城市大脑建设方案所有文件清单目录:
091_【城市大脑】【城市大脑】 (1 folders, 12 files, 1.07 GB, 2.23 GB in total.)
│_2018广东互联网大会- 城市大脑中的人工智能技术应用-阿里云.pptx 73.06 MB
│_~$【精品】2019年海云数据-智慧城市大脑建设方案.pptx 165 bytes
│_~$【精品】城市数据大脑.pptx 165 bytes
│_【精品】2019年海云数据-智慧城市大脑建设方案.pptx 723.37 MB
│_【精品】城市大脑与超级智能建设规范研究报告1.0-20200302.pdf 4.10 MB
│_【精品】城市数据大脑.pptx 41.69 MB
│_【精品】数字政通-数字城管智慧城管城市大脑.pptx 211.82 MB
│_阿里城市大脑:探索“数字孪生城市”.pdf 23.49 MB
│_城市云脑计划白皮书(沟通版)-20170809最后.pdf 1.55 MB
│_华为IOC+大数据,打造智慧城市数字大脑.ppt 2.15 MB
│_无锡鸿山物联网小镇项目建议书-0502 V1.1.pptx 9.30 MB
│_研究报告:城市大脑的起源、现状与未来趋势.pdf 1.56 MB
└─A71【城市大脑】更新资料 (2 folders, 0 files, 0 bytes, 1.17 GB in total.)
