上海示范园区 漕河泾智慧园区解决方案技术建议书V5.0 116页 深信服园区云解决方案技术建议书

漕河泾智慧园区整体解决方案深信服园区云解决方案技术建议书v5.0
目录
上海漕河泾智慧园区解决方案技术建议书5.0..............................
1 智慧园区的发展背景及思路 (4)
2 漕河泾智慧园区项目概述 (7)
2.1 建设意义 (8)
2.2 建设原则 (8)
2.3 建设关键需求 (11)
2.4 建设组件及建设模式 (12)
3 本次项目建设方案思路 (15)
3.1 漕河泾现状分析 (15)
3.2 深信服方案思路 (17)
3.3 园区云平台融合纳管方案 (21)
3.4 智慧园区WIFI覆盖及应用平台 (22)
3.5 智慧园区综合设备管理监控调度平台 (39)
3.6 智慧园区拎包入住解决方案 (41)
3.7 后期方案扩展智慧园区（物联网） (42)
4 深信服园区云平台解决方案 (46)
4.1 园区云平台系统架构 (47)
4.2 园区云平台资源管理 (48)
4.2.1 完善的生命周期管理 (48)
4.2.2 虚拟资源的弹性 (50)
4.3 园区云平台功能特色 (51)
4.3.1 统一资源门户 (51)
4.3.2 易用的自助服务 (53)
4.3.3 透视化的运维分析 (54)
4.3.4 精细化的运营管理 (55)
4.4 园区云平台的价值 (55)
5 深信服超融合架构解决方案 (57)
5.1 超融合架构层 (58)
5.1.1 服务器虚拟化（aSV） (58)
5.1.2 网络虚拟化（aNET） (62)
5.1.3 存储虚拟化（aSAN） (67)
5.1.4 网络功能虚拟化（NFV） (71)
5.2 多业务模板层 (79)
5.3 虚拟化管理平台 (80)
5.3.1 服务器虚拟化管理模块 (80)
5.3.2 网络虚拟化管理模块 (82)
5.3.3 存储虚拟化管理模块 (85)
5.4 深信服超融合架构方案价值和优势总结 (87)
5.4.1 深信服超融合架构价值 (87)
5.4.2 深信服超融合架构的优势 (88)
6 深信服桌面云架构解决方案 (90)
6.1 智慧园区桌面云解决方案概述 (90)
6.1.1 服务提供商总部办公解决方案 (91)
6.1.2 服务提供商分部办公解决方案 (93)
6.1.3 租户用户办公解决方案 (94)
6.1.4 终端接入解决方案 (95)
6.2 智慧园区桌面云解决方案优势 (95)
7 深信服云安全整体解决方案 (97)
7.1 智慧园区云安全需求分析 (97)
7.2 平台侧需求落地 (100)
7.2.1 平台安全需求 (100)
7.2.2 接入安全需求 (101)
7.2.3 业务可靠需求 (102)
7.3 租户侧需求落地 (104)
7.3.1 租户间隔离需求分析 (104)
7.3.2 租户虚拟机需求分析 (104)
7.3.3 租户互联网业务需求分析 (104)
7.3.4 租户外网业务需求分析 (105)
7.4 管理运维需求落地 (106)
8 深信服云解决方案案例实践及友商对比 (108)
8.1 深信服与H3C整体解决方案对比 (108)
8.2 成都电信私有云案例 (109)
8.3 宇宙互联云服务案例 (111)
传统园区建设者对于园区建设只做到九通一平，即基本的水电气、交通、建筑等基础设施建设，信息化、智能化、IT建设都由入驻企业自行完成。

而很多企业的IT机构却面临着一种新的困境：高昂的硬件成本和管理运营成本、缓慢的业务部署速度以及缺乏统一管理的基础架构。

1、高昂的成本支出
随着IT规模的不断膨胀，数据中心内的服务器数量、网络复杂程度以及存储容量急剧增长，随之带来的是高昂的硬件成本支出以及运营成本支出（电力、制冷、占地空间、管理人员等）。

