通過對政務(wù)云平臺(tái)總體架構(gòu)、網(wǎng)絡(luò)拓?fù)浜腿轂?zāi)備份等關(guān)鍵技術(shù)的研究和設(shè)計(jì), 給出基于云計(jì)算架構(gòu)的智慧政務(wù)云平臺(tái)的實(shí)現(xiàn)方案。政務(wù)云平臺(tái)能夠節(jié)約建設(shè)成本, 降低政府財(cái)政支出, 同時(shí)大大縮短業(yè)務(wù)上線周期, 減少運(yùn)維難度。本方案已經(jīng)在部分先進(jìn)省市信息化項(xiàng)目中落地實(shí)施, 取得顯著的效果和寶貴的實(shí)踐經(jīng)驗(yàn)。

一、前言

為了促進(jìn)服務(wù)型政府建設(shè), 推動(dòng)政務(wù)大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展, 滿足電子政務(wù)、電子商務(wù)等信息化快速發(fā)展的需求, 避免信息化建設(shè)未來發(fā)展中可能出現(xiàn)的重復(fù)建設(shè)及信息孤島問題, 將政府各部門建設(shè)信息系統(tǒng)都需要的基礎(chǔ)設(shè)施從各自的業(yè)務(wù)應(yīng)用中剝離出來, 集約建設(shè)、統(tǒng)一管理、按需使用, 形成共享資源池已成為當(dāng)務(wù)之急。目前政府信息化建設(shè)的主要矛盾如下。

(1) 新建系統(tǒng)周期較長, 投資成本高

目前大部分政務(wù)系統(tǒng)均配置專屬的服務(wù)器、存儲(chǔ)和網(wǎng)絡(luò)設(shè)備, 從規(guī)劃、立項(xiàng)、采購、建設(shè)到交付的周期, 往往按年計(jì)算。同時(shí), 由于系統(tǒng)獨(dú)立運(yùn)行、硬件無法共享, 資源利用率十分低下, 產(chǎn)生大量重復(fù)建設(shè)問題。

(2) 運(yùn)營維護(hù)效率低, 管理成本高

政務(wù)系統(tǒng)硬件均通過單獨(dú)的項(xiàng)目采購, 往往包括多個(gè)廠商, 無法做到統(tǒng)一管理。因此網(wǎng)管系統(tǒng)只能實(shí)現(xiàn)基礎(chǔ)設(shè)施的監(jiān)控, 無法做到告警的關(guān)聯(lián)分析和故障的快速定位, 導(dǎo)致大部分工作依然靠人工的方式處理, 運(yùn)維效率低下。

由于云計(jì)算技術(shù)的快速發(fā)展, 建設(shè)智慧的政務(wù)云資源池是解決以上問題的重要途徑。

政務(wù)云能基于VDC (Virtual Data Center, 虛擬數(shù)據(jù)中心) 實(shí)現(xiàn)多政府部門、多業(yè)務(wù)應(yīng)用的資源共享和按需服務(wù), 通過云管平臺(tái)實(shí)現(xiàn)整個(gè)云資源池的統(tǒng)一運(yùn)營和運(yùn)維, 達(dá)成跨區(qū)域、跨部門的信息共享, 滿足業(yè)務(wù)不斷發(fā)展和隨時(shí)變化的需要。

二、政務(wù)云平臺(tái)總體架構(gòu)設(shè)計(jì)

政務(wù)云平臺(tái)的建設(shè)是一個(gè)復(fù)雜、社會(huì)化的工程, 需立足于較高的建設(shè)起點(diǎn), 以長遠(yuǎn)的眼光通盤考慮。政務(wù)云總體設(shè)計(jì)應(yīng)充分考慮目前業(yè)務(wù)系統(tǒng)的內(nèi)部整合, 以及資源靈活調(diào)配、統(tǒng)一管理的業(yè)務(wù)需求。為了完善隨需應(yīng)變的應(yīng)用環(huán)境, 政務(wù)云平臺(tái)的建設(shè)既要考慮技術(shù)先進(jìn)性, 又要遵循簡化、共享、標(biāo)準(zhǔn)、動(dòng)態(tài)的原則進(jìn)行。

