5A手机项目基础设施建设完整解决方案5A手机项目基础设施建设完整解决方案
5A手机项目基础设施建设
完整解决方案
文档日期:二〇一三年八月
文档版本:
版本控制表
目 录
1 项目概况
1.1 项目背景
上海广播电视台,前身是上海文广新闻传媒集团(Shanghai Media Group,简称SMG)。2009年8月,根据中央关于文化体制改革的部署和要求,国家广电总局正式批复同意“上海文广新闻传媒集团体制改革方案”,上海文广新闻传媒集团更名为上海广播电视台,成为全国首家获得批准实施制播分离改革的省级媒体集团。同时,上海广播电视台出资成立台属、...
5A手机项目基础设施建设完整解决
5A手机项目基础设施建设
完整解决方案
文档日期:二〇一三年八月
文档版本:
版本控制表
目 录
1 项目概况
1.1 项目背景
上海广播电视台,前身是上海文广新闻传媒集团(Shanghai Media Group,简称SMG)。2009年8月,根据中央关于文化体制改革的部署和要求,国家广电总局正式批复同意“上海文广新闻传媒集团体制改革方案”,上海文广新闻传媒集团更名为上海广播电视台,成为全国首家获得批准实施制播分离改革的省级媒体集团。同时,上海广播电视台出资成立台属、台控、台管的集团
——上海东方传媒集团有限公司(Shanghai Media Group,简称SMG)。2009年10月21日,公司
上海广播电视台、上海东方传媒集团有限公司正式揭牌,拥有资产过百亿元,员工近万人。
面向未来,立足上海,放眼全球,展示上海城市魅力,传播中国海派文化,SMG将被打造成为重要的具有国际影响力的中国骨干文化产业集团和战略投资者。
伴随着信息化发展进入移动互联网时代,针对移动终端的应用开发成为发展趋势。应用能否安全、可靠、高效、稳定的对外提供服务,成为5A手机项目基础设施建设好坏的判定指标。方案将从安全防护解决方案、网管解决方案等多角度、全方位的对基础设施建设做深入的思考,并在关于基础设施建设领域的最佳实践下提供最合理的解决方案。
1.2 设计概述
本方案从需求分析入手,在充分分析系统特点基础上,结合未来SMG应用访问增长量的可能发展趋势,提出了5A手机项目基础设施建设解决方案,并根据我公司在基础设施建设领域的最佳实践以及在类电子商务系统运行维护方面多年的经验提供架构建议以供决策参考。针对各项技术设计的要求,本方案进行了相应的产品选型,随后提出了工程建设阶段的管理与质量保证计划,以及工程建设完成以后的售后服务与计划,方案覆盖了整个系统的生命周期。
方案结构如下:
1.2.1 设计拓扑
参考架构拓扑,提出5A手机项目基础设施建设总体解决方案,解决方案将从以下几个方向
展开:
, 安全防护解决方案
, 网管解决方案
2 设计目标及原则
2.1 需求梳理
目前已经进入移动互联时代,其典型特征是变化快,响应快,这就要求针对市场热点能够快速推出应用并将其部署到移动互联网上,并在基础架构设计上能够对移动互联网时代提供最有利的支撑。
、 最近1~2年,会有手机新媒体开发项目,主要和手机等移动媒体有关。 动感101和1
FM97.7财经广播两个APP应用,上线使用了1年多,测试效果还比较理想。今后几
年的目标主要在移动互联网做应用开发和运营。
2、 最近正在开发针对大学生作为目标人群的APP应用。根据应用需要架设基础设施,
对外会引入SMG技术运营中心的统一出口,作为5A手机项目的互联网出口。
3、 要求在坚持安全(接入,系统和运营)、可维护性、可扩展性(加入新资源,要很快
能够使用,不需要对原有架构做调整)原则的基础上,搭建基础系统构架。
4、 大学生作为应用服务的主要对象,目前上海市有将近80万大学生。目标是希望能够
有总量的30%~50%的大学生能够访问应用,在设备选型时,可以作为其中一个因素。
5、 业务系统希望能够在7月中旬就能上线,故在设备选型时,尽量考虑通用型设备,能
在提交采购申请后及时到货的设备。
2.2 设计原则
根据国家有关法律法规和相关标准,在保证系统基本设计原则的情况下,针对项目的实际需求和应用类型情况,在系统基础架构设计上提出以下设计原则:
, 满足应用快速部署上线的要求:
目前已经进入移动互联时代,其典型特征是变化快,响应快,这就要求针对市场热点能够快速推出应用并将其部署到移动互联网上,故业务应用的部署速度一定要快才能实现,即有快速部
署的需求。
, 基础设施平台具有良好的伸缩性:
