曾觀恩

【摘要】? ? 自然資源信息化是輔助自然資源合理規(guī)劃和有效管控的有力手段，而自然資源云生態(tài)的構(gòu)建是信息化的基礎(chǔ)。本文以XX市自然資源局云計算項目為例，探討自然資源云生態(tài)體系的構(gòu)建與落地。

【關(guān)鍵字】? ? 云生態(tài)? ? 云計算技術(shù)? ? 數(shù)據(jù)中心? ? 自然資源信息化

引言：

黨的十九屆五中全會通過的《中共中央關(guān)于制定國民經(jīng)濟(jì)和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠(yuǎn)景目標(biāo)的建議》提出，要加快構(gòu)建以國內(nèi)大循環(huán)為主體、國內(nèi)國際雙循環(huán)相互促進(jìn)的新發(fā)展格局。而國內(nèi)大循環(huán)的一個戰(zhàn)略關(guān)鍵是，以生態(tài)文明為導(dǎo)向，以鄉(xiāng)村振興為基礎(chǔ)，以城鄉(xiāng)融合為趨勢，強(qiáng)化空間生態(tài)資源統(tǒng)籌規(guī)劃，有效開發(fā)利用自然資源，帶動社會投資，實現(xiàn)生態(tài)產(chǎn)業(yè)化、產(chǎn)業(yè)生態(tài)化，最終達(dá)成的是生態(tài)資本深化。自然資源的合理規(guī)劃和有效管控，是戰(zhàn)略實施的重要一環(huán)，而自然資源信息化是輔助自然資源管理的有力手段，其意義重大。本文以XX市自然資源局云計算項目為例，說明云計算與數(shù)據(jù)中心的設(shè)計與落地，探討自然資源云生態(tài)體系的構(gòu)建思路，為自然資源信息化建設(shè)夯實基礎(chǔ)。

一、自然資源云生態(tài)建設(shè)的三個階段

云計算的本質(zhì)是將大量用網(wǎng)絡(luò)連接的計算資源統(tǒng)一管理調(diào)度，構(gòu)成一個計算資源池，向用戶提供可用、按需、便捷的網(wǎng)絡(luò)服務(wù)。自然資源管理領(lǐng)域計算復(fù)雜、數(shù)據(jù)龐大，云計算作為數(shù)據(jù)資源的底層支撐著上層的大數(shù)據(jù)處理，非常適合使用云計算處理各業(yè)務(wù)場景。以云計算為核心，輔以5G和人工智能等技術(shù)是推動生產(chǎn)力發(fā)展的重要引擎。在這場數(shù)字化浪潮中，必須積極擁抱云計算技術(shù)，設(shè)計符合技術(shù)發(fā)展趨勢、面向未來的IT基礎(chǔ)構(gòu)架，才能贏得未來。

以下分三個建設(shè)階段介紹市自然資源云生態(tài)的建設(shè)情況及未來規(guī)劃設(shè)計：

1.1一期：云平臺建設(shè)與數(shù)據(jù)中心雛形

云平臺一期主要是實現(xiàn)云的簡單構(gòu)型和數(shù)據(jù)中心雛形，盡量保證架構(gòu)合理，便于后期擴(kuò)展。

1.1.1虛擬化技術(shù)

虛擬化是對計算機(jī)系統(tǒng)的仿真，它可以使一臺物理計算機(jī)能夠運行一臺或多臺虛擬機(jī)（VM）。作為云計算的核心技術(shù)之一，虛擬化技術(shù)具有大幅降低IT成本、提高業(yè)務(wù)部署靈活性、降低運維成本等優(yōu)勢。虛擬化技術(shù)，簡單的理解，就是在一臺服務(wù)器上，使用虛擬機(jī)軟件（華為FusionSphere、VMWare Workstation、VSPhere、Hyper-V等），可以運行多個邏輯上相互獨立的虛擬機(jī)（Virtual Machine，簡稱VM）。

