張劍

【摘要】本文闡述了在混合云技術(shù)架構(gòu)下，利用云計算三層服務模IaaS、PaaS、SaaS，以及結(jié)合中央人民廣播電臺（以下簡稱中央電臺）廣播互動需求，設(shè)計了廣播直播互動信息平臺，同時針對混合云安全方面做了安全設(shè)計。

【關(guān)鍵詞】混合云 廣播直播互動 混合云安全

一.引言

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，我們每一個人，不管你愿不愿意都被網(wǎng)絡(luò)包圍、裹挾。廣播媒體也不例外的融入網(wǎng)絡(luò)洪流中，新聞、資訊等信息在不同媒介平臺（廣播、互聯(lián)網(wǎng)）之間流動，從而加強了廣播互動的普遍性、及時性及有效性。中央電臺大部分頻率也開始借助互聯(lián)網(wǎng)優(yōu)勢進行節(jié)目互動，例如：微信、微博等網(wǎng)絡(luò)媒體，并取得了很好的效果，但每個頻率自成一體，設(shè)備單一可靠性低，信息資源形成孤島無法共享，互動信息技術(shù)平臺沒有安全保障，所以急需設(shè)計一套完整的直播互動信息平臺，從系統(tǒng)架構(gòu)到互動信息系統(tǒng)設(shè)計，滿足安全播出、互動信息共享需求，以多種互動手段應用，將快捷、人性化的方式為主持人、廣播受眾提供良好的信息互動平臺。

二.設(shè)計目標

本次設(shè)計將傳統(tǒng)的互動手段同新興的新媒體方式加以整合，旨在搭建統(tǒng)一的直播室互動信息平臺，并能實現(xiàn)以下功能：

1.匯聚和整合互聯(lián)網(wǎng)信息

匯聚散落在網(wǎng)絡(luò)上的各類新媒體平臺內(nèi)容，互動信息通過統(tǒng)一接口采集、審核、播出、發(fā)布，把直播室正在發(fā)生的事情呈現(xiàn)在互聯(lián)網(wǎng)上，直播室不再是互聯(lián)網(wǎng)的旁觀者。

2.兼顧考慮系統(tǒng)設(shè)計的安全性和時效性

既要保障安全播出工作又要發(fā)揮出利用新媒體平臺進行互動時高實時性的特點，設(shè)計時兼顧考慮互動的安全性與時效性。

·建立微博、微信、新聞網(wǎng)站等信息接入和頻率單位信息發(fā)布內(nèi)容、導向的審核流程，做到內(nèi)容、導向可管；

·完善用戶管理和權(quán)限分配系統(tǒng)，杜絕網(wǎng)絡(luò)安全隱患，做到系統(tǒng)安全可控；

·使用防篡改技術(shù)鎖定審核后的播出內(nèi)容，保證播出內(nèi)容可信；

·確保信息接入和發(fā)布的時效性。

3.提供良好的用戶體驗

提供多種互動手段應用，以快捷、人性化的方式為主持人、導播、嘉賓、聽眾提供良好的互動功能。

4.提供互動數(shù)據(jù)存儲與分析

對各類互動信息進行歸納、整理和存儲，把有價值的信息資源化。通過歷史數(shù)據(jù)統(tǒng)計分析，為頻率提交個性化的數(shù)據(jù)分析報表。

三.系統(tǒng)架構(gòu)設(shè)計和功能設(shè)計

整個系統(tǒng)架構(gòu)設(shè)計理念應該以計算資源共享、成本節(jié)約、數(shù)據(jù)安全、使用靈活，反應快為原則，保證平臺使用者以更方便、更靈活、更快的實現(xiàn)廣播互動效果。

1.混合云架構(gòu)設(shè)計

目前根據(jù)不同需求，云計算主要有三種云部署模式：公有云、私有云和混合云，公有云是一組由第三方擁有和運營，被其他公司或個人使用的硬件、網(wǎng)絡(luò)、存儲、服務、應用以及接口的集合；私有云是一組由內(nèi)部機構(gòu)擁有，被其員工使用硬件、網(wǎng)絡(luò)、存儲、服務、應用以及接口的集合；混合云是私有云和公有云服務的結(jié)合，兩個環(huán)境之間有一個或多個連接點。混合云的優(yōu)點：

