市級(jí)政務(wù)云計(jì)算中心建設(shè)探討

四川省達(dá)州市電信分公司 唐 彥

1 前言

目前，全國(guó)進(jìn)入新型智慧城市建設(shè)的初始階段，新型智慧城市建設(shè)必須以云計(jì)算中心為IT基礎(chǔ)設(shè)施平臺(tái)，加快各種信息資源及功能應(yīng)用的整合以實(shí)現(xiàn)新型智慧城市建設(shè)目標(biāo)。為節(jié)省政府信息化投資，集中管理政務(wù)系統(tǒng)數(shù)據(jù)，通過建設(shè)市級(jí)政務(wù)云中心，很好的解決了各個(gè)部門重復(fù)建設(shè)機(jī)房及購(gòu)置軟硬件、維護(hù)成本高、數(shù)據(jù)管理難等問題[1]。

2 總體技術(shù)架構(gòu)

政務(wù)云計(jì)算中心總體架構(gòu)如圖1：

圖1 市級(jí)政務(wù)云計(jì)算中心總體架構(gòu)

總體設(shè)計(jì)架構(gòu)從“3個(gè)1”角度進(jìn)行層次解讀，分為1個(gè)云中心，包括基礎(chǔ)配套設(shè)施、基礎(chǔ)資源池及云管理平臺(tái)；1個(gè)云監(jiān)管中心，包括具備統(tǒng)一門戶、運(yùn)營(yíng)管理、服務(wù)考核、決策分析、資源監(jiān)管、日志管理、用戶管理、安全管理、告警管理等功能；1個(gè)云保障中心，包括云標(biāo)準(zhǔn)、云安全、云遷移及云運(yùn)維。

總體設(shè)計(jì)架構(gòu)具體功能組件分為基礎(chǔ)配套設(shè)施、云資源、云管理、云網(wǎng)絡(luò)、云安全、云監(jiān)管及云運(yùn)維等7個(gè)方面內(nèi)容?；A(chǔ)配套設(shè)施包括政務(wù)云數(shù)據(jù)中心機(jī)房等相關(guān)基礎(chǔ)設(shè)施；政務(wù)云資源包括服務(wù)器及存儲(chǔ)兩個(gè)部分；云管理為政務(wù)云中心的資源管理部分；網(wǎng)絡(luò)為政務(wù)云中心平臺(tái)的互聯(lián)互通設(shè)計(jì)；云安全包括云安全及基礎(chǔ)安全兩個(gè)安全體系；云監(jiān)管包括運(yùn)營(yíng)管理、服務(wù)考核、決策分析、資源監(jiān)管、日志管理、用戶管理、告警管理等；云運(yùn)維包括運(yùn)維服務(wù)體系級(jí)運(yùn)維服務(wù)內(nèi)容。

3 各組件功能解析

為高效建設(shè)政務(wù)云計(jì)算中心，對(duì)政務(wù)云計(jì)算中心各組件解析如下。

3.1 基礎(chǔ)配套設(shè)施

市級(jí)政務(wù)云計(jì)算中心基礎(chǔ)配套設(shè)施主要是指機(jī)房配套設(shè)施。機(jī)房必須是獨(dú)立機(jī)房，選址必須在市主城區(qū)內(nèi)，以提升政、企聯(lián)動(dòng)能力和效果，便于參觀、應(yīng)急和搶維。工程設(shè)備安裝所需機(jī)柜空間要滿足工程需求，每機(jī)柜提供雙路不間斷供電，機(jī)房空間和供電在滿足建設(shè)規(guī)?；A(chǔ)上，具備適應(yīng)業(yè)務(wù)發(fā)展的擴(kuò)展能力。政務(wù)云計(jì)算中心辦公場(chǎng)地與機(jī)房同地點(diǎn)，滿足日常運(yùn)維值班，設(shè)備安裝調(diào)試，后期業(yè)務(wù)系統(tǒng)遷移等工作需要[2]。云資源要進(jìn)行物理和邏輯隔離，且需要在機(jī)房?jī)?nèi)劃分獨(dú)立區(qū)域。獨(dú)立區(qū)域具有門禁控制，控制權(quán)按照采購(gòu)人要求進(jìn)行管理。機(jī)房具備較高性能的安防、環(huán)境監(jiān)控、滅火系統(tǒng)等基礎(chǔ)設(shè)施服務(wù)，機(jī)房抗震烈度達(dá)6度或以上。機(jī)房具備環(huán)境智能監(jiān)控，實(shí)現(xiàn)對(duì)設(shè)備電流量的監(jiān)控、機(jī)房溫度監(jiān)控、機(jī)房濕度監(jiān)控。機(jī)柜區(qū)域配備專用門禁和24小時(shí)監(jiān)控系統(tǒng)，視頻監(jiān)控畫面可遠(yuǎn)程調(diào)用，監(jiān)控錄像保存時(shí)間大于3個(gè)月。服務(wù)器設(shè)備要獲得可持續(xù)電力供應(yīng)，包括增加UPS及柴油發(fā)電等應(yīng)急電源保障，每年持續(xù)電力供應(yīng)時(shí)間在99.99%以上，以確保電子政務(wù)應(yīng)用系統(tǒng)可持續(xù)工作，滿足信息化政務(wù)工作的高要求。

