通過對政務云平臺總體架構、網(wǎng)絡拓撲和容災備份等關鍵技術的研究和設計, 給出基于云計算架構的智慧政務云平臺的實現(xiàn)方案。政務云平臺能夠節(jié)約建設成本, 降低政府財政支出, 同時大大縮短業(yè)務上線周期, 減少運維難度。本方案已經(jīng)在部分先進省市信息化項目中落地實施, 取得顯著的效果和寶貴的實踐經(jīng)驗。

[[226870]]

一、前言

為了促進服務型政府建設, 推動政務大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展, 滿足電子政務、電子商務等信息化快速發(fā)展的需求, 避免信息化建設未來發(fā)展中可能出現(xiàn)的重復建設及信息孤島問題, 將政府各部門建設信息系統(tǒng)都需要的基礎設施從各自的業(yè)務應用中剝離出來, 集約建設、統(tǒng)一管理、按需使用, 形成共享資源池已成為當務之急。目前政府信息化建設的主要矛盾如下。

(1) 新建系統(tǒng)周期較長, 投資成本高

目前大部分政務系統(tǒng)均配置專屬的服務器、存儲和網(wǎng)絡設備, 從規(guī)劃、立項、采購、建設到交付的周期, 往往按年計算。同時, 由于系統(tǒng)獨立運行、硬件無法共享, 資源利用率十分低下, 產(chǎn)生大量重復建設問題。

(2) 運營維護效率低, 管理成本高

政務系統(tǒng)硬件均通過單獨的項目采購, 往往包括多個廠商, 無法做到統(tǒng)一管理。因此網(wǎng)管系統(tǒng)只能實現(xiàn)基礎設施的監(jiān)控, 無法做到告警的關聯(lián)分析和故障的快速定位, 導致大部分工作依然靠人工的方式處理, 運維效率低下。

由于云計算技術的快速發(fā)展, 建設智慧的政務云資源池是解決以上問題的重要途徑。

政務云能基于VDC (Virtual Data Center, 虛擬數(shù)據(jù)中心) 實現(xiàn)多政府部門、多業(yè)務應用的資源共享和按需服務, 通過云管平臺實現(xiàn)整個云資源池的統(tǒng)一運營和運維, 達成跨區(qū)域、跨部門的信息共享, 滿足業(yè)務不斷發(fā)展和隨時變化的需要。

二、政務云平臺總體架構設計

政務云平臺的建設是一個復雜、社會化的工程, 需立足于較高的建設起點, 以長遠的眼光通盤考慮。政務云總體設計應充分考慮目前業(yè)務系統(tǒng)的內部整合, 以及資源靈活調配、統(tǒng)一管理的業(yè)務需求。為了完善隨需應變的應用環(huán)境, 政務云平臺的建設既要考慮技術先進性, 又要遵循簡化、共享、標準、動態(tài)的原則進行。

• (1) 采用層次清晰、結構完整、開放共享的技術支持框架, 實現(xiàn)目前條塊分割、煙囪式的架構向統(tǒng)一、協(xié)同、開放的架構轉變, 打造政務信息資源整合和信息交換的中央樞紐, 以持續(xù)、穩(wěn)定、安全的架構支撐政府公共服務一體化、個性化、智能化。
• (2) 各部門按照數(shù)據(jù)向上集中、服務向下延伸的建設思路, 充分利用電子政務云平臺上的公共基礎設施及政務應用系統(tǒng), 建設本部門業(yè)務應用, 形成統(tǒng)一證書認證、統(tǒng)一數(shù)據(jù)中心、統(tǒng)一網(wǎng)站入口、統(tǒng)一安全支撐以及各應用系統(tǒng)互聯(lián)互通的工作模式。
• (3) 機房資源、網(wǎng)絡資源、 (物理/虛擬) 計算存儲資源、數(shù)據(jù)資源、軟件資源、服務運營運維、安全管理全局共享, 并根據(jù)業(yè)務運行情況實現(xiàn)平峰錯谷和彈性伸縮。

