智慧校园背景下的区域教育云平台建设实践
——以南京教育云平台建设为例
2018-06-01张宝飞
张宝飞
(南京市电化教育馆,江苏 南京 210008)
引言
智慧校园[1-5]是数字化校园建设结合物联网、云计算、大数据等新技术而产生的校园建设新概念,目的是为学校师生建立智能开放的教育教学环境和方便快捷的生活环境,改变师生与学校资源、环境的交互方式,实现以人为本的个性化创新服务。智慧校园需要从更高层面制定建设与应用标准,一方面有助于为学校开展实践活动指明方向、明确目标,并为衡量学校实践成效提供参考依据;另一方面也有助于对系统的建设进行规划,提高建设水平,避免重复建设。
教育云平台是以云计算技术为基础的教育平台,是实现智慧校园的基础架构,它包括基础设施管理、平台管理和应用管理。学校通过教育云平台可以实现校内系统与区域数据中心的信息融合、互联互通,充分利用区域数据中心资源,有效解决校园管理中的信息更新滞后、人力资源不足、信息孤岛和设备重复投入等问题,达到校园管理中绿色节能、科学决策、及时管控、服务便捷的管理目标。
2016年,南京市启动“智慧校园”示范校建设工作,大力推进云计算、大数据、物联网等技术在智慧校园中的创新应用,建立电子身份及统一认证系统,构建课堂教学、教师教研、学生学习、管理评价、家校互通、学校安全管理等一体化智能校园环境。
一、建设现状
当前,智慧校园建设主要以学校建设为主,各类信息化应用系统随着学校教育教学需求驱动而建设,由于缺乏有效的规划,与数字化校园建设阶段相比,校园信息孤岛等问题还没有得到根本解决,主要问题表现在以下几方面:
(1)顶层缺乏设计,缺少标准化研究。各学校都根据自身的理解做学校业务需要或者自己感兴趣的部分,不注重基础设施、数据标准和共建共享机制建设,导致智慧校园建设缺乏系统框架和整体设计。
(2)设施参差不齐,重视硬件忽视软件。大部分学校还没有建成无线校园网,或者刚刚建成,而且无线校园网覆盖范围差距较大。少部分学校建有基于物联网等智能化技术的信息设施,大多数学校数据中心还未能形成真正意义上的云计算模式,部分学校网络设备数量不足、陈旧问题仍然突出。
(3)管理不符合要求,应用时缺乏共享。学校业务系统总体上还处于离散的状态,建设重复、管理分散、信息孤岛、信息化与教育教学“两张皮”等现象普遍存在。
(4)缺乏理论层面的指导,数据利用技术薄弱。部分学校虽然已经积累了海量数据,但还处于统计应用的阶段,尚未具备大数据分析能力,无法为学校管理提供关联分析和辅助决策。
(5)系统安全缺乏保障。一些学校安全意识还比较淡薄,信息化建设和运维管理制度缺失,运维团队实力薄弱,经费投入不足,网络安全机制保障、技术保障和应急处置保障不到位。
二、总体架构
南京教育云平台以“融合”为目标,旨在对现有应用、服务和资源进行整合,建立统一身份认证、数据共享机制,实现资源和数据的有效管理,提高学校智慧校园建设的效率,减少学校基础设施投入,避免重复建设,逐步实现“智慧校园”的战略目标,平台的总体架构如图1所示。
图1 教育云平台总体架构
建设的内容主要有:①基础设施建设。包括城域网、无线网、数据中心建设。②应用支撑平台建设。包括统一身份认证[6-7]、基础数据库、云存储、微门户建设。通过统一身份认证平台,实现用户的统一访问、身份管理及权限控制;通过基础数据库建立公共数据平台和数据交换平台,实现信息共享;通过云存储实现用户数据的集中存储和管理;通过微门户实现统一访问界面,展现数字校园的各类应用系统。③业务应用建设。包括区域公共应用和学校自建应用的建设。
通过教育云平台建设,实现了三方面的目标:
(1)统一标准。制定基础标准、接口标准、安全标准、服务标准。
(2)资源集中。统一IT基础设施,集约化建设;对数据、安全性的统一控制;更高的服务质量;快速部署上线能力。
(3)数据集中。数据的整合汇聚;提供有价值的教育数据支撑;通过数据服务平台实现系统间数据传递;数据传递的规范化。
三、功能设计
南京教育云平台面向全市教育行政部门、学校,为所有教师、学生、家长群体提供服务,平台功能会随着应用的深入不断扩展,对其可伸缩性、灵活性、易维护性、稳定性、高并发能力的要求比较高,为了满足这些需要,平台从基础设施服务层、应用支撑服务层、业务应用服务层三个方面进行了设计。
1.基础设施服务层
