安徽省电子政务外网云平台方案设计
来源:用户上传
作者:
摘要:根据安徽省电子政务外网长期规划要求以及目前的使用情况,提出了适合安徽省电子政务云平台的设计方案,给出了电子政务云的功能需求和总体架构。
关键词:电子政务外网;云平台;大数据
中图分类号:TP311
文献标识码:A
文章编号:1009-3044(2020)03-0280-03
1 安徽省电子政务外网云平台需求分析
1.1 功能需求
(1) IT资源池化需求
数据中心计算、网络、存储等资源均进行虚拟化,形成计算资源池、网络资源池、存储资源池,达到可被云平台统一调度、自动化部署的效果。
(2)安全可靠的云服务需求
参照中央网信办、国家信息中心等部门对政务云安全架构以及公安部等级保护三级的要求,对政务云的安全进行顶层架构设计,部署硬件安全、云安全软件和安全管理平台等设备,满足云平台自身架构、租户内部以及不同租户间的安全防护需要。同时,政务云平台可提供虚拟防火墙、虚拟堡垒机、虚拟负载均衡等安全云服务。
(3)虚拟数据中心需求
政务云平台可为各省直部门提供虚拟数据中心(vDC)服务,不同vDC达到逻辑隔离和安全可控,vDC的管控和运维可由各vDC管理员负责。vDC支持对云资源的自动化部署、可视化监控等操作。
(4)高效的运维管理需求
建设云运维中心,实现可视化、自动化运维,提升运维效率,对云环境下的运维框架、流程完善、职责划分进行系统性优化;根据各单位管理需要,个性化制定政务云运维、管理组织架构,并制定在线云资源开通流程及现有业务迁移规划。
(5)大数据服务功能需求
云平台提供大数据平台服务。云平台部署大数据平台,各租户可通过申请获取大数据平台,大数据平台可提供数据抽取、数据整合、数据分析等工作,租户可部署相关软件抽取大数据平台数据进行二次分析及展示,完成大数据软件搭建,减少各单位重复建设。
1.2 性能需求
(1)计算性能需求
通过对计算性能评估,需采用E7系类高性能处理器组建计算资源池,提供相同计算能力的情况下,减少对机房空间的占用。计算设备需要满足电信级可靠性,保障计算节点稳定运行。随着各局委办业务不断迁移上线,虚拟机数量不断增加,所有虚拟机均通过云平台统一纳管,根据初步估算,要求云平台管理虚拟机数量大于4000个。
(2)存储性能需求
随着业务访问量不断提升,结构化和非结构化数据量不断增加,系统对存储的存储容量、读取能力要求不断提高。存储资源池达到600000 IOPS,单台存储容量可扩展到PB级。
(3)网络性能需求
为保证业务正常访问,数据中心采用千兆接入,万兆到核心。核心设备转发性能满足不低于50T全限速转发,SDN控制器不低于20000个的控制通道数,满足因业务增多对网络设备和控制器的需求。
(4)安全設备性能需求
随着越来越多的省直部门将相关业务迁移到云平台,政务云平台的东西向和南北向的流量越来越大,安全性要求也会随之提高。出口安全及云平台内部安全设备性能整体吞吐量不低于320G。
(5)可靠性需求
政务云平台运行着各类实时业务系统和非实时业务系统,业务系统必须保证无中断运行,对支撑设备和平台的可靠性要求越来越高。虚拟机迁移中断时间不高于2min,不影响业务使用。
1.3 标准规范体系需求
标准规范体系建设以国家“互联网+政务服务”技术体系建设指南为准则,梳理国家、省现有电子政务现有标准规范,在安徽省已有标准体系上进行完善。主要针对网上政务服务平台、数据信息资源共享平台及省电子政务外网云平台建立一整套完善的标准规范体系,标准规范体系为各业务系统的构建提供统一的技术基础,为项目的实施提供统一的制度基础,包括编码规范、接口规范、考核规范、实施规范等。
1.4 安全保障体系需求
根据平台需要,按照国家信息安全等级保护三级的要求设置等级保护级别,针对可能遇到的各种安全威胁和风险,采取行之有效的安全措施,形成技术先进、功能全面的信息安全保障体系,保障信息系统业务服务的连续性、可靠性以及信息资源的完整性、可用性。
2 省电子政务外网云平台建设方案
2.1 架构设计
2.1.1 云平台逻辑架构
政务云平台总体架构可分为五个部分:
1)基础设施层。包括数据中心建设相关的计算、存储、网络、安全等基础设施设备以及各自配套的虚拟化管理平台,形成计算、存储、网络、安全资源池。
2)平台支撑层。包括政务云业务系统建设所需的数据库、中间件等相关应用以及业务系统的开发、运行、集成环境。同时,在技术架构上支持容器环境等新技术架构。
3)云服务层。通过建设政务云服务平台,实现政务云资源服务目录的自助化交付,包括主机服务、存储服务、网络服务、安全服务、数据库服务、中间件服务等。
政务云服务平台提供流程管理、组织管理、分级管理、租户管理等丰富的管理功能,满足政务云建设、使用过程中的易用性、安全性需求。
