中小城市工业云的设计模式
2017-06-01李凌
李凌
中小城市工业云的设计模式
李凌
(中国联合网络通信集团云数据公司陕西分公司,陕西西安 710075)
结合当前我国中小城市信息化发展的现状和特点,围绕打造中小城市工业云这个重要议题,提出了工业云设计方面的最新模式,包括中小城市工业云的系统架构、功能配备、服务能力、云安全等方面。阐述了中小城市工业云设计的基本原则、主要内容、技术路径、参考指标和系统界面等,以供相关方面参考和借鉴。
城市;工业云;设计;研究
1 引言
当今世界正在进入云数据时代,云计算和大数据正在改变着城市所有的工业生产和商业活动。工业云正是大数据时代,利用工业软件和云计算的结合产生的一种专门服务于制造业的新型IT服务生态链系统,是城市现代化进程的必然趋势和显著标志。
中小城市已成为中国经济社会发展的重要支撑,是我国行政区体系中重要的战略节点,在改革发展中具有十分重要的地位和作用。目前我国中小城市数量众多,幅员辽阔,聚集了庞大的人口、资源、产业、环境等发展要素,是我国工业产业的重要基础力量。但中小城市普遍存在着信息化程度不高、云计算和大数据等普及应用不够、信息技术专业人才不足等问题。中小城市工业云的应用和发展将大大促进工业化和信息化的深度融合,提升中小城市的工业企业尤其是中小微企业的市场竞争能力和创新能力,甚至催生出大量新的生产性服务业的产业业态,加速中小城市整个产业的升级转型发展。
中小城市的工业云建设,其中最为重要的环节就是项目设计。本文旨在通过典型的工业云设计方案的描述,为中小城市工业云建设提供一个典型模式,供具体项目开展设计工作时提供参考。
2 云平台系统架构设计思路
2.1 整体思路
云计算是一种新型的计算资源利用模式。它将计算任务分布在大量计算机构成的资源池上,使各种应用系统能够根据需要获取计算力、存储空间和信息服务。按照服务实现的程度,目前云计算主要有IaaS、PaaS、SaaS 3种业务模式。
工业云平台管理系统需要以面向工业服务为思想,运用云计算、大数据、物联网、移动互联网等信息技术,对政府资源、工业厂矿资源、金融资本、人才智库、大众创新进行深度整合,实现不同硬件平台虚拟化系统的统一调用、管理、监控界面;需要根据业务目标进行符合自身特点的云服务支撑管理平台建设;需要提供图形化的工作界面,使用户更好地使用云中的动态资源池,使管理方更好地管理动态资源,以实现业务的快速开通。
中小城市工业云平台建设是一项复杂的系统工程,其实施和应用也是一个渐进的、分步的过程。一般而言,首先实现IaaS服务,并提供PaaS层接口及对第三方控件、模块的支持,后续工程根据应用的实际需求与第三方合作,完善云平台PaaS层、SaaS层服务功能,逐步实现PaaS和SaaS层服务。
中小城市市工业云平台建设实体架构宜采用三横三纵组成,包含三横(能力主体一纵):基础设施服务层、平台服务层、软件服务层,纵贯三横的云管理体系以及云保障体系,推动中小城市市政府在工业领域的统筹规划、合理建设、精准管理等方面实现科学可持续性发展,最终实现中小城市的“四化”——工业管理信息化、政府服务标准化、资源调配智能化、大数据管理云化。
2.2 设计原则
(1)标准化
工业云平台设计以标准规范为准绳,构筑一个开放聚合的信息化技术服务平台,提供应用服务、平台服务、基础设施服务三大服务能力。方案的设计应采用标准技术与协议,以便在面对多设备供应商、多工业服务对象的场景下,能够保证良好的系统兼容性、服务产品通用性、功能多样性、技术先进性和未来可拓展性。
(2)高可靠
为保证云平台核心业务的不中断运行,在网络整体设计和设备配置上宜设计双备份。在网络连接上消除单点故障,提供关键设备的故障切换。关键设备之间的物理链路采用双路冗余连接,按照负载均衡方式或双活方式工作。关键主机可采用双路网卡来增加可靠性。全冗余的方式使系统达到99.999%的电信级可靠性。要求网络具有设备/链中故障毫秒级的保护倒换能力。
(3)虚拟化