• (1) 采用層次清晰、結(jié)構(gòu)完整、開放共享的技術(shù)支持框架, 實(shí)現(xiàn)目前條塊分割、煙囪式的架構(gòu)向統(tǒng)一、協(xié)同、開放的架構(gòu)轉(zhuǎn)變, 打造政務(wù)信息資源整合和信息交換的中央樞紐, 以持續(xù)、穩(wěn)定、安全的架構(gòu)支撐政府公共服務(wù)一體化、個(gè)性化、智能化。
• (2) 各部門按照數(shù)據(jù)向上集中、服務(wù)向下延伸的建設(shè)思路, 充分利用電子政務(wù)云平臺(tái)上的公共基礎(chǔ)設(shè)施及政務(wù)應(yīng)用系統(tǒng), 建設(shè)本部門業(yè)務(wù)應(yīng)用, 形成統(tǒng)一證書認(rèn)證、統(tǒng)一數(shù)據(jù)中心、統(tǒng)一網(wǎng)站入口、統(tǒng)一安全支撐以及各應(yīng)用系統(tǒng)互聯(lián)互通的工作模式。
• (3) 機(jī)房資源、網(wǎng)絡(luò)資源、 (物理/虛擬) 計(jì)算存儲(chǔ)資源、數(shù)據(jù)資源、軟件資源、服務(wù)運(yùn)營運(yùn)維、安全管理全局共享, 并根據(jù)業(yè)務(wù)運(yùn)行情況實(shí)現(xiàn)平峰錯(cuò)谷和彈性伸縮。

政務(wù)云總體架構(gòu)設(shè)計(jì)如圖1所示, 主要由基礎(chǔ)設(shè)施層、資源管理層和云運(yùn)營運(yùn)維管理層組成, 另外還提供安全和災(zāi)備能力。

1. 基礎(chǔ)設(shè)施層：服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)等物理設(shè)施, 構(gòu)成融合資源池的基礎(chǔ)架構(gòu)。
2. 資源管理層 (虛擬化層)：基于Open Stack統(tǒng)一管理主流虛擬化軟件, 對計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)等物理資源進(jìn)行虛擬化, 提供統(tǒng)一的資源池和基礎(chǔ)的運(yùn)維能力。
3. 云運(yùn)營運(yùn)維管理層：統(tǒng)一管理多個(gè)數(shù)據(jù)中心資源層提供的資源池, 提供統(tǒng)一運(yùn)營和運(yùn)維管理, 構(gòu)建統(tǒng)一的融合資源池, 實(shí)現(xiàn)資源共享。

云運(yùn)營運(yùn)維管理層可以分為運(yùn)維系統(tǒng)和運(yùn)營系統(tǒng)兩部分。

• 運(yùn)營系統(tǒng)主要提供數(shù)據(jù)中心服務(wù)管理, 提供V D C服務(wù)、云主機(jī)服務(wù)、物理機(jī)服務(wù)、云磁盤服務(wù)、網(wǎng)絡(luò)服務(wù)及應(yīng)用部署服務(wù)。
• 運(yùn)維系統(tǒng)提供對多數(shù)據(jù)中心的統(tǒng)一運(yùn)維管理能力, 包括資源管理、告警管理、拓?fù)涔芾怼⑿阅芄芾硪约敖y(tǒng)計(jì)報(bào)表等。

政務(wù)云基于云運(yùn)營運(yùn)維管理層提供的運(yùn)營和運(yùn)維能力, 匹配業(yè)務(wù)場景, 通過服務(wù)目錄向各需求單位提供各類服務(wù), 承載各部門政務(wù)應(yīng)用。通過VDC服務(wù)的形式進(jìn)行資源的靈活分配, 實(shí)現(xiàn)VDCaa S (VDC as a Service, VDC即服務(wù)) , 在VDC內(nèi)部進(jìn)一步通過云主機(jī)、物理機(jī)、云存儲(chǔ)、彈性IP地址等服務(wù)提供自助資源發(fā)放, 實(shí)現(xiàn)Iaa S, 同時(shí)實(shí)現(xiàn)政務(wù)云平臺(tái)的容災(zāi)備份, 保障關(guān)鍵業(yè)務(wù)的連續(xù)性。

圖1 政務(wù)云總體架構(gòu)設(shè)計(jì)

三、政務(wù)云平臺(tái)詳細(xì)網(wǎng)絡(luò)設(shè)計(jì)

