基于融合架构的政务云升级改造解决方案.pdf

2 0 2 4年2期2 0 3 2 0 2 4年第4 6卷第2期基于融合架构的政务云升级改造解决方案孟海军 崔新龙作者简介:孟海军(1 9 8 4-),本科,通信中级工程师,研究方向为信息通信、网络安全、云计算和大数据技术;崔新龙(1 9 9 1-),本科,通信中级工程师,研究方向为信息通信、网络安全、云计算和大数据技术。(内蒙古自治区邮电规划设计院有限公司 呼和浩特0 1 0 0 7 0)摘 要 为适应信息技术的发展和业务需求的增长,针对当前建设的政务云存在的各种问题,文中提出了一种基于融合架构的政务云升级改造解决方案,实现了政务云的架构升级、信创升级、网络升级、安全升级以及服务升级,为政务云升级改造提供了一种新的思路。关键词:政务云;虚拟化;自主可信;融合架构中图分类号 T P 3 0 8G o v e r n m e n tC l o u dU p g r a d i n gS o l u t i o nB a s e do nC o n v e r g e dA r c h i t e c t u r eME N G H a i j u na n dC U IX i n l o n g(I n n e rM o n g o l i aA u t o n o m o u sR e g i o nP o s t a n dT e l e c o mm u n i c a t i o n sP l a n n i n ga n dD e s i g nI n s t i t u t eC o.,L t d.,H o h h o t 0 1 0 0 7 0,C h i n a)A b s t r a c t I no r d e r t o a d a p t t o t h ed e v e l o p m e n t o f i n f o r m a t i o n t e c h n o l o g ya n d t h eg r o w t ho f b u s i n e s sn e e d s,i nv i e wo f t h ev a r i o u sp r o b l e m se x i s t i n g i nt h ec u r r e n t c o n s t r u c t i o no fg o v e r n m e n t c l o u d,t h i sp a p e rp r o p o s e sas o l u t i o nf o r t h eu p g r a d ea n dt r a n s f o r m a t i o no fg o v e r n m e n tc l o u db a s e do nt h ef u s i o na r c h i t e c t u r e,w h i c hr e a l i z e st h ea r c h i t e c t u r eu p g r a d e,X i n-c h u a n gu p g r a d e,n e t w o r ku p g r a d e,s e c u r i t yu p g r a d ea n ds e r v i c eu p g r a d eo fg o v e r n m e n tc l o u d,p r o v i d i n gan e w w a yo ft h i n k i n gf o r t h eu p g r a d ea n dt r a n s f o r m a t i o no fg o v e r n m e n t c l o u d.K e y w o r d s G o v e r n m e n t c l o u d,V i r t u a l i z a t i o n,I n d e p e n d e n t c r e d i b i l i t y,C o n v e r g e da r c h i t e c t u r e0 引言自政务云开始建设至今,我国政务云的发展大体经历了培育、创新、普及3个发展阶段。