铁路云平台国产化适配方案研究_刘佳.pdf

2023 年 2 月第 59 卷 第 2 期铁 道 通 信 信 号Railway Signalling&CommunicationFebruary 2023Vol.59 No.2铁路云平台国产化适配方案研究刘佳，高洋，安婷玉，安琪摘 要：铁路云平台的国产化改造是维护铁路上层业务应用系统信息安全、实现自主可控的必然要求。分析了铁路云平台国产化改造的现状和需求，研究了铁路云平台国产化适配方案，提出了评估规划和技术准备、测试验证与迁移实施、运行验证与正式上线3个阶段实施流程，并针对基于ARM架构的飞腾芯片服务器和麒麟操作系统，总结了适配迁移重点过程，进行了主机高可用模块部署和安全加固。铁路云平台经测试验证、试运行后正式上线，为下一步应用系统在铁路云平台下向国产化平滑迁移，提供可行的环境支撑。关键词：铁路；国产化；适配；云平台；高可用中图分类号：U285.4 文献标识码：A Research on Localization Adaptation Scheme of Railway Cloud PlatformLIU Jia,GAO Yang,AN Tingyu,AN QiAbstract：The localization transformation of the railway cloud platform is an inevitable requirement for maintaining the information security of the upper business application system and achieving autonomy and controllability.This paper analyzes the current situation and needs of the localization and transformation of the railway cloud platform,studies the adaptation scheme of the localization of the railway cloud platform,proposes a three-stage implementation process of evaluation planning and technical preparation,test verification and migration implementation,operation verification and official launch,and summarizes the key process of adaptation and migration for the Phytium chip server and Kylin operating system based on ARM architecture,and carries out the deployment and security reinforcement of host high availability modules.The railway cloud platform is officially launched after test verification and trial operation,providing a feasible environment support for the smooth migration of the next application system to localization under the railway cloud platform.Key words：Railway；Localization；Adaptation；Cloud platform；High-availability刘佳：中铁信弘远（北京）软件科技有限责任公司 助理工程师 100866 北京高洋：中铁信弘远（北京）软件科技有限责任公司 高级工程师 100866 北京安婷玉：中铁信弘远（北京）软件科技有限责任公司 助理工程师 100866 北京安琪：中铁信弘远（北京）软件科技有限责任公司 助理工程师 100866 北京基金项目：中国铁路信息科技集团有限公司科技研究开发计划重大课题（KGZG-CKY-2020006（2020A04）收稿日期：2022-10-13DOI：10.13879/j.issn.1000-7458.2023-02.22338扫码浏览下载41铁道通信信号 2023年第59卷第2期近年来，我国铁路信息化飞速发展，已逐步建成了庞大的对内、对外生产服务的信息网络，打造了涵盖铁路各领域的业务系统1。在铁路主数据中心，建成了全国统一的铁路信息化基础设施云平台，实现了绝大部分业务应用系统向云计算架构的迁移，这对于解决信息化发展瓶颈问题，降低重复建设投资，实现节能环保，以及更加高效、稳定、安全和可靠地服务信息化应用等方面，发挥了重要作用2-3。1研究背景面对国际安全形势的日益严峻，在信息化快速发展的同时，国产化及网络安全自主可控需求愈加凸显，国产化替代工作势在必行4-5。铁路作为国民经济的大动脉，其信息系统承载着大量的铁路业务数据、公民个人信息等，一旦遭到破坏并影响正常使用，将对国家安全、经济稳定和公众安全产生重要影响6。随着铁路云平台上层信息系统面临的网络安全威胁，以及底层基础软硬件技术封锁风险的不断攀升，铁路云平台国产化改造迫在眉睫。铁路云计算平台在建设初期就考虑到底层技术的自主可控，为了避免出现完全依靠国外技术的情况，选择了自主研发云平台技术与成熟商业产品异构统管的技术方案7。其中，自主研发架构是以铁信云产品为核心，正式生产运行情况良好。然而，铁信云产品受整体技术条件限制，其服务器、CPU、操作系统等核心组件仍然受国外技术垄断控制，无法完全实现自主、可控的目标。