安徽省電子政務(wù)外網(wǎng)云平臺方案設(shè)計

姜精如

摘要：根據(jù)安徽省電子政務(wù)外網(wǎng)長期規(guī)劃要求以及目前的使用情況，提出了適合安徽省電子政務(wù)云平臺的設(shè)計方案，給出了電子政務(wù)云的功能需求和總體架構(gòu)。

關(guān)鍵詞：電子政務(wù)外網(wǎng);云平臺;大數(shù)據(jù)

中圖分類號：TP311

文獻標識碼：A

文章編號：1009-3044（2020）03-0280-03

1 安徽省電子政務(wù)外網(wǎng)云平臺需求分析

1.1 功能需求

（1） IT資源池化需求

數(shù)據(jù)中心計算、網(wǎng)絡(luò)、存儲等資源均進行虛擬化，形成計算資源池、網(wǎng)絡(luò)資源池、存儲資源池，達到可被云平臺統(tǒng)一調(diào)度、自動化部署的效果。

（2）安全可靠的云服務(wù)需求

參照中央網(wǎng)信辦、國家信息中心等部門對政務(wù)云安全架構(gòu)以及公安部等級保護三級的要求，對政務(wù)云的安全進行頂層架構(gòu)設(shè)計，部署硬件安全、云安全軟件和安全管理平臺等設(shè)備，滿足云平臺自身架構(gòu)、租戶內(nèi)部以及不同租戶間的安全防護需要。同時，政務(wù)云平臺可提供虛擬防火墻、虛擬堡壘機、虛擬負載均衡等安全云服務(wù)。

（3）虛擬數(shù)據(jù)中心需求

政務(wù)云平臺可為各省直部門提供虛擬數(shù)據(jù)中心（vDC）服務(wù)，不同vDC達到邏輯隔離和安全可控，vDC的管控和運維可由各vDC管理員負責。vDC支持對云資源的自動化部署、可視化監(jiān)控等操作。

（4）高效的運維管理需求

建設(shè)云運維中心，實現(xiàn)可視化、自動化運維，提升運維效率，對云環(huán)境下的運維框架、流程完善、職責劃分進行系統(tǒng)性優(yōu)化;根據(jù)各單位管理需要，個性化制定政務(wù)云運維、管理組織架構(gòu)，并制定在線云資源開通流程及現(xiàn)有業(yè)務(wù)遷移規(guī)劃。

（5）大數(shù)據(jù)服務(wù)功能需求

云平臺提供大數(shù)據(jù)平臺服務(wù)。云平臺部署大數(shù)據(jù)平臺，各租戶可通過申請獲取大數(shù)據(jù)平臺，大數(shù)據(jù)平臺可提供數(shù)據(jù)抽取、數(shù)據(jù)整合、數(shù)據(jù)分析等工作，租戶可部署相關(guān)軟件抽取大數(shù)據(jù)平臺數(shù)據(jù)進行二次分析及展示，完成大數(shù)據(jù)軟件搭建，減少各單位重復(fù)建設(shè)。

1.2 性能需求

（1）計算性能需求

通過對計算性能評估，需采用E7系類高性能處理器組建計算資源池，提供相同計算能力的情況下，減少對機房空間的占用。計算設(shè)備需要滿足電信級可靠性，保障計算節(jié)點穩(wěn)定運行。隨著各局委辦業(yè)務(wù)不斷遷移上線，虛擬機數(shù)量不斷增加，所有虛擬機均通過云平臺統(tǒng)一納管，根據(jù)初步估算，要求云平臺管理虛擬機數(shù)量大于4000個。

（2）存儲性能需求

隨著業(yè)務(wù)訪問量不斷提升，結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)量不斷增加，系統(tǒng)對存儲的存儲容量、讀取能力要求不斷提高。存儲資源池達到600000 IOPS，單臺存儲容量可擴展到PB級。

（3）網(wǎng)絡(luò)性能需求

為保證業(yè)務(wù)正常訪問，數(shù)據(jù)中心采用千兆接入，萬兆到核心。核心設(shè)備轉(zhuǎn)發(fā)性能滿足不低于50T全限速轉(zhuǎn)發(fā)，SDN控制器不低于20000個的控制通道數(shù)，滿足因業(yè)務(wù)增多對網(wǎng)絡(luò)設(shè)備和控制器的需求。

