许皓皓 乐益龙 顾小丽

(1.宁波市气象网络与装备保障中心,浙江 宁波 315012;2.海曙区气象局,浙江 宁波 315153)

0 引 言

根据《国务院关于同意浙江省调整宁波市部分行政区划的批复》,2016年9月,宁波市海曙区行政区划正式调整,区划调整后的海曙区从单一完全城市化向复合型城乡结合格局转变,气象灾害、公共安全、城市建设、农业农村建设、防灾减灾和应对紧急突发事件等对气象服务的需求更为迫切,特别是行政区划调整后,原鄞州区西部区域划入海曙区,该区域海拔较高,夏季多突发强对流、冬季多低温雨雪冰冻,且易受地形影响,台风影响期间,雨量普遍较大,同时由于山洪沟、小流域较多,极易引发山洪、小流域洪水、泥石流等灾害,历来是气象灾害及其次生灾害防御的重点区域[1-4]。为尽快落实区委区政府关于筹建海曙区气象局的有关精神,急需高质量建设海曙区气象灾害监测预报预警平台,而信息化基础设施作为平台的基础支撑系统和核心建设内容,建设一套功能先进、运行可靠、经济实用的信息化基础设施将关系到海曙区气象局的业务顺利开展和职能正常行使,为提高该区气象灾害防御能力,预防和减轻气象灾害损失,保障人民生命财产安全,促进全区经济社会健康发展提供有力保障。

通过对区县气象部门信息化建设和运行现状进行梳理和分析,针对发现的IT先进技术应用较少,缺少整体性安全规划,业务关键环节存在隐患点,灵活性和远期的扩展性欠缺等一系列问题,以国省两级气象信息化行动方案为纲领,参照《气象信息化基础设施资源池建设指南》,广泛应用虚拟化、云计算、分布式架构等目前成熟先进的信息化技术,充分考虑系统的延续性和扩展性;按照信息安全等级保护第二级信息系统标准设计通信网络系统,有效防御各类信息网络安全风险;通过改善架构设计修复业务环节隐患点;同时延续部分现有成熟模式,构建了一套技术先进、稳定可靠、经济实用的信息化基础设施,既可以满足海曙区气象业务需求,也为可持续发展打了坚实基础。

1 功能设计

1.1 建设内容

信息化基础设施构建以满足现代气象业务需求,为海曙区气象局开展预报预警业务提供基础信息硬件支撑为目的。根据海曙区气象局核心业务和工作职能,信息化基础设施主要建设内容和需求由如下几部分组成。

1)基础通信网络系统:通信网络作为信息化的核心内容,是气象业务信息传输的枢纽,由气象广域网、气象内网、政务外网、视频会议专网几部分组成。通信网络须满足气象业务对高效稳定数据传输的需求,具备应急通信能力,此外具备一定网络安全风险防御能力。

2)视频会议系统:建设数字化、运行稳定、操作便捷的视频会议系统,通过视频专网接入,满足省市县天气会商和电子政务视联网视频会议功能,实现会议扩声和影像资料的同步显示。

3)虚拟化资源池:虚拟化资源池由服务器虚拟化和桌面虚拟化平台两部分组成,前者主要负责气象防灾减灾综合信息收集、存储和处理,为业务系统运行提供支撑;桌面虚拟化平台用于人员办公、信息监控和业务软件日常操作。

1.2 现状分析

从先进性、可靠性、安全性、实用性4个方面对本市具有代表性的区县气象部门信息化基础设施建设和运行现状进行梳理和分析,以便在海曙区气象信息化设计和建设过程中借鉴成功经验,延续现有成熟模式,同时规避业务短板,解决当前隐患和不足,符合上级气象部门信息化建设规范。通过表1可以看出,本市区县气象部门信息化建设多以实用性为主,基本能满足业务可靠性要求,先进信息化技术应用较少,整体性安全规划欠缺,业务关键环节隐患点依然存在,系统灵活性和远期的扩展性不强。

表1 区县气象部门信息化现状分析

1.3 建设原则和参考标准

为解决需求分析环节梳理的问题和隐患点并针对性的解决,海曙区气象信息化基础设施建设以中国气象局2015年印发的《气象信息化行动方案(2015—2016年)》和浙江省气象局同年印发的《浙江省气象局信息化行动方案(2015—2016年)》为纲领,系统设计和技术选型详细参考了中国气象局气象信息化领导小组2016年发布的《气象信息化基础设施资源池建设指南》,以便规范资源使用方式,促进硬件资源、系统软件的合理配置。通信网络系统安全性设计遵循《计算机信息系统安全保护等级划分准则》和《信息安全技术信息系统安全等级保护基本要求》两份规范。

