安钢私有云平台
技
术
文
件
安钢自动化软件股份有限公司
2020年06月
目录一、项目概况4二、总体要求42.1项目范围42.2 建设原则42.3
总体要求52.3.1总体要求52.3.2网络安全要求52.3.3网络建设要求62.3.4云平台要求72.3.5运维管理要求82.3.6
服务及售后要求92.3.7规范性要求92.3.8安全性要求102.3.9系统开放性102.4投标要求102.4.1技术方案设计102.4.2投标产品选型112.4.3投标文件编制11三、网络及安全设备技术要求133.1.1核心交换机133.1.2服务器接入交换机143.1.3分布式存储交换机153.1.4管理交换机163.1.5
SDN控制器173.1.6核心防火墙193.1.7互联网防火墙213.1.8运维审计系统243.1.9数据库审计系统263.1.10漏洞扫描283.1.11日志审计系统313.2
网络及安全设备清单33四、云平台技术要求344.1云平台功能要求344.1.1云平台基本功能344.1.2云主机414.1.3云存储524.1.4云网络594.1.5云备份634.1.6云运营644.1.7云迁移684.2云运维694.2.1运维管理694.2.2运维功能724.3业务系统迁移服务744.4服务器及存储参数754.4.1
2U计算节点754.4.2 4U计算节点754.4.3 全固态盘存储节点764.4.4 混合型存储节点774.4.5
备份存储节点784.4.6 管理及应用节点794.5云平台相关参数804.5.1
软件要求804.6云平台软硬件清单83五、检查核验标准845.1设备验收845.2设备安装、调测845.3验收与试运行85六、项目资料85七、项目工期、服务及培训867.1
项目工期867.2集成、服务承诺及培训86八、保密89九、其他89
1、 项目概况
安钢私有云平台建设主要涉及网络、信息安全、云平台、系统迁移四方面建设内容,实现对信息化资源的合理化分配与科学管理,全面提升网络信息安全等级、提高信息化基础设施服务器、存储、网络的利用率,加快信息系统部署效率,满足股份公司及子分公司未来信息化高速发展的软硬件需求。推动企业加快数字化、网络化、智能化转型,改善企业工作效率,提升企业管理水平。
2、 总体要求2.1项目范围
本文件针对安钢私有云项目——私有云平台、服务器虚拟化、网络、安全、计算、存储、运维、备份、业务系统迁移部分提出技术约束。其中云平台部分主要包含云主机,云存储,云网络,云安全,云备份、云运维、云运营、云迁移等功能。硬件部分包含云平台所需计算、存储、网络资源池,安全设备、备份设备。本次招标涉及设备选型和采购,系统的集成,安全体系、运营运维体系的建立。通过安钢私有云平台项目建设具备提供基础设施资源服务、信息安全技术服务、运行保障服务等能力。
2.2 建设原则
可靠性——云平台可靠性是最重要的原则,把可靠性放在第一位,符合公司长期发展需要。
先进性——选用国内先进成熟的云计算技术,建立适度超前、高效、便捷的私有云平台
实用性——产品选型具备一定前瞻性,同时考虑招标方现有信息化业务应用情况,兼顾经济实用。
安全性——以网络安全等级保护基本要求及网络安全法等国家法律法规为指导,从网络、主机、数据等多维度建立安全防护体系。
易用性——私有云平台要具备操作友好,简单部署,便捷易用。
扩展性——私有云平台软、硬件具备弹性扩展能力,按需交付,满足未来五年公司私有云扩展需求。
2.3 总体要求2.3.1总体要求
本文件技术要求为满足安钢私有云项目建设需求,包含本次安钢私有云项目建设所涉及的主要内容。请投标方全面周密考虑,清单中所列备件、辅材种类、数量等均为最低要求,任何疏漏(如:软件、授权、插件、接口、硬件部件、线缆、材料等)造成招标方应用和管理方面出现问题,所需增加的软硬件、培训及服务,必须由投标方免费提供原厂正版、具有对招标方项目授权的产品,招标方不再补签、增加任何费用。投标方不得以任何理由延误工期、减少功能及降低应用易用性。
2.3.2网络安全要求
参照《信息安全技术网络安全等级保护基本要求》(等保2.0)三级要求,结合企业应用场景,规划私有云平台安全防护体系。投标方需提供相应安全技术咨询、规划设计服务、安全产品的选型和供货、集成,使之满足网络安全等级保护相关功能的技术要求。如招标方进行等保测评,投标方须义务协助招标方完成等保测评工作。
2.3.3网络建设要求
投标方须提供云数据中心整体网络设计方案,实现业务分区逻辑隔离及安全防护,云主机网络迁移,路由发布,软件定义网络,网络功能虚拟化等功能。设计方案须包含设备材料清单及选型、网络拓扑图、本次网络建设规模及后期扩展思路、阐明网络架构的先进行、符合未来五年公司云数据中心网络建设发展方向等,方案设计包括但不限于以下内容:
· 支持至少两条10G带宽互联网出口接入能力(互联网出口带宽租赁不包含在本文件范围内)。
· 与公司现有信息化网络对接。
· 现有信息系统在不改变IP的情况下向云平台迁移。
· 包含可与云平台联动的硬件SDN解决方案,以满足对硬件网络设备的统一管理及自动化配置等SDN功能实现。
· 云平台涉及计算、存储、网络、安全资源池网络接入。
· 云主机迁移后网络配置持续有效。
设计方案遵循以下原则:
· 网络功能的完整性。
· 网络架构的先进性。
· 设备选型的可靠性、实用性、可扩展性。
· 与现有网络的兼容性。
整体网络逻辑上划分为业务区、安全管理区、核心交换区、边界防护区。
业务区涉及互联网发布业务、办公管理业务、生产配套业务,包含计算、存储设备网络接入,每台计算物理节点需要管理(备份)网络2×10G、IPMI网络1×1G、业务网络2×10G、存储网络2×10G上联至存储及业务接入交换机。接入层交换机选用40G端口上联至两台核心交换机,形成至少2×40G上联链路,保证带宽。
安全管理区包含日志审计、漏洞扫描等安全管理设备接入,安全设备接入交换机采用10G端口上联至两台核心交换机,安全管理设备至少以千兆接口接入,需要镜像流量的安全功能选用万兆接口接入。
核心交换区用于核心交换机及核心防火墙接入,核心交换区选用两台核心交换机,采用设备虚拟化技术。核心防火墙实现访问控制。
核心网络功能包括但不限于以下内容:
· 支持CLOS交换架构。
· 支持设备虚拟化
· 支持VXLAN 技术
· 支持EVPN
· 支持IPV6
边界防护区包含互联网防火墙,VPN等功能,以互联网出口的安全防护、业务对外发布功能为主。
2.3.4云平台要求
投标方须提供基于基础实施即服务的私有云平台各项功能的完整设计方案,实现多区域,多租户管理,多地域资源池统一管理,利用虚拟化技术,构建计算、存储、网络资源池,实现云主机高可用及热迁移,实现动态资源调度,实现具备简单部署,操作友好,弹性扩展,自助交付,可视化配置,实时监控,自动化运维的私有云平台。
云平台须支持多租户管理功能,能够为租户创建独立的计算、存储、网络资源。租户自主创建独立的虚拟数据中心,实现租户间资源隔离,能够在各自的虚拟数据中心中自主部署网络安全策略,具备虚拟主机迁移安全策略的持续有效。
云平台须支持资源自动交付功能,能够提供灵活的按需组合的计算、存储、网络等基础设施,支持图形化部署,支持批量部署,支持自动部署虚拟机,自动创建网络,自动创建存储。支持弹性可伸缩的扩展能力,以支撑应用的弹性扩展。
云平台须支持简洁易用的运营功能。支持多种方式的的用户管理、用户配额及授权方式。支持灵活的计费体系,可制定不同的收费标准和结算方式。
云平台须支持块存储、文件存储、对象存储等多种类型的存储接入,支持本地存储、NAS存储、SAN存储、分布式存储、物理带库、虚拟带库等多种架构的存储产品。
本次云平台主存储采用分布式存储,所有存储资源可以被网络内的计算结点共享,当存储资源不足时,添加存储节点到存储网络中即可扩展存储资源池,所有的计算结点就能够快速的识别并使用新添加的存储空间。本次配置两种分布式存储资源池:一种资源池配备SSD+SAS磁盘的混合型存储节点,用于云主机系统盘及通用数据盘。另一种资源池配备全SSD磁盘的全固态盘存储节点,用于oracle、sqlserver等数据库高IO、低延迟数据库类型业务。存储节点须充分考虑带宽、IO、延迟等因素,确保存储具备较高的性能。
云平台方案须具备备份功能,包含备份软件及备份设备,实现定期虚拟主机、物理主机、系统盘、数据盘等完整备份及增量备份。
云平台须支持主流厂商服务器和存储设备,不绑定服务器、存储品牌,选用通用的产品型号,不接受定制或专用产品型号,例如超融合一体机等。云平台、服务器虚拟化、分布式存储等所有涉及软件具备良好的兼容性,支持多个主流厂商服务器产品共建同一个计算或存储资源池,支持接管多种虚拟化平台。
2.3.5运维管理要求
云平台方案须具备全面的物理主机、云主机及应用运行实时运维监控,及时定位并告警提示。支持物理服务器性能状态监测、虚拟机性能状态监测、虚拟网络状态监测,具有丰富的日志报表功能。
须支持集中监控展示实现虚拟机性能监控、物理机性能监控,物理设备硬件状态监控、存储性能监控、网络性能监控、数据库监控、中间件监控、应用监控等,将监控信息集中展现,包括实时数据和历史数据,可灵活制定不同监控源性能数据监控策略,支持多种方式的主动告警提示,支持灵活调整监控大屏展示内容。
