沈 巍，王 丰，夏行宇，赵国普，李爱华

（湖北省电力勘测设计院有限公司，武汉 430040）

0 引言

随着清洁能源快速发展、电能在终端能源消费中比例的提高，经济社会发展对于电能质量、电网智能化的要求不断提升。加快构建能源互联网，通过挖掘大数据价值，按照各项任务的工作目标及工作内容的要求，需要依托云平台进行开展，云平台需要具备弹性应对访问压力、快速应对异地资源故障的能力。

电网企业构建云化数据中心，建设云平台，运用云平台的弹性伸缩、故障自愈、跨数据中心资源整合的能力，支撑多维精益管理体系变革，实现更好的经营效果、增加各种维度的安全，助力能源互联网建设。

1 云平台的应用需求

云 平 台 通 过 提 供IaaS（Infrastructure as a Service），PaaS（Platform as a Service），SaaS（Software as a Service）服务能力，满足资源统一管理、数据去边界、应用高可靠、运营流程打通、研发效率提升的建设目标，推动总平台统一管控计算、网络及存储资源，为各项业务提供最佳的服务能力、匹配最佳合适的业务模式，云平台通过软件定义网络、分区分域管理多个数据中心，实现应用的云上高可用，满足云平台的分布式架构、满足能源互联网业务连续支撑性目标。

从总体上，云平台主要满足资源统一纳管、高性能计算存储、支撑企业中台建设等需求。

资源统一纳管。为更好地实现资源灵活调配，提高利用率，满足物理分散、逻辑统一的管理目标，需建设跨数据中心的云平台对资源进行统一纳管。

高性能计算存储。数据中台、管理平台等各种业务需要依托云平台建设。数据中台的数据流转非常复杂，涉及数据采集传输、数据分析应用、在线处理应用、数据资产管理应用四方面，整个过程涉及的数据量、计算、转换、业务相关方众多，工作量、并发都成几何级别的增长，需要云平台提供高性能的弹性计算、存储。依靠高性能的网络与各终端进行对接，实时采集并存储数据，数据形式多样，终端设备自身的数据量就非常大，此外还需将数据接入数据中台，对于云平台的计算、存储、网络都有很高的要求。

支撑企业中台建设。以往业务应用系统采用传统信息技术架构，前端业务应用+中间件+数据库模式，但建设上很大程度上是“部门级”，各业务系统形成以各自为中心的单体应用，导致跨专业业务流程断点、集成穿墙打洞、数据壁垒和管理粒度不匹配[1]。此弊端已成传统信息技术架构之诟病，后续的信息化建设采用共享服务模式，将可共享、可复用、共通性的数据进行有效管控，把公司较为核心的数据进行集中处理，实现前端数据的有效集成，实现数据和业务的最佳匹配，实现数字化的内容构架电网企业的核心竞争力。

通过群机负载均衡、分布离散式应用配置、冗余功能替代等模式，实现高可靠、高性能的冗余技术和高可靠性的冗余结构，保证系统的稳定、可靠运行[2]。满足管理节点高可用、同城双活能力、异地灾备能力；保证系统稳定、可靠运行。

以现有网络环境和平台应用需求为基础，遵循国家标准，云平台设计应满足等保三级，以承载等保二级、三级系统。系统之间可视情况通过租户隔离或安全组隔离，能满足所有应用的等级保护相关要求。分析云环境下安全防护相对传统安全防护的差异和风险，精准定位云平台面临的安全风险点；确定云平台安全防护总体架构，分层级设计具体防护措施，健全云平台安全防护体系，全面提高云平台综合防御能力；防范针对云平台的恶意网络攻击，保障云平台上的业务应用、微应用和微服务的安全，防止云平台上租户的重要数据及敏感信息泄露。

支持多数据中心模式，前期先挑选单个机房进行实施，使实施的云平台具备支持多数据中心拓展能力，将计算能力、存储能力、网络能力进行集中管控，实现自动伸缩、故障自愈，为业务应用为提升用户体验，保证全天候服务，云平台提供高可用、跨数据中心迁移的能力，且需要云平台管理整合国家电网有限公司分散的数据中心资源，并实现网络互通，在应用发生故障或本数据中心出现网络问题、资源不足的情况下进行迁移，实现业务的高可用[3]。

2 总体架构

云平台总体架构包括物理硬件、IaaS 实现方式、PaaS 实现方式、SaaS 实现方式[4]。还需要建设配套的运维支撑、持续构建，支撑传统应用及微服务应用的稳定运行，通过其高性能、高可靠、可扩展的特性，提升服务质量，满足业务扩展、业务创新的目标。根据需求，云平台整体业务架构如下：

