趙軍生，呂書林，王晨鶴，崔云龍，高 平

(中國移動通信集團(tuán)設(shè)計(jì)院有限公司河南分公司，河南 鄭州 450000)

0 引言

政務(wù)云指用于承載各級政務(wù)部門開展公共服務(wù)、 社會管理的業(yè)務(wù)信息系統(tǒng)和數(shù)據(jù)，并滿足跨部門業(yè)務(wù)協(xié)同、數(shù)據(jù)共享與交換等的需要，提供 IaaS，PaaS 和 SaaS 服務(wù)的云計(jì)算服務(wù)。目前，河南省在省市兩級由政務(wù)服務(wù)和數(shù)字化建設(shè)管理局或相關(guān)政府平臺公司牽頭匯總各委辦局需求，向不同的云服務(wù)商采購云服務(wù)。河南省政務(wù)云云平臺情況統(tǒng)計(jì)，如表1所示。

表1 河南省政務(wù)云云平臺供應(yīng)商匯總

政務(wù)云數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)計(jì)采用“分區(qū)+分平面”原則。根據(jù)業(yè)務(wù)系統(tǒng)情況將數(shù)據(jù)中心內(nèi)網(wǎng)絡(luò)劃分互聯(lián)網(wǎng)區(qū)、政務(wù)外網(wǎng)區(qū)、管理區(qū)、安全數(shù)據(jù)交換區(qū)以及異地災(zāi)備區(qū)。按照所承載的業(yè)務(wù)類型可分為政務(wù)公有云和政務(wù)專有云。其中，互聯(lián)網(wǎng)域的業(yè)務(wù)承載于政務(wù)公有云，專有域的業(yè)務(wù)承載于政務(wù)專有云，互聯(lián)網(wǎng)區(qū)和政務(wù)外網(wǎng)區(qū)物理隔離，兩個(gè)區(qū)域需要數(shù)據(jù)交換時(shí)，通過網(wǎng)閘組成的安全數(shù)據(jù)交換區(qū)來進(jìn)行。

在數(shù)據(jù)中心內(nèi)部將網(wǎng)絡(luò)劃分管理、業(yè)務(wù)、存儲3個(gè)平面，3個(gè)網(wǎng)絡(luò)平面物理相互隔離，互不影響。服務(wù)器通過不同網(wǎng)卡接入不同網(wǎng)絡(luò)平面。

1 問題分析

1.1 沒有統(tǒng)一入口、缺乏一致體驗(yàn)

云服務(wù)提供商不同導(dǎo)致各個(gè)云的接口標(biāo)準(zhǔn)、云服務(wù)內(nèi)容及范圍不盡相同，缺乏統(tǒng)一的服務(wù)界面，多平臺多賬號，多系統(tǒng)多服務(wù)目錄，嚴(yán)重影響了使用體驗(yàn)。在資源申請、審批等環(huán)節(jié)，采用全線下或線下+線上的模式，業(yè)務(wù)運(yùn)營能力無法統(tǒng)一集中提供，在復(fù)雜業(yè)務(wù)場景下無法快速、高效地開展運(yùn)營工作。

各個(gè)政務(wù)云分散規(guī)劃建設(shè)，云平臺廠商眾多，各個(gè)政務(wù)云平臺在技術(shù)架構(gòu)、運(yùn)營管理、服務(wù)使用、安全運(yùn)維等方面的標(biāo)準(zhǔn)規(guī)范不一，硬件型號多、軟件版本雜，缺乏全景的資源、安全、性能、告警的監(jiān)管能力與運(yùn)營數(shù)據(jù)視圖，無法統(tǒng)一管理各平臺的資源，無法統(tǒng)一監(jiān)控各政務(wù)云運(yùn)行狀況。

1.2 各資源池相互獨(dú)立、存在數(shù)據(jù)孤島

管理人員無法及時(shí)地把控整體資源的使用、運(yùn)行情況。每個(gè)云管平臺獨(dú)立獲取數(shù)據(jù)，再進(jìn)行人工匯總分析，過程中難免會出現(xiàn)數(shù)據(jù)的準(zhǔn)確性、及時(shí)性問題。

1.3 組織結(jié)構(gòu)復(fù)雜、無法靈活運(yùn)營

不同云管都有獨(dú)立的租戶用戶體系，組織結(jié)構(gòu)不能統(tǒng)一劃分，權(quán)限管控復(fù)雜。不同數(shù)據(jù)中心、不同種類的云資源服務(wù)價(jià)格均存在差異，開關(guān)、變更、升降配各種訂單結(jié)算費(fèi)時(shí)費(fèi)力，計(jì)量計(jì)費(fèi)不精確，調(diào)賬過程復(fù)雜。各級政務(wù)云大都僅提供IaaS基礎(chǔ)資源服務(wù)能力，不具備提供PaaS，SaaS服務(wù)的能力，服務(wù)內(nèi)容單一，業(yè)務(wù)支撐能力有限，人工智能、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)的應(yīng)用程度較低。