2.3.6 服务及售后要求
本次私有云平台由投标方进行整体设计并实施系统集成,完成相应的功能测试,形成现场测试报告,并提供售后服务。所投软硬件产品须由生产制造商工程师现场实施系统集成及培训服务。
★投标方所投硬件产品及配套设备须提供不少于三年5×9小时生产制造商原厂质保及售后服务,软件产品须提供不少于三年7×24小时生产制造商原厂质保及售后服务,互联网防火墙、漏洞扫描产品须提供至少五年的软件升级服务和技术支持服务,含漏洞库、入侵防御特征库、防病毒库、应用识别库、URL功能特征库等软件升级。
所有软硬件需含生产厂商工程师现场实施和培训服务,并提供加盖生产制造商公章的售后服务承诺函。售后服务从验收之日算起,须包含远程、现场多种支持方式,须确保快速响应。在服务期内,须提供免费的到场软件升级、软件补丁更新、硬件部件更换等服务,须提供免费的软件版本更新。
2.3.7规范性要求
私有云软硬件各项技术应遵循国家相关标准和技术体制,没有相应国家标准则须遵循国际标准。对于现存多种标准的技术,投标方应与招标方共同协商选定标准。一旦相应的中国(或国际)标准确立,投标方应保证在一年内无偿过渡到招标方要求相应的中国(或国际)标准。
投标方须提供完整、最新且成熟的系统软硬件技术和产品。其各项技术应保证具有开放性、可移植性、兼容性和可扩展性,系统的扩容应平滑、稳定。
投标方应根据招标方的业务需求及相关的技术规划要求,提出完整的项目管理、系统设计、售后培训、安装调试、技术支持方案以及投标方针对本项目人员配置方案。投标方负责建立并向招标方提交技术文档。
2.3.8安全性要求
投标方应结合招标要求,提供更为详细的安全保障方案,确保整个网络、云平台及主机的安全。能防止对系统资源的非法侵入,能控制用户资源访问权限。用户数据也应提供安全措施,防止用户数据泄密、丢失和被非法修改。须对安全策略、流量走向等整体进行优化设计。
2.3.9系统开放性
云平台、虚拟化、计算池、存储池、网络池配置的软件和硬件设备必须具有开放性,提供开放的应用接口,可以方便地与其他厂家同类型应用系统进行软、硬件平台互连,便于云平台未来的扩展。
2.4投标要求2.4.1技术方案设计
由投标方进行安钢私有云项目整体设计、设备选型及供货,并实施系统集成,设计方案须保证功能完整性。私有云平台、服务器虚拟化、网络、安全、计算、存储、备份、业务系统迁移详细要求参见技术文件,所投产品功能及设备数量包括但不限于技术文件第三章至第四章技术要求,依据投标方产品及技术架构,提供完备的产品及授权,确保所有功能可正常使用。投标方须严格审核,如发现方案配置中有问题,应提出修改建议并与招标方及时协商。
2.4.2投标产品选型
★投标方所投产品须选用业内领先品牌,其中云平台及服务器虚拟化软件须选用国内领先生产厂商的软件产品,不接受未经优化和二次开发的开源软件产品参与投标,所有管理节点、计算节点、存储节点服务器及备份存储设备须选用同一品牌,网络交换机、核心防火墙、互联网防火墙、SDN控制器本项目中视为网络产品须选用同一品牌,安全产品选用业内领先品牌,所有投标产品须在一个清单内明确标明品牌、型号、数量、详细的技术参数及配置参数等。
服务器及存储设备推荐品牌联想、新华三、华为、浪潮、戴尔,网络交换机、核心防火墙、互联网防火墙、SDN控制器推荐品牌新华三、华为、浪潮、锐捷,安全产品推荐品牌华为、新华三、东软,服务器虚拟化及云平台推荐品牌VMware、上海云轴、新华三、浪潮、华为,投标方所投产品在推荐品牌之外的,所投产品应不低于推荐品牌技术性能要求,并提供详细证明材料,如投标方设备参数优于本文件要求,需提供差异化参数文档与产品详细资料,并对该参数部分重点标注。
投标清单样表如下:
序号
分项名称
单位
数量
品牌
型号
详细配置
1
2
3
4
5
…
…
…
…
2.4.3投标文件编制
投标方在投标书中应详细列出所供设备清单和解决方案。投标方应详细阅读本文件内容,以本文件为基础,结合用户需求,提供详尽可行的技术方案,系统要具备完整性,整体设计,分布实施。
投标书中须提供基于基础实施即服务的私有云平台各项功能的完整设计方案,包含计算、存储、网络、安全、服务器虚拟化、云平台等内容。须涉及本次建设规模,私有云平台未来五年发展思路,运营及运行维护体系、现有设备利旧思路、备品备件配置建议等内容。
投标书中须明确体现对本文件中各项软件功能及技术参数指标的响应情况。
本文件加★项不允许负偏离,注明加★项技术指标响应具体页码和条款。
投标书中须提供详细的原厂培训计划,培训的时间、地点、目标、方式、内容、对象和措施等。
投标书中应提供产品制造商的售后服务和技术支持承诺,对服务级别做出详细的说明。
投标方应严格按照投标方须知的要求编制投标文件,并提供如下文件:
序号
文件内容
1
投标方情况简介及公司优势。
2
技术方案与优势。
3
拟参加本项目的项目负责人、实施团队人员名单、主要业绩及简历、专业技术资格资质证明文件和主要业绩说明资料。
4
投标方近五年内同类项目的主要业绩以及承担的主要任务说明(其中包括业主单位相关人员的联系方式,项目目前进展及运行情况) 。
5
投标方选用产品生产厂商类似项目的成功案例。
3、 网络及安全设备技术要求3.1.1核心交换机
功能及技术指标
具体参数要求(加★项不允许负偏离)
交换架构
★采用CLOS正交架构,主控与交换网板硬件完全独立。
性能要求
★交换容量≥184Tbps,包转发率≥115200Mpps。
硬件架构
主控槽位≥2,交换网板槽位≥4,业务板卡槽位≥4,电源模块槽位 ≥4,风扇模块槽位≥2。
板卡及接口
支持10GE光口、40GE光口、100GE光口。
网络虚拟化
支持将N台物理设备虚拟化为一台逻辑设备,虚拟组内可以实现一致的转发表项,统一的管理,跨物理设备的链路聚合(N≥2)。
SDN功能
支持SDN OpenFlow协议,OPENFLOW 1.3标准,与SDN控制器无缝对接;支持VxLAN二、三层网关。
二层功能
支持基于端口的VLAN,802.1q Vlan封装,最大Vlan数≥4094。
支持STP/RSTP/MSTP协议,符合IEEE802.1D、IEEE802.1W、IEEE802.1S标准。
路由协议
支持静态路由、RIP V1/V2、OSPF、BGP,支持策略路由和VRRP 。
支持IPv4和IPv6双协议栈,支持IPv6静态路由、RIPng、OSPFv3、IS-ISv6、BGP4+。
安全特性
支持基于标准、扩展、VLAN 的ACL报文过滤。
支持广播风暴抑制,支持主备数据备份机制。
可靠性
支持不间断转发技术,双引擎快速倒换。
支持热补丁功能,可在线进行补丁升级。
设备管理
支持SNMP V1/V2/V3;RMON 1/2/3/9;SSHv2。
产品成熟度
提供设备工业和信息化部入网证复印件并加盖厂家公章。
配置要求
2台,以下均为每台配置要求:配置双主控,≥3块独立交换网板,满足所配业务板线速转发要求,4个交流电源模块,满配风扇模块,万兆光口≥48个,40G光口≥24个。万兆多模光模块≥20个,40G多模光模块≥5个,40G
5m堆叠线缆≥1条, 10G 5m堆叠线缆≥2条,含原厂安装部署服务。
品牌推荐
新华三、华为、浪潮、锐捷
3.1.2服务器接入交换机
功能及技术指标
具体参数要求(加★项不允许负偏离)
性能要求
★交换容量≥2.56Tbps,包转发率≥1080Mpps,接口数量≥48个万兆SFP+、≥6个40GE。
风扇、电源
模块化风扇≥3个、模块化电源≥2个。
堆叠
最大堆叠台数≥16台;虚拟成一台设备进行统一管理。
支持完善的堆叠分裂检测机制,堆叠分裂后能自动完成MAC和IP地址的重配置,无需手动干预。
VXLAN功能
支持VXLAN二、三层网关。
路由协议
支持IPv4/ IPv6静态路由、RIP
V1/V2、OSPF、BGP、ISIS、RIPng、OSPFv3、BGP4+、ISISv6。
安全特性
具备CPU防攻击能力,保障CPU工作安全。
资质要求
提供设备工业和信息化部入网证复印件,并加盖原厂公章。
SDN功能
支持OpenFlow,支持自动化配置,支持Netconf等协议与SDN控制器无缝对接。
配置要求
8台,每台配置万兆光口≥48,40G光口≥6个,2个交流电源模块,3个风扇模块,万兆多模光模块≥40个,40G多模模块≥1,40G
5m堆叠线缆≥2条,含原厂安装部署服务。
品牌推荐
新华三、华为、浪潮、锐捷
3.1.3分布式存储交换机
功能及技术指标
具体参数要求(加★项不允许负偏离)
性能要求
★交换容量≥2.56Tbps,包转发率≥1080Mpps。接口数量≥48个万兆SFP+、≥6个40GE。
风扇、电源
模块化风扇≥3个、模块化电源≥2个。
堆叠
最大堆叠台数≥16台;虚拟成一台设备进行统一管理。
支持完善的堆叠分裂检测机制,堆叠分裂后能自动完成MAC和IP地址的重配置,无需手动干预。
VXLAN功能
支持VXLAN二、三层网关。
路由协议
支持IPv4/ IPv6静态路由、RIP
V1/V2、OSPF、BGP、ISIS、RIPng、OSPFv3、BGP4+、ISISv6。
安全特性
具备CPU防攻击能力,保障CPU工作安全。