__├─招标投标 (0 folders, 23 files, 26.26 MB, 26.26 MB in total.)
__│___001采购需求-_com.doc 910.34 KB
__│___2021.03.01.杭州城市大脑赋能城市治理促进条例om.docx 18.79 KB
__│___2021年度“数字徐州”建设政府购买服务项目竞争性磋商文件.docx 237.73 KB
__│___城市大脑“舒心就医﹒最多付一次”余杭区提升改造项目.pdf 455.01 KB
__│___城市大脑典型案例:调解在线-.docx 527.30 KB
__│___杭州城市大脑警务操作系统V3.0项目智慧内保服务模块-.pdf 1.28 MB
__│___杭州城市大脑警务操作系统V3.0项目智慧内保服务模块.doc 541.42 KB
__│___杭州城市大脑临安区亲清在线平台建设项目(二期)-.docx 106.25 KB
__│___吉安市智慧城市二期(城市大脑)项目-.docx 354.59 KB
__│___江都区智慧城市数字平台及城市大脑(运营中心)建设项目-_com.doc 1.82 MB
__│___江都区智慧城市数字平台及城市大脑(运营中心)项目-.docx 653.83 KB
__│___南海区城市大脑(二期)(征求意见稿)-.pdf 1.13 MB
__│___南海区城市大脑(二期)项目监理服务-.pdf 1.00 MB
__│___南海区城市大脑建设方案与需求(一期)-.pdf 4.58 MB
__│___青岛市城市云脑业务中台建设项目-.pdf 1.54 MB
__│___三亚市城市超级大脑项目初步设计编制.pdf 5.35 MB
__│___武汉开发区“数字开发区”一期建设项目招标文件.pdf 0.98 MB
__│___武汉市政务服务和大数据管理局(武汉市公共资源交易监督管理局)武汉市智慧城市基础平台(一期)项目建设及服务招标.pdf 1.26 MB
__│___武威市自然资源局智慧武威“城市大脑”·智慧不动产采购项目 招标文件.pdf 518.27 KB
__│___永春县城市大脑服务类采购项目(征求意见稿)-.docx 295.69 KB
__│___鱼台县人民政府办公室鱼台县“城市大脑”建设项目采购需求公示-.pdf 1.19 MB
__│___岳西县城市超脑(岳西县智慧城市运行管理中心)建设项目 补充通知.pdf 0.98 MB
__│___岳西县城市超脑(岳西县智慧城市运行管理中心)建设项目 需求文件-.docx 656.92 KB
__└─方案报告 (0 folders, 22 files, 1.14 GB, 1.14 GB in total.)
______A百度智能云-百度城市大脑白皮书m.pdf 3.24 MB
______【精品】2020年阿里18个城市大脑解决方案-m.pdf 5.97 MB
______【精品】AAA XX城市大脑建设项目可行性研究报告定稿.docx 13.55 MB
______【精品】城市大脑建设目标选择、方法与路径.pdf 6.59 MB
______【精品】以城市大脑为载体的电力大数据应用与实践.pdf 9.42 MB
______阿里云城市大脑白皮书.pdf 23.49 MB
______城市大脑-.pptx 8.03 MB
______城市大脑城市.pdf 4.01 MB
______城市大脑顶层设计方案m.pdf 14.42 MB
______城市大脑建设汇报材料.pdf 6.37 MB
______城市大脑交通皮书.pdf 23.49 MB
______城市大脑解决方案彩页.pdf 9.11 MB
______城市大脑全球标准研究报告摘要-.pdf 2.58 MB
______城市大脑与超级智能建设规范研究报告.pdf 4.23 MB
______城市数据大脑发展顶层规划设计.pdf 6.74 MB
______城市云脑-AIOC-基线介绍.pdf 43.32 MB
______合肥城市大脑——城市立体交通数据分析报告.pdf 9.62 MB
______合肥市城市大脑·数字底座白皮书.pdf 16.61 MB
______互联网类脑巨系统研究报告,互联网大脑、城市云脑和AI-.pdf 3.06 MB
______智慧城管城市大脑.pptx 211.82 MB
______智慧城市大脑规划与设计方案-.pptx 19.48 MB
______智慧城市大脑建设方案.pptx 723.37 MB
城市大脑建设优质方案展示:
城市大脑建设优质方案节选:
第五章本期项目建设方案
5.1运营指挥中心建设方案
5.1.1选址