1.4 信息安全問題較突出

缺乏統(tǒng)一的建設(shè)標(biāo)準(zhǔn)，導(dǎo)致整體信息安全防護(hù)水平參差不齊。各單位對信息安全的理解存在差異，部分單位不具備全網(wǎng)安全整體感知、可視化運(yùn)維、有效識別發(fā)現(xiàn)未知威脅等方面能力，亟需統(tǒng)籌規(guī)劃。

2 系統(tǒng)方案

經(jīng)過對政務(wù)云現(xiàn)狀的研究和分析，亟需建設(shè)河南省統(tǒng)一的多云管理平臺和政務(wù)云運(yùn)營門戶，邏輯上形成河南省“1+18”的云平臺架構(gòu)，整合政務(wù)云平臺和數(shù)據(jù)中心接入“一朵云”，實(shí)現(xiàn)將不同業(yè)務(wù)單元、用戶、流程、平臺、資源、服務(wù)等在一個(gè)平臺上進(jìn)行綜合治理。通過對整個(gè)多云管理平臺的合理設(shè)計(jì)，滿足政務(wù)云運(yùn)營團(tuán)隊(duì)對多云環(huán)境的統(tǒng)一服務(wù)門戶、統(tǒng)一運(yùn)營、統(tǒng)一運(yùn)維的目標(biāo)。提供服務(wù)入云的統(tǒng)一審批流程，及以云服務(wù)產(chǎn)品為核心的服務(wù)目錄管理體系，提升各委辦局政務(wù)系統(tǒng)的云化部署效率。實(shí)現(xiàn)對多云環(huán)境的計(jì)算資源、網(wǎng)絡(luò)資源和存儲資源的統(tǒng)一資源視圖和監(jiān)控告警管理。多云管理平臺系統(tǒng)架構(gòu)如圖1所示。

圖1 多云管理平臺系統(tǒng)架構(gòu)

2.1 技術(shù)架構(gòu)

多云管理平臺基于微服務(wù)架構(gòu)實(shí)現(xiàn)，支持高可用及K8S容器化多副本部署。具備靈活擴(kuò)展的能力，平臺架構(gòu)支持快速橫向擴(kuò)展，可隨著資源規(guī)模的增長快速擴(kuò)展管理能力，擴(kuò)展過程中不會對平臺的操作造成影響，支持在線滾動升級，保障業(yè)務(wù)的連續(xù)性[2]。

2.2 門戶層

門戶層有以下功能：(1)面向河南省及地市各級運(yùn)維部門、運(yùn)營部門、云服務(wù)提供商等用戶，提供資源視圖、性能分析、費(fèi)用分析、費(fèi)用結(jié)算、成本優(yōu)化建議、資源考核評價(jià)、服務(wù)評價(jià)、統(tǒng)計(jì)報(bào)表等功能。

(2)面向政務(wù)云各廳局委辦用戶，提供政務(wù)云IaaS、PaaS、安全、大數(shù)據(jù)類等服務(wù)目錄瀏覽，查詢和申請。

(3)面向政務(wù)云監(jiān)管運(yùn)營單位，提供對河南省行政區(qū)域管理、云區(qū)管理、云資源監(jiān)管、組織與項(xiàng)目監(jiān)管、告警及云資源性能監(jiān)管、流程合規(guī)監(jiān)管、性能狀況監(jiān)管、訂單與費(fèi)用監(jiān)管、效能考核監(jiān)管、云服務(wù)商服務(wù)評價(jià)統(tǒng)計(jì)、資源合規(guī)稽查、多維大屏展示等功能。

2.3 統(tǒng)一運(yùn)營

構(gòu)建統(tǒng)一的政務(wù)云服務(wù)目錄，編排各原子服務(wù)API、服務(wù)申請頁面、申請流程，組合成用戶需要的云服務(wù)，發(fā)布到服務(wù)目錄，供租戶自助申請使用。提供統(tǒng)一的服務(wù)接入框架，管理員可以通過目錄服務(wù)功能實(shí)現(xiàn)對服務(wù)進(jìn)行分類、定義、發(fā)布、更改、刪除、查詢等管理操作。

