|
序号 | 指标名称 | 指标要求 | 是否满足 | 备注 |
* | 品牌 | 天翼云 | | |
* | 型号(版本号) | 块存储-普通**-****盘-*** | | |
* | 基本描述 | *、产品功能*.块存储扩容块存储支持磁盘空间大小从***到***,用户可按***步长在范围内自由配置磁盘容量,并可随时扩容,满足不断增长的业务对更多存储容量的需求。云资源池提供两种扩容方式:方式*:通过单台云主机上挂载多块磁盘的方式扩容,单台云主机最多挂载**块数据盘;方式*:直接对单块系统盘(*****)或数据盘(*******、*****)进行扩容(磁盘卸载后),磁盘容量最大可扩展到***。*.块存储的挂载和卸载块存储支持与云主机的绑定(挂载)与解绑(卸载)。系统盘在创建云主机时自动添加,用户无需进行挂载操作;如在创建云主机时选择添加数据盘,数据盘也将自动挂载到云主机;当单独购买数据盘时,需要用户手动执行挂载到云主机的操作。系统盘和数据盘均支持从云主机上卸载,但需要在云主机处于关机状态才可执行此操作。卸载的系统盘和数据盘可重新挂载到任意*台云主机,但系统盘仅支持可以作为数据盘挂载到其它云主机。*.块存储的备份与恢复支持块存储备份,用户可以根据需要随时通过控制中心对系统盘或数据盘执行备份操作。当用户发现因误删操作、黑客攻击等原因导致数据丢失或不*致时,可选择某个时间点的备份执行恢复操作,避免业务受到影响。*.多种块存储创建方式创建数据盘时,可选择创建全新的数据盘,也可利用已有备份创建数据盘。利用备份创建数据盘可帮助用户实现业务的快速批量部署。*.支持性能监控提供实时监控磁盘的读写速率、读写操作速率、读写流量以及**监控的信息,帮助用户及时了解磁盘运行状况*、块存储服务性能根据 ** 性能划分块存储的磁盘类型,各种类型的块存储具体介绍如下。不同类型块存储的性能 和价格有所不同,您可根据应用程序要求选择您所需的块存储 *.普通**:该类型块存储的最大****为****,适用于大容量、读写速率中等、事务性处理较少的应用场景,例如企业的日常办公应用或者小型测试等*.高**:该类型块存储的最大 **** 可达 ****,最低读写时延为 * **,适用于主流的高性能、高可
靠应用场景,例如企业应用、大型开发测试以及 *** 服务器日志等。 *.超高**:该类型块存储的最大 **** 可达 *****,最低读写时延为 * **,适用于超高 **,超大带
宽的读写密集型应用场景,例如高性能计算应用场景,用来部署分布式文件系统,或者 */* 密集 型应用场景,用来部署各类 *****/关系型数据库。
*、块存储服务先进性及价值*.高可靠块存储采用分布式存储,每份数据在后台保存多份副本,多副本数据实时同步,不会因存储掉电、故障导致用户数据丢失,保证数据安全可靠。数据存储的持久性可达**.*****%。低延迟、高性能贵州节点单磁盘支持的最大随机****可达*****、吞吐量可达*******、网络延时仅为***,满足不同业务场景的需求。*.大容量提供超大容量块存储,其中贵州节点单个块存储最大可支持***,其他节点单块块存储最大可支持**,每台云主机最多可挂载**块存储,满足业务对高容量存储的需求。*.弹性扩展既支持通过单台云主机上挂载多块块存储的方式扩展存储空间,还可支持对单块块存储进行扩容。 | | |
* | 网上链接地址 | *****://***.*****.**/*******/*** | 是 | |