4)云安全保障体系。从云平台和云租户两个方面进行安全架构设计,部署硬件安全、云安全软件和安全管理平台等设备,满足云平台自身架构、租户内部以及不同租户间的安全防护需要,符合国家对政务云的相关规定。
5)云运维管理体系。从数据中心运维角度出发,建立运维组织架构、运维管理平台、运维操作规范、云化业务迁移规范,确保业务稳定运行。
2.1.2 云平台组网架构
云平台依托省电子政务外网建设,按照电子政务外网区域划分,政务云平台分为公用网络服务区和互联网服务区,公用网络服务区和互联网服务区之间逻辑隔离,各区内依据承载业务应用系统信息安全等级保护级别的不同分出二级等保区和三级等保区,业务区通过网络隔离设备进行数据交换,公用网络服务区和互联网服务区通过统一的云管理平台进行管理。 2.2 云平台基础设施层建设
(1)计算资源池建设
本次建设计算资源池分为物理计算资源池和虚拟计算资源池,可由云平台统一调度分配各计算资源。
物理计算资源池用于承载对计算性能有较高要求的应用,如数据库等;虚拟计算资源池用于承载重载、轻载性应用,如各应用系统web等;通过对服务器安装虚拟化软件完成虚拟计算资源池的搭建。对于虚拟化软件需选用具有与大量实践、可靠性达到电信级的国产虚拟化软件,满足政府部门对平台安全可控、连续性等要求。虚拟化软件还需对业务访问流量进行感知,无须人工干预可动态调整虚拟机数量完成对业务的承载。通过虚拟化带动态资源扩展,电信级可靠性、根据业务需求,物理服务器选择使用高性能4路服务器,虚拟化计算资源池增加25台物理服务器,虚拟化资源池扩建到300颗CPU,物理计算资源池扩建到70台高性能服务器。
(2)存储资源池建设
本次建设存储资源池分为分布式存储和集中式存储两部分。通过划分卷的方式提供给虚拟化平台和物理计算资源池使用。
分布式存储规划建设增加2IOT,采用三副本机制,可用容量达70T,通过选用5台2路机架式服务器和分布式存储软件完成搭建,所有数据使用三副本的机制对数据进行安全保护,建设分布式存储,主要用于存储一些备份文件、虚拟机镜像等业务的数据,同时也用于承载部分轻载虚拟机运行数据。
集中式存储现网已有可用容量90T,通过2台高性能独立式存储实现双活,保证在某一台存储出现问题时可快速接管。此次建设集中式存储容量增加100T。建设集中式存储,主要用于存储一些对数据读写速度较高、数据安全性较高的应用,如数据库等。
(3)网络资源池建设
此次整网选用业界先进的VXLAN组网架构,所有设备支持VXLAN网络,在管理区部署SDN控制器。根据业务场景不同,灵活选用虚拟交换机或物理数据中心接入交换机接人VX-LAN网络,网络配置有SDN自动下发,解决多租户隔离及IP地址重叠等问题。
存储网分为FC网络和IP网络。FC网络在存储与服务器中间通过专用的FC交换机进行互联,提高数据传输速率。IP网络是为分布式存储进行互联及对外提供存储组建,通过万兆网络上行到核心交换机对外提供存储服务。
根据业界使用情况,本次选用扁平式二层网络建设。整网选用接入千兆网络,骨干万兆网,核心设备选用高密行数据中心交换机,数据库接入选用万兆交换机,业务服务器选用高性能干兆接入万兆上行交换机。
按照国家相关规范要求,实现两张网络业务网逻辑隔离,安全数据交换。
2.3 平台支撑层建设
平台支撑层在基础设施基础上,构建政务业务所需的数据库、中间件等开发环境、运行环境和集成环境。
支持的数据库类型包括政务业务常用的Oracle、SQLServ-er、MySQL等。中间件包括缓存中间件、消息队列中间件等。
平台支撑层架构上可支持容器等新技术趋势,为未来政务业务的微服务架构升级提供技术保障。
2.4 云服务层建设
2.4.1 政务云服务目录建设
政务云服务平台的建设,是为了构建统一的云资源调度、分配平台,更好地满足政务业务系统的部署、优化、升级。因此,服务目录需尽可能包含政务业务系统部署、管理、运维过程中所需的基础设施、数据库、中间件等一系列软硬件环境。政务云服务目录设计应至少包含如下重点云服务种类:
1)云主机服务
云主机服务是政务云平台在基础设施应用上的重要组成部分。云主机服务能满足各用户维护自己的计算资源,当用户的计算资源需求发生改变时,可以按照省政务专有云提供的资源随时进行计算资源的提升。
2)裸金属服务器服务
政务云服务平台可直接向用户提供裸金属服务器的申请、下发,以满足特殊接口需求、高性能需求等业务系统的部署、管理。
3)云存储服务
云存储提供块存储服务。客户可以通过客户端/浏览器访问。云存储将网络中各类存储设备通过应用软件集合起来协同工作,对外提供数据存储和业务访问功能的一个系统。
4)云防火墙服务
