：

指标项 技术指标要求

端口类型/数量：≥8个千兆电口；≥16个万兆光口

硬件平台：交换机架构及硬件数据处理芯片

硬件平台要

求

电源：配置内置的冗余电源

硬盘≥500GB

内存≥24G

性能参数要

求

应用层（7层）吞吐能力≥6Gbps

并发会话数≥1200万

高可用性：要求支持基于eVRRP的双机热备。

可靠性要求 支持硬件及软件BY-PASS

部署方式：支持透明部署及代理模式

支持对OWASP TOP 10的防御功能

支持支付卡行业PCI DSS标准

具备白名单功能，具有主动防御未知攻击的能力

安全功能要

求

支持缓冲区溢出防护

SQL 注入拦截

跨站脚本保护

规避检测

请求形式检查及请求方法检查

应用进入控制

表单完整性检测及表单格式检查

支持Cookie的完整性检测, 格式检测, 访问控制

过度请求检测

个人身份证信息防泄露

应答形式检查

为了防止WEB服务器的信息外泄, 针对对客户端提供非

真实的服务器的信息

对于用户的访问行为具有自动学习功能

要求支持7层的服务器负载均衡功能。

支持针对WEB服务器端口及内容多种实时检查模式

可以用硬件实现SSL加速功能

要求支持Serial CLI, Telnet CLI, HTTPS等管理，WEB

管理方式要求支持中文管理界面。

设备管理与

日志

需要提供除WEB管理界面外的专用监控软件；

支持实时监控图和报表生成功能，报表生成格式可以选

择PDF，EXCEL等。

可以连接日志服务器

功能阐述

1) WEB应用加速

事件polling机制：与传统的应用层事件处理方式不同，WEB应用防火墙通过优化

内核，通过事件处理加速算法加速处理事件处理效率。

动态连接池：通过维护动态连接池，维护网关与WEB服务器之间的TCP连接池，当

有新的客户端请求时不必再 去向服务器请求连接，而是复用TCP连接池中的连接，从

而提高效率并减少相应负载。

内存循环技术：为了处理一个TCP连接和HTTP事务需要分配多个缓存。每次分配

缓存时需要发生系统调用，而过多的系统调用的发生将会增加资源消耗。WEB应用防火

墙自身维护缓存Cache,在WEB应用防火墙启动时使用预分配的缓存，使用完毕重新返

还，从而大幅提高缓存使用效率并减少了为频繁分配缓存而发生的系统消耗。

2) 可信赖WEB应用安全

请求检查：通过对客户端向WEB服务器发送的请求的检查区分正常请求和非法请

求，并对于非法请求根据政策进行处理。

内容保户：检查WEB服务器向客户端发送的应答信息中是否包含重要信息或者应

答网页是否被改，并根据检查结果采取伪装、阻断等措施。。

智能学习：学习对正常WEB服务的应用程序信息，有助于方便地设置各种安全策略。

伪装URL：对真实WEB服务URL和虚拟URL进行互换，实现服务器领域虚拟化。由

于对客户端伪装真实服务器位置和信息，可以避免恶意WEB攻击。

3) 细粒度应用层访问控制

提供对于HTTP数据的细粒度的访问控制功能。通常情况下，用户通过表单等形

式，可以向Web服务器提交各种数据。但是在提交这些数据的过程中，攻击者有可能

通过提交恶意的参数值，来达到各种攻击的目的，比如注入、跨站脚本等等。

对于提交的参数的各个要素进行严格的过滤，包括参数数量、参 数名称、参数值、

参数长度等等。同时也支持对于隐含参数的恶意操纵防护企图。此外可以控制Method、

请求文件类型、上传文件类型及大小等。

4) 智能的HTTP协议验证

基于RFC规定的HTTP协议规范，对于提交的HTTP请求进行预处理，以验证是否为

合法的、非畸形的HTTP报文。通过情况下，部分攻击(如蠕虫或者缓存溢出)发出的流

量不严格符合RFC规定的HTTP协议规范。因此通过进行HTTP协议验证，可预先防御很

多攻击。

5) WEB应用防护功能多样化

所有IP协议层防护（ACL、网络防火墙、SSL、DoS/DDoS L7内容过滤、蠕虫病毒拦

截等）以及对OWASP权威的Web攻击行为统计和分类，进行强有力的防护。

6) 超级的处理性能

处理最大万兆级的网站流量；支持16个10G 端口；无延迟，无丢包，安全又快速

的WEB服务。

7) 卓越的稳定性

使用两台设备的冗余构成保障服务连续性及稳定性；

8) 方便的管理系统

全中文管理界面 Analyzer提供仪表盘、监控、信息分析及报表；

9) SSL 加速

减轻服务器CPU负荷；保证安全、高速的流量管理；

4.4.4.4 数据安全

设计目标

国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和采

用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到

破坏、更改和泄露。由此计算机网络的安全可以理解为：通过采用各种技术和管理措施，

使网络系统正常运行，从而确保网络数据的可用性、完整性和保密性。所以，建立网络

安全保护措施的目的是确保经过网络传输和交换的数据不会发生增加、修改、丢失和泄

露等。

数据处理的安全是指如何有效的防止数据在录入、处理、统计或打印中由于硬件故

障、断电、死机、人为的误操作、程序缺陷、病毒或黑客等造成的数据库损坏或数据丢

失现象，某些敏感或保密的数据可能不具备资格的人员或操作员阅读，而造成数据泄密

等后果。

参数指标

数据安全由主机加固（软件）和带外管理漏洞扫描系统构成，详细指标参数见下