* | 备注 | *、网络边界安全防护天翼云服务面向********提供服务,将面临来自********的网络攻击,包括****攻击、入侵、应用类攻击等。为建立稳固、深度和自动防御系统,天翼云云平台部署****-****系统用来抵御****攻击;部署***实时检测来自互联网的网络攻击、监控主机异常行为并提供报警和统计报告功能;部署***应用防火墙加强******、服务控制台和***网关的安全性,防止黑客行为,确保云服务接口可用性、保密性和完整性。*.****异常流量清洗在每个云数据中心边界部署*套天翼云****-****设备来完成异常流量检测及清洗。****-****由检测中心、清洗中心和管理系统(****)组成,通过****管理中心使用协同部署模型来关联检测和清洗设备。检测到异常流量后,检测设备会向****管理中心上报异常流量攻击。****管理中心将控制清洗设备开始清洗,随后清洗设备完成流量分流、清洗和注入。****-****设备除了用于防护对数据中心基础设施的异常流量攻击,还可以为租户提供精细化的****防护服务,租户可以根据租户的应用类型,配置流量阀值参数,并查看攻击和防御状态。*.入侵检测及拦截为了感知来自********(数据中心南北向流量)、以及租户虚拟网路之间(租户东西向流量)的攻击,并针对攻击做阻断,需要在网络边界部署***设备。***设备要求具备网络实时流量、分析和阻止,能防护以下主要攻击:异常协议攻击暴力攻击端口/漏洞扫描各种入侵行为部分***和****攻击部分*** ***攻击病毒、木马行为抵御最新当天和已知的漏洞攻击基于网络流量,***设备可以帮助定位和调查网络异常,分配定向流量的限制策略,并采用相应的自定义检测规则,保护生产环境的应用程序和网络基础设施安全。*、**********安全防护虚拟化平台直接运行于物理服务器之上,基于硬件辅助虚拟化技术(***** **-*)提供虚拟化能力,为虚拟机提供运行环境。虚拟化平台需要保证虚拟机运行在合法的空间内,避免某个虚拟机对虚拟化平台或其他虚拟机发起攻击。虚拟化平台为虚拟机运行提供的资源包括*种,***资源、内存资源、**设备资源。以下分别从这*个方面介绍虚拟化平台的实现机制。*.***隔离虚拟化平台基于硬件辅助虚拟化技术(***** **-*)实现。基于硬件虚拟化,***有两种运行模式:****模式和***-****模式。虚拟机运行于***-****模式,虚拟化平台运行于****模式。每个模式下都有完整的*****-*****运行权限。虚拟机内核程序运行于***-****的*****,虚拟机用户态程序运行于***-****的*****。****模式权限高于***-****模式,部分指令及设备需要****权限才能访问,即运行于****模式的虚拟化平台权限高于运行于***-****模式的。****和***-****模式之间的切换称为**-****(从***-****切换到****)和**-*****(从****切换到***-****)。虚拟化平台定义了禁止虚拟机直接运行的指令和地址,虚拟机正常运行过程中处于***-****模式,*旦运行到敏感指令或访问到敏感地址,就会触发**-****切换到****模式,由虚拟化平台截获并进行处理。等虚拟化平台处理完成后,再通过**-*****返回虚拟机运行。通过这种机制,可以控制虚拟机对物理设备以及虚拟化运行环境的访问权限。实现了虚拟化平台与虚拟机之间的隔离。除了虚拟化平台与虚拟机之间的安全隔离,同*物理主机上会运行多个虚拟机。由虚拟化平台对各虚拟机之间的资源进行分配和调度。保证各虚拟机之间公平使用物理资源。虚拟机计算资源对象以****的形式呈现,虚拟机内部操作系统识别****为*个独立计算单元,其属性与物理环境下的****致。在虚拟化平台层面,每个****被作为*个调度对象进行资源分配。在虚拟化层会为每个****对象创建*个管理结构,该管理结构根据提供硬件辅助虚拟化能力的硬件***定义,在***** ***环境上即是****结构(******* ******* ******* *********)。当虚拟化层对物理***上的****进行切换,或者发生***-****/****切换时,****的信息(包括各种寄存器信息)会被保存在其对应的****结构体里。