法院信息化平台建设实施方案(纯方案,26页)

目录
1实施背景 (2)
2实施目标 (2)
3实施计划 (3)
3.1实施人员 (3)
3.2实施周期 (3)
3.3硬件设备清单 (4)
3.3.1服务器规划 (4)
3.3.2存储规划 (4)
3.3.3网络规划 (7)
4项目实施 (14)
4.1VServer平台安装配置、登录 (14)
4.2虚拟机的资源规划 (14)
4.3实施拓扑图 (15)
4.4实施说明 (16)
4.4.1群集概述 (16)
4.4.2网络配置 (16)
4.4.3负载均衡 (20)
4.4.4高可用性 (22)
4.4.5NFS镜像库 (22)
5项目定制开发 (23)
5.1通达海业务负载均衡定制开发 (23)
5.1.1业务背景说明 (23)
5.1.2解决方案 (24)
5.2数据中心管理平台界面定制 (25)
6实施总结 (25)
1实施背景
为进一步加强xx信息化基础设施建设，保障全省xx各业务系统安全、稳定、高效运行，为保障全省xx审判业务系统的统一部署和升级，计划将各基层xx的审判业务数据集中迁移部署至中院统一存储管理，通过xx专网把数据汇聚至省高级人民xx数据中心，实现全省xx 业务系统的统一管理、资源整合的目标。

随着孝感中院信息化建设与应用业务的不断发展，越来越多的业务系统即将部署使用，现有网络机房条件已无法满足上述应用的需要，需要进行网络机房升级改造；采用虚拟化技术搭建“云平台”架构，利用高性能服务器集群配合虚拟化平台软件，配置高性能存储系统，实现多个业务系统数据集中归档、统一存储、统一管理，最大限度满足孝感中院乃至全省数据中心的高效率、高性价比和自动化管理等要求，并为后续5-10年我省xx信息化发展提供可扩展的应用支持平台。

我方（xx）有幸成为服务器虚拟化平台软件提供商，采用公司旗下产品（xxVServer）为孝感市中级人民xx信息系统搭建虚拟化平台，助力孝感市中级人民xx信息化发展。

产品中标后，由我方为孝感市中级人民xx提供虚拟化软件平台安装部署、调试及售后保障和技术主持服务。

2实施目标
通过xxVServer搭建基础架构，充分利用主机计算能力、存储空间，在第一阶段提供以基础设施服务(IaaS)层次上的云计算服务，然后逐步扩展到平台即服务和软件即服务的类型。

1)在平台架构和技术形态上，实现高弹性、易扩展、高可用、统一管理调配的IT服务资
源平台。

2)建立紧凑型IT体系和信息基础设施，采用界领先技术以适应未来各种应用对服务器、
存储等基础架构的发展。

3)采用云计算技术，结合创新建设模式，搭建集中统一的云计算平台，保障科技法庭和审
判系统的高效、稳定运行，同时为各部门信息资源共享、数据交换和协同办公提供了良好支撑。

4)提高xx业务的数据存储的集中和安全性。

5)提供业务应急备案，当服务器等硬件故障，业务可快速恢复，保障业务运行连续性。

6)弹性的虚拟化架构，可适用未来xx业务的扩展，提高新业务上线部署周期，同时可扩
展到未来xx云平台。

7)通过降低成本、提升效率、节能减排，满足行业信息化发展要求。

3实施计划
由于本次虚拟化平台建设涉及到司法工作核心业务，安全要求高，且系统需要支撑日常司法工作运转，直接关系到日常工作能否正常开展，故对系统的安全性、稳定性要求较高。