为充分发挥城市大脑的作用,进行更为高效、科学的决策、预警、治理、指挥、展示,经与相关部门对接,运营指挥中心选址为楚雄市、开发区、丰胜路 667 号,原为便民服务中心,目前属于空置状态。
选址地点毗邻州人民政府,总可用布展面积约 1200 ㎡,包含一层及二层夹层,主要检修空间、机房、设备用房等功能用房分布于建筑一层及二层夹层。
5.1.2运营指挥中心动线及效果
积极贯彻习近平总书记对发展数字经济的重要指示精神和云南讲话精神,深入推进“楚雄城市大脑指挥运营展示中心” 建设,为高质量跨越式发展增添新动能,让观众体验最前沿、最先进的数字技术和数字政府服务,为建设“智慧城市”和加快发展数字经济凝聚共识。
以“现代时尚、科技智能、地域特色、场景带入、互动体验” 五大设计理念为引领,把城市大脑指挥运营展示中心打造成为:
以数字城市理念,数字技术为驱动的“数字驱动交流平台”。
具有数字化城市治理与智慧成效的“智能互联展示窗口”。
展示楚雄经济社会各领域全面数字化的“智慧城市示范基地”。
5.1.3运营指挥中心各模块内容
5.1.3.1序厅
1:主题墙:主要通过超清大屏,视频短片展示数字昆明建设意义、亮点和使命。
2、机器人导览:利用人工智能机器人导览,引导人们了解参观线路,展厅布局。
5.1.3.2第一篇章、机遇/战略背景
一、数字中国:通过图文版、总书记名言立体字、视频等, 展示数字中国提出的重大意义。
二、数字之滇:采用图文版、视频等,展示云南大力发展数字经济的契机和优势,数字云南三年行动计划的重大举措。
三、智汇滇中:通过数字长廊图文视频等,重点展示楚雄建设和发展智慧城市的必要必然性和各级政策支持。
5.1.3.3第二篇章、中枢/云图总绘
一、顶层设计:通过图文版,展示数字昆明发展目标,框架, 城市新基建。
二、城市大脑:通过互动电子地图、展示智慧城市建设目标, 建设组成建设。
5.1.3.4第三篇章、赋能/滇中智城
一、智慧强政:通过数据大屏、图文版等,演示楚雄互联网+政务服务、智慧党建、智能交通出行体系、智慧停车、平安州城、智慧城市管理等各方面的提升。
二、升维惠民:采用数据大屏、互动多媒体三维 MG 图形动画, 图文版等,展示智慧共享医疗、智慧教育、扶贫信息化、智慧社区、等数字民生亮点特色。
三、数字兴业:利用工业智能机器人旋转屏、全息、互动触摸导航、代表产品模型等,展示区域经济运行分析和预警平台、智慧园区、智慧文旅、智慧农林等相关数字产业赋能亮点。
5.1.3.5第四篇章、惊变/圆梦未来
一、雄城云梦:利用时空长廊投影动画,勾勒数字昆明十四五规划蓝图。
二、点亮未来数字之火:图文版数据屏,展示未来城市样貌。
5.2数据中心建设方案
数据中心是城市大脑的基础组成部分,为城市大脑提供完善的设备包括高速互联网接入带宽、高性能局域网络、安全可靠的机房环境等设备及物理空间。
基于“3.6 信息量分析与预测”章节分析结果,结合本次项目所要达到的效果,选择以可扩展的架构为前提,以满足本项目使用为宗
旨,进行数据中心的建设。
此次数据中心建设需要满足 780 个物理CPU 核、3000 个VPU 核的计算能力、7680GB 的内存资源、1.2PB 的裸容量存储空间。
整体数据中心按照安全三级等保进行建设;满足整体 100G 的接入带宽需求。
按上述要求,预计需要使用 7-8 个机柜,总体规模不大,不建议单独建设数据中心机房,采用更为合理的租用的方式运营商数据中心机房。
(注:数据中心云化方案见 5.3 云平台建设方案)
5.2.1数据中心设备清单
传统技术条件下,各种业务软件直接部署在物理服务器上;随着各种虚拟化技术的进展,开启了云计算时代,业务软件会部署在虚拟机上;而容器作为下一代虚拟化技术,随着互联网行业的高速发展也快速进入各个领域,很多业务软件基于容器开发部署。
考虑到城市大脑软件系统复杂,不同的软件系统会基于不同的技术构建和部署,建议按照下表中的功能类别和资源数量配置硬件:
5.3云平台建设方案
5.3.1建设目标
以城市大脑业务需求为导向,充分发挥云计算虚拟化、高可靠性、通用性、高可扩展性、自助服务等优势,建设服务于城市大脑的统一承载平台。
从城市大脑业务场景需求及数据能力平台需求出发,基础能力平台初步建设将搭建满足城市大脑数据能力平台资源需求,包括数据共享交换平台、数字化智能引擎、时空大数据平台、能力开发平台等主要应用需求,且充分考虑安全性、稳定性以及可扩展性的IaaS 模式的IT 基础架构。
基础能力平台建设,是城市大脑建设的基础架构支撑平台。其具体建设目标包含:
(1)搭建基础架构。构造较为完整的云硬件基础设施,及云资源管理系统。
(2)建立运行保障机制。明确基础能力平台建设、运行、服务和管理机制,完善信息安全管理措施,确保平台可持续发展。
5.3.2设计原则
本次基础能力平台建设方案的设计主要依据以下原则:
