四川省達(dá)州市電信分公司 唐 彥

1 前言

目前，全國進(jìn)入新型智慧城市建設(shè)的初始階段，新型智慧城市建設(shè)必須以云計(jì)算中心為IT基礎(chǔ)設(shè)施平臺，加快各種信息資源及功能應(yīng)用的整合以實(shí)現(xiàn)新型智慧城市建設(shè)目標(biāo)。為節(jié)省政府信息化投資，集中管理政務(wù)系統(tǒng)數(shù)據(jù)，通過建設(shè)市級政務(wù)云中心，很好的解決了各個部門重復(fù)建設(shè)機(jī)房及購置軟硬件、維護(hù)成本高、數(shù)據(jù)管理難等問題[1]。

2 總體技術(shù)架構(gòu)

政務(wù)云計(jì)算中心總體架構(gòu)如圖1：

圖1 市級政務(wù)云計(jì)算中心總體架構(gòu)

總體設(shè)計(jì)架構(gòu)從“3個1”角度進(jìn)行層次解讀，分為1個云中心，包括基礎(chǔ)配套設(shè)施、基礎(chǔ)資源池及云管理平臺；1個云監(jiān)管中心，包括具備統(tǒng)一門戶、運(yùn)營管理、服務(wù)考核、決策分析、資源監(jiān)管、日志管理、用戶管理、安全管理、告警管理等功能；1個云保障中心，包括云標(biāo)準(zhǔn)、云安全、云遷移及云運(yùn)維。

總體設(shè)計(jì)架構(gòu)具體功能組件分為基礎(chǔ)配套設(shè)施、云資源、云管理、云網(wǎng)絡(luò)、云安全、云監(jiān)管及云運(yùn)維等7個方面內(nèi)容。基礎(chǔ)配套設(shè)施包括政務(wù)云數(shù)據(jù)中心機(jī)房等相關(guān)基礎(chǔ)設(shè)施；政務(wù)云資源包括服務(wù)器及存儲兩個部分；云管理為政務(wù)云中心的資源管理部分；網(wǎng)絡(luò)為政務(wù)云中心平臺的互聯(lián)互通設(shè)計(jì)；云安全包括云安全及基礎(chǔ)安全兩個安全體系；云監(jiān)管包括運(yùn)營管理、服務(wù)考核、決策分析、資源監(jiān)管、日志管理、用戶管理、告警管理等；云運(yùn)維包括運(yùn)維服務(wù)體系級運(yùn)維服務(wù)內(nèi)容。

3 各組件功能解析

為高效建設(shè)政務(wù)云計(jì)算中心，對政務(wù)云計(jì)算中心各組件解析如下。

3.1 基礎(chǔ)配套設(shè)施

市級政務(wù)云計(jì)算中心基礎(chǔ)配套設(shè)施主要是指機(jī)房配套設(shè)施。機(jī)房必須是獨(dú)立機(jī)房，選址必須在市主城區(qū)內(nèi)，以提升政、企聯(lián)動能力和效果，便于參觀、應(yīng)急和搶維。工程設(shè)備安裝所需機(jī)柜空間要滿足工程需求，每機(jī)柜提供雙路不間斷供電，機(jī)房空間和供電在滿足建設(shè)規(guī)模基礎(chǔ)上，具備適應(yīng)業(yè)務(wù)發(fā)展的擴(kuò)展能力。政務(wù)云計(jì)算中心辦公場地與機(jī)房同地點(diǎn)，滿足日常運(yùn)維值班，設(shè)備安裝調(diào)試，后期業(yè)務(wù)系統(tǒng)遷移等工作需要[2]。云資源要進(jìn)行物理和邏輯隔離，且需要在機(jī)房內(nèi)劃分獨(dú)立區(qū)域。獨(dú)立區(qū)域具有門禁控制，控制權(quán)按照采購人要求進(jìn)行管理。機(jī)房具備較高性能的安防、環(huán)境監(jiān)控、滅火系統(tǒng)等基礎(chǔ)設(shè)施服務(wù)，機(jī)房抗震烈度達(dá)6度或以上。機(jī)房具備環(huán)境智能監(jiān)控，實(shí)現(xiàn)對設(shè)備電流量的監(jiān)控、機(jī)房溫度監(jiān)控、機(jī)房濕度監(jiān)控。機(jī)柜區(qū)域配備專用門禁和24小時監(jiān)控系統(tǒng)，視頻監(jiān)控畫面可遠(yuǎn)程調(diào)用，監(jiān)控錄像保存時間大于3個月。服務(wù)器設(shè)備要獲得可持續(xù)電力供應(yīng)，包括增加UPS及柴油發(fā)電等應(yīng)急電源保障，每年持續(xù)電力供應(yīng)時間在99.99%以上，以確保電子政務(wù)應(yīng)用系統(tǒng)可持續(xù)工作，滿足信息化政務(wù)工作的高要求。

