楊軍

“新基建”是指以5G、人工智能、工業(yè)互聯(lián)網(wǎng)等為代表的新型基礎(chǔ)設(shè)施建設(shè)，是與以鐵路、公路、機(jī)場、水利等為代表的傳統(tǒng)基建相對而言的，其核心是新型數(shù)字化基礎(chǔ)設(shè)施。新基建的重點(diǎn)是傳統(tǒng)基礎(chǔ)設(shè)施的數(shù)字化改造。對于鐵路方面，表現(xiàn)為在已建成的鐵路網(wǎng)絡(luò)上借助新型基礎(chǔ)設(shè)施建設(shè)進(jìn)行數(shù)字化改造，從而向智能鐵路發(fā)展。鐵路專用通信領(lǐng)域是鐵路新基建的重要實(shí)踐領(lǐng)域之一，借助于5G、大數(shù)據(jù)、云計(jì)算、人工智能等新型技術(shù)，構(gòu)建鐵路通信云平臺、大數(shù)據(jù)平臺和人工智能平臺，為智能鐵路提供智能數(shù)據(jù)承載、多媒體通信、安全管控和智能分析等功能，滿足鐵路安全運(yùn)營、智能養(yǎng)護(hù)維修等各類場景的應(yīng)用需求［1］。中國鐵路武漢局集團(tuán)公司在電務(wù)系統(tǒng)專用通信網(wǎng)管試點(diǎn)，利用私有云解決當(dāng)前專用通信網(wǎng)管面臨的眾多問題。

1 傳統(tǒng)網(wǎng)管組網(wǎng)模式現(xiàn)狀

隨著各種新建高鐵、客專等線路工程及升級項(xiàng)目工程的完成，武漢鐵路局集團(tuán)公司網(wǎng)管中心共計(jì)有網(wǎng)管65臺，技術(shù)支持中心共計(jì)有網(wǎng)管49臺，合計(jì)網(wǎng)管114臺，后期還需要接入動環(huán)網(wǎng)管11臺和無線網(wǎng)管35臺，隨著漢十、鄭萬等線路完工，新增網(wǎng)管因坐席數(shù)量有限而無法滿足接入要求。

在網(wǎng)管服務(wù)器區(qū)需要通過KVM發(fā)射設(shè)備將不同廠家的網(wǎng)管服務(wù)器連接起來，在網(wǎng)管中心和技術(shù)支持中心再通過KVM接收設(shè)備轉(zhuǎn)換到網(wǎng)管顯示客戶端上，組網(wǎng)邏輯示意見圖1。

圖1 武漢鐵路局網(wǎng)管中心網(wǎng)管設(shè)備組網(wǎng)邏輯

該組網(wǎng)模式是傳統(tǒng)的網(wǎng)管機(jī)房組網(wǎng)模式，存在以下問題。

1）未完全實(shí)現(xiàn)網(wǎng)管集中監(jiān)控，無法全面發(fā)揮大數(shù)據(jù)綜合分析能力［2］。目前，網(wǎng)管中心集中了管內(nèi)傳輸、接入、同步、數(shù)據(jù)、動環(huán)、視頻、防災(zāi)、鐵塔監(jiān)控等各專業(yè)網(wǎng)管65臺，GSM-R核心網(wǎng)、無線接入網(wǎng)等網(wǎng)管尚未接入，沒有真正實(shí)現(xiàn)管內(nèi)全部專業(yè)網(wǎng)管的集中監(jiān)控管理。因此，無法通過傳輸層和應(yīng)用層專業(yè)網(wǎng)管的告警信息進(jìn)行綜合分析，從而更加迅速、精準(zhǔn)地定位故障位置和故障原因。

