趙軍生，呂書林，王晨鶴，崔云龍，高 平

(中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司河南分公司，河南 鄭州 450000)

0 引言

政務(wù)云指用于承載各級(jí)政務(wù)部門開展公共服務(wù)、 社會(huì)管理的業(yè)務(wù)信息系統(tǒng)和數(shù)據(jù)，并滿足跨部門業(yè)務(wù)協(xié)同、數(shù)據(jù)共享與交換等的需要，提供 IaaS，PaaS 和 SaaS 服務(wù)的云計(jì)算服務(wù)。目前，河南省在省市兩級(jí)由政務(wù)服務(wù)和數(shù)字化建設(shè)管理局或相關(guān)政府平臺(tái)公司牽頭匯總各委辦局需求，向不同的云服務(wù)商采購(gòu)云服務(wù)。河南省政務(wù)云云平臺(tái)情況統(tǒng)計(jì)，如表1所示。

表1 河南省政務(wù)云云平臺(tái)供應(yīng)商匯總

政務(wù)云數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)計(jì)采用“分區(qū)+分平面”原則。根據(jù)業(yè)務(wù)系統(tǒng)情況將數(shù)據(jù)中心內(nèi)網(wǎng)絡(luò)劃分互聯(lián)網(wǎng)區(qū)、政務(wù)外網(wǎng)區(qū)、管理區(qū)、安全數(shù)據(jù)交換區(qū)以及異地災(zāi)備區(qū)。按照所承載的業(yè)務(wù)類型可分為政務(wù)公有云和政務(wù)專有云。其中，互聯(lián)網(wǎng)域的業(yè)務(wù)承載于政務(wù)公有云，專有域的業(yè)務(wù)承載于政務(wù)專有云，互聯(lián)網(wǎng)區(qū)和政務(wù)外網(wǎng)區(qū)物理隔離，兩個(gè)區(qū)域需要數(shù)據(jù)交換時(shí)，通過網(wǎng)閘組成的安全數(shù)據(jù)交換區(qū)來進(jìn)行。

在數(shù)據(jù)中心內(nèi)部將網(wǎng)絡(luò)劃分管理、業(yè)務(wù)、存儲(chǔ)3個(gè)平面，3個(gè)網(wǎng)絡(luò)平面物理相互隔離，互不影響。服務(wù)器通過不同網(wǎng)卡接入不同網(wǎng)絡(luò)平面。

1 問題分析

1.1 沒有統(tǒng)一入口、缺乏一致體驗(yàn)

云服務(wù)提供商不同導(dǎo)致各個(gè)云的接口標(biāo)準(zhǔn)、云服務(wù)內(nèi)容及范圍不盡相同，缺乏統(tǒng)一的服務(wù)界面，多平臺(tái)多賬號(hào)，多系統(tǒng)多服務(wù)目錄，嚴(yán)重影響了使用體驗(yàn)。在資源申請(qǐng)、審批等環(huán)節(jié)，采用全線下或線下+線上的模式，業(yè)務(wù)運(yùn)營(yíng)能力無(wú)法統(tǒng)一集中提供，在復(fù)雜業(yè)務(wù)場(chǎng)景下無(wú)法快速、高效地開展運(yùn)營(yíng)工作。

各個(gè)政務(wù)云分散規(guī)劃建設(shè)，云平臺(tái)廠商眾多，各個(gè)政務(wù)云平臺(tái)在技術(shù)架構(gòu)、運(yùn)營(yíng)管理、服務(wù)使用、安全運(yùn)維等方面的標(biāo)準(zhǔn)規(guī)范不一，硬件型號(hào)多、軟件版本雜，缺乏全景的資源、安全、性能、告警的監(jiān)管能力與運(yùn)營(yíng)數(shù)據(jù)視圖，無(wú)法統(tǒng)一管理各平臺(tái)的資源，無(wú)法統(tǒng)一監(jiān)控各政務(wù)云運(yùn)行狀況。

1.2 各資源池相互獨(dú)立、存在數(shù)據(jù)孤島

管理人員無(wú)法及時(shí)地把控整體資源的使用、運(yùn)行情況。每個(gè)云管平臺(tái)獨(dú)立獲取數(shù)據(jù)，再進(jìn)行人工匯總分析，過程中難免會(huì)出現(xiàn)數(shù)據(jù)的準(zhǔn)確性、及時(shí)性問題。

1.3 組織結(jié)構(gòu)復(fù)雜、無(wú)法靈活運(yùn)營(yíng)

不同云管都有獨(dú)立的租戶用戶體系，組織結(jié)構(gòu)不能統(tǒng)一劃分，權(quán)限管控復(fù)雜。不同數(shù)據(jù)中心、不同種類的云資源服務(wù)價(jià)格均存在差異，開關(guān)、變更、升降配各種訂單結(jié)算費(fèi)時(shí)費(fèi)力，計(jì)量計(jì)費(fèi)不精確，調(diào)賬過程復(fù)雜。各級(jí)政務(wù)云大都僅提供IaaS基礎(chǔ)資源服務(wù)能力，不具備提供PaaS，SaaS服務(wù)的能力，服務(wù)內(nèi)容單一，業(yè)務(wù)支撐能力有限，人工智能、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)的應(yīng)用程度較低。