表：

指标项

系统兼

容性

技术参数指标

支持运行在 AIX、HP‐UX、Solaris、Windows、Linux 操作系

统，动态提升系统安全等级，并能通 过一个安全管理中心实现统一

管理。

具有自我保护功能拒绝任何形式的非法终止、伪造、信息注入

防护功

能要求

等。

采用增强型 DTE、RBAC 和 BLP 安全模型，使用虚拟化技术实

现可视化安全域，被保护的关键业务程序、进程放入安全域，任何

未授权的请求无法对安全域内的程序进程进行访问，对于域外资

源，安全域的隔离机制会剥离病毒、恶意代码、黑客的访问权限，

使其无法对安全域内程序 进程资源进行修改。从而防止关键业务、

进程被非法终止。

具有可视化虚拟安全域技术，可实现用户与用户之间的隔离，

应用与应用之间的隔离，可将需 要保护应用的用户、进程，所需资

源(例如：文件、进程、服务、磁盘、设备、通信端口等)，添 加进

被保护应用所对应的安全域内。实现用户与系统之间的隔离。对原

有应用完全透明完全不 影响业务逻辑和业务连续性。

使用增强型的 RBAC,BLP，DTE 模型实现细粒度的强制访问控制

功能，可对文件、端口、进程、 服务、网络共享、磁盘、注册表

(仅 Windows)。等多种资源客体进行强制访问控制

根据等级保护《GB/T 20272‐2006 信息安全技术‐操作系统

安全技术要求》规定，通过对主体和客 体进行敏感标记，主体不能

随意更改权限，权限是由系统客观具有的属性以及用户本身具有的

属性决定的。

可对如 CPU、内存、磁盘、进程等。进行资源异常检测，并可

以选择报警方式如邮件等。

拥有强大的文件、账户、服务、注册表（仅 windows）完整性

保护功能。可对指定指定资源客 体，进行校验来实现完整性检测，

并能够进行恢复。

管理功

能

通过对现有操作系统的安全子系统（SSOOS）进行重构和扩充，

当扩充后的 SSOOS 的“文件对 象访问监控器”监测到系统有

删除动作时，会自动启用“剩余信息保护”模块来动态接管原系统

的 删除动作，“剩余信息保护”模块，会完全清除存储空间中的信

息。“剩余信息保护”模块的工作对 于用户来说是完全透明的，这

意味着在不必改变任何原有的业务流程的情况下，确保了用户数 据

不被恶意恢复。实现完全透明的客体重用功能。

采用了强制磁盘配额访问控制的方式。对用户所能使用的磁盘

空间进行配额限制，每一用户只 能使用最大配额范围内的磁盘空

间。设置磁盘配额后，可以对每一个用户的磁盘使用情况进行 跟踪

和控制，限制超过配额限制的用户。磁盘配额管理功能的提供，可

以避免因某个用户过度 使用磁盘空间造成其他用户无法正常工作，

甚至影响系统运行。避免由于磁盘空间使用的失控 造成的系统或应

用程序崩溃。

对系统资源进行安全、合理控制，采用了三个管理角色：系统

管理员、安全管理员和审计管理 员，不同管理员之间相互独立、相

互监督、相互制约，每个角色各司其职，共同保障服务器系 统的安

全，从而实现三权分立。

具有完善的审计功能，能够记录包括违规日志、系统日志、完

整性检测日志、自身日志等多种 类型日志，并且具有高可信时间戳

技术，生成日志的同时做冗余备份。如果删除日志，冗余备 份日志

审计功

能

会记录删除日志的动作，具有不可抵赖性。同时冗余日志中加入了

时间同步技术，更改 系统时间也不会影响日志的准确性。日志如果

被删除，可通过冗余日志对其进行还原，保证日 志的完整性和可靠

性。

动态拓扑生成技术，按用户角色自动生成拓扑图。用户可以根

据实际情况进行分组管理。

功能阐述

1) 漏洞检查

带外管理漏洞扫描系统，主要用于对企业主机，服务器，路由器、交换机、存储系

统等重要网络节点设备的带外管 理功能模块进行安全隐患扫描和检测。主要用于检查

是否存在通讯协议漏洞、管理功能已知漏洞、默认口令、弱口 令等网络安全短板；检测

带外管理系统中存在的弱点和漏洞并生成相应的报告，给出相应的安全检测报告，同时

提 出漏洞修补方案和安全加固策略。帮助用户进一步增强网络安全。

2) 适用对象

带外管理漏洞扫描系统工作中，所涉及的带外管理功能模块，目前广泛应用于各种

网络节点设备；其工作原理主要 是通过带外管理芯片为维护工程师提供硬件级的远程

管理功能。带外管理漏洞扫描系统支持对目前行业主流的带外管理芯片进行扫描和检测。

3) 未声明功能检测

带外管理漏洞扫描系统，可利用未声明功能的特征库，对检测目标对象进行扫描和

检测，并判断被扫描和检测的网络中是否存在隐患。

4) 多网段扫描

带外管理漏洞扫描系统，支持跨地域、跨网段的扫描和监测工作。带外管理漏洞扫

描系统在使用时，支持灵活部署模式，在网络可达之处，均可顺利地完成扫描和监测工

作。

5) 升级机制

带外管理漏洞扫描系统，提供丰富的、不断更新的漏洞库，并可提供多种灵活的升

级服务机制，方便客户使用。

第五章 云平台应用服务

5.1 负载均衡

负载均衡可以通过F5、

NetScaler等方式硬件设备方式进行，以应对百万并发客户请

求，而常见的

云负载均衡是对多台云服务器进行流量分发的服务，可以通过流量分发扩

展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性。提供一种有

效的、透明的方法扩展网络设备和服务器带宽。它增加了吞吐量，加强了网络数据处

