臧 釗，蘇爾慈，金 鴿，劉 軍，劉彥軍

（1.中國鐵路北京局集團有限公司 科技和信息化部，北京 100860；2.中國鐵道科學研究院集團有限公司 鐵路大數(shù)據(jù)研究與應用創(chuàng)新中心，北京 100081；3.北京華路時代信息技術股份有限公司，北京 100081；4.北京經(jīng)緯信息技術有限公司，北京 100081）

近年來，云計算正在成為信息技術（IT，Information Technology）產(chǎn)業(yè)發(fā)展的戰(zhàn)略重點[1]。各國已經(jīng)緊跟這一發(fā)展趨勢，紛紛向云計算轉(zhuǎn)型[2]，這帶來了云計算市場規(guī)模的快速增長。美國將云計算技術和產(chǎn)業(yè)定位為維持國家核心競爭力的重要手段之一，在制訂的一系列關于云計算的政策中，明確指出加大政府采購，積極培育市場，旨在通過強制采購和指定技術架構(gòu)，推進云計算技術的進步，推動產(chǎn)業(yè)落地發(fā)展[3]。

在《國務院關于促進云計算創(chuàng)新發(fā)展培育信息產(chǎn)業(yè)新業(yè)態(tài)的意見》[4]《關于積極推進“互聯(lián)網(wǎng)+”行動的指導意見》[5]《云計算綜合標準化體系建設指南》[6]等政策的指導下，近年來我國的云計算產(chǎn)業(yè)得到了迅速發(fā)展[7]，現(xiàn)已進入成熟發(fā)展期，產(chǎn)業(yè)格局基本穩(wěn)定。中國石油天然氣集團有限公司、國家電網(wǎng)有限公司、國電電力發(fā)展股份有限公司等國有企業(yè)，近年來也關注自身的信息化轉(zhuǎn)型升級，積極建立了各自的私有云平臺，并將主要的業(yè)務系統(tǒng)、行業(yè)大數(shù)據(jù)應用及物聯(lián)網(wǎng)應用遷移至云平臺。由此可見，云計算已經(jīng)發(fā)展成為各行各業(yè)信息化發(fā)展的重要組成部分。

鐵路的高速發(fā)展和業(yè)務運營離不開云平臺技術的支撐。目前全國鐵路18個集團公司當中，已經(jīng)有13個建設了自己的私有云平臺。

云平臺支持通過便捷、按需訪問等方式進入可配置的計算資源共享池，為用戶提供計算、網(wǎng)絡、存儲等能力，其中，計算資源共享池包括網(wǎng)絡、服務器、存儲、應用軟件、服務等[8-9]。云平臺在實現(xiàn)系統(tǒng)資源整合、降低信息化成本、提升安全保障機制等方面具有很大優(yōu)勢，將成為鐵路局集團公司信息化發(fā)展采用的重要技術和架構(gòu)組成。

本文以中國鐵路北京局集團有限公司（簡稱：北京局集團公司）為例，介紹鐵路局集團公司云平臺建設總體設計方案。云平臺采用基于成熟架構(gòu)的軟硬件產(chǎn)品搭建，總體架構(gòu)分為云基礎架構(gòu)、云服務管理平臺和云用戶[10]。目前，該架構(gòu)正在逐步完成從基礎設施即服務（IaaS，Infrastructure as a Service）到平臺即服務（PaaS，Platform as a Service）的轉(zhuǎn)變，未來也會考慮將部分服務轉(zhuǎn)變?yōu)檐浖捶眨⊿aaS，Software as a Service）。

1 總體架構(gòu)

北京局集團公司云平臺采用架構(gòu)成熟的軟硬件產(chǎn)品搭建，其架構(gòu)如圖1所示。在云平臺總體架構(gòu)中，底層為機房建設，包含硬件設備及相關線纜，實現(xiàn)云平臺資源層的建設。中間層通過云平臺資源層靈活規(guī)劃各個資源池，邏輯隔離，保證業(yè)務安全，再通過統(tǒng)一云管理平臺使云平臺資源池統(tǒng)一運行與維護（簡稱：運維），使業(yè)務資源共享按需分配。頂層設計為業(yè)務運營，根據(jù)業(yè)務部門規(guī)劃多級虛擬業(yè)務區(qū)，保證資源獨立性，角色和權(quán)限解耦，支持自定義角色，從而更符合云平臺建設需求。