教育城域网是区域教育云平台服务的基础,是数据传输稳定和安全的保障,也是师生用户高效使用各类教育资源的保障。南京目前已有504所中小学实现光纤接入城域网,接入率达83%。以“分散部署、集中控制”为原则建设校园无线网络,按照“市区两级联动、AP各自建设、认证互联互通”的原则,实现全市校园无线网络的统一身份认证,江宁、鼓楼已实现区内学校的无线网络全覆盖和统一认证功能。目标到2020年,全面建成覆盖全市各级各类学校的快速、高效、安全的教育信息化运行网络,实现市、区、校三级网络高效互联互通。
(1)SDN 教育城域网
长期以来,教育城域网的建设和管理一直是教育部门的艰巨任务。首先是管理难。管理人员不足,需要管理数万台设备,设备种类复杂,对管理员能力要求极高。其次是运维难。传统网络用户地址不断变化,运维策略需要相应调整;发生网络故障需要现场运维,效率低。还有就是防护难。安全设备数量多、分布广、难统一管理,极易造成防护漏洞。
自2015年起,南京教育城域网启动SDN网络建设,整体结构如图2所示。
图2 SDN网络结构图
SDN网络与传统网络相比具有很大优势:
1)自带“AI网管”,免现场运维的教育网络。把分布式网络进行集中式控制,从更高的层次管理整个网络,可以通过软件来控制网络行为,控制器会自动收集整网拓扑结构、流量等信息,计算最优转发路径。下属学校内任意一台网络设备出现故障都可自我修复,无需派遣专业人员到偏远学校。
2)维护“三台”设备,即是维护全网设备。城域网架构虚拟化为三个层次,数据中心核心交换层、学校核心交换层、学校接入交换层,每层次只维护一套配置,由SDN控制器自动完成整个网络的部署,电教馆只需维护这“三台”设备即可维护整网数以万计的网络设备。
3)提供逃生机制,保障故障发生时网络正常。当运营商链路或认证系统、DHCP等出现故障,SDN教育城域网方案提供了逃生机制,通过逃生机制保障网络可以正常使用,不影响学校正常教学。
4)改变传统安全部署模式,提升安全防护效率。通过SDN控制器及“安全服务链”技术改变传统安全策略部署模式,提升防护效率。
SDN网络搭建完成后,学校与市区数据中心之间访问更加流畅,可以开展网络教研直播活动,充分利用城域网内的教学资源。
(2)支持统一管理的融合无线与物联网
统一身份认证平台同无线网络设备对接后,用户在请求访问学校无线网络时,会由无线网络设备的认证服务器将身份认证请求直接重定向至统一身份认证平台,平台在身份验证通过后通知无线设备,继而允许该用户使用无线网络,认证流程如图3。
图3 无线认证流程图
(3)支持云管理的虚拟化平台
使用虚拟化技术建设数据中心,虚拟化可以帮助整合数据中心资源,实现集约化管理,方便业务应用灵活部署和管理,应用系统均搭建到云虚拟机上,并能提供场外服务器、存储和网络硬件供学校使用,节省了维护成本和办公场地。
2.应用支撑服务层
传统模式下的公共数据平台无法支撑后期开放架构下的数据共享与管理。智慧校园时代下的公共数据平台建设需要从以下几个方面开展:
1)提升基础支撑能力。从信息标准的执行、公共数据平台的结构、共享数据的开放、数据质量的治理、历史数据的积累几个方面着手,对平台的建设进行顶层设计,让大家认识到基础性工作的重要性,基础平台要优先建设。
2)完善信息标准。信息标准建设是智慧校园建设的重点之一,对推进校园信息化建设,保证信息的交流与共享,有着重要的意义。信息标准架构包括代码集、数据集和编码规则3个部分,架构如图4所示。
图4 信息标准架构
3)打造数据管理平台。数据管理平台包括数据标准管理子系统、元数据管理子系统、主数据管理子系统、数据质量管理子系统,正是通过这些子系统模块完成数据治理、教育基础数据库构建、数据清洗与整合、数据安全防护等工作。
4)搭建应用服务支撑平台。应用服务支撑平台包含服务中心、应用中心、消息中心、接口中心四大部分,[5]实现用户统一身份认证、权限分配控制、日志、统计、应用配置管理、数据分发与同步等功能,为应用的接入提供全面、可扩展、便利的支撑。
南京教育云平台鼓励各区、学校使用市级平台以及在市建平台基础上深化资源建设与应用推广,新建平台要与市级平台实现对接,通过统一平台建设推进全市教育系统各平台的整合与数据互通,已建成的平台主要包括统一身份认证、基础数据库、云存储等。
(1)统一身份认证平台
统一身份认证平台是教育云平台的基本需求,南京教育云统一身份认证平台基于Yale CAS开发,Yale CAS是目前常用的统一认证解决方案,其应用广泛,具有独立于平台的、易于理解、支持代理等功能,在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。