理能力，提高网络的灵活性、可用性以及应用系统应对高负载的能力。

负载均衡服务通过设置虚拟服务地址（VIP），将位于同一地域的多台云服务器资

源虚拟成一个高性能、高可用的应用服务池；根据应用指定的方式，将来自客户端的

网络请求分发到云服务器池中。

负载均衡服务会检查云服务器池中云服务器实例的健康状态，自动隔离异常状态

的实例，从而解决了云服务器的单点问题，同时提高了应用的整体服务能力。

腾讯云提供的负载均衡服务具备自助管理、自故障修复，防网络攻击等高级功

能，适用于企业、社区、电子商务、游戏等多种用户场景。

云负载均衡一般由如下几个部分组成。Cloud Load Balancer为负载均衡实例，用

于流量分发，能结合虚拟服务器为用户提供基于TCP/UDP以及HTTP的负载均衡服

务；VIP(virtual IP)为负载均衡向客户端提供服务的 IP 地址，用户可以选择该IP地址

是否对外公开，来分别创建公网或私网类型的负载均衡服务；Backend/Real Server为后

端一组云服务器实例，用于实际处理请求，负载均衡服务将访问请求按照用户的设定

规则转发到后端云服务器上进行处理；VPC/基础网络提供整体网络环境。来自负载均

衡外的访问请求，通过负载均衡实例并根据相关的策略和转发规则分发到后端云服务

器进行处理。

根据负载均衡的实现方式，可以分为软件负载均衡产品和硬件负载均衡设备。其中，

常见的软件负载均衡有HAProxy、LVS、Nginx，常见的硬件负载均衡设备为F5、NetScaler

系列设备。

HAProxy是一个免费的应用程序，能对TCP协议和基于HTTP的应用，提供高可用、

负载均衡和代理服务。HAProxy尤其适合于特大流量的网站，能应付数千万级同时访问

者。HAProxy特别适用于那些负载特大的Web站点，这些站点通常又需要会话保持或七

层处理。同时，HAProxy实际运行过程稳定，接近硬件级F5稳定性。

5.1.1 设计架构

云负载均衡基本架构如图：

云负载均衡主要组成部分：

CloudLoadBalancer：负载均衡实例，用于流量分发

VIP(virtual IP)：负载均衡向客户端提供服务的 IP 地址

Backend/Real Server：后端一组云服务器实例，用于实际处理请求

VPC/基础网络：整体网络环境

来自负载均衡外的访问请求，通过负载均衡实例并根据相关的策略和转发规则分发

到后端云服务器进行处理。满足大量来自客户端的应用请求分配到后端的多台云服务器

进行处理。满足持续对云服务器上的应用状态进行检查，并自动隔离无效的服务器。负

载均衡和云服务器应结合使用，负载均衡要同时提供四层及七层负载均衡服务。

负载均衡服务主要由负载均衡监听器提供。监听器负责监听负载均衡实例上的请求、

执行策略分发至后端服务器等服务，通过配置 客户端-负载均衡 和 负载均衡-后端服

务器 两个维度的转发协议及协议端口，负载均衡可以将请求直接转发到后端云服务器

上。

可以跨多个可用区配置负载均衡器的后端多个业务云服务器实例。如果一个可用

区变得不可用，负载均衡器会将流量路由到其他可用区中正常运行的实例上去，从而

屏蔽单可用区故障引起的服务中断。

负载均衡器还可以监控后端实例的运行状况，从而确保只将流量路由到正常运行

的实例上去。当负载均衡器检测到运行不正常的实例时，它会停止向该实例路由流

量，然后会在它再次检测到实例正常运行之后重新向其路由流量。

客户端请求通过域名访问服务，在请求发送到负载均衡器之前，DNS 服务器将会解

析负载均衡域名，并将收到请求的云服务器 IP 地址返回到客户端。当负载均衡监听器

受到请求时，将会使用不同的负载均衡算法将请求分发到后端服务器中。

5.1.2 负载均衡策略

云负载均衡支持加权轮询算法（Weighted Round-Robin Scheduling）、加权最小连

接数算法（Weighted Least-Connection Scheduling）、源地址散列调度算法（ip_hash）

等算法进行流量分发。

加权轮询算法（Weighted Round-Robin Scheduling），就是以轮叫的方式依次将请

求调度不同的服务器。加权轮询调度算法可以解决服务器间性能不一的情况，它用相应

的权值表示服务器的处理性能，按权值的高低和轮询方式分配请求到各服务器。权值高

的服务器先收到连接，权值高的服务器比权值低的服务器处理更多的连接，相同权值的

服务器处理相同数目的连接数。算法的优点是其简洁性和实用性。它无需记录当前所有

连接的状态，所以它是一种无状态调度。适用于每个请求所占用的后端时间基本相同，

负载情况最好。常用于短连接服务，例如 HTTP 等服务。

加权最小连接数算法（Weighted Least-Connection Scheduling）在实际情况中，

客户端的每一次请求服务在服务器停留的时间可能会有较大的差异，随着工作时间的延

伸，如果采用简单的轮询或随机均衡算法，每一台服务器上的连接进程数目可能会产生

极大的不同，这样实际上并没有达到真正的负载均衡。最小连接调度是一种动态调度算

法，它通过服务器当前所活跃的连接数来估计服务器的负载情况。与轮询调度算法相反，

最小连接调度是一种动态调度算法，它通过服务器当前所活跃的连接数来估计服务器的

负载情况。调度器需要记录各个服务器已建立连接的数目，当一个请求被调度到某台服