在实践创新中,我国政务云建设成绩显著,有效推动了资源集约、数据共享和业务协同。当前,政务云正从物理资源集中化的建设模式逐步进入“数据集中融合,业务应用创新”建设模式的新时期,随着我国信息技术应用创新的不断发展、国家自主可控和信创适配战略的推动,基于自主开发并适配国产C P U技术架构和国产操作系统等自主可靠技术及设备的政务云将成为未来电子政务云的主要趋势。因此,如何能既保护现有投资,满足当前业务需求,又能融合演进,满足新增业务需求,成为一个亟需解决的问题1。1 研究内容及存在问题某市现有政务云建设于2 0 1 6年,目前已安全运营6年,提供X 8 6资源服务,承载着全市政务和公共服务业务的运行。其应用平台为华为F u s i o n 5.0和F u s i o n 8.0两个版本的虚拟化平台,采用了当时最先进的私有云虚拟化技术。当前,政务云平台的问题越来越突出,如虚拟化技术存在性能瓶颈、可扩展性限制、安全性难题等问题;不支持动态资源分配及回收机制,存在申请资源浪费,使用率低的问题;运维监控能力不足,分配资源实际使用情况统计不方便的问题;只支持I a a S层服务,无法满足逐渐增多的P a a S层和S a a S层服务需求的问题;随着国产信创云平台的独立建设、独立管理,造成了异构资源分散、无法统一管理的问题。为解决以上问题,需要探索更先进、更适应新场景的技术,如容器化、边缘计算、分布式系统等。这些新技术能提供更高的性能、更好的可扩展性和更强的安全性,以便更好地支持政务云平台的发展和运行。2 升级改造目标基于融合架构,兼容异构资源,统筹推动政务云建设工作,结合当地大数据中心发展定位,支撑当地政务应用未来35年的政务业务发展需要,在现有信创云基础上,充分利用现有的可用资源,建设云平台,满足国产信创、通用服务资源扩容的“混合式”一体化统筹规划部署,通过“一个中心云”实现对国产化资源、通用服务资源的统一管理和服务,实现统一纳管及资源配置。同时,实现重要业务系统“云、数、网、端、边”一体化、同城备份和异地灾备“一云纳管”、政务云资源数据统筹监测管理、信息安全及密码资源合规合法等,为当地政务创新发展做好新智慧底座支撑。2 0 4 2 0 2 4年2期3 总体架构及平滑演进3.1 逻辑架构在统一云平台管理与服务功能上,接入现政务云虚拟化平台,并统一进行云平台纳管。通过将现有信创云(虚拟化平台)设备融合于云平台,并根据业务需求规划,在云平台内扩容弹性云主机资源服务,并进行统一的云平台纳管,实现云平台的架构升级、信创升级、网络升级、安全升级和服务升级。政务云平台升级改造逻辑架构如图1所示。(1)架构升级。整体采用分布式云架构,支持容器、微服务等云原生架构应用,整体架构立足当下需求,同时面向未来持续演进。(2)信创升级。云平台支持国产芯片、硬件和软件,支持一云多芯,实现信息系统的自主可控。(3)网络升级。网络采用S D N技术架构2,实现网络服务编排和自动化发放,全面提升网络的敏捷性和安全能力。(4)安全升级。全面满足等保三级、密评能力,助力平台和业务的合规化。(5)服务升级。云平台支持I a a S,P a a S,S a a S全栈云服务,着力打造云服务生态,丰富服务内容,提升服务质量。图1 政务云平台升级改造逻辑架构图3.2 网络架构升级的政务云中心分为电子政务外网区、互联网区两个区域,各域部署独立的云管平台,并通过云管平台实现资源统一管理,总体按照“业务、管理、存储”3个平面分离的方式进行部署,不同网络平面之间相互隔离,互不影响。每台主机通过不同的网络接口与业务网络平面、管理网络平面和存储网络平面互联。管理网络平面细分为带内管理网络和带外管理网络。整体架构采用两层架构,分别设立管理核心和业务核心,通过边界墙隔离。接入T O R和核心间采用跨设备链路聚合组/堆叠部署。按照国家电子政务外网标准 国家电子政务外网 政务云安全技术要求,升级后的政务云中心的政务外网区与互联网区需通过现有政务云中心隔离边界进行数据交互。政务云平台总体网络架构如图2所示。图2 政务云平台总体网络架构图3.3 技术架构为提高政务云平台的建设成效,在利用云计算业界先进的技术来解决目前的关键问题时,需保证使用的技术方案成熟可靠、好用、易用。