总体方案设计遵循如下几项原则:①先进性和可持续性原则,要求根据现代信息技术的发展,充分利用当前主流的先进技术,具备前瞻性和可扩充性,满足今后的扩展和升级需要;②可靠性原则,按照气象业务一年365 d、一天24 h不间断开展的要求,整个系统必须完全满足长期可靠运行的要求;③经济实用性原则,在保证系统先进、可靠的前提下,通过优化设计达到经济性的目标,整个系统具备结构合理、故障点少、操作简单、管理方便,具备无故障运行时间长、远期改造或扩容投资少以及运营成本低等特性。

2 信息化基础设施构建

2.1 通信网络系统

区县局通信网络系统由气象广域网、气象内网、政务外网、视频会议专网几部分组成,除相对独立的视频会议专网外,其他网络系统均按照等保二级信息系统标准设计。根据气象部门统一管理和业务开展要求,部分网络节点设计采用本省和本市上级主管气象部门统一的技术方式。通信网络系统技术方案描述如下。

1)气象广域网:采用“双路由器+双线路”冗余备份模式,使用全省统一的OSPF路由协议实现链路冗余,任何一条线路故障,均能通过OSPF自动收敛实现链路自动切换,保障气象业务的连续性;配置两台链路防火墙用于风险防御和访问控制。

2)气象内网:内网核心交换机采用2台48口全千兆3层交换机,实现设备级的冗余,接入交换机采用双链路保证单条链路故障不会影响终端通信;核心3层交换机作为业务网络内逻辑分割设备,在统一规划的IP地址池内按工作职能和安全等级划分不同的子网或网段。

3)政务外网:政务外网由当地政府统一建设,非涉密网,与互联网逻辑隔离。在政务外网边界部署防火墙用于访问控制,并通过入侵防御模块主动防御外部攻击;配置一台上网行为管理设备,提供网页访问过滤、用户行为分析、访问记录等功能。

4)视频会议专网:视频会议专网由气象视频会商网和电子政务视联网两部分组成,均按照相关标准建设。

通信网络系统按照等保二级信息系统标准设计,网络拓扑结构见图1。主要安全性设计包括:①气象广域网通过两条运营商链路实现冗余,通过两台路由器实现设备冗余来满足等保二级对网络设备的业务处理能力应具备冗余空间,满足业务高峰期需要的要求。②气象广域网和政务外网边界分别配置防火墙,开启入侵防御模块和漏洞扫描模块,有效阻断各类入侵事件的发生,满足等保二级为数据流提供明确的允许/拒绝访问的能力。③核心3层交换机作为业务网络内逻辑分割设备,可根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,满足等保二级对网络分割的要求。④政务外网出口设置一台上网行为管理设备,对网络访问行为进行分析、控制和记录,记录时长达到等保二级对记录保存180 d的要求。⑤在气象内网和政务外网之间配置安全隔离网闸实现内外网的安全隔离,从物理上来隔离阻断潜在攻击的连接,满足特定气象业务内外网安全数据交换的需求。⑥供电、运行环境、防雷、防盗、线缆铺设等计算环境安全建设均满足等保二级要求。

图1 通信网络系统拓扑图

2.2 视频会议系统

视频会议系统为天气会商和电子政务视联网提供支撑,系统采用分布式架构,以网络交换机为核心,每个信号节点均可独立处理,通过分布式控制系统进行统一管理。系统建设内容和模式包括:1)天气会商采用1套宝利通终端,视联网采用1套专用终端。2)气象视频会商终端和视联网终端分别接入气象视频专网和视联网,两网相互独立。3)采用分布式架构,配置一台控制单元,高清输入和输出节点若干,输入节点采集各类PC和摄像头信号,输出节点输出至大屏等显示单元,配置光纤交换机和POE交换机用于数据传输、命令传输与通讯协议等。4)管理平台软件一套,实现对所有节点的管理与控制,支持PC和移动终端协同实时操控。5)通过调音台控制音频输入输出,搭配麦克风、功放和音箱实现本地和远端会场声音的双向传送。6)扩声系统、大屏显示系统可单个或同时为气象视频会商和视联网会议提供支撑。7)移动终端可使用视频软终端(宝利通RealPresence软件)参加天气会商。