✓基础结构成本：托管、冷却、连接服务器以及为服务器提供电源都会随着服务器数量的增长而导致成本大量增加。

仅服务器电力需求一项就占总成本一大块，估计数据
中心的 1000 台服务器的电力成本每年都在 45,000 美元以上。

✓硬件成本：每年服务器在容量和计算能力上都呈增长趋势。

随着服务器变得越来越强大，最大化的利用这些超强资源也变得愈加困难。

IT 组织和应用服务用户习惯为每
个应用服务部署一台独立服务器以确保完全控制该应用服务。

几乎在所有情况下，部
署这些功能强大的服务器将会使服务器过剩50-500%。

✓软件成本：通常服务器需要从操作系统或应用软件厂商那里获取许可证与支持。

✓管理成本：迄今为止，管理成本是服务器成本中最大的一个部分，分析专家估计管理成本占服务器总拥有成本的50-70%。

IT技术人员不得不对软硬件进行升级、打补
丁、备份以及修复，部署新的服务器及应用，维护用户账户并执行许多其他任务。

随
着服务器数量的增长，IT 部门发现他们面临着满足相关服务器管理需求的挑战。

2、缓慢的业务部署速度
新的服务器、存储设备和网络设备的部署周期较长，整个过程包括硬件选型、采购、上架安装、操作系统安装、应用软件安装、网络配置等。

一般情况下，这个过程
需要的工作量在20～40小时，交付周期为4～6周。

3、分散的管理策略
数据中心内的IT基础设施处于分散的管理状态，具体表现为：
✓机房管理员遵循“根据最坏情况下的工作负载来确定所有服务器的配置”这一策略导致服务器的配置普遍过高。

✓容易出现大量“只安装一个应用程序”而未得到充分利用的x86服务器。

提交变更请求与进行运营变更之间存在较长的延迟。

✓缺少统一的集中化IT构建策略，无法对数据中心内的基础设施进行监控、管理、报告和远程访问。

而随着各类新兴IT技术的发展，传统建设模式已经不能满足入驻企业、园区管理
方的需求，亟需一种能解决传统园区缺乏整体规划、信息重复建设、信息服务薄弱、
资源浪费等问题的方案。

信息化未来的最大价值在于使资源的供应方和需求方通过网络云服务平台联系在
一起，这些资源包括传统的自然资源、社会人文资源、各行各业的工业企业资源和信
息资源。

现代化城市建设和管理，需要统一和协调三个方面的重大关注，特别是充分
适应和满足众多中小企业高速发展产生的各种需求，才能确保更好带动区域经济健康
良性成长。

智慧园区信息化云服务平台的建设和落地，最重要的原因是综合性产业政策环境，园区管理内部的信息化需求，加上各行业中小企业产业建设发展带来的旺盛的信息化
需求。

打破传统的假设思路，通过构建智慧的园区云，提供内部和外部的全面融合。

在国外，城市规划与设计发展的主流目标是建设“智慧城市”，而较少谈到如何
建设“智慧园区”。

这主要是因为国外有一种主流观点，即脱离城市支持的独立产业
园区，是不具有生命力和竞争力的，在未来还会对整个城市的交通和环境构成大量负面影响。

基于这种观点，国外许多新城镇开发中，会将整个城镇区域划分成有机融合的产业区、商务办公区、住宅区、商业区、公共服务区和交通区域等，然后引入不同的开发商，按预先制定的统一规划进行开发，开发完成后就是一个功能齐全的产业新城。

然而在国内，很多时候受土地规划属性的限制，新城镇不同用途的各个区域被人为分割开，并由不同的责任主体负责开发，不同开发主体之间难以形成统一的规划和设计方案。

因此，“智慧园区”就从城市开发的整体工作中突显出来，构成了与“智慧社区”相对应的一个独立的研究和发展目标。

今年，上海市经信委专门组织研究“智慧新城”的规划和开发模式，说明政府已关注到了这其中存在的问题，但由于种种传统因素，“智慧新城”尚未成为开发主流。

而且，由于各大产业园区是各级地方政府财税收入和财政支出的核心支柱，往往可以得到政府的更多关注和更大支持，所以在国内，“智慧园区”不仅是整个“智慧城市”中最重要的组成部分，而且也是最有可能得到优先发展的区域。