因此,云平台核心技术架构及关键技术选型非常重要。结合政务云的建设情况、云计算技术的发展趋势,本次移动信息2 0 2 4年2期2 0 5 政务云服务建设依托于以KVM+O p e n s t a c k+K u b e r n e t e s架构为内核的云计算平台技术,适应“X 8 6架构+A RM架构+M I P S架构”,将传统的云基础设施升级为云原生基础设施,为各类政务应用提供更高性能的基础运行底座。云平台实现了跨云通用能力和资源的共享,减少了重复建设,并基于统一的云原生治理标准,实现业务应用全生命周期的统一管理,达到应用级可视可管的效果、精细化资源运营的效果、标准化可共享的效果。为满足政务云平台的建设使用需求,资源池也应结合当前及未来的新技术。计算资源池应兼容当前主流的标准服务器以及国产设备,实现平台、设备技术的自主可控。存储资源池需与传统存储和分布式存储能力兼容。在提供分布式能力时,应最大限度地保护传统存储设备的投资与使用。网络资源池应引入S D N+V x L AN技术,实现政务云平台下超大规模设备的网络自动化配置,降低网络的运维难度,同时应支持基于I P V 6的网络环境,依托I P V 6网络构建云平台,提供各种云服务能力。4 升级改造思路4.1 整合提升、融合利旧兼顾政务云国产化替代趋势,服务当下,规划未来。政务云平台建设既需满足当前通用的政务云应用需求,也应具备对国产软硬件的支撑能力。通过对现有的计算、存储、网络、安全设备进行调查和分析,了解其硬件配置、性能指标、使用寿命、兼容性等,综合评估现有计算和存储资源能否继续利旧,在确保平台稳定的情况下,通过对资源的调整和优化,实现资源的最佳利用,充分利用现有资源。同时,考虑现有业务和未来演进的需求,在保证当前承载业务平滑过渡的基础下,随着业务系统信创适配改造,通过设备的更新迭代升级,逐步扩展国产资源池,使原有的虚拟化池逐步退网,最终实现全面国产化云。4.2 全面融合、统一纳管新建云管理平台,支持混合、异构和多云的环境3,融合原有信创虚拟化和X 8 6虚拟化平台,形成新建云平台、现网X 8 6虚拟化平台同时运行的状态,实现异构资源的统一管理和调度,并通过云平台屏蔽底层架构差异,为用户提供体验一致的云计算服务。该平台既兼顾了往期投资,又支持面向未来的演进,能以统一的方式集中管理虚拟化平台及不同供应商的云平台,实现虚拟资源调度与管理的自动化,并为上层应用敏捷、弹性、按需、自助地提供云服务。4.3 信创升级、自主可信将现网网络设备、安全设备、密码设备、管理节点服务器等全部替换为国产设备,兼容主流国产基础软件,使平台主体框架设备全部实现自主可控,满足信创适配改造要求。在资源层面,形成普通X 8 6资源池、信创资源池,提供计算、存储资源,满足不同应用替换、升级场景下对多样化算力的需求,解决信创技术路线和设备落地选型过程中的困难。4.4 网络升级、服务提升将云平台网络升级为S D N架构,其支持V x L AN技术4,能实现动态的网络资源调配和隔离,支撑I T基础设施(计算、存储、网络)的大规模资源池化,并通过网络组件分布解耦(网关、FW、L B、Q o S等)、分层解耦(转发、控制、管理平面分离)、运维解耦(分层抽象)、带内带外等来管理网络,实现分布式、灵活和高可用性的网络架构。内部网络采用两层架构分层设计,分层设计能借助虚拟集群和堆叠技术,提高网络的可靠性,同时按业务网、存储网、管理网3个平面独立构建,核心骨干设备可以保证大规模业务迁移,满足无缝扩容需求。升级后为云平台的租户提供V P C服务、安全组服务、V P N服务、虚拟防火墙、弹性I P、负载均衡服务等高阶网络服务。4.5 虚拟化转型为云服务虚拟化5是云的重要组成部分,虚拟化侧重资源的整合和效率,云则更关注服务化、资源的生命周期管理及精细化的运营运维能力。在虚拟化的基础上,通过部署云平台软件,可以实现虚拟资源池的服务化,使云平台具有弹性伸缩、动态资源分配、多租户隔离、服务编排和调度等能力,并提供云管平台与自服务能力,实现资源的高效管理和发放,依托云平台为未来发展P a a S业务和S a a S业务提供支持。