3.2 云資源

云資源分為云計(jì)算資源和云存儲(chǔ)資源。云計(jì)算資源平臺(tái)至少劃分為互聯(lián)網(wǎng)業(yè)務(wù)區(qū)和公用業(yè)務(wù)區(qū)，兩個(gè)區(qū)域之間應(yīng)采用安全數(shù)據(jù)交換系統(tǒng)進(jìn)行隔離防護(hù)。云資源平臺(tái)內(nèi)部計(jì)算資源池劃分為高性能計(jì)算區(qū)、通用性能計(jì)算區(qū)，每個(gè)區(qū)分別使用不同的服務(wù)器進(jìn)行承載，具體資源劃分可在具體實(shí)施中根據(jù)各政府部門在兩個(gè)區(qū)的業(yè)務(wù)比例來(lái)確定，服務(wù)器均通用，可根據(jù)業(yè)務(wù)上線情況相互調(diào)配。云存儲(chǔ)資源的設(shè)計(jì)分為兩類，F(xiàn)C-SAN(光纖存儲(chǔ)網(wǎng)絡(luò))存儲(chǔ)和分布式存儲(chǔ)，F(xiàn)C-SAN存儲(chǔ)為高端集中式存儲(chǔ)池，用來(lái)承載對(duì)實(shí)時(shí)要求較高的業(yè)務(wù)數(shù)據(jù)；分布式存儲(chǔ)為分布式網(wǎng)絡(luò)存儲(chǔ)，用來(lái)承載虛擬機(jī)系統(tǒng)、虛擬機(jī)鏡像、虛擬機(jī)的模板文件、非結(jié)構(gòu)化數(shù)據(jù)、大文件等。FCSAN可以實(shí)現(xiàn)數(shù)據(jù)的集中存儲(chǔ)，可以充分利用虛擬架構(gòu)中虛擬機(jī)可動(dòng)態(tài)在線從一臺(tái)物理服務(wù)器遷移到另一臺(tái)物理服務(wù)器。分布式網(wǎng)絡(luò)存儲(chǔ)可以實(shí)現(xiàn)分散數(shù)據(jù)的集中管控，多采用2個(gè)存儲(chǔ)控制器，并配置多塊SSD(固態(tài)硬盤)硬盤用于二級(jí)緩存或加速，以充分保證未來(lái)各級(jí)政務(wù)業(yè)務(wù)系統(tǒng)的 I/O （輸入輸出）需求。

3.3 云管理

云管理通過使用一套成熟的商業(yè)化云操作系統(tǒng)軟件，完成搭建工作并提供相應(yīng)服務(wù)。云操作系統(tǒng)核心功能包括云服務(wù)管理和高可用性管理，云服務(wù)管理提供資源調(diào)度、資源規(guī)劃以及監(jiān)控等功能，高可用管理提供彈性擴(kuò)展、彈性遷移、負(fù)載均衡及故障隔離等功能，基礎(chǔ)設(shè)施資源池通過云操作系統(tǒng)的云服務(wù)管理和高可用管理提供物理資源虛擬化服務(wù)，將服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)資源進(jìn)行虛擬化，實(shí)現(xiàn)統(tǒng)一云資源管理[2]。云操作系統(tǒng)軟件需自主可控，采用Openstack（開放堆砌）技術(shù)架構(gòu)，新的物理服務(wù)器資源可以自動(dòng)被識(shí)別到，并加入到平臺(tái)的資源池中，而整個(gè)過程不應(yīng)停止原有服務(wù)，且不對(duì)原有服務(wù)造成影響。云操作系統(tǒng)對(duì)虛擬機(jī)所在的硬件設(shè)備維護(hù)升級(jí)時(shí)能夠?qū)崟r(shí)遷移到其它硬件設(shè)備上運(yùn)行，而原虛擬機(jī)中的服務(wù)不停止。至于云操作系統(tǒng)中的負(fù)載均衡功能可以在Hypervisor（管理程序）上以虛機(jī)的方式實(shí)現(xiàn)，支持第4到7層的負(fù)載均衡，可以實(shí)時(shí)測(cè)量服務(wù)器利用率和連接負(fù)載。另外，云操作系統(tǒng)權(quán)限至少要具備云平臺(tái)監(jiān)管人員、云平臺(tái)系統(tǒng)管理人員、云平臺(tái)安全管理員、云平臺(tái)安全審計(jì)員等分級(jí)權(quán)限。