务器，其连接数加一； 当连接中止或超时，其连接数减一。权重最小连接数调度算法是

在最小连接数调度算法的基础上，根据服务器的不同处理能力，给每个服务器分配不同

的权值，使其能够接受相应权值数的服务请求，是在最小连接数调度算法的基础上的改

进。此种均衡算法适合长时处理的请求服务，如 FTP 等应用。

源地址散列调度算法（ip_hash）可以根据请求的源 IP 地址，作为散列键（Hash

Key）从静态分配的散列表找出对应的服务器，若该服务器是可用的且未超载，将请求发

送到该服务器，否则返回空。可以使某一客户端的请求通过哈希表一直映射在同一台后

端服务器上。因此在不支持会话保持的场景可以使用 ip_hash 进行简单的会话保持实

现

5.1.3 健康检查

可以按照指定规则对配置的虚拟主机进行健康检查，自动隔离异常状态虚拟主机，

从而解决单台服务器在处理性能，扩展性，稳定性方面的问题，一旦发现健康问题，迅

速将服务切换，确保服务可用性；可以按照指定规则对配置的虚拟主机进行健康检查，

自动隔离异常状态虚拟主机，一旦发现健康问题，迅速将服务切换，确保服务可用性；

负载均衡实例可以定期向后端服务器发送 Ping、尝试连接或发送请求来测试后端服务

器运行的状况。当后端服务器实例被判定为不健康时，负载均衡实例将不会把请求转发

到该实例上。但健康检查会对所有后端服务器（不管是判定为健康的还是不健康的）进

行，当不健康实例恢复正常状态时，负载均衡实例将恢复把新的请求转发给它。弹性伸

缩组会定期使用相似的方法确定每个组内实例的运行状况。多台云服务器进行流量分发

的负载均衡服务，负载均衡服务会检查云服务器池中的健康状态，自动隔离异常状态的。

对于健康检查配置字段的含义。响应超时时间：健康检查响应的最大超时时间。如

后端云服务器在相应时间内没有正确响应，则判定为健康检查失败；健康检查间隔：进

行健康检查的时间间隔；不健康阈值：如果连续n次(n为填写的数值)收到了健康检查

结果失败状态，则识别为不健康，控制台显示为不健康。健康阈值：如果连续n次（n

为填写的数值）收到了健康检查结果为成功状态，则识别为健康，控制台显示为健康。

四层转发健康检查配置

对于四层转发的健康检查机制，由负载均衡器向配置中指定的服务器端口发起访问

请求，如果端口访问正常则视为后端服务器运行正常，否则视为后端服务器运行异常。

对于TCP的业务，使用SYN包进行探测。对于UDP业务，使用ping进行检查。响应超

时时间： 2-60 秒；检查间隔： 5-300 秒；不健康阀值：2-10 次 （健康后端服务器

出现此指定次数响应超时后，视为不健康）；健康阀值：2-10 次（不健康后端服务器出

现此指定次数响应超时后，视为健康）。

对于七层转发的健康检查机制，由负载均衡器向后端服务器发送 HTTP 请求来检测

后端服务，负载均衡器会通过 HTTP 返回值是否为 http_2xx、http_4xx 来判断服务是

否正常。后续将推出用户自定义的方式，对响应代码所代表的状态进行描述。假定在某

场景下，HTTP 返回值为 http_1xx、http_2xx、http_3xx、http_4xx 和 http_5xx 这

几种，用户可以根据业务需要编辑 http_1xx 及http_2xx 为服务正常状态，并设置

http_3xx 至 http_5xx 的返回值代表异常状态。响应超时时间暂不能设置，默认为 5s；

检查间隔 6-300s，默认为6s；不健康阀值：2-10 次，默认为3次 （健康后端服务器

出现此指定次数响应超时后，视为不健康）；健康阀值：2-10 次，默认为3次（不健康

后端服务器出现此指定次数响应超时后，视为健康）。

对于七层转发的健康检查机制，由负载均衡器向后端服务器发送 HTTP 请求来检测

后端服务，负载均衡器会通过 HTTP 返回值是否为 http_2xx、http_4xx 来判断服务

是否正常。后续将推出用户自定义的方式，对响应代码所代表的状态进行描述。假定在

某场景下，HTTP 返回值为 http_1xx、http_2xx、http_3xx、

http_4xx 和 http_5xx 这几种，用户可以根据业务需要编辑 http_1xx 及

http_2xx 为服务正常状态，并设置 http_3xx 至 http_5xx 的返回值代表异常状

态。响应超时时间暂不能设置，默认为 5s；检查间隔 6-300s，默认为6s；不健康阀值：

2-10 次，默认为3次 （健康后端服务器出现此指定次数响应超时后，视为不健康）；

健康阀值：2-10 次，默认为3次（不健康后端服务器出现此指定次数响应超时后，视

为健康）。

对于四层健康检查异常排查思路，TCP 协议下，负载均衡使用 SYN 包进行探测；

UDP 协议下，负载均衡使用 ping 命令进行探测。在页面查看后端服务器端口的健康状

态，若不健康，排查思路如下：确定后端服务器是否有配置有安全组影响了服务。有关

如何控制后端服务器的访问来保证服务正常运行，请参考 后端服务器的访问控制。使

用 netstat 命令，确定后端服务器的端口是否有进程在监听，若未发现进程则请重

新启动服务。

对于四层健康检查异常排查思路。针对七层（HTTP/HTTPS协议）服务，当某一监听

出现健康检查异常时，可以通过如下方面进行排查：

1) 由于负载均衡的七层健康检查服务与后端 云服务器之间通过内网通信，您需要

