1、未來(lái)教育 自由互聯(lián)教育云平臺(tái)設(shè)計(jì)方案三通兩平臺(tái)總體設(shè)計(jì)框架BASS以應(yīng)用建設(shè)為中心，硬件建設(shè)為保障，分步實(shí)施，穩(wěn)步推進(jìn)，逐步實(shí)現(xiàn)三通兩平臺(tái)。一期設(shè)計(jì)目標(biāo)和內(nèi)容電教館自有業(yè)務(wù)：教學(xué)資源公共服務(wù)平臺(tái)，開(kāi)展以視頻為基礎(chǔ)的直播公開(kāi)課、名師講堂、一師一優(yōu)課等核心業(yè)務(wù)；教學(xué)管理公共服務(wù)平臺(tái)人人通空間OA辦公等；應(yīng)用超市：提供基本硬件環(huán)境，引入市場(chǎng)上的教學(xué)應(yīng)用軟件，通過(guò)試用，挑選符合韶關(guān)普教特色需要的應(yīng)用IaaS云服務(wù)：中小學(xué)原則上不再新增服務(wù)器等IT設(shè)備，直接使用云資源池，優(yōu)化韶關(guān)教育系統(tǒng)的硬件支出云桌面：優(yōu)先在電教館辦公和測(cè)試環(huán)境使用云桌面替換PC機(jī)，積累經(jīng)驗(yàn)，后續(xù)逐步擴(kuò)展到每個(gè)學(xué)校一期方案詳細(xì)設(shè)計(jì)拓?fù)?/p>

2、圖核心交換機(jī)負(fù)載均衡出口安全網(wǎng)關(guān)(防火墻、入侵檢測(cè)、SSLVPN)行為&流控管理設(shè)備韶關(guān)教育城域網(wǎng)Internet省教育城域網(wǎng) （粵教云）出口路由器云計(jì)算管理服務(wù)區(qū)域云安全訪問(wèn)控制區(qū)DDOS、網(wǎng)頁(yè)防串改系統(tǒng)前置服務(wù)器區(qū)域萬(wàn)兆鏈路千兆鏈路云虛擬機(jī)東西方向云安全控制區(qū)域數(shù)據(jù)庫(kù)服務(wù)器區(qū)域融合接入層交換機(jī) 電教館自有業(yè)務(wù)服務(wù)區(qū)IAAS云服務(wù)區(qū)應(yīng)用超市服務(wù)區(qū)云桌面服務(wù)區(qū)融合接入層交換機(jī)IP-SAN存儲(chǔ)區(qū)域FC-SAN存儲(chǔ)區(qū)域優(yōu)秀教育資源數(shù)字化多媒體化 教育資源云VMvIPSVMvFWVMvNSVMvSLBVMvRter集中共享教學(xué)公共服務(wù)平臺(tái)業(yè)務(wù)區(qū)：需求分析問(wèn)題一：城域網(wǎng)絡(luò)帶寬瓶頸1、學(xué)校多個(gè)班級(jí)同時(shí)收

3、看一堂直播課，城域網(wǎng)帶寬容易成為瓶頸；2、在家，跨運(yùn)營(yíng)商訪問(wèn)，比如家庭寬帶是聯(lián)通，卻通過(guò)電信訪問(wèn)教育局視頻資源；問(wèn)題二：服務(wù)平臺(tái)WEB服務(wù)器瓶頸1、受制于服務(wù)器硬件性能限制，單臺(tái)服務(wù)器處理能力有限。2、受限于中間件連接數(shù)限制（例如Windows IIS限制200并發(fā)）經(jīng)驗(yàn)表明，在千兆城域網(wǎng)帶寬情況下，只能同時(shí)承載500（2M碼流）-1000（1M碼流）個(gè)教室同時(shí)直播。無(wú)法滿足韶關(guān)市全市學(xué)校實(shí)現(xiàn)網(wǎng)絡(luò)教學(xué)的需要。優(yōu)化視頻業(yè)務(wù)：分布式云部署市電教館區(qū)縣電教中心：服務(wù)器+虛擬化市直屬學(xué)校：云點(diǎn)設(shè)備（服務(wù)器+虛擬化）區(qū)屬學(xué)校：云點(diǎn)設(shè)備WEB流媒體WEBWEBWEB后臺(tái)：通過(guò)云點(diǎn)/云彩虹將流媒體分布式部署

