本资料来源公开网络,仅供个人学习,请勿商用,如有侵权请联系删除。
1.1 总体架构
按照《XXX“数字政府”改革建设方案》要求,以管运分离为原则,通过企业的运营主体作用,推进“数字政府”建设与运营模式创新。XXX“数字政府”政务云平台采用购买云服务的方式,建设成为“两地三中心”的政务云数据中心体系。XXX“数字政府”政务云平台总体架构如下图所示:
图 41 总体架构图
如上图所示,云平台主要由基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)、云资源管理平台、云安全体系、云灾备体系、标准体系和运营体系等几部分组成。各部分主要建设内容如下:
1.标准体系
参考国家电子政务标准的总体系框架,制定XXX“数字政府”政务云平台的标准体系作为XXX省内云平台建设的标准指南,用于指导省级政务云平台、行业云平台、地市级政务云平台的建设,以保证各个政务云平台能够实现业务协同和数据共享。标准规范建设内容主要包括技术类标准、服务类服务、安全类标准和管理类标准。
标准体系需要定期根据政策法规的变化、技术路线的演进以及业务应用的需求等外部条件的变化对标准体系进行更新,以保证标准体系能够对云平台的建设起到确切的指导作用。
2.基础设施即服务(IaaS)
基础设施即服务(IaaS)通过采用资源池构建、资源调度、服务封装等手段,将IT设备迅速转变为可交付的IT服务,从而实现了基础设施层的随需服务,资源池化、快速扩展和服务可度量。IaaS以虚拟化技术对硬件资源进行抽象,实现资源管理优化和负载均衡,从而向外部提供动态、灵活的基础设施层服务。
IaaS将包括服务器、存储、网络及其他硬件在内的硬件设备,通过虚拟化技术进行整合,形成一个整体,对外提供数据计算、数据存储及运行环境等基础服务。这一层在对资源进行有效监控、管理的基础上,结合虚拟化技术,对外提供资源的池化管理和负载均衡,实现规模快速的扩展,并通过对服务模型的抽取,形成服务目录,为用户提供自动化部署的功能。
3.平台即服务(PaaS)
平台即服务(PaaS)是指云环境中的应用基础设施服务,主要包括有数据库、中间件、大数据基础平台、容器服务、公共支撑平台、区块链开发平台,用户利用PaaS平台创建、测试和部署应用和服务。
建设XXX“数字政府”政务云平台统一的PaaS资源池,打造承载技术能力服务和业务能力服务的平台,实现公共基础能力的按需供给和自动伸缩,支撑业务需求快速响应部署,降低业务的部署成本,提升服务效率。本期PaaS服务平台重点将从数据库服务平台、中间件服务平台、大数据基础平台、容器服务平台、公共支撑平台以及区块链开发平台等内容建设统筹的省级电子政务应用部署和运行平台。
4.软件即服务(SaaS)
软件(SaaS)即服务是在XXX“数字政府”政务云平台之上部署通用的公共应用服务。各单位在需要使用时,只需要向平台申请资源,即可以立即使用,使用完毕可以立即释放资源供其他单位使用,无需考虑系统的安装、维护等操作。而且,SaaS应用可以根据需求规模自动伸缩,灵活扩展。使用公共的SaaS软件,可以节约系统建设的重复投资,提高应用的使用效率。
综合考虑XXX省政务办公的需求以及SaaS软件的成熟程度等因素,本期政务云平台主要建设统一即时通讯服务、智能图像服务、视频服务、智能客服服务、舆情分析服务、云盘服务、短信通知服务、微信开发平台、位置服务和BI报表决策服务等公共应用,为各部门推荐统一、快速、稳定的SaaS服务。
5.云资源管理平台