同时由于xx中“通达海”业务系统特殊性，对虚拟化业务平台有定制开发的需求。

我方对项目实施非常重视，定制非常详尽的安装实施计划并派遣了公司最好的资深售后实施工程师和研发人员进行项目实施和定制开发。

确保孝感市中级人民xx虚拟化平台顺利搭建，保障xx业务系统平稳运行。

3.1实施人员
3.2实施周期
第一阶段（2014.7.29-8.10）：基础设施规划和虚拟化部署
1)在服务器、存储设备上线后，配合硬件厂商进行了网络规划和调整；
2)安装部署虚拟化，规划共享存储，创建虚拟机，将北塔的网管软件迁移到虚拟环境
第二阶段（2014.8.28）：协助迁移区xx业务到中级人民xx数据中心
1)协助通达海区域数据库服务器迁移和业务搭建
2)协助在虚拟化环境部署xx综合管理门户平台等9个应用系统
第三阶段（2014.9.28-9.30）：业务运行调试，为正式上线做准备
1)协助通达海业务运行调试
2)配置高可用性、负载均衡策略
3.3硬件设备清单
3.3.1服务器规划
根据项目计划本次实施采用两台联想ThinkServer RQ940搭建服务器虚拟化群集，服务器详细配置如下：
虚拟化平台物理服务器硬件配置基础信息表
3.3.2存储规划
本项目采用联想EMC VNX5400共享存储支持虚拟化平台建设
表3-1 存储配置表
表3-2 磁盘用途表
表3-3 LUN容量划分表
存储交换机
在本项目中采用博科E300 FC SAN存储交换机与存储设备共同构建FC SAN网络。

交换机配置24个端口（本项目中已激活8个端口，其余16个端口未激活），2个配置长波模块端口未激活。

●管理IP:10.77.77.77●配置用户名：root ●密码password1
光纤实际上架如下图：
3.3.3网络规划
核心交换
数据中心采用华为QuadiWay S5600作为内网核心交换机。

核心交换机创建了10个VLAN，VLAN ID为3至12。

表3-4 核心交换机VLAN地址段对应表
表3-5 核心交换机VLAN端口对应表
核心交换机21端口配置为Trunk模式，此端口连接华为S5700S-28P-LI-AC接入层交换机Trunk端口上。

核心层交换机s5600串口模式配置密码为空，配置信息如下：
<5624P>sys
System View: return to User View with Ctrl+Z.
[5624P]dis cu
#
sysname 5624P
#
vfs check check-method fix
#
radius scheme system
#
domain system
#
local-userhuawei
password cipher N`C55QK<`=/Q=^Q`MAF4<1!! service-type telnet
level 3
#
vlan 1
#
vlan 3
#
vlan 4
description 1F
#
vlan 5
description 2F
#
vlan 6
description 3F
#
vlan 7
description 4F
#
vlan 8
description 5F6F
#
vlan 9
description 7F
#
vlan 10
description 8F
#
vlan 11
description 9F
#
vlan 12
description 10F
#
vlan 13
description 11F
#
vlan 100
description uplink
#
interface Vlan-interface3
ip address 144.28.3.1 255.255.255.0 #
interface Vlan-interface4
ip address 144.28.4.1 255.255.255.0 #
interface Vlan-interface5
ip address 144.28.5.1 255.255.255.0 #
interface Vlan-interface6
ip address 144.28.6.1 255.255.255.0 #
interface Vlan-interface7
ip address 144.28.7.1 255.255.255.0 #
interface Vlan-interface8
ip address 144.28.8.1 255.255.255.0 #
interface Vlan-interface9
ip address 144.28.9.1 255.255.255.0 #
interface Vlan-interface10
ip address 144.28.10.1 255.255.255.0 #
interface Vlan-interface11
ip address 144.28.11.1 255.255.255.0 #
interface Vlan-interface12
ip address 144.28.12.1 255.255.255.0 #
interface Vlan-interface13
ip address 144.28.13.1 255.255.255.0 #
interface Vlan-interface100
ip address 144.28.2.2 255.255.255.0 #
interface Aux1/0/0
#
interface GigabitEthernet1/0/1
port access vlan 3
#
interface GigabitEthernet1/0/2
port access vlan 3
#
interface GigabitEthernet1/0/3
port access vlan 4
interface GigabitEthernet1/0/4 port access vlan 4
#
interface GigabitEthernet1/0/5 port access vlan 5
#
interface GigabitEthernet1/0/6 port access vlan 5
#
interface GigabitEthernet1/0/7 port access vlan 6
#
interface GigabitEthernet1/0/8 port access vlan 6
#
interface GigabitEthernet1/0/9 port access vlan 7
#
interface GigabitEthernet1/0/10 port access vlan 7
#
interface GigabitEthernet1/0/11 port access vlan 8
#
interface GigabitEthernet1/0/12 port access vlan 8
#
interface GigabitEthernet1/0/13 port access vlan 9
interface GigabitEthernet1/0/14 port access vlan 9
#
interface GigabitEthernet1/0/15 port access vlan 10
#
interface GigabitEthernet1/0/16 port access vlan 10
#
interface GigabitEthernet1/0/17 port access vlan 11
#
interface GigabitEthernet1/0/18 port access vlan 11
#
interface GigabitEthernet1/0/19 port access vlan 12
#
interface GigabitEthernet1/0/20 port access vlan 12
#
interface GigabitEthernet1/0/21 port link-type trunk
port trunk permit vlan all
#
interface GigabitEthernet1/0/22 port access vlan 13
#
interface GigabitEthernet1/0/23
port access vlan 100
#
interface GigabitEthernet1/0/24
port access vlan 100
#
interface GigabitEthernet1/0/25
shutdown
port access vlan 13
#
interface GigabitEthernet1/0/26
shutdown
port access vlan 100
#
interface GigabitEthernet1/0/27
port link-type trunk
port trunk permit vlan all
shutdown
#
interface GigabitEthernet1/0/28
shutdown
port access vlan 100
#
interface Cascade1/2/1
#
interface Cascade1/2/2
#
interface NULL0
#
ip route-static 0.0.0.0 0.0.0.0 144.28.2.1 preference 60
ip route-static 192.168.13.0 255.255.255.0 144.28.13.2 preference 60
#
user-interface aux 0 7
user-interfacevty 0 4
authentication-mode scheme
接入层交换机
服务器所有网卡（虚拟交换机）直接连接接入层交换机( 型号：华为S5700S-28P-LI-AC)，接入层交换机1至14端口全部trunk模式，其余10个端口为出厂默认配置，允许所有VLAN 通过，接入层同时创建与核心层相同的VLAN ID (3至12) 。