2）受機(jī)房、設(shè)備等資源的制約，網(wǎng)管接入坐席容量嚴(yán)重不足，不具備擴(kuò)展條件。

3）網(wǎng)管監(jiān)控主要通過KVM設(shè)備進(jìn)行遠(yuǎn)程投射，設(shè)備已使用多年，故障頻發(fā)，且備件少。

4）網(wǎng)管設(shè)備因軟硬件和廠家差異，導(dǎo)致維護(hù)行為規(guī)范難以執(zhí)行：①網(wǎng)管設(shè)備內(nèi)存、硬盤等硬件配置無冗余保護(hù)，損壞后網(wǎng)管平臺無法實(shí)現(xiàn)監(jiān)控功能，導(dǎo)致重要運(yùn)維數(shù)據(jù)丟失，影響設(shè)備監(jiān)控；②運(yùn)維廠家多，網(wǎng)管設(shè)備USB接口不可控，“一機(jī)雙網(wǎng)”事件屢禁不止，容易泄密；便攜式存儲設(shè)備易引入病毒，極易在內(nèi)部網(wǎng)絡(luò)中傳播，網(wǎng)絡(luò)安全受到嚴(yán)重威脅；③網(wǎng)管終端品牌多種多樣，性能參差不齊，操作系統(tǒng)種類繁多，存在硬件容量不足、操作系統(tǒng)易崩潰、系統(tǒng)補(bǔ)丁更新維護(hù)困難、設(shè)備易宕機(jī)等問題，網(wǎng)管監(jiān)控時刻面臨挑戰(zhàn)。

5）傳輸網(wǎng)管的服務(wù)器與客戶端為單體架構(gòu)，一旦設(shè)備發(fā)生故障，會導(dǎo)致整個傳輸網(wǎng)管癱瘓；且由于接入資源匱乏，各車間網(wǎng)調(diào)工區(qū)復(fù)示網(wǎng)管將無法接入。

6）所有機(jī)房設(shè)備都配備專用網(wǎng)管，但由于系統(tǒng)多樣化，機(jī)房維護(hù)人員不足。

綜上所述，急需對武漢局集團(tuán)公司專用通信網(wǎng)管做出整改，引入新的技術(shù)方案，使網(wǎng)管設(shè)備具有更好的穩(wěn)定性、安全性和擴(kuò)展性。采用大數(shù)據(jù)技術(shù)，在大數(shù)據(jù)中心承載網(wǎng)管數(shù)據(jù)，以便開展后續(xù)的大數(shù)據(jù)綜合分析。

2 私有云

私有云是指通過Internet或?qū)Ｓ脙?nèi)部網(wǎng)絡(luò)僅面向特定用戶提供的計(jì)算服務(wù)，也稱作內(nèi)部云或公司云。私有云計(jì)算為企業(yè)提供了許多公有云的優(yōu)勢，包括自助服務(wù)、可彈性伸縮，通過專用資源提供額外控制和定制能力，遠(yuǎn)勝于本地托管的基礎(chǔ)計(jì)算結(jié)構(gòu)。

私有云與公有云類似，對特定用戶可以提供基礎(chǔ)設(shè)施即服務(wù)（IaaS）、平臺即服務(wù)（PaaS）、軟件即服務(wù)（SaaS）3個層次的服務(wù)［3］。

基礎(chǔ)設(shè)施即服務(wù)（IaaS）是指把IT基礎(chǔ)設(shè)施，包括服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備等在內(nèi)的所有硬件設(shè)施作為一種服務(wù)通過網(wǎng)絡(luò)對外提供。對武漢鐵路局網(wǎng)管中心來說，云基礎(chǔ)設(shè)施具有無限的可擴(kuò)展性，可以根據(jù)實(shí)際業(yè)務(wù)需求不斷地?cái)U(kuò)充硬件資源，且可以實(shí)現(xiàn)硬件資源品牌和型號的統(tǒng)一。

平臺即服務(wù)（PaaS）是一種在基于云計(jì)算的系統(tǒng)中使用一套工具來開發(fā)和部署應(yīng)用程序的高效方法。對武漢鐵路局網(wǎng)管中心來說，PaaS可以輔助部署各設(shè)備網(wǎng)管虛機(jī)、操作系統(tǒng)與通用應(yīng)用軟件，再在此基礎(chǔ)上部署專用網(wǎng)管軟件。

