天津市教委教育信息化资源云构建与实现
2018-05-09季烨
季烨
天津市教委教育信息化资源云构建与实现
季烨
天津市教育委员会教育信息化管理中心,天津 300191
本项目依托于资源云的基础设施资源,充分利用资源云环境的各种技术基础组件以及应用服务。天津教委本着不资源浪费的前提,与教委电教馆和教研室两个单位进行需求沟通,并要求云企业以按需扣费的形式进行合作。同时,本项目严格按国家的科技化战略方针,改革原有铺张浪费式的项目建设,选择具有弹性优势的云企业合作,极大地降低了项目建设成本与后期运维投入,从而达到传统教育体系与云计算发展相结合的目的,真正实现了教育事业的弹性计算,按需取用。
资源共享;教育互联;公有云服务
1 背景和必要性
1.1 背景
云计算是一种基于互联网的商业计算模型。它将计算任务分布到由大量计算机构成的资源池上,使用户能够根据需要获取和使用计算、网络、存储资源及软件服务。
2015年1月,国务院发布《关于促进云计算创新发展培育信息产业新业态的意见(国发〔2015〕5号)》,指出统筹布局数据和云计算产业。文件指出公用云、专用云与行业结合,形成了形态各异、特色鲜明的政务云、教育云、金融云、工业云、城市管理云、医疗健康云、位置服务云、环保云等云计算服务。2015年6月,国务院常务会议通过《“互联网+”行动指导意见》,要求推进“互联网+”,实施支撑保障“互联网+”的新硬件工程,加快核心芯片、高端服务器等研发和云计算、大数据等应用。
天津市为了响应国家教育部关于“三通两平台”建设,以及落实《天津市教育事业发展第十二个五年规划》要求的重要内容,在2012年启动了天津市教育委员会公共服务平台项目建设,并由天津市中小学教育教学研究室负责专项试点落实“天津市基础教育特色资源共建共享服务体系”的建设。同时由天津市电教馆牵头建设了“开放学堂”资源平台以及“天津市校际网络同步教学项目”,逐步落实了“三通两平台”的整体建设需求。
1.2 必要性
随着信息中心工作的不断发展,当前数据中心的数据量比“十二五”翻了两番,运维工作量更是翻了数番。这对数据中心运维人员的运维能力也提出了前所未有的高要求。目前,机房的承载能力已接近饱和,结合国际和国内信息化的发展趋势看,未来单靠单个IDC数据中心已经难以满足未来天津市教育信息化发展需求。
在“十三五”期间,天津市电化教育馆和天津市中小学教育教学研究室均确定建立大规模资源平台,为天津市中小学教育教学工作及远程教育工作服务。天津市教委信息中心现有的IDC资源机房已经难以承载未来这两个的超大型资源平台的承载需求。鉴于目前我国公有云平台日趋成熟,主流云企业运行和维护能力日趋提升,因此本项目拟采购全新的资源云平台,用以作为支撑未来两大资源平台的发布和运行的基础架构。
2 需求分析
2.1 业务需求
本项目拟采购足够支撑市教委电教馆和教研室两个单位资源的资源云平台。
本项目依托于资源云的基础设施资源,充分利用资源云环境的各种技术基础组件以及应用服务。天津教委本着不资源浪费的前提,与教委电教馆和教研室两个单位进行了充分的需求沟通,并要求云企业以按需扣费的形式进行合作。同时,本项目将严格按国家的科技化战略方针,改革原有铺张浪费式的项目建设,选择具有弹性优势的云企业合作,极大地降低了项目建设成本与后期运维投入,从而达到传统教育体系与云计算发展相结合,真正实现了教育事业的弹性计算,按需取用。另外,为应对未来可能发生的服务不良的情况,也会提出相应的惩罚性措施[1]。
资源云平台必须保证电教馆和教研室各系统如期上线,保证各系统安全运行。
2.2 功能需求
2.2.1 网络需求
(1)网络带宽需求
本方案拟采购不小于9 GB网络带宽,且要求必须具备中国联通、中国电信、中国移动、教育科研网多线路负载均衡能力。
(2)负载均衡
负载均衡能够均衡应用程序的流量,将前端并发访问转发给后台多台云主机,实现业务水平扩展。通过故障自动切换,及时消除服务的单点故障,提升服务的可用性。
(3)网络安全服务