（4）安全設(shè)備性能需求

隨著越來越多的省直部門將相關(guān)業(yè)務(wù)遷移到云平臺，政務(wù)云平臺的東西向和南北向的流量越來越大，安全性要求也會隨之提高。出口安全及云平臺內(nèi)部安全設(shè)備性能整體吞吐量不低于320G。

（5）可靠性需求

政務(wù)云平臺運行著各類實時業(yè)務(wù)系統(tǒng)和非實時業(yè)務(wù)系統(tǒng)，業(yè)務(wù)系統(tǒng)必須保證無中斷運行，對支撐設(shè)備和平臺的可靠性要求越來越高。虛擬機遷移中斷時間不高于2min，不影響業(yè)務(wù)使用。

1.3 標準規(guī)范體系需求

標準規(guī)范體系建設(shè)以國家“互聯(lián)網(wǎng)+政務(wù)服務(wù)”技術(shù)體系建設(shè)指南為準則，梳理國家、省現(xiàn)有電子政務(wù)現(xiàn)有標準規(guī)范，在安徽省已有標準體系上進行完善。主要針對網(wǎng)上政務(wù)服務(wù)平臺、數(shù)據(jù)信息資源共享平臺及省電子政務(wù)外網(wǎng)云平臺建立一整套完善的標準規(guī)范體系，標準規(guī)范體系為各業(yè)務(wù)系統(tǒng)的構(gòu)建提供統(tǒng)一的技術(shù)基礎(chǔ)，為項目的實施提供統(tǒng)一的制度基礎(chǔ)，包括編碼規(guī)范、接口規(guī)范、考核規(guī)范、實施規(guī)范等。

1.4 安全保障體系需求

根據(jù)平臺需要，按照國家信息安全等級保護三級的要求設(shè)置等級保護級別，針對可能遇到的各種安全威脅和風險，采取行之有效的安全措施，形成技術(shù)先進、功能全面的信息安全保障體系，保障信息系統(tǒng)業(yè)務(wù)服務(wù)的連續(xù)性、可靠性以及信息資源的完整性、可用性。

2 省電子政務(wù)外網(wǎng)云平臺建設(shè)方案

2.1 架構(gòu)設(shè)計

2.1.1 云平臺邏輯架構(gòu)

政務(wù)云平臺總體架構(gòu)可分為五個部分：

1）基礎(chǔ)設(shè)施層。包括數(shù)據(jù)中心建設(shè)相關(guān)的計算、存儲、網(wǎng)絡(luò)、安全等基礎(chǔ)設(shè)施設(shè)備以及各自配套的虛擬化管理平臺，形成計算、存儲、網(wǎng)絡(luò)、安全資源池。

2）平臺支撐層。包括政務(wù)云業(yè)務(wù)系統(tǒng)建設(shè)所需的數(shù)據(jù)庫、中間件等相關(guān)應(yīng)用以及業(yè)務(wù)系統(tǒng)的開發(fā)、運行、集成環(huán)境。同時，在技術(shù)架構(gòu)上支持容器環(huán)境等新技術(shù)架構(gòu)。

3）云服務(wù)層。通過建設(shè)政務(wù)云服務(wù)平臺，實現(xiàn)政務(wù)云資源服務(wù)目錄的自助化交付，包括主機服務(wù)、存儲服務(wù)、網(wǎng)絡(luò)服務(wù)、安全服務(wù)、數(shù)據(jù)庫服務(wù)、中間件服務(wù)等。

政務(wù)云服務(wù)平臺提供流程管理、組織管理、分級管理、租戶管理等豐富的管理功能，滿足政務(wù)云建設(shè)、使用過程中的易用性、安全性需求。

4）云安全保障體系。從云平臺和云租戶兩個方面進行安全架構(gòu)設(shè)計，部署硬件安全、云安全軟件和安全管理平臺等設(shè)備，滿足云平臺自身架構(gòu)、租戶內(nèi)部以及不同租戶間的安全防護需要，符合國家對政務(wù)云的相關(guān)規(guī)定。