(1)统筹考虑计算资源、存储资源、网络资源、信息资源、应用支撑和信息安全等要素,建立一个公共的、安全的、灵活的、
供各业务部门广泛接入和使用的系统架构;
(2)设计统一的信息安全保障基础设施、技术措施和管理制度, 保障基础能力平台安全可靠运行。
系统的灵活性和合理性:
采用的所有服务器具有先进的、开放的体系结构。
服务器在内存容量、CPU 速度和数量、I/O 能力等方面具有优异扩充能力,大容量内存、大I/O 吞吐能力。
采用具有节点扩充能力的群集结构;根据业务情况,在单节点性能扩充到一定限度时,可扩充群集中的节点数量,其优点是:保护用户投资。整个系统性能的提高远大于单个节点性能的提高,扩充节点时无须对系统架构作任何修改。
采用具有具有先进技术和高性能的存储设备。与主机通过高速光纤通道连接的存储设备,支持高速存取,并且构建SAN 的存储体系。
系统的实用性和可维护性:
在考虑提高系统性能,保证系统的灵活性时,还必须保证系统的可靠和数据的安全。为此要求采用多种先进可靠的软硬件技术, 在产品本身的质量之外,提供进一步的安全保障:
采用高可靠群集技术保证系统的连续不间断运行。无论是节点故障,还是事先有计划的软硬件升级,都不会造成关键业务的中断。对操作系统、系统引导区、系统软件等利用镜像(Mirror)技术来进一步保证系统的安全可靠。
采用先进的备份策略来保证数据的备份和恢复,并能实现实时和脱机备份数据的恢复或查询。为用户提供友好的管理方式,使系统的管理维护工作简单、易于操作,以降低系统的维护费用,充分利用系统资源。
经济型和兼容性:
投资保护的思想是本方案的一个重要原则,同时也是我们采用开放式技术和产品的初衷。投资保护不仅仅是体现在设备产品等方面,还体现在对人、知识和资源的保护方面。
硬件/软件系统的选择是建立在广泛的可升级基础上的,并制订平滑的升级方案。
一个良好的信息系统要求一个训练有素的队伍进行操作和维护, 以使整个运行成本降到最低,并且大大提高工作效率。硬件/软件系统符合国家标准或行业标准,具有很好的兼容性,便于用户友好扩 展。
平台的搭建尽量采用开源技术,开源的平台意味着不会被某个特定的厂商绑定和限制,而且模块化的设计能把遗留的和第三方的技术进行集成,从而满足自身业务需要;兼容性:开源云平台的兼容性可以使用户在很容易的将数据和应用迁移到基于安全策略的、经济的和其他关键商业标准的云平台上;可扩展性:目前主流的 Linux 操作系统,包括Fedora、SUSE 等都将支持开源;灵活性:灵活性是开源最大的优点之一,用户可以根据自己的需要建立基础设施,也可以轻松地为自己的集群增加规模;行业标准:来自全球十多个国家的 60 多
家领军企业都参与到了开源的项目中,并且在全球使用开源技术的云 平台在不断的上线;实践检验:实践是检验真理的唯一标准,开源的 云操作系统,已被全球正在运营的大型公有云和私有云技术所验证过。开源在中国的发展趋势也是非常好,包括物联网用户、国内高校以及 部分大小企业,都开始利用开源建立云计算环境,整合企业架构以及 治理公司内部的IT 基础架构。
5.3.3
城市大脑从业务承载角度可划分为政务外网业务平台、互联网业务平台两个区域,通过部署各类硬件设备以及基础能力管理软件系统,为上层数据能力平台中运行的各类软件系统提供计算、存储、网络以及安全等基础能力。从政务安全的角度,两个区域通过网闸进行物理隔离。
下面对政务外网业务平台、互联网业务平台分别进行描述。
5.3.4政务外网业务平台
5.3.4.1网络安全资源池
政务外网业务平台用于承载城市大脑核心业务,面向政府各委办局,抽取、处理、存储其核心业务数据。未来此平台还需要承载各委办局各类业务系统以及各类智慧应用。因此需要提供高吞吐的网络通信能力和丰富的安全防护能力。
5.3.4.1.1核心网络区域
核心区域网络作为整个数据中心骨干网络,承载整个数据中心的流量高速交换工作,主要包括如下内容:核心交换机、服务器汇聚交换机、租户防火墙、服务器负载均衡。
核心交换机采取云数据中心级别交换机,采取正交 CLOS 架构保证整网 3-5 年扩展需求,同时满足丰富的云计算数据中心特性,最大化发挥云平台功能。核心交换负责整个城市大脑基础能力平台与政务网的数据通信,必须具备整机万兆及超万兆处理性能,无阻塞数据处理性能,考虑冗余都采用双链路冗余互联的方式部署,通过 40G 链路互联服务器汇聚交换机。
服务器汇聚交换机,采取云数据中心级别交换机,支持正交CLOS 架构,同核心交换机组成高可扩展性的扁平化SDN Fabric 网络。
租户防火墙,采用云数据中心级别高性能硬件防火墙,通过设备虚拟化功能虚拟成多个虚拟防火墙,用于在 SDN 网络中每个租户的南北向访问控制及业务隔离。
服务器负载均衡,通过设备虚拟化功能虚拟成多个虚拟负载均衡设备,用于在SDN 网络中每个租户业务的服务负载。
