【YD通讯标准】 云资源管理技术要求 第1部分:总体要求

ICS33.030
中华人民共和国通信行业标准
YD/T2807.1-2015
云资源管理技术要求
第1部分：总体要求
Technical requirementsof cloudresourcemanagementPart1:generaltechnicalrequirements2015-04-30发布
2015-07-01实施
中华人民共和国工业和信息化部发布前言·
范围·
规范性引用文件·
3术语和定义·
缩略语
云资源管理平台的系统架构.
6综合管理平台的整体功能要求
综合管理平台门户，
用户管理
调度管理
资源管理·
监控管理
日志管理·
统计分析·
系统管理
7分平台技术要求·
7.1分平台系统架构
门户。
系统管理·
接口管理
资源管理·
设备管理
监控管理
日志管理
统计分析
安全管理
资源管理接口
平台安全性要求
网络安全·
虚拟机安全
数据安全
物理服务器安全
YD/T2807.1-2015
YD/T2807.1-2015
访问安全
接口安全…·
9.7系统安全
10平台其他要求
开发性和兼容性要求
性能要求·
可靠性
高可用性管理：
可扩展性
易用性和界面友好性
HiiKAoNiKAca
《云资源管理技术要求》分为五个部分：-第1部分：总体要求：
第2部分：综合管理平台：
第3部分：分平台：
第4部分：接口：
第5部分：存储系统。
本部分是《云资源管理技术要求》的第1部分。本部分按照GB/T1.1-2009给出的规则起草。YD/T2807.1-2015
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本部分由中国通信标准化协会提出并归口。本部分起草单位：中国联合网络通信集团有限公司、华为技术有限公司、工业和信息化部电信研究院、中国电信集团公司、中国科学院计算技术研究所。本部分主要起草人：徐雷、房秉毅、李素粉、陈娜、陈楠、王煜炜。
HiiKAoiKAca
1范围
资源管理技术要求
第1部分：总体要求
YD/T2807.1-2015
本部分规定了云资源管理的总体技术要求。包括云资源管理平台的系统架构、综合管理平台整体功能要求、分平台技术要求以及资源管理接口、安全性和其他非功能性要求。本部分适用于基于基础设施即服务（IaaS）的云计算资源管理系统2规范性引用文件
本文件对于下列文件的引用是必不可少的。凡是标注日期的引用文件，仅所注日期的版本适用于本文件。凡是不标注日期的引用文件，其最新版本（包括所有的修改版本）适用于本文件。YD/T2807.2云资源管理技术要求第2部分：综合管理平台YD/T2807.3云资源管理技术要求第3部分：分平台YD/T2807.4云资源管理技术要求第4部分：接口3术语和定义
下列术语和定义适用于本文件。3.1
资源池ResourcesPool
一组物理资源或一组虚拟资源的集合，可以从池中获取资源，也可将资源回收到池中。资源包括物理机、虚拟机、物理存储资源、虚拟存储资源、虚拟网络资源和物理网络资源等。3.2
公网IPInternetIP
云计算平台对外提供用于用户访问互联网的IP地址。3.3
用户User
云资源管理平台系统用户，包括运维管理用户和Iaas业务用户。4缩略语
下列缩略语适用于本文件。
FibreChannel StorageAreaNetworkFile Transfer Protocol
Input/Output
IP Storage Area Network
Java Message Service
Network Attached Storage
Storage Area Network
Security Copy Protocol
光纤直连的存储区域网络
文件传输协议
输入/输出
基于IP技术的存储区域网络
Java消息服务
网络接入存储
存储区域网络
安全传输协议
TiiKAoNiKAca
YD/T2807.1-2015
Telnet
Service Level Agreement
SimpleNetworkManagementProtocolStructured Query Language
Secure Shell
Telecommunications Network
Service
5云资源管理平台的系统架构
服务等级协议
简单网络管理协议
结构化查询语言
安全外壳协议
远程登录协议
Web服务