SDN功能
支持OpenFlow,支持Netconf等协议,支持自动化配置与SDN控制器无缝对接。
资质要求
提供设备工业和信息化部入网证复印件,并加盖原厂公章。
配置要求
6台,每台配置万兆光口≥48,40G光口≥6个,2个交流电源模块,3个风扇模块,万兆多模光模块≥16个, 40G
5m堆叠线缆≥3条,40G 20M堆叠线缆≥1条,含原厂安装部署服务。
品牌推荐
新华三、华为、浪潮、锐捷
3.1.4管理交换机
功能及技术指标
具体参数要求(加★项不允许负偏离)
性能要求
★交换容量≥336Gbps,包转发率≥144Mpps。≥48个千兆电接口,4个万兆SFP+接口。
MAC地址表容量≥16K,路由转发表容量≥1K。
堆叠
最大堆叠台数≥8台;支持跨设备链路聚合,单一IP管理,分布式弹性路由。
支持完善的堆叠分裂检测机制,堆叠分裂后能自动完成MAC和IP地址的重配置,无需手动干预。
VLAN特性
最大VLAN数≥4094;支持基于端口的VLAN,支持基于协议的VLAN。
链路聚合
支持端口聚合≥8个,堆叠后聚合组最大支持≥128个。
路由协议
支持IPv4/ IPv6静态路由、RIP V1/V2、RIPng、OSPF。
节能功能
具备端口节能功能,当端口一段时间内处于down状态,或一段时间处于up状态不收发报文,则自动进入节能模式或低功耗模式。
CPU保护
具备CPU保护功能,收到ARP攻击后,CPU使用率无明显上升。
资质要求
提供设备工业和信息化部入网证复印件,并加盖原厂公章。
配置要求
10台,每台配置千兆电口≥48个,万兆光口≥4个,万兆多模光模块≥4个,含原厂安装部署服务。
品牌推荐
新华三、华为、浪潮、锐捷
3.1.5 SDN控制器
功能及技术指标
具体参数要求(加★项不允许负偏离)
软件架构
采用OSGI开放式架构,可以通过APP的方式灵活扩展新的功能,能够友好兼容业界主流ODL、或者ONOS平台横向分块、纵向分层、灵活编排的优点,需提供软件著作权等权威材料证明控制器的稳定性和成熟性。
北向接口
支持Neutron Plugin、Restful API方式北向接口协议。
南向接口
支持OpenFlow 1.3、NETCONF、OVS-DB、SNMP、SSH等南向接口协议。
性能要求
控制器采用≥3台集群化部署,可纳管交换机数量≥600台,且具备横向扩展能力。
组网能力
支持基于标准MP-BGP EVPN作为 VXLAN控制面组网模型,实现管理、控制、转发三平面分离。
路由功能
支持OSPF/BGP/ISIS等路由协议配置,能够指导完成underlay层面三层网络的自动化配置。
支持MP-BGP路由协议配置,能够指导完成overlay层面EVPN的自动化配置。
租户地址重叠
支持在overlay环境下,给不同租户分配相同IP地址段,且工作过程中无影响,对于租户地址规划更加灵活。
网络在线扩容
Underlay网络部署完成后,支持Overlay网络的节点在线扩容,不影响已有业务的正常转发。
安全服务
支持控制器纳管FW、LB设备,并构建安全资源池,定义服务链,进行业务防护的按需防护,有效满足东西向、南北向的防护需求。
安全资源池可以纳管硬件、或者NFV软件形态安全产品,包括但不限于防火墙、负载均衡。
云平台管理
支持与标准的OpenStack云平台对接,OpenStack云平台可通过Neutron模块接口对SDN控制器进行调用,并提供OpenStack官网查询连接,证明SDN控制器厂商和云平台对接的能力。
产品证书
提供SDN控制器软件著作权证书。
配置要求
1套。包含≥5个交换网络节点的管理功能授权,≥2个安全服务节点授权,如需管理授权,实配不少于3个,保证功能完整性,原厂安装部署服务和3年7*24技术支持服务。
品牌推荐
新华三、华为、浪潮、锐捷
3.1.6核心防火墙
下一代防火墙,具备网络层和应用层的安全防御能力,开启应用层功能模块后,具备入侵防御、网络防病毒、应用识别和流量控制等功能。同时具备出口链路的负载均衡,多运营商线路下智能选路。
功能及技术指标
具体参数要求(加★项不允许负偏离)
硬件架构
采用非X86多核架构,前后通风设计,具备可插拔冗余电源模块,可插拔冗余风扇模块。
接口要求
★千兆电口≥8个,千兆光口≥8个,Combo口≥4个,万兆光口≥8个,支持接口类型包含但不限于GE电口、GE光口、10GE光口、40GE光口。
性能要求
★网络层吞吐量≥20Gbps,应用层吞吐量≥8Gbps,最大并发连接数≥1200万,每秒新建连接数≥35万。支持IPSec、L2TP、SSL
VPN等功能,IPSec隧道数≥15000,L2TP隧道数≥20000,SSL VPN并发数≥5000。
支持IPsec VPN智能选路,根据应用和隧道质量调度流量。
路由协议
支持静态路由、策略路由、RIP、OSPF、BGP等路由协议。
NAT功能
支持一对一、多对一、多对多等多种形式的NAT,实现DNS、FTP、H.323等多种NAT
ALG功能;NAT地址池支持动态探测和可用地址分配。
攻击防护
实现安全区域划分,访问控制列表,配置对象及策略,动态包过滤,黑名单,MAC和IP绑定功能,基于MAC的访问控制列表,802.1q
VLAN 透传等功能。
安全策略
支持一体化安全策略,能够基于时间、用户/用户组、应用层协议、五元组、内容安全统一界面进行安全策略配置;支持策略冗余分析,
冲突策略分析以及命中率统计。
支持策略风险调优,定期分析用户策略,结合应用状况和流量情况,给出优化建议。
DDOS防护
能够防范DOS/DDOS攻击,支持流量自学习功能,可设置自学习时间,并自动生成DDoS防范策略。
入侵防御
支持超过7000种特征的攻击检测和防御,实现对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件等攻击的防御,实现缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御,实现攻击特征库的分类。
防病毒
支持超过37000条病毒规则,可基于病毒特征进行检测,实现病毒库手动和自动升级,报文流处理模式,实现病毒日志和报表。
应用识别
可识别应用层协议数量≥3000种。
行为审计
基于应用协议识别对各类聊天软件进行详细审计,可审计应用类型(如QQ、微信),应用识别账号。
智能选路
支持多出口智能选路,可根据目的地址智能优选运营商链路,支持主备接口配置以及按比例分配的负载分担方式。
支持智能DNS解析功能,引导访问用户从最优路径的线路接入应用系统。
设备管理
支持SNMPv1、SNMPv2、SNMPv3、RMON等网络管理协议,并且支持通过网管软件远程进行设备软件升级、配置等。
产品资质
所投产品需提供以下证明文件:
1、公安部监制的计算机信息系统安全专用产品销售许可证。
2、中国信息安全认证中心颁发的国家信息安全产品认证证书(ISCCC)。
配置要求
2台,以下均为每台配置要求:配置千兆电口≥8个,千兆光口≥8个,Combo口≥4个,万兆光口≥8个,电源模块≥2个,风扇模块≥2个,硬盘空间≥960G,含原厂安装部署服务。配置2个万兆多模模块,10G
5M堆叠线缆≥1。配备入侵防御特征库、网络防病毒库、应用识别库、URL功能特征库基础库功能,无特征库升级要求。
品牌推荐
新华三、华为、浪潮、锐捷
3.1.7互联网防火墙
下一代防火墙,具备网络层和应用层的安全防御能力,开启应用层功能模块后,具备入侵防御、网络防病毒、应用识别和流量控制等功能。同时具备出口链路的负载均衡,多运营商线路下智能选路。
功能及技术指标
具体参数要求(加★项不允许负偏离)
硬件架构
采用非X86多核架构,前后通风设计,具备可插拔冗余电源模块,可插拔冗余风扇模块。
接口要求
★千兆电口≥8个,千兆光口≥8个,Combo口≥4个,万兆光口≥8个,支持接口类型包含但不限于GE电口、GE光口、10GE光口、40GE光口。
性能要求
★网络层吞吐量≥20Gbps,应用层吞吐量≥8Gbps,最大并发连接数≥1200万,每秒新建连接数≥35万。支持IPSec、L2TP、SSL
VPN等功能,IPSec隧道数≥15000,L2TP隧道数≥20000,SSL VPN并发数≥5000。
支持IPsec VPN智能选路,根据应用和隧道质量调度流量。
路由协议
支持静态路由、策略路由、RIP、OSPF、BGP等路由协议。
NAT功能
支持一对一、多对一、多对多等多种形式的NAT,实现DNS、FTP、H.323等多种NAT
ALG功能;NAT地址池支持动态探测和可用地址分配。
攻击防护
实现安全区域划分,访问控制列表,配置对象及策略,动态包过滤,黑名单,MAC和IP绑定功能,基于MAC的访问控制列表,802.1q
VLAN 透传等功能。
安全策略
支持一体化安全策略,能够基于时间、用户/用户组、应用层协议、五元组、内容安全统一界面进行安全策略配置;支持策略冗余分析,
冲突策略分析以及命中率统计。
支持策略风险调优,定期分析用户策略,结合应用状况和流量情况,给出优化建议。
DDOS防护
能够防范DOS/DDOS攻击,支持流量自学习功能,可设置自学习时间,并自动生成DDoS防范策略。
入侵防御