提供DDoS防护、云服务器防护、Web漏洞检测等全方位的安全防护服务,实时发现云资源及业务系统的安全问题,保障业务系统稳定运行。
2.2.2 计算需求
资源云平台提供方应参照本需求,提供整体的云平台解决方案,包含云主机、关系型数据库、非关系型数据库、简单缓存服务、负载均衡、内容分发网络、对象存储、大数据平台服务、多媒体平台服务、云安全服务、带宽等方面。以下主要分析了云主机和关系型数据库两个方面。
(1)云主机
云主机是一种简单高效、安全可靠、处理能力可弹性伸缩的计算服务。本次由于采用简单易扩展的方式采购云平台产品,因此会在采购时规定云主机总体的CPU和内存数量,并要求在规定数量内用户可随意调配资源如何使用,按需申请虚拟机给用户使用。
(2)关系型数据库
数据库中的关系型数据库,通常情况下指支持MySQL或者SQL Server的数据库服务或者云数据库RDS,提供可靠的数据备份和恢复、完备的安全管理及完善的监控。
2.3 数据存储及灾备需求
资源云必须提供数据同城和异地灾备服务,确保在任何情况下数据不丢失、业务不中断。另外,一旦发生黑客攻击事件,资源云应第一时间启动应急预案,调用历史备份数据,重新拉起业务系统。RPO和RTO必须符合等保要求和业务要求。
2.4 平台数据分析需求
2.4.1 与数据分析工具交互需求为二期工程建设目标
本项目基于公有云平台,是应用的资源平台,也是第一阶段项目。“数据分析平台”项目用于分析资源平台产生的数据,是第二阶段项目,预计2018年启动。
2.4.2 预留数据分析接口
在本项目应用成功使用的情况下,可根据“大数据分析平台”的需求在本项目公有云平台或者应用软件提供相应的API接口与“大数据分析平台”对接,吐出数据供“大数据分析平台”分析。
3 建设目标
本项目拟建设国内一流的教育资源云服务支撑平台,为天津市教育资源云平台上各用户单位及各业务系统提供强有力的基础支撑保障服务。另外,需根据建设阶段,针对平台各系统的应用情况进行效能分析,为天津市教委信息化科学决策、科学监管打下坚实的基础。
本方案要求资源云提供资源云业务承载空间,负责提供海量视频和图片文件优化存储、对外发布、信息安全和数据灾备服务。资源云服务提供商需提供不少于个异地灾难备份数据中心,提供24小时不间断同步和异步灾备服务[2]。
4 建设方案
4.1 设计依据
本项目依据天津市教委数据资源中心建设现状和《“十三五”天津市教育信息化发展规划》,参阅了《“十三五”国家信息化规划》中关于应用基础设施建设行动、数据资源共享开放行动、“互联网+政务服务”行动的指示精神。具体政策文件为:
(1)《关于促进云计算创新发展培育信息产业新业态的意见(国发〔2015〕5号)》。
(2)《“互联网+”行动指导意见》。
(3)工信部2017年印发的《云计算发展三年行动计划(2017—2019年)》。
(4)天津市教育信息化“十三五”规划(10-07)。
(5)天津市教育综合改革方案(2016—2020年)。
4.2 总体框架
天津教委资源云平台结合数据挖掘相关技术路线实现数据分析以及用户推荐等场景的应用,实现天津教师、学生的高效学习和互动。
总体框架如图1所示:
图1
如图1所示,天津教委资源云平台依托于资源云的基础设施资源,充分利用资源云环境的各种技术基础组件以及应用服务,并通过VPN/专线的形式平台各系统用户进行应用交互、镜像交互、数据交互等业务类交互,从而达到传统教育体系与云计算发展相结合的目的。构件图如图2所示。
图2
本次资源云建设需求主要包含基础环境、IaaS层、PaaS层、SaaS层等几个层次,其中资源云中标方提供基础环境、IaaS层、PaaS层全部软硬件环境和服务,用以作为核心基础架构支撑资源云全部系统。另外,需要全面具备国际领先的安全体系、运维服务体系建设,从整体上提供数据中心支撑技术、网络技术、安全技术、分布式存储技术、数据处理能力等方面先进的技术能力和平台。
4.3 技术方案
