張政

摘要：云計算技術(shù)是基于互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施服務(wù)的集約化建設(shè)模式，達(dá)到信息化系統(tǒng)以更優(yōu)化的方式共建共享的目的，無論是在政府或企業(yè)等其他領(lǐng)域都具有十分重要的價值和意義。本文就云計算技術(shù)在信息系統(tǒng)管理、安全、運維等方面進行了分析，為進一步促進信息化建設(shè)的共建共享提供理論支撐。

關(guān)鍵詞：云計算;云平臺;基礎(chǔ)設(shè)施;云

中圖分類號：TP315? ? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2019）25-0303-02

現(xiàn)階段，在政府和企業(yè)等領(lǐng)域已普遍利用云計算技術(shù)建設(shè)了各類云計算平臺（以下簡稱：云平臺），提供計算、網(wǎng)絡(luò)、存儲、安全等云服務(wù)，把服務(wù)器、網(wǎng)絡(luò)、存儲等信息化資源統(tǒng)一接入和管理起來，實現(xiàn)資源的統(tǒng)一調(diào)配，快速部署和彈性擴展。通過云平臺對現(xiàn)有信息資源進行有效的整合，滿足各類領(lǐng)域的應(yīng)用和未來擴展的需求。

1云平臺基礎(chǔ)設(shè)施建設(shè)

云平臺基礎(chǔ)設(shè)施主要包括應(yīng)用云平臺服務(wù)器群和數(shù)據(jù)庫服務(wù)器等設(shè)備。通過對服務(wù)器資源的統(tǒng)一管理和動態(tài)分配，實現(xiàn)多種應(yīng)用系統(tǒng)的快速部署和性能管控，為多種應(yīng)用系統(tǒng)提供一個公共服務(wù)平臺。

1.1云平臺服務(wù)器群

1）虛擬機

云平臺服務(wù)器群的主要表現(xiàn)形式是虛擬機，基于不同應(yīng)用系統(tǒng)對服務(wù)器的需求，充分利用服務(wù)器的物理資源，實現(xiàn)不同需求的應(yīng)用系統(tǒng)部署在同一個服務(wù)器上，更高效地利用有限的物理資源。

2）物理服務(wù)器

考慮各應(yīng)用系統(tǒng)對虛擬機的內(nèi)存要求較高，物理機選擇時應(yīng)采用物理機內(nèi)容較大的服務(wù)器。

1.2數(shù)據(jù)庫服務(wù)器

對于重要數(shù)據(jù)庫服務(wù)器，可以采用獨立的高性能服務(wù)器。由于數(shù)據(jù)庫業(yè)務(wù)對整個服務(wù)器的CPU處理性能和內(nèi)存要求較高，需要保證整個系統(tǒng)的高吞吐和高可靠性，并為全局型應(yīng)用、資源型應(yīng)用以及后續(xù)準(zhǔn)備上線的業(yè)務(wù)應(yīng)用系統(tǒng)預(yù)留空間。

2云平臺管理系統(tǒng)

云平臺管理系統(tǒng)將物理資源云化，建立統(tǒng)一的物理資源池，提供一體化的資源動態(tài)管理，提供服務(wù)器、存儲、網(wǎng)絡(luò)的虛擬化功能，支持存儲和計算等資源的高可擴展性。

云平臺管理系統(tǒng)主要功能如下：

1）物理資源管理

云管理平臺系統(tǒng)支持服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等設(shè)備的管理。

