摘要@@:通过@@对政务@@云平台@@总体架构@@、网络拓扑和@@容灾备份等关键技术的研究和@@设计@@, 给出基于@@云计算@@架构的智慧政务@@@@云平台@@的实现@@方案@@。政务@@云平台@@能够节约建设成本@@, 降低政府@@财政支出@@, 同时@@大大缩短业务上线周期@@, 减少运维难度@@。本方案已经在@@部分先进省市信息化项目中落地实施@@, 取得显著的效果和@@宝贵的实践经验@@。
一@@、前言@@
为了促进服务@@型政府@@建设@@, 推动政务@@大数据@@产业的发展@@, 满足电子政务@@@@、电子商务等信息化快速发展的需求@@, 避免信息化建设未来发展中可能出现的重复建设及信息孤岛问题@@, 将政府@@各部门建设信息系统都需要的基础设施从各自的业务应用中剥离出来@@, 集约建设@@、统一@@管理@@、按需使用@@, 形成共享@@资源池已成为当务之急@@。目前政府@@信息化建设的主要矛盾如下@@。
(1) 新建系统周期较长@@, 投资成本高@@
目前大部分政务@@系统均配置专属的服务@@器@@@@、存储@@和@@网络设备@@, 从规划@@、立项@@、采购@@、建设到交付的周期@@, 往往按年计算@@。同时@@, 由于系统独立运行@@、硬件无法共享@@@@, 资源利用率十分低下@@, 产生大量重复建设问题@@。
(2) 运营维护效率低@@, 管理成本高@@
政务@@系统硬件均通过@@单独的项目采购@@@@, 往往包括多个厂商@@, 无法做到统一@@管理@@@@。因此网管系统只能实现@@基础设施的监控@@, 无法做到告警的关联分析和@@故障的快速定位@@, 导致大部分工作依然靠人工的方式处理@@, 运维效率低下@@。
由于云计算@@技术的快速发展@@, 建设智慧的政务@@云资源池是解决以上问题的重要途径@@。
政务@@云能基于@@@@VDC (Virtual Data Center, 虚拟@@数据中心@@) 实现@@多政府@@部门@@、多业务应用的资源共享@@和@@按需服务@@@@, 通过@@云管平台@@实现@@整个云资源池的统一@@运营和@@运维@@, 达成跨区域@@、跨部门的信息共享@@@@, 满足业务不断发展和@@随时变化的需要@@。
二@@、政务@@云平台@@总体架构设计@@
政务@@云平台@@的建设是一@@个复杂@@、社会化的工程@@, 需立足于较高的建设起点@@, 以长远的眼光通盘考虑@@。政务@@云总体设计应充分考虑目前业务系统的内部整合@@, 以及资源灵活调配@@、统一@@管理@@的业务需求@@。为了完善随需应变的应用环境@@, 政务@@云平台@@的建设既要考虑技术先进性@@, 又要遵循简化@@、共享@@、标准@@、动态的原则进行@@。
(1) 采用层次@@清晰@@、结构完整@@、开放共享@@的技术支持@@框架@@, 实现@@目前条块分割@@、烟囱式的架构向统一@@@@、协同@@、开放的架构转变@@, 打造政务@@信息资源整合和@@信息交换的中央枢纽@@, 以持续@@、稳定@@、安全的架构支撑政府@@公共服务@@一@@体化@@、个性化@@、智能化@@。
(2) 各部门按照数据向上集中@@、服务@@向下延伸的建设思路@@, 充分利用电子政务@@云平台@@上的公共基础设施及政务@@应用系统@@, 建设本部门业务应用@@, 形成统一@@证书认证@@、统一@@数据中心@@、统一@@网站入口@@、统一@@安全支撑以及各应用系统互联互通的工作模式@@。
(3) 机房资源@@、网络资源@@、 (物理@@/虚拟@@) 计算存储@@资源@@、数据资源@@、软件资源@@、服务@@运营运维@@、安全管理全局共享@@@@, 并根据业务运行情况实现@@平峰错谷和@@弹性@@伸缩@@。
政务@@云总体架构设计@@如图@@@@1所示@@, 主要由基础设施层@@@@、资源管理层@@和@@云运营运维管理层@@组成@@, 另外还提供@@安全和@@灾备能力@@。
基础设施层@@:服务@@器@@、存储@@、网络等物理@@设施@@, 构成融合资源池的基础架构@@。
资源管理层@@ (虚拟@@化层@@):基于@@Open Stack统一@@管理@@主流虚拟@@化软件@@, 对计算@@、存储@@、网络等物理@@资源进行虚拟@@化@@, 提供@@统一@@的资源池和@@基础的运维能力@@。
云运营运维管理层@@:统一@@管理@@多个数据中心资源层提供@@的资源池@@, 提供@@统一@@运营和@@运维管理@@, 构建统一@@的融合资源池@@, 实现@@资源共享@@@@。
云运营运维管理层@@可以分为运维系统和@@运营系统两部分@@。