軟件即服務(wù)（SaaS）是一種高效部署應(yīng)用層軟件的服務(wù)。對武漢鐵路局網(wǎng)管中心來說，可以定制好各專業(yè)網(wǎng)管軟件程序，把各網(wǎng)管軟件與所需的通用軟件和對應(yīng)的操作系統(tǒng)制作成不同的鏡像，在需要開辟新網(wǎng)管終端時，通過私有云平臺快速部署鏡像。

由于私有云的用戶數(shù)據(jù)存放在私有的云服務(wù)器上，用戶擁有對數(shù)據(jù)的絕對掌控權(quán)，云的備份與恢復(fù)功能保障了云服務(wù)在硬件故障的情況下能夠快速切換，以恢復(fù)運(yùn)轉(zhuǎn)，但私有云需具有與傳統(tǒng)數(shù)據(jù)中心相同的人員配備、管理和維護(hù)費(fèi)用。

3 基于私有云的網(wǎng)管終端云化設(shè)計(jì)

針對現(xiàn)有武漢局專用通信網(wǎng)管面臨的問題，隨著網(wǎng)管終端數(shù)量的快速增長，各個部門對網(wǎng)管的使用需求增強(qiáng)，需要優(yōu)先解決網(wǎng)管終端分散化問題。大量的物理終端導(dǎo)致電源、網(wǎng)絡(luò)、UPS、位置等資源緊張，而簡單的物理擴(kuò)容又面臨機(jī)房面積的約束，因此，武漢局專用通信網(wǎng)管改造需先針對網(wǎng)管終端進(jìn)行改造，實(shí)現(xiàn)現(xiàn)有網(wǎng)管終端云化［4］。武漢鐵路局網(wǎng)管中心網(wǎng)管設(shè)備云化拓?fù)鋱D見圖2。

圖2 武漢鐵路局網(wǎng)管中心網(wǎng)管設(shè)備云化拓?fù)鋱D

3.1 資源池設(shè)計(jì)規(guī)劃

本次網(wǎng)管云化改造中，私有云平臺硬件設(shè)備主要包括2套萬兆交換機(jī)設(shè)備，8臺服務(wù)器，2套存儲設(shè)備和2套防火墻。其中，8臺服務(wù)器用于搭建計(jì)算資源池，為不同的網(wǎng)管創(chuàng)建虛機(jī)；2套存儲設(shè)備用于搭建雙活存儲，為每臺虛機(jī)提供至少200 GB的存儲資源，所有服務(wù)器和存儲系統(tǒng)通過自身2個萬兆網(wǎng)卡分別接入2套萬兆交換機(jī)，構(gòu)建雙通網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的單點(diǎn)故障。

根據(jù)本項(xiàng)目的需求，網(wǎng)管私有云的資源池主要分為計(jì)算和存儲兩部分［5］。資源池應(yīng)具有高可靠性、高穩(wěn)定性和易擴(kuò)展特性，所有網(wǎng)管虛擬機(jī)運(yùn)行在資源池上，還需要具備定制策略遷移、故障熱遷移和手動熱遷移等功能。計(jì)算資源與存儲資源通過16 G的FC接口連接，保證足夠的傳輸帶寬。

計(jì)算資源池主要為用戶提供CPU、GPU和內(nèi)存等計(jì)算資源。1臺服務(wù)器的計(jì)算資源可以被一個或幾個虛擬機(jī)獨(dú)占或分享，計(jì)算資源的劃分由云管理系統(tǒng)統(tǒng)一分配。本次規(guī)劃配置了8臺服務(wù)器作為計(jì)算資源池，每臺服務(wù)器有2個CPU，每個CPU有16個核，256 GB內(nèi)存，總共可用vCPU數(shù)為512個，內(nèi)存2 048 GB。