接入层交换机华为S5700S-28P-LI-AC配置密码openker123。

4项目实施
4.1VServer平台安装配置、登录
本项目中采用两台联想ThinkSever RQ940安装VServer虚拟化软件，搭建服务器虚拟化群集系统。

平台基本配置如下表：
虚拟化平台物理服务器配置信息表
VServer管理平台信息表
4.2虚拟机的资源规划
中院采用定制开发的“通达海框架系统”平台承载核心业务系统。

审判流程管理系统、审判质量效率评估、办公自动系统、司法政务、法官绩效考核、风险防控、通达海框架系统、门户平台、委托鉴定系统九大核心业务系统运行在“通达海框架系统”中。

由于平台业务的特殊性，九大应用必须部署在一个操作系统中，一个虚拟机无法承载整个业务系统负载要求，
因此根据核心业务系统负载要求我们采用五台虚拟机组建负载均衡群集用于支撑核心业务系统。

本次项目中北塔网管系统也是非常重要的组成部分，因此整个虚拟化平台共使用6台虚拟服务器。

核心业务负载群集采用模板快速创建，虚拟机配置相同其配置信息如下表：
核心业务虚拟服务器信息表
北塔网管虚拟服务器信息表
4.3实施拓扑图
4.4实施说明
4.4.1群集概述
服务器虚拟化群集包含2两台物理服务器：192.168.20.11为控制节点，192.168.20.12为计算节点。

4.4.2网络配置
4.4.2.1网络基本配置
网络划分
虚拟化群集中两台物理服务器都配置了四块物理网卡，每块网卡都配置为虚拟交换机。

每台物理服务器的eth0网卡配置为管理网络，用于管理数据通信。

其余网卡配置为数据网络，允许所有VLAN数据通过。

服务器网卡配置
虚拟交换机
网络拓扑
4.4.2.2V LAN
VServer服务器虚拟化平台创建了7个虚拟VLAN，VLAN设置及对应的IP地址段与核心交换机VLAN（3~9）一致。

4.4.2.3外部IP地址
192.168.20.~网段为服务器虚拟化平台专用管理网段，与业务网段（144.28.~.~）完全不同。

这样配置的目的在于隔离管理网络和业务网络，减少业务网络中的广播。

但是由于中院内网采用网段与业务网段相同，因此无法直接访问VServer管理控制平台，对平台进行管理。

因此配置了管理平台外部地址将144.28.3.101分配给管理平台。

在中院内网终端通过http://144.28.3.101:19888即可访问管理平台。

4.4.3负载均衡
根据院业务需求，在VServer虚拟化平台启用负载均衡功能并为核心业务集群创建了负载均衡器。

“通达海”业务平台是一个综合平台，多个核心应用与平台部署在虚拟服务器中，因此需要针对每一个应用配置负载均衡策略。

不同的应用采用不同的端口，我方根据应用实际情况创建了14条负载策略分别对应不同的应用系统，端口号为：80~93。

详细配置样例
4.4.4高可用性
服务器虚拟化群集中192.168.20.11,12两台物理服务器组成高可用集群，当192.168.20.11&12任意一台服务器发生服务器异常宕机、硬件故障、网络断开、断电等故障时，其上运行的虚拟机将自动迁移到另外一台服务器上运行。