支持超过7000种特征的攻击检测和防御,实现对黑客攻击、蠕虫/病毒、木马、恶意代码、间谍软件/广告软件等攻击的防御,实现缓冲区溢出、SQL注入、IDS/IPS逃逸等攻击的防御,实现攻击特征库的分类。
防病毒
支持超过37000条病毒规则,可基于病毒特征进行检测,实现病毒库手动和自动升级,报文流处理模式,实现病毒日志和报表。
应用识别
可识别应用层协议数量≥3000种。
行为审计
基于应用协议识别对各类聊天软件进行详细审计,可审计应用类型(如QQ、微信),应用识别账号。
智能选路
支持多出口智能选路,可根据目的地址智能优选运营商链路,支持主备接口配置以及按比例分配的负载分担方式。
支持智能DNS解析功能,引导访问用户从最优路径的线路接入应用系统。
设备管理
支持SNMPv1、SNMPv2、SNMPv3、RMON等网络管理协议,并且支持通过网管软件远程进行设备软件升级、配置等。
产品资质
所投产品需提供以下证明文件:
1、公安部监制的计算机信息系统安全专用产品销售许可证。
2、中国信息安全认证中心颁发的国家信息安全产品认证证书(ISCCC)。
配置要求
2台,以下均为每台配置要求:配置千兆电口≥8个,千兆光口≥8个,Combo口≥4个,万兆光口≥8个,电源模块≥2个,风扇模块≥2个,硬盘空间≥960G,含5年入侵防御特征库、网络防病毒库、应用识别库、URL功能特征库软件升级正式授权,IPSec
VPN,L2TP VPN无限制授权,100个SSL VPN授权,配置2个万兆多模模块,10G
5M堆叠线缆≥1。含原厂安装部署服务。
品牌推荐
新华三、华为、浪潮、锐捷
3.1.8运维审计系统
以堡垒主机作为数据中心设备和系统等IT资产的唯一管理节点,基于命令行或图形化界面进行访问。同时堡垒主机通过对管理员的认证、授权和审计,对管理员的角色、管理权限进行规划,有效的实现运维人员的高效、安全管理。
功能及技术指标
具体参数要求(加★项不允许负偏离)
硬件规格
★内存≥8G,硬盘容量≥2T,千兆电口≥6个,接口扩展槽位≥1个。
性能要求
★图形并发连接数≥200,字符并发连接数≥700,最大资产数量管理能力不受限,实配300个资产管理授权。
支持协议类型
字符协议:Telnet、SSH、图形协议:RDP、VNC、XWIN文件传输:FTP/SFTP。协议扩展:支持各类BS和CS客户端工具管理。
支持设备类型
主机:Windows、Linux、Unix。
网络:路由器、交换机、防火墙。
其他:B/S、C/S应用管理运维工具。
用户管理
支持用户分组管理;支持批量导入、批量修改;支持用户账号生命周期管理。
认证管理
支持双因素MIX组合认证。
支持手机APP动态令牌认证。
支持静态口令、域认证、Radius认证。
设备管理
支持设备分组管理,批量导入及修改。
支持一台设备添加或关联多种访问协议。
支持常用的运维协议:SSH、TELNET、RDP、VNC、SFTP、rlogin;可通过应用发布的方式进行协议扩展,如数据库Oracle、MSSQL、MySQL、VMware
vSphere Client、浏览器等客户端工具。
可以通过socks5/http/ssh等代理协议连接管理异地云资源区中私有网络的云主机。
支持托管设备系统账号密码。
权限管理
支持基于用户(组)、设备(组)、系统帐号等因素设置访问控制规则。
支持命令防火墙,运行管理员自定义高危指令。
密码管理
支持系统账号定期自动改密。
应用发布
支持应用发布功能,实现对各类BS页面和CS运维客户端工具的集中管理和权限控制。
支持常规客户端工具的密码代填,实现单点登录。
操作审计
会话实时监控:支持会话实时监控与切断。
字符操作审计:完整记录操作命令及命令输出,支持从任意一条命令处开始操作回放。
图形操作审计:支持完整的操作回放,可以对图形操作过程中的鼠标键盘操作、剪贴板操作等进行文本审计。以键盘输入内容、剪贴板为关键字进行图形搜索,搜索结果与操作动作位置关联定位播放。
文件传输审计:支持Ftp、Sftp、剪切板操作审计。
运维方式要求
Web访问方式:至少支持使用IE、谷歌、火狐三种浏览器打开堡垒机的Web页面直接调用mstsc、VNC、Xshell、SecureCRT、Putty、winscp、flashFXP、FileZilla、SecureFX等运维客户端工具。
支持通过堡垒机页面直接调用本地Windows系统里的plsql、sqlplus、toad、sqlwb、ssms、mysql.exe等数据库客户端工具。
部署模式
支持单机部署。
支持双机热备部署。
产品资质
所投产品需提供以下证明文件:
1、计算机信息系统安全专用产品销售许可证。
配置要求
1台,配置千兆电口≥6个,存储容量≥2T,配置资产管理授权数≥300,含原厂安装部署服务。
品牌推荐
华为、新华三、东软
3.1.9数据库审计系统
针对需要审计的数据库,将所有访问该数据库的流量进行镜像,引入数据库审计设备,针对数据库的增、删、改、查等行为及内容进行审计、日志留存,同时对于访问数据库的异常行为进行告警。
功能及技术指标
具体参数要求(加★项不允许负偏离)
硬件规格
★内存≥16G,硬盘容量≥4T,独立管理接口≥2个,千兆电口≥6个,万兆光口≥2个。
性能要求
★数据库吞吐量≥10Gbps,SQL峰值处理能力≥6万条/秒,日志存储数量≥18亿条,可审计数据库实例无限制。
部署模式
网络旁路部署,不需要更改原有网络结构、数据库服务器相关配置,产品运行不影响现有网络和业务的正常运行。
支持轻量级Agent部署方式。
协议支持
数据库协议:Oracle,Microsoft SQL Server,DB2,Sybase,
Informix、MySQL、MongoDB。
WEB协议:http协议。
其他协议:telnet、ftp。
网际协议
IPV4协议;IPV6协议。
审计Web协议
支持对http协议的审计。
审计规则
支持自定义业务审计及告警规则。
支持多元素符合逻辑的事件定义,包括操、数据库名、表名等。
支持双向流量审计,对Select操作返回报文中执行状态(成功/失败)、返回行数、执行时长进行审计,并能够根据返回错误码和返回行数设置审计策略。
支持数据库并发会话数、并发进程数、并发用户数、并发事务数等超过限制的审计。
支持DDL语句、DCL语句、DML语句的审计。
支持规则导入、导出。
告警通知
支持syslog告警通知方式。
支持snmp告警通知方式。
支持邮件告警通知方式。
支持短信告警通知方式。
分析报表
内置多于多种不同类型的报表。
内置多种自动生成不同分析类型的报告。
支持自定义报表,可以根据客户需求自定义报表。
支持按照源IP、目标IP、协议类型、客户端名、应用程序名、数据库名、数据库用户名、操作方式、操作对象、预警规则名、预警级别、执行时长等信息生成报表。
监控管理
操作界面支持全中文。
设备管理采用管理员与审计员三权分离。
支持将多个数据库IP绑定为一个业务系统。
支持系统自检功能。
支持设备自身运行状态查看:系统cpu、内存、硬盘I/O等信息查看。
支持极简升级。
系统管理
支持Web方式进行远程配置管理。
支持一键清空数据和恢复出厂设置。
产品资质
所投产品需提供以下证明文件:
1、计算机信息系统安全专用产品销售许可证。
配置要求
1台,配置千兆电口≥6个,万兆光口≥2个,存储容量≥4T,配置数据库审计实例≥300,含原厂安装部署服务。
品牌推荐
华为、新华三、东软
3.1.10漏洞扫描
基于系统或数据库漏洞库,对指定服务器或系统的IP地址进行扫描,及时发现现网存在的漏洞信息和安全隐患,并采取有效措施进行打补丁,建策略等安全加固手段,最大程度保证现网的安全和健壮性。
功能及技术指标
具体参数要求(加★项不允许负偏离)
硬件规格
★内存≥8G,硬盘容量≥1T,千兆电口≥6个,千兆光口≥4个,接口扩展槽位≥1个。
性能要求
★系统漏扫目标并发数≥80,进程并发数≥150;数据库漏扫目标并发数≥80,进程并发数≥150,支持最大IP地址扫描数无限制。
资产管理
资产管理功能
支持资产分组管理。
支持资产导入导出功能。
支持查看各资产风险等级统计功能。
资产自动发现
资产自动发现和手动添加相结合功能。
扫描对象
操作系统
Windows、Linux等主流操作系统漏洞扫描。
数据库
MSSQLServer、Oracle、MySQL、DB2、Informix等主流数据库漏洞扫描。
应用服务
FTP、RDP、SMTP、POP3等主流应用服务漏洞扫描。
设备
支持H3C、HuaWei、Cisco等主流的网络设备及安全设备漏洞扫描。
扫描
扫描任务
支持对多个扫描任务并发执行,多任务自动调度,支持扫描计划任务管理,一次性或周期性地执行扫描任务,并自动发送扫描结果。
口令猜测
支持多种口令猜测方式,包括利用FTP、TELNET、SMB、SSH、RDP等主流协议进行口令猜测,允许外挂用户提供的用户字典与口令字典。
深度扫描
支持主动扫描。
支持手动爬行功能。
多种网站认证方式
多种网站认证方式:支持包括Basic、Digest、NTLM在内的认证方式,支持HTTP和SOCKS代理,并支持各种代理的认证方式。
漏洞库
可检测CVE漏洞数不低于25000+个,非CVE漏洞数不低于2700+个,漏洞信息全中文支持。
