鋼鐵制造企業(yè)混合云架構(gòu)應(yīng)用研究

賴 成

（上海寶信軟件股份有限公司，上海 201900）

近年，中國制造2025、智慧制造等新名詞出現(xiàn)在各大媒體，越來越耳熟能詳。鋼鐵行業(yè)作為傳統(tǒng)制造的典型代表，如何適應(yīng)時代發(fā)展的要求實現(xiàn)智慧制造、個性化生產(chǎn)，這是一個全新的命題，意味著鋼鐵生產(chǎn)從業(yè)務(wù)端、生產(chǎn)端到IT基礎(chǔ)架構(gòu)端都需要自規(guī)模擴張轉(zhuǎn)變?yōu)槿嵝灾圃?，從重產(chǎn)量轉(zhuǎn)向重質(zhì)量。生產(chǎn)方式的改變對信息化建設(shè)提出了新的要求，傳統(tǒng)“豎井式/煙囪式”的IT架構(gòu)已經(jīng)無法適應(yīng)快速生產(chǎn)的要求，必須進行全方位的創(chuàng)新，提升企業(yè)應(yīng)對不確定性的能力。

在鋼鐵客戶中，擁抱云計算是近幾年IT基礎(chǔ)架構(gòu)轉(zhuǎn)型的重要內(nèi)容，各大型鋼鐵企業(yè)轉(zhuǎn)型初期通常是將子公司機房“各自為政”模式轉(zhuǎn)變?yōu)榻ㄔO(shè)私有云模式。在探索中，我們發(fā)現(xiàn)，不同鋼鐵信息化系統(tǒng)的響應(yīng)時間、彈性擴展能力要求各不相同，數(shù)據(jù)共享、網(wǎng)絡(luò)安全與運營管控需求也不同。單純依靠私有云難以適配日益變化的系統(tǒng)。

1 需求分析

對于大型鋼鐵企業(yè)而言，除底層基礎(chǔ)自動化系統(tǒng)外，通常將信息化系統(tǒng)分為經(jīng)營管理層、制造管理層與生產(chǎn)執(zhí)行層，不同層次負責(zé)不同的業(yè)務(wù)內(nèi)容，如下圖所示。

經(jīng)營管理層位于較高的層次，往往覆蓋企業(yè)全局，通常包括電商、協(xié)同辦公、人力資源、財務(wù)管理、采購管理等，適合集中化部署，供企業(yè)全局進行訪問；部分應(yīng)用如鋼鐵電商屬于互聯(lián)網(wǎng)類應(yīng)用，彈性要求高，資源變動性強。

制造管理層屬于制造管理單元，包括質(zhì)量管理、計劃管理、出廠管理、成本管理等；生產(chǎn)執(zhí)行層和過程控制層屬于執(zhí)行單元，可能包括鐵區(qū)L3、煉鋼L3、冷軋L3、過程控制L2、檢化驗L2、行車定位系統(tǒng)等，這些業(yè)務(wù)流程和鋼鐵生產(chǎn)線緊密關(guān)聯(lián)，它的及時響應(yīng)直接決定了現(xiàn)場生產(chǎn)效率和安全，適合配合產(chǎn)線進行屬地化部署。

2 整體設(shè)計

針對大型鋼鐵企業(yè)不同系統(tǒng)在訪問方式、時延效率、彈性伸縮要求方面的不同，運用單一的企業(yè)私有云架構(gòu)存在各種挑戰(zhàn)。企業(yè)私有云的本質(zhì)是用云技術(shù)完成傳統(tǒng)集成、運維建設(shè)，其“云”資源是相對有限的，也無法規(guī)避傳統(tǒng)集成在立項、可研、設(shè)備采購方面的耗時及機房容量設(shè)計方面的挑戰(zhàn)，難以全面匹配新型鋼鐵“智慧制造”在業(yè)務(wù)快速響應(yīng)方面的要求。如果采用擴展能力強大、方便快捷的公有云，鋼鐵產(chǎn)線的私密性、低延時要求又難以滿足。

結(jié)合業(yè)界云計算發(fā)展趨勢及鋼鐵生產(chǎn)數(shù)據(jù)安全、運維保障等多方面要素，建議可因地制宜采取公有云、私有云相混合，即混合云的方式進行IT基礎(chǔ)平臺建設(shè)。

混合云，顧名思義，是“云和云的混合”，最常見的形態(tài)是公有云和私有云的混合,本文重點討論這一類。混合云的出現(xiàn)消除了單一私有云和公有云的痛點。針對不同的業(yè)務(wù)特性，可將不同的系統(tǒng)部署在不同的云環(huán)境里，按需混合，這樣有效降低了綜合建設(shè)成本、提升了IT平臺的擴展性及靈活性。