政務云總體架構設計如圖1所示, 主要由基礎設施層、資源管理層和云運營運維管理層組成, 另外還提供安全和災備能力。

1. 基礎設施層：服務器、存儲、網(wǎng)絡等物理設施, 構成融合資源池的基礎架構。
2. 資源管理層 (虛擬化層)：基于Open Stack統(tǒng)一管理主流虛擬化軟件, 對計算、存儲、網(wǎng)絡等物理資源進行虛擬化, 提供統(tǒng)一的資源池和基礎的運維能力。
3. 云運營運維管理層：統(tǒng)一管理多個數(shù)據(jù)中心資源層提供的資源池, 提供統(tǒng)一運營和運維管理, 構建統(tǒng)一的融合資源池, 實現(xiàn)資源共享。

云運營運維管理層可以分為運維系統(tǒng)和運營系統(tǒng)兩部分。

• 運營系統(tǒng)主要提供數(shù)據(jù)中心服務管理, 提供V D C服務、云主機服務、物理機服務、云磁盤服務、網(wǎng)絡服務及應用部署服務。
• 運維系統(tǒng)提供對多數(shù)據(jù)中心的統(tǒng)一運維管理能力, 包括資源管理、告警管理、拓撲管理、性能管理以及統(tǒng)計報表等。

政務云基于云運營運維管理層提供的運營和運維能力, 匹配業(yè)務場景, 通過服務目錄向各需求單位提供各類服務, 承載各部門政務應用。通過VDC服務的形式進行資源的靈活分配, 實現(xiàn)VDCaa S (VDC as a Service, VDC即服務) , 在VDC內部進一步通過云主機、物理機、云存儲、彈性IP地址等服務提供自助資源發(fā)放, 實現(xiàn)Iaa S, 同時實現(xiàn)政務云平臺的容災備份, 保障關鍵業(yè)務的連續(xù)性。 

圖1 政務云總體架構設計

三、政務云平臺詳細網(wǎng)絡設計

在進行網(wǎng)絡設計前, 首先要根據(jù)業(yè)務系統(tǒng)情況, 對政務云平臺進行安全域劃分, 建議劃分為互聯(lián)網(wǎng)區(qū)、政務外網(wǎng)區(qū)以及專網(wǎng)托管物理分區(qū), 分別承載三個分區(qū)的業(yè)務系統(tǒng)。在互聯(lián)網(wǎng)區(qū)和政務外網(wǎng)區(qū)之間可以部署數(shù)據(jù)緩沖區(qū), 實現(xiàn)跨區(qū)數(shù)據(jù)交換。政務云安全域劃分設計如圖2所示。

1. 互聯(lián)網(wǎng)區(qū)：承載政務直接面向互聯(lián)網(wǎng)用戶的業(yè)務系統(tǒng)資源區(qū), 包括政府門戶網(wǎng)站、網(wǎng)上服務大廳、市民服務中心等。
2. 政務外網(wǎng)區(qū)：承載政務外網(wǎng)業(yè)務, 包括民政、工商、稅務等各委辦局專業(yè)業(yè)務。
3. 專網(wǎng)托管區(qū)：承載政務專網(wǎng)中相對敏感的業(yè)務系統(tǒng), 或一些不適合在虛擬化環(huán)境中運行的系統(tǒng), 與其他區(qū)域進行完全物理隔離。
4. 數(shù)據(jù)緩沖區(qū)：部署數(shù)據(jù)交換管理平臺 (網(wǎng)閘或防火墻) , 可以對互聯(lián)網(wǎng)區(qū)和政務外網(wǎng)區(qū)進行數(shù)據(jù)交換, 同時進行數(shù)據(jù)的清洗和脫敏等處理。