云资源管理平台系统由综合管理平台和一个或多个资源管理平台组成。为了方便区分，本标准中将资源管理平台称为分平台。综合管理平台与分平台之间通过资源管理接口连接。云资源管理平台系统对运维和运营系统提供服务，并为管理人员提供维护管理功能。云资源管理平台系统架构如图1所示。用户
综合管理平台
资源管理接口
分平台
分平台
图1云资源管理平台系统架构图
综合管理平台负责管理平台内的各类资源，包括物理机、虚拟机、物理存储资源、虚拟存储资源、物理网络资源和虚拟网络资源等。通过资源管理接口下发资源管理指令给分平台，实现资源的创建、变更、操作、查询以及删除等功能，并对资源进行动态调度、按需分配，实时监控等，以促进资源的有效使用。综合管理平台详细内容见YD/T2807.2《云资源管理技术要求第2部分：综合管理平台》。分平台负责管理本系统范围内的各类IT资源系统或设备，接收并执行来自综合管理平台的指令，根据指令完成资源部署，资源操作等任务，并向综合管理平台上报资源计量信息，同时为分平台的管理人员提供系统配置、监控、统计分析、门户、资源管理等功能。分平台详细内容见：YD/T2807.3《云资源管理技术要求第3部分：分平台》综合管理平台和分平台间的资源管理接口信息请见：YD/T2807.4《云资源管理技术要求第4部分：接口》。
6综合管理平台的整体功能要求
6.1概述
综合管理平台分为：门户、用户管理、调度管理、资源管理、监控管理、日志管理、统计分析和系统管理等功能模块，功能结构图如图2所示。2
HiiKAoiKAcaWww.bzxZ.net
6.2综合管理平台门户
运维管理
综合管理平台
运营管理
综合管理平台门
用产情理
奥皮管理
交源售理
资源管理平台（分平台
计算资源
存储资源
网络源
图2综合管理平台功能架构图
YD/T2807.1-2015
综合管理平台门户是向综合管理平台的系统管理员提供用户访问系统相关管理的人机操作界面和访问入口。
6.3用户管理
完成用户的注册、注销，用户信息修改、密码修改、密码重置、用户状态设置、用户信息查询等操作。
6.4调度管理
6.4.1调度策略管理
调度策略模块提供资源部署的决策，搜集相关信息（资源使用情况、SLA等），根据管理员预先策略，自动选择服务实例所需的资源和启动对应的调度流程。同时允许管理人员手工干预部署。6.4.2资源调度管理
云资源管理平台系统中有不同领域、混合厂商的IT设备和虚拟资源，有着各自不同的管理工具。需要提供资源部署的自动调度，能够根据管理员的设置，实现所需资源的自动选择、自动部署。6.5资源管理
资源管理模块能够根据资源的操作请求，提供对资源的创建、规格变更、操作、查询以及删除等功能。
资源池管理整合系统可用资源，将多个具有相同能力（相同厂商同种功能的设备或者具有同种参数的设备）的资源组合为虚拟的资源池，屏蔽单个资源的具体信息（物理位置、容量大小以及硬件信息等），能够根据运营需求灵活为其分配和定位计算资源、存储空间和网络资源。6.6监控管理
系统对各类设备及资源进行监控，提供对各类设备和资源的故障监控、性能监控、自动巡检等功能。系统提供最小粒度的关键性能监控，从而了解关键性能的变化情况。监控管理功能包括如下内容：一设备和资源性能信息采集；
一设备和资源告警信息采集：
HiiKANiKAca
YD/T2807.1-2015
告警信息预处理：
告警处理：
一告警展现：
故障检出规则（基于告警信息分析得出故障结论的规则）管理：故障分析：
故障定位：
自动巡检。
6.7日志管理
系统记录所包含的所有物理机资源、虚拟机资源、存储资源、网络资源、各类资源的工单和用户的数量历史信息及其当前的基本信息。6.8统计分析
统计分析功能提供资源池各类资源及综合管理平台各类信息的数据搜集、存储以及展示等功能，提供各种统计报表和分析报告。
6.9系统管理
系统管理包括权限管理、访问控制、密钥管理、日志分析、安全审计、安全补丁、病毒查杀等功能。7分平台技术要求
7.1分平台系统架构
分平台功能架构如图3所示。
综合管理平台
资源管理平台（分平台）
设备管理
计算瓷源
存储资源
网络资源
图3分平台功能架构图
7.2门户
门户为分平台的管理员提供操作界面和功能访问入口，管理员通过门户完成系统管理、资源管理、资源配置、设备管理、资源监控以及一些必要的运维管理操作。7.3系统管理
系统管理包括角色管理、权限管理、用户域资源绑定关系管理等功能。7.4接口管理
HiiKANiKAca
YD/T2807.1-2015
分平台需要和各种系统以及资源进行操作和数据的双向集成，以实现操作调度和返回结果。具体功能如下：