5）云運維管理體系。從數(shù)據(jù)中心運維角度出發(fā)，建立運維組織架構(gòu)、運維管理平臺、運維操作規(guī)范、云化業(yè)務(wù)遷移規(guī)范，確保業(yè)務(wù)穩(wěn)定運行。

2.1.2 云平臺組網(wǎng)架構(gòu)

云平臺依托省電子政務(wù)外網(wǎng)建設(shè)，按照電子政務(wù)外網(wǎng)區(qū)域劃分，政務(wù)云平臺分為公用網(wǎng)絡(luò)服務(wù)區(qū)和互聯(lián)網(wǎng)服務(wù)區(qū)，公用網(wǎng)絡(luò)服務(wù)區(qū)和互聯(lián)網(wǎng)服務(wù)區(qū)之間邏輯隔離，各區(qū)內(nèi)依據(jù)承載業(yè)務(wù)應(yīng)用系統(tǒng)信息安全等級保護級別的不同分出二級等保區(qū)和三級等保區(qū)，業(yè)務(wù)區(qū)通過網(wǎng)絡(luò)隔離設(shè)備進行數(shù)據(jù)交換，公用網(wǎng)絡(luò)服務(wù)區(qū)和互聯(lián)網(wǎng)服務(wù)區(qū)通過統(tǒng)一的云管理平臺進行管理。

2.2 云平臺基礎(chǔ)設(shè)施層建設(shè)

（1）計算資源池建設(shè)

本次建設(shè)計算資源池分為物理計算資源池和虛擬計算資源池，可由云平臺統(tǒng)一調(diào)度分配各計算資源。

物理計算資源池用于承載對計算性能有較高要求的應(yīng)用，如數(shù)據(jù)庫等;虛擬計算資源池用于承載重載、輕載性應(yīng)用，如各應(yīng)用系統(tǒng)web等;通過對服務(wù)器安裝虛擬化軟件完成虛擬計算資源池的搭建。對于虛擬化軟件需選用具有與大量實踐、可靠性達到電信級的國產(chǎn)虛擬化軟件，滿足政府部門對平臺安全可控、連續(xù)性等要求。虛擬化軟件還需對業(yè)務(wù)訪問流量進行感知，無須人工干預(yù)可動態(tài)調(diào)整虛擬機數(shù)量完成對業(yè)務(wù)的承載。通過虛擬化帶動態(tài)資源擴展，電信級可靠性、根據(jù)業(yè)務(wù)需求，物理服務(wù)器選擇使用高性能4路服務(wù)器，虛擬化計算資源池增加25臺物理服務(wù)器，虛擬化資源池擴建到300顆CPU，物理計算資源池擴建到70臺高性能服務(wù)器。

（2）存儲資源池建設(shè)

本次建設(shè)存儲資源池分為分布式存儲和集中式存儲兩部分。通過劃分卷的方式提供給虛擬化平臺和物理計算資源池使用。

分布式存儲規(guī)劃建設(shè)增加2IOT，采用三副本機制，可用容量達70T，通過選用5臺2路機架式服務(wù)器和分布式存儲軟件完成搭建，所有數(shù)據(jù)使用三副本的機制對數(shù)據(jù)進行安全保護，建設(shè)分布式存儲，主要用于存儲一些備份文件、虛擬機鏡像等業(yè)務(wù)的數(shù)據(jù)，同時也用于承載部分輕載虛擬機運行數(shù)據(jù)。

集中式存儲現(xiàn)網(wǎng)已有可用容量90T，通過2臺高性能獨立式存儲實現(xiàn)雙活，保證在某一臺存儲出現(xiàn)問題時可快速接管。此次建設(shè)集中式存儲容量增加100T。建設(shè)集中式存儲，主要用于存儲一些對數(shù)據(jù)讀寫速度較高、數(shù)據(jù)安全性較高的應(yīng)用，如數(shù)據(jù)庫等。