虚拟资源池化是网络发展的重要趋势,将大大提高资源利用率、降低运营成本。应有效开展服务器、存储器的虚拟资源池化技术建设,网络设备的虚拟化也应进行设计实现。服务器、存储器、网络及安全设备应具备虚拟化功能。
(4)高性能
随着整个云计算业务的开展,业务都分布在各个服务器上,流量模型从纵向流量转换成复杂的多维度混合的方式,整个系统具有较高的吞吐能力和处理能力,系统各层均不存在阻塞,具备对突发流量的承受能力。
(5)易用性
系统应具备良好的易用性。简化系统结构,降低维护量。具有良好扩展性,网络建设完毕并网后应可以进行大规模改造,服务器集群、软件功能模块应可以不断扩展。
2.3 整体架构
如前所述,为了实现工业云平台对中小城市工业系统的统筹管理和资源共享,整体架构包含内部和外部两大部分。内部系统实现平台核心的业务处理、资源汇聚池、数据交互等,外部系统主要是外部接口,与不同工业企业、不同信息平台、不同网络系统的各类现有平台对接和整合,体现强势的兼容性,同时还需与工业管理部门政务系统打通。在网络宽带设施上,充分利用光纤宽带专线、移动互联网,实现对外互联互通,保障数据传输的畅通。工业云典型拓扑结构如图1所示。
2.4 功能模块
整个中小城市工业云分为三大功能模块,具体如下。
(1)管理模块
管理模块是整个工业云平台的基础,主要是实现工业云平台运行单位对整个云平台的管理,维持平台良好运行,包括操作系统、运营管理、维护管理。
(2)服务模块
服务模块是整个工业云平台的能力体现,承载着平台对接入用户的各类服务功能,从云结构上看,主要含主机服务、存储服务、网络服务、负载均衡服务等。
(3)安全模块
安全模块是整个工业云平台的保障手段,工业云的安全问题事关重大,一旦出现安全事故,将给工业行业带来不必要的损失。
3 云平台管理模块设计
中小城市工业云平台一般依托当地电信运营商的数据中心机房,构建起支撑工业云的资源池/数据库集群以及大数据分析平台,利用虚拟化技术将主机资源、网络资源和存储资源进行池化,按需分配相关资源,为工业体系提供基础类和扩展类云服务,实现计算、存储、网络、安全、备份等各类资源管理、产业调度、应用支撑等功能。并保障政府部门的各类系统在工业云平台上稳定运行。
3.1 操作系统
云平台操作系统是支撑整个云服务、实现相关功能的关键环节,同时向终端用户提供图形化的统一操作界面。典型的操作系统架构和登录操作界面如图2、图3所示。
(1)统一对外服务门户
统一对外服务门户为最终客户呈现各种发布的电子政务应用产品,并包含各产品的应用介绍、资费介绍、业务受理流程介绍等内容;同时门户还具有在线订购、搜索、网站地图、新闻资讯、在线帮助等功能。
(2)用户中心模块
用户中心模块实现用户概览、客户信息修改、用户信息修改订单列表及详情、操作日志清单等功能。具体可提供客户注册、基本信息修改、忘记密码、订单查询、账单和详单管理、操作日志查询、发票管理、余额管理等功能。
(3)控制台模块
控制台面向用户提供所有资源的自助申请、配置、监控等管理功能。这些资源包括弹性云主机(虚拟机)、弹性块存储(虚拟磁盘)、对象存储、关系型数据库实例、网络接入(包含带宽及IP地址)等各项资源。向用户提供对这些资源进行各种操作控制,如申请、绑定、配置、释放等。面向大数据服务的管理控制台,允许用户自助调度及编排大数据任务。
(4)在线客户服务模块
在线客服模块提供客户在线界面,支持客户在线提交投诉、在线咨询,支持管理员在线处理投诉、答复咨询,并支持座席处理服务工单、统计分析客服数据。支持在线访问、电子邮件访问、手机短信访问、微信访问等方式。
3.2 运营管理
工业云平台主要是实现客户管理、服务管理、计量管理、订单管理等运营管理相关功能。管理员可以自定义不同的界面风格和主页功能,支持系统拓扑的图形化显示,支持图形化的数据配置。运营维护管理架构如图4所示。
(1)操作管理
操作管理主要是针对运营管理平台的操作,包括部门浏览、角色权限、资源权限。部门浏览:通过3A系统中的部门、机构管理进行同步。角色权限:为管理员在3A上创建的客户经理角色赋权,主要是操作运营平台不同菜单的权限。
(2)客户管理