4、；前端：通過(guò)DRX擴(kuò)展WEB服務(wù)器運(yùn)營(yíng)商1運(yùn)營(yíng)商2動(dòng)態(tài)資源擴(kuò)展：負(fù)載均衡+DRX鏈路負(fù)載均衡第一步：租戶（學(xué)校、應(yīng)用廠商）申請(qǐng)“運(yùn)行環(huán)境”第二步：電教館審批第三步：租戶（學(xué)校、應(yīng)用廠商）使用應(yīng)用超市&IaaS云服務(wù)區(qū)：需求分析非簡(jiǎn)單的申請(qǐng)?zhí)摂M機(jī)，而是一個(gè)運(yùn)行業(yè)務(wù)系統(tǒng)所需要的整體環(huán)境，以及流程化的服務(wù)；最全的服務(wù)目錄名稱：高性能云主機(jī)規(guī)格：4vCPU 8G內(nèi)存名稱：大內(nèi)存云主機(jī)規(guī)格：4vCPU 16G內(nèi)存云主機(jī)/存儲(chǔ)云防火墻云負(fù)載均衡云網(wǎng)絡(luò)虛擬數(shù)據(jù)中心￥1099/月￥1599/月016CPU0256G01024G云數(shù)據(jù)庫(kù)云應(yīng)用吞吐量：100新建數(shù)：100并發(fā)數(shù)：100安全策略條數(shù)：100吞吐量：

5、200新建數(shù)：200并發(fā)數(shù)：200安全策略條數(shù)：200吞吐量：500新建數(shù)：500并發(fā)數(shù)：500安全策略條數(shù)：1000大型適合1000人以下場(chǎng)景中型適合500人以下場(chǎng)景小型適合100人以下場(chǎng)景50萬(wàn)/月20萬(wàn)/月5萬(wàn)/月￥666/月￥1000/月￥2000/月￥5000/月云網(wǎng)盤(pán)套餐1套餐2套餐3vSwitchvRouter公網(wǎng)IP連接數(shù)：100連接數(shù)：200連接數(shù)：500￥500/月￥1000/月￥3000/月華三云網(wǎng)盤(pán)內(nèi)網(wǎng)Vlan內(nèi)存CPU硬盤(pán)為租戶提供業(yè)務(wù)運(yùn)行所需要的服務(wù)器、網(wǎng)絡(luò)、安全、負(fù)載均衡、數(shù)據(jù)庫(kù)等資源；虛擬計(jì)量，對(duì)內(nèi)統(tǒng)計(jì)云服務(wù)帶來(lái)的價(jià)值，對(duì)外可運(yùn)營(yíng)收費(fèi)；自動(dòng)化編排租戶將申請(qǐng)到的虛

6、機(jī)、網(wǎng)絡(luò)、安全、數(shù)據(jù)庫(kù)、負(fù)載均衡設(shè)備，根據(jù)業(yè)務(wù)需要自定義拓?fù)?；拖拽設(shè)備圖標(biāo)即可自動(dòng)完成拓?fù)涠x，無(wú)需手工配置；SDN+VxLAN構(gòu)建虛擬數(shù)據(jù)中心通過(guò)SDN+VxLAN技術(shù)允許租戶之間的IP地址、VLAN等重疊；租戶的虛擬“運(yùn)行環(huán)境”邏輯隔離，具備互通條件，但滿足必要的安全策略；交換機(jī)FW路由器LBIPS服務(wù)器iSCSI存儲(chǔ)存儲(chǔ)主機(jī)網(wǎng)絡(luò)多租戶網(wǎng)絡(luò)隔離安全域網(wǎng)絡(luò)安全多實(shí)例Hypervisor安全補(bǔ)丁VM訪問(wèn)控制VM防病毒VM存儲(chǔ)備份存儲(chǔ)備份FC存儲(chǔ)云安全接入VPN虛擬FW多租戶安全隔離安全域NAT負(fù)載均衡多租戶安全隔離租戶內(nèi)安全資源限制LBaaSDDoS安全防護(hù)DDoSaaSWEB安全掃描主機(jī)殺毒