本项目拟采购足够支撑市教委电教馆和教研室两个单位资源的资源云平台,满足两家单位预计未来3年内资源需求。3年内资源平台规模均较大,随着时间的推移,未来流媒体技术的不断发展,教育教学资源将会越来越清晰、越来越丰富,根据未来5年内平台业务的资源需求稍加冗余,本项目拟采购CPU资源2 600颗,内存5 TB,结构化和非结构化存储共300 TB。未来如资源需求量超过本项目预期,则需另行申请资金扩容提升资源云平台资源承载能力。
资源支撑需求汇总简表如表1。
5 服务选型原则及关键技术指标
5.1 云主机
5.1.1 稳定性要求
(1)要求支持云主机实例可用性达99.95%,数据可靠性不低于99.999%;
(2)要求支持云主机支持自动宕机迁移,自动快照备份,数据恢复更方便;
(3)CPU参数包括多种,主要是2 630 V36核2.4 GHz。
5.1.2 可靠性要求
(1)要求云主机的磁盘使用云磁盘(SSD盘和SATA盘混合存储),也即非NAS或SAN磁阵存储,通过本地盘分布式化改造行程云磁盘;
表1 资源支撑需求汇总简表
(2)要求云主机的磁盘支持云纯SSD盘存储。
5.1.3 弹性扩展要求
(1)要求支持云主机支持自由配置CPU、内存、带宽,可随时升级;自由升降配置,提供弹性可靠的计算能力,用户可根据不同需求,自由选择CPU、内存、数据盘、带宽等配置,还可随时不停机升级带宽,5分钟内停机升级CPU和内存,支撑业务的持续发展。99.95%的高可用性,为业务的稳定运行提供保障。
(2)要求支持云主机支持升级配置数据不丢失,业务暂停时间可控。
5.1.4 横向弹性扩展要求
(1)要求支持云主机支持自由配置CPU、内存、带宽,可随时升级。
(2)要求支持云主机支持升级配置数据不丢失,业务暂停时间可控。
5.1.5 易用性要求
(1)要求支持云主机支持丰富的操作系统和应用软件,通过镜像可一键简单部署。
(2)要求支持云主机支持同一镜像可在多台弹性计算服务中快速复制环境,轻松扩展。
5.1.6 支持自动/自定义备份,快速恢复数据
要求支持用户可以在控制台设置自动快照策略,对云服务器的系统盘、磁盘数据生成快照,也可以通过控制台或手动创建快照。通过快照回滚,可以快速恢复快照生成时间点的数据状态,加强数据安全。
5.2 云数据库
5.2.1 支持云数据库的双机热备
要求每台云数据库拥有两个物理节点进行主从热备,主节点发生故障,可切换至备节点,服务可用性高达99.95%。
5.2.2 支持云数据库的安全防护
要求支持IP访问白名单。云数据库提供对实例进行IP访问过滤功能,用户可登录云数据库管理控制台进行IP访问白名单设置,设置后便可实现最高级的访问安全保护。
5.2.3 支持数据库升级
云数据库拥有专业的数据库团队,不断提升数据库的稳定性与安全性,用户可在数据库中执行命令查
看当前数据库的小版本号。
5.2.4 云数据库的可靠性要求
提供的云数据库的可靠性达到99.999%;并提供测试证明方案和数字计算来源。
5.2.5 数据库管理平台要求
提供给用户通过浏览器即可安全、方便地进行数据库管理和维护。
5.2.6 云数据库具备数据回溯要求
要求支持用户可随时进行数据备份,云数据库能够根据备份文件将数据库恢复至7日内任意时刻。
5.2.7 完善的监控体系要求
要求云数据库支持性能资源监控视图,可对部分资源项设置阈值报警,并提供Web操作等多种日志。
5.2.8 支持性能监控功能
云数据库提供近系统性能监控项,包括磁盘容量、IOPS、连接数、CPU利用率、网络流量、TPS、QPS、等等,可获取最长1年内实例的运行状态信息。
5.2.9 支持阈值报警功能
当数据库实例出现状态或性能异常时,云数据库提供短信报警功能。异常包括:实例锁定,磁盘容量、IOPS、连接数、CPU。
5.2.10 提供自动备份功能
要求云数据库提供多种类型备份,支持MySQL支持物理备份,支持MsSQL支持全量备份。
5.2.11 云数据库支持临时备份功能
在需要时可以临时性发起备份操作。