2）虛擬化資源管理

云管理平臺系統(tǒng)可以統(tǒng)一管理全部的虛擬資源，包括存儲（集中存儲以及分布式存儲）、網(wǎng)絡(luò)和計算資源等。

3）監(jiān)控管理

主要針對云平臺的計算、網(wǎng)絡(luò)、存儲等資源進行監(jiān)控。支持多維度分類監(jiān)控，方便用戶管理使用。主要有對于計算集群、服務(wù)器、虛擬機的CPU占有率、內(nèi)存占有率、網(wǎng)絡(luò)流入流出、磁盤IO、告警;物理機的電源、風(fēng)扇;交換機的流量;存儲設(shè)備總?cè)萘?，可用容量，剩余流量，掛載數(shù)據(jù)、告警統(tǒng)計進行監(jiān)控。實現(xiàn)對云平臺管理系統(tǒng)的軟硬件資源運行情況的整體把控。

4）自動化運維

自動化運維是管理員通過對云平臺資源配置不同的調(diào)度策略，同時實現(xiàn)智能調(diào)度管理，提升設(shè)備利用率和彈性伸縮。

5）基本角色的訪問控制

可在不同域和組織上創(chuàng)建不同的角色，分配不同的管理權(quán)限，包括角色管理、用戶管理、授權(quán)、認(rèn)證、鑒權(quán)等功能，是實現(xiàn)云平臺管理系統(tǒng)的安全保障。運維管理可以接入第三方認(rèn)證服務(wù)。

6）安全管理

包括日志安全、操作系統(tǒng)安全、賬戶和密碼安全數(shù)據(jù)安全管理等。

3存儲備份容災(zāi)系統(tǒng)

數(shù)據(jù)是云平臺建設(shè)中最重要的資源，數(shù)據(jù)的完整性、安全性、可用性和管理性是業(yè)務(wù)正常運轉(zhuǎn)的必要條件。云平臺數(shù)據(jù)資源將采用數(shù)據(jù)集中存儲、本地備份及同城容災(zāi)的解決方案。建立某數(shù)據(jù)中心確保數(shù)據(jù)的安全性，同時部署一套備份設(shè)備對重要業(yè)務(wù)服務(wù)器的數(shù)據(jù)庫和操作系統(tǒng)等進行備份，建立同城異地數(shù)據(jù)災(zāi)備中心，應(yīng)對突發(fā)的災(zāi)難或者事故。

存儲備份容災(zāi)系統(tǒng)建設(shè)目標(biāo)是保護業(yè)務(wù)系統(tǒng)的連續(xù)性，保證在災(zāi)難發(fā)生時業(yè)務(wù)系統(tǒng)不中斷和防止誤刪除等操作導(dǎo)致的數(shù)據(jù)丟失，對生產(chǎn)中心本地業(yè)務(wù)的備份，保證數(shù)據(jù)可靠性。

1）業(yè)務(wù)連續(xù)

能夠滿足云計算平臺和物理機集群混合情況下的應(yīng)用7×24小時不中斷運行。

2）數(shù)據(jù)安全

能夠滿足虛擬機和物理機、各種通用文件系統(tǒng)和數(shù)據(jù)庫的備份和恢復(fù)。

3）容災(zāi)擴展

能夠滿足虛擬機和物理機混合環(huán)境的數(shù)據(jù)級和應(yīng)用級同城容災(zāi)，兼顧保護現(xiàn)有投資和災(zāi)備切換便捷性。

3.1數(shù)據(jù)存儲系統(tǒng)

數(shù)據(jù)存儲系統(tǒng)采用基于FCSAN架構(gòu)的集中式存儲+分布式存儲的解決方案，提高設(shè)備利用率，解決傳統(tǒng)集中式數(shù)據(jù)存儲問題。

3.2容災(zāi)備份系統(tǒng)

容災(zāi)備份系統(tǒng)通過在某數(shù)據(jù)中心部署主備存儲系統(tǒng)，同時建立同城異地數(shù)據(jù)災(zāi)備中心，應(yīng)對突發(fā)的災(zāi)難或者事故。容災(zāi)備份系統(tǒng)通過在某數(shù)據(jù)中心存儲網(wǎng)關(guān)接管主機側(cè)的I/O和整合存儲資源，實現(xiàn)同時對主存儲和備份存儲進行寫操作，通過設(shè)置輪詢或優(yōu)先級的方式?jīng)Q定從哪個儲存中讀取數(shù)據(jù)，采用同城容災(zāi)的方式可以避免自然災(zāi)害和設(shè)備自身原因引起的數(shù)據(jù)丟失，確保業(yè)務(wù)的連續(xù)性。