资源调度应该支持尽可能多的设备和应用种类（包括各种操作系统、虚拟化、存储、网络），并可以通过开发增加支持的种类针对设备与应用访问方式：建议对所有应用与设备的访问方式均采用无Agent方式，不在设备和应用上部署软件。调度平台与应用和设备交互均采用公开的业界标准协议（Telnet、SSH、FTP、SCP、SNMP、SQL、JMS、WebService等协议），推荐加密通信方式如SSH、SCP等安全通信协议；针对外部访问与集成需要：资源调度采用标准化的外部接口方式，建议采用Webservice，并使用加密方式确保访间与通信安全。7.5资源管理
资源是指分平台所涉及到的各种物理设备和软件的集合，按其类型可分为服务器类资源（包括计算服务器等），存储类资源设备（包括IPSAN、FCSAN设备等），网络类资源（包括交换机和路由器等），虚拟机类资源（包括虚拟机模板等），软件类资源等。资源管理应提供对上述各类资源的抽象和信息记录，并对资源的生命周期、容量和访问操作进行综合管理。接收综合管理平台指令，对实际资源进行操作。
7.6设备管理
设备管理描述了虚拟机管理、物理机管理、存储管理、网络管理等功能。主要为虚拟机、物理机及块存储的各项操作，网络管理描述网络资源分配和管理的各项信息。7.7监控管理
能够对分平台内的各类设备及资源进行监控，主要有：网络、存储、中间件、系统、资源、事件和故障的监控管理。
7.8日志管理
分平台操作维护日志管理，管理员通过该功能对资源池中的日志信息进行管理，包括对日志信息的查看、查询和删除等操作。
7.9统计分析
统计分析功能完成资源管理系统监控信息的统计分析。支持资源池管理员和系统管理员对整个分平台的监控信息进行统计分析：普通管理员只有部分权限。统计分析功能支持对监控信息的多维度统计分析，可以按照时间段生成文字或图形报表以供分析。7.10安全管理
完成分平台的安全功能及规则的管理。支持分平台管理员和系统管理员能够对整个资源池的安全功能和规则进行操作。
8资源管理接口
资源管理接口主要描述综合管理平台与分平台的接口，如图4所示。根据云业务的多个分平台系统要求，综合管理平台统一管理多个分平台，本章主要定义综合管理平台与所有分平台的资源管理接口。根据接口用途不同，综合管理平台与分平台的接口分为两类：业务管理接口和资源操作接口：a）业务管理接口：提供创建、修改、删除资源模板接口、上报资源池系统资源状况信息接口、资源计量信息上报接口等功能。
HiiKAoiKAca
YD/T2807.1-2015
b）资源操作接口：提供虚拟机服务接口、物理机服务接口、块存储服务接口、防火墙服务接口、公网IP地址服务接口、负载均衡服务接口、分布式文件服务接口等。综合管理平台
其他系统接口适配模块
接口层
资源管理平台
接口层
计算资源
物理机
虚拟机
9平台安全性要求
9.1网络安全
资源管理平台接口适配模块
资源管理平台接口适配模块
网络资源
网络配置
公网IP
虚拟防火增
负载均衡
资源池
图4资源管理接口
存储资源
分布式文件存储
块存储
对象存储
网络安全是指系统提供一定的安全机制，保证网络设备的正常运转，系统软件的安全运行，防止非法用户的闯入，保证只有授权的操作人员才允许执行相应的操作，以保障系统的正常运行和用户业务的正常访问。
网管系统应设置防火墙，对外部用户的访问数据包、用户身份和连接方式进行控制，防正对本地网络的非法访问、攻击和破坏。
系统应提供有效的网络病毒检测、告警、清除等手段。网络防火墙应支持并使用但不局限于如下的安全技术手段：支持对木马、僵户网络的报警与阻断功能：一支持TCP头检测、扫描与DoS检测：一支持对定制主机的定时阻断：一支持单个源IP的连接数限制：支持动态策略生成与取消机制；：一模块化策略设计框架MPF，基于流的深度检测：TCP序列号的随机化，内置FloodGuardDoS防护技术(建连接，半开连接限制，主动清除连接)：-支持无状态SYNflood防护，支持TCPIntercept与TCPSynCookie术，支持反向地址验证：6
一支持深层协议检测防御攻击。9.2虚拟机安全
YD/T2807.1-2015
虚拟机使用权限控制：虚拟化平台需要支持对不同用户账号、角色的权限管理，授权用户必须在正确登录认证后才能使用系统。不同用户被赋予不同的虚拟化平台或指定虚拟机操作权限，包括：指定虚拟机的资源操作权限，例如系统和用户磁盘、磁盘快照、虚拟机快照、虚拟机屏幕显示等：
