曾觀恩

【摘要】? ? 自然資源信息化是輔助自然資源合理規(guī)劃和有效管控的有力手段，而自然資源云生態(tài)的構建是信息化的基礎。本文以XX市自然資源局云計算項目為例，探討自然資源云生態(tài)體系的構建與落地。

【關鍵字】? ? 云生態(tài)? ? 云計算技術? ? 數(shù)據(jù)中心? ? 自然資源信息化

引言：

黨的十九屆五中全會通過的《中共中央關于制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠景目標的建議》提出，要加快構建以國內(nèi)大循環(huán)為主體、國內(nèi)國際雙循環(huán)相互促進的新發(fā)展格局。而國內(nèi)大循環(huán)的一個戰(zhàn)略關鍵是，以生態(tài)文明為導向，以鄉(xiāng)村振興為基礎，以城鄉(xiāng)融合為趨勢，強化空間生態(tài)資源統(tǒng)籌規(guī)劃，有效開發(fā)利用自然資源，帶動社會投資，實現(xiàn)生態(tài)產(chǎn)業(yè)化、產(chǎn)業(yè)生態(tài)化，最終達成的是生態(tài)資本深化。自然資源的合理規(guī)劃和有效管控，是戰(zhàn)略實施的重要一環(huán)，而自然資源信息化是輔助自然資源管理的有力手段，其意義重大。本文以XX市自然資源局云計算項目為例，說明云計算與數(shù)據(jù)中心的設計與落地，探討自然資源云生態(tài)體系的構建思路，為自然資源信息化建設夯實基礎。

一、自然資源云生態(tài)建設的三個階段

云計算的本質是將大量用網(wǎng)絡連接的計算資源統(tǒng)一管理調度，構成一個計算資源池，向用戶提供可用、按需、便捷的網(wǎng)絡服務。自然資源管理領域計算復雜、數(shù)據(jù)龐大，云計算作為數(shù)據(jù)資源的底層支撐著上層的大數(shù)據(jù)處理，非常適合使用云計算處理各業(yè)務場景。以云計算為核心，輔以5G和人工智能等技術是推動生產(chǎn)力發(fā)展的重要引擎。在這場數(shù)字化浪潮中，必須積極擁抱云計算技術，設計符合技術發(fā)展趨勢、面向未來的IT基礎構架，才能贏得未來。

以下分三個建設階段介紹市自然資源云生態(tài)的建設情況及未來規(guī)劃設計：

1.1一期：云平臺建設與數(shù)據(jù)中心雛形

云平臺一期主要是實現(xiàn)云的簡單構型和數(shù)據(jù)中心雛形，盡量保證架構合理，便于后期擴展。

1.1.1虛擬化技術

虛擬化是對計算機系統(tǒng)的仿真，它可以使一臺物理計算機能夠運行一臺或多臺虛擬機（VM）。作為云計算的核心技術之一，虛擬化技術具有大幅降低IT成本、提高業(yè)務部署靈活性、降低運維成本等優(yōu)勢。虛擬化技術，簡單的理解，就是在一臺服務器上，使用虛擬機軟件（華為FusionSphere、VMWare Workstation、VSPhere、Hyper-V等），可以運行多個邏輯上相互獨立的虛擬機（Virtual Machine，簡稱VM）。

1.1.2云計算設備選型

計算節(jié)點服務器的選型是云平臺架構的第一步，要對服務器進行虛擬化適應性分析與評價。服務器性能量化指標主要有tpmC和SPEC兩個體系，根據(jù)指標計算、實際需求以及價格綜合考慮，選定華為FusionServer Pro 5885H V5服務器×6，該計算節(jié)點適用于關鍵業(yè)務的高可靠高性能要求，虛擬化、高性能計算（HPC）、數(shù)據(jù)庫等計算密集型業(yè)務需求。數(shù)據(jù)中心仲裁服務器選擇華為FusionServer 1288H V5，實現(xiàn)數(shù)據(jù)主從判斷、主備交互。FC SAN光纖交換機最終選取博科BR-6505×2，雙活數(shù)據(jù)存儲選擇華為OceanStor 5210 V5 48T×2等。

1.1.3云平臺架構設計與搭建

根據(jù)行業(yè)的成熟架構經(jīng)驗，市自然資源云平臺一期、二期的總體硬件架構圖如下：

自然資源云平臺一期建設有高性能計算機點4個，F(xiàn)C SAN交換機兩臺，雙活存儲區(qū)，數(shù)據(jù)檔案存儲區(qū)以及萬兆以太網(wǎng)交換機構成的一個規(guī)模較小的私有云平臺。自然資源云平臺二期建設桌面云計算區(qū)（2個H3C計算節(jié)點），增加一期云計算節(jié)點2個，擴展金土工程存儲區(qū)、國土空間基礎信息平臺存儲區(qū)，同時拓展云平臺內(nèi)存上限，實現(xiàn)協(xié)同規(guī)劃編制的應用，增加云平臺的計算能力、存儲能力和運行速度。

