DB43/T 2254-2021 信息技术应用创新工程建设规范第 15 部分：云计算通用技术要求

ICS01.140.20

CCSL70

43

湖南省地方标准

DB43/T2254—2021

信息技术应用创新工程建设规范

第15部分：云计算通用技术要求

EngineeringspecificationfortheApplication

InnovationProjectofInformationTechnology

Part15:Generaltechnicalrequirementsofcloudcomputing

2021-12-29发布2022-03-29实施

湖南省市场监督管理局发布

DB43/T2254—2021

目次

前言························································································································Ⅲ

引言··························································································································V

1范围·····················································································································1

2规范性引用文件······································································································1

3术语和定义············································································································1

3.1信创云independentcontrollablecloud····························································1

3.2国密算法domesticcipheralgorithm································································1

3.3云资源池cloudresourcepool·········································································1

3.4云计算资源池cloudcomputingresourcepool····················································1

3.5云存储资源池cloudstorageresourcepool·······················································1

3.6云网络资源池cloudnetworkresourcepool·······················································2

3.7云安全资源池cloudsecurityresourcepool······················································2

3.8多副本multi-copy··························································································2

3.9块存储blockstorage·····················································································2

3.10对象存储objectstorage···············································································2

3.11共享文件存储sharedfilestorage··································································2

3.12云平台cloudplatform··················································································2

3.13多云管理平台multi-cloudmanagement·····························································2

3.14卷volume····································································································2

3.15云主机迁移cloudinstancemigration·····························································2

3.16云主机冷迁移cloudinstancestaticmigration················································2

3.17云主机热迁移cloudinstancelivemigration···················································2

3.18双因子认证two-factorauthentication····························································3

3.19对象缓存池nodepool·····················································································3

3.20对象存储桶bucket························································································3

3.21密钥分割keysegmentation············································································3

4缩略语··················································································································3

5技术要求···············································································································4

5.1整体架构·········································································································4

5.2云计算资源······································································································5

5.3云存储资源······································································································7

5.4云网络资源······································································································8

5.5容器云资源······································································································9

I

DB43/T2254—2021

5.6裸金属资源····································································································11

5.7多云管理平台·································································································11

5.8云安全资源····································································································12

5.9密码安全·······································································································14

6服务要求·············································································································14

6.1数据服务·······································································································14

6.2平台服务·······································································································15

6.3应用迁移服务·································································································17

6.4安全服务·······································································································17

6.5技术支持·······································································································17

6.6容灾备份服务·································································································18

6.7部署安装服务·································································································18

7平台认定·············································································································18

7.1认定目的·······································································································18

7.2认定范围·······································································································19

7.3认定内容·······································································································19

7.4认定方法·······································································································19

表1信创云-自主能力评估表···················································································21

表2信创云-云计算资源能力评估表··········································································21

表3信创云-云存储资源能力评估表··········································································23

表4信创云-云网络资源能力评估表··········································································26

表5信创云-裸金属能力评估表················································································28

表6信创云-多云管理能力评估表·············································································29

表7信创云-云安全资源能力评估表··········································································30

表8信创云-密码安全能力评估表·············································································32

表9信创云-容器云能力评估表················································································32

表10信创云-服务能力评估表·················································································36

表11信创云-评估结果汇总表·················································································39

表12信创云-专家意见书·······················································································40