在物理***上重新导入其他****对应的****结构内容。这样可以保证在发生上下文切换时,*个**无法获取到其他**或虚拟化平台的信息。综上,基于硬件辅助虚拟化**-*技术,虚拟化平台可以实现在信息和资源上保证各**之间的隔离性。*.内存隔离虚拟化平台还负责为虚拟机提供内存资源,保证每个虚拟机只能访问到其自身的内存。为实现这个目标,虚拟化平台管理虚拟机内存与真实物理内存之间的映射关系。保证虚拟机内存与物理内存之间形成**映射关系。虚拟机对内存的访问都会经过虚拟化层的地址转换,保证每个虚拟机只能访问到分配给它的物理内存页上,无法访问到属于其他虚拟机或虚拟化平台自身使用的内存。为了保证虚拟化平台内存管理的高效性,使用了硬件***提供的内存管理能力。由硬件实现虚拟机内存与物理内存之间的映射管理,映射表由虚拟化平台创建并管理。通过以上技术,可以保证虚拟机只能访问到其自身的内存。保证了虚拟机之间以及虚拟机和虚拟化平台之间的内存隔离。*.**隔离虚拟化平台还给虚拟机提供了虚拟**设备,包括磁盘,网卡,鼠标键盘等。虚拟化平台为每个虚拟机提供独立的设备,避免多个虚拟机共享设备造成的信息泄露。每个虚拟磁盘对应虚拟化平台上的*个镜像文件,该镜像文件可以是远端存储上挂载到虚拟化平台上的,也可以是存在于虚拟化平台本地的。虚拟化平台控制只有*个虚拟机的*个虚拟磁盘设备跟*个镜像文件关联。虚拟网卡设备在虚拟化平台上被接到虚拟交换机上,虚拟交换机根据虚拟网卡的***地址等表项进行交换,同时支持设置****、*****、***等属性,保证虚拟机之间的网络隔离。通过以上描述,实现了虚拟机使用的虚拟设备与虚拟化平台**管理对象之间**对应的关系,保证虚拟机之间无法相互访问**设备,实现**路径的隔离。*、虚拟网络安全防护*.****隔离通过虚拟网桥实现虚拟交换功能,虚拟网桥支持**** *******功能,实现****隔离,确保虚拟机之间的安全隔离。虚拟网桥的作用是桥接*个物理机上的虚拟机实例。虚拟机的网卡****,***,…,称为前端接口(*****-***)。后端(****-***)接口为***,连接到******。这样,虚拟机的上下行流量将直接经过******转发。******根据***地址与***接口的映射关系作数据包转发。******支持**** *******功能,这样,分布在多个物理机上的同*个虚拟机安全组的虚拟机实例,可以通过**** *******对数据帧进行标识,网络中的交换机和路由器可以根据****标识决定对数据帧路由和转发,提供虚拟网络的隔离功能。处于不同物理服务器上的虚拟机通过****技术可以划分在同*个局域网内,同*个服务器上的同*个****内的虚拟机之间通过虚拟交换机进行通信,而不同服务器上的同*****内的虚拟机之间通过交换机进行通信,确保不同局域网的虚拟机之间的网络是隔离的,不能进行数据交换。*.安全组用户根据虚拟机安全需求创建安全组,每个安全组可以设定*组访问规则。当虚拟机加入安全组后,即受到该访问规则组的保护。用户通过在创建虚拟机时选定要加入的安全组来对自身的虚拟机进行安全隔离和访问控制。同*个安全组中的虚拟机可能分布在多个物理位置分散的物理机上,*个安全组内的虚拟机之间是可以相互通信,而不同的安全组之间的虚拟机默认是不允许进行通信的,可配置为允许通信。安全组规则包括:协议、出/入方向、源**地址段/子网或安全组、允许访问的端口范围。支持配置***、***、*****种协议。*.*层网络安全策略*层网络安全策略主要包括:防止用户虚拟机**和***地址仿冒,防止用户虚拟机**** ******仿冒。*)防止**地址和***仿冒(**和***绑定):防止虚拟机用户通过修改虚拟网卡的**、***地址发起**、***仿冒攻击,增强用户虚拟机的网络安全。