1.1.2云計算設(shè)備選型

計算節(jié)點服務(wù)器的選型是云平臺架構(gòu)的第一步，要對服務(wù)器進(jìn)行虛擬化適應(yīng)性分析與評價。服務(wù)器性能量化指標(biāo)主要有tpmC和SPEC兩個體系，根據(jù)指標(biāo)計算、實際需求以及價格綜合考慮，選定華為FusionServer Pro 5885H V5服務(wù)器×6，該計算節(jié)點適用于關(guān)鍵業(yè)務(wù)的高可靠高性能要求，虛擬化、高性能計算（HPC）、數(shù)據(jù)庫等計算密集型業(yè)務(wù)需求。數(shù)據(jù)中心仲裁服務(wù)器選擇華為FusionServer 1288H V5，實現(xiàn)數(shù)據(jù)主從判斷、主備交互。FC SAN光纖交換機(jī)最終選取博科BR-6505×2，雙活數(shù)據(jù)存儲選擇華為OceanStor 5210 V5 48T×2等。

1.1.3云平臺架構(gòu)設(shè)計與搭建

根據(jù)行業(yè)的成熟架構(gòu)經(jīng)驗，市自然資源云平臺一期、二期的總體硬件架構(gòu)圖如下：

自然資源云平臺一期建設(shè)有高性能計算機(jī)點4個，F(xiàn)C SAN交換機(jī)兩臺，雙活存儲區(qū)，數(shù)據(jù)檔案存儲區(qū)以及萬兆以太網(wǎng)交換機(jī)構(gòu)成的一個規(guī)模較小的私有云平臺。自然資源云平臺二期建設(shè)桌面云計算區(qū)（2個H3C計算節(jié)點），增加一期云計算節(jié)點2個，擴(kuò)展金土工程存儲區(qū)、國土空間基礎(chǔ)信息平臺存儲區(qū)，同時拓展云平臺內(nèi)存上限，實現(xiàn)協(xié)同規(guī)劃編制的應(yīng)用，增加云平臺的計算能力、存儲能力和運行速度。

1.1.4數(shù)據(jù)中心雛形

數(shù)據(jù)中心是一種基礎(chǔ)信息設(shè)備架構(gòu)，用于放置計算機(jī)系統(tǒng)和相關(guān)組件，如網(wǎng)絡(luò)設(shè)備、存儲系統(tǒng)和電信設(shè)備。數(shù)據(jù)中心運行突發(fā)故障是無法預(yù)測的，隨時都有可能終止服務(wù)（如硬件故障、病毒、誤操作等情況），容災(zāi)備份就是數(shù)據(jù)安全的最后防線。由于資源限制，目前只實現(xiàn)了異機(jī)雙活數(shù)據(jù)中心。主數(shù)據(jù)中心用于承擔(dān)主業(yè)務(wù)，備份數(shù)據(jù)中心用于備份主數(shù)據(jù)中心的數(shù)據(jù)、配置、業(yè)務(wù)等。利用虛擬化技術(shù)，把閑置的資源整合，雙活數(shù)據(jù)中心的服務(wù)能力有效提高。雙活數(shù)據(jù)中心的建設(shè)要滿足三個條件：一是應(yīng)用雙活，也就是說數(shù)據(jù)庫一定要實現(xiàn)雙活，實現(xiàn)應(yīng)用的無感切換;二是網(wǎng)絡(luò)要雙活，業(yè)務(wù)網(wǎng)絡(luò)要保證能夠同時聯(lián)通兩個數(shù)據(jù)存儲區(qū)域;三是數(shù)據(jù)要雙活，兩邊的數(shù)據(jù)要能夠?qū)崿F(xiàn)被獨立使用。通過雙活數(shù)據(jù)中心區(qū)域的建設(shè)，加強(qiáng)應(yīng)用系統(tǒng)抗沖擊能力、自由調(diào)度能力。

1.2二期：云平臺擴(kuò)展與桌面云建設(shè)

為實現(xiàn)開放、集成、便捷的國土空間規(guī)劃協(xié)同編制環(huán)境，給規(guī)劃編制成員提供便捷的地圖、地理信息及分析工具，故搭建國土空間規(guī)劃協(xié)同編制桌面云平臺。平臺技術(shù)選型為H3C UIS-Cell 3010計算節(jié)點兩臺、NVIDIA vPC顯卡虛擬化、H3Cloud CAS云桌面管理軟件、亞信安全虛擬化深度安全防護(hù)系統(tǒng)DeepSecurity等，以圖1所示架構(gòu)接入到自然資源云平臺中。