登录服务器检查应用服务器端口是否正常监听在内网地址上，如果没有监听在内网地址，

请将应用服务器端口监听到内网上，从而确保负载均衡系统和后端 云服务器之间的通

讯正常。假设负载均衡前端端口是80，云服务器后端端口也是80，云服务器的内网 IP

是：1.1.1.10Windows系统服务器使用如下命令：

netstat -ano | findstr ：80

Linux系统服务器使用如下命令：

netstat -anp | grep ：80

如果能看到 1.1.1.10：80 的监听或 0.0.0.0：80 的监听则说明此配置正常。

2) 请确保后端服务器开启了您在负载均衡监听器中配置的后端端口。

如果是 四层负载均衡，只要后端端口 telnet 有响应即可，可以使用telnet

1.1.1.10 80来测试。如果是 七层负载均衡，需要 HTTP 状态码是 200 等代表正常的

状态码。检验方法如下：

Windows 系统可以直接在 云服务器内的浏览器输入内网 IP 测试是否正常，本例

为：http：//1.1.1.10；

Linux系统可以通过curl -I命令看看状态是否为 HTTP/1.1 200 OK，本例使

用 curl -I 1.1.1.10 命令

3) 检查后端 云服务器内部是否有防火墙或其他安全类防护软件，这类软件很容易

将负载均衡系统的本地 IP 地址屏蔽，从而导致负载均衡系统无法跟后端服务器进行通

讯。

检查服务器内网防火墙是否放行 80 端口，可以暂时关闭防火墙进行测试。

Windows系统可以运行输入操作关闭

Linux系统可以输入/etc/init.d/iptables stop关闭

4) 检查负载均衡健康检查参数设置是否正确，建议参照本文档提供的健康检查参

数默认值进行设置。

5) 健康检查指定的检测文件，建议是 HTML 形式的简单页面，只用于检查返回结

果。不建议用 php 等动态脚本语言。

6) 检查后端是否有较高负载导致 云服务器对外提供服务响应慢。

5.1.4 Session保持

可对虚拟主机提供TCP/HTTP/HTTPS协议的负载均衡服务，支持多种轮询策略，并

提供会话保持功能，在Session生命周期内，将同一客户端请求转发到同一台后端云主

机。

四层转发情境支持简单会话保持能力，会话保持时间可设为 0-3600 秒中的任意整

数值，超过该时间阀值，会话中无新请求则断开连接。

七层转发情境支持基于 cookie 插入的会话保持能力（由负载均衡器向客户端植入

cookie）。会话保持时间暂时不支持可调整，默认为 75 秒。超过该时间阀值，会话中无

新请求则断开连接。

5.1.5 服务能力

腾讯云CLB负载均衡器目前提供了3种服务类型：

4层负载均衡，对应监听器的tcp和udp；

7层负载均衡，公网无日租型CLB服务；

7层负载均衡，对应监听器的http/https能力。

4层负载均衡

4层负载均衡是CLB最早实现的方案，也是作为一款负载均衡产品必备的功能。基

本原理就是在CLB上通过端口来区分不同的业务，转发规则（rule）的key：vip：vport：

protocol，目前QCloud中使用最多的就是这种负载均衡方式，但是在QCloud中，VIP是

属于同一个开发商的，不同开发商之间的流量严格隔离。

7层负载均衡

对每个租户的流量进行严格隔离。接入云的租户都希望自己的业务不受别人的影响，

至少在网络上能够隔离，别人不能随意访问我的机器。当然这个功能业界有多种实现方

式，比较常用的是在硬件上做隔离，使用特定的接入交换机，采用vxlan协议来达到隔

离的目的。

提供单个负载均衡四层网络吞吐带宽大于5 Gbps，云负载均衡对于四层吞吐能力几

乎接近网卡及网线传输效能。当整体云业务网络接入层使用双10G带宽，上联核心使用

4个40G带宽时，多台节点组成的云负载均衡集群的四层网络吞吐能力会远远大于5Gbps。

云负载均衡能同时用于云计算平台内部业务间和对外访问服务的负载分担。对外公

网型负载均衡实例通过 Internet 从客户端获取请求，并向绑定监听器的后端服务器分发

这些请求。创建负载均衡器后，腾讯云会给公网负载均衡器分配一个公网域名 和 一个

VIP 信息（仅公网有日租类型），DNS 服务器将会对域名及 VIP 信息进行解析，公网有

固定 IP 型负载均衡也支持用户添加 CNAME 和 A 记录的绑定，将其映射到用户易读

的自定义域名上。可以为一个公网类型负载均衡实例添加多个负载均衡监听器，以执行

不同类型的请求转发。内网负载均衡只能在腾讯云内部访问，不能通过 Internet 访问（没

有公网域名或公网 IP）。内网负载均衡通过对应的 VIP 将内网客户端对服务器端的请求

合理地分配到服务器集群上。内部负载均衡器使用 内网 IP 地址 将流量路由到同地域

的后端云服务器实例上，是内部服务集群的一种组成方式。如果应用程序具有多层结构

（比如可以与 Internet 通信的 Web 服务器和只能内网互通无法与 Internet 通信的数

据库服务器），则可以设计一个同时使用内网负载均衡实例和公网负载均衡实例的架构。

将所有 Web 服务器连接至公网负载均衡实例，将相应的数据库服务器连接至内网负载

均衡实例。公网负载均衡实例接收来自 Internet 的请求并发送至后端 Web 服务器，处

理后将对数据库的请求发送到内网负载均衡，再由内网负载均衡路由请求至数据库服务