具体技术能力包括通过**** ********生成**-***的绑定关系,然后通过**源侧防护(** ****** *****)与动态***检测(***)对非绑定关系的报文进行过滤。*)防止**** ******仿冒 (**** ******隔离):禁止用户虚拟机启动**** ******服务,防止用户无意识或恶意启动**** ******服务,影响正常的虚拟机**地址分配过程。*)防***/****攻击:系统通过限制虚拟端口的连接跟踪数来抵御来自云平台外部或平台内部其他虚拟机的大流量攻击,此类攻击会产生大量连接跟踪表项,如果不做限制,会耗尽连接跟踪表资源耗尽,不能接受新的连接请求,最终导致业务及管理流量中断。*、应用安全防护******* *******/*** *******等***应用部署在***区域,中国电信天翼云部署***应用防火墙(***)应对***攻击。***能够基于异常来检测未知的***攻击,包括:**** ***攻击注入***、****跨目录组件漏洞攻击身份伪造等。*、数据安全防护在虚拟化环境中,同*主机的不同虚拟机间共享物理内存。*个虚拟机释放的物理内存,可能很快就会分配给其他虚拟机使用。如果释放物理内存时没有进行安全删除,那获得物理内存的虚拟机将获得前*个虚拟机的数据,从而造成数据泄露。为此,中国电信天翼云提供针对性的数据删除策略:*.物理内存数据删除:在虚拟机释放物理内存前,将对内存中的数据进行清*操作,将内存中的数据彻底删除,防止通过物理内存造成的数据泄露。*.物理磁盘空间数据删除:在虚拟机在释放物理磁盘空间时,对其中的数据进行安全删除,从而杜绝数据在屋里磁盘层面上的泄露。同时,针对数据加密存储的物理磁盘空间,采用销毁加密秘钥的方式,实现防止数据泄露的目的。*.针对性数据删除策略:依据虚拟化存储技术的不同,中国电信天翼云可采用不同的方式对其中的数据进行释放前的安全删除,以降低因对大数据空间进行全比特清*等操作带来的资源消耗。*、安全接入*. 可以支持的移动终端系统有:*******、*******、 ***(******/****)、*****、*******、**********、*****。*. 双因子强认证,支持 ******、证书、终端硬件 ** 绑定、用户名密码,短信密码,***** 密码等多种形式认证。*. 灵活的授权管理,提供基于 **、端口、*** 的细粒度访问控制*. 采用主机检查、访问痕迹清除和安全桌面技术,确保用户终端设备安全访问业务资源*. 高性能 *** *** 加密,提供多租户场景下的用户接入安全服务;*. 全面的移动终端管理,并支持审计功能。*. 可通过***对资源进行操作行为日志,支持供审计功能*、访问控制*)账号授权及权限管理:运维账号有专门的审批流程控制,审批环节需要对使用者的背景做调查。普通用户账号的创建系统自动管理,统*监控、审计;所有用户权限管理基于最小特权原则;定期对运维账号进行清理,如须继续使用,需要填写继续使用申请;如果运维人员转岗或者离职,需要对权限进行清理。如需继续使用,需要填写专门的申请;每个用户 ** 均唯*标识*个用户。*)用户鉴别运维远程维护时,使用 ***** *** 接入云数据中心;该 ***** *** 只能连接到运维网络上,不允许直接登录到业务系统上;对用户采用双因子强认证,支持 ******、证书、终端硬件 ** 绑定、用户名密码,短信密码,***** 密码等多种形式认证。 | 是 | |
* | 是否满足招标要求的保修服务标准 | | 是 | |
* | 高于招标要求的保修服务 | *.免费快速备案 备案无担忧,管局审核期间云主机免费试用*.免费试用 未体验及购买过天翼云产品的预付费用户,通过实名认证后,可**天免费试用特定规格型号云主机服务 | 是 | |