根據(jù)政務云平臺的分區(qū)設計, 以互聯(lián)網(wǎng)區(qū)為例, 進一步對云平臺組網(wǎng)進行詳細設計, 將區(qū)域分為核心交換區(qū)和業(yè)務功能區(qū), 業(yè)務功能區(qū)中包括業(yè)務、存儲、管理三個平面 (根據(jù)業(yè)務需求可再增加數(shù)據(jù)備份及同步平面) 。業(yè)務平面中, 包括業(yè)務區(qū)、測試區(qū)、大數(shù)據(jù)區(qū)等多個子資源池, 具體如圖3所示。 

圖2 政務云安全域劃分設計

在詳細設計中, 核心交換區(qū)的功能主要是完成各服務功能分區(qū)之間數(shù)據(jù)流量的高速交換, 是數(shù)據(jù)中心南北向流量和東西向流量的交匯點。核心交換區(qū)主體采用兩臺核心交換機構建雙網(wǎng)雙平面架構, 通過多條鏈路聚合技術保證網(wǎng)絡的高性能、高可靠。核心交換機支持SDN (Software Defined Network, 軟件定義網(wǎng)絡) 和Vx LAN (Virtual Extensible LAN, 虛擬擴展局域網(wǎng)) 等功能, 通過虛擬化技術實現(xiàn)多實例, 每個實例均擁有獨立的處理能力和運行環(huán)境, 可以實現(xiàn)安全域劃分和故障域隔離, 在提升設備資源利用率及可靠性的同時, 降低網(wǎng)絡安全風險。同時, 核心交換區(qū)提供對業(yè)務流量的控制和優(yōu)化, 如安全控制、負載分擔等智能功能。核心交換機串聯(lián)或旁掛防火墻設備, 實現(xiàn)訪問數(shù)據(jù)中心業(yè)務的南北流量及區(qū)間互訪東西流量的安全控制。 

圖3 互聯(lián)網(wǎng)區(qū)詳細網(wǎng)絡設計

業(yè)務功能區(qū)按照業(yè)務部署和運行要求, 劃分為業(yè)務區(qū)、測試區(qū)和大數(shù)據(jù)區(qū), 滿足不同性能要求的業(yè)務系統(tǒng)部署。各區(qū)可在存儲設備上劃分不同的存儲池, 但采用相同的網(wǎng)絡方案接入核心交換區(qū)可簡化網(wǎng)絡設計, 降低維護難度。單臺機架服務器分別連接業(yè)務網(wǎng)絡、存儲網(wǎng)絡、管理網(wǎng)絡三個不同的網(wǎng)絡平面:業(yè)務網(wǎng)絡服務器提供萬兆光口對接接入交換機, 提供業(yè)務數(shù)據(jù)訪問網(wǎng)絡, 通過大帶寬滿足業(yè)務交互和對外提供服務的帶寬要求;存儲網(wǎng)絡服務器提供光纖接口, 采用光纖交換機構建獨立的光纖網(wǎng)絡, 實現(xiàn)SAN存儲設備的高速訪問;管理網(wǎng)絡帶外管理采用千兆網(wǎng)絡, 接入帶外管理交換機, 提供物理設備帶外管理, 帶內管理流量接入業(yè)務交換機, 通過VLAN與業(yè)務平面實現(xiàn)邏輯隔離, 通過鏈路的主備綁定, 提升管理網(wǎng)絡的可靠性。 

圖4 政務云災備設計

四、政務云災備設計

政務云承載著大量政務系統(tǒng), 其重要性不言而喻。為了保證系統(tǒng)的高可靠性, 可以通過建設雙活數(shù)據(jù)中心進行異地容災, 確保在單個政務云節(jié)點出現(xiàn)故障的情況下, 業(yè)務可以切換至容災節(jié)點。政務云要實現(xiàn)雙活, 必須在各個層面實現(xiàn)災備設計, 具體如圖4所示。

