基于電子政務云的政務信息系統(tǒng)云化遷移研究

陳世民

隨著《上海市電子政務云建設工作方案》正式印發(fā)，上海將按照“集約高效、共享開放、安全可靠、按需服務”的原則，建成“集中+分布”，以政府購買服務的方式，依托政務外網(wǎng)，統(tǒng)一為各部門提供服務。市級電子政務云平臺已建設完成，推動政府部門政務應用系統(tǒng)向電子政務云平臺遷移成為了下一步工作的重點。本文研究了政務信息系統(tǒng)上云遷移的全過程，希望能為政務系統(tǒng)上云遷移工作作一參考。

一、電子政務云平臺

上海市已建云政務云體系以“集中+分布”為建設原則，以政務外網(wǎng)為依托，充分利用現(xiàn)有信息化基礎設施，以統(tǒng)一化的服務模式為各部門提供云計算服務。上海市電子政務云按市區(qū)兩級云平臺建設，16個區(qū)政府自主建設區(qū)級云，與市級云在邏輯上實現(xiàn)一體化。全市最終形成“1+16”市、區(qū)兩級云體系。市級云平臺提供基礎設施服務、軟件支撐服務和信息安全技術服務。

二、遷移調研與方案

遷移前政務信息系統(tǒng)調研應從服務器設備情況、產(chǎn)品軟件情況、安全服務需求情況、業(yè)務與數(shù)據(jù)量情況、網(wǎng)絡架構等5方面進行：

● 服務器設備情況

需調研所需要遷移上云的政務系統(tǒng)目前硬件設備的組成，如服務器數(shù)量、配置、利用率、服務器之間的架構互連關系等。

● 產(chǎn)品軟件情況

需理清此次上云政務系統(tǒng)所使用產(chǎn)品軟件及相關功能清單的情況，如操作系統(tǒng)、中間件、數(shù)據(jù)庫、備份軟件配置等。

● 安全服務需求情況

首先明確上云政務信息系統(tǒng)安全等保等級，現(xiàn)有安全硬件配備等基本安全策略與配置清單。

● 業(yè)務與數(shù)據(jù)量情況

應明確調研上云政務系統(tǒng)的全網(wǎng)用戶數(shù)，并發(fā)數(shù)，應用服務器和數(shù)據(jù)庫的CPU和內存的峰值使用率。并考慮數(shù)據(jù)存量與日增、月增量及其均值和峰值。

● 網(wǎng)絡架構情況

上云政務系統(tǒng)的最終用戶、維護人員所使用的網(wǎng)絡拓普情況，應形成網(wǎng)絡拓撲圖。

（一）應用資源選擇

上海政務云應用服務主要采用IaaS模式為各用戶服務，云用戶從云上分配一定數(shù)量和配置的虛擬機來作為政務應用部署的虛擬應用服務器，具體可參考表1進行選型部署。

（二）網(wǎng)絡架構設計

上海市電子政務系統(tǒng)上云網(wǎng)絡配置以不改變當前用戶的訪問和使用習慣為原則，原則上不改變現(xiàn)有系統(tǒng)的網(wǎng)絡架構，在細節(jié)上進行優(yōu)化和調整。政務系統(tǒng)涉及政務外網(wǎng)和互聯(lián)網(wǎng)，詳見圖1政務系統(tǒng)上云之后的網(wǎng)絡架構圖。

系統(tǒng)上云后，整個政務系統(tǒng)劃分在一個VDC（虛擬數(shù)據(jù)中心），VDC內的資源可以同時包含政務外網(wǎng)區(qū)域。在一個VDC下創(chuàng)建多個VPC（虛擬私有網(wǎng)絡），政務外網(wǎng)區(qū)域劃分在一個VPC下。VPC下可以劃分不同的子網(wǎng)，虛擬機和物理機使用的網(wǎng)絡資源在不同的子網(wǎng)下面。原屬于政務外網(wǎng)業(yè)務和互聯(lián)網(wǎng)業(yè)務應用及數(shù)據(jù)庫上云后，核心區(qū)通過交換機進行交換。為滿足隔離的要求，兩個區(qū)域所屬的虛擬機分置于不同子網(wǎng)，并配置對應的互通策略。原系統(tǒng)中的防火墻、WAF等等安全設備，建議選擇對應的安全服務來滿足系統(tǒng)原有的安全需求。在政務信息系統(tǒng)項目上云后，通過政務外網(wǎng)訪問云平臺堡壘機進行維護操作。

（三）數(shù)據(jù)庫資源配置

上海市政務云數(shù)據(jù)庫服務主要采用IaaS模式為各用戶服務。數(shù)據(jù)庫服務資源選型以現(xiàn)有政務系統(tǒng)數(shù)據(jù)庫的連接數(shù)來評估，可參考表2進行選型部署。

數(shù)據(jù)存儲應用服務器采用虛擬機連接IP-SAN存儲，以虛擬化備份系統(tǒng)與數(shù)據(jù)備份系統(tǒng)實現(xiàn)應用系統(tǒng)數(shù)據(jù)、數(shù)據(jù)庫數(shù)據(jù)、文件系統(tǒng)數(shù)據(jù)在本地數(shù)據(jù)中心備份，且以年預估增量20%進行增量擴容。