因此，需将铁路云平台自研技术向国产体系迁移适配，屏蔽底层不同的技术路线对应用系统带来的影响，进一步提升铁路信息化基础设施的安全可控性。2现状分析2.1铁路云平台铁路云平台规划包括基础设施服务层（IaaS）和平台服务层（PaaS），目前已完成IaaS层建设和部署，并稳步推进PaaS层研发工作。铁路云平台以OpenStack架构为基础，实现对计算资源池、存储资源池和网络资源池的统一管理和调度，为信息系统应用部署提供基础资源服务。铁路云平台整体架构见图1。2.2总体需求1）铁路主数据中心的建设发展应坚持走国产化之路，要对铁路云平台的国产化需求进行评估，在云平台基础软硬件方面实现国产化适配。2）铁路云平台国产化替代工作需满足安全技术路线。无缝迁移既有云平台历史数据，在确保数据安全性和完整性的基础上，保障平台安全合规。3）铁路云平台国产化替代工作需严谨、可靠、稳定、规范。在技术路线选择时，按照技术先进、自主可控的原则，统筹考虑知识产权自主程度、技术发展性、生态可扩展性、稳定性及可靠性等，选择适配程度深、稳定性好的技术路线，避免出现兼容性和影响运行效率问题；同时，充分利用原有云平台建设成果，避免资源重复投入，保证发展的连续性。Dashboard门户优化VNC优化用户门户Dashboard门户优化管理员门户缓存服务数据库服务云引擎（PaaS）应用容器服务大数据服务计算管理云基础设施服务（IaaS）块存储管理对象存储管理资源计量虚拟机监控资源自动伸缩网络管理安全认证资源编排资源管理物理机监控硬件存储管理网络QoS自定义镜像云主机HA存储HA网络HA访问安全异地备份超融合异构存储纳管SDN硬件硬件加速负载均衡Ceph分布式文件系统Ceph加固及调优存储虚拟化虚拟交换机 虚拟路由器网络虚拟化QUME/KVMVMware物理机虚拟化计算虚拟化VLAN/VXLANVPN图1 铁路云平台整体架构42Railway Signalling&Communication Vol.59 No.2 20233适配过程铁路云平台国产化迁移适配可分为评估规划和技术准备、测试验证与迁移实施、运行验证与正式上线3个阶段，包括盘点评估、迁移准备、实验验证、业务切换、试运行、上线运维等6个环节。3.1评估规划和技术准备3.1.1盘点评估对铁路云平台进行调研盘点，全面梳理云平台的建设使用情况，包括全栈软硬件、运行环境等。针对铁路云平台国产化替代需求，CPU应覆盖x86和 ARM 2 条技术路线；操作系统可选 OpenEuler技术路线，对应麒麟操作系统。3.1.2迁移准备选择飞腾 CPU S2500 服务器，XSKY XEDP国产分布式存储平台，Kylin V10 SP2 操作系统。按照尽可能接近最终生产环境的原则，搭建铁路云平台迁移验证所需的基础设施、运行环境等实验环境。成立项目小组，制定项目计划和项目组织管理方案。3.2测试验证与迁移实施3.2.1操作系统适配目前，铁路云平台基于OpenStack构建，云平台服务部署在容器中，需要在飞腾CPU服务器上适配麒麟操作系统。主要工作如下。1）镜像依赖包构建。整理铁路云平台所有依赖包的包名和版本列表，涉及基础镜像依赖包、云平台依赖包、宿主机依赖包等。经统计，铁路云平台使用到的依赖包共计 1 000 余个需要进行替代。2）build-hci与kolla-ansible项目兼容适配。铁路云平台的安装和部署用到build-hci与kolla-ansible项目，考虑到与麒麟操作系统的兼容性，需要进行修改设计，完成包的安装与卸载，以及麒麟操作系统的兼容、存储适配等工作。3）虚拟机镜像制作及云插件适配。重新制作虚拟机使用的麒麟版本镜像，对制作镜像使用到的云插件，如cloud-init、qga等做相应适配8。4）云平台验证。以上每一步的操作均需要在国产化架构下验证，验证内容包括云平台虚拟机创建、调整配置、冷迁移、热迁移等重要功能。3.2.2对接存储目前，铁路云平台采用RedHat Ceph存储，需要与国产分布式存储平台 XSKY XEDP 进行适配对接。主要工作如下。1）环境检查及初始化配置。环境检查包括检查服务器各节点之间管理网络、存储集群对外网络、存储集群内部网络间互通状态，以及服务器时间等。初始化配置包括配置XSKY集群所有节点与OpenStack所有节点双向免密，存储集群与 OpenStack 集群的时钟同步，及将OpenStack集群的IP与主机名添加到存储集群节点的 hosts 解析文件中等。2）存储集群安装。安装产品和产品许可并激活，确认集群信息和账户信息。3）网关节点配置。对接XSKY XEDP存储平台，需要将待部署的云平台节点添加为XSKY XEDP 块设备网关节点。XSKY 可采用可视化部署，通过存储管理界面，添加OpenStack节点访问网关服务器（块存储网关角色），并获取存储池pool与ceph.conf配置文件。4）部署云平台。执行云平台部署脚本 install_cloud.sh，并初始化云环境。3.2.3部署主机高可用模块当前铁路云平台在生产使用过程中，会出现服务器故障导致关机或重启的情况。当服务器出现故障时，运行在服务器上的云主机也会受到相应影响导致业务中断，因此需引入主机高可用模块，在服务器发生故障时，可以自动地将云主机疏散到其他节点上运行9。主机高可用模块包括主机高可用 API 服务（FDI）、主机高可用管理服务（FDM）和主机高可用代理服务（FDA）。FDI、FDM、FDA服务运行部署见图2。FDI 和 FDM 服务运行在主控节点上。其中，FDI服务为主机高可用模块提供API服务；FDM负责所有主机高可用集群的监控与虚拟机疏散任务；FDA服务运行在每个计算节点主机上，负责检查计算节点主机的状态。FDM与FDA之间通过管理网发送管理心跳，采用写存储对象的方式更新存储心跳。3.2.4安全加固安全加固内容大致可分为以下7类。1）系统服务相关。KSM（Kernel Samepage Merging）是内核中的一种内存共