器。

5.1.6 高可用性

数据中心多款业务前台接入处于单点状态 ，为保证业务的可用性，前端采用

keepalived+haproxy方案做容灾与负载均衡。

keepalived基于VRRP 协议，至少有两台服务器，一台作为 MASTER，一台作为

BACKUP ，对外表现为一个虚拟 IP(VIP)，MASTER 会定时发送 VRRP多播，BACKUP不会抢

占MASTER，除非他的优先级更高，当BACKUP 收不到这个消息的时候，即认为主服务器

宕机，从而接管虚拟 IP，继续提供服务

通过双机HA结构可以实现负载均衡承诺99.95%的业务可用性，即用户每月负载均

衡可用时间应为30天×24小时×60分钟×99.95%=43178.4 分钟，即存在43200-

43178.4=21.6分钟的不可用时间，同时适用于四/七层负载均衡vip。云服务器出现故障

时，负载均衡将自动剔除此故障云服务器，并由其他云服务器接管故障服务器的流量，

此类故障不属于负载均衡故障统计时间范畴内。

业务故障的恢复正常时间5分钟及以下的，不计入业务不可用性计算中，不可用时

间指业务发生故障开始到恢复正常使用的时间，包括维护时间。

5.2 分布式云数据库

云数据库采用腾讯云数据库，该数据库是腾讯云基于全球最受欢迎的开源数据库

MySQL专业打造的高性能分布式数据存储服务，100%完全兼容MySQL 协议，适用于面

向关系型数据库的场景。云数据库服务由“虚拟机+云存储”构建，云存储使用块存储以

及本地SSD存储两种。用于提供开发测试以及生产运营需要。

云数据库MySQL主要具有以下一些特点：

1．云存储服务，是腾讯云平台提供的面向互联网应用的数据存储服务。

2．完全兼容MySQL协议，适用于面向表结构的场景，适用MySQL的地方都可以使

用云数据库。

3．提供了高性能、高可靠、易用、便捷的MySQL集群服务。

4．整合了备份、扩容、迁移等功能。

5.2.1 设计架构

CDB系统包括如下几大模块：

 接入模块：Tencent Gateway & firewall

用于CDB的整体接入，主要屏蔽IP/PORT的变化，使用户无感知，对业务逻辑透明，

并针对未授权的访问进行隔离和管控

 管理控制系统：OSS

是整个CDB集群的控制中心，主要管理整个集群中每个CDB实例的状态，可用性，

以及迁移，升级，备份，监控，系统部署等功能

 监控系统：monitor system

主要处理每个实例上报的监控数据，用于分析每个实例的可用性，可靠性，并实时

推送告警和邮件，告知用户名下的CDB实例的状态

 备份系统：CDB backup center

提供5天冷备数据，并提供3天内任意时间点的数据回档，用于存储CDB集群冷备

数据，每个实例的冷备数据存储3份，达到99.9999%以上可用性

 日志中心：log center

用于存储每个CDB实例详细访问日志，用于提供详细可回溯问题的详细日志

 流程控制系统

用于提供售卖，开通服务的流程系统

 任务调度系统

在多用户发起售卖，开通服务的任务调度系统

 控制台系统

为用户提供CDB实例控制入口，提供CDB实例监控展现，以及CDB状态，规格等信

息展现

5.2.2 服务能力

基于云数据的提供的关系型数据库实例可以提供满足内存128G，SSD硬盘2TB，

IOPS 20000连接数64000个。

云数据库平台为了保证服务能力的持续可靠的提供，在硬件层面，内核层面都做了

大量的优化工作。

硬件保障

基于 PCI-E SSD，强大 IO 性能保障数据库的访问能力；存储硬件采用 NvMe 协

议，专门针对 PCI-E 接口的 SSD 设计，更能发挥出性能优势；高 IO 型单实例最大

支持 245509 QPS(每秒访问次数)、488G 内存和 6TB 存储空间。

内核优化

主从同步多线程优化，解决 DB 间同步性能瓶颈，无需考虑主从同步不及时的问

题；MySQL 事务线程和 Dump 线程的锁优化，进一步提高数据库性能。

5.2.3 基本功能

成本最优

您无需预先采购、准备硬件资源及投入数据库研发，CDB for MySQL 提供多种具

有成本优势的存储介质供您选择，帮助您有效降低数据库基础设施的投入。

专项内核优化

高IO型CDB实例存储介质采用企业级 PCI-E SSD，提供业界领先的 IO 吞吐能

力；深度定制开发 MySQL 内核，消除 DB 冗余 I/O、缩短 I/O 路径，规避了大锁竞

争，性能远超基于开源 MySQL 的自建数据库。CDB for MySQL 的性能优势让您可以以

更少的数据库数量支撑更高的业务并发请求量，简化了后端架构，使得整体 IT 架构

更易于管理和运维。

多重保障

工信部可信云认证可用性高达99.95%，行业高标准。实时双机热备，故障秒级切

换；专业团队7*24小时守候，一对一指导，QQ 远程协助。让您仅需极少的工作就能

够轻松实现高可用的数据库架构，为业务高速发展提供稳定的基础设施。

完善的保障机制

工信部可信云认证可靠性高达99.9996%，拥有完善的数据自动备份和无损恢复机

制（实时双机热备，三日内任意时间点无损恢复，五日冷备数据 dump）。CDB for

MySQL 的高可靠性让您可以放心将数据放在云端，无需担心数据丢失，也简化了传统

运维工作中为保障数据高可靠带来的额外工作量和额外的 IT 投入成本。