（3）網(wǎng)絡(luò)資源池建設(shè)

此次整網(wǎng)選用業(yè)界先進的VXLAN組網(wǎng)架構(gòu)，所有設(shè)備支持VXLAN網(wǎng)絡(luò)，在管理區(qū)部署SDN控制器。根據(jù)業(yè)務(wù)場景不同，靈活選用虛擬交換機或物理數(shù)據(jù)中心接入交換機接人VX-LAN網(wǎng)絡(luò)，網(wǎng)絡(luò)配置有SDN自動下發(fā)，解決多租戶隔離及IP地址重疊等問題。

存儲網(wǎng)分為FC網(wǎng)絡(luò)和IP網(wǎng)絡(luò)。FC網(wǎng)絡(luò)在存儲與服務(wù)器中間通過專用的FC交換機進行互聯(lián)，提高數(shù)據(jù)傳輸速率。IP網(wǎng)絡(luò)是為分布式存儲進行互聯(lián)及對外提供存儲組建，通過萬兆網(wǎng)絡(luò)上行到核心交換機對外提供存儲服務(wù)。

根據(jù)業(yè)界使用情況，本次選用扁平式二層網(wǎng)絡(luò)建設(shè)。整網(wǎng)選用接入千兆網(wǎng)絡(luò)，骨干萬兆網(wǎng)，核心設(shè)備選用高密行數(shù)據(jù)中心交換機，數(shù)據(jù)庫接入選用萬兆交換機，業(yè)務(wù)服務(wù)器選用高性能干兆接入萬兆上行交換機。

按照國家相關(guān)規(guī)范要求，實現(xiàn)兩張網(wǎng)絡(luò)業(yè)務(wù)網(wǎng)邏輯隔離，安全數(shù)據(jù)交換。

2.3 平臺支撐層建設(shè)

平臺支撐層在基礎(chǔ)設(shè)施基礎(chǔ)上，構(gòu)建政務(wù)業(yè)務(wù)所需的數(shù)據(jù)庫、中間件等開發(fā)環(huán)境、運行環(huán)境和集成環(huán)境。

支持的數(shù)據(jù)庫類型包括政務(wù)業(yè)務(wù)常用的Oracle、SQLServ-er、MySQL等。中間件包括緩存中間件、消息隊列中間件等。

平臺支撐層架構(gòu)上可支持容器等新技術(shù)趨勢，為未來政務(wù)業(yè)務(wù)的微服務(wù)架構(gòu)升級提供技術(shù)保障。

2.4 云服務(wù)層建設(shè)

2.4.1 政務(wù)云服務(wù)目錄建設(shè)

政務(wù)云服務(wù)平臺的建設(shè)，是為了構(gòu)建統(tǒng)一的云資源調(diào)度、分配平臺，更好地滿足政務(wù)業(yè)務(wù)系統(tǒng)的部署、優(yōu)化、升級。因此，服務(wù)目錄需盡可能包含政務(wù)業(yè)務(wù)系統(tǒng)部署、管理、運維過程中所需的基礎(chǔ)設(shè)施、數(shù)據(jù)庫、中間件等一系列軟硬件環(huán)境。政務(wù)云服務(wù)目錄設(shè)計應(yīng)至少包含如下重點云服務(wù)種類：

1）云主機服務(wù)

云主機服務(wù)是政務(wù)云平臺在基礎(chǔ)設(shè)施應(yīng)用上的重要組成部分。云主機服務(wù)能滿足各用戶維護自己的計算資源，當用戶的計算資源需求發(fā)生改變時，可以按照省政務(wù)專有云提供的資源隨時進行計算資源的提升。

2）裸金屬服務(wù)器服務(wù)

政務(wù)云服務(wù)平臺可直接向用戶提供裸金屬服務(wù)器的申請、下發(fā)，以滿足特殊接口需求、高性能需求等業(yè)務(wù)系統(tǒng)的部署、管理。

3）云存儲服務(wù)