II

DB43/T2254—2021

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规

定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

《信息技术应用创新工程建设规范》分为以下几个部分：

——第1部分：台式微型计算机通用技术要求；

——第2部分：便携式微型计算机通用技术要求；

——第3部分：服务器通用技术要求；

——第4部分：操作系统通用技术要求；

——第5部分：操作系统硬件兼容性通用技术要求；

——第6部分：操作系统软件兼容性通用技术要求；

——第7部分：办公套件通用技术要求；

——第8部分：电子公文通用技术要求；

——第9部分：驱动开发通用技术要求；

——第10部分：应用开发通用技术要求；

——第11部分：迁移适配通用技术要求；

——第12部分：国产化信息系统建设质量管理规范；

——第13部分：国产化信息系统运行维护规范；

——第14部分：国产化信息系统建设验收规范；

——第15部分：云计算通用技术要求。

本部分为第15部分。

本部分由湖南省国家密码管理局提出。

本部分由湖南省工业和信息化厅归口。

本部分起草单位：湖南大学（国家超级计算长沙中心）、中国人民解放军国防科技大学、银河麒麟

软件（长沙）有限公司、飞腾信息技术有限公司、中国长城科技集团股份有限公司、华为技术有限公司、

金山云网络技术有限公司、湖南中软信息系统有限公司、长沙证通云计算有限公司、奇安信科技集团股

份有限公司、华盾云科技术有限公司、湖南科创信息技术股份有限公司、北京海泰方圆科技股份有限公

司、湖南湘江鲲鹏信息科技有限责任公司、创智和宇信息技术股份有限公司、深信服科技股份有限公司、

深圳宝德计算机系统有限公司、长沙军民先进技术研究院有限公司，中国电信股份有限公司云计算分公

司。

本部分主要起草人：唐卓、吴庆波、李肯立、高晓飞、所光、隋强、刘斌、纪军刚、尹旦、曹嵘晖、

符利华、罗笛、肖慧、黄晋艺、谭一帆、周裕君、张珲、张永森、曾庆顺、何利明、许传细。

III

DB43/T2254—2021

IV

DB43/T2254—2021

引言

湖南省为深入贯彻国家网络强国战略，全面落实中央有关文件精神，部署开展湖南省信息技术应用

创新工程建设，保障全省各级党政机关关键信息基础设施信息安全和信息系统安全可靠运行。针对自主

可控产品体系初具规模，但相关产品和工程实施标准规范还很缺乏的现状，为了规范工程建设，加速工

程进度，扩大建设结果，同时有力提升自主可控产业发展水平，确保信息安全，由湖南省国家密码管理

局作为业务主管单位、湖南省工业和信息化厅作为技术归口单位，由中国人民解放军国防科技大学、中

国电子信息产业集团有限公司等单位与湖南省合作制定了《信息技术应用创新工程建设规范》地方标准。

《信息技术应用创新工程建设规范》主要由自主可控核心产品、典型应用、工程管理等方面的规范

组成，重点解决应用创新工程建设当中产品选型、应用开发、工程实施等基础环节的实际问题，可为应

用创新工程的用户使用单位、集成建设单位和相关产品研制单位，在产品和应用规范化、软硬件兼容适

配、工程实施标准等方面提供一般性指引。

《信息技术应用创新工程建设规范》未来将根据自主可控产业和应用创新工程的发展变化进行相应

的必要调整和补充。

V

DB43/T2254—2021

VI

DB43/T2254—2021

信息技术应用创新工程建设规范

第15部分：云计算通用技术要求

1范围

本部分适用于湖南省信息技术应用创新工程建设相关云计算IAAS平台的设计、集成、服务和测评。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T32400—2015信息技术云计算概览与词汇