图1 云平台整体业务架构

架构设计包括数据管理、计算节点设计、存储节点设计、网络设计、灾备设计等内容。

数据的采集、存储、备份等数据管理，主数据管理、元数据管理、数据的标准化、数据惟一性等在云平台的体现，对指导平台资源分配以及资源扩容具有重要的帮助意义[5]。

计算节点的数量及机房布局，各计算节点性能配置及机柜部署，计算节点网络规划及网络配置，计算节点软件安装及配置，计算节点自动伸缩及故障自愈配置。

存储的备份，按照“物理分散、逻辑集中”的技术路线，设计IP-SAN（Storage Area Network）网络存储、FC-SAN（Storage Area Network）存储、备份存储，满足不同场景需求。为数据中台、物联管理平台提供充足的存储容量，保证可备份近10年的主要业务应用产生的数据。存储的架构，充分利用存储虚拟化技术，按业务重要性采用多种级别存储方案。

网络设计支持大三层的设计方式，支持虚拟网卡、支持虚拟交换机，一般采用分布式以及软件定义网络（SDN）技术来构架数据中心[6]。

随着容灾系统建设的深入，以同城双中心加异地灾备中心的“两地三中心”的灾备模可用性和灾难备份的能力[7]。

将原有业务应用系统（传统架构业务应用）从服务器或虚拟机由迁移工具迁移到云主机（虚拟机），数据库采用祼金属方式迁移；或将原为业务应用系统微服务化改造，从服务器或虚拟机部署在容器中，Oracle 数据库进行升级改造提供接口，向云管理平台注册服务并对外提供自动分配、弹性伸缩服务。

3 安全防护

云平台采用云计算、虚拟化等新技术，在风险层面上，应保障存储、服务器、网络设备安全，除满足上述物理安全、网络安全、主机安全、应用安全、数据安全技术保障，运维安全保障，安全制度保障需求之外，还应考虑虚拟化带来的新的安全风险[8]。另外，数据资源的集中存储更易吸引攻击者，如攻击者通过发起攻击、利用数据库漏洞提取数据库管理权限、扫描未及时清除的剩余数据窃取敏感信息等，将导致用户数据资产丢失、被窃取和被破坏的情况。

结合云平台的特点，分析云环境下安全防护相对传统安全防护的差异和风险，精准定位云平台面临的安全风险点；确定云平台安全防护总体架构，分层级设计具体防护措施，建立健全云平台安全防护体系，全面提高云平台综合防御能力；防范针对云平台的恶意网络攻击，保障云平台上的业务应用、微应用和微服务的安全，防止云平台上用户的重要数据及敏感信息泄露。

依照“分区分域、安全接入、动态感知、全面防护”的安全策略，云平台应满足等保三级的国家标准，以承载等保二级、三级系统。系统之间通过租户隔离或安全组隔离，满足应用的等级保护相关要求。

依照安全框架和整体规划逐步完善安全保障体系，达到全面保障云平台及系统安全的建设目标。分析业务应用系统在云环境下和传统环境下的差异，重点对差异内容进行安全研究和分析，明确需要重点考虑的云平台的安全防护内容，进行重点安全防护设计。

4 现场实施

为满足快速推进的需要，在前期工作中，制定实施和建设方案，结合业务需求与云平台基本需求，初步确定集群规模以及部署架构，根据机房实际情况，初步确定设备位置。根据建设方案中的云平台服务器及网络设备需求，对已到货设备进行配置与角色等进行调整；结合现有设备的硬件详情，开展硬件兼容性测试工作，避免部署期间出现硬件不兼容的问题。

结合现场实际情况与云平台需求制定网络规划方案和云平台实施方案，其中网络规划包括云平台管理网、业务网、存储网等的IP 地址规划，设备位置规划图，不同角色设备连线图，云平台总体网络拓扑；云平台实施方案包括云平台总体架构，各组件物理设备规划，组件内部设备不同角色的规划，并形成服务器的机柜图；依据总体部署方案形成实际部署方案；明确不同组件之间的依赖关系，便于联调测试。

结合现场实际业务需求，确定目前的容器规模，并根据容器部署手册进行安装部署并完成与云平台的联调测试，形成联调测试报告。依据云平台功能点列表，测试各项功能点是否正常，形成云平台功能点测试报告。根据业务部门的需求分配租户、虚拟机和网络等，配合业务系统数据的迁移工作，协助处理迁移过程的问题，并记录汇总。

按照业务、人员、组织、技术、资源、安全等方面将风险进行分类，并对已识别的风险按照高（可能导致整体工作无法完成）、中（可能导致部分工作无法完成或整体工作延期）、低（可能导致部分工作延期）三个级别进行记录。实施过程中发现实施质量出现偏差时，应及时协调处理偏差。

4 结束语

本文基于电网企业的业务需求构建云化数据中心，运用云平台的弹性伸缩、故障自愈、跨数据中心资源整合的能力，支撑多维精益管理体系变革，实现企业经营绩效、电网安全经济运行水平的全面提升，助力能源互联网建设。