赖 成

（上海宝信软件股份有限公司，上海 201900）

近年，中国制造2025、智慧制造等新名词出现在各大媒体，越来越耳熟能详。钢铁行业作为传统制造的典型代表，如何适应时代发展的要求实现智慧制造、个性化生产，这是一个全新的命题，意味着钢铁生产从业务端、生产端到IT基础架构端都需要自规模扩张转变为柔性制造，从重产量转向重质量。生产方式的改变对信息化建设提出了新的要求，传统“竖井式/烟囱式”的IT架构已经无法适应快速生产的要求，必须进行全方位的创新，提升企业应对不确定性的能力。

在钢铁客户中，拥抱云计算是近几年IT基础架构转型的重要内容，各大型钢铁企业转型初期通常是将子公司机房“各自为政”模式转变为建设私有云模式。在探索中，我们发现，不同钢铁信息化系统的响应时间、弹性扩展能力要求各不相同，数据共享、网络安全与运营管控需求也不同。单纯依靠私有云难以适配日益变化的系统。

1 需求分析

对于大型钢铁企业而言，除底层基础自动化系统外，通常将信息化系统分为经营管理层、制造管理层与生产执行层，不同层次负责不同的业务内容，如下图所示。

经营管理层位于较高的层次，往往覆盖企业全局，通常包括电商、协同办公、人力资源、财务管理、采购管理等，适合集中化部署，供企业全局进行访问；部分应用如钢铁电商属于互联网类应用，弹性要求高，资源变动性强。

制造管理层属于制造管理单元，包括质量管理、计划管理、出厂管理、成本管理等；生产执行层和过程控制层属于执行单元，可能包括铁区L3、炼钢L3、冷轧L3、过程控制L2、检化验L2、行车定位系统等，这些业务流程和钢铁生产线紧密关联，它的及时响应直接决定了现场生产效率和安全，适合配合产线进行属地化部署。

2 整体设计

针对大型钢铁企业不同系统在访问方式、时延效率、弹性伸缩要求方面的不同，运用单一的企业私有云架构存在各种挑战。企业私有云的本质是用云技术完成传统集成、运维建设，其“云”资源是相对有限的，也无法规避传统集成在立项、可研、设备采购方面的耗时及机房容量设计方面的挑战，难以全面匹配新型钢铁“智慧制造”在业务快速响应方面的要求。如果采用扩展能力强大、方便快捷的公有云，钢铁产线的私密性、低延时要求又难以满足。

结合业界云计算发展趋势及钢铁生产数据安全、运维保障等多方面要素，建议可因地制宜采取公有云、私有云相混合，即混合云的方式进行IT基础平台建设。

混合云，顾名思义，是“云和云的混合”，最常见的形态是公有云和私有云的混合,本文重点讨论这一类。混合云的出现消除了单一私有云和公有云的痛点。针对不同的业务特性，可将不同的系统部署在不同的云环境里，按需混合，这样有效降低了综合建设成本、提升了IT平台的扩展性及灵活性。

一个基本的混合云架构示意图如图2所示。

图1 传统钢铁制造主要信息化系统示意图

图2 混合云基本架构示意图

根据“集约化、共享化”的原则和“安全性、灵活性”的方向，混合云建设通常包含以下几个内容：

（1）整体架构设计：针对钢铁企业关注点、IT预算确定混合云的设计原则、混合比例以及总部、各子公司如何入云等。

（2）混合云基础架构设计：主要包括私有云、公有云、混合云管理三方面。私有云设计重点包括机房、主机、存储、网络、安全等方面设计。公有云设计包括公有云服务商选择、公有云资源（包括主机资源、网络资源、安全资源等）、IT架构设计。混合云管理主要涉及资源调度、多维度监控、数据备份、智慧运理、安全管控等。

（3）数据共享平台设计：包括共享接口、数据湖、大数据平台等。

（4）云灾备方案（可选）：包括灾备等级、灾备需求及建设依据、灾备实施与演练等。

（5）云迁移设计（可选）：包括数据迁移、停机计划等。

（6）运维管理体系设计：混合云架构下的IT管理部门架构和智能、IT运营制度、IT运维手册等。

钢铁制造企业混合云主要价值点如下：

2.1 整体架构优化，实现钢铁企业IT基础设施资源整合

公有云和私有化各有优势，公有云具有敏捷、按需获取、成本较优、资源扩充能力强、云产品丰富的特点，但是需通过较长的链路访问，难以适配低延时类应用要求；私有云具有容量有限、建设周期长、一次性投入多、产品较为单一等不足，但是通过钢铁园区主干网访问，能够适应属地钢铁生产中心低延时响应要求。