在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)前, 首先要根據(jù)業(yè)務(wù)系統(tǒng)情況, 對政務(wù)云平臺(tái)進(jìn)行安全域劃分, 建議劃分為互聯(lián)網(wǎng)區(qū)、政務(wù)外網(wǎng)區(qū)以及專網(wǎng)托管物理分區(qū), 分別承載三個(gè)分區(qū)的業(yè)務(wù)系統(tǒng)。在互聯(lián)網(wǎng)區(qū)和政務(wù)外網(wǎng)區(qū)之間可以部署數(shù)據(jù)緩沖區(qū), 實(shí)現(xiàn)跨區(qū)數(shù)據(jù)交換。政務(wù)云安全域劃分設(shè)計(jì)如圖2所示。

1. 互聯(lián)網(wǎng)區(qū)：承載政務(wù)直接面向互聯(lián)網(wǎng)用戶的業(yè)務(wù)系統(tǒng)資源區(qū), 包括政府門戶網(wǎng)站、網(wǎng)上服務(wù)大廳、市民服務(wù)中心等。
2. 政務(wù)外網(wǎng)區(qū)：承載政務(wù)外網(wǎng)業(yè)務(wù), 包括民政、工商、稅務(wù)等各委辦局專業(yè)業(yè)務(wù)。
3. 專網(wǎng)托管區(qū)：承載政務(wù)專網(wǎng)中相對敏感的業(yè)務(wù)系統(tǒng), 或一些不適合在虛擬化環(huán)境中運(yùn)行的系統(tǒng), 與其他區(qū)域進(jìn)行完全物理隔離。
4. 數(shù)據(jù)緩沖區(qū)：部署數(shù)據(jù)交換管理平臺(tái) (網(wǎng)閘或防火墻) , 可以對互聯(lián)網(wǎng)區(qū)和政務(wù)外網(wǎng)區(qū)進(jìn)行數(shù)據(jù)交換, 同時(shí)進(jìn)行數(shù)據(jù)的清洗和脫敏等處理。

根據(jù)政務(wù)云平臺(tái)的分區(qū)設(shè)計(jì), 以互聯(lián)網(wǎng)區(qū)為例, 進(jìn)一步對云平臺(tái)組網(wǎng)進(jìn)行詳細(xì)設(shè)計(jì), 將區(qū)域分為核心交換區(qū)和業(yè)務(wù)功能區(qū), 業(yè)務(wù)功能區(qū)中包括業(yè)務(wù)、存儲(chǔ)、管理三個(gè)平面 (根據(jù)業(yè)務(wù)需求可再增加數(shù)據(jù)備份及同步平面) 。業(yè)務(wù)平面中, 包括業(yè)務(wù)區(qū)、測試區(qū)、大數(shù)據(jù)區(qū)等多個(gè)子資源池, 具體如圖3所示。

圖2 政務(wù)云安全域劃分設(shè)計(jì)

在詳細(xì)設(shè)計(jì)中, 核心交換區(qū)的功能主要是完成各服務(wù)功能分區(qū)之間數(shù)據(jù)流量的高速交換, 是數(shù)據(jù)中心南北向流量和東西向流量的交匯點(diǎn)。核心交換區(qū)主體采用兩臺(tái)核心交換機(jī)構(gòu)建雙網(wǎng)雙平面架構(gòu), 通過多條鏈路聚合技術(shù)保證網(wǎng)絡(luò)的高性能、高可靠。核心交換機(jī)支持SDN (Software Defined Network, 軟件定義網(wǎng)絡(luò)) 和Vx LAN (Virtual Extensible LAN, 虛擬擴(kuò)展局域網(wǎng)) 等功能, 通過虛擬化技術(shù)實(shí)現(xiàn)多實(shí)例, 每個(gè)實(shí)例均擁有獨(dú)立的處理能力和運(yùn)行環(huán)境, 可以實(shí)現(xiàn)安全域劃分和故障域隔離, 在提升設(shè)備資源利用率及可靠性的同時(shí), 降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。同時(shí), 核心交換區(qū)提供對業(yè)務(wù)流量的控制和優(yōu)化, 如安全控制、負(fù)載分擔(dān)等智能功能。核心交換機(jī)串聯(lián)或旁掛防火墻設(shè)備, 實(shí)現(xiàn)訪問數(shù)據(jù)中心業(yè)務(wù)的南北流量及區(qū)間互訪東西流量的安全控制。