5.2.12 支持云数据库支持日志管理功能
要求对于MySQL类型实例,云数据库会自动生成BINLOG文件,并提供下载功能,可用于本地增量备份。
5.2.13 具备云数据库工具运维功能
要求提供的数据库在线迁移工具,旨在帮助用户方便、快速地将已有MySQL数据迁移至云数据库上来。
要求为云上数据库定制的基于Web的数据库管理平台,可帮助普通开发人员、SA、DBA通过浏览器,即可安全、方便的完成数据库管理和维护操作。
5.3 负载均衡服务
5.3.1 负载均衡高可靠的要求
(1)要求负载均衡器支持冗余设计,无单点,可用性达99.95%。
(2)要求负载均衡器支持根据应用负载进行弹性扩容。
(3)要求负载均衡器支持流量波动情况下不中断对外服务。
5.3.2 支持丰富协议种类
要求负载均衡器支持提供4层(TCP协议)和7层(HTTP和HTTPS协议)的负载均衡服务。
5.3.3 高可用的要求
要求负载均衡支持对后端云服务器进行健康检查,自动屏蔽异常状态云服务器,恢复正常后自动解除屏蔽。
5.3.4 会话保持的要求
要求负载均衡提供会话保持功能,在Session生命周期内,将同一客户端请求转发到同一台后端云服务器上。
5.3.5 QoS质量保证的要求
负载均衡支持加权轮询(WRR)、最小连接数(WLC)转发方式,支持针对监听分配其对应服务的带宽峰值。
5.3.6 负载均衡维护能力的要求
(1)要求具备1T流量高并发处理能力,以满足天津市教委教育信息化云平台高并发业务需求。
(2)具备对Linux系统内核源码修改的能力,以满足负载均衡的调优需求,优先考虑。
5.4 图片处理服务
要求支持对存储在开放存储上的图片,支持缩略、裁剪、水印、压缩和格式转换等图片处理功能。
要求支持将原始图片上传保存在开放存储上,通过简单的接口,在任何时间、任何地点、任何互联网设备上对图片进行处理。图片处理服务提供图片处理接口,图片上传请使用开放存储上传接口。要求支持单边固定缩略。
要求支持指定和强制宽高缩略、支持自动裁剪、按比例缩放、高级裁剪、区域裁剪、内切圆、圆角矩形、索引切割、质量变换、格式转换、旋转、自适应方向、渐进显示、锐化、模糊效果、亮度和对比度调整等功能。
5.5 媒体转码服务
5.5.1 转码格式要求
(1)要求支持3GP、AVI、FLV、MP4、M3U8、MPG、ASF、WMV、MKV、MOV、TS、WebM格式的视频转码。
(2)要求支持H.264/AVC、H.263、 H.263+、MPEG-1、MPEG-2、MPEG-4、MJPEG、VP8、VP9、Quicktime、RealVideo、Windows Media Video的视频编码格式。
(3)要求支持AAC、AC-3、ADPCM、AMR、DSD、MP1、MP2、MP3、PCM、RealAudio、Windows Media Audio的音频转码。
5.5.2 媒体转码功能要求
(1)要求支持对存储于云存储上的视频文件截取指定时间的JPG格式图像。
(2)要求支持获取存储于云存储上的音、视频文件的编码和内容信息。
(3)要求支持在输出的视频上覆盖最多四个静态图像。水印图片支持PNG格式。
(4)要求支持媒体转码服务为适配一定网络带宽范围的输出视频预设了一系列转码模版。
5.5.3 支持预置智能模版要求
会根据输入视频的具体情况自动调整转码参数以满足输出视频要求。由于输入视频本身有差异(分辨率、码率等),不一定所有的预置智能模板都适合,因此需要通过模版分析作业获取指定输入文件的可用预置模版。多媒体文件的转码,实际是在尽可能压缩文件大小(即降低码率)与尽可能减少文件质量损失之间的平衡,预置智能模版是质量优先的。
5.5.4 支持预置静态模版
可以直接调用的预置模版,无需进行模版分析。它分为三类:视频转码模版、音频MP3转码模版及M3U8切片模版,涵盖常见的播放设备及带宽条件,以码率控制优先。
5.5.5 支持自定义模板