智慧园区的发展，往往是在政府引导下，由本地政府相关单位和产业园区开发单位共同推进，因此相比智慧社区，在建立先进的园区管理和公共服务模式方面，具有更大优势和发展空间。

而且，各种先进服务模式一旦形成实际效果，将直接影响产业园区、乃至园区所在城市的吸引力和竞争力，因此成功模式的复制推广速度比较快，比较容易形成规模效应。

因此，对先进或类似的产业园区进行调查研究和学习借鉴的工作十分重要，应当时刻保持足够的关注度和紧迫感，否则就容易丧失发展机遇。

上海漕河泾新兴技术开发区（以下简称“漕河泾开发区”）是上海首家明确提出
进行数字园区建设的国家级开发区，由上海市漕河泾新兴技术开发区发展总公司（以
下简称“漕河泾总公司”）具体负责其开发、建设、经营、管理和服务。

自2000年
提出建设数字园区以来，制订了数字园区建设规划，并按照规划，大力开展园区信息
基础设施环境建设，着力加强信息化公共服务平台建设，不断提升信息化管理和服务
水平，同时积极推进园区企业信息化应用，推进信息化与工业化融合。

2006年被评为“上海市企业信息化示范园区”；2010年被评为“全国开发区推进信息化建设与创新先进单位”；2011年被评为首批“上海市数字园区”。

漕河泾开发区一贯高度重视信息化工作，令漕河泾一直在本市产业园区中保持领
先地位，走在全市前列。

漕河泾开发区拥有强大的基础通信服务能力、丰富的信息化
和智能化应用，以及日益完备的信息化服务体系，这些部分为未来打造“智慧漕河泾”打下了宝贵的基础。

近年来，随着大数据、云计算、物联网、移动办公等新技术的高速发展和推广，
以及围绕“智慧园区”概念的新应用不断涌现和提升，对园区信息化工作提出了更高
要求和更多挑战。

与当前“智慧园区”的特征和要求相比，漕河泾开发区还存在一定
优化和提升的空间。

其中主要包括：
✓尚未围绕“智慧园区”发展目标，建立强大而有效的应用支撑体系，目前诸多应用软件的协同能力不足，未能形成紧密围绕园区用户需求的信息推送能力；
✓尚未做好应对大数据和云计算技术发展的准备，数据的统一保存和协同处理能力不足，一些使用价值很大的数据尚未得到有效管理和充分使用；
✓WiFI作为目前最为便捷、最流行的网络接入方式，可为漕河泾的写字楼、餐厅、公共绿地、公交枢纽等公共区域提供了无线网络接入服务。

并可衍生提供如无线室内定
位、大数据分析等功能；
✓标准化体系的建立和信息化服务团队的组织方面还存在不足，园区开发单位与所有相关单位之间应该可以建立更紧密的合作关系，从而形成更强大的工作合力。

2.1 建设意义
目前，各个产业园区的信息化水平参差不齐，但始终具有三个相对先进的发展制
高点，即以上海漕河泾新兴技术开发区为代表的临港集团下属园区、以浦东软件园为
代表的张江集团下属园区，以及以云计算产业基地为特色的市北高新技术服务业园区。

除此之外，还有以创智天地为代表的杨浦科技创新产业集聚区和以数据服务产业为特
色的崇明智慧岛产业园等几个新兴产业园区，在园区信息化方面也建立了不少特色项目。

这些信息化管理和服务水平相对较高的产业园区，都是长期围绕着一个较高的发
展目标，坚持从实际需求出发，持续投入和不断提升相关能力的结果。

每个园区的优
秀系统和特色服务，都是与其自身定位和所处环境密切相关的。

每个园区都具备先进
的管理和服务理念，都具有完备的实施和服务团队。

上海漕河泾新兴技术开发区已具备了良好的信息化基础环境，拥有大量的优质资
源和优越条件，也拥有门类齐全和配置完善的人才队伍，应当比上述园区做的更好。

同时需要根据漕河泾开发区的实际需求和自身特点，选择最合适和最优化的方案，找
到属于漕河泾开发区特有的发展亮点。

2.2 建设原则
漕河泾智慧园区解决方案应该以云计算、物联网、运营支撑三大技术平台为基础，能够快速、方便地创建各类SaaS应用和物联网的应用，并且SaaS应用和物联网应用
的各个系统能够互通互联，各个系统达到有机的结合，从而降低了整个系统的CAPEX 和OPEX。