支持客户自行填写注册信息的门户功能,注册信息包括姓名、登录账号、密码、手机号码、联系方式(短信、E-mail账号)、客户厂商、客户主要联系人、客户地址等信息。同时允许客户自主选择和创建业务、修改和增删业务、选择和绑定相关资源等。
(3)订单管理
订单管理功能可以处理客户的订单,并提供订单的服务实例操作功能。运营管理员对客户的订购请求进行审批,审批过程可通过开关设置为自动审批或人工审批,审批结果自动通过电子邮件或短信等形式通知客户,审批通过后订购请求通过资源模板进行实例化,生成客户所订购的资源,并通过电子邮件或短信等形式将资源信息(如IP地址、管理员口令等)通知客户。
(4)账单管理
客户账单是在每个月底出上一月的记录,客户经理通过输入登录账号、开始时间和结束时间进行账单查询,客户经理无权查询不属于自己的客户的账单信息。
3.3 系统维护
系统维护,是维护平台日常运转的重要手段,通过可视化、图形化操作界面,实现对云平台运转状况监测、风险预警、故障管理、性能管理、系统监控、统计分析等运维功能。整体架构如图5所示。
3.3.1 监控管理
可以根据各种视图进行各类资源的监控和管理,具体如图6所示。
3.3.2 系统管理
可以通过统一管理界面对云管理平台各个子系统进行管理,具体如图7所示。
3.3.3 资源管理
资源池管理系统提供的资源视图包括云视图、综合视图。
(1)云视图
资源池管理系统提供的云视图从逻辑上将整个资源池划分为基础架构层、资源层与应用层,展示云中的所有资源。
(2)综合视图
资源池管理系统中的综合视图分别从物理地域和业务使用的角度对系统中的资源进行拓扑,展示多数据中心、机房、机层中设备的位置和运行状况。
3.3.4 监控管理
云管控平台提供对数据中心的计算、存储、网络等资源的实时监控。通过实时将采集到的数据同步展示在资源管理平台的展现层中,并且存储到数据中心,以便于管理人员掌握任意时间内的运行状况。同时对资源池、安全域的资源容量状况进行管理和分类统计,如果容量接近于饱和,会发出报警。资源状况管理会定期和在资源状况发生变化时,将资源池资源状况信息上报至云管控平台。
4 云平台服务模块设计
4.1 云主机服务
云主机服务允许用户自由选择不同标准、规格的云主机,用户可根据需要选择操作系统种类、vCPU数量、内存容量、系统盘容量,实现对云主机的灵活定制和动态创建;用户可以通过Web控制台对云主机进行创建、开机、关机、重启、续订、退订等操作;允许用户根据需要弹性扩展云主机的内存和系统盘容量;用户可实时查看vCPU使用率、内存使用率、磁盘读写、网络流量等云主机重点性能指标情况。
云主机可达到的技术指标见表1。
表1 云主机的技术指标
4.2 云存储服务
针对不同应用对存储性能的需求,云平台将提供两种存储服务:分布式存储服务,可采用先进的分布式对象存储设计,同时整合文件存储、块存储和对象存储3种技术,为各种不同类型的客户应用提供适合其需求的存储服务;高性能存储服务,一般采用FC存储,通过光纤线链接组建成SAN,适用于时延要求非常严格的高端应用。在实际选择中可以根据业务提出存储资源的需求后,需要对设备的IOPS(input/output operations per second)、存储容量、存储带宽进行计算。存储产品的选择通常是根据存储性能指标即IOPS值,进行选型。
4.3 云网络服务
云网络服务是通过各种网络虚拟化技术,在多租户环境下提供给每个租户独立的网络环境。云平台的网络服务是一个可以被用户创建的对象,类似物理环境中的交换机,但可以拥有无限个动态可创建和销毁的虚拟端口。支持虚拟路由、虚拟交换机和弹性IP地址,用户可自定义虚拟主机的网络拓扑和IP地址。
4.4 负载均衡服务
负载均衡服务是云平台的一项基础云服务。负载均衡服务包括链路负载均衡服务、服务器负载服务和弹性负载均衡服务。
链路负载均衡服务将多条互联网线路进行虚拟化处理,保障用户仍以最好的线路访问内外部资源。任意一条ISP线路中断,都不会对服务造成任何影响。通过链路负载均衡器可实现ISP接入线路的无缝扩展。