Yale CAS的工作原理基于票据(Ticket)来实现。票据存储在TicketRegistry中,为了实现CAS的负载均衡,采用统一的TicketRegistry让多台CAS之间共享所有的Ticket。缺省的CAS备置是在内存中实现TicketRegistry,不同的CAS服务器使用自己独立的TicketRegistry,这种模式不支持分布式集群。幸运的是CAS为我们提供了支持TicketRegistry分布式的接口,我们只要采用内存数据库Redis来实现TicketRegistry分布式,就可以通过这个接口实现多台CAS服务器TicketRegistry共享,从而实现CAS集群。
南京教育云统一身份认证平台,用户可以选择账号、手机号、电子邮箱、二维码多种登录方式进行登录,登录后首先进入个人的应用中心,系统根据个人所在区县、学校和权限显示个性化应用导航。
学校可以通过开放平台提交应用接入申请,根据应用平台是否需要在自身平台管理用户和权限,可以选择两种接入模式:①完全集成子系统,用户名与统一身份认证用户名为同一账户,子系统没有单独的登录模块,用户合法性验证由统一身份认证系统完成,登录流程如图5所示;②非完全集成子系统,有独立的用户管理模块和用户群,不与统一身份认证系统使用相同的账户,用户需要在统一身份认证系统中进行统一身份认证账户与本子系统账户关联设置,这样,统一身份认证账户才能登录进入该子系统,登录该系统后,仍然使用本子系统的账户。
图5 完全集成子系统认证流程图
(2)基础数据库
基础数据库作为南京市师生信息的管理平台,负责用户信息的集中维护,为各信息系统间用户对接与数据整合提供了保障。对于需要使用教师信息的系统,只要与基础信息库对接,通过平台提供的增量订阅接口就可以快速实现师生信息的实时同步,同步订阅接口的类型如表1所示。
表1 同步的接口类型
同时,系统还为第三方系统建立初期数据的初始化提供了数据获取接口,通过这些接口,第三方系统可以获取授权范围内的数据,并对各系统可以使用的字段进行授权管理,主要接口如表2所示。
表2 数据获取接口
目前教育政务平台、网络教研活动平台已经通过以上的接口实现了用户数据对接,在用户信息修改后,平台会实时分发数据修改,保障各系统的数据一致。
3.业务应用服务层
南京教育云平台不仅向全市师生、家长提供教育云盘、教育政务微信企业号、期刊库等市级应用,还能通过统一身份认证系统的单点登录功能访问到学校应用。南京教育云平台建立本地化应用中心,对第三方应用进行集中管理,按照用户的所在区域和权限显示个性化应用导航,应用中心根据用户终端形式分为两部分:由单点登录平台实现Web端的管理;由教育政务微信平台实现移动端的管理。
单点登录平台已整合期刊库等第三方应用,对已有系统进行融合,实现了一次登录多次访问的目标,并且完成了网络资源的实名访问工作。
教育政务微信平台是移动端的统一入口,选择基于微信企业号的平台架构,信息接收端的用户不需要在手机端再下载任何应用,而只需关注微信企业号就可以使用各项功能,平台提供了非常良好的基础功能和架构,为移动端开发节省大量的开发时间和平台维护成本,面向用户提供部分共性的基础功能模块:通知公告、消息推送、问卷调查、活动管理、工作日程和资源预约等,界面如图6所示。
四、结论
南京教育云平台通过多年的努力,在基础设施建设上得到了全面提升,实现了全市的SDN网络部署,构建了区域教育信息化应用服务平台、开放标准和服务体系,建成了全市的教师基础数据库。同时,通过统一身份认证平台和教育政务信息平台,教师无需知道账号和密码就可以直接扫描二维码登录应用系统,不仅简化了平台推广过程,提高了用户的访问体验,而且符合当前对于实名使用网络资源的安全要求。
图6 教育政务微信平台
[1]门威.智慧校园架构下公共数据平台建设策略研究[J].中国教育信息化,2017(9):51-54.
[2]段春梅.智慧校园的云数据中心架构设计[J].计算机应用技术,2016(8):55-56.
[3]付珍珍,吴寒飞.南通大学以整合为核心建设一体化智慧校园[J].中国教育网络,2017(8)65-67.
[4]李秀敏,史海燕,王希杰.“互联网+”背景下智慧校园建设模式分析[J].计算机时代,2016(10):22-24+28.
[5]于长虹.智慧校园智慧服务和运维平台构建研究[J].中国电化教育,2015(8):16-20+28.
[6]许柳威,田文雅.基于LDAP的统一身份认证平台的研究与应用[J].中国教育信息化,2013(11):82-85.
[7]段海波.高校数字化校园的统一身份认证解决方案[J].中国教育信息化,2010(17):43-46.