面向园区基础建设提供新一代绿色云计算数据中心及宽带承载、接入，通过室内、外Wifi覆盖网络，为园区打造基础网络平台，提供无缝数据接入。

同时安防监控和楼宇智能化也能够体现整个园区的安全及智能程度。

最后，通过园区服务平台为园区内
部用户和入驻企业提供各项服务业务应用。

通过园区管理平台为园区运营管理单位提
供各项运营管理业务应用。

本次项目的总体建设原则如下：
1、稳定性
应采取各种必要技术措施，保证信息化云服务平台具备有优秀的稳定性，在保证
性能的前提下，为主要业务提供 7x24 小时持续的支撑服务。

2、安全性
平台系统应能充分考虑用户数据的安全，避免用户受到异常攻击或敏感数据窃取。

应能主动评估业务系统的安全状况及提供弥补措施，并提供各种操作行为的可回溯能力。

同时，应能提供独立的机房、专用的门禁及专享的运营管理团队，确保机房及信
息化云服务平台运行的安全。

3、可扩展性
各平台应具备良好的扩展能力，满足数据中心长期发展的要求。

根据业务的发展
预测，平台系统定期按照适度预留的原则进行建设，能在规定时间内快速响应新的用户，新的业务的新增要求。

4、灵活的 IT 基础架构
满足资源的随时随地按需分配，需要建立一个灵活的硬件基础架构。

硬件基础架
构通常由虚拟的服务器池、共享的存储系统、网络和硬件管理软件组成。

5、自动化资源部署
云计算运行管理平台的核心功能是自动为用户提供服务器、存储以及相关的系统
软件和应用软件。

用户、管理员和其他人员能通过 Web 界面使用该功能。

要实现资
源的自动部署，必须做到：
✓首先，建立一个中心数据库来管理数据中心的硬件资源；
✓其次，要规范化资源的使用，包括标准化操作系统、数据库软件、中间件软件的种类和版本。

自动化的部署流程不仅能做到“随需应变”，适应用户的需求，而且能够带来以
下好处：引入技术和创新的时间缩短，设计、采购和构建硬件和软件平台的人力成本
降低，以及通过提高现有资源的利用率和复用率节省成本。

6、端服务请求管理
云计算运行管理平台提供一个统一的管理平台来实现端到端的流程管理，协调各
个部门的合作，提高管理效率。

同时该管理平台负责全部的人工交互界面，权限控制
和用户管理等功能。

7、多样化的计费服务模式
云计算服务管理平台可以提供用户多样化的资源服务请求与响应，可以基于用户
不同的需求定制不同的计费模式，按需使用，可按次或按时计费。

具备服务计费能力
是运营云计算平台实现业务收入的重要基础。

8、完善的资源监控及故障处理手段
云计算服务管理平台提供资源和服务的各种运维能力，可以监控资源的使用情况，对于平台故障提供及时地预警报警，保证云计算平台的稳定运行。

9、有助于建立 IT 管理规则
为了实现数据中心的规范管理，需要以云计算运行管理平台为基础，有助于为数
据中心制定一套完整的管理规则。

10、开放性
要求各类系统设计、产品及网络构建都要满足相关的国际标准和国家标准，提供
标准结构及接口，有效地兼容各种品牌、厂商、电子运营商的系统和网络，实现多系统、多平台的互联互通。