3.2 云資源

云資源分為云計(jì)算資源和云存儲資源。云計(jì)算資源平臺至少劃分為互聯(lián)網(wǎng)業(yè)務(wù)區(qū)和公用業(yè)務(wù)區(qū)，兩個區(qū)域之間應(yīng)采用安全數(shù)據(jù)交換系統(tǒng)進(jìn)行隔離防護(hù)。云資源平臺內(nèi)部計(jì)算資源池劃分為高性能計(jì)算區(qū)、通用性能計(jì)算區(qū)，每個區(qū)分別使用不同的服務(wù)器進(jìn)行承載，具體資源劃分可在具體實(shí)施中根據(jù)各政府部門在兩個區(qū)的業(yè)務(wù)比例來確定，服務(wù)器均通用，可根據(jù)業(yè)務(wù)上線情況相互調(diào)配。云存儲資源的設(shè)計(jì)分為兩類，F(xiàn)C-SAN(光纖存儲網(wǎng)絡(luò))存儲和分布式存儲，F(xiàn)C-SAN存儲為高端集中式存儲池，用來承載對實(shí)時要求較高的業(yè)務(wù)數(shù)據(jù)；分布式存儲為分布式網(wǎng)絡(luò)存儲，用來承載虛擬機(jī)系統(tǒng)、虛擬機(jī)鏡像、虛擬機(jī)的模板文件、非結(jié)構(gòu)化數(shù)據(jù)、大文件等。FCSAN可以實(shí)現(xiàn)數(shù)據(jù)的集中存儲，可以充分利用虛擬架構(gòu)中虛擬機(jī)可動態(tài)在線從一臺物理服務(wù)器遷移到另一臺物理服務(wù)器。分布式網(wǎng)絡(luò)存儲可以實(shí)現(xiàn)分散數(shù)據(jù)的集中管控，多采用2個存儲控制器，并配置多塊SSD(固態(tài)硬盤)硬盤用于二級緩存或加速，以充分保證未來各級政務(wù)業(yè)務(wù)系統(tǒng)的 I/O （輸入輸出）需求。

3.3 云管理

云管理通過使用一套成熟的商業(yè)化云操作系統(tǒng)軟件，完成搭建工作并提供相應(yīng)服務(wù)。云操作系統(tǒng)核心功能包括云服務(wù)管理和高可用性管理，云服務(wù)管理提供資源調(diào)度、資源規(guī)劃以及監(jiān)控等功能，高可用管理提供彈性擴(kuò)展、彈性遷移、負(fù)載均衡及故障隔離等功能，基礎(chǔ)設(shè)施資源池通過云操作系統(tǒng)的云服務(wù)管理和高可用管理提供物理資源虛擬化服務(wù)，將服務(wù)器、存儲、網(wǎng)絡(luò)資源進(jìn)行虛擬化，實(shí)現(xiàn)統(tǒng)一云資源管理[2]。云操作系統(tǒng)軟件需自主可控，采用Openstack（開放堆砌）技術(shù)架構(gòu)，新的物理服務(wù)器資源可以自動被識別到，并加入到平臺的資源池中，而整個過程不應(yīng)停止原有服務(wù)，且不對原有服務(wù)造成影響。云操作系統(tǒng)對虛擬機(jī)所在的硬件設(shè)備維護(hù)升級時能夠?qū)崟r遷移到其它硬件設(shè)備上運(yùn)行，而原虛擬機(jī)中的服務(wù)不停止。至于云操作系統(tǒng)中的負(fù)載均衡功能可以在Hypervisor（管理程序）上以虛機(jī)的方式實(shí)現(xiàn)，支持第4到7層的負(fù)載均衡，可以實(shí)時測量服務(wù)器利用率和連接負(fù)載。另外，云操作系統(tǒng)權(quán)限至少要具備云平臺監(jiān)管人員、云平臺系統(tǒng)管理人員、云平臺安全管理員、云平臺安全審計(jì)員等分級權(quán)限。