圖1 云平臺架構(gòu)

云基礎架構(gòu)、云服務管理平臺和云用戶是云平臺重要的組成部分，具體如下。

云基礎架構(gòu)指的是將鐵路局集團公司、各站段的多個位置的數(shù)據(jù)中心統(tǒng)一起來，通過軟件定義的數(shù)據(jù)中心，使用標準的硬件設備（服務器、存儲、網(wǎng)絡），搭載成熟的軟件，完成抽象化、池化和自動化的過程。

云服務管理平臺是指在軟件定義的數(shù)據(jù)中心的基礎上，是運維、部署及計量的統(tǒng)一平臺和門戶，提供運維管理、服務調(diào)配和資源部署，以及使用量統(tǒng)計和報表等功能。

云用戶是指使用云平臺資源的用戶。云用戶通過云服務管理平臺申請并得到所需要的計算、存儲、網(wǎng)絡、安全等資源，進行自用軟件或服務的開發(fā)、測試及使用。在使用周期結(jié)束后，可以由用戶提出繼續(xù)使用的續(xù)約申請，也可以由云服務管理平臺執(zhí)行資源回收的操作。

2 云平臺功能

2.1 功能架構(gòu)

云平臺功能架構(gòu)如圖2所示。主要實現(xiàn)如計算、存儲、網(wǎng)絡等基本要素的虛擬化，以及實現(xiàn)軟件和硬件解耦。

圖2 云平臺功能架構(gòu)

2.2 資源虛擬化

資源虛擬化包括計算虛擬化、存儲虛擬化，以及網(wǎng)絡虛擬化。

（1）計算虛擬化，即服務器虛擬化。服務器虛擬化是指在物理服務器上安裝虛擬化軟件，然后部署虛擬機。經(jīng)過服務器虛擬化之后，物理服務器成為標準的池化資源。無論哪家廠商，只要其服務器是標準的X86服務器，都可以放到同一個資源池中使用。計算資源虛擬化，包括對CPU的虛擬化，以及對內(nèi)存的虛擬化。在執(zhí)行計算資源虛擬化之前，每臺物理服務器只能安裝一種操作系統(tǒng)。在虛擬化之后，每臺物理服務器可以安裝多種相互獨立的操作系統(tǒng)。

（2）存儲虛擬化是將同一個集群中所有服務器內(nèi)置的硬盤虛擬成一個大的數(shù)據(jù)存儲（Datastore），供集群內(nèi)所有服務器上的虛擬機使用。存儲資源虛擬化需要使用的硬件包括用于緩沖層的固態(tài)盤（SSD，Solid State Disk），用于容量層的 SSD 或硬盤驅(qū)動器（HDD，Hard Disk Drive），以及用于連接硬盤的Raid 卡（Raid0/1）。

（3）網(wǎng)絡虛擬化將底層的硬件網(wǎng)絡視為基于IP的承載網(wǎng)，底層網(wǎng)絡可以是多廠商、多型號，既可以是傳統(tǒng)的3層架構(gòu)，也可以是新型的兩層架構(gòu)。網(wǎng)絡虛擬化主要解決以下兩個問題。

①突破傳統(tǒng)的二層網(wǎng)絡域的限制，將虛擬化資源組成更大的資源池，在資源池范圍內(nèi)。虛擬機可以隨意遷移，網(wǎng)關一直跟隨虛擬機，保障業(yè)務不會中斷。

②在虛擬化資源池的范圍內(nèi)，使用分布式防火墻提供邏輯隔離，使不同等級保護標準的應用、不同功能（如開發(fā)、測試、生產(chǎn)）的虛擬機可以共同部署在同一個虛擬化資源池中。