存儲資源池主要為3類數(shù)據(jù)提供存儲空間：管理數(shù)據(jù)、Windows系統(tǒng)數(shù)據(jù)和用戶數(shù)據(jù)。其中，前2類數(shù)據(jù)由管理類虛擬機(jī)產(chǎn)生，后2類由網(wǎng)管應(yīng)用類虛擬機(jī)產(chǎn)生，系統(tǒng)空間和數(shù)據(jù)空間都映射在共享主存儲上。在本次規(guī)劃中，由2套存儲設(shè)備擔(dān)任共享主存儲，容量約為26 TB，2套存儲設(shè)備做到存儲層雙活，防止1臺存儲設(shè)備物理故障后，影響整個平臺的使用，保證了整個業(yè)務(wù)系統(tǒng)的高可靠性。

3.2 接入設(shè)備設(shè)計(jì)規(guī)劃

接入設(shè)備主要包括140套TC（瘦終端）和2套光纖交換機(jī)。TC體積小，集成一些通用接口，可以直連顯示器。TC通過千兆電口接入交換機(jī)，與云平臺實(shí)現(xiàn)網(wǎng)絡(luò)上的互通，進(jìn)而訪問虛擬桌面，維護(hù)網(wǎng)管系統(tǒng)。

虛擬桌面指用戶通過遠(yuǎn)程動態(tài)訪問技術(shù)接入私有云中虛機(jī)的桌面系統(tǒng)［6］，虛擬機(jī)的桌面管理軟件需要提供高性能且可靠的桌面投送功能。通過這種方式，用戶可以在多個虛擬機(jī)之間輕松切換。從顯示方面來看，用戶訪問的是不同的操作系統(tǒng)。但由于服務(wù)器采用了虛擬化技術(shù)，底層硬件可以共享CPU、內(nèi)存和存儲等資源，每個虛擬機(jī)彼此隔離，因此在單個虛擬系統(tǒng)故障的情況下不會影響到其他虛擬系統(tǒng)的運(yùn)用。

TC接入交換機(jī)，與私有云核心萬兆交換機(jī)以太網(wǎng)口進(jìn)行連接，可以進(jìn)行鏈路聚合綁定，實(shí)現(xiàn)鏈路冗余，增加網(wǎng)絡(luò)帶寬；同時預(yù)留未來接入全局網(wǎng)管復(fù)式終端的存儲接入擴(kuò)展能力。在滿足網(wǎng)絡(luò)互通的前提下，不同站點(diǎn)的人員可以通過TC來訪問云桌面，進(jìn)而跳轉(zhuǎn)到各自的網(wǎng)管終端平臺上。

武漢鐵路局網(wǎng)管中心網(wǎng)管設(shè)備云化組網(wǎng)見圖3。

圖3 武漢鐵路局網(wǎng)管中心網(wǎng)管設(shè)備云化組網(wǎng)

3.3 網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃

武漢局專用通信網(wǎng)管核心設(shè)備都放置于核心網(wǎng)機(jī)房，需要在多個地點(diǎn)部署網(wǎng)管終端，為不同專業(yè)提供數(shù)據(jù)支撐，主要使用網(wǎng)管終端的地點(diǎn)如下。

1）通信網(wǎng)管機(jī)房。由于目前主要的網(wǎng)管系統(tǒng)對應(yīng)的地址段不同，需要確保每個網(wǎng)管系統(tǒng)能夠與云平臺進(jìn)行三層通信。在三層互通的情況下，為每個網(wǎng)管業(yè)務(wù)平臺發(fā)放對應(yīng)需求數(shù)量的虛擬機(jī)，并為其創(chuàng)建賬號，以供其訪問網(wǎng)管平臺?？梢葬槍Σ煌奶摂M機(jī)桌面創(chuàng)建不同的賬號，并同時維護(hù)各自的桌面組，每個賬號分別維護(hù)各自的虛擬機(jī)，通過使用不同的TC分別訪問不同桌面，進(jìn)而管理不同的網(wǎng)管平臺。如果考慮到各自平臺相互訪問的情況，可以在交換機(jī)上配置訪問控制列表（ACL），來過濾不同地址段的訪問流量。