同時，由于自然資源業(yè)務(wù)的不斷開展，云平臺一期的資源容量已略顯不足，故在二期增加同型號計算節(jié)點兩臺，增加金土工程存儲區(qū)、國土空間基礎(chǔ)信息平臺存儲區(qū)。擴(kuò)展后的云平臺資源規(guī)模相比增加一倍有余，同時增加桌面云功能，對自然資源信息化應(yīng)用承載能力更強(qiáng)，基礎(chǔ)支撐方式更多樣化。

1.3二期：融合云方向

混合云架構(gòu)是目前局信息架構(gòu)方式，但隨著技術(shù)的發(fā)展，IT基礎(chǔ)設(shè)施愈發(fā)復(fù)雜。IT資源不僅是物理服務(wù)器，還有虛擬機(jī)、容器，除了x86，還有小型機(jī)、ARM，甚至還有GPU、FPGA、TPU等異構(gòu)計算資源，同時還有國產(chǎn)化的趨勢要求，網(wǎng)絡(luò)和存儲也存在多種技術(shù)選擇。根據(jù)技術(shù)不確定以及ADI（應(yīng)用定義基礎(chǔ)架構(gòu)）的趨勢，面向未來的IT基礎(chǔ)設(shè)施架構(gòu)管理的最佳選擇是融合云（Unified IaaS）。所謂融合云是指融合管理分布在多云環(huán)境（本地IDC，私有云和公有云）中的所有IT基礎(chǔ)設(shè)施，構(gòu)建一個綜合IaaS平臺，是云生態(tài)的目標(biāo)形態(tài)。

首先，融合云面向的是多云環(huán)境。融合云部署場景中，IT基礎(chǔ)設(shè)施不僅包含本地機(jī)房的計算資源部分（含微服務(wù)架構(gòu)），還包含私有云平臺和政務(wù)云部分。融合主要是指三個方面的融合：首先是管理端的融合，實現(xiàn)資源管理的統(tǒng)一、資產(chǎn)臺帳統(tǒng)一等;其次是網(wǎng)絡(luò)端的融合，通過網(wǎng)閘、網(wǎng)絡(luò)地址映射等方式，實現(xiàn)各資源的互聯(lián)互通;再次是數(shù)據(jù)端的融合，借助網(wǎng)絡(luò)端的融合以及程序接口等方式，實現(xiàn)數(shù)據(jù)交互。通過管理端、網(wǎng)絡(luò)端、數(shù)據(jù)端三融合，最終實現(xiàn)資源的融合管理、融合應(yīng)用、高度協(xié)調(diào)，以適應(yīng)各復(fù)雜應(yīng)用架構(gòu)要求的挑戰(zhàn)。融合云實現(xiàn)整體異構(gòu)IT基礎(chǔ)設(shè)施的全面云化，面向智能技術(shù)、面向底層基礎(chǔ)設(shè)施的跨云協(xié)作、全面擁抱開源技術(shù)，為自然資源的信息管理手段提供堅實的基礎(chǔ)。

二、云生態(tài)的輔助環(huán)境

自然資源云生態(tài)的構(gòu)建，一些輔助環(huán)境和手段是必不可少的，如安全、網(wǎng)絡(luò)等。

2.1自然資源云安全機(jī)制設(shè)計

隨著云上應(yīng)用的不斷拓展，云生態(tài)體系所面臨的安全挑戰(zhàn)也不斷涌現(xiàn)。近年來，網(wǎng)絡(luò)攻擊手段層出不窮，包括木馬、勒索病毒、蠕蟲攻擊、緩沖區(qū)溢出攻擊、SQL注入等等，而傳統(tǒng)防火墻采用的是被動的防御機(jī)制，只要數(shù)據(jù)包具有合法的身份，就可以通過防火墻，對數(shù)據(jù)包中存在的攻擊行為無能為力。此類攻擊直接威脅到云體系運行秩序和信息系統(tǒng)安全，為此設(shè)計一套完整完善的安全防護(hù)體系非常有必要。

2.1.1云底層防毒

云平臺底層部署了虛擬化系統(tǒng)安全軟件，NSX分布式 IDS/IPS功能內(nèi)置于NSX平臺當(dāng)中，采用分布式的架構(gòu)，內(nèi)嵌到每臺主機(jī)的Hypervisor內(nèi)核中，可以對每一個流經(jīng)的數(shù)據(jù)包進(jìn)行威脅檢測，提供威脅阻止的能力。NSX分布式IDS/IPS技術(shù)方案的優(yōu)勢有全圖型化界面、簡化網(wǎng)絡(luò)體系架構(gòu)和運維、內(nèi)置詳細(xì)入侵行為的日志系統(tǒng)、特征碼可以自動聯(lián)網(wǎng)更新、安全策略無需隨虛擬機(jī)遷移變更等。