GB/T32399—2015信息技术云计算参考架构

GB/T37737—2019信息技术云计算分布式块存储系统总体技术要求

GB/T37738—2019信息技术云计算云服务质量评价指标

GB/T37739—2019信息技术云计算平台即服务部署要求

GB/T37740—2019信息技术云计算云平台间应用和数据迁移指南

GB/T37741—2019信息技术云计算云服务交付要求

3术语和定义

GB/T5271.14界定的以及下列术语和定义适用于本文件。

下列术语和定义适用于本文件。

3.1

信创云independentcontrollablecloud

是指新一代国产化信息技术应用创新工程云计算平台。

3.2

国密算法domesticcipheralgorithm

中华人民共和国国家密码管理局认定的国产密码算法。

3.3

云资源池cloudresourcepool

云资源池包括云计算资源池、云存储资源池、云网络资源池、云安全资源池等资源集合。

3.4

云计算资源池cloudcomputingresourcepool

物理计算资源或虚拟计算资源的集合，可以从池中获取资源，也可将资源回收到池中。

3.5

云存储资源池cloudstorageresourcepool

1

DB43/T2254—2021

物理存储资源或虚拟存储资源的集合，可以从池中获取资源，也可将资源回收到池中。

3.6

云网络资源池cloudnetworkresourcepool

物理网络资源或虚拟网络资源的集合，可以从池中获取资源，也可将资源回收到池中。

3.7

云安全资源池cloudsecurityresourcepool

物理安全资源或虚拟安全资源的集合，可以从池中获取资源，也可将资源回收到池中。

3.8

多副本multi-copy

一个存储对象同时保存至少两份数据。

3.9

块存储blockstorage

块存储指在一个RAID（独立磁盘冗余阵列）集中，一个控制器加入一组磁盘驱动器，然后提供固

定大小的RAID块作为LUN（逻辑单元号）的卷。

3.10

对象存储objectstorage

用来描述解决和处理离散单元的方法的通用术语。对象在一个层结构中不会再有层级结构，是以扩

展元数据为特征。

3.11

共享文件存储sharedfilestorage

以数据为中心，将存储设备与服务器彻底分离，集中管理数据，从而释放带宽、提高性能、降低总

拥有成本。

3.12

云平台cloudplatform

提供多种云服务资源池和服务目录的统一管理，便捷的IT服务使用方式，实现对业务服务需求的

快速响应，保证资源部署的一致性和高效利用率。

3.13

多云管理平台multi-cloudmanagement

管理多种异构云基础设施，提供统一的一站式云管理服务。

3.14

卷volume

块存储系统中物理空间的逻辑分区，为云主机(VM)或物理主机提供裸设备方式进行数据存取。可以

进行创建、删除、扩展等操作。

3.15

云主机迁移cloudinstancemigration

云主机迁移包括云主机冷迁移和云主机热迁移。

3.16

云主机冷迁移cloudinstancestaticmigration

也叫静态迁移，指关闭云主机后，把云主机从一台物理主机迁移到另外一台物理主机。

3.17

云主机热迁移cloudinstancelivemigration

也叫动态迁移，指不关闭云主机，把云主机从一台物理主机迁移到另外一台物理主机。

2

DB43/T2254—2021

3.18

双因子认证two-factorauthentication

结合密码以及实物（国密UKey、SMS手机、令牌或指纹等生物标志）两种条件对用户身份进行认证

的方法。

3.19

对象缓存池nodepool

用于管理节点对象的对象缓存池。

3.20

对象存储桶bucket

对象存储空间中的桶。

3.21

密钥分割keysegmentation

指密钥管理中使用主密钥和其变量对副密钥和基本密钥编码的技术。

4缩略语

CPU：中央处理器（CentralProcessingUnit)

X86：基于Intel8086且向后兼容的中央处理器指令集架构(IntelX86)

ARM：高级RISC处理器（AdvancedRISCMachine)

PKI：公钥基础设施（PublicKeyInfrastructure)

SM2：基于椭圆曲线的国产公钥密码算法（非对称密码算法）

SM3：国产哈希算法SM3（CryptographicHashAlgorithmSM3)

SM4：国产分组密码算法SM3（InformationsecuritytechnologySM4）

SM7：另一种国产分组加密算法SM7（InformationsecuritytechnologySM7）

SM9：基于标识的国产公钥密码算法（非对称密码算法）

CA：证书签发机构（CertificationAuthority)

HTTPS：超文本传输安全协议（HyperTextTransferProtocoloverSecureSocketLayer）

RBD：RADOS块设备（RADOSBLOCKDEVICE)

iSCSI：Internet小型计算机系统接口（InternetSmallComputerSystemInterface）

NFS：网络文件系统（NetworkFileSystem)

CIFS：通用网络文件系统(CommonInternetFileSystem）

S3：简单存储服务（SimpleStorageService）

CephFS：Ceph文件系统（CephFileSystem）

EC：纠删码（ErasureCoding）

AZ：可用域（AvailabilityZone）

RBAC：基于角色的访问控制（Role-BasedAccessControl）

AK：密钥的AccessKey

SK：密钥的SecretKey

EIP：弹性公网IP（ElasticIPAddress）

PPS：数据包每秒（packagepersecond）

VPC：虚拟专有网络(VirtualPrivateCloud）

SSH：安全外壳协议（SecureShell）

3

DB43/T2254—2021

MIPS：单字长定点指令平均执行速度（MillionInstructionsPerSecond），每秒处理的百万级的

机器语言指令数

DNS：域名系统（DomainNameSystem）

RAM：随机存取存储器（RandomAccessMemory）

VHD：虚拟磁盘格式（MicrosoftVirtualHardDiskformat）

IPV6：互联网协议第6版（InternetProtocolVersion6）

Docker：一个开源的应用容器引擎

Kafka：由Apache软件基金会开发的一个开源流处理平台，由Scala和Java编写

Pod：容器里的一个实例

IOPS：一个用于计算机存储设备（如硬盘（HDD）、固态硬盘（SSD）或存储区域网络（SAN）性能测

试的量测方式（Input/OutputOperationsPerSecond）

Qos：服务质量（QualityofService）

RESTful：一种网络应用程序的设计风格和开发方式（RepresentationalStateTransfer）

RAID：磁盘阵列（RedundantArraysofIndependentDisks)