云存儲提供塊存儲服務(wù)?？蛻艨梢酝ㄟ^客戶端/瀏覽器訪問。云存儲將網(wǎng)絡(luò)中各類存儲設(shè)備通過應(yīng)用軟件集合起來協(xié)同工作，對外提供數(shù)據(jù)存儲和業(yè)務(wù)訪問功能的一個系統(tǒng)。

4）云防火墻服務(wù)

對于省政務(wù)云，需要通過多種形式對外提供云資源的出租服務(wù)，在考慮政務(wù)云整體安全防護的同時，也要關(guān)注針對不同租戶個性化的安全防護需求，租戶的個性化安全部署可以作為云安全服務(wù)提供給用戶，在滿足用戶需求的前提下，也要達到可運維、可管理的目的。

5）云負載均衡服務(wù)

云負載均衡可以實現(xiàn)對網(wǎng)絡(luò)設(shè)備和服務(wù)器帶寬的有效擴展，充分利用多臺服務(wù)器的業(yè)務(wù)處理能力，通過合理的調(diào)度算法和健康檢查雙方，可以有效感知服務(wù)器的負載并將業(yè)務(wù)流量調(diào)度到最恰當?shù)姆?wù)器上，從而提高網(wǎng)絡(luò)的靈活性和可用性。

6）云防病毒服務(wù)

云查殺引擎，基于大數(shù)據(jù)和云計算技術(shù)，不僅掃描速度比傳統(tǒng)殺毒引擎快10倍以上，而且不再需要頻繁升級病毒/木馬庫。只要終端能夠連接云（私有，公有），就能實時與云安全數(shù)據(jù)中心無縫對接，利用服務(wù)器端的最新木馬庫對虛擬機進行掃描和查殺。而且占用系統(tǒng)資源極小，實現(xiàn)了用戶“零負擔”。

7）云備份服務(wù)

在云計算環(huán)境中，提供2類云備份服務(wù)，第一類服務(wù)是對用戶本地數(shù)據(jù)備份到云端的數(shù)據(jù)備份服務(wù);第二類服務(wù)是對用戶運行在云平臺上業(yè)務(wù)應(yīng)用及數(shù)據(jù)的備份服務(wù)。

8）云數(shù)據(jù)庫服務(wù)

基于按需即供的設(shè)計思路，向云應(yīng)用提供關(guān)系型數(shù)據(jù)庫服務(wù)，包括MySQL、MS SQL Server、ORACLE等。功能上支持數(shù)據(jù)庫的創(chuàng)建和訪問，數(shù)據(jù)庫的管理、備份和恢復(fù)，支持用戶使用客戶端軟件進行數(shù)據(jù)庫管理。

9）大數(shù)據(jù)平臺服務(wù)

支持自動化交付Hadoop、Map Reduce等大數(shù)據(jù)基礎(chǔ)環(huán)境，便于快速滿足用于政務(wù)數(shù)據(jù)分析的基礎(chǔ)資源需求。

10）云容器服務(wù)

提供容器服務(wù)，可快速將業(yè)務(wù)系統(tǒng)的運行環(huán)境進行打包，便于輕量級業(yè)務(wù)的快速部署、擴展。并為政務(wù)業(yè)務(wù)系統(tǒng)向微服務(wù)架構(gòu)升級提供技術(shù)支撐。

11）中間件服務(wù)

提供RabbitMQ、Redis等常用的中間件云服務(wù)，滿足政務(wù)業(yè)務(wù)系統(tǒng)構(gòu)建時對緩存、隊列中間件的需求。

2.4.2 虛擬數(shù)據(jù)中心（vDC）建設(shè)

虛擬數(shù)據(jù)中心（VDC）是對組織/租戶/項目所使用的虛擬資源的封裝和邊界定義，特指分配給組織的虛擬資源的集合對象，一般包括計算、存儲和網(wǎng)絡(luò)資源。組織VDC在形式和內(nèi)容上類似于一個物理數(shù)據(jù)中心，是物理數(shù)據(jù)中心在虛擬化層的形式表現(xiàn)。云平臺為租戶提供云主機、云存儲、云網(wǎng)絡(luò).云安全等虛擬基礎(chǔ)設(shè)施資源，基于這些虛擬資源，租戶可以在云平臺中構(gòu)建自己的vDC，租戶具有VDC內(nèi)云資源的完全控制權(quán)，從而保證租戶業(yè)務(wù)、數(shù)據(jù)的安全。同時各租戶的vDC彼此安全隔離，如圖2所示。