一個基本的混合云架構(gòu)示意圖如圖2所示。

圖1 傳統(tǒng)鋼鐵制造主要信息化系統(tǒng)示意圖

圖2 混合云基本架構(gòu)示意圖

根據(jù)“集約化、共享化”的原則和“安全性、靈活性”的方向，混合云建設(shè)通常包含以下幾個內(nèi)容：

（1）整體架構(gòu)設(shè)計：針對鋼鐵企業(yè)關(guān)注點、IT預(yù)算確定混合云的設(shè)計原則、混合比例以及總部、各子公司如何入云等。

（2）混合云基礎(chǔ)架構(gòu)設(shè)計：主要包括私有云、公有云、混合云管理三方面。私有云設(shè)計重點包括機房、主機、存儲、網(wǎng)絡(luò)、安全等方面設(shè)計。公有云設(shè)計包括公有云服務(wù)商選擇、公有云資源（包括主機資源、網(wǎng)絡(luò)資源、安全資源等）、IT架構(gòu)設(shè)計?；旌显乒芾碇饕婕百Y源調(diào)度、多維度監(jiān)控、數(shù)據(jù)備份、智慧運理、安全管控等。

（3）數(shù)據(jù)共享平臺設(shè)計：包括共享接口、數(shù)據(jù)湖、大數(shù)據(jù)平臺等。

（4）云災(zāi)備方案（可選）：包括災(zāi)備等級、災(zāi)備需求及建設(shè)依據(jù)、災(zāi)備實施與演練等。

（5）云遷移設(shè)計（可選）：包括數(shù)據(jù)遷移、停機計劃等。

（6）運維管理體系設(shè)計：混合云架構(gòu)下的IT管理部門架構(gòu)和智能、IT運營制度、IT運維手冊等。

鋼鐵制造企業(yè)混合云主要價值點如下：

2.1 整體架構(gòu)優(yōu)化，實現(xiàn)鋼鐵企業(yè)IT基礎(chǔ)設(shè)施資源整合

公有云和私有化各有優(yōu)勢，公有云具有敏捷、按需獲取、成本較優(yōu)、資源擴充能力強、云產(chǎn)品豐富的特點，但是需通過較長的鏈路訪問，難以適配低延時類應(yīng)用要求；私有云具有容量有限、建設(shè)周期長、一次性投入多、產(chǎn)品較為單一等不足，但是通過鋼鐵園區(qū)主干網(wǎng)訪問，能夠適應(yīng)屬地鋼鐵生產(chǎn)中心低延時響應(yīng)要求。

混合云設(shè)計的整體原則是：通過公有云整合互聯(lián)網(wǎng)類、管控類系統(tǒng)，通過私有云部署屬地制造類、園區(qū)類系統(tǒng)，實現(xiàn)IT基礎(chǔ)架構(gòu)資源的最佳組合，提高運營效率，降低運營成本。根據(jù)該原則，混合云中，分別適合部署在公有云和私有云的系統(tǒng)類型如下。

?

2.2 資源數(shù)據(jù)共享，實現(xiàn)鋼鐵企業(yè)IT數(shù)據(jù)資源的融合

私有云、公有云融合后，其強大的組合優(yōu)勢與豐富的容納性幾乎可以適配鋼鐵企業(yè)所有的信息化系統(tǒng)。通過私有云與公有云之間的連接線路（裸纖、專線或者IPSec VPN）可以將各類數(shù)據(jù)進行有效的融合貫通。在數(shù)據(jù)大融合后，可借助公有云強大的大數(shù)據(jù)與AI能力，根據(jù)業(yè)務(wù)需求進行數(shù)據(jù)挖掘與分析，有效進行整合后數(shù)據(jù)的分析利用，將數(shù)據(jù)價值最大化，為企業(yè)高層決策提供大數(shù)據(jù)云計算支撐。

2.3 安全架構(gòu)提升，實現(xiàn)鋼鐵企業(yè)安全防護能力的優(yōu)化

混合云安全防護體系可充分考慮公有云豐富的安全資源與私有云私密的安全架構(gòu)，將公有云安全資源與私有云安全組件適配組合，實現(xiàn)整體安全架構(gòu)的提升，從而提升鋼鐵企業(yè)應(yīng)對安全風(fēng)險的能力。

3 建設(shè)方案

以大型鋼鐵企業(yè)主要信息化系統(tǒng)為例進行混合云的方案設(shè)計，包括混合云云管理平臺、私有云、公有云、混合云部署。

3.1 混合云云管理平臺設(shè)計

混合云云管理平臺不同于一般的云管平臺，它一方面要承接好私有云的資源管理、監(jiān)控管理、運維管理，另一方面要將公有云統(tǒng)一納管，提供一體化的訪問入口。同時，對二者連通的線路通道也需要進行線路帶寬與質(zhì)量的監(jiān)測。云管平臺基于私有云Hypervisor層、Agent程序、設(shè)備廠商提供的接口可進行虛擬機資源、存儲資源、網(wǎng)絡(luò)及安全資源的監(jiān)控與管理，基于公有云提供的調(diào)用接口、Agent程序可查詢公有云虛擬機資源及運行狀況。云管理平臺主要包括多維監(jiān)控、資源調(diào)度、智慧運維、安全管控幾個子系統(tǒng)。