5.3.4.1.2政务外网接入区域
政务外网接入区域用于城市大脑数据中心与政务外网互联互通。作为政务外网访问城市大脑数据中心的入口,同时承担业务的访问控制及安全防护工作。
政务外网接入区域由接入路由器、政务外网专线防火墙、入侵防御系统、三层交换机、网闸组成。通过 10G 光纤链路互联互通。
接入路由器作为政务外网接入区域入口设备,必须具备数据中心级别的高性能路由处理能力,通过两根 10G 裸光缆与政务外网连接。
政务外网专线防火墙用于政务外网用户与数据中心间通信时的访问控制,通过端口级的访问策略限制,从而确保整个数据中心的业务安全性。
入侵防御系统具备内置的特征库,通过收集和分析网络行为、安全日志、审计 数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为
和被攻击的迹象。作为防火墙后的第二道闸门,为数据中心业务提供更精细化的安全防护。
三层交换机用于此区域与核心区域互联,提供万兆接入能力。政务外网接入区通过网闸与互联网业务平台进行安全隔离。
5.3.4.1.3云计算区域
云计算区域用于城市大脑数据能力平台服务的核心承载区域,主要提供高性能计算、存储等服务。通过服务器汇聚交换机连接至核心网络区域。
5.3.4.1.4大数据区域
大数据区域由多台大数据一体机组成,用于城市大脑业务数据的最终沉淀。在云计算区域归集、清洗、处理后的海量数据,最终沉淀于大数据区域。
5.3.4.1.5云安全区域
东西向云安全区域由硬件防火墙组成,用于租户内部的业务访问控制,属于 SDN 网络的有机组成。结合安全服务链的技术,给各个租
户灵活地分配安全资源。
5.3.4.1.6管理及安全业务区域
管理区及安全业务区域用于整个基础能力平台的运维管理和安全管理,由管理汇聚交换机、运维防火墙、多台管理接入交换机、堡垒机、数据库审计、漏洞扫描、态势感知、复制分流器等组成。包括云平台管理、统一运维平台监控管理、SDN 网络的统一调度及配置管理、网络设备、服务器设备、存储设备的带外管理、操作系统的管理,是整个数据中心基础架构平台的管理入口。
5.3.4.2云计算资源池
政务外网区云计算资源池除了承载数据能力平台各类软件运行, 未来还需要承载各委办局业务系统以及各类智慧应用。需要提
供丰富的计算和存储能力。
本次项目需要通过x86 服务器、网络设备、存储设备、安全设备等基础硬件设计以及相应的基础能力软件系统为上层提供虚拟化资 源池、容器资源池、大数据资源池、存储资源池等计算和存储能力, 为上层平台提供基础能力支撑。整体架构如下图所示:
5.3.4.2.1虚拟化资源池
虚拟化技术已经成为一种被广泛认可的服务器服务器资源共享方式,它可以在按需构建操作系统实例的过程当中为系统管理员提供极大的灵活性。
虚拟化资源池主要通过部署服务器虚拟化软件,生成虚拟机用于承载各类业务。通过虚拟机HA、虚机热迁移、存储热迁移功能,能够有效减少设备故障时间,确保核心业务的连续性,避免传统IT, 单点故障导致的业务不可用。易实现物理设备、虚拟设备、应用系统的集中监控、管理维护自动化与动态化。便于业务的快速发放, 缩短业务上线周期,高度灵活性与平滑可扩展性,提高管理维护效率。
本次项目建议部署基于Intel CPU 的标准 x86 服务器和服务器虚拟化软件系统实现虚拟化资源池。
5.3.4.2.2容器资源池
容器是一种允许在资源隔离的过程中,运行应用程序和其依赖项的一种内核轻量级的操作系统层虚拟化技术。在目前主流容器调度平台 Kubernetes 之上构建分布式多租户容器资源池与管理平台。这也是在当前大规模高可靠的云服务和大量高性能基于互联网应用的驱动下产生的新一代软件PaaS 平台。
容器资源池要支持容器的共享集群以及独享集群。共享集群通过容器实例引擎服务,能够快速、便捷的部署各类容器应用,基于docker 自身的隔离性、namespace 以及网络策略,实现一定程度的安全隔离, 无需关心底层资源,并提供灰度升级、弹性扩缩容等功能。
有些情况下,需要为某些业务应用提供独享集群。独享集群为用户快速提供高可用的k8s 集群服务,并整合云网络和存储能力,简化集群的管理、运维工作负载,同时提供故障恢复、自动扩容,并依靠基础设施提供的VPC、虚拟机等技术,提供严格的多租户隔离等。
本次项目建议部署基于Intel CPU 的标准 x86 服务器和支持容器技术的Linux 操作系统以及k8s 容器集群管理系统实现容器资源池。
5.3.4.2.3大数据资源池