7、云安全掃描殺毒存儲(chǔ)安全防護(hù)IaaSFWaaS云安全管理數(shù)據(jù)庫(kù)安全權(quán)限控制及審計(jì)多賬戶數(shù)據(jù)隔離開(kāi)發(fā)環(huán)境安全權(quán)限控制及審計(jì)多賬戶數(shù)據(jù)隔離應(yīng)用安全：身份鑒別、權(quán)限控制、安全審計(jì)、日志審計(jì)、補(bǔ)丁管理內(nèi)容安全：數(shù)據(jù)泄露、敏感信息過(guò)濾、日志審計(jì)應(yīng)用系統(tǒng)代碼安全性分析SaaSPaaS云安全業(yè)務(wù)部署及策略調(diào)整云安全日志分析和行為審計(jì)安全規(guī)章制度安全應(yīng)急響應(yīng)機(jī)制及處理流程云安全服務(wù)基礎(chǔ)安全加固整體安全設(shè)計(jì)一期方案的安全設(shè)計(jì)核心交換機(jī)負(fù)載均衡出口安全網(wǎng)關(guān)(防火墻、入侵檢測(cè)、SSLVPN)行為&流控管理設(shè)備韶關(guān)教育城域網(wǎng)Internet省教育城域網(wǎng) （粵教云）出口路由器云安全訪問(wèn)控制區(qū)DDOS、網(wǎng)頁(yè)防串改系統(tǒng)前置服

8、務(wù)器區(qū)域萬(wàn)兆鏈路千兆鏈路融合接入層交換機(jī)融合接入層交換機(jī)DMZ區(qū)：對(duì)內(nèi)網(wǎng)的安全防護(hù)出口區(qū)：防火墻策略、入侵防御策略、行為審計(jì)云計(jì)算管理服務(wù)區(qū)域云虛擬機(jī)東西方向云安全控制區(qū)域數(shù)據(jù)庫(kù)服務(wù)器區(qū)域 電教館自有業(yè)務(wù)服務(wù)區(qū)IAAS云服務(wù)區(qū)應(yīng)用超市服務(wù)區(qū)云桌面服務(wù)區(qū)IP-SAN存儲(chǔ)區(qū)域FC-SAN存儲(chǔ)區(qū)域管理員賬號(hào)安全云安全的精細(xì)化設(shè)計(jì)VMComwarevFW/Vips/VLB教育云業(yè)務(wù)紛繁多樣，安全要求高：通過(guò)服務(wù)器安裝VFW、VIPS、VLB實(shí)現(xiàn)了虛擬機(jī)內(nèi)部的安全隔離；確保租戶虛擬機(jī)互訪的安全性；WEBAPPService NodesVMVMVMvSwitchLeafLeafVMVMVMvSwitchL

9、eafVMVMVMvSwitchLeafLeafVMVMVMvSwitchSpineSpineVxLAN Network服務(wù)鏈業(yè)務(wù)節(jié)點(diǎn)東西向流量FW LB云安全設(shè)計(jì)：東西向流量CoreCore城域網(wǎng)LSWLSW城域網(wǎng)教育網(wǎng)Internet云安全訪問(wèn)控制區(qū)FW/IPS租戶租戶租戶租戶租戶云主機(jī)&云存儲(chǔ)需求：多業(yè)務(wù)主機(jī)縱向隔離保證南北向數(shù)據(jù)安全隔離；實(shí)現(xiàn)：安全按需求分配資源；CPU、內(nèi)存、會(huì)話數(shù)嚴(yán)格物理隔離，互不影響，租戶業(yè)務(wù)突發(fā)，不會(huì)影響其他租戶安全性能；云安全設(shè)計(jì)：南北向流量方案的可靠性設(shè)計(jì)核心交換機(jī)負(fù)載均衡出口安全網(wǎng)關(guān)(防火墻、入侵檢測(cè)、SSLVPN)行為&流控管理設(shè)備韶關(guān)教育城域網(wǎng)Inte