一一指定虚拟机创建、修改、运行、终止和删除等全生命周期管理权限；一指定虚拟机运行状态控制权限，例如启动、关闭虚拟机；指定虚拟机外部访问查看权限；一每个虚拟机上的用户权限只限于本虚拟机之内，以保障系统平台的安全性。共享访问保护：由于虚拟机之间共享物理资源，虚拟化平台必须提供相应的技术机制，保护在内存、1O等硬件资源共享过程中虚拟机的信息安全，虚拟机之间应该防正互相访问到未经许可的信息。补丁安装：虚拟机本身应支持在线操作系统补丁更新和安装，或增设补丁服务器对虚拟机的操作系统提供自动补更新服务。
9.3数据安全
9.3.1概述
综合管理平台应具备有良好的安全机制保障业务数据的安全性，严格控制业务数据的直接访问，并必须定期对业务数据进行内部备份或备份到外部存储器等。业务数据安全的要求包括静态数据安全、动态数据安全、数据销毁安全和数据安全的统一管理等。9.3.2静态数据安全
对在云资管管理平台系统中静态存储和归档存储的数据的安全管理要求，涵盖信息生命周期从创建，存储、使用、共享、归档、销毁六个环节中的存储和归档两个环节。加密：提供对不同租户的敏感数据的机密存储的功能。支持密钥的生成、发放、回收等密钥管理功能。
权限管理：加强综合管理平台维护人员对数据操作的权限管理，支持对不用户数据的访问控制与授权管理，包括：访问对象（数据）、读写权限等访问控制内容。文件访问管理：支持对归档和存储在综合管理平台的数据，进行文件访问的审计，记录访问操作的帐号、访问的操作（读、写）、访问的内容、访问的时间。9.3.3动态数据安全
对在平台中被使用、传输、共享的数据的安全管理要求，涵盖信息生命周期从创建、存储、使用、共享、归档、销毁六个环节中的使用和共享两个环节。涉及通过网络协议、外设接口、维护终端等多种方式泄密的途径，保证在这些途径上的数据保密性、完整性。加密：提供加密传输手段，对综合管理平台应用中传输的数据进行加密保护。受保护的应用包括但不限于：邮件、文件传输：可采用的安全协议包括但不限于：SSL、secure-FTP等：9.3.4数据销毁安全
对在平台中需销毁的租户数据，确保其被完全消除或使其无法恢复使用。该安全要求是针对信息生命周期从创建、存储、使用、共享、归档、销毁六个环节中的最后一个环节。7
YD/T2807.1-2015
永久粉碎：支持永久性删除文件、文件夹的功能，不会遗留任何数据片段在硬盘上。磁盘空间回收：支持被粉碎和物理删除的文件磁盘空间的回收。未完全销毁检查：支持内容识别方式，通过扫描已被销毁的数据区域，发现是否存在未经永久删除的敏感数据。
9.3.5数据安全统一管理
对在云资管管理平台系统中的主要数据安全技术，通过统一的加密管理，泄密及违规监控管理要求覆盖信息的整个生命周期。
统一加密平台：上述静态、动态数据安全中涉及的加密要求纳入统一的加密平台管理，平台支持。密钥管理：自动生成密钥、导入/导出公钥或密钥对等有关密钥的创建、分配和存放管理，从而保持只有组织充许的授权人员访问加密的数据。统一策略制定：
一策略执行：传送集中操控的加密策略配置；报告和记录：提供可见的加密保护的当前状态，以帮助和满足管理员和审查员的要求。9.4物理服务器安全
9.4.1Windows防病毒要求
结合目前新的病毒威胁和病毒检测与扫描机制，针对应用环境下的windows系统，应当具备防病毒安全要求。
防病毒软件应具备全面查杀病毒，查杀病毒准确无误，管理方便，病毒特征码自动更新，安装简单的特点。
在参照现有防病毒系统的技术要求基础上，应采用先进的利用技术进行文件信誉度评级的病毒定义技术，提高病毒防护的效果，降低误报率。具备灵活的部署架构，适应复杂的网络环境。具备集中的管理平台，可以快速制定分发防病毒策略，确保企业级病毒防护基线。提供外部接口，可与其他安全系统集成，9.4.2主机防入侵要求
综合管理平台环境下的各类操作系统，应当具备对入侵的检测、记录、告警、阻断等方面的安全要求。
支持防止自身受到的拒绝服务攻击。应支持通过攻击特征比对、行为判断等技术手段检测到对通用主机系统进行入侵的行为，支持记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警，并及时阻断。应支持对重要程序的完整性进行检测，能提供告警，并及时阻断。9.4.3主机安全配置要求
综合管理平台环境下，对于保证各类操作系统自身应当具备的安全能力的配置要求、检查要求，以更主动的方式保证主机的安全。依照操作系统安全的要求，实施对通用主机的操作系统级安全加固。通过工具或者系统进行定期的安全基线配置检查，对于不合规的安全配置，产生告警，并提供检查报告和改进建议。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。