* | 满足招标要求外的其他特殊功能/专有技术/新技术 | *.磁盘卸载:持从云主机上卸载磁盘当磁盘不再使用时,可以卸载磁盘释放资源,减少支出*.弹性扩展:既支持通过单台云主机上挂载多块磁盘的方式扩展存储空间,还可支持对单块磁盘进行扩容满足不断增长的业务对更多存储容量的需求*.低延迟高性能:单磁盘支持的最大随机****可达*****、吞吐量可达*******、网络延时仅为***,满足不同业务场景的需求超高**型块存储,满足数据库的高**、低延迟的性能需求*.云数据中心建设:云数据中心依托中国电信发达的基础网络,通过“*+**+*”和数据中心互联专网(***)等资源布局,实现云网融合和统*调度,进而保障用户在全国范围内都能享受到*致服务满足用户根据应用部署的需求任意选择合适区域就近使用云资源的需求,可提供属地化咨询和服务支撑。*.可信云认证:块存储服务通过可信云评估,通过**+*项多维度测评,可信云将从数据安全、服务质量、服务性能、运维管理和权益保障等多维度透析云服务,通过专业机构评测,为用户选择可信、安全的云服务提供保障 | 是 | |
* | 是否具有自主知识产权 | | 是 | |
** | 是否“进入《节能产品政府采购清单》” | | 否 | |
** | 是否“进入《无线局域网认证产品政府采购清单》” | | 否 | |
** | 是否“进入《环境标志产品政府采购清单》” | | 否 | |
** | 是否“预装正版软件” | | 否 | |
** | 是否“中小企业(注册资金****万以下或企业总人数少于***人)” | | 否 | |
** | 是否为本国产品 | | 是 | |
** | 是否进入《含有密码技术的信息产品政府采购清单》 | | 否 | |
** | 保修期限(单位:年) | 终身 | | |
** | 块存储服务 | 我方提供指块级别的网络数据存储系统。在云计算服务中,块存储作为*种存储资源租用服务, 以卷的方式挂载到云主机/物理机上供用户使用。 | 是 | |
** | 支持协议 | 我方支持块设备访问协议,云主机可以对块存储执行格式化、建立文件系统,扩展容量等操作。 | 是 | |
** | 服务能力 | 我方支持单个云磁盘最高支持****容量,单台云主机可以挂载不低于**块云磁盘,单台云主机总存储容量不低于***** | 是 | |
** | 共享访问 | 我方提供可供多台云服务器共享访问的随机读写云磁盘 | 是 | |
** | 磁盘类型 | 我方可根据客户需求提供*类磁盘,普通云盘、高速云盘、***云盘 | 是 | |
** | 管理操作 | 我方支持通过管理控制台、客户端工具或者***来进行各类操作,如创建、删除存储空间,上传、分享、下载、删除数据文件,以及设置对象,存储空间权限等 | 是 | |
** | 磁盘挂载 | 我方支持通过管理平台创建块存储的操作,并将磁盘挂载到云主机上。 | 是 | |
** | 新建文件夹 | 我方支持在块存储上新建文件夹的操作 | 是 | |
** | 上传文件 | 我方支持向块存储上上传文件的操作 | 是 | |
** | 下载文件 | 我方支持从块存储上下载文件的操作 | 是 | |
** | 转挂云主机 | 我方支持将块存储转挂到另外*台云主机上,并保证数据的*致性 | 是 | |
** | 快照功能 | 我方支持快照创建和回滚功能 | 是 | |
** | 性能监控 | 我方提供实时监控磁盘的读写速率、读写操作速率、读写流量以及**监控的信息,帮助用户及时了解磁盘运行状况。 | 是 | |
** | 数据加密 | 我方支持云磁盘支持数据加密,采用***位强密码算法,满足行业合规要求 | 是 | |
** | 备份 | 我方支持用户数据至少应有本地副本备份能力。同时能够提供跨机房或异地备份能力 | 是 | |
** | 数据存储持久性 | 我方支持*副本,保证数据存储持久性不低于**.