服务器负载均衡服务就是对一组服务器提供负载均衡业务。服务器负载均衡分为四层(L4)服务器负载均衡和七层(L7)服务器负载均衡两种。支持加权轮询(weighted round robin)、加权最小连接数调度(weighted least-connection scheduling)等流量分发策略。
云弹性负载均衡器是将业务访问流量分发到多台后端主机上的服务,可对虚拟主机提供TCP和HTTP的负载均衡服务,提供多种转发规则,支持Web服务、中间件、数据库以及其他各种网络服务,满足不同业务场景的要求。
负载均衡可达到的技术指标见表2。
表2 负载均衡可达到的技术指标
5 云平台安全模块设计
中小城市云平台的云安全问题应引起足够的重视,以下是安全模块的设计方案,包含十大安全设施,以实现云平台的多层次、多手段的安全保护。
(1)虚拟安全网关
云计算的核心特征是网络设施虚拟化、共享化。因此云平台的安全问题,就离不开与虚拟设备保持一致的虚拟安全网关。虚拟安全网关的设计基于成熟的安全操作系统TOS(TencentOS),可以为用户提供所有的TOS硬件网关产品安全功能,包括访问控制、攻击防御、病毒防御、应用控制、身份认证、日志审计等,同时对系统进行深度优化和改造以减少开启各安全引擎后带来的性能降低,保证用户网络的安全性。
此解决方案是将TOS系统软件作为一个虚拟机来运行,通过对vSwitch的配置调整,将需要进行安全检查的流量指向虚拟安全网关来完成相应的安全检查和流量监控审计等;并针对VMware的虚拟网卡驱动进行优化,使TOS系统在虚拟化平台上依然具有硬件防火墙的性能。
虚拟安全网关可实现整个云平台的设备集中监控、业务集中安全审查、访问集中认证授权,与传统分离式安全网关相比,具有不可替代的一方面。
(2)VPN安全接入
云平台会对非授权设备私自接入平台进行排查,并通过端口控制来准确定位位置,并依据云平台安全管理机制对非授权接入设备的通信进行有效阻断。
云平台通过云内提供的SSL VPN集中器为远程VPN拨入终端用户提供SSL VPN通道,实现对内网业务系统的访问控制。
(3)入侵防御系统
入侵检测系统可监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP地址碎片攻击和网络蠕虫攻击等;当检测到攻击行为时,记录攻击源IP地址、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。
通过在网络边界部署入侵防护系统实现对网络攻击的防范;为安全管理中心提供重要的安全事件数据,为整体的安全态势分析和安全事件的事后取证和定位提供重要依据。
(4)数据库安全
云平台通过在内部及外部的应用系统上,部署专门的日志审计服务器和数据库审计服务器,为应用系统提供覆盖到每个用户的数据库安全审计功能,保证公众用户或一般内网用户(信任用户)无法单独中断审计进程,无法删除、修改或覆盖审计记录。
(5)堡垒机
网络审计系统是安全管理体系的重要组成部分,部署在单位的内部网络中,用于保护单位内部资源和网络的安全性。
网络审计系统应用了目前先进的技术作为支持,针对企业内部核心服务器、网络设备和应用进行保护,对此类资产的常用访问方式是进行监控和审计,例如对字符终端、图形终端等访问方式进行监控和审计,实现对用户行为的控制、追踪、判定,满足工业云网络对安全性的要求。
(6)防火墙
通过在门户网站网络各个节点执行隔离和访问控制措施,将大大提升计算环境的安全性,有效防范非法的访问。采用防火墙实现基于数据分组的源地址、目的地址、通信协议、端口、流量、用户、通信时间等信息,执行严格的访问控制。
(7)网关
网关采用双机热备份的方式,部署于托管云域与私有云域的边界连接处,并按照信息系统的业务类别、安全等级因素,划分为不同的安全域。然后将不同的安全域进行有效隔离,按照各自不同的等级保护要求,分别为各安全域提供安全保护措施。网关可以有针对性地实现所需要的安全控制、防病毒、抗拒绝服务攻击。
(8)网页防篡改系统