2.3 虚拟化资源池

虚拟化资源池分为服务器虚拟化和桌面虚拟化平台,服务器虚拟化平台采用超融合架构,根据海曙区气象业务发展需要,部署4台超融合一体机,通过2个万兆光口与万兆交换机连接,实现双链路聚合的存储通信,组建超融合虚拟化平台,用于数据收集处理存储、数据服务、电子档案管理、监控等业务系统。本次部署分布式存储资源总容量为60T,通过2副本方式保障数据的可靠性,可满足未来2～3 a的数据量需求。超融合平台具备横向扩展的云计算特性,未来提升平台计算和存储,仅需新增x86服务器接入即可。

桌面虚拟化平台采用云桌面技术,集中建设云桌面集群,在后台集群为每个用户开辟一个独立的虚拟机,用户终端接入设备不留存任何信息,只有显示和输入输出功能。虚拟云桌面技术采用后台集中管理模式,可减少桌面运维工作量,节省总体应用成本,实现更安全的桌面办公,经过实践证明可以满足气象部门的工作需要[5]。本次共配置4台桌面云一体服务器,业务内网和政务外网端各2台组建集群,搭配桌面虚拟化软件和云管平台对外提供桌面虚拟化服务,如图2所示,用户端配置瘦客户机和一套外设,内外网瘦客户机分别访问内外网桌面,通过KVM切换,两套桌面系统物理隔离,提供了较高的安全性。

图2 桌面虚拟化平台网络拓扑图

3 关键技术

3.1 可视化网络管理

可视化网络管理技术提供了所见即所得的故障监控和易用的网络运维工具,简化了网络管理难度,可以有效补齐区县气象部门缺乏网络运维管理能力的短板。可视化网络管理借助网络分析网关,收集网络设备运行状态、日志等信息,提供网络资源管理、运行监控、性能管理、日志管理等一系列功能。资源管理根据网络规划,对软硬件资源和IP资源进行合理的管理;运行监控基于网络结构拓扑图进行全局网络情况监控,可迅速地定位故障位置;性能管理以丰富的展现形式提供基于设备和基于端口的性能分析;网络分析网关集成了常用的网络诊断工具,用于对一些常见的故障进行诊断和排查;日志管理对网络设备操作日志、事件日志和告警日志等进行备份,提供便利的查询功能,可用于操作记录查询和故障的深入分析等场景。

3.2 分布式架构视频控制系统

视频会议系统采用分布式架构,采用点对点信号处理机制,基于以太网传输信号,摆脱了所有信号都依靠矩阵的传统处理方式,从而大幅减少了系统的整体故障率,提升系统的可靠性、扩展性、便捷性。分布式和集中式架构技术特性比较见表2。分布式架构主要由输入节点、输出节点和控制单元3部分组成,均通过网络交换机连接。输入节点采集各类视频信号并进行预处理,数据编码后生成在以太网传输的IP码流,每个节点相对独立,只负责自己采集到的一路信号的计算工作。输出节点通过网络接收到数据,进行解码和处理,并传输至显示设备进行显示。控制单元是整个系统节点路由管理的核心,每个分布式系统配套一个控制单元,通过分布式控制系统软件,支持通过PC、移动终端等设备对视频会议系统进行独立或协同操作。

表2 集中式和分布式架构技术特性对比

(续表)

3.3 超融合虚拟化

超融合架构是一种集成了虚拟计算和存储资源的信息基础架构。在该架构环境中,同一套单元设备中不但应用了计算、网络、存储和服务器虚拟化等资源和技术,而且多套单元设备可通过网络聚合,实现模块化的无缝横向扩展,形成统一的资源池。超融合架构由传统虚拟化演化而来,经历了融合虚拟化阶段,和传统虚拟化解决方案相比,超融合架构使用工业标准的x86服务器作为计算和存储资源载体,通过软件定义的方式来规划底层硬件,然后向用户交付需要的资源,具备了管理简单、类似积木堆栈方式弹性扩充等特性,在扩展性、灵活性、运维和成本方面都具有一定优势,是目前在各型数据中心广泛应用的技术架构[6]。超融合架构演化进程见图3。

图3 超融合虚拟化架构演化图

4 结 语

气象信息化建设是一项持续性的工作,对于基层气象部门来说,信息化基础设施构建要按照上级气象部门的统一部署,符合中国气象局《气象信息化发展规划(2018—2022年)》构建统筹集约、协同高效、开放共享、安全可靠的气象信息化体系的总体目标,在此基础上广泛应用成熟、先进的信息化技术、同时参考本地区气象部门经过实践检验,广泛应用的技术规范,以便和本地区气象部门顺利对接,逐步探索符合当地气象业务特点的气象信息化建设思路和建设模式,以期为提高本地区气象灾害监测防御能力,预防和减轻气象灾害损失,保障人民生命财产安全,促进当地经济社会健康发展提供强有力的保障。