構(gòu)建統(tǒng)一服務(wù)流程，提供服務(wù)申請、審批的統(tǒng)一服務(wù)流程，支持圖形化可靈活定義的流程編排，支持定義流程表單。

2.4 統(tǒng)一運(yùn)維管理

多云管理平臺支持全局統(tǒng)一的資源中心，運(yùn)營管理員、租戶可以在一張資源視圖內(nèi)管理所有區(qū)域的云服務(wù)資源。對阿里云、華為云、浪潮云等異構(gòu)云資源池接入，提供全局統(tǒng)一的資源管理中心，包含所有物理可見的網(wǎng)元設(shè)備(包括：服務(wù)器、存儲、網(wǎng)絡(luò)設(shè)備、IP、VLAN)、物理介質(zhì)、軟件資源、虛擬資源和系統(tǒng)配置項(xiàng)等。通過對資源的合理建模，屏蔽底層硬件細(xì)節(jié)和故障，整合系統(tǒng)中所有可用資源，實(shí)現(xiàn)對資源的生命周期管理和資源信息的統(tǒng)計(jì)分析，提供資源分配、資源定位、資源配置、資源查詢等基本服務(wù)。

省級管理員可監(jiān)控所有政務(wù)云資源的運(yùn)行狀況，根據(jù)資源拓?fù)?、性能指?biāo)和告警信息，評估資源是否異常。政務(wù)云資源監(jiān)控主要從計(jì)算、存儲、網(wǎng)絡(luò)及安全四個(gè)方面實(shí)時(shí)監(jiān)控各級云資源使用情況，收集各級政務(wù)云資源模塊的監(jiān)控指標(biāo)，探測資源模塊的可用性，使得省級管理員全面了解云上資源的當(dāng)前情況，進(jìn)而分析出業(yè)務(wù)的運(yùn)行狀況和健康度，并及時(shí)響應(yīng)異常報(bào)警，保證應(yīng)用程序順暢運(yùn)行。

系統(tǒng)支持利用自動化作業(yè)平臺，實(shí)現(xiàn)對日常運(yùn)維的自動化作業(yè)操作，具備靈活的任務(wù)編排及大并發(fā)處理能力，支持各種類型的腳本管理與執(zhí)行，定時(shí)任務(wù)、過程監(jiān)控等功能。通過靈活的任務(wù)編排引擎將零碎的運(yùn)維任務(wù)組成一個(gè)運(yùn)維流程，并實(shí)現(xiàn)自動化的調(diào)度，應(yīng)對滿足繁雜、耗時(shí)的各種運(yùn)維場景。

2.5 系統(tǒng)管理

系統(tǒng)管理包括用戶管理、賬號和口令管理、用戶權(quán)限管理和日志管理。

用戶管理實(shí)現(xiàn)與系統(tǒng)相關(guān)的人員的生命周期管理。賬號管理實(shí)現(xiàn)密碼管理，保證系統(tǒng)及數(shù)據(jù)的安全，用戶權(quán)限管理基于角色對權(quán)限進(jìn)行精細(xì)化管理，權(quán)限管理為系統(tǒng)管理員提供平臺角色創(chuàng)建、修改、刪除、權(quán)限關(guān)聯(lián)配置授權(quán)等管理。日志管理提供平臺所有用戶的操作訪問日志，可根據(jù)追蹤ID通過系統(tǒng)日志獲取完整操作鏈日志信息，平臺各個(gè)不同組件的日志下載及查看功能。

3 系統(tǒng)安全

本系統(tǒng)受到破壞后，會對社會秩序和公共利益造成嚴(yán)重?fù)p害，對國家安全造成損害。因此，系統(tǒng)從網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和系統(tǒng)安全等多個(gè)角度全面嚴(yán)格按照三級等保的要求進(jìn)行建設(shè)，優(yōu)化安全管理制度，提升安全管理水平[3]。本系統(tǒng)相關(guān)密碼采用國密算法，通過密碼評測。

4 結(jié)語

本方案能夠?qū)崿F(xiàn)各級政務(wù)云的統(tǒng)一門戶、統(tǒng)一運(yùn)營入口、統(tǒng)一運(yùn)維，能夠?qū)崿F(xiàn)云資源的全生命周期管理。后續(xù)可以結(jié)合政務(wù)業(yè)務(wù)的需求和使用場景，拓展PaaS層和AI等中臺能力，提供統(tǒng)一的網(wǎng)絡(luò)信息安全技術(shù)手段，豐富政務(wù)云服務(wù)能力，更好地滿足廳局委辦的云服務(wù)需求。遠(yuǎn)期可采用新型“中心+邊緣”云計(jì)算架構(gòu)，在鄭州建設(shè)政務(wù)中心云，其他18個(gè)地市建設(shè)邊緣節(jié)點(diǎn)，實(shí)現(xiàn)真正一朵政務(wù)云。對于新上云的業(yè)務(wù)系統(tǒng)，全部由新型政務(wù)云承載。