科研院所云計算服務平臺的構(gòu)建與實現(xiàn)

李震 楊海亮

（南京水利科學研究院 江蘇省南京市 210029）

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、人工智能等信息技術(shù)的高速發(fā)展，當前科研院所信息化建設(shè)正在從網(wǎng)絡化、數(shù)字化向智能化轉(zhuǎn)型，智慧院所建設(shè)方興未艾。作為承載科研院所業(yè)務的信息化服務平臺，應從基礎(chǔ)設(shè)施、支撐平臺、業(yè)務軟件等各層面進行整合，構(gòu)建基礎(chǔ)設(shè)施即服務、平臺即服務、軟件即服務的一站式云計算服務架構(gòu)，實現(xiàn)科研資源的共享和業(yè)務協(xié)同。

1 云計算的概念

云計算是一種提供動態(tài)資源池、虛擬化和高可用性的計算模型[1]。它將計算任務分布在大量計算機構(gòu)建的資源池上，可以根據(jù)計算任務的需求分配相應的計算、存儲、軟件、帶寬和信息服務資源，其服務類型有IaaS、PaaS、SaaS 三種，如圖1所示。

IaaS 將服務器、存儲、網(wǎng)絡等基礎(chǔ)設(shè)施封裝為服務供用戶使用，其優(yōu)勢是允許用戶動態(tài)申請、增加、減少或釋放計算資源。在IaaS環(huán)境下，用戶類似于使用實體服務器和存儲，既可以自由選擇操作系統(tǒng)，也可以自定義軟件開發(fā)運行環(huán)境，但面對多節(jié)點計算任務的時候，用戶必須考慮各節(jié)點計算任務的協(xié)同問題。

PaaS 一般構(gòu)建在IaaS 之上，也可以基于基礎(chǔ)設(shè)施構(gòu)建PaaS，PaaS 可以為用戶提供應用程序的運行環(huán)境。當PaaS 和IaaS 共存時，應提供統(tǒng)一管理平臺對計算資源和相關(guān)服務進行全生命周期的管理和監(jiān)控。PaaS可以對資源進行動態(tài)擴展、縮減，以及相應的容錯管理，用戶可以不用考慮各節(jié)點相互之間的配合問題，代價是犧牲用戶的自主選擇權(quán)，用戶必須使用特定的系統(tǒng)環(huán)境和開發(fā)運行環(huán)境[2]。

SaaS 是一種軟件應用模式，既不同于IaaS 提供基礎(chǔ)資源服務，也不同于PaaS 提供系統(tǒng)應用環(huán)境，它將相應的軟件功能封裝為定制化的服務，供特定的用戶進行調(diào)用。SaaS 改變了傳統(tǒng)軟件服務的提供方式，降低了本地部署所需的成本，凸顯了軟件的服務屬性。

2 云計算服務平臺架構(gòu)

云計算服務平臺提供信息化基礎(chǔ)資源，在此基礎(chǔ)上部署各類業(yè)務應用環(huán)境和管理運營系統(tǒng)，為用戶提供虛擬主機、系統(tǒng)開發(fā)部署環(huán)境、定制化的應用服務等。科研院所的業(yè)務涉及科研、科技開發(fā)、綜合辦公、項目管理、人力資源管理、財務管理、物資設(shè)備管理等多個方面，云計算服務平臺應當具備安裝部署容易、運行穩(wěn)定可靠、資源擴縮便捷、安全保障有效、運維管理方便等特征[3]。

平臺總體架構(gòu)由物理層、資源抽象控制層和云服務層組成，如圖2所示。物理層主要包括服務器、存儲、網(wǎng)絡等信息化基礎(chǔ)設(shè)施，是形成資源池的硬件基礎(chǔ)；資源抽象控制層主要包括虛擬計算資源池、虛擬網(wǎng)絡資源池、虛擬安全資源池、分布式存儲資源池等；云服務層包括IaaS 服務（云主機、云存儲、云安全等）、PaaS 服務（中間件、數(shù)據(jù)交換平臺、開發(fā)測試平臺等）、SaaS 服務（科學計算、協(xié)同辦公、網(wǎng)站群等）。云安全防護體系提供DDoS 防御、漏洞掃描、租戶隔離、認證審計等功能；運行監(jiān)控及維護管理體系提供設(shè)備、配置、鏡像、備份、日志、監(jiān)控、報表等管理功能；云服務管理體系提供服務目錄、用戶管理、流程管理、計費管理等功能。云計算服務平臺部署拓撲圖見圖3。

圖1：云計算服務類型

圖2：云計算服務平臺架構(gòu)圖

云計算服務平臺的網(wǎng)絡安全規(guī)劃和部署是云基礎(chǔ)架構(gòu)建設(shè)的重要環(huán)節(jié)，需要充分考慮環(huán)境安全、技術(shù)安全和管理安全[4]。在網(wǎng)絡層面可以采取雙鏈路模式，避免單點故障；使用防火墻、網(wǎng)頁防篡改、入侵檢測、漏洞掃描等安全設(shè)備來提供基本的防護能力；部署備份系統(tǒng)對虛機、系統(tǒng)和重要數(shù)據(jù)進行備份，制定合理的備份策略，定期開展還原演練，防止故障并降低損害；部署威脅感知等系統(tǒng)，快速發(fā)現(xiàn)網(wǎng)絡攻擊并及時處置，提升主動防御能力。除了合理配置網(wǎng)絡安全設(shè)備、科學制定網(wǎng)絡安全策略以外，加強制度建設(shè)和內(nèi)部管理也是非常重要的，只有管理和技術(shù)“雙管齊下”，參照業(yè)界通用的分析方法和國家《信息安全風險評估指南》《信息系統(tǒng)安全等級保護基本要求》，科學制定安全總體架構(gòu)才能建立健全云計算服務平臺防御體系[5]。