鉴于工业云平台系统需要向对众多用户提供来自公众互联网的Web访问服务,自然带来很多的不安全隐患。为了保障Web系统的安全性,需要部署主页防篡改系统,实现对发布网站的实时监控,一旦发现网站内容被非法更改,可立即恢复。该系统有必要部署在门户网站及所有的Web应用系统上。
(9)漏洞扫描系统
目前市面上有一些新型的漏洞扫描系统,包括应用检测、漏洞扫描、弱点识别、风险分析、综合评估的脆弱性扫描与管理评估产品。漏洞扫描系统不但可分析和指出有关网络的安全漏洞及被测系统的薄弱环节,给出详细的检测报告,并针对检测到的网络安全隐患给出相应的修补措施和安全建议。漏洞扫描系统为提高内部网络安全防护性能和抗破坏能力,检测评估已运行网络的安全性能,为网络系统管理员提供实时安全建议提供一种有效实用的脆弱性评估工具。
(10)灾备软件系统
典型的容灾备份软件系统共分为3部分:工作机(worknode)模块、灾备机(backnode)模块、控制机(ctrcenter)模块。工作机指的是用户的生产机,即常说的源端(source);灾备机指的是存放灾备数据的远程服务器,即常说的目标端(target);控制机则指的是灾备软件系统的控制平台所属的服务器,在控制机上部署完灾备软件的控制模块后,由于灾备软件的控制模块是通过Web界面实现配置和管理的,所以任何一台主机只要能通过浏览器连接到控制机,则可进行相关的灾备管理工作,从而保障整个系统的可靠性。
6 结束语
本文阐述了十大安全防护措施,针对病毒、木马、黑客攻击、信息泄露、软件漏洞、系统崩溃等潜在风险,建立了一个安全可靠的平台保障体系和风险防范机制,从而提高中小城市云平台的安全度。
本文是在综合多个中小城市工业云平台设计和建设方案的基础上,结合笔者的实际学习和工作经验,针对中小城市,尝试提出的一种基于新技术的、典型的云平台设计模式。本文提供的云平台整体架构,是基于共性的基本结构,平台搭建和功能模块也体现了通适性和基础性。
随着中小城市工业云建设的兴起,云平台设计的理论尚不多见,本文的设计模式研究填补了这一空白,将会对平台设计工作起到指导作用。各地云平台的设计者可借鉴本文的模式研究,设计出适用于当地情况的云平台。在后续应用实践中主要发挥的作用有如下几点。
一是基于本文几大功能模块的设计,可衍生出各类专项服务型的子平台,例如管理云、数据云、商务云、知识云、物联云等,可服务于不同的产业用户对象。
二是采用本文云平台安全模块的设计,可进一步加强云平台的安全防护能力,保障平台的网络和信息安全,有效降低风险系数。
三是本文相关参数和界面的设计,为相关方面提供了一个可参照的实例,减少了设计中非标准、非格式化问题。
四是大量设计细节,体现了整体和局部、面和点的结合,对具体工作将大有裨益。
另一方面,由于各地实际情况各异,本文研究成果在实际应用过程中,还有待完善和拓展的空间。在本研究成果的后续部署实施过程中,建议注意如下几点。
一是注重业务创新和技术创新。任何一种模式和方法论不是一成不变的,实际应用过程中,创新永远是需要的。随着新信息技术、新硬件设备和软件工具的不断出现,云平台的设计也需与时俱进、不断创新。
二是注重因地而异,体现本地特色。我国中小城市数量众多、发展水平参差不齐,工业制造方面也各有侧重、发展方向各有秋千,如资源矿产型、轻工业型、重工业型、贸易加工型等,云平台的设计也应在本研究的基础上有所差异。
三是注重平台的可拓展性,适应新型工业发展。各地工业尤其是高科技制造业发展较快,智能制造、工业互联网、3D打印等新兴领域发展迅猛,工业云平台的设计需对此有超前考虑,在框架搭建和软硬件设置方面宜留有拓展空间和接口,以便增强适应性和开放性。
最后,愿与广大业内同仁一道,共同探讨,不断学习提高,为我国工业云平台的发展做出自身的贡献。
[1] 工业和信息化部. 云计算综合标准化体系建设指南[EB/OL]. (2015-11-09)[2017−04−05]. http://www.miit.gov.cn/n1146295/ n1652858/n1652930/n3757022/c4414407/content.html.