2.3 建设关键需求
针对上述提及的建设原则，建议IT架构需要满足如下要求：
1、IT资源全面池化
伴随着数据与业务的集中，传统数据中心的硬件架构已经无法满足业务的快速上
线和灵活的业务部署，新架构需要通过软件定义的方式实现全新的IT基础架构，也就是通过服务器虚拟化将所有X86的计算资源池化、通过网络虚拟化构建出适合虚拟机迁移的大二层环境、最后通过存储虚拟化实现存储空间的融合。

对于软件定义的数据
中心，需要充分保障物理资源层、资源抽象与控制层和云服务层稳定性与安全性。

2、安全优化如影随形
随着业务的不断扩展，4-7层的安全、优化架构也需要紧密跟随。

传统的烟囱式
建设方式会让数据中心里出现大量的安全、优化设备，同时也会让安全管理变得复杂。

➢从业务的角度上分析，新的IT架构必须能够对旧系统、旧应用进行平滑迁移，4-7层的安全、优化特性按需部署，资源灵活调度；
➢从管理的角度上分析，平台的建设需要将所有4-7层的安全、优化机制下沉至虚拟机，通过统一的管理平台对虚拟机的整个生命周期进行管理，同时精细的管理
到虚拟机中的安全、优化应用。

所以需要充分保障整个数据中心中各类业务的安全可靠，并提供新、旧业务的平
滑迁移。

3、自助统一的业务交付
建造新一代的数据中心，最终目标是要实现系统的按需运营，多种服务的开通，
而这依赖于对计算、存储、网络资源的调度和分配，同时提供用户管理、组织管理、
工作流管理、自助Portal界面等。

从用户资源的申请、审批到分配部署的智能化。

管理系统不仅要实现对传统的物理资源和新的虚拟资源进行管理，还要从全局而非割裂
地管理资源，因此统一管理平台与自动化服务交付是提升服务效率的重要因素。

4、“云Wifi”架构实现智慧覆盖
WiFI作为目前最为便捷、最流行的网络接入方式，可为漕河泾的写字楼、餐厅、
公共绿地、公交枢纽等公共区域提供了无线网络接入服务。

并可衍生提供如无线室内
定位、大数据分析等功能。

整个智慧园区通过采用“云WIFI”技术架构，通过集中管理技术，构建面向未来的智慧型综合体园区。

通过统一规划的网络将数据信息传送到
核心管理平台，通过平台完成对漕河泾分层级、分用户的WIFI网络使用与各项应用的统一管理，计算，存储，实现整个园区的智能化管理与人性化的服务模式。

2.4 建设组件及建设模式
为了实现上述建设的关键需求，通过IT架构的优势，将业务系统效率发挥至极致。

深信服通过“智慧云接入 + 园区云平台 + 云安全方案 + 超融合架构（业务、桌面、
接入）”实现了资源、业务、数据的集中承载和统一调度，整体解决方案系统逻辑架
构图如下：
利用通用的硬件基础架构，搭建好整个智慧园区的基础架构，在通用的X86平台
之上，利用软件定义的思路，将计算、网络、安全和存储进行全面的融合，构建出池
化的超融合基础架构。

在此基础之上，利用云管理平台，能够实现租户的隔离和管理、生命周期管理、运维管理系统、资源及业务的编排、计费审计特性等一些列符合智慧
园区需求的功能特性。

通过各类接口像PaaS和SaaS包括大数据进行对接，从而为上层的园区类各类智慧应用和桌面云，终端云提供统一的底层支撑。

最后通过自动化的
运维和安全及服务实现端到端的业务交付。

目前，综合设备管理监控调度平台、WIFI应用平台以及园区管理服务平台均可以通过超融合架构进行有效的承载：
1、综合设备管理监控调度平台：园区综合管理监控平台可实现楼宇设备管理、能耗监控、视频监控、安保巡防、外勤管理、信息查询、事件处理等功能。

主要涉及计
算资源和存储资源，可通过云主机（视频服务器，业务数据调用、应用服务主机）和
云存储（大容量监控视频存储，读写要求不高）提供全面的支撑，从而满足整个管理、监控及调度功能；
2、Wifi应用平台：各AP通过园区接入网到汇聚，汇聚旁挂无线控制器实现无线基础网的搭建，汇聚连入数据中心核心，通过数据中心核心和云平台部署radius，portal，APP等服务器通信，再通过硬件虚拟的逻辑防火墙进行上网。