运营系统主要提供@@数据中心服务@@管理@@, 提供@@V D C服务@@、云主机服务@@@@、物理@@机@@服务@@@@、云磁盘服务@@@@、网络服务@@及应用部署@@服务@@@@。
运维系统提供@@对多数据中心的统一@@运维管理能力@@, 包括资源管理@@、告警管理@@、拓扑管理@@、性能管理以及统计报表等@@。
政务@@云基于@@云运营运维管理层@@提供@@的运营和@@运维能力@@, 匹配业务场景@@, 通过@@服务@@目录向各需求单位提供@@各类服务@@@@, 承载各部门政务@@应用@@。通过@@VDC服务@@的形式进行资源的灵活分配@@, 实现@@VDCaa S (VDC as a Service, VDC即服务@@@@) , 在@@VDC内部进一@@步通过@@云主机@@、物理@@机@@、云存储@@@@、弹性@@IP地址等服务@@提供@@自助资源发放@@, 实现@@Iaa S, 同时@@实现@@政务@@云平台@@的容灾备份@@, 保障关键业务的连续性@@。
图@@1 政务@@云总体架构设计@@
三@@、政务@@云平台@@详细网络设计@@
在@@进行网络设计前@@, 首先要根据业务系统情况@@, 对政务@@云平台@@进行安全域划分@@, 建议划分为互联网@@区@@@@、政务@@外网区@@以及专网托管物理@@分区@@, 分别承载三@@个分区的业务系统@@。在@@互联网@@区@@和@@政务@@外网区@@之间可以部署@@数据缓冲区@@@@, 实现@@跨区数据交换@@。政务@@云安全域划分设计@@如图@@@@2所示@@。
互联网@@区@@:承载政务@@直接面向互联网@@用户的业务系统资源区@@, 包括政府@@门户网站@@、网上服务@@大厅@@、市民服务@@中心等@@。
政务@@外网区@@:承载政务@@外网业务@@, 包括民政@@、工商@@、税务等各委办局专业业务@@。
专网托管区@@:承载政务@@专网中相对敏感的业务系统@@, 或一@@些不适合在@@虚拟@@化环境中运行的系统@@, 与其他区域进行完全物理@@隔离@@。
数据缓冲区@@:部署@@数据交换管理平台@@@@ (网闸或防火墙@@) , 可以对互联网@@区@@和@@政务@@外网区@@进行数据交换@@, 同时@@进行数据的清洗和@@脱敏等处理@@。
根据政务@@云平台@@的分区设计@@, 以互联网@@区@@为例@@, 进一@@步对云平台@@组网进行详细设计@@, 将区域分为核心交换区和@@业务功能区@@, 业务功能区中包括业务@@、存储@@、管理三@@个平面@@ (根据业务需求可再增加数据备份及同步平面@@) 。业务平面中@@, 包括业务区@@、测试区@@、大数据区等多个子资源池@@, 具体如图@@@@3所示@@。
图@@2 政务@@云安全域划分设计@@
在@@详细设计中@@, 核心交换区的功能主要是完成各服务@@功能分区之间数据流量的高速交换@@, 是数据中心南北向流量和@@东西向流量的交汇点@@。核心交换区主体@@采用两台核心交换机构建双网双平面架构@@, 通过@@多条链路聚合技术保证网络的高性能@@、高可靠@@。核心交换机支持@@SDN (Software Defined Network, 软件定义网络@@) 和@@Vx LAN (Virtual Extensible LAN, 虚拟@@扩展局域网@@) 等功能@@, 通过@@虚拟@@化技术实现@@多实例@@, 每个实例均拥有独立的处理能力和@@运行环境@@, 可以实现@@安全域划分和@@故障域隔离@@, 在@@提升设备资源利用率及可靠性的同时@@@@, 降低网络安全风险@@。同时@@, 核心交换区提供@@对业务流量的控制和@@优化@@, 如安全控制@@、负载分担等智能功能@@。核心交换机串联或旁挂防火墙设备@@, 实现@@访问数据中心业务的南北流量及区间互访东西流量的安全控制@@。
图@@3 互联网@@区@@详细网络设计@@
业务功能区按照业务部署@@和@@运行要求@@, 划分为业务区@@、测试区@@和@@大数据区@@, 满足不同性能要求的业务系统部署@@@@。各区可在@@存储@@设备上划分不同的存储@@池@@, 但采用相同的网络方案接入核心交换区可简化网络设计@@, 降低维护难度@@。单台机架服务@@器@@分别连接业务网络@@、存储@@网络@@、管理网络三@@个不同的网络平面@@:业务网络服务@@器@@提供@@万兆光口对接接入交换机@@, 提供@@业务数据访问网络@@, 通过@@大带宽满足业务交互和@@对外提供@@服务@@的带宽要求@@;存储@@网络@@服务@@器@@提供@@光纤接口@@, 采用光纤交换机构建独立的光纤网络@@, 实现@@SAN存储@@设备的高速访问@@;管理网络带外管理采用千兆网络@@, 接入带外管理交换机@@, 提供@@物理@@设备带外管理@@, 带内管理流量接入业务交换机@@, 通过@@VLAN与业务平面实现@@逻辑隔离@@, 通过@@链路的主备绑定@@, 提升管理网络的可靠性@@。