圖3：云計算服務平臺部署圖

3 業(yè)務數(shù)據(jù)遷移與運維管理

保證業(yè)務應用的連續(xù)性是業(yè)務遷移的核心要求，南京水利科學研究院業(yè)務“上云”之前普遍采用傳統(tǒng)服務器加存儲的模式，部署在物理機或早期虛擬化平臺的各類業(yè)務應用及數(shù)據(jù)需要平滑遷移到云計算服務平臺上，因此業(yè)務遷移通常包括P2V 和V2V 兩種模式，存在著跨系統(tǒng)、跨平臺的復雜性和不確定性。首頁要認真開展調(diào)研、分析和論證，必要時進行相關(guān)的測試，制定科學合理規(guī)范的遷移方案和應急回退方案，選擇合適的技術(shù)路線，減少和避免因人為錯誤導致的故障，按照“先易后難”的原則在計劃日程內(nèi)完成業(yè)務系統(tǒng)的遷移工作，做到業(yè)務停頓時間最短、影響范圍最小。

數(shù)據(jù)遷移一般分階段實施，遷移要確保數(shù)據(jù)的安全性，避免數(shù)據(jù)損失、丟失等風險。在數(shù)據(jù)遷移過程中要盡量縮短停機時間，同時盡量避免給在用主機帶來不必要的風險，造成業(yè)務系統(tǒng)非計劃宕機。由于之前運行的大多數(shù)應用系統(tǒng)都是基于數(shù)據(jù)庫開發(fā)的，所以在數(shù)據(jù)遷移的過程中要保證數(shù)據(jù)一致性，避免數(shù)據(jù)遷移后系統(tǒng)無法正常啟動運行等風險。為了確保數(shù)據(jù)遷移的安全、可靠，數(shù)據(jù)遷移工作需要用戶、原系統(tǒng)開發(fā)方和相關(guān)設(shè)備廠商的技術(shù)人員共同完成。

在云計算服務平臺建設(shè)之前，對“散裝”的服務器和系統(tǒng)進行運維是一件非常困難的事，消耗了大量的人力物力，管理粗放，資源利用率低，管理成本高。云計算服務平臺基于VDC（虛擬數(shù)據(jù)中心）模式，為各部門的業(yè)務提供不同的資源服務，將信息化資源的建設(shè)與使用進行剝離，通過統(tǒng)一的運維管理體系，可以實現(xiàn)“按需分配、動態(tài)調(diào)整”的資源管理要求。平臺的運維系統(tǒng)向內(nèi)可以對資源進行監(jiān)控、分析、統(tǒng)計和預警等，實現(xiàn)日常運維、變更管理和運營分析等功能，向外提供統(tǒng)一運維管理接口。

4 成效

云計算服務平臺投入運行，成為科技創(chuàng)新信息化支撐條件建設(shè)的“里程碑”。平臺整合信息資源，實現(xiàn)信息共享，為科研人員快速搭建計算環(huán)境、開發(fā)模型軟件、部署業(yè)務應用構(gòu)建了基礎(chǔ)服務平臺，真正做到“即插即用”，提升了科研效率；平臺按需分配調(diào)度管理信息化資源，資源利用效率大幅提升，以網(wǎng)站系統(tǒng)為例，“上云”前占用3 臺物理服務器，使用6 個CPU（共計48 核），“上云”后改用3 臺虛擬服務器，占用10 核CPU，不到“上云”前的四分之一；通過虛機“漂移”和存儲“雙活”等技術(shù)以及異地備份等策略，平臺的穩(wěn)定性可靠性明顯提高，原來物理服務器恢復系統(tǒng)、應用和數(shù)據(jù)往往需要幾小時甚至數(shù)十小時，“上云”后虛機災備恢復縮短到幾十至十幾分鐘；平臺基本構(gòu)建較為完善的網(wǎng)絡安全防護體系，對比各系統(tǒng)原來“單兵作戰(zhàn)”安全防護方式，既提升了安全防護能力又節(jié)省了費用。

5 展望

隨著新一代信息技術(shù)應用不斷深入，云計算服務平臺實現(xiàn)“IT基礎(chǔ)設(shè)施”的“按需使用、動態(tài)調(diào)整”僅僅是初步的實踐與探索，為后續(xù)智慧院所的建設(shè)奠定了良好基礎(chǔ)條件。隨著“上云”業(yè)務越來越多，云計算服務平臺資源優(yōu)化調(diào)度的重要性日益凸顯，要準確度量各系統(tǒng)對資源的需求量，又要及時科學地根據(jù)需求變化動態(tài)調(diào)整資源分配。“上云”的應用系統(tǒng)包括：內(nèi)部管理業(yè)務系統(tǒng)、互聯(lián)網(wǎng)應用系統(tǒng)、科研應用系統(tǒng)、高性能計算系統(tǒng)、測試系統(tǒng)、運維管理系統(tǒng)等，需要根據(jù)應用系統(tǒng)的業(yè)務特點和安全防護需求合理劃分安全域，針對不同的安全域分別制定安全策略、落實防護措施，進一步確保云計算服務平臺的安全。