HADOOP 和MPP 大数据平台利用流式计算、分布式计算、离线计算、分布式存储等技术可以把各委办局数据进行统一汇集并批量处理, 通过大数据平台的加工处理,将整个的数据进行分类分层建模,形成 统一的数据集市和指标表,为后续的业务分析、机器学习、生产监控、生产预警提供数据支撑。通过对各类数据进行分析、提炼、碰撞比对, 服务于大数据业务分析中,最大限度发挥数据的信息化能效,提高智 能化水平。
大数据平台以Hadoop+MPP 为基础,此平台上建立数据采集、数据存储、数据处理及加载、数据治理与管控、数据应用、统计分析等; 最终实现业务整体情况的全方位展示,并对数据进行统一管理、统一分析、统一应用,为城市大脑上层业务开展提供决策支持。
本次项目建议部署基于Intel CPU 的标准 x86 服务器和业界领先的Hadoop+MPP 平台及管理系统实现大数据资源池。
5.3.4.2.4集中式存储资源池
集中式共享存储资源池主要保存结构化数据库数据和虚拟机镜像数据文件。这类数据对存储的性能要求较高(低时延、高IOPS、采用高性能SAS 硬盘),因此集中式存储建议采用高性能 FC 存储。虚拟机镜像文件在云计算平台内是透明且可见的,以确保云计算平台中每个运行的业务都具FailOver(失败切换)功能和按需在线迁移功
能。集中式存储系统,采用 16Gb 的传输端口连接高性能的虚拟化/ 数据库服务器,采用多控制器全交换架构,实现冗余和负载均衡特性。建议存储设备上配置不少于 4 个控制器,同时在主机光纤通道卡、存储交换机、以及存储设备传输链路都考虑冗余设计,提高存储系统的可靠性。
为了保证存储资源池的高可靠性及性能,采用双光纤链路连接。每台虚拟化/数据库服务器配置双16Gb 的HBA 卡,通过双光纤交换机, 经过多链路冗余配置后联入后端存储设备。
本次项目建议部署业内领先的FC 存储系统及FC 交换机实现集中式存储资源池。
5.3.4.2.5分布式存储资源池
集中式存储设备通常是Scale-up 架构,可扩展性差,降低了整个基础设施架构的敏捷性和弹性,难以适应一些基于互联网技术的的应用场景需要。因此需要部署单独的分布式存储资源池为这样场景提供数据存储能力。布式存储使用标准的 x86 服务器,而非专业存储设备。分布式存储通过非标准协议实现服务器上存储资源的整合,并进行存储资源池化和虚拟化处理,最后呈现给上层某种形式(块存储或者文件存储)的存储空间。分布式存储有其特异性,其使用的并非标准协议,因此通常需要在应用服务器安装其客户端软件实现存储空间的虚拟呈现,以及请求的处理。
由于分布式存储拓扑结构的复杂性,其出现故障的概率也大大增
加了。因此,对于分布式存储需要实现基于网络的数据冗余、数据保护和数据容错等功能,确保在出现任何异常情况(例如磁盘、网卡、交换机和服务器等)下存储系统的可用性和可靠性。
本次项目建议部署基于Intel CPU 的标准 x86 服务器和业界领先的分布式存储管理软件实现分布式存储资源池。
5.3.5互联网业务平台
互联网业务平台用于承载城市大脑面向互联网的业务。
5.3.5.1网络安全资源池
互联网业务平台网络安全资源池面向互联网用户,安全防护能力更为重要。
在互联网业务平台网络系统架构中,可分为四大功能区域:核心网络区域、互联网接入区域、云计算区域、管理及安全业务区域。对于不同的区域,承担不同的业务需求,各个业务区域具体功能如下:
5.3.5.1.1核心网络区域
核心区域网络主要包括如下内容:核心交换机、服务器汇聚交换机、租户防火墙、服务器负载均衡。
核心交换机采取云数据中心级别交换机,采取正交CLOS 架构保证整网 3-5 年扩展需求,同时满足丰富的云计算数据中心特性,最大化发挥云平台功能。核心交换负责整个城市大脑基础能力平台与政务网的数据通信,必须具备整机万兆及超万兆处理性能,无阻塞数据处理性能,考虑冗余都采用双链路冗余互联的方式部署,通过
40G 链路互联服务器汇聚交换机。
服务器汇聚交换机,采取云数据中心级别交换机,支持正交 CLOS 架构。
租户防火墙,采用云数据中心级别高性能硬件防火墙,用于互联网区域的南北向访问控制及业务隔离。
服务器负载均衡,通过设备虚拟化功能虚拟成多个虚拟负载均衡设备,用于在互联网区域业务的服务负载。
互联网接入区域
互联网接入区域用于城市大脑数据中心与互联网之间的通讯。作为互联网公众用户访问城市大脑数据中心的入口,同时承担业务的访问控制及安全防护工作。
互联网接入区域由前置接入交换机、流量清洗抗DDOS 设备、链路负载均衡、互联网出口防火墙、入侵防御系统、三层交换机、Web 应用防火墙组成。通过 10G 光纤链路互联互通。
前置接入交换机为二层交换机,用于运营商线路的前置多线路接入。
抗DDOS 设备用于防范来自于互联网的分布式拒绝服务攻击。互联网出口防火墙用于互联网用户与数据中心间通信时的访问
控制,通过端口级的访问策略限制,从而确保整个数据中心的业务安全性。