一体化监控

提供近三十项重要指标专业的数据库多维度监控，更支持故障自定义预警，让您

可以随时深入了解 MySQL 数据库实例的运行状况，对故障实现自动告警，数据库运维

更加省心。

全流程运维服务

您无需关心 MySQL 的安装、部署、版本更新及故障处理，云数据库运营团队为您

全面负责，免除后顾之忧

master 与 slave 的切换、故障的处理及数据迁移，对用户完全透明，IP、Port

保持不变，编程完全无需考虑 IP 飘移，帮助您极大程度降低运维成本

支持API

云数据库 MySQL 提供s完善的 API 体系，您可使用 API 轻松地将云数据库与内

部监控、运营系统相结合，实现贴近业务需求、完全自动化的业务运维体系。用户可

以通过界面或API进行数据库实例的在线扩容，备份，数据恢复，性能监测，日常监

控等功能。

有完整的API文档说明文档

硬件保障

基于 PCI-E SSD，强大 IO 性能保障数据库的访问能力；

存储硬件采用 NvMe 协议，专门针对 PCI-E 接口的 SSD 设计，更能发挥出性能

优势；高 IO 型单实例最大支持 245509 QPS(每秒访问次数)、488G 内存和 6TB 存储

空间。

5.2.4 内核优化

主从同步多线程优化，解决 DB 间同步性能瓶颈，无需考虑主从同步不及时的问

题；MySQL 事务线程和 Dump 线程的锁优化，进一步提高数据库性能。

➢ 读写分享实例

只读实例帮助用户实现一主多从或读写分离架构，轻松应对业务海量请求压力；

更支持带有负载均衡功能的 RO组，大大简化从机之间业务访问的压力分配过程。您只

需在页面购买即可在几分钟内为您配置一台只读实例。

Slave

RO

RO

RO

Master

RO

RO

VIP:VPORT

RO-VIP:VPORT

读写

读

用户

只读实例是一种只能读不能写的实例，这种实例类型是为了实现读写分离而设。用

户通过购买只读实例，将读流量切到只读实例上，从而降低主实例的负载。

只读实例的数据来源于主实例，它和slave的角色一致，都是从Master拉取binlog

数据，然后在本地重放。

一个主实例可以创建不少于5个只读实例

➢ 兼容数据类型

Myql对标准的SQL标准数据类型有非常好的支持，云数据库是基于mysql建立

的，所以也对标准的SQL数据类型有很好的支持，可以支持对原有数据库如SQLserver

和Oracle数据库，做到比较好的迁移支持功能。

➢ 数据迁移

借助 CDB 的数据传输工具 CDT，可轻松实现云主机上自建 MySQL 数据库到 CDB

数据库实例，具有外网 IP 的 IDC 机房内/其他友商云 MySQL 数据库到 CDB 数据库

实例等多种场景下的数据库自动迁移，可极大简化您的数据库上云工作，无需自己手

动迁移数据库，实现业务无缝过渡上云。

数据传输工具 CDT 已实现全 Web 化操作，控制台点击操作即可实现自动数据迁

移，无需人工值守。

5.2.5 安全性

➢ 数据库安全防护

云数据库为每一个数据库实例都提供安全防护能力，无需您单独购买；在数据库

物理设备前通过安全模块提供防SQL注入、防暴力破解等能力；如果您开通了外网访

问，也提供防DDoS攻击能力，抵御各种攻击流量，保证您业务的正常运行，减少攻击

带来的业务中断和损失。支持白名单设置、密码暴力攻击检测、SQL权限控制。

➢ 基于策略的审计

SQL提供对数据库的各类操作行为进行审计的能力，实时记录操作行为，并配合审

计规则和策略进行智能解析，将操作记录写入更高安全等级的审计数据库，以便日后

进行查询、分析，帮助您进行安全审计，防范黑客入侵或者误操作带来的安全风险。

➢ 细粒度的权限控制

屏蔽超级管理员账号，并提供精确到表、函数、存储过程等对象级别的权限控

制，让您分配的账号只能访问被授权的资源，并将风险控制在可预期范围内。支持IP

授权访问，云服务端可以提供加密用户身份验证，提供不同的访问权限控制。

5.2.6 高可用性、高扩展性

➢ 完善的热备和冷备

使用完全同构的物理机提供实时的双机热备，主机故障可秒级切换至备机，提高

数据库的可用性，保障业务的无间断服务；基于冷备和 binlog 文件，提供3日内无

损恢复，5日冷备数据 dump，保障数据安全恢复。

➢ 自动容灾

支持宕机自动检测和故障自动迁移。在主备切换时，采用 VIP 屏蔽切换过程，主

备切换和故障迁移过程对用户透明。您无需关心数据库所在物理机故障和宕机的问

题，应用层无需做任何改动即可完成热备切换，业务对容灾切换无感知。

➢ 专业的监控与告警

覆盖连接访问、数据库负载、查询缓存、存储引擎等近三十项重要指标，可全方

位监控数据库运行状况；自定义资源阈值告警，提供慢查询分析报告和 SQL 完整运行

报告下载，可帮助用户快速定位 DB 运行中的问题。自定义告警可将问题及时反馈给

运维人员，帮助您快速响应数据库问题。

➢ 性能和容量扩展

CDB for MySQL 除最大规格实例外均提供无缝升级功能。当您遇到性能瓶颈时，

您可在页面上通过鼠标点击操作，一键升级到更高性能和容量的实例规格，升级过程

不影响您业务正常访问和使用，实现快速、平滑扩容，满足业务快速发展需要。

➢ 扩展性

云数据库有良好的在线平滑升级能力，采用scale-out方式，即采用增加副本节

点的方式进行扩容，同时保证了计算能力，存储容易和总IO带宽都是同步线性扩容。