混合云设计的整体原则是：通过公有云整合互联网类、管控类系统，通过私有云部署属地制造类、园区类系统，实现IT基础架构资源的最佳组合，提高运营效率，降低运营成本。根据该原则，混合云中，分别适合部署在公有云和私有云的系统类型如下。

?

2.2 资源数据共享，实现钢铁企业IT数据资源的融合

私有云、公有云融合后，其强大的组合优势与丰富的容纳性几乎可以适配钢铁企业所有的信息化系统。通过私有云与公有云之间的连接线路（裸纤、专线或者IPSec VPN）可以将各类数据进行有效的融合贯通。在数据大融合后，可借助公有云强大的大数据与AI能力，根据业务需求进行数据挖掘与分析，有效进行整合后数据的分析利用，将数据价值最大化，为企业高层决策提供大数据云计算支撑。

2.3 安全架构提升，实现钢铁企业安全防护能力的优化

混合云安全防护体系可充分考虑公有云丰富的安全资源与私有云私密的安全架构，将公有云安全资源与私有云安全组件适配组合，实现整体安全架构的提升，从而提升钢铁企业应对安全风险的能力。

3 建设方案

以大型钢铁企业主要信息化系统为例进行混合云的方案设计，包括混合云云管理平台、私有云、公有云、混合云部署。

3.1 混合云云管理平台设计

混合云云管理平台不同于一般的云管平台，它一方面要承接好私有云的资源管理、监控管理、运维管理，另一方面要将公有云统一纳管，提供一体化的访问入口。同时，对二者连通的线路通道也需要进行线路带宽与质量的监测。云管平台基于私有云Hypervisor层、Agent程序、设备厂商提供的接口可进行虚拟机资源、存储资源、网络及安全资源的监控与管理，基于公有云提供的调用接口、Agent程序可查询公有云虚拟机资源及运行状况。云管理平台主要包括多维监控、资源调度、智慧运维、安全管控几个子系统。

多维监控是云管平台的哨兵和探针，既要负责监视私有云、公有云（租用资源）内的风吹草动，还要为日后的趋势分析存储监控数据。资源调度是云管平台资源大主管，在资源配置库中统筹管理物理资源和虚拟资源，当某一资源出现故障时，可快速查询到与其相关联的虚拟机、网络、安全、软件等受影响内容。智慧运维是运维事件的电子化处理平台，记录、跟踪事件处理过程及问题、变更处理过程，它与多维监控想联动，一旦监测到异常，多维运维既会进行预警判断，并通过标准运维管理流程进行运维处置。安全管控负责整个云环境内的安全事件管理及安全态势感知，做好安全团队与云环境的安全管理接口。

3.2 私有云设计

私有云设计如下：

机房：可遵照《电子信息系统机房设计规范》进行建设，通常参考B级标准。机房内容包括地理位置、机房结构、电力资源、冷却方式、综合布线、电力调度、动力监控、消防预警等。高规格、绿色环保的数据中心机房具有较低的PUE值，可大量节省运营成本中电费的支出。

主机平台：私有云主机平台为资源池架构，可包括物理主机资源池和虚拟机资源池，虚拟机资源池内通常为1备N的冗余架构，既1台物理主机出现问题后，可将该主机上的虚拟机迁移到剩余N台主机的一台或多台上。

存储平台：私有云存储平台主流技术主要包含两类，一类为SAN或NAS磁盘阵列设备，另一类为超融合架构。SAN或NAS磁盘阵列优势为架构稳定、I/O性能较好，通常配置多台磁盘阵列互为冗余以避免单点故障；缺点是性能调整不便，可能估算不足导致采购的磁盘阵列档次过低无法满足业务需要或者性能过高造成浪费。超融合架构可将多台X86设备通过超融合技术“虚拟”出存储资源池，优势为扩容灵活方便，增加X86设备节点即可增长存储资源；缺点是超融合软件的稳定性对数据存储影响较大，升级维护工作量较大。备份平台也是存储平台的主要功能之一，可选择相对低端的磁盘作为备份存储介质。