Ministry of Industry and Information Technology. A guide to the construction of integrated standardization system for cloud computing[EB/OL].(2015−11−09)[2017−04−05].http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757022/c4414407/content.html.
[2] 王鹏. 走近云计算[M]. 北京: 人民邮电出版社, 2009.
WANG P. Cloud computing[M]. Beijing: Posts&Telecom Press, 2009.
[3] 顾炯炯. 云计算架构技术与实践[M]. 北京: 清华大学出版社, 2014.
GU J J. Cloud computing architecture technology and practice[M]. Beijing: Tsinghua University Press, 2014.
[4] 曾宇, 王洁, 吴锡兴, 等. 工业云计算平台的研究与实践[J]. 中国机械工程, 2012, 23(1):69-74.
ZENG Y, WANG J, WU X X, et al. Research and practice of industrial cloud computing platform[J].China Mechanical Engineering, 2012, 23(1):69-74.
[5] 刘鹏. 云计算(第二版)[M]. 北京: 电子工业出版社, 2011.
LIU P. Cloud computing(second edition) [M]. Beijing: Publishing House of Electronics Industry, 2011.
[6] 牛继宾. 一个云管理平台的架构与功能设计经验谈[EB/OL]. (2017−01−02)[2017−04−05]. http://www.infoq.com/cn/articles/ cloud-manage-platform-arch-and-function.
NIU J B. Discussion on the architecture and function design of a cloud management platform[EB/OL]. (2017−01−02) [2017-04-05]. http://www.infoq.com/cn/articles/cloud-manage- platform-arch-and-function.
[7] 顾戎, 王瑞雪, 李晨, 等. 云数据中心SDN/NFV组网方案、测试及问题分析[J]. 电信科学, 2016, 32(1): 126-130.
GU R, WANG R X, LI C, et al. Analysis on network scheme and resolution test of SDN/NFV technology co-deployed in cloud datacenter [J]. Telecommunications Science, 2016, 32(1): 126-130.
[8] 刘明辉, 张尼, 张云勇, 等. 云环境下的敏感数据保护技术研究[J]. 电信科学, 2014, 30(11): 2-8.
LIU M H, ZHANG N, ZHANG Y Y, et al. Research on sensitive data protection technology on cloud computing[J]. Telecommunications Science, 2014, 30(11): 2-8.
[9] 赵辉, 丁鸣, 程青松, 等. SDN与NFV技术在云数据中心的规模应用[J]. 电信科学, 2016, 32(1): 144-151.
ZHAO H, DING M, CHENG Q S, et al. Application of SDN and NFV technology in the cloud data center [J]. Telecommunications Science, 2016, 32(1): 144-151.
Design pattern of industrial cloudin small-medium cities
LI Ling
Shaanxi Branch of China United Network Communication Group Cloud Data Company, Xi’an 710075, China
Combined with the current status and characteristics of the development of information technology in small-medium cities in China and arrounding the important topic of industrial cloud development in small-medium cities, the latest models of industrial cloud design was put forward, including the system architecture, function equipment, service ability and cloud security of industrial cloud in small-medium cities. The basic principles, the main contents, the technical route, the reference index and the business interface of the industrial cloud design in small-medium cities was expounded, providing some reference and guidance for people involved.
city, industrial cloud, design, research
TP393
A
10.11959/j.issn.1000-0801.2017115
2017−04−05;
2017−04−30
李凌(1975−),女,中国联合网络通信集团云数据公司陕西分公司负责人,主要从事基于中国联通基础设施的云业务、大数据、IDC业务等的建设运营、市场拓展和客户服务方面的工作。