1.1.4數(shù)據(jù)中心雛形

數(shù)據(jù)中心是一種基礎信息設備架構，用于放置計算機系統(tǒng)和相關組件，如網(wǎng)絡設備、存儲系統(tǒng)和電信設備。數(shù)據(jù)中心運行突發(fā)故障是無法預測的，隨時都有可能終止服務（如硬件故障、病毒、誤操作等情況），容災備份就是數(shù)據(jù)安全的最后防線。由于資源限制，目前只實現(xiàn)了異機雙活數(shù)據(jù)中心。主數(shù)據(jù)中心用于承擔主業(yè)務，備份數(shù)據(jù)中心用于備份主數(shù)據(jù)中心的數(shù)據(jù)、配置、業(yè)務等。利用虛擬化技術，把閑置的資源整合，雙活數(shù)據(jù)中心的服務能力有效提高。雙活數(shù)據(jù)中心的建設要滿足三個條件：一是應用雙活，也就是說數(shù)據(jù)庫一定要實現(xiàn)雙活，實現(xiàn)應用的無感切換;二是網(wǎng)絡要雙活，業(yè)務網(wǎng)絡要保證能夠同時聯(lián)通兩個數(shù)據(jù)存儲區(qū)域;三是數(shù)據(jù)要雙活，兩邊的數(shù)據(jù)要能夠實現(xiàn)被獨立使用。通過雙活數(shù)據(jù)中心區(qū)域的建設，加強應用系統(tǒng)抗沖擊能力、自由調度能力。

1.2二期：云平臺擴展與桌面云建設

為實現(xiàn)開放、集成、便捷的國土空間規(guī)劃協(xié)同編制環(huán)境，給規(guī)劃編制成員提供便捷的地圖、地理信息及分析工具，故搭建國土空間規(guī)劃協(xié)同編制桌面云平臺。平臺技術選型為H3C UIS-Cell 3010計算節(jié)點兩臺、NVIDIA vPC顯卡虛擬化、H3Cloud CAS云桌面管理軟件、亞信安全虛擬化深度安全防護系統(tǒng)DeepSecurity等，以圖1所示架構接入到自然資源云平臺中。

同時，由于自然資源業(yè)務的不斷開展，云平臺一期的資源容量已略顯不足，故在二期增加同型號計算節(jié)點兩臺，增加金土工程存儲區(qū)、國土空間基礎信息平臺存儲區(qū)。擴展后的云平臺資源規(guī)模相比增加一倍有余，同時增加桌面云功能，對自然資源信息化應用承載能力更強，基礎支撐方式更多樣化。

1.3二期：融合云方向

混合云架構是目前局信息架構方式，但隨著技術的發(fā)展，IT基礎設施愈發(fā)復雜。IT資源不僅是物理服務器，還有虛擬機、容器，除了x86，還有小型機、ARM，甚至還有GPU、FPGA、TPU等異構計算資源，同時還有國產(chǎn)化的趨勢要求，網(wǎng)絡和存儲也存在多種技術選擇。根據(jù)技術不確定以及ADI（應用定義基礎架構）的趨勢，面向未來的IT基礎設施架構管理的最佳選擇是融合云（Unified IaaS）。所謂融合云是指融合管理分布在多云環(huán)境（本地IDC，私有云和公有云）中的所有IT基礎設施，構建一個綜合IaaS平臺，是云生態(tài)的目標形態(tài)。

首先，融合云面向的是多云環(huán)境。融合云部署場景中，IT基礎設施不僅包含本地機房的計算資源部分（含微服務架構），還包含私有云平臺和政務云部分。融合主要是指三個方面的融合：首先是管理端的融合，實現(xiàn)資源管理的統(tǒng)一、資產(chǎn)臺帳統(tǒng)一等;其次是網(wǎng)絡端的融合，通過網(wǎng)閘、網(wǎng)絡地址映射等方式，實現(xiàn)各資源的互聯(lián)互通;再次是數(shù)據(jù)端的融合，借助網(wǎng)絡端的融合以及程序接口等方式，實現(xiàn)數(shù)據(jù)交互。通過管理端、網(wǎng)絡端、數(shù)據(jù)端三融合，最終實現(xiàn)資源的融合管理、融合應用、高度協(xié)調，以適應各復雜應用架構要求的挑戰(zhàn)。融合云實現(xiàn)整體異構IT基礎設施的全面云化，面向智能技術、面向底層基礎設施的跨云協(xié)作、全面擁抱開源技術，為自然資源的信息管理手段提供堅實的基礎。