3.4 云網(wǎng)絡(luò)

政務(wù)云資源池外部網(wǎng)絡(luò)互聯(lián)需滿足電子政務(wù)外網(wǎng)互聯(lián)、公眾互聯(lián)網(wǎng)訪問以及各廳委辦局安全接入等，內(nèi)部網(wǎng)絡(luò)應(yīng)采用分區(qū)、分層、分平面的網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)業(yè)務(wù)平面、管理平面、存儲平面的分離[4]。依照電子政務(wù)外網(wǎng)的安全域劃分，政務(wù)云計(jì)算中心平臺主要劃分為公用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)區(qū)，其中公用網(wǎng)絡(luò)區(qū)主要是政務(wù)部門系統(tǒng)內(nèi)和系統(tǒng)間的互訪，互聯(lián)網(wǎng)用戶不能直接訪問這個區(qū)域的數(shù)據(jù)和信息系統(tǒng)；互聯(lián)網(wǎng)區(qū)部署政務(wù)部門的WEB（門戶網(wǎng)站）服務(wù)器，完成政務(wù)信息互聯(lián)網(wǎng)發(fā)布和數(shù)據(jù)填報。各安全域內(nèi)從網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)應(yīng)用業(yè)務(wù)的獨(dú)立性、各業(yè)務(wù)的互訪關(guān)系及業(yè)務(wù)的安全隔離需求綜合考慮，將管理數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、存儲數(shù)據(jù)進(jìn)行的存儲、傳輸和交互進(jìn)行有效隔離。市級各部門的業(yè)務(wù)通過邏輯隔離劃分不同的安全域，市級部門訪問或管理業(yè)務(wù)系統(tǒng)可通過VPN（虛擬專線）等多種方式實(shí)現(xiàn)?；ヂ?lián)網(wǎng)區(qū)與公用網(wǎng)絡(luò)之間通過安全數(shù)據(jù)交換系統(tǒng)進(jìn)行數(shù)據(jù)交換，互聯(lián)網(wǎng)區(qū)與公用網(wǎng)絡(luò)區(qū)出口邊界應(yīng)通過訪問控制設(shè)備建立邊界。

3.5 云安全

云平臺應(yīng)滿足《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》，達(dá)到為政府部門提供云計(jì)算服務(wù)的基本安全能力。市級政務(wù)云計(jì)算中心平臺具備基于軟件方式提供云安全服務(wù)的自動化部署功能，包含虛擬主機(jī)間通過虛擬防火墻進(jìn)行安全隔離與防護(hù)，通過虛擬防火墻之間的互訪安全策略控制流量訪問；云平臺的每個租戶是專用的，可通過云管理平臺進(jìn)行統(tǒng)一的管理和調(diào)度；具有為每個VPC（虛擬通道）、安全組、虛擬機(jī)提供殺毒功能；云平臺的租戶可以提供虛擬訪問通道，可以為租戶提供運(yùn)維服務(wù)工具，支持圖形與命令行模式；云備份系統(tǒng)配置足夠的備份空間，提供整體保護(hù)，滿足業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫備份的需求，無授權(quán)許可限制；除業(yè)務(wù)使用資源外，要布放備份容災(zāi)資源，這包括應(yīng)急接管運(yùn)維支撐平臺和主要采用輕量級服務(wù)器組成，使用多路中央處理器單元和萬兆級內(nèi)存提供應(yīng)急接管服務(wù)；一體化實(shí)時備份及數(shù)據(jù)容錯恢復(fù)系統(tǒng)設(shè)計(jì)存儲容量不低于業(yè)務(wù)系統(tǒng)容量，具備秒級的保護(hù)能力。