本项目将建设一套逻辑上统一的云资源管理平台,采用门户集成的方式实现统一界面,形成“统筹管控平台+各类资源子服务平台”的两级建设架构,即形成以一级管控平台为统筹调度,二级服务平台为资源分配及调度的总体框架。从而一方面在资源层面实现无缝管理,即实现对异构云资源包括计算资源、存储资源、网络资源、数据库资源、中间件资源、安全资源、备份资源等的统一管控;另一方面在业务层面实现业务服务统筹运营,即实现异构云资源申请、监控和预警都能在云资源管理平台中统一的无差异化管理。
6.云安全体系
遵国家有关系统安全等级保护党政部门云计算服务网络安全管理等制度要求,按照“统一领导、统一标准、统一规划、统一实施”的原则,建立“多维联动、立体防护”的网络安全体系,增强安全管理、安全保障、安全运用等立体防护能力,为数字政府安全运行保驾护航,打造安全XXX数字空间。
安全体系建设主要包括XXX“数字政府”政务云平台的物理安全、网络安全、主机安全、平台安全、数据安全、应用安全和安全管理,并在政务云平台应用国密技术实现对数据的安全加密。
7.灾备体系
按照“两地三中心”的容灾备份体系架构设计,为云平台提供全省统一的业务应用同城和异地的灾备部署、备份恢复、容灾演练和灾备切换。按业务重要级别和业务恢复指标RPO/RTO灾备要求,对于各委办局所有业务系统和数据提供不同等级的集中灾备服务,使得一般业务系统和重点业务系统灾备等级达到国标《信息系统灾难恢复规范》(GB/T 20988-2007)三级以上,核心业务系统灾备等级达到四级以上,最大程度保障XXX“数字政府”政务云平台系统和数据的安全性、可靠性;并基于国产密码体系数据的安全传输、存储和数据加密功能,保证容灾备份系统数据安全要求,有效防范数据安全风险。
8.运营体系
按照“政企合作、管运分离”的模式建立快速响应、灵活高效的“互联网+运营”新运营管理模式。充分发挥企业的技术优势,成立专业的运营团队,明确人员的分工职责,制定标准的运营制度和流程,制定,为政府已建、在建、拟建的信息化系统长期、稳定、高效运行保驾护航。
1.2 总体要求
根据《XXX“数字政府”改革建设方案》的要求,充分利用云计算、大数据等先进技术,按照集约高效、共享开放、安全可靠、按需使用的原则,构建“云网合一、云数联动、开放兼容”的“1+N+M”“数字政府”统一政务云平台(名称为XXX“数字政府”政务云)。按照XXX“数字政府”政务云统一技术框架和标准规范体系,建设“1”个省级政务云平台、“N”个特色行业云平台、“M”个地市级政务云平台,实现省级政务云对于地市云平台及行业云平台的统筹监管、全省政务应用协同及共享交换,形成“全省一片云”的总体架构。
图 42 数字政府“1+N+M”政务云平台架构
1. XXX“数字政府”政务云统一技术框架要求
按照党政部门云计算安全服务网络审查(增强级)要求、以及国家计算机信息系统安全等级保护、可信云认证等相关标准规范要求,搭建XXX“数字政府”政务云的统一技术框架,包括:
建设基于开源OpenStack框架的IaaS云服务资源池,实现底层硬件资源的统一管理。提供对于物理资源以及虚拟化资源的统一管控能力,提供云主机、物理机等计算服务,云硬盘、对象存储、文件存储等多类型存储服务,虚拟防火墙、VPC等网络服务,保障用户业务稳定性与可靠性SLA计算、存储等业务需求。
建设统一访问、动态调度、弹性伸缩的PaaS云服务资源池,主要提供数据库、中间件、大数据基础平台、容器等云服务能力。数据库服务需支持主流的数据库引擎,并对底层数据库引擎统一封装,以公共的数据访问接口,提供面向多租户的统一数据库访问服务及数据库服务水平扩展能力;中间件服务主要提供消息中间件、API网关以及分布式服务框架等云化中间件服务,并以统一接口的形式提供给用户进行服务调用;大数据服务主要提供数据集成、计算框架、配置管理、信息加工工具、可视化管理工具等大数据应用所需的基础能力。