1）數(shù)據(jù)備份容災(zāi)

主存儲和災(zāi)備存儲之間通過虛擬化網(wǎng)關(guān)集群的鏡像功能，存儲網(wǎng)關(guān)同時向兩個存儲下發(fā)I/O，兩臺存儲均寫完后向主機層返回寫完成信號，再次寫下一個I/O。從而保障了數(shù)據(jù)實時嚴(yán)格一致，且兩臺陣列之間沒有主備的概念，一旦任意一臺故障，另外一臺繼續(xù)為上層應(yīng)用提供數(shù)據(jù)讀寫，上層業(yè)務(wù)無感知，業(yè)務(wù)零中斷。

根據(jù)容災(zāi)業(yè)務(wù)系統(tǒng)可知，主存儲和備份存儲容量保持一致，采用數(shù)據(jù)鏡像方式。對數(shù)據(jù)安全的威脅主要有物理故障和邏輯錯誤兩方面，兩方面都要防范。根據(jù)架構(gòu)設(shè)計方案的規(guī)劃，容災(zāi)容量與存儲容量保持一致并適當(dāng)預(yù)留。

2）應(yīng)用級容災(zāi)

容災(zāi)備份系統(tǒng)需實現(xiàn)對云平臺內(nèi)重要的應(yīng)用、數(shù)據(jù)和操作系統(tǒng)進行應(yīng)用級備份，實現(xiàn)應(yīng)用級容災(zāi)，確保應(yīng)用的連續(xù)性。

4云平臺安全體系

安全建設(shè)，是各信息系統(tǒng)建設(shè)不可或缺的一部分。云平臺應(yīng)根據(jù)本業(yè)務(wù)部門的安全需求，建設(shè)滿足相應(yīng)的信息系統(tǒng)安全等級保護的要求。

云平臺安全體系包括資源抽象與控制層安全、云服務(wù)層安全以及云安全基礎(chǔ)服務(wù)五個方面內(nèi)容，其中云服務(wù)層安全包含IaaS安全、PaaS安全和SaaS安全。云平臺安全體系框架圖如圖所示。

1）物理資源層安全

物理資源層安全是指政務(wù)云運行所需的機房運行環(huán)境安全，以及主機、存儲和網(wǎng)絡(luò)等設(shè)備的安全。

2）資源抽象與控制層安全

①利用安全加固技術(shù)作為資源抽象與控制層安全的穩(wěn)定運行的有力保障，能夠及時修復(fù)虛擬化相關(guān)技術(shù)漏洞。

②采用虛擬化重定向技術(shù)限制政務(wù)云IaaS層對物理資源層的直接訪問，保證IaaS層服務(wù)對物理資源層的調(diào)度和管理均在資源抽象與控制層內(nèi)完成。

③通過采用內(nèi)存獨占模式來保證虛擬內(nèi)存地址的唯一性，不同虛擬化實例間無法共享內(nèi)存，互相之間無法訪問。

④通過采用分布式離散存儲技術(shù)來保證虛擬化實例的獨立性和高可用性，部分?jǐn)?shù)據(jù)損壞不會影響其常使用，損壞的數(shù)據(jù)可以自動修復(fù)。

⑤采用數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層訪問控制技術(shù)實現(xiàn)對不同虛擬化實例的有效隔離，和對以太網(wǎng)畸形協(xié)議訪問等攻擊行為的隔離。