多維監(jiān)控是云管平臺的哨兵和探針，既要負責(zé)監(jiān)視私有云、公有云（租用資源）內(nèi)的風(fēng)吹草動，還要為日后的趨勢分析存儲監(jiān)控數(shù)據(jù)。資源調(diào)度是云管平臺資源大主管，在資源配置庫中統(tǒng)籌管理物理資源和虛擬資源，當(dāng)某一資源出現(xiàn)故障時，可快速查詢到與其相關(guān)聯(lián)的虛擬機、網(wǎng)絡(luò)、安全、軟件等受影響內(nèi)容。智慧運維是運維事件的電子化處理平臺，記錄、跟蹤事件處理過程及問題、變更處理過程，它與多維監(jiān)控想聯(lián)動，一旦監(jiān)測到異常，多維運維既會進行預(yù)警判斷，并通過標(biāo)準(zhǔn)運維管理流程進行運維處置。安全管控負責(zé)整個云環(huán)境內(nèi)的安全事件管理及安全態(tài)勢感知，做好安全團隊與云環(huán)境的安全管理接口。

3.2 私有云設(shè)計

私有云設(shè)計如下：

機房：可遵照《電子信息系統(tǒng)機房設(shè)計規(guī)范》進行建設(shè)，通常參考B級標(biāo)準(zhǔn)。機房內(nèi)容包括地理位置、機房結(jié)構(gòu)、電力資源、冷卻方式、綜合布線、電力調(diào)度、動力監(jiān)控、消防預(yù)警等。高規(guī)格、綠色環(huán)保的數(shù)據(jù)中心機房具有較低的PUE值，可大量節(jié)省運營成本中電費的支出。

主機平臺：私有云主機平臺為資源池架構(gòu)，可包括物理主機資源池和虛擬機資源池，虛擬機資源池內(nèi)通常為1備N的冗余架構(gòu)，既1臺物理主機出現(xiàn)問題后，可將該主機上的虛擬機遷移到剩余N臺主機的一臺或多臺上。

存儲平臺：私有云存儲平臺主流技術(shù)主要包含兩類，一類為SAN或NAS磁盤陣列設(shè)備，另一類為超融合架構(gòu)。SAN或NAS磁盤陣列優(yōu)勢為架構(gòu)穩(wěn)定、I/O性能較好，通常配置多臺磁盤陣列互為冗余以避免單點故障；缺點是性能調(diào)整不便，可能估算不足導(dǎo)致采購的磁盤陣列檔次過低無法滿足業(yè)務(wù)需要或者性能過高造成浪費。超融合架構(gòu)可將多臺X86設(shè)備通過超融合技術(shù)“虛擬”出存儲資源池，優(yōu)勢為擴容靈活方便，增加X86設(shè)備節(jié)點即可增長存儲資源；缺點是超融合軟件的穩(wěn)定性對數(shù)據(jù)存儲影響較大，升級維護工作量較大。備份平臺也是存儲平臺的主要功能之一，可選擇相對低端的磁盤作為備份存儲介質(zhì)。

圖3 鋼鐵混合云拆分示意圖

網(wǎng)絡(luò)平臺：根據(jù)訪問類型，云平臺網(wǎng)絡(luò)常分為業(yè)務(wù)網(wǎng)、管理網(wǎng)、存儲網(wǎng)幾類，為避免數(shù)據(jù)干擾，三類網(wǎng)段通過網(wǎng)絡(luò)虛擬化或物理隔離方式建設(shè)，同時，網(wǎng)絡(luò)平臺設(shè)計時需要實現(xiàn)多租戶隔離，保證不同租戶間的“東西向”網(wǎng)絡(luò)隔離。根據(jù)網(wǎng)絡(luò)區(qū)域，云平臺網(wǎng)絡(luò)可分為互聯(lián)網(wǎng)接入?yún)^(qū)、專線接入?yún)^(qū)、核心區(qū)等，專線接入?yún)^(qū)為混合云的重要區(qū)域，通過該區(qū)域的路由器設(shè)備實現(xiàn)私有云與外部（公有云、運營商等）的互通，連通方式為裸光纖、專線、IPSEC VPN等。