主要涉及计算
资源、网络资源和存储资源，可通过云主机（认证服务器、Portal服务器、App服务器、DB服务器）、云网络功能（云防火墙、云无线控制器、云负载均衡）和云存储（数据库的支撑，用于认证和数据存放）进行统一部署，利用虚拟化技术，实现多租
户隔离和按需应用管理等功能；
3、园区管理服务平台：主要实现园区内部各类管理功能，通过模块的方式进行整合，包括：园区总公司管理模块、园区企业软件模块、政府监管软件模块和各类通用
服务模块，可以利用云主机整合现有系统计算资源的能力（将所有业务系统虚拟化）。

3.1 漕河泾现状分析
目前数据中心里拥有一套CloudStack的平台，该平台运行在Cisco UCS刀片服务器上，通过后端的NetAPP SAN存储提供整体服务（FlexPod系统架构）。

在FlexPod架构上利用Xen平台实现计算虚拟化，CloudStack Agent 通过XAPI接口连接到CloudStack平台的Management Server。

同时，Primary Storage和Secondary Storage均通过NetApp的物理存储构建（不同的LUN对应不同的存储类型），最终实现了80+的租户托管服务。

详细拓扑如下：
其中：
Cisco UCS 5108的刀片服务器资源配置为：
8台B200系列刀片，每块刀片服务器部署2颗E5 2650的CPU，12根8GB内存，2块300GB 10K SAS硬盘。

NetAPP Storage 的资源配置为：
分为SAS磁盘池以及SATA磁盘池，SAS磁盘池12T，SATA磁盘池24T。

存储连接方式为FC。

超过80家以上的租户均已独立的Cluster存在于现有CloudStack平台内，Zone 区域代表整个数据中心，通过不同的POD规划处不同的机架（Rack），在每个POD 中又包含了大量的Cluster，每个Cluster即一个租户，在每个Cluster中，通过Host 来标示租户的虚拟机（虚拟业务），通过Primary Storage实现该租户内部的共享存储体系，存放的是所有虚拟机（虚拟业务）生成的数据。

所有的虚拟机都是通过Xen Server创建，由Xen平台实现整个虚拟机的生命周期管理，Primary Storage由CloudStack的Management Server和NetAPP Storage形成对应关系，通过划分不同的LUN，实现不同的Cluster内部存储隔离。

在CloudStack架构中还存在Secondary Storage，该存储区域映射为NetAPP Storage中另外一个LUN，存放所有Cluster中的镜像文件等。

从物理网络结构来看，基础架构资源池通过UCS 6248UP来进行计算和存储的连接（计算为IP，存储为FC），通过一对核心交换机将整个FlexPod系统进行连接，
并通过旁路的防火墙实现安全防御，一对负载均衡设备提供了基于链路和服务器的负载均衡。

具体如下图所示：
3.2 深信服方案思路
本次漕河泾智慧园区项目，涉及到基础架构层面的搭建、云平台的搭建、云安全的设计和桌面云、终端云的接入，具体如下：
园区云内部：
1、通过超融合基础架构平台，构建出计算、网络、安全及存储的统一资源池；
✓计算虚拟化将计算资源由物理形态转变为逻辑形态，更加可靠和灵活；
✓网络虚拟化能够在拓扑上展现出业务逻辑，使得流量模型更加清晰；
✓存储虚拟化能够充分利用服务器的硬盘资源构建出分布式存储体系架构；
✓vWAC能够将园区内的AP进行统一的接入管理。

vAF和vAD能够充分的保障东西向流量的安全和优化。

2、通过桌面云基础架构，搭建起远端桌面虚拟化的底层基础设施；
3、充分利旧现有硬件基础架构，并纳入到超融合平台中进行资源的统一池化，并由园区云管理平台aCloud实现集中的业务调度（超融合部分使用OpenStack进行对接，桌面云部分使用RESTful接口进行调度）；。