（1）節(jié)約空間和成本：以更低的成本租用公有云計算資源，不必再為內(nèi)部機房空間小、設(shè)備費用高而煩惱；

（2）更靈活：將私有云的安全和公有云的資源相結(jié)合，把私有重要數(shù)據(jù)保存在本地數(shù)據(jù)中心，同時利用公有云計算資源，以便更高效完成工作；

（3）擴展性好：可以利用公有云擴展能力，在流量突發(fā)時段可以隨時獲取更高的計算能力。

鑒于此，直播互動信息平臺既要要借助互聯(lián)網(wǎng)的力量增強互動效果，又要保證網(wǎng)絡(luò)內(nèi)部資源安全，所以本次設(shè)計采用混合云架構(gòu)模式，見圖1。

2.直播互動信息平臺設(shè)計

直播互動信息平臺設(shè)計分兩部分，第一部分從公有云抓取新聞信息、微信微博文字及語音信息，并進行有效性篩選；第二部分將篩選后的信息通過公有云和私有云安全通道傳送至私有云數(shù)據(jù)中心，并審核、處理后進行播出。

根據(jù)云計算三種交付模式：軟件即服務（saaS）、平臺即服務（PaaS）、基礎(chǔ)設(shè)施即服務（IaaS）。結(jié)合直播互動信息平臺需求，系統(tǒng)總體架構(gòu)劃分為四大層：LaaS、PaaS、SaaS及統(tǒng)一接入門戶，下層為上層提供支撐和服務，設(shè)計以下幾個部分服務平臺：互動資源服務、互動平臺服務、互動軟件服務、互動業(yè)務流程服務、虛擬化管理、虛擬化安全管理。如圖2。

（1）互動資源服務

互動資源服務，分兩部分，對于從互聯(lián)網(wǎng)、微信、微博等采集到的泛信息及篩選計算服務設(shè)計租用公有云虛擬化資源服務。但在租用的性能上應考慮到臺內(nèi)各頻率日常工作量，及在突發(fā)事件或特殊活動時期工作量。對于臺內(nèi)互動資源服務則采用虛擬化技術(shù)，將硬件服務器、存儲及網(wǎng)絡(luò)等進行池化，構(gòu)建出內(nèi)部資源池，存儲及共享從公有云傳送篩選后的互動信息數(shù)據(jù)，同時實現(xiàn)動態(tài)負載均衡、業(yè)務在線遷移、容錯等功能，提供一個安全高可用的基礎(chǔ)資源服務平臺。

（2）互動平臺服務

互動平臺服務，它提供了編程語言、庫、服務和工具，以創(chuàng)建和部署應用。在設(shè)計互動平臺服務時，應考慮到多種應用場景，在私有云環(huán)境中運行的應用，需要與公共云整合，加強提供給應用的計算能力；在私有云中，多個saaS應用需要整合，確保數(shù)據(jù)的一致性和可靠性。基于互動信息平臺的特點及需求，互動平臺服務應包括企業(yè)服務總線，運維支撐服務、業(yè)務數(shù)據(jù)服務、存儲分發(fā)服務、日志服務、數(shù)據(jù)安全服務等。

（3）互動軟件服務

互動軟件服務是根據(jù)互動信息使用需求，將不同軟件功能分別在公有云和私有云中實現(xiàn)。公有云中主要實現(xiàn)采集和過濾功能，通過新聞網(wǎng)站和微信、微博等新媒體服務商提供的開放接口將需要的新聞信息和聽眾粉絲互動信息采集下來。然后根據(jù)預設(shè)的過濾規(guī)則，將無效的互動信息及關(guān)鍵詞、敏感詞等進行過濾。在私有云內(nèi)部主要功能將公有云過濾后的有價值信息進行審核、篩選、播放、入庫存儲，同時應可實現(xiàn)輔助功能例如：互動信息的收藏、即時統(tǒng)計功能，節(jié)目直播過程中進行的投票、抽獎、搖一搖等相關(guān)數(shù)據(jù)統(tǒng)計等。endprint