动态爬虫
支持WEB2.0,通过执行网页中的JavaScript脚本获取其中的链接。
解析FLASH中URL,链接抓取更加全面。
从Javascript文件中提取URL。
HTTPS协议扫描
支持HTTPS协议:能够自动获取所有必须的要素,对基于SSL传输的内容进行分析,可对网银、证券交易等基于HTTPS协议的WEB应用进行自动安全评估。
网站目录结构
支持对目标网站进行完整深度扫描,获取网站文件列表,在扫描过程中区分目录、文件等大小写设定;并支持检测网站是否备案。
支持常见的WEB应用弱点检测
支持OWASP TOP
10等主流安全漏洞,如:SQL注入、Cookie注入、XSS跨站脚本、框架注入、链接注入、隐藏字段、CSRF跨站伪造请求、命令注入、命令执行、代码注入、遍历目录、弱口令、LDAP
注入、表单绕过、服务器端包含注入、EL表达式注入、文件包含、管理后台、敏感信息泄漏、第三方组件、其他各类CGI漏洞等各种类型。
报表
报表格式
支持PDF、Word、HTML、XML,WEB漏扫模块还支持Excel。
报表模版
支持自定义报告内容和报表样式。
系统管理
产品升级
支持在线升级、离线升级、定时升级。
磁盘告警
支持设置磁盘使用告警,当磁盘空间达到上限,系统将发出告警。
数据备份
支持系统数据的备份和恢复功能。
日志管理
支持记录漏扫操作日志、告警日志,支持日志记录查询、删除、导出至syslog服务器等。
网络工具
系统内置一些常用的网络工具,包括ping、路由跟踪、端口扫描等。
加解密工具
系统内置MD5、SHA1等常用加解密工具。
产品资质
所投产品需提供:计算机信息系统安全专用产品销售许可证。
配置要求
1台,配置千兆电口≥6个,千兆光口≥4个,硬盘容量≥1T,主机系统漏洞特征库、数据库漏洞特征库5年正式授权,扫描IP地址授权数≥300个,含原厂安装部署服务。
品牌推荐
华为、新华三、东软
3.1.11日志审计系统
具备日志审计功能,按需进行事前、事中、事后的日志审计,满足等保及网络安全法的相关要求。
功能及技术指标
具体参数要求(加★项不允许负偏离)
硬件规格
★CPU≥8核,内存≥16G,硬盘容量≥6T,千兆电口≥4个,电源模块≥2个。
性能要求
★日志源接入数不少于200个,事件入库性能不低于4000条/秒。
安全态势展示
支持网络攻击态势展示、威胁态势展示、脆弱性态势展示。
关联规则
实时关联分析:在一定时间窗口内对日志进行关联,实时的给出相关告警。
历史关联分析:在长周期历史时间内,进行多事件关联挖掘分析。
支持自定义关联规则。
威胁告警
受到网络攻击后,可以通过短信、邮件等形式向用户进行告警。
威胁分析
针对受到的威胁事件,还原攻击过程。
日志审计
支持Syslog、SNMP
Trap、OPSec、FTP协议日志收集;支持使用代理(Agent)方式提取日志并收集;支持目前主流的网络安全设备、交换设备、路由设备、操作系统、应用系统等。
支持对收集到的日志进行解析(标准化、归一化),解析规则可以根据客户要求定制扩展。
支持多类型、多厂商安全设备、网络设备、操作系统、应用日志适配分析。
对收到的日志进行进行审计。
运维监控
支持资产、资产组:资产包括主机设备、网络设备、安全设备、数据库、应用系统。
资产管理:支持手工添加、导入,支持资产自动发现。
合规检查
支持等保合规检查。
报表
内置预定义报表,支持自定义报表,报表可导出为PDF\DOCX等不同格式。
权限管理
支持三权分立,用户登录时可以对用户进行本地和外部认证。
系统管理
支持系统状态监控,包括服务节点监控和服务进程状态监控。支持通过短信、邮件等多种方式进行告警。
产品资质
所投产品需提供以下证明文件(包含日志审计字样):
1、计算机信息系统安全专用产品销售许可证。
2、计算机软件著作权登记证书。
3、IT产品信息安全认证证书。
配置要求
1套,日志源授权数≥200个。
品牌推荐
华为、新华三、东软
3.2 网络及安全设备清单
★所供设备不少于清单数量,具体见下表:
序号
设备名称
数量
单位
1
核心交换机
2
台
2
服务器接入交换机
8
台
3
分布式存储交换机
6
台
4
管理交换机
10
台
5
SDN控制器
1
套
6
核心防火墙
2
台
7
互联网防火墙
2
台
8
运维审计
1
台
9
数据库审计
1
台
10
漏洞扫描
1
台
11
日志审计
1
台
4、 云平台技术要求4.1云平台功能要求4.1.1云平台基本功能4.1.1.1平台资源管理
功能项
子功能
功能描述
区域
管理多个
区域
支持根据实际情况创建并管理多个区域,支持多地域资源池统一管理,每个区域内建立自己独立的集群、主存储、网络等资源。
vCenter纳管
VMware虚拟主机纳管
支持对现有数据中心中的VMware虚拟化环境进行纳管,能够在云平台中完成对VMware虚拟主机的常用操作。
vCenter
资源池
接管的vCenter支持同步资源池以及资源池下的云主机,以层级形式展示。
支持显示资源池的CPU容量限制、内存容量限制等资源配额信息。
数据盘
支持数据盘的创建、删除、加载、卸载。
集群
存储架构
集群内使用同构存储服务,存储服务挂载到集群,提供云主机高可用。
集群功能
提供高可用特性。
网络服务
支持VLAN、VXLAN网络加载到集群并统一管理、提供网络服务(IP池管理和弹性网络)、支持集群指定迁移网络。
云主机迁移
支持手动迁移云主机。
管理功能
支持计算节点集群化管理,能够为指定集群针对性配置CPU超分等配置项。
4.1.1.2 云平台访问
功能项
子功能
功能描述
访问
UI界面
支持常用运维操作,定制化OS界面。
图形界面
支持以HTTP/HTTPS方式访问图形界面的云管理平台,支持图形界面登录访问。
登录安全
支持动态验证码验证,多次登录失败触发验证码验证,防止恶意登录。
支持设置登录密码复杂度,可自定义设置密码长度范围,并使用数字、大小写和特殊字符组合的密码策略。
支持设置密码有效期,可自定义设置密码更新周期。
支持设置历史密码检查,可自定义设置密码不重复次数。
支持设置锁定机制检查,可自定义设置连续登录失败次数上限、以及连续登录失败锁定用户时长。当连续登录失败次数超过设置值,用户账户将被锁定一段时间,保障登录安全。
支持登录IP黑白名单,可按需配置IP黑白名单。
同一用户支持多会话登录,同时支持禁用多会话登录模式。
命令行
支持通过命令行方式访问云管理平台。
API接口
支持全功能的API交付,API支持消息总线访问和HTTP接口访问。
UI强化
自定义产品信息
对UI上的产品Logo和产品名称等进行自定义。
首页大屏
多款主题大屏实时展示平台资源情况。
支持切换区域,展示全部区域或某个区域的大屏。
加密访问
支持HTTPS安全访问登录平台。
UI信息导出
列表信息导出
导出云主机和物理机主列表的信息,离线管理便于图表编辑。
标签
资源标签
自定义创建不同名称/颜色的标签,并绑定到云主机或云盘,方便资源管理和资源搜索。
资源标签支持按绑定时间或名称进行排序。
4.1.1.3平台管理功能
功能项
子功能
功能描述
管理节点
管理节点高可用
支持云平台管理节点集群模式部署,某个管理节点故障后能迅速切换到另一个管理节点,在无需人工介入的情况下,云平台管理服务仍可以正常运行并对外提供服务。
支持通过VIP登录管理节点,多管理节点高可用环境支持管理节点高可用监控与健康状态查询,出现故障报警提示。
主机业务
管理节点宕机不能影响云主机业务的正常服务。
断电恢复
支持云平台断电自恢复能力,云平台所使用物理服务器在异常断电并加电开机恢复电源后云平台所有服务能够自动恢复正常,并对外提供服务,无需人工运维介入。
计算节点
批量添加物理机
可根据填写的网络段批量添加物理机。
支持通过模板导入方式批量添加物理机。
单集群规模
单集群支持管理物理主机个数≥500台。
日志服务
日志服务
支持通过日志服务收集管理节点日志,支持不少于180天日志记录。
升级
无缝升级
支持低版本至高版本的无缝升级,支持全部模块无缝升级,支持跨大版本升级。升级过程不影响云主机业务。
组织架构
用户
管理员可创建用户,并基于用户建立相应的组织架构。
支持添加用户、删除用户、修改用户名、修改密码、修改个人信息、加入部门、从部门移除、加入项目、从项目移除。
支持录入用户的个人信息包括姓名、手机号码、邮箱地址等。
支持手动添加和模板导入两种方式创建用户,其中模板导入方式支持将用户的组织架构关系以及所属项目信息同步导入。
组织架构
超级管理员可以看到云平台所有组织架构树,平台成员仅能看到所属组织架构树。
组织以架构树的方式呈现,分为顶级部门和部门,其下可添加多级部门,支持创建多个顶级部门。
支持添加组织、删除组织、更改上级部门、更改部门负责人、创建子部门、删除子部门、添加用户、移除用户。
角色
角色表示权限的集合,为用户赋予权限进行资源操作的能力。
分为系统角色和自定义角色。
图形用户界面对租户进行权限控制,灵活适配各种场景的权限配置需求。
平台管理员以用户形式存在,绑定平台管理员角色即可赋予身份并赋予相应的权限。
支持创建监控大屏角色。绑定监控大屏角色的用户仅拥有监控大屏查看权限,登录即可跳转到监控大屏界面。