移动互联网变化快的特点要求平台具备快速释放资源来供其他应用使用,提高资源利用率。另外,移动互联网会出现大量的突发事件,造成流量和处理量的快速增加,这就要求基础设施平台能够快速的扩充处理能力,以应对突发事件的访问需求。
, 基础设施平台具有良好的可靠性和业务连续性:
业务系统能够带给客户价值,理应达到电信级业务类似的可靠性和业务连续性,从而确保用户服务满意,减少服务纠纷,故基础设施平台要能够满足这方面的要求。
, 基础设施平台具有良好的可管理性:
随着大量增值应用的部署,必然面临着大量的基础设施部署,大量的基础设施部署也意味着大量的管理任务。基础设施平台的可管理性则意味着能够快速高效的管理系统,从而能够及时有前瞻性的应对千变万化的风险。
, 基础设施平台具有良好的安全性:
业务系统的安全性越来越值得重视,不安全的应用平台将会丧失客户,引起纠纷,带来麻烦而不是新的收入。在应用部署的基础设施平台上,也要实现属于基础平台自身安全方面的保障,从而为增值应用打下一个坚实的基础设施基础。
, 基础架构设计的可靠性
业务系统的规模越来越大,网络层面的数据交换越来越频繁,业务的推进越来越依赖网络及其旁属基础设施,作为5A手机项目业务对外提供服务的主要载体,架构设计的可靠性将直接影响业务系统的正常运转。
, 架构和设备选型上要充分考虑可扩容性:
架构的设计必须为公司未来2~3年的发展留有余量,确保其可扩展性设计能够满足业务未来的规模增长需要。
, 架构设计在互联层面要求开放性:
多厂商设备间使用开放的协议互联。
5A手机项目基础设施建设将在尊重需求及应用特点的情况下,从设计原则出发,结合用户需求,考虑多方可能因素,提供最切实可行的解决方案。
2.3 参考标准
, 上海市国民经济和社会信息化领导小组《关于加强上海市信息安全工作的若干意见》
, 国家标准GB/T9387.2-1995信息处理系统 开放系统互连 基本参考模型 第二部分:安全
体系结构
, ISSE 信息系统安全工程
, IATF 信息保障技术框架 美国国家安全局
3 完整解决方案
3.1 设计拓扑
拓扑说明:
5A手机项目基础设施出口网络由SMG外联部分相关负责部门提供单路进线,该进线进入业务系统出口共用双3层交换机,通过交换机的作用双路分拆到主备防火墙。
出口防火墙,提供安全防护和业务拆分功能。通过安全防护机制过滤流进业务系统的有害数据流;同时借助防火墙的DMZ特性以及DMZ区域之间的区域间防护,通过将防火墙DMZ与内网交换机VLAN的结合,提供VLAN间流量的安全过滤,进而保护VLAN所关联的后台应用。
前置服务器通过部署虚拟化,充分利用硬件资源,实现系统虚拟化管理。配合LVS负载均
衡应用软件均衡负载应用资源。
服务器与服务器之间的后台交换机,实现服务器对于编码器的流量互访,以及服务器对存
储资源的读取。
3.2 设计思路
结合用户需求,充分分析应用和业务特点,在类似系统数据中心基础设施建设项目最佳实践
下,本着在可靠性、安全性、稳定性、可扩展性、开放性原则下,方案将从以下几个方面展开介
绍:
, 安全防护解决方案:
, 出口防火墙,提供安全防护和业务拆分功能。通过安全防护机制过滤流进业务系统的
有害数据流,承担保障数据中心前置应用安全的责任。
, 同时借助防火墙的DMZ特性以及DMZ区域之间的区域间防护,通过将防火墙DMZ
与内网交换机VLAN的结合,提供VLAN间流量的安全过滤,进而保护VLAN所关
联的后台应用。
, 为提升网络安全级别,增加DMZ和内网数据转发可靠性,采用同型双防火墙。双防
火墙在硬件层面实现“AB”结构,即采用防火墙间心跳的方式,确保其中一台防火墙
作用网络主设备,另一台防火墙通过心跳线路时时同步链路信息,作为备用防火墙,
在网络链路或设备出现故障的情况下,可以在相互之间形成主备模式,继续承担网络
流量转发任务。
, 网管解决方案:
, 采购服务器资源,部署网管平台。
, 5A手机项目基础设施中所有平台设备启用SNMP协议,网管平台通过SNMP协议管
理业务系统基础设施资源。
, 开启网管平台的警告、故障邮件、短信等功能。
3.3 方案设计
3.3.1 安全防护解决方案
业务系统基础架构中防火墙作为全网出口安全防护设备之一,承担保障数据中心前置应用安全的责任,同时提供不同应用系统之间的安全防护。并在过滤有害流量后路由正常的业务数据。所以,防火墙的故障除影响数据的正常转发外,整网数据的安全防护将毁于一旦,所有数据包括内置应用之间的数据也将曝露于外部网络。