建设可共用、可复用的SaaS云服务。SaaS资源池应在云平台IaaS、PaaS服务的基础上,为用户提供按需使用的公共应用软件服务,从而使各用户不再需要自建和运维相应的应用系统,避免重复建设。SaaS应用需支持多租户和资源弹性管理,并且支持由云平台的统一资源调度管理平台进行对该SaaS应用的资源和租户进行接管,包括依托云资源管理平台实现以租户为核心的SLA管理接入。可以在租户和资源管理上,进行线程级别的监控,将各SaaS 应用上的各模块的运行状态、性能指标等进行统一的管控。
建设满足安全等级保护及云安全审查相关政策要求的政务云安全体系,从物理安全、网络安全、平台安全、应用安全、数据安全、管理安全等层面实现云平台的基础安全防护能力;提供租户级安全服务,包括虚拟防火墙、安全组、漏洞扫描等服务内容,满足租户不同等级业务系统的安全需求;根据租户密码应用需求,提供国产密码应用支撑服务能力。
建设“两地三中心”的省级政务云平台容灾备份体系。在政务云数据中心内实现数据的本地备份,备份的数据内容应包含虚拟机、虚拟化平台、物理机、数据库、业务应用等。在实现本地数据备份的基础上,同城主数据中心与副数据中心实现互为灾备,并可按照用户需求,提供基于同城的应用容灾服务。异地灾备中心实现主数据中心及副数据中心的数据备份及用户数据的长期归档服务。备份策略至少应达到每天进行增量备份,每周进行一次全量备份的要求,备份数据保留周期不少于2个月。
建设统一的云资源管理平台,制定标准的接口体系,一方面实现对于XXX“数字政府”政务云平台各二级服务平台的统一资源管控,另一方面实现对其他政务云平台的资源纳管,以及对地市/行业云平台的资源监管。对于XXX“数字政府”省级政务云平台,资源层面实现无缝管理,用户使用不同架构的云资源就如使用同一云平台中的不同分区一样简单;业务层面实现统一管理,资源、账号的开通、控制、预警在异构云中无差异;运营层面实现分级管理,云平台及其下层基础软、硬件资源由云运营单位负责运营管理,云平台用户单位对其所属资源的分配、管理具备最高权限,只有在用户单位确认委托或授权的情况下,云运营单位才能对用户的业务资源进行管理;扩展层面通过建设标准API接口,实现第三方平台对接。
2.XXX“数字政府”政务云建设要求
按照“1+N+M”的“数字政府”统一政务云平台框架,分别建设XXX“数字政府”省级政务云平台、行业云平台以及地市级政务云平台,形成“全省一片云”的XXX“数字政府”政务云架构。
建设统一的XXX“数字政府”省级政务云平台:按照XXX“数字政府”政务云平台统一技术框架要求,利用基础电信运营商全省各地数据中心资源、网络资源,以购买云服务的方式构建省级政务云平台,承载各类省级政务应用,实现基础设施共建共用、信息系统整体部署、数据资源汇聚共享、业务应用有效协同。在省级政务云平台中建设统一边界接入平台,预留与其他平台的对接条件;依托数据共享交换平台,实现与行业云/地市云的数据共享与交互。建设数字XXX政务云统一云管平台,形成数字XXX政务云标准接口体系,实现对省级云平台的资源管控、行业及地市云的资源监控。