由用户自行定义转码参数的转码模版,它是转码参数(音频、视频、容器等)的集合,可以满足用户个性化的转码需求。
5.6 安全技术指标
5.6.1 基础安全防护
(1)提供防御MySQL、SSH、RDP等服务的暴力破解攻击,提供主机异常登录报警、主机恶意软件和后门检测及清除,以及主机高危漏洞检测和修复。(去掉SQL server,MySQL,FTP的放暴力破解,数据库服务本身不应把服务端口暴露到公网)。
(2)支持主机密码暴力破解防御:密码破解防御通过实时发现非法入侵,以短信或邮件的方式通知用户。
(3)24小时内及时更新最新漏洞补丁,并及时更新防护规则,防护快黑客一步。
(4)20 G基础防护,支持TCP、UDP协议,支持域名高防和IP高防,免费IP配额≥4 IP;按保底带宽计费,超出20 G后按日计费;支持防护能力自动弹性扩展,支持至少20线以上BGP线路接入,上限不少于300 G;(改为免费提供9 G高防防护,超出部分计费,每个实例免费3个IP)。
(5)保证在攻击持续状态下,被攻击对象仍具备可服务能力。
(6)基本防护:畸形数据包拦截,syn flood、ack flood、udp flood、icmp flood,连接耗尽攻击、http get/post flood,dns request/response flood等防护。
(7)CC防护:根据域名、URL、User-Agent、Reaferer、Cookie等进行独立的防护,支持人机、代理、爬虫等机制的识别与拦截。
(8)DNS检防:根据DNS查询/应答报文的NAME、TYPE、CLASS特征进行检测防护。
(9)深度防护:根据源/目的IP、协议、端口、包长、标记为、包内容等条件进行深度匹配防护。
(10)访问控制:根据源/目的IP、协议、端口配置三四层黑白名单、限速,根据源/目的IP、协议、端口、域名、URL、User-Agent等条件配置七层黑白名单、限速。
(11)监控功能:流量监控、包量监控、事件监控等。
(12)攻击取证:根据源/目的IP、协议、端口等条件实时抓包取证。
(13)一键切换:一键关闭或开启防护。
(14)多级分组:针对不同业务/用户/IP进行多层级分组并创建策略。
(15)显示最近一个月所有的DDoS攻击记录,包括攻击时间、峰值、类型、源IP等,并可下载攻击数据包。
5.6.2 应用安全防护
(1)支持0day漏洞防护;
(2)每个域名访问控制规则≥30条;
(3)防护域名个数≥20;(改为防御主域名1个,子域名50个);
(4)提供防恶意注册等应用防护功能;
(5)支持识别并阻拦常见的Web攻击,比如SQL注入、XSS跨站、HTTP协议异常、HTTP协议畸形、命令注入、非法扫描等;
(6)支持隐藏站点地址,防止对源站的直接攻击;
(7)提供移动应用的一站式安全服务,包括安全检测、应用加固、渠道监控以及安全SDK等。
6 验收考核指标
6.1 项目验收目的
为天津教委资源云平台项目建设按照标准要求进行,确保项目竣工后达到有关要求和标准,并能正常投入运行,必须进行项目验收。
6.2 项目验收原则
(1)审查提供验收的各类文档的正确性、完整性和统一性,审查文档是否齐全、合理。
(2)审查项目功能是否达到了合同规定的要求。
(3)审查项目有关服务指标是否达到了合同的要求。
(4)审查项目人力投入以及实施进度的情况。
(5)对项目的技术水平做出评价,并得出项目的验收结论。
6.3 验收内容
验收的内容包括以下几个部分:
(1)验收内容一般包括软件验收(按功能要求的可执行软件、开发计划文档、详细设计文档、质量保证计划、设备相应附件、设备运行、网络运行等)。
(2)验收评测工作主要包括文档分析、方案制定、现场测试、问题单提交及测试报告。
(3)验收测试内容主要包括功能度、安全可靠性、易用性、可扩充性、兼容性、效率、资源占用率及用户文档。
(4)文档验收标准一般包括文档完备性、内容针对性、内容充分性、内容一致性、文字明确性、图表详实性、易读性、文档价值等。