ACL：访问控制列表(AccessControlLists)

CA：证书颁发机构(CertificateAuthority)

Bucket：对象存储中的桶

Vlan：虚拟局域网（VirtualLocalAreaNetwork）

VxLAN：虚拟扩展局域网（VirtualExtensibleLocalAreaNetwork）

DHCP：动态主机配置协议（DynamicHostConfigurationProtocol）

NAT：网络地址转换（NetworkAddressTranslation）

VPN：虚拟专用网络（VirtualPrivateNetwork）

Hypervisor：虚拟机监视器（virtualmachinemonitor）

IDC：互联网数据中心（InternetDataCenter）

5技术要求

5.1整体架构

5.1.1设计指导原则

按照湖南省委省政府工作部署要求，以国产CPU和国产操作系统为核心，构建“两芯一生态”云平

台产业体系，其中两芯为飞腾和鲲鹏系列芯片，一生态为麒麟操作系统生态。

5.1.2整体结构

信创云系统架构如图1所示，分为如下模块：

a）国产化服务器（飞腾、鲲鹏）：在国产化服务器（飞腾、鲲鹏）上搭建信创云；

b）银河麒麟操作系统：为国产化服务器（飞腾、鲲鹏）提供统一的生态支持；

c）自主可信源：信创云服务依赖于自主可控的源；

d）国密算法：基于国密算法和国密PKI体系的平台组件间报文加解密与用户身份认证技术；

e）云计算资源：提供计算资源虚拟化服务；

f）云存储资源：提供存储资源虚拟化服务；

g）云网络资源：提供网络资源虚拟化服务；

4

DB43/T2254—2021

h）云安全资源：提供安全资源虚拟化服务；

i）云资源池：云资源池包括云计算资源、云存储资源、云网络资源、云安全资源等；

j）运维/监控：提供物理和虚拟资源监控及运维服务；

k）容器云：实现信创云中的容器资源管理功能；

l）云平台：实现信创云的计算、存储、网络、安全等资源的生命周期管理的平台；

m）多云管理平台：实现多个信创云的统一管理服务平台。

图1信创云系统架构

5.2云计算资源

5.2.1云主机资源

功能描述

云主机提供简单高效、处理能力强、可弹性伸缩的计算服务，帮助用户快速构建更稳定、安全的应

用，提升运维效率，降低IT成本。

弹性云主机是由CPU、内存、存储、网络等组成的随时可获取、弹性可扩展、按需使用的虚拟的计

算服务器，为用户打造一个高效、可靠、安全的计算环境，确保用户的服务持久稳定运行。

功能要求

a）支持在不同可用区（AZ）中的X86、ARM或者其他MIPS物理主机上创建云主机；

b）使用X86物理主机时支持至少一种国产GPU，比如寒武纪、昇腾等；支持为租户创建透传GPU

或者vGPU的云主机。ARM物理主机包括飞腾和鲲鹏两种CPU；

c）至少兼容2种X86、ARM或者其他MIPS品牌服务器；

d）云主机系统盘和数据盘均支持使用分布式块存储方式；

e）可以对云主机的CPU、内存、磁盘等进行调整配置，支持对云主机进行跨主机的迁移，支持对

云主机的全生命周期的管理，包括创建、删除、开关机等；支持将指定云主机分配至其他项目组；

f）创建云主机时支持自动分配、指定IP地址，可配置多块辅助网卡，配置每个网卡的安全组或

者防火墙设置；

g）支持在控制台修改网卡、VPC、子网、IP、DNS地址等信息；

5

DB43/T2254—2021

h）可导入RAW、VHD、QCOW2、VMDK等格式镜像，并且基于导入镜像创建云主机；可使用镜像重装

系统；支持租户可以制作镜像，跨租户共享或者取消镜像；

i）支持云主机和云硬盘删除到回收站或者强制直接删除，可以配置回收站保存时间，可以从回收

站还原云主机和云硬盘；

j）支持云主机亲和或者反亲和性调度；

k）支持创建云主机时可以设置密码或者SSHKey登陆，Linux密码丢失时可以通过云平台重

置root用户密码；

l）支持通过在线快照对云主机进行自动备份，对云主机性能没有影响；

m）支持计算能力的弹性伸缩，可根据性能监控指标或者定时任务，增加、删除或者设置云主机