3.6 云監(jiān)管

云監(jiān)管平臺涉及硬件、第三方軟件、與云資源平臺互聯(lián)互通網(wǎng)絡(luò)需根據(jù)實(shí)際需求進(jìn)行配置，同時需考慮系統(tǒng)安全的相關(guān)設(shè)備配置。根據(jù)云監(jiān)管的需求，應(yīng)具備統(tǒng)一門戶、運(yùn)營管理、服務(wù)商考評、決策分析、資源監(jiān)管、日志管理、用戶管理、安全管理、告警管理、系統(tǒng)管理等功能。云資源平臺設(shè)計(jì)采用Openstack架構(gòu)，按照業(yè)務(wù)需求，云監(jiān)管平臺與云資源平臺要遵循基于Openstack的相關(guān)接口規(guī)范，形成最終的統(tǒng)一監(jiān)管。對于跨平臺監(jiān)管的部署，市級政務(wù)云管理員需要登錄省級政務(wù)云服務(wù)平臺，申請一個應(yīng)急VDC（虛擬數(shù)據(jù)中心）資源池，獲得該VDC信息及OpenStack 管理IP后，將信息加入到市級政務(wù)云被級聯(lián)OpenStack平臺，系統(tǒng)將自動向省級應(yīng)急VDC注入被級聯(lián)OpenStack，實(shí)現(xiàn)市級資源及省級應(yīng)急資源的統(tǒng)一管理[3]。

3.7 云運(yùn)維

市級政務(wù)云計(jì)算中心需服務(wù)商配置素質(zhì)高、專業(yè)性強(qiáng)、經(jīng)驗(yàn)豐富、穩(wěn)定的運(yùn)維團(tuán)隊(duì)，主要負(fù)責(zé)政務(wù)云平臺的軟硬件和網(wǎng)絡(luò)運(yùn)維，團(tuán)隊(duì)包括高級虛擬化工程師、高級運(yùn)維工程師。服務(wù)商需建設(shè)有嚴(yán)格的、有組織有紀(jì)律的管理運(yùn)維流程，并指派專職接口人，團(tuán)隊(duì)需要24小時在崗及時響應(yīng)故障請求，負(fù)責(zé)電子政務(wù)云平臺的故障受理、處理、跟蹤、結(jié)果匯報工作。云服務(wù)商須有本地化服務(wù)機(jī)構(gòu)及固定的服務(wù)團(tuán)隊(duì)，保證后期系統(tǒng)運(yùn)維的正常運(yùn)行。云服務(wù)商對項(xiàng)目使用的機(jī)房、互聯(lián)網(wǎng)接入電路、政務(wù)電路應(yīng)保證服務(wù)期的穩(wěn)定服務(wù)提供。

4 結(jié)束語

從新型智慧城市建設(shè)的需求來看，選定政務(wù)云為重要突破帶動其他信息化項(xiàng)目建設(shè)是必由之路，通過市級政務(wù)云計(jì)算中心建設(shè)，搭建各部門政務(wù)信息系統(tǒng)功能及應(yīng)用整合的支撐平臺，實(shí)現(xiàn)IT資源整合和數(shù)據(jù)共享，真正從民生出發(fā)，面向百姓提供優(yōu)質(zhì)的政務(wù)服務(wù)，充分發(fā)揮信息化惠民的重大作用。

[1]中國建設(shè)信息化．政務(wù)云∶打造數(shù)據(jù)高地[J]．中國建設(shè)信息化,2017,24(23)∶54-55．

[2]孔守斌,王妙微,王博涵,陳東．基于云平臺的地方信息資源共享平臺建設(shè)模式研究[J]．電子政務(wù),2017,15(12)∶49-50．

[3]杜軍龍,金俊平,周劍濤．云計(jì)算的電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險探析[J]．電子世界,2017,39(22)∶94-95．

[4]喬愛鋒．政務(wù)云資源池體系架構(gòu)及關(guān)鍵技術(shù)應(yīng)用[J]．電信技術(shù),2017,64(10)∶68-70．