圖3 互聯(lián)網(wǎng)區(qū)詳細(xì)網(wǎng)絡(luò)設(shè)計(jì)

業(yè)務(wù)功能區(qū)按照業(yè)務(wù)部署和運(yùn)行要求, 劃分為業(yè)務(wù)區(qū)、測試區(qū)和大數(shù)據(jù)區(qū), 滿足不同性能要求的業(yè)務(wù)系統(tǒng)部署。各區(qū)可在存儲(chǔ)設(shè)備上劃分不同的存儲(chǔ)池, 但采用相同的網(wǎng)絡(luò)方案接入核心交換區(qū)可簡化網(wǎng)絡(luò)設(shè)計(jì), 降低維護(hù)難度。單臺(tái)機(jī)架服務(wù)器分別連接業(yè)務(wù)網(wǎng)絡(luò)、存儲(chǔ)網(wǎng)絡(luò)、管理網(wǎng)絡(luò)三個(gè)不同的網(wǎng)絡(luò)平面:業(yè)務(wù)網(wǎng)絡(luò)服務(wù)器提供萬兆光口對接接入交換機(jī), 提供業(yè)務(wù)數(shù)據(jù)訪問網(wǎng)絡(luò), 通過大帶寬滿足業(yè)務(wù)交互和對外提供服務(wù)的帶寬要求;存儲(chǔ)網(wǎng)絡(luò)服務(wù)器提供光纖接口, 采用光纖交換機(jī)構(gòu)建獨(dú)立的光纖網(wǎng)絡(luò), 實(shí)現(xiàn)SAN存儲(chǔ)設(shè)備的高速訪問;管理網(wǎng)絡(luò)帶外管理采用千兆網(wǎng)絡(luò), 接入帶外管理交換機(jī), 提供物理設(shè)備帶外管理, 帶內(nèi)管理流量接入業(yè)務(wù)交換機(jī), 通過VLAN與業(yè)務(wù)平面實(shí)現(xiàn)邏輯隔離, 通過鏈路的主備綁定, 提升管理網(wǎng)絡(luò)的可靠性。

圖4 政務(wù)云災(zāi)備設(shè)計(jì)

四、政務(wù)云災(zāi)備設(shè)計(jì)

政務(wù)云承載著大量政務(wù)系統(tǒng), 其重要性不言而喻。為了保證系統(tǒng)的高可靠性, 可以通過建設(shè)雙活數(shù)據(jù)中心進(jìn)行異地容災(zāi), 確保在單個(gè)政務(wù)云節(jié)點(diǎn)出現(xiàn)故障的情況下, 業(yè)務(wù)可以切換至容災(zāi)節(jié)點(diǎn)。政務(wù)云要實(shí)現(xiàn)雙活, 必須在各個(gè)層面實(shí)現(xiàn)災(zāi)備設(shè)計(jì), 具體如圖4所示。

在網(wǎng)絡(luò)層面, 可以通過部署GSLB (Global Server Load Balance, 全局負(fù)載均衡) 設(shè)備實(shí)現(xiàn)資源訪問在兩個(gè)政務(wù)云節(jié)點(diǎn)之間的調(diào)度。負(fù)載均衡設(shè)備能夠?qū)τ脩舻脑L問進(jìn)行智能分析決策, 返回給用戶一個(gè)最佳的服務(wù)地址, 同時(shí)對訪問應(yīng)用集群的流量進(jìn)行合理調(diào)度, 如果集群中某一節(jié)點(diǎn)不可用, 則將該節(jié)點(diǎn)移出集群, 把訪問流量分配到其他可以正常工作的節(jié)點(diǎn)。根據(jù)業(yè)務(wù)訪問模型的不同, 政務(wù)云提供高可靠的網(wǎng)絡(luò)互聯(lián), 通過Vx LAN技術(shù)實(shí)現(xiàn)雙數(shù)據(jù)中心大二層互通, 形成跨節(jié)點(diǎn)的雙活網(wǎng)絡(luò), 允許應(yīng)用集群、虛擬機(jī)跨節(jié)點(diǎn)部署、遷移, 并且進(jìn)行訪問路徑的優(yōu)化, 使客戶端就近訪問業(yè)務(wù)所在的政務(wù)云節(jié)點(diǎn)。