4.6 运营运维能力升级传统虚拟化在管理层面仅提供性能监控、告警事件、资源管理等能力,而云平台可提供丰富的云管能力,实现多云、多数据中心、多资源池、多种云服务的统一管理。其既支持多租户模式,使租户可自助申请服务、管理资源,且具备服务流程合规检查等运营能力,也支持资源管理、全栈监控、可视化、运维分析、安装部署、自动化运维等运维能力,提供大规模场景下的运营运维能力,满足政企各行业的未来发展需求。4.7 安全服务能力升级通过统一建设、充分利旧、替换不符合要求的设备,融合原信创安全设施和国产商用密码设施,为云平台提供符合云服务安全评估、等保三级、密评三级要求的基础设施,同时以云服务的方式向租户开放安全能力和国密能力,提供安全云服务和密码云服务,统一全市安全和密码管理,提升全市安全保障水平。4.8 容灾备份能力升级基于对政务云业务平台及其数据的容灾保护,需建设两地三中心灾备体系,采用新一代灾备平台实现对所有业务平台及数据进行备份保护。在新建数据中心部署灾备平台,保障新建数据中心的整体数据安全,其中包括云平台、数据库、重要文件系统等。将现有数据中心作为同城灾备中(下转第2 1 2页)移动信息2 1 2 2 0 2 4年2期安全技术与应用,2 0 2 2(1 0):1 1 6-1 1 7.2林秀霞.科研院所档案信息化建设现状及策略分析J.办公室业务,2 0 2 3(6):1 1 1-1 1 2.3李庆梅,甘霖,刘江峰.电子文件柜在监理信息管理中的应用J.水利水电技术,2 0 1 5,4 6(S 2):8 7-8 8,9 0.4董菡.电子文件柜综合管理系统的设计与实现D.成都:电子科技大学,2 0 1 3.5黄梓佳,李献锋,吕明,等.智能文件柜平台的设计与实现J.信息与电脑(理论版),2 0 2 1,3 3(2 2):9 8-1 0 0.6万建民.基于N e t t y和R e d i s应对高并发场景的研究和实现D.南京:南京邮电大学,2 0 2 2.7张志栋.物联网中基于N e t t y的数据接入分层集群系统研究与实现D.重庆:重庆邮电大学,2 0 2 2.8王宁,张娜,于泽川,等.基于N e t t y的高性能消息中间件设计与实现J.智能计算机与应用,2 0 2 1,1 1(6):1 6 8-1 7 2,1 7 7.9杨晟,罗奇.基于R B A C的通用权限管理系统设计J.科技创新与应用,2 0 2 2,1 2(9):1 2 3-1 2 6.1 0鞠博,边臻.R B A C模型在访问控制中的应用J.福建电脑,2 0 2 2,3 8(9):3 7-4 0.1 1肖双林,何迎生,田杰,等.基于J WT+S p r i n gS e c u r i t y的动态权限管理系统J.信息与电脑(理论版),2 0 2 1,3 3(1 4):1 3 1-1 3 4.1 2周虎.一种基于J WT认证t o k e n刷新机制研究J.软件工程,2 0 1 9,2 2(1 2):1 8-2 0.(上接第2 0 5页)心,为政务云核心业务提供同城应用级容灾能力,当主数据中心业务不可用时,可以通过同城灾备中心继续对外提供政务服务。间隔3 0 0 k m以上选取异地灾备中心,当本地两个数据中心同时不可用时,异地数据中心可以保护数据,以便灾后重建。5 结语本文通过融合架构很好地解决了设备利旧和平滑演进的问题,为政务云建设提供了新的思路。通过新技术架构的应用,在保障安全可靠的基础上,提升了政务云服务的技术先进性、需求定制灵活性、业务上线快捷性,支撑了政务业务建设模式的创新。参考文献1朱登攀.电子政务云平台的技改升级J.中国新通信,2 0 2 1(1 9):9-1 0.2温晓泳,吴德沣,汪涛.南京市新一代政务云建设的研究和实践分析J.改革与开放,2 0 2 1(5):1 5-1 9.3徐啸峰.省级政务云多云管理平台建设思路J.智能建筑与智慧城市,2 0 2 2(8):7 8-8 0.4何锡点,马桂勤.基于云平台的数据中心改造架构设计及关键技术J.网络安全技术与应用,2 0 1 8(1 2):7 3-7 5.5廖崇良,基于政务云平台的数据中心改造架构设计及关键技术J.科技创新与应用,2 0 2 1(1 4):1 0 7-1 1 0.移动信息