（4）互動業(yè)務流程服務

互動業(yè)務流程服務設(shè)計有利于互動業(yè)務模型的建立，有利于資源的優(yōu)化，提高整個業(yè)務運行的響應速度。除了主業(yè)務流程設(shè)計，還根據(jù)需要進行輔助業(yè)務流程設(shè)計?；有畔⒌膩碓粗饕ㄎ⑿?、微博和短信內(nèi)容，信息采集之后，經(jīng)過過濾、篩選、編輯/標注、審核、鎖定后，方可播出，并保證播出的內(nèi)容未經(jīng)篡改，播出后的內(nèi)容自動入庫。輔助流程主要涉及審核流程，如發(fā)起審核、一審、二審、三審、歸檔等。如圖3。

（5）虛擬化管理

私有云實現(xiàn)不僅僅需要虛擬化技術(shù)，還需要統(tǒng)一管理。本設(shè)計旨在實現(xiàn)對應用數(shù)據(jù)庫務域的虛擬化資源的集中統(tǒng)一管理，能夠?qū)Ψ掌魈摂M化系統(tǒng)、桌面云虛擬化系統(tǒng)進行虛擬機及其資源的分配、虛擬機的部署、遷移、虛擬機性能的監(jiān)控等各方面進行統(tǒng)一的配置管理，提供虛擬化應用環(huán)境的安全和管控。

A.資源管理

實現(xiàn)自動識別物理資源和虛擬化資源，可查看物理服務器和虛擬機的資源信息，包括擁有的資源、配置等，并實現(xiàn)對物理資源和虛擬化資源的拓撲管理，并實現(xiàn)對資源域、存儲資源、網(wǎng)絡(luò)資源物理服務器資源的管理，實現(xiàn)對模板、鏡像、許可證及配置的管理。

B.虛擬機管理

虛擬機管理服務提供對虛擬機完整生命周期的管理、虛擬機配置的管理、虛擬機批量部署、虛擬機克隆、虛擬機快照、虛擬機的運行控制等。

C.資源部署調(diào)度

資源部署調(diào)度能夠滿足資源分配、資源動態(tài)增減、資源綁定、資源使用優(yōu)先級、資源遷移、負載均衡、節(jié)能管理和資源調(diào)度策略等功能。

D.高可用性管理

能夠?qū)崿F(xiàn)多臺物理服務器的集群化，通過集群管理可以實現(xiàn)集群內(nèi)虛擬機的負載均衡、在線遷移、故障切換等多種高可用功能。并支持對物理服務器和虛擬機的運行狀態(tài)進行監(jiān)控，實現(xiàn)故障切換。

E.用戶管理

虛擬化平臺提供用戶管理、用戶組管理、角色管理，并實現(xiàn)對用戶與資源綁定管理、用戶數(shù)據(jù)庫管理及操作日志審計。

F.運維監(jiān)控管理

運維監(jiān)控對虛擬化來說必不可少，監(jiān)控設(shè)計應從底層硬件、網(wǎng)絡(luò)層、虛擬化到操作系統(tǒng)、數(shù)據(jù)庫，再到應用系統(tǒng)，對系統(tǒng)的運行狀態(tài)，運維人員操作進行監(jiān)控、記錄及安全告警。安全告警上報的內(nèi)容應包括告警的來源、告警產(chǎn)生的時間、告警產(chǎn)生的原因、服務提供者、服務使用者、告警級別、事件類型等信息。

四.安全管理

虛擬化平臺應能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全和虛擬機的數(shù)據(jù)安全，確保物理服務器的安全和虛擬機的安全，確保訪問的安全和虛擬化軟件的安全。

1.混合云安全設(shè)計

任何網(wǎng)絡(luò)均有安全風險，本次設(shè)計旨在將混合云的安全風險將為最低。

（1）物理安全

A.臺內(nèi)對租用公有云物理設(shè)備控制缺失，只有間接管理權(quán)限，存在物理數(shù)據(jù)存儲丟失的風險。為降低風險，我們在租用公有云服務時應選擇有安全認證及資質(zhì)的云計算公司，且用于存儲的物理設(shè)備應位于中國境內(nèi)，其次存儲在公有云上數(shù)據(jù)，應為非重要數(shù)據(jù)；