⑥對資源抽象與控制層的運維操作實時監(jiān)控和審計，系統(tǒng)管理員和審計管理員賬號及權(quán)限分離。

⑦對于多用戶模式，在同一物理計算、內(nèi)存和存儲資源被回收后，支持按策略徹底釋放和完全清除虛擬化實例數(shù)據(jù)。

3）云服務(wù)層安全

云服務(wù)層安全主要是為基礎(chǔ)設(shè)施安全提供抵御分布式拒絕服務(wù)和應(yīng)用攻擊等網(wǎng)絡(luò)行為的能力，基礎(chǔ)設(shè)施主要包括云服務(wù)器、云存儲和云網(wǎng)絡(luò)等。

①云服務(wù)器的安全要求如下：

a）云服務(wù)器之間應(yīng)安全隔離，云服務(wù)器對外部公共網(wǎng)絡(luò)的訪問要做到嚴(yán)格管控。

b）不同云服務(wù)器用戶的默認(rèn)隔離，對不同云服務(wù)器間端口和通信協(xié)議做到有效的訪問控制。

c）保障云服務(wù)器安全策略有效性，安全策略隨云服務(wù)器的遷移而遷移。

d）云服務(wù)器應(yīng)在鏡像生產(chǎn)環(huán)節(jié)通過加入?yún)f(xié)議級、服務(wù)級、必要的補丁升級及防入侵安全客戶端等措施實現(xiàn)安全加固。

e）云服務(wù)器應(yīng)保證其鏡像和快照文件的完整性，防止被惡意篡改，鏡像和快照文件應(yīng)具備容災(zāi)措施。

②云存儲安全要求如下：

a）利用分布式離散存儲技術(shù)保存云用戶數(shù)據(jù)，隔離不同云用戶之間的存儲數(shù)據(jù)。

b）利用通訊鏈路加密技術(shù)保障云端用戶數(shù)據(jù)和本地用戶數(shù)據(jù)的通訊安全。

c）根據(jù)策略對云用戶敏感數(shù)據(jù)信息提供加密存儲，云提供方不得掌握密鑰。

d）利用云端存儲空間訪問權(quán)限控制技術(shù)保證云端數(shù)據(jù)的最小授權(quán)訪問，從而防止系統(tǒng)管理員對云用戶數(shù)據(jù)的非授權(quán)訪問，以及云用戶間的數(shù)據(jù)非授權(quán)訪問。

③云網(wǎng)絡(luò)安全要求如下：

a）提供安全的訪問控制手段，實現(xiàn)專有云網(wǎng)絡(luò)對外部公共網(wǎng)絡(luò)的訪問控制。

b）提供安全接入通道，保障云用戶通過公網(wǎng)或VPN（虛擬專網(wǎng)）接入專有云網(wǎng)絡(luò)。

c）提供云網(wǎng)關(guān)、云防火墻等訪問控制措施，實現(xiàn)云用戶對專有云網(wǎng)絡(luò)的訪問控制，實現(xiàn)專有云網(wǎng)絡(luò)內(nèi)部之間的訪問控制。

5 結(jié)論

基于云計算技術(shù)的信息系統(tǒng)，相關(guān)部門可直接在云平臺部署建設(shè)各自的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)系統(tǒng)，不再需要單獨自建、更新和升級硬件環(huán)境，不再需要考慮應(yīng)用實現(xiàn)的技術(shù)細(xì)節(jié)，可大大提高基礎(chǔ)設(shè)施的利用率和業(yè)務(wù)的部署效率，可進一步促進基礎(chǔ)信息共享，優(yōu)化現(xiàn)有業(yè)務(wù)系統(tǒng)、業(yè)務(wù)流程和工作模式，提高各部門信息化條件下履行職責(zé)的能力，進一步提升我省政務(wù)服務(wù)的能力和水平。

參考文獻(xiàn)：

[1]殷波，趙昕，馮偉斌.基于云計算的電子政務(wù)云技術(shù)研究[J]. 郵電設(shè)計技術(shù)，2015（7）：26-30.

【通聯(lián)編輯：王力】