***% | 是 | |
** | 数据销毁 | 我方支持在用户终止服务的时候,除非有特殊约定,应该立即将用户数据彻 底删除服务过程中,如果用户提出数据删除要求,我方应立即删除数据如果用户提出清*要求时,应提供相应的服务。在存储设备报废时,我方使用消磁、损毁等方式进行处理。 | 是 | |
** | 数据中心 | 我方为政府提供块服务的数据中心(包括备份数据的数据中心)在中国大*境内,并且达到以下要求:(*)告知数据中心及备份数据中心的位置(*)告知数据中心内主机数量及存储空间大小;服务提供商对用户存储在块存储上的数据进行的操作均需获得用户授权,向用户告知操作的细节,并进行日志留存。在任何情况下服务提供商不能将用户相关信息及数据转移至中国大*境外的国家和地区。提供块服务的系统和平台相关的维护、管理、升级等操作均需在中国大*境内进行。 | 是 | |
** | 服务可审查 | 我方应依法配合国家监管机构、司法机构等政府部门的安全检查,符 合相关数据安全管理规定。应制定完备的安全和服务两方面的运维管理制度和组织机制,并在运维管理系统中实现相应功能。服务提供商应接受由政府或用户指定的第*方机构的审查和监测 | 是 | |
** | 数据迁移 | 我方将在用户提出数据迁移需求时,能够提供块存储上存储数据的迁入和迁出的服务。 | 是 | |
** | 服务可用性 | 我方可向用户提供不同可用性等级的服务,宜不低于 **.*% | 是 | |
** | 配置变更 | 我方支持在***承诺的时间内完成存储容量等块存储相关配置的变更 | 是 | |
** | 故障恢复机制 | 我方能够向用户提供故障处理机制和流程文档 | 是 | |
** | 故障进展告知 | 故障发生时,我方支持以电话、短信或其它实现约定的方式通知永固,并提供故障处理进展通知 | 是 | |
** | 故障报告 | 故障处理完成后,我方向用户提供故障报告,至少包括*下内容:故障时间、故障原因、处理办法、恢复时间以及影响范围等 | 是 | |
** | 计量计费 | 我方向用户提供云主机服务计量的定价项和最小计量单位。并在*个计费周期结束时提供计费详单。如用户要求,应提供计费日志 | 是 | |
** | 抗震能力 | 我方具备抗震乙类 | 是 | |
** | 耐火能力 | 我方具备耐火*级 | 是 | |
** | 主机房负载 | 我方具备≥****/㎡ | 是 | |
** | 防水能力 | 我方具备防水*级 | 是 | |
** | 防静电能力 | 我方铺设防静电地板高度不小于***** | 是 | |
** | 市电供电条件 | 我方具备*类双路市电 | 是 | |
** | 电源供电情况 | 我方具备两个电源供电,两个电源不应同时受到损坏 | 是 | |
** | 变压器冗余 | 我方具备全部*+*;局部** | 是 | |
** | 柴油发电机冗余 | 我方具备全部*+*;局部** | 是 | |
** | 后备柴油发电机基本容量 | 我方包括不间断电源系统的基本容量、空调和制冷设备的基本容量、应急照明和消防等涉及生命安全的负荷容量 | 是 | |
** | 柴油发电机燃料存储量 | 我方具备现场储油量不小于*小时 | 是 | |
** | 不间断电源系统配置冗余 | 我方具备全部*+*;局部** | 是 | |
** | 不间断电源系统电池备用时长 | 我方具备满负荷条件下大于**分钟 | 是 | |
** | 机房空调冗余 | 我方采取*+*冗余配置(*=*~*,当空调数量*大于*台时*≥*,否则*≥*) | 是 | |
** | 火灾报警系统 | 我方具备主机房及其配套的低压配电房和电力电池室宜安装吸气式烟雾探测火灾报警系统 | 是 | |
** | 磁盘读写性能 | 我方能够向用户提供包括随机、顺序读写等的磁盘读写性能的证明材料 | 是 | |