对于省政务云,需要通过多种形式对外提供云资源的出租服务,在考虑政务云整体安全防护的同时,也要关注针对不同租户个性化的安全防护需求,租户的个性化安全部署可以作为云安全服务提供给用户,在满足用户需求的前提下,也要达到可运维、可管理的目的。
5)云负载均衡服务
云负载均衡可以实现对网络设备和服务器带宽的有效扩展,充分利用多台服务器的业务处理能力,通过合理的调度算法和健康检查双方,可以有效感知服务器的负载并将业务流量调度到最恰当的服务器上,从而提高网络的灵活性和可用性。
6)云防病毒服务
云查杀引擎,基于大数据和云计算技术,不仅扫描速度比传统杀毒引擎快10倍以上,而且不再需要频繁升级病毒/木马库。只要终端能够连接云(私有,公有),就能实时与云安全数据中心无缝对接,利用服务器端的最新木马库对虚拟机进行扫描和查杀。而且占用系统资源极小,实现了用户“零负担”。
7)云备份服务
在云计算环境中,提供2类云备份服务,第一类服务是对用户本地数据备份到云端的数据备份服务;第二类服务是对用户运行在云平台上业务应用及数据的备份服务。
8)云數据库服务
基于按需即供的设计思路,向云应用提供关系型数据库服务,包括MySQL、MS SQL Server、ORACLE等。功能上支持数据库的创建和访问,数据库的管理、备份和恢复,支持用户使用客户端软件进行数据库管理。
9)大数据平台服务 支持自动化交付Hadoop、Map Reduce等大数据基础环境,便于快速满足用于政务数据分析的基础资源需求。
10)云容器服务
提供容器服务,可快速将业务系统的运行环境进行打包,便于轻量级业务的快速部署、扩展。并为政务业务系统向微服务架构升级提供技术支撑。
11)中间件服务
提供RabbitMQ、Redis等常用的中间件云服务,满足政务业务系统构建时对缓存、队列中间件的需求。
2.4.2 虚拟数据中心(vDC)建设
虚拟数据中心(VDC)是对组织/租户/项目所使用的虚拟资源的封装和边界定义,特指分配给组织的虚拟资源的集合对象,一般包括计算、存储和网络资源。组织VDC在形式和内容上类似于一个物理数据中心,是物理数据中心在虚拟化层的形式表现。云平台为租户提供云主机、云存储、云网络.云安全等虚拟基础设施资源,基于这些虚拟资源,租户可以在云平台中构建自己的vDC,租户具有VDC内云资源的完全控制权,从而保证租户业务、数据的安全。同时各租户的vDC彼此安全隔离,如图2所示。
2.5 政务云大数据服务平台建设
由于安徽省电子政务外网云平台组网结构分为公用网络和互联网两大模块,因此根据组网情况分别在两大模块的大數据区部署5个大数据节点,共10个节点。每个节点均包含计算、存储能力。同时,结合云计算平台,发挥性能最大利用率,真正实现“云数融合”,将大数据集群部署在云平台之上,利用通用的开发接口,通过统一门户实现资源的便捷运维管理,同时向上提供大数据平台服务,详细结构如图3所示。
大数据服务平台能够提供对应政府异构性比较复杂的多样场景处理工具。如面向结构化海量实时运算的MPP大规模分布式架构,面向半结构化、非结构化离线并行处理的Hadoop、Spark,面向流处理的Storm、Kafka等。通常政府大数据各类分析主题和应用场景纷繁复杂,为此需要政府大数据平台能够以融合的架构理念,实现对政府应用场景的全覆盖,并能够将最适合的底层技术实现适配上层服务,做到各尽所能、协同高效。
基于大数据平台的架构,可以实现对汇聚到中心库中的大量的信息资源进行资源目录动态管理;对各信息资源涉及的元数据进行元数据血统分析、影响分析,逐步实现元数据的标准化;对信息资源的质量进行管理,包含质量规则制定、执行、生成报告,促进数据质量不断提升。
大数据服务平台还能实现数据综合利用和管理,通过服务管理平台实现对各类数据安全可靠的API调用;通过开放平台实现数据加密、脱敏、分级授权,给社会提供数据、接口、应用等多种形式的数据开放。通过运营监控平台实现数据API调用的综合监控。
参考文献:
[1]李思瓯.基于云计算的电子政务服务平台构建研究[D].上海:华东政法大学,2015.
[2]吴兴和.湛江市电子政务云平台构建研究[D].长沙:中南大学,2014.
[3]杨龙刚,贾贝贝.基于IaaS的政务云平台架构设计与实现[J]数据通信,2018(5):1-3.
[4]刘彬芳,刘越男,钟端洋.欧美电子政务云服务安全管理框架及其启示[J].现代情报,2018,38(10):32-37.
[5]王会金,刘国城.大数据时代政务云安全风险估计及其审计运行研究[J].审计与经济研究,2018,33(5):1-11.
转载注明来源:https://www.xzbu.com/8/view-15150112.htm