2.5 政務(wù)云大數(shù)據(jù)服務(wù)平臺建設(shè)

由于安徽省電子政務(wù)外網(wǎng)云平臺組網(wǎng)結(jié)構(gòu)分為公用網(wǎng)絡(luò)和互聯(lián)網(wǎng)兩大模塊，因此根據(jù)組網(wǎng)情況分別在兩大模塊的大數(shù)據(jù)區(qū)部署5個大數(shù)據(jù)節(jié)點，共10個節(jié)點。每個節(jié)點均包含計算、存儲能力。同時，結(jié)合云計算平臺，發(fā)揮性能最大利用率，真正實現(xiàn)“云數(shù)融合”，將大數(shù)據(jù)集群部署在云平臺之上，利用通用的開發(fā)接口，通過統(tǒng)一門戶實現(xiàn)資源的便捷運維管理，同時向上提供大數(shù)據(jù)平臺服務(wù)，詳細結(jié)構(gòu)如圖3所示。

大數(shù)據(jù)服務(wù)平臺能夠提供對應(yīng)政府異構(gòu)性比較復(fù)雜的多樣場景處理工具。如面向結(jié)構(gòu)化海量實時運算的MPP大規(guī)模分布式架構(gòu)，面向半結(jié)構(gòu)化、非結(jié)構(gòu)化離線并行處理的Hadoop、Spark，面向流處理的Storm、Kafka等。通常政府大數(shù)據(jù)各類分析主題和應(yīng)用場景紛繁復(fù)雜，為此需要政府大數(shù)據(jù)平臺能夠以融合的架構(gòu)理念，實現(xiàn)對政府應(yīng)用場景的全覆蓋，并能夠?qū)⒆钸m合的底層技術(shù)實現(xiàn)適配上層服務(wù)，做到各盡所能、協(xié)同高效。

基于大數(shù)據(jù)平臺的架構(gòu)，可以實現(xiàn)對匯聚到中心庫中的大量的信息資源進行資源目錄動態(tài)管理;對各信息資源涉及的元數(shù)據(jù)進行元數(shù)據(jù)血統(tǒng)分析、影響分析，逐步實現(xiàn)元數(shù)據(jù)的標準化;對信息資源的質(zhì)量進行管理，包含質(zhì)量規(guī)則制定、執(zhí)行、生成報告，促進數(shù)據(jù)質(zhì)量不斷提升。

大數(shù)據(jù)服務(wù)平臺還能實現(xiàn)數(shù)據(jù)綜合利用和管理，通過服務(wù)管理平臺實現(xiàn)對各類數(shù)據(jù)安全可靠的API調(diào)用;通過開放平臺實現(xiàn)數(shù)據(jù)加密、脫敏、分級授權(quán)，給社會提供數(shù)據(jù)、接口、應(yīng)用等多種形式的數(shù)據(jù)開放。通過運營監(jiān)控平臺實現(xiàn)數(shù)據(jù)API調(diào)用的綜合監(jiān)控。

參考文獻：

[1]李思甌.基于云計算的電子政務(wù)服務(wù)平臺構(gòu)建研究[D].上海：華東政法大學，2015.

[2]吳興和.湛江市電子政務(wù)云平臺構(gòu)建研究[D].長沙：中南大學，2014.

[3]楊龍剛，賈貝貝.基于IaaS的政務(wù)云平臺架構(gòu)設(shè)計與實現(xiàn)[J]數(shù)據(jù)通信，2018（5）：1-3.

[4]劉彬芳，劉越男，鐘端洋.歐美電子政務(wù)云服務(wù)安全管理框架及其啟示[J].現(xiàn)代情報，2018，38（10）：32-37.

[5]王會金，劉國城.大數(shù)據(jù)時代政務(wù)云安全風險估計及其審計運行研究[J].審計與經(jīng)濟研究，2018，33（5）：1-11.