虛擬網(wǎng)絡組件以VIB文件的格式安裝到每臺物理服務器的計算虛擬化軟件內(nèi)核中。安裝是以集群為單位的，每個集群只需要通過單擊鼠標就可以完成安裝。當已經(jīng)安裝過虛擬網(wǎng)絡組件的集群擴展服務器時，后擴展的服務器會自動安裝虛擬網(wǎng)絡組件。虛擬網(wǎng)絡組件和傳統(tǒng)的網(wǎng)絡類似，能提供交換、路由、防火墻、虛擬專用網(wǎng)（VPN，Virtual Private Network）等功能。

2.3 資源池運維

虛擬化資源池可以通過平臺管理向現(xiàn)有的運維管理平臺提供相應的接口，包括SNMP/CIM/Rest API等多種管理接口。同時，虛擬化資源池具有和傳統(tǒng)的運維管理平臺不同的很多特征，因此，支持云平臺運維管理軟件對整個虛擬化環(huán)境進行全方位的健康、性能、容量等方面的管理和監(jiān)控。云平臺運維管理軟件從虛擬環(huán)境的每個級別的每個對象（從單個虛擬機和磁盤驅(qū)動器到整個群集和數(shù)據(jù)）收集性能數(shù)據(jù)，存儲并分析這些數(shù)據(jù)，并實時提供虛擬環(huán)境中任意位置存在的問題或潛在問題等信息。

云平臺運維管理軟件提供在動態(tài)虛擬環(huán)境和云計算環(huán)境中，主動確保服務級別和管理容量所需的運維控制面板、性能分析和容量優(yōu)化功能。其運維管理解決方案的管理界面可以顯示虛擬基礎設施的健康狀態(tài)、風險和效率，除此之外，還可以顯示當前虛擬基礎架構(gòu)中各節(jié)點資源的使用情況和需求，并以數(shù)字化形式直觀地呈現(xiàn)負載的高低情況。鐵路局集團公司可以通過云平臺運維管理軟件對于主要的環(huán)境資源，包括CPU、內(nèi)存、網(wǎng)絡、存儲等資源的使用情況進行匯總。

服務調(diào)配軟件是一組工具，幫助實現(xiàn)資源的服務調(diào)配和部署，為應用用戶提供自服務門戶。服務調(diào)配涉及眾多相互關聯(lián)的業(yè)務組成元素：包括藍圖、業(yè)務組和用戶、基于角色用戶授權(quán)、資源預留、共享基礎架構(gòu)的管理、機架資源的生命周期等。服務調(diào)配軟件包括多個組件，這些組件相互協(xié)作，為資源池提供以下功能：統(tǒng)一的信息技術服務目錄；基礎架構(gòu)服務調(diào)配；應用服務調(diào)配；以服務的形式提供任何服務（XaaS，X as a Service）。

2.4 防病毒

傳統(tǒng)的防病毒手段是在操作系統(tǒng)內(nèi)安裝防病毒代理，通過集中的服務器對每個操作系統(tǒng)內(nèi)的病毒庫進行更新。這樣帶來的問題是，操作系統(tǒng)內(nèi)的殺毒代理成本較高。此外，定期更新病毒庫會造成所有的操作系統(tǒng)同時更新，這對網(wǎng)絡和存儲會產(chǎn)生很大的影響。在虛擬化環(huán)境中，殺毒軟件的部署有了新的變化，每臺虛擬化主機部署一個殺毒虛擬機，業(yè)務機操作系統(tǒng)內(nèi)不再部署殺毒代理，這種機制叫做無代理殺毒。無代理殺毒很好地解決了上述成本高、病毒庫更新對網(wǎng)絡和存儲影響大的問題。目前，國內(nèi)主流的殺毒軟件都支持這種無代理殺毒的部署方式。

2.5 NAS存儲

虛擬化資源池中的業(yè)務虛擬機使用的存儲主要來自服務器內(nèi)部的存儲組成的分布式存儲，通過多副本方式存儲在多個主機、多塊硬盤上。作為業(yè)務虛擬機的備份手段，需要部署網(wǎng)絡附接存儲（NAS，Network Attached Storage）。

