李 辉，石静迎，黄培斌

（广州汽车集团有限公司汽车工程研究院，广东 广州511434）

1 引言

国内自主品牌车企建设智能网联云平台，大部分在纯公有云与纯私有云之间选择其一。纯公有云的缺点在于缺乏服务的个性化，且数据的安全性存在争议，纯私有云则成本高昂。广汽建设的智能网联云平台，车辆下线、IOT 网关数据、控制等涉及功能安全的服务和数据需要环境有安全保障；而对于用户交互服务，需要能够集成车联网和互联网生态资源，灵活快速扩容，满足用户车联网服务需求与第三方接入。基于功能安全和信息安全考量，同时满足灵活性和扩展性需求，需要保证车辆数据生产与服务分离。因此，广汽区别于其他自主品牌车企的智能网联云平台IaaS 建设，采用混合云建设方案，功能与业务安全要求高的服务依托于私有云，保证功能安全和信息安全，而提供给用户消费类的服务存放于公有云，满足灵活性和扩展性需求。在保证功能及安全的前提下，最大化地节省建设成本。

对车企而言，用户数据、系统数据都是非常宝贵的资源，如何确保在各种灾害环境下备份与复原重要数据，是本文的重点。混合云由于其特殊性，进行灾备时，如果备用完全复制同等架构，采用私有云加公有云对等的方案，将大大增加基础设施成本，本文创新性地提出数据存放于私有云，业务弹性在公有云一键启动的灾备方案，可以有效节约成本。

2 混合云灾备方案

为保证智能网联云平台的可靠性，同时最大化地节省成本，本文提出了一套混合云灾备实现方案。考虑混合云高可用性，将用户交互数据保存在公有云，实现多活备份，将车辆数据保存在私有云；基于安全性考虑，需将私有云车辆数据同步至对等的小型私有云，以最少成本保证数据安全可靠。对于应用服务，采用公有云方案，在私有云机房出现故障时候，服务一键弹性迁移至公有云，充分利用公有云按时间计费及弹性扩容灵活性，大大降低云的成本；备的微服务系统部署于公有云，通过定时任务同步私有云服务变更的应用包，当私有云出现故障时进行切换，混合云公有云服务将重新注册到备微服务系统的服务注册节点，同时调用公有云API 进行虚拟机弹性创建，把私有云服务的包加载到弹性创建的公有云的虚拟机中，再启动服务并注册到服务注册中心，对外域名更改IP，变成对应创建的虚拟机IP。

3 混合云灾备机制

备私有云同步生产主私有云的数据，备微服务系统同步生产主私有云的应用包；主系统部署在生产环境的私有云和公有云（高可用部署），备份私有云系统数据库实时同步私有云数据库。

3.1 正常业务同步机制

正常进行业务时的架构如图1 所示。具体如下：①生产环境公有云以及私有云服务均注册到私有云微服务系统中；②私有云微服务框架的应用、部署组、程序包、配置信息同步到公有云微服务系统，比如jar 包等，备份的微服务系统不创建虚拟机启动应用；③生产环境私有云数据实时同步到备私有云。

图1 正常进行业务时的架构示意图

3.2 私有云(主)整体故障切换容灾

私有云（主）整体故障时的架构如图2 所示。具体如下：①系统创建公有云的虚拟机，备份的公有云微服务系统下发包到公有云容灾虚拟机，启动应用及注册到备份微服务系统的服务注册中心；②备公有云服务依赖的数据源指向容灾私有云数据库，生产环境的公有云服务切换至备份微服务系统的服务注册中心；③更改对外域名对应的IP，指向灾备服务的IP。

图2 私有云（主）整体故障时的架构示意图

3.3 私有云（主）恢复正常后回迁

私有云（主）恢复正常后数据回迁架构如图3 所示。具体如下：①先停止公有云（备）容灾系统对外虚拟机服务，完成数据回迁；②将公有云服务注册到生产环境私有云（主）服务注册中心；③将服务域名变更到原有IP 地址，系统切回到原系统。

4 结束语

本文提出一种基于车联网混合云的灾备实现方法，用较少成本保证数据安全和可靠，服务快速切换。同时，通过业务控制与数据分离，一键切换故障业务与服务，确保系统高可用性，降低云成本，保证数据可靠性，契合车企自建云平台的技术现状，具备较高的工程实际应用价值。

图3 私有云（主）恢复正常后数据回迁架构示意图