B.私有云內(nèi)部物理接入應進行嚴格控制并進行監(jiān)控，只有授權(quán)的人員才能夠進入。

（2）基礎(chǔ)安全

整個云計算環(huán)境中使用了大量操作系統(tǒng)、數(shù)據(jù)庫、Web等通用軟件，易遭受病毒入侵、漏洞攻擊、木馬、拒絕服務等安全風險，可為系統(tǒng)提供系統(tǒng)加固、防病毒和安全補丁等措施來降低安全風險；

（3）虛擬化安全

傳統(tǒng)防火墻及入侵檢測設(shè)備已經(jīng)不能完全滿足虛擬化內(nèi)部虛擬機之間惡意攻擊，需部署基于主機的虛擬防火墻，安裝在虛擬化平臺的管理控制層，對虛擬機進行出入站流量的控制，并對虛擬機之間的流量進行監(jiān)控，通過定義安全組來定義安全域邊界，同時對虛擬化邊界進行訪問控制，提供訪問控制、NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）、VPN（虛擬專用網(wǎng)絡(luò)）、負載均衡等功能；

（4）網(wǎng)絡(luò)安全

私有云內(nèi)部云數(shù)據(jù)中心需要通過網(wǎng)絡(luò)提供對外Web服務，面臨來自互聯(lián)網(wǎng)絡(luò)的各種安全威脅，如各種類型的DDOS攻擊和用戶數(shù)據(jù)遭竊聽和篡改等，抵御這些威脅，是云數(shù)據(jù)中心安全可靠運營的前提保障。本設(shè)計從“網(wǎng)絡(luò)隔離、攻擊防護、傳輸安全”等多個安全角度考慮，降低私有云安全風險。

A.建立DMZ（隔離區(qū)），在私有云和外部網(wǎng)絡(luò)訪問之間設(shè)立一個安全系統(tǒng)與非安全系統(tǒng)之間緩沖區(qū)，此區(qū)域內(nèi)放置Web服務器、FTP服務器等；

B.通過網(wǎng)絡(luò)劃分、隔離收到實現(xiàn)計算、存儲、管理、接入域的隔離，管理面單獨物理組網(wǎng)，保證網(wǎng)絡(luò)安全性，避免網(wǎng)絡(luò)風暴等問題擴散；

C.確保信息在網(wǎng)絡(luò)傳輸過程完整性、機密性和有效性，應在公有云和私有云之間提供SSL VPN（安全套接層虛擬專用網(wǎng)絡(luò)）接人，用戶訪問虛擬機應支持SSH（安全外殼協(xié)議）；

五.管理安全

虛擬化管理區(qū)別于傳統(tǒng)設(shè)備管理維護，對管理維護要求較高，以確?；A(chǔ)設(shè)施的安全運行

（1）通過對管理員設(shè)置“分權(quán)分域”限制，使不同級別、不同部門的管理員只負責各自管理范圍內(nèi)的業(yè)務，避免了越權(quán)操作，保護了系統(tǒng)數(shù)據(jù)的安全；

（2）部署集中的日志收集和存儲，及日志審計系統(tǒng)，包括操作日志、運行日志、“黑匣子”日志，及時發(fā)現(xiàn)不當或惡意操作、系統(tǒng)運行狀況及故障定位及處理。

（3）部署安全告警管理，發(fā)現(xiàn)違背安全策略的信息，以便及時處理排除安全隱患；

綜上所述，混合云模式下廣播直播室互動信息平臺設(shè)計已經(jīng)較好的滿足中央電臺直播互動需求，但技術(shù)實現(xiàn)是第一步，在實際使用中，根據(jù)各頻率市場定位需要從節(jié)目形態(tài)、內(nèi)容生產(chǎn)、經(jīng)營思路以及節(jié)目部門組織架構(gòu)等方面進行建設(shè)、改革，同時要及時總結(jié)經(jīng)驗，隨時根據(jù)需求對互動平臺技術(shù)系統(tǒng)進行科學的、合理的微調(diào)，以達到主持人、導播與聽眾真正互動效果。endprint