为提升网络安全级别,增加DMZ和内网数据转发可靠性,也为系统基础架构具备升级扩容可能,建议采用同型双防火墙,双防火墙在硬件层面实现“AB”结构,即采用防火墙间心跳的方式,确保其中一台防火墙作用网络主设备,另一台防火墙通过心跳线路时时同步链路信息,作为备用防火墙,在网络链路或设备出现故障的情况下,可以在相互之间形成主备模式,继续承担网络流量转发任务。
3.3.1.1 应用间过滤方案
系统在防火墙安全部署上将防火墙后端服务器区域作为DMZ区域,做相较于外部网络不信任区域的统一安全防护,过滤外部网络对内访问的数据。如上图所示,在防火墙内置的DMZ区域,通过与交换机结合,将不同类型的应用流量或服务器区域,采用VLAN的方式进行分离,并将VLAN信息通过交换机与防火墙之间的互联链路透传到防火墙,防火墙将识别到的带VLAN流量与不同的DMZ区域绑定,DMZ编号与VLAN做一对一关联。将防火墙的安全防护功能部署在不同DMZ区域之间,进而实现不同应用系统或不同服务器区域之间的流量安全过滤需要。
3.3.2 网管解决方案
1.1.1.1 系统亮点
, 向导式部署方式及模板式监控机制
采用向导方式的监控设置,将所有的管理功能统一集中展现给管理员,在一个页面上就可以完成从系统初始化到数据初始化再到使用的全部过程,向导给你贴身的一站式服务。
使用模板进行监控策略的设定,监控指标均可在此进行批量设定。复杂的监控策略,模板让监控更轻松。
, 网段自动资源发现以及无处不在的帮助信息
除对IT资源的指定发现外,还提供了全网自动发现方式,此种发现方式适用于采用SNMP方式进行监控的资源,可以通过IP等网段信息进行批量发现。批量发现只需将要发现的IT资源信息通过Excel文件导入即可对使用Telnet/SSH/WMI等监控方式的资源进行发现,方便了管理员的操作。在易混淆或不易理解的IT专业发现步骤中,以直接的帮助信息展现或小问号图标的形式给予使用者随时随地的帮助提示。
, TOP N提升对危险资源的关注度
可以自由的按照升序和降序的排列图标,针对主机类、网络设备类、应用类的不同的关键指标进行TOP排序,让问题资源不再被忽视。
跑马灯式资源一览,更丰富的资源查看方式
以跑马灯的形式在页面醒目位置展现当前人员有权限查看的所有资源中,不同健康状态的资
源信息,让管理员在第一时间掌握资源健康统计数据。同时可以按资源总数,报警事件数等不同的分类方式在跑马灯中进行展现。
, 实时性能分析,增强监控可靠性
对于主机、网络设备、网络接口、应用等重要资源的重要时刻性能指标进行实时分析。间隔周期可以根据用户的不同需求进行定制,最小周期可定义为5秒。
, 拖拽式打造个人工作空间
按照用户自身不同的关注点,鼠标拖拽对资源的展现内容进行随意定制,同时可方便的进行页面显示内容的定制以及对资源的各种操作。让用户可以打造属于自己的工作空间,将关注内容一个不落的体现在首页。拖拽式的个人空间让展现方式变得众口不再难调。
, 报警多通道,突破传统的监控报警机制
邮件、短信、语音、声光、Alert等报警方式,让报警不再单一枯燥,不但提供多种多样的报警模板,而且告警事件兼容ITU X.733告警规范,可支持按照不同级别的事件进行过滤,让报警更准确更高效。
, 支持订阅的查询式报表
查询式报表,让报表不再单一。通过可定制功能,用户可以订制资源使用报表、故障统计报表、资源趋势报表、TOPN统计报表、可用性统计报表、综合报告等不同类型的报表,并生成柱状图、曲线图、饼图等直观图表,让报表浏览如此轻松。
, VM可视化监控,让资源管理变得简单
通过直观生动的可视化界面展示,打破了运维人员的技术壁垒,即然管理人员对相关的技术不是很精通,但是通过可视化的界面也可以一目了然地了解到监控的资源现在处于什么样的状
态,避免了管理人员为了监控的需要,花费大量的时间去进行相关技术的学习。极大地缩短了人员培训的时间,人员可以直接上手对系统进行操作,缩短了人力周期。
, 安全自管理,让系统运行更稳定
酷点KoolPoint充分考虑用户对安全方面的关注,采取众多措施来保证系统的安全性,包括:
登录时间、登录用户失败次数限制。
管理信息在各个组件之间传输时全部采用SSH加密保护。
对数据库中的用户名、密码等敏感信息,全部采用不可反解的MD5加密存储。
采用严格的权限控制机制,细致划分了每个用户的管理范围和权限。
详细的管理操作日志,管理人员登录到监控系统,可查看监控UNIX系统的syslog日志和window的Event Log。
本文档为【5A手机项目基础设施建设完整解决方案】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。