第三方认证
支持添加AD/LDAP服务器,成功添加ADLDAP服务器后,自动化批量导入第三方用户/组织至云平台。
支持自定义过滤规则,过滤不需要同步的用户。
组织管理
组织创建
支持创建组织,设置组织对应的虚拟资源,每个组织通过组织管理员管理,组织内可以创建用户,用户申请资源后组织管理员审批后虚拟资源自动生效。
支持组织内虚拟资源的生命周期管理,例如虚拟机的租期等。
组织模板
用于标识各个资源配额的模板。
在创建组织时,可直接使用模板定义的配额来快速创建组织。
支持创建组织模板、删除组织模板。
组织成员
组织成员作为组织的基本组成人员,由组织管理员添加进入组织。
组织成员的权限可由组织管理员进行相应控制。
成员组
组织管理员可在组织中创建成员组,对成员进行分组管理。
支持以成员组为单位赋予角色,进行权限控制。
工单管理
工单申请
用户可对云平台资源提出工单申请。
支持创建、撤回以及删除工单。
工单审批
支持平台管理员或组织管理员通过并部署工单以及驳回工单。
支持默认流程审批和自定义流程审批。审批通过后,资源可自动部署成功并分发到租户或项目中。
独立区域管理
平台管理员
超级管理员可划分不同区域给不同平台管理员来管控不同区域的数据中心。
支持创建/删除平台管理员、修改密码、添加区域和移除区域。
资源隔离
支持对区域进行资源隔离,可对每个区域指定相应的区域管理员,实现各地机房的独立管理。
超级管理员可对所有区域进行巡查和管理。
应用中心
应用中心
支持应用中心,自定义添加各种类型的第三方应用入口,包括存储、数据库、安全。
时钟同步
时钟同步
云平台须提供时钟同步方式、可达到的时钟精度,并可与外部时钟进行同步。
资源调度
动态资源调度
可基于CPU、内存、网络流量、存储容量、磁盘IO等资源利用率进行动态资源调度,云主机均衡分配在计算资源池内每台物理节点上。
4.1.2云主机4.1.2.1 宿主机
功能项
子功能
功能描述
物理机
虚拟化
支持KVM虚拟化技术,支持纳管VMware虚拟化。
资源设定超分
支持CPU设定超分比例。
嵌套虚拟化
支持KVM嵌套虚拟化,云主机内部开启CPU硬件虚拟化功能。
实时监控
采集物理机的CPU、内存、磁盘IO、磁盘容量和网络运行数据,提供图形可视化。
停用与启用
对物理机设定可用属性,以便停止在该物理机上创建云主机。
维护模式
对物理机设定维护状态,设定维护模式后,物理机上的云主机迁移到其他物理节点。
物理GPU透传
支持物理机GPU设备携带其上全部外设(包括:GPU显卡、GPU声卡、以及其它GPU上的小设备)以组为单位整体透传,让云主机拥有高性能计算和图形处理能力。
vGPU
同时支持NVIDIA和AMD显卡虚拟化切割成vGPU,通过指定规格和指定设备两种方式为云主机加载vGPU。
USB透传
支持直连和转发方式USB透传,满足多种USB应用场景。
操作日志
展示物理机执行任务的事件审计和登录操作审计。
导出文件
支持物理机列表导出为表格,方便统计分析处理。
4.1.2.2云主机
云主机
批量操作
批量管理云主机。
创建云主机
可以根据所需操作系统、CPU核数、GPU、内存、硬盘、IP等提供多种策略创建云主机。
云主机规格
可依据vCPU、内存、磁盘、GPU等灵活调整云主机配置规格,修改CPU,内存,磁盘等配置数量。
云主机生命周期
支持创建、停止、启动、重启、关闭电源、删除、暂停等基本生命周期控制。
根云盘在线扩容
支持在线/关机状态下的云主机根云盘扩容,方便修改云主机配置。
数据云盘在线扩容
支持云主机数据云盘在线扩大容量,即时生效。
云主机控制台
用户可通过终端方式访问云主机,而不依赖云主机远程工具,支持控制台设置密码。
云主机快照
支持对根云盘或数据云盘在特定时间点进行临时状态保留,支持出现故障后迅速回滚。
支持多种快照类型。
支持在线快照及关机快照。
支持恢复快照后自动启动云主机。
支持批量删除云主机快照。
云主机网络
★支持为云主机配置IPv6、IPv4或双栈网络,根据需求选择地址类型。
导入用户数据
支持创建云主机时导入用户自定义数据和云主机。
在线快照
支持云主机在线快照,用户能够在不影响现有业务的情况下,对云主机创建快照,支持对云主机在线批量克隆、对云主机和云盘进行整机克隆。
云主机HA
支持云主机HA。当某台物理节点发生意外故障,在其上运行的云主机能够在其他正常的物理节点上重新启动。
云主机在线创建镜像
运行中的云主机在线创建镜像。
云主机显卡透传
支持英伟达和AMD GPU设备透传给云主机。支持通过全图形化界面操作能够将GPU设备加载到云主机中。
云主机克隆(不带数据盘)
支持基于云主机快速克隆若干个云主机,支持在线克隆,关机克隆。
整机克隆(带数据盘)
支持同时克隆云主机的根云盘和数据云盘内容。
本地存储/NFS/SAN存储类型的主存储,支持在线/暂停/关机克隆。
分布式存储类型的主存储,支持在线/暂停/关机克隆。
基于ISO部署
支持基于ISO系统光盘部署云主机,引导安装系统。
基于模板部署
支持基于系统模板创建云主机。
BIOS模式
支持云主机配置UEFI、Legacy两种BIOS模式,根据需求选择系统引导类型。
制作镜像模板
支持基于当前某个云主机制作模板。
创建镜像
支持云主机运行中在线创建镜像,支持在线创建镜像。支持关机创建镜像。
自定义MAC地址
支持创建云主机时指定MAC地址。
支持云主机修改MAC地址。
云主机启动顺序
支持调整云主机的启动顺序,用于切换ISO引导。支持光驱、硬盘、网络三种启动方式。
动态加载、卸载云盘
云主机可动态加载和卸载云盘。
动态加载、卸载网卡
云主机可动态加载和卸载网卡,支持设置默认网卡。
动态加载、卸载虚拟光驱
云主机可动态加载卸载虚拟光驱,支持为各个光驱加载卸载ISO。
加载GPU卡
支持创建云主机时加载GPU设备。
共享云盘
支持共享云盘,能够把一块云盘共享给多个云主机使用。
实时性能监控
支持主流Linux/Windows以及国产操作系统均支持云主机负载实时监控。
支持外部监控:提供图形可视化物理机采集云主机的CPU、内存、磁盘IO和网络相关数据。
支持内部监控:从直接云主机内部采集CPU、内存、磁盘容量的相关数据,提供图形可视化
支持通过工具手动安装agent。
高可用特性
物理机故障,云主机自动重启,支持UI上展示恢复过程。
在线修改云主机配置
支持在线修改云主机配置,不用重启虚拟机。
实时更新云盘和网络QoS
提供云盘和网络的限速能力,避免单个云主机占用过量资源。
自定义计算规格
支持自定义计算资源规格。
自定义主列表
支持自定义云主机列表的展示条目,同时提供自定义云主机列表内容导出。
资源删除保护
云资源删除后,将移入回收站,提供恢复和确认销毁。
冷迁移
支持本地主存储类型上的云主机进行关机状态迁移,可选择按目标计算节点负载高低迁移云主机/云盘。
在线迁移
支持所有主存储类型上的云主机进行在线迁移,
可选择按目标计算节点负载高低迁移云主机/云盘。
存储迁移
支持云主机跨不同类型主存储热迁移。包括:分布式存储主存储-FC SAN存储主存储、本地存储-FC
SAN存储主存储、本地存储-分布式存储主存储等。产品集成调试完成后,须进行现场功能测试,并提供测试报告。
支持云平台内云主机跨同类型主存储的冷迁移。
UI界面支持显示存储迁移保留的原始数据,支持清理操作。确保存储迁移后的数据完整无损时,可手动清理数据,释放存储空间。
粘性策略
云主机支持设置粘性策略,云主机自动迁移将被限制在某集群。
操作日志
展示云主机操作过程的事件审计和登录操作审计。
USB 映射
支持将USB设备映射到云主机中,并须支持该已挂载USB设备的云主机在线迁移到其他计算节点位置。
导出文件
支持云主机列表导出为表格等方式。
云主机优先级
提供云主机优先级。当出现资源竞争时,优先保证优先级更高的云主机的资源使用。
默认提高VPC路由器的资源优先级,使VPC路由器的资源优先级高于云主机。
设置主机名/密码
支持SSH密码方式登录,创建云主机时可通过UI设置主机名/密码。
弹性伸缩组
生命周期
支持弹性伸缩组的创建、启动、停止、删除。
功能特性
支持配置云主机弹性伸缩功能,根据对云主机CPU使用率、内存使用率等进行监控,按照既定策略动态增加或减少云主机数量;支持对弹性伸缩组云主机进行健康检查,自动隔离不健康云主机。产品集成调试完成后,须进行功能测试,并提供测试报告。
健康检查
支持自定义健康检查方式、健康检查时间。
弹性伸缩策略
支持自定义触发条目、触发条件、持续时间、冷却时间、每次增加数量的扩容策略。
支持自定义触发条目、触发条件、持续时间、冷却时间、云主机移除策略、每次减少数量的缩容策略。
触发伸缩条件后,根据所设定的策略自动增加或减少云主机数量。
支持对CPU使用率、内存使用率进行监控。
消息通知
支持查看伸缩记录。
云盘
批量操作
批量管理云盘。
云盘管理
支持云盘的创建、启用、停用、加载、卸载、迁移、创建快照、创建镜像、扩容、更改所有者、存储迁移、删除。
云盘快照
在使用云盘的过程中进行快照。
支持批量删除云盘快照。
快照
快照统一管理
对云主机/云盘快照统一管理,所有存在快照的云主机/云盘都将展示在快照页面。
云盘规格
云盘规格管理