纳管已建省级电子政务云平台:对于已经建设的省级电子政务云平台,采用政府自建模式建设的,如XXX省电子政务云一期平台(VMware),原则上不再扩容其资源规模,且需按照XXX“数字政府”政务云平台的接入要求对其进行接入纳管;采用政府购买服务模式建设的,如实验云平台,原则上不再继续采购云服务,其部署的业务应用按照XXX“数字政府”政务云平台的技术框架要求进行改造,并逐步迁移至XXX“数字政府”省级政务云平台。
整合利旧省级现有IT资产。对省信息中心机房,由数字XXX公司接管运维,并整合44个省直部门原有的机房和IT资产,根据同城双中心机房、基础云平台、系统迁移等实施进度,逐步减少机房设备,部分需要保留本地数据和备份数据的、有特殊要求需在本地机房部署系统的,原则上可保留原机房;部分进行评估后改造为网络汇聚节点机房,以完善省直城域网网络架构和覆盖;其他机房随部门业务系统迁移逐步撤销。完成系统迁云后闲置的设施充分统筹利旧,凡可重复利用的软硬件资源不再重复采购。X86服务器、小型机、存储、容灾备份等硬件设备,纳入省政务数据中心统一管理,承载非核心业务或备份业务。操作系统、数据库、中间件等基础软件按需继续在新平台使用。对于2015年至今新投入使用的设备,具备较强的系统应用承载能力,可利用该部分硬件作为原有业务系统的备份支撑,在云上生产系统发生故障时实现业务持续服务。对于2012-2014年投入使用的设备,具备一定的系统应用承载能力,可利用该部分硬件组建系统上线试运平台。对于2012年以前投入使用的设备,可利用作本地数据备份分析使用。主要进行备份和存档,满足历史业务数据查询、历史数据分析、业务数据审计等需求。
对接行业云平台:新建行业云平台参照XXX“数字政府”政务云平台统一技术框架和标准规范体系进行构建,以满足特色行业对数据流量、响应时间、管理规范方面的需求为目的,承载省级业务专业性强、安全要求高、数据信息量大的政务应用。已建的行业云平台,要统筹管理、迁移和升级,逐步与省级政务云平台整合对接。同时,在保障网络互通和信息安全的基础上,通过XXX“数字政府”省级政务云平台的专网接入平台实现与省级政务云的 安全互认、共享互通。
接入地市级政务云平台:珠三角地区城市(广州、深圳、东莞、佛山、珠海、中山、江门、惠州),按照XXX“数字政府”政务云平台统一技术框架搭建地市级政务云平台,提供统一的政务云服务。除珠三角外欠发达地区政务云的建设,由省统一购买政务云相关服务,按照集约建设的原则,以XXX“数字政府”政务云平台为技术框架,建设粤东(汕头、汕尾、潮州、梅州、揭阳、河源)、粤西(湛江、茂名、阳江、云浮)、粤北(肇庆、清远、韶关)三个区域的XXX“数字政府”区域政务云平台,并由XXX“数字政府”政务云平台统一纳管,为地市提供统一政务云服务。
对于部分已建的地市级政务云平台,采用政府自建模式建设的,需按照XXX“数字政府”政务云平台的统一管控接口要求向省级政务云平台开放资源监控接口,实现省与地市级政务云平台间接口的统一监控管理,支撑各级政府部门数据共享和业务协同;采用政府购买服务模式建设的,原则上不再继续采购云服务,其部署的业务应用按照XXX“数字政府”政务云平台的技术框架进行改造,并逐步迁移至XXX“数字政府”地市级政务云平台。
1.1.1 拟化技术
虚拟化是将底层物理设备与上层操作系统、软件分离的一种去耦合技术,它通过软件或固件管理程序(Hypervisor)构建虚拟层并对其进行管理,把物理资源映射成逻辑的虚拟资源,对逻辑资源的使用与物理资源相差很少或者没有区别。虚拟化的目标是实现IT资源利用效率和灵活性的最大化。