2）各電務(wù)段安全指揮中心和各車間網(wǎng)調(diào)工區(qū)。各電務(wù)段安全指揮中心和各車間網(wǎng)調(diào)工區(qū)網(wǎng)管室設(shè)置通信網(wǎng)管終端，通過傳輸通道或者數(shù)據(jù)網(wǎng)通道，連接至相關(guān)專業(yè)網(wǎng)管服務(wù)器進(jìn)行互聯(lián)互通。設(shè)置1臺防火墻，實(shí)現(xiàn)通信網(wǎng)管終端與網(wǎng)管服務(wù)器間的安全邊界控制及網(wǎng)管系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)。

4 方案實(shí)施

4.1 方案優(yōu)點(diǎn)

1）先進(jìn)性。本方案采用成熟、先進(jìn)的私有云技術(shù)，確保了網(wǎng)管運(yùn)維系統(tǒng)技術(shù)的先進(jìn)性，同時符合鐵路信息技術(shù)的最新發(fā)展趨勢，可以保證投資的有效性和延續(xù)性。

2）安全性。采用防火墻對外部訪問私有云的請求進(jìn)行隔離，有效隔離非法用戶；內(nèi)部訪問私有云的用戶在不同網(wǎng)管系統(tǒng)間通過VLAN隔離；對同一網(wǎng)管系統(tǒng)用戶采用ACL訪問控制列表。每一層用戶采用精細(xì)化的身份認(rèn)證和權(quán)限管理，控制訪問授權(quán)范圍內(nèi)的系統(tǒng)資源；存儲層面采用多用戶的管理方式，從邏輯上隔離不同用戶存儲，有效阻止用戶之間的非法侵入和非授權(quán)訪問［7］。

3）可靠性。本方案針對系統(tǒng)進(jìn)行了高可靠性設(shè)計(jì)，其中網(wǎng)絡(luò)設(shè)備采用堆疊技術(shù)，計(jì)算資源池采用設(shè)備和部件冗余配置，存儲資源池采用存儲雙活技術(shù)，可以有效避免單點(diǎn)故障，保證系統(tǒng)和業(yè)務(wù)的高可靠性。

4）易維護(hù)性。當(dāng)需要新增終端時，通過虛擬機(jī)模板快速配置，10 min可以完成網(wǎng)管終端的快速部署。系統(tǒng)可以使管理員通過集中控制中心方便地配置、監(jiān)視、控制、診斷整個云桌面系統(tǒng)，能夠監(jiān)視和控制用戶情況，從而提高效率，消除隱患。

5）擴(kuò)展性。主要體現(xiàn)在云平臺和終端的擴(kuò)展性上［8］。通過管理軟件將云平臺資源池在邏輯上統(tǒng)一為一個整體。當(dāng)資源不足時，隨時添加新的硬件資源來擴(kuò)充資源池；現(xiàn)有資源池中的硬件故障時，也可以隨時替換，不影響云平臺的使用。終端擴(kuò)展主要取決于云平臺資源池，終端理論上可以隨著資源池的擴(kuò)展任意增加或減少。

4.2 實(shí)施效果

1）權(quán)限集中管理。包括用戶在內(nèi)的所有網(wǎng)絡(luò)資源實(shí)現(xiàn)了集中管理。所有用戶均需進(jìn)行身份驗(yàn)證；管理人員可以集中管理虛擬機(jī)資源，管理成本大大降低；防止維護(hù)人員在客戶端隨意安裝軟件，增強(qiáng)了客戶端的安全性，減少了客戶端故障，降低了維護(hù)成本［9］。

2）簡化系統(tǒng)管理。統(tǒng)一鏡像模板，預(yù)裝標(biāo)準(zhǔn)運(yùn)維軟件，有效簡化管理程序；可有效分發(fā)和指派軟件、補(bǔ)丁等，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的統(tǒng)一安裝，保證軟件的統(tǒng)一性。