支持云盘规格的创建、启用、停用、共享、召回、云盘规格QoS、删除。
支持对不同类型的数据云盘分类,用于独立计费/显示。支持主存储:分布式存储、本地存储、NFS、SAN存储。
设置QoS
创建云盘规格时,通过设置总带宽或读写带宽的方式,为云盘设置QoS。
计算规格
计算规格管理
支持计算规格的创建、启用、停用、磁盘QoS、网络QoS、删除。
计算资源分配
计算资源分配
支持基于CPU、内存等多种方式选择物理主机自动分配策略。
GPU规格
GPU规格
自动扫描云平台中可用的物理GPU规格和vGPU规格并统一管理,创建云主机时支持指定规格为云主机添加GPU设备。
定时任务
定时对象
支持云主机、云盘的定时操作。
定时操作
可对云主机关闭/重启,云盘快照等设置定时操作。
创建云主机/云盘快照定时任务时,如果选择的所有云主机/云盘都使用分布式存储主存储,支持设置保留快照数量。
亲和组
亲和组
支持将一组云主机部署在指定一个物理主机或者多个不同物理主机上。且云主机迁移时仍然执行亲合组策略。
4.1.2.3镜像管理
镜像管理
系统模板
支持系统模板,支持QCOW2和RAW格式,自动匹配镜像类型。
ISO镜像
支持ISO镜像,支持从ISO镜像引导云主机。
系统镜像上传
支持URL上传和本地浏览器上传。
云盘镜像上传
支持URL上传和本地浏览器上传。
镜像迁移
支持分布式存储主存储上的镜像跨存储设备迁移。支持NFS主存储上的镜像跨存储设备迁移。
镜像仓库
镜像存放
存放镜像数据,包括ISO和系统模板。
镜像导出
支持镜像导出下载链接。
获取已有镜像
添加镜像存储类型的镜像服务器时,可获取该镜像服务器中URL路径下的已有镜像文件。
镜像仓库清理
可视化清理镜像服务器中已被彻底删除的无效数据,释放存储空间。
标准系统镜像
支持标准的系统,支持Windows、红帽、Ubuntu和其他Linux系统。
自定义镜像
支持管理员根据标准系统镜像和预设运行镜像,定义满足自身业务系统运行环境的镜像。
存储支持
与本地存储、NFS、分布式存储、SAN集中存储类型的主存储无缝支持。
4.1.2.4 裸金属管理
功能项
子功能
功能描述
裸金属管理
裸金属集群
支持通过创建裸金属集群,管理物理裸机。
支持为裸金属集群加载二层网络。
部署服务
支持通过部署服务自动化对新上线裸金属设备进行批量无人值守安装部署操作系统。
裸金属设备
支持通过IPMI网络批量部署裸金属设备,支持对裸机进行远程电源管理,支持从控制台打开裸金属设备的IPMI管理界面,输入已配置好的IPMI用户名和IPMI密码,即可登录。
支持根据填写的网络段批量添加裸金属设备。
裸金属主机
支持使用ISO类型镜像无人值守安装为裸金属设备安装操作系统。
支持为裸金属主机添加网络配置。
支持内部负载实时监控,可查看裸金属主机CPU、内存、磁盘、网卡的各项性能指标。
4.1.3云存储4.1.3.1 存储管理
功能项
子功能
功能描述
存储管理
支持存储类型
须支持对接主流存储,通过图形化界面实现对接本地、NAS、SAN、分布式存储作为云平台后端存储,无需管理员手动修改配置文件。
本地存储
支持云盘存放到物理机本地。
支持实时查看主存储已用容量百分比趋势图。
NFS存储
支持云盘存放到NFS协议存储,物理机共享访问。
支持指定存储网络,支持存储网络和管理网络分离,增强云主机高可用。
支持实时查看主存储已用容量百分比趋势图。
SAN存储
支持IP-SAN/FC-SAN 透传,将物理LUN直接透传给云主机使用。
分布式存储
支持指定不同性能的磁盘卷创建云盘。
支持云盘存放到分布式存储。
支持数据冷迁移。
支持指定存储网络,支持存储网络和管理网络分离,增强云主机高可用。
支持创建分布式存储池,以池计算容量并设置显示名。
支持分布式类型的主存储池扩容,支持指定池创建云主机/云盘。
支持实时查看主存储已用容量百分比趋势图。
多主存储支持
同一集群支持挂载多个本地存储。
同一集群支持挂载多个NFS存储。
同一集群支持挂载多个SAN存储。
同一集群支持挂载分布式存储和多个SAN存储。
4.1.3.2存储应用
功能项
子功能
功能描述
虚拟化支持
存储性能监控
支持以虚拟化为粒度的 IOPS、带宽和延迟统计。
多集群支持
支持多集群访问。
全局搜索
支持对系统内所有资源的全部信息搜索,列表信息排序及相应字段的过滤,允许快速访问关键资源。
性能指标监控
支持物理服务器 CPU、内存、网络、负载监控。支持存储介质读写 IOPS、带宽和延迟监控。支持存储池读写
IOPS、带宽和延迟监控。支持卷、桶、文件目录读写 IOPS、带宽和延迟监控。支持上述指标统计保留天数自定义设置。
运行管理与分析
实时健康管理
支持对物理服务器、存储介质、存储池数据冗余状态监控及管理。支持对象、块和文件的网关和链路健康检测。
支持存储介质根据信息预测设备寿命,提醒坏盘可能。
事件中心
支持系统和用户触发产生关键事件日志,包括记录重要的系统触发、操作员行为触发及系统关键事件等。支持事件日志导出。
可视化拓扑
支持可视化的硬盘及网络拓扑,展示硬盘的基本信息及从属关系。支持可视化硬件网络拓扑,展现集群网络情况、服务器、网卡信息。支持不同网卡的监控信息及监控历史。
磁盘定位
支持通过可视化界面点灯进行硬盘定位的功能。
告警中心
支持集群内所有资源的告警,在存储系统的各级软硬件产生故障时,由管理控制台向管理员提示告警。支持自定义告警通知,同时支持邮件告警。
SNMP 支持
支持 SNMP V2/V3,支持 TRAP,GET,SET 操作。
卷和快照管理
支持卷管理操作,自动精简配置,在线扩容。支持按定时策略创建快照,达到定期对块存储卷进行数据备份。支持将克隆卷与快照关系断链。
卷级实时 QoS
实时调整附加在卷上的 IOPS 和带宽限制属性,即时生效。
块存储
多协议支持
支持 iSCSI,FC,SCSI。
精简配置
支持精简配置,按写入有效数据容量分配实际空间,使存储空间能够根据需要自动扩展。
链路冗余
支持 iSCSI 和 FC 链路冗余,最大支持不少于4 路径 MPIO。
卷在线迁移
支持卷在线跨池迁移,例如支持从 SSD 性能池迁移至 HDD 容量池。
卷回收站
支持卷回收站,防止数据误删除 。
用户权限管理
灵活定义用户权限和配额限制,不同的用户拥有不同的操作权限,同时会限制不同用户的总容量、总存储桶、总对象数配额。
对象存储
桶的权限控制
桶策略用于控制存储系统中的桶、对象等底层资源的访问权限,包括桶的访问权限控制、桶内对象访问权限控制。
桶配额管理
支持自定义存储桶配额,包括容量、对象数。
数据生命周期管理
存储桶数据生命周期管理支持,可以对存储桶内的数据通过数据前缀或整桶进行删除,支持延时删除。
对象存储负载均衡
支持对象存储负载均衡,在保证对象存储高可用的同时,实现负载均衡作用。
对象存储 SSL 加密
对象存储支持 SSL 访问加密。在客户端和服务器端之间建立加密通道,保证数据在传输过程中不被窃取或篡改。
对象写保护
存储桶支持 WORM, 一次写入,多次读取模式,对关键数据实行写保护,杜绝病毒破坏,非法篡改。
对象多版本支持
对象存储桶支持多版本,开启多版本后,桶中的对象都以多版本形式存储,版本数量无限制。
用户管理
灵活定义用户权限,不同的用户拥有不同的操作权限。
文件存储
文件快照
支持文件系统创建快照,可支持手动和策略性快照。
文件定时快照
可以基于“时间段”和“时间点”创建 快照,可设置保留快照上限,当超过上限后,自动删除最初快照。
CIFS 共享回收站
支持 CIFS 共享目录删除的文件放到回收站中防止误操作。
目录管理
支持不同的用户对目录内的文件数据拥有不同的访问权限。同时支持自定义容量配额。
文件系统回滚
支持文件系统通过快照进行回滚。
用户权限
支持本地用户以及对接 AD 域和 LDAP 域。
文件系统级克隆
支持系统级链接克隆及独立克隆。
在线扩容
支持文件目录在线扩容。
文件权限管理
CIFS: 完全控制/读写/只读三种权限选其一;
FTP: 可设置查看文件列表、创建文件夹、上传文件、下载文件、删除文件、重命名等权限;
NFS:挂载控制为读写、只读两种权限。
数据保护
传输加密
所有数据在不同平台间传输全部加密进行,保护数据在不可信环境的安全性。
数据多副本
支持多副本数据保护,跨节点跨机柜的副本保护机制,容忍跨节点机柜的宕机而业务数据不丢失。允许用户设置副本数量,可设副本数不少于2,最多支持副本数不少于6。
EC 纠删码
支持多种纠删保护机制。支持 N+1、N+2、N+3、N+4 等多种纠删。保护机制(N 为 2
的幂次,2、4、8、16)。对块存储、对象存储及文件存储均支持。
数据可靠
端到端校验
所有存取请求携带校验并连同数据存储到介质,保证数据端到端的正确性。
硬盘维护模式
硬盘维护模式是辅助对硬盘进行维护操作时数据不进行重平衡,利用该模式可用于主动的硬件设备下线维护场景。
故障域
可基于主机、机柜等灵活设置故障域,同一个数据的副本或分片会存在不同的故障域内。
数据恢复 QoS 控制
在数据较长时间处于降级状态时,例如节点丢失或副本丢失,系统会自动触发数据重建恢复。可灵活设定节点或硬盘数据恢复的重构速度。
数据容错