政務(wù)云上, 各個(gè)委辦局的業(yè)務(wù)系統(tǒng)部署一般分為業(yè)務(wù)服務(wù)器和數(shù)據(jù)庫服務(wù)器。根據(jù)業(yè)務(wù)系統(tǒng)對性能的不同要求, 業(yè)務(wù)服務(wù)器建議采用虛擬化部署方式, 數(shù)據(jù)庫服務(wù)器建議采用物理機(jī)部署的方式。在應(yīng)用層面, 可采用應(yīng)用集群和虛擬機(jī)遷移等技術(shù), 提供用戶跨節(jié)點(diǎn)的高可用和應(yīng)用訪問調(diào)度能力, 通過數(shù)據(jù)RAC (Real Application Cluster, 真正應(yīng)用集群) 等技術(shù)部署或集群方式實(shí)現(xiàn)兩個(gè)數(shù)據(jù)中心間的數(shù)據(jù)庫實(shí)時(shí)同步和雙活。配合監(jiān)聽及應(yīng)用程序故障轉(zhuǎn)移技術(shù), 數(shù)據(jù)庫集群在服務(wù)器或單個(gè)節(jié)點(diǎn)出現(xiàn)故障時(shí), 能夠使客戶端在新的連接中繼續(xù)工作, 防止業(yè)務(wù)中斷。

在存儲(chǔ)雙活方面, 可使用雙寫技術(shù), 上層應(yīng)用在兩個(gè)政務(wù)云節(jié)點(diǎn)同時(shí)讀寫、存儲(chǔ), 寫入數(shù)據(jù)的同時(shí)寫入兩個(gè)節(jié)點(diǎn)的存儲(chǔ), 最大程度保證數(shù)據(jù)的可靠性和一致性, 并且做到存儲(chǔ)、讀寫時(shí)延的性能優(yōu)化。雙活存儲(chǔ)鏡像采用光纖互聯(lián), 兩政務(wù)云節(jié)點(diǎn)相距25km以內(nèi)可采用裸光纖直連, 如果距離超過25km, 建議使用OTN (Optical Transport Network, 光傳送網(wǎng)) 波分設(shè)備構(gòu)建兩數(shù)據(jù)中心的同城網(wǎng)絡(luò)。部署OTN波分設(shè)備時(shí), 建議采用1+1主備線路雙發(fā)選收的方式, 提供物理鏈路的高可靠性, 一條裸光纖中斷時(shí), 另一條裸光纖可馬上恢復(fù)業(yè)務(wù)流量, 切換時(shí)上層網(wǎng)絡(luò)及應(yīng)用無感知。

結(jié)合應(yīng)用雙活和存儲(chǔ)雙活, 可以推動(dòng)智慧政務(wù)云實(shí)現(xiàn)最高級(jí)別的業(yè)務(wù)連續(xù)性, 確保業(yè)務(wù)系統(tǒng)設(shè)備出現(xiàn)故障, 甚至單數(shù)據(jù)中心出現(xiàn)故障時(shí), 業(yè)務(wù)無感知并自動(dòng)切換, 實(shí)現(xiàn)RPO (Recovery Point Objective, 恢復(fù)點(diǎn)目標(biāo)) =0、RTO (Recovery Time Objective, 恢復(fù)時(shí)間目標(biāo)) ≈0。

五、結(jié)束語

通過政務(wù)云的建設(shè), 大大降低政府部門的信息化投資風(fēng)險(xiǎn), 提高業(yè)務(wù)上線速度, 同時(shí)能夠?qū)Χ鄠€(gè)政務(wù)系統(tǒng)的基礎(chǔ)設(shè)施進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一管理、按需使用和資源共享。政務(wù)云還通過全方位的網(wǎng)絡(luò)安全和容災(zāi)備份設(shè)計(jì), 提高業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)抵御能力, 確保政府對外服務(wù)的不間斷性, 為政府的服務(wù)轉(zhuǎn)型奠定良好的基礎(chǔ)。同時(shí), 政務(wù)云是智慧城市發(fā)展的重要一環(huán), 政務(wù)云結(jié)合物聯(lián)網(wǎng)、大數(shù)據(jù)等關(guān)鍵技術(shù), 向下實(shí)現(xiàn)城市發(fā)展更泛在的互聯(lián), 向上實(shí)現(xiàn)政務(wù)數(shù)據(jù)更智能化的分析, 這是下一步重點(diǎn)研究的方向。