3.4 云網(wǎng)絡(luò)

政務(wù)云資源池外部網(wǎng)絡(luò)互聯(lián)需滿足電子政務(wù)外網(wǎng)互聯(lián)、公眾互聯(lián)網(wǎng)訪問以及各廳委辦局安全接入等，內(nèi)部網(wǎng)絡(luò)應(yīng)采用分區(qū)、分層、分平面的網(wǎng)絡(luò)架構(gòu)，實(shí)現(xiàn)業(yè)務(wù)平面、管理平面、存儲(chǔ)平面的分離[4]。依照電子政務(wù)外網(wǎng)的安全域劃分，政務(wù)云計(jì)算中心平臺(tái)主要?jiǎng)澐譃楣镁W(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)區(qū)，其中公用網(wǎng)絡(luò)區(qū)主要是政務(wù)部門系統(tǒng)內(nèi)和系統(tǒng)間的互訪，互聯(lián)網(wǎng)用戶不能直接訪問這個(gè)區(qū)域的數(shù)據(jù)和信息系統(tǒng)；互聯(lián)網(wǎng)區(qū)部署政務(wù)部門的WEB（門戶網(wǎng)站）服務(wù)器，完成政務(wù)信息互聯(lián)網(wǎng)發(fā)布和數(shù)據(jù)填報(bào)。各安全域內(nèi)從網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)應(yīng)用業(yè)務(wù)的獨(dú)立性、各業(yè)務(wù)的互訪關(guān)系及業(yè)務(wù)的安全隔離需求綜合考慮，將管理數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、存儲(chǔ)數(shù)據(jù)進(jìn)行的存儲(chǔ)、傳輸和交互進(jìn)行有效隔離。市級(jí)各部門的業(yè)務(wù)通過邏輯隔離劃分不同的安全域，市級(jí)部門訪問或管理業(yè)務(wù)系統(tǒng)可通過VPN（虛擬專線）等多種方式實(shí)現(xiàn)。互聯(lián)網(wǎng)區(qū)與公用網(wǎng)絡(luò)之間通過安全數(shù)據(jù)交換系統(tǒng)進(jìn)行數(shù)據(jù)交換，互聯(lián)網(wǎng)區(qū)與公用網(wǎng)絡(luò)區(qū)出口邊界應(yīng)通過訪問控制設(shè)備建立邊界。

3.5 云安全

云平臺(tái)應(yīng)滿足《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》，達(dá)到為政府部門提供云計(jì)算服務(wù)的基本安全能力。市級(jí)政務(wù)云計(jì)算中心平臺(tái)具備基于軟件方式提供云安全服務(wù)的自動(dòng)化部署功能，包含虛擬主機(jī)間通過虛擬防火墻進(jìn)行安全隔離與防護(hù)，通過虛擬防火墻之間的互訪安全策略控制流量訪問；云平臺(tái)的每個(gè)租戶是專用的，可通過云管理平臺(tái)進(jìn)行統(tǒng)一的管理和調(diào)度；具有為每個(gè)VPC（虛擬通道）、安全組、虛擬機(jī)提供殺毒功能；云平臺(tái)的租戶可以提供虛擬訪問通道，可以為租戶提供運(yùn)維服務(wù)工具，支持圖形與命令行模式；云備份系統(tǒng)配置足夠的備份空間，提供整體保護(hù)，滿足業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫(kù)備份的需求，無(wú)授權(quán)許可限制；除業(yè)務(wù)使用資源外，要布放備份容災(zāi)資源，這包括應(yīng)急接管運(yùn)維支撐平臺(tái)和主要采用輕量級(jí)服務(wù)器組成，使用多路中央處理器單元和萬(wàn)兆級(jí)內(nèi)存提供應(yīng)急接管服務(wù)；一體化實(shí)時(shí)備份及數(shù)據(jù)容錯(cuò)恢復(fù)系統(tǒng)設(shè)計(jì)存儲(chǔ)容量不低于業(yè)務(wù)系統(tǒng)容量，具備秒級(jí)的保護(hù)能力。