硬件(和OS)虚拟化可使一台计算机或服务器虚拟化为多台计算机或服务器,也可将分散的计算资源动态整合为一个强大的虚拟计算机并实现动态负载均衡。存储虚拟化可使分散的存储资源集中到一个大容量的存储池,统一管理并实现数据多份备份,提高可靠性。与网络相关的虚拟化既可将一个物理网络节点虚拟成多个节点增加连接数量,又可通过网络交换机或网卡虚拟化减少网络设备数量。应用或服务的虚拟化可按实际需求调配资源、快速部署应用。云端设备虚拟化可实现云端设备集中管理,支持丰富的云端设备类型,支持设备随时随地可用并相互同步。虚拟化可使物理资源与服务需求之间的对应关系变得非常灵活,实现:1->N, N->1, N->M,……的任意映射关系,达到计算资源可变粒度,可伸缩、高利用率和高可用性等要求。
随着国家对绿色减排要求的提高,对耗能很高IDC进行节能优化是重要的举措。通过使用虚拟化技术,可以将原先部署在多台物理设备上的系统和应用整合在少量的物理服务器上,解决硬件的异构性问题,从而简化数据中心IT基础架构,降低设备购买成本和运行功耗。此外,良好的虚拟化解决方案还能为数据中心提供创新的能源管理,使得系统能够在闲时安全地关闭闲置不用的服务器,在忙时启动更多的服务器应对用户需求,调节资源使用状况,降低运营功耗。
1.1.2 云计算技术
云计算是一种资源利用模式,它能以方便、友好、按需访问的方式通过网络访问可配置的计算机资源池(例如网络、服务器"存储、应用程序和服务),在这种模式中,可以快速供应并以最小的管理代价提供服务。
云计算以虚拟化技术为基础,以网络为载体,以用户为主体为其提供基础架构"平台"软件等服务为形式,整合大规模可扩展的计算、存储、数据应用等分布式计算资源进行协同工作的超级计算服务模式。虚拟化为云计算实现提供了很好技术支撑,而云计算可以看作是虚拟化技术应用的成果。
虚拟化是云计算的基石,它有效地分离了硬件与软件,而云计算则让人们将精力更加集中在软件所提供的服务上。在云计算模式中,用户并不知道私有数据的准确位置,用户和云计算服务提供商之间进行协商,由服务提供商来负责管理。各个用户的私有数据都存储在“云”中,共享底层的存储资源。通过增加一个虚拟化层,可以将物理站点用于多个独立的虚拟机,而这些虚拟机可能由不同的用户拥有和管理。这项技术可以极大地提高资源利用率,因为低计算需求的任务可以共享一个单独的物理站点(如服务器)资源。虚拟机的部署和调度还能简化负载平衡,从而达到云计算的全局性能最优化。在云计算模式中,需要实现计算虚拟化、网络虚拟化和存储虚拟化3个基本的技术。目前,虚拟化技术的应用场景,较典型的有:集群服务,小应用隔离,生产、开发、测试环境隔离,资源利用管理等等。
1.1.3 IPV6技术
现有的互联网是在IPv4 协议的基础上运行。IPv6是下一版本的互联网协议,也可以说是下一代互联网的协议,它的提出最初是因为随着互联网的迅速发展,IPv4定义的有限地址空间将被耗尽,地址空间的不足必将妨碍互联网的进一步发展。为了扩大地址空间,拟通过IPv6重新定义地址空间。IPv4采用32位地址长度,只有大约43亿个地址,估计在2005-2010年间将被分配完毕,而IPv6采用128位地址长度,几乎可以不受限制地提供地址。按保守方法估算IPv6实际可分配的地址,整个地球的每平方米面积上仍可分配1000多个地址。在IPv6的设计过程中除了一劳永逸地解决了地址短缺问题以外,还考虑了在IPv4中解决不好的其它问题,主要有端到端IP连接、服务质量(QoS)、安全性、多播、移动性、即插即用等。
IPv6的优势
l 扩大了地址空间,采用128位地址长度,几乎可以不受限制地提供IP地址,从而确保了端到端连接的可能性。