在網(wǎng)絡層面, 可以通過部署GSLB (Global Server Load Balance, 全局負載均衡) 設備實現(xiàn)資源訪問在兩個政務云節(jié)點之間的調度。負載均衡設備能夠對用戶的訪問進行智能分析決策, 返回給用戶一個最佳的服務地址, 同時對訪問應用集群的流量進行合理調度, 如果集群中某一節(jié)點不可用, 則將該節(jié)點移出集群, 把訪問流量分配到其他可以正常工作的節(jié)點。根據(jù)業(yè)務訪問模型的不同, 政務云提供高可靠的網(wǎng)絡互聯(lián), 通過Vx LAN技術實現(xiàn)雙數(shù)據(jù)中心大二層互通, 形成跨節(jié)點的雙活網(wǎng)絡, 允許應用集群、虛擬機跨節(jié)點部署、遷移, 并且進行訪問路徑的優(yōu)化, 使客戶端就近訪問業(yè)務所在的政務云節(jié)點。

政務云上, 各個委辦局的業(yè)務系統(tǒng)部署一般分為業(yè)務服務器和數(shù)據(jù)庫服務器。根據(jù)業(yè)務系統(tǒng)對性能的不同要求, 業(yè)務服務器建議采用虛擬化部署方式, 數(shù)據(jù)庫服務器建議采用物理機部署的方式。在應用層面, 可采用應用集群和虛擬機遷移等技術, 提供用戶跨節(jié)點的高可用和應用訪問調度能力, 通過數(shù)據(jù)RAC (Real Application Cluster, 真正應用集群) 等技術部署或集群方式實現(xiàn)兩個數(shù)據(jù)中心間的數(shù)據(jù)庫實時同步和雙活。配合監(jiān)聽及應用程序故障轉移技術, 數(shù)據(jù)庫集群在服務器或單個節(jié)點出現(xiàn)故障時, 能夠使客戶端在新的連接中繼續(xù)工作, 防止業(yè)務中斷。

在存儲雙活方面, 可使用雙寫技術, 上層應用在兩個政務云節(jié)點同時讀寫、存儲, 寫入數(shù)據(jù)的同時寫入兩個節(jié)點的存儲, 最大程度保證數(shù)據(jù)的可靠性和一致性, 并且做到存儲、讀寫時延的性能優(yōu)化。雙活存儲鏡像采用光纖互聯(lián), 兩政務云節(jié)點相距25km以內可采用裸光纖直連, 如果距離超過25km, 建議使用OTN (Optical Transport Network, 光傳送網(wǎng)) 波分設備構建兩數(shù)據(jù)中心的同城網(wǎng)絡。部署OTN波分設備時, 建議采用1+1主備線路雙發(fā)選收的方式, 提供物理鏈路的高可靠性, 一條裸光纖中斷時, 另一條裸光纖可馬上恢復業(yè)務流量, 切換時上層網(wǎng)絡及應用無感知。

結合應用雙活和存儲雙活, 可以推動智慧政務云實現(xiàn)最高級別的業(yè)務連續(xù)性, 確保業(yè)務系統(tǒng)設備出現(xiàn)故障, 甚至單數(shù)據(jù)中心出現(xiàn)故障時, 業(yè)務無感知并自動切換, 實現(xiàn)RPO (Recovery Point Objective, 恢復點目標) =0、RTO (Recovery Time Objective, 恢復時間目標) ≈0。

五、結束語

通過政務云的建設, 大大降低政府部門的信息化投資風險, 提高業(yè)務上線速度, 同時能夠對多個政務系統(tǒng)的基礎設施進行統(tǒng)一規(guī)劃、統(tǒng)一管理、按需使用和資源共享。政務云還通過全方位的網(wǎng)絡安全和容災備份設計, 提高業(yè)務系統(tǒng)的風險抵御能力, 確保政府對外服務的不間斷性, 為政府的服務轉型奠定良好的基礎。同時, 政務云是智慧城市發(fā)展的重要一環(huán), 政務云結合物聯(lián)網(wǎng)、大數(shù)據(jù)等關鍵技術, 向下實現(xiàn)城市發(fā)展更泛在的互聯(lián), 向上實現(xiàn)政務數(shù)據(jù)更智能化的分析, 這是下一步重點研究的方向。