4.4.5NFS镜像库
本次实施过程总，我方实施人员在192.168.20.11服务器本地磁盘中创建了全局镜像库。

可通过FTP客户端上传ISO镜像至镜像库中，上传后的ISO可用于整个虚拟化平台虚拟机安装操作系统和数据光盘的挂载。

5项目定制开发
5.1通达海业务负载均衡定制开发
5.1.1业务背景说明
中院采用定制开发的“通达海框架系统”平台承载核心业务系统，九大业务系统与“通达海”平台紧密结合。

当这套系统部署在虚拟化环境中，单台虚拟服务器无法承担所有应用负载，因此必须采用应用负载均衡的方式来分担访问压力，由多台虚拟服务器组建负载均衡群集共同对外提供服务。

定制开发的“通达海框架系统”有一定的特殊性，用户需要访问其他业务系统时必须先登录“通达海”平台认证通过后才能继续访问其它业务系统。

在传统负载均衡群集中，如一个用户需要访问一个业务系统，负载均衡器会按照策略分流访问请求，为其分配一个服务器响应。

由于访问其它业务系统需要在平台登录认证，因此用户会在被分配的服务器上进行认证。

当认证通过后服务器会对用户授权对其它业务系统的访问，当用户获得授权后会再次发送对其它业务的访问请求。

传统负载均衡器收到访问请求以后会根据策略再次分配一台服务器响应请求，但是所分配到的服务器并不一定是上次请求所分配的服务器，在新分配的服务器中该用户可能没有经过“通达海”平台认证通认证。

由于“通达海”平台系统的特性，新分配的服务器会拒绝该用户对其它业务系统的访问请求，从而导致访问失败。

5.1.2解决方案
我方通过调研，掌握了“通达海”平台运行的工作原理，对VServer平台进行了二次定制开发，针对孝感xx“通达海”平台工作原理对负载均衡功能进行了修改，以满足“通达海”平台对负载均衡器的要求。

定制开发完成后，“通达海”平台负载均衡机制发生了改变。

当用户需要访问一个业务系统时，负载均衡器会按照策略分流首次访问请求，为其分配一个服务器响应。

访问请求在所分配的服务器的“通达海”平台进行登录认证。

认证通过后服务器会对用户授权对其它业务系统的访问，同时将自身IP地址信息发送给用户并写入浏览器Cookie中。

用户获得授权后会再次发送对其它业务的访问请求，负载均衡器再次收到用户访问请求后，将读取Cookie 中的信息并根据信息中的IP地址将访问请求分流到第一次相应客户请求的服务器。

由于用于已经在该服务器上进行了登录认证，因此就可以正常访问其他业务系统。

由于用户浏览器Cookie中的IP地址信息为暂存模式，当用户退出登录或关闭浏览器时IP地址信息将会被清除。

当用户再次通过浏览器访问平台时，负载均衡器将根据策略分流请求，重新指定一台服务器响应请求，并通过登录认证后再次将IP地址信息写入到用户浏览器Cookie中，从而通过上述机制实现“通达海”平台正常负载。

5.2数据中心管理平台界面定制
本项目服务器虚拟化中标产品xxVServer为通用虚拟化基础架构平台软件，与孝感市整个业务系统界面风格存在着一定的差异。

为统一风格，提高业务平台整体集成度，我方针对本项目对VServer管理控制平台界面风格进行了定制，以满足用户需求。

定制后管理界面如下图：
6实施总结
通过一个多月分阶段的实施，我方于9月底完成了虚拟化平台建设和平台内业务系统的安装部署并通过定制开发实现了VServer虚拟化平台的调优工作。

经过测试，证明VServer
是安全、快速、稳定和可靠服务器虚拟化平台，平台符合孝感市中级人民xx业务系统的个性化需求。

通过试运行，于10月8日圆满的完成平台系统的验收工作并得到了院领导及省高院领导的肯定。

我们非常荣幸能够为湖北省xx系统信息化建设作出一定的贡献。

我们将积极做好售后服务工作，确保平台平稳运行。

并不断创新和完善我们产品，力争为湖北省xx系统信息化建设作出更多贡献。