1.4 信息安全問題較突出

缺乏統(tǒng)一的建設(shè)標(biāo)準(zhǔn)，導(dǎo)致整體信息安全防護(hù)水平參差不齊。各單位對(duì)信息安全的理解存在差異，部分單位不具備全網(wǎng)安全整體感知、可視化運(yùn)維、有效識(shí)別發(fā)現(xiàn)未知威脅等方面能力，亟需統(tǒng)籌規(guī)劃。

2 系統(tǒng)方案

經(jīng)過對(duì)政務(wù)云現(xiàn)狀的研究和分析，亟需建設(shè)河南省統(tǒng)一的多云管理平臺(tái)和政務(wù)云運(yùn)營(yíng)門戶，邏輯上形成河南省“1+18”的云平臺(tái)架構(gòu)，整合政務(wù)云平臺(tái)和數(shù)據(jù)中心接入“一朵云”，實(shí)現(xiàn)將不同業(yè)務(wù)單元、用戶、流程、平臺(tái)、資源、服務(wù)等在一個(gè)平臺(tái)上進(jìn)行綜合治理。通過對(duì)整個(gè)多云管理平臺(tái)的合理設(shè)計(jì)，滿足政務(wù)云運(yùn)營(yíng)團(tuán)隊(duì)對(duì)多云環(huán)境的統(tǒng)一服務(wù)門戶、統(tǒng)一運(yùn)營(yíng)、統(tǒng)一運(yùn)維的目標(biāo)。提供服務(wù)入云的統(tǒng)一審批流程，及以云服務(wù)產(chǎn)品為核心的服務(wù)目錄管理體系，提升各委辦局政務(wù)系統(tǒng)的云化部署效率。實(shí)現(xiàn)對(duì)多云環(huán)境的計(jì)算資源、網(wǎng)絡(luò)資源和存儲(chǔ)資源的統(tǒng)一資源視圖和監(jiān)控告警管理。多云管理平臺(tái)系統(tǒng)架構(gòu)如圖1所示。

圖1 多云管理平臺(tái)系統(tǒng)架構(gòu)

2.1 技術(shù)架構(gòu)

多云管理平臺(tái)基于微服務(wù)架構(gòu)實(shí)現(xiàn)，支持高可用及K8S容器化多副本部署。具備靈活擴(kuò)展的能力，平臺(tái)架構(gòu)支持快速橫向擴(kuò)展，可隨著資源規(guī)模的增長(zhǎng)快速擴(kuò)展管理能力，擴(kuò)展過程中不會(huì)對(duì)平臺(tái)的操作造成影響，支持在線滾動(dòng)升級(jí)，保障業(yè)務(wù)的連續(xù)性[2]。

2.2 門戶層

門戶層有以下功能：(1)面向河南省及地市各級(jí)運(yùn)維部門、運(yùn)營(yíng)部門、云服務(wù)提供商等用戶，提供資源視圖、性能分析、費(fèi)用分析、費(fèi)用結(jié)算、成本優(yōu)化建議、資源考核評(píng)價(jià)、服務(wù)評(píng)價(jià)、統(tǒng)計(jì)報(bào)表等功能。

(2)面向政務(wù)云各廳局委辦用戶，提供政務(wù)云IaaS、PaaS、安全、大數(shù)據(jù)類等服務(wù)目錄瀏覽，查詢和申請(qǐng)。

(3)面向政務(wù)云監(jiān)管運(yùn)營(yíng)單位，提供對(duì)河南省行政區(qū)域管理、云區(qū)管理、云資源監(jiān)管、組織與項(xiàng)目監(jiān)管、告警及云資源性能監(jiān)管、流程合規(guī)監(jiān)管、性能狀況監(jiān)管、訂單與費(fèi)用監(jiān)管、效能考核監(jiān)管、云服務(wù)商服務(wù)評(píng)價(jià)統(tǒng)計(jì)、資源合規(guī)稽查、多維大屏展示等功能。

2.3 統(tǒng)一運(yùn)營(yíng)

構(gòu)建統(tǒng)一的政務(wù)云服務(wù)目錄，編排各原子服務(wù)API、服務(wù)申請(qǐng)頁(yè)面、申請(qǐng)流程，組合成用戶需要的云服務(wù)，發(fā)布到服務(wù)目錄，供租戶自助申請(qǐng)使用。提供統(tǒng)一的服務(wù)接入框架，管理員可以通過目錄服務(wù)功能實(shí)現(xiàn)對(duì)服務(wù)進(jìn)行分類、定義、發(fā)布、更改、刪除、查詢等管理操作。

構(gòu)建統(tǒng)一服務(wù)流程，提供服務(wù)申請(qǐng)、審批的統(tǒng)一服務(wù)流程，支持圖形化可靈活定義的流程編排，支持定義流程表單。

