自然资源云生态体系的设计与实践
2021-09-08曾观恩
曾观恩
【摘要】 自然资源信息化是辅助自然资源合理规划和有效管控的有力手段,而自然资源云生态的构建是信息化的基础。本文以XX市自然资源局云计算项目为例,探讨自然资源云生态体系的构建与落地。
【关键字】 云生态 云计算技术 数据中心 自然资源信息化
引言:
党的十九届五中全会通过的《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》提出,要加快构建以国内大循环为主体、国内国际双循环相互促进的新发展格局。而国内大循环的一个战略关键是,以生态文明为导向,以乡村振兴为基础,以城乡融合为趋势,强化空间生态资源统筹规划,有效开发利用自然资源,带动社会投资,实现生态产业化、产业生态化,最终达成的是生态资本深化。自然资源的合理规划和有效管控,是战略实施的重要一环,而自然资源信息化是辅助自然资源管理的有力手段,其意义重大。本文以XX市自然资源局云计算项目为例,说明云计算与数据中心的设计与落地,探讨自然资源云生态体系的构建思路,为自然资源信息化建设夯实基础。
一、自然资源云生态建设的三个阶段
云计算的本质是将大量用网络连接的计算资源统一管理调度,构成一个计算资源池,向用户提供可用、按需、便捷的网络服务。自然资源管理领域计算复杂、数据庞大,云计算作为数据资源的底层支撑着上层的大数据处理,非常适合使用云计算处理各业务场景。以云计算为核心,辅以5G和人工智能等技术是推动生产力发展的重要引擎。在这场数字化浪潮中,必须积极拥抱云计算技术,设计符合技术发展趋势、面向未来的IT基础构架,才能赢得未来。
以下分三个建设阶段介绍市自然资源云生态的建设情况及未来规划设计:
1.1一期:云平台建设与数据中心雏形
云平台一期主要是实现云的简单构型和数据中心雏形,尽量保证架构合理,便于后期扩展。
1.1.1虚拟化技术
虚拟化是对计算机系统的仿真,它可以使一台物理计算机能够运行一台或多台虚拟机(VM)。作为云计算的核心技术之一,虚拟化技术具有大幅降低IT成本、提高业务部署灵活性、降低运维成本等优势。虚拟化技术,简单的理解,就是在一台服务器上,使用虚拟机软件(华为FusionSphere、VMWare Workstation、VSPhere、Hyper-V等),可以运行多个逻辑上相互独立的虚拟机(Virtual Machine,简称VM)。
1.1.2云计算设备选型
计算节点服务器的选型是云平台架构的第一步,要对服务器进行虚拟化适应性分析与评价。服务器性能量化指标主要有tpmC和SPEC两个体系,根据指标计算、实际需求以及价格综合考虑,选定华为FusionServer Pro 5885H V5服务器×6,该计算节点适用于关键业务的高可靠高性能要求,虚拟化、高性能计算(HPC)、数据库等计算密集型业务需求。数据中心仲裁服务器选择华为FusionServer 1288H V5,实现数据主从判断、主备交互。FC SAN光纤交换机最终选取博科BR-6505×2,双活数据存储选择华为OceanStor 5210 V5 48T×2等。
1.1.3云平台架构设计与搭建
根据行业的成熟架构经验,市自然资源云平台一期、二期的总体硬件架构图如下:
自然资源云平台一期建設有高性能计算机点4个,FC SAN交换机两台,双活存储区,数据档案存储区以及万兆以太网交换机构成的一个规模较小的私有云平台。自然资源云平台二期建设桌面云计算区(2个H3C计算节点),增加一期云计算节点2个,扩展金土工程存储区、国土空间基础信息平台存储区,同时拓展云平台内存上限,实现协同规划编制的应用,增加云平台的计算能力、存储能力和运行速度。
1.1.4数据中心雏形
数据中心是一种基础信息设备架构,用于放置计算机系统和相关组件,如网络设备、存储系统和电信设备。数据中心运行突发故障是无法预测的,随时都有可能终止服务(如硬件故障、病毒、误操作等情况),容灾备份就是数据安全的最后防线。由于资源限制,目前只实现了异机双活数据中心。主数据中心用于承担主业务,备份数据中心用于备份主数据中心的数据、配置、业务等。利用虚拟化技术,把闲置的资源整合,双活数据中心的服务能力有效提高。双活数据中心的建设要满足三个条件:一是应用双活,也就是说数据库一定要实现双活,实现应用的无感切换;二是网络要双活,业务网络要保证能够同时联通两个数据存储区域;三是数据要双活,两边的数据要能够实现被独立使用。通过双活数据中心区域的建设,加强应用系统抗冲击能力、自由调度能力。
1.2二期:云平台扩展与桌面云建设
为实现开放、集成、便捷的国土空间规划协同编制环境,给规划编制成员提供便捷的地图、地理信息及分析工具,故搭建国土空间规划协同编制桌面云平台。平台技术选型为H3C UIS-Cell 3010计算节点两台、NVIDIA vPC显卡虚拟化、H3Cloud CAS云桌面管理软件、亚信安全虚拟化深度安全防护系统DeepSecurity等,以图1所示架构接入到自然资源云平台中。