安全平臺：等級保護是鋼鐵企業(yè)安全設(shè)計時很好的操作指南，可以根據(jù)不同安全等級要求對各個層面進行安全設(shè)計及防護。最基礎(chǔ)的安全手段為安全子域隔離，可劃分為互聯(lián)網(wǎng)區(qū)、DMZ區(qū)、Trust區(qū)等。應(yīng)用安全可采用WEB防火墻、網(wǎng)頁防篡改、SSL安全網(wǎng)關(guān)；主機安全可采用服務(wù)器深度防護、安全威脅發(fā)現(xiàn)等；網(wǎng)絡(luò)層安全可采用防火墻、入侵檢測、SSL VPN、防毒墻、帶寬管理等。

3.3 公有云設(shè)計

私有云引入公有云構(gòu)建為混合云后，具有幾大優(yōu)勢：

（1）應(yīng)對容量問題：私有云的容量往往很難預(yù)估到位，引入公有云后，可規(guī)避這一設(shè)計風(fēng)險，如有超預(yù)期部分可通過公有云進行應(yīng)對。公有云、私有云相互之間的分擔(dān)比例可根據(jù)實際需要在項目過程中靈活調(diào)整。

（2）降低綜合成本：公有云一次性資金投入遠遠低于私有云，資金由一次性投入轉(zhuǎn)換為按需租用，綜合成本得到了降低。

（3）縮短建設(shè)周期：在項目建設(shè)早期，私有云未建設(shè)完成時，通過公有云即可應(yīng)對開發(fā)、測試需求，同步進行私有云建設(shè)。私有云建設(shè)完成后，再按照整體規(guī)劃調(diào)整混合云中的功能分擔(dān)比例，縮短項目建設(shè)周期。

（4）提升運維水平：公有云對于使用者來說，一定程度屏蔽了運維的工作，降低了用戶的運維工作量，有利于在運維人數(shù)一定的情況下，可管理更多的系統(tǒng)。

（5）快速構(gòu)建災(zāi)備：災(zāi)備作為“再保險”，在主環(huán)境不出現(xiàn)問題時，其價值近似為零。通過公有云進行災(zāi)備建設(shè)，按需租用有限的資源，可節(jié)約較大的建設(shè)投資。

（6）增強安全防護：對于部分互聯(lián)網(wǎng)類業(yè)務(wù)，在面對互聯(lián)網(wǎng)安全風(fēng)險時，引入公有云豐富的安全防護手段，有利于分解風(fēng)險，借助公有云服務(wù)商的專業(yè)安全能力增強安全防護能力。

需要強調(diào)的是，公有云設(shè)計之初首先需明確針對自身企業(yè)，引入公有云擬解決的問題，而后再根據(jù)不同公有云的特性選擇合適的公有云服務(wù)商及公有云資源，如擬通過公有云增強安全防護，可選擇安全防護領(lǐng)域較強的云服務(wù)商及其BGP帶寬、DDOS防護、安全態(tài)勢感知、WAF等云資源。

3.4 系統(tǒng)混合部署設(shè)計

針對鋼鐵集團型企業(yè)，對子公司屬地制造系統(tǒng)可部署私有云，對總部既包含管控類系統(tǒng)又包含制造類系統(tǒng)的，可將管控類系統(tǒng)部署在公有云，將與制造、園區(qū)強相關(guān)系統(tǒng)部署在私有云。針對圖3所示傳統(tǒng)鋼鐵制造主要信息化系統(tǒng)，試做混合云拆分如下圖所示。

公有云部署協(xié)同辦公、人力資源、知識共享、鋼鐵電商系統(tǒng)等，同時可部署災(zāi)備云。私有云部署物流管控、財務(wù)管理、質(zhì)量管理、合同管理、產(chǎn)線L3類系統(tǒng)等。子公司屬地制造系統(tǒng)可在各屬地進行私有云建設(shè)，公有云與私有云之間通過專線連接。

由于不同鋼鐵企業(yè)信息化程度、管控方式不盡相同，對混合云的接受程度不一致，具體拆分可因地制宜，根據(jù)企業(yè)實際情況進行。

4 結(jié)語

上述混合云方案已經(jīng)在部分鋼鐵企業(yè)進行試點建設(shè)，為鋼鐵企業(yè)經(jīng)營決策系統(tǒng)、制造管理系統(tǒng)等提供了敏捷、高效、穩(wěn)定的IT基礎(chǔ)平臺，高開放性、靈活性的公有云和私密性、穩(wěn)定性的私有云優(yōu)勢互補，提供了較優(yōu)的鋼鐵企業(yè)IT基礎(chǔ)架構(gòu)方案，具有良好的推廣及應(yīng)用價值。未來，伴隨混合云云管理平臺的日益成熟，云間互聯(lián)成本的進一步降低，混合云必將進一步為更多企業(yè)所采納，更多地支撐鋼鐵企業(yè)運營。