图3 钢铁混合云拆分示意图

网络平台：根据访问类型，云平台网络常分为业务网、管理网、存储网几类，为避免数据干扰，三类网段通过网络虚拟化或物理隔离方式建设，同时，网络平台设计时需要实现多租户隔离，保证不同租户间的“东西向”网络隔离。根据网络区域，云平台网络可分为互联网接入区、专线接入区、核心区等，专线接入区为混合云的重要区域，通过该区域的路由器设备实现私有云与外部（公有云、运营商等）的互通，连通方式为裸光纤、专线、IPSEC VPN等。

安全平台：等级保护是钢铁企业安全设计时很好的操作指南，可以根据不同安全等级要求对各个层面进行安全设计及防护。最基础的安全手段为安全子域隔离，可划分为互联网区、DMZ区、Trust区等。应用安全可采用WEB防火墙、网页防篡改、SSL安全网关；主机安全可采用服务器深度防护、安全威胁发现等；网络层安全可采用防火墙、入侵检测、SSL VPN、防毒墙、带宽管理等。

3.3 公有云设计

私有云引入公有云构建为混合云后，具有几大优势：

（1）应对容量问题：私有云的容量往往很难预估到位，引入公有云后，可规避这一设计风险，如有超预期部分可通过公有云进行应对。公有云、私有云相互之间的分担比例可根据实际需要在项目过程中灵活调整。

（2）降低综合成本：公有云一次性资金投入远远低于私有云，资金由一次性投入转换为按需租用，综合成本得到了降低。

（3）缩短建设周期：在项目建设早期，私有云未建设完成时，通过公有云即可应对开发、测试需求，同步进行私有云建设。私有云建设完成后，再按照整体规划调整混合云中的功能分担比例，缩短项目建设周期。

（4）提升运维水平：公有云对于使用者来说，一定程度屏蔽了运维的工作，降低了用户的运维工作量，有利于在运维人数一定的情况下，可管理更多的系统。

（5）快速构建灾备：灾备作为“再保险”，在主环境不出现问题时，其价值近似为零。通过公有云进行灾备建设，按需租用有限的资源，可节约较大的建设投资。

（6）增强安全防护：对于部分互联网类业务，在面对互联网安全风险时，引入公有云丰富的安全防护手段，有利于分解风险，借助公有云服务商的专业安全能力增强安全防护能力。

需要强调的是，公有云设计之初首先需明确针对自身企业，引入公有云拟解决的问题，而后再根据不同公有云的特性选择合适的公有云服务商及公有云资源，如拟通过公有云增强安全防护，可选择安全防护领域较强的云服务商及其BGP带宽、DDOS防护、安全态势感知、WAF等云资源。

3.4 系统混合部署设计

针对钢铁集团型企业，对子公司属地制造系统可部署私有云，对总部既包含管控类系统又包含制造类系统的，可将管控类系统部署在公有云，将与制造、园区强相关系统部署在私有云。针对图3所示传统钢铁制造主要信息化系统，试做混合云拆分如下图所示。

公有云部署协同办公、人力资源、知识共享、钢铁电商系统等，同时可部署灾备云。私有云部署物流管控、财务管理、质量管理、合同管理、产线L3类系统等。子公司属地制造系统可在各属地进行私有云建设，公有云与私有云之间通过专线连接。

由于不同钢铁企业信息化程度、管控方式不尽相同，对混合云的接受程度不一致，具体拆分可因地制宜，根据企业实际情况进行。

4 结语

上述混合云方案已经在部分钢铁企业进行试点建设，为钢铁企业经营决策系统、制造管理系统等提供了敏捷、高效、稳定的IT基础平台，高开放性、灵活性的公有云和私密性、稳定性的私有云优势互补，提供了较优的钢铁企业IT基础架构方案，具有良好的推广及应用价值。未来，伴随混合云云管理平台的日益成熟，云间互联成本的进一步降低，混合云必将进一步为更多企业所采纳，更多地支撑钢铁企业运营。