虛擬化資源池中的業(yè)務虛擬機使用分布式存儲方式，通過多副本方式存儲在多個主機、多塊硬盤上。NAS通過IP網(wǎng)絡訪問，和業(yè)務網(wǎng)絡共用，無須建設類似存儲區(qū)域網(wǎng)（SAN，Storage Area Network）的專用網(wǎng)絡。

3 關鍵技術

3.1 資源池虛擬化技術

鐵路局集團公司云原生數(shù)據(jù)中心的網(wǎng)絡架構(gòu)，利用統(tǒng)一的底層物理網(wǎng)絡開展設計，建設統(tǒng)一的虛擬化資源池，這個資源池可以隨著承載應用的增加而隨時增加服務器的數(shù)量。每個機架部署10～12臺服務器，每個機架部署1臺架頂交換機，2個相鄰的機架可以共用架頂交換機，形成雙上連的V字型連接。在統(tǒng)一的資源池之外，還有獨立的辦公邊界集群和生產(chǎn)邊界集群，在實際使用虛擬化資源池的資源時，為辦公分配的資源和為生產(chǎn)分配的資源，在資源池內(nèi)部無法相通，僅能通過辦公網(wǎng)絡和生產(chǎn)網(wǎng)絡之間的物理防火墻策略決定是否可以相通。這個設計最大程度上提升了資源池的利用率，使辦公類應用和生產(chǎn)類應用在內(nèi)網(wǎng)的統(tǒng)一資源池上相向增長，滿足等級保護和安全隔離的需要。資源池虛擬化如圖3所示。

圖3 資源池虛擬化

在圖3中，藍色表示統(tǒng)一的虛擬化資源池，辦公類應用和生產(chǎn)類應用在資源池內(nèi)部是互相天然隔離的，借助辦公邊界網(wǎng)關和生產(chǎn)邊界網(wǎng)關，各自使用虛擬化網(wǎng)絡連接到各自的物理網(wǎng)絡中，在鐵路內(nèi)部網(wǎng)絡（簡稱：內(nèi)網(wǎng)）的辦公和生產(chǎn)之間的防火墻這里交匯，通過防火墻策略決定它們之間是否可以互訪。

3.2 網(wǎng)絡隔離技術

鐵路局集團公司信息化網(wǎng)絡方案架構(gòu)總體上通過邏輯隔離的方式，隔開了內(nèi)網(wǎng)辦公區(qū)及內(nèi)網(wǎng)生產(chǎn)區(qū)。

通過對核心交換的邊界風險與需求分析，利用網(wǎng)絡層目前已經(jīng)部署的防火墻，可以對所有流經(jīng)防火墻的數(shù)據(jù)包按照嚴格的安全規(guī)則進行過濾，將所有不安全的或不符合安全規(guī)則的數(shù)據(jù)包屏蔽，杜絕越權(quán)訪問，防止各類非法攻擊行為。同時可以和內(nèi)網(wǎng)安全管理系統(tǒng)、網(wǎng)絡入侵檢測系統(tǒng)等進行安全聯(lián)動，為網(wǎng)絡創(chuàng)造全面縱深的安全防御體系。資源池內(nèi)部的東西向隔離技術利用虛擬化安全技術，利用加載在虛擬機或容器層面的分布式防火墻，實現(xiàn)在資源池內(nèi)部，同一應用之間，或者不同應用之間的安全隔離。

4 結(jié)束語

本文以北京局集團公司為例，提出了鐵路局集團公司云平臺建設總體設計方案，該平臺具有資源虛擬化、存儲虛擬化、網(wǎng)絡虛擬化功能，優(yōu)化了鐵路信息系統(tǒng)的計算、網(wǎng)絡、存儲等能力，能夠整合系統(tǒng)資源、降低信息化成本。下一步，本文將對大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等技術進行研究，讓現(xiàn)有系統(tǒng)得到進一步優(yōu)化，提高其先進性和普適性。