同一数据的多个副本能够分散到不同的磁盘/节点存储,各副本间保证数据的强一致性,支持多个副本的容错机制,副本数量可基于存储池灵活设置。
自动重构
磁盘或者节点故障之后无需人工干预,数据在集群内硬盘的剩余空间中自动重构。重构速度每 TB 数据<30
分钟,产品集成调试完成后,须进行现场功能测试,并提供测试报告。
基础架构易用性
存储系统兼容性
分布式软件可以安装在通用发行版 Linux 操作系统上,无需定制操作系统支持。
自动化配置
自动化部署,图形化快速完成资源的基础部署。
节点高可用
单节点断电、重启,不影响业务。
存储性能
全固态分布式存储节点组成存储资源池延迟≤10ms,产品集成调试完成后,进行现场压力测试,不满足要求免费更换更高档次产品。
软件版本升级
支持隔代版本和跨代版本的升级,升级过程不影响业务,服务期内享受版本免费升级。
便捷扩展
支持便捷扩展,随着节点数量的增加,系统性能和容量线性提升,支持在线扩展,可在不中断业务的情况下进行扩容。
缓存策略
Cache策略支持内存读Cache和SSD读写Cache。支持通过 SSD 盘对固定的 HDD 盘进行加速,由 SSD
盘组成快池,机械硬盘组成慢池,IO 优先写快池,写入 SSD 成功后返回,再后台写入 HDD
盘并根据访问热度将数据提升至快池,提供快速的读写性能,产品集成调试完成后,须进行现场功能及压力测试,并提供测试报告。
存储网络负载均衡
支持存储业务网的自动负载均衡功能,自动分流存储业务流量,减轻单点压力。
运维优化
支持免人工干预的磁盘、主机自动故障检测和报警。
支持在更换磁盘、主机后自动进行数据重建和均衡。
支持多控制器之间自动负载均衡及故障自动切换功能。
支持根据数据访问频度,自动将热数据迁移至性能好的存储设备上,将冷数据迁移至性能一般的存储设备上。
支持基于SSD的读写性能加速,能为大文件和小文件提供读写优化。支持写Cache的节点故障保障,当节点故障或宕机时,写Cache内的数据不丢失。
4.1.4云网络4.1.4.1网络管理
功能项
子功能
功能描述
网络管理
二层网络
支持创建二层网络,支持非VLAN、VLAN、VxLAN三种组网模式。
三层网络
支持创建三层网络,支持公有网络、私有网络,支持将指定用途网络创建在指定网络类型中。
VXLAN网络
支持VXLAN网络。
支持云主机的跨地域迁移,迁移前后网络配置持续有效。
支持修改Vni名称。用户可自定义已创建的Vni名称,也可在创建Vni范围时设置Vni名称。
硬件VXLAN网络
支持通过添加SDN控制器,可在云平台接管硬件交换机的SDN网络。
云平台与SDN控制器联动
支持通过云平台分配网络资源,下发指令传递给SDN控制器,再由SDN控制器将配置自动下发至网络设备,无需人工配置。
二层扁平网络
支持云主机直接使用真实网络IP资源。
支持添加IPv4、IPv6类型的网络。
弹性网络
支持云主机使用虚拟网络地址,与真实网络映射
DHCP服务
支持云主机自动获取分配的IP地址。
创建三层网络时,支持为DHCP服务指定IP地址,防止网络规划过程中IP冲突。
任意物理节点的宕机不会对全局网络产生影响,云平台并发创建和启动云主机不会产生网络风 暴。
动态和静态分配IP
支持动态分配IP地址,支持指定使用某个IP地址。
弹性IP
支持云主机使用多个弹性IP,在多运营商线路接入的情况下,云主机能够绑定多个公网IP和外部通信。
多级网络管理
支持云主机接入多个网络。
虚拟IP的QoS设置
支持对虚拟IP做QoS限制,对网络服务的高效分配管理。
MTU
自定义限制网络传输数据包的大小。
自定义网关
支持IP范围方式添加网络段,支持自定义指定网关
支持CIDR方式添加网络段,支持自定义指定网关,使用CIDR的第一个或最后一个地址作为网关。
VPC路由器
支持创建VPC路由器的全生命周期管理,包括:创建、删除、启动、停止、重启、迁移、VPC网络的加载/卸载,集中在VPC路由器中配置DNS。
支持自定义开启或关闭SNAT网络服务。
支持OSPF动态路由协议,实现和物理交换机建立OSPF邻接关系,从而联通物理网络和虚拟网络。
支持组播功能,可将组播源发送的组播消息转发给云主机。
支持分布式路由,优化东西向流量。
支持创建单个VPC路由器支持指定默认IP。
支持VPC路由器优先级默认高于普通云主机,物理机资源出现竞争时优先保证VPC路由器的资源使用。
网络功能虚拟化
云平台支持创建虚拟交换机、虚拟路由器、虚拟防火墙、虚拟负载均衡等网络功能虚拟化。
虚拟防火墙
云平台支持虚拟防火墙功能,对VPC路由器配置防火墙,在防火墙每个接口的出、入方向应用规则集。支持自定义规则优先级以及行为,根据报文源、目的IP、协议、源目的端口进行过滤。自动配置入方向规则集,用户也可灵活配置出方向规则集。
VPC网络
支持创建VPC网络、添加网络段、加载/卸载VPC路由器、删除。
VPC网络支持以下网络服务:安全组、公网虚拟IP、私网虚拟IP、弹性IP、端口转发、内网负载均衡。
负载均衡支持TCP/HTTP/HTTPS/UDP协议,支持将虚拟IP地址的访问流量分发到一组后端的云主机上,并自动检测并隔离不可用的云主机。
图形用户界面支持负载均衡器的即时流量监控。
公有网络
支持创建云主机,支持为网络服务提供虚拟IP。
支持添加IPv4、IPv6类型的网络。
网络拓扑
全局网络拓扑查看,自定义选择资源展示拓扑图
支持网络拓扑图展示,单击某云主机或VPC路由器,可以显示该云主机或路由器的所有链路通路;支持根据资源展示拓扑图。
IP统计
支持在UI界面查看三层网络(私有网络、公有网络、VPC网络)的IP使用情况。
三层网络IP统计详情页,用户可快速查看已用IP及其关联资源,以及未被占用IP情况。
安全管理
三层安全策略
支持基于TCP/UDP端口的安全策略。
安全组统一管理
支持安全组统一管理云主机安全策略,实现组内互通,组间策略,支持启用、停用安全组。
4.1.5云备份4.1.5.1 灾备功能
功能项
子功能
功能描述
灾备服务
备份
支持为云主机、云盘和云平台数据库创建备份任务,支持本地备份和异地备份。
支持云主机整机备份。
支持物理带库和虚拟带库。
支持用户按周/天/小时为任务设置备份策略,已创建的备份任务支持更新备份策略。
可按数量或时间保存备份文件数据。
创建备份任务后支持立即备份及定时全量备份数据。
支持将数据备份在本地备份服务器并同步到远端备份服务器。
支持查看云主机、云盘和数据库的本地备份数据/远端备份数据。
支持删除本地备份数据/远端备份数据。
清理本地备份服务器/远端备份服务器中已被彻底删除的无效备份数据,释放存储空间。
备份任务支持设置磁盘QoS和网络QoS。
备份任务支持查看备份进度。
还原
支持从本地云主机/云盘的本地/远端备份数据还原。
支持云主机的整机还原。
支持将云平台数据库的本地/远端备份数据导出进行手动还原。
备份还原规格
支持单个物理主机或单个虚拟主机最大备份或还原任务≥10T的数据量。
操作系统
支持RHEL/CentOS 5.x/6.x/7.x、SLES
11/12/15、Ubuntu12/14/16/18、Windows2003/2008/2012/
2016等主流windows,linux操作系统备份。
授权
无限制的备份任务数量许可,无限制的备份主机数量许可,无限制的备份操作系统数量许可。
4.1.6云运营4.1.6.1账户管理
功能项
子功能
功能描述
账户管理
账户和用户管理
账户管理功能,分为账户和用户,其中账户是资源计量团体,用户可定义操作权限。
AD/LDAP账户
支持添加AD/LDAP账户,并绑定普通账户。
账户云资源配额
支持自定义分配账户最大可用资源,包括云主机运行数量、CPU、内存、云盘数量、云盘总容量、镜像数量、镜像总容量、弹性IP数量等,账户登录后,可以自助完成云平台资源的创建,删除,释放。
用户组权限分配
支持用户组权限分配,统一编排用户权限。
用户操作权限分配
支持对用户进行权限分配。
云主机更改所有者
支持变更云主机所有者,指定云主机所属账户。
云盘更改所有者
支持变更云盘所有者,指定云盘所属账户。
镜像资源指定分配
支持镜像资源共享特性,可指定账户是否可使用。
网络资源指定分配
支持二层网络和三层网络资源共享特性,可指定账户是否可使用。
修改超级管理员账户密码
忘记超级管理员账户的登录密码,可以修改还原默认值。
4.1.6.2计费管理
功能项
子功能
功能描述
计费
自定义计费价目
将各资源计费单价汇总为一份价目表,支持的计费资源类型包括:CPU、内存、存储、GPU设备、公网IP。
计费单价支持小时和天等时间单位。
计费方式
支持基于项目/账户进行计费,统计各资源消费情况。且各项目/账户支持使用不同计费价目,制定不同定价策略。
基于磁盘性能计费
不同类型的磁盘支持单独设置计费单价。
账单
按计费单价和使用时间来统计并显示超级管理员和所有租户的资源费用信息。
支持实时显示账单。
支持项目账单、部门账单、账户账单。
账单明细生成时间可通过全局设置修改,定时生成。
4.1.6.3资源编排
功能项
子功能
功能描述
资源编排
管理功能
支持资源编排,能够支持可视化方式和编排语言两种方式。通过资源组模板,实现自动化批量部署和配置资源。
自定义模板
支持通过文本编辑器方式和