3）安全性能加強(qiáng)。有利于對企業(yè)保密資料的安全管理，如可以封閉客戶端的USB端口，防止運(yùn)維機(jī)密資料外泄；提供安全策略的存儲和應(yīng)用范圍。安全策略可包含帳戶信息，如密碼限制或?qū)μ囟ㄓ蛸Y源的訪問權(quán)，通過策略設(shè)置下發(fā)并執(zhí)行安全策略。

4）用戶數(shù)據(jù)可靠。采用高可靠存儲雙活數(shù)據(jù)容災(zāi)保護(hù)機(jī)制，云端存儲數(shù)據(jù)，各專業(yè)網(wǎng)管維護(hù)臺賬的工作文件及數(shù)據(jù)等可存儲在服務(wù)器上，統(tǒng)一進(jìn)行備份和管理，用戶數(shù)據(jù)更加安全。

5）方便資源共享。便捷使用網(wǎng)絡(luò)資源，用戶只需記住用戶名/密碼，無需每次輸入密碼；各種資源的訪問、讀取、修改權(quán)限均可設(shè)置，不同的終端用戶可擁有不同的權(quán)限。即使資源位置改變，用戶也無需做任何設(shè)置或修改的操作。

6）方便擴(kuò)容和運(yùn)維。大屏矩陣和運(yùn)維桌面（坐席）連線更靈活方便，云平臺平滑擴(kuò)容業(yè)務(wù)不間斷，具有豐富的專業(yè)化運(yùn)維工具，極大地提升了運(yùn)維管理效率。

5 總結(jié)和展望

鐵路作為新基建的重要領(lǐng)域之一，需要堅(jiān)定地支持國家戰(zhàn)略，強(qiáng)化使命擔(dān)當(dāng)。私有云在鐵路電務(wù)領(lǐng)域的應(yīng)用，是對傳統(tǒng)基礎(chǔ)設(shè)施的新型數(shù)字化改造，也是構(gòu)建智能鐵路新型基礎(chǔ)設(shè)施的重要手段之一。通過對基于私有云的通信網(wǎng)管改造，除了解決當(dāng)前通信網(wǎng)管面臨的問題，對私有云的推廣應(yīng)用，在制度、流程、方案、技術(shù)方面也做了很好的鋪墊。

當(dāng)前，對私有云到底應(yīng)該采用怎樣的形式尚有分歧，到底是一個私有云越做越大，還是不同專業(yè)、不同領(lǐng)域建設(shè)各自的私有云，私有云如何維護(hù)等問題也是當(dāng)前運(yùn)維人員面臨的重大挑戰(zhàn)。

通過本次私有云應(yīng)用的有益嘗試，隨著未來下一代鐵路移動通信網(wǎng)絡(luò)的發(fā)展［10］，私有云的規(guī)模會越來越大，云的數(shù)量也會不斷地增長。通過業(yè)務(wù)劃分云的種類，不需要強(qiáng)制一朵云，但也不能過度分散化。應(yīng)該根據(jù)專業(yè)詳細(xì)分析業(yè)務(wù)形態(tài)，最大限度地把相似業(yè)務(wù)劃分到一朵云上，難以合并的業(yè)務(wù)劃分到不同云上。各專業(yè)云化的過程也要采取循序漸進(jìn)的過程，先滿足最迫切的需求，通過一部分業(yè)務(wù)上云，鍛煉專業(yè)技術(shù)人員，培養(yǎng)私有云維護(hù)的內(nèi)部力量，為更多的業(yè)務(wù)上云做好鋪墊。此外，云維護(hù)可以采用統(tǒng)一運(yùn)維方式，建立一支統(tǒng)一的云維護(hù)團(tuán)隊(duì)，對不同專業(yè)的云進(jìn)行維護(hù)，這樣可以從業(yè)務(wù)和成本等方面實(shí)現(xiàn)最大化效益。