l 提高了网络的整体吞吐量。由于IPv6的数据包可以远远超过64K字节,应用程序可以利用最大传输单元(MTU),获得更快、更可靠的数据传输,同时在设计上改进了选路结构,采用简化的报头定长结构和更合理的分段方法,使路由器加快数据包处理速度,提高了转发效率,从而提高网络的整体吞吐量。
l 服务质量得到很大改善。报头中的业务级别和流标记通过路由器的配置可以实现优先级控制和QoS保障,极大地改善了IPv6的服务质量。
l 安全性有了更好的保证。采用IPSec可以为上层协议和应用提供有效的端到端安全保证,能提高在路由器水平上的安全性。
l 支持即插即用和移动性。设备接入网络时通过自动配置可自动获取IP地址和必要的参数,实现即插即用,简化了网络管理,易于支持移动节点。IPv6不仅从IPv4中借鉴了许多概念和术语,它还定义了许多移动IPv6所需的新功能。
l 更好地实现了多播功能。在IPv6的多播功能中增加了范围和标志,限定了路由范围和可以区分永久性与临时性地址,更有利于多播功能的实现。
1.1.4 SDN技术
随着数据中心部署的业务数量成倍增长,数据中心网络规模也急速扩张,根据IDC的数据显示,预计到2020年,全球数据中心网络规模将增长10倍。越来越多的业务部署和越来越大的网络规模,使得数据中心的运维管理和业务管理成为数据中心发展的瓶颈。在这个背景下,SDN(软件定义网络)应运而生。SDN提出了采用软件定义网络的思路,具有转发和控制分离、控制逻辑集中、网络虚拟化、网络能力开放化等特点。SDN技术能很好地契合数据中心网络的集中网络管理、灵活组网多路径转发、虚拟机部署和智能迁移、虚拟多租户、IaaS等方面的需求,非常适合在数据中心网络中应用。基于SDN的数据中心网络解决方案旨在为用户搭建高速、可靠、弹性的基础网络,并通过SDN控制器与数据中心云平台互通,从而实现灵活、简便的资源管理,业务开通、发放与迁移服务。因此,基于SDN的云数据中心网络方案是未来数据中心网络发展的趋势。
软件定义网络(Sofeware-DefindeNetworking,SDN)是一种全新的网络技术,SDN的提出,就是要解决现有IP网络架构存在的问题,并承载未来网络的理想。SDN通过分离网络设备的控制平面与数据平面,将网络的能力抽象为API提供给应用层。在对底层各种网络资源虚拟化的基础上,实现对网络的集中控制和管理。
数据中心采用了典型的SDN四层架构,包括:业务协同层、网络控制层、Fabric网络层和服务器层。同时增加了对网络资源进行统一监控的网络运维平台和实现计算资源管理的VMM虚拟机管理系统。
图 43 SDN架构
1.服务器层
作为数据中心最基本的元素,随着服务器虚拟化在数据中心中大行其道,大量VM(即虚拟机)的出现使得虚拟化管理平台的出现成了必然。服务器层由计算终端和虚拟化管理平台组成。当前采用的计算终端主要包括VM、物理机、裸金属机几种。采用的虚拟化管理平台主要包括Hyper-V、ESXi、KVM,将Host主机虚拟化成VM进行管理。
2.网络控制层
作为实现SDN网络架构中的大脑,功能十分强大。它基于SDN架构分层解耦,提供标准的南北向接口和编程能力,构建开放生态圈。感知云管理平台的网络资源和VMM的虚拟资源的变化,实现Fabric网络和服务器资源统一控制,通过业务策略编排,完成网络建模和业务自动化部署。
3.Fabric网络层
作为SDN网络架构中的骨干,是由物理网络设备组成的Underlay网络,承载着Overlay网络。Fabric网络层通常包括Fabric网络和增值业务组两部分。
篇幅有限,无法完全展示,喜欢资料可转发+评论,私信了解更多信息。