的数量；

n）业务系统迁移上云时支持按照原系统IP地址或MAC地址创建云主机；

o）支持在一个AZ中将云主机创建到指定的计算节点资源池上；

p）支持使用IPv6；

q）支持资源多租户隔离。

5.2.2两芯一生态要求

物理主机芯片要求

物理主机CPU芯片应该是飞腾或鲲鹏芯片。

物理主机操作系统要求

物理主机操作系统应该是银河麒麟操作系统。

5.2.3异构虚拟化云资源池要求

功能描述

信创云支持不同国产CPU架构的计算资源池，以国产化服务器（飞腾、鲲鹏）为主，可兼容其它国

产X86架构服务器。

功能要求

a）一套云平台支持同时管理不同CPU架构的计算资源池；

b）云平台支持选择不同资源池创建不同CPU架构的云主机；

c）信创云支持按照不同CPU架构扩容计算节点服务器；

d）不同CPU架构的云主机可以部署在同一个虚拟子网中；

e）支持计算节点和控制节点的动态扩容。

5.2.4云主机迁移要求

功能描述

支持两种或多种物理主机部署在同一个计算资源池中，云主机支持在相同CPU架构的两种或多种不

同物理主机之间进行迁移。

功能要求

a）支持在同一个计算资源池中部署不同CPU架构的两种或多种物理主机；

6

DB43/T2254—2021

b）支持云主机在同一个计算资源池的相同CPU架构不同品牌物理主机之间迁移；

5.3云存储资源

5.3.1功能描述

信创云可采用集中式或分布式架构云存储作为底层存储系统，该底层存储系统可以提供块存储、对

象存储、文件存储，支持弹性扩展，容量和性能都支持线性增长。

5.3.2功能要求

a）对象存储、块存储、文件存储系统所有服务均支持高可用部署方式，可随时扩容，不影响业务

使用；

b）至少支持2种存储接口访问协议，包括但不限于RBD、iSCSI、NFS、CIFS、S3、CephFS等协议；

c）支持多副本或冗余校验存储机制；

d）支持监控分布式云存储的集群容量、健康状况、服务状态、性能指标等；

e）支持对云硬盘创建、挂载、卸载、删除、扩容、创建快照、修改属性、添加标签、删除标签、

分配至对应租户等全生命周期的管理功能；

f）支持在控制台创建、删除、回滚快照备份，支持配置自动化快照策略，支持从快照创建云硬盘。

g）支持从不同类型的磁盘创建不同性能的系统盘和云硬盘；

h）支持使用本地盘和云硬盘两种方式创建云主机系统或云硬盘；

i）支持创建精简配置卷，并可根据实际使用情况动态分配空间；

j）支持自动根据云硬盘容量对IOPS、带宽的上限等QoS限速项进行设置；

k）支持云硬盘回收站功能，误删后可以恢复。支持批量恢复、批量彻底删除云硬盘；

l）支持新建、删除、编辑文件系统类型为NFS和CIFS的高可用文件系统。支持创建、删除文件

服务系统挂载点；

m）支持对对象存储空间进行创建、修改、删除等操作；

n）支持对空间设置公开读写、公开读、私密访问权限模式；

o）支持将对象空间分配到指定租户，支持自动设置文件名；

p）支持从界面和API接口上传文件，支持查看获取文件的访问地址；

q）支持对文件的重命名、批量删除等操作；

r）支持RESTful接口，支持http和https协议访问；

s）支持Bucket创建、删除和Bucket相关属性的查看与管理；

t）支持Object上传、删除、分享、下载、搜索等功能；

u）支持针对每个Bucket和Object设置读写权限；

v）支持查看用户存储容量、流量、请求次数、带宽等统计数据；

w）支持设置过期删除规则，可指定过期时间或者过期天数；

x）数据传输支持使用基于国密算法的SSL进行加密传输。服务访问具有严格的AK/SK访问授

权机制；

y）支持细粒度空间策略，可独立限制每个Bucket存储空间的访问用户、接口操作和访问IP，同

时支持空间级别ACL、对象级别ACL和Bucket空间策略等多种安全配置；

z）支持设置Bucket/Object的访问控制列表，进行访问权限控制（公开、私密）；

aa）支持配置白名单和黑名单功能启用防盗链功能，提供对象存储访问安全控制功能；

bb）支持设置Bucket或匹配的对象转为低频存储、进行过期删除的规则，可指定转为低频存储