3.6 云監(jiān)管

云監(jiān)管平臺(tái)涉及硬件、第三方軟件、與云資源平臺(tái)互聯(lián)互通網(wǎng)絡(luò)需根據(jù)實(shí)際需求進(jìn)行配置，同時(shí)需考慮系統(tǒng)安全的相關(guān)設(shè)備配置。根據(jù)云監(jiān)管的需求，應(yīng)具備統(tǒng)一門戶、運(yùn)營(yíng)管理、服務(wù)商考評(píng)、決策分析、資源監(jiān)管、日志管理、用戶管理、安全管理、告警管理、系統(tǒng)管理等功能。云資源平臺(tái)設(shè)計(jì)采用Openstack架構(gòu)，按照業(yè)務(wù)需求，云監(jiān)管平臺(tái)與云資源平臺(tái)要遵循基于Openstack的相關(guān)接口規(guī)范，形成最終的統(tǒng)一監(jiān)管。對(duì)于跨平臺(tái)監(jiān)管的部署，市級(jí)政務(wù)云管理員需要登錄省級(jí)政務(wù)云服務(wù)平臺(tái)，申請(qǐng)一個(gè)應(yīng)急VDC（虛擬數(shù)據(jù)中心）資源池，獲得該VDC信息及OpenStack 管理IP后，將信息加入到市級(jí)政務(wù)云被級(jí)聯(lián)OpenStack平臺(tái)，系統(tǒng)將自動(dòng)向省級(jí)應(yīng)急VDC注入被級(jí)聯(lián)OpenStack，實(shí)現(xiàn)市級(jí)資源及省級(jí)應(yīng)急資源的統(tǒng)一管理[3]。

3.7 云運(yùn)維

市級(jí)政務(wù)云計(jì)算中心需服務(wù)商配置素質(zhì)高、專業(yè)性強(qiáng)、經(jīng)驗(yàn)豐富、穩(wěn)定的運(yùn)維團(tuán)隊(duì)，主要負(fù)責(zé)政務(wù)云平臺(tái)的軟硬件和網(wǎng)絡(luò)運(yùn)維，團(tuán)隊(duì)包括高級(jí)虛擬化工程師、高級(jí)運(yùn)維工程師。服務(wù)商需建設(shè)有嚴(yán)格的、有組織有紀(jì)律的管理運(yùn)維流程，并指派專職接口人，團(tuán)隊(duì)需要24小時(shí)在崗及時(shí)響應(yīng)故障請(qǐng)求，負(fù)責(zé)電子政務(wù)云平臺(tái)的故障受理、處理、跟蹤、結(jié)果匯報(bào)工作。云服務(wù)商須有本地化服務(wù)機(jī)構(gòu)及固定的服務(wù)團(tuán)隊(duì)，保證后期系統(tǒng)運(yùn)維的正常運(yùn)行。云服務(wù)商對(duì)項(xiàng)目使用的機(jī)房、互聯(lián)網(wǎng)接入電路、政務(wù)電路應(yīng)保證服務(wù)期的穩(wěn)定服務(wù)提供。

4 結(jié)束語(yǔ)

從新型智慧城市建設(shè)的需求來(lái)看，選定政務(wù)云為重要突破帶動(dòng)其他信息化項(xiàng)目建設(shè)是必由之路，通過市級(jí)政務(wù)云計(jì)算中心建設(shè)，搭建各部門政務(wù)信息系統(tǒng)功能及應(yīng)用整合的支撐平臺(tái)，實(shí)現(xiàn)IT資源整合和數(shù)據(jù)共享，真正從民生出發(fā)，面向百姓提供優(yōu)質(zhì)的政務(wù)服務(wù)，充分發(fā)揮信息化惠民的重大作用。

[1]中國(guó)建設(shè)信息化．政務(wù)云∶打造數(shù)據(jù)高地[J]．中國(guó)建設(shè)信息化,2017,24(23)∶54-55．

[2]孔守斌,王妙微,王博涵,陳東．基于云平臺(tái)的地方信息資源共享平臺(tái)建設(shè)模式研究[J]．電子政務(wù),2017,15(12)∶49-50．

[3]杜軍龍,金俊平,周劍濤．云計(jì)算的電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)探析[J]．電子世界,2017,39(22)∶94-95．

[4]喬愛鋒．政務(wù)云資源池體系架構(gòu)及關(guān)鍵技術(shù)應(yīng)用[J]．電信技術(shù),2017,64(10)∶68-70．