二、云生態(tài)的輔助環(huán)境

自然資源云生態(tài)的構建，一些輔助環(huán)境和手段是必不可少的，如安全、網(wǎng)絡等。

2.1自然資源云安全機制設計

隨著云上應用的不斷拓展，云生態(tài)體系所面臨的安全挑戰(zhàn)也不斷涌現(xiàn)。近年來，網(wǎng)絡攻擊手段層出不窮，包括木馬、勒索病毒、蠕蟲攻擊、緩沖區(qū)溢出攻擊、SQL注入等等，而傳統(tǒng)防火墻采用的是被動的防御機制，只要數(shù)據(jù)包具有合法的身份，就可以通過防火墻，對數(shù)據(jù)包中存在的攻擊行為無能為力。此類攻擊直接威脅到云體系運行秩序和信息系統(tǒng)安全，為此設計一套完整完善的安全防護體系非常有必要。

2.1.1云底層防毒

云平臺底層部署了虛擬化系統(tǒng)安全軟件，NSX分布式 IDS/IPS功能內(nèi)置于NSX平臺當中，采用分布式的架構，內(nèi)嵌到每臺主機的Hypervisor內(nèi)核中，可以對每一個流經(jīng)的數(shù)據(jù)包進行威脅檢測，提供威脅阻止的能力。NSX分布式IDS/IPS技術方案的優(yōu)勢有全圖型化界面、簡化網(wǎng)絡體系架構和運維、內(nèi)置詳細入侵行為的日志系統(tǒng)、特征碼可以自動聯(lián)網(wǎng)更新、安全策略無需隨虛擬機遷移變更等。

2.1.2計算環(huán)境安全

云計算區(qū)邊界設置了防火墻，對云邊界進行防護。局系統(tǒng)內(nèi)全面部署了奇安信天擎安全系統(tǒng)，管理中心部署在云上，客戶端分別部署在物理服務器、虛擬機以及接入云平臺的用戶桌面PC，實現(xiàn)病毒查殺、補丁管理、網(wǎng)絡準入、安全審計等功能。

2.1.3網(wǎng)絡層面的安全防護設備

由于等保2.0的要求，局城域網(wǎng)已自帶相對完整的網(wǎng)絡安全設備，為云平臺構建了相對安全的網(wǎng)絡環(huán)境，比如網(wǎng)絡防火墻、網(wǎng)絡安全審計、入侵防御設備、防病毒網(wǎng)關設備、上網(wǎng)行為管理、以及綜合安全功能的堡壘機等。

2.2暢通的網(wǎng)絡環(huán)境

2.2.1三網(wǎng)合一設計

局目前主要的應用網(wǎng)絡有自建城域網(wǎng)、政務外網(wǎng)和互聯(lián)網(wǎng)，三網(wǎng)合一（即三網(wǎng)融合）是指將上述三個網(wǎng)段相互滲透、互相兼容、整合成為統(tǒng)一的信息網(wǎng)絡，實現(xiàn)用戶在一臺主機上完成對三個網(wǎng)段的應用訪問和使用，使網(wǎng)絡資源得到更充分的利用。我局的信息應用部署的網(wǎng)絡位置以自建城域網(wǎng)為主，政務外網(wǎng)為輔，互聯(lián)網(wǎng)多為網(wǎng)絡地址映射。因此，三網(wǎng)合一使用戶可以無感、方便地使用各網(wǎng)絡位置的信息應用。

2.2.2全光內(nèi)部網(wǎng)絡環(huán)境設計

全光網(wǎng)絡，是指網(wǎng)絡傳輸和交換過程全部通過光纖實現(xiàn)，信號只是在進出網(wǎng)絡時才進行電光和光電轉換，能極大提高網(wǎng)速。此前局大樓的樓宇智能化項目中完成全光內(nèi)部網(wǎng)絡的鋪設，除了樓層交換機到用戶端采用六類線外，其余均按全光網(wǎng)絡標準鋪設，實現(xiàn)云端內(nèi)部、數(shù)據(jù)中心的萬兆互聯(lián)，千兆到桌面。高速網(wǎng)絡環(huán)境為協(xié)同規(guī)劃編制桌面云、自然資源一體化平臺多應用并發(fā)、多用戶在線等業(yè)務場景提供了良好的用戶體驗。

三、結束語

習近平總書記提出的山水田林湖草綜合規(guī)劃系統(tǒng)開發(fā)，實現(xiàn)生態(tài)資源的價值化。自然資源是國內(nèi)大循環(huán)的重要戰(zhàn)略錨點之一，輔助做好自然資源管理，是一項極具戰(zhàn)略意義的工作。自然資源云生態(tài)體系的健康繁茂，是自然資源信息化建設的必要條件。利用行業(yè)成熟架構、整合現(xiàn)有信息基礎設施、思考未來技術趨勢，降低成本、提高資源利用率，為自然資源信息化建設作出積極貢獻。