(5)软件、硬件验收标准要符合国家和相关标准。
(6)服务年扣费额度=45元/核/月×时长×CPU实际使用核数+25元/GB/月×时长×实际使用内存容量+0.3元/GB/月×时长×实际使用云磁盘容量+0.15元/GB/月×时长×实际使用对象存储容量+15 000元/200 M/月×时长×实际使用带宽。
6.4 验收资料
需要验收评审的资料包括以下几个部分:
(1)基础资料:招标书、投标书、有关合同、有关批复文件、项目详细实施方案。
(2)项目竣工资料包含但不限于:项目开工报告、项目实施报告、项目质量测试报告、项目检查报告、测试报告、项目实施质量与安全检查记录、操作使用说明书、售后服务保证文件、培训文档、会议记录等其他文件。
[1]章伟.架构基于云计算的区域教育云[J].江苏教育,2013(43):27-29.
[2]黄粤锋.云教育平台的构建——云计算在教育领域信息化建设中的应用探索[J].无线互联科技,2015(3):13-15.
Construction and Implementation of Education Information Resource Cloud in Tianjin Municipal Education Commission
Ji Ye
Educational Information Management Center of Tianjin Municipal Education Commission, Tianjin 300191
The project relies on the infrastructure resources of the resource cloud, and makes full use of various technical basic components and application services of the resource cloud environment. Tianjin Municipal Education Commission, in line with the premise of no waste of resources, fully communicates with the two units of the teaching committee and electrical education hall, and askes the cloud enterprises to cooperate in the form of on-demand deduction. At the same time, the project will be in strict accordance with the national policy strategy of science and technology, reform the original type of extravagance and waste projects, and choose flexible advantage of cloud enterprise cooperation, which greatly reduce the project cost of construction and maintenance investment, so as to achieve the combination of the traditional education system and the development of cloud computing to realize education elastic calculation taking according to needs.
resource sharing; education interconnection; public cloud service
G434
A