（四）應用安全策略與服務

上海市政務系統(tǒng)安全策略配置，由政務云提供安全服務，根據(jù)參照信息系統(tǒng)安全等保要求進行選用配置主要有：用戶管理服務、身份認證服務、入侵防御服務、防 DDos攻擊服務、審計服務、安全堡壘機服務、網(wǎng)頁防篡改服務、主機防病毒服務、網(wǎng)絡訪問控制服務、在線防護WAF等安全服務。

三、上云遷移部署

（一）上云遷移部署原則

政府部門的應用系統(tǒng)數(shù)量眾多，重要程度、服務時段和外部依賴情況不同，應采用逐步分批、分功能遷移方法，具體遷移可參照以下幾點：

1. 先遷移相對獨立、關聯(lián)性少的應用與功能模塊

2. 先一般業(yè)務功能模塊或系統(tǒng)，后核心業(yè)務模塊或系統(tǒng)

3. 遷移時間應盡量避開業(yè)務高峰

4. 遷移后應保持雙軌運行

（二）應用遷移

目前已建成的上海市電子政務云平臺提供IaaS服務。對于IaaS服務，應用程序本身是不必與數(shù)據(jù)耦合的，因此在遷移的過程中，應用的遷移和數(shù)據(jù)的遷移是可分開實施的。部署在物理服務器的應用遷移到IaaS平臺，將應用從物理服務器遷移至IaaS服務時，需要根據(jù)上海市電子政務云的相關要求對原應用進行調整，使其能夠滿足在云環(huán)境上正常運行，并將應用遷移至上海市電子政務云平臺提供的虛擬機上。

（三）數(shù)據(jù)遷移

部署在物理服務器的數(shù)據(jù)遷移到IaaS平臺，實際上需要重新部署數(shù)據(jù)儲存環(huán)境，例如重新部署數(shù)據(jù)庫，或者重新部署分布式存儲系統(tǒng)等，并且需要調整應用數(shù)據(jù)接口，以滿足在IaaS平臺上數(shù)據(jù)接口的適用性。同時數(shù)據(jù)遷移需保證數(shù)據(jù)遷移前后的語法和語義不變。因此，將數(shù)據(jù)從物理服務器遷往IaaS環(huán)境應分以下幾個步驟進行：

1.目的IaaS環(huán)境構建

使用IaaS部署數(shù)據(jù)，需用戶自行構建數(shù)據(jù)存儲環(huán)境。在測試環(huán)境的目的IaaS構建與源物理服務器相同的數(shù)據(jù)存儲環(huán)境，保證遷移前后數(shù)據(jù)存儲系統(tǒng)支持的數(shù)據(jù)語法相同。

2.數(shù)據(jù)導出

從遷移源物理服務器環(huán)境導出數(shù)據(jù)，需要根據(jù)源物理服務器環(huán)境支持的數(shù)據(jù)導出格式、目的IaaS環(huán)境支持的數(shù)據(jù)導入格式進行綜合考慮。例如，源和目的環(huán)境都是MySQL數(shù)據(jù)庫，則可將數(shù)據(jù)導出為sql腳本。

3.數(shù)據(jù)格式轉換

在某些情況下，遷移前后使用的數(shù)據(jù)存儲系統(tǒng)支持的數(shù)據(jù)語法不同。這時，必須要使用預先準備的工具進行數(shù)據(jù)格式轉換。一般的情況下，保證遷移源地址和目的地址數(shù)據(jù)存儲系統(tǒng)是相同的，這時便不需要進行此類轉換。

4.數(shù)據(jù)導入

將數(shù)據(jù)導入到目的IaaS存儲系統(tǒng)中，可通過存儲系統(tǒng)自帶的工具，也可通過通用工具進行。對于用戶自定義格式的數(shù)據(jù)，需要用戶自行開發(fā)數(shù)據(jù)導入工具。

5.數(shù)據(jù)訪問接口轉換

將數(shù)據(jù)從物理服務器遷移至平臺最后一階段工作是數(shù)據(jù)訪問接口轉換。通常情況下，需要對源物理服務存儲系統(tǒng)的訪問接口做適應性調整，保證訪問接口能夠適應遷移目的IaaS存儲系統(tǒng)。

四、安全測評與驗收

政務云在IaaS模式下，云平臺提供虛擬主機資源，但主機操作系統(tǒng)安裝部署、安全設置等工作由政務云使用方負責。與之相對應的安全責任也落在政務云的使用一方，所以完成整個遷移上云工作后，需聘請專業(yè)的第三方測評機構進行安全測評。但在第三方測評前應在主機層面進行自我測評主要包括用戶登錄管理、訪問控制、系統(tǒng)升級日志審計、和惡意代碼防范、資源配置等5個方面。

政務信息系統(tǒng)上云驗收主要從政務云環(huán)境下的安全性（根據(jù)需求滿足系統(tǒng)可用性、數(shù)據(jù)保密性和項目遷移完整性）以及資源分配合理性角度進行驗收，對正式遷移結果進行評估，哪些系統(tǒng)功能完成了遷移、哪些系統(tǒng)功能無法完成遷移，最終上云后的效果如何、是否通過第三方安全測評等形成文檔。

五、結語

科學合理的將電子政務云運用起來，政務信息系統(tǒng)的云化遷移是關鍵的一步。通過本文的梳理研究，能幫助政務應用系統(tǒng)有序、安全、便捷地進行上云遷移，保證政府政務系統(tǒng)上云業(yè)務的可用性、安全性和連續(xù)性。