入侵防御系统具备内置的特征库,通过收集和分析网络行为、安全日志、审计 数据、其它网络上可以获得的信息以及计算机系统中
若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。作为防火墙后的第二道闸门,为数据中心业务提供更精细化的安全防护。
三层交换机用于此区域与核心区域互联,提供万兆接入能力。
Web 应用防火墙用于面向公众的 Web 应用的安全防护。
5.3.5.1.2云计算区域
云计算区域用于城市大脑互联网区域业务的承载,主要提供高性能计算、存储等服务。通过服务器汇聚交换机连接至核心网络区域。
5.3.5.1.3管理及安全业务区域
管理区及安全业务区域用于整个基础能力平台的运维管理和安全管理,由管理汇聚交换机、运维防火墙、多台管理接入交换机、堡垒机、数据库审计、漏洞扫描等组成。包括云平台管理、统一运维平台监控管理、网络设备、服务器设备、存储设备的带外管理、操作系统的管理,是整个互联网业务平台基础架构的管理入口。
5.3.5.2云计算资源池
互联网区云计算资源池主要承载各委办局面向互联网的各类智慧应用。需要提供的计算和存储能力相对简单。
本次项目将部署x86 服务器、网络设备存储设备、安全设备等基础硬件设计以及相应的基础能力软件系统,为上层应用提供虚拟化资
源池、存储资源池服务,从而为上层平台提供基础能力支撑。整体架构如下图所示:
5.3.5.2.1虚拟化资源池
虚拟化技术已经成为一种被广泛认可的服务器服务器资源共享方式,它可以在按需构建操作系统实例的过程当中为系统管理员提供极大的灵活性。
虚拟化资源池主要通过部署服务器虚拟化软件,生成虚拟机用于承载各类业务。通过虚拟机HA、虚机热迁移、存储热迁移功能,能够有效减少设备故障时间,确保核心业务的连续性,避免传统IT, 单点故障导致的业务不可用。易实现物理设备、虚拟设备、应用系统的集中监控、管理维护自动化与动态化。便于业务的快速发放, 缩短业务上线周期,高度灵活性与平滑可扩展性,提高管理维护效率。
本次项目建议部署基于Intel CPU 的标准 x86 服务器和服务器虚拟化软件系统实现虚拟化资源池。
5.3.5.2.2集中式存储资源池
集中式共享存储资源池主要保存结构化数据库数据和虚拟机镜 像数据文件。这类数据对存储的性能要求较高(低时延、高IOPS、 采用高性能SAS 硬盘),因此集中式存储建议采用高性能 FC 存储。虚拟机镜像文件在云计算平台内是透明且可见的,以确保云计算平台中每个运行的业务都具FailOver(失败切换)功能和按需在线迁移功 能。集中式存储系统,采用 16Gb 的传输端口连接高性能的虚拟化/ 数据库服务器,采用多控制器全交换架构,实现冗余和负载均衡特性。建议存储设备上配置不少于 4 个控制器,同时在主机光纤通道卡、存储交换机、以及存储设备传输链路都考虑冗余设计,提高存储系统的可靠性。
为了保证存储资源池的高可靠性及性能,采用双光纤链路连接。每台虚拟化/数据库服务器配置双16Gb 的HBA 卡,通过双光纤交换机, 经过多链路冗余配置后联入后端存储设备。
本次项目建议部署业内领先的FC 存储系统及FC 交换机实现集中式存储资源池。
5.3.6云平台总体安全建设
城市大脑作为政府重要的新型基础设施,安全层面必须遵循等保 2.0 下的三级规范要求,在此规范内进行总体设计,保障云端安全运行。
5.3.6.1安全技术架构设计
从云端接入区安全防护、云上租户安全防护、云平台安全防护、云基础环境安全防护四个维度进行整体安全防护与架构设计:
(1)云端接入区防护:进行边界防护,通过传统安全防护设备实现;
(2)云上租户安全防护:主要是通过“软件定义安全”安全服务提供;
(3)云平台安全防护主要是通过云平台、云操作系统的安全功能实现, 保障云操作系统和云平台安全;
(4)云基础环境安全主要包含物理机房环境安全与物理设备整体安全建设与防护;
总体安全架构设计如下图:
通过此架构设计,可以实现:
(1)实现软件定义安全,将传统安全防护通过软件编程的方式进行业务编排和管理,实现一种灵活的安全防护。
(2)安全即服务:以实际业务量为导向,提供弹性、可扩展安全资源。
(3)实现安全功能的统一管理和调度。
5.3.6.2网络安全产品设计
基于上述架构设计以及安全防护需求及等保规范,本次项目安全部署设备需求如下:
5.3.6.2.1政务外网区及互联网区均部署出口防火墙设备
需要支持多维一体化安全防护。可从用户、应用、时间、五元组、内容安全等多个维度,对流量展开IPS、AV、DLP 等一体化安全访问控制,能够有效的保证网络的安全;支持多种 VPN 业务,如 IPSec VPN、SSL VPN、L2TP VPN、GRE VPN 、ADVPN 等;提供丰富的路由能力, 支持RIP/OSPF/BGP/路由策略及基于应用与URL 的策略路由。政务外网区及互联网区分别采用 2 台多核架构防火墙,前后通风设计,考虑业务容量,吞吐量(大包)≥35Gbps,最大并发连接数≥1600 万, 每秒新建连接数≥50 万。至少配置 8 个千兆电口,8 个万兆光口,用于对外互联。双主控,双电源,双风扇提供冗余性。