保证最快速的响应用户请求。

➢ 应用规模

整个云数据库是基于IaaS层建立的PaaS组件能力，IaaS层已经将底层服务器硬件

设备全部屏蔽掉，可以方便的用户直接使用云数据库服务，云数据库整体可用量可以超

过≥50套，并且可以支持免费扩容1倍的承诺。

第六章 设备清单

腾讯私有云方案常规都是按照16台物理机配一组controller的模式进行配置，外加

安全、灾备、负载均衡等设备，可根据业务扩张随时对系统容量进行扩展。具体清单在

细化方案中提供。

第七章 方案优势总结

1. 符合xXx管理模式的私有云管理平台

该方案提供对xXx私有云多级管理平台，提供资源管理、财务、统计报表、云主机

管理、用户分级管理、兑换码、实时监控预警系统、VIP等功能，通过这些功能组合可

轻松满足xXx业务需求。

2. 实现xXx的云资源分级管理

私有云管理平台可分成四个层级，上级可以管理下级权限和资源，或跨级管理下级

资源权限和资源，通过用户管理、云主机管理等实现分级管理。

3. 实现xXx未来总公司、下属部门之间的结算

随着xXx未来公司组织庞大，私有云管理平台定时自动计算出计费对象（xXx下属

部门、子公司）使用的资源和相关费用，并发送电子账单，xXx可根据业务需要同计费

对象结算，结算方式可以免费、收费或者给予优惠，这些业务需求通过云管理平台计费、

VIP（免费）、兑换码（优惠折扣）等功能实现。

4. 多重功能兑换码机制

云平台集成兑换码机制，其主要功能有二：其一，可以实现代金券功能，上级向下

分发兑换码作为资源使用资金，进而管控下级资源使用，并利用赋予兑换码的金额实现

结算；其二，兑换码可为某个子管理员账号定制生成，终端用户使用兑换码后，系统自

动将此用户分配至子管理员账号下，实现自主分级管理。

5. 定制化电子商务平台

云管理平台集成在线商店模块，可赋予各部门平台独立的商店系统，商店内云服务

陈列、价格、计费周期均可定制。同层级公司可相互购买资源产生结算，xXx也可以通

过在线商店向其子公司或合作公司出售各项云服务。

6. 自动化计费、扣费和电子对账单功能

用户通过云管理平台充值开通云主机后，云管理平台自动根据计费周期（一个月、

一个季度、半年、一年）和计费方式（包月、按次、按流量等）进行计费，并通过扣费

系统从用户账户自动扣除费用（内部结算可用虚拟货币代替），同时为用户提供电子账

单，为公司提供财务报表，该自动化功能为xXx总公司、下属部门减少IT人力投入，提

高工作效率。同时也可作为运营平台为合作商家客户提供云服务。

7. 丰富统计报表

云管理平台提供丰富的统计报表，供财务、运维人员、终端用户、公司高层等不同

用户使用，报表包括：每小时费用报表、账单详情报表（每月）、账单详情报表（未结

算）、最低收费报表、每月带宽使用量报表、每月处理器用量报表、每月数据磁盘用量报

表、每月内存用量报表、兑换码收益报表等几十种报表。

1) 为财务部门提供账单详情和财务相关报表，实现总公司、部门、项目内部结算。

2) 资源使用量报表，能够提供资源（CPU、内存、硬盘、带宽）在各个时段使用数

量，从而统计出资源使用峰值和谷值，通过这些可视化数据，用户可以实际情况动态调

配资源，资源不足通过云主机管理功能增加资源，资源使用率少亦可通过云主机管理功

能减少资源，达到资源使用最大化，使用成本最小化。

8. 实时监控预警系统

系统对即将或正在发生的问题，能够迅速预警并提交给客户或运维人员快速解决的

能力，是一个系统具有高稳定性或高可用性的表现，该方案通过实时监控预警系统，对

于余额不足、云主机即将过期、超出资源（CPU、内存、硬盘、带宽）使用情况预警阀

值、硬件故障等情况，系统自动预警，并以邮件（可通过接口扩展至短信、微信等）的

形式实时通知客户或运维人员，可以解决客户或运维人员面临的实际问题：

1) 硬件故障、超出资源（CPU、内存、硬盘、带宽）资源使用阀值等情况时，实时

监控预警系统能够及时发出报警，并通知运维人员及时采取合理措施（更换硬件、扩容

资源池等），可减少运维人员日常工作量，提高工作效率，

2) 防止云主机用户人为疏忽造成停止服务，xXx可对下属部门或项目分配的资源收

费或限定使用时间，系统实时监控余额不足或主机即将到期的情况，并及时通知相关用

户，用户及时采取应对措施，比如：充值、申请延长服务时间等。

3) 防止单次提醒用户疏忽未处理的可能，对于续费、申请测试或使用延期的用户，

系统提供 “731”提醒机制，提前7天通知用户处理；如果用户未处理，提前3天通知

用户处理；如果用户未处理，提前1天通知用户处理。

9. 无单点故障

该方案网络架构、存储架构均采用冗余设计，单块网卡、单块硬盘甚至单台交换机

损坏不会影响系统。

10. 提供专业私有云平台运维培训

提供专业的私有云平台运维培训，其SOP流程经过多年实施并验证，通过运维培训，

进一步优化运维管理流程，提升工作效率，避免人为失误。

11. BI商业智能

xXx私有云平台所涉及的资源使用数据经过分析，将资源使用情况从决策者角度通

过微信公众平台呈现出来，决策者根据提炼的结果，做出正确的判断，采取正确的应对

措施。比如：总公司分配给某项目的资源，通过BI与微信相结合分析后，发现使用率非

常低，总公司可以考虑回收部分资源，给出合理的资源配置，从而达到资源使用最大化，

使用成本最小化。

本文标签： 平台管理资源系统用户