图@@4 政务@@云灾备设计@@
四@@、政务@@云灾备设计@@
政务@@云承载着大量政务@@系统@@, 其重要性不言而喻@@。为了保证系统的高可靠@@性@@, 可以通过@@建设双活数据中心进行异地容灾@@, 确保在@@单个政务@@云节点出现故障的情况下@@, 业务可以切换至容灾节点@@。政务@@云要实现@@双活@@, 必须在@@各个层面实现@@灾备设计@@, 具体如图@@@@4所示@@。
在@@网络层面@@, 可以通过@@部署@@@@GSLB (Global Server Load Balance, 全局负载均衡@@) 设备实现@@资源访问在@@两个政务@@云节点之间的调度@@。负载均衡设备能够对用户的访问进行智能分析决策@@, 返回给用户一@@个最佳的服务@@地址@@, 同时@@对访问应用集群的流量进行合理调度@@, 如果集群中某一@@节点不可用@@, 则将该节点移出集群@@, 把访问流量分配到其他可以正常工作的节点@@。根据业务访问模型的不同@@, 政务@@云提供@@高可靠@@的网络互联@@, 通过@@Vx LAN技术实现@@双数据中心大二@@层互通@@, 形成跨节点的双活网络@@, 允许应用集群@@、虚拟@@机跨节点部署@@@@、迁移@@, 并且进行访问路径的优化@@, 使客户端就近访问业务所在@@的政务@@云节点@@。
政务@@云上@@, 各个委办局的业务系统部署@@一@@般分为业务服务@@器@@和@@数据库服务@@器@@@@。根据业务系统对性能的不同要求@@, 业务服务@@器@@建议采用@@虚拟@@化部署@@方式@@, 数据库服务@@器@@建议采用@@物理@@机@@部署@@的方式@@。在@@应用层面@@, 可采用应用集群和@@虚拟@@机迁移@@等技术@@, 提供@@用户跨节点的高可用和@@应用访问调度能力@@, 通过@@数据@@RAC (Real Application Cluster, 真正应用集群@@) 等技术部署@@或集群方式实现@@两个数据中心间的数据库实时同步和@@双活@@。配合监听及应用程序故障转移技术@@, 数据库集群在@@服务@@器@@或单个节点出现故障时@@, 能够使客户端在@@新的连接中继续工作@@, 防止业务中断@@。
在@@存储@@双活方面@@, 可使用双写技术@@, 上层应用在@@两个政务@@云节点同时@@读写@@、存储@@, 写入数据的同时@@写入两个节点的存储@@@@, 最大程度保证数据的可靠性和@@一@@致性@@, 并且做到存储@@@@、读写时延的性能优化@@。双活存储@@镜像采用光纤互联@@, 两政务@@云节点相距@@25km以内可采用裸光纤直连@@, 如果距离超过@@25km, 建议使用@@OTN (Optical Transport Network, 光传送网@@) 波分设备构建两数据中心的同城网络@@。部署@@OTN波分设备时@@, 建议采用@@1+1主备线路双发选收的方式@@, 提供@@物理@@链路的高可靠@@性@@, 一@@条裸光纤中断时@@, 另一@@条裸光纤可马上恢复业务流量@@, 切换时上层网络及应用无感知@@。
结合应用双活和@@存储@@双活@@, 可以推动智慧政务@@@@云实现@@最高级别的业务连续性@@, 确保业务系统设备出现故障@@, 甚至单数据中心出现故障时@@, 业务无感知并自动切换@@, 实现@@RPO (Recovery Point Objective, 恢复点目标@@) =0、RTO (Recovery Time Objective, 恢复时间目标@@) ≈0。
五@@、结束@@语@@
通过@@政务@@云的建设@@, 大大降低政府@@部门的信息化投资风险@@, 提高业务上线速度@@, 同时@@能够对多个政务@@系统的基础设施进行统一@@规划@@、统一@@管理@@、按需使用@@和@@资源共享@@@@。政务@@云还通过@@全方位的网络安全和@@容灾备份设计@@, 提高业务系统的风险抵御能力@@, 确保政府@@对外服务@@的不间断性@@, 为政府@@的服务@@转型奠定良好的基础@@。同时@@, 政务@@云是智慧城市@@发展的重要一@@环@@, 政务@@云结合物联网@@、大数据等关键技术@@, 向下实现@@城市发展更泛在@@的互联@@, 向上实现@@政务@@数据更智能化@@的分析@@, 这是下一@@步重点研究的方向@@。
作者@@:中国电信上海分公司@@ 赵彦杰@@ 郑鸿飞@@