5.3.6.2.2政务外网区及互联网区均部署出口IPS 设备
部署在网络的关键路径上,通过对流经该关键路径上的网络数据流进行 4 到 7 层的深度分析,要能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用。能够自定义过滤等
深度安全防御的功能,实现基于用户、应用、时间、服务、IP 等多维度的策略控制功能。
5.3.6.2.3互联网区部署Web 应用防火墙设备
针对目前面对互联网的WEB 业务系统所面临的威胁越来越多,通过部署WAF 设备,可以高效精准的实现各类 SQL 及命令注入、跨站脚本攻击、网页挂马、扫描器扫描、多类敏感数据信息及网站指纹信息泄露、盗链行为等攻击的防护。
5.3.6.2.4政务外网区及互联网区均部署数据库审计设备
数据库审计设备可以完整记录对数据库的所有操作,以达到全审计的目的。以便在未知的风险事件发生后,定位问题的发生过程。
5.3.6.2.5政务外网区及互联网区均部署堡垒机设备
平台部署完成后,运维人员的操作直接关系到数据能力平台以及未来部署的智慧应用是否能够正常运行(误操作、违规操作会导致系统宕机、数据丢失等安全风险)。要实现高效管理、降低运维操作风险,就需要一套运维安全审计系统——堡垒机。借助身份认证、权限控制、操作审计等功能,能够从操作层面解决内控与管理问题,使运维操作管理进入安全与便利相结合的阶段,使运维操作管理过程变得更加简单、安全、有效。
5.3.6.2.6政务外网区部署漏洞扫描设备
政务外网区存储着所有的数据资产,大量信息需要保密。漏洞扫描设备用于评估网络运行环境安全风险,可以对各类服务器、网络设备、安全设备等操作系统环境、数据库环境、WEB 应用等进行综合漏洞扫描检测。能够分析和指出存在的相关安全漏洞及被测系统的薄弱环节,给出详细的检测报告,在各类风险发生之前为安全管理员提供专业、有效的安全分析和修补建议。
5.3.6.2.7政务外网区及互联网区均部署服务器负载均衡
服务器负载均衡设备通过丰富的负载均衡调度算法,对报文承载的内容进行深度解析,根据应用层的分析结果对报文进行处理或者分发,从而保持用户端会话的持续性。
5.3.6.2.8政务外网区部署安全态势感知
安全态势感知基于环境的、动态、整体地洞悉安全风险的能力, 是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置的能力。建立风险通报和威胁预警机制,全面掌握攻击者目的、技战术、攻击工具等信息,建立威胁可视化及分析能力, 对威胁的影响范围、攻击路径、目的、手段进行快速研判,有效进行安全决策和响应。
5.3.6.2.9互联网区部署抗DDOS 设备进行流量清洗
流量攻击在互联网上的大肆泛滥,通过部署抗DDOS 设备可以防护SYN Flood、UDP Flood、ACK Flood、ICMP Flood、DNS Query Flood、NTP reply Flood、CC 攻击等三到七层DDoS 攻击。遭遇特大流量攻击时,可通过流量区域封禁功能,将攻击流量控制到可防护范围内, 驯服特大流量攻击。
5.3.6.2.10政务外网区及互联网区均部署租户防火墙
租户防火墙提供安全服务链,包含南北向硬件服务链,为不同应用定义安全路径,解决灵活迁移与安全边界部署的矛盾,确保流动环境下安全策略的持续有效。提供基于平台租户自身个性化需求的安全策略,按需进行安全防护。
5.3.6.2.11政务外网区部署东西向防火墙
提供东西向软件安全服务链,为不同的政务应用定义安全路径, 解决灵活迁移与安全边界部署的矛盾,确保流动环境下安全策略的持续有效。提供基于租户自身个性化需求的安全策略。按需进行安全防护。
5.3.6.2.12政务外网区部署复制分流器
复制分流器可以将核心交换机上的流量镜像多份,提供给不同的安全设备使用。支持灵活丰富的流量的汇聚、过滤、编辑和分发功能。
支持TAP 的M:N,对称 HASH,分流过滤以及时间戳和报文切片。
5.3.7软件配置
基于“3.6.5 其它系统资源需求估算”章节分析,城市大脑建设完成,将承载大量委办局业务系统和智慧应用,需要更多的资源。结合城市大脑总体架构规划设计,建议由同一设备供应商。
本文所有方案均来自网络,版权归原作者所有,仅供学习参考,禁止商用。转载请注明出处。如果本文内容侵犯了您的权利,请联系我们(Mail:Star#126.com),我们第一时间进行处理!