同时,由于自然资源业务的不断开展,云平台一期的资源容量已略显不足,故在二期增加同型号计算节点两台,增加金土工程存储区、国土空间基础信息平台存储区。扩展后的云平台资源规模相比增加一倍有余,同时增加桌面云功能,对自然资源信息化应用承载能力更强,基础支撑方式更多样化。
1.3二期:融合云方向
混合云架构是目前局信息架构方式,但随着技术的发展,IT基础设施愈发复杂。IT资源不仅是物理服务器,还有虚拟机、容器,除了x86,还有小型机、ARM,甚至还有GPU、FPGA、TPU等异构计算资源,同时还有国产化的趋势要求,网络和存储也存在多种技术选择。根据技术不确定以及ADI(应用定义基础架构)的趋势,面向未来的IT基础设施架构管理的最佳选择是融合云(Unified IaaS)。所谓融合云是指融合管理分布在多云环境(本地IDC,私有云和公有云)中的所有IT基础设施,构建一个综合IaaS平台,是云生态的目标形态。
首先,融合云面向的是多云环境。融合云部署场景中,IT基础设施不仅包含本地机房的计算资源部分(含微服务架构),还包含私有云平台和政务云部分。融合主要是指三个方面的融合:首先是管理端的融合,实现资源管理的统一、资产台帐统一等;其次是网络端的融合,通过网闸、网络地址映射等方式,实现各资源的互联互通;再次是数据端的融合,借助网络端的融合以及程序接口等方式,实现数据交互。通过管理端、网络端、数据端三融合,最终实现资源的融合管理、融合应用、高度协调,以适应各复杂应用架构要求的挑战。融合云实现整体异构IT基础设施的全面云化,面向智能技术、面向底层基础设施的跨云协作、全面拥抱开源技术,为自然资源的信息管理手段提供坚实的基础。
二、云生态的辅助环境
自然资源云生态的构建,一些辅助环境和手段是必不可少的,如安全、网络等。
2.1自然资源云安全机制设计
随着云上应用的不断拓展,云生态体系所面临的安全挑战也不断涌现。近年来,网络攻击手段层出不穷,包括木马、勒索病毒、蠕虫攻击、缓冲区溢出攻击、SQL注入等等,而传统防火墙采用的是被动的防御机制,只要数据包具有合法的身份,就可以通过防火墙,对数据包中存在的攻击行为无能为力。此类攻击直接威胁到云体系运行秩序和信息系统安全,为此设计一套完整完善的安全防护体系非常有必要。
2.1.1云底层防毒
云平台底层部署了虚拟化系统安全软件,NSX分布式 IDS/IPS功能内置于NSX平台当中,采用分布式的架构,内嵌到每台主机的Hypervisor内核中,可以对每一个流经的数据包进行威胁检测,提供威胁阻止的能力。NSX分布式IDS/IPS技术方案的优势有全图型化界面、简化网络体系架构和运维、内置详细入侵行为的日志系统、特征码可以自动联网更新、安全策略无需随虚拟机迁移变更等。
2.1.2计算环境安全
云计算区边界设置了防火墙,对云边界进行防护。局系统内全面部署了奇安信天擎安全系统,管理中心部署在云上,客户端分别部署在物理服务器、虚拟机以及接入云平台的用户桌面PC,实现病毒查杀、补丁管理、网络准入、安全审计等功能。
2.1.3网络层面的安全防护设備
由于等保2.0的要求,局城域网已自带相对完整的网络安全设备,为云平台构建了相对安全的网络环境,比如网络防火墙、网络安全审计、入侵防御设备、防病毒网关设备、上网行为管理、以及综合安全功能的堡垒机等。
2.2畅通的网络环境
2.2.1三网合一设计
局目前主要的应用网络有自建城域网、政务外网和互联网,三网合一(即三网融合)是指将上述三个网段相互渗透、互相兼容、整合成为统一的信息网络,实现用户在一台主机上完成对三个网段的应用访问和使用,使网络资源得到更充分的利用。我局的信息应用部署的网络位置以自建城域网为主,政务外网为辅,互联网多为网络地址映射。因此,三网合一使用户可以无感、方便地使用各网络位置的信息应用。
2.2.2全光内部网络环境设计
全光网络,是指网络传输和交换过程全部通过光纤实现,信号只是在进出网络时才进行电光和光电转换,能极大提高网速。此前局大楼的楼宇智能化项目中完成全光内部网络的铺设,除了楼层交换机到用户端采用六类线外,其余均按全光网络标准铺设,实现云端内部、数据中心的万兆互联,千兆到桌面。高速网络环境为协同规划编制桌面云、自然资源一体化平台多应用并发、多用户在线等业务场景提供了良好的用户体验。
三、结束语
习近平总书记提出的山水田林湖草综合规划系统开发,实现生态资源的价值化。自然资源是国内大循环的重要战略锚点之一,辅助做好自然资源管理,是一项极具战略意义的工作。自然资源云生态体系的健康繁茂,是自然资源信息化建设的必要条件。利用行业成熟架构、整合现有信息基础设施、思考未来技术趋势,降低成本、提高资源利用率,为自然资源信息化建设作出积极贡献。