10、rnet省教育城域網(wǎng) （粵教云）出口路由器IP-SAN存儲(chǔ)區(qū)域FC-SAN存儲(chǔ)區(qū)域云計(jì)算管理服務(wù)區(qū)域云安全訪問(wèn)控制區(qū)DDOS、網(wǎng)頁(yè)防串改系統(tǒng)前置服務(wù)器區(qū)域萬(wàn)兆鏈路千兆鏈路云虛擬機(jī)東西方向云安全控制區(qū)域數(shù)據(jù)庫(kù)服務(wù)器區(qū)域業(yè)務(wù)網(wǎng)融合接入層交換機(jī) 電教館自有業(yè)務(wù)服務(wù)區(qū)IAAS云服務(wù)區(qū)應(yīng)用超市服務(wù)區(qū)云桌面服務(wù)區(qū)融合接入層交換機(jī)計(jì)算：虛機(jī)HA、備份、無(wú)狀態(tài)計(jì)算存儲(chǔ)：FC存儲(chǔ)：?jiǎn)闻_(tái)Fast Raid、兩臺(tái)之間同步復(fù)制IP存儲(chǔ)：?jiǎn)闻_(tái)Raid5，多臺(tái)之間網(wǎng)絡(luò)Raid、網(wǎng)絡(luò)、安全：雙機(jī)熱備、IRF2虛擬化鏈路：冗余備份、鏈路捆綁統(tǒng)一的運(yùn)維平臺(tái)：基于業(yè)務(wù)的監(jiān)控視角通過(guò)圖形化的業(yè)務(wù)拓?fù)淇芍庇^反映業(yè)務(wù)包含的IT資源及其

11、之間的關(guān)系，可一目了然的定位故障點(diǎn)直觀反映資源、業(yè)務(wù)、用戶間的關(guān)系基于業(yè)務(wù)邏輯的故障定位IT資源容量規(guī)劃及預(yù)警容量規(guī)劃云辦公區(qū)云端：教育局?jǐn)?shù)據(jù)中心劉老師的辦公桌面家辦公室教室劉老師在家瀏覽教學(xué)資源劉老師在辦公室修改課件、利用私人桌面辦理社保劉老師去12班教室上課 裝機(jī)方便 節(jié)省成本；管理簡(jiǎn)單、統(tǒng)一劉老師的私人桌面云桌面是基于云的典型應(yīng)用。在電教館辦公區(qū)和測(cè)試區(qū)，開(kāi)展云桌面的試點(diǎn)，共100個(gè)點(diǎn)?？偨Y(jié)：方案優(yōu)勢(shì)統(tǒng)一交付云網(wǎng)融合整體安全最佳實(shí)踐三通兩平臺(tái)成功案例南京教育云方案特色：多級(jí)云架構(gòu)，市-區(qū)-學(xué)校；云點(diǎn)、云彩虹最佳落地，解決視頻會(huì)議、公開(kāi)課等臨時(shí)業(yè)務(wù)；市電教館面向電教館內(nèi)部、直屬中小學(xué)，同時(shí)

12、作為江寧區(qū)電教中心資源的備份與擴(kuò)展。江寧區(qū)電教中心利用云彩虹技術(shù)在資源層面實(shí)現(xiàn)互通，實(shí)現(xiàn)教學(xué)資源的共建共享。同時(shí)支撐全區(qū)的教育城域網(wǎng)和云數(shù)據(jù)中心，實(shí)現(xiàn)硬件資源的集中減少投資，也減輕學(xué)校管理員的工作量。中、小學(xué)通過(guò)云點(diǎn)技術(shù)實(shí)現(xiàn)與資源平臺(tái)的互通，既可實(shí)現(xiàn)資源上傳，也可根據(jù)學(xué)校需要將云端的資源提前下載到本地，滿足教學(xué)效果需要。蘇州教育云教育城域網(wǎng)第一中學(xué)覓渡中學(xué)核心交換機(jī)數(shù)據(jù)中心匯聚+LB二十中學(xué)電信移動(dòng)聯(lián)通CAS、CICVMware云數(shù)據(jù)中心方案：服務(wù)器虛擬化，構(gòu)建資源池，為學(xué)校提供IaaS服務(wù)；簡(jiǎn)易管理方案：實(shí)現(xiàn)基礎(chǔ)設(shè)施的統(tǒng)一可視化管理，基于業(yè)務(wù)視圖自動(dòng)告警城域網(wǎng)方案：統(tǒng)一互聯(lián)出口，IPS、ACG提供出口安全；S105構(gòu)建高性能高可靠萬(wàn)兆城域