2.1.2計算環(huán)境安全

云計算區(qū)邊界設(shè)置了防火墻，對云邊界進(jìn)行防護(hù)。局系統(tǒng)內(nèi)全面部署了奇安信天擎安全系統(tǒng)，管理中心部署在云上，客戶端分別部署在物理服務(wù)器、虛擬機(jī)以及接入云平臺的用戶桌面PC，實現(xiàn)病毒查殺、補(bǔ)丁管理、網(wǎng)絡(luò)準(zhǔn)入、安全審計等功能。

2.1.3網(wǎng)絡(luò)層面的安全防護(hù)設(shè)備

由于等保2.0的要求，局城域網(wǎng)已自帶相對完整的網(wǎng)絡(luò)安全設(shè)備，為云平臺構(gòu)建了相對安全的網(wǎng)絡(luò)環(huán)境，比如網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)安全審計、入侵防御設(shè)備、防病毒網(wǎng)關(guān)設(shè)備、上網(wǎng)行為管理、以及綜合安全功能的堡壘機(jī)等。

2.2暢通的網(wǎng)絡(luò)環(huán)境

2.2.1三網(wǎng)合一設(shè)計

局目前主要的應(yīng)用網(wǎng)絡(luò)有自建城域網(wǎng)、政務(wù)外網(wǎng)和互聯(lián)網(wǎng)，三網(wǎng)合一（即三網(wǎng)融合）是指將上述三個網(wǎng)段相互滲透、互相兼容、整合成為統(tǒng)一的信息網(wǎng)絡(luò)，實現(xiàn)用戶在一臺主機(jī)上完成對三個網(wǎng)段的應(yīng)用訪問和使用，使網(wǎng)絡(luò)資源得到更充分的利用。我局的信息應(yīng)用部署的網(wǎng)絡(luò)位置以自建城域網(wǎng)為主，政務(wù)外網(wǎng)為輔，互聯(lián)網(wǎng)多為網(wǎng)絡(luò)地址映射。因此，三網(wǎng)合一使用戶可以無感、方便地使用各網(wǎng)絡(luò)位置的信息應(yīng)用。

2.2.2全光內(nèi)部網(wǎng)絡(luò)環(huán)境設(shè)計

全光網(wǎng)絡(luò)，是指網(wǎng)絡(luò)傳輸和交換過程全部通過光纖實現(xiàn)，信號只是在進(jìn)出網(wǎng)絡(luò)時才進(jìn)行電光和光電轉(zhuǎn)換，能極大提高網(wǎng)速。此前局大樓的樓宇智能化項目中完成全光內(nèi)部網(wǎng)絡(luò)的鋪設(shè)，除了樓層交換機(jī)到用戶端采用六類線外，其余均按全光網(wǎng)絡(luò)標(biāo)準(zhǔn)鋪設(shè)，實現(xiàn)云端內(nèi)部、數(shù)據(jù)中心的萬兆互聯(lián)，千兆到桌面。高速網(wǎng)絡(luò)環(huán)境為協(xié)同規(guī)劃編制桌面云、自然資源一體化平臺多應(yīng)用并發(fā)、多用戶在線等業(yè)務(wù)場景提供了良好的用戶體驗。

三、結(jié)束語

習(xí)近平總書記提出的山水田林湖草綜合規(guī)劃系統(tǒng)開發(fā)，實現(xiàn)生態(tài)資源的價值化。自然資源是國內(nèi)大循環(huán)的重要戰(zhàn)略錨點之一，輔助做好自然資源管理，是一項極具戰(zhàn)略意義的工作。自然資源云生態(tài)體系的健康繁茂，是自然資源信息化建設(shè)的必要條件。利用行業(yè)成熟架構(gòu)、整合現(xiàn)有信息基礎(chǔ)設(shè)施、思考未來技術(shù)趨勢，降低成本、提高資源利用率，為自然資源信息化建設(shè)作出積極貢獻(xiàn)。