2.4 統(tǒng)一運(yùn)維管理

多云管理平臺(tái)支持全局統(tǒng)一的資源中心，運(yùn)營(yíng)管理員、租戶可以在一張資源視圖內(nèi)管理所有區(qū)域的云服務(wù)資源。對(duì)阿里云、華為云、浪潮云等異構(gòu)云資源池接入，提供全局統(tǒng)一的資源管理中心，包含所有物理可見的網(wǎng)元設(shè)備(包括：服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)設(shè)備、IP、VLAN)、物理介質(zhì)、軟件資源、虛擬資源和系統(tǒng)配置項(xiàng)等。通過對(duì)資源的合理建模，屏蔽底層硬件細(xì)節(jié)和故障，整合系統(tǒng)中所有可用資源，實(shí)現(xiàn)對(duì)資源的生命周期管理和資源信息的統(tǒng)計(jì)分析，提供資源分配、資源定位、資源配置、資源查詢等基本服務(wù)。

省級(jí)管理員可監(jiān)控所有政務(wù)云資源的運(yùn)行狀況，根據(jù)資源拓?fù)?、性能指?biāo)和告警信息，評(píng)估資源是否異常。政務(wù)云資源監(jiān)控主要從計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)及安全四個(gè)方面實(shí)時(shí)監(jiān)控各級(jí)云資源使用情況，收集各級(jí)政務(wù)云資源模塊的監(jiān)控指標(biāo)，探測(cè)資源模塊的可用性，使得省級(jí)管理員全面了解云上資源的當(dāng)前情況，進(jìn)而分析出業(yè)務(wù)的運(yùn)行狀況和健康度，并及時(shí)響應(yīng)異常報(bào)警，保證應(yīng)用程序順暢運(yùn)行。

系統(tǒng)支持利用自動(dòng)化作業(yè)平臺(tái)，實(shí)現(xiàn)對(duì)日常運(yùn)維的自動(dòng)化作業(yè)操作，具備靈活的任務(wù)編排及大并發(fā)處理能力，支持各種類型的腳本管理與執(zhí)行，定時(shí)任務(wù)、過程監(jiān)控等功能。通過靈活的任務(wù)編排引擎將零碎的運(yùn)維任務(wù)組成一個(gè)運(yùn)維流程，并實(shí)現(xiàn)自動(dòng)化的調(diào)度，應(yīng)對(duì)滿足繁雜、耗時(shí)的各種運(yùn)維場(chǎng)景。

2.5 系統(tǒng)管理

系統(tǒng)管理包括用戶管理、賬號(hào)和口令管理、用戶權(quán)限管理和日志管理。

用戶管理實(shí)現(xiàn)與系統(tǒng)相關(guān)的人員的生命周期管理。賬號(hào)管理實(shí)現(xiàn)密碼管理，保證系統(tǒng)及數(shù)據(jù)的安全，用戶權(quán)限管理基于角色對(duì)權(quán)限進(jìn)行精細(xì)化管理，權(quán)限管理為系統(tǒng)管理員提供平臺(tái)角色創(chuàng)建、修改、刪除、權(quán)限關(guān)聯(lián)配置授權(quán)等管理。日志管理提供平臺(tái)所有用戶的操作訪問日志，可根據(jù)追蹤ID通過系統(tǒng)日志獲取完整操作鏈日志信息，平臺(tái)各個(gè)不同組件的日志下載及查看功能。

3 系統(tǒng)安全

本系統(tǒng)受到破壞后，會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害，對(duì)國(guó)家安全造成損害。因此，系統(tǒng)從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和系統(tǒng)安全等多個(gè)角度全面嚴(yán)格按照三級(jí)等保的要求進(jìn)行建設(shè)，優(yōu)化安全管理制度，提升安全管理水平[3]。本系統(tǒng)相關(guān)密碼采用國(guó)密算法，通過密碼評(píng)測(cè)。

4 結(jié)語(yǔ)

本方案能夠?qū)崿F(xiàn)各級(jí)政務(wù)云的統(tǒng)一門戶、統(tǒng)一運(yùn)營(yíng)入口、統(tǒng)一運(yùn)維，能夠?qū)崿F(xiàn)云資源的全生命周期管理。后續(xù)可以結(jié)合政務(wù)業(yè)務(wù)的需求和使用場(chǎng)景，拓展PaaS層和AI等中臺(tái)能力，提供統(tǒng)一的網(wǎng)絡(luò)信息安全技術(shù)手段，豐富政務(wù)云服務(wù)能力，更好地滿足廳局委辦的云服務(wù)需求。遠(yuǎn)期可采用新型“中心+邊緣”云計(jì)算架構(gòu)，在鄭州建設(shè)政務(wù)中心云，其他18個(gè)地市建設(shè)邊緣節(jié)點(diǎn)，實(shí)現(xiàn)真正一朵政務(wù)云。對(duì)于新上云的業(yè)務(wù)系統(tǒng)，全部由新型政務(wù)云承載。